Information Technology Governance

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 6)

มีนาคม 22, 2014

จากครั้งที่แล้ว ผมได้กล่าวย้อนหลังถึงยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการในช่วงเวลา 35 ปีที่ผ่านมา ตลอดจนผมได้รวบรวม เรียบเรียง และจัดทำเป็นหนังสือถึง 4 เล่มด้วยกัน โดยในเล่มที่ 2 จากหนังสือ การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ผมได้หยิบยกคำนำจากหนังสือเล่มนี้มาเล่าสู่กันฟัง เพื่อแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ว่ามีความแตกต่างกันอย่างไรกับงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน

โดยคำนำจากหนังสือเล่มที่ 2 ที่กล่าวถึงนี้ แบ่งเป็นหัวข้อเพื่อความเข้าใจได้ง่าย ๆ ถึง 36 ข้อด้วยกัน เนื่องจากความยาวและความเหมาะสมของการนำเสนอ ในครั้งก่อนผมจึงได้นำเสนอไปเพียงบางส่วนเท่านั้น สำหรับวันนี้ผมจะขอกล่าวต่อในหัวข้อที่ 7 เลยนะครับ (ท่านผู้อ่านสามารถติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่มที่ 2 ในหัวข้อแรก ๆ ได้ คลิ๊กที่นี่ ครับ)

7. ในการตรวจสอบธนาคารพาณิชย์และสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งองค์กรอื่นที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบควรพิจารณาถึงความจำเป็นและความแตกต่างในระบบงานของแต่ละองค์กรเป็นกรณีไป โดยควรเน้นและให้ความสำคัญอย่างยิ่งต่อการควบคุมภายในที่มีประสิทธิภาพ

8. การทำความเข้าใจในเป้าหมาย ขอบเขต กรรมวิธี ในการตรวจสอบงานด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบทางด้านการเงิน (Financial Audit) และจัดทำรายงานการตรวจสอบ ตลอดจนความสัมพันธ์ของานทั้ง 2 ประเภท นับเป็นสิ่งที่มีความสำคัญยิ่งในการปฏิบัติงานการตรวจสอบที่มีประสิทธิภาพสูงสุด เช่น การรู้จักใช้เครื่องมือคอมพิวเตอร์ให้เป็นประโยชน์ในการตรวจสอบ และการทำความเข้าใจในระบบงานด้านคอมพิวเตอร์ เพื่อกำหนดขอบเขตการตรวจสอบให้เหมาะสม เป็นต้น

9. วิธีการตรวจสอบและเทคนิคการตรวจสอบงานด้านคอมพิวเตอร์ จะต้องพัฒนาให้ทันกับ Technology สมัยใหม่ที่ก้าวหน้าอย่างรวดเร็วและไม่หยุดยั้ง ทั้งทางด้าน Hardware และ Software วิธีการตรวจสอบจึงจำเป็นต้องพัฒนาขึ้น เพื่อช่วยให้ผู้ตรวจสอบมีเครื่องมือและรู้จักใช้เครื่องมือปฏิบัติงานอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ในการตรวจสอบ อีกทั้งจะช่วยให้ผู้ตรวจสอบมีความมั่นใจในการเสนอความเห็นในรายงานการตรวจสอบอย่างถูกต้องตามความเป็นจริง และมีเหตุมีผล

10. ผู้ตรวจสอบทางด้านคอมพิวเตอร์ นอกจากจะได้รับมอบหมายให้เป็นผู้ตรวจสอบความถูกต้องและความน่าเชื่อถือได้ของข้อมูล จากงานที่ประมวลผลด้วยคอมพิวเตอร์แล้ว ยังมีหน้าที่ที่สำคัญมากอีกประการหนึ่งก็คือ การร่วมมือและประสานงานตรวจสอบด้านการเงิน (Financial Audit) โดยแนะนำหรือร่วมปฏิบัติงานทางด้านเทคนิคการตรวจสอบในส่วนที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานตรวจสอบทางด้าน Financial มีปัญหาน้อยที่สุด

ดังนั้น การศึกษาเทคนิคใหม่ ๆ ทางด้านคอมพิวเตอร์ เพื่อประโยชน์ในการตรวจสอบจึงเป็นสิ่งที่จำเป็นอย่างยิ่ง และจะต้องดำเนินการควบคู่กันไปกับการปฏิบัติงานตรวจสอบด้วยเสมอ ทั้งนี้ เพื่อดำรงไว้ซึ่งประสิทธิภาพของการตรวจสอบโดยรวม

11. เมื่อผมได้ไปปฏิบัติหน้าที่ในฐานะ Deputy Principal ของหลักสูตร SEACEN (South East Asian Central Banks) หลักสูตร Inspection and Supervision of Financial Institutions ครั้งที่ 12 ที่กรุงจาการ์ตา ประเทศอินโดนีเซีย เมื่อปี ค.ศ. 1988 ผมได้แนะนำให้เพิ่มวิชาที่มีเนื้อหาในด้านที่เกี่ยวข้องกับคอมพิวเตอร์หลายวิชาในหลักสูตรนี้ ทาง SEACEN ได้เชิญผมไปบรรยายความจำเป็นของวิชาเหล่านี้ให้กับเลขาธิการของ SEACEN ที่ไปดูแลหลักสูตรนี้ที่กรุงจาการ์ตา และผมก็ได้ไปอธิบายเรื่องนี้ ณ ที่ทำการสำนักงานใหญ่ของ SEACEN ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย ในปีเดียวกันนั้น ในเรื่องที่เกี่ยวข้องกับการพัฒนาการกำกับและการตรวจสอบสถาบันการเงินที่ต้องมีวิชานี้เข้าไปเกี่ยวข้องด้วย เพราะเป็นเรื่องที่แยกกันไม่ได้ในวงการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และทาง SEACEN ก็ได้บรรจุวิชาต่าง ๆ ที่เกี่ยวกับคอมพิวเตอร์เข้าไปในหลักสูตรนี้นับจากนั้นมาจนกระทั่งปัจจุบัน ซึ่งผมได้มีส่วนช่วยบรรยายหลายวิชาในหลักสูตรนี้ที่จัดขึ้นในประเทศต่าง ๆ ของสมาชิก SEACEN ในเวลาต่อมาด้วย

นั่นคือ ถึงแม้เป้าหมายของผู้ตรวจสอบจะเป็นการตรวจสอบฐานะความมั่นคงทางการเงิน หรือเป็นการตรวจสอบเพื่อรับรองงบการเงิน แต่ข้อมูลและการควบคุมภายในส่วนใหญ่ได้ถูกประมวลโดยระบบคอมพิวเตอร์แล้ว ดังนั้น การวางแผนการตรวจสอบก็จะต้องคำนึงถึงและเข้าใจในระบบงานด้านคอมพิวเตอร์พอสมควรด้วยเสมอ

12. นอกจากที่กล่าว ทาง SEACEN ก็ได้จัดหลักสูตรใหม่ขึ้นมาโดยเฉพาะ เรียกว่า Computer Audit (Advanced Level) ขึ้น เป็นหลักสูตรการตรวจสอบคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบในสถาบันการเงินโดยเฉพาะแยกเป็นอีกหลักสูตรหนึ่ง โดยอบรมให้แก่ผู้ตรวจสอบจากธนาคารกลางประเทศต่าง ๆ ในเอเชีย

ทาง SEACEN ได้ให้ผมเป็น Course Director สำหรับหลักสูตรนี้อีกครั้ง เพื่อจัดให้มีการอบรมให้กับประเทศต่าง ๆ ที่กรุงเทพฯ เมื่อปลายปี ค.ศ. 1993 ซึ่งช่วงนั้นผมได้บรรยายวิชา EDP Supervision and Financial Institutions ด้วย โดยกล่าวถึง The Thai Experienced ในเรื่อง ตามที่สรุปในภาคผนวกเล่มที่ 1 แล้ว แต่วิชาคอมพิวเตอร์อื่น ๆ ในหลักสูตรนี้ที่ผมได้บรรยายให้ SEACEN ในปีก่อน ๆ หน้าที่ ผมไม่ได้นำมาให้ผู้อ่านได้อ่านด้วย เพราะมีบางส่วนได้กล่าวเป็นภาษาไทยในหนังสือชุดนี้อยู่แล้ว

13. การตรวจสอบด้านคอมพิวเตอร์ ถึงแม้จะมีความจำเป็นเด่นชัด แต่ผู้บริหารในองค์กรต่าง ๆ ให้ความสำคัญกับการตรวจสอบด้านนี้แตกต่างกัน และมีจำนวนไม่น้อยที่มองข้ามประเด็นที่สำคัญนี้ อย่างไรก็ดี สำหรับธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยได้กำหนดให้มีการตรวจสอบคอมพิวเตอร์ เพื่อดูแลเรื่องนี้โดยฉพาะ ตั้งแต่ ปี 2528 สำหรับสถาบันการเงินอื่น ๆ ทางธนาคารแห่งประเทศไทยก็ได้สั่งการให้สถาบันการเงินเหล่านั้นได้จัดให้มีการตรวจสอบงานด้านคอมพิวเตอร์แล้วด้วย

14. งานตรวจสอบด้านคอมพิวเตอร์ (IS Audit หรือ IS Examination) ในด้านของธนาคารแห่งประเทศไทย หรือ FFIEC ของประเทศสหรัฐอเมริกา แล้วมีวัตถุประสงค์อย่างกว้าง ๆ เช่นเดียวกับการตรวจสอบฐานะและความมั่นคงของสถาบันการเงิน นั่นคือ

1) เพื่อประเมินฐานะความมั่นคงของสถาบันการเงิน

2) เพื่อประเมินและวัดคุณภาพการจัดการ และการดำเนินงานของผู้บริหารระดับสูง

3) เพื่อให้คำแนะนำ แก้ไขจุดอ่อนต่าง ๆ ที่อาจก่อให้เกิดปัญหาต่อสถาบันการเงินเป็นการล่วงหน้า เพื่อให้สถาบันการเงินปรับปรุงคุณภาพของการบริหารงาน และการดำเนินงานให้มีความมั่นคง และเป็นไปตามระเบียบ คำสั่ง และกฎหมายที่เกี่ยวข้อง

อย่างไรก็ดี วัตถุประสงค์ของการตรวจสอบด้าน IS Audit ของผู้สอบบัญชีรับอนุญาต และผู้สอบบัญชีภายในจะแตกต่างกันไปตามเป้าหมายหลักของตนเอง

15. การตรวจสอบด้านคอมพิวเตอร์ที่ปัจจุบันมักนิยมเรียกกันว่า IS Audit ในประเทศสหรัฐอเมริกา และ IT Audit ในประเทศอังกฤษและออสเตรเลีย มากกว่าคำที่ใช้เรียกกันเต็ม ๆ ว่า Computer หรือ EDP Audit นั้น มีเรื่องที่ต้องทำความเข้าใจกันมากพอสมควร ยิ่งผู้สนใจท่านใดอ่านหนังสือประเภทนี้จากผู้แต่งหลาย ๆ คน จากประเทศต่าง ๆ แล้ว ก็อาจจะพบกับความสับสนมากขึ้น ทั้งนี้เพราะ ผู้แต่งแต่ละท่านก็มีความคิด/จุดยืน และทัศนรวมทั้งการผูกเรื่องให้อ่าน หรือทำความเข้าใจแตกต่างกันนั่นเอง

16. จุดยืนและความแตกต่างของตำราที่ผู้เขียนเรื่อง การตรวจสอบด้านคอมพิวเตอร์ ก็ขึ้นกับความถนัดและประสบการณ์ของผู้เขียนแต่ละท่าน เช่น บางท่านถนัดทางด้านการตรวจสอบระบบงานแต่ละอย่าง (Application Audit) เพราะผู้แต่งหรือผู้เขียนทำงานในด้านนี้ บางท่านทำงานในองค์กรเอกชนหรือตามโรงงานอุตสาหกรรมต่าง ๆ ในขณะที่บางท่านแต่งหรือเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์ในฐานะที่เป็นผู้กำกับ และตรวจสอบสถาบันการเงิน จึงมีหน้าที่และบทบาทต่างกันออกไป เช่น ผู้ตรวจสอบของ FDIC, FRB, OCC ซึ่งเรียกรวม ๆ กันว่า Federal Financial Institution Examination Council (FFIEC) ของประเทศสหรัฐอเมริกาที่เป็นหน่วยงานของรัฐ ซึ่งทำหน้าที่ตรวจสอบทั้งฐานะความมั่นคงและการดำเนินงานโดยทั่วไป ซึ่งเรียกกันว่า Financial Examiner และบางส่วนแบ่งมาทำหน้าที่ตรวจสอบด้านคอมพิวเตอร์ เรียกกันในระยะแรก ๆ ว่า EDP Examiner นั้น ก็มีประสบการณ์การเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์แตกต่างกันในตามความรับผิดชอบของตน นั่นคือ FFIEC จะเน้นการตรวจสอบทางด้านศูนย์ประมวลข้อมูลของสถาบันการเงิน (Data Center) ซึ่งจะตรวจงานทางด้านการดำเนินงานและการบริหารของศูนย์คอมพิวเตอร์เป็นสำคัญ และจะไม่เน้นหรือจะไม่ตรวจสอบทางด้าน Application Audit ซึ่งทาง FFIEC พิจารณาว่าเป็นงานของผู้ตรวจสอบภายนอก (External Auditor) และผู้ตรวจสอบภายในของสถาบันการเงินหรือองค์กรอื่น ๆ ซึ่งผู้ตรวจสอบประเภทหลังนั้น จะตรวจสอบทั้งทางด้าน Data Center หรือตรวจสอบการควบคุมภายในโดยทั่วไป (General Controls) และตรวจสอบการควบคุมภายในเฉพาะระบบงาน หรือเรียกว่า Application Controls หรือ Application Audit ด้วย

17. เมื่อมาถึงจุด ๆ นี้ ก็มีคำที่ต้องทำความเข้าใจกันต่อก็คือ การตรวจสอบงานด้านคอมพิวเตอร์ เรียกและเข้าใจกันง่าย ๆ Computer Audit นั้น มีการตรวจสอบเป็น 2 ลักษณะ คือ

17.1 การตรวจสอบด้านศูนย์ประมวลข้อมูล (Data Center) หรือเรียกกันว่าเป็นการตรวจสอบการควบคุมโดยทั่วไป (General Controls) หรือเป็นการตรวจสอบ “องค์กร” หรือเป็นการตรวจสอบการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ขององค์กร

17.2 การตรวจสอบงานใดงานหนึ่งเป็นการเฉพาะ เช่น การตรวจสอบงานด้านเงินฝาก เงินให้กู้ ฯลฯ ก็เรียกกันว่าเป็นการตรวจสอบด้าน Application หรือเป็นการตรวจสอบการควบคุมภายในเฉพาะงาน (Application Controls) หรือทำให้เข้าใจง่ายยิ่งขึ้นก็เรียกว่าการตรวจสอบ “งาน” ภายในองค์กร

18. การตรวจสอบงานด้านคอมพิวเตอร์ โดยหลักใหญ่ ๆ จึงสรุปได้ว่ามีเพียง 2 ลักษณะ คือ การตรวจสอบ “องค์กร” กับ “งาน” จะเป็นการตรวจสอบด้านใดก็ขึ้นกับความรับผิดชอบของผู้ตรวจสอบในแต่ละองค์กร ว่ายืนอยู่ ณ จุดใด มีความรับผิดชอบด้านใด ท่านต้องการกำหนดขอบเขตการตรวจสอบ (Audit Scope) เพียงใด ดังนั้น ผู้อ่านจึงต้องแยกแยะว่าท่านต้องการเรียนรู้งานการตรวจสอบด้านคอมพิวเตอร์ลักษณะใด แล้วจึงค่อย ๆ ทำความเข้าใจกับคำอธิบายเฉพาะส่วนนั้น ๆ และความเกี่ยวพันที่เกี่ยวข้อง เช่น ควรเข้าใจว่า หาก General Controls มีปัญหาก็จะกระทบกับการวางแผนและการตรวจสอบด้าน Application Controls เพียงใด และควรมีวิธีการตรวจสอบอย่างไร เป็นต้น

อนึ่ง ถึงแม้จะมีตำราการตรวจสอบด้านคอมพิวเตอร์บางเล่มได้แยกหัวข้อการตรวจสอบแตกต่างไปจากที่กล่าวข้างต้น เช่น มักจะแยกหัวข้อการตรวจสอบการพัฒนาระบบงานเพิ่มมาอีกก็ตาม ผมก็ยังมีความเห็นว่า น่าจะรวมอยู่ในการตรวจสอบ General Controls จะเหมาะสมกว่า นอกจากนี้ แผนภูมิแสดงการตรวจสอบโดยย่อที่มีมากกว่า 1 แห่ง ในหนังสือของผมทั้ง 3 หรือ 4 เล่ม ก็อาจมีความแตกต่างกันในรายละเอียดปลีกย่อย ทั้งนี้ ขอให้ผู้อ่านอย่าสับสน เพราะเหตุผลเกิดจากแนวความคิดเบื้องต้นที่อาจแตกต่างกันบ้างของผู้เขียนหนังสือแต่ละคน เช่น บางคนเริ่มจากการวิเคราะห์ความเสี่ยง ซึ่งผมชอบแนวทางนี้ บางคนไม่วิเคราะห์ถึงความเสี่ยงก่อน แต่ให้เริ่มต้นจากการทำความเข้าใจระบบงานก่อน ซึ่งในที่สุด ผู้อ่านจะพบว่าไม่ว่าจะเริ่มแบบใด ในที่สุดแล้วก็จะมาสู่จุดเดียวกันจนได้ หากท่านผู้อ่านเข้าใจได้เช่นนี้ ก็แสดงว่าท่านเข้าใจแนวทางการตรวจสอบอย่างถ่องแท้แล้ว อย่างไรก็ดี หลักการส่วนใหญ่จะไม่แตกต่างกันมาก แต่จะแตกต่างกันในการบรรยายและการทำความเข้าใจ

19. ผู้อ่านควรทำความเข้าใจในคำต่อไปนี้ คือ EDP Examinar, EDP Auditor ซึ่งคำ ๆ หลังนี้ยังแยกได้เป็น 2 ส่วน คือ External Auditor และ Internal Auditor สรุปเพียงข้อนี้ก่อนว่าผู้ตรวจสอบด้านคอมพิวเตอร์เองก็มี 3 แบบ มีความรับผิดชอบและหน้าที่แตกต่างกัน และผู้ตรวจสอบต้องเข้าใจลักษณะของหน้าที่และความรับผิดชอบที่แตกต่างกันนั้น ๆ ด้วย เพราะความแตกต่างกันนั้น ยังมีส่วนเหลื่อมที่เป็นความเหมือนหรือความคล้ายกันปะปนกันอยู่ด้วย นั่นคือ การกำหนดขอบเขตและวิธีการตรวจสอบ อาจมีความสัมพันธ์ซึ่งกันและกันตามลักษณะของผู้ตรวจสอบทั้ง 3 แบบได้

20. การให้ถ้อยคำเป็นภาษาไทยที่ถอดความจากภาษาอังกฤษ ในศัพท์คอมพิวเตอร์บางครั้งก็มิใช่ของง่าย เพราะถึงแม้จะมีการแปลศัพท์คอมพิวเตอร์เป็นภาษาไทยกันแล้วหลายเล่ม แต่การใช้ภาษาไทยก็ยังมีการใช้แตกต่างกันอยู่ ซึ่งขึ้นกับความถนัดและความเข้าใจของผู้เรียบเรียงหรือผู้เขียนเป็นสำคัญ ดังนั้น การให้ถ้อยคำในภาษาไทยในแต่ละเรื่อง ถึงแม้มาจากภาษาอังกฤษคำ ๆ เดียวกัน ก็ใช้ถ้อยคำแตกต่างกันที่อาจทำให้ผู้อ่านสับสนได้ อย่างไรก็ดี คำศัพท์ภาษาไทยที่ยังไม่นิยมกัน ผมไม่ได้นำมาใช้ในเอกสารประกอบการบรรยายนี้ และคำศัพท์หลายคำ ผมได้ให้ความหมายใหม่ตามที่ผมเข้าใจ เช่นคำว่า “Default” โดยทั่วไปแปลว่า “โดยปริยาย” แต่ในหลายตอนของผมแปลว่า “มาตรฐานของระบบงานที่ได้กำหนดไว้ล่วงหน้า” หรือ “คำสั่งตามเงื่อนไขเบื้องต้นที่กำหนดไว้ในโปรแกรม” นอกจากนี้ หากท่านผู้อ่านพบกับคำว่า เกิด Default ก็ขอให้เข้าใจว่า “เกิดข้อคลาดเคลื่อน” หรือ “เกิดการปฏิบัติงานที่ผิดไปจากเงื่อนไขหรือคำสั่งงานที่กำหนดไว้” และในบางกรณีก็หมายถึง “เกิดปัญหาการปฏิบัติงานที่เกิดจากมาตรฐานหรือเงื่อนไขเบื้องต้น” ทั้ง ๆ ที่การเกิด Default นี้เป็นไปตามคำสั่งหรือมาตรฐานของระบบงานก็ตาม ซึ่งแสดงถึงจุดอ่อนหรือความเสี่ยงที่เกิดจากการทำ Default ในโปรแกรมนั่นเอง อย่างไรก็ดี ความหมายในภาษาไทยที่ใช้และอาจเกิดความสับสนได้นั้น ผมจะวงเล็บภาษาอังกฤษ เพื่อให้เปรียบเทียบประกอบความเข้าใจเป็นส่วนมากไว้ด้วย ดั้งนั้น หากท่านผู้อ่านจะนำศัพท์ภาษาอังกฤษไปเปรียบเทียบกับ Dictionary ด้านคอมพิวเตอร์ ก็จะพบว่าการให้ความหมายแตกต่างกันไป ซึ่งบางกรณีทำให้เกิดความเข้าใจที่แตกต่างกันด้วย

21. ถ้อยคำในภาษาไทยที่ใช้ในการบรรยายการตรวจสอบด้านคอมพิวเตอร์ในบางครั้งที่พบ เช่น การตรวจสอบระบบคอมพิวเตอร์โดยทั่วไป (ซึ่งหมายถึงการตรวจสอบ Data Center หรือ General Controls) กับคำว่าการตรวจสอบคอมพิวเตอร์เฉพาะงาน หรือบางครั้งก็ใช้คำว่าการตรวจสอบระบบงาน (ซึ่งหมายถึง Application Audit หรือ Application Controls) ถ้าผู้อ่านพยายามนึกถึงภาษาอังกฤษประกอบด้วยแล้ว จะทำให้ความสับสนน้อยลงได้ ทั้งนี้มีข้อแนะนำว่า หากรู้สึกสับสนก็ขอให้ถามตนเองว่า ขณะนี้เรากำลังอยู่จุดไหนหรือขั้นตอนใดของงานการตรวจสอบ เรามีเป้าหมายและขอบเขตการตรวจสอบอะไร เพียงใด ก็จะช่วยได้มาก โดยเฉพาะ การให้คำภาษาไทยที่ไม่ได้วงเล็บภาษาอังกฤษไว้ด้วย

การที่ผมย้ำจุดนี้หลายครั้งก็เพราะจากประสบการณ์ที่ผ่านมาในระยะแรก ๆ ทั้งตัวผมและผู้ฟังการบรรยายมักจะพบปัญหาการทำความเข้าใจจากจุดนี้เป็นสำคัญ

22. ถ้อยคำอื่น ๆ ที่มีปัญหาก็อาจเกิดจากเทคนิคทางด้านคอมพิวเตอร์นอกเหนือจากการใช้ภาษาไทยได้ ตัวอย่างเช่น โปรแกรมระบบงาน (System Program หรือ System Software) และคำว่าโปรแกรมเฉพาะงาน (Application Program หรือ Application Software) โดยมีถ้อยคำภาษาไทยที่คล้ายกันมาก หากไม่วงเล็บภาษาอังกฤษไว้ด้วย จะชวนทำให้สับสนได้ง่ายเช่นกัน หรือการตรวจสอบความถูกต้องของรายการทางการเงิน ก็มีคำภาษาอังกฤษที่ใช้ต่าง ๆ กัน เช่น Validation Procedures หรือ Verification Procedures หรือ Substantive Tests เป็นต้น ดังนั้น ผู้ตรวจสอบจึงควรทำความเข้าใจระบบงานของคอมพิวเตอร์ ให้ถ่องแท้ก่อนการวางแผนและดำเนินการตรวจสอบ

ทั้งนี้ ด้วยเนื้อหาของคำนำที่ยาวพอสมควร ทำให้ผมไม่สามารถนำเสนอได้จบในตอนที่ 6 นี้ จึงขอให้ท่านผู้อ่านโปรดติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่ม 2 “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ที่ผมจะนำมาเสนอในตอนต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: Approach IT Audit by BOT, การตรวจสอบ ด้านคอมพิวเตอร์โดยย่อ, เริ่มต้นการตรวจสอบด้าน ไอที, Initiate IT Audit, IT Audit in brief | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 5)

กุมภาพันธ์ 28, 2014

ตอนที่ 4 ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่ ธปท.กำหนดขึ้นเพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงิน ระบบการจัดการของหน่วยงานภายใต้การดูแลของ ธปท.ให้มีการดำเนินงาน บริหารงาน ได้ถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่าต่อผู้มีผลประโยชน์ร่วม และผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ เพื่อให้ความมั่นใจต่อผู้มีผลประโยชน์ร่วมทุกฝ่ายที่เกี่ยวข้อง ถึงความสามารถในการบริหารงานอย่างต่อเนื่อง ในการสร้าง Vallue Creation อย่างได้ดุลยภาพ จากการบริหารความเสี่ยงและทรัพยากรที่มีอยู่

….ซึ่งต่อมา สภาพแวดล้อมในการดำเนินงาน ได้มีการพัฒนาตลอดมาจนกระทั่งปัจุบัน ซึ่งมีผลอย่างสำคัญ ต่อการเปลี่ยนแปลง และการบริหารการเปลี่ยนแปลงในกระบวนการบริหารและปฎิบัติงาน ส่งผลให้มีการค้นคว้าและพัฒนาหลักการบริหารที่ดี และการกำหนดมาตรฐาน มาตรการการดำเนินงาน และการกำกับที่ได้เปลี่ยนแปลงไปให้ทันกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นโดยเฉพาะความเสี่ยงที่เกิดจากการบริหาร การดำเนินงาน ด้านคอมพิวเตอร์/ เทคโนโลยีสารสนเทศและการสื่อสาร ที่มีการพัฒนาอย่างรวดเร็วและไม่หยุดยั้ง มีผลอย่างสำคัญที่ตามมาคือ ผู้บริหาร ผู้กำกับ ผู้ปฎิบัติ ผู้ตรวจสอบ จำนวนหนึ่งตามไม่ทันกับการพัฒนาทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งการมีการใช้เทคโนโลยีที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม ที่คู่กันไปกับการบริหารความเสี่ยง ที่มีผลกระทบต่อการบริหารที่มีประสิทธิภาพ และมีประสิทธิผลในการสร้างคุณค่าเพิ่ม ( Value Creation )ให้กับผู้มีผลประโยชน์ร่วมที่ได้ดุลยภาพ ในการบรรลุวัตถุประสงค์ที่ต้องการคู่กันไปกับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม ซึ่งผมจะได้เล่าในโอกาศต่อ ๆ ไปนะครับ…

วันนี้ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ต่อจากตอนที่ 4 ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้ง สถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความถูกต้องของข้อมูลทางการเงิน และรายงาน รวมทั้งการปฎิบัติตามกฎหมายและกฎเกณฑ์ของผู้กำกับ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการปรับปรุง เปลี่ยนแปลง การกำกับของธนาคารแห่งประเทศไทย

หลายท่าน ที่ได้ติดตามอ่านมาตั้งแต่ต้นและไม่ได้เป็นผู้ตรวจสอบ อาจมีข้อสงสัยว่า ทำไม? ผมจึงเชื่อมโยงการกำกับ การบริหาร การปฎิบัติงาน การตรวจสอบ ในสถาบันการเงินที่ใช้คอมพิวเตอร์ โดยเฉพาะในหัวข้อ “มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ” โดยเน้นค่อนข้างมาก มาในมุมมองของผู้ตรวจสอบ โดยเฉพาะผู้ตรวจสอบด้านคอมพิวเตอร์ นั้น ก็เป็นเพราะ….การกำกับ การบริหาร การปฎิบัติงาน การควบคุมความเสี่ยง การประเมินการบริหารความเสี่ยง+++ กับกระบวนการตรวจสอบ+++ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ และส่วนงานพิเศษ ที่ธปท.ตั้งขึ้นมาใหม่ให้ทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์โดยเฉพาะ และทำหน้าที่ทางด้านการช่วยงานตรวจสอบทั่วไป ที่มีผลกระทบต่อกระับวนการประเมินความเสี่ยงและการคตรวจสอบ ตามกระบวนการปกติ จึงได้ศึกษาปัญหา/อุปสรรคที่เกิดขึ้น เพื่อให้การประเมินฐานะของธนาคารพาณิชย์ สามารถดำเนินการต่ีอไปได้ตามปกติ ซึ่งพิจารณาได้ว่าเป็นวิธีการตรวจสอบด้านคอมพิวเตอร์ หรือ EDP- Electronic Data Processing ในยุคแรก

ดังนั้น ความเข้าใจในผลกระทบของการมี การใช้คอมพิวเ้ตอร์ และความสัมพันธ์ของการบริหารและการตรวจสอบ งานทางด้านคอมพิวเตอร์และงานทางด้านทั่วไป ที่ต้องมีความเข้าใจภาพโดยรวมจึงเริ่มเกิดขึ้น แต่ยังห่างไกลจากคำว่า การบริหารและการตรวจสอบแบบบูรณาการในยุคปัจจุบัน ที่เรียกกันว่า Integrated –GRC และ/หรือ Integrated Single Framework ยุคใหม่

เมื่อกล่าวมาถึงงงงตอนนี้ ผมจึงย้อนหลังนำท่านผู้อ่าน ไปสู่ยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ โดยนำเรื่องที่ผมเขียนไว้เป็นคำนำ ในหนังสือเล่มที่ 2 เรื่องการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการส่วนหนึ่ง ว่าในช่วงเวลาประมาณ 35 ปีมาแล้ว ประเทศไทยมีวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์กันอย่างไร และความเข้าใจในช่วงเวลานั้น แตกต่างกับความเข้าใจในปัจจุบัีนอย่างไร ทั้งนี้ได้ใช้คำอธิบายเดิมเมื่อ 35 ปีก่อนโดยไม่ได้เพิ่มเติมแต่อย่างใด ดังนี้

คำนำ (เล่ม 2)
การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์

1. การจัดทำหนังสือชุดเรื่อง การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ทั้ง 4 เล่ม ครั้งนี้ ผมใคร่ขอเรียนวัตถุประสงค์หลัก ซึ่งเป็นสาระสำคัญของการจัดทำหนังสือชุดนี้คือ

1.1 เพื่อให้การศึกษา ค้นคว้า วิจัย งานด้านคอมพิวเตอร์ โดยไม่มีวัตถุประสงค์ในทางการค้า ทั้งในปัจจุบันและในอนาคตแก่ผู้ตรวจสอบในส่วนกำกับสถาบันการเงิน ที่ทำหน้าที่ตรวจสอบ ดูแล ความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ และจะใช้ภายในวงการที่ธนาคารแห่งประเทศไทยมีส่วนเกี่ยวข้องเป็นสำคัญ โดยพิจารณาเป็นส่วนหนึ่งของการให้การศึกษา อบรม ทำความเข้าใจกับหน่วยงานที่ธนาคารแห่งประเทศไทยเป็นผู้กำกับและดูแล

1.2 หนังสือทั้ง 4 เล่มในชุดนี้ เป็นการแนะนำงานที่ได้ศึกษารวบรวมเรียบเรียง รวมทั้งดัดแปลงจากเอกสารต่างประเทศ และเขียนเพิ่มเติมจากประสบการณ์ภาคสนามรวม ๆ กันไป จากเอกสารเดิมที่เคยใช้ในการบรรยายให้ความรู้ต่อสถาบันการเงินและมหาวิทยาลัยต่าง ๆ ที่ผ่านมา ทั้งนี้ได้อ้างถึงที่มาของหนังสือที่ได้ค้นคว้าตามท้ายหนังสือแล้ว เพื่อให้ผู้ที่ใช้งานในวงจำกัดเหล่านี้ ได้ทราบถึงที่มาในการใช้หนังสือชุดนี้เพื่อการศึกษา โดยมีข้อผิดตกยกเว้น ดังกล่าว

1.3 เพื่อให้การทำงานของส่วนกำกับฯ ได้ผลยิ่งขึ้น จึงได้มีการพูดคุยและให้คำแนะนำการปฏิบัติงาน รวมทั้งการตรวจสอบในที่ประชุมธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ ในภาคอีสานเช่นเดียวกับที่ผมได้เป็นผู้บรรยายให้แก่สถาบันเหล่านี้ในกรุงเทพฯ และที่อื่น ๆ หนังสือชุดดังกล่าว จึงได้ส่งให้สถาบันการเงินที่ธนาคารแห่งประเทศไทย ภาคตะวันออกเฉียงเหนือดูแล โดยมีวัตถุประสงค์เช่นเดียวกันคือให้การศึกษา ค้นคว้า วิจัย โดยถือเสมือนหนึ่งเป็นการป้องกันปัญหา และให้คำชี้นำในการให้การศึกษาเป็นการล่วงหน้าต่อสถาบันการเงินดังกล่าว ตามหน้าที่เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงาน โดยมีเอกสารไว้ใช้ศึกษาดูเมื่อต้องการ ซึ่งจะมีผลต่อความมั่นคงของสถาบันการเงิน ซึ่งเป็นหน้าที่หลักอย่างหนึ่งของธนาคารแห่งประเทศไทยเป็นสำคัญ

1.4 หนังสือในชุดนี้ทั้งหมด จัดทำขึ้นเพื่อใช้ประโยชน์ในการปฏิบัติงานและการดำเนินการของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ โดยมิได้เผยแพร่หรือโฆษณาต่อสาธารณชนเป็นการทั่วไป และมิได้มีการจำหน่ายใด ๆ ทั้งสิ้น และใคร่ขอย้ำว่าเป็นการจัดทำเพื่อประโยชน์ในการศึกษา งานค้นคว้า การปฏิบัติงานและการตรวจสอบด้านคอมพิวเตอร์ทุกรูปแบบ ตามภาระและหน้าที่ส่วนหนึ่งในความรับผิดชอบที่ผมปฏิบัติหน้าที่อยู่ ทั้งในอดีตและปัจจุบัน

ดังนั้น การนำข้อความหรือบทความในหนังสือชุดนี้ เพื่อจะทำซ้ำหรือดัดแปลงเพื่อประโยชน์ทางการค้า จึงเป็นสิ่งที่ไม่พึงปฏิบัติเพราะผิดวัตถุประสงค์ที่สำคัญของการจัดทำหนังสือชุดนี้เป็นอย่างยิ่ง

1.5 การทำความเข้าใจกับท่านผู้อ่าน และผู้ที่อาจเกี่ยวข้องในหัวข้อนี้ ก็เพื่อสร้างความเข้าใจในการจัดทำหนังสือชุดนี้เป็นสำคัญ ทั้งนี้เป็นการป้องกันปัญหาที่อาจจะเกิดจากความเข้าใจที่ไม่ตรงกันในการปฏิบัติหน้าที่ของแต่ละหน่วยงานได้

2. หนังสือเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ เป็นเล่มที่จะเน้นทำความเข้าใจ และให้รายละเอียดกับผู้ที่สนใจในการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก ทั้งนี้ มีแนวทางทำความเข้าใจง่าย ๆ โดยเริ่มต้นศึกษาจากวงจรทางเทคโนโลยีกับการควบคุมและตรวจสอบ และการดำเนินงานด้านคอมพิวเตอร์ ซึ่งมีรายละเอียดปรากฏอยู่ในเล่ม 1 และได้สรุปเพิ่มเติมในเล่ม 2 โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ แผนภาพ และข้อควรทราบสำหรับผู้ตรวจสอบโดยทั่วไปก่อนการเข้าตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

3. การตรวจสอบภาคสนาม (Field Work) สำหรับผู้ตรวจสอบที่ยังไม่เข้าใจระบบงานที่แท้จริงนั้น จะเริ่มจากการศึกษาและทำความเข้าใจระบบงานขององค์กรโดยภาพรวมก่อน นั่นคือการทำความเข้าใจทั้งในระบบงานในส่วนที่ใช้คอมพิวเตอร์ และในส่วนที่ไม่ใช้คอมพิวเตอร์ แล้วจึงทำการประเมินระบบการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนหาทางใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ

4. ตั้งแต่บทที่ 16 ถึงบทที่ 26 เหมาะสำหรับการตรวจสอบภายใน (Internal Audit) และผู้ตรวจสอบภายนอกที่ไม่ได้เป็น Examiner เพราะได้เน้นการตรวจสอบ “งาน” หรือ Application มากกว่า “องค์กร” อย่างไรก็ดี ผู้ตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ (EDP Examiner) จากธนาคารแห่งประเทศไทยก็สามารถนำไปประยุกต์ใช้ร่วมกับวิธีการและแนวทางการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ได้

5. มีองค์กรที่เกี่ยวข้องกับการตรวจสอบ และมีหนังสือที่เกี่ยวข้องกับการตรวจสอบด้านคอมพิวเตอร์มากมาย ตลอดจนนิตยสารและวารสารการตรวจสอบด้านคอมพิวเตอร์ ที่ออกกันมาเป็นรายเดือนหรือรายไตรมาสติดต่อกันมาเป็นเวลาหลายปีในหลายประเทศทั่วโลก เมื่อกล่าวถึงองค์กรอย่างเช่น Information Systems Audit and Control Association ที่มีสมาชิกมากกว่า 93 ประเทศทั่วโลก ทำหน้าที่ศึกษา ค้นคว้า ให้การอบรม จัดสัมมนา จัดการประชุมงานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit) กับสมาชิกและออกวารสาร IS Audit and Control เป็นประจำ มีสำนักงานใหญ่อยู่ที่ประเทศสหรัฐอเมริกา ประเทศไทยเราก็เป็นสมาชิกอยู่ในสมาคมผู้ตรวจสอบงานคอมพิวเตอร์นี้ด้วย นอกจากนั้น ก็มีสถาบันต่าง ๆ หลายแห่งที่มีสมาชิกเป็นจำนวนมาก ทำหน้าที่คล้าย ๆ กันนี้ แต่เน้นหนักทางด้านการค้นคว้าการตรวจสอบด้านคอมพิวเตอร์และผลิตหนังสือต่าง ๆ ออกมามากมาย

ดังนั้น หากองค์กรของท่านเป็นองค์กรหนึ่งที่มีหน้าที่ในการตรวจสอบ ไม่ว่าจะเป็นการตรวจสอบภายในองค์กรของท่านเอง หรือทำหน้าที่ตรวจสอบองค์กรอื่นที่ใช้คอมพิวเตอร์ในการ Process งานและการบริหารงานโดยที่ผู้ตรวจสอบที่ท่านดูแล ยังมิได้ทำการตรวจสอบในลักษณะ IS Audit หรือ Computer Audit เป็นส่วนหนึ่งของกระบวนการตรวจสอบตามปกติแล้วละก็ ควรจะพิจารณาได้ว่า น่าจะต้องเพิ่มการดำเนินการตรวจสอบในลักษณะ IS Audit ได้แล้ว ทั้งนี้ขอท่านได้โปรดทบทวนและศึกษาจากมาตรฐานการสอบบัญชี ฉบับที่ 28 ฉบับที่ 29 และ ฉบับที่ 36 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย เรื่องการสอบบัญชีในกรณีธุรกิจที่ใช้คอมพิวเตอร์ (เล่ม 1) ก็จะเป็นประโยชน์ในการพิจารณาของท่านเป็นอย่างยิ่ง

6. จากข้อ 5 ข้างต้น ผมเองได้ยินเสียงวิจารณ์หรือเสียงบ่นจากการปฏิบัติงานการตรวจสอบของผู้ปฏิบัติงานภาคสนาม หรือผู้ลงมือตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์จริง ๆ จากผู้ค้นเคยมากรายว่า การตรวจสอบระบบการควบคุมภายในและการบัญชี ตลอดจนการศึกษาทำความเข้าใจระบบงานในองค์กรที่ได้รับการตรวจสอบที่ใช้คอมพิวเตอร์ เพื่อวางแผนและกำหนดเทคนิคหรือวิธีการตรวจสอบ หรือเพื่อหาหลักฐานและความพอเพียงในการตรวจสอบตามเป้าหมายการตรวจสอบ โดยใช้วิธีการตรวจสอบตามปกติ หรือ Manual นั้น ได้ถูกจำกัดโดยกระบวนการ Process งานด้านคอมพิวเตอร์ เพราะขั้นตอนการควบคุมภายในและการบัญชีส่วนใหญ่ได้ใช้โปรแกรมคอมพิวเตอร์เป็นผู้ควบคุมและดำเนินงานแล้ว ดังนั้น เมื่อไม่มีการตรวจสอบด้านคอมพิวเตอร์หรือ IT Audit เป็นส่วนหนึ่งของ Financial Audit โดยเฉพาะอย่างยิ่งการตรวจสอบการปฏิบัติตามระเบียบกฎเกณฑ์การควบคุมภายในของหน่วยงาน (Compliance Audit) แล้ว ก็จะทำให้การปฏิบัติงานตรวจสอบนั้นต้องข้ามขั้นตอนหรือละเว้นการตรวจสอบที่จำเป็นไปไม่น้อย ทำให้มีปัญหาถึงประสิทธิภาพและประสิทธิผลการปฏิบัติงานการตรวจสอบอันเกิดจากการละเลย ไม่ตรวจสอบงานด้านคอมพิวเตอร์ รวมทั้งไม่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบตามมาตรฐานที่ควรจะเป็นด้วย

ท่านเคยได้ยินคำวิจารณ์หรือเสียงบ่นทำนองนี้บ้างหรือไม่ และท่านควรจะทำการแก้ไขปัญหาหรืออุปสรรคตามที่กล่าวนี้อย่างไร หากท่านไม่ได้ยินเรื่องทำนองข้างต้น ท่านเคยคิดและพิจารณาบ้างหรือไม่ว่าเป็นไปได้หรือที่การตรวจสอบยังคงใช้แนวทางการตรวจสอบเดิม ๆ สมัยที่องค์กรยังใช้ระบบ Manual เมื่อองค์กรนั้นนำคอมพิวเตอร์เข้ามาใช้แล้ว

เนื่องจาก คำนำ การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ ที่ผมเขียนมานานคือตั้งแต่ปี 2539 มีความยาว 36 ข้อ ดังนั้น ผมจะขอทยอยลงให้ท่านผู้อ่านได้ทราบในตอนต่อ ๆ ไปจนครบ และเมื่อถึงเวลานั้น ท่านจะได้เข้าใจกรอบการบริหาร การดำเนินงาน และการตรวจสอบ ที่ได้ใช้ Risk-Based Auditในยุคแรก ๆนั้นแล้ว

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 4)

มกราคม 27, 2014

ครั้งที่แล้ว ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่กำหนดขึ้นก็เพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงินให้มีความถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่า ผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ ตั้งแต่ความเพียงพอของเงินกองทุน คุณภาพของสินทรัพย์ คุณภาพการบริหารจัดการ ความสามารถในการหารายได้ และสภาพคล่อง ซึ่งในช่วงเวลานั้นเรียกกันย่อ ๆ ว่า CAMEL (C = Capital, A = Asset, M = Management, E = Earnings, L = Liquidity) ที่จะสามารถสนองตอบความเชื่อมั่นของผู้มีผลประโยชน์ร่วมของทุกกลุ่มได้อย่างมั่นใจ

ครั้งนี้ ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้งสถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความไม่ถูกต้องของข้อมูลทางการเงิน และรายงานต่าง ๆ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการกำกับของธนาคารแห่งประเทศไทย

ทั้งนี้ มีรายละเอียดจำนวนมากที่หน่วยงานที่จัดตั้งขึ้นใหม่ เรียกว่า “ส่วนงานพิเศษ” ซึ่งทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์เป็นหลัก ซึ่งได้ทำเอกสารเผยแพร่และอธิบายไปยังธนาคารพาณิชย์ทุกแห่ง หากมีโอกาส ผมอาจจะนำมาเล่าสู่กันฟังย่อ ๆ นะครับ

สำหรับวันนี้ ผมจะเล่าเฉพาะส่วนที่เป็นระบบงานโดยทั่วไปขององค์กรที่ใช้คอมพิวเตอร์ก็คือ ส่วนงานในช่วงนั้นที่เรียกว่า EDP – Electronic Data Processing ซึ่งผมจะขออธิบายเป็นแผนภาพเพื่อที่ไม่ต้องอธิบายเป็นคำพูดที่ยืดยาวจนเกินไป ดังนี้

ตามภาพข้างต้นจะช่วยให้ผู้บริหารและผู้ปฏิบัติงาน ได้เห็นภาพและเข้าใจผลกระทบต่อการบริหารและการจัดการองค์กรทางด้าน EDP ในยุคแรก ๆ จากนี้ผมมีกรณีศึกษาเป็นตัวอย่างที่จะทำให้ท่านผู้ที่สนใจได้ทราบว่า เมื่อรูปแบบของหลักฐานในการกำกับและตรวจสอบธนาคารพาณิชย์และสถาบันการเงินได้เปลี่ยนแปลงไปอันเนื่องมาจากการใช้ EDP หรือ IT ในยุคปัจจุบัน มีผลกระทบต่อกระบวนการกำกับและกระบวนการตรวจสอบ เท่าที่พอเข้าใจได้ง่าย ๆ อย่างไรบ้างนั้น ผมจึงขอกล่าวถึงการใช้คอมพิวเตอร์ในงานประเภทเดียวกัน เช่น ระบบการจ่ายเงินเดือน แต่ระบบงานหรือกระบวนการจ่ายเงินเดือนต่างกันนั้น จะเกี่ยวข้องกับรูปแบบของหลักฐานที่เปลี่ยนแปลงไปแตกต่างกัน… จะมีผลต่อกระบวนการกำกับและตรวจสอบอย่างไร… ดังนี้

ตัวอย่าง 1 องค์กร A ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเดือน พนักงานแต่ละคนจะกรอกรายละเอียดชั่วโมงในใบลงเวลา แล้วให้ผู้ควบคุม (Supervisor) ลงลายมือชื่ออนุมัติ หลังจากนั้นจะรวบรวมข้อมูลไปป้อนลง disk โดยใช้เครื่อง key-to-disk machine ซึ่งจะมีสำเนาข้อมูลส่งกลับมาให้ผู้ควบคุมตรวจสอบความถูกต้องอีกครั้งหนึ่ง และเมื่อเริ่มต้นงวดรอบระยะเวลาการจ่ายเงินเดือนแต่ละครั้ง จะมีการปรับปรุงข้อมูลที่มีการเปลี่ยนแปลง เช่น อัตราค่าจ้างและรายการหักค่าลดหย่อนต่าง ๆ และมีการพิมพ์รายงานแสดงรายละเอียดการจ่ายค่าจ้างของพนักงานแต่ละคนส่งให้แผนกงานต่าง ๆ เพื่อใช้เป็นข้อมูลในการจัดเตรียมการจ่ายค่าจ้าง และในขั้นสุดท้ายก็จะมีการจัดพิมพ์เช็คและส่งให้ผู้ควบคุมแต่ละคนเพื่อจ่ายให้แก่พนักงาน และจะมีการกระทบยอดเช็คสลักหลังโดยฝ่ายบุคคลที่อยู่แยกต่างหากจากแผนกที่ทำหน้าที่เกี่ยวกับการจ่ายเงินเดือน

จากระบบงานในลักษณะที่กล่าวมาขององค์กรนี้ รูปแบบของหลักฐานจะไม่ถูกกระทบกระเทือนหรือเปลี่ยนไปมากนัก ยังคงสามารถใช้วิธีการตรวจสอบเช่นที่ทำในระบบเดิมได้ แต่ถ้าผู้ตรวจสอบจะต้องการปรับปรุงประสิทธิภาพและความประหยัดในการตรวจสอบ โดยนำเอาเทคโนโลยีทางด้านคอมพิวเตอร์/เทคโนโลยีสารสนเทศ เข้ามาช่วยในการตรวจสอบได้ เช่น การใช้ Audit Software หรือ Test Data Method – TDM เป็นต้น

ตัวอย่างที่ 2 องค์กร B ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเงินเดือนเช่นเดียวกับองค์กร A แต่ระบบเทคโนโลยีที่ใช้แตกต่างกัน โดยระบบจะรวบรวมและบันทึกข้อมูลผ่านเครื่องเทอร์มินอล โดยพนักงานแต่ละคนจะใช้บัตรที่มีแถบแม่เหล็กบันทึกรายการรูดผ่านเครื่องเทอร์มินอลเพื่อบันทึกเวลาที่เข้าทำงานประจำวันและเวลาเลิกงาน เครื่องก็จะบันทึกข้อมูลชั่วโมงการทำงานของพนักงานคนนั้น ๆ ไว้ เมื่อมีการเปลี่ยนแปลงข้อมูลหลัก เช่น อัตราค่าจ้าง ฝ่ายบุคคลก็จะป้อนรายการเปลี่ยนแปลง พร้อมวันที่มีผลบังคับใช้ผ่านทางเครื่องเทอร์มินอลเพื่อปรับปรุงข้อมูลใน database โดยตรง ข้อมูลเกี่ยวกับค่าจ้างที่ต้องจ่ายที่ได้จากการประมวลผล จะถูกส่งไปยังธนาคารเพื่อโอนเงินเข้าบัญชีให้พนักงานในลัษณะที่เป็นการโอนเงินทางอิเล็กทรอนิกส์ และจะส่ง statement แสดงรายละเอียดการโอนเงินเข้าบัญชีให้แก่พนักงานถึงบ้าน

ในระบบการประมวลงานเทคโนโลยีสารสนเทศ จะเห็นว่ารูปแบบของหลักฐานได้เปลี่ยนแปลงไปอย่างมาก จึงจำเป็นต้องอาศัยวิธีการตรวจสอบแบบใหม่ ซึ่งต่างจากการนำระบบคอมพิวเตอร์/เทคโนโลยีสารสนเทศเข้ามาใช้ในกรณี A ซึ่งไม่ได้ทำให้รูปแบบของหลักฐานเปลี่ยนแปลงไป จึงสามารถใช้วิธีการตรวจสอบแบบเดิมได้ ดังนั้น อาจกล่าวได้ว่า ตัวคอมพิวเตอร์หรือระบบเทคโนโลยีเองนั้นไม่ได้มีผลต่อผู้ตรวจสอบหรือผู้กำกับโดยตรง แต่ผลกระทบจากระบบงานคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบต่างหากที่มีความสำคัญ และทำให้ผู้ตรวจสอบต้องกำหนดวิธีการตรวจสอบให้เหมาะสมและสอดคล้องกับรูปแบบของหลักฐานที่ได้เปลี่ยนแปลงไป

อย่างไรก็ดี ก่อนที่จะมีการตรวจสอบระบบคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศนั้น ผู้ตรวจสอบควรทราบถึงลักษณะของเทคโนโลยีที่องค์กรนั้นใช้เสียก่อน โดยอาจจะใช้ Audit Impact Matrix เพื่อระบุถึงผลกระทบที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบ หากเทคโนโลยีนั้นมีผลให้รูปแบบของหลักฐานเปลี่ยนแปลงไป ผู้ตรวจสอบก็ต้องพิจารณาว่าจะมีผลให้ต้องนำวิธีการตรวจสอบแบบใหม่มาใช้หรือไม่ ในกรณีที่รูปแบบของหลักฐานได้เปลี่ยนแปลงไปโดยสิ้นเชิง ผู้ตรวจสอบอาจจำเป็นต้องมีทักษะหรือความเชี่ยวชาญในการตรวจสอบระบบเทคโนโลยีสารสนเทศโดยเฉพาะ จึงจะสามารถตรวจสอบได้อย่างเหมาะสม

จากที่ได้กล่าวข้างต้น ท่านที่ติดตามมาถึงขั้นตอนนี้จะสังเกตได้ว่า การกำหนดนโยบาย การกำกับ/ดูแลความมั่นคงของธนาคารพาณิชย์และสถาบันการเงิน ไม่ว่าจะในรูปแบบของ CAMEL เดิมตามที่กล่าวข้างต้น หรือในยุคการประเมินความเพียงพอของเงินกองทุน ตามหลักการ หลักเกณฑ์ Basel II – III ที่อิงกับการประเมินการบริหารความเสี่ยงของธนาคารพาณิชย์และสถาบันการเงิน รวมทั้งหน่วยงานประกันภัย ประกันชีวิตต่าง ๆ ที่มีผลกระทบกับการสร้างคุณค่าเพิ่ม ความมั่นคงของธนาคารพาณิชย์และสถาบันการเงินที่เกี่ยวข้องกับการสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วมยุคใหม่ที่ได้ดุลยภาพ โดยพิจารณาจากผลประโยชน์ที่ได้รับตามหลักการ Enterprise Goals / BSc. ที่สัมพันธ์กับกระบวนการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม +++ นั้น ผู้กำกับฯ คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงานหน่วยงานต่าง ๆ ควรจะคำนึงถึงความเสี่ยงที่ยอมรับได้จากผลกระทบจากการใช้ระบบเทคโนโลยีสารสนเทศที่มีความก้าวหน้าอย่างรวดเร็วในปัจจุบันว่าควรจะกำหนด วิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ ผลลัพธ์ที่คาดหมาย จากการดำเนินการขององค์กรและธุรกิจที่ตนเองดูแลอยู่

บทบาทหน้าที่และความรับผิดชอบได้เปลี่ยนแปลงไปอย่างมากมาย ทั้งในระดับคณะกรรมการ ที่ควรจะให้ความสำคัญต่อการกำกับดูแล สั่งการ ติดตาม ผลการดำเนินงานอย่างต่อเนื่อง นั่นคือการเน้นทางด้าน Governance หรือการสร้าง Value Creation ให้เป็นที่พึงพอใจของ Stakesholders และต้องสร้างดุลยภาพของความสัมพันธ์ระหว่าง Enterprise Goals กับ IT Related Goals อย่างลงตัว ให้ทันกับการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบ และการปฏิบัติตามกฎเกณฑ์อย่างได้มาตรฐานและเหมาะสมอยู่เสมอ ++++

การบริหารแบบบูรณาการในลักษณะของ Integrated GRC และการก้าวไปสู่ Integrated Management ระหว่าง IT Related Goals และ Enterprise Goals จะนำไปสู่การเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ การบริหารและการจัดการที่ต้องเปลี่ยนแปลงความคิดใหม่ให้เข้าใจการบริหารแบบบูรณาการอย่างแท้จริง จากการเชื่อมโยงที่ลึกซึ้งและแยกกันไม่ได้ระหว่าง IT และ Business ซึ่งผมจะค่อย ๆ เล่าสู่กันฟังในตอนต่อ ๆ ไป นะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: ตัวอย่างการตรวจสอบด้าน IT, ระบบการบริหารกับไอที, ระบบงานคอมพิวเตอร์ในองค์กร, ไอทีกับการตรวจสอบ, EDP to Information Technology, EDP to IT, Integrated Control and Audit, Integrated Management, Integrated Risk Management, IT Management สู่ IT Governance, IT Related Goals and Enterprise Goals, Stakeholders and Value Creation | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 3)

ธันวาคม 27, 2013

เมื่อครั้งที่แล้ว (ตอนที่ 2) ผมได้เล่าเรื่อง วิวัฒนาการของ IT Management สู่ -> COBIT4.1 -> GEIT/COBIT5 และ/หรือ GRC ในลักษณะค่อนข้างก้าวกระโดดไปนะครับ เพราะความตั้งใจของผมในการเล่าสู่กันฟังนี้คือ ให้ผู้อ่านได้ทราบถึงวิวัฒนาการของการนำเทคโนโลยีสารสนเทศมาใช้ในประเทศไทย และแนวทางการกำกับของหน่วยงานกำกับภาครัฐที่เกี่ยวข้องกับ การกำกับและตรวจสอบสถาบันการเงิน ซึ่งนำ IT มาใช้อย่างแพร่หลาย ในช่วงก่อนปี 2513 และธนาคารแห่งประเทศไทย ซึ่งมีหน้าที่กำกับและตรวจสอบความมั่นคงของสถาบันการเงิน เพื่อดูแลผู้มีผลประโยชน์ร่วม ซึ่งหมายถึงผู้ฝากเงิน เจ้าหนี้ คู่ค้า และผู้ที่เกี่ยวข้อง ทั้งภายในและภายนอกสถาบันการเงิน เพื่อพิจารณาว่า ผลกระทบของเทคโนโลยีนั้น มีผลต่อความเสี่ยงทางด้านความน่าเชื่อถือได้ของข้อมูลทางการเงิน การปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ของธนาคารแห่งประเทศไทย และมาตรฐานอื่น ๆ ที่เกี่ยวข้องมากเพียงใด

ผมขอเรียนตามตรงว่า ในระยะแรกที่ ธนาคารกรุงเทพ ซึ่งเป็นธนาคารพาณิชย์แห่งแรกของประเทศไทยที่นำระบบคอมพิวเตอร์เข้ามาใช้ในการประมวลงาน และการบริหารจัดการ ทางด้านการบัญชีและการเงินอย่างแพร่หลายนั้น ผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งทำหน้าที่ตรวจสอบ กำกับ และติดตาม และดูแลความมั่นคงของสถาบันการเงิน และการปฏิบัติตามกฎเกณฑ์ของธนาคารแห่งประเทศไทย +++ นั้น ผู้ตรวจสอบไม่อาจปฏิบัติงานตรวจสอบตามปกติ และต้องกลับมารายงานให้กับ คุณอดุลย์ กิสรวงศ์ ซึ่งเป็นผู้อำนวยการฝ่ายในขณะนั้นว่า รูปแบบหลักฐานต่าง ๆ ของธนาคารกรุงเทพ ซึ่งได้ใช้คอมพิวเตอร์ไปแล้วนั้น เปลี่ยนแปลงไปอย่างมาก ผู้ตรวจสอบไม่สามารถใช้ทรัพยากรที่มีอยู่ในขณะนั้น ทำการปฏิบัติงานตรวจสอบตามปกติได้ ซึ่งในเวลาต่อมา ผู้อำนวยการฝ่ายตรวจสอบในขณะนั้น จึงขออาสาสมัครจากผู้ตรวจสอบว่า มีผู้ใดสนใจจะศึกษาปัญหาการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์เช่นเดียวกับธนาคารกรุงเทพบ้าง เพราะการตรวจสอบทางด้าน IT ในยุคนั้นยังหาหน่วยงาน โดยเฉพาะหน่วยงานกำกับมาทำการตรวจสอบงานทางด้าน IT นั้นยังหาได้ยากมาก

ผมเป็นผู้หนึ่งใน 2 คนที่อาสาไปศึกษาและหาแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ ซึ่งผมจะนำรายละเอียดมาเล่าโดยสังเขป เมื่อมีโอกาสในตอนต่อ ๆ ไป สำหรับวิวัฒนาการของ IT Management และการตรวจสอบ รวมทั้งแนวทางกำกับหน่วยงานที่ใช้คอมพิวเตอร์ ในตอนที่ 3 นี้ ผมจะขอนำเสนอวิวัฒนาการความเป็นมา รวมทั้งการมีการใช้คอมพิวเตอร์ในวงการธนาคารพาณิชย์ควบคู่กับแนวทางการพัฒนาการกำกับและตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ ซึ่งเริ่มต้นตั้งแต่ ปี พ.ศ. 2513 เป็นต้นไป โดยสรุป ถึงปี พ.ศ. 2536 ก่อนที่ผมจะย้ายไปปฏิบัติงานจากรองผู้อำนวยการฝ่าย/ส่วนงานพิเศษ ที่ทำหน้าที่ดูแลและตรวจสอบธนาคารพาณิชย์และสถาบันการเงินด้านคอมพิวเตอร์ ไปเป็นผู้อำนวยการอาวุโส สาขาภาคตะวันออกเฉียงเหนือ ที่ขอนแก่น และในระหว่างที่ผมอยู่ที่ขอนแก่น ซึ่งต้องดูแลสถาบันการเงินและการดำเนินงานของธนาคารพาณิชย์ใน 19 จังหวัดของภาคตะวันออกเฉียงเหนือนั้น ผมได้เขีนนหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา 4 เล่ม ด้วยกันคือ

เล่มที่ 1 การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

เล่มที่ 2 การตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

เล่มที่ 3 คอมพิวเตอร์กับการทุจริต

เล่มที่ 4 แผนการปฏิบัติงานแบบฉุกเฉินและการดำเนินธุรกิจอย่างต่อเนื่อง และแบบฝึกหัดการตรวจสอบด้านคอมพิวเตอร์

หนังสือทั้ง 4 เล่ม ผมได้ขออนุญาตทางธนาคารแห่งประเทศไทย สำนักงานใหญ่ อนุญาตการจัดพิมพ์และเผยแพร่ให้กับธนาคารพาณิชย์และสถาบันการเงินทุกแห่งในภาคตะวันออกเฉียงเหนือ โดยไม่มีการจำหน่ายแต่อย่างใด ในปัจจุบันหนังสือทั้ง 4 เล่มได้แจกจ่ายไปหมดแล้ว คงจะหาอ่านได้ห้องสมุดธนาคารแห่งประเทศไทยทุกแห่ง ตลาดหลักทรัพย์แห่งประเทศไทย และแน่นอนว่าที่ธนาคารพาณิชย์และสถาบันการเงินภาคตะวันออกเฉียงเหนือทั้ง 19 จังหวัด (ถ้ายังมีอยู่ เพราะผมได้แจกจ่ายไป เมื่อ มีนาคม 2539 ซึ่งมีความหนาทั้ง 4 เล่ม ประมาณ 1,300 หน้า)

เอาละครับ ผมคงไม่สามารถที่จะนำเรื่องที่ผมเขียนไว้ทั้ง 4 เล่มมาลงในเว็บไซต์นี้ได้ทั้งหมด แต่มี ศาสตราจารย์ ดร. ยุพา กาญจนดุลย์ จากมหาวิทยาลัยธรรมศาสตร์ได้ขออนุญาตผม ขอนำหนังสือเล่มที่ 2 ไปเผยแพร่ที่ ห้องสมุด BKK Online ใน www.bkkonline.com

สำหรับวันนี้ ลองดูประวัติศาสตร์และวิวัฒนาการของการใช้คอมพิวเตอร์และการกำกับและตรวจสอบด้านคอมพิวเตอร์ของธนาคารแห่งประเทศไทย ซึ่งอธิบายด้วยแผนภาพโดยย่อ เพื่อให้เข้าถึงแก่นสาระตามหัวข้อนี้ได้อย่างรวดเร็วครับ

ก่อนที่จะเริ่มเล่าเรื่องมาตรการการกำกับและตรวจสอบของธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์นั้น เพื่อให้ได้อรรถรสและติดตามเรื่องราวได้ใกล้ชิดยิ่งขึ้น ผมจึงจะขอพูดถึงคำนำ ในหนังสือเล่มที่ 1 ของผม เพื่อให้ท่านผู้อ่านได้ทราบและเข้าใจในสาระของวิวัฒนาการการบริหารและการกำกับ รวมทั้งการตรวจสอบทางด้านเทคโนโลยีสารสนเทศในยุคแรก คือตั้งแต่ ปี พ.ศ. 2513 ดังนี้ครับ

1. การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มนี้และเล่มต่อ ๆ ไป เป็นการรวบรวมจากเอกสารประกอบการ การบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไปของผมในช่วงเวลาตั้งแต่ปี พ.ศ. 2524 – 2536 ให้แก่สถาบันหลายแห่ง เช่น การบรรยายให้นักศึกษาปริญญาโท มหาวิทยาลัยธรรมศาสตร์ AIT (Asian Institue of Technology) กลุ่มธนาคารกลางต่าง ๆ ในประเทศเอเชีย (SEACEN-South East Asian Central Banks) มหาวิทยาลัย ธนาคารพาณิชย์ สถาบันการเงินหลายแห่ง ธนาคารออมสิน สมาคมนักบัญชี และผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย สมาคมธนาคารไทย ชมรมผู้สอบบัญชีภายใน หน่วยงานของรัฐ สมาคมตรวจสอบคอมพิวเตอร์ภาคพื้นกรุงเทพฯ (EDPAA) และสถาบันการฝึกอบรมต่าง ๆ โดยเฉพาะอย่างยิ่งงานบรรยายประจำในช่วงดังกล่าวก็คือ การบรรยายให้ผู้ตรวจสอบของฝ่ายกำกับและตรวจสอบสถาบันการเงิน และฝ่ายกำกับและตรวจสอบธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยในช่วงนั้น

การที่ผมนำเอกสารบรรยายในอดีตหลายครั้งมาจัดทำเป็นรูปเล่มใหม่นี้ การเรียบเรียงและลำดับเรื่องอาจมีข้อมูลบางตอนที่คล้ายกันบ้าง และบางตอนก็อาจนำเรื่องที่เคยกล่าวแล้วไปไว้ในเรื่องที่เกี่ยวข้องอีก เพื่อทำความเข้าใจให้ต่อเนื่องกันไป ทั้งนี้ เพราะผมมีแนวการบรรยายและการดำเนินเรื่องที่แตกต่างกันไปในแต่ละครั้ง ซึ่งขึ้นกับความเหมาะสมของผู้ฟังแต่ละองค์กรเป็นหลัก

2. จากหน้าที่หลักที่ผมทำหน้าที่ผู้ตรวจการธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ มานานปี และได้รับมอบหมายจากธนาคารแห่งประเทศไทย ให้ดูแลและรับผิดชอบทางด้านการพัฒนาและการตรวจสอบด้านคอมพิวเตอร์ของสถาบันการเงินในปี 2524 หลังจากที่กลับจากการศึกษา อบรมดูงาน และฝึกงานด้านนี้ครั้งแรกประมาณ 5 เดือน ที่ประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น และต่อมามีโอกาสไปดูงานที่ประเทศอังกฤษทางด้าน Electronic Banking หลังจากนั้นผมและเพื่อนร่วมงานได้ศึกษางานตรวจสอบด้านคอมพิวเตอร์เพิ่มเติมอีกมาก เพื่อกำหนดและวางแนวทางการตรวจสอบงานด้านคอมพิวเตอร์ต่อสถาบันการเงินในประเทศไทย

3. จากการที่ผมทำงานทางด้านกำกับและตรวจสอบธนาคารพาณิชย์ รวมทั้งได้ทำงานทางด้านกำกับและตรวจสอบสถาบันการเงินในช่วงเวลาอันยาวนาน ตลอดเวลาที่ทำงานที่ธนาคารแห่งประเทศไทย เป็นเวลาเกือบ 30 ปี ติดต่อกัน ทำให้พอจะมองเห็นภาพและปัญหาการดำเนินงานของธนาคารพาณิชย์และสถาบันการเงินทั้งทางด้าน Financial และด้าน Computer ได้พอสมควร จึงได้รับเชิญให้เป็นผู้บรรยายงานทั้ง 2 ด้าน โดยเฉพาะในช่วงหลังที่ธนาคารให้ผมมารับผิดชอบงานด้านการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ด้วย ผมจึงมีโอกาสได้บรรยายในรูปแบบความสัมพันธ์และความเกี่ยวข้องซึ่งกันและกันของงานทางด้าน Financial และ Computer ซึ่งอย่างหลังนี้มักจะเรียกกันในปัจจุบันว่า IT (Information Technologies) หรือ IS (Information Systems) เพราะมีความหมายกว้างขวางและเหมาะสมกว่า Computer หรือ EDP (Electronic Data Processing) มาก ดั้งนั้น ถ้าพบคำว่า IT Audit หรือ IS Audit แล้วละก็ คำ ๆ นี้ก้คือ Computer หรือ EDP Audit นั่นเอง

4. ความหมาของ Computer Audit ในสายงานของผู้กำกับและผู้ดูแลสถาบันการเงินในความหมายกว้างก็คือ การตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ที่มีผลกระทบต่อความมั่นคงและความสามารถในการดำเนินงานอย่างต่อเนื่อง โดยมีประสิทธิภาพในองค์กรที่ใช้คอมพิวเตอร์ และในความหมายแคบก็คือ การตรวจสอบเพื่อประเมินการควบคุมความเสี่ยงต่าง ๆ จากการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ที่มีผลเกี่ยวข้องกับความถูกต้อง ความน่าเชื่อถือได้ของข้อมูลทางการเงินและการควบคุมภายใน เพื่อให้คำแนะนำในแนวทางป้องกันปัญหาล่วงหน้าก่อนที่ปัญหาจริงจะเกิดขึ้น อย่างไรก็ดี ขอบเขตของการตรวจสอบด้านคอมพิวเตอร์จะขึ้นอยู่กับเป้าหมายของการตรวจสอบเป็นสำคัญ

5. ความเสี่ยง (Risks) ทางด้านคอมพิวเตอร์เป็นความเสี่ยงในรูปแบบใหม่เพิ่มเติมจากความเสี่ยงในการดำเนินงานตามปกติ ที่อาจมีผลเสียหายต่อฐานะและความมั่นคงของสถาบันการเงินที่สำคัญคือ

1) การหยุดชะงักการให้บริการ ซึ่งเกิดจาก Hardware Failure, Software Failure หรือปัญหาทางบุคลากรที่ใช้คอมพิวเตอร์อย่างไม่ถูกต้อง ซึ่งเรื่องนี้สถาบันการเงินอาจต้องหยุดการให้บริการ ทั้ง ๆ ที่ไม่มีปัญหาด้านสภาพคล่องได้

2) ความผิดพลาดของข้อมูลทางการเงิน

3) การตัดสินใจที่ผิดพลาดของผู้บริหาร อันเกิดจากความผิดพลาดของข้อมูล

4) ข้อมูลทางการเงินและการบัญชีไม่อาจยอมรับได้

5) การทุจริตหรือความเสียหาย ซึ่งบางกรณีเป็นเงินจำนวนมาก

6) ค่าใช้จ่ายส่วนเกินที่เกิดจากการใช้คอมพิวเตอร์อย่างไม่มีประสิทธิภาพ หรือเกิดจากความล้มเหลวของ Hardware หรือ Software หรือบุคลากร ซึ่งบางกรณีกระทบกับความมั่นคงโดยตรงของสถาบันการเงิน

7) เสียเปรียบทางด้านการแข่งขันและการบริการ ซึ่งมีผลต่อชื่อเสียงของสถาบันและส่วนแบ่งด้านการตลาด

ความเสี่ยงในแต่ละเรื่องข้างต้น เคยมีตัวอย่างที่ก่อให้เกิดความเสียหายในต่างประเทศและในประเทศเองทุกกรณี และบางกรณีเป็นเรื่องร้ายแรงมาก กรณีของในประเทศมักจะเป็นความลับ ไม่ได้รับการเปิดเผยทั่วไป ส่วนใหญ่ความเสี่ยงและความเสียหายบางประเภท เช่น การหยุดชะงักการให้บริการเป็นเวลาเกินกว่า 1 วันทำการ เป็นสิ่งที่ทางการจะยอมให้เกิดขึ้นไม่ได้ การตรวจสอบในลักษณะ After the fact สำหรับ Computer Audit จึงไม่ได้ผล การตรวจสอบที่มีประสิทธิภาพ คือการตรวจสอบในลักษณะ Before the fact และให้คำแนะนำที่มีประสิทธิภาพล่วงหน้าก่อนที่ปัญหาจริง ๆ จะเกิดขึ้นนั่นเอง

การดูแลความมั่นคงของสถาบันการเงินของธนาคารแห่งประเทศไทย จึงต้องดูแลในทุกเรื่องที่เกี่ยวข้องกับเสถียรภาพและประสิทธิภาพในการบริหารงาน เพื่อให้สถาบันการเงินนั้นสามารถดำเนินการได้อย่างต่อเนื่องและมั่นคงตลอดไป

6. จากการบรรยาย เรื่องการตรวจสอบงานด้านคอมพิวเตอร์ ให้ผู้บริหารระดับสูงของธนาคารออมสิน สำนักงานใหญ่ และหน่วยงานต่าง ๆ ของรัฐ ในช่วงท้าย ๆ ก่อนที่ผมจะเดินทางมารับงานในตำแหน่งผู้อำนวยการสาขา ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือจังหวัดขอนแก่น ในปลายปี 2536 ซึ่งผมได้รวบรวมเอกสารเท่าที่รวบรวมได้ในเวลาจำกัดจากการบรรยายที่ผ่านมาให้ผู้เข้ารับฟังการบรรยายนั้น ธนาคารออมสิน สำนักงานใหญ่ได้รวบรวมและเย็บเข้าเล่มจนเป็นที่สนใจของผู้พบเห็นในโอกาสต่อมา และมีการขอร้องให้รวบรวมจัดทำเป็นเล่มขึ้นใหม่ เพื่อเป็นวิทยาทานต่อไปด้วย

7. เมื่อผมได้ทำหน้าที่ผู้อำนวยการธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่จังหวัดขอนแก่น เมื่อวันที่ 1 ตุลาคม 2536 เป็นต้นมา ผมก็ยังคงมีหน้าที่หลักประการหนึ่งที่สาขาภาคฯ เช่นเดียวกับที่กรุงเทพฯ นั่นคือการกำกับดูแลฐานะดำเนินงานและความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้ง 19 จังหวัดอยู่ด้วย ประกอบกับผมมีความเชื่อมั่นว่า การกำกับสถาบันการเงินที่ได้ผลจะต้องมาจากการป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินเหล่านั้น วิธีการหนึ่งที่จะบรรลุเป้าหมายนี้ก็คือ การให้ผู้บริหารสถาบันการเงินต่าง ๆ มีจรรยาบรรณที่ดี มีความรู้ ความสามารถ รู้จักวิเคราะห์และเข้าใจถึงความเสี่ยงและการป้องกันความเสี่ยงในการบริหารงานของสถาบันการเงินนั้น ๆ ผมจึงได้เผยแพร่แจกจ่ายหนังสือเล่มแรก เรื่อง “การจัดระบบควบคุมภายในของสถาบันการเงิน” ให้กับธนาคารพาณิชย์ และสถาบันการเงินทั่วทั้งภาคอีสาน เมื่อปี 2537 – 2538 และหนังสือเล่มนี้ได้ใช้ในการบรรยายเรื่องดังกล่าวในโอกาสต่าง ๆ ด้วย

8. จากการพบปะกับผู้บริหารสถาบันการเงินต่าง ๆ ในภาคอีสานผมได้ปรารภและได้พูดถึงบทบาทของคอมพิวเตอร์ในวงการสถาบันการเงินหลายครั้ง เนื่องจากปรากฎว่า มีสาขาธนาคารพาณิชย์บางแห่ง ในภาคตะวันออกเฉียงเหนือประสบความเสียหายจากการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือด้วย จึงมีผู้สนใจใคร่จะติดตามเรื่องดังกล่าวมากขึ้น ประกอบกับธนาคารพาณิชย์หลายแห่งได้ให้พนักงานศึกษาเรื่องนี้มากขึ้นเรื่อย ๆ ผมจึงเห็นเป็นโอกาสดีที่จะเผยแพร่หนังสือ เรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเป็นการรวบรวมเรื่องที่น่าสนใจด้านคอมพิวเตอร์ในแง่มุมหลายประการจากเอกสารต่าง ๆ ที่ผมเคยแจกจ่ายให้กับผู้เข้าฟังการสัมมนาและการบรรยายของผมในอดีตที่ผ่านมา ในช่วงปี 2524 – 2536 โดยรวบรวมเรื่องใหม่ จัดเรื่องและเนื้อหาในบางส่วนเพิ่มเติมจากที่มีการรวบรวมไว้แล้วใหม่ โดยเฉพาะอย่างยิ่ง เรื่อง การดำเนินงานด้านคอมพิวเตอร์ ซึ่งได้จัดพิมพ์ใหม่และอาจจะใช้เป็นแนวทางในการปฏิบัติงานด้านคอมพิวเตอร์ในสถาบันการเงินและองค์กรต่าง ๆ ได้ตามสมควร นอกจากนั้นผมยังได้ค้นหาเอกสารที่ได้จัดทำไว้จำนวนมากที่ยังกระจัดกระจายตามหีบห่อเก็บสัมภาระของผมก่อนย้ายมาประจำที่จังหวัดขอนแก่น ก็ปรากฏว่ามีเรื่องที่น่าสนใจที่ไม่เคยเผยแพร่หลายเรื่องด้วยกัน หากผมต้องรวบรวมจัดพิมพ์ในครั้งเดียวกัน ก็จะต้องใช้เวลานานมากขึ้น และเอกสารก็จะหนามากเกินไป ผมจึงแยกจัดทำเป็น เล่ม 1 เล่ม 2 และอาจมีถึง เล่ม 3

9. สำหรับเล่ม 1 จะเป็นการบรรยายเน้นหนักในเรื่องที่เกี่ยวข้องกับการดำเนินงานด้านคอมพิวเตอร์ และข้อคิดเห็น รวมทั้งข้อสังเกตในการบริหารงาน รวมทั้งหลักการตรวจสอบในบางเรื่อง เล่ม 2 จะเป็นรายละเอียดและเน้นด้านการควบคุมภายในและการตรวจสอบด้านคอมพิวเตอร์ รวมทั้งการจัดทำแผนฉุกเฉินเป็นหลัก สำหรับเล่ม 3 จะแสดงตัวอย่างของจุดอ่อนทางคอมพิวเตอร์ต่าง ๆ ที่พบในประเทศไทยและต่างประเทศ โดยเฉพาะอย่างยิ่งการกล่าวถึงการทุจริตโดยใช้คอมพิวเตอร์เป็นเครื่องมือและแนวทางการตรวจสอบการทุจริตทางด้านคอมพิวเตอร์ที่น่าสนใจ โดยผมได้ดัดแปลง เรียบเรียงเพิ่มเติมจากหลักการตรวจสอบงานด้านคอมพิวเตอร์ตามปกติ ให้ไปสู่แนวทางการตรวจสอบการทุจริตด้านคอมพิวเตอร์หรือโดยใช้คอมพิวเตอร์ รวมทั้งตัวอย่างการตรวจสอบการทุจริตด้านคอมพิวเตอร์ และความร่วมมือระหว่างผู้ตรวจสอบด้านการเงินกับผู้ตรวจสอบคอมพิวเตอร์ เมื่อมีการทุจริตเกิดขึ้น

10. เอกสารประกอบการบรรยายของผมในหนังสือเล่มนี้ รวมทั้งอีก 2 เล่มที่จะพิมพ์ขึ้นนั้น มีหลายบทที่ใช้คำว่าธนาคารมากกว่าคำว่าสถาบันการเงิน ทั้งนี้เพราะผมได้บรรยายให้กับบุคคลในวงการธนาคารพาณิชย์และธนาคารอื่น ๆ มากกว่าสถาบันการเงินโดยทั่วไป อย่างไรก็ดี ความหมายคำว่าธนาคารนี้ก็ใช้ได้กับสถาบันการเงินโดยทั่วไป และอาจประยุกต์ใช้กับองค์กรอื่น ๆ ที่ใช้คอมพิวเตอร์ในการประมวลข้อมูลได้ด้วย อย่างไรก็ดี ผมได้แก้ไขถ้อยคำส่วนใหญ่ที่ใช้คำว่า ธนาคารเป็นสถาบันการเงินแล้ว แต่ผมไม่ได้แก้ไขรายการตัวอย่างที่ระบุวันที่ไว้ ทั้งนี้ เพื่อที่จะให้ท่านผู้อ่านได้ทราบว่าเป็นการบรรยายในอดีตที่ผ่านมา

11. เนื่องจากผมไม่มีเวลาแก้ไขเพิ่มเติมข้อมูลจากการบรรยายเรื่องต่าง ๆ ของเอกสารเล่มนี้ ซึ่งส่วนใหญ่เป็นการบรรยายในอดีตตามที่กล่าวถึงข้างต้นแล้ว จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อความมากกว่าร้อยละ 95 ยังคงใช้ได้ดีอยู่จนถึงปัจจุบัน

12. เอกสารเล่มนี้และเล่มต่อ ๆ ไป ได้จัดทำขึ้นโดยมีวัตถุประสงค์เพื่อแจกจ่ายและเผยแพร่ให้กับพนักงาน ในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทยและสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ เพื่อเป็นส่วนหนึ่งของการทำความเข้าใจในการบริหารงานและการดำเนินงานด้านคอมพิวเตอร์ รวมทั้งเรื่องการตรวจสอบ ซึ่งนับวันจะมีบทบาทมากขึ้นในแทบจะทุกธุรกรรมของทุกองค์กร โดยเฉพาะอย่างยิ่งในสถาบันการเงิน และเป็นส่วนหนึ่งของการป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินในลักษณะที่เรียกว่า Point to the problem before it points to us. นอกจากนี้จะได้เผยแพร่ในวงการศึกษา ซึ่งการเรียนการสอนการดำเนินงานด้านคอมพิวเตอร์และการตรวจสอบในปัจจุบัน ยังอยู่ในวงจำกัดค่อนข้างมาก ทั้ง ๆ ที่คอมพิวเตอร์ได้รับการยอมรับและมีใช้กันโดยทั่วไปในองค์กรต่าง ๆ แล้ว

13. เอกสารทั้ง 3 เล่ม ไม่มีจำหน่าย แต่มีไว้เพื่อแจกจ่ายตามวัตถุประสงค์ที่กล่าวในข้อ 12. ข้างต้น การเผยแพร่ข้อมูลจากหนังสือเล่มนี้ต่อไปในรูปอื่นใด ควรจะได้อ้างอิงที่มาของข้อมูลด้วย หนังสือเล่มนี้ไม่ได้กล่าวหรืออธิบายถึงการทำงานของระบบคอมพิวเตอร์โดยทั่วไป ทั้งนี้ผมได้ตั้งแนวทางไว้ว่าผู้อ่านได้ทราบเรื่องดังกล่าวพอสมควรแล้ว

14. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะในรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ที่มีส่วนทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน และขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสาร การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ และขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงินธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้ด้วย

เมธา สุวรรณสาร

ผู้อำนวยการ

ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ

25 มีนาคม 2539

ตอนนี้มาถึงมาตรการของ ธปท. ในเบื้องต้นในช่วงที่ผมทำหน้าที่ดูแลด้านการกำกับและตรวจสอบทางด้าน IT ยุคนั้นเรียกว่า EDP – Electronic Data Processing เพื่อตามให้ทันกับความก้าวหน้าของการนำ EDP มาใช้ในยุคแรกของประเทศไทย

มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ

เรื่องที่เกี่ยวข้องกับฐานะความมั่นคงและการควบคุม

ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่กำหนดขึ้นก็เพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงินให้มีความถูกต้องและน่าเชื่อถือได้เป็นสำคัญ ทั้งนี้อาจสรุปได้ดังนี้

มาตรการดังกล่าวข้างต้น ถึงแม้จะใช้มาเป็นเวลานานมากแล้ว แต่ทุกอย่างก็ยังใช้อยู่ แต่มีการปรับปรุงให้เหมาะสมกับสภาพแวดล้อมทางด้านเทคโนโลยีสารสนเทศยุคใหม่ ที่มีความเสี่ยงต่าง ๆ มากขึ้น ซึ่งผมจะได้ค่อย ๆ ทยอยเล่าถึงวิวัฒนาการการพัฒนาการกำกับและตรวจสอบทางด้านเทคโนโลยีสารสนเทศ จนในที่สุดจะก้าวไปถึงยุค GEIT / GRC ในปัจจุบันครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: การตรวจสอบของสถาบันการเงิน, วิวัฒนาการการตรวจสอบด้านคอมพิวเตอร์, Bank of Thailand and IT Audit, EDP and ICT to GEIT, EDP and IT Audit and Management, IT Audit and Development, IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5, The Historical Development of Electronic Banking in Thailand | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 2)

พฤศจิกายน 28, 2013

<strong>วิวัฒนาการของ IT Management สู่ -> COBIT4.1 -> GEIT/COBIT5</strong>

ตั้งแต่ วันที่ 22 ธันวาคม 2555 ผมได้เคยเขียนเล่าเรื่องวิวัฒนาการของ IT Management สู่ GEIT/COBIT5 มานานพอสมควร แต่เนื่องจากมีเหตุการณ์และเรื่องราวที่เป็น hot issue เข้ามาแทรกในช่วงตั้งแต่เวลานั้นค่อนข้างมาก ผมจึงใช้เวลามาจนถึงวันนี้ที่จะเล่าเรื่องต่อในหัวข้อดังกล่าว ซึ่งได้เริ่มว่า…

ก่อนจะก้าวสู่ Quality Management Cycle โดย IT Governance ผ่านกระบวนการบริหารจัดการทางด้านการบริหารสารสนเทศที่ดี ตามกรอบที่เรียกว่า COBIT 4.1 เพื่อการเติบโตอย่างยั่งยืน สนองตอบต่อผู้มีผลประโยชน์ร่วมทั้งภายในและภายนอกองค์กรนั้น องค์กรส่วนใหญ่ได้ผ่านกระบวนการบริหารการจัดการสารสนเทศ ที่เรียกว่า IT Management มาก่อน แต่ก็มีหลายองค์กรที่มีระดับการจัดการ IT Management ที่แตกต่างกันมาก ส่งผลกระทบต่อประสิทธิผลและประสิทธิภาพที่มีต่อ Business Performance ในมุมมองของ Business Balanced Scorecard ทั้ง 4 โดยเฉพาะอย่างยิ่ง การขาดดุลยภาพระหว่าง Business Performance กับ Businesss Conformance ที่กล่าวถึงการบริหารให้สอดคล้องกับกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบ และ คำสั่งต่าง ๆ ที่เกี่ยวข้อง

….

การบริหารจัดการเทคโนโลยีสารสนเทศ (IT Management) เพื่อการบริหารการเปลี่ยนแปลง (Change Management Process) ที่เกี่ยวข้องกับการเพิ่มประสิทธิภาพ และประสิทธิผลในการดำเนินงาน และสร้างความมั่นใจต่อผู้ที่เกี่ยวข้อง/ผู้มีผลประโยชน์ร่วม เพื่อยกระดับกระบวนการบริหารและการจัดการที่ดีในการขับเคลื่อนเป้าประสงค์ที่สัมพันธ์ และสอดคล้องกับการประเมินผลของผู้กำกับฯ ที่เกี่ยวข้องกับการบริหารและการจัดการสารสนเทศที่ดี (IT Governance) ตามแนวทางของ COBIT

ในวันนี้ผมจะมาเล่าสู่กันฟังในเรื่องที่หลายท่านสนใจก็คือเรื่อง การจัดทำแผนปฏิบัติงาน (Action Plan/Implementation Plan) ซึ่งใช้เป็นแนวทางการบริหารการเปลี่ยนแปลงเพื่อยกระดับการบริหารสารสนเทศที่เกี่ยวข้อง (IT Management) โดยมีความสอดคล้องกับผลการประเมินช่องว่างตามกรอบ IT Governance COBIT 4.1

โดยจะนำเสนอแผนการดำเนินงานทั้งหมด 9 แผนงานหลัก ซึ่งสอดคล้องกับกระบวนการด้าน IT ในระดับ High Level 9 กระบวนการ (Process) รวมทั้งสิ้น 34 กระบวนการ จาก 4 Domain ซึ่งในแต่ละแผนงานมีองค์ประกอบหลัก คือ แนวทางปฏิบัติที่ดี ความเชื่อมโยงกับวัตถุประสงค์ด้านไอทีและวัตถุประสงค์ทางธุรกิจ วัตถุประสงค์ ระยะเวลาดำเนินงาน ผู้รับผิดชอบ วิธีการดำเนินงาน (Implementation) ตัวชี้วัด และทรัพยากรที่ใช้ ทั้งนี้ โดยมีเป้าประสงค์ที่จะก่อให้เกิดการสร้างคุณค่าเพิ่มตามความคาดหวังของผู้มีผลประโยชน์ร่วมที่เกี่ยวข้องกับการบริหารทรัพยากรทางด้านเทคโนโลยีสารสนเทศ ซึ่งได้แก่ บุคลากร ระบบงานประยุกต์ เทคโนโลยี สิ่งอำนวยความสะดวก และข้อมูล ที่สัมพันธ์กับการบริหารความเสี่ยงอย่างได้ดุลยภาพ เพื่อให้ได้คุณลักษณะที่ดีของสารสนเทศ 7 ประการที่เกี่ยวกับ ประสิทธิผล ประสิทธิภาพ การรักษาความลับ ความครบถ้วนถูกต้อง สภาพพร้อมใช้งาน การปฏิบัติตามกฎ และความเชื่อถือได้ ซึ่งจะเกี่ยวข้องกับกระบวนการ (Process) ทั้ง 9 เพื่อนำไปจัดทำแผนงานตามกระบวนการต่าง ๆ ดังนี้

1)    การจัดทำแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (Define a Strategic IT Plan) เพื่อให้องค์กรได้รับประโยชน์สูงสุดจากการใช้ IT
2)    การประเมินและบริหารจัดการความเสี่ยง (Assess and Manage IT Risks) เพื่อให้ IT สามารถตอบสนองความต้องการของผู้บริหารในการตัดสินใจเพื่อลดความเสี่ยง โดยให้ข้อมูลที่เป็นรูปธรรม และชี้ให้เห็นประเด็นที่สำคัญ
3)    การบริหารจัดการโครงการ (Manage Projects) เพื่อกำหนดระดับความสำคัญ และดำเนินการให้แล้วเสร็จภายในเวลาและงบประมาณที่กำหนด
4)    การบริหารจัดการการเปลี่ยนแปลง (Manage Changes) เพื่อลดโอกาสการหยุดชะงัก การแก้ไขโดยพลการ และความผิดพลาด
5)    การสร้างความมั่นใจในความปลอดภัยของระบบ (Ensure Systems Security) เพื่อปกป้องข้อมูลจากการถูกใช้ เปิดเผย แก้ไข ทำลาย โดยไม่ได้รับอนุมัติหรือการสูญหาย
6)    การจัดการข้อมูล (Manage Data) เพื่อให้มั่นใจว่าข้อมูลมีความสมบูรณ์ ถูกต้องและน่าเชื่อถือ สำหรับ input, update และ storage
7)    การติดตามและประเมินผลเทคโนโลยีสารสนเทศ (Monitor and Evaluate IT Performance) เพื่อให้มั่นใจว่ากิจกรรมด้าน IT สามารถบรรลุเป้าหมายการปฏิบัติงานตามที่กำหนด
8)    การสร้างความมั่นใจในการปฏิบัติตามความต้องการจากภายนอก (Ensure Compliance with External Requirement) เพื่อเพิ่มความมั่นใจ และความไว้วางใจระหว่างองค์กร ผู้ใช้ และบุคคลภายนอก
9)    การจัดการด้านเทคโนโลยีสารสนเทศที่ดีหรือธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (Provide IT Governance) เพื่อเพิ่มระดับความมั่นใจและให้เกิดประโยชน์ทางธุรกิจจาการใช้ทรัพยากรเทคโนโลยีสารสนเทศสูงสุด

ในครั้งต่อไปผมจะมาเล่าสู่กันฟังในเรื่องของการจัดทำแผนปฏิบัติงาน (Action Plan/Implementation Plan) ทั้ง 9 กระบวนการ ซึ่งเป็นเรื่องที่น่าสนใจเป็นอย่างมากสำหรับผู้ที่เกี่ยวข้อง ไม่ว่าจะเป็น CIO ผู้บริหารระดับสูง หัวหน้าผู้ตรวจสอบ ผู้ตรวจสอบทางด้าน IT และ Non-IT รวมทั้ง Integreated Auditor ยุคใหม่พึงเข้าใจ เพราะวัตถุประสงค์ทางธุรกิจ (Interprise Goals/Business Goals) จะต้องมีความสัมพันธ์กับ IT-Related Goals ซึ่งจะเกี่ยวข้องกับการบริหารในแต่ละกิจกรรมตามกระบวนการทั้ง 9 จาก 34 กระบวนการ ตาม COBIT 4.1 ซึ่งต่อมาจะวิวัฒนาการไปสู่ COBIT 5

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: วิวัฒนาการของ IT Management COBIT4.1 สู่ GEIT/COBIT5, Business Goals and IT Goals, CIO and CEO Today, Integrated Auditor, IT Audit and Non-IT Auditor, IT Management and Development | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Crossing Borders CIOs’ Innovation & Inspiration and Integrated Management – What CEOs Want From CIOs ตอนที่ 2 Evolution of the IT Leadership Role

ตุลาคม 1, 2013

วันนี้ผมจะกล่าวต่อจากตอนที่ 1 ซึ่งอาจสรุปได้ว่าการเปลี่ยนแปลงบทบาทของ CIO ในปัจจุบันนั้น มีความสำคัญอย่างยิ่งที่นำไปสู่กระบวนทัศน์ใหม่ ทั้งในมุมมองของ CIO และ CEO และคณะกรรมการชุดต่าง ๆ ทั้งด้านทั่วไปและทางด้าน IT เพราะการบริหารยุคใหม่ ซึ่งได้เริ่มขึ้นแล้วอย่างเป็นรูปธรรมที่ปฏิบัติได้จริง ที่กล่าวถึงเรื่อง Integrated Management หรือการบริหารองค์กร/ธุรกิจอย่างเป็นบูรณาการนั้น ผู้บริหารทุกภาคส่วนจำเป็นจะต้องมีแนวคิดของการสร้างคุณค่าเพิ่ม ไม่ว่าจะในมุมมองของ CIO เพื่อเชื่อมต่อไปยังวัตถุประสงค์ของการบริหารตามมุมมองของ CEO หรือกลับกันนั้น เป้าหมายหลักของธุรกิจ/องค์กร ก็คือ การสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม เพื่อการบรรลุวัตถุประสงค์ตามมุมมองของ Enterprise Goals เป็นสำคัญที่ต้องเชื่อมโยงกับ IT Related Goals อย่างแยกกันไม่ได้ในทุกองค์ประกอบและในทุกปัจจัยของการกำกับ ควบคุม และติดตามผลโดยคณะกรรมการ ตามหลักการของ Integrated Governance และ Integrated Management ตามลำดับ

เพื่อให้ท่านผู้อ่านที่ได้ติดตามเรื่องนี้มาตั้งแต่ต้น ได้เห็นภาพการเปลี่ยนแปลงทางด้านการบริหารของผู้นำทางด้าน IT หรือ CIO ตั้งแต่ยุคแรก ปี ค.ศ. 1950s หรือ ปี พ.ศ. 2493 ถึงปัจจุบัน (ค.ศ. 2013 หรือ พ.ศ. 2556)
ผมขออ้างอิงเอกสารของ KORN/FERRY INTERNATIONAL ที่กล่าวถึง การเปลี่ยนแปลงบทบาทของผู้บริหารหรือผู้นำทางด้าน IT หรือ CIO ดังนี้

1950s – Tab Supervisor
1960s – Data Processing Manager
1970s – MIS Director
1980s – Vice President of Information Systems
1990s – SVP/EVP & Chief Information Officer
2000s – ????
2001-2002 – End of the Technology Bubble

– Dot-com implosion
– Deep corporate IT cost cutting
– Focus on tactical operations post – Y2K/ERP

2003-2007 – “The 21st Century CIO”

– Comprehensive definition of the “C-level” IT role
– Strategic alignment and governance
– Process & operational optimization/ERP
– Business intelligence and customer intimacy
– Value creation

2008-2010 – Dealing with Global Recession

– Cost management, modest budget & staff reduction
– “21st Century CIO Agenda” Still a mandate

10 ข้อจากนี้ไป คือ การเปลี่ยนแปลงของผู้บริหาร หรือ CIO ในยุคปัจจุบัน ทั้งนี้ขอให้ท่านในฐานะเป็นคณะกรรมการ หรือผู้บริหารระดับสูง รวมทั้ง CEO และ CIO ได้ประเมินการบริหารความเสี่ยงด้วยตนเอง ซึ่งเรียกย่อ ๆ CSA – Control Self Assessment ตามมุมมองของ IT Management เพื่อก้าวไปสู่ Enterprise Management หรือ Enterprise Golas ตามลำดับ ในบางมุมมองของ CIO ที่น่าจะสอดคล้องกับความต้องการของ CEO ยุคใหม่ ดังนี้:

1. IT Strategy – Business strategy alignment, business case and projected return on investments, priorities versus resources
2. IT Governance – Portfolio managment, IT investment funding and review process, performance measurement, project management (PMO), SDLC, processes, standards, procurement
3. IT Organization & Staffing – Centralized, decentralized, fereral model, shared services; reporting relationships, FTEs, staff augmentation, on/near/off-shore, capability/maturity, training
4. Technology – Architecture; bleeding/leading edge or trailing; build or buy, suite or best-of-breed; infrastructure and networking insourced/outsourced, total cost of ownership (TCO), support
5. Technology Awareness – Board of Directors, senior and middle management, rank and file
6. Corporate Governance – Compliance, disaster recovery, business continuity, security, privacy, intellectual property protection
7. Business Intelligence – Data modeling & warehousing, metrics, analytics, forecasting & modeling
8. ERP – Business integration, value chain, process improvement & innovation, change management, quality programs
9. Customer Care – Customer relationship mamagement (CRM), contact centers, customer portals, B2B collaborative computing (EDI, VMI, CPER)
10. Internet – e-business strategy, portals, web-enabled applications, telecommunications (Web 2.0)

นอกจากนี้ ผมยังมีความเห็นเพิ่มเติมดังนี้

การบริหารยุคใหม่ ไม่ว่าจะเป็นมุมมองของ CIO หรือ CEO ซึ่งแยกกันไม่ได้ เมื่อคำนึงถึงการก้าวสู่วัตถุประสงค์หลักขององค์กร/ธุรกิจ ตามมุมมองของ Business Goals หรือ Enterprise Goals นั้น ก้าวแรกที่ต้องมองเห็นภาพเหมือนกันก็คือ ความรู้ความเข้าใจในสภาพแวดล้อม ทั้งภายในและภายนอกองค์กร วัฒนธรรมในการบริหารองค์กร และการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ตามมุมมองของ GEIT – Governance Enterprise of IT ซึ่งเป็นการบริหารแบบ Integrated Single Framework หรืออาจจะเรียกง่าย ๆ ว่าเป็นการบริหารแบบบูรณาการ (Integrated Management) ตามกรอบและหลักการของ Integrated GRC และ GRC in COBIT 5 ซึ่งมีรายละเอียดในการก้าวเข้าสู่วัตถุประสงค์ของ Enterprise Goals ที่เชื่อมโยงกับ IT Related Goals ได้อย่างลงตัว ผมใคร่ขอให้ท่านที่สนใจเรื่องนี้ได้ติดตามการบริหารแบบบูรณาการตามมุมมองทั้ง 2 อย่างละเอียดต่อไป

บทความนี้เป็นการเขียนแบบย่อ ๆ หากท่านผู้อ่านที่สนใจสามารถติดตามรายละเอียดที่มากกว่านี้ได้ภายในงาน Crossing Borders CIOs’ Innovation & Inspiration topic ในวันที่ 3 ตุลาคม 2556 ที่จะถึงนี้ ที่โรงแรมเซ็นทารา ลาดพร้าว ห้อง Main Ballroom ซึ่งเป็นการจัดงานโดย 10th Anniversary of CIO16 Association of Thailand ครับ

Crossing Borders CIOs’ Innovation & Inspiration and Integrated Management – What CEOs Want From CIOs

กันยายน 22, 2013

วันนี้ ผมจะพาท่านที่สนใจในเรื่องการบริหารจัดการเทคโนโลยีสารสนเทศยุคใหม่ ที่จะต้องก้าวข้ามการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศเพียงอย่างเดียว เช่น การเป็นผู้บริหารระดับสูงหรือ CIO ทางด้าน IT หรือศูนย์คอมพิวเตอร์ มาเป็นผู้บริหารระดับสูงทางธุรกิจที่ใช้เทคโนโลยีสารสนเทศเข้ามาช่วยในการวางแผนกลยุทธ์ และการดำเนินงานต่าง ๆ เพื่อขับเคลื่อนวัตถุประสงค์หลัก ๆ ขององค์กร/ธุรกิจ ตามกรอบที่เข้าใจกันโดยทั่วไป เพื่อนำไปสู่การบรรลุวัตถุประสงค์ที่ได้ดุลยภาพตามหลักการของ Balanced Business Scroecard ซึ่งเป็นที่แน่นอนว่า CIO ยุคใหม่จะมีบทบาทหน้าที่และความรับผิดชอบที่แตกต่างไปจากเดิมอย่างสิ้นเชิง อนาคตของ CIO จะขึ้นอยู่กับวิสัยทัศน์ ความรู้ ความเข้าใจในการบริหารเชิงธุรกิจ (Enterprise Goals) ที่ควบคู่กันไปกับการบริหารการจัดการทางด้านเทคโนโลยีสารสนเทศ (IT Related Goals)

นี่คือ การก้าวข้ามพรมแดนที่มีการเปลี่ยนแปลงกระบวนทัศน์ (Paradigm) ที่สำคัญยิ่งของ CIO ซึ่งอนาคตของ CIO ยุคใหม่จะต้องมีความเข้าใจการบริหารเชิงธุรกิจอย่างลึกซึ้ง ควบคู่กันไปกับการมีความรู้ทางด้านการบริหารจัดการเทคโนโลยีสารสนเทศ ในลักษณะ Integrated Single Framework โดยมีวัตถุประสงค์เพื่อเสริมสร้างความรู้ความเข้าใจในกรอบปฏิบัติด้านการกำกับดูแลและการบริหารจัดการที่ดีด้าน IT ในเรื่องการกำหนดเป้าหมายด้าน IT ที่สนับสนุนเป้าหมายระดับองค์กร โดยเป็นเป้าหมายที่เป็นเป้าประสงค์หลักที่ตอบสนองต่อความต้องการของผู้มีผลประโยชน์ร่วมขององค์กร จากการพิจารณาเป้าประสงค์และแรงขับเคลื่อนสำคัญที่มีอิทธิพล หรือส่งต่อความต้องการและความคาดหวังดังกล่าว

สรุปเบื้องต้น… ก่อนจะก้าวไปในรายละเอียดเล็กน้อย เพื่อให้เห็นภาพใหญ่โดยรวม ในเรื่องของการบริหารแบบบูรณาการ (Integrated Management) ก็คือ CIO และ CEO นั่นคือผู้บริหารและผู้ที่เกี่ยวข้องกับ IT/ICT และผู้บริหาร รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารเพื่อให้ได้เป้าประสงค์หลักตาม Business Balanced Scorecard ทั้ง 4 มุมมอง ควรจะมีหรือต้องมีความเข้าใจตรงกันในเรื่องการประสานงานเพื่อเชื่อมโยงกระบวนการ การกำกับ ควบคุม ดูแล งานทางด้าน IT/ICT ซึ่งเป็นงานหลักของ CIO และ Business ซึ่งเป็นงานหลักของ CIO ให้เป็นหนึ่งเดียวกันหรือเรื่องเดียวกัน เพื่อก้าวไปสู่วัตถุประสงค์ของ Enterpise Goals เป็นสำคัญและแยกกันไม่ได้ระหว่างงาน IT และ Non-IT

ขออนุญาตสรุปอีกครั้งหนึ่งก่อนจบในช่วงแรกของ Integrated Management ว่า :
1. Governance – G, Risk Management – R, Compliance – C
G + R + C ไม่เท่ากับ GRC หรือ Integrated GRC พิสูจน์ได้จากวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ เป้าประสงค์ แผนงานและบทบาทของคณะกรรมการที่เกี่ยวข้อง รวมทั้งสิ่งแวดล้อมและวัฒนธรรมในการดำเนินงานขององค์กร/ธุรกิจ…
2. หิน + ปูน + ทราย ไม่เท่ากับ ซีเมนต์ หากขาดน้ำ… น้ำในที่นี้คือ ความเข้าใจในกระบวนการบริหารแบบบูรณาการ ทั้งทางด้าน Business และทางด้าน IT/ICT และความเกี่ยวเนื่องตามมุมมองของ Integrated Single Framework +++

ทั้งนี้ CIO ยุคใหม่ที่จะก้าวข้ามเข้าไปสู่แนวความคิด ซึ่งเป็นไปตามความต้องการของ CEO หรือผู้บริหารระดับสูงสุดของธุรกิจ/องค์กรว่า CEO ต้องการอะไรจาก CIO และการที่ CIO ที่มีความคิดก้าวหน้า รู้เท่าทันความต้องการของธุรกิจในกระบวนการบริหารและการจัดการที่ดี ทั้งทางด้านการกำกับ ควบคุม ดูแล (Governance) ซึ่งเป็นหน้าที่และความรับผิดชอบ (Accountability) ของคณะกรรมการ ที่จะกำกับและชี้ทิศทางการขับเคลื่อนองค์กรอย่างเป็นกระบวนการ เพื่อให้ผู้บริหารระดับสูง ซึ่งแน่นอนว่ารวม CIO อยู่ด้วยนั้น มีหน้าที่ในการบริหารจัดการอย่างเป็นกระบวนการ เพื่อขับเคลื่อนธุรกิจ/องค์กร ไปสู่เป้าประสงค์ของผู้มีประประโยชน์ร่วม (Stakeholder) อย่างได้ดุลยภาพ เพื่อสร้างคุณค่าเพิ่ม (Value Creation) ตามมุมมองของ Good Governance ที่ดี และเป็นบูรณาการตั้งแต่ในระดับของ Governance นั่นคือ การนำ Corporate Governance – CG มาเชื่อมโยงกับ IT Governance (ITG) อย่างเหมาะสม เพื่อขับเคลื่อนเป้าประสงค์หลักของผู้มีผลประโยชน์ร่วมทุกกลุ่ม ในการบริหารองค์กรและธุรกิจอย่างมีประสิทธิภาพและประสิทธิผล ซึ่งหมายถึงคุณภาพการบริหารการจัดการที่ได้ประโยชน์สูงสุดในมุมมองทางการเงิน (Financial) และ บริการ (Service) รวมทั้งชื่อเสียงของธุรกิจควบคู่กันไปและแยกกันไม่ได้กับการบริหารทรัพยากร และการบริหารความเสี่ยงทางด้าน IT และ Non – IT อย่างเหมาะสม

ดังนั้น CIO ยุคใหม่ และปัจจุบัน ต้องเข้าใจแรงขับเคลื่อน (Stakeholder Drivers) จากสภาพแวดล้อมทั้งภายในและภายนอกองค์กร และปัจจัยต่าง ๆ ที่เกี่่ยวข้อง เช่น การเปลี่ยนแปลงเทคโนโลยีสารสนเทศ การเปลี่ยนแปลงของกฎระเบียบ หรือกฎหมาย ที่มีผลลบังคับใช้กับธุรกิจ/องค์กร เป็นต้น ที่มีอิทธิพลหรือส่งผลต่อความต้องการหรือความคาดหวังของผู้มีผลประโยชน์ร่วม โดยสรุปวัตถุประสงค์ เป็น 3 กลุ่ม ได้แก่ การรับรู้ด้านผลประกอบการ การจัดการด้านความเสี่ยง และ การจัดการด้านทรัพยากรได้อย่างเหมาะสมตามที่ได้กล่าวข้างต้นซึ่งเป็นเรื่องสำคัญมากแล้ว นั่นคือ CIO และแน่นอนว่าควรจะรวมถึง CEO แม้กระทั่งระดับคณะกรรมการหรือ Board ซึ่งควรเข้าใจตรงกันถึงผลลัพธ์ที่คาดหวังจากเป้าประสงค์ความต้องการของผู้มีผลประโยชน์ร่วมที่แสดงวัตถุประสงค์ตอบสนองต่อแรงขับเคลื่อน (Stakeholder Drivers)

ผู้นำทางด้าน CIO ยุคใหม่ จะต้องดำเนินการในลักษณะ Go beyound IT and the CIO’s Comfort zone นั่นคือ CIO ยุคใหม่จะต้องมีการบริหารและการจัดการที่จะต้องก้าวข้ามเฉพาะการบริหารทางด้าน IT เพื่อ IT มาเป็นการบริหาร IT/ICT เพื่อธุรกิจ

ขั้นตอนต่อไปที่ CIO ยุคใหม่ ควรเข้าใจในมุมมองของ CEO หรือผู้บริหารวัตถุประสงค์โดยรวมของธุรกิจ/องค์กร ในการเชื่อมโยงกับกลยุทธ์ นโยบาย พันธกิจ วิสัยทัศน์ เพื่อตอบสนองความคาดหวังหรือความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholder Needs) ที่คาดหวังให้คณะกรรมการและผู้บริหารระดับสูงกำกับ ควบคุม ดูแล ไปสู่เป้าหมายระดับองค์กร (Enterprise Goals) โดยมีการบริหารและการจัดการที่สามารถเชื่อมโยงกับ IT Related Goals ซึ่งเป็นปัจจัยหลักในการขับเคลื่อนความสำเร็จในมุมมองต่าง ๆ ตามความต้องการและความคาดหวังของผู้มีผลประโยชน์ร่วม

เป้าหมายทางด้าน IT หรือการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีที่ครอบคลุมไปยัง IT Related Goals ทุกมุมมองของ IT Balanced Scorecard ที่ CIO และ CEO ต้องเข้าใจในการนำไปสู่การเชื่อมโยงของ Business Balanced Scorecard ทั้ง 4 นั่นคือ เป้าหมายทางด้านประสิทธิภาพการบริหารทางด้านการเงิน ด้านลูกค้า/ผู้มีผลประโยชน์ร่วม ด้านกระบวนการภายใน และด้านการเรียนรู้ที่ควรมีความสัมพันธ์กับวัตถุประสงค์ตามเป้าหมายระดับองค์กรทั้ง 4 ด้านตามที่่ได้กล่าวมาแล้ว และในทางกลับกัน หากมองในมุมมองของ CEO ซึ่งควรมีความเข้าในที่สัมพันธ์กับเป้าหมายทางด้าน IT คือ (IT-Related Golas) ที่กำหนดเฉพาะเจาะจงให้สามารถใช้สนับสนุนเป้าหมายระดับธุรกิจ/องค์ร ตามที่ได้กำหนดในเป้าประสงค์ลหักและแน่นอนว่า ควรมีการกำหนดในการประเมินวัดผลตามเกณฑ์ชี้วัดของเป้าหมายที่เกี่ยวข้องได้อย่างชัดเจนอย่างเป็นรูปธรรม

ข้้นตอนต่อไปในการก้าวข้ามพรมแดนการบริหารจัดการที่ดีทางด้านเทคโนโลยีสารสนเทศ เพื่อการบรรลุเป้าประสงค์ทางธุรกิจขององค์กรโดยรวม (Integrated Management) ก็คือ ทั้ง CIO และ CEO ควรเข้าใจอย่างสอดคล้องและตรงกันว่า กระบวนการทางด้านเทคโนโลยีสารสนเทศ ควรมีผลลัพธ์ที่คาดหวังได้ว่าสามารถสรุปเป็นแผนการดำเนินงานที่จะนำไปสู่ภาคปฏิบัติ เพื่อตอบสนองเป้าหมายทางด้านเทคโนโลยีสารสนเทศตามที่ได้กำหนดไว้

กระบวนการทางด้าน IT/ICT (IT Related Processes) ควรมีกิจกรรมที่สามารถระบุกระบวนการทางด้าน IT ที่สนับสนุนเป้าหมายทางด้าน IT และ Enterprise เพื่อนำไปสู่ Enterprise Goals

อาจสรุปกระบวนการทางด้าน IT/ICT ที่ใช้สนับสนุนเป้าหมายทาง IT/ICT ที่มีกรอบการปฏิบัติในการบริหารจัดการองค์กรแบบบูรณาการ (Integrated Management) ซึ่งต้องแบ่งเป็นกระบวนการหลัก และกระบวนการในระดับรองลงไปเป็นกลุ่มได้ดังนี้
1 กระบวนการด้านการกำกับดูแลที่ดี (Governance)

กลุ่มกระบวนการประเมิน กำกับ และติดตาม

2 กระบวนการด้านการบริหารจัดการ (Management)

กลุ่มกระบวนการสำหรับการวางแผนและจัดโครงสร้าง (Align, Plan and Organise)

กลุ่มกระบวนการสำหรับการจัดทำและนำไปปฏิบัติ (Bulid, Acquire and Implement)

กลุ่มกระบวนการสำหรับการดำเนินการและสนับสนุน (Deliver, Service and Support)

กลุ่มกระบวนการสำหรับการติตามตามวัดผลและตรวจประเมิน (Monitor, Evaluate and Assess)

ในตอนต่อไป ผมจะได้นำเสนอบทบาทของการจัดการและผู้บริหาร IT/ICT จากยุคแรก ๆ ปี ค.ศ. 1950s หรือ ปี พ.ศ. 2493 ถึงปัจจุบัน (ค.ศ. 2013 หรือ พ.ศ. 2556) เพื่อให้ทราบว่าบทบาทของผู้บริหารของ CIO ยุคเดิมจนถึงยุคปัจจุบันนั้นได้เปลี่ยนแปลงไปมากน้อยเพียงใด และ CIO ในยุคปัจจุบัน ได้สนองตอบความต้องการของผู้มีผลประโยชน์ร่วม คณะกรรมการ ผู้บริหารระดับสูง และ CEO อย่างไร

การเขียนบทความนี้เป็นส่วนหนึ่งของการที่ผมได้มีโอกาสร่วมงาน Crossing Borders CIOs’ Innovation & Inspiration topic ซึ่งผมได้เป็นผู้ดำเนินรายการในหัวข้อ เรื่อง Thai CIOs are crossing the borders everyday ในวันที่ 3 ตุลาคม 2556 ที่จะถึงนี้ ที่โรงแรมเซ็นทารา ลาดพร้าว ห้อง Main Ballroom ซึ่งเป็นการจัดงานโดย 10th Anniversary of CIO16 Association of Thailand เนื้อหาในตอนนต่อไปซึ่งจะเผยแพร่ในเว็บไซต์ในวันที่ 1 ตุลาคม 2556 นะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: Alignment and colaboration, Business Integration, Crossing Borders CIOs' Innovation & Inspiration, ICT ศตวรรษที่ 21 กับบทบาทของ CIO & CEO, Innovation Management, Integrated Audit, IT and Enterprise Integration, IT Trasformation, Manageing IT as an integrated enterprise, The Future of IT Management, Today's expectations for the CIO, Value Realization, What CEOs Want From CIOs | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 9 CoCo (Criteria of Control)

สิงหาคม 17, 2013

สวัสดีครับ เราได้พูดคุยกันถึงเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงมาถึงตอนที่ 9 แล้วนะครับ และผมจะขอกล่าวถึง CoCo (Criteria of Control) ซึ่งได้เคยเอ่ยถึงในตอนที่ผ่านมาแล้วว่า เป็น CSA อีกรูปแบบหนึ่งที่สามารถนำมาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยง โดย CICA – Canadian Institute of Chartered Accountants ซึ่งเป็นสถาบันหรือองค์กรไม่แสวงหาผลกำไร ที่จัดตั้งขึ้นตามพระราชบัญญัติพิเศษจากรัฐสภาแคนาดาในปี 1902 ได้เสนอแบบจำลองการควบคุมออกมาโดยเรียกว่า เกณฑ์การควบคุม หรือแบบจำลอง CoCo โดยในการศึกษาแบบจำลองนี้ ควรเริ่มจากการให้ความหมายของการควบคุมภายในเสียก่อน ซึ่งการควบคุมภายในประกอบด้วยองค์ประกอบหลายอย่างในองค์กร เช่น ทรัพยากร ระบบ กระบวนการ วัฒนธรรม โครงสร้างและงานต่าง ๆ อันจะช่วยในการสนับสนุนการปฏิบัติงานของบุคลากร ให้สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่องค์กรต้องการโดยมุ่งเน้นไปที่

1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน

2. ความน่าเชื่อถือของรายงานทางการเงินและการบริหาร

3. การปฏิบัติตามกฎหมาย กฎระเบียบ และนโยบายภายใน

องค์ประกอบการควบคุมภายในของ CoCo

กรอบแนวทางการควบคุมกลุ่ม ประกอบด้วย

1. เป้าหมาย (Purpose) เป็นเกณฑ์กลุ่มที่เป็นทิศทางขององค์กร เปรียบเสมือนหลักชัยขององค์กรที่ต้องดำเนินการไปให้ถึง (สิ่งที่องค์กรต้องทำ) พิจารณาได้ดังนี้

จัดตั้งวัตถุประสงค์และมีการสื่อสารให้รับรู้
ความเสี่ยงทั้งภายในและภายนอกที่องค์กรต้องเผชิญมีนัยสำคัญต่อความสำเร็จของวัตถุประสงค์ ควรจะระบุและมีการติดตามประเมินผล
ออกแบบนโยบายเพื่อสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร และการจัดการความเสี่ยงที่ควรได้รับการยอมรับ มีแนวทางปฏิบัติและสื่อสารเพื่อให้ผู้คนเข้าใจสิ่งที่เป็นที่คาดหวังขององค์กร และขอบเขตของหน้าที่ที่จะต้องทำ
การวางแผนที่เป็นแนวทางในการบรรลุวัตถุประสงค์ขององค์กร ควรได้รับการยอมรับและมีการสื่อสารให้เข้าใจ
วัตถุประสงค์และแผนงานที่เกี่ยวข้อง ควรจะรวมถึงเป้าหมายในการวัดประสิทธิภาพและตัวชี้วัด

2. ความผูกพัน (Commitment) เป็นเกณฑ์กลุ่มที่แสดงความเป็นเอกลักษณ์และค่านิยม (ความต้องการทำสิ่งนั้น) พิจารณาได้ดังนี้

จริยธรรมค่านิยมที่ใช้ร่วมกัน รวมทั้งความสมบูรณ์ ควรได้รับการจัดตั้ง มีการสื่อสารและการปฏิบัติทั่วทั้งองค์กร
นโยบายการพัฒนาทรัพยากรมนุษย์และการปฏิบัติที่ควรจะสอดคล้องกับค่านิยมทางจริยธรรมขององค์กรและความสำเร็จของวัตถุประสงค์
ผู้มีอำนาจ ผู้มีหน้าที่ปฏิบัติ และผู้ที่มีหน้าที่รับผิดรับชอบ ควรจะกำหนดพันธกิจ และแผนงานไว้อย่างชัดเจนและสอดคล้องกับวัตถุประสงค์ขององค์กร เพื่อนำไปใช้ในการตัดสินและปฏิบัติโดยบุคคลที่เหมาะสม
มีบรรยากาศของความไว้วางใจซึ่งกันและกัน เพื่อเป็นการส่งเสริม สนับสนุนการใช้งานข้อมูลระหว่างหน่วยงานต่าง ๆ เพื่อผลการดำเนินงานที่มีประสิทธิภาพที่มีต่อการบรรลุวัตถุประสงค์ขององค์กร

3. ความสามารถ (Capability) เป็นเกณฑ์กลุ่มที่เป็นความสามารถขององค์กร (เครื่องมือในการทำสิ่งนั้น) พิจารณาได้ดังนี้

ทุกคนควรจะมีทักษะที่จำเป็นความรู้และเครื่องมือที่จะสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร
กระบวนการการสื่อสารควรจะสนับสนุนค่านิยมขององค์กรและความสำเร็จของวัตถุประสงค์
ข้อมูลที่เพียงพอและมีความเกี่ยวข้อง ควรจะระบุและมีการสื่อสารในเวลาที่ เหมาะสม เพื่อให้ผู้ปฏิบัติหน้าที่สามารถดำเนินการตามที่ได้รับมอบหมาย
ควรมีการประสานงานในการตัดสินใจและการปฏิบัติงานในส่วนงานที่แตกต่างกันขององค์กร
กิจกรรมการควบคุมควรจะออกแบบเป็นส่วนหนึ่งขององค์กรที่คำนึงถึงวัตถุประสงค์ของความเสี่ยง เพื่อความสำเร็จขององค์กรและ interrelatedness ขององค์ประกอบการควบคุม

4. การติดตามและการเรียนรู้ (Monitoring and Learning) เป็นเกณฑ์กลุ่มที่แสดงพัฒนาการขององค์กร (ดูว่าเราได้ทำสิ่งนั้นหรือยัง) (พิจารณาได้ดังนี้

สภาพแวดล้อมภายนอกและภายใน ควรจะตรวจสอบเพื่อให้ได้ข้อมูลที่อาจส่งสัญญาณความต้องการที่จะประเมินอีกครั้งวัตถุประสงค์ขององค์กรหรือการควบคุม
ผลการปฏิบัติงานควรจะตรวจสอบกับเป้าหมาย และตัวชี้วัดที่ระบุไว้ในวัตถุประสงค์ขององค์กรและแผนงาน
สมมติฐานที่อยู่เบื้องหลังวัตถุประสงค์ขององค์กรควรจะท้าทายเป็นระยะ ๆ
ความต้องการของระบบสารสนเทศและข้อมูลที่เกี่ยวข้องควรจะคล้อยตามการเปลี่ยนแปลงวัตถุประสงค์หรือเป็นข้อบกพร่องการรายงานจะมีการระบุ
ควรมีขั้นตอนของกระบวนการติดตาม เพื่อให้แน่ใจถึงการปฏิบัติงานที่เกิดขึ้นและการเปลี่ยนแปลงที่เหมาะสม
ควรมีการจัดการประเมินความมีประสิทธิผลของการควบคุมในองค์กรเป็นระยะ ๆ และแจ้งผลให้กับผู้รับผิดชอบ

การนำ CoCo ไปใช้ใน CSA

ผู้ปฏิบัติงานด้าน CSA หลายท่านพบว่า CoCo เป็นวิธีการบริหารที่สัมพันธ์กับการควบคุมภายใน และการอธิบายอย่างง่าย ๆ ในการกำหนด Workshop CoCo เป็นวิธีการในขั้นที่สูงกว่า COSO เพราะจะเน้นที่การประเมินความเสี่ยงของแต่ละคน และกิจกรรมการควบคุมความเสี่ยง อีกทั้งใช้เป็นพื้นฐาน individual objective-by-objective และใช้เป็นพื้นฐานของแผนกด้วย

ในการทำ Workshop ผู้ประสานงานควรพัฒนาคำถามที่ใช้เป็นเกณฑ์ของ CoCo และดำเนินการ Workshop นั้น โดยการถามคำถามเหล่านั้น หรือผู้ประสานงานควรวางคำถามไว้ให้มีลักษณะทั่วไปมากที่สุด เช่น อะไรคือสิ่งที่ช่วยให้คุณบรรลุวัตถุประสงค์ของแผนก และแจกแจงการตอบสนองนั้นไปสู่เกณฑ์ของ CoCo จากนั้นผู้ประสานงาน ควรถามคำถามเฉพาะเกี่ยวกับเกณฑ์อื่น ๆ ของCoCo ที่ไม่ได้ทำการควบคุมในขณะนั้น

ต่อไปนี้คือ ตัวอย่างคำถามเพื่อประเมินประสิทธิผลของการควบคุมตามเกณฑ์ CoCo

เป้าหมาย (Purpose)

เราเข้าใจภารกิจและวิสัยทัศน์ขององค์กรหรือไม่
เราไม่เข้าใจวัตถุประสงค์ของเราเป็นกลุ่มและวิธีการที่พวกเขาพอดีกับวัตถุประสงค์อื่น ๆ ในองค์กรหรือไม่
ข้อมูลที่มีอยู่ในปัจจุบันช่วยให้เราสามารถระบุความเสี่ยงและการประเมินความเสี่ยงได้หรือไม่
เราเข้าใจความเสี่ยงที่เราจำเป็นต้องควบคุม และระดับของความเสี่ยงที่ยอมรับได้ เพื่อความรับผิดชอบต่อการควบคุมหรือไม่
เราไม่เข้าใจนโยบายที่ส่งผลกระทบต่อการดำเนินการของเราหรือไม่
แผนงานของเราคือการตอบสนองและความเพียงพอที่จะบรรลุการควบคุมใช่หรือไม่
เรามีเป้าหมายในการจัดการประสิทธิภาพการทำงานหรือไม่

ความผูกพัน (Commitment)

เราได้รับการฝึกฝนหลักการของความซื่อสัตย์และจริยธรรมค่านิยมร่วมกันหรือไม่
มีผู้ได้รับผลตอบแทนอย่างเป็นธรรมตามวัตถุประสงค์ขององค์กรและค่านิยมหรือไม่
เราไม่เข้าใจสิ่งที่เรารับผิดชอบและเราไม่มีคำนิยามที่ชัดเจนต่อความรับผิดชอบของเราใช่หรือไม่
การตัดสินใจที่สำคัญ ๆ ถูกกระทำโดยผู้เชี่ยวชาญและมีอำนาจหน้าที่รับผิดชอบใช่หรือไม่
ระดับของความไว้วางใจซึ่งกันและกันในแต่ละหน่วยงานเพียงพอที่จะสนับสนุนข้อมูลและประสิทธิภาพการทำงานอย่างไร

ความสามารถ (Capability)

เรามีบุคลากรที่มีความรู้ความสามารถ เครื่องมือ และทรัพยากรที่เหมาะสมหรือไม่
มีการรายงานความผิดพลาดอย่างรวดเร็ว ข่าวร้าย และข้อมูลอื่น ๆ ให้กับผู้บริหาร โดยปราศจากความกลัวและการแก้แค้นหรือไม่
มีข้อมูลเพียงพอที่จะช่วยในการดำเนินงานหรือไม่ อย่างไร
มีการประสานงานระหว่างผู้ปฏิบัติงานกับหน่วยงานอื่น ๆ ที่เกี่ยวข้องขององค์กรหรือไม่
มีขั้นตอนและกระบวนการที่จะช่วยให้บรรลุวัตถุประสงค์ขององค์กรหรือไม่

การติดตามและการเรียนรู้ (Monitoring and Learning)

มีการทบทวนสภาพแวดล้อมภายในและภายนอกเพื่อการเปลี่ยนแปลงและกำหนดให้มีวัตถุประสงค์หรือการควบคุมหรือไม่
เราจะตรวจสอบประสิทธิภาพกับเป้าหมายและตัวชี้วัดที่เกี่ยวข้องอย่างไร
เราตั้งสมมติฐานที่ท้าทายที่อยู่เบื้องหลังวัตถุประสงค์ของเราหรือไม่
เราได้รับและให้ข้อมูลที่จำเป็นและเกี่ยวข้องกับการตัดสินใจหรือไม่
ระบบข้อมูลของเรามีการปรับปรุงให้เป็นปัจจุบันอยู่เสมอหรือไม่
มีการเรียนรู้จากผลการตรวจสอบและปรับปรุงอย่างต่อเนื่องเพื่อการควบคุมที่ดีหรือไม่
มีการกำหนดระยะเวลาการประเมินประสิทธิภาพของการควบคุมหรือไม่

แนวการประเมินตนเองโดยการตั้งคำถามแบบกว้าง ๆ ตามตัวอย่างที่กล่าวข้างต้นในบางเรื่องและบางมุมมองนั้น ไม่เพียงพอที่จะทำการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ดั้งนั้น ผู้อำนวยความสะดวก หรือ Facilitator ซึ่งปกติจะเป็นผู้ตรวจสอบภายใน ซึ่งได้รับการคาดหมายว่าเป็นผู้เชี่ยวชาญในการบริหารความเสี่ยงในระดับองค์กร รวมทั้งการควบคุมความเสี่ยงระดับองค์กร ซึ่งปกติจะต้องเริ่มจากการประเมินความเสี่ยงของสายงานต่าง ๆ ภายในองค์กรนั้น ๆ ก่อนที่จะนำมาสรุปเป็นภาพรวมของการบริหารความเสี่ยงระดับองค์กร ภายใต้ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่ต้องผ่านการอนุมัติจากคณะกรรมการ ที่ควรจะครอบคลุมความเสี่ยงแบบสมดุลจากหลักการ Besiness Balanced Scorecard ที่จะเชื่อมโยง สัมพันธ์ เกี่ยวเนื่องกับความเสี่ยงทางด้าน IT Balanced Scorecard ที่เกี่ยวข้องกับวัตถุประสงค์หลัก 17 ข้อด้วยกัน ทั้ง 17 ข้อนี้อยู่ภายใต้ร่มของกลยุทธ์ที่เชื่อมโยงมายังวัตถุประสงค์ทั้ง 4 ด้านตามหลักการ Besiness Balanced Scorecard และในขณะเดียวกันวัตถุวัตถุประสงค์หลัก 17 ข้อ ของ Besiness Balanced Scorecard นั้น ก็ยังต้องสัมพันธ์กับวัตถุประสงค์หลักของ IT Related Goals ทั้ง 17 ข้อ ที่เชื่อมโยง (mapping) ได้อย่างลงตัว

มาถึงตอนนี้ ท่านผู้บริหาร ผู้อำนวยความสะดวกในการทำ CSA และผู้มีหน้าที่ปฏิบัติงานของแต่ละฝ่ายหรือสายงานต่าง ๆ อาจจะรู้สึกสับสนได้บ้าง ทั้งนี้เพราะผมกำลังพาท่านผู้อ่านไปสู่ยุคใหม่ของการบริหารธุรกิจ / องค์กรแบบบูรณาการ (Integrated Single Framework) หรือ Integrated Management ที่ไม่สามารถแยกการบริหาร Enterprise Goals กับ IT Related Goals ออกจากกันได้ในลักษณะ SILO สมัยเดิมได้อีกแล้ว นั่นคือ CIO ยุคใหม่ และในอนาคตจะต้องทำงานในลักษณะการบริหารองค์กรหรือการบริหารธุรกิจควบคุมกันไปกับ CEO และในขณะเดียวกัน CEO ก็ต้องมีความรู้เกี่ยวข้องกับผลกระทบของ IT Risk ที่มีผลต่อวัตถุประสงค์หลักทั้ง 17 ข้อ

ในการทำ CSA ในยุคปัจจุบันและในอนาคต การประเมินความเสี่ยงและการควบคุมภายใน และ/หรือการประเมินการควบคุมภายในที่มีอยู่ว่าเพียงพอที่จะลดความเสี่ยงต่าง ๆ ทั้งในระดับ Strategic Risk ที่มีผลเชื่อมโยงไปยัง Enterprise / Business Risk ที่เกี่ยวข้องกับความเสี่ยงตามมุมมองของ Business Balanced Scroecard ทั้ง 4 ด้าน ซึ่งเป็นภาพใหญ่นั้น จำเป็นที่ผู้อำนวยความสะดวก (Facilitator – ผู้ตรวจสอบภายใน) จะต้องเข้าใจหลักการบริหารและการจัดการแบบบูรณาการ เพื่อประเมินความเสี่ยงและผลกระทบที่เกี่ยวข้องว่ามีการควบคุมที่ต้นเหตุ (Root Cause) ที่แท้จริงหรือไม่ ทั้งนี้ก็เพราะกระบวนการควบคุมที่ปลายเหตุจะไม่มีประสิทธิภาพและประสิทธิผลใด ๆ ในการทำ CSA เลยแม้แต่น้อย

ท่านผู้อ่านครับ CSA หรือการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่กล่าวมาตั้งแต่ต้นนั้น สรุปได้ว่า คณะกรรมการและผู้บริหาร และผู้ปฏิบัติงาน ควรจะมีการสื่อสารให้เข้าใจตรงกันว่า การบริหารเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้สำหรับยุคใหม่นั้น จะต้องพิจารณาความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ซึ่งจะเป็นผู้ผลักดันและขับเคลื่อนความต้องการบรรลุวัตถุประสงค์ที่แท้จริงของธุรกิจ/องค์กร ภายใต้สภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงตลอดเวลา

ดังนั้น การหาจุดพอดี หรือดุลยภาพของความต้องการของ Stakeholders ที่แตกต่างกันนั้น จึงเป็นเรื่องที่สำคัญมาก ๆ เพราะหากไม่เกิดดุลยภาพในขั้นตอนแรกนี้ จะมีปัญหากระทบต่อ Governance ที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม (Value Creation) ที่ลงตัวและจะไม่เกิดความยั่งยืน (Sustainable) ซึ่งพิจารณาได้ว่าเป็นกระดุมเม็ดแรกของการขับเคลื่อน Value Creation ให้กับธุรกิจและองค์กรในระยะยาว ทั้งนี้ Value Creation มีหลักการและแนวความคิดที่ว่า Stakeholders ต้องการผลตอบแทนที่เหมาะสมที่ต้องสัมพันธ์กับดุลยภาพการบริหารความเสี่ยงที่พอเหมาะ และการบริหารจัดการทรัพยากรที่เหมาะสมควบคู่กันไปอย่างแยกกันไม่ได้

ขอสรุปเป็นครั้งสุดท้ายในเรื่อง CSA ว่า จากวรรคที่กล่าวข้างต้นจะนำไปสู่การกำหนด Enterprise Goals และเชื่อมโยงไปยัง IT Related Goals และเชื่อมโยงต่อไปยัง Process Goals และ Enabler Goals ที่ต้องการความเข้าใจในทุกขั้นตอนและในทุกกระบวนการบริหารอย่างแท้จริงว่า หากจะมีการดำเนินการจัดทำ CSA ผู้อำนวยความสะดวกและผู้บริหารที่เกี่ยวข้องควรจะเข้าใจในหลักการบริหารแบบบูรณาการที่เหมาะสมและพอเพียงเพียงใด

G (Governance) + R (Risk Management) + C (Compliance) ไม่เท่ากับ Integrated GRC/COBIT 5 หรือการบริหารแบบบูรณาการ

หิน + ปูน + ทราย ไม่เท่ากับ ซีเมนต์ หากขาดน้ำ

“น้ำ” ในที่นี้หมายถึง ความเข้าใจในกระบวนการบริหารและการจัดการแบบบูรณาการ ครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: การนำ CoCo ไปใช้กับ CSA, การประเมินตนเองเพื่อควบคุมความเสี่ยง, องค์ประกอบการควบคุมภายในของ CoCo, แบบจำลอง CoCo, COBIT 5 and CSA, CoCo, CoCo and CSA, Control Self Assessment – CSA, Criteria of Control, CSA, CSA and Auditor, CSA and Change enablement, CSA and GRC, CSA and Integrated Management, Integrated Single Framework and CSA | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 8 COSO (Committee of Sponsoring Organizations)

กรกฎาคม 13, 2013

สวัสดีครับ ทุกท่านที่ติดตามเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ครั้งก่อนผมได้กล่าวทิ้งท้ายไว้ว่า ยังมีการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจและนำไปประยุกต์ใช้ในการประเมินตนเองได้อย่างมีประสิทธิภาพ อย่าง COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ซึ่งในครั้งนี้ผมจะขอเล่าสู่กันฟังเกี่ยวกับ COSO ก่อนนะครับ โดยจะกล่าวถึงในมุมมองของการควบคุมภายใน และการประเมินตนเองเพื่อควบคุมความเสี่ยงในภาพโดยรวม ส่วนในมุมมองของการบริหารความเสี่ยงและการควบคุมภายในที่นำ COSO ไปประยุกต์ใช้ ผมเคยได้กล่าวไว้ในหัวข้อ ของ แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework แล้ว

COSO (Committee of Sponsoring Organizations)
COSO ได้ออกแบบกรอบการควบคุมความเสี่ยงขึ้น เนื่องจากต้องการให้ความหมายการควบคุมภายในที่ชัดเจนตรงกันในองค์กรที่มีความหลากหลาย โดยเรียกแบบจำลองนั้นว่า แบบจำลอง COSO หรือเรียกสั้น ๆ ว่า COSO

ในการพัฒนาแบบจำลองของ COSO ต้องเริ่มจากการทำความเข้าใจความหมายของการวบคุมภายในเสียก่อน การควบคุมภายใน (Internal Control) จึงเป็นวิธีการหนึ่งที่จะช่วยให้องค์กรบรรลุผลสำเร็จ โดยการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นอันจะเป็นการขัดขวางการบรรลุผลสำเร็จขององค์กร และเป็นกระบวนการที่เกิดขึ้นโดยคณะกรรมการบริหาร ผู้บริหาร และทุกคนในองค์กรที่ออกแบบมาเพื่อเป็นการประกันการบรรลุวัตถุประสงค์ขององค์กรในด้านต่าง ๆ ดังนี้
1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน
2. ความน่าเชื่อถือของรายงานทางการเงิน
3. การปฏิบัติตามกฎหมาย กฎระเบียบ

5 องค์ประกอบของการควบคุมภายใน (Components of Internal Control) ของ COSO
การควบคุมภายในประกอบด้วยองค์ประกอบหลายด้านที่ต้องทำการพิจารณา โดยองค์ประกอบของการควบคุมภายในรูปแบบหนึ่ง อาจพิจารณาในเรื่องต่าง ๆ ดังนี้

1. สภาพแวดล้อมของการควบคุม (Control Environment) เมื่อสภาพแวดล้อมการทำงานเป็นสิ่งที่มีความสำคัญในการบริหารธุรกิจ จึงควรที่มีการจัดสภาพแวดล้อมการทำงานให้เหมาะสมกับการปฏิบัติงาน เพื่อให้พนักงานสามารถปฏิบัติงานได้อย่างมีประสิทธิภาพ อันจะช่วยให้การดำเนินธุรกิจเป็นไปอย่างราบรื่น สามารถบรรลุเป้าหมายทางธุรกิจได้ตามที่ต้องการ สภาพแวดล้อมที่สำคัญได้แก่
1.1 ความร่วมมือร่วมใจกันของพนักงาน
1.2 การให้คุณค่าต่อจรรยาบรรณ ความซื่อสัตย์ในการปฏิบัติงาน
1.3 ความสามารถในการทำงานของพนักงานทุกฝ่าย
1.4 ปรัชญาในการดำเนินงานของฝ่ายบริหาร
1.5 รูปแบบการปฏิบัติงาน วิธีการปฏิบัติงานที่ผู้บริหารมอบหมายอำนาจความรับผิดชอบและการจัดการ
1.6 การพัฒนาคนภายในองค์กร
1.7 การควบคุม เอาใจใส่ และการวางแผนจากคณะกรรมการ
1.8 การสื่อสารจากระดับสูง
1.9 การบริหารข้อมูลและข่าวสารร่วมกัน
1.10 ความเข้าใจในระบบการควบคุมภายใน
1.11 โครงสร้างขององค์กร
1.12 วัฒนธรรมขององค์กร
1.13 ความเป็นผู้นำของผู้บริหาร
1.14 อื่น ๆ

2. การประเมินความเสี่ยง (Risk Assessment) เป็นการตระหนักถึง และจัดการกับความเสี่ยงที่องค์กรต้องเผชิญ โดยต้องมีการกำหนดวัตถุประสงค์ที่บูรณาการขององค์กร เช่น การขาย การผลิต การตลาด การเงินกับกิจกรรมอื่น ๆ โดยเน้นให้องค์กรต้องวิเคราะห์/ ประเมินผลและบริหารความเสี่ยงที่เผชิญทั้งปัจจุบันและอนาคตในทุกมุมมอง ทุกระดับ
2.1 การตั้งวัตถุประสงค์ในการดำเนินงานขององค์กรที่เชื่อมโยงระดับต่าง ๆ ฝ่ายต่าง ๆ เข้าด้วยกัน และยึดมั่นแน่นเหนียวภายในองค์กร ซึ่งฝ่ายตรวจสอบภายในจะมีบทบาทในเรื่องนี้มาก
2.2 การประเมินความเสี่ยง คือการค้นหาและวิเคราะห์ความเสี่ยง เพื่อบริหารหรือจัดการให้วัตถุประสงค์ นโยบายขององค์กรที่ตั้งไว้สำเร็จผลอย่างมีประสิทธิภาพและประสิทธิผล
2.3 การเปลี่ยนแปลง คือสิ่งที่ไม่แน่นอน ไม่ว่าในระดับกว้าง ระดับแคบ ทั้งทางด้านเศรษฐกิจการเงิน ลักษณะธุรกิจ เทคนิคข้อบังคับ รวมทั้งเงื่อนไขในการดำเนินงาน จึงจำเป็นต้องมีวิธีการตรวจหาและจัดการกับความเสี่ยงโดยเฉพาะ

3. กิจกรรมการควบคุม (Control Activities) เป็นการพิจารณากำหนดนโยบายและกระบวนการควบคุมให้รอบคอบว่า สิ่งที่กำหนดขึ้นมานั้นสามารถช่วยให้องค์กรบรรลุผลสำเร็จได้อย่างมีประสิทธิผล
การควบคุมก็คือนโยบายและวิธีการต่าง ๆ ที่ทำให้มั่นใจว่าคำสั่งของฝ่ายบริหารได้นำไปปฏิบัติ
3.1 ช่วยให้มั่นใจว่ามีการดำเนินการต่าง ๆ ที่จำเป็นเพื่อบอกถึงความเสี่ยงต่อการทำให้เกิดความสำเร็จตามวัตถุประสงค์ของหน่วยงาน
3.2 ต้องสร้างขั้นตอนการควบคุมความเสี่ยงภายในองค์กรทุกระดับ และทุกแผนก
3.3 การควบคุม รวมทั้งการพิจารณาอนุมัติ การให้อำนาจกระทำการ การตรวจสอบความถูกต้อง การไกล่เกลี่ยความขัดแย้ง การทบทวนผลการดำเนินงาน การรักษาความปลอดภัยของทรัพย์สิน การแบ่งแยกหน้าที่ ฯลฯ เพื่อให้องค์กรบรรลุเป้าหมาย

4. ข้อมูลสารสนเทศและการสื่อสาร (Information and Communication) เน้นการส่งข่าว และความเข้าใจร่วมในองค์กรสำหรับกิจกรรม และระเบียบต่าง ๆ ให้เข้าใจตรงกันตามความรับผิดชอบในแต่ละระดับชั้น ในเวลาที่เหมาะสม
การให้ข้อมูลต้องทำอย่างเหมาะสมด้วยสื่อทั้งภายในและภายนอก
4.1 ต้องสื่อสารเป็นวงกว้าง จากระดับบนสู่ล่าง จากซ้ายไปขวา จากขวาไปซ้าย แล้วย้อนล่างไปบน โดยต้องมีการสร้างระบบข้อมูลสารสนเทศและการสื่อสารที่เอื้อต่อการนำไปใช้ และมีการแลกเปลี่ยนกันตามความจำเป็นเพื่อใช้ในการปฏิบัติ การบริหาร และการควบคุมการดำเนินงาน
4.2 พนักงานทุกคนต้องเข้าใจบทบาทตนเองในระบบการควบคุมภายใน ตลอดจนความรู้ว่าการดำเนินงานของแต่ละคนสัมพันธ์กับการทำงานของผู้อื่น/หน่วยงานอื่นอย่างไร
4.3 รูปแบบการสื่อสารในองค์กรสามารถทำได้หลายทาง เช่น การประชุม การจัดทำรายงานประจำเดือน เป็นต้น การมีข้อมูลข่าวสารและระบบการสื่อสารที่ดีย่อมช่วยให้ผู้บริหารได้สอบทานสถานะของความเสี่ยงและแผนการดำเนินงาน สิ่งเหล่านี้จะช่วยให้เกิดการบอกกล่าวข้อมูลที่สำคัญ และทำให้เกิดการตัดสินใจที่มีประสิทธิผลได้อย่างทันเวลา

5. การติดตาม/การสอดส่องดูแล (Monitoring) เนื่องจากสภาพแวดล้อมทางภายในและภายนอกองค์กรมีการเปลี่ยนแปลงตลอดเวลา ระบบการควบคุมจึงต้องมีการติดตามและดัดแปลง รวมทั้งการตรวจสอบให้เหมาะสมเท่าที่จำเป็น สามารถเปลี่ยนแปลงให้เหมาะสมกับเงื่อนไขต่าง ๆ ได้เป็นอย่างดี โดยระบบการควบคุมภายในทุกระดับของฝ่ายในองค์กรจำเป็นต้องมีการสอดส่องดูแลอย่างใกล้ชิด และมีการประเมินคุณภาพการทำงานของระบบเป็นระยะ ทำได้โดยการสอดส่องและประเมินผลตลอดเวลาทุกขั้นตอนการดำเนินงาน

การนำ COSO ไปใช้ใน CSA
สูตรความเสี่ยงพื้นฐานที่ได้อธิบายมาก่อนหน้านี้ (วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง) ที่ถูกนำมาใช้ในกรอบของ COSO คือเรื่องของการประเมินความเสี่ยง และระดับกิจกรรมการควบคุมความเสี่ยง

องค์กรมักนำ COSO มาใช้ใน CSA โดยการออกแบบสอบถามหรือแบบสำรวจทั่วทั้งองค์กรประจำปี เพื่อประเมินสภาพแวดล้อมการควบคุมขององค์กร ซึ่งอาจทำได้โดยการสัมภาษณ์แบบมีโครงสร้างหรืออาจใช้วิธีการลงชื่อลับ

เครื่องมือการประเมินองค์ประกอบ ได้แก่ แบบสอบถาม, Workshop หรือการสัมภาษณ์ รวมทั้งการใช้ข้อมูลสารสนเทศ การสื่อสาร และการติดตามในการประเมินตนเองทั่วทั้งองค์กร

นอกจากนี้บางองค์กรยังนำ COSO มาใช้ใน CSA ในการทำ Workshops ในระดับทีมงาน เพื่อประเมินการควบคุมในระดับกิจกรรม ซึ่งจะเน้นไปที่กระบวนการทางธุรกิจหรือกิจกรรมที่มีโครงสร้างเหมือน Generic Activities เช่น การสั่งซื้อ บัญชีรายรับ บัญชีรายจ่าย ทรัพยากรมนุษย์ ฯลฯ ซึ่งจะทำงานร่วมกันเป็นทีม วัตถุประสงค์ระดับกิจกรรมที่ระบุไว้ใน COSO เรียกว่าวัตถุประสงค์ด้านการควบคุม ซึ่งจะใช้ในการเริ่มกำหนดคำถามด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงเพื่อใช้ในการปฏิบัติงาน

สำหรับ CoCo (Criteria of Control) หากท่านผู้อ่านอยากทราบเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ด้วย CoCo อย่าพลาดติดตามในครั้งหน้านะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: การประเมินตนเองเพื่อควบคุมความเสี่ยง, องค์ประกอบของการควบคุมภายในของ COSO, Components of Internal Control, Controls Self Assessment, Controls Self Assessment with COSO, COSO กับการประเมินตนเองเพื่อควบคุมความเสี่ยง, CSA, CSA and COSO, Five Components of Internal Control | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

100 ปี แห่งการเปลี่ยนแปลงการปกครอง กับ 100 ปี แห่งการเป็นประเทศที่พัฒนาแล้ว / 100 years of rule changes to the 100 years of the developed countries

มิถุนายน 24, 2013

“ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” ตามที่ผมเคยนำเสนอว่าประเทศไทยควรจะกำหนดวิสัยทัศน์ที่ชัดเจน เป็นลายลักษณ์อักษร เพื่อเป็นธงหลักของประเทศในการกำหนดทิศทาง กระบวนการบริหารและการจัดการที่ดี และเป็นไปตามหลักสากลที่ว่า เราจะบริหารองค์กรไม่ได้เลย ถ้าหากขาดวิสัยทัศน์ และพันธกิจ รวมทั้งนโยบายและกลยุทธ์ และแผนงานที่เกี่ยวข้อง เพื่อสนับสนุนการก้าวไปสู่วิสัยทัศน์ขององค์กร แน่นอนว่า หากประเทศไทยเราได้กำหนดวิสัยทัศน์ที่ชัดเจน และเป็นรูปธรรมที่เป็นลายลักษณ์อักษรแล้ว การจัดสรรงบประมาณให้กระทรวง ทบวง กรม ต่าง ๆ ก็จะมีทิศทางที่เอื้ออำนวยให้ประเทศไปสู่ทิศทางเดียวกันตามวิสัยทัศน์ที่กำหนด

วันนี้เป็นวันที่ 24 มิถุนายน พ.ศ. 2556 ซึ่งเวลาได้ผ่านพ้นมา 81 ปี เมื่อนับจากวันแห่งการเปลี่ยนแปลงการปกครอง เมื่อวันที่ 24 มิถุนายน พ.ศ. 2475 เหลือเวลาเพียง 19 ปีเท่านั้น ที่จะผลักดันให้ประเทศไทยก้าวไปสู่การเป็นประเทศที่พัฒนาแล้ว ซึ่งนับว่ามี

ภาพจาก http://www.iseehistory.com โดย หมาป่าดำ

เวลาไม่มากนัก แต่ก็ยังดีกว่ามากเมื่อเทียบกับการไม่กำหนดเป้าหมายหลักของประเทศที่เราต้องการเห็น หรือไปให้ถึง ทำให้การจัดสรรงบประมาณ อาจจะขาดหางเสือหรือทิศทางที่จะนำนาวาที่ชื่อ “ประเทศไทย” ไปสู่เป้าหมายที่พึงต้องการได้ ในปี พ.ศ. 2575 เพราะการจัดสรรงบประมาณไม่ได้มีทิศทางเพื่อจะให้ประชาชนคนไทยมีรายได้โดยเฉลี่ย ไม่ต่ำกว่า 15,000 USD ตามที่กำหนดเอาไว้เป็นข้อ 1 ในหลายข้อของการพิจารณาว่าประเทศไทยที่เป็นประเทศที่พัฒนาแล้ว (Developed Country)

ดังนั้น เมื่อถึงปี พ.ศ. 2575 ประเทศไทยก็อาจยังไม่เป็นประเทศที่พัฒนาแล้ว ตามหลักเกณฑ์หรือหลักสากลที่กำหนดไว้ ซึ่งเป็นเรื่องที่น่าเสียดายยิ่ง เพราะทุกประเทศที่พัฒนาแล้ว และกำลังจะก้าวไปสู่ประเทศที่พัฒนา อย่างประเทศมาเลเซียเพื่อนบ้านของเรา ก็กำหนดวิสัยทัศน์ที่ชัดเจนว่า “ในปี ค.ศ. 2020 ประเทศมาเลเซีย จะเป็นประเทศที่พัฒนาแล้ว” เป็นต้น ซึ่งเหลือเวลาเพียง 7 ปีสำหรับประเทศมาเลเซีย ที่จะนำพาประเทศและประชากรของเขาไปสู่ประเทศที่พัฒนาแล้ว ซึ่งเป็นที่น่าภาคภูมิใจเป็นอย่างยิ่ง สำหรับประเทศเล็ก ๆ ที่มีเนื้อที่และประชากรที่น้อยกว่าประเทศไทยเราเป็นอย่างมาก

ลองวิเคราะห์เบื้องต้นอย่างหยาบ ๆ ก็จะพบว่า วิสัยทัศน์ของมาเลเซีย มีทางเป็นไปได้ค่อนข้างสูงมาก ที่จะนำพาประเทศไปสู่การเป็นประเทศที่พัฒนาแล้ว ทั้งนี้เพราะ การจัดสรรงบประมาณของประเทศมาเลเซีย การกำหนดนโยบาย การกำหนดวิสัยทัศน์ และการกำหนดขั้นตอนการบริหารประเทศ รวมทั้งโครงการต่าง ๆ ที่ผ่าน กระทรวง ทบวง กรม และรัฐบาลที่มั่นคงของประเทศมาเลเซีย ตั้งแต่อดีตจนถึงปัจจุบัน มีทิศทางที่สอดประสานและบูรณาการเป็นหนึ่งเดียวกันก็คือ ทุกทิศทางภายใต้กรอบงบประมาณและแผนงาน ล้วนแล้วแต่สนับสนุนการยกระดับเศรษฐกิจ การเงิน การงาน ซึ่งเน้นหนักในกิจกรรมที่เกี่ยวข้องกับการสร้างมูลค่าเพิ่ม ทั้งทางตรงและทางอ้อม ที่ผลักดันประเทศไปสู่ในทิศทางเดียวกันนั่นคือ “ในปี ค.ศ. 2020 ประเทศมาเลเซีย จะเป็นประเทศที่พัฒนาแล้ว”

หากมีโอกาส ผมจะลองวิเคราะห์ให้ผู้อ่านเห็นภาพชัดเจนว่า ประเทศมาเลเซียได้วางแผนและพัฒนาประเทศอย่างไร และทิ้งห่างกับประเทศไทยอย่างไรบ้าง เพื่อนำพาประเทศของเขาไปสู่วิสัยทัศน์ตามที่กล่าวข้างต้น โดยเฉพาะอย่างยิ่ง การพัฒนาบุคคลากรของคนในชาติมาเลเซีย ที่เน้นองค์ความรู้ และสร้างความคิดเพื่อให้ประชาชนของเขาสามารถสร้างนวัตกรรมใหม่ ๆ และสามารถสร้างคุณค่าเพิ่มได้จากเทคโนโลยี เทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ที่มีกลยุทธ์ชาญฉลาด ลึกซึ้งเป็นอย่างยิ่ง จากความคิดของผู้นำ รัฐบาลที่มีความมั่นคงติดต่อกันมาหลายยุค หลายสมัย

อนุสาวรีย์ประชาธิปไตยในอดีต ภาพจาก wikipedia

ผมอาจเข้าใจผิดว่า ประเทศไทย ยังไม่ได้กำหนดวิสัยทัศน์ตามที่ได้กล่าวข้างต้น จากการที่ไม่ได้ปักธง หรือกำหนดวิสัยทัศน์ของประเทศ เป็นลายลักษณ์อักษรก็ได้นะครับ

ถ้าเป็นเช่นนั้น หากมีใครทราบว่า ประเทศไทยได้กำหนดวิสัยทัศน์ของประเทศไว้อย่างไร ไว้ในสมัยรัฐบาลใด ในปี พ.ศ. ใด ที่เป็นลายลักษร์อักษรชัดเจนและนำไปใช้ในทางปฏิบัติ ที่เกี่ยวข้องกับการผลักดันงบประมาณ ผ่าน กระทรวง ทบวง กรมต่าง ๆ ซึ่งเปรียบเสมือนฝีพาย เพื่อนำพานาวาของรัฐหรือประเทศไทย ไปสู่การเป็นประเทศพัฒนาแล้ว ในปี พ.ศ. 2575 คือ 100 ปี นับจากปี พ.ศ. 2475 ที่มีการเปลี่ยนแปลงการปกครองของประเทศ เมื่อวันที่ 24 มิถุนายน พ.ศ. 2475

และเมื่อใดกันครับ ที่เราจะเห็นวิสัยทัศน์ของประเทศที่เป็นลายลักษณ์อักษร ที่มีความหมายและสามารถสื่อสารไปยังประชาชนคนไทยทั้งประเทศผ่านนโยบายและวิสัยทัศน์ที่จะขับเคลื่อนแผนงาน โครงการต่าง ๆ โดยใช้งบประมาณที่จัดสรรในแต่ละปีให้เหมาะสมและได้ดุลยภาพกับคนไทยเพื่อให้เกิดคุณค่าเพิ่มแก่คนไทยทั้งประเทศ ผ่านกลไกในการขับเคลื่อนประเทศที่ดีควบคู่กับการบริหารความเสี่ยงและการบริหารทรัพยากรของประเทศอย่างเหมาะสม

เรื่องนี้เป็นเรื่องสำคัญอย่างยิ่งในความคิดของผม และใคร่อยากจะได้เห็นวิสัยทัศน์ของประเทศที่กำหนดเป็นลายลักษณ์อักษรที่สามารถสื่อความและชี้ทิศทางให้ประเทศไทยเดินไปสู่อนาคตที่ดีและเติบโตอย่างยั่งยืน ตามหลักการจัดการที่ดีและเป็นสากลได้

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: 100 ปี แห่งการเป็นประเทศที่พัฒนาแล้ว, 100 years from the rule changes to developed contries, 100 years of rule changes to the 100 years of the developed countries, 100 years of the developed countries, 24 มิถุนายน 2475, ความคาดหวังที่จะเป็นประเทศที่พัฒนาแล้ว, งบประมาณกับวิสัยทัศน์, วิสัยทัศน์ พันธกิจ กลยุทธ์ระดับประเทศ, วิสัยทัศน์ของประเทศไทย กับ GRC ในมุมมองระดับประเทศ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

	ธันยานี บน กรอบการทำงานการตรวจสอบปัญญาประ…
	zinchai บน การพัฒนาในเชิงรุกเพื่อให้เกิด…
	ธันยานี โพธิสาร บน หนังสือการดำเนินงาน และการตรวจ…
	supalerk fmt บน ความเป็นมาของการร่างพรบ. ไซเบอ…
	Samart Pochjanapanic… บน ผลกระทบต่อความมั่นคงปลอดภัยไซเ…
	ดูหนูสู่รูงูงูสุดสู้… บน เทคโนโลยีการบัญชี เครื่องมือทา…
	ความเชื่อ กับ การพัฒ… บน ความเชื่อ กับ การพัฒนาเพื่อการ…
	sakchai บน ความชัดเจนของแผนแม่บทไอซีทีอาเ…
	chanuntipat บน ความเชื่อ กับ การพัฒนาเพื่อการ…
	การประเมินตนเองเพื่อ… บน การประเมินตนเองเพื่อควบคุมความ…
	ความชัดเจนของแผนแม่บ… บน ความชัดเจนของแผนแม่บทไอซีทีอาเ…
	ความชัดเจนของแผนแม่บ… บน ความชัดเจนของแผนแม่บทไอซีทีอาเ…
	arty7221 บน ความชัดเจนของแผนแม่บทไอซีทีอาเ…
	โอ็ต นิสิต ตาดำๆ บน คน 6 คน กับ หมวก 6 สี (Six Thi…
	unlike59 บน พระราชกฤษฎีกาว่าด้วยวิธีการแบบ…

Information Technology Governance

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 6)

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 5)

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 3)

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 2)

Crossing Borders CIOs’ Innovation & Inspiration and Integrated Management – What CEOs Want From CIOs ตอนที่ 2 Evolution of the IT Leadership Role

Crossing Borders CIOs’ Innovation & Inspiration and Integrated Management – What CEOs Want From CIOs

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 9 CoCo (Criteria of Control)

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 8 COSO (Committee of Sponsoring Organizations)

100 ปี แห่งการเปลี่ยนแปลงการปกครอง กับ 100 ปี แห่งการเป็นประเทศที่พัฒนาแล้ว / 100 years of rule changes to the 100 years of the developed countries

Article

Links

ความเห็นล่าสุด

จำนวนผู้เยี่ยมชม

นิยาม

มีนาคม 2026
จ.	อ.	พ.	พฤ.	ศ.	ส.	อา.
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31