ความสำคัญของ Integrity of the Information ที่มีผลต่อกระบวนการบริหารและการตรวจสอบ (ต่อ)

ท่านผู้อ่านครับ ผมตั้งใจจะแยกเรื่อง II Audit และ Non – IT Audit ซึ่งได้แก่ การตรวจสอบโดยทั่วไป ออกจากกันเมื่อได้อธิบายถึงผลกระทบของ IT ต่อกระบวนการรายงาน และความถูกต้องของข้อมูลไปหลายสัปดาห์แล้ว

แต่ผมยังมีเรื่องที่อยากจะเล่าสู่กันฟังในหลายมุมมองที่ผู้บริหาร โดยเฉพาะอย่างยิ่งคณะกรรมการตรวจสอบ และผู้ตรวจสอบควรจะได้เข้าใจอย่างลึกซึ้ง เกี่ยวกับ IT Risk ต่อ Business Risk ต่อไปอีกระยะหนึ่ง ก่อนที่จะก้าวสู่การตรวจสอบทางด้าน IT และ Non – IT Audit ต่อไปอีกเล็กน้อยนะครับ

ในวันนี้ ผมจึงขอย้ำในเรื่องที่ว่า กระบวนการบริหารความเสี่ยงตามกรอบมาตรฐานของ COSO – ERM นั้น แยกไม่ได้กับ 4 Domain หลัก ของ CobiT ภายใต้ร่มใหญ่ของ CG และ IT Governance ดังนั้น หาก Information ที่ใช้ในการบริหารและการตรวจสอบ ไม่ได้มีการสอบทานความถูกต้องขององค์ประกอบหลัก 7 ประการ ของ Information ที่ดี รวมทั้งมีการสื่อสารที่อาจจะมีความเข้าใจแตกต่างกัน จะมีผลกระทบอย่างมากต่อกระบวนการบริหารทุกระดับชั้น เพราะ…

Information & Communication เป็นองค์ประกอบหลักข้อหนึ่งของ COSO v1 – Internal Control และ COSO v2 – ERM ซึ่งองค์ประกอบนี้ครอบทุกวัตถุประสงค์หลักของการบริหารความเสี่ยง นั่นคือ O – F – C ตาม COSO v1 และครอบ 4 วัตถุประสงค์หลักของทุกองค์กรใน COS v2 ที่เกี่ยวกับ Strategic Risk (S) ที่เกี่ยวข้องกับ Operational Risk (O) ที่เกี่ยวกับความถูกต้องของรายงานทางการเงินและรายงานต่าง ๆ Financial Risk (F) และการปฏิบัติตามกฎหมาย กฎเกณฑ์ ทั้งภายนอกและภายในขององค์กร ก็คือ Compliance Risk (C) ซึ่งสามารถเข้าใจได้โดยง่ายจากแผนภาพด้านล่างนี้

ERM is fully with the COSO

ERM is fully aligned with the COSO

นอกจากนี้ ความสำคัญของ Information & Communication ที่เป็นหัวใจของการบริหารจะชัดเจนยิ่งขึ้นถ้าหากได้เห็นภาพด้านล่างนี้นะครับ

ความสัมพันธ์ระหว่างองค์ประกอบการควบคุมภายใน - COSO v1

ความสัมพันธ์ระหว่างองค์ประกอบการควบคุมภายใน - COSO v1

 

Leave a Reply