Archive for มีนาคม, 2009

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

ครั้งก่อนผมได้กล่าวถึง แนวทางของการระบุปัจจัยเสี่ยงและเครื่องมือที่ใช้วัดการระบุปัจจัยเสี่ยงไปแล้ว ครั้งนี้เราจะมาดูกันว่า โครงสร้างของการบริหารความเสี่ยงประกอบไปด้วยใครกันบ้าง และในแต่ละคน/แต่ละส่วนงานมีหน้าที่และความรับผิดชอบในการบริหารความเสี่ยงอย่างไรกันบ้าง ซึ่งผมจะพูดถึงบทบาทและความรับผิดชอบหลักของผู้ที่เกี่ยวข้องโดยตรงกับการบริหารความเสี่ยง โดยจะแบ่งเป็นหัวข้อ ๆ เพื่อให้เข้าใจได้ง่าย เรามาดูกันต่อเลยครับ

โครงสร้างการบริหารความเสี่ยง
โครงสร้างของการบริหารความเสี่ยง ไม่มีรูปแบบที่เป็นมาตรฐานเพียงแบบเดียว แต่ต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร โดยจะพิจารณาได้จากวัฒนธรรม ความซับซ้อนของการดำเนินงาน ประเภทและลักษณะขององค์กรเป็นองค์ประกอบ สิ่งสำคัญของโครงสร้างการบริหารความเสี่ยง คือการที่คณะกรรมการและผู้บริหารทุกระดับมีบทบาทและมีส่วนร่วมในการพัฒนาการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลขององค์กรจะช่วยในการประเมิน ควบคุมและติดตามความเสี่ยงของแต่ละหน่วยงาน และทำให้เกิดความมั่นใจว่าการปฏิบัติงานในการบริหารความเสี่ยงโดยทุกคนในองค์กรอยู่ภายใต้กรอบเดียวกัน

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลประกอบด้วย
– คณะกรรมการที่มีความรับผิดชอบโดยตรงในการกำกับดูแลการบริหารความเสี่ยง
– คณะกรรมการบริหารความเสี่ยงที่ได้รับแต่งตั้งให้ทำหน้าที่ในการพัฒนาการบริหารความเสี่ยงอย่างน้อยควรประกอบด้วยผู้บริหารระดับสูงขององค์กร เช่น กรรมการผู้จัดการ และรองกรรมการผู้จัดการ
– หน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยงที่รับผิดชอบในการนำเอาวิสัยทัศน์ขององค์กรในส่วนที่เกี่ยวกับการบริหารความเสี่ยงไปกำหนดเป็นนโยบายและวิธีการปฏิบัติ

อย่างที่ได้กล่าวไปในช่วงต้นแล้วว่า โครงสร้างของการบริหารความเสี่ยง ไม่มีรูปแบบที่เป็นมาตรฐานตายตัว แต่ต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร ดังนั้น ผมจึงขอนำแผนภาพที่เป็นตัวอย่างของโครงสร้างการบริหารความเสี่ยงมาให้ดูกันครับ

โครงสร้างการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงขององค์กร

การพัฒนาโครงสร้างการบริหารความเสี่ยงอย่างเป็นทางการ จะทำให้ผู้บริหารและพนักงานในหน่วยงานต่าง ๆ มีความเข้าใจในหน้าที่และความรับผิดชอบที่เกี่ยวข้องกับการบริหารความเสี่ยง ซึ่งมีผลให้เกิดการตัดสินใจที่ถูกต้อง ทันเวลา ป้องกันความสูญเสียและเพิ่มโอกาสทางธุรกิจให้แก่องค์กร

การพัฒนาโครงสร้างการบริหารความเสี่ยงต้องการความรับผิดชอบและความร่วมมือจากทุกคนดังนี้
– คณะกรรมการ
– คณะกรรมการตรวจสอบ
– คณะกรรมการบริหารความเสี่ยง
– ผู้บริหารระดับสูง
– หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ผู้ตรวจสอบภายใน
– หัวหน้างานและพนักงาน

บทบาทและความรับผิดชอบหลักของผู้ที่เกี่ยวข้องโดยตรงกับการบริหารความเสี่ยง
คณะกรรมการ
– จะต้องเข้าใจถึงความเสี่ยงที่อาจมีผลกระทบร้ายแรงต่อการบรรลุวัตถุประสงค์ขององค์กร และทำให้มั่นใจว่ามีการดำเนินการที่เหมาะสมเพื่อจัดการความเสี่ยงนั้น ๆ

คณะกรรมการตรวจสอบ
– ต้องทำให้มั่นใจว่ามีการควบคุมภายในองค์กรที่เหมาะสมเพื่อจัดการความเสี่ยงทั่วทั้งองค์กร
– มีหน้าที่กำกับดูแลและติดตามการบริหารความเสี่ยงอย่างเป็นอิสระ
– ติดตามประสิทธิภาพการทำงานของหน่วยงานตรวจสอบภายใน
– รายงานต่อคณะกรรมการและผู้ถือหุ้นเกี่ยวกับประสิทธิภาพและประสิทธิผลของการควบคุมภายในองค์กร
– คณะกรรมการตรวจสอบมีการสื่อสารกับคณะกรรมการบริหารความเสี่ยง เพื่อให้เข้าใจความเสี่ยงที่สำคัญและเชื่อมโยงให้สอดคล้องกับการควบคุมภายใน

คณะกรรมการบริหารความเสี่ยง
– มีหน้าที่ในการพิจารณาและอนุมัตินโยบายและกรอบการบริหารความเสี่ยง
– ติดตามการพัฒนากรอบการบริหารความเสี่ยง
– ติดตามกระบวนการบ่งชี้และการประเมินความเสี่ยง
– ประเมินและอนุมัติแผนการจัดการความเสี่ยง
– รายงานต่อคณะกรรมการเกี่ยวกับความเสี่ยง และการจัดการความเสี่ยง
– มีการสื่อสารกับคณะกรรมการตรวจสอบเกี่ยวกับความเสี่ยงที่สำคัญ

กรรมการผู้จัดการหรือ ผู้อำนวยการ
– มีหน้าที่ติดตามความเสี่ยงที่สำคัญทั้งองค์กร และทำให้มั่นใจได้ว่ามีแผนการจัดการกับความเสี่ยงที่เหมาะสม
– ส่งเสริมนโยบายการบริหารความเสี่ยง และทำให้มั่นใจว่ากระบวนการบริหารความเสี่ยงได้รับการปฏิบัติทั่วทั้งองค์กร

รองกรรมการผู้จัดการ หรือ รองผู้อำนวยการ
– ต้องติดตามความเสี่ยงทางกลยุทธ์และความเสี่ยงด้านการปฏิบัติการที่สำคัญ และทำให้มั่นใจได้ว่ามีแผนการจัดการความเสี่ยงที่เหมาะสม
– ส่งเสริมวัฒนธรรมการบริหารความเสี่ยง และทำให้มั่นใจได้ว่าผู้อำนวยการฝ่ายให้ความสำคัญกับการบริหารความเสี่ยงในฝ่ายของตน

ผู้อำนวยการฝ่าย
– ต้องทำให้มั่นใจว่าการปฏิบัติงานรายวันมีการประเมิน จัดการและรายงานความเสี่ยงอย่างเพียงพอ
– มีการส่งเสริมพนักงานในฝ่ายให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

หัวหน้างานหรือพนักงาน
– มีหน้าที่ระบุและรายงานความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานต่อผู้อำนวยการฝ่าย และเข้าร่วมในการจัดทำแผนจัดการความเสี่ยง และนำแผนไปปฏิบัติ

หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ต้องปฏิบัติหน้าที่ประจำวันแทนคณะกรรมการบริหารความเสี่ยง
– จัดทำนโยบายความเสี่ยง กรอบและกระบวนการให้กับหน่วยงานและเสนอคณะกรรมการบริหารความเสี่ยงเพื่ออนุมัติ
– มีหน้าที่ให้การสนับสนุน และแนะนำกระบวนการบริหารความเสี่ยง แก่หน่วยงานต่าง ๆ ภายในองค์กรตามที่มีการร้องขอ

ผู้ตรวจสอบภายใน
– ต้องทำให้มั่นใจว่ามีการควบคุมภายในองค์กรที่เหมาะสมต่อการจัดการความเสี่ยง และการควบคุมเหล่านั้นได้รับการปฏิบัติตาม
– ทำให้มั่นใจว่าได้มีการนำระบบการบริหารความเสี่ยงมาปรับใช้อย่างเหมาะสมและมีการปฏิบัติตามทั่วทั้งองค์กร
– มีการสอบทานการปฏิบัติงานของหน่วยงานการบริหารความเสี่ยง
– ต้องสื่อสารกับหน่วยงานการบริหารความเสี่ยงเพื่อทำความเข้าใจเกี่ยวกับความเสี่ยง และดำเนินการตรวจสอบภายในตามแนวความเสี่ยง (Risk Based Auditing)

ถึงแม้ว่าจะมีการกำหนดบทบาทและหน้าที่ความรับผิดชอบของผู้เกี่ยวข้องกับการบริหารความเสี่ยงไว้อย่างชัดเจนแล้วก็ตาม แต่อย่างไรก็ตาม องค์กรทั่วไปควรกำหนดให้การบริหารความเสี่ยงเป็นความรับผิดชอบร่วมกันของผู้บริหารและพนักงานทุกระดับ และให้มีการปฏิบัติอย่างต่อเนื่อง เพื่อให้การบริหารความเสี่ยงประสบความสำเร็จและมีประสิทธิภาพสูงสุด

ผมจะขอทิ้งท้ายด้วยภาพของบทบาทและหน้าที่ความรับผิดชอบของผู้บริหารความเสี่ยง ดังที่ได้อธิบายในข้างต้นไว้ให้ได้ชมกันครับ

บทบาทและหน้าที่ความรับผิดชอบของผู้บริหารความเสี่ยง

บทบาทและหน้าที่ความรับผิดชอบของผู้บริหารความเสี่ยง

 

ก้าวสู่…การกำกับดูแลกิจการที่ดีขององค์กร (Approach to Corporate Governance)

จากที่เราได้คุยกันในครั้งก่อน เมื่อวันที่ 24 มี.ค. 2552 ได้พูดถึงบทคัดย่อ พระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546

วันนี้เราจะได้คุยกันต่อ เพื่อสร้างความเข้าใจโดยใช้รูปภาพเป็นสื่อ และแทรกด้วยคำอธิบายบางส่วน เท่าที่พิจารณาว่าเหมาะสม ดังนี้นะครับ…

สภาพแวดล้อมของการกำกับดูแลกิจการที่ดี กับ GRC บางมุมมอง

สภาพแวดล้อมของการกำกับดูแลกิจการที่ดี กับ GRC บางมุมมอง

การกำกับดูแลกิจการที่ดีขององค์กร มีบทบาทในการเพิ่มศักยภาพการแข่งขันทางด้านการให้บริการ สร้างความไว้วางใจในด้านความโปร่งใสและการปฏิบัติที่เป็นธรรม

ความเข้าใจของคำว่า การกำกับดูแลกิจการที่ดี (Good Corporate Governance) มีความเข้าใจที่แตกต่างกันค่อนข้างมาก ในบรรดาผู้บริหารและผู้ปฏิบัติงานบางส่วน การสร้างความเชื่อมั่นในการนำองค์กร ไปสู่เป้าหมายที่กำหนดได้อย่างยั่งยืนนั้น จำเป็นอย่างยิ่งที่จะต้องร่วมมือร่วมใจกันสร้างและจัดให้มีวิธีการกำกับดูแลกิจการที่ดี เพื่อสร้างโอกาส ศักยภาพ โดยความร่วมมือ ร่วมใจของบุคลากรทุกระดับ

การกำกับดูแลกิจการที่ดี เป็นการบริหารจัดการโดยกำหนดบทบาทและวิธีปฏิบัติงานเพื่อก่อให้เกิดประโยชน์ต่อการบริหาร การให้บริการและเพิ่มมูลค่าในทุกระดับขององค์กร ตามหลักการสากลของการกำกับดูแลกิจการที่ดีที่ใช้อยู่ในปัจจุบันนี้ และสอดคล้องกับพระราชกฤษฎีกา พ.ศ.2546 ว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีในมิติต่าง ๆ ซึ่งจะประกอบด้วย:-

1. Responsibility
มีความเข้าใจและมีขีดความสามารถในการประพฤติปฏิบัติได้ตามหน้าที่ และความรับผิดชอบให้บรรลุวัตถุประสงค์และเป้าหมายที่กำหนด

2. Accountability
แสดงความรับผิดและรับชอบต่อผลการปฏิบัติหน้าที่ถึงแม้จะไม่ได้ปฏิบัติงานนั้นด้วยตนเอง

3. Equitable Treatment
ปฏิบัติต่อผู้มีส่วนได้ส่วนเสียทุกกลุ่มอย่างเท่าเทียมและเป็นธรรม

4. Transparency
แสดงความโปร่งใสในการดำเนินงาน สามารถอธิบายและตรวจสอบได้

5. Creation of Long Term Value
แสดงกลยุทธ์และขีดความสามารถในการสร้างมูลค่าเพิ่มให้กับกิจการในระยะยาว

6. Promotion of Best Practices
ส่งเสริมการปฏิบัติอันเป็นเลิศ และการมีจรรยาบรรณที่ดีในการประกอบธุรกิจ

7. Social and Environmental Awareness
มีความสำนึกที่ต้องรับผิดชอบต่อสังคม และสิ่งแวดล้อม

ความตื่นตัวของการกำกับดูแลกิจการที่ดี ได้เกิดมากขึ้นหลังจากที่ประเทศไทยได้ประสบวิกฤติการณ์เศรษฐกิจที่ผ่านมา ในปี 2539 – 2540 และกำลังเกิดวิกฤติการณ์ใหม่ ซึ่งมีระดับความเสียหายไปทั่วโลกในปัจจุบัน ผมเชื่อว่าวิกฤติที่เกิดขึ้นนั้น ส่วนหนึ่งมาจากการขาดการบริหารจัดการที่ดีทั้งในภาครัฐและเอกชน โดยเฉพาะอย่างยิ่งการละเลยไม่ปรับตัวให้สอดคล้องกับความเปลี่ยนแปลง การไม่สร้างมาตรฐานให้ทัดเทียมเพื่อการแข่งขันกับคนอื่น โดยเฉพาะในเวทีของโลก จึงต้องมีการปรับปรุงการบริหารจัดการ ทั้งในภาครัฐและเอกชน พัฒนารูปแบบการดำเนินงานเพื่อสามารถแข่งขันกับผู้อื่นได้ สามารถยกระดับมาตรฐานให้เป็นสากล เป็นที่ยอมรับ เป็นที่น่าเชื่อถือและน่าไว้วางใจต่อผู้ที่เกี่ยวข้อง เพราะธุรกิจต่าง ๆ และหน่วยงานของรัฐ ต้องติดต่อและมีความสัมพันธ์ระหว่างประเทศมากขึ้น ไม่ทางตรงก็ทางอ้อม

ประเทศสหรัฐอเมริกาเอง ซึ่งเป็นประเทศต้นแบบประเทศหนึ่งในการสร้างมาตรฐานการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง ในเรื่องอื่น ๆ อีกมากมาย รวมทั้งเรื่อง IT Governance และอื่น ๆ นั้น กับเป็นประเทศที่สร้างปัญหาทั้งเศรษฐกิจและการเงินที่มีผลกระทบต่อเศรษฐกิจการเงินทั่วโลกในปัจจุบัน ก็เกิดจากการละเว้นไม่ปฏิบัติตามกฎเกณฑ์ที่ประเทศของตนเป็นผู้นำในการสร้างกติกาต่าง ๆ ให้ประเทศทั่วโลกต้องปฏิบัติ

นี่คือจุดอ่อนที่สำคัญของการควบคุมภายใน ที่เกิดจาก People – Process – Technology ผสมผสานกับสภาพแวดล้อมทางวัฒนธรรมและความหย่อนยานทางจริยธรรม ซึ่งส่วนใหญ่จะขึ้นกับจิตสำนึกของบุคลากรที่ยากมากที่จะติดตามและตรวจสอบให้รู้ถึงรากเง้าของปัญหาที่ก่อตัวขึ้น และกว่าจะรู้ว่าปัญหาที่เกิดขึ้นนั้นมีความเสียหายอย่างอเนกอนันต์ ก็สายเกินกว่าที่จะแก้ไขได้ในเวลาอันสั้น

ผลกระทบของความเสียหายจึงเกิดขึ้นในลักษณะลูกโซ่ ซึ่งเรียกว่าเป็น “Systematic Risk” ที่เป็นอยู่ในปัจจุบันนั่นเอง สรุปได้ว่า ปัญหาที่เกิดขึ้นในอดีตและปัจจุบัน เกิดจากการขาดดุลยภาพของกระบวนการจัดการที่ดี ที่ไม่เป็นไปตามหลักบรรษัทภิบาล หรือ CG ที่เป็นรูปธรรม

การขาดดุลยภาพก็หมายถึง การขาดความยั่งยืนในการเจริญเติบโต ซึ่งเป็นหลักการข้อหนึ่งของ CG นอกเหนือจากหลักการอื่น ๆ ที่จะกล่าวต่อไป

การสร้างค่านิยมร่วมของประเทศและองค์กร

การสร้างค่านิยมร่วมของประเทศและองค์กร

ทั้งนี้ หน่วยงานภาครัฐของไทยจึงเล็งเห็นถึงความสำคัญของการกำกับดูแลกิจการที่ดีและประโยชน์ที่คาดว่าจะได้รับจากการนำการกำกับดูแลกิจการที่ดีมาใช้ จึงได้มีการประยุกต์หลักการสากลทั้ง 7 ประการข้างต้นให้มีความเป็นรูปธรรมและเหมาะสมกับประเทศไทยมากขึ้น โดยรัฐบาลได้ออกมาเป็น พระราชกฤษฎีกาว่าด้วยหลักเกณฑ์ และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 เมื่อวันที่ 9 ตุลาคม 2546 โดยสาระสำคัญประกอบด้วย

1. การเกิดประโยชน์สุขของประชาชน
2. การเกิดผลสัมฤทธิ์ต่อภารกิจของรัฐ
3. มีประสิทธิภาพและเกิดความคุ้มค่าในเชิงภารกิจของรัฐ
4. ไม่มีขั้นตอนการปฏิบัติงานเกินความจำเป็น
5. มีการปรับปรุงภารกิจของส่วนราชการให้ทันต่อสถานการณ์
6. ประชาชนได้รับการอำนวยความสะดวก แลได้รับการตอบสนองความต้องการ
7. มีการประเมินผลการปฏิบัติราชการสม่ำเสมอ

สาระสำคัญของพระราชกฤษฎีกาฯ ข้างต้นทำให้ทางหน่วยงานภาครัฐต่าง ๆ ให้ความสำคัญในเรื่องการกำกับดูแลกิจการที่ดีกันมากขึ้น องค์กรต่าง ๆ ทั้งภาครัฐและเอกชนเป็นหน่วยงานหนึ่งที่เล็งเห็นประโยชน์และความสำคัญดังกล่าว โดยได้มีการนำเอาพระราชกฤษฎีกาฯ นั้นมาใช้ในการกำหนดออกมาเป็นกรอบของ กพร. ซึ่งสามารถแบ่งออกเป็นมิติต่าง ๆ 4 ด้าน

มิติทั้ง 4 ด้าน ตามกรอบของ กพร. ประกอบด้วย
มิติที่ 1 ประสิทธิผลตามพันธกิจ
1. การประเมินผลตามแผนยุทธศาสตร์ของหน่วยราชการ
2. ผลสำเร็จในการพัฒนาการปฏิบัติราชการ

มิติที่ 2 ประสิทธิภาพของการปฏิบัติราชการ
1. คุณภาพการให้บริการ
2. การให้บริการผ่านทางระบบอิเล็กทรอนิกส์
3. การสำรวจและรับฟังความคิดเห็นของประชาชน และจัดให้มีคณะที่ปรึกษาภาคประชาชน

มิติที่ 3 คุณภาพการให้บริการ
1. การลดค่าใช้จ่าย
2. การลดระยะเวลาการให้บริการ
3. การนำระบบอิเล็กทรอนิกส์มาใช้กับงานบางส่วน
4. การวัดต้นทุนต่อหน่วย
5. การบริหารสินทรัพย์ให้เกิดประสิทธิภาพ

มิติที่ 4 การพัฒนาองค์กร
1. การลดอัตรากำลังหรือการจัดสรรอัตรากำลังให้ทำงานคุ้มค่า
2. การมอบอำนาจการตัดสินใจ การอนุมัติ อนุญาตไปยังระดับปฏิบัติการ
3. การกำหนดเป้าหมายและตัวชี้วัดระดับบุคคลให้สอดคล้องกับระดับองค์กร
4. การพัฒนาระบบการควบคุมภายใน
5. นวัตกรรม

จากหลักสากลของการกำกับดูแลที่ดีแปลงมาสู่พระราชกฤษฎีกาฯ และองค์กรต่าง ๆ ได้นำมาประยุกต์ปฏิบัติให้เป็นรูปธรรม เพื่อให้สามารถวางเป็นกรอบการดำเนินงานในการกำกับดูแลองค์กรที่ดีขององค์กร เป็นหลักเกณฑ์และมาตรฐานที่กำหนดขึ้น เพื่อให้คณะผู้บริหารและพนักงานขององค์กรทุกคน ใช้เป็นแนวทางในการกำกับดูแลการบริหารงานและปฏิบัติงานให้มีคุณภาพ มีความโปร่งใส และมีประสิทธิภาพในภาระหน้าที่ความรับผิดชอบในการบริหารงานทุกขั้นตอน โดยการกำหนดรูปแบบและอำนาจหน้าที่ ตลอดจนแนวปฏิบัติที่ดีของคณะกรรมการฝ่ายบริหารและพนักงาน เพื่อให้เกิดกระบวนการกำกับดูแล มีการตรวจสอบและพัฒนาการ และระบบการควบคุมภายในที่ดีเป็นมาตรฐาน โดยมีการบริหารและจัดการกับขนาดของความเสี่ยงด้านต่าง ๆ ที่มีโอกาสที่จะสร้างความเสียหายให้กับองค์กร ทั้งในปัจจุบันและอนาคตได้อย่างมีประสิทธิผล และเหมาะสมเป็นที่ยอมรับของทุก ๆ ฝ่ายที่เกี่ยวข้อง

 

ความเข้าใจของผู้บริหารและผู้ตรวจสอบที่เกี่ยวข้องกับความถูกต้องและความน่าเชื่อถือได้ของข้อมูล (Integrity of the Information for Auditor & AC)

เมื่อวันสองวันก่อน ผมได้เขียนถึงความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ และข้อสังเกตเบื้องต้นไประดับหนึ่งแล้ว ขอพูดต่อในวันนี้นะครับว่า หลักการของ Corporate Governance (CG) ซึ่งแยกกันไม่ได้กับหลักการของ IT Governance (ITG) เพื่อขับเคลื่อนองค์ประกอบของการกำกับดูแลกิจการที่ดีในภาพรวมนั้น ไม่ค่อยได้มีการกล่าวถึงกันมากนักในอดีต

แต่ในปัจจุบัน การประมวลผลข้อมูลต่าง ๆ หลีกเลี่ยงไม่ได้ที่จะต้องใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงาน และการจัดการกับข้อมูลจำนวนมหาศาล และเพื่อให้มีการปฏิบัติตามระเบียบ กฎเกณฑ์ มาตรฐานต่าง ๆ ที่กำหนดโดยหน่วยงานกำกับภาครัฐ และตามมาตรฐานสากลนั้น ผู้บริหารและผู้ตรวจสอบจำเป็นอย่างยิ่งที่ควรจะเข้าใจกระบวนประมวลข้อมูลเพื่อให้ได้สารสนเทศ เพื่อการจัดการและการตรวจสอบจากระบบคอมพิวเตอร์ และควรจะเข้าใจต่อไปด้วยว่า กระบวนการควบคุมภายในตามฐานความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

กระทรวงพาณิชย์ คณะกรรมการตรวจเงินแผ่นดิน สภานักบัญชี ก็ได้มีกฎเกณฑ์และแนวทางในการกำหนดให้องค์กรที่ใช้คอมพิวเตอร์ (แม้จะมีคอมพิวเตอร์เพียงเครื่องเดียวก็ตาม) ต้องจัดให้มีผู้ตรวจสอบภายในที่มีศักยภาพในการตรวจสอบทางด้าน IT ที่เกี่ยวข้องกับการควบคุมทางด้าน General Control และ Application Cotrol รวมทั้งองค์ประกอบต่าง ๆ ของความสมบูรณ์ของข้อมูลและสารสนเทศ 7 ประการ (Information Criteria) ซึ่งผมใคร่ขออนุญาตที่จะกล่าวซ้ำก็คือ
1. Effectiveness
2. Efficiency
3. Confidentiality
4. Integrity
5. Availability
6. Reliability
7. Compliance

ซึ่งผู้บริหารจะต้องจัดให้มีกระบวนการตรวจสอบในเรื่องของความเชื่อถือได้ของข้อมูล รวมถึงประสิทธิผล ประสิทธิภาพของข้อมูลในการที่จะนำมาบริหารการตรวจสอบต่อไป ดังนั้น ความเข้าใจในภาพโดยรวมของที่มาของข้อมูลและสารสนเทศ เพื่อการบริหารและการตรวจสอบ จึงจำเป็นที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจอย่างลึกซึ้ง ผมขอแสดงภาพที่มาจาก ISACA ซึ่งเป็นแผนภาพที่อธิบายได้ชัดเจน ดังนี้

Integrity of the Information & Audit Process, IT & Non - IT

Integrity of the Information & Audit Process, IT & Non - IT

ผมขอสรุปเรื่องความสำคัญของข้อมูลและสารสนเทศเพื่อการตรวจสอบ ดังนี้นะครับ
1. สารสนเทศที่มีคุณลักษณะที่ดีตามหลักการของ IT Governance ทั้ง 7 องค์ประกอบตามที่กล่าวข้างต้น จะมีประโยชน์ในมุมมองที่เกี่ยวข้องกับ Intangible Assets ซึ่งก็ได้แก่สินทรัพย์ที่ไม่มีตัวตน ส่วนใหญ่ก็ได้แก่ สารสนเทศนั่นเอง จากการสำรวจของสถาบันที่มีชื่อเสียง เมื่อประมาณ ปี 1999 พบว่า สินทรัพย์ที่มีคุณค่าที่สุดในทุกบริษัทที่มีความเข้าใจถึงผลกระทบของความเสี่ยงที่มีผลต่อความน่าเชื่อถือ (Trust) ที่เกิดจาก Value ขององค์กร ซึ่งก็คือ Intangible Assets สามารถสร้างคุณค่าเพิ่มและสร้างความโปร่งใส รวมทั้งสร้างกระบวนการที่สามารถวางระบบการควบคุมภายในที่โดยรวม ๆ แล้วเป็นหลักประกัน (Assurance) ให้เกิดความน่าเชื่อถือต่อการกำกับดูแลกิจการที่ดี สิ่งนั้นก็คือ ข้อมูลและสารสนเทศที่น่าเชื่อถือได้ (Integrity of the Information)

2. กลไกหรือกระบวนการกำกับดูแลกิจการที่ดีทางด้านการควบคุมภายในของทุกองค์กร ที่ต้องการให้เกิดความน่าเชื่อถือได้ของสารสนเทศก็คือ การใช้ Best Practice ในเรื่อง IT Governance ที่นำกรอบของการควบคุมกระบวนการ (Management Processes) ที่ดีมาใช้ในการสร้างความน่าเชื่อถือได้ของสารสนเทศ ซึ่งหากองค์กรใดทำได้จริงและเป็นรูปธรรมก็สามารถจะลด Audit Risk ลงได้ในระดับที่น่าพึงพอใจมาก

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

3. ภาครัฐของทุกประเทศจึงต้องกำหนดให้มีการตรวจสอบภาคบังคับที่เกี่ยวข้องกับการรับรองงบการเงิน และแน่นอนว่าผู้ตรวจสอบต้องสอบทานความน่าเชื่อถือได้ของข้อมูลเป็นเบื้องต้น และจะต้องสอบทานจุดอ่อนของกระบวนการควบคุมภายใน โดยเฉพาะอย่างยิ่ง จุดอ่อนที่เกิดจากการควบคุมทางด้าน IS หรือ IT Security ที่อาจเกิดจากการบริหารและการจัดการที่อ่อนแอ โดยฝ่ายบริหารจัดให้มีระบบการควบคุมภายในที่ไม่เพียงพอ โดยเฉพาะอย่างยิ่ง การควบคุมระบบที่ได้ข้อมูลมาจากการประมวลผลทางด้านคอมพิวเตอร์ ซึ่งทำให้สารสนเทศไม่โปร่งใส ไม่น่าเชื่อถือ ผู้ลงทุนตัดสินใจจากฐานข้อมูลที่ผิดพลาด รวมทั้งการทุจริตที่อาจจะเกิดขึ้นได้จากกระบวนการควบคุมภายในที่อ่อนแอนั้น ซึ่งมีตัวอย่างมากมายทั้งในอดีตและปัจจุบัน

4. ข่าวดีหรือข่าวร้ายขึ้นกับมุมมองของผู้ที่เกี่ยวข้องก็คือ กระบวนการควบคุมภายในภายใต้หลักการของ COBIT ภายใต้ร่มใหญ่ของ IT Governance นั้น จะต้องถูกประมวลและต้องพิจารณาเป็นกระบวนการหนึ่งของการตรวจสอบ ที่จะมีผลต่อรายงานทางการเงินและรายงานประเภทต่าง ๆ ที่เกิดจากการประมวลผลทางด้าน IT

ผมใคร่ขอยกตัวอย่างความสัมพันธ์และการเชื่อมโยงระหว่างการควบคุมงานทางด้าน IT กับการบริหารความเสี่ยงในระดับองค์กรของ COSO บางประการ เฉพาะองค์ประกอบหลักเรื่องแรกคือ การวางแผนการจัดองค์กร และการกำหนดทิศทางของเทคโนโลยีสารสนเทศ แสดงเป็นแผนภาพดังนี้

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

ท่านคณะกรรมการ ท่านผู้บริหาร และผู้ตรวจสอบที่มีโอกาสได้เห็นแผนภาพแทนคำอธิบายโดยลายลักษณ์อักษรอย่างละเอียด ซึ่งบางกรณีอาจเป็นเรื่องที่น่าเบื่อ ประกอบกับคำอธิบายสั้น ๆ ที่เกี่ยวข้องเพื่อให้ท่านเกิดความคิดและจิตนาการถึงผลกระทบของความไม่ถูกต้อง ความไม่น่าเชื่อถือได้ของข้อมูล ความไม่ทันกาลของข้อมูล ความไม่พร้อมในการเรียกมาใช้ในการบริหาร การจัดการ รวมทั้งการตรวจสอบจากฐานข้อมูลที่ไม่ update นั้น มีผลอย่างไรต่อรายงานที่ท่านได้รับเพื่อการตัดสินใจ มีผลอย่างไรต่อความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการรายงานประเภทต่าง ๆ รวมทั้งรายงานทางการเงิน และความเสี่ยงทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ

เรื่องนี้เข้าใจได้ไม่ยาก หากท่านจะนึกถึงเหตุการณ์ของกรณี บริษัท Emron และผลกระทบต่อ บริษัทที่ปรึกษาและบริษัทผู้สอบบัญชียักษ์ใหญ่ของโลก ซึ่งตอนนี้กลายเป็นอดีตเพื่อการศึกษาเท่านั้น นอกจากนี้ ปัญหาในปัจจุบันที่เกิดจากการบริหารการจัดการของสถาบันการเงิน และบริษัทอุตสาหกรรมยักษ์ใหญ่ของประเทศสหรัฐอเมริการจำนวนมากก็จะเกิดจากสารสนเทศที่ไม่ถูกต้อง โดยเฉพาะอย่างยิ่ง สารสนเทศที่เกี่ยวข้องกับการ Rating ฐานะของบริษัทที่ไม่เป็นความจริง พิสูจน์ได้จากบริษัท Rating ระดับ AAA+ ซึ่งส่วนใหญ่เป็นการ Rating จากข้อมูลในอดีต แต่เมื่อมีปัญหาความเสียหายเกิดขึ้นแล้ว ระดับ Rating ก็เปลี่ยนแปลงไปเป็น BBB- หรือเลวร้ายไปกว่านั้น…

ผมสรุปส่งท้ายในวันนี้เพียงเพื่อตอกย้ำความสำคัญของ Information ซึ่งเป็น Intangible ส่วนใหญ่ของบริษัท ที่คณะกรรมการและผู้บริหาร รวมทั้งผู้ตรวจสอบยังให้ความสนใจในระดับที่แตกต่างกันมาก และเป็นที่น่าห่วงใยยิ่ง อาจพิสูจน์ได้ในเรื่องนี้ก็คือ หากมีการหยิบยกเรื่อง IT เรื่อง ITG เรื่อง IT Security และเรื่องอื่น ๆ ที่เกี่ยวข้อง ผู้บริหารจำนวนไม่น้อยไม่ค่อยจะสนใจมากนัก หรือก็มอบหมายให้คนอื่นไปดำเนินการและไม่ได้ติดตามเท่าที่ควร กรณี ธนาคารโซซิเยเต้ เยนเนอรัล ธนาคารยักษ์ใหญ่อันดับ 2 ของฝรั่งเศษ ที่เสียหายจากการทุจริตประมาณ 340,000 ล้านบาท จากการกระทำของคนที่รู้ IT เพียงคนเดียวก็คงพอเข้าใจได้ถึงความสำคัญของข้อมูลและสารสนเทศที่เกี่ยวข้องกับการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบทางด้าน IT และ Non – IT นะครับ

ครั้งต่อไป ผมคงจะมีโอกาสแยกเรื่องการตรวจสอบที่เกี่ยวกับ IT Audit และ Non – IT Audit หลังจากที่ได้เกริ่นนำ และให้ความสำคัญอย่างยิ่งยวดต่อข้อมูลและสารสนเทศที่ได้จากการรายงานในรูปแบบต่าง ๆ และการทำความเข้าใจในธุรกิจที่ตนบริหารและต้องการตรวจสอบ

ท่านคิดว่า IT Governance และกระบวนการควบคุมตามหลักการของ COBIT นั้น มีความสัมพันธ์กับกรอบการบริหารความเสี่ยงตามแนวทางของ COSO-ERM ร้อยเปอร์เซ็นต์ไหม? ครับ ผมขออนุญาตเป็นการส่วนตัวที่จะกล่าวว่า ทั้ง 2 เรื่อง มีส่วนสัมพันธ์กันโดยตรง 100% ครับ

แล้วถ้าความเข้าใจดังกล่าวข้างต้นแตกต่างกัน จะมีผลอย่างไรต่อกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO-ERM ละครับ

 

ความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ

ความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ (Audit Process and Reliability of Information, IT and Non – IT)

ครั้งก่อน ท่านผู้อ่านคงได้ใช้ดุลยพินิจในการวิเคราะห์ผลกระทบของข้อมูลและสารสนเทศ ที่ใช้ในการบริหารและการตรวจสอบ ตามแผนภาพที่ผมยังไม่ได้อธิบายหรือเล่าสู่กันฟังถึงแนวคิดจากแผนภาพดังกล่าว เพื่อสร้างรูปแบบและกระบวนการตรวจสอบตามฐานความเสี่ยง ทั้งทางด้าน IT Audit และ Non – IT Audit ประเภทต่าง ๆ

จากแผนภาพครั้งที่แล้ว ท่านผู้บริหารและผู้ตรวจสอบจะเข้าใจได้ชัดเจนว่า ข้อมูลและสารสนเทศต่าง ๆ ที่ท่านนำมาใช้ในกระบวนการตัดสินใจ เพื่อขับเคลื่อนเป้าประสงค์ในระดับองค์กร ในระดับสายงาน และในระดับหน่วยงานย่อยนั้น กล่าวได้ว่า ข้อมูลได้รับการประมวลผลโดยผ่านกระบวนการและกลไกทางด้านคอมพิวเตอร์ทั้งสิ้น

โปรดดูแผนภาพครั้งที่แล้วอีกครั้ง ท่านจะได้เห็นภาพความสำคัญของ Black Box ทางด้าน Hardware และอุปกรณ์ประเภทต่าง ๆ รวมทั้ง Software ที่เกี่ยวข้อง ซึ่งแน่นอนว่า กลไกในการควบคุมความเสี่ยงที่ใช้อุปกรณ์คอมพิวเตอร์นั้น จำเป็นต้องอาศัยความรู้ ทักษะ ประสบการณ์ในการบริหารศูนย์คอมพิวเตอร์ และการประมวลผลที่เกี่ยวข้องเป็นอย่างมาก

เรื่องนี้ ผมได้เขียนและอธิบายไว้มากแล้วในหนังสือเรื่องการบริหารและการตรวจสอบสถาบันการเงิน-องค์กรที่ใช้คอมพิวเตอร์ ซึ่งมีรายละเอียดค่อนข้างมากที่ไม่ขอซ้ำในที่นี้

ความเสี่ยงจากการบริหารในกระบวนการประมวลข้อมูลนั้น ต้องการการควบคุมในระดับต่าง ๆ ที่เรียกกันทั่วไปว่า General Control จะเกี่ยวข้องสัมพันธ์อย่างใกล้ชิดกับระบบงานหลัก ๆ และระบบงานที่เกี่ยวข้องสัมพันธ์กันที่เรียกว่า Application ซึ่งก็คือระบบงานต่าง ๆ ขององค์กรนั่นเอง ในเรื่องนี้ก็ต้องการกลไกและกระบวนการควบคุม รวมทั้งการตรวจสอบทางด้าน IT Application (IT Audit) ที่เกี่ยวข้องกับการตรวจสอบ Input – Process – Output ตามรูปภาพที่ผมเคยนำเสนอก่อนหน้านี้ ก่อนที่จะผ่านกลไกของ Business Process ต่าง ๆ ที่ต้องการการควบคุมในลักษณะ Business Control ที่มีรายละเอียดมากมายก่อนจะได้เป็น Output ในรูปแบบของรายงานลักษณะต่าง ๆ ที่ผู้บริหารต้องใช้ในการดำเนินการ สั่งการ รวมทั้งผู้ตรวจสอบจำนวนไม่น้อยก็ได้ใช้รายงานดังกล่าวเป็นฐานข้อมูลสำคัญในการตรวจสอบด้านทั่วไป

การทำความเข้าใจกับโครงสร้างและ Business Process เพื่อก้าวสู่ Business Objective ขององค์กร

การทำความเข้าใจกับโครงสร้างและ Business Process เพื่อก้าวสู่ Business Objective ขององค์กร

ตามที่ผมกล่าวข้างต้น คงไม่มีอะไรแปลกนะครับ เพราะเป็นลักษณะของการตรวจสอบโดยทั่วไปที่ปฏิบัติกันอยู่ทั้งทางด้าน IT Audit และด้านการตรวจสอบโดยทั่วไป แต่สิ่งที่ผมอยากจะกล่าวในวันนี้ก็คือ มีผู้บริหารและผู้ตรวจสอบจำนวนไม่น้อย หลาย ๆ องค์กร คำนึงถึงผลกระทบของระบบคอมพิวเตอร์ที่มีผลต่อความน่าเชือถือได้ของข้อมูลทางการเงินค่อนข้างจำกัดมาก เพราะส่วนใหญ่ได้ตั้งสมมุติฐานว่าข้อมูลที่ได้ประมวลผลจากคอมพิวเตอร์นั้นถูกต้อง น่าเชื่อถือได้ ทันกาล ทันเวลา ทั้ง ๆ ที่ความเป็นจริงข้อมูลและสารสนเทศดังกล่าวมีจุดอ่อนมากมาย ที่ผู้ตรวจสอบโดยทั่วไปไม่ควรจะวางใจในความน่าเชื่อถือได้ของข้อมูลที่ใช้ในการตรวจสอบ จนกว่าจะมีการพิสูจน์ชัดเจน หรือมีความร่วมมือกันอย่างดียิ่ง ระหว่างผู้ตรวจสอบทางด้าน IT Audit ที่มีเป้าประสงค์ในการตรวจสอบที่แตกต่างกันไปกับผู้ตรวจสอบโดยทั่วไปมาก

ที่ผมกล่าวย่อ ๆ ข้างต้น เป็นปัญหาสำคัญยิ่งที่ผู้บริหารในหลายองค์กรยังให้ความสนใจได้ไม่ดีเท่าที่ควร ทั้งนี้อาจจะเกิดจากปัญจัยและองค์ประกอบหลายประการที่ผมจะนำเสนอในโอกาสต่อไป

ครั้งนี้ การเล่าสู่กันฟังในวันนี้ ผมก็จะจบลงด้วยแผนภาพของความสำคัญของข้อมูลและสารสนเทศที่ได้จากการประมวลผลด้วยระบบ IT ที่ควรจะมีการบริหาร จัดการ ให้มีการควบคุมและตรวจสอบความเสี่ยงทางด้าน IT Risk ที่มีผลต่อ Process Risk และในที่สุดมีผลต่อ Business Risk ในมุมมองต่าง ๆ ต่อไป

ทั้งนี้ จากแผนภาพด้านล่าง อะไรจะเกิดขึ้น? หาก Report ประเภทต่าง ๆ ที่ได้จากการประมวลผลทางด้านคอมพิวเตอร์ ไม่น่าเชื่อถือได้ หรือถูกบิดเบือน ผู้บริหารและผู้ตรวจสอบจะใช้รายงานในการสั่งการ และจะนำข้อมูลที่ได้จากการประมวลผลมาใช้ในการวางแผนกระบวนการตรวจสอบได้อย่างไร?

อะไรจะเกิดขึ้น? ถ้าผู้รักษา Super Password และ/หรือ Administrator / ผู้ดูแลระบบ สามารถเข้าถึงข้อมูลลับระดับสูงสุดขององค์กรได้ และสามารถเปลี่ยนแปลงข้อมูลในฐานข้อมูล เช่น โอนลูกหนี้ที่มีปัญหาไปเข้าบัญชีพัก หรือเปลี่ยนแปลงลูกหนี้หรือสถานะหนี้ รวมทั้งองค์ประกอบของโครงสร้างหนี้ต่าง ๆ เพื่อที่จะบิดเบือนการตั้งสำรองหนี้สูญหรือเพื่อการทุจริต

และตามตัวอย่างข้างต้น อะไรจะเกิดขึ้น? ถ้าหากมีการโอนบัญชีพักและบัญชีที่เกี่ยวข้องออกจากสารบบบัญชีขององค์กร ซึ่งอาจดำเนินควบคู่กันไปกับกระบวนการอำนวยการให้สินเชื่อและหลักฐานต่าง ๆ ที่เกี่ยวข้อง ผู้บริหารและผู้ตรวจสอบจะมีแนวการตรวจสอบเช่นไร?

ในกรณีที่มีการจ้างบุคคลภายนอกมาให้บริการด้านต่าง ๆ ให้กับองค์กร และบุคคลภายนอกนั้นมีสิทธิ์ที่จะใช้ Password นั้นนอกสถานที่ทั้ง ๆ ที่บริการนั้นเสร็จสิ้นไปนานแล้ว แต่บุคคลดังกล่าวก็ยังสามารถเข้าถึงข้อมูลขององค์กรได้ และ

อะไรจะเกิดขึ้น? ถ้าหากมีการมอบหมายอำนาจที่มีหลายระดับ หลายขั้นตอนเพื่อการควบคุมภายในขององค์กรแต่มีการเปลี่ยนแปลงบุคคลผู้ได้รับมอบอำนาจ รวมทั้งระดับอำนาจที่ได้รับมอบหมาย แต่ไม่มีกระบวนการบริหารจัดการภายในที่ดี อะไรจะเกิดขึ้นกับข้อมูลและฐานข้อมูล และกระบวนการบริหารในทุกระดับที่เกี่ยวข้อง

องค์กรมีเครื่องมือและมีบุคคลากรที่มีความรู้เพียงพอกับความก้าวหน้า และศักยภาพที่เปลี่ยนแปลงไปอย่างรวดเร็วของระบบเทคโนโลยีสารสนเทศเพียงใด ทั้งในทางด้านเทคนิค ด้านการบริหาร ด้านการควบคุมภายใน ด้านการตรวจสอบ

องค์กรมั่นใจอย่างไรว่า องค์กรมีระดับการควบคุมเทคโนโลยีสารสนเทศที่น่าเชื่อถือได้ ในแต่ละลักษณะขององค์ประกอบของสารสนเทศที่ดี ทั้ง 7 ประการ ตามหลักของ COBIT ภายใต้การปฏิบัติที่เป็น Best Practice ของ IT Governance และ

กรณีบทเรียนจากการทุจริต 340,000 ล้านบาทที่เกิดจาก IT Risk ของธนาคารโซซิเอเต้ เจเนอราล (Soc Gen – Societe Generale) ฝรั่งเศส เมื่อเดือนมกราคม 2551 เกิดจากบุคคลากรที่มีความรู้ทางด้าน IT เพียงคนเดียวของธนาคาร ประกอบกับผู้บริหารและคณะกรรมการต่าง ๆ ของธนาคารไม่อาจติดตาม หรือรู้เท่าทันผลกระทบของคอมพิวเตอร์จากการกระทำของบุคคล ๆ เดียวนี้ได้

Lesson Learned

Lesson Learned

ทั้งนี้ จากการวิเคราะห์ความเสี่ยงในภายหลังทราบว่า ต้นเหตุของความเสี่ยงที่แท้จริง เกิดจากวัฒนธรรมขององค์กร ศักยภาพและระดับความรู้ของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลัก COSO – Enterprise Risk Management ซึ่งมีรายละเอียดต่าง ๆ มากมาย

แปลกแต่จริงยิ่งกว่าก็คือ บทเรียนแสนแพงที่ดีกรณีนี้ ซึ่งเรียกว่า Lesson Learned มีสถาบันการเงินในประเทศไทยน้อยมากที่นำบทเรียนแสนแพงนี้มาทำการประเมินตนเองเพื่อการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง เพื่อการปรับปรุง ป้องกันปัญหาที่อาจจะเกิดขึ้นทำนองเดียวกันกับธนาคาร Societe Generale นี้ได้

ผมขอสรุปก่อนที่จะยาวเกินไปกว่านี้ ก็คือ บทเรียนในครั้งนี้เกิดจาก Operational Risk ซึ่งเกิดจาด Peple Process และเทคโนโลยี เป็นสำคัญ

เราคุยกันมาถึงช่วงนี้แล้ว ท่านคิดว่าท่านได้อะไรบ้างครับ เกี่ยวกับกระบวนการบริหาร การจัดการ การควบคุมภายใน และกระบวนการตรวจสอบตามฐานความเสี่ยงขององค์กรที่ใช้คอมพิวเตอร์ที่จะเกี่ยวข้องกับการตรวจสอบ IT Audit และ Non – IT ในส่วนที่เกี่ยวข้อง

ผมเล่ามายาวนานถึงแค่นี้แล้วก็ยังแยกไม่ได้เลยนะครับว่า กระบวนการตรวจสอบทางด้าน IT Audit กับกระบวนการตรวจสอบทางด้าน Non – IT Audit ควรจะมีความแตกต่างกันในขั้นตอนใด เดี๋ยวไปคุยในครั้งต่อไปนะครับ

ความต้องการสารสนเทศที่มีคุณภาพกับการบรรลุเป้าหมายขององค์กร เพื่อการควบคุมภายในและกระบวนการตรวจสอบทางด้าน IT และ Non - IT

ความต้องการสารสนเทศที่มีคุณภาพกับการบรรลุเป้าหมายขององค์กร เพื่อการควบคุมภายในและกระบวนการตรวจสอบทางด้าน IT และ Non - IT

 

BCM กับการวัดศักยภาพในการบริหารการดำเนินธุรกิจอย่างต่อเนื่อง (ต่อ)

สำหรับวันนี้ผมคงไม่กล่าวอะไรมาก เพราะคิดว่าคงมีท่านผู้สนใจ คอยติดตาม และอยากจะทราบแล้วว่าเกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) ในหัวข้อถัดไปจะเป็นอย่างไร?

อย่างนั้น เราไปดูกันต่อใน 2 หัวข้อสุดท้ายกันเลยครับ

4. ความพร้อมในการใช้งานของอุปกรณ์และข้อมูล

4.1) ความพร้อมในการใช้งานของอุปกรณ์ โปรแกรม ข้อมูล คู่มือการปฏิบัติงานและแบบฟอร์มที่จำเป็น

– ระดับดี
มีการสำรองระบบงาน ซึ่งรวม Hardware, Software, Data และมีการจัดเตรียมคู่มือการปฏิบัติงานและเอกสารประกอบการทำงานไว้ ณ สถานสำรองอย่างครบถ้วน ซึ่งสามารถใช้งานได้ทันทีเมื่อเกิดเหตุฉุกเฉิน รวมทั้งมีกระบวนการปรับปรุงระบบงานและเอกสารให้เป็นปัจจุบันอย่างชัดเจนและต่อเนื่อง ควบคู่กับการดูแลสภาพแวดล้อมที่ดี มีมาตรฐานที่ศูนย์คอมพิวเตอร์หลัก

– ระดับอ่อน
ไม่มีการจัดเตรียมความพร้อมด้านทรัพยากร ระบบงานเพื่อรองรับเหตุการณ์ฉุกเฉินตามข้อ 4.1

4.2) ความพร้อมของสถานที่และ Facilities ต่างๆ

– ระดับดี
มีการจัดเตรียมสถานที่สำรองและสิ่งอำนวยความสะดวกอย่างครบถ้วน ซึ่งสามารถรองรับการปฏิบัติงานของทุกหน่วยงานหลักขององค์กรหรือ องค์กรมีแนวทางอื่นรองรับในกรณีที่ไม่สามารถเข้าใช้สถานที่สำรองได้ โดยพิจารณามิติและมุมมองของเหตุการณ์ร้ายแรงที่ครบถ้วน ตรวจสอบได้ เชื่อถือได้

– ระดับอ่อน
ไม่มีการจัดเตรียมสถานที่สำรองหรือแนวทางอื่นใดไว้

4.3) ความพร้อมในกรณีใช้บริการจากภายนอก (Outsourcing)

– ระดับดี
สัญญาว่าจ้างผู้ให้บริการภายนอกยังมีผลบังคับใช้ในปัจจุบัน มีการจัดทำ Service Level Agreement : SLA เป็นลายลักษณ์อักษรอย่างครอบคลุมและชัดเจน สามารถใช้ในการติดตามและวัดผลการดำเนินงานของผู้ให้บริการภายนอกได้ อีกทั้งมีความชัดเจนว่าจะพร้อมให้บริการแก่องค์กรได้ทันทีที่ต้องการ และมีการทดสอบอย่างน้อยปีละ 1 ครั้ง

– ระดับอ่อน
องค์กรมีการใช้บริการจากผู้ให้บริการภายนอก แต่ไม่มีการจัดทำสัญญาหรือข้อตกลงใด ๆ ที่จะสามารถมีผลบังคับทางกฎหมายกับผู้ให้บริการภายนอกได้ หรือใช้ถ้อยคำกำกวมที่ต้องตีความกันอีก

4.4) การทบทวนและปรับปรุงแผนให้เป็นปัจจุบัน

– ระดับดี
มีกระบวนการและผู้ดำเนินการทบทวนและปรับปรุงแผนให้เป็นปัจจุบันอย่างครบถ้วน ชัดเจนและต่อเนื่อง โดยมีผู้บริหารของฝ่าย IT ฝ่ายธุรกิจ ฝ่ายอื่น ๆ ที่เกี่ยวข้อง รวมทั้งหน่วยงานอิสระทำหน้าที่สอบทานแผนฯ (BCP)

– ระดับอ่อน
ไม่มีการทบทวนและปรับปรุงแผนฯ

5. ความสามารถในการนำไปปฏิบัติงานได้

– ระดับดี
การทดสอบครอบคลุมการดำเนินธุรกิจทุกประเภทหลัก ๆ ขององค์กร โดยมีการจำลองเหตุการณ์ต่าง ๆ ที่สามารถปฏิบัติงานทดแทนการปฏิบัติงานจริงได้อย่างสมบูรณ์ โดยการทดสอบระบบคอมพิวเตอร์และระบบเครือข่ายสำรองอย่างครบถ้วน ประกอบกับมีฝ่ายงานที่เกี่ยวข้องทั้งภายในและภายนอกเข้ามาร่วมในการทดสอบ และมีหน่วยงานอิสระเข้ามาร่วมสังเกตการณ์ทดสอบ โดยผลการทดสอบการกู้คืนระบบใช้เวลาสั้น และมีการรายงานผลการทดสอบให้ฝ่ายงานที่เกี่ยวข้อง ผู้บริหารระดับสูงขององค์กร และหน่วยงานอิสระได้รับทราบด้วย

– ระดับอ่อน
ไม่มีการทดสอบ และไม่มีหลักฐานการทดสอบโดยเฉพาะการทำ Stress Test ที่น่าเชื่อถือได้อย่างเป็นระบบ ผู้บริหารขาดการติดตามความสามารถของแผนฯ ในการนำไปสู่การปฏิบัติงานได้จริง

การประเมินตนเองเพื่อวัดระดับศักยภาพการบริหาร BCP/BCM ตามที่กล่าวย่อ ๆ ข้างต้นจะมีประโยชน์ต่อทุกองค์กร ในฐานะ Operators และมีประโยชน์ต่อหน่วยงานกำกับในฐานะ Regulators ซึ่งควรจะเข้าใจตรงกัน การคุยสำหรับเรื่องนี้ในวันนี้ผมจะขอจบลงด้วยภาพที่เกี่ยวข้องกับ BCP/BCM ส่งท้ายเพื่อให้ท่านพิจารณาและทำความเข้าใจต่อไปคือ

PRO vs RTO & BCM

PRO vs RTO & BCM

 

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

เมื่อได้ทราบถึงภาพรวมของการบริหารความเสี่ยง กรอบของการบริหารความเสี่ยง ความหมายของความเสี่ยง ประเภทและแหล่งที่มาหรือเหตุแห่งความเสี่ยง เป็นซึ่งเป็นพื้นฐานเบื้องต้นที่ผมได้กล่าวถึงไปบ้างแล้ว วันนี้เราจะมาพูดกันถึงแนวทางและเครื่องมือที่ใช้ในการระบุความเสี่ยงกันครับ

ก่อนอื่นผมมีภาพที่อยากให้เห็นถึงการระบุปัจจัยเสี่ยงกับแนวคิดด้านความเสี่ยงบางประการ เพื่อความเข้าใจที่ชัดเจนยิ่งขึ้น โปรดดูตามภาพด้านล่างนี้เลยครับ

การระบุปัจจัยเสี่ยงและแนวคิดบางประการ

การระบุปัจจัยเสี่ยงและแนวคิดบางประการ

แนวทางที่สามารถใช้ในการระบุความเสี่ยงขององค์กร

1. การใช้ประสบการณ์ของผู้ประเมินในการระบุเหตุการณ์ที่เคยเกิดขึ้น หรือพิจารณาแล้วว่ามีโอกาสที่จะเกิดขึ้นได้ หรือใช้การเก็บข้อมูลเกี่ยวกับปัญหา/ข้อผิดพลาดในกระบวนการทำงานที่เคยเกิดขึ้นในอดีตและได้มีการบันทึกไว้ หรือเป็นข้อมูลที่บันทึกอยู่ในระบบคอมพิวเตอร์ สามารถนำมาใช้เป็นแนวทาง และเป็นข้อมูลเบื้องต้นได้

2. การใช้คู่มือปฏิบัติงาน หรือ Work flow charts เพื่อลำดับขั้นตอนของกระบวนการทำงาน และพิจารณาว่าในแต่ละขั้นตอนอาจจะเกิดเหตุการณ์ต่าง ๆ ซึ่งอาจจะทำให้กิจกรรมนั้น ๆ หยุดชะงัก หรือผิดพลาดจนก่อให้เกิดความเสียหายขึ้นได้

3. การระดมความคิดจากพนักงานที่มีส่วนเกี่ยวข้องกับกิจกรรมดังกล่าว ทั้งภายในและภายนอกหน่วยงาน เพื่อร่วมกันพิจารณาว่ามีเหตุการณ์ใดบ้างที่เกิดขึ้นแล้วส่งผลกระทบเสียหายต่องานที่ดูแล

4. การใช้แบบสอบถามความคิดเห็นไปยังผู้รับผิดชอบกิจกรรมการทำงานต่าง ๆ ว่ามีปัญหาข้อผิดพลาด หรือความเสี่ยงในลักษณะใด ก่อให้เกิดความเสียหายมากน้อยแค่ไหน ซึ่งการสอบถามควรกระทำกับเจ้าหน้าที่ที่เกี่ยวข้องโดยตรง ซึ่งเป็นผู้ทราบข้อมูลต่าง ๆ อย่างแท้จริง นอกจากนี้คำตอบที่ได้รับอาจจะไม่ใช่ข้อเท็จจริงทั้งหมด เพราะการตอบคำถามอาจจะรวมข้อคิดเห็น ความรู้สึก และทัศนคติส่วนตัว ดังนั้นผู้ประเมินควรใช้วิธีอื่นควบคู่กันไปด้วย

5. การใช้แบบตรวจสอบรายการ เพื่อใช้เป็นแนวทางในการติดตามและตรวจสอบรายละเอียดของงานต่าง ๆ เพื่อพิจารณาความเสี่ยงในแต่ละกิจกรรม

การเลือกใช้แหล่งข้อมูล/วิธีการใด ๆ ในการระบุความเสี่ยงนั้น อาจแตกต่างกันในแต่ละฝ่ายงานและแต่ละเหตุความเสี่ยง โดยขึ้นอยู่กับลักษณะงานและวิธีปฏิบัติของแต่ละฝ่ายงาน

เครื่องมือสำหรับการระบุความเสี่ยงด้านปฏิบัติการ ประกอบด้วย
1. แบบประเมินตนเอง
ซึ่งเป็นเครื่องมือที่ใช้ในการประเมินการควบคุมตนเอง (Control Self Assessment) และรับผิดชอบให้มีการประเมินตนเอง โดยกำหนดให้ทุกฝ่ายงานมีหน้าที่ต้องประเมินตนเองอย่างน้อยปีละ 1 ครั้ง ทั้งนี้ผู้ประเมินต้องระบุประเภทความเสี่ยงที่เผชิญอยู่ในแต่ละกิจกรรม หรือแต่ละกระบวนการปฏิบัติงานที่อยู่ภายใต้ความรับผิดชอบของตน รวมทั้งประเด็นของความพร้อมของบุคคลากร ทรัพยากร และระบบงานที่เกี่ยวข้อง พร้อมทั้งเสนอแนะแนวทางที่จะบริหารความเสี่ยงที่เผชิญอยู่นั้น

2. ดัชนีเครื่องชี้ความเสี่ยง
ดัชนีเครื่องชี้ความเสี่ยง (Key Risk Indicators) จะถูกใช้เป็นเครื่องมือระบุความเสี่ยงที่เกิดขึ้นในกระบวนการปฏิบัติงานต่าง ๆ ดัชนีเครื่องชี้ความเสี่ยงจะถูกสร้างขึ้น โดยความเห็นชอบร่วมกันระหว่างหน่วยงานที่เกี่ยวข้องกับโครงการและแผนงานต่าง ๆ กับฝ่ายบริหารความเสี่ยง (ถ้ามี) เพื่อชี้ให้เห็นถึงความเสี่ยงที่อาจจะเกิดความเสียหายขึ้นในกระบวนการตามแผนงานต่าง ๆ ซึ่งนอกจากจะเป็นเครื่องมือที่ใช้ในการติดตามความเสี่ยงแล้ว ยังจะช่วยนําไปสู่การค้นหาสาเหตุเพื่อป้องกันและ/หรือแก้ไขเพื่อป้องกันหรือบรรเทาผลกระทบที่จะเกิดขึ้นในอนาคตได้อีกด้วย โดยกำหนดให้ทุกฝ่ายงานมีหน้าที่ต้องจัดทำดัชนีเครื่องชี้ความเสี่ยง

 

BCM กับการวัดศักยภาพในการบริหารการดำเนินธุรกิจอย่างต่อเนื่อง (ต่อ)

จากที่ครั้งก่อนผมได้พูดถึง แนวทางการบริหารและการพิจารณาระดับการบริหาร การจัดการ BCM ขององค์กรทั่วไป รวมถึงเกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) ซึ่งมีเกณฑ์และกรอบของงานให้ไว้เป็นแนวทางปฏิบัติ 5 ข้อ โดยกล่าวถึงความพร้อมในการรองรับการดำเนินธุรกิจอย่างต่อเนื่องเป็นข้อแรกทิ้งท้ายเอาไว้

วันนี้ ผมจะพูดถึงระดับความเกี่ยวข้องสัมพันธ์กันของ BCP/BCM กับบทบาทของคณะกรรมการและผู้บริหารระดับสูง และความสมบูรณ์ครบถ้วนของแผน BCP/BCM ที่เกี่ยวเนื่องกับหน่วยงาน IT และ Non – IT ซึ่งเป็นหัวข้อถัดไปครับ

2. บทบาทของคณะกรรมการและผู้บริหารระดับสูงเป็นสิ่งสำคัญยิ่ง เนื่องจากสะท้อนถึงวิสัยทัศน์ นโยบาย กลยุทธ์และแผนงานที่เกี่ยวเนื่องกับความมั่นคง และ/หรือ การให้บริการที่มีผลกระทบต่อเศรษฐกิจและประชาชนในวงกว้าง ในภาวะฉุกเฉินและไม่ปกติที่เกิดจากปัจจัยภายในและภายนอก

2.1) ระดับดี
คณะกรรมการฯ ผู้บริหารระดับสูงขององค์กรได้เข้ามามีส่วนร่วมในการดำเนินงานด้าน BCP/BCM ในเรื่องต่าง ๆ ได้แก่ การจัดสรรทรัพยากร บุคลากรและงบประมาณที่เพียงพอ การกำหนดนโยบาย การอนุมัติแผน ตลอดจนเข้ามาควบคุมดูแลการดำเนินงานตามแผน การสอบทานผลการทดสอบและการกำกับดูแล และให้มีการปรับ BCP /BCM ให้เป็นปัจจุบันอยู่เสมอ รวมทั้งการทำให้พนักงานมีความเข้าใจและตระหนักถึงบทบาทหน้าที่ของตนในการปฏิบัติตามแผนได้ในทางปฏิบัติ

2.2) ระดับอ่อนหรือไม่ผ่าน BCP/BCM
ผู้บริหารระดับสูงไม่ได้ตระหนักถึงความสำคัญของการเตรียมความพร้อมรองรับเหตุการณ์ฉุกเฉิน โดยไม่มีส่วนร่วมและไม่ได้มอบหมายผู้ปฏิบัติงานแทนในการกำหนดนโยบาย ควบคุมดูแลและการดำเนินงาน BCP/BCM เมื่อเทียบกับ ข้อ 2.1 เป็นต้น

3. ความครบถ้วนสมบูรณ์ของแผน BCP/BCM ที่เกี่ยวกับหน่วยงาน IT และ Non-IT ที่เกี่ยวเนื่องกันโดยรวมทั้งมุมมอง การบูรณาการตั้งแต่ความคิด ความเข้าใจ การวางแผนฯ ที่สอดประสานกันในระดับองค์กรและระหว่างองค์กร

3.1) ระดับดี
มีการจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) เป็นลายลักษณ์อักษรที่ครอบคลุมหน่วยงานธุรกิจและหน่วยงานด้าน IT รวมทั้งครอบคลุมทุกระบบงานหลัก ๆ แผนสามารถรองรับปัญหาที่ส่งผลกระทบในระดับความรุนแรงต่าง ๆ ตั้งแต่น้อยจนถึงมาก จนไม่สามารถดำเนินงานต่อไปได้ อีกทั้งรองรับเหตุการณ์ความเสียหายในหลายรูปแบบ โดยคำนึงถึงปัจจัยที่เป็นอุปสรรคภายนอก มีการกำหนดเกณฑ์ที่ใช้พิจารณาในการเริ่มปฏิบัติตามแผนฯ โดยเป็นเกณฑ์ทั้งเชิงธุรกิจและ IT ซึ่งส่วนใหญ่จะมีปัญหาด้านบูรณาการ ประสานงานและการปฏิบัติ

กระบวนการจัดทำแผนฯ ครอบคลุมขั้นตอน การวิเคราะห์ผลกระทบต่อธุรกิจ การประเมินความเสี่ยงของทุกธุรกิจ โดยมีผู้บริหารที่เกี่ยวข้องเข้ามามีส่วนร่วมในการจัดทำแผน รวมทั้งมีหน่วยงานกลางมาสอบทานกระบวนการจัดทำแผนด้วย มีการกำหนดภัย สมมติฐานไว้อย่างครอบคลุมและทันสมัย รวมทั้งคำนึงถึงสานการณ์จำลองที่เลวร้ายที่สุด อีกทั้งมีการวิเคราะห์โอกาสและความรุนแรงของภัย รวมทั้งผลกระทบที่เกี่ยวข้อง (BIA-Business Impact Analysis) เพื่อจัดลำดับความสำคัญของธุรกิจ และระบบงานในการกู้คืนสู่สภาพปกติ

3.2) ระดับอ่อน หรือไม่มี BCP/BCM
ไม่มีการจัดทำ BCP/BCM เป็นลายลักษณ์อักษรและไม่มีแนวทางปฏิบัติเพื่อเตรียมพร้อมรองรับเหตุการณ์ฉุกเฉินตามหลักการ BCP/BCM

สำหรับเนื้อหาในส่วนที่เหลือ คงต้องติดตามกันต่อในตอนหน้านะครับ

 

บทคัดย่อพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546

ครั้งก่อนผมได้นำเสนอการพัฒนาความคิดเพื่อการกำกับและดูแลกิจการที่ดี ซึ่งสามารถนำไปประยุกต์ใช้บริหารจัดการความคิดเพื่อใช้กำกับดูแลองค์กร และที่จะได้นำเสนอในครั้งนี้จะกล่าวถึงบทคัดย่อพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 (หมวด 1 มาตรา 6) เพราะสิ่งที่นำเสนอนี้ ผู้เขียนเห็นว่ามีความน่าสนใจและมีความสัมพันธ์เกี่ยวข้องกันกับ CG-Corporate Governance ที่ได้นำเสนอไว้ในหมวดหมู่ CG และองค์ประกอบที่เกี่ยวข้องนี้ครับ

นี่คือแผนภาพที่แสดงถึงหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ในรูปแบบของต้นไม้ใหญ่ที่มีลำต้น ราก และ ใบ แผ่กิ่งก้านสาขา กับการบริหารกิจการบ้านเมืองที่ดีในมิติต่าง ๆ

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

บทคัดย่อพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 (หมวด 1 มาตรา 6)

1. การเกิดประโยชน์สุขของประชาชนปฏิบัติราชการที่มีเป้าหมายเพื่อให้เกิดความผาสุกและความเป็นอยู่ที่ดีของประชาชน ความสงบและความปลอดภัยของสังคมส่วนรวม ตลอดจนประโยชน์สูงสุดของประเทศ (ม.7และ8)

2. การเกิดผลสัมฤทธิ์ต่อภารกิจของรัฐ
– กำหนดแผนปฏิบัติราชการระยะสั้น (1 ปี) และระยะยาว (4 ปี ) มีเป้าหมายและผลสัมฤทธิ์ของงาน ขั้นตอน ระยะเวลา งบประมาณ บุคคลที่รับผิดชอบรวมทั้งตัวชี้วัดความสำเร็จ และต้องติดตามและประเมินผล (ม.9 และ 12-18)
– มีการบริหารราชการแบบบูรณาการประสานงานร่วมกันกับหน่วยงานที่เกี่ยวข้อง (ม.10)
– พัฒนาส่วนราชการให้เป็นองค์กรแห่งการเรียนรู้ (ม.11)

3. มีประสิทธิภาพและเกิดความคุ้มค่าในเชิงภารกิจของรัฐ
– กำหนดเป้าหมาย แผนการทำงาน ระยะเวลาแล้วเสร็จ งบประมาณ และเผยแพร่ให้ข้าราชการและประชาชนทราบโดยทั่วกัน (ม.20)
– จัดทำบัญชีต้นทุนในงานบริการสาธารณะ คำนวณรายจ่ายต่อหน่วยของงานถ้าสูงกว่าหน่วยงานใกล้เคียงกันต้องทำแผนลดค่าใช้จ่าย (ม.21)
– ประเมินความคุ้มค่าในการปฏิบัติภารกิจของรัฐว่าสมควรดำเนินต่อไปหรือยุบเลิกโดยคำนึงถึงประโยชน์และผลเสียทั้งในด้านตัวเงินและสังคม (ม.22)
– จัดซื้อจัดจ้างอย่างเปิดเผยและเที่ยงธรรม (ม.23)
– พิจารณาภารกิจที่เกี่ยวข้อง หรือยื่นขอ อนุญาต อนุมัติ ขอความเห็นชอบ วินิจฉัยชี้ขาดปัญหาต้องดำเนินการอย่างรวดเร็ว (ม.24-26)

4. ไม่มีขั้นตอนการปฏิบัติงานเกินความจำเป็น
– กระจายอำนาจการตัดสินใจให้แก่ผู้มีหน้าที่รับผิดชอบโดยตรง มุ่งให้เกิดความสะดวกรวดเร็วในการบริการประชาชน โดยมีการควบคุม ติดตาม กำกับดูแลการใช้อำนาจ และความรับผิดชอบของผู้มอบและรับมอบอำนาจ (ม.27และ28)
– ใช้เทคโนโลยีสารสนเทศหรือโทรคมนาคม เพื่อลดขั้นตอนการปฏิบัติงาน เพิ่มประสิทธิภาพ และประหยัดค่าใช้จ่าย (ม.27)
– จัดทำแผนภูมิขั้นตอน รายละเอียด และระยะเวลาดำเนินการ เปิดเผย ณ ที่ทำการหรือในเครือข่ายสารสนเทศ (ม.29)
– ส่วนราชการภายในกระทรวงเดียวกันร่วมกันจัดตั้งศูนย์บริการร่วมเพื่อให้ประชาชนสามารถติดต่อสอบถาม ขอทราบข้อมูล ขออนุญาต หรือขออนุมัติเรื่องใด ๆ ให้ติดต่อได้ที่ที่เดียว (ม.30-32)

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

5. มีการปรับปรุงภารกิจของส่วนราชการให้ทันต่อสถานการณ์
– ทบทวนภารกิจใดควรดำเนินการต่อหรือไม่โดยคำนึงถึงแผนการบริหารราชการแผ่นดิน นโยบายคณะรัฐมนตรี กำลังเงินงบประมาณ และความคุ้มค่าของภารกิจและสถานการณ์ประกอบกัน ถ้ายกเลิก ปรับปรุงหรือเปลี่ยนแปลงภารกิจให้ปรับปรุงอำนาจหน้าที่ โครงสร้าง และอัตรากำลังให้สอดคล้องกัน (ม.33)
– กรณีมีการยุบโอน เลิก รวม ส่วนราชการใดไม่ให้จัดตั้งส่วนราชการที่ลักษณะเดียวดัน หรือคล้ายคลึงอีก (ม.34)
– สำรวจ ตรวจสอบ ทบทวนกฎหมาย กฎระเบียบ ข้อบังคับ ประกาศ ให้ทันสมัยและเหมาะสมกับสถานการณ์ หรือสอดคล้องกับความจำเป็นทางเศรษฐกิจ สังคม และความมั่นคงของประเทศโดยคำนึงถึงความสะดวกรวดเร็วและลดภาระของประชาชนเป็นสำคัญ โดยนำข้อเสนอแนะของประชาชนมาพิจารณาด้วย (ม.35-36)

6. ประชาชนได้รับการอำนวยความสะดวก และได้รับการตอบสนองความต้องการ
– กำหนดระยะเวลาแล้วเสร็จของงานแต่ละงานและประกาศให้ข้าราชการและประชาชนทราบ และเป็นหน้าที่ของผู้บังคับบัญชาจะต้องตรวจสอบให้ข้าราชการปฏิบัติงานให้แล้วเสร็จตามกำหนด เมื่อประชาชนสอบถามต้องตอบคำถาม หรือแจ้งการดำเนินการภายใน 15 วัน หรือภายในระยะเวลาที่กำหนดไว้ตาม ม.๓๗ (ม.37-38)
– จัดให้มีระบบเครือข่ายสารสนเทศเพื่ออำนวยความสะดวกให้ประชาชนติดต่อ สอบถาม ขอข้อมูล หรือแสดงความคิดเห็น ให้สอดคล้องกับระบบเดียวกับกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารจัดให้มีขึ้น (ม.39-40)
– แจ้งคำร้องเรียน เสนอแนะ ความคิดเห็นไปยังบุคคลที่รับผิดชอบถ้ามีข้อมูลและสาระตามสมควรที่เกี่ยวกับวิธีปฏิบัติราชการ อุปสรรค ความยุ่งยาก หรือปัญหาจากบุคคลใด โดยห้ามเปิดเผยชื่อ/ที่อยู่ของผู้ร้องเรียน เสนอแนะ หรือแสดงความคิดเห็น (ม.41)
– ตรวจสอบกฎ ระเบียบ ข้อบังคับ หรือประกาศว่าเป็นอุปสรรคก่อให้เกิดความยุ่งยากซับซ้อน ล่าช้าต่อการปฏิบัติหน้าที่หรือไม่เพื่อปรับปรุงแก้ไขให้เหมาะสมโดยเร็ว (ม.42)
– การปฏิบัติราชการใดถือเป็นเรื่องเปิดเผยยกเว้นเพื่อประโยชน์ในการรักษาความมั่นคงของประเทศ เศรษฐกิจ ความสงบเรียบร้อยของประชาชน และคุ้มครองสิทธิส่วนบุคคลให้เป็นความลับเท่าที่จำเป็น (ม.43)
– เปิดเผยข้อมูลงบประมาณรายจ่ายประจำปีเกี่ยวกับรายการจัดซื้อจัดจ้าง และสัญญาที่ได้มีการอนุมัติ ให้ประชาชนขอดูและตรวจสอบได้ ยกเว้นข้อมูลก่อให้เกิดความได้เปรียบเสียเปรียบแก่บุคคลใดในการจัดซื้อจัดจ้างหรืออยู่ภายใต้กฎหมาย กฎ ระเบียบ ข้อบังคับ เกี่ยวกับการคุ้มครองความลับทางราชการหรือความลับทางการค้า(ม.44)

7. มีการประเมินผลการปฏิบัติราชการสม่ำเสมอ
– นอกจากประเมินผลแผนปฏิบัติราชการแล้วต้องจัดให้มีคณะผู้ประเมินอิสระ ดำเนินการประเมินผลสัมฤทธิ์ของภารกิจ คุณภาพการให้บริการ ความพึงพอใจของประชาชนผู้รับบริการ และความคุ้มค่าในภารกิจ (ม.45)
– ประเมินภาพรวมของผู้บังคับบัญชาแต่ละระดับหรือหน่วยงานในส่วนราชการ ต้องทำเป็นความลับและเพื่อประโยชน์สามัคคีของข้าราชการ (ม.46)
– ประเมินผลการปฏิบัติงานของข้าราชการเพื่อประโยชน์ในการบริหารงานบุคคล ให้คำนึงถึงผลการปฏิบัติงานของของข้าราชการในตำแหน่งที่ปฏิบัติ ประโยชน์และผลสัมฤทธิ์ของหน่วยงานที่สังกัดที่ได้รับจากการปฏิบัติงานของข้าราชการผู้นั้น (ม.47)
– ส่วนราชการใดดำเนินการให้บริการที่มีคุณภาพ เป็นไปตามเป้าหมายที่กำหนด เป็นที่พึงพอใจแก่ประชาชน ให้เสนอจัดสรรเงินเพิ่มพิเศษเป็นบำเหน็จความชอบแก่ส่วนราชการหรือนำงบประมาณเหลือจ่ายไปปรับปรุงการปฏิบัติงานหรือจัดสรรเป็นรางวัลให้แก่ราชการในสังกัด (ม.48)
– ส่วนราชการใดดำเนินการเป็นไปตามเป้าหมาย สามารถเพิ่มผลงานและผลสัมฤทธิ์โดย ไม่เพิ่มค่าใช้จ่ายและคุ้มค่าต่อภารกิจ สามารถดำเนินการตามแผนลดค่าใช้จ่ายต่อหน่วยได้ เป็นที่พึงพอใจแก่ประชาชน ให้เสนอจัดสรรเงินรางวัลการเพิ่มประสิทธิภาพให้แก่ส่วนราชการนั้น หรือนำงบประมาณเหลือจ่ายไปปรับปรุงการปฏิบัติงานหรือจัดสรรเป็นรางวัลให้แก่ข้าราชการในสังกัด (ม.49)

 

BCM กับการวัดศักยภาพในการบริหารการดำเนินธุรกิจอย่างต่อเนื่อง

วันก่อน ผมได้นำแนวทางการกำกับสถาบันการเงินหลักของ ธปท. มาเผยแพร่เพื่อให้ทราบแนวทางการติดตามการดำเนินงานของสถาบันการเงินต่าง ๆ โดยธนาคารแห่งประเทศไทยไปแล้วนั้น คาดว่าน่าจะมีประโยชน์พอสมควรนะครับ เพราะว่าผู้กำกับได้เปิดเผยแนวทางกำกับและการตรวจสอบที่ชัดเจน ซึ่งสถาบันการเงิน ผู้ถูกกำกับก็จะได้เตรียมความพร้อมในการบริหารและการจัดการเพื่อสร้างความมั่นคงในแง่มุมต่าง ๆ ที่เกี่ยวข้องต่อไป

วันนี้ ผมมีมุมมองที่เกี่ยวข้องกับ BCM-Business Continuity Management ซึ่งเป็นหัวข้อหนึ่งในเรื่องที่เกี่ยวข้องกับ IT Security ตามมาตรฐาน ISO 27001 ซึ่งธนาคารแห่งประเทศไทยและกระทรวงการคลังได้นำมาตรการนี้ไปใช้ในการกำกับสถาบันที่ตนดูแลอยู่เช่นเดียวกัน

ผมจึงมีข้อสังเกตเล็ก ๆ น้อย ๆ ที่อธิบายด้วยแผนภาพให้เหมาะสมกับยุคของการล่มสลายทางการเงินของประเทศสหรัฐอเมริกาที่มีผลกระทบต่อสถาบันการเงินต่าง ๆ ทั่วโลกในมุมมองของ BCM พร้อมกับข้อสังเกตบางประการในการที่จะยกระดับการบริหารและการจัดการ BCM ตามมาตรฐานที่ดี ดังนี้

BCM & IT Security & Internal Control/Audit

BCM & IT Security & Internal Control/Audit

แนวการบริหารและการพิจารณาระดับการบริหาร การจัดการ BCM ขององค์กรทั่วไป มีแนวทางโดยย่อ ดังนี้

การจัดทำแผนการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP-Business Continuity Plan) หรือ การจัดให้มีการบริหารการดำเนินงาน ธุรกิจอย่างต่อเนื่อง (BCM- Business Continuity Management) เบื้องต้น

หัวข้อนี้เป็นเรื่องหนึ่งที่จะมีการประเมินผลการบริหารความเสี่ยง ด้านดุลยภาพการจัดการ เป็นเรื่องที่ทางการต้องการและผู้กำกับผลักดันหรือขับเคลื่อนเรื่องนี้ให้เป็นรูปธรรม เพื่อรองรับเหตุการณ์ที่ไม่พึงประสงค์ในกรณีวิกฤติระดับต่าง ๆ ว่าองค์กร มีความพร้อมและมีแผนรองรับที่มีการบริหารและปรับปรุงกันอย่างต่อเนื่องเพียงใด ในธุรกิจหลัก ๆ ของ องค์กร เพราะความเสียงที่ร้ายแรงยิ่ง

ถึงแม้โอกาสจะเกิดขึ้นไม่มากนัก แต่ถ้าเป็นเรื่องสำคัญมาก ๆ ที่ องค์กรหรือรัฐไม่อาจยอมรับได้เพราะมีผลกระทบอย่างมีนัยสำคัญต่อผู้มีผลประโยชน์ร่วมจำนวนมาก องค์กร และรัฐวิสาหกิจต้องจัดให้มีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP-Business Continuity Plan) ที่เป็นรูปธรรมและมีคุณภาพ

โครงสร้าง BCM

โครงสร้าง BCM

เกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) มีเกณฑ์และกรอบของงานโดยสังเขป เป็นแนวทางปฏิบัติ ซึ่งองค์กร ควรดำเนินการตามมาตรฐานเบื้องต้นโดยย่อ ที่เกี่ยวกับ BCM บางประการ ดังนี้

1. หลักการทั่วไป ความพร้อมในการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM)

โปรดดูความเตรียมพร้อมของท่านเกี่ยวกับการจัดการเรื่อง BCP จากแผนภาพด้านล่างนี้

Business Continuity Plan Checklist (Step 1 - 3)

Business Continuity Plan Checklist (Step 1 - 3)

Business Continuity Plan Checklist (Step 4 - 5)

Business Continuity Plan Checklist (Step 4 - 5)

1.1) ระดับดี
คณะกรรมการและผู้บริหารขององค์กร จัดให้มีความพร้อมในการรองรับเหตุการณ์ความเสียหายในรูปแบบที่หลากหลาย ซึ่งรวมถึงเหตุการณ์ในภาวะปัจจุบันและอนาคตที่พึงคาดหมายได้อย่างเข้าใจในสถานการณ์ เพื่อให้องค์กรมีความมั่นใจได้ว่า จะสามารถดำเนินธุรกิจ พร้อมทั้งการให้บริการแก่ลูกค้า ประชาชน ได้อย่างต่อเนื่องจากภาพจำลองต่าง ๆ ที่เป็นไปได้ ในภาวะเหตุการณ์ฉุกเฉินและจะสามารถทำให้ธุรกิจกลับคืนสู่สภาพปกติได้ โดยมีการจัดทำแผนสำรองฉุกเฉินที่ครอบคลุมงานทุกประเภทที่สำคัญ ๆ มีกระบวนการและจัดเตรียมทรัพยากรในการรองรับเหตุการณ์ฉุกเฉิน ซึ่งสามารถพร้อมดำเนินการได้ภายในระยะเวลาอันสั้น เป็นที่ยอมรับได้ของผู้มีผลประโยชน์ร่วม

1.2) ระดับอ่อนหรือไม่ผ่าน BCP/BCM
องค์กรไม่ได้จัดเตรียมความพร้อม หรือไม่มีแผนในการรองรับเหตุการณ์ความเสียหาย โดยยังไม่มีการจัดทำแผนสำรองฉุกเฉินอย่างมีกระบวนการ รวมทั้งจัดเตรียมทรัพยากรในการรองรับเหตุฉุกเฉิน ซึ่งส่งผลให้ธุรกิจและการบริการอย่างต่อเนื่องไม่สามารถดำเนินต่อไปได้เพราะขาดนโยบายและขาดแผนอย่างมีขั้นตอนตามหลักการของ BCP/BCM

สำหรับเนื้อหาในตอนนี้ยังมีประเด็นที่ต้องพิจารณาอีก 4 หัวข้อด้วยกัน ซึ่งผมจะได้นำเสนอในโอกาสต่อไปครับ

 

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

นอกจากความเสี่ยงในด้านต่าง ๆ และความเสี่ยงในด้านการปฏิบัติการที่ได้กล่าวไปในครั้งก่อนแล้ว องค์กรต่าง ๆ อาจเผชิญกับความเสี่ยงที่เป็นความไม่แน่นอนและอยู่ใกล้ตัวมากที่สุด ซึ่งมีความสำคัญที่จะกระทบปัจจัยเสี่ยงอื่น ๆ ในทุกเรื่อง รวมถึงความเสี่ยงจากสภาพแวดล้อมทั่วไปด้วยเช่นกันที่องค์กรควรต้องกำหนดแนวทาง ระบุความเสี่ยง และจัดหาเครื่องมือในการจัดการกับความเสี่ยงที่จะอาจเกิดขึ้น

ความเสี่ยงจากสภาพแวดล้อมทั่วไปขององค์กร เช่น จริยธรรม คุณธรรมในการบริหารงาน ปรัชญา ความเชื่อในเรื่องการบริหารความเสี่ยงที่เป็นรูปธรรม แนวความคิดและความเข้าใจของการนำการบริหารความเสี่ยงมาใช้ในองค์กร การกำหนดความเสี่ยงที่ยอมรับได้ (Risk Appetite) การจัดโครงสร้างขององค์กร การมอบหมายอำนาจและหน้าที่ ขั้นตอนการปฏิบัติงาน วัฒนธรรมในการดำเนินงานขององค์กร ความเกรงใจ ความเห็นแก่หน้า การไม่เคารพกฎและกติกาตามหลักการกำกับดูแลกิจการที่ดี การขาดการประสานงาน การทำงานเป็นทีมที่ด้อยคุณภาพ ความไม่มีใจต่อความสำเร็จขององค์กร การมีอัตตาหรือการไม่รับฟังความคิดเห็นจากผู้ร่วมงาน การให้คุณให้โทษที่ไม่เป็นธรรม โดยไม่ยึดผลสำเร็จของงาน การขาดการติดตามวัดผลสำเร็จของแผนงาน โครงการ ตามพันธกิจที่ได้ดุลยภาพและมีคุณภาพ รวมทั้งทัศนคติของผู้บริหารที่อาจชอบฟังหรือรับทราบเฉพาะเรื่องดี ๆ โดยไม่ยอมรับฟังเรื่องเชิงลบ ทั้งที่เป็นเรื่องจริงที่เป็นความเสี่ยงและมีผลกระทบต่อเป้าประสงค์ ทั้งระยะสั้น ระยะยาว เป็นต้น

ซึ่งความเสี่ยงจากสภาพแวดล้อมทั่วไปเหล่านี้จะมีผลอย่างสำคัญต่อความสำเร็จของการบริหารความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการเงินและการรายงาน ทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ และคำสั่งต่าง ๆ ของทุกองค์กรได้

องค์กรทั่วไป ควรจะมีการสอบทานความเหมาะสม และระบุปัจจัยเสี่ยงที่อาจเกิดจากสภาพแวดล้อมทั่วไปดังกล่าวข้างต้นควบคู่กันไปกับการบริหารความเสี่ยงขององค์ประกอบอื่น ๆ และพิจารณาหาแนวทางควบคุมและจัดการกับความเสี่ยงที่มีนัยสำคัญให้อยู่ในระดับที่องค์กรยอมรับได้ โดยใช้เครื่องมือสำหรับระบุความเสี่ยงในแบบการประเมินตนเองหรือ CSA – Control Self Assessment โดยใช้บุคคลภายในองค์กรเอง หรือ QAR – Quality Assurance Review โดยใช้บุคคลภายนอก หรือดัชนีเครื่องชี้ความเสี่ยง (Key Risk Indicators) ตามความเหมาะสมต่อไป

นี่คือ ตัวอย่างบางประการที่มีความสำคัญต่อการบริหารความเสี่ยง ซึ่งเป็นเครื่องมือและกระบวนการบริหารเชิงรุกภายใต้กรอบการกำกับดูแลกิจการที่ดี ที่คณะกรรมการบริหาร ผู้บริหาร ผู้ปฏิบัติงานทุกคนขององค์กรทั่วไป จะมีส่วนร่วมอย่างสำคัญในการนำไปปฏิบัติควบคู่กับการบริหารแผนงานและโครงการต่าง ๆ ขององค์กร เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุเป้าประสงค์หลักโดยมีการจัดการและควบคุมความเสี่ยงอย่างพอเพียงและเหมาะสม