Archive for เมษายน, 2009

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

จากที่ได้กล่าวไปแล้วว่า ผมจะพูดถึงหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงในครั้งนี้ ฉะนั้น การบริหารความเสี่ยงขององค์กรจะมีหลักการอย่างไร และจะมีปัจจัยใดบ้างที่เกี่ยวข้องและมีผลกระทบต่อความสำเร็จขององค์กร ติดตามกันต่อได้เลยครับ

หลักการบริหารความเสี่ยง
หลักการบริหารความเสี่ยงประกอบด้วยพื้นฐาน 2 ประการคือ หลักการ ORCA และปัจจัยที่ทำให้การนำกรอบการบริหารความเสี่ยงไปปฏิบัติประสบผลสำเร็จ

หลักการบริหารความเสี่ยง = หลักการ ORCA + ปัจจัยสำคัญที่ทำให้ประสบความสำเร็จ

หลักการ ORCA เป็นคำย่อของ Objectives – วัตถุประสงค์ / Risk – ความเสี่ยง / Control – การควบคุมภายใน Alignment – ความสอดคล้องกัน ซึ่งเป็นแนวทางที่มีเหตุผลดังนี้
1. การกำหนดวัตถุประสงค์ที่ชัดเจนขององค์กร
2. การประเมินความเสี่ยงที่อาจทำให้ไม่สามารถบรรลุวัตถุประสงค์ การประเมินความเสี่ยงเป็นการบ่งชี้และวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับความสามารถในการบรรลุวัตถุประสงค์และเป็นแนวทางพื้นฐานในการกำหนดการควบคุมภายในเพื่อใช้สำหรับการจัดการความเสี่ยง เป็นกระบวนการต่อเนื่อง ทั้งนี้เนื่องจากภาวะทางเศรษฐกิจ อุตสาหกรรม กฎ ระเบียบ และการปฏิบัติงานมีการเปลี่ยนแปลงอยู่ตลอดเวลา
3. สร้างการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงขององค์กร การควบคุมที่ไม่เพียงพออาจทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้
4. ดำเนินการเพื่อให้มั่นใจว่ามีความสอดคล้องกันระหว่างวัตถุประสงค์ ความเสี่ยงและการควบคุมทั่วทั้งองค์กร

ปัจจัยสำคัญต่อความสำเร็จในการบริหารความเสี่ยง
ปัจจัยสำคัญ 8 ประการ เพื่อช่วยให้การปฏิบัติตามกรอบการบริหารความเสี่ยงประสบความสำเร็จ มีดังนี้

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

ปัจจัยที่ 1 : การสนับสนุนจากผู้บริหารระดับสูง
การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กร จะประสบความสำเร็จเพียงใดขึ้นอยู่กับเจตนารมณ์ การสนับสนุน การมีส่วนร่วม และความเป็นผู้นำของผู้บริหารระดับสูงในองค์กร

คณะกรรมการ และผู้บริหารระดับสูงขององค์กรทั่วไป ต้องให้ความสำคัญและสนับสนุนให้ทุกคนในองค์กรเข้าใจความสำคัญในคุณค่าของการบริหารความเสี่ยงต่อองค์กร มิฉะนั้นแล้วการบริหารความเสี่ยงไม่สามารถเกิดขึ้นได้ การบริหารความเสี่ยงต้องเริ่มต้นจากการที่กรรมการผู้จัดการ หรือผู้นำสูงสุดขององค์กร ต้องการให้ระบบนี้เกิดขึ้น โดยกำหนดนโยบายให้มีการปฏิบัติ รวมถึงการกำหนดให้ผู้บริหารต้องใช้ข้อมูลเกี่ยวกับความเสี่ยงในการตัดสินใจ และบริหารงาน เป็นต้น

ปัจจัยที่ 2 : ความเข้าใจความหมายความเสี่ยงตรงกัน
การใช้คำนิยามเกี่ยวกับความเสี่ยงและการบริหารความเสี่ยงแบบเดียวกัน จะทำให้เกิดความมีประสิทธิภาพในการกำหนดวัตถุประสงค์ นโยบาย กระบวนการ เพื่อใช้ในการบ่งชี้และประเมินความเสี่ยง และกำหนดวิธีการจัดการความเสี่ยงที่เหมาะสม

การจัดทำกรอบและนโยบายการบริหารความเสี่ยงที่มีความชัดเจน จะทำให้ผู้บริหารและพนักงานทุกคนใช้ภาษาความเสี่ยงในแนวทางเดียวกันและมีจุดหมายร่วมกันในการบริหารความเสี่ยง

ปัจจัยที่ 3 : กระบวนการบริหารความเสี่ยง ดำเนินการอย่างต่อเนื่อง
การที่องค์กรทั่วไป จะประสบความสำเร็จในการปฏิบัติตามกระบวนการบริหารความเสี่ยงได้นั้น รูปแบบการบริหารความเสี่ยงขององค์กรจะต้องมีการกำหนดขึ้น และเป็นความรับผิดชอบของผู้บริหารในทุกระดับที่จะนำกระบวนการบริหารความเสี่ยงมาปฏิบัติได้อย่างทั่วถึงทั้งองค์กร และต้องกระทำอย่างต่อเนื่อง สม่ำเสมอ

ปัจจัยที่ 4 : การบริหารการเปลี่ยนแปลง ต้องมีการชี้แจง
ในการนำเอากระบวนการบริหารความเสี่ยงมาปฏิบัติ จำเป็นต้องมีการปรับวัฒนธรรมการบริหารความเสี่ยงขององค์กรให้กับเข้าทุกระดับขององค์กร และต้องให้ผู้บริหารและพนักงานทุกคนได้ทราบถึงการเปลี่ยนแปลงและผลที่องค์กร และแต่ละบุคคลจะได้รับจากการเปลี่ยนแปลงนั้น

องค์ประกอบที่สำคัญของการเปลี่ยนแปลง
– กำหนดความคาดหวังที่เป็นไปได้ในทางปฏิบัติตั้งแต่เริ่มต้นโครงการ
– กำหนดระยะเวลาของกระบวนการเปลี่ยนแปลงและสื่อให้กับผู้ที่เกี่ยวข้องได้รับทราบ
– กำหนดลักษณะและระดับของความพยายามที่ต้องการ
– ดำเนินการเพื่อให้มั่นใจว่ามีการสื่อสารไปยังทุกฝ่ายที่ได้รับผลกระทบจากการเปลี่ยนแปลง
– ระบุปัญหา อุปสรรคที่ต้องดำเนินการแก้ไขตั้งแต่เริ่มแรก

ปัจจัยที่ 5 : การสื่อสารที่มีคุณภาพเชื่อมโยงกับกลยุทธ์
วัตถุประสงค์ของการสื่อสารอย่างมีประสิทธิผลนั้น ต้องให้มั่นใจได้ว่า
– ผู้บริหารได้รับข้อมูลเกี่ยวกับความเสี่ยงที่ถูกต้องและทันเวลา
– ผู้บริหารสามารถจัดการกับความเสี่ยงตามลำดับความสำคัญ หรือตามการเปลี่ยนแปลงหรือความเสี่ยงที่เกิดขึ้นใหม่ได้ทันท่วงที
– มีการติดตามแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อนำมาใช้ปรับปรุงการบริหารองค์กร และจัดการความเสี่ยงต่าง ๆ เพื่อให้องค์กรมีโอกาสในการบรรลุวัตถุประสงค์ได้มากที่สุด

การสื่อสารเกี่ยวกับกลยุทธ์การบริหารความเสี่ยง และวิธีปฏิบัติมีความสำคัญอย่างมาก เพราะการสื่อสารจะเน้นให้เห็นถึงการเชื่อมโยง ระหว่างการบริหารความเสี่ยงกับกลยุทธ์องค์กร การชี้แจงทำความเข้าใจต่อพนักงานทุกคนถึงความรับผิดชอบของแต่ละบุคคลต่อกระบวนการบริหารความเสี่ยง จะช่วยให้เกิดการยอมรับในกระบวนการ และนำมาซึ่งความสำเร็จในการพัฒนาการบริหารความเสี่ยง โดยควรได้รับการสนับสนุนทั้งทางวาจา และในทางปฏิบัติจากกรรมการผู้จัดการและผู้บริหารระดับสูงของ องค์กร

ปัจจัยที่ 6 : การวัดผลการบริหารความเสี่ยง ควบคู่กับกระบวนการด้านบุคลากร
– การวัดความเสี่ยงในรูปแบบของผลกระทบและโอกาสที่อาจเกิดขึ้น เพื่อให้ผู้บริหารสามารถประเมินความเสี่ยงที่เกิดขึ้นและดำเนินการให้กระบวนการทั้งหมดเกิดความสอดคล้องกันอย่างมีประสิทธิภาพและประสิทธิผล และเป็นการลดความแตกต่างระหว่างความเสี่ยงที่เกิดขึ้น และความเสี่ยงที่องค์กรยอมรับ

– การวัดความสำเร็จของการบริหารความเสี่ยงโดยอาศัยดัชนีวัดผลการดำเนินงาน ซึ่งอาจกำหนดเป็นระดับองค์กร ฝ่ายงาน หรือของแต่ละบุคคล การใช้ดัชนีวัดผลการดำเนินงานนี้อาจปฏิบัติร่วมกับกระบวนการด้านทรัพยากรบุคคล

ปัจจัยที่ 7 : การฝึกอบรม ความรู้ ความรับผิดชอบการบริหารความเสี่ยง
กรรมการ ผู้บริหาร และพนักงานทุกคนในองค์กร ควรต้องได้รับการฝึกอบรมเพื่อให้เข้าใจกรอบการบริหารความเสี่ยง และความรับผิดชอบของแต่ละบุคคลในการจัดการความเสี่ยง เพื่อบรรลุความสำเร็จขององค์กร การสื่อสารข้อมูลเกี่ยวกับความเสี่ยง การฝึกอบรมในองค์กรควรต้องคำนึงถึงประเด็น ดังต่อไปนี้
– ความแตกต่างกันของระดับความรับผิดชอบ ในการบริหารความเสี่ยง
– ความรู้เกี่ยวกับความเสี่ยง และการบริหารความเสี่ยงที่มีอยู่แล้วในองค์กร
พนักงานใหม่ทุกคน ควรได้รับการฝึกอบรม เพื่อให้มีความเข้าใจในความรับผิดชอบต่อความเสี่ยง และกระบวนการบริหารความเสี่ยงด้วยเช่นกัน

ระบบการประเมินผลการดำเนินงาน ถือเป็นเครื่องมือสำคัญที่ใช้ในการส่งเสริมความรับผิดชอบของแต่ละบุคคล โดยความรับผิดชอบเกี่ยวกับการบริหารความเสี่ยง ควรกำหนดรวมอยู่ในงานที่แต่ละบุคคลรับผิดชอบ และในคำอธิบายลักษณะงาน (Job Description) การประเมินผลการดำเนินงานส่วนที่เกี่ยวกับการบริหารความเสี่ยง มีประเด็นที่ควรประเมินดังต่อไปนี้
– ความรับผิดชอบ และการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลมีต่อองค์กร
– การวัดระดับของความเสี่ยงที่บุคคลนั้น เป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

ปัจจัยที่ 8 : การติดตามกระบวนการบริหารความเสี่ยง
ขั้นตอนสุดท้ายของปัจจัยสำคัญต่อความสำเร็จของการบริหารความเสี่ยง คือ การกำหนดวิธีที่เหมาะสมในการติดตามการบริหารความเสี่ยง

การติดตามกระบวนการบริหารความเสี่ยง ควรพิจารณาประเด็นต่อไปนี้
– การรายงาน และสอบทานขั้นตอนตามกระบวนการบริหารความเสี่ยง
– ความชัดเจนและสม่ำเสมอของการมีส่วนร่วม และความมุ่งมั่นของผู้บริหารระดับสูง
– บทบาทของผู้นำในการสนับสนุน และติดตามการบริหารความเสี่ยง
– การประยุกต์ใช้เกณฑ์การประเมินผลการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยง

 

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

สวัสดีครับ ห่างหายกันไปนาน เดี๋ยวจะหาว่าผมหยุดพักผ่อนสงกรานต์นานไปหน่อย จริง ๆ แล้วไม่ได้หายไปไหนหรอกครับ แต่ตั้งแต่ช่วงสงกรานต์ที่ผ่านมาระบบอินเตอร์เน็ตที่ผมใช้งานอยู่เกิดเสียขึ้นมา ก็ต้องขอโทษด้วยสำหรับผู้อ่านที่กำลังติดตามแนวทาง/กรอบการบริหารความเสี่ยงขององค์กรกันอยู่

วันนี้ผมจะขอทบทวนในเรื่องของกรอบแนวความคิดของการบริหารความเสี่ยงกันอีกนึดนึง หลังจากที่ได้หายไปนาน ซึ่งวัตถุประสงค์สำคัญของกรอบแนวคิดนี้คือ การช่วยให้องค์กรทั่วไปจัดการกับความเสี่ยงที่เกิดขึ้นในการบรรลุวัตถุประสงค์ที่กำหนดไว้ แต่ความหมายของ ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กร จะมีความแตกต่างกันไปในแต่ละคน จึงจำเป็นต้องมีการบูรณาการแนวความคิด เรื่องความเสี่ยงออกมาเป็นกรอบเพื่อเป็นความหมายที่เข้าใจได้ตรงกันโดยทั่วไปและสามารถระบุองค์ประกอบได้

ภาพด้านล่างนี้จะทำให้เข้าใจภาพโดยรวมของ ERM ได้ชัดเจนยิ่งขึ้นครับ

ERM 8 ประการ

ERM 8 ประการ

คำจำกัดความการจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
การจัดการความเสี่ยงขององค์กร เป็นกระบวนการที่คณะกรรมการบริหาร และพนักงานทุกคน/ผู้ที่เกี่ยวข้องขององค์กร ประยุกต์ใช้ในการกำหนดกลยุทธ์ที่ออกแบบมาเพื่อจัดการกับเหตุการณ์ที่เป็นความไม่แน่นอนที่อาจส่งผลกระทบต่อองค์กรและบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ อันเป็นการประกันการบรรลุวัตถุประสงค์อย่างสมเหตุสมผลอย่างเป็นระบบตามหลักการบริหารงานยุคใหม่

คำจำกัดความดังกล่าวสะท้อนให้เห็นแนวคิดพื้นฐานของ ERM ดังนี้
1. เป็นกระบวนการ
มีเป้าหมายแต่ไม่มีจุดสิ้นสุดในตัวเอง ไม่ได้เป็นเพียงเหตุการณ์หรือสถานการณ์เพียงครั้งเดียวแต่มีลักษณะเป็นชุดของการกระทำที่ซึมซับเข้าไปเป็นกิจกรรมขององค์กรในการดำเนินธุรกิจ

2. ส่งผลกระทบต่อบุคลากร
ไม่ได้เป็นเพียงนโยบาย การสำรวจหรือรูปแบบ แต่เกี่ยวเนื่องกับคนทุกระดับขององค์กร ตั้งแต่คณะกรรมการบริหาร จนถึงพนักงานระดับปฏิบัติการ ผู้บริหารและพนักงาน จะเป็นผู้กำหนดวิสัยทัศน์ ภารกิจ กลยุทธ์และวัตถุประสงค์ขององค์กรและนำเอา ERM มาเป็นเครื่องมือในการทำให้สิ่งต่าง ๆ เกิดขึ้นจริงและมีผลในทางปฏิบัติ

3. นำมาประยุกต์ใช้กับการกำหนดกลยุทธ์
องค์กรจะกำหนดวิสัยทัศน์ หรือภารกิจ และกำหนดวัตถุประสงค์เชิงกลยุทธ์ และกลยุทธ์/ยุทธศาสตร์ที่เกี่ยวเนื่องในการทำให้บรรลุวัตถุประสงค์ขึ้นมา

ERM จะถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์โดยฝ่ายบริหารจะพิจารณาถึงความเสี่ยงที่เกี่ยวข้องกับกลยุทธ์ที่เป็นทางเลือก เช่น ทางเลือกที่ 1 คือต้องการให้องค์กรมีส่วนแบ่งทางการตลาดเพิ่มขึ้น ทางเลือกที่ 2 คือต้องการตัดต้นทุนค่าใช้จ่ายเพื่อให้ได้กำไรมากขึ้น แต่ละทางเลือกก็จะประกอบด้วยความเสี่ยงจำนวนมาก ถ้าฝ่ายบริหารเลือกทางเลือกที่ 1 โดยอาจขยายธุรกิจไปสู่ตลาดใหม่ ๆ ที่ไม่คุ้นเคย อาจทำให้องค์กรไม่สามารถแข่งขันกับคู่แข่งที่อยู่ในตลาดเดิมอยู่แล้วได้อันจะทำให้องค์กรไม่สามารถนำกลยุทธ์นั้นไปปฏิบัติได้ สำหรับทางเลือกที่ 2 ความเสี่ยงที่เกิดขึ้นคือ การใช้เทคโนโลยีและ suppliers ใหม่ ๆ หรือจากพันธมิตรต่าง ๆ ที่เกี่ยวข้อง จึงต้องมีการประยุกต์นำ ERM มาใช้ในระดับนี้ เพื่อกำหนดกลยุทธ์/ยุทธศาสตร์ขององค์กร

4. นำมาประยุกต์ใช้ทุกระดับและทุกหน่วยงาน
การนำ ERM มาใช้ให้เกิดประโยชน์ ฝ่ายบริหารและผู้ที่เกี่ยวข้องของ องค์กร จะต้องพิจารณาขอบข่ายของกิจกรรมทั้งหมดในทุกระดับขององค์กร ตั้งแต่กิจกรรมในระดับองค์กร เช่น การวางแผนกลยุทธ์และการจัดสรรทรัพยากร ในระดับกิจกรรมของหน่วยธุรกิจ การตลาดและทรัพยากรมนุษย์ ในระดับกระบวนการทางธุรกิจ เช่น การผลิตและการตรวจสอบเครดิตลูกค้าใหม่ ERM ยังสามารถประยุกต์ใช้กับโครงการพิเศษและนวัตกรรมใหม่ ๆ ได้ด้วย ฝ่ายบริหารต้องพิจารณาความเสี่ยงที่เกี่ยวเนื่องและบริหารจัดการให้เหลือความเสี่ยงที่ยอมรับได้ที่มีผลต่อแผนงาน/โครงการตามพันธกิจและกลยุทธ์ที่เกี่ยวข้อง

5. ออกแบบมาเพื่อกำหนดเหตุการณ์ที่เป็นไปได้ที่จะมีผลกระทบกับองค์กร และมีการบริหารความเสี่ยงให้อยู่ภายในความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้ คือ จำนวนความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับ กลยุทธ์ที่แตกต่างกันย่อมทำให้องค์กรต้องเผชิญกับความเสี่ยงที่แตกต่างกัน ERM จะช่วยให้ฝ่ายบริหารสามารถเลือกกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ให้กับองค์กร

ความเสี่ยงที่ยอมรับได้ขององค์กร จะเป็นแนวทางในการจัดสรรทรัพยากร ฝ่ายบริหารจะจัดสรรทรัพยากรให้กับหน่วยธุรกิจ โดยพิจารณาจากความเสี่ยงที่ยอมรับได้ของธุรกิจและกลยุทธ์ในการสร้างผลตอบแทนจากทรัพยากรที่ลงทุนไปของแต่ละหน่วยธุรกิจ

6. สร้างความเชื่อมั่นอย่างสมเหตุสมผลต่อการบริหารขององค์กร และคณะกรรมการ
การออกแบบและบริหาร ERM ที่ดีช่วยให้คณะกรรมการบริหารเกิดความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร ในเรื่องดังนี้
– เข้าใจขอบเขตในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ขององค์กร
– เข้าใจขอบเขตของการบรรลุวัตถุประสงค์เชิงปฏิบัติการขององค์กร
– รายงานขององค์กรมีความเชื่อถือได้
– การปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

7. เป็นเครื่องมือในการบรรลุวัตถุประสงค์ขององค์กร
คำจำกัดความนี้เป็นแนวคิดพื้นฐานว่า องค์กรทั่วไปจะบริหารความเสี่ยงได้อย่างไร โดยจะมุ่งเน้นถึงการบรรลุวัตถุประสงค์หรือเป้าหมายรวมขององค์กร

กรอบแนวคิดนี้แสดงให้เห็นวัตถุประสงค์ขององค์กรในเรื่องต่าง ๆ ดังนี้
กลยุทธ์ เกี่ยวข้องกับเป้าหมายในระดับสูง โดยการสร้างความสอดคล้องและสนับสนุนภารกิจขององค์กร
การดำเนินงาน เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ทรัพยากรขององค์กร
การรายงาน เกี่ยวข้องกับความน่าเชื่อถือของรายงานขององค์กร
การปฏิบัติตาม เกี่ยวข้องกับการปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

ครั้งหน้า ผมจะเล่าเรื่องหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงต่อครับ

 

แนวทาง/คู่มือการบริหารความเสี่ยงทั่วทั้งองค์กร

วันนี้ ผมจะเล่าสู่กันฟังถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ดังที่ผมเคยกล่าวไว้ในครั้งก่อน ๆ แล้วว่าเป็นปัจจัยสำคัญหลักของ ERM – Enterprise Risk Management โดยเฉพาะอย่างยิ่ง กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในเรื่องของสภาพแวดล้อมภายในองค์กร (Internal Environment) ที่เป็นกระบวนการที่ให้ความสำคัญเป็นอันดับแรก

ผมอยากให้ท่านผู้บริหาร หรือท่านผู้อ่าน เห็นภาพของกระบวนการบริหารความเสี่ยงทั้ง 8 ประการที่กล่าวถึงนี้ว่า มีแนวทางในการบริหารความเสี่ยงและสามารถจะนำไปปฏิบัติได้อย่างไร ก่อนที่จะกล่าวถึงในรายละเอียดต่อไปครับ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

สภาพแวดล้อมภายในองค์กร (Internal Environment)
ภาพแวดล้อมภายในองค์กรเป็นพื้นฐานสำหรับองค์ประกอบอื่น ๆ ของ ERM เพื่อใช้ในการกำหนดหลักเกณฑ์และโครงสร้าง สภาพแวดล้อมภายในมีผลต่อการประเมินและการดำเนินการในการกำหนดกลยุทธ์และวัตถุประสงค์ขององค์กร การกำหนดกิจกรรมทางธุรกิจ และการกระบุความเสี่ยง มีอิทธิพลต่อการออกแบบและการกำหนดหน้าที่ของกิจกรรม ในการควบคุมระบบข้อมูลข่าวสารและการสื่อสาร และกิจกรรมการติดตามดูแล ในทางตรงข้ามสภาพแวดล้อมภายในนั้นก็ได้รับอิทธิพลมาจากประวัติและวัฒนธรรมในอดีตขององค์กร

สภาพแวดล้อมภายในประกอบด้วยองค์ประกอบต่าง ๆ หลายประการ เช่น ค่านิยมทางจริยธรรม ศักยภาพและการพัฒนาของบุคลากร รูปแบบการจัดการของฝ่ายบริหารและวิธีการมอบหมายอำนาจหน้าที่และความรับผิดชอบ คณะกรรมการบริหารเองก็เป็นส่วนหนึ่งของการควบคุมภายในและมีความสำคัญเป็นอย่างมากในการกำหนดสภาพแวดล้อมการควบคุมภายใน แม้ว่าทุกองค์ประกอบจะมีความสำคัญแต่ในองค์กรที่แตกต่างกันก็จะให้ความสำคัญที่แตกต่างกันกันออกไป

สภาพแวดล้อมภายในองค์กร หมายถึงปัจจัยต่าง ๆ ซึ่งผู้บริหารต้องมีการกำหนดร่วมกันกับพนักงานในองค์กร ส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร และเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM

สภาพแวดล้อมภายในองค์กรพิจารณาได้ดังนี้
1. ปรัชญาการบริหารความเสี่ยงขององค์กร
ปรัชญาการบริหารความเสี่ยงขององค์กร เป็นปรัชญาที่คนในองค์กรมีความเข้าใจตระหนักถึงและสามารถนำมาใช้ในการจัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพ ปรัชญาที่ว่าความเชื่อเกี่ยวกับความเสี่ยงและการเลือกวิธีจัดการกับความเสี่ยงขององค์กรทั่วไป จะสะท้อนให้เห็นค่านิยมที่องค์กรแสวงหาจาก ERM และมีอิทธิพลต่อวิธีการจัดการกับองค์ประกอบต่าง ๆ ของความเสี่ยงขององค์กร ทั้งนี้ ปรัชญาการบริหารความเสี่ยงขององค์กรทั่วไป จะต้องสะท้อนให้เห็นถึงนโยบายขององค์กรและมีการสื่อสารให้พนักงานทุกระดับเข้าใจและนำไปสู่การปฏิบัติได้จริง

2. ความเสี่ยงที่ยอมรับได้
ระดับหรือมูลค่าของความเสี่ยงที่องค์กรยอมรับ ฝ่ายบริหารและผู้ที่เกี่ยวข้องจะพิจารณาความเสี่ยงในเชิงคุณภาพในแต่ละประเภทว่าสูง ปานกลาง หรือต่ำ หรืออาจใช้วิธีการเชิงปริมาณเพื่อสะท้อนและสร้างความสมดุลของวัตถุประสงค์เพื่อการเติบโต ผลตอบแทนและความเสี่ยง

ความเสี่ยงที่ยอมรับได้จะต้องเกี่ยวเนื่องกับกลยุทธ์ขององค์กรโดยตรง โดยการนำไปใช้ในการกำหนดกลยุทธ์ ผลตอบแทนที่ต้องการได้รับจากกลยุทธ์ กลยุทธ์ที่ต่างกันจะทำให้องค์กรมีความเสี่ยงที่ต่างกัน ERM จึงถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์ ช่วยผู้บริหารในการเลือกกลยุทธ์เพื่อให้องค์กรมีความเสี่ยงที่ยอมรับได้

3. ความเสี่ยงทางด้านวัฒนธรรม
วัฒนธรรมด้านความเสี่ยงคือทัศนคติร่วมกันขององค์กร คุณค่าและแนวทางการปฏิบัติขององค์กรว่าองค์กรมีการพิจารณาความเสี่ยงแบบไหน ผู้บริหารองค์กรจะเป็นผู้ปรับให้วัฒนธรรมทางด้านความเสี่ยงขององค์กรไปในทิศทางเดียวกับปรัชญาการบริหารความเสี่ยงขององค์กรและความเสี่ยงที่ยอมรับได้

4. วัฒนธรรมย่อยด้านความเสี่ยง
แต่ละหน่วยธุรกิจหรือแต่ละหน่วยงานขององค์กร ความหมายต่างกัน สายงาน/ฝ่ายงานตามหน้าที่ และส่วนต่าง ๆ จะมีลักษณะงาน รวมทั้งวัฒนธรรมการบริหารความเสี่ยงที่แตกต่างกัน ผู้อำนวยการ/ผู้จัดการจึงต้องมีการเตรียมตัวในการเผชิญกับความเสี่ยงมากขึ้น เช่น สายงานหนึ่งอาจเน้นไปยังยอดขายโดยไม่ได้ระวังในเรื่องการปฏิบัติตามกฎเกณฑ์

ส่วนค่านิยมร่วมกันของสายงานอื่นอาจต้องการให้เน้นความสนใจเพื่อให้เกิดความแน่ใจว่ามีการการปฏิบัติตามหลักเกณฑ์ที่เกี่ยวข้อง วัฒนธรรมย่อย ๆ ที่แตกต่างกันนี้อาจส่งผลต่อองค์กรได้ แต่ถ้าสายงานเหล่านี้ทำงานร่วมกัน ส่งเสริมซึ่งกันและกัน วัฒนธรรมที่แตกต่างกันอาจสะท้อนออกมาเป็นความเสี่ยงที่องค์กรยอมรับได้และปรัชญาขององค์กร สำหรับองค์กรทั่วไป สายงานและฝ่ายงานต่าง ๆ ก็มีคุณลักษณะในการบรรลุเป้าหมายและการจัดการกับความเสี่ยงที่ต้องแตกต่างกันด้วย ดังนั้น ความเข้าใจในการบริหารความเสี่ยงในภาพรวมทั้งองค์กร และของแต่ละหน่วยงาน ซึ่งจะถ่ายทอดไปสู่แผนงานและโครงการต่าง ๆ เพื่อก้าวไปสู่เป้าประสงค์ และวิสัยทัศน์ จึงแตกต่างกัน

5. ความตระหนักถึงความเสี่ยงที่แท้จริง
องค์กรทั่วไปที่มีประวัติที่ไม่เคยได้รับความสูญเสียและไม่มีความเสี่ยงที่มีนัยสำคัญที่สังเกตเห็นได้ อาจเชื่อว่าจะมีโอกาสเกิดขึ้น ในขณะที่องค์กรอาจมีพนักงานที่มีความสามารถ มีกระบวนการที่มีประสิทธิผลและเทคโนโลยีที่น่าเชื่อถือได้ มีความหลากหลายของสภาพแวดล้อมภายในและภายนอก ซึ่งสิ่งต่าง ๆ เหล่านี้สามารถเปลี่ยนแปลงได้อย่างรวดเร็ว ฝ่ายบริหารควรตระหนักว่าการดำเนินการที่ดีนั้นย่อมเกิดความอ่อนแอได้ ความอ่อนแอในมิติต่าง ๆ เป็นเรื่องของความเสี่ยง ซึ่งทำให้การบรรลุเป้าหมายอาจเบี่ยงเบนไปได้

6. คณะกรรมการบริหาร
คณะกรรมการบริหารขององค์กร เป็นส่วนหนึ่งของสภาพแวดล้อมภายในที่สำคัญยิ่งและมีอิทธิพลต่อองค์ประกอบของสภาพแวดล้อมภายในอื่น ๆ อย่างมีนัยสำคัญ คณะกรรมการมีความเป็นอิสระจากฝ่ายบริหาร ประสบการณ์และภูมิความรู้ของพนักงาน ขอบเขตขององค์ประกอบและการพิจารณากิจกรรม และความเหมาะสมของการปฏิบัติการ

การบริหารความเสี่ยงขององค์กร ที่ได้ผลไม่อาจเกิดขึ้นได้หากคณะกรรมการบริหารและผู้บริหาร และพนักงานทุกคน มีความเข้าใจที่แตกต่างกันในเรื่องการบริหารเชิงรุกหรือการบริหารความเสี่ยงในภาพโดยรวมทั้งองค์กร

ปัจจุบันสำนักงานตรวจเงินแผ่นดิน (สตง.) และกระทรวงการคลังและหน่วยงานของรัฐ ได้กำหนดเกณฑ์ประเมินผลการบริหารความเสี่ยง IT Governance และการควบคุมภายใน รวมทั้งการตรวจสอบภายในตามฐานความเสี่ยงอย่างเป็นระบบ สำหรับรายงานการบริหารความเสี่ยงของ สตง. มีภาพโดยย่อของการรายงานดังนี้

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ภาพสรุปโดยรวมในมุมมองของการวัดประสิทธิภาพการบริหารความเสี่ยงของกระทรวงการคลัง ดังนี้

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

องค์ประกอบของการพิจารณาการบริหารความเสี่ยงในเรื่องของสภาพแวดล้อมภายในองค์กร ยังมีอีกหลายหัวข้อที่ท่านผู้บริหารต้องพิจารณา ผมจะนำเสนอในโอกาสต่อไปครับ

 

Audit Risk & Auditors ในบางมุมมอง

ก่อนช่วงวันหยุดยาวในเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการตรวจสอบที่ผู้ที่เกี่ยวข้องควรจะเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศที่ถูกต้องและน่าเชื่อถือได้ในมุมมองต่าง ๆ ตามที่ได้กล่าวไปแล้วนั้น จะเป็นบันไดขั้นต้นที่สำคัญอย่างยิ่งต่อกระบวนการตรวจสอบและการกำกับของหน่วยงานที่เกี่ยวข้อง

ภาพต่อไปนี้จะช่วยให้ Auditors และผู้บริหารที่เกี่ยวข้องได้เข้าใจถึง Audit Risk บางมุมมองตามที่ผมได้กล่าวข้างต้นได้ดีนะครับ ทั้งนี้ หาก Auditors จะประเมินตนเองในลักษณะ CSA – Control Self Assessment ก็จะเห็นภาพและเกิดความคิดที่เด่นชัดถึง Audit Risk และ Impact ที่เกี่ยวข้องกับกระบวนการตรวจสอบ เพื่อจะได้ทบทวนกระบวนการวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบ รวมทั้งการจัดทำรายงานการตรวจสอบต่อไปครับ

Basel II Components & Audit Understanding & Audit Planning

Basel II Components & Audit Understanding & Audit Planning

ความเสี่ยงที่สำคัญของการตรวจสอบในทุกประเภท (Audit Risk) ทั้ง IT และ Non – IT Audit บางมุมมองก็คือ

1. การละเลย หรือการไม่ให้ความสนใจต่อความถูกต้องและความน่าเชื่อถือได้ รวมทั้งสภาพพร้อมใช้งาน และอื่น ๆ ของสารสนเทศที่ใช้ในการตรวจสอบ โดยมีสาเหตุหลักมาจากผู้บริหารให้ความสำคัญเกี่ยวกับ IT Security ที่มีผลต่อกระบวนการบริหารและการจัดการขององค์กรน้อยกว่าที่ควรจะเป็น++

2. มีการแบ่งแยกหน้าที่ระหว่างการตรวจสอบทางด้าน IT Audit และ Non – IT Audit แต่ขาดการประสานงาน และความร่วมมือ รวมทั้งความเข้าใจร่วมที่มีผลต่อการตรวจสอบ ที่เกิดจาก IT Audit ที่มีต่อ Financial Audit, Compliance Audit, Performance Audit, Operational Audit, Fraud Audit, Management Audit และอื่น ๆ

3. คู่มือหรือแนวทางการตรวจสอบ IT Audit และ Non – IT Audit ขาดความเชื่อมโยงที่อาจจะเรียกว่าเป็นสะพานเชื่อมความเข้าใจ ที่เชื่อมข้อมูลระหว่างผลกระทบต่อ IT Risk ต่อ Business Risk ในแง่มุมต่าง ๆ ที่มีผลต่องบการเงิน รายงานทางการเงิน และรายงานประเภทต่าง ๆ ทั้งนี้เพราะ ขาดการมอง/พิจารณาภาพรวมในระดับ High – Level ที่เป็นรูปธรรม

4. ผลของการตรวจสอบ IT Audit ได้รับความสนใจจากคณะกรรมการตรวจสอบ และผู้บริหารที่เกี่ยวข้องขององค์กร น้อยกว่าผลการตรวจสอบทางด้าน Non – IT Audit เป็นอย่างมาก ทั้ง ๆ ที่รายงานของ IT Audit โดยเฉพาะอย่างยิ่ง รายงานที่เกี่ยวข้องกับ IT Security และการบริหารจัดการสารสนเทศมีผลต่อกระบวนการทาง IT Audit เป็นอย่างมาก

5. ผู้ตรวจสอบจำนวนไม่น้อย ไม่ได้ศึกษา Work flow ของระบบงานที่จะตรวจสอบให้ดีพอว่าส่วนใดที่ Process โดยระบบคอมพิวเตอร์ล้วน ๆ ระบบหรืองานใดที่ Process โดย Manual ล้วน ๆ หรือระบบงานใด หรือกระบวนการงานใดที่ Process โดย IT และ Non – IT ผสมกันไป เช่น ระบบ front office ประมวลผลโดยระบบคอมพิวเตอร์ล้วน ๆ แต่ระบบ middle office และ back office ใช้ระบบ Manual หรือผสมการใช้เครื่องมือคอมพิวเตอร์บางส่วน เช่น excel เข้ามาช่วย ++

ซึ่งกระบวนการประมวลงานตามข้อนี้ จะมีความเสี่ยงจาก Audit Risk และ Operational Risk สูงที่สุด รวมทั้งผลกระทบจากความเสี่ยงในเรื่องนี้จะมีผลต่อ Strategic Risk, Financial Risk, Compliance Risk อย่างสำคัญ ที่อาจมีผลต่อกระบวนการบันทึกบัญชี และการจัดทำรายงานที่อาจจะก่อให้เกิดการผิดพลาด รวมทั้งการทุจริตที่เกิดจากช่องว่างที่เป็นรอยต่อของ Process ลูกผสมของระบบงานนั้น ๆ

เรื่องนี้ไว้หลังสงกรานต์ค่อยกลับมาเล่าสู่กันฟังอีกครั้งครับ

6. ความเสี่ยงที่เกิดจาก Audit Risk ต่อไปก็คือ ผู้ตรวจสอบไม่อาจหาหลักฐานเพื่อประกอบการตรวจสอบได้อย่างเหมาะสม เพื่อสนับสนุนความเห็นประกอบรายงานการตรวจสอบ

7. ผู้ตรวจสอบ ไม่ทราบว่าควรจะตรวจสอบอะไรก่อน – หลัง และผู้กำกับงานตรวจสอบก็ให้ความสนใจในกระบวนการตรวจสอบ โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ ซึ่งเป็นเรื่องสำคัญอย่างยิ่ง

8. การรวบรวมข้อมูลเพื่อการตรวจสอบ ที่เกิดจากความเข้าใจในระดับที่ไม่น่ายอมรับได้ มีผลต่อกระบวนการตรวจสอบอย่างมาก เพราะผู้ตรวจสอบขาดความเข้าใจในระบบการประมวลผลข้อมูล และเทคโนโลยีที่เกี่ยวข้องที่ก้าวหน้าไปอย่างไม่หยุดยั้ง และมีผลโดยตรงต่อประสบการณ์ของผู้ตรวจสอบ และผู้กำกับงานตรวจสอบ

9. การทดสอบระบบการควบคุมที่น่าเชื่อถือได้ของการประมวลผล และกระบวนการบริหารงานต่าง ๆ ซึ่งได้รับอิทธิพลจากการเปลี่ยนแปลงทางเทคโนโลยี และการใช้เครื่องมือใหม่ ๆ อย่างมากนั้น ได้ถูกละเลยเพราะ ผู้ตรวจสอบจำนวนหนึ่งได้ละเลยที่จะปฏิบัติงานในส่วนนี้ เนื่องจากศักยภาพในการตรวจสอบถูกกระทบจาก การประมวลผลในรูปแบบใหม่ ๆ นี่เป็นความเสี่ยงของ Audit Risk อย่างสำคัญ ไม่ว่าจะเป็นการตรวจสอบทางด้าน IT หรือ Non – IT ก็ตาม

10. การทำ Substive Test ซึ่งเป็นการทดสอบรายการทางการเงิน ซึ่งผู้ตรวจสอบเลือกที่จะใช้แทนการตรวจสอบหรือทดสอบการควบคุมในกระบวนการทำงาน โดยเฉพาะอย่างยิ่ง กระบวนการทำงานที่มาจาก IT Process นั้น โดยหลักการก็ใช้ได้ในระดับหนึ่ง และโดยปกติผู้ตรวจสอบก็มักจะใช้หลักการนี้กันอย่างแพร่หลาย เพราะค่อนข้างสะดวก และสอดคล้องกับระดับความรู้ และการตรวจสอบที่เป็นแบบ Conventional Audit ตามปกตินั้น ในหลายกรณีไม่อาจใช้ได้อย่างเหมาะสมกับการประมวลผลยุคใหม่ และเทคโนโลยีใหม่ ๆ เนื่องจากข้อมูลทางการเงินถูกควบคุมจากการประมวลผลด้วยระบบคอมพิวเตอร์ หรือจากการใช้เทคนิคการแก้ไข เปลี่ยนแปลงข้อมูลจาก Super Password หรือ Super ID หรือ จากจุดอ่อนที่มีต่อกระบวนการบริหารจัดการสารสนเทศ

ท่านผู้ตรวจสอบครับ เรื่องนี้เป็นเรื่องสำคัญอย่างยิ่งและยังเป็นจุดอ่อนที่สำคัญมากต่อ Audit Risk ที่ผมจะเล่าสู่กันฟังในโอกาสต่อ ๆ ไปนะครับ

 

ดุลยภาพของการบริหารความเสี่ยง กับอาวุธสุดแสบของ US

ช่วงนี้อยู่ในระหว่างช่วงสงกรานต์แล้วนะครับ หลายท่านคงกำลังเดินทางกลับต่างจังหวัด เพื่อเยี่ยมญาติหรือเที่ยวพักผ่อนในวันสงกรานต์ แต่อยากให้ระมัดระวังความปลอดภัยในการเดินทางและการร่วมเล่นน้ำสงกรานต์อย่างเหมาะสม ประกอบกับในช่วงนี้บ้านเมืองเรามีเหตุการณ์ที่ไม่เป็นปกติมากนัก ผู้ที่เกี่ยวข้องกับฝ่ายต่าง ๆ กำลังหาจุดที่เป็นดุลยภาพของการจัดการและการบริหารความเสี่ยงที่เหมาะสมกันอยู่ จุดที่น่าจะลงตัวก็คือ การเคารพกติกาของสังคม และให้ความเป็นธรรมกับทุกฝ่ายที่เกี่ยวข้อง ด้วยความรักและความเมตตา และความเข้าใจกัน โดยคำนึงถึงผลประโยชน์ของชาติเป็นหลัก ซึ่งในฐานะที่ผมคลุกคลีอยู่กับการบริหารความเสี่ยง และความเสี่ยงก็เกิดขึ้นได้เสมอในชีวิตประจำวัน จึงอยากให้ระมัดระวังกันมากเป็นพิเศษในช่วงเทศกาลแบบนี้

ข้อคิดประการหนึ่งของการบริหารความเสี่ยงที่ได้ดุลยภาพ การควบคุมความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง เพื่อก้าวไปสู่การกำกับดูแลกิจการบ้านเมืองที่ดีของชาตินั้น มีข้อคิดที่เป็นคำกลอนที่มีผู้กล่าวอย่างน่าฟังว่า

ระบบดี คนดี นั้นดีแน่
ระบบดี คนแย่ พอแก้ไหว
ระบบแย่ คนดี มีทางไป
ระบบแย่ คนไม่เอาไหน บรรลัยเอย

ขออธิบายสู่กันฟังนะครับว่า คนเป็นผู้สร้างระบบให้ดี และใช้ระบบที่ดีและยอมรับได้นั้นในการควบคุมคน และสังคม หากพบหรือปรากฎต่อมาว่า ระบบที่ว่าดีแล้ว ยังอาจปรับปรุงแก้ไขได้ ก็คนนั่นแหละ ที่เป็นผู้แก้ไขระบบตามกระบวนการให้เป็นไปตามกติกาที่สังคมยอมรับได้ เมื่อมีการรับรองและยอมรับอย่างเป็นขั้นเป็นตอนแล้ว ก็นำระบบที่ปรับปรุงแล้วมาควบคุมคน หรือสังคมให้อยู่ในกติกาที่ยอมรับได้ของประเทศชาติ หรือองค์กรต่อไป

ดังนั้น การบริหารกิจการบ้านเมืองที่ดีตามหลัก CG + ITG ข้อหนึ่งก็คือ การให้ความเป็นธรรม และปฏิบัติโดยเท่าเทียมกัน เพื่อการเติบโตอย่างยั่งยืนของประเทศชาติและองค์กร โดยผู้ที่เกี่ยวข้องต้องมีวิสัยทัศน์ และความรับผิดชอบที่เกี่ยวกับ Responsibility + Accountability เพื่อ Social and Environmental Awareness โดยนำเรื่องของ Promotion of Best Practice มาปฏิบัติอย่างเป็นรูปธรรม หากทำได้อย่างนี้ ความเข้าใจกันจากความคิดที่แตกต่างกันก็จะก้าวสู่จุดดุลยภาพของกระบวนการบริหารความเสี่ยงเพื่อการเติบโตอย่างยั่งยืนนะครับ

การพูดคุยของผมในวันนี้กับท่านผู้อ่านก็คือ การมีสารสนเทศ (Information) ที่ถูกต้อง มีคุณภาพ ทันกาล ตามหลักของ Information Criteria 7 องค์ประกอบของ CobiT ภายใต้ร่ม IT Governance รวมทั้งมีการสื่อสารที่ดี (Communication) ตามหลักการของ COSO ซึ่งเป็นหนึ่งใน 8 องค์ประกอบหลักของการบริหารความเสี่ยงในระดับองค์กร หรือประเทศ (ERM – Enterprise Risk Management) ก็จะช่วยให้ประเทศเกิดความมั่นคง ที่เป็นพื้นฐานสำคัญของการพัฒนาเศรษฐกิจ การลงทุน การแข่งขัน และอื่น ๆ ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืน

วันก่อน ผมได้รับเมล์ฉบับหนึ่งที่พูดถึง 10 อาวุธสุดแสบของสหรัฐอเมริกา ผมเห็นว่าน่าจะเข้ากับสถานการณ์ในช่วงนี้พอดี (ผมไม่ได้หมายความว่าน่าจะเอาอาวุธนี้ไปใช้ในสถานการณ์แบบนี้นะครับ) แต่จะขอหยิบยกบางตัวอย่างมาเล่าสู่กันฟังในมุมมองของการบริหารความเสี่ยงที่ผมเข้าใจว่า ประเทศมหาอำนาจทั้งหลายกำลังแข่งขันกันอย่างเต็มที่ในขณะนี้นั้น ก็เพื่อสร้างดุลยภาพของการบริหารความเสี่ยง เพื่อให้เกิดความมั่นคงในประเทศของตนเป็นสำคัญนะครับ

ประเทศไทยจะได้บทเรียนอะไรจากภาพด้านล่างนี้ ก็คงจะขึ้นอยู่กับดุลยพินิจและความเข้าใจในการบริหารความเสี่ยง ที่นำไปสู่ความมั่นคงของประเทศชาติ ของผู้ที่เกี่ยวข้องเป็นสำคัญ ในโอกาสต่อ ๆ ไป เพราะสงครามยุคใหม่ ต้องต่อสู้กันด้วยความคิด สติปัญญาที่ชาญฉลาด ละเอียดรอบคอบ มองการณ์ไกล รู้จักการวางแผนการจัดการกับความเสี่ยงต่างๆในเชิงรุก ต้องมีข้อมูลข่าวสาร[Information] ที่ถูกต้อง ไว้วางใจได้จริงๆ โดยเฉพาะข้อมูลหรือช่าวสารของผู้ที่ไม่หวังดี หรือสัตรู ต้องรู้ว่าผู้ไม่หวังดี/ข้าศึกกำลังคิดอะไร กำลังวางแผนหรือมีแผนอะไร มีอาวุธประเภทใด ร้ายแรงเพียงใด มีจำนวนเท่าใด อยู่ที่ใดบ้าง+++ หากไม่มีข้อมูลหรือสารสนเทศที่ถูกต้อง ทันเวลา ก็จะมีผลร้ายแรงต่อการวางแผนทางยุทธศาสตร์การรบโดยใช้ความคิด สคิปัญญา และวางแผนการล่วงหน้า กล้าตัดสินใจอย่างรวดเร็วและทันเวลา มิฉนั้นจะแพ้สงครามในที่สุด

แม้แต่มีอาวุธดีๆมากมาย แต่ขาดสติปัญญาและข้อมูลที่ดี ก็แพ้สงครามได้อย่างง่ายดาย ตามที่ปรากฎในประวัติศาสตร์การรบในอดีตของหลายประเทศ เป็นต้น

ผมจะได้หยิบยกประเด็นการบริหารความเสี่ยงในมุมมองต่าง ๆ เพื่อวิเคราะห์ เล่าสู่กันฟังในทางสร้างสรรต่อไป ณที่นี้ ท่านลองดูอาวุธแปลกๆด้านล่างนี้แล้วพิจารณาถึง การรบยุคใหม่ที่ต่อสู้กันด้วยความรู้และสติปัญญา รวมทั้งการพัฒนาอาวุธใหม่ๆ ทั้งในเชิงป้องกันและเชิงรุก ประเทศมหาอำนาจมักจะเลือกอาวุธเชิงรุกมากกว่านะครับ

1. อาวุธประเภทแรก คือ LRAD Weapon long range acoustic device ซึ่งเป็นคลื่นเสียงมหาบรรลัยหู เป็นเครื่องส่งคลื่นเสียงความถี่สูงที่มีความดังไปยังที่ที่ศัตรูที่ประจำ อยู่ในระยะไกล อำนาจขนาดทำให้แก้วหูศัตรูแตก
เป็นหูหนวกไปในทันที ล่าสุดสามารถพัฒนาให้สามารถกระแทกหัวใจทำให้หัวใจหยุดเต้นได้

LRAD_Weapon long range acoustic device

LRAD_Weapon long range acoustic device

2. Corner Shot 40 เป็นปืนแบบกระสุนความเร็วสูง สามารถเอ็กซ์เรย์ได้ สามารถใช้เฝ้าตรวจสอบที่มืด ๆ หาจุดที่จะขว้างระเบิดน้อยหน่าได้ นอกจากนี้ยังมีถังทรงกระบอกสามารถหมุนตัวถึง 63 องศา เหมาะสำหรับคนคำนวณเก่ง

Corner Shot 40

Corner Shot 40

3. Thermobaric Bomb คือ ระเบิดที่เหนือกว่าระเบิดนาปาล์ม เพราะมันคือระเบิดที่บรรจุเชื้อเพลิงที่สามารถระเบิดลุกเป็นกลุ่มไฟสุดร้อน แรง ไม่ว่าจะเป็นถ้ำในหลืบถ้ำ หรือแม้แต่ซอกซอยที่ซุ่มของศัตรู โดยมันทำงานอย่างเป็นระบบ คือระบบแรกเป็นระเบิดทำลายที่กำบัง และระบบที่สองคือเพลิงเผาซ้ำ มีความร้อนสูงถึง 3000 องศาเซลเซียส ซึ่งสามารถหลอมละลายสรรพสิ่งให้เป็นจุณไปในพริบตา อย่าว่าคนเลย ปืนที่ใช้ก็โดนหลอมเป็นก้อนทันที

Thermobaric Bomb

Thermobaric Bomb

4. EMP Bomb (Episode: Future Shock) ผลิตโดยนักวิทยาศาสตร์ชาวออสเตรเลีย “ ระเบิดแม่เหล็ก ” วิถีมันสามารถไปทั่วทิศทาง โดยวงจรอิเล็กโทนิกของมันสามารถตรวจจับวัตถุที่อยู่ใกล้ ๆ ได้ เช่น เรือ และเมื่อมันพบเป้าหมาย ด้วยอำนาจของแม่เหล็กสามารถเกาะและทำลายเป้าหมายในทันที

EMP Bomb_Episode Future Shock

EMP Bomb_Episode Future Shock

5. Airborne Laser คือเลเซอร์ติดเครื่องบิน โดยเลเซอร์นี้ประกอบด้วยโลหะไอโอดีนธาตุออกซิเจนสารเคมีที่ทรงพลังในการเอ็กซ์เรย์ (ประมาณว่าคล้ายประภาคาร) เหมาะสำหรับตรวจแหล่งสะสมอาวุธของศัตรู และถ้ามีการพัฒนาปรับปรุงจะสามารถให้สามารถจุดไฟระเบิดเป้าหมายนั้นได้อีกด้วย

Airborne Laser

Airborne Laser

6. Sensor Fuzed Weapon (Episode: The Power of Fear) ฉายามันคือ “ ระเบิดตาพิทย์ ” บรรจุระเบิดขนาดย่อมที่มีอานุภาพสูงสามารถทำลายเกราะที่หุ้มรถถังทุกชนิดได้ภายใน 10 ลูก แถมแต่ละลูกมีร่มชูชีพติดอยู่พร้อมตาอินฟาเรดที่มีความไวสูงต่อเป้าหมายที่จะหย่อนระเบิดลงไปบนรถถังหุ้มเกราะของศัตรู และทำลายเกราะที่หุ้มและทหารที่อยู่ภายในเละในพริบตา

Sensor Fuzed_Weapon Episode The Power of fear

Sensor Fuzed_Weapon Episode The Power of fear

สำหรับการบริหารความเสี่ยงเพื่อก้าวสู่ดุลยภาพในกระบวนการจัดการ เพื่อการเติบโตอย่างยั่งยืนตามหลัก CG + ITG นั้น เอาไว้คุยกันในวันหลังนะครับ

ขอเพิ่มอีกนิดนึงนะครับ ข้อคิดของวันนี้ก็คือ อาวุธสุดแสบสารพัดชนิดตามภาพข้างต้น ซึ่งไม่รวมอาวุธปรมาณูประเภทต่าง ๆ ซึ่งมีอยู่มากมายแล้ว ก็คือ ศักยภาพ ความสามารถ จากความคิดในเชิงบวก หรือเชิงรุก หรือเชิงป้องกันปัญหา หรือป้องกันความเสี่ยง ที่เป็นความมั่นคงทุกประเภท ไม่ว่าจะเป็นการทหาร การเมือง เศรษฐกิจการเงิน การบริหารการจัดการประเภทต่าง ๆ ในทุกระดับชั้น การควบคุมและการตรวจสอบตามฐานความเสี่ยงที่ดีและมีคุณภาพนั้น จะเกิดขึ้นได้ก็จากการพัฒนาความคิด การมีแผน การศึกษา การอบรม เพื่อสร้างความเข้าใจที่มาจากความคิด มิใช่จากความจำ หรือลอกเลียนกันต่อ ๆ มา

ดังนั้น ความร่ำรวยทางเศรษฐกิจและการเงินของประเทศต่าง ๆ และศักยภาพของบุคลากรในประเทศต่าง ๆ หรือในระดับองค์กรต่าง ๆ นั้น มีความแตกต่างกันมากมาย ประเทศที่มีพลเมืองน้อย ๆ เช่น ประเทศสิงคโปร์ ฟินด์แลนด์ นอร์เวย์ สวิสแลนด์ ++ ก็สามารถสร้างผลผลิตประชาชาติที่เมื่อคำนวณเป็นรายได้ประชาชาติต่อหัวแล้ว มีจำนวนสูงกว่าประเทศไทยมากมาย ก็เกิดจากการพัฒนาความคิด (ซึ่งเรียกได้ว่า เป็น Intangible Assets) ให้เป็นคุณค่าทางการเงิน และการจัดการอย่างเป็นระบบ และเป็นระเบียบ โดยมีการนำมาปฏิบัติอย่างเป็นรูปธรรม และเป็นธรรมต่อประชาชนในประเทศอย่างเท่าเทียมกัน

 

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

ก่อนที่หลาย ๆ ท่าน รวมถึงตัวผมด้วยนั้น จะหยุดไปพักผ่อนในช่วงเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการบริหารจัดการความเสี่ยงขององค์กร ซึ่งเป็นเรื่องเบา ๆ ที่ผมเห็นว่าเหมาะที่จะนำเสนอในช่วงวันหยุดยาวแบบนี้ แต่กลับมีความสำคัญต่อการจัดการกับความเสี่ยงขององค์กรอย่างยิ่งยวด

ผมคิดว่าคงไม่มีองค์กรใด ไม่ว่าภาครัฐหรือภาคเอกชนสามารถดำเนินการภายใต้สภาพแวดล้อมที่ปราศจากความเสี่ยงได้ องค์กรที่ต้องดำเนินการในสภาวะแวดล้อมดังกล่าว การจัดการความเสี่ยงจะช่วยให้ฝ่ายบริหารจัดการกับสภาพแวดล้อมให้เหมาะสมกับความเสี่ยงได้เป็นอย่างดี เพื่อก้าวสู่การบรรลุวัตถุประสงค์และเป้าหมายได้อย่างสมเหตุสมผล

การจัดการความเสี่ยงขององค์กร เป็นการส่งเสริมความสามารถในด้าน

– การปรับความเสี่ยงที่องค์กรหรือองค์กรยอมรับได้
เป็นการกำหนดกลยุทธ์ที่เหมาะสมให้เป็นไปในทิศทางเดียวกันกับความเสี่ยงที่องค์กรยอมรับได้ คือระดับความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับเพื่อมุ่งไปสู่เป้าหมายขององค์กร ซึ่งการบริหารความเสี่ยงจะพิจารณาถึงความเสี่ยงที่องค์กรยอมรับได้เป็นอย่างแรก เพื่อประเมินทางเลือกและพัฒนากลไกในการบริหารความเสี่ยงที่เกี่ยวข้องต่อไป

– ความเชื่อมโยงการเติบโต ความเสี่ยงและผลตอบแทน
การบริหารความเสี่ยงช่วยในการระบุและประเมินความเสี่ยง รวมทั้งกำหนดระดับความเสี่ยงที่สามารถยอมรับได้ ที่สัมพันธ์กับการเติบโตและเป้าหมายของผลตอบแทนตามวัตถุประสงค์ที่องค์กรกำหนดไว้

– ส่งเสริมการตัดสินใจในการตอบสนองความเสี่ยงที่เกิดขึ้น
การบริหารความเสี่ยงใช้ในการระบุและเลือกทางเลือกในการตอบสนองความเสี่ยงในรูปแบบต่าง ๆ ทั้งยังช่วยจัดหาวิธีการและเทคนิคสำหรับการตัดสินใจ เช่น การหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยงและการยอมรับความเสี่ยง

– การลดความไม่แน่นอนและความสูญเสียในการปฏิบัติงานให้น้อยที่สุด
ช่วยให้องค์กรสามารถระบุเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้น ประเมินความเสี่ยงและจัดการตอบสนองต่อความเสี่ยงที่เกิดขึ้น รวมทั้งลดสิ่งไม่แน่นอนที่อาจเกิดขึ้น ตลอดจนความสัมพันธ์ของต้นทุนและการสูญเสีย

– การระบุและบริหารความเสี่ยงภายในองค์กร
ทุก ๆ องค์กรเผชิญกับความเสี่ยงมากมายหลายประเภทที่ส่งผลต่อส่วนต่าง ๆ ขององค์กรที่แตกต่างกัน ฝ่ายบริหารไม่เพียงแต่ต้องบริหารความเสี่ยงเฉพาะบุคคล แต่ต้องเข้าใจถึงผลกระทบที่เกิดขึ้นด้วย

– มีการตอบสนองแบบบูรณาการกับความเสี่ยงที่หลากหลาย
กระบวนการทางธุรกิจนำมาซึ่งความเสี่ยงสืบเนื่อง หรือความเสี่ยงจากลักษณะธุรกิจในหลายรูปแบบ และ ERM ทำให้เกิดการแก้ปัญหาแบบบูรณาการต่อการบริหารความเสี่ยง

– การฉกฉวยโอกาส
ฝ่ายบริหารพิจารณาเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นมากกว่าพิจารณาเฉพาะความเสี่ยง โดยการพิจารณาทุกระดับของเหตุการณ์

– การจัดการกับทุนอย่างสมเหตุสมผล
ข้อมูลที่ถูกต้องมีความหมายต่อความเสี่ยงทั้งหมดขององค์กร สิ่งนี้จะทำให้การบริหารเป็นไปอย่างมีประสิทธิภาพมากขึ้นในการเข้าถึงความต้องการและปรับปรุงการจัดสรรทรัพย์สินหรือทุน รวมถึงงบประมาณได้อย่างเหมาะสม

ภาพด้านล่างนี้จะช่วยให้เห็นถึงความสำคัญและประโยชน์ของการจัดการความเสี่ยงได้ชัดเจนยิ่งขึ้น

Translating Vision & Strategy to  State Enterprise Performance Measurement

Translating Vision & Strategy to State Enterprise Performance Measurement

ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กรไม่ใช่จุดสิ้นสุดโดยตัวเอง แต่มีความหมายที่สำคัญในการบรรลุวัตถุประสงค์ ที่ไม่สามารถปฏิบัติแยกออกจากองค์กรได้ แต่จะเป็นตัวกลไก (enabler) ในกระบวนการทางการบริหาร
ERM เป็นสิ่งที่เกี่ยวข้องกับความสัมพันธ์กับความร่วมมือของหน่วยการจัดการต่าง ๆ โดยจัดหาข้อมูลให้แก่คณะกรรมการบริหาร ได้ทราบถึงความเสี่ยงที่มีนัยสำคัญและการบริหารความเสี่ยงดังกล่าว การปรับเปลี่ยนความเสี่ยงโดยการควบคุมภายใน ซึ่งเป็นส่วนหนึ่งของ ERM

ERM ช่วยให้องค์กรประสบความสำเร็จในผลประกอบการและบรรลุเป้าหมายการทำกำไร การป้องกันความสูญเสียของทรัพยากร ช่วยทำให้มั่นใจถึงการรายงานที่มีประสิทธิภาพ การปฏิบัติที่ถูกต้องตามกฎหมายและกฎเกณฑ์ต่าง ๆ การหลีกเลี่ยงความเสียชื่อเสียงและผลลัพธ์ที่ตามมาอื่น ๆ

โดยรวมแล้วการจัดการความเสี่ยงขององค์กรจะช่วยให้องค์กรทั่วไปดำเนินไปในทิศทางที่ต้องการได้อย่างเหมาะสม และสามารถบรรลุวัตถุประสงค์ขององค์กรที่กำหนดไว้ได้เป็นอย่างดี

 

IT Governance & Control Objective to Environmental Control (ต่อ)

จากครั้งก่อนที่ได้กล่าวถึงกิจกรรมด้าน IT Governance โดยสรุปไปแล้ว ครั้งนี้ผมจะนำเสนอแนวทางในการกำหนดกิจกรรมหลักของ IT Governance ต่อเลยครับ

การที่จะประสบความสำเร็จในยุคเทคโนโลยีสารสนเทศ ธรรมาภิบาลขององค์กร และ IT Governance ไม่สามารถแยกกันหรือใช้กฎเกณฑ์ที่แตกต่างกันได้อีกต่อไป ธรรมาภิบาลขององค์กรที่มีประสิทธิภาพ มุ่งเน้นความชำนาญและประสบการณ์ทั้งปัจเจกบุคคลและของหมู่คณะ ซึ่งก่อให้เกิดผลสูงสุด เฝ้าติดตามและวัดผลการดำเนินงาน และรับประกันการแก้ปัญหาวิกฤต เทคโนโลยีสารสนเทศ ซึ่งเดิมได้รับการพิจารณาว่าเป็นเพียงปัจจัยหนุนกลยุทธ์ของธุรกิจมาเป็นเวลานาน ปัจจุบันได้รับการพิจารณาให้รวมอยู่เป็นหนึ่งในกลยุทธ์ของธุรกิจ

IT Governance มีโครงสร้างที่เชื่อมโยง กระบวนการทางด้านเทคโนโลยีสารสนเทศ (IT process) ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resource) และสารสนเทศ (Information) ควบคู่ไปกับกลยุทธ์และวัตถุประสงค์ของธุรกิจ IT Governanceได้รวบรวมและจัดให้มีวิธีที่ดีที่สุดสำหรับการวางแผนและการจัดองค์กร การจัดหาและการนำระบบออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตามการดำเนินงานด้านเทคโนโลยีสารสนเทศ IT Governance ถูกรวมเป็นส่วนหนึ่งของความสำเร็จในธรรมาภิบาลขององค์กร โดยรับประกันในเรื่องการปรับปรุงที่สามารถวัดผลได้ทางด้านประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ IT Governance ช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

เมื่อมองถึงบทบาทความสัมพันธ์ระหว่างกระบวนการของธรรมาภิบาลขององค์กร และ IT Governance ในรายละเอียด จะเห็นได้ว่าธรรมาภิบาลขององค์กรนั้น เป็นระบบซึ่งทำหน้าที่กำกับ ควบคุม ผลักดัน และกำหนด IT Governance ในขณะเดียวกันเทคโนโลยีสารสนเทศควรให้ข้อมูลที่สำคัญในการจัดทำแผนกลยุทธ์ และควรเป็นส่วนหนึ่งที่สำคัญของแผนฯ อันที่จริงแล้วเทคโนโลยีสารสนเทศอาจมีอิทธิผลต่อโอกาสเชิงกลยุทธ์ที่องค์กรได้จัดร่างขึ้น

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

กิจกรรมขององค์กรต้องการข้อมูลที่ได้มาจากการทำงานของระบบเทคโนโลยีสารสนเทศ ในอันที่จะบรรลุถึงวัตถุประสงค์ขององค์กร องค์กรที่ประสบความสำเร็จต้องแน่ใจได้ว่า กิจกรรมด้านเทคโนโลยีสารสนเทศและการวางแผนกลยุทธ์นั้นมีความสัมพันธ์กัน เทคโนโลยีสารสนเทศจะต้องสอดคล้องกับองค์กร และช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

องค์กรมักได้รับการกำกับดูแลด้วยแนวทางการปฏิบัติที่ดี (หรือที่เป็นเลิศ) ซึ่งเป็นที่ยอมรับโดยทั่วไป เพื่อให้แน่ใจได้ว่าองค์กรจะสามารถบรรลุถึงเป้าหมาย โดยมีการควบคุมบางประการเพื่อรับประกันในเรื่องดังกล่าว วัตถุประสงค์เหล่านี้ช่วยให้เกิดการดำเนินงานไปตามทิศทางขององค์กร ซึ่งกำหนดกิจกรรมต่าง ๆ ที่ใช้ทรัพยากรขององค์กร ผลของการดำเนินกิจกรรมจะต้องได้รับการวัดผลและการรายงาน เพื่อเป็นข้อมูลในการปรับปรุงและบำรุงรักษามาตรการการควบคุมอย่างสม่ำเสมอ

ธรรมาภิบาลขององค์กร

ธรรมาภิบาลขององค์กร

เทคโนโลยีสารสนเทศถูกกำกับโดยวิธีการปฏิบัติที่ดี (หรือเป็นเลิศ) เพื่อแน่ใจได้ว่าสารสนเทศขององค์กรและเทคโนโลยีที่นำมาใช้เป็นไปตามวัตถุประสงค์ของธุรกิจ รวมถึงการนำทรัพยากรไปใช้อย่างรับผิดชอบ และการจัดการความเสี่ยงเป็นไปอย่างเหมาะสม วิธีการปฏิบัติเหล่านี้เป็นพื้นฐานของการกำหนดทิศทางในกิจกรรมต่าง ๆ ด้านเทคโนโลยีสารสนเทศ ได้แก่การวางแผนและจัดองค์กร การจัดหาและการนำระบบงานออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตาม โดยมีจุดประสงค์ทั้งสองประการคือ การจัดการความเสี่ยง (เพื่อให้มีความปลอดภัย ความน่าเชื่อถือ และการปฏิบัติตามกฎระเบียบข้อบังคับ) การได้รับผลประโยชน์ (การเพิ่มประสิทธิภาพและประสิทธิผล) และให้มีการรายงานผลการทำงานของกิจกรรมด้านเทคโนโลยีสารสนเทศ ซึ่งมีการวัดผลเปรียบเทียบกับวิธีการปฏิบัติและการควบคุมอื่น ๆ

 

IT Governance & Control Objective to Environmental Control (ต่อ)

ครั้งก่อนผมได้เล่าสู่กันฟังถึงแนวคิดหลัก และหลักการในการกำหนดกรอบของ IT Governance รวมถึงความสัมพันธ์ของ IT Governance กับ Corporate Governance ที่มีความสัมพันธ์แบบพึ่งพากัน ในวันนี้เราจะมาพูดคุยต่อถึงปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance รวมถึงบทบาท หน้าที่ของฝ่ายตรวจสอบ คณะกรรมการและผู้บริหารขององค์กรที่เกี่ยวข้องกับ IT Governance กันครับ

ปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance โดยย่อ
ปัจจัยที่ใช้วัดความสำเร็จทางด้านเทคโนโลยีสารสนเทศ และ IT Governance ที่สำคัญ ซึ่งจะเชื่อมโยงนำไปสู่ความสำเร็จขององค์กรโดยรวม จะพิจารณาทางด้านกฎหมาย ด้านการจัดองค์กร และกระบวนการปฏิบัติงานทั่วทั้งองค์กร ไม่ว่าจะใช้โปรแกรมประยุกต์เพื่อการบริหารทรัพยากรทั่วทั้งองค์กรด้านเทคนิค ซึ่งอาจเป็นระบบ Enterprise Resource Planning (ERP) หรือไม่ก็ตาม การวางแผน การปฏิบัติ การสอบทาน และการแก้ไข เพื่อนำไปสู่ความคิดในการพัฒนางานด้าน IT Governance ให้เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดีขององค์กร (GCG – Good Corporate Governance) นั้น เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

สำหรับการบริหาร IT Governance เท่าที่เป็นอยู่ในปัจจุบัน เมื่อเทียบกับมาตรฐานที่ใช้ในการประเมินผลการบริหารความเสี่ยงด้าน IT Governance ซึ่งเป็นส่วนหนึ่งของการประเมินระดับการบริหารความเสี่ยงขององค์กรนั้น มีข้อควรพิจารณาปรับปรุงบางประการ เช่น BCP-Business Continuity Plan การบริหารสภาพแวดล้อมของศูนย์คอมพิวเตอร์หลัก โดยการจัดให้มีการควบคุมสภาพแวดล้อมที่เหมาะสมตามมาตรฐาน ที่วัดได้ ปฎิบัติได้ โดยมี Performance Measurement ที่เหมาะสม

การจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน เทคโนโลยีสารสนเทศ กับความเสี่ยงที่อาจเกิดขึ้น

การสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบาย และการจัดการด้านเทคโนโลยีสารสนเทศตามที่กำหนดไว้ เช่น กลยุทธ์ หรือนโยบายด้านเทคโนโลยีสารสนเทศ ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

บทบาทของฝ่ายตรวจสอบที่เกี่ยวข้องกับ IT Governance
ฝ่ายตรวจสอบควรมีบทบาทในฐานะเป็นผู้ให้คำแนะนำ และสร้างคุณค่าเพิ่มในการปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบภายในของทุกสายงาน และในฐานะผู้ประเมินคุณภาพการบริหารความเสี่ยง การควบคุมภายในทางด้านต่าง ๆ เช่น
1. คุณภาพของการปฏิบัติงาน (Operational)
2. คุณภาพทางด้านการปฏิบัติตามนโยบาย กฎเกณฑ์ ระเบียบ คำสั่ง (Compliance)
3. คุณภาพด้านการเงิน และการรายงาน (Financial) รวมทั้งการให้คำแนะนำด้านเทคโนโลยีสารสนเทศ และ IT Governance
4. การตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งการใช้ Outsource เพื่อเป้าหมายดังกล่าว รวมทั้งมุมมองที่กว้างกว่านั้น องค์กรควรวางกรอบความต้องการของตนให้ชัดเจนเพื่อความคุ้มค่าในการดำเนินงาน เพราะการตรวจสอบด้านเทคโนโลยียุคใหม่จะเป็นการตรวจสอบการจัดการความเสี่ยงทางด้าน IT Governance โดยเฉพาะอย่างยิ่งการตรวจสอบความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง (BCM – Business Continuity Management) และ Control Objective ไปสู่ Business Process เพื่อก้าวไปสู่ Business Objective ขององค์กร โดยเน้นหลักการ Best Practice

บทบาทหน้าที่ของคณะกรรมการและผู้บริหารขององค์กรเกี่ยวกับ IT Governance
1. นำกรอบงานธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (IT Governance) มาใช้ในองค์กร
2. กำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศที่สอดคล้องกับเป้าหมายการทำธุรกิจ
3. การเชื่อมโยงกลยุทธ์ และเป้าหมายลงไปในแต่ละระดับขององค์กร
4. กำหนดโครงสร้างองค์กรที่ช่วยสนับสนุนการดำเนินงานตามกลยุทธ์ที่วางไว้
5. นำกรอบงานด้านการควบคุมเทคโนโลยีสารสนเทศ และด้าน IT Governance มาใช้
6. จัดให้มีโครงสร้างพื้นฐานด้านเทคโนโลยีที่ช่วยสนับสนุนการสร้างสารสนเทศทางธุรกิจและการใช้สารสนเทศดังกล่าวร่วมกัน
7. การผนวกรวมความรับผิดชอบด้านการบริหารความเสี่ยงไว้ในองค์กร
8. มุ่งเน้นกระบวนการเทคโนโลยีสารสนเทศที่สำคัญ และความสามารถหลักของเทคโนโลยีสารสนเทศ (Core IT Competencies)
9. วัดผลการดำเนินงาน (Balanced Business Scorecard)

กิจกรรมด้าน IT Governance โดยสรุป
1. กำหนด IT Master Plan วิธีการปฏิบัติงานใหม่ที่มีกระบวนการที่ใช้เทคโนโลยีสารสนเทศ และคำนึงถึงผลกระทบทางด้านเทคโนโลยีสารสนเทศที่มีต่อองค์กรและวิธีการทำงานใหม่ ๆ
2. กำหนดความคาดหวังและผลตอบแทน เพื่อกำหนดแนวทางการใช้เทคโนโลยีสารสนเทศอย่างคุ้มค่า
3. มีการพิจารณา Physical Security และ Information Security Governance ที่เป็นรูปธรรมโดยเฉพาะจากข้อกำหนดของหน่วยงานภาครัฐฯ และบุคคลภายนอกที่เกี่ยวข้อง
4. กำหนดหน้าที่ ความรับผิดชอบ การประสานงาน การใช้เทคโนโลยีสารสนเทศของแต่ละสายงานทั่วทั้งองค์กรที่สามารถทำงานกับสายงานได้อย่างลงตัว
5. การพิจารณาใช้เทคโนโลยีสารสนเทศสนับสนุนกระบวนการปฏิบัติงาน ทั้งภายในและภายนอกองค์กรอย่างสอดคล้อง และต่อเนื่องทั่วถึงกันทุกระบบที่สำคัญขององค์กร
6. กำหนดจุดควบคุมของทุกกระบวนการ และมีการสอบทานติดตามในกระบวนการปฏิบัติงาน
7. รวบรวม และบริหารทรัพยากรอย่างผสมผสานระหว่าง IT Process และ Business Process ตั้งแต่การวางแผนการจัดองค์กร การพนักงาน การกำกับไปจนถึงการติดตาม
8. การบริหารและจัดการกับความเสี่ยงที่เกี่ยวข้องทั่วทั้งองค์กร ที่รวมทั้งความเสี่ยงทางด้านเทคโนโลยีสารสนเทศตามคุณลักษณะที่ดี
9.จัดให้มีการวัดผลการปฏิบัติงานทุกสายงาน และภาพโดยรวมขององค์กร โดยเน้นการพลิกฟื้นด้านปฏิบัติการ (Operation Turnaround) การพลิกโฉมทางยุทธศาสตร์ (Strategic Turnaround)
10. สอบทาน และรับรองคุณภาพของผลการปฏิบัติงานโดยรวม จากการมีการใช้เทคโนโลยีสารสนเทศ และ IT Governance
11. การพิจารณาความดีความชอบจากการบริหาร และการปฏิบัติงานด้าน IT Governance อย่างผสมผสานทั่วทั้งองค์กรในส่วนที่เกี่ยวข้อง

 

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มาแล้วครับ ตามที่ได้บอกทิ้งท้ายเอาไว้ในครั้งก่อนว่า ครั้งนี้เราจะมาพูดคุยและลงลึกกันในรายละเอียดของการจัดการความเสี่ยงขององค์กรกัน แต่ก่อนอื่นผมอยากให้ท่านผู้อ่านได้ทำความเข้าใจกับภาพ ๆ หนึ่ง ซึ่งจะช่วยให้เห็นภาพของการบริหารความเสี่ยงในระดับ ๆ ต่าง ๆ แบบบูรณาการและมีดุลยภาพได้เป็นอย่างดี ดังภาพด้านล่างนี้ ก่อนที่จะได้กล่าวถึงรายละเอียดต่าง ๆ ที่เกี่ยวข้องกับการจัดการความเสี่ยงต่อไป

การบริหารความเสี่ยงระดับต่าง ๆ กับเจ้าภาพ

การบริหารความเสี่ยงระดับต่าง ๆ กับเจ้าภาพ

การจัดการความเสี่ยงขององค์กรทั่วไป
การจัดการความเสี่ยงขององค์กร ได้ถูกนำมาประยุกต์ในการกำหนดกลยุทธ์และกิจกรรมทั้งหมดขององค์กร อันจะช่วยให้ผู้บริหารสามารถระบุ ประเมินและบริหารความเสี่ยงเมื่อต้องเผชิญอย่างคาดไม่ถึง และสนับสนุนการสร้างและรักษาค่านิยมขององค์กร การจัดการความเสี่ยงขององค์กร จะเป็นตัวสนับสนุนความสามารถในการจัดการความเสี่ยงและกลยุทธ์ให้เป็นแนวทางเดียวกัน เชื่อมโยงความเสี่ยงกับความเติบโตและผลตอบแทน ส่งเสริมการตัดสินใจตอบสนองต่อความเสี่ยง ลดความตื่นตระหนักและความสูญเสียในการปฏิบัติการ ระบุและบริหารความเสี่ยงระหว่างสถานประกอบได้ สามารถตอบสนองความเสี่ยงที่ซับซ้อนอย่างบูรณาการได้ สามารฉกฉวยโอกาสและมีการลงทุนอย่างเหมาะสม

ทุกองค์กรต้องเผชิญกับความไม่แน่นอน และความท้าทายสำหรับฝ่ายบริหารขององค์กรทั่วไป ก็คือการกำหนดระดับความไม่แน่นอนที่มีอยู่เพื่อเพิ่มคุณค่าให้กับผู้มีผลประโยชน์ร่วม ความไม่แน่นอนที่เกิดขึ้นเป็นทั้งโอกาสและความเสี่ยงต่อศักยภาพและบั่นทอนหรือส่งเสริมคุณค่า การจัดการความเสี่ยงขององค์กรทั่วไป จึงเป็นการสร้างกรอบของงานเพื่อให้ผู้บริหารได้จัดการกับความไม่แน่นอน ความเสี่ยงและโอกาสเพื่อส่งเสริมความสามารถในการสร้างคุณค่าเพิ่มให้กับองค์กรและผู้มีผลประโยชน์ร่วม การบริหารความเสี่ยงจะช่วยให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรทั่วไปสามารถบรรลุเป้าประสงค์ขององค์กรได้

องค์กรที่ดำเนินงานในสภาพแวดล้อม ซึ่งปัจจัยต่าง ๆ เช่น โลกาภิวัฒน์ เทคโนโลยี กฎระเบียบ การปรับโครงสร้างใหม่ การเปลี่ยนแปลงตลาด และการแข่งขันที่สร้างความไม่แน่นอน ความไม่แน่นอนมักถูกแสดงออกมาและสร้างขึ้นจากทางเลือกเชิงกลยุทธ์ ตัวอย่างเช่น องค์กรที่มีกลยุทธ์สร้างความเติบโตโดยมีพื้นฐานจากการขยายการดำเนินงานไปยังประเทศอื่น ทางเลือกเชิงกลยุทธ์นี้จะแสดงให้เห็นความเสี่ยงและโอกาสของการมีส่วนร่วมกับความมีเสถียรภาพของสภาพแวดล้อมทางการเมือง ทรัพยากร ตลาด ช่องทาง ความสามารถของแรงงาน และต้นทุนของประเทศนั้น

ความไม่แน่นอนนั้นเป็นไปได้ทั้งความเสี่ยงและโอกาส มีความเป็นไปได้ทั้งที่จะลดหรือเพิ่มคุณค่าให้กับองค์กร

การจัดการความเสี่ยง (Enterprise Risk Management – ERM) เป็นกรอบความคิดทางการบริหารเพื่อที่จะจัดการกับสภาวการณ์ที่ไม่มีความแน่นอนอย่างมีประสิทธิภาพ และเพิ่มความสามารถในการสร้างโอกาสและคุณค่าให้กับองค์กร สำหรับความไม่แน่นอนขององค์กรทั่วไป ก็คือการที่องค์กรไม่อาจจะบรรลุพันธกิจตามแผนงานการบริหารงานที่กำหนดไว้ได้

คุณค่าและค่านิยมร่วม (Shared Value) จึงเป็นเป้าหมายสูงสุด ที่ถูกกำหนดและยอมรับจากทั้งผู้บริหาร และสมาชิกทุกคนขององค์กร โดยตั้งปรัชญาและค่านิยมที่จะปลูกฝังให้พนักงานทุกคนยึดถือเป็นหลักในการปฏิบัติงานในทางปฏิบัติ ดังนั้นค่านิยมร่วมกันจึงเป็นสิ่งที่พนักงานขององค์กรจะยึดถือร่วมกันอยู่ตลอดเวลา ซึ่งอาจจะแสดงออกอย่างชัดเจน หรือต้องศึกษาและทำความเข้าใจเองจากสภาพแวดล้อมในองค์กร

ภาพต่อไปนี้จะแสดงให้เห็นถึงความโยงใยสัมพันธ์กันของพนักงานทุกคนในองค์กรที่มีค่านิยมร่วมกันในสภาพแวดล้อมขององค์กรเดียวกัน

คุณค่าและค่านิยมร่วม

คุณค่าและค่านิยมร่วม

การตัดสินใจของผู้บริหารจะสร้าง รักษา หรือให้คุณค่า ในทุกกิจกรรมจากการกำหนดการปฏิบัติงานในองค์กรในแต่ละวัน การตัดสินใจจะต้องตระหนักถึงความเสี่ยงและโอกาส ความต้องการที่ฝ่ายบริหารจะต้องพิจารณาข้อมูลสารสนเทศเกี่ยวกับสภาพแวดล้อมภายในและภายนอก ใช้ทรัพยากรอย่างมีคุณค่าและส่งเสริมกิจกรรมต่าง ๆ ขององค์กร เพื่อที่จะเปลี่ยนแปลงสถานการณ์ที่เกิดขึ้น

การสร้างคุณค่าเกิดขึ้นโดยการพัฒนาทรัพยากร อันประกอบด้วย บุคลากร ทุน เทคโนโลยี และ ความน่าเชื่อถือ เช่น แบรนด์ เป็นต้น เพื่อสร้างประโยชน์จากการใช้ทรัพยากรให้มากขึ้นกว่าเดิม การรักษาคุณค่าโดยเน้นไปยัง บุคลากร กระบวนการ ระบบและการปฏิบัติเพื่อสร้างคุณค่าที่ยั่งยืน ประกอบด้วยสิ่งอื่น ๆ เช่น คุณภาพของสินค้า ความสามารถในการผลิตและความพึงพอใจของลูกค้า คุณค่าอาจถูกบั่นทอนจากการปฏิบัติที่ไม่สมบูรณ์หรือไม่เหมาะสมเกี่ยวกับความเสี่ยงและโอกาส หรือโดยกลยุทธ์หรือการบริหารจัดการที่ไม่ดีพอ

คุณค่าสามารถเพิ่มขึ้นได้เมื่อกลยุทธ์และวัตถุประสงค์ของฝ่ายบริหารมีความสมดุลระหว่างการเติบโต วัตถุประสงค์ ความเสี่ยงที่เกี่ยวข้อง ประสิทธิผลและประสิทธิภาพในการจัดสรรทรัพยากรในการดำเนินการตามวัตถุประสงค์ การจัดการความเสี่ยงขององค์กรทั่วไป จะช่วยอำนวยความสะดวกในการระบุความต้องการของตลาด ความไม่เพียงพอและเหตุการณ์อื่น ๆ ที่แสดงให้เห็นถึงโอกาสในการสร้างคุณค่าและความเสี่ยงต่อกลยุทธ์และความสำเร็จในการบรรลุวัตถุประสงค์ขององค์กร

คุณค่าของการบริหารความเสี่ยง
1. การบริหารความเสี่ยงอย่างมีประสิทธิผล สามารถช่วยบ่งชี้และประเมินความเสี่ยงในทุกระดับขององค์กร และช่วยให้การประเมินโอกาสเกิดและผลกระทบของความเสี่ยงที่มีคุณค่าขององค์กรมีความน่าเชื่อถือมากขึ้น โดยการบริหารความเสี่ยงที่มีประสิทธิภาพจะสามารถเพิ่มมูลค่าให้กับผู้มีผลประโยชน์ร่วม
2. สามารถลดความสูญเสียและเพิ่มโอกาสให้กับองค์กร
3. ช่วยจัดการกับความไม่แน่นอนที่อาจเกิดขึ้น และสามารถกำหนดแนวทางการบริหารความเสี่ยงเพื่อให้องค์กรสามารถบรรลุวัตถุประสงค์
4. ความสำเร็จขององค์กร

การบริหารความเสี่ยงที่มีประสิทธิผล ควรตระหนักถึงคุณค่าที่อาจเกิดขึ้น ซึ่งได้ถูกสร้าง รักษา หรือซ่อนเร้นอยู่ภายในการดำเนินงานปัจจุบัน และคุณค่าซึ่งซ่อนเร้นอยู่ในการตัดสินใจในอนาคต คุณค่าที่ซ่อนเร้น หมายถึงคุณค่าที่อาจเกิดขึ้นได้จากปัจจัยต่าง ๆ โดยองค์กรไม่ได้นำออกมาใช้หรือกำลังหมดค่าไปในที่สุด

RM & BSC - KPI & Hidden Value

RM & BSC - KPI & Hidden Value

การวัดคุณค่าขององค์กร
การวัดคุณค่าจะเกี่ยวข้องกับคุณค่า ประโยชน์ หรือเรื่องที่สำคัญขององค์กรต่อผู้มีผลประโยชน์ร่วม ผู้บริหารองค์กรหลายแห่งมักคิดถึงคุณค่าในลักษณะการวัดการเงิน เช่น กำไรทางเศรษฐศาสตร์ คุณค่าเพิ่มของผู้มีผลประโยชน์ร่วม การปรับความเสี่ยงจากผลตอบแทนจากทุนทรัพย์ หรืองบประมาณที่ได้รับจากทางการในกรณีที่เกี่ยวข้องกับหน่วยงานของรัฐ และองค์กรมหาชน

คุณค่าขององค์กร จะเกิดขึ้นได้จากความน่าเชื่อถือในการบริหารงานโดยรวม ของคณะกรรมการบริหารและพนักงานที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งการรักษาชื่อเสียงที่เกี่ยวข้องกับศักยภาพในการดำเนินการให้ได้ตามแผนงาน และโครงการที่เกี่ยวข้องอย่างมั่นใจที่จะก้าวไปสู่พันธกิจและวิสัยทัศน์ตามที่กำหนดไว้ได้ ดังภาพที่เห็นด้านล่างนี้ แสดงถึงการบริหารความเสี่ยงกับการเพิ่มคุณค่าขององค์กรในระดับต่าง ๆ

แนวทางการพัฒนาและเพิ่มคุณค่าการบริหารความเสี่ยงระดับต่าง ๆ ขององค์กร

แนวทางการพัฒนาและเพิ่มคุณค่าการบริหารความเสี่ยงระดับต่าง ๆ ขององค์กร

 

ความสำคัญของ Integrity of the Information ที่มีผลต่อกระบวนการบริหารและการตรวจสอบ (ต่อ)

Read the rest of this entry »