Archive for พฤษภาคม, 2009

ITG กับบางมุมมองของเกณฑ์การประเมินผลภาครัฐด้านการบริหารจัดการสารสนเทศ (ITM)

การบริหารจัดการความเสี่ยงตามหลักการของ COSO – Enterprise Risk Management ที่คณะกรรมการประเมินผลภาครัฐ นำมาใช้ในเกณฑ์การประเมินผลการบริหารความเสี่ยงตามที่ได้กล่าวมาแล้วในครั้งก่อน ๆ นั้น หลายมุมมองจะเกี่ยวข้องกับการประเมินความเสี่ยงที่เกิดจากการบริหารและควบคุมสารสนเทศที่มีผลต่อ Business Process และ Business Objective ขององค์กรอย่างเป็นกระบวนการ ตามขอบเขตของ IT Governance ที่เกี่ยวข้องกับ COBIT – Control OBjcetive for Information and Technology ตามหลักการของ ITGI ซึ่งประกอบไปด้วย หลักการบริหารกรอบใหญ่ ๆ 4 ด้าน คือ
1. การวางแผนและการจัดการองค์กร (Planning & Organization – PO)
2. การจัดหาและการนำระบบออกใช้งานจริง (Acquisition & Implementation – AI)
3. การส่งมอบและการบำรุงรักษา (Delivery & Support – DS)
4. การติดตาม (Monitoring – M)

การบริหารและการจัดการกับความเสี่ยงตามหลักการของ COSO ก็เกี่ยวข้องกับการเลือกวิธีการควบคุมความเสี่ยง โดยเฉพาะอย่างยิ่งเกี่ยวข้องอย่างมากต่อความเสี่ยงด้านเทคโนโลยี ที่มีผลกระทบต่อ Business Process ที่อาจเกิดช่องว่างของจุดอ่อนและการทุจริตตามที่เป็นข่าวในสถาบันการเงินหลายแห่งของไทยเมื่อเร็ว ๆ นี้ ซึ่งความเสี่ยงของเทคโนโลยีดังกล่าวต้องการความรู้ และประสบการณ์ทางด้านการจัดการกับเทคโนโลยีผสมผสานอย่างแยกไม่ได้กับความเข้าใจในเรื่องการบริหารความเสี่ยง ตามหลักการของ COSO – ERM

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

วันนี้ ผมจึงขอนำเสนอแนวทางของเกณฑ์การประเมินผลของภาครัฐ บางมุมมองที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ในปี 2552 แยกพิจารณาออกเป็น 2 ส่วน สรุปได้ดังนี้

ส่วนที่ 1
1. การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)
1.1 การตอบสนองต่อความต้องการขององค์กรและนโยบาย
1.2 องค์ประกอบหรือรายละเอียดแผนปฏิบัติการ

ส่วนที่ 2
2. การบริหารการจัดการสารสนเทศ
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร
2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร
2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง
2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early Warning System (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)
2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

– การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) ของ ISO 27001

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

– การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน
2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)
2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ใน การผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร
2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

2.5 ระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 และนโยบายต่างๆ ของรัฐบาล
2.5.1 การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต ทั้งการให้บริการภายในและภายนอกองค์กร
2.5.2 ความสะดวกในการให้บริการของประชาชน / พนักงาน / ผู้มีส่วนได้เสีย เช่น การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online
2.5.3 การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ
2.5.4 One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว
2.5.5 ระบบ Back Office ที่สามารถ Share ข้อมูลกับหน่วยงานอื่นทั้งภายใน และภายนอกองค์กรได้ โดยที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล
2.5.6 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการภายในและภายนอกองค์กร
2.6.1 การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ
2.6.2 การนำระบบเข้ามาช่วยการสื่อสารทั้งภายในและภายนอกองค์กร
2.6.3 การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)
2.6.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

การบริหารและการควบคุมความเสี่ยงเป็นภาพใหญ่ของทุกองค์กร ที่ต้องคำนึงถึงสภาพแวดล้อมของธุรกิจ โดยเฉพาะอย่างยิ่งกิจกรรมที่เกี่ยวข้องกับกรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของ COSO ซึ่งอาจขยายความให้ครอบคลุมไปถึงความเสี่ยงทางด้านเทคโนโลยี (IT Security Risk) ได้ในทุกมุมมอง ดังนั้น ฝ่ายบริหารของทุกองค์กรควรพิจารณาและทบทวนความเข้าใจในเรื่องที่เกี่ยวข้องกับ IT Security Governance ซึ่งสัมพันธ์กับ IT Governance และ Corporate Governance อย่างแยกกันไม่ได้

และผมจะขยายความในเรื่อง IT Security Governance ในมุมมองของ COSO – ERM ซึ่งมีหลายเรื่องที่มีความสัมพันธ์กันอย่างใกล้ชิดและน่าสนใจยิ่ง ในโอกาสต่อ ๆ ไปครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ในครั้งที่แล้วผมได้พูดถึงสภาพแวดล้อมในองค์กรที่เป็นปัจจัยสำคัญที่ผู้บริหารต้องพิจารณาและมีการกำหนดร่วมกันกับพนักงานในองค์กร อันจะส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร ซึ่งเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM โดยได้กล่าวไว้เพียงบางส่วน และในวันนี้ผมจะกล่าวถึงสภาพแวดล้อมขององค์กรที่ผู้บริหารจะต้องพิจารณาในส่วนที่เหลือ ก่อนที่จะนำไปสู่กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในกระบวนการถัดไปในโอกาสหน้าครับ

7. ค่านิยมด้านความซื่อสัตย์และจริยธรรม
กลยุทธ์และวัตถุประสงค์ที่นำไปสู่วิธีการปฏิบัติเพื่อให้บรรลุผลสำเร็จมีพื้นฐานมาจากความนิยมชมชอบ การตัดสินคุณค่าและรูปแบบการบริหาร ความซื่อสัตย์และการยอมรับในค่านิยมด้านจริยธรรมมีผลต่อความชอบและการตัดสินคุณค่า ซึ่งจะถูกนำไปสู่มาตรฐานทางพฤติกรรม เนื่องจากชื่อเสียงขององค์กรเป็นสิ่งที่มีคุณค่ามาก มาตรฐานทางพฤติกรรมต้องดำเนินไปอย่างสอดคล้องกับกฎหมาย ผู้บริหารขององค์กรที่มีการดำเนินการที่ดีมีการยอมรับมากขึ้นว่ามุมมองในเรื่องพฤติกรรมที่มีความซื่อสัตย์และจริยธรรมเป็นธุรกิจที่ดี

ความซื่อสัตย์ทางการบริหารเป็นสิ่งที่จำเป็นสำหรับพฤติกรรมด้านจริยธรรมในทุกแง่ของกิจกรรมขององค์กร ประสิทธิผลของการจัดการความเสี่ยงขององค์กรไม่สามารถเพิ่มเหนือคุณค่าของความสื่อสัตย์และจริยธรรมของบุคลากรที่สร้าง ดำเนินการและดูแลกิจกรรมที่สำคัญ ค่านิยมด้านความซื่อสัตย์และจริยธรรมเป็นองค์ประกอบของสภาพแวดล้อมที่มีความสำคัญ มีผลต่อการออกแบบ การบริหารและการติดตามดูแลองค์ประกอบอื่น ๆ ของการบริหารความเสี่ยง

การสร้างคุณค่าทางจริยธรรมมักทำได้ยาก เนื่องจากความจำเป็นในการพิจารณาหลาย ๆ ด้าน ค่านิยมของฝ่ายบริหารต้องสมดุลกับองค์กร พนักงาน ลูกค้า คู่แข่งและ ผู้มีผลประโยชน์ร่วม ความสมดุลของเรื่องต่าง ๆ นั้น เป็นเรื่องที่มีความซับซ้อนและยุ่งยาก เนื่องจากความสนใจในแต่ละบุคคลนั้นแตกต่างกัน

พฤติกรรมทางจริยธรรมและความซื่อสัตย์ทางการบริหารเป็นผลพวงของวัฒนธรรมขององค์กร ซึ่งจริยธรรมและมาตรฐานทางพฤติกรรม รวมถึงวิธีที่ใช้สื่อสารและผลักดันนโยบายอย่างเป็นทางการชี้ให้เห็นถึงสิ่งที่คณะกรรมการและฝ่ายบริหารต้องการให้เกิดขึ้น วัฒนธรรมขององค์กรระบุให้เห็นถึงสิ่งที่เกิดขึ้นจริง และบทบาทที่ต้องปฏิบัติตามอย่างตั้งใจหรือหลีกเลี่ยง

8. การยอมรับในความสามารถ
ความสามารถสะท้อนให้เห็นถึงความรู้และทักษะที่จำเป็นสำหรับการปฏิบัติงานตามที่ได้รับมอบหมาย ฝ่ายบริหารจะตัดสินใจถึงวิธีต่าง ๆ ที่จำเป็นในการทำงานให้สำเร็จ โดยการให้น้ำหนักระหว่างกลยุทธ์และวัตถุประสงค์เทียบกับแผนในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

ผู้บริหารควรกำหนดระดับของความรู้ความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละงาน เช่น การจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เป็นต้น ความรู้และทักษะที่จำเป็นนั้นอาจขึ้นอยู่กับความฉลาด การฝึกอบรมและประสบการณ์ของแต่ละคน ปัจจัยที่ต้องพิจารณาในการพัฒนาระดับความรู้และทักษะจะรวมถึงธรรมชาติและระดับของการตัดสินในการนำไปประยุกต์ใช้ในงานที่มีความเฉพาะเจาะจง

9. ปรัชญาและสไตล์การบริหารงานของผู้บริหาร
ความแตกต่างในแนวความคิดและวิธีการทำงานของนักบริหาร อาทิเช่น ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ลักษณะในการยอมรับความเสี่ยงของผู้บริหาร ความกล้าได้กล้าเสียหรือชอบระมัดระวัง เป็นต้น ย่อมมีอิทธิพลต่อวิธีการบริหาร รูปแบบของการยอมรับความเสี่ยง การควบคุมภายในขององค์กร เพราะผู้บริหารมีหน้าที่โดยตรงในการจัดให้มีนโยบาย มาตรการ และวิธีการควบคุมที่เหมาะสมในแต่ละสถานการณ์สำหรับองค์กร

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

10. โครงสร้างการจัดองค์กร
โครงสร้างองค์กรจะเป็นตัวกำหนดกรอบของงานที่จะวางแผน จัดการ ควบคุมและติดตามกิจกรรมต่าง ๆ โครงสร้างองค์กรประกอบด้วยการกำหนดจุดสำคัญของอำนาจหน้าที่และความรับผิดชอบและการกำหนดสายการบังคับบัญชาในการรายงาน

องค์กรทั่วไปจะต้องกำหนดโครงสร้างองค์กรที่เหมาะสมตามที่จำเป็น บางส่วนอาจต้องรวมอำนาจ บางส่วนก็อาจต้องกระจายอำนาจออกไป บางส่วนต้องมีการรายงานโดยตรง หรือบางส่วนอาจต้องใช้องค์กรแบบ Matrix

โครงสร้างขององค์กรทั่วไปที่เหมาะสมขึ้นอยู่กับขนาดขององค์กรและลักษณะของกิจกรรม องค์กรที่มีโครงสร้างสูง มีสายการบังคับบัญชาและความรับผิดชอบที่เป็นทางการ อาจเหมาะสมกับองค์กรขนาดใหญ่ที่มีฝ่ายปฏิบัติจำนวนมากและการปฏิบัติงานต่างประเทศ อย่างไรก็ตามบางโครงสร้างที่มีช่องทางการสื่อสารที่สะดวกอาจเหมาะสมกับองค์กรที่มีขนาดเล็ก

11. วิธีการมอบอำนาจและความรับผิดชอบ
การมอบอำนาจและความรับผิดชอบมีความสัมพันธ์กับระดับที่แต่ละบุคคลและทีมงานได้รับมอบหมายอำนาจ เป็นการส่งเสริมให้ใช้ความคิดริเริ่มในประเด็นต่าง ๆ การแก้ปัญหา และการใช้ขอบเขตของอำนาจ

ประเด็นที่สำคัญในการมอบหมายอำนาจก็คือต้องการให้บรรลุวัตถุประสงค์ นั่นหมายถึงต้องแน่ใจว่าการยอมรับความเสี่ยงนั้นมีพื้นฐานมาจากวิธีการในการระบุความเสี่ยง ประเมินความเสี่ยง รวมถึงขนาดและการให้น้ำหนักของการสูญเสียเทียบกับประโยชน์ที่ได้รับในระดับการตัดสินใจทางธุรกิจที่ดี

อีกประการหนึ่งคือทำให้แน่ใจว่าทุกคนเข้าใจวัตถุประสงค์ขององค์กรและประโยชน์ที่ทุกคนรู้วิธีการในการปฏิบัติเพื่อให้บรรลุวัตถุประสงค์

บางครั้งการเพิ่มการมอบอำนาจอาจขึ้นอยู่กับโครงสร้างขององค์กรว่าเป็นแบบแนวดิ่งหรือแนวราบ การเปลี่ยนแปลงโครงสร้างต้องสนับสนุนให้เกิดความคิดสร้างสรรค์ การริเริ่มและการตอบสนองการแข่งขันและความพึงพอใจของลูกค้าอย่างรวดเร็ว การเพิ่มการมอบอำนาจอาจต้องใช้ความสามารถของพนักงานในระดับที่สูงขึ้นและต้องสามารถตรวจสอบได้มากขึ้น และต้องมีวิธีการที่มีประสิทธิภาพเพื่อให้ฝ่ายบริหารสามารติดตามผลเพื่อการตัดสินใจเท่าที่จำเป็น

12. นโยบายบริหารงานด้านทรัพยากรมนุษย์
บุคลากรเป็นปัจจัยสำคัญและมีอิทธิพลต่อการปฏิบัติงานทุกด้าน รวมทั้งการควบคุมภายใน ดังนั้น ผู้บริหารควรมีการกำหนดนโยบายและวิธีปฏิบัติที่กำหนดในส่วนที่เกี่ยวข้องกับการบริหารทรัพยากรมนุษย์ที่ชัดเจนด้านการคัดเลือก การปฐมนิเทศ การฝึกอบรม การประเมินผล การให้คำปรึกษา การเลื่อนตำแหน่ง การบริหารค่าตอบแทน เป็นต้น

การจ้างงานควรมีมาตรฐานโดยพิจารณาจากพื้นฐานทางการศึกษา ประสบการณ์การทำงาน ความสำเร็จที่ผ่านมาและพฤติกรรมด้านจริยธรรมและความซื่อสัตย์ การแสดงให้เห็นว่าเป็นบุคคลที่มีความผูกพันต่อองค์กรและมีความน่าเชื่อถือได้ วิธีการในการสรรหาจะประกอบด้วยการสัมภาษณ์ที่เป็นทางการ การสัมภาษณ์เชิงลึก และข้อมูลและการแสดงออกที่สามารถมองเห็นได้จากองค์กรเดิม วัฒนธรรมและรูปแบบการปฏิบัติงาน

นโยบายการฝึกอบรมมีอิทธิพลต่อระดับการปฏิบัติงานและพฤติกรรมที่คาดหวังไว้โดยการสื่อสารบทบาทและความรับผิดชอบที่คาดหวังไว้ และการดำเนินงานเหมือนโรงเรียนฝึกอบรมและสัมมนา แบบฝึกหัดที่เป็นกรณีศึกษาให้ปฏิบัติและการแสดงบทบาทสมมติ

การโยกย้ายและการเลื่อนตำแหน่งต้องเกิดจากการประเมินผลการปฏิบัติที่สะท้อนให้เห็นถึงความผูกพันขององค์กรต่อพนักงานที่มีคุณภาพสูง

โปรแกรมการจ่ายค่าตอบแทนที่ใช้ในการแข่งขันจะประกอบด้วยการจ่ายโบนัสจูงใจเพื่อตอบสนองและจูงใจผู้ที่มีผลการปฏิบัติงานที่ดีเลิศ

การลงโทษทางวินัยจะเป็นตัวส่งสัญญาณให้เห็นถึงพฤติกรรมที่ไม่ควรปฏิบัติ ควรหลีกเลี่ยง

13. ความแตกต่างทางสภาพแวดล้อมและความหมายของสภาพแวดล้อม
สภาพแวดล้อมภายในขององค์กรทั่วไป ย่อมมีความแตกต่างกัน ซึ่งสภาพแวดล้อมภายในที่แตกต่างกันนี้ ถือเป็นองค์ประกอบหนึ่งของกรอบการบริหารความเสี่ยงขององค์กร หากองค์กรมีสภาพแวดล้อมภายในที่ไม่มีประสิทธิภาพจะส่งผลกระทบต่อความสูญเสียทางการเงิน ภาพพจน์ขององค์กรต่อบุคคล/สังคมภายนอก รวมไปถึงอาจก่อให้เกิดความล้มเหลวทางธุรกิจได้

 

กบข. กับกรณีการตรวจสอบการทุจริตของกองทุนเลี้ยงชีพ The Virginia Supplemental Retirement System กับผู้ตรวจสอบ

ผมกำลังนำบทเรียนเกี่ยวกับการทุจริตของกองทุนเลี้ยงชีพในต่างประเทศ ซึ่งเกิดขึ้นเมื่อหลายปีก่อนมาให้ท่านได้ศึกษา เพื่อเปรียบเทียบกับกรณีการทุจริตต่าง ๆ ที่กำลังเกิดขึ้นในวงการสถาบันการเงินของไทย เพื่อให้ท่านเกิดแนวคิด และเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศเพื่อใช้ในการบริหารและการจัดการ ที่จำเป็นต้องมีการควบคุมทางด้าน IT Security อย่างละเอียดและอย่างเข้าใจถึงช่องว่างที่เป็นจุดเปิดของการทุจริต (Exposure) ได้ เพื่อจะนำมาเปรียบเทียบถึงสิ่งที่เกิดขึ้นในบ้านเรา และสร้างความตระหนักถึงการบริหารอย่างสอดประสานและบูรณาการในเชิงรุกอย่างแท้จริง ซึ่งในที่สุดแล้วจะเกี่ยวข้องกับการบริหารและการจัดการทางด้าน CG + ITG + GRC + COSO – ERM อย่างเป็นกระบวนการ และผสมผสานระหว่างการบริหารงานด้าน IT และ Non – IT โดยมีวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ แผนการปฏิบัติงาน ตัวชี้วัดผลการปฏิบัติงาน การติดตามและการรายงานผล รวมทั้งการตรวจสอบตามฐานความเสี่ยงแบบบูรณาการ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

บทเรียนของต่างประเทศที่จะกล่าวต่อไปเพิ่มเติมจากวันก่อนนั้น ก็จะเป็นอุทธาหรณ์สำหรับการบริหารของกองทุนเลี้ยงชีพของไทย เช่น กบข. รวมทั้งองค์กรอื่นที่สนใจในเรื่องเกี่ยวกับการตรวจสอบการทุจริตในแง่มุมต่าง ๆ ที่ต้องใช้ประสบการณ์ในการตรวจสอบทางด้านคอมพิวเตอร์เป็นหลัก

ท่านคงไม่ลืมเรื่องราวที่ผมพูดถึงกรณีการทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่เป็นอันดับ 2 ของประเทศฝรั่งเศสที่ถูกทุจริต รวมกันเป็นเงินทั้งสิ้นประมาณ 3 แสนล้านบาท ซึ่งเกิดจากบุคคลที่รู้เรื่อง IT เป็นอย่างดีเพียงคนเดียว ท่านลองไปทบทวนเรื่องนี้ประกอบกับบทเรียนใหม่ที่จะกล่าวในวันนี้

จากการตรวจสอบในเบื้องต้นในการจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems) ซึ่งแบ่งออกเป็น 4 ระบบ ที่ได้กล่าวถึงระบบ Member Contribution Accord (MCA) System ไปในครั้งที่แล้ว และจะขอกล่าวต่อถึงระบบต่อไป ดังนี้

2. Refund System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการจ่ายคืนเงินให้แก่สมาชิกรายที่ออกจากงาน และยื่นหนังสือแสดงความจำนงขอถอนเงินทีฝากไว้คือ ในกรณีที่สมาชิก (Active Member) ถึงแก่กรรม VSRS จะคืนเงินที่รับฝากให้แก่กองมรดก หรือผู้รับประโยชน์ และปรับปรุงยอดคงเหลือในบัญชีของสมาชิกที่รับเงินคืนไป

ในแต่ละปี VSRS จะคืนเงินให้สมาชิก 18,000 – 22,000 ราย เป็นจำนวนเงินประมาณ 14-21 ล้านเหรียญ ส่วนใหญ่จะอยู่ในช่วงฤดูร้อน เพราะอัตราการเปลี่ยนงานสูง โดยเฉพาะอาชีพครู

เมื่อสมาชิกมีความประสงค์จะขอถอนเงินคืน จะต้องกรอกแบบฟอร์ม VSRS-3 รูปภาพที่ 3 ซึ่งระบุหมายเลขประกันสังคม ชื่อ ที่อยู่ วัน เดือน ปีเกิด และชื่อของนายจ้าง หลังจากลงรายมือชื่อเรียบร้อยแล้วก็ให้ส่ง VSRS-3 ไปยังแผนกเงินเดือนของตน แผนกเงินเดือนจะกรอกรายละเอียดที่เหลือของแบบฟอร์ม VSRS-3 ท่อนล่างซึ่งระบุวันที่ ที่หักเงินเดือนครั้งสุดท้าย ชื่อ และรหัสประจำตัวของนายจ้าง และรายละเอียดของเงินนำส่งที่ยังไม่ได้รายงานให้ VSRS ทราบ จากนั้นก็ลงนามแล้วก็ส่งไปให้ VSRS ซึ่งจะมอบหมายให้แผนก Refund section (สังกัดอยู่ใน Membership and Office Department) ตรวจสอบความสมบูรณ์ของเอกสาร จากนั้นจะส่ง VSRS-3 ไปให้ฝ่ายประมวลข้อมูลทำการเจาะบัตรเพื่อบันทึกลงเทปที่เรียกว่า Refund Inventory Computer Tape ซึ่งใช้สำหรับบันทึกรายการขอถอนเงินคืนที่ยังคงค้างยู่ทั้งหมด และพิมพ์รายละเอียดของรายการขอถอนเงินคืนที่คงค้างในเทป ฝ่ายประมวลข้อมูลจะส่งรายละเอียดนี้พร้อมกับเทปไปให้แผนก Refund section

แผนก Refund Section จะนำ VSRS-1 ซึ่งเก็บไว้ใน Storeroom มาประกบกับ VSRS-3 รายที่ขอถอนเงินคืน แล้ก็รวบรวมกันไว้ในแฟ้ม พนักงานประจำเครื่องรับส่งข้อมูล (RJE Operator) จะเรียกโปรแกรมคอมพิวเตอร์เพื่อมาทำการเปรียบเทียบข้อมูลที่เก็บไว้ใน Refund Inventory Tape กับ MCA Master Fileและพิมพ์รายงานยอดคงเหลือของแต่ละบัญชีสัปดาห์ละครั้ง แล้วส่งรายงานนี้ไปให้แผนก Refund Section ตรวจสอบกับ VSRS-3 ที่เก็บไว้ในแฟ้ม แผนก Refund Section จะคำนวณเงินที่ต้องคืนแก่สมาชิกจากแบบฟอร์ม VSRS-3 ท่อนล่าง ซึ่งจะเท่ากับจำนวนเงินที่ปรากฏตามรายงานยอดคงเหลือในบัญชี + ส่วนที่นายจ้างรับรอง ว่าได้หักจากเงินเดือนของพนักงานแล้ว แต่ยังไม่ได้รายงานให้ VSRS ทราบ

แผนกบัญชี (According Section) จะออกสลิปปะหน้า (Voucher Cover Sheet) VSRS-3 ส่งให้ฝ่ายประมวลข้อมูลเจาะรหัสบนบัตร Refund Card รูปภาพที่ 4 แล้วจัดทำรายละเอียดที่ขอถอนคืนแต่ละราย และรวมยอดจำนวนเงินที่ขอถอนคืนทั้งสิ้นตาม Refund Card เปรียบเทียบกับจำนวนเงินรวมในสลิปปะหน้า อย่างไรก็ตามการถอนเงินคืนไม่จำเป็นต้องถอนเงินจนยอดในบัญชีเหลือเป็นศูนย์ แต่จะกำหนดรหัสพิเศษให้เพื่อแสดงว่า บัญชีนี้มีการถอนเงินคืนไปแล้ว เสร็จแล้วจะโอนรายการถอนเงินคืนจาก Refund Inventory Tape ไปเก็บไว้ใน Refund Transaction History Tape สำหรับ Refund Card ฝ่ายประมวลข้อมูลจะเก็บเข้าแฟ้มไว้เพื่อใช้ในการหักบัญชีสมาชิกต่อไป เมื่อนายจ้างส่งเงินมาให้เพิ่มเติมตามที่ระบุไว้ใน VSRS-3 โดนเรียงลำดับตามหมายเลขรหัสของนายจ้าง และวันครบกำหนดในแฟ้มนี้จะมี Refund Card ประมาณ 2,000-3,000 ใบ

ฝ่ายประมวลข้อมูลจะส่งรายงานคอมพิวเตอร์และ VSRS-3 กลับคืนไปให้ Refund Section เพื่อเช็คสอบยอดรวม เสร็จแล้ว Refund Section จะส่งสลิปถอนเงิน (Voucher) ไปให้ผู้อำนวยการ VSRS ลงนาม สั่งจ่ายเมื่อ Refund Section ได้รับสลิปคืนมาก็จะส่งทางไปรษณีย์ไปให้สำนักงานคลังของรัฐ (State Treasurer’s Office) พร้อมกับที่อยู่ตามที่ระบุไว้ในท่อนล่างของ VSRS-3 และจะส่งสลิปต้นฉบับไปให้สำนักงานบัญชีกลางของรัฐ (State Comptroller’s Office) ส่วนสลิปชุดสำเนาจะถูกส่งไปยังแผนกบัญชี เพื่อบันทึกไว้ในสมุดบัญชีเงินสดจ่าย (Cash Disbursements Ledger) แล้วส่งกลับไปเก็บเข้าใน Refund Section

ตามที่กล่าวไว้ในตอนต้นแล้วว่า VSRS จะยังไม่คืนเงินให้แก่สมาชิกจนกว่านายจ้างจะส่งรายงานและเงินมาให้จนครบแล้ว ดังนั้นเมื่อนายจ้างส่งรายงานมาครบแล้ว เสมียนในแผนก Contribution Reporting Section จะดึง Refund Card รายที่มีวันครบกำหนดตรงกับวันที่ในรายงาน (Reporting Period Data) จากนั้นจะส่ง Refund Card ไปให้พนักงานประจำเครื่อง RJE เพื่อลดยอดคงเหลือในบัญชีตามที่กำหนดใน Refund Card แล้วสั่งให้เครื่องคอมพิวเตอร์พิมพ์รายงานจำนวนเงินที่ถอนคืนไปทั้งหมด (Refund Total Report) โดยแสดงรายละเอียดเฉพาะหมายเลขประจำตัวนายจ้างและจำนวนเงินรวมแต่ละราย จากนั้นก็บันทึกจำนวนเงินที่ถอนไปทั้งสิ้นใน Control Bookซึ่งเป็นสมุดเล่มเดียวกับที่เคยบันทึกจำนวนเงินรับจากสมาชิกทั้งสิ้นเสร็จแล้วก็ทิ้ง Refund Cardไป

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ในกรณีที่ยังมียอดคงเหลืออยู่ในบัญชีหลังจากที่คืนเงินให้สมาชิกแล้ว ทั้งนี้อาจจะเนื่องมาจากการคำนวณผิดพลาด ดังนั้นแผนก Refund Section จะต้องตรวจสอบดูว่าควรจะคืนเงินที่เหลือให้แก่สมาชิกหรือไม่ ในบางกรณีก็จะส่งใบยืนยันยอดไปให้สมาชิกหรือนายจ้าง เมื่อได้รับใบยืนยันยอดคืนมาจะส่งไปให้ฝ่ายประมวลขอมูลพร้อมกับ Refund Worksheets เพื่อเจาะรหัสลงบัตร แต่โดยปกติเสมียนในแผนก Refund Section จะเป็นผู้เจาะบัตรด้วยตัวเอง จากนั้นก็ดำเนินการเหมือนกับกรรมวิธีข้างต้น ยกเว้นว่าไม่ต้องบันทึกรายการขอ Refund ไว้ใน Refund Inventory Tape

การคืนเงินให้แก่ผู้รับประโยชน์หรือกองมรดก ก็คงดำเนินวิธีการเช่นเดียวกับการคืนเงินตามปกติ

สำหรับรูปภาพประกอบคำอธิบาย หากเป็นไปได้ผมจะนำมาเสนอให้ทราบในโอกาสต่อไป เพื่อสร้างความเข้าใจสำหรับผู้ที่สนใจอย่างแท้จริง ถึงการตรวจสอบในรายละเอียดที่มีลักษณะเป็นการตรวจสอบเชิงสอบสวนและหาหลักฐานที่เกี่ยวข้องทางด้านคอมพิวเตอร์ ที่มีลักษณะเป็น Forensic Audit แบบหนึ่ง

ท่านผู้บริหารและท่านผู้ตรวจสอบทางด้าน IT และ Non – IT ครับ ท่านได้อ่านถึงการตรวจสอบอย่างเป็นกระบวนการ 2 ใน 4 ระบบงานหลักของการบริหารกองทุนเลี้ยงชีพเพื่อการศึกษาแห่งนี้ไปแล้ว ท่านได้ภาพอะไรบ้างไหมครับว่า ในกรณีที่ท่านต้องติดตาม สอบสวน เรื่องราวการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ในเชิงลึก และมีหลักฐานอย่างแท้จริงถึงสาเหตุที่เป็น Root Cause ของปัญหาในการทุจริต เพื่อหาแนวทางควบคุม และป้องกันมิให้เหตุการณ์ทำนองเดียวกันนี้เกิดขึ้นอีกในองค์กรของท่าน

โปรดติดตามการตรวจสอบอีก 2 ระบบงานหลักต่อไปนะครับ และขณะเดียวกันขอให้ท่านพิจารณาด้วยว่าการดำเนินการร่วมกันระหว่าง IT Auditor กับ Non – IT Auditor มีความเหมาะสม หรือน่าจะปรับปรุงอะไรบ้าง ให้เหมาะกับเทคโนโลยียุคใหม่ที่ได้เปลี่ยนแปลงไปมากแล้ว

 

บางมุมมองเกี่ยวกับการสอบสวนและการตรวจสอบการทุจริตด้าน IT และ Non – IT

ผมตั้งใจที่จะออกความเห็นในเรื่องที่เกี่ยวข้องกับความร่วมมือของผู้ตรวจสอบ ระหว่าง IT Auditor กับ Non – IT Auditor กับการทุจริตว่า ผู้ตรวจสอบทั้ง 2 ประเภทนี้ ควรจะมีความร่วมมือกันอย่างไร โดยเฉพาะอย่างยิ่ง เรื่องที่เป็นข่าวการทุจริตของ ธอส. เป็นเงินประมาณ 500 ล้านบาท กับธนาคารธนชาต เป็นเงินประมาณ 20 ล้านบาท นั้น

ผมใคร่ขอสรุปในเบื้องต้นว่า ในองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่ง องค์กรที่เกี่ยวข้องกับสถาบันการเงิน หรือองค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ตลาดหลักทรัพย์ บริษัทการบิน ระบบความมั่นคงทางการทหาร ++ จำเป็นอย่างยิ่งที่ IT Auditor จะต้องมีบทบาทที่เป็นลักษณะของจุดเริ่มต้นของกระบวนการตรวจสอบ เพื่อรวบรวมหลักฐานจากกระบวนการดำเนินงาน อันเกิดจากการกระทำการทุจริต ซึ่งส่วนใหญ่จะมาจาก Operation Risk ประกอบไปด้วย People Risk, Process Risk, Technology Risk ตามที่กล่าวมาแล้ว

หลังจากได้ข้อมูลและหลักฐานที่จำเป็นครบถ้วนและเหมาะสมแล้ว IT Auditor ก็จะผ่านงานไปยัง Non – IT Auditor เพื่อดำเนินการต่อไป ทั้งนี้ เพราะกระบวนการประมวลผลข้อมูลและหลักฐานในการตรวจสอบ รวมทั้งร่องรอยในการตรวจสอบ (Audit Trail หรืออาจเรียกว่า Management Trail ก็ได้) อยู่ในรูปแบบที่ต้องใช้เทคโนโลยีเป็นอย่างมาก

นี่คือหลักการเบื้องต้นของการตรวจสอบ หรือการวางแผนการตรวจสอบ ไม่ว่าจะมีวัตถุประสงค์ใดก็ตาม ต้องเริ่มจาก การทำความเข้าใจในลักษณะงาน กระบวนการทำงาน Business Process ไปถึง Business Objective ในแต่ละ Activities รวมทั้ง การควบคุมภายในของแต่ละกิจกรรมที่เกี่ยวข้องกับการประมวลผลที่มีความสัมพันธ์อย่างสอดคล้องกันในการก้าวไปสู่วัตถุประสงค์ขององค์กร ซึ่งแน่นอนว่าจะเกี่ยวข้องกับ People + Process + Technology หรือ PPT และตัวอย่างของ ธอส. และธนาคารธนชาต รวมทั้งกรณีศึกษาของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System ซึ่งเทียบเท่ากับ กบข. ซึ่งเป็นกองทุนบริหารบำเน็จบำนาญของข้าราชการของไทยในปัจจุบัน

รายละเอียดเรื่องนี้สามารถประยุกต์ทำความเข้าใจได้จากเรื่องราวของการทุจริตที่ประเทศสหรัฐอเมริกา กรณีการจ่ายคืนเงินฝากของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System

ขอให้ท่านที่สนใจโปรดอ่านและใคร่ครวญถึงจุดอ่อนที่เกิดขึ้นในกระบวนการทำงาน ที่มีส่วนผสมผสานกันระหว่างงานด้าน IT และ Non – IT และช่วยวิเคราะห์ในใจถึงจุดอ่อนในกิจกรรม ในขั้นตอน ของกระบวนการทำงานซึ่งเปิดจุดอ่อนที่ทำให้เกิดการทุจริตได้ จากเรื่องราวที่เป็นจริงในอดีตต่อไปนี้

ความเป็นมาขององค์กรที่เกิดการทุจริต
The Virginia Supplemental Retirement System คือ องค์กรที่ทำหน้าที่เป็นกองทุนเลี่ยงชีพร่วม (Consolidated Tension System) พนังงานลูกจ้างของรัฐใน The Commonwealth of Virginia ส่วนใหญ่เป็นพนักงานลูกจ้างของส่วนราชการท้องถิ่น โรงเรียน รัฐบาล คณะกรรมการศึกษาโรงเรียน และหน่วยงานของรัฐอื่นๆ ประมาณ 700 แห่ง มีบัญชีเงินฝากของพนักงานทั้งที่ยังทำงานอยู่และออกจากงานแล้วกว่า 235,000 บัญชี มีสินทรัพย์รวม 1,300 ล้านเหรียญสหรัฐ ส่วนใหญ่เป็นหุ้นและพันธบัตร ซึ่งเท่ากับ VSRS เป็นธนาคารที่ใหญ่ที่สุดแห่งหนึ่งใน Virginia

รัฐเป็นผู้ดำเนินการกองทุนร่วมนี้ โดยมอบหมายให้คณะกรรมการ 7 คน เป็นผู้บริหารงาน ประกอบด้วยเจ้าหน้าที่ส่วนกลาง ตัวแทนจากคณะกรรมการโรงเรียนส่วนราชการท้องถิ่น และ State Executive Branch และบุคคลภายนอกอีก 3 คน รวมเป็น 7 คน คณะกรรมการเหล่านนี้ไม่มีความรู้เกี่ยวกับการบัญชี หรือการประมวลผลด้วยคอมพิวเตอร์ แต่อย่างไรก็ตาม ก่อนหน้าปี พ.ศ. 2520 สองคนในคณะกรรมการชุดนี้เป็นผู้สอบบัญชีรับอนุญาต

ถึงแม้จะผ่านมาเป็นเวลาถึง 32 ปี แต่ก็เป็นการทุจริตที่ Classic มากที่อาจจะเกิดขึ้นได้อีก โดยเฉพาะอย่างยิ่งประเทศที่มีการบริหารความเสี่ยงทางด้าน IT ไม่เหมาะสม และไม่ได้ดุลยภาพกับความสามารถของผู้ตรวจสอบในหลายองค์กร

คณะกรรมการมีหน้าที่รับผิดชอบเกี่ยวกับการบริหารงานประจำวัน ในปี 2520 ซึ่งเป็นปีที่มีการตรวจสอบ VSRS แบ่งองค์กรออกเป็น 4 แผนกใหญ่ ๆ (ตามรูปภาพที่ 1) ดังนี้

VIRGINIA SUPPLEMENTAL RETIREMENT SYSTEM (VSRS)

Computer Fraud and Forensic Audit

Computer Fraud and Forensic Audit

1. แผนก Investments มีหน้าที่ซื้อขายหุ้นและพันธบัตร แผนกนี้ไม่มีส่วนเกี่ยวข้องในการทุจริต
2. แผนก Operations มีหน้าที่รับผิดชอบหน่วยงานหลายหน่วย รวมทั้งหน่วยงานที่ให้บริการแก่สมาชิกกองทุน (Member and Offices Services) ซึ่งเป็นหน่วยงานต้นตอของการเกิดทุจริต
3. แผนก Data Processing มีผู้จัดการแผนกซึ่งทำหน้าที่ ทั้งวิเคราะห์ระบบงาน และเขียนโปรแกรม จนกระทั่งปี พ.ศ. 2520 จึงจ้างนักโปรแกรมผู้ช่วยมาหนึ่งคน นอกจากนั้นผู้จัดการแผนกยังต้องบังคับบัญชาพนักงานระดับเสมียนอีก 15 คน ซึ่งทำหน้าที่ Retirement Contribution Reporting, Remote Job Entire และ Data Control
4. แผนก Finance มีหัวหน้าแผนกและพนักงานบัญชีอีก 5 คน รับผิดชอบในการบันทึกรายการในบัญชีย่อยและบัญชีคุมยอดทั่วไป (Subsidiary and General Ledger)
VSRS ส่งข้อมูลเข้าไปประมวลผลในคอมพิวเตอร์โดยผ่านเครื่องรับส่งที่ตั้งอยู่ในสถานที่ทำงาน (RJE Station) ซึ่งห่างจากศูนย์กลางคอมพิวเตอร์ IBM 370/158 ประมาณ 2 ไมล์ และศูนย์คอมพิวเตอร์แห่งนี้ยังให้บริการแก่องค์การของรับอื่นอีก 28 แห่ง

เหตุการณ์ที่ก่อให้เกิดการทุจริต
เนื่องจากปริมาณธุรกิจของ VSRS เพิ่มขึ้นมากในช่วงระยะเวลา 10 ปี ทำให้ไม่สามารถบันทึกบัญชีด้วยมือต่อไปอีก VSRS จึงตัดสินใจที่จะนำคอมพิวเตอร์มาใช้ โดยมอบหมายให้องค์การของรัฐที่เรียกว่า Department of Automated Data Processing (ADP) เป็นผู้พัฒนาระบบ งานประมวลผลด้วยคอมพิวเตอร์ ADP เป็นหน่วยงานที่มีหน้าที่พัฒนาระบบงาน เขียนโปรแกรม และประมวลผลให้องค์กรของรัฐ ที่ไม่มีหน่วยงานคอมพิวเตอร์เป็นของตัวเอง

Fraud Audit Process and IT Auditor & Non - IT Auditor

Fraud Audit Process and IT Auditor & Non - IT Auditor

ในปี 2515 หลังจากที่พยายามพัฒนาระบบงานมาแล้ว 5 ปี ทั้ง VSRS และ ADP มีความเห็นพ้องตรงกันว่า โครงการที่ทำอยู่นี้ล้มเหลวโดยสิ้นเชิง ทั้งนี้เนื่องมาจากขาดการบริหารโครงการที่ดี และ VSRS มีความเห็นไม่ตรงกันกับ ADP เกี่ยวกับความต้องการชองระบบงาน (System Requirements) อย่างไรก็ตาม VSRS เริ่มใช้คอมพิวเตอร์เมื่อวันที่ 1 กรกฎาคม 2515 ทั้ง ๆ ที่ตรวจพบว่ายังมีข้อบกพร่องที่สำคัญ ๆ ในระบบอีก 26 แห่ง และเนื่องจาก VSRS ไม่มีพนักงานหรือผู้เชี่ยวชาญ ที่ดำเนินงานตามระบบงานใหม่นี้ได้ จึงต้องจ้างพนักงานของ ADP 3 คน ซึ่งรับผิดชอบโครงการนี้มาทำหน้าที่เป็นรองผู้อำนวยการ ผู้จัดการฝ่าย Operation และผู้จัดการฝ่ายประมวลผลของ VSRS โดยมอบหมายให้แต่ละคนรับผิดชอบเกี่ยวกับการอแก้ไขข้อบกพร่องและใช้ระบบงานใหม่นี้

บทบาทของผู้สอบบัญชี
VSRS ไม่มีหน่วยงานที่ทำหน้าที่ตรวจสอบภายในของตนเอง แต่อย่างไรก็ตามผู้สอบบัญชีรับอนุญาตจากรัฐ (Auditor of Public Accounts – ATA) ซึ่งมีหน้าที่ตรวจสอบฐานะการเงินขององค์การของรัฐใน Virginia ทำหน้าที่เป็นผู้ตรวจสอบการเงินของ VSRS แต่เนื่องจาก ATA ขาดกำลังจ้าหน้าที่ผู้ตรวจสอบจึงไม่สามารถตรวจสอบ VSRS อย่างสม่ำเสมอได้ ดังนั้นจึงทำการตรวจสอบในปีการเงินสิ้นสุด 30 มิถุนายน 2512 และ 2515 เท่านั้น

คณะผู้ตรวจสอบที่เข้าทำการตรวจสอบ VSRS ในปีการเงินสิ้นสุด 30 มิถุนายน 2520 พบว่าการตรวจสอบของปี 2515 ยังไม่สมบูรณ์การตรวจสอบเบื้องต้น (Preliminary work) ซึ่งเริ่มตั้งแต่เดือนมีนาคม 2520 ได้แก่ การตรวจสอบระบบการควบคุมทางด้านการบัญชี ทางด้านการประมวลผลด้วยคอมพิวเตอร์ (EDP) ผู้ตรวจสอบจะตรวจสอบและจัดทำงบการเงินสำหรับปีสิ้นสุด 30 มิถุนายน 2516,2517, 2518, 2519 และ 2520 แต่ไม่มีการตรวจสอบทางด้าน EDP ในระยะ 5 ปีที่ผ่านมาและไม่เคยแม้แต่จะตรวจสอบระบบการควบคุมภายในอย่างกว้าง ๆ เกี่ยวกับระบบงานด้านคอมพิวเตอร์ ซึ่งอาจเป็นสาเหตุหนึ่งที่ทำให้การตรวจสอบด้านการเงิน (Financial Examination) ได้ผลไม่สมบูรณ์และอาจตรวจพบกรณีการทุจริตที่เกิดขึ้นได้

การตรวจสอบเบื้องต้น (Preliminary Audit Review)
ผู้ตรวจสอบเข้าร่วมประชุมกับฝ่ายบริหารของ VSRS เพื่อชี้แจงเกี่ยวกับวิธีการตรวจสอบโดยทั่ว ๆ ไปและขอบเขตของการตรวจสอบผู้ที่ไม่ได้เข้าร่วมประชุมคือรองผู้อำนวยการ VSRS ซึ่งลาออกและย้ายไปอยู่ที่รัฐอื่น เรื่องที่สำคัญ ๆ ได้แก่
1. การสอบถามพนักงานของ VSRS และการศึกษาระบบงานจาก System Documentation
2. การจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems)

ระบบงานคอมพิวเตอร์ที่สำคัญ ๆ แบ่งออกเป็น 4 ระบบ คือ
1. Member Contribution Accord (MCA) System
2. Refund System
3. Retirement Annuitant Payroll System (RAPS)
4. Investment Portfolio According System

1. Member Contribution Accords (MCA) System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการนำส่งเงินของสมาชิก VSRS ซึ่งมีบัญชีอยู่ในแฟ้มข้อมูลทั้งสิ้น 315,000 บัญชี การค้นหาและเก็บข้อมูลในบัญชีใช้ระบบ ISAM (Indexed Sequential Access Method) ลักษณะของข้อมูลที่บรรจุอยู่ใน MCA Master File ปรากฏอยู่ในรูปภาพที่ 2

ในแต่ละปีจะมีรายการ (Transaction) เข้ามาในระบบงาน MCA มากกว่า 3,000,000 รายการ หรือเป็นจำนวนเงินที่รับเข้ามามากกว่า 100 ล้านเหรียญสหรัฐ การส่งเงินของสมาชิกแต่ละรายการกระทำโดยผ่านทางนายจ้าง นายจ้างจะหักเงินเดือนพนักงานซึ่งเป็นสมาชิกของ VSRS และนำส่งเช็ค ใบนำส่งเช็ค และรายชื่อสมาชิก และจำนวนเงินแต่ละราย (Contribution Report) ให้ VSRS

เมื่อ VSRS ได้รับเอกสารที่กล่าวเรียบร้อยแล้ว จะส่งเช็คและใบนำส่งเช็คไปให้แผนกบัญชี แผนกบัญชีจะออกใบรับฝากเงิน (Deposit Certificate) ให้ และนำเช็คไปฝากเข้าธนาคาร จากนั้นจะบันทึกรายการในสมุดบัญชีเงินสดรับ (Cash Receipts Ledger) และทำใบนำส่งเช็คไปเก็บเรื่องเข้าแฟ้มไว้เป็นหลักฐานสำหรับ Contribution Report จะถูกส่งไปยังแผนก Contribution Reporting Section

รายงาน Contribution Report ที่ส่งมาให้ VSRS โดยปกติจะแสดงเฉพาะสมาชิกรายที่มีการเปลี่ยนแปลงหรือเพิ่มขึ้นใหม่เท่านั้น (Exception Basis) ส่วนรายที่มิได้รายงานถือว่าคงเดิม ดังนั้นการบันทึกข้อมูลเข้าเก็บไว้ใน MCA master file จะยึดถือจำนวนเงินที่นำส่งครั้งก่อนเป็นหลัก แล้วปรับปรุงด้วยส่วนที่เปลี่ยนแปลง หรือเพิ่มเติมตามรายงานที่ฝากนายจ้างส่งมาให้ก่อน ที่จะสั่งให้คอมพิวเตอร์ Update บัญชีสมาชิกด้วยจำนวนเงินที่กล่าว VSRS จะให้คอมพิวเตอร์พิมพ์รายงานจำนวนเงินนำส่งรวมของนาจ้างแต่ละรายแล้วส่งไปให้แผนก Contribution Reporting Section เพื่อเปรียบเทียบกับจำนวนเงินในใบนำส่งเช็ค (Check Transmittal Form) เมื่อ Update เรียบร้อยแล้ว คอมพิวเตอร์จะออกรายงานส่งให้แผนก Contribution Reporting Section 3 ฉบับ คือ Posting Sheet Report, Possible Duplicate Accords Report และ Missing Membership Data Report

– Posting Sheet Report คือ รายงานที่แสดงจำนวนเงินรวมที่ Update ในบัญชีสมาชิก VSRS ของนายจ้างแต่ละราย หลังจากบันทึกจำนวนรวมดังกล่าวไว้ใน Control Book แล้วก็จะทิ้ง Posting Sheet Report ไป

– Possible Duplicate Accords Report คือ รายงานที่แสดงบัญชีสมาชิกที่มีชื่อและหมายเลขประกันสังคม (Social Security Number) รายงานนี้เป็นประโยชน์ในการค้นหาหมายเลขประกันสังคมที่นายจ้างรายงานมาผิดพลาด

– Missing Membership Data Report คือรายงานที่แสดงรายชื่อของสมาชิกที่ไม่มีบัญชีใน MCA Master File ทั้งนี้เนื่องจากนายจ้างไม่กรอกและส่งแบบฟอร์ม VSRS Membership Form (VSRS – 1) มาให้จึงทำให้ VSRS ระบุชื่อ อายุ เพศ วันที่เป็นสมาชิก และผู้รับผลประโยชน์ ส่งไปให้ VSRS เพื่อเปิดบัญชีสมาชิกใหม่ให้ VSRS จะเก็บ VSRS – 1 เรียงเข้าแฟ้มไว้ในห้องเก็บของ (Storeroom) ซึ่งมิได้ควบคุมการเข้าและออกในแผนก Membership and Office Service Section

สมาชิกที่ยังคงดำรงสภาพพนักงานอยู่ (Active Member) จะได้รับใบแจ้งยอดคงเหลือในบัญชี (Accord Statements) ปีละครั้งโดยมี VSRS จะส่งตรงไปให้นายจ้าง เพื่อแจกจ่ายให้พนักงานซึ่งเป็นสมาชิกต่อไป

เรื่องราวเกี่ยวกับการทุจริตกรณีนี้ยังมีต่อไปอีกค่อนข้างยาว เพราะมีการสอบสวน รวมทั้งการหาข้อมูลเพื่อสาวไปถึงจุดอ่อนและผู้ร่วมการทุจริต เพื่อหาแนวทางป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต

ก็คล้าย ๆ กับกรณีการทุจริตของธนาคาร Socgen เมื่อปี 2550 นะครับ เพราะผู้ทุจริตก็มาจากผู้เชี่ยวชาญทางด้าน IT เป็นผู้พัฒนาโปรแกรมที่เกี่ยวข้องกับระบบงานการทุจริต ซึ่งต่อมาด้วยความผิดพลาดของทางธนาคารที่ออกนโยบายเกี่ยวกับการคัดเลือกพนักงาน และการให้รางวัลที่มีผลตอบแทนจากกำไรในการดำเนินงาน ซึ่งตามมาด้วยช่องว่าง (Exposure) ที่ก่อให้เกิดการทุจริตตามมา เรื่องนี้สาเหตุหลักของการทุจริตก็คือ ความผิดพลาดทางด้านนโยบายของธนาคาร ซึ่งเป็น Root Cause ที่แท้จริง ซึ่งมีผลกระทบตามมาเป็นลูกโซ่ และจบลงด้วยการทุจริต หากมีโอกาสผมจะได้มาวิเคราะห์ในกรณี Socgen ในมุมมองของการบริหารและผู้ตรวจสอบต่อไป

สำหรับกรณีของ ธอส. หรือธนาคารธนชาต เอาไว้คุยกันวันหลังนะครับ

 

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

หลังจากที่ผมได้นำเสนอเรื่องของ Healthcare IT Security ของคุณหมอสุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมากในปัจจุบันนี้ รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ ไปแล้วนั้น

วันนี้ ผมจะเล่าสู่กันฟังถึงเรื่องการนำ IT Governance เข้ามาสู่การประเมินศักยภาพการบริหารความเสี่ยงของรัฐวิสาหกิจ โดย สคร. ก. การคลัง เพราะ ITG เป็นส่วนหนึ่งของ CG หรือ Corporate Governance ที่แยกกันไม่ได้ และมีองค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อน CG และ ITG อย่างสำคัญ ก็คือ การบริหารความเสี่ยงตามกรอบของ COSO – ERM ซึ่งผมได้นำ Slide มาเสนอแล้วในครั้งที่ผ่านมา

Translating Vision and Strategy to Performance Measurement

Translating Vision and Strategy to Performance Measurement

เกณฑ์การประเมินการบริหารความเสี่ยง ระดับที่ 5 : การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation)
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 4

2. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ
2.1 แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร
2.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคลหรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคลหรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด
2.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงานเพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

3. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
3.1 คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจาก การลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น
3.2 คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

4. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

นอกจากนี้ยังรวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร หรือ

การที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

 

บทบาทของ Non-IT Auditors & IT Auditors กับ การทุจริต และการประสานงานการตรวจสอบร่วมกันอย่างเป็นระบบ

ITG & IT Audit + Fraud InvestigationITG & IT Audit + Fraud Investigation

วันนี้ผมขอคุยกันในเรื่องที่ยังเป็น Hot issue อยู่ในวงการสถาบันการเงิน การตรวจสอบ การประชุมของคณะกรรมการตรวจสอบ คณะกรรมการบริหารความเสี่ยง ++ ในหลายๆองค์กร ถึงเรื่องการทุจริตที่ ธอส และผลที่ติดตามมา ในหลายๆแง่มุม และเช้าวันนี้เช่นกัน ผมได้ดูทีวีพบข่าวเกี่ยวกับเรื่องการทุจริตบัญชีเงินฝากของลูกค้าหลายรายที่ธนาคารธนชาต สาขาอุบลราชธานี เป็นเงินเบื้องต้นประมาณ 20 ล้านบาท ก็เลยนำข้อคิดในเรื่องเกี่ยวกับบทบาทของ Non – IT Auditors กับ IT Auditors รวมทั้งการประสานงานบางมุมมองมาเล่าสู่กันฟัง ดังนี้ครับ

ITG & IT Audit + Fraud Investigation and IT Understanding

ITG & IT Audit + Fraud Investigation and IT Understanding

ส่วนใหญ่ มักตั้งเป็นคำถาม และคำถามๆ ที่มีข้อมูลและข้อเท็จจริงค่อนข้างจำกัด รวมทั้งตัวผมเองด้วยนะครับ เรื่องนี้คงได้พูดคุยและวิจารณ์กันได้หลายแง่มุมไปอีกนานทีเดียว เก็บไว้ค่อยๆคุยกันอย่างสร้างสรรเพื่อสร้างคุณค่าเพิ่มต่อกัน และแน่นอนครับว่าเรื่องนี้จะเป็น Lesson-Learned ที่ดี ในหลายมุมมอง ทั้งด้านการตรวจสอบ IT & Non-IT ++ โดยเฉพาะอย่างยิ่งมุมมองของ การบริหารความเสี่ยงระดับองค์กร หรือ COSO-Enterprise Risk Management

วันนี้ เรามาคุยกันในหัวข้อที่ว่า Non-IT Auditors
จะตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้อย่างไร ? จะมีกระบวนการตรวจสอบ ที่เริ่มจาก การกำหนดขอบเขต และการวางแผนการตรวจสอบกันอย่างไร ? ในมุมมองของการตรวจสอบแบบค้นหาการทุจริต การติดตามการทุจริต การหาหลักฐานการตรวจสอบการทุจริต การจัดทำรายงาน++

บางท่านเริ่มคำถามว่า เราจะตรวจสอบได้อย่างไรในเมื่อกระบวนการทำงาของระบบงานได้รับการประมวลผลด้วย IT Process+Technology+Manual ระดับหนึ้ง
และคำถามอีกมากมาย++

โปรดดูภาพข้างต้น และโปรดใช้ดุลยพินิจของท่าน ผสมผสานกับหลักการตรวจสอบตามฐานความเสี่ยงทั้งทางด้าน IT & Non-IT++รวมทั้งมาตรฐานการตรวจสอบที่เกี่ยวข้อง++ ท่านจะได้รับคำตอบที่น่าสนใจอย่างยิ่ง ของจุดอ่อน และส่วนที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตที่คาดไม่ถึงครับ

ไว้คุยกันในตอนต่อๆไปนะครับ ผมเพียงให้ท่านที่สนใจพิจารณาว่า ความเข้าใจในการประมวลผลข้อมูล การใช้ข้อมูลและสารสนเทศเพื่อการกำกับ เพือการบริหาร เพื่อการตรวจสอบ นั้นมีความสำคัญเพียงใด โดยเฉพาะจาก Lesson-Learned ทั้งในประเทศและต่างประเทศครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

หลังจากที่ผมได้กล่าวถึงแนวความคิด และภาพรวมของการบริหารจัดการความเสี่ยง ก็เพื่อให้ท่านผู้อ่านได้ทำความเข้าใจถึงความเป็นมาเป็นไป และความสำคัญของการบริหารจัดการกับความเสี่ยง ซึ่งได้นำเสนอไปในครั้งที่ผ่าน ๆ มา แล้ว

จากนี้ไป ผมจะขอเข้าสู่เนื้อหาหลักที่สำคัญของการบริหารความเสี่ยงทั่วทั้งองค์กร นั่นก็คือกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ซึ่งจะได้นำเสนอในรายละเอียดอย่างเป็นกระบวนการ เป็นขั้นเป็นตอนในโอกาสต่อ ๆ ไปครับ

ความมีประสิทธิผลในการบริหารความเสี่ยงทั่วทั้งองค์กร
ในขณะที่ ERM หรือ การบริหารความเสี่ยงทั่วทั้งองค์กร เป็นกระบวนการ ดังนั้นความมีประสิทธิผลของ ERM จึงขึ้นอยู่กับเงื่อนไขในแต่ละช่วงเวลา และขึ้นอยู่กับผลของการประเมินจากองค์ประกอบ 8 ประการ

การทำ ERM จะบรรลุผลสำเร็จต้องพิจารณาองค์ประกอบทั้ง 8 ประการ และมีการระบุหน้าที่ที่เกี่ยวข้อง แต่ไม่ได้หมายความว่าจะต้องระบุหน้าที่ในแต่ละองค์ประกอบหรือแม่แต่ในระดับเดียวกัน และอาจมีการสับเปลี่ยนระหว่างองค์ประกอบต่าง ๆ เนื่องจากเทคนิคด้าน ERM สามารถแก้ปัญหาในวัตถุประสงค์ที่หลากหลาย การตอบสนองความเสี่ยงจะมีระดับที่แตกต่างกันขึ้นอยู่กับการกำหนดความเสี่ยง

แนวคิดที่กล่าวถึงในที่นี้สามารถประยุกต์ใช้ได้ทั่วทั้งองค์กร แต่สำหรับองค์กรที่มีขนาดเล็กกว่า วิธีการสำหรับแต่ละองค์ประกอบควรมีลักษณะที่เป็นทางการและมีความเป็นโครงสร้างให้น้อยที่สุด

การควบคุมภายใน
การควบคุมภายในก็เป็นอีกส่วนประกอบหนึ่งที่สำคัญของ ERM โดยกรอบแนวคิด ERM เน้นในเรื่องการควบคุมภายใน การจัดรูปแบบแนวคิดที่เข้มแข็งมากขึ้นและเป็นเครื่องมือในการบริหาร การควบคุมภายในถูกให้ความหมายและให้คำอธิบายในกรอบแนวคิดเชิงบูรณาการเรื่องการควบคุมภายใน

การควบคุมภายในได้รับการออกแบบเพื่อให้ความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร เพื่อให้เกิดประสิทธิภาพและประสิทธิผลในการปฏิบัติงาน ความน่าเชื่อถือของรายงานทางการเงิน และการปฏิบัติตามกฎ ระเบียบที่เกี่ยวข้อง

เนื่องจาก ERM เป็นส่วนหนึ่งของกระบวนการบริหาร องค์ประกอบของกรอบแนวคิด ERM ได้ถูกอธิบายในเนื้อหาที่ว่าฝ่ายบริหารจะสามารถดำเนินธุรกิจไปได้อย่างไร สิ่งที่คณะกรรมการและผู้บริหารจัดการเกี่ยวกับการบริหารองค์กรไม่ใช่ ERM ในทุกเรื่อง แต่ ERM เป็นส่วนหนึ่งของกิจกรรมด้านการบริหารทั่วไป ซึ่งอธิบายโดยย่อได้ดังนี้

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

จากตารางต่อไปนี้เป็นการแสดงรายการของสิ่งที่ฝ่ายบริหารปฏิบัติและสิ่งที่เป็นส่วนหนึ่งของ การบริหารความเสี่ยงทั่วทั้งองค์กร หรือ ERM

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

ครั้งหน้า ผมจะพูดถึงสภาพแวดล้อมภายในองค์กร (Internal Environment) ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงอันดับแรก จาก ERM ทั้ง 8 ประการ ตามหลักเกณฑ์ของ COSO ใหม่ครับ

 

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

 

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

วันนี้ ผมขอนำรายละเอียดบางประการที่หน่วยงานกำกับภาครัฐ คือ สคร. โดย ก. คลัง ได้กำหนดวิธีการประเมินศัยกภาพการบริหารความเสี่ยงของหน่วยงานรัฐวิสาหกิจ โดยรวม ITG เข้าเป็นส่วนหนึ่งของการประเมินการบริหารความเสี่ยงด้วยเพราะ IT Risk ก็คือ Business Risk ในภาพโดยรวม และ IT Risk ก็เป็นส่วนหนึ่งที่สำคัญยิ่งยวดที่มีผลกระทบหรือ Impact ต่อ Business Process ของทุกองค์กรที่ใช้ IT เป็นเรื่องปกติ

ในกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM โดยเฉพาะอย่างยิ่งความเสี่ยงระดับองค์กรที่เกี่ยวข้องกับ S – O – F – C ผู้บริหารและผู้ที่เกี่ยวข้องจะต้องเข้าใจถึงคำว่า “กระบวนการบริหารความเสี่ยง” ซึ่งมีคำอธิบายแต่ละคำ (word) ของคำว่ากระบวนการไว้ชัดเจนตามที่กล่าวไว้ใน Article ที่เกี่ยวข้องกับ ITG นี้แล้ว

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

การประเมินผลที่ได้คะแนนในระดับที่ 4 จาก 5 ระดับ มีดังนี้

ระดับ 4 : การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3

2. กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับ การกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน ของรัฐวิสาหกิจ ซึ่งได้แก่การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่างๆ (ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน) ประกอบในการกำหนดนโยบาย/กลยุทธ์ /การวางแผน /การลงทุน

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)
3.1 ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน
3.2 มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน
3.3 มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

4. มีการทบทวนการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

5. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น จรรยาบรรณ และผู้บริหารรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น

พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้

6.1 คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
6.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-Site Back Up)
6.1.2 มีระบบการดูแลสภาพแวดล้อม ของ ศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตามมาตรฐานสากลที่เป็นที่ยอมรับโดยทั่วไป เช่น BS/EN1047-2 หรือ COBIT เป็นต้น
ทั้งนี้ รส. ต้องพิจารณาถึง ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time : t0 ถึง t1 เปรียบเทียบกับ ความสูญเสียที่ยอมรับได้ (Recovery Point) ด้วย

หาก รส. ที่ไม่มี หรืออยู่ระหว่างการจัดทำ IT Security Room (EN 1047-2) ให้พิจารณาดังนี้

ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time: t0 t1) เปรียบเทียบกับ
– ความสูญเสียที่ยอมรับได้ (Recovery Point) หรือ
– เกณฑ์การประเมิน Critical Infrastructure ของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเลคทรอนิกส์ (เวอร์ชัน 2) ปี 2549

• ถ้า พิสูจน์ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ผ่าน
การประเมิน สามารถขึ้นสู่ระดับ 4 ได้ (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)
• ถ้า พิสูจน์ไม่ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ไม่ผ่าน
การประเมิน จะไม่ได้คะแนนในข้อนี้ โดยคะแนนสูงสุดที่จะได้คือ 3.95 (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)

6.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

6.2 คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

6.3 ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

6.4 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน S-O-F-C ของคณะกรรมการและผู้บริหารระดับสูง ในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

7. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

 

การป้องกันการทุจริตในจุดอ่อนระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง (ต่อ)

จนถึงปัจจุบัน ผู้กำกับหน่วยงานของ ธอส. ที่เกี่ยวข้องกับการทุจริตและเกิดผลเสียหายประมาณ 400 ล้านบาท ยังเป็นที่สนใจของบุคคลที่เกี่ยวข้องว่า หน่วยงานของรัฐแห่งนี้มีการบริหารงานที่ดี โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยง อันเป็นที่ยอมรับได้ระดับหนึ่งนั้น เกิดการทุจริตเช่นนี้ขึ้นได้อย่างไร เหตุใดผู้ทุจริตจึงสามารถกระทำการทุจริตได้โดยใช้เวลาอันยาวนาน และผู้บริหาร ผู้ตรวจสอบ รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารความเสี่ยงไม่สามารถ Mornitor หรือติดตามความเสี่ยงที่เกิดจาก Operation Risk ที่เกี่ยวข้องกับ People, Process และ Technology รวมทั้ง Compliance Risk ที่เกี่ยวข้องกับการปฏิบัติตามระเบียบและกฎเกณฑ์ของหน่วยงานและผู้กำกับที่เกี่ยวข้อง

Value Creation for Effectiveness & Efficiency of Operations

Value Creation for Effectiveness & Efficiency of Operations

สำหรับส่วนตัวของผม ผมยังมีความเข้าใจและมั่นใจว่า ธอส. ยังมีกระบวนการบริหารและการจัดการที่ดีอยู่ เพียงยังอาจปรับปรุงกระบวนการบริหารความเสี่ยงบางมุมมอง โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เกี่ยวข้องกับกระบวนการทบทวนการบริหาร การควบคุมความเสี่ยงของระบบงานที่เกี่ยวข้องกับ Business Process ไปสู่ Business Objective ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ที่รวมทั้งเรื่อง ISO 27001 และ COBIT ตามหลักการของ IT Governance ที่มีผลเกี่ยวข้องกับ Corporate Governance ซึ่งเชื่อมโยงกับการบริหารความเสี่ยงตามหลักการของ COSO – ERM การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

วันนี้ ผมจึงขอออกความเห็นเบื้องต้นที่ยังขาดข้อมูลและข้อเท็จจริงของเหตุการณ์ที่เกิดขึ้นอยู่มาก แต่จะขออธิบายภาพโดยรวม ถึงสิ่งที่หน่วยงานที่เกี่ยวข้องอาจใช้ประสบการณ์เกี่ยวกับกระบวนการบริหารความเสี่ยง การควบคุมความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ การวิเคราะห์ Business Process การวิเคราะห์ Business Model บางประการ ดังนี้

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

ผมขอให้ข้อสังเกตผ่านแผนภาพเป็นสำคัญ แทนการใช้คำอธิบายที่อาจจะน่าเบื่อสำหรับบางท่าน ขอให้ท่านที่สนใจอ่านและทบทวนกระบวนการดำเนินการตามภาพข้างต้น แล้วซักถามผู้ที่เกี่ยวข้องอย่างเป็นระบบและเป็นกระบวนการตามขั้นตอนที่เหมาะสมให้เป็นไปตามแนวทางของ COSO – ERM คำตอบที่ได้รับในประเด็นที่น่าสนใจนำกลับมาตั้งคำถามใหม่ เพื่อให้คำตอบตรงกับเป้าประสงค์ของผู้ถาม ซึ่งต้องมีความรอบรู้และมีประสบการณ์บริหารอย่างเป็นกระบวนการที่แท้จริง ทั้งทางด้าน IT และ Non – IT

ครั้งต่อไป ผมจะพยายามสร้าง Scenario เพื่อซักถามเป็นตุ๊กตาต้นแบบ เพื่อก้าวเข้าไปหาหรือเพื่อการวิเคราะห์ต้นเหตุหรือสาเหตุ (Root Cause) ของจุดอ่อนของกระบวนการทำงาน (Business Process) รวมไปถึงเทคโนโลยี (Technology) ที่เกี่ยวข้องและแน่นอนว่า จะสัมพันธ์กับบุคลากร (People) ที่จะมีรายการสัมพันธ์กัน เชื่อมโยงกันในกระบวนการที่เป็นจุดอ่อนที่เกิดขึ้น รวมไปถึงการก้าวไปสู่ผู้ที่น่าจะเกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้นได้

Functional Perspectives & Competency to drive IT Security + Successful Business

Functional Perspectives & Competency to drive IT Security + Successful Business

ก่อนจะจบการให้ข้อสังเกตในวันนี้ ผมใคร่ขอจะกล่าวสั้น ๆ เพียงว่า ศักยภาพของผู้ตรวจสอบ ผู้บริหารความเสี่ยงในระดับต่าง ๆ จำเป็นอย่างยิ่งที่จะต้องมีความเข้าใจถึงเรื่อง Risk Convergence ซึ่งส่วนใหญ่จะเกี่ยวข้องกับทางด้าน IT Governance และ IT Management เพื่อลดความเสี่ยงในการบริหารและการตรวจสอบ (Risk Management & Audit Risk) ที่เกี่ยวข้องกับ
– Poor Security & Reporting
– Poor Management Control ที่เกี่ยวข้องกับการบริหารองค์ประกอบของสารสนเทศที่ดี 7 ประการ ตามที่เคยกล่าวไปแล้ว รวมทั้งรายงานที่เกี่ยวข้อง
– Poor Financial Transparency โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับ IT Investments รวมทั้งการกำกับและการบริหารที่ผิดทิศทาง ไม่เป็นไปตามหลักการของกระบวนการบริหารทางด้าน ITG – COBIT และ IT Security ที่ดี
– Fraud ซึ่งเป็นการทุจริตส่วนใหญ่ที่เกิดขึ้นภายในองค์กร โดยบุคลากรขององค์กรนั้นเองเป็นสำคัญ ที่ไม่เข้าใจ Business Process ในการก้าวไปสู่ Business Objective ที่เกี่ยวข้องกับ Internal Control ซึ่งสัมพันธ์กับ Risk Management และ Internal Audit – Risk – Based และ Audit Instinct หรือสัญชาตญาณในการตรวจสอบ หรือศัยกภาพในการตรวจสอบ ที่จะครอบคลุมและผสมผสานระหว่าง IT Audit และ Non – IT Audit โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบทางด้าน Non – IT ที่อาจจะไม่สนใจผลกระทบหรือ Impact ของ IT Risk ต่อ Business Risk ซึ่งมีผลอย่างสำคัญถึงกระบวนการตรวจสอบและการวางแผนการตรวจสอบ ซึ่งมีเรื่องที่ต้องทำความเข้าใจกันค่อนข้างมาก

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

นี่เป็นเหตุผลสำคัญที่ผมยังไม่แยกภาคการตรวจสอบ IT Audit กับ Non – IT Audit อย่างชัดเจนในช่วงนี้ ทั้งนี้ผมต้องการที่จะให้ผู้บริหารที่เกี่ยวข้องต่อการกำกับและการตรวจสอบทั้ง 2 ด้าน เห็นความสัมพันธ์และความเชื่อมโยง รวมทั้งผลกระทบของ IT Risk ที่มีต่อกระบวนการตรวจสอบโดยรวม

ซึ่งผมจะได้กล่าวในรายละเอียดในช่วงต่อ ๆ ไปนะครับ