Archive for พฤษภาคม 20th, 2009

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

หลังจากที่ผมได้นำเสนอเรื่องของ Healthcare IT Security ของคุณหมอสุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมากในปัจจุบันนี้ รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ ไปแล้วนั้น

วันนี้ ผมจะเล่าสู่กันฟังถึงเรื่องการนำ IT Governance เข้ามาสู่การประเมินศักยภาพการบริหารความเสี่ยงของรัฐวิสาหกิจ โดย สคร. ก. การคลัง เพราะ ITG เป็นส่วนหนึ่งของ CG หรือ Corporate Governance ที่แยกกันไม่ได้ และมีองค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อน CG และ ITG อย่างสำคัญ ก็คือ การบริหารความเสี่ยงตามกรอบของ COSO – ERM ซึ่งผมได้นำ Slide มาเสนอแล้วในครั้งที่ผ่านมา

Translating Vision and Strategy to Performance Measurement

Translating Vision and Strategy to Performance Measurement

เกณฑ์การประเมินการบริหารความเสี่ยง ระดับที่ 5 : การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation)
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 4

2. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ
2.1 แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร
2.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคลหรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคลหรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด
2.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงานเพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

3. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
3.1 คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจาก การลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น
3.2 คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

4. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

นอกจากนี้ยังรวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร หรือ

การที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

 

บทบาทของ Non-IT Auditors & IT Auditors กับ การทุจริต และการประสานงานการตรวจสอบร่วมกันอย่างเป็นระบบ

ITG & IT Audit + Fraud InvestigationITG & IT Audit + Fraud Investigation

วันนี้ผมขอคุยกันในเรื่องที่ยังเป็น Hot issue อยู่ในวงการสถาบันการเงิน การตรวจสอบ การประชุมของคณะกรรมการตรวจสอบ คณะกรรมการบริหารความเสี่ยง ++ ในหลายๆองค์กร ถึงเรื่องการทุจริตที่ ธอส และผลที่ติดตามมา ในหลายๆแง่มุม และเช้าวันนี้เช่นกัน ผมได้ดูทีวีพบข่าวเกี่ยวกับเรื่องการทุจริตบัญชีเงินฝากของลูกค้าหลายรายที่ธนาคารธนชาต สาขาอุบลราชธานี เป็นเงินเบื้องต้นประมาณ 20 ล้านบาท ก็เลยนำข้อคิดในเรื่องเกี่ยวกับบทบาทของ Non – IT Auditors กับ IT Auditors รวมทั้งการประสานงานบางมุมมองมาเล่าสู่กันฟัง ดังนี้ครับ

ITG & IT Audit + Fraud Investigation and IT Understanding

ITG & IT Audit + Fraud Investigation and IT Understanding

ส่วนใหญ่ มักตั้งเป็นคำถาม และคำถามๆ ที่มีข้อมูลและข้อเท็จจริงค่อนข้างจำกัด รวมทั้งตัวผมเองด้วยนะครับ เรื่องนี้คงได้พูดคุยและวิจารณ์กันได้หลายแง่มุมไปอีกนานทีเดียว เก็บไว้ค่อยๆคุยกันอย่างสร้างสรรเพื่อสร้างคุณค่าเพิ่มต่อกัน และแน่นอนครับว่าเรื่องนี้จะเป็น Lesson-Learned ที่ดี ในหลายมุมมอง ทั้งด้านการตรวจสอบ IT & Non-IT ++ โดยเฉพาะอย่างยิ่งมุมมองของ การบริหารความเสี่ยงระดับองค์กร หรือ COSO-Enterprise Risk Management

วันนี้ เรามาคุยกันในหัวข้อที่ว่า Non-IT Auditors
จะตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้อย่างไร ? จะมีกระบวนการตรวจสอบ ที่เริ่มจาก การกำหนดขอบเขต และการวางแผนการตรวจสอบกันอย่างไร ? ในมุมมองของการตรวจสอบแบบค้นหาการทุจริต การติดตามการทุจริต การหาหลักฐานการตรวจสอบการทุจริต การจัดทำรายงาน++

บางท่านเริ่มคำถามว่า เราจะตรวจสอบได้อย่างไรในเมื่อกระบวนการทำงาของระบบงานได้รับการประมวลผลด้วย IT Process+Technology+Manual ระดับหนึ้ง
และคำถามอีกมากมาย++

โปรดดูภาพข้างต้น และโปรดใช้ดุลยพินิจของท่าน ผสมผสานกับหลักการตรวจสอบตามฐานความเสี่ยงทั้งทางด้าน IT & Non-IT++รวมทั้งมาตรฐานการตรวจสอบที่เกี่ยวข้อง++ ท่านจะได้รับคำตอบที่น่าสนใจอย่างยิ่ง ของจุดอ่อน และส่วนที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตที่คาดไม่ถึงครับ

ไว้คุยกันในตอนต่อๆไปนะครับ ผมเพียงให้ท่านที่สนใจพิจารณาว่า ความเข้าใจในการประมวลผลข้อมูล การใช้ข้อมูลและสารสนเทศเพื่อการกำกับ เพือการบริหาร เพื่อการตรวจสอบ นั้นมีความสำคัญเพียงใด โดยเฉพาะจาก Lesson-Learned ทั้งในประเทศและต่างประเทศครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

หลังจากที่ผมได้กล่าวถึงแนวความคิด และภาพรวมของการบริหารจัดการความเสี่ยง ก็เพื่อให้ท่านผู้อ่านได้ทำความเข้าใจถึงความเป็นมาเป็นไป และความสำคัญของการบริหารจัดการกับความเสี่ยง ซึ่งได้นำเสนอไปในครั้งที่ผ่าน ๆ มา แล้ว

จากนี้ไป ผมจะขอเข้าสู่เนื้อหาหลักที่สำคัญของการบริหารความเสี่ยงทั่วทั้งองค์กร นั่นก็คือกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ซึ่งจะได้นำเสนอในรายละเอียดอย่างเป็นกระบวนการ เป็นขั้นเป็นตอนในโอกาสต่อ ๆ ไปครับ

ความมีประสิทธิผลในการบริหารความเสี่ยงทั่วทั้งองค์กร
ในขณะที่ ERM หรือ การบริหารความเสี่ยงทั่วทั้งองค์กร เป็นกระบวนการ ดังนั้นความมีประสิทธิผลของ ERM จึงขึ้นอยู่กับเงื่อนไขในแต่ละช่วงเวลา และขึ้นอยู่กับผลของการประเมินจากองค์ประกอบ 8 ประการ

การทำ ERM จะบรรลุผลสำเร็จต้องพิจารณาองค์ประกอบทั้ง 8 ประการ และมีการระบุหน้าที่ที่เกี่ยวข้อง แต่ไม่ได้หมายความว่าจะต้องระบุหน้าที่ในแต่ละองค์ประกอบหรือแม่แต่ในระดับเดียวกัน และอาจมีการสับเปลี่ยนระหว่างองค์ประกอบต่าง ๆ เนื่องจากเทคนิคด้าน ERM สามารถแก้ปัญหาในวัตถุประสงค์ที่หลากหลาย การตอบสนองความเสี่ยงจะมีระดับที่แตกต่างกันขึ้นอยู่กับการกำหนดความเสี่ยง

แนวคิดที่กล่าวถึงในที่นี้สามารถประยุกต์ใช้ได้ทั่วทั้งองค์กร แต่สำหรับองค์กรที่มีขนาดเล็กกว่า วิธีการสำหรับแต่ละองค์ประกอบควรมีลักษณะที่เป็นทางการและมีความเป็นโครงสร้างให้น้อยที่สุด

การควบคุมภายใน
การควบคุมภายในก็เป็นอีกส่วนประกอบหนึ่งที่สำคัญของ ERM โดยกรอบแนวคิด ERM เน้นในเรื่องการควบคุมภายใน การจัดรูปแบบแนวคิดที่เข้มแข็งมากขึ้นและเป็นเครื่องมือในการบริหาร การควบคุมภายในถูกให้ความหมายและให้คำอธิบายในกรอบแนวคิดเชิงบูรณาการเรื่องการควบคุมภายใน

การควบคุมภายในได้รับการออกแบบเพื่อให้ความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร เพื่อให้เกิดประสิทธิภาพและประสิทธิผลในการปฏิบัติงาน ความน่าเชื่อถือของรายงานทางการเงิน และการปฏิบัติตามกฎ ระเบียบที่เกี่ยวข้อง

เนื่องจาก ERM เป็นส่วนหนึ่งของกระบวนการบริหาร องค์ประกอบของกรอบแนวคิด ERM ได้ถูกอธิบายในเนื้อหาที่ว่าฝ่ายบริหารจะสามารถดำเนินธุรกิจไปได้อย่างไร สิ่งที่คณะกรรมการและผู้บริหารจัดการเกี่ยวกับการบริหารองค์กรไม่ใช่ ERM ในทุกเรื่อง แต่ ERM เป็นส่วนหนึ่งของกิจกรรมด้านการบริหารทั่วไป ซึ่งอธิบายโดยย่อได้ดังนี้

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

จากตารางต่อไปนี้เป็นการแสดงรายการของสิ่งที่ฝ่ายบริหารปฏิบัติและสิ่งที่เป็นส่วนหนึ่งของ การบริหารความเสี่ยงทั่วทั้งองค์กร หรือ ERM

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

ครั้งหน้า ผมจะพูดถึงสภาพแวดล้อมภายในองค์กร (Internal Environment) ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงอันดับแรก จาก ERM ทั้ง 8 ประการ ตามหลักเกณฑ์ของ COSO ใหม่ครับ