Archive for มิถุนายน, 2009

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สำหรับเนื้อหาที่จะเล่าสู่กันฟังในวันนี้จะเป็นเรื่องของวิธีการและเทคนิคในการระบุเหตุการณ์ ที่จะทำให้ผู้บริหารสามารถแยกแยะ/บ่งชี้เหตุการณ์ที่เป็นปัจจัยเสี่ยง เพื่อพิจารณาและประเมินค่าความเสี่ยงอันอาจส่งผลต่อการบรรลุวัตถุประสงค์ขององค์กร ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในขั้นต่อไปที่ผมจะนำเสนอในโอกาสหน้าครับ ส่วนโอกาสนี้ไปติดตามวิธีการและเทคนิคในการระบุเหตุการณ์ดังกล่าวกันเลยดีกว่าครับ

วิธีการและเทคนิคในการระบุเหตุการณ์
วิธีการแยกแยะเหตุการณ์ขององค์กรทั่วไป อาจประกอบด้วยเทคนิคกับเครื่องมือสนับสนุนหลาย ๆ เครื่องมือรวมกัน ตัวอย่างเช่น ผู้บริหารอาจใช้การสัมมนาเชิงปฏิบัติการกลุ่มเป็นส่วนหนึ่งของวิธีการแยกแยะเหตุการณ์ด้วยการใช้อุปกรณ์ช่วยที่อาศัยเทคโนโลยีในการช่วยเหลือผู้เข้าร่วม

เทคนิคการแยกแยะเหตุการณ์มองทั้งอดีตและอนาคต เทคนิคซึ่งมุ่งไปที่เหตุการณ์ในอดีตและแนวโน้มในอนาคต พิจารณาเรื่องประวัติเกี่ยวกับการจ่ายเงิน การเปลี่ยนแปลงราคาสินค้าและการสูญเสียเวลา เทคนิคซึ่งมุ่งเน้นไปที่การเปิดเผยอนาคต พิจารณาเรื่องการเปิดเผยการเปลี่ยนแปลงทางประชากร สภาพตลาดใหม่ และการดำเนินงานของคู่แข่ง

เทคนิคการแยกแยะเหตุการณ์จะขึ้นกับกลยุทธ์ของแต่ละองค์กร และแผนงานที่เกี่ยวข้องเป็นสำคัญ ดังนั้น ความเข้าใจในเรื่องการเลือกวิธีการระบุเหตุการณ์และปัจจัยเสี่ยง ผู้ที่เกี่ยวข้องจึงต้องทำความเข้าใจในกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กรเป็นอย่างดี

เทคนิคมีความหลากหลายมีระดับความซับซ้อนที่แตกต่างกัน เทคนิคที่ซับซ้อนกว่าส่วนใหญ่ในกิจกรรมทั่วไปมีความเฉพาะเจาะจงในทางอุตสาหกรรมและการให้บริการ แต่ส่วนใหญ่แล้วมาจากวิธีการปกติ ตัวอย่าง ทั้งการบริหารด้านการเงิน สุขภาพ และความปลอดภัยในอุตสาหกรรมใช้เทคนิคการติดตามเหตุการณ์ที่เสียหาย แม้ว่าเทคนิคเหล่านี้เริ่มต้นด้วยการมุ่งเน้นเหตุการณ์ทางประวัติศาสตร์โดยทั่วไป

เทคนิคการบ่งชี้ความเสี่ยง

เทคนิคการบ่งชี้ความเสี่ยง

วิธีการขั้นพื้นฐานจำนวนมากมองที่เหตุการณ์แฝงที่มีพื้นฐานบนแนวคิดเรื่องพนักงานภายใน ในขณะที่เทคนิคขั้นสูงจำนวนมากกว่าอยู่บนพื้นฐานของแหล่งที่เป็นจริงของเหตุการณ์ที่สังเกตได้ และจากนั้นได้นำข้อมูลเข้ามาสู่รูปแบบที่ซับซ้อน องค์กรที่มีความก้าวหน้ามากขึ้นในเรื่องการบริหารความเสี่ยงจะใช้หลาย ๆ เทคนิครวมกันเพื่อใช้พิจารณาทั้งเหตุการณ์แฝงในอดีตและอนาคต เทคนิคต่าง ๆ มีความหลากหลายในการใช้ภายในองค์กร บางเทคนิคมุ่งเน้นไปที่การวิเคราะห์ข้อมูลที่มีรายละเอียดและสร้างภาพของเหตุการณ์จากล่างขึ้นบน ในขณะที่เทคนิคอื่น ๆ มุ่งเน้นจากบนลงล่าง

ความลึก ความกว้าง เวลา และความมีวินัยในการแยกแยะเหตุการณ์มีความผันแปรท่ามกลางองค์กรต่าง ๆ ผู้บริหารขององค์กร ควรเลือกวิธีการซึ่งเหมาะสมกับวัฒนธรรมความเสี่ยงและมั่นใจว่าองค์กรพัฒนาความจำเป็นในการแยกแยะเหตุการณ์และสนับสนุนเทคนิคและเครื่องมือที่เหมาะสม ในภาพรวมความจำเป็นของวิธีแยกแยะเหตุการณ์มีความทนทานแข็งแรง เพราะก่อตัวมาจากพื้นฐานของการประเมินค่าความเสี่ยงและองค์ประกอบของการตอบสนองต่อความเสี่ยง

เทคนิคการระบุเหตุการณ์มีหลายเทคนิคทั้งเชิงปริมาณ (Quantitative) และเชิงคุณภาพ (Qualitative) เทคนิคเชิงปริมาณและการใช้ข้อมูลเชิงปริมาณอาจให้ผลลัพธ์ที่ชัดเจนและพิสูจน์ความถูกต้องทางสถิติได้ ซึ่งควรใช้กับเหตุการณ์ที่สำคัญและมีความซับซ้อน ในขณะที่เทคนิคเชิงคุณภาพและการใช้ข้อมูลเชิงคุณภาพ เช่น ดุลยพินิจ อาจให้ผลลัพธ์ที่ไม่แน่นอน รวมทั้งการพิจารณาอดีต (Past Event) และเหตุการณ์ในอนาคต (Potential Event)
โดยดูว่าเหตุการณ์ในอดีตเป็นอย่างไรและแนวโน้มในอนาคตเป็นอย่างไร เช่น พิจารณาข้อมูลการไม่ชำระหนี้ การไม่ปฏิบัติตามสัญญาในอดีต การเปลี่ยนแปลงราคาสินค้า หรือการเปลี่ยนแปลงจำนวนประชากร ตลาดใหม่และการแข่งขันของคู่แข่งทางการค้า สามารถที่จะจัดกลุ่มของเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นในอนาคต

อย่างไรก็ตาม การเลือกเทคนิคการระบุเหตุการณ์ไม่จำเป็นต้องใช้วิธีการที่เป็นแบบเดียวกันเสมอไป ขึ้นอยู่กับความจำเป็นที่ต้องการความแม่นยำของข้อมูลและสถานการณ์แวดล้อมอื่น เช่น ความเสี่ยงเกี่ยวกับการลงทุนซื้อหุ้น ควรใช้เทคนิคเชิงคุณภาพ ได้แก่การตัดสินใจโดยใช้ดุลยพินิจที่ระมัดระวังรอบคอบ เป็นต้น

การพึ่งพากันของเหตุการณ์
เหตุการณ์ไม่ได้เกิดขึ้นอย่างลำพัง เหตุการณ์หนึ่งก่อให้เกิดอีกเหตุการณ์หนึ่ง และเหตุการณ์สามารถเกิดขึ้นพร้อมกันได้ ในการแยกแยะเหตุการณ์ ผู้บริหารองค์กร ควรมีความเข้าใจว่าเหตุการณ์ต่าง ๆ สัมพันธ์กันอย่างไร

จากการประเมินค่าความสัมพันธ์ระหว่างกัน เหตุการณ์สามารถกำหนดได้ว่าความพยายามจากการบริหารความเสี่ยงไปในทิศทางใดดีที่สุด ตัวอย่างเช่น การเปลี่ยนแปลงอัตราดอกเบี้ยของธนาคารกลางส่งผลต่ออัตราแลกเปลี่ยนต่างประเทศ รวมทั้งกำไรขาดทุนในการเดินบัญชีของบริษัท การตัดสินใจที่จะตัดทอนเป็นการถ่วงการยกระดับในระบบการกระจายการบริหาร ทำให้เสียเวลาเพิ่มขึ้นและมีค่าใช้จ่ายในการดำเนินการสูงขึ้น เป็นต้น

ตัวอย่างกระบวนทัศน์และแนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์ทางด้านการดำเนินงานที่เกี่ยวเนื่องกันบางประการที่สามารถอธิบายย่อ ๆ ด้วยแผนภาพได้ดังนี้

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ครั้งหน้าไปติดตามการจัดกลุ่มของเหตุการณ์กันต่อครับ

 

การทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย

พูดคุยกันถึงเรื่องเกี่ยวกับการทุจริตและการตรวจสอบการทุจริตมาก็หลายครั้งหลายครา โดยเฉพาะอย่างยิ่งการทุจริตในวงการของสถาบันการเงิน ซึ่งพักนี้มีข่าวคราวการทุจริตของสถาบันการเงินเปิดเผยออกมาให้ทราบกันหลายองค์กรทีเดียว ผมคิดว่าเป็นเรื่องสำคัญที่ผู้บริหารองค์กร ผู้ตรวจสอบ ต้องให้ความสนใจเป็นอย่างยิ่ง

เมื่อพูดถึงการทุจริตและการตรวจสอบ ยังคงมีเรื่องราวอีกมากมายที่น่าสนใจและต้องติดตาม อย่าเพิ่งเบื่อกันก่อนนะครับ เพราะในวันนี้ผมก็จะกล่าวถึงการทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย ซึ่งก็ยังเป็นเรื่องราวของการทุจริตอยู่เช่นเดิม ไปติดตามกันต่อเลยดีกว่าครับ

การทุจริตกับจุดอ่อนในการพัฒนาระบบเทคโนโลยีสารสนเทศ
การทุจริต คือ การกระทำใด ๆ ไม่ว่าจะใช้วิธีธรรมดา (Manual) หรือใช้ระบบเทคโนโลยีสารสนเทศ (IT) เข้าช่วย หรือผสมผสานกันไป ซึ่งกฎหมายหรือระเบียบที่ระบุว่าเป็น
– การฉ้อฉล
– หลอกลวง
– ปกปิด หรือ
– ละเมิดอำนาจหน้าที่ตามความรับผิดชอบหรือจรรยาบรรณในการปฏิบัติงานที่ดีและ
– เป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับหรือมีเหตุบีบคั้นจากผู้อื่น
– เป็นการกระทำของบุคคล กลุ่มบุคคล หรือองค์กร เพื่อให้ได้มาซึ่งทรัพย์สินเงินทอง หรือข้อมูล หรือบริการพิเศษ เช่น การเพิกเฉย ละเลย การจ่ายเงินหรือให้บริการ หรือ

ตามคำจำกัดความของสมาคมผู้ตรวจสอบภายในของอเมริกา – สากล
– การทุจริต เป็นการกระทำเพื่อก่อให้เกิดผลประโยชน์ส่วนตัวหรือผู้อื่น หรือเอื้อผลประโยชน์ต่อธุรกิจอื่น ซึ่งเป็น Conflict of Interest ไม่ว่าจะทางตรงหรือทางอ้อม

จุดอ่อนที่ก่อให้เกิดการทุจริตด้านเทคโนโลยีสารสนเทศ
องค์กรที่มีผู้บริหารที่เข้าใจในเรื่องการบริหารความเสี่ยง (Risk Management) ที่มีการจัดทำระบบการควบคุมภายใน และจัดให้มีการตรวจสอบตามฐานความเสี่ยงซึ่งอยู่ภายในการกำกับดูแลกิจการที่ดีนั้น ควรจะได้ให้ความสนใจในการจัดให้มีและฝังระบบ (Embeded) การควบคุมและแนวการตรวจสอบภายในไว้ตั้งแต่ขั้นตอนการพัฒนาระบบงาน เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพตั้งแต่เริ่มแรก โดยกำหนดร่องรอยสำหรับการบริหารงานหรือแนวการตรวจสอบเป็น Audit Program ในแต่ละงาน และจัดให้มีผู้ตรวจสอบภายในมีส่วนร่วมจัดทำข้อมูลที่ใช้ในการทดสอบและประเมินผลการทดสอบก่อนนำระบบงานใหม่ไปใช้

ทั้งนี้ เพื่อป้องกันปัญหาต่างๆ ในการปฏิบัติงานตรวจสอบในภาคปฏิบัติจริง เพราะการไม่มีผู้ตรวจสอบภายใน (Internal Auditor) เข้าร่วมประเมินความน่าเชื่อถือได้ของระบบการปฏิบัติงาน ซึ่งรวมทั้งข้อมูลที่ผู้ใช้ (User) ต้องการในระดับต่าง ๆ ตามที่กำหนดไว้ในกรอบการปฏิบัติงาน ไม่ว่าหน่วยงานนั้น ๆ จะพัฒนา Application Program ขึ้นมาเอง หรือจะใช้โปรแกรมสำเร็จรูป (Package) จากผู้พัฒนาระบบงานภายนอกแล้วมาปรับระบบงานและการจัดทำรายงานให้เหมาะสมกับองค์กรนั้น ๆ บางส่วน (Modify and/or Customize) ก็ตาม

วิธีการดังกล่าวจะมีลักษณะการปฏิบัติงานเชิงป้องกันปัญหา (Proactive) ก่อนเกิดปัญหาต่าง ๆ ในการบริหารงานและการปฏิบัติงานของผู้บริหารและผู้ตรวจสอบภายในองค์กร ซึ่งจะสร้างประสิทธิภาพและประสิทธิผลในการดำเนินการและสอดคล้องกับการบริหารความเสี่ยง (Risk Management) ขององค์กรยุคปัจจุบันซึ่งบริหารในลักษณะ “ชี้ปัญหาให้ออก บอกประเด็นที่ต้องการทดสอบให้ถูก ชี้ประเด็นที่ต้องการในการตรวจสอบให้ได้ แล้วจัดวางระบบให้สอดคล้องกับความต้องการอย่างมีประสิทธิภาพก่อนที่จะเกิดปัญหาและความเสียหายภายหลัง”… ให้สอดคล้องกับกระบวนปฏิบัติงานของธุรกิจ โดยคำนึงถึงประสิทธิภาพของการใช้ระบบเทคโนโลยีสารสนเทศที่สามารถจะเอื้อประโยชน์ต่อการบริหารงานและการดำเนินงานขององค์กรในรูปแบบต่าง ๆ โดยเฉพาะการใช้เทคโนโลยีสารสนเทศเพื่อการจัดการ ควบคุม ตรวจสอบ เพื่อให้ได้ผลลัพธ์ที่ต้องการอย่างอัตโนมัติ รวดเร็ว และถูกต้องอย่างทันเวลา

ท่านผู้อ่านมีความเห็นเป็นอย่างไรบ้างครับ สำหรับแนวคิดและวิธีการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่จะเกิดปัญหา ในครั้งหน้าผมจะมาพูดคุยกันต่อถึงการพัฒนาระบบงาน และจุดอ่อนของการพัฒนาระบบงานภายนอกที่นำมาปรับใช้ เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพ โปรดติดตามต่อไปนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ครั้งที่แล้วผมได้นำเสนอภาพเพื่อให้เข้าใจได้อย่างชัดเจนขึ้นถึงการวางแผนการบริหารความเสี่ยงและการกำหนดระดับความเสี่ยงขององค์กร ซึ่งผู้บริหารองค์กรจะต้องพิจารณาความสำคัญของวัตถุประสงค์ที่สัมพันธ์กันและวางระดับความเสี่ยงที่ยอมรับได้ให้เป็นไปในแนวทางเดียวกันกับความเสี่ยงที่ยอมรับได้

วันนี้ผมจะกล่าวถึงการระบุเหตุการณ์ (Event Identification) ที่จะส่งผลต่อการบรรลุวัตถุประสงค์หรือการนำกลยุทธ์ไปปฏิบัติ เพื่อบ่งชี้หรือระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กร

หลังจากที่ผู้บริหารองค์กรได้วางแผนการบริหารความเสี่ยงและกำหนดระดับความเสี่ยงที่องค์กรยอมรับได้แล้ว ซึ่งรายละเอียดของเกณฑ์ความสามารถในการยอมรับความเสี่ยงผมจะได้กล่าวถึงในโอกาสต่อไป ผู้บริหารองค์กรจะต้องระบุเหตุการณ์ที่จะส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ทั้งเหตุการณ์ที่จะส่งผลในด้านบวกและด้านลบต่อองค์กร

ผู้บริหารที่แยกแยะเหตุการณ์ที่แฝงอยู่ได้จะส่งผลต่อความสามารถขององค์กรในการที่จะประสบความสำเร็จในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ เหตุการณ์ที่มีแนวโน้มที่ส่งผลลบทำให้เกิดความเสี่ยง ซึ่งจำเป็นต้องได้รับการประเมินและการตอบสนองจากผู้บริหาร

ส่วนเหตุการณ์ที่มีแนวโน้มที่ส่งผลบวกจะชดเชยผลกระทบทางลบหรือสร้างโอกาสได้ ช่องทางของผู้บริหาร คือ การกลับไปสู่กระบวนการตั้งวัตถุประสงค์และกลยุทธ์ ความหลากหลายของปัจจัยภายในและภายนอกทำให้เกิดเหตุการณ์ขึ้น เมื่อผู้บริหารได้แยกแยะเหตุการณ์ที่ซ่อนอยู่ ผู้บริหารจะพิจารณาองค์กรโดยรวม และพิจารณาบริบทในองค์กรที่กำลังดำเนินการกับระดับความเสี่ยงที่ยอมรับได้

เหตุการณ์
เหตุการณ์ หมายถึง เหตุหรือกรณีที่เกิดขึ้นจากแหล่งภายในหรือภายนอก ที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ซึ่งอาจมีผลทางด้านบวก ด้านลบหรือทั้งสองด้าน

ผู้บริหารจะต้องระลึกไว้ว่าความไม่แน่นอนยังคงอยู่แต่ไม่สามารถรู้ได้ว่าเมื่อไรจะเกิดเหตุการณ์หรือผลลัพธ์เป็นอย่างไร และต้องพิจารณาในเบื้องต้นเกี่ยวกับขอบเขตของเหตุการณ์ซึ่งส่งผลกระทบต่อปัจจัยภายในและภายนอกโดยปราศจากการมุ่งเน้นว่าผลที่ได้รับจะเป็นบวกหรือลบ

ขอบเขตของเหตุการณ์ที่แฝงอยู่มีระดับจากเห็นได้ชัดจนถึงคลุมเครือ และการแฝงมีผลกระทบจากสำคัญไปจนถึงไม่สำคัญ เพื่อหลีกเลี่ยงการมองข้ามเหตุการณ์ที่เกี่ยวข้องกัน การแยกแยะเป็นการกระทำที่ดีที่สุดในการประเมินค่าความเป็นไปได้ของการเกิดเหตุการณ์ ซึ่งจะอธิบายในหัวข้อของการประเมินค่าความเสี่ยงต่อไป

อย่างไรก็ตามข้อจำกัดยังคงมีอยู่และเป็นการยากที่จะแยกแยะเหตุการณ์ที่แฝงอยู่ แต่แม้ว่าเหตุการณ์ที่แฝงอยู่กับความเป็นไปได้ที่จะเกิดขึ้นไม่มาก ก็ไม่ควรจะถูกเพิกเฉยในขั้นตอนการแยกแยะเหตุการณ์ หากผลที่แฝงอยู่บนความสำเร็จของวัตถุประสงค์ที่สำคัญที่จะนำไปสู่เป้าหมายที่กำหนดไว้

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การบ่งชี้/ระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กรทั่วไป
1. ชี้/ระบุปัจจัยเสี่ยงที่อาจไม่บรรลุเป้าประสงค์ในแต่ละกิจกรรมและแต่ละขั้นตอนหลัก ๆ ซึ่งอาจจะเกิดจากปัจจัยภายในและปัจจัยภายนอก ซึ่งก่อให้เกิดเป็นความไม่แน่นอนต่อการบรรลุวัตถุประสงค์ที่นำไปสู่วิสัยทัศน์ขององค์กรในกรอบเวลาที่กำหนด

2. ระบุเหตุการณ์ที่อาจทำให้แผนงานไม่อาจบรรลุกิจกรรมและขั้นตอนตามเวลาที่กำหนดได้ เช่น ความสามารถของบุคลากร ประสิทธิภาพในการดำเนินงาน ระบบงานไม่เอื้ออำนวย และสภาพแวดล้อมที่ไม่เหมาะสมในการขับเคลื่อนแผนงานให้ไปสู่ความสำเร็จได้

การระบุความเสี่ยงของแผนงาน/โครงการในกรอบวัตถุประสงค์หลัก 4 ด้าน
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk)
3. ความเสี่ยงด้านการเงิน (Financial Risk)
4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
ซึ่งความเสี่ยงทั้ง 4 ด้านข้างต้นนี้ ผมเคยได้พูดถึงในครั้งที่ผ่าน ๆ มาแล้ว

ในครั้งหน้าผมจะมาเล่าถึงเทคนิคและวิธีการในการระบุเหตุการณ์ ซึ่งเป็นเรื่องสำคัญที่ผู้บริหารองค์กรควรจะได้ติดตามต่อไปครับ

 

การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์

วันนี้ผมตั้งใจจะมาเล่าเรื่องสัญญาเตือนภัยที่อาจก่อให้เกิดการทุจริตหรือคิดมิชอบในองค์กร (Red Flags) ที่ใช้คอมพิวเตอร์ ถึงแม้องค์กรใดมีคอมพิวเตอร์ใช้เพียงเครื่องเดียว ก็พิจารณาได้ว่าองค์กรนั้นได้ใช้คอมพิวเตอร์แล้ว

เนื่องจากองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะสถาบันการเงินหลายแห่งมีการทุจริตทางด้านคอมพิวเตอร์ที่เปิดเผยแล้วจำนวนหลายธนาคาร และอาจมีบางธนาคารที่ยังไม่พบการทุจริตที่กำลังเกิดขึ้นอยู่แล้วก็ได้ และรวมทั้งระบบ Core Banking หรือ CBS มีจุดอ่อนเป็นอย่างยิ่งในกระบวนการปฏิบัติงาน หรือเรียกว่า Business Process ที่มีผลกระทบสำคัญต่อ Business Objective ในมุมมองต่าง ๆ ตามหลัก Balanced Scorecard ก็เป็นสาเหตุสำคัญประการหนึ่งในการทุจริต และข้อสำคัญก็คือ เกิดปัญหาจาก NPL อันมีสาเหตุสำคัญมาจาก CBS ได้อย่างน่าสนใจ

ผมจะได้นำเสนอ CBS ที่มีผลกระทบต่อ NPL และ NPA และการทุจริตได้ในที่สุด ในมุมมองที่หลากหลายต่อไป แต่เนื่องจากในช่วงเวลานี้ ผมเข้าใจว่า ทางผู้กำกับจากธนาคารแห่งประเทศไทย ในฐานะ Regulators และสถาบันการเงินต่าง ๆ ซึ่งเป็น Operators กำลังหน้าดำคร่ำเครียดกับการตรวจสอบและติดตามสาเหตุของการทุจริตอย่างขะมักขเม้น ผมจึงขอร่วมออกความเห็นในการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์บางมุมมอง ดังต่อไปนี้

ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทในโลกธุรกิจและชีวิตประจำวันในแทบจะทุกองค์กร รวมทั้งมีความสำคัญยิ่งต่อการกำหนดยุทธศาสตร์ในการบริหารงาน การแข่งขันในทุกระดับและเพิ่มศักยภาพที่ต้องการการให้บริการที่พึงพอใจต่อผู้ที่เกี่ยวข้อง (Stakeholders) ทั้งระดับในและระหว่างประเทศ

กลยุทธ์ใหม่กับการพัฒนาระบบงานเทคโนโลยีสารสนเทศขององค์กรและจุดอ่อนที่ก่อให้เกิดการทุจริต
การพัฒนาระบบงานต่าง ๆ ขององค์กรส่วนใหญ่จะมีเทคโนโลยีสารสนเทศเข้ามาเกี่ยวข้องด้วยเสมอ ในยุคของการค้าเสรีและเศรษฐกิจยุคใหม่ ซึ่งการมีการใช้เทคโนโลยีสารสนเทศได้เปลี่ยนโครงสร้างการดำเนินการและการปฏิบัติงานในระดับหลักๆ ขององค์กรซึ่งทวีความซับซ้อนในการปฏิบัติงานตามหลักการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ซึ่งในกระบวนการดังกล่าว มี IT Governance เป็นส่วนหนึ่งขององค์รวมในการบริหารความเสี่ยง การควบคุม และการตรวจสอบโดยใช้ฐานความเสี่ยง (Risk –Based Audit) อยู่ด้วย

ความสำเร็จในการดำเนินงานไปสู่เป้าหมายและวัตถุประสงค์หลักขององค์กรอย่างยั่งยืนนั้น ย่อมต้องการแนวความคิดในรูปแบบใหม่ที่ต้องอาศัยการปรับปรุงและพัฒนาองค์กรให้เหมาะสมกับสภาพแวดล้อมใหม่ของโลกแห่งการเปลี่ยนแปลงและความก้าวหน้าทางเทคโนโลยีสารสนเทศที่อาจจะเป็นปัญหาจากระบบงานมีจุดอ่อนและเป็นปัจจัยหนึ่งที่จะเกิดความเสียหายกับองค์กรจากการทุจริตได้

บรรยากาศในการบริหารความเสี่ยงที่เกี่ยวกับสภาพแวดล้อมของการควบคุมทั่วไป
เป็นทัศนคติและการดำเนินการขององค์กรและฝ่ายบริหารที่ควรชี้บ่งหรือแสดงให้เห็นถึงความสำคัญของการควบคุมภายใน

บรรยากาศในการควบคุมภายใน ซึ่งเป็นกระบวนการหนึ่งขององค์ประกอบการควบคุมภายในพื้นฐานนี้ก่อให้เกิดระเบียบวินัยและโครงสร้างที่เหมาะสมที่จะเอื้ออำนวยให้องค์กรสามารถบรรลุวัตถุประสงค์หลักของระบบงานการตรวจสอบภายในทั้งทางด้าน IT และด้านทั่วไป ซึ่งประกอบไปด้วยวัตถุประสงค์ในการตรวจสอบประสิทธิภาพ ประสิทธิผลการปฏิบัติงาน วัตถุประสงค์ในการตรวจสอบการปฏิบัติตามกฎหมาย นโยบาย ระเบียบ กฏเกณฑ์ ประกาศ คำสั่งต่างๆ ที่เกี่ยวข้อง และวัตถุประสงค์ในการตรวจสอบความถูกต้องของรายงานทางการเงิน และรวมถึงการตรวจสอบเฉพาะกิจ เช่น การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ด้วย เป็นต้น

บรรยากาศในการควบคุมทั่วๆ ไปขององค์กรภายใต้การกำกับดูแลกิจการที่ดีโดยรวมคือ
1) ความน่าเชื่อถือได้และความมีจรรยาบรรณระดับต่าง ๆ ขององค์กร โดยเฉพาะผู้บริหารระดับสูง
2) แนวความคิดของหลักการเชิงกลยุทธ และวิธีการปฏิบัติงานของคณะกรรมการและฝ่ายบริหาร
3) โครงสร้างขององค์กร
4) การมอบหมายอำนาจและความรับผิดชอบในการทำงาน
5) นโยบายและวิธีปฏิบัติในการจัดหาพนักงาน
6) ความสามารถของพนักงานและการสรรหาพนักงานระดับต่าง ๆ
7) กระบวนการควบคุม ซึ่งหมายถึง นโยบายวิธีการดำเนินงานและการลงมือปฏิบัติที่อยู่ในกรอบของการควบคุมและการจัดการความเสี่ยงระดับต่างๆ เพื่อให้มั่นใจว่าความเสี่ยงต่าง ๆ รวมทั้งการทุจริตที่อาจเกิดขึ้นในองค์กร ได้ถูกจำกัดให้อยู่ในระดับที่องค์กรยอมรับได้

โปรดติดตามการตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้ต่อไปนะครับ

 

Standard Performance Measurement and IT Governance เพื่อการวัดความสำเร็จเชิงกลยุทธ์ ตามหลักการ Balance Scorecard

วันนี้ผมจะมาเล่าเรื่องที่คิดว่าน่าสนใจสำหรับผู้บริหาร ผู้ตรวจสอบทางด้าน IT และ Non – IT ในอีกมุมมองหนึ่งที่เกี่ยวข้องกับ IT Governance ที่ใช้ขับเคลื่อน Business ตามหลักการบริหาร 4 มุมมองที่นิยมใช้กันอย่างแพร่หลาย ทั้งนี้ ตามที่ผมให้คำอธิบายความหมายของคำว่า IT Governance มาแล้วว่า ITG ก็คือ ดุลยภาพของกระบวนการบริหารความเสี่ยงและการจัดการด้าน IT เพื่อขับเคลื่อนกลยุทธ์ของโดยรวมองค์กร โดยมีผลตอบแทนที่เหมาะสมยอมรับได้ วัดและประเมินคุณค่าได้ทั้งในปัจจุบันและในอนาคต จาก Performance Measurement ที่พิจารณาจากสินทรัพย์ที่ไม่มีตัวตน หรือ Intangble Asset และสินทรัพย์ที่มีตัวตน หรือ Tangble Asset ในระดับองค์กร

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การมีตัวชี้วัดหรือ KPI ที่เหมาะสมในการวัดคุณภาพการจัดการทางด้าน IT Management และ IT Governance ตามหลัก Balance Scorecard จะช่วยให้ผู้บริหาร และผู้ปฏิบัติงานในระดับต่าง ๆ ขององค์กรมั่นใจและประเมินตนเองได้ว่า องค์กรของตนมีศักยภาพและมีคุณภาพที่เกี่ยวข้องกับประสิทธิภาพและประสิทธิผลในการบริหารจัดการด้านเทคโนโลยีสารสนเทศเพียงใด ซึ่งจะมีประโยชน์อย่างยิ่งในการปรับปรุงตนเองหรือกระบวนการทำงานให้เหมาะสม เพื่อก้าวไปสู่การเติบโตอย่างยั่งยืนตามหลักการของการกำกับดูแลกิจการที่ดี หรือ Corporate Governance ต่อไป

เกณฑ์ที่ใช้วัดอาจพิจารณาได้ดังต่อไปนี้

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

เกณฑ์การวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management หรือการบริหารจัดการสารสนเทศ

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

ขอให้ท่านติดตาม Performance Measurement ในอีก 2 ด้านที่สำคัญตามหลักการ Balance Scorecard คือ การวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT กับการวัดผลการดำเนินงานด้านการจัดการ IT

 

แนวความคิดที่มีเหตุผลในการตั้งชื่อลูกหมีแพนด้า “หลินฮุ่ย” ที่เกี่ยวข้องกับผู้มีผลประโยชน์ร่วม

ในปัจจุบันไม่มีข่าวอะไรที่อ่านแล้วสบายอกสบายใจเท่ากับข่าวหมีแพนด้า “หลินฮุ่ย” ที่เกิดลูกออกมาในประเทศไทย โดยการผสมเทียมได้สำเร็จ ทำให้ไทยเป็นอีกประเทศหนึ่งที่มีชื่อเสียงในด้านที่น่าชื่นชม ซึ่งนาน ๆ จะมีข่าวดีทำนองนี้สักครั้งหนึ่ง

เนื่องจากหมีแพนด้าเป็นสัตว์ที่แพร่พันธุ์ได้ยากมาก แม้ประเทศต่าง ๆ ที่ก้าวหน้าทางวิชาการจะจัดให้มีการผสมเทียมก็ประสบความสำเร็จได้น้อยมาก ดังนั้น ข่าว “หลินฮุ่ย” ออกลูกเป็นตัวแรกในประเทศไทยจึงเป็นข่าวโด่งดังไปทั่วโลก และทำให้คนไทยรู้สึกอิ่มอกอิ่มใจไปตาม ๆ กัน

ข่าวคราวในช่วงนี้ก็คือการตั้งชื่อลูกหมีน้อย ที่เปิดโอกาสให้คนไทยร่วมตั้งชื่อเพื่อชิงรางวัล 1 ล้านบาท โดยผ่านทางไปรษณีย์บัตร ส่ง SMS เพื่อความมีส่วนร่วมกับเกมส์ที่น่ารักแบบนี้ และไม่รู้ว่าจะมีโอกาสดี ๆ แบบนี้อีกเมื่อไหร่

คุณสุวิทย์ คุณกิตติ รม ว.ทรัพยากรธรรมชาติและสิ่งแวดล้อม ได้ไปเจรจาขอขยายเวลาให้หมีแพนด้าอยู่ในประเทศไทยนานขึ้น อย่างน้อยอีกปีครึ่ง ถึง 2 ปี ถึงที่ประเทศจีน และนายประเสริฐศักดิ์ บุญตระกูลทวี หัวหน้าโครงการวิจัยหมีแพนด้าประเทศไทยก็เพิ่งเดินทางกลับจากประเทศจีนไม่นานมานี้ ก็ได้รับการต้อนรับอย่างดีจากผู้แทนของจีน ซึ่งประกอบด้วย รัฐมนตรีช่วยป่าไม้ อธิบดีกรมอนุรักษ์สัตว์ป่า ฯลฯ

การตั้งชื่อลูกหมีแพนด้า ได้ถูกคัดเลือกในเหลือเพียง 4 ชื่อ คือ 1.ไทจีน 2.หญิงหญิง 3.หลินปิง และ 4.ขวัญไท ซึ่งได้จากการคัดรายชื่อที่ส่งมาซ้ำกันมากที่สุด นำออกมาพิจารณาโดยคณะกรรมการที่ถูกแต่งตั้งขึ้นมา และในวันที่ 5 สิงหาคม 2552 จะเป็นวันประกาศชื่อลูกหมีแพนด้าอย่างเป็นทางการ ว่าชื่อใดจะเป็นชื่อที่ได้รับการคัดเลือก

ลูกหมีแพนด้าน้อยที่เกิดจากหลินฮุ่ยกับช่วงช่วง ซึ่งกำลังจะได้ชื่อใหม่ในวันที่ 5 สิงหาคมนี้

ลูกหมีแพนด้าน้อยที่เกิดจากหลินฮุ่ยกับช่วงช่วง ซึ่งกำลังจะได้ชื่อใหม่ในวันที่ 5 สิงหาคมนี้

แนวความคิดในการตั้งชื่อลูกหมีน้อยที่ควรคำนึงถึงผู้คนที่สนใจทั้งในประเทศไทยและในต่างประเทศ โดยเฉพาะประเทศจีนผู้เป็นเจ้าของหมีแพนด้า ทั้ง 3 ตัว นี้ นั่นคือ หลักการและน่าจะเป็นหลักเกณฑ์ที่คณะกรรมการควรมีกรอบในการพิจารณาคัดเลือกชื่อที่เหมาะสมที่สุดเพื่อรับรางวัลชนะเลิศในการประกวดครั้งนี้

การที่ผมมีความคิดว่าควรจะนำ Stakeholders หรือผู้ที่มีผลประโยชน์ร่วมมาพิจารณาด้วย โดยเฉพาะอย่างยิ่ง ประเทศจีนที่เคยได้ออกความเห็นแบบไม่เป็นทางการกับรัฐมนตรีสุวิทย์ คุณกิตติ ระหว่างการเยี่ยมเยือนประเทศจีนว่า ชื่อลูกหมีน้อยที่จะตั้งน่าจะมีชื่อจีนอยู่ด้วย เพื่อแสดงถึงความสัมพันธ์ระหว่างไทย – จีน

นี่คือเหตุผลสำคัญมากที่ควรใช้เป็นหลักในการพิจารณาครั้งนี้ ซึ่งอาจเปรียบเทียบได้กับการบริหารและการจัดการใน Model ใหม่ทางธุรกิจที่เรียกย่อ ๆ ว่า GRC มาจากคำว่า Governance + Risk Management + Compliance ที่ต้องหลอมรวมการบริหารและการจัดการในลักษณะบูรณาการ โดยมีเป้าหมายหลักอยู่ที่ Stakeholders เป็นสำคัญ มิใช่เน้นเฉพาะผู้ถือหุ้นเท่านั้น และความหมายของ Stakeholder นี้มีความหมายกว้างไกลไปถึงบุคคลที่เกี่ยวข้องทั้งในและระหว่างประเทศ สำหรับคำว่า Compliance ก็มีคำจำกัดความใหม่ให้หมายความรวมถึง การปฏิบัติตามมาตรฐาน หรือ Standard ระหว่างประเทศ รวมทั้งการมีจริยธรรมและจรรยาบรรณที่เหมาะสม ++ เพื่อการขับเคลื่อน Governance โดยมีวัตถุประสงค์หลักเพื่อการเติบโตอย่างยั่งยืน ++ ต่อไป

เรื่อง GRC นี้ เป็นเรื่องสำคัญที่ผมจะนำมาขยายความในโอกาสที่เหมาะสมต่อไปนะครับ ทั้งนี้เพราะ GRC ในปัจจุบันนี้เป็น First Priority ของประเทศชั้นนำทั่วโลก เพราะเป็นการลดช่องว่างในภาคการบริหารและการจัดการระดับสูงที่ขาดการประสานงานและการบูรณาการการใช้เทคโนโลยีที่เหมาะสม ++

เมื่อคำนึงถึงหลักการย่อ ๆ ข้างต้นดังกล่าวแล้ว ผมจึงขออนุญาตที่จะออกความเห็นเป็นการส่วนตัวล่วงหน้าว่า ชื่อที่เหมาะสมที่น่าจะได้รับการคัดเลือกเป็นชื่อลูกหมีน้อยแพนด้าในประเทศไทยตัวแรกก็คือ “หญิงหญิง” ทั้งนี้มีเหตุผลโดยย่อดังนี้
1. ชื่อหมีแพนด้าที่มีอยู่ทั่วโลกในปัจจุบันเป็นชื่อ 2 พยางค์ และทั้ง 2 พยางค์นี้ก็เป็นพยางค์ที่ซ้ำกันและเหมือนกันเป็นส่วนมาก เช่น ช่วงช่วง พ่อของลูกหมีแพนด้าผู้โด่งดังตัวนี้
2. ชื่อ “หญิงหญิง” ซึ่งอาจสะกดเป็นอังกฤษว่า “Ying Ying” มีความละม้ายคล้ายกับภาษาจีนที่ออกเสียงได้ว่า “หยิง – หยิง” และหากคนจีนอ่านคำภาษาอังกฤษข้างต้น โดยใช้สำเนียงจีนก็จะได้ชื่อแบบจีน ๆ เต็มรูปแบบ ในขณะเดียวกันภาษาไทยที่ใช้คำว่า “หญิงหญิง” ก็เป็นคำที่อ่านแล้วได้ความในภาษาไทย
3. “หญิงหญิง” หรือ “Ying Ying” เป็นคำที่อ่านและเข้าใจได้ทั้ง 3 ภาษาในคำ ๆ เดียวกัน และน่าจะเป็นที่พอใจของ Stakeholders ทั้งในประเทศและระดับประเทศ โดยเฉพาะประเทศจีน
4. สำหรับชื่อรอง ๆ ลงไป เช่น หลินปิง ผมเข้าใจว่าจะใช้เรียกขานในต่างประเทศได้ไม่สะดวกและจำได้ไม่ง่ายเมื่อเทียบกับชื่อ “Ying Ying” และไม่สามารถอธิบายตามหลักการข้างต้นได้ดีนัก

กรณีของลูกหมีน้อยนี้ ผมเพียงจะให้ข้อสังเกตในแง่มุมของการบริหารเชิงวิชาการ ในมุมมองที่น่าสนใจที่เป็นเรื่องน่ารัก ๆ โดยเอาลูกหมีน้อยมาเป็นบทเรียนก็คือ การบริหารและการจัดการใด ๆ ไม่ว่าจะเรื่องใหญ่สักเพียงใด หรือเรื่องเล็กน้อยเช่นการตั้งชื่อลูกหมี ก็ควรจะคำนึงถึงหลักการที่มีเป้าประสงค์ไปยัง Stakeholders หรือผู้มีผลประโยชน์ร่วมเป็นสำคัญนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

จากครั้งที่แล้วผมได้พูดถึงการกำหนดวัตถุประสงค์ตามหลัก SMART ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในขององค์กร ประการที่ 2 ตามหลัก COSO – ERM ทั้ง 8 ประการ นั่นคือ การกำหนดวัตถุประสงค์ ดังที่ได้เคยกล่าวไว้และแสดงเป็นแผนภาพขั้นตอนของกระบวนการบริหารความเสี่ยงองค์กรในครั้งที่ผ่าน ๆ มา สำหรับวันนี้ก็จะยังคงกล่าวถึงเรื่องราวของวัตถุประสงค์ การเลือกหรือการกำหนดวัตถุประสงค์กับความเสี่ยงที่องค์กรยอมรับได้ ในกระบวนการที่ 2 ของการกำหนดวัตถุประสงค์อยู่นั่นเอง

วัตถุประสงค์ที่เลือก
ในส่วนของการบริหารความเสี่ยงขององค์กร ผู้บริหารควรมั่นใจว่าองค์กรได้เลือกวัตถุประสงค์และพิจารณาว่าจะสนับสนุนกลยุทธ์ พันธกิจ และวิสัยทัศน์ขององค์กรได้อย่างไร วัตถุประสงค์ขององค์กร ควรไปในแนวทางเดียวกับความเสี่ยงที่ยอมรับได้ขององค์กร การไม่ไปในแนวทางเดียวกันจะส่งผลต่อองค์กรทำให้ไม่สามารถรับความเสี่ยงได้เพียงพอที่จะบรรลุวัตถุประสงค์ หรือในทางกลับกันการยอมรับความเสี่ยงที่ไม่เหมาะสมก็ส่งผลต่อการบรรลุวัตถุประสงค์เช่นกัน การบริหารความเสี่ยงขององค์กรทั่วไปที่มีประสิทธิภาพจะไม่บังคับให้ผู้บริหารเลือกวัตถุประสงค์ แต่ผู้บริหารจะมีขั้นตอนที่ทำให้วัตถุประสงค์กับวิสัยทัศน์และกลยุทธ์ไปในแนวทางเดียวกัน และทำให้วัตถุประสงค์ที่ได้เลือกมีความยั่งยืนด้วยความเสี่ยงที่ยอมรับได้ขององค์กร

ความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้เป็นสิ่งที่ใช้เป็นแนวทางในการกำหนดกลยุทธ์ ถูกกำหนดโดยผู้บริหารและทบทวนโดยคณะกรรมการบริหาร อาจอธิบายได้ว่าความเสี่ยงที่ยอมรับได้เป็นความสมดุลระหว่างความเติบโต ความเสี่ยงและผลตอบแทน ไม่ใช่เพื่อผลกำไร หรืออธิบายได้ว่าเป็นระดับของความเสี่ยงที่ยอมรับเพื่อสร้างคุณค่าให้กับผู้มีผลประโยชน์ร่วม ความเสี่ยงที่ยอมรับได้สามารถนำมาใช้เพื่อกิจกรรมต่าง ๆ ดังนี้

– ใช้เพื่อการสื่อสารให้องค์กรทราบถึงความเสี่ยงที่องค์กรยอมรับได้
– ใช้กำหนดค่าหรือปัจจัยที่ใช้ในกระบวนการวางแผนเพื่อใช้ในการกำหนดค่าความแตกต่างหรือความเบี่ยงเบนที่ควรจะเป็นระหว่างผลลัพธ์จริงกับแผนงานที่กำหนดไว้
– ใช้ในการสื่อสารคุณค่าขององค์กรที่ทำให้เกิดการสร้างวัฒนธรรมความเสี่ยงอย่างต่อเนื่อง

ความเสี่ยงที่ยอมรับได้ขององค์กรสามารถแสดงได้ทั้งในเชิงคุณภาพและเชิงปริมาณ หรือแสดงได้ทั้งสองรูปแบบดังนี้
– ความสมดุลระหว่างอัตราการเจริญเติบโต ความเสี่ยง และผลตอบแทน
– การเพิ่มมูลค่าให้กับผู้มีผลประโยชน์ร่วม
– ข้อจำกัดและแนวทางสำหรับการปฏิบัติงานทั่วไป
– ต้นทุนทางเศรษฐกิจ โดยคำนวณจากระดับความเชื่อมั่นและระยะเวลาที่กำหนด

ความเสี่ยงที่ยอมรับได้มีความสัมพันธ์กับกลยุทธ์ขององค์กร โดยทั่วไปกลยุทธ์ที่มีความแตกต่างกันสามารถออกแบบให้บรรลุความเติบโตและเป้าหมายที่ปรารถนาได้ ซึ่งแต่ละกลยุทธ์ก็มีความเสี่ยงที่แตกต่างกัน การบริหารความเสี่ยงขององค์กรประยุกต์ใช้ในการตั้งกลยุทธ์ ช่วยผู้บริหารเลือกกลยุทธ์ที่มีความมั่นคงโดยการใช้ความเสี่ยง ถ้าความเสี่ยงที่ร่วมกับกลยุทธ์ไม่มีความมั่นคงกับความเสี่ยงที่ยอมรับได้ กลยุทธ์จะต้องถูกแก้ไข กรณีนี้อาจเกิดขึ้นเมื่อผู้บริหารสร้างกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ขององค์กรมากเกินไป หรือกลยุทธ์ไม่สามารถรวมเอาความเสี่ยงที่เพียงพอจะให้องค์กรบรรลุผลสำเร็จในวิสัยทัศน์และภารกิจได้

ความเสี่ยงที่ยอมรับได้ขององค์กรจะถูกสะท้อนในรูปของกลยุทธ์ขององค์กร ซึ่งจะนำไปในรูปของการจัดสรรทรัพยากร ผู้บริหารจัดสรรทรัพยากรข้ามหน่วยธุรกิจหรือข้ามสายงาน โดยใช้การพิจารณาความเสี่ยงที่ยอมรับได้และแผนกลยุทธ์ของแต่ละธุรกิจในการคืนผลตอบแทนในการลงทุน

ดังนั้น การกำหนด Risk Appetite ของฝ่ายงานจากแผนงานต่าง ๆ จึงต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ที่สะท้อนหลักการดังกล่าวข้างต้น

ระดับความเสี่ยงที่ยอมรับได้
ระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) คือ ระดับที่ยอมรับได้ของความผันแปรจากเกณฑ์หรือประเภทของความเสี่ยงที่ยอมรับได้ เพื่อให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ ระดับความเสี่ยงที่ยอมรับได้สามารถวัดผลได้ และบ่อยครั้งเป็นการวัดผลที่ดีที่สุดในหน่วยเดียวกันในฐานะที่เป็นวัตถุประสงค์ที่สัมพันธ์กัน ทั้งนี้ ระดับความเสี่ยงที่ยอมรับได้อาจถูกกำหนดเป็นเป้าหมายความเสี่ยงหรือระดับจำกัดความเสี่ยง

การวัดผลงานถูกวางไว้เพื่อช่วยให้มั่นใจว่าผลที่เกิดขึ้นจริงจะอยู่ภายในระดับความเสี่ยงที่ยอมรับได้ในการตั้งระดับความเสี่ยงที่ยอมรับได้ ผู้บริหาร องค์กร ต้องพิจารณาความสำคัญของวัตถุประสงค์ที่สัมพันธ์กันและวางระดับความเสี่ยงที่ยอมรับได้ไปแนวทางเดียวกับความเสี่ยงที่ยอมรับได้ การปฏิบัติการภายในระดับความเสี่ยงที่ยอมรับได้ทำให้ผู้บริหารมั่นใจเพิ่มขึ้นว่า องค์กร ยังคงมีความเสี่ยงที่ยอมรับได้และจะบรรลุวัตถุประสงค์ได้อย่างแน่นอน

แผนการบริหารความเสี่ยงและระดับความเสี่ยงที่องค์กรยอมรับได้

แผนการบริหารความเสี่ยงและระดับความเสี่ยงที่องค์กรยอมรับได้

 

Control Self Assessment – CSA กับการควบคุมความเสี่ยงจากการทุจริตและบทบาทของผู้บริหาร

มีท่านผู้อ่านจำนวนหนึ่งกำลังติดตามความคืบหน้าของการเปิดเผยข้อมูล จากการทุจริตของสถาบันการเงินต่าง ๆ ที่อยู่ระหว่างการเปิดเผยของผู้บริหารระดับสูงขององค์กรเหล่านั้น ซึ่งท่านผู้อ่านอาจจะติดตามได้โดยตรง สำหรับผมเพียงแต่จะให้ข้อสังเกตบางมุมมองของการป้องกันความเสี่ยงในเชิงรุก และการติดตามช่องว่างที่เป็นจุดเปิดที่อาจก่อให้เกิดการทุจริตได้ (Exposure) โดยให้หน่วยงานที่เกี่ยวข้องกับสถาบันการเงินต่าง ๆ ร่วมกับสถาบันการเงินนั้น ๆ ทำการประเมินตนเองว่าองค์กรของตนมีความพร้อม หรือมีจุดอ่อนอะไรบ้าง ที่อาจเกิดจาก People Risk – P, Process Risk – P, และ Technology Risk – T ซึ่งเป็นองค์รวมหลักของ Operational Risk ของทุกองค์กร

สำหรับวันนี้ ผมขอ update ข้อมูลซึ่งหลุดหายไปจากระบบ จากการที่ผมได้เล่าสู่กันฟังเมื่อวันที่ 6 มิถุนายน 2552 ผมขอเริ่มต้นใหม่ที่มีเนื้อหาไม่แตกต่างกับหลักการเดิมที่ได้ให้ข้อสังเกตไปแล้ว โดยเน้นเทคนิคการตั้งคำถาม เพื่อหาคำตอบ และตั้งคำถามใหม่จากคำตอบนั้น ๆ จนบรรลุเป้าหมายการทำ CSA ตามที่ต้องการ ลักษณะการทำ CSA ที่จะกล่าวในวันนี้ จะเน้น Control – Based เป็นหลัก จากหลักการทำ CSA ซึ่งอาจมีได้หลายรูปแบบด้วยกันก็คือ Objective – Based, Risk – Based, Process Based, Situational Based หรือ Sceanario – Based สำหรับการทำ CSA ที่นอกเหนือจาก Control – Based จะนำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไป

แนวความคิดเพื่อสร้างความเข้าใจของกระบวนการทุจริตที่อาจเริ่มต้นจากกฎหมาย นโยบาย ++

แนวความคิดเพื่อสร้างความเข้าใจของกระบวนการทุจริตที่อาจเริ่มต้นจากกฎหมาย นโยบาย ++

คำถามบางประการในการทำ CSA แบบ Control – Based มีดังนี้

ระบบงานคอมพิวเตอร์ที่ควรทราบเบื้องต้น
– องค์กรใข้คอมพิวเตอร์ระบบ Centralize On-Line / ระบบรวมศูนย์ แบบOn-Line หรือระบบ Decentralize/ระบบกระจายศูนย์ (ซึ่งจะมีผลต่อกระบวนการทำงาน การบริหารความเสี่ยง การควบคุมภายในและ กระบวนการตรวจสอบที่แตกต่างกันไป +++ (อาจมีคำถามต่อเนื่องได้อีกมาก)

ผมมีข้อสังเกตเบื้องต้นว่า เมื่อระบบงานขององค์กรส่วนใหญ่ใช้คอมพิวเตอร์เข้าช่วยในการประมวลผล เช่น สถาบันการเงินหรือองค์กรใดก็ตามที่มีการประมวลผลโดยใช้คอมพิวเตอร์เป็นหลัก กระบวนการควบคุมต่างๆก็ใช้ระบบคอมพิวเตอร์เป็นหลัก หลักฐาน++ก็ล้วนเป็น Digital เป็นส่วนใหญ่ ซึ่งต้องการร่วมมือและประสานงาน อย่างใกล้ชิดระหว่าง IT Auditor & Non-IT Auditor ดังเช่นกรณีศึกษา ของการทุจริต VSRS

แนวความคิดและกระบวนการตรวจสอบเปลี่ยนแปลงไปอย่างสิ้นเชิงนั้น การตั้งคำถามเพื่อประเมินการควบคุมภายใน จากการบริหารความเสี่ยงอย่างเป็นกระบวนการ น่าจะได้ผลอย่างจำกัด ถ้าไม่มีความร่วมมืออย่างใกล้ชิด ระหว่าง IT Auditor & Non-IT Auditor อย่างเป็นกระบวนการและเข้าใจจริงของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

ในวันนี้ผมจะยังไม่ลงรายละเอียดในเรื่อง Process Risk และ Technology Risk ซึ่งเกี่ยวข้องกับกับการรวบรวมข้อมูล และจุดอ่อนในการดำเนินงาน ที่ก่อให้เกิดการทุจริตต่างๆในวงการสถาบันการเงิน แต่จะให้ข้อสังเกตทั่ว ๆไป ที่น่าจะมีการสอบถามเพื่อการประเมินตนเอง / CSA เกี่ยวกับความพร้อมในระบบงานเพื่อป้องกันการทุจริต ซึ่งควรจะเริ่มต้นด้วยการทำ CSA ด้าน IT เสมอ!

– ระบบคอมพิวเตอร์ที่ใช้อยู่ในปัจจุบันมีความเสถียรเพียงใด หรืออยู่ระหว่างการปรับเปลี่ยน Core Banking System- CBS ที่ยังไม่เสถียรและมีปัญหา++++ (อาจมีคำถามต่อเนื่องได้อีกมากและมีผลต่อการประเมินความเสี่ยง การควบคุมภายใน หลักฐานและกระบวน การตรวจสอบตามมา)
-องค์กรมีนโยบายและบทลงโทษการทุจริต และมีการกำหนด Risk Appetite & Risk Tolerance จากการทุจริตภายในและภายนอกชัดเจน ถูกต้องตามหลักการ ERM
-มีหลักฐานการตรวจสอบการปฎิบัติตามนโยบาย และระเบียบข้อบังคับที่กำหนด
– องค์กรมีการทดสอบ ระเบียบห้ามพนักงานรับฝากสมุดคู่ฝากของลูกค้า และห้ามหรือให้ทำรายการถอนเงินโดยไม่มีสมุดคู่ฝากอย่างมีเงื่อนไข ที่ควบคุมได้โดยระบบ IT & Non-IT
– องค์กรมีระเบียบห้ามพนักงานทำรายการฝากถอนเงินแทนลูกค้า และมีระบบติดตาม
– องค์กรมีการติดตามและตรวจสอบ การกำหนดวงเงิน อำนาจ ในการทำรายการฝากถอน และโอนเงินของพนักงาน Teller อย่างเหมาะสม มีหลักฐานและรายงานชัดเจน
– องค์กรมีระเบียบปฏิบัติในการเปิดปิดเครื่อง Terminal การกำหนดช่วงเวลาในการเปิดปิดเครื่อง และการหยุดใช้งาน หรือเปลี่ยนแปลง Teller ประจำเครื่องระหว่างวัน
– องค์กรมีการทดสอบและตรวจสอบระเบียบการปฏิบัติงานเกี่ยวกับการใช้รหัสหรือบัตรผ่านแสดงตัวผู้ปฏิบัติงาน รหัสผ่านหรือรหัสอนุมัติรายการ รวมถึงกรณีมีการปฏิบัติงานทดแทนกัน เช่น ห้าม Authorize แจ้งรหัสผ่านให้ผู้อื่นทราบ และกำหนดให้เปลี่ยนรหัสที่เหมาะสม
– องค์กรมีการติดตามและตรวจสอบ การควบคุมเอกสารที่เกี่ยวกับเงินฝาก เช่น ใบคำขอเปิดบัญชี บัตรลายมือชื่อ ใบรับฝาก (NCD) สมุดคู่ฝากที่ยังไม่ได้ใช้อย่างรัดกุม โดยมีการกำหนดตัวผู้ดูแลรักษา เอกสารมีการ Running Number มีทะเบียนคุม มีการตรวจสอบบัญชีที่เปิดใหม่กับสมุดเงินฝากที่ถูกเบิกใช้ให้ตรงกันทุกวัน และตรวจนับสมุดคู่ฝากทุก 6 เดือน
– องค์กรมีระเบียบ หรือคำสั่ง ห้ามนำเอกสารที่เกี่ยวกับเงินฝากไปรับฝากนอกสถานที่ทำการเว้นแต่ได้รับอนุญาตจากผู้จัดการสาขาหรือผู้มีอำนาจที่เกี่ยวข้อง
– องค์กรจัดให้มีการติดตามและตรวจสอบ การทำรายการฝาก ถอนเงินสดหรือการโอนเงินเกินอำนาจ Teller ต้องมีผู้มีอำนาจอนุมัติรายการและต้องอนุมัติรายการด้วยตนเองไม่มีการให้ยืมบัตรผ่านรายการหรือบอกรหัสผ่านให้ทราบ รวมทั้งมีการกำหนดวงเงินสดที่ Teller สามารถถือครองได้ระหว่างวัน และมีหลักฐานรวมทั้งรายงานการตรวจสอบที่เกี่ยวข้อง
– องค์กรจัดให้มี การสุ่มบัญชีเงินฝากเพื่อส่งใบยืนยันยอดเงินฝากทุกประเภทเป็นครั้งคราว หรืออย่างน้อยทุก 6 เดือน
– องค์กรจัดให้มีการควบคุมและการตรวจสอบ การระเบียบวิธีปฏิบัติเกี่ยวกับบัญชีที่ขาดการติดต่อ (unclaim) ไว้อย่างรัดกุมชัดเจน และอยู่ในการควบคุมดูแลของเจ้าหน้าที่บริหาร
– การแก้ไขรายการ การปรับปรุงรายการต่าง ๆ เช่น การยกเลิกรายการฝากถอน ควรมีการตรวจทาน ควบคุมและได้รับการอนุมัติจากผู้มีอำนาจ รวมทั้งมีรายงานเพื่อควบคุมตรวจสอบรายการที่มีการแก้ไข และติดตามผลกระทบที่เกิดขึ้นจากการปฎิบัติดังกล่าว
– มีการตรวจสอบ การทำรายการโอนเงินถึงความถูกต้องของข้อมูลและเอกสาร รวมทั้งการอนุมัติรายการ หากมีรายการต้องสงสัย และมีระเบียบให้รายงาน ปปง.ทราบ
– องค์กรจัดให้มีมีระเบียบ วิธีปฏิบัติเกี่ยวกับการจัดเก็บเอกสารสำคัญของลูกค้าเงินฝาก เช่น ตัวอย่างลายมือชื่อ คำขอเปิดบัญชี ไว้ในที่ปลอดภัย รวมทั้งมีผู้รับผิดชอบ
– องค์กรจัดให้มีระเบียบปฏิบัติให้พนักงานแนะนำลูกค้าเงินฝากเกี่ยวกับความปลอดภัยของเงินฝากและเงินเบิกเกินบัญชี
– องคืกรมีข้อกำหนดเกี่ยวกับการเปิดบัญชีเงินฝากของพนักงาน และการควบคุมดูแล
– มีระเบียบ ห้ามเจ้าหน้าที่อื่นที่ไม่ใช่ Teller มาทำหน้าที่ รับ-จ่ายเงินกับลูกค้า
– มีการพิสูจน์ความถูกต้องของการทำรายการเงินฝากของ Teller แต่ละคน และเงินฝากรวมของสาขา ณ สิ้นวัน โดยมีหลักฐานและการรายงานอย่างเหมาะสม

ความเข้าใจและการรวบรวมข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมและองค์ประกอบของการตรวจสอบการทุจริต

ความเข้าใจและการรวบรวมข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมและองค์ประกอบของการตรวจสอบการทุจริต

– เงินฝากที่มีภาระการคำประกัน ควรอายัดทั้งเงินต้นและดอกเบี้ย และมีระบบงานรวมทั้งมีข้อมูลการอายัดชัดแจ้ง และ มีการจัดทำทะเบียนเงินฝากที่มีภาระอย่างรัดกุม

– การปลด (Hold)ภาระเงินฝาก ต้องมีกระบวนการตรวจสอบว่าปลอดภาระจริง โดยเฉพาะเงินฝากที่ค้ำประกันสินเชื่อ เจ้าหน้าที่สินเชื่อจะต้องทำการยกเลิกวงเงินสินเชื่อก่อน และมีหัวหน้าสินเชื่อตรวจสอบความถูกต้อง และต้องได้รับอนุมัติจากผู้จัดการสาขา
– มีการกำหนดหลักเกณฑ์และระบบงาน เงินฝากที่ค้ำประกันสินเชื่อเป็นการค้ำประกันทั้งบัญชีเพื่อไม่ให้มีการมาถอนส่วนที่ปลอดภาระในภายหลัง รวมทั้งจัดให้มีการรายงานอย่างเหมาะสม

– มีการกำหนดให้รายการที่มีนัยสำคัญหรือเกินอำนาจอนุมัติต้องผ่านการอนุมัติจากผู้จัดการสาขาหรือผู้รับมอบอำนาจอย่างเหมาะสม
– ผู้จัดการสาขามีระบบงานที่ใช้ในการติดตามการปฏิบัติงานของสาขาสำหรับรายการที่สำคัญต่าง ๆ ที่เพียงพอเช่น

– รายการที่ทำโดยผ่านรหัสของผู้จัดการสาขา
– รายการที่เกิดขึ้นหรือการเข้าระบบงาน (Sign on) หลังเวลาทำการ
– รายงานการปรับปรุงดอกเบี้ย
– รายงานการทำรายการที่เกินอำนาจ Teller
– รายงานการแก้ไขรายการ
– รายการฝากถอนเงินที่เกิน 1 ล้านหรือที่สำนักงานใหญ่หรือสาขาไม่เกินข้อ กำหนด

– มีการทดสอบกล้องวงจรปิดครอบคลุมจุดสำคัญของสาขา เช่น ห้องมั่นคง และมีการตรวจเช็คการทำงานของเครื่องอย่างสม่ำเสมอ รวมทั้งมีการเก็บบันทึกข้อมูลเป็นระยะเวลาที่กฎหมายกำหนด และรายงานผลอย่างเหมาะสม
– จัดให้มีการกำหนดผู้รับผิดชอบเปิดปิดสาขา และควบคุมการใช้สถานที่ทำงานนอกเวลาทำการและการเข้าถึงเครื่องรับ-ส่งข้อมูล

– สำนักงานใหญ่ควรดูแลสาขามีการตรวจสอบการปฏิบัติงานของสาขาไตรมาสละ 1 ครั้ง เพื่อตรวจสอบความถูกต้องครบถ้วนของเอกสาร และนิติกรรมสัญญาของการฝาก-ถอนเงิน การอนุมัติรายการ การแก้ไขรายการต่างๆ
– ต้องมีระบบการติดตามการปฏิบัติงานของผู้จัดการสาขา เช่น การตรวจสอบรายการที่มีนัยสำคัญ โดยเฉพาะรายการการโอนเงินไปยังบัญชีเดียวกันไม่ว่าภายในธนาคารเดียวกันหรือต่างธนาคาร
– องค์กรควรจัดให้ผู้ตรวจสอบ มีการ Surprise Check พนักงาน Teller ในการปฏิบัติตามระเบียบ

การเปลี่ยนแปลงกระบวนความคิดเพื่อหาหลักฐานการตรวจสอบในการสร้างคุณค่าเพิ่ม รวมทั้งการตรวจสอบการทุจริต

การเปลี่ยนแปลงกระบวนความคิดเพื่อหาหลักฐานการตรวจสอบในการสร้างคุณค่าเพิ่ม รวมทั้งการตรวจสอบการทุจริต

– องค์กรควรจัดให้มีการตรวจสอบการปฏิบัติงานของเจ้าหน้าที่เกี่ยวกับการฝากถอนเงินให้เป็นไปตามระเบียบที่กำหนดข้างต้น และติดตามรายงานประจำวันโดยใกล้ชิด เอาใจใส่จริงจัง
– ตรวจสอบความถูกต้องของข้อมูลและการควบคุมความครบถ้วนของเอกสารสัญญาที่เกี่ยวกับการเปิดบัญชี และการฝาก-ถอนเงิน
– ตรวจสอบการเบิกใช้สมุดคู่ฝาก รวมทั้งการเก็บรักษาสมุดคู่ฝากที่ยังไม่ใช้
– ตรวจสอบการปฏิบัติหน้าที่แทนกันตามหลักเกณฑ์ที่กำหนดไว้
– มีการระบุเรื่องการตรวจสอบบัญชีพนักงานอยู่ในขอบเขตการตรวจสอบ
– มีระบบงานตรวจจับรายการผิดปกติ ทั้งในระบบ Manual และระบบ Automated เช่น
– การทำรายการฝากถอนบัญชีของพนักงานสาขา
– การฝากและถอนเงินเป็นจำนวนใกล้เคียงกันในลูกค้ารายเดียวกันในวันเดียวกัน
– การฝาก ถอน โอนเงิน จำนวนสูงในบัญชี ซึ่งไม่เคยเกิดรายการลักษณะนี้
– การฝากและถอนเงินต่างสาขาหลายสาขา หรือ หลายครั้งในวันเดียวกัน
– การฝากเงิน ถอนเงิน และการโอนเงินที่มีความถี่ผิดปกติ
– การทำรายการนอกเวลาทำการ
– การกำหนดและจัดทำ Business Rules เพื่อป้องกันการทุจริตโดยอาศัย Logic
ที่อาจเกิดกิจกรรมที่เป็นช่องเปิดของจุดอ่อนและการทุจริต( Exposure )ได้
โดยติดตามพฎติกรรม จากการใฃ้ เครื่อง Terminal ของพนักงานและผู้บริหาร
ซึ่งควรรวมกิจกรรมที่ผิดกฎหมายและ Compliance ต่างๆ และส่งรายงานอย่าง
เป็น ระบบ ก่อนที่จะมีปัญหาเกิดขึ้น
– จัดให้มีการสอบทานการบันทึกบัญชี การจ่ายดอกเบี้ย การยืนยันยอด การกระทบยอดบัญชี
– จัดให้มีการตรวจสอบดอกเบี้ยจ่ายที่สูงผิดปกติ หรือค่าธรรมเนียมรับที่เกี่ยวกับเงินฝากที่ต่ำผิดปกติเมื่อเทียบกับช่วงเวลาที่ผ่านมา หรือไม่สัมพันธ์กับยอดเงินฝาก
– เมื่อพบการทุจริตได้มีการตรวจสอบรายการลักษณะเดียวกันทั้งระบบ ในกรณีที่องค์กรใช้ระบบ Centralize On-line ก็อาจสรุปได้ทันทีว่าสำนักงานหรือสาขาอื่น ก็มีโอกาสที่จะกระทำการทุจริตได้เช่นกัน เพราะใช้ระบบงาน และกระบวนการทำงานแบบเดียวกัน
– มีช่องทางการรับเรื่องร้องเรียนจากลูกค้า รวมทั้งช่องทางที่ให้พนักงานธนาคารชี้เบาะแส โดยไม่เปิดเผยชื่อผู้ร้องเรียน
– มีการกำหนดหน่วยงานที่ทำหน้าที่ติดตาม ตรวจสอบ ดูแลเรื่องร้องเรียนอย่างชัดเจน และมีกำหนดเวลาดำเนินการไว้ชัดเจน (จะได้นำเสนอโดยละเอียดต่อไป)
– มีการกำหนดให้มีการสับเปลี่ยนเจ้าหน้าที่ปฏิบัติงานระหว่างสาขา เช่นสับเปลี่ยนหมุนเวียนผู้จัดการสาขาทั่วประเทศ
– มีข้อบังคับให้เจ้าหน้าที่หยุดพักผ่อนต่อเนื่องตามจำนวนวันที่องค์กรกำหนด
– มีวิธีการดูแลความเป็นอยู่หรือพฤติกรรมของพนักงาน
– มีบุคคลที่ชำนาญการและมีประสบการณ์คอยให้คำแนะนำเจ้าหน้าที่อื่น
– การกำหนดหน้าที่ Teller แยกจากพนักงานการเงิน และผู้ทำหน้าที่เปิดบัญชี
– มีระเบียบปฏิบัติและการควบคุม เกี่ยวกับการทำงานผ่านระบบงานนอกเวลาทำการ
– มีการฝึกอบรมพนักงานให้มีความตื่นตัว มีความรู้ และมีส่วนร่วมในการป้องกันการทุจริต รวมทั้งให้เบาะแสเมื่อมีการปฏิบัติผิดปกติเกิดขึ้นในสาขา
– มีข้อกำหนดบทลงโทษพนักงานที่รู้เห็นการกระทำทุจริตแล้วไม่แจ้งเบาะแส แม้จะไม่มีส่วนเกี่ยวข้องกับการกระทำทุจริตนั้น
– ผู้ตรวจสอบควรมีความรู้ในการตรวจสอบ Log-file
– ควรมีการประสานงานการตรวจสอบระหว่าง IT Auditor และ Non-IT Auditor อย่างใกล้ชิด
– ควรตรวจสอบและดูแล การใฃ้ Super Password และ Super ID อย่างใกล้ชิดและด้วยความเข้าใจจริงถึงผลการใช้ รหัสพิเศษ ว่าทำให้องค์กรเสียหายได้อย่างคาดไม่ถึง

กรอบแนวการทำ CSA ดังกล่าวข้างต้น อาจใช้เป็นการประเมินตนเองเพื่อปรับปรุงการบริหารความเสี่ยงและการควบคุมภายในให้ดีขึ้นได้บางส่วน ทั้งก่อนและหลังจากที่องค์กรมีปัญหาได้ในทั้ง 2 กรณี ทั้งนี้ขึ้นกับวัตถุประสงค์ในการทำ Control Self Assessment – CSA และการทำ CSA ดังกล่าวก็มีประโยชน์กับทั้งผู้บริหาร และทั้งผู้ตรวจสอบภายในเป็นอย่างยิ่ง หากผู้อำนวยความสะดวก (Facilator) เข้าใจในกระบวนการบริหารความเสี่ยง การควบคุมภายในของหน่วยงานของตน ที่สัมพันธ์กับเป้าประสงค์และกลยุทธ์ระดับองค์กรเป็นอย่างดี มิฉะนั้นการทำ CSA ก็จะไม่ได้ผลเท่าที่ควร และจะมีปัญหาแบบลูกโซ่ต่อไปไม่มีที่สิ้นสุด

ประเด็นที่น่าเป็นห่วงที่สุดก็คือ การทำ CSA ภายในระดับสายงานหรือระดับฝ่ายงาน หรือ Business Unit ผู้ดำเนินการไม่เข้าใจกระบวนการทำงาน และกิจกรรมที่เกี่ยวข้องกับ Business Process ระดับองค์กร ซึ่งรวมถึงกระบวนการที่เกี่ยวข้องกับการจัดการเทคโนโลยีสารสนเทศ ทั้งในระดับสายงานของตนและในระดับองค์กร เท่าที่ควรจะเป็น ทำให้การระบุกิจกรรมที่ก่อให้เกิดความเสี่ยงที่ต้องการควบคุม ทั้งในระดับสายงาน ซึ่งมีความสัมพันธ์กันอย่างใกล้ชิดกับระดับองค์กร เพื่อก้าวไปสู่ Business Objective ขององค์กรนั้นไม่ได้ผลเท่าที่ควร

ในครั้งต่อไป ผมจะพูดถึงเรื่องการตรวจสอบการทุจริต หลังจากนั้นแล้วผมจะนำเสนอเรื่องวิธีการประเมินตนเองเพื่อการบริหารความเสี่ยงและการควบคุมภายใน (CSA – Control Self Assessment) ที่เป็นรายละเอียดมากขึ้น เพื่อนำไปสู่การปฏิบัติที่เป็นรูปธรรมได้ในที่สุด

 

ปัจจัยแห่งความสำเร็จและแนวความคิดทางด้าน IT Governance บางประการ

การสร้างคุณค่าเพิ่มให้กับองค์กรเพื่อผลประโยชน์ของ Stakeholders ซึ่งแน่นอนว่าได้รวม Shareholders เข้าไปด้วยแล้วนั้น จะประสบความสำเร็จเป็นรูปธรรมได้ก็ต่อเมื่อคณะกรรมการ และผู้บริหารต้องส่งสัญญาณและแนวทางที่ชัดเจนในการขับเคลื่อนองค์กร โดยใช้หลักการการกำกับดูแลกิจการที่ดี หรือ CG ควบคู่กันไปกับ IT Governance ซึ่งแยกกันไม่ได้ตามที่ได้กล่าวมาในครั้งก่อน ๆ แล้ว

แนวความคิดที่จะนำไปสู่การปฏิบัติในการขับเคลื่อน CG ควบคู่กันไปกับ ITG ในมุมมองโดยรวม มีดังนี้

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

จุดมุ่งหมายของการประกอบธุรกิจที่ดีด้วย Information Technology (IT)
1.สามารถลดต้นทุนและเพิ่มประสิทธิภาพในการดำเนินกิจการ
2.สร้างแนวทางในการหารายได้ใหม่ ๆ
3.สนองตอบความต้องการขององค์กร
4.สร้างมูลค่าเพิ่มให้กับองค์กร
5.สร้างรูปแบบใหม่ในการดำเนินธุรกิจขององค์กร
6.สร้างความสามารถในการแข่งขันด้วย ITG

ปัจจัยแห่งความสำเร็จ
1. ควรคำนึงถึงตลอดเวลาว่า IT เป็นส่วนหนึ่งขององค์กรและกลยุทธ์ การดำเนินงานทางด้าน IT เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดี

2. รับรู้ปัญหาทางด้าน IT และวิธีการที่ฝ่ายจัดการว่าจ้างผู้เชี่ยวชาญภายนอกเข้ามาช่วยแก้ไขปัญหา รวมทั้งความเสี่ยงคงเหลือขององค์กร

3. การกำหนดวัตถุประสงค์ รายละเอียด และการนำ IT ไปใช้ ควรมีพื้นฐานมาจากความต้องการขององค์กร ด้วยความคิดที่เป็นระบบ และมีขั้นตอน

4. ควรพิจารณาแต่งตั้งสมาชิกในคณะกรรมการตรวจสอบที่มีความรู้ทางด้าน IT และความเสี่ยงทางด้าน IT รวมทั้ง IT Governance

5. ทรัพยากรทางด้าน IT ขององค์กร สามารถทำงานร่วมกับองค์กรอื่นได้เป็นอย่างดี องค์กรอาจถูกผลักดันจากพันธมิตร หรือคู่ค้าทางด้าน IT

6. เป้าหมายและการดำเนินการตามกลยุทธ์ ควรนำเทคโนโลยีมาใช้เพื่อเป็นการใช้ทรัพยากรที่มีอยู่อย่างคุ้มค่า และมีความสามารถที่จะสนองตอบความต้องการขององค์กรได้อย่างมีคุณภาพสูงสุด

7. การสื่อสารระหว่างฝ่ายจัดการและผู้ตรวจสอบ เพื่อสร้างวัฒนธรรมการปฏิบัติงานใหม่ ๆ ควรเป็นไปอย่างสะดวก ไม่มีขั้นตอนที่ยุ่งยาก

8. ระเบียบวิธีปฏิบัติที่ถูกกำหนดขึ้น ควรเป็นความเห็นร่วมกันระหว่างฝ่ายจัดการและคณะกรรมการขององค์กร และเป็นไปตามกฎหมายที่เกี่ยวข้องและลงนามโดยฝ่ายจัดการ

9. กลยุทธ์ในการจัดการที่กำหนดให้มีขึ้น ควรคำนึงถึงวัตถุประสงค์ของ IT ได้แก่ กลยุทธ์ทางด้าน IT ที่ควรสอดคล้องกับกลยุทธ์สู่เป้าหมายต่าง ๆ ขององค์กร ระยะเวลาการส่งมอบการบริหารความเสี่ยงและประสิทธิภาพการบริหาร โดยผู้บริหารและผู้ปฏิบัติงานควรมีความเข้าใจในเรื่อง IT

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

กลไกในการใช้ IT Governance เป็นตัวผลักดันประสิทธิภาพและการจัดการที่ดี
1. ความถี่ของการรายงานจุดควบคุมความเสี่ยงและข้อเสนอแนะต่อ คณะกรรมการขององค์กร
2. การลดต้นทุนค่าใช้จ่าย การเพิ่มประสิทธิภาพของกระบวนการปฏิบัติงานทางด้าน IT โดยการเชื่อมโยงระบบต่าง ๆ เข้าด้วยกัน
3. สร้างความหลากหลายในการประกอบธุรกิจด้วย IT
4. เพิ่มอรรถประโยชน์ของทรัพยากรทางด้าน IT ที่มีอยู่
5. เพิ่มความพึงพอใจให้แก่พนักงานผู้มีผลประโยชน์ร่วมทุกฝ่าย
6. ปรับปรุงวิธีการทำงานและความรับผิดชอบของผู้ปฏิบัติงานที่มีส่วนเกี่ยวข้องกับ IT ทั้งทางตรงและทางอ้อม
7. เพิ่มพูนความรู้ทางด้าน IT ให้แก่ฝ่ายจัดการและผู้ปฏิบัติงาน
8. เพิ่มความเชื่อมโยงระหว่าง IT กับการกำกับดูแลกิจการที่ดี
9. เพิ่มศักยภาพของกระบวนการบริหาร (Management Process) และการปฏิบัติงานตามที่วัดได้จาก Management Tools ต่าง ๆ
10. กำหนดมาตรฐานการปฏิบัติงาน และเปรียบเทียบกับมาตรฐานการกำกับดูแลกิจการที่ดี

แนวความคิดที่ปฏิบัติจริงได้ จากการวัดประสิทธิภาพการบริหารด้าน IT และการใช้ IT Governance ในระดับสายงานต่าง ๆ อย่างสอดคล้องทั่วทั้งองค์กร

1. ทำอย่างไร IT จึงจะสามารถเพิ่มประสิทธิภาพและลดต้นทุนในการจัดการ
2. ทำอย่างไร IT จึงจะให้คำแนะนำเกี่ยวกับนวัตกรรมและการบริการใหม่ ๆ ได้อย่างรวดเร็ว และลดความซ้ำซ้อนในการปฏิบัติงาน
3. ทำอย่างไร IT จึงจะช่วยเพิ่มผลตอบแทนจากการลงทุนได้มากขึ้น
4. ทำอย่างไร IT จึงสามารถกำหนดมาตรฐานการปฏิบัติงานขององค์กรได้
5. ทำอย่างไร IT ช่วยองค์กรเพิ่มลูกค้าใหม่และสร้างความพอใจให้กับลูกค้าได้
6. ทำอย่างไร IT จึงจะสนองตอบความต้องการและความคาดหวังของผู้มีผลประโยชน์ร่วมขององค์กรได้ ภายใต้งบประมาณที่ได้รับและเวลาที่กำหนด
7. ทำอย่างไร IT จึงจะช่วยองค์กรให้ปฏิบัติงานได้อย่างถูกต้องตามกฎหมายระเบียบ ข้อบังคับ หรือตามสัญญา
8. ทำอย่างไร IT จึงจะช่วยให้องค์กรบริหารความเสี่ยงที่มีอยู่อย่างโปร่งใส
9. ทำอย่างไร IT จึงจะช่วยองค์กรในการสร้างช่องทางการบริการใหม่ ๆ
10. ทำอย่างไร IT จึงจะช่วยฝ่ายจัดการสร้างผลตอบแทนให้แก่องค์กรในอัตราที่สูงขึ้น บริหารงาน และปฏิบัติงานได้รวดเร็วยิ่งขึ้น

จากข้อมูลข้างต้น ท่านพอจะมองเห็นภาพ รวมทั้งกรอบและแนวความคิดในการนำ CG และ ITG ที่เป็นนามธรรม ไปสู่ความเป็นรูปธรรมในทางปฏิบัติได้จริง และสร้างความมั่นใจอย่างสมเหตุสมผลจากการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบภายใน รวมทั้งการติดตามผล ซึ่งเรียกรวม 2 คำหลังในการอธิบายนี้ว่า เป็นการสร้างความมั่นใจต่อการบรรลุเป้าประสงค์ (Objectives) อย่างมีเหตุผลหรือใช้คำหรูๆว่า Assurance ในการก้าวไปสู่ความมั่งคั่ง และมั่นคงในการเติบโตอย่างยั่งยืน ( Sustainable Growth ) ตามหลักการของ Governance หรือการกำกับดูแลกิจการที่ดี และแน่นอนว่าจะเกี่ยวข้องกับความมั่นใจในการปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ทั้งภายในและภายนอกองค์กร (Comformance / Compliance) ซึ่งเป็นส่วนหนึ่งของ GRC ภายใต้กรอบ CG และ IT Governance หรือ ITG นั่นเองครับ…

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

คงต้องขออภัยท่านผู้อ่านที่ติดตามกรอบการบริหารความเสี่ยง เพราะช่วงนี้ผมกำลังเร่ง post ข้อมูลเกี่ยวกับ IT Audit และ Non – IT Audit ทางด้านการทุจริตที่กำลังเป็นข่าว และเป็นเรื่องสำคัญที่น่าสนใจและควรติดตาม ประกอบกับเกิดปัญหาทางด้านเทคนิคในการ update ข้อมูลในหัวข้อดังกล่าว ทำให้ข้อมูลที่เคย post และแก้ไขหายไป ก็ต้องขออภัยอีกครั้งสำหรับผู้ที่ติดตามเนื้อหาทางด้าน Audit อยู่ เป็นเหตุให้ห่างหายจากการ update เรื่องความเสี่ยงในหัวข้อนี้ไปบ้าง แต่ผมก็จะพยายามหาเวลา post ข้อมูลให้ได้ในทุกหัวข้อเพื่อท่านผู้อ่านจะได้ติดตามได้อย่างต่อเนื่องครับ

สำหรับวันนี้ ผมจะมาต่อในกระบวนการขั้นที่ 2 ของกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM คือ การกำหนดวัตถุประสงค์ (Objective Setting) ในเรื่องของการกำหนดวัตถุประสงค์/เป้าประสงค์ที่ชัดเจนของแผนงานและโครงการ

การกำหนดวัตถุประสงค์ต้องมีความสอดคล้องกันทั่วทั้งองค์กร เพื่อให้เกิดความมั่นใจว่า ผู้บริหาร และพนักงานทุกคนกำลังดำเนินการเพื่อให้บรรลุวัตถุประสงค์ขององค์กร โดยใช้วิธีการที่เรียกว่า SMART ซึ่งอธิบายด้วยแผนภาพ เพื่อให้เข้าใจได้ง่าย ๆ ดังนี้

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ดี แบบ SMART
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้ปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน และปฏิบัติได้อย่างสอดคล้องและเป็นไปในแนวทางเดียวกัน

2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย การกำหนดวัตถุประสงค์ที่สามารถวัดผลได้ทำให้สามารถรู้ได้แน่ชัดว่าดำเนินการถึงขั้นตอนใด และผลของการดำเนินการในแต่ละขั้นเป็นอย่างไร บรรลุผลสำเร็จหรือไม่

3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ ในการกำหนดวัตถุประสงค์นั้นไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถปฏิบัติเพื่อบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ ทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรมเพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกันคือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้

4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความสมเหตุสมผลและมีความเป็นจริง ปฏิบัติได้จริง

5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

ความซ้ำซ้อนของวัตถุประสงค์
วัตถุประสงค์ของหน่วยงานหนึ่งอาจซ้ำซ้อนกับอีกหน่วยงานหนึ่งได้ การจัดกลุ่มของวัตถุประสงค์เพื่อมุ่งสู่พันธกิจ และวิสัยทัศน์ขององค์กรนั้น อาจขึ้นอยู่กับโอกาส ยกตัวอย่างเช่น การเตรียมข้อมูลให้กับผู้บริหารระดับสูงเพื่อใช้ในการบริหารจัดการ และควบคุมกิจกรรมในการส่งเสริมการผลิต อาจมีลักษณะเป็นวัตถุประสงค์เชิงปฏิบัติการและวัตถุประสงค์เชิงรายงานไปพร้อม ๆ กัน

ในบางองค์กรใช้การแบ่งกลุ่มวัตถุประสงค์ในแบบอื่น ๆ “การป้องกันทรัพยากร” บางครั้งอาจหมายถึง “การป้องกันทรัพย์สิน” ซึ่งซ้ำซ้อนกับกลุ่มวัตถุประสงค์อื่น ๆ หากมองอย่างกว้าง ๆ การป้องกันทรัพย์สิน หมายถึง การป้องกันความสูญเสียของทรัพย์สินหรือทรัพยากรขององค์กร ไม่ว่าจะเป็นการลักขโมย ความสิ้นเปลือง ความบกพร่อง หรือสิ่งใดก็ตามที่ทำให้เกิดการตัดสินใจที่ไม่ดี เช่น การขายสินค้าราคาต่ำเกินไป ความล้มเหลวในการรักษาพนักงานคนสำคัญ หรือ การป้องกันการละเมิดสิทธิ์ หรือหนี้สินที่ไม่ได้คาดมาก่อน เป็นต้น

สิ่งเหล่านี้เป็นวัตถุประสงค์เชิงปฏิบัติการเบื้องต้น เมื่อประยุกต์กฎหมายหรือกฎเกณฑ์ต่าง ๆ ก็จะกลายเป็นวัตถุประสงค์เชิงความร่วมมือ ในทางตรงข้ามภาพสะท้อนการสูญเสียทรัพย์สินในสถานะทางการเงินขององค์กรเป็นการนำเสนอวัตถุประสงค์เชิงรายงาน เมื่อนำมาใช้ร่วมกับการรายงานต่อสาธารณะ คำจำกัดความที่แคบลงของการป้องกันทรัพย์สินจะหมายถึง การปกป้องการได้มาซึ่งอำนาจโดยไม่ชอบ การใช้หรือการเคลื่อนย้ายทรัพย์สินขององค์กร

การบรรลุผลสำเร็จของวัตถุประสงค์
การตั้งวัตถุประสงค์เป็นส่วนสำคัญของการบริหารความเสี่ยงของสายงานหรือของหน่วยงานธุรกิจที่เกี่ยวข้อง แม้ว่าวัตถุประสงค์จะช่วยในการสร้างเป้าหมายที่สามารถวัดได้ใกล้เคียงกับองค์กรเพื่อเคลื่อนสู่การดำเนินกิจกรรม แต่อาจมีความแตกต่างกันในเรื่องระดับความสำคัญและลำดับก่อนหลัง แม้ว่าองค์กรทั่วไปจะมั่นใจอย่างมีเหตุมีผลว่าจะบรรลุวัตถุประสงค์ได้ แต่ไม่ใช่กับทุกวัตถุประสงค์

การบริหารความเสี่ยงที่มีประสิทธิภาพจะนำความมั่นใจที่มีเหตุมีผลว่าวัตถุประสงค์เชิงรายงานขององค์กรกำลังบรรลุความสำเร็จ เช่นเดียวกันกับวัตถุประสงค์เชิงความร่วมมือ การรายงานที่บรรลุความสำเร็จและวัตถุประสงค์เชิงความร่วมมือโดยทั่วไปอยู่ภายในการควบคุมขององค์กร นั่นคือทันทีที่กำหนดวัตถุประสงค์แล้ว องค์กรจะควบคุมว่าจะต้องทำอย่างไรให้บรรลุวัตถุประสงค์นั้น แต่มีความแตกต่างเมื่อกลายเป็นวัตถุประสงค์เชิงปฏิบัติการด้วยเหตุผลหลายประการ องค์กรอาจปฏิบัติได้ดังที่ตั้งใจแต่ไม่สามารถสู้คู่แข่งขันได้ ซึ่งเป็นปัญหาจากปัจจัยภายนอก เช่น การเปลี่ยนแปลงรัฐบาล สภาวะแวดล้อมทางอากาศ และ/หรือเหตุการณ์ที่ไม่สามารถควบคุมได้

ซึ่งเหล่านี้อาจนำมาพิจารณาในขั้นตอนการตั้งวัตถุประสงค์ในแง่ของการมีความเป็นไปได้น้อย โดยใช้การวางแผนตามสถานการณ์ในกรณีที่มีเหตุการณ์เกิดขึ้น อย่างไรก็ตาม แม้ว่าแผนงานจะสามารถบรรเทาผลกระทบจากเหตุการณ์ภายนอกได้ แต่ก็ไม่สามารถมั่นใจได้ว่าวัตถุประสงค์จะบรรลุผลสำเร็จ

การบริหารความเสี่ยงขององค์กรที่มีจุดมุ่งหมายพื้นฐานในการพัฒนาความยั่งยืนของวัตถุประสงค์และเป้าหมายทั่วทั้งองค์กร การแยกแยะปัจจัยที่ทำให้สำเร็จและความเสี่ยง การเข้าหาความเสี่ยงและการตอบสนอง การดำเนินการตอบสนองความเสี่ยงที่เหมาะสม การควบคุมความต้องการ และการรายงานผลการทำงานและความคาดหวัง สำหรับวัตถุประสงค์เหล่านี้ การบริหารความเสี่ยงขององค์กรสามารถสร้างความมั่นใจได้ว่าผู้บริหารจะตระหนักถึงขอบเขตขององค์กรในการมุ่งสู่วัตถุประสงค์

ครั้งหน้าผมจะพูดถึงวัตถุประสงค์ขององค์กรกับความเสี่ยง และระดับความเสี่ยงที่องค์กรยอมรับได้ โปรดติดตามในครั้งต่อไปนะครับ