Archive for ตุลาคม, 2009

ลักษณะของจิตสำนึกผิดชอบที่ดีที่ต้องได้รับการฝึกฝน เพื่อสร้างวัฒนธรรมที่ดีให้กับองค์กร

ตุลาคม 31st, 2009

วันนี้ผมจะขอเล่าสู่กันฟังในลักษณะของจิตสำนึกผิดชอบที่ดี ที่จะสามารถทำให้พัฒนาองค์กรไปสู่การเติบโตอย่างยั่งยืน จากรากฐานที่สำคัญอย่างยิ่ง ในการสร้างสภาพแวดล้อมที่ดีในองค์กรอย่างหนึ่ง ก็คือ การมีวัฒนธรรมที่ดี ซึ่งเป็นเรื่องที่องค์กรจะต้องสร้างขึ้น และต้องพัฒนาให้ฝังอยู่ในจิตใจของพนักงาน และมีการอบรมอย่างสม่ำเสมอ โดยเฉพาะอย่างยิ่งในขั้นตอนปฐมนิเทศ

ลักษณะของจิตสำนึกผิดชอบที่ดี มี 3 ลักษณะด้วยกัน คือ
1.จิตสำนึกผิดชอบที่ดีมีประสิทธิภาพ เป็นจิตสำนึกผิดชอบที่ทำงานตามปกติในชีวิตประจำวันของเรา ถ้าองค์กรของเรามีพนักงานส่วนใหญ่ที่มีจิตสำนึก ที่มีการตัดสินใจที่ไม่สามารถใช้การได้อย่างมีประสิทธิภาพ เราก็ไม่อาจเรียกได้ว่า องค์กรของเรามีพนักงานที่มีจิตสำนึกผิดชอบที่ดีได้

2. จิตสำนึกผิดชอบที่ดี ช่วยให้เราอยู่บนหนทางที่ถูกต้อง ช่วยให้เรามีความซื่อสัตย์
จิตสำนึกผิดชอบที่ดี ไม่เพียงรักษาเราให้อยู่ในทิศทางที่ถูกต้องเท่านั้น แต่ยังช่วยให้เราเป็นคนมีความซื่อสัตย์อีกด้วย

3. จิตสำนึกผิดชอบที่ดี จะช่วยให้มาตรฐานการทำงานของเราสูงขึ้น สามารถตัดสินใจดำเนินการต่าง ๆ ที่เป็นประโยชน์ส่วนร่วมได้ถูกต้องมากยิ่งขึ้น

สาเหตุของจิตสำนึกผิดชอบที่อ่อนแอ
จิตสำนึกผิดชอบที่อ่อนแอ เป็นจิตสำนึกผิดชอบที่ขาดความรู้ ความเข้าใจ ขาดการฝึกฝน ขาดความมั่นใจในตนเอง ขาดศักยภาพ และความสามารถในการปฏิบัติหน้าที่ ขาดมุมมองในการทำงานเพื่อผลประโยชน์ของผู้มีผลประโยชน์ร่วม แต่คิดเพียงทำงานเพื่อผลประโยชน์แก่ตนเอง หรือต่อกลุ่ม ต่อพรรคพวกของตน บุคคลประเภทนี้ ไม่เหมาะสมอย่างยิ่งที่จะรับผิดชอบในการบริหารงานในระดับสูงขององค์กร หรือประเทศชาติ

บุคคลที่มีจิตสำนึกผิดชอบที่อ่อนแอ จะสนใจแต่เรื่องชื่อเสียงของตน มากกว่าชื่อเสียงขององค์กรและชื่อเสียงของประเทศชาติ บุคคลประเภทนี้จะทำทุกสิ่ง ที่เป็นผลประโยชน์ต่อตนและของกลุ่มเป็นหลัก โดยเฉพาะอย่างยิ่ง ถ้าบุคคลบางส่วนจับไม่ได้ไล่ไม่ทัน ถึงแนวความคิดที่นำไปสู่ผลกระทบของคนในสังคมส่วนใหญ่ นับว่าเป็นท่าทีที่อันตราย อันเกิดจากจิตสำนึกผิดชอบที่อ่อนแอ หรือสำนึกผิดชอบที่ชั่วร้าย

จิตสำนึกผิดชอบที่ชั่วร้ายจะรักษาให้หายได้ไหม? ผมจะขอกล่าวเรื่องนี้ในตอนต่อไปนะครับ เพราะเรื่องนี้ จะมีความสัมพันธ์และเกี่ยวข้องกับการสร้างวัฒนธรรมที่ดีขององค์กรเป็นอย่างยิ่ง

 

Posted in คุยกับผู้เขียน
Tags: , ,
One Comment

การประเมินผลการบริหารความเสี่ยงของรัฐวิสหากิจ ประจำปี 2553 (ต่อ)

ตุลาคม 31st, 2009

สำหรับวันนี้คงไม่ต้องอธิบายอะไรมากนะครับ เราคงมาต่อกันในเรื่องของเกณฑ์การพิจารณาการบริหารความเสี่ยง ซึ่งผมจะขอนำเสนอเกณฑ์ในระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ต่อจากที่ได้นำเสนอไป 2 ระดับในครั้งที่แล้วครับ

ระดับ 3 : การบริหารความเสี่ยงในเชิงบูรณาการ
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร

2.1 แผนงานการบริหารความเสี่ยงปรากฏในแผนวิสาหกิจของ รส.

2.2 เป้าหมายในแผนบริหารความเสี่ยงมีการถ่ายทอดลงถึงระดับฝ่าย และสอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีในแต่ละฝ่ายงานของ รส.

3. มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน

3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)

3.2 มีการกำหนดบทบาทหน้าที่ และความรับผิดชอบของกลุ่มบุคคลต่างๆ ที่มีส่วนร่วมด้านการบริหารความเสี่ยงขององค์กร

3.3 มีการกำหนดแผนการปฏิบัติงานสำหรับหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยงประจำปี และแผนการปฏิบัติงานดังกล่าวผ่านการอนุมัติจากผู้บริหารระดับสูง เช่น แผนการฝึกอบรมหรือสร้างความรู้ความเข้าใจหน่วยงานอื่นเกี่ยวกับการบริหารความเสี่ยง การรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการตรวจสอบและคณะกรรมการ รส. ตามกำหนด เป็นต้น และสามารถบรรลุเป้าหมายตามแผนการปฏิบัติงานนั้นได้ครบถ้วน

4.มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส

4.1 มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง โดยใช้ฐานข้อมูลในอดีต หรือ การคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4.2 กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวังของทุกปัจจัยเสี่ยงได้ โดยเป็นเป้าหมาย ณ สิ้นปีบัญชี พร้อมทั้งเป้าหมายที่คาดหวังในเชิงระดับความรุนแรงต้องสามารถอธิบายได้โดยใช้ฐานข้อมูลและการวิเคราะห์เช่นเดียวกัน

4.3 สามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส เทียบกับเป้าหมายที่คาดหวัง พร้อมวิเคราะห์ถึงปัญหา/อุปสรรค และแนวทางทีจะบรรลุถึงเป้าหมาย

5. มีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

5.1 องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกปัจจัยเสี่ยงโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

5.2 Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

5.3 Risk Appetite ต้องสอดคล้องกับเป้าหมายขององค์กรประจำปีบัญชีที่ระบุในแผนปฏิบัติการประจำปี หรือ ค่า “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดสูงกว่า

5.4 Risk Tolerance ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ระบุในแผนปฏิบัติการประจำปี หากไม่มีระบุ ต้องเป็นค่า Risk Tolerance ที่ผ่านการอนุมัติจากคณะกรรมการ รส. หรือ ผลต่างของค่าเกณฑ์วัด “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดต่ำกว่า

6. มีการบริหารความเสี่ยงแบบบูรณาการ

6.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ โดยกลยุทธ์ในแผนการบริหารความเสี่ยงมีความสัมพันธ์กับกลยุทธ์ของรัฐวิสาหกิจ และมีการทบทวนกลยุทธ์การบริหารความเสี่ยง ในช่วงเวลาที่มีการรายงานผลการปฏิบัติงานตามแผนประจำปี เพื่อให้ทราบถึงปัญหา อุปสรรค ที่ส่งผลต่อการบรรลุเป้าหมายขององค์กร และเพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายองค์กร โดยการใช้กระบวนการบริหารความเสี่ยง

6.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยงในปีบัญชี 2552

6.2.1 การกำหนดสาเหตุของความเสี่ยงในทุกปัจจัยเสี่ยง และสามารถกำหนดระดับความรุนแรงของแต่ละสาเหตุในทุกปัจจัยเสี่ยง โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหาร
ความเสี่ยง

6.2.2 การวิเคราะห์ความสัมพันธ์ระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์ของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.3 การวิเคราะห์ผลกระทบระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบของสาเหตุ โดยมีการวิเคราะห์ผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.4 การนำ Risk Map ไปใช้ในการกำหนดแผนการบริหารความเสี่ยง ในแผนการบริหารความเสี่ยง โดยมีการบริหารถึงปัจจัยเสี่ยงที่เป็นสาเหตุหลัก และมีการกล่าวถึงปัจจัยเสี่ยงที่มีระดับความรุนแรงสูง และส่งผลกระทบต่อปัจจัยเสี่ยงดังกล่าว รวมถึงมีการประเมินถึงความสำเร็จของเป้าหมายในการบริหารความเสี่ยงของปัจจัยเสี่ยงหลัก ว่าเป็นผลมาจากการบริหารปัจจัยเสี่ยงที่เป็นสาเหตุ หรือการบริหารปัจจัยเสี่ยงที่มีผลกระทบสูง

6.2.5 การสร้างความเข้าใจในเรื่อง Risk Map ให้กับบุคลากรในองค์กร โดย Risk Owner มีส่วนร่วมในการจัดทำ Risk Map และยอมรับในการร่วมกันจัดทำแผนการบริหารความเสี่ยงในกลุ่มความเสี่ยงที่มีความสัมพันธ์กัน รวมถึงบุคลากรในองค์กร รับรู้และเข้าใจเรื่อง Risk Map

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง
Tags: , , ,
No Comments

การวางแผนการตรวจสอบทางด้าน IT Audit – General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ (ต่อ)

ตุลาคม 31st, 2009

วันนี้ เรามาเล่าสู่กันฟังต่อนะครับ ถึงเรื่องการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ท่านคณะกรรมการตรวจสอบ และผู้ตรวจสอบที่ติดตามหัวข้อนี้อยู่หลายท่าน คงต้องอดทนในการติดตามกรอบความคิด ในลักษณะ Holistic Framework ขององค์กรที่ใช้คอมพิวเตอร์ เพื่อการวางแผนการตรวจสอบทางด้าน IT Audit และการตรวจสอบทางด้าน Manual ซึ่งผู้ตรวจสอบทางด้าน Manual หรือ Non – IT ควรจะได้เข้าใจผลกระทบของเทคนิคโนโลยีด้าน IT หรือเทคโนโลยีสารสนเทศ ต่อกระบวนการตรวจสอบทางด้านการเงิน ทางด้านการดำเนินงาน ทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่ข้อมูลต่าง ๆ ปรากฎในรายงานที่ผู้ตรวจสอบต้องใช้ในการตรวจสอบ ซึ่งเป็นลักษณะการตรวจสอบพื้นฐานของทางด้าน Non – IT Auditor เพราะเป็นหลักฐานที่สามารถเห็นได้ด้วยตาเพียงประการเดียว

อย่างไรก็ดี ผู้ตรวจสอบทางด้าน Manual หรือทางด้าน Non – IT ที่มีความรู้ ความสามารถอีกระดับหนึ่ง ในการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์นั้น ก็อาจใช้เครื่องมือ หรือโปรแกรมเข้าช่วยในการวิเคราะห์ข้อมูล เพื่อการตรวจสอบจากระบบฐานข้อมูลที่องค์กรมีอยู่ได้

ในความเข้าใจของผม การใช้โปรแกรมวิเคราะห์ข้อมูล หรือดึงข้อมูลเพื่อการตรวจสอบ เป็นเพียงการใช้เครื่องมือเพื่อความสะดวกของผู้ตรวจสอบทางด้าน Manual หรือ Non – IT เป็นส่วนใหญ่ วิธีการดังกล่าว ยังไม่อาจเรียกได้ว่า เป็นการตรวจสอบทางด้าน IT หรือ IT Audit

ดังนั้น ผู้ที่ติดตามหัวข้อ IT Audit และ Non – IT Audit บางท่าน อาจสงสัยว่า ทำไมผมไม่อธิบายความแตกต่างของการตรวจสอบทั้ง 2 เรื่อง เสียที ผมขอถือโอกาสนี้อธิบายว่า สำหรับท่านที่ติดตามหัวข้อ IT Audit และ Non – IT Audit มาตั้งแต่ต้น และจนถึงวันนี้คงจะเข้าใจแล้วนะครับว่า ผมต้องการนำเสนอให้ท่านที่สนใจได้เข้าใจสภาพแวดล้อมในองค์กรที่ใช้คอมพิวเตอร์ ที่มีผลต่อกระบวนการตรวจสอบทางด้าน Manual หรือทางด้าน Non – IT เป็นอย่างมาก เช่น หลักฐานการตรวจสอบ ร่องรอยการตรวจสอบ วิธีการตรวจสอบ เทคนิคการตรวจสอบ การสุ่มตัวอย่างเพื่อตรวจสอบ การควบคุมภายในตามฐานความเสี่ยง ตั้งแต่ Input, Process และ Output ได้เปลี่ยนแปลงไปอย่างสิ้นเชิง ซึ่งผมจะค่อย ๆ นำเสนอต่อไป หลังจากที่ผมได้เกริ่นนำเพื่อสร้างความเข้าใจในภาพโดยรวมขององค์กรที่ใช้คอมพิวเตอร์ที่มีผลต่อการตรวจสอบ โดยเฉพาะอย่างยิ่งขั้นตอนการวางแผนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์

ครั้งนี้ ผมจึงขอนำเสนอการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ต่อจากคราวที่แล้ว ซึ่งอธิบายด้วยแผนภาพ ที่จะสร้างความเข้าใจให้กับผู้เกี่ยวข้องได้ดีกว่าการบรรยายเป็นตัวอักษร ดังนี้

แผนภาพการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ยังไม่จบนะครับ ผมจะนำเสนอในครั้งต่อไป และจะเริ่มด้วยตัวอย่างการตรวจสอบทางด้าน IT Audit และ Non – IT

อนึ่ง หากแผนภาพที่นำเสนอไม่ชัดเจน หรือมีขนาดเล็กเกินไป ผมขอแนะนำวิธีการขยายหน้าจอ โดยการกด Ctrl พร้อมกับเลื่อน Scroll ของ Mouse ไปด้านหน้าเพื่อขยายภาพให้ใหญ่ขึ้น และหากต้องการย่อให้เหมือนเดิมก็เลื่อน Scroll Mouse ไปด้านหลัง ภาพก็จะมีขนาดเล็กลง หรือกลับสู่ขนาดเดิม

 

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , , , , , ,
No Comments

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ตุลาคม 28th, 2009

หวังว่าคงจะพอจำกันได้นะครับ กับกระบวนการบริหารความเสี่ยง ตามหลัก COSO – Enterprise Risk Management (ERM) ทั้ง 8 ประการที่ผมเคยพูดถึง หากจำไม่ได้หรือต้องการทบทวนก็สามารถไปดูได้ที่ COSO-ERM มาถึงตอนนี้ก็เข้าสู่องค์ประกอบการบริหารความเสี่ยงหรือกระบวนการบริหารความเสี่ยง ขั้นที่ 7 ซึ่งจะเป็นการบริหารความเสี่ยงที่เกี่ยวกับระบบสารสนเทศและการสื่อสาร (Information and Communication) ที่ผมจะพูดคุยกันในวันนี้

ข้อมูลที่เกี่ยวข้อง (Pertinent Information) จากแหล่งภายในและภายนอก จะต้องมีการระบุและมีการสื่อสารในรูปแบบที่เป็นทางการ มีการระบุตารางเวลาทำให้แต่ละบุคคลสามารถดำเนินการตามความรับผิดชอบของตน

การสื่อสารที่มีประสิทธิภาพนั้นเป็นได้ทั้งในเชิงกว้าง ทั้งจากระดับล่างและระดับบนภายในองค์กร รวมถึงมีการสื่อสารแลกเปลี่ยนข่าวสารต่อภายนอกองค์กรที่มีความเกี่ยวข้องกัน เช่น ลูกค้า ผู้จัดหาวัตถุดิบ ผู้รักษากฎระเบียบ หรือผู้มีผลประโยชน์ร่วม

ข้อมูลต่าง ๆ ทั้งหลาย ถูกต้องการในทุกระดับขององค์กร เพื่อที่จะระบุทรัพย์สินและการสนองตอบต่อความเสี่ยง และในอีกนัยหนึ่งคือ เพื่อที่จะดำเนินงานขององค์กรและประสบความสำเร็จในเป้าหมาย ข้อมูลที่ถูกใช้จะมีส่วนเกี่ยวข้องกับเป้าหมาย ข้อมูลที่มาจากหลายแหล่ง จากภายในและภายนอก ทั้งในรูปแบบของข้อมูลเชิงปริมาณและข้อมลเชิงคุณภาพ ซึ่ง ERM จะตอบสนองต่อสภาวการณ์ที่เปลี่ยนแปลงในเวลาปัจจุบัน ความท้าทายต่อการบริหารก็คือ กระบวนการในการจัดการข้อมูลจำนวนมหาศาล เพื่อให้ได้ข้อมูลที่สามารถใช้ได้จริง

ความท้าทายนี้จะสำเร็จได้โดยการจัดตั้งระบบโครงสร้างข้อมูลของแหล่งข้อมูล การจับ (Capture) กระบวนการ (Process) การวิเคราะห์ (Analyze) และการรายงาน (Reporting) ข้อมูลที่มีความเกี่ยวข้อง ระบบข้อมูลเหล่านี้ โดยปกติจะแล้วถูกคำนวณโดย computer แต่เกี่ยวข้องกับการป้อนข้อมูลหรือแลกเปลี่ยนของบุคคล บ่อยครั้งถูกมองในบริบทของกระบวนการจัดการข้อมูลภายในที่เกี่ยวข้องกับการแลกเปลี่ยนข้อมูล
ระบบข้อมูลมีการออกแบบที่ยาวนานและถูกใช้เพื่อสนับสนุนกลยุทธ์ทางธุรกิจ บทบาทนี้เป็นบทบาทที่สำคัญต่อความต้องการขององค์กรที่เปลี่ยนแปลงไปทางธุรกิจและเทคโนโลยีสร้างโอกาสใหม่ต่อความได้เปรียบทางกลยุทธ์ เพื่อที่จะสนับสนุน ERM อย่างมีประสิทธิภาพ

หน่วยงานที่ได้มาซึ่งข้อมูลจะใช้ทั้งข้อมูลในอดีตและปัจจุบัน ข้อมูลในอดีต (Historical Data) ใช้ผลประกอบการจริงเปรียบเทียบกับเป้าหมาย แผนหรือความคาดหวัง ซึ่งแสดงถึงผลประกอบการดำเนินงานของหน่วยงานภายใต้ สภาวการณ์ที่เปลี่ยนแปลงไป ฝ่ายจัดการจะกำหนดความสัมพันธ์และแนวโน้มเพื่อพยากรณ์การดำเนินงานในอนาคต ข้อมูลในอดีตสามารถนำมาเป็นเครื่องเตือนภัยล่วงหน้า (Early Warning) เหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นซึ่งฝ่ายจัดการควรให้ความสำคัญ

ข้อมูลในปัจจุบัน (Current Data) เป็นข้อมูลที่องค์กรสามารถใช้ประเมินความเสี่ยงที่เกิดขึ้นในองค์กร ทำให้สามารถปรับเปลี่ยนกิจกรรมซึ่งมีความจำเป็นในการปรับเปลี่ยนความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite)

ข้อมูลที่เป็นพื้นฐานสำหรับการสื่อสารจะต้องเข้าถึงความคาดหวังของกลุ่ม และปัจเจกบุคคลในช่องทางการสื่อสารที่สำคัญที่สุด ระหว่างผู้จัดการระดับสูงกับคณะกรรมการบริหาร (Board of Directors) การสื่อสารที่ดีทำให้คณะกรรมการบริหารมีประสิทธิภาพในการให้คำแนะนำปรึกษา หารือหรือสั่งการในทิศทางเดียวกัน หรือสื่อสารถึงฝ่ายจัดการว่าต้องการข้อมูลอะไร ประเภทไหน การตอบสนอง (Feedback) และการสั่งการ

ฝ่ายบริหารจะสื่อสารถึงพฤติกรรมที่คาดหวังและความรับผิดชอบของแต่ละบุคคล ปรัชญาการบริหารความเสี่ยงที่มีความชัดเจน การมอบหมายอำนาจบังคับบัญชา และวัฒนธรรมความเสี่ยง (Risk Culture) การสื่อสารควรเพิ่มความตระหนักเกี่ยวกับความสำคัญและความเกี่ยวพันของ ERM ที่มีประสิทธิภาพของความเสี่ยงในรับที่องค์กรยอมรับได้ (Risk Appetite) และระดับความเสี่ยงที่องค์กรยอมรับได้ (Risk Tolerance)

ช่องทางการสื่อสารควรทำให้แน่ใจว่าแต่ละบุคคลสามารถสื่อสารข้อมูลบนพื้นฐานของความเสี่ยง ระหว่างหน่วยงานทางธุรกิจ กระบวนการหรือหน้าที่ของหน่วยงาน ในกรณีส่วนใหญ่ สายการรายงานทั่วไปในองค์กร (Normal Reporting Line) คือช่องทางที่เหมาะสมของการสื่อสาร อย่างไรก็ตามในบางโอกาสนั้น การแยกช่องทางการสื่อสาร (Separate Line) ก็สามารถใช้ได้แต่ต้องไม่เป็นการรายงานที่ไม่มีความน่าเชื่อถือของข้อมูล

ช่องทางการสื่อสารภายนอก เป็นที่มาของข้อมูลที่มีความสำคัญอย่างมากต่อการออกแบบคุณภาพของผลผลิตและบริการ ฝ่ายจัดการควรพิจารณาความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite) เป็นอย่างไรและระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) เป็นอย่างไร ต่อลูกค้า ผู้จัดหาวัตถุดิบ ผู้มีผลประโยชน์ร่วม ขององค์กรเพื่อทำให้แน่ใจว่ามันจะไม่มีความเสี่ยงที่มากจนเกินไป

ข้อมูลข่าวสารที่ตรงประเด็นถูกแยกแยะ ดักจับและสื่อสารในรูปแบบและกรอบเวลา ซึ่งทำให้คนปฏิบัติตามความรับผิดชอบ ระบบข้อมูลข่าวสารใช้ข้อมูลที่สร้างจากภายในและข้อมูลเกี่ยวกับเหตุการณ์ภายนอก กิจกรรมและเงื่อนไข ในการเตรียมข้อมูลให้กับการบริหารความเสี่ยงขององค์กร และการตัดสินใจที่สัมพันธ์กับวัตถุประสงค์การติดต่อสื่อสารที่มีประสิทธิภาพไหลไปสู่ด้านบน ด้านข้างและด้านบนขององค์กร

บุคลากรทั้งหมดได้รับข่าวสารที่ชัดเจนจากผู้บริหารระดับบนที่มีความรับผิดชอบในการบริหารความเสี่ยงอย่างจริงจัง ผู้บริหารเข้าใจบทบาทของตนเองในการบริหารความเสี่ยง เช่นเดียวกับเข้าใจว่ากิจกรรมแต่ละคนเกี่ยวข้องกับงานของคนอื่นอย่างไร ผู้บริหารต้องมีค่ากลางของการไหลของข้อมูลข่าวสารที่สำคัญซึ่งเป็นการติดต่อสื่อสารที่มีประสิทธิภาพกับภายนอก

ทุก ๆ องค์กรได้แยกแยะและดักจับข้อมูลข่าวสาร ข้อมูลทางการเงิน และไม่ใช่การเงินที่เกี่ยวข้องกับภายนอก เช่นเดียวกับเหตุการณ์ และกิจกรรมภายในสัมพันธ์กับการบริหารองค์กร ข้อมูลเหล่านี้ถูกส่งไปยังบุคคลในรูปแบบและกรอบเวลา ซึ่งทำให้พวกเขาสามารถจัดการกับการบริหารความเสี่ยงและความรับผิดชอบอื่น ๆ ได้

สำหรับวันนี้คงไว้เท่านี้ก่อน ในรายละเอียดต่าง ๆ ผมจะพูดถึงในครั้งต่อไป โปรดติดตามต่อไปนะครับ

 

Posted in แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags: , , , , ,
One Comment

การวางแผนการตรวจสอบ ทางด้าน IT Audit – General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์

ตุลาคม 24th, 2009

ผมเคยพูดถึง ขั้นตอนการวางแผนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ ในภาพกว้าง ตามมุมมองต่าง ๆ มาแล้ว วันนี้ ก่อนที่จะลงรายละเอียดในเรื่อง การตรวจสอบทางด้าน IT และ Non – IT Audit ผมใคร่จะขอกล่าวถึง ขั้นตอนและการวางแผนงานการตรวจสอบทางด้าน General Control และ Application Control ซึ่งเป็นการตรวจสอบงานทางด้านคอมพิวเตอร์ หรือ IT

ขอให้ผู้ตรวจสอบลองศึกษารายละเอียดของ ขั้นตอนการวางแผนการตรวจสอบทางด้าน IT ที่อธิบายด้วยแผนภาพย่อ ๆ แสดงความสัมพันธ์ของการวางแผนการตรวจสอบ ขั้นตอนที่ 1 จนถึงขั้นตอนที่ 11 โดยแสดงความสัมพันธ์ของงานการตรวจสอบทางด้าน IT ที่เชื่อมโยงไปถึง การตรวจสอบทางด้าน Non – IT รวมทั้งการตรวจสอบความถูกต้องของรายงานทางการเงินที่เป็นหัวใจของการบริหาร และการจัดการในระดับสูงที่ต้องใช้ข้อมูลจากรายงานต่าง ๆ ในการตัดสินใจ และดำเนินการสั่งการในเรื่องที่เกี่ยวข้อง

จากแผนภาพที่แสดงขั้นตอนความเกี่ยวพันในการวางแผนการตรวจสอบ ดังจะกล่าวต่อไปนี้นั้น ขอให้ผู้ตรวจสอบ และคณะกรรมการตรวจสอบ รวมทั้งผู้บริหารที่เกี่ยวข้องได้ประเมินถึงความเสี่ยง และศักยภาพในการดำเนินงานของสายงานตรวจสอบ ที่จะมีผลกระทบต่อกลยุทธ์การดำเนินงาน ประสิทธิภาพ ประสิทธิผลในการดำเนินงาน ความถูกต้องของรายงานทางการเงิน และรายงานต่าง ๆ และการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามหลักการของ COSO – ERM ในส่วนที่เกี่ยวข้องกับความเสี่ยงและการควบคุมทางด้าน S – O – F – C ต่อไป

โปรดประเมินจุดอ่อนจากการวางแผนการตรวจสอบ ที่หน่วยงานของท่านดำเนินการอยู่ เปรียบเทียบกับขั้นตอนและการวางแผนการตรวจสอบภาคปฏิบัติ ซึ่งในบางขั้นตอนและบางส่วนของการวางแผนการตรวจสอบภาคปฏิบัติ อาจมีการดัดแปลงให้เหมาะสมและสอดคล้องกับเป้าประสงค์การตรวจสอบ เป็นการเฉพาะกิจในแต่ละเรื่องไปก็ได้ เช่น ในช่วงเศรษฐกิจขาลงของประเทศไทย และของทั่วโลกในปัจจุบัน การตรวจสอบการทุจริตและการตรวจสอบความบกพร่องของการแบ่งแยกหน้าที่ โดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวข้องกับ Operational Risk จะมีส่วนสำคัญและมีน้ำหนักที่เพิ่มขึ้น เมื่อเทียบกับขั้นตอนและการวางแผนการตรวจสอบ ในช่วงเวลาเศรษฐกิจที่เป็นปกติ หรือในช่วงเศรษฐกิจขาขึ้น เป็นต้น

ขั้นตอนการวางแผนการตรวจสอบตามแผนภาพนี้ จะทยอยเล่าสู่กันฟังอย่างต่อเนื่องกันไปนะครับ

 

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , , , , , , ,
No Comments

จิตสำนึกผิดชอบ/มโนธรรม เป็นเครื่องชี้นำพฤติกรรมและการตัดสินใจที่สำคัญ เพื่อนำไปสู่สันติสุขของบุคลากรและของประเทศโดยรวม

ตุลาคม 24th, 2009

วันนี้ ผมจะพูดเรื่อง จิตสำนึกผิดชอบ ซึ่งรู้จักกันง่าย ๆ ว่าคือ มโนธรรม ที่จะนำไปสู่การสร้างความสามัคคีของคนในชาติ และสังคมของประเทศ ซึ่งกำลังตกต่ำถึงขีดสุดอยู่ในช่วงเวลา เป็นที่ทราบกันดีอยู่ทั่วไป ทั้งในและต่างประเทศแล้วนั้น

ประเทศของเรากำลังต้องการผู้บริหาร และผู้นำในองค์กรต่าง ๆ ที่เกี่ยวข้องกับ การขับเคลื่อน ความเข้าใจ และความสามัคคีของคนในชาติ ที่ไม่มีการแบ่งแยกก๊ก แยกเหล่า จากพื้นฐานความระแวง ความเกลียดชัง และมีเป้าหมายที่แตกต่างกันในแต่ละกลุ่ม หัวข้อเรื่องจิตสำนึกผิดชอบ ชั่วดี จึงเป็นหัวข้อที่เหมาะสมเป็นอย่างยิ่ง ที่จะทำให้ผู้มีหน้าที่ต้องตัดสินใจในการขับเคลื่อนสันติสุขและความไพบูลย์ของชาติ ได้เข้าใจและเชื่อมโยงเรื่องนี้เข้ากับหลักการบริหารและการจัดการที่ดี ที่ปัจจุบันก็ยังเป็นนามธรรมมากกว่ารูปธรรม โดยเฉพาะอย่างยิ่ง การนำไปปฏิบัติ ซึ่งเกี่ยวข้องกับหลักการบริหารบ้านเมืองที่ดี 7 ประการ ที่สัมพันธ์กับหลักการของ Corporate Governance 7 ประการ

กล่าวโดยทั่วไป มนุษย์มีจิตสำนึกผิดชอบ จิตสำนึกผิดชอบชั่วดีนี้ มนุษย์ทุกคนมีความตระหนักอยู่กับใจ แต่การแสดงออกมักสนองตอบที่อาจตรงกันข้ามตามสภาพแวดล้อม และทางวัฒนธรรมของแต่ละคน และของแต่ละกลุ่มอย่างมีนัยสำคัญ ดังนั้น ความเข้าใจของจิตสำนึกผิดชอบ จึงเป็นเรื่องสำคัญที่ผมจะขอกล่าวต่อไป โดยข้อความส่วนใหญ่มาจากหนังสือ Meet Your Conscience ที่แต่งโดย Warren W. Wiersbe ซึ่งได้กล่าวมาแล้วในตอนต้น ๆ

นักวิทยาศาสตร์พยายามคิดค้นและเสาะหาว่า จิตสำนึกผิดชอบนี้มาจากไหน และก็ได้มีทฤษฎีผิด ๆ ขึ้นหลายทฤษฎีที่อธิบายว่า ต้นกำเนิดของจิตสำนึกผิดชอบพัฒนาขึ้นมาอย่างไร บางคนกล่าวว่า จิตสำนึกผิดชอบนั้น เกิดจากสิ่งที่เป็นภูมิหลังของเรา เป็นส่วนหนึ่งของการวิวัฒนาการ มนุษย์มีการวิวัฒนาการมานับหลายศตวรรษ และจิตสำนึกผิดชอบก็วิวัฒนาการตามมาด้วยกัน วิวัฒนาการทางกายภาพนั้น ชาล์ส ดาวิน เจ้าของหนังสือ The Descent of Man ยังกล่าวว่า “สิ่งที่ทำให้มนุษย์แตกต่างจากสิ่งมีชีวิตอื่น ๆ มากที่สุด ก็คือ สำนึกด้านจริยธรรม หรือ จิตสำนึกผิดชอบ” ดาวินเองไม่สามารถอธิบายได้ว่า จิตสำนึกผิดชอบนี้มาจากไหน

จิตสำนึกผิดชอบไม่ใช่ผลพวงของการวิวัฒนาการ และไม่ใช่สิ่งที่มาจากภูมิหลังของเรา ไม่ได้มาจากสิ่งแวดล้อมรอบตัวเรา ข้าพเจ้าได้ยินการกล่าวอ้างว่า จิตสำนึกผิดชอบนั้นเป็นเพียงการสรุปรวบยอดมาตรฐานต่าง ๆ ที่อยู่รอบตัวเรานั่นเอง

นักปรัชญาที่ชื่อ โชเป็นเฮาวร์ กล่าวว่า จิตสำนึกผิดชอบนั้นประกอบด้วย “ความกลัวหนึ่งในห้า ความงมงามหนึ่งในห้า ความลำเอียงหนึ่งในห้า อีกหนึ่งในห้าเป็นความเพ้อพก และที่เหลืออีกหนึ่งในห้ามาจากจารีตประเพณี” กล่าวอีกนัยหนึ่ง จิตสำนึกผิดชอบตามความคิดของผู้นี้เป็นเหมือนกับ “ยำรวมมิตร” ซึ่งคน ๆ นั้นนำเอาสิ่งต่าง ๆ รอบ ๆ ตัวในสังคมของคนมาประกอบเข้าด้วยกัน

จริงอยู่ สังคมมีส่วนวางมาตรฐานให้แก่เรา แต่สังคมไม่ได้เป็นผู้ให้จิตสำนึกผิดชอบแก่เรา เราทราบว่าจิตสำนึกผิดชอบเป็นองค์ประกอบที่ตอบสนองต่อมาตรฐานที่เรามีอยู่ แต่จิตสำนึกผิดชอบไม่ได้เป็นผู้สร้างมาตรฐานนั้น เช่นเดียวกันกับที่มาตรฐานนั้นไม่ได้สร้างจิตสำนึกผิดชอบ แต่ก็ไม่ได้เป็นแหล่งสร้างความสว่าง เมื่อคนเรามีธรรมเนียมที่ต่างกัน และมาตรฐานที่ต่างกันในที่ต่าง ๆ ทั่วโลก จิตสำนึกผิดชอบของเราก็ยังทำงานเหมือนกัน ไม่ว่าเราจะอยู่ในที่แห่งใดก็ตาม

จิตสำนึกผิดชอบไม่ได้เกิดจากภูมิหลังของเรา หรือมาจากรอบ ๆ ตัวของเรา หรือแม้แต่มาจากในตัวของเรา มีจิตแพทย์จำนวนมาก ต้องการให้เราเชื่อว่า เราเป็นผู้สร้างจิตสำนึกผิดชอบ ซึ่งเป็นเพียงผลพลอยได้จากการเลี้ยงดูและอบรมสั่งสอนของพ่อแม่เรา

จิตสำนึกผิดชอบเป็นปรากฎการณ์ที่เป็นสากล ปรากฎในทุกที่ทุกแห่งทั่วโลก จึงต้องมีแหล่งกำเนิดแหล่งเดียวกัน และที่มาแหล่งเดียวกันนี้คือพระเจ้า หรือผู้ที่เราเคารพศรัทธา และบูชา ที่ได้ทรงประทานจิตสำนึกไว้ในดวงในของมนุษย์ทุกคน ดังนั้นเราจึงต้องระมัดระวังว่า เราจะทำอย่างไรกับจิตสำนึกผิดชอบของเรา เพราะว่าเป็นของประทานจากเบื้องบนให้แก่พวกเราทุกคนโดยไม่เลือกเชื้อชาติและศาสนา

จิตสำนึกผิดชอบเป็นเครื่องชี้นำพฤติกรรมของเรา นี่เป็นเหตุผลที่ว่าจิตสำนึกผิดชอบมีความสำคัญอย่างไร จิตสำนึกผิดชอบเป็นเครื่องชี้นำการกระทำของเรา ในเรื่องการสร้างความสามัคคีและความสมานฉันท์แห่งชาติ เราควรจะใช้จิตสำนึกผิดชอบเป็นเครื่องชี้นำในการดำเนินงานของกลุ่มต่าง ๆ หากเราสามารถให้จิตสำนึกผิดชอบของเรา ซึ่งทุกคนจะรู้อยู่แก่ใจว่าอะไรดี อะไรเลว แล้ว เราจะต้องมีแนวทางและมาตรฐานที่ถูกต้องเป็นเครื่องนำทาง

จิตสำนึกผิดชอบเสริมสร้างความสามัคคี ท่ามกลางความคิดเห็นที่แตกต่างกันของคนในชาติ แต่สิ่งนี้จะเกิดได้ยาก หากมาตรฐานของจิตสำนึกผิดชอบของคนในชาติ ยังแบ่งแยกเป็นกลุ่ม ๆ แบ่งแยกเป็นสีต่าง ๆ ก็จะก่อให้เกิดปัญหาในด้านความสามัคคีของคนในชาติ ซึ่งส่วนใหญ่จะใช้ประสบการณ์ และความคิดเห็นของตนเองหรือพวกพ้องเป็นสำคัญ โดยไม่คำนึงถึงผลประโยชน์หรือเป้าประสงค์ของชาติเป็นหลัก คนที่มีจิตสำนึกเข้มแข็งก็ก่อให้เกิดปัญหาขึ้นได้ แต่ส่วนมากปัญหาในระดับต่าง ๆ มักจะมาจาก คนที่มีจิตสำนึกอ่อนแอมากกว่า

ดังนั้น จิตสำนึกผิดชอบส่งผลต่อการเป็นพลเมืองที่ดีของเราทุกคน หากเรานำจิตสำนึกผิดชอบนี้ ไปใช้ร่วมกับจริยธรรม และจรรยาบรรณในการทำงาน ซึ่งเป็น Soft Control ผสมผสานกันไปกับ Hard Control ที่พูดถึงการปฏิบัติตามกฎหมาย กฎเกณฑ์ และกติกาของบ้านเมืองและสังคมได้อย่างลงตัว เพื่อก้าวไปสู่การบรรลุวัตถุประสงค์ของการสร้างสันติสุขและสามัคคีของคนในชาติแล้วละก็ โอกาสที่จะประสบความสำเร็จในการดำเนินตามกลยุทธ์นี้ ก็จะเป็นไปได้สูงมาก

 

Posted in คุยกับผู้เขียน
No Comments

ตา กับ ตีน กับความแตกแยกของคนในชาติ และจิตสำนึกของการบริหารเพื่อผลประโยชน์ส่วนรวมของประเทศ ตามหลัก CG / GRC

ตุลาคม 24th, 2009

ท่านผู้อ่านคงจะแปลกใจถึง หัวข้อของคำว่า ตา กับ ตีน ซึ่งเป็นบทกลอนที่ดีที่มีผู้แต่งขึ้น และผมขอนำมาอ้างถึงในครั้งนี้ เพื่อเป็นอุทธาหรณ์ของการบริหารและการจัดการแบบบูรณาการ เพื่อการเติบโตอย่างยั่งยืนขององค์กรและประเทศชาติ ซึ่งเปรียบได้เสมือนหนึ่งร่างกายของมนุษย์ที่มีอวัยวะต่าง ๆ อันประกอบด้วย ตา กับ ตีน และอวัยวะอื่น ๆ อีกมากมาย เช่น ต่อมต่าง ๆ ไต ตับ หัวใจ หลอดเลือด สมอง ปอด ระบบประสาท กล้ามเนื้อ หู คอ จมูก ปาก ++ ประกอบกันเป็นร่างกายของมนุษย์ ที่อวัยวะทุกส่วนต่างก็ทำงานอย่างอิสระ แต่ต้องมีความสัมพันธ์กันอย่างใกล้ชิดอย่างแนบแน่น และแยกกันไม่ได้กับอวัยวะส่วนอื่น ๆ ของร่างกาย เพื่อให้เกิดดุลยภาพที่ดี เพื่อให้เป็นบุคคลที่สมบูรณ์ทั้งทางร่างกายและจิตใจ ที่ต้องทำงานแบบผสมผสานและแยกกันไม่ได้ ซึ่งอาจเรียกได้ว่าอวัยวะทุกส่วนเป็น Interdependency

อวัยวะต่าง ๆ ในร่างกายที่ต้องทำงานสัมพันธ์กัน

คำว่า Interdependency ได้ใช้เป็นหลักในการบริหารองค์กรในภาพรวมที่ทุกหน่วยงาน แม้จะทำงานเป็นอิสระ ภายใต้โครงสร้างขององค์กร แต่ก็ต้องมีการประสานงานกันอย่างใกล้ชิด และมีลักษณะเป็นหนึ่งเดียว เพื่อความแข็งแรงในการบริหารการจัดการ ซึ่งเปรียบได้เสมือนหนึ่งการบริหารประเทศ ที่ประกอบด้วยหลายหน่วยงาน ทั้งทางด้านเศรษฐกิจ การเงิน ด้านความมั่นคง ด้านการบริหารการจัดการ หากเป็นภาพของรัฐ ก็น่าจะได้แก่ การบริหารผ่านกระบวนการทางรัฐสภา ทางศาล ทางการปกครอง ++ นั้น จำเป็นอย่างยิ่งที่จะต้องมีการบริหารแบบบูรณาการ ตามที่ผมได้แสดงเป็นแผนภาพไว้ในครั้งก่อนนี้แล้ว

วันนี้ ผมได้อ่านข่าวหนังสือพิมพ์บางฉบับ ที่กล่าวถึงว่า ทุนนอกจ่อทิ้งมาบตาพุด และวิกฤติมาบตาพุด ลามไปถึงธุรกิจพัฒนาที่ดิน นิคม-เขต-สวนอุตสาหกรรม ย้ำชัดล่อแหลมต่อการลงทุนใหม่ หวั่นปิดฉาก ปิโตรเคมี เหล็ก โรงกลั่นในอีสเทิร์นซีบอร์ด ซึ่งมีผลกระทบถึงทุนใหม่ หากยื้อนาน และมีผลกระทบต่อความเชื่อมั่นอย่างร้ายแรงของชาติ และมีผลกระทบต่อการเจริญเติบโตอย่างยั่งยืนตามหลัก CG ของไทยอย่างชัดเจน

ซึ่งความสำคัญของการดูแลสิ่งแวดล้อมยังเป็นสิ่งที่จำเป็น แต่การดูแลสังคมที่ประกอบด้วยกลุ่มต่าง ๆ ก็มีความสำคัญเช่นกัน ดังนั้น ดุลยภาพในการจัดการโดยรวม เป็นสิ่งที่รัฐจะต้องเป็นผู้นำในเรื่องนี้ และควรจะหาแนวทางจัดการอย่างรวดเร็ว ก่อนที่จะสายเกินไป

ตลอดจนข่าวที่ “ฮุน เซน” จะเชิญ “ทักษิณ” เป็นที่ปรึกษาเศรษฐกิจ และบอกปัดส่งตัวกลับให้ไทย โดยอ้างสนธิสัญญาการส่งผู้ร้ายข้ามแดน ที่เขียนไว้ชัดว่าถ้าเป็นคดีการเมืองไม่ต้องส่งกลับ และระบุปกป้อง “ทักษิณ” ว่าไม่ได้แทรกแซงการเมืองไทย ซึ่งนาย “อภิสิทธิ์” เตือน “ฮุน เซน” ให้คิดให้รอบคอบเรื่อง “ทักษิณ” ว่าเป็นผู้ใหญ่แล้วอย่าไปเป็นเบี้ยหรือเหยื่อให้ใคร อย่าเอาความสัมพันธ์และผลประโยชน์ประชาชนไปแลกกับคนคนเดียว โดยในรายละเอียด ท่านผู้อ่านคงได้ทราบจากข่าวในหนังสือพิมพ์ต่าง ๆ ซึ่งเป็นเรื่องที่ค่อนข้างน่าใจหาย

ในช่วงเวลานี้ ซึ่งเป็นช่วงเวลาที่ประเทศไทยเป็นเจ้าภาพจัดงานประชุมสุดยอดอาเซียน ครั้งที่ 15 และการประชุมสุดยอดอาเซียนกับ 6 ประเทศคู่เจรจาที่ชะอำ – หัวหิน ระหว่างวันที่ 23 – 25 ตุลาคม นี้ เป็นการประชุมที่มีความสำคัญอย่างยิ่งสำหรับประเทศไทย ในการฟื้นฟูความเชื่อมั่นของประชาคมโลก หลังจากที่เคยล้มเหลวมาแล้ว ในการเป็นเจ้าภาพการประชุมแบบเดียวกับที่พัทยา เมื่อเดือนเมษายนที่ผ่านมา

ความร่วมมือระหว่างอาเซียนกับประเทศคู่เจรจา อาจทำให้เกิดเศรษฐกิจที่ยิ่งใหญ่ของโลก ที่มีประชากรรวมกันถึง 3.2 พันล้านคน หรือครึ่งหนึ่งของประชากรโลก และเชื่อว่าจะเป็นแรงขับเคลื่อนอันสำคัญ ที่จะทำให้เศรษฐกิจไทยก้าวหน้าไปด้วย

ประเด็นสำคัญก็คือ การเมืองของประเทศไทยต้องมีความมั่นคง รัฐบาลต้องมีเสถียรภาพ ความยุติธรรมจะต้องจัดสรร และจัดให้มีให้กับคนในสังคมทุกกลุ่ม ตามหลักการของการบริหารและการจัดการบ้านเมืองที่ดี ซึ่งคนไทยทุกคนและทุกฝ่าย จะต้องเชื่อถือและปฏิบัติตามกติกาของสังคม และมีการปฏิบัติโดยเท่าเทียมกัน โดยไม่เห็นแก่พวกพ้อง แต่จะต้องเห็นประโยชน์ของชาติ และยอมรับกติกาประชาธิปไตย ที่มาจากคนส่วนใหญ่ของประเทศ ที่พิจารณาว่าเป็นหลักการสากล ซึ่งเป็นเรื่องสำคัญมาก

นายกมาร์คจับมือกับฮุนเซน

นอกจากนั้น ในปัจจุบันมีข่าวต่าง ๆ มากมายที่เกี่ยวข้องกับความรัก ความสามัคคีของคนในชาติ ที่มีการบริหารงานแบบบูรณาการ ต้องยึดมั่นในกติกา กฎหมาย ข้อบังคับ ของสังคมในชาติ ก็มีข่าวแปลก ๆ ในเรื่องของการรถไฟแห่งประเทศไทย เป็นข่าวไม่น่าสบายใจเกิดขึ้นในสังคมมาโดยตลอด ส่วนหนึ่งเกิดจากการรักพวกพ้อง ผสมผสานกับความรักในการปฏิบัติตามกติกาในสังคมที่ไม่ลงตัว และไม่ได้ดุลยภาพของคนในองค์กร ที่อาจจะมีตัวอย่างที่ไม่น่าปฏิบัติตามในหลายเรื่องของคนในชาติ ในช่วงเวลาที่ผ่านมา

หากเราไม่สนใจผลประโยชน์ของชาติเป็นหลัก ก็คงไม่เดือนร้อนในผลกระทบที่ตามมาในอนาคต ผมจึงขอนำอุปมาและอุปมัย ซึ่งเป็นอุทธาหรณ์ที่ดีและเป็นเรื่องเตือนใจให้คนในสังคมได้ตระหนัก ถึงการปฏิบัติต่อชนชาติในสังคมที่เป็นธรรม ซึ่งจะเป็นที่มาอย่างสำคัญยิ่งของความสมัครสมานสามัคคีในชาติ โดยไม่ต้องให้ชาวต่างชาติมาวิจารณ์ในเรื่องความเป็นธรรม หรือความไม่ถูกต้องในการปฏิบัติในแง่มุมต่าง ๆ ซึ่งล้วนแต่ไม่เป็นผลดีต่อสังคมในชาติ

ต่อไปนี้คือข้อเตือนใจเรื่อง ตา กับ ตีน ซึ่งขอให้ท่านผู้อ่านลองพิจารณาดูนะครับว่า อวัยวะต่าง ๆ ในร่างกายจำนวนมาก ซึ่งจะต้องทำงานด้วยกันเพื่อจะขับเคลื่อนร่างกายให้เป็นปกติ หากอวัยวะหนึ่งอวัยวะใดมีปัญหา อวัยวะอื่นก็จะมีปัญหาตามไปด้วย เพียงแค่ ตา กับ ตีน ในบริบทนี้ เพียง 2 อวัยวะ ก็พาให้ร่างกาย ซึ่งเปรียบเสมือนองค์กรหรือประเทศชาติ ต้องพินาศ ก็น่าจะช่วยเป็นเครื่องเตือนใจให้กับทุกฝ่ายที่เกี่ยวข้อง ในการหาทางออกเพื่อความปรองดอง และเพื่อความอยู่รอดของสังคมในประเทศไทยนะครับ

อุปมา-อุปมัย / นิทานเรื่อง ตา กับ ตีน เพื่อสร้างความรัก ความสามัคคี เพื่อความอยู่รอดของสังคม และประเทศชาติโดยรวม

ท่านผู้อ่านครับ นิทานหรืออาจจะเรียกว่า อุปมา-อุปมัย เรื่อง ตา กับ ตีน ข้างต้น น่าจะเป็นอุทธาหรณ์สอนใจ ก่อให้เกิดจิตสำนึกของคนในสังคม และคนในชาติไทย ที่จะช่วยกันประคับประคอง สร้างความเข้าใจและความปรองดองในชาติให้เกิดขึ้นให้จงได้ มิฉะนั้น ประเทศไทยของเราคงจะถอยหลังไปอีกไกลแสนไกล

เนื่องจากการขาดความสามัคคีของคนในสังคม ในประเทศ และการเอาชนะซึ่งกันและกัน โดยพิจารณามุมมองและเป้าหมายของตนเอง และเป้าหมายของกลุ่มเป็นหลัก โดยไม่ได้พิจารณาความผิด หรือการกระทำที่ไม่ถูกต้องในมุมมองต่าง ๆ ที่กลุ่มหรือตนเองได้กระทำขึ้น แต่กลับมองในมุมมองที่จะเอาชนะซึ่งกันและกัน โดยไม่คำนึงถึงความเสียหายของชนในชาติ และกล่าวโทษความผิดกันไปมา และไม่รู้จักอภัยซึ่งกันและกัน จะทำให้ประเทศไทยขาดความเชื่อมั่น และความน่าเชื่อถือต่อคนสังคมในชาติ และสังคมระหว่างประเทศ อย่างอยากที่จะแก้ไข

จากนิทานเรื่อง ตา กับ ตีน ซึ่งเป็นอวัยวะเพียง 2 ส่วน และอาจเปรียบเทียบได้ว่าเป็น กลุ่ม 2 กลุ่มในสังคมที่มีความเห็นแตกต่างกัน ยังพาองค์กรและประเทศ ซึ่งเปรียบเสมือนร่างกายของเราเอง จนถึงความตายได้ตามบทเรียนข้างต้นนั้น ท่านผู้อ่านลองพิจารณาดูว่า ร่างกายของคนเรานั้น ประกอบด้วยอวัยวะต่าง ๆ มากมายเพียงใด หากจับคู่ จับกลุ่มตีกัน โดยยึดมั่นเป้าหมายของตน แทนเป้าหมายของประเทศชาติ และสังคม จะเกิดอะไรขึ้นกับประเทศไทยที่รักของเราครับ

ขณะที่เขียนเรื่องนี้ ก็ยังปรากฎข่าวทางทีวี กันครึกโครมว่า แหล่งข่าวต่างประเทศได้ตีพิมพ์ และออกข่าววิวาทะ ระหว่างนายกรัฐมนตรีของไทย คุณอภิสิทธิ์ เวชชาชีวะ กับนายกรัฐมนตรีของประเทศกัมพูชา ในเรื่องเกี่ยวกับการให้ความเป็นธรรมและมุมมองที่แตกต่างกันของอดีตนายกรัฐมนตรีของไทย คือ คุณทักษิณ ชินวัตร ซึ่งเป็นเรื่องที่ลามปามข้ามชาติไปแล้วครับ

ผมคงไม่อาจพูดได้ว่า ใครผิดหรือใครถูก เพราะผลกระทบที่เกิดขึ้นมาถึงประเทศไทย และความเชื่อมั่นของประเทศไทยโดยรวมไปแล้ว ประเด็นจึงอยู่ที่ว่า เราจะแก้ไขปัญหาความแตกแยกที่หยั่งลึกไปในสังคมของชาติอย่างที่ไม่เคยเป็นมาก่อนได้อย่างไร และจะเริ่มโดยใคร ใครควรเป็นเจ้าภาพของงานใหญ่โตนี้ และควรจะมีจิตสำนึกถึงผลลัพธ์ที่ควรพิจารณาผลประโยชน์ของประเทศชาติเป็นที่ตั้ง กันแบบใดดี…

ผมตั้งใจจะจบข้อเขียนเพียงวรรคสุดท้ายข้างต้นนั้น แต่เมื่อพิจารณาว่า หากจะออกความเห็นเพิ่มเติมเพื่อประโยชน์ส่วนรวม ก็น่าจะเป็นประโยชน์เพิ่มขึ้น จึงขอออกความเห็นเพิ่มเติมดังนี้

1. การแก้ไขปัญหา และการสร้างความปรองดองของชาติ ต้องเริ่มต้นที่เป้าประสงค์ โดยมีผลประโยชน์ของประเทศชาติ และสังคมโดยรวมเป็นสำคัญ และหลีกเลี่ยงอคติทั้งมวลที่มีอยู่ หลีกเลี่ยงการนำความเกลียด ความกลัว ความเห็นแก่ตัว ความเห็นแก่พวกพ้อง ความอาฆาตมาดร้าย ความคิดในการแก้แค้น ++

2. ร่วมกันให้คำจำกัดความ หรือความหมายของคำว่า ผลประโยชน์ของชาติและสังคมโดยรวม เพื่อการเติบโตอย่างยั่งยืน ว่าหมายถึงอะไรกันแน่ ครอบคลุมและมีขอบเขตเพียงใด เพราะหากคำจำกัดความ หรือความหมายต่างกันแล้ว การดำเนินงานใด ๆ เพื่อนำไปสู่การปฏิบัติก็จะเบี่ยงเบนไปจากเป้าประสงค์หลักได้

เรื่องนี้มีความสัมพันธ์และเกี่ยวข้องกับแนวความคิดทางด้านจริยธรรม และจรรยาบรรณ ซึ่งมาจากจิตสำนึกผิดชอบ หรือความคิดผิดถูกที่มาจากส่วนบุคคล และมาจากแนวความคิดของ Business Ethics ที่ใช้เป็นคำถามเพื่อหาคำตอบของการตัดสินใจว่า ผิดหรือถูก ดังต่อไปนี้

หากตกลงกันในเรื่องผลประโยชน์ของชาติ และหาคำจำกัดความที่ตรงกันไม่ได้ ในบรรดาผู้บริหารของประเทศที่เกี่ยวข้องกับกลุ่มต่าง ๆ ที่มีความสัมพันธ์กันในลักษณะที่มีเป้าประสงค์แตกต่างกันอย่างยิ่งนั้น การก้าวเดินเพื่อแก้ไขหรือจัดการกับปัญหา ความสามัคคีของคนในชาติก็คงเกิดขึ้นได้ยากนะครับ

คงจะจำได้นะครับว่า ผมเคยพูดถึงการกำหนดเป้าประสงค์ในระดับต่าง ๆ ต้องใช้หลัก SMART เป็นสำคัญ หากเป้าหมายหรือวัตถุประสงค์ไม่เป็นไปตามหลักการ SMART ก็จะทำให้กลยุทธ์และการดำเนินการต่าง ๆ ในการก้าวสู่วัตถุประสงค์เป็นไปไม่ได้..

 

Posted in COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ
Tags: , , , , ,
One Comment

การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553

ตุลาคม 21st, 2009

เมื่อครั้งที่ก่อน ผมได้พูดคุยกันไปบ้างแล้ว ถึงเรื่องการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ที่ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ซึ่งจะใช้ในปี 2553 โดยใช้หลักการ GRC เป็นเกณฑ์เบื้องต้น

วันนี้เรามาดูกันว่า แนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ทั้ง 2 ส่วน ดังที่กล่าวไปแล้ว ในเกณฑ์ใดบ้างที่มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์ประเมินผลฯ ปี 2552 และมีเกณฑ์การพิจารณาอย่างไรกันบ้าง

ส่วนที่หนึ่ง เกณฑ์การพิจารณาการบริหารความเสี่ยง
ระดับ 1 : การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

1. มีแนวทางบริหารความเสี่ยงในเชิงรับเป็นส่วนใหญ่หรือมีการบริหารความเสี่ยงในระดับเบื้องต้น

1.1. รัฐวิสาหกิจขาดการบริหารจัดการความเสี่ยง การพิจารณาปัจจัยเสี่ยงหรือการดำเนินการแก้ไขปัญหาเป็นการดำเนินการภายหลังจากที่เกิดเหตุการณ์หรือความเสียหายแล้ว เช่น ในกรณีที่รัฐวิสาหกิจ มีธุรกรรมเกี่ยวกับเงินตราต่างประเทศ แต่ไม่ได้มีการบริหารความเสี่ยงด้านอัตราแลกเปลี่ยนเลย ต่อเมื่อมีความเสียหาย เช่น การขาดทุนจากอัตราแลกเปลี่ยนเกิดขึ้นจากความผันผวนของอัตราแลกเปลี่ยน รัฐวิสาหกิจจึงเริ่มศึกษาหรือบริหารความเสี่ยงจากอัตราแลกเปลี่ยน เป็นต้น

1.2. รัฐวิสาหกิจยังไม่มีการดำเนินการเบื้องต้น โดยการกำหนดกระบวนการ/ดำเนินการสร้างความตระหนักเกี่ยวกับความสำคัญหรือความรู้ความเข้าใจของการบริหารความเสี่ยงในองค์กรต่อคณะกรรมการ ผู้บริหาร และพนักงานเท่านั้น ซึ่งกระบวนการสร้างความรู้ความเข้าใจดังกล่าว เช่น การจัดสัมมนาทั้งภายนอกและภายในองค์กรการจัดนิทรรศการ ป้ายประชาสัมพันธ์ วารสารภายใน และเสียงตามสาย เป็นต้น

การฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยง ต้องมีการให้ความรู้กับผู้บริหาร (3 อันดับแรก) และพนักงาน (พนักงานทุกคนในกรณีที่เป็นองค์กรขนาดเล็ก / ในกรณีองค์กรขนาดใหญ่ ต้องมีการสื่อสารและฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหาร

ความเสี่ยงสำหรับพนักงานในระดับที่เกี่ยวข้องในการรับผิดชอบในแต่ละปัจจัยเสี่ยง) และมีการสื่อสารสำหรับนโยบายหลักปฏิบัติในการบริหารความเสี่ยง

2. แนวทางในการบริหารความเสี่ยงยังไม่เป็นระบบ โดยเข้าเกณฑ์ข้อใดข้อหนึ่ง ดังต่อไปนี้

2.1. รัฐวิสาหกิจยังมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีที่ไม่ครบถ้วน ซึ่งองค์ประกอบหลักๆ ที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ยความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วย ความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนดวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2)
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลการบริหารความเสี่ยง

2.2. รัฐวิสาหกิจไม่มีการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

2.3. รัฐวิสาหกิจมีองค์ประกอบหลักข้างต้นของการบริหารจัดการความเสี่ยงที่ดีครบถ้วนทั้ง 5 องค์ประกอบ แต่ขาดการกำหนดวิธีการจัดการต่อความเสี่ยงที่มีลำดับความเสี่ยงสูง

2.4. การดำเนินการของรัฐวิสาหกิจขาดความสอดคล้องระหว่างองค์ประกอบหลักทั้ง 5 องค์ประกอบข้างต้น เช่น
– มีการระบุการกำหนดวิธีการจัดการต่อความเสี่ยงไม่ครบหรือไม่ตรงตามที่วิเคราะห์และระบุ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดการต่อความเสี่ยงเพียง 3 ประเภทเท่านั้น
– การระบุถึงความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ไม่ครบหรือ
ไม่สอดคล้องกับความเสี่ยงที่ระบุไว้ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการระบุถึงความเสียหายที่อาจจะเกิดขึ้น (ระดับความรุนแรง x โอกาสของการเกิดความเสี่ยง) เพียง 3 ประเภทเท่านั้น
– การจัดทำรายงานการบริหารความเสี่ยงและการประเมินผล ไม่ครบหรือไม่สอดคล้องกับ
ความเสี่ยงที่ระบุไว้ เป็นต้น เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดทำรายงาน
การบริหารความเสี่ยงและการประเมินผลเพียง 3 ประเภทเท่านั้น เป็นต้น

3. รัฐวิสาหกิจไม่มีคณะทำงาน หน่วยงานหรือผู้รับผิดชอบเพื่อบริหารจัดการความเสี่ยงในระดับองค์กร

4. รัฐวิสาหกิจไม่มีคู่มือการบริหารความเสี่ยง

การปรับเกณฑ์การประเมินผลฯ ปี 2553

ระดับ 2 : การบริหารความเสี่ยงเบื้องต้นที่มีระบบ
ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

1. การบริหารความเสี่ยงของรัฐวิสาหกิจเป็นกลยุทธ์ระยะสั้น

1.1. แผนงานการบริหารความเสี่ยงปรากฏในแผนกลยุทธ์ประจำปีของ รส.

1.2. เป้าหมายในแผนบริหารความเสี่ยง สอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีของ รส.

1.3. การดำเนินงานจัดทำแผนบริหารความเสี่ยงประจำปี ต้องมีการพิจารณาแผนการปฏิบัติการประจำปีของ รส. ที่เป็นแผนงานปกติ (แผนงานควบคุมภายใน) ที่จะจัดการความเสี่ยงที่มีอยู่ (Inherent Risk) ได้ว่ามีความเหมาะสมและ/หรือมีความเพียงพอหรือไม่ หากมีความไม่เหมาะสมและ/หรือมีความไม่เพียงพอ จะมีการหารือร่วมกันระหว่างหน่วยงานที่รับผิดชอบในการจัดทำแผน และหน่วยงานบริหารความเสี่ยง

2. รัฐวิสาหกิจมีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ เพื่อรับผิดชอบและติดตาม ในการบริหารจัดการความเสี่ยง ซึ่งโครงสร้างของคณะทำงานหรือผู้รับผิดชอบยังเป็นลักษณะเฉพาะกาล (เช่น คณะทำงานมีอายุการทำงานเพียง 1 ปี หรือ มีการทำงานเฉพาะเรื่องเพื่อเสนอเข้าคณะกรรมการพิจารณาเป็นคราวไป เป็นต้น) และ/หรือยังไม่มีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (ผลงานที่เป็นรูปธรรม ได้แก่ ผลงานที่นอกเหนือจากการประชุม เช่น การมีโครงการนำร่องในการพัฒนาระบบบริหารความเสี่ยง เป็นต้น)

3. มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ

3.1. รัฐวิสาหกิจมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหาร ความเสี่ยงในแต่ละปัจจัยเสี่ยงอยู่ ซึ่งองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง โดยการระบุความเสี่ยงต้องระบุความเสี่ยงครบทุกด้าน (เช่น ความเสี่ยงทั้ง 4 ด้านตามที่กระทรวงการคลังระบุ ได้แก่ ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยงด้านการดำเนินงาน (Operational Risk) ความเสี่ยงด้านธุรกิจ (Business Risk) และความเสี่ยงจากเหตุการณ์ภายนอก (Event Risk) เป็นต้น หรือ ความเสี่ยง 4 ด้านที่แบ่งออกเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

3.2. การดำเนินงานบริหารความเสี่ยงดังกล่าวเป็นการดำเนินงานเฉพาะส่วนหรือฝ่าย ไม่ใช่ในระดับองค์กร และ/หรือไม่ครบถ้วนตามที่ระบุและวิเคราะห์ไว้ หรือรัฐวิสาหกิจไม่มีการจัดทำ Risk Map (การแสดงความสัมพันธ์ของความเสี่ยงในแต่ละส่วนขององค์กร เพื่อแสดงผลกระทบของความเสี่ยงที่มีต่อกันในแต่ละฝ่าย เพื่อสะท้อนถึงภาพรวมความเสี่ยงขององค์กร) โดยระบุถึงสาเหตุของความเสี่ยงในแต่ละด้าน รวมถึงมีการวิเคราะห์ปัญหาที่เกิดขึ้น เพื่อที่จะทราบถึงต้นเหตุของการเกิดความเสี่ยงนั้น ๆ

3.3. รส. โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ ทั้งนี้ รส. จะต้องใช้ฐานข้อมูลในอดีต หรือการคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4. รัฐวิสาหกิจมีการจัดทำคู่มือบริหารความเสี่ยง และเผยแพร่ให้กับพนักงานทุกระดับ
คู่มือการบริหารความเสี่ยงที่ดี ควรประกอบไปด้วย
1) โครงสร้างของการบริหารความเสี่ยงขององค์กร (หน่วยงานที่รับผิดชอบด้านการบริหารความเสี่ยง / ระบบการติดตามงาน/การรายงานผลการบริหารความเสี่ยง)
2) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
3) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
4) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
5) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของ ความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
6) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง
รวมถึงคู่มือการบริหารความเสี่ยงดังกล่าวต้องมีการเผยแพร่ให้กับพนักงานทุกระดับผ่านช่องทางที่เหมาะสม โดย รส. จะต้องมีกระบวนการในการตรวจสอบถึงความเข้าใจของผู้บริหารและพนักงานในคู่มือดังกล่าว หากผลสำรวจถึงความเข้าใจในคู่มือต่ำกว่าที่ รส. ที่ประมาณการไว้ รส. ต้องดำเนินการปรับปรุงในจุดที่ต้องการแก้ไข อย่างเร่งด่วน และเผยแพร่ใหม่ในช่วงปีที่ประเมิน

สำหรับเกณฑ์การพิจารณาการบริหารความเสี่ยง ระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ในส่วนที่ 1 นี้นั้น ผมจะขอไปต่อในคราวหน้านะครับ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง
Tags: ,
No Comments

มาบตาพุดกับการบริหารแบบบูรณาการ เพื่อผลประโยชน์ของผู้มีส่วนได้เสีย / Stakeholders

ตุลาคม 16th, 2009

ท่านผู้อ่าน รู้สึกอึดอัดบ้างไหมครับ เกี่ยวกับกรณีมาบตาพุดและสิ่งแวดล้อม ที่มาจบลงด้วยการตัดสินของศาลปกครองให้ระงับชั่วคราว 76 โครงการที่กำลังก่อสร้าง และตามมาด้วยหน่วยงานที่รักษาผลประโยชน์และสิ่งแวดล้อม จะฟ้องร้องต่อศาลปกครองให้ระงับโครงการต่าง ๆ ทั่วประเทศกว่า 500 โครงการที่ส่งผลกระทบต่อสิ่งแวดล้อม !?!

หากท่านเป็นนักลงทุน หากท่านเป็นนักบริหาร หากท่านเป็นนักการเงิน หากท่านต้องการให้ลูกหลานมีงานทำ หากท่านเป็นผู้นำของประเทศ ที่ต้องการเห็นความเจริญเติบโตจากเศรษฐกิจ การเงิน การลงทุน การสร้าง GDP ของชาติ ให้เติบโตเพื่อรองรับแรงงานใหม่ ๆ เข้าไปสู่ในอุตสาหกรรมภาคบริการต่าง ๆ ท่านกำลังคิดอะไรอยู่บ้างครับ?

ท่านคงเคยได้ยิน กรณีโรงงานไฟฟ้าที่อำเภอแม่เมาะ จังหวัดลำปาง ที่ใช้ถ่านหินเป็นเชื้อเพลิง และมีมลพิษที่อาจเกินมาตรฐาน และก่อให้เกิดการต่อต้านของประชาชนที่อยู่ในบริเวณนั้น ในที่สุด กฟผ. ก็แก้ไขปัญหาเรื่องมลพิษได้เรียบร้อย จนเราไม่ได้ยินเสียงร้องเรียนเกี่ยวกับมลพิษที่อำเภอแม่เมาะ จังหวัดลำปาง ในช่วงหลายปีที่ผ่านมา

หากเราต้องปิดโรงไฟฟ้าที่อำเภอแม่เมาะ จังหวัดลำปาง แทนการให้โอกาส กฟผ. / โรงไฟฟ้าได้ปรับปรุงแก้ไขปัญหามลพิษ อะไรจะเกิดขึ้นบ้างครับ?

ผมกำลังอยากจะพูดว่า ปัญหาสิ่งแวดล้อม และการระงับ 76 โครงการที่ผ่านมา และกำลังจะมีการระงับอีกกว่า 500 โครงการที่ตามมาหรือไม่นั้น คงไม่ต้องพูดถึงเรื่องผลกระทบต่อสังคม และประเทศชาติในภาพกว้าง และความเชื่อถือของคนต่างชาติต่อประเทศไทยโดยรวม เพียงแค่การสร้างความน่าเชื่อถือ ก็เป็นเรื่องต้องใช้เวลานานมาก ๆ นั้น เราก็ยังขาดผู้ดูแลการบริหารการจัดการ ในระดับชาติ ในภาพโดยรวมที่อาจเรียกว่า เป็นการบริหารแบบบูรณาการ ตามที่ผมได้เคยออกความเห็นไว้ในบทความนี้และบทความอื่น ๆ ไปพอสมควรแล้ว

ในขณะนี้ ในหลายองค์กรและประเทศไทยโดยรวม ก็ยังขาดเจ้าภาพในการบริหารภาพโดยรวม ทั้งในระดับองค์กร และการบริหารแบบบูรณาการของสังคม และประเทศชาติ ในหลายมุมมอง และในแต่ละมุมมองก็จะเกี่ยวข้องและมีผลกระทบซึ่งกันและกัน ตามหลักการของ Balance Scorecard ซึ่งมี 4 มุมมอง และตามหลักการของ GRC – Governance + Risk Management + Compliance ซึ่งเป็นแนวการบริหารในลักษณะบูรณาการที่ต่อยอดจากหลักการบริหารความเสี่ยงทั่วทั้งองค์กร ที่สามารถประยุกต์ใช้ในระดับชาติได้ ใน 4 มุมมอง ก็คือ การบริหาร Strategic Risk, Operational Risk, Reporting and Financial Risk และ Compliance Risk

ประเทศของเราในปัจจุบันกำลังสับสน และวุ่นวาย กับสภาพแวดล้อม สภาพของความไม่เข้าใจของคนในสังคมเดียวกัน การขาดทิศทางการบริหารแบบบูรณาการ ซึ่งตัวอย่างกรณีมาบตาพุด เป็นตัวอย่างที่ดีที่อาจจะเรียกว่าเป็นบทเรียนอีกบทหนึ่ง ที่ยังขาดทิศทางที่ชัดเจนในปัจจุบัน

ถึงแม้ว่า จะมีการออกกฎหมายลูก เพื่อสร้างความชัดเจน และมีผู้ดูแลภาพโดยรวมของสิ่งแวดล้อมออกมาในระยะเวลาข้างหน้าก็ตาม หากผู้บริหารในองค์กรและผู้บริหารในระดับชาติและสังคมโดยรวม ยังมีความเข้าใจที่แตกต่างกันของการบริหารความเสี่ยงในระดับชาติ เพื่อก้าวไปสู่เป้าประสงค์หลัก ในการสร้างความเติบโตอย่างยั่งยืนให้กับประชาชนในสังคมแล้ว เราก็คงเป็นประเทศที่จะถอยหลังในด้านการแข่งขันระหว่างชาติ และความเชื่อถือของสังคมระหว่างประเทศ ที่จะมีผลกระทบอย่างร้ายแรงต่อการกินดีอยู่ดีของคนในประเทศชาติ ที่เราควรจะได้มีการทบทวนกันในหน่วยงานที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่ง การเป็นผู้นำเรื่องนี้จากภาครัฐบาล

 

Posted in COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ
Tags:
No Comments

จิตสำนึกกับการบริหาร เพื่อการจัดการที่ดี / Conscience and Good Governance

ตุลาคม 16th, 2009

ความจริงผมตั้งใจที่จะให้หัวข้อคุยกับผู้เขียนนี้ เป็นเรื่องที่ท่านผู้อ่านที่สนใจในบทความต่าง ๆ ของผม ได้เขียนคำถาม หรือเล่าเรื่องที่จะเป็นประโยชน์กับผู้มีผลประโยชน์ร่วม และสังคม มาลงในหัวข้อนี้ และถ้าเป็นคำถาม ผมจะเป็นผู้ตอบในเรื่องที่เกี่ยวข้อง เช่น เรื่องเกี่ยวกับการตรวจสอบ IT Audit / Non – IT Audit หรือ Manual Audit ในเรื่องการบริหารความเสี่ยงทั่วทั้งองค์กร ในเรื่องการกำกับดูแลกิจการที่ดี ที่รู้จักกันในนามของคำว่า CG และมีเรื่องที่เกี่ยวเนื่องตามมาอีกมากมาย เช่น ITG และ GRC++ เป็นต้น

ในกรณีที่ยังไม่มีคำถามที่สำคัญ ผมก็จะเล่าเรื่องต่าง ๆ ที่ไม่ปรากฎอยู่ในหัวข้ออื่น ๆ ในเว็บนี้ เช่น ขณะนี้ผมกำลังจะเล่าเรื่อง จิตสำนึก หรือ มโนธรรม กับการจัดการที่ดี ซึ่งมีความสัมพันธ์กันอย่างใกล้ชิด แต่ก็ไม่เหมือนกับคำจำกัดความของคำว่า “จริยธรรม” และ “จรรยาบรรณ” เสียทีเดียว

คำว่า จิตสำนึก หรือ มโนธรรม ในความเห็นของผม อยู่ในระดับที่เหนือ หรือสูงกว่า คำว่า จริยธรรม และ จรรยาบรรณ ด้วยซ้ำ เพราะจิตสำนึก เป็นเรื่องของตระหนักความผิดถูก ที่มาจากจิตใจ หรือ จิตวิญญาณ / Spiritual ที่มีความหมายและนัยโน้มไปในทาง ความเชื่อ ที่เป็นความถูกหรือความผิด จากการตัดสินใจหรือการกระทำของตนเอง และสามารถระบุ หรือบอกตัวเองได้ว่า ตนเองได้ทำถูกหรือทำผิด จากความคิดที่ถูกต้อง หรือความคิดที่บิดเบือนไปจากหลักการที่ถูกต้อง และมาจากจิตใจของตนเองที่ไม่มีใครสามารถบังคับได้

ท่านจำได้ไหมครับว่า เมื่อท่านยังเป็นเด็ก หรือเมื่อครั้งที่เรายังไม่รู้ประสีประสาอะไรกับจริยธรรม หรือศีลธรรม แต่เมื่อเราทำบางสิ่งบางอย่างที่เป็นความผิด เราก็รู้ว่ามีสิ่งที่รบกวนเราอยู่ภายในเรา นั่นแหละครับ คือจิตสำนึกผิดชอบ / Conscience แหละครับ

จิตสำนึกผิดชอบเป็นเครื่องชี้นำพฤติกรรมของท่าน และของพวกเราทุกคน

ศาสดาของชาวคริสเตียนตรัสว่า จิตสำนึกผิดชอบนั้น เปรียบเสมือนดวงตาของเรา ดวงตาไม่ได้เป็นต้นกำเนิดของความสว่าง แต่เป็นช่องทางที่ความสว่างนั้นเข้ามาถึงชีวิตของเรา เมื่อมีความสว่างลอดเข้ามาที่ดวงตา เราก็สามารถมองเห็น หรือสามารถบ่งบอกทิศทางที่ต้องการได้

แต่ถ้าเราเป็นคนตาบอด หรือเสียทัศนะในการมองเห็นภายหลังที่มีตาเป็นปกติแล้ว ความสว่างก็ไม่สามารถลอดเข้ามาให้เราได้เห็นอีก เราจึงอยู่ท่ามกลางความมืด ถึงแม้มีความสว่างรอบ ๆ ตัวเราก็ตาม นี่เป็นความจริงใช่ไหมครับ ที่พวกเราได้เห็นอยู่ในปัจจุบัน

เป็นสิ่งที่น่าสะพรึงกลัวเหลือเกิน เมื่อความสว่างกลับกลายเป็นความมืด สิ่งที่ควรนำเราไปในทิศทางที่ถูกต้อง กลับนำเราไปในทิศทางหรือหนทางที่ผิด เพราะเรามองไม่เห็น ในหลักการของพระคัมภีร์กล่าวถึงสิ่งนี้ว่า เป็นจิตสำนึกผิดชอบที่ชั่วร้าย

มีคนบางคนรู้สึกไม่สบายใจเมื่อทำดี แต่กลับมีความสุขเมื่อได้ทำชั่ว สิ่งนี้แหละเป็นจิตสำนึกผิดชอบที่ชั่วร้าย คนเหล่านี้แหละที่เรียกสิ่งดีว่า “เลว” และเรียกสิ่งเลวว่า “ดี” จิตสำนึกผิดชอบที่ชั่วร้ายเป็นเช่นนี้แหละ จิตสำนึกผิดชอบของท่านเปรียบเหมือนหน้าต่างกระจก และหน้าต่างนี้เป็นทางซึ่งแสงสว่างส่องเข้ามาในชีวิต อย่าปล่อยให้ความสว่างกลายเป็นความมืด

ความแตกแยกจากความคิด จากมุมมองที่แตกต่างกันในชาติเราในปัจจุบัน ที่พิจารณาในมุมมองของตนเองเป็นหลัก ไม่ได้พิจารณามุมมองและความต้องการของสังคมหรือประเทศชาติเป็นหลัก ซึ่งอาจจะเกิดจาก ความคิดที่ไม่สะอาด ความเกลียด ความอิจฉาริษยา การแข่งขันชิงดีชิงเด่น ความกลัว การเป็นศัตรูกัน ความเห็นแก่ตัวและพวกพ้อง การแตกก๊กกัน การทุ่มเถียงถึงความเห็นและเป้าหมายที่แตกต่าง การเยาะเย้ยโจมตีผู้อื่น การหลอกลวงที่มีเล่ห์กลเฉพาะตนหรือเฉพาะกลุ่ม การคดโกง การนินทา ความโลภ ความโอ้อวด +++ ที่ขาดจุดยึดเหนี่ยวจากจิตวิญญาณ และจิตสำนึกรับผิดชอบที่มีต่อสังคมและประเทศชาติเป็นสำคัญ

หากเราขาดมาตรการที่เหมาะสม ผู้นำที่เหมาะสม การศึกษาที่เหมาะสม การปลูกจิตสำนึกที่เหมาะสม ตั้งแต่วัยเยาว์ แต่มีตัวอย่างมากมายของจิตสำนึกชั่วร้ายมากกว่าจิตสำนึกผิดชอบชั่วดี ทั้งบุคคลและประเทศชาติ และสังคมโดยรวม ก็จะพบกับปัญหายิ่งใหญ่ และมีผลกระทบร้ายแรงจนเกินกว่าระดับที่ยอมรับได้ (Risk Appetite / Risk Tolerance) ซึ่งเกิดจากการขาดทิศทาง นโยบาย กลยุทธ์ในการดำเนินงาน แผนการดำเนินงาน ที่มีลักษณะเป็นบูรณาการ เพื่อการเติบโตอย่างยั่งยืนของชาติ ซึ่งไม่เป็นไปตามหลัก CG เป็นสำคัญ

ความเป็นรูปธรรมตามที่กล่าวข้างต้น ยังไม่ชัดเจนมากนักใช่ไหมครับ แต่สิ่งที่เรารู้กันอยู่ก็คือ ประเทศไทยโดยรวม สังคมโดยรวม กำลังอยู่ในห้วงอันตรายที่ต้องการจิตสำนึกและความรับผิดชอบที่ดี ซึ่งจะเกิดขึ้นได้ยาก หากทุกคนไม่ร่วมมือกันในการสร้างจิตสำนึกที่ดี เพื่อการจัดการที่ดีและเพื่อการเติบโตอย่างยั่งยืนของประเทศชาติ

ตอนต่อไป เราจะมาพูดถึงเรื่อง การสร้างจิตสำนึกที่ดีในทางปฏิบัติ ให้เป็นรูปธรรมมากขึ้นแทนจิตสำนึกผิดชอบที่อ่อนแออยู่ในปัจจุบัน

 

Posted in คุยกับผู้เขียน
Tags: ,
2 Comments

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/