Archive for ตุลาคม 5th, 2009

ขั้นตอนในการวางแผนการตรวจสอบ เพื่อสร้างคุณค่าเพิ่มให้กับองค์กร โดยรวม ภายใต้สภาพแวดล้อมปัจจุบัน

การวางแผนการตรวจสอบ เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม หรือ Stakehoders ในมุมมองของภาพโดยรวม ซึ่งเป็นการตรวจสอบทางด้าน It (IT Audit) และ Non – IT มีแนวทางในการพิจารณาดำเนินการ โดยหัวหน้าผู้ตรวจสอบ ดังนี้

1. ระบุความต้องการของฝ่ายบริหาร เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders ในมุมมองของ หัวหน้าผู้ตรวจสอบ และฝ่ายตรวจสอบภายในขององค์กร ก็คือ การพิจารณาว่า คณะกรรมการและฝ่ายบริหารขององค์กร ต้องการสร้างคุณค่าเพิ่มให้กับ Stakeholders ในมุมมองใดบ้าง

2. รวบรวมข้อมูลที่เกี่ยวข้องกับการขับเคลื่อนกลยุทธ์ ทั้ง 4 มุมมอง ให้สัมพันธ์กับสภาพแวดล้อมที่เป็นอยู่ในปัจจุบัน เช่น ในกรณีที่เป็นเศรษฐกิจขาลง ผู้ตรวจสอบก็ควรพิจารณา วางแผนการตรวจสอบ ที่เน้นไปทางด้านการตรวจสอบกลยุทธ์ ให้มีน้ำหนักมากขึ้น และให้น้ำหนักที่เกี่ยวข้องกับการตรวจสอบ การปฏิบัติตามกฎหมายกฎเกณฑ์ให้น้อยลง เป็นต้น

ทั้งนี้ ผู้ตรวจสอบยังคงให้ความสำคัญในการตรวจสอบความเสี่ยงจากการดำเนินงาน ที่จะมีผลกระทบต่อความเสี่ยงทางด้านกลยุทธ์ ทางด้านการเงิน และการรายงานต่าง ๆ และมีผลกระทบต่อการปฏิบัติตามกฎหมาย กฎเกณฑ์ โดยพิจารณาในภาพผลกระทบที่ต่อเนื่องจากการดำเนินงานที่มีจุดอ่อนต่าง ๆ เป็นสำคัญ

3. เพิ่มและให้น้ำหนักการตรวจสอบทางด้านการทุจริต และการใช้เทคโนโลยีเข้าช่วยในการตรวจสอบให้มากขึ้น ทั้งนี้ โดยเชื่อมโยงวัตถุประสงค์เชิงกลยุทธ์ ที่มีเป้าหมายในการขับเคลื่อนการสร้างคุณค่าเพิ่มต่าง ๆ ขององค์กร

4. เชื่อมโยงความเสี่ยงทางด้านการตรวจสอบ ที่มาจากฝ่ายจัดการ จากการบริหารความเสี่ยงที่ไม่ได้ผล โดยเฉพาะอย่างยิ่ง ความเสี่ยงจากการที่ข้อมูลและสารสนเทศ เชื่อถือได้ในระดับจำกัด ให้เข้ากับการวางแผนการตรวจสอบ ทางด้าน IT และ Non – IT

5. ลดขนาดของการตรวจสอบงานประจำ ที่สร้างคุณค่าเพิ่มน้อยลงไป หรือในกรณีที่ทรัพยากรมีจำกัด งานประเภทที่มีคุณค่าเพิ่มต่ำ ก็อาจจัดอยู่ในการตรวจสอบระดับท้าย ๆ

6. ระดมความคิดเห็นจากผู้ตรวจสอบ ในแนวทางที่จะช่วยลดต้นทุนในการดำเนินงาน และการใช้ทรัพยากรในการตรวจสอบ และนำไปหารือกับคณะกรรมการตรวจสอบ ที่เข้าใจความต้องการ และทิศทางในการดำเนินงานของคณะกรรมการ ในการขับเคลื่อนธุรกิจ ภายใต้สภาพแวดล้อมที่เป็นอยู่ในปัจจุบัน และกลยุทธ์ที่เปลี่ยนแปลงไป และนำข้อมูลที่ได้รับมาปรับปรุงแผนการตรวจสอบ ให้สัมพันธ์กับทรัพยากรของฝ่ายตรวจสอบภายในที่มีอยู่

7. ให้ระบุกระบวนการในการประมวลข้อมูลที่ขาดประสิทธิภาพในการดำเนินงาน (Inefficient Processes) ที่มีอยู่ ภายใต้สถานการณ์การควบคุมที่เป็นปัจจุบัน ที่จำเป็นต้องเปลี่ยนแปลง หรืออาจต้องเปลี่ยนแปลงให้เหมาะสมกับสภาพแวดล้อม ที่มาจากภายนอกและภายในองค์กร

8. ประเมินความเสี่ยงจากการบริหารและการจัดการ ที่อาจมองข้ามจุดอ่อนของการควบคุมกิจกรรม และกระบวนการทำงาน ที่มาจากระบบคอมพิวเตอร์ ทั้งทางด้าน General Control และ Application Control และจุดอ่อนจากกระบวนการบริหารความเสี่ยงเชิงรุก ที่ไม่อาจนำหลักการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO – ERM) มาใช้ได้อย่างมีประสิทธิผลและประสิทธิภาพ

9. ทบทวนและสอบทานจุดอ่อนจากบทเรียนขององค์กรอื่น ๆ ภายใต้สภาพแวดล้อมที่เกี่ยวข้องกับทางด้านเทคโนโลยีสารสนเทศและการจัดการที่ดี อย่างเช่น การนำบทเรียนกรณีทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่ที่สุดเป็นอันดับ 2 ของประเทศฝรั่งเศส และเสียหายจากการทุจริตและการดำเนินงาน เป็นเงินประมาณ 4 แสนล้านบาท จากการทุจริตของคน ๆ เดียว และกรณีทุจริตต่าง ๆ ที่เกิดจาก คน + กระบวนการดำเนินงาน + เทคโนโลยี ซึ่งรวม ๆ เรียกว่า ความเสี่ยงในการดำเนินงาน หรือ PPT – People – Process – Technology และพิจารณาวางแผนการตรวจสอบ เพื่อปิด Gap ต่าง ๆ ที่อาจจะเกิดขึ้นจาก Lesson Learned จากกรณีของต่างประเทศ และภายในประเทศที่ได้เกิดขึ้นแล้ว เพื่อไม่ให้เกิดซ้ำอีกในองค์กรของเรา

10. พิจารณาในภาพโดยรวม จากปัจจัยต่าง ๆ ที่กล่าวข้างต้น รวมทั้ง แนวทางเพื่อลดต้นทุนภายในองค์กรที่อาจจะเกิดจากจุดอ่อน จากการละเลยมิได้มีการพิจารณานำหลักการของ GRC – Governance, Risk, Compliance ที่เป็นแนวการปฏิบัติที่ดี ภายใต้กรอบ CG และ ITG ซึ่งเป็นการบริหารและขับเคลื่อนในลักษณะ Integrity – Driven Performance ซึ่งจะช่วยลดต้นทุนในการดำเนินงาน และสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ได้เป็นอย่างดี

11. ประเมินศัยกภาพ (Competency) ของทรัพยากรภายในองค์กร โดยเฉพาะอย่างยิ่ง ภายในสายงานการตรวจสอบ ทางด้าน IT และ Non – IT ถึงความพร้อมในการปฏิบัติงานตรวจสอบ ให้ได้มาตรฐาน และสัมพันธ์กับความก้าวหน้าทางด้านเทคโนโลยีสารสนเทศ ที่พัฒนาไปอย่างรวดเร็ว และมีผลกระทบโดยตรงต่อความเสี่ยงที่จะก้าวไปสู่ความสำเร็จตามเป้าประสงค์ ตามหลักการของ Balanced Scorecard และกลยุทธ์ที่เกี่ยวข้องทั้ง 4 มุมมอง

12. สร้างดุลยภาพในการวางแผนการตรวจสอบ ตามข้อมูลข้างต้น และนำผลดังกล่าวไปใช้ในการปฏิบัติงานตรวจสอบ เพื่อให้ได้ผลตามเป้าประสงค์ของ Stakeholders และผู้บริหารที่เกี่ยวข้อง ตามสภาพแวดล้อมที่เป็นอยู่

สำหรับการปฏิบัติการตรวจสอบจริง ก็ควรพิจารณามุมมองในการสร้างคุณค่าเพิ่มให้กับ Stakeholders ที่ครอบคลุมหัวข้อต่าง ๆ ทั้งทางด้าน IT และ Non – IT ตามแผนภาพที่ได้แสดงไว้ข้างต้น และให้คำแนะนำที่เหมาะสมกับการจัดการตามมาตรฐานการตรวจสอบที่เกี่ยวข้อง และเป็นไปได้ต่อไป

ท่านผู้ตรวจสอบครับ จากประสบการณ์การตรวจสอบ ทั้งทางด้าน IT และ Non – IT ของผมในช่วงเวลาที่ผ่านมา จุดอ่อนที่สำคัญยิ่งขององค์กรและผู้ตรวจสอบก็คือ การจัดโครงสร้างขององค์กรไม่เหมาะสม ขาดการประสานงานที่เป็นรูปธรรม ระหว่างผู้ตรวจสอบทางด้าน IT และ Non – IT อย่างมีนัยสำคัญ ทำให้การใช้ทรัพยากรของผู้ตรวจสอบสูญเสียโดยเปล่าประโยชน์อย่างมาก และคำแนะนำในการสร้างคุณค่าเพิ่มให้กับ Stakeholders ก็เป็นไปอย่างจำกัด

ทั้งนี้เพราะ มีปัญหาจากมุมมองการบูรณาการ การตรวจสอบ ที่ได้ดุลยภาพ ที่สัมพันธ์กับวิสัยทัศน์ พันธกิจ กลยุทธ์ ที่ถ่ายทอดเป็นแผนปฏิบัติในระดับต่าง ๆ ซึ่งต่อไป องค์กรที่ใช้คอมพิวเตอร์อย่างมีนัยสำคัญในการดำเนินงาน เช่น สถาบันการเงินต่าง ๆ จะพบกับความท้าทายของเทคโนโลยีที่มีผลกระทบอย่างสำคัญยิ่ง ต่อ Business Process ที่จะก้าวไปสู่ Business Objective ต่าง ๆ ขององค์กร

สรุปอีกครั้งก็คือ คณะกรรมการและผู้บริหารขององค์กรต่าง ๆ ควรประเมินช่องว่างระหว่างศักยภาพของบุคลากร ที่ควรมีความรู้ขั้นต่ำที่จำเป็น ให้ได้มุมมองจาก IT Risks ที่มีผลต่อ Business Risks อย่างสำคัญ ซึ่ง C – Level ในระดับต่าง ๆ ควรเข้าใจผลกระทบต่อเทคโนโลยีที่สามารถระบุความเสี่ยงในมุมมองของงานที่ตนเองรับผิดชอบโดยตรง และจากมุมมองที่มีผลกระทบจากสายงานอื่น ๆ ที่เกี่ยวข้อง (Impact Risk) ที่ต้องร่วมด้วยช่วยกันในการบริหารแบบบูรณาการ จากจิตสำนึก (Conscience) ความรับผิดชอบ (Acountability) ในการบริหารงานที่พิจารณาจากกระบวนการทำงาน และผลลัพธ์ที่มีต่อองค์กรเป็นสำคัญ