Archive for ตุลาคม 31st, 2009

ลักษณะของจิตสำนึกผิดชอบที่ดีที่ต้องได้รับการฝึกฝน เพื่อสร้างวัฒนธรรมที่ดีให้กับองค์กร

วันนี้ผมจะขอเล่าสู่กันฟังในลักษณะของจิตสำนึกผิดชอบที่ดี ที่จะสามารถทำให้พัฒนาองค์กรไปสู่การเติบโตอย่างยั่งยืน จากรากฐานที่สำคัญอย่างยิ่ง ในการสร้างสภาพแวดล้อมที่ดีในองค์กรอย่างหนึ่ง ก็คือ การมีวัฒนธรรมที่ดี ซึ่งเป็นเรื่องที่องค์กรจะต้องสร้างขึ้น และต้องพัฒนาให้ฝังอยู่ในจิตใจของพนักงาน และมีการอบรมอย่างสม่ำเสมอ โดยเฉพาะอย่างยิ่งในขั้นตอนปฐมนิเทศ

ลักษณะของจิตสำนึกผิดชอบที่ดี มี 3 ลักษณะด้วยกัน คือ
1.จิตสำนึกผิดชอบที่ดีมีประสิทธิภาพ เป็นจิตสำนึกผิดชอบที่ทำงานตามปกติในชีวิตประจำวันของเรา ถ้าองค์กรของเรามีพนักงานส่วนใหญ่ที่มีจิตสำนึก ที่มีการตัดสินใจที่ไม่สามารถใช้การได้อย่างมีประสิทธิภาพ เราก็ไม่อาจเรียกได้ว่า องค์กรของเรามีพนักงานที่มีจิตสำนึกผิดชอบที่ดีได้

2. จิตสำนึกผิดชอบที่ดี ช่วยให้เราอยู่บนหนทางที่ถูกต้อง ช่วยให้เรามีความซื่อสัตย์
จิตสำนึกผิดชอบที่ดี ไม่เพียงรักษาเราให้อยู่ในทิศทางที่ถูกต้องเท่านั้น แต่ยังช่วยให้เราเป็นคนมีความซื่อสัตย์อีกด้วย

3. จิตสำนึกผิดชอบที่ดี จะช่วยให้มาตรฐานการทำงานของเราสูงขึ้น สามารถตัดสินใจดำเนินการต่าง ๆ ที่เป็นประโยชน์ส่วนร่วมได้ถูกต้องมากยิ่งขึ้น

สาเหตุของจิตสำนึกผิดชอบที่อ่อนแอ
จิตสำนึกผิดชอบที่อ่อนแอ เป็นจิตสำนึกผิดชอบที่ขาดความรู้ ความเข้าใจ ขาดการฝึกฝน ขาดความมั่นใจในตนเอง ขาดศักยภาพ และความสามารถในการปฏิบัติหน้าที่ ขาดมุมมองในการทำงานเพื่อผลประโยชน์ของผู้มีผลประโยชน์ร่วม แต่คิดเพียงทำงานเพื่อผลประโยชน์แก่ตนเอง หรือต่อกลุ่ม ต่อพรรคพวกของตน บุคคลประเภทนี้ ไม่เหมาะสมอย่างยิ่งที่จะรับผิดชอบในการบริหารงานในระดับสูงขององค์กร หรือประเทศชาติ

บุคคลที่มีจิตสำนึกผิดชอบที่อ่อนแอ จะสนใจแต่เรื่องชื่อเสียงของตน มากกว่าชื่อเสียงขององค์กรและชื่อเสียงของประเทศชาติ บุคคลประเภทนี้จะทำทุกสิ่ง ที่เป็นผลประโยชน์ต่อตนและของกลุ่มเป็นหลัก โดยเฉพาะอย่างยิ่ง ถ้าบุคคลบางส่วนจับไม่ได้ไล่ไม่ทัน ถึงแนวความคิดที่นำไปสู่ผลกระทบของคนในสังคมส่วนใหญ่ นับว่าเป็นท่าทีที่อันตราย อันเกิดจากจิตสำนึกผิดชอบที่อ่อนแอ หรือสำนึกผิดชอบที่ชั่วร้าย

จิตสำนึกผิดชอบที่ชั่วร้ายจะรักษาให้หายได้ไหม? ผมจะขอกล่าวเรื่องนี้ในตอนต่อไปนะครับ เพราะเรื่องนี้ จะมีความสัมพันธ์และเกี่ยวข้องกับการสร้างวัฒนธรรมที่ดีขององค์กรเป็นอย่างยิ่ง

 

การประเมินผลการบริหารความเสี่ยงของรัฐวิสหากิจ ประจำปี 2553 (ต่อ)

สำหรับวันนี้คงไม่ต้องอธิบายอะไรมากนะครับ เราคงมาต่อกันในเรื่องของเกณฑ์การพิจารณาการบริหารความเสี่ยง ซึ่งผมจะขอนำเสนอเกณฑ์ในระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ต่อจากที่ได้นำเสนอไป 2 ระดับในครั้งที่แล้วครับ

ระดับ 3 : การบริหารความเสี่ยงในเชิงบูรณาการ
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร

2.1 แผนงานการบริหารความเสี่ยงปรากฏในแผนวิสาหกิจของ รส.

2.2 เป้าหมายในแผนบริหารความเสี่ยงมีการถ่ายทอดลงถึงระดับฝ่าย และสอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีในแต่ละฝ่ายงานของ รส.

3. มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน

3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)

3.2 มีการกำหนดบทบาทหน้าที่ และความรับผิดชอบของกลุ่มบุคคลต่างๆ ที่มีส่วนร่วมด้านการบริหารความเสี่ยงขององค์กร

3.3 มีการกำหนดแผนการปฏิบัติงานสำหรับหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยงประจำปี และแผนการปฏิบัติงานดังกล่าวผ่านการอนุมัติจากผู้บริหารระดับสูง เช่น แผนการฝึกอบรมหรือสร้างความรู้ความเข้าใจหน่วยงานอื่นเกี่ยวกับการบริหารความเสี่ยง การรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการตรวจสอบและคณะกรรมการ รส. ตามกำหนด เป็นต้น และสามารถบรรลุเป้าหมายตามแผนการปฏิบัติงานนั้นได้ครบถ้วน

4.มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส

4.1 มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง โดยใช้ฐานข้อมูลในอดีต หรือ การคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4.2 กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวังของทุกปัจจัยเสี่ยงได้ โดยเป็นเป้าหมาย ณ สิ้นปีบัญชี พร้อมทั้งเป้าหมายที่คาดหวังในเชิงระดับความรุนแรงต้องสามารถอธิบายได้โดยใช้ฐานข้อมูลและการวิเคราะห์เช่นเดียวกัน

4.3 สามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส เทียบกับเป้าหมายที่คาดหวัง พร้อมวิเคราะห์ถึงปัญหา/อุปสรรค และแนวทางทีจะบรรลุถึงเป้าหมาย

5. มีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

5.1 องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกปัจจัยเสี่ยงโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

5.2 Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

5.3 Risk Appetite ต้องสอดคล้องกับเป้าหมายขององค์กรประจำปีบัญชีที่ระบุในแผนปฏิบัติการประจำปี หรือ ค่า “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดสูงกว่า

5.4 Risk Tolerance ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ระบุในแผนปฏิบัติการประจำปี หากไม่มีระบุ ต้องเป็นค่า Risk Tolerance ที่ผ่านการอนุมัติจากคณะกรรมการ รส. หรือ ผลต่างของค่าเกณฑ์วัด “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดต่ำกว่า

6. มีการบริหารความเสี่ยงแบบบูรณาการ

6.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ โดยกลยุทธ์ในแผนการบริหารความเสี่ยงมีความสัมพันธ์กับกลยุทธ์ของรัฐวิสาหกิจ และมีการทบทวนกลยุทธ์การบริหารความเสี่ยง ในช่วงเวลาที่มีการรายงานผลการปฏิบัติงานตามแผนประจำปี เพื่อให้ทราบถึงปัญหา อุปสรรค ที่ส่งผลต่อการบรรลุเป้าหมายขององค์กร และเพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายองค์กร โดยการใช้กระบวนการบริหารความเสี่ยง

6.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยงในปีบัญชี 2552

6.2.1 การกำหนดสาเหตุของความเสี่ยงในทุกปัจจัยเสี่ยง และสามารถกำหนดระดับความรุนแรงของแต่ละสาเหตุในทุกปัจจัยเสี่ยง โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหาร
ความเสี่ยง

6.2.2 การวิเคราะห์ความสัมพันธ์ระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์ของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.3 การวิเคราะห์ผลกระทบระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบของสาเหตุ โดยมีการวิเคราะห์ผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.4 การนำ Risk Map ไปใช้ในการกำหนดแผนการบริหารความเสี่ยง ในแผนการบริหารความเสี่ยง โดยมีการบริหารถึงปัจจัยเสี่ยงที่เป็นสาเหตุหลัก และมีการกล่าวถึงปัจจัยเสี่ยงที่มีระดับความรุนแรงสูง และส่งผลกระทบต่อปัจจัยเสี่ยงดังกล่าว รวมถึงมีการประเมินถึงความสำเร็จของเป้าหมายในการบริหารความเสี่ยงของปัจจัยเสี่ยงหลัก ว่าเป็นผลมาจากการบริหารปัจจัยเสี่ยงที่เป็นสาเหตุ หรือการบริหารปัจจัยเสี่ยงที่มีผลกระทบสูง

6.2.5 การสร้างความเข้าใจในเรื่อง Risk Map ให้กับบุคลากรในองค์กร โดย Risk Owner มีส่วนร่วมในการจัดทำ Risk Map และยอมรับในการร่วมกันจัดทำแผนการบริหารความเสี่ยงในกลุ่มความเสี่ยงที่มีความสัมพันธ์กัน รวมถึงบุคลากรในองค์กร รับรู้และเข้าใจเรื่อง Risk Map

 

การวางแผนการตรวจสอบทางด้าน IT Audit – General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ (ต่อ)

วันนี้ เรามาเล่าสู่กันฟังต่อนะครับ ถึงเรื่องการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ท่านคณะกรรมการตรวจสอบ และผู้ตรวจสอบที่ติดตามหัวข้อนี้อยู่หลายท่าน คงต้องอดทนในการติดตามกรอบความคิด ในลักษณะ Holistic Framework ขององค์กรที่ใช้คอมพิวเตอร์ เพื่อการวางแผนการตรวจสอบทางด้าน IT Audit และการตรวจสอบทางด้าน Manual ซึ่งผู้ตรวจสอบทางด้าน Manual หรือ Non – IT ควรจะได้เข้าใจผลกระทบของเทคนิคโนโลยีด้าน IT หรือเทคโนโลยีสารสนเทศ ต่อกระบวนการตรวจสอบทางด้านการเงิน ทางด้านการดำเนินงาน ทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่ข้อมูลต่าง ๆ ปรากฎในรายงานที่ผู้ตรวจสอบต้องใช้ในการตรวจสอบ ซึ่งเป็นลักษณะการตรวจสอบพื้นฐานของทางด้าน Non – IT Auditor เพราะเป็นหลักฐานที่สามารถเห็นได้ด้วยตาเพียงประการเดียว

อย่างไรก็ดี ผู้ตรวจสอบทางด้าน Manual หรือทางด้าน Non – IT ที่มีความรู้ ความสามารถอีกระดับหนึ่ง ในการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์นั้น ก็อาจใช้เครื่องมือ หรือโปรแกรมเข้าช่วยในการวิเคราะห์ข้อมูล เพื่อการตรวจสอบจากระบบฐานข้อมูลที่องค์กรมีอยู่ได้

ในความเข้าใจของผม การใช้โปรแกรมวิเคราะห์ข้อมูล หรือดึงข้อมูลเพื่อการตรวจสอบ เป็นเพียงการใช้เครื่องมือเพื่อความสะดวกของผู้ตรวจสอบทางด้าน Manual หรือ Non – IT เป็นส่วนใหญ่ วิธีการดังกล่าว ยังไม่อาจเรียกได้ว่า เป็นการตรวจสอบทางด้าน IT หรือ IT Audit

ดังนั้น ผู้ที่ติดตามหัวข้อ IT Audit และ Non – IT Audit บางท่าน อาจสงสัยว่า ทำไมผมไม่อธิบายความแตกต่างของการตรวจสอบทั้ง 2 เรื่อง เสียที ผมขอถือโอกาสนี้อธิบายว่า สำหรับท่านที่ติดตามหัวข้อ IT Audit และ Non – IT Audit มาตั้งแต่ต้น และจนถึงวันนี้คงจะเข้าใจแล้วนะครับว่า ผมต้องการนำเสนอให้ท่านที่สนใจได้เข้าใจสภาพแวดล้อมในองค์กรที่ใช้คอมพิวเตอร์ ที่มีผลต่อกระบวนการตรวจสอบทางด้าน Manual หรือทางด้าน Non – IT เป็นอย่างมาก เช่น หลักฐานการตรวจสอบ ร่องรอยการตรวจสอบ วิธีการตรวจสอบ เทคนิคการตรวจสอบ การสุ่มตัวอย่างเพื่อตรวจสอบ การควบคุมภายในตามฐานความเสี่ยง ตั้งแต่ Input, Process และ Output ได้เปลี่ยนแปลงไปอย่างสิ้นเชิง ซึ่งผมจะค่อย ๆ นำเสนอต่อไป หลังจากที่ผมได้เกริ่นนำเพื่อสร้างความเข้าใจในภาพโดยรวมขององค์กรที่ใช้คอมพิวเตอร์ที่มีผลต่อการตรวจสอบ โดยเฉพาะอย่างยิ่งขั้นตอนการวางแผนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์

ครั้งนี้ ผมจึงขอนำเสนอการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ต่อจากคราวที่แล้ว ซึ่งอธิบายด้วยแผนภาพ ที่จะสร้างความเข้าใจให้กับผู้เกี่ยวข้องได้ดีกว่าการบรรยายเป็นตัวอักษร ดังนี้

แผนภาพการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ยังไม่จบนะครับ ผมจะนำเสนอในครั้งต่อไป และจะเริ่มด้วยตัวอย่างการตรวจสอบทางด้าน IT Audit และ Non – IT

อนึ่ง หากแผนภาพที่นำเสนอไม่ชัดเจน หรือมีขนาดเล็กเกินไป ผมขอแนะนำวิธีการขยายหน้าจอ โดยการกด Ctrl พร้อมกับเลื่อน Scroll ของ Mouse ไปด้านหน้าเพื่อขยายภาพให้ใหญ่ขึ้น และหากต้องการย่อให้เหมือนเดิมก็เลื่อน Scroll Mouse ไปด้านหลัง ภาพก็จะมีขนาดเล็กลง หรือกลับสู่ขนาดเดิม

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/