Archive for ตุลาคม, 2009

ความเข้าใจในกระบวนการตรวจสอบ กับการวางแผนการตรวจสอบ ทั้งทางด้าน IT Audit และ Manual / Non – IT Audit (ต่อ)

วันนี้ ท่านผู้ที่ติดตามในเรื่องการตรวจสอบ จะได้พบกับคำใหม่คำหนึ่ง ซึ่งผมพึ่งนำมาใช้ในการเขียนเกี่ยวกับการตรวจสอบ ก็คือ Manual Audit ซึ่งหมายถึง Non – IT Audit ด้วยนั้น ก็เพราะ ตั้งใจที่จะให้ท่านผู้อ่านได้ทราบว่า ในหลาย ๆ กรณีที่ผู้ตรวจสอบใช้เทคนิคการตรวจสอบด้าน IT ในลักษณะ Around the Computer คือการตรวจสอบ Input กับ Output โดยไม่มีการวางแผน และดำเนินการตรวจสอบ Process ซึ่งเกี่ยวข้องกับการตรวจสอบความถูกต้องของ Program การปฏิบัติงาน รวมทั้ง Application ต่าง ๆ นั้น จะมีผลอย่างไรต่อการวางแผนการตรวจสอบ และความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders)

ในกรณีที่กล่าวในวรรคต้น ผู้ตรวจสอบบางท่าน อาจสรุปตามความเข้าใจของตนเองว่า นี่เป็นการตรวจสอบทางด้าน IT หรือ IT Audit แล้ว เพราะเทคนิคการตรวจสอบทางด้าน IT มี 2 รูปแบบหลัก ๆ ก็คือ ใช้เทคนิค Around the Computer และเทคนิคตรวจสอบที่เรียกว่า Through the Computer ซึ่งเป็นการตรวจสอบ Input กับ Process โดยเฉพาะอย่างยิ่ง การเน้น Logic หรือความสมเหตุสมผลของโปรแกรมที่เกี่ยวข้องในการปฏิบัติงานว่า มีการปฏิบัติการและมีการควบคุมจุดอ่อนที่เป็นความเสี่ยง ในกิจกรรมที่เกี่ยวข้อง ที่มีผลต่อ Business Process ที่ส่งต่อไปยัง Business Objective ในรายงานต่าง ๆ ที่ผู้บริหารและผู้ที่เกี่ยวข้องต้องใช้อย่างไรบ้าง

ผมเคยกล่าวย้ำอยู่บ่อย ๆ ว่า หากข้อมูลหรือสารสนเทศ ที่ปรากฎในรายงานต่าง ๆ ไม่ถูกต้อง ไม่น่าเชื่อถือได้ ไม่ Update ซึ่งเกิดจากองค์ประกอบหลัก ๆ 3 ประการ หรือ 7 ประการ ขึ้นกับว่า ผู้ตรวจสอบจะใช้มาตรฐาน ISO 27001 ที่พูดถึง CIA – Confidentiality, Integrity, Availabity หรือใช้องค์ประกอบที่ดีของสารสนเทศ ตามกรอบของ CobiT ซึ่งมี 7 องค์ประกอบด้วยกัน นอกเหนือไปจาก CIA ก็คือ Effectivess, Efficiency, Reliability, Compliance ที่ผมได้กล่าวอยู่หลายครั้งแล้วนะครับ

การตรวจสอบใด ๆ ที่ไม่มีการตรวจสอบความน่าเชื่อถือได้ของกระบวนการปฏิบัติงาน และการควบคุมที่เกี่ยวข้อง ที่เกี่ยวข้องกับ Application จะสรุปว่า เป็นการตรวจสอบทางด้าน IT แล้ว ไม่น่าจะเหมาะสมนัก ถึงแม้จะมีการตรวจสอบทางด้าน General Control มาแล้วก็ตาม รายละเอียดผมจะขออธิบายและกล่าวถึงทั้ง 2 เรื่องในโอกาสต่อไป

มีองค์กรและผู้ตรวจสอบจำนวนค่อนข้างมาก ที่อยู่ในระหว่างการพัฒนาเทคนิคการตรวจสอบ และองค์ความรู้ที่เกี่ยวข้องกับทรัพยากรการตรวจสอบทางด้าน IT กำลังดิ้นรน เพื่อที่จะติดตามให้ทันความก้าวหน้าทางด้านเทคโนโลยีสารสนเทศ ที่เติบโตอย่างรวดเร็ว ทำให้ผู้บริหารและผู้ตรวจสอบ ทั้งในประเทศและต่างประเทศ ไม่อาจติดตามก้าวทันกับเทคโนโลยียุคใหม่ได้ ทำให้ก่อให้เกิดความเสี่ยงในรูปแบบต่าง ๆ ที่มีผลต่อ Business Objective เป็นอย่างมาก และนับวันจะมีช่องว่างในเรื่องนี้มากขึ้น

Audit Committee and Auditors Understanding in Holistic Framework of Audit Risk Perspective and Concerned

ความเสี่ยงในการตรวจสอบหลัก ๆ ที่เกี่ยวข้องกับการวางแผนการตรวจสอบ ก็คือ

– Poor Security ที่เกี่ยวข้องกับหลักการ CIA 3 ข้อหลัก และ/หรือหลักการตาม CobiT 7 ข้อหลัก,

– Poor Management ผู้บริหารและผู้ที่เกี่ยวข้องไม่เข้าใจกระบวนการบริหาร ตามหลักการของ GRC ที่เกี่ยวข้องกับ Integrity – Driven Performance และการควบคุมความเสี่ยงที่ขาดการประสานและบูรณการ ของการควบคุมในแต่ละ Activities ที่ส่งผลไปยังความสมบูรณ์ในการควบคุมในแต่ละ Business Process และมีผลต่อเนื่องไปยัง การโอน แก้ไข การปรับปรุงข้อมูล การข้ามขั้นตอนการควบคุม (Override) ของผู้บริหาร ซึ่งทำให้พิจารณาได้ว่า ไม่มีการควบคุมอยู่เลย ซึ่งเป็นอันตรายอย่างยิ่ง และมีตัวอย่างมากมายในประเทศไทย รวมทั้งที่เกิดขึ้นในสถาบันการเงินบางแห่ง เมื่อไม่นานมานี้ ทำให้การวิเคราะห์ และความถูกต้องของรายงาน รวมทั้งการตัดสินใจ ที่มาจากรายงานถูกบิดเบือนไปและไม่ถูกต้อง ซึ่งมีผลสำคัญอย่างยิ่งยวดต่อการวางแผนการตรวจสอบ ทั้งทางด้าน IT และ Non – IT / Manual Audit เพราะผู้ตรวจสอบส่วนใหญ่ ก็เข้าไม่ถึงจุดอ่อนที่อยู่สูงเกินความสามารถของผู้ตรวจสอบ ซึ่งอาจจะอยู่ในระดับที่ต่ำกว่า C-Level เป็นส่วนใหญ่

เป็นที่แน่นอนว่า จาก Poor Security และตามมาด้วย Poor Management
ที่กล่าวข้างต้น จะทำให้การวางแผนการตรวจสอบที่ต้องผ่านคณะกรรมการตรวจสอบ จะมีจุดอ่อนอย่างมีนัยสำคัญ และส่งผลอย่างมีนัยสำคัญยิ่งต่อ Audit Risk นั่นคือ ผู้ตรวจสอบไม่ได้วางแผนการตรวจสอบ ให้สัมพันธ์กับความเสี่ยง ในเรื่อง Poor Security และ Poor Management ตามหลักการ IT Governance และตามหลักการของ GRC

– Misdirected คณะกรรมการและผู้บริหารในระดับที่ต้องใช้รายงานในการตัดสินใจ ทางด้านกลยุทธ์และแผนการดำเนินงาน ตลอดจนวัดความสำเร็จในการดำเนินงานด้วย KPI ต่าง ๆ จากรายงานการตรวจสอบที่ไม่โปร่งใส ไม่น่าเชื่อถือได้ ในรูปแบบต่าง ๆ รวมไปถึง รายงานที่เกี่ยวข้องกับการลงทุนทางด้าน IT และศักยภาพการใช้ IT ที่มีผลต่อการบริหาร IT Portfolio Management ที่เกี่ยวข้องกับความเสี่ยง และการจัดระดับความสำคัญ รวมทั้งการบริหารต้นทุนที่เกี่ยวข้อง ก็จะทำให้การจัดการโดยรวมของทั้งองค์กรในลักษณะบูรณาการนั้น มีจุดอ่อนอย่างมีนัยสำคัญยิ่ง ทั้ง ๆ ที่องค์กรนั้น มีผู้บริหารที่มีศักยภาพและความสามารถส่วนตัวที่ดีก็ตาม ซึ่งนำไปสู่ความล้มเหลวในการบริหารความเสี่ยง ในการบรรลุเป้าประสงค์ต่าง ๆ ขององค์กรอย่างน่าเสียดาย

คำถามสำคัญต่อคณะกรรมการตรวจสอบ และผู้ตรวจสอบ ก็คือ คณะกรรมการตรวจสอบจะทราบได้อย่างไรว่า การวางแผนการตรวจสอบเพื่อประเมินศักยภาพของการควบคุม ทั้งทางด้าน IT และ Non – IT นั้น น่าเชื่อถือได้ และต้องการศักยภาพของผู้ตรวจสอบในมุมมองใด จึงจะสามารถลดความเสี่ยงทางด้าน Audit Risk ในมุมมองของ CG + ITG + GRC ที่เหมาะสมได้

– Fraud การวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบการทุจริต ในอดีตเป็นเป้าหมายหลักของผู้ตรวจสอบภายใน และต่อมา มาตรฐานการตรวจสอบภายในก็ได้เปลี่ยนแปลงว่า ผู้ตรวจสอบภายในจะตรวจสอบศักยภาพและความสามารถในการจัดการ ทางด้านต่าง ๆ ตามหลักการของห BSC และต่อมาในปัจจุบันก็คือ ผู้ตรวจสอบภายใน ทำหน้าที่ให้คำปรึกษากับผู้บริหารสายงานต่าง ๆ ซึ่งเมื่อพิจารณาตาม wording ของมาตรฐานที่กำหนดไว้ ก็ดูดี และทำให้ผู้ได้รับการตรวจสอบ มีความพึงพอใจในเป้าประสงค์ที่เปลี่ยนแปลง ในการเพิ่มคุณค่าให้กับองค์กร แทนการจับผิดในลักษณะเดิมเป็นอย่างมาก

อย่างไรก็ดี มาตรฐานการตรวจสอบผู้รับรองงบการเงิน ของบริษัทยักษ์ใหญ่ ในระดับโลก ซึ่งปัจจุบันเป็นที่รู้จักกันดีว่ามี 4 บริษัท นั้น จะต้องมีการปฏิบัติงานเพื่อสอบทาน ความน่าเชื่อถือได้ ของการควบคุมภายใน ที่มีผลต่อการทุจริตในมุมมองต่าง ๆ ที่มีนัยสำคัญ โดยเฉพาะอย่างยิ่ง มีผลกระทบต่อรายงานทางการเงิน ที่ปรากฎขึ้นแล้ว หรือ อาจปรากฎขึ้นในอนาคต จากกระบวนการทำงานที่มีจุดอ่อน โดยเฉพาะอย่างยิ่ง จากระบบการดำเนินงานขององค์กร ซึ่งเรียกกันทั่ว ๆ ไปว่า Operational Risk ที่จะส่งผลกระทบอย่างสำคัญยิ่งต่อ Financial Risk เป็นต้น

Audit Committee and Understanding / Long Term Sustainable Sucess of the Enterprise in Credit Risk Management

เมื่อคณะกรรมการตรวจสอบ ผู้บริหารที่เกี่ยวข้อง และผู้ตรวจสอบภายใน ทั้งด้าน IT และด้าน Manual Audit ได้อ่านมาถึงในวรรคนี้แล้ว ท่านคิดอย่างไรครับกับกระบวนการวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบ สำหรับท่านที่เป็นผู้บริหารทางด้านบุคลากร ท่านคิดอย่างไรครับ ต่อการพัฒนาบุคลากรในองค์กรของท่าน เพื่อก้าวให้ทันกับสภาพแวดล้อมทางด้านเทคโนโลยีสารสนเทศ ที่เปลี่ยนแปลงไปอย่างมาก

ท่านทราบไหมครับว่า องค์กรของท่านเอง อาจจะมีความเสี่ยงจาก Audit Risk ในขณะเดียวกันก็มีความเสี่ยงที่สำคัญยิ่ง ต่อการบริหารความเสี่ยงทั่วทั้งองค์กร ที่คณะกรรมการและผู้บริหารควรจะได้เข้าใจผลกระทบต่อ IT Risk ที่มีต่อ Business Risk อย่างมีนัยสำคัญ ตามที่กล่าวข้างต้น

วันนี้ผมตั้งใจที่จะมาพูดถึง การวางแผนการตรวจสอบในมุมมองต่าง ๆ ต่อจากครั้งก่อน แต่ความคิดพาไปสู่การเล่าเรื่องที่กล่าวและน่าห่วงใยข้างต้น ซึ่งครั้งต่อไป ผมจะได้มาพูดถึง การวางแผนการตรวจสอบในมุมมองต่าง ๆ ที่เป็นรายละเอียด ซึ่งเป็นขั้นตอนสำคัญยิ่งต่อความสำเร็จในกระบวนการตรวจสอบทั้งมวล

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ในวันนี้ มาต่อกันด้วยเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน ด้วยความแพร่หลายของการพึ่งพาระบบข้อมูลสารสนเทศ และการแพร่กระจายของข้อมูลข่าวสาร การควบคุมกิจกรรมควบคุมจึงมีความสำคัญและจำเป็นอย่างยิ่ง เพื่อทำให้เกิดความมั่นใจในความสมบูรณ์ ความถูกต้องของข้อมูลข่าวสาร ซึ่งการควบคุมระบบข้อมูลข่าวสารดังกล่าวนี้แบ่งได้เป็น 2 กลุ่ม คือ

1. การควบคุมทั่วไป (General Control) เป็นการควบคุมทั่วไปเพื่อรับประกันความเชื่อมั่นว่ามีการปฏิบัติหรือกระบวนการที่เหมาะสมอย่างต่อเนื่อง การควบคุมทั่วไปนี้รวมถึงการจัดองค์กร การปฏิบัติ การควบคุมการบริหารข้อมูลสารสนเทศ โครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ การบริหารความปลอดภัย การซื้อซอฟต์แวร์ การพัฒนาและการดูแลรักษา การควบคุมนี้สามารถประยุกต์ใช้ได้กับทุกระบบ จากระบบปฏิบัติการหลัก (Mainframe) จนถึงลูกค้าหรือผู้ใช้บริการไปจนถึงสภาพแวดล้อม การควบคุมรวมถึงกระบวนการ (Process) การติดตามและการรายงานกิจกรรมเทคโนโลยีข้อมูลสารสนเทศ

2. การควบคุมการใช้งาน (Application Control) เป็นการควบคุมเพื่อทำให้แน่ใจว่าการบันทึกข้อมูล การประมวลผลและการรายงานมีความสมบูรณ์ ความถูกต้อง เชื่อถือได้ของข้อมูล

เนื่องจากแต่ละหน่วยงานตั้งเป้าหมายและกระบวนการของตนเอง ซึ่งย่อมแตกต่างกัน ดังนั้นเป้าหมาย โครงสร้างและกิจกรรมควบคุมของแต่ละองค์กรย่อมแตกต่างกัน แต่ละองค์กรจะถูกบริหารจัดการจากบุคลากร สภาพแวดล้อม ความซับซ้อนของโครงสร้างองค์กรและวัฒนธรรมองค์กรที่แตกต่างกัน ซึ่งมีผลต่อการควบคุมภายใน (Internal Control)

การควบคุมการใช้งานออกแบบมาเพื่อให้มั่นใจในความสมบูรณ์ ความถูกต้อง การมอบอำนาจและความมีเหตุมีผลของการดักจับข้อมูลและการประมวลผล การใช้งานแต่ละชนิดอาจพึ่งพาการปฏิบัติที่มีประสิทธิภาพในการควบคุมระบบข้อมูลข่าวสาร เพื่อให้มั่นใจว่าได้ดักจับข้อมูลหรือดำเนินการกับข้อมูลเมื่อจำเป็น การสนับสนุนการใช้งานสามารถหามาได้และตรวจสอบความผิดพลาดได้อย่างรวดเร็ว

สิ่งหนึ่งที่สำคัญที่สุดที่ได้จากคอมพิวเตอร์คือความสามารถในการป้องกันความผิดพลาดจากการเข้าไปในระบบ รวมทั้งการตรวจและแก้ไขในทันที ในการทำเช่นนี้การควบคุมการใช้งานขึ้นอยู่กับการตรวจสอบระบบคอมพิวเตอร์ ซึ่งประกอบด้วยรูปแบบ ความมีเหตุมีผล และการตรวจสอบอื่น ๆ จากข้อมูลซึ่งอยู่ภายในระบบการใช้งานระหว่างทำการพัฒนา เมื่อออกแบบได้อย่างถูกต้องก็สามารถควบคุมการนำเข้าข้อมูลได้

องค์กรกับการตอบสนองความเสี่ยงและการควบคุม
เนื่องจากแต่ละองค์กรมีวัตถุประสงค์และวิธีการนำไปปฏิบัติที่แตกต่างกันในการสนองตอบความเสี่ยงและกิจกรรมการควบคุมที่เกี่ยวข้อง หากแม้ว่า 2 องค์กรมีวัตถุประสงค์เหมือนกันและมีการตัดสินใจเหมือนกันในการที่จะทำอย่างไรให้บรรลุผลสำเร็จ แต่กิจกรรมการควบคุมอาจมีความแตกต่างกัน แต่ละองค์กรถูกบริหารโดยคนซึ่งใช้การตัดสินของแต่ละคนส่งผลต่อการควบคุมภายใน ยิ่งไปกว่านี้การควบคุมสะท้อนสภาพแวดล้อมและอุตสาหกรรมในแง่การปฏิบัติในองค์กร

สภาพแวดล้อมในแง่ขององค์กรจัดการกับผลสะท้อนของความเสี่ยงซึ่งถูกเปิดเผยและอาจนำเสนอรายงานเชิงวัตถุประสงค์ที่ไม่เหมือนใคร หรือกฎหมายพิเศษ หรือความต้องการของกฎระเบียบ เช่น โรงงานผลิตภัณฑ์เคมีอาจบริหารความเสี่ยงของสภาพแวดล้อมได้มากกว่าองค์กรที่ให้บริการ

ความซับซ้อนขององค์กรและธรรมชาติและกรอบของกิจกรรมส่งผลต่อกิจกรรมควบคุมขององค์กร องค์กรที่ซับซ้อนและมีกิจกรรมที่หลากหลายอาจเผชิญกับเรื่องของการควบคุมที่ยากกว่าองค์กรธรรมดาที่มีกิจกรรมที่หลากหลายน้อยกว่า องค์กรที่มีการปฏิบัติแบบกระจายอำนาจและมุ่งเน้นความเป็นเอกเทศและนวัตกรรม นำเสนอเหตุการณ์การควบคุมที่แตกต่างกว่าองค์กรที่มีการรวมศูนย์อย่างมาก ปัจจัยอื่น ๆ ซึ่งมีอิทธิพลต่อความซับซ้อนขององค์กรและธรรมชาติของการควบคุมรวมถึงสถานที่ตั้ง การกระจายทางประชากร การขยายตัวและปรับแต่งการปฏิบัติ และวิธีการประมวลผลข้อมูล

ปัจจัยต่าง ๆ ซึ่งส่งผลต่อกิจกรรมควบคุมขององค์กรทั่วไป จำเป็นต้องออกแบบเพื่อให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ขององค์กร

องค์ประกอบที่สำคัญของกิจกรรมการควบคุม

 

ความเข้าใจในกระบวนการตรวจสอบ กับการวางแผนการตรวจสอบ (ต่อ)

ในครั้งก่อน ผมได้พูดถึงสภาพแวดล้อมของเศรษฐกิจ และการเงินในปัจจุบัน ซึ่งเป็นขั้นตอนที่อาจเรียกว่า Down – turn หรือ อาจเรียกว่า อยู่ในระยะฟื้นตัวของเศรษฐกิจ การเงิน กับการตรวจสอบ

คณะกรรมการ และผู้บริหารระดับสูง ขององค์กร จะต้องเป็นผู้วางแนว และความต้องการในลักษณะของการสร้าง Reasonable Assurance เพื่อสนองตอบต่อความต้องการของ Stakeholders มากกว่าความต้องการของ Shareholders ซึ่งเป็นมุมมองเดิม ๆ ที่ไม่เหมาะกับการบริหาร เพื่อสร้างความเชื่อมั่น ความไว้วางใจ ให้กับผู้มีผลประโยชน์ร่วม และจะมีผลต่อการเติบโตอย่างยั่งยืนขององค์กรได้ในที่สุดนั้น

ในมุมมองดังกล่าวข้างต้น หากคณะกรรมการและผู้บริหารระดับสูง ยังไม่แน่ใจ หรือขาดความเชื่อมั่นในตนเอง ในระดับหนึ่ง ก็มักจะมอบหมายให้การนำเสนอเรื่องราวต่าง ๆ รวมทั้ง การวางแผนการตรวจสอบ (Audit Plan) เพื่อสนองตอบต่อ Stakeholders ในมุมมองของ Business Model ใหม่ เริ่มต้นในลักษณะ Bottom – Up ซึ่งจะได้ผลค่อนข้างจำกัด ในการสนองตอบต่อ Vision + Mission และกลยุทธ์ใหม่ขององค์กร เนื่องจาก พนักงานในระดับรอง ๆ ลงไป มีความเข้าใจในมุมมองระดับสูง และระดับกว้าง โดยเฉพาะระดับนโยบายขององค์กร หรือระดับประเทศที่แตกต่างกันค่อนข้างมาก

รายละเอียดในภาคปฏิบัติ สำหรับการดำเนินงาน การบริหาร การจัดการ การตรวจสอบ ทางด้าน IT และ Non – IT เพื่อสนองตอบให้กับกลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ อย่างได้ดุลยภาพ หรือเกิดความพอดี หรือพอเพียง ในการบริหารและการจัดการแบบบูรณาการ ตามหลัก GRC เพื่อการเติบโตอย่างยั่งยืนนั้น ต้องการผู้นำที่มีวิสัยทัศน์ และเข้าใจกระบวนการบริหาร ในระดับประเทศ และในภาคส่วนต่าง ๆ ที่สัมพันธ์กัน ในการขับเคลื่อนวัตถุประสงค์ขององค์กร เพื่อการเติบโตอย่างยั่งยืน

การควบคุมภายในและการตรวจสอบ ทางด้าน IT และ Non – IT มีส่วนสำคัญอย่างยิ่งต่อกระบวนการบริหาร เพื่อสร้างคุณค่าเพิ่ม และสร้างความมั่นใจอย่างสมเหตุสมผลว่า กิจกรรมการควบคุมต่าง ๆ ที่ขับเคลื่อน Business Process ไปสู่ Business Objective นั้น เหมาะสมและสัมพันธ์กับสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างรวดเร็ว และในหลายมุมมอง ผู้ตรวจสอบตามไม่ทันกับเทคโนโลยีที่เปลี่ยนแปลงไป และมีผลกระทบต่อการขับเคลื่อน และการบริหารความเสี่ยง เพื่อก้าวไปสู่วัตถุประสงค์ระดับองค์กร และระดับประเทศ อย่างมีนัยสำคัญ

วันนี้ ผมจะยังคงกล่าวถึงมุมมอง เพื่อสร้างความเข้าใจในการวางแผนการตรวจสอบที่เกี่ยวข้องกับ IT ไม่ว่าจะเป็น IT Audit หรือ Non – IT Audit ก็ตาม เพราะการตรวจสอบทั้ง 2 เรื่อง ในที่สุดแล้วก็จะหลอมรวมกันเป็นหนึ่งเดียว ของกระบวนการจัดการ ตามหลักการ GRC

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพกระบวนการวางแผน และการตรวจสอบ ที่เกี่ยวข้องกับงานด้าน IT และมีผลโดยตรงต่อการประเมินความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ตามหลักการของ IT Governance และ CobiT v.4.1 ที่เน้นเรื่อง ความน่าเชื่อถือได้ของ Information เป็นสำคัญ เพราะมีผลต่อกระบวนการบริหาร ตามหลักการบริหารความเสี่ยงของ COSO – ERM ตามหลักการ S – O – F – C ที่ผมกล่าวถึงหลาย ๆ ครั้งมาแล้ว

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพ และการบวนการบริหารที่เกี่ยวข้องกับการควบคุมและการตรวจสอบ บางมุมมอง ขององค์กรที่ใช้คอมพิวเตอร์ และพยายามสร้างความเข้าใจ หรือ คำถาม จากผลกระทบของการควบคุม ที่อาจมีจุดอ่อนในกิจกรรม และกระบวนการทำงานที่เกี่ยวข้องต่อรายงานต่าง ๆ ที่ท่านผู้บริหารต้องใช้ ดังต่อไปนี้นะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

คณะกรรมการตรวจสอบ ผู้ตรวจสอบ ผู้บริหาร และรับผิดชอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ใช้หลัก COSO – ERM หากต้องการได้รับความมั่นใจอย่างสมเหตุสมผลของกระบวนการควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยง เพื่อให้การบรรลุวัตถุประสงค์ระดับองค์กร และระดับสายงาน ประสบความสำเร็จดังที่ตั้งใจไว้ และเป็นไปตาม Vision + Mission + Policy + Strategy + Action Plan + KPI ที่เกี่ยวข้อง ในมุมมองต่าง ๆ โดยเฉพาะอย่างยิ่ง มุมมองของการสอดประสานและบูรณาการ ตามหลักการ GRC หากเข้าใจและมั่นใจกระบวนการติดตามผลของคณะกรรมการและผู้บริหารระดับต่าง ๆ รวมทั้งการตรวจสอบภายใน ซึ่งรวม ๆ แล้วอาจจะเรียกว่า Assurance แล้วละก็ คงจะสบายใจได้ขึ้นมาก ว่าองค์กรสามารถก้าวสู่การบรรลุวัตถุประสงค์ หากได้รับผลการตรวจสอบที่น่าเชื่อถือได้ จากผู้ตรวจสอบที่มีศักยภาพที่เข้าใจความต้องการของ Stakeholders ในมุมมองต่าง ๆ และมีการวางแผนการตรวจสอบได้ตรงกับวัตถุประสงค์ที่ Stakeholders ต้องการในมุมมองที่เกี่ยวข้อง

ในครั้งต่อไป ผมจะค่อย ๆ ลงรายละเอียดในระดับที่ลึกลงไปถึง กระบวนการวางแผนการตรวจสอบขององค์กรที่ใช้คอมพิวเตอร์ และเทคนิคการตรวจสอบความน่าเชื่อถือได้ของข้อมูล และสารสนเทศ รวมทั้ง การควบคุมภายใน ตามฐานความเสี่ยง ที่จะทำให้แน่ใจอย่างสมเหตุสมผลว่า คณะกรรมการและผู้บริหารระดับสูง ได้รับรายงานที่มีคุณค่าต่อการตัดสินใจที่แท้จริง

 

บทเรียนของการสั่งระงับ 76 โครงการลงทุนที่มาบตาพุด กับการพิจารณา ผู้มีผลประโยชน์ร่วม ระดับชาติ (Stakeholders)

จากกรณีที่ศาลปกครองมีคำสั่งคุ้มครองชั่วคราวกับ 76 โครงการที่รัฐบาลจะดำเนินการที่มาบตาพุด ซึ่งส่งผลกระทบต่อสิ่งแวดล้อมนั้น นายอภิสิทธิ์ เวชชาวีวะ นายกรัฐมนตรี ระบุว่า จะยื่นอุทธรณ์ในส่วนของโครงการที่ได้อนุญาตไปแล้วให้เดินต่อไปได้ ส่วนโครงการที่อยู่ในกระบวนการอนุมัติจะชะลอไว้ก่อน จนกว่าศาลจะมีความชัดเจน และอยากให้ศาลวินิจฉัยคดีทั้งหมดโดยเร็ว เพราะต้องการแนวทางปฏิบัติที่ชัดเจน

ในคำวินิจัยนี้ ศาลเห็นว่าบรรดาโครงการใด ๆ ก็ตามที่ต้องทำการวิเคราะห์ผลกระทบสิ่งแวดล้อม ศาลก็จะใช้มาตรการชั่วคราว เพื่อระงับโครงการเหล่านี้ไว้ เพื่อให้มีแนวทางที่ชัดเจนในการปฏิบัติตามมาตรา 67

แต่สิ่งที่รัฐบาลยืนยัน คือ รัฐบาลปฏิบัติตามมาตร 67 อยู่แล้ว และสิ่งที่เดินหน้าไปเป็นโครงการที่เห็นว่าไม่มีผลกระทบอย่างรุนแรงต่อชุมชน โดยอาศัยผลการศึกษาวิเคราะห์ผลกระทบสิ่งแวดล้อมเป็นเกณฑ์กำหนดว่า เรื่องไหนรุนแรงหรือไม่รุนแรง

รัฐบาลอยากได้ข้อยุติโดยเร็วว่า ความจริงแนวปฏิบัติเป็นอย่างไร เพราะถ้าไม่ได้ข้อยุติโดยเร็วจะเป็นปัญหาความไม่แน่นอน และมีผลกระทบต่อความเชื่อมั่นของนักลงทุน…ฯลฯ

ความคิด ความเข้าใจ ในการบริหารความเสี่ยงแบบบูรณาการ โดยคำนึงถึงสังคม และ Stakeholder ยิ่งกว่าการพิจารณาและตัดสินใจจากกลุ่มผู้มีผลประโยชน์เดียว เป็นเรื่องสำคัญยิ่งยวดต่อการเติบโตอย่างยั่งยืน ตามหลัก CG

กรณีข้างต้น ผมขอร่วมออกความคิดเห็นบางประการ ในมุมมองของ Stakeholders ทั้งในประเทศและต่างประเทศ สำหรับผมเองขอให้ข้อสังเกต ในมุมมองของประชาชนคนไทยคนหนึ่ง ที่อยู่ในสังคม และเกี่ยวข้องกับ Stakeholders ในมุมมองต่าง ๆ ดังนี้

หากผู้ที่เกี่ยวข้อง เช่น คณะกรรมการสิ่งแวดล้อมแห่งชาติ เลขาธิการสำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม (สผ.) รมว.ทรัพยากรธรรมชาติและสิ่งแวดล้อม (พม.) รมว.อุตสาหกรรม รมว.พลังงาน รมว.คมนาคม รมว.สาธารณสุข และการนิคมอุตสาหกรรมแห่งประเทศไทย (กนอ.) สมาคมต่อต้านสภาวะโลกร้อน สมาคมสมัชชาองค์กรเอกชนด้านการคุ้มครอง สิ่งแวดล้อมและอนุรักษ์ทรพัยากรธรรมชาติ ชาวบ้านที่อาศัยอยู่ในเขตนิคมอุตสาหกรรมมาบตาพุด จ. ระยอง และศาลปกครองกลาง และ….

ซึ่งเรียกรวม ๆ กันว่าเป็น Stakeholders หรือผู้มีผลประโยชน์ร่วม ของการก่อสร้างอุตสาหกรรม 76 โครงการ เป็นเงิน 4 แสนล้านบาท นั้น หากผู้ที่เกี่ยวข้องพิจารณาเพียงมุมมองของตนเอง (Individual Perspective) หรือเพียงมุมมองเดียว โดยไม่ได้พิจารณามุมมองอื่น ๆ ตามหลัก Corporate Governance หรือ CG และในมุมมองของส่วนรวม และสังคม

ทุกกลุ่มตามที่กล่าวข้างต้น ก็มีความมั่นใจในมุมมองของตนเองเป็นหลักว่า ถูกต้องแล้ว ปัญหาที่ตามมาของการระงับ 76 โครงการ เป็นเงินมหาศาลถึง 4 แสนล้าน ที่มีผลกระทบต่อความเชื่อมั่นของนักลงทุน ทั้งต่างประเทศและภายในประเทศ ความเสียหายจากการล่าช้าของโครงการ ผลกระทบที่ตามมาของการขาดความเชื่อมั่นของนักลงทุน และความเชื่อมั่นต่อประเทศไทยโดยรวม +++ นั้น มีมากมายมหาศาล เกินกว่าที่จะคำนวนเป็นจำนวนเงิน เพียงที่เกิดขึ้นเฉพาะ 76 โครงการ 4 แสนล้านบาทได้

ทั้งนี้เพราะ ต้นทุนจากการวิเคราะห์และพิจารณาเพียงมุมมองเดียว โดยไม่คำนึงถึงองค์ประกอบอื่น ๆ ในสังคม ที่มีกลุ่มของผู้มีผลประโยชน์ร่วมหลายกลุ่ม เช่น ผลกระทบต่อการสร้างรายได้ประชาชาติ ผลกระทบต่อการสร้างแรงงาน สร้างรายได้ ให้กับประชาชนในสังคมในอนาคต++ ซึ่งมีผลกระทบตามมาอย่างมากมาย ทั้งที่เป็นตัวเงิน และไม่เป็นตัวเงิน น่าจะมีมากมายมหาศาล และน่าจะเกินกว่าระดับความเสี่ยงที่ประเทศ หรือสังคมยอมรับก็ได้นะครับ

ความเสี่ยง และความเสียหายในระดับที่ประเทศชาติ และ/หรือองค์กรจะยอมรับได้นั้น เรียกกันในภาษาการบริหารความเสี่ยงว่า Risk Appetite และ Risk Tolerance ซึ่งผมได้อธิบายไว้ในหัวข้อที่เกี่ยวข้อง พร้อมกับรูปภาพไปพอสมควรแล้วนะครับ

ผลประโยชน์ของประเทศชาติ และสังคม โดยรวม มีความสำคัญอย่างยิ่งยวดต่อความสำคัญของการบริหารทุกระดับ ของกระบวนการจัดการ  ตามหลักการบริหารยุคใหม่ ที่ใช้หลัก GRC เป็นสำคัญ

ผมกำลังพยายามจะพูดว่า การบริหารความเสี่ยงเชิงรุก โดยการมองอนาคตขององค์กรและประเทศ ไปข้างหน้าอย่างเป็นระบบ และเป็นกระบวนการนั้น ต้องอาศัยความเข้าใจในหลักการของ COSO – Enterprise Risk Management ซึ่งเป็นกรอบการบริหารความเสี่ยง ที่อาจเรียกได้ว่าเป็น Good หรือ Best Practice ที่นิยมเรียกกัน และนำไปปฏิบัติใช้กันทั่วโลก ในทุกระดับของการบริหาร และการจัดการ ทั้งด้านเศรษฐกิจ การเงิน ความมั่นคงในระดับต่าง ๆ ทั้งด้าน IT และ Non – IT ซึ่งมีเรื่องที่ผู้บริหารควรจะทำความเข้าใจ และน่าจะนำไปประยุกต์ใช้ในการบริหารการจัดการระดับชาติ อย่างมีนัยสำคัญด้วย

ลองมาช่วยสรุปกันเร็ว ๆ นะครับว่า กรณีมาบตาพุด มีหน่วยงานต่าง ๆ และบุคลากรต่าง ๆ ที่เกี่ยวข้องกับการตัดสินใจ ตั้งแต่การฟ้องร้อง ไปจนถึง การระงับชั่วคราว มิให้มีการก่อสร้างเพิ่มเติม ทั้ง 76 โครงการ นั้น ได้พิจารณาในมุมมองของการบริหารความเสี่ยง แบบสอดประสานและบูรณาการ (Alignment and Integration Management) หรือไม่

หากผู้ที่เกี่ยวข้อง พิจารณาผลประโยชน์ของสังคม และผู้มีผลประโยชน์ร่วม ตามหลักการของ CG + ITG + GRC ซึ่งผมได้เคยอธิบายไว้ในหัวข้อต่าง ๆ ในเว็บนี้แล้วนั้น ก็จะพบว่า การพิจารณาของผู้ที่เกี่ยวข้อง ในกรณีที่เกิดขึ้น เท่าที่ผ่านมา มิใช่เฉพาะในกรณีมาบตาพุดนี้เท่านั้น ส่วนใหญ่จะพิจารณา ให้น้ำหนัก และตัดสินใจในมุมมอง ๆ เดียว เป็นสำคัญ โดยให้น้ำหนักและสนใจผลกระทบต่อผู้มีผลประโยชน์ร่วม หรือ Stakeholders หรือสังคม ทั้งภายนอกและภายในประเทศ ค่อนข้างน้อยมาก หรือบางกรณี แทบไม่พิจารณาในมุมมองของ Stakeholders ด้วยซ้ำไป

ผมมีภาพที่ได้ทำขึ้นในวันนี้ เพื่อใช้เป็นคำอธิบายแทนตัวอักษรหลายพันคำ เพียงเพื่อแสดงให้กับผู้ที่เกี่ยวข้องได้พิจารณาว่า หากเราต้องพิจารณาผลประโยชน์ของสังคม ซึ่งเป็นผลประโยชน์ของประเทศชาติ และทุกกลุ่มของผู้มีผลประโยชน์ร่วม แทนการพิจารณาเพียงมุมมองหนึ่งมุมมองใด หรือให้น้ำหนักมุมมองหนึ่งมุมมองใด อย่างไม่ได้ดุลยภาพเท่าที่ควร ผลที่เกิดต่อเป้าประสงค์ ระดับต่าง ๆ ของชาติ และสังคม จะเป็นเช่นใด

ความโปร่งใส และการปฎิบัติโดยเท่าเทียมกันของสังคม ในประเทศ จะนำไปสู่ความร่วมมือ ด้วยความเข้าใจ ด้วยความเต็มใจ เพื่อการขับเคลื่อนเป้าประสงค์ในระดับองค์กร และเป้าประสงค์ในระดับประเทศ

ความยุติธรรมที่สังคมในชาติ ต่างพากันเรียกร้อง ในกลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ จะเกิดขึ้นได้ยาก หากคนในสังคมนั้น ต่างพิจารณาผลประโยชน์ภายในกลุ่มของตนเองที่ต้องเป็นไปตามเป้าประสงค์ในกลุ่มของตนเท่านั้น โดยไม่พิจารณาถึงกลุ่มอื่น ๆ ที่มีมุมมอง และมีเป้าประสงค์ที่แตกต่างกัน

หากทุกคน หรือส่วนใหญ่ในสังคมขาดจิตสำนึก (Conscious) ที่แสดงถึงความรับผิดรับชอบภายในจิตใจของตนเอง จากจิตวิญญาณ (Spiritual) ที่มุ่งมั่น และคำนึงถึงผลประโยชน์ของสังคมในชาติ โดยรวม แนวการพิจารณาและตัดสินใจ ในเรื่องหนึ่งเรื่องใด ก็จะไม่พิจารณาเพียงมุมมองเดียวเป็นอันขาด เพราะการพิจารณาดังกล่าว จะนำไปสู่ความแตกแยกทางความคิด แตกแยกทางการกระทำ และนำไปสู่ความไม่เข้าใจกันของสังคมภายในชาติในที่สุด

องค์กรและประเทศชาติ ต้องการผู้รู้ที่เข้าใจการบริหารภาพแบบสอดประสานและบูรณาการ เพื่อผลประโยชน์ของสังคมและคนในประเทศชาติโดยรวม ดังนั้น ผู้บริหารในทุกองค์กร และผู้บริหารในระดับชาติ โดยเฉพาะอย่างยิ่งผู้ที่เกี่ยวข้องกับ การให้ความยุติธรรม การให้ความโปร่งใส การมีความรู้ มีศักยภาพ ในงานที่ตนทำ โดยการพัฒนาตนเองอย่างสม่ำเสมอ การมีความรับผิดชอบ ในภาระหน้าที่ที่ตนเองดูแล ถึงแม้จะไม่ได้ปฏิบัติโดยตรง ก็คงต้องรับผิดชอบ (Accountability) ในผลของงานที่เกิดขึ้น

รวมทั้ง การมีจิตสำนึกที่ต้องการสร้างคุณค่าเพิ่ม โดยการบริหารกลยุทธ์ ในระดับองค์กรและระดับประเทศ เพื่อให้เกิด Long Term Value Creation ภายใต้หลักการปฏิบัติโดยเท่าเทียมกัน และภายใต้การดูแลสังคมและสิ่งแวดล้อมที่เหมาะสม ที่ได้ดุลยภาพและสัมพันธ์กับผู้มีผลประโยชน์ร่วมในสังคม

หากประเทศเราสามารถทำได้ในทางปฏิบัติที่เป็นรูปธรรมจริง ๆ ประเทศไทยเราจะได้ประโยชน์โดยตรงจากความเชื่อมั่น เพื่อสร้างคุณค่าเพิ่มให้กับผู้ที่เกี่ยวข้องอย่างเท่าเทียมกันและยอมรับได้ในที่สุดนะครับ

ข้อสำคัญก็คือ ผู้นำในระดับองค์กร และในระดับชาติ ควรมีความรู้ ความเข้าใจในหลักการของ GRC – Governance + Risk Management + Compliance ซึ่งพิจารณาว่าเป็น Integrity – Driven Performance ตามที่ได้กล่าวในหัวข้อต่าง ๆ มาแล้ว อย่างแท้จริง

 

แนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ที่เกี่ยวข้องกับ GRC บางประการ

การบริหารความเสี่ยงที่มีการประเมินผลโดย สคร. / กระทรวงการคลัง ต่อการดำเนินงานของรัฐวิสาหกิจต่าง ๆ เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงาน ที่เป็นรูปธรรม

สคร. ได้ร่วมกับ คณะอนุกรรมการประเมินผลการบริหารความเสี่ยง ได้ยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่รูปธรรมของการบริหารเชิงรุก ที่เชื่อมโยงการกำกับดูแลกิจการที่ดี กับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่เกี่ยวข้อง โดยเชื่อมโยงกับการบริหารความเสี่ยงอย่างเป็นระบบ เพื่อให้หลักการบริหารความเสี่ยงที่ สคร. ใช้ในการประเมินผลรัฐวิสาหกิจเป็นรูปธรรมมากขึ้น สคร. และคณะอนุกรรมการประเมินผลการบริหารความเสี่ยง จึงได้นำ GRC – Governance + Risk Management + Compliance ซึ่งปัจจุบันเป็น First Priority ของหน่วยงานต่าง ๆ ทั่วโลก

GRC เป็นการยกระดับการบริหารความเสี่ยงของ COSO – ERM ให้เป็นรูปธรรมในทางปฏิบัติ โดยกระบวนการนี้จะต้องเริ่มต้นจากระดับคณะกรรมการ หรือเรียกสั้น ๆ ว่า Top Down เช่นเดียวกับการตรวจสอบภายใต้ภาวะเศรษฐกิจ การเงินปัจจุบัน ซึ่งเป็นเศรษฐกิจขาลงของประเทศต่าง ๆ ทั่วโลกนั้น ก็ต้องใช้แนวทาง Top Down เป็นหลัก เพื่อขับเคลื่อนผลประโยชน์ของผู้มีส่วนร่วม หรือ Stakeholders เป็นสำคัญ

GRC จะไม่ประสบความสำเร็จเลย ถ้าไม่มีการบริหารและจัดการในลักษณะ Top Down Basis ซึ่งจะต้องมีการเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ และแผนงาน รวมทั้งโครงการต่าง ๆ ให้สัมพันธ์กันในทุกองค์ประกอบที่เกี่ยวข้อง เพื่อการขับเคลื่อนศักยภาพโดยรวมขององค์กร ที่เรียกว่า Integrity – Driven Performance ตามที่ผู้เขียนได้กล่าวไว้แล้วในหัวข้ออื่น ๆ ก่อนหน้านี้

ดังนั้น ในการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส จึงได้กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเบื้องต้น ในปี 2553 ก่อนที่จะให้น้ำหนักมากขึ้นในปีต่อ ๆ ไป ดังนี้

ความคิดและความเข้าใจในการบริหารแบบบูรณาการผ่านกลยุทธ์ และ Action Plan ต่าง ๆ ขององค์กร เพื่อการขับเคลื่อน Integrity - Driven Performance ระดับองค์กรและระดับประเทศ

หลักเกณฑ์การประเมิน
หลักเกณฑ์การประเมินบริหารความเสี่ยง แบ่งเป็น 2 ส่วน ได้แก่
คะแนนในส่วนแรกที่ยึดหลักเกณฑ์ตาม COSO ERM และคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น

คะแนนในส่วนแรก แบ่งเป็นเกณฑ์ขั้นบันไดใน 3 ระดับ ได้แก่
ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น
มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

ระดับที่ 3 การบริหารความเสี่ยงที่มีองค์ประกอบที่ดีครบถ้วน ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน
มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส และมีการมีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

คะแนนในส่วนที่สอง เป็นเกณฑ์ที่มีคะแนนถ่วงน้ำหนักในเกณฑ์ดังกล่าว ได้แก่
• มีการบริหารความเสี่ยงแบบบูรณาการ
• มีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนด
• กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ
• มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น
• จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง
• กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงานและสัมพันธ์กับค่าตอบแทน
• มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร
• การบริหารความเสี่ยงเป็นการสนับสนุนการบริหารเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation)
• ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงเมื่อเทียบกับแผนการบริหารความเสี่ยง และเทียบจากอดีต
• Portfolio View of Risk (เกณฑ์ใหม่)
• Integrated Governance , Risk and Compliance (GRC – เกณฑ์ใหม่)

สคร. และคณะอนุกรรมการบริหารความเสี่ยง รวมทั้ง ทริส ได้ร่วมกันชี้แจงเกณฑ์การประเมินใหม่ ในปี 2553 แก่ผู้แทนของรัฐวิสาหกิจที่อยู่ในเกณฑ์ประเมินผลเรียบร้อยแล้ว ส่วนใหญ่คณะกรรมการรัฐวิสาหกิจฯ ยังไม่มีโอกาสได้ฟังหรือรับทราบการเปลี่ยนแปลงที่มีผลต่อบทบาทของคณะกรรมการ ตั้งแต่ระดับนโยบาย รวมทั้ง การปรับปรุงแนวทางการบริหารและการจัดการอย่างเป็นกระบวนการในส่วนที่เกี่ยวข้องต่อไป

การนำ GRC มาใช้วัดศัยกภาพในการบริหารรัฐวิสาหกิจ ซึ่งเริ่มตั้งแต่ ปี 2553 ในระดับเบื้องต้นนั้น น่าจะพิจารณาได้ว่า มีความสำคัญอย่างยิ่งยวด ต่อกระบวนการขับเคลื่อน หลักการของ CG ให้มาเชื่อมโยงกับกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO – ERM รวมทั้ง ผสมผสานการปฏิบัติตามกฎหมาย กฎเกณฑ์ / Compliance เข้าเป็นองค์ประกอบหลักในกระบวนการบริหาร ให้เป็นรูปธรรมนั้น เป็นเรื่องที่ต้องการความเข้าใจในความรับผิดชอบ ในทุกระดับ ของรัฐวิสาหกิจ เพื่อการเติบโตอย่างยั่งยืนขององค์กร เป็นสำคัญ

ในเรื่องของ GRC นี้เน้นผลประโยชน์ของผู้มีส่วนร่วม หรือผู้มีส่วนได้เสีย (Stakeholders) เป็นสำคัญ ซึ่งก็ตรงกับหลักการบริหารของหน่วยงานภาครัฐเป็นปกติอยู่แล้ว เพียงแต่คำจำกัดความและความหมายที่เกี่ยวเนื่องกับกระบวนการบริหารนั้น เป็นสิ่งที่จะใช้พิจารณาความเข้าใจร่วมกันของทั้งผู้ได้รับการประเมิน คือ รัฐวิสาหกิจต่าง ๆ กับผู้ประเมินผล ซึ่งก็คือ คณะอนุกรรมการประเมินผล ร่วมกับ ทริส ในการพิจารณาและวัดคุณภาพของการจัดการอย่างเป็นรูปธรรม

ความหมายของคำว่า Compliance ในองค์ประกอบของ GRC ก็เปลี่ยนแปลงไปอย่างมีนัยสำคัญ เพราะมิได้หมายความเฉพาะเพียง การปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่าง ๆ จากหน่วยงานภายนอก และหน่วยงานภายในองค์กรเท่านั้น แต่ Compliance ในคำจำกัดความใหม่นี้ มีความหมายกว้างขวาง ครอบคลุมไปถึง การปฏิบัติตาม Best Practice หรือจะเรียกว่า Good Practice รวมทั้ง การปฏิบัติให้ได้มาตรฐานสากล ในส่วนที่เกี่ยวข้อง เพื่อสร้างความน่าเชื่อถือ (Trust) การสร้างคุณค่าเพิ่ม (Value) การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ซึ่งขอขยายความสักเล็กน้อยนะครับว่า หมายถึง การติดตามผลของการปฏิบัติงาน ในแง่มุมต่าง ๆ ตามหลัก Balance Scorecard จากรายงานที่เกี่ยวข้อง

ซึ่งแน่นอนว่า จะสัมพันธ์กับหลักการของ COSO – ERM รวมทั้ง การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ของความถูกต้อง จากกระบวนการตรวจสอบความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ที่ผู้บริหารได้รับจากรายงานต่าง ๆ ตามหลักการ COSO ในองค์ประกอบเรื่อง Reporting ซึ่งเป็นหนึ่งในหลักการควบคุมการบริหารความเสี่ยง คือ S – O – F – C นั่นเอง

อีกองค์ประกอบหนึ่งของหลักการสร้างความเติบโตอย่างยั่งยืน (Sustainable Growth) ของ CG / ITG / GRC ก็คือ ความสามารถในการดำเนินการอย่างต่อเนื่อง และความอยู่รอด (Survival) ในกระบวนการบริหารและการจัดการที่เกี่ยวข้องกับความเสี่ยง ทางด้าน IT และ Non – IT ที่มีผลกระทบต่อ Activities Risk + Process Risk + Business Risk ซึ่งเป็นส่วนหนึ่งของ IT Governance Drivers เพื่อการขับเคลื่อน CG และ GRC ด้วย

 

ขั้นตอนในการวางแผนการตรวจสอบ เพื่อสร้างคุณค่าเพิ่มให้กับองค์กร โดยรวม ภายใต้สภาพแวดล้อมปัจจุบัน

การวางแผนการตรวจสอบ เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม หรือ Stakehoders ในมุมมองของภาพโดยรวม ซึ่งเป็นการตรวจสอบทางด้าน It (IT Audit) และ Non – IT มีแนวทางในการพิจารณาดำเนินการ โดยหัวหน้าผู้ตรวจสอบ ดังนี้

1. ระบุความต้องการของฝ่ายบริหาร เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders ในมุมมองของ หัวหน้าผู้ตรวจสอบ และฝ่ายตรวจสอบภายในขององค์กร ก็คือ การพิจารณาว่า คณะกรรมการและฝ่ายบริหารขององค์กร ต้องการสร้างคุณค่าเพิ่มให้กับ Stakeholders ในมุมมองใดบ้าง

2. รวบรวมข้อมูลที่เกี่ยวข้องกับการขับเคลื่อนกลยุทธ์ ทั้ง 4 มุมมอง ให้สัมพันธ์กับสภาพแวดล้อมที่เป็นอยู่ในปัจจุบัน เช่น ในกรณีที่เป็นเศรษฐกิจขาลง ผู้ตรวจสอบก็ควรพิจารณา วางแผนการตรวจสอบ ที่เน้นไปทางด้านการตรวจสอบกลยุทธ์ ให้มีน้ำหนักมากขึ้น และให้น้ำหนักที่เกี่ยวข้องกับการตรวจสอบ การปฏิบัติตามกฎหมายกฎเกณฑ์ให้น้อยลง เป็นต้น

ทั้งนี้ ผู้ตรวจสอบยังคงให้ความสำคัญในการตรวจสอบความเสี่ยงจากการดำเนินงาน ที่จะมีผลกระทบต่อความเสี่ยงทางด้านกลยุทธ์ ทางด้านการเงิน และการรายงานต่าง ๆ และมีผลกระทบต่อการปฏิบัติตามกฎหมาย กฎเกณฑ์ โดยพิจารณาในภาพผลกระทบที่ต่อเนื่องจากการดำเนินงานที่มีจุดอ่อนต่าง ๆ เป็นสำคัญ

3. เพิ่มและให้น้ำหนักการตรวจสอบทางด้านการทุจริต และการใช้เทคโนโลยีเข้าช่วยในการตรวจสอบให้มากขึ้น ทั้งนี้ โดยเชื่อมโยงวัตถุประสงค์เชิงกลยุทธ์ ที่มีเป้าหมายในการขับเคลื่อนการสร้างคุณค่าเพิ่มต่าง ๆ ขององค์กร

4. เชื่อมโยงความเสี่ยงทางด้านการตรวจสอบ ที่มาจากฝ่ายจัดการ จากการบริหารความเสี่ยงที่ไม่ได้ผล โดยเฉพาะอย่างยิ่ง ความเสี่ยงจากการที่ข้อมูลและสารสนเทศ เชื่อถือได้ในระดับจำกัด ให้เข้ากับการวางแผนการตรวจสอบ ทางด้าน IT และ Non – IT

5. ลดขนาดของการตรวจสอบงานประจำ ที่สร้างคุณค่าเพิ่มน้อยลงไป หรือในกรณีที่ทรัพยากรมีจำกัด งานประเภทที่มีคุณค่าเพิ่มต่ำ ก็อาจจัดอยู่ในการตรวจสอบระดับท้าย ๆ

6. ระดมความคิดเห็นจากผู้ตรวจสอบ ในแนวทางที่จะช่วยลดต้นทุนในการดำเนินงาน และการใช้ทรัพยากรในการตรวจสอบ และนำไปหารือกับคณะกรรมการตรวจสอบ ที่เข้าใจความต้องการ และทิศทางในการดำเนินงานของคณะกรรมการ ในการขับเคลื่อนธุรกิจ ภายใต้สภาพแวดล้อมที่เป็นอยู่ในปัจจุบัน และกลยุทธ์ที่เปลี่ยนแปลงไป และนำข้อมูลที่ได้รับมาปรับปรุงแผนการตรวจสอบ ให้สัมพันธ์กับทรัพยากรของฝ่ายตรวจสอบภายในที่มีอยู่

7. ให้ระบุกระบวนการในการประมวลข้อมูลที่ขาดประสิทธิภาพในการดำเนินงาน (Inefficient Processes) ที่มีอยู่ ภายใต้สถานการณ์การควบคุมที่เป็นปัจจุบัน ที่จำเป็นต้องเปลี่ยนแปลง หรืออาจต้องเปลี่ยนแปลงให้เหมาะสมกับสภาพแวดล้อม ที่มาจากภายนอกและภายในองค์กร

8. ประเมินความเสี่ยงจากการบริหารและการจัดการ ที่อาจมองข้ามจุดอ่อนของการควบคุมกิจกรรม และกระบวนการทำงาน ที่มาจากระบบคอมพิวเตอร์ ทั้งทางด้าน General Control และ Application Control และจุดอ่อนจากกระบวนการบริหารความเสี่ยงเชิงรุก ที่ไม่อาจนำหลักการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO – ERM) มาใช้ได้อย่างมีประสิทธิผลและประสิทธิภาพ

9. ทบทวนและสอบทานจุดอ่อนจากบทเรียนขององค์กรอื่น ๆ ภายใต้สภาพแวดล้อมที่เกี่ยวข้องกับทางด้านเทคโนโลยีสารสนเทศและการจัดการที่ดี อย่างเช่น การนำบทเรียนกรณีทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่ที่สุดเป็นอันดับ 2 ของประเทศฝรั่งเศส และเสียหายจากการทุจริตและการดำเนินงาน เป็นเงินประมาณ 4 แสนล้านบาท จากการทุจริตของคน ๆ เดียว และกรณีทุจริตต่าง ๆ ที่เกิดจาก คน + กระบวนการดำเนินงาน + เทคโนโลยี ซึ่งรวม ๆ เรียกว่า ความเสี่ยงในการดำเนินงาน หรือ PPT – People – Process – Technology และพิจารณาวางแผนการตรวจสอบ เพื่อปิด Gap ต่าง ๆ ที่อาจจะเกิดขึ้นจาก Lesson Learned จากกรณีของต่างประเทศ และภายในประเทศที่ได้เกิดขึ้นแล้ว เพื่อไม่ให้เกิดซ้ำอีกในองค์กรของเรา

10. พิจารณาในภาพโดยรวม จากปัจจัยต่าง ๆ ที่กล่าวข้างต้น รวมทั้ง แนวทางเพื่อลดต้นทุนภายในองค์กรที่อาจจะเกิดจากจุดอ่อน จากการละเลยมิได้มีการพิจารณานำหลักการของ GRC – Governance, Risk, Compliance ที่เป็นแนวการปฏิบัติที่ดี ภายใต้กรอบ CG และ ITG ซึ่งเป็นการบริหารและขับเคลื่อนในลักษณะ Integrity – Driven Performance ซึ่งจะช่วยลดต้นทุนในการดำเนินงาน และสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ได้เป็นอย่างดี

11. ประเมินศัยกภาพ (Competency) ของทรัพยากรภายในองค์กร โดยเฉพาะอย่างยิ่ง ภายในสายงานการตรวจสอบ ทางด้าน IT และ Non – IT ถึงความพร้อมในการปฏิบัติงานตรวจสอบ ให้ได้มาตรฐาน และสัมพันธ์กับความก้าวหน้าทางด้านเทคโนโลยีสารสนเทศ ที่พัฒนาไปอย่างรวดเร็ว และมีผลกระทบโดยตรงต่อความเสี่ยงที่จะก้าวไปสู่ความสำเร็จตามเป้าประสงค์ ตามหลักการของ Balanced Scorecard และกลยุทธ์ที่เกี่ยวข้องทั้ง 4 มุมมอง

12. สร้างดุลยภาพในการวางแผนการตรวจสอบ ตามข้อมูลข้างต้น และนำผลดังกล่าวไปใช้ในการปฏิบัติงานตรวจสอบ เพื่อให้ได้ผลตามเป้าประสงค์ของ Stakeholders และผู้บริหารที่เกี่ยวข้อง ตามสภาพแวดล้อมที่เป็นอยู่

สำหรับการปฏิบัติการตรวจสอบจริง ก็ควรพิจารณามุมมองในการสร้างคุณค่าเพิ่มให้กับ Stakeholders ที่ครอบคลุมหัวข้อต่าง ๆ ทั้งทางด้าน IT และ Non – IT ตามแผนภาพที่ได้แสดงไว้ข้างต้น และให้คำแนะนำที่เหมาะสมกับการจัดการตามมาตรฐานการตรวจสอบที่เกี่ยวข้อง และเป็นไปได้ต่อไป

ท่านผู้ตรวจสอบครับ จากประสบการณ์การตรวจสอบ ทั้งทางด้าน IT และ Non – IT ของผมในช่วงเวลาที่ผ่านมา จุดอ่อนที่สำคัญยิ่งขององค์กรและผู้ตรวจสอบก็คือ การจัดโครงสร้างขององค์กรไม่เหมาะสม ขาดการประสานงานที่เป็นรูปธรรม ระหว่างผู้ตรวจสอบทางด้าน IT และ Non – IT อย่างมีนัยสำคัญ ทำให้การใช้ทรัพยากรของผู้ตรวจสอบสูญเสียโดยเปล่าประโยชน์อย่างมาก และคำแนะนำในการสร้างคุณค่าเพิ่มให้กับ Stakeholders ก็เป็นไปอย่างจำกัด

ทั้งนี้เพราะ มีปัญหาจากมุมมองการบูรณาการ การตรวจสอบ ที่ได้ดุลยภาพ ที่สัมพันธ์กับวิสัยทัศน์ พันธกิจ กลยุทธ์ ที่ถ่ายทอดเป็นแผนปฏิบัติในระดับต่าง ๆ ซึ่งต่อไป องค์กรที่ใช้คอมพิวเตอร์อย่างมีนัยสำคัญในการดำเนินงาน เช่น สถาบันการเงินต่าง ๆ จะพบกับความท้าทายของเทคโนโลยีที่มีผลกระทบอย่างสำคัญยิ่ง ต่อ Business Process ที่จะก้าวไปสู่ Business Objective ต่าง ๆ ขององค์กร

สรุปอีกครั้งก็คือ คณะกรรมการและผู้บริหารขององค์กรต่าง ๆ ควรประเมินช่องว่างระหว่างศักยภาพของบุคลากร ที่ควรมีความรู้ขั้นต่ำที่จำเป็น ให้ได้มุมมองจาก IT Risks ที่มีผลต่อ Business Risks อย่างสำคัญ ซึ่ง C – Level ในระดับต่าง ๆ ควรเข้าใจผลกระทบต่อเทคโนโลยีที่สามารถระบุความเสี่ยงในมุมมองของงานที่ตนเองรับผิดชอบโดยตรง และจากมุมมองที่มีผลกระทบจากสายงานอื่น ๆ ที่เกี่ยวข้อง (Impact Risk) ที่ต้องร่วมด้วยช่วยกันในการบริหารแบบบูรณาการ จากจิตสำนึก (Conscience) ความรับผิดชอบ (Acountability) ในการบริหารงานที่พิจารณาจากกระบวนการทำงาน และผลลัพธ์ที่มีต่อองค์กรเป็นสำคัญ

 

จิตสำนึกผิดชอบหรือมโนธรรม (Conscience) กับการบริหารเพื่อการเติบโตอย่างยั่งยืน ตามหลัก CG

สวัสดีครับ ท่านผู้อ่านทุกท่าน

วันนี้ ผมได้ขึ้นหัวข้อใหม่ เพื่อจะได้คุยกับท่านผู้อ่าน และตอบคำถามที่ท่านผู้อ่านสนใจ เท่าที่เวลาจะอำนวย และหากมีเวลา ผมจะมาพูดคุยเรื่องอื่น ๆ ที่น่าสนใจภายใต้หัวข้อนี้ เช่น ผมคิดว่า “จิตสำนึก” ที่เกี่ยวข้องกับการบริหารและการจัดการ ตั้งแต่ระดับประเทศ ระดับองค์กร ระดับหน่วยงานและระดับบุคคล เป็นเรื่องสำคัญอย่างยิ่งยวด ที่จะนำความสำเร็จ ในการพัฒนาและการบริหาร

ภายใต้ร่มใหญ่ที่เป็นกรอบของการบริหารโดยทั่วไปของคำว่า การกำกับและดูแลกิจการที่ดี (Corporate Governance), การบริหารเทคโนโลยีสารสนเทศที่ดี (IT Governance), การบริหารเพื่อสร้างมูลค่าเพิ่มแบบบูรณาการ ที่อาจใช้คำว่า GRC (Governance + Risk Management + Compliance) ที่เป็นเรื่อง on-top จาก COSO-ERM ซึ่งเป็นกรอบการบริหารความเสี่ยงในเชิงรุก โดยการควบคุมปัญหาที่อาจเกิดขึ้นในอนาคต ในกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการขับเคลื่อน Business Process ไปสู่ Business Objective ที่ยังขาดความเป็นรูปธรรมในทางปฏิบัติ ในหลาย ๆ องค์กร

ทั้ง ๆ ที่ การบริหารความเสี่ยง ตามแนวทางของ COSO-ERM เป็นเรื่องที่มีการปฏิบัติอย่างแพร่หลายทั่วโลก รวมทั้งประเทศไทย มาได้ระยะเวลาหนึ่งแล้วก็ตาม แต่ Output และ Outcome เมื่อพิจารณาในมุมมองของหลักการบริหารแบบบูรณาการ (Integration) ซึ่งควรเข้าใจตรงกันว่า เป็นการบริหารข้ามสายงาน โดยเน้นการจัดการที่กระบวนการ (Process) ที่เกิดจากกิจกรรม (Activities) ที่หลากหลายที่ต้องมีการดำเนินการผ่าน Process ซึ่งในแต่ละ Process อันประกอบด้วยกิจกรรมต่าง ๆ มากมายนั้น จะถูกขับเคลื่อนผ่านไปยังหน่วยงานและสายงานต่าง ๆ ทั่วทั้งองค์กร เพื่อการขับเคลื่อน Business Objective ตามมุมมองของการบริหารกลยุทธ์ทั้ง 4 ตามหลัก Balance Scorecard นั่นเอง

เมื่อผมกล่าวมาถึงช่วงนี้ ท่านก็คงจะเห็นภาพนะครับว่า การควบคุมต่าง ๆ ซึ่งเริ่มตั้งแต่ระดับนโยบาย เรื่อยมาจนนำไปสู่การปฏิบัตินั้น ควรจะถูกฝัง (Embeded) ไว้ในกิจกรรมและกระบวนการอย่างเป็นระบบ คำว่าถูกฝังในที่นี้ เราคงจะเข้าใจตรงกันนะครับว่า เป็นกระบวนการที่เป็นส่วนหนึ่ง ที่นำไปผสมผสานในทุกกิจกรรมที่เกี่ยวข้องอย่างอัตโนมัติ และหากไม่มีการดำเนินการ อย่างเป็นขั้นตอนและมีการควบคุมอย่างเป็นอัตโนมัติ ที่ผสมผสานกับระบบ Manual หรือการควบคุม โดยบุคลากรระดับต่าง ๆ แล้ว กิจกรรมดังกล่าว ก็ไม่อาจดำเนินการผ่าน Process ต่าง ๆ ต่อไปได้ และในทุก ๆ Process ที่ขับเคลื่อน Business Objective ก็มีการควบคุมในระดับต่าง ๆ ทั้งในระบบอัตโนมัติ และด้วยคน (Manual)

โปรดดูรูปเพื่อความเข้าใจนะครับ ผมตั้งใจจะพูดเรื่อง “จิตสำนึก” ของการบริหารและการจัดการ เพื่อการเติบโตอย่างยั่งยืน ตามหลัก Corporate Governance และใช้หลักการของ GRC ซึ่งเป็นหลักการและแนวการปฏิบัติที่เป็นรูปธรรม ในการขับเคลื่อน การบริหารในลักษณะ Integrity – Driven Performance ซึ่งผมได้เล่าสู่กันฟังไว้แล้ว ในเรื่อง GRC ลองไปดูรูปภาพ และสิ่งที่เล่าสู่กันฟังในหัวข้อนี้นะครับ

การบริหารแบบสอดประสานและบูรณาการ หรือ Integrity - Drive Performance แบบ GRC

ผมจะเล่าสู่กันฟังในเรื่องจิตสำนึก ที่เกี่ยวข้องกับการบริหารในโอกาสต่อไป โดยขอเกริ่นนำเล็กน้อยในเรื่อง จิตสำนึกผิดชอบ หรือมโนธรรม ที่เป็นเรื่องค่อนข้างยากและลำบากอย่างยิ่ง ในการขับเคลื่อน หรือพัฒนา กฎเกณฑ์ ให้เป็นรูปธรรม เพราะไม่มีกฎหมาย หรือข้อบังคับใด ๆ จะสร้างกฎเกณฑ์ และข้อบังคับ ให้ความรู้สึกที่จะถ่ายทอดเป็นความคิด และการปฏิบัติ เพื่อให้เกิดความเป็นรูปธรรม และความเป็นจริง ที่องค์กรและบุคลากรต่าง ๆ ต้องการให้เกิดขึ้น เพราะ ประเทศใดก็ตาม องค์กรและบุคลากรใดก็ตาม ที่มีจิตสำนึกผิดชอบ หรือมโนธรรม ที่สามารถขับเคลื่อน จริยธรรม (Ethics) ซึ่งอยู่ในระดับบนสุดยอด ของการขับเคลื่อนการบริหารเพื่อความสำเร็จ ไปสู่การเติบโตอย่างยั่งยืน ประเทศหรือบุคลากรนั้น จะได้รับความนับถืออย่างยิ่งยวด

เรามาทำความเข้าใจความหมายของคำว่า จิตสำนึกผิดชอบ (Conscience) กันครับ
จิตสำนึกผิดชอบ เป็นส่วนประกอบที่อยู่ในส่วนลึกภายในตัวเราทุกคน ที่บอกให้ทราบว่าการกระทำของเรานั้น ผิดหรือถูก เป็นไปตามมาตรฐานแห่งจิตใจของเราหรือไม่ ออสวอล์ด แชมเบอร์ ให้คำจำกัดความเกี่ยวกับจิตสำนึกผิดชอบไว้ได้ดีว่า “จิตสำนึกผิดชอบ เป็นส่วนประกอบภายในวิญญาณของมนุษย์ ที่ฝังตัวเองอยู่ในส่วนที่สูงที่สุดเท่าที่มนุษย์รู้จัก” จิตสำนึกผิดชอบ ไม่ใช่กฎบัญญัติ แต่จิตสำนึกผิดชอบ เป็นพยานให้กับกฎบัญญัติ และจิตสำนึกผิดชอบ ไม่ใช่มาตรฐาน แต่เป็นพยานให้กับมาตรฐาน แต่ละภูมิภาคของโลกมีมาตรฐานที่แตกต่างกันออกไป

ถ้อยคำดังกล่าว ปรากฎอยู่ในหนังสือ Meet Your Consience ที่แต่งโดย Warren W. Wiersbe ในบทที่ 1 ในเรื่อง กฎภายในใจ ที่เกี่ยวข้องกับมโนธรรม ในพระคัมภีร์ใหม่ของคริสเตียน ซึ่งได้เขียนและกล่าวไว้อย่างน่าสนใจยิ่ง

ข้อคิดเห็น จากหนังสือ Meet Your Consience นี้ เป็นแรงบันดาลใจของผม ที่จะนำมาประยุกต์ใช้ และหยิบยกมา ในการเล่าสู่กันฟังเรื่องจิตสำนึกผิดชอบ หรือมโนธรรม ในการขับเคลื่อน การกำกับดูแลกิจการที่ดี หรือ CG เพื่อการเติบโตอย่างยั่งยืน และข้อสำคัญที่เป็นส่วนหนึ่งในการขับเคลื่อน GRC ที่เป็นเรื่องของ Integrity – Driven Performance ที่ผมย้ำอยู่เสมอนั่นเองครับ

Conscience and Understanding of IT Governance to be an integral part of Enterprise Governance

จะกล่าวถึงเรื่องจิตสำนึก / Conscience หรือ มโนธรรม เพื่อการขับเคลื่อน จริยธรรม / Ethics ซึ่งเกี่ยวข้องกับ Soft Control ที่เชื่อมโยงกับ ความรับผิดชอบสูงสุด ของมวลมนุษยชาติ และผู้บริหารที่เกี่ยวข้องกับความมั่นคงของประเทศชาติ ทั้งทางด้านทหาร การเมือง เศรษฐกิจ การเงิน สังคม และการบริหารเชิงรุก ที่ต้องมองอนาคตของชาติและส่วนรวมเป็นหลักนะครับ

 

ดุลยภาพหรือความพอดีในกระบวนการจัดการ หมายถึงความยั่งยืนตามหลักการของ Corporate Governance ที่ต้องการสร้างความเป็นธรรมในการจัดการกับบุคคลทุกฝ่าย

ครั้งที่แล้ว ผมได้พูดถึงดุลยภาพทางด้านนโยบายของผู้กำกับ หรือหน่วยงานของรัฐ ซึ่งใช้ในการควบคุม หรือกำหนดทิศทางในการดำเนินงานของหน่วยงานภายใต้สังกัด และได้ให้ข้อสังเกตว่า นโยบายที่รัฐหรือผู้กำกับกำหนดในหลาย ๆ ครั้งนั้น ไม่ได้ดุลยภาพ หรือความพอดี ในแนวทางการกำกับ ซึ่งอาจพิจารณาได้ว่า เป็นความไม่ตั้งใจ เพราะพิจารณามุมมองของนโยบายที่เน้นด้านหนึ่งด้านใดเป็นการเฉพาะ แต่ไม่ได้เน้นหรือพิจารณามุมมองอื่น โดยเฉพาะอย่างยิ่ง ความเหมาะสมหรือความเพียงพอของการใช้ทรัพยากรในอนาคต

ในกรณีที่เกิดความเสียหาย ในระดับที่ไม่อาจยอมรับได้ ก็น่าจะแสดงว่า นโยบายนั้นไม่ชัดเจน หรือคลุมเครือ ทำให้ผู้ที่ปฏิบัติ รวมทั้งรัฐเสียหายได้ในที่สุด แต่ขณะเดียวกันก็อาจพิจารณาได้ว่า ผู้กำกับหรือนโยบายที่รัฐหรือแม้กระทั่งหน่วยงานเอกชนได้ออกไปเพื่อกำหนดทิศทางในการดำเนินงานนั้น คณะกรรมการและผู้บริหารหรือผู้มีอำนาจ ไม่ได้คำนึงถึงกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO – Enterprise Risk Management (ERM) ซึ่งเป็นกรอบมาตรฐานหรือแนวการปฏิบัติที่ดี ในกรณีนี้ก็คือ การไม่ได้กำหนดระดับความเสี่ยงหรือความเสียหายที่ยอมรับได้ (Risk Appetite / Risk Tolerance) ซึ่งยังเป็นเรื่องใหม่อยู่มากสำหรับผู้นำในภาครัฐและภาคเอกชนในหลายหน่วยงาน

Enterprise Governance Drives IT Governance and GRC

การที่หน่วยงานของรัฐ หน่วยงานความมั่นคง หน่วยงานของเอกชน ไม่ได้กำหนดระดับความเสี่ยง หรือระดับความเสียหายที่ยอมรับได้อย่างเป็นกระบวนการ แสดงได้ในเบื้องต้นว่า กระบวนการบริหารและการจัดการมีจดอ่อนอย่างมีนัยสำคัญ ที่เกี่ยวข้องกับ Strategic Risk + Operational Risk + Reporting and Financial Risk และ Compliance Risk ซึ่งนำมาสู่การบริหารที่ด้อยประสิทธิภาพ และด้อยประสิทธิผลในกระบวนการดำเนินงานที่ถ่ายทอดมาเป็นแผนปฏิบัติ ในหน่วยงานปฏิบัติภาคสนามที่เกี่ยวข้อง

ผมจะมีตัวอย่างเรื่องราวเหล่านี้มากมาย ที่จะสะท้อนให้เห็นถึงจุดอ่อนของผู้นำหรือผู้บริหารในระดับต่าง ๆ ที่เกี่ยวข้อง

ในวันนี้เพียงแต่จะขอพูดถึงเรื่อง การที่มีหน่วยงานกำกับได้มาแนะนำให้ธนาคารแห่งประเทศไทย เปลี่ยนแปลงและลดการควบคุมหนี้จัดชั้น หรือหลักเกณฑ์ในการพิจารณาสินเชื่อที่จะก่อให้เกิด NPL ในอนาคต เพียงเพื่อให้ทางสถาบันการเงินลดภาระในการกันเงินสำรองตามหลักเกณ์ฑของ ธปท. ทั้ง ๆ ที่ไม่ช่วยให้คุณภาพของลูกหนี้ดีขึ้น แต่จะเป็นการหมกเม็ดปัญหาที่จะเกิดขึ้นในอนาคต ซึ่งในที่สุดแล้วก็เกิด NPL หากองค์ประกอบอื่นยังอยู่ในสภาพคงที่ต่อไปเหมือนเดิม

ข้อสำคัญในสถาบันการเงินที่ธนาคารแห่งประเทศไทยเป็นผู้ดูแลทางด้านความมั่นคงโดยรวมนั้น ก็อยู่ภายใต้กรอบการกำกับและแนวทางในการควบคุมสถาบันการเงิน โดยหน่วยงานกำกับสากลที่มีหลักเกณฑ์บังคับและใช้เป็นแนวทางที่จะให้ธนาคารกลางของประเทศต่าง ๆ ปฏิบัติตาม เช่น การใช้แนวทาง Basel II เพื่อให้แน่ใจถึงคุณภาพการดำเนินงานของสถาบันการเงินในมุมมองต่าง ๆ ซึ่งไม่อาจกล่าวได้ทั้งหมดในที่นี้

IT Governance Focus on 5 Areas

ข้อความข้างต้นอาจจะไม่ถูกทั้งหมดนะครับ เพราะในหลาย ๆ กรณี ผู้กำกับก็รู้ดีถึงความเสียหายที่อาจจะเกิดขึ้น ส่วนจะอยู่ในอัตราที่ยอมรับได้หรือไม่นั้น (การกำหนด Risk Appetite) ยังไม่ต้องคำนึงถึงใน ณ ที่นี้ เพราะส่วนใหญ่ไม่มีการพิจารณา เนื่องจากเป็นจุดอ่อนหรือช่องเปิดของความเสียหายในกระบวนการจัดการ หรือกระบวนการกำกับของบางหน่วยงานอยู่แล้ว แต่เป็นเพียงกลยุทธ์พื้นฐาน เพื่อให้เป็นหน้าที่และความรับผิดชอบของผู้บริหารของหน่วยงานที่ต้องปฏิบัติ หรือเป็นหน่วยงานที่เรียกว่าเป็น Operator ที่ต้องกำหนดแนวทางในการจัดการกับความเสี่ยงในรูปแบบต่าง ๆ ตามลำพัง

ดังนั้น ดุลยภาพของนโยบายและดุลยภาพในการควบคุมระดับต่าง ๆ ต้องการความเข้าใจจริง ของผู้นำและผู้บริหารที่เกี่ยวข้อง ที่ต้องคำนึงถึงผลกระทบ และภาระที่จะเกิดขึ้นในอนาคต ที่ควรจะอยู่ในระดับที่ยอมรับได้ นั่นคือ กระบวนการบริหารการจัดการที่ดี จะต้องมีการกำหนดระดับความเสี่ยงหรือความเสียหายที่ยอมรับได้ ตั้งแต่ระดับบนที่ถ่ายทอดลงมาถึงระดับปฏิบัติการ ที่เป็นรูปธรรม ปฏิบัติได้ ภายใต้กรอบและเป้าหมายที่กำหนดไว้ชัดเจนตามหลักของ SMART ตามที่ได้เคยกล่าวและอธิบายมาแล้ว