Archive for พฤศจิกายน, 2009

เกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ) และเกร็ดความเข้าใจในบางมุมมอง

ในช่วงเวลานี้ ผมกำลังนำหลักเกณฑ์การประเมินรัฐวิสาหกิจประจำปี 2553 ที่กระทรวงการคลัง โดย สคร. ร่วมกับคณะกรรมการประเมินผลชุดต่าง ๆ ที่ได้ศึกษาและกำหนดเกณฑ์การประเมินผลของรัฐวิสาหกิจ ประจำปี 2553 มานำเสนอ เพื่อให้ผู้ที่เกี่ยวข้องได้ติดตามเพิ่มเติมจากแหล่งที่เป็นที่มาหลัก ๆ ก็คือ สคร. และ ทริส

ผมจะพยายามนำเสนอความเข้าใจเพิ่มเติมในบางมุมมองที่เกี่ยวข้องกับการประเมิน และการปฏิบัติงานการบริหารของ รส. โดยใช้รูปภาพ หรือแผนภาพ แทนการอธิบายด้วยลายลักษณ์อักษร เพื่อประกอบความเข้าใจตามสมควร ควบคู่กันไปกับการนำเสนอหลักเกณฑ์การประเมินตามหลักการของ สคร.

ความเข้าใจเพิ่มเติมในบางมุมมองที่เกี่ยวข้องกับการประเมิน และการปฏิบัติงานการบริหารของรัฐวิสาหกิจ

ต่อจากนี้ จะเป็นเกณฑ์การประเมินผลการบริหารความเสี่ยงของ รส. ในส่วนที่ 2 ซึ่งเป็นเกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง ที่ยังคงค้างกันเอาไว้จากครั้งที่แล้ว ผมจะขอต่อด้วยเกณฑ์ข้อที่ 2 เลยนะครับ

2. มีกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน

3. มีการทบทวนและปรับปรุงการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรง

4. จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง เช่น จรรยาบรรณ และผู้บริหารรับฟัง การท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น โดยพิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

4.1. ความเหมาะสมและเพียงพอของช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.2. ประสิทธิผลของการใช้ช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.3. การสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

5. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)

5.1. ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน

5.2. มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

5.2.1. การวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน

5.2.2. วิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายที่มิใช่ทางการเงิน

5.2.3. การวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

หลักการองค์กรแห่งการเรียนรู้ 5 ประการของ Peter Senge ประกอบด้วย
1. Systems Thinking กระบวนการคิด/วางแผน/จัดการที่เป็นระบบ
2. Personal Mastery การสร้างวินัยของบุคคล
3. Mental Models การปรับเปลี่ยนแนวความคิดของบุคคล
4. Building shared vision การมีวิสัยทัศน์ร่วมกัน
5. Team learning การเรียนรู้ของกลุ่ม/ฝ่าย/ทีม

5.3. มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

การสื่อสารภายใน ควรจะสื่อถึงเรื่องดังต่อไปนี้อย่างมีประสิทธิผล
• ความสำคัญและความจำเป็นของการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผล
• วัตถุประสงค์ขององค์กร
• ระดับความเสี่ยงที่องค์กรยอมรับได้ และช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้
• การใช้ภาษาเดียวกันในเรื่องความเสี่ยง
• บทบาทและความรับผิดชอบของบุคลากรที่จะสนับสนุนและนำองค์ประกอบต่างๆ ของการบริหารความเสี่ยงขององค์กรมาใช้

นอกจากความจำเป็นที่ต้องมีการสื่อสารที่เหมาะสมภายในองค์กรแล้ว ยังจำเป็นที่จะต้องมีการสื่อสารภายนอกที่เหมาะสมด้วย ด้วยช่องทางการสื่อสารภายนอกที่เปิดต่อกลุ่มผู้มีส่วนได้เสีย โดยเฉพาะการเปิดช่องทางการสื่อสารเกี่ยวกับระดับความเสี่ยงที่องค์กรยอมรับได้กับช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Appetite และ Risk Tolerance) นั้น มีความสำคัญ โดยเฉพาะสำหรับองค์กรที่ต้องเชื่อมโยงกับองค์กรอื่น ซึ่งการสื่อสารต่อกลุ่มผู้มีส่วนได้เสีย จะต้องให้สารสนเทศที่ตรงกับความต้องการของกลุ่มบุคคลนั้น ๆ

ครั้งหน้าผมจะมาต่อในส่วนที่เหลือให้จบ โปรดติดตามต่อนะครับ

 

การเรียนการสอนแบบเปิด สมัยเพลโตและอริสโตเติล จากข้อมูลข่าวสารและทัศนคติที่มีความแตกแยกกันเป็นอย่างยิ่งในปัจจุบัน

วันนี้ ยังไม่มีคำถามคำตอบที่เหมาะแก่การแลกเปลี่ยนกัน ผมจึงนำเสนอข้อคิดเห็นที่เกี่ยวข้องกับการพัฒนาความคิดจากการเรียนการสอนแบบเปิด เพื่อให้นักเรียนและผู้ที่เกี่ยวข้อง คิดใคร่ครวญด้วยเหตุด้วยผล เพื่อหาความจริงที่สามารถจะนำไปใช้เป็นประโยชน์ต่อสังคมในระยะยาวต่อไปได้ดังนี้ ครับ

ข้อมูลจากนี้ไป ส่วนใหญ่ผมนำมาจากหนังสือเรื่อง Reason, Faith and Truth ที่เขียนโดยคุณนิกร สิทธิจริยากรณ์ ซึ่งได้เขียนหนังสือเล่มนี้ขึ้นมาเพื่อท้าทายความคิดของผู้ที่ชอบคิด เพื่อเป็นแนวทางให้กับทุกท่านที่ไม่อยากจะถูกบล็อคทางความคิด แต่อยากหรือตั้งใจที่จะพัฒนาความคิดเห็น เพื่อนำตัวเองเข้าสู่โลกแห่งความเป็นจริง ของความคิดที่มีเหตุมีผล โดยไตร่ตรองข้อมูลที่มาจากทัศนคติที่แตกต่างกัน ช่วยผลักดันให้ชีวิตของท่านว่า ท่านได้ตัดสินใจหรือออกความเห็นได้ถูกต้องแล้วหรือยัง ซึ่งอาจจะนำทางให้เราไปสู่การเปลี่ยนแปลงครั้งยิ่งใหญ่ของชีวิตที่มีเหตุมีผล

ประเทศตะวันตก และประเทศสหรัฐอเมริกา ซึ่งเป็นประเทศที่เจริญแล้ว โรงเรียนและมหาวิทยาลัยเกือบทุกแห่งเป็นการสอนแบบเปิด นั่นก็คือ คุณครูหรืออาจารย์จะทำหน้าที่กระตุ้น (เปิดประเด็น) และนักเรียน/นักศึกษาก็จะทำการคิดใคร่ครวญด้วยเหตุผล หาข้อสรุปที่เป็นความจริงออกมา ซึ่งเป็นการฝึกพัฒนาสมอง ตั้งแต่เด็ก ๆ จนกระทั่งโต เพื่อให้นักเรียนและนักศึกษาฝึกความคิด และวิเคราะห์ หาข้อเท็จจริงแทนการเรียนการสอนแบบนกแก้ว ซึ่งเป็นการพัฒนานักเรียนและนักศึกษาให้เป็นประชาชนที่มีความเข้มแข็งทางด้านการสร้างนวตกรรมใหม่ ๆ และสามารถแก้ปัญหาของตนเอง ขององค์กร และของประเทศ ได้อย่างเป็นระบบ

ประเทศสิงคโปร์ และประเทศอิสราเอล เป็นตัวอย่างที่ดีมาก เพราะทั้ง 2 เป็นประเทศเล็ก ๆ แต่มีคุณภาพของประชาชนที่สามารถคิดใคร่ครวญด้วยเหตุผล และพัฒนาประเทศไปสู่ระดับแนวหน้าของโลกในด้านต่าง ๆ ได้ แต่ตรงกันข้ามกับประเทศที่มีการเรียนการสอนชนิดแบบปิด คือ สอนแบบให้ท่องจำ และออกข้อสอบในลักษณะใช้ความจำเป็นส่วนใหญ่ จะมีศักยภาพในการแข่งขันระดับต่ำ และมีการพัฒนาประเทศไปสู่ประเทศที่พัฒนาแล้วได้ค่อนข้างช้า

ครั้งหนึ่งเมื่อเพลโต ซึ่งเป็นครูของอริสโตเติลสอนบางสิ่งบางอย่างที่อริสโตเติลไม่เห็นด้วย อริสโตเติลจึงโต้แย้ง เพลโตจึงกล่าวว่า “เราเป็นครูของท่านนะ!… ทำไมไม่ให้เกียรติเราบ้าง?”… อริสโตเติลตอบว่า “ครูครับ… ผมให้เกียรติครู แต่ผมต้องให้เกียรติความจริงมากกว่าครูครับ”… จากเหตุการณ์นี้ จึงทำให้เพลโตกล่าวประโยคหนึ่งว่า “โรงเรียนของข้าพเจ้ามีส่วนประกอบอยู่ 2 ส่วน ส่วนแรกก็คือ ร่างกายของนักเรียน และส่วนที่สอง ก็คือสมองของอริสโตเติล”… เพราะเหตุไรเพลโตจึงกล่าวเช่นนั้น…

นั่นก็เพราะว่าท่ามกลางนักเรียนของท่าน มีนักเรียนเพียงคนเดียวเท่านั้นที่มีความคิดที่เปิดออก ไม่ถูกบล็อคความคิดเหมือนนักเรียนคนอื่น ๆ… ไม่ถูกบล็อคความคิด โดยความคิดของครู วัฒนธรรมของสังคม เชื้อชาติ หรือแนวความคิดของคนหนึ่งคนใด แต่เขามีความคิดที่เกี่ยวกับความจริงที่เป็นสากล ทะลุกรอบแห่งความคิดของครู ทะลุกรอบของประเพณี วัฒนธรรม ทะลุกรอบของเชื้อชาติ ทะลุกรอบของบรรดานักคิดที่สังคมยอมรับ ซึ่งเป็นความจริงแห่งจักรวาล (Universal truth)

DSC06046

ดังนั้น ภาพวาดภาพนี้ของราฟาเอล จึงมีบุคคลอยู่หลายคนอยู่ในภาพ แต่แบล็คกราวข้างหลังคนเหล่านั้น มีแค่ 2 ภาพ คือ ภาพของท้องฟ้าที่กว้างไกลที่อยู่หลังเพลโตกับอริสโตเติล กับฝาผนังของอาคารที่อยู่ข้างหลังของเหล่านักเรียนคนอื่น ๆ… ราฟาเอลได้วาดภาพนี้เพื่อจะสื่อให้คนที่ชมภาพเห็นว่า ถ้าคนเราจะเชื่ออะไร จะเอาแนวความคิดอะไรมาเป็นแนวทางในการดำเนินชีวิต หรือจะมอบชีวิตให้กับแนวความคิดใด ๆ แล้ว อย่าถูกบล็อคความคิดเป็นอันขาด ไม่ว่าแนวความคิดนั้น จะมาจากตัวเองหรือมาจากไหนก็ตาม

ซึ่งเมื่อเราได้รับแนวความคิดมาแล้ว เราควรจะให้แนวความคิดนั้นผ่านศักยภาพในการคิดใคร่ครวญ การไตร่ตรองที่อยู่ภายในของเราก่อน เพื่อเราจะได้เชื่อในความจริงที่เป็นความจริงที่เด็ดขาด ซึ่งไม่ใช่ความจริงที่เด็ดขาดที่คนตะวันตกถือว่าเด็ดขาด หรือไม่ใช่ความจริงที่เด็ดขาดที่คนตะวันออกถือว่าเด็ดขาด ไม่ใช่ความจริงที่มาจากผม ไม่ใช่ความจริงที่มาจากคุณ และไม่ใช่ความจริงที่มาจากเขาคนไหน… แต่เป็นความจริงที่เด็ดขาดที่เป็นสากล เป็นความจริงที่เด็ดขาดแห่งจักรวาล (Universal truth)..

ซึ่งเมื่อคนหนึ่งได้รับฟัง ได้สัมผัสความจริงที่เด็ดขาดนั้นแล้ว ไม่มีทางปฏิเสธได้เลยว่า นี่แหละคือความจริงที่เด็ดขาด ที่ไม่ว่าคุณ ผม หรือเขา หรือคนทั่วโลกจะต้องสยบ และไม่มีทางโต้แย้งได้เลย… คนจีนมีสำนวนที่น่าคิดสำนวนหนึ่ง ซึ่งมีความหมายดังนี้ว่า “สิ่งที่ไม่สมควรได้ กลับอย่างได้ เรียกว่า “โลภ”… สิ่งที่สมควรได้ แต่ไม่เอา เรียกว่า “โง่”… สิ่งที่สมควรโต้แย้ง แต่ไม่โต้แย้ง เรียกว่า “ออมชอม”… สิ่งที่ไม่สมควรโต้แย้ง แต่กลับโต้แย้ง เรียกว่า “ใจแข็งกระด้าง”…

เมื่อคนหนึ่งคนใดได้ฟัง ได้สัมผัส “ความจริงที่เด็ดขาด” แล้วเขาจะมีความรู้สึกทันทีว่า ศักยภาพในการเข้าใจที่อยู่ภายในความคิดของเขานั้นจะบีบเขา และผลักดันให้เขาเกิดการเชื่อถือและยอมรับ ซึ่งไม่เพียงแต่เขามีความรู้สึกเช่นนี้เท่านั้น แต่คนทั่วโลกต่างก็มีความรู้สึกเช่นนี้เหมือนกัน… และเมื่อเป็นเช่นนั้น ถ้าใครยังจะปฏิเสธและโต้แย้งอีก เขาก็เป็นคนที่ไม่รักความจริง และใจแข็งกระด้างเอามาก ๆ เลยทีเดียว…

เมื่อเราได้ทราบแล้วว่า อะไรคือความเด็ดขาด ตรงนี้ให้เรามาดูว่า อะไรคือความจริงแห่งจักรวาลที่เด็ดขาด?… ซึ่งเป็นความจริงที่เด็ดขาดที่ไม่ว่าความคิดตะวันตกหรือความคิดตะวันออกจะต้องสยบ…

Environmental Concept

บทเรียนในวันนี้ ผมต้องการให้ท่านผู้อ่านใช้ดุลยพินิจเกี่ยวกับการติดตามข่าวสาร ซึ่งมีความขัดแย้งค่อนข้างสูงมาก และส่วนใหญ่มีทัศนคติที่คำนึงและพิจารณาเพียงเป้าประสงค์ในกลุ่มของตนเป็นหลัก ทำให้ดุลยภาพของความคิดเห็นจากข่าวสาร มีแนวโน้มที่จะหักล้างซึ่งกันและกัน กับผู้ที่มีความเห็นแตกต่าง แทนที่จะคำนึงถึงผลประโยชน์ของชาติเป็นหลัก

ความน่าเชื่อถือของประเทศ จะลดน้อยลงไปอยู่ในระดับที่ไม่น่ายอมรับได้ โดยเฉพาะการใช้กลยุทธ์ และนโยบายที่มีกรอบความคิดที่ค่อนข้างแคบ

ดังนั้น การนำบทเรียนในสมัยเพลโตและอริสโตเติล ซึ่งเป็นครูกับนักเรียน ที่ผ่านมานับเป็นพันปีแล้วนั้น จะช่วยให้เกิดข้อคิดถึงการพัฒนาการเรียนการสอนทางด้านความคิด การวิเคราะห์หาความจริงด้วยเหตุด้วยผล โดยใช้ทัศนคติที่ถูกต้อง และคำนึงถึงผลประโยชน์ของชาติเป็นหลัก ก็จะสามารถแก้ไขวิกฤตการณ์ทางด้านความคิด และความแตกแยก ที่พาประเทศของเราถอยหลังลงไปเรื่อย ๆ จนน่าใจหายเป็นอย่างยิ่ง ในปัจจุบัน

 

ผลกระทบจากการที่รูปแบบของหลักฐานที่ใช้ในการตรวจสอบได้เปลี่ยนแปลงไป (Impact of Changing Evidence on the IT Audit)

วันนี้ผมจะมาเล่าสู่กันฟัง ในเรื่องที่เกี่ยวข้องกับ ผลกระทบของหลักฐานการตรวจสอบที่มีจะเกี่ยวข้องกับกระบวนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ ทั้งในรูปแบบการตรวจสอบ IT Audit และ Manual Audit

ถึงแม้จะเป็นการตรวจสอบระบบงานเดียวกัน แต่หากรูปแบบของหลักฐานการตรวจสอบเปลี่ยนแปลงไป วิธีการและกระบวนการตรวจสอบก็ต้องเปลี่ยนแปลงตามไปด้วย ทั้งนี้เพราะ หลักฐานการตรวจสอบจะมีส่วนสำคัญยิ่งต่อการวางแผนการตรวจสอบของผู้ตรวจสอบภายใน รวมทั้งผู้รับรองงบการเงินในส่วนที่เกี่ยวข้อง

ท่านผู้ตรวจสอบ ลองเปรียบเทียบวิธีและกระบวนการตรวจสอบของตัวอย่าง ซึ่งผมจะได้กล่าวต่อไปนี้นะครับ แล้วพิจารณาว่า ทำไมผู้ตรวจสอบจึงต้องมีวิธีการตรวจสอบที่แตกต่างกันไป จาก 2 ตัวอย่างที่จะกล่าวถึง

ดังนั้น ความเข้าใจในกระบวนการปฏิบัติงาน ในระบบงานที่ตรวจสอบและหลักฐานที่เกี่ยวข้อง จึงเป็นเรื่องที่มีความสำคัญอย่างยิ่งกับผู้ตรวจสอบทุกประเภท สำหรับการวางแผนการตรวจสอบ ยังมีเกร็ดและมุมมองที่จะพิจารณา ที่อาจอธิบายได้เพิ่มเติมอีกมากพอสมควรนั้น ผมจะได้นำมาเล่าสู่กันฟังในภายหลัง เพื่อไม่ให้ท่านผู้ตรวจสอบเบื่อเรื่องการวางแผนการตรวจสอบ ซึ่งอาจจะมีมากมายจากปัจจัยและมุมมองที่แตกต่างกัน

ตัวอย่างในการตรวจสอบข้างล่างนี้ ขอให้ท่านใช้ดุลยพินิจและความเข้าใจให้ดี เพื่อเป็นรากฐานการตรวจสอบในเรื่องอื่น ๆ ต่อไป

กรณีตัวอย่าง ก.

องค์การ ก. ได้ใช้ระบบงานคอมพิวเตอร์ในการจ่ายเงินเดือนพนักงานแต่ละคนจะกรอกรายละเอียดชั่วโมงในใบลงเวลา แล้วให้ผู้ควบคุม (Supervisor) ลงลายมือชื่ออนุมัติ หลังจากนั้นจะรวบรวมข้อมูลไปป้อน (Key) ข้อมูลลง disk โดยใช้เครื่อง key-to-disk machine ซึ่งจะมีสำเนาข้อมูลส่งกลับมาให้ผู้ควบคุมตรวจสอบความถูกต้องอีกครั้งหนึ่ง และเมื่อเริ่มต้นงวดรอบระยะเวลาการจ่ายเงินเดือนแต่ละครั้ง จะมีการปรับปรุงข้อมูลที่มีการเปลี่ยนแปลง เช่นอัตราค่าจ้างและรายการหักค่าลดหย่อนต่าง ๆ และมีการพิมพ์รายงานแสดงรายละเอียดการจ่ายค่าจ้างของพนักงานแต่ละคนส่งให้แผนกงานต่าง ๆ เพื่อใช้เป็นข้อมูลในการจัดเตรียมการจ่ายค่าจ้าง และในขั้นสุดท้ายก็จะมีการจัดพิมพ์เช็ค และส่งให้ผู้ควบคุมแต่ละคน เพื่อจ่ายให้แก่พนักงาน และจะมีการกระทบยอดเช็คสลักหลัง โดยฝ่ายบุคคลที่อยู่แยกต่างหากจากแผนกที่ทำหน้าที่เกี่ยวกับการจ่ายเงินเดือน

ในระบบกรณีองค์กร ก. ดังกล่าว รูปแบบของหลักฐานจะไม่ถูกกระทบกระเทือนหรือเปลี่ยนไปมากนัก ยังคงสามารถใช้วิธีการตรวจสอบเช่นที่ทำในระบบบเดิมได้ แต่ถ้าผู้ตรวจสอบจะต้องการปรับปรุงประสิทธิภาพ และความประหยัดในการตรวจสอบ โดยนำเอาเทคโนโลยีทางด้านคอมพิวเตอร์เข้ามาช่วยในการตรวจสอบได้ เช่น การใช้ audit software เป็นต้น

กรณีตัวอย่าง ข.

องค์การ ข. ได้ใช้ระบบงานคอมพิวเตอร์ในการจ่ายเงินเดือน ซึ่งระบบนี้จะรวบรวม และบันทึกข้อมูลผ่านเครื่องเทอร์มินอล โดยพนักงานแต่ละคนจะใช้บัตรที่มีแถบแม่เหล็กบันทึกรายการรูดผ่านเครื่องเทอร์มินอล เพื่อบันทึกเวลาที่เข้าทำงานประจำวันและเวลาเลิกงาน เครื่องก็จะบันทึกข้อมูลชั่วโมงการทำงานของพนักงานคนนั้น ๆ ไว้ เมื่อมีการเปลี่ยนแปลงข้อมูลหลัก เช่น อัตราค่าจ้าง ฝ่ายบุคคลก็จะป้อนรายการเปลี่ยนแปลง พร้อมวันที่มีผลบังคับใช้ผ่านทางเครื่องเทอร์มินอล เพื่อปรับปรุงข้อมูลใน database โดยตรง ข้อมูลเกี่ยวกับค่าจ้างที่ต้องจ่ายที่ได้จากการประมวลผล จะถูกส่งไปยังธนาคารเพื่อโอนเงินเข้าบัญชีให้พนักงาน ในลักษณะที่เป็นการโอนเงินทางอิเล็คทรอนิกส์ และจะส่ง statement แสดงรายละเอียดการโอนเงินเข้าบัญชีให้แก่พนักงานถึงบ้าน

ในระบบกรณีองค์กร ข. ดังกล่าว จะเห็นว่ารูปแบบของหลักฐานได้เปลี่ยนแปลงไปอย่างมาก จึงจำเป็นต้องอาศัยวิธีการตรวจสอบแบบใหม่ ซึ่งต่างจากการนำคอมพิวเตอร์เข้ามาใช้ในกรณี ก. ซึ่งไม่ได้ทำให้รูปแบบของหลักฐานเปลี่ยนแปลงไป จึงสามารถใช้วิธีการตรวจสอบแบบเดิมได้ ดังนั้น อาจกล่าวได้ว่า ตัวคอมพิวเตอร์เองนั้น ไม่ได้มีผลต่อผู้ตรวจสอบโดยตรง แต่ผลกระทบจากระบบงานคอมพิวเตอร์ที่มีรูปแบบของหลักฐานที่ใช้ในการตรวจสอบต่างหาก ที่มีความสำคัญ และทำให้ผู้ตรวจสอบต้องกำหนดวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับรูปแบบของหลักฐานที่ได้เปลี่ยนแปลงไป

อย่างไรก็ดี ก่อนที่จะมีการตรวจสอบระบบคอมพิวเตอร์นั้น ผู้ตรวจสอบควรทราบถึงลักษณะของเทคโนโลยีที่องค์กรควรใช้เสียก่อน โดยอาจจะใช้ Audit Impact Matrix เพื่อระบุถึงผลกระทบที่มีต่อรูปแบบของหลักฐาน หากเทคโนโลยีนั้นมีผลให้รูปแบบของหลักฐานเปลี่ยนแปลงไป ผู้ตรวจสอบก็ต้องพิจารณาว่า จะมีผลให้ต้องนำวิธีการตรวจสอบแบบใหม่มาใช้หรือไม่ ในกรณีที่รูปแบบของหลักฐานได้เปลี่ยนแปลงไปโดยสิ้นเชิง ผู้ตรวจสอบอาจจำเป็นต้องมีทักษะหรือความเชี่ยวชาญในการตรวจสอบ EDP โดยเฉพาะ จึงจะสามารถตรวจสอบได้อย่างเหมาะสม

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

วันนี้ผมยังคงพูดคุยกับท่านอยู่ในเรื่องของกระบวนการบริหารความเสี่ยง ทางด้านระบบสารสนเทศและการติดต่อสื่อสาร (Information and Communication) ซึ่งในครั้งนี้จะพูดถึงข้อมูลเชิงลึกและความสามารถในการเรียกใช้ข้อมูล

ข้อมูลเชิงลึกและความสามารถในการเรียกใช้ข้อมูล
แหล่งข้อมูลด้านโครงสร้างพื้นฐาน และการดับจับข้อมูลในกรอบเวลา และความคงที่ในเชิงลึกกับความจำเป็นขององค์กรในการแยกแยะ ประเมินและตอบสนองความเสี่ยง และยังคงอยู่ภายในระดับความเสี่ยงที่ยอมรับได้ ความถูกเวลาในการไหลของข้อมูลต้องการความคงที่กับอัตราการเปลี่ยนแปลงภายในทั้งในองค์กรและสิ่งแวดล้อมภายในและภายนอก

ข้อมูลด้านโครงสร้างพื้นฐานแปลงข้อมูลดิบให้เป็นข้อมูลที่เกี่ยวข้องซึ่งจะช่วยในการบริหารความเสี่ยงขององค์กร และความรับผิดชอบอื่น ๆ ข้อมูลถูกเตรียมอย่างเป็นรูปแบบและมีกรอบเวลา ซึ่งสามารถนำไปปฏิบัติได้ง่ายต่อการใช้งานอย่างมีเหตุมีผลและเชื่อมไปสู่การตรวจสอบได้

ความก้าวหน้าในการเก็บข้อมูล การประมวลผลข้อมูลและการเก็บรักษาข้อมูล แสดงผลลัพธ์ด้วยการเติบโตของปริมาณข้อมูล การมีข้อมูลที่มากเพียงพอ มีคนในองค์กรจำนวนมาก ความท้าทายคือการหลีกเลี่ยง “การมีข้อมูลมากเกินไป” โดยการมั่นใจว่าการไหลของข้อมูลที่ถูกต้องในรูปแบบที่ถูกต้อง ในระดับของรายละเอียดที่ถูกต้อง ไปสู่บุคคลที่ถูกต้องในเวลาที่ถูกต้อง ในการพัฒนาโครงสร้างพื้นฐานข้อมูล ควรพิจารณาความต้องการข้อมูลของผู้ใช้และสรุปข้อมูลที่ผู้บริหารแต่ละระดับต้องการใช้

มาดูกันในเรื่องของคุณภาพของข้อมูลกันบ้างครับ
การเพิ่มขึ้นของการพึ่งพาระบบข้อมูลและระบบการใช้ข้อมูลช่วยในการตัดสินใจ และกระบวนการความเชื่อถือได้ของข้อมูลเป็นสิ่งสำคัญ ข้อมูลที่ไม่ถูกต้องจะส่งผลในแง่ของความเสี่ยงที่แยกแยะไม่ได้ หรือการประเมินค่าและการตัดสินใจทางด้านการบริหารที่ไม่ดีนัก

คุณภาพของข้อมูล ควรพิจารณาในเรื่องดังต่อไปนี้
– เนื้อหามีความเหมาะสม – รายละเอียดอยู่ในระดับที่ถูกต้องหรือไม่
– ข้อมูลได้มาถูกเวลา – ข้อมูลมีเมื่อต้องการหรือไม่
– ข้อมูลเป็นปัจจุบัน – ข้อมูลที่ได้มาล่าสุดเมื่อใด
– ข้อมูลถูกต้อง – ข้อมูลนี้ถูกต้องหรือไม่
– ข้อมูลใช้ในการประเมินได้ – ข้อมูลง่ายต่อการใช้งานของผู้ที่ต้องการหรือไม่

IT Governance and Information

เพื่อให้มั่นใจว่าข้อมูลมีคุณภาพ องค์กรได้สร้างโปรแกรมการจัดการข้อมูล การรวบรวมความต้องการ การบำรุงรักษา และการกระจายข้อมูลและการบริหารข้อมูล หากไม่มีโปรแกรมเหล่านี้ ระบบข้อมูลอาจไม่ได้ช่วยในการบริหารข้อมูลและความต้องการส่วนบุคคลอื่น ๆ

ความท้าทายประกอบด้วย ความขัดแย้งเรื่องความต้องการเชิงหน้าที่ การบังคับเชิงระบบ และกระบวนการที่ไม่มีการบูรณาการ สามารถรับช่วงข้อมูลที่หามาได้และการใช้ที่มีประสิทธิภาพเพื่อให้บรรลุความท้าทาย ผู้บริหารสร้างแผนกลยุทธ์ด้วยการสามารถตรวจสอบได้และด้วยความรับผิดชอบเพื่อความสมบูรณ์ของข้อมูลและสร้างการประเมินคุณภาพของข้อมูล

โดยทั่วไป กลยุทธ์การบริหารข้อมูลมักขยายสู่องค์กร การขยายตัวของระบบ e-Business การไหลของข้อมูลในเรื่องผลงานขององค์กรจะรวมถึง Supply Chain คู่ค้าทางธุรกิจ ลูกค้า และอื่น ๆ ส่วนมากข้อมูลด้านการปฏิบัติการ การเงิน การแบ่งปันเชิงความร่วมมือของข้อมูลและมองเห็นได้ชัดด้วยคู่ค้าเชิงกลยุทธ์ที่สำคัญ ข้อมูลจำเป็นสำหรับการบริหารความเสี่ยงอาจปรับขนาดองค์กรทั้งภายในและภายนอก

การมีข้อมูลที่ถูกต้อง ตรงเวลาและถูกสถานที่ มีความสำคัญในการบริหารความเสี่ยงและการควบคุม นั่นเป็นเหตุผลที่ทำให้ระบบข้อมูลจะต้องถูกควบคุมในแง่ที่เป็นส่วนประกอบของการบริหารความเสี่ยง

 

การประเมินผลการดำเนินงานของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับ ผมได้นำเสนอเรื่องของแนวทางการประเมินผลการดำเนินงานของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วใน 2 – 3 ครั้งที่ผ่านมา จากที่ได้กล่าวไปแล้วว่า แนวทางที่ใช้ในการยกระดับและขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเกณฑ์พิจารณาเบื้องต้นนั้น มี 2 ส่วน และได้มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์การประเมินผลในปี 2552 ซึ่งได้นำเสนอเกณฑ์การพิจารณาการบริหารความเสี่ยงที่เป็นเกณฑ์การประเมินในส่วนแรกไปแล้ว แต่ยังไม่จบแค่นั้นครับ

วันนี้ ผมจะมานำเสนอต่อถึงการประเมินคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น ไปติดตามกันต่อเลยนะครับ

ส่วนที่สอง เกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง

1. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี
1.1. ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร

1.2. คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้

การสร้างมูลค่าเพิ่ม หมายรวมถึง
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา

1.3. คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตามการจัดการกระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT

1.4. คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT

1.5. ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

1.6. มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลักๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น

โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non-IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

1.7. คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

1.8. ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

1.9. คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น

1.10. คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

นี่เป็นเพียงเกณฑ์การประเมินในข้อแรกเท่านั้น ยังมีเกณฑ์ที่ใช้ในการประเมินอีกหลายข้อ ซึ่งผมจะนำเสนอในโอกาสต่อไปครับ

 

จิตสำนึกผิดชอบที่เข้มแข็ง สามารถสร้างความน่าเชื่อถือของประเทศ จากความแตกต่างทางความคิดและทัศนคติได้

การอดทนต่อผู้ที่มีทัศนคติและความคิดเห็นที่แตกต่างกัน จะขึ้นกับจิตสำนึกผิดชอบที่อ่อนแอหรือเข้มแข็งของผู้ปกครองประเทศ และผู้นำในองค์กร

ความรับผิดชอบของผู้นำที่เข้มแข็ง หรือผู้กำกับองค์กรที่เข้มแข็งนั้น ควรจะยอมรับความคิดเห็นของบุคคลที่มีจิตสำนึกผิดชอบที่อ่อนแอกว่า หากต้องกระทำเพื่อบรรลุความสำเร็จขององค์กรและประเทศชาติ โดยผู้ที่มีจิตสำนึกผิดชอบที่เข้มแข็ง ไม่ควรดูหมิ่น หรือโต้ตอบในลักษณะเดียวกันกับบุคคลที่มีจิตสำนึกผิดชอบที่อ่อนแอกว่า

ส่วนผู้ที่มีจิตสำนึกผิดชอบที่อ่อนแอ ก็คงมีทัศนคติในเชิงบวกที่จะไม่ตำหนิ ติเตียน ผู้นำที่มีจิตสำนึกผิดชอบที่เข้มแข็งหรือสูงกว่า

Slide1

ข้อสำคัญก็คือ ผู้นำหรือผู้บริหารที่มีจิตสำนึกผิดชอบที่เข้มแข็ง ไม่ควรเป็นเหตุให้ผู้ที่มีจิตสำนึกผิดชอบที่อ่อนแอกว่า หรือมีทัศนคติที่แตกต่างกันต้องแยกตนออกไปจากสังคมที่เข้มแข็งนั้น

เราควรพยายามทำให้พี่ น้อง สังคมในประเทศ และสังคมระหว่างประเทศที่อ่อนแอกว่าเราสบายใจ ไม่ใช่ทำแต่สิ่งที่ตนสบายใจเท่านั้น ในขณะเดียวกันก็ต้องให้คำแนะนำและข้อสังเกตที่สร้างสรรกับบุคคล และกลุ่มบุคคลที่มีจิตสำนึกที่อ่อนแอกว่า ให้เห็นผลกระทบที่จะเกิดขึ้นกับสังคมและประเทศชาติเป็นสำคัญ

Slide1

บุคคลที่มีความเข้มแข็งกว่า ทั้งทางด้านจิตสำนึก และการกระทำ ควรมีหน้าที่ในการสร้างสันติ และไม่ควรโต้ตอบในระดับเดียวกันกับบุคคลที่มีจิตสำนึกที่อ่อนแอกว่า เพราะอาจได้รับการประเมินหรือพิจารณาจากสังคมโลกว่า บุคคลที่มีจิตสำนึกเข้มแข็งกว่า ขาดความรับผิดชอบในผลที่เกิดขึ้นต่อสังคม (Accountability) ในมุมมองข้อหนึ่งของการกำกับดูแลกิจการที่ดี

โดยหลักการ และโดยพฤติกรรม ผู้มีจิตสำนึกที่สูงกว่าหรือเข้มแข็งกว่า ไม่ควรเพียงแต่เป็นผู้สร้างสันติเท่านั้น แต่ยังควรสร้างพี่ น้อง ที่อ่อนแอของเรา ทางจิตสำนึก หรือมโนธรรม ให้เข้มแข็งขึ้นด้วย ควรทำในสิ่งที่เสริมสร้างบุคคล หรือกลุ่มบุคคลที่มีความอ่อนแอทางจิตสำนึกตามนี้ ด้วยเหตุด้วยผล เพื่อที่จะสามารถช่วยเขาให้มีจิตสำนึกที่เข้มแข็งหรือดีขึ้นต่อไปได้

Slide1

เราไม่สามารถยัดเยียด ความเชื่อ หรือจิตสำนึกที่ดีและเข้มแข็งของคนกลุ่มหนึ่ง ให้กับบุคคลอีกกลุ่มหนึ่งได้ และควรยึดหลักที่ว่า ผู้ใดไม่มีเหตุที่จะติเตียนตัวเองในสิ่งที่ตนเห็นชอบแล้วนั้น ก็สามารถสร้างสันติสุขได้ เราต้องสร้างสำแดงความอดทน ความรัก และความกรุณาต่อบุคคลที่อ่อนแอ และมีจิตสำนึกหรือมโนธรรมที่อ่อนกว่าด้วยความอดทน

สังคมในโลก สังคมในประเทศ และบุคลากรในแต่ละองค์กร ย่อมมีทัศนคติที่แตกต่างกันตามที่ได้กล่าวไว้บ้างแล้ว เพราะเราต้องพึ่งพาซึ่งกันและกัน เช่นเดียวกับอวัยวะต่าง ๆ ภายในร่างกายที่ถึงแม้ทำงานอย่างอิสระ แต่ก็พึ่งพิงและมีความสำคัญซึ่งกันและกัน ซึ่งผมได้เคยกล่าวและอธิบายไว้แล้วในเรื่อง ISO 27001 ที่พูดถึงเรื่องความมั่นคงปลอดภัยของสารสนเทศ ที่ต้องบริหารในลักษณะ Interdependency

ถ้าเรามีชีวิตอยู่เพื่อตามใจตนเอง และกลุ่มที่มีทัศนคติที่ตรงกันเท่านั้น และภาคภูมิใจความรู้ ความคิดเห็น และเสรีภาพ ซึ่งอยู่ภายใต้กรอบอำนาจของเราโดยไม่ฟังความคิดเห็นของบุคคลที่มีทัศนคติที่แตกต่างกันในสังคมเดียวกัน โดยหลักตรรกะ (Logic) เราก็เป็นต้นเหตุของการแตกแยก การทะเลาะเบาะแว้ง และความพินาศที่เกิดขึ้นในองค์กรและในสังคม

Lesson - Learned from Kim Phuc & Attitude to be Changed

ถ้าเรายอมอ่อนข้อให้กับคนที่อ่อนแอกว่าทางจิตสำนึกและมโนธรรมในทางสร้างสรร และการแสดงออกอย่างชาญฉลาด เมื่อนั้นแหละ เราก็จะช่วยให้เขาหรือกลุ่มที่มีจิตสำนึกที่อ่อนแอกว่าเจริญเติบโตขึ้นมาได้ ภารกิจและความปรองดองของคนในสังคมก็จะเกิดขึ้น และผู้นำในเรื่องนี้ก็จะได้รับการสรรเสริญ

 

ทัศนคติที่แตกต่างกัน ถึงแม้จะได้ยิน และได้เห็นในเรื่องเดียวกันก็จะมีความเข้าใจและคำพูดที่แตกต่างกัน ซึ่งนำไปสู่ความแตกแยกของคนในองค์กร และของคนในชาติได้

ข่าวต่าง ๆ ทั้งภายในประเทศ และระหว่างประเทศ โดยเฉพาะอย่างยิ่ง ข่าวที่เกี่ยวข้องกับการเมือง ทั้งภายในและประเทศเพื่อนบ้าน ที่ร้อนระอุอยู่ในขณะนี้ ทำให้ประเทศไทยในสายตาของคนต่างชาติ ขาดความน่าเชื่อถือในมุมมองต่าง ๆ เป็นอย่างยิ่ง และมีผลกระทบต่อความศรัทธา ต่อความเชื่อมั่น ต่อการลงทุน ต่อเศรษฐกิจการเงิน และการท่องเที่ยว จากความแตกแยก และความเห็นที่แตกต่างกันอย่างที่ไม่เคยปรากฎมาก่อนในประวัติศาสตร์

บางคนคิดที่จะเปลี่ยนโลก แต่ไม่มีใครเลยที่คิดจะเปลี่ยนตัวเอง ทั้งนี้เนื่องจาก ทัศนคติที่แตกต่างกัน ซึ่งเป็นเหตุสำคัญของการออกความคิดเห็น และการแสดงออกที่แตกต่างกันเป็นอย่างยิ่ง ซึ่งผมขอออกความเห็นส่วนตัวในลักษณะเชิงวิชาการ ที่มีลักษณะเป็นการวิเคราะห์ความเสี่ยงจากสภาพแวดล้อม ในมุมมองของทัศนคติบางประการดังนี้ครับ

Picture1

จากภาพข้างต้น ท่านเห็นภาพนี้เป็นเช่นไร?
ท่านคิดว่ามีน้ำครึ่งแก้วหรือขาดครึ่งแก้ว
ทั้งนี้ขึ้นกับทัศนคติที่แตกต่างกัน และมุมมองที่แตกต่างกัน ขึ้นกับว่าท่านมีมุมมองเป็นบวก (Positive) หรือทางลบ (Negative)

หรือในอีกมุมมองหนึ่งคนที่มี POSITIVE THINKING เมื่อมีข้อผิดพลาด จะพูดว่า ฉันทำผิดเอง ส่วนคนที่มี NEGATIVE THINKING เมื่อมีข้อผิดพลาด จะพูดว่า ไม่ใช่ความผิดของฉัน

และเมื่อถึงคราวมีปัญหาเกิดขึ้น คนที่มี POSITIVE THINGKING จะเผชิญหน้ากับปัญหาและลงมือแก้ไขปัญหา ซึ่งต่างกับคนที่มี NEGATIVE THINGKING ซึ่งคอยจะทำในทางตรงข้าม และหลีกเลี่ยงปัญหานั้น

หรือในอีกตัวอย่างหนึ่งก็คือคนที่มีทัศนคติที่เป็นบวก จะพูดว่า “ฉันทำได้ดี แต่ยังไม่ดีเท่ากับที่ฉันต้องการ” ส่วนคนที่มีทัศนคติที่เป็นลบ จะพูดว่า “ยังมีคนอื่นอีกหลายคนที่มีผลงานแย่กว่าตัวเขา”

ทัศนคติของคนที่เป็นบวก จะเพียรตั้งใจฟัง แล้วทำความเข้าใจ และสามารถตอบสนองได้ ในส่วนคนที่มีทัศนคติเป็นลบก็จะรออย่างเดียว โดยไม่ฟัง ไม่ทำความเข้าใจสิ่งที่คนอื่นพูด รอจนกว่าจะถึงคิวที่จะได้พูดเรื่องของตัวเอง

คนที่มีทัศนคติที่เป็นบวกมักจะยอมรับ นับถือคนที่มีความสามารถเหนือกว่า และจะเรียนรู้จากคนเหล่านั้น ส่วนคนที่มีทัศนคติเป็นลบจะทำในทางตรงข้าม และจะพยามายามหาข้อผิดพลาดของคนที่เหนือกว่าเขา

คนที่มีความรับผิดชอบ ไม่เพียงแต่งานที่ได้รับมอบหมายเท่านั้น แต่จะช่วยคิดให้องค์กรประสบความสำเร็จ นั่นเป็นพฤติกรรมของคนที่มีทัศนคติที่เป็นบวก ซึ่งในทางตรงข้ามคนที่มีทัศนคติที่เป็นลบก็จะไม่กล้าที่จะช่วยเหลือคนอื่น และมักจะพูดว่า ฉันไม่ว่าง กำลังทำงานของฉันอยู่

ในความคิดหรือมุมมองของคนที่มีทัศนคติบวก จะต้องมีวิธีที่จะทำให้ดีขึ้นได้เสมอ มากกว่าที่จะพูดว่า “นี่คือหนทางเดียวที่ทำได้” ที่เป็นมุมมองของคนที่มีทัศนคติในด้านลบ

ในความล้มเหลว มักมีสิ่งที่เหมือนกันอยู่อย่างหนึ่ง คือ ทัศนคติที่เหมือนกัน
คนที่เป็นผู้ยิ่งใหญ่ มักมีสิ่งที่เหมือนกันอยู่อย่างหนึ่ง คือ ทัศนคติที่เหมือนกัน
ผู้ยิ่งใหญ่ ต่างกับคนล้มเหลว เพียงอย่างเดียว คือ ทัศนคติที่ต่างกัน

ทัศนคติ ต่างกัน ทำให้เรามีมุมมองต่างกัน แม้เรามีดวงตา และมองเห็นเหมือน ๆ กัน
ทัศนคติ ต่างกัน ทำให้เรารับฟังไม่เหมือนกัน แม้เรามี ใบหู ที่คล้าย ๆ กัน
ทัศนคติ ต่างกัน ทำให้เรามีคำพูดไม่เหมือนกัน แม้เรามีปากแบบเดียวกัน
ทัศนคติ ต่างกัน ทำให้เรามีความรู้สึกไม่เหมือนกัน แม้เรามีหัวใจเหมือนกัน

ทำไมคนเราจึงมี ทัศนคติ ต่างกัน???
เพราะอายุ การศึกษา สังคม ประสบการณ์ เรามี 4 สิ่งที่แตกต่างกันทำให้เรามีทัศนคติที่ต่างกัน

ผมถามหน่อยนะครับว่า เมื่อเราเห็นเด็กซนเรา คิด อย่างไร?
ลองมาดูกันสิครับว่าแต่ละคนคิดอย่างไรกัน
ผู้หญิงคนหนึ่ง คิดว่า ทำไมเด็กคนนี้ ซนขนาดนี้
ในขณะที่หญิงชรากลับ คิดว่า พ่อแม่เขาอยู่ไหนนะ
ส่วนคนที่เป็นนางงามก็มักจะคิดว่า น่ารักจริง ๆ เด็กคนนี้
และหญิงคนที่สี่ คิดว่า เด็กซนก็คือเด็กฉลาด

มาดูอีกตัวอย่างหนึ่งครับ
เมื่อคนทำงานมี พฤติกรรม ต่างกัน จะเกิดอะไร
พนักงานคนที่หนึ่ง บ่นว่าเงินเดือนแค่นี้ ทำมันทุกอย่างเลย ใช้คุ้มจริง ๆ
พนักงานคนที่สอง กล่าวว่าเดือนนี้มาสายแค่ห้าครั้งเอง แล้วตอนบ่ายจะ chat กับใครดี
พนักงานคนที่สาม คิดว่าถ้าขอเจ้านายไปอบรมสัมมนา เพิ่มเติมความรู้ท่านจะอนุมัติมั้ยนะ
ส่วนพนักงานคนที่สี่ มองว่าเราต้องสร้างทีมขายของเราให้แข็งแกร่งกว่านี้

เมื่อคนเรามี ทัศนคติต่างกัน มีความคิดต่างกัน จะทำให้เกิดพฤติกรรมและการกระทำที่แตกต่างกัน และการกระทำที่ต่างกันนั้น ก็จะก่อให้เกิดผลลัพธ์ที่ต่างกันด้วย

ดังนั้น ความคิดเห็น และพฤติกรรมที่แตกต่างกันไปในแต่ละบุคคล หรือในแต่ละกลุ่ม รวมทั้งในแต่ละสี ที่มีเป้าหมายแตกต่างกัน จากทัศนคติที่แตกต่างกันนั้น จะทำให้ผลลัพธ์และความเห็น รวมทั้งคำพูด และการกระทำที่ออกไป แตกต่างกันอย่างสำคัญยิ่ง

Slide1

ท่านเห็นด้วยกับแนวความคิดข้างต้นไหม ที่อาจสรุปได้ว่า “ก่อนที่คิดจะเปลี่ยนอย่างอื่น ควรเปลี่ยน ทัศนคติ ของตนเองก่อน”

ทั้งนี้ ควรจะคิดและมีทัศนคติในลักษณะ Positive Thinking โดยเฉพาะอย่างยิ่งมีเป้าหมายเพื่อผลประโยชน์ของประเทศชาติ และสังคมไทยเพื่อการเติบโตอย่างยั่งยืนเป็นสำคัญ

ส่วนจะทำได้แค่ไหนนั้น ก็คงขึ้นกับว่า ท่านเลือกที่จะคิดแบบใด ทำแบบใด และผลลัพธ์ที่ได้จะเป็นแบบไหนก็สุดแล้วแต่ท่านเป็นผู้เลือก

สำหรับความเห็นส่วนตัวของผม เหตุการณ์และข่าวคราวที่น่าอึดอัดในปัจจุบัน ที่ทำให้ประเทศไทยด้อยศักดิ์ศรีและความน่าเชื่อถือเป็นอย่างยิ่งนั้น น่าจะขึ้นอยู่กับการปรับปรุงทัศนคติให้เป็นบวกของคนในประเทศเป็นสำคัญ

 

การวางแผนการตรวจสอบทางด้าน IT Audit – General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ (ต่อ)

วันนี้นะครับ ผมยังไม่อธิบายอะไรเพิ่มเติม เพียงแต่ให้ท่านได้เห็นแผนภาพกระบวนการตรวจสอบ ต่อจาก 2 ครั้งที่ผ่านมา เท่านั้น

ทั้งนี้ ขอท่านได้โปรดใช้ดุลยพินิจ และประเมินภาพการตรวจสอบ ในภาคปฏิบัติจริงของท่าน ในแต่ละขั้นตอนของการตรวจสอบว่า แต่ละขั้นตอน แต่ละกระบวนการตรวจสอบ ท่านต้องการหลักฐานอะไรในการตรวจสอบ และทดสอบการควบคุมต่าง ๆ ในส่วนที่เกี่ยวข้อง และกระบวนการที่ท่านดำเนินการอยู่ จะมีผลกระทบต่อการตรวจสอบในขั้นตอนต่อไปอย่างไร ต้องการหลักฐานอะไรที่สนับสนุนเป้าประสงค์ในการตรวจสอบ และขอบเขตในการตรวจสอบที่ได้รับมอบหมายในแต่ละครั้ง และถ้าท่านพบจุดอ่อนในกระบวนการต่าง ๆ ที่ดำเนินการอยู่ในกระบวนการตามแผนภาพการตรวจสอบนั้น ท่านจะดำเนินการในขั้นตอนนั้น และขั้นตอนต่อไปอย่างไร

การวางแผนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ มีมุมมองต่าง ๆ ที่อาจอธิบายได้ในลักษณะต่าง ๆ กันอีกมากพอสมควร เช่น ความซับซ้อนของระบบคอมพิวเตอร์ ลักษณะงานที่แตกต่างกัน และสภาพแวดล้อมที่แตกต่างกัน โดยเฉพาะอย่างยิ่งวัฒนธรรมขององค์กรที่แตกต่างกันมาก ก็มีผลอย่างสำคัญยิ่งต่อการวางแผนการตรวจสอบ นะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ช่วงเดือน พ.ย. 2552 นี้ ก็เข้าปลายปีแล้ว อากาศก็เริ่มเปลี่ยน แต่ก็ไม่ถึงกับหนาวครับ แค่มีลมหนาวเย็น ๆ พอให้รู้ว่าเข้าหน้าหนาว ซึ่งปัจจุบันเมืองไทยของเราไม่ค่อยจะมีอากาศหนาวซักเท่าไหร่แล้ว หน้าหนาวก็จะสั้น ไม่หนาวนาน อย่างไรก็ดูแลรักษาสุขภาพกันนะครับ

วันนี้เรามาต่อในเรื่องที่ยังค้างกันไว้ดีกว่า จากครั้งที่แล้วผมได้เล่าถึง การบริหารความเสี่ยงของระบบสารสนเทศและการสื่อสาร (Information and Communication) ในส่วนของข้อมูลที่เกี่ยวข้อง (Pertinent Information) จากแหล่งภายในและภายนอก ระบบข้อมูลที่มีการออกแบบและถูกใช้เพื่อสนับสนุนกลยุทธ์ทางธุรกิจ รวมถึงความสำคัญของช่องทางการสื่อสารข้อมูลที่เหมาะสมบนพื้นฐานของความเสี่ยง

สำหรับการบริหารความเสี่ยงทางด้านสารสนเทศและการสื่อสารนั้น ข้อมูลข่าวสารจำเป็นกับทุกระดับขององค์กรในการแยกแยะ ประเมินค่า และตอบสนองต่อความเสี่ยง และการบรรลุวัตถุประสงค์ รวมทั้งการดำเนินการขององค์กร การจัดเรียงข้อมูลถูกนำมาใช้สัมพันธ์กับประเภทของวัตถุประสงค์ 1 ประเภท หรือมากกว่า

ข้อมูลด้านการเงินไม่ได้ใช้เฉพาะการพัฒนาเอกสารทางการเงินสำหรับการเผยแพร่สู่ภายนอก แต่ใช้เพื่อการตัดสินใจ เช่น การตรวจสอบการปฏิบัติงานและการจัดสรรทรัพยากร ข้อมูลทางการเงินที่เชื่อถือได้เป็นพื้นฐานของการวางแผน การทำงบประมาณ การตั้งราคา การประเมินผลงานของผู้ขาย การประเมินค่าของคู่ค้าร่วม และพันธมิตร และกิจกรรมทางการบริหารระดับอื่น ๆ

เช่นเดียวกัน ข้อมูลด้านการปฏิบัติงานจำเป็นต่อการพัฒนารายงานทางการเงิน ซึ่งประกอบด้วยการเดินบัญชีประจำวันด้านการซื้อขายและอื่น ๆ เช่นเดียวกับข้อมูลข่าวสารของการเปิดตัวสินค้าของคู่แข่ง หรือสภาพทางเศรษฐกิจ ซึ่งมีผลต่อสินค้าคงคลังและมูลค่าที่รับได้ ข้อมูลการปฏิบัติงานจากแหล่งภายในและภายนอก ทั้งข้อมูลด้านการเงินและไม่ใช่การเงินเกี่ยวข้องกับวัตถุประสงค์ทั้งหมดของธุรกิจ ตัวอย่างเช่น ข้อมูลการขนส่งทางอากาศหรือข้อมูลส่วนบุคคลจะต้องบรรลุผลทั้งด้านวัตถุประสงค์เชิงความร่วมมือและวัตถุประสงค์การรายงานสู่ภายนอก

ข้อมูลข่าวสารมีที่มาจากหลายแหล่ง จากภายใน ภายนอก ทั้งในเชิงปริมาณและเชิงคุณภาพ และช่วยในการตอบสนองต่อการเปลี่ยนแปลงเงื่อนไข ความท้าทายสำหรับผู้บริหารคือทำให้ข้อมูลจำนวนมากกลายเป็นข้อมูลที่นำมาปฏิบัติได้ ความท้าทายนี้จะทำได้โดยการสร้างโครงสร้างพื้นฐานของระบบข่าวสารข้อมูล ดักจับ ประมวลผล วิเคราะห์และรายงานผลข้อมูลข่าวสารที่เกี่ยวข้อง ระบบข้อมูลข่าวสารเหล่านี้มักเป็นระบบคอมพิวเตอร์ แต่รวมถึงการนำเข้าข้อมูลด้วยมือหรือ Interface บ่อยครั้งที่ถูกมองในบริบทของการประมวลผลการข้อมูลภายใน แต่ระบบข่าวสารข้อมูลมีการใช้งานที่กว้างกว่า

การใช้งานเกี่ยวข้องกับข่าวสารข้อมูลในเรื่องเหตุการณ์ภายนอก กิจกรรม และเงื่อนไข ตัวอย่างเช่น ข้อมูลด้านอุตสาหกรรมและการตลาดที่ส่งสัญญาณการเปลี่ยนแปลงความต้องการของสินค้าและบริการของบริษัท ข้อมูลของสินค้าและบริการสำหรับกระบวนการผลิต ความฉลาดทางการตลาดเรื่องความชอบหรือความต้องการของลูกค้า ข้อมูลของกิจกรรมด้านพัฒนาผลิตภัณฑ์ของคู่แข่ง และความคิดริเริ่มเกี่ยวกับกฎระเบียบหรือกฎหมาย

ระบบข่าวสารข้อมูลมีทั้งแบบเป็นทางการและไม่เป็นทางการ การสนทนากับลูกค้า Supplier ผู้ดูแลกฎระเบียบและบุคลากร ทำให้ได้ข้อมูลข่าวสารที่สำคัญที่ต้องนำมาแยกแยะความเสี่ยงและโอกาส เช่นเดียวกับการเข้าร่วมการสัมมนาอุตสาหกรรมและการเป็นสมาชิกในสมาคมการค้าจะนำมาซึ่งข้อมูลที่มีคุณค่า

การเก็บข้อมูลให้ตรงกับความต้องการมีความสำคัญ เมื่อองค์กรเผชิญกับการเปลี่ยนแปลงด้านอุตสาหกรรม เผชิญกับนวัตกรรมระดับสูงและคู่แข่งที่เคลื่อนตัวอย่างรวดเร็ว หรือการเปลี่ยนแปลงของความต้องการลูกค้า ระบบข้อมูลข่าวสารต้องเปลี่ยนแปลงให้ตรงกับความต้องการเพื่อสนับสนุนวัตถุประสงค์ใหม่ ระบบข้อมูลข่าวสารไม่ได้เพียงแยกแยะและดักจับข้อมูลทางการเงินและไม่ใช้การเงินที่จำเป็น แต่ต้องสามารถประมวลผลและรายงานข้อมูลในกรอบเวลาและหาทางที่เป็นประโยชน์ในการควบคุมกิจกรรมต่าง ๆ ขององค์กร

กลยุทธ์และการบูรณาการระบบ
เนื่องจากองค์กรมีความร่วมมือและร่วมกับลูกค้า คู่ค้าทางธุรกิจและกฎระเบียบมากขึ้น หน่วยงานที่อยู่ระหว่างผู้ออกแบบระบบและหน่วยงานภายนอกจะเกิดความสับสนเพิ่มขึ้น ด้วยเหตุนี้ข้อมูลและการประมวลผลข้อมูลและการบริหารข้อมูลกลายเป็นความรับผิดชอบร่วมกันขององค์กร ในกรณีเช่นนี้ ผู้ออกแบบระบบข้อมูลขององค์กรจะต้องมีความยืดหยุ่นเพียงพอ และว่องไวที่จะบูรณาการอย่างมีประสิทธิภาพกับลูกค้าใหม่และคู่ค้าทางธุรกิจ

การออกแบบระบบข้อมูลและการหามาได้ซึ่งเทคโนโลยีเป็นสิ่งสำคัญในเรื่องกลยุทธ์องค์กร และทางเลือกเกี่ยวกับเทคโนโลยีก็มีความสำคัญต่อการบรรลุผลสำเร็จขององค์กร การตัดสินใจเลือกเทคโนโลยีและการนำไปปฏิบัติขึ้นอยู่กับปัจจัยหลายอย่าง รวมถึงเป้าหมายขององค์กร ความต้องการ สถานที่วางตลาด และความต้องการทางการแข่งขัน ในขณะที่ระบบข้อมูลเป็นรากฐานของการบริหารความเสี่ยงขององค์กร เทคนิคการบริหารความเสี่ยงสามารถช่วยในการตัดสินใจในเรื่องเทคโนโลยี

ในครั้งหน้าเราจะไปพูดกันถึงข้อมูลเชิงลึกและความสามารถในการเรียกใช้ข้อมูล รวมทั้งคุณภาพของข้อมูลที่มีผลต่อการตัดสินใจในด้านการบริหารกันครับ