Archive for ธันวาคม 11th, 2009

เกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553

ครั้งก่อน เราได้จบเกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วนั้น มีผู้บริหารของรัฐวิสาหกิจหลายท่าน อาจมีความเข้าใจการประเมินการบริหารความเสี่ยงที่เพิ่มแนวทางการบริหาร GRC – Governance + Risk Management + Compliance และ Portfolio View of Risk ซึ่งเป็นเรื่องใหม่ทั้ง 2 เรื่องพอสมควร

ผมจึงขอสรุปคุณลักษณะของการบริหาร GRC อย่างสั้นที่สุดมาให้ท่านได้ทราบตาม Slide ที่ปรากฎด้านล่างนี้ครับ

สำหรับ Portfolio View of Risk ท่านอาจจะทำความเข้าใจได้ง่ายขึ้น เมื่อเห็นแผนภาพด้านล่างนี้ด้วยเช่นกัน

กล่าวโดยสรุปสำหรับ Portfolio View of Risk ในอีกมุมมองหนึ่งของการอธิบายก็คือ การบริหารจัดการกับความเสี่ยง ในมุมมมองของการควบคุมความเสี่ยง 4 เรื่อง หลัก ๆ ตามหลักการของ COSO – ERM คือ Strategy Riks – S, Operational Risk – O, Financial and Reporting Risk – F, Compliance Risk – C นั้น จะมีแผนงาน/โครงการต่าง ๆ เพื่อการจัดการกับความเสี่ยง ตามหัวข้อใหญ่ S – O – F – C ในหลายเรื่อง หรือในหลายโครงการด้วยกัน และในแต่ละเรื่องจะมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) และ/หรือ Risk Tolerance ระดับความเสี่ยงที่เบี่ยงเบนจาก Risk Appetite ว่าในที่สุดแล้ว จะมีผลกระทบต่อเป้าประสงค์ของ Performance ตามมุมมองของ Balanced Scorecard – Business BSC ซึ่งใช้แนวทาง COSO – ERM ในการประเมิน เพราะเป็นการประเมินทางด้าน Non – IT เป็นหลัก

นอกจากนี้ ผู้บริหารและผู้ที่เกี่ยวข้องยังต้องประเมินผลกระทบต่อ Conformance หรือการปฏิบัติตามมาตรฐาน (Standards) หรือกรอบการปฏิบัติงานที่ดี (Best Pactice Framework) และกฎหมาย กฎเกณฑ์ที่เกี่ยวข้อง ซึ่งเป็นที่ยอมรับกันทั่วไป โดยปกติจะใช้กรอบการปฏิบัติที่ดีเพื่อประเมินผลกระทบจากความเสี่ยงทางด้าน COSO – ERM และ IT นั่นก็คือ การใช้ ITG – CobiT มาเกี่ยวข้องในการประเมิน โดยเปรียบเทียบกับ IT Balanced Scorecard โดยปกติจะเชื่อมโยงกับ Best Pactice Standard ต่าง ๆ เช่น ISO 27001, ISO 20000, ISO 9001:2000 และทั้งหมดจะเชื่อมโยงกับ Process and Procedures อย่างเป็นกระบวนการ เช่น ITIL, Security Principles และ Quality Assurance – QA Procedure ซึ่งอธิบายได้ง่ายกว่ามากโดยดูจากแผนภาพด้านล่างนี้

ทั้งการประเมินประสิทธิภาพ ประสิทธิผลในการดำเนินงานทางด้าน Performance และ Conformance ตามที่กล่าวข้างต้น จะต้องได้ดุลยภาพในการจัดการที่ดี ทั้งด้าน IT และ Non – IT นี่ก็เป็นส่วนหนึ่งของกระบวนการบริหาร GRC และเป็นการขับเคลื่อน Integrity – Driven Performance อีกด้วย

ขอให้ดูรูปภาพที่เกี่ยวข้องนะครับ ท่านจะได้เข้าใจหลักการบริหารแบบบูรณาการในมิติต่าง ๆ เพิ่มขึ้น

ผมตั้งใจที่จะสรุปแต่อธิบายยาวไปนิดนึงนะครับ ก่อนที่จะเริ่มนำหลักเกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 ที่กำหนดโดยคณะกรรมการประเมินผลรัฐวิสาหกิจ ด้านสารสนเทศ ของกระทรวงการคลังมาเล่าสู่กันฟังในตอนต่อไป