Archive for ธันวาคม 15th, 2009

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (IT / Manual Audit) กับความเข้าใจในภาพโดยรวม

ในครั้งที่แล้ว ผมได้พูดถึงหลักฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรจะมีความรู้ความเข้าใจในองค์รวมที่เกี่ยวกับหลักฐานการตรวจสอบที่เกี่ยวข้อง เพราะมิฉะนั้น การวางแผนการตรวจสอบ ซึ่งเป็นกระบวนการที่สำคัญยิ่งในการตรวจสอบ ทั้งทางด้าน IT และ Non – IT นั้น จะดำเนินการไม่ได้อย่างมีคุณภาพ ประสิทธิภาพ ไม่เข้าใจถึงผลกระทบของรายการที่ประมวลผลโดยคอมพิวเตอร์ ตามรูปแบบของหลักฐานที่มีตามการตรวจสอบ

วันนี้ ผมจะได้อธิบายต่อไป โดยใช้แผนภาพประกอบเป็นส่วนใหญ่ เพื่อพิจารณาขอบเขตการตรวจสอบ เมื่อเทียบกับภาพโดยรวมของการตรวจสอบ ทางด้าน IT / Manual Audit ต่อไปนี้ครับ

จากแผนภาพแทนคำอธิบายข้างต้น ท่านที่สนใจในเรื่อง IT Audit และ Manual Audit ในองค์กรที่ใช้คอมพิวเตอร์ คงจะได้เห็นแนวทางในการก้าวสู่กระบวนการตรวจสอบ จากฐานความเสี่ยงในเรื่องที่เกี่ยวข้อง และบรรลุวัตถุประสงค์ตามขอบเขตของงานที่ต้องการตรวจสอบ ซึ่งจะได้อธิบายในตอนต่อไปนะครับ

 

มาบตาพุดมีความเสี่ยงสูงสุด และมีผลกระทบกระเทือนรุนแรงในระยะยาว ในระดับที่เกินกว่าประเทศยอมรับได้?

ผู้มีผลประโยชน์ร่วมหลายกลุ่ม มีผลกระทบหนักต่อกรณีศาลปกครองสูงสุด สั่งระงับ 65 โครงการมาบตาพุด ทั้งสมาคมอุตสาหกรรมก่อสร้าง และสมาคมธนาคารไทย โดยนายอภิศักดิ์ ตันติวรวงศ์ กรรมการผู้จัดการ ธนาคารกรุงไทยและประธานสมาคมธนาคารไทย กล่าวว่า

ผลกระทบจากการระงับโครงการลงทุนในมาบตาพุดจะมีความรุนแรงในระยะยาว และเป็นปัจจัยเสี่ยงต่อเศรษฐกิจไทยเป็นอันดับหนึ่ง ที่มีผลกระทบในวงกว้างมากกว่าปัจจัยทางการเมืองในอนาคต โดยเฉพาะในปี 2553 ที่การลงทุนจะเป็นเครื่องจักรสำคัญในการฟื้นเศรษฐกิจ อาจอยู่ในสภาพที่ไม่พร้อมใช้งานมากนัก

ทั้งการลงทุนภาครัฐและเอกชนจะต้องลดลง ซึ่งการลงทุนภาครัฐที่เป็นการลงทุนขนาดใหญ่ ที่ต้องการทำการวิเคราะห์ผลกระทบสิ่งแวดล้อม (อีไอเอ : EIA) หากโดนร้องเรียนก็อาจถูกชะลอได้ เป็นผลกระทบที่มีวงกว้างกว่าโครงการในมาบตาพุด หากว่าไม่รีบแก้ไขกฎระเบียบการลงทุนที่ชัดเจนได้ ตามที่เป็นข่าวในหนังสือพิมพ์กรุงเทพธุรกิจ ฉบับวันจันทร์ที่ 14 ธ.ค. 2552 และสื่อ อื่น ๆ ที่มีเนื้อหาแตกต่างกันนั้น

กรณีมาบตาพุด น่าจะมีคำถามที่สำคัญที่เกี่ยวข้องกับ GRC หรือการบริหารในลักษณะ Integrity – Driven Performance ในระดับประเทศเป็นอย่างยิ่งว่า การกำกับดูแลกิจการที่ดี (CG – Governance) การบริหารความเสี่ยงแบบบูรณาการ (R – Risk Managment) เพื่อก้าวไปสู่วัตถุประสงค์ในเรื่องต่าง ๆ เพื่อขับเคลื่อนภารกิจของรัฐบาลที่ต้องการความร่วมมือ และความเข้าใจของหน่วยงานต่าง ๆ เพื่อขับเคลื่อนเศรษฐกิจการเงิน และการลงทุนของประเทศ ซึ่งสามารถนำหลักการของ COSO – ERM มาใช้ได้นั้น

รัฐบาลมีความพร้อมและได้ใช้หลักการบริหารที่เป็นที่ยอมรับกันทั่วโลกนี้อย่างไรบ้าง และการปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบ กติกา สังคมของนานาชาติ และของประเทศ (C – Compliance) ที่ต้องมีมาตรฐานหรือ Best Practice เป็นกติกากำหนดให้มีการปฏิบัติ และเป็นที่ยอมรับกันได้ในสังคมทั่วโลกนั้น หน่วยงานภาครัฐ รวมทั้งภาครัฐบาล มีความพร้อม มีความเข้าใจในเรื่องนี้เพียงใด มีการปฏิบัติในเชิงกลยุทธ์ที่เหมาะสมหรือไม่

จากปัญหาที่ผ่านมา ผมมีข้อสังเกตเบื้องต้นว่า เรื่อง GRC ในระดับรัฐบาล รวมทั้งหน่วยงานของรัฐบางหน่วย มีความเข้าใจในการบริหารและดำเนินการค่อนข้างจำกัด โดยเฉพาะอย่างยิ่งการประสานงานข้ามหน่วยงานของภาครัฐ ในหน่วยงานต่าง ๆ ที่เกี่ยวข้อง

ดังนั้น กรณีของมาบตาพุดจึงเป็น กรณีศึกษา (Lesson – Learned) ที่น่าสนใจยิ่งว่า ภาครัฐ โดยเฉพาะอย่างยิ่งภาพรวมของทางการ ขาดมุมมองในการกำหนดระดับความเสี่ยง และความเสียหายที่ประเทศจะยอมรับได้ (Risk Appetite / Risk Tolerance) ในแง่มุมต่าง ๆ ซึ่งหากพิจารณาตามหลักการขององค์ประกอบของการบริหารความเสี่ยงในระดับองค์กร ที่ประยุกต์ใช้ได้ดีกับระดับความเสี่ยงของประเทศ เพื่อกำหนดกรอบการบริหาร การควบคุม กระบวนการจัดการที่เหมาะสม เพื่อลดระดับความเสี่ยงให้อยู่ในระดับที่ประเทศไทยยอมรับได้นั้น ยังไม่มีการดำเนินการกันอย่างเป็นรูปธรรมกัน

ความเสียหายที่เกิดขึ้นกับกลุ่มผู้มีผลประโยชน์ร่วมอื่น ๆ ที่มีผลกระทบทางลบ จากกรณีเหตุการณ์มาบตาพุด นอกเหนือจากที่ได้กล่าวไว้ข้างต้นแล้ว ก็ยังจะตามมาด้วย การขาดความเชื่อมั่นของประเทศไทย ทั้งในปัจจุบันและในอนาคต ซึ่งต้องใช้เวลายาวนานกว่าจะรื้อฟื้นความเชื่อมั่นมาสู่นักลงทุน ที่จะมีผลกระทบติดตามมาอย่างมากมายได้อีกมาก เช่น หากนักลงทุน/กลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ ฟ้องร้องค่าเสียหายจากรัฐบาลไทย โอกาสที่ทางรัฐบาลจะต้องรับความเสียหายมีสูงมาก +++

อีกครั้งหนึ่งที่ผมอยากจะใคร่กล่าวถึงปัญหาสิ่งแวดล้อม กรณีโรงไฟฟ้า อ.แม่เมาะ จ.ลำปาง ที่มีมลภาวะจากการผลิตกระแสไฟฟ้า ทางการก็ให้ กฟผ. แก้ไข แต่ไม่ได้หยุดการผลิตไฟฟ้าบริการประชาชน โดย กฟผ. ดำเนินการควบคู่กันไป ซึ่งในที่สุด กฟผ. ก็สามารถควบคุมมลภาวะจากการผลิตกระแสไฟฟ้า และก็สามารถดำเนินการผลิตกระแสไฟฟ้าต่อเนื่องได้จนถึงในปัจจุบัน

ส่วนตัวของผม ผมชอบกรณีการแก้ไขปัญหามลภาวะที่โรงไฟฟ้า อ.แม่เมาะ เป็นอย่างมากครับ และอดคิดไม่ได้ว่า กรณีมาบตาพุด น่าจะใช้เหตุการณ์และการดำเนินงานอย่างกรณีโรงไฟฟ้า อ.แม่เมาะ ก็น่าจะเป็นประโยชน์กับกลุ่มผู้มีผลประโยชน์ร่วม กับทุก ๆ กลุ่ม

ท่านลองเปรียบเทียบดูซิครับว่า หากทางการหรือรัฐบาล หรือหน่วยงานที่เกี่ยวข้อง ที่มิใช่หน่วยงานหนึ่งหน่วยงานใดเท่านั้นที่จะรับผิดชอบในเรื่องนี้ สามารถกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ กรณีมาบตาพุด เมื่อเทียบกับสิ่งที่ได้รับ ที่เห็นภาพชัดเจนของกลุ่มผู้มีผลประโยชน์ร่วมทางด้านสิ่งแวดล้อม ดุลยภาพในการตัดสินใจควรจะอยู่ที่ใด และรัฐบาลควรจะมีหน่วยงานใดในการพิจารณา และดูแล ความเสียหายที่มีผลกระทบภาครัฐต่าง ๆ ทั้งที่เป็นความเสียหายทางการเงิน และมิใช่ทางการเงิน โดยกำหนดแนวทางการบริหารการจัดการที่เหมาะสมได้

ภาพด้านล่างต่อไปนี้ จะเป็นการอธิบายโดยใช้แผนภาพที่ผมเคยนำเสนอมาแล้วอีกครั้งหนึ่ง เพื่อให้ท่านผู้อ่าน โดยเฉพาะอย่างยิ่งทางการ/รัฐบาล ได้ประเมินตนเองของการบริหารที่มีความแตกต่างกันทางด้านความคิด และการปฏิบัติของหน่วยงานต่าง ๆ ดังนี้

ประเทศไทยของเราและหรือองค์กรของท่าน อยู่ในหมายเลขใดของกระบวนการจัดการบริหารความเสี่ยง

จากภาพข้างต้น โดยเฉพาะอย่างยิ่ง กรณีมาบตาพุด ท่านลองเลือกข้อ ซึ่งแสดงทิศทางการบริหารการจัดการในระดับประเทศ ที่ต้องการผู้นำที่มีความเข้าใจในการชี้ทิศทาง โดยการแก้ไขปัญหาล่วงหน้าโดยใช้หลักการบริหารเชิงรุก หรือการบริหารความเสี่ยงที่เป็นระบบ และมีการกำกับการบูรณาการ และการสอดประสานงานกันในหน่วยงานต่าง ๆ ของภาครัฐกันเป็นอย่างดี มิใช่ให้หน่วยงานหนึ่ง ออกความเห็นว่า ให้ดำเนินการก่อสร้างได้ และมีหน่วยงานของรัฐอีกแห่งหนึ่งบอกว่า ให้หยุดสร้าง และอีกหน่วยงานหนึ่งมีความเห็นว่า +++?? และทำให้ผู้กำกับภาพใหญ่ คือ รัฐบาล งุนงงว่าจะจัดการกับปัญหาเหล่านี้ได้อย่างไร และทำไมเหตุการณ์เหล่านี้จึงเกิดขึ้นได้

คำตอบในข้อสังเกตข้างต้นก็คือ ภาครัฐและผู้กำกับในระดับสูง ที่ต้องการกำกับในลักษณะ Integrity – Driven Performance และในระดับประเทศยังคงต้องปรับปรุงกระบวนการบริหารและการจัดการเชิงรุก โดยมองเหตุการณ์ไปข้างหน้า หรือมองไปในอนาคตว่า เหตุการณ์ที่ไม่พึงประสงค์ต่าง ๆ ที่มีผลกระทบเชิงลบต่อวัตถุประสงค์เชิงกลยุทธ์ ทั้งปัจจัยภายในและปัจจัยภายนอก ควรมีอะไรบ้าง และควรจะต้องจัดให้มีการควบคุมเช่นใด และควรจะมีการติดตามกำกับอย่างไร ซึ่งเรื่องนี้จะเกี่ยวข้องกับการบริหารในมุมมองของ GRC และการบริหารความเสี่ยงที่ใช้กรอบ COSO – ERM ทั้งสิ้น

ทำอย่างไร ประเทศไทยของเราจึงจะกำหนด Vision ในระดับประเทศ ซึ่งผมก็ไม่รู้ว่าคืออะไรในปัจจุบันนั้น และไม่ทราบว่ามีรัฐบาลใด มีการกำหนด Vision ของประเทศเป็นลายลักษณ์อักษร และสื่อสารให้คนไทยได้รับทราบ โดยเฉพาะอย่างยิ่ง ให้หน่วยงานทั้งภาครัฐและเอกชนได้รับทราบร่วมกัน เพื่อขับเคลื่อนพันธกิจไปสู่วิสัยทัศน์ที่ต้องการนั้นคืออะไร

ผมลองคิดเล่น ๆ นะครับว่า ถ้าเราจะกำหนด Vision ของประเทศ โดยมีข้อคิดที่นำไปสู่การปฏิบัติโดยใช้คำว่า … “ปลูกฝังสังคมไทยให้เป็นนักคิดอย่างสร้างสรรและนำไปปฏิบัติ เพื่อให้ประเทศไทยก้าวไปสู่การเจริญเติบโตอย่างยั่งยืนได้” หรือ…

ผมทราบว่าประเทศเพื่อนบ้านของเราบางประเทศ มีขนาดเล็กกว่าประเทศไทยด้วยซ้ำ ได้กำหนด Vision ของประเทศว่า “ปี ค.ศ. 2020 เราจะเป็นประเทศที่พัฒนาแล้ว” ท่านคิดว่ามีหมายความที่ตั้งเป้าประสงค์ของประเทศในระดับที่ท้าทาย ที่รัฐบาลและภาคเอกชนจำเป็นต้องร่วมกันกำหนดพันธกิจของประเทศ ในแง่มุมต่าง ๆ เพื่อก้าวไปสู่วิสัยทัศน์ที่ท้าทายนั้นให้จงได้

สำหรับกรณีมาบตาพุดนี้ ท่านคิดว่า ประเทศไทยยังขาดองค์รวมของการบริหารและการจัดการแบบบูรณาการ ที่จะต้องเริ่มต้นด้วยความเข้าใจวิสัยทัศน์ และพันธกิจ และกระบวนการบริหารจัดการบริหารความเสี่ยง โดยกำหนดกลยุทธ์ และแผนงาน/โครงการที่สัมพันธ์กันกับพันธกิจและวิสัยทัศน์นั้น ซึ่งขณะนี้ประเทศเรายังขาดการกำหนดวิสัยทัศน์ระดับประเทศที่ชัดเจนหรือไม่ครับ?

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/