Archive for มกราคม, 2010

หากองค์กรหรือประเทศไม่ได้กำหนดวิสัยทัศน์ / ทิศทาง ที่ต้องการก้าวเดิน เพื่อความสำเร็จในอนาคต องค์กรจะกำหนดกลยุทธ์และแผนการดำเนินงานอย่างไร ติดตามตรวจสอบได้อย่างไร

ท่านผู้อ่านลองคิดดูสิครับว่า หากท่านเป็นผู้บริหารองค์กร หรือเป็นคณะกรรมการชุดต่าง ๆ ท่านจะมีแนวทางบริหารและกระบวนการจัดการอย่างไร จึงจะสามารถแน่ใจได้อย่างสมเหตุสมผลว่า แผนการดำเนินงานของท่านจะเป็นไปตามกลยุทธ์ เพื่อก้าวไปสู่เป้าหมายในอนาคตได้อย่างถูกต้อง มีทิศทางได้อย่างมีคุณภาพหรือไม่ หากขาดการกำหนดวิสัยทัศน์ หรือพันธกิจ ที่จะใช้เป็นเข็มทิศในการดำเนินงาน?

ความเข้มแข็งในการบริหารองค์กรและประเทศแบบบูรณาการ

ท่านลองดูแผนภาพด้านบนนี้นะครับ ท่านจะได้คำตอบ หรืออาจมีคำถามที่น่าสนใจว่า เราจะบริหารองค์กรหรือประเทศอย่างบูรณาการได้อย่างไร จะมีประสิทธิผล ประสิทธิภาพเพียงใด จะมีการติดตามและตรวจสอบกันอย่างไรว่า องค์กรหรือประเทศของเราอยู่ในเส้นทาง หรือระดับความคาดหวังที่ผู้มีผลประโยชน์ร่วมในระดับองค์กร หรือในระดับประเทศ พึงประสงค์และคาดหวังไว้

ในแนวทางการบริหารยุคใหม่ ที่ต้องการบริหารในลักษณะหลอมรวม หรือเป็นพวง กระบวนการจัดการต่าง ๆ ที่เรียกว่า GRC – Governance + Risk Management + Compliance ซึ่งเป็นการบริหารและการขับเคลื่อนในลักษณะ Integrity Driven Performance โดยใช้ทรัพยากรอย่างคุ้มค่าและประหยัด ลดความซ้ำซ้อนในกระบวนการทำงาน เพื่อขับเคลื่อนองค์กรและประเทศไปสู่การเติบโตอย่างยั่งยืน ที่ผสมผสานกันระหว่างการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยงอย่างเป็นกระบวนการ และการปฏิบัติตามกฎหมาย กฎเกณฑ์ และกติกาของสังคมอย่างเคร่งครัด และได้มาตรฐาน อันเป็นที่ยอมรับได้โดยทั่วไปนั้น น่าจะมีปัญหาในทางปฏิบัติเป็นอย่างมาก

โดยเฉพาะอย่างยิ่ง ในกรณีที่องค์กรหรือประเทศมีทรัพยากรจำกัด ประเทศไทยในปัจจุบันมีงบเพื่อใช้ในการพัฒนาประเทศ เหลือเพียงประมาณร้อยละ 12 ของงบประมาณรายจ่าย ซึ่งนับว่าน้อยมาก เมื่อพิจารณาถึงปัจจัยต่าง ๆ ที่เกี่ยวกับโครงสร้างพื้นฐานการพัฒนาประเทศ หรือ Infrastructure ในเรื่องต่าง ๆ และเมื่อพิจารณาควบคู่กันไปกับภาระรายจ่ายเพื่อสังคม ซึ่งนับวันจะมีเม็ดเงินสูงขึ้นมาก เมื่อเทียบกับรายได้นั้น ยิ่งน่าเป็นห่วง เพราะเม็ดเงินเพื่อการพัฒนาและการลงทุน จะลดน้อยอยู่ในระดับที่น่าใจหาย หรือถ้าหากพิจารณาในมุมมองของการบริหารความเสี่ยงระดับประเทศ หากมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) อย่างเป็นกระบวนการ และตามหลักการด้วยความเข้าใจจริง ๆ ก็จะเห็นภาพในความจำเป็นที่องค์กรหรือประเทศจะต้องกำหนดให้มีวิสัยทัศน์ เพื่อกำหนดทิศทางก้าวเดินไปสู่ความมั่นคงทางด้านต่าง ๆ เช่น ด้านเศรษฐกิจการเงิน ทางด้านการทหาร ทางด้านการเมือง ทางด้านสังคม ความพึงพอใจของสังคมภายในประเทศและระหว่างประเทศ ซึ่งขึ้นกับการกำหนดระดับความสำคัญ หรือน้ำหนักความสำคัญของปัจจัยหลัก ๆ ที่เกี่ยวข้องกัน ซึ่งเราจะนำไปคุยกันในตอนต่อไปนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ครั้งที่แล้ว ผมได้กล่าวถึงเรื่องของการบริหารความเสี่ยงว่า การบริหารความเสี่ยงขององค์กรจะบรรลุผลสำเร็จหรือไม่ ขึ้นอยู่กับข้อจำกัดต่าง ๆ ที่มีอยู่ในกระบวนการบริหาร รวมถึงการพิจารณาตัดสินใจของผู้บริหารในรายละเอียดต่าง ๆ ที่เกิดขึ้นกันไปแล้ว วันนี้ผมจะมาเล่าให้ฟังว่าคณะกรรมการ คณะกรรมการตรวจสอบ ผู้บริหาร ผู้ตรวจสอบภายใน รวมถึงพนักงานทุกคนในองค์กร มีส่วนทำให้องค์กรบรรลุผลสำเร็จในการบริหารความเสี่ยงขององค์กรได้อย่างไร ไปติดตามบทบาทและการกำกับดูแลการบริหารความเสี่ยงกันครับ

คณะกรรมการบริหารและพนักงานทุกคนในองค์กร มีหน้าที่ในการบริหารความเสี่ยงขององค์กร CEO หรือ ผู้อำนวยการ เป็นผู้รับผิดชอบสูงสุด และอาจถือว่าเป็น “เจ้าของ” งานในการบริหารความเสี่ยงขององค์กร ผู้อำนวยการ ผู้จัดการอื่น ๆ ต้องสนับสนุนปรัชญาเรื่องความเสี่ยง สนับสนุนการปฏิบัติตามความเสี่งที่ยอมรับได้หรือ Risk Appetite และจัดการหน้าที่ต่าง ๆ ที่เป็นองค์ประกอบของการบริหารความเสี่ยงในหน้าที่ที่ได้รับมอบหมาย ตามวัฒนธรรมความเสี่ยงขององค์กรให้เกิดประสิทธิผล

คำจำกัดความ Risk Appetite หรือความเสี่ยงที่ยอมรับได้
– จำนวน หรือข้อความของความเสี่ยงในภาพกว้าง ที่องค์กรสามารถยอมรับได้เพื่อสร้างมูลค่าให้กับผู้มีผลประโยชน์ร่วม
– ใช้เป็นแนวทางในการกำหนดกลยุทธ์องค์กร เพื่อการจัดสรรทรัพยากรอย่างเหมาะสม
– การกำหนด Risk Appetite ขึ้นอยู่กับ
• ปัจจัยภายใน – ระดับของการหลีกเลี่ยงความเสี่ยง
• ปัจจัยภายนอก – ระดับของความไม่แน่นอนของสภาพแวดล้อมทางธุรกิจขององค์กร

แนวทางในการกำหนด Risk Appetite สามารถกำหนดได้จากการพิจารณาถึงประเด็นต่าง ๆ ต่อไปนี้
– ความต้องการของผู้มีผลประโยชน์ร่วม
– วัตถุประสงค์องค์กรเชิงกลยุทธ์
– ปัจจัยการสร้างมูลค่าองค์กร
– ความเสี่ยงที่อาจส่งผลต่อวัตถุประสงค์ขององค์กร

บุคลากรอื่น ๆ มีหน้าที่ในการกำหนดแนวทางและวิธีการบริหารความเสี่ยงขององค์กร คณะกรรมการบริหารจะเตรียมการดูแลที่สำคัญเรื่องการบริหารความเสี่ยงขององค์กร จำนวนของคณะที่ปรึกษาจากภายนอก จะเป็นผู้ให้ข้อมูลข่าวสารที่เป็นประโยชน์ในการบริหารความเสี่ยงขององค์กร อย่างไรก็ตามคณะบุคคลจากภายนอก เช่น บริษัทที่ปรึกษาด้านบริหารความเสี่ยง ที่ปรึกษา ผู้ตรวจสอบภายนอก ฯลฯ ไม่ได้มีความรับผิดชอบในประสิทธิผลของการบริหารความเสี่ยงขององค์กร แต่สามารถช่วยองค์กรให้บรรลุเป้าหมายตามที่ต้องการได้

โครงสร้างการบริหารความเสี่ยงขององค์กรทั่วไป
โครงสร้างการบริหารความเสี่ยงของแต่ละองค์กรนั้น ไม่มีรูปแบบที่เป็นมาตรฐานเพียงแบบเดียว หากต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร โดยพิจารณาจากวัฒนธรรม ความซับซ้อนของการดำเนินงาน ประเภทของธุรกิจ และลักษณะของธุรกิจเป็นองค์ประกอบ

อย่างไรก็ตาม สิ่งที่สำคัญของโครงสร้างการบริหารความเสี่ยง คือการที่คณะกรรมการและผู้บริหารทุกระดับมีบทบาท และมีส่วนร่วมในการพัฒนาการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลขององค์กร จะช่วยในการประเมิน ควบคุม และติดตามความเสี่ยงของแต่ละหน่วยธุรกิจ/หน่วยงาน และทำให้เกิดความมั่นใจการปฏิบัติงานในการบริหารความเสี่ยงที่ได้ผล

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลควรประกอบด้วย
– คณะกรรมการหรือ อนุกรรมการที่มีความรับผิดชอบโดยตรงในการกำกับดูแลการบริหารความเสี่ยง
– คณะกรรมการบริหารความเสี่ยงที่ได้รับการแต่งตั้งให้ทำหน้าที่ในการพัฒนาการบริหารความเสี่ยง อย่างน้อยควรประกอบด้วยผู้บริหารระดับสูงขององค์กร เช่น กรรมการผู้จัดการ และรองกรรมการผู้จัดการ
– หน่วยงานหรือผู้รับผิดชอบในการนำเอาวิสัยทัศน์ขององค์กรในส่วนที่เกี่ยวกับการบริหารความเสี่ยงไปกำหนดเป็นนโยบายและปฏิบัติ

บทบาทและความรับผิดชอบในการบริหารความเสี่ยง
บุคคลที่ได้รับมอบหมายให้รับผิดชอบในการจัดการความเสี่ยงในแต่ละเรื่อง ควรมีคุณสมบัติดังนี้
– สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน
– สามารถจัดให้มีกิจกรรมต่าง ๆ ดังต่อไปนี้ได้อย่างมีประสิทธิภาพและประสิทธิผล
• การกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
• การประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการความเสี่ยงในปัจจุบันแล้ว
• การกำหนดเวลาที่แน่นอนในแต่ละขั้นตอนการดำเนินการให้เป็นไปตามแผนที่กำหนดไว้

บทบาทหน้าที่ของผู้บริหารความเสี่ยง

คณะกรรมการบริหารขององค์กร
– กำหนดนโยบายและกลยุทธ์การบริหารความเสี่ยงที่สำคัญ
– สอบทานความเสี่ยง ติดตาม และประเมินผลการบริหารความเสี่ยงในภาพรวม
– มีความเข้าใจถึงความเสี่ยงที่อาจมีผลกระทบร้ายแรงต่อองค์กร และทำให้มั่นใจว่ามีการดำเนินการที่เหมาะสมเพื่อจัดการความเสี่ยงนั้น ๆ
– ให้ข้อเสนอแนะ ให้ความเห็นชอบในการบริหารความเสี่ยงขององค์กร

คณะกรรมการตรวจสอบองค์กร
– ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงทั่วทั้งองค์กร
– กำกับดูแลและติดตามการบริหารความเสี่ยงอย่างเป็นอิสระ
– ติดตามประสิทธิภาพการทำงานของหน่วยงานตรวจสอบภายใน ในลักษณะติดตามการตรวจสอบตามฐานความเสี่ยง
– รายงานต่อคณะกรรมการและผู้มีผลประโยชน์ร่วมเกี่ยวกับประสิทธิภาพและประสิทธิผลของการควบคุมภายใน
– การสอบทานแผนการบริหารความเสี่ยง
– ให้ข้อเสนอแนะการบริหารความเสี่ยง
– สื่อสารกับคณะกรรมการบริหารความเสี่ยง เพื่อให้เข้าใจความเสี่ยงที่สำคัญ และเชื่อมโยงกับการควบคุมภายใน

คณะกรรมการหรืออนุกรรมการบริหารความเสี่ยง
– พิจารณาและกำหนดนโยบาย โครงสร้าง และกรอบการจัดวางระบบการบริหารความเสี่ยงขององค์กร
– กำหนดกรอบการจัดวางระบบการควบคุมภายในให้เป็นไปตามมาตรฐานการควบคุมภายใน ตามระเบียบคณะกรรมการตรวจเงินแผ่นดิน (คตง.) และของกระทรวงการคลัง หรือหน่วยงานภาครัฐที่เกี่ยวข้อง
– กำกับดูแล และสนับสนุนให้ทุกส่วนงานขององค์กร มีระบบการควบคุมภายในตามระเบียบ คตง. หรือหน่วยงานภาครัฐที่เกี่ยวข้อง และมีกระบวนการบริหารความเสี่ยงของส่วนงาน
– กำหนดระดับความเสี่ยงที่สามารถยอมรับได้ และกำหนดกรอบการบริหารความเสี่ยง
– พิจารณาความเสี่ยงที่มีนัยสำคัญ และใช้วิธีจัดการความเสี่ยงอย่างมีประสิทธิภาพและประสิทธิผล
– ติดตามดูแลการพัฒนาระบบการควบคุมภายใน และระบบการบริหารความเสี่ยงขององค์กร
– ติดตามกระบวนการบ่งชี้และประเมินความเสี่ยง
– นำแผนการบริหารความเสี่ยงทั่วทั้งองค์กรไปสู่การปฏิบัติ เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุเป้าหมายได้อย่างมีคุณภาพ และสอดคล้องกับหลักการบริหารความเสี่ยงทั่วทั้งองค์กร
– พิจารณารายงานที่เกี่ยวกับการควบคุมภายใน และการบริหารความเสี่ยง
– สนับสนุนให้ผู้บริหาร และพนักงานมีความตระหนักถึงความสำคัญของการควบคุมภายใน และการบริหารความเสี่ยง
– ติดตาม และประเมินความเพียงพอ ประสิทธิภาพ และประสิทธิผลของการจัดการความเสี่ยงในแต่ละด้าน และให้ข้อแนะนำเพื่อปรับปรุงแก้ไขการจัดการความเสี่ยง
– รายงานต่อคณะกรรมการเกี่ยวกับความเสี่ยง และการจัดการความเสี่ยง
– สื่อสารกับคณะกรรมการตรวจสอบเกี่ยวกับความเสี่ยงที่สำคัญ

ผู้อำนวยการสำนักงาน/กรรมการผู้จัดการ
– ติดตามความเสี่ยงที่สำคัญทั้งองค์กร และทำให้มั่นใจได้ว่ามีแผนการจัดการที่เหมาะสม
– ส่งเสริมนโยบายการบริหารความเสี่ยง และทำให้มั่นใจว่ากระบวนการบริหารความเสี่ยงได้รับการปฏิบัติทั่วทั้งองค์กร

รองผู้อำนวยการสำนักงาน/รองกรรมการผู้จัดการ
– ติดตามความเสี่ยงทางกลยุทธ์ และความเสี่ยงด้านการปฏิบัติการที่สำคัญ และทำให้มั่นใจได้ว่ามีแผนการจัดการความเสี่ยงที่เหมาะสม
– ส่งเสริมวัฒนธรรมการบริหารความเสี่ยง และทำให้มั่นใจได้ว่า ผู้อำนวยการฝ่ายให้ความสำคัญกับการบริหารความเสี่ยงในฝ่ายของตน

ผู้อำนวยการฝ่าย
– ทำให้มั่นใจว่าการปฏิบัติงานรายวันมีการประเมิน จัดการและรายงานความเสี่ยงอย่างเพียงพอ
– ส่งเสริมพนักงานในฝ่ายงานให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

หัวหน้างานหรือพนักงาน
– ระบุและรายงานความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานต่อผู้อำนวยการฝ่าย และเข้าร่วมใจการจัดทำแผนจัดการความเสี่ยง และนำแผนไปปฏิบัติ

หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ปฏิบัติหน้าที่ประจำวันแทนคณะกรรมการบริหารความเสี่ยง
– จัดทำนโยบายความเสี่ยง กรอบและกระบวนการให้กับหน่วยธุรกิจ/หน่วยงาน และเสนอคณะกรรมการบริหารความเสี่ยงเพื่ออนุมัติ
– ให้การสนับสนุนและแนะนำกระบวนการบริหารความเสี่ยงแก่หน่วยงานต่าง ๆ ภายในองค์กรตามที่มีการร้องขอ

ผู้ตรวจสอบภายใน
– ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมต่อการจัดการความเสี่ยงและการควบคุมเหล่านั้นได้รับการปฏิบัติตามภายในองค์กร
– ทำให้มั่นใจว่าได้มีการนำระบบการบริหารความเสี่ยงมาปรับใช้อย่างเหมาะสมและมีการปฏิบัติตามทั่วทั้งองค์กร
– สอบทานการปฏิบัติงานของหน่วยงานการบริหารความเสี่ยงและการปฏิบัติงานของ Risk Manager ทุกหน่วยงาน โดยเฉพาะอย่างยิ่ง การบริหารแผนงานและโครงการ
– สื่อสารกับหน่วยงานการบริหารความเสี่ยง เพื่อทำความเข้าใจเกี่ยวกับความเสี่ยง และดำเนินการตรวจสอบภายในตามแนวความเสี่ยง
– รายงานผลการบริหารความเสี่ยงและการควบคุมภายในตามฐานความเสี่ยงให้กับคณะกรรมการตรวจสอบ

 

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control (ต่อ)

ครั้งนี้ ผมตั้งใจจะนำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ แต่ก่อนจะถึงเรื่อง Application Control ที่ใช้คอมพิวเตอร์ ผมใคร่ขอทบทวนการตรวจสอบ IT Audit ทางด้าน General Control อีกสักเล็กน้อยนะครับว่า มุมมองทางด้าน General Control กับ Application Control มีความสัมพันธ์และเกี่ยวข้องกันด้วยเสมอ เพราะหาก General Control มีจุดอ่อน จะมีผลกระทบต่อ Application Control อย่างหลีกเลี่ยงไม่ได้ ในทุกมุมมองที่เกี่ยวข้อง คือ Input – Process – Output

ท่านลองดูแผนภาพสรุปในบางมุมมองของ General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ และโปรดทบทวนคำอธิบายเรื่อง IT Audit ที่ได้กล่าวมาตั้งแต่ต้น ท่านจะพบกับความท้าทายในรูปแบบต่าง ๆ ที่ต้องใช้ทักษะและศักยภาพในองค์ความรู้ที่เกี่ยวข้องกับ IT และ Business ซึ่งแยกกันไม่ได้เช่นกัน เพราะ Process ของการขับเคลื่อน Business Objective จะอาศัยเทคโนโลยีที่ไปขับเคลื่อน Business Process จาก IT Activities ในมุมมองต่าง ๆ ที่เกี่ยวข้องต่อไป

Understanding Controls on IT Environment

Understanding Controls on IT Environment

การผสมผสานองค์ความรู้ที่เกี่ยวข้อง ในการตรวจสอบของผู้ตรวจสอบและของผู้กำกับงานตรวจสอบ ทางด้าน IT และทางด้าน Manual จึงควรเข้าใจการบริหารและการจัดการองค์กรที่ต้องอาศัย IT ในภาพโดยรวม โดยเฉพาะอย่างยิ่ง หากนำหลักการของ GRC (Governance + Risk Management + Compliance) มาประยุกต์ใช้ในภาพโดยรวม ซึ่งเป็นการขับเคลื่อน Business Process ในลักษณะ Integrity – Driven Performance ซึ่งท่านที่สนใจสามารถติดตามได้จากหัวข้อที่เกี่ยวข้องในเว็บนี้

ผมใคร่ขอย้ำว่า การกำหนดขอบเขตการตรวจสอบ เพื่อให้ได้เป้าประสงค์ของการตรวจสอบในเวลาที่ต้องการ เป็นสิ่งที่ผู้ตรวจสอบต้องเข้าใจถึงองค์ประกอบที่เกี่ยวข้องเป็นอย่างมาก เพื่อให้การตรวจสอบมุ่งตรงประเด็น และเป็นไปตามการปฏิบัติอย่างที่ได้รับมอบหมาย ซึ่งอาจต้องใช้เทคนิคผสมผสาน ระหว่างการตรวจสอบเต็มรูปแบบ (Formal) และการตรวจสอบเป็นเรื่อง ๆ หรือดำเนินการในลักษณะของ Surprise Check ได้ เช่น การตรวจสอบทางด้าน IT Process ตามหลักการของ CobiT มี 4 Domain นั้น วัตถุประสงค์ในการตรวจสอบทางด้าน IT Process ต้องการเน้นเรื่องใด หรือ Domain ใด ใน 4 Domain หลักทางด้าน IT Process ซึ่งประกอบไปด้วย Planning and Organization หรือ Domain อื่น ซึ่งจะเกี่ยวข้องกับ Business Requirement ตามคุณลักษณะ 7 ประการ ของ CobiT หรือจะประเมินจุดอ่อน และความเสี่ยงจาก IT Resource ซึ่งมีองค์ประกอบ 5 ประการที่เกี่ยวเนื่องกันตามที่แสดงไว้ในแผนภาพ และอธิบายไว้ในหัวข้อนี้เมื่อวันที่ 7 มกราคม 2553 เป็นต้น

 

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับท่านผู้บริหาร ผู้ตรวจสอบ และผู้อ่านทุกท่าน สำหรับการประเมินผลการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ปี 2553 นี้ จะมีเกณฑ์ในการพิจารณาที่ี่เกี่ยวข้องกับการจัดการระบบสารสนเทศอยู่หลายด้านด้วยกัน ซึ่งผมได้นำเสนอประเด็นที่จะต้องพิจารณากันไปแล้ว ในด้านของระบบสารสนเทศที่สนับสนุนการบริหารจัดการ ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน

วันนี้ผมจะำนำเสนอต่อในด้านของระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียจากภายนอกองค์กร และนโยบายต่าง ๆ ของรัฐบาล ที่องค์กรจะต้องพิจารณาและนำไปปฏิบัิติเืพื่อให้ได้ตามเกณฑ์การประเมินผลฯ ปี 2553 กันครับ

2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร รวมถึงนโยบายต่างๆ ของรัฐบาล

ระบบสารสนเทศที่ตอบสนองต่อความต้องการผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่างๆ ของรัฐบาล เป็นส่วนหนึ่งของการประเมินระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ซึ่งประกอบด้วย

2.5.1 การลดขั้นตอนและการอำนวยความสะดวกแก่ผู้รับบริการ / ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน

• การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต

เป็นระบบสารสนเทศหรือเทคโนโลยีใดก็ตามที่นำมาใช้ในการสนับสนุนรัฐวิสาหกิจเพื่อที่จะสามารถลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ เพื่อก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงาน และได้รับความพึงพอใจจากผู้ใช้บริการ

กระบวนการในการที่จะนำระบบหรือเครือข่ายสารสนเทศ (Application Program and Information Network) เข้ามาใช้ในการลดระยะเวลาในการให้บริการนั้น มีอยู่หลายวิธีด้วยกัน เช่น การนำระบบคอมพิวเตอร์มาช่วยลดขั้นตอนการทำงาน ระบบคอมพิวเตอร์ที่สามารถตรวจสอบความถูกต้องจากข้อมูลของผู้ใช้บริการ และสามารถที่จะสรุปได้ว่าควรให้ดำเนินการต่อหรือไม่ควรให้ดำเนินการต่อ หรือการใช้เครือข่ายต่างๆ (Internet / Extranet) เข้ามาเชื่อมต่อ หากลักษณะของการให้บริการสามารถให้บริการผ่านเครือข่ายได้ ทำให้ลดระยะเวลา ระยะทาง ฯลฯ ดังเช่นการขอข้อมูลจากกรมทะเบียนการค้า ซึ่งมีข้อมูลให้บริการดาว์นโหลดผ่านทางอินเทอร์เน็ต เป็นต้น

แนวทางโดยสรุป : การนำระบบหรือเทคโนโลยีสารสนเทศเข้ามาใช้สนับสนุนในการลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ โดยมีการกำหนดว่าจะลดในขั้นตอนใด เป็นเวลาเท่าไร ทำให้ผู้ใช้บริการเกิดความพึงพอใจ เกิดผลสัมฤทธิ์ และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : การมีระบบบริการแบบอัตโนมัติซึ่งผู้ใช้บริการจะได้รับคำตอบและใช้บริการจากระบบได้ด้วยตนเอง ไม่ต้องใช้เจ้าหน้าที่คอยให้บริการ หรืออาจจะบริการแบบกึ่งอัตโนมัติ ประชาชน บริษัทเอกชน และหน่วยงานอื่นๆ สามารถเชื่อมโยงเข้ามาใช้บริการได้ทั้งทาง Intranet/Internet ซึ่งจากเดิมต้องเดินทางมาใช้บริการที่องค์กร ซึ่งอาจจะต้องใช้เวลาประมาณ 2-3 ชั่วโมง ซึ่งเมื่อนำระบบบริการแบบอัตโนมัติมาใช้ ทำให้สามารถลดเวลาในการดำเนินการได้ เหลือแค่ครึ่งชั่วโมง เป็นต้น ดังตัวอย่างจากบริษัท GUESS ที่ผลิตและขายเสื้อผ้าประเภทยีนส์ โดย GUESS ใช้ระบบและอุปกรณ์ Network ของ Cisco System ซึ่งใช้สำหรับสร้างเครือข่ายภายในบริษัท และอินเทอร์เน็ต สำหรับติดต่อกับ ลูกค้า กับ Supplier และใช้ Software ของ PeopleSoft และ Commerce One ในการสร้าง Website Apparel Buying Network (www.Apparelbuy.com) ซึ่งมีระบบที่เรียกว่า Guess’s core order processing system ทำให้ทั้งลูกค้า ร้านค้าขายปลีก รวมทั้ง Supplier สามารถติดต่อบริษัท ทั้งในเรื่องของการสั่งซื้อสินค้า การตรวจสอบ Catalog สินค้า และการจัดส่งได้ตลอด 24 ชั่วโมง ผ่านทางเว็บไซต์ของบริษัทได้ ส่งผลให้บริษัทสามารถเพิ่มยอดบริการ ยอดขาย รายได้ และลดต้นทุนในส่วนของกระบวนการสั่งซื้อสินค้า และอื่นๆ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการลดระยะเวลาการให้บริการได้ในส่วนของผู้ใช้บริการภายนอกโดยเห็นผลอย่างชัดเจนและมีการสำรวจหรือหลักฐานอ้างอิงว่าผู้ใช้บริการภายนอกได้มีความพึงพอใจ

• ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายนอกองค์กร การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online

ระบบสารสนเทศที่สามารถนำเข้ามาช่วยในการให้บริการผู้รับบริการภายนอกองค์กร (ประชาชน ลูกค้า ผู้ใช้บริการ หรือบริษัทคู่ค้า ฯลฯ) ได้อย่างรวดเร็ว รวมทั้งระบบสารสนเทศที่ช่วยในการสื่อสารภายนอกองค์กร โดยการสื่อสารระหว่างกันนั้น ข้อมูลสามารถถูกส่งออกไปได้ยังส่วนต่าง ๆ อย่างง่ายดาย ซึ่งองค์กรต่าง ๆ มีแนวโน้มที่จะเปลี่ยนรูปแบบการดำเนินธุรกิจมาเป็นแบบนี้มากขึ้นทุกขณะ เพื่อความสะดวกในการบริการจัดการและความสัมพันธ์ที่ดีกับลูกค้า

แนวทางโดยสรุป : เพื่อให้ผู้ใช้บริการสามารถติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง และให้บริการผ่านทางช่องทางอิเล็กทรอนิกส์ด้วยความรวดเร็ว รวมทั้งมีความสะดวกในการใช้บริการ และสามารถสื่อสารกับภายนอกองค์กรเพื่อเป็นการให้ข้อมูลกับผู้มีส่วนได้เสียให้เกิดความเข้าใจ รวมทั้งการแจ้งข่าวสาร การประชาสัมพันธ์ต่างๆ นอกจากนี้ยังรวมถึงการประสานงานกับภายนอกองค์กรเพื่อให้การดำเนินงานมีประสิทธิภาพมากขึ้น
ตัวอย่าง : การแจ้งข้อมูลข่าวสารให้ผู้สนใจหรือผู้รับบริการทราบผ่านทาง e-mail และเว็บไซต์อย่างสม่ำเสมอ รวมถึงการเชื่อมโยงข้อมูลสำหรับการสื่อสารกับบริษัทคู่ค้าได้โดยตรงโดยไม่ต้องใช้สื่อตัวกลางและขั้นตอนการสื่อสารตัวกลางที่มีประสิทธิภาพต่ำทั้งหลาย นอกจากนี้องค์กรสามารถจัดตั้งเว็บไซต์ที่ทำงานและพร้อมให้บริการแก่ลูกค้าได้ตลอดเวลา

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการให้ความสะดวก Stakeholder เท่าที่พึงกระทำได้ โดยการให้บริการ Online และการติดต่อรัฐวิสาหกิจได้หลายช่องทางและมีการสำรวจหรือหลักฐานอ้างอิงว่าทุก Stakeholder มีความพึงพอใจ
– มี Website (คุณภาพของ Website ประเมินที่ 2.5.4)
– มีระบบ E-mail แจ้งข่าวให้บุคคลภายนอกที่สนใจ หรือ webboard ให้แสดงความคิดเห็น
– มี Call Center

• การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ

เป็นการเชื่อมโยงข้อมูลกับหน่วยงานอื่น ซึ่งแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล Database Management System (DBMS) ทำให้สามารถแลกเปลี่ยนและใช้ข้อมูลร่วมกันได้ ลดความซ้ำซ้อนในการจัดเก็บของข้อมูล (Data Redundancy) และลดเอกสารที่ประชาชนจำเป็นต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็ว ลดค่าใช้จ่าย และเกิดความพึงพอใจต่อผู้ใช้บริการ

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับจัดเก็บข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงและดึงข้อมูลกับหน่วยงานต่างๆ และแต่ละหน่วยงานจะต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้นด้วย

แนวทางโดยสรุป : การเชื่อมโยงข้อมูลระหว่างรัฐวิสาหกิจกับหน่วยงานอื่น โดยผ่านทางเครือข่ายสารสนเทศ เพื่อทำให้สามารถใช้ข้อมูลร่วมกันได้ และสามารถลดความซ้ำซ้อนของงาน รวมถึงเอกสารที่ประชาชน / ผู้ใช้บริการ ต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงานให้แก่ประชาชน/ผู้ใช้บริการ เกิดผลสัมฤทธิ์และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : บริษัทเอกชนต้องการข้อมูลปริมาณข้าวในแต่ละปีของประเทศไทยที่ผลิตและส่งออกได้ จึงทำการขอข้อมูลจากกระทรวงเกษตร กระทรวงเกษตรจึงดึงข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ แล้วก็ให้ข้อมูลแก่บริษัทเอกชนนั้น เป็นการลดขั้นตอน และเอกสารอื่นๆของทางราชการที่ทางกระทรวงเกษตรต้องใช้ในการขอข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ อีกตัวอย่างได้แก่ระบบ EDI (Electronic Data Interchange) ของกรมศุลกากร ซึ่งเป็นหน่วยงานแรกที่นำระบบ EDI มาใช้ ระบบ EDI เป็นวิธีการดำเนินธุรกิจ ซึ่งทุกกิจกรรมนับตั้งแต่การสั่งสินค้า จนถึงการจ่ายเงินจะกระทำโดยการแลกเปลี่ยนข้อมูลธุรกิจ ผ่านคอมพิวเตอร์ขององค์กรที่เกี่ยวข้อง โดยแทนที่วิธีการเดินเอกสารแบบเดิม ซึ่งจากข้อมูลของกรมศุลกากรในส่วนของประโยชน์ที่ได้รับ คือ สามารถออกของได้รวดเร็ว ลดความผิดพลาดของข้อมูล ลดต้นทุนการบริหารสินค้าคงคลัง ลดค่าใช้จ่ายทางด้านเอกสาร ประหยัดเวลาในการติดต่อ มีระบบข้อมูลข่าวสารที่ทันสมัย และได้เปรียบคู่แข่งที่อยู่นอกระบบ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการเชื่อมโยงข้อมูลกับหน่วยงานภายนอก/หน่วยงานอื่นเพื่อช่วยลดความซ้ำซ้อนของงาน/เอกสารที่ประชาชนต้องมาติดต่อและสามารถดำเนินการได้จริง ทำให้ผู้ใช้บริการ/ประชาชนได้รับความครบทุกบริการที่เป็นไปได้ และได้รับความสะดวกอย่างชัดเจน

• One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว

รัฐวิสาหกิจสามารถให้บริการที่จุดเดียวได้เสร็จสิ้น ในกรณีที่เป็นการให้บริการภายในหน่วยงานเดียว ผู้ขอรับบริการติดต่อที่จุดเดียว ไม่ต้องติดต่อหลายจุด หลายขั้นตอน ในกรณีที่การให้บริการที่จำเป็นต้องติดต่อหลายหน่วยงาน ผู้ขอรับบริการไม่จำเป็นต้องเดินทางไปติดต่อกับทุกหน่วยงาน หากแต่ติดต่อผ่านหน่วยงานใดหน่วยงานหนึ่งเพียงหน่วยงานเดียวเท่านั้น

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับดึงข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับหน่วยงานอื่น และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น อย่างหน่วยงานราชการที่ให้บริการ เช่น โรงพยาบาล สถานีอนามัย มีการเชื่อมโยงกับฐานข้อมูลกลาง ซึ่งใช้ในการปรับปรุง แก้ไขข้อมูลเพิ่มเติม ซึ่งระบบที่เป็นข้อมูลของทางราชการนี้ ประชาชนหรือผู้ใช้บริการสามารถติดต่อหรือดำเนินการธุรกรรมต่างๆได้ที่จุดเดียว ผู้ใช้บริการไม่จำเป็นต้องไปติดต่อกับหน่วยงานภาครัฐที่เกี่ยวข้องทุกหน่วยงาน

สำหรับบางรัฐวิสาหกิจ เนื่องจากกระบวนการวิธีการให้บริการที่เป็นอยู่ในปัจจุบัน อาจจะเป็นในลักษณะของ Manual และมีการติดต่อกับลูกค้าหรือผู้ใช้บริการโดยตรง ดังนั้นการนำระบบสารสนเทศเข้ามาใช้ อาจจะส่งผลกระทบต่อกระบวนการวิธีการให้บริการแบบเดิม (Traditional Processing) เพราะฉะนั้นรัฐวิสาหกิจจำเป็นที่จะต้องมีการเปลี่ยนแปลง ทั้งในส่วนของบุคลากร กฎระเบียบข้อบังคับ วัฒนธรรมองค์กร และส่วนอื่น ๆ ที่มีผลโดยตรง

แนวทางโดยสรุป : One Stop Service เป็นการให้บริการต่าง ๆ ของรัฐวิสาหกิจ ณ ศูนย์บริการร่วม และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกัน ณ ศูนย์บริการร่วม เพื่อให้ประชาชน / ผู้ใช้บริการสามารถติดต่อสอบถาม ขอทราบข้อมูล ขออนุญาต หรือขออนุมัติ ได้ ณ ศูนย์บริการร่วมเพียงแห่งเดียว

ตัวอย่าง : โครงการ OSCAR (One-Stop-Change-of-Address-Reporting-Services) เป็นการให้บริการของสิงคโปร์ ซึ่งช่วยให้การเปลี่ยนที่อยู่ของชาวสิงคโปร์เป็นไปอย่างสะดวกรวดเร็ว โดยประชาชนแจ้งเปลี่ยนที่อยู่กับหน่วยงานเพียงหน่วยงานเดียว หน่วยงานอื่นๆ ที่มีฐานข้อมูลเกี่ยวกับที่อยู่นั้น จะเปลี่ยนตาม โดยที่ไม่ต้องไปแจ้งกับทุกองค์กรที่รับผิดชอบในการเปลี่ยนที่อยู่ของประชาชน

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีจุด One Stop Service และให้บริการได้ครอบคลุมในงานของหน่วยงานรัฐวิสาหกิจ
– จุด One Stop Service สามารถร่วมให้บริการที่เกี่ยวเนื่องกับหน่วยงานอื่นได้ เช่น ชำระ/บริการของหน่วยงานอื่นที่เกี่ยวเนื่อง
– มีการจัดทำ One Stop Service กับหน่วยงานภายนอกอื่นและอยู่ที่หน่วยงานภายนอกอื่น

2.5.2 ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กรได้

ระบบสารสนเทศที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล โดยจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ของแต่ละระบบงาน (Transaction Processing System) และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับระบบของหน่วยงานอื่นภายนอกองค์กร และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกัน รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น เพื่อความปลอดภัยในการใช้ข้อมูลร่วมกัน

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นภายนอกองค์กรได้อย่างมีประสิทธิภาพ โดยใช้มาตรฐานรหัสข้อมูลและมาตรฐานการแลกเปลี่ยนข้อมูลเดียวกัน ผ่านเครือข่าย Intranet ของภาครัฐความเร็วสูงที่มีระบบการกำกับการเข้าถึงข้อมูลที่เหมาะสม โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูลเข้าถึงข้อมูลได้

ตัวอย่าง : การให้บริการทะเบียนราษฎร์ของกรมการปกครอง กระทรวงมหาดไทย ซึ่งระบบสารสนเทศของกรม การปกครอง ที่มีระบบการจัดการฐานข้อมูล (Database Management System) ทะเบียนราษฎร์ซึ่งสามารถเชื่อมโยง และดึงข้อมูลทะเบียนราษฎร์ จากระบบฐานข้อมูลของสำนักงานทะเบียนจังหวัดทั้ง 75 แห่งได้ ซึ่งสามารถ Share ข้อมูลกับหน่วยงานอื่น เพื่อให้บริการประชาชนได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– การ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กร
– การ Share ข้อมูลเพื่อให้กระทรวงเจ้าสังกัดได้ข้อมูลที่ต้องการ
– ข้อมูลมีความทันกาล
– มี Security ที่ดีในการเข้าถึงข้อมูล

2.5.3 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

การมีระบบสารสนเทศที่เหมาะสม และสามารถรองรับการดำเนินงานหรือแผนงานต่างๆ เพื่อสนับสนุนนโยบายของรัฐบาลได้อย่างมีประสิทธิภาพ

องค์กรจะต้องมีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศ ที่สามารถจะนำมาใช้สนับสนุน หรือรองรับนโยบายต่างๆของรัฐบาล เช่น การปิดบัญชีรายไตรมาส การปิดบัญชีรายปีเพื่อส่งงบการเงินให้สำนักงาน ตรวจเงินแผ่นดิน เป็นต้น ก็จะต้องมีระบบสารสนเทศด้านการบัญชี (Accounting Information System) ที่สามารถปิดบัญชีได้อย่างทันเวลา และมีความถูกต้อง โดยอาจจะมีแผนงานในเรื่องของงบประมาณในการจัดซื้อ จัดเตรียมหรือการวางระบบ IT Infrastructure หรือ Network Architecture รวมทั้งจะต้องมีแผนงานในเรื่องของการวิเคราะห์และออกแบบระบบที่ดี (System and Analysis Design Method) ประกอบกับแนวโน้มหรือการเปลี่ยนแปลงของเทคโนโลยีใหม่ๆที่จะเกิดขึ้นในอนาคต ซึ่งแผนงานดังกล่าวสามารถแสดงถึงความพร้อม และรองรับ Application Software ใหม่ๆ ที่ แต่ละองค์กรจะต้องพัฒนาขึ้น

แนวทางโดยสรุป : การดำเนินการหรือแผนงาน ที่แสดงถึงความพร้อมที่จะตอบสนองต่อนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วยสนับสนุนได้อย่างมีประสิทธิภาพ

ตัวอย่าง : นโยบาย 30 บาท รักษาทุกโรคของรัฐบาล ซึ่งส่งผลให้โรงพยาบาลของรัฐทุกแห่งจะต้องมีระบบสารสนเทศ เช่น ระบบฐานการจัดการฐานข้อมูล (DBMS) ของโรงพยาบาลแต่ละแห่ง ซึ่งระบบฐานข้อมูลจะต้องสามารถเก็บข้อมูล ประวัติของผู้ที่สนใจเข้าร่วมโครงการ 30 บาทรักษาทุกโรค รองรับจำนวนผู้ที่จะมาสมัครเข้าเป็นสมาชิก และสามารถที่จะเชื่อมโยงเข้ากับฐานข้อมูลของโรงพยาบาลแต่ละแห่งของรัฐบาลได้ และสามารถที่จะใช้ข้อมูลร่วมกัน เพื่อให้เกิดความสะดวกรวดเร็วในการให้บริการ และการปฏิบัติงานของเจ้าหน้าที่ เช่น หากผู้ใช้บริการทำบัตร 30 บาทรักษาทุกโรคกับโรงพยาบาลที่หนึ่ง ก็จะต้องสามารถนำบัตรเดียวกันนี้ไปใช้กับโรงพยาบาลของรัฐบาลอีกที่หนึ่งได้ โดยโรงพยาบาลที่มีการเชื่อมโยงข้อมูลจากระบบฐานข้อมูลของโรงพยาบาลที่มีข้อมูลของผู้ใช้บริการอยู่แล้ว ก็สามารถที่จะนำข้อมูลของผู้ใช้บริการดังกล่าวมาใช้ได้ทันที ไม่จำเป็นต้องมีการลงบันทึกประวัติผู้ใช้หรือทำการสมัครสมาชิกใหม่ ซึ่งเป็นการจัดเก็บข้อมูลที่ซ้ำซ้อน และสูญเสียเวลาในการปฏิบัติงานโดยไม่จำเป็น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศเพื่อนำมาใช้สนับสนุนหรือรองรับนโยบายต่าง ๆ ของรัฐ เช่น การปิดบัญชีรายไตรมาสได้ภายใน 45 วัน และปิดบัญชีรายปีได้ภายใน 90 วัน เป็นต้น
– ได้ดำเนินการตามนโยบายที่สำคัญขององค์กรที่มีความจำเป็นต้องนำระบบสารสนเทศเข้ามาใช้อย่างสมบูรณ์

2.5.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

เว็บไซต์เป็นช่องทางที่ได้รับความนิยมในปัจจุบัน ดังนั้นจึงจำเป็นจะต้องมีข้อมูลที่เหมาะสมและทันกาลเพื่ออำนวยความสะดวกและเป็นข้อมูลสำหรับผู้ที่สนใจให้สามารถติดตามได้อย่างสม่ำเสมอ

แนวทางโดยสรุป : การเปิดเผยข้อมูลผ่านทางเว็บไซต์ทั้งทางด้านการเงินและมิใช่การเงินโดยมีเนื้อหาที่เพียงพอเหมาะสมกับความต้องการของผู้ที่สนใจติดตามข้อมูล รวมถึงมีการปรับปรุงข้อมูลให้ทันสมัยอยู่เสมอ และสะดวกในการเข้าถึงหรือค้นหาข้อมูล อย่างไรก็ตามข้อมูลที่เปิดเผยต้องอยู่ในกรอบที่องค์กรสามารถเปิดเผยต่อสาธารณชนได้

ตัวอย่าง : เว็บไซต์ควรประกอบด้วยข้อมูลทางด้านการเงินและไม่ใช่การเงิน เช่น รายงานประจำปี ผลการดำเนินงาน ผู้บริหาร โครงสร้างองค์กร ข้อมูลทางสถิติต่าง ๆ ข่าวสารสำคัญขององค์กร รายละเอียดของช่องการติดต่อกับองค์กรที่มีสาระพอเพียงและมีข้อมูลที่ทันกาล เป็นต้น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– ความทันสมัยของข้อมูลในเว็บไซต์ และความสะดวกในการค้นหาข้อมูล
– รายละเอียดในเว็บไซต์ เช่น
o มีประวัติ ภารกิจ โครงสร้าง
o มีที่อยู่ เบอร์โทรศัพท์ (ลงระดับฝ่าย) e-mail
o มีข่าวทั่วไป ข่าวของหน่วยงาน
o มีภาษาเพื่อเลือกแสดงผลมากกว่า 1 ภาษา
o มี link ทั่วไป และ link ที่เกี่ยวข้อง
o มีข้อมูลกฎระเบียบ ขั้นตอนบริการ แบบฟอร์มดาวน์โหลด
o มีคำแนะนำ website หรือ ผัง website
o เปิดเผยรายงานประจำปี
o การเปิดเผยข้อมูลด้านการเงินรายปี/รายไตรมาส
o มีการเปิดเผยข้อมูลด้านผลการดำเนินงาน (Operation)

ในความตั้งใจจริงของผมแล้ว ผมตั้งใจไว้ว่าจะจบการนำเสนอในเรื่องของเกณฑ์การประเมินผลการบริหารจัดการสารสนเทศฯ ในวันนี้ แต่ด้วยความที่มีหลักเกณฑ์และประเด็นในการพิจารณาที่สำคัญและค่อนข้างละเอียด ผมจึงขอยกประเด็นการพิจารณาด้านระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กรไปนำเสนอในครั้งต่อไปนะครับ

 

คู่มือ/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

หลังจากที่ผมได้นำเสนอ กระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร COSO – ERM ทั้ง 8 ประการ ต่อเนื่องกันมาหลายครั้งแล้ว โดยในครั้งที่ผ่านมา ผมได้จบเรื่องของการติดตามผลและการตรวจสอบ ซึ่งเป็นกระบวนการบริหารความเสี่ยงในขั้นสุดท้าย แต่นั่นก็ไม่ได้หมายความว่า การบริหารความเสี่ยงทั่วทั้งองค์กรจะสิ้นสุดเพียงเท่านี้ เพราะยังมีข้อจำกัดในการบริหารความเสี่ยงขององค์กรอีกหลายประการที่คณะกรรมการ ผู้บริหาร จะต้องทำความเข้าใจ

การบริหารความเสี่ยงขององค์กรทั่วไป ที่มีประสิทธิผลไม่ได้มีกำหนดไว้ว่าวิธีการใด จะเป็นการออกแบบและการปฏิบัติที่ดี การบริหารความเสี่ยง เป็นเพียงหลักประกันอย่างสมเหตุสมผลให้กับคณะกรรมการ และผู้บริหาร องค์กร ในการที่จะบริหารความเสี่ยงขององค์กรให้บรรลุผลสำเร็จ

การบรรลุผลสำเร็จขององค์กรขึ้นอยู่กับข้อจำกัดที่มีอยู่ในทุกกระบวนการบริหาร รวมถึงความเป็นจริงที่ว่าการตัดสินของบุคคลในการตัดสินใจมีข้อบกพร่องและรายละเอียดต่าง ๆ ที่อาจเกิดขึ้นเนื่องจากจุดด้อยของบุคคลนั้น เช่น ข้อผิดพลาดทั่วไปหรือจากประสิทธิภาพพนักงาน

ในการพิจารณาข้อจำกัดของการบริหารความเสี่ยงต้องพิจารณาแนวคิด 3 ประการดังนี้
– ประการแรก ความเสี่ยงเป็นเรื่องที่เกี่ยวข้องอนาคต ซึ่งมีความไม่แน่นอน
– ประการที่สอง การบริหารความเสี่ยงขององค์กรต้องดำเนินการในระดับที่แตกต่างกันเพื่อตอบสนองต่อวัตถุประสงค์ที่แตกต่างกัน
– ประการที่สาม การบริหารความเสี่ยงขององค์กรไม่สามารถเป็นเครื่องรับประกันในการตอบสนองต่อวัตถุประสงค์ประเภทต่าง ๆ ได้ทั้งหมด

ความรู้เรื่องข้อจำกัดประการแรกที่ควรทราบคือ ไม่มีใครที่สามารถทำนายอนาคตได้อย่างถูกต้อง ความรู้ในเรื่องที่สองคือ เหตุการณ์ที่เกิดขึ้นจริงอยู่นอกการควบคุมโดยทั่วไปของฝ่ายบริหาร ประการที่สามคือ ไม่มีกระบวนการใดจะสามารถดำเนินการได้ตามที่ได้ตั้งใจไว้

ข้อจำกัดของการตัดสินใจกับการบริหารความเสี่ยง
ประสิทธิผลของการบริหารความเสี่ยงถูกจำกัดโดยศักยภาพของบุคคลในการตัดสินใจทางการบริหาร การตัดสินใจเกิดขึ้นจากการตัดสินใจของบุคคลในเวลาที่มีอยู่ โดยมีพื้นฐานจากข้อมูลที่มีอยู่ในขณะนั้นและภายใต้แรงกดดันของการดำเนินงานเพื่อบรรลุเป้าหมาย

ข้อจำกัดในการแจงรายละเอียด
การบริหารความเสี่ยงขององค์กรที่ได้รับการออกแบบมาอย่างดี สามารถแจงรายละเอียดได้ บุคลากรอาจไม่เข้าใจข้อแนะนำ โดยอาจตัดสินผิดพลาด หรืออาจเกิดความผิดพลาดเนื่องจากการไม่ได้รับการดูแลเอาใจใส่ การไม่สนใจ หรือความเหนื่อยล้าหรือจากวัฒนธรรมขององค์กรที่มีจุดอ่อนอย่างสำคัญ

ข้อจำกัดของการสมรู้ร่วมคิดของพนักงาน
พฤติกรรมการสมรู้ร่วมคิดของพนักงานตั้งแต่ 2 คนขึ้นไปสามารถส่งผลต่อการบริหารความเสี่ยงขององค์กรได้ การปฏิบัติของแต่ละคนในการกระทำและปิดบังการปฏิบัติที่มักเลือกข้อมูลทางการเงินหรือข้อมูลในการบริหารอื่น ๆ ในเรื่องที่ไม่สามารถระบุได้โดยกระบวนการบริหารความเสี่ยง เช่น อาจมีการสมรู้ร่วมคิดกันระหว่างพนักงานที่ปฏิบัติงานในหน้าที่การควบคุมที่สำคัญ หรือพนักงานอื่น ๆ ที่ไม่สนใจในผลกระทบขององค์กร

ข้อจำกัดด้านต้นทุนกับผลตอบแทน
การมีทรัพยากรที่จำกัดและองค์กรต้องพิจารณาความสัมพันธ์ระหว่างต้นทุนกับผลประโยชน์เพื่อตัดสินใจ รวมทั้งเรื่องที่เกี่ยวข้องเพื่อตอบสนองความเสี่ยงและการดำเนินกิจกรรมการควบคุม

การวัดต้นทุนกับผลตอบแทนเพื่อการนำไปปฏิบัติในการระบุเหตุการณ์และความสามารถในการประเมินความเสี่ยงและการตอบสนองที่เกี่ยวข้อง และการทำกิจกรรมการควบคุมในระดับความแม่นยำที่แตกต่างกัน

การพัฒนาเรื่องต้นทุนที่เพิ่มขึ้นนั้นสามารถทำได้ง่ายกว่า ต้นทุนโดยตรง ทั้งหมดเกี่ยวข้องกับการตั้งความสามารถหรือการกำหนดการควบคุม และจะต้องพิจารณาต้นทุนทางอ้อมที่สามารถวัดได้ด้วย

อย่างไรก็ตามในการพิจารณาเรื่องต้นทุนนี้นั้นจะทำได้ยากก็เนื่องจากปัจจัยเรื่องสภาพแวดล้อม เช่น ความผูกพันของฝ่ายบริหารต่อค่านิยมเรื่องจริยธรรมหรือความสามารถของบุคคล และการได้มาซึ่งข้อมูลข่าวสารภายนอก

ส่วนทางด้านผลประโยชน์อาจขึ้นอยู่กับการประเมินค่าของผู้ประเมินมากขึ้น เช่น ถ้าความสูญเสียนั้นเกิดความเบี่ยงเบนไปจากที่เป็นอยู่ อันเนื่องมาจากประสิทธิผลของการบริหารความเสี่ยงขององค์กร ผลประโยชน์ที่ที่เกิดขึ้นมักไม่ได้สังเกตเห็น หรือประโยชน์ของการตอบสนองความเสี่ยง เช่น โปรแกรมการฝึกอบรมที่มีประสิทธิผลจะเห็นได้อย่างชัดเจนแต่ยากที่จะบอกถึงคุณภาพ

การพิจารณาเรื่องต้นทุนกับผลตอบแทนนี้มีความหลากหลายขึ้นอยู่กับธรรมชาติขององค์กร การค้นหาความสมดุลที่เหมาะสมจึงเป็นเรื่องที่มีความท้าทายต่อผู้บริหารองค์กรเป็นอย่างมาก

การกระทำผิดกฎเกณฑ์ ละเลย ของฝ่ายบริหาร
การบริหารความเสี่ยงขององค์กรจะเกิดประสิทธิผลได้ขึ้นอยู่กับบุคลากรที่ทำหน้าที่ทางด้านนี้ แม้องค์กรมีการบริหารและการควบคุมที่มีประสิทธิผล เช่น มีระดับของความซื่อสัตย์ต่อองค์กรและความตระหนักถึงเรื่องการควบคุมสูง ผู้บริหารก็อาจ Overrideหรือ ละเลย กระทำผิดกฎเกณฑ์ กระบวนการบริหารความเสี่ยงได้ ไม่มีระบบการบริหารหรือการควบคุมใดที่ไม่มีข้อผิดพลาด และระบบที่ผิดพลาดกับผู้ที่ทำผิดพลาดจะต้องตั้งใจที่จะค้นหาวิธีการหยุดข้อผิดพลาดนั้น

อย่างไรก็ตามการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผลจะปรับปรุงความสามารถขององค์กรในการป้องกันและก้าวข้ามกิจกรรมเหล่านั้นไปได้

ความหมายของการ Override ของฝ่ายบริหารคือ การประพฤติออกนอกกรอบนโยบายหรือกระบวนการเพื่อวัตถุประสงค์ที่ไม่ถูกต้องตามกฎ เช่น ผลประโยชน์ของแต่ละบุคคลหรือการเสนอเงื่อนไขทางการเงินขององค์กรหรือสถานะที่มีการปฏิบัติตาม ผู้บริหารหรือสมาชิกของฝ่ายบริหารระดับสูง อาจ Override กระบวนการบริหารความเสี่ยงเพื่อเหตุผลหลายประการ เช่น

– เพิ่มการรายงานรายได้ หรือเพิ่มความสำเร็จ ให้ครอบคลุมในส่วนที่ไม่เกี่ยวข้อง
– เพิ่มการรายงานผลความสำเร็จ ให้พอกับงบประมาณจริง
– แสดงถึงการบรรลุเป้าหมาย เพื่อให้เกิดการจ่ายโบนัสตามผลการปฏิบัติงาน
– ปกปิดการไม่ปฏิบัติตามความต้องการของกฎหมาย ระเบียบ คำสั่ง

การ Override ของฝ่ายบริหารแสดงถึงการปฏิบัติของฝ่ายบริหารในการแยกตัวมาจากการกำหนดนโยบาย หรือกระบวนการเพื่อเป้าหมายที่ถูกต้องตามกฎหมาย การทำการ Override มักจะไม่ทำเป็นลายลักษณ์อักษรหรือเปิดเผย

ครั้งหน้าผมจะมาพูดถึงเรื่องบทบาทและการกำกับดูแลการบริหารความเสี่ยง โปรดติดตามต่อไปนะครับ

 

กรณีมาบตาพุด กับการบริหารความเสี่ยงที่เกี่ยวข้องกับ Compliance Risk ที่มีผลกระทบต่อความเชื่อมั่นของประเทศ

ผมได้เขียนกรณีมาบตาพุดที่มีผลกระทบต่อความเชื่อมั่นของประเทศอย่างร้ายแรงมาหลายครั้งแล้ว ทั้งนี้ก็เพราะ ผมมีความเป็นห่วงและกังวลอย่างลึกซึ้งต่อผลที่ตามมาในระยะยาว ที่มองจากมุมมองของนักลงทุนนานาชาติ และในประเทศ ที่น่าจะมีการค้นหาต้นเหตุ (Root Cause) ของเหตุการณ์ที่นำมาสู่ความเสี่ยงที่มีการจัดการล่าช้า จนเป็นเหตุให้มีผลกระทบทางลบ และความเชื่อมั่นของประเทศครั้งสำคัญ ที่น่าจะนำไปใช้เป็นกรณีศึกษา หรือบทเรียน (Lesson – Learned) เพื่อใช้ป้องกันความเสี่ยง และจัดให้มีการควบคุมและการบริหารอย่างเหมาะสม ทั้งในระดับชาติ และในระดับองค์กรได้เป็นอย่างดี

ตามความเข้าใจของผม ภาครัฐที่เป็นผู้ควบคุมกฎเกณฑ์ และการปฏิบัติตามกฎหมาย และกติกาของสังคม โดยใช้กรอบรัฐธรรมนูญ ปี 2550 เป็นสำคัญนั้น ยังไม่มีหรือขาดผู้ที่รับผิดชอบในการติดตาม การปฏิบัติที่เกี่ยวข้องกับรัฐธรรมนูญ มาตราที่ 67 ว่าด้วยการจัดตั้งองค์การอิสระที่มีหน้าที่ศึกษาผลกระทบร้ายแรงต่อสุขภาพ (HIA) ผลกระทบร้ายแรงต่อสิ่งแวดล้อม (EIA) ผลกระทบต่อทรัพยากรธรรมชาติ +++ จากการลงทุน…ทำให้โครงการการลงทุน 76 โครงการในระยะแรกถูกศาลปกครองสั่งระงับการดำเนินงาน ซึ่งต่อมาศาลฯได้ผ่อนผันให้ 15 โครงการ จึงเหลือโครงการที่มีปัญหาฯ 65 โครงการ ซึ่งหลายโครงการเป็นโครงการขนาดใหญ่ ได้รับความเดือดร้อนเป็นอย่างยิ่งตามข่าวที่ผ่านมานั้น +++

เพื่อให้เกิดความกระชับตามวรรคก่อน ผมใคร่ขอสรุปว่า Root Cause หรือสาเหตุของผลกระทบที่ต้องการปรับปรุงก็คือ ทางการควรจัดตั้งหรือจัดให้มีองค์การอิสระ ตามรัฐธรรมนูญ ปี 2550 ฉบับที่ 67 (2) โดยเร็ว และจัดให้มีการดำเนินการตามระเบียบและวิธีการที่กำหนดไว้ในกฎหมายลูก ซึ่งต้องจัดตั้งเป็น พรบ. เหตุการณ์กรณีมาบตาพุดก็ไม่น่าจะเกิดขึ้น หรือมีปัญหาน้อยลง นี่คือการบริหารความเสี่ยงและการจัดการเชิงรุกที่มีศักยภาพ และสร้างคุณค่าเพิ่มในทุกมุมมองที่เกี่ยวข้อง และกับผู้มีผลประโยชน์ร่วมทุกฝ่าย รวมทั้งการสร้างความน่าเชื่อถือให้กับนักลงทุนนานาชาติ และนักลงทุนในประเทศได้เป็นอย่างดี

ทั้งนี้ ผมขออธิบายเพิ่มเติมเพื่อสร้างความเข้าใจของการควบคุมความเสี่ยงจากต้นเหตุ หรือสาเหตุ ซึ่งจะได้ผลดีอย่างยิ่งต่อการบริหารและการจัดการ เพราะหากมีความเข้าใจที่คลาดเคลื่อน และผู้ที่เกี่ยวข้องจัดให้มีการควบคุมความเสี่ยงและการบริหารจัดการจากผลลัพธ์ (Out put / Out come) หรือกระบวนการดำเนินการ (Process) แทนการควบคุมที่ Root Cause การบริหารและการจัดการควบคุมความเสี่ยงจะได้ผลอย่างจำกัดมาก แผนภาพด้านล่างนี้ จะช่วยให้ท่านผู้อ่านได้เข้าใจถึงความแตกต่างที่มีนัยสำคัญยิ่งตามที่ได้กล่าวข้างต้น โดยขอให้ท่านพิจารณาว่า อะไรคือ Root Cause หรือ Cause อะไรคือ Effect หรือผลกระทบ ซึ่งเทียบได้กับ Out put / Out come เพื่อการควบคุมที่มีคุณภาพ ดังนี้ครับ

จากแผนภาพข้างต้น ถ้าเราไปควบคุมหรือแก้ไขที่ปลายเหตุ (จาก Effect) เช่น การเสียชื่อเสียง การขาดความเชื่อมั่น การลงทุนของประเทศไทยโดยรวม ++ ท่านจะไปควบคุมและแก้ไขอย่างไรที่จะได้ผลในระยะยาว และสามารถสร้างความมั่นใจให้กับนักลงทุนนานาชาติ และในประเทศได้ แต่ถ้าหากท่านเข้าใจว่า การแก้ไขที่ต้นเหตุ (Cause / Root Cause) เช่น การสร้างความเข้าใจและการให้ความสำคัญและจริงจังกับความเอาใจใส่ในการปฏิบัติตามกฎหมาย กฎเกณฑ์ การหาความรู้ในเรื่องที่เกี่ยวข้อง การจัดลำดับความสำคัญของแผนงานและโครงการที่ต้องดำเนินการ เช่น การจัดตั้งให้มีองค์การอิสระ ตามมาตรา 67(2) ของรัฐธรรมนูญ พ.ศ. 2550 และดำเนินการและจัดให้มีวิธีการสนองตอบต่อกฎหมายหลักของชาติ

ซึ่งหากหน่วยงานที่เกี่ยวข้องกับการพิจารณาเรื่องกฎหมาย กฎเกณฑ์ เข้าใจเรื่องดังกล่าวดี +++ ก็น่าจะเป็นการป้องกันและควบคุมความเสี่ยงจากต้นเหตุที่มีผลกระทบต่อความเชื่อมั่นของประเทศไทยโดยรวม ได้เป็นอย่างดี มิใช่เพียงผลกระทบต่อกรณีมาบตาพุดเท่านั้น

หลักการบริหารความเสี่ยงง่าย ๆ ก็คือ การพิจารณาถึงวัตถุประสงค์ การระบุเหตุการณ์ที่มีความเสี่ยงต่อการบรรลุวัตถุประสงค์ตามที่ต้องการ และจัดให้มีการควบคุมหรือดำเนินการเพื่อลดความเสี่ยง ตามเหตุการณ์ที่คาดว่าจะเกิดขึ้นให้อยู่ในระดับที่ประเทศและองค์กรยอมรับได้เป็นสำคัญ

กรณีมาบตาพุด เราวิเคราะห์เหตุการณ์หลังจากความเสียหายและผลกระทบในทางลบได้เกิดขึ้นมาแล้ว จึงเป็นการง่ายที่จะระบุถึงต้นเหตุ หรือสาเหตุ ซึ่งเป็นที่มาของปัญหาที่เกิดขึ้นในปัจจุบัน แต่ในกรณีที่ยังไม่มีปัญหาเกิดขึ้น การวิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ จึงเป็นเรื่องที่ท้าทายกว่ามาก เพราะต้องการความเข้าใจ หลักการบริหารความเสี่ยงแบบบูรณาการขององค์กร ที่สามารถนำมาประยุกต์ใช้ได้กับความเสี่ยงในระดับชาติได้อย่างลงตัว

กรณีมาบตาพุด ถึงแม้จะเกิดขึ้นได้ไม่นาน ผลเสียหายที่เกิดขึ้นมาแล้วตามข่าวก็คือ การลงทุนโครงการ 10,000 ล้านบาทในการสร้างแผงพลังไฟฟ้าจากดวงอาทิตย์ ของประเทศออสเตรเลีย ได้ย้ายจากประเทศไทยไปประเทศมาเลเซียเรียบร้อย+++ นับว่าเป็นการเสียโอกาสในการสร้างมูลค่าและตลาดแรงงานของชาติ และการเติบโตของ GDP ไปในระดับหนึ่ง โดยไม่รวมโครงการลงทุนต่าง ๆ ที่ยังไม่เกิดขึ้น และยังอยู่ในแผนงานการลงทุนของนานาชาติที่ไม่อาจคาดคะเนได้จากเหตุการณ์ครั้งนี้ด้วย

กรณีมาบตาพุดนี้รัฐบาลได้เร่งตั้งองค์การอิสระเฉพาะกาล ให้ได้ใน 60 วัน เพื่อเร่งการปฏิบัติตามระเบียบที่กำหนดไว้ในรัฐธรรมนูญ ปี 2550 มาตรา 67 (2) ซึ่งหากดำเนินการได้ทันตามกำหนด และมีผลกระทบในทางลบจากการดำเนินงานขององค์การอิสระต่อทั้ง 65 โครงการในครั้งนี้แล้ว ก็น่าจะช่วยลดปัญหาต่าง ๆ จากความไม่เชื่อมั่นของนักลงทุนลงได้มาก หากทางรัฐบาลได้มีการประชาสัมพันธ์ และได้มีการชี้แจงเรื่องนี้อย่างชัดเจนให้กับผู้มีผลประโยชน์ร่วมได้เข้าใจอย่างกว้างขวางและเป็นรูปธรรม

 

วิสัยทัศน์ของประเทศไทย คือ ประเทศที่พัฒนาแล้วในปี 2563 และเติบโตอย่างยั่งยืนได้อย่างมั่นคง กับ GRC ในมุมมองระดับประเทศ

ผมเข้าใจในเบื้องต้นของผมเองว่า วิสัยทัศน์ของประเทศไทยในขณะนี้ น่าจะยังไม่ชัดเจน หรืออาจยังไม่ได้กำหนดให้เป็นรูปธรรม หรือไม่มีการสื่อสารที่มีคุณภาพและแพร่หลายพอให้บุคคลที่สนใจและผู้ที่เกี่ยวข้อง ได้ทราบทิศทางของประเทศในอนาคต ที่จะใช้เป็นตัวกำหนดแนวทางหรือกรอบในการดำเนินงาน กรอบความคิด เพื่อก้าวไปสู่การกำหนดนโยบาย กลยุทธ์ แผนงานระดับชาติที่จะมอบหมายต่อไปยัง กระทรวง ทบวง กรมต่าง ๆ ที่เกี่ยวข้อง

รวมทั้งกำหนดวาระแห่งชาติ ซึ่งเป็นเครื่องมือในการช่วยบริหารกิจการของบ้านเมืองให้เป็นไปตามพระราชกฤษฎีกา พ.ศ. 2546 ว่าด้วยการบริหารกิจการบ้านเมืองที่ดี โดยกำหนดตัวชี้วัดที่สอดคล้องกับกลยุทธ์และแผนการดำเนินงานแห่งชาติอย่างเหมาะสม และสอดคล้องกับระยะเวลาในการก้าวไปสู่วิสัยทัศน์ที่ตั้งใจไว้ว่า ประเทศไทยเป็นประเทศที่พัฒนาแล้ว ในปี 2563 ในอีก 10 ปีข้างหน้าได้อย่างมั่นใจ และสมเหตุสมผล

หลักการของ GRC ซึ่งย่อมาจาก Governance + Risk Management + Compliance เป็น Statement ค่อนข้างใหม่ในประเทศไทย เพราะมีเป้าหมายและคำจำกัดความที่แตกต่างกันในแต่ละ wording และ meaning ของ GRC ที่เราเคยรู้จักกันมานานแล้ว เนื่องจาก GRC เป็นการเน้นการสร้างคุณค่าเพิ่มจากการบริหารแบบบูรณาการที่สร้างความสัมพันธ์ระหว่างการบริหาร Governance (CG+ITG) ควบคู่กันไปกับการบริหารความเสี่ยง (Risk Management) โดยให้ความสำคัญกับการปฏิบัติตามกฎหมาย กฎเกณฑ์ และมาตรฐานที่เกี่ยวข้องที่สอดคล้องกับนานาชาติ รวมทั้งกฎหมาย กฎเกณฑ์ ระเบียบ คำสั่ง กติกา ของสังคมในชาติโดยคำนึงถึงความคาดหวังของผู้มีผลประโยชน์ร่วม (Stakeholder Expectation) ในทุกระดับ โดยคำนึงถึง Global Governance + Public Governance + Social Governance เป็นสำคัญอีกด้วย

หลักการของ GRC เป็นเรื่องของการขับเคลื่อนวิสัยทัศน์ (Vision & Objectives) ซึ่งเปรียบเทียบได้กับ Input ผ่านกระบวนการที่เรียกว่า Process ในที่นี้จะหมายถึง Integrity – Driven Performance ระดับชาติ เพื่อให้ได้เป้าหมายตาม Vision & Objectives ของประเทศในระยะเวลาที่กำหนด

ผมขอขยายความในความหมายของ GRC เฉพาะในมุมมองของ Compliance เพื่อให้เกิดความเข้าใจได้ดียิ่งขึ้นตามแผนภาพ ดังนี้ครับ

สำหรับรายละเอียดอื่น ๆ เอาไว้คุยกันในวันหลังนะครับ

การที่ผมนำเรื่อง GRC กับ Vision ของประเทศมาคุยกับท่านผู้อ่านในวันนี้ ก็เพราะ ผมเข้าใจว่า หากประเทศมี Vision ที่ชัดเจน และทุกฝ่ายเข้าใจตรงกัน ทิศทางการดำเนินงานของหน่วยงานต่าง ๆ ทั้งภาครัฐ และเอกชน ก็สามารถสนับสนุนให้วิสัยทัศน์ของประเทศเป็นความจริงได้ในที่สุด

 

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง (ต่อ)

ในครั้งที่แล้ว ผมได้อธิบายการตรวจสอบทางด้าน IT Audit ที่เกี่ยวข้องกับการบริหารความเสี่ยง จากมุมเปิด (Exposure) ของจุดอ่อนที่อาจจะมีในกระบวนการบริหารในการจัดการทางด้าน IT Process เพื่อบรรลุ Business Objective ในมุมมองต่าง ๆ ซึ่งได้กล่าวและเน้นให้เห็นถึงความสำคัญความเข้าใจกระบวนการบริหารที่เกี่ยวข้องกันและแยกกันไม่ได้ระหว่าง Business Objective และ IT Objective ซึ่งพิจารณาได้ว่าเริ่มมีความซับซ้อนในมุมมองของการบริหารความเสี่ยงที่โยงใยกันระหว่างความเสี่ยงทางด้าน Business และความเสี่ยงทางด้าน IT และผลกระทบที่มีต่อภาพรวมของความเสี่ยงของทั้งองค์กร (Portfolio View of Risk) ทั้งในมุมมองของ IT และ Business

โดยความเป็นจริง ความเข้าใจถึง Portfolio View of Risk ตามมุมมองของ IT และ Business ซึ่งมีเป้าหมายในการ Focus ความเสี่ยงที่แตกต่างกัน เพราะมุมมองของ IT จะเกี่ยวข้องและเน้นถึง Information ที่สัมพันธ์กับ IT Balanced Scorecard ส่วนมุมมองของ Business จะเกี่ยวข้องกับ Business Scorecard ซึ่งมุมมองทั้ง 2 มีความสัมพันธ์กันอย่างลึกซึ้ง โดยเฉพาะมุมมองของการบริหารความเสี่ยงและการควบคุมภายใน และมีผลอย่างสำคัญต่อการสร้าง Business Value ที่มาจากฐานความเข้าใจของ Risk Driver และ Value Driver ที่ผมจะกล่าวต่อไป

วันนี้ผมกำลังพาท่านผู้ตรวจสอบเข้าสู่กระบวนการตรวจสอบทางด้าน General Control ขององค์กรที่ใช้คอมพิวเตอร์ต่อจากครั้งก่อน โดยมีมุมมองที่เน้นทางด้านกระบวนการบริหาร (Process) เพื่อบรรลุวัตถุประสงค์การควบคุมสารสนเทศที่ดี ตามหลักการของ CobiT ทีละ Domain ดังนี้

สำหรับการอ่านแผนภาพบางตารางข้างต้น อาจจะตัวอักษรเล็กไปสำหรับบางท่านนั้น ขอให้ท่านดำเนินการต่อไปนี้เพื่อขยายแผนภาพทุกแผนภาพที่ต้องการให้ใหญ่ขึ้นดังนี้ ให้ท่านกด Ctrl ค้างไว้ พร้อมเลื่อนลูกกลิ้งเม้าส์ (Scroll) ไปด้านหน้า ทั้งภาพและตัวอักษรจะใหญ่ขึ้นตามที่ท่านต้องการ และกลับกัน หากท่านเลื่อนลูกกลิ้งไปด้านหลัง ทั้งภาพและตัวอักษรก็จะเล็กลง

ครั้งต่อไป ผมจะได้นำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ต่อไปนะครับ

 

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

ครั้งที่แล้ว ผมได้กล่าวถึงเกณฑ์การประเมินผลการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ในส่วนที่ 2 โดยได้นำเสนอประเด็นที่ต้องพิจารณาด้านระบบสารสนเทศที่สนับสนุนการบริหารจัดการ และระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยงไปแล้ว ในวันนี้ผมจะนำเสนอต่อถึงการพิจารณาระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายในครับ

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน

2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน

ระบบสารสนเทศสามารถนำมาช่วยสนับสนุนการควบคุมภายในและการตรวจสอบภายในเพื่อทำให้กระบวนการควบคุมภายในและตรวจสอบภายในขององค์กรมีประสิทธิภาพและประสิทธิผลมากยิ่งขึ้น

ทางด้านการควบคุมภายใน ระบบสารสนเทศสนับสนุนวิธีการดำเนินงาน โดยการทำงานของบุคลากรจะเปลี่ยนไปอยู่ในรูปแบบที่ต้องถูกควบคุมผ่านระบบฯ หรือได้รับการอนุญาตจากระบบฯ ซึ่งจะต้องทำตามหลักเกณฑ์ /วิธีการ / เงื่อนไขที่ได้กำหนดไว้ อันเป็นผลมาจากความสามารถของระบบสารสนเทศที่สามารถกำหนดวิธีการปฏิบัติงานโดยขึ้นอยู่กับกฎเกณฑ์ที่ได้กำหนดไว้อย่างเคร่งครัด

ทางด้านการตรวจสอบภายใน ระบบสารสนเทศสามารถนำมาใช้ในการสอบทานความถูกต้องของการดำเนินงาน เนื่องจากความสามารถของระบบสารสนเทศในการประมวลผล การเก็บรวบรวมและบันทึกข้อมูลได้อย่างเที่ยงตรงเพื่อนำมาใช้ในการตรวจสอบและอ้างอิงเมื่อต้องการ นอกจากนี้ตัวระบบสารสนเทศ สามารถตรวจสอบความผิดพลาดที่เกิดขึ้นได้โดยทันทีทำให้สามารถป้องกันความเสียหายที่จะเกิดขึ้นได้

แนวทางโดยสรุป : การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศ เข้ามาใช้เพื่อช่วยในการทำงานด้านควบคุมภายในและตรวจสอบภายในการปฏิบัติงานให้ถูกต้องตามกฎระเบียบ กฎหมาย ข้อบังคับต่างๆ โดยการปรับนำมาใช้ในองค์กรอย่างเหมาะสม และการนำระบบสารสนเทศเข้ามาใช้เพื่อสร้างมั่นใจได้ว่าระบบบัญชีที่ใช้มีความเหมาะสมกับองค์กร โดยสามารถเรียกดู/ตรวจสอบข้อมูลได้ตามต้องการ

ตัวอย่าง : การนำระบบสารสนเทศ และระบบเทคโนโลยีสารสนเทศ มาใช้ทางด้านการควบคุมภายใน เช่น
– การบันทึกข้อมูลเพื่อป้องกันทรัพย์สินไม่ให้สูญหายโดยการเบิกของจากคลังพัสดุที่มีการบันทึกอุปกรณ์แต่ละรายการอย่างละเอียดและสามารถตรวจสอบได้ตลอดเวลา
– การกำหนดวงเงินของการอนุมัติตามตำแหน่งหรือหน้าที่ โดยต้องผ่านการทำรายการผ่านระบบอิเล็คทรอนิกส์ที่มีการตั้งกฎเกณฑ์ไว้ นอกจากนี้ยังสามารถนำมาควบคุมกระบวนการทำงาน / การผลิตให้เป็นไปตามมาตรฐานหรือข้อบังคับที่ได้กำหนด
– การกำหนดให้ต้องมี Login และการใส่รหัสผ่าน (Password) เมื่อมีการใช้งานในแต่ละวัน ทั้งนี้ เพื่อป้องกันมิให้บุคคลที่ไม่มีอำนาจหน้าที่สามารถเข้าไปเรียกใช้ข้อมูลขององค์กรได้
– การกำหนด Firewall ทั้งระดับเครือข่าย (Network) และโปรแกรมระบบงาน (Application) เพื่อควบคุมข้อมูลหรือข้อมูลแปลกปลอมเข้ามาในระบบ (อ้างอิงจาก : เอกสาร “ แนวปฏิบัติในการรักษาความปลอดภัยการให้บริการทางการเงินทางอิเล็กทรอนิกส์”, ธนาคารแห่งประเทศไทย)

การนำระบบสารสนเทศ และระบบเทคโนโลยีสารสนเทศมาใช้ทางด้านการตรวจสอบภายใน เช่น
-การนำเทคโนโลยีสารสนเทศ เฃ่น โปรแกรมสำเร็จรูปเพื่อช่วยในการตรวจสอบภายในมาใช้ในการช่วยตรวจสอบความผิดปกติของผลิตภัณฑ์ที่ได้จากการผลิต แทน/ควบคู่กับการทำงานโดยมนุษย์
– ในส่วนของระบบบัญชีที่นำมาใช้ในองค์กรสามารถแยกรายการได้ตามความต้องการและสามารถตรวจสอบหรือเรียกดูข้อมูลได้ในระยะเวลาอันสั้น เช่น สามารถเรียกดูข้อมูลการเบิกจ่ายงบประมาณของระดับฝ่าย หรือสามารถเรียกดูข้อมูลได้ตามสมควรกับองค์กร เช่น ตามระบบ ABC (Activity Based Costing)
– การออกแบบการตรวจสอบข้อมูลเข้าขณะนำเข้าระบบ เช่น การออกแบบการให้รหัสตรวจสอบ (Self-checking Digit Coding) เพื่อให้เครื่องรับข้อมูลทราบทันทีว่ามีข้อมูลที่กำลังป้อนเข้ามามีความผิดพลาด

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– ผลการตรวจสอบภายใน (ทั้งองค์กร) ที่ผ่านมาในปี 2549 และย้อนหลัง ถึงอุปสรรคหรือการดำเนินการใดไม่เป็นไปตามกฎหมาย ระเบียบ ข้อบังคับ หรือไม่ รวมทั้งผลการตรวจสอบภายในทางด้านการเงินและบัญชี (ทั้งองค์กร) ที่ผ่านมาในปี 2549 และย้อนหลังในประเด็นปัญหาที่พบ
– การดำเนินการพิจารณาปัญหา/แก้ไขปัญหา โดยพิจารณาเฉพาะกรณีที่สามารถนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศ เข้ามาช่วยในการดำเนินการได้ ซึ่งควรครอบคลุมการพิจารณาใน 3 ประเด็น ดังนี้
• Compliance Audit
• Operation Audit
• Efficiency Audit

2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

ในการนำระบบสารสนเทศเข้ามาใช้ในองค์กรนั้น เพื่อสร้างความมั่นใจได้ว่าระบบฯ ที่นำมาใช้มีความปลอดภัยและถูกต้องจึงต้องมีการควบคุมและควบคู่ไปกับการตรวจสอบ โดยครอบคลุมในเรื่องทั่วไปเกี่ยวกับระบบสารสนเทศขององค์กรดังนี้
– การควบคุมกระบวนการพัฒนาระบบงาน (Implementation controls) ตรวจสอบกระบวนการพัฒนาระบบงานในจุดต่าง ๆ เพื่อให้มั่นใจได้ว่ากระบวนการพัฒนาฯ อยู่ในความควบคุมและการบริหารที่ดี การตรวจสอบการพัฒนาซอฟต์แวร์ควรที่จะมีการตรวจสอบทบทวนอย่างเป็นทางการ ในแต่ละขั้นตอนการพัฒนาซอฟต์แวร์ที่สำคัญเพื่อเปิดโอกาสให้ผู้ใช้และผู้บริหารมีโอกาสยอมรับหรือปฏิเสธระบบงานเป็นระยะก่อนที่ระบบงานจะพัฒนาเสร็จเรียบร้อย การตรวจสอบระบบงานควรจะตรวจการเข้าไปมีส่วนร่วมของผู้ใช้ในแต่ละขั้นตอนของการพัฒนาฯ และนำทฤษฎีการวิเคราะห์ค่าใช้จ่ายผลตอบแทนมาใช้ศึกษาความเป็นไปได้ของโครงการ การตรวจสอบจะต้องคำนึงถึงการประกันคุณภาพในระหว่างที่ทำการพัฒนา การเปลี่ยนแปลงระบบงาน และการทดสอบระบบงาน รวมทั้งเอกสารประกอบระบบงานนั้น
– การควบคุมซอฟต์แวร์ (Software Control) มีความจำเป็นสำหรับซอฟต์แวร์ประเภทต่างๆ ที่นำมาใช้ประกอบระบบงาน การควบคุมซอฟต์แวร์ตรวจสอบการใช้ซอฟต์แวร์ระบบและป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้ามาใช้งานเนื่องจากซอฟต์แวร์ระบบมีความสำคัญต่อการควบคุมการทำงานของซอฟต์แวร์อื่น ๆ และเป็นตัวที่เข้าไปแก้ไขเปลี่ยนแปลงข้อมูลโดยตรง
– การควบคุมทางกายภาพ (Physical hardware controls) เป็นการป้องกันทางกายภาพเพื่อไม่ให้ใช้เครื่องคอมพิวเตอร์และอุปกรณ์ต่าง ๆ และตรวจสอบความผิดปกติของอุปกรณ์ทุกชนิด การป้องกันนี้รวมไปถึงการป้องกันอัคคีภัย การป้องกันไม่ให้อุณหภูมิและความชื้นในห้องเก็บอุปกรณ์สูงหรือต่ำเกินไป การป้องกันข้อมูลเสียหายด้วยการทำสำเนาข้อมูล การรักษาให้ฮาร์ดดิกส์สามารถให้บริการได้ตลอดเวลาที่ต้องการ เป็นต้น
– การควบคุมการปฏิบัติงานเครื่องคอมพิวเตอร์ (Computer operations controls) ประยุกต์ใช้กับงานของฝ่ายคอมพิวเตอร์เพื่อให้ขั้นตอนการปฏิบัติเกี่ยวกับอุปกรณ์บันทึกข้อมูลและการประมวลผลข้อมูลเป็นไปตามขั้นตอนที่กำหนด ได้แก่ การจัดสภาพแวดล้อมให้เหมาะสมกับการทำงานของคอมพิวเตอร์ การใช้ซอฟต์แวร์ การทำสำเนาข้อมูลและการฟื้นสภาพข้อมูลในกรณีที่โปรแกรมไม่ทำงานตามปกติ เป็นต้น
– การควบคุมความปลอดภัยข้อมูล (Data security controls) เป็นการปกป้องข้อมูลที่มีค่ายิ่งขององค์กรที่เก็บอยู่ในดิกส์หรือเทปหรืออุปกรณ์ใดก็แล้วแต่ ให้พ้นจากการใช้งาน การเปลี่ยนแปลง และการทำลายโดยบุคคลที่ไม่ได้รับอนุญาต การปกป้องนี้ต้องทำทั้งในขณะที่แฟ้มข้อมูลกำลังถูกใช้งานและเก็บรักษาไว้ ในสภาพการทำงานที่ข้อมูลมีการป้อนเข้ามาจากเครื่องเทอร์มินอล ข้อมูลที่แปลกปลอมเข้ามาจะต้องถูกกำจัดออกจากระบบ
– ระเบียบวินัยผู้บริหาร มาตรฐาน และขั้นตอนการปฏิบัติงาน (Administrative disciplines, standards, and procedures) หมายถึงการกำหนดมาตรฐาน กฎเกณฑ์ ขั้นตอนการปฏิบัติงาน และวินัยในการรักษาความปลอดภัย เพื่อให้มั่นใจได้ว่าการรักษาความปลอดภัยทั่วไปและการรักษาความปลอดภัยโปรแกรมประยุกต์ได้รับการจัดตั้งและนำไปปฏิบัติอย่างจริงจัง

ตัวอย่าง : ระบบสารสนเทศมีความปลอดภัย เช่น
1) การจัดทำคู่มือการปฏิบัติงานและแบบฟอร์มมาตรฐานในการรับส่งงานระหว่างเจ้าหน้าที่ศูนย์คอมพิวเตอร์และผู้ใช้ (Users)
2) การสอบทานกระบวนการหรือวิธีการจัดเก็บเอกสารหรือ media ที่ใช้ประกอบการออกแบบระบบงาน รวมทั้งวิธีการเก็บหรือดูแลรักษา Source Program อย่างสม่ำเสมอ
3) จัดให้มีระบบการบำรุงรักษาที่ต่อเนื่องเหมาะสมและครอบคลุมครุภัณฑ์คอมพิวเตอร์และอุปกรณ์ทุกประเภท
4) กำหนดให้มีการจัดทำทะเบียนคุมการติดตั้งหรือการนำ software จากภายนอกเข้ามาใช้กับเครื่องคอมพิวเตอร์ในหน่วยงาน
5) กำหนดผู้มีหน้าที่รับผิดชอบศึกษาทบทวนระบบรักษาความปลอดภัยและกำหนดสิทธิในการเข้าถึงระบบงานและฐานข้อมูลที่สำคัญ
6) การปรับปรุงพัฒนาระบบและสิทธิหรือ User ID ในการเข้าถึงระบบงานและระบบข้อมูลเป็นระยะ
7) จัดให้มีการตรวจสอบข้อมูลหรือเอกสารที่จะนำเข้าระบบ รวมทั้งจัดให้มีการรายงานจากโปรแกรมระบบงานสำหรับใช้ในการตรวจสอบหรือสอบทานความถูกต้องของข้อมูลก่อนการส่งต่อ
8) กำหนดระบบการจัดเก็บและสำรองแฟ้มข้อมูล ฐานข้อมูล และรายงานต่างๆ ให้เหมาะสมกับการใช้งาน
9) กำหนดให้มีวิธีการ Backup หรือทำสำเนา Source Program ระบบงานและเอกสารประกอบที่สำคัญอย่างน้อย 2 ชุด และแยกสถานที่จัดเก็บ รวมทั้งจัดทำทะเบียนคุมไว้เป็นหลักฐาน
10) จัดให้มีการสำรองข้อมูลให้ครบถ้วนตามความเหมาะสมของแต่ละระบบงานและตามเวลาที่กำหนด เช่น จัดเก็บทุกสิ้นวัน ทุกสัปดาห์ หรือทุกเดือนตามความจำเป็นและความเหมาะสม
11) จัดให้มีการทดสอบความถูกต้องของข้อมูลที่สำรองไว้เป็นครั้งคราวและทำรายงานผลการทดสอบ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– การมีกระบวนการ Computer Audit ตามรายละเอียดข้างต้น
– การแก้ไขปัญหาหลังจากดำเนินการ Computer Audit

2.3.3 การดำเนินงานตามแผนงาน/โครงการด้านสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ

ในการนำระบบสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กร เช่น ระบบ ERP ระบบงานธุรกิจหลัก (Core System) เป็นต้น เข้ามาใช้ในองค์กรนั้น เพื่อสร้างความมั่นใจได้ว่าระบบฯ ที่นำมาใช้จะมีการดำเนินงานเป็นไปตามแผนงาน มีความปลอดภัยและถูกต้อง ไม่เกิดผลกระทบต่อระบบงานเดิม และเป็นไปตามแผนงาน / โครงการ จึงต้องมีการติดตาม ควบคุมและควบคู่ไปกับการตรวจสอบ

หมายเหตุ : ในกรณีที่รัฐวิสาหกิจไม่มีการนำระบบสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ มาดำเนินการหรือดำเนินการแล้วเสร็จแล้ว น้ำหนักของการประเมินผลข้อนี้จะเฉลี่ยไปที่หัวข้อ 2.3.1

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล

2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)

เป็นระบบฐานข้อมูลด้านทรัพยากรมนุษย์ ซึ่งในระบบฐานข้อมูลนี้ นอกเหนือจากการเก็บข้อมูลด้านแฟ้มบุคคล ของพนักงานแต่ละคน ซึ่งโดยทั่วไปจะประกอบด้วย ข้อมูลใบสมัคร ข้อมูลประวัติบุคคล ข้อมูลประวัติพนักงาน ข้อมูลการจ่ายเงินเดือน ข้อมูลการประเมินผลงาน ข้อมูลตำแหน่ง และข้อมูลการลาออกหรือขาดงานแล้ว จะต้องมีการเก็บข้อมูลด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการและความสามารถของบุคลากรแต่ละคนที่องค์กรมีอยู่ (Competency Inventory) โดยจะมี Basic Competencies สำหรับแต่ละงาน คือ Know-How, Problem Solving, และ Accountability ซึ่ง Know-How จะประกอบด้วย 3 ด้านหลักๆ คือ ด้านบริหารจัดการ (Managerial) ด้านเทคนิค (Technical) และด้านความสัมพันธ์ (Human Relations) ส่วน Problem Solving และ Accountability นั้นสามารถมองได้หลายมิติ ขึ้นอยู่กับประเภท และความสำคัญของแต่ละงาน

การเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากร นั้นจะต้องมีระบบฐานข้อมูลที่มีการจัดเก็บเป็นระบบการจัดการฐานข้อมูลทรัพยากรบุคคล (Human Resource Database Management System) โดยเฉพาะเป็นระบบที่สามารถจัดการข้อมูลของพนักงาน ตรวจสอบความชำนาญเฉพาะด้านของพนักงานแต่ละคน การอบรม ค่าตอบแทน สวัสดิการต่างๆ เป็นต้น

แนวทางโดยสรุป : เป็นระบบฐานข้อมูลด้านทรัพยากรบุคคล (HR Database) ที่มีการเก็บรวบรวมข้อมูลด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการ และความสามารถของบุคลากรแต่ละคนที่องค์กรมีอยู่ (Competency Inventory)

ตัวอย่าง : ระบบฐานข้อมูลด้านทรัพยากรบุคคลนี้สามารถให้ข้อมูล ด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการ และความสามารถของบุคลากรแต่ละคน ที่องค์กรมีอยู่ (Competency Inventory) ได้ เช่น หากเจ้าหน้าที่คนหนึ่งมีความสามารถด้านสารสนเทศ ก็จะต้องสามารถมีข้อมูลที่ระบุได้ว่า เจ้าหน้าที่ดังกล่าวอยู่ในสายงานใด เช่น สายงาน Database สายงาน Network และสายงาน Web Application ซึ่งหากเกิดความผิดพลาดในกระบวนการทำงานด้านสารสนเทศเกิดขึ้น ทางองค์กรก็สามารถที่จะมีข้อมูลเพื่อวิเคราะห์ได้ว่า ควรมีการปรับปรุงวิธีการทำงาน ควรจะจัดอบรมความรู้ในเรื่องงานด้านสารสนเทศ หรือการสรรหาบุคคลที่มีความสามารถเฉพาะด้านเป็นพิเศษเข้ามาทำงาน หรือหากองค์กรมีนโยบายใหม่เข้ามา และมีส่วนงานที่เกี่ยวข้องกับด้านสารสนเทศด้วย ระบบฐานข้อมูลด้านทรัพยากรบุคคลนี้ก็จะสามารถระบุได้ว่า บุคลากรคนใดที่มีความชำนาญด้านสารสนเทศเป็นพิเศษ ทำให้สามารถจัดหาบุคคลมาปฏิบัติงานได้อย่างถูกต้อง และมีประสิทธิภาพ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการเก็บข้อมูล Competency ครบทุกคน และชนิดของข้อมูลที่เก็บมีความเหมาะสม และสามารถค้นหาบุคลากรตาม Competency ทีต้องการได้

2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ในการผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร

กระบวนการหรือวิธีการในการยกระดับความรู้และความสามารถของ CEO / CFO / CIO ในการผนวกรวม การจัดการร่วมกันระหว่างกระบวนการหรือแผนที่เป็นรูปธรรม ด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร โดยมีวิธีการส่งเสริมความรู้ให้กับ CEO / CFO / CIO เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสาร และประโยชน์ของเทคโนโลยีต่างๆ ที่จะนำมาช่วยในการพัฒนาองค์กรได้อย่างคุ้มค่า และไปในทิศทางเดียวกับวิสัยทัศน์ ภารกิจ และนโยบายขององค์กร

โดยอาจจะมีกระบวนการวิธีการที่แตกต่างกันในการให้ความรู้ด้านสารสนเทศแก่ CEO / CFO / CIO ซึ่งจะให้ความสำคัญทางด้านประโยชน์ของสารสนเทศ และแนะนำถึงการนำมาสารสนเทศนี้มาใช้ในองค์กร เพื่อสนับสนุนการปฏิบัติงาน หรือภารกิจหลักขององค์กรได้อย่างมีประสิทธิภาพ รวมทั้งการวางนโยบายเพื่อพัฒนาองค์กรโดยมีสารสนเทศเป็นเครื่องมือสนับสนุน ซึ่งอาจจะใช้วิธีการสัมมนา หรือใช้วิธีแบบ Online Training เป็นต้น

แนวทางโดยสรุป : การยกระดับความรู้ให้กับ CEO / CFO / CIO เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสาร และประโยชน์ของเทคโนโลยีต่างๆ ที่จะนำมาช่วยในการพัฒนาองค์กรได้อย่างคุ้มค่า และไปในทิศทางเดียวกับวิสัยทัศน์ ภารกิจ และนโยบายขององค์กร

ตัวอย่าง : การส่งเสริมความรู้ให้กับ CEO / CFO / CIO เช่น จัดนำเสนอโดยผู้เชี่ยวชาญหรือผู้ทรงคุณวุฒิที่หน่วยงานด้านสารสนเทศเป็นผู้คัดเลือก โดยให้มีการนำเสนอผ่านทางระบบ Video Conference ซึ่งอาจจะชี้ให้เห็นได้ด้วยว่า หากนำสารสนเทศ อย่าง Video Conference มาใช้ในการประชุมแล้วสามารถที่จะลดระยะเวลา ลดต้นทุนและเพิ่มประสิทธิภาพในการดำเนินงานขององค์กรได้ ซึ่ง CEO / CFO / CIO ที่ได้เรียนรู้ จะเล็งเห็นถึงความสำคัญของการใช้เทคโนโลยีสารสนเทศ และสามารถที่จะนำเทคโนโลยีเข้าไปผนวกกับการวางนโยบายเพื่อพัฒนาองค์กร อาทิเช่น การวางนโยบายขององค์กรในเรื่องของการติดต่อสื่อสารทั้งภายในและภายนอกองค์กร โดยจัดให้มีการนำระบบเทคโนโลยีด้านการสื่อสารทางไกล (Telecommunication) เข้ามาใช้เพื่อลดต้นทุนในส่วนของค่าใช้จ่ายในการเดินทาง สามารถติดต่อสื่อสารกันได้โดยไม่ขึ้นกับสถานที่ ระยะทาง และเวลา

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีแผนการอบรมที่ชัดเจนสำหรับผู้บริหารแต่ละท่าน (CEO, CFO, CIO)
– การนำความรู้มาใช้ประโยชน์กับองค์กรอย่างเป็นรูปธรรม หรือนำมาใช้เป็นนโยบายในการดำเนินงานขององค์กร

2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

ระบบสารสนเทศใหม่ ๆ ได้นำเข้ามาสู่องค์กรอย่างสม่ำเสมอเพื่อให้สอดคล้องกับการดำเนินงานขององค์กรและปรับเปลี่ยนให้ทันตามเทคโนโลยีเพื่อเพิ่มประสิทธิภาพการทำงาน อย่างไรก็ตาม มักจะพบปัญหาในทางปฏิบัติเมื่อบุคลากรไม่มีความพร้อมที่จะใช้ระบบงานใหม่เนื่องจากบุคลากรดังกล่าวยังคงคุ้นเคยกับการทำงานลักษณะเดิม ทำให้เสียโอกาสในการใช้ระบบให้มีประสิทธิภาพและเป็นการสิ้นเปลืองงบประมาณในส่วนดังกล่าว ดังนั้นรัฐวิสาหกิจควรหาแนวทางเพื่อให้บุคลากรมีความคุ้นเคยและปรับเปลี่ยนการทำงานเพื่อรองรับกับระบบที่ได้เปลี่ยนแปลงไป

แนวทางโดยสรุป : การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจ และสามารถใช้ระบบสารสนเทศที่องค์กรมีอยู่

ตัวอย่าง : หากองค์กรมีระบบสารสนเทศใหม่ หรือมีใช้อยู่แล้วในองค์กร แต่จากการสำรวจพบว่า บุคลากรยังไม่สามารถใช้ระบบดังกล่าวได้อย่างถูกต้อง รวดเร็ว และมีประสิทธิภาพ ดังนั้นการพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจ และสามารถใช้ระบบสารสนเทศที่องค์กรมีอยู่จึงเป็นกระบวนการสำคัญในการผลักดัน ส่งเสริมให้บุคลากรสามารถใช้เทคโนโลยีได้ โดยอาจจะใช้วิธีของการจัดอบรม หรือ การสอนในรูปแบบของ Online Training หรือ e-Learning เพื่อให้บุคลากรสามารถที่จะศึกษา เรียนรู้ และใช้ระบบสารสนเทศดังกล่าวได้อย่างมีประสิทธิภาพ ตัวอย่างเช่น มหาวิทยาลัยด้านสารสนเทศแห่งหนึ่งต้องการให้อาจารย์และผู้ช่วยสอนสามารถทำ e-Learning ในรายวิชาที่อาจารย์คนนั้น ๆ สอนด้วยตนเอง โดยการนำคู่มือวิธีการทำ e-Learning ขึ้นบน Intranet ภายในมหาวิทยาลัย อาจารย์และผู้ช่วยสอนสามารถที่จะเรียนรู้และฝึกปฏิบัติทำได้ด้วยตนเอง ทั้งในรายละเอียดของ Code ในโปรแกรมที่ใช้สร้าง เช่น Dreamwaver การสร้างและใช้ Template รวมทั้ง Format ต่างๆ โปรแกรมที่ใช้ตัดต่อวิดีโอ อย่างเช่น Microsoft Producer, Microsoft Ulead และอื่นๆเป็นต้น ทำให้มหาวิทยาลัยสามารถลดค่าใช้จ่ายในการจ้างพนักงานเพื่อทำ e-Learning โดยเฉพาะ และยังเพิ่มความรู้ความสามารถให้กับบุคลากรในมหาวิทยาลัย

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการฝึกอบรมและการประเมินหลังการฝึกอบรมว่า USER ใช้ประโยชน์ระบบสารสนเทศอย่างเต็มศักยภาพเพียงใด

ครั้งหน้าเราไปต่อประเด็นการพิจารณาระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร รวมถึงนโยบายต่างๆ ของรัฐบาล และระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กรกันครับ