Archive for กุมภาพันธ์, 2010

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

เมื่อท่านผู้บริหาร และผู้อ่านทุกท่าน ได้ทราบถึงแนวทางการบริหารและจัดการกับความเสี่ยงทั่วทั้งองค์กร ที่ผมได้นำเสนอไปตั้งแต่ต้นแล้วนั้น อีกสิ่งหนึ่งที่ผมอยากจะพูดถึงและให้ความสำคัญนั่นก็คือ ลำดับขั้นของการพัฒนาความเสี่ยง ซึ่งเป็นเรื่องที่ผมจะพูดถึงในวันนี้ และองค์กรชั้นนำทั้งหลายต่างตระหนักดีถึงความสำคัญของการบริหารความเสี่ยงกับมูลค่าผู้ถือหุ้น เนื่องจากคณะกรรมการและผู้บริหารต่างยอมรับถึงความสำคัญของการบริหารความเสี่ยง ทำให้องค์กรได้มีการปรับมุมมอง จากการมองการบริหารความเสี่ยงเพียงแค่ด้านการปฏิบัติให้เป็นไปตามกฎระเบียบ มาเป็นการพิจารณาความเสี่ยงที่เป็นโอกาสเพื่อเพิ่มมูลค่าผู้ถือหุ้น/ผู้มีผลประโยชน์ร่วม โดยสามารถอธิบายได้จากรูปต่อไปนี้

องค์กรที่อยู่ในส่วนล่างสุดของรูป มีการบริหารความเสี่ยงแบบตอบสนองตามเหตุการณ์ (Reactive Risk Management) โดยเน้นที่การปฏิบัติตาม และป้องกันเพื่อหลีกเลี่ยงความเสี่ยงที่อาจทำให้เกิดความเสียหาย องค์กรเหล่านี้จะพัฒนาการควบคุมภายในใหม่ขึ้น เพื่อตอบสนองความเสี่ยงที่พบว่า ยังไม่ได้รับการจัดการให้เป็นที่น่าพอใจ

องค์กรที่อยู่ในส่วนกลางของรูป คือองค์กรที่พยายามทำความเข้าใจต่อความเสี่ยงทั้งหมดที่เกิดขึ้นต่อองค์กร โดยมีการกำหนดการบริหารความเสี่ยงที่ครอบคลุมมากขึ้น นอกเหนือไปจากการควบคุมด้านการเงินและการดำเนินงาน องค์กรเหล่านี้ทำการประเมินความเสี่ยงทั้งทางด้านปฏิบัติการ การปฏิบัติตามกฎระเบียบ และด้านอื่น ๆ รวมทั้งทำการมองหากระบวนการที่จะปรับปรุงการปฏิบัติงานให้ดียิ่งขึ้น

เมื่อผู้บริหารขององค์กรเหล่านี้พบความล้มเหลว หรือความผิดพลาดในการควบคุมภายในขององค์กรอื่น ๆ ก็จะดำเนินการประเมิน หรือปรับปรุงกระบวนการบริหารความเสี่ยงในองค์กรของตนใหม่ เพื่อหลีกเลี่ยงปัญหาที่อาจจะเกิดขึ้นเช่นดังองค์กรอื่น

นอกจากนี้องค์กรที่อยู่ในส่วนกลางของรูป ยังได้ทำการศึกษาแนวปฏิบัติที่ดียิ่งขึ้น เพื่อทำการปรับปรุงกระบวนการให้ก้าวหน้าต่อไปข้างหน้า องค์กรเหล่านี้จะปรับปรุงการบริหารความเสี่ยงตามการเปลี่ยนแปลงและเป้าหมายขององค์กร ทั้งนี้เพื่อสร้างกระบวนการที่สามารถทำให้บรรลุวัตถุประสงค์ต่าง ๆ ได้ดียิ่งขึ้น

นอกจากนี้ ยังได้มีการริเริ่มการนำเอาการบริหารงานมาควบรวมกับกระบวนการประเมิน และจัดการความเสี่ยงมากขึ้น และนำเอากรอบการบริหารความเสี่ยงมาใช้เพื่อให้เกิดการสื่อสารเกี่ยวกับความเสี่ยงด้วยภาษาเดียวกัน รวมไปถึงการจัดการความเสี่ยงในแนวทางเดียวกันด้วย

สำหรับองค์กรที่อยู่ในส่วนบนของรูป เป็นองค์กรที่ประเมินความเสี่ยงเพื่อพิจารณาหาโอกาสใหม่ของธุรกิจ องค์กรเหล่านี้ให้ความสำคัญกับสาเหตุที่ก่อให้เกิดความอ่อนไหวต่อมูลค่าผู้ถือหุ้น และเปิดรับกลยุทธ์และวิธีการใหม่ ๆ เพื่อจัดการกับความเสี่ยงนั้น รวมถึงการประเมินความเสี่ยงที่ส่งผลกระทบที่สำคัญต่อวัตถุประสงค์ นอกจากนั้นยังทำการพลิกผันเหตุการณ์ที่ไม่ดีให้เป็นโอกาสแก่ธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน องค์กรเหล่านี้นำการบริหารความเสี่ยงไปใช้ทั้งในการตัดสินใจและการติดตามผลการตัดสินใจ

องค์กรที่ประสบความสำเร็จมากที่สุดคือ องค์กรที่สามารถนำเอาการบริหารความเสี่ยงมาใช้เป็นเครื่องมือในการเพิ่มมูลค่าผู้ถือหุ้น หรือคุณค่าขององค์กร ทั้งนี้ผู้บริหารระดับสูงต้องเป็นผู้นำ เพื่อให้การบริหารความเสี่ยงขององค์กรก้าวไปสู่ความเป็นเลิศ

 

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

ครั้งที่แล้ว ท่านผู้อ่านก็คงได้ทราบถึงการเปลี่ยนแปลงของการตรวจสอบกันไปแล้วนะครับว่า ในอนาคตจะมีแน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบอย่างไร ตามที่กล่าวมาแล้วข้างต้นในครั้งก่อนสรุปได้ว่า พัฒนาการต่าง ๆ ทางด้านการควบคุมและตรวจสอบตามไม่ทันกับการเปลี่ยนแปลง ทำให้หน่วยงานที่รับผิดชอบประสบปัญหาทั้งด้านบุคลากร และวิธีการตรวจสอบ ในการแก้ไขปัญหานี้ หน่วยงานที่รับผิดชอบด้านการตรวจสอบ จำเป็นที่จะต้องคิดสร้างระบบวิธีการที่เป็นพื้นฐานสำหรับการตรวจสอบที่เข้าใจง่ายและชัดเจน สามารถใช้เป็นแนวทางการตรวจสอบของผู้ตรวจสอบได้ในระยะเริ่มแรก และผู้ตรวจสอบคนอื่น สามารถติดตามการเปลี่ยนแปลงของระบบงานในจุดที่ต้องการได้อย่างมีประสิทธิภาพ แน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบในอนาคตดังกล่าว จึงเป็นเหตุให้เราต้องพูดคุยกันถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้นในวันนี้กันครับ

แนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น
“TOTAL SYSTEMS APPROACH” เป็นระบบการตรวจสอบแบบหนึ่ง ที่เน้นการตรวจสอบในลักษณะ การทำความเข้าใจในผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Business Objective ทั้งระบบ นั่นคือ เป็นการตรวจที่ผู้ตรวจจะต้องเข้าใจระบบงาน ทั้งในส่วนที่ใช้คอมพิวเตอร์ในภาพโดยรวม ในลักษณะที่เป็น Holistic Framework ซึ่งมีการเชื่อมโยงระหว่าง Activities ต่อ Activities และระหว่าง Process กับ Process และระหว่าง Objective และ Objective ในมุมมองของ Interdependency Approaches นั่นคือ ทุก Activities และทุก Process และทุก Objective ถึงแม้จะมีความเป็นอิสระในการประมวลงานในแต่ละ Application หรือในแต่ละระบบงานอย่างอิสระ

แต่ทั้งหมดตามที่กล่าวนี้ ก็มีความสัมพันธ์ต่อกันอย่างแยกกันไม่ได้ เพื่อก้าวไปสู่ Business Process ในการบรรลุ Business Objective ตามมุมมองที่องค์กรต้องการ นี่คือที่มาของคำว่า Interdependency Approach โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบจะต้องเข้าใจที่จะต้องวางแผนการตรวจสอบ ทั้งในส่วนที่ไม่ใช้คอมพิวเตอร์หรือทั้งสองอย่างรวมกัน แทนที่จะแยกการตรวจสอบเป็นส่วน ๆ เช่น ตรวจสอบเฉพาะระบบ Manual เพียงอย่างเดียว ทั้งนี้ สามารถใช้กับผู้ตรวจสอบที่มีความรู้คอมพิวเตอร์เพียงเบื้องต้น แต่ผู้ตรวจสอบผู้นั้น ต้องเข้าใจระบบงานขององค์กรทั้งหมดโดยรวม ซึ่งจะช่วยให้ผู้ตรวจสอบเข้าใจระบบงานอย่างง่าย ๆ โดยการวิเคราะห์การควบคุมระบบงานเป็นขั้น ๆ เป็นวิธีการทำงานตามหลักโครงสร้าง จะช่วยให้การตรวจสอบเป็นไปอย่างมีประสิทธิภาพและเป็นระเบียบ และในที่สุด ผู้ตรวจสอบจะต้องกำหนดว่า จะวางแผนการตรวจสอบในเรื่องใด ส่วนใดของระบบงานโดยรวม (Total System Approach) เพื่อให้การกำหนดขอบเขตเป็นไปตามเป้าประสงค์ ในการวางแผนการตรวจสอบแต่ละครั้ง ในแต่ละเรื่องที่เกี่ยวข้อง โดยคำนึงถึงว่า

1. ในการตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบไม่สามารถตรวจสอบส่วนต่าง ๆ ของระบบแยกกันได้โดยอิสระ ในเมื่อต้องวิเคราะห์ถึงผลกระทบของการตรวจสอบส่วนนั้น ๆ ต่อส่วนอื่น ๆ ของระบบ โดยควรเข้าใจและคำนึงถึง Interdependency Approach ซึ่งจะเป็นเรื่องสำคัญมากในการบริหาร และการตรวจสอบยุคใหม่ เนื่องจากระบบงานที่ประมวลผลด้วยเครื่องคอมพิวเตอร์ เกี่ยวพันต่อเนื่องกันตลอดการใช้ข้อมูลชุดเดียวกัน ความเชื่อถือได้ของระบบงานหนึ่ง ๆ ขึ้นอยู่กับความแน่นอนและครบถ้วนของระบบงานก่อน ในลักษณะนี้ข้อผิดพลาดอันหนึ่งสามารถตกทอดไปอยู่ในระบบงานต่าง ๆ ก่อให้เกิดการทำงานผิดพลาดได้ เช่น การตรวจสอบระบบบัญชีเงินฝากกระแสรายวัน ผู้ตรวจสอบต้องพิจารณาถึงระบบเงินฝากอื่น ระบบการหักบัญชี และระบบบัญชี เป็นต้น หากเป็นสถาบันการเงิน

2. งานประมวลผลด้วยคอมพิวเตอร์เป็นเพียงส่วนหนึ่งของทั้งระบบงานเท่านั้น ทั้งระบบงานจะรวมทั้งส่วนที่ประมวลผลด้วยคนและเครื่อง ปัญหาหลายอย่างที่เกี่ยวกับการประมวลผล มักสืบเนื่องจากผู้วางระบบไม่สนใจระบบงานส่วนที่ยังเป็น Manual โดยถือข้อสมมุติฐานที่ว่าข้อมูลที่รับเข้าไปถูกต้อง และไม่สนใจถึงผลของข้อมูลที่ผลิตออกไปแล้วของระบบงานนั้น ๆ ว่าจะถูกนำไปใช้อย่างไร ผู้ตรวจสอบจึงต้องประเมินทั้งระบบ และไม่ละทิ้งงานส่วนที่เป็น Manual
อย่างไรก็ตาม การที่จะใช้วิธีการตรวจสอบดังกล่าว ผู้ตรวจสอบต้องยอมรับความคิดที่ว่า งานด้านคอมพิวเตอร์ไม่สามารถตรวจสอบได้ โดยไม่มีความเข้าใจผลกระทบต่าง ๆ ที่มีต่อระบบงานของกิจการนั้น ผู้ตรวจสอบจะต้องชี้แจงให้ผู้ที่เกี่ยวข้องในระบบต่าง ๆ ของกิจการ เห็นความจำเป็นในการสร้างระบบควบคุม ซึ่งควรจะเริ่มจากผู้บริหาร ที่จะกำหนดให้ใครรับผิดชอบการทำเอกสารเกี่ยวกับระบบควบคุม ในลักษณะสร้างมาตรฐาน หรือตัวแทนของการควบคุมที่ควรจะมีอยู่ในที่ต่าง ๆ ของกิจการนั้น ซึ่งผู้ตรวจสอบในระยะเริ่มแรกมักจะต้องเป็นผู้จัดทำ ซึ่งต้องใช้เวลามากเกินกว่าครึ่งหนึ่งของเวลาการตรวจสอบ แต่ก็เป็นงานสำคัญในการตรวจสอบ แทนที่จะมุ่งใช้เวลาตรวจสอบระบบการควบคุมที่กิจการกำลังใช้อยู่ โดยประมวลจากเอกสารและการสอบถาม แล้วประเมินไปตามความเห็นของผู้ตรวจสอบ โดยไม่คำนึงถึงความเห็นของผู้เกี่ยวข้องเช่นที่ปฏิบัติกันอยู่ในปัจจุบัน

ในระยะยาวมาตรฐานและการควบคุมต่าง ๆ จะต้องมีการพัฒนา และใช้โดยเจ้าของงาน เจ้าหน้าที่ IT และผู้บริหาร ซึ่งมีหน้าที่โดยตรง บทบาทของผู้ตรวจสอบก็ควรอยู่ในลักษณะกระตุ้นเตือนผู้บริหาร เจ้าของาน และเจ้าหน้าที่ IT เกี่ยวกับการควบคุมในจุดที่ต้องปรับปรุง และทำหน้าที่ตรวจและประเมินผลการควบคุมต่าง ๆ อย่างแท้จริงได้

 

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม

ท่านผู้อ่านที่ได้ติดตามการนำเสนอของผมในเรื่องที่เกี่ยวข้องกับ CG ที่มีความสัมพันธ์อย่างแยกกันไม่ได้กับ ITG และ GRC ซึ่งเป็น Statement ใหม่ และเป็นภาพใหญ่ที่นำไปสู่การบริหารแบบหลอมรวมเป็นหนึ่งเดียว แบบบูรณาการ ที่เกี่ยวข้องกับการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO – ERM) ซึ่งโยงใยกับการควบคุมภายในตามฐานความเสี่ยง (Internal Control) และสัมพันธ์กับการตรวจสอบภายในตามฐานความเสี่ยง (RBIA – Risk- Based Internal Audit Approach) ตามรูปซึ่งเคยนำเสนอมาแล้ว และท่านสามารถเข้าใจได้ง่ายดังนี้

จากแผนภาพใหญ่ของ CG และองค์ประกอบโดยรวมที่เกี่ยวข้อง ซึ่งอาจแยกอธิบายได้อีกมากมาย ในปัจจัยที่เกี่ยวข้องในแต่ละองค์ประกอบนั้น ผมใคร่ขออนุญาตที่จะกล่าวว่า ท่านผู้อ่านได้เข้าใจภาพโดยรวมและองค์ประกอบที่เกี่ยวข้องได้ดีแล้ว

ณ ที่นี้ ผมจึงจะนำเสนออธิบายเรื่องที่เกี่ยวข้องกับภาพใหญ่ หรือร่มใหญ่ที่สุด นั่นก็คือ CG ในรูปแบบของการอธิบายด้วยแผนภาพล้วน ๆ โดยไม่อธิบายเป็นลายลักษณ์อักษร หรือคำพูดอย่างที่เคยเป็นมา หรือนำเสนอมาแล้วอีก หากท่านผู้อ่านดูภาพพร้อม ๆ กับการใช้ความคิดอย่างเป็นกระบวนการ และอ่านที่ละขั้นทีละตอนในแต่ละกรอบ ในแต่ละปัจจัยที่เกี่ยวข้องและสัมพันธ์กับ CG ตามรูปแรกข้างต้นนั้น ท่านจะเข้าใจและสามารถพัฒนาการกำกับดูแลกิจการที่ดีได้อย่างสะดวก และสามารถสื่อสารไปยังผู้บริหาร และเพื่อนร่วมงาน รวมทั้งนำไปประยุกต์ใช้ ทั้งในระดับองค์กร และในระดับประเทศ และในบางกรณี สามารถก้าวไปสู่การบริหาร CG ในระดับสากล ที่เป็นภาพในระดับ Global ได้ด้วย เช่น กรณีโลกร้อน กรณีโรคระบาด กรณีผู้ก่อการร้าย กรณีการจัดระดับความน่าเชื่อถือของประเทศ กรณีการจัดระดับการก่อการร้าย กรณีการจัดระดับความสามารถในการแข่งขันระหว่างประเทศ กรณีความโปร่งใส ++

ซึ่งทั้งหมดดังกล่าวนั้น หากท่านผู้อ่านได้เห็นภาพดังกล่าวประกอบกับแผนภาพต่อไปนี้ ซึ่งจะนำเสนอเป็นชุด โดยผมจะอธิบายประกอบแผนภาพให้น้อยที่สุด หรือจะนำเสนอเพียงแผนภาพให้ท่านได้คิด และใช้อธิบายได้ด้วยตัวของท่านเอง เนื่องจากผมได้เล่าสู่กันฟังในส่วนที่เกี่ยวข้องในหัวข้อ CG มาพอสมควรแล้ว อีกทั้งมีหัวข้ออื่น ๆ ที่เป็นองค์ประกอบของ CG ซึ่งอยู่ในเว็บไซต์นี้ให้ท่านได้ติดตามและทบทวนเมื่อต้องการอยู่แล้ว

เชิญท่านติดตามแผนภาพโดยรวมดังต่อไปนี้เลยนะครับ

 

หากองค์กรหรือประเทศไม่ได้กำหนดวิสัยทัศน์ / ทิศทาง ที่ต้องการก้าวเดิน เพื่อความสำเร็จในอนาคต องค์กรจะกำหนดกลยุทธ์และแผนการดำเนินงานอย่างไร ติดตามตรวจสอบได้อย่างไร (ต่อ)

หากองค์กรของเราขาดวิสัยทัศน์ หรือเป้าหมายในระยะยาว ที่จะพาองค์กรไปสู่ความสำเร็จตามที่ตั้งใจไว้ และหากองค์กรไม่กำหนดพันธกิจ กลยุทธ์ นโยบาย แผนการดำเนินงานที่จะก้าวไปสู่เป้าประสงค์หลักในอนาคต ผู้บริหารในองค์กรนั้น คณะกรรมการในองค์กรนั้น จะมีกระบวนการติดตามผลการดำเนินงานในแต่ละเดือน ในแต่ละไตรมาส และในแต่ละปีอย่างไร องค์กรจะกำหนดความสำเร็จ หรือปรับปรุงแก้ไข เพื่อก้าวไปสู่ความสำเร็จนั้นอย่างไร หากไม่มีตัวชี้วัดที่ชัดเจน เนื่องจากการขาดพันธกิจ และวิสัยทัศน์ที่ชัดเจน ซึ่งเปรียบเสมือนเข็มทิศที่กำหนดทิศทางในการก้าวเดินขององค์กร

ประเทศ ก็เปรียบเสมือนองค์กรขนาดใหญ่ ที่จำเป็นจะต้องมีแนวทาง และหลักการบริหารที่ต้องไม่ต่ำกว่า หลักการบริหารและการจัดการที่ดีขององค์กรโดยทั่วไป แต่มีปัญหาและความท้าทายที่มากกว่า ในเรื่องการบูรณาการ การบริหารและการจัดการในภาพโดยรวมของประเทศ เพื่อก้าวไปสู่วิสัยทัศน์ โดยต้องมีการกำหนดทิศทางที่ถูกต้องและเหมาะสม

จากภาพที่ผมนำเสนอในเรื่องความเข้มแข็งในการบริหารองค์กร และประเทศแบบบูรณาการในครั้งที่แล้ว ความสำเร็จของการบริหารประเทศความจะมีกรอบการบริหาร และการจัดการ ในลักษณะหลอมรวมเป้าประสงค์หลักของประเทศ และถ่ายทอดลงไปเป็นเป้าหมายรอง ๆ ให้กับหน่วยงานต่าง ๆ ไปดำเนินงานในเรื่องต่อไป โดยมีการสื่อสารให้ผู้บริหารทุกหน่วยงานของรัฐ รวมทั้งเอกชน ได้ทราบเป้าประสงค์ของประเทศให้ชัดเจน ทางด้านเศรษฐกิจ การเงิน ความมั่นคงทางด้านการทหาร การลงทุน +++

ปัจจุบันนี้ ผมยังไม่ได้รับการสื่อสารหรือผมยังไม่ได้รับทราบว่า ประเทศไทยของเรามีวิสัยทัศน์ในการบริหาร และขับเคลื่อนประเทศอย่างไร การบริหารทรัพยากรของชาติ เพื่อขับเคลื่อนทิศทางของประเทศ จึงน่าจะขาดความสอดคล้องกันเป็นอย่างมากได้ โดยเฉพาะอย่างยิ่ง ในเรื่องที่เกี่ยวข้องกับความมั่นคงทางด้านการเมือง เศรษฐกิจ และสังคม ตามสถานการณ์ที่เป็นอยู่ในปัจจุบัน

สำหรับการขับเคลื่อนเศรษฐกิจ และการลงทุน ก็เป็นหน้าที่ส่วนหนึ่งของสภาพัฒนาเศรษฐกิจแห่งชาติ แต่กรอบการพัฒนาของประเทศ ภายใต้วิสัยทัศน์ที่ควรจะมีของประเทศไทยนั้น มีภาระที่กว้างขวางกว่านี้มากนัก ผมจึงเข้าใจในเบื้องต้นว่า เรายังขาดหน่วยงานหรือผู้กำกับ หรือผู้กำหนดทิศทางของประเทศ ซึ่งหน้าที่นี้น่าจะได้กับรัฐบาล ซึ่งเปรียบได้กับผู้นำนาวาหรือกัปตันเรือ ที่จะพาเรือหรือประเทศไทยไปสู่ทิศทางหรือเป้าหมายที่ต้องการ โดยมีเครื่องมือและองค์ประกอบต่าง ๆ ที่เหมาะสมและสอดคล้องกัน

ดังนั้น ผู้นำของประเทศที่มีวิสัยทัศน์ และกำหนดวิสัยทัศน์ที่เหมาะสม ซึ่งเปรียบเสมือนเป็นการปักธง หรือกำหนดทิศทางการจัดการของประเทศโดยรวม ควรจะเป็นผู้ดำเนินการในเรื่องนี้

อย่างไรก็ดี ความเป็นรูปธรรมในการจัดการ และดำเนินการเพื่อให้เป็นไปตามวิสัยทัศน์ของประเทศ หากมีการกำหนดขึ้นในอนาคต หน่วยงานที่ควรดำเนินการในภาคปฏิบัติ ในการถ่ายทอดวิสัยทัศน์ เป็นพันธกิจ กำหนดกลยุทธ์ และแนวการปฏิบัติให้เป็นไปตามกลยุทธ์ในมุมมองต่าง ๆ เช่น มุมมองทางด้านเศรษฐกิจการเงิน มุมมองทางด้านความมั่นคงของชาติ มุมมองในแง่กระบวนการปฏิบัติ และมุมมองในแง่ความพึงพอใจของผู้มีผลประโยชน์ร่วม ควรจะมีการบริหารและการจัดการแบบบูรณาการ ที่อาจจะประยุกต์ตามหลักการ GRC – Governance + Risk Management + Compliance ซึ่งผมจะได้ออกความเห็นในเรื่อง GRC และมุมมองของการจัดการในลักษณะการขับเคลื่อนการบริหารแบบบูรณาการที่เป็นหนึ่งเดียวขององค์กร (Integrated Performance Management หรือ Integrity – Driven Performance) ซึ่งอาจนำมาประยุกต์ใช้ในระดับประเทศได้ในบางมุมมอง ซึ่งท่านอาจจะติดตามได้จาก CG & ITG + GRC ต่อไปนะครับ

ตั้งใจจะจบตั้งแต่วรรคที่แล้วครับ แต่ขอแถมนิดนึงให้เป็นข้อคิดว่า ประเทศไทยเราในอดีต เมเปิลครอฟต์จัดอันดับให้เป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบ ในอันดับที่ 20 กว่า ๆ เมื่อปี 2551 ถูกจัดอยู่ในอันดับที่ 11 เมื่อปี 2552 ถูกจัดอันดับให้อยู่ในอันดับที่ 9 นับว่าเป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบของโลก

แล้วผู้บริหารของประเทศเรา ในด้านต่าง ๆ ในระดับรัฐบาล รวมทั้งทางด้านความมั่นคงคิดอย่างไรบ้างครับ เกี่ยวกับข่าวสารที่มาจากต่างประเทศชิ้นนี้ มีการติดตามเรื่องนี้กันอย่างไร มีการกำหนดวิสัยทัศน์ พันธกิจ แผนกลยุทธ์ที่เกี่ยวข้องกับการยอมรับความเสี่ยง หรือกำหนดระดับความเสี่ยงว่า ประเทศไทยของเราจะถูกจัดอันดับให้เป็นประเทศที่มีโอกาสเกิดการก่อความไม่สงบ อันดับที่เท่าไหร่ของโลกจึงจะยอมรับไม่ได้ เพราะเรื่องนี้เป็นเรื่องใหญ่ และกระทบกระเทือนถึงความมั่นคงของประเทศ กระทบกระเทือนต่อความมั่งคงทางเศรษฐกิจ กระทบกระเทือนต่อการลงทุน กระทบต่อการท่องเที่ยว และการพัฒนาในทุกด้าน ++

ผมไม่สบายใจเป็นอย่างยิ่ง และกำลังเป็นห่วงมากว่า ในกรณีที่ประเทศไทยเรายังขาดกระบวนการพัฒนาทางความคิดอย่างเป็นระบบ ยังขาดความเข้าใจในหลักการบริหารความเสี่ยง ทั้งระดับองค์กรและระดับประเทศที่น่าเชื่อถือได้อีกมาก และยังขาดวิสัยทัศน์ในแง่มุมต่าง ๆ ที่เป็นรูปธรรม ประเทศไทยในอนาคตจะเป็นเช่นไร

หากผู้บริหารในระดับประเทศ ไม่กำหนดทิศทางที่ชัดเจน ในมุมมองต่าง ๆ ของชาติ อย่างเช่น กรณีการยอมรับได้ หรือการยอมรับไม่ได้ของการถูกจัดระดับความเสี่ยงของชาติ จากสถาบันจัดอันดับประเภทนี้จากต่างชาติว่า เราควรกำหนด และ/หรือจัดการกับความเสี่ยงที่ถูกนานาชาติ มองประเทศเราว่าเป็นประเทศที่มีความเสี่ยงจากการก่อความไม่สงบ ระดับที่ 9 ของโลกนั้น เราควรจัดการลดความเสี่ยงอย่างเป็นกระบวนการอย่างไร ในทุกมุมมองของกระบวนการบริหาร เพื่อลดระดับความเสี่ยงจากที่ได้เพิ่มตลอดมาในช่วง 3-4 ปีที่ผ่านมา โดยอาจกำหนด และมีกระบวนการจัดการที่ชัดเจนว่า ประเทศไทยไม่ควรยอมรับระดับความเสี่ยงประเภทนี้ หรือถูกจัดอันดับให้เป็นประเทศที่มีความเสี่ยงในการก่อความไม่สงบที่สูงเกินกว่าระดับที่ 20 ของโลก (นั่นคือ อันดับที่ 1-19 เป็นความเสี่ยงที่ประเทศไทยยอมรับไม่ได้ ซึ่งต้องมีกระบวนการบริหารการจัดการที่ดีตามมาในทุกมุมมองตามหลักการของ GRC

 

แพทริก พี. เกลซิงเกอร์ รองประธานอาวุโส และหัวหน้าฝ่ายเทคโนโลยี บริษัทอินเทลคอร์เปอเรชั่น (ซีทีโอ) ผู้ผลิตชิปคอมพิวเตอร์ยักษ์ใหญ่ของโลก กับบทเรียนเรื่องการศึกษาและการพัฒนาความคิด เพื่อความมั่นคงของชาติ

ในครั้งที่แล้ว ผมได้พูดถึงเรื่องของ นายมาร์ค ซัคเคอร์เบิร์ก ผู้ก่อตั้ง Facebook.com ที่โด่งดังกับบทเรียนเรื่องการศึกษา โดยเล่าว่า Mr. Mark Elliot Zuckerberg อายุ 26 ปี ได้ลาออกจากมหาวิทยาลัยฮาวาร์ด ทั้ง ๆ ที่เรียนไม่จบ แต่มีจิตนาการและความคิดที่สามารถสร้าง Facebook.com เป็นที่โด่งดังทั่วโลก และมีคนเข้าเว็บไซต์มากเป็นอันดับ 2 ของโลก และมีความร่ำรวย โดยมีเงินประมาณ 76,000 ล้านบาท ภายหลังก่อตั้ง Facebook.com มาประมาณ 6 ปี

เช่นเดียวกับกรณี นาย แพทริก พี. เกลซิงเกอร์ ซึ่งเริ่มทำงานกับอินเทล ตั้งแต่อายุ 18 ปี เขามีลักษณะเด่น คือ ฉลาด ทรนง และเชื่อมั่น รู้ตัวว่าตัวเองต้องการอะไร มีเป้าหมาย ขยัน และเก่งคอมพิวเตอร์ เขาเรียนหนังสือระดับปริญญาตรี ควบคู่ไปกับการทำงานที่อินเทลนี้ด้วย และต่อมาเขาก็เรียนจบปริญญาโท และปริญญาเอกที่มหาวิทยาลัยสแตนฟอร์ด โดยบริษัทอินเทล ไม่ยอมให้เขาลาออก แต่ให้เขาเรียนไปด้วยทำงานไปด้วยจนจบ และสัญญาว่าเขาจะได้รับสิ่งคุ้มค่า หากเขายังอยู่กับอินเทล

ทุกอย่างเป็นไปตามที่บริษัทอินเทลได้บอกไว้กับนายแพท โดยแพทได้รับตำแหน่งผู้จัดการที่คิดค้นชิปคอมพิวเตอร์ รุ่น 486 และยิ่งกว่านั้น ในวัยเพียง 32 ปี เขาก็ได้รับตำแหน่งรองประธาน ของบริษัทอินเทลคอร์เปอเรชั่น (ซีทีโอ) ที่อายุน้อยที่สุด ทุกวันนี้นายแพทเป็นคนหนึ่งที่ทรงอิทธิพลที่สุดในอินเทล ความสำเร็จที่สำคัญยิ่งที่นายแพทได้เล่าให้ฟังก็คือ เขาได้ตัดสินใจเชื่อศรัทธาในพระคริสต์ เมื่ออายุ 18 ปี

บทเรียนจากเรื่องจริงข้างต้นนี้ นอกเหนือจากที่กล่าวในวรรคต้นแล้วก็คือ นายแพท เป็นผู้ที่มีวิสัยทัศน์ ที่เกิดจากจิตวิญญาณที่มีความเข้มแข็ง ซึ่งส่งผลต่อการมีจิตนาการที่ดี ที่ถูกต้อง และผลักดันให้เกิดความคิด และพฤติกรรมในการดำเนินการตามที่เขาตั้งใจไว้ จนเขาประสบความสำเร็จ ทั้งด้านหน้าที่การงาน ความมั่นคงทางการเงิน และความสำเร็จทางด้านครอบครัว เพราะลินดา ภรรยาของเขา ซึ่งแพทย์เคยบอกว่า มีความผิดปกติในการมีบุตรในตอนแรก สามารถมีบุตรให้กับเขาได้ถึง 4 คนในเวลาต่อมา

Lesson – Learned ดังกล่าว ท่านคิดว่ามาจากโชคชะตา หรือมาจากศรัทธาจากความเชื่อที่ถูกต้อง และส่งผลไปยังความคิด และจิตนาการ รวมทั้งการตัดสินใจที่ถูกต้อง

ดังนั้น หากเราต้องการก้าวหน้า เราจึงต้องกล้าคิด และพัฒนาทางความคิดอย่างเป็นกระบวนการ ตั้งแต่ในวัยเยาว์ ถึงแม้ท่านผ่านวัยเยาว์มาแล้ว ท่านก็สามารถนำกรณีศึกษาของ นายแพท และนายมาร์ค ซัคเกอร์เบิร์ก และนายบิล เกตต์ ซึ่งเป็นตำนานของความสำเร็จจากการสร้างจิตนาการ และความสำเร็จจากความคิดที่เป็นระบบเป็นสำคัญ

ตั้งใจจะจบตั้งแต่วรรคที่แล้วครับ แต่ขอแถมนิดนึงให้เป็นข้อคิดว่า ประเทศไทยเราในอดีต เมเปิลครอฟต์จัดอันดับให้เป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบ ในอันดับที่ 20 กว่า ๆ เมื่อปี 2551 ถูกจัดอยู่ในอันดับที่ 11 เมื่อปี 2552 ถูกจัดอันดับให้อยู่ในอันดับที่ 9 นับว่าเป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบของโลก

แล้วผู้บริหารของประเทศเรา ในด้านต่าง ๆ ในระดับรัฐบาล รวมทั้งทางด้านความมั่นคงคิดอย่างไรบ้างครับ เกี่ยวกับข่าวสารที่มาจากต่างประเทศชิ้นนี้ มีการติดตามเรื่องนี้กันอย่างไร มีการกำหนดวิสัยทัศน์ พันธกิจ แผนกลยุทธ์ที่เกี่ยวข้องกับการยอมรับความเสี่ยง หรือกำหนดระดับความเสี่ยงว่า ประเทศไทยของเราจะถูกจัดอันดับให้เป็นประเทศที่มีโอกาสเกิดการก่อความไม่สงบ อันดับที่เท่าไหร่ของโลกจึงจะยอมรับไม่ได้ เพราะเรื่องนี้เป็นเรื่องใหญ่ และกระทบกระเทือนถึงความมั่นคงของประเทศ กระทบกระเทือนต่อความมั่งคงทางเศรษฐกิจ กระทบกระเทือนต่อการลงทุน กระทบต่อการท่องเที่ยว และการพัฒนาในทุกด้าน ++

ผมไม่สบายใจเป็นอย่างยิ่ง และกำลังเป็นห่วงมากว่า ในกรณีที่ประเทศไทยเรายังขาดกระบวนการพัฒนาทางความคิดอย่างเป็นระบบ ยังขาดความเข้าใจในหลักการบริหารความเสี่ยง ทั้งระดับองค์กรและระดับประเทศที่น่าเชื่อถือได้อีกมาก และยังขาดวิสัยทัศน์ในแง่มุมต่าง ๆ ที่เป็นรูปธรรม ประเทศไทยในอนาคตจะเป็นเช่นไร

หากผู้บริหารในระดับประเทศ ไม่กำหนดทิศทางที่ชัดเจน ในมุมมองต่าง ๆ ของชาติ อย่างเช่น กรณีการยอมรับได้ หรือการยอมรับไม่ได้ของการถูกจัดระดับความเสี่ยงของชาติ จากสถาบันจัดอันดับประเภทนี้จากต่างชาติว่า เราควรกำหนด และ/หรือจัดการกับความเสี่ยงที่ถูกนานาชาติ มองประเทศเราว่าเป็นประเทศที่มีความเสี่ยงจากการก่อความไม่สงบ ระดับที่ 9 ของโลกนั้น เราควรจัดการลดความเสี่ยงอย่างเป็นกระบวนการอย่างไร ในทุกมุมมองของกระบวนการบริหาร เพื่อลดระดับความเสี่ยงจากที่ได้เพิ่มตลอดมาในช่วง 3-4 ปีที่ผ่านมา โดยอาจกำหนด และมีกระบวนการจัดการที่ชัดเจนว่า ประเทศไทยไม่ควรยอมรับระดับความเสี่ยงประเภทนี้ หรือถูกจัดอันดับให้เป็นประเทศที่มีความเสี่ยงในการก่อความไม่สงบที่สูงเกินกว่าระดับที่ 20 ของโลก (นั่นคือ อันดับที่ 1-19 เป็นความเสี่ยงที่ประเทศไทยยอมรับไม่ได้ ซึ่งต้องมีกระบวนการบริหารการจัดการที่ดีตามมาในทุกมุมมองตามหลักการของ GRC

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

หลังจากได้ทราบถึงบทบาทของคณะกรรมการบริหาร คณะกรรมการบริหารความเสี่ยง ผู้จัดการ ผู้ตรวจสอบภายใน รวมทั้งพนักงานทุกคนที่มีส่วนเกี่ยวข้อง ที่ทำให้การบริหารความเสี่ยงขององค์กรบรรลุเป้าประสงค์แล้ว วันนี้ผมจะพูดคุยกับท่านถึงแนวปฏิบัติสู่ความเป็นเลิศในการบริหารความเสี่ยงขององค์กรทั่วไป ซึ่งได้นำเสนอเป็นข้อ ๆ เพื่อให้กระชับ เข้าใจง่าย และสามารถใช้เป็นแนวปฏิบัติในการบริหารความเสี่ยงขององค์กรได้ต่อไป ไปติดตามกันครับว่าแนวปฏิบัตินี้จะกล่าวถึงอะไรบ้าง

แนวปฏิบัติสู่ความเป็นเลิศในการบริหารความเสี่ยงประกอบด้วย
1. การนำการบริหารความเสี่ยงมาใช้เป็นเครื่องมือทางกลยุทธ์ เพื่อช่วยสนับสนุนการบรรลุวัตถุประสงค์ขององค์กร

2. การทำให้การบริหารความเสี่ยงมีความสอดคล้องและรวมอยู่ในกระบวนการดำเนินงานที่มีอยู่ในปัจจุบันขององค์กร ทั้งนี้รวมถึงการกำหนดให้การบริหารความเสี่ยงเป็นขั้นตอนหนึ่งในการจัดทำแผนธุรกิจ การกำหนดงบประมาณ การตัดสินใจลงทุน และการบริหารโครงการ

3. การบริหารความเสี่ยงที่ครอบคลุมถึงความเสี่ยงเกี่ยวกับการปฏิบัติงานในภาพรวมและความเสี่ยงเชิงกลยุทธ์ นอกจากนี้องค์กรควรเพิ่มความสนใจต่อความเสี่ยงทั้งที่เป็นความเสียหาย ความไม่แน่นอน การเสียโอกาส ซึ่งต่างจากการบริหารความเสี่ยงแบบเดิมที่เน้นเฉพาะความเสี่ยงที่เกี่ยวกับการปฏิบัติตามกฎระเบียบเท่านั้น

4. กรรมการผู้จัดการและผู้บริหารระดับสูงต้องสนับสนุนและเน้นถึงประโยชน์ที่จะได้รับจากการบริหารความเสี่ยง รวมทั้งแสดงความรับผิดชอบและมีส่วนร่วมในการบริหารความเสี่ยง

5. การใช้คำนิยามเกี่ยวกับความเสี่ยงที่เป็นที่เข้าใจและใช้ร่วมในองค์กร

6. การมีกระบวนการในการบ่งชี้ วิเคราะห์ จัดการ ติดตาม และรายงานความเสี่ยง

7. องค์กรต้องมีความมุ่งมั่นและพยายามอย่างจริงจัง ในการบ่งชี้และบริหารความเปลี่ยนแปลงที่เกิดจากการนำการบริหารความเสี่ยงเข้ามาปรับใช้ภายในองค์กร

8. มีการสื่อสารให้ข้อมูลเกี่ยวกับความเสี่ยงอย่างสม่ำเสมอ โดยเน้นให้เห็นถึงความสำคัญของการบริหารความเสี่ยง ประเด็นความเสี่ยงที่ควรต้องได้รับการจัดการทันที และการปรับปรุงแผนการดำเนินงานที่จำเป็น

9. การวัดผลความเสี่ยงทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการดำเนินงาน และเชิงปริมาณ เช่น ผลขาดทุน มูลค่ารายได้ หรือค่าใช้จ่ายที่อาจเพิ่มขึ้นหรือลดลงโดยพิจารณาจาก 2 ประเด็นคือ โอกาสที่อาจเกิดขึ้น และผลกระทบ

10. การจัดให้มีการฝึกอบรมและใช้กลไกการบริหารทรัพยากรบุคคลเพื่อเผยแพร่ข้อมูลต่างๆเกี่ยวกับการบริหารความเสี่ยง ความรับผิดชอบของแต่ละบุคคล และเพื่อส่งเสริมให้เกิดการปฏิบัติที่เหมาะสม

11. การจัดให้มีหน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยง เพื่อทำหน้าที่ช่วยเหลือในการดำเนินการ การสนับสนุนการนำการบริหารความเสี่ยงมาปฏิบัติ และการพัฒนาความสามารถในการบริหารความเสี่ยงของพนักงาน แต่ไม่มีหน้าที่โดยตรงในการประเมินและจัดการความเสี่ยงที่ดีที่เกิดขึ้น

12. ผู้ตรวจสอบภายในมีบทบาทสำคัญในการสร้างความมั่นใจว่าองค์กรมีการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผลในการจัดการความเสี่ยง และในกรณีที่จำเป็น ผู้ตรวจสอบภายในควรเสนอแนะประเด็นที่ควรได้รับการปรับปรุง แต่ผู้ตรวจสอบภายในไม่มีบทบาทโดยตรงต่อการเป็นผู้นำในการพัฒนากรอบการบริหารความเสี่ยง หรือเป็นผู้บริหารความเสี่ยงโดยตรง ทั้งนี้ อาจจะถ่ายทอดการกำกับดูแลกิจการที่ดีไปสู่การบริหารความเสี่ยงอย่างเป็นระบบและเป็นขั้นตอน โดยอธิบายสั้น ๆ ด้วยแผนภาพดังนี้

สำหรับแนวปฏิบัติในการบริหารความเสี่ยงข้างต้นในวันนี้ ก็คงพูดคุยกันสั้น ๆ แต่เพียงเท่านี้ ครั้งหน้าเราไปติดตามการพัฒนาลำดับขั้นของความเสี่ยงกันครับ

 

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

สวัสดีครับ วันนี้เรามาต่อกันเรื่องแนวทางการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กันครับ ซึ่งผมจะพูดถึงแนวโน้มการเปลี่ยนแปลงของการตรวจสอบในอนาคต ติดตามต่อกันเลยครับ

วิธีการตรวจสอบเท่าที่เคยทำกันมาพอจะสรุปได้เป็น 2 ลักษณะ คือ รวบรวมเอกสารต่าง ๆ และสอบถามเกี่ยวกับการดำเนินการของหน่วยงาน และระบบงานที่ใช้คอมพิวเตอร์ แล้วประเมินความเพียงพอของการควบคุมความเสี่ยงที่มีอยู่ ซึ่งเป็นวิธีการที่ใช้เวลามากและไม่ใคร่ได้ผล หลังจากนั้น จึงทำการทดสอบความถูกต้องของการทำงานในระบบคอมพิวเตอร์ ซึ่งทำได้ทั้งวิธีไม่ใช้เครื่องคอมพิวเตอร์และใช้คอมพิวเตอร์

อย่างไรก็ตามในขณะที่เทคโนโลยีด้านนี้ ได้เปลี่ยนแปลงไปอย่างรวดเร็ว แต่งานด้านการตรวจสอบทางด้านคอมพิวเตอร์ ก็ยังขาดทั้งบุคลากรที่มีประสบการณ์ และวิธีการตรวจสอบที่ทันกับการเปลี่ยนแปลงที่เกิดขึ้น เป็นผลให้การทำงานของผู้ตรวจสอบเท่าที่ผ่านมา อยู่ในลักษณะที่ทำงานให้ลุ่ล่วงไปเป็นเรื่อง ๆ เท่านั้น ขาดการวางแผนและควบคุมที่เหมาะสมในลักษณะการตรวจสอบแบบบูรณาการ ที่ควรคำนึงถึง Risk IT และ IT Risk ที่มีผลกระทบต่อกลยุทธ์ และการบรรลุเป้าประสงค์ขององค์กรโดยรวม สภาพการณ์ดังกล่าวย่อมผลักดันให้แนวโน้มการตรวจสอบในอนาคตต้องเปลี่ยนแปลงไปจากเดิมใน 4 ลักษณะ เป็นเบื้องต้นดังนี้

1. การเปลี่ยนแปลงในตัวผู้ตรวจสอบ
ในระยะต่อไปนี้ ผู้ตรวจสอบทั่วไปที่ตรวจงานเฉพาะด้าน Manual อย่างเดียวจะค่อย ๆ หมดไป ผู้ตรวจสอบทั่วไป จะต้องเข้ามาตรวจสอบงานที่ประมวลด้วยระบบคอมพิวเตอร์มากขึ้น และในกรณีที่ผู้ตรวจสอบทางด้าน Manual มีความเข้าใจในผลกระทบทางด้าน IT Risk และ Risk IT ที่มีผลต่อ Business และการควบคุมความเสี่ยงโดยรวมอย่างจำกัด คุณภาพของงานตรวจสอบก็จะถูกจำกัดเป็นอย่างมาก และเป็นอย่างยิ่ง จนถึงระดับที่ไม่น่าจะยอมรับได้

ส่วนผู้ตรวจสอบด้าน IT จะเปลี่ยนสภาพไปในลักษณะผู้ตรวจสอบด้าน Information System และระบบงาน ซึ่งเน้นการตรวจสอบระบบงานที่ยุ่งยากซับซ้อน ผู้ตรวจสอบด้าน Information System จะต้องรู้ระบบงานที่ใช้เทคโนโลยีสูง ๆ การใช้คอมพิวเตอร์ และโปรแกรมขั้นสูง วิธีการทางสถิติ การใช้โปรแกรมการตรวจสอบ การบริหารความเสี่ยง และการควบคุมทางด้าน Risk IT และ IT Risk ด้วยวิธีการต่าง ๆ ที่จะนำมาใช้ทดสอบข้อมูลและระบบงานอย่างบูรณาการ

2. การเปลี่ยนแปลงกระบวนการตัดสินใจเกี่ยวกับเรื่องที่จะตรวจ
ในการเลือกเรื่องตรวจ ผู้ตรวจสอบจะต้องมีความรู้ความเข้าใจเกี่ยวกับเป้าหมาย และนโยบายของกิจการทั้งในปัจจุบันและอนาคต เข้าใจหน้าที่เกี่ยวกับการประมวลผล มีการติดต่อที่ดีระหว่างส่วนงานต่าง ๆ ที่เกี่ยวข้อง ควรจะมีการสะสมระบบงานต่าง ๆ และจัดลำดับตามชนิดและความสำคัญไว้ และเมื่อมีการเปลี่ยนแปลงเกิดขึ้น ควรทบทวนใหม่ ระมัดระวังการตรวจสอบเรื่องที่เกินขอบเขต ไม่ควรเสียเวลาประเมินผลการควบคุมภายในของระบบงานเก่า ที่กำลังจะมีการยกเลิกเปลี่ยนแปลงแก้ไข แต่ควรจะให้ความสนใจ วิธีการที่จะสร้างการควบคุมที่ดีที่จะนำมาใช้กับระบบงานใหม่

3. การเปลี่ยนแปลงความคิดเห็นเกี่ยวกับการควบคุมภายใน
การสร้างระบบการควบคุมภายใน ควรจะเริ่มจากระดับสูงของกิจการ แต่ผู้ตรวจสอบจะต้องเข้าใจด้วยว่า รายการต่าง ๆ เกิดขึ้นอย่างไร และผ่านขบวนการปฏิบัติอย่างไร จึงจะบรรลุผลและจุดประสงค์ตามที่คาดไว้ การดูเฉพาะจุดที่เตรียมไว้ อาจเป็นผลให้ไม่พบสิ่งที่ผิดปกติตามมาตรฐานการตรวจสอบของ AICPA ไม่ได้บังคับ ผู้ตรวจสอบจะต้องใช้ Audit Through The Computer แต่บังคับว่าผู้ตรวจสอบต้องเข้าใจระบบเพียงพอ ที่จะทำการตัดสินใจกำหนดขอบเขตการตรวจสอบที่ถูกต้องตามเหตุผลได้ นอกจากนี้การสำรวจระบบการควบคุมภายในของระบบ IT จะทำให้มั่นใจในขอบเขตการตรวจสอบที่สมบูรณ์และเข้าใจง่าย

4. การเปลี่ยนแปลงวิธีการประเมินผลการควบคุมของผู้ตรวจสอบ
เนื่องจากการพัฒนาระบบงานใหม่ ๆ ที่จะเพิ่มขึ้นอย่างรวดเร็ว และปัญหาเรื่องการขาดแคลนบุคลากรด้านนี้ จะเป็นแรงผลักดันให้จำเป็นต้องมีการคิดค้นวิธีการวิเคราะห์ และประเมินผลการควบคุม ของกิจการที่ใช้คอมพิวเตอร์ให้เป็นไปตามหลักเหตุผล และมีประสิทธิภาพมากขึ้น สามารถตอบสนองวัตถุประสงค์ในหลาย ๆ ด้าน โดยมีหลักการเป็นขั้น ๆ ดังนี้

4.1. ทำความเข้าใจกับผลกระทบของระบบคอมพิวเตอร์ในด้านต่าง ๆ
4.2. พิจารณาว่าจะทำอะไรกับระบบงานใด ต้องใช้ความพยายามในระดับไหน
4.3. ดูว่าในระบบงานนั้น ๆ มีผลเสียหายที่อาจเกิดขึ้นหรือไม่ มีระบบการควบคุมหรือไม่ และทำการประเมินการควบคุมต่าง ๆ
4.4. หยิบยกการควบคุมสำคัญ ๆ มาทำการทดสอบ
4.5. ให้มีการรวบรวม และจัดทำเอกสารประกอบการตรวจสอบอย่างมีประสิทธิภาพ และสามารถสอบทานได้
4.6. รายงานผลการตรวจสอบ ในลักษณะที่จะช่วยให้การทำงานดีขึ้นและให้ข้อแนะนำในทางสร้างสรรค์

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ ครั้งที่แล้วผมได้พูดถึงบทบาท และการกำกับดูแลการบริหารความเสี่ยงของคณะกรรมการบริหารองค์กร คณะกรรมการตรวจสอบ คณะกรรมการบริหารความเสี่ยง ผู้บริหาร ผู้ตรวจสอบภายใน รวมถึงพนักงานทุกคนในองค์กรที่ต้องมีหน้าที่ และบทบาทร่วมกัน ในการบริหารจัดการความเสี่ยงทั่วทั้งองค์กรให้เกิดประสิทธิภาพ ประสิทธิผล และบรรลุเป้าประสงค์ขององค์กร

วันนี้ผมจะมาพูดต่อถึงบทบาทและการกำกับดูแลการบริหารความเสี่ยง ซึ่งนอกเหนือจากคณะกรรมการบริหาร คณะกรรมการตรวจสอบ ผู้บริหาร และผู้ตรวจสอบภายในแล้ว บางองค์กรมีการจัดตั้งจุดประสานงานกลาง เพื่ออำนวยความสะดวกในการบริหารความเสี่ยงขององค์กร นั่นก็คือ Risk Officer

Risk Officer ในบางค์กรคือ Chief Risk Officer หรือ Risk Manager ที่ทำงานร่วมกับผู้จัดการอื่น ๆ ในการจัดตั้งการบริหารความเสี่ยงที่มีประสิทธิผลในขอบเขตที่รับผิดชอบ

หน้าที่ของ Risk Officer ประกอบด้วย
1. กำหนดนโยบายการบริหารความเสี่ยงในหน่วยงานของตน รวมทั้งกำหนดบทบาทและความรับผิดชอบ และการมีส่วนร่วมในการกำหนดเป้าหมายเพื่อนำไปปฏิบัติ
2. วางกรอบการตรวจสอบ และอำนาจหน้าที่สำหรับการบริหารความเสี่ยงขององค์กรในหน่วยงาน
3. ส่งเสริมความสามารถในการบริหารความเสี่ยงขององค์กรให้กับทุกคนในหน่วยงาน รวมทั้งอำนวยความสะดวกในการพัฒนาผู้เชี่ยวชาญทางเทคนิคในการบริหารความเสี่ยงขององค์กร และช่วยผู้จัดการวางการตอบสนองความเสี่ยงด้วย Risk Tolerances ของหน่วยงาน
4. ให้แนวทางการบูรณาการบริหารความเสี่ยงขององค์กรกับการวางแผนธุรกิจอื่น ๆ และกิจกรรมการบริหาร
5. การจัดตั้งภาษาการบริหารความเสี่ยงทั่วไป ที่รวมถึงการวัดทั่ว ๆ ไปเกี่ยวกับความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) และประเภทของความเสี่ยงทั่ว ๆ ไป
6. ดูแลการพัฒนา Risk Tolerance ของทั้งองค์กร และหน่วยธุรกิจ และทำงานร่วมกับผู้จัดการ ในการกำหนดกิจกรรมการควบคุมและข้อเสนอแนะที่จำเป็นในการปฏิบัติที่ถูกต้อง
7. อำนวยความสะดวกให้กับผู้จัดการในการพัฒนาบันทึกการรายงาน รวมถึงปริมาณและคุณภาพเบื้องต้น และการตรวจสอบกระบวนการรายงาน
8. การรายงานความคืบหน้าและหัวข้อและข้อเสนอแนะ ในการปฏิบัติที่จำเป็นต่อหัวหน้าฝ่ายบริหาร

การยอมรับในความสามารถในการบริหารความเสี่ยง
ความสามารถสะท้อนให้เห็นถึงความรู้ และทักษะที่จำเป็นสำหรับการปฏิบัติงานตามที่ได้รับมอบหมาย ฝ่ายบริหารจะตัดสินใจถึงวิธีต่าง ๆ ที่จำเป็นในการทำงานให้สำเร็จโดยการให้น้ำหนักระหว่างกลยุทธ์ และวัตถุประสงค์เทียบกับแผนในการนำกลยุทธ์ไปปฏิบัติ และการบรรลุวัตถุประสงค์ ผู้บริหารควรกำหนดระดับของความรู้ความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละงาน เช่น การจัดทำเอกสารกำหนดลักษณะงาน เป็นต้น

ความรู้และทักษะที่จำเป็นนั้นอาจขึ้นอยู่กับความฉลาด การฝึกอบรมและประสบการณ์ของแต่ละคน ปัจจัยที่ต้องพิจารณาในการพัฒนาระดับความรู้และทักษะ จะรวมถึงธรรมชาติและระดับของการตัดสิน ในการนำไปประยุกต์ใช้ในงานที่มีความเฉพาะเจาะจง ซึ่งกิจกรรมดังกล่าวจะบรรลุผลสัมฤทธิ์ได้ องค์กรทั่วไปควรกำหนดความสามารถในการบริหารความเสี่ยงในแต่ละตำแหน่งไว้อย่างเหมาะสม

วิธีการมอบอำนาจและความรับผิดชอบ
การมอบอำนาจและความรับผิดชอบ มีความสัมพันธ์กับระดับที่แต่ละบุคคลและทีมงานได้รับมอบหมายอำนาจ และการส่งเสริมให้ใช้ความคิดริเริ่มในประเด็นต่าง ๆ และการแก้ปัญหา และการขอบเขตของอำนาจ

ประเด็นที่สำคัญในการมอบหมายอำนาจก็คือ ต้องการให้บรรลุวัตถุประสงค์ นั่นหมายถึง ต้องแน่ใจว่าการยอมรับความเสี่ยงนั้นมีพื้นฐานมาจากวิธีการในการระบุความเสี่ยง ประเมินความเสี่ยง รวมถึงขนาดและการให้น้ำหนักของการสูญเสีย เทียบกับประโยชน์ที่ได้รับในระดับการตัดสินใจทางธุรกิจที่ดี

อีกประการหนึ่งคือ ทำให้แน่ใจว่าทุกคนเข้าใจวัตถุประสงค์ขององค์กร และประโยชน์ที่ทุกคนรู้วิธีการในการปฏิบัติเพื่อให้บรรลุวัตถุประสงค์
บางครั้งการเพิ่มการมอบอำนาจ อาจขึ้นอยู่กับโครงสร้างขององค์กรว่าเป็นแบบแนวดิ่งหรือแนวราบ การเปลี่ยนแปลงโครงสร้างต้องสนับสนุนให้เกิดความคิดสร้างสรรค์ การริเริ่มและการตอบสนองการแข่งขัน และความพึงพอใจของผู้มีผลประโยชน์ร่วมอย่างรวดเร็ว

การเพิ่มการมอบอำนาจอาจต้องใช้ความสามารถของพนักงานในระดับที่สูงขึ้น และต้องสามารถตรวจสอบได้มากขึ้น และต้องมีวิธีการที่มีประสิทธิภาพ เพื่อให้ฝ่ายบริหารสามารติดตามผลเพื่อการตัดสินใจเท่าที่จำเป็น

นโยบายบริหารงานด้านทรัพยากรมนุษย์
บุคลากรเป็นปัจจัยสำคัญและมีอิทธิพลต่อการปฏิบัติงานทุกด้าน รวมทั้งการควบคุมภายใน ดังนั้น ผู้บริหารควรมีการกำหนดนโยบาย และวิธีปฏิบัติที่กำหนดในส่วนที่เกี่ยวข้องกับการบริหารทรัพยากรมนุษย์ที่ชัดเจน ด้านการคัดเลือก การปฐมนิเทศ การฝึกอบรม การประเมินผล การให้คำปรึกษา การเลื่อนตำแหน่ง การบริหารค่าตอบแทน เป็นต้น

การจ้างงานควรมีมาตรฐาน โดยพิจารณาจากพื้นฐานทางการศึกษา ประสบการณ์การทำงาน ความสำเร็จที่ผ่านมาและพฤติกรรมด้านจริยธรรมและความซื่อสัตย์ การแสดงให้เห็นว่าเป็นบุคคลที่มีความผูกพันต่อองค์กร และมีความน่าเชื่อถือได้ วิธีการในการสรรหาจะประกอบด้วยการสัมภาษณ์ที่เป็นทางการ การสัมภาษณ์เชิงลึก และข้อมูลและการแสดงออกที่สามารถมองเห็นได้จากองค์กรเดิม วัฒนธรรมและรูปแบบการปฏิบัติงาน

นโยบายการฝึกอบรมมีอิทธิพลต่อระดับการปฏิบัติงานและพฤติกรรมที่คาดหวังไว้ โดยการสื่อสารบทบาทและความรับผิดชอบที่คาดหวังไว้ และการดำเนินงานเหมือนโรงเรียนฝึกอบรมและสัมมนา แบบฝึกหัดที่เป็นกรณีศึกษาให้ปฏิบัติและการแสดงบทบาทสมมติ

การโยกย้ายและการเลื่อนตำแหน่ง ต้องเกิดจากการประเมินผลการปฏิบัติที่สะท้อนให้เห็นถึงความผูกพันขององค์กรต่อพนักงานที่มีคุณภาพสูง
โปรแกรมการจ่ายค่าตอบแทนที่ใช้ในการแข่งขันจะประกอบด้วยการจ่ายโบนัสจูงใจ เพื่อตอบสนองและจูงใจผู้ที่มีผลการปฏิบัติงานที่ดีเลิศ โดยเฉพาะอย่างยิ่ง มีการจ่ายผลตอบแทนกับค่าความสำเร็จของการบริหารความเสี่ยง

ในครั้งหน้า ผมจะบอกถึงแนวทางปฏิบัติสู่ความเป็นเลิศในการบริหารความเสี่ยงขององค์กรทั่วไป อย่าพลาดติดตามนะครับ

 

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น

วันนี้ ผมจะได้กล่าวถึง แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น ทั้งนี้เพราะ มีท่านผู้อ่านที่ติดตามเรื่อง IT Audit และ Non – IT Audit บางท่านได้โทรศัพท์ หรือ e-mail มาคุยกับผมว่า เรื่องราวกำลังน่าสนใจมาก แต่ก็เริ่มสับสนที่จะทำความเข้าใจในภาพโดยรวม ที่เกี่ยวข้องกับ IT Audit และการนำไปอธิบายต่อให้กับเพื่อนร่วมงาน เนื่องจากผมได้เริ่มอธิบายแบบผสมผสานในมุมมองต่าง ๆ ของการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ในลักษณะของ Top Down บ้าง ในลักษณะของ Bottom Up บ้าง

โดยเฉพาะอย่างยิ่ง ผมได้นำหลักการบริหารยุคใหม่ที่เกี่ยวข้องกับ GRC – Governance Risk Management ที่สร้าง Integrated – Driven Performance และนำภาพของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการ COSO – ERM มาผสมผสานกับ CobiT โดยเชื่อมโยงกับกระบวนการบริหารการจัดการที่ดี ในมุมมองต่าง ๆ รวมทั้ง วิธีการนำเสนอในการจัดทำแผนการตรวจสอบในหลายลักษณะ ซึ่งขึ้นกับเป้าประสงค์ของการตรวจสอบ และขอบเขตการตรวจสอบ รวมทั้งศักยภาพของทรัพยากรขององค์กรที่มีความแตกต่างกัน

ถึงแม้จะมีการยกตัวอย่าง การตรวจสอบในบางลักษณะที่ใช้คอมพิวเตอร์ด้วยกัน แต่กระบวนการทำงานในการประมวลผลข้อมูลแตกต่างกัน รูปแบบหลักฐานการตรวจสอบที่ไม่เหมือนกัน วิธีการตรวจสอบยังแตกต่างกันมาก เป็นต้นนั้น ทำให้ท่านผู้อ่านที่ถูกดึงเข้ามาให้เข้าใจในภาพการบริหารองค์กรยุคใหม่โดยรวมที่แยกกันได้ยาก ระหว่างการตรวจสอบทางด้าน IT และ Non – IT Audit เพื่อก้าวไปสู่การประเมินผลกระทบของความเสี่ยงในระดับต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลต่อ COSO – ERM เพื่อการบรรลุวัตถุประสงค์ของธุรกิจในมุมมองต่าง ๆ

ก่อนที่ผมจะอธิบายในเชิงลึกต่อไป ผมจึงใคร่ขอย้อนกลับไปในมุมมองเบื้องต้นของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ บางมุมมอง เพื่อทบทวนความเข้าใจของท่านผู้อ่านในวันนี้ ดังนี้ครับ…

การนำคอมพิวเตอร์มาใช้อย่างแพร่หลายของกิจการต่าง ๆ ในปัจจุบันได้ก่อให้เกิดผลกระทบในด้านต่าง ๆ ซึ่งรวมทั้งงานตรวจสอบองค์กรที่ระบบงานต่าง ๆ ประมวลผลด้วยคอมพิวเตอร์ ผู้ตรวจสอบจึงควรได้ทราบถึงวิวัฒนาการของการตรวจสอบกิจการที่นำคอมพิวเตอร์มาใช้ในงานด้านต่าง ๆ การเปลี่ยนแปลงวัตถุประสงค์ ขอบเขต และแนวการตรวจสอบ ตั้งแต่อดีตจนถึงปัจจุบันที่เกิดขึ้นแล้วแนวโน้มการเปลี่ยนแปลงในอนาคต และแนวความคิดในการพัฒนาการตรวจสอบ ให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยีที่เป็นไปอย่างรวดเร็ว และแนวความคิดในการพิจารณาความเสี่ยงเพื่อการเข้าถึงจุดควบคุมหลักต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk (ซึ่งมีความหมายแตกต่างกัน) ที่มีผลต่อ Business Risk ในมุมมองต่าง ๆ จะมีประโยชน์ในการวางแผนและการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ประมวลข้อมูล

ผู้ตรวจสอบกับการเปลี่ยนแปลงทางเทคโนโลยีที่เกี่ยวกับการบันทึกข้อมูล
ในฐานะผู้ตรวจสอบเมื่อมีการเปลี่ยนแปลงใหม่ ๆ เกิดขึ้น ย่อมรู้สึกว่ามีปัญหา เช่น เดิมมนุษย์เคยบันทึกข้อมูลไว้บนก้อนหิน เมื่อต่อ ๆ มารู้จักทำกระดาษ รู้จักเย็บเป็นเล่ม รู้จักทำเป็นแผ่น Ledger Card หรือแบบฟอร์มต่าง ๆ ก็บันทึกข้อมูลบนสิ่งเหล่านี้แทน ในปัจจุบันเราสามารถบันทึกข้อมูลบนสื่อข้อมูลต่าง ๆ เช่น Magnetic Tap, Magnetic Disk, Floppy Disk ฯลฯ

ทุกครั้งที่มีการเปลี่ยนแปลงก็เกิดข้อสงสัยเกี่ยวกับความเชื่อถือในวิธีการบันทึกแบบใหม่ ๆ ทั้งในเรื่องการรักษาความลับของข้อมูล และความปลอดภัยของสื่อข้อมูล แม้จะถูกคัดค้านในระยะแรก ๆ แม้กระทั่งในปัจจุบัน สำหรับในบางองค์กร แต่การค้นพบเหล่านั้นก็ทำให้วิทยาการและธุรกิจเจริญก้าวหน้าขึ้น ซึ่งอาจสรุปได้ว่า การพัฒนาการตรวจสอบและการตรวจสอบด้านคอมพิวเตอร์ เป็นเรื่องจำเป็นอย่างยิ่งยวดในทุกองค์กร ทั้งในปัจจุบันและในอนาคต

วิชาชีพตรวจสอบก็ถูกผลักดันให้ต้องคิดค้นวิธีการตรวจสอบใหม่ ๆ ที่จะมาประเมิน และทดสอบความถูกต้องของระบบงาน และความเชื่อถือได้ของข้อมูลที่เปลี่ยนแปลงไปตามเทคโนโลยีใหม่ ๆ จึงจำเป็นที่ผู้ตรวจสอบจะต้องติดตามและศึกษาวิธีการตรวจสอบใหม่ ๆ เพื่อทดแทนวิธีการตรวจสอบบางอย่างที่ใช้อยู่เดิม ซึ่งไม่เหมาะสมกับเทคโนโลยีและสภาพแวดล้อมที่มีวิวัฒนาการทางด้านการพัฒนาเทคโนโลยีอย่างรวดเร็วในปัจจุบัน

สภาพการตรวจสอบด้าน IT ในปัจจุบัน
ผู้ตรวจสอบส่วนใหญ่ยังต้องการเพิ่มประสบการณ์ในการตรวจสอบงานที่ประมวลผลด้วยคอมพิวเตอร์มากขึ้น เมื่อเทียบกับระบบงานที่ยุ่งยากซับซ้อนในปัจจุบัน การฝึกอบรมผู้ที่จะมาทำงานด้านนี้มีปัญหาหลายประการ การตรวจสอบที่ทำกันอยู่ในปัจจุบันยังใช้ขอบเขต ทิศทาง และวิธีการที่น่าจะปรับปรุงได้ในหลายประการ เช่น การใช้คอมพิวเตอร์เป็นเครื่องมือช่วยในการตรวจสอบ และการกำหนดแนวทางการตรวจสอบจากความเข้าใจในระบบงานที่ประมวลผลโดยคอมพิวเตอร์ และเทคโนโลยีคอมพิวเตอร์ เช่น Terminal, Offline, Online, Communications, Storage Media, Programming, Database, System ต่าง ๆและการฝังระบบการควบคุม (Embedded) ไว้ในระบบงานอย่างอัตโนมัติตาม Logic ของการบริหารความเสี่ยงทั่วทั้งองค์กร เป็นต้น

สรุปปัญหาที่ได้เกิดขึ้นแล้ว
1. เทคโนโลยีด้านคอมพิวเตอร์ได้พัฒนาเร็วกว่าพัฒนาการทางด้านการตรวจสอบ และการสร้างระบบควบคุม ทั้งที่ผู้ตรวจสอบพยายามชี้ให้ผู้บริหารของกิจการต่าง ๆ เข้ามามีบทบาทในเรื่องการควบคุม แต่ก็ไม่เข้าไปช่วยเหลือในการสร้างระบบควบคุมอย่างจริงจัง ข้อแนะนำต่าง ๆ จากการตรวจสอบ มักจะไม่ได้คำนึงถึงความเห็นของผู้ปฏิบัติงานด้านต่าง ๆ
2. กิจการต่าง ๆ เปลี่ยนไปใช้ระบบงานใหม่ ๆ ที่ยุ่งยากซับซ้อน
3. การตรวจสอบด้านนี้ได้รับความสนใจอย่างจำกัด โดยเฉพาะอย่างยิ่งผู้บริหารระดับสูงที่มีระดับความเข้าใจ และการสนับสนุนที่แตกต่างกันมาก
4. ยังขาดบุคลากรที่มีความรู้และประสบการณ์ด้านนี้
5. ยังขาดวิธีการตรวจสอบที่จะทันกับการเปลี่ยนแปลงที่เกิดขึ้น
6. การตรวจสอบยังขาดการวางแผน และการควบคุมตามฐานความเสี่ยงที่ดี
7. ยังขาดการประสานงานที่ดีระหว่างผู้บริหาร เจ้าของงาน เจ้าหน้าที่ IT และผู้ตรวจสอบ

 

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับ สำหรับเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 ในวันนี้ก็จะเป็นหัวข้อสุดท้ายแล้วนะครับ ซึ่งเป็นเกณฑ์ที่กล่าวถึง ระบบที่สนับสนุนการบริหารการจัดการสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กร ไปติดตามกันเลยครับว่าเกณฑ์ดังกล่าวจะมีแนวทางอย่างไรในการนำไปปฏิบัติ

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กร

ระบบสารสนเทศที่ตอบสนองต่อความต้องการผู้รับบริการ และผู้มีส่วนได้ส่วนเสียภายในองค์กร เป็นส่วนหนึ่งของการประเมินระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ซึ่งประกอบด้วย

2.6.1 การลดขั้นตอนและการอำนวยความสะดวกแก่พนักงานและผู้รับบริการภายในองค์กร

• การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต

ระบบสารสนเทศที่สามารถนำเข้ามาช่วยในกระบวนงานภายในขององค์กร โดยสามารถนำมาใช้สนับสนุนการปฏิบัติงานขององค์กรได้ ซึ่งสามารถลดระยะเวลา / ลดขั้นตอน การปฏิบัติงานภายในองค์กรได้ เช่น ระบบการจองห้องประชุม ระบบการลาหยุด ซึ่งสามารถลดขั้นตอนโดยส่งผ่านถึงผู้มีอำนาจอนุมัติโดยตรง โดยไม่ต้องส่งผ่านตัวกลาง หรือ ลดแบบฟอร์มกระดาษ ซึ่งผู้ยื่นเรื่องสามารถทราบผลการพิจารณาได้ด้วยตัวเอง และในเวลาอันรวดเร็ว เป็นต้น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการลดระยะเวลาการให้บริการได้ในส่วนของผู้ใช้บริการภายในโดยเห็นผลอย่างชัดเจนและมีการสำรวจหรือหลักฐานอ้างอิงว่าผู้ใช้บริการภายในได้มีความพึงพอใจ

• ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายในองค์กร การติดต่อระหว่างหน่วยงานภายในรัฐวิสาหกิจได้หลายช่องทาง

ระบบสารสนเทศสามารถนำเข้ามาช่วยในการสื่อสารภายในองค์กรได้อย่างรวดเร็ว โดยสามารถนำมาถ่ายทอดนโยบาย ข้อมูลสำคัญต่าง ๆ จากระดับบนสู่ระดับล่าง (ระดับผู้บริหาร สู่ ระดับพนักงาน) และในทางกลับกันก็สามารถรับฟังความคิดเห็น หรือรับข้อมูลสำคัญจากระดับล่างขึ้นสู่ระดับบนได้ จากความสำเร็จของระบบเครือข่ายอินเตอร์เน็ต ทำให้องค์กรส่วนหนึ่งได้นำเทคโนโลยีนี้ไปใช้สำหรับบุคลากรภายในองค์กรเอง เรียกว่า ระบบอินทราเน็ต (Intranet) ซึ่งเป็นระบบปิดที่ให้บริการสื่อสาร การปฏิบัติงานร่วมกัน และการอำนวยการเฉพาะภายในองค์กร โดยความสามารถในการเผยแพร่ข้อมูลผ่านระบบดังกล่าว ทำให้ขอบเขตการบริหารงานขยายตัวออกไปมาก ผู้บริหารสามารถใช้จดหมายอิเล็กทรอนิกส์ เอกสารเว็บ (Web documents) และซอฟต์แวร์กลุ่ม (work-group software) ในการสื่อสารกับพนักงานนับพันคนได้บ่อยเท่าที่ต้องการ หรือแม้แต่ใช้ในการสื่อสารกับกลุ่มพนักงานที่ออกไปทำหน้าที่เฉพาะด้านที่อยู่ไกลออกไปมาก

แนวทางโดยสรุป : เพื่อให้ผู้ใช้บริการภายในองค์กรสามารถติดต่อกันได้หลายช่องทาง และให้บริการด้วยความรวดเร็ว รวมทั้ง มีความสะดวกในการใช้บริการระหว่างหน่วยงาน และเกิดความเข้าใจภายในองค์กรเอง และสนับสนุนการดำเนินงานขององค์กร รวมทั้งถ่ายทอดนโยบาย ข่าวสาร และข้อมูลสำคัญต่าง ๆ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการให้ความสะดวก Stakeholder เท่าที่พึงกระทำได้ และการติดต่อระหว่างหน่วยงานภายในรัฐวิสาหกิจได้หลายช่องทาง และมีการสำรวจหรือหลักฐานอ้างอิงว่าทุก Stakeholder มีความพึงพอใจ
– มีระบบกระจายข่าวสาร/ข้อมูลให้เหมาะสมเฉพาะกลุ่ม/ฝ่าย
– ในแต่ละฝ่ายจะสามารถ distribute ข่าวสารกันภายในฝ่ายได้

2.6.2 การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ

ระบบสารสนเทศที่เกี่ยวข้องกับการผลิต อาจเชื่อมโยงถึงระดับการวางกลยุทธ์ โดยระบบฯ จะช่วยเหลือในการจัดเตรียมวัตถุประสงค์ของการผลิตสินค้าในระยะยาว เช่น การหาสถานที่ตั้งโรงงานใหม่ หรือการให้ข้อมูลเกี่ยวกับการใช้เทคโนโลยีการผลิตแบบใหม่
ในระดับผู้บริหารงาน ระบบฯ ช่วยวิเคราะห์และตรวจสอบค่าใช้จ่าย และการใช้ทรัพยากรในการผลิตสินค้า
ระดับผู้ชำนาญการ ระบบฯ สร้างและเผยแพร่แบบสินค้าใหม่ ๆ หรือความรู้ที่เกี่ยวข้องกับการผลิต
ในระดับผู้ปฏิบัติการ ระบบฯ จะสนับสนุนการติดตามสถานะการทำงานในกระบวนการผลิต

แนวทางโดยสรุป : การนำระบบสารสนเทศเพื่อเพิ่มประสิทธิภาพหรือช่วยลดต้นทุนของการผลิต / การให้บริการ ซึ่งผลที่ได้สามารถสะท้อนถึงต้นทุนการผลิต / การให้บริการอย่างเป็นรูปธรรม

ตัวอย่าง : รัฐวิสาหกิจที่เกี่ยวข้องกับการผลิตสินค้า อาจนำระบบฯ มาใช้เพื่อช่วยในการสั่งซื้อสินค้าแต่ละครั้งให้สอดคล้องตามปริมาณการใช้งาน หรือเพื่อให้มีราคาต่ำสุด (Economic order quantity) หรือกรณีที่ค่าใช้จ่ายส่วนใหญ่ขององค์กรเป็นการบริหารงาน อาจนำระบบฯ มาช่วยในการปรับปรุงการทำงานให้มีประสิทธิภาพและลดระยะเวลาการทำงาน ทำให้สามารถลดบุคลากรและค่าใช้จ่ายของวัสดุสำนักงาน ซึ่งทำให้องค์กรสามารถประหยัดค่าใช้จ่ายในส่วนนี้ได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการนำระบบสารสนเทศเข้ามาช่วยในการลดต้นทุน ซึ่งเป็นต้นทุนหลัก/ค่าใช้จ่ายหลักขององค์กร โดยเห็นผลที่เกิดขึ้นได้อย่างชัดเจน
– มีการประเมินความคุ้มค่าของระบบสารสนเทศที่นำมาใช้ทั้งในเชิงปริมาณและเชิงคุณภาพ

2.6.3 ระบบ Back Office ที่สามารถ Share ข้อมูลระหว่างหน่วยงานอื่นภายในองค์กรได้

ระบบ Back Office คือ ระบบที่ประกอบฟังก์ชันงานหลักในส่วนของการบริหารจัดการภายในองค์กร เช่น ระบบคงคลัง ระบบงานการเงินและระบบงานบัญชี ระบบทรัพยากรมนุษย์ ระบบงานการผลิต และระบบงานอื่น ๆ ที่มีความจำเป็นเฉพาะในแต่ละองค์กร ซึ่งข้อมูลในแต่ละระบบงานจะถูกจัดเก็บในฐานข้อมูลหลักขององค์กร และมีการเชื่อมโยง และ Share ข้อมูลระหว่างหน่วยงานอื่นภายในองค์กรได้ โดยที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล

แนวทางโดยสรุป : ระบบ Back Office ที่สามารถ Share ข้อมูลระหว่างหน่วยงานภายในได้อย่างมีประสิทธิภาพ โดยใช้มาตรฐานรหัสข้อมูลและมาตรฐานการแลกเปลี่ยนข้อมูลเดียวกัน ผ่านเครือข่าย Intranet ภายในองค์กร ซึ่งมีระบบการกำกับการเข้าถึงข้อมูลที่เหมาะสม โดยมีระบบรักษาความปลอดภัยที่ดี เพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูลเข้าถึงข้อมูลได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– สามารถ Share ข้อมูลระหว่างหน่วยงานภายในองค์กรได้
– สามารถ Share ข้อมูลระหว่างฝ่าย/บุคคลอย่างเหมาะสม
– มี Security ที่ดีในการเข้าถึงข้อมูล และเห็นข้อมูลได้เฉพาะตามสิทธิ์ที่มี

2.6.4 การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

ระบบสารสนเทศสามารถช่วยส่งเสริมด้านการเรียนรู้ได้อย่างสะดวก โดยเฉพาะอย่างยิ่งในสภาวะแวดล้อมที่มีความเปลี่ยนแปลงอย่างรวดเร็ว จึงมีความจำเป็นต้องให้บุคลากรเรียนรู้สิ่งใหม่ ๆ โดยอาศัยช่องทางของระบบฯ ที่มีจุดเด่นในความคล่องตัวในการเผยแพร่ และเข้าถึงจากจุดต่าง ๆ รวมถึงความรวดเร็วในการปรับเปลี่ยนเนื้อหา นอกจากนี้ ยังประยุกต์ให้สามารถใช้เป็นเครื่องมือในการสะสม และรวมรวมข้อมูลความรู้ความชำนาญของบุคคลให้คงอยู่ภายในองค์กรได้

แนวทางโดยสรุป : ระบบสารสนเทศที่ช่วยสนับสนุนการรับรู้ข้อมูลข่าวสาร และสามารถประมวลผลความรู้ในด้านต่าง ๆ เพื่อนำมาประยุกต์ใช้ในการดำเนินงานขององค์กรได้อย่างถูกต้อง รวดเร็วและเหมาะสมกับสถานการณ์ รวมทั้ง ต้องส่งเสริมและพัฒนาความรู้ความสามารถ สร้างวิสัยทัศน์ และปรับเปลี่ยนทัศนคติของบุคลากรในองค์กรให้เป็นบุคลากรที่มีประสิทธิภาพ และมีการเรียนรู้ร่วมกัน

ตัวอย่าง :
1. การใช้ระบบเครือข่ายที่มีอยู่และพัฒนาเป็น Web based Training ที่มีหลักสูตรที่หลากหลายและสามารถเข้าใช้ได้ตลอดเวลา
2. ใช้หลักสูตรแบบโปรแกรมสำเร็จรูปที่ช่วยในการฝึกอบรมเพื่อให้ความเข้าใจมากขึ้น
3. สำหรับองค์กรที่มีบุคลากระจัดกระจายตามที่ต่าง ๆ อาจใช้ระบบ e-learning มาปรับใช้ให้เหมาะสม
4. การจัดทำห้องสมุดอิเล็กทรอนิกส์เพื่อให้เกิดความสะดวกในการเข้าใช้บริการ
5. ทางด้านการเผยแพร่ความรู้อาจมีการเขียนบทความภายในและขึ้นตามเว็บไซต์ภายในของแต่ละฝ่ายเพื่อเป็นการถ่ายทอดความรู้ทั้งภายในและภายนอกองค์กร

สำหรับหัวข้อของ CG & ITG และองค์ประกอบที่เกี่ยวข้องนี้ ผมจะนำเสนออะไรในครั้งหน้า โปรดติดตามต่อไปนะครับ