Archive for มีนาคม, 2010

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ

สำหรับผู้ตรวจสอบที่มีความรู้พื้นฐานการตรวจสอบด้าน IT จำกัด ให้ใช้แนวและกระบวนการตรวจสอบ IT ที่เป็นพื้นฐานเบื้องต้น โดยมีกรอบย่อ ๆ ในการปฏิบัติ ดังนี้ สำหรับผู้ที่มีความรู้ทางด้านการตรวจสอบ และมีขอบเขต รวมทั้งกำหนดเป้าหมายการตรวจสอบเชิงลึก ในระบบงานสำคัญ ๆ เพื่อให้แน่ใจถึงความถูกต้อง ตั้งแต่ Input – Process – Output รวมทั้งผู้ตรวจสอบทางด้านการเงิน และการดำเนินงาน และการปฏิบัติตามกฎหมายกฎเกณฑ์ สำหรับผู้ตรวจสอบที่เป็น Non – IT Auditors นั้น ก็อาจใช้แนวทางดังต่อไปนี้ได้เช่นกัน เนื่องจากผมกำลังเล่าถึงแนวทางการปฏิบัติที่เป็นพื้นฐานที่ง่ายและสะดวกที่สุด สำหรับผู้ตรวจสอบทั้ง 2 ประเภท ก่อนที่จะลงในรายละเอียดต่อไป

ขั้นตอนการตรวจสอบ

อาจแบ่งขั้นตอนการตรวจสอบเป็น 3 ขั้นตอนใหญ่ ๆ ได้ดังนี้
ขั้นตอนที่ 1 การวิเคราะห์ความเพียงพอของการควบคุมภายใน
โดยการตั้งวัตถุประสงค์การตรวจสอบ ขอบเขตการตรวจสอบ และการวางแผนการตรวจสอบ แล้วรวบรวมข้อมูลเบื้องต้นที่เกี่ยวข้องกับการตรวจสอบ เพื่อประเมินความน่าเชื่อถือได้ของการดำเนินงานและการควบคุมภายในแบบ Total System Approach คือ ดูทั้งส่วนที่เป็น Manual และ Computer จากนั้นก็กำหนดแนวการตรวจสอบขั้นตอนต่อไป

ในขั้นตอนนี้ ผู้ตรวจสอบควรประเมินและวิเคราะห์ความเสี่ยงในแต่ละรายงานและในแต่ละกิจกรรมของงานที่ตรวจสอบ วิธีที่ดีที่สุดคือ การตั้งคำถามว่า “มีอะไรที่จะก่อให้เกิดข้อผิดพลาดขึ้นได้” ระบุจุดที่การควบคุมเพื่อลดความเสี่ยง ในแต่ละกิจกรรม (Activities) ในแต่ละกระบวนการ (Process) เพื่อก้าวสู่ Business Objective อันจะก่อให้เกิดความเสียหายหรือความไม่ถูกต้อง หรือมีจุดเปิดของความผิดพลาด และจุดอ่อนบางประการที่มีนัยสำคัญต่อ Input – Process – Output ที่อยู่ในขอบเขตของการตรวจสอบ

เทคนิคที่ใช้วิเคราะห์ก็คือ การสัมภาษณ์ การใช้แบบสอบถาม การวิเคราะห์ Flowchart

ขั้นตอนที่ 2 ทดสอบการปฏิบัติงานตามระเบียบ หรือ Logic ที่ได้กำหนดไว้
เมื่อผู้ตรวจสอบได้ทำการระบุจุดที่ควรมีการควบคุมในความเสี่ยงแต่ละจุดแล้ว ก็ต้องประเมินว่า การควบคุมนั้นน่าเชื่อถือหรือไม่ ถ้าเชื่อถือได้ก็จะได้ทำการทดสอบการปฏิบัติงานที่เกี่ยวข้องกับการควบคุมภายใน เพื่อประเมินจุดอ่อน หรือข้อผิดพลาดที่อาจพึงมี และมีนัยสำคัญต่อไป โดยเฉพาะอย่างยิ่ง ข้อผิดพลาดที่อาจเกี่ยวข้องกับข้อมูลทางการ ซึ่งอาจต้องทำการทดสอบต่อไป ขั้นตอนนี้ ยังมีการรวบรวมรายละเอียดเพื่อการตรวจสอบเพิ่มเติมด้วย
เทคนิคที่ใช้ในการตรวจสอบขั้นนี้ก็คือ การสังเกตการณ์ การทำ Test Data หรือ Manual Trading

ขั้นตอนที่ 3 ทดสอบข้อมูลทางการเงิน
เช่น ยอดคงเหลือ รายการทางบัญชีต่าง ๆ และยอดรวมของบัญชีในงบการเงิน รวมทั้งความผิดปกติต่าง ๆ ทั้งด้าน Input – Process – Output และกระบวนการนำรายงานไปใช้งานในการตัดสินใจ โดยคำนึงถึงนโยบาย กลยุทธ์ ที่ถ่ายทอดไปสู่เป้าประสงค์ตามหลักการของ Information Technology Balance Scorecard และ Business Balance Scorecard ด้วยวิธีการที่เหมาะสม แล้วทำรายงานการตรวจสอบ

ขั้นตอนย่อยในการตรวจสอบจาก 3 ขั้นตอนใหญ่ ๆ ข้างต้นอาจใช้การตรวจสอบแบบ Around หรือ Through The Computer

การตรวจสอบ
1. การตรวจสอบแบบ Around/Through The Computer
การตรวจสอบคอมพิวเตอร์ในระยะเริ่มแรกเป็นการตรวจสอบแบบ “Auditing Around The Computer” เพื่อสอบทานความถูกต้องของข้อมูลที่ปรากฏในรายงานคอมพิวเตอร์ คล้ายกับการตรวจสอบสมุดทะเบียนบัญชีแยกประเภทและเอกสารที่เกี่ยวข้องในระบบเดิมที่ใช้พนักงานบันทึกรายการ ดังรูป

ในปี ค.ศ. 1966 (ผ่านมาแล้วหลายปีหน่อยนะครับ) คณะทำงานพิเศษ Audit EDP Task Force ของ The American Institute of Certified Public Accountants (AICPA) ขอให้ใช้คำอื่น ๆ เช่น “Auditing Without Using The Computer” แทนคำ “Auditing Around The Computer” เพราะอาจทำให้ผู้ตรวจสอบเกิดความเข้าใจที่คลาดเคลื่อนว่า ไม่จำเป็นต้อประเมินผลการควบคุมภายในด้านคอมพิวเตอร์ก็ได้ หากผู้ตรวจสอบได้ดำเนินการติดตามความเคลื่อนไหวของรายการที่ปรากฏในรายงานคอมพิวเตอร์ เพื่อพิสูจน์ความถูกต้องของข้อมูล

สำหรับการตรวจสอบแบบ “Auditing Through The Computer” หรือ Computer Assisted Audit Techniques” มีความหมายชัดเจนอยู่ในตัวแล้ว แต่อย่างไรก็ดี คำ “Auditing Around/Through The Computer” ได้มีความสำคัญลดน้อยลง เมื่อสถาบันที่ทำหน้าที่ควบคุมการประกอบวิชาชีพสอบบัญชีหลายประเทศได้กำหนดมาตรฐานตรวจสอบคอมพิวเตอร์ให้ผู้ตรวจสอบถือปฏิบัติ

2. มาตรฐานการตรวจสอบ
มาตรฐานการตรวจสอบคอมพิวเตอร์ที่ควรทราบ มีดังนี้
ประเทศสหรัฐอเมริกา
เมื่อเดือนธันวาคม ค.ศ. 1974 AICPA ได้ออก Statement of Auditing Standard No. 3 (SAS#3) มี 3 ประเด็นสำคัญสรุปได้ดังนี้
1) กรณีที่มีการใช้คอมพิวเตอร์กับงานบัญชีที่มีนัยสำคัญ ผู้ตรวจสอบควรสอบทานระบบเพื่อทำความเข้าใจในเรื่องต่อไปนี้
1.1) ทางเดินของรายการบัญชี
1.2) ขอบเขตการใช้คอมพิวเตอร์
1.3) โครงสร้างพื้นฐานของการควบคุมภายใน
2) กรณีงานคอมพิวเตอร์มีความสลับซับซ้อน จะต้องมีผู้เชี่ยวชาญร่วมงานตรวจสอบด้วย
3) การใช้คอมพิวเตอร์ไม่มีผลกระทบต่อการควบคุมทางบัญชี แต่อาจมีผลกระทบต่อองค์กรและวิธีการที่จะทำให้บรรลุเป้าหมายในการควบคุม ซึ่งมีอิทธิพลต่อวิธีการตรวจสอบ

ประเทศแคนาดา
The Canadian Institute of Chartered Accountants (CICA) ได้ออก Guideline : Auditing in an Electronic Data Processing Environment เมื่อเดือนสิงหาคม ค.ศ. 1981 เพิ่มเติมจาก Computer Control Guidelines และ Computer Audit Guidelines ซึ่งออกในปี ค.ศ. 1970 และปี ค.ศ. 1974 ตามลำดับ สาระสำคัญสรุปได้ดังนี้
1) กรณีใช้ผู้เชี่ยวชาญคอมพิวเตอร์ ผู้ตรวจสอบต้องมีความรู้ด้านคอมพิวเตอร์ เพื่อควบคุมการปฏิบัติงานของผู้เชี่ยวชาญให้เหมาะสม
2) ผู้ตรวจสอบต้องประเมินความเพียงพอเกี่ยวกับความรู้ด้านคอมพิวเตอร์ของตนเอง
3) ควรพิจารณาหรือศึกษาระบบทั้งด้าน Manual และด้านคอมพิวเตอร์พร้อม ๆ กับการพัฒนาวิธีการตรวจสอบ แต่ผู้ตรวจสอบไม่จำเป็นต้องตรวจสอบระบบโดยละเอียด หากพิจารณาในขั้นต้นแล้วเห็นว่าเป็นระบบที่เชื่อถือไม่ได้
4) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในทั่วไป และ Operating System ด้านคอมพิวเตอร์
5) กรณีใช้คอมพิวเตอร์ช่วยตรวจสอบต้องจัดให้มีการควบคุมอย่างเพียงพอ เพื่อให้ได้ผลลัพธ์ครบถ้วนและเป็นไปตามวัตถุประสงค์ในการตรวจสอบ
6) ผู้ตรวจสอบควรมีส่วนร่วมในการพัฒนาระบบงานด้วย

สหราชอาณาจักร (United Kingdom)
Auditing Practices Committee Exposure Draft : Internal Controls in Computer – Based Accounting System ออกเมื่อเดือนพฤษภาคม ค.ศ. 1982 มีสาระสำคัญสรุปได้ดังนี้
1) ผู้ตรวจสอบไม่จำเป็นต้องเข้าใจระบบโดยละเอียด เว้นแต่จะมีแผนการตรวจสอบเพื่อให้ความเชื่อถือต่อระบบงานนั้น
2) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในเฉพาะงาน และการควบคุมภายในทั่วไป
3) ผู้ตรวจสอบสามารถใช้คอมพิวเตอร์ช่วยตรวจสอบเพื่อที่จะได้หลักฐานการปฏิบัติงานที่อยู่ภายใต้การควบคุมภายในเฉพาะงาน
4) ผู้ตรวจสอบควรรู้จักวิธีปฏิบัติในการตรวจสอบคอมพิวเตอร์ไว้หลาย ๆ วิธี

ประเทศไทย
คณะกรรมการควบคุมการประกอบวิชาชีพสอบบัญชี (ก.บ.ช.) และสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย ได้ประกาศใช้มาตรฐานการสอบบัญชี ฉบับที่ 28 และ 29 เรื่อง “การสอบบัญชีในกรณีที่ธุรกิจใช้คอมพิวเตอร์” และเรื่อง “การประเมินประสิทธิภาพการควบคุมภายในกรณีกิจการใช้คอมพิวเตอร์” ซึ่งมีรายละเอียดค่อนข้างมากและได้มีผลบังคับใช้แล้ว ตั้งแต่เดือนมิถุนายน 2533 เป็นต้น

ผมเล่าประวัติศาสตร์ค่อนข้างยาวพอสมควร เพื่อให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบที่แม้ว่าเวลาจะผ่านมาเนิ่นนานพอสมควร หลักการและเทคนิคการตรวจสอบบางอย่าง เช่น TDM – Test Data Method ก็ยังใช้ในการปฏิบัติงานได้ดี ประหยัด เทคนิคไม่ซ้ำซ้อน และไม่ต้องใช้โปรแกรมหรือเครื่องมือใด ๆ นอกจากผู้ตรวจสอบจะต้องเข้าใจหลักตรรกะ (Logic) ของการประมวลงานที่ใช้โปรแกรมเข้าช่วยในการประเมินผลพอสมควร ซึ่งจะได้กล่าวต่อไปนะครับ

 

Perspective of CG + ITG and Related Factors to Sustainable Growth and Beyond (Continue)

วันนี้ก็เช่นเดียวกับครั้งก่อน ๆ และที่ผ่านมา ที่ผมได้อธิบายและนำเสนอการพัฒนาและการสร้างการกำกับดูแลกิจการที่ดี อธิบายโดยใช้แผนภาพ ซึ่งดีกว่าการอธิบายด้วยถ้อยคำเป็นอย่างมาก และเข้าใจได้ง่ายนั้น ผมจะนำเสนอในมุมมองที่แตกต่างกันของหลักการและการทำความเข้าใจในเรื่องการกำกับดูแลกิจการที่ดี ซึ่งจะนำไปสู่การปฏฺบัติได้ต้องอาศัยจิตวิญญาณ และความมุ่งมั่นของผู้บริหารระดับสูง คือตั้งแต่คณะกรรมการของทุกองค์กร และจะต้องมีการติดตามและทบทวนอย่างสม่ำเสมอ โดยเฉพาะอย่างยิ่ง การบริหารการจัดการของ CG ที่ต้องมีนโยบายการบริหารที่ควบคู่กันไปกับ ITG หรือ IT Governance อย่างแยกกันไม่ได้

ถึงแม้เราจะใช้หลักการการบริหารซึ่งมีร่มใหญ่ คือ CG + ITG ดังกล่าวข้างต้นแล้ว การปฏฺบัติที่เป็นรูปธรรมในหลายองค์กร ก็ยังไม่เป็นรูปธรรมเท่าที่ควร ทั้งนี้องค์กรส่วนใหญ่ จะมีการบริหารในลักษณะแยกกันเป็นเรื่อง ๆ โดยมีคณะกรรมการ หรือสายงานที่ดูแลตามหน้าที่ที่เกี่ยวข้อง คือบริหารในลักษณะ Functional-Based มากกว่า Role-Based ทำให้เกิดการบริหารในลักษณะ SILO ที่องค์กรส่วนใหญ่ มักอธิบายว่า ตามโครงสร้างก็จะมีการประสานงานกันอยู่แล้วในสายงาน หรือ BU ต่าง ๆ ที่เกี่ยวข้อง

แต่ในความเป็นจริง ในทางปฏิบัติ การประสานงานดังกล่าวสามารถทำได้อย่างจำกัด โดยเฉพาะอย่างยิ่ง องค์กรที่มีผู้บริหารมีอัตตา หรือไม่ชอบทำงานข้ามฝ่าย หรือคิดว่างานที่ตนทำอยู่นั้นดีที่สุดแล้ว ตาม JD และ JS ที่องค์กรกำหนด ซึ่งก็เป็นเรื่องจริงขององค์กรส่วนใหญ่ในปัจจุบัน นั่นคือ การยึดหลัก Functional-Based โดยคำนึงถึง Role-Based ค่อนข้างน้อยมาก ผลก็คือ การบริหารการจัดการซึ่งส่วนใหญ่จะเกี่ยวข้องกับ นโยบาย ซึ่งส่วนใหญ่ได้แก่การขับเคลื่อนนโยบาย กลยุทธ์ ซึ่งนำไปสู่การปฏิบัติขององค์กร จะมีจุดอ่อนที่ Operational Risk หรือจุดอ่อนที่เกี่ยวข้องกับ PPT – People + Process + Technology ซึ่งจะมีปัญหาในเรื่องการขับเคลื่อนและการบริหารแบบบูรณาการ ที่อาจเรียกย่อ ๆ ว่า GRC – Governance + Risk Management + Compliance ซึ่งเป็นการบริหารในลักษณะ Integrity Performance ที่เกี่ยวข้องกับเทคโนโลยีค่อนข้างมาก

จากการสำรวจการบริหารการจัดการทางด้านเทคโนโลยีสารสนเทศของหลายประเทศ ที่กำลังพัฒนาได้พบว่า ผู้บริหารในระดับต่าง ๆ มีความรู้ความเข้าใจในการใช้เทคโนโลยีเพื่อการบริหารและการจัดการที่ดี ในภาพโดยรวมที่อยู่ในระดับต้องปรับปรุงได้อีกมากนั้น พิจารณาได้ว่าเป็นจุดอ่อนที่มีความสำคัญเป็นอย่างยิ่งในการบริหารงานในองค์กรต่าง ๆ ของประเทศไทยเราในปัจจุบัน

ผมจะได้นำเสนอและเล่าสู่กันฟังในเรื่องการขับเคลื่อน IT Governance ที่เกี่ยวข้องกับ Corporate Governance – CG ในโอกาสต่อ ๆ ไปนะครับ

สำหรับวันนี้ยังคงนำเสนอการอธิบายด้วยแผนภาพที่เกี่ยวข้องกับ CG ในมุมมองต่าง ๆ ต่อไปอีกในระยะเวลาหนึ่ง ดังนี้

 

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

หลังจากที่ผมได้นำเสนอ แนวทางหรือกรอบการบริหารความเสี่ยง หรืออีกนัยหนึ่งอาจจะเรียกได้ว่าเป็นคู่มือการบริหารความเสี่ยงทั่วทั้งองค์กรไปแล้ว ซึ่งได้กล่าวถึงในเรื่องของความหมาย หรือคำจำกัดความของการบริหารความเสี่ยง กรอบการบริหารความเสี่ยง กระบวนการบริหารความเสี่ยง หน้าที่และความรับผิดชอบในการบริหารความเสี่ยง การจัดการความเสี่ยงขององค์กร การทบทวนกรอบแนวคิดการบริหารความเสี่ยงขององค์กร กระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ตามเกณฑ์ของ COSO ข้อจำกัดของการบริหารความเสี่ยงองค์กร บทบาทและการกำกับดูแลการบริหารความเสี่ยง แนวปฏิบัติสู่ความเป็นเลิศในการบริหารความเสี่ยงขององค์กร ลำดับขั้นของการพัฒนาความเสี่ยง รวมถึงการบริหารความเสี่ยงขององค์กรแบบยั่งยืนนั้น ท่านผู้บริหาร หรือท่านผู้อ่านสามารถติดตาม และทบทวนเนื้อหาในแต่ละเรื่องได้ในตอนที่ผ่าน ๆ มานะครับ

สำหรับเรื่องที่ผมจะนำเสนอต่อไปนี้ จะเป็นแนวทางการบริหารแผนงาน/โครงการ ซึ่งเป็นการบริหารแผนงานในมุมมองของการบริหารความเสี่ยงเบื้องต้น ที่ผู้บริหารองค์กรควรให้ความสำคัญและจัดทำควบคู่กันไปกับการบริหารความเสี่ยงองค์กร โดยมีวัตถุประสงค์ของการบริหารแผนงานและโครงการ ก็่เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า แผนงานและโครงการต่าง ๆ โดยรวมขององค์กรทั่วไป มีการใช้ทรัพยากรที่เหมาะสมที่เกี่ยวข้องกับงบประมาณ บุคลากร เวลา รวมทั้งการบริหารแผนงานและโครงการต่าง ๆ เพื่อให้องค์กรบรรลุเป้าประสงค์อย่างมั่นใจ โดยทั่วไปการบริหารแผนงาน/โครงการจะต้องมีหลักการดังนี้
1. ต้องตรงต่อเวลา
2. เป็นไปตามงบประมาณที่กำหนดไว้
3. เป็นไปตามความต้องการของคณะกรรมการ ผู้บริหารและผู้ที่เกี่ยวข้อง
4. และเป็นที่พึงพอใจของผู้ที่มีผลประโยชน์ร่วม

เพื่อให้การบริหารแผนงานและโครงการได้ผลตามที่ตั้งเป้าหมายไว้ ผู้บริหารและพนักงานในองค์กร ควรที่จะได้ทราบถึงแนวความคิดในเรื่องต่อไปนี้
– ระดับนโยบาย คือ การวางแผนกลยุทธ์หรือยุทธศาสตร์ที่เกี่ยวข้อง
– ระดับกลาง เป็นระดับที่คอยควบคุมดูแลให้การปฏิบัติเป็นไปตามนโยบาย หรือแผนงานที่ได้กำหนดไว้
– ระดับปฏิบัติ ซึ่งเป็นฐานใหญ่ขององค์กร เป็นแหล่งที่ทำให้เกิดระบบการบริหารแผนงานและโครงการ เพื่อสนองความต้องการของหน่วยงานต่าง ๆ

องค์กรควรมีการจัดทำการบริหารแผนงานและโครงการ ประกอบการเสนอการจัดทำงบประมาณ โดยย่อ ซึ่งการวางแผนงาน/โครงการ ประกอบการจัดทำงบประมาณ และเพื่อการติดตามผลการดำเนินงานขององค์กรในภาพโดยรวมเป็นสิ่งที่มีความจำเป็น เพื่อ :-
1. ให้การจัดทำงบประมาณ และการพิจารณาของผู้เกี่ยวข้องมีคุณภาพ จากการมีข้อมูลที่เพียงพอ เพื่อใช้ในการตัดสินใจ โดยเฉพาะอย่างยิ่ง หากองค์กรมีงบประมาณจำกัด และ
2. เพื่อการติดตามผลการดำเนินงาน และศักยภาพของผู้บริหารที่เกี่ยวข้อง
3. เพื่อการติดตามการใช้ และบริหารงบประมาณในเวลาที่เหมาะสม
4. เป็นกระบวนการบริหารในลักษณะของการป้องกัน และแก้ไขปัญหาในระหว่างการดำเนินการ เมื่อการบริหารแผนงานใช้แนวทางการบริหารความเสี่ยงควบคู่กันไปด้วย

จากแผนภาพด้านบนนี้แสดงให้เห็นถึงภาพรวมกระบวนการวางแผนขององค์กรทั่วไป ซึ่งผมจะมาพูดคุยในรายละเอียดของการวางแผนงาน/โครงการกันต่อในครั้งหน้า อย่าลืมติดตามนะครับ

 

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

ท่านผู้ตรวจสอบ และท่านผู้อ่านที่ติดตามการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ก็คงได้ทราบกันไปแล้ว ถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึง รวมถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทัน และเตรียมพร้อมรับมือกับระบบงานยุคใหม่และการเปลี่ยนแปลงที่เกิดขึ้น ซึ่งก็เป็นแนวทางในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางประการ ในบางมุมมองเท่านั้นนะครับ

สำหรับในวันนี้ ผมมีแนวความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์มาเล่าสู่กันฟัง และอยากให้ท่านผู้ตรวจสอบ และผู้อ่านทุกท่านได้นำไปพินิจพิจารณากันดูครับ

1. คอมพิวเตอร์กับผลของการประเมินการควบคุมภายใน
– อาจไม่มีผลประการใด ๆ
– อาจมีผลกระทบเล็กน้อย
– อาจมีผลกระทบอย่างสำคัญ

ผู้บริหารขององค์กรต้องกำหนดให้มีการวางกฏเกณฑ์ในการควบคุมภายในอย่างมีประสิทธิภาพ เช่น การกำหนดอำนาจและการแบ่งแยกหน้าที่ การกำหนดให้มีเอกสารและการบันทึกบัญชีที่สมบูรณ์ ถูกต้อง ทันกาล ฯลฯ

2. ความรับผิดชอบของผู้บริหารต่อการควบคุมและการตรวจสอบ
มีผู้เกี่ยวข้อง 3 กลุ่มในการวางแผนการปฏิบัติงานและการควบคุม คือ
2.1. คณะกรรมการบริหารและ Audit Committee
2.2. ผู้ดำเนินงาน และ
2.3. ผู้สอบบัญชีภายใน หรืออาจมีผู้สอบบัญชีภายนอกร่วมด้วยก็ได้

3. บทบาทของคณะกรรมการบริหาร
วางแผนและจัดให้มีการควบคุมภายในของระบบงานต่าง ๆ ในภาพรวมอย่างกว้าง ๆ เพื่อลดความเสี่ยงต่าง ๆ ในส่วนที่เกี่ยวข้องกับ Operating และกำหนดให้มี Audit Functions ขึ้นมาติดตามดูแลการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ที่ได้จัดให้มีขึ้น

4. บทบาทของฝ่ายจัดการหรือผู้ดำเนินงานบางประการ
เป็นผู้รับแผนการควบคุมภายในของคณะกรรมการบริหารมาปฏิบัติ โดยจัดให้มีระเบียบ พิธีปฏิบัติและกำหนดกฎเกณฑ์ต่าง ๆ ให้ User และผู้ที่เกี่ยวข้องได้ปฏิบัติเพื่อให้การบันทึกบัญชีต่าง ๆ มีความน่าเชื่อถือได้และเป็นไปตามตัวบทกฎหมายที่เกี่ยวข้อง

5. หน้าที่ของ Board of Directors หรือ Audit Committee เบื้องต้น
ในองค์กรที่ใช้คอมพิวเตอร์ ควรจะครอบคลุมถึงการดูแลฝ่ายจัดการให้มีการปฏิบัติในเรื่องต่อไปนี้
– ระบุประเภทของความเสี่ยงต่าง ๆ ในแต่ละกิจกรรม รวมถึงสาเหตุความผิดพลาด และความผิดปกติต่าง ๆ ที่อาจจะเกิดขึ้นในองค์กรของตน
– จัดให้มีการควบคุมเพื่อลดความเสี่ยง และความผิดปกติต่าง ๆ ที่ได้รับพิจารณาแล้วนั้น โดยกำหนดเป็นระเบียบและวิธีปฏิบัติงานเป็นลายลักษณ์อักษร ให้ผู้เกี่ยวข้องยึดถือเป็นแนวปฏิบัติงาน เพื่อให้งานดำเนินไปอย่างมีประสิทธิภาพน่าเชื่อถือได้
– ดูแลให้มีการปฏิบัติตามหลักการที่ได้กำหนดขึ้นแล้ว

6. บทบาทของผู้สอบบัญชีภายใน
– ติดตามดูแลให้มีการปฏิบัติตามนโยบายและวิธีการปฏิบัติงานตามที่คณะกรรมการบริหารฝ่ายจัดการได้กำหนดขึ้น
– ช่วยเหลือคณะกรรมการบริหารงาน และฝ่ายจัดการตามที่ได้รับมอบหมาย โดยเฉพาะอย่างยิ่งเข้าไปมีส่วนร่วมการจัดวางให้มีระบบการควบคุม และระบบตรวจสอบ ตั้งแต่ในระยะขั้นตอนการพัฒนาระบบงาน
– ปรับปรุง ศึกษา ค้นคว้า เทคนิคที่เกี่ยวข้องกับการพัฒนาทางเทคโนโลยีทางด้านคอมพิวเตอร์ เพื่อรักษามาตรฐานการปฏิบัติงาน ให้เหมาะสมกับสิ่งแวดล้อมที่เปลี่ยนแปลงไป

7. บทบาทของผู้สอบบัญชีภายนอก
– ประเมินความน่าเชื่อถือได้ของระบบการควบคุมภายใน เพื่อกำหนดขอบเขตการปฏิบัติงานตรวจสอบในเรื่องที่เกี่ยวข้อง
– ทดสอบการควบคุมภายใน และการปฏิบัติงานที่สำคัญ หากพิจารณาว่า การควบคุมภายในน่าเชื่อถือได้
– ทดสอบความน่าเชื่อถือได้ของข้อมูลทางการบัญชี และการเงินในงบการเงิน ในกรณีที่ผู้สอบบัญชีภายนอก พบจุดอ่อนหรือความผิดปกติของการควบคุมภายในที่มีนัยสำคัญ หรือพบเรื่องที่มีการปฏิบัติฝ่าฝืนกฎหมาย หรือกฎระเบียบข้อบังคับของบริษัท External Auditor จะต้องแจ้งให้ Operating Management ทราบด้วยเสมอ

8. ความรับผิดชอบของการตรวจสอบทางด้าน Computer หรือ IS Audit
มาตรฐานการตรวจสอบทางด้าน Field Work ที่เกี่ยวข้องกับการประเมินการควบคุมภายใน ในองค์กรที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบจะครอบคลุมถึงเรื่องต่อไปนี้เป็นพื้นฐานด้วย คือ
– ความเข้าใจพื้นฐานของทางเดินของรายการในแต่ละระบบงานตั้งแต่ต้นจนจบ
– ความเข้าใจพื้นฐานของโครงสร้างการควบคุม ทั้งในส่วนที่เป็น Manual และส่วนที่เป็น Computer
– ความตั้งใจถึงการตรวจสอบใน File ต่าง ๆ ที่ใช้ในการทำงบการเงิน
– ในกรณีที่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ หากโปรแกรมนั้นพัฒนาโดยองค์กรที่ถูกตรวจสอบแล้ว ผู้สอบบัญชีจะต้องทดสอบโปรแกรมนั้น ก่อนให้ความเชื่อถือข้อมูลที่ได้จากการตรวจสอบด้วยเสมอ
– การประเมินการควบคุมภายในด้านคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ จะต้องดำเนินการโดยผู้ตรวจสอบที่มีประสบการณ์ด้านคอมพิวเตอร์อย่างเพียงพอ
– การประเมินการควบคุมในด้านคอมพิวเตอร์ ผู้ประเมินจะต้องมีความเข้าใจในลักษณะโครงสร้างของการควบคุมในองค์กรที่ตรวจสอบอย่างแท้จริง นั่นคือ ผู้ตรวจสอบควรจะทราบว่าองค์กรนั้น ควรต้องมีการควบคุมภายในอย่างไรบ้าง แทนที่จะประเมินหรือติดตามแต่เพียงว่าองค์กรนั้นได้ปฏิบัติตามการควบคุมที่มีอย่างไร เป็นต้น
– ผู้ประเมินต้องรวบรวมหลักฐานที่มี เพื่อยืนยันความเข้าใจในระบบการควบคุมภายในด้านคอมพิวเตอร์

9. วิธีการตรวจสอบระหว่างระบบงานด้านคอมพิวเตอร์
ผู้ตรวจสอบงานด้าน Computer หรือ Computer / IT Auditor หรือ Information System (IS) ผู้ตรวจสอบที่ประสบความสำเร็จ การตรวจสอบนั้นควรจะตั้งอยู่บนพื้นฐานดังนี้
– มีความเข้าใจในวิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ตามฐานความเสี่ยงอย่างเพียงพอ และ
– มีพื้นฐานความรู้ทางคอมพิวเตอร์ เทคโนโลยีและ Concept ของการตรวจสอบงานด้านคอมพิวเตอร์ที่จะกำหนดขอบเขต และขั้นตอนการตรวจสอบที่ได้ผล
– มีความรู้เกี่ยวกับการบริหารความเสี่ยง จาก Risk IT และ IT Risk ที่มีผลต่อ Business Process และ Business Objective ขององค์กร ในมุมมองการบริหารแบบบูรณาการยุคใหม่

ขั้นตอนการตรวจสอบข้างต้นนั้น มีรายละเอียดและขั้นตอนที่ผู้ตรวจสอบพึงทราบ และพึงเข้าใจหลายประการ ในเรื่องระบบงานและรายการต่าง ๆ ที่ประมวลผล โดยเฉพาะอย่างยิ่งขั้นตอนการรวบรวม และประมวลเอกสาร และหลักฐานการตรวจสอบที่เกี่ยวข้อง

วิธีการตรวจสอบดังกล่าว ได้ครอบคลุมโครงสร้างขององค์กร ทั้งในแนวตั้งและแนวนอน ผู้ตรวจสอบต้องเข้าใจธุรกิจที่จะตรวจสอบอย่างถ่องแท้ ต้องเข้าใจกิจกรรมต่าง ๆ ในแต่ละงานที่ตรวจสอบ และแน่นอนว่า ผู้ตรวจสอบต้องเข้าใจโครงสร้างของการควบคุมที่จำเป็นในแต่ละกิจกรรมนั้น เพื่อบรรลุวัตถุประสงค์ของการตรวจสอบด้วยเสมอ

โดยสรุป วิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จะช่วยให้ผู้ตรวจสอบคำนึงถึง
– ผู้ตรวจสอบจะต้องตรวจสอบอะไร อย่างไร ด้วยวิธีการใด
– เมื่อใดที่ควรจะทำการตรวจสอบหรือทดสอบ
– ทรัพยากรอะไรบ้างภายในองค์กรที่ต้องการตรวจสอบ
– หลักฐานที่เกี่ยวข้องกับผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Information Balanced Scorecard และที่มีต่อ Business Balanced Scorecard คืออะไร

 

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง

ท่านลองวิเคราะห์ตัวเองในแนวทางการบริหารความเสี่ยงที่ยังไม่เป็นระบบ และมีแนวทางการบริหารความเสี่ยงในเชิงรับที่พิจารณาได้ว่า องค์กรของท่านยังไม่มี Risk Based Internal Control และ/หรือ องค์กรของท่านยังขาดการจัดการความเสี่ยงในระดับองค์กร (ในระดับสูง) ที่อาจพิจารณาได้ว่า องค์กรของท่านมีการบริหารความเสี่ยงในระดับที่ต่ำ ซึ่งจะต้องปรับปรุงแก้ไขเป็นอย่างมาก ดังนี้

1. ระบบบริหารความเสี่ยงขององค์กร มีการระบุปัจจัยเสี่ยง ประเมินความเสี่ยง และกำหนดแผนบริหารความเสี่ยง ซึ่งเป็นการดำเนินงานในระดับปฏิบัติการ และเป็นการระบุความเสี่ยงในระดับส่วนงานที่ยังไม่เป็นการดำเนินงานบริหารความเสี่ยงในระดับองค์กร (พิจารณาได้ว่า องค์กรของท่านยังควรปรับปรุงความเข้าใจ และปรับปรุงแนวการปฏิบัติและจัดให้มีการบริหารความเสี่ยง และการดำเนินงานในระดับองค์กร แทนการดำเนินงานแค่เพียงระดับส่วนงาน ซึ่งผิดหลักการ COSO – ERM)

2. องค์กรขาดการสร้างองค์ความรู้ ขาดความเข้าใจ ขาดการสื่อสารที่ดี ในเรื่องการบริหารความเสี่ยงให้กับผู้บริหารและพนักงาน ทั้งนี้ องค์กรไม่ได้จัดให้มีการบรรยาย หรือสัมมนาสร้างความเข้าใจให้ความรู้เรื่องการบริหารความเสี่ยงให้กับผู้บริหาร และพนักงาน

3. องค์กรมีองค์ประกอบหลักของการบริหารความเสี่ยงที่ดีไม่ครบถ้วน เช่น นโยบายและกลยุทธ์การบริหารความเสี่ยง การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การประเมินความเสี่ยง การจัดการความเสี่ยง และการติดตามผลและการรายงาน ทั้งนี้ องค์กรยังไม่สามารถระบุความเสี่ยงในระดับองค์กรได้ แต่มีการระบุความเสี่ยงแค่ในระดับแผนก หรือสายงานย่อย โดยระบุถึงความเสียหายและกำหนดวิธีการจัดการต่อความเสี่ยงเพียงระดับปฏิบัติการ อีกทั้งยังขาดการติดตามรายงานผลการบริหารความเสี่ยงที่เป็นระบบ ไปยังผู้บริหารและคณะกรรมการได้รับทราบ

4. องค์กรขาดหลักฐานในการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

5. องค์กรของท่านอาจมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังขาดการจัดการต่อความเสี่ยงที่มีความสำคัญระดับสูง ทั้งนี้เพราะองค์กรยังไม่สามารถระบุความเสี่ยงที่มีความสำคัญระดับสูง ซึ่งหมายถึงความเสี่ยงระดับองค์กรได้ ทำให้ขาดกระบวนการจัดการต่อความเสี่ยงที่มีนัยสำคัญต่อความสำเร็จขององค์กร ซึ่งเป็นเรื่องสำคัญยิ่งในหลักการบริหารความเสี่ยง

6. องค์กรขาดการบริหารความสอดคล้องระหว่างองค์ประกอบหลักของการบริหารความเสี่ยงที่ดี ตามที่ได้กล่าวไว้ในข้อ 3. ข้างต้น

7. องค์กรไม่มีคณะทำงานหรือหน่วยงาน เพื่อจัดการกับความเสี่ยงในระดับองค์กร ทำให้องค์กรไม่สามารถที่จะบริหารภาพรวมให้ไปสู่การบรรลุแผนธุรกิจขององค์กร ตามหลักการของ COSO – ERM ได้

8. องค์กรไม่มีคู่มือการบริหารความเสี่ยง หรือมีคู่มือการบริหารความเสี่ยง แต่ขาดความสมบูรณ์ตามหลักการที่กำหนดไว้ใน COSO – ERM (Enterprise Risk Management) และ/หรือ ไม่มีการทบทวนคู่มือการบริหารความเสี่ยงประจำปี ที่มีหลักฐานที่พิสูจน์ได้

หากองค์กรของท่านมีจุดอ่อนตามที่กล่าวในข้างต้น ข้อหนึ่งข้อใด ก็พิจารณาได้ว่า องค์กรของท่านยังมีระดับการบริหารความเสี่ยงที่ควรปรับปรุงได้อีกมาก ทั้งนี้เพราะการประเมินตนเอง ทั้ง 8 ข้อดังกล่าวข้างต้นนั้น เป็นพื้นฐานที่สำคัญที่ทุกองค์กรจะต้องจัดให้มีขึ้น ก่อนที่จะก้าวไปสู่กระบวนการบริหารความเสี่ยงที่ดีอย่างเป็นระบบ

 

คน 6 คน กับ หมวก 6 สี (Six Thinking Hats) กับความคิดที่แตกต่างกันของคนในองค์กร และประชาชนในชาติ (ต่อ)

สวัสดีครับ ยังคงคุยค้างกันเอาไว้ในเรื่องของ คน 6 คน กับหมวก 6 สี หรือ Six Thinking Hats ที่กล่าวถึงคุณลักษณะของหมวกแต่ละสี ที่สะท้อนความคิดเห็น และความเข้าใจของแต่ละคน แต่ละกลุ่ม โดยในครั้งที่แล้วผมได้พูดถึงบุคคลที่สวมหมวกไปแล้ว 2 สี คือ หมวกสีขาว (White Hat) และ หมวกสีเหลือง (Yellow Hat)

สำหรับวันนี้ผมจะขอกล่าวถึงบุคคลที่สวมหมวกสีอื่น ๆ ที่เหลือ คือ หมวกสีเขียว สีน้ำเงิน สีแดง และสีดำ ต่อเลยนะครับ

หมวกสีเขียว (Green Hat)
บุคคลที่สวมหมวกสีเขียว หมายถึง บุคคลที่คิดเชิงสร้างสรรค์ มีจิตนาการ มีความน่าจะเป็น ทางเลือก หรือความคิดใหม่ ได้แก่
– การค้นหาทางเลือก หรือวิธีการใหม่ ๆ
– การคิดที่ไม่ต้องมีเหตุผลอย่างเป็นตรรก เพื่อเปิดโอกาสให้แสดงความคิดอย่างไม่ต้องมีข้อจำกัดใด ๆ
– การย้ายจากความคิดหนึ่งไปยังความคิดอื่น ๆ เพื่อทำให้เกิดความคิด หรือทางเลือกที่หลากหลาย

หมวกสีน้ำเงิน (Blue Hat)
บุคคลที่สวมหมวกสีน้ำเงิน หมายถึง บุคคลที่มองภาพรวมในการจัดกระบวนการทางความคิด ได้แก่
– การเน้นการควบคุม หรือการกำกับกระบวนการ
– การจัดระบบความคิด
– การโยงไปสู่การใช้หมวกสีอื่น ๆ
– การกำหนดจุดมุ่งเน้น : ชี้ไปที่ปัญหาและรูปแบบคำถาม
– ความรับผิดชอบในการสรุปผล ภาพรวมและบทสรุป
– ความมั่นใจว่ามีการปฏิบัติตามกฎ

หมวกสีแดง (Red Hat)
บุคคลที่สวมหมวกสีแดง หมายถึง บุคคลที่ใช้ความรู้สึก ลางสังหรณ์ สัญชาตญาณ อารมณ์และความรู้สึกที่ถูกต้อง เพื่อเข้าใจว่าคนมีอารมณ์และจะจัดการกับสิ่งนี้ได้อย่างไร ได้แก่
– การเข้าใจในปฏิกิริยาของคนที่ไม่ใช้เหตุผล
– การคิดที่ใช้ในระยะเวลาสั้น ๆ
– การให้คิดโดยไม่จำเป็นต้องใช้เหตุผลหรือเกณฑ์พื้นฐาน
– การยอมให้มีการสำรวจความรู้สึกของผู้อื่น

หมวกสีดำ (Black Hat)
บุคคลที่สวมหมวกสีดำ หมายถึง บุคคลที่มองโลกในแง่ร้าย โดยตระหนักถึงปัญหา และอุปสรรคต่าง ๆ ของการแก้ไขปัญหา ได้แก่
– การคิดในเชิงลบ เช่น สิ่งที่จะทำให้บรรลุผลตามที่คาดไว้
– การระมัดระวัง – ไม่โต้แย้ง
– การวิเคราะห์ความเสี่ยง
– การบ่งชี้อันตรายและปัญหาต่าง ๆ ที่อาจเกิดขึ้น
– การบ่งชี้ข้อผิดพลาดในการออกแบบ
– การบ่งชี้ว่าการโต้แย้งไม่เหมาะสมกับความเป็นจริง ประสบการณ์ที่มีอยู่ ระบบที่ใช้หรือนโยบายที่กำลังพัฒนาอยู่

เป็นอย่างไรบ้างครับสำหรับ บุคคล 6 คน หรือกลุ่มบุคคล 6 กลุ่ม ที่สวมหมวกทั้ง 6 สีที่ได้นำเสนอไป ก็ขอให้ท่านผู้อ่านนำไปประยุกต์ใช้ให้เหมาะสมกับสภาพแวดล้อมขององค์กร เหมาะสมและสอดคล้องกับหลักการบริหาร และการจัดการที่ดี เพื่อให้เกิดประโยชน์สูงสุดกับองค์กรหรือกับทั้งตัวท่านเอง

 

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม (ต่อ)

สำหรับเรื่องของ CG ในวันนี้ ผมจะยังคงนำเสนอสรุปเรื่องของ CG ที่เป็นภาพใหญ่ของกระบวนการบริหาร และการจัดการของทุกองค์กร ซึ่งจะขอนำเสนอเป็นแผนภาพเพื่อให้เข้าใจได้ง่าย ตามที่ได้เรียนท่านผู้อ่านไว้ในครั้งก่อน ๆ เพื่อเป็นการทบทวน และสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม

โดยครั้งที่แล้ว ผมได้นำเสนอถึงแผนภาพของวงจรการพัฒนาการกำกับดูแลกิจการที่ดีขององค์กร และในวันนี้จะเป็นเรื่องของ กระบวนการสร้างการกำกับดูแลกิจการที่ดี ซึ่งแผนภาพนี้จะสรุปและอธิบายไปในตัวอยู่แล้ว ขอให้ท่านผู้อ่านได้ดูแผนภาพด้านล่างนี้อย่างพิจารณา ก็จะทำให้เข้าใจได้อย่างไม่ยากเย็น

ครั้งหน้าเราไปดูองค์รวมของการกำกับดูแลกิจการที่ดีขององค์กรกันครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

จากที่ได้ทิ้งท้ายไว้ครั้งที่แล้วว่า องค์กรที่จะประสบความสำเร็จมากที่สุดก็คือ องค์กรที่ผู้บริหารสามารถนำเอาการบริหารความเสี่ยงมาใช้เป็นเครื่องมือในการเพิ่ม มูลค่าผู้ถือหุ้น หรือคุณค่าขององค์กร เพื่อให้การบริหารความเสี่ยงขององค์กรก้าวไปสู่ความเป็นเลิศได้ และนอกจากผู้บริหารองค์กรจะบริหารความเสี่ยงให้ก้าวสู่ความเป็นเลิศแล้ว สิ่งที่เป็นความท้าทายสำหรับผู้บริหารอย่างยิ่งก็คือ การบริหารความเสี่ยงแบบยั่งยืน ซึ่งเป็นเรื่องที่ผมจะขอพูดถึงในวันนี้

การปลูกฝังนโยบาย โครงสร้าง และกระบวนการบริหารความเสี่ยงในกิจกรรมการปฏิบัติงานปกติขององค์กร เป็นขั้นตอนที่สำคัญในการพัฒนากรอบการริหารความเสี่ยงที่มีประสิทธิภาพ

ความสำคัญอีกประการหนึ่ง คือ การสร้างความยั่งยืนให้กับกรอบการบริหารความเสี่ยง ทั้งนี้ เพื่อให้มั่นใจได้ว่าความเสี่ยงที่ผู้บริหารรับทราบแล้ว และคาดว่าจะเกิดขึ้นได้ถูกจัดการอย่างมีประสิทธิภาพ ส่วนความเสี่ยงใหม่ได้รับการบ่งชี้เพิ่มเติม โดยมีการสื่อสารและการตอบสนองอย่างเหมาะสม

การทำให้เกิดกรอบการบริหารความเสี่ยงที่ยั่งยืน ประกอบด้วยปัจจัยดังต่อไปนี้
– การมีกรอบการบริหารความเสี่ยงเพื่อบ่งชี้ความเสี่ยงที่องค์กรมีอยู่
– การมีระบบเพื่อให้มั่นใจได้ว่ามีการปฏิบัติอย่างเหมาะสมเพื่อลดความเสี่ยงที่เกิดขึ้น
– การมีระบบและการควบคุมอย่างเหมาะสมเพื่อบ่งชี้ความเสี่ยงใหม่ที่กำลังเกิดขึ้นก่อนที่จะก่อให้เกิดปัญหาสำคัญ
– การประเมินประสิทธิผลของกิจกรรมการบริหารความเสี่ยงอย่างสม่ำเสมอ
– การรายงานและการประเมินความสูญเสียจากส่วนต่าง ๆ ขององค์กรภายใต้กรอบการบริหารความเสี่ยงที่กำหนด

การดำเนินธุรกิจควรคำนึงถึงการบริหารความเสี่ยง พร้อมทั้งมีการประเมินผลและปรับเปลี่ยนให้เหมาะสมอย่างสม่ำเสมอเพื่อให้กรอบการบริหารความเสี่ยงมีความยั่งยืน องค์ประกอบทั้ง 3 ส่วนได้แสดงไว้ในตาราง ต่อไปนี้

การทำให้กรอบการบริหารความเสี่ยงมีความเหมาะสมกับวัตถุประสงค์ที่กำหนดขึ้นต้องอาศัยระยะเวลา ความพยายามและวัฒนธรรมที่สนับสนุนให้เกิดการเปลี่ยนแปลง ขั้นตอนพื้นฐานที่ควรพิจารณาโดยคณะกรรมการบริหารความเสี่ยงและคณะอนุกรรมการบริหารความเสี่ยง ได้แก่

ครั้งหน้าผมจะพูดถึงแนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้นขององค์กรทั่วไป โปรดติดตามนะครับ

 

คน 6 คน กับ หมวก 6 สี (Six Thinking Hats) กับความคิดที่แตกต่างกันของคนในองค์กร และประชาชนในชาติ

Six Thinking Hats เป็นเทคนิคที่มีความสำคัญ และมีประสิทธิภาพมาก พัฒนาโดย Edward de Bono เป็นกรอบการทำงานที่มองการคิดหลาย ๆ แบบ โดยมีการอุปมาหมวกทั้ง 6 สี เพื่อแสดงถึงความคิดประเภทต่าง ๆ ทำให้เกิดความคิดนอกเหนือจากรูปแบบการคิดที่เป็นปกติวิสัย แต่ช่วยให้มีมุมมองที่กว้างขึ้นตามแต่สถานการณ์ ซึ่งผู้บริหารควรเข้าใจ เพื่อให้การดำเนินการวิเคราะห์ CSA – Control Self Assessment ได้ผลอย่างแท้จริงระหว่างการประชุม หรือ ทำความเข้าใจกับประชาชน ในมุมมองที่แตกต่างกันนำมาสู่เป้าประสงค์ขององค์กร หรือของประเทศได้

คุณลักษณะของหมวกแต่ละสี ซึ่งสะท้อนความคิดเห็น และความเข้าใจของแต่ละคน แต่ละกลุ่ม อาจอธิบายได้สั้น ๆ ตามหลักวิชาการ ซึ่งต้องนำไปประยุกต์ใช้ให้เหมาะสมกับสภาพแวดล้อมภายในองค์กร และภายในประเทศ ตามความเหมาะสมกับสถานการณ์ ที่ควรจะสอดคล้องกับหลักการบริหาร และการจัดการที่ดี (CG) และกรอบการจัดการบริหารแบบสอดประสานและบูรณาการ เป็นเอกภาพในระดับชาติ ตามที่เห็นสมควรต่อไปดังนี้ครับ

หมวกสีขาว (White Hat)
บุคคลที่สวมหมวกสีขาว หมายถึง บุคคลที่มุ่งเน้นข้อเท็จจริงที่มีอยู่ และคิดว่าจะสามารถนำไปใช้ประโยชน์ได้อย่างไร ได้แก่
– การวิเคราะห์ข้อมูล หรือแนวโน้มในอดีต
– การวางตัวเป็นกลางและมุ่งไปที่จุดมุ่งหมาย
– การพิจารณาความจริงและไตร่ตรองอย่างรอบคอบแล้ว
– การบ่งชี้ข้อมูลที่ขาดหายไป
– การกำหนดข้อเท็จจริงที่ดีที่สุด ที่ตรวจสอบและพิสูจน์แล้ว
– การกำหนดข้อเท็จจริงระดับรองที่เชื่อว่าเป็นจริง
– การไม่ใช้ความคิดเห็นส่วนตัว แต่พิจารณาจากข้อมูลที่มีอยู่

หมวกสีเหลือง (Yellow Hat)
บุคคลที่สวมหมวกสีเหลือง คือ บุคคลที่มองโลกในแง่ดี ซึ่งช่วยให้เห็นคุณค่า และประโยชน์ของสิ่งที่กำลังตัดสินใจ ตัวอย่างเช่น
– การไต่ถามและค้นหาคุณค่าและผลประโยชน์
– การมองหาการสนับสนุนที่มีเหตุผล
– การริเร่มและสนับสนุนความคิดเห็นต่าง ๆ
– การมองหาโอกาส
– การเปิดกว้างยอมรับวิสัยทัศน์และความฝัน
บุคคลที่สวมหมวกสีเหลืองช่วยให้การคิดดำเนินต่อไปได้ เมื่ออยู่ในบรรยากาศที่เริ่มมีข้อจำกัด และมีความยาก

สำหรับหมวกสีอื่น ๆ ที่จะกล่าวต่อไปคือ หมวกสีแดง สีน้ำเงิน สีเขียว และสีดำ จะได้กล่าวถึงคุณลักษณะของแต่ละสีที่ใช้ในการบริหารและการจัดการ เพื่อสร้างคุณค่าเพิ่มให้แก่องค์กรและระดับชาติ ในตอนต่อไปนะครับ ขอเพียงว่าประยุกต์ใช้ให้ถูกต้องตามสภาพแวดล้อมที่เหมาะสม ด้วยความเป็นธรรม โปร่งใส ตรวจสอบได้อย่างแท้จริง ตามหลักการ CG ต่อไป

 

การบริหารการแบ่งสีกับความเห็นเชิงแนะนำของทูตเยอรมัน นายฮันส์ เอช. ชูมัคเกอร์

จากหนังสือพิมพ์เดลินิวส์ ฉบับที่ 22038 วันเสาร์ที่ 13 กุมภาพันธ์ 2553 พาดหัวข่าวว่า “ทูตเมืองเบียร์ อนาถใจไทยแบ่งสี สอนมวยเตือนรัฐบาล อย่าเพาะศัตรูรอบบ้าน”

ทูตเมืองเบียร์ นายฮันส์ เอช. ชูมัคเกอร์ เอกอัครราชทูตเยอรมนีประจำประเทศไทยให้ สอนรัฐบาลไทยอย่าสร้างศัตรูกับประเทศเพื่อนบ้าน โดยเฉพาะอาเซียน อนาถใจเห็นคนไทยแตกแยก ไม่เล่นการเมืองในสภา แต่ลงมาเล่นข้างถนน ชี้ทหารตัวการสำคัญสร้างปัญหา ลั่นประชาธิปไตยไม่เกิด ถ้าทหารยังแทรกแซง

นายฮันส์ เอช. ชูมัคเกอร์ ให้สัมภาษณ์ในนามส่วนตัว ภายหลังมอบป้ายความร่วมมือโครงการโรงเรียนความร่วมมือแห่งอนาคต แก่โรงเรียนเบญจมะมหาราช ถึงมุมมองต่อประเทศที่กำลังขัดแย้งกับประเทศเพื่อนบ้านว่า อยากให้มองดูกลุ่มประเทศยุโรปที่มีความเจริญรุ่งเรืองเพราะร่วมมือกัน จึงฝากถึงรัฐบาลไทยว่า จะอยู่เพียงลำพังประเทศเดียวไม่ได้ รัฐบาลไทยต้องแสวงหาความร่วมมือกับต่างประเทศ โดยเฉพาะกลุ่มเพื่อนอาเซียน

เอกอัครราชทูตเยอรมนี ประจำประเทศไทยกล่าวต่อว่า ไทยมีความพร้อมกว่าหลายประเทศ แต่น่าเสียใจที่คนในประเทศแตกแยกกัน ความแตกแยกจะฉุดให้ประเทศถอยหลัง ความเห็นแตกต่างทางการเมืองควรว่ากันในสภา ไม่ควรมาว่ากันบนถนน ในศตวรรษที่ 21 ทหารมีแต่ทำให้สังคมมีปัญหาและทหารมีแต่สร้างปัญหา การที่จะไม่ให้ทหารมายุ่งกับการเมือง ต้องทำให้ประชาชนเข้าใจและพัฒนาประชาธิปไตย โดยประชาชนจัดระบบด้วยตัวเอง ประชาธิปไตยจะเกิดได้ก็ต่อเมื่อไม่มีการแทรกแซงจากทหาร

วิเคราะห์ข่าวข้างต้นตามแนวทางการบริหารความเสี่ยง ตามหลัก COSO – ERM (Enterprise Risk Management) ตามหลักการที่องค์กรทั่วโลกยอมรับ และใช้กันอย่างแพร่หลายในปัจจุบัน ทั้งหน่วยงานรัฐวิสาหกิจ และหน่วยงานเอกชน ก็จะพบว่า การบริหารความเสี่ยงระดับประเทศ ซึ่งต้องดำเนินการควบคู่กันไปกับ การกำกับดูแลกิจการที่ดี (CG – Governance และ ITG – IT Governance) ควบคู่กันไปกับการควบคุมภายในและการตรวจสอบ เพื่อให้เป็นไปตามวิสัยทัศน์ และนโยบายของประเทศนั้น มีเรื่องที่น่าจะปรับปรุงได้มากพอสมควร หากผู้บริหารของรัฐบาล ไม่ว่าจะในยุคใด สมัยใด จะนำหลักการบริหารจัดการองค์กรมาใช้กับการบริหารจัดการองค์กรระดับประเทศ

ข้อสำคัญก็คือ ประเทศไทยเราได้กำหนดวิสัยทัศน์ ซึ่งเป็นทิศทางการดำเนินงานของประเทศในระยะยาวว่า ประเทศไทย ควรเป็นเช่นใด เช่น ในอีก 10 ปีข้างหน้า ทางรัฐฯ และประชาชนทั่วไปทราบกันแล้วหรือยังว่า ทิศทางของประเทศไทย และจุดยืนที่ต้องการจะไปให้ถึงนั้นคืออะไร หากประเทศไทยขาดวิสัยทัศน์ เช่น การกำหนดว่า ในปี 2563 คือ “อีก 10 ปีข้างหน้า ประเทศไทยจะเป็นประเทศที่พัฒนา และเป็นประชาชนมีความสุข และมีความปรองดองเกิดขึ้นในประเทศอย่างยั่งยืนแล้ว” เป็นต้น

หากวิสัยทัศน์เป็นไปดังกล่าว และมีการกำหนดเป็นวิสัยทัศน์ของประเทศจริง รัฐบาลต้องมีนโยบาย และแผนงานระดับชาติ โดยมีกลยุทธ์ที่สนับสนุนอย่างชัดเจน ถึงทิศทางและแนวทางในการก้าวเดินไปสู่เป้าหมายดังกล่าว โดยมีตัวชี้วัดที่ชัดเจน ทั้งในลักษณะ Lead Indicators และ Lack Indicators อีกทั้งต้องกำหนด กระทรวง ทบวง กรม ที่ต้องรับผิดชอบ ในการขับเคลื่อนไปสู่ทิศทางดังกล่าว อย่างเป็นเอกภาพ และเป็นบูรณาภาพ ตามหลักการ GRC คือ Governance + Risk Management + Compliance ซึ่งเป็นกรอบการบริหารที่ท้าทายภาคเอกชน รัฐวิสาหกิจ และภาคราชการอย่างมากในปัจจุบัน

ท่านที่สนใจลองติดตามอ่านในหัวข้อต่าง ๆ ที่เกี่ยวข้อง ตามที่ปรากฎใน www.itgthailand.com นี้นะครับ