Archive for เมษายน, 2010

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

จากความเข้าใจในคำจำกัดความของคำว่า แผนงาน/โครงการ ที่ถูกต้อง ชัดเจน รวมถึงความเข้าใจหน้าที่ในการจัดการ และวัตถุประสงค์ของการบริหารแผนงาน/โครงการ ตามที่ได้กล่าวไปในครั้งที่แล้ว เพื่อที่ผู้บริหารจะได้สามารถบริหารแผนงานและโครงการได้อย่างมีประสิทธิภาพ ประสิทธิผล เป็นไปตามวัตถุประสงค์หรือเป้าหมายของแผนงาน/โครงการที่วางไว้ ผู้ที่มีหน้าที่และ/หรือผู้เกี่ยวข้องจะต้องมีการวางแผนงาน ซึ่งเป็นการดำเนินการภายใต้กลยุทธ์ในแต่ละข้อขององค์กร โดยการวางแผนการดำเนินงานนั้นจะต้องระบุ

1. ขอบเขตงานโดยย่อ
2. ชนิดของงานต่าง ๆ
3. ระยะเวลาที่ต้องใช้ในการดำเนินงาน/โครงการ
4. ทรัพยากร อันได้แก่ ทรัพยากรทางด้านบุคลากร เครื่องคอมพิวเตอร์และอุปกรณ์ เงินทุน วิธีการและเทคนิคต่าง ๆ ที่ใช้

แผนงานสำคัญของโครงการที่ควรต้องมี
1. แผนงานดำเนินการ
2. แผนการใช้บุคลากร
3. แผนการควบคุมการเปลี่ยนแปลง
4. แผนการทำรายงานแสดงสถานภาพของโครงการ

การมีแผนงานทำให้ผู้ที่เกี่ยวข้องกับโครงการได้เห็นสิ่งที่จะเกิดขึ้น เพื่อบริหารและใช้ทรัพยากรให้เกิดประโยชน์สูงสุด และเพื่อเป็นแนวทางให้การทำงานอยู่ในรูปแบบ หรือเป็นไปในทิศทางที่กำหนดไว้

การเปลี่ยนแปลงแผนงาน/โครงการ
การเปลี่ยนแปลงแผนงาน ทรัพยากรต่าง ๆ ที่จำเป็นและระยะเวลาสามารถทบทวนใหม่เมื่อเกิดความไม่แน่นอน หรือความเสี่ยงที่ไม่อาจจะบรรลุเป้าหมายตามแผนงานนั้นได้ หรือวัตถุประสงค์ รวมทั้งนโยบายได้เปลี่ยนแปลง

ผู้วางแผนงาน
การวางแผนงานต้องอาศัยความรู้ความเข้าใจในระบบงานที่จะทำและประสบการณ์ของผู้เข้าร่วมในการทำแผนงาน ซึ่งมีผู้เกี่ยวข้องดังนี้

1. หัวหน้าแผนงาน/โครงการ ต้องมีแผนงานไว้เป็นแนวทางในการปฏิบัติงานเพื่อให้รู้ถึงสถานะของแผนงานและโครงการทุกขณะ และเพื่อให้ทราบปัญหาล่วงหน้าก่อนที่จะเกิดขึ้นและหาทางแก้ไข้ได้ทันท่วงที โดยใช้หลักการบริหารความเสี่ยงเข้ามาช่วยในการจัดการกับการบริหารแผนงานอย่างเหมาะสม

2. คณะทำงานหรือผู้ที่เกี่ยวข้องเป็นผู้ดำเนินงานให้เป็นไปตามแผนที่กำหนดไว้

3. เจ้าภาพหรือเจ้าของแผนงาน ต้องรับทราบแผนงานเพื่อติดตามความคืบหน้าของโครงการตามความรับผิดชอบได้อย่างเหมาะสม

4. ฝ่ายบริหารและคณะผู้บริหารโครงการต้องมีแผนงานไว้ดูว่าโครงการมีความคืบหน้าไปมากน้อยแค่ไหน เพื่อจะได้ดำเนินการได้ตรงตามที่ต้องการ

การจัดทำแผนงานประกอบด้วย
1. การกำหนดเป้าประสงค์ให้ตรงกับพันธกิจและวิสัยทัศน์ที่เกี่ยวข้อง
2. กำหนดกิจกรรมและขั้นตอนต่าง ๆ ในการดำเนินงานที่ชัดเจน
3. จัดลำดับความสำคัญของแผนงานตามทรัพยากรที่มี
4. กำหนดเวลาที่ต้องใช้ทรัพยากรและการทำงานต่าง ๆ
5. มีการตรวจสอบความคืบหน้าและรายงานความสำเร็จของแผนงานและโครงการ

ในขั้นตอนของการจัดทำแผนงาน นอกเหนือจากที่ได้กล่าวไว้ในข้างต้นแล้ว เรายังต้องคำนึงถึงสาเหตุที่เป็นความเสี่ยง หรือเหตุของความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กร อาจไม่ประสบความสำเร็จ รวมทั้งข้อควรระวังในการวางแผนที่อาจเกิดจากความไม่แน่นอนขององค์กร ซึ่งผมจะได้นำไปพูดคุยกันในครั้งต่อไปครับ

 

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง เพื่อยกระดับการจัดการ ในบางมุมมอง (ต่อ)

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเอง (CSA – Control Self Assessment) ในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่ในระดับ 2 แล้ว แต่สามารถเชื่อมโยงและบูรณาการในการบริหารความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีด้วยนั้น

ท่านลองมาประเมินตนเองต่อนะครับ ว่าในองค์กรของท่านมีการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่แล้วพอสมควรนั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ในบางมุมมองของการบริหารความเสี่ยง เพื่อยกระดับให้สูงขึ้นไปได้ดังนี้

1. องค์กรมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง Risk Appetite และกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการทบทวน Risk Appetite และ Risk Tolerance ที่ระบุเป็นเชิงปริมาณ และมีความสอดคล้องกับเป้าหมายที่สำคัญขององค์กรตามที่ระบุไว้ในแผนงาน หรือตามที่องค์กรต้องดำเนินการให้เป็นไปตามมาตรฐานที่เกี่ยวข้อง

– องค์กรไม่ได้กำหนด Risk Appetite ในภาพรวมของแต่ละประเภทความเสี่ยง เช่น ด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ด้านการเสียชื่อเสียงขององค์กร ด้านความพึงพอใจของลูกค้าและผู้มีผลประโยชน์ร่วม ด้านการพัฒนาองค์กรและกระบวนการทำงาน และด้านการเรียนรู้ของบุคลากรในเรื่องที่เกี่ยวข้องกับการบริหารและการจัดการ ในมุมมองต่าง ๆ เช่น การไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ และข้อตกลงร่วมกันในระดับองค์กร

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร โดยองค์กรมีหน่วยงานที่รับผิดชอบการบริหารจัดการความเสี่ยงและมีการทำงานที่เป็นรูปธรรม หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการกำหนดหรือไม่มีการทบทวนโครงสร้าง บทบาทหน้าที่ กระบวนการ และผู้รับผิดชอบการบริหารความเสี่ยง ทั้งในระดับองค์กร และระดับฝ่ายงานอย่างชัดเจน เพื่อให้เกิดความเหมาะสมและมีประสิทธิภาพในการดำเนินงานยิ่งขึ้น

– ไม่มีการกำหนดผู้ทำหน้าที่กำกับดูแลและติดตามการบริหารความเสี่ยง ตามขั้นตอนต่าง ๆ และรายงานให้คณะกรรมการบริหารความเสี่ยงได้รับทราบและพิจารณา เพื่อกำหนด และหรือทบทวน Criteria, Risk Appetite และ Risk Tolerance รวมถึงนโยบายการควบคุมความเสี่ยงให้มีความเหมาะสม

– ไม่มีการกำหนดมาตรการควบคุมเพิ่มเติม หรือติดตามผลการดำเนินงาน รายงานคณะอนุกรรมการ และคณะกรรมการบริหารความเสี่ยง

– ในระดับสายงาน หรือฝ่ายงาน ไม่มีการมอบหมายให้มีการบริหารจัดการและการกำกับดูแลตามสายการบังคับบัญชา เพื่อรับผิดชอบด้านการบริหารความเสี่ยง และควบคุมภายในเป็นการเฉพาะ เพื่อมีหน้าที่ผลักดันงานด้านบริหารความเสี่ยง ให้เป็นไปตามทิศทางของแผนงานหลัก ในการบริหารความเสี่ยงระดับองค์กร

– ไม่ได้จัดทำกรอบ/มาตรฐานและถ่ายทอด สนับสนุน เครื่องมือ ข้อมูล หรือเทคนิค

– ไม่ได้มีการอบรมพัฒนา สร้างการรับรู้ ติดตามประเมินผลการดำเนินงานบริหารความเสี่ยง รวมถึงการรายงานผลการดำเนินงานให้ผู้ที่เกี่ยวข้องทราบ

3. การบริหารนโยบายและกลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงาน เพื่อให้การบริหารความเสี่ยงเป็นไปในระยะยาว หรือปลูกฝังอยู่ในองค์กร

– องค์กรไม่มีนโยบายและการปฏิบัติที่แสดงให้เห็นถึงการผลักดันให้มีการดำเนินงานบริหารความเสี่ยง เป็นไปในระยะยาว โดยการบรูณากระบวนการบริหารความเสี่ยงให้มีความสอดคล้องกับการบริหารงานหลักที่สำคัญ

– ไม่มีการแต่งตั้งเจ้าหน้าที่บริหารความเสี่ยงประจำสายงาน หรือฝ่ายงาน และไม่มีการมอบหมายให้เป็นบทบาทหน้าที่หลักให้กับผู้บริหารในแต่ละระดับ เพิ่มเติมจากการกำหนดงานที่ทำอยู่เป็นปกติ

4. องค์กรมีการบริหารความเสี่ยงแบบบูรณาการหรือไม่ โดยพิจารณาการบริหารความเสี่ยงทางด้านนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่าง ๆ ขององค์กร

– องค์กรไม่มีการบริหารความเสี่ยงที่พิจารณาถึงนโยบาย กลยุทธ์ เป้าหมาย แผนงาน/โครงการต่าง ๆ อย่างชัดเจน โดยเฉพาะการบริหารความเสี่ยงในระดับองค์กร เช่น ในการประชุมฯ คณะกรรมการไม่ได้แสดงความคิดเห็นเกี่ยวกับสถานการณ์ต่าง ๆ ที่อาจก่อให้เกิดผลกระทบต่อนโยบาย เป้าหมาย วิสัยทัศน์ พันธกิจ หรือแผนงาน/โครงการที่สำคัญขององค์กรเป็นประจำ เพื่อจัดให้มีการกำหนดมาตรการควบคุมความเสี่ยง หรือทบทวนมาตรการควบคุมที่มีอยู่ให้มีความเพียงพอและเหมาะสม

5. การพิจารณาว่าการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยง และผลกระทบที่มีต่อหน่วยงานต่าง ๆ ภายในองค์กร เช่น การบริหารผ่านต้นเหตุ และความสัมพันธ์ถึงผลกระทบที่ชัดเจน) โดยผ่านคณะกรรมการบริหารความเสี่ยงให้ความเห็นชอบ โดยในแผนการบริหารความเสี่ยงต้องแสดงให้เห็นถึงประโยชน์จาก Risk Map มากำหนดแผนการบริหารความเสี่ยงโดยรวมขององค์กร ตัวอย่างเช่น

– องค์กรไม่มีการจัดทำ Risk Map เพื่อใช้ประกอบการนำเสนอให้ผู้บริหารระดับสูง ตามโครงสร้างการบริหารความเสี่ยงและการควบคุมภายใน เพื่อการพิจารณาทบทวน การระบุ ประเมินความเสี่ยง รวมถึงเป้าหมายที่คาดหวังภายหลังการดำเนินการตามมาตรการควบคุมความเสี่ยงเพิ่มเติม

– องค์กรไม่ได้ใช้ Risk Map เป็นสื่ออีกรูปแบบหนึ่งในการสร้างความเข้าใจในการบริหารความเสี่ยงระดับองค์กร ซึ่งสามารถช่วยแสดงความสัมพันธ์ระหว่างปัจจัยเสี่ยงและผลกระทบซึ่งกันและกันของความเสี่ยงต่อเป้าประสงค์ต่าง ๆ ระดับองค์กร และระดับฝ่ายงาน เพื่อรับทราบภาพรวมของการบริหารความเสี่ยงได้อย่างสอดประสานกัน

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี โดยพิจารณาว่าฝ่ายบริหารได้จัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ IT Governance เช่น

– องค์กรไม่ได้มีการจัดโครงสร้างการบริหารจัดการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร ที่ประกอบด้วยผู้บริหาร คณะกรรมการ ที่ปรึกษาและคณะทำงานสนับสนุน เข้ามาดำเนินการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร และมีความสอดคล้องกับโครงสร้างขององค์กร

7. คณะกรรมการมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนด ในการสร้างมูลค่าเพิ่มทางด้านการเงิน และไม่ใช่ทางการเงิน เช่น การให้บริการที่รวดเร็วอย่าง One Stop Service เป็นต้น โดยพิจารณาว่า

– คณะกรรมการองค์กรมีส่วนในการพิจารณาอนุมัติกลยุทธ์ และแนวทางในการพัฒนาและการปรับปรุงการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรหรือไม่ โดยวิเคราะห์ความจำเป็นในการใช้ประโยชน์เทคโนโลยีสารสนเทศขององค์กร และได้บรรจุเป็นรายละเอียดของเรื่องดังกล่าวไว้ในแผนงาน/โครงการขององค์กร ประจำปี

8. คณะกรรมการตรวจสอบกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกัน ความเสียหาย การปรับปรุง และเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการ IT โดยพิจารณว่า

– คณะกรรมการตรวจสอบ มีการอนุมัติแผนการตรวจสอบประจำปี เพื่อทำการสอบทางการควบคุมทั่วไปทางด้านเทคโนโลยีสารสนเทศ และชี้แจงรายละเอียดให้ผู้เกี่ยวข้องได้ทราบถึงวัตถุประสงค์ ขอบเขต และแนวทางปฏิบัติ พร้อมรายละเอียดแผนการตรวจสอบประจำปี และได้ชี้แจงฝ่ายจัดการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เพื่อนำไปประยุกต์ใช้ในการดำเนินการด้านเทคโนโลยีสารสนเทศ หรือไม่

– คณะกรรมการตรวจสอบมีการกำกับดูแลและติดตามการจัดการกระบวนการป้องกัน ความเสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT (ITG) ในเรื่องของการเพิ่มประสิทธิภาพการปฏิบัติงาน และการใช้ประโยชน์จากระบบประมวลผลข้อมูลหรือไม่

9. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น และดีขึ้นจากอดีตทุกปัจจัยเสี่ยง โดยพิจารณาว่า

– ทุกปัจจัยเสี่ยงขององค์กร มีการระบุอย่างชัดเจนถึงระดับความรุนแรงของความเสี่ยง ทั้งก่อนและหลังการบริหารความเสี่ยง โดยที่ระดับความรุนแรงก่อนและหลักการบริหารความเสี่ยงแล้วนั้น องค์กรสามารถบริหารให้มีระดับความรุนแรงหลังจากการบริหารความเสี่ยงลดลง จากก่อนการบริหารความเสี่ยงหรือไม่

ขอให้ท่านลองประเมินตนเองในแง่มุมของการบริหารความเสี่ยง ที่เรียกว่า CSA – Control Self Assessment ว่าปัจจัยต่าง ๆ ตามที่กล่าวข้างต้นเพียงบางประการนั้น องค์กรของท่านได้ปฏิบัติอย่างมีคุณภาพเพียงใด และมีหลักฐานอะไรในการสนับสนุนการดำเนินการดังกล่าวที่เป็นรูปธรรม และพนักงานที่เกี่ยวข้องมีความเข้าใจในเรื่องดังกล่าวมากน้อยเพียงใด และมีการสื่อสารในเรื่องการบริหารความเสี่ยงทั่วทั้งองค์กรในมุมมองของ COSO – ERM ที่เชื่อมโยงกับ Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Risk หรือไม่ เพราะโดยส่วนใหญ่แล้ว องค์กรโดยทั่วไป มักจะละเลยความเสี่ยงจาก IT Risk ที่มีผลกระทบต่อ Business Objective ในภาพโดยรวม ซึ่งประเด็นดังกล่าวนี้เป็นเรื่องสำคัญยิ่ง และน่าจะมีส่วนเกี่ยวข้องในการปรับปรุงยกระดับการบริหารความเสี่ยงที่ให้ครอบคลุม ด้าน Risk IT และ IT Risk ที่มีผลต่อ Business Risk และแน่นอนว่าจะต้องเกี่ยวข้องกับการควบคุมภายใน และการตรวจสอบภายใน ตามมุมมองของ Risk IT และ IT Risk ในอนาคตอันใกล้

ทั้งนี้เพราะ COSO – ERM ไม่ได้กล่าวถึงการบริหารความเสี่ยงในมุมมองของ Risk IT และ IT Risk ในปัจจุบันที่ชัดเจนนัก แต่ COSO – ERM ในมุมมองของเทคโนโลยีที่เกี่ยวข้องเป็นเรื่องน่าสนใจมาก ที่ผมจะได้นำมาเล่าสู่กันฟังเพื่อยกระดับการบริหารความเสี่ยงในมุมมองของ GRC ต่อไปนะครับ

 

ประเทศของเราและองค์กรทุกแห่งจะต้องกำหนดระดับความเสียหายที่ยอมรับได้ (Risk Appetite) เพื่อการบริหารและการจัดการที่ดี

สังคมไทยกำลังเข้าขั้นวิกฎติ การป้องกันหรือการแก้ไขต้องค้นหาที่ต้นเหตุ(Root cause) และต้องไปจัดการที่นั่น อดีตที่ยังไม่ลงตัง นำมาสู่ปัจจุบันที่อาจไม่ลงตัว ก้าวต่อไปในอนาคตก็หาดุลยภาพและความพอดีไม่พบ จะเป็นวังวนที่น่ากลัวของสังคมไทยเป็นอย่างยิ่ง การกำหนดระดับความเสี่ยง หรือความเสียหายที่ประเทศไม่อาจยอมรับได้ หรือยอมรับได้ (Risk Appetite) เพื่อหากรอบและแนวทางที่เหมาะสม และยอมรับได้ในสังคมไทยโดยรวม ต้องมีกติกาที่สังคมไทยยอมรับได้จากความเชื่อที่ตรงกันหรือใกล้เคียงกัน เพื่อให้เกิดทัศนคติร่วม ก้าวไปสู่การพฤติกรรมและการกระทำตามกติกาของสังคม ที่มีการปฎิบัติที่เท่าเทียมกัน(Eqitable Treatment) เป็นก้าวสำคัญข้อหนึ่งของการเติบโตอย่างยั่งยืน

Sustainable Growth หรือการเติบโตอย่างยั่งยืน จะเป็นไปไม่ได้ ถ้าหากผู้บริหารขององค์กร หรือระดับประเทศ ไม่ได้กำหนดระดับความเสียหายที่ยอมรับได้ (Risk Appetite) หรือระดับความเบี่ยงเบนที่ยอมรับได้ (Risk Tolerance) อย่างเป็นรูปธรรม เพราะผลกระทบและแนวการบริหารในการบรรลุเป้าประสงค์ระดับองค์กร หรือแม้กระทั่งระดับประเทศจะมีแนวการจัดการที่แตกต่างกันเป็นอย่างมาก รวมทั้งการกำหนดกลยุทธ์ และแผนการปฏิบัติงานก็จะแตกต่างกันไปตามระดับความเสี่ยง ที่เป็นตัวเงินและไม่ใช่เป็นตัวเงิน เช่น ความเสียหายจากความไม่สงบภายในประเทศมีผลกระทบต่อการท่องเที่ยว การบิน เศรษฐกิจและการเงิน เป็นเงิน xxxxx ล้านบาท ที่พิจารณาว่าเป็นตัวเงิน และคำนวนเป็นตัวเงินได้ กับความเสียหายที่ไม่ใช่เป็นตัวเงิน ซึ่งหลาย ๆ กรณีมีความหมาย และมีความสำคัญมากยิ่งกว่าความเสียหายที่เป็นตัวเงินเป็นอย่างมาก เช่น ประเทศชาติขาดความไว้วางใจจากนักลงทุน และผู้มีผลประโยชน์ร่วมจากนานาประเทศ รวมทั้งในประเทศ ซึ่งจะมีผลต่อเนื่องนำความเสียหายมาสู่เป้าหมายในมุมมองต่าง ๆ ตามหลักการของ Business Balanced Scorecard ของธุรกิจ และเช่นเดียวกัน ในทุกมุมมองในระดับชาติอย่างประมาณค่าไม่ได้

ตามข่าวเมื่อเช้าวันก่อน แจ้งว่านักลงทุนจากญี่ปุ่น 2 ราย ชะลอการลงทุนซื้อที่ดิน เพื่อการลงทุนที่จังหวัดระยอง นอกจากนี้มีนักลงทุนจากต่างประเทศได้ขายที่ดินจากการนิคมอุตสาหกรรมแถวชานเมืองกรุงเทพฯ ไปแล้วหลายราย คงไม่ต้องพูดถึงนักลงทุนชาวต่างประเทศที่ตั้งใจจะมาลงทุนในอนาคตนะครับ เพราะว่าเมื่อประเทศไทยไม่ได้รับความน่าเชื่อถือในมุมมองต่าง ๆ โดยเฉพาะอย่างยิ่งความมั่นคงทางการเมือง และการพิจารณาในบางมุมมองของกฎหมาย ที่นักลงทุนต่างชาติไม่เข้าใจ เช่น กรณีมาบตาพุด เพราะ มาตรา 46 ตามรัฐธรรมนูญมิได้ดำเนินการโดยหน่วยงานภาครัฐ ในการกำหนดกฎเกณฑ์ เพื่อให้นักลงทุนปฏิบัติ ทางด้านสุขภาพและสิ่งแวดล้อม แล้วจะให้นักลงทุนต่างชาติปฏิบัติตามได้อย่างไร

แต่เมื่อมีการพิจารณาในมุมมองทางกฎหมาย นักลงทุนก็ปฏิเสธไม่ได้ว่า ตนเองได้ปฏิบัติตามกฎหมายที่เกี่ยวข้องที่กำหนดตามรัฐธรรมนูญแล้ว ดังนั้น ผู้ให้ความยุติธรรมจึงต้องตัดสินไปตามกฎหมายและกฎเกณฑ์เป็นสำคัญ ซึ่งสร้างปัญหาและความสับสนเป็นอย่างยิ่งให้กับนักลงทุน ทั้งชาวไทยและชาวต่างชาติ ซึ่งต้องใช้เวลาในการดำเนินการในเรื่องนี้อีกหลายเดือน

ในกรณีที่มีการเปลี่ยนแปลงรัฐธรรมนูญ และการเปลี่ยนแปลงทางการเมือง ก็จะทำให้นักลงทุนทั้งชาวไทยและชาวต่างประเทศ ต้องใจหายใจคว่ำกับการพิจารณาในเรื่องสุขอนามัยและสิ่งแวดล้อม ซึ่งอยู่ระหว่างการพิจารณาของทางการในปัจจุบันว่า จะแล้วเสร็จเมื่อใด หรือจะมีใครเป็นผู้ดูแลในความเป็นความตาย และความอยู่รอดของนักลงทุนเหล่านี้ได้

ผมขอสรุปเบื้องต้นสำหรับวันนี้ว่า ไม่ว่านักลงทุนหรือผู้บริหารในองค์กรใด และแน่นอนว่ารวมทั้งผู้บริหารระดับประเทศ หากใช้แนวทางการกำกับดูแลกิจการที่ดี ตามหลัก CG + ITG (IT Governance) และผสมผสานกับ Statement ใหม่ ที่เรียกว่า GRC (Governance + Risk Management + Compliance) ซึ่งเน้นเรื่องการบริหารแบบสอดประสาน และบูรณาการทั่วทั้งองค์กร หรือทั่วทั้งประเทศ ในการขับเคลื่อนพันธกิจระดับองค์กร และระดับประเทศนั้น จำเป็นอย่างยิ่งที่ผู้บริหารระดับสูง และคณะกรรมการของทุกองค์กร และแน่นอนว่าควรจะต้องรวมผู้บริหารระดับประเทศ ที่ควรจะกำหนดความเสี่ยงในมุมมองต่าง ๆ ที่องค์กรหรือประเทศยอมรับได้ เช่น

– รัฐหรือประเทศยอมรับความสูญเสียจากนานาชาติ และประเทศในระดับใด จากเหตุการณ์ความไม่สงบในปัจจุบัน
– ประเทศเราควรจะยอมรับความสูญเสียด้านบุคลากรดังเหตุการณ์ที่เกิดขึ้นเมื่อวันที่ 10 เมษายน 2553 นี้เป็นจำนวนเท่าใด (ไม่ว่าบุคลากรนั้นจะเป็นฝ่ายใด)
– ภาพหรือเหตุการณ์จำลองต่าง ๆ ที่อาจเกิดขึ้นได้ เช่น เมื่อทางภาครัฐต้องดำเนินการอย่างเข้มงวดตามกฎหมาย โดยยึดหลัก 7 ขั้นตอนในการปฏิบัติการตามที่รัฐได้สื่อสารไปให้ทุกฝ่ายได้ทราบแล้วนั้น เป็นที่คาดคะเนได้ว่า รัฐน่าจะประสบความสำเร็จในการรักษากฎหมายได้ในที่สุด… อีกฝ่ายหนึ่งซึ่งอาจจะเรียกว่าเป็นฝ่ายที่พ่ายแพ้ หรือสู้ไม่ได้จะมีวิธีการเช่นใดที่อาจสร้างปัญหาให้กับรัฐได้มากเกินกว่าที่ประเทศน่าจะยอมรับได้… รัฐจะมีวิธีการเช่นใดในการแก้ปัญหาดังกล่าวนั้น +++

แนวคิดในลักษณะการมองเหตุการณ์ไปข้างหน้า และตั้งคำถามและคำตอบอย่างเป็นระบบ เป็นระเบียบและมีขั้นตอน รวมทั้งการกำหนดวิธีการดำเนินการที่เป็นรูปธรรมในแต่ละเหตุการณ์ หรือในแต่ละ Scenario ที่อาจเกิดขึ้น… จะขึ้นกับกลยุทธ์ที่เหมาะสม หากมีการกำหนดระดับความเสียหายที่ยอมรับได้ หรือยอมรับไม่ได้ ที่เป็นรูปธรรม ซึ่งแน่นอนว่าจะแตกต่างกันเป็นอย่างมาก และมีประสิทธิภาพและประสิทธิผลที่แตกต่างกันเป็นอย่างยิ่ง เมื่อเทียบกับการแก้ไขวิกฤตในลักษณะตามเหตุการณ์โดยเฉพาะหน้า… +++

ผมเองพยายามระมัดระวังเป็นอย่างยิ่ง ในการออกความเห็นในลักษณะเชิงวิชาการที่เป็นกลาง และเพื่อผลประโยชน์ของส่วนรวมอย่างแท้จริง แต่หากมีผู้ไม่เข้าใจในเจตนาดีนี้ ก็คงจะแปลหรือเชื่อในลักษณะที่เป็นตรงกันข้ามกับความปรารถนาดีนี้ ก็เป็นสิ่งที่น่าเสียใจเป็นอย่างยิ่ง

หากท่านผู้บริหารที่สนใจในเรื่องการบริหารความเสี่ยง ซึ่งเป็นการบริหารเชิงรุก โดยมองเหตุการณ์ไปทางข้างหน้า และพิจารณาแนวทางป้องกัน หรือจัดการอย่างเป็นระบบ ตามหลักการที่ผมได้เขียนเอาไว้ในการบริหารความเสี่ยงระดับองค์กร ตามหลักการ COSO – ERM ซึ่งเป็น Standard Framework และเป็นบทความหนึ่งของ www.itgthailand.com ก็คงพอเข้าใจนัยความหมาย และความสำคัญของการบริหารความเสี่ยง ซึ่งเป็นเครื่องมือสนับสนุนการกำกับดูแลกิจการที่ดี ตามหลักการ CG ที่เชื่อมกับ ITG และ GRC ที่จำเป็นอย่างยิ่งที่ผู้บริหารของทุกองค์กรและของทุกประเทศ จะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ ควบคู่กันไปเสมอกับหลักการของ CG ที่ได้กล่าวแล้วข้างต้นนะครับ

ส่วนรายละเอียดในทางปฏิบัติที่เป็นรูปธรรม หรือการนำไปใช้งานจริง จากหลักการดังกล่าวคงขึ้นกับความเชื่อในหลักการนี้ที่ได้มีการพิสูจน์กันแล้วทั่วโลก ซึ่งจะขึ้นกับ Responsibility ซึ่งหมายถึง การมีความรู้ความสามารถและประสบการณ์ในการปฏิบัติตามหน้าที่ที่ได้รับมอบหมาย และขึ้นกับ Accountability สำหรับผู้บริหารขององค์กร และของประเทศ ที่หมายถึง ความรับผิดและความรับชอบ ในการบริหารและการจัดการที่ตนเองเป็นผู้ดูแลอยู่ ถึงแม้จะไม่ได้เป็นผู้ปฏิบัติงาน เพราะเป็นผู้บริหารระดับสูงที่มีหน้าที่ใช้ดุลยพินิจ และสั่งการ ให้เป็นไปตามเป้าหมายและกลยุทธ์ในระดับองค์กร หรือในระดับประเทศ ตามที่แต่ละท่านมีหน้าที่และส่วนเกี่ยวข้องอยู่ ทั้งนี้เพื่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและนานาชาติตามหลักการบริหารและการจัดการที่ดีที่เป็นสากล

ครั้งต่อไปผมอาจจะยกตัวอย่างที่เป็นรายละเอียด เพื่อนำไปสู่การปฏิบัติที่มากขึ้น แต่ในขณะเดียวกันก็คงต้องบริหารความเสี่ยงของตนเอง ที่อาจมีผู้เข้าใจที่แตกต่างกันได้ เพราะมีความเชื่อที่เป็นต้นเหตุนำไปสู่ทัศนคติที่แตกต่างกัน และการปฏิบัติที่แตกต่างกัน ซึ่งเป็นวงจรที่เป็นความจริงและเป็นหลักสากลเช่นกัน…

 

บางมุมมองของ CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน (ต่อ)

ในมุมมองของ Statement ใหม่ ที่ทั่วโลกใช้ในการบริหาร และการจัดการแบบหลอมรวมองค์ประกอบต่าง ๆ ที่เกี่ยวข้อง เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี แบบสอดประสานและบู
รณาการที่ใช้คำว่า GRC นั้น กำลังเป็นที่สนใจและพยายามนำไปปฏิบัติกันในองค์กรต่าง ๆ ทั่วโลก

แต่ในความเป็นจริง ผลการปฏิบัติที่จะก่อให้เกิดความเป็นรูปธรรมในมุมมองของ GRC เพื่อขับเคลื่อนองค์กรในลักษณะ Integrity – Driven Performance ที่เน้น PPT หรือ People + Process + Technology ซึ่งก็คือ การยกระดับการบริหารและการจัดการ Operational Risk ที่เชื่อมโยงกับหลักการ Governance (CG + ITG) ในองค์ประกอบต่าง ๆ ที่เกี่ยวข้อง ทั้งด้านทั่วไปและทางด้าน IT (COSO – ERM + CobiT/ITIL) และเชื่อมโยงกับ Compliance หรือการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ จาก External Stakeholders และ Internal Stakeholders เป็นสำคัญนั้น ต้องการความเข้าใจอย่างลึกซึ้งของคณะกรรมการและผู้บริหารระดับสูง ที่จะสามารถถ่ายทอดมาสู่การปฏิบัติที่เป็นรูปธรรมอย่างแท้จริงได้

จากแผนภาพข้างต้น เป็นการสร้างความเข้าใจในภาพโดยรวมของผู้บริหารระดับสูง ที่ผมตั้งใจจะสื่อให้ทราบว่า องค์ประกอบของการกำกับดูแลกิจการที่ดี ตามหลัก CG นั้น มีปัจจัยใดบ้าง และแต่ละปัจจัยมีความสัมพันธ์กันอย่างไร แต่ในภาพนี้ ยังไม่มีการอธิบายการเชื่อมโยงระหว่าง CG กับ ITG ที่ชัดเจน ทั้งนี้เพราะ เป็นการสื่อและสร้างความเข้าใจในภาพใหญ่ ที่ยังไม่ได้ลงในรายละเอียดทั้ง CG และ ITG

โดยเฉพาะอย่างยิ่ง ยังไม่ได้อธิบาย CG ที่เกี่ยวพันกับ ITG ว่าเชื่อมโยงกับ GRC อย่างไรในขั้นตอนนี้ ทั้งนี้เพราะเป็นการอธิบายในมุมมองของ Bird Eye View สำหรับคณะกรรมการและผู้บริหารให้เข้าใจว่า ความสำเร็จของการเติบโตอย่างยั่งยืน ซึ่งเป็นหลักการบริหาร CG ที่สำคัญมากประการหนึ่งนั้น จะเกิดจากนโยบาย วัฒนธรรมขององค์กร กระบวนขั้นตอนการปฏิบัติงานที่ควรจะกำหนดออกมาให้ชัดเจน ในระดับคณะกรรมการ เพื่อให้เกิดการบริหารงานที่โปร่งใส ตรวจสอบได้ ซึ่งครอบคลุมถึง ความสัมพันธ์และบทบาทของผู้บริหารและของพนักงานทุกคนในองค์กร

ข้อความข้างต้น เป็นการเริ่มต้นที่จะกล่าวและอธิบายย่อ ๆ ของคำว่า Governance อีกครั้งหนึ่งเท่านั้นเองนะครับ และการเติบโตอย่างยั่งยืนจะเกิดขึ้นได้ก็ต่อเมื่อ คณะกรรมการและผู้บริหารระดับสูง และผู้ปฎิบัติทุกคนในองค์กร ควรจะได้เข้าใจถึง หลักการบริหารความเสี่ยงที่มีผลกระทบต่อการบรรลุเป้าหมายในมุมมองต่าง ๆ ตามหลัก Business Balaned Scorecard และ Information Balanced Scorecard หรือมีการกำหนด Risk Appetite และ Risk Tolerance ให้สัมพันธ์กับการบรรลุเป้าประสงค์ ทั้งทางด้านกลยุทธ์และการปฏิบัติงาน ที่สามารถวัดและประเมินผลได้อย่างชัดเจน

ที่ผมได้กล่าวในวรรคต้นหมายถึง Risk Management ซึ่งเป็นกลไกหรือเป็นเครื่องมือในการสนับสนุน Governance ให้บรรลุเป้าประสงค์ที่เป็นรูปธรรมได้ ถ้าหากขาดหลักการ Risk Management ซึ่งนิยมใช้ Framework ของ COSO – ERM แล้ว Governance ก็ไม่มีโอกาสที่จะประสบความสำเร็จตามที่ต้องการได้

ท่านผู้อ่านที่ได้อ่านมาถึงวรรค์นี้แล้ว และเมื่อเทียบกับแผนภาพ CG ข้างต้นจะได้นึกและจินตนาการ กระบวนการบริหารและจัดการ Governance ที่เชื่อมโยงกับ Risk Management ได้ในระดับหนึ่งนะครับ

เมื่อเรามีการบริหารและการจัดการเพื่อให้ได้ G – Governance โดยมี R – Risk Management เข้ามาเป็นเครื่องมือในการบริหาร Governance ให้สำเร็จข้างต้นแล้ว สิ่งที่องค์กรจะต้องปฏิบัติอย่างหลีกเลี่ยงไม่ได้อีกอย่างหนึ่งก็คือ การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ และการปฏิบัติตามนโยบายด้านสารสนเทศ และความมั่นคงปลอดภัยขององค์กรอย่างถูกต้อง ให้ได้มาตรฐานที่กำหนดไว้จาก Stakeholders ที่เกี่ยวข้องด้วย

จากแผนภาพข้างต้นที่เกี่ยวข้องกับ Corporate Governance ในมุมมองหนึ่งนั้น ท่านจะเข้าใจหลักการของ CG ได้ดีนะครับว่า CG จะเกิดขึ้นไม่ได้ หากขาดนโยบายที่ชัดเจน และ Tone at the top จากคณะกรรมการและผู้บริหารระดับสูง ที่ต้องมีความมุ่งมั่นหรือจิตวิญญาณ (Spiritual) ที่จะพาองค์กรมาสู่เป้าประสงค์หลักนี้ให้จงได้

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

จากครั้งที่แล้วที่ผมได้พูดคุยถึงขั้นตอนของการตรวจสอบ และได้เล่าถึงประวัติของการตรวจสอบ เพื่อเป็นเกร็ดความรู้เล็ก ๆ น้อย ๆ ให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบ อย่างในหลักการและเทคนิคการตรวจสอบเช่น TDM – Test Data Method ที่แม้ว่าเวลาจะล่วงเลยมาจนถึงปัจจุบันแล้ว แต่ก็ยังเป็นเทคนิคที่ใช้ในการปฏิบัติงานได้เป็นอย่างดี ซึ่งผมจะได้นำเสนอในรายละเอียดของวิธี Test Data Method ภายหลังจากที่เราได้พูดคุยกันถึงขั้นตอนและกระบวนการตรวจสอบในเบื้องต้น เพื่อให้เข้าใจและเห็นภาพของกระบวนการตรวจสอบที่ชัดเจนยิ่งขึ้น ก่อนที่จะดำเนินการตรวจสอบตามกระบวนการตรวจสอบโดยเทคนิคและวิธีการต่าง ๆ ต่อไป

สำหรับวันนี้เรามาดูกันว่า ในขั้นตอนและกระบวนการตรวจสอบในเบื้องต้นนั้น มีการจัดประเภทของการตรวจสอบด้านคอมพิวเตอร์เอาไว้อย่างไร

การตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2 ประเภท คือ การตรวจสอบกิจกรรม หรือการดำเนินงานของหน่วยงานคอมพิวเตอร์ และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล

1. การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ (General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ซึ่งส่วนใหญ่เป็นเรื่องเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง มีหัวข้อการตรวจสอบดังนี้

1.1. การตรวจสอบภายในและการสอบบัญชี เป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชี ซึ่งได้รับมอบหมายจากฝ่ายบริหาร และผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบ มีขอบเขตการปฏิบัติงานครอบคลุมในเรื่องต่าง ๆ เพียงพอหรือไม่ และเชื่อถือได้เพียงใด

1.2. การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์ ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน

1.3. การพัฒนาระบบงานและโปรแกรม เป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม การแก้ไขระบบงานและโปรแกรม และความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน

1.4. การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูล และการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้อง ครบถ้วนและเชื่อถือได้เพียงใด

1.5. การปฏิบัติงานคอมพิวเตอร์ เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์ การจัดเก็บแฟ้มข้อมูล การรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน

1.6. การสื่อสารข้อมูล (กรณีใช้ Hardware และ/หรือ Software ร่วมกันหลายระบบงาน) เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร

1.7. การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการ กรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง ควรมีการตรวจสอบสัญญาการใช้บริการ การคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์ นอกเหนือจากการตรวจสอบตามหัวข้อที่กล่าวมาแล้วด้วย เพื่อป้องกันธุรกิจที่จำเป็นต้องใช้ข้อมูลที่ประมวลผลด้วยคอมพิวเตอร์ต้องหยุดชะงัก หากศูนย์คอมพิวเตอร์ไม่สามารถให้บริการได้ตามปกติด้วยเหตุใดก็ตาม

2. การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (Application Controls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงาน ซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบ ในแต่ละระบบมากกว่าการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ มีหัวข้อการตรวจสอบดังนี้

2.1. แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ
– การจัดทำเอกสารขั้นต้น หรือเอกสารประกอบรายการ
– การอนุมัติรายการ
– การเตรียมข้อมูลนำเข้า
– การเก็บรักษาเอกสารขั้นต้น
– การแก้ไขเอกสารที่มีข้อผิดพลาด

2.2. การทำรายการป้อนเข้าสู่ระบบงาน เป็นการตรวจสอบ
– การทำรายการป้อนข้อมูลเข้าสู่ระบบงาน ซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry
– หลักเกณฑ์ที่ใช้ในการควบคุมการทำรายการ เพื่อให้ได้ข้อมูลที่ถูกต้องและครบถ้วน
– การแก้ไขข้อผิดพลาดในการทำรายการป้อนเข้าสู่ระบบงาน

2.3. การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ซึ่งประกอบด้วย
– การใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน
– การเคลื่อนย้ายข้อมูลในระบบสื่อสาร ซึ่งต้องอาศัย Hardware และ Software ควบคุมการเคลื่อนย้ายข้อมูล
– การบันทึกรายละเอียดในการติดต่อสื่อสารระหว่างเครื่อง Terminal กับ CPU ไว้ที่ศูนย์คอมพิวเตอร์

2.4. การประมวลผล ได้แก่ การตรวจสอบ
– ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือได้เพียงใด
– การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง
– ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล
– การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล
– การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล

2.5. การเก็บรักษาข้อมูลและการนำข้อมูลไปใช้งาน เป็นการตรวจสอบ
– การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล
– การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล
– การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล

2.6. ผลลัพธ์ที่ได้จากการประมวลผล เป็นการตรวจสอบ
– การกระทบยอดข้อมูล
– การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล
– การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน
– การเก็บรักษาข้อมูลที่ได้จากการประมวลผล
– การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด

ในครั้งหน้าผมจะมานำเสนอกระบวนการตรวจสอบ ที่ได้จัดทำในรูปแบบของแผนภาพ พร้อมอธิบายถึงรายละเอียดของกระบวนการตรวจสอบและขั้นตอนของการตรวจสอบต่อไป โปรดติดตามนะครับ

 

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

เมื่อครั้งที่แล้ว ผมได้นำเสนอแผนภาพรวมของกระบวนการวางแผนขององค์กรทั่วไป ที่พอจะทำให้ผู้อ่านเห็นภาพของกระบวนการวางแผนงาน และโครงการคร่าว ๆ ก่อนในเบื้องต้น ซึ่งในรายละเอียดของการวางแผนงาน/โครงการ ผมได้นำมาพูดคุยกันในวันนี้

เพื่อความเข้าใจในการบริหารแผนงาน/โครงการที่ถูกต้อง ชัดเจน และสามารถบริหารแผนงานและโครงการได้อย่างมีประสิทธิภาพ ประสิทธิผล ผู้ที่มีหน้าที่และ/หรือผู้เกี่ยวข้อง จึงควรเข้าใจความหมายของแผนงานและโครงการ หน้าที่การจัดการในภาพรวม และวัตถุประสงค์ของการวางแผน ก่อนที่จะทำการวางแผนงาน/โครงการเพื่อให้การปฏิบัติงานเป็นไปตามกระบวนการที่ได้วางแผนหรือกำหนดไว้

แผนงานและโครงการคืออะไร
แผนงาน/โครงการ เป็นสัญญาเพื่อที่จะทำงานร่วมกันทั้ง 2 ฝ่าย คือ เจ้าหน้าที่ขององค์กร หรือสายงานที่เกี่ยวข้องกับผู้บริหาร ที่กำหนดขึ้นภายใต้วัตถุประสงค์และขอบข่ายงานที่ได้กำหนดไว้ แผนงานและโครงการเป็นการเพิ่มศักยภาพการใช้ทรัพยากรอย่างมีประสิทธิภาพ ประกอบด้วยกิจกรรมต่าง ๆ ซึ่งต้องมีการหารือกันกับผู้ที่เกี่ยวข้อง และในแต่ละกิจกรรม แต่ละขั้นตอนต้องกำหนดระยะเวลาเริ่มต้นและระยะเวลาสิ้นสุด มีตัววัดความสำเร็จแต่ละกิจกรรมและขั้นตอนที่เกี่ยวข้อง

หน้าที่ของฝ่ายจัดการในภาพโดยรวม
เพื่อบรรลุสู่วิสัยทัศน์ พันธกิจ กลยุทธ์ และการจัดทำแผนงาน/โครงการ ฝ่ายจัดการควรคำนึงถึง
1. การกำหนดวิสัยทัศน์ พันธกิจ กลยุทธ์/ยุทธศาสตร์ นโยบายที่เหมาะสม
2. การวางแผนและโครงการให้สัมพันธ์กับเป้าประสงค์หลัก (Strategic Objective)
3. รวบรวมความต้องการข้อมูลและสารสนเทศที่เหมาะสมและเกี่ยวข้องกับแผนงาน
4. กำหนดทรัพยากร สนับสนุนแผนงานเพื่อบรรลุพันธกิจของ องค์กร
5. กำหนดขอบเขตของงานให้สอดคล้องกับกลยุทธ์ที่เกี่ยวข้อง
6. จัดให้มีการปฏิบัติ ควบคุม และวัดผลความสำเร็จของแผนงานนั้น ๆ
7. จัดให้มีการติดตาม และรายงานผลความสำเร็จที่ปฏิบัติจริงเทียบกับแผนงาน

วัตถุประสงค์ของการวางแผนงาน และโครงการที่เกี่ยวข้องขององค์กรทั่วไป
1. กำหนดเป้าประสงค์ของแผนงานและโครงการให้ชัดเจนและเป็นรูปธรรมที่วัดได้
2. เพื่อให้เห็นภาพของแผนงาน/โครงการได้อย่างเป็นรูปธรรม
3. แปลงความต้องการให้ปรากฏในแผนงาน
4. กำหนดงานต่าง ๆ ที่ต้องทำ
5. กำหนดวันเริ่มต้นและวันสุดท้ายของแต่ละงาน
6. กำหนดทรัพยากรที่ต้องการใช้ เพื่อให้ใช้งานได้อย่างมีประสิทธิภาพ เป็นสื่อให้หน่วยงานและบุคคลที่เกี่ยวข้องกับโครงการได้รับทราบโดยทั่วกัน เพื่อการประสานงานที่เหมาะสม
7. เป็นแนวทางและพื้นฐานในการประมาณการ ติดตาม และควบคุมโครงการ และรายงานเพื่อการเปรียบเทียบผลที่ได้อย่างชัดเจน

 

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง ในบางมุมมอง (ต่อ)

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเองที่องค์กรต้องมีการปรับปรุงการบริหารความเสี่ยงเป็นอย่างมาก เนื่องจากองค์กรมีการบริหารความเสี่ยงเบื้องต้นที่ยังไม่เป็นระบบนั้น วันนี้ เราจะมาพูดถึงการประเมินตนเองในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่บ้าง แต่ยังต้องปรับปรุงกระบวนการบริหารความเสี่ยง เพื่อยกระดับการบริหารและการจัดการไปสู่การเชื่อมโยงและบูรณาการบริหารความเสี่ยง กับการบริหารเทคโนโลยีสารสนเทศ เพื่อการจัดการที่ดี (ITG – IT Governance) ต่อไป

วันนี้เราลองมาประเมินตนเองนะครับ ในองค์กรของท่านว่า การบริหารความเสี่ยงในเบื้องต้นที่พอมีระบบอยู่นั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ดังนี้

1. การบริหารความเสี่ยงขององค์กรเป็นเพียงกลยุทธ์ระยะสั้น โดยมีโครงสร้างของคณะทำงาน หรือสายงานที่ตั้งขึ้นเป็นลักษณะเฉพาะกาล และ/หรือ ยังไม่มีการทำงานที่เป็นรูปธรรมที่เกี่ยวข้องกับการบริหารความเสี่ยงในระยะยาว เช่น องค์กรยังไม่มีการบริหารความเสี่ยงเป็นกลยุทธ์ระยะยาว โดยองค์กรเพียงตั้งคณะทำงานที่มีลักษณะเป็นเฉพาะกาล ที่ไม่มีโครงสร้างการทำงานที่เป็นรูปธรรม โดยผู้รับผิดชอบความเสี่ยงจะเป็นผู้วิเคราะห์และทำแผนกิจกรรมการจัดการกับความเสี่ยง เป็นปี ๆ หรือตามภารกิจที่ได้รับมอบหมายเท่านั้น

2. องค์กรมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหารความเสี่ยงเป็นส่วน ๆ เช่น ไม่มี Risk Map ไม่มีองค์ประกอบหลักของการบริหารความเสี่ยงหลักที่ดี ที่ประกอบด้วย การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยง โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ยังไม่มีการวิเคราะห์ถึงค่าใช้จ่ายและผลประโยชน์ที่ได้ในแต่ละทางเลือก เพื่อนำไปสู่ทางเลือกที่ดีที่สุด และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลือที่อยู่ (Residual Risk) ขององค์กร และการติดตามตามผลและการรายงาน

3. องค์กรมีการควบคุมภายในตามฐานความเสี่ยงที่ระบุ (Risk-Based Internal) ไม่ครบถ้วน เช่น การพัฒนาองค์กรให้มั่นคง เพื่อให้เกิดประสิทธิภาพในการบริหารแหล่งเงินทุน การจัดทำงบการเงินให้ถูกต้องครบถ้วนไม่ทันเวลา การจัดซื้อจัดหาวัสดุไม่ตรงตามความต้องการ ในราคาที่ไม่เหมาะสม ไม่มีการดูแลรักษาระบบคอมพิวเตอร์ให้พร้อมใช้งานได้ตลอดเวลา และขาดระบบสำรวจข้อมูลความเสี่ยงด้านปฏิบัติการ (Operational Risk) และไม่มีการพัฒนาพนักงานให้มีแผนพัฒนาพนักงานที่ตรงกับความจำเป็นขององค์กร การกำหนดโครงสร้างและอัตรากำลังไม่สอดคล้องและเหมาะสมกับภารกิจของงาน

4. หน่วยงานไม่มีการระบุความเสี่ยงที่มีความรุนแรงสูงอย่างชัดเจน ไม่มีการกำหนดแผนการควบคุมความเสี่ยงให้สอดคล้องกับการระบุความเสี่ยง ตามระดับความรุนแรงที่เกี่ยวข้อง รวมถึงไม่ได้ระบุปัญหาที่เป็นปัจจัยเสี่ยงทางด้านบุคลากร การขาดความรู้ ขาดทักษะ และประสบการณ์ในงานที่ทำ และไม่ได้กำหนดแผนการบริหารความเสี่ยงไว้ เช่น ไม่มีแผนการจัดฝึกอบรมให้กับบุคลากรที่เกี่ยวกับงานที่ปฏิบัติ ขาดระบบการประเมินผลงานและบุคคลที่เป็นไปตามหลัก Competency และการสร้างแรงจูงใจ

5. ขาดองค์ประกอบหลักในการบริหารความเสี่ยงขององค์กรที่สอดคล้องกันในทุกปัจจัยเสี่ยง ตามข้อ 2 ข้างต้น

ตัวอย่างข้างต้นเป็นเพียงแนวประเมินตนเองบางประการ ของหน่วยงานที่ต้องการปรับปรุงและยกระดับการบริหารและการจัดการทางด้านความเสี่ยง ให้อยู่ในระดับที่ยอมรับได้ ในปัจจุบันการระบุปัจจัยเสี่ยงที่มีผลกระทบต่อการบรรลุเป้าหมายระดับองค์กร เป็นเรื่องที่ต้องการความเข้าใจอันมีความสัมพันธ์กับ Risk IT และ IT Risk ที่มีผลต่อ Business Risk ของทุกองค์กรในภาพโดยรวม

ดังนั้น ผู้ทำการประเมินตนเอง โดยเฉพาะอย่างยิ่งผู้บริหารที่มีหน้าที่ดูแลทางด้านการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง โดยเฉพาะอย่างยิ่งผู้ที่ทำหน้าที่เป็นผู้ให้ความสะดวก (Facilators) ในการทำการประเมินตนเองเพื่อการบริหารความเสี่ยงและการควบคุมภายในของหน่วยงาน จึงควรมีความรู้ความเข้าใจในผลกระทบที่มีต่อ Business Risk จากเหตุการณ์ที่เป็นต้นเหตุของความเสี่ยง ทั้งทางด้าน IT และ Non – IT รวมทั้งควรมีความเข้าใจในการระบุเหตุการณ์ที่เป็นความไม่แน่นอน รวมทั้งการสูญเสียโอกาสที่มีผลต่อการขับเคลื่อนนโยบาย กลยุทธ์ และแผนการปฏิบัติงาน เพื่อสร้าง Value Creation ให้กับองค์กรในมุมมองต่าง ๆ อย่างผสมผสาน และได้ดลุยภาพด้วย

 

การบริหารภาวะวิกฤตเป็นการบริหารปลายเหตุที่ใช้ต้นทุนสูงมาก

การบริหารในภาวะวิกฤตกับการบริหารความเสี่ยงมีความแตกต่างกันมาก ภาวะวิกฤตจะมีให้จัดการน้อย ถ้าองค์กรหรือประเทศมีการบริหารความเสี่ยงที่ดี หากหน่วยงานระดับสูงมีการบริหารความเสี่ยง ซึ่งเป็นการบริหารเชิงรุกอย่างแท้จริง และเป็นไปตามหลักการสากล ภาวะวิกฤตของประเทศที่ไม่ต้องการให้เกิดขึ้น ก็อาจถูกจัดการอย่างเป็นระบบได้ก่อนจะมีปัญหาให้แก้ไข ซึ่งอาจตามมาด้วยวิกฤตของประเทศหรือองค์กรที่เป็นปัญหาแก้ได้ยาก และเกิดความเสียหายขึ้นมาได้ในที่สุด และความเสียหายในหลายมุมมองเป็นความเสียหายที่ประเทศไม่น่ายอมรับได้ หากมีการกำหนดระดับความเสียหายที่ประเทศยอมรับได้ (Risk Appetite) เช่นเดียวกับหลักการบริหารองค์กรที่มีประสิทธิภาพ ภาวะวิกฤตจะลดน้อยลงอย่างแน่นอน ถ้าไม่มีการกำหนด Risk Appetite ก็แสดงว่ามีปัญหาที่กระบวนการบริหารและกลยุทธรวมทั้งนโยบายการบริหารที่น่าจะมีปัญหาตามมา

หากทุกฝ่ายที่เป็นกลุ่มสี(ถ้ามี)ยึดผลประโยชน์ของชาติเป็นตัวตั้ง แล้วถอยมาดูความต้องการของแต่ละฝ่ายและ กลับไปดูตัวตั้งที่ใช้เป็นโจทย์หลักคือผลประโยชน์ของชาติในระยะยาวและ ลดความเสียหาย ที่ไม่น่ายอมรับได้ผRisk Appetite)ในปัจจุบันในทุกมุมมองลงไปให้ได้ ผมมั่นใจว่าไปได้สวยนะครับ
แต่ถ้าแต่ละฝ่ายพิจารณาโจทย์จากผลประโยชน์ของกลุ่ม โดยไม่มองผลประโยชน์ระดับชาติ คงแก้ไขปัญหาได้ยากและคนไทยรวมทั้งคนต่างชาติ ที่หวังดีต่อไทยก็คงกังวลและเศร้าใจต่อไปอีกนาน นั่นหมายถึงต้นทุนของความไม่ปรองดองและความไม่เข้าใจต่อภาพรวมของที่ชาติต้องการอบย่างแท้จริง

หากเราตั้งใจจะลดความเสียหายของชาติทั้งปัจจุบันและอนาคต เราคงต้องมุ่งการแก้ไขปัญหาทุกอย่างไปในทิศทางที่ประเทศชาติเราได้ประโยชน์อย่างแท้จริงในอนาคต มากกว่าการคำนึงถึงผลประโยชน์เพียงของกลุ่มที่มีความเห็นตรงกันเท่านั้น เพราะโอกาสจะสำเร็จจะติดอยู่ที่วังวนของทัศนคติที่แตกต่างกัน การสร้างและฟื้นฟูความเชื่อมั่นของชาติจึงควรพิจารณาจากภาพใหญ่หรือผลประโยชน์สูงที่สุดของชาติเสมอ นั่นคือแก้ไขและจัดการปัญหาไปในทิศทางที่…ชาติจะได้ประโยชน์เป็นสำคัญโดยพยายามรักษากติกาของสังคมอย่างได้ดุลยภาพที่แท้จริงและพิสูจน์ได้ตามหลัก CG ที่ต้องคำนึงถึงเป้าประสงค์โดยรวมที่ประเทศไทยต้องการไปให้ถึงให้จงได้ และพิจารณาว่า มีปัจจัยใดที่เป็นอุปสรรคในการบรรลุเป้าหมายนั้น ที่เราต้องช่วยกันควบคุม จัดการความเสี่ยงให้เหมาะสม และยอมรับได้

Six Thinking Hats เป็นเทคนิคที่มีความสำคัญและมีประสิทธิภาพมาก พัฒนาโดย Edward de Bono ใช้ประโยชน์เป็นกรอบการทำงานที่คำนึงถึงความคิดหลายรูปแบบ โดยมีอุปมาอุปมัยว่า หมวกทั้งหกสี เพื่อแสดงถึงความคิดประเภทต่างๆที่แตกต่างกันไป มีประโยชน์ในการทำการประเมินตนเอง เพื่อการบริหารความเสี่ยงเพื่อการบรรลุเป้าหมายระดับต่างๆ ที่เรียกกันว่า CSA-Control Self Assessment และช่วยให้ผู้เกี่ยวข้องมีมุมมองที่กว้างขึ้นตามแต่สถานการณ์ สถานการณ์ปัจจุบันของไทยเราขณะนี้ มีแนวความคิดหลายแบบและเป็นเช่นสีของหมวกทั้งหกครับ

ดังนั้น ผู้นำของประเทศและผู้บริหารของทุกองค์กร ควรได้ทำความเข้าใจกับความคิดที่แตกต่างกันของแต่ละบุคคลและของแต่ละกลุ่ม เพื่อเชื่อมโยงความคิดที่แตกต่างนั้น นำมาสร้างคุณค่าเพิ่มให้กับองค์กรและของประเทศให้ประสบความสำเร็จตามเป้าหมายตามที่ต้องการ เช่น การพิจารณาความคิดเห็นที่แตกต่างกันของผู้ที่เกี่ยวข้องโดยใช้หลักการ หมวก 6 สี ให้เป็นประโยชน์ในการทำ Control Self Assessment – CSA ผู้ดำเนินการหรือผู้อำนวยความสะดวกที่ทำหน้าที่ด้านนี้ ก็จะสามารถสร้างคุณค่าเพิ่มให้กับองค์กรได้เป็นอย่างดี