Archive for กรกฎาคม, 2010

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร

การบริหารความเสี่ยงที่มีการประเมินผลโดยรวม ต่อการดำเนินงานของหน่วยงานหรือองค์กร ตามหลักการของ COSO – ERM เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงานที่เป็นรูปธรรม ส่งผลให้หน่วยงานหรือองค์กรมีการบริหารจัดการ เพื่อยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่การบริหารเชิงรุกอย่างเป็นระบบ ซึ่งหน่วยงานหรือองค์กรสามารถยกระดับการบริหารความเสี่ยง จากน้อยไปสู่การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มให้แก่องค์กร หรือจนกระทั่งปลูกฝังให้การบริหารความเสี่ยง เป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าเพิ่มให้แก่องค์กร (Value Creation) ได้ในที่สุดนั้น สามารถพิจารณาได้จากหลักการ และคำแนะนำบางประการ ดังที่ผมจะได้เล่าสู่กันฟัง เป็นหัวข้อที่เข้าใจง่าย ๆ ดังนี้

กรณีที่ 1 การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กร

1. การกำหนดกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร

1.1. ก) องค์กรควรมีหลักฐานที่ชัดเจนถึงการเชื่อมโยงกลยุทธ์ การบริหารความเสี่ยง นโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร โดยเป้าหมายเชิงกลยุทธ์ ควรประกอบด้วย การรักษาความสามารถในการดำเนินธุรกิจหลักขององค์กร, มุ่งเน้นในการสร้างรายได้จากธุรกิจใหม่ที่มีอัตราการทำกำไรที่ดี และพัฒนาความสามารถของพนักงานและกระบวนการดำเนินงานอย่างต่อเนื่อง ซึ่งองค์กรควรได้ถ่ายทอดลงมาเป็นปัจจัยเสี่ยงและเป้าหมายในการบริหารความเสี่ยงอย่างชัดเจน

ข) องค์กรมีการกำหนดเรื่องการบริหารความเสี่ยง เป็นส่วนหนึ่งของวัตถุประสงค์ในการดำเนินธุรกิจในแผนธุรกิจ และแผนเพิ่มประสิทธิภาพ โดยกำหนดเป็นวัตถุประสงค์ด้านองค์กร คือ เพื่อเป็นองค์กรที่มีการบริหารในแนวทางของการกำกับดูแลกิจการที่ดี ควบคู่ไปกับการบริหารความเสี่ยงที่เป็นมาตรฐานสากล นอกจากนี้ การกำหนดนโยบายใหม่ ๆ ขององค์กรควรมีการกำหนดให้คณะกรรมการบริหารความเสี่ยงพิจารณาด้วย

2. องค์กรมีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยงเพื่อเพิ่มมูลค่า (Value Enhancement)

2.1. การปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน องค์กรมีการจัดทำแผนบริหารความเสี่ยงประจำปี โดยเป็นส่วนหนึ่งของแผนธุรกิจ และแผนเพิ่มประสิทธิภาพ และมีการปฏิบัติตามแผนปฏิบัติการบริหารความเสี่ยงได้อย่างครบถ้วน

2.2. มีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงิน โดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน หรือการควบคุม/บริหารต้นทุน และ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่องค์กรมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยง เพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างมูลค่าขององค์กร (Value Creation) โดยที่องค์กรมีการนำเป้าหมายทางการเงินของแผนยุทธศาสตร์มาวิเคราะห์ เชื่อมโยงและค้นหาปัจจัยเสี่ยง เพื่อนำมาบริหารความเสี่ยงและจัดทำแผนรองรับ โดยเป้าหมายของแผนบริหารความเสี่ยงทั้งการเงินและมิใช่การเงินขององค์กร สามารถบรรลุเป้าหมายได้ครบถ้วนตามที่กำหนด

2.3. มีการสื่อสารถึงคณะกรรมการตรวจสอบ และผู้บริหารระดับสูงสุดอย่างต่อเนื่อง ตามที่ระบุไว้ในคู่มือการบริหารความเสี่ยง โดยมีการรายงานผลการบริหารความเสี่ยง ต่อผู้บริหารระดับสูงอย่างต่อเนื่อง และมีการติดตามความเสี่ยงเป็นประจำทุกเดือน รวมถึง รายงานผลการบริหารความเสี่ยงในทุกไตรมาส ซึ่งได้กำหนดไว้ในคู่มือการบริหารความเสี่ยง เพื่อให้เป็นมาตรฐานปฏิบัติอย่างต่อเนื่องในการบริหารความเสี่ยงองค์กร

3. องค์กรมีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น เมื่อสภาพแวดล้อมเปลี่ยนแปลงไป หรือกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด

3.1. องค์กรมีการทบทวนการบริหารความเสี่ยง โดยมีการปรับเปลี่ยนวิธีการตามกระบวนการบริหารความเสี่ยงและองค์ประกอบในการบริหารความเสี่ยงในระดับองค์กร รวมถึงมีการทบทวนแผนหลักบริหารความเสี่ยงและควบคุมภายใน ซึ่งเป็นการปรับเปลี่ยนแผนในการดำเนินงานให้มีความสอดคล้อง เหมาะสมกับสภาพแวดล้อม และความจำเป็นขององค์กร และมีความชัดเจนในภาพการบูรณาการ การบริหารความเสี่ยงระดับองค์กรและระดับฝ่ายงาน กับกระบวนการบริหารเชิงกลยุทธ์

4. องค์กรจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง โดยต้องจัดให้มีการ สำรวจความตระหนักของพนักงานเกี่ยวกับระบบบริหารความเสี่ยงขององค์กร และนำผลสำรวจมาจัดทำแผนงาน และกำหนดเป้าหมายของแผนงานที่ชัดเจนในปีต่อไป

4.1. ก) องค์กรจัดให้มีการสำรวจความรู้ ความเข้าใจ เรื่องการบริหารความเสี่ยงและควบคุมภายใน จากพนักงานเพื่อรับทราบความรู้ ความเข้าใจเรื่องการบริหารความเสี่ยงและควบคุมภายใน และรับทราบความคิดเห็น โดยมีทั้งคำถามแบบปลายปิดและปลายเปิด โดยในส่วนของคำถามปลายปิด เป็นการสอบถามถึงความรู้ ความเข้าใจเกี่ยวกับการบริหารความเสี่ยง และการสอบถามถึงการบริหารความเสี่ยงที่ควรทราบ ส่วนคำถามปลายเปิด เป็นการให้พนักงานเสนอแนะเพิ่มเติม เพื่อนำมาเป็นข้อมูลในการวิเคราะห์เพื่อจัดทำแผนงาน/โครงการ/กิจกรรมส่งเสริมความรู้ความเข้าใจและความตระหนักรู้ในเรื่องการบริหารความเสี่ยงให้กับพนักงาน และเพื่อจะได้พิจารณากำหนดแนวทางในการส่งเสริม และผลักดันให้การบริหารความเสี่ยงแทรกซึมอยู่ในกระบวนการปฏิบัติงานประจำ เพื่อสร้างมูลค่าเพิ่มและปลูกฝังเป็นวัฒนธรรมองค์กร

ข) ฝ่ายบริหารความเสี่ยงควรทำการสำรวจความคิดเห็นของพนักงานหน่วยงานเจ้าของความเสี่ยงได้แก่ หน่วยงานด้านการบริหารการเงิน ด้านเทคโนโลยีสารสนเทศ ด้านบริการ ด้านบริหาร ด้านแผนและพัฒนา และหน่วยงานด้านอื่น ๆ ในองค์กรที่ดำเนินการบริหารความเสี่ยง เพื่อให้ผู้บริหารทราบถึงทัศนคติและความคิดเห็น รวมทั้งข้อเสนอแนะต่าง ๆ เพื่อใช้ประโยชน์ในการพัฒนาการบริหารความเสี่ยงต่อไป

การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กร ยังไม่จบเพียงเท่านี้ ครั้งหน้าผมจะมาเล่าสู่กันฟังถึงหลักการและคำแนะนำในข้ออื่น ๆ ต่อนะครับ

 

การปฏิบัติตามนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. 2553 โดย ก. ICT (ต่อ)

ในครั้งที่แล้ว ผมได้เล่าถึงแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ซึ่งได้ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 มิถุนายน 2553 เล่มที่ 127 ตอนพิเศษ 78 ง หน้า 131 – 138 ซึ่งท่านผู้อ่านสามารถดูได้จากเว็บไซต์ http://www.ratchakitcha.soc.go.th/DATA/PDF/2553/E/078/131.PDF

อย่างไรก็ดี เพื่อความสะดวกของผู้อ่านบางท่าน ผมขอนำเสนอข้อมูลมาให้ท่านเข้าใจด้วยการอ่านจากประกาศดังต่อไปนี้ได้เลยครับ

เล่ม ๑๒๗ ตอนพิเศษ ๗๘ ง ราชกิจจานุเบกษา ๒๓ มิถุนายน ๒๕๕๓

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓

ด้วยปัญหาด้านการรักษาความมั่นคงปลอดภัยให้กับสารสนเทศมีความรุนแรงเพิ่มขึ้นทั้งในประเทศ และต่างประเทศ อีกทั้งยังมีแนวโน้มที่จะส่งผลกระทบต่อภาครัฐ และภาคธุรกิจมากขึ้น ทำให้ผู้ประกอบการ ตลอดจนองค์กร ภาครัฐ และภาคเอกชน ที่มีการดำเนินงานใด ๆ ในรูปของข้อมูลอิเล็กทรอนิกส์ผ่านระบบสารสนเทศขององค์กร ขาดความเชื่อมั่นต่อการทำธุรกรรมทางอิเล็กทรอนิกส์ในทุกรูปแบบ ประกอบกับคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ตระหนักถึงความจำเป็นที่จะส่งเสริมและผลักดัน ให้ประเทศสามารถยกระดับการแข่งขันกับประเทศอื่น ๆ โดยการนำระบบสารสนเทศและการสื่อสาร มาประยุกต์ใช้ประกอบการทำธุรกรรมทางอิเล็กทรอนิกส์อย่างแพร่หลาย

จึงเห็นความสำคัญที่จะนำกฎหมาย ข้อบังคับต่าง ๆ มาบังคับใช้กับการทำธุรกรรมทางอิเล็กทรอนิกส์ ทั้งในส่วนที่ต้องกระทำ และในส่วนที่ต้องงดเว้นการกระทำ เพื่อช่วยให้การทำธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานของรัฐมีความมั่นคงปลอดภัย และมีความน่าเชื่อถือ เพื่อให้การดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐ หรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้ ตลอดจนมีมาตรฐานเป็นที่ยอมรับในระดับสากล

คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ จึงเห็นควรกำหนดแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ อาศัยอำนาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ จึงได้จัดทำประกาศฉบับนี้ เพื่อเป็นแนวทางเบื้องต้นให้หน่วยงานของรัฐ ใช้ในการกำหนดนโยบาย และข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งอย่างน้อยต้องประกอบด้วยสาระสำคัญ ดังต่อไปนี้

ข้อ ๑ ในประกาศนี้
(๑) ผู้ใช้งาน หมายความว่า ข้าราชการ เจ้าหน้าที่ พนักงานของรัฐ ลูกจ้าง ผู้ดูแลระบบ ผู้บริหารขององค์กร ผู้รับบริการ ผู้ใช้งานทั่วไป
(๒) สิทธิของผู้ใช้งาน หมายความว่า สิทธิทั่วไป สิทธิจำเพาะ สิทธิพิเศษ และสิทธิอื่นใดที่เกี่ยวข้องกับระบบสารสนเทศของหน่วยงาน
(๓) สินทรัพย์ (asset) หมายความว่า สิ่งใดก็ตามที่มีคุณค่าสำหรับองค์กร
(๔) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ หมายความว่า การอนุญาต การกำหนดสิทธิ หรือการมอบอำนาจให้ผู้ใช้งาน เข้าถึงหรือใช้งานเครือข่ายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกส์และทางกายภาพ รวมทั้งการอนุญาตเช่นว่านั้น สำหรับบุคคลภายนอก ตลอดจนอาจกำหนดข้อปฏิบัติเกี่ยวกับการเข้าถึงโดยมิชอบเอาไว้ด้วยก็ได้
(๕) ความมั่นคงปลอดภัยด้านสารสนเทศ (information security) หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ได้แก่ความถูกต้องแท้จริง (authenticity) ความรับผิด (accountability) การห้ามปฏิเสธความรับผิด (non-repudiation) และความน่าเชื่อถือ (reliability)
(๖) เหตุการณ์ด้านความมั่นคงปลอดภัย (information security event) หมายความว่า กรณีที่ระบุการเกิดเหตุการณ์ สภาพของบริการ หรือเครือข่ายที่แสดงให้เห็นความเป็นไปได้ ที่จะเกิดการฝ่าฝืนนโยบายด้านความมั่นคงปลอดภัย หรือมาตรการป้องกันที่ล้มเหลว หรือเหตุการณ์อันไม่อาจรู้ได้ว่าอาจเกี่ยวข้องกับความมั่นคงปลอดภัย
(๗) สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด (information security incident) หมายความว่า สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด (unwanted or unexpected) ซึ่งอาจทำให้ระบบขององค์กรถูกบุกรุกหรือโจมตี และความมั่นคงปลอดภัยถูกคุกคาม

ข้อ ๒ หน่วยงานของรัฐ ต้องจัดให้มีนโยบายในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศของหน่วยงานเป็นลายลักษณ์อักษร ซึ่งอย่างน้อยต้องประกอบด้วยเนื้อหา ดังต่อไปนี้
(๑) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ
(๒) จัดให้มีระบบสารสนเทศและระบบสำรองของสารสนเทศซึ่งอยู่ในสภาพพร้อมใช้งาน และจัดทำ แผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำ เนินการด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง
(๓) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ

ข้อ ๓ หน่วยงานของรัฐต้องจัดให้มีข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงาน ซึ่งอย่างน้อยต้องประกอบด้วยกระบวนการ ดังต่อไปนี้
(๑) หน่วยงานของรัฐต้องจัดทำข้อปฏิบัติที่สอดคล้องกับนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงาน
(๒) หน่วยงานของรัฐต้องประกาศนโยบายและข้อปฏิบัติดังกล่าว ให้ผู้เกี่ยวข้องทั้งหมดทราบ เพื่อให้สามารถเข้าถึง เข้าใจ และปฏิบัติตามนโยบายและข้อปฏิบัติได้
(๓) หน่วยงานของรัฐต้องกำหนดผู้รับผิดชอบตามนโยบายและข้อปฏิบัติดังกล่าวให้ชัดเจน
(๔) หน่วยงานของรัฐต้องทบทวนปรับปรุงนโยบายและข้อปฏิบัติให้เป็นปัจจุบันอยู่เสมอ

ข้อ ๔ ข้อปฏิบัติในด้านการรักษาความมั่นคงปลอดภัย ต้องมีเนื้อหาอย่างน้อยครอบคลุม ตามข้อ ๕ – ๑๕

ข้อ ๕ ให้มีข้อกำหนดการเข้าถึงและควบคุมการใช้งานสารสนเทศ (access control) ซึ่งต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) หน่วยงานของรัฐต้องมีการควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
(๒) ในการกำหนดกฎเกณฑ์เกี่ยวกับการอนุญาตให้เข้าถึง ต้องกำหนดตามนโยบายที่เกี่ยวข้องกับการอนุญาต การกำหนดสิทธิ หรือการมอบอำนาจของหน่วยงานของรัฐนั้น ๆ
(๓) หน่วยงานของรัฐต้องกำหนดเกี่ยวกับประเภทของข้อมูล ลำดับความสำคัญ หรือลำดับชั้นความลับของข้อมูล รวมทั้งระดับชั้นการเข้าถึง เวลาที่ได้เข้าถึง และช่องทางการเข้าถึง

ข้อ ๖ ให้มีข้อกำหนดการใช้งานตามภารกิจเพื่อควบคุมการเข้าถึงสารสนเทศ (business requirements for access control) โดยแบ่งการจัดทำข้อปฏิบัติเป็น ๒ ส่วนคือ การควบคุมการเข้าถึงสารสนเทศ และการปรับปรุงให้สอดคล้องกับข้อกำหนดการใช้งาน ตามภารกิจและข้อกำหนดด้านความมั่นคงปลอดภัย

ข้อ ๗ ให้มีการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงระบบสารสนเทศ เฉพาะผู้ที่ได้รับอนุญาตแล้ว และผ่านการฝึกอบรม หลักสูตรการสร้างความตระหนักเรื่องความมั่นคงปลอดภัยสารสนเทศ (information security awareness training) เพื่อป้องกันการเข้าถึงจากผู้ซึ่งไม่ได้รับอนุญาต โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) สร้างความรู้ความเข้าใจให้กับผู้ใช้งาน เพื่อให้เกิดความตระหนัก ความเข้าใจถึงภัย และผลกระทบที่เกิดจากการใช้งานระบบสารสนเทศโดยไม่ระมัดระวังหรือรู้เท่าไม่ถึงการณ์ รวมถึงกำหนดให้มีมาตรการเชิงป้องกันตามความเหมาะสม
(๒) การลงทะเบียนผู้ใช้งาน (user registration) ต้องกำหนดให้มีขั้นตอนทางปฏิบัติสำหรับการลงทะเบียนผู้ใช้งาน เมื่อมีการอนุญาตให้เข้าถึงระบบสารสนเทศ และการตัดออกจากทะเบียนของผู้ใช้งานเมื่อมีการยกเลิกเพิกถอนการอนุญาตดังกล่าว
(๓) การบริหารจัดการสิทธิของผู้ใช้งาน (user management) ต้องจัดให้มีการควบคุม และจำกัดสิทธิเพื่อเข้าถึง และใช้งานระบบสารสนเทศแต่ละชนิดตามความเหมาะสม ทั้งนี้รวมถึงสิทธิจำเพาะสิทธิพิเศษ และสิทธิอื่น ๆ ที่เกี่ยวข้องกับการเข้าถึง
(๔) การบริหารจัดการรหัสผ่านสำหรับผู้ใช้งาน (user password management) ต้องจัดให้มีกระบวนการบริหารจัดการรหัสผ่านสำหรับผู้ใช้งานอย่างรัดกุม
(๕) การทบทวนสิทธิการเข้าถึงของผู้ใช้งาน (review of user access rights) ต้องจัดให้มีกระบวนการทบทวนสิทธิการเข้าถึงของผู้ใช้งานระบบสารสนเทศ ตามระยะเวลาที่กำหนดไว้

ข้อ ๘ ให้มีการกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลสารสนเทศ และการลักขโมยอุปกรณ์ประมวลผลสารสนเทศ โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) การใช้งานรหัสผ่าน (password use) ต้องกำหนดแนวปฏิบัติที่ดีสำหรับผู้ใช้งานในการกำหนดรหัสผ่าน การใช้งานรหัสผ่าน และการเปลี่ยนรหัสผ่านที่มีคุณภาพ
(๒) การป้องกันอุปกรณ์ในขณะที่ไม่มีผู้ใช้งานที่อุปกรณ์ ต้องกำหนดข้อปฏิบัติที่เหมาะสม เพื่อป้องกันไม่ให้ผู้ไม่มีสิทธิสามารถเข้าถึงอุปกรณ์ของหน่วยงานในขณะที่ไม่มีผู้ดูแล
(๓) การควบคุมสินทรัพย์สารสนเทศและการใช้งานระบบคอมพิวเตอร์ (clear desk and clear screen policy) ต้องควบคุมไม่ให้สินทรัพย์สารสนเทศ เช่น เอกสาร สื่อบันทึกข้อมูลคอมพิวเตอร์ หรือสารสนเทศ อยู่ในภาวะซึ่งเสี่ยงต่อการเข้าถึง โดยผู้ซึ่งไม่มีสิทธิ และต้องกำหนดให้ผู้ใช้งานออกจากระบบสารสนเทศเมื่อว่างเว้นจากการใช้งาน
(๔) ผู้ใช้งานอาจนำการเข้ารหัส มาใช้กับข้อมูลที่เป็นความลับ โดยให้ปฏิบัติตามระเบียบการรักษาความลับทางราชการ พ.ศ. ๒๕๔๔

ข้อ ๙ ให้มีการควบคุมการเข้าถึงเครือข่าย (network access control) เพื่อป้องกันการเข้าถึงบริการทางเครือข่ายโดยไม่ได้รับอนุญาต โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) การใช้งานบริการเครือข่าย ต้องกำหนดให้ผู้ใช้งานสามารถเข้าถึงระบบสารสนเทศ ได้แต่เพียงบริการที่ได้รับอนุญาตให้เข้าถึงเท่านั้น
(๒) การยืนยันตัวบุคคลสำหรับผู้ใช้ที่อยู่ภายนอกองค์กร (user authentication for external connections) ต้องกำหนดให้มีการยืนยันตัวบุคคล ก่อนที่จะอนุญาตให้ผู้ใช้ที่อยู่ภายนอกองค์กร สามารถเข้าใช้งานเครือข่ายและระบบสารสนเทศขององค์กรได้
(๓) การระบุอุปกรณ์บนเครือข่าย (equipment identification in networks) ต้องมีวิธีการที่สามารถระบุอุปกรณ์บนเครือข่ายได้ และควรใช้การระบุอุปกรณ์บนเครือข่ายเป็นการยืนยัน
(๔) การป้องกันพอร์ตที่ใช้สำหรับตรวจสอบและปรับแต่งระบบ (remote diagnostic and configuration port protection) ต้องควบคุมการเข้าถึงพอร์ตที่ใช้สำหรับตรวจสอบ และปรับแต่งระบบ ทั้งการเข้าถึงทางกายภาพและทางเครือข่าย
(๕) การแบ่งแยกเครือข่าย (segregation in networks) ต้องทำการแบ่งแยกเครือข่ายตามกลุ่มของบริการสารสนเทศ กลุ่มผู้ใช้งาน และกลุ่มของระบบสารสนเทศ
(๖) การควบคุมการเชื่อมต่อทางเครือข่าย (network connection control) ต้องควบคุมการเข้าถึง หรือใช้งานเครือข่ายที่มีการใช้ร่วมกัน หรือเชื่อมต่อระหว่างหน่วยงานให้สอดคล้องกับข้อปฏิบัติการควบคุมการเข้าถึง
(๗) การควบคุมการจัดเส้นทางบนเครือข่าย (network routing control) ต้องควบคุมการจัดเส้นทางบนเครือข่าย เพื่อให้การเชื่อมต่อของคอมพิวเตอร์ และการส่งผ่าน หรือไหลเวียนของข้อมูล หรือสารสนเทศสอดคล้องกับข้อปฏิบัติการควบคุมการเข้าถึง หรือการประยุกต์ใช้งานตามภารกิจ

ข้อ ๑๐ ให้มีการควบคุมการเข้าถึงระบบปฏิบัติการ (operating system access control) เพื่อป้องกันการเข้าถึงระบบปฏิบัติการโดยไม่ได้รับอนุญาต โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) การกำหนดขั้นตอนปฏิบัติเพื่อการเข้าใช้งานที่มั่นคงปลอดภัย การเข้าถึงระบบปฏิบัติการ จะต้องควบคุมโดยวิธีการยืนยันตัวตนที่มั่นคงปลอดภัย
(๒) การระบุและยืนยันตัวตนของผู้ใช้งาน (user identification and authentication) ต้องกำหนดให้ผู้ใช้งาน มีข้อมูลเฉพาะเจาะจงซึ่งสามารถระบุตัวตนของผู้ใช้งาน และเลือกใช้ขั้นตอนทางเทคนิค ในการยืนยันตัวตนที่เหมาะสม เพื่อรองรับการกล่าวอ้างว่าเป็นผู้ใช้งานที่ระบุถึง
(๓) การบริหารจัดการรหัสผ่าน (password management system) ต้องจัดทำหรือจัดให้มีระบบบริหารจัดการรหัสผ่าน ที่สามารถทำงานเชิงโต้ตอบ (interactive) หรือมีการทำงานในลักษณะอัตโนมัติ ซึ่งเอื้อต่อการกำหนดรหัสผ่านที่มีคุณภาพ
(๔) การใช้งานโปรแกรมอรรถประโยชน์ (use of system utilities) ควรจำกัดและควบคุมการใช้งานโปรแกรมประเภทอรรถประโยชน์ เพื่อป้องกันการละเมิด หรือหลีกเลี่ยงมาตรการความมั่นคงปลอดภัยที่ได้กำหนดไว้ หรือที่มีอยู่แล้ว
(๕) เมื่อมีการว่างเว้นจากการใช้งานในระยะเวลาหนึ่ง ให้ยุติการใช้งานระบบสารสนเทศนั้น (session time-out)
(๖) การจำกัดระยะเวลาการเชื่อมต่อระบบสารสนเทศ (limitation of connection time) ต้องจำกัดระยะเวลาในการเชื่อมต่อ เพื่อให้มีความมั่นคงปลอดภัยมากยิ่งขึ้นสำหรับระบบสารสนเทศ หรือแอพพลิเคชั่นที่มีความเสี่ยง หรือมีความสำคัญสูง

ข้อ ๑๑ ให้มีการควบคุมการเข้าถึงโปรแกรมประยุกต์ หรือแอพพลิเคชั่นและสารสนเทศ (application and information access control) โดยต้องมีการควบคุม ดังนี้
(๑) การจำกัดการเข้าถึงสารสนเทศ (information access restriction) ต้องจำกัดหรือควบคุมการเข้าถึง หรือเข้าใช้งานของผู้ใช้งาน และบุคลากรฝ่ายสนับสนุนการเข้าใช้งานในการเข้าถึงสารสนเทศ และฟังก์ชัน (functions) ต่าง ๆ ของโปรแกรมประยุกต์ หรือแอพพลิเคชั่น ทั้งนี้โดยให้สอดคล้องตามนโยบายควบคุมการเข้าถึงสารสนเทศที่ได้กำหนดไว้
(๒) ระบบซึ่งไวต่อการรบกวน มีผลกระทบและมีความสำคัญสูงต่อองค์กร ต้องได้รับการแยกออกจากระบบอื่น ๆ และมีการควบคุมสภาพแวดล้อมของตนเองโดยเฉพาะ ให้มีการควบคุมอุปกรณ์คอมพิวเตอร์ และสื่อสารเคลื่อนที่ และการปฏิบัติงานจากภายนอกองค์กร (mobile computing and teleworking)
(๓) การควบคุมอุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนที่ ต้องกำหนดข้อปฏิบัติและมาตรการที่เหมาะสม เพื่อปกป้องสารสนเทศจากความเสี่ยงของการใช้อุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนที่
(๔) การปฏิบัติงานจากภายนอกสำนักงาน (teleworking) ต้องกำหนดข้อปฏิบัติ แผนงาน และขั้นตอนปฏิบัติ เพื่อปรับใช้สำหรับการปฏิบัติงานขององค์กรจากภายนอกสำนักงาน

ข้อ ๑๒ หน่วยงานของรัฐที่มีระบบสารสนเทศต้องจัดทำระบบสำรอง ตามแนวทางต่อไปนี้
(๑) ต้องพิจารณาคัดเลือกและจัดทำระบบสำรองที่เหมาะสม ให้อยู่ในสภาพพร้อมใช้งานที่เหมาะสม
(๒) ต้องจัดทำแผนเตรียมความพร้อม กรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง โดยต้องปรับปรุงแผนเตรียมความพร้อมกรณีฉุกเฉินดังกล่าว ให้สามารถปรับใช้ได้อย่างเหมาะสมและสอดคล้องกับการใช้งานตามภารกิจ
(๓) ต้องมีการกำหนดหน้าที่และความรับผิดชอบของบุคลากร ซึ่งดูแลรับผิดชอบระบบสารสนเทศ ระบบสำรอง และการจัดทำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์
(๔) ต้องมีการทดสอบสภาพพร้อมใช้งานของระบบสารสนเทศ ระบบสำรองและระบบแผนเตรียมพร้อมกรณีฉุกเฉินอย่างสม่ำเสมอ
(๕) สำหรับความถี่ของการปฏิบัติในแต่ละข้อ ควรมีการปฏิบัติที่เพียงพอต่อสภาพความเสี่ยงที่ยอมรับได้ของแต่ละหน่วยงาน

ข้อ ๑๓ หน่วยงานของรัฐต้องจัดให้มีการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) หน่วยงานของรัฐต้องจัดให้มีการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศที่อาจเกิดขึ้นกับระบบสารสนเทศ (information security audit and assessment) อย่างน้อยปีละ ๑ ครั้ง
(๒) ในการตรวจสอบและประเมินความเสี่ยงจะต้องดำเนินการ โดยผู้ตรวจสอบภายในหน่วยงานของรัฐ (internal auditor) หรือโดยผู้ตรวจสอบอิสระด้านความมั่นคงปลอดภัยจากภายนอก (external auditor) เพื่อให้หน่วยงานของรัฐได้ทราบถึง ระดับความเสี่ยงและระดับความมั่นคงปลอดภัยสารสนเทศของหน่วยงาน

ข้อ ๑๔ หน่วยงานของรัฐต้องกำหนดความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอร์ หรือข้อมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แก่องค์กรหรือผู้หนึ่งผู้ใด อันเนื่องมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามแนวนโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ โดยกำหนดให้ผู้บริหารระดับสูง ซึ่งมีหน้าที่ดูแลรับผิดชอบด้านสารสนเทศของหน่วยงานของรัฐ เป็นผู้รับผิดชอบต่อความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น

ข้อ ๑๕ หน่วยงานของรัฐ สามารถเลือกใช้ข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ที่ต่างไปจากประกาศฉบับนี้ได้ หากแสดงให้เห็นว่า ข้อปฏิบัติที่เลือกใช้มีความเหมาะสมกว่า หรือเทียบเท่า

ข้อ ๑๖ ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ประกาศ ณ วันที่ ๓๑ พฤษภาคม พ.ศ. ๒๕๕๓
ร้อยตรีหญิง ระนองรักษ์ สุวรรณฉวี
รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส์

ทั้งนี้ นโยบายข้างต้นได้ประกาศในราชกิจจานุเบกษาแล้ว วันที่ 23 มิถุนายน 2553

ท่านผู้อ่านได้อ่าน แนวนโยบายและแนวปฎิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐที่มีผลใช้บังคับแล้วนั้น ท่านคงทราบแล้วนะว่าท่านควรจะต้องปฎิบัติอย่างไรบ้าง หากท่านยังไม่แน่ใจขอได้โปรดอ่าน คุยกับผู้เขียน ของหัวขัอนี้ในตอนที่แล้วนะครับ

 

Tips การบริหารความเสี่ยง เพื่อเพิ่มประสิทธิภาพในการบริหารงานบางประการ (ต่อ)

ครั้งที่แล้ว ผมได้พูดถึงเกร็ดการบริหารความเสี่ยง เพื่อยกระดับและเพิ่มประสิทธิภาพการบริหารจัดการที่สามารถสร้างคุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนให้กับองค์กรได้บางประการแล้วนั้น วันนี้ผมจะมาบอกเคล็ดลับบางประการในการยกระดับการบริหารความเสี่ยง ซึ่งบางมุมมองก็ยังเป็นจุดอ่อนของหลายองค์กรที่อาจปรับปรุงได้ ดังนี้

1. นโยบายผู้บริหาร
– ผู้บริหารระดับสูงยังมองข้ามความสำคัญของการบริหารความเสี่ยง และไม่มีนโยบายที่ชัดเจน รวมทั้งแนวทางการปฏิบัติที่เหมาะสมในเรื่องนี้ ++
– นโยบายการบริหารความเสี่ยงไม่ครอบคลุมเรื่องที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลกระทบต่อองค์กร ซึ่งมีผลทำให้การกำหนดกลยุทธ์และแผนการดำเนินงานการบริหารความเสี่ยงมีจุดอ่อนเป็นอย่างยิ่ง ทางด้าน Operationnal Risk โดยเฉพาะทางด้าน People Risk + Process Risk + Technology Risk ซึ่งมีผลกระทบต่อไปยังกรอบใหญ่ของการบรรลุเป้าหมายของ Information Risk + Integrity Risk + Strategy Risk + Financial and Compliance Risk
– ไม่มีสายงาน หรือหน่วยงานที่ทำหน้าที่รับผิดชอบโดยตรงในเรื่องการบริหารความเสี่ยง
– อื่น ๆ +++

2. การมีส่วนร่วมในการบริหารความเสี่ยง
– พนักงานทุกคนในองค์กรขาดความสนใจ หรือไม่ให้ความสำคัญ และไม่มีส่วนร่วมในการบริหารความเสี่ยง รวมถึงไม่มีส่วนร่วมในการระบุปัจจัยเสี่ยงและกำหนดแผนบริหารความเสี่ยงขององค์กรร่วมกัน
– พนักงานหรือบุคลากรขององค์กรไม่มีทักษะ ความรู้ ความเข้าใจที่ชัดเจน ถูกต้องในเรื่องการบริหารความเสี่ยงที่เพียงพอ
– อื่น ๆ +++

3. องค์ประกอบของ ERM – Enterprise Risk Management เพื่อการบรูณาการความเสี่ยงที่ดี
– หน่วยงานหรือสายงานมีการระบุความเสี่ยงยังไม่ครบถ้วน ในมุมมองต่าง ๆ ที่เกี่ยวข้องตามคำจำกัดความของความเสี่ยงที่มี 3 องค์ประกอบหลัก ๆ
– ไม่มีการใช้ฐานข้อมูลที่เหมาะสมในการกำหนดระดับความรุนแรงของความเสี่ยง
– หน่วยงานขาดการวิเคราะห์แผนบริหารความเสี่ยงที่ครบถ้วนตาม Riks Map
– อื่น ๆ +++

4. ระบบติดตามและประเมินผลการบริหารความเสี่ยง
– องค์กรไม่มีระบบ Early Warning ในกรณีที่ผลการบริหารความเสี่ยงไม่ระบุเป้าหมาย ตามหลักการและกระบวนการบริหารความเสี่ยงที่ดี
– พนักงานในองค์กรขาดการบริหารองค์ความรู้ที่ใช้ในการติดตามและประเมินผลการบริหารความเสี่ยงอย่างมีประสิทธิภาพ
– อื่น ๆ +++

5. การสร้างมูลค่าเพิ่มให้กับองค์กร
– องค์กรไม่มีการกำหนดสายการรายงานที่เหมาะสม และเพียงพอ โดยเฉพาะอย่างยิ่ง ความเสี่ยงและผลกระทบจาก Risk IT และ IT Risk
– พนักงานในองค์กรขาดความตระหนัก และมิได้เสริมสร้างค่านิยมในเรื่องของการบริหารความเสี่ยงให้เป็นวัฒนธรรมองค์กร
– ไม่ได้นำระบบการบริหารความเสี่ยงมาใช้ในการกำหนดนโยบาย กำหนดกลยุทธ์ และวางแผนการลงทุน เพื่อสร้างคุณค่าเพิ่มให้กับองค์กร
– อื่น ๆ +++

6. IT Governance
– ความรู้และความเข้าใจในองค์ประกอบของ IT Governance ต่อ Corporate Governance และ ERM ยังมีระดับที่แตกต่างกันมาก โดยเฉพาะอย่างยิ่งการก้าวไปสู่การบริหารยุคใหม่ที่เกี่ยวข้องกับ การบริหารและการจัดการในลักษณะของ GRC ซึ่งเป็นกระบวนการหลอมรวมการบริหารและการจัดการในลักษณะเป็นหนึ่งเดียว ++
– ขาดการวิเคราะห์ความคุ้มค่าหรือมูลค่าของการลงทุนด้าน IT กับความเสี่ยงที่อาจเกิดขึ้นกับองค์กร
– ขาดการจัดทำแผน BCM และฝึกซ้อมตามที่กำหนด
– อื่น ๆ +++

เกร็ดเกี่ยวกับการพัฒนาการบริหารความเสี่ยงเพื่อยกระดับการแข่งขัน และเพิ่มประสิทธิผล ประสิทธิภาพในการจัดการ ตามที่กล่าวข้างต้นในบางประการนั้น มีเรื่องเกี่ยวเนื่องอย่างสำคัญที่มีผลกระทบต่อกระบวนการบริหารจัดการองค์กรในเรื่องต่าง ๆ อย่างหลีกเลี่ยงไม่ได้ เช่น การควบคุมภายใน การตรวจสอบภายใน การบริหารจัดการสารสนเทศ การบริหารทรัพยากรบุคคลอย่างมีคุณภาพ ซึ่งทุกเรื่องตามที่กล่าวข้างต้นมีความสัมพันธ์และโยงใยกันอย่างเป็นบูรณาการ ไม่อาจจะคิดหรือบริหารเป็นเรื่อง ๆ ตามลำพัง โดยไม่คำนึงถึงองค์ประกอบต่าง ๆ ที่เกี่ยวข้องในการพิจารณาการบริหารภาพรวมในลักษณะ Holistic Framework หรือ Interdependency Approach ที่ต้องการความเข้าใจในเรื่องที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Risk และ Business Objective ของทุกองค์กรได้

 

เทคโนโลยีการบัญชี เครื่องมือทางการเงินกับการพัฒนา และกรณีศึกษา บ.เลห์แมน บราเธอร์ส (ต่อ)

สวัสดีครับทุกท่าน อาจจะทิ้งช่วงนานไปหน่อยสำหรับท่านที่สนใจติดตามกรณีศึกษาของ บริษัท เลห์แมน บราเธอร์ส สถาบันการเงินยักษ์ใหญ่แถวหน้าในสหรัฐอเมริกา ที่ต้องล้มละลาย เนื่องจากใช้เทคโนโลยีทางบัญชีเพื่อบิดเบือนข้อมูลทางการเงิน ส่งผลให้บริษัทต้องล้มละลาย ซึ่งกรณีศึกษานี้มีรายละเอียดค่อนข้างเยอะ ผมเลยต้องนำเสนอเป็นหลาย ๆ ตอนไป ทำให้การเล่าเรื่องขาดอรรถรสและความต่อเนื่อง แต่อย่างไรก็ตาม ท่านผู้สนใจสามารถติดตามเรื่องราวที่ได้นำเสนอไปก่อนหน้านี้ได้เสมอ อย่างน้อยเพื่อเป็นการทบทวนเรื่องราวต่าง ๆ การใช้ดุลยพินิจ การวิเคราะห์ความเสี่ยง จาก Risk IT และ IT Risk ที่มีผลต่อ Business Risk ที่ผู้บริหารทุกระดับ และผู้ปฏิบัติควรเข้าใจและตระหนักถึง

และผมจะพยายามนำเสนอให้ตอนนี้เป็นตอนจบสำหรับกรณีศึกษาของ เลห์แมนฯ นี้นะครับ เราไปพิจารณาถึงเอกสารรายงานของวาลูกัสต่อว่า กลวิธีทางบัญชีแบบนี้ผิดหรือไม่ คงจะมีการหาข้อสรุปได้ในไม่ช้า แต่ เรโป 105 กำลังเป็นบ่วงกรรมที่อาจตามหลอกหลอนอดีตเจ้าหน้าที่ระดับสูง เนื่องจากนายวาลูกัสได้แสดงความคิดเห็นเพิ่มเติมไว้ในรายงานด้วยว่า “แม้กรรมการบริหารบางคนของ เลห์แมนฯ ในช่วงที่ประสบภาวะล้มละลาย ไม่จำเป็นต้องร่วมรับผิดชอบ แต่ผู้บริหารระดับสูงอาจต้องมีส่วนรับผิดชอบ”

นายวาลูกัส ได้ระบุชื่อของ ดิ๊ก ฟุลด์ อดีตประธานเจ้าหน้าที่บริหาร รวมทั้ง คริส โอเมียรา เอียน โลวิตต์ และ อิริน คัลแลน ประธานเจ้าหน้าที่ฝ่ายการเงินของบริษัท อาจเผชิญกับการฟ้องร้องฐานประมาทเลินเล่อ หรือกระทำผิดหน้าที่ แม้แต่ เอิร์นสต์ แอนด์ยัง ซึ่งรับผิดชอบตรวจสอบบัญชีให้กับ เลห์แมน บราเธอร์ส ก็อาจพลอยติดร่างแหไปด้วย เพราะวาลูกัสระบุในรายงานเอกสารด้วยว่า หลักฐานที่ปรากฏสนับสนุนการฟ้องร้อง เอิร์นสต์ แอนด์ยัง ในข้อกล่าวหาการละเมิดทางวิชาชีพ เนื่องจากบริษัทเพิกเฉย หรือไม่ดำเนินการใด ๆ ที่จะตั้งคำถามหรือพยายามตรวจสอบพฤติกรรมการไม่เปิดเผยข้อมูลของ เลห์แมนฯ จากการใช้ธุรกรรมนอกงบดุลบัญชีชั่วคราว ที่มีวงเงินสูงถึง 5 หมื่นล้านดอลลาร์

ความน่าสนใจประเด็นต่อมาคือ วาลูกัสและทีมงาน ไม่ใช่คนกลุ่มแรกที่เข้าไปตรวจสอบเอกสารใน เลห์แมน บราเธอร์ส

ในคอลัมน์ Dealbook ของนิวยอร์ก ไทมส์ ระบุว่า เมื่อเกือบ 2 ปีก่อน มีคณะตรวจสอบ ที่มาจากคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์สหรัฐ และธนาคารกลางสหรัฐ ประจำนิวยอร์ก ได้เข้าไปในสำนักงานใหญ่ของ เลห์แมน บราเธอร์ส อย่างเงียบ ๆ โดยมีการจัดเตรียมโต๊ะทำงาน โทรศัพท์ คอมพิวเตอร์ ช่องทางในการเข้าถึงสถิติตัวเลข และรายงานทางบัญชีทั้งหมดของ เลห์แมนฯ

ทีมงานชุดนี้ได้รับมอบหมายจาก ทิโมธี ไกธเนอร์ ประธานธนาคารกลางสหรัฐ ประจำนิวยอร์ก และคริสโตเฟอร์ ค็อกซ์ ประธานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์สหรัฐ ในช่วงเวลานั้น ให้ติดตาม เลห์แมน บราเธอร์ส อย่างใกล้ชิด หลังจากที่ แบร์ สเติร์นส์ อยู่ในภาวะใกล้ล้มละลาย

ในช่วงเวลานั้น หน่วยงานทั้งสองไม่ได้ส่งแค่ทีมเดียวไปที่ เลห์แมน บราเธอร์ส แต่ทีมงานคล้าย ๆ กันได้เข้าไปติดตามอย่างใกล้ชิดในสำนักงานของ โกลด์แมน แชกส์ มอร์แกน สแตนเลย์ เมอร์ริล ลินช์ และสถาบันการเงินอื่น ๆ ด้วย

ทีมงานจากหน่วยงานทั้งสองได้เข้าตรวจสอบเอกสารทางบัญชี มีการสอบปากคำผู้บริหารระดับสูง เกี่ยวกับการตัดสินใจต่าง ๆ รวมทั้งยังได้ตรวจทานรายงานผลประกอบการรายไตรมาสก่อนเผยแพร่ด้วย แต่ที่น่าสนใจว่า ข้อเท็จจริงเกี่ยวกับ เลห์แมน บราเธอร์ส เพิ่งมาปรากฏในอีกเกือบ 2 ปีต่อมา โดยผู้ตรวจสอบอิสระที่ได้รับมอบหมายจากศาลล้มละลาย

ในช่วงเวลาที่ทีมงานของหน่วยงานทางการเงินทั้งสองเข้าไปตรวจสอบ จริง ๆ แล้ว เป็นช่วงที่ได้เกิดการเคลื่อนย้ายเงินสดก้อนมหึมาเข้า ๆ ออก ๆ เช่น ในไตรมาส 4 ของปี 2550 เลห์แมนฯ ใช้ธุรกรรม เรโป 105 ลดงบดุลบัญชีสุทธิในช่วงสิ้นไตรมาส ประมาณ 3.86 หมื่นล้านดอลลาร์ อีก 4.91 หมื่นล้านดอลลาร์ ในไตรมาสแรกของปี 2551 และ 5.038 หมื่นล้านดอลลาร์ ในไตรมาส 2 ของปีเดียวกัน การเคลื่อนย้ายจำนวนเงินก้อนใหญ่เหล่านี้ กลับมีปรากฏอยู่ในรายงานของวาลูกัสเท่านั้น

คุณูปการของการเปิดโปงพฤติกรรมการใช้ธุรกรรม เรโป 105 ของเลห์แมนฯ คือการสะท้อนให้เห็นว่า การอาศัยช่องโหว่ทางบัญชี เพื่อสร้างภาพลวงตาทางตัวเลข ไม่เคยสาญสูญไปจากโลกนี้

สาระสำคัญในรายงานของวาลูกัส เป็นเพียงบทเรียนล่าสุดที่ชวนให้นึกย้อนกลับไปถึงพฤติกรรม “คาบลูกคาบดอก” ของการทำบัญชีในหลาย ๆ กรณี ที่เกิดขึ้นบ่อยครั้งในระบบทุนนิยมโลก

อย่างกรณีการตบแต่งบัญชีของ เอนร็อน ก่อนที่ยักษ์ใหญ่วงการพลังงานจะเดินสู่ภาวะล้มละลาย และสร้างความเสียหายให้กับผู้ถือหุ้นกว่า 7 หมื่นล้านดอลลาร์ จากการจัดตั้งนิติบุคคลเฉพาะกิจหลายบริษัทขึ้นมา เพื่ออำพรางหนี้สินให้พ้นไปจากบริษัท หรือ อีกกรณีที่น่าสนใจ คือการทำธุรกรรม เพื่อลดการขาดดุลงบประมาณของรัฐบาลกรีก ในเดือนเมษายน ปี 2545 ที่รัฐบาลกรีกนำพันธบัตรออกขายระดมทุน 3.5 พันล้านดอลลาร์ กำหนดไถ่ถอนวันที่ 22 ตุลาคม 2565 ที่อัตราผลตอบแทน 5.90% ซึ่งในช่วงเวลานั้น มีสถาบันการเงินต่างชาติเข้าไปรับประกันการจำหน่ายหลายราย รวมถึง โกล์ดแมน แซกส์ มอร์แกน สแตนเลย์ และ คอยช์แบงก์

กระทั่งมีการเปิดโปงในเวลาต่อมาว่า โกลด์แมน แซกส์ ได้ใช้กลวิธีในการทำข้อตกลงสวอป โดยเริ่มต้นด้วยข้อตกลงสวอปอัตราแลกเปลี่ยนข้ามสกุลเงิน (Croos – Currency Swop) ออกโดยกรีซ มีทั้งสกุลเงินดอลลาร์ และเยน วงเงินรวมกัน 1 หมื่นล้านดอลลาร์ จากนั้นจึงนำมาสวอปเป็นเงินยูโร ซึ่คำนวณโดยใช้อัตราแลกเปลี่ยนในอดีต ถือเป็นกลไกสำคัญที่มาช่วยทำให้หนี้ดูเหมือนลดลง และกรีซได้เงินทุนมาประมาณ 1 พันล้านดอลลาร์

บ่วงกรรมของการใช้นิติกรรมอำพราง กำลังสั่นคลอนเสถียรภาพของเศรษฐกิจกรีซอย่างรุนแรงอยู่ในขณะนี้ โดยที่ไม่มีใครรู้ชะตากรรมว่า ประเทศสมาชิกของสหภาพยุโรปรายนี้ จะแปรสภาพเป็นชนวนก่อวิกฤติเศรษฐกิจโลกครั้งใหม่หรือไม่ หรือจะมีอัศวินม้าขาวมาปลดชนวนได้ทัน

จากกรณีศึกษาข้อมูลเบื้องต้น ท่านผู้อ่านพอจะวิเคราะห์ได้นะครับว่า ผลกระทบของเทคโนโลยี และจุดอ่อนที่เกิดจากการบริหารและการจัดการสารสนเทศ (Information Management) สามารถบิดเบือนข้อมูล รวมทั้งสร้างฐานะของบริษัท ให้แตกต่างไปจากความเป็นจริงได้อย่างมากมาย มีผลกระทบในทุกมุมมอง และในทุกระดับของการบริหารและการจัดการของทุกองค์กรทั่วโลกในปัจจุบัน

ท่านพร้อมหรือยังครับ กับการพัฒนาตนเองและผู้บริหารที่เกี่ยวข้องในองค์กรของท่านเพื่อให้สอดคล้องกับหลักการ Accountability หรือ การแสดงความรับผิดและรับชอบตามหน้าที่ ๆ ได้รับมอบหมายตามผลงานที่เกิดขึ้น แม้จะไม่ได้ลงมือปฎิบัติด้วยตนเองก็ตาม ทั้งนี้เพื่อแสดงว่าได้ก้าวตามให้ทันเทคโนโลยีสารสนเทศ กับการบริหารความเสี่ยงเพื่อการจัดการที่ดี เพราะในบางองค์กรของไทย ขณะนี้ก็ยังมีปัญหาการบริหารและการจัดการกับกระบวนการบริหารเทคโนโลยีสารสนเทศ ที่สร้างปัญหาและความคลางแคลงใจ ในความน่าเชื่อถือได้ของข้อมูลทางการเงิน ให้กับผู้กำกับและผู้มีผลประโยชน์ร่วม

โดยเฉพาะอย่างยิ่ง ในองค์กรที่มีการจัดโครงสร้างขององค์กรไม่เหมาะสม เช่น จัดให้มีผู้บริหารควบคุมระบบเทคโนโลยีสารสนเทศ ระบบบัญชี ระบบการเงิน อยู่ภายใต้บุคคลคนเดียวกัน ซึ่งเป็นจุดอ่อนที่สำคัญอย่างยิ่ง ที่จะก่อให้เกิดปัญหาการบิดเบือนข้อมูล การตบแต่งบัญชีทางเงิน และการทุจริต ที่จะมีผลกระทบต่อความสามารถในการควบคุมภายใน การบริหารความเสี่ยง การตรวจสอบ ที่มีผลต่อความเชื่อมั่นของผู้มีผลประโยชน์ร่วมเป็นอย่างมาก

 

องค์รวมของการบริหาร CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง (ต่อ)

หลังจากที่ได้พูดคุยกันถึง เรื่องแนวคิดและความเข้าใจในบางมุมมองของความหมาย ของคำว่า GRC ซึ่งเป็นเรื่องของการบริหารในลักษณะ Consolidated – Single Framework เพื่อให้ท่านผู้อ่านได้เข้าใจและมองเห็นภาพของ GRC ในมุมมองที่แตกต่าง และนำเสนอควบคู่กันไปกับมุมมองขององค์ประกอบหลักที่เกี่ยวข้องกับ Corporate Governance – CG และ ITG เมื่อครั้งที่ผ่านมานั้น

สำหรับวันนี้ผมจะขอนำเสนอแผนภาพที่อธิบายถึง องค์รวมของโครงสร้างการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ซึ่งเป็นการสร้างความเข้าใจในภาพโดยรวมของการบริหารตามหลัก CG ที่ผมคาดว่าแผนภาพนี้จะแสดงให้เห็นภาพกว้างได้ชัดเจนกว่าการให้คำอธิบายที่ค่อนข้างเข้าใจยากกว่าดังเช่นเคย

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

ในขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นนั้น ผมได้นำเสนอมาหลายตอนพอสมควร หากจะให้นำเสนอในรายละเอียดคิดว่าคงจะมีรายละเอียดให้ได้เล่าสูกันฟัง (อ่าน) อีกมากมาย ที่ได้นำเสนอไปก็อยากให้ผู้อ่านและผู้ตรวจสอบได้มองเห็นขั้นตอนและกระบวนการตรวจสอบ IT ในภาพรวมในเบื้องต้นเท่านั้น ส่วนในรายละเอียดคงจะได้นำเสนอในโอกาสต่อไป ๆ ครับ

สำหรับวันนี้ผมจะพูดถึงเรื่องของการจัดทำรายงานการตรวจสอบ หลังจากที่ได้มีการตรวจสอบ ผู้ตรวจสอบควรจัดทำรายงานการตรวจสอบ เพื่อนำเสนอต่อคณะกรรมการตรวจสอบ หรือผู้บริหารได้รับทราบ

การจัดทำรายงานการตรวจสอบ
การจัดทำรายงานหลังจากการตรวจสอบนั้น เป็นสิ่งที่จำเป็นเพราะ
1. เพื่อบันทึกสิ่งที่ตรวจพบและข้อสรุป ตลอดจนข้อเสนอแนะของผู้ตรวจสอบ
2. เพื่อใช้เป็นเอกสารขั้นต้นสำหรับการทำให้องค์กรนั้นสมบูรณ์ขึ้น
3. เพื่อใช้เป็นเอกสารอ้างอิงในภายภาคหน้า

ดังนั้น การเสนอรายงานเป็นเทคนิคที่สำคัญที่สุดอันหนึ่ง ที่ผู้ตรวจสอบต้องเอาใจใส่เป็นพิเศษ เพราะเป็นสื่อที่แสดงถึงการปฏิบัติงานของผู้ตรวจสอบทั้งหมด ผู้บริหารจะยกย่อง หรือไม่เห็นความสำคัญของผู้ตรวจสอบ ก็เนื่องจากรายงานที่เสนอไป ผู้ตรวจสอบจะต้องเสนอรายงานที่ถูกต้อง ให้ข้อมูลที่แท้จริง และประเมินผลจากข้อเท็จจริง ให้ข้อเสนอแนะที่มีเหตุผล การเสนอแนะนั้นจะต้องพิจารณาอย่างรอบคอบ ผู้ตรวจสอบจะต้องพิจารณาข้อเท็จจริง และให้เหตุผลได้สำหรับข้อเสนอแนะนั้น ๆ

การทำรายงานที่ดีจำเป็นต้องเขียนอย่างมีหลักเกณฑ์ สมเหตุสมผลและเป็นขั้นตอน ใช้คำที่ถูกต้อง รายงานต้องรัดกุม ชัดเจน และสมบูรณ์ รายงานที่ชัดเจนจะทำให้ผู้บริหารอ่านเข้าใจได้ตั้งแต่การอ่านครั้งแรก รายงานที่ถูกต้องจะต้องประกอบด้วยข้อมูลที่ถูกต้อง รายงานที่สมบูรณ์จะต้องประกอบด้วยข้อมูลที่จำเป็น และอยู่ในประเด็นที่เกี่ยวข้องเท่านั้น

การจัดทำรายงานที่ดี ควรประกอบด้วย
1. ความถูกต้อง
2. ความชัดเจน
3. ความกระทัดรัด
4. ข้อเสนอแนะ
5. ความทันกาล

1. ความถูกต้อง
รายงานการตรวจสอบมีความถูกต้อง ข้อความทุกประโยค ตัวเลขทุกตัว เอกสารอ้างอิงทุกชิด จะต้องมาจากหลักฐานที่น่าเชื่อถือ และผู้ตรวจสอบได้ทำการประเมินข้อมูลเหล่านั้นแล้ว ความถูกต้องที่กล่าวถึงในรายงานต้องรวมถึง การทราบถึง หรือสังเกตการณ์ จนกระทั่งทราบอย่างแน่ชัดว่าได้ข้อเท็จจริงแล้ว ถ้ารายงานเกี่ยวกับสิ่งใดแล้ว ย่อมหมายถึงว่าสิ่งนั้นผู้ตรวจสอบได้ทราบ และ/หรือได้ยอมรับแล้วเป็นสิ่งที่ตรงตามข้อเท็จจริง

2. ความชัดเจน
หมายถึง ความสามารถในการส่งข้อความ หรือความต้องการของผู้ตรวจสอบ หรือสิ่งที่ต้องการเสนอไปสู่ผู้อ่านรายงานให้เข้าใจเหมือนดังที่ตนตั้งใจ หากใช้ถ้อยคำที่คลุมเครือ อาจจะทำให้ผู้อ่านรายงานเกิดความเข้าใจแตกต่างจากที่เป็น ซึ่งอาจจะนำไปสู่การปรับปรุงแก้ไขในแนวทางที่แตกต่างกันไปจากเป้าหมายที่ตั้งใจ

ในเบื้องต้น ผู้ตรวจสอบต้องทำความเข้าใจในเรื่องที่จะสนอรายงานให้แจ่มแจ้งเสียก่อน หากไม่ทำความแจ่มแจ้งให้เกิดขึ้นแล้ว ก็คงยากที่จะเขียนรายงานได้อย่างชัดเจน ผู้ตรวจสอบต้องแน่ใจว่า เรื่องที่จะเขียนในรายงานนั้นมีอยู่แล้วอย่างเพียงพอหรือไม่ ควรที่จะหาข้อมูลเพิ่มเติมอีกหรือไม่

ความต่อเนื่อง หรือการจัดลำดับข้อความในรายงาน เป็นการช่วยให้รายงานนั้นเกิดความเด่นชัด หรือชัดเจนยิ่งขึ้น การสร้างความชัดเจนอาจจำเป็นต้องมีตารางตัวเลขประกอบไปด้วย เพื่อให้เกิดความเข้าใจดียิ่งขึ้น

3. ความกระทัดรัด
หมายถึง การตัดสิ่งฟุ่มเฟือย หรือไร้สาระออกจากรายงานการตรวจสอบ แต่ไม่ได้หมายถึงการเขียนรายงานสั้น รายงานจะยาวหรือสั้น ขึ้นอยู่กับสิ่งที่จะเสนอในรายงานนั้นมีมากน้อยเพียงใด ถึงแม้ว่าการตัดทอนจะมีมากน้อยเพียงใดก็ตาม ผู้ตรวจสอบยังคงต้องรักษาความต่อเนื่องของแนวความคิด เพื่อให้ผู้อ่านรับความคิดอย่างต่อเนื่อง

4. ข้อเสนอแนะ
การวิจารณ์ข้อบกพร่องโดยไม่มีการให้ข้อเสนอแนะ เป็นสิ่งที่ไม่ควรกระทำ ในทำนองเดียวกัน การวิจารณ์โดยปราศจากการเสนอแนะข้อยุติที่ชอบด้วยเหตุผล ก็ไม่เป็นการเหมาะสมเช่นกัน และจะทำให้รายงานไม่มีความหมาย เพื่อที่จะทำให้รายงานเป็นที่ยอมรับ การเสนอแนะเพื่อการปรับปรุงการปฏิบัติงาน แทนที่จะเป็นการตำหนิการปฏิบัติงาน จะทำให้รายงานมีคุณค่าขึ้น

5. ความทันกาล
หมายถึง การเสนอรายงานต้องกระทำภายในเวลาที่เหมาะสม เพราะต้องมีการนำรายงานไปดำเนินการต่อ การสั่งการของผู้บริหารต้องใช้ข้อมูลที่ดีและทันเวลา เพื่อให้เกิดการปรับปรุงแก้ไขได้ทันท่วงที

วิธีการจัดทำรายงานนั้น เป็นเรื่องของแต่ละบุคคล เป็นการยากที่จะวางรูปแบบ และวิธีการจัดทำรายงานตายตัวที่จะใช้ได้ในทุกกรณี รายงานที่ดีจะต้องมาจากเนื้อหา รูปแบบที่เป็นมาตรฐาน และจะต้องมีเอกลักษณ์ภายในตัวของมันเอง ผู้ตรวจสอบจำเป็นต้องคำนึงถึงจุดประสงค์ใหญ่ของรายงาน ซึ่งได้แก่ เพื่อนำการเปลี่ยนแปลงในองค์กร เพื่อนำไปสู่การปฏิบัติ และเพื่อใช้อ้างอิงได้ในภายหลัง รายงานที่เขียนขึ้นคร่าว ๆ ไม่ถูกต้อง หรือเขียนอย่างขอไปที จะไม่สามารถชักจูงให้ผู้อ่านยอมรับข้อสรุปนั้นได้ โดยเฉพาะอย่างยิ่งจะไม่นำไปสู่การนำข้อเสนอแนะไปใช้

ผู้ตรวจสอบจะต้องนำเสนอรายงานที่ตนคิดว่าถูกต้อง ถึงแม้ว่าข้อเสนอนั้นจะส่งผลออกมาในรูปแบบที่ไม่ทำความพอใจให้แก่ผู้บริหารก็ตาม บางครั้งเป็นสิ่งที่หลีกเลี่ยงไม่ได้ ข้อเสนอแนะขั้นสุดท้ายนั้น ไม่เป็นที่ยอมรับทั้งหมดของผู้บริหาร แต่อย่างไรก็ตาม เหตุการณ์นี้ไม่ควรจะเป็นเหตุให้ผู้ตรวจสอบถอนคำเสนอแนะที่ตนคิดว่าถูกต้อง