Archive for มกราคม, 2011

Portfolio View of Risk กับการบริหารความเสี่ยงเชิงบูรณาการ (8)

ในการพิจารณาความเสี่ยงเชิงบูรณาการยังเป็นเรื่องใหม่อยู่มาก ที่องค์กรต้องพิจารณาภาพรวมของความเสี่ยง (Portfolio View of Risk) ของทั้งองค์กร ซึ่งอาจเกี่ยวพันไปถึงความรับผิดชอบ หน้าที่ กระบวนการปฏิบัติงาน

การกำหนดช่วงเบี่ยงเบนจากระดับความเสี่ยงที่ยอมรับได้ องค์กรควรพิจารณาแบบจำลองที่เหมาะสมสำหรับการกำหนดค่าเบี่ยงเบนความเสี่ยง เพื่อสะท้อนถึงช่วงเบี่ยงเบนที่ยังอยู่ในวิสัยที่องค์กรสามารถจัดการได้ โดยเฉพาะควรมีการวิเคราะห์เพิ่มเติม ในกรณีที่ปัจจัยเสี่ยงมากกว่า 1 ปัจจัยเสี่ยง เกิดขึ้นพร้อมกัน ดังนั้น ระดับความเสี่ยงสูงสุด และช่วงเบี่ยงเบนสูงสุดในภาพรวมขององค์กรยังอยู่ในวิสัยที่สามารถจัดการได้หรือไม่

Fin Corp Target

 

ข้อสังเกตในการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยง (7)

วันนี้เราคงยังพูดคุยกันต่อถึงข้อสังเกตในการประเมินผลการบริหารความเสี่ยง หลังจากที่ผมได้นำเสนอเป็นหัวข้อ ๆ ไป ซึ่งข้อสังเกตในการประเมินผลการบริหารความเสี่ยง ที่องค์กรต้องมีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวมนั้น ควรมีการติดตามประเมินผลงานอย่างต่อเนื่อง โดยมีการถ่ายทอด (Deploy) เป้าหมายของตัวชี้วัดองค์กรลงสู่สายงานต่าง ๆ รวมถึงมีการถ่ายทอด Risk Appetite ระดับองค์กรลงสู่สายงานต่าง ๆ ด้วยเช่นกัน ดังตัวอย่างจากแผนภาพด้านล่างนี้

Cascade

ในครั้งหน้า สำหรับข้อสังเกตในการประเมินผลความเสี่ยง ก็คงจะพูดถึงเรื่องของ Portfolio View of Risk กับการบริหารความเสี่ยงเชิงบูรณาการ โปรดติดตามกันต่อนะครับ

 

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 1

ผมไม่ได้เขียนคอลัมน์นี้มานาน วันนี้ผมจะมาเล่าเรื่องที่เกี่ยวข้องกับการบริหารความเสี่ยงในอีกมุมมองหนึ่งก็คือ การตรวจสอบความเสี่ยง ซึ่งมีหลายมุมมองที่เกี่ยวข้อง ไม่ว่าจะในมุมมองของ COSO – ERM หรือมุมมองของ ความเสี่ยง 5 – 7 ด้านของ ธปท. ทั้งนี้ไม่รวมหัวข้อที่เกี่ยวข้องกับ IT Audit และ Integrated Audit รวมทั้งมุมมองการตรวจสอบความเสี่ยงด้าน CobiT ซึ่งจะหนักไปทาง IT Audit นะครับ

ท่านผู้อ่านครับ มาถึงช่วงต้นเดือนมกราคม 2554 และนับต่อจากนี้เป็นต้นไป ท่านคงจะได้ยินและได้อ่านเรื่องเกี่ยวกับ GRC – Governance + Risk Management + Compliance มากขึ้น ในวงการบริหารและปฏิบัติงานยุคใหม่ กระบวนการบริหารต่าง ๆ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ โดยเฉพาะอย่างยิ่งทางด้านเทคโนโลยีสารสนเทศ และการบริหารธุรกิจในระดับต่าง ๆ ของทุกองค์กร

วันนี้ผมจึงมาเล่าเรื่องมุมมองการตรวจสอบความเสี่ยงด้านกลยุทธ์ ซึ่งจะแบ่งได้เป็นหลายตอน ที่ผมเริ่มเรื่องนี้ก่อนก็เพราะความเสี่ยงด้านกลยุทธ์ มีความสำคัญอย่างยิ่งยวด และมีผลกระทบต่อกระบวนการบริหารด้านต่าง ๆ ขององค์กรเป็นอย่างยิ่ง

GRC และการจัดการ

การตรวจสอบความเสี่ยง คือการตรวจสอบ เพื่อประเมินฐานะ และผลการดำเนินงานขององค์กร โดยคำนึงถึงผลกระทบจากความเสี่ยงที่เกี่ยวข้องและมีนัยสำคัญ เพื่อที่จะสามารถแก้ไขปัญหาได้ทันท่วงที ก่อนที่จะเกิดความเสียหาย หรือก่อนที่ความเสียหายจะลุกลาม

การตรวจสอบความเสี่ยงไม่ใช่การตรวจสอบ เพื่อประเมินฐานะและผลการดำเนินงานที่เกิดขึ้นแล้วเพียง ณ วันตรวจสอบ และการบริหารความเสี่ยงขององค์กรเท่านั้น แต่ให้ความสำคัญกับการตรวจสอบ และประเมินฐานะและผลการดำเนินงานขององค์กรที่จะเป็นไปในอนาคต เท่าที่จะมีข้อมูลและหลักฐานสนับสนุนการประเมินอย่างเพียงพอ

นอกจากนี้ ยังเป็นการตรวจสอบโดยมุ่งเน้นใช้ทรัพยากร ได้แก่ ผู้ตรวจสอบและเวลาที่ใช้ในการตรวจสอบในเรื่องที่มีความเสี่ยงสำคัญ เพื่อให้การใช้ทรัพยากรที่มีจำกัดเป็นไปอย่างมีคุณค่า และเพื่อลดแรงจูงใจที่องค์กรจะยอมรับความเสี่ยงเกินกว่าระดับที่สามารถจะจัดการได้ (excessive risk / risk appetite)

แนวการตรวจสอบความเสี่ยงนั้น มีวัตถุประสงค์ เพื่อให้ผู้บริหารและผู้ตรวจสอบใช้เป็นข้อสังเกตเบื้องต้น และใช้เป็นแนวทางในการติดตาม (Monitoring) และตรวจสอบ (Audit – Assurance/Consoulting) และประเมินความเสี่ยงด้านกลยุทธ์ และด้านอื่น ๆ ที่เกี่ยวข้อง ตามเป้าประสงค์ของการบริหารความเสี่ยงในแต่ละองค์เป็นสำคัญ และ

เพื่อให้มั่นใจว่าองค์กรมีระบบการบริหารความเสี่ยงที่ใช้ในการระบุ วัด ติดตาม และควบคุมความเสี่ยงต่าง ๆ อย่างเพียงพอ ทั้งกำหนดหน้าที่และความรับผิดชอบ ในการจัดให้มีระบบการบริหารความเสี่ยงที่เหมาะสมกับปริมาณ ความซับซ้อนของระบบงาน โครงสร้างขององค์กร และสภาพแวดล้อมต่าง ๆ ที่เกี่ยวข้อง ทั้งนี้เพราะ ความเสี่ยงด้านกลยุทธ์จะมีผลกระทบอย่างกว้างขวางต่อผลสำเร็จของการบริหารในทุกมุมมองของการจัดการ โดยเฉพาะอย่างยิ่ง ความเสี่ยงทางด้านการดำเนินงาน (Operational Risk) ที่เกี่ยวข้องกับ P + P + T และการบริหารโครงการ / แผนงานต่าง ๆ ขององค์กร

ความสำเร็จในการติดตามและตรวจสอบ ต้องอาศัยความรู้เกี่ยวกับธุรกรรมขององค์กร และลักษณะที่แตกต่างของธุรกิจ สภาพแวดล้อม และวัฒนธรรมขององค์กรที่เกี่ยวข้องกับการดำเนินธุรกิจ แนวทางในการบริหารความเสี่ยง รวมทั้งพัฒนาการของวิธีการ / เครื่องมือบริหาร ความเสี่ยง และทักษะในการประเมินผลกระทบจากความเสี่ยงเหล่านั้นในลักษณะบูรณาการ (integrated) ภายใต้ร่มของ GRC

ผู้บริหารและผู้ตรวจสอบ ควรหมั่นฝึกฝนทักษะในการประเมินความเสี่ยง และการใช้ดุลยพินิจพิจารณาเรื่องต่าง ๆ โดยอาศัยหลักฐานตามกระบวนการจัดการที่ได้รับจากการตรวจสอบ ซึ่งรวบรวมไว้แล้วก่อนการตรวจสอบอย่างเพียงพอ แนวทางการบริหารและการตรวจสอบความเสี่ยงนี้ไม่ได้ครอบคลุมรายละเอียดกระบวนการ ขั้นตอนและวิธีการหาข้อมูลหลักฐานและการตรวจสอบข้อเท็จจริง (verify) ของข้อมูลหลักฐานเหล่านั้น เพื่อนำมาใช้ในการประเมินความเสี่ยง ดังนั้น ผู้บริหารและผู้ตรวจสอบใหม่จำเป็นต้องศึกษาจากแนวทางการจัดการ รวมทั้งแนวทางการตรวจสอบอื่น ๆ ที่เกี่ยวข้อง

สำหรับวันนี้ผมขออุ่นเครื่องในเรื่องความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ ตอนที่ 1 เพียงเท่านี้ก่อน ซึ่งในตอนที่ 2 และในตอนต่อ ๆ ไป ผมจะได้อธิบายถึงเรื่องหลักการติดตามของผู้บริหาร (Monitoring) กับแนวทางการตรวจสอบความเสี่ยงของผู้ตรวจสอบภายในก่อนที่จะเน้นถึงเรื่องความเสี่ยงด้านกลยุทธ์ครับ

 

IT Governance และ IT Strategy ระดับองค์กรและระดับประเทศ บางมุมมองที่ต้องบูรณาการในแต่ละกระบวนการเข้าด้วยกันแบบ GRC

ร่ม

การกำหนดวิสัยทัศน์ระดับองค์กร และระดับประเทศ เป็นเรื่องที่มีความจำเป็นอย่างยิ่งยวด เพื่อกำหนดทิศทางและเป้าประสงค์ในอนาคตที่ชัดเจน เพื่อการเติบโตอย่างยั่งยืน โดยคำนึงถึงการบริหารทรัพยากรในแง่มุมต่าง ๆ เพื่อการขับเคลื่อนเป้าประสงค์ขององค์กรและของชาติ ไปสู่อนาคตที่ต้องการที่เป็นไปได้นั้น จำเป็นอย่างยิ่งที่ต้องสัมพันธ์กับการกำหนดพันธกิจ กลยุทธ์ ในแต่ละมุมมองที่ผสมผสานกันอย่างแยกกันไม่ได้ ในลักษณะของ Integrated Management และแนวความคิดของ Interdependency Approaches เพื่อก้าวสู่ Integrity – Driven Performance ตามหลักของ GRC ซึ่งเป็นธงใหม่ที่เป็นกรอบครอบแนวทางการกำกับดูแลกิจการที่ดี ตามหลักของ CG หรือหลักการของธรรมาภิบาล ที่ควบคู่กับ ITG – IT Governance หรือธรรมาภิบาลด้านสารสนเทศ อย่างแยกกันไม่ได้นั้น ต้องการความเป็นรูปธรรมในการจัดการ ทั้งในระดับองค์กรและในระดับประเทศ ที่ควรจะกำหนดกรอบในการพัฒนาการบริหารข้อมูลและสารสนเทศที่บูรณาการ เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงาน และการบริหารจัดการทรัพยากรได้อย่างคุ้มค่ายิ่งในอนาคตที่ทุกองค์กร และหน่วยงานระดับประเทศต้องใช้เทคโนโลยีสารสนเทศ เข้าช่วยในการดำเนินการทั้งสิ้น

หากกำหนดนโยบายที่ชัดเจน ทางด้านการบริหารความมั่นคงข้อมูลสารสนเทศที่ดี รวมทั้งแนวทางการปฏิบัติที่ชัดเจน ไม่กำกวม ในภาพรวมระดับชาติที่อาจใช้เป็นกรอบในการกำกับ หรือขับเคลื่อนการบริหารการจัดการด้านสารสนเทศที่ดี ที่สามารถแลกเปลี่ยนข้อมูล หรือหลอมรวมข้อมูลกันภายในกระทรวง ทบวง กรม ที่เป็นหน่วยงานของรััฐต่าง ๆ โดยมีกลยุทธ์ที่ผสมผสานเป็นหนึ่งเดียวในการบริหารจัดการสารสนเทศ ซึ่งจะช่วยลดการใช้ทรัพยากรของชาติได้อย่างมหาศาลในอนาคต และสร้างความเชื่อมั่นให้กับผู้มีผลประโยชน์ร่วมในทุกภาคส่วน ทั้งในและระหว่างประเทศนั้น

หากประเทศเรามีนโยบายการบริหารจัดการสารสนเทศตามแนวทางและหลักการของ IT Governance โดยใช้กรอบและกระบวนการของ CobiT และ ITIL รวมทั้งมาตรฐานอื่น ๆ ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ การบริหารความเสี่ยง และการจัดการด้านคุณภาพ รวมทั้งการจัดองค์กรและความสัมพันธ์ของหน่วยงานเทคโนโลยีสารสนเทศ ซึ่งจะเกี่ยวข้องกับการกำหนดทิศทางของเทคโนโลยีสารสนเทศ ทั้งในระดับองค์กรและในระดับประเทศนั้น +++

แนวทางและขอบเขตการบริหาร IT Governance ที่เกี่ยวกับ CobiT ในเรื่องหลัก ๆ 4 เรื่อง หรือ 4 องค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อนคุณลักษณะของสารสนเทศที่ดี และการบริหารทรัพยากรสารสนเทศนั้น จะประกอบด้วยเรื่องใหญ่ ๆ 4 เรื่องด้วยกันดังนี้

1. การวางแผนและการจัดการองค์กร
2. การจัดการและการนำระบบออกใช้งานจริง
3. การส่งมอบและบำรุงรักษา
4. การติดตามและการสอบทาน

Control Objective CobiT 4.1

ในตอนแรกนี้ ผมจะขอนำเสนอกระบวนการบริหาร และการสร้างคุณค่าเพิ่มในเรื่องการวางแผนและการจัดการองค์กรก่อนที่จะก้าวไปสู่เรื่องอื่น ๆ ในตอนต่อไป ทั้งนี้ ผมมีข้อสังเกตในเบื้องต้นว่า กระบวนการบริหารในแต่ละเรื่องหลัก ๆ เช่น ในเรื่องการวางแผนและการจัดการองค์กรตามกระบวนการจาก PO1 – PO10 ตามที่นำเสนอข้างต้นนั้น จะมีการจัดลำดับความสำคัญของแต่ละเรื่อง และในแต่ละกระบวนการ ซึ่งจะมีความสัมพันธ์กันอย่างแยกกันไม่ได้ ตั้งแต่ PO1 – PO10 นี่คือหลักการของ Interdependency และหลักการของ GRC ที่ ITG อยู่ภายใต้กรอบนี้

นอกจากนั้น แต่ละองค์ประกอบหลัก ทั้ง 4 รวมทั้งกระบวนการประกอบเรื่องหลัก ๆ ทั้ง 4 นั้น ก็จะมีความเกี่ยวพันและสัมพันธ์กัน ซึ่งจะเชื่อมโยงไปสู่การบริหารการจัดการสารสนเทศที่ดีและน่าเชื่อถือได้ เพื่อสร้างคุณค่าเพิ่มจากการใช้ทรัพยากรด้านเทคโลโยีที่มีคุณค่าในระยะยาว เพื่อการเติบโตอย่างยั่งยืน ตามหลักการของ CG และ ITG ภายใต้ร่มของ GRC

 

การให้ความสำคัญกับการกำหนด/ทบทวนเป้าหมายในเชิงผลผลิตและผลลัพธ์ (6)

ข้อสังเกตในการประเมินผลการบริหารความเสี่ยงองค์กรในด้านการกำหนด หรือทบทวนเป้าหมายเชิงผลผลิตและผลลัพธ์ ซึ่งองค์กรควรให้ความสำคัญกับการกำหนดหรือทบทวน เป้าหมายในเชิงผลผลิต และผลลัพธ์ที่ชัดเจน ในแผนบริหารเทคโนโลยีสารสนเทศให้เหมาะสมกับทิศทางขององค์กร และควรมีการติดตามผลตามเป้าหมายที่กำหนดไว้อย่างต่อเนื่อง ซึ่งการวิเคราะห์ผลลัพธ์ของโครงการ เช่น ความพึงพอใจของประชาชนที่เพิ่มขึ้นจากการดำเนินโครงการต่าง ๆ และควรมีการกำหนดเป้าหมายที่ชัดเจนในแต่ละปีด้วย ดังแผนภาพด้านล่างนี้

การประเมินผลสัมฤทธิ์โครงการ

ครั้งหน้าไปติดตามข้อสังเกตข้อสังเกตในการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงกันครับ

 

Integrated Auditors and Management ตอน 2

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของ Integrated Auditors and Management ซึ่งยังพูดคุยกันค้างไว้อยู่ และในวันนี้เราจะมาคุยกันต่อ ถึงแม้บทบาทของคอมพิวเตอร์ และระบบอัตโนมัติจะมีความสำคัญยิ่งยวดเพียงใด และนับวันช่องว่างระหว่าง Technology Computer กับศักยภาพหรือ Competency ของบุคลากร ในระดับบริหารจนถึงระดับปฏิบัติการ มีช่องว่างเพิ่มขึ้นตามลำดับ นี่คือความเสี่ยงที่มีนัยสำคัญยิ่ง และมีผลสำคัญมากต่อกระบวนการตัดสินใจที่มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานที่แท้จริง ที่หลายองค์กรยังต้องการความเข้าใจอย่างลึกซึ้งถึงผลกระทบต่อ IT Risk ที่มีผลต่อ Business Risk และกระบวนการตัดสินใจของผู้บริหารในภาพโดยรวม

ผู้บริหารของหลายองค์กรส่วนใหญ่ มักจะมีความเข้าใจคลาดเคลื่อนว่า เรื่องของเทคโนโลยี การควบคุมทางเทคโนโลยี และการจัดการทางด้านเทคโนโลยี เป็นของ CIO – Chief Information Officer จึงมีการมอบหมายงานสำคัญ ๆ ในการตัดสินใจไปยัง CIO และ CIO เกือบทั้งหมดก็มอบความไว้วางใจต่อ ๆ ไปยังผู้ใต้บังคับบัญชา รวมทั้ง Outsource ที่เกี่ยวข้อง ซึ่งเพิ่มความเสี่ยงในกระบวนการตัดสินใจ อันเกิดจากผลกระทบของ IT Risk ซึ่งมีผลต่อ Enterprise Risk Management อย่างสำคัญยิ่ง ทั้ง ๆ ที่เรื่องนี้เป็นความรับผิดและความรับชอบ ซึ่งเรียกสั้น ๆ ว่าเป็น Accountability ของผู้บริหารระดับสูงสุด รวมถึงคณะกรรมการที่จะต้องกำหนดนโยบายในเรื่องที่เกี่ยวข้องกับ การบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ในภาพโดยรวมให้เป็นภาพเดียวกัน มิใช่เพียงมาเชื่อมกัน หรือ นำมาต่อกันในภายหลัง+++ เท่านั้น

มาตรฐานการปฏิบัติงานทางด้านคอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศทางการสื่อสาร (ICT) ที่เป็นสากล หรือที่เป็น Best Practice หรือ Good Practice ได้ถูกนำมาใช้ หรือถูกนำมาบังคับใช้อย่างหลีกเลี่ยงไม่ได้ และในกรณีที่การปฏิบัติงานไม่มีกรอบ Standard หรือ Best Practice ในเรื่องที่เกี่ยวข้อง ก็ต้องนำ Guideline ในเรื่องนั้น ๆ มาใช้ในทางปฏิบัติ เพื่อให้เกิดการยอมรับต่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและต่างประเทศ

Integrated Thinking แนวคิด หรือการคิดให้ครบจนจบความ / ครบถ้วน ความคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) การคิดให้ลึกเชิงวิเคราะห์ (Analytical Thinking) เพื่อให้เกิดความเข้าใจโดยรวมของทั้งระบบ (System Thinking) เพื่อก้าวสู่เป้าหมาย-วัตถุประสงค์อย่างเป็นระบบเพื่อการจัดการที่ดี (Systematic Thinking Approach) เพื่อให้เกิดความสมบูรณ์ ความครบถ้วน ความถูกต้อง ที่จะนำไปสู่ประสิทธิภาพและประสิทธิผลในการดำเนินงาน และยกระดับการแข่งขัน จึงเป็นเรื่องที่จำเป็นอย่างยิ่งของการบริหารองค์กรยุคใหม่ ที่นำไปสู่หลักการที่นำไปสู่กระบวนการบริหารที่รวมเป็นชุด ที่มีความสัมพันธ์กันและกันในองค์ประกอบหลักการบริหารด้านการกำกับดูแลกิจการที่ดี (Governance – CG + ITG) การบริหารความเสี่ยงระดับองค์กร (Risk หรือ ERM) และการปฏิบัติตามกฎเกณฑ์ และกติกาสังคม ทั้งในระดับประเทศ และระหว่างประเทศ (Compliance) เพื่อสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งในระยะสั้นและระยะยาว ที่เรียกว่า GRC จึงเกิดขึ้น และเป็นแนวการบริหารยุคใหม่ล่าสุดที่จะยั่งยืนไปอีกนานแสนนาน

อย่างไรก็ดี การก้าวสู่กระบวนขับเคลื่อนการบริหารที่เน้น “กระบวนการ” หรือ “Process” ที่หลอมรวมการบริหาร PPT หรือ People + Process + Technology ที่เน้น Operational Management และเป็น Core Function ในการผลักดันองค์กรไปสู่ Integrity – Driven Performance ภายใต้องค์ประกอบหลัก GRC เพื่อตอบสนองความต้องการของผู้มีผลประโยชน์ร่วมอย่างผสมผสานเป็นหนึ่งเดียวของธุรกิจนั้น จะเป็นสุดยอดของกระบวนการบริหารการจัดการ ที่องค์กรชั้นนำของโลกได้นำมาใช้ในการบริหารในปัจจุบัน และผู้กำกับ (Regulators) ได้นำกรอบแนวคิดนี้ไปใช้กับผู้ปฏิบัติ (Operators) ในองค์กรที่เกี่ยวข้อง เพื่อให้เกิดประสิทธิภาพการบริหารและการจัดการที่ดี เพื่อก้าวไปสู่ Corporate Governance หรือบรรษัทภิบาลที่เป็นรูปธรรม +++

ก่อนการก้าวสู่ GRC ตามวรรคต้น แนวความคิดในเรื่อง Integrated Thinking โดยการคิดให้ครบจนจนความ โดยดูเป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรส่วนใหญ่ ซึ่งจะกำหนดเป็นนโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่ท้าทายต่อไป

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

ดังนั้น คณะกรรมการและผู้บริหารที่เกี่ยวข้อง รวมทั้ง คณะกรรมการตรวจสอบ CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ที่มีความเข้าใจภาพดังกล่าวข้างต้นไปในทิศทางเดียวกัน จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม