Archive for มีนาคม, 2011

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 8

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในเรื่องของมุมมองของการติดตามการบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์ ได้นำเสนอมาถึงตอนที่ 8 นี้ ซึ่งผมจะขอเล่าต่อถึงความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ โดยได้เล่าถึงแนวทางการบริหารความเสี่ยงด้านกลยุทธ์ที่ดี ที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงขององค์กร ควรจะต้องพิจารณาในแง่มุมต่่าง ๆ ที่แยกย่อยลึกลงไป

ทั้งนี้ ได้กล่าวถึงการระบุและวัดความเสี่ยงด้านกลยุทธ์ที่เป็นสิ่งสำคัญแรก ที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องตระหนักและพิจารณา รวมถึงแผนดำเนินงานและกระบวนการจัดทำแผนดำเนินงาน ที่สอดคล้องกับแผนกลยุทธ์ตามที่กำหนดไว้ และนอกจากจะมีการวางแผนกลยุทธ์ที่ดีอย่างต่อเนื่อง และมีการทบทวนแผนกลยุทธ์หลัก ๆ 5 ด้าน ตามที่ได้กล่าวไว้ในครั้งที่แล้ว ยังต้องมีกระบวนการวางแผนกลยุทธ์ที่ดีดังที่จะได้กล่าวต่อไปนี้ครับ

การเชื่อมโยงการบริหารความเสี่ยงกับกระบวนการวางแผน

กระบวนการวางแผนกลยุทธ์ ซึ่งเป็นการกำหนดทิศทางการดำเนินธุรกิจในอนาคตก็เป็นอีกหนึ่งหน้าที่ความรับผิดชอบ ของคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง เพราะหากกระบวนการวางแผนไม่เหมาะสม สมมติฐานที่ใช้ไม่สมเหตุสมผล หรือแผนกลยุทธ์มีจุดอ่อน อาจทำให้องค์กรประสบความล้มเหลวได้ ดังนั้น องค์กรควรสนับสนุนให้มีกระบวนการวางแผนกลยุทธ์ และการนำไปปฏิบัติที่เหมาะสมในประเด็นต่าง ๆ ดังนี้

– การสนับสนุนหรือการมีส่วนร่วมของคณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ซึ่งคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีหน้าที่และความรับผิดชอบโดยตรงเกี่ยวกับกระบวนการวางแผนกลยุทธ์ และการนำแผนกลยุทธ์ไปปฏิบัติ จึงต้องมีส่วนร่วมอย่างเต็มที่ และตัดสินใจด้วยความระมัดระวัง บนพื้นฐานของข้อมูลที่ได้รับจากเจ้าหน้าที่ภายในองค์กรและผลการวิจัยตลาด เพื่อให้แน่ใจว่าแผนดังกล่าวมีความเป็นไปได้และเหมาะสม ทั้งนี้ แผนกลยุทธ์และวิธีการประเมินผลการปฏิบัติงาน ควรได้รับการอนุมัติและทบทวนโดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงอย่างต่อเนื่อง เพื่อพิจารณาถึงความเหมาะสมและความสอดคล้องกันระหว่างแผนกลยุทธ์ แผนดำเนินงานและผลการวิเคราะห์ต่าง ๆ

– การมีส่วนร่วมของบุคลากรจากฝ่ายงานต่าง ๆ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงที่รับผิดชอบกระบวนการวางแผนกลยุทธ์ ควรประกอบด้วยสมาชิกจากหลายฝ่ายงาน ทั้งจากฝ่ายงานหลักและฝ่ายงานสนับสนุนอื่น เพื่อกำหนดกรอบ หรือแนวทาง ที่ฝ่ายงานหลักและฝ่ายงานสนับสนุนสามารถปฏิบัติงานร่วมกัน เพื่อบรรลุเป้าหมายรวมขององค์กร โดยมิให้บุคคลใด หรือฝ่ายงานใด ครอบงำการจัดทำแผนกลยุทธ์ ดังนั้น การประสานงานจึงเป็นสิ่งจำเป็น เนื่องจากฝ่ายงานต่าง ๆ จะต้องร่วมกันปฏิบัติตามแผน และที่สำคัญคือ พนักงานทุกคนต้องตระหนักถึงความสำคัญของแผนงาน ให้ความร่วมมือ หรือมีส่วนร่วมในการให้ความเห็น ซึ่งจะทำให้ผู้บริหารมีโอกาสที่จะให้ และรับข้อมูลสนับสนุนการกำหนดแผนกลยุทธ์ได้อย่างมีประสิทธิภาพยิ่งขึ้น

– ความเพียงพอของข้อมูลที่ใช้จัดทำสมมติฐาน ข้อมูลสนับสนุนที่ใช้จัดทำสมมติฐานต้องเชื่อถือได้ และเพียงพอต่อการตัดสินใจของผู้บริหาร เพื่อสนับสนุนการวิเคราะห์และกำหนดสมมติฐานที่สมเหตุสมผล โดยข้อมูลอาจได้มาจาก

การประเมินปัจจัยทางเศรษฐกิจ ซึ่งหากองค์กรไม่มีการรวบรวมและวิเคราะห์ข้อมูลทางการตลาด ปัจจัยภายในและปัจจัยภายนอกอื่น ๆ ที่ละเอียดรอบคอบ จะไม่สามารถกำหนดสมมติฐาน เพื่อใช้ในการวางแผนได้อย่างครอบคลุม และใกล้เคียงเหตุการณ์จริง ซึ่งอาจทำให้ไม่สามารถดำเนินการให้บรรลุเป้าหมายได้

สถานะขององค์กรเปรียบเทียบกับคู่แข่ง เพื่อระบุจุดแข็งและจุดอ่อน โอกาสและอุปสรรค โดยคำนึงถึงการเปลี่ยนแปลงสภาพแวดล้อมและแนวโน้มในอนาคต อันจะส่งผลกระทบต่อองค์กร

ภาวะการแข่งขันในปัจจุบันและแนวโน้มของตลาด ได้แก่ รายละเอียดของคู่แข่งในตลาด อาทิ ขนาดสินทรัพย์ โครงสร้าง รูปแบบการเติบโต ธุรกิจหลัก จุดแข็งและจุดอ่อนของคู่แข่ง รวมทั้งส่วนแบ่งตลาดจำแนกตามประเภทผลิตภัณฑ์และสายธุรกิจ องค์กรควรประเมินสภาวะตลาดอย่างต่อเนื่อง โดยเฉพาะเมื่อมีการเปลี่ยนแปลงที่สำคัญ

ความต้องการของลูกค้า โดยพิจารณาโครงสร้างประชากร รายได้ และพฤติกรรมของลูกค้า เพื่อให้ทราบลักษณะตลาดในปัจจุบันและกลุ่มลูกค้าเป้าหมาย ระยะเวลาความต้องการสินค้า และแนวโน้มตลาดในอนาคต ทั้งนี้ ควรมีการทำวิจัยอย่างต่อเนื่อง เพื่อให้ แน่ใจว่าองค์กรมีการเตรียมพร้อม และสามารถตอบสนองต่อการเปลี่ยนแปลงของคู่แข่งและตลาดได้ทันกาล ซึ่งการวิจัยอาจกระทำโดยองค์กรเองหรือบริษัทวิจัยภายนอก

– ความสอดคล้องระหว่างแผนดำเนินงานกับวัตถุประสงค์โดยรวมขององค์กร เป้าหมายการปฏิบัติการควรสอดคล้องกับแผนกลยุทธ์และวัตถุประสงค์โดยรวมขององค์กร รวมทั้งการจัดทำแผนดำเนินงาน ควรสอดคล้องกับการจัดสรร งบประมาณและแหล่งเงินทุนที่องค์กรมีอยู่ด้วย นอกจากนี้ ควรกำหนดเกณฑ์วัดที่ใช้เปรียบเทียบผลการดำเนินงานจริงกับแผนดำเนินงาน เพื่อช่วยประเมินความสำเร็จตามแผน และกำหนดกรอบระยะเวลาดำเนินการในแต่ละขั้นตอนอย่างชัดเจน รวมทั้ง หากผล การประเมินเบี่ยงเบนไปจากที่คาดการณ์ไว้ ควรปรับเปลี่ยนแผนดำเนินงานให้สอดคล้องกับสภาพแวดล้อมหรือสถานการณ์ที่เปลี่ยนไป

– ความเป็นไปได้ของแผนกลยุทธ์ องค์กรควรกำหนดเป้าหมายให้สอดคล้องกับความสามารถ ศักยภาพ ส่วนแบ่งตลาด และภาวะการแข่งขันในปัจจุบัน ทั้งนี้ แผนกลยุทธ์ที่มีเป้าหมายกว้างเกินไป หรือไม่มีทิศทางที่ชัดเจน อาจทำให้การกำหนดแผนดำเนินงาน และแผนปฏิบัติการเป็นไปได้ยาก และไม่สามารถกำหนดเกณฑ์วัดผลการดำเนินงานได้อย่างเหมาะสม

– การประเมินผลการดำเนินงานจริงเปรียบเทียบกับแผนกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรวัดและประเมินผลการดำเนินงานจริง เปรียบเทียบกับแผนกลยุทธ์เป็นระยะ เพื่อติดตามและปรับเปลี่ยนแผนดำเนินงานให้เหมาะสม และสอดคล้องกับการเปลี่ยนแปลง โดยควรกำหนดเกณฑ์การประเมินผลการปฏิบัติที่สามารถวัดได้ และความถี่ในการประเมินผลที่เหมาะสม พร้อมทั้งพิจารณาทางเลือกที่สอดคล้องกับสถานการณ์ในแต่ละช่วงเวลา เพื่อใช้เป็นข้อมูลในการปรับแผนดำเนินงานต่อไป

ครั้งหน้าเราจะไปติดตามแผนดำเนินงานและกระบวนการจัดทำแผนดำเนินงาน ที่สอดคล้องกับแผนกลยุทธ์ตามที่กำหนดไว้กันครับ

 

IT Governance และ IT Strategy ระดับองค์กรและระดับประเทศ บางมุมมองที่ต้องบูรณาการในแต่ละกระบวนการเข้าด้วยกันแบบ GRC (ต่อ)

ครั้งที่แล้ว ผมได้กล่าวถึงแนวทางการกำหนดนโยบายที่ชัดเจน ทางด้านการบริหารความมั่นคงข้อมูลสารสนเทศที่ดี รวมทั้งแนวทางการปฏิบัติที่ชัดเจน ไม่กำกวม ในภาพรวมระดับชาติที่อาจใช้เป็นกรอบในการกำกับ หรือขับเคลื่อนการบริหารการจัดการด้านสารสนเทศที่ดี ที่สามารถแลกเปลี่ยนข้อมูล หรือหลอมรวมข้อมูลกันภายในกระทรวง ทบวง กรม ที่เป็นหน่วยงานของรััฐต่าง ๆ โดยมีกลยุทธ์ที่ผสมผสานเป็นหนึ่งเดียวในการบริหารจัดการสารสนเทศ ซึ่งจะช่วยลดการใช้ทรัพยากรของชาติได้อย่างมหาศาลในอนาคต และสร้างความเชื่อมั่นให้กับผู้มีผลประโยชน์ร่วมในทุกภาคส่วน ทั้งในและระหว่างประเทศนั้น

หากประเทศเรามีนโยบายการบริหารจัดการสารสนเทศตามแนวทางและหลักการของ IT Governance โดยใช้กรอบและกระบวนการของ CobiT และ ITIL รวมทั้งมาตรฐานอื่น ๆ ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ การบริหารความเสี่ยง และการจัดการด้านคุณภาพ รวมทั้งการจัดองค์กรและความสัมพันธ์ของหน่วยงานเทคโนโลยีสารสนเทศ ซึ่งจะเกี่ยวข้องกับการกำหนดทิศทางของเทคโนโลยีสารสนเทศ ทั้งในระดับองค์กรและในระดับประเทศนั้น +++

แนวทางและขอบเขตการบริหาร IT Governance ที่เกี่ยวกับ CobiT ในเรื่องหลัก ๆ 4 เรื่อง หรือ 4 องค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อนคุณลักษณะของสารสนเทศที่ดี และการบริหารทรัพยากรสารสนเทศนั้น จะประกอบด้วยเรื่องใหญ่ ๆ 4 เรื่องด้วยกัน คือ 1. การวางแผนและการจัดการองค์กร 2. การจัดการและการนำระบบออกใช้งานจริง 3. การส่งมอบและบำรุงรักษา 4. การติดตามและการสอบทาน

ครั้งนี้ ผมจะก้าวข้ามจากข้อ 1. คือการวางแผนและการจัดการองค์กร ไปสู่ข้อที่ 4 คือ การติดตามและการสอบทาน กระบวนการบริหารและการจัดการสารสนเทศที่ดี หรือ IT Governance ตามหลักการของ CobiT ที่อาจสร้างเป็นมาตรฐานให้กับหน่วยงานต่าง ๆ ปฏิบัติ โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับการสร้างมาตรฐานที่ใช้เป็นกรอบหลักในระดับชาติได้คือ 1. การสร้างมาตรฐานด้าน Common Data Structure เช่น การสร้างมาตรฐานข้อมูลทางด้าน e-Payment ของธนาคารแห่งประเทศไทย ซึ่งเป็นเรื่องการสร้าง Common Data เพียงตัวอย่างเดียวจากหลาย ๆ ตัวอย่าง 2. การสร้างมาตรฐานทางด้าน Common Technology Architecture และ 3. การสร้างมาตรฐานทางด้าน Common Risk & Control Processes ซึ่งเป็นกรอบใหญ่ ๆ 3 เรื่อง เพื่อเป็นทิศทางในการก้าวสู่การหลอมรวมการพัฒนาระบบเชื่อมโยงข้อมูล ในลักษณะ Collaborative e-Government หรืออาจเรียกย่อ ๆ ว่า TH e-GIF และต่อเนื่องด้วยวิธีการทำมาตรฐานรายการข้อมูล มาตรฐานที่เป็นข้อกำหนดทางเทคนิค เพื่อใช้เป็นกรอบมาตรฐานการเชื่อมโยงธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งมีรายละเอียดต่าง ๆ มากพอสมควร และผมจะขอพูดถึงในโอกาสต่อไป

Collaborative e-Governance กับ Common Data Technology and Risk

การที่ผมก้าวข้าม Domain 2 และ 3 ของ CobiT ก็เพราะเป็นกรอบแนวทางปฏิบัติที่อาจติดตามได้จากหลาย ๆ แหล่ง โดยเฉพาะจาก ISACA ผมจึงพาท่านมาสู่ Domain ที่ 4 ซึ่งเป็นเรื่องสำคัญที่ผสมผสานระหว่างการติดตามของผู้บริหารระดับสูงภายในองค์กร ซึ่งเรียกว่า การ Monitoring ที่สามารถดำเนินการควบคู่กันไปกับ การประเมินความเสี่ยงและการตรวจสอบภายในระดับองค์กร หรือระดับประเทศได้ ตามกรอบด้านล่างนี้ครับ

Control Objective CobiT 4.1_2

ในครั้งต่อไป ผมจะอธิบายในหัวข้อของ ME 1 Monitor and evaluate IT performance (การติดตามควบคุมกระบวนการทำงานขององค์กร), ME 2 Monitor and evaluate internal control (การประเมินความพอเพียงของระบบควบคุมความเสี่ยง), ME 3 Ensure compliance with external requirements (การติดตามและประเมินการปฏิบัติตามกฎหมาย และข้อกำหนดต่าง ๆ), ME 4 Provide IT Governance (การติดตามการจัดให้มี IT Governance ที่ดีมีคุณภาพ) ซึ่งในแต่ละหัวข้อมีรายละเอียดที่ต้องติดตามต่อไปครับ

 

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 7

ความเข้าใจและคำแนะำนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในหลาย ๆ ตอนที่ผ่านมา ผมได้เล่าสู่กันฟังในเรื่องที่เกี่ยวข้องกับมุมมองของการติดตามการบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์ ซึ่งในครั้งที่แล้วได้เล่าถึงความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ โดยทิ้งท้ายไว้ในเรื่องของแนวทางการบริหารความเสี่ยงทางด้านกลยุทธ์ที่ดี ที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงขององค์กร ควรจะต้องพิจารณาในแง่มุมต่่าง ๆ ที่มีรายละเอียดที่ลึกลงไป ซึ่งผมขอนำมาเล่าสู่กันฟังต่อในครั้งนี้นะครับ

แนวทางการบริหารความเสี่ยงด้านกลยุทธ์ที่ดี ที่คณะกรรมการฯ และผู้บริหารระดับสูงขององค์กร ควรพิจารณามีดังนี้

1. การระบุและการวัดความเสี่ยง เป็นการตระหนักถึงความเสี่ยงที่องค์กรกำลังเผชิญอยู่และความเสี่ยงที่อาจเกิดขึ้นในอนาคต โดยองค์กรควรระบุและวัดความเสี่ยงอย่างต่อเนื่อง เพื่อติดตามผลกระทบที่เกิดขึ้นจากสถานการณ์ที่เปลี่ยนแปลงไป ซึ่งการระบุและการวัดความเสี่ยงด้านกลยุทธ์จะต้องพิจารณาถึง การวางแผน กลยุทธ์ กระบวนการวางแผนกลยุทธ์ และความสมเหตุสมผลของแผนกลยุทธ์

นอกจากนั้น ยังต้องพิจารณารวมถึงแผนดำเนินงานและกระบวนการจัดทำแผนดำเนินงานว่า สอดคล้องกับแผนกลยุทธ์ที่กำหนดไว้หรือไม่ เพียงใด ซึ่งทั้งแผนกลยุทธ์และแผนดำเนินงานจะต้องสอดคล้องกับขอบเขต ความซับซ้อนของธุรกิจ สภาวะแวดล้อมภายนอก และปัจจัยภายในขององค์กร เพื่อบรรลุเป้าหมายทางธุรกิจและจัดการปัญหาขององค์กรได้

ปัจจุบันการเปลี่ยนแปลงของโครงสร้างระบบองค์กร ขอบเขตการดำเนินธุรกิจขององค์กร เทคโนโลยี ความผันผวนของภาวะตลาด การแข่งขันที่เพิ่มขึ้นและนวัตกรรมใหม่ ๆ ก่อให้เกิดความเสี่ยงมากขึ้น ดังนั้น คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงขององค์กร จำเป็นต้องมีการวางแผนที่ดีอย่างต่อเนื่อง พร้อมทั้งทบทวนแผนกลยุทธ์ เมื่อภาวะแวดล้อมเปลี่ยนไป อันได้แก่ การวางแผนกลยุทธ์ การจัดองค์กร การจัดอัตรากำลัง การสั่งการ และการควบคุมการปฏิบัติงาน เพื่อให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพ สามารถบรรลุวัตถุประสงค์และเป้าหมายที่กำหนด

– การวางแผนกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับ มอบหมาย และผู้บริหารระดับสูง ต้องกำหนดทิศทางการดำเนินธุรกิจในอนาคตขององค์กร และวางแผนให้สอดคล้องกับสภาพแวดล้อมและสถานการณ์ที่เปลี่ยนแปลงไป นอกจากนี้ ต้องกำหนดแผนดำเนินงาน กลุ่มลูกค้าเป้าหมาย และวิธีประเมินผลการปฏิบัติตามแผน รวมทั้งระบบการบริหารความเสี่ยง ระบบเทคโนโลยีสารสนเทศ และระบบสนับสนุนอื่น เพื่อควบคุมความเสี่ยงด้านกลยุทธ์ด้วย

– การจัดองค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องจัดองค์กรและกำหนดวิธีการปฏิบัติงานที่เอื้อต่อการปฏิบัติตามแผนกลยุทธ์ และจัดให้มีการสอบยันและถ่วงดุลอำนาจ (Check and Balance) อย่างเหมาะสม

– การจัดอัตรากำลัง คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องดำเนินการให้มีการจัดสรรอัตรากำลังให้เหมาะสมกับคุณสมบัติ และหน้าที่ตำแหน่งงานที่รับผิดชอบ เพื่อให้การปฏิบัติตามแผนกลยุทธ์เป็นไปอย่างมีประสิทธิภาพ และสอดคล้องกับการเปลี่ยนแปลงรูปแบบการจัดองค์กร รวมทั้งกำหนดระบบการสรรหา การฝึกอบรม และการกำหนดผลตอบแทนที่สนับสนุนให้พนักงานปฏิบัติตามแผนกลยุทธ์ เพื่อบรรลุเป้าหมายขององค์กร

– การสั่งการ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องสั่งการเพื่อให้การดำเนินการขององค์กรเป็นไปตามเป้าหมาย โดยกำหนดสายการบังคับบัญชาที่ชัดเจนและเปิดเผย ซึ่งจะช่วยให้มีการตัดสินใจ การตอบสนองการวัดและประเมินผลที่รวดเร็ว และมีประสิทธิภาพ

– การควบคุมและติดตามการปฏิบัติงาน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องจัดให้มีกลไกการควบคุมการปฏิบัติตามแผนกลยุทธ์ที่มีประสิทธิผล ซึ่งสามารถตรวจพบกรณีที่มีการเบี่ยงเบนไปจากแผน และเสนอแนวทางแก้ไขได้ทันท่วงที โดยมีระบบการรายงานรายละเอียดความคืบหน้าในการปฏิบัติตามแผนและวัตถุประสงค์ พร้อมเปรียบเทียบผลการปฏิบัติจริงกับแผนดำเนินงานและงบประมาณ รวมทั้งควรมีแผนรองรับการดำเนินธุรกิจ (ฺBusiness Continuity Planning – BCP) สำหรับสถานการณ์ที่ไม่ปกติ เพื่อรองรับการเปลี่ยนแปลงสภาพแวดล้อมที่ไม่เป็นไปตามที่คาดไว้

ท่านผู้บริหาร และผู้ตรวจสอบทุกท่านสามารถติดตามความเข้าใจและคำแนะำนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบต่อได้ในตอนต่อไปนะครับ

 

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 6

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ผมได้เล่าสู่กันฟังในเรื่องที่เกี่ยวข้องกับมุมมองของการติดตามการบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์มา 5 ตอนแล้วนะครับ ท่านผู้บริหารและท่านผู้ตรวจสอบอาจจะสนใจลึกลงไปมากกว่าที่ได้กล่าวมาแล้วในตอนต้น ๆ ว่า การจัดการบริหารความเสี่ยงด้านกลยุทธ์ที่ดี ที่ผู้บริหารพึงใช้ในการติดตาม (Monitor) และผู้ตรวจสอบที่จะประเมินผลการควบคุมความเสี่ยงทางด้านกลยุทธ์ที่มีอยู่โดยองค์กรนั้น เป็นการควบคุมที่เหมาะสมและพอเพียงหรือไม่ ควรจะพิจารณาในมุมมองใดบ้าง เพื่อที่ผู้บริหารและผู้ตรวจสอบอาจจะทำการประเมินตนเองเพื่อการควบคุมภายในว่า องค์กรมีการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสมในปัจจุบันแล้วหรือยัง

แนวคิดดังกล่าวข้างต้นอาจจะอธิบายได้เพิ่มเติมบางมุมมอง ซึ่งขึ้นกับลักษณะและขนาด รวมทั้งความซับซ้อนของธุรกิจ + โครงสร้างของธุรกิจที่สัมพันธ์กับวัฒนธรรม และความเชื่อในการบริหารความเสี่ยง รวมทั้งการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่ผู้บริหารและผู้ตรวจสอบควรจะทำความเข้าใจในสภาพแวดล้อมในองค์กรของท่านตามที่กล่าวไปแล้วผสมผสานกับคำแนะนำเกี่ยวกับการบริหารความเสี่ยงทางด้านกลยุทธ์และการควบคุมดังนี้

ความเสี่ยงด้านกลยุทธ์ ควรจะเข้าใจตรงกันว่า เป็นความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงาน และการนำไปปฏิบัติ ไม่เหมาะสมหรือสอดคล้องกับสภาพแวดล้อมภายนอกและปัจจัยภายใน ซึ่งอาจส่งผลกระทบต่อการกำหนดทิศทาง แผนการดำเนินงาน และแผนปฏิบัติการในแต่ละหน่วยธุรกิจขององค์กร

ดังนั้น จึงมีความจำเป็นที่คณะกรรมการฯ และผู้บริหารระดับสูงขององค์กร จะต้องมีการกำหนดแนวทางในการจัดการความเสี่ยงอย่างมีประสิทธิภาพ และเหมาะสมกับสภาพแวดล้อมในการดำเนินธุรกิจ เพื่อให้มั่นใจว่า ความเสี่ยงอยู่ในระดับที่ยอมรับได้ และมีระบบบริหารความเสี่ยงที่เพียงพอในการระบุ วัด ติดตาม และควบคุมความเสี่ยงได้

ทั้งนี้ คณะกรรมการองค์กร ผู้บริหารระดับสูง ซึ่งหมายถึง ผู้จัดการ รองผู้จัดการ ผู้ช่วยผู้จัดการ หรือผู้ที่มีตำแหน่งเทียบเท่าที่เรียกชื่อ เป็นอย่างอื่น ซึ่งมีอำนาจในการจัดการ 3 ลำดับแรก ขององค์กร และควรเข้าใจตรงกันว่า ผู้บริหาร หมายถึง ผู้มีอำนาจจัดการในลำดับถัดจาก 3 ลำดับแรก ตามที่กล่าวข้างต้น ทำหน้าที่ในการจัดการและสอดส่องดูแล การปฏิบัติงานให้เป็นไปตามกฎหมาย ข้อบังคับ และมติของที่ประชุมผู้ถือหุ้น

ดังนั้น คณะกรรมการฯ จึงต้องทำหน้าที่โดยซื่อสัตย์สุจริต และระมัดระวังในระดับที่พึงคาดหมายได้จากผู้มีผลประโยชน์ร่วม ในสถานภาพและสภาวการณ์เช่นเดียวกัน และผู้บริหารระดับสูงควรมีความรับผิดชอบในการบริหารเยี่ยงผู้ประกอบอาชีพ เพื่อประโยชน์สูงสุดขององค์กร ผู้ถือหุ้น และพนักงาน แม้ว่าหน้าที่และความรับผิดชอบของคณะกรรมการฯ และผู้บริหารระดับสูง อาจแตกต่างกันตามโครงสร้างองค์กร และอำนาจหน้าที่ที่กำหนดไว้

ในกรณีที่เกิดความเสียหาย คณะกรรมการฯ และผู้บริหารระดับสูงอาจต้องมีการรับผิดชอบเป็นการส่วนตัวทั้งทางแพ่งและทางอาญา รวมทั้งไม่อาจยกเอาการที่ตนมิได้มีหน้าที่เป็นกรรมการหรือผู้บริหาร และขาดข้อมูลเกี่ยวกับองค์กรขึ้นอ้าง เพื่อให้พ้นความรับผิดจากการไม่ปฏิบัติหน้าที่ดังกล่าว และ

ในทางปฏิบัติคณะกรรมการฯ อาจมอบอำนาจการจัดการบางเรื่อง ให้คณะกรรมการย่อยชุดต่าง ๆ หรือผู้บริหารบางรายพิจารณาและตัดสินใจ เพื่อความคล่องตัวในการดำเนินธุรกิจขององค์กร แต่อย่างไรก็ตาม คณะกรรมการฯ ที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องติดตามและสอดส่องให้มีการปฏิบัติตามกฎหมาย ระเบียบ และหลักเกณฑ์ของทางการที่เกี่ยวข้อง เช่น หน่วยงานที่กำกับดูแล เพื่อส่งเสริมให้มีการกำกับดูแลกิจการตามหลักธรรมาภิบาล (Corporate Governance) เป็นต้น

ทั้งนี้ แนวการบริหารความเสี่ยงทางด้านกลยุทธ์ที่ดี ที่องค์กรควรจะพิจารณาในแง่มุมต่าง ๆ ที่แยกย่อยลงไปยังมีรายละเอียด ที่คณะกรรมการ และผู้บริหาร ต้องทำความเข้าใจในเรื่องต่าง ๆ ซึ่งผมจะได้นำมาเล่าสู่กันฟังในตอนต่อไปนะครับ

 

itgthailand.com ย้าย host ใหม่

สวัสดีครับ ทุกท่าน ผมต้องขออภัยในความไม่สะดวก หลังจากที่ www.itgthailand.com แห่งนี้ ไม่สามารถเข้าใช้งานได้หลายวัน เพราะมีปัญหาในเรื่องของ host ทำให้ทุกท่านไม่สามารถติดตามเนื้อหา สาระ ข่าวสารความเคลื่อนไหวจากทางเว็บได้ ผมจึงขอแจ้งให้ทุกท่านทราบว่า ตอนนี้ www.itgthailand.com ได้ดำเนินการย้าย host ไปที่แห่งใหม่เรียบร้อย และสามารถใช้งานได้ตามปกติแล้วครับ โดยเราได้รับการเอื้อเฟื้อ และให้การช่วยเหลือเป็นอย่างดีจาก ดร. ปริญญา หอมอเนก และคุณนิพนธ์ จาก เอซิส โปรเฟสชั่นแนล เซ็นเตอร์ (ACIS Professional Center) สถาบันที่ให้ความรู้ที่หลากหลายทางด้าน Information Security/Technology+++ ผมต้องขอขอบคุณทั้ง 2 ท่าน เป็นอย่างยิ่ง รวมถึงคุณกฤษณีย์ เกียรติไพบูลย์ แห่ง วินท์คอม เทคโนโลยี (Vintcom Technology) ที่คอยอำนวยความสะดวกแก่เราเสมอมา ทำให้ www.itgthailand.com นี้ยังคงสามารถดำเนินงานเผยแพร่ข้อมูล ข่าวสาร และสาระประโยชน์ให้แก่สาธารณชนผู้สนใจทุกท่านได้ต่อไป

อย่างไรก็ตาม เพื่อมิให้ทุกท่านพลาดการติดตามเนื้อหา สาระประโยชน์ จาก itgthailand ผมจะ update ข้อมูลควบคู่ไปกับ www.itgthailand.wordpress.com อย่างสม่ำเสมอ เพื่อรองรับหากเกิดกรณีที่ไม่สามารถใช้งาน itgthailand.com ได้

ขอบคุณทุกท่านที่ติดตาม itgthailand ครับ

 

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 5

ห่างหายกันไปเป็นสัปดาห์เลยเชียวครับทุกท่าน จากปัญหา host ทำให้เราไม่สามารถเข้าใช้งานเว็บได้ เป็นเหตุให้ itgthailand.com ต้องย้าย host ใหม่ ผมดีใจที่ได้กลับมาพูดคุยกับทุกท่านผ่านทางเว็บนี้เหมือนเช่นเคย จากที่เราได้พูดคุยกันในเรื่องของความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบด้านกลยุทธ์ในหลาย ๆ ตอนที่ผ่านมา
และผมได้พูดถึงการจัดระดับความเสี่ยงกันไปแล้ว เรามาติดตามกันต่อไปว่าเมื่อมีการจัดระดับความเสี่ยงทางด้านกลยุทธ์แล้วนั้น องค์กรมีการจัดการกับความเสี่ยงที่เกิดขึ้นในแต่ละรูปแบบได้อย่างไร

การจัดการความเสี่ยงที่อยู่ในเกณฑ์ดี จะมีการบริหารกิจการตามหลักธรรมาภิบาลเป็นไปอย่างมีประสิทธิภาพ และมีความโปร่งใสในการเปิดเผยข้อมูล มีนโยบายและขั้นตอนการปฏิบัติงานสําหรับธุรกรรมที่ทําโดย หรือทําเพื่อบุคคลภายในองค์กรไว้อย่างชัดเจน เพื่อป้องกันปัญหาการปฏิบัติเพื่อผลประโยชน์ส่วนตน แทนที่จะคํานึงถึงผลประโยชน์ขององค์กรเป็นหลัก

การตัดสินใจทางกลยุทธ์สามารถปรับเปลี่ยนได้ โดยเกิดค่าใช้จ่ายเพียงเล็กน้อย และไม่มีอุปสรรค มีการจัดทําแผนฉุกเฉินสําหรับภาวะวิกฤติ โดยครอบคลุมเรื่องที่สําคัญและสื่อสารแผนให้ทราบทั่วทั้งองค์กร และมีการทดสอบแผนฉุกเฉินอย่างสม่ำเสมอ

องค์กรมีแผนฝึกอบรม และสร้างผู้บริหารทดแทนอย่างเป็นทางการ เพื่อให้การบริหารงานเป็นไปอย่างต่อเนื่อง ระบบสารสนเทศสามารถสนับสนุนการดําเนินการตามกลยุทธ์อย่างมีประสิทธิภาพ ผู้บริหารมีความสามารถสูงในการพัฒนาทิศทางกลยุทธ์ และเพิ่มประสิทธิภาพในการปฏิบัติตามกลยุทธ์และในการดําเนินงานขององค์กร จนประสบความสําเร็จตามเป้าหมายที่กําหนดไว้

คณะกรรมการองค์กรมีคุณสมบัติครบถ้วน มีประสบการณ์หลากหลาย และเข้าร่วมประชุมโดยสม่ำเสมอ ไม่มีผู้ใดมีอํานาจครอบงําผู้อื่น มีคณะกรรมการที่รับผิดชอบดูแลความเสี่ยงทั้งหมด

การจัดการความเสี่ยงที่อยู่ในเกณฑ์พอใช้ จะมีการบริหารกิจการตามหลักธรรมาภิบาล และมีความโปร่งใสในการเปิดเผยข้อมูล มีนโยบายและขั้นตอนการปฏิบัติงานสําหรับธุรกรรมที่ทําโดย หรือทําเพื่อบุคคลภายในองค์กรอย่างเพียงพอที่จะป้องกันปัญหาการปฏิบัติหน้าที่ โดยไม่ได้คํานึงถึงผลประโยชน์ขององค์กรเป็นหลัก

การตัดสินใจทางกลยุทธ์สามารถปรับเปลี่ยนได้ โดยไม่มีอุปสรรคหรือค่าใช้จ่ายที่มีนัยสําคัญ มีการจัดทําแผนฉุกเฉินสําหรับภาวะวิกฤติ ซึ่งครอบคลุมเรื่องที่สําคัญอย่างเพียงพอ แผนฉุกเฉินได้รับการทดสอบอย่างสม่ำเสมอและสื่อสารให้พนักงานได้รับทราบ

องค์กรมีแผนฝึกอบรม และสร้างผู้บริหารทดแทนอย่างเพียงพอ เพื่อให้การบริหารงานเป็นไปอย่างต่อเนื่อง ระบบสารสนเทศสามารถสนับสนุนการดําเนินการตามกลยุทธ์อย่างเพียงพอ ผู้บริหารแสดงให้เห็นถึงความสามารถในการดําเนินงาน ให้บรรลุตามเป้าหมายและวัตถุประสงค์ขององค์กร มีการตัดสินใจและการควบคุมที่ดีและสมเหตุผล

คณะกรรมการองค์กร มีคุณสมบัติเหมาะสมและมีประสบการณ์หลากหลาย โดยอาจไม่เข้าร่วมประชุมในบางครั้ง แตไม่มีผลกระทบที่มีนัยสําคัญ ไม่มีผู้ใดมีอํานาจครอบงําผู้อื่น ขอบเขตความรับผิดชอบของคณะกรรมการครอบคลุมการดูแลความเสี่ยงที่สําคัญ

การจัดการความเสี่ยงที่อยู่ในเกณฑ์อ่อน การบริหารงานจะไม่เป็นไปตามหลักธรรมาภิบาล การเปิดเผยข้อมูลไม้โปร่งใส ไม่มีนโยบายและขั้นตอนปฏิบัติงานสําหรับธุรกรรมที่ทําโดย หรือทําเพื่อบุคคลภายในองค์กรอย่างเพียงพอ ที่จะป้องกันปัญหาการปฏิบัติหน้าที่โดยไม่ได้คํานึงถึงผลประโยชน์ขององค์กรเป็นหลัก

การปรับเปลี่ยนการตัดสินใจทางกลยุทธ์ก่อให้เกิดอุปสรรคและค่าใช้จ่ายที่มีนัยสําคัญ ไม่ได้จัดทําแผนฉุกเฉินอย่างเพียงพอสําหรับภาวะวิกฤติ และไม่มีการทดสอบแผนฉุกเฉินเป็นระยะ ตลอดจนไม่ได้สื่อสารให้พนักงานทราบ

องค์กรไม่มีแผนการสร้างผู้บริหารทดแทน หรือมีแต่ขาดประสิทธิภาพ และไม่มีการฝึกอบรมอย่างเพียงพอที่จะช่วยให้การบริหารงานเป็นไปอย่างต่อเนื่อง ระบบสารสนเทศเพื่อการบริหารไม่ได้สนับสนุนการดําเนินการตามกลยุทธ์อย่างเพียงพอ ผู้บริหารไม่มีความสามารถในการดําเนินงานให้บรรลุเป้าหมายและวัตถุประสงค์ขององค์กร และไม่ประสบความสําเร็จในการตัดสินใจและ ควบคุมดูแลกิจการ

คณะกรรมการองค์กรมีคุณสมบัติที่ไม่เหมาะสม และมีประสบการณ์ไม่หลากหลาย ไม่เข้าร่วมประชุมบ่อยครั้ง และมีผู้มีอํานาจครอบงําผู้อื่น ขอบเขตความรับผิดชอบของคณะกรรมการไม่ครอบคลุมความเสี่ยงที่สําคัญ

เรื่องความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบด้านกลยุทธ์ยังไม่จบเพียงเท่านี้ ไปติดตามกันต่อในครั้งหน้านะครับ