Archive for พฤษภาคม, 2011

วิสัยทัศน์ของประเทศและขององค์กร กับ GRC เพื่อการเติบโตอย่างยั่งยืน

วันนี้ผมจะนำเสนอในเรื่องที่ค้างคาใจของผมมานานแล้วก็คือ ผมอยากจะเห็น อยากได้อ่าน การกำหนดวิสัยทัศน์ของประเทศไทยที่ชัดเจน และเป็นรูปธรรม เป็นลายลักษณ์อักษร เพื่อเป็นทิศทางที่จะกำหนดพันธกิจ นโยบายและกลยุทธ์ของประเทศ รวมทั้งการจัดทำแผนงาน / โครงการต่าง ๆ ที่จะมีความชัดเจนและใช้ทรัพยากรอย่างมีคุณภาพยิ่งขึ้น หากประเทศไทยเรากำหนดวิสัยทัศน์อย่างเหมาะสม

ตามความเห็นของผมจึงได้นำเสนอวิสัยทัศน์ที่น่าจะเป็นไปได้มากของประเทศไทยที่อาจจะเรียกว่าเป็นการฉลองครบรอบ 100 ปีของการบริหารประเทศแบบประชาธิปไตย คือเริ่มตั้งแต่ปี พ.ศ. 2475 – 2575 โดยกำหนดเป็นวิสัยทัศน์ที่น่าจะท้าทายพอสมควร และเป็นเข็มทิศของประเทศว่า “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว”

ท่านผู้อ่านคิดว่าน่าจะดีไหมครับ ท่านผู้อ่านเคยได้ยิน หรือเคยเห็นว่าประเทศไทยมีการกำหนดวิสัยทัศน์ของประเทศไทยไว้ไหมครับ และเคยแปลกใจไหมว่า เราบริหารประเทศมากว่า 75 ปี ในแบบประชาธิปไตยนั้น ทิศทางที่เราต้องการจะเป็นหรือต้องการจะเห็นในอนาคตของประเทศไทยนั้นคืออะไร

นโยบายและแผนงานต่าง ๆ ที่กำหนดขึ้นมาโดยไร้ทิศทางที่กำหนดวิสัยทัศน์อย่างชัดเจนนั้น จะกำหนดแผนงานและโครงการอย่างไรให้เป็นไปอย่างสอดคล้องกันทั่วทั้งประเทศ ทั้งทางด้านเศรษฐกิจ การเงิน รวมทั้งความมั่นคงของประเทศ ถ้าหากขาดเป้าหมายที่ต้องการในอนาคต ในระดับชาติหรือองค์กร

ดังนั้นประเทศไทยจะนำแนวทางการบริหารประเทศแบบหลอมรวมและบรูณาการตามหลักการ GRC มาใช้ เพื่อให้เกิดการสอดประสานในนโยบาย รวมทั้งแผนงาน / โครงการต่าง ๆ ไม่ได้ดีเท่าที่ควร ถ้าหากขาดวิสัยทัศน์ที่ชัดเจน…

ท่านลองนึกดูนะครับว่า หากตัวท่านเองหรือองค์กรที่ท่านบริหารขาดวิสัยทัศน์ที่ชัดเจน ท่านหรือองค์กรที่ท่านบริหารจะมีทิศทางในการบริหารความสำเร็จในชีวิตของท่าน องค์กรของท่าน หรือประเทศของเราอย่างไร…

จริงอยู่ตัวเราเอง องค์กร และประเทศของเรา ก็บริหารกันมาด้วยดีตามสมควรมาโดยตลอด แต่เมื่อเทียบกับประเทศอื่น ๆ ที่มีวิสัยทัศน์ที่ชัดเจน และรวมพลังกันในการขับเคลื่อนให้วิสัยทัศน์นั้นเป็นจริง โดยการกำหนดนโยบาย กลยุทธ์ และแผนงาน / โครงการต่าง ๆ อย่างสอดประสานกันทั่วทั้งประเทศอย่างประเทศเพื่อนบ้านของเราหลายประเทศที่กำหนดวิสัยทัศน์อย่างชัดเจน เช่น ประเทศมาเลเซีย ที่กำหนดว่า “ภายใน ปี ค.ศ. 2020 ประเทศมาเลยเซียจะเป็นประเทศที่พัฒนาแล้ว” เป็นต้น

ดังนั้น ผมจึงขอนำเสนอเรื่องวิสัยทัศน์กับการบริหารประเทศแบบหลอมรวมและบรูณาการ / GRC ซึ่งอาจอธิบายประกอบกับภาพโดยย่อ ๆ ดังนี้นะครับ

ความหมายของ GRC ก็คือ G = Governance, R = Risk Management, C = Compliance
หากกล่าวเพียงแค่นี้ หลายท่านก็จะพูดว่า องค์กรของเรามี GRC แล้ว แต่แท้จริงแล้ว GRC มีความหมายมากกว่า G + R + C วิธีการง่าย ๆ ในการประเมินตนเองในเรื่องนี้ก็คือ หากองค์กรของท่านมีนโยบายเรื่อง G R C แยกต่างหากจากกัน และมีสายงานที่รับผิดชอบในเรื่องนั้น ๆ โดยเฉพาะ องค์กรของท่านถือว่ายังไม่มีการบริหารในแบบ GRC ที่แท้จริง เพราะการบริหารแบบ GRC เป็นการบริหารแบบหลอมรวมและบูรณาการ G + R + C เป็นหนึ่งเดียวเท่านั้น ผมขออธิบายตามรูปภาพย่อ ๆ ดังนี้ จากภาพเลข 6 เป็นการบริหารแบบ GRC ที่สมบูรณ์ ส่วนภาพเลข 5 เป็นการบริหารแบบ GRC ในลักษณะหนึ่งที่ยังต้องการความหลอมรวมไปสู่ GRC ภาพเลข 6 ซึ่งต้องใช้ IT – Based เป็นตัวเชื่อมในลักษณะ Technology Convergence

Slide1

ท่านผู้อ่านคงอาจจะสังเกตได้นะครับว่า เว็บนี้เริ่มนำเสนอความคิดที่เกี่ยวข้องกับ วิสัยทัศน์ของประเทศไทยที่น่าจะเป็น และท้าทายก็คือ “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” นั่นคือ การบริหารประเทศหรือการบริหารองค์กร จำเป็นอย่างยิ่งที่ต้องกำหนดทิศทางของประเทศและองค์กรในอนาคตที่ชัดเจน เพื่อให้เกิดพันธกิจ นโยบาย กลยุทธ์ รวมทั้งแผนงาน / โครงการที่จะดำเนินการภายใต้กลยุทธ์และนโยบายตามพันธกิจ สู่วิสัยทัศน์อย่างเป็นระบบ ซึ่งจะก่อให้เกิดการบริหารแบบสอดประสานและบูรณาการของแผนงาน และโครงการต่าง ๆ ที่มีประสิทธิภาพและประสิทธิผล ในการบริหารทรัพยากรของประเทศและองค์กรอย่างเป็นรูปธรรม และจะก่อให้เกิดการบูรณาการ Integrated Management ในระดับต่าง ๆ เพื่อก้าวไปสู่ Integrity – Driven Performance ที่เป็นแนวทางการบริหารแบบหลอมรวม และบูรณาการที่เรียกว่า GRC อย่างแท้จริง

ความหมายของคำว่า Integrity – Driven Performance ที่น่าจะเข้าใจได้ง่าย ก็คือ การขับเคลื่อนการบริหาร และการจัดการขององค์กรไปสู่ความสมบูรณ์แบบ / Integrity โดยใช้ IT – Based ไปขับเคลื่อนกระบวนการปฏิบัติงาน ตั้งแต่ระดับบนไปสู่ระดับปฏิบัติการ อย่างเป็นระบบ และมีระเบียบ เป็นขั้นตอน เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรมีการบริหารในลักษณะบูรณาการ / Integrated ในทุกองค์ประกอบที่เกี่ยวข้องกับ Governance (CG + ITG +++), Risk Management (IT และ Non – IT ซึ่งประกอบด้วย CobiT / ITIL + COSO – ERM) และ Compliance (การปฏิบัติตามกฎหมาย กฎเกณฑ์ คำสั่ง ระเบียบ การปฏิบัติตามสัญญา +++ รวมทั้งการปฏิบัติตามมาตรฐาน / Good Practice / Lesson – Learned ต่าง ๆ ที่เกี่ยวข้อง) โดยมีการติดตามการบริหาร (Monitoring) และการตรวจสอบภายในตามฐานความเสี่ยง (RBIA – Risk Based Internal Audit Approach) อย่างเป็นระบบที่เน้นไปในลักษณะของ Continuous Monitoring / Auditing และการรายงาน รวมทั้ง การปฏิบัติงานที่มีประสิทธิภาพในระดับต่าง ๆ +++

ทั้งนี้ หลักการของ GRC จะสมบูรณ์ไม่ได้เลยหากประเทศหรือองค์กร ขาดหลักการและแนวทาง การมี การใช้ อย่างเป็นรูปธรรมของจรรยาบรรณ และจริยธรรม (Ethics) และการปรับเปลี่ยนวัฒนธรรม รวมทั้งสภาพแวดล้อมที่ไม่เหมาะสมและไม่สอดคล้องกับหลักการของ Governance เช่น ความโปร่งใสที่ตรวจสอบได้ (Transparency) ความรู้ความสามารถในการปฏิบัติหน้าที่ (Responsibility) ความรับผิดชอบในผลของการปฏิบัติงาน (Accountability) การปฏิบัติโดยเท่าเทียมกัน (Equitable Treatment) การมีวิสัยทัศน์เพื่อสร้างความเติบโตอย่างยั่งยืน (Creation of Long Term Value – Sustainable Growth) การดูแลสังคมและสภาพแวดล้อมที่ดี (Social and Environmental Awareness) และการส่งเสริมการปฏิบัติอันเป็นเลิศและการมีจรรยาบรรณาที่ดีในการประกอบธุรกิจ (Promotion of Best Practices)

An Integrated Approach To GRC

ทั้งนี้ การบริหารในแบบ GRC นี้จะต้องคำนึงถึง ผู้มีผลประโยชน์ร่วม และสังคม (Stakeholders) มากกว่าผู้ถือหุ้น (Shareholders) ที่ผู้บริหารประเทศและคณะกรรมการระดับสูงขององค์กรต้องเป็นผู้กำหนดวิสัยทัศน์ และนโยบายที่ชัดเจน ในลักษณะ Tone at the top ด้วยจิตวิญญาณของความรับผิดชอบต่อประเทศ / องค์กร เพื่อก้าวไปสู่พันธกิจและวิสัยทัศน์ที่กำหนดอย่างมุ่งมั่น และทุ่มเท

อย่างไรก็ดี การที่ประเทศหรือองค์กรจะบริหารได้ดีมีประสิทธิภาพในลักษณะการบริหารแบบบูรณาการและการหลอมรวมกระบวนการจัดการต่าง ๆ เป็นหนึ่งเดียว ที่มิใช่นำเพียง G + R + C มารวมกันเท่านั้น เป็นเรื่องท้าทายยิ่ง เพราะการประสานงานและกระบวนการจัดการต่าง ๆ ที่หลอมรวมแบบบูรณาการเป็นหนึ่งเดียวกันนั้น จะเกิดไม่ได้เลย ถ้าประเทศหรือองค์กร ไม่มีวิสัยทัศน์ที่ชัดเจน หรือไม่กำหนดวิสัยทัศน์ในการบริหารจัดการประเทศ หรือองค์กรอย่างเป็นรูปธรรม เพราะพันธกิจ นโยบาย และแผนงาน/โครงการต่าง ๆ ที่ตามมาจะขาดทิศทางที่ชัดเจน ที่จะก่อให้เกิดการบริหารแบบบูรณาการ (Integrated Management) เพื่อก้าวไปสู่การบริหารแบบหลอมรวมและบูรณาการ ตามแบบฉบับของ GRC ที่แท้จริงนะครับ

 

Integrated Audit and Management in practices

เมื่อวันที่ 19 ก.พ. 2554 ผมได้ร่วมกับประธานสมาคม ISACA ซึ่งเป็นสมาคมที่สร้างความเชื่อมั่นและสร้างสรรค์คุณค่าจากระบบสารสนเทศของ Bangkok Chapter และผู้บริหารงานตรวจสอบภายในของ บริษัท AIS บรรยายเรื่อง “Integrated Audit in practices” ซึ่งยังเป็นเรื่องใหม่มากในประเทศไทย เพราะเป็นการหลอมรวมการตรวจสอบทางด้าน IT Audit และ Non – IT Audit เข้าด้วยกัน เพื่อผลประโยชน์ของ Stakeholders ที่สนใจในมุมมองนี้มากกว่าการตรวจสอบที่แยกกันระหว่าง IT Audit และ Non – IT Audit

ในส่วนของผมเอง ได้อธิบายถึง ความหมายของการตรวจสอบในลักษณะ Integrated Audit ซึ่งสรุปได้ ดังนี้

1. การหลอมรวม / บูรณาการ (Integrated) การตรวจสอบระหว่าง IT Audit/Non – IT Audit กับ Financial Audit และ Audit ประเภทอื่น ๆ ทุกประเภท

2. การหลอมรวม / บูรณาการ (Integrated) กระบวนการตรวจสอบ ตามเป้าประสงค์หลักของการตรวจสอบทางด้าน IT Audit ที่คำนึงถึงผลกระทบของ IT Risks ต่อ Business Risks

3. การหลอมรวม / บูรณาการ กระบวนการตรวจสอบตามเป้าประสงค์หลักของการตรวจสอบทางด้าน Financial Audit และ Audit อื่น ๆ ทุกประเภท โดยคำนึงถึงผลกระทบของ IT Risks ที่มีต่อ Business Risks เพื่อการบรรลุแผนงาน พันธกิจ กลยุทธ์ และวิสัยทัศน์ขององค์กร

4. การผสมผสานแนวความคิดของกระบวนการบริหาร การติดตามผลการดำเนินงาน และผลกระทบของการบริหารความเสี่ยง จากกลยุทธ์ต่าง ๆ ทั้งด้าน IT และ Non – IT ที่ควรสอดคล้อง และสัมพันธ์กับเป้าประสงค์ขององค์กร ตามหลักการ Business BSC. และ
Information Balanced Scorecard

5. การนำแนวความคิดการบริหารตามหลักการ GRC – Integrity Driven Performance ซึ่งใช้ฐาน IT – Based ในการติดตามผลการดำเนินงาน และการตรวจสอบ ตามมาตรฐานและองค์ประกอบที่เกี่ยวข้อง ++

6. การคำนึงถึงผู้มีผลประโยชน์ร่วม (Stakeholders) และ Sustainable Development (CSR) และกติกาของสังคมนานาชาติ และของประเทศ ในองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน

what is integrated audit

นอกจากนี้ยังอธิบายถึงว่า ทำไมผู้มีผลประโยชน์ร่วมและผู้บริหารจึงต้องการเห็น การตรวจสอบในลักษณะ Integrated Audit

1. เพื่อให้สอดคล้องกับหลักการบริหาร GRC ซึ่งเป็นแนวทางการบริหารยุคใหม่ในปัจจุบัน ที่ใช้หลักการบูรณาการการบริหาร (Integrated Management) เพื่อสร้างคุณค่าเพิ่ม / ประโยชน์ (Value) ให้กับองค์กรและประเทศชาติโดยรวม

2. เพื่อให้สอดคล้องกับหลักการ Interdependency และแนวความคิดที่ว่า องค์ประกอบของชีวิตและการบริหารการจัดการที่ไม่ควรพิจารณาตาม Silo – Based

3. Business Strategies เป็นผู้ขับเคลื่อน IT Strategies และนโยบายทางด้าน IT ต้องสัมพันธ์กับนโยบายทางด้าน Business ในทุกมุมมอง และในทุกระดับของกระบวนการจัดการที่ดี (CG + ITG / GRC)

4. IT Risks ก็คือ Business Risks ซึ่งองค์กรจะต้องมีนโยบาย กลยุทธ์ กระบวนการจัดการ วิธีการปฏิบัติ เพื่อนำไปสู่การขับเคลื่อนพันธกิจ และวิสัยทัศน์ขององค์กร และของประเทศที่สอดคล้องกัน และแยกกันพิจารณาไม่ได้

5. Monitoring โดยผู้บริหาร และการ Auditing โดยผู้ตรวจสอบทุกประเภท เป็นเรื่องเดียวกันแต่มีมุมมองในการจัดการและ Accountability / Responsibility ที่แตกต่างกัน แต่ต้องการการประสานงานที่ใกล้ชิด ตามมุมมองขององค์กรยุคใหม่ที่ใช้คอมพิวเตอร์ในการขับเคลื่อนเป็นหลัก

6. Continuous Management / Continuous Controls กับ Continuous Auditing ตามมาตรฐานของ IIA และ ISACA จะใช้กระบวนการทาง IT เป็นสำคัญ

7. เพื่อให้เกิดการ Assurance ของ Business โดยผู้ตรวจสอบ ต่อกระบวนการตัดสินใจจากรายงานที่ได้รับ

8. เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลต่อ Stakeholders ถึงข้อมูลและสารสนเทศ มีองค์ประกอบที่ดีและถูกต้อง เชื่อถือได้ และมีสารสนเทศใช้เพื่อการตัดสินใจได้ทุกเวลา และมั่นใจได้ว่า ธุรกิจสามารถขับเคลื่อนไปได้อย่างต่อเนื่อง จากการบริหารที่ได้มาตรฐาน

การตรวจสอบในลักษณะ Integrated Audit จะน่าสนใจยิ่งขึ้น หากจะอธิบายในมุมมองของการบริหารในลักษณะ GRC ซึ่งเป็นการบริหารยุคใหม่ ที่เป็นการหลอมรวมการบริหารจัดการที่ดีที่ทั่วโลกกำลังให้ความสนใจ ดังภาพด้านล่าง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสต่อไป

Integrated Audit and Integrated Mgmt Perspectives