Archive for กรกฎาคม, 2011

CEO / CIO and Integrated Management – Audit / Approaching to Practical GRC

ปัจจุบัน การบริหารองค์กรแบบบูรณาการ หรืออาจเรียกได้ง่าย ๆ ว่า Integrated Management ซึ่งรวมไปถึง Integrated Risk Management รวมทั้ง Integrated Control and Audit เพื่อก้าวไปสู่ Integrated GRC ซึ่งเป็นแกนหลักของการบริหารการจัดการแบบหลอมรวม กระบวนความคิด และการปฏิบัติงานไปสู่การเติบโตอย่างยั่งยืน ที่ผสมผสานระหว่าง Corporate Governance and IT Governance ที่อยุ่ภายใต้ร่ม ๆ เดียวกัน คือ Integrated GRC นั้น กำลังได้รับความสนใจ และนำไปใช้อย่างเป็นรูปธรรมมากขึ้น เพราะสามารถลดความซ้ำซ้อนในกระบวนการจัดการ และกระบวนการบริหารจัดการองค์กรได้ในทุกกรอบของการจัดการ

วันนี้ ผมจึงขอนำเสนอแนวความคิดที่สามารถปฏิบัติได้จริง ที่เชื่อมโยงระหว่างการบริหารการจัดการสารสนเทศ ที่ผสมผสานกับการบริหารจัดการองค์กร เพื่อบรรลุ Performance และ Conformance ที่ประกอบไปด้วยองค์ประกอบต่าง ๆ ของการบริหารจัดการในหลายรูปแบบ รูปแบบที่อธิบายได้อย่างกว้าง ๆ และเข้าใจได้ง่ายก่อนที่จะลงลึกไปกว่านี้ ปรากฎดังแผนภาพต่อไปนี้

Integrated GRC - Components of Management and Understanding

แผนภาพตามที่แสดงไว้ข้างต้น สามารถสร้างความเข้าใจให้กับ CEO, CIO, CFO, COO และทุกระดับของ C – Level รวมทั้งคณะกรรมการต่าง ๆ ขององค์กร ที่สามารถเชื่อมโยงความเข้าใจในการบริหารและการจัดการแบบหลอมรวม เพื่อขับเคลื่อนองค์กรยุคใหม่ ที่แยกกันไม่ได้ระหว่างการบริหารการจัดการสารสนเทศ ที่ต้องผสมผสานกันไปอย่างแนบแน่นกับการบริหารเพื่อก้าวสู่วัตถุประสงค์ต่าง ๆ ตามหลักการ Business Balanced Scorecard และ Information Balanced Scorecard ที่ไม่ควรมีการจัดการแบบ Silo – Based อีกต่อไป

ผู้กำกับของหน่วยงานที่มีความสำคัญ ได้พยายามขับเคลื่อนและชี้นำทิศทางการบริหารแบบบูรณาการเช่นนี้ ไปให้กับหน่วยงานที่ถูกกำกับใช้ในการปฏิบัติอย่างเป็นรูปธรรม ซึ่งรวมถึงการออกกฎหมาย กฎเกณฑ์ พระราชบัญญัติ พระราชกฤษฎีกา ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ที่รวมนโยบาย วิธีการปฏิบัติงาน การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ การควบคุมภายในและการตรวจสอบภายใน ทางด้านเทคโนโลยีสารสนเทศเข้าด้วยกันอย่างเป็นกระบวนการ ซึ่งพิจารณาได้ว่า เป็นความจำเป็นในระดับประเทศที่ต้องขับเคลื่อนองค์กรต่าง ๆ ไปสู่ทิศทางที่ยกระดับความสามารถในการจัดการที่ดี ที่ต้องผสมผสานระหว่าง Corporate Governance + IT Governance ที่เป็นกระบวนการส่วนหนึ่งในการขับเคลื่อนไปสู่ GRC ที่มิใช่เป็นเพียง G + R + C

แนวความคิดในเรื่องการบริหารและการตรวจสอบแบบบูรณาการที่เรียกว่า “Integrated Thinking”โดยการคิดให้ครบจนจนความ เพื่อก้าวไปสู่เป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรที่ทันสมัยส่วนใหญ่ ซึ่งจะกำหนดเป็นวิสัยทัศน์ พันธกิจ นโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่เกี่ยวข้องกับ IT – Based ที่ท้าทายและเป็นกลไกนำไปสู่กระบวนการบริหารแบบบูรณาการที่สามารถสร้างประสิทธิภาพและประสิทธิผล และยกระดับการแข่งขันที่เป็นสากล

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

คณะกรรมการ ผู้บริหารระดับสูง/CEO และผู้บริหารที่เกี่ยวข้องในระดับต่าง ๆ รวมทั้ง คณะกรรมการตรวจสอบ/AC ผู้บริหารงานตรวจสอบ/CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ควรมีความเข้าใจภาพการบริหารแบบบูรณาการที่ผสมผสานระหว่าง กระบวนการทางด้านเทคโนโลยีสารสนเทศ กับกระบวนการทางด้านบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยงไปในทิศทางเดียวกัน และผสมผสานกระบวนการจัดการในทุกระดับระหว่าง IT กับ Non – IT ที่เข้าใจได้ง่าย ๆ ว่า “Integrated Management – Audit” ซึ่งเป็นสิ่งสำคัญอย่างยิ่งที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจการขับเคลื่อนไปสู่เป้าประสงค์ตามหลัก Business Balanced Score Card ที่ผสมผสานไปกับ Information Balanced Score Card ทางด้านเทคโนโลยีสารสนเทศที่ไม่สามารถจะแยกการจัดการกันได้อีกต่อไป

ดังนั้น การบริหารงานยุคใหม่ CEO ผู้บริหารงานและผู้ปฏิบัติงานทุกระดับ จะต้องเข้าใจความเสี่ยงที่เกิดจากเทคโนโลยีสารสนเทศ – IT Risk ที่มีผลกระทบต่อ Business Risk ในทุกมุมมอง จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

Approaching to GRC / Integrated Management and Systematic Thinking

Integrated Thinking ที่นำไปสู่ Integrated Management – Audit จะสามารถสร้าง Value Added และ Value Creation ได้มากกว่าการบริหารแบบ Silo – Based และเป็นหนึ่งในก้าวแรก ที่จะก้าวไปสู่ GRC ที่มิใช่ G + R + C เท่านั้น

องค์กรของท่านพร้อมหรือยังครับ กับการติดตามให้ทันแนวคิดและการจัดการที่เป็นรูปธรรมของการบริหารยุคใหม่ ที่เรียกว่า “GRC” ซึ่งเป็นการขับเคลื่อนกระบวนการบริหารในลักษณะที่ผสมผสานระหว่าง IT กับ Non – IT เข้าด้วยกันอย่างแยกกันไม่ได้ และเรียกแนวทางเช่นนี้ว่า “Integrity – Driven Performance” ที่สามารถติดตามได้จากเว็บไซต์ต่าง ๆ ที่เกี่ยวข้องนะครับ

 

กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล – IPPF (ต่อ)

สวัสดีครับ ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายในทุกท่าน ในครั้งที่แล้วผมได้นำเสนอถึงกรอบการปฏิบัติงานกรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) ซึ่งเป็นแนวทางสำคัญสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงิน โดย IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) ซึ่งผมได้นำเสนอแนวทางหลักไปในเบื้องต้นแล้ว สำหรับวันนี้ผมจะได้นำเสนอแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อจากครั้งที่แล้วนะครับ

2. แนวทางที่แนะนำให้ใช้ (Strongly Recommended Guidance)
เป็นแนวทางที่ได้รับการรับรองจาก IIA โดยผ่านกระบวนการพิจารณาอนุมัติอย่างเป็นทางการ แนวทางเหล่านี้จะช่วยอธิบายถึงวิธีการปฎิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานฯ ได้อย่างมีประสิทธิภาพ ซึ่งมี 3 ส่วน ดังนี้

ส่วนที่ 1 เอกสารแสดงความคิดเห็น (Position Papers) เป็นเอกสารที่จะช่วยให้ผู้ที่มีความสนใจในงานตรวจสอบภายใน ได้ทำความเข้าใจถึงนัยสำคัญของประเด็นการกำกับดูแลความเสี่ยง การควบคุม รวมถึงความเกี่ยวข้องที่สิ่งเหล่านั้นมีต่อบทบาทหน้าที่รับผิดชอบของผู้ตรวจสอบภายใน ถึงแม้ว่าบุคคลนั้นจะไม่ได้อยู่ในสายวิชาชีพตรวจสอบภายในก็ตาม ปัจจุบัน IIA ได้เผยแพร่เอกสารแสดงความคิดเห็นจำนวน 2 ฉบับ คือ

o The Role of Internal Auditing in Enterprise-wide Risk Management
o The Role of Internal Auditing in Resourcing the Internal Audit Activity

ส่วนที่ 2 ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories) เป็นสิ่งที่ช่วยให้ผู้ตรวจสอบภายใน สามารถปฏิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐาน รวมถึงส่งเสริมและเผยแพร่แนวทางการปฏิบัติที่ดีได้ ซึ่งข้อแนะนำเหล่านี้จะอธิบายถึงวิธีการทำงาน เทคนิค และสิ่งที่ควรพิจารณาในการปฏิบัติงานตรวจสอบภายใน แต่ไม่ใช่ขั้นตอนหรือกระบวนการปฏิบัติงานโดยละเอียด

อย่างไรก็ตาม ข้อแนะนำนี้ได้รวมถึงแนวปฏิบัติที่เกี่ยวข้องกับประเด็นในระดับสากล ระดับประเทศ หรือธุรกิจ และภารกิจเฉพาะ รวมถึงประเด็นทางกฎหมายและข้อบังคับต่าง ๆ ทั้งนี้ IIA ได้ทำการพัฒนาและบูรณาการเนื้อหาของข้อแนะนำฯ จากเดิม 83 ชุด เหลือเพียง 42 ชุด

ส่วนที่ 3 แนวปฏิบัติ (Practice Guides) จะให้แนวทางโดยละเอียดในการปฏิบัติงานตรวจสอบภายในซึ่งประกอบด้วยขั้นตอน และกระบวนการปฏิบัติงานโดยละเอียด เช่น เครื่องมือ เทคนิค โปรแกรม และวิธีการปฏิบัติทีละขั้นตอน รวมไปถึงตัวอย่างในการนำเสนอบริการ เป็นต้น ในปัจจุบัน IIA ได้ออกแนวปฏิบัติจำนวน 3 ประเภทด้วยกัน คือ

o Practice Guides ในหัวข้อต่าง ๆ 8 หัวข้อ เพื่อเป็นแนวปฏิบัติสำหรับผู้ตรวจสอบภายใน ในการจัดทำและแสดงความคิดเห็นทั้งระดับองค์กร และระดับฝ่าย ระดับส่วนงาน หรือระดับบุคคล เกี่ยวกับการกำกับดูแล การบริหารความเสี่ยงและระบบการควบคุมภายในขององค์กร เพื่อนำเสนอต่อผู้มีส่วนได้เสีย

o Global Technology Audit Guide (GTAG) ซึ่งเป็นแนวปฏิบัติเกี่ยวกับการบริหารจัดการ การควบคุม และการรักษาความปลอดภัยของระบบสารสนเทศ

o Guide to the Assessment of IT Risk (GAIT) ซึ่งเป็นแนวปฏิบัติที่อธิบายถึง ความสัมพันธ์ระหว่างความเสี่ยงกับรายงานงบการเงิน การควบคุมหลักภายในกระบวนการทางธุรกิจ การควบคุมโดยอัตโนมัติและการทำงานของสารสนเทศที่สำคัญ และการควบคุมหลักซึ่งอยู่ในการควบคุมทั่วไปของสารสนเทศ

นอกจากนี้ เมื่อท่านมีโอกาสได้อ่านกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่ ผมก็จะได้อธิบายถึงวิธีการนำกรอบ IPPF ที่เชื่อมโยงกับการตรวจสอบทางด้านทั่วไป (Non-IT) และทางด้านเทคโนโลยีสารสนเทศ (IT) ซึ่งรวมไปถึงการก้าวไปสู่การตรวจสอบเชิงบุรณาการของ Non-IT และ IT Audit เข้าด้วยกัน ที่เรียกกันว่า Integrated Audit ซึ่งจะเป็นสะพานเชื่อมโยงเป้าประสงค์หลักที่เกี่ยวข้องกับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ในโอกาสต่อ ๆ ไป