Archive for กรกฎาคม, 2012

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 5 – ข้อขัดแย้งของ CSA

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้ในเป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่าอะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลายๆองค์กรจะพบความแตกต่างดังรายการข้างล่างนี้ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ

ความแตกต่างบางประการในการนำไปปฏิบัติมีพอสรุปออกมาเป็นรายการได้ดังนี้

1. รูปแบบ CSA
หลายคนเชื่อว่ารูปแบบของการประชุมเชิงปฏิบัติการ หรืออาจเรียกว่าการประชุมที่อำนวยความสะดวกหรือรูปแบบทีมงานเป็นรูปแบบที่มีประสิทธิผลสำหรับการทำ CSA ส่วนรูปแบบอื่นที่นิยมกันก็คือการใช้แบบสอบถาม ผู้นำ CSA มาใช้ส่วนใหญ่เลือกใช้รูปแบบการประชุมเชิงปฏิบัติการเพื่อขัดขวางวิธีการใช้แบบสอบถามหรือการวิเคราะห์CSA ที่ผู้บริหารสร้างขึ้น ในหลายองค์กรอาจใช้การรวมหลาย ๆ วิธีในการทำการประเมินตนเอง ผู้ตรวจสอบกำลังเริ่มลงมือเขียนโปรแกรมการตรวจสอบการประเมินตนเองขึ้นมา โดยสร้างขึ้นจากฝ่ายปฏิบัติการ ในการทำ CSA จะยอมให้ผู้ตรวจสอบเข้ามาเชื่อมโยงฝ่ายต่าง ๆ เพื่อระบุความเสี่ยงและวัตถุประสงค์การควบคุมความเสี่ยง และพัฒนาแบบทดสอบที่จำเป็นต้องนำมาใช้ ผู้ตรวจสอบอาจใช้รูปแบบการประชุมเชิงปฏิบัติการ เพื่อช่วยให้กลุ่มได้ประเมินผลการประเมินด้วยตนเอง และพัฒนาแผนปฏิบัติงานที่ต้องการ หลังจากนั้น ฝ่ายตรวจสอบภายในอาจทำการทดสอบความถูกต้องของผลลัพธ์ด้วย

2. การใช้กรอบควบคุมความเสี่ยง

หลายคนเชื่อว่าการใช้กรอบควบคุมความเสี่ยง เช่น COSO, CoCo หรือ Malcolm Baldrige เป็นสิ่งที่มีความจำเป็นสำหรับการทำ CSA ผู้ใช้ CSA ส่วนใหญ่เลือกใช้กรอบการควบคุมความเสี่ยงเข้ามาช่วยในการระบุและแยกประเภทความเสี่ยงและการควบคุมความเสี่ยง แต่การใช้กรอบการควบคุมความเสี่ยงนี้ ไม่ได้เป็นการทำให้การทำการประชุมเชิงปฏิบัติการง่ายขึ้น และยังต้องอาศัยทักษะและประสบการณ์ของผู้อำนวยความสะดวกและทีมงาน เพื่อจะได้ทราบว่าการควบคุมความเสี่ยงและความเสี่ยงทั้งหมดนั้นจะมีความคลอบคลุมครบถ้วน

3. บทบาทการตรวจสอบภายใน
หลายคนเชื่อว่าการตรวจสอบภายในไม่ได้ทำให้เกิดความเป็นเจ้าของสูงสุดของกระบวนการ CSA และหลายครั้งได้มีการมอบแผนงานในการอำนวยความสะดวกและบทบาทในการรายงานไปให้ทีมงานทำ ส่วนคนอื่นที่เหลือเชื่อว่าการตรวจสอบภายใน จะช่วยให้เกิดความต่อเนื่องในการอำนวยความสะดวกให้กับการทำการประชุมเชิงปฏิบัติการ และเป็นจุดรวมสำหรับการวางแผนและการรายงานในการทำ CSA ในทางปฏิบัติฝ่ายตรวจสอบได้มีการมีการโอนความเป็นเจ้าของการประชุมเชิงปฏิบัติการ ไปให้กับทีมงานน้อยมาก

4. รายงาน CSA
บางคนเชื่อว่าการตรวจสอบภายในควรต้องรายงานผลของ CSA การประชุมเชิงปฏิบัติการให้ผู้บริหารทราบ เช่นเดียวกับการตรวจสอบแบบดั้งเดิม ในขณะที่อีกฝ่ายหนึ่งเชื่อว่าทีมงานในการประชุมเชิงปฏิบัติการควรเป็นผู้รายงานผล ส่วนมากเมื่อทีมงานได้ทำการรายงานผลจากการทำ CSA การประชุมเชิงปฏิบัติการออกมา รูปแบบของรายงานการตรวจสอบจะเกี่ยวข้องกับเเรื่องการประเมินตนเอง หรือผลจากการทดสอบข้อเท็จจริงหรือการประกันคุณภาพการปฏิบัติงาน

5. การมีส่วนร่วมของฝ่ายบริหาร
หลายคนเชื่อว่าผู้บริหารทีมงานต้องมีส่วนร่วมพร้อมไปกับทีมงานโดยตลอด ขณะที่อีกฝ่ายเชื่อว่าผู้บริหารไม่ต้องเข้ามามีส่วนร่วม ประเด็นที่สำคัญเกี่ยวกับเรื่องนี้คือ เรื่องความสามารถในการได้รับข้อมูลที่เป็นจริงของการประชุมเชิงปฏิบัติการจากการปฏิบัติงานจริง ซึ่งอาจต้องการการใช้การลงคะแนนแบบไม่ระบุชื่อถ้าผู้บริหารเข้ามามีส่วนร่วมด้วย

6. การประกันคุณภาพ

หลายคนเชื่อว่าการตรวจสอบภายในต้องดำเนินการตรวจสอบการประกันคุณภาพเพื่อยืนยันผลการประเมินตนเอง ส่วนอีกฝ่ายเชื่อว่าไม่จำเป็นต้องมีการตรวจสอบ การประกันคุณภาพเป็นเรื่องจำเป็นถ้ามีการนำการประเมินตนเองมาใช้แทนการตรวจสอบภายใน เพื่อให้ได้มาซึ่งควมคิดเห็นในภาพรวมของการควบคุมภายใน การทดสอบการควบคุมที่ถูกต้องควรกระทำในส่วนใดส่วนหนึ่งของกระบวนการเมื่อนำ CSA มาใช้เป็นการตรวจสอบ

7. ความสัมพันธ์กับการตรวจสอบภายใน
บางคนได้โต้แย้งว่าทั้งผู้ตรวจสอบและผู้อำนวยความสะดวก CSA มีการขัดผลประโยชน์กัน ดังนั้นผู้อำนวยความสะดวก CSA สำหรับบางธุรกิจไม่ควรเป็นผู้ตรวจสอบในธุรกิจนั้น ความหมายใหม่ของการตรวจสอบภายในได้ออกมาในปลายปี 1999 โดยมีขอบเขตของการตรวจสอบภายในที่กว้างขวางชัดเจนขึ้นในการรวมกิจกรรมการให้คำปรึกษา และพบว่าในทางปฏิบัติการดำเนินงาน CSA ขององค์กรไม่มีประเด็นที่เป็นอิสระไปจากการทำ CSA เลย

บางครั้งจากข้อขัดแย้งดังกล่าวข้างต้น แผนกตรวจสอบจะดำเนินการแตกต่างกันเพียงเล็กน้อยในการนำ CSA มาใช้ และบางครั้งก็อาจเรียกหรือให้ความหมายของ CSA ที่แตกต่างกัน ดังนี้

– การประเมินความเสี่ยงและการควบคุมความเสี่ยงด้วยตนเอง
– การประเมินการเปลี่ยนแปลงด้วยตนเอง
– การประเมินการอำนวยความสะดวกด้วยตัวเอง
– กระบวนการประเมินการบริหาร
– การประเมินการบริหารด้วยตัวเอง
– โปรแกรมการประเมินและตรวจสอบการควบคุม
– โปรแกรมการตรวจสอบการควบคุม
– การประเมินการมีส่วนร่วมของความเสี่ยงและการควบคุมความเสี่ยง
– การประเมินทางธุรกิจด้วยตัวเอง
– การประเมินความเสี่ยงทางธุรกิจ
– การประเมินการเปลี่ยนแปลงของความเสี่ยงและสมรรถภาพ

สถานการณ์ที่ CSA ไม่เหมาะสม
จากประโยชน์ที่ได้กล่าวถึงข้างต้น และการที่ผู้ตรวจสอบได้มีการนำ CSA ไปใช้มากขึ้น แต่กลับไม่ได้มีการนำ CSA ไปใช้ตลอดเวลา เนื่องจากแผนกที่นำ CSA ไปใช้ส่วนใหญ่ใช้พยายามในการทำการตรวจสอบเพียงร้อยละ 30-40 เท่านั้น ดังนั้นจึงเกิดคำถามที่ว่าเมื่อไรที่ CSA ไม่เหมาะสม เมื่อไรที่ CSA ไม่ใช่เครื่องมือตรวจสอบที่ถูกต้อง

กระบวนการ CSA ช่วยในการทำการประชุมเชิงปฏิบัติการ หรือสำรวจผู้มีส่วนร่วมในฐานะผู้เชี่ยวชาญในงานที่ได้ทำหรือการตรวจสอบสถานการณ์ ถ้าสมมุติฐานไม่ถูกต้องนั่นอาจทำให้ CSA ไม่เหมาะสม ซึ่งจะเกิดขึ้นได้ถ้าทุกคนยังไม่มีประสบการณ์ในการจัดการกับปริมาณการเข้าออกงานที่เพิ่มขึ้นสูง และการเจริญเติบโตอย่างรวดเร็ว โดยทุกคนจะไม่สามารถตอบได้ว่า จะใช้วิธีใดมาใช้แทนในการทำให้องค์กรบรรลุวัตถุประสงค์ กลุ่มเหล่านี้จะได้รับประโยชน์จากการอภิปรายอำนวยความสะดวกในเรื่องของวัตถุประสงค์ วิธีการ เป้าหมาย ฯลฯ แต่จะยังไม่สามารถทำการประเมินความเสี่ยง และการควบคุมความเสี่ยงได้อย่างเหมาะสม เนื่องจากยังไม่มีความรู้ในเรื่องนั้นเลย ถ้าผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้กับการประชุมเชิงปฏิบัติการ หรือการอภิปรายผู้บริหารเข้าเข้ามามีส่วนร่วมในการประชุมเชิงปฏิบัติการด้วย เพื่อช่วยให้วัตถุประสงค์ของทีมงานสอดคล้องกับวัตถุประสงค์โดยรวมขององค์กร

CSA อาจไม่เหมาะสมหรืออาจไม่จำเป็นต้องพิจารณาเป็นพิเศษในสถานการณ์ต่าง ๆ ดังนี้
1. พนักงานไม่ได้เป็นผู้เชี่ยวชาญในสาขาเฉพาะด้านตามที่ได้กล่าวถึงในข้างต้น
2. การคาดคะเนผิดพลาด ซึ่งอาจทำให้ยากตัดสินใจว่าใครควรเป็นผู้ดำเนินการใน การประชุมเชิงปฏิบัติการ
3. การเปลี่ยนแปลงขององค์กรอย่างรวดเร็ว เช่น การรวมกิจการและการเข้าครอบครองกิจการ การลดขนาดองค์กร การ takeovers ซึ่งอาจทำให้พนักงานไม่เข้าใจวัตถุประสงค์หรือการจ้างงานในระยะยาวของเขาอย่างชัดเจน
4. วัฒนธรรมไม่สนับสนุนหรือการสื่อสารอย่างมีประโยชน์ การเปิดเผยข้อมูล และความไว้ใจได้ ดังนั้นจึงทำให้ฝ่ายบริหารไม่สนใจผลที่เกิดขึ้นจาก CSA
5. ผู้บริหารไม่ได้ให้การสนับสนุนพนักงานในเรื่องที่เกี่ยวข้องกับการระบุความเสี่ยงและการควบคุมความเสี่ยงอย่างเพียงพอ
6. สิ่งที่คาดหวังของผู้บริหารคือ การทำให้เกิดการยอมรับคำสั่งของฝ่ายตรวจสอบและ/หรือการตรวจสอบกฎระเบียบ
7. ผู้อำนวยการการตรวจสอบไม่เชื่อว่าพนักงานมีทรัพยากรหรือทักษะที่เพียงพอในการทำ CSA ซึ่งอาจทำให้ตัดสินใจรอจนกระทั่งมีการพัฒนาทักษะแล้วจึงนำไปปฏิบัติ

เรื่องของ CSA ยังมีรายละเอียดอีกมากมาย ครั้งหน้าผมจะมาเล่าถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (CSA) ต่อนะครับ

 

COBIT 5 and Policies

ผมไม่ได้มาเล่าเรื่องที่น่าสนใจต่าง ๆ ในคอลัมน์คุยกับผู้เขียนเป็นเวลานานพอสมควร ต้องขออภัยท่านผู้อ่านทุกท่านนะครับ แต่ผมก็มีเรื่องราวที่น่าสนใจนำมาลงในคอลัมน์อื่น ๆ เป็นประจำทุกเดือนตลอดมา ในวันนี้ผมจึงขอเล่าเรื่องที่เกี่ยวข้องกับการบริหารและการจัดการองค์กรแบบบูรณาการ ที่เกี่ยวข้องกับการจัดการทางด้านเทคโนโลยีสารสนเทศ ที่นับวันจะมีบทบาทเพิ่มมากขึ้นในทุกองค์กร ในทุกระดับของการจัดการ และในทุกประเทศทั่วโลก เพราะความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ มีผลกระทบต่อการดำเนินงานทางธุรกิจมากมายมหาศาล โดยเฉพาะอย่างยิ่ง การที่ระบบขัดข้อง การเข้าถึงของบุคคลผู้ไม่มีสิทธิ ไม่มีอำนาจในการเข้าถึงระบบงานสำคัญ ๆ ภายในหน่วยงาน ที่ผู้บริหารและผู้ที่เกี่ยวข้องยังไม่สามารถที่จะจัดการเรื่องนี้ได้อย่างเป็นรูปธรรมนั้น มีปรากฎอยู่ในองค์กรหลายแห่งทั่วโลก รวมทั้งในประเทศไทย ซึ่งผลจากการสำรวจเรื่องนี้ได้ข้อมูลที่น่าสนใจว่า ความเสี่ยงจากระบบล่ม และไม่อาจจะกู้กลับคืนมาในระยะเวลาที่องค์กรยอมรับได้นั้น มีสูงยิ่งกว่าภัยจากปัญหาน้ำท่วมเป็นอันมาก นอกจากนี้ ระบบ Cloud Computing ซึ่งกำลังได้รับการแพร่หลายทั่วโลก ทั้ง ๆ ที่มีความเสี่ยงที่หลายองค์กรไม่น่าจะยอมรับได้นั้น ก็สร้างความเป็นห่วงเป็นใยให้กับผู้บริหารและผู้ที่เกี่ยวข้องในองค์กรต่าง ๆ จนถึงทุกวันนี้

แม้ระบบคลาวด์กำลังเป็นที่นิยมมากขึ้น แต่ผู้เชี่ยวชาญด้านคอมพิวเตอร์เตือนผ่านสำนักข่าวเอเอฟพีว่าให้ระวังคลาวด์ปลอมของอาชญากรไว้ด้วย โดยสำนักข่าวเอเอฟพีรายงานเมื่อ 24 มิ.ย. ว่า แม้ระบบการเชื่อมต่อฐานข้อมูลเฉพาะผ่านทางอินเทอร์เน็ต หรือ “คลาวด์” กำลังเป็นที่นิยมมากขึ้นเรื่อย ๆ แต่ปัญหาความปลอดภัยยังน่าวิตก ซึ่งระบบ “คลาวด์” เกี่ยวข้องกับฐานข้อมูล อาทิ อีเมล์หรือเพลงส่วนตัวซึ่งสามารถเข้าถึงได้โดยทางคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทรอนิกส์พกพาต่าง ๆ เช่น สมาร์ทโฟน และกองทัพกับรัฐบาลสหรัฐฯ รวมทั้ง “ซีไอเอ” ก็หันมาใช้ระบบคลาวด์ เพื่อให้เข้าถึงข้อมูลได้ทั่วโลก ลดค่าใช้จ่ายและปลอดภัยมากขึ้น

ขณะที่ นักวิเคราะห์คาดการณ์ว่าสหรัฐฯ จะทุ่มเงินกับระบบคลาวด์มากขึ้นจาก 31,000 ล้านดอลลาร์ในปี 2554 เป็น 82,000 ล้านดอลลาร์ในปี 2559 และบริษัทใหญ่ ๆ อย่างไมโครซอฟต์ กูเกิล อเมซอน ก็ใช้คลาวด์เช่นกัน แต่ให้ระวังอาชญากรไซเบอร์ ซึ่งจะขโมยข้อมูลไปได้ครั้งละมหาศาล ถึงแม้การจารกรรมข้อมูลโดยพวกแฮกเกอร์สมัครเล่นจะทำกับระบบคลาวด์ได้ยากกว่า

นอกจากนี้ให้ระวัง “คลาวด์ปลอม” ของพวกอาชญากรไซเบอร์ ดังที่พบในจีนและรัสเซีย อย่างไรก็ตาม สถาบันเอ็มไอทีของสหรัฐฯ พยายามพัฒนาระบบ “ซ่อมตัวเอง” ถ้าระบบคลาวด์ถูกโจมตี ดังที่เครือข่ายเพลย์ สเตชั่นของโซนี, บริการจีเมล์ ของกูเกิล เคยถูกโจมตีมาแล้ว และเมื่อเร็ว ๆ นี้ แฮกเกอร์รายหนึ่งอ้างว่าสามารถขโมยหมายเลขบัตรเครดิตไปจากธนาคารใหญ่ 79 แห่งได้ ซึ่งเป็นข่าวที่ผู้บริหารระดับสูงของหลายองค์กรทั่วโลกกำลังให้ความสนใจ โดยเฉพาะอย่างยิ่งจากความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจที่ถูกกำหนดไว้ในรูปของประโยคคำถาม เช่น

– องค์กรจะบริหารจัดการด้านประสิทธิภาพและประสิทธิผลของเทคโนโลยีสารสนเทศได้อย่างไร
– องค์กรจะรู้ได้อย่างไรว่าได้ปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้องแล้ว
– องค์กรจะรู้ได้อย่างไรว่าได้ระบุความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศที่สำคัญ ๆ ครบถ้วนแล้ว
– องค์กรจะรู้ได้อย่างไรว่าการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ทำอยู่มีประสิทธิภาพและประสิทธิผล และสามารถรองรับหรือจัดการกับปัญหาหรือเหตุการณ์ด้านระบบต่าง ๆ ที่อาจเกิดขึ้นได้
– องค์กรจะควบคุมค่าใช้จ่ายด้านเทคโนโลยีสารสนเทศได้อย่างไร และใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศให้เกิดประสิทธิภาพและประสิทธิผลมากที่สุดได้อย่างไร
– องค์กรจะได้รับคุณค่าหรือประโยชน์จากการนำเทคโนโลยีสารสนเทศมาใช้งานได้อย่างไร
– +++

คำถามต่าง ๆ ดังกล่าวข้างต้นในบางส่วนนั้น ผู้ที่เกี่ยวข้องในทางธุรกิจภายในองค์กร ได้แก่ Board, CEO, Chief Financial Officer (CFO), Chief Information Officer (CIO), Business Executive, Business Process Owner, Business Managers, Risk Managers, Security Managers, Service Managers, HR Managers, Internal Audit, Privacy Officers, IT Users, IT Managers, etc.

สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ (ISACA/Information Systems Audit and Control Association – Bangkok Chapter) และ ISACA สากลได้ออก COBIT5 ซึ่งเป็น Version ใหม่ล่าสุดของกรอบการดำเนินงานสำหรับการกำกับดูแลด้านเทคโนโลยีสารสนเทศ มาให้ผู้ประกอบวิชาชีพที่เกี่ยวข้องทั้งหลายได้ใช้ประโยชน์ เมื่อวันที่ 10 เมษายน 2555 ที่ผ่านมานี้ ผู้เชี่ยวชาญในสาขาอาชีพที่เกี่ยวข้องได้กล่าวเป็นเสียงเดียวกันว่า COBIT5 ประกอบด้วยสาระความรู้ที่ครอบคลุมและนำไปใช้ได้จริง โดยได้ปรับเนื้อหา โครงสร้างและเพิ่มเติมแนวคิดและแนวทางปฏิบัติหลายประการไว้ใน COBIT5

ทางสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ เห็นว่า COBIT5 จะเป็นประโยชน์อย่างมากสำหรับองค์กรและผู้ประกอบวิชาชีพที่เกี่ยวข้อง การที่บุคลากรในองค์กรจะสามารถนำ COBIT5 ไปใช้ให้เกิดประโยชน์ได้จริงและโดยได้รับการสนับสนุนจากผู้บริหารระดับสูงนั้น จึงมีความสำคัญอย่างยิ่ง ดังนั้น ทางสมาคมฯ จึงได้จัดงานสัมมนา “Building IT Governance for Sustainable Growth with COBIT5” ขึ้นเพื่อเผยแพร่ความรู้ ความเข้าใจ ตลอดจนแนะนำแนวทางในการนำไปใช้ให้เกิดประโยชน์ต่อองค์กร ในวันพุธที่ 22 สิงหาคม 2555 ณ ห้องเลอ คองคอร์ด บอลรูม โรงแรมสวิส เลอ คองคอร์ด รัชดาภิเษก กรุงเทพฯ

ซึ่งผมคิดว่างานนี้จะมีประโยชน์อย่างยิ่งกับท่านผู้บริหารและผู้ปฏิบัติงานทุกระดับที่เกี่ยวข้องกับการบริหารแบบบูรณาการและการจัดการที่ดี ซึ่งจะทำให้ได้รับความรู้ ความเข้าใจ มิใช่เพียงเฉพาะการบริหารจัดการเทคโนโลยีสารสนเทศเท่านั้น แต่จะได้รับความรู้ที่เกี่ยวข้องกับการบริหารจัดการองค์กรในภาพโดยรวมที่เกี่ยวข้องกับ หลักการและนโยบายองค์กร, โครงสร้างบุคลากร, วัฒนธรรม จริยธรรม และความประพฤติ, ข้อมูล, โครงสร้างพื้นฐานของการให้บริการสารสนเทศ, ทักษะ ความรู้ ความสามารถของบุคลากร และกระบวนการต่าง ๆ ที่องค์กรต้องสร้างและจัดทำขึ้นมาเพื่อให้สามารถบรรลุเป้าหมายตามที่ต้องการได้อย่างมีประสิทธิภาพอย่างแท้จริง ซึ่งทุกท่านสามารถจะติดตามรายละเอียดงานสัมมนาได้จาก www.isaca-bangkok.org ครับ