สวัสดีครับ เราได้พูดคุยกันถึงเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงมาถึงตอนที่ 9 แล้วนะครับ และผมจะขอกล่าวถึง CoCo (Criteria of Control) ซึ่งได้เคยเอ่ยถึงในตอนที่ผ่านมาแล้วว่า เป็น CSA อีกรูปแบบหนึ่งที่สามารถนำมาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยง โดย CICA – Canadian Institute of Chartered Accountants ซึ่งเป็นสถาบันหรือองค์กรไม่แสวงหาผลกำไร ที่จัดตั้งขึ้นตามพระราชบัญญัติพิเศษจากรัฐสภาแคนาดาในปี 1902 ได้เสนอแบบจำลองการควบคุมออกมาโดยเรียกว่า เกณฑ์การควบคุม หรือแบบจำลอง CoCo โดยในการศึกษาแบบจำลองนี้ ควรเริ่มจากการให้ความหมายของการควบคุมภายในเสียก่อน ซึ่งการควบคุมภายในประกอบด้วยองค์ประกอบหลายอย่างในองค์กร เช่น ทรัพยากร ระบบ กระบวนการ วัฒนธรรม โครงสร้างและงานต่าง ๆ อันจะช่วยในการสนับสนุนการปฏิบัติงานของบุคลากร ให้สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่องค์กรต้องการโดยมุ่งเน้นไปที่
1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน
2. ความน่าเชื่อถือของรายงานทางการเงินและการบริหาร
3. การปฏิบัติตามกฎหมาย กฎระเบียบ และนโยบายภายใน
องค์ประกอบการควบคุมภายในของ CoCo
กรอบแนวทางการควบคุมกลุ่ม ประกอบด้วย
1. เป้าหมาย (Purpose) เป็นเกณฑ์กลุ่มที่เป็นทิศทางขององค์กร เปรียบเสมือนหลักชัยขององค์กรที่ต้องดำเนินการไปให้ถึง (สิ่งที่องค์กรต้องทำ) พิจารณาได้ดังนี้
- จัดตั้งวัตถุประสงค์และมีการสื่อสารให้รับรู้
- ความเสี่ยงทั้งภายในและภายนอกที่องค์กรต้องเผชิญมีนัยสำคัญต่อความสำเร็จของวัตถุประสงค์ ควรจะระบุและมีการติดตามประเมินผล
- ออกแบบนโยบายเพื่อสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร และการจัดการความเสี่ยงที่ควรได้รับการยอมรับ มีแนวทางปฏิบัติและสื่อสารเพื่อให้ผู้คนเข้าใจสิ่งที่เป็นที่คาดหวังขององค์กร และขอบเขตของหน้าที่ที่จะต้องทำ
- การวางแผนที่เป็นแนวทางในการบรรลุวัตถุประสงค์ขององค์กร ควรได้รับการยอมรับและมีการสื่อสารให้เข้าใจ
- วัตถุประสงค์และแผนงานที่เกี่ยวข้อง ควรจะรวมถึงเป้าหมายในการวัดประสิทธิภาพและตัวชี้วัด
2. ความผูกพัน (Commitment) เป็นเกณฑ์กลุ่มที่แสดงความเป็นเอกลักษณ์และค่านิยม (ความต้องการทำสิ่งนั้น) พิจารณาได้ดังนี้
- จริยธรรมค่านิยมที่ใช้ร่วมกัน รวมทั้งความสมบูรณ์ ควรได้รับการจัดตั้ง มีการสื่อสารและการปฏิบัติทั่วทั้งองค์กร
- นโยบายการพัฒนาทรัพยากรมนุษย์และการปฏิบัติที่ควรจะสอดคล้องกับค่านิยมทางจริยธรรมขององค์กรและความสำเร็จของวัตถุประสงค์
- ผู้มีอำนาจ ผู้มีหน้าที่ปฏิบัติ และผู้ที่มีหน้าที่รับผิดรับชอบ ควรจะกำหนดพันธกิจ และแผนงานไว้อย่างชัดเจนและสอดคล้องกับวัตถุประสงค์ขององค์กร เพื่อนำไปใช้ในการตัดสินและปฏิบัติโดยบุคคลที่เหมาะสม
- มีบรรยากาศของความไว้วางใจซึ่งกันและกัน เพื่อเป็นการส่งเสริม สนับสนุนการใช้งานข้อมูลระหว่างหน่วยงานต่าง ๆ เพื่อผลการดำเนินงานที่มีประสิทธิภาพที่มีต่อการบรรลุวัตถุประสงค์ขององค์กร
3. ความสามารถ (Capability) เป็นเกณฑ์กลุ่มที่เป็นความสามารถขององค์กร (เครื่องมือในการทำสิ่งนั้น) พิจารณาได้ดังนี้
- ทุกคนควรจะมีทักษะที่จำเป็นความรู้และเครื่องมือที่จะสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร
- กระบวนการการสื่อสารควรจะสนับสนุนค่านิยมขององค์กรและความสำเร็จของวัตถุประสงค์
- ข้อมูลที่เพียงพอและมีความเกี่ยวข้อง ควรจะระบุและมีการสื่อสารในเวลาที่ เหมาะสม เพื่อให้ผู้ปฏิบัติหน้าที่สามารถดำเนินการตามที่ได้รับมอบหมาย
- ควรมีการประสานงานในการตัดสินใจและการปฏิบัติงานในส่วนงานที่แตกต่างกันขององค์กร
- กิจกรรมการควบคุมควรจะออกแบบเป็นส่วนหนึ่งขององค์กรที่คำนึงถึงวัตถุประสงค์ของความเสี่ยง เพื่อความสำเร็จขององค์กรและ interrelatedness ขององค์ประกอบการควบคุม
4. การติดตามและการเรียนรู้ (Monitoring and Learning) เป็นเกณฑ์กลุ่มที่แสดงพัฒนาการขององค์กร (ดูว่าเราได้ทำสิ่งนั้นหรือยัง) (พิจารณาได้ดังนี้
- สภาพแวดล้อมภายนอกและภายใน ควรจะตรวจสอบเพื่อให้ได้ข้อมูลที่อาจส่งสัญญาณความต้องการที่จะประเมินอีกครั้งวัตถุประสงค์ขององค์กรหรือการควบคุม
- ผลการปฏิบัติงานควรจะตรวจสอบกับเป้าหมาย และตัวชี้วัดที่ระบุไว้ในวัตถุประสงค์ขององค์กรและแผนงาน
- สมมติฐานที่อยู่เบื้องหลังวัตถุประสงค์ขององค์กรควรจะท้าทายเป็นระยะ ๆ
- ความต้องการของระบบสารสนเทศและข้อมูลที่เกี่ยวข้องควรจะคล้อยตามการเปลี่ยนแปลงวัตถุประสงค์หรือเป็นข้อบกพร่องการรายงานจะมีการระบุ
- ควรมีขั้นตอนของกระบวนการติดตาม เพื่อให้แน่ใจถึงการปฏิบัติงานที่เกิดขึ้นและการเปลี่ยนแปลงที่เหมาะสม
- ควรมีการจัดการประเมินความมีประสิทธิผลของการควบคุมในองค์กรเป็นระยะ ๆ และแจ้งผลให้กับผู้รับผิดชอบ
การนำ CoCo ไปใช้ใน CSA
ผู้ปฏิบัติงานด้าน CSA หลายท่านพบว่า CoCo เป็นวิธีการบริหารที่สัมพันธ์กับการควบคุมภายใน และการอธิบายอย่างง่าย ๆ ในการกำหนด Workshop CoCo เป็นวิธีการในขั้นที่สูงกว่า COSO เพราะจะเน้นที่การประเมินความเสี่ยงของแต่ละคน และกิจกรรมการควบคุมความเสี่ยง อีกทั้งใช้เป็นพื้นฐาน individual objective-by-objective และใช้เป็นพื้นฐานของแผนกด้วย
ในการทำ Workshop ผู้ประสานงานควรพัฒนาคำถามที่ใช้เป็นเกณฑ์ของ CoCo และดำเนินการ Workshop นั้น โดยการถามคำถามเหล่านั้น หรือผู้ประสานงานควรวางคำถามไว้ให้มีลักษณะทั่วไปมากที่สุด เช่น อะไรคือสิ่งที่ช่วยให้คุณบรรลุวัตถุประสงค์ของแผนก และแจกแจงการตอบสนองนั้นไปสู่เกณฑ์ของ CoCo จากนั้นผู้ประสานงาน ควรถามคำถามเฉพาะเกี่ยวกับเกณฑ์อื่น ๆ ของCoCo ที่ไม่ได้ทำการควบคุมในขณะนั้น
ต่อไปนี้คือ ตัวอย่างคำถามเพื่อประเมินประสิทธิผลของการควบคุมตามเกณฑ์ CoCo
เป้าหมาย (Purpose)
- เราเข้าใจภารกิจและวิสัยทัศน์ขององค์กรหรือไม่
- เราไม่เข้าใจวัตถุประสงค์ของเราเป็นกลุ่มและวิธีการที่พวกเขาพอดีกับวัตถุประสงค์อื่น ๆ ในองค์กรหรือไม่
- ข้อมูลที่มีอยู่ในปัจจุบันช่วยให้เราสามารถระบุความเสี่ยงและการประเมินความเสี่ยงได้หรือไม่
- เราเข้าใจความเสี่ยงที่เราจำเป็นต้องควบคุม และระดับของความเสี่ยงที่ยอมรับได้ เพื่อความรับผิดชอบต่อการควบคุมหรือไม่
- เราไม่เข้าใจนโยบายที่ส่งผลกระทบต่อการดำเนินการของเราหรือไม่
- แผนงานของเราคือการตอบสนองและความเพียงพอที่จะบรรลุการควบคุมใช่หรือไม่
- เรามีเป้าหมายในการจัดการประสิทธิภาพการทำงานหรือไม่
ความผูกพัน (Commitment)
- เราได้รับการฝึกฝนหลักการของความซื่อสัตย์และจริยธรรมค่านิยมร่วมกันหรือไม่
- มีผู้ได้รับผลตอบแทนอย่างเป็นธรรมตามวัตถุประสงค์ขององค์กรและค่านิยมหรือไม่
- เราไม่เข้าใจสิ่งที่เรารับผิดชอบและเราไม่มีคำนิยามที่ชัดเจนต่อความรับผิดชอบของเราใช่หรือไม่
- การตัดสินใจที่สำคัญ ๆ ถูกกระทำโดยผู้เชี่ยวชาญและมีอำนาจหน้าที่รับผิดชอบใช่หรือไม่
- ระดับของความไว้วางใจซึ่งกันและกันในแต่ละหน่วยงานเพียงพอที่จะสนับสนุนข้อมูลและประสิทธิภาพการทำงานอย่างไร
ความสามารถ (Capability)
- เรามีบุคลากรที่มีความรู้ความสามารถ เครื่องมือ และทรัพยากรที่เหมาะสมหรือไม่
- มีการรายงานความผิดพลาดอย่างรวดเร็ว ข่าวร้าย และข้อมูลอื่น ๆ ให้กับผู้บริหาร โดยปราศจากความกลัวและการแก้แค้นหรือไม่
- มีข้อมูลเพียงพอที่จะช่วยในการดำเนินงานหรือไม่ อย่างไร
- มีการประสานงานระหว่างผู้ปฏิบัติงานกับหน่วยงานอื่น ๆ ที่เกี่ยวข้องขององค์กรหรือไม่
- มีขั้นตอนและกระบวนการที่จะช่วยให้บรรลุวัตถุประสงค์ขององค์กรหรือไม่
การติดตามและการเรียนรู้ (Monitoring and Learning)
- มีการทบทวนสภาพแวดล้อมภายในและภายนอกเพื่อการเปลี่ยนแปลงและกำหนดให้มีวัตถุประสงค์หรือการควบคุมหรือไม่
- เราจะตรวจสอบประสิทธิภาพกับเป้าหมายและตัวชี้วัดที่เกี่ยวข้องอย่างไร
- เราตั้งสมมติฐานที่ท้าทายที่อยู่เบื้องหลังวัตถุประสงค์ของเราหรือไม่
- เราได้รับและให้ข้อมูลที่จำเป็นและเกี่ยวข้องกับการตัดสินใจหรือไม่
- ระบบข้อมูลของเรามีการปรับปรุงให้เป็นปัจจุบันอยู่เสมอหรือไม่
- มีการเรียนรู้จากผลการตรวจสอบและปรับปรุงอย่างต่อเนื่องเพื่อการควบคุมที่ดีหรือไม่
- มีการกำหนดระยะเวลาการประเมินประสิทธิภาพของการควบคุมหรือไม่
แนวการประเมินตนเองโดยการตั้งคำถามแบบกว้าง ๆ ตามตัวอย่างที่กล่าวข้างต้นในบางเรื่องและบางมุมมองนั้น ไม่เพียงพอที่จะทำการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ดั้งนั้น ผู้อำนวยความสะดวก หรือ Facilitator ซึ่งปกติจะเป็นผู้ตรวจสอบภายใน ซึ่งได้รับการคาดหมายว่าเป็นผู้เชี่ยวชาญในการบริหารความเสี่ยงในระดับองค์กร รวมทั้งการควบคุมความเสี่ยงระดับองค์กร ซึ่งปกติจะต้องเริ่มจากการประเมินความเสี่ยงของสายงานต่าง ๆ ภายในองค์กรนั้น ๆ ก่อนที่จะนำมาสรุปเป็นภาพรวมของการบริหารความเสี่ยงระดับองค์กร ภายใต้ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่ต้องผ่านการอนุมัติจากคณะกรรมการ ที่ควรจะครอบคลุมความเสี่ยงแบบสมดุลจากหลักการ Besiness Balanced Scorecard ที่จะเชื่อมโยง สัมพันธ์ เกี่ยวเนื่องกับความเสี่ยงทางด้าน IT Balanced Scorecard ที่เกี่ยวข้องกับวัตถุประสงค์หลัก 17 ข้อด้วยกัน ทั้ง 17 ข้อนี้อยู่ภายใต้ร่มของกลยุทธ์ที่เชื่อมโยงมายังวัตถุประสงค์ทั้ง 4 ด้านตามหลักการ Besiness Balanced Scorecard และในขณะเดียวกันวัตถุวัตถุประสงค์หลัก 17 ข้อ ของ Besiness Balanced Scorecard นั้น ก็ยังต้องสัมพันธ์กับวัตถุประสงค์หลักของ IT Related Goals ทั้ง 17 ข้อ ที่เชื่อมโยง (mapping) ได้อย่างลงตัว
มาถึงตอนนี้ ท่านผู้บริหาร ผู้อำนวยความสะดวกในการทำ CSA และผู้มีหน้าที่ปฏิบัติงานของแต่ละฝ่ายหรือสายงานต่าง ๆ อาจจะรู้สึกสับสนได้บ้าง ทั้งนี้เพราะผมกำลังพาท่านผู้อ่านไปสู่ยุคใหม่ของการบริหารธุรกิจ / องค์กรแบบบูรณาการ (Integrated Single Framework) หรือ Integrated Management ที่ไม่สามารถแยกการบริหาร Enterprise Goals กับ IT Related Goals ออกจากกันได้ในลักษณะ SILO สมัยเดิมได้อีกแล้ว นั่นคือ CIO ยุคใหม่ และในอนาคตจะต้องทำงานในลักษณะการบริหารองค์กรหรือการบริหารธุรกิจควบคุมกันไปกับ CEO และในขณะเดียวกัน CEO ก็ต้องมีความรู้เกี่ยวข้องกับผลกระทบของ IT Risk ที่มีผลต่อวัตถุประสงค์หลักทั้ง 17 ข้อ
ในการทำ CSA ในยุคปัจจุบันและในอนาคต การประเมินความเสี่ยงและการควบคุมภายใน และ/หรือการประเมินการควบคุมภายในที่มีอยู่ว่าเพียงพอที่จะลดความเสี่ยงต่าง ๆ ทั้งในระดับ Strategic Risk ที่มีผลเชื่อมโยงไปยัง Enterprise / Business Risk ที่เกี่ยวข้องกับความเสี่ยงตามมุมมองของ Business Balanced Scroecard ทั้ง 4 ด้าน ซึ่งเป็นภาพใหญ่นั้น จำเป็นที่ผู้อำนวยความสะดวก (Facilitator – ผู้ตรวจสอบภายใน) จะต้องเข้าใจหลักการบริหารและการจัดการแบบบูรณาการ เพื่อประเมินความเสี่ยงและผลกระทบที่เกี่ยวข้องว่ามีการควบคุมที่ต้นเหตุ (Root Cause) ที่แท้จริงหรือไม่ ทั้งนี้ก็เพราะกระบวนการควบคุมที่ปลายเหตุจะไม่มีประสิทธิภาพและประสิทธิผลใด ๆ ในการทำ CSA เลยแม้แต่น้อย
ท่านผู้อ่านครับ CSA หรือการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่กล่าวมาตั้งแต่ต้นนั้น สรุปได้ว่า คณะกรรมการและผู้บริหาร และผู้ปฏิบัติงาน ควรจะมีการสื่อสารให้เข้าใจตรงกันว่า การบริหารเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้สำหรับยุคใหม่นั้น จะต้องพิจารณาความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ซึ่งจะเป็นผู้ผลักดันและขับเคลื่อนความต้องการบรรลุวัตถุประสงค์ที่แท้จริงของธุรกิจ/องค์กร ภายใต้สภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงตลอดเวลา
ดังนั้น การหาจุดพอดี หรือดุลยภาพของความต้องการของ Stakeholders ที่แตกต่างกันนั้น จึงเป็นเรื่องที่สำคัญมาก ๆ เพราะหากไม่เกิดดุลยภาพในขั้นตอนแรกนี้ จะมีปัญหากระทบต่อ Governance ที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม (Value Creation) ที่ลงตัวและจะไม่เกิดความยั่งยืน (Sustainable) ซึ่งพิจารณาได้ว่าเป็นกระดุมเม็ดแรกของการขับเคลื่อน Value Creation ให้กับธุรกิจและองค์กรในระยะยาว ทั้งนี้ Value Creation มีหลักการและแนวความคิดที่ว่า Stakeholders ต้องการผลตอบแทนที่เหมาะสมที่ต้องสัมพันธ์กับดุลยภาพการบริหารความเสี่ยงที่พอเหมาะ และการบริหารจัดการทรัพยากรที่เหมาะสมควบคู่กันไปอย่างแยกกันไม่ได้
ขอสรุปเป็นครั้งสุดท้ายในเรื่อง CSA ว่า จากวรรคที่กล่าวข้างต้นจะนำไปสู่การกำหนด Enterprise Goals และเชื่อมโยงไปยัง IT Related Goals และเชื่อมโยงต่อไปยัง Process Goals และ Enabler Goals ที่ต้องการความเข้าใจในทุกขั้นตอนและในทุกกระบวนการบริหารอย่างแท้จริงว่า หากจะมีการดำเนินการจัดทำ CSA ผู้อำนวยความสะดวกและผู้บริหารที่เกี่ยวข้องควรจะเข้าใจในหลักการบริหารแบบบูรณาการที่เหมาะสมและพอเพียงเพียงใด
G (Governance) + R (Risk Management) + C (Compliance) ไม่เท่ากับ Integrated GRC หรือการบริหารแบบบูรณาการ
หิน + ปูน + ทราย ไม่เท่ากับ ซีเมนต์ หากขาดน้ำ
“น้ำ” ในที่นี้หมายถึง ความเข้าใจในกระบวนการบริหารและการจัดการแบบบูรณาการ ครับ