จากการประเมินการบริหารการจัดการความเสี่ยงของหน่วยงานภาครัฐ ประจำปี 2552 มีข้อสังเกตจากการรวบรวมของ บริษัทที่ปรึกษา/Tris บางประการ ซึ่งน่าจะเป็นประโยชน์ต่อการปรับปรุงการยกระดับการบริหารความเสี่ยงในเชิงคุณภาพ โดยการทำความเข้าใจกับเกณฑ์ประเมิน Risk Map ในส่วนที่เกี่ยวข้อง สรุปได้ดังนี้

ประเด็นการให้คะแนนเชิงคุณภาพ
พิจารณาจากระบบการบริหารความเสี่ยงที่มีสามารถป้องกันไม่ให้เกิด Incident โดยมีการสื่อสารให้บุคลากรในองค์กรรับทราบและมีมาตรการในการป้องกันไม่ให้ Incident เกิดขึ้นอีก ซึ่งมีแนวปฏิบัติัดังนี้

1. สายการรายงานและสายการบังคับบัญชีของระบบงานบริหารความเสี่ยง สามารถให้ผู้บริหารได้รับทราบและพิจารณาแก้ไขได้อย่างรวดเร็วหรือไม่

2. แผนบริหารความเสี่ยงได้ถูกปรับให้เหมาะสมกับสถานการณ์ดังกล่าวอย่างไร

3. การวิเคราะห์ผลกระทบของ Incident ต่อระบบงานทุกระบบในองค์กร

ดังนั้น หากหน่วยงานของรัฐที่เกี่ยวข้องกับการประเมินผล หรือหน่วยงานอื่น ๆ ที่สนใจจะยกระดับการบริหารความเสี่ยงในเชิงคุณภาพ ก็อาจพิจารณาปัจจัยข้างต้น โดยนำมาปรับปรุงใช้กับแผนการบริหารความเสี่ยงในปีต่อ ๆ ไปให้เหมาะสมยิ่งขึ้น

ทางการโดย สคร. กระทรวงการคลัง และที่ปรึกษา สคร. คือ Tris อาจจะประเมินคุณภาพการบริหารความเสี่ยง และอาจปรับลดคะแนนลงได้ โดยพิจารณาจากเกณฑ์ต่อไปนี้

1. ความครบถ้วนของปัจจัยเสี่ยง

- ความสอดคล้องกับแผนปฏิบัติการประจำปี ตัวชี้วัดขององค์กร รวมถึง การวิเคราะห์ SWOT

- เทคนิค/วิธีการที่ รส. ใช้ในการค้นหาปัจจัยเสี่ยง

- Incident ที่เกิดขึ้นในระหว่างปี และ Incident ที่เกี่ยวข้องกับ Stakeholder ขององค์กร ได้นำมาวิเคราะห์ถึงผลกระทบต่อองค์กรหรือไม่

- รส. ควรวิเคราะห์ Impact ของ Stakeholder ที่มีต่อองค์กรประกอบในการค้นหาปัจจัยเสี่ยง

2. การประเมินความเสี่ยง และการจัดระดับความสำคัญ (Risk Assessment & Prioritize)

- เกณฑ์การประเมินในปี 53 หน่วยงาน/องค์กรมีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง และควรมีการวิเคราะห์อย่างเป็นระบบ ดังนั้น ควรแสดงถึงการใช้ฐานข้อมูลของหน่วยงานมาใช้ในการกำหนดโอกาส/ผลกระทบ รวมถึงสามารถอธิบายได้ถึงระดับความรุนแรงในมุมมองต่าง ๆ ที่สามารถเทียบเคียงกันได้

- แนวคิดในการจัดลำดับความสำคัญ โดยเฉพาะ Compliance Risk

อาจสรุปได้ว่า ประเด็นการประเมินเชิงคุณภาพ จะเน้นการประเมินการบริหารความเสี่ยง และการจัดระดับความสำคัญของการบริหารความเสี่ยง ที่มีผลกระทบต่อเป้าหมายเชิงกลยุทธ์ขององค์กรนั้น โดยหลักการจะเกี่ยวข้องกับการบริหาร IT Risk และ Non – IT Risk อย่างผสมผสานและเป็นบูรณาการ ที่จะสัมพันธ์กับกรอบใหญ่ของการขับเคลื่อน Integrity – Driven Performance ตามแนวทางของ GRC เป็นสำคัญ

ผมไม่ได้วิเคราะห์ในหัวข้อนี้มานานพอสมควรนะครับ เพราะมีหัวข้ออื่น ๆ จะต้อง update ที่ผู้สนใจโทรศัพท์ขอมามากกว่า อย่างไรก็ดี ข่าวในเรื่องค่าเงินบาทแข็งกำลังเป็นข่าว hot-hit ตามสื่อแตกต่าง ๆ โดยเฉพาะอย่างยิ่งในช่วงข่าวทางโทรทัศน์ เมื่อ 14-15 ตุลาคม 2553 ซึ่งมีการออกความเห็นอย่างรุนแรงที่ผู้รับชม รับฟัง ที่บริโภคข่าว อาจสับสนและมีความเข้าใจที่แตกต่างกันเป็นอย่างมาก เพราะผู้ฟังมีการประกอบอาชีพที่หลากหลาย และมีพื้นฐานที่แตกต่างกันในภาพโดยรวมของสังคม

คงไม่มีอะไรผิด และคงไม่มีอะไรถูกทั้งหมด ในมุมมองของแต่ละกลุ่มของผู้ได้รับประโยชน์ในทางบวก หรือผู้ได้รับผลกระทบในทางลบ จากการที่เงินบาทแข็งค่าหรืออ่อนค่า

ผมคงไม่พูดในลักษณะวิชาการ เพราะในมุมมองนี้มีผู้ทรงคุณวุฒิหลากหลาย ได้ให้คำอธิบายตามสื่อต่าง ๆ มากมายไปแล้ว แต่ผมจะเล่าสู่กันฟังง่าย แบบพูดคุยกันภาษาชาวบ้าน ให้เข้าใจได้ง่าย ๆ โดยไม่อ้างทฤษฎีใด ๆ แต่เป็นเรื่องข้อเท็จจริงดังต่อไปนี้

ผมขอเริ่มว่า ประเทศสิงคโปร์ ประเทศที่มีพลเมืองเพียง 4 ล้านเศษ ๆ ที่มีศักยภาพทางเศรษฐกิจ การเงิน การบริหาร การจัดการ และวิสัยทัศน์ในมุมมองต่าง ๆ ที่น่าจะเหนือกว่าประเทศไทยเรา เรื่องนี้เป็นความจริงครับ เพราะไม่ว่าจะประเมินเรื่องใด ๆ ในหัวข้อใด ๆ ที่องค์กรสากล สำรวจกัน ประเทศสิงคโปร์ก็จะอยู่ในระดับต้น ๆ ของโลกเสมอ

มีบางคนกล่าวว่า ประเทศสิงคโปร์เปรียบได้เหมือนกับกล้วยหอม ที่มีผิวพรรณเป็นชาวเอเชีย คือ ผิวเหลือง (เหมือนเปลือกกล้วย) แต่เนื้อในเป็นสีขาว เช่นเดียวกับฝรั่ง ที่มีผิวขาว ที่มีวิสัยทัศน์ ความคิด ความเชื่อ จากทัศนคติที่แตกต่างกันอย่างมากมาย ในกระบวนการบริหารและการจัดการในทุกรูปแบบ ทั้งในอดีตและปัจจุบันนั้น…

ท่านทราบไหมครับว่า ระหว่างที่ประเทศไทยกำลังโอดครวญเรื่องค่าเงินบาทแข็งนั้น ประเทศสิงคโปร์ และรัฐบาลสิงคโปร์ กำลังผลักดันและขับเคลื่อนในค่าเงินดอลล์ล่าสิงคโปร์แข็งขึ้น เพราะอัตราเงินเฟ้อของสิงคโปร์มีระดับที่สูงมาก ที่จะมีผลกระทบระยะยาวต่อการเติบโตอย่างยั่งยืน ตามหลักการบรรษัทภิบาล หรือ CG รวมทั้ง การแสดงความรับผิดและรับชอบ ตามหลักการ Accountability ซึ่งก็เป็นไปตามหลักการ CG เช่นกัน

นอกจากนั้นก็ยังมีเรื่ององค์ประกอบต่าง ๆ ทื่เกี่ยวกับเรื่องบรรษัทภิบาล ซึ่งหากขยายความออกไปมากกว่านี้ ก็จะทำให้เรื่องที่จะเล่าสู่กันฟังง่าย ๆ กลายเป็นเรื่องยากขึ้นมาทันที

กลับมาเรื่องของค่าเงินแข็ง กับค่าเงินอ่อนกันดีกว่านะครับว่า อะไรที่เรืยกว่า ค่าเงินแข็ง และอะไรที่เรียกว่า ค่าเงินอ่อน

เมื่อปี 2540 ค่าเงินบาทของไทยเมื่อเทียบกับเงินดอล์ล่า สหรัฐ $ อยู่ที่ประมาณ 26 บาท : 1 $US แต่เมื่อถูกโจมตีจากค่าเงินบาทต่างชาติ เพราะเงินบาทในช่วงนั้นแข็งเกินไป อันเกิดจากสาเหตุหนึ่งก็คือ มีเงินตราต่างประเทศเข้ามามากในสถาบันการเงิน +++ ในขณะที่เศรษฐกิจและพื้นฐานทางการเงิน และสภาพแวดล้อมจากปัจจัยในการกู้เงิน และปล่อยสินเชื่อมีปัญหาด้านเสถียรภาพ และดุลยภาพในการจัดการในภาพโดยรวมครับ คงไม่ต้องกล่าวถึงเรื่อง นโยบาย Out – In และ In – Out +++ นะครับ เพราะจะทำให้เวียนหัวขึ้นไปอีก

สรุปในช่วงเวลานั้นประเทศไทยพ่ายแพ้ในการต่อสู้และรักษาค่าเงินบาท ทำให้อัตราแลกเปลี่ยนในช่วงต่อมา จากเงินบาทแข็งที่ 26 บาท : 1 $US เป็นประมาณ 55 บาท : 1 $US ผลก็คือ สถาบันการเงินและผู้ที่เป็นหนี้เงินตราต่างประเทศในทุกกลุ่ม มีหนี้เพิ่มขึ้นทันที ไม่ต่ำกว่า 100% คือสมมุติว่า จากหนี้ 100 ล้านบาท กลายเป็นหนี้ มากกว่า 200 ล้านบาท เป็นต้น นั่นคือ จะต้องหาเงินบาทมามากขึ้นกว่าเท่าตัวที่จะต้องชำระหนี้ต่างประเทศในวงเงินเท่าเดิม

กล่าวในอีกนัยหนึ่ง หากเราต้องใช้ค่าเงินบาทมากขึ้นในการแลกเงิน 1 $US เราเรียกว่า เงินบาทอ่อน ที่ว่าอ่อนเพราะใช้เงินบาทมากขึ้นในการแลกเปลี่ยนเงินตราต่างประเทศ ซึ่งในที่นี้เทียบกับ $US เป็นหลัก และในกรณีตรงข้าม ถ้าเราต้องใช้เงินบาทในการแลกเปลี่ยนน้อยกว่า 55 บาท เพื่อแลกกับ 1 $US ก็ถือว่าเป็นเงินบาทแข็งขึ้น

จาก ปี 2540 มาจนถึงปัจจุบัน ค่าเงินบาทที่เปลี่ยนแปลงจากแข็งเป็นอ่อน คือ 26 บาท แลกได้ 1 $US และค่าเงินบาทเปลี่ยนแปลงจากอ่อนเป็นแข็ง เป็นประมาณ 31 บาท : 1 $US ในปัจจุบัน ก็ถือว่าเงินบาทแข็งขึ้นมากเกือบ 100% เช่นกัน เมื่อเทียบกับ ปี 2540

ผลที่ตามมาก็คือ คนที่เป็นหนี้เงินตราต่างประเทศที่ไม่ประกันค่าความเสี่ยงจากอัตราการแลกเปลี่ยนของเงินบาท ก็จะมีปัญหาเรื่องหนี้สินล้นพ้นตัว จนถึงขั้นล้มละลายในที่สุด ซึ่งมีตัวอย่างให้เห็นมากมายในปัจจุบัน+++

สำหรับผู้ที่ถือเงิน $US ในประเทศหรือต่างประเทศ สามารถแลกเงินบาทได้เพิ่มขึ้นมากเป็นตัวเท่าในช่วง ปี 2540 นั่นคือ 1$US ซึ่งเดิมแลกค่าได้ 26 บาท สามารถแลกเป็นเงินบาทได้มากกว่า 50 บาทเป็นต้น

แล้วท่านอยู่ในฐานะใด? ระหว่าง 2 สถานะล่ะครับ

ในช่วงปัจจุบันเงินบาทแข็งขึ้นมาก และมีโอกาสที่จะแข็งขึ้นต่อไปนั้น ข้อดีก็คือ เราสามารถสั่งซื้อสินค้า เช่น น้ำมัน จากต่างประเทศได้ในราคาถูก และตรงกันข้าม ถ้าค่าเงินบาทอ่อนตัว ค่าน้ำมันจะมีราคาแพงตามสัดส่วนเดียวกัน +++

เช่นเดียวกันนะครับที่จะกล่าวต่อไปว่า ผู้ส่งสินค้าออกได้รับผลกระทบกระเทือนจากเงินบาทแข็งค่า เพราะเงิน $US แลกเป็นเงินบาทได้น้อยลง +++

สำหรับผู้ผลิตสินค้าเพื่อการส่งออกและเพื่อขายภายในประเทศ ที่มีวัตถุดิบจากต่างประเทศก็มีมุมมองในการอธิบายผสมผสานกัน ระหว่างผลดีและผลเสียจากเงินบาทอ่อนค่า และแข็งค่า +++

สำหรับชาวนา ซึ่งใช้ผลผลิตภายในประเทศล้วน ๆ 100% อาจจะถูกกดราคาข้าว เนื่องจากค่าเงินบาทแข็งตัว เพราะผู้ส่งออกจะได้รับเงินบาทจากการขายข้าวน้อยลง ซึ่งจะเกิดวงจรในลักษณะงูกินหางกันต่อ ๆ ไป+++

สรุป เงินบาทแข็ง หรือเงินบาทอ่อน จะดีหรือไม่ดี จะขึ้นกับว่าท่านอยู่ในสถานะใดของดุลยภาพทางการเงิน และการจัดการที่มีผลกระทบต่อค่าเงินบาท ดังนั้น การจัดการที่ดีไม่ว่าในฐานะ Regulators และ Operators ก็คือ ความสามารถในการบริหารความเสี่ยง การควบคุมเหตุการณ์ และสถานการณ์ที่อาจจะเกิดจากปัจจัยเสี่ยงที่มีผลกระทบต่อเป้าประสงค์ ของแต่ละท่านและของแต่ละองค์กร รวมทั้งของประเทศในภาพโดยรวม ที่ต้องอาศัยความเข้าใจ และสร้างดุลยภาพที่ดี เพื่อให้สามารถยืนอยู่ได้ท่ามกลางความผันผวนของค่าเงินบาท

ผมตั้งใจจะพูดแบบชาวบ้านให้ฟังง่าย ๆ แต่ตอนสุดท้ายรู้สึกว่าไม่ง่ายดังที่ตั้งใจนะครับ ทั้งนี้เพราะคำว่า ดุลยภาพ ซึ่งแปลว่าความยั่งยืนในมุมมองของ การกำกับดูแลกิจการที่ดีและการบริหารความเสี่ยง และการควบคุม รวมทั้งการจัดการที่ดีนั้น มีปัจจัยมากหลายที่ใช้ในการอธิบาย และเป็นที่แน่นอนว่า หากท่านอยู่ในสถานะที่เสียเปรียบ ท่านจะไม่ชอบเห็นเหตุการณ์ที่เงินบาทแข็งตัว ในกรณีที่ท่านเป็นผู้ส่งสินค้าออกที่ใช้วัตถุดิบในประเทศเป็นหลัก

หากท่านเป็นหนี้เงินตราต่างประเทศ จากการที่กู้มาเงินช่วงเงินบาทอ่อนตัว และท่านสามารถชำระหนี้ได้ในช่วงเงินบาทแข็งตัว เช่นช่วงเวลานี้ ท่านก็จะได้เปรียบ และมีประโยชน์จากการที่เงินบาทแข็งตัวนั้น+++

ขอให้ท่านผู้อ่านเปรียบเทียบกับประเทศสิงคโปร์ ซึ่งมีสภาพแวดล้อม และสถานการณ์ทางเศรษฐกิจและการเงินที่แตกต่างจากไทยเรา ทั้งในอดีตและปัจจุบัน ที่ต้องการผลักดันและขับเคลื่อนประเทศของตนให้มีค่าเงินที่แข็งขึ้น เพราะเงินเฟ้อมีอัตราที่สูง และจะมีผลกระทบต่อการเติบโตอย่างยั่งยืนในอนาตนั่นเอง +++

สำหรับประเทศไทย เราจะเดินไปทิศทางไหนดีล่ะครับ ระหว่างค่าเงินบาทแข็งตัว หรือค่าเงินบาทอ่อนตัว ในมุมมองของทางการที่ต้องต่อสู้เพื่อรักษาค่าเงินบาทในช่วงเวลานั้น และต้องเจ็บตัว และมีปัญหามากมายตามมาจากค่าเงินบาทแข็งเป็นค่าเงินบาทอ่อน และกำลังจะกลับมีปัญหาใหม่ จากค่าเงินบาทอ่อนเป็นค่าเงินบาทแข็งอีกหรือครับ

ผมขอจบเพียงเท่านี้ดีกว่า เพราะยิ่งพูดชักดูไม่ง่ายแล้วครับ

การจัดการ การควบคุม เกี่ยวกับความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ ความเสียหายที่อาจเกิดขึ้นได้ ที่เกิดจากการประเมิน หรือคาดคะเนเหตุการณ์ หรือปัจจัยเสี่ยงผิดพลาด หรือระบุความเสี่ยงไม่ตรงกับต้นเหตุ โดยเฉพาะอย่างยิ่งความเสี่ยง และปัจจัยที่เกิดจาก Operatinal Risk [P+P+T] ที่เกี่ยวข้องกับ P-People, P-Process, T-Technology ที่เกือบทุกองค์กรมีจุดอ่อน หรือปัญหาด้านนี้สูงสุด แม้กระทั่งในต่างประเทศก็มีปัญหานี้มากเช่นกันนั้น

ความเข้าใจในกระบวนการบริหารความเสี่ยงจึงสำคัญมาก โดยเฉพาะเรื่องการกำหนด Risk appetite และ Risk Tolerlance ทั้งด้าน Non-IT และ IT โดยเฉพาะอย่างยิ่ง Risk IT และ IT Risk ที่มีผลกระทบต่อ Operational Risk ที่องค์กรของรัฐยังมีปัญหาด้านนี้เนื่องจาก COSO-ERM ไม่ได้กล่าวถึงมากนัก และกฎเกณฑ์การประเมินผล ก็ยังไม่มีแนวทางนี้อย่างชัดเจน และเพียงพอกับการใช้เทคโนโลยีสารสนเทศที่เพิ่มขึ้นในทุกระดับของการจัดการ

วันนี้ ผมจึงนำเรื่องนี้ที่เกี่ยวข้องกับ IT Risk ที่ยังไม่เกี่ยวข้องกับเทคนิค มายกตัวอย่างให้ท่านผู้อ่านและผู้ปฎิบัติงาน ได้เห็นภาพบางมุมมอง ที่อาจปิดจุดอ่อนที่เกี่ยวข้องกับการบริหารความเสี่ยงบางประการ เพื่อสร้างความเข้าใจให้มากยิ่งขึ้น ดังนี้ครับ

ความเสี่ยงจากเหตุการณ์ และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการ หรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา++

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบ และการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงาน โดยอ้างเหตุผลว่า เป็นเรื่องทางเทคนิคเกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างเป็นระบบ ที่ต้องมีการประเมิน Risk IT และ IT Risk ทุกกิจกรรมในทุกขั้นขั้นตอนที่เกี่ยวข้อง++

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงาน และความต้องการของผู้ใช้ข้อมูลดีพอ รวมทั้งการใช้เทคนิคทางการประมวลผลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงาน และโปรแกรมงานขาดสาระที่สำคัญไป หรือเกินความเป็นจริง++

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูล และด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจาก การใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน++

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการแก้ไขและดัดแปลงโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน โดยไม่คำนึงผลกระทบที่จะตามมา++

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรม ออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูล ซึ่งเป็นเจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูล หรือในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจฟังก์ชัน (Function) หรือหน้าที่การทำงานของโปรแกรม จึงมีความพยายามในการแก้ไขและดัดแปลงระบบงานใหม่++

7. ขาดการสื่อสารและการทำความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ และฝ่ายผู้บริหารระดับสูงที่ดีเพียงพอ++

8. ไม่ได้วางหลักเกณฑ์ไว้ว่า เมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น หากมีการใช้งบประมาณเกิน 10% จะต้องหยุดหรือมีกฎหมายใหม่ ๆ เกิดขึ้น เนื่องจากจะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป++

9. การที่ระบบงานมีจุดอ่อนให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงาน บางคนพยายามสร้างวิธีการคดโกง หรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรม ให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่น เพื่อประโยชน์ของตนเองหรือผู้อื่น โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ ก็สามารถกระทำการทุจริต หรือทำความเสียหายให้กับองค์กรได้ ++

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิค หรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่งเท่ากับเป็นการบีบบังคับ หรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอด ไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคน แตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมายโดยรวมขององค์กร++

12. ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร++

ตัวอย่างบางประการที่กล่าวข้างต้นเป็นสิ่งที่อาจป้องกันได้ ทั้งโดยการกำกับงานของ Regulators และ ในการปฎิบัติงานของผู้บริหารของแต่ละองค์กร ความเสียหายที่อาจเกิดขึ้นได้

1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified Systems) และไม่ก่อให้เกิดประโยชน์ต่อการแข่งขันในทางธุรกิจ อันเนื่องมาจากการพัฒนาระบบงาน ที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง หรือเนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้ รวมถึงกรณีการพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ทำให้ต้องเสียค่าใช้จ่ายเพิ่มมากขึ้น++

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์กรตัดสินใจผิดพลาดด้วย เนื่องจากระบบที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสม เพื่อการบริหารและการจัดการที่ดี ++

3. การบันทึกข้อมูลทางบัญชีผิดพลาดจากตรรกะ (Logic) หรือใช้ระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาด หรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการยกระดับ (Upgrade) ระบบงานหลักในภายหลัง โดยบริษัทผู้พัฒนาโปรแกรมไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็น หากมีการแก้ไขและดัดแปลงโปรแกรมหลัก ๆ ++

4. สำหรับความเสียหายที่เกิดจากการแก้ไขและ/หรือดัดแปลงนั้น ก็อาจเกิด “จุดอ่อน” ตามมาได้มากมาย และเกินกว่าที่ผู้บริหารและผู้ใช้จะคาดคะเนได้++

5. ระบบงานที่ได้ไม่สามารถตอบสนองต่อความต้องการขององค์กรได้อย่างมี ประสิทธิภาพ ซึ่งมีผลทำให้เกิด – การตัดสินใจผิดพลาด – ผลตอบแทนการพัฒนาระบบงานใหม่ไม่คุ้มค่า – เสียประโยชน์จากการแข่งขัน – การประมวลผลข้อมูลหยุดชะงัก – มีค่าใช้จ่ายมากเกินไป – การทุจริต – การประมวลผลผิดพลาด – การบันทึกรายการบัญชีไม่ถูกต้อง

6. การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย และอาจมีความเสียหายที่เกิดขึ้นได้ตามที่กล่าวมาแล้วข้างต้น ++

7. เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่าง ๆ ตามที่ได้กล่าวมาแล้วข้างต้น++

8. การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ในลักษณะลูกโซ่ของปัญหา++

ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด จนถึงขั้นวิกฎติก็เป็นไปได้++ การจัดการ/การควบคุมบางประการ

1. กำหนดประเภทของกิจกรรม และเป้าหมายหลักในการพัฒนาระบบงานให้เป็นมาตรฐาน ทันกับเหตุการณ์ในลักษณะเชิงรุก ที่ผู้เกี่ยวข้องควรเข้าใจกระบวนการบริหารความเสี่ยง การควบคุม และการตรวจสอบ ทางด้าน IT และ Non-IT รวมทั้งการบูรณาการอย่างเหมาะสม++

2. ให้ผู้บริหารระดับสูงและผู้ใช้ข้อมูล ทบทวนและประเมินผลงานทุกขั้นตอนของการพัฒนาระบบงาน เมื่อพบว่ามีข้อที่ไม่สมเหตุสมผลอย่างร้ายแรงในขั้นตอนใด ให้สั่งหยุดการพัฒนาขั้นตอนถัดไปทันที จนกว่าจะแก้ไขแล้ว หรือ

3. ผู้บริหารระดับสูงอาจมอบหมายให้ผู้ตรวจสอบภายในขององค์กร เป็นผู้ทำหน้าที่ทบทวนและประเมินผลขั้นตอนของการพัฒนาระบบงานทุกระบบ โดยเฉพาะความเหมาะสมของการควบคุมภายในของระบบงาน การตรวจสอบและการแก้ไขอัตโนมัติโดยระบบ (Automated Solutions) อย่างเหมาะสมและทันเวลา ++

4. กำหนดประเภทของกิจกรรม และเป้าหมายหลัก ในการพัฒนาระบบงานให้เป็นมาตรฐาน จากผู้ที่มีความรู้ความเข้าใจในระบบงาน ++

5. การจ้างบุคคลที่ได้รับการอบรมและฝึกฝนทางด้านวิเคราะห์ระบบงานโดยเฉพาะ หรือส่งพนักงานเข้ารับการอบรม และฝึกฝนด้านเทคนิคเพิ่มเติมอยู่เสมอ

6. ให้จัดทำเอกสารประกอบการวิเคราะห์ทุกขั้นตอน ดังนี้
- รายงานการศึกษาวิเคราะห์ระบบงาน
- รายงานความต้องการของผู้ใช้ที่มีต่อระบบงาน
- รายงานเกี่ยวกับเทคนิคต่าง ๆ ที่จะใช้ในระบบงาน

7. ให้ผู้ใช้ข้อมูลเป็นผู้ทดสอบความถูกต้องของระบบงานที่เรียกว่า การรับรองระบบงาน (Acceptance Test) หรือมอบหมายให้ผู้ตรวจสอบภายในทำหน้าที่ทดสอบระบบ++

8. ให้ผู้ออกแบบระบบงานจัดทำเอกสารประกอบการใช้งานระบบโดยละเอียด

9. การว่าจ้างบุคคลที่มีความสามารถเฉพาะ หรือส่งพนักงานขององค์กรไปเข้ารับการอบรม และฝึกฝนทางด้านเทคนิคเพิ่มเติมอยู่เสมอ ++

10. มอบหมายให้ผู้ควบคุมระบบงานด้านการวิเคราะห์ และการเขียนโปรแกรมทบทวนผลลัพธ์ของการดำเนินงาน พัฒนาระบบทุกขั้นตอน ก่อนส่งให้ฝ่ายบริหารและผู้ใช้ข้อมูลให้ความเห็นชอบ ++

11. การกำหนดให้ฝ่ายพัฒนาระบบงาน/หัวหน้าโครงการพัฒนาระบบงาน (Project Leader) จัดทำแผนในการพัฒนาระบบงานและตารางการปฏิบัติงานแต่ละโครงการ (Project Planning) พร้อมทั้งมอบหมายงานให้พนักงานที่อยู่ในความรับผิดชอบ ทำการประเมินผลงานตามที่ปรากฎในแผน และจัดรายงานความก้าวหน้าของโครงการ เพื่อเสนอต่อฝ่ายผู้ใช้และฝ่ายบริหารระดับสูงเป็นระยะ ๆ ++

12. มอบหมายให้ผู้ควบคุมงานทบทวนผลลัพธ์ที่ได้จากงานทุกขั้นตอน++

13. มอบหมายให้ผู้ตรวจสอบภายใน หรือผู้ออกแบบระบบงานทบทวนระบบงานนั้นอีกครั้ง หลักจากที่ได้นำระบบไปใช้กับงานจริงแล้วประมาณ 3 – 6 เดือน เพื่อค้นหาข้อผิดพลาดที่ยังมีอยู่ ++แต่ก็มีประเด็นที่พึงพิจารณาและควรระวังหลายประการ เช่น มาตรฐานและศักยภาพของผู้ตรวจสอบ และความอิสระ++

14. ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบการปฏิบัติงานทุกขั้นตอนให้เรียบร้อย โดยละเอียด เพื่อส่งให้ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงทบทวนได้ทุกขณะเมื่อมี ปัญหาเกิดขึ้น ++

15. ให้ฝ่ายพัฒนาระบบงานจัดทำแผนงานและเป้าหมายของงานแต่ละขั้นตอน ทั้งนี้เพื่อเป็นแนวทางในการปฏิบัติงานแก่พนักงานที่เกี่ยวข้อง อาทิ
- ขั้นตอนการวางแผนระบบ
- ขั้นตอนการพัฒนาระบบ
- ขั้นตอนการติดตั้งในงานระบบ

ความเห็นและข้อแนะนำดังกล่าว น่าจะมีปัญหาในทางปฎิบัติ หรือมาตรฐานการปฎิบัติงาน++
ท่านลองพิจารณาดูนะครับว่าข้อใดที่เหมาะสม ข้อใดที่น่าจะไม่เหมาะสมเพราะขัดกับหลักการและมาตรฐานการปฎิบัติงาน และ

ในองค์กรที่ท่านบริหารอยู่มีข้อใดที่แสดงถึงความไม่รับผิดชอบของผู้ที่ เกี่ยวข้อง..?
วันนี้จึงจบลงด้วยแง่คิด ที่ต้องช่วยกันคิด ช่วยกันทำในแง่มุมของการบริการความเสี่ยงต่อไป