Information Technology Governance โดย อ.เมธา สุวรรณสาร

พฤษภาคม 2012
จ	อ	พ	พฤ	ศ	ส	อา
« เม.ย.
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

Archive for the "IT Audit" Category

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 11

เมษายน 21st, 2011 Metha Suvanasarn

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในการติดตามและการตรวจสอบความเสี่ยงด้านกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ซึ่งมีหน้าที่รับผิดชอบการดําเนินงานโดยรวมขององค์กร ต้องกําหนดแนวทางการควบคุมความเสี่ยง เช่น นโยบาย มาตรฐาน วิธีการปฏิบัติงาน ระบบการบริหารความเสี่ยง ระบบการควบคุมภายใน ระบบการติดตามและรายงานความเสี่ยง เช่น รายงานเปรียบเทียบผลปฏิบัติงานจริงกับประมาณการ รายงานตรวจสอบภายใน เป็นต้น ซึ่งในการควบคุมความเสี่ยง องค์กรควรจะพิจารณาในประเด็นที่ผมจะได้กล่าวถึงต่อไปนี้

1. ระบบการควบคุมความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรกําหนดระบบการควบคุมความเสี่ยงที่เป็นแนวทางปฏิบัติที่ดีตามแนวทางสากล หน่วยงานที่ทําหน้าที่ติดตามและควบคุมความเสี่ยงต้องเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง (risk taking function) เพื่อถ่วงดุลอํานาจในการบริหาร โดยมีการสอบยันกันเพื่อป้องกันช่องโหว่ในการควบคุมภายใน รวมทั้งต้องมีการทดสอบการควบคุมความเสี่ยงอย่างสม่ำเสมอ โดยหน่วยงานที่เป็นอิสระทั้งจากภายในและภายนอก เพื่อให้มั่นใจว่าองค์กรมีการบริหารงานตามหลักธรรมาภิบาล และมีระบบการควบคุมความเสี่ยงที่เหมาะสม

การกําหนดให้ระบบการควบคุมความเสี่ยง และหน่วยงานบริหารความเสี่ยงเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง อาจดําเนินการได้โดยแยกหน่วยงานบริหารความเสี่ยงออกไป เช่น การจัดตั้งหน่วยงานสอบทานหรือตรวจสอบภายใน และการจัดให้มีคณะกรรมการบริหารความเสี่ยง ซึ่งไม่มีหน้าที่เกี่ยวข้องโดยตรงกับการตัดสินใจทางธุรกิจหรือ การดำเนินธุรกิจประจําวัน รวมทั้งการมีบุคลากรที่มีความชํานาญ และมีคุณสมบัติที่เหมาะสมกับงานในด้านที่เกี่ยวข้อง สามารถเข้าใจลักษณะแผนงาน/โครงการ การดำเนินงานและผลกระทบจากระดับความเสี่ยงขององค์กรเกินเพดานที่กําหนดไว้ เป็นต้น

ขอบเขตหน้าที่ของคณะกรรมการบริหารความเสี่ยงมีมากกว่าการกําหนดนโยบาย และการจัดให้มีกระบวนการบริหารความเสี่ยง โดยจะครอบคลุมการสอบทานการปฏิบัติตามเพดานความเสี่ยง การกําหนดความถี่ในการสอบทาน และประเภทความเสี่ยงที่จะสอบทาน ความถี่ในการสอบทานจะขึ้นอยู่กับระดับความเสี่ยงของหน่วยงานที่รับความเสี่ยง เช่น กิจกรรมหรือการดำเนินงานทางการเงินของฝ่ายการเงินที่ควรได้รับการสอบทานทุกวัน กิจกรรมที่ไม่เกี่ยวข้องกับการเงินอาจได้รับการสอบทานเป็นรายสัปดาห์หรือรายเดือน

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรได้รับรายงานต่าง ๆ เพื่อประกอบการสอบทานและการติดตามความเสี่ยง ได้แก่ รายงานการบริหารหนี้สินและทรัพย์สิน รายงานสภาพคล่องของธุรกิจองค์กร รายงานเกี่ยวกับแผนงาน หรือโครงการที่มีระดับความเสี่ยงสูง รายงานเปรียบเทียบผลปฏิบัติงานจริงกับเป้าหมาย เป็นต้น

2. นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดนโยบายและขั้นตอนการบริหารความเสี่ยง ตามประเภทของความเสี่ยงอย่างละเอียด ถูกต้อง ชัดเจน และเป็นลายลักษณ์อักษร เพื่อใช้เป็นแนวทางการปฏิบัติงานประจําวัน รวมทั้งกําหนดเพดานความเสี่ยง เพื่อจํากัดขอบเขตความเสียหายให้อยู่ในระดับที่ยอมรับได้

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรทบทวนนโยบายและขั้นตอนการบริหารความเสี่ยงอย่างสม่ำเสมอ เพื่อปรับปรุงให้เหมาะสมกับการเปลี่ยนแปลงของธุรกรรมขององค์กร หรือภาวะธุรกิจที่เปลี่ยนแปลงไปในประเด็นต่าง ๆ ดังนี้

(1) นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยงต้องครอบคลุมการระบุ การวัด การติดตามและรายงาน และการควบคุมความเสี่ยงของธุรกรรม แผนงาน/โครงการที่สําคัญ เช่น การลงทุน

(2) นโยบาย ขั้นตอนการบริหารความเสี่ยงและเพดานความเสี่ยง ควรสอดคล้องกับวัตถุประสงค์ เป้าหมาย และความสามารถโดยรวมขององค์กร ทั้งนี้ แผนงาน/โครงการที่ไม่ได้กําหนดไว้ในนโยบายหรือที่มิได้ระบุไว้ในแผนกลยุทธ์ ต้องผ่านความเห็นชอบจากคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงก่อนทุกครั้ง

(3) ควรกําหนดนโยบายให้มีการสอบทานแผนงานหรือโครงการใหม่ ๆ เพื่อให้มั่นใจว่าองค์กรมีเครื่องมือหรือระบบที่จําเป็นในการระบุ วัด ติดตาม และควบคุมความเสี่ยง ก่อนที่จะเริ่มแผนงาน/โครงการใหม่

(4) ต้องกําหนดแยกหน้าที่ความรับผิดชอบ และสายการบังคับบัญชา ในขั้นตอนการบริหารความเสี่ยงอย่างชัดเจน เพื่อประโยชน์ในการบริหารจัดการและมีผู้รับผิดชอบโดยตรงในแต่ละแผนก กิจกรรม หรือโครงการ

(5) ต้องกําหนดเพดานความเสี่ยงอย่างชัดเจน และสามารถวัดได้

3. การสอบทานแผนงาน/โครงการใหม่

ในการบริหารองค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องติดตามการเปลี่ยนแปลงของตลาด ความก้าวหน้าทางเทคโนโลยี และพยายามเสนอแผนงาน/โครงการใหม่ ๆ เพื่อยกระดับความสามารถในการแข่งขัน และตอบสนองต่อความต้องการของลูกค้า หรือผู้ใช้บริการ อย่างไรก็ตาม การเสนอแผนงานหรือโครงการใหม่สามารถเพิ่มความเสี่ยงแก่องค์กรได้ หากไม่พิจารณาอย่างละเอียดรอบคอบ

ดังนั้น องค์กรจึงต้องระมัดระวังอย่างยิ่ง สําหรับการวางแผนกลยุทธ์ในการเสนอแผนงาน/โครงการใหม่ เพื่อลดปัญหาและ ข้อผิดพลาดให้เกิดขึ้นน้อยที่สุด และควรกําหนดให้มีระบบและกระบวนการสอบทานการเสนอแผนงาน/โครงการใหม่ โดยต้องประเมินว่าจะมีผลกระทบมากน้อยเพียงใดต่อความเสี่ยงหลักขององค์กร คือ ความเสี่ยงด้านกลยุทธ์ (Strategic Risk -S) ความเสี่ยงด้านปฏิบัติการ (Operational Risk – O) ความเสี่ยงด้านการเงิน (Financial Risk – F) ความเสี่ยงด้านการปฏิบัติตามระเบียบ กฎหมาย กฎเกณฑ์ (Compliance Risk – C)

นอกจากนี้ องค์กรอาจใช้แบบจําลองเพื่อศึกษาผลกระทบที่อาจเกิดขึ้นจากแผนงาน/โครงการใหม่ต่อฐานะ รายได้และเงินลงทุนในสถานการณ์ต่าง ๆ รวมทั้งการใช้วิจารณญาณและประสบการณ์ของบุคลากรที่มีความเชี่ยวชาญประกอบการตัดสินใจ อย่างไรก็ตาม แม้ว่าแบบจําลองจะมีข้อจํากัดและไม่สามารถครอบคลุมทุกสถานการณ์ที่อาจเกิดขึ้น แต่สามารถใช้เป็นเครื่องมือที่ช่วยสร้างความมั่นใจให้กับผู้วิเคราะห์ได้ระดับหนึ่ง ทั้งนี้ องค์กรควรกําหนดกระบวนการสอบทานแผนงาน/โครงการใหม่อย่างครบถ้วน และปรับปรุงระบบการดําเนินงานและระบบควบคุมต่าง ๆ ก่อนใช้งานจริง ซึ่งควรครอบคลุมประเด็นดังต่อไปนี้

(1) การกําหนดหน้าที่การสอบทานอย่างชัดเจน องค์กรควรจัดตั้งคณะทํางานหรือคณะกรรมการย่อย ซึ่งประกอบด้วยตัวแทนระดับเจ้าหน้าที่อาวุโสจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องในองค์กร เพื่อให้มั่นใจว่าองค์กรสามารถประเมินผลกระทบที่อาจเกิดขึ้นจากการเสนอแผนงาน/โครงการใหม่ได้ครบถ้วน นอกจากนี้ หน่วยงานหลัก ได้แก่ ฝ่ายบริหารเงิน และฝ่ายบริหารความเสี่ยง และหน่วยงานสนับสนุน เช่น ฝ่ายบัญชี ฝ่ายกฎหมาย ฝ่ายบริหารบุคคล และ ฝ่ายตรวจสอบภายใน เป็นต้น ควรเข้ามามีส่วนร่วมในการพิจารณาแผนงาน/โครงการใหม่ด้วย และควรมีการจัดทํารายงานเสนอความเห็นจากหน่วยงานต่าง ๆ ต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับ มอบหมาย และผู้บริหารระดับสูงเป็นระยะ

(2) การวิเคราะห์และสอบทานแผนงาน/โครงการใหม่ หน่วยงานที่ทําหน้าที่ในการวิเคราะห์และสอบทาน จะต้องเข้าใจกระบวนการดำเนินงานของแผนงาน/โครงการใหม่อย่างชัดเจน เพื่อให้มั่นใจว่าการสอบทานครอบคลุมทุกประเด็นที่สําคัญ ได้แก่

(2.1) วัตถุประสงค์ของแผนงาน/โครงการ ระยะเวลาในการดำเนินงาน งบประมาณหรือการลงทุน

(2.2) ประโยชน์ที่คาดว่าจะได้รับ เมื่อเทียบระหว่างแผนงาน/โครงการใหม่กับแผนงาน/โครงการเดิมที่มีอยู่แล้ว

(2.3 ) ผลวิเคราะห์ความสําเร็จของแผนงาน/โครงการ

(2.4) ผลกระทบที่มีนัยสําคัญที่คาดว่าจะเกิดขึ้นต่อความเสี่ยงด้านต่าง ๆ และหน่วยงานที่เกี่ยวข้อง

(2.5) วิธีการระบุ วัด ติดตาม และควบคุมความเสี่ยงของแผนงาน/โครงการและผู้รับผิดชอบ

(2.6) ข้อจํากัดของทรัพยากรด้านต่าง ๆ ที่นำมาใช้ในระบบงาน และระบบเทคโนโลยีสารสนเทศปัจจุบัน และการเตรียมการปรับปรุงให้สามารถรองรับแผนงาน/โครงการใหม่ได้

(2.7 ) ความรู้ ความสามารถ และประสบการณ์ของพนักงานที่เกี่ยวข้อง

(2.8) การอนุมัติและความเห็นจากฝ่ายงานต่าง ๆ ที่เกี่ยวข้อง

ในการควบคุมความเสี่ยง ยังมีอีกหลายประเด็นที่คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรจะต้องพิจารณาในมุมมองของการติดตามและตรวจสอบด้านกลยุทธ์ ซึ่งผมจะขอนำเสนอต่อในครั้งหน้านะครับ

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags: การควบคุมความเสี่ยง, การจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ, การตรวจสอบความเสี่ยงด้านกลยุทธ์, ความเสี่ยงกับการติดตามและตรวจสอบ, ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ, มุมมองของการตรวจสอบความเสี่ยงด้านกลยุทธ์
No Comments

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 10

เมษายน 12th, 2011 Metha Suvanasarn

หลังจากที่พนักงาน หรือฝ่ายงานขององค์กรได้ปฏิบัติและดำเนินงานตามแผนกลยุทธ์ ดังที่ผมได้เล่าสู่กันฟังไปแล้วในครั้งที่ผ่านมา สิ่งสำคัญที่คณะกรรมการ และผู้บริหาร ต้องใส่ใจอย่างยิ่งยวดและจะขาดเสียมิได้ ก็คือ การติดตามและรายงานความเสี่ยง ที่ผู้บริหารต้องนำไปใช้ในการวิเคราะห์และตัดสินใจ ซึ่งผมจะขอแบ่งเป็น 2 ส่วน คือ ในส่วนแรกจะเป็นเรื่องของระบบสารสนเทศเพื่อใช้ในการบริหารจัดการ สำหรับส่วนที่ 2 จะเป็นเรื่องของรายงานการติดตาม

การติดตามและการรายงานความเสี่ยงนั้น ควรกระทำอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า ความเสี่ยงที่มีอยู่ในระดับที่ยอมรับได้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรได้รับรายงานที่เกี่ยวข้องโดยมีความถูกต้อง ทันเวลา และมีความถี่ที่เหมาะสม เพื่อให้ข้อมูลสําคัญสําหรับการตัดสินใจของผู้บริหาร

ประสิทธิผลของการติดตามความเสี่ยง ขึ้นอยู่กับความสามารถในการระบุและวัดความเสี่ยงต่าง ๆ ซึ่งต้องอาศัยระบบข้อมูลสารสนเทศเพื่อการบริหาร หรือแบบจําลอง (model) ที่เหมาะสม ถูกต้อง และรวดเร็ว เพื่อช่วยในการวิเคราะห์และตัดสินใจ ดังนั้น คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงต้องจัดให้มีการพัฒนาและปรับปรุงระบบข้อมูลสารสนเทศ ให้สามารถระบุและวัดความเสี่ยงต่าง ๆ ได้อย่างแม่นยําและน่าเชื่อถืออยู่เสมอ เพื่อรองรับธุรกรรมหรืองานที่มีความซับซ้อนและหลากหลายขององค์กร เช่น องค์กรที่ประกอบธุรกรรมที่มีความซับซ้อนเป็นอย่างมาก ควรมีระบบการรายงานและระบบการติดตามความเสี่ยงที่สามารถวัดความเสี่ยงโดยรวมได้ นอกจากนี้ ระบบสารสนเทศขององค์กร ควรมีการรวบรวมข้อมูลทั้งจากภายใน เช่น ข้อมูลทางการเงิน การบัญชี และข้อมูลจากภายนอก เช่น สภาพเศรษฐกิจ ภาวะตลาด การแข่งขัน เทคโนโลยี และกฎเกณฑ์ของทางการ เป็นต้น

ระบบสารสนเทศเพื่อการบริหาร (MIS) ระบบสารสนเทศเป็นระบบหรือขั้นตอนที่ให้ข้อมูลสําคัญเพื่อการตัดสินใจและการบริหารที่มีประสิทธิผล ซึ่งจะช่วยสนับสนุนการดําเนินงานตามแผนกลยุทธ์ โดยทั่วไปมีวัตถุประสงค์เพื่อ
• จัดหา รวบรวม และประมวลผลข้อมูล
• สนับสนุนเป้าหมายกลยุทธ์และทิศทางขององค์กร
• ลดค่าใช้จ่ายในการดําเนินงาน
• ส่งเสริมการติดต่อสื่อสารของพนักงาน
• รายงานข้อมูลที่ซับซ้อนได้อย่างทั่วถึง

ระบบสารสนเทศที่มีประสิทธิผล จะต้องสนับสนุนการดําเนินงานตามวัตถุประสงค์ เป้าหมาย และการให้บริการต่าง ๆ ขององค์กรอย่างเพียงพอ สามารถเสนอรายงานในรูปแบบที่ต้องการได้ทันเวลา และกําหนดระดับชั้นการเข้าถึงข้อมูลที่เหมาะสม ซึ่งอาจเป็นได้ทั้งระบบอัตโนมัติและระบบประมวลผลโดยพนักงาน หรือทั้งสองอย่าง ที่สําคัญคือ การกําหนดวิธีการควบคุมที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลนั้นถูกต้องตามที่ต้องการ และมีการป้องกันความผิดพลาดในการเรียกข้อมูลจากหลายระบบงาน ซึ่งอาจทําให้เกิดการรายงานและการตัดสินใจที่ผิดพลาดขึ้นได้

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องให้ความสําคัญกับการพัฒนา การติดตั้ง และการทบทวนระบบสารสนเทศอย่างสม่ำเสมอ รวมทั้งควรกําหนดนโยบาย กรอบการปฏิบัติงาน และขั้นตอนการดําเนินงานเกี่ยวกับระบบสารสนเทศที่ครอบคลุมตั้งแต่การพัฒนา การบํารุงรักษา การรักษาความปลอดภัย จนถึงการปรับปรุงหรือเปลี่ยนแปลงระบบงานให้เป็นมาตรฐาน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องจัดให้มีระบบสารสนเทศเพื่อการบริหารที่ประกอบด้วย คุณสมบัติที่สําคัญ 5 ประการ ดังนี้

1) ทันกาล (timeliness) องค์กรควรมีระบบการรายงานที่สามารถจัดหา และส่งข้อมูลที่เป็นปัจจุบันไปยังผู้ใช้อย่างรวดเร็ว ทันต่อการตัดสินใจ ระบบดังกล่าวควรเก็บข้อมูล สรุปผล หรือปรับแก้ไขข้อผิดพลาดที่เกิดขึ้นได้อย่างรวดเร็ว

(2) ความถูกต้อง (accuracy) ควรมีการตรวจสอบข้อมูลนําเข้า ระบบ สารสนเทศ และผลลัพธ์ เพื่อให้มั่นใจว่ามีการประมวลผลข้อมูลอย่างถูกต้อง โดยกําหนดให้มีระบบการควบคุมภายใน การตรวจสอบและประเมินโดยผู้ตรวจสอบภายในและภายนอก และมีการสอบทาน อย่างต่อเนื่อง

(3) ความสม่ำเสมอ (consistency) การรวบรวมและประมวลผลข้อมูลควรมีความสม่ำเสมอและเป็นรูปแบบเดียวกัน เพื่อประโยชน์ในการเปรียบเทียบผลการดําเนินงานระหว่าง ฝ่ายงาน การวิเคราะห์ข้อมูลและแนวโน้มที่เปลี่ยนแปลงไป ทั้งนี้ ขั้นตอนการรายงานและรวบรวมข้อมูลอาจเปลี่ยนแปลงได้ตามความเหมาะสม คณะกรรมการฯ หรือคณะกรรมการ ที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดวิธีปฏิบัติและขั้นตอนการเปลี่ยนแปลงระบบดังกล่าว เป็นลายลักษณ์อักษร และสื่อสารให้เจ้าหน้าที่ที่เกี่ยวข้องรับทราบโดยทั่วถึง

(4) ความสมบูรณ์ของข้อมูล (completeness) รายงานควรมีลักษณะที่กระชับครบถ้วน เพื่อให้คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีข้อมูลที่ครบถ้วนและสอดคล้องกับประเด็นที่ต้องการตัดสินใจหรือแก้ปัญหา

(5) ความเกี่ยวข้อง (relevance) ข้อมูลที่เสนอคณะกรรมการฯ หรือ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องสอดคล้องและเหมาะสมกับระดับชั้นของผู้รับข้อมูล และต้องมีข้อมูลสําคัญที่จําเป็นต่อการตัดสินใจรวมอยู่ด้วยเสมอ

รายงานการติดตาม ในการประเมินความเพียงพอ และความเหมาะสมของการติดตามความเสี่ยงและรายงานต่าง ๆ ที่เสนอต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และ ผู้บริหารระดับสูง รวมทั้งระบบข้อมูลสารสนเทศขององค์กร ฝ่ายงานต่าง ๆ ควรพิจารณาปัจจัยดังต่อไปนี้

1) วิธีการติดตามความเสี่ยงและรายงานความเสี่ยง ครอบคลุมความเสี่ยงทุกด้านและเป็นลายลักษณ์อักษร

2) ข้อมูลและวิธีปฏิบัติงานมีความเหมาะสม เป็นลายลักษณ์อักษร และมีการทดสอบความน่าเชื่อถืออย่างสม่ำเสมอ

3) รายงานผลการดําเนินงาน และการสื่อสารภายในองค์กร มีความเหมาะสมกับปริมาณและความซับซ้อนของธุรกรรมขององค์กร

4) มีการจัดทํารายงานที่เสนอต่อคณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงที่ถูกต้อง ทันกาล และมีข้อมูลเพียงพอต่อการประเมินแนวโน้มและระดับความเสี่ยงขององค์กร

ครั้งหน้าเราไปติดตามการควบคุมความเสี่ยงกันครับ

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: การจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ, การตรวจสอบความเสี่ยงด้านกลยุทธ์, การติดตาม, การรายงานความเสี่ยง, ความเสี่ยงกับการติดตามและตรวจสอบ, ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ, มุมมองของการตรวจสอบความเสี่ยงด้านกลยุทธ์, รายงานการติดตาม
No Comments

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 9

เมษายน 5th, 2011 Metha Suvanasarn

ในครั้งก่อน ๆ ผมได้กล่าวถึงการทบทวนและการวางแผนกลยุทธ์ ซึ่งต้องมีกระบวนการวางแผนกลยุทธ์ที่ดีอย่างต่อเนื่อง ดังที่ได้เล่าสู่กันฟังในตอนที่แล้ว สำหรับครั้งนี้ผมจะขอเล่าถึงรายละเอียดที่เป็นเรื่องเกี่ยวกับการจัดทำแผนการดำเนินงานและงบประมาณ ซึ่งเป็นส่วนหนึ่งในการบริหารจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการติดตามของผู้บริหารและการตรวจสอบ โดยที่ผู้บริหารสามารถกำหนดวิธีการบริหารแผนการดำเนินงานและงบประมาณได้ 2 ลักษณะ หรือจะเป็นในลักษณะของการผสมผสาน เพือให้เหมาะสมและสอดคล้องกับแผนกลยุทธ์ ตามที่ผมจะได้กล่าวถึงต่อไปนี้

กระบวนการจัดทําแผนดําเนินงานและงบประมาณ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงมีหน้าที่รับผิดชอบในการจัดทําแผนดําเนินงานและงบประมาณรวม ขณะเดียวกันฝ่ายงานต่าง ๆ มีหน้าที่จัดทําแผนดําเนินงานและงบประมาณที่สอดคล้องกับแผนดําเนินงานและงบประมาณรวม แยกเป็นรายเดือน รายไตรมาส หรือรายปี โดยแผนดําเนินงานและงบประมาณอาจจัดทําโดยวิธีการบริหารแบบบนลงล่าง (top down approach) วิธีการบริหารแบบล่างขึ้นบน (bottom up approach) หรือ วิธีผสมของทั้ง 2 วิธี

โดย (1) วิธีการบริหารแบบบนลงล่าง เป็นกระบวนการจัดทําแผนกลยุทธ์ โดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มอบหมายและจัดสรรเป้าหมายการปฏิบัติงานให้ฝ่ายงานต่าง ๆ ตามความเหมาะสม ซึ่งมีข้อดี คือ สะดวกต่อการวางแผนและควบคุมงบประมาณ แต่ก็มีข้อเสีย คือ แผนกลยุทธ์ที่จัดสรรอาจไม่สะท้อน ความเป็นจริง หรือไม่สอดคล้องกับศักยภาพของแต่ละฝ่ายงาน หรือเป็นไปได้ยากที่จะปฏิบัติให้สําเร็จตามแผนกลยุทธ์

(2) วิธีการบริหารแบบล่างขึ้นบน เป็นกระบวนการจัดทําแผนดําเนินงานและงบประมาณจากแต่ละฝ่ายงานรวมเป็นแผนกลยุทธ์ ซึ่งมีข้อดี คือ ฝ่ายงานสามารถกําหนดเป้าหมายและจัดสรรทรัพยากร เพื่อมุ่งปฏิบัติให้บรรลุตามแผนกลยุทธ์ที่ตนกําหนดได้เต็มที่ ข้อเสีย คือ วิธีการบริหารแบบล่างขึ้นบน จะปฏิบัติได้ยากกว่าวิธีการบริหารแบบบนลงล่าง เนื่องจากอาจเกิดปัญหาทรัพยากรไม่เพียงพอสําหรับทุกหน่วยงาน และแผนดําเนินงานและงบประมาณของแต่ละฝ่ายไม่สอดคล้องกันทั้งในภาพรวมและระดับฝ่ายงาน

ในการประเมินความเหมาะสมของการวางแผนกลยุทธ์องค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องสอบทานแผนดําเนินงานและงบประมาณควบคู่กันไป ซึ่งจะช่วยให้ทราบถึงแผนธุรกิจในอนาคตและสาระสําคัญอื่น ๆ เช่น ความเพียงพอของทรัพยากร สภาพคล่อง แหล่งได้มาและใช้ไปของเงินทุน ระดับและคุณภาพของรายได้ และประสิทธิภาพของการบริหารงาน โดยการประเมินความเหมาะสมของแผนดําเนินงานและงบประมาณควรคํานึงถึงประเด็นดังนี้

(1) แผนดําเนินงานและงบประมาณ องค์กรสามารถใช้งบประมาณเพื่อประมาณการและควบคุมการดําเนินงานทั้งหมดหรือบางส่วน รวมทั้งวัดประสิทธิภาพของผู้บริหารในการตัดสินใจ การจัดทําแผน และการปฏิบัติงาน โดยการเปรียบเทียบงบประมาณกับผลการดําเนินงานจริง เช่น การจัดทํา งบประมาณและประมาณการระยะยาว 4 หรือ 5 ปี ถ้าเปรียบเทียบผลการดําเนินงานที่เกิดขึ้นจริงกับประมาณการระยะยาว จะแตกต่างมากกว่าการเปรียบเทียบกับประมาณการระยะสั้น เนื่องจากสภาพแวดล้อมที่เปลี่ยนแปลง เช่น สภาพการแข่งขัน ปัจจัยทางเศรษฐกิจ และสภาพแวดล้อมอื่น ๆ เป็นต้น จึงควรมีการทบทวนประมาณการระยะยาวอย่างน้อยทุกปี เพื่อจะได้ปรับปรุงแผนตามการเปลี่ยนแปลงอย่างเหมาะสม และเพื่อให้สามารถติดตามการดําเนินงานอย่างใกล้ชิด และปรับตัวได้อย่างรวดเร็ว องค์กรควรทบทวนประมาณการระยะสั้น อย่างน้อยทุกเดือนหรือทุกไตรมาส เพื่อเสนอข้อมูลต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง

ทั้งนี้ การวัดและประเมินผลสําเร็จเพื่อกําหนดผลตอบแทน ควรขึ้นอยู่กับงบประมาณ หรือประมาณการที่ได้รับอนุมัติจากคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงอย่างเป็นทางการในครั้งแรก ก่อนการทบทวนประมาณการเพื่อสะท้อนศักยภาพในการทํางานจริง นอกจากนี้ องค์กรควรจัดทําประมาณการภายใต้สมมติฐานที่แตกต่างกัน โดยใช้สถานการณ์ที่ไม่ปกติในระดับต่าง ๆ ตามการวิเคราะห์แนวโน้มทางเศรษฐกิจ และประสบการณ์ในการดําเนินธุรกิจ

(2) ความสอดคล้องของแผนดําเนินงานและงบประมาณกับแผนกลยุทธ์ แผนดําเนินงานและงบประมาณของแต่ละฝ่ายงาน ควรสอดคล้องกับแผนกลยุทธ์และงบประมาณรวมขององค์กร ทั้งนี้ เมื่อพบว่าเกิดความไม่สอดคล้องกันขึ้น ผู้บริหารในแต่ละฝ่ายงานควรชี้แจงปัญหาและอุปสรรคในการปฏิบัติตามแผนดังกล่าว พร้อมทั้งมาตรการรองรับให้คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้ริหารระดับสูงทราบ เพื่อจัดทําแผนรองรับการดําเนินธุรกิจโดยรวมต่อไป

(3) ความสมเหตุสมผลของสมมติฐานในการจัดทําแผนดําเนินงาน และ งบประมาณ การพิจารณาความสมเหตุสมผลของสมมติฐานที่ใช้ จะพิจารณาจากข้อมูลที่ใช้เป็นพื้นฐานในการกําหนดสมมติฐานว่า ต้องมีความน่าเชื่อถือ มีจํานวนมากเพียงพอ และไม่ล้าสมัย รวมทั้งสอดคล้องหรือเป็นไปในทิศทางเดียวกับข้อมูลที่ใช้จัดทําแผนกลยุทธ์

(4) ความเพียงพอของงบประมาณที่จัดสรรสําหรับงานด้านบริหารและสนับสนุน คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรให้ความสําคัญกับหน่วยงานสนับสนุน รวมทั้งจัดสรรงบประมาณให้อย่างเพียงพอเช่นเดียวกับสายงานหลัก และควรปรับปรุงระบบการบริหารความเสี่ยง ระบบสารสนเทศและการรายงานอย่างต่อเนื่อง

(5) การติดตามผลการดําเนินงานจริง เมื่อเปรียบเทียบกับแผนดําเนินงานและงบประมาณ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีหน้าที่ติดตามผลการดําเนินงานจริงเปรียบเทียบกับแผนดําเนินงานและงบประมาณอย่างสม่ำาเสมอ รวมทั้งวิเคราะห์สาเหตุที่เกิดผลแตกต่างอย่างมีนัยสําคัญ และกําหนดแนวทางแก้ไข การเปรียบเทียบดังกล่าว สามารถใช้ประเมินความสําเร็จโดยรวมขององค์กรและฝ่ายงานต่าง ๆ ได้เป็นอย่างดี

(6) ความเหมาะสมของผลตอบแทน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดนโยบายการให้ผลตอบแทนอย่างเหมาะสมและสอดคล้องกับผลการปฏิบัติงานจริง เมื่อเปรียบเทียบกับแผนดําเนินงานและงบประมาณที่กําหนดไว้ รวมทั้งมีการประกาศให้มีการปฏิบัติและทราบโดยทั่วกัน

เมื่อได้กำหนดกระบวนการจัดทำแผนการดำเนินงาน มีการวางแผนงบประมาณเพื่อให้สอดคล้องกับแผนกลยุทธ์และสามารถปฏิบัติงานตามแผนที่วางไว้ ยังมีสิ่งหนึ่งที่ผู้บริหารจำเป็นต้องติดตามและตรวจสอบ ที่จะขาดเสียมิได้นั่นก็คือ การติดตามและการรายงานความเสี่ยง ซึ่งผมจะขอนำไปเล่าสู่กันฟังในครั้งหน้านะครับ

Posted in IT Audit, ITG และองค์ประกอบที่เกี่ยวข้อง, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags: การจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ, การตรวจสอบความเสี่ยงด้านกลยุทธ์, ความเสี่ยงกับการติดตามและตรวจสอบ, ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ, มุมมองของการตรวจสอบความเสี่ยงด้านกลยุทธ์
No Comments

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 8

มีนาคม 28th, 2011 Metha Suvanasarn

ในเรื่องของมุมมองของการติดตามการบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์ ได้นำเสนอมาถึงตอนที่ 8 นี้ ซึ่งผมจะขอเล่าต่อถึงความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ โดยได้เล่าถึงแนวทางการบริหารความเสี่ยงด้านกลยุทธ์ที่ดี ที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงขององค์กร ควรจะต้องพิจารณาในแง่มุมต่่าง ๆ ที่แยกย่อยลึกลงไป

ทั้งนี้ ได้กล่าวถึงการระบุและวัดความเสี่ยงด้านกลยุทธ์ที่เป็นสิ่งสำคัญแรก ที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องตระหนักและพิจารณา รวมถึงแผนดำเนินงานและกระบวนการจัดทำแผนดำเนินงาน ที่สอดคล้องกับแผนกลยุทธ์ตามที่กำหนดไว้ และนอกจากจะมีการวางแผนกลยุทธ์ที่ดีอย่างต่อเนื่อง และมีการทบทวนแผนกลยุทธ์หลัก ๆ 5 ด้าน ตามที่ได้กล่าวไว้ในครั้งที่แล้ว ยังต้องมีกระบวนการวางแผนกลยุทธ์ที่ดีดังที่จะได้กล่าวต่อไปนี้ครับ

กระบวนการวางแผนกลยุทธ์ ซึ่งเป็นการกำหนดทิศทางการดำเนินธุรกิจในอนาคตก็เป็นอีกหนึ่งหน้าที่ความรับผิดชอบ ของคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง เพราะหากกระบวนการวางแผนไม่เหมาะสม สมมติฐานที่ใช้ไม่สมเหตุสมผล หรือแผนกลยุทธ์มีจุดอ่อน อาจทำให้องค์กรประสบความล้มเหลวได้ ดังนั้น องค์กรควรสนับสนุนให้มีกระบวนการวางแผนกลยุทธ์ และการนำไปปฏิบัติที่เหมาะสมในประเด็นต่าง ๆ ดังนี้

- การสนับสนุนหรือการมีส่วนร่วมของคณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ซึ่งคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีหน้าที่และความรับผิดชอบโดยตรงเกี่ยวกับกระบวนการวางแผนกลยุทธ์ และการนำแผนกลยุทธ์ไปปฏิบัติ จึงต้องมีส่วนร่วมอย่างเต็มที่ และตัดสินใจด้วยความระมัดระวัง บนพื้นฐานของข้อมูลที่ได้รับจากเจ้าหน้าที่ภายในองค์กรและผลการวิจัยตลาด เพื่อให้แน่ใจว่าแผนดังกล่าวมีความเป็นไปได้และเหมาะสม ทั้งนี้ แผนกลยุทธ์และวิธีการประเมินผลการปฏิบัติงาน ควรได้รับการอนุมัติและทบทวนโดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงอย่างต่อเนื่อง เพื่อพิจารณาถึงความเหมาะสมและความสอดคล้องกันระหว่างแผนกลยุทธ์ แผนดำเนินงานและผลการวิเคราะห์ต่าง ๆ

- การมีส่วนร่วมของบุคลากรจากฝ่ายงานต่าง ๆ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงที่รับผิดชอบกระบวนการวางแผนกลยุทธ์ ควรประกอบด้วยสมาชิกจากหลายฝ่ายงาน ทั้งจากฝ่ายงานหลักและฝ่ายงานสนับสนุนอื่น เพื่อกำหนดกรอบ หรือแนวทาง ที่ฝ่ายงานหลักและฝ่ายงานสนับสนุนสามารถปฏิบัติงานร่วมกัน เพื่อบรรลุเป้าหมายรวมขององค์กร โดยมิให้บุคคลใด หรือฝ่ายงานใด ครอบงำการจัดทำแผนกลยุทธ์ ดังนั้น การประสานงานจึงเป็นสิ่งจำเป็น เนื่องจากฝ่ายงานต่าง ๆ จะต้องร่วมกันปฏิบัติตามแผน และที่สำคัญคือ พนักงานทุกคนต้องตระหนักถึงความสำคัญของแผนงาน ให้ความร่วมมือ หรือมีส่วนร่วมในการให้ความเห็น ซึ่งจะทำให้ผู้บริหารมีโอกาสที่จะให้ และรับข้อมูลสนับสนุนการกำหนดแผนกลยุทธ์ได้อย่างมีประสิทธิภาพยิ่งขึ้น

- ความเพียงพอของข้อมูลที่ใช้จัดทำสมมติฐาน ข้อมูลสนับสนุนที่ใช้จัดทำสมมติฐานต้องเชื่อถือได้ และเพียงพอต่อการตัดสินใจของผู้บริหาร เพื่อสนับสนุนการวิเคราะห์และกำหนดสมมติฐานที่สมเหตุสมผล โดยข้อมูลอาจได้มาจาก

การประเมินปัจจัยทางเศรษฐกิจ ซึ่งหากองค์กรไม่มีการรวบรวมและวิเคราะห์ข้อมูลทางการตลาด ปัจจัยภายในและปัจจัยภายนอกอื่น ๆ ที่ละเอียดรอบคอบ จะไม่สามารถกำหนดสมมติฐาน เพื่อใช้ในการวางแผนได้อย่างครอบคลุม และใกล้เคียงเหตุการณ์จริง ซึ่งอาจทำให้ไม่สามารถดำเนินการให้บรรลุเป้าหมายได้

สถานะขององค์กรเปรียบเทียบกับคู่แข่ง เพื่อระบุจุดแข็งและจุดอ่อน โอกาสและอุปสรรค โดยคำนึงถึงการเปลี่ยนแปลงสภาพแวดล้อมและแนวโน้มในอนาคต อันจะส่งผลกระทบต่อองค์กร

ภาวะการแข่งขันในปัจจุบันและแนวโน้มของตลาด ได้แก่ รายละเอียดของคู่แข่งในตลาด อาทิ ขนาดสินทรัพย์ โครงสร้าง รูปแบบการเติบโต ธุรกิจหลัก จุดแข็งและจุดอ่อนของคู่แข่ง รวมทั้งส่วนแบ่งตลาดจำแนกตามประเภทผลิตภัณฑ์และสายธุรกิจ องค์กรควรประเมินสภาวะตลาดอย่างต่อเนื่อง โดยเฉพาะเมื่อมีการเปลี่ยนแปลงที่สำคัญ

ความต้องการของลูกค้า โดยพิจารณาโครงสร้างประชากร รายได้ และพฤติกรรมของลูกค้า เพื่อให้ทราบลักษณะตลาดในปัจจุบันและกลุ่มลูกค้าเป้าหมาย ระยะเวลาความต้องการสินค้า และแนวโน้มตลาดในอนาคต ทั้งนี้ ควรมีการทำวิจัยอย่างต่อเนื่อง เพื่อให้ แน่ใจว่าองค์กรมีการเตรียมพร้อม และสามารถตอบสนองต่อการเปลี่ยนแปลงของคู่แข่งและตลาดได้ทันกาล ซึ่งการวิจัยอาจกระทำโดยองค์กรเองหรือบริษัทวิจัยภายนอก

- ความสอดคล้องระหว่างแผนดำเนินงานกับวัตถุประสงค์โดยรวมขององค์กร เป้าหมายการปฏิบัติการควรสอดคล้องกับแผนกลยุทธ์และวัตถุประสงค์โดยรวมขององค์กร รวมทั้งการจัดทำแผนดำเนินงาน ควรสอดคล้องกับการจัดสรร งบประมาณและแหล่งเงินทุนที่องค์กรมีอยู่ด้วย นอกจากนี้ ควรกำหนดเกณฑ์วัดที่ใช้เปรียบเทียบผลการดำเนินงานจริงกับแผนดำเนินงาน เพื่อช่วยประเมินความสำเร็จตามแผน และกำหนดกรอบระยะเวลาดำเนินการในแต่ละขั้นตอนอย่างชัดเจน รวมทั้ง หากผล การประเมินเบี่ยงเบนไปจากที่คาดการณ์ไว้ ควรปรับเปลี่ยนแผนดำเนินงานให้สอดคล้องกับสภาพแวดล้อมหรือสถานการณ์ที่เปลี่ยนไป

- ความเป็นไปได้ของแผนกลยุทธ์ องค์กรควรกำหนดเป้าหมายให้สอดคล้องกับความสามารถ ศักยภาพ ส่วนแบ่งตลาด และภาวะการแข่งขันในปัจจุบัน ทั้งนี้ แผนกลยุทธ์ที่มีเป้าหมายกว้างเกินไป หรือไม่มีทิศทางที่ชัดเจน อาจทำให้การกำหนดแผนดำเนินงาน และแผนปฏิบัติการเป็นไปได้ยาก และไม่สามารถกำหนดเกณฑ์วัดผลการดำเนินงานได้อย่างเหมาะสม

- การประเมินผลการดำเนินงานจริงเปรียบเทียบกับแผนกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรวัดและประเมินผลการดำเนินงานจริง เปรียบเทียบกับแผนกลยุทธ์เป็นระยะ เพื่อติดตามและปรับเปลี่ยนแผนดำเนินงานให้เหมาะสม และสอดคล้องกับการเปลี่ยนแปลง โดยควรกำหนดเกณฑ์การประเมินผลการปฏิบัติที่สามารถวัดได้ และความถี่ในการประเมินผลที่เหมาะสม พร้อมทั้งพิจารณาทางเลือกที่สอดคล้องกับสถานการณ์ในแต่ละช่วงเวลา เพื่อใช้เป็นข้อมูลในการปรับแผนดำเนินงานต่อไป

ครั้งหน้าเราจะไปติดตามแผนดำเนินงานและกระบวนการจัดทำแผนดำเนินงาน ที่สอดคล้องกับแผนกลยุทธ์ตามที่กำหนดไว้กันครับ

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags: การจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ, การตรวจสอบความเสี่ยงด้านกลยุทธ์, ความเสี่ยงกับการติดตามและตรวจสอบ, ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ, มุมมองของการตรวจสอบความเสี่ยงด้านกลยุทธ์
No Comments

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 7

มีนาคม 16th, 2011 Metha Suvanasarn

ความเข้าใจและคำแนะำนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในหลาย ๆ ตอนที่ผ่านมา ผมได้เล่าสู่กันฟังในเรื่องที่เกี่ยวข้องกับมุมมองของการติดตามการบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์ ซึ่งในครั้งที่แล้วได้เล่าถึงความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ โดยทิ้งท้ายไว้ในเรื่องของแนวทางการบริหารความเสี่ยงทางด้านกลยุทธ์ที่ดี ที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงขององค์กร ควรจะต้องพิจารณาในแง่มุมต่่าง ๆ ที่มีรายละเอียดที่ลึกลงไป ซึ่งผมขอนำมาเล่าสู่กันฟังต่อในครั้งนี้นะครับ

แนวทางการบริหารความเสี่ยงด้านกลยุทธ์ที่ดี ที่คณะกรรมการฯ และผู้บริหารระดับสูงขององค์กร ควรพิจารณามีดังนี้

1. การระบุและการวัดความเสี่ยง เป็นการตระหนักถึงความเสี่ยงที่องค์กรกำลังเผชิญอยู่และความเสี่ยงที่อาจเกิดขึ้นในอนาคต โดยองค์กรควรระบุและวัดความเสี่ยงอย่างต่อเนื่อง เพื่อติดตามผลกระทบที่เกิดขึ้นจากสถานการณ์ที่เปลี่ยนแปลงไป ซึ่งการระบุและการวัดความเสี่ยงด้านกลยุทธ์จะต้องพิจารณาถึง การวางแผน กลยุทธ์ กระบวนการวางแผนกลยุทธ์ และความสมเหตุสมผลของแผนกลยุทธ์

นอกจากนั้น ยังต้องพิจารณารวมถึงแผนดำเนินงานและกระบวนการจัดทำแผนดำเนินงานว่า สอดคล้องกับแผนกลยุทธ์ที่กำหนดไว้หรือไม่ เพียงใด ซึ่งทั้งแผนกลยุทธ์และแผนดำเนินงานจะต้องสอดคล้องกับขอบเขต ความซับซ้อนของธุรกิจ สภาวะแวดล้อมภายนอก และปัจจัยภายในขององค์กร เพื่อบรรลุเป้าหมายทางธุรกิจและจัดการปัญหาขององค์กรได้

ปัจจุบันการเปลี่ยนแปลงของโครงสร้างระบบองค์กร ขอบเขตการดำเนินธุรกิจขององค์กร เทคโนโลยี ความผันผวนของภาวะตลาด การแข่งขันที่เพิ่มขึ้นและนวัตกรรมใหม่ ๆ ก่อให้เกิดความเสี่ยงมากขึ้น ดังนั้น คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงขององค์กร จำเป็นต้องมีการวางแผนที่ดีอย่างต่อเนื่อง พร้อมทั้งทบทวนแผนกลยุทธ์ เมื่อภาวะแวดล้อมเปลี่ยนไป อันได้แก่ การวางแผนกลยุทธ์ การจัดองค์กร การจัดอัตรากำลัง การสั่งการ และการควบคุมการปฏิบัติงาน เพื่อให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพ สามารถบรรลุวัตถุประสงค์และเป้าหมายที่กำหนด

- การวางแผนกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับ มอบหมาย และผู้บริหารระดับสูง ต้องกำหนดทิศทางการดำเนินธุรกิจในอนาคตขององค์กร และวางแผนให้สอดคล้องกับสภาพแวดล้อมและสถานการณ์ที่เปลี่ยนแปลงไป นอกจากนี้ ต้องกำหนดแผนดำเนินงาน กลุ่มลูกค้าเป้าหมาย และวิธีประเมินผลการปฏิบัติตามแผน รวมทั้งระบบการบริหารความเสี่ยง ระบบเทคโนโลยีสารสนเทศ และระบบสนับสนุนอื่น เพื่อควบคุมความเสี่ยงด้านกลยุทธ์ด้วย

- การจัดองค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องจัดองค์กรและกำหนดวิธีการปฏิบัติงานที่เอื้อต่อการปฏิบัติตามแผนกลยุทธ์ และจัดให้มีการสอบยันและถ่วงดุลอำนาจ (Check and Balance) อย่างเหมาะสม

- การจัดอัตรากำลัง คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องดำเนินการให้มีการจัดสรรอัตรากำลังให้เหมาะสมกับคุณสมบัติ และหน้าที่ตำแหน่งงานที่รับผิดชอบ เพื่อให้การปฏิบัติตามแผนกลยุทธ์เป็นไปอย่างมีประสิทธิภาพ และสอดคล้องกับการเปลี่ยนแปลงรูปแบบการจัดองค์กร รวมทั้งกำหนดระบบการสรรหา การฝึกอบรม และการกำหนดผลตอบแทนที่สนับสนุนให้พนักงานปฏิบัติตามแผนกลยุทธ์ เพื่อบรรลุเป้าหมายขององค์กร

- การสั่งการ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องสั่งการเพื่อให้การดำเนินการขององค์กรเป็นไปตามเป้าหมาย โดยกำหนดสายการบังคับบัญชาที่ชัดเจนและเปิดเผย ซึ่งจะช่วยให้มีการตัดสินใจ การตอบสนองการวัดและประเมินผลที่รวดเร็ว และมีประสิทธิภาพ

- การควบคุมและติดตามการปฏิบัติงาน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องจัดให้มีกลไกการควบคุมการปฏิบัติตามแผนกลยุทธ์ที่มีประสิทธิผล ซึ่งสามารถตรวจพบกรณีที่มีการเบี่ยงเบนไปจากแผน และเสนอแนวทางแก้ไขได้ทันท่วงที โดยมีระบบการรายงานรายละเอียดความคืบหน้าในการปฏิบัติตามแผนและวัตถุประสงค์ พร้อมเปรียบเทียบผลการปฏิบัติจริงกับแผนดำเนินงานและงบประมาณ รวมทั้งควรมีแผนรองรับการดำเนินธุรกิจ (ฺBusiness Continuity Planning – BCP) สำหรับสถานการณ์ที่ไม่ปกติ เพื่อรองรับการเปลี่ยนแปลงสภาพแวดล้อมที่ไม่เป็นไปตามที่คาดไว้

ท่านผู้บริหาร และผู้ตรวจสอบทุกท่านสามารถติดตามความเข้าใจและคำแนะำนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบต่อได้ในตอนต่อไปนะครับ

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 6

มีนาคม 10th, 2011 Metha Suvanasarn

ผมได้เล่าสู่กันฟังในเรื่องที่เกี่ยวข้องกับมุมมองของการติดตามการบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์มา 5 ตอนแล้วนะครับ ท่านผู้บริหารและท่านผู้ตรวจสอบอาจจะสนใจลึกลงไปมากกว่าที่ได้กล่าวมาแล้วในตอนต้น ๆ ว่า การจัดการบริหารความเสี่ยงด้านกลยุทธ์ที่ดี ที่ผู้บริหารพึงใช้ในการติดตาม (Monitor) และผู้ตรวจสอบที่จะประเมินผลการควบคุมความเสี่ยงทางด้านกลยุทธ์ที่มีอยู่โดยองค์กรนั้น เป็นการควบคุมที่เหมาะสมและพอเพียงหรือไม่ ควรจะพิจารณาในมุมมองใดบ้าง เพื่อที่ผู้บริหารและผู้ตรวจสอบอาจจะทำการประเมินตนเองเพื่อการควบคุมภายในว่า องค์กรมีการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสมในปัจจุบันแล้วหรือยัง

แนวคิดดังกล่าวข้างต้นอาจจะอธิบายได้เพิ่มเติมบางมุมมอง ซึ่งขึ้นกับลักษณะและขนาด รวมทั้งความซับซ้อนของธุรกิจ + โครงสร้างของธุรกิจที่สัมพันธ์กับวัฒนธรรม และความเชื่อในการบริหารความเสี่ยง รวมทั้งการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่ผู้บริหารและผู้ตรวจสอบควรจะทำความเข้าใจในสภาพแวดล้อมในองค์กรของท่านตามที่กล่าวไปแล้วผสมผสานกับคำแนะนำเกี่ยวกับการบริหารความเสี่ยงทางด้านกลยุทธ์และการควบคุมดังนี้

ความเสี่ยงด้านกลยุทธ์ ควรจะเข้าใจตรงกันว่า เป็นความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงาน และการนำไปปฏิบัติ ไม่เหมาะสมหรือสอดคล้องกับสภาพแวดล้อมภายนอกและปัจจัยภายใน ซึ่งอาจส่งผลกระทบต่อการกำหนดทิศทาง แผนการดำเนินงาน และแผนปฏิบัติการในแต่ละหน่วยธุรกิจขององค์กร

ดังนั้น จึงมีความจำเป็นที่คณะกรรมการฯ และผู้บริหารระดับสูงขององค์กร จะต้องมีการกำหนดแนวทางในการจัดการความเสี่ยงอย่างมีประสิทธิภาพ และเหมาะสมกับสภาพแวดล้อมในการดำเนินธุรกิจ เพื่อให้มั่นใจว่า ความเสี่ยงอยู่ในระดับที่ยอมรับได้ และมีระบบบริหารความเสี่ยงที่เพียงพอในการระบุ วัด ติดตาม และควบคุมความเสี่ยงได้

ทั้งนี้ คณะกรรมการองค์กร ผู้บริหารระดับสูง ซึ่งหมายถึง ผู้จัดการ รองผู้จัดการ ผู้ช่วยผู้จัดการ หรือผู้ที่มีตำแหน่งเทียบเท่าที่เรียกชื่อ เป็นอย่างอื่น ซึ่งมีอำนาจในการจัดการ 3 ลำดับแรก ขององค์กร และควรเข้าใจตรงกันว่า ผู้บริหาร หมายถึง ผู้มีอำนาจจัดการในลำดับถัดจาก 3 ลำดับแรก ตามที่กล่าวข้างต้น ทำหน้าที่ในการจัดการและสอดส่องดูแล การปฏิบัติงานให้เป็นไปตามกฎหมาย ข้อบังคับ และมติของที่ประชุมผู้ถือหุ้น

ดังนั้น คณะกรรมการฯ จึงต้องทำหน้าที่โดยซื่อสัตย์สุจริต และระมัดระวังในระดับที่พึงคาดหมายได้จากผู้มีผลประโยชน์ร่วม ในสถานภาพและสภาวการณ์เช่นเดียวกัน และผู้บริหารระดับสูงควรมีความรับผิดชอบในการบริหารเยี่ยงผู้ประกอบอาชีพ เพื่อประโยชน์สูงสุดขององค์กร ผู้ถือหุ้น และพนักงาน แม้ว่าหน้าที่และความรับผิดชอบของคณะกรรมการฯ และผู้บริหารระดับสูง อาจแตกต่างกันตามโครงสร้างองค์กร และอำนาจหน้าที่ที่กำหนดไว้

ในกรณีที่เกิดความเสียหาย คณะกรรมการฯ และผู้บริหารระดับสูงอาจต้องมีการรับผิดชอบเป็นการส่วนตัวทั้งทางแพ่งและทางอาญา รวมทั้งไม่อาจยกเอาการที่ตนมิได้มีหน้าที่เป็นกรรมการหรือผู้บริหาร และขาดข้อมูลเกี่ยวกับองค์กรขึ้นอ้าง เพื่อให้พ้นความรับผิดจากการไม่ปฏิบัติหน้าที่ดังกล่าว และ

ในทางปฏิบัติคณะกรรมการฯ อาจมอบอำนาจการจัดการบางเรื่อง ให้คณะกรรมการย่อยชุดต่าง ๆ หรือผู้บริหารบางรายพิจารณาและตัดสินใจ เพื่อความคล่องตัวในการดำเนินธุรกิจขององค์กร แต่อย่างไรก็ตาม คณะกรรมการฯ ที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องติดตามและสอดส่องให้มีการปฏิบัติตามกฎหมาย ระเบียบ และหลักเกณฑ์ของทางการที่เกี่ยวข้อง เช่น หน่วยงานที่กำกับดูแล เพื่อส่งเสริมให้มีการกำกับดูแลกิจการตามหลักธรรมาภิบาล (Corporate Governance) เป็นต้น

ทั้งนี้ แนวการบริหารความเสี่ยงทางด้านกลยุทธ์ที่ดี ที่องค์กรควรจะพิจารณาในแง่มุมต่าง ๆ ที่แยกย่อยลงไปยังมีรายละเอียด ที่คณะกรรมการ และผู้บริหาร ต้องทำความเข้าใจในเรื่องต่าง ๆ ซึ่งผมจะได้นำมาเล่าสู่กันฟังในตอนต่อไปนะครับ

itgthailand.com ย้าย host ใหม่

มีนาคม 3rd, 2011 Metha Suvanasarn

สวัสดีครับ ทุกท่าน ผมต้องขออภัยในความไม่สะดวก หลังจากที่ www.itgthailand.com แห่งนี้ ไม่สามารถเข้าใช้งานได้หลายวัน เพราะมีปัญหาในเรื่องของ host ทำให้ทุกท่านไม่สามารถติดตามเนื้อหา สาระ ข่าวสารความเคลื่อนไหวจากทางเว็บได้ ผมจึงขอแจ้งให้ทุกท่านทราบว่า ตอนนี้ www.itgthailand.com ได้ดำเนินการย้าย host ไปที่แห่งใหม่เรียบร้อย และสามารถใช้งานได้ตามปกติแล้วครับ โดยเราได้รับการเอื้อเฟื้อ และให้การช่วยเหลือเป็นอย่างดีจาก ดร. ปริญญา หอมอเนก และคุณนิพนธ์ จาก เอซิส โปรเฟสชั่นแนล เซ็นเตอร์ (ACIS Professional Center) สถาบันที่ให้ความรู้ที่หลากหลายทางด้าน Information Security/Technology+++ ผมต้องขอขอบคุณทั้ง 2 ท่าน เป็นอย่างยิ่ง รวมถึงคุณกฤษณีย์ เกียรติไพบูลย์ แห่ง วินท์คอม เทคโนโลยี (Vintcom Technology) ที่คอยอำนวยความสะดวกแก่เราเสมอมา ทำให้ www.itgthailand.com นี้ยังคงสามารถดำเนินงานเผยแพร่ข้อมูล ข่าวสาร และสาระประโยชน์ให้แก่สาธารณชนผู้สนใจทุกท่านได้ต่อไป

อย่างไรก็ตาม เพื่อมิให้ทุกท่านพลาดการติดตามเนื้อหา สาระประโยชน์ จาก itgthailand ผมจะ update ข้อมูลควบคู่ไปกับ www.itgthailand.wordpress.com อย่างสม่ำเสมอ เพื่อรองรับหากเกิดกรณีที่ไม่สามารถใช้งาน itgthailand.com ได้

ขอบคุณทุกท่านที่ติดตาม itgthailand ครับ

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, ITG และองค์ประกอบที่เกี่ยวข้อง, Non - IT Audit / การตรวจสอบโดยทั่วไป, คุยกับผู้เขียน, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags: itgthailand ย้าย host
No Comments

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 5

มีนาคม 3rd, 2011 Metha Suvanasarn

ห่างหายกันไปเป็นสัปดาห์เลยเชียวครับทุกท่าน จากปัญหา host ทำให้เราไม่สามารถเข้าใช้งานเว็บได้ เป็นเหตุให้ itgthailand.com ต้องย้าย host ใหม่ ผมดีใจที่ได้กลับมาพูดคุยกับทุกท่านผ่านทางเว็บนี้เหมือนเช่นเคย จากที่เราได้พูดคุยกันในเรื่องของความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบด้านกลยุทธ์ในหลาย ๆ ตอนที่ผ่านมา
และผมได้พูดถึงการจัดระดับความเสี่ยงกันไปแล้ว เรามาติดตามกันต่อไปว่าเมื่อมีการจัดระดับความเสี่ยงทางด้านกลยุทธ์แล้วนั้น องค์กรมีการจัดการกับความเสี่ยงที่เกิดขึ้นในแต่ละรูปแบบได้อย่างไร

การจัดการความเสี่ยงที่อยู่ในเกณฑ์ดี จะมีการบริหารกิจการตามหลักธรรมาภิบาลเป็นไปอย่างมีประสิทธิภาพ และมีความโปร่งใสในการเปิดเผยข้อมูล มีนโยบายและขั้นตอนการปฏิบัติงานสําหรับธุรกรรมที่ทําโดย หรือทําเพื่อบุคคลภายในองค์กรไว้อย่างชัดเจน เพื่อป้องกันปัญหาการปฏิบัติเพื่อผลประโยชน์ส่วนตน แทนที่จะคํานึงถึงผลประโยชน์ขององค์กรเป็นหลัก

การตัดสินใจทางกลยุทธ์สามารถปรับเปลี่ยนได้ โดยเกิดค่าใช้จ่ายเพียงเล็กน้อย และไม่มีอุปสรรค มีการจัดทําแผนฉุกเฉินสําหรับภาวะวิกฤติ โดยครอบคลุมเรื่องที่สําคัญและสื่อสารแผนให้ทราบทั่วทั้งองค์กร และมีการทดสอบแผนฉุกเฉินอย่างสม่ำเสมอ

องค์กรมีแผนฝึกอบรม และสร้างผู้บริหารทดแทนอย่างเป็นทางการ เพื่อให้การบริหารงานเป็นไปอย่างต่อเนื่อง ระบบสารสนเทศสามารถสนับสนุนการดําเนินการตามกลยุทธ์อย่างมีประสิทธิภาพ ผู้บริหารมีความสามารถสูงในการพัฒนาทิศทางกลยุทธ์ และเพิ่มประสิทธิภาพในการปฏิบัติตามกลยุทธ์และในการดําเนินงานขององค์กร จนประสบความสําเร็จตามเป้าหมายที่กําหนดไว้

คณะกรรมการองค์กรมีคุณสมบัติครบถ้วน มีประสบการณ์หลากหลาย และเข้าร่วมประชุมโดยสม่ำเสมอ ไม่มีผู้ใดมีอํานาจครอบงําผู้อื่น มีคณะกรรมการที่รับผิดชอบดูแลความเสี่ยงทั้งหมด

การจัดการความเสี่ยงที่อยู่ในเกณฑ์พอใช้ จะมีการบริหารกิจการตามหลักธรรมาภิบาล และมีความโปร่งใสในการเปิดเผยข้อมูล มีนโยบายและขั้นตอนการปฏิบัติงานสําหรับธุรกรรมที่ทําโดย หรือทําเพื่อบุคคลภายในองค์กรอย่างเพียงพอที่จะป้องกันปัญหาการปฏิบัติหน้าที่ โดยไม่ได้คํานึงถึงผลประโยชน์ขององค์กรเป็นหลัก

การตัดสินใจทางกลยุทธ์สามารถปรับเปลี่ยนได้ โดยไม่มีอุปสรรคหรือค่าใช้จ่ายที่มีนัยสําคัญ มีการจัดทําแผนฉุกเฉินสําหรับภาวะวิกฤติ ซึ่งครอบคลุมเรื่องที่สําคัญอย่างเพียงพอ แผนฉุกเฉินได้รับการทดสอบอย่างสม่ำเสมอและสื่อสารให้พนักงานได้รับทราบ

องค์กรมีแผนฝึกอบรม และสร้างผู้บริหารทดแทนอย่างเพียงพอ เพื่อให้การบริหารงานเป็นไปอย่างต่อเนื่อง ระบบสารสนเทศสามารถสนับสนุนการดําเนินการตามกลยุทธ์อย่างเพียงพอ ผู้บริหารแสดงให้เห็นถึงความสามารถในการดําเนินงาน ให้บรรลุตามเป้าหมายและวัตถุประสงค์ขององค์กร มีการตัดสินใจและการควบคุมที่ดีและสมเหตุผล

คณะกรรมการองค์กร มีคุณสมบัติเหมาะสมและมีประสบการณ์หลากหลาย โดยอาจไม่เข้าร่วมประชุมในบางครั้ง แตไม่มีผลกระทบที่มีนัยสําคัญ ไม่มีผู้ใดมีอํานาจครอบงําผู้อื่น ขอบเขตความรับผิดชอบของคณะกรรมการครอบคลุมการดูแลความเสี่ยงที่สําคัญ

การจัดการความเสี่ยงที่อยู่ในเกณฑ์อ่อน การบริหารงานจะไม่เป็นไปตามหลักธรรมาภิบาล การเปิดเผยข้อมูลไม้โปร่งใส ไม่มีนโยบายและขั้นตอนปฏิบัติงานสําหรับธุรกรรมที่ทําโดย หรือทําเพื่อบุคคลภายในองค์กรอย่างเพียงพอ ที่จะป้องกันปัญหาการปฏิบัติหน้าที่โดยไม่ได้คํานึงถึงผลประโยชน์ขององค์กรเป็นหลัก

การปรับเปลี่ยนการตัดสินใจทางกลยุทธ์ก่อให้เกิดอุปสรรคและค่าใช้จ่ายที่มีนัยสําคัญ ไม่ได้จัดทําแผนฉุกเฉินอย่างเพียงพอสําหรับภาวะวิกฤติ และไม่มีการทดสอบแผนฉุกเฉินเป็นระยะ ตลอดจนไม่ได้สื่อสารให้พนักงานทราบ

องค์กรไม่มีแผนการสร้างผู้บริหารทดแทน หรือมีแต่ขาดประสิทธิภาพ และไม่มีการฝึกอบรมอย่างเพียงพอที่จะช่วยให้การบริหารงานเป็นไปอย่างต่อเนื่อง ระบบสารสนเทศเพื่อการบริหารไม่ได้สนับสนุนการดําเนินการตามกลยุทธ์อย่างเพียงพอ ผู้บริหารไม่มีความสามารถในการดําเนินงานให้บรรลุเป้าหมายและวัตถุประสงค์ขององค์กร และไม่ประสบความสําเร็จในการตัดสินใจและ ควบคุมดูแลกิจการ

คณะกรรมการองค์กรมีคุณสมบัติที่ไม่เหมาะสม และมีประสบการณ์ไม่หลากหลาย ไม่เข้าร่วมประชุมบ่อยครั้ง และมีผู้มีอํานาจครอบงําผู้อื่น ขอบเขตความรับผิดชอบของคณะกรรมการไม่ครอบคลุมความเสี่ยงที่สําคัญ

เรื่องความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบด้านกลยุทธ์ยังไม่จบเพียงเท่านี้ ไปติดตามกันต่อในครั้งหน้านะครับ

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags: การตรวจสอบความเสี่ยงด้านกลยุทธ์, ความเสี่ยงกับการติดตามและตรวจสอบ, ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ, มุมมองของการตรวจสอบความเสี่ยงด้านกลยุทธ์
One Comment

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 4

กุมภาพันธ์ 17th, 2011 Metha Suvanasarn

ในการจัดระดับความเสี่ยงจะต้องปฏิบัติทั้งก่อนและหลังการตรวจสอบ โดยวัตถุประสงค์ของการจัดระดับก่อนการตรวจสอบนั้น ก็เพื่อระบุประเด็นที่มีความเสี่ยงตามข้อมูลที่มีอยู่ และเพื่อจัดสรรทรัพยากรและเวลาในการออกตรวจสอบให้สอดคล้องกัน ส่วนการจัดระดับภายหลังการตรวจสอบนั้น เพื่อระบุระดับความเสี่ยงขององค์กรที่บ่งชี้ถึง ระดับความสําคัญที่ผู้กํากับดูแลต้องให้ความเอาใจใส่ ติดตามและดําเนินมาตรการแก้ไข

การจัดระดับความเสี่ยงด้านกลยุทธ์
ระดับความเสี่ยงอยู่ในเกณฑ์ต่ำ การเปลี่ยนแปลงโครงสร้างองค์กร หรือผู้ที่อยู่ในตําแหน่งงานที่สําคัญ หลังจากการตรวจสอบครั้งก่อน มีผลกระทบต่อองค์กรเพียงเล็กน้อย องค์กรต้องมีการวางแผนกลยุทธ์ที่จะช่วยให้การบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิผล สมมติฐานหรือปัจจัยต่าง ๆ ที่ใช้ในการวางแผนกลยุทธ์ มีความสมเหตุสมผล และแผนสะท้อนให้เห็นถึงจุดแข็ง จุดอ่อน โอกาส อุปสรรค และตําแหน่งในตลาดขององค์กรเป็นอย่างดี

การวางแผนกลยุทธ์มีความน่าเชื่อถือ มีส่วนของผู้ถือหุ้นหรือมีเงินกองทุนที่มั่นคง บุคลากร ระบบงาน และการจัดการรองรับเพียงพอสําหรับอนาคต มีระบบการบริหารความเสี่ยงและแผนการดําเนินงานที่มีประสิทธิภาพ เป้าหมายกลยุทธ์มีความชัดเจน และสอดคล้องกับทิศทางการดําเนินธุรกิจและสภาพแวดล้อมที่เปลี่ยนแปลงไป มีการสื่อสารเป้าหมายกลยุทธ์และวัฒนธรรมองค์กรอย่างทั่วถึง และมีการปฏิบัติตามอย่างสม่ำเสมอ

การตัดสินใจทางกลยุทธ์ หรือการเปลี่ยนแปลงของปัจจัยภายนอก จะมีผลกระทบต่อองค์กรเพียงเล็กน้อย

ระดับความเสี่ยงอยู่ในเกณฑ์ปานกลาง การเปลี่ยนแปลงโครงสร้างองค์กร หรือผู้ที่อยู่ในตําแหน่งงานที่สําคัญ หลังจากการตรวจสอบครั้งก่อนมีผลกระทบต่อองค์กรพอสมควร โดยไม่มีนัยสําคัญ

องค์กรควรมีการวางแผนกลยุทธ์ที่จะช่วยให้มีการบริหารความเสี่ยงอย่างเพียงพอ สมมติฐานหรือปัจจัยต่าง ๆ ที่ใช้ในการวางแผนมีความสมเหตุสมผล และแผนสะท้อนให้เห็นถึงจุดแข็ง จุดอ่อน โอกาส อุปสรรค และตําแหน่งในตลาดขององค์กรอย่างเพียงพอ

การวางแผน และกําหนดกลยุทธ์ มีส่วนของผู้ถือหุ้นหรือมีเงินกองทุนที่มั่นคง บุคลากร ระบบงาน และการจัดการรองรับอย่างเพียงพอสําหรับอนาคต ระบบการบริหารความเสี่ยงและแผนการดําเนินงานมีความสอดคล้องกับกลยุทธ์ เป้าหมายกลยุทธ์อาจอยู่ในลักษณะเชิงรุก แต่สอดคล้องกับทิศทางการดําเนินธุรกิจ และตอบสนองต่อสภาพแวดล้อมที่เปลี่ยนแปลงไป มีการสื่อสารเป้าหมายกลยุทธ์และวัฒนธรรมองค์กรอย่างเหมาะสม และมีการนําไปปฏิบัติอย่างมีประสิทธิผลทั่วทั้งองค์กร

ผลกระทบจากการตัดสินใจทางกลยุทธ์ หรือการเปลี่ยนแปลงของปัจจัยภายนอก ไม่มีนัยสําคัญต่อองค์กร

ระดับความเสี่ยงอยู่ในเกณฑ์สูง การเปลี่ยนแปลงโครงสร้างองค์กร หรือผู้ที่อยู่ในตําแหน่งงานที่สําคัญ หลังจากการตรวจสอบครั้งก่อน มีผลกระทบที่มีนัยสําคัญต่อองค์กรเป็นอย่างมาก

การวางแผนกลยุทธ์ไม่ช่วยสนับสนุนให้การบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิผล สมมติฐานหรือปัจจัยต่าง ๆ ที่ใช้ในการวางแผนกลยุทธ์ไม่สมเหตุสมผล และแผนงานไม่ได้สะท้อนให้เห็นถึง จุดแข็ง จุดอ่อน โอกาส อุปสรรค และตําแหน่งในตลาดขององค์กรอย่างเพียงพอ

หุ้นส่วนหรือผู้ถือหุ้น บุคลากร ระบบงาน การจัดการ ระบบการบริหารความเสี่ยง และแผนการดําเนินงานไม่สามารถรองรับการปฏิบัติตามกลยุทธ์อย่างเพียงพอ เนื่องจากการเติบโตหรือการขยายตัวของธุรกิจที่มากเกินไป การขยายตัวนี้ หากเกิดขึ้นอย่างต่อเนื่องจะส่งผลกระทบต่อรายได้และเครดิตขององค์กร กลยุทธ์อาจไม่สอดคล้องกับทิศทางการดําเนินธุรกิจ หรือไม่สามารถตอบสนองต่อสภาพแวดล้อมที่เปลี่ยนแปลงไป ไม่มีการสื่อสารเป้าหมายกลยุทธ์ และวัฒนธรรมขององค์กรอย่างชัดเจนทั่วทั้งองค์กร ไม่ได้นํากลยุทธ์ไปปฏิบัติอย่างเพียงพอหรือนําไปปฏิบัติแต่ไม่มีประสิทธิผล

การตัดสินใจทางกลยุทธ์หรือการเปลี่ยนแปลงของปัจจัยภายนอก อาจก่อให้เกิดผลกระทบในทางลบอย่างมากต่อองค์กรอย่างมีนัยสำคัญ

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 3

กุมภาพันธ์ 11th, 2011 Metha Suvanasarn

ครั้งที่แล้วผมได้เกริ่นนำถึงมุมมองของการติดตามของผู้บริหารกับความเสี่ยง รวมทั้งวัตถุประสงค์ในการกำกับและติดตามการบริหารความเสี่ยงด้านกลยุทธ์ ซึ่งในสองสามตอนแรกนี้จะเป็นช่วงของการเกริ่นนำทั่ว ๆ ไป โดยรวม ๆ เพื่อก้าวไปสู่การบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์

เมื่อกล่าวถึงการบริหารความเสี่ยง และการตรวจสอบขององค์กรนั้น เราต้องไม่ลืมว่าการตรวจสอบโดยผู้ตรวจสอบภายในกับการติดตามการบริหารความเสี่ยงในแง่มุมต่าง ๆ ซึ่งในที่นี้จะเน้นที่เกี่ยวข้องกับกลยุทธ์นั้น ก็เป็นหน้าที่ของผู้บริหารเช่นเดียวกัน ซึ่งเรียกกันโดยทั่วไปว่า การติดตาม (Monitoring) นั่นเอง

การประเมิน ติดตาม และตรวจสอบการบริหารความเสี่ยงมีหลาย ๆ ด้านด้วยกัน แต่ในที่นี้ผมจะขอกล่าวถึงเฉพาะในมุมมองของความเสี่ยงด้านกลยุทธ์ ซึ่งในคำจำกัดความของความเสี่ยงด้านกลยุทธจะหมายถึง ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงานและการนำไปปฏิบัติไม่เหมาะสม หรือไม่สอดคล้องกับปัจจัยภายในและสภาพแวดล้อมภายนอก อันส่งผลกระทบต่อรายได้ หรือมุมมองอื่นของเป้าประสงค์ขององค์กร ไม่ว่าจะมองในมุมมองของ S – O – F – C ตามหลักการของ COSO หรือความเสี่ยง 5 – 7 ด้านของ ธปท. ที่มีผลกระทบต่อความสามารถในการดำรงอยู่ของกิจการ

โดยปกติแนวโน้มของความเสี่ยงถ้าเป็นสถาบันการเงิน หรือแม้กระทั่งองค์กรทั่วไป ก็จะมีผลมาจากปัจจัย 3 ประการ คือ การเปลี่ยนแปลงของปัจจัยภายนอก การเปลี่ยนแปลงปริมาณและความซับซ้อนของธุรกรรม และประสิทธิภาพของระบบบริหารความเสี่ยงที่มีอยู่มากกว่าจะมาจากปัจจัยภายในองค์กร

การมีแนวโน้มที่เพิ่มขึ้นอาจเกิดจากการที่ปัจจัยภายนอกเปลี่ยนแปลงไป เช่น การแข่งขันที่สูงขึ้นทำให้มีความเสี่ยงด้านกลยุทธ์ หรือความเสี่ยงด้านอื่น ๆ เพิ่มขึ้น แม้ว่าจะไม่มีการเปลี่ยนแปลงของปัจจัยภายในองค์กร ในกรณีดังกล่าว องค์กรจะต้องทำงานหนักและรัดกุมมากขึ้น เพื่อที่จะรักษาสถานภาพในการแข่งขันของตน ในขณะเดียวกันความผันผวนของตลาดที่เพิ่มขึ้น ทำให้เกิดความเสี่ยงด้านตลาดและความเสี่ยงด้านสภาพคล่องขององค์กร

แม้ว่าระบบที่มีอยู่ในปัจจุบันอาจเพียงพอที่จะจัดการกับความเสี่ยงในสถานการณ์ปกติ แต่อาจไม่เพียงพอเมื่อตลาดมีความผันผวนมากขึ้น ทำให้มีโอกาสที่จะเกิดความสูญเสียมากขึ้น ผู้ตรวจสอบต้องอาศัยข้อมูลภายนอก เช่น ข่าว รายงาน แนวโน้มอุตสาหกรรม และธุรกรรมขององค์กรเพื่อพิจารณาถึงความเสี่ยงที่อาจมีเพิ่มขึ้น

ความเสี่ยงที่เพิ่มขึ้นอาจเกิดจากการเปลี่ยนแปลงกลยุทธ์ หรือแผนงานธุรกิจขององค์กร ซึ่งอาจจะเกิดจากปัจจัยภายในก็ได้ในบางสถานการณ์ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่เปลี่ยนแปลงไป และเทคโนโลยีที่เปลี่ยนแปลงไป ตัวบ่งชี้ถึงความเสี่ยงที่เพิ่มขึ้น ได้แก่ การขยายตัวอย่างรวดเร็วของสินทรัพย์โดยรวม หรือสินทรัพย์ประเภทใดประเภทหนึ่ง โดยเฉพาะการเพิ่มขึ้นของการกระจุกตัวของเครดิตที่ให้กับลูกค้าที่อาจไม่สัมพันธ์กับสภาพคล่องขององค์กรเอง รวมทั้งแหล่งเงินทุน หรือมีการทำธุรกรรมใหม่ ๆ

โดยปกติผู้ตรวจสอบจะอาศัยกระบวนการวิเคราะห์ติดตาม (Monitoring) และระบบเตือนภัยล่วงหน้า (EWS – Early warning system) ในการระบุถึงการเพิ่มขึ้นของความเสี่ยงที่เกิดจากปัจจัยภายใน ซึ่งปกติจะพิจารณาได้จากอัตราส่วนทางการเงินที่มีแนวโน้มผิดปกติ หรือสัญญานเตือนภัยในระบบเตือนภัยล่วงหน้า

นอกจากนี้ ความเสี่ยงที่เพิ่มขึ้นอาจเกิดจากระบบการบริหารความเสี่ยงที่ไม่มีประสิทธิภาพ เช่น การพยายามลดต้นทุน โดยการลดงบประมาณการจัดการความเสี่ยง ในขณะที่การทำธุรกรรมยังคงเหมือนเดิม หรืออาจเกิดจากการที่ฝ่ายบริหาร ไม่ได้มีการกำหนดแผนในการฝึกอบรมหรือบุคคลที่จะมารับช่วงต่อ ในกรณีเกิดเหตุการณ์ที่ทำให้ตำแหน่งผู้บริหารระดับสูงว่างลง หรือการที่ไม่สามารถหาบุคลากรที่มีคุณสมบัติเหมาะสมมาดำรงตำแหน่งงานด้านบริหารความเสี่ยงได้

แนวโน้มความเสี่ยงที่อยู่ในสถานการณ์คงที่ เกิดจากการที่ปัจจัยต่าง ๆ ที่เกี่ยวข้องทั้งหมดไม่มีการเปลี่ยนแปลงหรือมีแต่น้อยมาก โดยที่ปัจจัยภายนอกไม่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ เช่น ภาวะการแข่งขันของตลาด โดยเฉพาะอย่างยิ่งไม่มีคู่แข่งใหม่เข้ามาในตลาด โครงสร้างการถือหุ้นไม่เปลี่ยนแปลง และมีผลิตภัณฑ์ใหม่ ๆ หรือการริเริ่มอะไรใหม่ ๆ ในตลาดไม่มากนัก

สำหรับปัจจัยภายใน รายงานการวิเคราะห์ติดตามและระบบเตือนภัยล่วงหน้า ไม่ได้แสดงให้เห็นว่ามีการเปลี่ยนแปลงที่สำคัญใด ๆ ในปริมาณการกระจุกตัว หรือโครงสร้างของสินทรัพย์ งบประมาณไม่เปลี่ยนแปลงมากนัก มีการเปลี่ยนแปลงจำนวนพนักงานและทรัพยากรเพียงเล็กน้อย

แนวโน้มความเสี่ยงที่อยู่ในสถานการณ์ลดลง เกิดจากการลดลงของอิทธิพลจากปัจจัยภายนอก หรือการที่องค์กรมีระบบการปฏิบัติงานที่ไม่ซับซ้อน เช่น มีจำนวนคู่แข่งน้อยลง หรือคู่แข่งมีความสามารถในการแข่งขันหรือทรงอิทธิพลน้อยลง การเคลื่อนไหวทางเศรษฐกิจเป็นไปอย่างช้า ๆ ซึ่งอาจจะทำให้ความเสี่ยงลดลงได้

สำหรับปัจจัยภายใน องค์กรสามารถลดความเสี่ยงได้ โดยการลดการใช้กลยุทธ์การทำธุรกิจไม่ว่าจะเป็นผลิตภัณฑ์หรือการให้บริการที่มีความซับซ้อนลง โดยปกติองค์กรที่เน้นผลิตภัณฑ์และบริการที่ไม่ซับซ้อน จะมีความเสี่ยงต่ำกว่าองค์กรที่เน้นทำธุรกรรมเพื่อค้า นอกจากนี้องค์กรสามารถลดความเสี่ยงลงได้ ด้วยการจัดให้มีระบบการบริหารความเสี่ยงที่มีประสิทธิภาพ

ความรู้ของผู้ตรวจสอบเพียงอย่างเดียวอาจไม่เพียงพอ การตรวจสอบซึ่งเน้นในเรื่องความเสี่ยงจะประสบผลสำเร็จได้ก็ต่อเมื่อ ผู้ตรวจสอบมีความรู้ความเข้าใจในธุรกิจขององค์กรเป็นอย่างดีในลักษณะของภาพโดยรวมของความเสี่ยงทั้งองค์กร ซึ่งจะช่วยให้สามารถชี้ความเสี่ยงที่มีอยู่และวางแผนการตรวจสอบอย่างเหมาะสมได้

สำหรับครั้งหน้าเราจะไปติดตามเรื่องของการจัดระดับความเสี่ยงด้านกลยุทธ์กันครับ