Archive for the "Non – IT Audit / การตรวจสอบโดยทั่วไป" Category

ขออภัยในความไม่สะดวก

ธันวาคม 5th, 2011

ก่อนอื่นผมคงต้องกล่าวคำว่า “ขออภัยในความไม่สะดวก” สำหรับหลาย ๆ ท่านที่คอยติดตามข้อมูล ความรู้ รวมถึงความเคลื่อนไหวต่าง ๆ จาก www.itgthailand.com แห่งนี้ เนื่องจากหลายวันที่ผ่านมา เว็บของเราได้ประสบปัญหาทางด้าน server ทำให้ไม่สามารถใช้งานได้ ซึ่งผมค่อนข้างกังวลใจและไม่ได้นิ่งนอนใจที่จะพยายามแก้ไขสถานการณ์ให้กลับสู่ภาวะปกติโดยเร็ว

ทั้งนี้ ผมต้องขอขอบคุณ คุณนิพนธ์ บุคลากรจาก ACIS Professional Center ที่ให้การช่วยเหลือเป็นอย่างดี รวมถึงผู้ที่เกี่ยวข้องทุก ๆ ท่านที่มีส่วนช่วยในการทำให้ www.itgthailand.com กลับเข้าสู่ภาวะปกติในครั้งนี้

อย่างไรก็ตาม โปรดอย่าลืมติดตาม update สาระ ความรู้ต่าง ๆ จาก itgthailand.com ได้ในโอกาสต่อไปนะครับ

ขอบคุณครับ

เมธา สุวรรณสาร

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, ITG และองค์ประกอบที่เกี่ยวข้อง, Non - IT Audit / การตรวจสอบโดยทั่วไป, การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์, คุยกับผู้เขียน, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
5 Comments

แนวทางการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ตามระเบียบ คตง. กับ GTAG – Global Technology Auditing Guide

สิงหาคม 6th, 2011

เนื่องจากยังมีผู้ตรวจสอบภายใน และผู้กำกับของหน่วยงานที่เกี่ยวข้อง อาจยังมีแนวทางปฏิบัติและการกำกับงานของผู้ตรวจสอบภายใน เพื่อเป็นไปตามพระราชกิจจานุเบกษา ฉบับกฤษฎีกา เล่ม 120 ตอนที่ 25ก วันที่ 24 มีนาคม 2546 แตกต่างกันมากพอสมควร ผมจึงขอนำแนวทางปฏิบัติหน้าที่ของผู้ตรวจสอบภายในตามประกาศฉบับนี้มาเล่าสู่กันฟังดังนี้ครับ

การปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ควรเป็นไปตามมาตรฐานการตรวจสอบภายใน ดังนี้

1. ผู้ตรวจสอบภายในของส่วนราชการ ปฏิบัติตามมาตรฐานการตรวจสอบภายใน และจริยธรรมของผู้ตรวจสอบภายในของส่วนราชการ ที่กำหนดไว้ในระเบียบกระทรวงการคลัง ว่าด้วยการตรวจสอบภายในของส่วนราชการที่ออกโดยกรมบัญชีกลาง

2. ผู้ตรวจสอบภายในของรัฐวิสาหกิจ กระทรวงกลาโหม หน่วยงานของราชการส่วนท้องถิ่น และของหน่วยรับตรวจอื่น ให้ปฏิบัติตามมาตรฐานการตรวจสอบภายใน ตามที่กำหนดไว้ในระเบียบว่าด้วยการตรวจสอบภายใน ที่ออกโดยหน่วยงานเจ้าสังกัด หรือหน่วยงานที่กำกับดูแลในระดับกระทรวงหรือเทียบเท่า

กรณีระเบียบว่าด้วยการตรวจสอบภายในตาม 1. และ 2. มิได้กำหนดให้ปฏิบัติงานตามมาตรฐานการตรวจสอบใด ให้ปฏิบัติตามมาตรฐานการปฏิบัติงานวิชาชีพการตรวจสอบภายใน ที่เผยแพร่โดยสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือ Standards for the Professional Practice of Internal Auditing ที่กำหนดโดย The Institute of Internal Auditors (IIA) ฉบับล่าสุด

ขอบเขตของการตรวจสอบภายใน
แนวทางปฏิบัติที่ 1
ผู้กำกับดูแลมีหน้าที่รับผิดชอบสูงสุดในการทำให้เกิดความมั่นใจว่า ฝ่ายบริหารได้จัดให้มี และดำรงรักษาไว้ซึ่งระบบการควบคุมภายใน ตามมาตรฐานการควบคุมภายในที่กำหนดโดยคณะกรรมการตรวจเงินแผ่นดิน

ฝ่ายบริหารมีหน้าที่รับผิดชอบจัดให้มีและดำรงไว้ซึ่งระบบการควบคุมภายในตามมาตรฐานการควบคุมภายในที่กำหนดโดยคณะกรรมการตรวจเงินแผ่นดิน รวมทั้งพิจารณาวินิจฉัยข้อตรวจพบ และข้อเสนอแนะตามรายงานการตรวจสอบของผู้ตรวจสอบภายใน เพื่อสั่งการให้ผู้รับผิดชอบดำเนินการตามความเหมาะสมและทันเวลา

ทั้งนี้ เพื่อให้การปฏิบัติหน้าที่ของหน่วยตรวจสอบภายในมีประสิทธิผลอย่างมีประสิทธิภาพ

แนวทางปฏิบัติที่ 2
หน่วยตรวจสอบภายในรับผิดชอบในการประเมินการบริหารความเสี่ยง การควบคุม และการกำกับดูแล เพื่อเพิ่มคุณค่าและปรับปรุงการดำเนินงาน และช่วยให้หน่วยรับตรวจสามารถประเมินและปรับปรุงประสิทธิผลของกระบวนการบริหารความเสี่ยง กระบวนการควบคุม และกระบวนการกำกับดูแล เพื่อบรรลุวัตถุประสงค์ที่หน่วยรับตรวจกำหนด

แนวทางปฏิบัติที่ 3
หน่วยตรวจสอบภายใน ควรอยู่ในโครงสร้างการแบ่งส่วนงานของหน่วยรับตรวจอย่างเป็นทางการ และมีสภาพภาพสูงพอที่จะสามารถปฏิบัติงานได้อย่างเต็มที่ โดยให้ขึ้นตรงต่อผู้รับตรวจ หรือมีสายการบังคับบัญชาตามที่กระทรวงการคลัง หรือผู้มีอำนาจตามกฎหมายกำหนด และผู้รับตรวจจะมอบหมายให้ผู้อื่นควบคุมดูแลและปกครองบังคับบัญชาแทนไม่ได้ และจะแต่งตั้งให้หัวหน้าหน่วยตรวจสอบภายในไปรักษาการในตำแหน่งอื่น หรือแต่งตั้งผู้อื่นมารักษาการในตำแหน่งหัวหน้าหน่วยตรวจสอบภายในในขณะเดียวกันไม่ได้ และ

หน่วยรับตรวจควรจัดสรรบุคลากรและทรัพยากรที่เพียงพอต่อการปฏิบัติหน้าที่ของหน่วยตรวจสอบภายในอย่างเหมาะสมกับปริมาณงาน และความซับซ้อนของกิจกรรมด้านต่าง ๆ ของหน่วยรับตรวจ โดยผู้ปฏิบัติหน้าที่ของหน่วยตรวจสอบภายใน ควรปฏิบัติงานเต็มเวลาและไม่ควรไปช่วยปฏิบัติงานอื่นใดที่ไม่ใช่งานที่เกี่ยวกับการตรวจสอบภายใน ซึ่งอาจส่งผลกระทบต่อประสิทธิภาพและประสิทธิผลของงานตรวจสอบภายใน

แนวทางปฏิบัติที่ 4
ผู้ตรวจสอบภายในต้องมีความอิสระจากกิจกรรมที่ตรวจสอบ โดยมีสถานภาพที่่สามารถปฏิบัติงานที่ได้รับมอบหมายอย่างเป็นอิสระ ตามมาตรฐานการตรวจสอบภายใน และให้ข้อเสนอแนะที่เป็นประโยชน์ ปราศจากอคติและมีความเป็นกลาง

แนวทางปฏิบัติที่ 5
ผู้ตรวจสอบภายในมีบทบาทหน้าที่รับผิดชอบในการตรวจสอบ และประเมินความเพียงพอของมาตรการควบคุมภายในที่ฝ่ายบริหารกำหนด เพื่อป้องกันหรือลดโอกาสการเกิดการทุจริต ทั้งนี้ ฝ่ายบริหารของหน่วยรับตรวจเป็นผู้ที่มีหน้าที่รับผิดชอบโดยตรงต่อการบริหารความเสี่ยงเกี่ยวกับการทุจริต

แนวทางปฏิบัติที่ 6
หน่วยรับตรวจที่ใช้เทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการปฏิบัติงานหรือบริหารงาน ควรจัดให้มีผู้ตรวจสอบภายใน ซึ่งมีความรู้ ความสามารถอย่างเพียงพอที่จะตรวจสอบระบบเทคโนโลยีสารสนเทศ เพื่อให้สามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลได้อย่างเหมาะสมและเกิดประโยชน์

ตราชั่ง

การปฏิบัติหน้าที่การตรวจสอบภายใน
แนวทางปฏิบัติที่ 7
ผู้ตรวจสอบภายในควรประพฤติปฏิบัติตนตามหลักปฏิบัติที่กำหนดในจริยธรรมของผู้ตรวจสอบภายใน เกี่ยวกับความมีจุดยืนที่มั่นคง ความเที่ยงธรรม การรักษาความลับ และความสามารถในการปฏิบัติหน้าที่ เพื่อเป็นหลักประกันความมั่นใจในความเที่ยงธรรม และการให้คำแนะนำปรึกษาที่มีคุณภาพ

แนวทางปฏิบัติที่ 8
หน่วยรับตรวจควรจัดให้มีเอกสารที่เขียนขึ้นอย่างเป็นทางการ เพื่อกำหนดวัตถุประสงค์ อำนาจหน้าที่และความรับผิดชอบของงานตรวจสอบภายใน เพื่อให้บุคลากรทุกระดับของหน่วยรับตรวจ มีความเข้าใจอันดีต่อการจัดให้มีหน่วยตรวจสอบภายใน รวมทั้งอำนาจหน้าที่ของหน่วยตรวจสอบภายใน

แนวทางปฏิบัติที่ 9
กระบวนการปฏิบัติงานตรวจสอบภายใน หมายรวมถึงการจัดทำแผนการตรวจสอบ การตรวจสอบ การวิเคราะห์และประเมินข้อมูลที่ได้จากการตรวจสอบ การรายงานผลการตรวจสอบ และการติดตามผลการปฏิบัติตามข้อเสนอแนะของผู้ตรวจสอบภายใน

การประเมินการบริหารความเสี่ยง การควบคุม และการกำกับดูแล อาจกระทำได้ดังนี้

1. การบริหารความเสี่ยง กระทำได้โดยการประเมินการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการจัดการความเสี่ยงที่มีนัยสำคัญ เพื่อให้ข้อเสนอแนะปรับปรุงกระบวนการบริหารความเสี่ยง และการควบคุมภายในให้มีประสิทธิภาพ

2. การควบคุม กระทำได้โดยการประเมินประสิทธิผล และประสิทธิภาพของการควบคุม และส่งเสริมให้มีการปรับปรุงการควบคุมอย่างต่อเนื่อง

3. การกำกับดูแล กระทำได้โดยการประเมินและปรับปรุงกระบวนการกำกับดูแลให้ดีขึ้น โดย
- การกำหนดเป้าหมายของการดำเนินงานของหน่วยรับตรวจ และสื่อสารให้ผู้ที่เกี่ยวข้องทราบ
- การติดตามผลสำเร็จตามเป้าหมายที่กำหนด
- การให้ความมั่นใจว่า บุคลากรของหน่วยรับตรวจมีความรับผิดชอบต่อผลการตัดสินใจ และผลการปฏิบัติหน้าที่ และ
- การรักษาไว้ซึ่งคุณค่า หรือผลประโยชน์ของหน่วยรับตรวจและผู้ที่เกี่ยวข้อง

ในปัจจุบัน ผู้ตรวจสอบในหลายองค์กรมีมาตรฐานการตรวจสอบที่แตกต่างกัน โดยเฉพาะองค์กรขนาดกลางและขนาดเล็ก และเมื่อพูดถึงการตรวจสอบทางด้าน IT Audit หรือ Risk-Based IT Audit ไปจนกระทั่ง Integrated Audit ซึ่งเป็นการบูรณาการการตรวจสอบ ระหว่าง IT Audit กับ Non – IT Audit เข้าด้วยกัน เพื่อสนองความต้องการของคณะกรรมการและผู้บริหารระดับสูงนั้น มีข้อที่ควรจะปรับปรุงได้อีกมาก

ในปี พ.ศ. 2555 แนวการตรวจสอบทางด้าน IT Audit โดยสถาบันผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ซึ่งได้ร่วมมือกับสมาคม ISACA และตลาดหลักทรัพย์แห่งประเทศไทย ได้ร่วมกันแปลเอกสารการตรวจสอบ IT โดยใช้ Best Pratice ของ GTAG – Global Technology Audit Guide แล้วเสร็จ ผู้ตรวจสอบภายในซึ่งต้องปฏิบัติตามมาตรฐานดังกล่าวข้างต้นจะต้องนำแนวทางการตรวจสอบ IT Audit มาใช้ในทางปฏิบัติ อาจก่อให้เกิดความไม่สะดวกในการปฏิบัติตามแนวทางการตรวจสอบดังกล่าว ซึ่งก็อาจพิจารณาได้ว่า ผู้ตรวจสอบภายในไม่ได้ปฏิบัติหน้าที่ตามพระราชกิจจานุเบกษาดังกล่าวข้างต้นได้

 

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , , ,
No Comments

CEO / CIO and Integrated Management – Audit / Approaching to Practical GRC

กรกฎาคม 15th, 2011

ปัจจุบัน การบริหารองค์กรแบบบูรณาการ หรืออาจเรียกได้ง่าย ๆ ว่า Integrated Management ซึ่งรวมไปถึง Integrated Risk Management รวมทั้ง Integrated Control and Audit เพื่อก้าวไปสู่ Integrated GRC ซึ่งเป็นแกนหลักของการบริหารการจัดการแบบหลอมรวม กระบวนความคิด และการปฏิบัติงานไปสู่การเติบโตอย่างยั่งยืน ที่ผสมผสานระหว่าง Corporate Governance and IT Governance ที่อยุ่ภายใต้ร่ม ๆ เดียวกัน คือ Integrated GRC นั้น กำลังได้รับความสนใจ และนำไปใช้อย่างเป็นรูปธรรมมากขึ้น เพราะสามารถลดความซ้ำซ้อนในกระบวนการจัดการ และกระบวนการบริหารจัดการองค์กรได้ในทุกกรอบของการจัดการ

วันนี้ ผมจึงขอนำเสนอแนวความคิดที่สามารถปฏิบัติได้จริง ที่เชื่อมโยงระหว่างการบริหารการจัดการสารสนเทศ ที่ผสมผสานกับการบริหารจัดการองค์กร เพื่อบรรลุ Performance และ Conformance ที่ประกอบไปด้วยองค์ประกอบต่าง ๆ ของการบริหารจัดการในหลายรูปแบบ รูปแบบที่อธิบายได้อย่างกว้าง ๆ และเข้าใจได้ง่ายก่อนที่จะลงลึกไปกว่านี้ ปรากฎดังแผนภาพต่อไปนี้

Integrated GRC - Components of Management and Understanding

แผนภาพตามที่แสดงไว้ข้างต้น สามารถสร้างความเข้าใจให้กับ CEO, CIO, CFO, COO และทุกระดับของ C – Level รวมทั้งคณะกรรมการต่าง ๆ ขององค์กร ที่สามารถเชื่อมโยงความเข้าใจในการบริหารและการจัดการแบบหลอมรวม เพื่อขับเคลื่อนองค์กรยุคใหม่ ที่แยกกันไม่ได้ระหว่างการบริหารการจัดการสารสนเทศ ที่ต้องผสมผสานกันไปอย่างแนบแน่นกับการบริหารเพื่อก้าวสู่วัตถุประสงค์ต่าง ๆ ตามหลักการ Business Balanced Scorecard และ Information Balanced Scorecard ที่ไม่ควรมีการจัดการแบบ Silo – Based อีกต่อไป

ผู้กำกับของหน่วยงานที่มีความสำคัญ ได้พยายามขับเคลื่อนและชี้นำทิศทางการบริหารแบบบูรณาการเช่นนี้ ไปให้กับหน่วยงานที่ถูกกำกับใช้ในการปฏิบัติอย่างเป็นรูปธรรม ซึ่งรวมถึงการออกกฎหมาย กฎเกณฑ์ พระราชบัญญัติ พระราชกฤษฎีกา ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ที่รวมนโยบาย วิธีการปฏิบัติงาน การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ การควบคุมภายในและการตรวจสอบภายใน ทางด้านเทคโนโลยีสารสนเทศเข้าด้วยกันอย่างเป็นกระบวนการ ซึ่งพิจารณาได้ว่า เป็นความจำเป็นในระดับประเทศที่ต้องขับเคลื่อนองค์กรต่าง ๆ ไปสู่ทิศทางที่ยกระดับความสามารถในการจัดการที่ดี ที่ต้องผสมผสานระหว่าง Corporate Governance + IT Governance ที่เป็นกระบวนการส่วนหนึ่งในการขับเคลื่อนไปสู่ GRC ที่มิใช่เป็นเพียง G + R + C

แนวความคิดในเรื่องการบริหารและการตรวจสอบแบบบูรณาการที่เรียกว่า “Integrated Thinking”โดยการคิดให้ครบจนจนความ เพื่อก้าวไปสู่เป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรที่ทันสมัยส่วนใหญ่ ซึ่งจะกำหนดเป็นวิสัยทัศน์ พันธกิจ นโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่เกี่ยวข้องกับ IT – Based ที่ท้าทายและเป็นกลไกนำไปสู่กระบวนการบริหารแบบบูรณาการที่สามารถสร้างประสิทธิภาพและประสิทธิผล และยกระดับการแข่งขันที่เป็นสากล

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

คณะกรรมการ ผู้บริหารระดับสูง/CEO และผู้บริหารที่เกี่ยวข้องในระดับต่าง ๆ รวมทั้ง คณะกรรมการตรวจสอบ/AC ผู้บริหารงานตรวจสอบ/CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ควรมีความเข้าใจภาพการบริหารแบบบูรณาการที่ผสมผสานระหว่าง กระบวนการทางด้านเทคโนโลยีสารสนเทศ กับกระบวนการทางด้านบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยงไปในทิศทางเดียวกัน และผสมผสานกระบวนการจัดการในทุกระดับระหว่าง IT กับ Non – IT ที่เข้าใจได้ง่าย ๆ ว่า “Integrated Management – Audit” ซึ่งเป็นสิ่งสำคัญอย่างยิ่งที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจการขับเคลื่อนไปสู่เป้าประสงค์ตามหลัก Business Balanced Score Card ที่ผสมผสานไปกับ Information Balanced Score Card ทางด้านเทคโนโลยีสารสนเทศที่ไม่สามารถจะแยกการจัดการกันได้อีกต่อไป

ดังนั้น การบริหารงานยุคใหม่ CEO ผู้บริหารงานและผู้ปฏิบัติงานทุกระดับ จะต้องเข้าใจความเสี่ยงที่เกิดจากเทคโนโลยีสารสนเทศ – IT Risk ที่มีผลกระทบต่อ Business Risk ในทุกมุมมอง จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

Approaching to GRC / Integrated Management and Systematic Thinking

Integrated Thinking ที่นำไปสู่ Integrated Management – Audit จะสามารถสร้าง Value Added และ Value Creation ได้มากกว่าการบริหารแบบ Silo – Based และเป็นหนึ่งในก้าวแรก ที่จะก้าวไปสู่ GRC ที่มิใช่ G + R + C เท่านั้น

องค์กรของท่านพร้อมหรือยังครับ กับการติดตามให้ทันแนวคิดและการจัดการที่เป็นรูปธรรมของการบริหารยุคใหม่ ที่เรียกว่า “GRC” ซึ่งเป็นการขับเคลื่อนกระบวนการบริหารในลักษณะที่ผสมผสานระหว่าง IT กับ Non – IT เข้าด้วยกันอย่างแยกกันไม่ได้ และเรียกแนวทางเช่นนี้ว่า “Integrity – Driven Performance” ที่สามารถติดตามได้จากเว็บไซต์ต่าง ๆ ที่เกี่ยวข้องนะครับ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , , , , , , , , , ,
No Comments

กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล – IPPF (ต่อ)

กรกฎาคม 4th, 2011

สวัสดีครับ ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายในทุกท่าน ในครั้งที่แล้วผมได้นำเสนอถึงกรอบการปฏิบัติงานกรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) ซึ่งเป็นแนวทางสำคัญสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงิน โดย IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) ซึ่งผมได้นำเสนอแนวทางหลักไปในเบื้องต้นแล้ว สำหรับวันนี้ผมจะได้นำเสนอแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อจากครั้งที่แล้วนะครับ

2. แนวทางที่แนะนำให้ใช้ (Strongly Recommended Guidance)
เป็นแนวทางที่ได้รับการรับรองจาก IIA โดยผ่านกระบวนการพิจารณาอนุมัติอย่างเป็นทางการ แนวทางเหล่านี้จะช่วยอธิบายถึงวิธีการปฎิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานฯ ได้อย่างมีประสิทธิภาพ ซึ่งมี 3 ส่วน ดังนี้

ส่วนที่ 1 เอกสารแสดงความคิดเห็น (Position Papers) เป็นเอกสารที่จะช่วยให้ผู้ที่มีความสนใจในงานตรวจสอบภายใน ได้ทำความเข้าใจถึงนัยสำคัญของประเด็นการกำกับดูแลความเสี่ยง การควบคุม รวมถึงความเกี่ยวข้องที่สิ่งเหล่านั้นมีต่อบทบาทหน้าที่รับผิดชอบของผู้ตรวจสอบภายใน ถึงแม้ว่าบุคคลนั้นจะไม่ได้อยู่ในสายวิชาชีพตรวจสอบภายในก็ตาม ปัจจุบัน IIA ได้เผยแพร่เอกสารแสดงความคิดเห็นจำนวน 2 ฉบับ คือ

o The Role of Internal Auditing in Enterprise-wide Risk Management
o The Role of Internal Auditing in Resourcing the Internal Audit Activity

ส่วนที่ 2 ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories) เป็นสิ่งที่ช่วยให้ผู้ตรวจสอบภายใน สามารถปฏิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐาน รวมถึงส่งเสริมและเผยแพร่แนวทางการปฏิบัติที่ดีได้ ซึ่งข้อแนะนำเหล่านี้จะอธิบายถึงวิธีการทำงาน เทคนิค และสิ่งที่ควรพิจารณาในการปฏิบัติงานตรวจสอบภายใน แต่ไม่ใช่ขั้นตอนหรือกระบวนการปฏิบัติงานโดยละเอียด

อย่างไรก็ตาม ข้อแนะนำนี้ได้รวมถึงแนวปฏิบัติที่เกี่ยวข้องกับประเด็นในระดับสากล ระดับประเทศ หรือธุรกิจ และภารกิจเฉพาะ รวมถึงประเด็นทางกฎหมายและข้อบังคับต่าง ๆ ทั้งนี้ IIA ได้ทำการพัฒนาและบูรณาการเนื้อหาของข้อแนะนำฯ จากเดิม 83 ชุด เหลือเพียง 42 ชุด

ส่วนที่ 3 แนวปฏิบัติ (Practice Guides) จะให้แนวทางโดยละเอียดในการปฏิบัติงานตรวจสอบภายในซึ่งประกอบด้วยขั้นตอน และกระบวนการปฏิบัติงานโดยละเอียด เช่น เครื่องมือ เทคนิค โปรแกรม และวิธีการปฏิบัติทีละขั้นตอน รวมไปถึงตัวอย่างในการนำเสนอบริการ เป็นต้น ในปัจจุบัน IIA ได้ออกแนวปฏิบัติจำนวน 3 ประเภทด้วยกัน คือ

o Practice Guides ในหัวข้อต่าง ๆ 8 หัวข้อ เพื่อเป็นแนวปฏิบัติสำหรับผู้ตรวจสอบภายใน ในการจัดทำและแสดงความคิดเห็นทั้งระดับองค์กร และระดับฝ่าย ระดับส่วนงาน หรือระดับบุคคล เกี่ยวกับการกำกับดูแล การบริหารความเสี่ยงและระบบการควบคุมภายในขององค์กร เพื่อนำเสนอต่อผู้มีส่วนได้เสีย

o Global Technology Audit Guide (GTAG) ซึ่งเป็นแนวปฏิบัติเกี่ยวกับการบริหารจัดการ การควบคุม และการรักษาความปลอดภัยของระบบสารสนเทศ

o Guide to the Assessment of IT Risk (GAIT) ซึ่งเป็นแนวปฏิบัติที่อธิบายถึง ความสัมพันธ์ระหว่างความเสี่ยงกับรายงานงบการเงิน การควบคุมหลักภายในกระบวนการทางธุรกิจ การควบคุมโดยอัตโนมัติและการทำงานของสารสนเทศที่สำคัญ และการควบคุมหลักซึ่งอยู่ในการควบคุมทั่วไปของสารสนเทศ

นอกจากนี้ เมื่อท่านมีโอกาสได้อ่านกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่ ผมก็จะได้อธิบายถึงวิธีการนำกรอบ IPPF ที่เชื่อมโยงกับการตรวจสอบทางด้านทั่วไป (Non-IT) และทางด้านเทคโนโลยีสารสนเทศ (IT) ซึ่งรวมไปถึงการก้าวไปสู่การตรวจสอบเชิงบุรณาการของ Non-IT และ IT Audit เข้าด้วยกัน ที่เรียกกันว่า Integrated Audit ซึ่งจะเป็นสะพานเชื่อมโยงเป้าประสงค์หลักที่เกี่ยวข้องกับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ในโอกาสต่อ ๆ ไป

 

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , , , , , ,
No Comments

กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล – IPPF

มิถุนายน 24th, 2011

ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายใน หรือแม้กระทั่งการตรวจสอบเพื่อรับรองงบการเงินจากผู้สอบบัญชีภายนอก ซึ่งต้องประเมินกรอบการปฏิบัติงาน และประสิทธิภาพการปฏิบัติงานการตรวจสอบภายใน เพื่อกำหนดขอบเขตการตรวจสอบทางด้าน IT Audit ระดับหนึ่ง ก่อนจะก้าวไปสู่การรับรองงบการเงินตามที่เห็นสมควรนั้น ผู้รับรองงบการเงินจะมีหน้าที่อย่างหนึ่งก็คือ การประเมินการควบคุมความเสี่ยง และผลกระทบความน่าเชื่อถือได้ของข้อมูลทางการเงิน จากระบบเทคโนโลยีสารสนเทศ การควบคุมความเสี่ยง ทั้งทางด้าน IT และ Non-IT และประสิทธิภาพการบริหารความเสี่ยงของผู้บริหาร และผู้ที่เกี่ยวข้องภายในองค์กรนั้น ๆ

กรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) จึงเป็นแนวทางที่สำคัญทั้งสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงินอย่างสำคัญ

โครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายใน มีผลเริ่มใช้ตั้งแต่เดือนมกราคม 2552 เป็นต้นมา ดังนั้น การปรับปรุงกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เดิม เป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) จึงเป็นเรื่องใหม่ ซึ่งทางสมาคมผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย แนะนำให้ท่านได้เห็นความแตกต่างระหว่าง PPF เดิม และรู้จักกับ IPPF ใหม่ เพื่อให้เข้าใจแนวการบริหารงานการตรวจสอบและการปฏิบัติงานตรวจสอบที่ได้มาตรฐาน

แต่ก่อนที่ท่านจะได้รู้จักกับกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่นั้น ผมขอให้ท่านลองติดตามกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เพื่อเป็นการทบทวนก่อนดังนี้ครับ :-

กรอบการปฏิบัติงานวิชาชีพ (Professional Practice Framework –PPF) เดิม
ประกอบ ด้วย 4 ส่วน คือ
1. คำจำกัดความของการตรวจสอบภายใน (Definition of Internal Auditing)
2. ประมวลจรรยาบรรณ (Code of Ethics)
3. มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards for the Professional Practice of Internal Auditing) และ
4. ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories – PA)

IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) โดยได้แบ่งเนื้อหาตามรูปดังนี้

iia-ippf-schematic_alltwentyfive

1. แนวทางหลัก (Mandatory Guidance)
ซึ่งเป็นหลักเกณฑ์ที่มีความจำเป็นสำหรับการปฏิบัติงานตรวจสอบภายใน และได้รับการพัฒนาโดยกระบวนการที่ผ่านการกลั่นกรองความถูกต้อง เชื่อถือได้เป็นอย่างดี รวมถึงได้มีการเผยแพร่ร่างกรอบโครงสร้างฯ สู่สาธารณชนเพื่อรับฟังความคิดเห็นจากผู้ประกอบวิชาชีพ และผู้ที่สนใจในช่วงระยะเวลาหนึ่ง ก่อนที่จะนำความเห็นที่ได้รับมาประมวล ปรับปรุงและประกาศใช้จริง ซึ่งแนวทางหลักนี้ประกอบไปด้วย 3 ส่วน คือ

ส่วนที่ 1 คำนิยามของการตรวจสอบภายใน (Definition) ซึ่งระบุถึงวัตถุประสงค์พื้นฐาน ลักษณะงาน และขอบเขตของงานตรวจสอบภายใน

ส่วนที่ 2 ประมวลจรรยาบรรณ (Code of Ethics) ซึ่งระบุถึงหลักการและหลักความประพฤติที่พึงปฏิบัติของผู้ตรวจสอบภายใน และองค์กรที่เกี่ยวข้องกับการปฏิบัติงานตรวจสอบภายใน ประมวลจรรยาบรรณนี้ได้บรรยายถึงแนวทางการปฏิบัติงาน และความประพฤติของผู้ตรวจสอบภายในที่คาดหวังในขั้นพื้นฐาน

ส่วนที่ 3 มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards) ซึ่งเน้นในหลักการและให้แนวทางในการปฏิบัติงาน และส่งเสริมงานตรวจสอบภายใน โดยเนื้อหาประกอบด้วย

1) แถลงการณ์ของความต้องการพื้นฐานสำหรับการปฏิบัติงานวิชาชีพตรวจสอบภายใน และการประเมินความมีประสิทธิผลของการปฏิบัติงานนั้น ๆ ซึ่งเป็นความต้องการในระดับสากล ที่สามารถนำมาปรับใช้ในระดับบุคคลหรือองค์กรได้

2) การตีความ ซึ่งให้คำอธิบายวลี หรือแนวความคิดที่ปรากฎอยู่ในแถลงการณ์นั้น ๆ
ซึ่งทั้ง 2 ส่วนนี้ เป็นสิ่งที่ผู้ประกอบวิชาชีพจำเป็นที่จะต้องให้ความสนใจเพื่อจะได้เข้าใจ และสามารถนำมาตรฐานไปปฏิบัติได้อย่างถูกต้อง นอกจากนี้ มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายในยังมีภาคศัพท์ ซึ่งจะอธิบายความหมายของคำเฉพาะต่าง ๆ ที่ใช้ในมาตรฐานอีกด้วย

สำหรับกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) ที่ทบทวนกันในวันนี้ผมขอนำเสนอเพียงแนวทางหลักก่อนนะครับ ครั้งหน้าผมจะมานำเสนอในแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อไปครับ

 

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , , , , , ,
No Comments

Integrated Audit and Management in practices ตอน 2

มิถุนายน 2nd, 2011

ท่านผู้อ่านครับ ใน www.itgthailand.com ผมมีเรื่องที่ตั้งเป็นหมวดหมู่ไว้แลกเปลี่ยนสารสนเทศกับผู้อ่าน รวม 8 หมวดหมู่ด้วยกันนั้น ในที่สุดหมวดหมู่เรื่องต่าง ๆ ตามที่ผมได้แบ่งเอาไว้ให้ท่านผู้อ่านสามารถเลือกติดตามได้ตามที่ท่านสนใจนั้น เมื่อท่านได้อ่านมาถึงในช่วงเวลานี้ ก็จะเริ่มมีข้อสังเกตว่า หมวดหมู่ต่าง ๆ ในแต่ละหัวข้อเริ่มมีความสัมพันธ์และเกี่ยวเนื่องกันมากยิ่งขึ้น +++

อย่างเช่น เรื่องที่เกี่ยวกับ IT Audit และ Non IT Audit เรื่องทั้ง 2 ได้แยกออกเป็น 2 หมวดหมู่อย่างชัดเจนตั้งแต่แรกนั้น แต่ก็ยังไม่ปรากฎว่าผมได้อธิบายแ่ต่ละหมวดหมู่ดังกล่าวที่เกี่ยวข้องกับการตรวจสอบภายในออกจากกันเลยดังที่ตั้งใจไว้แต่ต้น…

ทั้งนี้เพราะผมต้องการให้ท่านเห็นภาพการตรวจสอบภายในที่มีวัตถุประสงค์หลัก ๆ 2 ประการด้วยกันคือ การตรวจสอบเพื่อสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) และให้คำปรึกษา (Consultant) ที่เกี่ยวข้องกับความน่าเชื่อถือได้ของงบการเงิน และรายงานต่าง ๆ รวมทั้งการบริหารความเสี่ยง และการควบคุมภายในเกี่ยวกับความน่าเชื่อถือได้ต่อกระบวนการบริหารและการดำเนินงานขององค์กรว่า รายงานทางการเงินและรายงานที่มิใช่การเงิน มีความถูกต้อง และหากกระบวนการบริหารซึ่งส่วนใหญ่เกี่ยวข้องกับการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ซึ่งมีผลกระทบต่อธุรกิจ และเป้าหมายต่าง ๆ ขององค์กร ผู้ตรวจสอบภายในก็จะให้คำแนะนำ และให้คำปรึกษาต่อผู้มีผลประโยชน์ร่วมที่เกี่ยวข้อง

นอกจากนี้ ผู้ตรวจสอบภายในจะต้องปฏิบัติงานวิชาชีพการตรวจสอบภายในให้เป็นไปตามมาตรฐานสากลตามที่ปรากฎใน International Standards for The Professional Practice of Internal Auditing ซึ่งมีการปรับปรุงเพิ่มเติมและแก้ไขโดยคณะกรรมการวิชาการและวิจัยในระดับสากล ซึ่งประเทศไทยก็ได้ประยุกต์ในการนำหลักการดังกล่าวมาใช้เป็นมาตรฐานการตรวจสอบของผู้ตรวจสอบภายใน ซึ่้งสอดคล้องกับแนวทางการกำกับของสำนักงานคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ซึ่งท่านสามารถติดตามรายละเอียดได้จาก ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546

จากแผนภาพ Control Framework ครั้งที่แล้ว ท่านผู้อ่านจะได้เห็นภาพที่มาของงบการเงิน และรายการทางบัญชีที่สำคัญที่ต้องผ่านกระบวนการปฏิบัติการของระบบงานต่าง ๆ อย่างเป็นลำดับ และผสมผสานกัน ซึ่งจะเกี่ยวข้องกับระบบการประมวลผลทางด้านเทคโนโลยีสารสนเทศ หรืออาจจะกล่าวได้อีกมุมหนึ่งว่า เกี่ยวข้องกับระบบข้อมูลและสารสนเทศที่ผ่านกระบวนการควบคุมในลักษณะอัตโนมัติ (Automated Application Controls) ซึ่งเกี่ยวข้องกับระบบงานต่าง ๆ ทางด้านความมั่นคงปลอดภัยของสารสนเทศอย่างเป็นกระบวนการ ตั้งแต่ Input – Process – Output Control รวมทั้งผลกระทบของการเชื่อมโยงของการประมวลผลดังกล่าวข้างต้น ที่เชื่อมโยงข้ามระบบงานและข้ามสายงานทั่วทั้งองค์กร รวมทั้งบางส่วนจะเกี่ยวข้องกับการควบคุม โดยระบบ Manual หรือด้วยบุคคล (People) ซึ่งเชื่อมโยงและโยงใยไปยังขั้นตอนการประมวลผล ในการประมวลงานทางด้าน Input – Process – Output ในแต่ละระบงานทั่วทั้งองค์กร (Interface Controls)

Risk Map ด้าน Control and Integrated Audit

นอกจากนั้น การควบคุมระบบงานดังกล่าว ยังเชื่อมโยงและเกี่ยวข้องกับระบบ Infrastructure ด้านสารสนเทศ ที่เกี่ยวข้องกับ Database, Platform, Operating System และ Network (โปรดดูแผนภาพที่แสดงในข้อเขียนครั้งที่แล้วอีกครั้ง) ซึ่งในเรื่องนี้จะเกี่ยวข้องกับ IT General Controls โดยอธิบายสั้น ๆ ได้ว่า เป็นการติดตามและตรวจสอบการควบคุมทางด้าน Change Development Security, Computer Operations และ IT Governance +++

ท่านผู้บริหารและผู้ตรวจสอบครับ เมื่อท่านได้อ่านมาถึงช่วงนี้ และได้ดูภาพประกอบจากครั้งที่แล้ว ท่านคงจะเห็นด้วยกับผมนะครับว่า การตรวจสอบความน่าเชื่อถือของงบทางการเิงิน และรายงานทางการเงิน และรายงานอื่น ๆ ที่เกี่ยวข้องกับการบริหารธุรกิจและการจัดการองค์กรนั้น เป็นไปไม่ได้เลยที่ผู้ตรวจสอบภายในจะปฏิบัติงานตรวจสอบทั่วไป โดยไม่คำนึงถึงผลกระทบของความเสี่ยงทางด้าน IT Risk ที่ีมีต่อ Business Process ที่นำผลกระทบไปสู่ Business Objective ในทุกมุมมองของการบริหารจัดการ ตามหลักการของ Business Balance Score Card และ Information Balance Score Card

Slide1

หากท่านพิจารณาว่า การตรวจสอบในลักษณะดั้งเดิม (Conventional Audit) เป็นการตรวจสอบในลักษณะ SILO – Based โดยการแยกการตรวจสอบด้าน IT และการตรวจสอบด้าน Non – IT โดยขาดความเข้าใจในความเสี่ยงโดยรวม โดยเฉพาะทางด้าน IT Risk ที่มีผลต่อ Financial Risk และ Business Risk นั้นจะเป็นการเหมาะสม

นั่นคือ การก้าวไปสู่การตรวจสอบในลักษณะ Integrated Audit และ Integrated Management ตามที่ได้กล่าวไว้ในข้อเขียนครั้งที่แล้ว ซึ่งผมจะอธิบายและขยายความในรายละเอียดต่อ ๆ ไป ในช่วงเวลานี้ อาจจะมีท่านผู้ตรวจสอบ และท่านผู้บริหารบางท่าน อาจมีมุมมองที่แตกต่างกันอย่างมีนัยสำคัญได้นั้น คงต้องขอความกรุณาได้โปรดติดตามข้อเขียนเกี่ยวกับเรื่องนี้ที่จะอธิบายรายละเอียดในหลายมุมมองต่อไปครับ

Integrated Audit และ Integrated Management เป็นส่วนหนึ่งของ Integrated GRC ครับ +++

 

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags: , , ,
No Comments

Integrated Audit and Management in practices

พฤษภาคม 9th, 2011

เมื่อวันที่ 19 ก.พ. 2554 ผมได้ร่วมกับประธานสมาคม ISACA ซึ่งเป็นสมาคมที่สร้างความเชื่อมั่นและสร้างสรรค์คุณค่าจากระบบสารสนเทศของ Bangkok Chapter และผู้บริหารงานตรวจสอบภายในของ บริษัท AIS บรรยายเรื่อง “Integrated Audit in practices” ซึ่งยังเป็นเรื่องใหม่มากในประเทศไทย เพราะเป็นการหลอมรวมการตรวจสอบทางด้าน IT Audit และ Non – IT Audit เข้าด้วยกัน เพื่อผลประโยชน์ของ Stakeholders ที่สนใจในมุมมองนี้มากกว่าการตรวจสอบที่แยกกันระหว่าง IT Audit และ Non – IT Audit

ในส่วนของผมเอง ได้อธิบายถึง ความหมายของการตรวจสอบในลักษณะ Integrated Audit ซึ่งสรุปได้ ดังนี้

1. การหลอมรวม / บูรณาการ (Integrated) การตรวจสอบระหว่าง IT Audit/Non – IT Audit กับ Financial Audit และ Audit ประเภทอื่น ๆ ทุกประเภท

2. การหลอมรวม / บูรณาการ (Integrated) กระบวนการตรวจสอบ ตามเป้าประสงค์หลักของการตรวจสอบทางด้าน IT Audit ที่คำนึงถึงผลกระทบของ IT Risks ต่อ Business Risks

3. การหลอมรวม / บูรณาการ กระบวนการตรวจสอบตามเป้าประสงค์หลักของการตรวจสอบทางด้าน Financial Audit และ Audit อื่น ๆ ทุกประเภท โดยคำนึงถึงผลกระทบของ IT Risks ที่มีต่อ Business Risks เพื่อการบรรลุแผนงาน พันธกิจ กลยุทธ์ และวิสัยทัศน์ขององค์กร

4. การผสมผสานแนวความคิดของกระบวนการบริหาร การติดตามผลการดำเนินงาน และผลกระทบของการบริหารความเสี่ยง จากกลยุทธ์ต่าง ๆ ทั้งด้าน IT และ Non – IT ที่ควรสอดคล้อง และสัมพันธ์กับเป้าประสงค์ขององค์กร ตามหลักการ Business BSC. และ
Information Balanced Scorecard

5. การนำแนวความคิดการบริหารตามหลักการ GRC – Integrity Driven Performance ซึ่งใช้ฐาน IT – Based ในการติดตามผลการดำเนินงาน และการตรวจสอบ ตามมาตรฐานและองค์ประกอบที่เกี่ยวข้อง ++

6. การคำนึงถึงผู้มีผลประโยชน์ร่วม (Stakeholders) และ Sustainable Development (CSR) และกติกาของสังคมนานาชาติ และของประเทศ ในองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน

what is integrated audit

นอกจากนี้ยังอธิบายถึงว่า ทำไมผู้มีผลประโยชน์ร่วมและผู้บริหารจึงต้องการเห็น การตรวจสอบในลักษณะ Integrated Audit

1. เพื่อให้สอดคล้องกับหลักการบริหาร GRC ซึ่งเป็นแนวทางการบริหารยุคใหม่ในปัจจุบัน ที่ใช้หลักการบูรณาการการบริหาร (Integrated Management) เพื่อสร้างคุณค่าเพิ่ม / ประโยชน์ (Value) ให้กับองค์กรและประเทศชาติโดยรวม

2. เพื่อให้สอดคล้องกับหลักการ Interdependency และแนวความคิดที่ว่า องค์ประกอบของชีวิตและการบริหารการจัดการที่ไม่ควรพิจารณาตาม Silo – Based

3. Business Strategies เป็นผู้ขับเคลื่อน IT Strategies และนโยบายทางด้าน IT ต้องสัมพันธ์กับนโยบายทางด้าน Business ในทุกมุมมอง และในทุกระดับของกระบวนการจัดการที่ดี (CG + ITG / GRC)

4. IT Risks ก็คือ Business Risks ซึ่งองค์กรจะต้องมีนโยบาย กลยุทธ์ กระบวนการจัดการ วิธีการปฏิบัติ เพื่อนำไปสู่การขับเคลื่อนพันธกิจ และวิสัยทัศน์ขององค์กร และของประเทศที่สอดคล้องกัน และแยกกันพิจารณาไม่ได้

5. Monitoring โดยผู้บริหาร และการ Auditing โดยผู้ตรวจสอบทุกประเภท เป็นเรื่องเดียวกันแต่มีมุมมองในการจัดการและ Accountability / Responsibility ที่แตกต่างกัน แต่ต้องการการประสานงานที่ใกล้ชิด ตามมุมมองขององค์กรยุคใหม่ที่ใช้คอมพิวเตอร์ในการขับเคลื่อนเป็นหลัก

6. Continuous Management / Continuous Controls กับ Continuous Auditing ตามมาตรฐานของ IIA และ ISACA จะใช้กระบวนการทาง IT เป็นสำคัญ

7. เพื่อให้เกิดการ Assurance ของ Business โดยผู้ตรวจสอบ ต่อกระบวนการตัดสินใจจากรายงานที่ได้รับ

8. เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลต่อ Stakeholders ถึงข้อมูลและสารสนเทศ มีองค์ประกอบที่ดีและถูกต้อง เชื่อถือได้ และมีสารสนเทศใช้เพื่อการตัดสินใจได้ทุกเวลา และมั่นใจได้ว่า ธุรกิจสามารถขับเคลื่อนไปได้อย่างต่อเนื่อง จากการบริหารที่ได้มาตรฐาน

การตรวจสอบในลักษณะ Integrated Audit จะน่าสนใจยิ่งขึ้น หากจะอธิบายในมุมมองของการบริหารในลักษณะ GRC ซึ่งเป็นการบริหารยุคใหม่ ที่เป็นการหลอมรวมการบริหารจัดการที่ดีที่ทั่วโลกกำลังให้ความสนใจ ดังภาพด้านล่าง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสต่อไป

Integrated Audit and Integrated Mgmt Perspectives

 

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , , , , ,
No Comments

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12

เมษายน 29th, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

สวัสดีครับทุกท่าน ในครั้งก่อนผมได้กล่าวถึงประเด็นสำคัญที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย ผู้บริหารระดับสูงองค์กร ควรต้องพิจารณาในการควบคุมความเสี่ยง เช่น เรื่องของระบบการควบคุมความเสี่ยง นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง การสอบทานแผนงาน/โครงการใหม่ ซึ่งได้นำเสนอไปแล้วนั้น สำหรับตอนนี้จะขอนำเสนอประเด็นที่ควรพิจารณาต่อเลยนะครับ

4. มาตรฐานหรือเกณฑ์ขั้นต่ำในการพิจารณาแผนงาน/โครงการใหม่

องค์กรควรมีกระบวนการและหลักเกณฑ์ในการพิจารณาอนุมัติ การนำเสนอแผนงานหรือโครงการใหม่ ๆ อย่างรอบคอบและรัดกุม ซึ่งส่วนใหญแล้วจะเป็นการวิเคราะห์ความสำเร็จของงาน โดยเปรียบเทียบระหว่างผลสำเร็จ ตัวชี้วัด และความเสี่ยงที่ยอมรับได้ นอกจากนี้ องค์กรควรมีการจัดทํารายงาน ติดตามผลการดําเนินงานภายหลังการดำเนินงานตามแผนงาน เพื่อประเมินความสําเร็จว่าจะดําเนินกลยุทธ์อย่างไรต่อไป เช่น หากแผน
งาน/โครงการใหม่ดังกล่าวไม่ประสบผลสําเร็จ องค์กรอาจพิจารณาแนวทางแก้ไขหรือตัดสินใจยกเลิกแผนงาน/โครงการที่ต่อเนื่อง

ความเชื่อมโยงระหว่างยุทธศาสตร์ การบริหารความเสี่ยง

5. คุณภาพและประสิทธิผลของระบบการควบคุมภายใน

ระบบการควบคุมภายในจะช่วยให้องค์กรปฏิบัติงานได้อย่างมีประสิทธิผล มีรายงานที่เชื่อถือได้ มีการดูแลรักษาทรัพย์สิน และช่วยให้มั่นใจว่ามีการปฏิบัติตามกฎหมาย กฎเกณฑ์ และนโยบายที่กําหนด องค์กรควรกําหนดให้มีผู้ตรวจสอบภายในที่เป็น อิสระ ทําหน้าที่รายงานผลการตรวจสอบภายใน หรือผลการสอบทานระบบโดยตรงต่อคณะกรรมการฯ หรือคณะกรรมการตรวจสอบอย่างเป็นลายลักษณ์อักษร เพื่อดําเนินการแก้ไขได้ ทันท่วงที โดยองค์กรควรดําเนินการหรือจัดให้มีรายการต่อไปนี้

(1) มีระบบการควบคุมภายในที่เหมาะสมสําหรับประเภท และระดับความเสี่ยงที่เกิดขึ้นจากลักษณะและขอบเขตของธุรกิจ

(2) มีสายการบังคับบัญชาและหน้าที่ความรับผิดชอบที่ชัดเจน และเป็นลายลักษณ์อักษร เพื่อการควบคุมและติดตามการปฏิบัติตามนโยบาย ขั้นตอนการบริหาร ความเสี่ยง และเพดานความเสี่ยง

(3) มีการแบ่งแยกหน้าที่และการรายงานระหว่างการปฏิบัติและการควบคุมอย่างชัดเจน

(4) มีขั้นตอนการตรวจสอบ และสอบทานการควบคุมภายในด้านต่าง ๆ อย่างอิสระและเป็นรูปธรรม ได้แก่ ขอบเขตและขั้นตอนการปฏิบัติงาน การรายงาน ข้อเท็จจริงที่พบ และการแก้ไขตามผลการตรวจสอบ รวมทั้งระบบจัดการข้อมูลและระบบการรายงานต่าง ๆ

(5) มีการจัดทํารายงานผลการตรวจสอบและสอบทาน และรายงานการปฏิบัติที่ไม่เป็นไปตามกฎหมายหรือกฎเกณฑ์ต่าง ๆ รวมทั้งผลการสอบสวนและการดําเนินการแก้ไขที่เชื่อถือได้ ถูกต้อง ทันกาล และเป็นลายลักษณ์อักษร

(6) คณะกรรมการตรวจสอบหรือคณะกรรมการฯ ควรสอบทานประสิทธิผลของการตรวจสอบภายใน และการควบคุมอื่นอย่างสม่ำเสมอ เพื่อแก้ไขข้อบกพร่องที่มีนัยสําคัญได้อย่างเหมาะสมและทันกาล

6. แผนการสร้างผู้บริหารทดแทนและการฝึกอบรม

การบริหารบุคคลครอบคลุมการกําหนดโครงสร้างของฝ่ายงานที่รับผิดชอบในด้านการวางแผนคัดเลือกพนักงาน การกําหนดตําแหน่งงานและรายละเอียดลักษณะงาน การพัฒนาและฝึกอบรมที่เหมาะสม ระบบการประเมินผลการปฏิบัติงาน และผลตอบแทนการจัดการด้านโครงสร้างเงินเดือน และเครือข่ายการติดต่อสื่อสารที่มีประสิทธิผล

วัตถุประสงค์ของการบริหารบุคคล คือ
(1) เพื่อให้การดําเนินธุรกิจมีความต่อเนื่อง และสอดคล้องกับนโยบายองค์กร

(2) เพื่อให้มีบุคลากรที่มีคุณภาพเพียงพอที่จะปฏิบัติงานตามหน้าที่ความรับผิดชอบ และสามารถคัดเลือกพนักงานที่มีคุณภาพมาทดแทนได้อย่างเหมาะสม ดังนั้น ฝ่ายบริหารบุคคลจึงมีบทบาทสําคัญในการเตรียมความพร้อมด้านบุคลากรให้สอดคล้องหรือรองรับกับทิศทางกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรกําหนดรายละเอียดของลักษณะงาน (job description) ระบบการประเมินผลการปฏิบัติงาน โครงสร้างเงินเดือน ผลตอบแทน และบทลงโทษที่เหมาะสม เพื่อให้ผลการดําเนินงานและหน้าที่ความรับผิดชอบเหล่านั้น สอดคล้องกับกลยุทธ์และเป้าหมายที่กําหนดไว้ รวมทั้งควรจัดเตรียมแผนการสร้างผู้บริหารทดแทน เพื่อให้องค์กรสามารถดําเนินธุรกิจได้อย่างต่อเนื่อง

ซึ่งแนวทางหนึ่งคือ สนับสนุนผู้บริหารรุ่นใหม่ที่มีความสามารถให้มีความรู้และประสบการณ์ที่จําเป็นสําหรับการปฏิบัติงานในระดับสูงขึ้นต่อไป ทั้งนี้ ฝ่ายบริหารควรกําหนดรายละเอียดเกี่ยวกับคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่งระดับบริหาร โปรแกรมการฝึกอบรม และการฝึกงานที่จําเป็นไว้ด้วย เพื่อให้มั่นใจว่า องค์กรสามารถดํารงไว้ซึ่งผู้บริหารที่มีความสามารถ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมายควรกําหนดมาตรการ ดังนี้

(1) ทบทวนผลการปฏิบัติงานของผู้บริหารระดับสูง โดยเปรียบเทียบกับเป้าหมายที่กําหนดไว้อย่างน้อยปีละครั้ง เพื่อให้ทราบว่าผลการปฏิบัติงานอยู่ในระดับที่น่าพอใจเพียงใด สามารถดําเนินการให้บรรลุเป้าหมายที่กําหนดไว้ได้มากน้อยเพียงใด โดยอาจพิจารณาได้จากผลประกอบการทั้งในเชิงคุณภาพและเชิงปริมาณ เปรียบเทียบกับแผนดําเนินงานและงบประมาณ การลงทุน ส่วนแบ่งตลาด ความสามารถในการแข่งขัน และระดับความเสี่ยง เป็นต้น

(2) กําหนดนโยบายหรือแผนการเกี่ยวกับการสร้างตําแหน่งผู้บริหารทดแทน ควรมีการจัดทําและทบทวนนโยบายอย่างน้อยปีละครั้ง ให้เหมาะสมกับโครงสร้างองค์กรและลักษณะงาน โดยควรครอบคลุมถึงกระบวนการในการฝึกอบรม การฝึกงานที่จําเป็น รายละเอียดคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่ง เป็นต้น

(3) ทบทวนสัญญาว่าจ้างผู้บริหารภายนอกในสาระสําคัญ กรณีที่มีการว่าจ้างผู้บริหารมืออาชีพจากภายนอก ที่ปรึกษา หรือผู้เชี่ยวชาญ เพื่อปฏิบัติหน้าที่เป็นกรณีพิเศษ ควรมีการสอบทานความเหมาะสมของสัญญาว่าจ้าง เพื่อกําหนดบทบาทหน้าที่ และเกณฑ์การประเมินผลการปฏิบัติงาน และการจ่ายค่าตอบแทนที่ชัดเจน

ทั้งนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีสิทธิและอํานาจการตัดสินใจที่สําคัญ รวมทั้งสามารถสอบทานผลการปฏิบัติงานของบุคคลดังกล่าว คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรดําเนินการติดตามและควบคุมการปฏิบัติงานของบุคคลภายนอก เพื่อป้องกันไม่ให้มีการแสวงหาผลประโยชน์จากองค์กร เช่น
(3.1) กําหนดขอบเขต หน้าที่ ความรับผิดชอบในการปฏิบัติงานอย่างชัดเจน
(3.2) ร่างข้อกําหนดที่เป็นทางการ โดยให้ครอบคลุมถึงมาตรฐานขั้นต่ำของผลงานที่ยอมรับได้ และระยะเวลาในการปฏิบัติงานที่ชัดเจน
(3.3) มีการประเมินผลการปฏิบัติงานโดยเปรียบเทียบกับผลที่คาดไว้
(3.4) สัญญาว่าจ้างควรผ่านการพิจารณาจากฝ่ายกฎหมาย และได้รับความเห็นชอบโดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย
(3.5) ควรกําหนดในสัญญาให้องค์กรมีสิทธิบอกเลิกสัญญาได้ หากไม่สามารถปฏิบัติได้ตามเป้าหมายที่ตกลงไว้

(4) กําหนดแนวทางและวิธีการในการให้ผลตอบแทนแก่ผู้บริหารระดับสูง คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีส่วนร่วมในการพิจารณาเกี่ยวกับ ผลตอบแทนที่ให้แก่ผู้บริหารระดับสูงเพื่อให้มีความเหมาะสม โดยอาจกําหนดเป็นในรูปตัวเงินหรือไม่ใช่ตัวเงินก็ได้ ทั้งนี้ ต้องคํานึงถึงความเหมาะสมและฐานะการเงินขององค์กรในขณะนั้นด้วย

(5) การกําหนดแผนการฝึกอบรม องค์กรควรจัดสรรงบประมาณสําหรับการฝึกอบรมให้เพียงพอ และจัดหาบุคลากรที่เหมาะสม มีความรู้ความเข้าใจเกี่ยวกับการบริหารบุคคล เพื่อรับผิดชอบการบริหารโครงการฝึกอบรมขององค์กร โดยสามารถดําเนินการได้ 2 ลักษณะ คือ จัดอบรมโดยวิทยากรภายใน หรือว่าจ้างสถาบันฝึกอบรมหรือเชิญวิทยากรจากภายนอก การฝึกอบรมเป็นปัจจัยสําคัญที่จะช่วยให้องค์กรสามารถพัฒนาคุณภาพของบุคลากร อันจะช่วยให้การดําเนินงานประสบผลสําเร็จได้ตามเป้าหมาย รวมทั้งยังเป็นช่องทางหนึ่งในการสื่อสารแผนงานและเป้าหมายขององค์กรให้ พนักงานทราบ โดยอาจเป็นการอบรมเรื่องทั่วไป เช่น นโยบายขององค์กรเกี่ยวกับกลยุทธ์ธุรกิจ ภาพรวมความเสี่ยง ลักษณะธุรกิจและแผนงาน/โครงการ แนวทางการปฏิบัติงาน และนโยบายการบริหารงานบุคคล เป็นต้น หรือเป็นการอบรมสําหรับการปฏิบัติงานเฉพาะด้าน เช่น การบริหารเงิน หรือการจัดอบรมพิเศษด้านเทคนิคเมื่อมีแผนงานหรือโครงการใหม่ ๆ เป็นต้น ทั้งนี้ ควรมีแผนการอบรมที่ต่อเนื่องและเนื้อหาสอดคล้องกับเป้าหมายการดําเนินงานและกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรสนับสนุนให้พนักงานได้มีโอกาสศึกษาต่อเพื่อเพิ่มพูนความรู้ เสริมทักษะ และเป็นการเพิ่มศักยภาพของพนักงานให้ก้าวทันกับวิทยาการใหม่ ๆ ที่จําเป็นต่อการดําเนินงานในอนาคต

7. การวางแผนรองรับการดําเนินธุรกิจ (business continuity planning)

การจัดทําแผนรองรับการดําเนินธุรกิจ เป็นการเตรียมความพร้อมเพื่อให้มีการดําเนินธุรกิจอย่างต่อเนื่อง สําหรับกรณีเกิดเหตุการณ์ที่ไม่คาดคิด โดยอาจจัดทําแผนรองรับการดําเนินธุรกิจสําหรับสถานการณ์วิกฤตที่จําลองขึ้น ในหลาย ๆ กรณี เช่น กรณีวิกฤตจากการไม่สามารถปฏิบัติได้สําเร็จตามแผนกลยุทธ์ กรณีวิกฤตจากภาวะเศรษฐกิจถดถอยรุนแรง หรือกรณีวิกฤตจากอุบัติเหตุหรืออุบัติภัยทางธรรมชาติ เช่น น้ำท่วม หรือไฟไหม้อันกระทบต่อการปฏิบัติงานอย่างมาก นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และบริหารระดับสูง ควรกําหนดรายละเอียดการบริหารจัดการ และผู้มีอํานาจสั่งการและ/หรือ ลงลายมือชื่อแทนตามลําดับชั้น ในกรณีที่ผู้บริหารระดับสูงบางรายหรือส่วนใหญ่ไม่สามารถปฏิบัติหน้าที่ได้ ซึ่งแผนรองรับการดําเนินธุรกิจควรประกอบด้วย

(1) แผนรองรับด้านการปฏิบัติการ ได้แก่ แผนการกําหนดสถานที่ปฏิบัติงานและประมวลผลสํารอง และแผนป้องกันความเสียหายของระบบประมวลผลข้อมูล (electronic data processing – EDP)

(2) แผนรองรับด้านการบริหาร ได้แก่ แผนพัฒนาศักยภาพความสามารถด้านการแข่งขัน และแผนรองรับหากดําเนินการไม่สําเร็จตามแผนกลยุทธ์

สำหรับการวางแผนรองรับการดําเนินธุรกิจ (business continuity planning) เป็นเรื่องที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องตระหนักและให้ความสำคัญอย่างยิ่งยวด ในการเตรียมความพร้อมรับมือกรณีเกิดเหตุการณ์ไม่คาดคิดดังที่ผมได้กล่าวในข้างต้น และควรจัดให้มีการดำเนินงานตามแผนรองรับดังกล่าว ซึ่งในรายละเอียด ผมจะได้นำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags: , , , , ,
Comments Closed

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 11

เมษายน 21st, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในการติดตามและการตรวจสอบความเสี่ยงด้านกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ซึ่งมีหน้าที่รับผิดชอบการดําเนินงานโดยรวมขององค์กร ต้องกําหนดแนวทางการควบคุมความเสี่ยง เช่น นโยบาย มาตรฐาน วิธีการปฏิบัติงาน ระบบการบริหารความเสี่ยง ระบบการควบคุมภายใน ระบบการติดตามและรายงานความเสี่ยง เช่น รายงานเปรียบเทียบผลปฏิบัติงานจริงกับประมาณการ รายงานตรวจสอบภายใน เป็นต้น ซึ่งในการควบคุมความเสี่ยง องค์กรควรจะพิจารณาในประเด็นที่ผมจะได้กล่าวถึงต่อไปนี้

1. ระบบการควบคุมความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรกําหนดระบบการควบคุมความเสี่ยงที่เป็นแนวทางปฏิบัติที่ดีตามแนวทางสากล หน่วยงานที่ทําหน้าที่ติดตามและควบคุมความเสี่ยงต้องเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง (risk taking function) เพื่อถ่วงดุลอํานาจในการบริหาร โดยมีการสอบยันกันเพื่อป้องกันช่องโหว่ในการควบคุมภายใน รวมทั้งต้องมีการทดสอบการควบคุมความเสี่ยงอย่างสม่ำเสมอ โดยหน่วยงานที่เป็นอิสระทั้งจากภายในและภายนอก เพื่อให้มั่นใจว่าองค์กรมีการบริหารงานตามหลักธรรมาภิบาล และมีระบบการควบคุมความเสี่ยงที่เหมาะสม

การกําหนดให้ระบบการควบคุมความเสี่ยง และหน่วยงานบริหารความเสี่ยงเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง อาจดําเนินการได้โดยแยกหน่วยงานบริหารความเสี่ยงออกไป เช่น การจัดตั้งหน่วยงานสอบทานหรือตรวจสอบภายใน และการจัดให้มีคณะกรรมการบริหารความเสี่ยง ซึ่งไม่มีหน้าที่เกี่ยวข้องโดยตรงกับการตัดสินใจทางธุรกิจหรือ การดำเนินธุรกิจประจําวัน รวมทั้งการมีบุคลากรที่มีความชํานาญ และมีคุณสมบัติที่เหมาะสมกับงานในด้านที่เกี่ยวข้อง สามารถเข้าใจลักษณะแผนงาน/โครงการ การดำเนินงานและผลกระทบจากระดับความเสี่ยงขององค์กรเกินเพดานที่กําหนดไว้ เป็นต้น

ขอบเขตหน้าที่ของคณะกรรมการบริหารความเสี่ยงมีมากกว่าการกําหนดนโยบาย และการจัดให้มีกระบวนการบริหารความเสี่ยง โดยจะครอบคลุมการสอบทานการปฏิบัติตามเพดานความเสี่ยง การกําหนดความถี่ในการสอบทาน และประเภทความเสี่ยงที่จะสอบทาน ความถี่ในการสอบทานจะขึ้นอยู่กับระดับความเสี่ยงของหน่วยงานที่รับความเสี่ยง เช่น กิจกรรมหรือการดำเนินงานทางการเงินของฝ่ายการเงินที่ควรได้รับการสอบทานทุกวัน กิจกรรมที่ไม่เกี่ยวข้องกับการเงินอาจได้รับการสอบทานเป็นรายสัปดาห์หรือรายเดือน

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรได้รับรายงานต่าง ๆ เพื่อประกอบการสอบทานและการติดตามความเสี่ยง ได้แก่ รายงานการบริหารหนี้สินและทรัพย์สิน รายงานสภาพคล่องของธุรกิจองค์กร รายงานเกี่ยวกับแผนงาน หรือโครงการที่มีระดับความเสี่ยงสูง รายงานเปรียบเทียบผลปฏิบัติงานจริงกับเป้าหมาย เป็นต้น

2. นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดนโยบายและขั้นตอนการบริหารความเสี่ยง ตามประเภทของความเสี่ยงอย่างละเอียด ถูกต้อง ชัดเจน และเป็นลายลักษณ์อักษร เพื่อใช้เป็นแนวทางการปฏิบัติงานประจําวัน รวมทั้งกําหนดเพดานความเสี่ยง เพื่อจํากัดขอบเขตความเสียหายให้อยู่ในระดับที่ยอมรับได้

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรทบทวนนโยบายและขั้นตอนการบริหารความเสี่ยงอย่างสม่ำเสมอ เพื่อปรับปรุงให้เหมาะสมกับการเปลี่ยนแปลงของธุรกรรมขององค์กร หรือภาวะธุรกิจที่เปลี่ยนแปลงไปในประเด็นต่าง ๆ ดังนี้

(1) นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยงต้องครอบคลุมการระบุ การวัด การติดตามและรายงาน และการควบคุมความเสี่ยงของธุรกรรม แผนงาน/โครงการที่สําคัญ เช่น การลงทุน

(2) นโยบาย ขั้นตอนการบริหารความเสี่ยงและเพดานความเสี่ยง ควรสอดคล้องกับวัตถุประสงค์ เป้าหมาย และความสามารถโดยรวมขององค์กร ทั้งนี้ แผนงาน/โครงการที่ไม่ได้กําหนดไว้ในนโยบายหรือที่มิได้ระบุไว้ในแผนกลยุทธ์ ต้องผ่านความเห็นชอบจากคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงก่อนทุกครั้ง

(3) ควรกําหนดนโยบายให้มีการสอบทานแผนงานหรือโครงการใหม่ ๆ เพื่อให้มั่นใจว่าองค์กรมีเครื่องมือหรือระบบที่จําเป็นในการระบุ วัด ติดตาม และควบคุมความเสี่ยง ก่อนที่จะเริ่มแผนงาน/โครงการใหม่

(4) ต้องกําหนดแยกหน้าที่ความรับผิดชอบ และสายการบังคับบัญชา ในขั้นตอนการบริหารความเสี่ยงอย่างชัดเจน เพื่อประโยชน์ในการบริหารจัดการและมีผู้รับผิดชอบโดยตรงในแต่ละแผนก กิจกรรม หรือโครงการ

(5) ต้องกําหนดเพดานความเสี่ยงอย่างชัดเจน และสามารถวัดได้

3. การสอบทานแผนงาน/โครงการใหม่

ในการบริหารองค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องติดตามการเปลี่ยนแปลงของตลาด ความก้าวหน้าทางเทคโนโลยี และพยายามเสนอแผนงาน/โครงการใหม่ ๆ เพื่อยกระดับความสามารถในการแข่งขัน และตอบสนองต่อความต้องการของลูกค้า หรือผู้ใช้บริการ อย่างไรก็ตาม การเสนอแผนงานหรือโครงการใหม่สามารถเพิ่มความเสี่ยงแก่องค์กรได้ หากไม่พิจารณาอย่างละเอียดรอบคอบ

ดังนั้น องค์กรจึงต้องระมัดระวังอย่างยิ่ง สําหรับการวางแผนกลยุทธ์ในการเสนอแผนงาน/โครงการใหม่ เพื่อลดปัญหาและ ข้อผิดพลาดให้เกิดขึ้นน้อยที่สุด และควรกําหนดให้มีระบบและกระบวนการสอบทานการเสนอแผนงาน/โครงการใหม่ โดยต้องประเมินว่าจะมีผลกระทบมากน้อยเพียงใดต่อความเสี่ยงหลักขององค์กร คือ ความเสี่ยงด้านกลยุทธ์ (Strategic Risk -S) ความเสี่ยงด้านปฏิบัติการ (Operational Risk – O) ความเสี่ยงด้านการเงิน (Financial Risk – F) ความเสี่ยงด้านการปฏิบัติตามระเบียบ กฎหมาย กฎเกณฑ์ (Compliance Risk – C)

นอกจากนี้ องค์กรอาจใช้แบบจําลองเพื่อศึกษาผลกระทบที่อาจเกิดขึ้นจากแผนงาน/โครงการใหม่ต่อฐานะ รายได้และเงินลงทุนในสถานการณ์ต่าง ๆ รวมทั้งการใช้วิจารณญาณและประสบการณ์ของบุคลากรที่มีความเชี่ยวชาญประกอบการตัดสินใจ อย่างไรก็ตาม แม้ว่าแบบจําลองจะมีข้อจํากัดและไม่สามารถครอบคลุมทุกสถานการณ์ที่อาจเกิดขึ้น แต่สามารถใช้เป็นเครื่องมือที่ช่วยสร้างความมั่นใจให้กับผู้วิเคราะห์ได้ระดับหนึ่ง ทั้งนี้ องค์กรควรกําหนดกระบวนการสอบทานแผนงาน/โครงการใหม่อย่างครบถ้วน และปรับปรุงระบบการดําเนินงานและระบบควบคุมต่าง ๆ ก่อนใช้งานจริง ซึ่งควรครอบคลุมประเด็นดังต่อไปนี้

(1) การกําหนดหน้าที่การสอบทานอย่างชัดเจน องค์กรควรจัดตั้งคณะทํางานหรือคณะกรรมการย่อย ซึ่งประกอบด้วยตัวแทนระดับเจ้าหน้าที่อาวุโสจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องในองค์กร เพื่อให้มั่นใจว่าองค์กรสามารถประเมินผลกระทบที่อาจเกิดขึ้นจากการเสนอแผนงาน/โครงการใหม่ได้ครบถ้วน นอกจากนี้ หน่วยงานหลัก ได้แก่ ฝ่ายบริหารเงิน และฝ่ายบริหารความเสี่ยง และหน่วยงานสนับสนุน เช่น ฝ่ายบัญชี ฝ่ายกฎหมาย ฝ่ายบริหารบุคคล และ ฝ่ายตรวจสอบภายใน เป็นต้น ควรเข้ามามีส่วนร่วมในการพิจารณาแผนงาน/โครงการใหม่ด้วย และควรมีการจัดทํารายงานเสนอความเห็นจากหน่วยงานต่าง ๆ ต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับ มอบหมาย และผู้บริหารระดับสูงเป็นระยะ

(2) การวิเคราะห์และสอบทานแผนงาน/โครงการใหม่ หน่วยงานที่ทําหน้าที่ในการวิเคราะห์และสอบทาน จะต้องเข้าใจกระบวนการดำเนินงานของแผนงาน/โครงการใหม่อย่างชัดเจน เพื่อให้มั่นใจว่าการสอบทานครอบคลุมทุกประเด็นที่สําคัญ ได้แก่

(2.1) วัตถุประสงค์ของแผนงาน/โครงการ ระยะเวลาในการดำเนินงาน งบประมาณหรือการลงทุน

(2.2) ประโยชน์ที่คาดว่าจะได้รับ เมื่อเทียบระหว่างแผนงาน/โครงการใหม่กับแผนงาน/โครงการเดิมที่มีอยู่แล้ว

(2.3 ) ผลวิเคราะห์ความสําเร็จของแผนงาน/โครงการ

(2.4) ผลกระทบที่มีนัยสําคัญที่คาดว่าจะเกิดขึ้นต่อความเสี่ยงด้านต่าง ๆ และหน่วยงานที่เกี่ยวข้อง

(2.5) วิธีการระบุ วัด ติดตาม และควบคุมความเสี่ยงของแผนงาน/โครงการและผู้รับผิดชอบ

(2.6) ข้อจํากัดของทรัพยากรด้านต่าง ๆ ที่นำมาใช้ในระบบงาน และระบบเทคโนโลยีสารสนเทศปัจจุบัน และการเตรียมการปรับปรุงให้สามารถรองรับแผนงาน/โครงการใหม่ได้

(2.7 ) ความรู้ ความสามารถ และประสบการณ์ของพนักงานที่เกี่ยวข้อง

(2.8) การอนุมัติและความเห็นจากฝ่ายงานต่าง ๆ ที่เกี่ยวข้อง

ในการควบคุมความเสี่ยง ยังมีอีกหลายประเด็นที่คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรจะต้องพิจารณาในมุมมองของการติดตามและตรวจสอบด้านกลยุทธ์ ซึ่งผมจะขอนำเสนอต่อในครั้งหน้านะครับ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags: , , , , ,
No Comments

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 10

เมษายน 12th, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

หลังจากที่พนักงาน หรือฝ่ายงานขององค์กรได้ปฏิบัติและดำเนินงานตามแผนกลยุทธ์ ดังที่ผมได้เล่าสู่กันฟังไปแล้วในครั้งที่ผ่านมา สิ่งสำคัญที่คณะกรรมการ และผู้บริหาร ต้องใส่ใจอย่างยิ่งยวดและจะขาดเสียมิได้ ก็คือ การติดตามและรายงานความเสี่ยง ที่ผู้บริหารต้องนำไปใช้ในการวิเคราะห์และตัดสินใจ ซึ่งผมจะขอแบ่งเป็น 2 ส่วน คือ ในส่วนแรกจะเป็นเรื่องของระบบสารสนเทศเพื่อใช้ในการบริหารจัดการ สำหรับส่วนที่ 2 จะเป็นเรื่องของรายงานการติดตาม

การติดตามและการรายงานความเสี่ยงนั้น ควรกระทำอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า ความเสี่ยงที่มีอยู่ในระดับที่ยอมรับได้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรได้รับรายงานที่เกี่ยวข้องโดยมีความถูกต้อง ทันเวลา และมีความถี่ที่เหมาะสม เพื่อให้ข้อมูลสําคัญสําหรับการตัดสินใจของผู้บริหาร

ประสิทธิผลของการติดตามความเสี่ยง ขึ้นอยู่กับความสามารถในการระบุและวัดความเสี่ยงต่าง ๆ ซึ่งต้องอาศัยระบบข้อมูลสารสนเทศเพื่อการบริหาร หรือแบบจําลอง (model) ที่เหมาะสม ถูกต้อง และรวดเร็ว เพื่อช่วยในการวิเคราะห์และตัดสินใจ ดังนั้น คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงต้องจัดให้มีการพัฒนาและปรับปรุงระบบข้อมูลสารสนเทศ ให้สามารถระบุและวัดความเสี่ยงต่าง ๆ ได้อย่างแม่นยําและน่าเชื่อถืออยู่เสมอ เพื่อรองรับธุรกรรมหรืองานที่มีความซับซ้อนและหลากหลายขององค์กร เช่น องค์กรที่ประกอบธุรกรรมที่มีความซับซ้อนเป็นอย่างมาก ควรมีระบบการรายงานและระบบการติดตามความเสี่ยงที่สามารถวัดความเสี่ยงโดยรวมได้ นอกจากนี้ ระบบสารสนเทศขององค์กร ควรมีการรวบรวมข้อมูลทั้งจากภายใน เช่น ข้อมูลทางการเงิน การบัญชี และข้อมูลจากภายนอก เช่น สภาพเศรษฐกิจ ภาวะตลาด การแข่งขัน เทคโนโลยี และกฎเกณฑ์ของทางการ เป็นต้น

ระบบสารสนเทศเพื่อการบริหาร (MIS) ระบบสารสนเทศเป็นระบบหรือขั้นตอนที่ให้ข้อมูลสําคัญเพื่อการตัดสินใจและการบริหารที่มีประสิทธิผล ซึ่งจะช่วยสนับสนุนการดําเนินงานตามแผนกลยุทธ์ โดยทั่วไปมีวัตถุประสงค์เพื่อ
• จัดหา รวบรวม และประมวลผลข้อมูล
• สนับสนุนเป้าหมายกลยุทธ์และทิศทางขององค์กร
• ลดค่าใช้จ่ายในการดําเนินงาน
• ส่งเสริมการติดต่อสื่อสารของพนักงาน
• รายงานข้อมูลที่ซับซ้อนได้อย่างทั่วถึง

ระบบสารสนเทศที่มีประสิทธิผล จะต้องสนับสนุนการดําเนินงานตามวัตถุประสงค์ เป้าหมาย และการให้บริการต่าง ๆ ขององค์กรอย่างเพียงพอ สามารถเสนอรายงานในรูปแบบที่ต้องการได้ทันเวลา และกําหนดระดับชั้นการเข้าถึงข้อมูลที่เหมาะสม ซึ่งอาจเป็นได้ทั้งระบบอัตโนมัติและระบบประมวลผลโดยพนักงาน หรือทั้งสองอย่าง ที่สําคัญคือ การกําหนดวิธีการควบคุมที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลนั้นถูกต้องตามที่ต้องการ และมีการป้องกันความผิดพลาดในการเรียกข้อมูลจากหลายระบบงาน ซึ่งอาจทําให้เกิดการรายงานและการตัดสินใจที่ผิดพลาดขึ้นได้

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องให้ความสําคัญกับการพัฒนา การติดตั้ง และการทบทวนระบบสารสนเทศอย่างสม่ำเสมอ รวมทั้งควรกําหนดนโยบาย กรอบการปฏิบัติงาน และขั้นตอนการดําเนินงานเกี่ยวกับระบบสารสนเทศที่ครอบคลุมตั้งแต่การพัฒนา การบํารุงรักษา การรักษาความปลอดภัย จนถึงการปรับปรุงหรือเปลี่ยนแปลงระบบงานให้เป็นมาตรฐาน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องจัดให้มีระบบสารสนเทศเพื่อการบริหารที่ประกอบด้วย คุณสมบัติที่สําคัญ 5 ประการ ดังนี้

1) ทันกาล (timeliness) องค์กรควรมีระบบการรายงานที่สามารถจัดหา และส่งข้อมูลที่เป็นปัจจุบันไปยังผู้ใช้อย่างรวดเร็ว ทันต่อการตัดสินใจ ระบบดังกล่าวควรเก็บข้อมูล สรุปผล หรือปรับแก้ไขข้อผิดพลาดที่เกิดขึ้นได้อย่างรวดเร็ว

(2) ความถูกต้อง (accuracy) ควรมีการตรวจสอบข้อมูลนําเข้า ระบบ สารสนเทศ และผลลัพธ์ เพื่อให้มั่นใจว่ามีการประมวลผลข้อมูลอย่างถูกต้อง โดยกําหนดให้มีระบบการควบคุมภายใน การตรวจสอบและประเมินโดยผู้ตรวจสอบภายในและภายนอก และมีการสอบทาน อย่างต่อเนื่อง

(3) ความสม่ำเสมอ (consistency) การรวบรวมและประมวลผลข้อมูลควรมีความสม่ำเสมอและเป็นรูปแบบเดียวกัน เพื่อประโยชน์ในการเปรียบเทียบผลการดําเนินงานระหว่าง ฝ่ายงาน การวิเคราะห์ข้อมูลและแนวโน้มที่เปลี่ยนแปลงไป ทั้งนี้ ขั้นตอนการรายงานและรวบรวมข้อมูลอาจเปลี่ยนแปลงได้ตามความเหมาะสม คณะกรรมการฯ หรือคณะกรรมการ ที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดวิธีปฏิบัติและขั้นตอนการเปลี่ยนแปลงระบบดังกล่าว เป็นลายลักษณ์อักษร และสื่อสารให้เจ้าหน้าที่ที่เกี่ยวข้องรับทราบโดยทั่วถึง

(4) ความสมบูรณ์ของข้อมูล (completeness) รายงานควรมีลักษณะที่กระชับครบถ้วน เพื่อให้คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีข้อมูลที่ครบถ้วนและสอดคล้องกับประเด็นที่ต้องการตัดสินใจหรือแก้ปัญหา

(5) ความเกี่ยวข้อง (relevance) ข้อมูลที่เสนอคณะกรรมการฯ หรือ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องสอดคล้องและเหมาะสมกับระดับชั้นของผู้รับข้อมูล และต้องมีข้อมูลสําคัญที่จําเป็นต่อการตัดสินใจรวมอยู่ด้วยเสมอ

รายงานการติดตาม ในการประเมินความเพียงพอ และความเหมาะสมของการติดตามความเสี่ยงและรายงานต่าง ๆ ที่เสนอต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และ ผู้บริหารระดับสูง รวมทั้งระบบข้อมูลสารสนเทศขององค์กร ฝ่ายงานต่าง ๆ ควรพิจารณาปัจจัยดังต่อไปนี้

1) วิธีการติดตามความเสี่ยงและรายงานความเสี่ยง ครอบคลุมความเสี่ยงทุกด้านและเป็นลายลักษณ์อักษร

2) ข้อมูลและวิธีปฏิบัติงานมีความเหมาะสม เป็นลายลักษณ์อักษร และมีการทดสอบความน่าเชื่อถืออย่างสม่ำเสมอ

3) รายงานผลการดําเนินงาน และการสื่อสารภายในองค์กร มีความเหมาะสมกับปริมาณและความซับซ้อนของธุรกรรมขององค์กร

4) มีการจัดทํารายงานที่เสนอต่อคณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงที่ถูกต้อง ทันกาล และมีข้อมูลเพียงพอต่อการประเมินแนวโน้มและระดับความเสี่ยงขององค์กร

ครั้งหน้าเราไปติดตามการควบคุมความเสี่ยงกันครับ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , , , , , , ,
No Comments

 
show
 
close
How to Customize your Facebook Fan Box | Daddy Design http://t.co/KKKEnSNo via @daddydesign