Integrated Management / Audit and CAE – Chief Audit Executive ตอน 1

Asian CAE Leadership Forum 2010

ผมมีโอกาสได้ไปร่วมประชุม IIA Annual Conference and Asian CAE Forum ที่สิงคโปร์ ณ Resorts World Sentosa เมื่อวันที่ 29 ก.ย. – 1 ต.ค. 2553

สำหรับ Annual Conference 2010 เป็นหัวข้อของ Winning in the New Decade ซึ่งมี topic ที่น่าสนใจหลายเรื่องด้วยกัน เช่น
– The Future of Internal Auditing: A Global Perspective
– Revisiting Your Training & Staffing Needs – Who is The Future Internal Auditor?
– CAE Leadership: Meeting Challenges of New Decade
– Using Risk Analytics to Design Better Audits
– Arresting Corporate Fraud: What CAEs Should Know
– Optimising Your IA Function, Increasing Shareholders’ Value

จากเรื่องที่ผมได้ฟังในหัวข้อต่าง ๆ จากการประชุม ผสมผสานกับสิ่งที่ผมเข้าใจว่าทิศทางการตรวจสอบของผู้ตรวจสอบภายใน ในช่วงวันนี้ถึงวันข้างหน้าจะให้ความสนใจในเรื่องที่เกี่ยวข้องกับ IT Audit และ Non – IT Audit ที่เกี่ยวข้องกับ IT Risk และ Risk IT ที่มีผลกระทบต่อ Business Objective เป็นสำคัญ

ท่านผู้อ่านบางท่านอาจจะสงสัยว่า ทำไมผมจึงเอาหัวข้อนี้มาไว้ในเรื่องคุยกับผู้เขียน ทั้ง ๆ ที่เรื่องนี้เป็นหัวข้อที่เกี่ยวข้องกับเรื่อง Audit และเรื่องที่ผมไปประชุมที่สิงคโปร์นั้น ก็เป็นเรื่องที่เกี่ยวข้องกับ Audit ทั้งสิ้น

ผมขอทบทวนนะครับว่า Auditors ทำหน้าที่หลัก ๆ 2 ประการ คือ 1. Assurance 2. Consulting Service ให้กับองค์กร ในขณะที่ หน้าที่ทางด้าน Monitoring เป็นหน้าที่ของผู้บริหารขององค์กร ที่การทำหน้าที่ทั้ง 2 ดังกล่าวนั้น จะมีความสัมพันธ์ซึ่งกันและกัน ในมุมมองต่าง ๆ ของกระบวนการจัดการ ซึ่งมีบทบาทที่แตกต่างกันไป แต่มีวัตถุประสงค์ร่วมกันอย่างหนึ่งก็คือ การสร้างคุณค่าเพิ่มให้กับองค์กร และสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม (Stakeholders)

จากหลักการดังกล่าว หัวข้อต่าง ๆ ที่ปรากฎใน www.itgthailand.com นั้น ถึงแม้จะแตกต่างกันในชื่อ รวมทั้งสาระตามหัวข้อที่กล่าวนั้น แต่วัตถุประสงค์ร่วมของเว็บนี้ก็คือ เป็นเว็บเพื่อสังคมแห่งการเรียนรู้ สร้างความคิดอ่าน ที่สามารถสร้างคุณค่าเพิ่มได้ในระดับต่าง ๆ ทั้งภายในองค์กร และในระดับที่สูงขึ้นไป

วันนี้ ผมจึงขอนำสาระที่ได้จากการประชุมดังกล่าวมานำเสนอ ซึ่งเป็นเรื่องที่เกี่ยวข้องกับผู้บริหารงานตรวจสอบ หรือเรียกสั้น ๆ ว่า CAE มาไว้ในหัวข้อนี้ ซึ่งเรื่องที่กล่าวถึงนี้น่าจะเป็น trend ใหม่สำหรับงานบริหารการตรวจสอบที่มีแนวความคิดมาจาก การผสมผสานการตรวจสอบระหว่าง IT Audit และ Non – IT Audit ที่อยู่ภายใต้การบริหารงานตรวจสอบของ CAE และอยู่ภายใต้การกำกับดูแลของคณะกรรมการตรวจสอบ (Audit Committee) ซึ่งโดยปกติจะมีผู้แทนจากคณะกรรมการที่เป็นอิสระขององค์กรอย่างน้อย 3 ท่าน ที่อยู่ใน Audit Committee เป็นผู้ดูแลบริหารการตรวจสอบ

ในอดีตที่ผ่านมาและจนกระทั่งถึงทุกวันนี้ขององค์กรหลายแห่ง และอาจจะกล่าวได้ว่าองค์กรส่วนมากยังเข้าใจความหมายของ Integrated Audit และประโยชน์ของการตรวจสอบในลักษณะนี้ที่แตกต่างกันมาก จากการที่องค์กรไม่ได้มีการปฏิบัติที่เป็นรูปธรรมของการผสมผสานการตรวจสอบ และใช้ประโยชน์จากแนวคิดที่เป็นลักษณะ Interdependent Approach ของกระบวนการตรวจสอบ ระหว่าง IT Audit และ Non – IT Audit เข้ามาใช้เป็นพลังร่วม (Synergy)ในการขับเคลื่อนกระบวนการตรวจสอบ ไปสู่การจัดทำรายงานการตรวจสอบที่มีคุณภาพสูงสุด จากการหลอมรวมกระบวนความคิด ซึ่งนำไปสู่ความเข้าใจในการวางแผนการตรวจสอบ ที่คำนึงถึง Audit Universe หรือเรื่องที่ควรได้รับการทดสอบในภาพโดยรวมที่เกี่ยวข้อง ซึ่งจะเชื่อมโยงหรือมีผลกระทบต่อ กระบวนการจัดทำรายงาน ทั้งทางด้าน IT และ Non – IT ที่จะสัมพันธ์กับการควบคุมความเสี่ยง จาก Risk Universe ในแง่มุมต่าง ๆ ในมุมมองของ Business Balanced Scorecard และ Information Balanced Scorecard หรือแม้กระทั่งเป้าประสงค์หลักของการควบคุมความเสี่ยง ตามหลักการของ COSO – ERM ซึ่งก็ได้แก่ Strategic Risk – S, Operation Risk – O, Reporting Risk – R or F, Compliance Risk – C ที่ส่วนใหญ่จะเคยชินกันกับคำที่เรียกกันสั้น ๆ ว่า S – O – F – C

แนวทางการบริหารและการจัดการความเสี่ยงทั่วทั้งองค์กร ตามแนวทางของ COSO – ERM ที่นิยมใช้กันทั่วโลกและในประเทศไทยนั้น แทบจะไม่ได้กล่าวถึงผลกระทบ หรือ Impact จาก Risk IT และ IT Risk ที่มีผลต่อกระบวนการบริหารและการจัดการ รวมทั้งการจัดทำรายงานที่เป็นรูปธรรม ดังนั้น ในทางปฏิบัติ ผู้กำกับ ในฐานะ Regulators และผู้ปฏิบัติ ในฐานะ Operators ส่วนใหญ่จึงมองข้ามความสำคัญของกระบวนการระบุปัจจัยเสี่ยง จาก IT Risk ที่มีผลกระทบต่อกระบวนการควบคุม กระบวนการบริหาร และกระบวนการตัดสินใจ ซึ่งนำไปสู่ความเสี่ยงในการจัดการที่มีผลกระทบต่อประสิทธิภาพ และประสิทธิผลในการดำเนินงาน การทุจริต รวมทั้ง การลดโอกาสที่จะสร้างความเชื่อมั่น ความเชื่อถือ การสร้างคุณค่าเพิ่ม การสร้างความมั่นใจให้กับผู้มีผลประโยชน์ร่วม ทั้งภายในองค์กร และภายนอกองค์กร อย่างมีนัยสำคัญยิ่ง

ท่านผู้อ่านครับ การประชุมที่สิงคโปร์ครั้งนี้ ไม่มีหัวข้อที่เกี่ยวกับ Integrated Audit นะครับ ผมฟังหัวข้ออื่น ๆ ที่เกี่ยวข้องตามที่ได้กล่าวข้างต้นแล้วนำความเข้าใจดังกล่าวมาผสมผสานเป็นหัวข้อใหม่ ชื่อ Integrated Audit ที่มีความหมายและเข้าใจได้ในทันที สำหรับผู้ที่อยู่ในวงการบริหารการจัดการงานตรวจสอบ ซึ่งเป็นกระบวนการหนึ่งที่สำคัญมากต่อการสร้าง Business Value ให้กับองค์กรในแง่มุมต่าง ๆ เพื่อขับเคลื่อน Business Balanced Objectives หรือ Business Balanced Scorecard แล้วแต่กรณี

บทความเรื่องนี้จะนำเสนอในรูปแบบที่ให้แนวความคิดที่ผู้บริหาร ในฐานะที่ทำหน้าที่กำกับและติดตามผลการดำเนินงาน (Monitor) จากการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non -IT และ CAE รวมทั้งผู้ตรวจสอบภายใน ซึ่งทำหน้าที่ ในฐานะ Assurance และ Consulting Service ด้านต่าง ๆ นั้นมีความสัมพันธ์ซึ่งกันและกัน จะได้ประโยชน์จากแนวความคิดในลักษณะ Integrated Thinking ไปสู่การปฏิบัติในลักษณะ Integrated Doing เพื่อก้าวสู่หลักการใหญ่กว่า Integrated Management ก็คือ GRC ต่อไปครับ

 

Leave a Reply