Integrated Management / Audit and CAE – Chief Audit Executive ตอน 2

จากแนวความคิดและการบริหารแบบ Silo – Based ที่องค์กรหลายแห่งก็ยังเป็นเช่นนี้อยู่ในปัจจุบัน ตามที่ได้กล่าวใน Integrated Audit ตอนแรกแล้วนั้นจนนำผู้อ่านมาสู่แนวคิด และแนวปฏิบัติที่สามารถสร้างศักยภาพ และ Value Creation รวมทั้ง ยกระดับการแข่งขันเพื่อการขับเคลื่อน หลักการธรรมมาภิบาลไปสู่การปฏิบัติจริงได้ดียิ่งขึ้น โดยใช้ Integrated Management ซึ่งเป็นขั้นตอนแรก ๆ ที่จะนำไปสู่ Integrity – Driven Performance หรือ GRC ต่อไปนะครับ

จากจุดอ่อนตามที่กล่าวในตอนที่ 1 แล้วนั้น ในทางปฏิบัติของหลาย ๆ องค์กร ทั้งภายในและต่างประเทศหลายแห่ง เกิดจากการบริหารและการจัดการที่มีแนวความคิดจากโครงสร้างขององค์กร ที่ส่วนใหญ่ยังแบ่งงานในลักษณะ Silo – Based นั่นคือ การแบ่งงานตามหน้าที่ หรือตาม Function มากกว่า การคำนึงถึงกระบวนการในการดำเนินงาน ที่ในปัจจุบันใช้คอมพิวเตอร์เข้าช่วยในแทบทุกองค์กร ซึ่งกระบวนการทำงานโดยใช้คอมพิวเตอร์ในขั้นตอนการปฏิบัติงานเป็นส่วนใหญ่นั้น จะมีลักษณะเป็น Integrated – Based ซึ่งอาจจะกล่าวโดยย่อได้คือ เป็นการดำเนินงานที่เชื่อมต่อ กระบวนการทำงานในแต่ละกิจกรรมและในแต่ละขั้นตอนเข้าด้วยกันอย่างต่อเนื่อง ภายในสายงานเดียวกันและข้ามสายงานอย่างอัตโนมัติ โดยเฉพาะอย่างยิ่ง ขั้นตอนการประมวลผล (Process) ซึ่งในขั้นตอนนี้ องค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ในวงการการเงิน การธนาคาร ตลาดหลักทรัพย์ บริษัทการบิน และการให้บริการแบบอัตโนมัติ ทั้งในลักษณะ Online และ Offline โดยเฉพาะอย่างยิ่ง การให้บริการที่เป็นลักษณะ One Stop Service จะมีลักษณะการใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงานเป็นส่วนใหญ่ และมีนัยสำคัญยิ่งต่อความพึงพอใจของลูกค้า และผู้ที่เกี่ยวข้องอย่างมีนัยสำคัญที่ไม่อาจปฏิเสธได้

ความเป็นจริงดังกล่าวตามวรรคต้น มีนัยสำคัญยิ่งต่อกระบวนการควบคุมความเสี่ยง ที่เกี่ยวข้องกับ IT Risk และ IT – Related Risk ที่มีผลต่อ Business Risk ที่เชื่อมโยงกับ Business Process และ Business Control และลึกลงไปถึง Application Control และ General Control ตามหลักการจัดการบริหารที่เป็นกระบวนการที่ใช้ Computer – Based เป็นหลักทั้งสิ้น

ถึงแม้บทบาทของคอมพิวเตอร์ และระบบอัตโนมัติจะมีความสำคัญยิ่งยวดเพียงใด และนับวันช่องว่างระหว่าง Technology Computer กับศักยภาพหรือ Competency ของบุคลากร ในระดับบริหารจนถึงระดับปฏิบัติการ มีช่องว่างเพิ่มขึ้นตามลำดับ นี่คือความเสี่ยงที่มีนัยสำคัญยิ่ง และมีผลสำคัญมากต่อกระบวนการตัดสินใจที่มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานที่แท้จริง ที่หลายองค์กรยังต้องการความเข้าใจอย่างลึกซึ้งถึงผลกระทบต่อ IT Risk ที่มีผลต่อ Business Risk และกระบวนการตัดสินใจของผู้บริหารในภาพโดยรวม

ผู้บริหารของหลายองค์กรส่วนใหญ่ มักจะมีความเข้าใจคลาดเคลื่อนว่า เรื่องของเทคโนโลยี การควบคุมทางเทคโนโลยี และการจัดการทางด้านเทคโนโลยี เป็นของ CIO – Chief Information Officer จึงมีการมอบหมายงานสำคัญ ๆ ในการตัดสินใจไปยัง CIO และ CIO เกือบทั้งหมดก็มอบความไว้วางใจต่อ ๆ ไปยังผู้ใต้บังคับบัญชา รวมทั้ง Outsource ที่เกี่ยวข้อง ซึ่งเพิ่มความเสี่ยงในกระบวนการตัดสินใจ อันเกิดจากผลกระทบของ IT Risk ซึ่งมีผลต่อ Enterprise Risk Management อย่างสำคัญยิ่ง ทั้ง ๆ ที่เรื่องนี้เป็นความรับผิดและความรับชอบ ซึ่งเรียกสั้น ๆ ว่าเป็น Accountability ของผู้บริหารระดับสูงสุด รวมถึงคณะกรรมการที่จะต้องกำหนดนโยบายในเรื่องที่เกี่ยวข้องกับ การบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ในภาพโดยรวมให้เป็นภาพเดียวกัน มิใช่เพียงมาเชื่อมกัน หรือ นำมาต่อกันในภายหลัง+++ เท่านั้น

ท่านคิดอย่างไรบ้างครับ เมื่อได้อ่านเรื่อง Integrated Management / Audit ซึ่งเป็นการผสมผสานการตรวจสอบ IT Audit และ Non – IT Audit เข้าด้วยกัน เป็นหนึ่งเดียวในเป้าประสงค์ของการตรวจสอบโดยรวม แต่อาจแยกการปฏิบัติหน้าที่ โดยมีแนวความคิดและการวางแผนการตรวจสอบที่เกี่ยวข้องกับ Audit Universe ในลักษณะการเชื่อมโยงความเกี่ยวพันกัน ระหว่างการควบคุมความเสี่ยงทางด้าน IT และ Non – IT ไปสู่เป้าประสงค์ของการตรวจสอบ เพื่อฝ่ายบริหารระดับสูงและคณะกรรมการที่เกี่ยวข้อง ได้ใช้รายงานนี้เพื่อการตัดสินใจที่ถูกต้องเป็นสำคัญ มิใช่เป็นเพียงการจัดทำรายงานด้าน IT และคำแนะนำจุดอ่อนที่เกี่ยวข้องกับการควบคุมความเสี่ยงทางด้าน ICT เท่านั้น เพราะผู้บริหารจะให้ความสนใจอย่างจำกัด

ดังนั้น ในทางตรงกันข้าม การตรวจสอบทางด้าน IT Audit การตั้งสมมุติฐานว่า IT Security Control น่าเชื่อถือได้ โดยไม่สนใจความเป็นจริงตามหลักการและกระบวนการตรวสอบทางด้าน IT Audit และผลกระทบที่เกี่ยวข้องกับ Business Process ที่กระเพื่อมมาถึง Business Objective จากข้อมูลทางการเงิน และสารสนเทศที่ไม่น่าเชื่อถือ หรือเชื่อถือได้อย่างจำกัด ก็เป็นความล้มเหลวของการตรวจสอบทางด้าน IT Audit ในมุมมองต่าง ๆ เป็นอย่างยิ่ง

ตัวอย่างดังกล่าวมีมากมาย ทั้งในและต่างประเทศ ที่ผมจะได้มีโอกาสเล่าสู่กันฟังในโอกาสต่อ ๆ ไป