Posts Tagged "การประเมินตนเอง (CSA – Control Self Assessment)"

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง เพื่อยกระดับการจัดการ ในบางมุมมอง (ต่อ)

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเอง (CSA – Control Self Assessment) ในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่ในระดับ 2 แล้ว แต่สามารถเชื่อมโยงและบูรณาการในการบริหารความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีด้วยนั้น

ท่านลองมาประเมินตนเองต่อนะครับ ว่าในองค์กรของท่านมีการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่แล้วพอสมควรนั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ในบางมุมมองของการบริหารความเสี่ยง เพื่อยกระดับให้สูงขึ้นไปได้ดังนี้

1. องค์กรมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง Risk Appetite และกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการทบทวน Risk Appetite และ Risk Tolerance ที่ระบุเป็นเชิงปริมาณ และมีความสอดคล้องกับเป้าหมายที่สำคัญขององค์กรตามที่ระบุไว้ในแผนงาน หรือตามที่องค์กรต้องดำเนินการให้เป็นไปตามมาตรฐานที่เกี่ยวข้อง

– องค์กรไม่ได้กำหนด Risk Appetite ในภาพรวมของแต่ละประเภทความเสี่ยง เช่น ด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ด้านการเสียชื่อเสียงขององค์กร ด้านความพึงพอใจของลูกค้าและผู้มีผลประโยชน์ร่วม ด้านการพัฒนาองค์กรและกระบวนการทำงาน และด้านการเรียนรู้ของบุคลากรในเรื่องที่เกี่ยวข้องกับการบริหารและการจัดการ ในมุมมองต่าง ๆ เช่น การไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ และข้อตกลงร่วมกันในระดับองค์กร

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร โดยองค์กรมีหน่วยงานที่รับผิดชอบการบริหารจัดการความเสี่ยงและมีการทำงานที่เป็นรูปธรรม หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการกำหนดหรือไม่มีการทบทวนโครงสร้าง บทบาทหน้าที่ กระบวนการ และผู้รับผิดชอบการบริหารความเสี่ยง ทั้งในระดับองค์กร และระดับฝ่ายงานอย่างชัดเจน เพื่อให้เกิดความเหมาะสมและมีประสิทธิภาพในการดำเนินงานยิ่งขึ้น

– ไม่มีการกำหนดผู้ทำหน้าที่กำกับดูแลและติดตามการบริหารความเสี่ยง ตามขั้นตอนต่าง ๆ และรายงานให้คณะกรรมการบริหารความเสี่ยงได้รับทราบและพิจารณา เพื่อกำหนด และหรือทบทวน Criteria, Risk Appetite และ Risk Tolerance รวมถึงนโยบายการควบคุมความเสี่ยงให้มีความเหมาะสม

– ไม่มีการกำหนดมาตรการควบคุมเพิ่มเติม หรือติดตามผลการดำเนินงาน รายงานคณะอนุกรรมการ และคณะกรรมการบริหารความเสี่ยง

– ในระดับสายงาน หรือฝ่ายงาน ไม่มีการมอบหมายให้มีการบริหารจัดการและการกำกับดูแลตามสายการบังคับบัญชา เพื่อรับผิดชอบด้านการบริหารความเสี่ยง และควบคุมภายในเป็นการเฉพาะ เพื่อมีหน้าที่ผลักดันงานด้านบริหารความเสี่ยง ให้เป็นไปตามทิศทางของแผนงานหลัก ในการบริหารความเสี่ยงระดับองค์กร

– ไม่ได้จัดทำกรอบ/มาตรฐานและถ่ายทอด สนับสนุน เครื่องมือ ข้อมูล หรือเทคนิค

– ไม่ได้มีการอบรมพัฒนา สร้างการรับรู้ ติดตามประเมินผลการดำเนินงานบริหารความเสี่ยง รวมถึงการรายงานผลการดำเนินงานให้ผู้ที่เกี่ยวข้องทราบ

3. การบริหารนโยบายและกลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงาน เพื่อให้การบริหารความเสี่ยงเป็นไปในระยะยาว หรือปลูกฝังอยู่ในองค์กร

– องค์กรไม่มีนโยบายและการปฏิบัติที่แสดงให้เห็นถึงการผลักดันให้มีการดำเนินงานบริหารความเสี่ยง เป็นไปในระยะยาว โดยการบรูณากระบวนการบริหารความเสี่ยงให้มีความสอดคล้องกับการบริหารงานหลักที่สำคัญ

– ไม่มีการแต่งตั้งเจ้าหน้าที่บริหารความเสี่ยงประจำสายงาน หรือฝ่ายงาน และไม่มีการมอบหมายให้เป็นบทบาทหน้าที่หลักให้กับผู้บริหารในแต่ละระดับ เพิ่มเติมจากการกำหนดงานที่ทำอยู่เป็นปกติ

4. องค์กรมีการบริหารความเสี่ยงแบบบูรณาการหรือไม่ โดยพิจารณาการบริหารความเสี่ยงทางด้านนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่าง ๆ ขององค์กร

– องค์กรไม่มีการบริหารความเสี่ยงที่พิจารณาถึงนโยบาย กลยุทธ์ เป้าหมาย แผนงาน/โครงการต่าง ๆ อย่างชัดเจน โดยเฉพาะการบริหารความเสี่ยงในระดับองค์กร เช่น ในการประชุมฯ คณะกรรมการไม่ได้แสดงความคิดเห็นเกี่ยวกับสถานการณ์ต่าง ๆ ที่อาจก่อให้เกิดผลกระทบต่อนโยบาย เป้าหมาย วิสัยทัศน์ พันธกิจ หรือแผนงาน/โครงการที่สำคัญขององค์กรเป็นประจำ เพื่อจัดให้มีการกำหนดมาตรการควบคุมความเสี่ยง หรือทบทวนมาตรการควบคุมที่มีอยู่ให้มีความเพียงพอและเหมาะสม

5. การพิจารณาว่าการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยง และผลกระทบที่มีต่อหน่วยงานต่าง ๆ ภายในองค์กร เช่น การบริหารผ่านต้นเหตุ และความสัมพันธ์ถึงผลกระทบที่ชัดเจน) โดยผ่านคณะกรรมการบริหารความเสี่ยงให้ความเห็นชอบ โดยในแผนการบริหารความเสี่ยงต้องแสดงให้เห็นถึงประโยชน์จาก Risk Map มากำหนดแผนการบริหารความเสี่ยงโดยรวมขององค์กร ตัวอย่างเช่น

– องค์กรไม่มีการจัดทำ Risk Map เพื่อใช้ประกอบการนำเสนอให้ผู้บริหารระดับสูง ตามโครงสร้างการบริหารความเสี่ยงและการควบคุมภายใน เพื่อการพิจารณาทบทวน การระบุ ประเมินความเสี่ยง รวมถึงเป้าหมายที่คาดหวังภายหลังการดำเนินการตามมาตรการควบคุมความเสี่ยงเพิ่มเติม

– องค์กรไม่ได้ใช้ Risk Map เป็นสื่ออีกรูปแบบหนึ่งในการสร้างความเข้าใจในการบริหารความเสี่ยงระดับองค์กร ซึ่งสามารถช่วยแสดงความสัมพันธ์ระหว่างปัจจัยเสี่ยงและผลกระทบซึ่งกันและกันของความเสี่ยงต่อเป้าประสงค์ต่าง ๆ ระดับองค์กร และระดับฝ่ายงาน เพื่อรับทราบภาพรวมของการบริหารความเสี่ยงได้อย่างสอดประสานกัน

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี โดยพิจารณาว่าฝ่ายบริหารได้จัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ IT Governance เช่น

– องค์กรไม่ได้มีการจัดโครงสร้างการบริหารจัดการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร ที่ประกอบด้วยผู้บริหาร คณะกรรมการ ที่ปรึกษาและคณะทำงานสนับสนุน เข้ามาดำเนินการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร และมีความสอดคล้องกับโครงสร้างขององค์กร

7. คณะกรรมการมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนด ในการสร้างมูลค่าเพิ่มทางด้านการเงิน และไม่ใช่ทางการเงิน เช่น การให้บริการที่รวดเร็วอย่าง One Stop Service เป็นต้น โดยพิจารณาว่า

– คณะกรรมการองค์กรมีส่วนในการพิจารณาอนุมัติกลยุทธ์ และแนวทางในการพัฒนาและการปรับปรุงการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรหรือไม่ โดยวิเคราะห์ความจำเป็นในการใช้ประโยชน์เทคโนโลยีสารสนเทศขององค์กร และได้บรรจุเป็นรายละเอียดของเรื่องดังกล่าวไว้ในแผนงาน/โครงการขององค์กร ประจำปี

8. คณะกรรมการตรวจสอบกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกัน ความเสียหาย การปรับปรุง และเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการ IT โดยพิจารณว่า

– คณะกรรมการตรวจสอบ มีการอนุมัติแผนการตรวจสอบประจำปี เพื่อทำการสอบทางการควบคุมทั่วไปทางด้านเทคโนโลยีสารสนเทศ และชี้แจงรายละเอียดให้ผู้เกี่ยวข้องได้ทราบถึงวัตถุประสงค์ ขอบเขต และแนวทางปฏิบัติ พร้อมรายละเอียดแผนการตรวจสอบประจำปี และได้ชี้แจงฝ่ายจัดการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เพื่อนำไปประยุกต์ใช้ในการดำเนินการด้านเทคโนโลยีสารสนเทศ หรือไม่

– คณะกรรมการตรวจสอบมีการกำกับดูแลและติดตามการจัดการกระบวนการป้องกัน ความเสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT (ITG) ในเรื่องของการเพิ่มประสิทธิภาพการปฏิบัติงาน และการใช้ประโยชน์จากระบบประมวลผลข้อมูลหรือไม่

9. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น และดีขึ้นจากอดีตทุกปัจจัยเสี่ยง โดยพิจารณาว่า

– ทุกปัจจัยเสี่ยงขององค์กร มีการระบุอย่างชัดเจนถึงระดับความรุนแรงของความเสี่ยง ทั้งก่อนและหลังการบริหารความเสี่ยง โดยที่ระดับความรุนแรงก่อนและหลักการบริหารความเสี่ยงแล้วนั้น องค์กรสามารถบริหารให้มีระดับความรุนแรงหลังจากการบริหารความเสี่ยงลดลง จากก่อนการบริหารความเสี่ยงหรือไม่

ขอให้ท่านลองประเมินตนเองในแง่มุมของการบริหารความเสี่ยง ที่เรียกว่า CSA – Control Self Assessment ว่าปัจจัยต่าง ๆ ตามที่กล่าวข้างต้นเพียงบางประการนั้น องค์กรของท่านได้ปฏิบัติอย่างมีคุณภาพเพียงใด และมีหลักฐานอะไรในการสนับสนุนการดำเนินการดังกล่าวที่เป็นรูปธรรม และพนักงานที่เกี่ยวข้องมีความเข้าใจในเรื่องดังกล่าวมากน้อยเพียงใด และมีการสื่อสารในเรื่องการบริหารความเสี่ยงทั่วทั้งองค์กรในมุมมองของ COSO – ERM ที่เชื่อมโยงกับ Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Risk หรือไม่ เพราะโดยส่วนใหญ่แล้ว องค์กรโดยทั่วไป มักจะละเลยความเสี่ยงจาก IT Risk ที่มีผลกระทบต่อ Business Objective ในภาพโดยรวม ซึ่งประเด็นดังกล่าวนี้เป็นเรื่องสำคัญยิ่ง และน่าจะมีส่วนเกี่ยวข้องในการปรับปรุงยกระดับการบริหารความเสี่ยงที่ให้ครอบคลุม ด้าน Risk IT และ IT Risk ที่มีผลต่อ Business Risk และแน่นอนว่าจะต้องเกี่ยวข้องกับการควบคุมภายใน และการตรวจสอบภายใน ตามมุมมองของ Risk IT และ IT Risk ในอนาคตอันใกล้

ทั้งนี้เพราะ COSO – ERM ไม่ได้กล่าวถึงการบริหารความเสี่ยงในมุมมองของ Risk IT และ IT Risk ในปัจจุบันที่ชัดเจนนัก แต่ COSO – ERM ในมุมมองของเทคโนโลยีที่เกี่ยวข้องเป็นเรื่องน่าสนใจมาก ที่ผมจะได้นำมาเล่าสู่กันฟังเพื่อยกระดับการบริหารความเสี่ยงในมุมมองของ GRC ต่อไปนะครับ