Posts Tagged "รัฐวิสาหกิจกับการประเมินผลแบบบูรณาการ"

Cyber Security Strategy and Enablers 1

กลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ

ในการประเมินศักยภาพและความสามารถของรัฐวิสาหกิจ ที่ได้มาตรฐานการกำกับและการบริหารที่ยอมรับได้ ตั้งแต่ปี 2563 เป็นต้นไปนั้น จะมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ นั่นคือ ได้มีการประกาศใช้พระราชบัญญัติการพัฒนาการกำกับดูแลและบริหารรัฐวิสาหกิจ (พ.ร.บ. พัฒนารัฐวิสาหกิจฯ) เมื่อวันที่ 19 พฤษภาคม 2562 ซึ่งถือเป็นหัวใจสำคัญของการปฏิรูปรัฐวิสาหกิจไทย โดย พ.ร.บ. พัฒนารัฐวิสาหกิจฯ ดังกล่าวได้กำหนดวัตถุประสงค์สำคัญในการพัฒนาการกำกับดูแลและบริหารรัฐวิสาหกิจไว้ 4 ประเด็น ซึ่งรวมถึงการส่งเสริมให้รัฐวิสาหกิจดำเนินการอย่างมีประสิทธิภาพ โปร่งใส สอดคล้องกับหลักการกำกับดูแลกิจการที่ดี และมีการประเมินผลการดำเนินการอย่างต่อเนื่อง

สคร. เห็นถึงความจำเป็นของการพัฒนาระบบประเมินผล เพื่อพัฒนาต่อยอดจากโครงการระบบประเมินผลเดิมที่สามารถใช้เป็นเครื่องมือในการกำกับ ติดตาม ประเมินผลการดำเนินงานรัฐวิสาหกิจที่มีความเหมาะสม เป็นรูปธรรม และสามารถสะท้อนถึงความมีประสิทธิภาพในการดำเนินงานได้อย่างแท้จริง โดยได้พิจารณานาข้อดี/จุดแข็ง ของระบบปัจจุบันที่มีมาใช้ ปรับปรุงข้อด้อยของระบบปัจจุบัน รวมทั้งปรับปรุง เพิ่มเติมประเด็นของการจัดการสมัยใหม่และ Update ให้เป็นปัจจุบัน และจะนำมาใช้ในการประเมินผลรัฐวิสาหกิจในปี 2563 โดยมีวัตถุประสงค์ เพื่อส่งเสริมให้รัฐวิสาหกิจตอบสนองกับสภาพแวดล้อมในการดำเนินภารกิจ/ธุรกิจ การแข่งขัน ความต้องการของผู้ใช้บริการ และ บริบทที่เปลี่ยนแปลงไป เช่น การเปลี่ยนแปลงของเทคโนโลยีดิจิทัล เป็นต้น รวมถึงนโยบายสาคัญ เช่น ไทยแลนด์ 4.0 ที่ต้องการขับเคลื่อนประเทศด้วยความคิดสร้างสรรค์และนวัตกรรมด้วยการดำเนินงาน ที่มีประสิทธิภาพ โปร่งใส ตรวจสอบได้

กรอบการประเมินผลการดำเนินงานรัฐวิสาหกิจ ปีบัญชี 2563 แบ่งออกเป็น 2 ส่วน ดังนี้
1. ผลการดำเนินงาน (Key Performance Area) (นำหนักร้อยละ 60 +/- 15) ได้แก่
1) การดำเนินงานตามยุทธศาสตร์ เช่น ยุทศาสตร์ชาติ, นโยบายรัฐบาล, แผนยุทธศาสตร์ของรัฐวิสาหกิจ ฯลฯ
2) ผลการดำเนินงานที่สาคัญ (Key Result) เช่น ผลการดำเนินงานตามภารกิจที่สาคัญ, แผนงานโครงการที่สาคัญที่สะท้อนประสิทธิภาพ ประสิทธิผล ผลสัมฤทธิ์ ฯลฯ

2. กระบวนการปฏิบัติงานและการจัดการ (Enablers) (นำหนักร้อยละ 40 +/- 15)

ทั้งนี้ มีองค์ประกอบที่อาจเรียกได้ว่าเป็นปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ (Enablers) 8 ด้าน คือ

1) การกำกับดูแลที่ดีและการนำองค์กร (Corporate Governance & Leadership)

2) การวางแผนเชิงยุทธศาสตร์ (Strategic Planning)

3) การบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control)

4) การมุ่งเน้นลูกค้าและผู้มีส่วนได้ส่วนเสีย (Stakeholder & Customer)

5) การพัฒนาเทคโนโลยีดิจิทัล (Digital Technology)

6) การบริหารทุนมนุษย์ (Human Capital Management)

7) การจัดการความรู้และนวัตกรรม (Knowledge Management & Innovation Management)

8) การตรวจสอบภายใน (Internal Audit)

แผนภาพที่อาจใช้อธิบายเพื่อความเข้าใจโดยย่อ มีดังนี้

ทั้งนี้ มีรายละเอียดที่ปรากฎใน ร่างคู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ระบบประเมินผลใหม่) ของ สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) ผมจึงขอออกความเห็นเป็นการส่วนตัว เพื่อให้เกิดความเข้าใจที่ดี ของหน่วยงานที่ต้องปฏิบัติ (Regulated Entities) ซึ่งก็ได้แก่ รัฐวิสาหกิจที่อยู่ในเกณฑ์ที่ต้องใช้หลักเกณฑ์นี้สำหรับประเมินผลการกำกับและการดำเนินงาน ตั้งแต่ปีบัญชี 2563 เป็นต้นไป ในลักษณะที่หน่วยงานต้องปฏิบัติ ควรจะได้เข้าใจถึงหลักการที่ สคร. ได้นำมาใช้ในการประเมินผล ที่ได้อ้างอิงถึงหลักการสากลที่เป็นทั้ง Best Practice และที่เป็นมาตรฐานสากลที่เกี่ยวข้อง เช่น COBIT, COSO, ฯลฯ ที่รัฐวิสาหกิจพึงนำมาประยุกต์ใช้ให้เหมาะสมกับสภาพแวดล้อมและบริบทต่างๆ ที่เกี่ยวข้อง ในลักษณะบูรณาการ Enabler ทั้ง 8 ด้าน ในภาพใหญ่ และในภาพย่อย ด้วยความเข้าใจจริงเป็นสำคัญ

หากท่านผู้อ่านได้ดูภาพที่ปรากฎข้างต้นก็จะพบว่า Enabler หลักทั้ง 8 ด้าน ในการกำกับและการบริหาร นอกจากจะต้องให้มีประสิทธิภาพและประสิทธิผลในตัวเองของมัน ในแต่ละเรื่องหรือในแต่ละ Enabler แล้ว ยังจะต้องบูรณาการทุก Enabler ให้มีความสัมพันธ์ซึ่งกันและกัน และต้องสอดคล้องกับปัจจัยหลักที่สำคัญยิ่งยวดเหนือสิ่งอื่นใดก็คือ Governance – GRC และ Cyber Security Governance – Strategy ที่เกี่ยวข้อง

ดังนั้น ภาพดังกล่าวจึงช่วยให้คณะกรรมการรัฐวิสาหกิจและผู้บริหาร รวมทั้งผู้ปฏิบัติแต่ละแห่ง เข้าใจได้ถึงขอบเขตและกรอบการดำเนินงานในภาพใหญ่โดยรวมตามที่กล่าวข้างต้น ทั้งนี้ ผู้เกี่ยวข้องจะต้องอ่านรายละเอียดจากร่างคู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ระบบประเมินผลใหม่) ให้ละเอียดตรงกับหลักการและวัตถุประสงค์ของคณะกรรมการประเมินผลฯ

ในตอนแรกนี้ ผมจะขอเน้นในเรื่องที่เกี่ยวข้องกับ Cyber Security Strategy Governance/Framework ซึ่งในที่นี้ใคร่ขอย้ำว่า ในอดีตเรียกว่า “Information Governance” ซึ่งเป็นหนึ่งในหมวดว่าด้วย Governance นั่นเอง ทั้งนี้ใคร่ขออธิบายด้วยภาพเบื้องต้นดังต่อไปนี้

 

<

จากภาพที่ 2 มีลักษณะอธิบายในตัวของมันเองถึง การใช้หลักการ Governance ที่อ้างอิง ISO กับ COBIT และบทบาทของผู้มีหน้าที่กำกับ (Governing Body/Regulator) และผู้มีหน้าที่ที่เกี่ยวข้องในเรื่องการบริหาร กระบวนการ และกิจกรรมต่างๆ ที่เกี่ยวข้อง โดยแยกเรื่อง Governance ออกจาก Management ที่เชื่อมโยงกับ 8 Enablers ในภาพใหญ่ตามภาพนะครับ

ภาพนี้แสดงถึงการเชื่อมโยงแต่ละ Enabler เข้ากับหลักการ COBIT ซึ่งผมได้เคยเขียนถึงก่อนหน้านี้แล้ว


ภาพที่ 4 แสดงถึง COBIT 5 Principle ซึ่งยังใช้ได้ดี ถึงแม้ ISACA จะออก version ใหม่มาแล้ว เรียกว่า COBIT 2019 แล้วก็ตาม ทั้งนี้ตามภาพได้เชื่อมหลักการกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จย่อยที่เป็นตัวเสริมความสำเร็จในการกำกับและบริหาร ทั้ง 8 Enablers ด้วยนะครับ

ในตอนต่อไปผมจะลงในรายละเอียดที่เกี่ยวข้องกับหลักการที่สำคัญ เพื่อสร้างความเข้าใจในทางปฏิบัติที่เกี่ยวข้องกับ Cyber Security Strategy และความเชื่อมโยงกับ governance และ Management ในมุมมองของหลักการใหญ่และหลักการย่อย รวมทั้ง ความหมายของคำว่า “Apply or Explain” ที่ใช้ในการประเมินผลรัฐวิสาหกิจปี 2563 ต่อไปครับ