Posts Tagged "เกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ของ ก.คลัง และ ทริส"

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

วันนี้เป็นวันดี เริ่มต้นแห่งปีใหม่ 2553 ผมก็ขออำนวยพรให้ท่านผู้ติดตาม www.itgthailand.com แห่งนี้ มีความสุขความเจริญทุกท่านเลยครับ สำหรับเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 นี้ เราจะมาคุยกันต่อถึงประเด็นการพิจารณาในส่วนที่ 2 ซึ่งจะเป็นเกณฑ์การพิจารณาด้านระบบการบริหารการจัดการสารสนเทศ

จากการพิจารณาว่าแผนแม่บทฯและแผนปฏิบัติการ สอดคล้องตามประเด็นพิจารณาต่าง ๆ หรือไม่นั้น จะขึ้นอยู่กับว่าสามารถรองรับต่อความต้องการ / ความจำเป็น / ความเหมาะสมขององค์กร รวมถึงความต้องการของผู้บริหารหรือไม่ เช่น รัฐวิสาหกิจขนาดเล็กและการดำเนินงานไม่ซับซ้อนอาจเลือกใช้คอมพิวเตอร์เพียงเครื่องเดียวเพื่อสอดคล้องกับประเด็นพิจารณาของ “ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร” เมื่อสามารถแสดงให้เห็นว่าสามารถตอบสนองต่อความต้องการขององค์กรได้จริง

ประเด็นการพิจารณาในส่วนที่ 2 มีรายละเอียดดังนี้

2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ

2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร

เป็นระบบสารสนเทศ (Information System) ที่สามารถเก็บรวบรวมข้อมูล ทำการประมวลผล และสร้างสารสนเทศขึ้นมาเพื่อสนับสนุนการตัดสินใจ การวางแผน และการควบคุม ให้สอดคล้องกับความต้องการของผู้บริหาร โดยจะต้องใช้อุปกรณ์ทางคอมพิวเตอร์ (Hardware) และโปรแกรม (Application Program) ร่วมกับผู้ใช้ (Peopleware) ในการดำเนินงาน เพื่อก่อให้เกิดความสำเร็จในการได้มาซึ่งสารสนเทศที่มีประโยชน์ และสามารถนำมาใช้ได้อย่างมีประสิทธิภาพ

โดยหลักการในการสร้างระบบสารสนเทศจะประกอบด้วยคอมพิวเตอร์ ที่มีระบบการประมวลผลที่เป็นลักษณะงานพื้นฐาน (Transaction Processing Systems) เกี่ยวข้องกับการดำเนินงานประจำวันที่จำเป็นขององค์กร (Business Functions) ซึ่งโดยทั่วไปจะมี 5 ฟังก์ชัน คือ ระบบงานขายและการตลาด (Sales and Marketing) ระบบงานการเงินและระบบงานบัญชี (Finance and Accounting) ระบบทรัพยากรมนุษย์ (Human Resources) ระบบงานการผลิต (Manufacturing) และระบบงานอื่น ๆ ที่มีความจำเป็นเฉพาะในแต่ละองค์กร (Core Business Functions) ซึ่งข้อมูลในแต่ละระบบงานจะถูกจัดเก็บในฐานข้อมูล (Database) หลักขององค์กร และมีการเชื่อมโยงกับตัวแปรอื่น ๆ เช่น ลูกค้า ผู้จำหน่ายวัตถุดิบ คลังสินค้า เป็นต้น โดยจะมีโปรแกรม (Application Program) ที่ดึงข้อมูล และสรุปเป็นรายงานหรือสารสนเทศให้ตรงกับความต้องการของผู้บริหารและระดับความจำเป็นที่จะต้องใช้ในแต่ละองค์กร

แนวทางโดยสรุป Management Information System (MIS) ก็คือ ระบบสารสนเทศเพื่อการจัดการ ในส่วนของยุทธวิธีในการวางแผนการปฏิบัติ และการตัดสินใจของผู้บริหารระดับกลาง เป็นระบบที่สามารถออกรายงานสรุป (Summary Report) ในลักษณะที่เป็นงานประจำหรือ รายงานเรื่องใดเรื่องหนึ่งโดยเฉพาะ (Exception Report) เพื่อสนับสนุนการตัดสินใจของผู้บริหารได้ โดยอาจจะเป็นในรูปแบบกระดาษ หรือผ่านทางหน้าจอคอมพิวเตอร์ ตัวอย่างเช่น ระบบ MIS ขององค์กรที่เกี่ยวข้องกับการขนส่งสามารถออกรายงานสรุปยอดของจำนวนผู้ใช้บริการ ปริมาณงานขนส่ง และข้อมูลอื่นๆที่ผู้บริหารมีความต้องการเป็นรายวัน รายเดือนหรือตามความเหมาะสม ขึ้นอยู่กับความต้องการและลักษณะธุรกิจของแต่ละองค์กร

ส่วน Executive Information System (EIS) คือ ระบบสารสนเทศที่สนับสนุนการจัดการในการวางแผน นโยบาย กลยุทธ์ และการตัดสินใจของผู้บริหารในระดับสูง (Top Management) ที่สามารถออกรายงานสรุป (Summary Report) ทั้งที่เป็นลักษณะงานประจำ และที่ไม่ใช่ลักษณะงานประจำ และ ณ ช่วงเวลาใดก็ได้ตามต้องการ เพื่อสนับสนุนการตัดสินใจของผู้บริหารระดับสูงได้ โดยพิจารณาข้อมูลจากแหล่งต่าง ๆ ภายนอกองค์กร และนำมาประกอบการตัดสินใจในปัญหาที่ไม่มีโครงสร้างหรือรูปแบบที่แน่นอน ซึ่งอาจจะเป็นในรูปแบบของกระดาษ หรือหน้าจอคอมพิวเตอร์กราฟฟิก ตัวอย่างจากบริษัท Southstream Seafoods เป็นบริษัทนำเข้าและส่งออกอาหารทะเลแช่แข็ง เนื่องจากราคาของอาหารทะเลไม่คงที่ ผู้บริหารมีความจำเป็นที่จะต้องทราบราคาที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา โดยข้อมูลที่ผ่านการวิเคราะห์จากระบบ EIS ทำให้ได้รายงานที่สรุปถึงการเปลี่ยนแปลงของราคา ช่วงเวลาที่เกิดการเปลี่ยนแปลง และสาเหตุ ซึ่งผู้บริหารสามารถนำข้อมูลดังกล่าวมาคิดเป็นราคาที่เหมาะสมที่สุด ได้ราคาที่จะขายรวดเร็วกว่าคู่แข่ง และสามารถแจ้งให้ลูกค้าทราบได้ทันที ส่งผลให้เกิดข้อได้เปรียบทางด้านการตลาด

2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร

เป็นระบบการจัดการฐานข้อมูล (Database Management System) ที่เก็บรวบรวมข้อมูล ทำการประมวลผล และสามารถค้นคืนข้อมูล เพื่อให้ผู้บริหารมีสารสนเทศสำหรับใช้เป็นเครื่องมือในการติดตาม หรือวัดผลการดำเนินงานขององค์กรได้

โดยทั่วไปการที่จะมีระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กรได้นั้น จะต้องมีฐานข้อมูล (Database) ที่เก็บข้อมูลในแต่ละกระบวนการงาน (Transaction Processing Systems) ที่มีความสำคัญหรืออยู่ในความสนใจของผู้บริหาร และมีระบบการจัดการฐานข้อมูล (Database Management System) ซึ่งเมื่อมีการสืบค้นหรือดึงข้อมูลออกมา ก็จะทำให้ทราบถึงสถานภาพของการดำเนินงานที่เป็นอยู่ในปัจจุบัน ผู้บริหารสามารถที่จะทราบถึงระดับหรือความก้าวหน้าของการดำเนินงานว่าอยู่ ณ จุดใด สามารถที่จะวัดผลการดำเนินงานเป็นเปอร์เซ็นต์ของความสำเร็จได้

แนวทางโดยสรุปก็คือ ระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถจัดเก็บ ประมวลผล และสามารถสืบค้นข้อมูลที่เกี่ยวข้องกับกระบวนการปฏิบัติงานขององค์กร เพื่อให้ทราบถึงสถานะของการดำเนินงานว่าอยู่ ณ จุดใด ซึ่งจะช่วยให้สามารถติดตามหรือวัดผลการดำเนินงานกับเป้าหมายขององค์กรที่ตั้งไว้ได้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอที่สามารถวัดระดับความสำเร็จของงานได้ เช่น ระบบการจัดการฐานข้อมูลของบริษัทขายผลิตภัณฑ์รองเท้าแห่งหนึ่ง ซึ่งมีฐานข้อมูลของโรงงานการผลิตที่เชื่อมต่อกับฐานข้อมูลของ Supplier และมีระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิต (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งหากเกิดกรณีที่ Supplier ไม่สามารถจัดส่งวัตถุดิบได้ทันต่อกระบวนการผลิต ระบบการจัดการฐานข้อมูลนี้จะทำให้ผู้บริหารทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้ ว่า Supplier ไม่สามารถส่งวัตถุดิบได้ทันเวลา และเป็นวัตถุดิบประเภทใด จำนวนเท่าไร ณ Process ใด ทำให้สามารถที่จะแก้ปัญหา หรือปรับปรุง เปลี่ยนแปลงได้อย่างถูกต้อง ตรงจุด และมีประสิทธิภาพ

2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

ระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย เป็นระบบที่จะต้องมีระบบการจัดการฐานข้อมูล (Database Management System) เพื่อใช้ในการจัดเก็บ รวบรวม และการจัดการข้อมูลเพื่อให้ข้อมูลในแต่ละส่วนงานสามารถที่จะแสดงความสัมพันธ์กันได้ ซึ่งระบบการรายงานผลและสอบเทียบผลการดำเนินงานจะไปดึงข้อมูลในแต่ละส่วนงานที่เกี่ยวข้องกันจากฐานข้อมูลกลางที่องค์กรมี เพื่อนำมาเปรียบเทียบกับค่าเป้าหมายที่องค์กรตั้งไว้ เพื่อสรุปเป็นรายงานที่บ่งบอกให้ทราบถึงผลของการดำเนินงานที่เกิดขึ้น ซึ่งผู้บริหารสามารถนำรายงานดังกล่าว ไปใช้เป็นเครื่องมือในการตรวจสอบการดำเนินงานขององค์กรได้ว่าควรจะมีการปรับปรุง เปลี่ยนแปลง แก้ไขให้กระบวนการทำงานดีขึ้นได้อย่างไร และที่กระบวนการใด

แนวทางโดยสรุปของระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย ก็คือ ระบบที่สามารถออกรายงานที่แสดงถึงผลของการดำเนินงานตามเป้าหมายต่าง ๆ ที่ได้กำหนดไว้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอ ที่สามารถวัดระดับความสำเร็จของงานได้ เช่น บริษัทผลิตเสื้อผ้าแห่งหนึ่งใช้ฐานข้อมูลของ Oracle ที่ Run บน IBM AS/400 Server และมี Show Case Software (Report Generator) ที่สามารถออกรายงานตามที่ต้องการได้ และสามารถเปรียบเทียบยอดการผลิตในแต่ละช่วงเวลากับที่ทางบริษัทได้ตั้งเป้าไว้ ทำให้ทราบถึงจำนวนที่ขาดเหลือและเปอร์เซ็นต์ที่ขาดเหลือดังกล่าว ระบบสามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิตเสื้อผ้า (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งจะทำให้ผู้บริหารสามารถติดตาม และทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง

2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง

ระบบในการบริหารความเสี่ยงจำเป็นจะต้องอาศัยระบบสารสนเทศที่เหมาะสมในการเก็บข้อมูลพื้นฐานและประมวลผลข้อมูล ซึ่งปัญหาของการเก็บข้อมูลในระบบคือ ข้อมูลในระบบอาจถูกนำเสนออย่างไม่เที่ยงตรงและไม่มีความสอดคล้องกับการนำเสนอข้อมูลในส่วนอื่นของระบบ และข่าวสารบางส่วนอาจมีข้อผิดพลาด คลุมเครือ หรือไม่ได้รับการแบ่งแยกอย่างเหมาะสมสำหรับการนำเสนอทางธุรกิจ

ดังนั้น ระบบสารสนเทศที่เหมาะสมจึงเป็นสิ่งสำคัญในการจัดเก็บข้อมูลพื้นฐานในแต่ละหน่วยงานขององค์กร ทั้งนี้ เพื่อให้มีศูนย์กลางในการรวบรวมข้อมูลในแต่ละหน่วยขององค์กร เพื่อให้แต่ละหน่วยสามารถแลกเปลี่ยนข้อมูลกันได้ และเพื่อให้ผู้บริหารสามารถดึงข้อมูลที่ต้องการเพื่อใช้เป็นแนวทางในการตัดสินใจถึงการบริหารความเสี่ยงใน แต่ละหน่วยงาน และเชื่อมโยงถึงการบริหารความเสี่ยงในภาพรวมขององค์กร

ตามหลักการแล้ว ในองค์กรจะมีศูนย์กลางที่เรียกว่า Risk Data Warehouse ซึ่งทำหน้าที่เก็บข้อมูล รวบรวมข้อมูล และประมวลผลข้อมูลในเบื้องต้นให้กับผู้บริหาร โดยข้อมูลดังกล่าวจะมาจากหน่วยงานต่างๆ ทั้งภายในและภายนอกองค์กร ดังนั้น หน้าที่หลักของ Risk Data Warehouse คือรวบรวมข้อมูลจากฝ่ายต่างๆ และนำมาจัดเรียงให้อยู่ในรูปแบบ (Format) ที่ฝ่ายบริหารต้องการเพื่อจะนำไปประมวลผลข้อมูลได้ทันที และระบบสารสนเทศต้องสามารถรองรับได้ทันทีหากข้อมูลมีการเปลี่ยนแปลงไป

Risk Data Processing

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถรวบรวมข้อมูลจากหน่วยงานต่างๆ ในองค์กร เพื่อเป็นศูนย์กลางในการรวบรวม แลกเปลี่ยนข้อมูลระหว่างหน่วยงาน และเพื่อให้ผู้บริหารสามารถใช้ข้อมูลเพื่อเป็นแนวทางตัดสินใจในการบริหารความเสี่ยงได้

ตัวอย่าง : ธนาคารแห่งหนึ่งมีหน่วยงานภายในหลายหน่วยงาน ล้วนแต่มีกิจกรรมที่ต่างกันและมีผลิตภัณฑ์ของแต่ละหน่วยงานที่ต่างกัน ดังนั้น จำเป็นต้องมีระบบสารสนเทศที่ทำการจัดเก็บข้อมูลในแต่ละหน่วยงาน เพื่อสามารถแปลงข้อมูลในแต่ละหน่วยงานที่มีความแตกต่างกันนี้ ให้อยู่ในรูปแบบเดียวกัน เพื่อให้ผู้บริหาร หรือหน่วยงานที่เกี่ยวข้องสามารถนำไปตัดสินใจในส่วนที่เกี่ยวข้องกับการบริหารความเสี่ยงได้ โดยผู้บริหารต้องทำการเรียกดูข้อมูลได้อย่างรวดเร็ว และเป็นข้อมูลที่ถูกต้องและอยู่ในรูปแบบที่เหมาะสมในการตัดสินใจ

โดยที่ข้อมูลดังกล่าว อาจจะมาจากภายในธนาคารเอง (Internal) หรือภายนอกธนาคาร (External) เช่น ข้อมูลของสาขาต่างประเทศของธนาคารดังกล่าวก็ได้ ซึ่งจะเป็นการใช้ประโยชน์จากระบบการเชื่อมโยงระหว่าง Server ของสาขา โดยระบบสารสนเทศนี้ต้องมีสามารถรองรับการเปลี่ยนแปลงของข้อมูล ในกรณีที่ข้อมูลมีการเปลี่ยนแปลง (Update) อยู่ตลอดเวลาได้

2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early warning system (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)

องค์ประกอบหลักของการบริหารความเสี่ยงที่สำคัญคือ การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ซึ่ง ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง และองค์กรต้องมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ระดับเสียหายข้างต้นด้วย

ดังนั้น ระบบสารสนเทศ จะต้องสนับสนุนการมี Early Warning System เพื่อป้องกันความเสี่ยงหลัก โดยจัดให้มี Management Trail เพื่อการติดตาม สอบทานแบบต่อเนื่องอย่างเหมาะสม ในการบริหารความเสี่ยง

แนวทางโดยสรุป ระบบ Early Warning System คือ ระบบสารสนเทศที่สนับสนุนการจัดรูปแบบและประมวลผลข้อมูลให้อยู่ในรูปของระดับความรุนแรงในการเกิดเหตุการณ์ และโอกาสของการเกิดความเสี่ยงแต่ละประเภท เพื่อให้องค์กรได้กำหนดระดับที่ยอมรับได้ของความเสี่ยง (Limited Risk Level) ได้ และหากระดับความเสียหายเกินกว่า Level ที่ยอมรับได้ ระบบจะต้องทำการเตือน / รายงานทันทีโดยทันกาล (Timely manner)

ตัวอย่าง : องค์กรแห่งหนึ่ง ได้กำหนดระดับความเสียหาย (ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) ไว้ 5 ระดับ โดยทำเป็น Matrix ดังนี้

จากตารางด้านบน จะพบว่า องค์กรกำหนดระดับความถี่ไว้ 5 ระดับ และระดับความรุนแรงไว้ 5 ระดับ ดังนั้นระดับความเสียหาย จะอยู่ที่ระดับต่ำสุดคือ 1 และระดับสูงที่สุดคือ 25

ขั้นตอนของระบบในการประมวลผลและมีระบบเตือนภัย
1. ระบบสารสนเทศ จะทำการรวบรวมข้อมูลความเสี่ยงจากแต่ละหน่วยงาน โดยแต่ละหน่วยงานต้องระบุระดับความถี่และระดับความรุนแรงของความเสี่ยงแต่ละประเภท
2. องค์กรจะต้องระบุระดับความเสียหายที่ยอมรับได้ ซึ่งในที่นี้ ยกตัวอย่างระดับความเสียหายที่ยอมรับได้เท่ากับ 9
3. เมื่อระบบรวบรวมข้อมูลความเสี่ยงซึ่งระบุระดับความเสียหายของแต่ละหน่วยงานแล้ว ระบบจะต้องประเมินผลระดับความเสียหายของแต่ละปัจจัยเสี่ยง หากปัจจัยเสี่ยงใดมีระดับความเสียหายที่เกิน 9 (เกินระดับที่ยอมรับได้) ระบบจะต้องมีสัญญาณเตือน / รายงาน / แจ้งต่อผู้บริหารถึงระดับความเสียหายที่เกิดขึ้น เพื่อที่ผู้บริหารจะได้บริหารจัดการต่อความเสี่ยงนั้นได้ทันท่วงที

2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
• การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) โดยรัฐวิสาหกิจสามารถเลือกมาตรฐานที่ใช้ควบคุมป้องกันมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ทั้งสิ้น 10 ประการ ดังนี้

IT Security ของศูนย์คอมพิวเตอร์หลัก

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

• การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up) โดยรัฐวิสาหกิจต้องมีการควบคุมป้องกันศูนย์คอมพิวเตอร์สำรองตามคุณลักษณะที่กำหนดเช่นเดียวกัน ซึ่งรัฐวิสาหกิจสามารถเลือกมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ดังนี้

Off-site Back up

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

ครั้งหน้าจะไปต่อกันในส่วนของระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายในกันครับ

 

เกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553

เพื่อเป็นการเตรียมพร้อมสำหรับการประเมินการบริหารสารสนเทศของรัฐวิสาหกิจในปีหน้า วันนี้ผมจะขอนำเสนอเกณฑ์ในการประเมินการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปีบัญชี 2553 โดยเกณฑ์การประเมินนี้จะกล่าวถึง ระบบสารสนเทศที่สามารถนำมาช่วยสนับสนุนการดำเนินงาน และเพิ่มประสิทธิภาพของรัฐวิสาหกิจ และยังมีบทบาทเป็นโครงสร้างพื้นฐานที่จำเป็นต่อการดำเนินงานของรัฐวิสาหกิจ อันเนื่องมาจากความสามารถของระบบในการรองรับธุรกรรมจำนวนมาก

ดังนั้น ในการประเมินการบริหารจัดการสารสนเทศ จะพิจารณาจากแผนแม่บทสารสนเทศ (IT Master plan) ว่าจะสามารถตอบสนองต่อความต้องการของรัฐวิสาหกิจและนโยบายหรือไม่ รวมถึงการดำเนินงานตามแผนแม่บทฯ ที่องค์กรได้กำหนดขึ้นและผลลัพธ์ของการดำเนินงานดังกล่าว

หลักเกณฑ์การพิจารณาการบริหารการจัดการสารสนเทศ ซึ่งดำเนินการโดยคณะอนุกรรมการบริหารสารสนเทศของ สคร. – กระทรวงการคลัง แบ่งออกเป็น 2 ส่วน ได้ดังนี้

ส่วนที่ 1 การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)

ส่วนที่ 2 การบริหารการจัดการสารสนเทศ
มีการวิเคราะห์แผนงาน/โครงการ เพื่อให้สอดคล้องกับแผนแม่บทสารสนเทศ ดังนี้ :-
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่าง ๆ ของรัฐบาล
2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ และผู้มีส่วนได้

ดูภาพจากด้านล่างนี้นะครับ แล้วจะเข้าใจชัดเจนยิ่งขึ้น

สำหรับรายละเอียดในแต่ละหัวข้อ ผมจะเล่าให้ฟังในครั้งหน้านะครับ

 

เกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553

ครั้งก่อน เราได้จบเกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วนั้น มีผู้บริหารของรัฐวิสาหกิจหลายท่าน อาจมีความเข้าใจการประเมินการบริหารความเสี่ยงที่เพิ่มแนวทางการบริหาร GRC – Governance + Risk Management + Compliance และ Portfolio View of Risk ซึ่งเป็นเรื่องใหม่ทั้ง 2 เรื่องพอสมควร

ผมจึงขอสรุปคุณลักษณะของการบริหาร GRC อย่างสั้นที่สุดมาให้ท่านได้ทราบตาม Slide ที่ปรากฎด้านล่างนี้ครับ

สำหรับ Portfolio View of Risk ท่านอาจจะทำความเข้าใจได้ง่ายขึ้น เมื่อเห็นแผนภาพด้านล่างนี้ด้วยเช่นกัน

กล่าวโดยสรุปสำหรับ Portfolio View of Risk ในอีกมุมมองหนึ่งของการอธิบายก็คือ การบริหารจัดการกับความเสี่ยง ในมุมมมองของการควบคุมความเสี่ยง 4 เรื่อง หลัก ๆ ตามหลักการของ COSO – ERM คือ Strategy Riks – S, Operational Risk – O, Financial and Reporting Risk – F, Compliance Risk – C นั้น จะมีแผนงาน/โครงการต่าง ๆ เพื่อการจัดการกับความเสี่ยง ตามหัวข้อใหญ่ S – O – F – C ในหลายเรื่อง หรือในหลายโครงการด้วยกัน และในแต่ละเรื่องจะมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) และ/หรือ Risk Tolerance ระดับความเสี่ยงที่เบี่ยงเบนจาก Risk Appetite ว่าในที่สุดแล้ว จะมีผลกระทบต่อเป้าประสงค์ของ Performance ตามมุมมองของ Balanced Scorecard – Business BSC ซึ่งใช้แนวทาง COSO – ERM ในการประเมิน เพราะเป็นการประเมินทางด้าน Non – IT เป็นหลัก

นอกจากนี้ ผู้บริหารและผู้ที่เกี่ยวข้องยังต้องประเมินผลกระทบต่อ Conformance หรือการปฏิบัติตามมาตรฐาน (Standards) หรือกรอบการปฏิบัติงานที่ดี (Best Pactice Framework) และกฎหมาย กฎเกณฑ์ที่เกี่ยวข้อง ซึ่งเป็นที่ยอมรับกันทั่วไป โดยปกติจะใช้กรอบการปฏิบัติที่ดีเพื่อประเมินผลกระทบจากความเสี่ยงทางด้าน COSO – ERM และ IT นั่นก็คือ การใช้ ITG – CobiT มาเกี่ยวข้องในการประเมิน โดยเปรียบเทียบกับ IT Balanced Scorecard โดยปกติจะเชื่อมโยงกับ Best Pactice Standard ต่าง ๆ เช่น ISO 27001, ISO 20000, ISO 9001:2000 และทั้งหมดจะเชื่อมโยงกับ Process and Procedures อย่างเป็นกระบวนการ เช่น ITIL, Security Principles และ Quality Assurance – QA Procedure ซึ่งอธิบายได้ง่ายกว่ามากโดยดูจากแผนภาพด้านล่างนี้

ทั้งการประเมินประสิทธิภาพ ประสิทธิผลในการดำเนินงานทางด้าน Performance และ Conformance ตามที่กล่าวข้างต้น จะต้องได้ดุลยภาพในการจัดการที่ดี ทั้งด้าน IT และ Non – IT นี่ก็เป็นส่วนหนึ่งของกระบวนการบริหาร GRC และเป็นการขับเคลื่อน Integrity – Driven Performance อีกด้วย

ขอให้ดูรูปภาพที่เกี่ยวข้องนะครับ ท่านจะได้เข้าใจหลักการบริหารแบบบูรณาการในมิติต่าง ๆ เพิ่มขึ้น

ผมตั้งใจที่จะสรุปแต่อธิบายยาวไปนิดนึงนะครับ ก่อนที่จะเริ่มนำหลักเกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 ที่กำหนดโดยคณะกรรมการประเมินผลรัฐวิสาหกิจ ด้านสารสนเทศ ของกระทรวงการคลังมาเล่าสู่กันฟังในตอนต่อไป

 

เกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ) และเกร็ดความเข้าใจในบางมุมมอง

ในช่วงเวลานี้ ผมกำลังนำหลักเกณฑ์การประเมินรัฐวิสาหกิจประจำปี 2553 ที่กระทรวงการคลัง โดย สคร. ร่วมกับคณะกรรมการประเมินผลชุดต่าง ๆ ที่ได้ศึกษาและกำหนดเกณฑ์การประเมินผลของรัฐวิสาหกิจ ประจำปี 2553 มานำเสนอ เพื่อให้ผู้ที่เกี่ยวข้องได้ติดตามเพิ่มเติมจากแหล่งที่เป็นที่มาหลัก ๆ ก็คือ สคร. และ ทริส

ผมจะพยายามนำเสนอความเข้าใจเพิ่มเติมในบางมุมมองที่เกี่ยวข้องกับการประเมิน และการปฏิบัติงานการบริหารของ รส. โดยใช้รูปภาพ หรือแผนภาพ แทนการอธิบายด้วยลายลักษณ์อักษร เพื่อประกอบความเข้าใจตามสมควร ควบคู่กันไปกับการนำเสนอหลักเกณฑ์การประเมินตามหลักการของ สคร.

ความเข้าใจเพิ่มเติมในบางมุมมองที่เกี่ยวข้องกับการประเมิน และการปฏิบัติงานการบริหารของรัฐวิสาหกิจ

ต่อจากนี้ จะเป็นเกณฑ์การประเมินผลการบริหารความเสี่ยงของ รส. ในส่วนที่ 2 ซึ่งเป็นเกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง ที่ยังคงค้างกันเอาไว้จากครั้งที่แล้ว ผมจะขอต่อด้วยเกณฑ์ข้อที่ 2 เลยนะครับ

2. มีกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน

3. มีการทบทวนและปรับปรุงการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรง

4. จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง เช่น จรรยาบรรณ และผู้บริหารรับฟัง การท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น โดยพิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

4.1. ความเหมาะสมและเพียงพอของช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.2. ประสิทธิผลของการใช้ช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.3. การสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

5. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)

5.1. ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน

5.2. มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

5.2.1. การวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน

5.2.2. วิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายที่มิใช่ทางการเงิน

5.2.3. การวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

หลักการองค์กรแห่งการเรียนรู้ 5 ประการของ Peter Senge ประกอบด้วย
1. Systems Thinking กระบวนการคิด/วางแผน/จัดการที่เป็นระบบ
2. Personal Mastery การสร้างวินัยของบุคคล
3. Mental Models การปรับเปลี่ยนแนวความคิดของบุคคล
4. Building shared vision การมีวิสัยทัศน์ร่วมกัน
5. Team learning การเรียนรู้ของกลุ่ม/ฝ่าย/ทีม

5.3. มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

การสื่อสารภายใน ควรจะสื่อถึงเรื่องดังต่อไปนี้อย่างมีประสิทธิผล
• ความสำคัญและความจำเป็นของการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผล
• วัตถุประสงค์ขององค์กร
• ระดับความเสี่ยงที่องค์กรยอมรับได้ และช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้
• การใช้ภาษาเดียวกันในเรื่องความเสี่ยง
• บทบาทและความรับผิดชอบของบุคลากรที่จะสนับสนุนและนำองค์ประกอบต่างๆ ของการบริหารความเสี่ยงขององค์กรมาใช้

นอกจากความจำเป็นที่ต้องมีการสื่อสารที่เหมาะสมภายในองค์กรแล้ว ยังจำเป็นที่จะต้องมีการสื่อสารภายนอกที่เหมาะสมด้วย ด้วยช่องทางการสื่อสารภายนอกที่เปิดต่อกลุ่มผู้มีส่วนได้เสีย โดยเฉพาะการเปิดช่องทางการสื่อสารเกี่ยวกับระดับความเสี่ยงที่องค์กรยอมรับได้กับช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Appetite และ Risk Tolerance) นั้น มีความสำคัญ โดยเฉพาะสำหรับองค์กรที่ต้องเชื่อมโยงกับองค์กรอื่น ซึ่งการสื่อสารต่อกลุ่มผู้มีส่วนได้เสีย จะต้องให้สารสนเทศที่ตรงกับความต้องการของกลุ่มบุคคลนั้น ๆ

ครั้งหน้าผมจะมาต่อในส่วนที่เหลือให้จบ โปรดติดตามต่อนะครับ

 

CG+ITG+GRC กับ เกณฑ์การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ของ ก.คลัง และ TRIS

เราได้คุยกันถึงเรื่อง การกำกับดูแลกิจการที่ดี ( CG-Corporate Governance ) ซึ่งมีหลีกการใหญ่ ๆ 7 ประการด้วยกัน โดยทั่วไปการบริหารและการจัดการเพื่อก้าวไปสู่ CG ก็ยังขาดความเป็นรูปธรรมหลายประการ ในรูปธรรมที่เกี่ยวกับองค์ประกอบในแต่ละข้อของ CG และรูปธรรมของการเชื่อมโยงการบริหารการจัดการ CG ทั้ง 7 ข้อเข้าด้วยกันในลักษณะเป็นอวัยวะภายในร่างกายเดียวกัน ซึ่งเป็นเรื่องของความเข้าใจ ความหมายและการปฏิบัติตามคำที่เรียกสั้น ๆ ว่า Interdependency Approach

นอกจากนี้ การบริหารแบบบูรณาการ โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยงตามกรอบของ COSO – ERM นั้น การบริหาร CG จะต้องบริหารควบคู่กันไปกับ ITG หรือ IT Governance ด้วยเสมอ

ผมได้เขียนและอธิบายความหมายและกรอบการดำเนินงานย่อ ๆ ของ IT Governance ไปแล้วในหัวข้อที่เกี่ยวข้อง ซึ่งอาจกล่าวได้ว่าเป็นกระบวนการบริหารจัดการที่เน้นความถูกต้อง และความน่าเชื่อถือได้ของข้อมูล หรือสารสนเทศที่เรียกว่า Information ที่ใช้ในการจัดการเพื่อการบริหารทั้งองค์กร ตามกรอบ และวัตถุประสงค์หลักของ COSO – ERM คือ การบริหาร Strategic Risk การบริหาร Operation Risk การบริหารรายงานต่าง ๆ รวมทั้งรายงานทางการเงิน ซึ่งอาจเรียกได้ว่า Reporting Risk หรือ Financial Risk รวมทั้งการบริหารการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ หรือ Compliance Risk ซึ่งเป็นหัวใจสำคัญอย่างยิ่งยวด ของความสำเร็จในการบริหารแบบบูรณาการตามหลักการของ GRC คือ Governance + Risk Management + Compliance ซึ่งเป็น Statement ใหม่ ที่เป็น First Priority ของโลกในปัจจุบัน เพราะ GRC เป็นตัวขับเคลื่อน Integrity – Driven Performance Strategy

แนวทางในการปรับเกณฑ์การประเมินผลการบริหารความเสี่ยง ประจำปี 2553

GRC ที่เป็นตัวขับเคลื่อนที่ทรงคุณภาพ ซึ่งเป็นการบริหารที่ก่อให้เกิดความเป็นรูปธรรมตามแนวทางการบริหาร COSO – ERM และในช่วงเวลาที่ผ่านมา การบริหารตามแนวทางดังกล่าว ยังไม่มีความเด่นชัดในเรื่องการบริหารแบบบูรณาการ ตามหลักการของ COSO มากนัก

กระทรวงการคลัง โดย สคร. ร่วมกับทริส จึงนำแนวทาง GRC มาเป็นส่วนหนึ่งของการขับเคลื่อนการบริหารความเสี่ยงที่เชื่อมโยงกับ Governance และ Compliance โดยมีคำจำกัดความในแต่ละคำของ GRC ที่ชัดเจนและเป็นรูปธรรมมากขึ้น ตามที่ผมได้เขียนไว้ในหัวข้อที่เกี่ยวข้องในช่วง 2 – 3 สัปดาห์ที่ผ่านมา

ในวันที่ 4 กันยายน 2552 ซึ่งเป็นวันที่ สคร. ชี้แจงแนวทางการประเมินการบริหารความเสี่ยง ประจำปี 2553 นั้น ผมก็ได้ทราบเป็นครั้งแรกว่า รัฐวิสาหกิจมีแนวความคิดที่ต้องการให้มีศูนย์กลางให้หน่วยงานรัฐวิสาหกิจต่าง ๆ ได้แลกเปลี่ยนความคิดเห็น รวมทั้งแนวทางการดำเนินงาน เทคโนโลยีสารสนเทศ การจัดกิจกรรมอบรม สร้างเสริมความรู้ ความเข้าใจให้กับผู้บริหารและพนักงานในองค์กร รวมทั้ง เพื่อจะทำให้การพัฒนาการดำเนินงานด้านบริหารความเสี่ยงในหน่วยงานรัฐวิสาหกิจ มีการพัฒนาได้รวดเร็ว ถูกต้อง และมีประสิทธิภาพมากยิ่งขึ้น โดยมีคุณสาริณี แสงประสิทธิ์ เป็นประธานชมรม ซึ่งมีเว็บไซต์เพื่อการสื่อสารกับทางชมรม คือ www.risk-seclub.org เพื่อเป็นช่องทางหนึ่งในการแลกเปลี่ยนความคิดเห็นกับหน่วยงานกำกับที่เกี่ยวข้องต่อไป

สคร. และทริส ได้ร่วมกันชี้แจงกับคณะอนุกรรมการประมวลผลด้านการบริหารความเสี่ยง ต่อหน่วยงานรัฐวิสาหกิจต่าง ๆ เมื่อวันที่ 4 กันยายน 2552 นั้น ได้แนะนำและชี้แจงแนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ซึ่งจะได้กล่าวในตอนต่อ ๆ ไปนะครับ