Posts Tagged "เกณฑ์การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553"

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับ สำหรับเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 ในวันนี้ก็จะเป็นหัวข้อสุดท้ายแล้วนะครับ ซึ่งเป็นเกณฑ์ที่กล่าวถึง ระบบที่สนับสนุนการบริหารการจัดการสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กร ไปติดตามกันเลยครับว่าเกณฑ์ดังกล่าวจะมีแนวทางอย่างไรในการนำไปปฏิบัติ

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กร

ระบบสารสนเทศที่ตอบสนองต่อความต้องการผู้รับบริการ และผู้มีส่วนได้ส่วนเสียภายในองค์กร เป็นส่วนหนึ่งของการประเมินระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ซึ่งประกอบด้วย

2.6.1 การลดขั้นตอนและการอำนวยความสะดวกแก่พนักงานและผู้รับบริการภายในองค์กร

• การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต

ระบบสารสนเทศที่สามารถนำเข้ามาช่วยในกระบวนงานภายในขององค์กร โดยสามารถนำมาใช้สนับสนุนการปฏิบัติงานขององค์กรได้ ซึ่งสามารถลดระยะเวลา / ลดขั้นตอน การปฏิบัติงานภายในองค์กรได้ เช่น ระบบการจองห้องประชุม ระบบการลาหยุด ซึ่งสามารถลดขั้นตอนโดยส่งผ่านถึงผู้มีอำนาจอนุมัติโดยตรง โดยไม่ต้องส่งผ่านตัวกลาง หรือ ลดแบบฟอร์มกระดาษ ซึ่งผู้ยื่นเรื่องสามารถทราบผลการพิจารณาได้ด้วยตัวเอง และในเวลาอันรวดเร็ว เป็นต้น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการลดระยะเวลาการให้บริการได้ในส่วนของผู้ใช้บริการภายในโดยเห็นผลอย่างชัดเจนและมีการสำรวจหรือหลักฐานอ้างอิงว่าผู้ใช้บริการภายในได้มีความพึงพอใจ

• ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายในองค์กร การติดต่อระหว่างหน่วยงานภายในรัฐวิสาหกิจได้หลายช่องทาง

ระบบสารสนเทศสามารถนำเข้ามาช่วยในการสื่อสารภายในองค์กรได้อย่างรวดเร็ว โดยสามารถนำมาถ่ายทอดนโยบาย ข้อมูลสำคัญต่าง ๆ จากระดับบนสู่ระดับล่าง (ระดับผู้บริหาร สู่ ระดับพนักงาน) และในทางกลับกันก็สามารถรับฟังความคิดเห็น หรือรับข้อมูลสำคัญจากระดับล่างขึ้นสู่ระดับบนได้ จากความสำเร็จของระบบเครือข่ายอินเตอร์เน็ต ทำให้องค์กรส่วนหนึ่งได้นำเทคโนโลยีนี้ไปใช้สำหรับบุคลากรภายในองค์กรเอง เรียกว่า ระบบอินทราเน็ต (Intranet) ซึ่งเป็นระบบปิดที่ให้บริการสื่อสาร การปฏิบัติงานร่วมกัน และการอำนวยการเฉพาะภายในองค์กร โดยความสามารถในการเผยแพร่ข้อมูลผ่านระบบดังกล่าว ทำให้ขอบเขตการบริหารงานขยายตัวออกไปมาก ผู้บริหารสามารถใช้จดหมายอิเล็กทรอนิกส์ เอกสารเว็บ (Web documents) และซอฟต์แวร์กลุ่ม (work-group software) ในการสื่อสารกับพนักงานนับพันคนได้บ่อยเท่าที่ต้องการ หรือแม้แต่ใช้ในการสื่อสารกับกลุ่มพนักงานที่ออกไปทำหน้าที่เฉพาะด้านที่อยู่ไกลออกไปมาก

แนวทางโดยสรุป : เพื่อให้ผู้ใช้บริการภายในองค์กรสามารถติดต่อกันได้หลายช่องทาง และให้บริการด้วยความรวดเร็ว รวมทั้ง มีความสะดวกในการใช้บริการระหว่างหน่วยงาน และเกิดความเข้าใจภายในองค์กรเอง และสนับสนุนการดำเนินงานขององค์กร รวมทั้งถ่ายทอดนโยบาย ข่าวสาร และข้อมูลสำคัญต่าง ๆ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการให้ความสะดวก Stakeholder เท่าที่พึงกระทำได้ และการติดต่อระหว่างหน่วยงานภายในรัฐวิสาหกิจได้หลายช่องทาง และมีการสำรวจหรือหลักฐานอ้างอิงว่าทุก Stakeholder มีความพึงพอใจ
– มีระบบกระจายข่าวสาร/ข้อมูลให้เหมาะสมเฉพาะกลุ่ม/ฝ่าย
– ในแต่ละฝ่ายจะสามารถ distribute ข่าวสารกันภายในฝ่ายได้

2.6.2 การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ

ระบบสารสนเทศที่เกี่ยวข้องกับการผลิต อาจเชื่อมโยงถึงระดับการวางกลยุทธ์ โดยระบบฯ จะช่วยเหลือในการจัดเตรียมวัตถุประสงค์ของการผลิตสินค้าในระยะยาว เช่น การหาสถานที่ตั้งโรงงานใหม่ หรือการให้ข้อมูลเกี่ยวกับการใช้เทคโนโลยีการผลิตแบบใหม่
ในระดับผู้บริหารงาน ระบบฯ ช่วยวิเคราะห์และตรวจสอบค่าใช้จ่าย และการใช้ทรัพยากรในการผลิตสินค้า
ระดับผู้ชำนาญการ ระบบฯ สร้างและเผยแพร่แบบสินค้าใหม่ ๆ หรือความรู้ที่เกี่ยวข้องกับการผลิต
ในระดับผู้ปฏิบัติการ ระบบฯ จะสนับสนุนการติดตามสถานะการทำงานในกระบวนการผลิต

แนวทางโดยสรุป : การนำระบบสารสนเทศเพื่อเพิ่มประสิทธิภาพหรือช่วยลดต้นทุนของการผลิต / การให้บริการ ซึ่งผลที่ได้สามารถสะท้อนถึงต้นทุนการผลิต / การให้บริการอย่างเป็นรูปธรรม

ตัวอย่าง : รัฐวิสาหกิจที่เกี่ยวข้องกับการผลิตสินค้า อาจนำระบบฯ มาใช้เพื่อช่วยในการสั่งซื้อสินค้าแต่ละครั้งให้สอดคล้องตามปริมาณการใช้งาน หรือเพื่อให้มีราคาต่ำสุด (Economic order quantity) หรือกรณีที่ค่าใช้จ่ายส่วนใหญ่ขององค์กรเป็นการบริหารงาน อาจนำระบบฯ มาช่วยในการปรับปรุงการทำงานให้มีประสิทธิภาพและลดระยะเวลาการทำงาน ทำให้สามารถลดบุคลากรและค่าใช้จ่ายของวัสดุสำนักงาน ซึ่งทำให้องค์กรสามารถประหยัดค่าใช้จ่ายในส่วนนี้ได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการนำระบบสารสนเทศเข้ามาช่วยในการลดต้นทุน ซึ่งเป็นต้นทุนหลัก/ค่าใช้จ่ายหลักขององค์กร โดยเห็นผลที่เกิดขึ้นได้อย่างชัดเจน
– มีการประเมินความคุ้มค่าของระบบสารสนเทศที่นำมาใช้ทั้งในเชิงปริมาณและเชิงคุณภาพ

2.6.3 ระบบ Back Office ที่สามารถ Share ข้อมูลระหว่างหน่วยงานอื่นภายในองค์กรได้

ระบบ Back Office คือ ระบบที่ประกอบฟังก์ชันงานหลักในส่วนของการบริหารจัดการภายในองค์กร เช่น ระบบคงคลัง ระบบงานการเงินและระบบงานบัญชี ระบบทรัพยากรมนุษย์ ระบบงานการผลิต และระบบงานอื่น ๆ ที่มีความจำเป็นเฉพาะในแต่ละองค์กร ซึ่งข้อมูลในแต่ละระบบงานจะถูกจัดเก็บในฐานข้อมูลหลักขององค์กร และมีการเชื่อมโยง และ Share ข้อมูลระหว่างหน่วยงานอื่นภายในองค์กรได้ โดยที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล

แนวทางโดยสรุป : ระบบ Back Office ที่สามารถ Share ข้อมูลระหว่างหน่วยงานภายในได้อย่างมีประสิทธิภาพ โดยใช้มาตรฐานรหัสข้อมูลและมาตรฐานการแลกเปลี่ยนข้อมูลเดียวกัน ผ่านเครือข่าย Intranet ภายในองค์กร ซึ่งมีระบบการกำกับการเข้าถึงข้อมูลที่เหมาะสม โดยมีระบบรักษาความปลอดภัยที่ดี เพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูลเข้าถึงข้อมูลได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– สามารถ Share ข้อมูลระหว่างหน่วยงานภายในองค์กรได้
– สามารถ Share ข้อมูลระหว่างฝ่าย/บุคคลอย่างเหมาะสม
– มี Security ที่ดีในการเข้าถึงข้อมูล และเห็นข้อมูลได้เฉพาะตามสิทธิ์ที่มี

2.6.4 การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

ระบบสารสนเทศสามารถช่วยส่งเสริมด้านการเรียนรู้ได้อย่างสะดวก โดยเฉพาะอย่างยิ่งในสภาวะแวดล้อมที่มีความเปลี่ยนแปลงอย่างรวดเร็ว จึงมีความจำเป็นต้องให้บุคลากรเรียนรู้สิ่งใหม่ ๆ โดยอาศัยช่องทางของระบบฯ ที่มีจุดเด่นในความคล่องตัวในการเผยแพร่ และเข้าถึงจากจุดต่าง ๆ รวมถึงความรวดเร็วในการปรับเปลี่ยนเนื้อหา นอกจากนี้ ยังประยุกต์ให้สามารถใช้เป็นเครื่องมือในการสะสม และรวมรวมข้อมูลความรู้ความชำนาญของบุคคลให้คงอยู่ภายในองค์กรได้

แนวทางโดยสรุป : ระบบสารสนเทศที่ช่วยสนับสนุนการรับรู้ข้อมูลข่าวสาร และสามารถประมวลผลความรู้ในด้านต่าง ๆ เพื่อนำมาประยุกต์ใช้ในการดำเนินงานขององค์กรได้อย่างถูกต้อง รวดเร็วและเหมาะสมกับสถานการณ์ รวมทั้ง ต้องส่งเสริมและพัฒนาความรู้ความสามารถ สร้างวิสัยทัศน์ และปรับเปลี่ยนทัศนคติของบุคลากรในองค์กรให้เป็นบุคลากรที่มีประสิทธิภาพ และมีการเรียนรู้ร่วมกัน

ตัวอย่าง :
1. การใช้ระบบเครือข่ายที่มีอยู่และพัฒนาเป็น Web based Training ที่มีหลักสูตรที่หลากหลายและสามารถเข้าใช้ได้ตลอดเวลา
2. ใช้หลักสูตรแบบโปรแกรมสำเร็จรูปที่ช่วยในการฝึกอบรมเพื่อให้ความเข้าใจมากขึ้น
3. สำหรับองค์กรที่มีบุคลากระจัดกระจายตามที่ต่าง ๆ อาจใช้ระบบ e-learning มาปรับใช้ให้เหมาะสม
4. การจัดทำห้องสมุดอิเล็กทรอนิกส์เพื่อให้เกิดความสะดวกในการเข้าใช้บริการ
5. ทางด้านการเผยแพร่ความรู้อาจมีการเขียนบทความภายในและขึ้นตามเว็บไซต์ภายในของแต่ละฝ่ายเพื่อเป็นการถ่ายทอดความรู้ทั้งภายในและภายนอกองค์กร

สำหรับหัวข้อของ CG & ITG และองค์ประกอบที่เกี่ยวข้องนี้ ผมจะนำเสนออะไรในครั้งหน้า โปรดติดตามต่อไปนะครับ

 

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับท่านผู้บริหาร ผู้ตรวจสอบ และผู้อ่านทุกท่าน สำหรับการประเมินผลการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ปี 2553 นี้ จะมีเกณฑ์ในการพิจารณาที่ี่เกี่ยวข้องกับการจัดการระบบสารสนเทศอยู่หลายด้านด้วยกัน ซึ่งผมได้นำเสนอประเด็นที่จะต้องพิจารณากันไปแล้ว ในด้านของระบบสารสนเทศที่สนับสนุนการบริหารจัดการ ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน

วันนี้ผมจะำนำเสนอต่อในด้านของระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียจากภายนอกองค์กร และนโยบายต่าง ๆ ของรัฐบาล ที่องค์กรจะต้องพิจารณาและนำไปปฏิบัิติเืพื่อให้ได้ตามเกณฑ์การประเมินผลฯ ปี 2553 กันครับ

2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร รวมถึงนโยบายต่างๆ ของรัฐบาล

ระบบสารสนเทศที่ตอบสนองต่อความต้องการผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่างๆ ของรัฐบาล เป็นส่วนหนึ่งของการประเมินระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ซึ่งประกอบด้วย

2.5.1 การลดขั้นตอนและการอำนวยความสะดวกแก่ผู้รับบริการ / ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน

• การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต

เป็นระบบสารสนเทศหรือเทคโนโลยีใดก็ตามที่นำมาใช้ในการสนับสนุนรัฐวิสาหกิจเพื่อที่จะสามารถลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ เพื่อก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงาน และได้รับความพึงพอใจจากผู้ใช้บริการ

กระบวนการในการที่จะนำระบบหรือเครือข่ายสารสนเทศ (Application Program and Information Network) เข้ามาใช้ในการลดระยะเวลาในการให้บริการนั้น มีอยู่หลายวิธีด้วยกัน เช่น การนำระบบคอมพิวเตอร์มาช่วยลดขั้นตอนการทำงาน ระบบคอมพิวเตอร์ที่สามารถตรวจสอบความถูกต้องจากข้อมูลของผู้ใช้บริการ และสามารถที่จะสรุปได้ว่าควรให้ดำเนินการต่อหรือไม่ควรให้ดำเนินการต่อ หรือการใช้เครือข่ายต่างๆ (Internet / Extranet) เข้ามาเชื่อมต่อ หากลักษณะของการให้บริการสามารถให้บริการผ่านเครือข่ายได้ ทำให้ลดระยะเวลา ระยะทาง ฯลฯ ดังเช่นการขอข้อมูลจากกรมทะเบียนการค้า ซึ่งมีข้อมูลให้บริการดาว์นโหลดผ่านทางอินเทอร์เน็ต เป็นต้น

แนวทางโดยสรุป : การนำระบบหรือเทคโนโลยีสารสนเทศเข้ามาใช้สนับสนุนในการลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ โดยมีการกำหนดว่าจะลดในขั้นตอนใด เป็นเวลาเท่าไร ทำให้ผู้ใช้บริการเกิดความพึงพอใจ เกิดผลสัมฤทธิ์ และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : การมีระบบบริการแบบอัตโนมัติซึ่งผู้ใช้บริการจะได้รับคำตอบและใช้บริการจากระบบได้ด้วยตนเอง ไม่ต้องใช้เจ้าหน้าที่คอยให้บริการ หรืออาจจะบริการแบบกึ่งอัตโนมัติ ประชาชน บริษัทเอกชน และหน่วยงานอื่นๆ สามารถเชื่อมโยงเข้ามาใช้บริการได้ทั้งทาง Intranet/Internet ซึ่งจากเดิมต้องเดินทางมาใช้บริการที่องค์กร ซึ่งอาจจะต้องใช้เวลาประมาณ 2-3 ชั่วโมง ซึ่งเมื่อนำระบบบริการแบบอัตโนมัติมาใช้ ทำให้สามารถลดเวลาในการดำเนินการได้ เหลือแค่ครึ่งชั่วโมง เป็นต้น ดังตัวอย่างจากบริษัท GUESS ที่ผลิตและขายเสื้อผ้าประเภทยีนส์ โดย GUESS ใช้ระบบและอุปกรณ์ Network ของ Cisco System ซึ่งใช้สำหรับสร้างเครือข่ายภายในบริษัท และอินเทอร์เน็ต สำหรับติดต่อกับ ลูกค้า กับ Supplier และใช้ Software ของ PeopleSoft และ Commerce One ในการสร้าง Website Apparel Buying Network (www.Apparelbuy.com) ซึ่งมีระบบที่เรียกว่า Guess’s core order processing system ทำให้ทั้งลูกค้า ร้านค้าขายปลีก รวมทั้ง Supplier สามารถติดต่อบริษัท ทั้งในเรื่องของการสั่งซื้อสินค้า การตรวจสอบ Catalog สินค้า และการจัดส่งได้ตลอด 24 ชั่วโมง ผ่านทางเว็บไซต์ของบริษัทได้ ส่งผลให้บริษัทสามารถเพิ่มยอดบริการ ยอดขาย รายได้ และลดต้นทุนในส่วนของกระบวนการสั่งซื้อสินค้า และอื่นๆ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการลดระยะเวลาการให้บริการได้ในส่วนของผู้ใช้บริการภายนอกโดยเห็นผลอย่างชัดเจนและมีการสำรวจหรือหลักฐานอ้างอิงว่าผู้ใช้บริการภายนอกได้มีความพึงพอใจ

• ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายนอกองค์กร การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online

ระบบสารสนเทศที่สามารถนำเข้ามาช่วยในการให้บริการผู้รับบริการภายนอกองค์กร (ประชาชน ลูกค้า ผู้ใช้บริการ หรือบริษัทคู่ค้า ฯลฯ) ได้อย่างรวดเร็ว รวมทั้งระบบสารสนเทศที่ช่วยในการสื่อสารภายนอกองค์กร โดยการสื่อสารระหว่างกันนั้น ข้อมูลสามารถถูกส่งออกไปได้ยังส่วนต่าง ๆ อย่างง่ายดาย ซึ่งองค์กรต่าง ๆ มีแนวโน้มที่จะเปลี่ยนรูปแบบการดำเนินธุรกิจมาเป็นแบบนี้มากขึ้นทุกขณะ เพื่อความสะดวกในการบริการจัดการและความสัมพันธ์ที่ดีกับลูกค้า

แนวทางโดยสรุป : เพื่อให้ผู้ใช้บริการสามารถติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง และให้บริการผ่านทางช่องทางอิเล็กทรอนิกส์ด้วยความรวดเร็ว รวมทั้งมีความสะดวกในการใช้บริการ และสามารถสื่อสารกับภายนอกองค์กรเพื่อเป็นการให้ข้อมูลกับผู้มีส่วนได้เสียให้เกิดความเข้าใจ รวมทั้งการแจ้งข่าวสาร การประชาสัมพันธ์ต่างๆ นอกจากนี้ยังรวมถึงการประสานงานกับภายนอกองค์กรเพื่อให้การดำเนินงานมีประสิทธิภาพมากขึ้น
ตัวอย่าง : การแจ้งข้อมูลข่าวสารให้ผู้สนใจหรือผู้รับบริการทราบผ่านทาง e-mail และเว็บไซต์อย่างสม่ำเสมอ รวมถึงการเชื่อมโยงข้อมูลสำหรับการสื่อสารกับบริษัทคู่ค้าได้โดยตรงโดยไม่ต้องใช้สื่อตัวกลางและขั้นตอนการสื่อสารตัวกลางที่มีประสิทธิภาพต่ำทั้งหลาย นอกจากนี้องค์กรสามารถจัดตั้งเว็บไซต์ที่ทำงานและพร้อมให้บริการแก่ลูกค้าได้ตลอดเวลา

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการให้ความสะดวก Stakeholder เท่าที่พึงกระทำได้ โดยการให้บริการ Online และการติดต่อรัฐวิสาหกิจได้หลายช่องทางและมีการสำรวจหรือหลักฐานอ้างอิงว่าทุก Stakeholder มีความพึงพอใจ
– มี Website (คุณภาพของ Website ประเมินที่ 2.5.4)
– มีระบบ E-mail แจ้งข่าวให้บุคคลภายนอกที่สนใจ หรือ webboard ให้แสดงความคิดเห็น
– มี Call Center

• การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ

เป็นการเชื่อมโยงข้อมูลกับหน่วยงานอื่น ซึ่งแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล Database Management System (DBMS) ทำให้สามารถแลกเปลี่ยนและใช้ข้อมูลร่วมกันได้ ลดความซ้ำซ้อนในการจัดเก็บของข้อมูล (Data Redundancy) และลดเอกสารที่ประชาชนจำเป็นต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็ว ลดค่าใช้จ่าย และเกิดความพึงพอใจต่อผู้ใช้บริการ

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับจัดเก็บข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงและดึงข้อมูลกับหน่วยงานต่างๆ และแต่ละหน่วยงานจะต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้นด้วย

แนวทางโดยสรุป : การเชื่อมโยงข้อมูลระหว่างรัฐวิสาหกิจกับหน่วยงานอื่น โดยผ่านทางเครือข่ายสารสนเทศ เพื่อทำให้สามารถใช้ข้อมูลร่วมกันได้ และสามารถลดความซ้ำซ้อนของงาน รวมถึงเอกสารที่ประชาชน / ผู้ใช้บริการ ต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงานให้แก่ประชาชน/ผู้ใช้บริการ เกิดผลสัมฤทธิ์และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : บริษัทเอกชนต้องการข้อมูลปริมาณข้าวในแต่ละปีของประเทศไทยที่ผลิตและส่งออกได้ จึงทำการขอข้อมูลจากกระทรวงเกษตร กระทรวงเกษตรจึงดึงข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ แล้วก็ให้ข้อมูลแก่บริษัทเอกชนนั้น เป็นการลดขั้นตอน และเอกสารอื่นๆของทางราชการที่ทางกระทรวงเกษตรต้องใช้ในการขอข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ อีกตัวอย่างได้แก่ระบบ EDI (Electronic Data Interchange) ของกรมศุลกากร ซึ่งเป็นหน่วยงานแรกที่นำระบบ EDI มาใช้ ระบบ EDI เป็นวิธีการดำเนินธุรกิจ ซึ่งทุกกิจกรรมนับตั้งแต่การสั่งสินค้า จนถึงการจ่ายเงินจะกระทำโดยการแลกเปลี่ยนข้อมูลธุรกิจ ผ่านคอมพิวเตอร์ขององค์กรที่เกี่ยวข้อง โดยแทนที่วิธีการเดินเอกสารแบบเดิม ซึ่งจากข้อมูลของกรมศุลกากรในส่วนของประโยชน์ที่ได้รับ คือ สามารถออกของได้รวดเร็ว ลดความผิดพลาดของข้อมูล ลดต้นทุนการบริหารสินค้าคงคลัง ลดค่าใช้จ่ายทางด้านเอกสาร ประหยัดเวลาในการติดต่อ มีระบบข้อมูลข่าวสารที่ทันสมัย และได้เปรียบคู่แข่งที่อยู่นอกระบบ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการเชื่อมโยงข้อมูลกับหน่วยงานภายนอก/หน่วยงานอื่นเพื่อช่วยลดความซ้ำซ้อนของงาน/เอกสารที่ประชาชนต้องมาติดต่อและสามารถดำเนินการได้จริง ทำให้ผู้ใช้บริการ/ประชาชนได้รับความครบทุกบริการที่เป็นไปได้ และได้รับความสะดวกอย่างชัดเจน

• One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว

รัฐวิสาหกิจสามารถให้บริการที่จุดเดียวได้เสร็จสิ้น ในกรณีที่เป็นการให้บริการภายในหน่วยงานเดียว ผู้ขอรับบริการติดต่อที่จุดเดียว ไม่ต้องติดต่อหลายจุด หลายขั้นตอน ในกรณีที่การให้บริการที่จำเป็นต้องติดต่อหลายหน่วยงาน ผู้ขอรับบริการไม่จำเป็นต้องเดินทางไปติดต่อกับทุกหน่วยงาน หากแต่ติดต่อผ่านหน่วยงานใดหน่วยงานหนึ่งเพียงหน่วยงานเดียวเท่านั้น

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับดึงข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับหน่วยงานอื่น และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น อย่างหน่วยงานราชการที่ให้บริการ เช่น โรงพยาบาล สถานีอนามัย มีการเชื่อมโยงกับฐานข้อมูลกลาง ซึ่งใช้ในการปรับปรุง แก้ไขข้อมูลเพิ่มเติม ซึ่งระบบที่เป็นข้อมูลของทางราชการนี้ ประชาชนหรือผู้ใช้บริการสามารถติดต่อหรือดำเนินการธุรกรรมต่างๆได้ที่จุดเดียว ผู้ใช้บริการไม่จำเป็นต้องไปติดต่อกับหน่วยงานภาครัฐที่เกี่ยวข้องทุกหน่วยงาน

สำหรับบางรัฐวิสาหกิจ เนื่องจากกระบวนการวิธีการให้บริการที่เป็นอยู่ในปัจจุบัน อาจจะเป็นในลักษณะของ Manual และมีการติดต่อกับลูกค้าหรือผู้ใช้บริการโดยตรง ดังนั้นการนำระบบสารสนเทศเข้ามาใช้ อาจจะส่งผลกระทบต่อกระบวนการวิธีการให้บริการแบบเดิม (Traditional Processing) เพราะฉะนั้นรัฐวิสาหกิจจำเป็นที่จะต้องมีการเปลี่ยนแปลง ทั้งในส่วนของบุคลากร กฎระเบียบข้อบังคับ วัฒนธรรมองค์กร และส่วนอื่น ๆ ที่มีผลโดยตรง

แนวทางโดยสรุป : One Stop Service เป็นการให้บริการต่าง ๆ ของรัฐวิสาหกิจ ณ ศูนย์บริการร่วม และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกัน ณ ศูนย์บริการร่วม เพื่อให้ประชาชน / ผู้ใช้บริการสามารถติดต่อสอบถาม ขอทราบข้อมูล ขออนุญาต หรือขออนุมัติ ได้ ณ ศูนย์บริการร่วมเพียงแห่งเดียว

ตัวอย่าง : โครงการ OSCAR (One-Stop-Change-of-Address-Reporting-Services) เป็นการให้บริการของสิงคโปร์ ซึ่งช่วยให้การเปลี่ยนที่อยู่ของชาวสิงคโปร์เป็นไปอย่างสะดวกรวดเร็ว โดยประชาชนแจ้งเปลี่ยนที่อยู่กับหน่วยงานเพียงหน่วยงานเดียว หน่วยงานอื่นๆ ที่มีฐานข้อมูลเกี่ยวกับที่อยู่นั้น จะเปลี่ยนตาม โดยที่ไม่ต้องไปแจ้งกับทุกองค์กรที่รับผิดชอบในการเปลี่ยนที่อยู่ของประชาชน

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีจุด One Stop Service และให้บริการได้ครอบคลุมในงานของหน่วยงานรัฐวิสาหกิจ
– จุด One Stop Service สามารถร่วมให้บริการที่เกี่ยวเนื่องกับหน่วยงานอื่นได้ เช่น ชำระ/บริการของหน่วยงานอื่นที่เกี่ยวเนื่อง
– มีการจัดทำ One Stop Service กับหน่วยงานภายนอกอื่นและอยู่ที่หน่วยงานภายนอกอื่น

2.5.2 ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กรได้

ระบบสารสนเทศที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล โดยจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ของแต่ละระบบงาน (Transaction Processing System) และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับระบบของหน่วยงานอื่นภายนอกองค์กร และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกัน รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น เพื่อความปลอดภัยในการใช้ข้อมูลร่วมกัน

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นภายนอกองค์กรได้อย่างมีประสิทธิภาพ โดยใช้มาตรฐานรหัสข้อมูลและมาตรฐานการแลกเปลี่ยนข้อมูลเดียวกัน ผ่านเครือข่าย Intranet ของภาครัฐความเร็วสูงที่มีระบบการกำกับการเข้าถึงข้อมูลที่เหมาะสม โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูลเข้าถึงข้อมูลได้

ตัวอย่าง : การให้บริการทะเบียนราษฎร์ของกรมการปกครอง กระทรวงมหาดไทย ซึ่งระบบสารสนเทศของกรม การปกครอง ที่มีระบบการจัดการฐานข้อมูล (Database Management System) ทะเบียนราษฎร์ซึ่งสามารถเชื่อมโยง และดึงข้อมูลทะเบียนราษฎร์ จากระบบฐานข้อมูลของสำนักงานทะเบียนจังหวัดทั้ง 75 แห่งได้ ซึ่งสามารถ Share ข้อมูลกับหน่วยงานอื่น เพื่อให้บริการประชาชนได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– การ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กร
– การ Share ข้อมูลเพื่อให้กระทรวงเจ้าสังกัดได้ข้อมูลที่ต้องการ
– ข้อมูลมีความทันกาล
– มี Security ที่ดีในการเข้าถึงข้อมูล

2.5.3 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

การมีระบบสารสนเทศที่เหมาะสม และสามารถรองรับการดำเนินงานหรือแผนงานต่างๆ เพื่อสนับสนุนนโยบายของรัฐบาลได้อย่างมีประสิทธิภาพ

องค์กรจะต้องมีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศ ที่สามารถจะนำมาใช้สนับสนุน หรือรองรับนโยบายต่างๆของรัฐบาล เช่น การปิดบัญชีรายไตรมาส การปิดบัญชีรายปีเพื่อส่งงบการเงินให้สำนักงาน ตรวจเงินแผ่นดิน เป็นต้น ก็จะต้องมีระบบสารสนเทศด้านการบัญชี (Accounting Information System) ที่สามารถปิดบัญชีได้อย่างทันเวลา และมีความถูกต้อง โดยอาจจะมีแผนงานในเรื่องของงบประมาณในการจัดซื้อ จัดเตรียมหรือการวางระบบ IT Infrastructure หรือ Network Architecture รวมทั้งจะต้องมีแผนงานในเรื่องของการวิเคราะห์และออกแบบระบบที่ดี (System and Analysis Design Method) ประกอบกับแนวโน้มหรือการเปลี่ยนแปลงของเทคโนโลยีใหม่ๆที่จะเกิดขึ้นในอนาคต ซึ่งแผนงานดังกล่าวสามารถแสดงถึงความพร้อม และรองรับ Application Software ใหม่ๆ ที่ แต่ละองค์กรจะต้องพัฒนาขึ้น

แนวทางโดยสรุป : การดำเนินการหรือแผนงาน ที่แสดงถึงความพร้อมที่จะตอบสนองต่อนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วยสนับสนุนได้อย่างมีประสิทธิภาพ

ตัวอย่าง : นโยบาย 30 บาท รักษาทุกโรคของรัฐบาล ซึ่งส่งผลให้โรงพยาบาลของรัฐทุกแห่งจะต้องมีระบบสารสนเทศ เช่น ระบบฐานการจัดการฐานข้อมูล (DBMS) ของโรงพยาบาลแต่ละแห่ง ซึ่งระบบฐานข้อมูลจะต้องสามารถเก็บข้อมูล ประวัติของผู้ที่สนใจเข้าร่วมโครงการ 30 บาทรักษาทุกโรค รองรับจำนวนผู้ที่จะมาสมัครเข้าเป็นสมาชิก และสามารถที่จะเชื่อมโยงเข้ากับฐานข้อมูลของโรงพยาบาลแต่ละแห่งของรัฐบาลได้ และสามารถที่จะใช้ข้อมูลร่วมกัน เพื่อให้เกิดความสะดวกรวดเร็วในการให้บริการ และการปฏิบัติงานของเจ้าหน้าที่ เช่น หากผู้ใช้บริการทำบัตร 30 บาทรักษาทุกโรคกับโรงพยาบาลที่หนึ่ง ก็จะต้องสามารถนำบัตรเดียวกันนี้ไปใช้กับโรงพยาบาลของรัฐบาลอีกที่หนึ่งได้ โดยโรงพยาบาลที่มีการเชื่อมโยงข้อมูลจากระบบฐานข้อมูลของโรงพยาบาลที่มีข้อมูลของผู้ใช้บริการอยู่แล้ว ก็สามารถที่จะนำข้อมูลของผู้ใช้บริการดังกล่าวมาใช้ได้ทันที ไม่จำเป็นต้องมีการลงบันทึกประวัติผู้ใช้หรือทำการสมัครสมาชิกใหม่ ซึ่งเป็นการจัดเก็บข้อมูลที่ซ้ำซ้อน และสูญเสียเวลาในการปฏิบัติงานโดยไม่จำเป็น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศเพื่อนำมาใช้สนับสนุนหรือรองรับนโยบายต่าง ๆ ของรัฐ เช่น การปิดบัญชีรายไตรมาสได้ภายใน 45 วัน และปิดบัญชีรายปีได้ภายใน 90 วัน เป็นต้น
– ได้ดำเนินการตามนโยบายที่สำคัญขององค์กรที่มีความจำเป็นต้องนำระบบสารสนเทศเข้ามาใช้อย่างสมบูรณ์

2.5.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

เว็บไซต์เป็นช่องทางที่ได้รับความนิยมในปัจจุบัน ดังนั้นจึงจำเป็นจะต้องมีข้อมูลที่เหมาะสมและทันกาลเพื่ออำนวยความสะดวกและเป็นข้อมูลสำหรับผู้ที่สนใจให้สามารถติดตามได้อย่างสม่ำเสมอ

แนวทางโดยสรุป : การเปิดเผยข้อมูลผ่านทางเว็บไซต์ทั้งทางด้านการเงินและมิใช่การเงินโดยมีเนื้อหาที่เพียงพอเหมาะสมกับความต้องการของผู้ที่สนใจติดตามข้อมูล รวมถึงมีการปรับปรุงข้อมูลให้ทันสมัยอยู่เสมอ และสะดวกในการเข้าถึงหรือค้นหาข้อมูล อย่างไรก็ตามข้อมูลที่เปิดเผยต้องอยู่ในกรอบที่องค์กรสามารถเปิดเผยต่อสาธารณชนได้

ตัวอย่าง : เว็บไซต์ควรประกอบด้วยข้อมูลทางด้านการเงินและไม่ใช่การเงิน เช่น รายงานประจำปี ผลการดำเนินงาน ผู้บริหาร โครงสร้างองค์กร ข้อมูลทางสถิติต่าง ๆ ข่าวสารสำคัญขององค์กร รายละเอียดของช่องการติดต่อกับองค์กรที่มีสาระพอเพียงและมีข้อมูลที่ทันกาล เป็นต้น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– ความทันสมัยของข้อมูลในเว็บไซต์ และความสะดวกในการค้นหาข้อมูล
– รายละเอียดในเว็บไซต์ เช่น
o มีประวัติ ภารกิจ โครงสร้าง
o มีที่อยู่ เบอร์โทรศัพท์ (ลงระดับฝ่าย) e-mail
o มีข่าวทั่วไป ข่าวของหน่วยงาน
o มีภาษาเพื่อเลือกแสดงผลมากกว่า 1 ภาษา
o มี link ทั่วไป และ link ที่เกี่ยวข้อง
o มีข้อมูลกฎระเบียบ ขั้นตอนบริการ แบบฟอร์มดาวน์โหลด
o มีคำแนะนำ website หรือ ผัง website
o เปิดเผยรายงานประจำปี
o การเปิดเผยข้อมูลด้านการเงินรายปี/รายไตรมาส
o มีการเปิดเผยข้อมูลด้านผลการดำเนินงาน (Operation)

ในความตั้งใจจริงของผมแล้ว ผมตั้งใจไว้ว่าจะจบการนำเสนอในเรื่องของเกณฑ์การประเมินผลการบริหารจัดการสารสนเทศฯ ในวันนี้ แต่ด้วยความที่มีหลักเกณฑ์และประเด็นในการพิจารณาที่สำคัญและค่อนข้างละเอียด ผมจึงขอยกประเด็นการพิจารณาด้านระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กรไปนำเสนอในครั้งต่อไปนะครับ

 

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

ครั้งที่แล้ว ผมได้กล่าวถึงเกณฑ์การประเมินผลการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ในส่วนที่ 2 โดยได้นำเสนอประเด็นที่ต้องพิจารณาด้านระบบสารสนเทศที่สนับสนุนการบริหารจัดการ และระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยงไปแล้ว ในวันนี้ผมจะนำเสนอต่อถึงการพิจารณาระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายในครับ

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน

2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน

ระบบสารสนเทศสามารถนำมาช่วยสนับสนุนการควบคุมภายในและการตรวจสอบภายในเพื่อทำให้กระบวนการควบคุมภายในและตรวจสอบภายในขององค์กรมีประสิทธิภาพและประสิทธิผลมากยิ่งขึ้น

ทางด้านการควบคุมภายใน ระบบสารสนเทศสนับสนุนวิธีการดำเนินงาน โดยการทำงานของบุคลากรจะเปลี่ยนไปอยู่ในรูปแบบที่ต้องถูกควบคุมผ่านระบบฯ หรือได้รับการอนุญาตจากระบบฯ ซึ่งจะต้องทำตามหลักเกณฑ์ /วิธีการ / เงื่อนไขที่ได้กำหนดไว้ อันเป็นผลมาจากความสามารถของระบบสารสนเทศที่สามารถกำหนดวิธีการปฏิบัติงานโดยขึ้นอยู่กับกฎเกณฑ์ที่ได้กำหนดไว้อย่างเคร่งครัด

ทางด้านการตรวจสอบภายใน ระบบสารสนเทศสามารถนำมาใช้ในการสอบทานความถูกต้องของการดำเนินงาน เนื่องจากความสามารถของระบบสารสนเทศในการประมวลผล การเก็บรวบรวมและบันทึกข้อมูลได้อย่างเที่ยงตรงเพื่อนำมาใช้ในการตรวจสอบและอ้างอิงเมื่อต้องการ นอกจากนี้ตัวระบบสารสนเทศ สามารถตรวจสอบความผิดพลาดที่เกิดขึ้นได้โดยทันทีทำให้สามารถป้องกันความเสียหายที่จะเกิดขึ้นได้

แนวทางโดยสรุป : การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศ เข้ามาใช้เพื่อช่วยในการทำงานด้านควบคุมภายในและตรวจสอบภายในการปฏิบัติงานให้ถูกต้องตามกฎระเบียบ กฎหมาย ข้อบังคับต่างๆ โดยการปรับนำมาใช้ในองค์กรอย่างเหมาะสม และการนำระบบสารสนเทศเข้ามาใช้เพื่อสร้างมั่นใจได้ว่าระบบบัญชีที่ใช้มีความเหมาะสมกับองค์กร โดยสามารถเรียกดู/ตรวจสอบข้อมูลได้ตามต้องการ

ตัวอย่าง : การนำระบบสารสนเทศ และระบบเทคโนโลยีสารสนเทศ มาใช้ทางด้านการควบคุมภายใน เช่น
– การบันทึกข้อมูลเพื่อป้องกันทรัพย์สินไม่ให้สูญหายโดยการเบิกของจากคลังพัสดุที่มีการบันทึกอุปกรณ์แต่ละรายการอย่างละเอียดและสามารถตรวจสอบได้ตลอดเวลา
– การกำหนดวงเงินของการอนุมัติตามตำแหน่งหรือหน้าที่ โดยต้องผ่านการทำรายการผ่านระบบอิเล็คทรอนิกส์ที่มีการตั้งกฎเกณฑ์ไว้ นอกจากนี้ยังสามารถนำมาควบคุมกระบวนการทำงาน / การผลิตให้เป็นไปตามมาตรฐานหรือข้อบังคับที่ได้กำหนด
– การกำหนดให้ต้องมี Login และการใส่รหัสผ่าน (Password) เมื่อมีการใช้งานในแต่ละวัน ทั้งนี้ เพื่อป้องกันมิให้บุคคลที่ไม่มีอำนาจหน้าที่สามารถเข้าไปเรียกใช้ข้อมูลขององค์กรได้
– การกำหนด Firewall ทั้งระดับเครือข่าย (Network) และโปรแกรมระบบงาน (Application) เพื่อควบคุมข้อมูลหรือข้อมูลแปลกปลอมเข้ามาในระบบ (อ้างอิงจาก : เอกสาร “ แนวปฏิบัติในการรักษาความปลอดภัยการให้บริการทางการเงินทางอิเล็กทรอนิกส์”, ธนาคารแห่งประเทศไทย)

การนำระบบสารสนเทศ และระบบเทคโนโลยีสารสนเทศมาใช้ทางด้านการตรวจสอบภายใน เช่น
-การนำเทคโนโลยีสารสนเทศ เฃ่น โปรแกรมสำเร็จรูปเพื่อช่วยในการตรวจสอบภายในมาใช้ในการช่วยตรวจสอบความผิดปกติของผลิตภัณฑ์ที่ได้จากการผลิต แทน/ควบคู่กับการทำงานโดยมนุษย์
– ในส่วนของระบบบัญชีที่นำมาใช้ในองค์กรสามารถแยกรายการได้ตามความต้องการและสามารถตรวจสอบหรือเรียกดูข้อมูลได้ในระยะเวลาอันสั้น เช่น สามารถเรียกดูข้อมูลการเบิกจ่ายงบประมาณของระดับฝ่าย หรือสามารถเรียกดูข้อมูลได้ตามสมควรกับองค์กร เช่น ตามระบบ ABC (Activity Based Costing)
– การออกแบบการตรวจสอบข้อมูลเข้าขณะนำเข้าระบบ เช่น การออกแบบการให้รหัสตรวจสอบ (Self-checking Digit Coding) เพื่อให้เครื่องรับข้อมูลทราบทันทีว่ามีข้อมูลที่กำลังป้อนเข้ามามีความผิดพลาด

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– ผลการตรวจสอบภายใน (ทั้งองค์กร) ที่ผ่านมาในปี 2549 และย้อนหลัง ถึงอุปสรรคหรือการดำเนินการใดไม่เป็นไปตามกฎหมาย ระเบียบ ข้อบังคับ หรือไม่ รวมทั้งผลการตรวจสอบภายในทางด้านการเงินและบัญชี (ทั้งองค์กร) ที่ผ่านมาในปี 2549 และย้อนหลังในประเด็นปัญหาที่พบ
– การดำเนินการพิจารณาปัญหา/แก้ไขปัญหา โดยพิจารณาเฉพาะกรณีที่สามารถนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศ เข้ามาช่วยในการดำเนินการได้ ซึ่งควรครอบคลุมการพิจารณาใน 3 ประเด็น ดังนี้
• Compliance Audit
• Operation Audit
• Efficiency Audit

2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

ในการนำระบบสารสนเทศเข้ามาใช้ในองค์กรนั้น เพื่อสร้างความมั่นใจได้ว่าระบบฯ ที่นำมาใช้มีความปลอดภัยและถูกต้องจึงต้องมีการควบคุมและควบคู่ไปกับการตรวจสอบ โดยครอบคลุมในเรื่องทั่วไปเกี่ยวกับระบบสารสนเทศขององค์กรดังนี้
– การควบคุมกระบวนการพัฒนาระบบงาน (Implementation controls) ตรวจสอบกระบวนการพัฒนาระบบงานในจุดต่าง ๆ เพื่อให้มั่นใจได้ว่ากระบวนการพัฒนาฯ อยู่ในความควบคุมและการบริหารที่ดี การตรวจสอบการพัฒนาซอฟต์แวร์ควรที่จะมีการตรวจสอบทบทวนอย่างเป็นทางการ ในแต่ละขั้นตอนการพัฒนาซอฟต์แวร์ที่สำคัญเพื่อเปิดโอกาสให้ผู้ใช้และผู้บริหารมีโอกาสยอมรับหรือปฏิเสธระบบงานเป็นระยะก่อนที่ระบบงานจะพัฒนาเสร็จเรียบร้อย การตรวจสอบระบบงานควรจะตรวจการเข้าไปมีส่วนร่วมของผู้ใช้ในแต่ละขั้นตอนของการพัฒนาฯ และนำทฤษฎีการวิเคราะห์ค่าใช้จ่ายผลตอบแทนมาใช้ศึกษาความเป็นไปได้ของโครงการ การตรวจสอบจะต้องคำนึงถึงการประกันคุณภาพในระหว่างที่ทำการพัฒนา การเปลี่ยนแปลงระบบงาน และการทดสอบระบบงาน รวมทั้งเอกสารประกอบระบบงานนั้น
– การควบคุมซอฟต์แวร์ (Software Control) มีความจำเป็นสำหรับซอฟต์แวร์ประเภทต่างๆ ที่นำมาใช้ประกอบระบบงาน การควบคุมซอฟต์แวร์ตรวจสอบการใช้ซอฟต์แวร์ระบบและป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้ามาใช้งานเนื่องจากซอฟต์แวร์ระบบมีความสำคัญต่อการควบคุมการทำงานของซอฟต์แวร์อื่น ๆ และเป็นตัวที่เข้าไปแก้ไขเปลี่ยนแปลงข้อมูลโดยตรง
– การควบคุมทางกายภาพ (Physical hardware controls) เป็นการป้องกันทางกายภาพเพื่อไม่ให้ใช้เครื่องคอมพิวเตอร์และอุปกรณ์ต่าง ๆ และตรวจสอบความผิดปกติของอุปกรณ์ทุกชนิด การป้องกันนี้รวมไปถึงการป้องกันอัคคีภัย การป้องกันไม่ให้อุณหภูมิและความชื้นในห้องเก็บอุปกรณ์สูงหรือต่ำเกินไป การป้องกันข้อมูลเสียหายด้วยการทำสำเนาข้อมูล การรักษาให้ฮาร์ดดิกส์สามารถให้บริการได้ตลอดเวลาที่ต้องการ เป็นต้น
– การควบคุมการปฏิบัติงานเครื่องคอมพิวเตอร์ (Computer operations controls) ประยุกต์ใช้กับงานของฝ่ายคอมพิวเตอร์เพื่อให้ขั้นตอนการปฏิบัติเกี่ยวกับอุปกรณ์บันทึกข้อมูลและการประมวลผลข้อมูลเป็นไปตามขั้นตอนที่กำหนด ได้แก่ การจัดสภาพแวดล้อมให้เหมาะสมกับการทำงานของคอมพิวเตอร์ การใช้ซอฟต์แวร์ การทำสำเนาข้อมูลและการฟื้นสภาพข้อมูลในกรณีที่โปรแกรมไม่ทำงานตามปกติ เป็นต้น
– การควบคุมความปลอดภัยข้อมูล (Data security controls) เป็นการปกป้องข้อมูลที่มีค่ายิ่งขององค์กรที่เก็บอยู่ในดิกส์หรือเทปหรืออุปกรณ์ใดก็แล้วแต่ ให้พ้นจากการใช้งาน การเปลี่ยนแปลง และการทำลายโดยบุคคลที่ไม่ได้รับอนุญาต การปกป้องนี้ต้องทำทั้งในขณะที่แฟ้มข้อมูลกำลังถูกใช้งานและเก็บรักษาไว้ ในสภาพการทำงานที่ข้อมูลมีการป้อนเข้ามาจากเครื่องเทอร์มินอล ข้อมูลที่แปลกปลอมเข้ามาจะต้องถูกกำจัดออกจากระบบ
– ระเบียบวินัยผู้บริหาร มาตรฐาน และขั้นตอนการปฏิบัติงาน (Administrative disciplines, standards, and procedures) หมายถึงการกำหนดมาตรฐาน กฎเกณฑ์ ขั้นตอนการปฏิบัติงาน และวินัยในการรักษาความปลอดภัย เพื่อให้มั่นใจได้ว่าการรักษาความปลอดภัยทั่วไปและการรักษาความปลอดภัยโปรแกรมประยุกต์ได้รับการจัดตั้งและนำไปปฏิบัติอย่างจริงจัง

ตัวอย่าง : ระบบสารสนเทศมีความปลอดภัย เช่น
1) การจัดทำคู่มือการปฏิบัติงานและแบบฟอร์มมาตรฐานในการรับส่งงานระหว่างเจ้าหน้าที่ศูนย์คอมพิวเตอร์และผู้ใช้ (Users)
2) การสอบทานกระบวนการหรือวิธีการจัดเก็บเอกสารหรือ media ที่ใช้ประกอบการออกแบบระบบงาน รวมทั้งวิธีการเก็บหรือดูแลรักษา Source Program อย่างสม่ำเสมอ
3) จัดให้มีระบบการบำรุงรักษาที่ต่อเนื่องเหมาะสมและครอบคลุมครุภัณฑ์คอมพิวเตอร์และอุปกรณ์ทุกประเภท
4) กำหนดให้มีการจัดทำทะเบียนคุมการติดตั้งหรือการนำ software จากภายนอกเข้ามาใช้กับเครื่องคอมพิวเตอร์ในหน่วยงาน
5) กำหนดผู้มีหน้าที่รับผิดชอบศึกษาทบทวนระบบรักษาความปลอดภัยและกำหนดสิทธิในการเข้าถึงระบบงานและฐานข้อมูลที่สำคัญ
6) การปรับปรุงพัฒนาระบบและสิทธิหรือ User ID ในการเข้าถึงระบบงานและระบบข้อมูลเป็นระยะ
7) จัดให้มีการตรวจสอบข้อมูลหรือเอกสารที่จะนำเข้าระบบ รวมทั้งจัดให้มีการรายงานจากโปรแกรมระบบงานสำหรับใช้ในการตรวจสอบหรือสอบทานความถูกต้องของข้อมูลก่อนการส่งต่อ
8) กำหนดระบบการจัดเก็บและสำรองแฟ้มข้อมูล ฐานข้อมูล และรายงานต่างๆ ให้เหมาะสมกับการใช้งาน
9) กำหนดให้มีวิธีการ Backup หรือทำสำเนา Source Program ระบบงานและเอกสารประกอบที่สำคัญอย่างน้อย 2 ชุด และแยกสถานที่จัดเก็บ รวมทั้งจัดทำทะเบียนคุมไว้เป็นหลักฐาน
10) จัดให้มีการสำรองข้อมูลให้ครบถ้วนตามความเหมาะสมของแต่ละระบบงานและตามเวลาที่กำหนด เช่น จัดเก็บทุกสิ้นวัน ทุกสัปดาห์ หรือทุกเดือนตามความจำเป็นและความเหมาะสม
11) จัดให้มีการทดสอบความถูกต้องของข้อมูลที่สำรองไว้เป็นครั้งคราวและทำรายงานผลการทดสอบ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– การมีกระบวนการ Computer Audit ตามรายละเอียดข้างต้น
– การแก้ไขปัญหาหลังจากดำเนินการ Computer Audit

2.3.3 การดำเนินงานตามแผนงาน/โครงการด้านสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ

ในการนำระบบสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กร เช่น ระบบ ERP ระบบงานธุรกิจหลัก (Core System) เป็นต้น เข้ามาใช้ในองค์กรนั้น เพื่อสร้างความมั่นใจได้ว่าระบบฯ ที่นำมาใช้จะมีการดำเนินงานเป็นไปตามแผนงาน มีความปลอดภัยและถูกต้อง ไม่เกิดผลกระทบต่อระบบงานเดิม และเป็นไปตามแผนงาน / โครงการ จึงต้องมีการติดตาม ควบคุมและควบคู่ไปกับการตรวจสอบ

หมายเหตุ : ในกรณีที่รัฐวิสาหกิจไม่มีการนำระบบสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ มาดำเนินการหรือดำเนินการแล้วเสร็จแล้ว น้ำหนักของการประเมินผลข้อนี้จะเฉลี่ยไปที่หัวข้อ 2.3.1

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล

2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)

เป็นระบบฐานข้อมูลด้านทรัพยากรมนุษย์ ซึ่งในระบบฐานข้อมูลนี้ นอกเหนือจากการเก็บข้อมูลด้านแฟ้มบุคคล ของพนักงานแต่ละคน ซึ่งโดยทั่วไปจะประกอบด้วย ข้อมูลใบสมัคร ข้อมูลประวัติบุคคล ข้อมูลประวัติพนักงาน ข้อมูลการจ่ายเงินเดือน ข้อมูลการประเมินผลงาน ข้อมูลตำแหน่ง และข้อมูลการลาออกหรือขาดงานแล้ว จะต้องมีการเก็บข้อมูลด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการและความสามารถของบุคลากรแต่ละคนที่องค์กรมีอยู่ (Competency Inventory) โดยจะมี Basic Competencies สำหรับแต่ละงาน คือ Know-How, Problem Solving, และ Accountability ซึ่ง Know-How จะประกอบด้วย 3 ด้านหลักๆ คือ ด้านบริหารจัดการ (Managerial) ด้านเทคนิค (Technical) และด้านความสัมพันธ์ (Human Relations) ส่วน Problem Solving และ Accountability นั้นสามารถมองได้หลายมิติ ขึ้นอยู่กับประเภท และความสำคัญของแต่ละงาน

การเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากร นั้นจะต้องมีระบบฐานข้อมูลที่มีการจัดเก็บเป็นระบบการจัดการฐานข้อมูลทรัพยากรบุคคล (Human Resource Database Management System) โดยเฉพาะเป็นระบบที่สามารถจัดการข้อมูลของพนักงาน ตรวจสอบความชำนาญเฉพาะด้านของพนักงานแต่ละคน การอบรม ค่าตอบแทน สวัสดิการต่างๆ เป็นต้น

แนวทางโดยสรุป : เป็นระบบฐานข้อมูลด้านทรัพยากรบุคคล (HR Database) ที่มีการเก็บรวบรวมข้อมูลด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการ และความสามารถของบุคลากรแต่ละคนที่องค์กรมีอยู่ (Competency Inventory)

ตัวอย่าง : ระบบฐานข้อมูลด้านทรัพยากรบุคคลนี้สามารถให้ข้อมูล ด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการ และความสามารถของบุคลากรแต่ละคน ที่องค์กรมีอยู่ (Competency Inventory) ได้ เช่น หากเจ้าหน้าที่คนหนึ่งมีความสามารถด้านสารสนเทศ ก็จะต้องสามารถมีข้อมูลที่ระบุได้ว่า เจ้าหน้าที่ดังกล่าวอยู่ในสายงานใด เช่น สายงาน Database สายงาน Network และสายงาน Web Application ซึ่งหากเกิดความผิดพลาดในกระบวนการทำงานด้านสารสนเทศเกิดขึ้น ทางองค์กรก็สามารถที่จะมีข้อมูลเพื่อวิเคราะห์ได้ว่า ควรมีการปรับปรุงวิธีการทำงาน ควรจะจัดอบรมความรู้ในเรื่องงานด้านสารสนเทศ หรือการสรรหาบุคคลที่มีความสามารถเฉพาะด้านเป็นพิเศษเข้ามาทำงาน หรือหากองค์กรมีนโยบายใหม่เข้ามา และมีส่วนงานที่เกี่ยวข้องกับด้านสารสนเทศด้วย ระบบฐานข้อมูลด้านทรัพยากรบุคคลนี้ก็จะสามารถระบุได้ว่า บุคลากรคนใดที่มีความชำนาญด้านสารสนเทศเป็นพิเศษ ทำให้สามารถจัดหาบุคคลมาปฏิบัติงานได้อย่างถูกต้อง และมีประสิทธิภาพ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการเก็บข้อมูล Competency ครบทุกคน และชนิดของข้อมูลที่เก็บมีความเหมาะสม และสามารถค้นหาบุคลากรตาม Competency ทีต้องการได้

2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ในการผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร

กระบวนการหรือวิธีการในการยกระดับความรู้และความสามารถของ CEO / CFO / CIO ในการผนวกรวม การจัดการร่วมกันระหว่างกระบวนการหรือแผนที่เป็นรูปธรรม ด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร โดยมีวิธีการส่งเสริมความรู้ให้กับ CEO / CFO / CIO เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสาร และประโยชน์ของเทคโนโลยีต่างๆ ที่จะนำมาช่วยในการพัฒนาองค์กรได้อย่างคุ้มค่า และไปในทิศทางเดียวกับวิสัยทัศน์ ภารกิจ และนโยบายขององค์กร

โดยอาจจะมีกระบวนการวิธีการที่แตกต่างกันในการให้ความรู้ด้านสารสนเทศแก่ CEO / CFO / CIO ซึ่งจะให้ความสำคัญทางด้านประโยชน์ของสารสนเทศ และแนะนำถึงการนำมาสารสนเทศนี้มาใช้ในองค์กร เพื่อสนับสนุนการปฏิบัติงาน หรือภารกิจหลักขององค์กรได้อย่างมีประสิทธิภาพ รวมทั้งการวางนโยบายเพื่อพัฒนาองค์กรโดยมีสารสนเทศเป็นเครื่องมือสนับสนุน ซึ่งอาจจะใช้วิธีการสัมมนา หรือใช้วิธีแบบ Online Training เป็นต้น

แนวทางโดยสรุป : การยกระดับความรู้ให้กับ CEO / CFO / CIO เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสาร และประโยชน์ของเทคโนโลยีต่างๆ ที่จะนำมาช่วยในการพัฒนาองค์กรได้อย่างคุ้มค่า และไปในทิศทางเดียวกับวิสัยทัศน์ ภารกิจ และนโยบายขององค์กร

ตัวอย่าง : การส่งเสริมความรู้ให้กับ CEO / CFO / CIO เช่น จัดนำเสนอโดยผู้เชี่ยวชาญหรือผู้ทรงคุณวุฒิที่หน่วยงานด้านสารสนเทศเป็นผู้คัดเลือก โดยให้มีการนำเสนอผ่านทางระบบ Video Conference ซึ่งอาจจะชี้ให้เห็นได้ด้วยว่า หากนำสารสนเทศ อย่าง Video Conference มาใช้ในการประชุมแล้วสามารถที่จะลดระยะเวลา ลดต้นทุนและเพิ่มประสิทธิภาพในการดำเนินงานขององค์กรได้ ซึ่ง CEO / CFO / CIO ที่ได้เรียนรู้ จะเล็งเห็นถึงความสำคัญของการใช้เทคโนโลยีสารสนเทศ และสามารถที่จะนำเทคโนโลยีเข้าไปผนวกกับการวางนโยบายเพื่อพัฒนาองค์กร อาทิเช่น การวางนโยบายขององค์กรในเรื่องของการติดต่อสื่อสารทั้งภายในและภายนอกองค์กร โดยจัดให้มีการนำระบบเทคโนโลยีด้านการสื่อสารทางไกล (Telecommunication) เข้ามาใช้เพื่อลดต้นทุนในส่วนของค่าใช้จ่ายในการเดินทาง สามารถติดต่อสื่อสารกันได้โดยไม่ขึ้นกับสถานที่ ระยะทาง และเวลา

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีแผนการอบรมที่ชัดเจนสำหรับผู้บริหารแต่ละท่าน (CEO, CFO, CIO)
– การนำความรู้มาใช้ประโยชน์กับองค์กรอย่างเป็นรูปธรรม หรือนำมาใช้เป็นนโยบายในการดำเนินงานขององค์กร

2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

ระบบสารสนเทศใหม่ ๆ ได้นำเข้ามาสู่องค์กรอย่างสม่ำเสมอเพื่อให้สอดคล้องกับการดำเนินงานขององค์กรและปรับเปลี่ยนให้ทันตามเทคโนโลยีเพื่อเพิ่มประสิทธิภาพการทำงาน อย่างไรก็ตาม มักจะพบปัญหาในทางปฏิบัติเมื่อบุคลากรไม่มีความพร้อมที่จะใช้ระบบงานใหม่เนื่องจากบุคลากรดังกล่าวยังคงคุ้นเคยกับการทำงานลักษณะเดิม ทำให้เสียโอกาสในการใช้ระบบให้มีประสิทธิภาพและเป็นการสิ้นเปลืองงบประมาณในส่วนดังกล่าว ดังนั้นรัฐวิสาหกิจควรหาแนวทางเพื่อให้บุคลากรมีความคุ้นเคยและปรับเปลี่ยนการทำงานเพื่อรองรับกับระบบที่ได้เปลี่ยนแปลงไป

แนวทางโดยสรุป : การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจ และสามารถใช้ระบบสารสนเทศที่องค์กรมีอยู่

ตัวอย่าง : หากองค์กรมีระบบสารสนเทศใหม่ หรือมีใช้อยู่แล้วในองค์กร แต่จากการสำรวจพบว่า บุคลากรยังไม่สามารถใช้ระบบดังกล่าวได้อย่างถูกต้อง รวดเร็ว และมีประสิทธิภาพ ดังนั้นการพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจ และสามารถใช้ระบบสารสนเทศที่องค์กรมีอยู่จึงเป็นกระบวนการสำคัญในการผลักดัน ส่งเสริมให้บุคลากรสามารถใช้เทคโนโลยีได้ โดยอาจจะใช้วิธีของการจัดอบรม หรือ การสอนในรูปแบบของ Online Training หรือ e-Learning เพื่อให้บุคลากรสามารถที่จะศึกษา เรียนรู้ และใช้ระบบสารสนเทศดังกล่าวได้อย่างมีประสิทธิภาพ ตัวอย่างเช่น มหาวิทยาลัยด้านสารสนเทศแห่งหนึ่งต้องการให้อาจารย์และผู้ช่วยสอนสามารถทำ e-Learning ในรายวิชาที่อาจารย์คนนั้น ๆ สอนด้วยตนเอง โดยการนำคู่มือวิธีการทำ e-Learning ขึ้นบน Intranet ภายในมหาวิทยาลัย อาจารย์และผู้ช่วยสอนสามารถที่จะเรียนรู้และฝึกปฏิบัติทำได้ด้วยตนเอง ทั้งในรายละเอียดของ Code ในโปรแกรมที่ใช้สร้าง เช่น Dreamwaver การสร้างและใช้ Template รวมทั้ง Format ต่างๆ โปรแกรมที่ใช้ตัดต่อวิดีโอ อย่างเช่น Microsoft Producer, Microsoft Ulead และอื่นๆเป็นต้น ทำให้มหาวิทยาลัยสามารถลดค่าใช้จ่ายในการจ้างพนักงานเพื่อทำ e-Learning โดยเฉพาะ และยังเพิ่มความรู้ความสามารถให้กับบุคลากรในมหาวิทยาลัย

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการฝึกอบรมและการประเมินหลังการฝึกอบรมว่า USER ใช้ประโยชน์ระบบสารสนเทศอย่างเต็มศักยภาพเพียงใด

ครั้งหน้าเราไปต่อประเด็นการพิจารณาระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร รวมถึงนโยบายต่างๆ ของรัฐบาล และระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กรกันครับ

 

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

วันนี้ผมจะนำเสนอในรายละเอียดของ หลักเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 โดยจะกล่าวถึงหลักเกณฑ์การประเมินเฉพาะในส่วนที่ 1 ก่อน ซึ่งเป็นส่วนของการประเมินแผนแม่บทสารสนเทศ (IT Master Plan) สำหรับส่วนที่ 2 จะได้นำเสนอในครั้งต่อไป เนื่องจากมีรายละเอียดในแต่ละหัวข้อมากพอสมควร

ผมนำภาพมาให้ดูอีกครั้ง คงยังจำกันได้นะครับ

หลักเกณฑ์การประเมินส่วนที่ 1: การประเมินแผนแม่บทสารสนเทศ (IT Master Plan)
1.1 การตอบสนองต่อความต้องการขององค์กรและนโยบาย
แผนแม่บทฯ ต้องมีการพิจารณาให้เชื่อมโยงกับแผนวิสาหกิจขององค์กร และสอดคล้องกับนโยบายต่าง ๆ ซึ่งการประเมินจะพิจารณาตามเกณฑ์การประเมินดังนี้

1.1.1 ความสอดคล้องกับแผนวิสาหกิจเต็มตามศักยภาพของระบบสารสนเทศ พิจารณาจาก :
– แผนแม่บทฯ ตอบสนอง /สอดคล้อง / สนับสนุนต่อแผนวิสาหกิจครบทั้ง วิสัยทัศน์ ภารกิจ รวมทั้งกลยุทธ์ขององค์กรอย่างเหมาะสม
– มีการวิเคราะห์แผนงานหรือโครงการที่เกี่ยวข้องกับข้อ 2.1 ถึง 2.6 (ซึ่งจะนำเสนอในครั้งต่อไป)

1.1.2 การดำเนินการเพื่อตอบสนองต่อนโยบายที่สำคัญ มีหลักเกณฑ์การพิจารณาดังนี้
– การเพิ่มประสิทธิภาพ และ/หรือ ลดขั้นตอนการปฏิบัติงาน พิจารณาจาก :
ก) แผนแม่บทฯ ให้ความสำคัญที่ชัดเจนต่อการเพิ่มประสิทธิภาพ และ/หรือ ลดขั้นตอนการปฏิบัติงาน
ข) ขั้นตอนที่ปรับเปลี่ยนมีผลกระทบอย่างชัดเจนในการเพิ่มประสิทธิภาพ และลดขั้นตอนการปฏิบัติงาน ประหยัดค่าใช้จ่ายของรัฐวิสาหกิจ มีความเหมาะสมกับรัฐวิสาหกิจและงบประมาณ และไม่ส่งผลเสียหายต่อรัฐวิสาหกิจ

– ประชาชน/ผู้ใช้บริการได้รับความสะดวกและได้รับการตอบสนองตามความต้องการ พิจารณาจาก :
ก) แผนแม่บทฯ ให้ความสำคัญที่ชัดเจนต่อการตอบสนองตามความต้องการของประชาชน/ผู้ใช้บริการ
ข) มีการระบุข้อมูลถึงความต้องการของประชาชน/ผู้ใช้บริการ หรือ แนวทางการประเมินความต้องการของประชาชนผู้ใช้บริการ

– การใช้ข้อมูลร่วมกัน พิจารณาจาก :
ก) แผนแม่บทฯ ให้ความสำคัญที่ชัดเจนต่อการใช้ข้อมูลร่วมกัน รวมถึงให้กระทรวงเจ้าสังกัดสามารถดึงข้อมูลได้
ข) มีโครงการที่ดำเนินการเกี่ยวข้อง

1.2 องค์ประกอบหรือรายละเอียดแผนปฏิบัติการ
ในแผนปฎิบัติการระดับองค์กรที่ถ่ายทอดมาจากแผนแม่บทฯ ควรมีองค์ประกอบหรือรายละเอียดดังนี้

1.2.1 กลุ่ม / ลำดับความสำคัญของแผนงาน / โครงการดังกล่าวอย่างเหมาะสม พิจารณาจาก :
– มีการจัดเรียงกลุ่มลำดับความสำคัญของโครงการ / แผนงาน ซึ่งหลักเกณฑ์การแบ่งกลุ่มมีความเหมาะสม และสามารถระบุได้ว่า จะดำเนินการเรื่องใดก่อน-หลัง เช่น กลุ่มลำดับความสำคัญสูง กลุ่มลำดับความสำคัญปานกลาง เป็นต้น และในกรณีที่มีข้อจำกัดทางทรัพยากร เช่น งบประมาณที่จำกัด การจัดกลุ่มดังกล่าวสามารถคัดเลือกโครงการที่จะดำเนินการก่อนได้

1.2.2 KPI ที่แสดงถึงความสำเร็จและสะท้อนผลลัพธ์ที่คาดหวัง พิจารณาจาก :
– ทุกโครงการ / แผนงานควรมีการระบุถึง KPI ที่สะท้อนความสำเร็จและสะท้อนผลลัพธ์ที่คาดหวัง โดยเป้าหมายควรมีความท้าทาย รวมทั้งมีความชัดเจนและสามารถวัดได้อย่างเป็นรูปธรรม เช่น ในกรณีที่นำระบบสารสนเทศมาช่วยในการลดระยะเวลาการให้บริการ ควรมี KPI ที่เป็นระยะเวลาการให้บริการที่ลดลงในระหว่างการดำเนินงาน ณ สิ้นปีบัญชีแรก และระยะเวลาที่ลดลงในปีถัดไปหรือเมื่อการดำเนินงานเสร็จสิ้น เป็นต้น

 

เกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับ วันนี้ผมจะนำเสนอต่อในเรื่องของเกณฑ์ประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ปี 2553 ให้จบ หลังจากที่ได้นำเสนอมาหลายตอนเนิ่นนานแล้ว และผมจะได้ต่อในเรื่องของเกณฑ์การประเมินการบริหารจัดการสารสนเทศ (IT) ปี 2553 ซึ่งตั้งใจไว้ว่าจะนำเสนอให้ทันภายในปีนี้ เพื่อที่ รส. และหน่วยงานภายใต้การกำกับดูแล จะได้เตรียมความพร้อมรับการประเมิน ประจำปี 2553 กัน ฉะนั้น เราไปต่อในส่วนที่เหลือกันเลยดีกว่าครับ

6. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ

6.1แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร

6.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคล หรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคล หรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคล หรือสายงานนั้นเป็นผู้รับผิดชอบว่า ความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

6.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

7. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

7.1 องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร

7.2 การที่องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศ เพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กรเช่นเดียวกัน

8. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง

8.1 การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง

8.2 ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง)

แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

8.3 ในกรณีที่มี Risk Appetite รายปัจจัยเสี่ยง ที่ระบุเป้าหมายเชิงปริมาณในปี 2552 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ Risk Appetite /ดีกว่าเป้าหมายของ Risk Appetite ที่กำหนด

 

การประเมินผลการดำเนินงานของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับ ผมได้นำเสนอเรื่องของแนวทางการประเมินผลการดำเนินงานของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วใน 2 – 3 ครั้งที่ผ่านมา จากที่ได้กล่าวไปแล้วว่า แนวทางที่ใช้ในการยกระดับและขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเกณฑ์พิจารณาเบื้องต้นนั้น มี 2 ส่วน และได้มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์การประเมินผลในปี 2552 ซึ่งได้นำเสนอเกณฑ์การพิจารณาการบริหารความเสี่ยงที่เป็นเกณฑ์การประเมินในส่วนแรกไปแล้ว แต่ยังไม่จบแค่นั้นครับ

วันนี้ ผมจะมานำเสนอต่อถึงการประเมินคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น ไปติดตามกันต่อเลยนะครับ

ส่วนที่สอง เกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง

1. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี
1.1. ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร

1.2. คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้

การสร้างมูลค่าเพิ่ม หมายรวมถึง
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา

1.3. คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตามการจัดการกระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT

1.4. คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT

1.5. ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

1.6. มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลักๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น

โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non-IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

1.7. คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

1.8. ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

1.9. คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น

1.10. คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

นี่เป็นเพียงเกณฑ์การประเมินในข้อแรกเท่านั้น ยังมีเกณฑ์ที่ใช้ในการประเมินอีกหลายข้อ ซึ่งผมจะนำเสนอในโอกาสต่อไปครับ

 

การประเมินผลการบริหารความเสี่ยงของรัฐวิสหากิจ ประจำปี 2553 (ต่อ)

สำหรับวันนี้คงไม่ต้องอธิบายอะไรมากนะครับ เราคงมาต่อกันในเรื่องของเกณฑ์การพิจารณาการบริหารความเสี่ยง ซึ่งผมจะขอนำเสนอเกณฑ์ในระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ต่อจากที่ได้นำเสนอไป 2 ระดับในครั้งที่แล้วครับ

ระดับ 3 : การบริหารความเสี่ยงในเชิงบูรณาการ
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร

2.1 แผนงานการบริหารความเสี่ยงปรากฏในแผนวิสาหกิจของ รส.

2.2 เป้าหมายในแผนบริหารความเสี่ยงมีการถ่ายทอดลงถึงระดับฝ่าย และสอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีในแต่ละฝ่ายงานของ รส.

3. มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน

3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)

3.2 มีการกำหนดบทบาทหน้าที่ และความรับผิดชอบของกลุ่มบุคคลต่างๆ ที่มีส่วนร่วมด้านการบริหารความเสี่ยงขององค์กร

3.3 มีการกำหนดแผนการปฏิบัติงานสำหรับหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยงประจำปี และแผนการปฏิบัติงานดังกล่าวผ่านการอนุมัติจากผู้บริหารระดับสูง เช่น แผนการฝึกอบรมหรือสร้างความรู้ความเข้าใจหน่วยงานอื่นเกี่ยวกับการบริหารความเสี่ยง การรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการตรวจสอบและคณะกรรมการ รส. ตามกำหนด เป็นต้น และสามารถบรรลุเป้าหมายตามแผนการปฏิบัติงานนั้นได้ครบถ้วน

4.มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส

4.1 มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง โดยใช้ฐานข้อมูลในอดีต หรือ การคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4.2 กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวังของทุกปัจจัยเสี่ยงได้ โดยเป็นเป้าหมาย ณ สิ้นปีบัญชี พร้อมทั้งเป้าหมายที่คาดหวังในเชิงระดับความรุนแรงต้องสามารถอธิบายได้โดยใช้ฐานข้อมูลและการวิเคราะห์เช่นเดียวกัน

4.3 สามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส เทียบกับเป้าหมายที่คาดหวัง พร้อมวิเคราะห์ถึงปัญหา/อุปสรรค และแนวทางทีจะบรรลุถึงเป้าหมาย

5. มีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

5.1 องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกปัจจัยเสี่ยงโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

5.2 Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

5.3 Risk Appetite ต้องสอดคล้องกับเป้าหมายขององค์กรประจำปีบัญชีที่ระบุในแผนปฏิบัติการประจำปี หรือ ค่า “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดสูงกว่า

5.4 Risk Tolerance ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ระบุในแผนปฏิบัติการประจำปี หากไม่มีระบุ ต้องเป็นค่า Risk Tolerance ที่ผ่านการอนุมัติจากคณะกรรมการ รส. หรือ ผลต่างของค่าเกณฑ์วัด “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดต่ำกว่า

6. มีการบริหารความเสี่ยงแบบบูรณาการ

6.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ โดยกลยุทธ์ในแผนการบริหารความเสี่ยงมีความสัมพันธ์กับกลยุทธ์ของรัฐวิสาหกิจ และมีการทบทวนกลยุทธ์การบริหารความเสี่ยง ในช่วงเวลาที่มีการรายงานผลการปฏิบัติงานตามแผนประจำปี เพื่อให้ทราบถึงปัญหา อุปสรรค ที่ส่งผลต่อการบรรลุเป้าหมายขององค์กร และเพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายองค์กร โดยการใช้กระบวนการบริหารความเสี่ยง

6.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยงในปีบัญชี 2552

6.2.1 การกำหนดสาเหตุของความเสี่ยงในทุกปัจจัยเสี่ยง และสามารถกำหนดระดับความรุนแรงของแต่ละสาเหตุในทุกปัจจัยเสี่ยง โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหาร
ความเสี่ยง

6.2.2 การวิเคราะห์ความสัมพันธ์ระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์ของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.3 การวิเคราะห์ผลกระทบระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบของสาเหตุ โดยมีการวิเคราะห์ผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.4 การนำ Risk Map ไปใช้ในการกำหนดแผนการบริหารความเสี่ยง ในแผนการบริหารความเสี่ยง โดยมีการบริหารถึงปัจจัยเสี่ยงที่เป็นสาเหตุหลัก และมีการกล่าวถึงปัจจัยเสี่ยงที่มีระดับความรุนแรงสูง และส่งผลกระทบต่อปัจจัยเสี่ยงดังกล่าว รวมถึงมีการประเมินถึงความสำเร็จของเป้าหมายในการบริหารความเสี่ยงของปัจจัยเสี่ยงหลัก ว่าเป็นผลมาจากการบริหารปัจจัยเสี่ยงที่เป็นสาเหตุ หรือการบริหารปัจจัยเสี่ยงที่มีผลกระทบสูง

6.2.5 การสร้างความเข้าใจในเรื่อง Risk Map ให้กับบุคลากรในองค์กร โดย Risk Owner มีส่วนร่วมในการจัดทำ Risk Map และยอมรับในการร่วมกันจัดทำแผนการบริหารความเสี่ยงในกลุ่มความเสี่ยงที่มีความสัมพันธ์กัน รวมถึงบุคลากรในองค์กร รับรู้และเข้าใจเรื่อง Risk Map

 

การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553

เมื่อครั้งที่ก่อน ผมได้พูดคุยกันไปบ้างแล้ว ถึงเรื่องการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ที่ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ซึ่งจะใช้ในปี 2553 โดยใช้หลักการ GRC เป็นเกณฑ์เบื้องต้น

วันนี้เรามาดูกันว่า แนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ทั้ง 2 ส่วน ดังที่กล่าวไปแล้ว ในเกณฑ์ใดบ้างที่มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์ประเมินผลฯ ปี 2552 และมีเกณฑ์การพิจารณาอย่างไรกันบ้าง

ส่วนที่หนึ่ง เกณฑ์การพิจารณาการบริหารความเสี่ยง
ระดับ 1 : การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

1. มีแนวทางบริหารความเสี่ยงในเชิงรับเป็นส่วนใหญ่หรือมีการบริหารความเสี่ยงในระดับเบื้องต้น

1.1. รัฐวิสาหกิจขาดการบริหารจัดการความเสี่ยง การพิจารณาปัจจัยเสี่ยงหรือการดำเนินการแก้ไขปัญหาเป็นการดำเนินการภายหลังจากที่เกิดเหตุการณ์หรือความเสียหายแล้ว เช่น ในกรณีที่รัฐวิสาหกิจ มีธุรกรรมเกี่ยวกับเงินตราต่างประเทศ แต่ไม่ได้มีการบริหารความเสี่ยงด้านอัตราแลกเปลี่ยนเลย ต่อเมื่อมีความเสียหาย เช่น การขาดทุนจากอัตราแลกเปลี่ยนเกิดขึ้นจากความผันผวนของอัตราแลกเปลี่ยน รัฐวิสาหกิจจึงเริ่มศึกษาหรือบริหารความเสี่ยงจากอัตราแลกเปลี่ยน เป็นต้น

1.2. รัฐวิสาหกิจยังไม่มีการดำเนินการเบื้องต้น โดยการกำหนดกระบวนการ/ดำเนินการสร้างความตระหนักเกี่ยวกับความสำคัญหรือความรู้ความเข้าใจของการบริหารความเสี่ยงในองค์กรต่อคณะกรรมการ ผู้บริหาร และพนักงานเท่านั้น ซึ่งกระบวนการสร้างความรู้ความเข้าใจดังกล่าว เช่น การจัดสัมมนาทั้งภายนอกและภายในองค์กรการจัดนิทรรศการ ป้ายประชาสัมพันธ์ วารสารภายใน และเสียงตามสาย เป็นต้น

การฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยง ต้องมีการให้ความรู้กับผู้บริหาร (3 อันดับแรก) และพนักงาน (พนักงานทุกคนในกรณีที่เป็นองค์กรขนาดเล็ก / ในกรณีองค์กรขนาดใหญ่ ต้องมีการสื่อสารและฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหาร

ความเสี่ยงสำหรับพนักงานในระดับที่เกี่ยวข้องในการรับผิดชอบในแต่ละปัจจัยเสี่ยง) และมีการสื่อสารสำหรับนโยบายหลักปฏิบัติในการบริหารความเสี่ยง

2. แนวทางในการบริหารความเสี่ยงยังไม่เป็นระบบ โดยเข้าเกณฑ์ข้อใดข้อหนึ่ง ดังต่อไปนี้

2.1. รัฐวิสาหกิจยังมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีที่ไม่ครบถ้วน ซึ่งองค์ประกอบหลักๆ ที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ยความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วย ความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนดวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2)
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลการบริหารความเสี่ยง

2.2. รัฐวิสาหกิจไม่มีการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

2.3. รัฐวิสาหกิจมีองค์ประกอบหลักข้างต้นของการบริหารจัดการความเสี่ยงที่ดีครบถ้วนทั้ง 5 องค์ประกอบ แต่ขาดการกำหนดวิธีการจัดการต่อความเสี่ยงที่มีลำดับความเสี่ยงสูง

2.4. การดำเนินการของรัฐวิสาหกิจขาดความสอดคล้องระหว่างองค์ประกอบหลักทั้ง 5 องค์ประกอบข้างต้น เช่น
– มีการระบุการกำหนดวิธีการจัดการต่อความเสี่ยงไม่ครบหรือไม่ตรงตามที่วิเคราะห์และระบุ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดการต่อความเสี่ยงเพียง 3 ประเภทเท่านั้น
– การระบุถึงความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ไม่ครบหรือ
ไม่สอดคล้องกับความเสี่ยงที่ระบุไว้ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการระบุถึงความเสียหายที่อาจจะเกิดขึ้น (ระดับความรุนแรง x โอกาสของการเกิดความเสี่ยง) เพียง 3 ประเภทเท่านั้น
– การจัดทำรายงานการบริหารความเสี่ยงและการประเมินผล ไม่ครบหรือไม่สอดคล้องกับ
ความเสี่ยงที่ระบุไว้ เป็นต้น เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดทำรายงาน
การบริหารความเสี่ยงและการประเมินผลเพียง 3 ประเภทเท่านั้น เป็นต้น

3. รัฐวิสาหกิจไม่มีคณะทำงาน หน่วยงานหรือผู้รับผิดชอบเพื่อบริหารจัดการความเสี่ยงในระดับองค์กร

4. รัฐวิสาหกิจไม่มีคู่มือการบริหารความเสี่ยง

การปรับเกณฑ์การประเมินผลฯ ปี 2553

ระดับ 2 : การบริหารความเสี่ยงเบื้องต้นที่มีระบบ
ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

1. การบริหารความเสี่ยงของรัฐวิสาหกิจเป็นกลยุทธ์ระยะสั้น

1.1. แผนงานการบริหารความเสี่ยงปรากฏในแผนกลยุทธ์ประจำปีของ รส.

1.2. เป้าหมายในแผนบริหารความเสี่ยง สอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีของ รส.

1.3. การดำเนินงานจัดทำแผนบริหารความเสี่ยงประจำปี ต้องมีการพิจารณาแผนการปฏิบัติการประจำปีของ รส. ที่เป็นแผนงานปกติ (แผนงานควบคุมภายใน) ที่จะจัดการความเสี่ยงที่มีอยู่ (Inherent Risk) ได้ว่ามีความเหมาะสมและ/หรือมีความเพียงพอหรือไม่ หากมีความไม่เหมาะสมและ/หรือมีความไม่เพียงพอ จะมีการหารือร่วมกันระหว่างหน่วยงานที่รับผิดชอบในการจัดทำแผน และหน่วยงานบริหารความเสี่ยง

2. รัฐวิสาหกิจมีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ เพื่อรับผิดชอบและติดตาม ในการบริหารจัดการความเสี่ยง ซึ่งโครงสร้างของคณะทำงานหรือผู้รับผิดชอบยังเป็นลักษณะเฉพาะกาล (เช่น คณะทำงานมีอายุการทำงานเพียง 1 ปี หรือ มีการทำงานเฉพาะเรื่องเพื่อเสนอเข้าคณะกรรมการพิจารณาเป็นคราวไป เป็นต้น) และ/หรือยังไม่มีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (ผลงานที่เป็นรูปธรรม ได้แก่ ผลงานที่นอกเหนือจากการประชุม เช่น การมีโครงการนำร่องในการพัฒนาระบบบริหารความเสี่ยง เป็นต้น)

3. มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ

3.1. รัฐวิสาหกิจมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหาร ความเสี่ยงในแต่ละปัจจัยเสี่ยงอยู่ ซึ่งองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง โดยการระบุความเสี่ยงต้องระบุความเสี่ยงครบทุกด้าน (เช่น ความเสี่ยงทั้ง 4 ด้านตามที่กระทรวงการคลังระบุ ได้แก่ ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยงด้านการดำเนินงาน (Operational Risk) ความเสี่ยงด้านธุรกิจ (Business Risk) และความเสี่ยงจากเหตุการณ์ภายนอก (Event Risk) เป็นต้น หรือ ความเสี่ยง 4 ด้านที่แบ่งออกเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

3.2. การดำเนินงานบริหารความเสี่ยงดังกล่าวเป็นการดำเนินงานเฉพาะส่วนหรือฝ่าย ไม่ใช่ในระดับองค์กร และ/หรือไม่ครบถ้วนตามที่ระบุและวิเคราะห์ไว้ หรือรัฐวิสาหกิจไม่มีการจัดทำ Risk Map (การแสดงความสัมพันธ์ของความเสี่ยงในแต่ละส่วนขององค์กร เพื่อแสดงผลกระทบของความเสี่ยงที่มีต่อกันในแต่ละฝ่าย เพื่อสะท้อนถึงภาพรวมความเสี่ยงขององค์กร) โดยระบุถึงสาเหตุของความเสี่ยงในแต่ละด้าน รวมถึงมีการวิเคราะห์ปัญหาที่เกิดขึ้น เพื่อที่จะทราบถึงต้นเหตุของการเกิดความเสี่ยงนั้น ๆ

3.3. รส. โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ ทั้งนี้ รส. จะต้องใช้ฐานข้อมูลในอดีต หรือการคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4. รัฐวิสาหกิจมีการจัดทำคู่มือบริหารความเสี่ยง และเผยแพร่ให้กับพนักงานทุกระดับ
คู่มือการบริหารความเสี่ยงที่ดี ควรประกอบไปด้วย
1) โครงสร้างของการบริหารความเสี่ยงขององค์กร (หน่วยงานที่รับผิดชอบด้านการบริหารความเสี่ยง / ระบบการติดตามงาน/การรายงานผลการบริหารความเสี่ยง)
2) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
3) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
4) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
5) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของ ความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
6) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง
รวมถึงคู่มือการบริหารความเสี่ยงดังกล่าวต้องมีการเผยแพร่ให้กับพนักงานทุกระดับผ่านช่องทางที่เหมาะสม โดย รส. จะต้องมีกระบวนการในการตรวจสอบถึงความเข้าใจของผู้บริหารและพนักงานในคู่มือดังกล่าว หากผลสำรวจถึงความเข้าใจในคู่มือต่ำกว่าที่ รส. ที่ประมาณการไว้ รส. ต้องดำเนินการปรับปรุงในจุดที่ต้องการแก้ไข อย่างเร่งด่วน และเผยแพร่ใหม่ในช่วงปีที่ประเมิน

สำหรับเกณฑ์การพิจารณาการบริหารความเสี่ยง ระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ในส่วนที่ 1 นี้นั้น ผมจะขอไปต่อในคราวหน้านะครับ