Posts Tagged "CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง"

องค์รวมของการบริหาร CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง (ต่อ)

หลังจากที่ได้พูดคุยกันถึง เรื่องแนวคิดและความเข้าใจในบางมุมมองของความหมาย ของคำว่า GRC ซึ่งเป็นเรื่องของการบริหารในลักษณะ Consolidated – Single Framework เพื่อให้ท่านผู้อ่านได้เข้าใจและมองเห็นภาพของ GRC ในมุมมองที่แตกต่าง และนำเสนอควบคู่กันไปกับมุมมองขององค์ประกอบหลักที่เกี่ยวข้องกับ Corporate Governance – CG และ ITG เมื่อครั้งที่ผ่านมานั้น

สำหรับวันนี้ผมจะขอนำเสนอแผนภาพที่อธิบายถึง องค์รวมของโครงสร้างการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ซึ่งเป็นการสร้างความเข้าใจในภาพโดยรวมของการบริหารตามหลัก CG ที่ผมคาดว่าแผนภาพนี้จะแสดงให้เห็นภาพกว้างได้ชัดเจนกว่าการให้คำอธิบายที่ค่อนข้างเข้าใจยากกว่าดังเช่นเคย

 

องค์รวมของการบริหาร CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง (ต่อ)

เมื่อครั้งที่แล้ว ผมได้นำผู้อ่านไปสู่แนวคิดและความเข้าใจในบางมุมมองของความหมาย ของคำว่า GRC ซึ่งเป็นเรื่องของการบริหารในลักษณะ Consolidated – Single Framework โดยนำมาตรฐานเกี่ยวกับการบริหารที่ส่วนใหญ่ยังเป็น Silo Management ไปสู่การหลอมรวมของ Silo ต่าง ๆ ที่ได้มาตรฐานในกรอบที่จำกัด ในมุมมองต่าง ๆ เข้ามาสู่การจัดการในแบบ Integrity – Driven Performance ภายใต้ร่มใหญ่ที่ครอบคลุมอยู่ นั่นคือ Governance – Single Framework

ท่านผู้อ่านที่ติดตามเรื่อง CG ITG และก้าวสู่ GRC อาจจะสับสนในถ้อยคำที่ผมใช้แตกต่างกันไปตามที่กล่าวข้างต้น แต่ทั้งหมดนั้น เป็นคำอธิบายเพื่อสร้างความเข้าใจในมุมมองต่าง ๆ เพื่อการจัดการที่ดี และยกระดับการบริหารที่ต้องคำนึงถึงองค์ประกอบต่าง ๆ ที่เกี่ยวข้องในการจัดการที่แยกกันไม่ได้ ระหว่าง IT และ Non – IT

ทั้งนี้เพราะ ในธุรกิจยุคใหม่ ทุกองค์กรไม่อาจหลีกเลี่ยงการใช้คอมพิวเตอร์ได้ และนับวันคอมพิวเตอร์จะมีบทบาทมากยิ่งขึ้นในการบริหารจัดการ ในทุกมุมมองของ Information Balance Scorecard และ Business Scorecard ซึ่งผมจะนำเสนอในรายละเอียดของหลักการ GRC ที่มีคุณลักษณะของการจัดการที่ไม่แตกต่างกันกับ CobiT 5.0 ซึ่งกำลังเป็นร่างที่ต้องการความเห็นจากท่านผู้อ่านทั่วโลกในปัจจุบัน และอาจสรุปได้ว่า ถนนทุกสายในการบริหารและการจัดการกำลังมุ่งสู่ Consolidated – Single Framework ตามที่ผมได้กล่าวข้างต้น

วันนี้ผมได้นำกลับมาสู่การทำความเข้าใจต่อจากครั้งก่อน ๆ ที่นำเสนอมุมมองขององค์ประกอบหลักที่เกี่ยวข้องกับ Corporate Governance – CG ซึ่งเป็นหลักเชื่อมโยงกับ ITG และก้าวสู่ GRC ต่อไป

 

บางมุมมองของ CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน (ต่อ)

ในมุมมองของ Statement ใหม่ ที่ทั่วโลกใช้ในการบริหาร และการจัดการแบบหลอมรวมองค์ประกอบต่าง ๆ ที่เกี่ยวข้อง เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี แบบสอดประสานและบู
รณาการที่ใช้คำว่า GRC นั้น กำลังเป็นที่สนใจและพยายามนำไปปฏิบัติกันในองค์กรต่าง ๆ ทั่วโลก

แต่ในความเป็นจริง ผลการปฏิบัติที่จะก่อให้เกิดความเป็นรูปธรรมในมุมมองของ GRC เพื่อขับเคลื่อนองค์กรในลักษณะ Integrity – Driven Performance ที่เน้น PPT หรือ People + Process + Technology ซึ่งก็คือ การยกระดับการบริหารและการจัดการ Operational Risk ที่เชื่อมโยงกับหลักการ Governance (CG + ITG) ในองค์ประกอบต่าง ๆ ที่เกี่ยวข้อง ทั้งด้านทั่วไปและทางด้าน IT (COSO – ERM + CobiT/ITIL) และเชื่อมโยงกับ Compliance หรือการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ จาก External Stakeholders และ Internal Stakeholders เป็นสำคัญนั้น ต้องการความเข้าใจอย่างลึกซึ้งของคณะกรรมการและผู้บริหารระดับสูง ที่จะสามารถถ่ายทอดมาสู่การปฏิบัติที่เป็นรูปธรรมอย่างแท้จริงได้

จากแผนภาพข้างต้น เป็นการสร้างความเข้าใจในภาพโดยรวมของผู้บริหารระดับสูง ที่ผมตั้งใจจะสื่อให้ทราบว่า องค์ประกอบของการกำกับดูแลกิจการที่ดี ตามหลัก CG นั้น มีปัจจัยใดบ้าง และแต่ละปัจจัยมีความสัมพันธ์กันอย่างไร แต่ในภาพนี้ ยังไม่มีการอธิบายการเชื่อมโยงระหว่าง CG กับ ITG ที่ชัดเจน ทั้งนี้เพราะ เป็นการสื่อและสร้างความเข้าใจในภาพใหญ่ ที่ยังไม่ได้ลงในรายละเอียดทั้ง CG และ ITG

โดยเฉพาะอย่างยิ่ง ยังไม่ได้อธิบาย CG ที่เกี่ยวพันกับ ITG ว่าเชื่อมโยงกับ GRC อย่างไรในขั้นตอนนี้ ทั้งนี้เพราะเป็นการอธิบายในมุมมองของ Bird Eye View สำหรับคณะกรรมการและผู้บริหารให้เข้าใจว่า ความสำเร็จของการเติบโตอย่างยั่งยืน ซึ่งเป็นหลักการบริหาร CG ที่สำคัญมากประการหนึ่งนั้น จะเกิดจากนโยบาย วัฒนธรรมขององค์กร กระบวนขั้นตอนการปฏิบัติงานที่ควรจะกำหนดออกมาให้ชัดเจน ในระดับคณะกรรมการ เพื่อให้เกิดการบริหารงานที่โปร่งใส ตรวจสอบได้ ซึ่งครอบคลุมถึง ความสัมพันธ์และบทบาทของผู้บริหารและของพนักงานทุกคนในองค์กร

ข้อความข้างต้น เป็นการเริ่มต้นที่จะกล่าวและอธิบายย่อ ๆ ของคำว่า Governance อีกครั้งหนึ่งเท่านั้นเองนะครับ และการเติบโตอย่างยั่งยืนจะเกิดขึ้นได้ก็ต่อเมื่อ คณะกรรมการและผู้บริหารระดับสูง และผู้ปฎิบัติทุกคนในองค์กร ควรจะได้เข้าใจถึง หลักการบริหารความเสี่ยงที่มีผลกระทบต่อการบรรลุเป้าหมายในมุมมองต่าง ๆ ตามหลัก Business Balaned Scorecard และ Information Balanced Scorecard หรือมีการกำหนด Risk Appetite และ Risk Tolerance ให้สัมพันธ์กับการบรรลุเป้าประสงค์ ทั้งทางด้านกลยุทธ์และการปฏิบัติงาน ที่สามารถวัดและประเมินผลได้อย่างชัดเจน

ที่ผมได้กล่าวในวรรคต้นหมายถึง Risk Management ซึ่งเป็นกลไกหรือเป็นเครื่องมือในการสนับสนุน Governance ให้บรรลุเป้าประสงค์ที่เป็นรูปธรรมได้ ถ้าหากขาดหลักการ Risk Management ซึ่งนิยมใช้ Framework ของ COSO – ERM แล้ว Governance ก็ไม่มีโอกาสที่จะประสบความสำเร็จตามที่ต้องการได้

ท่านผู้อ่านที่ได้อ่านมาถึงวรรค์นี้แล้ว และเมื่อเทียบกับแผนภาพ CG ข้างต้นจะได้นึกและจินตนาการ กระบวนการบริหารและจัดการ Governance ที่เชื่อมโยงกับ Risk Management ได้ในระดับหนึ่งนะครับ

เมื่อเรามีการบริหารและการจัดการเพื่อให้ได้ G – Governance โดยมี R – Risk Management เข้ามาเป็นเครื่องมือในการบริหาร Governance ให้สำเร็จข้างต้นแล้ว สิ่งที่องค์กรจะต้องปฏิบัติอย่างหลีกเลี่ยงไม่ได้อีกอย่างหนึ่งก็คือ การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ และการปฏิบัติตามนโยบายด้านสารสนเทศ และความมั่นคงปลอดภัยขององค์กรอย่างถูกต้อง ให้ได้มาตรฐานที่กำหนดไว้จาก Stakeholders ที่เกี่ยวข้องด้วย

จากแผนภาพข้างต้นที่เกี่ยวข้องกับ Corporate Governance ในมุมมองหนึ่งนั้น ท่านจะเข้าใจหลักการของ CG ได้ดีนะครับว่า CG จะเกิดขึ้นไม่ได้ หากขาดนโยบายที่ชัดเจน และ Tone at the top จากคณะกรรมการและผู้บริหารระดับสูง ที่ต้องมีความมุ่งมั่นหรือจิตวิญญาณ (Spiritual) ที่จะพาองค์กรมาสู่เป้าประสงค์หลักนี้ให้จงได้

 

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม (ต่อ)

สำหรับเรื่องของ CG ในวันนี้ ผมจะยังคงนำเสนอสรุปเรื่องของ CG ที่เป็นภาพใหญ่ของกระบวนการบริหาร และการจัดการของทุกองค์กร ซึ่งจะขอนำเสนอเป็นแผนภาพเพื่อให้เข้าใจได้ง่าย ตามที่ได้เรียนท่านผู้อ่านไว้ในครั้งก่อน ๆ เพื่อเป็นการทบทวน และสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม

โดยครั้งที่แล้ว ผมได้นำเสนอถึงแผนภาพของวงจรการพัฒนาการกำกับดูแลกิจการที่ดีขององค์กร และในวันนี้จะเป็นเรื่องของ กระบวนการสร้างการกำกับดูแลกิจการที่ดี ซึ่งแผนภาพนี้จะสรุปและอธิบายไปในตัวอยู่แล้ว ขอให้ท่านผู้อ่านได้ดูแผนภาพด้านล่างนี้อย่างพิจารณา ก็จะทำให้เข้าใจได้อย่างไม่ยากเย็น

ครั้งหน้าเราไปดูองค์รวมของการกำกับดูแลกิจการที่ดีขององค์กรกันครับ

 

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม (ต่อ)

ครั้งที่แล้ว ผมได้เรียนให้ท่านผู้อ่านได้ทราบว่า ผมจะได้นำสรุปเรื่อง CG ซึ่งเป็นภาพใหญ่ เปรียบเทียบได้กับร่มใหญ่ที่สุดในกระบวนการบริหาร และการจัดการของทุกองค์กร ที่ต้องอาศัยจิตวิญญาณ (Spiritual) ซึ่งหมายถึงความมุ่งมั่นจากจิตสำนึก และความรับผิดชอบ เพื่อขับเคลื่อนกระบวนการบริหารและการจัดการที่ดี โดยผู้บริหารระดับสูงเป็นผู้นำ และจัดให้มี Tone at the top ที่ส่งสัญญาณโดยการสื่อข้อความที่ชัดเจนไปยังผู้บริหาร และผู้ที่เกี่ยวข้องทุกระดับทั่วทั้งองค์กร อย่างเป็นกระบวนการ เริ่มตั้งแต่การกำหนดเป็นนโยบายที่ชัดเจนว่า องค์กรจะใช้ CG เป็นหลักในการบริหาร โดยกำหนดกรอบและแนวทางในการจัดการที่ชัดเจน เป็นรูปธรรม ที่ใช้เป็นแนวทางสำหรับการจัดการในองค์ประกอบที่เกี่ยวข้องต่อ ๆ ไป

ต่อจากครั้งที่แล้ว และมาในครั้งนี้ รวมทั้งที่จะกล่าวถึงในครั้งต่อ ๆ ไป ผมจะนำเสนอและอธิบายโดยแผนภาพเป็นสำคัญ ส่วนรายละเอียดท่านสามารถติดตามอ่านได้จากหัวข้อนี้ และหัวข้ออื่น ๆ ที่เกี่ยวข้อง ซึ่งผมเคยได้นำเสนอมาแล้วนะครับ

ท่านผู้อ่านที่ได้ติดตามแผนภาพและได้ใช้ความคิด เพื่อทบทวนเรื่อง CG และสร้างความเข้าใจในภาพโดยรวม โดยใช้แผนภาพเป็นหลักนั้น หากท่านสามารถอธิบายให้ตนเองเข้าใจได้อย่างเป็นขั้นเป็นตอน และอย่างเป็นกระบวนการได้ดี ในแต่ละช่องตามแนวนอน และแนวตั้ง ตามลำดับ โดยพิจารณาถึงกระบวนการบริหารการจัดการแบบบูรณาการ ตามคำอธิบายแต่ละช่องนั้น ๆ ในลักษณะการบริหารแบบบูรณาการเป็นอิสระ ของแต่ละกรอบ แต่ละช่อง ที่สัมพันธ์กับกรอบอื่นและช่องอื่นที่เกี่ยวข้องกันเป็นลำดับ ในลักษณะของการบริหารงานที่ควรเข้าใจตรงกันว่า ทุกช่อง ทุกกรอบ ทั้งแนวนอนและแนวตั้ง มีความเป็นอิสระซึ่งกันและกัน แต่ก็มีความสัมพันธ์กันอย่างใกล้ชิดอย่างแยกกันไม่ได้ (Interdependency)

โดยพิจารณาภาพใหญ่ของการบริหารแนวใหม่ที่ใช้คำว่า GRC – Governance + Risk Management + Compliance ซึ่งจะขับเคลื่อนโดยหลักการ Integrity – Driven Performance เป็นสำคัญ หรืออาจจะใช้ศัพท์ที่แตกต่างกัน แต่มีนัยที่สำคัญลักษณะเดียวกันก็คือ IPM – Integrated Performance Management โดยพยายามคิดเชิงวิเคราะห์ในปัจจัยย่อย ๆ ภายใต้องค์ประกอบในคำอธิบายในแต่ละช่องของแผนภาพที่เกี่ยวข้องและความสัมพันธ์ที่เกี่ยวข้องกันอย่างแยกไม่ได้ด้วย

หากดำเนินการดังกล่าวได้อย่างมั่นใจและเข้าใจโดยไม่สับสนมากนัก ก็อาจพิจารณาได้ว่า ท่านสามารถนำเสนอผู้บริหารระดับสูง และอธิบายให้เพื่อนร่วมงาน รวมทั้งผู้ปฏิบัติงานเข้าใจได้ด้วยตัวท่านเองดีแล้ว

นอกจากนี้ การดำเนินการดังกล่าวข้างต้น ก็อาจเรียกได้ว่า เป็นการประเมินตนเองเพื่อการบริหารจัดการที่ดี ซึ่งจะก้าวไปสู่การประเมินตนเอง เพื่อการบริหารความเสี่ยง และการควบคุมภายในขององค์กรได้เป็นอย่างดี (CSA – Control Self Assessment) ซึ่งเป็นหัวข้อและวิชาหนึ่งที่น่าสนใจยิ่งในกระบวนการบริหารและการจัดการยุคใหม่

 

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม

ท่านผู้อ่านที่ได้ติดตามการนำเสนอของผมในเรื่องที่เกี่ยวข้องกับ CG ที่มีความสัมพันธ์อย่างแยกกันไม่ได้กับ ITG และ GRC ซึ่งเป็น Statement ใหม่ และเป็นภาพใหญ่ที่นำไปสู่การบริหารแบบหลอมรวมเป็นหนึ่งเดียว แบบบูรณาการ ที่เกี่ยวข้องกับการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO – ERM) ซึ่งโยงใยกับการควบคุมภายในตามฐานความเสี่ยง (Internal Control) และสัมพันธ์กับการตรวจสอบภายในตามฐานความเสี่ยง (RBIA – Risk- Based Internal Audit Approach) ตามรูปซึ่งเคยนำเสนอมาแล้ว และท่านสามารถเข้าใจได้ง่ายดังนี้

จากแผนภาพใหญ่ของ CG และองค์ประกอบโดยรวมที่เกี่ยวข้อง ซึ่งอาจแยกอธิบายได้อีกมากมาย ในปัจจัยที่เกี่ยวข้องในแต่ละองค์ประกอบนั้น ผมใคร่ขออนุญาตที่จะกล่าวว่า ท่านผู้อ่านได้เข้าใจภาพโดยรวมและองค์ประกอบที่เกี่ยวข้องได้ดีแล้ว

ณ ที่นี้ ผมจึงจะนำเสนออธิบายเรื่องที่เกี่ยวข้องกับภาพใหญ่ หรือร่มใหญ่ที่สุด นั่นก็คือ CG ในรูปแบบของการอธิบายด้วยแผนภาพล้วน ๆ โดยไม่อธิบายเป็นลายลักษณ์อักษร หรือคำพูดอย่างที่เคยเป็นมา หรือนำเสนอมาแล้วอีก หากท่านผู้อ่านดูภาพพร้อม ๆ กับการใช้ความคิดอย่างเป็นกระบวนการ และอ่านที่ละขั้นทีละตอนในแต่ละกรอบ ในแต่ละปัจจัยที่เกี่ยวข้องและสัมพันธ์กับ CG ตามรูปแรกข้างต้นนั้น ท่านจะเข้าใจและสามารถพัฒนาการกำกับดูแลกิจการที่ดีได้อย่างสะดวก และสามารถสื่อสารไปยังผู้บริหาร และเพื่อนร่วมงาน รวมทั้งนำไปประยุกต์ใช้ ทั้งในระดับองค์กร และในระดับประเทศ และในบางกรณี สามารถก้าวไปสู่การบริหาร CG ในระดับสากล ที่เป็นภาพในระดับ Global ได้ด้วย เช่น กรณีโลกร้อน กรณีโรคระบาด กรณีผู้ก่อการร้าย กรณีการจัดระดับความน่าเชื่อถือของประเทศ กรณีการจัดระดับการก่อการร้าย กรณีการจัดระดับความสามารถในการแข่งขันระหว่างประเทศ กรณีความโปร่งใส ++

ซึ่งทั้งหมดดังกล่าวนั้น หากท่านผู้อ่านได้เห็นภาพดังกล่าวประกอบกับแผนภาพต่อไปนี้ ซึ่งจะนำเสนอเป็นชุด โดยผมจะอธิบายประกอบแผนภาพให้น้อยที่สุด หรือจะนำเสนอเพียงแผนภาพให้ท่านได้คิด และใช้อธิบายได้ด้วยตัวของท่านเอง เนื่องจากผมได้เล่าสู่กันฟังในส่วนที่เกี่ยวข้องในหัวข้อ CG มาพอสมควรแล้ว อีกทั้งมีหัวข้ออื่น ๆ ที่เป็นองค์ประกอบของ CG ซึ่งอยู่ในเว็บไซต์นี้ให้ท่านได้ติดตามและทบทวนเมื่อต้องการอยู่แล้ว

เชิญท่านติดตามแผนภาพโดยรวมดังต่อไปนี้เลยนะครับ

 

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับท่านผู้บริหาร ผู้ตรวจสอบ และผู้อ่านทุกท่าน สำหรับการประเมินผลการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ปี 2553 นี้ จะมีเกณฑ์ในการพิจารณาที่ี่เกี่ยวข้องกับการจัดการระบบสารสนเทศอยู่หลายด้านด้วยกัน ซึ่งผมได้นำเสนอประเด็นที่จะต้องพิจารณากันไปแล้ว ในด้านของระบบสารสนเทศที่สนับสนุนการบริหารจัดการ ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน

วันนี้ผมจะำนำเสนอต่อในด้านของระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียจากภายนอกองค์กร และนโยบายต่าง ๆ ของรัฐบาล ที่องค์กรจะต้องพิจารณาและนำไปปฏิบัิติเืพื่อให้ได้ตามเกณฑ์การประเมินผลฯ ปี 2553 กันครับ

2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร รวมถึงนโยบายต่างๆ ของรัฐบาล

ระบบสารสนเทศที่ตอบสนองต่อความต้องการผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่างๆ ของรัฐบาล เป็นส่วนหนึ่งของการประเมินระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ซึ่งประกอบด้วย

2.5.1 การลดขั้นตอนและการอำนวยความสะดวกแก่ผู้รับบริการ / ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน

• การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต

เป็นระบบสารสนเทศหรือเทคโนโลยีใดก็ตามที่นำมาใช้ในการสนับสนุนรัฐวิสาหกิจเพื่อที่จะสามารถลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ เพื่อก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงาน และได้รับความพึงพอใจจากผู้ใช้บริการ

กระบวนการในการที่จะนำระบบหรือเครือข่ายสารสนเทศ (Application Program and Information Network) เข้ามาใช้ในการลดระยะเวลาในการให้บริการนั้น มีอยู่หลายวิธีด้วยกัน เช่น การนำระบบคอมพิวเตอร์มาช่วยลดขั้นตอนการทำงาน ระบบคอมพิวเตอร์ที่สามารถตรวจสอบความถูกต้องจากข้อมูลของผู้ใช้บริการ และสามารถที่จะสรุปได้ว่าควรให้ดำเนินการต่อหรือไม่ควรให้ดำเนินการต่อ หรือการใช้เครือข่ายต่างๆ (Internet / Extranet) เข้ามาเชื่อมต่อ หากลักษณะของการให้บริการสามารถให้บริการผ่านเครือข่ายได้ ทำให้ลดระยะเวลา ระยะทาง ฯลฯ ดังเช่นการขอข้อมูลจากกรมทะเบียนการค้า ซึ่งมีข้อมูลให้บริการดาว์นโหลดผ่านทางอินเทอร์เน็ต เป็นต้น

แนวทางโดยสรุป : การนำระบบหรือเทคโนโลยีสารสนเทศเข้ามาใช้สนับสนุนในการลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ โดยมีการกำหนดว่าจะลดในขั้นตอนใด เป็นเวลาเท่าไร ทำให้ผู้ใช้บริการเกิดความพึงพอใจ เกิดผลสัมฤทธิ์ และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : การมีระบบบริการแบบอัตโนมัติซึ่งผู้ใช้บริการจะได้รับคำตอบและใช้บริการจากระบบได้ด้วยตนเอง ไม่ต้องใช้เจ้าหน้าที่คอยให้บริการ หรืออาจจะบริการแบบกึ่งอัตโนมัติ ประชาชน บริษัทเอกชน และหน่วยงานอื่นๆ สามารถเชื่อมโยงเข้ามาใช้บริการได้ทั้งทาง Intranet/Internet ซึ่งจากเดิมต้องเดินทางมาใช้บริการที่องค์กร ซึ่งอาจจะต้องใช้เวลาประมาณ 2-3 ชั่วโมง ซึ่งเมื่อนำระบบบริการแบบอัตโนมัติมาใช้ ทำให้สามารถลดเวลาในการดำเนินการได้ เหลือแค่ครึ่งชั่วโมง เป็นต้น ดังตัวอย่างจากบริษัท GUESS ที่ผลิตและขายเสื้อผ้าประเภทยีนส์ โดย GUESS ใช้ระบบและอุปกรณ์ Network ของ Cisco System ซึ่งใช้สำหรับสร้างเครือข่ายภายในบริษัท และอินเทอร์เน็ต สำหรับติดต่อกับ ลูกค้า กับ Supplier และใช้ Software ของ PeopleSoft และ Commerce One ในการสร้าง Website Apparel Buying Network (www.Apparelbuy.com) ซึ่งมีระบบที่เรียกว่า Guess’s core order processing system ทำให้ทั้งลูกค้า ร้านค้าขายปลีก รวมทั้ง Supplier สามารถติดต่อบริษัท ทั้งในเรื่องของการสั่งซื้อสินค้า การตรวจสอบ Catalog สินค้า และการจัดส่งได้ตลอด 24 ชั่วโมง ผ่านทางเว็บไซต์ของบริษัทได้ ส่งผลให้บริษัทสามารถเพิ่มยอดบริการ ยอดขาย รายได้ และลดต้นทุนในส่วนของกระบวนการสั่งซื้อสินค้า และอื่นๆ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการลดระยะเวลาการให้บริการได้ในส่วนของผู้ใช้บริการภายนอกโดยเห็นผลอย่างชัดเจนและมีการสำรวจหรือหลักฐานอ้างอิงว่าผู้ใช้บริการภายนอกได้มีความพึงพอใจ

• ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายนอกองค์กร การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online

ระบบสารสนเทศที่สามารถนำเข้ามาช่วยในการให้บริการผู้รับบริการภายนอกองค์กร (ประชาชน ลูกค้า ผู้ใช้บริการ หรือบริษัทคู่ค้า ฯลฯ) ได้อย่างรวดเร็ว รวมทั้งระบบสารสนเทศที่ช่วยในการสื่อสารภายนอกองค์กร โดยการสื่อสารระหว่างกันนั้น ข้อมูลสามารถถูกส่งออกไปได้ยังส่วนต่าง ๆ อย่างง่ายดาย ซึ่งองค์กรต่าง ๆ มีแนวโน้มที่จะเปลี่ยนรูปแบบการดำเนินธุรกิจมาเป็นแบบนี้มากขึ้นทุกขณะ เพื่อความสะดวกในการบริการจัดการและความสัมพันธ์ที่ดีกับลูกค้า

แนวทางโดยสรุป : เพื่อให้ผู้ใช้บริการสามารถติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง และให้บริการผ่านทางช่องทางอิเล็กทรอนิกส์ด้วยความรวดเร็ว รวมทั้งมีความสะดวกในการใช้บริการ และสามารถสื่อสารกับภายนอกองค์กรเพื่อเป็นการให้ข้อมูลกับผู้มีส่วนได้เสียให้เกิดความเข้าใจ รวมทั้งการแจ้งข่าวสาร การประชาสัมพันธ์ต่างๆ นอกจากนี้ยังรวมถึงการประสานงานกับภายนอกองค์กรเพื่อให้การดำเนินงานมีประสิทธิภาพมากขึ้น
ตัวอย่าง : การแจ้งข้อมูลข่าวสารให้ผู้สนใจหรือผู้รับบริการทราบผ่านทาง e-mail และเว็บไซต์อย่างสม่ำเสมอ รวมถึงการเชื่อมโยงข้อมูลสำหรับการสื่อสารกับบริษัทคู่ค้าได้โดยตรงโดยไม่ต้องใช้สื่อตัวกลางและขั้นตอนการสื่อสารตัวกลางที่มีประสิทธิภาพต่ำทั้งหลาย นอกจากนี้องค์กรสามารถจัดตั้งเว็บไซต์ที่ทำงานและพร้อมให้บริการแก่ลูกค้าได้ตลอดเวลา

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการให้ความสะดวก Stakeholder เท่าที่พึงกระทำได้ โดยการให้บริการ Online และการติดต่อรัฐวิสาหกิจได้หลายช่องทางและมีการสำรวจหรือหลักฐานอ้างอิงว่าทุก Stakeholder มีความพึงพอใจ
– มี Website (คุณภาพของ Website ประเมินที่ 2.5.4)
– มีระบบ E-mail แจ้งข่าวให้บุคคลภายนอกที่สนใจ หรือ webboard ให้แสดงความคิดเห็น
– มี Call Center

• การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ

เป็นการเชื่อมโยงข้อมูลกับหน่วยงานอื่น ซึ่งแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล Database Management System (DBMS) ทำให้สามารถแลกเปลี่ยนและใช้ข้อมูลร่วมกันได้ ลดความซ้ำซ้อนในการจัดเก็บของข้อมูล (Data Redundancy) และลดเอกสารที่ประชาชนจำเป็นต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็ว ลดค่าใช้จ่าย และเกิดความพึงพอใจต่อผู้ใช้บริการ

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับจัดเก็บข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงและดึงข้อมูลกับหน่วยงานต่างๆ และแต่ละหน่วยงานจะต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้นด้วย

แนวทางโดยสรุป : การเชื่อมโยงข้อมูลระหว่างรัฐวิสาหกิจกับหน่วยงานอื่น โดยผ่านทางเครือข่ายสารสนเทศ เพื่อทำให้สามารถใช้ข้อมูลร่วมกันได้ และสามารถลดความซ้ำซ้อนของงาน รวมถึงเอกสารที่ประชาชน / ผู้ใช้บริการ ต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงานให้แก่ประชาชน/ผู้ใช้บริการ เกิดผลสัมฤทธิ์และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : บริษัทเอกชนต้องการข้อมูลปริมาณข้าวในแต่ละปีของประเทศไทยที่ผลิตและส่งออกได้ จึงทำการขอข้อมูลจากกระทรวงเกษตร กระทรวงเกษตรจึงดึงข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ แล้วก็ให้ข้อมูลแก่บริษัทเอกชนนั้น เป็นการลดขั้นตอน และเอกสารอื่นๆของทางราชการที่ทางกระทรวงเกษตรต้องใช้ในการขอข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ อีกตัวอย่างได้แก่ระบบ EDI (Electronic Data Interchange) ของกรมศุลกากร ซึ่งเป็นหน่วยงานแรกที่นำระบบ EDI มาใช้ ระบบ EDI เป็นวิธีการดำเนินธุรกิจ ซึ่งทุกกิจกรรมนับตั้งแต่การสั่งสินค้า จนถึงการจ่ายเงินจะกระทำโดยการแลกเปลี่ยนข้อมูลธุรกิจ ผ่านคอมพิวเตอร์ขององค์กรที่เกี่ยวข้อง โดยแทนที่วิธีการเดินเอกสารแบบเดิม ซึ่งจากข้อมูลของกรมศุลกากรในส่วนของประโยชน์ที่ได้รับ คือ สามารถออกของได้รวดเร็ว ลดความผิดพลาดของข้อมูล ลดต้นทุนการบริหารสินค้าคงคลัง ลดค่าใช้จ่ายทางด้านเอกสาร ประหยัดเวลาในการติดต่อ มีระบบข้อมูลข่าวสารที่ทันสมัย และได้เปรียบคู่แข่งที่อยู่นอกระบบ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการเชื่อมโยงข้อมูลกับหน่วยงานภายนอก/หน่วยงานอื่นเพื่อช่วยลดความซ้ำซ้อนของงาน/เอกสารที่ประชาชนต้องมาติดต่อและสามารถดำเนินการได้จริง ทำให้ผู้ใช้บริการ/ประชาชนได้รับความครบทุกบริการที่เป็นไปได้ และได้รับความสะดวกอย่างชัดเจน

• One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว

รัฐวิสาหกิจสามารถให้บริการที่จุดเดียวได้เสร็จสิ้น ในกรณีที่เป็นการให้บริการภายในหน่วยงานเดียว ผู้ขอรับบริการติดต่อที่จุดเดียว ไม่ต้องติดต่อหลายจุด หลายขั้นตอน ในกรณีที่การให้บริการที่จำเป็นต้องติดต่อหลายหน่วยงาน ผู้ขอรับบริการไม่จำเป็นต้องเดินทางไปติดต่อกับทุกหน่วยงาน หากแต่ติดต่อผ่านหน่วยงานใดหน่วยงานหนึ่งเพียงหน่วยงานเดียวเท่านั้น

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับดึงข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับหน่วยงานอื่น และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น อย่างหน่วยงานราชการที่ให้บริการ เช่น โรงพยาบาล สถานีอนามัย มีการเชื่อมโยงกับฐานข้อมูลกลาง ซึ่งใช้ในการปรับปรุง แก้ไขข้อมูลเพิ่มเติม ซึ่งระบบที่เป็นข้อมูลของทางราชการนี้ ประชาชนหรือผู้ใช้บริการสามารถติดต่อหรือดำเนินการธุรกรรมต่างๆได้ที่จุดเดียว ผู้ใช้บริการไม่จำเป็นต้องไปติดต่อกับหน่วยงานภาครัฐที่เกี่ยวข้องทุกหน่วยงาน

สำหรับบางรัฐวิสาหกิจ เนื่องจากกระบวนการวิธีการให้บริการที่เป็นอยู่ในปัจจุบัน อาจจะเป็นในลักษณะของ Manual และมีการติดต่อกับลูกค้าหรือผู้ใช้บริการโดยตรง ดังนั้นการนำระบบสารสนเทศเข้ามาใช้ อาจจะส่งผลกระทบต่อกระบวนการวิธีการให้บริการแบบเดิม (Traditional Processing) เพราะฉะนั้นรัฐวิสาหกิจจำเป็นที่จะต้องมีการเปลี่ยนแปลง ทั้งในส่วนของบุคลากร กฎระเบียบข้อบังคับ วัฒนธรรมองค์กร และส่วนอื่น ๆ ที่มีผลโดยตรง

แนวทางโดยสรุป : One Stop Service เป็นการให้บริการต่าง ๆ ของรัฐวิสาหกิจ ณ ศูนย์บริการร่วม และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกัน ณ ศูนย์บริการร่วม เพื่อให้ประชาชน / ผู้ใช้บริการสามารถติดต่อสอบถาม ขอทราบข้อมูล ขออนุญาต หรือขออนุมัติ ได้ ณ ศูนย์บริการร่วมเพียงแห่งเดียว

ตัวอย่าง : โครงการ OSCAR (One-Stop-Change-of-Address-Reporting-Services) เป็นการให้บริการของสิงคโปร์ ซึ่งช่วยให้การเปลี่ยนที่อยู่ของชาวสิงคโปร์เป็นไปอย่างสะดวกรวดเร็ว โดยประชาชนแจ้งเปลี่ยนที่อยู่กับหน่วยงานเพียงหน่วยงานเดียว หน่วยงานอื่นๆ ที่มีฐานข้อมูลเกี่ยวกับที่อยู่นั้น จะเปลี่ยนตาม โดยที่ไม่ต้องไปแจ้งกับทุกองค์กรที่รับผิดชอบในการเปลี่ยนที่อยู่ของประชาชน

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีจุด One Stop Service และให้บริการได้ครอบคลุมในงานของหน่วยงานรัฐวิสาหกิจ
– จุด One Stop Service สามารถร่วมให้บริการที่เกี่ยวเนื่องกับหน่วยงานอื่นได้ เช่น ชำระ/บริการของหน่วยงานอื่นที่เกี่ยวเนื่อง
– มีการจัดทำ One Stop Service กับหน่วยงานภายนอกอื่นและอยู่ที่หน่วยงานภายนอกอื่น

2.5.2 ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กรได้

ระบบสารสนเทศที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล โดยจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ของแต่ละระบบงาน (Transaction Processing System) และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับระบบของหน่วยงานอื่นภายนอกองค์กร และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกัน รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น เพื่อความปลอดภัยในการใช้ข้อมูลร่วมกัน

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นภายนอกองค์กรได้อย่างมีประสิทธิภาพ โดยใช้มาตรฐานรหัสข้อมูลและมาตรฐานการแลกเปลี่ยนข้อมูลเดียวกัน ผ่านเครือข่าย Intranet ของภาครัฐความเร็วสูงที่มีระบบการกำกับการเข้าถึงข้อมูลที่เหมาะสม โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูลเข้าถึงข้อมูลได้

ตัวอย่าง : การให้บริการทะเบียนราษฎร์ของกรมการปกครอง กระทรวงมหาดไทย ซึ่งระบบสารสนเทศของกรม การปกครอง ที่มีระบบการจัดการฐานข้อมูล (Database Management System) ทะเบียนราษฎร์ซึ่งสามารถเชื่อมโยง และดึงข้อมูลทะเบียนราษฎร์ จากระบบฐานข้อมูลของสำนักงานทะเบียนจังหวัดทั้ง 75 แห่งได้ ซึ่งสามารถ Share ข้อมูลกับหน่วยงานอื่น เพื่อให้บริการประชาชนได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– การ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กร
– การ Share ข้อมูลเพื่อให้กระทรวงเจ้าสังกัดได้ข้อมูลที่ต้องการ
– ข้อมูลมีความทันกาล
– มี Security ที่ดีในการเข้าถึงข้อมูล

2.5.3 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

การมีระบบสารสนเทศที่เหมาะสม และสามารถรองรับการดำเนินงานหรือแผนงานต่างๆ เพื่อสนับสนุนนโยบายของรัฐบาลได้อย่างมีประสิทธิภาพ

องค์กรจะต้องมีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศ ที่สามารถจะนำมาใช้สนับสนุน หรือรองรับนโยบายต่างๆของรัฐบาล เช่น การปิดบัญชีรายไตรมาส การปิดบัญชีรายปีเพื่อส่งงบการเงินให้สำนักงาน ตรวจเงินแผ่นดิน เป็นต้น ก็จะต้องมีระบบสารสนเทศด้านการบัญชี (Accounting Information System) ที่สามารถปิดบัญชีได้อย่างทันเวลา และมีความถูกต้อง โดยอาจจะมีแผนงานในเรื่องของงบประมาณในการจัดซื้อ จัดเตรียมหรือการวางระบบ IT Infrastructure หรือ Network Architecture รวมทั้งจะต้องมีแผนงานในเรื่องของการวิเคราะห์และออกแบบระบบที่ดี (System and Analysis Design Method) ประกอบกับแนวโน้มหรือการเปลี่ยนแปลงของเทคโนโลยีใหม่ๆที่จะเกิดขึ้นในอนาคต ซึ่งแผนงานดังกล่าวสามารถแสดงถึงความพร้อม และรองรับ Application Software ใหม่ๆ ที่ แต่ละองค์กรจะต้องพัฒนาขึ้น

แนวทางโดยสรุป : การดำเนินการหรือแผนงาน ที่แสดงถึงความพร้อมที่จะตอบสนองต่อนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วยสนับสนุนได้อย่างมีประสิทธิภาพ

ตัวอย่าง : นโยบาย 30 บาท รักษาทุกโรคของรัฐบาล ซึ่งส่งผลให้โรงพยาบาลของรัฐทุกแห่งจะต้องมีระบบสารสนเทศ เช่น ระบบฐานการจัดการฐานข้อมูล (DBMS) ของโรงพยาบาลแต่ละแห่ง ซึ่งระบบฐานข้อมูลจะต้องสามารถเก็บข้อมูล ประวัติของผู้ที่สนใจเข้าร่วมโครงการ 30 บาทรักษาทุกโรค รองรับจำนวนผู้ที่จะมาสมัครเข้าเป็นสมาชิก และสามารถที่จะเชื่อมโยงเข้ากับฐานข้อมูลของโรงพยาบาลแต่ละแห่งของรัฐบาลได้ และสามารถที่จะใช้ข้อมูลร่วมกัน เพื่อให้เกิดความสะดวกรวดเร็วในการให้บริการ และการปฏิบัติงานของเจ้าหน้าที่ เช่น หากผู้ใช้บริการทำบัตร 30 บาทรักษาทุกโรคกับโรงพยาบาลที่หนึ่ง ก็จะต้องสามารถนำบัตรเดียวกันนี้ไปใช้กับโรงพยาบาลของรัฐบาลอีกที่หนึ่งได้ โดยโรงพยาบาลที่มีการเชื่อมโยงข้อมูลจากระบบฐานข้อมูลของโรงพยาบาลที่มีข้อมูลของผู้ใช้บริการอยู่แล้ว ก็สามารถที่จะนำข้อมูลของผู้ใช้บริการดังกล่าวมาใช้ได้ทันที ไม่จำเป็นต้องมีการลงบันทึกประวัติผู้ใช้หรือทำการสมัครสมาชิกใหม่ ซึ่งเป็นการจัดเก็บข้อมูลที่ซ้ำซ้อน และสูญเสียเวลาในการปฏิบัติงานโดยไม่จำเป็น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศเพื่อนำมาใช้สนับสนุนหรือรองรับนโยบายต่าง ๆ ของรัฐ เช่น การปิดบัญชีรายไตรมาสได้ภายใน 45 วัน และปิดบัญชีรายปีได้ภายใน 90 วัน เป็นต้น
– ได้ดำเนินการตามนโยบายที่สำคัญขององค์กรที่มีความจำเป็นต้องนำระบบสารสนเทศเข้ามาใช้อย่างสมบูรณ์

2.5.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

เว็บไซต์เป็นช่องทางที่ได้รับความนิยมในปัจจุบัน ดังนั้นจึงจำเป็นจะต้องมีข้อมูลที่เหมาะสมและทันกาลเพื่ออำนวยความสะดวกและเป็นข้อมูลสำหรับผู้ที่สนใจให้สามารถติดตามได้อย่างสม่ำเสมอ

แนวทางโดยสรุป : การเปิดเผยข้อมูลผ่านทางเว็บไซต์ทั้งทางด้านการเงินและมิใช่การเงินโดยมีเนื้อหาที่เพียงพอเหมาะสมกับความต้องการของผู้ที่สนใจติดตามข้อมูล รวมถึงมีการปรับปรุงข้อมูลให้ทันสมัยอยู่เสมอ และสะดวกในการเข้าถึงหรือค้นหาข้อมูล อย่างไรก็ตามข้อมูลที่เปิดเผยต้องอยู่ในกรอบที่องค์กรสามารถเปิดเผยต่อสาธารณชนได้

ตัวอย่าง : เว็บไซต์ควรประกอบด้วยข้อมูลทางด้านการเงินและไม่ใช่การเงิน เช่น รายงานประจำปี ผลการดำเนินงาน ผู้บริหาร โครงสร้างองค์กร ข้อมูลทางสถิติต่าง ๆ ข่าวสารสำคัญขององค์กร รายละเอียดของช่องการติดต่อกับองค์กรที่มีสาระพอเพียงและมีข้อมูลที่ทันกาล เป็นต้น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– ความทันสมัยของข้อมูลในเว็บไซต์ และความสะดวกในการค้นหาข้อมูล
– รายละเอียดในเว็บไซต์ เช่น
o มีประวัติ ภารกิจ โครงสร้าง
o มีที่อยู่ เบอร์โทรศัพท์ (ลงระดับฝ่าย) e-mail
o มีข่าวทั่วไป ข่าวของหน่วยงาน
o มีภาษาเพื่อเลือกแสดงผลมากกว่า 1 ภาษา
o มี link ทั่วไป และ link ที่เกี่ยวข้อง
o มีข้อมูลกฎระเบียบ ขั้นตอนบริการ แบบฟอร์มดาวน์โหลด
o มีคำแนะนำ website หรือ ผัง website
o เปิดเผยรายงานประจำปี
o การเปิดเผยข้อมูลด้านการเงินรายปี/รายไตรมาส
o มีการเปิดเผยข้อมูลด้านผลการดำเนินงาน (Operation)

ในความตั้งใจจริงของผมแล้ว ผมตั้งใจไว้ว่าจะจบการนำเสนอในเรื่องของเกณฑ์การประเมินผลการบริหารจัดการสารสนเทศฯ ในวันนี้ แต่ด้วยความที่มีหลักเกณฑ์และประเด็นในการพิจารณาที่สำคัญและค่อนข้างละเอียด ผมจึงขอยกประเด็นการพิจารณาด้านระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กรไปนำเสนอในครั้งต่อไปนะครับ

 

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

ครั้งที่แล้ว ผมได้กล่าวถึงเกณฑ์การประเมินผลการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ในส่วนที่ 2 โดยได้นำเสนอประเด็นที่ต้องพิจารณาด้านระบบสารสนเทศที่สนับสนุนการบริหารจัดการ และระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยงไปแล้ว ในวันนี้ผมจะนำเสนอต่อถึงการพิจารณาระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายในครับ

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน

2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน

ระบบสารสนเทศสามารถนำมาช่วยสนับสนุนการควบคุมภายในและการตรวจสอบภายในเพื่อทำให้กระบวนการควบคุมภายในและตรวจสอบภายในขององค์กรมีประสิทธิภาพและประสิทธิผลมากยิ่งขึ้น

ทางด้านการควบคุมภายใน ระบบสารสนเทศสนับสนุนวิธีการดำเนินงาน โดยการทำงานของบุคลากรจะเปลี่ยนไปอยู่ในรูปแบบที่ต้องถูกควบคุมผ่านระบบฯ หรือได้รับการอนุญาตจากระบบฯ ซึ่งจะต้องทำตามหลักเกณฑ์ /วิธีการ / เงื่อนไขที่ได้กำหนดไว้ อันเป็นผลมาจากความสามารถของระบบสารสนเทศที่สามารถกำหนดวิธีการปฏิบัติงานโดยขึ้นอยู่กับกฎเกณฑ์ที่ได้กำหนดไว้อย่างเคร่งครัด

ทางด้านการตรวจสอบภายใน ระบบสารสนเทศสามารถนำมาใช้ในการสอบทานความถูกต้องของการดำเนินงาน เนื่องจากความสามารถของระบบสารสนเทศในการประมวลผล การเก็บรวบรวมและบันทึกข้อมูลได้อย่างเที่ยงตรงเพื่อนำมาใช้ในการตรวจสอบและอ้างอิงเมื่อต้องการ นอกจากนี้ตัวระบบสารสนเทศ สามารถตรวจสอบความผิดพลาดที่เกิดขึ้นได้โดยทันทีทำให้สามารถป้องกันความเสียหายที่จะเกิดขึ้นได้

แนวทางโดยสรุป : การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศ เข้ามาใช้เพื่อช่วยในการทำงานด้านควบคุมภายในและตรวจสอบภายในการปฏิบัติงานให้ถูกต้องตามกฎระเบียบ กฎหมาย ข้อบังคับต่างๆ โดยการปรับนำมาใช้ในองค์กรอย่างเหมาะสม และการนำระบบสารสนเทศเข้ามาใช้เพื่อสร้างมั่นใจได้ว่าระบบบัญชีที่ใช้มีความเหมาะสมกับองค์กร โดยสามารถเรียกดู/ตรวจสอบข้อมูลได้ตามต้องการ

ตัวอย่าง : การนำระบบสารสนเทศ และระบบเทคโนโลยีสารสนเทศ มาใช้ทางด้านการควบคุมภายใน เช่น
– การบันทึกข้อมูลเพื่อป้องกันทรัพย์สินไม่ให้สูญหายโดยการเบิกของจากคลังพัสดุที่มีการบันทึกอุปกรณ์แต่ละรายการอย่างละเอียดและสามารถตรวจสอบได้ตลอดเวลา
– การกำหนดวงเงินของการอนุมัติตามตำแหน่งหรือหน้าที่ โดยต้องผ่านการทำรายการผ่านระบบอิเล็คทรอนิกส์ที่มีการตั้งกฎเกณฑ์ไว้ นอกจากนี้ยังสามารถนำมาควบคุมกระบวนการทำงาน / การผลิตให้เป็นไปตามมาตรฐานหรือข้อบังคับที่ได้กำหนด
– การกำหนดให้ต้องมี Login และการใส่รหัสผ่าน (Password) เมื่อมีการใช้งานในแต่ละวัน ทั้งนี้ เพื่อป้องกันมิให้บุคคลที่ไม่มีอำนาจหน้าที่สามารถเข้าไปเรียกใช้ข้อมูลขององค์กรได้
– การกำหนด Firewall ทั้งระดับเครือข่าย (Network) และโปรแกรมระบบงาน (Application) เพื่อควบคุมข้อมูลหรือข้อมูลแปลกปลอมเข้ามาในระบบ (อ้างอิงจาก : เอกสาร “ แนวปฏิบัติในการรักษาความปลอดภัยการให้บริการทางการเงินทางอิเล็กทรอนิกส์”, ธนาคารแห่งประเทศไทย)

การนำระบบสารสนเทศ และระบบเทคโนโลยีสารสนเทศมาใช้ทางด้านการตรวจสอบภายใน เช่น
-การนำเทคโนโลยีสารสนเทศ เฃ่น โปรแกรมสำเร็จรูปเพื่อช่วยในการตรวจสอบภายในมาใช้ในการช่วยตรวจสอบความผิดปกติของผลิตภัณฑ์ที่ได้จากการผลิต แทน/ควบคู่กับการทำงานโดยมนุษย์
– ในส่วนของระบบบัญชีที่นำมาใช้ในองค์กรสามารถแยกรายการได้ตามความต้องการและสามารถตรวจสอบหรือเรียกดูข้อมูลได้ในระยะเวลาอันสั้น เช่น สามารถเรียกดูข้อมูลการเบิกจ่ายงบประมาณของระดับฝ่าย หรือสามารถเรียกดูข้อมูลได้ตามสมควรกับองค์กร เช่น ตามระบบ ABC (Activity Based Costing)
– การออกแบบการตรวจสอบข้อมูลเข้าขณะนำเข้าระบบ เช่น การออกแบบการให้รหัสตรวจสอบ (Self-checking Digit Coding) เพื่อให้เครื่องรับข้อมูลทราบทันทีว่ามีข้อมูลที่กำลังป้อนเข้ามามีความผิดพลาด

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– ผลการตรวจสอบภายใน (ทั้งองค์กร) ที่ผ่านมาในปี 2549 และย้อนหลัง ถึงอุปสรรคหรือการดำเนินการใดไม่เป็นไปตามกฎหมาย ระเบียบ ข้อบังคับ หรือไม่ รวมทั้งผลการตรวจสอบภายในทางด้านการเงินและบัญชี (ทั้งองค์กร) ที่ผ่านมาในปี 2549 และย้อนหลังในประเด็นปัญหาที่พบ
– การดำเนินการพิจารณาปัญหา/แก้ไขปัญหา โดยพิจารณาเฉพาะกรณีที่สามารถนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศ เข้ามาช่วยในการดำเนินการได้ ซึ่งควรครอบคลุมการพิจารณาใน 3 ประเด็น ดังนี้
• Compliance Audit
• Operation Audit
• Efficiency Audit

2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

ในการนำระบบสารสนเทศเข้ามาใช้ในองค์กรนั้น เพื่อสร้างความมั่นใจได้ว่าระบบฯ ที่นำมาใช้มีความปลอดภัยและถูกต้องจึงต้องมีการควบคุมและควบคู่ไปกับการตรวจสอบ โดยครอบคลุมในเรื่องทั่วไปเกี่ยวกับระบบสารสนเทศขององค์กรดังนี้
– การควบคุมกระบวนการพัฒนาระบบงาน (Implementation controls) ตรวจสอบกระบวนการพัฒนาระบบงานในจุดต่าง ๆ เพื่อให้มั่นใจได้ว่ากระบวนการพัฒนาฯ อยู่ในความควบคุมและการบริหารที่ดี การตรวจสอบการพัฒนาซอฟต์แวร์ควรที่จะมีการตรวจสอบทบทวนอย่างเป็นทางการ ในแต่ละขั้นตอนการพัฒนาซอฟต์แวร์ที่สำคัญเพื่อเปิดโอกาสให้ผู้ใช้และผู้บริหารมีโอกาสยอมรับหรือปฏิเสธระบบงานเป็นระยะก่อนที่ระบบงานจะพัฒนาเสร็จเรียบร้อย การตรวจสอบระบบงานควรจะตรวจการเข้าไปมีส่วนร่วมของผู้ใช้ในแต่ละขั้นตอนของการพัฒนาฯ และนำทฤษฎีการวิเคราะห์ค่าใช้จ่ายผลตอบแทนมาใช้ศึกษาความเป็นไปได้ของโครงการ การตรวจสอบจะต้องคำนึงถึงการประกันคุณภาพในระหว่างที่ทำการพัฒนา การเปลี่ยนแปลงระบบงาน และการทดสอบระบบงาน รวมทั้งเอกสารประกอบระบบงานนั้น
– การควบคุมซอฟต์แวร์ (Software Control) มีความจำเป็นสำหรับซอฟต์แวร์ประเภทต่างๆ ที่นำมาใช้ประกอบระบบงาน การควบคุมซอฟต์แวร์ตรวจสอบการใช้ซอฟต์แวร์ระบบและป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้ามาใช้งานเนื่องจากซอฟต์แวร์ระบบมีความสำคัญต่อการควบคุมการทำงานของซอฟต์แวร์อื่น ๆ และเป็นตัวที่เข้าไปแก้ไขเปลี่ยนแปลงข้อมูลโดยตรง
– การควบคุมทางกายภาพ (Physical hardware controls) เป็นการป้องกันทางกายภาพเพื่อไม่ให้ใช้เครื่องคอมพิวเตอร์และอุปกรณ์ต่าง ๆ และตรวจสอบความผิดปกติของอุปกรณ์ทุกชนิด การป้องกันนี้รวมไปถึงการป้องกันอัคคีภัย การป้องกันไม่ให้อุณหภูมิและความชื้นในห้องเก็บอุปกรณ์สูงหรือต่ำเกินไป การป้องกันข้อมูลเสียหายด้วยการทำสำเนาข้อมูล การรักษาให้ฮาร์ดดิกส์สามารถให้บริการได้ตลอดเวลาที่ต้องการ เป็นต้น
– การควบคุมการปฏิบัติงานเครื่องคอมพิวเตอร์ (Computer operations controls) ประยุกต์ใช้กับงานของฝ่ายคอมพิวเตอร์เพื่อให้ขั้นตอนการปฏิบัติเกี่ยวกับอุปกรณ์บันทึกข้อมูลและการประมวลผลข้อมูลเป็นไปตามขั้นตอนที่กำหนด ได้แก่ การจัดสภาพแวดล้อมให้เหมาะสมกับการทำงานของคอมพิวเตอร์ การใช้ซอฟต์แวร์ การทำสำเนาข้อมูลและการฟื้นสภาพข้อมูลในกรณีที่โปรแกรมไม่ทำงานตามปกติ เป็นต้น
– การควบคุมความปลอดภัยข้อมูล (Data security controls) เป็นการปกป้องข้อมูลที่มีค่ายิ่งขององค์กรที่เก็บอยู่ในดิกส์หรือเทปหรืออุปกรณ์ใดก็แล้วแต่ ให้พ้นจากการใช้งาน การเปลี่ยนแปลง และการทำลายโดยบุคคลที่ไม่ได้รับอนุญาต การปกป้องนี้ต้องทำทั้งในขณะที่แฟ้มข้อมูลกำลังถูกใช้งานและเก็บรักษาไว้ ในสภาพการทำงานที่ข้อมูลมีการป้อนเข้ามาจากเครื่องเทอร์มินอล ข้อมูลที่แปลกปลอมเข้ามาจะต้องถูกกำจัดออกจากระบบ
– ระเบียบวินัยผู้บริหาร มาตรฐาน และขั้นตอนการปฏิบัติงาน (Administrative disciplines, standards, and procedures) หมายถึงการกำหนดมาตรฐาน กฎเกณฑ์ ขั้นตอนการปฏิบัติงาน และวินัยในการรักษาความปลอดภัย เพื่อให้มั่นใจได้ว่าการรักษาความปลอดภัยทั่วไปและการรักษาความปลอดภัยโปรแกรมประยุกต์ได้รับการจัดตั้งและนำไปปฏิบัติอย่างจริงจัง

ตัวอย่าง : ระบบสารสนเทศมีความปลอดภัย เช่น
1) การจัดทำคู่มือการปฏิบัติงานและแบบฟอร์มมาตรฐานในการรับส่งงานระหว่างเจ้าหน้าที่ศูนย์คอมพิวเตอร์และผู้ใช้ (Users)
2) การสอบทานกระบวนการหรือวิธีการจัดเก็บเอกสารหรือ media ที่ใช้ประกอบการออกแบบระบบงาน รวมทั้งวิธีการเก็บหรือดูแลรักษา Source Program อย่างสม่ำเสมอ
3) จัดให้มีระบบการบำรุงรักษาที่ต่อเนื่องเหมาะสมและครอบคลุมครุภัณฑ์คอมพิวเตอร์และอุปกรณ์ทุกประเภท
4) กำหนดให้มีการจัดทำทะเบียนคุมการติดตั้งหรือการนำ software จากภายนอกเข้ามาใช้กับเครื่องคอมพิวเตอร์ในหน่วยงาน
5) กำหนดผู้มีหน้าที่รับผิดชอบศึกษาทบทวนระบบรักษาความปลอดภัยและกำหนดสิทธิในการเข้าถึงระบบงานและฐานข้อมูลที่สำคัญ
6) การปรับปรุงพัฒนาระบบและสิทธิหรือ User ID ในการเข้าถึงระบบงานและระบบข้อมูลเป็นระยะ
7) จัดให้มีการตรวจสอบข้อมูลหรือเอกสารที่จะนำเข้าระบบ รวมทั้งจัดให้มีการรายงานจากโปรแกรมระบบงานสำหรับใช้ในการตรวจสอบหรือสอบทานความถูกต้องของข้อมูลก่อนการส่งต่อ
8) กำหนดระบบการจัดเก็บและสำรองแฟ้มข้อมูล ฐานข้อมูล และรายงานต่างๆ ให้เหมาะสมกับการใช้งาน
9) กำหนดให้มีวิธีการ Backup หรือทำสำเนา Source Program ระบบงานและเอกสารประกอบที่สำคัญอย่างน้อย 2 ชุด และแยกสถานที่จัดเก็บ รวมทั้งจัดทำทะเบียนคุมไว้เป็นหลักฐาน
10) จัดให้มีการสำรองข้อมูลให้ครบถ้วนตามความเหมาะสมของแต่ละระบบงานและตามเวลาที่กำหนด เช่น จัดเก็บทุกสิ้นวัน ทุกสัปดาห์ หรือทุกเดือนตามความจำเป็นและความเหมาะสม
11) จัดให้มีการทดสอบความถูกต้องของข้อมูลที่สำรองไว้เป็นครั้งคราวและทำรายงานผลการทดสอบ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– การมีกระบวนการ Computer Audit ตามรายละเอียดข้างต้น
– การแก้ไขปัญหาหลังจากดำเนินการ Computer Audit

2.3.3 การดำเนินงานตามแผนงาน/โครงการด้านสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ

ในการนำระบบสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กร เช่น ระบบ ERP ระบบงานธุรกิจหลัก (Core System) เป็นต้น เข้ามาใช้ในองค์กรนั้น เพื่อสร้างความมั่นใจได้ว่าระบบฯ ที่นำมาใช้จะมีการดำเนินงานเป็นไปตามแผนงาน มีความปลอดภัยและถูกต้อง ไม่เกิดผลกระทบต่อระบบงานเดิม และเป็นไปตามแผนงาน / โครงการ จึงต้องมีการติดตาม ควบคุมและควบคู่ไปกับการตรวจสอบ

หมายเหตุ : ในกรณีที่รัฐวิสาหกิจไม่มีการนำระบบสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ มาดำเนินการหรือดำเนินการแล้วเสร็จแล้ว น้ำหนักของการประเมินผลข้อนี้จะเฉลี่ยไปที่หัวข้อ 2.3.1

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล

2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)

เป็นระบบฐานข้อมูลด้านทรัพยากรมนุษย์ ซึ่งในระบบฐานข้อมูลนี้ นอกเหนือจากการเก็บข้อมูลด้านแฟ้มบุคคล ของพนักงานแต่ละคน ซึ่งโดยทั่วไปจะประกอบด้วย ข้อมูลใบสมัคร ข้อมูลประวัติบุคคล ข้อมูลประวัติพนักงาน ข้อมูลการจ่ายเงินเดือน ข้อมูลการประเมินผลงาน ข้อมูลตำแหน่ง และข้อมูลการลาออกหรือขาดงานแล้ว จะต้องมีการเก็บข้อมูลด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการและความสามารถของบุคลากรแต่ละคนที่องค์กรมีอยู่ (Competency Inventory) โดยจะมี Basic Competencies สำหรับแต่ละงาน คือ Know-How, Problem Solving, และ Accountability ซึ่ง Know-How จะประกอบด้วย 3 ด้านหลักๆ คือ ด้านบริหารจัดการ (Managerial) ด้านเทคนิค (Technical) และด้านความสัมพันธ์ (Human Relations) ส่วน Problem Solving และ Accountability นั้นสามารถมองได้หลายมิติ ขึ้นอยู่กับประเภท และความสำคัญของแต่ละงาน

การเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากร นั้นจะต้องมีระบบฐานข้อมูลที่มีการจัดเก็บเป็นระบบการจัดการฐานข้อมูลทรัพยากรบุคคล (Human Resource Database Management System) โดยเฉพาะเป็นระบบที่สามารถจัดการข้อมูลของพนักงาน ตรวจสอบความชำนาญเฉพาะด้านของพนักงานแต่ละคน การอบรม ค่าตอบแทน สวัสดิการต่างๆ เป็นต้น

แนวทางโดยสรุป : เป็นระบบฐานข้อมูลด้านทรัพยากรบุคคล (HR Database) ที่มีการเก็บรวบรวมข้อมูลด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการ และความสามารถของบุคลากรแต่ละคนที่องค์กรมีอยู่ (Competency Inventory)

ตัวอย่าง : ระบบฐานข้อมูลด้านทรัพยากรบุคคลนี้สามารถให้ข้อมูล ด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการ และความสามารถของบุคลากรแต่ละคน ที่องค์กรมีอยู่ (Competency Inventory) ได้ เช่น หากเจ้าหน้าที่คนหนึ่งมีความสามารถด้านสารสนเทศ ก็จะต้องสามารถมีข้อมูลที่ระบุได้ว่า เจ้าหน้าที่ดังกล่าวอยู่ในสายงานใด เช่น สายงาน Database สายงาน Network และสายงาน Web Application ซึ่งหากเกิดความผิดพลาดในกระบวนการทำงานด้านสารสนเทศเกิดขึ้น ทางองค์กรก็สามารถที่จะมีข้อมูลเพื่อวิเคราะห์ได้ว่า ควรมีการปรับปรุงวิธีการทำงาน ควรจะจัดอบรมความรู้ในเรื่องงานด้านสารสนเทศ หรือการสรรหาบุคคลที่มีความสามารถเฉพาะด้านเป็นพิเศษเข้ามาทำงาน หรือหากองค์กรมีนโยบายใหม่เข้ามา และมีส่วนงานที่เกี่ยวข้องกับด้านสารสนเทศด้วย ระบบฐานข้อมูลด้านทรัพยากรบุคคลนี้ก็จะสามารถระบุได้ว่า บุคลากรคนใดที่มีความชำนาญด้านสารสนเทศเป็นพิเศษ ทำให้สามารถจัดหาบุคคลมาปฏิบัติงานได้อย่างถูกต้อง และมีประสิทธิภาพ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการเก็บข้อมูล Competency ครบทุกคน และชนิดของข้อมูลที่เก็บมีความเหมาะสม และสามารถค้นหาบุคลากรตาม Competency ทีต้องการได้

2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ในการผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร

กระบวนการหรือวิธีการในการยกระดับความรู้และความสามารถของ CEO / CFO / CIO ในการผนวกรวม การจัดการร่วมกันระหว่างกระบวนการหรือแผนที่เป็นรูปธรรม ด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร โดยมีวิธีการส่งเสริมความรู้ให้กับ CEO / CFO / CIO เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสาร และประโยชน์ของเทคโนโลยีต่างๆ ที่จะนำมาช่วยในการพัฒนาองค์กรได้อย่างคุ้มค่า และไปในทิศทางเดียวกับวิสัยทัศน์ ภารกิจ และนโยบายขององค์กร

โดยอาจจะมีกระบวนการวิธีการที่แตกต่างกันในการให้ความรู้ด้านสารสนเทศแก่ CEO / CFO / CIO ซึ่งจะให้ความสำคัญทางด้านประโยชน์ของสารสนเทศ และแนะนำถึงการนำมาสารสนเทศนี้มาใช้ในองค์กร เพื่อสนับสนุนการปฏิบัติงาน หรือภารกิจหลักขององค์กรได้อย่างมีประสิทธิภาพ รวมทั้งการวางนโยบายเพื่อพัฒนาองค์กรโดยมีสารสนเทศเป็นเครื่องมือสนับสนุน ซึ่งอาจจะใช้วิธีการสัมมนา หรือใช้วิธีแบบ Online Training เป็นต้น

แนวทางโดยสรุป : การยกระดับความรู้ให้กับ CEO / CFO / CIO เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสาร และประโยชน์ของเทคโนโลยีต่างๆ ที่จะนำมาช่วยในการพัฒนาองค์กรได้อย่างคุ้มค่า และไปในทิศทางเดียวกับวิสัยทัศน์ ภารกิจ และนโยบายขององค์กร

ตัวอย่าง : การส่งเสริมความรู้ให้กับ CEO / CFO / CIO เช่น จัดนำเสนอโดยผู้เชี่ยวชาญหรือผู้ทรงคุณวุฒิที่หน่วยงานด้านสารสนเทศเป็นผู้คัดเลือก โดยให้มีการนำเสนอผ่านทางระบบ Video Conference ซึ่งอาจจะชี้ให้เห็นได้ด้วยว่า หากนำสารสนเทศ อย่าง Video Conference มาใช้ในการประชุมแล้วสามารถที่จะลดระยะเวลา ลดต้นทุนและเพิ่มประสิทธิภาพในการดำเนินงานขององค์กรได้ ซึ่ง CEO / CFO / CIO ที่ได้เรียนรู้ จะเล็งเห็นถึงความสำคัญของการใช้เทคโนโลยีสารสนเทศ และสามารถที่จะนำเทคโนโลยีเข้าไปผนวกกับการวางนโยบายเพื่อพัฒนาองค์กร อาทิเช่น การวางนโยบายขององค์กรในเรื่องของการติดต่อสื่อสารทั้งภายในและภายนอกองค์กร โดยจัดให้มีการนำระบบเทคโนโลยีด้านการสื่อสารทางไกล (Telecommunication) เข้ามาใช้เพื่อลดต้นทุนในส่วนของค่าใช้จ่ายในการเดินทาง สามารถติดต่อสื่อสารกันได้โดยไม่ขึ้นกับสถานที่ ระยะทาง และเวลา

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีแผนการอบรมที่ชัดเจนสำหรับผู้บริหารแต่ละท่าน (CEO, CFO, CIO)
– การนำความรู้มาใช้ประโยชน์กับองค์กรอย่างเป็นรูปธรรม หรือนำมาใช้เป็นนโยบายในการดำเนินงานขององค์กร

2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

ระบบสารสนเทศใหม่ ๆ ได้นำเข้ามาสู่องค์กรอย่างสม่ำเสมอเพื่อให้สอดคล้องกับการดำเนินงานขององค์กรและปรับเปลี่ยนให้ทันตามเทคโนโลยีเพื่อเพิ่มประสิทธิภาพการทำงาน อย่างไรก็ตาม มักจะพบปัญหาในทางปฏิบัติเมื่อบุคลากรไม่มีความพร้อมที่จะใช้ระบบงานใหม่เนื่องจากบุคลากรดังกล่าวยังคงคุ้นเคยกับการทำงานลักษณะเดิม ทำให้เสียโอกาสในการใช้ระบบให้มีประสิทธิภาพและเป็นการสิ้นเปลืองงบประมาณในส่วนดังกล่าว ดังนั้นรัฐวิสาหกิจควรหาแนวทางเพื่อให้บุคลากรมีความคุ้นเคยและปรับเปลี่ยนการทำงานเพื่อรองรับกับระบบที่ได้เปลี่ยนแปลงไป

แนวทางโดยสรุป : การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจ และสามารถใช้ระบบสารสนเทศที่องค์กรมีอยู่

ตัวอย่าง : หากองค์กรมีระบบสารสนเทศใหม่ หรือมีใช้อยู่แล้วในองค์กร แต่จากการสำรวจพบว่า บุคลากรยังไม่สามารถใช้ระบบดังกล่าวได้อย่างถูกต้อง รวดเร็ว และมีประสิทธิภาพ ดังนั้นการพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจ และสามารถใช้ระบบสารสนเทศที่องค์กรมีอยู่จึงเป็นกระบวนการสำคัญในการผลักดัน ส่งเสริมให้บุคลากรสามารถใช้เทคโนโลยีได้ โดยอาจจะใช้วิธีของการจัดอบรม หรือ การสอนในรูปแบบของ Online Training หรือ e-Learning เพื่อให้บุคลากรสามารถที่จะศึกษา เรียนรู้ และใช้ระบบสารสนเทศดังกล่าวได้อย่างมีประสิทธิภาพ ตัวอย่างเช่น มหาวิทยาลัยด้านสารสนเทศแห่งหนึ่งต้องการให้อาจารย์และผู้ช่วยสอนสามารถทำ e-Learning ในรายวิชาที่อาจารย์คนนั้น ๆ สอนด้วยตนเอง โดยการนำคู่มือวิธีการทำ e-Learning ขึ้นบน Intranet ภายในมหาวิทยาลัย อาจารย์และผู้ช่วยสอนสามารถที่จะเรียนรู้และฝึกปฏิบัติทำได้ด้วยตนเอง ทั้งในรายละเอียดของ Code ในโปรแกรมที่ใช้สร้าง เช่น Dreamwaver การสร้างและใช้ Template รวมทั้ง Format ต่างๆ โปรแกรมที่ใช้ตัดต่อวิดีโอ อย่างเช่น Microsoft Producer, Microsoft Ulead และอื่นๆเป็นต้น ทำให้มหาวิทยาลัยสามารถลดค่าใช้จ่ายในการจ้างพนักงานเพื่อทำ e-Learning โดยเฉพาะ และยังเพิ่มความรู้ความสามารถให้กับบุคลากรในมหาวิทยาลัย

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการฝึกอบรมและการประเมินหลังการฝึกอบรมว่า USER ใช้ประโยชน์ระบบสารสนเทศอย่างเต็มศักยภาพเพียงใด

ครั้งหน้าเราไปต่อประเด็นการพิจารณาระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร รวมถึงนโยบายต่างๆ ของรัฐบาล และระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กรกันครับ

 

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

วันนี้เป็นวันดี เริ่มต้นแห่งปีใหม่ 2553 ผมก็ขออำนวยพรให้ท่านผู้ติดตาม www.itgthailand.com แห่งนี้ มีความสุขความเจริญทุกท่านเลยครับ สำหรับเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 นี้ เราจะมาคุยกันต่อถึงประเด็นการพิจารณาในส่วนที่ 2 ซึ่งจะเป็นเกณฑ์การพิจารณาด้านระบบการบริหารการจัดการสารสนเทศ

จากการพิจารณาว่าแผนแม่บทฯและแผนปฏิบัติการ สอดคล้องตามประเด็นพิจารณาต่าง ๆ หรือไม่นั้น จะขึ้นอยู่กับว่าสามารถรองรับต่อความต้องการ / ความจำเป็น / ความเหมาะสมขององค์กร รวมถึงความต้องการของผู้บริหารหรือไม่ เช่น รัฐวิสาหกิจขนาดเล็กและการดำเนินงานไม่ซับซ้อนอาจเลือกใช้คอมพิวเตอร์เพียงเครื่องเดียวเพื่อสอดคล้องกับประเด็นพิจารณาของ “ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร” เมื่อสามารถแสดงให้เห็นว่าสามารถตอบสนองต่อความต้องการขององค์กรได้จริง

ประเด็นการพิจารณาในส่วนที่ 2 มีรายละเอียดดังนี้

2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ

2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร

เป็นระบบสารสนเทศ (Information System) ที่สามารถเก็บรวบรวมข้อมูล ทำการประมวลผล และสร้างสารสนเทศขึ้นมาเพื่อสนับสนุนการตัดสินใจ การวางแผน และการควบคุม ให้สอดคล้องกับความต้องการของผู้บริหาร โดยจะต้องใช้อุปกรณ์ทางคอมพิวเตอร์ (Hardware) และโปรแกรม (Application Program) ร่วมกับผู้ใช้ (Peopleware) ในการดำเนินงาน เพื่อก่อให้เกิดความสำเร็จในการได้มาซึ่งสารสนเทศที่มีประโยชน์ และสามารถนำมาใช้ได้อย่างมีประสิทธิภาพ

โดยหลักการในการสร้างระบบสารสนเทศจะประกอบด้วยคอมพิวเตอร์ ที่มีระบบการประมวลผลที่เป็นลักษณะงานพื้นฐาน (Transaction Processing Systems) เกี่ยวข้องกับการดำเนินงานประจำวันที่จำเป็นขององค์กร (Business Functions) ซึ่งโดยทั่วไปจะมี 5 ฟังก์ชัน คือ ระบบงานขายและการตลาด (Sales and Marketing) ระบบงานการเงินและระบบงานบัญชี (Finance and Accounting) ระบบทรัพยากรมนุษย์ (Human Resources) ระบบงานการผลิต (Manufacturing) และระบบงานอื่น ๆ ที่มีความจำเป็นเฉพาะในแต่ละองค์กร (Core Business Functions) ซึ่งข้อมูลในแต่ละระบบงานจะถูกจัดเก็บในฐานข้อมูล (Database) หลักขององค์กร และมีการเชื่อมโยงกับตัวแปรอื่น ๆ เช่น ลูกค้า ผู้จำหน่ายวัตถุดิบ คลังสินค้า เป็นต้น โดยจะมีโปรแกรม (Application Program) ที่ดึงข้อมูล และสรุปเป็นรายงานหรือสารสนเทศให้ตรงกับความต้องการของผู้บริหารและระดับความจำเป็นที่จะต้องใช้ในแต่ละองค์กร

แนวทางโดยสรุป Management Information System (MIS) ก็คือ ระบบสารสนเทศเพื่อการจัดการ ในส่วนของยุทธวิธีในการวางแผนการปฏิบัติ และการตัดสินใจของผู้บริหารระดับกลาง เป็นระบบที่สามารถออกรายงานสรุป (Summary Report) ในลักษณะที่เป็นงานประจำหรือ รายงานเรื่องใดเรื่องหนึ่งโดยเฉพาะ (Exception Report) เพื่อสนับสนุนการตัดสินใจของผู้บริหารได้ โดยอาจจะเป็นในรูปแบบกระดาษ หรือผ่านทางหน้าจอคอมพิวเตอร์ ตัวอย่างเช่น ระบบ MIS ขององค์กรที่เกี่ยวข้องกับการขนส่งสามารถออกรายงานสรุปยอดของจำนวนผู้ใช้บริการ ปริมาณงานขนส่ง และข้อมูลอื่นๆที่ผู้บริหารมีความต้องการเป็นรายวัน รายเดือนหรือตามความเหมาะสม ขึ้นอยู่กับความต้องการและลักษณะธุรกิจของแต่ละองค์กร

ส่วน Executive Information System (EIS) คือ ระบบสารสนเทศที่สนับสนุนการจัดการในการวางแผน นโยบาย กลยุทธ์ และการตัดสินใจของผู้บริหารในระดับสูง (Top Management) ที่สามารถออกรายงานสรุป (Summary Report) ทั้งที่เป็นลักษณะงานประจำ และที่ไม่ใช่ลักษณะงานประจำ และ ณ ช่วงเวลาใดก็ได้ตามต้องการ เพื่อสนับสนุนการตัดสินใจของผู้บริหารระดับสูงได้ โดยพิจารณาข้อมูลจากแหล่งต่าง ๆ ภายนอกองค์กร และนำมาประกอบการตัดสินใจในปัญหาที่ไม่มีโครงสร้างหรือรูปแบบที่แน่นอน ซึ่งอาจจะเป็นในรูปแบบของกระดาษ หรือหน้าจอคอมพิวเตอร์กราฟฟิก ตัวอย่างจากบริษัท Southstream Seafoods เป็นบริษัทนำเข้าและส่งออกอาหารทะเลแช่แข็ง เนื่องจากราคาของอาหารทะเลไม่คงที่ ผู้บริหารมีความจำเป็นที่จะต้องทราบราคาที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา โดยข้อมูลที่ผ่านการวิเคราะห์จากระบบ EIS ทำให้ได้รายงานที่สรุปถึงการเปลี่ยนแปลงของราคา ช่วงเวลาที่เกิดการเปลี่ยนแปลง และสาเหตุ ซึ่งผู้บริหารสามารถนำข้อมูลดังกล่าวมาคิดเป็นราคาที่เหมาะสมที่สุด ได้ราคาที่จะขายรวดเร็วกว่าคู่แข่ง และสามารถแจ้งให้ลูกค้าทราบได้ทันที ส่งผลให้เกิดข้อได้เปรียบทางด้านการตลาด

2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร

เป็นระบบการจัดการฐานข้อมูล (Database Management System) ที่เก็บรวบรวมข้อมูล ทำการประมวลผล และสามารถค้นคืนข้อมูล เพื่อให้ผู้บริหารมีสารสนเทศสำหรับใช้เป็นเครื่องมือในการติดตาม หรือวัดผลการดำเนินงานขององค์กรได้

โดยทั่วไปการที่จะมีระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กรได้นั้น จะต้องมีฐานข้อมูล (Database) ที่เก็บข้อมูลในแต่ละกระบวนการงาน (Transaction Processing Systems) ที่มีความสำคัญหรืออยู่ในความสนใจของผู้บริหาร และมีระบบการจัดการฐานข้อมูล (Database Management System) ซึ่งเมื่อมีการสืบค้นหรือดึงข้อมูลออกมา ก็จะทำให้ทราบถึงสถานภาพของการดำเนินงานที่เป็นอยู่ในปัจจุบัน ผู้บริหารสามารถที่จะทราบถึงระดับหรือความก้าวหน้าของการดำเนินงานว่าอยู่ ณ จุดใด สามารถที่จะวัดผลการดำเนินงานเป็นเปอร์เซ็นต์ของความสำเร็จได้

แนวทางโดยสรุปก็คือ ระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถจัดเก็บ ประมวลผล และสามารถสืบค้นข้อมูลที่เกี่ยวข้องกับกระบวนการปฏิบัติงานขององค์กร เพื่อให้ทราบถึงสถานะของการดำเนินงานว่าอยู่ ณ จุดใด ซึ่งจะช่วยให้สามารถติดตามหรือวัดผลการดำเนินงานกับเป้าหมายขององค์กรที่ตั้งไว้ได้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอที่สามารถวัดระดับความสำเร็จของงานได้ เช่น ระบบการจัดการฐานข้อมูลของบริษัทขายผลิตภัณฑ์รองเท้าแห่งหนึ่ง ซึ่งมีฐานข้อมูลของโรงงานการผลิตที่เชื่อมต่อกับฐานข้อมูลของ Supplier และมีระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิต (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งหากเกิดกรณีที่ Supplier ไม่สามารถจัดส่งวัตถุดิบได้ทันต่อกระบวนการผลิต ระบบการจัดการฐานข้อมูลนี้จะทำให้ผู้บริหารทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้ ว่า Supplier ไม่สามารถส่งวัตถุดิบได้ทันเวลา และเป็นวัตถุดิบประเภทใด จำนวนเท่าไร ณ Process ใด ทำให้สามารถที่จะแก้ปัญหา หรือปรับปรุง เปลี่ยนแปลงได้อย่างถูกต้อง ตรงจุด และมีประสิทธิภาพ

2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

ระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย เป็นระบบที่จะต้องมีระบบการจัดการฐานข้อมูล (Database Management System) เพื่อใช้ในการจัดเก็บ รวบรวม และการจัดการข้อมูลเพื่อให้ข้อมูลในแต่ละส่วนงานสามารถที่จะแสดงความสัมพันธ์กันได้ ซึ่งระบบการรายงานผลและสอบเทียบผลการดำเนินงานจะไปดึงข้อมูลในแต่ละส่วนงานที่เกี่ยวข้องกันจากฐานข้อมูลกลางที่องค์กรมี เพื่อนำมาเปรียบเทียบกับค่าเป้าหมายที่องค์กรตั้งไว้ เพื่อสรุปเป็นรายงานที่บ่งบอกให้ทราบถึงผลของการดำเนินงานที่เกิดขึ้น ซึ่งผู้บริหารสามารถนำรายงานดังกล่าว ไปใช้เป็นเครื่องมือในการตรวจสอบการดำเนินงานขององค์กรได้ว่าควรจะมีการปรับปรุง เปลี่ยนแปลง แก้ไขให้กระบวนการทำงานดีขึ้นได้อย่างไร และที่กระบวนการใด

แนวทางโดยสรุปของระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย ก็คือ ระบบที่สามารถออกรายงานที่แสดงถึงผลของการดำเนินงานตามเป้าหมายต่าง ๆ ที่ได้กำหนดไว้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอ ที่สามารถวัดระดับความสำเร็จของงานได้ เช่น บริษัทผลิตเสื้อผ้าแห่งหนึ่งใช้ฐานข้อมูลของ Oracle ที่ Run บน IBM AS/400 Server และมี Show Case Software (Report Generator) ที่สามารถออกรายงานตามที่ต้องการได้ และสามารถเปรียบเทียบยอดการผลิตในแต่ละช่วงเวลากับที่ทางบริษัทได้ตั้งเป้าไว้ ทำให้ทราบถึงจำนวนที่ขาดเหลือและเปอร์เซ็นต์ที่ขาดเหลือดังกล่าว ระบบสามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิตเสื้อผ้า (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งจะทำให้ผู้บริหารสามารถติดตาม และทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง

2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง

ระบบในการบริหารความเสี่ยงจำเป็นจะต้องอาศัยระบบสารสนเทศที่เหมาะสมในการเก็บข้อมูลพื้นฐานและประมวลผลข้อมูล ซึ่งปัญหาของการเก็บข้อมูลในระบบคือ ข้อมูลในระบบอาจถูกนำเสนออย่างไม่เที่ยงตรงและไม่มีความสอดคล้องกับการนำเสนอข้อมูลในส่วนอื่นของระบบ และข่าวสารบางส่วนอาจมีข้อผิดพลาด คลุมเครือ หรือไม่ได้รับการแบ่งแยกอย่างเหมาะสมสำหรับการนำเสนอทางธุรกิจ

ดังนั้น ระบบสารสนเทศที่เหมาะสมจึงเป็นสิ่งสำคัญในการจัดเก็บข้อมูลพื้นฐานในแต่ละหน่วยงานขององค์กร ทั้งนี้ เพื่อให้มีศูนย์กลางในการรวบรวมข้อมูลในแต่ละหน่วยขององค์กร เพื่อให้แต่ละหน่วยสามารถแลกเปลี่ยนข้อมูลกันได้ และเพื่อให้ผู้บริหารสามารถดึงข้อมูลที่ต้องการเพื่อใช้เป็นแนวทางในการตัดสินใจถึงการบริหารความเสี่ยงใน แต่ละหน่วยงาน และเชื่อมโยงถึงการบริหารความเสี่ยงในภาพรวมขององค์กร

ตามหลักการแล้ว ในองค์กรจะมีศูนย์กลางที่เรียกว่า Risk Data Warehouse ซึ่งทำหน้าที่เก็บข้อมูล รวบรวมข้อมูล และประมวลผลข้อมูลในเบื้องต้นให้กับผู้บริหาร โดยข้อมูลดังกล่าวจะมาจากหน่วยงานต่างๆ ทั้งภายในและภายนอกองค์กร ดังนั้น หน้าที่หลักของ Risk Data Warehouse คือรวบรวมข้อมูลจากฝ่ายต่างๆ และนำมาจัดเรียงให้อยู่ในรูปแบบ (Format) ที่ฝ่ายบริหารต้องการเพื่อจะนำไปประมวลผลข้อมูลได้ทันที และระบบสารสนเทศต้องสามารถรองรับได้ทันทีหากข้อมูลมีการเปลี่ยนแปลงไป

Risk Data Processing

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถรวบรวมข้อมูลจากหน่วยงานต่างๆ ในองค์กร เพื่อเป็นศูนย์กลางในการรวบรวม แลกเปลี่ยนข้อมูลระหว่างหน่วยงาน และเพื่อให้ผู้บริหารสามารถใช้ข้อมูลเพื่อเป็นแนวทางตัดสินใจในการบริหารความเสี่ยงได้

ตัวอย่าง : ธนาคารแห่งหนึ่งมีหน่วยงานภายในหลายหน่วยงาน ล้วนแต่มีกิจกรรมที่ต่างกันและมีผลิตภัณฑ์ของแต่ละหน่วยงานที่ต่างกัน ดังนั้น จำเป็นต้องมีระบบสารสนเทศที่ทำการจัดเก็บข้อมูลในแต่ละหน่วยงาน เพื่อสามารถแปลงข้อมูลในแต่ละหน่วยงานที่มีความแตกต่างกันนี้ ให้อยู่ในรูปแบบเดียวกัน เพื่อให้ผู้บริหาร หรือหน่วยงานที่เกี่ยวข้องสามารถนำไปตัดสินใจในส่วนที่เกี่ยวข้องกับการบริหารความเสี่ยงได้ โดยผู้บริหารต้องทำการเรียกดูข้อมูลได้อย่างรวดเร็ว และเป็นข้อมูลที่ถูกต้องและอยู่ในรูปแบบที่เหมาะสมในการตัดสินใจ

โดยที่ข้อมูลดังกล่าว อาจจะมาจากภายในธนาคารเอง (Internal) หรือภายนอกธนาคาร (External) เช่น ข้อมูลของสาขาต่างประเทศของธนาคารดังกล่าวก็ได้ ซึ่งจะเป็นการใช้ประโยชน์จากระบบการเชื่อมโยงระหว่าง Server ของสาขา โดยระบบสารสนเทศนี้ต้องมีสามารถรองรับการเปลี่ยนแปลงของข้อมูล ในกรณีที่ข้อมูลมีการเปลี่ยนแปลง (Update) อยู่ตลอดเวลาได้

2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early warning system (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)

องค์ประกอบหลักของการบริหารความเสี่ยงที่สำคัญคือ การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ซึ่ง ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง และองค์กรต้องมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ระดับเสียหายข้างต้นด้วย

ดังนั้น ระบบสารสนเทศ จะต้องสนับสนุนการมี Early Warning System เพื่อป้องกันความเสี่ยงหลัก โดยจัดให้มี Management Trail เพื่อการติดตาม สอบทานแบบต่อเนื่องอย่างเหมาะสม ในการบริหารความเสี่ยง

แนวทางโดยสรุป ระบบ Early Warning System คือ ระบบสารสนเทศที่สนับสนุนการจัดรูปแบบและประมวลผลข้อมูลให้อยู่ในรูปของระดับความรุนแรงในการเกิดเหตุการณ์ และโอกาสของการเกิดความเสี่ยงแต่ละประเภท เพื่อให้องค์กรได้กำหนดระดับที่ยอมรับได้ของความเสี่ยง (Limited Risk Level) ได้ และหากระดับความเสียหายเกินกว่า Level ที่ยอมรับได้ ระบบจะต้องทำการเตือน / รายงานทันทีโดยทันกาล (Timely manner)

ตัวอย่าง : องค์กรแห่งหนึ่ง ได้กำหนดระดับความเสียหาย (ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) ไว้ 5 ระดับ โดยทำเป็น Matrix ดังนี้

จากตารางด้านบน จะพบว่า องค์กรกำหนดระดับความถี่ไว้ 5 ระดับ และระดับความรุนแรงไว้ 5 ระดับ ดังนั้นระดับความเสียหาย จะอยู่ที่ระดับต่ำสุดคือ 1 และระดับสูงที่สุดคือ 25

ขั้นตอนของระบบในการประมวลผลและมีระบบเตือนภัย
1. ระบบสารสนเทศ จะทำการรวบรวมข้อมูลความเสี่ยงจากแต่ละหน่วยงาน โดยแต่ละหน่วยงานต้องระบุระดับความถี่และระดับความรุนแรงของความเสี่ยงแต่ละประเภท
2. องค์กรจะต้องระบุระดับความเสียหายที่ยอมรับได้ ซึ่งในที่นี้ ยกตัวอย่างระดับความเสียหายที่ยอมรับได้เท่ากับ 9
3. เมื่อระบบรวบรวมข้อมูลความเสี่ยงซึ่งระบุระดับความเสียหายของแต่ละหน่วยงานแล้ว ระบบจะต้องประเมินผลระดับความเสียหายของแต่ละปัจจัยเสี่ยง หากปัจจัยเสี่ยงใดมีระดับความเสียหายที่เกิน 9 (เกินระดับที่ยอมรับได้) ระบบจะต้องมีสัญญาณเตือน / รายงาน / แจ้งต่อผู้บริหารถึงระดับความเสียหายที่เกิดขึ้น เพื่อที่ผู้บริหารจะได้บริหารจัดการต่อความเสี่ยงนั้นได้ทันท่วงที

2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
• การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) โดยรัฐวิสาหกิจสามารถเลือกมาตรฐานที่ใช้ควบคุมป้องกันมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ทั้งสิ้น 10 ประการ ดังนี้

IT Security ของศูนย์คอมพิวเตอร์หลัก

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

• การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up) โดยรัฐวิสาหกิจต้องมีการควบคุมป้องกันศูนย์คอมพิวเตอร์สำรองตามคุณลักษณะที่กำหนดเช่นเดียวกัน ซึ่งรัฐวิสาหกิจสามารถเลือกมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ดังนี้

Off-site Back up

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

ครั้งหน้าจะไปต่อกันในส่วนของระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายในกันครับ

 

เกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553

เพื่อเป็นการเตรียมพร้อมสำหรับการประเมินการบริหารสารสนเทศของรัฐวิสาหกิจในปีหน้า วันนี้ผมจะขอนำเสนอเกณฑ์ในการประเมินการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปีบัญชี 2553 โดยเกณฑ์การประเมินนี้จะกล่าวถึง ระบบสารสนเทศที่สามารถนำมาช่วยสนับสนุนการดำเนินงาน และเพิ่มประสิทธิภาพของรัฐวิสาหกิจ และยังมีบทบาทเป็นโครงสร้างพื้นฐานที่จำเป็นต่อการดำเนินงานของรัฐวิสาหกิจ อันเนื่องมาจากความสามารถของระบบในการรองรับธุรกรรมจำนวนมาก

ดังนั้น ในการประเมินการบริหารจัดการสารสนเทศ จะพิจารณาจากแผนแม่บทสารสนเทศ (IT Master plan) ว่าจะสามารถตอบสนองต่อความต้องการของรัฐวิสาหกิจและนโยบายหรือไม่ รวมถึงการดำเนินงานตามแผนแม่บทฯ ที่องค์กรได้กำหนดขึ้นและผลลัพธ์ของการดำเนินงานดังกล่าว

หลักเกณฑ์การพิจารณาการบริหารการจัดการสารสนเทศ ซึ่งดำเนินการโดยคณะอนุกรรมการบริหารสารสนเทศของ สคร. – กระทรวงการคลัง แบ่งออกเป็น 2 ส่วน ได้ดังนี้

ส่วนที่ 1 การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)

ส่วนที่ 2 การบริหารการจัดการสารสนเทศ
มีการวิเคราะห์แผนงาน/โครงการ เพื่อให้สอดคล้องกับแผนแม่บทสารสนเทศ ดังนี้ :-
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่าง ๆ ของรัฐบาล
2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ และผู้มีส่วนได้

ดูภาพจากด้านล่างนี้นะครับ แล้วจะเข้าใจชัดเจนยิ่งขึ้น

สำหรับรายละเอียดในแต่ละหัวข้อ ผมจะเล่าให้ฟังในครั้งหน้านะครับ