Posts Tagged "Integrated Control and Audit"

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 4)

ครั้งที่แล้ว ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่กำหนดขึ้นก็เพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงินให้มีความถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่า ผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ ตั้งแต่ความเพียงพอของเงินกองทุน คุณภาพของสินทรัพย์ คุณภาพการบริหารจัดการ ความสามารถในการหารายได้ และสภาพคล่อง ซึ่งในช่วงเวลานั้นเรียกกันย่อ ๆ ว่า CAMEL (C = Capital, A = Asset, M = Management, E = Earnings, L = Liquidity) ที่จะสามารถสนองตอบความเชื่อมั่นของผู้มีผลประโยชน์ร่วมของทุกกลุ่มได้อย่างมั่นใจ

ครั้งนี้ ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้งสถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความไม่ถูกต้องของข้อมูลทางการเงิน และรายงานต่าง ๆ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการกำกับของธนาคารแห่งประเทศไทย

ทั้งนี้ มีรายละเอียดจำนวนมากที่หน่วยงานที่จัดตั้งขึ้นใหม่ เรียกว่า “ส่วนงานพิเศษ” ซึ่งทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์เป็นหลัก ซึ่งได้ทำเอกสารเผยแพร่และอธิบายไปยังธนาคารพาณิชย์ทุกแห่ง หากมีโอกาส ผมอาจจะนำมาเล่าสู่กันฟังย่อ ๆ นะครับ

สำหรับวันนี้ ผมจะเล่าเฉพาะส่วนที่เป็นระบบงานโดยทั่วไปขององค์กรที่ใช้คอมพิวเตอร์ก็คือ ส่วนงานในช่วงนั้นที่เรียกว่า EDP – Electronic Data Processing ซึ่งผมจะขออธิบายเป็นแผนภาพเพื่อที่ไม่ต้องอธิบายเป็นคำพูดที่ยืดยาวจนเกินไป ดังนี้

ตามภาพข้างต้นจะช่วยให้ผู้บริหารและผู้ปฏิบัติงาน ได้เห็นภาพและเข้าใจผลกระทบต่อการบริหารและการจัดการองค์กรทางด้าน EDP ในยุคแรก ๆ จากนี้ผมมีกรณีศึกษาเป็นตัวอย่างที่จะทำให้ท่านผู้ที่สนใจได้ทราบว่า เมื่อรูปแบบของหลักฐานในการกำกับและตรวจสอบธนาคารพาณิชย์และสถาบันการเงินได้เปลี่ยนแปลงไปอันเนื่องมาจากการใช้ EDP หรือ IT ในยุคปัจจุบัน มีผลกระทบต่อกระบวนการกำกับและกระบวนการตรวจสอบ เท่าที่พอเข้าใจได้ง่าย ๆ อย่างไรบ้างนั้น ผมจึงขอกล่าวถึงการใช้คอมพิวเตอร์ในงานประเภทเดียวกัน เช่น ระบบการจ่ายเงินเดือน แต่ระบบงานหรือกระบวนการจ่ายเงินเดือนต่างกันนั้น จะเกี่ยวข้องกับรูปแบบของหลักฐานที่เปลี่ยนแปลงไปแตกต่างกัน… จะมีผลต่อกระบวนการกำกับและตรวจสอบอย่างไร… ดังนี้

ตัวอย่าง 1 องค์กร A ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเดือน พนักงานแต่ละคนจะกรอกรายละเอียดชั่วโมงในใบลงเวลา แล้วให้ผู้ควบคุม (Supervisor) ลงลายมือชื่ออนุมัติ หลังจากนั้นจะรวบรวมข้อมูลไปป้อนลง disk โดยใช้เครื่อง key-to-disk machine ซึ่งจะมีสำเนาข้อมูลส่งกลับมาให้ผู้ควบคุมตรวจสอบความถูกต้องอีกครั้งหนึ่ง และเมื่อเริ่มต้นงวดรอบระยะเวลาการจ่ายเงินเดือนแต่ละครั้ง จะมีการปรับปรุงข้อมูลที่มีการเปลี่ยนแปลง เช่น อัตราค่าจ้างและรายการหักค่าลดหย่อนต่าง ๆ และมีการพิมพ์รายงานแสดงรายละเอียดการจ่ายค่าจ้างของพนักงานแต่ละคนส่งให้แผนกงานต่าง ๆ เพื่อใช้เป็นข้อมูลในการจัดเตรียมการจ่ายค่าจ้าง และในขั้นสุดท้ายก็จะมีการจัดพิมพ์เช็คและส่งให้ผู้ควบคุมแต่ละคนเพื่อจ่ายให้แก่พนักงาน และจะมีการกระทบยอดเช็คสลักหลังโดยฝ่ายบุคคลที่อยู่แยกต่างหากจากแผนกที่ทำหน้าที่เกี่ยวกับการจ่ายเงินเดือน

จากระบบงานในลักษณะที่กล่าวมาขององค์กรนี้ รูปแบบของหลักฐานจะไม่ถูกกระทบกระเทือนหรือเปลี่ยนไปมากนัก ยังคงสามารถใช้วิธีการตรวจสอบเช่นที่ทำในระบบเดิมได้ แต่ถ้าผู้ตรวจสอบจะต้องการปรับปรุงประสิทธิภาพและความประหยัดในการตรวจสอบ โดยนำเอาเทคโนโลยีทางด้านคอมพิวเตอร์/เทคโนโลยีสารสนเทศ เข้ามาช่วยในการตรวจสอบได้ เช่น การใช้ Audit Software หรือ Test Data Method – TDM เป็นต้น

ตัวอย่างที่ 2 องค์กร B ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเงินเดือนเช่นเดียวกับองค์กร A แต่ระบบเทคโนโลยีที่ใช้แตกต่างกัน โดยระบบจะรวบรวมและบันทึกข้อมูลผ่านเครื่องเทอร์มินอล โดยพนักงานแต่ละคนจะใช้บัตรที่มีแถบแม่เหล็กบันทึกรายการรูดผ่านเครื่องเทอร์มินอลเพื่อบันทึกเวลาที่เข้าทำงานประจำวันและเวลาเลิกงาน เครื่องก็จะบันทึกข้อมูลชั่วโมงการทำงานของพนักงานคนนั้น ๆ ไว้ เมื่อมีการเปลี่ยนแปลงข้อมูลหลัก เช่น อัตราค่าจ้าง ฝ่ายบุคคลก็จะป้อนรายการเปลี่ยนแปลง พร้อมวันที่มีผลบังคับใช้ผ่านทางเครื่องเทอร์มินอลเพื่อปรับปรุงข้อมูลใน database โดยตรง ข้อมูลเกี่ยวกับค่าจ้างที่ต้องจ่ายที่ได้จากการประมวลผล จะถูกส่งไปยังธนาคารเพื่อโอนเงินเข้าบัญชีให้พนักงานในลัษณะที่เป็นการโอนเงินทางอิเล็กทรอนิกส์ และจะส่ง statement แสดงรายละเอียดการโอนเงินเข้าบัญชีให้แก่พนักงานถึงบ้าน

ในระบบการประมวลงานเทคโนโลยีสารสนเทศ จะเห็นว่ารูปแบบของหลักฐานได้เปลี่ยนแปลงไปอย่างมาก จึงจำเป็นต้องอาศัยวิธีการตรวจสอบแบบใหม่ ซึ่งต่างจากการนำระบบคอมพิวเตอร์/เทคโนโลยีสารสนเทศเข้ามาใช้ในกรณี A ซึ่งไม่ได้ทำให้รูปแบบของหลักฐานเปลี่ยนแปลงไป จึงสามารถใช้วิธีการตรวจสอบแบบเดิมได้ ดังนั้น อาจกล่าวได้ว่า ตัวคอมพิวเตอร์หรือระบบเทคโนโลยีเองนั้นไม่ได้มีผลต่อผู้ตรวจสอบหรือผู้กำกับโดยตรง แต่ผลกระทบจากระบบงานคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบต่างหากที่มีความสำคัญ และทำให้ผู้ตรวจสอบต้องกำหนดวิธีการตรวจสอบให้เหมาะสมและสอดคล้องกับรูปแบบของหลักฐานที่ได้เปลี่ยนแปลงไป

อย่างไรก็ดี ก่อนที่จะมีการตรวจสอบระบบคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศนั้น ผู้ตรวจสอบควรทราบถึงลักษณะของเทคโนโลยีที่องค์กรนั้นใช้เสียก่อน โดยอาจจะใช้ Audit Impact Matrix เพื่อระบุถึงผลกระทบที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบ หากเทคโนโลยีนั้นมีผลให้รูปแบบของหลักฐานเปลี่ยนแปลงไป ผู้ตรวจสอบก็ต้องพิจารณาว่าจะมีผลให้ต้องนำวิธีการตรวจสอบแบบใหม่มาใช้หรือไม่ ในกรณีที่รูปแบบของหลักฐานได้เปลี่ยนแปลงไปโดยสิ้นเชิง ผู้ตรวจสอบอาจจำเป็นต้องมีทักษะหรือความเชี่ยวชาญในการตรวจสอบระบบเทคโนโลยีสารสนเทศโดยเฉพาะ จึงจะสามารถตรวจสอบได้อย่างเหมาะสม

จากที่ได้กล่าวข้างต้น ท่านที่ติดตามมาถึงขั้นตอนนี้จะสังเกตได้ว่า การกำหนดนโยบาย การกำกับ/ดูแลความมั่นคงของธนาคารพาณิชย์และสถาบันการเงิน ไม่ว่าจะในรูปแบบของ CAMEL เดิมตามที่กล่าวข้างต้น หรือในยุคการประเมินความเพียงพอของเงินกองทุน ตามหลักการ หลักเกณฑ์ Basel II – III ที่อิงกับการประเมินการบริหารความเสี่ยงของธนาคารพาณิชย์และสถาบันการเงิน รวมทั้งหน่วยงานประกันภัย ประกันชีวิตต่าง ๆ ที่มีผลกระทบกับการสร้างคุณค่าเพิ่ม ความมั่นคงของธนาคารพาณิชย์และสถาบันการเงินที่เกี่ยวข้องกับการสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วมยุคใหม่ที่ได้ดุลยภาพ โดยพิจารณาจากผลประโยชน์ที่ได้รับตามหลักการ Enterprise Goals / BSc. ที่สัมพันธ์กับกระบวนการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม +++ นั้น ผู้กำกับฯ คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงานหน่วยงานต่าง ๆ ควรจะคำนึงถึงความเสี่ยงที่ยอมรับได้จากผลกระทบจากการใช้ระบบเทคโนโลยีสารสนเทศที่มีความก้าวหน้าอย่างรวดเร็วในปัจจุบันว่าควรจะกำหนด วิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ ผลลัพธ์ที่คาดหมาย จากการดำเนินการขององค์กรและธุรกิจที่ตนเองดูแลอยู่

บทบาทหน้าที่และความรับผิดชอบได้เปลี่ยนแปลงไปอย่างมากมาย ทั้งในระดับคณะกรรมการ ที่ควรจะให้ความสำคัญต่อการกำกับดูแล สั่งการ ติดตาม ผลการดำเนินงานอย่างต่อเนื่อง นั่นคือการเน้นทางด้าน Governance หรือการสร้าง Value Creation ให้เป็นที่พึงพอใจของ Stakesholders และต้องสร้างดุลยภาพของความสัมพันธ์ระหว่าง Enterprise Goals กับ IT Related Goals อย่างลงตัว ให้ทันกับการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบ และการปฏิบัติตามกฎเกณฑ์อย่างได้มาตรฐานและเหมาะสมอยู่เสมอ ++++

การบริหารแบบบูรณาการในลักษณะของ Integrated GRC และการก้าวไปสู่ Integrated Management ระหว่าง IT Related Goals และ Enterprise Goals จะนำไปสู่การเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ การบริหารและการจัดการที่ต้องเปลี่ยนแปลงความคิดใหม่ให้เข้าใจการบริหารแบบบูรณาการอย่างแท้จริง จากการเชื่อมโยงที่ลึกซึ้งและแยกกันไม่ได้ระหว่าง IT และ Business ซึ่งผมจะค่อย ๆ เล่าสู่กันฟังในตอนต่อ ๆ ไป นะครับ

 

CEO / CIO and Integrated Management – Audit / Approaching to Practical GRC

ปัจจุบัน การบริหารองค์กรแบบบูรณาการ หรืออาจเรียกได้ง่าย ๆ ว่า Integrated Management ซึ่งรวมไปถึง Integrated Risk Management รวมทั้ง Integrated Control and Audit เพื่อก้าวไปสู่ Integrated GRC ซึ่งเป็นแกนหลักของการบริหารการจัดการแบบหลอมรวม กระบวนความคิด และการปฏิบัติงานไปสู่การเติบโตอย่างยั่งยืน ที่ผสมผสานระหว่าง Corporate Governance and IT Governance ที่อยุ่ภายใต้ร่ม ๆ เดียวกัน คือ Integrated GRC นั้น กำลังได้รับความสนใจ และนำไปใช้อย่างเป็นรูปธรรมมากขึ้น เพราะสามารถลดความซ้ำซ้อนในกระบวนการจัดการ และกระบวนการบริหารจัดการองค์กรได้ในทุกกรอบของการจัดการ

วันนี้ ผมจึงขอนำเสนอแนวความคิดที่สามารถปฏิบัติได้จริง ที่เชื่อมโยงระหว่างการบริหารการจัดการสารสนเทศ ที่ผสมผสานกับการบริหารจัดการองค์กร เพื่อบรรลุ Performance และ Conformance ที่ประกอบไปด้วยองค์ประกอบต่าง ๆ ของการบริหารจัดการในหลายรูปแบบ รูปแบบที่อธิบายได้อย่างกว้าง ๆ และเข้าใจได้ง่ายก่อนที่จะลงลึกไปกว่านี้ ปรากฎดังแผนภาพต่อไปนี้

Integrated GRC - Components of Management and Understanding

แผนภาพตามที่แสดงไว้ข้างต้น สามารถสร้างความเข้าใจให้กับ CEO, CIO, CFO, COO และทุกระดับของ C – Level รวมทั้งคณะกรรมการต่าง ๆ ขององค์กร ที่สามารถเชื่อมโยงความเข้าใจในการบริหารและการจัดการแบบหลอมรวม เพื่อขับเคลื่อนองค์กรยุคใหม่ ที่แยกกันไม่ได้ระหว่างการบริหารการจัดการสารสนเทศ ที่ต้องผสมผสานกันไปอย่างแนบแน่นกับการบริหารเพื่อก้าวสู่วัตถุประสงค์ต่าง ๆ ตามหลักการ Business Balanced Scorecard และ Information Balanced Scorecard ที่ไม่ควรมีการจัดการแบบ Silo – Based อีกต่อไป

ผู้กำกับของหน่วยงานที่มีความสำคัญ ได้พยายามขับเคลื่อนและชี้นำทิศทางการบริหารแบบบูรณาการเช่นนี้ ไปให้กับหน่วยงานที่ถูกกำกับใช้ในการปฏิบัติอย่างเป็นรูปธรรม ซึ่งรวมถึงการออกกฎหมาย กฎเกณฑ์ พระราชบัญญัติ พระราชกฤษฎีกา ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ที่รวมนโยบาย วิธีการปฏิบัติงาน การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ การควบคุมภายในและการตรวจสอบภายใน ทางด้านเทคโนโลยีสารสนเทศเข้าด้วยกันอย่างเป็นกระบวนการ ซึ่งพิจารณาได้ว่า เป็นความจำเป็นในระดับประเทศที่ต้องขับเคลื่อนองค์กรต่าง ๆ ไปสู่ทิศทางที่ยกระดับความสามารถในการจัดการที่ดี ที่ต้องผสมผสานระหว่าง Corporate Governance + IT Governance ที่เป็นกระบวนการส่วนหนึ่งในการขับเคลื่อนไปสู่ GRC ที่มิใช่เป็นเพียง G + R + C

แนวความคิดในเรื่องการบริหารและการตรวจสอบแบบบูรณาการที่เรียกว่า “Integrated Thinking”โดยการคิดให้ครบจนจนความ เพื่อก้าวไปสู่เป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรที่ทันสมัยส่วนใหญ่ ซึ่งจะกำหนดเป็นวิสัยทัศน์ พันธกิจ นโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่เกี่ยวข้องกับ IT – Based ที่ท้าทายและเป็นกลไกนำไปสู่กระบวนการบริหารแบบบูรณาการที่สามารถสร้างประสิทธิภาพและประสิทธิผล และยกระดับการแข่งขันที่เป็นสากล

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

คณะกรรมการ ผู้บริหารระดับสูง/CEO และผู้บริหารที่เกี่ยวข้องในระดับต่าง ๆ รวมทั้ง คณะกรรมการตรวจสอบ/AC ผู้บริหารงานตรวจสอบ/CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ควรมีความเข้าใจภาพการบริหารแบบบูรณาการที่ผสมผสานระหว่าง กระบวนการทางด้านเทคโนโลยีสารสนเทศ กับกระบวนการทางด้านบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยงไปในทิศทางเดียวกัน และผสมผสานกระบวนการจัดการในทุกระดับระหว่าง IT กับ Non – IT ที่เข้าใจได้ง่าย ๆ ว่า “Integrated Management – Audit” ซึ่งเป็นสิ่งสำคัญอย่างยิ่งที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจการขับเคลื่อนไปสู่เป้าประสงค์ตามหลัก Business Balanced Score Card ที่ผสมผสานไปกับ Information Balanced Score Card ทางด้านเทคโนโลยีสารสนเทศที่ไม่สามารถจะแยกการจัดการกันได้อีกต่อไป

ดังนั้น การบริหารงานยุคใหม่ CEO ผู้บริหารงานและผู้ปฏิบัติงานทุกระดับ จะต้องเข้าใจความเสี่ยงที่เกิดจากเทคโนโลยีสารสนเทศ – IT Risk ที่มีผลกระทบต่อ Business Risk ในทุกมุมมอง จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

Approaching to GRC / Integrated Management and Systematic Thinking

Integrated Thinking ที่นำไปสู่ Integrated Management – Audit จะสามารถสร้าง Value Added และ Value Creation ได้มากกว่าการบริหารแบบ Silo – Based และเป็นหนึ่งในก้าวแรก ที่จะก้าวไปสู่ GRC ที่มิใช่ G + R + C เท่านั้น

องค์กรของท่านพร้อมหรือยังครับ กับการติดตามให้ทันแนวคิดและการจัดการที่เป็นรูปธรรมของการบริหารยุคใหม่ ที่เรียกว่า “GRC” ซึ่งเป็นการขับเคลื่อนกระบวนการบริหารในลักษณะที่ผสมผสานระหว่าง IT กับ Non – IT เข้าด้วยกันอย่างแยกกันไม่ได้ และเรียกแนวทางเช่นนี้ว่า “Integrity – Driven Performance” ที่สามารถติดตามได้จากเว็บไซต์ต่าง ๆ ที่เกี่ยวข้องนะครับ