Posts Tagged "Integrated GRC"

CEO / CIO and Integrated Management – Audit / Approaching to Practical GRC

ปัจจุบัน การบริหารองค์กรแบบบูรณาการ หรืออาจเรียกได้ง่าย ๆ ว่า Integrated Management ซึ่งรวมไปถึง Integrated Risk Management รวมทั้ง Integrated Control and Audit เพื่อก้าวไปสู่ Integrated GRC ซึ่งเป็นแกนหลักของการบริหารการจัดการแบบหลอมรวม กระบวนความคิด และการปฏิบัติงานไปสู่การเติบโตอย่างยั่งยืน ที่ผสมผสานระหว่าง Corporate Governance and IT Governance ที่อยุ่ภายใต้ร่ม ๆ เดียวกัน คือ Integrated GRC นั้น กำลังได้รับความสนใจ และนำไปใช้อย่างเป็นรูปธรรมมากขึ้น เพราะสามารถลดความซ้ำซ้อนในกระบวนการจัดการ และกระบวนการบริหารจัดการองค์กรได้ในทุกกรอบของการจัดการ

วันนี้ ผมจึงขอนำเสนอแนวความคิดที่สามารถปฏิบัติได้จริง ที่เชื่อมโยงระหว่างการบริหารการจัดการสารสนเทศ ที่ผสมผสานกับการบริหารจัดการองค์กร เพื่อบรรลุ Performance และ Conformance ที่ประกอบไปด้วยองค์ประกอบต่าง ๆ ของการบริหารจัดการในหลายรูปแบบ รูปแบบที่อธิบายได้อย่างกว้าง ๆ และเข้าใจได้ง่ายก่อนที่จะลงลึกไปกว่านี้ ปรากฎดังแผนภาพต่อไปนี้

Integrated GRC - Components of Management and Understanding

แผนภาพตามที่แสดงไว้ข้างต้น สามารถสร้างความเข้าใจให้กับ CEO, CIO, CFO, COO และทุกระดับของ C – Level รวมทั้งคณะกรรมการต่าง ๆ ขององค์กร ที่สามารถเชื่อมโยงความเข้าใจในการบริหารและการจัดการแบบหลอมรวม เพื่อขับเคลื่อนองค์กรยุคใหม่ ที่แยกกันไม่ได้ระหว่างการบริหารการจัดการสารสนเทศ ที่ต้องผสมผสานกันไปอย่างแนบแน่นกับการบริหารเพื่อก้าวสู่วัตถุประสงค์ต่าง ๆ ตามหลักการ Business Balanced Scorecard และ Information Balanced Scorecard ที่ไม่ควรมีการจัดการแบบ Silo – Based อีกต่อไป

ผู้กำกับของหน่วยงานที่มีความสำคัญ ได้พยายามขับเคลื่อนและชี้นำทิศทางการบริหารแบบบูรณาการเช่นนี้ ไปให้กับหน่วยงานที่ถูกกำกับใช้ในการปฏิบัติอย่างเป็นรูปธรรม ซึ่งรวมถึงการออกกฎหมาย กฎเกณฑ์ พระราชบัญญัติ พระราชกฤษฎีกา ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ที่รวมนโยบาย วิธีการปฏิบัติงาน การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ การควบคุมภายในและการตรวจสอบภายใน ทางด้านเทคโนโลยีสารสนเทศเข้าด้วยกันอย่างเป็นกระบวนการ ซึ่งพิจารณาได้ว่า เป็นความจำเป็นในระดับประเทศที่ต้องขับเคลื่อนองค์กรต่าง ๆ ไปสู่ทิศทางที่ยกระดับความสามารถในการจัดการที่ดี ที่ต้องผสมผสานระหว่าง Corporate Governance + IT Governance ที่เป็นกระบวนการส่วนหนึ่งในการขับเคลื่อนไปสู่ GRC ที่มิใช่เป็นเพียง G + R + C

แนวความคิดในเรื่องการบริหารและการตรวจสอบแบบบูรณาการที่เรียกว่า “Integrated Thinking”โดยการคิดให้ครบจนจนความ เพื่อก้าวไปสู่เป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรที่ทันสมัยส่วนใหญ่ ซึ่งจะกำหนดเป็นวิสัยทัศน์ พันธกิจ นโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่เกี่ยวข้องกับ IT – Based ที่ท้าทายและเป็นกลไกนำไปสู่กระบวนการบริหารแบบบูรณาการที่สามารถสร้างประสิทธิภาพและประสิทธิผล และยกระดับการแข่งขันที่เป็นสากล

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

คณะกรรมการ ผู้บริหารระดับสูง/CEO และผู้บริหารที่เกี่ยวข้องในระดับต่าง ๆ รวมทั้ง คณะกรรมการตรวจสอบ/AC ผู้บริหารงานตรวจสอบ/CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ควรมีความเข้าใจภาพการบริหารแบบบูรณาการที่ผสมผสานระหว่าง กระบวนการทางด้านเทคโนโลยีสารสนเทศ กับกระบวนการทางด้านบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยงไปในทิศทางเดียวกัน และผสมผสานกระบวนการจัดการในทุกระดับระหว่าง IT กับ Non – IT ที่เข้าใจได้ง่าย ๆ ว่า “Integrated Management – Audit” ซึ่งเป็นสิ่งสำคัญอย่างยิ่งที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจการขับเคลื่อนไปสู่เป้าประสงค์ตามหลัก Business Balanced Score Card ที่ผสมผสานไปกับ Information Balanced Score Card ทางด้านเทคโนโลยีสารสนเทศที่ไม่สามารถจะแยกการจัดการกันได้อีกต่อไป

ดังนั้น การบริหารงานยุคใหม่ CEO ผู้บริหารงานและผู้ปฏิบัติงานทุกระดับ จะต้องเข้าใจความเสี่ยงที่เกิดจากเทคโนโลยีสารสนเทศ – IT Risk ที่มีผลกระทบต่อ Business Risk ในทุกมุมมอง จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

Approaching to GRC / Integrated Management and Systematic Thinking

Integrated Thinking ที่นำไปสู่ Integrated Management – Audit จะสามารถสร้าง Value Added และ Value Creation ได้มากกว่าการบริหารแบบ Silo – Based และเป็นหนึ่งในก้าวแรก ที่จะก้าวไปสู่ GRC ที่มิใช่ G + R + C เท่านั้น

องค์กรของท่านพร้อมหรือยังครับ กับการติดตามให้ทันแนวคิดและการจัดการที่เป็นรูปธรรมของการบริหารยุคใหม่ ที่เรียกว่า “GRC” ซึ่งเป็นการขับเคลื่อนกระบวนการบริหารในลักษณะที่ผสมผสานระหว่าง IT กับ Non – IT เข้าด้วยกันอย่างแยกกันไม่ได้ และเรียกแนวทางเช่นนี้ว่า “Integrity – Driven Performance” ที่สามารถติดตามได้จากเว็บไซต์ต่าง ๆ ที่เกี่ยวข้องนะครับ

 

Integrated Audit and Management in practices ตอน 2

ท่านผู้อ่านครับ ใน www.itgthailand.com ผมมีเรื่องที่ตั้งเป็นหมวดหมู่ไว้แลกเปลี่ยนสารสนเทศกับผู้อ่าน รวม 8 หมวดหมู่ด้วยกันนั้น ในที่สุดหมวดหมู่เรื่องต่าง ๆ ตามที่ผมได้แบ่งเอาไว้ให้ท่านผู้อ่านสามารถเลือกติดตามได้ตามที่ท่านสนใจนั้น เมื่อท่านได้อ่านมาถึงในช่วงเวลานี้ ก็จะเริ่มมีข้อสังเกตว่า หมวดหมู่ต่าง ๆ ในแต่ละหัวข้อเริ่มมีความสัมพันธ์และเกี่ยวเนื่องกันมากยิ่งขึ้น +++

อย่างเช่น เรื่องที่เกี่ยวกับ IT Audit และ Non IT Audit เรื่องทั้ง 2 ได้แยกออกเป็น 2 หมวดหมู่อย่างชัดเจนตั้งแต่แรกนั้น แต่ก็ยังไม่ปรากฎว่าผมได้อธิบายแ่ต่ละหมวดหมู่ดังกล่าวที่เกี่ยวข้องกับการตรวจสอบภายในออกจากกันเลยดังที่ตั้งใจไว้แต่ต้น…

ทั้งนี้เพราะผมต้องการให้ท่านเห็นภาพการตรวจสอบภายในที่มีวัตถุประสงค์หลัก ๆ 2 ประการด้วยกันคือ การตรวจสอบเพื่อสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) และให้คำปรึกษา (Consultant) ที่เกี่ยวข้องกับความน่าเชื่อถือได้ของงบการเงิน และรายงานต่าง ๆ รวมทั้งการบริหารความเสี่ยง และการควบคุมภายในเกี่ยวกับความน่าเชื่อถือได้ต่อกระบวนการบริหารและการดำเนินงานขององค์กรว่า รายงานทางการเงินและรายงานที่มิใช่การเงิน มีความถูกต้อง และหากกระบวนการบริหารซึ่งส่วนใหญ่เกี่ยวข้องกับการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ซึ่งมีผลกระทบต่อธุรกิจ และเป้าหมายต่าง ๆ ขององค์กร ผู้ตรวจสอบภายในก็จะให้คำแนะนำ และให้คำปรึกษาต่อผู้มีผลประโยชน์ร่วมที่เกี่ยวข้อง

นอกจากนี้ ผู้ตรวจสอบภายในจะต้องปฏิบัติงานวิชาชีพการตรวจสอบภายในให้เป็นไปตามมาตรฐานสากลตามที่ปรากฎใน International Standards for The Professional Practice of Internal Auditing ซึ่งมีการปรับปรุงเพิ่มเติมและแก้ไขโดยคณะกรรมการวิชาการและวิจัยในระดับสากล ซึ่งประเทศไทยก็ได้ประยุกต์ในการนำหลักการดังกล่าวมาใช้เป็นมาตรฐานการตรวจสอบของผู้ตรวจสอบภายใน ซึ่้งสอดคล้องกับแนวทางการกำกับของสำนักงานคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ซึ่งท่านสามารถติดตามรายละเอียดได้จาก ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546

จากแผนภาพ Control Framework ครั้งที่แล้ว ท่านผู้อ่านจะได้เห็นภาพที่มาของงบการเงิน และรายการทางบัญชีที่สำคัญที่ต้องผ่านกระบวนการปฏิบัติการของระบบงานต่าง ๆ อย่างเป็นลำดับ และผสมผสานกัน ซึ่งจะเกี่ยวข้องกับระบบการประมวลผลทางด้านเทคโนโลยีสารสนเทศ หรืออาจจะกล่าวได้อีกมุมหนึ่งว่า เกี่ยวข้องกับระบบข้อมูลและสารสนเทศที่ผ่านกระบวนการควบคุมในลักษณะอัตโนมัติ (Automated Application Controls) ซึ่งเกี่ยวข้องกับระบบงานต่าง ๆ ทางด้านความมั่นคงปลอดภัยของสารสนเทศอย่างเป็นกระบวนการ ตั้งแต่ Input – Process – Output Control รวมทั้งผลกระทบของการเชื่อมโยงของการประมวลผลดังกล่าวข้างต้น ที่เชื่อมโยงข้ามระบบงานและข้ามสายงานทั่วทั้งองค์กร รวมทั้งบางส่วนจะเกี่ยวข้องกับการควบคุม โดยระบบ Manual หรือด้วยบุคคล (People) ซึ่งเชื่อมโยงและโยงใยไปยังขั้นตอนการประมวลผล ในการประมวลงานทางด้าน Input – Process – Output ในแต่ละระบงานทั่วทั้งองค์กร (Interface Controls)

Risk Map ด้าน Control and Integrated Audit

นอกจากนั้น การควบคุมระบบงานดังกล่าว ยังเชื่อมโยงและเกี่ยวข้องกับระบบ Infrastructure ด้านสารสนเทศ ที่เกี่ยวข้องกับ Database, Platform, Operating System และ Network (โปรดดูแผนภาพที่แสดงในข้อเขียนครั้งที่แล้วอีกครั้ง) ซึ่งในเรื่องนี้จะเกี่ยวข้องกับ IT General Controls โดยอธิบายสั้น ๆ ได้ว่า เป็นการติดตามและตรวจสอบการควบคุมทางด้าน Change Development Security, Computer Operations และ IT Governance +++

ท่านผู้บริหารและผู้ตรวจสอบครับ เมื่อท่านได้อ่านมาถึงช่วงนี้ และได้ดูภาพประกอบจากครั้งที่แล้ว ท่านคงจะเห็นด้วยกับผมนะครับว่า การตรวจสอบความน่าเชื่อถือของงบทางการเิงิน และรายงานทางการเงิน และรายงานอื่น ๆ ที่เกี่ยวข้องกับการบริหารธุรกิจและการจัดการองค์กรนั้น เป็นไปไม่ได้เลยที่ผู้ตรวจสอบภายในจะปฏิบัติงานตรวจสอบทั่วไป โดยไม่คำนึงถึงผลกระทบของความเสี่ยงทางด้าน IT Risk ที่ีมีต่อ Business Process ที่นำผลกระทบไปสู่ Business Objective ในทุกมุมมองของการบริหารจัดการ ตามหลักการของ Business Balance Score Card และ Information Balance Score Card

Slide1

หากท่านพิจารณาว่า การตรวจสอบในลักษณะดั้งเดิม (Conventional Audit) เป็นการตรวจสอบในลักษณะ SILO – Based โดยการแยกการตรวจสอบด้าน IT และการตรวจสอบด้าน Non – IT โดยขาดความเข้าใจในความเสี่ยงโดยรวม โดยเฉพาะทางด้าน IT Risk ที่มีผลต่อ Financial Risk และ Business Risk นั้นจะเป็นการเหมาะสม

นั่นคือ การก้าวไปสู่การตรวจสอบในลักษณะ Integrated Audit และ Integrated Management ตามที่ได้กล่าวไว้ในข้อเขียนครั้งที่แล้ว ซึ่งผมจะอธิบายและขยายความในรายละเอียดต่อ ๆ ไป ในช่วงเวลานี้ อาจจะมีท่านผู้ตรวจสอบ และท่านผู้บริหารบางท่าน อาจมีมุมมองที่แตกต่างกันอย่างมีนัยสำคัญได้นั้น คงต้องขอความกรุณาได้โปรดติดตามข้อเขียนเกี่ยวกับเรื่องนี้ที่จะอธิบายรายละเอียดในหลายมุมมองต่อไปครับ

Integrated Audit และ Integrated Management เป็นส่วนหนึ่งของ Integrated GRC ครับ +++