Posts Tagged "Integrated Management"

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 4)

ครั้งที่แล้ว ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่กำหนดขึ้นก็เพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงินให้มีความถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่า ผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ ตั้งแต่ความเพียงพอของเงินกองทุน คุณภาพของสินทรัพย์ คุณภาพการบริหารจัดการ ความสามารถในการหารายได้ และสภาพคล่อง ซึ่งในช่วงเวลานั้นเรียกกันย่อ ๆ ว่า CAMEL (C = Capital, A = Asset, M = Management, E = Earnings, L = Liquidity) ที่จะสามารถสนองตอบความเชื่อมั่นของผู้มีผลประโยชน์ร่วมของทุกกลุ่มได้อย่างมั่นใจ

ครั้งนี้ ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้งสถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความไม่ถูกต้องของข้อมูลทางการเงิน และรายงานต่าง ๆ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการกำกับของธนาคารแห่งประเทศไทย

ทั้งนี้ มีรายละเอียดจำนวนมากที่หน่วยงานที่จัดตั้งขึ้นใหม่ เรียกว่า “ส่วนงานพิเศษ” ซึ่งทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์เป็นหลัก ซึ่งได้ทำเอกสารเผยแพร่และอธิบายไปยังธนาคารพาณิชย์ทุกแห่ง หากมีโอกาส ผมอาจจะนำมาเล่าสู่กันฟังย่อ ๆ นะครับ

สำหรับวันนี้ ผมจะเล่าเฉพาะส่วนที่เป็นระบบงานโดยทั่วไปขององค์กรที่ใช้คอมพิวเตอร์ก็คือ ส่วนงานในช่วงนั้นที่เรียกว่า EDP – Electronic Data Processing ซึ่งผมจะขออธิบายเป็นแผนภาพเพื่อที่ไม่ต้องอธิบายเป็นคำพูดที่ยืดยาวจนเกินไป ดังนี้

ตามภาพข้างต้นจะช่วยให้ผู้บริหารและผู้ปฏิบัติงาน ได้เห็นภาพและเข้าใจผลกระทบต่อการบริหารและการจัดการองค์กรทางด้าน EDP ในยุคแรก ๆ จากนี้ผมมีกรณีศึกษาเป็นตัวอย่างที่จะทำให้ท่านผู้ที่สนใจได้ทราบว่า เมื่อรูปแบบของหลักฐานในการกำกับและตรวจสอบธนาคารพาณิชย์และสถาบันการเงินได้เปลี่ยนแปลงไปอันเนื่องมาจากการใช้ EDP หรือ IT ในยุคปัจจุบัน มีผลกระทบต่อกระบวนการกำกับและกระบวนการตรวจสอบ เท่าที่พอเข้าใจได้ง่าย ๆ อย่างไรบ้างนั้น ผมจึงขอกล่าวถึงการใช้คอมพิวเตอร์ในงานประเภทเดียวกัน เช่น ระบบการจ่ายเงินเดือน แต่ระบบงานหรือกระบวนการจ่ายเงินเดือนต่างกันนั้น จะเกี่ยวข้องกับรูปแบบของหลักฐานที่เปลี่ยนแปลงไปแตกต่างกัน… จะมีผลต่อกระบวนการกำกับและตรวจสอบอย่างไร… ดังนี้

ตัวอย่าง 1 องค์กร A ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเดือน พนักงานแต่ละคนจะกรอกรายละเอียดชั่วโมงในใบลงเวลา แล้วให้ผู้ควบคุม (Supervisor) ลงลายมือชื่ออนุมัติ หลังจากนั้นจะรวบรวมข้อมูลไปป้อนลง disk โดยใช้เครื่อง key-to-disk machine ซึ่งจะมีสำเนาข้อมูลส่งกลับมาให้ผู้ควบคุมตรวจสอบความถูกต้องอีกครั้งหนึ่ง และเมื่อเริ่มต้นงวดรอบระยะเวลาการจ่ายเงินเดือนแต่ละครั้ง จะมีการปรับปรุงข้อมูลที่มีการเปลี่ยนแปลง เช่น อัตราค่าจ้างและรายการหักค่าลดหย่อนต่าง ๆ และมีการพิมพ์รายงานแสดงรายละเอียดการจ่ายค่าจ้างของพนักงานแต่ละคนส่งให้แผนกงานต่าง ๆ เพื่อใช้เป็นข้อมูลในการจัดเตรียมการจ่ายค่าจ้าง และในขั้นสุดท้ายก็จะมีการจัดพิมพ์เช็คและส่งให้ผู้ควบคุมแต่ละคนเพื่อจ่ายให้แก่พนักงาน และจะมีการกระทบยอดเช็คสลักหลังโดยฝ่ายบุคคลที่อยู่แยกต่างหากจากแผนกที่ทำหน้าที่เกี่ยวกับการจ่ายเงินเดือน

จากระบบงานในลักษณะที่กล่าวมาขององค์กรนี้ รูปแบบของหลักฐานจะไม่ถูกกระทบกระเทือนหรือเปลี่ยนไปมากนัก ยังคงสามารถใช้วิธีการตรวจสอบเช่นที่ทำในระบบเดิมได้ แต่ถ้าผู้ตรวจสอบจะต้องการปรับปรุงประสิทธิภาพและความประหยัดในการตรวจสอบ โดยนำเอาเทคโนโลยีทางด้านคอมพิวเตอร์/เทคโนโลยีสารสนเทศ เข้ามาช่วยในการตรวจสอบได้ เช่น การใช้ Audit Software หรือ Test Data Method – TDM เป็นต้น

ตัวอย่างที่ 2 องค์กร B ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเงินเดือนเช่นเดียวกับองค์กร A แต่ระบบเทคโนโลยีที่ใช้แตกต่างกัน โดยระบบจะรวบรวมและบันทึกข้อมูลผ่านเครื่องเทอร์มินอล โดยพนักงานแต่ละคนจะใช้บัตรที่มีแถบแม่เหล็กบันทึกรายการรูดผ่านเครื่องเทอร์มินอลเพื่อบันทึกเวลาที่เข้าทำงานประจำวันและเวลาเลิกงาน เครื่องก็จะบันทึกข้อมูลชั่วโมงการทำงานของพนักงานคนนั้น ๆ ไว้ เมื่อมีการเปลี่ยนแปลงข้อมูลหลัก เช่น อัตราค่าจ้าง ฝ่ายบุคคลก็จะป้อนรายการเปลี่ยนแปลง พร้อมวันที่มีผลบังคับใช้ผ่านทางเครื่องเทอร์มินอลเพื่อปรับปรุงข้อมูลใน database โดยตรง ข้อมูลเกี่ยวกับค่าจ้างที่ต้องจ่ายที่ได้จากการประมวลผล จะถูกส่งไปยังธนาคารเพื่อโอนเงินเข้าบัญชีให้พนักงานในลัษณะที่เป็นการโอนเงินทางอิเล็กทรอนิกส์ และจะส่ง statement แสดงรายละเอียดการโอนเงินเข้าบัญชีให้แก่พนักงานถึงบ้าน

ในระบบการประมวลงานเทคโนโลยีสารสนเทศ จะเห็นว่ารูปแบบของหลักฐานได้เปลี่ยนแปลงไปอย่างมาก จึงจำเป็นต้องอาศัยวิธีการตรวจสอบแบบใหม่ ซึ่งต่างจากการนำระบบคอมพิวเตอร์/เทคโนโลยีสารสนเทศเข้ามาใช้ในกรณี A ซึ่งไม่ได้ทำให้รูปแบบของหลักฐานเปลี่ยนแปลงไป จึงสามารถใช้วิธีการตรวจสอบแบบเดิมได้ ดังนั้น อาจกล่าวได้ว่า ตัวคอมพิวเตอร์หรือระบบเทคโนโลยีเองนั้นไม่ได้มีผลต่อผู้ตรวจสอบหรือผู้กำกับโดยตรง แต่ผลกระทบจากระบบงานคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบต่างหากที่มีความสำคัญ และทำให้ผู้ตรวจสอบต้องกำหนดวิธีการตรวจสอบให้เหมาะสมและสอดคล้องกับรูปแบบของหลักฐานที่ได้เปลี่ยนแปลงไป

อย่างไรก็ดี ก่อนที่จะมีการตรวจสอบระบบคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศนั้น ผู้ตรวจสอบควรทราบถึงลักษณะของเทคโนโลยีที่องค์กรนั้นใช้เสียก่อน โดยอาจจะใช้ Audit Impact Matrix เพื่อระบุถึงผลกระทบที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบ หากเทคโนโลยีนั้นมีผลให้รูปแบบของหลักฐานเปลี่ยนแปลงไป ผู้ตรวจสอบก็ต้องพิจารณาว่าจะมีผลให้ต้องนำวิธีการตรวจสอบแบบใหม่มาใช้หรือไม่ ในกรณีที่รูปแบบของหลักฐานได้เปลี่ยนแปลงไปโดยสิ้นเชิง ผู้ตรวจสอบอาจจำเป็นต้องมีทักษะหรือความเชี่ยวชาญในการตรวจสอบระบบเทคโนโลยีสารสนเทศโดยเฉพาะ จึงจะสามารถตรวจสอบได้อย่างเหมาะสม

จากที่ได้กล่าวข้างต้น ท่านที่ติดตามมาถึงขั้นตอนนี้จะสังเกตได้ว่า การกำหนดนโยบาย การกำกับ/ดูแลความมั่นคงของธนาคารพาณิชย์และสถาบันการเงิน ไม่ว่าจะในรูปแบบของ CAMEL เดิมตามที่กล่าวข้างต้น หรือในยุคการประเมินความเพียงพอของเงินกองทุน ตามหลักการ หลักเกณฑ์ Basel II – III ที่อิงกับการประเมินการบริหารความเสี่ยงของธนาคารพาณิชย์และสถาบันการเงิน รวมทั้งหน่วยงานประกันภัย ประกันชีวิตต่าง ๆ ที่มีผลกระทบกับการสร้างคุณค่าเพิ่ม ความมั่นคงของธนาคารพาณิชย์และสถาบันการเงินที่เกี่ยวข้องกับการสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วมยุคใหม่ที่ได้ดุลยภาพ โดยพิจารณาจากผลประโยชน์ที่ได้รับตามหลักการ Enterprise Goals / BSc. ที่สัมพันธ์กับกระบวนการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม +++ นั้น ผู้กำกับฯ คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงานหน่วยงานต่าง ๆ ควรจะคำนึงถึงความเสี่ยงที่ยอมรับได้จากผลกระทบจากการใช้ระบบเทคโนโลยีสารสนเทศที่มีความก้าวหน้าอย่างรวดเร็วในปัจจุบันว่าควรจะกำหนด วิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ ผลลัพธ์ที่คาดหมาย จากการดำเนินการขององค์กรและธุรกิจที่ตนเองดูแลอยู่

บทบาทหน้าที่และความรับผิดชอบได้เปลี่ยนแปลงไปอย่างมากมาย ทั้งในระดับคณะกรรมการ ที่ควรจะให้ความสำคัญต่อการกำกับดูแล สั่งการ ติดตาม ผลการดำเนินงานอย่างต่อเนื่อง นั่นคือการเน้นทางด้าน Governance หรือการสร้าง Value Creation ให้เป็นที่พึงพอใจของ Stakesholders และต้องสร้างดุลยภาพของความสัมพันธ์ระหว่าง Enterprise Goals กับ IT Related Goals อย่างลงตัว ให้ทันกับการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบ และการปฏิบัติตามกฎเกณฑ์อย่างได้มาตรฐานและเหมาะสมอยู่เสมอ ++++

การบริหารแบบบูรณาการในลักษณะของ Integrated GRC และการก้าวไปสู่ Integrated Management ระหว่าง IT Related Goals และ Enterprise Goals จะนำไปสู่การเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ การบริหารและการจัดการที่ต้องเปลี่ยนแปลงความคิดใหม่ให้เข้าใจการบริหารแบบบูรณาการอย่างแท้จริง จากการเชื่อมโยงที่ลึกซึ้งและแยกกันไม่ได้ระหว่าง IT และ Business ซึ่งผมจะค่อย ๆ เล่าสู่กันฟังในตอนต่อ ๆ ไป นะครับ

 

วิกฤตหรือโอกาสของน้ำท่วมประเทศไทย 2554

ปัจจุบันวันที่ 21 ตุลาคม 2554 ประเทศไทยเกิดภาวะวิกฤตจากน้ำท่วม เป็นข่าวมานานกว่า 2 เดือนแล้ว และได้สร้างความเสียหายมหาศาล ทั้งทางด้านเกษตรกรรม อุตสาหกรรม บ้านเรือน สิ่งอำนวยความสะดวก และสาธารณูปโภคต่าง ๆ รวมทั้ง ประชาชนที่ได้รับความเดือดร้อนแสนสาหัส เป็นล้านคน ตามขอบเขตของน้ำท่วมประมาณ 1 ใน 3 ของประเทศนั้น

11images

ท่ามกลางวิกฤตของปัญหาน้ำท่วมอย่างที่ไม่เคยเกิดขึ้นมาก่อน เมื่อปริมาณน้ำ ขอบเขตของน้ำท่วม และระยะเวลาของน้ำท่วม เป็นความเสียหายครั้งยิ่งใหญ่ของประเทศไทย ซึ่งไม่อาจจะพิจารณาเปรียบเทียบกับน้ำท่วมใหญ่ เมื่อปี 2538 และ ปี 2485 ซึ่งใน 2 ปีที่กล่าวนั้น ความเสียหายไม่อาจจะเทียบเคียงกันได้กับในปี 2554 นี้ในทุกมุมมอง

สิ่งหนึ่งที่คนไทยทั่วประเทศและทั่วโลกที่สนใจประเทศไทย ก็จะเห็นภาพของความร่วมมือสมัครสมานสามัคคีกันอย่างน่าชื่นชมเป็นที่กล่าวขวัญกันโดยทั่วไป แม้กระทั่งในต่างประเทศก็มีคำชื่นชนในลักษณะเช่นนี้ในหลายประเทศ

การบริหารจัดการน้ำแบบบูรณาการ ในลักษณะ Integrated Management ได้มีการกล่าวถึงกันในหลายระดับ รวมทั้งในระดับบริหารสูงสุดของประเทศ คือ นายกรัฐมนตรีของประเทศไทยในปัจจุบัน (คุณยิ่งลักษณ์ ชินวัตร) ก็ได้มีการกล่าวถ้อยคำนี้ออกมาหลายครั้ง

images15

คำว่าการบริหารจัดการน้ำแบบบูรณาการ หรือการบริหารแบบบูรณาการโดยทั่วไป ซึ่งเป็นคำฮิตติดปาก ก่อนที่จะมีปัญหาน้ำท่วมมานานพอสมควร ที่ทางกระทรวงการคลังโดย สคร. ที่มีหน้าำที่กำกับหน่วยงานของรัฐหลายหน่วยงาน และใช้เป็นเกณฑ์การประเมินผล เพื่อวัดระดับความสามารถในกระบวนการบริหารจัดการ ก็มีถ้อยคำนี้ และเรื่องในลักษณะนี้ ในกรอบการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจทั้ง 57 แห่ง

จะเห็นได้ว่าการบริหารแบบบูรณาการจะเข้ามีส่วนเกี่ยวข้องในระดับการบริหารทุกระดับของทุกเรื่อง ทุกองค์กร รวมทั้งระดับประเทศ และระดับสากล ถึงแม้ความเข้าใจความหมายของคำนี้ และการปฏิบัติในเรื่องนี้ ยังมีความเข้าใจที่แตกต่างกันมากในทางปฏิบัติก็ตาม แต่ส่วนใหญ่ก็มีความเห็นตรงกันว่า การบริหารและการจัดการแบบบูรณาการ หรือ Integrated Management นั้น เป็นเรื่องจำเป็นอย่างยิ่ง เพราะเป็นการบริหารเชิงรุก ที่พิจารณาจากแนวคิดทุกแง่มุมของกระบวนการป้องกันปัญหาต่าง ๆ เพื่อนำไปสู่การปฏิบัติที่เป็นรูปธรรม ตามวิสัยทัศน์ และพันธกิจ นโยบาย กลยุทธ์ รวมทั้งแผนการปฏิบัติงาน +++

images9

อย่างไรก็ดี หากความเข้าใจในเรื่องการบริหารแบบบูรณาการ ยังมีความเข้าใจที่แตกต่างกัน การปฏิบัติจะมีความแตกต่างกันได้มาก เช่น เข้าใจดีก็จริง แต่บางหน่วยงานหรือบางบุคคลไม่นำแนวคิดนี้ไปปฏิบัติ เพราะความมีประสิทธิผลและความมีประสิทธิภาพของหลักการ Integrated Management นี้ จะมีผลกระทบต่อผลประโยชน์ขององค์กรและส่วนบุคคล ในแง่มุมมองที่เกี่ยวข้องกับแนวคิดที่ว่า ระบบนี้มีความโปร่งใสและมีประสิทธิภาพเป็นอย่างยิ่ง และจะมีผลกระทบไปถึงงบประมาณ กระบวนการบริหารงาน โดยเฉพาะการจัดซื้อ จัดหา จัดจ้าง และการร่วมพลังกันในการผลักดันเรื่องเดียวกันของหน่วยงานต่าง ๆ ที่ขณะนี้ ในภาครัฐนั้น ยังมีความซ้ำซ้อนกันอยู่มาก และมีจุดอ่อนในการประสานงานข้ามสายงาน และข้ามหน่วยงาน

ขอยกตัวอย่างเพียง เรื่องการบริหารและการจัดการน้ำ ในประเทศไทยเองก็มีหน่วยงานจัดการน้ำอยู่หลายแห่ง ซึ่งหากพิจารณาอย่างผิวเผิน ก็อาจมองในมุมมองที่ว่า มีการแบ่งแยกงานกันทำแล้วอย่างเหมาะสม แต่แท้จริงแล้ว ยังมีความซ้ำซ้อนในเรื่องการจัดทำงบประมาณ และการบริหารจัดการ โดยเฉพาะอย่างยิ่งการประสานงานเป็นอย่างมาก

เป็นไปได้ไหมครับว่า น้ำที่ท่วมในกรุงเทพฯ ในปัจจุบันและทำลายผนังกั้นน้ำเกือบทุกแห่ง เพราะน้ำมีปริมาณมาก และแรงดันมหาศาล เกินกว่าผนังน้ำที่กั้นแบบชั่วคราวจะต้านทานได้ มีผลทำให้เกิดความเสียหายในวงกว้าง และกินระยะเวลานาน จนเกิดการวิจารณ์ถึงประสิทธิผลและประสิทธิภาพในการจัดการน้ำ…

thailand-flood

ตั้งแต่แนวความคิดที่ว่า เขื่อนหลายแห่งทางภาคเหนือ ภาคกลาง และภาคตะวันออก ควรจะปล่อยน้ำมาก่อนหน้านี้หรือไม่ หรือรอเก็บน้ำไว้ในกรณีฝนตกน้ำในช่วยฤดูฝน เพื่อให้เพียงพอต่อการแจกจ่ายน้ำในฤดูแล้ง แต่ในกรณีนี้น้ำในเขื่อนมีปริมาณ ประกอบกับมีฝนตกค่อนข้างมาก ปริมาณน้ำค่อนข้างเยอะ ซึ่งอาจจะเกิดการคาดคะเนบนพื้นฐานที่ไม่อาจคาดการณ์และไม่อาจควบคุมได้… เมื่อเกิดภาวะฉุกเฉินก็ต้องมีการบริหารน้ำในภาวะวิกฤตต่อไป…

ผลตามมาอย่างที่เห็น เพราะกล่าวภายหลังเหตุการณ์ที่เกิดขึ้นก็คือ การป้องกันน้ำในสถานที่สำคัญ ๆ เกือบทุกแห่งไม่อาจต้านทานน้ำ และก่อให้เกิดภาวะล้มเหลวในเชิงแก้ไขอย่างมหาศาล โดยเฉพาะอย่างยิ่ง อุตสาหกรรมหลายแห่ง และทุ่งเกษตรกรรมจำนวนมากมาย สถานที่สำคัญ วัดวาอาราม และบ้านเรือนของประชาชนได้รับความเสียหาย ตามที่เป็นข่าวปรากฎทั่วไปนั้น

ผลเสียที่ตามมามีอยู่มากมายมหาศาล ตั้งแต่ความไม่ไว้วางใจของนักลงทุนต่างชาติ ในเรื่องการจัดการเรื่องน้ำ และอาจจะคิดนอกกรอบไปถึงเรื่องการจัดการในเรื่องอื่น ๆ ตามมาด้วยนั้น จะเป็นเรื่องของการบริหารวิกฤตของประเทศไทย และเป็นโอกาสที่ดีของประเทศอื่น ๆ ได้

images5

หากพิจารณามุมมองในแง่ที่เป็นบวกก็คือ ประเทศไทยน่าจะมีโอกาสในเรื่องการบริหารจัดการน้ำที่เป็นระบบ และเป็นกระบวนการที่สอดคล้องกับการจัดการในลักษณะที่กล่าวกันว่า การจัดการน้ำแบบบูรณาการ ที่ต้องร่วมมือกันคิดร่วมมือกันปฏิบัติ ในหน่วยงานต่าง ๆ อย่างจริงจังและเป็นรูปธรรม เพราะบทเรียนที่เกิดจากน้ำท่วมใหญ่ และเนิ่นนานในปี 2554 นี้ เป็นความเสียหายในระดับที่ประเทศไทยไม่น่าจะยอมรับได้โดยรวม (Risk Appetite / Tolerance) ไม่ว่าจะพิจารณาเป็นจำนวนเงิน ความไว้วางใจของผู้มีผลประโยชน์ร่วม +++ ซึ่งเรื่องนี้ คงจะต้องเป็นวาระสำคัญของชาติที่นำความคิดในเรื่องการบริหารจัดการน้ำแบบบูรณาการมาสู่ความเ็ป็นจริงในทางปฏิบัติต่อไป

เหตุการณ์น้ำท่วมใหญ่ในปี 2554 นี้ถือเป็นเครื่องพิสูจน์ถึงเรื่องการบริหารจัดการความเสี่ยงแบบบูรณาการของประเทศไทยอย่างแท้จริง โดยเฉพาะอย่างยิ่งการบริหารและการจัดการดำเนินธุรกิจอย่างต่อเนื่องในแง่มุมต่าง ๆ รวมทั้งเรื่องคอมพิวเตอร์ที่เกี่ยวกับการป้องกันในการประมวลงานต้องอาศัยการประมวลผลด้วยคอมพิวเตอร์นั้นมีปัญหา แม้ในขณะน้ำท่วมก็ตาม +++

 

Integrated Management / Audit and CAE – Chief Audit Executive ตอน 3

ท่านผู้อ่านมีความคิดเห็นอย่างไรบ้างครับ เมื่ออ่านจบตอนที่ 2 ในหัวข้อของ Integrated Management / Audit และเมื่อท่านได้อ่านเรื่อง GRC ซึ่งเป็นการหลอมรวมการบริหารจัดการของ Governance + Risk Management + Compliance ให้เป็นหนึ่งเดียว ภายใต้ร่มใบเดียวกัน มิใช่ภายใต้ร่มของแต่ละ G R C ซึ่งเป็นร่ม 3 อัน มารวมกัน เพราะในหลักการบริหารในการจัดการ GRC นั้น มีองค์ประกอบที่แตกต่างกับ G + R + C มากทีเดียว

วันนี้ ผมจะคุยในหัวข้อ Integrated Managment / Audit ต่อจากครั้งที่ 2 นะครับว่า มาตรฐานการปฏิบัติงานทางด้านคอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศทางการสื่อสาร (ICT) ที่เป็นสากล หรือที่เป็น Best Practice หรือ Good Practice ได้ถูกนำมาใช้ หรือถูกนำมาบังคับใช้อย่างหลีกเลี่ยงไม่ได้ และในกรณีที่การปฏิบัติงานไม่มีกรอบ Standard หรือ Best Practice ในเรื่องที่เกี่ยวข้อง ก็ต้องนำ Guideline ในเรื่องนั้น ๆ มาใช้ในทางปฏิบัติ เพื่อให้เกิดการยอมรับต่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและต่างประเทศ

Integrated Thinking แนวคิด หรือการคิดให้ครบจนจบความ / ครบถ้วน ความคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) การคิดให้ลึกเชิงวิเคราะห์ (Analytical Thinking) เพื่อให้เกิดความเข้าใจโดยรวมของทั้งระบบ (System Thinking) เพื่อก้าวสู่เป้าหมาย-วัตถุประสงค์อย่างเป็นระบบเพื่อการจัดการที่ดี (Systematic Thinking Approach) เพื่อให้เกิดความสมบูรณ์ ความครบถ้วน ความถูกต้อง ที่จะนำไปสู่ประสิทธิภาพและประสิทธิผลในการดำเนินงาน และยกระดับการแข่งขัน จึงเป็นเรื่องที่จำเป็นอย่างยิ่งของการบริหารองค์กรยุคใหม่ ที่นำไปสู่หลักการที่นำไปสู่กระบวนการบริหารที่รวมเป็นชุด ที่มีความสัมพันธ์กันและกันในองค์ประกอบหลักการบริหารด้านการกำกับดูแลกิจการที่ดี (Governance – CG + ITG) การบริหารความเสี่ยงระดับองค์กร (Risk หรือ ERM) และการปฏิบัติตามกฎเกณฑ์ และกติกาสังคม ทั้งในระดับประเทศ และระหว่างประเทศ (Compliance) เพื่อสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งในระยะสั้นและระยะยาว ที่เรียกว่า GRC จึงเกิดขึ้น และเป็นแนวการบริหารยุคใหม่ล่าสุดที่จะยั่งยืนไปอีกนานแสนนาน

อย่างไรก็ดี การก้าวสู่กระบวนขับเคลื่อนการบริหารที่เน้น “กระบวนการ” หรือ “Process” ที่หลอมรวมการบริหาร PPT หรือ People + Process + Technology ที่เน้น Operational Management และเป็น Core Function ในการผลักดันองค์กรไปสู่ Integrity – Driven Performance ภายใต้องค์ประกอบหลัก GRC เพื่อตอบสนองความต้องการของผู้มีผลประโยชน์ร่วมอย่างผสมผสานเป็นหนึ่งเดียวของธุรกิจนั้น จะเป็นสุดยอดของกระบวนการบริหารการจัดการ ที่องค์กรชั้นนำของโลกได้นำมาใช้ในการบริหารในปัจจุบัน และผู้กำกับ (Regulators) ได้นำกรอบแนวคิดนี้ไปใช้กับผู้ปฏิบัติ (Operators) ในองค์กรที่เกี่ยวข้อง เพื่อให้เกิดประสิทธิภาพการบริหารและการจัดการที่ดี เพื่อก้าวไปสู่ Corporate Governance หรือบรรษัทภิบาลที่เป็นรูปธรรม +++

ก่อนการก้าวสู่ GRC ตามวรรคต้น แนวความคิดในเรื่อง Integrated Thinking โดยการคิดให้ครบจนจนความ โดยดูเป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรส่วนใหญ่ ซึ่งจะกำหนดเป็นนโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่ท้าทายต่อไป

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

ดังนั้น คณะกรรมการและผู้บริหารที่เกี่ยวข้อง รวมทั้ง คณะกรรมการตรวจสอบ CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ที่มีความเข้าใจภาพดังกล่าวข้างต้นไปในทิศทางเดียวกัน จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

ผมขอสรุปในตอนที่ 3 ในหัวข้อนี้ส่งท้ายเป็นการเบื้องต้น แต่มิใช่ตอนจบนะครับว่า Integrated Thinking ที่นำไปสู่ Integrated Management / Audit สามารถสร้าง Value Added และ Value Creation ได้มากกว่า Silo – Based มากนักนั้น เป็นเพียงก้าวหนึ่งในก้าวแรก ๆ เพื่อไปสู่ GRC เท่านั้นนะครับ

 

Integrated Management / Audit and CAE – Chief Audit Executive ตอน 2

จากแนวความคิดและการบริหารแบบ Silo – Based ที่องค์กรหลายแห่งก็ยังเป็นเช่นนี้อยู่ในปัจจุบัน ตามที่ได้กล่าวใน Integrated Audit ตอนแรกแล้วนั้นจนนำผู้อ่านมาสู่แนวคิด และแนวปฏิบัติที่สามารถสร้างศักยภาพ และ Value Creation รวมทั้ง ยกระดับการแข่งขันเพื่อการขับเคลื่อน หลักการธรรมมาภิบาลไปสู่การปฏิบัติจริงได้ดียิ่งขึ้น โดยใช้ Integrated Management ซึ่งเป็นขั้นตอนแรก ๆ ที่จะนำไปสู่ Integrity – Driven Performance หรือ GRC ต่อไปนะครับ

จากจุดอ่อนตามที่กล่าวในตอนที่ 1 แล้วนั้น ในทางปฏิบัติของหลาย ๆ องค์กร ทั้งภายในและต่างประเทศหลายแห่ง เกิดจากการบริหารและการจัดการที่มีแนวความคิดจากโครงสร้างขององค์กร ที่ส่วนใหญ่ยังแบ่งงานในลักษณะ Silo – Based นั่นคือ การแบ่งงานตามหน้าที่ หรือตาม Function มากกว่า การคำนึงถึงกระบวนการในการดำเนินงาน ที่ในปัจจุบันใช้คอมพิวเตอร์เข้าช่วยในแทบทุกองค์กร ซึ่งกระบวนการทำงานโดยใช้คอมพิวเตอร์ในขั้นตอนการปฏิบัติงานเป็นส่วนใหญ่นั้น จะมีลักษณะเป็น Integrated – Based ซึ่งอาจจะกล่าวโดยย่อได้คือ เป็นการดำเนินงานที่เชื่อมต่อ กระบวนการทำงานในแต่ละกิจกรรมและในแต่ละขั้นตอนเข้าด้วยกันอย่างต่อเนื่อง ภายในสายงานเดียวกันและข้ามสายงานอย่างอัตโนมัติ โดยเฉพาะอย่างยิ่ง ขั้นตอนการประมวลผล (Process) ซึ่งในขั้นตอนนี้ องค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ในวงการการเงิน การธนาคาร ตลาดหลักทรัพย์ บริษัทการบิน และการให้บริการแบบอัตโนมัติ ทั้งในลักษณะ Online และ Offline โดยเฉพาะอย่างยิ่ง การให้บริการที่เป็นลักษณะ One Stop Service จะมีลักษณะการใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงานเป็นส่วนใหญ่ และมีนัยสำคัญยิ่งต่อความพึงพอใจของลูกค้า และผู้ที่เกี่ยวข้องอย่างมีนัยสำคัญที่ไม่อาจปฏิเสธได้

ความเป็นจริงดังกล่าวตามวรรคต้น มีนัยสำคัญยิ่งต่อกระบวนการควบคุมความเสี่ยง ที่เกี่ยวข้องกับ IT Risk และ IT – Related Risk ที่มีผลต่อ Business Risk ที่เชื่อมโยงกับ Business Process และ Business Control และลึกลงไปถึง Application Control และ General Control ตามหลักการจัดการบริหารที่เป็นกระบวนการที่ใช้ Computer – Based เป็นหลักทั้งสิ้น

ถึงแม้บทบาทของคอมพิวเตอร์ และระบบอัตโนมัติจะมีความสำคัญยิ่งยวดเพียงใด และนับวันช่องว่างระหว่าง Technology Computer กับศักยภาพหรือ Competency ของบุคลากร ในระดับบริหารจนถึงระดับปฏิบัติการ มีช่องว่างเพิ่มขึ้นตามลำดับ นี่คือความเสี่ยงที่มีนัยสำคัญยิ่ง และมีผลสำคัญมากต่อกระบวนการตัดสินใจที่มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานที่แท้จริง ที่หลายองค์กรยังต้องการความเข้าใจอย่างลึกซึ้งถึงผลกระทบต่อ IT Risk ที่มีผลต่อ Business Risk และกระบวนการตัดสินใจของผู้บริหารในภาพโดยรวม

ผู้บริหารของหลายองค์กรส่วนใหญ่ มักจะมีความเข้าใจคลาดเคลื่อนว่า เรื่องของเทคโนโลยี การควบคุมทางเทคโนโลยี และการจัดการทางด้านเทคโนโลยี เป็นของ CIO – Chief Information Officer จึงมีการมอบหมายงานสำคัญ ๆ ในการตัดสินใจไปยัง CIO และ CIO เกือบทั้งหมดก็มอบความไว้วางใจต่อ ๆ ไปยังผู้ใต้บังคับบัญชา รวมทั้ง Outsource ที่เกี่ยวข้อง ซึ่งเพิ่มความเสี่ยงในกระบวนการตัดสินใจ อันเกิดจากผลกระทบของ IT Risk ซึ่งมีผลต่อ Enterprise Risk Management อย่างสำคัญยิ่ง ทั้ง ๆ ที่เรื่องนี้เป็นความรับผิดและความรับชอบ ซึ่งเรียกสั้น ๆ ว่าเป็น Accountability ของผู้บริหารระดับสูงสุด รวมถึงคณะกรรมการที่จะต้องกำหนดนโยบายในเรื่องที่เกี่ยวข้องกับ การบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ในภาพโดยรวมให้เป็นภาพเดียวกัน มิใช่เพียงมาเชื่อมกัน หรือ นำมาต่อกันในภายหลัง+++ เท่านั้น

ท่านคิดอย่างไรบ้างครับ เมื่อได้อ่านเรื่อง Integrated Management / Audit ซึ่งเป็นการผสมผสานการตรวจสอบ IT Audit และ Non – IT Audit เข้าด้วยกัน เป็นหนึ่งเดียวในเป้าประสงค์ของการตรวจสอบโดยรวม แต่อาจแยกการปฏิบัติหน้าที่ โดยมีแนวความคิดและการวางแผนการตรวจสอบที่เกี่ยวข้องกับ Audit Universe ในลักษณะการเชื่อมโยงความเกี่ยวพันกัน ระหว่างการควบคุมความเสี่ยงทางด้าน IT และ Non – IT ไปสู่เป้าประสงค์ของการตรวจสอบ เพื่อฝ่ายบริหารระดับสูงและคณะกรรมการที่เกี่ยวข้อง ได้ใช้รายงานนี้เพื่อการตัดสินใจที่ถูกต้องเป็นสำคัญ มิใช่เป็นเพียงการจัดทำรายงานด้าน IT และคำแนะนำจุดอ่อนที่เกี่ยวข้องกับการควบคุมความเสี่ยงทางด้าน ICT เท่านั้น เพราะผู้บริหารจะให้ความสนใจอย่างจำกัด

ดังนั้น ในทางตรงกันข้าม การตรวจสอบทางด้าน IT Audit การตั้งสมมุติฐานว่า IT Security Control น่าเชื่อถือได้ โดยไม่สนใจความเป็นจริงตามหลักการและกระบวนการตรวสอบทางด้าน IT Audit และผลกระทบที่เกี่ยวข้องกับ Business Process ที่กระเพื่อมมาถึง Business Objective จากข้อมูลทางการเงิน และสารสนเทศที่ไม่น่าเชื่อถือ หรือเชื่อถือได้อย่างจำกัด ก็เป็นความล้มเหลวของการตรวจสอบทางด้าน IT Audit ในมุมมองต่าง ๆ เป็นอย่างยิ่ง

ตัวอย่างดังกล่าวมีมากมาย ทั้งในและต่างประเทศ ที่ผมจะได้มีโอกาสเล่าสู่กันฟังในโอกาสต่อ ๆ ไป

 

Integrated Management / Audit and CAE – Chief Audit Executive ตอน 1

Asian CAE Leadership Forum 2010

ผมมีโอกาสได้ไปร่วมประชุม IIA Annual Conference and Asian CAE Forum ที่สิงคโปร์ ณ Resorts World Sentosa เมื่อวันที่ 29 ก.ย. – 1 ต.ค. 2553

สำหรับ Annual Conference 2010 เป็นหัวข้อของ Winning in the New Decade ซึ่งมี topic ที่น่าสนใจหลายเรื่องด้วยกัน เช่น
– The Future of Internal Auditing: A Global Perspective
– Revisiting Your Training & Staffing Needs – Who is The Future Internal Auditor?
– CAE Leadership: Meeting Challenges of New Decade
– Using Risk Analytics to Design Better Audits
– Arresting Corporate Fraud: What CAEs Should Know
– Optimising Your IA Function, Increasing Shareholders’ Value

จากเรื่องที่ผมได้ฟังในหัวข้อต่าง ๆ จากการประชุม ผสมผสานกับสิ่งที่ผมเข้าใจว่าทิศทางการตรวจสอบของผู้ตรวจสอบภายใน ในช่วงวันนี้ถึงวันข้างหน้าจะให้ความสนใจในเรื่องที่เกี่ยวข้องกับ IT Audit และ Non – IT Audit ที่เกี่ยวข้องกับ IT Risk และ Risk IT ที่มีผลกระทบต่อ Business Objective เป็นสำคัญ

ท่านผู้อ่านบางท่านอาจจะสงสัยว่า ทำไมผมจึงเอาหัวข้อนี้มาไว้ในเรื่องคุยกับผู้เขียน ทั้ง ๆ ที่เรื่องนี้เป็นหัวข้อที่เกี่ยวข้องกับเรื่อง Audit และเรื่องที่ผมไปประชุมที่สิงคโปร์นั้น ก็เป็นเรื่องที่เกี่ยวข้องกับ Audit ทั้งสิ้น

ผมขอทบทวนนะครับว่า Auditors ทำหน้าที่หลัก ๆ 2 ประการ คือ 1. Assurance 2. Consulting Service ให้กับองค์กร ในขณะที่ หน้าที่ทางด้าน Monitoring เป็นหน้าที่ของผู้บริหารขององค์กร ที่การทำหน้าที่ทั้ง 2 ดังกล่าวนั้น จะมีความสัมพันธ์ซึ่งกันและกัน ในมุมมองต่าง ๆ ของกระบวนการจัดการ ซึ่งมีบทบาทที่แตกต่างกันไป แต่มีวัตถุประสงค์ร่วมกันอย่างหนึ่งก็คือ การสร้างคุณค่าเพิ่มให้กับองค์กร และสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม (Stakeholders)

จากหลักการดังกล่าว หัวข้อต่าง ๆ ที่ปรากฎใน www.itgthailand.com นั้น ถึงแม้จะแตกต่างกันในชื่อ รวมทั้งสาระตามหัวข้อที่กล่าวนั้น แต่วัตถุประสงค์ร่วมของเว็บนี้ก็คือ เป็นเว็บเพื่อสังคมแห่งการเรียนรู้ สร้างความคิดอ่าน ที่สามารถสร้างคุณค่าเพิ่มได้ในระดับต่าง ๆ ทั้งภายในองค์กร และในระดับที่สูงขึ้นไป

วันนี้ ผมจึงขอนำสาระที่ได้จากการประชุมดังกล่าวมานำเสนอ ซึ่งเป็นเรื่องที่เกี่ยวข้องกับผู้บริหารงานตรวจสอบ หรือเรียกสั้น ๆ ว่า CAE มาไว้ในหัวข้อนี้ ซึ่งเรื่องที่กล่าวถึงนี้น่าจะเป็น trend ใหม่สำหรับงานบริหารการตรวจสอบที่มีแนวความคิดมาจาก การผสมผสานการตรวจสอบระหว่าง IT Audit และ Non – IT Audit ที่อยู่ภายใต้การบริหารงานตรวจสอบของ CAE และอยู่ภายใต้การกำกับดูแลของคณะกรรมการตรวจสอบ (Audit Committee) ซึ่งโดยปกติจะมีผู้แทนจากคณะกรรมการที่เป็นอิสระขององค์กรอย่างน้อย 3 ท่าน ที่อยู่ใน Audit Committee เป็นผู้ดูแลบริหารการตรวจสอบ

ในอดีตที่ผ่านมาและจนกระทั่งถึงทุกวันนี้ขององค์กรหลายแห่ง และอาจจะกล่าวได้ว่าองค์กรส่วนมากยังเข้าใจความหมายของ Integrated Audit และประโยชน์ของการตรวจสอบในลักษณะนี้ที่แตกต่างกันมาก จากการที่องค์กรไม่ได้มีการปฏิบัติที่เป็นรูปธรรมของการผสมผสานการตรวจสอบ และใช้ประโยชน์จากแนวคิดที่เป็นลักษณะ Interdependent Approach ของกระบวนการตรวจสอบ ระหว่าง IT Audit และ Non – IT Audit เข้ามาใช้เป็นพลังร่วม (Synergy)ในการขับเคลื่อนกระบวนการตรวจสอบ ไปสู่การจัดทำรายงานการตรวจสอบที่มีคุณภาพสูงสุด จากการหลอมรวมกระบวนความคิด ซึ่งนำไปสู่ความเข้าใจในการวางแผนการตรวจสอบ ที่คำนึงถึง Audit Universe หรือเรื่องที่ควรได้รับการทดสอบในภาพโดยรวมที่เกี่ยวข้อง ซึ่งจะเชื่อมโยงหรือมีผลกระทบต่อ กระบวนการจัดทำรายงาน ทั้งทางด้าน IT และ Non – IT ที่จะสัมพันธ์กับการควบคุมความเสี่ยง จาก Risk Universe ในแง่มุมต่าง ๆ ในมุมมองของ Business Balanced Scorecard และ Information Balanced Scorecard หรือแม้กระทั่งเป้าประสงค์หลักของการควบคุมความเสี่ยง ตามหลักการของ COSO – ERM ซึ่งก็ได้แก่ Strategic Risk – S, Operation Risk – O, Reporting Risk – R or F, Compliance Risk – C ที่ส่วนใหญ่จะเคยชินกันกับคำที่เรียกกันสั้น ๆ ว่า S – O – F – C

แนวทางการบริหารและการจัดการความเสี่ยงทั่วทั้งองค์กร ตามแนวทางของ COSO – ERM ที่นิยมใช้กันทั่วโลกและในประเทศไทยนั้น แทบจะไม่ได้กล่าวถึงผลกระทบ หรือ Impact จาก Risk IT และ IT Risk ที่มีผลต่อกระบวนการบริหารและการจัดการ รวมทั้งการจัดทำรายงานที่เป็นรูปธรรม ดังนั้น ในทางปฏิบัติ ผู้กำกับ ในฐานะ Regulators และผู้ปฏิบัติ ในฐานะ Operators ส่วนใหญ่จึงมองข้ามความสำคัญของกระบวนการระบุปัจจัยเสี่ยง จาก IT Risk ที่มีผลกระทบต่อกระบวนการควบคุม กระบวนการบริหาร และกระบวนการตัดสินใจ ซึ่งนำไปสู่ความเสี่ยงในการจัดการที่มีผลกระทบต่อประสิทธิภาพ และประสิทธิผลในการดำเนินงาน การทุจริต รวมทั้ง การลดโอกาสที่จะสร้างความเชื่อมั่น ความเชื่อถือ การสร้างคุณค่าเพิ่ม การสร้างความมั่นใจให้กับผู้มีผลประโยชน์ร่วม ทั้งภายในองค์กร และภายนอกองค์กร อย่างมีนัยสำคัญยิ่ง

ท่านผู้อ่านครับ การประชุมที่สิงคโปร์ครั้งนี้ ไม่มีหัวข้อที่เกี่ยวกับ Integrated Audit นะครับ ผมฟังหัวข้ออื่น ๆ ที่เกี่ยวข้องตามที่ได้กล่าวข้างต้นแล้วนำความเข้าใจดังกล่าวมาผสมผสานเป็นหัวข้อใหม่ ชื่อ Integrated Audit ที่มีความหมายและเข้าใจได้ในทันที สำหรับผู้ที่อยู่ในวงการบริหารการจัดการงานตรวจสอบ ซึ่งเป็นกระบวนการหนึ่งที่สำคัญมากต่อการสร้าง Business Value ให้กับองค์กรในแง่มุมต่าง ๆ เพื่อขับเคลื่อน Business Balanced Objectives หรือ Business Balanced Scorecard แล้วแต่กรณี

บทความเรื่องนี้จะนำเสนอในรูปแบบที่ให้แนวความคิดที่ผู้บริหาร ในฐานะที่ทำหน้าที่กำกับและติดตามผลการดำเนินงาน (Monitor) จากการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non -IT และ CAE รวมทั้งผู้ตรวจสอบภายใน ซึ่งทำหน้าที่ ในฐานะ Assurance และ Consulting Service ด้านต่าง ๆ นั้นมีความสัมพันธ์ซึ่งกันและกัน จะได้ประโยชน์จากแนวความคิดในลักษณะ Integrated Thinking ไปสู่การปฏิบัติในลักษณะ Integrated Doing เพื่อก้าวสู่หลักการใหญ่กว่า Integrated Management ก็คือ GRC ต่อไปครับ