NEW MANAGEMENT FORUM

Central Knowledge Society

GRC : Effective Governance, Risk and Compliance Management , Part II

สวัสดี ครับ

วันนี้ ขอคุยกันต่อเรื่อง GRC นะครับ จะได้จบเรื่องนี้กันไประดับหนึ่งก่อนและให้หน่วยงานต่างๆ เริ่มทำความเข้าใจเกี่ยวกับ GRC ให้ตรงกันมากขึ้น และเตรียมความพร้อมสำหรับการปรับปรุงองค์กรให้พร้อมใช้งาน GRC ต่อไป

เริ่มกันเลยนะครับ จากมุมมองของการกำกับดูแลกิจการ (G) ระดับ 3  องค์กร มีหน้าที่ มุ่งเน้นในเชิงรุกในการดำเนินงานและกระบวนการบริหารความเสี่ยงและการกำหนดกระบวนการดำเนินงานจากมุมมองของความเสี่ยง (R)    ระดับ 3 องค์กรมีพันธกิจที่จะต้องบรรลุเป้าหมายของการจัดการความเสี่ยง : ด้วยการทำการประเมิน,  ทำการวิเคราะห์ แก้ไข และตัดสินใจจากมุมมองของการปฎิบัติตาม (C)  ในระดับ 3 องค์กร คือ เชิงรุกในการบรรลุเป้าหมายของการระบุและการประชุมการกำกับดูแลตามภาระหน้าที่

การบริหารจัดการ GRC  คือ บทบาทของการควบคุมด้วยการสร้างตัวควบคุมที่ใช้ในการบริหารจัดการความเสี่ยงที่ระบุความสามารถในการควบคุมตามขั้นตอนของวัตถุประสงค์ หรือ เครื่องมือ หรือที่รวมกันเหล่านี้  การดำเนินการควบคุมอย่างยั่งยืนสำหรับองค์กรของคุณจะต้องขึ้นอยู่กับปัจจัยต่างๆ อาทิ  กฏ ระเบียบในการกำกับดูแลของหน่วยงานภาครัฐ  วัฒนธรรมองค์กร  โครสร้างการพึ่งพาด้านไอที (insourceก หรือ outsourced) และความมุ่งมั่นของผู้บริหารระดับสูง

ความหลากหลายของแหล่งที่มาใช้เพื่อช่วยในการกำหนดการควบคุมที่เหมาะสม เช่น มาตรฐาน ISO/IEC 27002:2005   รหัสของการปฎิบัติสำหรับการจัดการความปลอดภัยข้อมูล และ NIST SP 800-53 แนะนำการรักษาความปลอดภัยสำหรับระบบสารสนเทศแห่งชาติ สามารถใช้ในการระบุตัวควบคุมที่เหมาะสม คำแนะนำสำหรับหน่วยงานที่กำกับดูแลจากภาครัฐ  ที่ยังให้ความช่วยเหลือและการสนับสนุนในการกำหนดกฎระเบียบควบคุมที่เหมาะสม เป็นต้น

กรอบการบริหารจัดการ GRC

การควบคุมจะไม่เกิดขึ้นแบบอิสระ เพราะจะมีผลกระทบมากที่สุดกับการควบคุมและ/หรือมีความสัมพันธ์กับการควบคุมอื่นๆ เนื่องจากตัวควบคุมไม่เป็นอิสระ ดังนั้นพวกเขาไม่สามารถจัดการความเสี่ยงดังกล่าวได้แบบเฉพาะกิจ จึงเป็นสิ่งสำคัญที่จะต้องสร้างกรอบแนวความคิดเกี่ยวกับการควบคุมที่เป็นกรอบแนวทางปฎิบัติ

เมื่อองค์กรได้กำหนดแนวทางการควบคุมที่พวกเขาต้องตามกรอบโครงสร้างการจัดการที่ขึ้นอยู่กับวัตถุประสงค์ของการควบคุม เช่น การพิจารณาวัตถุประสงค์การจัดตั้งองค์กร และกรอบแนวทางในการบริหารจัดการด้านความเสี่ยงด้านปฎิบัติการ เพื่อตอบสนองวัตถุประสงค์ของการควบคุมและจำเป็นจะต้องมีการประเมินผลการปฎิบัติงาน นอกจากนี้การปฎิบัติเพื่อควบคุมความเสี่ยงมักจะมีความสับสนกับนโยบายของผู้บริหารบางท่านและองค์กรในบางประเด็น

ตัวอย่างของกรอบด้านการบริหารความเสี่ยง :  COSO – Internal Control-Integrated Framework, COSO Enterprise Risk Management – Integrated Framework and COBIT – Control Objectives for Information and related Technologies

กรอบใดๆ ก็ตามที่สร้างขึ้นมาเพื่อครอบตัว คน  กระบวนการ และเทคโนโลยี จะต้องมีการบริหารจัดการอย่างต่อเนื่อง ดังนี้

    ประเมินสิ่งที่จะต้องปัองกันและลดความเสี่ยงโดยการใช้ระบบที่เหมาะสมและมีกระบวนการตรวจสอบที่ดี มีความชัดเจน เพื่อสร้างความมั่นใจว่ามีระดับการควบคุมที่เพียงพอ สามารถตอบสนองการละเมิดและมีกระบวนการพัฒนาอย่างต่อเนื่อง

  • การประเมินสิ่งที่จะต้องป้องกัน
  • การลดความเสี่ยงโดยการปรับใช้ระบบ และกระบวนการที่เหมาะสม
  • ตรวจสอบระบบและกระบวนการเพื่อให้มั่นใจว่ามีการควบคุมที่เพียงพอ
  • ตอบสนองต่อการรั่วไหลและการปรับปรุงกระบวนการ

การใช้การควบคุมที่ดีที่สุดสำหรับกรอบที่องค์กรพัฒนาต้องมีความสมเหตุสมผล และการควบคุมที่เหมาะสมที่อยู่บนระดับความเสี่ยงต่ำ ที่คาดว่าจะจัดระเบียบให้เป็น

การเลือกตัวควบคุมกรอบขององค์กรจะต้องมีการพิจารณาถึงการพัฒนายุทธศาสตร์ที่เหมาะสมและระดับการควบคุมที่เหมาะสม  รวมทั้งสามารถลดความเสี่ยงได้อย่างสมเหตุสมผล นอกจากนี้จะต้องมีการจัดระเบียบของเอกสารและโปรแกรมในเชิงรุก  กระบวนการบริหารจัดการแบบ GRC จะขึ้นอยู่กับการบูรณาการของส่วนประกอบการบริหารจัดการต้นทุนทั้งหมดที่มีประสิทธิภาพ  แนวทางการดำเนินธุรกิจที่สามารถระบุขอบเขตการทำงานได้ และการบริหารจัดการที่ไม่ใช่การปฎิบัติในระยะยาว

การบริหารจัดการแบบ GRC : การประเมินความเสี่ยง

เป็นการปฎิบัติร่วมกันหลายวิธีของการประเมินความเสี่ยงในการดำเนินงาน คือ การพิจารณาความน่าจะเป็นหรือ ความน่าจะป็นของประเภทความเสี่ยงต่างๆ แล้วพิจารณาผลกระทบทางการเงินของพวกเขา หลายวิธีการเหล่านี้ให้ข้อมูลเชิงลึกที่จำกัด เพราะสมมติฐานที่จำเป็นกว้างมากเพื่อที่จะให้พวกเขาทำงานได้  บ่อยครั้งที่การประเมินเหล่านี้จะเกิดขึ้นในแบบแฟชั่นและรวมเป็นองค์กร  ซึ่งโดยปกติแล้การประเมินเหล่านี้จำเป็นจะต้องมีความเข้าใจที่ชัดเจนและสอดคล้องกับวิธีการดำเนินงาน   ผลกระทบต่อประสิทธิภาพทางการเงิน  ซึ่งสิ่งสำคัญที่สมมติฐานที่เกี่ยวข้องกับความสัมพัน
ธ์เหล่านี้เป็นเหตุและผล ที่จะไม่สอดคล้องกันกับหลายเหตุการณ์ความเสี่ยงที่ประเมิน  นอกจากนี้จะต้องมีการมองเห็นอย่างชัดเจนใน “Risk Matrix” ของสิ่งเหล่านี้ในรูปแบบความสัมพันธ์ระหว่างสาเหตุและผลกระทบ

กระบวนการจัดการแบบ GRC :  ตัวบ่งชี้ประสิทธิภาพที่สำคัญและตัวชี้วัดความเสี่ยงที่สำคัญ

ตัวบ่งชี้ประสิทธิภาพที่สำคัญยังเป็นที่รู้จัก (KPI) หรือ Key Success Indicators (KSI) เป็นตัวชี้วัดของวิธีการที่ดีบางสิ่งบางอย่างที่จะถูกทำ หลังจากมีการระบุผู้มีส่วนได้ส่วนเสียและเป้าหมายที่กำหนดตามความต้องการที่จะกำหนดวิธีการวัดความก้าวหน้า และเป้าหมายตัวบ่งชี้ที่มีประสิทธิภาพที่สำคัญ คือ การกำหนดเกณฑ์วัดประสิทธิภาพเหล่านั้น ที่พวกเขาจะต้องวัดในเชิงปริมาณที่มีการตกลงร่วมกันกับหน่วยงานภายนอก และทีมงานผู้ประเมินภายใน และจะต้องสะท้อนให้เห็นถึงปัจจัยความสำเร็จที่สำคัญขององค์กร

ตัวบ่งชี้ที่มีความเสี่ยง (Key Risk Indicator : KRI) เป็นตัวชี้วัดที่ใช้ในการจัดการข้อมูลเพื่อระบุว่ามีความเสี่ยงและองค์กรส่วนใหญ่จะนิยมไปใช้ในการวัดประสิทธิภาพในการบริหารจัดการทางการเงิน เพื่อนำมาปรับปรุงมาตรการหลักในการทำงาน  แต่ตัวชี้วัดเหล่านี้มีข้อจำกัด เพราะพวกเขาจะวัดแค่ความเสี่ยงทางการเงินไม่ได้ ในทางธุรกิจแล้ว ตัวชี้วัดจะสร้างขึ้นมาเพื่อวัดค่าประสิทธิภาพการดำเนินงานของทั้งองค์กร ดังนั้นในการกำหนดเลือกตัวดัชนี หรือ ตัวชีัว้ด ก็จำเป็นจะต้องมีการกลั่นกรองการเลือกตัวชี้วัดให้มีความสมบูรณ์ถูกต้อง และเหมาะสม

การบริหารจัดการแบบ GRC การบริหารขั้นตอนการประเมินและกระบวนการแสดงผลการประเมิน

การแสดงผลการประเมินที่สำคัญๆ เป็นประจำ คือ สิ่่งที่สำคัญมากและจำเป็นสำหรับการบริหารแบบ GRC ซึ่งการประเมินผลควรจะรวมถึงขั้นตอนเหล่านี้ :

  1. ขั้นตอนการรวบรวมทรัพยากรที่สำคัญ และจำเป็นจะต้องเฝ้าติดตาม
  2. กระบวนการบริหารจัดการสินค้าคงคลัง หรือ กระบวนการทำงานแบบอัตโนมัติและกึ่งอัตโนมัติ
  3. การจัดลำดับความสำคัญของเหตุการณ์วิกฤติ
  4. การพัฒนาและกำหนดกลุ่มของตัวชี้วัด
  5. ระยะเวลาในการวัดผลและการรายงานผลลัพธ์
  6. การตรวจสอบและการตอบสนองต่อความเสี่ยงที่ลดลง

การบริหารจัดการรูปแบบ GRC : จะเป็นการบริหารจัดการแบบอัตโนมัติ 

นอกเหนือจากการพัฒนาองค์ประกอบที่เหมาะสมในการบริหารจัดการรูปแบบ GRC แล้วองค์กรจะต้องแสวงหาการบริหารจัดการค่าใช้จ่ายที่มีประสิทธิภาพในการทำกิจกรรมต่างๆ ของพวกเขา  ดังนั้น GRC ต้องทำงานแบบอัตโนมัติเพื่อความสะดวกในการบริหารค่าใช้จ่ายของความพยามลดความเสี่ยง ด้วยการจัดทำคู่มือการบริหารจัดการ GRC เพื่อเพิ่มความน่าเชื่อถือของผลการดำเนินงานตามแบบ GRC ผ่าน Workflow ของพวกเขา (ซึ่งอาจจะใช้ระบบเทคโนโลยีสารสนเทศช่วยในการบริหารจัดการ ในรูปแบบ Web-based และแจ้งผ่านอีเมล์ อัตโนมัติ)  เพื่อยกระดับการแจ้งเตือนและฐานข้อมูลกลางในการก็บรวบรวมเอกสารหลักฐานที่สามารถปรับปรุงคุณภาพของผลลัพธ์ที่สามารถส่งมอบการทำซ้ำและสม่ำเสมอของกระบวนการ

สุดท้ายนี้ เราขอจบเรื่องการบริหารจัดการในรูปแบบ GRC ไว้เพียงเท่านี้ก่อนนะครับ และจะหาเวลามาเล่าให้ฟังเกี่ยวกับ GRC อีกครั้งในคราวต่อๆ ไป  ส่วนองค์กรรัฐวิสาหกิจใด สนใจอยากเชิญให้ผมไปเล่าให้ฟังเกี่ยวกับการกำหนดแนวทางในการบริหารจัดการด้าน GRC ที่เหมาะสมกับองค์กรของท่าน ขอให้ติดต่อมาได้ครับ ติดต่อ คุณเอกกมล   เอี่ยมศรี โทรศัพท์ 081 588 1532  หรือ อีเมล์ info@interfinn.com ครับ 

ขอให้ทุกๆ ท่านมีความสุขสมหวังทุกประการครับ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

http://eiamsri.wordpress.com 

About these ads

ตุลาคม 3, 2012 - Posted by | Risk Management

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

ติดตาม

Get every new post delivered to your Inbox.

Join 628 other followers

%d bloggers like this: