การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (1)

สวัสดีครับทุกท่าน หลังจากที่ห่างหายจากการเล่าสู่กันฟังในเรื่องราวหรือหมวดหมู่ของ IT Audit และ Non-IT Audit กันมาพอสมควร ผมจำได้ว่ายังมีเรื่องราวต่าง ๆ อีกมากมายที่จะแบ่งปันประสบการณ์ความรู้ ในมุมองของการการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือ CSA / Controls Self Assessment ซึ่งได้คุยกันก่อนหน้านี้มาบ้างแล้ว โดยได้แบ่งเป็นตอน ๆ เพื่อให้ผู้สนใจและติดตามเรื่องราวของ CSA ได้เข้าใจและไม่เกิดความสับสนเกี่ยวกับการประเมินตนเองเพื่อควบคุมความเสี่ยง ทั้งนี้เพราะการประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดในหลาย ๆ ส่วนที่อาจกล่าวได้ว่าเกี่ยวข้องสัมพันธ์ เชื่อมโยง เหมือนหรือคล้ายคลึงกันกับการบริหารความเสี่ยงจนไม่สามารถแยกแยะออกจากกันได้ ซึ่งขึ้นอยู่การนำไปประยุกต์ใช้กับหน้าที่การปฏิบัติงาน หน่วยงาน/องค์กร หรือขึ้นอยู่กับมุมมองของระดับการบริหารส่วนไหน ระดับใด ที่ต้องการควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appitite) แต่ในหมวดหมู่นี้ผมจะขอกล่าวเน้นถึง CSA ในส่วนที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ มากกว่าในส่วนของการบริหารความเสี่ยงขององค์กรทั่วไปโดยรวม ซึ่งผมได้เล่าสู่กันฟังในหมวดหมู่ของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework หรือสามารถติดตามจากเอกสารที่ให้ Download นี้ครับ

การตรวจสอบภายในเป็นเรื่องราวของความสัมพันธ์กันระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยมีหลักพื้นฐานว่า “การประเมินความเสี่ยงเป็นหัวใจสำคัญของวิธีการประเมินตนเองทุกประเภท” การประเมินตนเองจึงมุ่งเน้นด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง อันจะช่วยให้เกิดความเข้าใจในความหมายของแนวคิดเหล่านี้ได้ง่ายและเร็วยิ่งขึ้น

CSA-Control Self Assessment ได้ให้ความหมายของวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงไว้ดังนี้
– วัตถุประสงค์ เป็นสิ่งที่องค์กรต้องการทำให้สำเร็จ (เป็นผลสำเร็จที่องค์กรต้องการ)
– ความเสี่ยง เป็นอุปสรรค/สิ่งกีดขวางทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้ได้
– การควบคุมความเสี่ยง เป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้โดยการบริหารจัดการกับความเสี่ยงเหล่านั้น

แม้ว่าความหมายข้างต้นจะนิยมใช้กันอย่างกว้างขวาง แต่ความหมายเหล่านี้ก็ยังขาดความเป็นทางการในกรอบการควบคุมความเสี่ยงอยู่ การเข้าใจความหมายของแนวคิดเรื่องการควบคุม อาจศึกษาได้จากกระบวนการประเมินการควบคุมอันประกอบด้วยขั้นตอนต่าง ๆ ดังนี้
1. กำหนดวัตถุประสงค์ ควรกำหนดให้มีความชัดเจน สามารถทำความเข้าใจความหมาย ที่มาและคุณค่าได้ไม่ยากนัก เมื่อสามารถกำหนดวัตถุประสงค์ได้แล้วจึงนำไปสื่อสารให้แก่หน่วยงานต่างๆ ที่เกี่ยวข้องในองค์กรทราบ เพื่อให้มีความเข้าใจตรงกัน
2. การบ่งชี้ความเสี่ยง การระบุปัจจัยเสี่ยงที่อาจเป็นตัวขัดขวาง/อุปสรรคต่อการบรรลุวัตถุประสงค์
3. ระบุวิธีการควบคุมความเสี่ยงที่จะสามารถบรรเทาความเสี่ยงลงได้
จากขั้นตอนต่าง ๆ ข้างต้น เราอาจอธิบายง่าย ๆ ได้ว่า การควบคุมเริ่มจากการกำหนดวัตถุประสงค์ โดยระดมผู้มีส่วนร่วมมาช่วยกันวิเคราะห์และหาข้อสรุปออกมา เมื่อกำหนดวัตถุประสงค์ออกมาได้แล้ว ขั้นตอนต่อไปก็นำมาบ่งชี้ความเสี่ยงและระบุวิธีการควบคุมความเสี่ยงเหล่านั้นต่อไป

วัตถุประสงค์
ความหมายของคำว่า “วัตถุประสงค์” สามารถมองได้เป็นหลายมุมมอง เช่น
– เป็นผลลัพธ์ (Outcome) ที่องค์กรต้องการบรรลุผลสำเร็จในการดำเนินงาน
– เป็นก้าวแรกของการบริหารความเสี่ยง
– มิได้เป็นวิธีการ กระบวนการ หรือการดำเนินงานในเรื่องใดเรื่องหนึ่ง

วัตถุประสงค์เป็นหลักยึดสำหรับการวางแผน การจัดองค์กร การกำหนดวิธีการปฏิบัติงานและการควบคุมการดำเนินงาน ถ้าขาดวัตถุประสงค์ที่ชัดเจนและขาดการสื่อสารอย่างทั่วถึงย่อมจะสร้างความสับสนในการทำงานของบุคลากรทุกระดับ ดังนั้นผู้บริหารจึงควรใช้วัตถุประสงค์ให้เป็นประโยชน์ดังนี้
1. เป็นแนวทางการตัดสินใจ
2. เป็นแนวทางในการเพิ่มพูนประสิทธิภาพขององค์กร
3. เป็นแนวทางในการประเมินผลการปฏิบัติงาน

การเข้าใจความหมายของวัตถุประสงค์ย่อมช่วยให้สามารถบรรลุผลสำเร็จตามที่กำหนดไว้ได้ง่ายกว่าการเน้นที่วิธีการในการบรรลุวัตถุประสงค์ การกำหนดวัตถุประสงค์ไว้สูงเกินไปจะทำให้บรรลุวัตถุประสงค์ได้ยาก และยังเกิดความเสียเวลาในการทำความเข้าใจความหมาย ที่มา และคุณค่าของวัตถุประสงค์ ซึ่งอาจทำให้เราไม่สามารถบรรลุวัตถุประสงค์ที่ต้องการได้เลย เมื่อวัตถุประสงค์เป็นผลลัพธ์ที่องค์กรต้องการบรรลุผลสำเร็จ เปรียบเสมือนเส้นชัยขององค์กรที่ทุกฝ่ายต้องร่วมมือกันฟันฝ่าไปให้ถึง ดังนั้นทุกฝ่ายในองค์กรจึงต้องทำความเข้าใจถึงความหมาย ที่มา ของวัตถุประสงค์ให้ชัดเจนว่าวัตถุประสงค์เหล่านี้ถูกกำหนดมาขึ้นมาอย่างไร

ในองค์กรธุรกิจที่มีทีมงานที่มีกระบวนการกำหนดวัตประสงค์ที่ดี และเห็นว่าวัตถุประสงค์มีส่วนสำคัญที่จะช่วยในการดำเนินธุรกิจ ย่อมเป็นองค์กรที่มีความเหมาะสมในการนำการประเมินตนเองเพื่อการควบคุมความเสี่ยงไปใช้ปฏิบัติ ในการกำหนดวัตถุประสงค์ที่ดีควรต้องมีการพิจารณาให้รอบคอบและมีความเหมาะสมกับองค์กรในขณะนั้น โดยต้องระดมความคิดเห็นของบุคลากรหลาย ๆ ฝ่ายเพื่อช่วยในการกำหนดวัตถุประสงค์ วัตถุประสงค์จึงเป็นผลลัพธ์ที่องค์กรต้องการไม่ใช่วิธีการในการทำให้ผลลัพธ์นั้นบรรลุผลสำเร็จ ซึ่งได้มีการแยกความแตกต่างระหว่างวัตถุประสงค์และวิธีการบรรลุวัตถุประสงค์ออกมาให้เห็นภาพชัดเจนขึ้น ดังนี้

วัตถุประสงค์และวิธีการบรรลุวัตถุประสงค์

คำถามที่ใช้ในการแยกวัตถุประสงค์ออกจากวิธีการบรรลุวัตถุประสงค์ ได้แก่
1. เป็นผลลัพธ์สุดท้ายที่ต้องการหรือไม่
2. เป็นหนทางในการบรรลุวัตถุประสงค์หรือเป็นวัตถุประสงค์จริง
3. เป็นวิธีการหรือผลลัพธ์
4. ทำไมต้องทำสิ่งนั้น

ข้อผิดพลาดทั่วไปในการระบุวัตถุประสงค์
1. ระบุวิธีการ (งบประมาณหรือการอนุมัติ) เป็นผลลัพธ์
2. ผิดพลาดในการพิจารณารูปแบบของวัตถุประสงค์ทั้งหมด
3. ผิดพลาดในการพิจารณาความสัมพันธ์ระหว่างวัตถุประสงค์ซึ่งอาจไม่เกี่ยวข้องสัมพันธ์กัน หรือมีความขัดแย้งกัน

วัตถุประสงค์ระดับสูงขององค์กรโดยรวมบางข้ออาจไม่สามารถประยุกต์ใช้ได้เท่าเทียมกันในทุกแผนก ตัวอย่างเช่น
– วัตถุประสงค์ด้านการเพิ่มรายได้ต้องประยุกต์ใช้กับหน่วยงานที่รับผิดชอบงานด้านการขาย
– วัตถุประสงค์ด้านการลดค่าใช้จ่ายต้องประยุกต์ใช้กับหน่วยงานที่ต้องดูแลด้านค่าใช้จ่ายจำนวนมาก

ลำดับขั้นของวัตถุประสงค์
การกำหนดวัตถุประสงค์อาจไม่จำเป็นต้องกำหนดไว้เพียงขั้นเดียว อาจสามารถกำหนดไว้เป็นลำดับขั้นเพื่อให้เหมาะสมกับผู้ที่เกี่ยวข้องหรือผู้ที่รับผิดชอบดังนี้
1. วัตถุประสงค์ขององค์กรโดยรวม ถือเป็นวัตถุประสงค์หลักที่ผู้บริหารระดับสูงได้ตัดสินใจกำหนดขึ้น อันจะมีผลบังคับใช้ทั่วทั้งองค์กร เป็นวัตถุประสงค์สูงสุดที่แสดงจุดมุ่งหมายอันเป็นผลลัพธ์ขั้นสุดท้าย ที่ถือเป็นวัตถุประสงค์ร่วมของทุกหน่วยงาน
2. วัตถุประสงค์ของหน่วยงานระดับฝ่าย ถือเป็นวัตถุประสงค์เฉพาะด้านที่ผู้บริหารระดับกลางโดยคำปรึกษา (แนะนำ หรือชี้นำ สุดแล้วแต่กรณี) ของผู้บริหารระดับสูงจะตัดสินใจกำหนดขึ้น เพื่อใช้เป็นเป้าหมายในการดำเนินงานของแผนกต่าง ๆ ในหน่วยงาน หากทุกหน่วยงานสามารถทำงานให้บรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนด ก็จะทำให้กิจการโดยรวมบรรลุวัตถุประสงค์ไปด้วย
3. วัตถุประสงค์ย่อย เป็นการกำหนดวัตถุประสงค์ของงานประจำหรืองานเฉพาะโครงการ ที่สอดรับกับวัตถุประสงค์หลักและวัตถุประสงค์เฉพาะระดับฝ่ายงานดังที่กล่าวแล้ว การตัดสินใจที่จะกำหนดวัตถุประสงค์ระดับนี้ เป็นความรับผิดชอบของนักบริหารระดับกลาง ร่วมกับนักบริหารระดับต้นโดยความเห็นชอบ หรือการรับรู้ของนักบริหารระดับสูง

ลักษณะของวัตถุประสงค์ที่ดี (SMART principle)
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้นำไปปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน ต้องไม่ทำให้ผู้ปฏิบัติตีความหมายของวัตถุประสงค์ได้หลายทาง เพราะจะทำให้เกิดความสับสนเพราะถ้าแต่ละคนตีความหมายออกมาไม่เหมือนกัน การนำไปปฏิบัติอาจไม่สอดคล้องไปในแนวทางเดียวกัน จึงอาจเกิดความขัดแย้งกันจนทำให้ไม่สามารถบรรลุวัตถุประสงค์ได้
2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือ ในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย เพราะถ้าเรากำหนดวัตถุประสงค์ไว้โดยไม่สามารถวัดผลได้ เราย่อมไม่สามารถรู้ได้แน่ชัดว่าเราได้ดำเนินการมาถึงขั้นใดแล้ว และเมื่อใดจึงจะเรียกว่าบรรลุผลสำเร็จ
3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ นั่นคือ ในการกำหนดวัตถุประสงค์นั้น ไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ เพราะจะทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะไม่ว่าจะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรม เพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกัน คือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้
4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความเป็นเหตุเป็นผล และมีความเป็นจริง
5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

กรอบของวัตถุประสงค์หลักขององค์กรโดยทั่วไป
1. เพื่อให้เกิดประสิทธิผลและประสิทธิภาพในการทำงาน
– สร้างผลิตภัณฑ์และให้บริการที่เป็นเลิศ
– สร้างผลกำไรสูงสุด และมีต้นทุนต่ำที่สุด เพื่อเพิ่มคุณค่าทางเศรษฐศาสตร์ต่อผู้มีผลประโยชน์ร่วม
– จัดให้มีกระบวนการทำงานแบบสอดประสานทั่วทั้งองค์กรภายใต้ระบบเทคโนโลยีที่ดี คุ้มค่าเงินตามโครงสร้างที่สัมพันธ์กับระบบงานอย่างแท้จริง
– การรักษาและสร้างคุณภาพ คุณค่าเพิ่มจากสินทรัพย์ที่มีตัวตนและไม่มีตัวตนอย่างรู้คุณค่าของ Value และ Hidden Value (จากลักษณะธุรกิจ พนักงานและสารสนเทศ)
– เสริมสร้างและมีส่วนช่วยให้องค์กรบรรลุภารกิจและวิสัยทัศน์ตามที่กำหนด
– จัดให้มีสภาวะแวดล้อมที่เหมาะสมต่อพนักงานและผู้มีผลประโยชน์ร่วม
2. ความน่าเชื่อถือของระบบรายงาน
– รายงานที่ใช้ภายในองค์กรประเภทต่าง ๆ ที่ใช้ในการตัดสินใจ
– รายงานที่ใช้ภายนอกองค์กรเพื่อผู้ถือหุ้น ผู้กำกับดูแล และผู้มีผลประโยชน์ร่วม
– รายงานเกี่ยวกับการบริหารและการดำเนินงาน
3. การปฏิบัติตามกฎต่าง ๆ
– ตามกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบการปฏิบัติ ฯลฯ จากภายนอก
– ตามนโยบาย ระเบียบ คำสั่ง ข้อบังคับ ขั้นตอนการปฏิบัติงานภายในองค์กร

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: