Digital Economy in Thailand – เศรษฐกิจดิจิตอล (ตอนที่ 14)

กุมภาพันธ์ 22, 2016

Digital Economy กับความเสี่ยงในการบริหารจัดการ IT ระดับประเทศ และในระดับองค์กร

ผมได้เล่าและออกความคิดเห็นในเรื่องที่เกี่ยวข้องกับ การพัฒนาเศรษฐกิจดิจิตอล (Digital Economy) ที่รัฐบาลกำลังขับเคลื่อนอยู่ มาถึงตอนที่ 14 แล้วนั้น ผมตั้งใจว่าอีกไม่เกิน 2 ตอน ก็จะจบความคิดเห็นที่เกี่ยวกับการชี้ประเด็นที่อาจจะเกิดปัญหา (Pain Point) ในกระบวนการกำกับ การบริหารจัดการ โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับการควบคุมกำกับดูแล การบริหารจัดการ IT ระดับประเทศ และในระดับองค์กรที่เกี่ยวข้อง ในเรื่องของ องค์ประกอบหลัก ๆ 3 อย่าง ได้แก่ การประเมิน การสั่งการ และการเฝ้าติดตาม ในการสร้างความเข้าใจ และความมั่นใจในการกำหนดกรอบการดำเนินงาน ความมั่นใจในการส่งมอบผลประโยชน์ ความมั่นใจในกระบวนการบริหารความเสี่ยงที่เหมาะสม ความมั่นในใจการใช้ทรัพยกรให้ได้ประโยชน์สูงสุด และกรบวนการความมั่นใจในความโปร่งใสต่อผู้มีส่วนได้เสีย ซึ่งองค์ประกอบหลักทั้ง 5 จะต้องมีการเชื่อมโยงกันอย่างเป็นบูรณาการสมบูรณ์แบบ ที่หน่วยงานกำกับภาครัฐ ควรจะมีความเข้าใจตรงกันกับความต้องการของผู้มีส่วนได้เสีย ทั้งภายในและภายนอกอย่างแท้จริง โดยเฉพาะอย่างยิ่ง การประเมินผล การสั่งการ และการเฝ้าติดตาม ความมั่นใจกระบวนการบริหารความเสี่ยงและการควบคุมอย่างเหมาะสม

วรรคข้างต้น คือกระบวนการต่าง ๆ สำหรับการควบคุมในมุมมองของการกำกับดูแลที่ดี (Governance) ที่ทุกกระบวนการจะต้องมีการประเมิน สั่งการ และเฝ้าติดตาม ให้แน่ใจว่า ปัจจัยเอื้อที่เกี่ยวข้อง ซึ่งผมได้กล่าวไว้ในตอนต้น ๆ แล้วนั้น มีการบริหารความเสี่ยง และการควบคุมที่เหมาะสมอย่างแท้จริง เพื่อก่อใเห้เกิดแนวปฏิบัติที่ดี โดยเฉพาะอย่างยิ่ง โครงสร้างและกรอบการดำเนินงานที่ควรกำหนดเป็น Mindmap ในระดับมหภาคและจุลภาคที่มีต่อการพัฒนาเศรษฐกิจดิจิตอล ทั้งนี้ กระบวนการของการกำกับดูแล จะต้องกำกับการบริหารจัดการ IT ระดับประเทศและระดับองค์กร โดยมีหลักการ นโยบาย และกรอบการดำเนินงานที่ชัดเจน ตามความคิดของผม หลักการบริหารจัดการ IT ในระดับประเทศ และระดับองค์กร รวมทั้งการบริหารความเสี่ยง ที่ต้องการการควบคุมอย่างเหมาะสม และการใช้ทรัพยากรที่เหมาะสม ที่เป็นที่ยอมรับกันทั่วโไป และเป็นสากล ที่ผมได้นำเสนอมาตั้งแต่ตอนที่ 1 – ตอนที่ 14 นี้ นั้น ผมได้ใช้หลักคิด หลักการและหลักปฏิบัติ ตามแนวทางของ COBIT5 ที่ใช้สำหรับการกำกับดูแล และการบริหารจัดการ IT ที่สามารถประยุกต์นำไปใช้กับโครงการ Digital Economy ได้อย่างมั่นใจ เพราะ COBIT5 มีกรอบของการกำกับดูแลที่ดี มิใช่เฉพาะทางด้านได้ แต่เป็นกรอบการดำเนินงานทางธุรกิจ ที่สามารถนำไปใช้กับการบรรลุเป้าหมายทางด้านเศรษฐกิจ การเงิน การบริการ และกระบวนการอื่น ๆ ที่เกี่ยวข้อง ที่เป็นตัวขับเคลื่อนความสำเร็จตามนโยบายเศรษฐกิจดิจิตอลของรัฐบาลได้อย่างมั่นใจ

กรอบการดำเนินงาน การกำกับ ตามนโยบายเศรษฐกิจดิจิตอลนั้น อาจพิจารณาได้จาก ชุดผลิตภัณฑ์ ต่าง ๆ ที่อาจนำไปประยุกต์ใช้ได้ดังนี้

  • COBIT5 กรอบดำเนินงาน (Framework)
  • COBIT5 แนวทางสำหรับปัจจัยเอื้อ (Enabler Guide) ซึ่งอธิบายในรายละเอียดถึงปัจจัยด้านการกำกับดูแล และการบริหารจัดการ อันประกอบด้วย

– COBIT5: การสัมฤทธิ์ผลของกระบวนการ (Enabling processes)

– COBIT5: การสัมฤทธิ์ผลของสารสนเทศ (Enabling Information)

– แนวทางของปัจจัยเอื้อ (Enabler guide) อื่น ๆ

  • COBIT5 แนวทางด้านวิชาชีพ (Professional guides) ประกอบด้วย

– COBIT5 การนำไปใช้งาน (Implementation)

– COBIT5 สำหรับความมั่นคงปลอดภัยของสารสนเทศ (for information security)

– COBIT5 สำหรับการให้ความเชื่อมั่น (for Assurance)

– COBIT5 สำหรับความเสี่ยง (for Risk)

– แนวทางด้านวิชาชีพอืน ๆ ที่ทุกอาชีพจะเกี่ยวข้องกับกรอบการดำเนินงานตาม COBIT5 ทั้งสิ้น เพราะ COBIT5 ได้นำมาตรฐานต่าง ๆ เข้ามาเชื่อมโยงกันได้อย่างลงตัว

  • สภาพแวดล้อมที่เป็นความร่วมมือกันทางออนไลน์ ซึ่งจะจัดให้มีขึ้นในอนาคตเพื่อสนับสนุนการใช้ COBIT5

ความเข้าใจของการกำกับดูแลกิจการที่ดี กับความสำเร็จตามนโยบายเศรษฐกิจดิจิตอล

ผมตั้งใจจะขมวดเรื่องที่มีอยู่มากมายภายใต้กรอบของการกำกับดูแลกิจการที่ดี ทั้งทางด้าน IT และทางด้านธุรกิจ ซึ่งแน่นอนว่าเกี่ยวข้องกับ Digital Economy ด้วย มานำเสนอให้ท่านผู้อ่าน ได้เข้าใจและเห็นความสำคัญของ Integrated Thinking, Integrated framework, Integrated Governance, Integrated Management, Integrated Risk and Control, Integrated Processes และทุกเรื่องที่เกี่ยวข้องกับหลักการ Governance และการสร้างคุณค่าเพิ่ม ตามที่ได้กล่าวมาแล้วในตอนที่ผ่านมา ซึ่งผมจะขออธิบายด้วยแผนภาพ แทนคำบรรยาย ซึ่งจะสื่อความหมายและความเข้าใจได้ดีกว่ากันมาก ที่เป็นเรื่องสำคัญยิ่งก่อนนำไปสู่กระบวนการวางแผนและ/หรือปรับปรุงโครงการเศรษฐดิจิตอลของรัฐบาล

ภาพนิ่ง1

การมองภาพใหญ่ควรจะสร้าง Mind Map ซึ่งเป็นแผนที่ความคิด หรือผังที่แสดงการเชื่อมโยงของความคิดที่หลากหลาย โดยการแตกกิ่งก้านสาขาออกไปเรื่อย ๆ จากหัวข้อหลักและเขียนคำสำคัญ (key word) บนเส้นแต่ละเส้นเพื่อให้เห็นความเชื่อมโยงของแนวคิด มีการใช้สีและภาพวาดเข้ามาเกี่ยวข้องเพื่อช่วยให้สมองจดจำได้ดีขึ้น ซึ่งแนวทางดังกล่าวนี้จะทำให้การสร้างแนวทางกำกับ การบริหารโครงการเศรษฐดิจิตอล เป็นไปอย่างมีหลักการ และสัมฤทธิ์ผลอย่างมีประสิทธิภาพ

Fintech Mindmap

ตาม Mind Map ข้างต้นที่เชื่อมโยงนวัตกรรมทางเทคโนโลยี ที่มีผลกระทบต่อนวัตกรรมทางการเงินและการให้บริการของสถาบันการเงิน และการกำกับสถาบันการเงินในอนาคต เป็นเรื่องที่มีความท้าทาย ต่อผู้มีส่วนได้เสียของสถาบันการเงิน แน่นอนว่า มีผลกระทบต่อผู้มีส่วนได้เสียทางเศรษฐกิจ การผลิต การเงิน การให้บริการ การลงทุน จากสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างรวดเร็ว โดยเฉพาะอย่างยิ่ง นวัตกรรมทางด้านเทคโนโลยีสารสนเทศ ที่มาจากแนวความคิดและนวัตกรรมทางการเงิน ที่จะต้องเปลี่ยนแปลงกระบวนการ เปลี่ยนแปลงกิจกรรม เปลี่ยนแปลงแผนงาน เปลี่ยนแปลงกลยุทธ์ เปลี่ยนแปลงนโยบาย เปลี่ยนแปลงพันธกิจ เปลี่ยนแปลงวิสัยทัศน์ ตลอดจนแนวทางกำกับ การบริหาร การพัฒนาบุคลากร การพัฒนากระบวนการ เพื่อสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วม ที่มีผลทางการเงิน และการให้บริการ ซึ่งทั้งหมดนี้ หมายถึง การพัฒนาแนวความคิดแบบบูรณาการที่สามารถพิสูจน์ความเข้าใจได้จาก Mind Map ในภาพใหญ่และภาพย่อย ที่เชื่อมโยงกับหลัการกำกับ หลักการบริหาร หลักการปฏิบัติงานแบบบูรณาการ ระหว่างผู้มีส่วนได้เสียที่ต้องการคุณค่าเพิ่ม จากหลักการ GEIT (Governance of Enterprise IT) ไปยังผู้กำกับ -> สู่การกำหนด Enterprise Goals – IT Releted Goals – Process Goals และ Enabler Goals ตามที่ผมได้เล่าให้ฟังแล้วในตอนต้น ๆ นะครับ

หากกลับไปพูดถึง Mind Map ข้างต้น เป็นเพียงตัวอย่าง Mind Map ในมิติของนวัตกรรมทางการเงิน และสถาบันการเงิน เพียงมุมมองเดียว ที่มีผลกระทบจากนวัตกรรมทางเทคโนโลยี ที่เกี่ยวข้องกับกระบวนการกำกับดูแล และการบริหารจัดการ IT ระดับองค์กร – ประเทศ  ประกอบความเข้าใจในเรื่อง Digital Economy ในมุมมองของกระบวนการกำกับและการบริหารความเสี่ยง – การควบคุม

ลองโปรดร่วมกันช่วยคิดนะครับว่า นวัตกรรมทางการเงินที่มีผลต่อการขับเคลื่อนนวัตกรรมทางเทคโนโลยี และในมุมมองกลับกันนั้น มีผลต่อความอยู่รอดของสถาบันการเงิน ในหลายมิติที่เกี่ยวข้อง เช่น ศักยภาพการแข่งขัน ความรวดเร็วในการให้บริการ การสนองตอบความต้องการของลูกค้าและผู้มีส่วนได้เสีย ผลกระทบต่อต้นทุนทางการเงิน และการให้บริการ ผลกระทบต่อกระบวนการเรียนรู้ ศักยภาพของผู้บริหารและผู้ปฏิบัติงานระดับต่าง ๆ และแน่นอนว่า ส่งผลกระทบต่อกระบวนการทำงานที่ต้องมีการเชื่อมโยงลักษณะงานต่าง ๆ ของหน่วยงานต่าง ๆ ของผลิตภัณฑ์และการให้บริการต่าง ๆ และแน่อน ผู้กำกับของสถาบันการเงินทุกประเภท และผู้ที่เกี่ยวข้องจะมีแนวทางในการกำกับ แนวทางการตรวจสอบ แนวทางการควบคุม ที่แตกต่างไปจากปัจจุบันอย่างมากมาย

โปรดมองภาพ Mind Map ข้างต้นอีกครั้ง และขอขอบคุณ Fintech ที่สร้าง Mind Map ที่ช่วยให้ผมเกิดความคิดในการยกตัวอย่าง เพื่อทดสอบความเข้าใจ กึ่งให้ข้อสังเกตประเด็นที่อาจเป็นปัญหาจาก Integrated Thinking จากการเปลี่ยนแปลงที่มีผลต่อนโยบาย Digital Economy ในระดับต่าง ๆ โดยเฉพาะอย่างยิ่ง การกำหนดโครงสร้างในภาพใหญ่ และภาพรอง ของโครงการนี้ ก่อนที่จะกำหนดนโยบาย พันธกิจ วิสัยทัศน์ และกระบวนการกำกับที่น่าจะมีการกำหนดไว้เป็นนโยบายที่ชัดเจน เพื่อให้มีผลกระทบต่อแนวการปฏิบัติในภายหลัง

อีกครั้งหนึ่งที่ผมอยากจะกล่าวว่า ผลิตภัณฑ์ทางการเงิน และการให้บริการใหม่ ๆ ตามตัวอย่างในมิตินี้ แน่นอนว่ามีผลกระทบต่อกระบวนการพัฒนาการบริหารจัดการ IT ระดับประเทศและระดับองค์กรอย่างแท้จริง ท่านผู้อ่านที่สนใจในเรื่องนี้ลองติดตามดูนะครับว่า Mind Map ทางด้านการเงินเพียงอย่างเดียว มีความซับซ้อนทางแนวความคิดและความเข้าใจมากเพียงใด ต่อการกำหนดกลยุทธ์ การกำกับ การบริหาร ทางการเงินและการให้บริการ และความมั่นคงของสถาบันการเงินโดยรวม แล้วผลิตภัณฑ์ และบริการอื่น ๆ ที่เกี่ยวข้องกับงานของ Digital Economy หากระบุเป็น Module และเชื่อมโยงไปยังการสร้าง Mind Map ในเรื่องนั้น ๆ ทั้งทางตรงและทางอ้อม น่าจะมีผลกระทบต่อกระบวนการกำกับและการบริหารมากมายเพียงใด?

แนวความคิดเกี่ยวกับบริหารความเสี่ยง และการควบคุมภายใน รวมทั้งการตรวจสอบทางด้าน IT Audit และการตรวจสอบด้านทั่วไป ซึ่งจะพัฒนาไปสู่ Integrated Audit หรือ Integrated Auditor ที่เริ่มมีผลในปัจจุบันแล้ว จะมีผลต่อไปในอนาคตอย่างไร ในมาตรฐานการตรวจสอบ การบริหารความเสี่ยง และการควบคุมภายในที่เกี่ยวข้อง ฯลฯ

หากยกตัวอย่างง่าย ๆ ตาม Mind Map ข้างต้น ที่มีหลาย Block ซึ่งแสดงถึงผลิตภัณฑ์และบริการที่จะเกิดขึ้นทางด้านการเงิน อันเกิดจาก Finance + Technology – Fintech ตามตัวอย่างข้างต้นนั้น หากลงรายละะเอียดในแต่ละ Block ก็จะมีกระบวนการ และกิจกรรมต่าง ๆ ที่เกี่ยวข้องกันในแต่ละ Block ที่อาจสร้างเป็น Mind Map ย่อย ๆ ลงไปได้อีกมากนั้น และหากจะพิจารณาในหลักการบริหารแบบสมดุล ในมุมมองของดัชนีวัดผลตาม (Lag Indicator) และในมุมมองของดัชนีวัดผลนำ (Lead Indicator) สำหรับผมเองให้ความสำคัญอย่างยิ่งต่อดัชนีการวัดผลนำ ซึ่งได้แก่ การพัฒนาศักยภาพของบุคลากรที่เกี่ยวข้องกับความรู้ความเข้าใจในเทคโนโลยีสารสนเทศ การบริหารความเสี่ยง นวัตกรรมต่าง ๆ ซึ่งมีผลต่อการปรับปรุงหลักสูตรการเรียนการสอน ในทุกระดับ ไปจนถึงระดับปริญญาเอก ที่อาจมีการผสมผสานวิชาการต่าง ๆ ให้เกิดประโยชน์ต่อการบริหารจัดการ และการใช้ชีวิตในสังคมที่มีการเปลี่ยนแปลงไปอย่างรวดเร็วและมากมาย สิ่งนี้มีความสำคัญอย่างยิ่ง เพราะเป็นรากฐาน หรือเป็นฐานราก ของความสำเร็จต่อความพึงพอใจของผู้มีส่วนได้เสีย และความสำเร็จทางการเงินและการบริการ ซึ่งเป็นดัชนีวัดผลตามนั้น นับว่าเป็นความท้าทาย ในมุมมองของ Integrated Thinking สู่ Integrated Governance และ Integrated Management ตามที่กล่าวแล้ว

ท่านผู้รับผิดชอบและท่านผู้มีส่วนได้เสีย ควรจะได้ร่วมกันคิดร่วมกันดำเนินการประการใดในการสร้างความมั่นใจอย่างสมเหตุสมผลว่า ทรัพยากรของชาติ และขององค์กร ได้มีการนำไปใช้อย่างมีประสิทธิภาพ และมีประสิทธิผลอย่างแท้จริง ในการก้าวไปสู่ การดำเนินงานตามนโยบายเศรษฐกิจดิจิตอล

ผมจะมีโอกาสเล่าความคิดในเรื่อง Digital Economy ของผมต่อผู้อ่านในตอนที่ 15 เป็นตอนสุดท้ายในการแบ่งปันมุมมองของการบริหารความเสี่ยงแบบบูรณาการต่อโครงการ และนโยบายเศรษฐกิจดิจิตอล นะครับ

Advertisements

Crossing Borders CIOs’ Innovation & Inspiration and Integrated Management – What CEOs Want From CIOs

กันยายน 22, 2013

วันนี้ ผมจะพาท่านที่สนใจในเรื่องการบริหารจัดการเทคโนโลยีสารสนเทศยุคใหม่ ที่จะต้องก้าวข้ามการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศเพียงอย่างเดียว เช่น การเป็นผู้บริหารระดับสูงหรือ CIO ทางด้าน IT หรือศูนย์คอมพิวเตอร์ มาเป็นผู้บริหารระดับสูงทางธุรกิจที่ใช้เทคโนโลยีสารสนเทศเข้ามาช่วยในการวางแผนกลยุทธ์ และการดำเนินงานต่าง ๆ เพื่อขับเคลื่อนวัตถุประสงค์หลัก ๆ ขององค์กร/ธุรกิจ ตามกรอบที่เข้าใจกันโดยทั่วไป เพื่อนำไปสู่การบรรลุวัตถุประสงค์ที่ได้ดุลยภาพตามหลักการของ Balanced Business Scroecard ซึ่งเป็นที่แน่นอนว่า CIO ยุคใหม่จะมีบทบาทหน้าที่และความรับผิดชอบที่แตกต่างไปจากเดิมอย่างสิ้นเชิง อนาคตของ CIO จะขึ้นอยู่กับวิสัยทัศน์ ความรู้ ความเข้าใจในการบริหารเชิงธุรกิจ (Enterprise Goals) ที่ควบคู่กันไปกับการบริหารการจัดการทางด้านเทคโนโลยีสารสนเทศ (IT Related Goals)

นี่คือ การก้าวข้ามพรมแดนที่มีการเปลี่ยนแปลงกระบวนทัศน์ (Paradigm) ที่สำคัญยิ่งของ CIO ซึ่งอนาคตของ CIO ยุคใหม่จะต้องมีความเข้าใจการบริหารเชิงธุรกิจอย่างลึกซึ้ง ควบคู่กันไปกับการมีความรู้ทางด้านการบริหารจัดการเทคโนโลยีสารสนเทศ ในลักษณะ Integrated Single Framework โดยมีวัตถุประสงค์เพื่อเสริมสร้างความรู้ความเข้าใจในกรอบปฏิบัติด้านการกำกับดูแลและการบริหารจัดการที่ดีด้าน IT ในเรื่องการกำหนดเป้าหมายด้าน IT ที่สนับสนุนเป้าหมายระดับองค์กร โดยเป็นเป้าหมายที่เป็นเป้าประสงค์หลักที่ตอบสนองต่อความต้องการของผู้มีผลประโยชน์ร่วมขององค์กร จากการพิจารณาเป้าประสงค์และแรงขับเคลื่อนสำคัญที่มีอิทธิพล หรือส่งต่อความต้องการและความคาดหวังดังกล่าว

    สรุปเบื้องต้น… ก่อนจะก้าวไปในรายละเอียดเล็กน้อย เพื่อให้เห็นภาพใหญ่โดยรวม ในเรื่องของการบริหารแบบบูรณาการ (Integrated Management) ก็คือ CIO และ CEO นั่นคือผู้บริหารและผู้ที่เกี่ยวข้องกับ IT/ICT และผู้บริหาร รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารเพื่อให้ได้เป้าประสงค์หลักตาม Business Balanced Scorecard ทั้ง 4 มุมมอง ควรจะมีหรือต้องมีความเข้าใจตรงกันในเรื่องการประสานงานเพื่อเชื่อมโยงกระบวนการ การกำกับ ควบคุม ดูแล งานทางด้าน IT/ICT ซึ่งเป็นงานหลักของ CIO และ Business ซึ่งเป็นงานหลักของ CIO ให้เป็นหนึ่งเดียวกันหรือเรื่องเดียวกัน เพื่อก้าวไปสู่วัตถุประสงค์ของ Enterpise Goals เป็นสำคัญและแยกกันไม่ได้ระหว่างงาน IT และ Non-IT

    ขออนุญาตสรุปอีกครั้งหนึ่งก่อนจบในช่วงแรกของ Integrated Management ว่า :
    1. Governance – G, Risk Management – R, Compliance – C
    G + R + C ไม่เท่ากับ GRC หรือ Integrated GRC พิสูจน์ได้จากวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ เป้าประสงค์ แผนงานและบทบาทของคณะกรรมการที่เกี่ยวข้อง รวมทั้งสิ่งแวดล้อมและวัฒนธรรมในการดำเนินงานขององค์กร/ธุรกิจ…
    2. หิน + ปูน + ทราย ไม่เท่ากับ ซีเมนต์ หากขาดน้ำ… น้ำในที่นี้คือ ความเข้าใจในกระบวนการบริหารแบบบูรณาการ ทั้งทางด้าน Business และทางด้าน IT/ICT และความเกี่ยวเนื่องตามมุมมองของ Integrated Single Framework +++

ทั้งนี้ CIO ยุคใหม่ที่จะก้าวข้ามเข้าไปสู่แนวความคิด ซึ่งเป็นไปตามความต้องการของ CEO หรือผู้บริหารระดับสูงสุดของธุรกิจ/องค์กรว่า CEO ต้องการอะไรจาก CIO และการที่ CIO ที่มีความคิดก้าวหน้า รู้เท่าทันความต้องการของธุรกิจในกระบวนการบริหารและการจัดการที่ดี ทั้งทางด้านการกำกับ ควบคุม ดูแล (Governance) ซึ่งเป็นหน้าที่และความรับผิดชอบ (Accountability) ของคณะกรรมการ ที่จะกำกับและชี้ทิศทางการขับเคลื่อนองค์กรอย่างเป็นกระบวนการ เพื่อให้ผู้บริหารระดับสูง ซึ่งแน่นอนว่ารวม CIO อยู่ด้วยนั้น มีหน้าที่ในการบริหารจัดการอย่างเป็นกระบวนการ เพื่อขับเคลื่อนธุรกิจ/องค์กร ไปสู่เป้าประสงค์ของผู้มีประประโยชน์ร่วม (Stakeholder) อย่างได้ดุลยภาพ เพื่อสร้างคุณค่าเพิ่ม (Value Creation) ตามมุมมองของ Good Governance ที่ดี และเป็นบูรณาการตั้งแต่ในระดับของ Governance นั่นคือ การนำ Corporate Governance – CG มาเชื่อมโยงกับ IT Governance (ITG) อย่างเหมาะสม เพื่อขับเคลื่อนเป้าประสงค์หลักของผู้มีผลประโยชน์ร่วมทุกกลุ่ม ในการบริหารองค์กรและธุรกิจอย่างมีประสิทธิภาพและประสิทธิผล ซึ่งหมายถึงคุณภาพการบริหารการจัดการที่ได้ประโยชน์สูงสุดในมุมมองทางการเงิน (Financial) และ บริการ (Service) รวมทั้งชื่อเสียงของธุรกิจควบคู่กันไปและแยกกันไม่ได้กับการบริหารทรัพยากร และการบริหารความเสี่ยงทางด้าน IT และ Non – IT อย่างเหมาะสม

ดังนั้น CIO ยุคใหม่ และปัจจุบัน ต้องเข้าใจแรงขับเคลื่อน (Stakeholder Drivers) จากสภาพแวดล้อมทั้งภายในและภายนอกองค์กร และปัจจัยต่าง ๆ ที่เกี่่ยวข้อง เช่น การเปลี่ยนแปลงเทคโนโลยีสารสนเทศ การเปลี่ยนแปลงของกฎระเบียบ หรือกฎหมาย ที่มีผลลบังคับใช้กับธุรกิจ/องค์กร เป็นต้น ที่มีอิทธิพลหรือส่งผลต่อความต้องการหรือความคาดหวังของผู้มีผลประโยชน์ร่วม โดยสรุปวัตถุประสงค์ เป็น 3 กลุ่ม ได้แก่ การรับรู้ด้านผลประกอบการ การจัดการด้านความเสี่ยง และ การจัดการด้านทรัพยากรได้อย่างเหมาะสมตามที่ได้กล่าวข้างต้นซึ่งเป็นเรื่องสำคัญมากแล้ว นั่นคือ CIO และแน่นอนว่าควรจะรวมถึง CEO แม้กระทั่งระดับคณะกรรมการหรือ Board ซึ่งควรเข้าใจตรงกันถึงผลลัพธ์ที่คาดหวังจากเป้าประสงค์ความต้องการของผู้มีผลประโยชน์ร่วมที่แสดงวัตถุประสงค์ตอบสนองต่อแรงขับเคลื่อน (Stakeholder Drivers)

ผู้นำทางด้าน CIO ยุคใหม่ จะต้องดำเนินการในลักษณะ Go beyound IT and the CIO’s Comfort zone นั่นคือ CIO ยุคใหม่จะต้องมีการบริหารและการจัดการที่จะต้องก้าวข้ามเฉพาะการบริหารทางด้าน IT เพื่อ IT มาเป็นการบริหาร IT/ICT เพื่อธุรกิจ

ขั้นตอนต่อไปที่ CIO ยุคใหม่ ควรเข้าใจในมุมมองของ CEO หรือผู้บริหารวัตถุประสงค์โดยรวมของธุรกิจ/องค์กร ในการเชื่อมโยงกับกลยุทธ์ นโยบาย พันธกิจ วิสัยทัศน์ เพื่อตอบสนองความคาดหวังหรือความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholder Needs) ที่คาดหวังให้คณะกรรมการและผู้บริหารระดับสูงกำกับ ควบคุม ดูแล ไปสู่เป้าหมายระดับองค์กร (Enterprise Goals) โดยมีการบริหารและการจัดการที่สามารถเชื่อมโยงกับ IT Related Goals ซึ่งเป็นปัจจัยหลักในการขับเคลื่อนความสำเร็จในมุมมองต่าง ๆ ตามความต้องการและความคาดหวังของผู้มีผลประโยชน์ร่วม

เป้าหมายทางด้าน IT หรือการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีที่ครอบคลุมไปยัง IT Related Goals ทุกมุมมองของ IT Balanced Scorecard ที่ CIO และ CEO ต้องเข้าใจในการนำไปสู่การเชื่อมโยงของ Business Balanced Scorecard ทั้ง 4 นั่นคือ เป้าหมายทางด้านประสิทธิภาพการบริหารทางด้านการเงิน ด้านลูกค้า/ผู้มีผลประโยชน์ร่วม ด้านกระบวนการภายใน และด้านการเรียนรู้ที่ควรมีความสัมพันธ์กับวัตถุประสงค์ตามเป้าหมายระดับองค์กรทั้ง 4 ด้านตามที่่ได้กล่าวมาแล้ว และในทางกลับกัน หากมองในมุมมองของ CEO ซึ่งควรมีความเข้าในที่สัมพันธ์กับเป้าหมายทางด้าน IT คือ (IT-Related Golas) ที่กำหนดเฉพาะเจาะจงให้สามารถใช้สนับสนุนเป้าหมายระดับธุรกิจ/องค์ร ตามที่ได้กำหนดในเป้าประสงค์ลหักและแน่นอนว่า ควรมีการกำหนดในการประเมินวัดผลตามเกณฑ์ชี้วัดของเป้าหมายที่เกี่ยวข้องได้อย่างชัดเจนอย่างเป็นรูปธรรม

The 21st Century CIO

ข้้นตอนต่อไปในการก้าวข้ามพรมแดนการบริหารจัดการที่ดีทางด้านเทคโนโลยีสารสนเทศ เพื่อการบรรลุเป้าประสงค์ทางธุรกิจขององค์กรโดยรวม (Integrated Management) ก็คือ ทั้ง CIO และ CEO ควรเข้าใจอย่างสอดคล้องและตรงกันว่า กระบวนการทางด้านเทคโนโลยีสารสนเทศ ควรมีผลลัพธ์ที่คาดหวังได้ว่าสามารถสรุปเป็นแผนการดำเนินงานที่จะนำไปสู่ภาคปฏิบัติ เพื่อตอบสนองเป้าหมายทางด้านเทคโนโลยีสารสนเทศตามที่ได้กำหนดไว้

กระบวนการทางด้าน IT/ICT (IT Related Processes) ควรมีกิจกรรมที่สามารถระบุกระบวนการทางด้าน IT ที่สนับสนุนเป้าหมายทางด้าน IT และ Enterprise เพื่อนำไปสู่ Enterprise Goals

อาจสรุปกระบวนการทางด้าน IT/ICT ที่ใช้สนับสนุนเป้าหมายทาง IT/ICT ที่มีกรอบการปฏิบัติในการบริหารจัดการองค์กรแบบบูรณาการ (Integrated Management) ซึ่งต้องแบ่งเป็นกระบวนการหลัก และกระบวนการในระดับรองลงไปเป็นกลุ่มได้ดังนี้
1 กระบวนการด้านการกำกับดูแลที่ดี (Governance)

  • กลุ่มกระบวนการประเมิน กำกับ และติดตาม
  • 2 กระบวนการด้านการบริหารจัดการ (Management)

  • กลุ่มกระบวนการสำหรับการวางแผนและจัดโครงสร้าง (Align, Plan and Organise)
  • กลุ่มกระบวนการสำหรับการจัดทำและนำไปปฏิบัติ (Bulid, Acquire and Implement)
  • กลุ่มกระบวนการสำหรับการดำเนินการและสนับสนุน (Deliver, Service and Support)
  • กลุ่มกระบวนการสำหรับการติตามตามวัดผลและตรวจประเมิน (Monitor, Evaluate and Assess)
  • ในตอนต่อไป ผมจะได้นำเสนอบทบาทของการจัดการและผู้บริหาร IT/ICT จากยุคแรก ๆ ปี ค.ศ. 1950s หรือ ปี พ.ศ. 2493 ถึงปัจจุบัน (ค.ศ. 2013 หรือ พ.ศ. 2556) เพื่อให้ทราบว่าบทบาทของผู้บริหารของ CIO ยุคเดิมจนถึงยุคปัจจุบันนั้นได้เปลี่ยนแปลงไปมากน้อยเพียงใด และ CIO ในยุคปัจจุบัน ได้สนองตอบความต้องการของผู้มีผลประโยชน์ร่วม คณะกรรมการ ผู้บริหารระดับสูง และ CEO อย่างไร

    การเขียนบทความนี้เป็นส่วนหนึ่งของการที่ผมได้มีโอกาสร่วมงาน Crossing Borders CIOs’ Innovation & Inspiration topic ซึ่งผมได้เป็นผู้ดำเนินรายการในหัวข้อ เรื่อง Thai CIOs are crossing the borders everyday ในวันที่ 3 ตุลาคม 2556 ที่จะถึงนี้ ที่โรงแรมเซ็นทารา ลาดพร้าว ห้อง Main Ballroom ซึ่งเป็นการจัดงานโดย 10th Anniversary of CIO16 Association of Thailand เนื้อหาในตอนนต่อไปซึ่งจะเผยแพร่ในเว็บไซต์ในวันที่ 1 ตุลาคม 2556 นะครับ


    Integrated Management / Audit and CAE – Chief Audit Executive ตอน 3

    พฤศจิกายน 11, 2010

    ท่านผู้อ่านมีความคิดเห็นอย่างไรบ้างครับ เมื่ออ่านจบตอนที่ 2 ในหัวข้อของ Integrated Management / Audit และเมื่อท่านได้อ่านเรื่อง GRC ซึ่งเป็นการหลอมรวมการบริหารจัดการของ Governance + Risk Management + Compliance ให้เป็นหนึ่งเดียว ภายใต้ร่มใบเดียวกัน มิใช่ภายใต้ร่มของแต่ละ G R C ซึ่งเป็นร่ม 3 อัน มารวมกัน เพราะในหลักการบริหารในการจัดการ GRC นั้น มีองค์ประกอบที่แตกต่างกับ G + R + C มากทีเดียว

    วันนี้ ผมจะคุยในหัวข้อ Integrated Managment / Audit ต่อจากครั้งที่ 2 นะครับว่า มาตรฐานการปฏิบัติงานทางด้านคอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศทางการสื่อสาร (ICT) ที่เป็นสากล หรือที่เป็น Best Practice หรือ Good Practice ได้ถูกนำมาใช้ หรือถูกนำมาบังคับใช้อย่างหลีกเลี่ยงไม่ได้ และในกรณีที่การปฏิบัติงานไม่มีกรอบ Standard หรือ Best Practice ในเรื่องที่เกี่ยวข้อง ก็ต้องนำ Guideline ในเรื่องนั้น ๆ มาใช้ในทางปฏิบัติ เพื่อให้เกิดการยอมรับต่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและต่างประเทศ

    Integrated Thinking แนวคิด หรือการคิดให้ครบจนจบความ / ครบถ้วน ความคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) การคิดให้ลึกเชิงวิเคราะห์ (Analytical Thinking) เพื่อให้เกิดความเข้าใจโดยรวมของทั้งระบบ (System Thinking) เพื่อก้าวสู่เป้าหมาย-วัตถุประสงค์อย่างเป็นระบบเพื่อการจัดการที่ดี (Systematic Thinking Approach) เพื่อให้เกิดความสมบูรณ์ ความครบถ้วน ความถูกต้อง ที่จะนำไปสู่ประสิทธิภาพและประสิทธิผลในการดำเนินงาน และยกระดับการแข่งขัน จึงเป็นเรื่องที่จำเป็นอย่างยิ่งของการบริหารองค์กรยุคใหม่ ที่นำไปสู่หลักการที่นำไปสู่กระบวนการบริหารที่รวมเป็นชุด ที่มีความสัมพันธ์กันและกันในองค์ประกอบหลักการบริหารด้านการกำกับดูแลกิจการที่ดี (Governance – CG + ITG) การบริหารความเสี่ยงระดับองค์กร (Risk หรือ ERM) และการปฏิบัติตามกฎเกณฑ์ และกติกาสังคม ทั้งในระดับประเทศ และระหว่างประเทศ (Compliance) เพื่อสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งในระยะสั้นและระยะยาว ที่เรียกว่า GRC จึงเกิดขึ้น และเป็นแนวการบริหารยุคใหม่ล่าสุดที่จะยั่งยืนไปอีกนานแสนนาน

    อย่างไรก็ดี การก้าวสู่กระบวนขับเคลื่อนการบริหารที่เน้น “กระบวนการ” หรือ “Process” ที่หลอมรวมการบริหาร PPT หรือ People + Process + Technology ที่เน้น Operational Management และเป็น Core Function ในการผลักดันองค์กรไปสู่ Integrity – Driven Performance ภายใต้องค์ประกอบหลัก GRC เพื่อตอบสนองความต้องการของผู้มีผลประโยชน์ร่วมอย่างผสมผสานเป็นหนึ่งเดียวของธุรกิจนั้น จะเป็นสุดยอดของกระบวนการบริหารการจัดการ ที่องค์กรชั้นนำของโลกได้นำมาใช้ในการบริหารในปัจจุบัน และผู้กำกับ (Regulators) ได้นำกรอบแนวคิดนี้ไปใช้กับผู้ปฏิบัติ (Operators) ในองค์กรที่เกี่ยวข้อง เพื่อให้เกิดประสิทธิภาพการบริหารและการจัดการที่ดี เพื่อก้าวไปสู่ Corporate Governance หรือบรรษัทภิบาลที่เป็นรูปธรรม +++

    ก่อนการก้าวสู่ GRC ตามวรรคต้น แนวความคิดในเรื่อง Integrated Thinking โดยการคิดให้ครบจนจนความ โดยดูเป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรส่วนใหญ่ ซึ่งจะกำหนดเป็นนโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่ท้าทายต่อไป

    กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

    ดังนั้น คณะกรรมการและผู้บริหารที่เกี่ยวข้อง รวมทั้ง คณะกรรมการตรวจสอบ CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ที่มีความเข้าใจภาพดังกล่าวข้างต้นไปในทิศทางเดียวกัน จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

    ผมขอสรุปในตอนที่ 3 ในหัวข้อนี้ส่งท้ายเป็นการเบื้องต้น แต่มิใช่ตอนจบนะครับว่า Integrated Thinking ที่นำไปสู่ Integrated Management / Audit สามารถสร้าง Value Added และ Value Creation ได้มากกว่า Silo – Based มากนักนั้น เป็นเพียงก้าวหนึ่งในก้าวแรก ๆ เพื่อไปสู่ GRC เท่านั้นนะครับ


    Integrated Management / Audit and CAE – Chief Audit Executive ตอน 2

    พฤศจิกายน 1, 2010

    จากแนวความคิดและการบริหารแบบ Silo – Based ที่องค์กรหลายแห่งก็ยังเป็นเช่นนี้อยู่ในปัจจุบัน ตามที่ได้กล่าวใน Integrated Audit ตอนแรกแล้วนั้นจนนำผู้อ่านมาสู่แนวคิด และแนวปฏิบัติที่สามารถสร้างศักยภาพ และ Value Creation รวมทั้ง ยกระดับการแข่งขันเพื่อการขับเคลื่อน หลักการธรรมมาภิบาลไปสู่การปฏิบัติจริงได้ดียิ่งขึ้น โดยใช้ Integrated Management ซึ่งเป็นขั้นตอนแรก ๆ ที่จะนำไปสู่ Integrity – Driven Performance หรือ GRC ต่อไปนะครับ

    จากจุดอ่อนตามที่กล่าวในตอนที่ 1 แล้วนั้น ในทางปฏิบัติของหลาย ๆ องค์กร ทั้งภายในและต่างประเทศหลายแห่ง เกิดจากการบริหารและการจัดการที่มีแนวความคิดจากโครงสร้างขององค์กร ที่ส่วนใหญ่ยังแบ่งงานในลักษณะ Silo – Based นั่นคือ การแบ่งงานตามหน้าที่ หรือตาม Function มากกว่า การคำนึงถึงกระบวนการในการดำเนินงาน ที่ในปัจจุบันใช้คอมพิวเตอร์เข้าช่วยในแทบทุกองค์กร ซึ่งกระบวนการทำงานโดยใช้คอมพิวเตอร์ในขั้นตอนการปฏิบัติงานเป็นส่วนใหญ่นั้น จะมีลักษณะเป็น Integrated – Based ซึ่งอาจจะกล่าวโดยย่อได้คือ เป็นการดำเนินงานที่เชื่อมต่อ กระบวนการทำงานในแต่ละกิจกรรมและในแต่ละขั้นตอนเข้าด้วยกันอย่างต่อเนื่อง ภายในสายงานเดียวกันและข้ามสายงานอย่างอัตโนมัติ โดยเฉพาะอย่างยิ่ง ขั้นตอนการประมวลผล (Process) ซึ่งในขั้นตอนนี้ องค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ในวงการการเงิน การธนาคาร ตลาดหลักทรัพย์ บริษัทการบิน และการให้บริการแบบอัตโนมัติ ทั้งในลักษณะ Online และ Offline โดยเฉพาะอย่างยิ่ง การให้บริการที่เป็นลักษณะ One Stop Service จะมีลักษณะการใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงานเป็นส่วนใหญ่ และมีนัยสำคัญยิ่งต่อความพึงพอใจของลูกค้า และผู้ที่เกี่ยวข้องอย่างมีนัยสำคัญที่ไม่อาจปฏิเสธได้

    ความเป็นจริงดังกล่าวตามวรรคต้น มีนัยสำคัญยิ่งต่อกระบวนการควบคุมความเสี่ยง ที่เกี่ยวข้องกับ IT Risk และ IT – Related Risk ที่มีผลต่อ Business Risk ที่เชื่อมโยงกับ Business Process และ Business Control และลึกลงไปถึง Application Control และ General Control ตามหลักการจัดการบริหารที่เป็นกระบวนการที่ใช้ Computer – Based เป็นหลักทั้งสิ้น

    ถึงแม้บทบาทของคอมพิวเตอร์ และระบบอัตโนมัติจะมีความสำคัญยิ่งยวดเพียงใด และนับวันช่องว่างระหว่าง Technology Computer กับศักยภาพหรือ Competency ของบุคลากร ในระดับบริหารจนถึงระดับปฏิบัติการ มีช่องว่างเพิ่มขึ้นตามลำดับ นี่คือความเสี่ยงที่มีนัยสำคัญยิ่ง และมีผลสำคัญมากต่อกระบวนการตัดสินใจที่มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานที่แท้จริง ที่หลายองค์กรยังต้องการความเข้าใจอย่างลึกซึ้งถึงผลกระทบต่อ IT Risk ที่มีผลต่อ Business Risk และกระบวนการตัดสินใจของผู้บริหารในภาพโดยรวม

    ผู้บริหารของหลายองค์กรส่วนใหญ่ มักจะมีความเข้าใจคลาดเคลื่อนว่า เรื่องของเทคโนโลยี การควบคุมทางเทคโนโลยี และการจัดการทางด้านเทคโนโลยี เป็นของ CIO – Chief Information Officer จึงมีการมอบหมายงานสำคัญ ๆ ในการตัดสินใจไปยัง CIO และ CIO เกือบทั้งหมดก็มอบความไว้วางใจต่อ ๆ ไปยังผู้ใต้บังคับบัญชา รวมทั้ง Outsource ที่เกี่ยวข้อง ซึ่งเพิ่มความเสี่ยงในกระบวนการตัดสินใจ อันเกิดจากผลกระทบของ IT Risk ซึ่งมีผลต่อ Enterprise Risk Management อย่างสำคัญยิ่ง ทั้ง ๆ ที่เรื่องนี้เป็นความรับผิดและความรับชอบ ซึ่งเรียกสั้น ๆ ว่าเป็น Accountability ของผู้บริหารระดับสูงสุด รวมถึงคณะกรรมการที่จะต้องกำหนดนโยบายในเรื่องที่เกี่ยวข้องกับ การบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ในภาพโดยรวมให้เป็นภาพเดียวกัน มิใช่เพียงมาเชื่อมกัน หรือ นำมาต่อกันในภายหลัง+++ เท่านั้น

    ท่านคิดอย่างไรบ้างครับ เมื่อได้อ่านเรื่อง Integrated Management / Audit ซึ่งเป็นการผสมผสานการตรวจสอบ IT Audit และ Non – IT Audit เข้าด้วยกัน เป็นหนึ่งเดียวในเป้าประสงค์ของการตรวจสอบโดยรวม แต่อาจแยกการปฏิบัติหน้าที่ โดยมีแนวความคิดและการวางแผนการตรวจสอบที่เกี่ยวข้องกับ Audit Universe ในลักษณะการเชื่อมโยงความเกี่ยวพันกัน ระหว่างการควบคุมความเสี่ยงทางด้าน IT และ Non – IT ไปสู่เป้าประสงค์ของการตรวจสอบ เพื่อฝ่ายบริหารระดับสูงและคณะกรรมการที่เกี่ยวข้อง ได้ใช้รายงานนี้เพื่อการตัดสินใจที่ถูกต้องเป็นสำคัญ มิใช่เป็นเพียงการจัดทำรายงานด้าน IT และคำแนะนำจุดอ่อนที่เกี่ยวข้องกับการควบคุมความเสี่ยงทางด้าน ICT เท่านั้น เพราะผู้บริหารจะให้ความสนใจอย่างจำกัด

    ดังนั้น ในทางตรงกันข้าม การตรวจสอบทางด้าน IT Audit การตั้งสมมุติฐานว่า IT Security Control น่าเชื่อถือได้ โดยไม่สนใจความเป็นจริงตามหลักการและกระบวนการตรวสอบทางด้าน IT Audit และผลกระทบที่เกี่ยวข้องกับ Business Process ที่กระเพื่อมมาถึง Business Objective จากข้อมูลทางการเงิน และสารสนเทศที่ไม่น่าเชื่อถือ หรือเชื่อถือได้อย่างจำกัด ก็เป็นความล้มเหลวของการตรวจสอบทางด้าน IT Audit ในมุมมองต่าง ๆ เป็นอย่างยิ่ง

    ตัวอย่างดังกล่าวมีมากมาย ทั้งในและต่างประเทศ ที่ผมจะได้มีโอกาสเล่าสู่กันฟังในโอกาสต่อ ๆ ไป


    Integrated Management / Audit and CAE – Chief Audit Executive ตอน 1

    ตุลาคม 16, 2010

    Asian CAE Leadership Forum 2010

    ผมมีโอกาสได้ไปร่วมประชุม IIA Annual Conference and Asian CAE Forum ที่สิงคโปร์ ณ Resorts World Sentosa เมื่อวันที่ 29 ก.ย. – 1 ต.ค. 2553

    สำหรับ Annual Conference 2010 เป็นหัวข้อของ Winning in the New Decade ซึ่งมี topic ที่น่าสนใจหลายเรื่องด้วยกัน เช่น
    – The Future of Internal Auditing: A Global Perspective
    – Revisiting Your Training & Staffing Needs – Who is The Future Internal Auditor?
    – CAE Leadership: Meeting Challenges of New Decade
    – Using Risk Analytics to Design Better Audits
    – Arresting Corporate Fraud: What CAEs Should Know
    – Optimising Your IA Function, Increasing Shareholders’ Value

    จากเรื่องที่ผมได้ฟังในหัวข้อต่าง ๆ จากการประชุม ผสมผสานกับสิ่งที่ผมเข้าใจว่าทิศทางการตรวจสอบของผู้ตรวจสอบภายใน ในช่วงวันนี้ถึงวันข้างหน้าจะให้ความสนใจในเรื่องที่เกี่ยวข้องกับ IT Audit และ Non – IT Audit ที่เกี่ยวข้องกับ IT Risk และ Risk IT ที่มีผลกระทบต่อ Business Objective เป็นสำคัญ

    ท่านผู้อ่านบางท่านอาจจะสงสัยว่า ทำไมผมจึงเอาหัวข้อนี้มาไว้ในเรื่องคุยกับผู้เขียน ทั้ง ๆ ที่เรื่องนี้เป็นหัวข้อที่เกี่ยวข้องกับเรื่อง Audit และเรื่องที่ผมไปประชุมที่สิงคโปร์นั้น ก็เป็นเรื่องที่เกี่ยวข้องกับ Audit ทั้งสิ้น

    ผมขอทบทวนนะครับว่า Auditors ทำหน้าที่หลัก ๆ 2 ประการ คือ 1. Assurance 2. Consulting Service ให้กับองค์กร ในขณะที่ หน้าที่ทางด้าน Monitoring เป็นหน้าที่ของผู้บริหารขององค์กร ที่การทำหน้าที่ทั้ง 2 ดังกล่าวนั้น จะมีความสัมพันธ์ซึ่งกันและกัน ในมุมมองต่าง ๆ ของกระบวนการจัดการ ซึ่งมีบทบาทที่แตกต่างกันไป แต่มีวัตถุประสงค์ร่วมกันอย่างหนึ่งก็คือ การสร้างคุณค่าเพิ่มให้กับองค์กร และสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม (Stakeholders)

    จากหลักการดังกล่าว หัวข้อต่าง ๆ ที่ปรากฎใน http://www.itgthailand.com นั้น ถึงแม้จะแตกต่างกันในชื่อ รวมทั้งสาระตามหัวข้อที่กล่าวนั้น แต่วัตถุประสงค์ร่วมของเว็บนี้ก็คือ เป็นเว็บเพื่อสังคมแห่งการเรียนรู้ สร้างความคิดอ่าน ที่สามารถสร้างคุณค่าเพิ่มได้ในระดับต่าง ๆ ทั้งภายในองค์กร และในระดับที่สูงขึ้นไป

    วันนี้ ผมจึงขอนำสาระที่ได้จากการประชุมดังกล่าวมานำเสนอ ซึ่งเป็นเรื่องที่เกี่ยวข้องกับผู้บริหารงานตรวจสอบ หรือเรียกสั้น ๆ ว่า CAE มาไว้ในหัวข้อนี้ ซึ่งเรื่องที่กล่าวถึงนี้น่าจะเป็น trend ใหม่สำหรับงานบริหารการตรวจสอบที่มีแนวความคิดมาจาก การผสมผสานการตรวจสอบระหว่าง IT Audit และ Non – IT Audit ที่อยู่ภายใต้การบริหารงานตรวจสอบของ CAE และอยู่ภายใต้การกำกับดูแลของคณะกรรมการตรวจสอบ (Audit Committee) ซึ่งโดยปกติจะมีผู้แทนจากคณะกรรมการที่เป็นอิสระขององค์กรอย่างน้อย 3 ท่าน ที่อยู่ใน Audit Committee เป็นผู้ดูแลบริหารการตรวจสอบ

    ในอดีตที่ผ่านมาและจนกระทั่งถึงทุกวันนี้ขององค์กรหลายแห่ง และอาจจะกล่าวได้ว่าองค์กรส่วนมากยังเข้าใจความหมายของ Integrated Audit และประโยชน์ของการตรวจสอบในลักษณะนี้ที่แตกต่างกันมาก จากการที่องค์กรไม่ได้มีการปฏิบัติที่เป็นรูปธรรมของการผสมผสานการตรวจสอบ และใช้ประโยชน์จากแนวคิดที่เป็นลักษณะ Interdependent Approach ของกระบวนการตรวจสอบ ระหว่าง IT Audit และ Non – IT Audit เข้ามาใช้เป็นพลังร่วม (Synergy)ในการขับเคลื่อนกระบวนการตรวจสอบ ไปสู่การจัดทำรายงานการตรวจสอบที่มีคุณภาพสูงสุด จากการหลอมรวมกระบวนความคิด ซึ่งนำไปสู่ความเข้าใจในการวางแผนการตรวจสอบ ที่คำนึงถึง Audit Universe หรือเรื่องที่ควรได้รับการทดสอบในภาพโดยรวมที่เกี่ยวข้อง ซึ่งจะเชื่อมโยงหรือมีผลกระทบต่อ กระบวนการจัดทำรายงาน ทั้งทางด้าน IT และ Non – IT ที่จะสัมพันธ์กับการควบคุมความเสี่ยง จาก Risk Universe ในแง่มุมต่าง ๆ ในมุมมองของ Business Balanced Scorecard และ Information Balanced Scorecard หรือแม้กระทั่งเป้าประสงค์หลักของการควบคุมความเสี่ยง ตามหลักการของ COSO – ERM ซึ่งก็ได้แก่ Strategic Risk – S, Operation Risk – O, Reporting Risk – R or F, Compliance Risk – C ที่ส่วนใหญ่จะเคยชินกันกับคำที่เรียกกันสั้น ๆ ว่า S – O – F – C

    แนวทางการบริหารและการจัดการความเสี่ยงทั่วทั้งองค์กร ตามแนวทางของ COSO – ERM ที่นิยมใช้กันทั่วโลกและในประเทศไทยนั้น แทบจะไม่ได้กล่าวถึงผลกระทบ หรือ Impact จาก Risk IT และ IT Risk ที่มีผลต่อกระบวนการบริหารและการจัดการ รวมทั้งการจัดทำรายงานที่เป็นรูปธรรม ดังนั้น ในทางปฏิบัติ ผู้กำกับ ในฐานะ Regulators และผู้ปฏิบัติ ในฐานะ Operators ส่วนใหญ่จึงมองข้ามความสำคัญของกระบวนการระบุปัจจัยเสี่ยง จาก IT Risk ที่มีผลกระทบต่อกระบวนการควบคุม กระบวนการบริหาร และกระบวนการตัดสินใจ ซึ่งนำไปสู่ความเสี่ยงในการจัดการที่มีผลกระทบต่อประสิทธิภาพ และประสิทธิผลในการดำเนินงาน การทุจริต รวมทั้ง การลดโอกาสที่จะสร้างความเชื่อมั่น ความเชื่อถือ การสร้างคุณค่าเพิ่ม การสร้างความมั่นใจให้กับผู้มีผลประโยชน์ร่วม ทั้งภายในองค์กร และภายนอกองค์กร อย่างมีนัยสำคัญยิ่ง

    ท่านผู้อ่านครับ การประชุมที่สิงคโปร์ครั้งนี้ ไม่มีหัวข้อที่เกี่ยวกับ Integrated Audit นะครับ ผมฟังหัวข้ออื่น ๆ ที่เกี่ยวข้องตามที่ได้กล่าวข้างต้นแล้วนำความเข้าใจดังกล่าวมาผสมผสานเป็นหัวข้อใหม่ ชื่อ Integrated Audit ที่มีความหมายและเข้าใจได้ในทันที สำหรับผู้ที่อยู่ในวงการบริหารการจัดการงานตรวจสอบ ซึ่งเป็นกระบวนการหนึ่งที่สำคัญมากต่อการสร้าง Business Value ให้กับองค์กรในแง่มุมต่าง ๆ เพื่อขับเคลื่อน Business Balanced Objectives หรือ Business Balanced Scorecard แล้วแต่กรณี

    บทความเรื่องนี้จะนำเสนอในรูปแบบที่ให้แนวความคิดที่ผู้บริหาร ในฐานะที่ทำหน้าที่กำกับและติดตามผลการดำเนินงาน (Monitor) จากการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non -IT และ CAE รวมทั้งผู้ตรวจสอบภายใน ซึ่งทำหน้าที่ ในฐานะ Assurance และ Consulting Service ด้านต่าง ๆ นั้นมีความสัมพันธ์ซึ่งกันและกัน จะได้ประโยชน์จากแนวความคิดในลักษณะ Integrated Thinking ไปสู่การปฏิบัติในลักษณะ Integrated Doing เพื่อก้าวสู่หลักการใหญ่กว่า Integrated Management ก็คือ GRC ต่อไปครับ