แนวคิดการบริหารจัดการสมัยใหม่ได้รวมเอา 3 มิติของการบริหารมาอยู่ในระดับเดียวกันคือ G: การบริหารจัดการองค์กรในการดูแลงานประจำวัน ภารกิจหลักของกิจการ R: การบริหารความเสี่ยงจากความไม่แน่นอนที่มีโอกาสเกิดในอนาคตและC: การกำกับการปฏิบัติตามกฎเกณฑ์ จนรวมกันแล้วออกมาเป็นแนวคิดการบริหารจัดการที่เรียกว่า GRC
แต่ภายในแนวคิดการบริหารจัดการของ GRC ยังคงประกอบด้วย 4 องค์ประกอบหลักๆ ได้แก่
องค์ประกอบที่ 1
|
IT GRC
เป็นการบริหารจัดการองค์กรที่เน้นการควบคุมกิจการด้วยการใช้ITเป็นแกนกลางซึ่งโดยทั่วไป IT GRC อาจจะประกอบด้วย
- ระบบรักษาความปลอดภัยของระบบงาน ข้อมูลสารสนเทศ
- การวางระบบป้องกันที่เรียกว่า Firewall
- การกำกับ จริยธรรมและธรรมาภิบาลในการปฏิบัติงานด้วย IT
- การปรับขั้นตอนการปฏิบัติงานบางส่วนจากระบบที่ทำด้วยคน(Manual)เป็นระบบการดำเนินงานอัตโนมัติระบบการติดตาม เฝ้าระวังสถานการณ์ไม่พึงประสงค์ การกอบกู้ระบบงานหลังพิบัติภัย
|
องค์ประกอบที่ 2
|
Operational GRC
เป็นการบริหารจัดการในธุรกรรมและสายงานหลักของกิจการ ได้แก่
- ระบบการผลิตของโรงงาน
- ระบบการบริหารทรัพยากรบุคคล
- ระบบการจัดซื้อจัดจ้าง
- ระบบการสั่งซื้อ
- ระบบการกำกับติดตามกำลังไฟฟ้า
- ระบบการตรวจสอบคุณภาพ
|
องค์ประกอบที่ 3
|
Legal GRC
เป็นการบริหารงานควบคุมที่ต้องดำเนินการให้สอดคล้องกับกฎเกณฑ์โดยเคร่งครัด รวมถึง
- การบริหารสัญญา
- การสื่อสารมวลชน
- การเปิดเผยข้อมูล
- การบริหารจริยธรรมและจรรยาบรรณทางธุรกิจ
- ความรับผิดชอบต่อสังคม
|
องค์ประกอบที่ 4
|
Financial GRC
เป็นการวางระบบการบริหารจัดการด้านการควบคุมทางการเงิน ได้แก่
- การแบ่งแยกหน้าที่
- การสอบทานเพื่อถ่วงดุลอำนาจกัน
- การกำหนดเพดานวงเงินงบประมาณ
- การลงนามพร้อมกัน 2 คน
- การกำหนดเพดานค่าใช้จ่ายต่อครั้ง
- การตรวจสอบทางการเงิน
|
ด้วยเหตุนี้ ในแต่ละกิจการจึงอาจจะประกอบด้วยกิจกรรมที่เกี่ยวข้องกับแนวคิด GRC ในการบริหารจัดการที่แตกต่างกันออกไป ตลอดจนมีการประสานงานและเชื่อมโยงกันระหว่างฝ่ายงานที่เกี่ยวข้องในโปรแกรม GRC ในแต่ละช่วงเวลาไม่เหมือนกัน กลยุทธ์และนโยบายด้าน GRC ของแต่ละกิจการก็อาจจะแตกต่างกันออกไปตามความชำนาญของแต่ละกิจการ เผชิญหน้ากับปัญหาและอุปสรรคในการประยุกต์ใช้ GRC ไม่เหมือนกันเพราะขึ้นอยู่กับวัตถุประสงค์ด้าน GRC แต่ละกิจการ ท้ายที่สุดก็จะเผชิญหน้ากับความท้าทายแตกต่างกัน
ในการสำรวจผู้ประกอบการต่างๆเกี่ยวกับการพัฒนาและใช้งาน GRC ในกิจการพบว่ามีความจริงที่น่าสนใจบางประการ ได้แก่
ประการที่ 1
|
IT GRC ยังคงเป็นองค์ประกอบส่วนใหญ่ของกิจกรรมด้าน GRC ในกิจการส่วนใหญ่ผ่านโปรแกรม GRC ที่กิจการกำหนดในแต่ละปีงบประมาณ
รองลงมาคือ การเน้น Operational GRC ขณะที่การพัฒนา GRC ทางด้านการเงินและด้านการกำกับการปฏิบัติตามกฎเกณฑ์มีสัดส่วนน้อยที่สุด
|
ประการที่ 2
|
จุดเริ่มต้นหรือการริเริ่มโครงการ GRC ของกิจการส่วนใหญ่ยังคงมาจากด้าน IT ไม่ได้มาจากสายธุรกิจที่เป็นกระบวนการดำเนินงานหลักของกิจการ และยังได้รับความสนใจจากสายธุรกิจหลักของกิจการน้อย
ทั้งนี้งานด้าน IT GRC เน้นในเรื่องการรักษาความลับของข้อมูลและการเปิดเผยข้อมูลเป็นสำคัญโดยการทำงานบนรูปแบบ Silo
การที่กิจการส่วนใหญ่มอบหมายงาน GRC เป็นของ IT ทำให้เกิดอุปสรรคและปัญหาในการบูรณาการและความเชื่อมโยงกับแนวคิด GRC อย่างต่อเนื่องและตลอดเวลา โดยอาจมีการบูรณาการกันบ้าง แต่เพียงครั้งเดียวเท่านั้น
นอกจากนั้นการที่เริ่มต้นด้วย IT GRC อาจจะเป็นเพราะเป็นงานที่ใช้บุคลากรหรือทรัพยากรน้อย และไม่ต้องเกี่ยวข้องกับฝ่ายงานอื่นมาก ไม่ต้องการผู้นำ GRCโดยรวมอย่างแท้จริง นอกจากการพัฒนาทั้งหมดบนระบบงานและโปรแกรมซอฟท์แวร์ และยังสะท้อนว่ากิจการยังมีการจัดสรรทรัพยากรและเวลาให้กับการบริหารจัดการตามแนวคิด GRC น้อยเกินไป อีกทั้งความซับซ้อนของเทคโนโลยีทำให้ผู้บริหารระดับสูงต้องการให้มีการพัฒนา IT GRC ก่อนเพื่อรองรับความจำเป็นจริงๆในเรื่องนี้ก็ได้
|
ประการที่ 3
|
การสำรวจความคิดเห็นเกี่ยวกับอุปสรรคและปัญหาที่ขัดขวางความก้าวหน้าของการบริหารจัดการ GRC ภายในกิจการพบว่าประกอบด้วยประเด็นต่อไปนี้
อุปสรรคที่ 1
การขาดวุฒิภาวะของบุคลากรภายในองค์กรเกี่ยวกับ GRC
อุปสรรคที่ 2
ความซับซ้อนของโปรแกรมการพัฒนา GRC
อุปสรรคที่ 3
ความไม่พอเพียงของเทคโนโลยีที่มีอยู่ในขณะนั้น
อุปสรรคที่ 4
ขาดภาวะผู้นำที่จะเริ่มต้น หรือริเริ่มโครงการ GRC อย่างเป็นรูปธรรมและต่อเนื่อง
อุปสรรคที่ 5
ความยากลำบากในการว่าจ้างบุคลากรมืออาชีพมาดำเนินงานตามโปรแกรมGRC อย่างต่อเนื่อง
อุปสรรคที่ 6
ขาดการสนับสนุนจากผู้บริหารระดับสูงอย่างต่อเนื่อง
อุปสรรคที่ 7
ไม่สามารถจัดลำดับความสำคัญของกิจกรรมและความจำเป็น
อุปสรรคที่ 8
มีการเปลี่ยนแปลงโครงสร้างองค์กรบ่อยๆ
อุปสรรคที่ 9
ลักษณะวัฒนธรรมการปฏิบัติงานมีการประสานงานข้ามสายงานน้อย
อุปสรรคที่ 10
ขาดทรัพยากร งบประมาณที่สนับสนุนกิจกรรมในวงกว้างระดับองค์กร
|
ประการที่ 4
|
ในบรรดาองค์ประกอบ 3 เสาหลักของ GRC คือ G-R-C กิจการส่วนใหญ่ยังคงให้ความสำคัญกับการพัฒนาการบริหารความเสี่ยง เพื่อประเมินความไม่แน่นอนที่ก่อให้เกิดผลกระทบทางลับต่อการบรรลุเป้าหมายและพันธกิจ ตลอดจนการรักษามูลค่าของกิจการในระยะยาว หรือเน้นการบริหารจัดการบนฐานความเสี่ยง(Risk Based Management)
|
ประการที่ 5
|
การพัฒนาการบริหารจัดการตามแนวคิด GRC ต้องการลงทุนด้วยจำนวนเงินจำนวนมาก ซึ่งหลายกิจการไม่อาจจัดสรรเงินงบประมาณและแบกรับภาระต้นทุนดังกล่าวได้
|
ประการที่ 6
|
กิจการเพียงส่วนน้อยเท่านั้นที่มีความชัดเจนในด้านกลยุทธ์ GRC และกิจการจำนวนไม่น้อยที่ยังไม่มีการวางกลยุทธ์ด้าน GRC ด้วยซ้ำ
|
ประการที่ 7
|
กิจกรรมที่เป็นด้าน GRC ที่เกี่ยวข้องกับการบริหารจัดการ GRC ที่เป็นผลงานของกิจการต่างๆ ได้แก่
(1) Data Mapping
(2) การวิเคราะห์กระบวนการธุรกิจ(Business Process Analysis)
(3) แผนที่กระบวนการธุรกิจ (Business Process Mapping)
(4) Data Inventory
(5) การกำกับติดตามความเปลี่ยนแปลงทางกฎเกณฑ์ ระเบียบ
(6) การบริหารด้านเอกสารสู่ e-doc หรือ e-office
(7) Compliance Monitoring
(8) ระบบการค้นหาและระบุความเสี่ยง
(9) ระบบการปรับปรุงการควบคุมภายในและการประเมินตนเองด้านการควบคุมภายใน
|
ประการที่ 8
|
กิจกรรมที่ไม่ใช่ GRC ที่กิจการถือว่าเกี่ยวข้องกับ GRC ได้แก่
1) กิจกรรมการธำรงรักษาความไว้วางใจของลูกค้าที่มีต่อกิจการ
2) กิจกรรมบังคับใช้นโยบายระดับนโยบายที่ออกประกาศใช้
3) กิจกรรมการจัดเก็บข้อมูลความสูญเสีย
4) กิจกรรมการอบรมให้ความรู้ด้าน GRC แก่บุคลากรของกิจการ
5) กิจกรรมการวางเกณฑ์การกำกับกฎเกณฑ์ระเบียบที่ออกมาใหม่ในรอบปี
6) กิจกรรมการบริหารข้อมูลที่ต้องแบ่งปันการใช้งานหรือเปิดเผยต่อบุคคลากรภายนอก
ที่มา http://www.oknation.net/blog/chirapon/2012/07/23/entry-1
|
ไม่มีความคิดเห็น:
แสดงความคิดเห็น