วันศุกร์ที่ 21 กุมภาพันธ์ พ.ศ. 2557

GRC องค์ประกอบสำคัญเพื่อการบริหารจัดการ

   แนวคิดการบริหารจัดการสมัยใหม่ได้รวมเอา 3 มิติของการบริหารมาอยู่ในระดับเดียวกันคือ G: การบริหารจัดการองค์กรในการดูแลงานประจำวัน ภารกิจหลักของกิจการ R: การบริหารความเสี่ยงจากความไม่แน่นอนที่มีโอกาสเกิดในอนาคตและC: การกำกับการปฏิบัติตามกฎเกณฑ์ จนรวมกันแล้วออกมาเป็นแนวคิดการบริหารจัดการที่เรียกว่า GRC
          แต่ภายในแนวคิดการบริหารจัดการของ GRC ยังคงประกอบด้วย 4 องค์ประกอบหลักๆ ได้แก่
องค์ประกอบที่ 1
IT GRC

เป็นการบริหารจัดการองค์กรที่เน้นการควบคุมกิจการด้วยการใช้ITเป็นแกนกลางซึ่งโดยทั่วไป IT GRC อาจจะประกอบด้วย

- ระบบรักษาความปลอดภัยของระบบงาน ข้อมูลสารสนเทศ

- การวางระบบป้องกันที่เรียกว่า Firewall

- การกำกับ จริยธรรมและธรรมาภิบาลในการปฏิบัติงานด้วย IT

- การปรับขั้นตอนการปฏิบัติงานบางส่วนจากระบบที่ทำด้วยคน(Manual)เป็นระบบการดำเนินงานอัตโนมัติระบบการติดตาม เฝ้าระวังสถานการณ์ไม่พึงประสงค์ การกอบกู้ระบบงานหลังพิบัติภัย
องค์ประกอบที่ 2
Operational GRC

เป็นการบริหารจัดการในธุรกรรมและสายงานหลักของกิจการ ได้แก่

- ระบบการผลิตของโรงงาน

- ระบบการบริหารทรัพยากรบุคคล

- ระบบการจัดซื้อจัดจ้าง

- ระบบการสั่งซื้อ

- ระบบการกำกับติดตามกำลังไฟฟ้า

- ระบบการตรวจสอบคุณภาพ
องค์ประกอบที่ 3
Legal GRC

เป็นการบริหารงานควบคุมที่ต้องดำเนินการให้สอดคล้องกับกฎเกณฑ์โดยเคร่งครัด รวมถึง

- การบริหารสัญญา

- การสื่อสารมวลชน

- การเปิดเผยข้อมูล

- การบริหารจริยธรรมและจรรยาบรรณทางธุรกิจ

- ความรับผิดชอบต่อสังคม
องค์ประกอบที่ 4
Financial GRC

เป็นการวางระบบการบริหารจัดการด้านการควบคุมทางการเงิน ได้แก่

- การแบ่งแยกหน้าที่

- การสอบทานเพื่อถ่วงดุลอำนาจกัน

- การกำหนดเพดานวงเงินงบประมาณ

- การลงนามพร้อมกัน 2 คน

- การกำหนดเพดานค่าใช้จ่ายต่อครั้ง

- การตรวจสอบทางการเงิน
          ด้วยเหตุนี้ ในแต่ละกิจการจึงอาจจะประกอบด้วยกิจกรรมที่เกี่ยวข้องกับแนวคิด GRC ในการบริหารจัดการที่แตกต่างกันออกไป ตลอดจนมีการประสานงานและเชื่อมโยงกันระหว่างฝ่ายงานที่เกี่ยวข้องในโปรแกรม GRC ในแต่ละช่วงเวลาไม่เหมือนกัน กลยุทธ์และนโยบายด้าน GRC ของแต่ละกิจการก็อาจจะแตกต่างกันออกไปตามความชำนาญของแต่ละกิจการ เผชิญหน้ากับปัญหาและอุปสรรคในการประยุกต์ใช้ GRC ไม่เหมือนกันเพราะขึ้นอยู่กับวัตถุประสงค์ด้าน GRC แต่ละกิจการ ท้ายที่สุดก็จะเผชิญหน้ากับความท้าทายแตกต่างกัน
          ในการสำรวจผู้ประกอบการต่างๆเกี่ยวกับการพัฒนาและใช้งาน GRC ในกิจการพบว่ามีความจริงที่น่าสนใจบางประการ ได้แก่
ประการที่ 1
IT GRC ยังคงเป็นองค์ประกอบส่วนใหญ่ของกิจกรรมด้าน GRC ในกิจการส่วนใหญ่ผ่านโปรแกรม GRC ที่กิจการกำหนดในแต่ละปีงบประมาณ

รองลงมาคือ การเน้น Operational GRC ขณะที่การพัฒนา GRC ทางด้านการเงินและด้านการกำกับการปฏิบัติตามกฎเกณฑ์มีสัดส่วนน้อยที่สุด
ประการที่ 2
จุดเริ่มต้นหรือการริเริ่มโครงการ GRC ของกิจการส่วนใหญ่ยังคงมาจากด้าน IT ไม่ได้มาจากสายธุรกิจที่เป็นกระบวนการดำเนินงานหลักของกิจการ และยังได้รับความสนใจจากสายธุรกิจหลักของกิจการน้อย

ทั้งนี้งานด้าน IT GRC  เน้นในเรื่องการรักษาความลับของข้อมูลและการเปิดเผยข้อมูลเป็นสำคัญโดยการทำงานบนรูปแบบ Silo

การที่กิจการส่วนใหญ่มอบหมายงาน GRC เป็นของ IT ทำให้เกิดอุปสรรคและปัญหาในการบูรณาการและความเชื่อมโยงกับแนวคิด GRC อย่างต่อเนื่องและตลอดเวลา โดยอาจมีการบูรณาการกันบ้าง แต่เพียงครั้งเดียวเท่านั้น

นอกจากนั้นการที่เริ่มต้นด้วย   IT GRC  อาจจะเป็นเพราะเป็นงานที่ใช้บุคลากรหรือทรัพยากรน้อย และไม่ต้องเกี่ยวข้องกับฝ่ายงานอื่นมาก  ไม่ต้องการผู้นำ GRCโดยรวมอย่างแท้จริง นอกจากการพัฒนาทั้งหมดบนระบบงานและโปรแกรมซอฟท์แวร์ และยังสะท้อนว่ากิจการยังมีการจัดสรรทรัพยากรและเวลาให้กับการบริหารจัดการตามแนวคิด GRC น้อยเกินไป อีกทั้งความซับซ้อนของเทคโนโลยีทำให้ผู้บริหารระดับสูงต้องการให้มีการพัฒนา IT  GRC ก่อนเพื่อรองรับความจำเป็นจริงๆในเรื่องนี้ก็ได้    
ประการที่ 3
การสำรวจความคิดเห็นเกี่ยวกับอุปสรรคและปัญหาที่ขัดขวางความก้าวหน้าของการบริหารจัดการ GRC ภายในกิจการพบว่าประกอบด้วยประเด็นต่อไปนี้

อุปสรรคที่ 1
การขาดวุฒิภาวะของบุคลากรภายในองค์กรเกี่ยวกับ GRC 

อุปสรรคที่ 2
ความซับซ้อนของโปรแกรมการพัฒนา GRC

อุปสรรคที่ 3
ความไม่พอเพียงของเทคโนโลยีที่มีอยู่ในขณะนั้น

อุปสรรคที่ 4
ขาดภาวะผู้นำที่จะเริ่มต้น หรือริเริ่มโครงการ GRC อย่างเป็นรูปธรรมและต่อเนื่อง

อุปสรรคที่ 5
ความยากลำบากในการว่าจ้างบุคลากรมืออาชีพมาดำเนินงานตามโปรแกรมGRC อย่างต่อเนื่อง

อุปสรรคที่ 6
ขาดการสนับสนุนจากผู้บริหารระดับสูงอย่างต่อเนื่อง

อุปสรรคที่ 7
ไม่สามารถจัดลำดับความสำคัญของกิจกรรมและความจำเป็น

อุปสรรคที่ 8
มีการเปลี่ยนแปลงโครงสร้างองค์กรบ่อยๆ

อุปสรรคที่ 9
ลักษณะวัฒนธรรมการปฏิบัติงานมีการประสานงานข้ามสายงานน้อย

อุปสรรคที่ 10
ขาดทรัพยากร งบประมาณที่สนับสนุนกิจกรรมในวงกว้างระดับองค์กร
ประการที่ 4
ในบรรดาองค์ประกอบ 3 เสาหลักของ GRC คือ G-R-C กิจการส่วนใหญ่ยังคงให้ความสำคัญกับการพัฒนาการบริหารความเสี่ยง เพื่อประเมินความไม่แน่นอนที่ก่อให้เกิดผลกระทบทางลับต่อการบรรลุเป้าหมายและพันธกิจ ตลอดจนการรักษามูลค่าของกิจการในระยะยาว หรือเน้นการบริหารจัดการบนฐานความเสี่ยง(Risk Based Management)
ประการที่ 5
การพัฒนาการบริหารจัดการตามแนวคิด GRC ต้องการลงทุนด้วยจำนวนเงินจำนวนมาก ซึ่งหลายกิจการไม่อาจจัดสรรเงินงบประมาณและแบกรับภาระต้นทุนดังกล่าวได้
ประการที่ 6
กิจการเพียงส่วนน้อยเท่านั้นที่มีความชัดเจนในด้านกลยุทธ์ GRC และกิจการจำนวนไม่น้อยที่ยังไม่มีการวางกลยุทธ์ด้าน GRC ด้วยซ้ำ
ประการที่ 7
กิจกรรมที่เป็นด้าน GRC ที่เกี่ยวข้องกับการบริหารจัดการ GRC ที่เป็นผลงานของกิจการต่างๆ ได้แก่

(1)     Data Mapping

(2)    การวิเคราะห์กระบวนการธุรกิจ(Business Process Analysis)

(3)    แผนที่กระบวนการธุรกิจ (Business Process Mapping)

(4)     Data Inventory

(5)    การกำกับติดตามความเปลี่ยนแปลงทางกฎเกณฑ์ ระเบียบ

(6)     การบริหารด้านเอกสารสู่ e-doc หรือ e-office

(7)     Compliance Monitoring

(8)     ระบบการค้นหาและระบุความเสี่ยง

(9)    ระบบการปรับปรุงการควบคุมภายในและการประเมินตนเองด้านการควบคุมภายใน
ประการที่ 8
กิจกรรมที่ไม่ใช่ GRC ที่กิจการถือว่าเกี่ยวข้องกับ GRC ได้แก่

1)      กิจกรรมการธำรงรักษาความไว้วางใจของลูกค้าที่มีต่อกิจการ

2)      กิจกรรมบังคับใช้นโยบายระดับนโยบายที่ออกประกาศใช้

3)       กิจกรรมการจัดเก็บข้อมูลความสูญเสีย

4)      กิจกรรมการอบรมให้ความรู้ด้าน GRC แก่บุคลากรของกิจการ

5)       กิจกรรมการวางเกณฑ์การกำกับกฎเกณฑ์ระเบียบที่ออกมาใหม่ในรอบปี

6)      กิจกรรมการบริหารข้อมูลที่ต้องแบ่งปันการใช้งานหรือเปิดเผยต่อบุคคลากรภายนอก
ที่มา http://www.oknation.net/blog/chirapon/2012/07/23/entry-1

ไม่มีความคิดเห็น:

โพสต์ความคิดเห็น