การนำเทคโนโลยีสารสนเทศ มาช่วยบริหารจัดการ GRC

......วารุณี ปรีดานนท์

คำถามถามว่า ทำไมต้องใช้

เทคโนโลยีสารสนเทศมาช่วยบริหารจัดการ GRC

เนื่องจากเป็นที่ทราบกันว่าการจัดการเรื่อง GRC จำเป็นต้องทุ่มเททั้งเวลาและบุคลากรเพื่อช่วยในเรื่องการบริหารจัดการ การติดตามเฝ้าระวัง การแจ้งเตือน การตรวจสอบ ให้เกิดขึ้นในองค์กรอยู่ตลอดเวลาซึ่งเป็นเรื่องที่ยาก อีกทั้งองค์กรส่วนมากมีภาระที่ต้องปฏิบัติตามกฎระเบียบและข้อบังคับสากลจากภายในและภายนอกมากมายและนับวันจะมากขึ้น กระบวนการทำงานที่ไม่มีความเชื่อมโยง เกิดความทับซ้อนในบางส่วนเหล่านี้ทำให้การบริหารจัดการ GRC เป็นเรื่องที่เกิดขึ้นได้ยาก ถึงแม้ทำได้ก็จะไม่ต่อเนื่องและยั่งยืน (Discontinuity and Unsustainability) ดังนั้นการนำเทคโนโลยีสารสนเทศเข้ามาเป็นส่วนหนึ่งของ GRC จึงเป็นเรื่องที่สำคัญ ทั้งนี้เพื่อให้เกิดการทำงานอย่างบูรณาการ ลดความทับซ้อนและเพิ่มความถูกต้องของข้อมูล มีระบบการติดตามที่รวดเร็วและตลอดเวลา (RealTime Monitoring) และมีระบบรายงานสำหรับผู้ที่เกี่ยวข้องให้เห็นภาพ รวมของสถานะ GRC ในองค์กร

บทบาทเทคโนโลยีสารสนเทศ

ที่มีต่อ GRC

ในหัวข้อนี้จะขอขยายภาพแบบกว้างเพื่อชี้ให้เห็นว่าเทคโนโลยีสารสนเทศสามารถเข้ามามีส่วนเกี่ยวข้องกับ GRC ในแต่ละส่วนอย่างไร

Governance (การกำกับดูแลองค์กร) : เทคโนโลยีสารสนเทศจะช่วยให้

1) มีการจัดเก็บข้อมูลที่เกี่ยวข้องไว้ที่ส่วนกลาง (Centralized Repository) เพื่อให้คณะกรรมการบริหารสามารถเรียกดูและเข้าถึงข้อมูลจากส่วนกลางนี้ได้ โดยจะสามารถลดความซ้ำซ้อนและทำการรวบรวมข้อมูลที่กระจัดกระจายในรูปแบบต่างๆ อีกทั้งเปิดโอกาสให้ผู้ที่เกี่ยวข้องสามารถเข้าถึงและปรับปรุงข้อมูลให้มี ความทันสมัยสอดคล้องกับกลยุทธ์ขององค์กรได้

2) มีระบบรายงาน (Reporting) และการแสดงผลที่ง่ายต่อการรับรู้ เช่น เป็นลักษณะ Dashboard เพื่อให้ผู้ที่เกี่ยวข้องทุกระดับรับทราบสถานะของความเสี่ยงในองค์กร ติดตามงานได้รวดเร็วและต่อเนื่อง ทั้งนี้เพื่อให้การกำกับดูแลเป็นไปอย่างมีประสิทธิภาพและประสิทธิผลซึ่งเป็นหัวใจหลักของ Governance

Risk Management (การบริหารความเสี่ยง) : ในส่วนนี้เทคโนโลยีสารสนเทศจะช่วยให้ผู้ที่เกี่ยวข้องในทุกระดับสามารถ

1) บันทึกข้อมูลที่เกี่ยวกับการบริหารความเสี่ยงลงในระบบ เช่น ประเภทความเสี่ยงที่ถูกระบุโดยหน่วยงานต่างๆ KRI, Risk Tolerance, Risk Appetite, Risk Owner, Likelihood, Impact, Root Cause, Action Plan อื่นๆ เพื่อลดหรือบริหารความเสี่ยงเหล่านั้น

2) การติดตามสถานะการดำเนินงานเพื่อลดความเสี่ยงของผู้ที่เกี่ยวข้องว่าดำเนินการเรียบร้อย กำลังดำเนินการ หรือดำเนินการเสร็จสิ้นแล้วพร้อมทั้งความเห็น

3) สามารถสร้างความเชื่อมโยงการขจัดความเสี่ยงระหว่างแผนการดำเนินงาน ให้สอดคล้องกับกฎระเบียบ ข้อบังคับ หรือมาตรฐานสากล (เชื่อมโยงกับ Compliance)

4) มีเครื่องมือที่ช่วยในการเชื่อมโยงการบริหารความเสี่ยงเข้ากับกระบวนการทางธุรกิจ (Business Processes) เช่น ระบบ ERP ทำให้คณะกรรมการบริหาร หรือบุคคลที่เกี่ยวข้องสามารถรับทราบความเสี่ยงที่เกิดขึ้นจากการปฏิบัติงานในส่วนต่างๆ ได้ พร้อมเปิดโอกาสให้มีการควบคุมภายในที่ดี

Compliance (การปฏิบัติตามระเบียบหรือการควบคุมภายใน) : ในส่วนนี้เทคโนโลยีสารสนเทศจะช่วย

1) ในการเก็บบันทึก นโยบายขององค์กร (Policies) กฎระเบียบ ข้อบังคับ มาตรฐานสากลต่างๆ ที่บริษัทยึดเป็นแนวปฏิบัติ

2) มีเครื่องมือที่สนับสนุนในกระบวนการพิจารณาและอนุมัติในการนำกฎระเบียบและนโยบายต่างๆ ออกใช้

3) มีเครื่องมือที่ใช้ในการสื่อสารทั้งองค์กรให้มีการรับรู้ และแสงความคิดเห็นได้อย่างกว้างขวางผ่านหลายช่องทาง

4) ระบุแจ้งเตือนเหตุการณ์ (Incident) ที่เกิดจากกระบวนการปฏิบัติงาน ที่เบี่ยงเบนไปจากนโยบาย กฎระเบียบข้อบังคับ หรือมาตรฐานที่กำหนด เป็นต้น

จากที่กล่าวไปข้างต้นจะเห็นได้ว่าการนำเอาเทคโนโลยีสารสนเทศมาเป็นส่วนหนึ่งของการบริหารจัดการ GRC เป็นเรื่องที่จำเป็น การมีข้อมูลที่ถูกต้องทันสมัย การทำให้ GRC เป็นส่วนหนึ่งของการปฏิบัติงาน การมีรายงานและการแจ้งเตือนที่เรียกดูได้ตลอดเวลาเป็นหัวใจสำคัญที่ทำให้การ บริหาร GRC เป็นไปอย่างมีประสิทธิภาพ เกิดความต่อเนื่องและยั่งยืน (Continuity and Sustainability) สามารถลดภาระของบุคลากรรวมถึงงบประมาณที่ต้องใช้ในการบริหารจัดการดังกล่าว

กล่าวโดยสรุป เทคโนโลยีสารสนเทศมีส่วนสำคัญในการสร้างความเชื่อมโยงG, R, C และกระบวนการทางธุรกิจซึ่งก็คือการบูรณาการอย่างแท้จริง หากท่านผู้อ่านมีความสนใจในรายละเอียด สามารถสอบถามข้อมูลเพิ่มเติมได้ที่ Pricewater houseCoopers FAS Ltd., คุณวรรณา ศฤงคารบริบูรณ์ email address : wanna.saringkarnboriboon@ th.pwc.com