Performance Scorecard

โดย ดร.สันติพัฒน์ อรุณธารี Chief Technology Officer : PTT ICT Solutions, and CEO MBA program

ในโลกธุรกิจมีการปรับเปลี่ยนอย่างรวดเร็วตามกระแสการเปลี่ยนแปลงแบบโลกาภิวัฒน์ ทำให้ทุกองค์กรต้องปรับตัวให้สอดคล้องกับสภาพแวดล้อมทางเศรษฐกิจของแต่ล่ะประเทศ โดยไอซีทีถูกปรับเปลี่ยนจากเครื่องอำนวยความสะดวก มาเป็นเครื่องมือขับเคลื่อนทางธุรกิจ ในการสร้างศักยภาพและเพิ่มขีดความสามารถทางการแข่งขันให้องค์กรธุรกิจมากยิ่งขึ้น
อย่างไรก็ตามเมื่อไอซีทีเข้ามามีบทบาทมากขึ้น องค์กรธุรกิจส่วนใหญ่ต่างให้ความสำคัญกับการเชื่อมโยงลูกค้า ผู้ขาย และคู่ค้าทางธุรกิจ ไว้ด้วยสถาปัตยกรรมหลักขององค์กร เมื่อความต้องการทางธุรกิจมีการเปลี่ยนแปลงพร้อมความก้าวหน้าทางเทคโนโลยีจะสามารถสร้างโอกาสให้กับธุรกิจในการทำกำไร องค์กรธุรกิจปัจจุบันจึงต้องมีกำหนดวัตถุประสงค์พื้นฐานตามสภาพแวดล้อมที่ทุกองค์กรต่างต้องเผชิญจากปัจจัยภายในและภายนอก รวมทั้งกำหนดมาตรการที่จำเป็นเพื่อการบริหารจัดการความเสี่ยงจากการนำไอซีทีมาใช้สนองตอบความต้องการทางธุรกิจ ทำให้ส่งผลกระทบต่อวัตถุประสงค์เชิงกลยุทธ์ โดยถูกเชื่อมโยงตามระดับขั้นลดหลั่นกันมา 4 ประการ คือ 1) ความสอดคล้องและสนับสนุนพันธกิจขององค์กร 2) ใช้ทรัพยากรอย่างมีประสิทธิผลและมีประสิทธิภาพ 3) มีความน่าเชื่อถือของรายงาน และ 4) การปฏิบัติให้ถูกต้องตามกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง (กรอบโครงสร้างการบริหารความเสี่ยงเชิงบูรณาการ, 2551)
กรอบวัตถุประสงค์ของการบริหารความเสี่ยงเชิงบูรณาการณ์ที่จะนำความสำเร็จมาสู่องค์กร เป็นกรอบแนวทางปฏิบัติที่ดีที่ได้รับการยอมรับอย่างกว้างขวาง ในการกำหนดกระบวนการทำงานภายใน เริ่มตั้งแต่การกำหนดกลยุทธ์ให้ตรงกับวัตถุประสงค์เพื่อสร้างความเชื่อมั่นในการดำเนินงานให้บรรลุผลสัมฤทธิ์ ซึ่งองค์กรชั้นนำของโลก อันได้แก่ PricewaterhouseCoopers KPMG Ernst & Young และ Deloitte Touche Tohmatsu ผู้ให้บริการงานที่ปรึกษาโดยเฉพาะงานตรวจสอบหรือรู้จักกันแพร่หลายในกลุ่มที่ถูกเรียกว่า “Big Four” ได้นำหลักของการควบคุมภายในที่ดีตามมาตรฐาน COSO (Committee of Sponsoring Organizations of The Treadway Commission) มาเป็นกรอบแนวปฏิบัติตามนโยบายขององค์กรที่ต้องยึดถือปฏิบัติควบคู่กับกระบวนการตรวจสอบภายใน (Internal Audit) ขององค์กร เป็นกลไกขับเคลื่อนองค์กรให้สามารถบริหารจัดการเชิงรุกทั้งในปัจจุบันและอนาคต
การควบคุมภายในตามมาตรฐาน COSO เกิดขึ้นครั้งแรกในปีพ.ศ. 2535 โดยออกเป็นรายงานเรียกว่า COSO Internal Control Integrated Framework 5 องค์ประกอบสำคัญเพื่อผนวกเข้ากับกระบวนการบริหารขององค์กร จากอดีตเป็นต้นมาทำให้ระบบการควบคุมมีประสิทธิภาพมากยิ่งขึ้น ปัจจุบันนี้แนวทางการบริหารธุรกิจมีการปรับเปลี่ยนให้สอดคล้องกับสภาพทางธุรกิจ มาตรฐาน COSO เพิ่มมุมมองเป็น 8 องค์ประกอบเพื่อรองรับวิธีการกำหนดกลยุทธ์ทางธุรกิจให้มีทิศทางเดียวกันกับกลยุทธ์ตามวัตถุประสงค์อื่นๆ ขององค์กร โดยเน้นการบริหารเชิงรุกเพื่อจัดการความเสี่ยงที่เกิดขึ้น จะสร้างความได้เปรียบในการแข่งขันเชิงธุรกิจ แล้วปรับ กลยุทธ์เพื่อจัดการกระบวนการทำงานภายในที่มีความเสี่ยงอันไม่อาจยอมรับได้ ด้วยระบบการควบคุมภายในของกิจการของตนตามกรอบการควบคุมภายในเชิงบูรณาการ หรือ COSO ERM (Enterprise Risk Management — Integrated Framework ) ถูกพัฒนาขึ้นเป็นกรอบให้องค์กรสามารถปฏิบัติตามตาม ขณะเดียวกัน เพื่อความสอดคล้องกับการเปลี่ยนแปลงของเทคโนโลยีที่ส่งผลโดยตรงต่อธุรกิจ เราสามารถนำกรอบโครงสร้างการบริหารความเสี่ยงประยุกต์ใช้ในการบริหารจัดการไอซีทีขององค์กร ด้วยกระบวนการคิดที่เป็นระบบระเบียบจะทำให้คลอบคลุมการให้บริการด้านไอซีต่อหน่วยงานอื่นที่เกี่ยวข้องได้ผลลัพธ์ที่คุ้มค่ากับการลงทุน
ขณะเดียวกันนอกเหนือกลยุทธ์ตามวัตถุประสงค์ต่างๆ มีความสอดคล้องกันทั่วทั้งองค์กรแล้ว ในเรื่องการจัดการด้านข้อมูลธุรกิจ การสร้างศักยภาพด้านไอซีที การวิเคราะห์ข้อมูลสนองตอบต่อลูกค้า สิ่งต่างๆ เหล่านี้ล้วนประกอบด้วยวิธีการปฏิบัติที่มีความแตกต่างกัน จำเป็นต้องอาศัยแนวทางหรือมาตรการควบคุมและดูแลไอซีทีภายในองค์กร ให้มีความสอดประสานกันกับกลยุทธ์ตามวัตถุประสงค์ระดับองค์กร และเดินไปในทิศทางเดียวกับกลยุทธ์ทางธุรกิจ หนึ่งในแนวมาตรฐานที่ได้รับการยอมรับระดับสากล คือ กรอบมาตรฐานโคบิต (COBIT Framework) ที่ได้รับการรับรองมาตรฐาน CISA (Certified Information Systems Auditor) โคบิตย่อมาจาก COBIT-Control Objective for Information and Related Technology เป็นแนวทางในการตรวจสอบระบบเทคโนโลยีสารสนเทศทุกระดับในองค์กร เน้นการควบคุมการกำกับดูแล เกี่ยวกับกฎระเบียบและกระบวนการที่องค์กรต้องปฏิบัติ ในด้านเทคโนโลยีสารสนเทศ ซึ่งเป็นรูปแบบวิธีปฏิบัติที่ได้ถูกพัฒนาขึ้นโดยกลุ่มความร่วมมือ Information Systems Audit and Control Association (ISACA) และสถาบันไอทีภิบาล (IT Governance Institute: ITGI) สำหรับการสร้างไอทีภิบาล (IT Governance) ที่เป็นส่วนสำคัญต่อความสำเร็จตามหลักธรรมาภิบาล ที่มุ่งปรับปรุงมาตรฐานด้านประสิทธิภาพและประสิทธิผลของกระบวนการปฏิบัติงาน ตามมาตรฐานที่เป็นที่ยอมรับในระดับสากล โดยมีการพัฒนาอย่างต่อเนื่องตามกรอบการดำเนินงานให้ตรงกับตรงกับสภาพแวดล้อมทางธุรกิจปัจจุบัน

ภาพที่ 1 การผสมผสานระหว่างองค์ประกอบของ COSO และ COBIT (ดัดแปลงจาก COSO ERM, 2004)

โดยทั่วไประบบการควบคุมภายในขององค์กรจะอาศัยผู้ตรวจสอบระบบ (Auditor) เป็นผู้สอบทานการดำเนินงานภายในขององค์กร โดยเชื่อมโยงระบบงานเข้ากับแนวทางการปฏิบัติ COSO ประกอบด้วย 8 องค์ประกอบหลักคือ 1) สภาพแวดล้อมภายใน 2) การกำหนดวัตถุประสงค์ 3) การระบุเหตุการณ์ 4) การระบุเหตุการณ์ 4) การประเมินความเสี่ยง 5) การตอบสนองต่อความเสี่ยง 6) การกำหนดกิจกรรมการควบคุม 7) การจัดการสารสนเทศและการสื่อสาร และ 8) ต้องมีการติดตามประเมินผลกรอบปฏิบัติโคบิตคือหนึ่งในแนวทางที่ถูกนำมาประยุกต์ใช้ ดังจะเห็นได้จาก ตลาดหลักทรัพย์สหรัฐอเมริกาต้องการสร้างความมั่นใจให้นักลงทุนโดยออกระเบียบที่เป็นรัฐบัญญัติของสหรัฐอเมริกา มีชื่อเรียกว่า The Sarbanes-Oxley Act of 2002 มีชื่อย่ออย่างเป็นทางการของกฎหมายฉบับนี้ คือ Public Company Accounting Reform and Investor Protection Act of 2002 (SOX หรือ Sarbox) ได้กล่าวไว้ว่ากระบวนการทางธุรกิจต้องทำหน้าที่เชื่อมโยงความสัมพันธ์ของ COSO และ COBIT เข้าไว้ด้วยกันเพราะเชื่อว่าจะสามารถทำให้กระบวนการดำเนินงานของไอซีทีมีประสิทธิภาพโดยอาศัยองค์ประกอบหลักทั้ง 5 ของ COSO เดิมเชื่อมโยงกระบวนการด้านไอซีทีไว้ในแต่ละโดเมนตามมาตรฐาน COBIT ทั้งนี้เมื่อ COSO ถูกปรับเปลี่ยนเป็น COSO ERM แล้ว เพื่อทำการปรับกระบวนการไอซีทีให้บรรลุวัตถุประสงค์ด้วยกระบวนการคิดที่เป็นระบบระเบียบมากยิ่งขึ้น เราจึงได้ Mapping วัตถุประสงค์ของ COBIT กับองค์ประกอบของ COSO ERM ทั้ง 8 องค์ประกอบเข้าไว้ด้วยกัน ปรากฏในรูปภาพที่ 1



จากภาพที่ 1 เมื่อพิจารณาตามกรอบมาตรฐานโคบิต 4 โดเมนหลัก จะมีความสอดคล้องกับวัตถุประสงค์ที่จะเป็นกรอบในการควบคุมไอซีที องค์ประกอบหลักของCOSO ERM เป็นการนำวิธีการบริหารความเสี่ยงเป็นกรอบ หรือหลักในการวิเคราะห์เพื่อประเมินความเสี่ยงร่วมกับการกำหนดแผนกลยุทธ์ตามวัตถุประสงค์ด้านไอซีทีขององค์กรเข้าไว้ด้วยกันกับมาตรฐาน COBIT
แม้ว่ากรอบการบริหารความเสี่ยงถูกเชื่อมโยงกับวัตถุประสงค์ของการควบคุมไอซีทีตามทิศทางที่น่าจะถูกต้องแล้ว แต่สิ่งสำคัญที่จะเป็นหลักประกันความมั่นใจว่ากระบวนการเชื่อมโยงความสัมพันธ์เชิงเหตุผลดังกล่าว จะถูกนำไปประยุกต์ปฏิบัติให้สอดคล้องกับสภาพแวดล้อมทางธุรกิจ โดยผลลัพธ์ของความสำเร็จดังกล่าวยังต้องสามารถวัดผลงานได้ด้วยเครื่องมือสร้างดุลยภาพการปฏิบัติงานตาม 4 มุมมองหลักของ Balanced Scorecard (BSC) ซึ่งเป็นทฤษฎีของโรเบิร์ต เอส แคปแลน และเดวิด พี นอร์ตัน (Robert S. Kaplan and David P. Norton) ได้ถูกพัฒนาขึ้นในปีพ.ศ. 2535 จากมหาวิทยาลัยฮาร์วาร์ด BSC เป็นระบบการวัดผลการดำเนินงานที่สามารถเชื่อมโยงกลยุทธ์ทางธุรกิจ ทำให้ส่งผลสัมฤทธิ์ในการประกอบธุรกิจ โดยองค์กรต้องพิจารณาร่วมกันใน 4 มุมมองหลัก อันได้แก่ 1) การมุ่งเน้นรายงานทางการเงินและการบัญชี 2) การตอบสนองความต้องการของลูกค้า 3) เน้นกระบวนการทำงานภายในให้มีประสิทธิภาพ และมุมมองที่ 4 ความมุ่งมั่นให้เกิดนวัตกรรมและกระบวนการเรียนรู้อย่างต่อเนื่อง ซึ่งแต่ละมุมมองประกอบด้วยวัตถุประสงค์ที่มีการเชื่อมโยงกันตามหลักของเหตุและผล (Cause and Effect Relationship) การประเมินและติดตามผลการดำเนินงานโดยใช้แนวคิด BSC ในการวัดผลการดำเนินงานพร้อมติดตามอย่างสม่ำเสมอของ BSC ได้ถูกประยุกต์ใช้ในหน่วยงานราชการ รัฐวิสาหกิจ และเอกชนในประเทศไทย ซึ่งหน่วยงานกำกับต่างให้ความสำคัญสะท้อนออกมาในมุมของการควบคุม กำกับและดูแล (Compliance Perspective) ให้องค์กรธุรกิจภายใต้การกำกับนั้นๆ ต้องปฏิบัติตาม บทบาทหน้าที่ของผู้ตรวจสอบ ในการให้คำปรึกษาและสร้างความเชื่อมั่นได้ออกแบบการควบคุมและแนวทางในการปฏิบัติทางด้านเทคโนโลยีสารสนเทศ ให้กระบวนการต่างๆ เกิดขึ้นเหมือนการทำงานปกติและมีการปฏิบัติอย่างสม่ำเสมอ โดยระบบการควบคุมภายในที่ดี จะสร้างความน่าเชื่อถือให้ว่าองค์กรมีการกำกับดูแลกิจการที่ดี (Good Corporate Governance) สามารถปฏิบัติงานได้มีประสิทธิภาพและเกิดประโยชน์สูงสุดต่อองค์กร (Corporate Performance) ทำให้เกิดการพัฒนากระบวนการเรียนรู้ ส่งผลให้เกิดการปรับปรุงกระบวนการภายในองค์กร อันมีความสอดประสานกับมุมมองในเรื่องกฎระเบียบและข้อบังคับทั้งภายในและภายนอกองค์กร (Compliance Perspective) ซึ่งเมื่อกระบวนการถูกปรับปรุงอย่างต่อเนื่อง ก็จะสร้างความพึงพอใจให้กับลูกค้าและทำให้รายงานทางการเงินและบัญชีขององค์กรเกิดความถูกต้องโปร่งใส นั่นคือมุมมองทั้ง 8 ที่เกิดขึ้นจากกระบวนการแสดงความสัมพันธ์ Performance Scorecard ตามภาพที่ 2

ที่มา จุลสาร สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย พ.ศ. 2551 (www.theiiat.or.th)