1 / 24

การชี้แจงหลักเกณฑ์การประเมิน “ การบริหารความเสี่ยง ” ประจำปีบัญชี 2550 และ 2551

การชี้แจงหลักเกณฑ์การประเมิน “ การบริหารความเสี่ยง ” ประจำปีบัญชี 2550 และ 2551. การชี้แจงหลักเกณฑ์การประเมินการบริหารความเสี่ยงปีบัญชี 2550. 1. รายละเอียดเกณฑ์ย่อยประเด็น IT Security Room ที่ได้ปรับใหม่. ระดับที่ 4 : การบริหารความเสี่ยงเพื่อสร้างมูลค่าเพิ่มกับองค์กร.

holt
Download Presentation

การชี้แจงหลักเกณฑ์การประเมิน “ การบริหารความเสี่ยง ” ประจำปีบัญชี 2550 และ 2551

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. การชี้แจงหลักเกณฑ์การประเมิน “การบริหารความเสี่ยง” ประจำปีบัญชี 2550 และ 2551

  2. การชี้แจงหลักเกณฑ์การประเมินการบริหารความเสี่ยงปีบัญชี 2550 1. รายละเอียดเกณฑ์ย่อยประเด็น IT Security Room ที่ได้ปรับใหม่ ระดับที่ 4 : การบริหารความเสี่ยงเพื่อสร้างมูลค่าเพิ่มกับองค์กร การชี้แจงหลักเกณฑ์การประเมินการบริหารความเสี่ยงปีบัญชี 2551 1. การประเมินด้าน ITG เพื่อรองรับ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 และ (ร่าง) พรฎ. กำหนดวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรม ระดับที่ 4 : การบริหารความเสี่ยงเพื่อสร้างมูลค่าเพิ่มกับองค์กร

  3. ระดับที่ 5 • ปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมนำไปสู่การสร้าง Value Creation : • กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงานและสัมพันธ์กับค่าตอบแทน • มีการบริหารเทคโนโลยีสารสนเทศที่ดีตามเกณฑ์ • การบริหารความเสี่ยงเป็นการสนับสนุนการบริหารเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) • ระดับที่ 4 • การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร: • - มีกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน • มีการสนับสนุนการบริหารฯเพื่อเพิ่มมูลค่า • มีการทบทวนและปรับปรุงการบริหารความเสี่ยงสม่ำเสมอ • มีการบริหารเทคโนโลยีสารสนเทศที่ดีตามเกณฑ์ • ผลการบริหารความเสี่ยงที่เกิดขึ้นใกล้เคียงหรือดีกว่าแผน • จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง • ระดับที่ 3 • มีการเชื่อมโยงและบูรณาการความเสี่ยงกับITG : • มีการกำหนด risk appetite และ risk tolerance ครอบคลุมความเสี่ยงที่เป็น • S-O-F-C • มีการบริหารความเสี่ยงที่เป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร • มีการบริหารความเสี่ยงแบบบูรณาการ • มีการบริหารเทคโนโลยีสารสนเทศที่ดีตามเกณฑ์ ฯ • ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงเป็นไปตามแผนฯ ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ: -มีการบริหารเป็น กลยุทธ์ระยะสั้น - มีกระบวนการบริหารความเสี่ยงแยกออกเป็นส่วนๆ - มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ -ผลการบริหารความเสี่ยงที่เกิดขึ้นด้อยกว่าแผน และไม่ต่างจากอดีตที่ผ่านมาก่อนมีการบริหารความเสี่ยง • ระดับที่ 1 • การบริหารความเสี่ยงน้อยมาก : • - บริหารเชิงรับเป็นส่วนใหญ่ • มีแนวทางการบริหารความเสี่ยงที่ไม่เป็นระบบ • ไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ • ไม่มีคู่มือการบริหารความเสี่ยง การเจริญเติบโตอย่างยั่งยืนสู่เป้าหมายขององค์กร การเพิ่มมูลค่าของผู้มีผลประโยชน์ร่วม การวัดระดับการบริหารความเสี่ยง

  4. หลักเกณฑ์การประเมินการบริหารความเสี่ยงปีบัญชี 2550

  5. ระดับที่1การบริหารความเสี่ยงน้อยมากระดับที่1การบริหารความเสี่ยงน้อยมาก • มีแนวทางการบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น • มีแนวทางการบริหารความเสี่ยงที่ยังไม่เป็นระบบ • ไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ • ไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

  6. ระดับที่2การบริหารความเสี่ยงเบื้องต้นที่มีระบบระดับที่2การบริหารความเสี่ยงเบื้องต้นที่มีระบบ • การบริหารความเสี่ยงของรส.เป็นกลยุทธ์ระยะสั้น • รส.มีกระบวนการบริหารความเสี่ยงออกเป็นส่วนๆ • รส.มีการจัดทำคู่มือการบริหารความเสี่ยงที่มีคุณสมบัติของคู่มือที่ดีครบถ้วน • ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงด้อยกว่าแผนฯและไม่ต่างจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง

  7. ระดับที่3การเชื่อมโยงและบูรณาการความเสี่ยงกับ ITG • มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่2 • มีการกำหนด Risk Appetite และ Risk Tolerance โดยครอบคลุมความเสี่ยงที่เป็น S-O-F-C โดยการกำหนด Risk Appetite และ Risk Tolerance ต้องสอดคล้องกับเป้าหมายขององค์กร • มีการบริหารความเสี่ยงที่เป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร • มีการบริหารความเสี่ยงแบบบูรณาการโดยต้องผ่านคณะกรรมการบริหารความเสี่ยงให้ความเห็นชอบ • มีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนด • มีผลการบริหารความเสี่ยงที่เกิดขึ้นจริงส่วนใหญ่เป็นไปตามแผนฯ

  8. ระดับที่4การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กรระดับที่4การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร • มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่3 • มีกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรส. • มีการสนับสนุนการบริหารฯเพื่อเพิ่มมูลค่าขององค์กร • มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น • การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง • มีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนด • มีผลการบริหารความเสี่ยงที่เกิดขึ้นจริงดีกว่าแผนฯ

  9. ระดับที่5การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมระดับที่5การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรม ที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) • มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่4 • กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงานและเป็นส่วนสำคัญของการพิจารณาผลตอบแทนและ/หรือความดีความชอบ • การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามเป้าหมายที่กำหนด • การบริหารความเสี่ยงเป็นการสนับสนุนการบริหารเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation)

  10. การกำหนดน้ำหนักย่อยในระดับที่ 4

  11. ระดับ4-การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กรระดับ4-การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร น้ำหนัก(ร้อยละ) 1.มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่3 2.บริหารความเสี่ยงเชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน 10 3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯเพื่อเพิ่มมูลค่าฯ (Value Enhancement) 3.1ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน 10 3.2มีการวิเคราะห์/บริหารให้บรรลุเป้าหมายการเงินและมีการวิเคราะห์เพื่อสร้างมูลค่าขององค์กร (Value Creation) 10 3.3มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุดอย่างต่อเนื่อง 5 4.มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น 10 5.การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง 5 6.การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี 6.1 Board มีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT 6.1.1มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up) 6.1.2มี Business Continuity Management : BCM 6.1.3มี IT Security Room ตามมาตรฐาน EN 1047-2หรือUL72 หรือ มาตรฐานอื่นที่อ้างอิงได้ว่าเป็น มาตรฐานสากล โดยต้องเป็นมาตรฐานเกี่ยวกับความปลอดภัย และการควบคุมทาง Physical  5 5 5 6.2 Board มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT เช่นตั้ง IT Strategy Committee 10 6.3ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ 10 6.4ระบบ e-DOC (Electronic Department Operation Center) ใช้งานได้และข้อมูลมีด้าน S-O-F-C 5 7.ผลที่เกิดขึ้นใกล้เคียงหรือดีกว่าแผนและดีขึ้นจากอดีต 10 รวม 100

  12. สรุปการปรับปรุงเกณฑ์ IT Security Room ใน “ระดับ 4” ปี 2550 ผ่าน: EN/UL/มาตรฐานความปลอดภัยที่เป็นสากล ที่เกี่ยวกับความปลอดภัย และการควบคุมทาง Physical ที่อ้างอิงได้ ปรับเกณฑ์ IT Security Room 2550 รส. Critical Infrastructure - 0.1 ถ้าไม่มี ผ่าน แต่ติดลบ รส. ที่ไม่ใช่ Critical Infrastructure - 0.05 “Critical Infrastructure” ยึดตามเกณฑ์ของ NECTEC

  13. การพิจารณา Critical Infrastructure ตามเกณฑ์ของ NECTEC • 1. ด้านบุคคลที่ได้รับผลกระทบ • กระทบผู้ใช้จำนวนประมาณน้อยกว่า 10,000 คน = Low • กระทบผู้ใช้จำนวนประมาณ10,000 - 100,000 คน = Moderate • กระทบผู้ใช้จำนวนประมาณมากกว่า 100,000 คน= High • 2. ด้านความปลอดภัยในชีวิตและสุขภาพของผู้ใช้งาน • ไม่ได้รับผลกระทบด้านความเจ็บป่วย จัดเป็นระดับLow • หากบาดเจ็บ หรือ ป่วย 1 คนจัดเป็นระดับ Moderate • หากเสียชีวิตเพียง 1 คนจัดเป็นระดับ High • 3. ด้านมูลค่าความเสียหายโดยตรงของผู้ใช้บริการ • หากเสียหายทางธุรกิจต่อวันมูลค่าประมาณ 1 ล้านบาท จัดเป็นระดับ Low • หากเสียหายทางธุรกิจต่อวันมูลค่าระหว่างประมาณ 1– 100 ล้านบาทจัดเป็นระดับ Moderate • หากเสียหายทางธุรกิจต่อวันมูลค่าเกินกว่า 100 ล้านบาท จัดเป็นระดับ High • 4. ด้านผลกระทบทางด้านความมั่นคงและความสงบเรียบร้อยของประเทศ • มี/ไม่มี โดย แต่ละองค์กรต้องวิเคราะห์ Impact ตาม 4parameter นี้

  14. หลักเกณฑ์การประเมินการบริหารความเสี่ยงปีบัญชี 2551

  15. 1. การประเมินด้าน ITG เพื่อรองรับ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 และ (ร่าง) พรฎ. กำหนดวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรม ระดับที่ 4 : การบริหารความเสี่ยงเพื่อสร้างมูลค่าเพิ่มกับองค์กร ทั้งนี้ (ร่าง) พรฎ. กำหนดวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรมประยุกต์โดยอาศัย มาตรฐาน BS-7799, ISO/IEC 17799

  16. 2000 edition 2005 edition การแก้ไขปรับปรุงมาตรฐาน BS-7799, ISO/IEC 17799

  17. เพิ่มเกณฑ์การจัดทำแผนเพื่อรองรับพรบ.และ พรฎ. ใน “ระดับ 4” ปี 2551 • วัดการจัดทำแผนให้แล้วเสร็จภายใน พ.ค. 2551และการดำเนินงานตามแผนเพื่อรองรับ พรบ. และ พรฎ. • รส. สามารถเลือกที่จะทำแผนสำหรับ ระบบหลัก เลย หรือ ระบบรอง/สนับสนุน ก่อน เพื่อเป็นการศึกษานำร่องก่อนที่จะทำระบบหลักจริง • ถ้า รส. เลือกทำ ระบบรอง/สนับสนุน ก่อน จะต้องทำแผนเพื่อให้ ระบบรอง/สนับสนุน แล้วเสร็จภายใน 2 ปี (ปี 2552) ทั้ง 11 Domains ทั้งนี้ แผนจะต้องรวมถึงแผนสำหรับ ระบบหลัก เพื่อให้แล้วเสร็จภายใน 2 ปี นับตั้งแต่ ระบบรอง/สนับสนุน แล้วเสร็จ • ถ้า รส. เลือกทำ ระบบหลัก เลย จะต้องทำแผนเพื่อให้แล้วเสร็จภายใน 2 ปี (ปี 2552) ทั้ง 11 Domains เช่นกัน • การประเมินปี 2551 จะประเมินว่า รส. จัดทำแผน แล้วเสร็จภายใน พ.ค. 2551และสามารถดำเนินงานตามแผน ได้หรือไม่ • “ระบบหลัก” พิจารณาจากภารกิจของ รส. หรือ จากระบบที่วิเคราะห์ตาม BCM/BCP

  18. แผนภาพแสดงหลักการของการประเมินปี 2551 2550255125522554 ระบบหลัก ถ้าเลือกระบบหลัก ทำแผน ภายใน พ.ค. 51 Start ระบบหลัก ระบบรอง/สนันสนุน ถ้าเลือกระบบรอง วางแผนสำหรับ ระบบหลัก

  19. การกำหนดน้ำหนักของการจัดทำแผน ISO 27001 ใน “ระดับ 4” ปี 2551 ระดับ4-การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร น้ำหนัก(ร้อยละ) 6.การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี 5 5 5 6.1 Board มีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT 6.1.1มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up) 6.1.2มี Business Continuity Management : BCM 6.1.3มี IT Security Room ตามมาตรฐาน EN 1047-2หรือUL72 หรือ มาตรฐานอื่นที่อ้างอิงได้ว่าเป็น มาตรฐานสากล โดยต้องเป็นมาตรฐานเกี่ยวกับความปลอดภัย และการควบคุมทาง Physical 10 6.3ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ 15 6.4การจัดทำแผนและดำเนินการตามแผนเพื่อรองรับ พรบ. และ พรฎ. ด้านความปลอดภัยทางอิเล็คโทรนิกส์ • โดยการประเมิน 6.2 (Board มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT เช่น ตั้ง IT Strategy Committee)และ 6.4 (ระบบ e-DOC (Electronic Department Operation Center) ใช้งานได้และข้อมูลมีด้าน S-O-F-C) เดิม กำหนดให้เป็นเงื่อนไข • ให้ รส. ยังคงต้องดำเนินการอยู่ หากไม่ดำเนินการตามจะถูกปรับคะแนนลง 0.10 คะแนน

  20. ขอบพระคุณ

  21. ระดับ1-การบริหารความเสี่ยงน้อยมากระดับ1-การบริหารความเสี่ยงน้อยมาก 1.มีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น 1.1รส.ขาดการบริหารจัดการความเสี่ยง 1.2รส.มีการดำเนินการเบื้องต้นในการสร้างความเข้าใจในการบริหารความเสี่ยง 2.แนวทางการบริหารความเสี่ยงยังไม่เป็นระบบ 2.1รัฐวิสาหกิจมีองค์ประกอบหลักของการบริหารความเสี่ยงที่ดีไม่ครบถ้วน(องค์ประกอบหลักของการบริหารความเสี่ยงที่ดีควรประกอบด้วยนโยบายและกลยุทธ์การบริหาร ความเสี่ยงการกำหนดวัตถุประสงค์การบ่งชี้ความเสี่ยงการประเมินความเสี่ยงการจัดการ ความเสี่ยงและการติดตามผลและการรายงาน) 2.2รัฐวิสาหกิจไม่มี Risk Based Internal Control 2.3รัฐวิสาหกิจมีองค์ประกอบครบถ้วนแต่ขาดการจัดการต่อความเสี่ยงที่มีลำดับสูง 2.4รัฐวิสาหกิจขาดความสอดคล้องกันระหว่างองค์ประกอบหลักตามข้อ2.1 3.รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในระดับองค์กร 4.รัฐวิสาหกิจไม่มีคู่มือการบริหารความเสี่ยง

  22. ระดับ2-การบริหารความเสี่ยงเบื้องต้นที่มีระบบระดับ2-การบริหารความเสี่ยงเบื้องต้นที่มีระบบ น้ำหนัก (ร้อยละ) 1.การบริหารความเสี่ยงของรัฐวิสาหกิจเป็นกลยุทธ์ระยะสั้น 1.1โครงสร้างคณะทำงานเป็นลักษณะเฉพาะกาล/ยังไม่ทำงานเป็นรูปธรรม 10 1.2ไม่แสดงถึงการดำเนินงานให้การบริหารความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร 10 2.ระบุความเสี่ยงจากต้นเหตุมีกระบวนการบริหารความเสี่ยงแยกเป็นส่วนๆ 2.1มีองค์ประกอบหลักครบถ้วนแต่ยังมีการบริหารความเสี่ยงเป็นส่วนๆ(ไม่มี Risk Map) 20 2.2การดำเนินงานบริหารความเสี่ยงเป็นการดำเนินงานเฉพาะส่วนหรือฝ่ายไม่ใช่ในระดับองค์กร 20 3.รส.มีการจัดทำคู่มือการบริหารความเสี่ยงเบื้องต้น 15 4.ผลการบริหารความเสี่ยงด้อยกว่าแผนฯและไม่ต่างจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง 25 รวม 100

  23. ระดับ3: การเชื่อมโยงและบูรณาการความเสี่ยงกับ ITG น้ำหนัก(ร้อยละ) 1.มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่2 2. มีการกำหนด Risk Appetite และ Risk Tolerance 10 3.การบริหารความเสี่ยงที่ต่อเนื่องทั้งองค์กร 3.1มีหน่วยงานที่รับผิดชอบและมีการทำงานเป็นรูปธรรม 10 3.2มีการดำเนินงานให้การบริหารความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร 10 4.มีการบริหารความเสี่ยงแบบบูรณาการ 4.1พิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ 10 4.2เป็นการดำเนินงานในระดับองค์กรโดยพิจารณาถึงความสัมพันธ์และผลกระทบภายในองค์กร 10 5.การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี 5.1ฝ่ายบริหารจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG 5 5.2 Board ติดตามดูแลฝ่ายบริหารให้ใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ 10 5.3 Audit Com กำกับดูแลและติดตามรวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการ IT 10 5.4 Audit Com ทบทวนกฎบัตร (Charter) เกี่ยวกับการจัดการ IT 5 5.5ระบบ e-DOC (Electronic Department Operation Center) แล้วเสร็จ 5 6.ผลบริหารความเสี่ยงไม่เป็นตามแต่ดีขึ้นจากอดีต 15 รวม 100

  24. ระดับ5: การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่า (Value Creation) น้ำหนัก (ร้อยละ) 1.มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่4 2. การบริหารความเสี่ยงเป็นกิจกรรมประจำวันและเป็นส่วนที่สำคัญของการพิจารณาผลตอบแทน 2.1แผนงานการบริหารความเสี่ยงสอดคล้องกับ Performance Evaluation ขององค์กร 2.2มีแผนในการประเมินผลของบุคคลหรือสายงานที่เกี่ยวข้องกับการบริหารความเสี่ยง 2.3 กำหนดเป้าหมายร่วมกันแต่ละหน่วยงานเพื่อการบริหารความเสี่ยงขององค์กรโดยรวมและมีการติดตามต่อเนื่อง 10 10 20 3.การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี 3.1 Board สร้างความมั่นใจถึงสมดุลระหว่างการลงทุนกับความเสี่ยงที่อาจเกิดขึ้น 20 3.2 Board สร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของการจัดการด้าน IT 20 4. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้รวมถึง การที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผัน เหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจหรือการที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความ มั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) เพื่อการสร้างสรรค์/นวัตกรรม (Innovation) 20 รวม 100

More Related