คำศัพท์
จากที่ประชุมเมื่อวานหนึ่งในหลายหัวข้อ คือการจัดทำ Reference คำศัพท์ที่มักเจอบ่อยครั้งในการศึกษา Cobit Framework
ทั้งนี้เพื่อให้ทุกคนร่วมเข้าใจและศึกษาไปในทิศทางเดียวกัน ผมขอเริ่มจากศัพท์ที่ผมเจอก่อนหากใครมีคำแนะหรือจะเพิ่มศัพท์อื่นๆเชิญต่อได้เลยนะครับ
- Framework = กรอบงาน
- Control Framework = กรอบการควบคุม
- IT Governance = ไอทีภิบาล
- Authoritative =เชื่อถือได้, มีอำนาจ
- Enterprise = องค์กร
ส่วน 2 คำนี้สงสัยว่าจะให้ความหมายต่างกันอย่างไร
- Enterprise = องค์กร ?
- Corporate = องค์กร ?
คำนี้จะให้ความหมายว่าอย่างไร
Assurance professionals = ผู้เชี่ยวชาญด้าน ?
อื่นๆอีกมากมายจะทยอยนำมาเพิ่มนะครับ
(โอ๊ต)
ความเห็นนะครับ
Corporate (adj.) หมู่คณะ บริษัท มัก focus ไปที่กลุ่มคนที่รวมกัน
Enterprise (n.) โครงการ กิจการ--> มัก focus ในเรื่องโครงสร้างการทำงาน
เพิ่มเติมครับ
Control Objective = IT Process เข้าใจว่าเป็นเรื่องของ Trademark จึงทำให้มีการเรียกว่า Control Objective แทนที่จะใช้คำว่า IT Process
Incident (n.) =อุบัติการณ์ หมายถึง Situation หรือตำแหน่งที่มีความเสี่ยงต่อการเกิด accident เช่น การขับรถฝ่าไฟแดง ย่อมเสี่ยงต่อการโดนจับ การไปยืนอยู่บนที่สูงๆ ย่อมเสี่ยงต่อการตกลงมา Tactical Plan (adj.) แผนระดับปฏิบัติการ ตรงข้ามกับ Strategic PlanOutage ระยะเวลาที่ระบบที่ให้บริการเกิดการขัดข้อง ในการให้บริการงานด้าน IT 100% จะประกอบด้วย “ระยะเวลาที่ให้บริการได้ปกติ (availability) + ระยะเวลาขัดข้อง (Outage) ถ้า availability 99.5% outage ก็จะเป็น 0.5 % โดยการกำหนด outage บางครั้งอาจบอกเป็นนาที เช่นบอกว่า outage ของระบบ xxx ไม่เกิน 5 นาทีต่อเดือน Scorecard บัตรคะแนน โดยบัตรคะแนนที่นิยมใช้ในการบริหารจัดการแบบมุ่งผลสัมฤทธิ์ ซึ่งจะต้องประกอบด้วย วัตถุประสงค์, การวัดผล, ข้อมูลพื้นฐาน, เป้าหมาย, กิจกรรมที่จะทำเพื่อบรรลุเป้าหมาย
เพิ่มเติมครับ
Control Objective = IT Process เข้าใจว่าเป็นเรื่องของ Trademark จึงทำให้มีการเรียกว่า Control Objective แทนที่จะใช้คำว่า IT Process
Incident (n.) =อุบัติการณ์ หมายถึง Situation หรือตำแหน่งที่มีความเสี่ยงต่อการเกิด accident เช่น การขับรถฝ่าไฟแดง ย่อมเสี่ยงต่อการโดนจับ การไปยืนอยู่บนที่สูงๆ ย่อมเสี่ยงต่อการตกลงมา
Tactical Plan (adj.) แผนระดับปฏิบัติการ ตรงข้ามกับ Strategic Plan
Outage ระยะเวลาที่ระบบที่ให้บริการเกิดการขัดข้อง ในการให้บริการงานด้าน IT 100% จะประกอบด้วย “ระยะเวลาที่ให้บริการได้ปกติ (availability) + ระยะเวลาขัดข้อง (Outage) ถ้า availability 99.5% outage ก็จะเป็น 0.5 % โดยการกำหนด outage บางครั้งอาจบอกเป็นนาที เช่นบอกว่า outage ของระบบ xxx ไม่เกิน 5 นาทีต่อเดือน
Scorecard บัตรคะแนน โดยบัตรคะแนนที่นิยมใช้ในการบริหารจัดการแบบมุ่งผลสัมฤทธิ์ ซึ่งจะต้องประกอบด้วย วัตถุประสงค์, การวัดผล, ข้อมูลพื้นฐาน, เป้าหมาย, กิจกรรมที่จะทำเพื่อบรรลุ
ตามความเห็นน้อยๆ ของมุกนะคะ
enterprise - ธุรกิจ (อะไรก็ตามที่เป็นบริษัท เป็นการค้า การพาณิชย์)
corporate - องค์กร (อะไรที่เกี่ยวข้องกับองค์กร เช่น corporate client - ลูกค้าที่เป็นองค์กร/ coporate social responsibility หรือ CSR ความรับผิดชอบที่องค์กรมีต่อสังคม ดังเช่นงานที่มุกกำลังเร่งสร้างภาพ เอ้ย เร่งสร้างให้บริษัทอยู่ในขณะนี้..อิอิ)
จากมุมมองของนักสัตวศาสตร์บ้าง แหะ ๆ
enterprise = องค์กร (มุมมองในทางธุรกิจ)
Corporate = องค์กร (มุมมองในเชิงบริหาร)
ดังนั้นเวลาใช้คำเหล่านี้น่าจะสามารถใช้คำว่าองค์กรได้ทั้งคู่ครับ เพียงแต่ว่าอาจจะต้อง define ให้ชัดเจนนิดนึงว่าตอนนี้ คำที่เราใช้น่ะ อยู่ในมุมแบบไหนครับ
ส่วนวันนี้ไม่มั่นใจว่าจะไปทันหรือเปล่าเพราะมีนัดพบลูกค้าข้างนอกตอนเย็นน่ะครับ เดี๋ยวจะเร่งส่งการบ้านให้ก่อน (Appendix 8) ถ้าไปทัน นัดที่ไหนจะตามไปครับ ถ้าไม่ทันก็แล้วไป ฝากด้วยนะฮง
เคยเห็นมีผู้แปลคำว่า Enterprise ว่าวิสาหกิจน่ะค่ะ
อย่างคำว่า "Lean Enterprise" มีผู้ใช้คำว่า "วิสาหกิจแบบลีน"
แต่โดยส่วนตัวแล้วคำว่า"วิสาหกิจ"ออกจะฟังยากไปสักนิดนึงนะ คำว่า "กิจการ" จะฟังดูง่ายกว่า
ภาคศัพท์ (Glossary) ซึ่งอธิบายความหมายของคำเฉพาะต่างๆ ที่ใช้ในมาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายใน พ.ศ. 2547 ของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย
คัดลอกมาจาก http://www.theiiat.or.th/knowledge/standard04.htm
การเพิ่มคุณค่า – Add Value: บริการให้ความเชื่อมั่นและให้คำปรึกษา เป็นการเพิ่มคุณค่าแก่องค์กร โดยการเพิ่มโอกาสที่จะทำให้องค์กรสามารถบรรลุเป้าหมาย ระบุแนวทางที่จะปรับปรุงการดำเนินงาน และ/หรือ ลดความเสี่ยง
การควบคุมอย่างพอเพียง – Adequate Control: การที่ผู้บริหารมีการวางแผน และจัดวางระบบภายในองค์กร ในลักษณะที่สามารถให้ความเชื่อมั่นอย่างสมเหตุสมผลว่า ได้มีการจัดการความเสี่ยงขององค์กรอย่างมีประสิทธิผล และทำให้องค์กรบรรลุเป้าหมายและวัตถุประสงค์ อย่างประหยัด และมีประสิทธิภาพ
การบริการให้ความเชื่อมั่น– Assurance Services: การตรวจสอบหลักฐานอย่างเที่ยงธรรมเพื่อให้ได้มาซึ่งการประเมินอย่างเป็นอิสระ ในกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลขององค์กร เช่นการให้ความเชื่อมั่นทางด้านการเงิน การปฏิบัติงาน การปฏิบัติตามกฏระเบียบ ความมั่นคงปลอดภัยของระบบต่าง ๆ และภารกิจการจัดทำ Due Diligence
คณะกรรมการ – Board: คณะบุคคลที่ทำหน้าที่ในการปกครองดูแลองค์กร เช่นคณะกรรมการขององค์กร (Board of Directors) คณะกรรมการอำนวยการ (Supervisory Board) หรือคณะบุคคลที่ได้รับมอบหมายให้รับผิดชอบในงานบางด้านขององค์กร รวมถึงคณะกรรมการตรวจสอบซึ่งหัวหน้าผู้บริหารงานตรวจสอบมีหน้าที่รายงานโดยตรง
กฏบัตร – Charter: กฎบัตรของกิจกรรมการตรวจสอบภายใน เป็นเอกสารที่เป็นลายลักษณ์อักษรอย่างเป็นทางการ ซึ่งกำหนดวัตถุประสงค์ อำนาจหน้าที่ และความรับผิดชอบ กฏบัตรควร (ก) กำหนดสถานะของกิจกรรมการตรวจสอบภายใน ภายในองค์กร (ข) ให้สิทธิและอำนาจในการเข้าถึงข้อมูลของกิจการ บุคลากร และทรัพย์สินต่างๆที่เกี่ยวข้องกับการปฏิบัติภารกิจการตรวจสอบภายใน และ (ค) กำหนดขอบเขตของกิจกรรมการตรวจสอบภายใน
หัวหน้าผู้บริหารงานตรวจสอบ – Chief Audit Executive: ผู้บริหารระดับสูงสุดที่รับผิดชอบกิจกรรมการตรวจสอบภายใน โดยทั่วไป จะเป็นผู้อำนวยการตรวจสอบภายใน (Internal Audit Director) ในกรณีที่องค์กรเลือกใช้บริการตรวจสอบจากหน่วยงานภายนอก หัวหน้าผู้บริหารงานตรวจสอบจะเป็นผู้ที่รับผิดชอบในการดูแลเรื่องสัญญาว่าจ้าง และคุณภาพความน่าเชื่อถือของผลงาน รวมทั้งรายงานให้ผู้บริหารระดับสูงและคณะกรรมการได้รับทราบ และติดตามผลของการดำเนินการตรวจสอบภายในด้วย
ประมวลจรรยาบรรณ – Code of Ethics: ประมวลจรรยาบรรณของสถาบันผู้ตรวจสอบภายใน (The Institute of Internal Auditors หรือ IIA) คือ หลักการ (Principles) ที่เกี่ยวกับวิชาชีพและการปฏิบัติงานตรวจสอบภายใน และหลักปฏิบัติ (Rules of Conduct) ซึ่งบรรยายสิ่งที่ผู้ตรวจสอบภายในพึงประพฤติปฏิบัติ ประมวลจรรยาบรรณ สามารถนำไปปฏิบัติได้ทั้งในระดับบุคคลและหน่วยงานที่ให้บริการตรวจสอบภายใน จุดประสงค์ของประมวลจรรยาบรรณคือเพื่อส่งเสริมวัฒนธรรมของจรรยาบรรณในวิชาชีพการตรวจสอบภายใน
การปฏิบัติตามกฎระเบียบ – Compliance: การปฏิบัติให้เป็นไปตามนโยบาย แผนงาน วิธีการ กฎหมาย ระเบียบข้อบังคับ สัญญา ตลอดจนข้อกำหนดต่าง ๆ
ความขัดแย้งทางผลประโยชน์ – Conflict of Interest: ความสัมพันธ์ใดๆ ที่ทำให้องค์กร ไม่ได้ประโยชน์สูงสุดที่พึงได้รับ ความขัดแย้งทางผลประโยชน์นี้อาจจะทำให้ผู้ปฏิบัติงานเกิดความลำเอียง และไม่สามารถปฏิบัติภาระหน้าที่ได้อย่างเที่ยงธรรม
การบริการให้คำปรึกษา – Consulting Services: กิจกรรมการให้คำปรึกษา แนะนำ และบริการที่เกี่ยวเนื่อง แก่ผู้รับบริการ โดยลักษณะและขอบเขตของงานจะเป็นไปตามข้อตกลงที่ทำขึ้นร่วมกันกับผู้รับบริการ และมีจุดประสงค์เพื่อเพิ่มคุณค่า และปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุมและ การกำกับดูแลขององค์กร โดยไม่เข้าไปร่วมรับผิดชอบในฐานะผู้บริหาร
การควบคุม – Control: การกระทำใดๆ โดยฝ่ายบริหาร คณะกรรมการ และกลุ่มบุคคลอื่น ๆ เพื่อจัดการความเสี่ยง และช่วยให้องค์กรบรรลุเป้าหมายและวัตถุประสงค์ โดยฝ่ายบริหารมีการวางแผน จัดองค์กร และอำนวยการดำเนินงาน อย่างเพียงพอที่จะเกิดความเชื่อมั่นอย่างสมเหตุสมผลว่าองค์กรจะบรรลุเป้าหมาย
สภาวะแวดล้อมของการควบคุม – Control Environment: ทัศนคติและการกระทำของคณะกรรมการและฝ่ายจัดการในการให้ความสำคัญกับการควบคุมภายในองค์กร สภาวะแวดล้อมของการควบคุมนี้เป็นรากฐานที่จะทำให้องค์กรบรรลุวัตถุประสงค์ขั้นต้นของการวางระบบการควบคุมภายใน สภาวะแวดล้อมของการควบคุมมีองค์ประกอบดังนี้
· ความซื่อสัตย์สุจริตและความมีจริยธรรม
· ปรัชญาและรูปแบบการบริหารของฝ่ายบริหาร
· โครงสร้างขององค์กร
· การมอบหมายอำนาจและภาระหน้าที่
· นโยบายและการปฏิบัติทางด้านทรัพยากรบุคคล
· ความสามารถในหน้าที่ของบุคลากร
กระบวนการควบคุม – Control Process: นโยบาย ขั้นตอนการปฏิบัติ และกิจกรรมต่างๆ ขององค์กร ซึ่งเป็นส่วนหนึ่งของกรอบการควบคุมที่จัดวางเอาไว้ เพื่อให้เกิดความเชื่อมั่นว่าความเสี่ยงถูกจำกัด ให้อยู่ในระดับที่ยอมรับได้ ภายใต้กระบวนการบริหารความเสี่ยง
ภารกิจ – Engagement:งานตรวจสอบภายใน หรืองานการสอบทานที่ได้รับมอบหมายให้ทำแต่ละงาน ตัวอย่างเช่น งานการตรวจสอบภายใน งานการสอบทาน การประเมินการควบคุมด้วยตนเอง (Control Self-Assessment หรือ CSA) การสอบสวนการทุจริต หรืองานบริการให้คำปรึกษา ภารกิจอาจประกอบด้วยหลาย ๆ งานหรือหลาย ๆ กิจกรรมที่ทำควบคู่กันไปเพื่อบรรลุเป้าหมายและวัตถุประสงค์เดียวกัน
วัตถุประสงค์ของภารกิจ – Engagement Objectives: คำชี้แจงอย่างกว้าง ๆ ของผู้ตรวจสอบภายใน ในการกำหนดเป้าหมายที่คาดหวังว่าภารกิจจะสัมฤทธิ์ผล
โปรแกรมการปฏิบัติภารกิจ – Engagement Work Program: เอกสารแสดงรายละเอียดขั้นตอนการปฏิบัติงานตามภารกิจ ทำขึ้นเพื่อเป็นแนวทางที่จะทำให้ภารกิจเป็นไปตามแผนที่วางไว้
ผู้ให้บริการจากภายนอก – External Service Provider: บุคคลหรือนิติบุคคลภายนอกองค์กร ที่มีความรู้ ทักษะ และประสบการณ์ เฉพาะด้าน
การทุจริต – Fraud: การกระทำผิดกฎหมายในลักษณะของการฉ้อฉลหลอกลวง ปกปิด หรือใช้อำนาจหน้าที่โดยมิชอบ และเป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับจากผู้อื่น ของบุคคลหรือองค์กรเพื่อให้ได้มาซึ่งทรัพย์สินเงินทองหรือบริการ เพื่อเลี่ยงการจ่ายเงินหรือให้บริการ หรือเพื่อรักษาความได้เปรียบส่วนตนหรือความได้เปรียบทางธุรกิจ
การกำกับดูแล – Governance: กระบวนการและโครงสร้างต่างๆ ที่คณะกรรมการนำมาใช้เพื่อ บอกกล่าว สั่งการ บริหาร และติดตาม กิจกรรมต่างๆ ภายในองค์กร เพื่อให้บรรลุตามวัตถุประสงค์ขององค์กร
เหตุบั่นทอน – Impairments: เหตุการณ์หรือการกระทำที่ส่งผลให้การทำงานของบุคคลหรือขององค์กรขาดความเที่ยงธรรมและความเป็นอิสระ เหตุการณ์หรือการกระทำดังกล่าวจะรวมถึงการกระทำที่มีการขัดแย้งทางผลประโยชน์ส่วนบุคคล การจำกัดขอบเขต การกีดกันการเข้าถึงข้อมูล บุคลากร และทรัพย์สิน ตลอดจนการถูกจำกัดทรัพยากร (เงินทุนสนับสนุน)
ความเป็นอิสระ – Independence: สภาพที่ปราศจากเงื่อนไข ที่ทำให้หรือน่าจะทำให้ผู้ปฎิบัติงานไม่สามารถรักษาความเที่ยงธรรมไว้ได้ ทั้งนี้ จะต้องมีการดูแลให้มีความเป็นอิสระในทุกๆ ส่วน ไม่ว่าจะเป็นในระดับตัวผู้ตรวจสอบ ภารกิจการตรวจสอบ หน่วยงานตรวจสอบ และในระดับขององค์กร
กิจกรรมการตรวจสอบภายใน – Internal Audit Activity: แผนก หน่วยงาน คณะที่ปรึกษา หรือผู้ปฏิบัติหน้าที่ ที่ให้บริการให้ความเชื่อมั่นและให้คำปรึกษา อย่างเที่ยงธรรมและเป็นอิสระ เพื่อเพิ่มคุณค่าและปรับปรุงระบบการดำเนินงานขององค์กร การตรวจสอบภายในช่วยให้องค์กรบรรลุเป้าหมายด้วยการประเมินและปรับปรุงประสิทธิผล ของกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแล อย่างเป็นระบบและเป็นระเบียบ
ความเที่ยงธรรม – Objectivity: ทัศนคติอันปราศจากความเอนเอียงที่เอื้อให้ผู้ตรวจสอบภายในสามารถทำงานตามภารกิจ ด้วยความเชื่อมั่นในผลงาน และไม่มีการลดหย่อนในคุณภาพของงาน วิจารณญาณผู้ตรวจสอบภายในจะต้องไม่อยู่ภายใต้การชักจูงหรือชักนำจากผู้อื่นหรือกิจกรรมอื่น
ความเสี่ยงคงเหลือ – Residual Risk: ความเสี่ยงที่คงเหลืออยู่หลังจากที่ผู้บริหารได้ดำเนินการลดผลกระทบและโอกาสที่จะเกิดเหตุการณ์ไม่พึงประสงค์ รวมถึงความเสี่ยงที่ยังหลงเหลืออยู่หลังจากที่ได้มีกิจกรรมการควบคุมแล้ว
ความเสี่ยง – Risk: ความเป็นไปได้ที่จะเกิดเหตุการณ์ที่เป็นอุปสรรคต่อการบรรลุเป้าหมายขององค์กร ความเสี่ยงวัดได้จากผลกระทบที่ได้รับจากเหตุการณ์ และโอกาสที่จะเกิดเหตุการณ์นั้น
การบริหารความเสี่ยง – Risk Management: กระบวนการในการระบุ ประเมิน จัดการ และควบคุม เหตุการณ์หรือสถานการณ์ไม่พึงประสงค์ที่อาจจะเกิดขึ้น เพื่อให้ความเชื่อมั่นอย่างสมเหตุสมผลว่าองค์กรสามารถบรรลุเป้าหมายได้
ควร – Should: ในมาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายใน ที่เขียนไว้ว่า “ควร” นั้นหมายถึงประเด็นที่จะต้องยึดถือปฏิบัติตามอย่างเคร่งครัด
มาตรฐาน – Standard: มาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายใน ที่ทางคณะกรรมการมาตรฐานการตรวจสอบภายในของสถาบันผู้ตรวจสอบภายใน (IIA) ได้ประกาศใช้เป็นบรรทัดฐานการปฏิบัติงาน และการประเมินผลงานการตรวจสอบภายในโดยทั่วไป
อาจจะได้ Idea มากขึ้นครับ
Enterprise อ้างอิงจาก Longman มีหลายความหมายดังนี้
1.a large and complicated piece of work, especially one that is done with a group of other people : a joint scientific enterprise
2.the ability to think of new activities or ideas and make them work : a woman with enterprise and creativity
3.a company, organization, or business : state-owned enterprise
4.the practice of starting and running small companies : a knowledge of American capitalist enterprise
--------
ส่วนคำว่า organization ความหมายออกจะแคบกว่านะ
Organization
1.a group such as a club or business that has formed for a particular purpose : a charitable organization
2.the act of planning and arranging things effectively : Organization's never been my strong point
3.The way in which of different parts of a system are arranged and work together : [+of] the social organization of primitive cultures
ท่าทางจะไปได้สวยครับ