หน่วยงาน : สำนักดิจิทัลเพื่อการศึกษา

พัฒนาระบบโดย นายกุลชาติ ปัญญาดี สำนักดิจิทัลเพื่อการศึกษา มหาวิทยาลัยราชภัฏเชียงใหม่

เบอร์ติดต่อ

053-885985-7

โทรสาร

053-885987

แบบประเมินความพึ่งพอใจการใช้งาน  

องค์ประกอบที่ 1 ตัวบ่งชี้ที่ 1.5 การบริหารความเสี่ยง (RISK) | ชนิดตัวบ่งชี้ กระบวนการ (Process)

คำอธิบายตัวบ่งชี้

เพื่อให้หน่วยงานมีระบบบริหารความเสี่ยง โดยการบริหารและควบคุมปัจจัยกิจกรรมและกระบวนการดำเนินงานที่อาจเป็นมูลเหตุของความเสียหาย (ทั้งในรูปของตัวเงิน หรือไม่ใช่ตัวเงิน เช่น ชื่อเสียงและการฟ้องร้องจากการไม่ปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ ประสิทธิภาพ ประสิทธิผล ความคุ้มค่า) เพื่อให้ระดับความเสี่ยง และขนาดของความเสี่ยหายที่จะเกิดขึ้นในอนาคตอยู่ในระดับที่ยอมรับและควบคุมได้  โดยคำนึงถึงการเรียนรู้วิธีการป้องกันจากการคาดการณ์ปัญหาล่วงหน้า และโอกาสในการเกิดเพื่อป้องกันหรือบรรเทาความรุนแรงของปัญหา รวมทั้งการมีแผนสำรองต่อภาวะฉุกเฉิน เพื่อให้มั่นใจว่าระบบงานต่าง ๆ  มีความพร้อมใช้งาน มีการปรับปรุงระบบอย่างต่อเนื่อง และทันต่อการเปลี่ยนแปลง เพื่อการบรรลุเป้าหมายของหน่วยงานตามยุทธศาสตร์หรือกลยุทธ์เป็นสำคัญ

 

รอบระยะเวลา

เกณฑ์มาตรฐาน

  1. หน่วยงานจัดให้มีการบริหารจัดการความเสี่ยง เพื่อให้ความเชื่อมั่นอย่างสมเหตุสมผลแก่ผู้มีส่วนได้เสียของหน่วยงานว่าหน่วยงานได้ดำเนินการบริหารจัดการความเสี่ยงอย่างเหมาะสม
  2. หน่วยงานจัดให้มีสภาพแวดล้อมที่เหมาะสมต่อการบริหารจัดการความเสี่ยงภายในองค์กร อย่างน้อยประกอบด้วย การมอบหมายผู้รับผิดชอบเรื่องการบริหารความเสี่ยง การกำหนดวัฒนธรรมของหน่วยงานที่ส่งเสริมการบริหารจัดการความเสี่ยง รวมถึงการบริหารทรัพยากรบุคคล
  3. หน่วยงานมีการกำหนดวัตถุประสงค์เพื่อใช้ในการบริหารจัดการความเสี่ยง รวมถึงการสื่อสารการบริหารจัดการความเสี่ยงของวัตถุประสงค์ด้านต่าง ๆ ต่อบุคลากรที่เกี่ยวข้อง
  4. หน่วยงานมีการระบุความเสี่ยง การประเมินความเสี่ยง การตอบสนองความเสี่ยง การจัดลำดับความเสี่ยง จากประเด็นดังต่อไปนี้
  • ความเสี่ยงด้านกลยุทธ์ (Strategic Risk : SR)
  • ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk : CR)
  • ความเสี่ยงด้านการเงิน (Financial Risk : FR)
  • ความเสี่ยงด้านการปฏิบัติงาน (Operation Risk : OR)
  1. หน่วยงานจัดทำแผนการบริหารจัดการความเสี่ยงอย่างน้อยปีละ 1 ครั้งและต้องมีการสื่อสารแผนการบริหารจัดการความเสี่ยงให้ผู้เกี่ยวข้องทุกฝ่ายรับทราบ
  2. มีการกำกับ ติดตามและประเมินผลการบริหารจัดการความเสี่ยงและทบทวนแผนการบริหารจัดการความเสี่ยงอย่างสม่ำเสมอ และรายงานการบริหารจัดการความเสี่ยงต่อมหาวิทยาลัยอย่างน้อยปีละ 1 ครั้ง
  3. มีการนำผลการประเมินและข้อเสนอแนะจากคณะกรรมการบริหารความเสี่ยงของมหาวิทยาลัยหรือคณะกรรมการความเสี่ยงของหน่วยงาน ไปใช้ในการปรับแผนการบริหารจัดการความเสี่ยงในรอบปีถัดไป

 

หมายเหตุ  คะแนนการประเมินจะเท่ากับ 0 หากพบว่าเกิดเหตุการณ์ร้ายแรงขึ้นภายในหน่วยงาน
ในรอบปีการประเมินที่ส่งผลกระทบต่อชีวิตและความปลอดภัยของบุคลากร ผู้รับบริการ หรือต่อชื่อเสียงภาพลักษณ์ หรือต่อความมั่นคงทางการเงินของหน่วยงาน อันเนื่องมาจากความบกพร่องของหน่วยงาน ในการควบคุม หรือจัดการกับ ความเสี่ยง หรือปัจจัยเสี่ยงที่ไม่มีประสิทธิภาพเพียงพอ
โดยมีหลักฐานประกอบที่ชัดเจน

เกณฑ์การประเมิน

มีการดำเนินการ 3 ข้อ

มีการดำเนินการ 4ข้อ

มีการดำเนินการ 5 ข้อ

มีการดำเนินการ 6 ข้อ

มีการดำเนินการ 7 ข้อ

7

7

7

บรรลุ

5

7

จุดแข็ง

  • การบริหารความเสี่ยง (RISK) 
    • สำนักดิจิทัลเพื่อการศึกษาเห็นความสำคัญของการบริหารความเสี่ยง โดยวิเคราะห์ความเสี่ยงจากพันธกิจหลักของสำนักฯ รวมทั้งดำเนินการวิเคราะห์ครบทุกประเด็นความเสี่ยงตามประเภทความเสี่ยงมาตรฐานสากล COSO และเกณฑ์ประกันคุณภาพภายใน ระดับหน่วยงานสนับสนุน
    • มีการดำเนินงานตามแผนบริหารความเสี่ยงประจำปี และบรรลุตามตัวชี้วัดของแผน

จุดที่ควรพัฒนา

ข้อเสนอแนะ

อาจารย์ ดร.ทิวาวัลย์ ต๊ะการ
นางสาวรุ่งทิวา กิตติยังกุล 053-885934

1. หน่วยงานจัดให้มีการบริหารจัดการความเสี่ยง เพื่อให้ความเชื่อมั่นอย่างสมเหตุสมผลแก่ผู้มีส่วนได้เสียของหน่วยงานว่าหน่วยงานได้ดำเนินการบริหารจัดการความเสี่ยงอย่างเหมาะสม

ผลการดำเนินงาน

          สำนักดิจิทัลเพื่อการศึกษาดำเนินการบริหารจัดการความเสี่ยง ประจำปีงบประมาณ 2565 ตามแนวทางการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ เรื่อง แนวทางการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ เรื่อง หลักการบริหารจัดการความเสี่ยงระดับองค์กร จากกระทรงการคลัง ที่ กค 0409.3/ว36 ลงวันที่ 3 กุมภาพันธ์ 2564 โดยหนังสืออ้างถึง กระทรวงการคลังได้ประกาศหลักเกณฑ์ว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ พ.ศ. 2562 โดยหลักเกณฑ์ปฏิบัติการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ ข้อ 3 กำหนดให้หน่วยงานของรัฐยกเว้นรัฐวิสาหกิจถือปฏิบัติตามคู่มือหรือแนวทางปฏิบัติเกี่ยวกับการบริหารจัดการความเสี่ยงตามที่กระทรวงการคลังกำหนด  (เอกสารหมายเลข 1.5-1-1)

          ทั้งนี้ สำนักดิจิทัลเพื่อการศึกษา ได้ใช้แนวทาง จากกระทรวงการคลังดังกล่าว ตามที่มหาวิทยาลัยเห็นชอบแจ้งทุกหน่วยงานปฏิบัติ เป็นแนวทางการบริหารจัดการความเสี่ยง เพื่อให้เป็นไปตามหลักเกณฑ์ปฏิบัติ โดยความเสี่ยงประจำงบประมาณ 2565 ของสำนักดิจิทัลเพื่อการศึกษา ได้วิเคราะห์ประเด็นความเสี่ยงด้านต่าง ๆ เป็นไปตามเกณฑ์มาตรฐานสากล Committee of Sponsoring of the Treadway Commission : COSO 4 ด้าน คือ

          1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk : SR)

          2. ความเสี่ยงด้านการเงิน (Financial Risk : FR)

          3. ความเสี่ยงเรื่องการดำเนินงาน (Operation Risk : OR)

          4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk : CR)

          ประเด็นความเสี่ยง ประจำปีงบประมาณ 2565 ล้วนสอดคล้องกับการบริการตามพันธกิจของสำนักดิจิทัลเพื่อการศึกษา ในการบริการแก่ผู้มีส่วนได้เสีย ทั้ง ผู้บริหาร นักศึกษา อาจารย์ บุคลากรทั้งภายในและภายนอกหน่วยงาน และประชาชน ให้เกิดความมั่นใจในงานบริการและการดำเนินงานของสำนักดิจิทัลเพื่อการศึกษา ตลอด 24 ชั่วโมง 7 วัน และการป้องกันเฝ้าระวังการแพร่ระบาดของโรคไวรัสโคโรน่า โดยมีความเสี่ยง ประจำปีงบประมาณ 2565 ดังนี้

ประเด็นความเสี่ยงลำดับ 1 การทำนิติกรรมสัญญาและการร่างสัญญาไม่ครอบคลุม

COSO : ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk : CR) 

 

ประเด็นความเสี่ยงลำดับ 2 บุคลากรติดโควิด 19 จากการปฏิบัติงาน

COSO : ความเสี่ยงด้านการดำเนินการ (Operation Risk : OR)

 

ประเด็นความเสี่ยงลำดับ 3 การบริการด้านเครือข่ายอินเทอร์เน็ต และเว็บไซต์ภายในมหาวิทยาลัยไม่สามารถให้บริการได้

COSO : ความเสี่ยงด้านการดำเนินการ (Operation Risk : OR)

 

ประเด็นความเสี่ยงลำดับ 4 อุปกรณ์คอมพิวเตอร์ที่ให้บริการและใช้ในการปฏิบัติงานสูญหายจากการโจรกรรม

(เอกสารหมายเลข 1.5-1-2)

เอกสาร / หลักฐานอ้างอิง

รหัส หลักฐาน
1.5-1-1 หนังสือกระทรวงการคลัง ที่ กค 0409.3/ว36 ลงวันที่ 3 กุมภาพันธ์ 2564 เรื่อง แนวทางการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ เรื่อง หลักการบริหารจัดการความเสี่ยงระดับองค์กร
1.5-1-2 แผนความเสี่ยงประจำปีงบประมาณ 2565

2. หน่วยงานจัดให้มีสภาพแวดล้อมที่เหมาะสมต่อการบริหารจัดการความเสี่ยงภายในองค์กร อย่างน้อยประกอบด้วย การมอบหมายผู้รับผิดชอบเรื่องการบริหารความเสี่ยง การกำหนดวัฒนธรรมของหน่วยงานที่ส่งเสริมการบริหารจัดการความเสี่ยง รวมถึงการบริหารทรัพยากรบุคคล

ผลการดำเนินงาน

สำนักดิจิทัลเพื่อการศึกษา ได้จัดสภาพแวดล้อมที่เหมาะสมต่อการบริหารจัดการความเสี่ยงภายในองค์กร ในด้านต่าง ๆ ดังนี้

1. การมอบหมายผู้รับผิดชอบ

          สำนักดิจิทัลเพื่อการศึกษามีการมอบหมายผู้รับผิดชอบด้านบริหารความเสี่ยง โดยแต่งตั้งคณะกรรมการบริหารความเสี่ยงและการควบคุมภายใน สำนักดิจิทัลเพื่อการศึกษาประจำปีงบประมาณ 2565 ตามคำสั่งสำนักดิจิทัลเพื่อการศึกษา ที่ 136/2564 ลงวันที่ 17 พฤศจิกายน 2564 ซึ่งประกอบด้วยผู้บริหารและบุคลากรสำนักดิจิทัลเพื่อการศึกษาทุกท่าน เพื่อร่วมกำหนดแนวทางปฏิบัติด้านบริหารความเสี่ยง รวบรวม ศึกษาวิเคราะห์ สังเคราะห์ ระบุประเด็นความเสี่ยง ประเมินโอกาสและผลกระทบของความเสี่ยง จัดทำแผนบริหารความเสี่ยง ติดตาม ประเมินผลการดำเนินงานและรายงานต่อผู้บริหาร ตลอดจนนำผลการประเมินและข้อเสนอแนะไปปรับใช้ในการปรับแผนบริหารความเสี่ยงในรอบปีถัดไป (เอกสารหมายเลข 1.5-2-1)

2. วัฒนธรรมของหน่วยงานที่ส่งเสริมการบริหารจัดการความเสี่ยง

          การมีส่วนร่วม สำนักดิจิทัลเพื่อการศึกษา ใช้กระบวนการดำเนินงานแบบส่วนร่วม ตั้งแต่ตั้งคณะทำงานในรูปแบบคณะกรรมการ โดยประกอบด้วยผู้บริหาร และบุคลากรทุกคน เพื่อร่วมกันวิเคราะห์ประเด็นความเสี่ยงอย่างครอบคลุมทุกด้าน โดยจัดกิจกรรมทำแผนบริหารความเสี่ยงร่วมกัน อย่างน้อย 1 ครั้งต่อปี และใช้โอกาสการประชุมประกันคุณภาพ การประชุมบุคลากร ตลอดปีงบประมาณ ในการติดตามการดำเนินงาน การรายงานความก้าวหน้า การขอความร่วมมือ รวมถึงการรายงานปัญหาอุปสรรคที่พบ เพื่อร่วมกันหาแนวทางการแก้ไข

          ผู้บริหารให้ความสำคัญ ทั้งนี้ ผู้บริหารสำนักฯ ให้ความสำคัญกับการบริหารจัดการความเสี่ยง การจัดประชุมจัดทำแผนบริหารความเสี่ยงประจำปี และการติดตามผลการดำเนินงานเพื่อสนับสนุนให้สามารถดำเนินงานด้านความเสี่ยงเป็นไปตามแผนที่วางไว้ และรายงานต่อผู้บริหารในระดับมหาวิทยาลัย (เอกสารประกอบ1.5-2-2)

 

3. การบริหารทรัพยากรบุคคล

          สำนักดิจิทัลเพื่อการศึกษาให้ความสำคัญกับพัฒนาบุคลากร ในการเพิ่มทักษะ เสริมทักษะ และทบทวนทักษะ เพื่อที่นำองค์ความรู้หรือทักษะนั้น ๆ มาช่วยลดความเสี่ยงประเด็นต่าง ๆ ที่สำนักฯ ให้บริการแก่ผู้มีส่วนได้เสีย อย่างมีประสิทธิภาพ ซึ่งในปีงบประมาณ 2565 ได้มีประเด็นความเสี่ยงการบริการด้านเครือข่ายอินเทอร์เน็ต และเว็บไซต์ภายในมหาวิทยาลัยไม่สามารถให้บริการได้ บุคลากรที่รับผิดชอบด้านการบริหารและจัดการคอมพิวเตอร์เครือข่าย ได้ใช้ทักษะด้านการจัดทำอุปกรณ์ IoT ในการแจ้งเตือนเมื่อมีเหตุการณ์ไฟดับ ซึ่งเป็นสาเหตุหลักที่จะส่งผลให้ไม่สามารถบริการเครือข่ายอินเทอร์เน็ต เพื่อให้ผู้รับผิดชอบได้เฝ้าสังเกตและเตรียมการแก้ไขปัญหาได้ทันการณ์ ไม่ให้เกิดผลกระทบต่อผู้รับริการ หรือกระทบน้อยที่สุด (เอกสารประกอบ 1.5-2-3) และสนับสนุนให้บุคลากรพัฒนาตนเองในด้านเครือข่ายคอมพิวเตอร์ เพื่อบริหารจัดการระบบเครือข่ายคอมพิวเตอร์และเฝ้าระวังรักษาความปลอดภัย โดย นายวิทูร อุ่นแสน เข้าอบรมหัวข้อ “การเพิ่มระดับความปลอดภัยบนเครือข่ายแลนที่ใช้อุปกรณ์ไมโครติกด้วยมาตรฐาน IEEE 802.1X (Layer2 Security in MikroTik-based Networks using IEEE 802.1X)( (เอกสารประกอบ 1.5-2-4)

เอกสาร / หลักฐานอ้างอิง

รหัส หลักฐาน
1.5-2-1 คำสั่งสำนักดิจิทัลเพื่อการศึกษา ที่ 136/2564 ลงวันที่ 17 พฤศจิกายน 2564
1.5-2-2 ภาพกิจกรรมประชุมทำ (ร่าง) แผนความเสี่ยงประจำปีงบประมาณ 2566 วันที่ 29 กันยายน 2565
1.5-2-3 ภาพอุปกรณ์ IoT แจ้งเตือนเมื่อมีเหตุการณ์ไฟดับ ซึ่งเป็นสาเหตุหลักที่จะส่งผลให้ไม่สามารถบริการเครือข่ายอินเทอร์เน็ต
1.5-2-4 รายงานการอบรม “การเพิ่มระดับความปลอดภัยบนเครือข่ายแลนที่ใช้อุปกรณ์ไมโครติกด้วยมาตรฐาน IEEE 802.1X (Layer2 Security in MikroTik-based Networks using IEEE 802.1X)”

3. หน่วยงานมีการกำหนดวัตถุประสงค์เพื่อใช้ในการบริหารจัดการความเสี่ยง รวมถึงการสื่อสารการบริหารจัดการความเสี่ยงของวัตถุประสงค์ด้านต่าง ๆ ต่อบุคลากรที่เกี่ยวข้อง

ผลการดำเนินงาน

          คณะกรรมการบริหารความเสี่ยง ซึ่งประกอบด้วยผู้บริหาร และบุคลากรสำนักดิจิทัลเพื่อการศึกษาทุกท่าน ได้ตระหนักถึงความสำคัญของการบริหารจัดการความเสี่ยง โดยร่วมกันจัดทำแผนบริหารความเสี่ยงแผนบริหารความเสี่ยง สำนักดิจิทัลเพื่อการศึกษา

มหาวิทยาลัยราชภัฏเชียงใหม่ ประจำปีงบประมาณ 2565 ตามขั้นตอนการบริหารความเสี่ยงตามคู่มือปฏิบัติเกี่ยวกับการบริหารความเสี่ยงและการควบคุมภายใน สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ กระทรวงการคลัง (2555:26) และกำหนดวัตถุประสงค์ตามที่ปรากฏในแผนฯ ในหัวข้อที่ 1. กำหนดวัตถุประสงค์ คือ

          การกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง สำนักดิจิทัลเพื่อการศึกษา ประจำปีงบประมาณ 2565 มีความสอดคล้องกับวิสัยทัศน์ คือ “เป็นองค์กรที่เป็นเลิศด้านเทคโนโลยีดิจิทัลเพื่อสนับสนุน คุณภาพการศึกษาอย่างยั่งยืน” และวัตถุประสงค์ขององค์กร ใน 4 ประเด็นได้แก่

  1. วัตถุประสงค์ด้านกลยุทธ์ (Strategic Objectives)
  • เพื่อดำเนินการทบทวนแผนกลยุทธ์และแผนปฏิบัติการของหน่วยงาน ให้สอดคล้องกับพันธกิจ ช่วยขับเคลื่อนการดำเนินงานให้บรรลุเป้าหมาย และตัวชี้วัดของแผนปฏิบัติการของหน่วยงาน
  1. วัตถุประสงค์ด้านการปฏิบัติงาน (Operations Objectives)
  • เพื่อป้องกัน ควบคุม เหตุการณ์อันจะเป็นอุปสรรคต่อการปฏิบัติงานด้านเทคโนโลยีดิจิทัล และการบริหารงานทั่วไปของหน่วยงาน และให้หน่วยงานสามารถดำเนินงานได้ตามแผนปฏิบัติการประจำปีที่วางไว้
  • เพื่อให้ผู้ใช้บริการด้านเทคโนโลยีดิจิทัลของหน่วยงาน เกิดความพึงพอใจ โดยมีค่าเฉลี่ยความพึงพอใจไม่น้อยกว่า 3.51
  1. วัตถุประสงค์ด้านการเงิน (Financial Objectives)
  • เพื่อป้องกัน ควบคุม เหตุการณ์อันจะเป็นอุปสรรคต่อการเบิกจ่ายงบประมาณ และให้หน่วยงานสามารถดำเนินการเบิกจ่ายได้ตามแผนที่วางไว้

      4. วัตุประสงค์ด้านการปฏิบัติตามกฎระเบียบ (Compliance Objectives)

  • เพื่อให้การปฏิบัติงานของหน่วยงาน ปฏิบัติถูกต้องตามระเบียบข้อกำหนดของมหาวิทยาลัย (เอกสารหมายเลข 1.5-3-1)

 

          นอกจากที่สำนักดิจิทัลเพื่อการศึกษาจะใช้วิธีการดำเนินงานในรูปแบบคณะกรรมการ เพื่อใช้เป็นเครื่องมือในการสื่อสารด้านกระบวนการดำเนินงานตามแผนบริหารความเสี่ยงให้เข้าใจตรงกันและเป็นในทิศทางเดียวกันแล้ว สำนักดิจิทัลเพื่อการศึกษามีการใช้เครื่องมืออื่น ๆ รวมถึงระบบสารสนเทศเพื่อสื่อสารการบริหารจัดการความเสี่ยงของวัตถุประสงค์ด้านต่าง ๆ ระหว่างผู้บริหาร บุคลากร รวมถึงการเผยแพร่ข้อมูลสารสนเทศที่เกี่ยวข้องกับการบริหารความเสี่ยงและควบคุมภายใน แก่ผู้มีส่วนได้เสีย ดังนี้

          การประชุมประกันคุณภาพ ในการกำหนดข้อตกลง และชี้แจงแผนบริหารความเสี่ยงประจำปีงบประมาณ ให้กับผู้บริหารและบุคลากรทุกคนทราบ เพื่อดำเนินกิจกรรมในแผนบริหารความเสี่ยงตลอดปีงบประมาณ อีกทั้งใช้การประชุมประกันคุณภาพ และการประชุมบุคลากร ในการติดตามผลการดำเนินงาน การรายงานถึงปัญหา อุปสรรค เพื่อที่คณะกรรมการความเสี่ยงและควบคุมภายใน ของสำนักฯ ได้ร่วมหาแนวทางแก้ไขปัญหาได้ทันการณ์ และมีความเหมาะสม  (เอกสารหมายเลข 1.5-3-2, 1.5-3-3 และ 1.5-3-4)

          การประชุมคณะกรรมกาบริหารความเสี่ยงและควบคุมภายใน ในการสรุปผลการดำเนินงานประจำปีงบประมาณ 2565 และร่วมกันพิจารณาจัดทำ (ร่าง) แผนบริหารความเสี่ยง ประจำปีงบประมาณ 2566 (เอกสารหมายเลข 1.5-3-5)

          Google Drive ระบบรวบรวมเอกสารหลักฐาน อันจะเกี่ยวข้องกับการบริหารความเสี่ยงและควบคุมภายใน (เอกสารหมายเลข 1.5-3-6)

          Facebook Group กลุ่มสำนักดิจิทัลเพื่อการศึกษา ในการนัดหมายกำหนดการประชุมและติดตามการดำเนินกิจกรรมต่าง ๆ (เอกสารหมายเลข 1.5-3-7)

          เว็บไซต์ดิจิทัลเพื่อการศึกษา http://www.digital.cmru.ac.th ในการเผยแพร่แผนการดำเนินงานด้านบริหารความเสี่ยงและควบคุมภายใน แนวปฏิบัติในการดำเนินงานต่าง ๆ ของสำนักฯ และรายงานผลการดำเนินงาน เพื่อให้บุคลากรและผู้ใช้บริการได้รับทราบตรงกันและทั่วถึง (เอกสารหมายเลข 1.5-3-8)

เอกสาร / หลักฐานอ้างอิง

รหัส หลักฐาน
1.5-3-1 แผนบริหารความเสี่ยง ประจำปีงบประมาณ 2565 (หน้าที่ 1)
5.1-3-2 รายงานการประชุมประคุณคุณภาพครั้งที่ 1/2565 วันที่ 26 สิงหาคม 2565
5.1-3-3 รายงานการประชุมประคุณคุณภาพครั้งที่ 2/2565 วันที่ 31 สิงหาคม 2565
5.1-3-4 รายงานการประชุมประคุณคุณภาพครั้งที่ 3/2565 วันที่ 27 กันยายน 2565
5.1-3-5 รายงานการประชุมคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน วันที่ 29 กันยายน 2565
5.1-3-6 ภาพแสดงตัวอย่าง Google Drive ระบบรวบรวมเอกสาร
5.1-3-7 ภาพแสดงตัวอย่าง Facebook Group กลุ่มสำนักดิจิทัลเพื่อการศึกษา ในการนัดหมายกำหนดการประชุมและติดตามการดำเนินกิจกรรมต่าง ๆ
5.1-3-8 ภาพแสดงตัวอย่าง เว็บไซต์สำนักดิจิทัลเพื่อการศึกษา

4. หน่วยงานมีการระบุความเสี่ยง การประเมินความเสี่ยง การตอบสนองความเสี่ยง การจัดลำดับความเสี่ยง จากประเด็นดังต่อไปนี้

  • ความเสี่ยงด้านกลยุทธ์ (Strategic Risk : SR)
  • ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk : CR)
  • ความเสี่ยงด้านการเงิน (Financial Risk : FR)
  • ความเสี่ยงด้านการปฏิบัติงาน (Operation Risk : OR)

ผลการดำเนินงาน

ระบุความเสี่ยง

สำนักดิจิทัลเพื่อการศึกษา มีการระบุความเสี่ยง ตามคำนิยามของมาตรฐานและหลักเกณฑ์ปฏิบัติการบริหารจัดการความเสี่ยงสำหรับหน่วยงานภาครัฐ พ.ศ. 2562  “ความเสี่ยง” หมายความว่า  ความเป็นไปได้ของเหตุการณ์ที่อาจเกิดขึ้น และเป็นอุปสรรคต่อการบรรลุวัตถุประสงค์ของหน่วยงาน ตามประเภทความเสี่ยงมาตรฐานสากล Committee of Sponsoring of the Treadway Commission : COSO 4 ด้าน และด้านการทุจริต ตามหลักเกณฑ์การควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561 ทั้งนี้แผนบริหารความเสี่ยง ของสำนักดิจิทัลเพื่อการศึกษา ประจำปีงบประมาณ 2565 มุ่งประเด็นไปด้านความปลอดภัยทางอินเทอร์เน็ต ที่กำลังเป็นประเด็นตื่นตัวในวงการเทคโนโลยีดิจิทัลในปัจจุบัน และมุ่งเน้นการบริการซึ่งเป็นงานตามพันธกิจหลักของสำนัก ดังนี้

 

ตารางระบุความเสี่ยง

ความเสี่ยง

ปัจจัยเสี่ยง

ความสูญเสียที่อาจเกิดขึ้น

1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk : SR)

SR1 ยุทธศาสตร์/แผนงาน ไม่สอดคล้องกับยุทธศาสตร์มหาวิทยาลัย

SR2 การดำเนินงานโครงการ กิจกรรมของสำนักฯ ไม่สอดคล้องกับยุทธศาสตร์และแผนปฏิบัติการของสำนักฯ

SR3 การปรับลดงบประมาณโครงการ กิจกรรม ไม่สามารถดำเนินงานตามตัวชี้วัดที่ตั้งไว้ได้

SR1.1 ขาดการทบทวนแผนประจำปี

 

 

 

SR2.1 การดำเนินโครงการ กิจกรรมขาดการเชื่อมโยง กับยุทธศาสตร์และแผนปฏิบัติการของสำนักฯ

SR3.1 ขาดการแจ้งรายละเอียดปรับลดงบประมาณให้ผู้รับผิดชอบโครงการเพื่อตัดสินใจถึงความเป็นไปได้ของความสำเร็จ

-การดำเนินงานของสำนักฯ ไม่สอดคล้องกับยุทธศาสตร์มหาวิทยาลัย

-การดำเนินงานของสำนักฯ ไม่สอดคล้องกับยุทธศาสตร์ และแผนปฏิบัติการของสำนัก

 

-โครงการที่ได้รับอนุมัติไม่สามารถดำเนินงานได้

2. ความเสี่ยงด้านการเงิน (Financial Risk : FR)

FR1 งบประมาณที่ได้รับไม่สอดคล้องกับสถานการณ์ของการจัดกิจกรรมที่เปลี่ยนแปลงไป

FR1.1 สถานการณ์โรคระบาดโควิด 19 ทำให้รูปแบบกิจกรรมต้องเปลี่ยนแปลงจากที่ตั้งไว้

-งบประมาณที่ตั้งไว้ไม่เพียงพอ หรือ ไม่ตรงตามแผน ตัวชี้วัดไม่บรรลุ

3. ความเสี่ยงเรื่องการดำเนินงาน (Operation Risk : OR)

OR1 อุปกรณ์คอมพิวเตอร์ที่ให้บริการและใช้ในการปฏิบัติงานสูญหายจากการโจรกรรม

 

OR2 การบริการด้านเครือข่ายอินเทอร์เน็ต และเว็บไซต์ ภายในมหาวิทยาลัยไม่สามารถให้บริการได้

 

 

 

 

 

 

 

 

 

 

 

 

 

 

OR3 บุคลากรติดโควิด 19 จากการปฏิบัติงาน

OR1.1 ไม่มีเจ้าหน้าที่รักษาความปลอดภัยประจำตึก อาคารมีทรัพย์สินราคาสูงและมองเห็นจากภายนอกชัดเจน

OR2.1 อุปกรณ์สลับสัญญาณเครือข่ายหลัก(Core Switch) ชำรุด เนื่องจากมีอายุการใช้งานมามากกว่า10ปี

OR2.2 คอมพิวเตอร์แม่ข่าย Sever ชำรุด เนื่องจากมีอายุการใช้งานมามากกว่า10ปี

OR2.3 ฐานข้อมูลที่มหาวิทยาลัยใช้งานในปัจจุบันเป็นระดับพื้นฐาน ไม่มีการป้องกันการโจรกรรมข้อมูล PDPA

OR2.4 การหยุดชะงักของระบบคลาวด์ที่มหาวิทยาลัยใช้บริการอยู่

OR3.1 บุคลากรปฏิบัติงานผลิตรายวิชาออนไลน์ทำงานร่วมกันในรูปแบบห้องปิด ใกล้ชิดกับผู้สอนที่ต้องเปิดหน้ากาก

-เกิดความเสียหายต่อทรัพย์สินของมหาวิทยาลัย

 

 

 

-มหาวิทยาลัยไม่สามารถใช้งานระบบเครือข่ายคอมพิวเตอร์และระบบเครือข่ายอินเทอร์เน็ตได้

-ไม่สามารถเข้าถึงเว็บไซต์ภายในหน่วยงานของมหาวิทยาลัยได้

-ข้อมูลถูกเผยแพร่สู่สาธารณะ หรือถูกเปลี่ยนแปลง

-เว็บ cmru.ac.th ไม่สามารถใช้งานได้

 

 

 

 

 

-เสียชีวิต ร้ายแรงต่อสุขภาพ และเสี่งต่อการแพร่ระบาด

4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk : CR)

CR1 การทำนิติกรรมสัญญาและการร่างสัญญาไม่ครอบคลุมการดำเนินงาน

CR1.1 บุคลากรไม่มีความรู้ด้านกฎหมายที่เกี่ยวข้อง

-มหาวิทยาลัยเสียเปรียบในด้านข้อกฎหมาย

 

ประเมินความเสี่ยง

          สำนักดิจิทัลเพื่อการศึกษา ได้ดำเนินการประเมินความเสี่ยง (Risk Assessment) ดังนี้

1)  กำหนดเกณฑ์การประเมินความเสี่ยง โดยพิจารณาเงื่อนไข ในการกำหนดเกณฑ์การประเมินความเสี่ยง 2 มิติ คือ โอกาสที่จะเกิดความเสี่ยง (Likelihood) และผลกระทบของความเสี่ยง (Impact) เพื่อกำหนดระดับความเสี่ยง (Degree of Risks) ของความเสี่ยงแต่ละเหตุการณ์

ตารางโอกาสที่จะเกิดความเสี่ยง (Likelihood)

ระดับโอกาสที่จะเกิดความเสี่ยง

ระดับ

โอกาสที่จะเกิด

คำอธิบาย

5

สูงมาก

มีโอกาสในการเกิดเกือบทุกครั้ง

4

สูง

มีโอกาสในการเกิดค่อนข้างสูงหรือบ่อย ๆ

3

ปานกลาง

มีโอกาสเกิดบางครั้ง

2

น้อย

มีโอกาสเกิดหากสภาพแวดล้อมเอื้ออำนวย

1

น้อยมาก

มีโอกาสเกิดในกรณีที่ไม่สามารถควบคุมได้

ตารางผลกระทบของความเสี่ยง (Impact)

ผลกระทบความเสี่ยง

ระดับ

ผลกระทบ

คำอธิบาย

5

รุนแรงที่สุด

ไม่สามารถแก้ไขได้

4

ค่อนข้างรุนแรง

แก้ไขได้ และมีผลกระทบต่อกระบวนการแผนงานอย่างมาก

3

ปานกลาง

แก้ไขได้ และมีผลกระทบต่อกระบวนการแผนงานปานกลาง

2

น้อย

แก้ไขได้ และมีผลกระทบต่อกระบวนการแผนงานเล็กน้อย

1

น้อยมาก

แก้ไขได้ ไม่มีผลผลกระทบต่อกระบวนการแผนงาน

ตารางระดับความเสี่ยง (Degree of Risks)

ระดับความเสี่ยง

ระดับคะแนน

การยอมรับ/การตอบความเสี่ยง

คำอธิบายการยอมรับ/การตอบความเสี่ยง

สูงมาก

20-25

ยอมรับไม่ได้

ความเสี่ยงที่ต้องกำกับดูแลอย่างใกล้ชิด ซึ่งต้องบริหารความเสี่ยงทันที

สูง

9-19

ยอมรับไม่ได้

ความเสี่ยงที่ต้องกำกับดูแลอย่างใกล้ชิด ซึ่งต้องบริหารความเสี่ยงทันที

ปานกลาง

 

4-8

 

ยอมรับได้

 

ความเสี่ยงที่ต้องเฝ้าระวังซึ่งจะต้องบริหารความเสี่ยงโดยให้ความสนใจเฝ้าระวัง

ต่ำ

1-3

ยอมรับได้

ความเสี่ยงที่ใช้วิธีควบคุมปกติไม่ต้องมีการจัดการเพิ่มเติม

 

2)  การประเมินโอกาสและผลกระทบของความเสี่ยง สำนักดิจิทัลเพื่อการศึกษาได้ดำเนินการประเมินความเสี่ยง ประกอบด้วย 2 มิติ คือ โอกาสที่จะเกิดความเสี่ยง (Likelihood) และผลกระทบของความเสี่ยง (Impact) โดยแสดงผลเป็นการคูณของโอกาส และผลกระทบ เพื่อให้ได้มาซึ่งระดับคะแนนความเสี่ยง (Degree of Risks)

ตารางการประเมินโอกาสและผลกระทบของความเสี่ยง

ประเภท

โอกาส (L)

ผลกระทบ (I)

คะแนน

1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk : SR)

SR1 ยุทธศาสตร์/แผนงาน ไม่สอดคล้องกับยุทธศาสตร์มหาวิทยาลัย

SR2 การดำเนินงานโครงการ กิจกรรมของสำนักฯ ไม่สอดคล้องกับยุทธศาสตร์และแผนปฏิบัติการของสำนักฯ

SR3 การปรับลดงบประมาณโครงการ กิจกรรม ไม่สามารถดำเนินงานตามตัวชี้วัดที่ตั้งไว้ได้

 

1

 

 

2

 

 

 

 

2

4

 

 

4

 

 

 

 

4

4

 

 

8

 

 

 

 

8

2. ความเสี่ยงด้านการเงิน (Financial Risk : FR)

FR1 งบประมาณที่ได้รับไม่สอดคล้องกับสถานการณ์ของการจัดกิจกรรมที่เปลี่ยนแปลงไป

2

 

3

 

6

 

3. ความเสี่ยงเรื่องการดำเนินงาน (Operation Risk : OR)

OR1 อุปกรณ์คอมพิวเตอร์ที่ให้บริการและใช้ในการปฏิบัติงานสูญหายจากการโจรกรรม

OR2 การบริการด้านเครือข่ายอินเทอร์เน็ต และเว็บไซต์ภายในมหาวิทยาลัยไม่สามารถให้บริการได้

OR3 บุคลากรติดโควิด 19 จากการปฏิบัติงาน

2

 

 

 

4

 

 

 

4

5

 

 

 

5

 

 

 

5

10

 

 

 

20

 

 

 

20

4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk : CR)

CR1 การทำนิติกรรมสัญญาและการร่างสัญญาไม่ครอบคลุม

CR2 การทุจริต

5

 

 

1

5

 

 

5

25

 

 

5

 

ตอบสนองความเสี่ยง

               จากการวิเคราะห์ความเสี่ยง ประเมินความเสี่ยง เพื่อตอบสนองความเสี่ยงสำนักดิจิทัลเพื่อการศึกษา ได้ดำเนินการประเมินโอกาสและผลกระทบของความเสี่ยง ได้มาซึ่งระดับคะแนนความเสี่ยงที่ได้จากผลคูณของโอกาสและผลกระทบแล้ว จึงนำมาเทียบตามคำอธิบายให้เห็นระดับความเสี่ยงที่ชัดเจน เพื่อนำเอาระดับความเสี่ยงสูง และสูงมาก ไปจัดลำดับความเสี่ยงต่อไป

               เมื่อเทียบค่าจากตารางระดับความเสี่ยง (Degree of Risks) เพื่อดูผลการยอมรับ/การตอบความเสี่ยง แล้ว สำนักดิจิทัลทำการตอบสนอง โดย ความเสี่ยงระดับสูง เป็นความเสี่ยงที่ยอมรับไม่ได้ต้องกำกับดูแลอย่างใกล้ชิด ซึ่งต้องบริหารความเสี่ยงทันที และระดับมาก เป็นความเสี่ยงที่ยอมรับไม่ได้ต้องกำกับดูแลอย่างใกล้ชิด ซึ่งต้องบริหารความเสี่ยงทันที

 

จัดลำดับความเสี่ยง

               การจัดลำดับความเสี่ยง สำนักดิจิทัลเพื่อการศึกษาได้นำความเสี่ยงที่อยู่ในระดับความเสี่ยง สูง และสูงมาก จัดลำดับความเสี่ยง เพื่อใช้ในการประเมินมาตรการควบคุมภายใน และจัดการความเสี่ยงต่อไป

 

ตารางจัดลำดับความเสี่ยง

ประเภท

โอกาส (L)

ผลกระทบ (I)

คะแนน

ระดับ

ลำดับ

3. ความเสี่ยงเรื่องการดำเนินงาน (Operation Risk : OR)

OR1 อุปกรณ์คอมพิวเตอร์ที่ให้บริการและใช้ในการปฏิบัติงานสูญหายจากการโจรกรรม

OR2 การบริการด้านเครือข่ายอินเทอร์เน็ต และเว็บไซต์ภายในมหาวิทยาลัยไม่สามารถให้บริการได้

OR3 บุคลากรปฏิบัติงานติดโควิด 19 จากการปฏิบัติงาน

2

 

 

 

 

4

 

 

 

 

4

5

 

 

 

 

5

 

 

 

 

5

10

 

 

 

 

20

 

 

 

 

20

สูง

 

 

 

 

สูงมาก

 

 

 

สูงมาก

4

 

 

 

 

3

 

 

 

 

2

 

4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk : CR)

CR1 การทำนิติกรรมสัญญาและการร่างสัญญาไม่ครอบคลุม

5

5

25

สูงมาก

1

(เอกสารหมายเลข 1.5-4-1 (หน้า2-13))

เอกสาร / หลักฐานอ้างอิง

รหัส หลักฐาน
1.5-4-1 แผนความเสี่ยงประจำปีงบประมาณ 2565 (หน้า 2-13)

5. หน่วยงานจัดทำแผนการบริหารจัดการความเสี่ยงอย่างน้อยปีละ 1 ครั้งและต้องมีการสื่อสารแผนการบริหารจัดการความเสี่ยงให้ผู้เกี่ยวข้องทุกฝ่ายรับทราบ

ผลการดำเนินงาน

        สำนักดิจิทัลเพื่อการศึกษาจัดทำแผนการบริหารจัดการความเสี่ยงประจำปีงบประมาณ 2565 โดยการดำเนินงานของคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน ได้จัดประชุม เพื่อสำรวจประเด็นความเสี่ยงประจำปีงบประมาณ 2565 ในการประชุม คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน เมื่อวันที่ 5 ตุลาคม 2564 ห้องประชุมเอื้องสายส่องแสง สำนักดิจิทัลเพื่อการศึกษา ที่ประชุมได้ร่วมจัดทำ (ร่าง) แผนบริหารความเสี่ยง ประจำปี 2565 พิจารณาถึงการกำหนดประเด็นความเสี่ยงตามประเภทความเสี่ยงมาตรฐานสากล COSO และเกณฑ์ประกันคุณภาพภายใน ระดับหน่วยงานสนับสนุน วิเคราะห์ และสังเคราะห์ประเด็นความเสี่ยง จัดลำดับความเสี่ยง โดยประเมินมาตรการควบคุมภายใน (Risk Control) ตามปัจจัยเสี่ยงของแต่ละรายการความเสี่ยงที่ยอมรับไม่ได้ ได้แก่ ระดับความเสี่ยง “สูง” และ “สูงมาก” เพื่อประเมินประสิทธิภาพการควบคุมภายในที่มีอยู่

          สำนักดิจิทัลเพื่อการศึกษา นำผลจากการประเมินควบคุมภายในที่มีอยู่ โดยหากผลการประเมินควบคุมภายใน ยังไม่สามารถลดความเสี่ยงนั้นลงให้อยู่ในระดับยอมรับได้ คณะกรรมการต้องดำเนินการจัดกิจกรรมเพื่อจัดการความเสี่ยง (Risk Treatment) ด้วยการประเมินทางเลือกการบริหารความเสี่ยง ซึ่งประกอบด้วย 4
กลยุทธ์ : 4T’s Strategies ได้แก่ ยอมรับความเสี่ยง (Take) ควบคุม/ลดความเสี่ยง (Treat) หลีกเลี่ยงความเสี่ยง (Terminate) ถ่ายโอนความเสี่ยง (Transfer) ทั้งนี้สามารถจัดทำเป็นแผนบริหารความเสี่ยงสำนักดิจิทัลเพื่อการศึกษา ประจำปีงบประมาณ 2565 ดังนี้

 

ประเด็นความเสี่ยงลำดับ 1 การทำนิติกรรมสัญญาและการร่างสัญญาไม่ครอบคลุม

COSO : ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ(Compliance Risk : CR)

ปัจจัยเสี่ยง บุคลากรไม่มีความรู้ด้านกฎหมายที่เกี่ยวข้อง

กลยุทธ์จัดการความเสี่ยง ถ่ายโอน

กิจกรรม

1.จัดส่งเอกสารนิติกรรมสัญญาให้นิติกรของมหาวิทยาลัยตรวจสอบ

ตัวชี้วัด

1. สถิติเอกสารนิติกรรมสัญญาที่จัดส่ง

ระยะเวลาดำเนินงาน ต.ค.64-ก.ย.65

ผู้รับผิดชอบ งานบริหารงานทั่วไป

งบประมาณ/ค่าใช้จ่าย  -ไม่มี-

 

ประเด็นความเสี่ยงลำดับ 2 บุคลากรติดโควิด 19 จากการปฏิบัติงาน

COSO : ความเสี่ยงด้านการดำเนินการ (Operation Risk : OR)

ปัจจัยเสี่ยง บุคลากรปฏิบัติงานผลิตรายวิชาออนไลน์ทำงานร่วมกันในรูปแบบห้องปิด ใกล้ชิดกับผู้สอนที่ต้องเปิดหน้ากาก

กลยุทธ์จัดการความเสี่ยง ลด

กิจกรรม

1. จัดหา/ปรับปรุงห้องผลิตรายวิชาออนไลน์แบบรักษาระยะห่าง

2. จัดทำมาตรการ/แนวปฏิบัติ การใช้ห้องผลิตรายวิชาออนไลน์เพื่อใช้ในการปฏิบัติงาน

ตัวชี้วัด

1. ห้องผลิตรายวิชาออนไลน์แบบรักษาระยะห่าง อย่างน้อย 1 ห้อง

2. มาตรการ/แนวปฏิบัติ การใช้ห้องผลิตรายวิชาออนไลน์ 1 ฉบับระยะเวลาดำเนินงาน  ต.ค. 64-ม.ค. 65

ผู้รับผิดชอบ หน่วยพัฒนานวัตกรรมการเรียนการสอนอิเล็กทรอนิกส์

งบประมาณ/ค่าใช้จ่าย -ไม่มี-

 

ประเด็นความเสี่ยงลำดับ 3 การบริการด้านเครือข่ายอินเทอร์เน็ต และเว็บไซต์ภายในมหาวิทยาลัยไม่สามารถให้บริการได้

COSO : ความเสี่ยงด้านการดำเนินการ (Operation Risk : OR)

ปัจจัยเสี่ยง 1. ด้านอุปกรณ์เครือข่ายและฐานข้อมูล

1) อุปกรณ์สลับสัญญาณเครือข่ายหลัก (Core Switch) ชำรุด เนื่องจากมีอายุการใช้งานมามากกว่า10 ปี

2) คอมพิวเตอร์แม่ข่าย Sever ชำรุด เนื่องจากมีอายุการใช้งานมามากกว่า10ปี

3) ฐานข้อมูลที่มหาวิทยาลัยใช้งานในปัจจุบันเป็นระดับพื้นฐาน ไม่มีการป้องกันการโจรกรรมข้อมูล PDPA

กลยุทธ์จัดการความเสี่ยง ลด

กิจกรรม

1. จัดทำคำขอตั้งงบประมาณงานบริหารจัดการคอมพิวเตอร์เครือข่าย โครงการปีงบประมาณ 2566 หรือตามช่องทางที่มหาวิทยาลัยกำหนดให้

2. จัดทำระบบการตรวจสอบปริมาณการใช้งานและความผิดปกติเครือข่ายอินเทอร์เน็ต

ตัวชี้วัด

1. คำขอตั้งงบประมาณด้านคอมพิวเตอร์เครือข่ายให้ครอบคลุม (อุปกรณ์สลับสัญญาณ เครื่องคอมพิวเตอร์แม่ข่าย และฐานข้อมูล)

2. ระบบการตรวจสอบปริมาณการใช้งานและความผิดปกติเครือข่ายอินเทอร์เน็ต

ระยะเวลาดำเนินงาน ต.ค. 64-ก.ย. 65

ผู้รับผิดชอบ หน่วยบริหารจัดการคอมพิวเตอร์เครือข่าย

งบประมาณ/ค่าใช้จ่าย –ไม่มี-

 

ปัจจัยเสี่ยง 2. การบริการของระบบบคลาวด์ที่มหาวิทยาลัยใช้บริการ

1) การหยุดชะงักของระบบคลาวด์ที่มหาวิทยาลัยใช้บริการอยู่

กลยุทธ์จัดการความเสี่ยง ยอมรับ

กิจกรรม

1. ตรวจสอบบริการคลาวด์จากผู้ให้บริการ

ตัวชี้วัด

1. รายงานสถิติการหยุดชะงักของบริการคลาวด์จาก

ผู้ให้บริการ

ระยะเวลาดำเนินงาน ต.ค. 64-ก.ย. 65

ผู้รับผิดชอบ หหน่วยบริหารจัดการคอมพิวเตอร์เครือข่าย/หน่วยพัฒนาระบบบริหารจัดการ MIS

งบประมาณ/ค่าใช้จ่าย –ไม่มี-

 

ประเด็นความเสี่ยงลำดับ 4 อุปกรณ์คอมพิวเตอร์ที่ให้บริการและใช้ในการปฏิบัติงานสูญหายจากการโจรกรรม

COSO : ความเสี่ยงด้านการดำเนินการ (Operation Risk : OR)ปัจจัยเสี่ยง อาคารมีทรัพย์สินราคาสูงและสามารถมองเห็นจากภายนอก

กลยุทธ์จัดการความเสี่ยง ถ่ายโอน

กิจกรรม

1. ความร่วมมือสนับสนุนด้านการจัดเจ้าหน้าที่รักษาความปลอดภัยไปยังกองอาคารสถานที่

ตัวชี้วัด

บันทึกข้อความขอความร่วมมือสนับสนุนด้านการจัดเจ้าหน้าที่รักษาความปลอดภัยไปยังกองอาคารสถานที่ 1 ฉบับ

ระยะเวลาดำเนินงาน ต.ค 64.- มี.ค. 65

ผู้รับผิดชอบ งานบริหารงานทั่วไป

งบประมาณ/ค่าใช้จ่าย –ไม่มี-

 (เอกสารประกอบ 1.5-5-1 (หน้า14-16))

          จากแผนบริหารความเสี่ยงประจำปีงบประมาณ 2565 ที่ได้จากการทำงานร่วมกันของคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน ซึ่งประกอบด้วยผู้บริหาร และบุคลากรทุกท่าน ร่วมกันระบุความเสี่ยง ประเมินความเสี่ยง เลือกวิธีตอบสนองความเสี่ยง จัดลำดับความเสี่ยง ประเมินมาตรการควบคุมภายใน เลือกกลยุทธ์จัดการความเสี่ยง ลงสู่แผนบริหารความเสี่ยง ซึ่งระบุกิจกรรม ตัวชี้วัด ระยะเวลาการดำเนินงาน ผู้รับผิดชอบ และงบประมาณ อย่างชัดเจนเพื่อใช้เป็นแผนในการดำเนินงานตลอดปีงบประมาณ 2565 โดยคณะกรรมการทุกท่านมีส่วนร่วมในการตรวจสอบแผนกิจกรรม และทบทวนผลการดำเนินงานของตนในส่วนที่เกี่ยวข้องได้สม่ำเสมอ ด้วยการเผยแพร่แผนบริหารความเสี่ยง ดังกล่าวบนเว็บไซต์สำนักดิจิทัลเพื่อการศึกษา www.digital.cmru.ac.th และใช้การประชุมประกันคุณภาพ รวมถึงประชุมบุคลากร เป็นช่องทางในการสื่อสารเพื่อรายงานผล กำกับติดตาม ตลอดจนให้ข้อเสนอแนะในการแก้ไขปัญหาระหว่างการดำเนินกิจกรรม หลังจากจบแผน ได้รายงานผลต่อคณกรรมการความเสี่ยง มหาวิทยาลัย และคณกรรมการสำนักในครั้งถัดไป (เอกสารประกอบ 1.5-5-2)

เอกสาร / หลักฐานอ้างอิง

รหัส หลักฐาน
1.5-5-1 แผนความเสี่ยงประจำปีงบประมาณ 2565 (ตารางแผนบริหารความเสี่ยงสำนักดิจิทัลเพื่อการศึกษา ประจำปีงบประมาณ 2565 (หน้าที่ 14-16)
1.5-5-2 ภาพแสดงตัวอย่าง แผนบริหารความเสี่ยงบนเว็บไซต์สำนักดิจิทัลเพื่อการศึกษา

6. มีการกำกับ ติดตามและประเมินผลการบริหารจัดการความเสี่ยงและทบทวนแผนการบริหารจัดการความเสี่ยงอย่างสม่ำเสมอ และรายงานการบริหารจัดการความเสี่ยงต่อมหาวิทยาลัยอย่างน้อยปีละ 1 ครั้ง

ผลการดำเนินงาน

          สำนักดิจิทัลเพื่อการศึกษามีการกำกับ ติดตาม และประเมินผลการบริหารจัดการความเสี่ยงและทบทวนแผนการบริหารจัดการความเสี่ยง โดยใช้การประชุมประกันคุณภาพ และการประชุมบุคลากร การประชุมคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน เป็นเครื่องมือในการกำกับ ติดตาม ทั้งนี้ตลอดการดำเนินงานประจำปีงบประมาณ 2565 มีการรายงานผลการดำเนินงานตามแผนบริหารความเสี่ยงให้คณะกรรมการฯ ทราบ เพื่อร่วมหาข้อเสนอแนะในการดำเนินการแก้ไขปัญหา อุปสรรค กรณีไม่สามารถดำเนินการได้ ให้ทันการณ์ จำนวน 4 ครั้ง ดังนี้

          การประชุมประกันคุณภาพ ครั้งที่ 1/2565 ในวันที่ 26 สิงหาคม 2565 โดยรายงานสถานะการดำเนินงานประเด็นความเสี่ยงต่อที่ประชุม (เอกสารประกอบ 1.5-6-1)

          การประชุมประกันคุณภาพ ครั้งที่ 2/2564 ในวันที่ 31 สิงหาคม 2565 โดยเสนอผลการตรวจประเมินหัวข้อการบริหารความเสี่ยงและควบคุมภายใน จากสำนักงานตรวจสอบภายใน ประจำปีงบประมาณ 2565 (รายงานผลการตรวจประเมิน วันที่ 16 สิงหาคม 2565) เพื่อใช้เป็นแนวทางในการปรับปรุงการจัดทำแผนบริหารความเสี่ยงในปีงบประมาณถัดไป (เอกสารประกอบ 1.5-6-2)

          การประชุมประกันคุณภาพ ครั้งที่ 3/2564 ในวันที่ 27 กันยายน 2565 โดยนำเสนอผลการดำเนินงานตามแผนบริหารความเสี่ยง ประจำปีงบประมาณ 2565 ตลอดทั้งปี เพื่อสรุปเข้าที่ประชุมคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (เอกสารประกอบ 1.5-6-3)

            การประชุมคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน ในวันที่ 29 กันยายน 2565 โดยนำเสนอรายงานผลการดำเนินงานตามแผนบริหารความเสี่ยงต่อคณะกรรมการความเสี่ยง เพื่อประเมินผลการดำเนินโครงการกิจกรรมความเสี่ยง และข้อเสนอสำหรับการจัดทำ (ร่าง) แผนบริหารความเสี่ยง ประจำปีงบประมาณ 2566 (เอกสารประกอบ 1.5-6-4)

          สำนักดิจิทัลเพื่อการศึกษา โดยการทำงานของคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน ได้ร่วมกันพิจารณาผลการดำเนินงานตามรายงานผลการดำเนินงานตามแผนบริหารความเสี่ยง ประจำปีงบประมาณ 2565 ซึ่งมีผลการประเมินความเสี่ยงสามารถลดความเสี่ยงจาก สูงมาก ยอมรับไม่ได้ เป็นระดับต่ำ ยอมรับได้ และมีกระบวนการในการควบคุมความเสี่ยงตามกิจกรรมต่อไปจำนวน 2 ประเด็นความเสี่ยง คือ

ประเด็นความเสี่ยงลำดับที่ 1 การทำนิติกรรมสัญญาและการร่างสัญญาไม่ครอบคลุม

ปัจจัยเสี่ยง บุคลากรไม่มีความรู้ด้านกฎหมายที่เกี่ยวข้อง

กลยุทธ์จัดการความเสี่ยง ถ่ายโอน

กิจกรรม

1.จัดส่งเอกสารนิติกรรมสัญญาให้นิติกรของมหาวิทยาลัยตรวจสอบ

ตัวชี้วัด

1. สถิติเอกสารนิติกรรมสัญญาที่จัดส่ง

ระยะเวลาดำเนินงาน ต.ค.64-ก.ย.65

ผู้รับผิดชอบ งานบริหารงานทั่วไป

งบประมาณ/ค่าใช้จ่าย  -ไม่มี-

ผลการดำเนินงาน

          สำนักดิจิทัลเพื่อการศึกษา จัดทำกระบวนการทำงานเพื่อลดความเสี่ยงด้านการทำนิติกรรมสัญญา และการร่างสัญญาที่ไม่ครอบคลุมอันจะเกิดความเสียหายแต่หน่วยงานและมหาวิทยาลัย เนื่องด้วยไม่มีบุคลากรด้านกฎหมาย โดยให้ผู้ที่มีส่วนเกี่ยวข้องด้านการจัดซื้อจัดจ้าง ที่ต้องมีการทำนิติกรรมสัญญา จัดส่งสัญญาทุกฉบับ ให้นิติกร สังกัดกองกลาง สำนักงานอธิการบดี ตรวจสอบความถูกต้องและแก้ไขตามคำแนะนำของนิติกรให้เรียบร้อยก่อนดำเนินการลงนามสัญญาทุกครั้ง

          ผลการดำเนินงานด้านการจัดส่งให้นิติกรตรวจสอบเอกสารสัญญา ในปีงบประมาณ 2565 (ต.ค. 64- ก.ย. 65) มีทั้งสิ้น 7 ฉบับ โดยจัดส่งให้นิติกรตรวจสอบ 7 ฉบับ และการจัดซื้อจัดจ้างไม่พบความเสียหายจากการทำสัญญาที่ไม่ครอบคลุม

 

          สามารถลดความเสี่ยงจากระดับ สูงมาก ให้อยู่ในระดับ ต่ำ อยู่ในระดับที่ยอมรับได้ และให้ใช้กระบวนการ “จัดส่งให้นิติกรตรวจสอบเอกสารสัญญาทุกครั้ง” ในการควบคุมความเสี่ยงต่อไป

 

ประเด็นความเสี่ยงลำดับ 4 อุปกรณ์คอมพิวเตอร์ที่ให้บริการและใช้ในการปฏิบัติงานสูญหายจากการโจรกรรม

ปัจจัยเสี่ยง อาคารมีทรัพย์สินราคาสูงและสามารถมองเห็นจากภายนอก

กลยุทธ์จัดการความเสี่ยง ถ่ายโอน

กิจกรรม

1. ความร่วมมือสนับสนุนด้านการจัดเจ้าหน้าที่รักษาความปลอดภัยไปยังกองอาคารสถานที่

ตัวชี้วัด

บันทึกข้อความขอความร่วมมือสนับสนุนด้านการจัดเจ้าหน้าที่รักษาความปลอดภัยไปยังกองอาคารสถานที่ 1 ฉบับ

ระยะเวลาดำเนินงาน ต.ค 64.- มี.ค. 65

ผู้รับผิดชอบ งานบริหารงานทั่วไป

งบประมาณ/ค่าใช้จ่าย –ไม่มี-

ผลการดำเนินกิจกรรม

          สำนักดิจิทัลเพื่อการศึกษาดำเนินการขอความอนุเคราะห์ กองอาคารสถานที่เพื่อขอความอนุเคราะห์สนับสนุนด้านเจ้าหน้าที่รักษาความปลอดภัย ในการสอดส่องดูแลบริเวณชั้น 1 อาคารเทคโนโลยีสารสนเทศ ซึ่งมีครุภัณฑ์คอมพิวเตอร์และสามารถมองเห็นจากภายนอกชัดเจน โดยทำบันทึกข้อความ จำนวน 1 ฉบับ (อว 0612.16/077 ลงวันที่ 25 เม.ย. 2565) ทั้งนี้ ตลอดปีงบประมาณ 2565 ไม่พบความเสียหายจากการถูกโจรกรรม

          จากผลการดำเนินงาน สามารถลดความเสี่ยงจากระดับ สูงมาก ให้อยู่ในระดับ ต่ำ ยอมรับได้ และพิจารณาประสานความร่วมมือไปกองอาคารสถานที่ ในกรณีมหาวิทยาลัยไม่เปิดให้บริการการเรียนการสอน (ภาวะไม่ปกติ จากโรคระบาดโควิด 19)

 

          สามารถลดความเสี่ยงจากสูงมาก ยอมรับไม่ได้ เป็นระดับ ปานกลาง ยอมรับได้ และมีกระบวนการในการควบคุมความเสี่ยงตามกิจกรรมต่อไปจำนวน 2 ประเด็นความเสี่ยง คือ

ประเด็นความเสี่ยงลำดับ 2 บุคลากรติดโควิด 19 จากการปฏิบัติงาน

ปัจจัยเสี่ยง บุคลากรปฏิบัติงานผลิตรายวิชาออนไลน์ทำงานร่วมกันในรูปแบบห้องปิด ใกล้ชิดกับผู้สอนที่ต้องเปิดหน้ากาก

กลยุทธ์จัดการความเสี่ยง ลด

กิจกรรม

1. จัดหา/ปรับปรุงห้องผลิตรายวิชาออนไลน์แบบรักษาระยะห่าง

2. จัดทำมาตรการ/แนวปฏิบัติ การใช้ห้องผลิตรายวิชาออนไลน์เพื่อใช้ในการปฏิบัติงาน

ตัวชี้วัด

1. ห้องผลิตรายวิชาออนไลน์แบบรักษาระยะห่าง อย่างน้อย 1 ห้อง

2. มาตรการ/แนวปฏิบัติ การใช้ห้องผลิตรายวิชาออนไลน์ 1 ฉบับระยะเวลาดำเนินงาน  ต.ค. 64-ม.ค. 65

ผู้รับผิดชอบ หน่วยพัฒนานวัตกรรมการเรียนการสอนอิเล็กทรอนิกส์

งบประมาณ/ค่าใช้จ่าย -ไม่มี-

ผลการดำเนินงาน

          สำนักดิจิทัลเพื่อการศึกษา ดำเนินการปรับปรุงห้องผลิตรายวิชาออนไลน์ ได้แก่ ห้อง Mini Studio ชั้น 4 อาคารเทคโนโลยีสารสนเทศ ให้สอดคล้องกับมาตรฐาน และแนวปฏิบัติการผลิตรายการในช่วงเฝ้าระวังการแผ่ระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 จำนวน 1 ห้อง

          สำนักดิจิทัลฯ จัดทำประกาศ สำนักดิจิทัลเพื่อการศึกษามหาวิทยาลัยราชภัฏเชียงใหม่ เรื่อง แนวปฏิบัติการใช้ห้อง Mini Studio ในการถ่ายทำบทเรียนออนไลน์ CMRU MOOCs เพื่อให้การบริการของสำนักดิจิทัลเพื่อการศึกษา และผู้เข้าใช้บริการปฏิบัติไปในทิศทางเดียวกัน และสอดคล้องกับมาตรการป้องกันการแพร่ระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 (โควิด-19) 1 ฉบับ โดยประกาศ ณ วันที่ 2 มกราคม 2565

          ผลการดำเนินงานการใช้ห้อง Mini Studio ในการถ่ายทำบทเรียนออนไลน์ CMRU MOOCs ตลอดปีงบประมาณ 2565 ไม่พบบุคลากรติดโควิด 19 จากการปฏิบัติงาน ทั้งนี้มีการใช้ห้องรวมทั้งสิ้น 4 ครั้ง ดังนี้

          ครั้งที่ 1 วันที่ 11 กรกฎาคม 2565 เตรียมความพร้อมการถ่ายทำรายวิชา โลกแห่งธุรกิจ

          ครั้งที่ 2 วันที่ 21 กรกฎาคม 2565 ถ่ายทำบทที่ 1 และ 2 รายวิชาโลกแห่งธุรกิจ

          ครั้งที่ 3 วันที่ 2 สิงหาคม 2565 ถ่ายทำบทที่ 3 รายวิชาโลกแห่งธุรกิจ

          ครั้งที่ 4 วันที่ 28 กันยายน 2565 ถ่ายทำบทที่ 4-6 รายวิชาโลกแห่งธุรกิจ

สามารถลดความเสี่ยงจากระดับ สูงมาก ให้อยู่ในระดับ ปานกลาง อยู่ในระดับที่ยอมรับได้ และมีกระบวนการในการควบคุมความเสี่ยงตามประกาศ แนวปฏิบัติฯ ต่อไป

 

ประเด็นความเสี่ยงลำดับ 3 การบริการด้านเครือข่ายอินเทอร์เน็ต และเว็บไซต์ภายในมหาวิทยาลัยไม่สามารถให้บริการได้

ปัจจัยเสี่ยง 1. ด้านอุปกรณ์เครือข่ายและฐานข้อมูล

1) อุปกรณ์สลับสัญญาณเครือข่ายหลัก (Core Switch) ชำรุด เนื่องจากมีอายุการใช้งานมามากกว่า10 ปี

2) คอมพิวเตอร์แม่ข่าย Sever ชำรุด เนื่องจากมีอายุการใช้งานมามากกว่า10ปี

3) ฐานข้อมูลที่มหาวิทยาลัยใช้งานในปัจจุบันเป็นระดับพื้นฐาน ไม่มีการป้องกันการโจรกรรมข้อมูล PDPA

กลยุทธ์จัดการความเสี่ยง ลด

กิจกรรม

1. จัดทำคำขอตั้งงบประมาณงานบริหารจัดการคอมพิวเตอร์เครือข่าย โครงการปีงบประมาณ 2566 หรือตามช่องทางที่มหาวิทยาลัยกำหนดให้

2. จัดทำระบบการตรวจสอบปริมาณการใช้งานและความผิดปกติเครือข่ายอินเทอร์เน็ต

ตัวชี้วัด

1. คำขอตั้งงบประมาณด้านคอมพิวเตอร์เครือข่ายให้ครอบคลุม (อุปกรณ์สลับสัญญาณ เครื่องคอมพิวเตอร์แม่ข่าย และฐานข้อมูล)

2. ระบบการตรวจสอบปริมาณการใช้งานและความผิดปกติเครือข่ายอินเทอร์เน็ต

ระยะเวลาดำเนินงาน ต.ค. 64-ก.ย. 65

ผู้รับผิดชอบ หน่วยบริหารจัดการคอมพิวเตอร์เครือข่าย

งบประมาณ/ค่าใช้จ่าย –ไม่มี-

ผลการดำเนินงาน

          สำนักดิจิทัลเพื่อการศึกษาดำเนินการจัดทำคำขอตั้งงบประมาณงานบริหารจัดการคอมพิวเตอร์เครือข่าย ประจำปีงบประมาณ 2566 โดยปรับรูปแบบการขอจากรายการครุภัณฑ์ เป็นรูปแบบการเช่าใช้ และจัดทำอุปกรณ์ IoT เพื่อแจ้งเตือนการเฝ้าระวัง เนื่องมาจากการอนุมัติงบประมาณประเภทครุภัณฑ์ใช้งบประมาณสูง และยากต่ออการอนุมัติ จึงจัดทำคำขอตั้งงบประมาณ จำนวน 2 โครงการ ดังนี้

     1. โครงการจัดหาระบบ Cloud Web Server Hosting เพื่อสนับสนุนงานวิจัยและการพัฒนาเว็บไซต์ของอาจารย์ บุคลากร และนักศึกษามหาวิทยาลัยราชภัฏเชียงใหม่ งบประมาณ 45,000 บาท

     2. โครงการพัฒนา Smart Data Center ด้วย IoT งบประมาณ 12,00 บาท

 

          สำนักฯ ได้ดำเนินการจัดทำระบบการตรวจสอบปริมาณการใช้งานและความผิดปกติเครือข่ายอินเทอร์เน็ต เพื่อให้สามารถเฝ้าสังเกต (Monitor) จำนวน 2 ช่องทางดังนี้

     1. บริเวณหน้าห้องคอมพิวเตอร์แม่ข่าย ชั้น 3 อาคารเทคโนโลยีสารสนเทศ สำนักดิจิทัลเพื่อการศึกษา 1 จุด ซึ่งนักวิชาการคอมพิวเตอร์ งานคอมพิวเตอร์เครือข่าย สามารถเฝ้าสังเกตได้ตลอดเวลาในระหว่างเวลาราชการ (08.00-16.30 น.)

     2. ระบบแจ้งเตือนผ่าน Line ด้วยเทคโนโลยี IoT โดยจะทำการแจ้งเตือนเมื่อมีเหตุการณ์ไฟดับ ซึ่งเป็นสาเหตุหลักที่จะส่งผลให้ไม่สามารถบริการเครือข่ายอินเทอร์เน็ต โดยระบบจะแจ้งสถานะดังนี้

       1) สถานการณ์ทำงานของระบบแม่ข่ายทุกวัน วันละ 2 รอบ คือ 08.00 น. และ 17.00 น.

       2) สถานการณ์ผิดปกติ ไฟดับ แจ้งเตือนทันที และแจ้งเตือนทุก 15 นาที จนกว่าสถานการณ์จะปกติหรือจนกว่าแบตเตอร์รี่จะหมด

 

ปัจจัยเสี่ยง 2. การบริการของระบบบคลาวด์ที่มหาวิทยาลัยใช้บริการ

1) การหยุดชะงักของระบบคลาวด์ที่มหาวิทยาลัยใช้บริการอยู่

กลยุทธ์จัดการความเสี่ยง ยอมรับ

กิจกรรม

1. ตรวจสอบบริการคลาวด์จากผู้ให้บริการ

ตัวชี้วัด

1. รายงานสถิติการหยุดชะงักของบริการคลาวด์จาก

ผู้ให้บริการ

ระยะเวลาดำเนินงาน ต.ค. 64-ก.ย. 65

ผู้รับผิดชอบ หหน่วยบริหารจัดการคอมพิวเตอร์เครือข่าย/หน่วยพัฒนาระบบบริหารจัดการ MIS

งบประมาณ/ค่าใช้จ่าย –ไม่มี-

ผลการดำเนินงาน

          สำนักฯ ดำเนินการตรวจสอบการให้บริการคลาวด์ ที่สำนักฯ ได้ดำเนินเช่าใช้ เพื่อถ่ายโอนความเสี่ยงของระบบคอมพิวเตอร์แม่ข่ายที่ติดตั้งบนเครื่องคอมพิวเตอร์แม่ขายไม่สามารถให้บริการได้ ไปยังบริการคลาวด์ โดยมีระบบและเว็บไซต์ที่อยู่บนระบบคลาวด์ ดังนี้

         1) บริการ Web Server เว็บไซต์หน่วยงานของมหาวิทยาลัยจำนวน 20 เว็บไซต์

         2) บริการระบบแจ้งเตือน Line notify จำนวน 1 ระบบ

         3) บริการระบบมอนิเตอร์เครือข่ายของมหาวิทยาลัย จำนวน 1 ระบบ

         4) บริการ Radius Server สำหรับระบบ WiFi จำนวน 1 ระบบ

         5) บริการ DNS Server จำนวน 1 ระบบ

ทั้งนี้ตลอดปีงบประมาณ 2565 สามารถทำงานได้ปกติ ไม่มีการหยุดให้บริการคลาวด์จากผู้ให้บริการ

          จากผลการดำเนินงาน สามารถลดความเสี่ยงจากระดับ สูงมาก ให้อยู่ในระดับ ปานกลาง อยู่ในระดับที่ยอมรับได้ และมีกระบวนการในการควบคุมความเสี่ยงตามกิจกรรมต่อไป (เอกสารประกอบ 1.5-6-5)

          ทั้งนี้สำนักดิจิทัลเพื่อการศึกษาได้ดำเนินการรายงานการบริหารความเสี่ยงต่อมหาวิทยาลัย โดยรายงานการประเมินองค์ประกอบของการควบคุมภายใน (แบบ ปค.4) และรายงานการประเมินผลการควบคุมภายใน (แบบ ปค.5) ต่ออธิการบดี ตามกระบวนการดำเนินการด้านบริหารความเสี่ยงและควบคุมภายใน (เอกสารประกอบ 1.5-6-6)

เอกสาร / หลักฐานอ้างอิง

รหัส หลักฐาน
1.5-6-1 รายงานการประชุมประคุณคุณภาพครั้งที่ 1/2565 วันที่ 26 สิงหาคม 2565
1.5-6-2 รายงานการประชุมประคุณคุณภาพครั้งที่ 2/2565 วันที่ 31 สิงหาคม 2565
1.5-6-4 รายงานการประชุมคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน วันที่ 29 กันยายน 2565กันยายน 2565 ณ ห้องประชุมเอื้องสายส่องแสง
1.5-6-5 รายงานผลการดำเนินงาน โครงการบริหารความเสี่ยง ประจำปีงบประมาณ 2565
1.5-6-6 บันทึกข้อความเลขที่ อว0612.16/187 ลงวันที่ 6 ตุลาคม 2565 เรื่อง รายงานผลการดำเนินการด้านบริหารความเสี่ยงและควบคุมภายใน ประจำปี (พร้อมเอกสารแนบ แบบปค.4 และ ปค.5)
1.5-6-3 รายงานการประชุมประคุณคุณภาพครั้งที่ 3/2565 วันที่ 27 กันยายน 2565

7. มีการนำผลการประเมินและข้อเสนอแนะจากคณะกรรมการบริหารความเสี่ยงของมหาวิทยาลัยหรือคณะกรรมการความเสี่ยงของหน่วยงาน ไปใช้ในการปรับแผนการบริหารจัดการความเสี่ยงในรอบปีถัดไป

ผลการดำเนินงาน

 สำนักดิจิทัลเพื่อการศึกษา โดยการทำงานของคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน ได้ร่วมกันพิจารณาผลการดำเนินงานตามรายงานผลการดำเนินงานตามแผนบริหารความเสี่ยง ประจำปีงบประมาณ 2565 ซึ่งมีผลการประเมินความเสี่ยงสามารถลดความเสี่ยงจาก สูงมาก และสูง ยอมรับไม่ได้ เป็นระดับต่ำ ยอมรับได้ จำนวน 2 ประเด็นความเสี่ยงจากสูงมาก  และ ลดความเสี่ยงจากสูงปานกลาง ยอมรับได้ ความเสี่ยงจำนวน 2 ประเด็นความเสี่ยง

         

          โดยแผนบริหารความเสี่ยง ประจำปีงบประมาณ 2565 ได้ระบุตัวชี้วัดความสำเร็จของแผนบริหารความเสี่ยง คือ สำนักดิจิทัลเพื่อการศึกษาดำเนินกิจกรรมจัดการความเสี่ยงทุกกิจกรรม และสามารถลดระดับประเด็นความเสี่ยงจาก ยอมรับไม่ได้ เป็น ยอมรับได้ อย่างน้อย 1 ประเด็น สรุปได้ว่าสำนักดิจิทัลเพื่อการศึกษาบรรลุตามตัวชี้วัดความสำเร็จของแผนที่วางไว้

           ทั้งนี้จากการรายงานผลการตรวจสอบภายใน รอบปีงบประมาณ 2565 ของสำนักงานตรวจสอบภายใน เรื่องการบริหารความเสี่ยง และการควบคุมภายใน ให้ความเห็นด้านผลการดำเนินการดังนี้ ผลการดำเนินการบริหารจัดการความเสี่ยงลดลง เป็นที่ยอมรับได้แล้ว หน่วยงานยังคงต้องมีการกำกับ ตรวจสอบ ติดตามอย่างสม่ำเสมอและต่อเนื่อง เพื่อไม่ให้เกิดความเสี่ยงขึ้น และอยู่ในระดับที่สูง (เอกสารประกอบ 1.5-7-1 (หน้าที่ 41-43))

         ดังนั้น คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน จึงร่วมกันจัดทำ (ร่าง) แผนบริหารความเสี่ยง ประจำปี 2566 ในการประชุม คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน เมื่อวันที่ 29 กันายายน 2565 โดยประเมินความเสี่ยง ตอบสนองความเสี่ยง จัดลำดับความเสี่ยง ครอบคลุมทุกด้านดังนี้

  • ความเสี่ยงด้านกลยุทธ์ (Strategic Risk : SR)
  • ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk : CR)
  • ความเสี่ยงด้านการเงิน (Financial Risk : FR)
  • ความเสี่ยงด้านการปฏิบัติงาน (Operation Risk : OR)

         ทั้งนี้ ลำดับความเสี่ยงที่อยู่ในระดับสูงมาก และสูง ได้ถูกนำสู่ (ร่าง) แผนบริหารความเสี่ยง ประจำปีงบประมาณ 2566 ซึ่งระบุกิจกรรม ตัวชี้วัด ระยะเวลาการดำเนินงาน ผู้รับผิดชอบ และงบประมาณ ดังนี้

 

ประเด็นความเสี่ยงลำดับ 1 CR1 มหาวิทยาลัยถูกฟ้องร้องด้านกฎหมาย PDPA จากบริการที่สำนักดิจิทัลเพื่อการศึกษารับผิดชอบ

COSO : ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ(Compliance Risk : CR) 

ปัจจัยเสี่ยง  บุคลากรขาดความรู้ความเข้าใจด้าน PDPA

กลยุทธ์จัดการความเสี่ยง ควบคุม/ลด

กิจกรรม

อบรมให้ความรู้ความเข้าใจด้าน PDPA กับผู้ปฏิบัติงาน

ตัวชี้วัด

ประกาศ หรือแนวปฏิบัติการให้บริการของสำนักดิจิทัลเพื่อการศึกษาที่สอดคล้องกับนโยบาย PDPA

ระยะเวลาดำเนินงาน ต.ค.65-ก.ย.66

ผู้รับผิดชอบ ทุกงานบริการ

งบประมาณ/ค่าใช้จ่าย  -ไม่มี- (กิจกรรมในโครงการอบรมประจำปีงบประมาณ 2566)

 

ประเด็นความเสี่ยงลำดับ 2 FR1 การทุจริตในการจัดซื้อจัดจ้าง

COSO : ความเสี่ยงด้านการเงิน (Financial Risk : FR)

ปัจจัยเสี่ยง  กระบวนการขั้นตอนการจัดซื้อจัดจ้างไม่โปร่งใส

กลยุทธ์จัดการความเสี่ยง ควบคุม/ลด

กิจกรรม

1. ดำเนินการจัดซื้อจัดจ้างตาม “พระราชบัญญัติการจัดซื้อจัดจ้าง และการบริหารพัสดุภาครัฐ พ.ศ. 2560”

2. ดำเนินงานตาม “ประกาศมหาวิทยาลัยราชภัฏเชียงใหม่ เรื่อง เจตจำนงสุจริตในการบริหารงานด้วยคุณธรรมและความโปร่งใส ของมหาวิทยาลัยราชภัฏเชียงใหม่ พ.ศ. 2563”

3. รายงานผลการตรวจสอบภายใน

ตัวชี้วัด

รายงานผลการจัดซื้อจัดจ้าง

ระยะเวลาดำเนินงาน  ต.ค.65- ก.ย. 66

ผู้รับผิดชอบ งานบริหารงานทั่วไป

งบประมาณ/ค่าใช้จ่าย –ไม่มี-

 

ความเสี่ยงลำดับ 3 OR2 ระบบสารสนเทศ และเว็บไซต์ไม่สามารถกู้คืนฐานข้อมูลให้กลับมาให้บริการได้

COSO : ความเสี่ยงเรื่องการดำเนินงาน (Operation Risk : OR)

ปัจจัยเสี่ยง

1. อุปกรณ์สำรองข้อมูลชำรุด เนื่องจากมีอายุการใช้งานมามากกว่า10ปี

2. การตั้งค่า (Configuration) ไม่รัดกุม

กลยุทธ์จัดการความเสี่ยง ถ่ายโอน

กิจกรรม

1. ถ่ายโอนเว็บไซต์และระบบสารสนเทศไปยังระบบคลาวด์เซิร์ฟเวอร์
2. พัฒนาตนเองด้านที่เกี่ยวข้อง Programing and Security

ตัวชี้วัด

1. โครงการ/กิจกรรมการเช่าใช้ระบบคลาวด์เซิร์ฟเวอร์

2. การพัฒนาตนเองด้านที่เกี่ยวข้อง Programing and Security

3. จำนวนเว็บไซต์และระบบสารสนเทศที่ขึ้นบนระบบคลาวด์เซิร์ฟเวอร์

4. สถิติการหยุดชะงักของบริการคลาวด์จากผู้ให้บริการรายงาน

ระยะเวลาดำเนินงาน ต.ค.64-ก.ย.65

ผู้รับผิดชอบ หน่วยบริหารจัดการคอมพิวเตอร์เครือข่าย

งบประมาณ/ค่าใช้จ่าย ตามโครงการประจำปีงบประมาณ 2566

(เอกสารประกอบ 1.5-7-2)

เอกสาร / หลักฐานอ้างอิง

รหัส หลักฐาน
1.5-7-1 (ร่าง) รายงานผลการตรวจสอบภายใน รอบปีงบประมาณ 2565 ของสำนักงานตรวจสอบภายใน (หน้าที่ 41-43)
1.5-7-2 (ร่าง) แผนบริหารความเสี่ยง สำนักดิจิทัลเพื่อการศึกษา ประจำปีงบประมาณ 2566

ระบบบริหารจัดการงานประกันคุณภาพ
หน่วยงานสนับสนุน

มหาวิทยาลัยราชภัฏเชียงใหม่ ปีประมาณ 2563

สำนักดิจิทัลเพื่อการศึกษา

202 ถ.ช้างเผือก ต.ช้างเผือก อ.เมือง จ.เชียงใหม่
โทร. 0-5388-5924, โทรสาร. 0-5388-5924 admin@cmru.ac.th

สงวนลิขสิทธิ์ พ.ศ. 2561, สำนักดิจิทัลเพื่อการศึกษา มหาวิทยาลัยราชภัฏเชียงใหม่