ก. คลัง กับ Successful GRC Integrated Into Business กับการบริหารบางมุมมอง

ในปัจจุบัน กระทรวงการคลัง โดย สคร. ได้กำหนดให้รัฐวิสาหกิจมีแนวปฏิบัติในการขับเคลื่อนการบริหารธุรกิจแนวใหม่ ซึ่งเรียกว่า GRC – Governance + Risk Managment + Compliance และกำลังเป็นที่สนใจทั่วโลกสำหรับแนวการบริหารยุคใหม่ หรือยุคเทคโนโลยีสารสนเทศนี้ ทั้งนี้ สคร. ได้กำหนดกรอบให้รัฐวิสาหกิจ โดยเฉพาะอย่างยิ่ง การบูรณาการระหว่าง Governance + Risk Management + Compliance – GRC ที่รัฐวิสาหกิจจะได้รับการประเมินในหัวข้อการบริหารความเสี่ยงที่จำเป็น

ตั้งแต่การกำหนดนโยบายด้าน GRC ซึ่งอาจมีรายละเอียดบางประการเพิ่มเติมจาก นโยบาย CG และ ITG ที่อาจจะมีอยู่แล้ว ลงไปถึงการดูแลการบริหารความเสี่ยงขององค์กร โดยรับรู้ถึงระดับความมีประสิทธิผลของการบริหารความเสี่ยง ที่ฝ่ายบริหารได้จัดให้มีขึ้นในองค์กร ได้ตระหนักและให้ความเห็นชอบกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร สอบทานความเสี่ยงในภาพรวมขององค์กร และพิจารณาเปรียบเทียบกับระดับความเสี่ยงที่องค์กรยอมรับได้

สำหรับผู้บริหารจะมีแนวทางในการประเมินในเรื่องที่เกี่ยวข้องกับ GRC ดังนี้

– รส. มีการกำหนดคณะทำงานที่รับผิดชอบดำเนินงานในด้าน GRC โดยมีผู้บริหารสูงสุดเป็นประธานคณะทำงาน และมีแผนงานที่ชัดเจนในการดำเนินการด้าน GRC รวมถึงนำเสนอคณะกรรมการเพื่อพิจารณา

– รส. มีการประเมินอย่างสม่ำเสมอถึงการประกอบธุรกิจขององค์กรว่า มีปัจจัยใดบ้างที่เป็นปัจจัยความเสี่ยง ทั้งที่มาจากภายนอกและภายใน ซึ่งอาจมีผลกระทบต่อการดำเนินธุรกิจอย่างมีนัยสำคัญ

– รส. ต้องมีการระบุปัจจัยเสี่ยง และกระบวนการในการบริหารความเสี่ยงในด้าน Compliance ให้ครบถ้วน

– รส. ต้องมีการเปิดเผยข้อมูลสำคัญ ๆ อย่างครบถ้วน ถูกต้อง เพียงพอ และทันต่อเหตุการณ์

ทั้งนี้ แนวการประเมินดังกล่าวจะอยู่ในหัวข้อการบริหารความเสี่ยงตามเกณฑ์การประเมินผล และการให้คะแนนโดย ก. คลัง – สคร. ซึ่ง ทริส จะมีหน้าที่ในการรวบรวม และประเมินการให้คะแนนเบื้องต้น เพื่อส่งให้คณะกรรมต่อไป

อนึ่ง แนวคิด GRC ในปัจจุบันไม่ใช่เพียงการนำเอาหลักการกำกับดูแล (Governance) มารวมกับ การบริหารความเสี่ยง (Risk Management) และการปฏิบัติตามกฎระเบียบและข้อบังคับ (Compliance) เท่านั้น แต่เป็นกรอบแนวคิดเชิงบูรณาการที่หลอมรวมองค์ประกอบการบริหารทั้ง 3 หลักการนี้เข้าด้วยกัน และเกิดเป็น Integrated Single Framework ซึ่งกรอบโครงสร้างนี้จะครอบคลุมถึง การกำกับดูแลองค์กรและการกำกับดูแลด้านเทคโนโลยีสารสนเทศ (Corporate Governance and IT Governance) การบริหารความเสี่ยงขององค์กร (Enterprise Risk Management – ERM) ซึ่งรวม COSO Framework CoBiT หรือ IT Risk และการปฏิบัติตามกฎระเบียบและข้อบังคับ (Compliance) สำหรับ IT และ Non – IT

GRC จึงเป็นกรอบโครงสร้างที่จะสร้างคุณค่าเพิ่ม และสร้างความมั่นใจในการตัดสินใจของผู้ที่มีผลประโยชน์ร่วมทุกกลุ่มขององค์กรได้ชัดเจนกว่า Sarbanes – Oxley Act ที่รู้จักกันดี ดังนั้น การนำกรอบโครงสร้าง GRC เชิงบูรณาการมาใช้ในธุรกิจ จึงเป็นเรื่องที่น่าสนใจ และเป็นประโยชน์อย่างยิ่งต่อกรรมการชุดต่าง ๆ ผู้บริหาร ผู้ตรวจสอบ และผู้ปฏิบัติงานด้าน IT และ Non – IT หน่วยงานกำกับดูแล หน่วยงานบริหารความเสี่ยง หรือหน่วยงานที่รับผิดชอบด้าน Compliance ผู้ที่รับผิดชอบในกรอบโครงสร้าง GRC เชิงบูรณาการ

ข้อคิดของผมในวันนี้ก็คือ องค์กรของท่านจัดให้มีการประเมินความเสี่ยงทางด้าน IT Risk ที่มีผลกระทบต่อ Business และ Objective Risk และมีผลต่อเนื่องไปยัง IT Controls และ IT Audit ซึ่งมีความสัมพันธ์อย่างแยกกันไม่ได้กับทุกองค์ประกอบของการบริหาร และการจัดการองค์กร

หากหัวหน้าผู้บริหารงานตรวจสอบที่ต้องปฏิบัติตามมาตรฐานของสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือมาตรฐานการปฏิบัติงานตรวจสอบในระดับสากล ไม่คำนึงถึง IT Risk ที่มีผลกระทบต่อการวางแผนการตรวจสอบแล้ว การประเมินผลกระทบความเสี่ยงของระดับองค์กร หรือในระัดับธุรกิจ ซึ่งเป็นระดับที่เกี่ยวเนื่องกับธุรกิจขององค์กรที่เกี่ยวข้องทุกแห่งแล้ว การวางแผนการตรวจสอบเพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ข้อมูลและรายการทางการเงินมีความเพียงพอที่จะให้ความมั่นใจต่อผู้มีผลประโยชน์ร่วม รวมทั้งการให้คำแนะนำในส่วนที่เกี่ยวข้อง ที่มีคุณค่าต่อการบริหาร คงกระทำได้อย่างจำกัดมาก

ทั้งนี้เพราะในการทำความเข้าใจถึงความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ จะต้องระบุว่ามีอะไรที่สามารถเกิดข้อผิดพลาดขึ้นได้ และมีผลกระทบต่อความน่าเชื่อถือทางการเงิน รวมทั้งการทุจริตที่เกี่ยวข้องจะประกอบไปด้วย
– ความพร้อม (Availability) เมื่อระบบไม่พร้อมใช้งาน
– ความปลอดภัย (Security) เมื่อเกิดการลักลอบเข้าระบบโดยไม่ได้รับอนุญาต
– ความถูกต้องสมบูรณ์ (Integrity) เมื่อข้อมูลไม่ครบถ้วนหรือไม่ถูกต้อง
– ความลับ (Confidentiallity) เมื่อข้อมูลถูกเปิดเผย
– ความมีประสิทธิผล (Effectiveness) เมื่อระบบไม่ปฏิบัติงานตามที่คาดหวัง
– ความมีประสิทธิภาพ (Efficiency) เมื่อระบบก่อให้เกิดการใช้ทรัพยากรที่ไม่คุ้มค่า

ท่านผู้อ่านครับ บางท่านอาจจะส่งสัยว่า ทำไมผมถึงนำเรื่องการควบคุมภายในและการตรวจสอบ โดยเฉพาะอย่างยิ่ง การตรวจสอบทางด้าน IT Audit มาลงในหัวข้อ GRC เหตุผลง่าย ๆ ก็คือ GRC เป็นการขับเคลื่อนในลักษณะ Integrity – Driven Performance ภายใต้ร่ม Consolidated Single Framework ที่ทุกอย่างภายใต้ร่มใบนี้ ไม่ว่าจะเป็นเรื่อง CG, ITG, COSO – ERM, CobiT, Internal Control ทั้งทางด้าน IT และ Non – IT, การตรวจสอบทางด้าน IT และ Non – IT ซึ่งรวมทั้งการติดตาม (Monitoring) ของผู้บริหารในภาพโดยรวม และอยู่ภายใต้ร่มของ GRC และทุกองค์ประกอบที่เกี่ยวข้อง ถึงแม้มีความอิสระ แต่มีความสัมพันธ์ซึ่งกันและกันอย่างแยกกันไม่ได้

สิ่งเหล่านี้เราเรียกกันว่า Interdependent ซึ่งอาจเปรียบเทียบกับองค์กรที่มีชีวิต ได้กับร่างกายที่มีชีวิตว่า ร่างกายประกอบด้วยอวัยวะที่ทำงานอย่างเป็นอิสระและมีความสำคัญหลายส่วน แต่ทุกส่วนของอวัยวะ ซึ่งได้แก่ หัวใจ ปอด สมอง +++ มีความเกี่ยวข้องซึ่งกันและกันโดยแยกจากกันไม่ได้ แต่อวัยวะทุกส่วนก็เป็นอิสระ

ครับ ผมกำลังพูดถึงเรื่อง GRC ในมุมมองของการบริหารที่เทียบได้กับองค์กร หรือร่างกายที่มีชีวิตอยู่นะครับ ดังนั้น ท่านผู้อ่านอย่าแปลกใจนะครับว่า หัวข้อต่าง ๆ ของผมต่อไปนี้ แต่ละหัวข้อจะมีความสัมพันธ์กันและกันตามเหตุผลที่กล่าวข้างต้น

 

Leave a Reply