แนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ที่เกี่ยวข้องกับ GRC บางประการ

การบริหารความเสี่ยงที่มีการประเมินผลโดย สคร. / กระทรวงการคลัง ต่อการดำเนินงานของรัฐวิสาหกิจต่าง ๆ เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงาน ที่เป็นรูปธรรม

สคร. ได้ร่วมกับ คณะอนุกรรมการประเมินผลการบริหารความเสี่ยง ได้ยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่รูปธรรมของการบริหารเชิงรุก ที่เชื่อมโยงการกำกับดูแลกิจการที่ดี กับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่เกี่ยวข้อง โดยเชื่อมโยงกับการบริหารความเสี่ยงอย่างเป็นระบบ เพื่อให้หลักการบริหารความเสี่ยงที่ สคร. ใช้ในการประเมินผลรัฐวิสาหกิจเป็นรูปธรรมมากขึ้น สคร. และคณะอนุกรรมการประเมินผลการบริหารความเสี่ยง จึงได้นำ GRC – Governance + Risk Management + Compliance ซึ่งปัจจุบันเป็น First Priority ของหน่วยงานต่าง ๆ ทั่วโลก

GRC เป็นการยกระดับการบริหารความเสี่ยงของ COSO – ERM ให้เป็นรูปธรรมในทางปฏิบัติ โดยกระบวนการนี้จะต้องเริ่มต้นจากระดับคณะกรรมการ หรือเรียกสั้น ๆ ว่า Top Down เช่นเดียวกับการตรวจสอบภายใต้ภาวะเศรษฐกิจ การเงินปัจจุบัน ซึ่งเป็นเศรษฐกิจขาลงของประเทศต่าง ๆ ทั่วโลกนั้น ก็ต้องใช้แนวทาง Top Down เป็นหลัก เพื่อขับเคลื่อนผลประโยชน์ของผู้มีส่วนร่วม หรือ Stakeholders เป็นสำคัญ

GRC จะไม่ประสบความสำเร็จเลย ถ้าไม่มีการบริหารและจัดการในลักษณะ Top Down Basis ซึ่งจะต้องมีการเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ และแผนงาน รวมทั้งโครงการต่าง ๆ ให้สัมพันธ์กันในทุกองค์ประกอบที่เกี่ยวข้อง เพื่อการขับเคลื่อนศักยภาพโดยรวมขององค์กร ที่เรียกว่า Integrity – Driven Performance ตามที่ผู้เขียนได้กล่าวไว้แล้วในหัวข้ออื่น ๆ ก่อนหน้านี้

ดังนั้น ในการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส จึงได้กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเบื้องต้น ในปี 2553 ก่อนที่จะให้น้ำหนักมากขึ้นในปีต่อ ๆ ไป ดังนี้

ความคิดและความเข้าใจในการบริหารแบบบูรณาการผ่านกลยุทธ์ และ Action Plan ต่าง ๆ ขององค์กร เพื่อการขับเคลื่อน Integrity - Driven Performance ระดับองค์กรและระดับประเทศ

หลักเกณฑ์การประเมิน
หลักเกณฑ์การประเมินบริหารความเสี่ยง แบ่งเป็น 2 ส่วน ได้แก่
คะแนนในส่วนแรกที่ยึดหลักเกณฑ์ตาม COSO ERM และคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น

คะแนนในส่วนแรก แบ่งเป็นเกณฑ์ขั้นบันไดใน 3 ระดับ ได้แก่
ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น
มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

ระดับที่ 3 การบริหารความเสี่ยงที่มีองค์ประกอบที่ดีครบถ้วน ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน
มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส และมีการมีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

คะแนนในส่วนที่สอง เป็นเกณฑ์ที่มีคะแนนถ่วงน้ำหนักในเกณฑ์ดังกล่าว ได้แก่
• มีการบริหารความเสี่ยงแบบบูรณาการ
• มีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนด
• กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ
• มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น
• จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง
• กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงานและสัมพันธ์กับค่าตอบแทน
• มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร
• การบริหารความเสี่ยงเป็นการสนับสนุนการบริหารเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation)
• ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงเมื่อเทียบกับแผนการบริหารความเสี่ยง และเทียบจากอดีต
• Portfolio View of Risk (เกณฑ์ใหม่)
• Integrated Governance , Risk and Compliance (GRC – เกณฑ์ใหม่)

สคร. และคณะอนุกรรมการบริหารความเสี่ยง รวมทั้ง ทริส ได้ร่วมกันชี้แจงเกณฑ์การประเมินใหม่ ในปี 2553 แก่ผู้แทนของรัฐวิสาหกิจที่อยู่ในเกณฑ์ประเมินผลเรียบร้อยแล้ว ส่วนใหญ่คณะกรรมการรัฐวิสาหกิจฯ ยังไม่มีโอกาสได้ฟังหรือรับทราบการเปลี่ยนแปลงที่มีผลต่อบทบาทของคณะกรรมการ ตั้งแต่ระดับนโยบาย รวมทั้ง การปรับปรุงแนวทางการบริหารและการจัดการอย่างเป็นกระบวนการในส่วนที่เกี่ยวข้องต่อไป

การนำ GRC มาใช้วัดศัยกภาพในการบริหารรัฐวิสาหกิจ ซึ่งเริ่มตั้งแต่ ปี 2553 ในระดับเบื้องต้นนั้น น่าจะพิจารณาได้ว่า มีความสำคัญอย่างยิ่งยวด ต่อกระบวนการขับเคลื่อน หลักการของ CG ให้มาเชื่อมโยงกับกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO – ERM รวมทั้ง ผสมผสานการปฏิบัติตามกฎหมาย กฎเกณฑ์ / Compliance เข้าเป็นองค์ประกอบหลักในกระบวนการบริหาร ให้เป็นรูปธรรมนั้น เป็นเรื่องที่ต้องการความเข้าใจในความรับผิดชอบ ในทุกระดับ ของรัฐวิสาหกิจ เพื่อการเติบโตอย่างยั่งยืนขององค์กร เป็นสำคัญ

ในเรื่องของ GRC นี้เน้นผลประโยชน์ของผู้มีส่วนร่วม หรือผู้มีส่วนได้เสีย (Stakeholders) เป็นสำคัญ ซึ่งก็ตรงกับหลักการบริหารของหน่วยงานภาครัฐเป็นปกติอยู่แล้ว เพียงแต่คำจำกัดความและความหมายที่เกี่ยวเนื่องกับกระบวนการบริหารนั้น เป็นสิ่งที่จะใช้พิจารณาความเข้าใจร่วมกันของทั้งผู้ได้รับการประเมิน คือ รัฐวิสาหกิจต่าง ๆ กับผู้ประเมินผล ซึ่งก็คือ คณะอนุกรรมการประเมินผล ร่วมกับ ทริส ในการพิจารณาและวัดคุณภาพของการจัดการอย่างเป็นรูปธรรม

ความหมายของคำว่า Compliance ในองค์ประกอบของ GRC ก็เปลี่ยนแปลงไปอย่างมีนัยสำคัญ เพราะมิได้หมายความเฉพาะเพียง การปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่าง ๆ จากหน่วยงานภายนอก และหน่วยงานภายในองค์กรเท่านั้น แต่ Compliance ในคำจำกัดความใหม่นี้ มีความหมายกว้างขวาง ครอบคลุมไปถึง การปฏิบัติตาม Best Practice หรือจะเรียกว่า Good Practice รวมทั้ง การปฏิบัติให้ได้มาตรฐานสากล ในส่วนที่เกี่ยวข้อง เพื่อสร้างความน่าเชื่อถือ (Trust) การสร้างคุณค่าเพิ่ม (Value) การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ซึ่งขอขยายความสักเล็กน้อยนะครับว่า หมายถึง การติดตามผลของการปฏิบัติงาน ในแง่มุมต่าง ๆ ตามหลัก Balance Scorecard จากรายงานที่เกี่ยวข้อง

ซึ่งแน่นอนว่า จะสัมพันธ์กับหลักการของ COSO – ERM รวมทั้ง การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ของความถูกต้อง จากกระบวนการตรวจสอบความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ที่ผู้บริหารได้รับจากรายงานต่าง ๆ ตามหลักการ COSO ในองค์ประกอบเรื่อง Reporting ซึ่งเป็นหนึ่งในหลักการควบคุมการบริหารความเสี่ยง คือ S – O – F – C นั่นเอง

อีกองค์ประกอบหนึ่งของหลักการสร้างความเติบโตอย่างยั่งยืน (Sustainable Growth) ของ CG / ITG / GRC ก็คือ ความสามารถในการดำเนินการอย่างต่อเนื่อง และความอยู่รอด (Survival) ในกระบวนการบริหารและการจัดการที่เกี่ยวข้องกับความเสี่ยง ทางด้าน IT และ Non – IT ที่มีผลกระทบต่อ Activities Risk + Process Risk + Business Risk ซึ่งเป็นส่วนหนึ่งของ IT Governance Drivers เพื่อการขับเคลื่อน CG และ GRC ด้วย

 

Leave a Reply

https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/