Archive for มีนาคม, 2009

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

ครั้งก่อนผมได้พูดถึงกรอบของการบริหารความเสี่ยงในภาพโดยรวม และยังเคยกล่าวถึงประเภทของความเสี่ยงให้พอได้ทราบกันมาบ้างแล้ว ครั้งนี้เรามาดูกันต่อว่าความเสี่ยงทั้ง 4 ประเภทที่กล่าวถึงนั้นมีอะไรบ้าง และความเสี่ยงต่าง ๆ นั้นมีแหล่งที่มาเกิดจากอะไร ซึ่งในที่นี้ผมจะขอเน้นเฉพาะความเสี่ยงทางด้านปฏิบัติการที่เกิดขึ้นกับองค์กรโดยส่วนใหญ่ เพื่อจะได้ใช้เป็นแนวทางในการระบุความเสี่ยง และจัดการกับความเสี่ยง ซึ่งผมจะได้กล่าวถึงรายละเอียดในคราวต่อ ๆ ไป

ความเสี่ยงของทุกองค์กร อาจแบ่งได้เป็น 4 ประเภท ได้แก่
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านปฏิบัติการ (Operational Risk)
3. ความเสี่ยงด้านการเงินและการรายงาน (Financial & Reporting Risk)
4. ความเสี่ยงด้านกฎหมาย กฎเกณฑ์ต่าง ๆ (Compliance Risk)

ความเสี่ยงส่วนใหญ่ขององค์กรทั่วไป จะเป็นความเสี่ยงด้านปฏิบัติการ ซึ่งหากดูจากแผนภาพด้านล่างก็คงจะพอเข้าใจภาพของ Operational Risk ได้ชัดเจนขึ้น ก่อนที่จะได้กล่าวถึงรายละเอียดกันต่อ

Operational Risk Business Objectives

Operational Risk Business Objectives

ความเสี่ยงด้านปฏิบัติการ หมายถึง ความเสี่ยงที่จะเกิดความเสียหายอันเนื่องมาจากการขาดการกํากับดูแลกิจการที่ดี หรือขาดธรรมาภิบาลในองค์กร และการขาดการควบคุมที่ดี โดยอาจเกี่ยวข้องกับกระบวนการปฏิบัติงานภายใน คน ระบบงาน หรือเหตุการณ์ภายนอก และส่งผลกระทบต่อรายได้และเงินกองทุนขององค์กร

แหล่งที่มาของความเสี่ยง
เหตุแห่งความเสี่ยงด้านปฏิบัติการ เป็นความเสี่ยงที่จะเกิดความเสียหายโดยตรงหรือโดยอ้อม เนื่องจากการขาดระบบงาน การขาดการควบคุมที่ดี การจัดการภายในล้มเหลวจนทำให้เกิดความสูญเสีย และความผิดพลาดในการปฏิบัติงาน โดยมีสาเหตุต่าง ๆ ดังนี้

1. ความเสี่ยงที่เกิดจากบุคลากร (People Risk) ได้แก่
ความด้อยศักยภาพของพนักงาน
– การขาดความรู้ความชำนาญในงานที่รับผิดชอบ
– การขาดความสามารถในการทำงานเป็นทีม
– การละเลยไม่ให้ความสำคัญกับกลุ่มลูกค้า
– การขาดการทำงานแบบมืออาชีพ
– การขาดความสามารถในการวิเคราะห์หรือใช้วิจารณญานในการตัดสินใจ
– การตีความข้อมูลที่ใช้ในการปฏิบัติงานผิดพลาด

การทุจริต
– การทุจริตหรือกระทำผิดจรรยาบรรณ
– การใช้ตำแหน่งหน้าที่ของตนเพื่อประโยชน์ส่วนตัว

ความผิดพลาดของพนักงาน (Human Error)
– ความผิดพลาดของพนักงานในการปฏิบัติงาน โดยมิได้มีเจตนาจะกระทำผิดหรือทุจริต
– ความประมาท เลินเล่อ หรือไม่รอบคอบ

การบริหารและการจัดการบุคลากร
– การบริหารทรัพยากรบุคคลไม่เหมาะสม เช่น การมีพนักงานมาก-น้อยเกินไป
– การด้อยประสิทธิภาพในการสรรหา
– การมอบหมายงานไม่ตรงตามความสามารถ
– การขาดการอบรมให้พนักงานมีความเชี่ยวชาญหรือเพิ่มขีดความสามารถในการปฏิบัติงาน
– การขาดเครื่องมือในการสร้างแรงจูงใจให้พนักงานที่มีความสามารถให้คงอยู่กับองค์กร
– การประเมินผลงานที่ไม่ยุติธรรม
– ค่าตอบแทนที่ไม่เหมาะสม
– การพึ่งพิงกับพนักงานหลักมากเกินไป

การบริหารทรัพยากรขององค์กร
– การบริหารทรัพยากรขององค์กรไม่เหมาะสม เช่น ไม่มีอุปกรณ์ที่ให้ความสะดวกหรือมีไม่เพียงพอต่อความจำเป็นในการปฏิบัติงาน
– อุปกรณ์ไม่อยู่ในสภาพที่ดีต่อการใช้งาน
– การมีโครงสร้างพื้นฐานทางเทคโนโลยีที่ไม่เหมาะสมกับงานหรือล้าสมัย

2. ความเสี่ยงที่เกิดจากกระบวนการหรือขั้นตอนการปฏิบัติงาน
(Process Risk)

ความบกพร่องของการบริหารองค์กรที่ได้คุณภาพ (Model / Methodology Error)
– ความบกพร่องของการวางแผนการใช้โปรแกรมเพื่อการบริหารและการจัดการแบบบูรณาการ (Plan – Do – Check – Act)
– ความผิดพลาดในการพัฒนากำหนดสูตรการคำนวณต่าง ๆ เช่น การกำหนดน้ำหนักของกลยุทธ์ พันธกิจ แผนงานและโครงการต่าง ๆ ของ องค์กรในการก้าวสู่วิสัยทัศน์ที่กำหนด ในกรณีที่เป็นสถาบันการเงินก็จะเป็นความผิดพลาดจากการกำหนดอัตราส่วนทางการเงิน การประเมินมูลค่าหลักทรัพย์/ทรัพย์สิน/หนี้สิน และการประเมินมูลค่าหลักประกันผิดพลาด
– ข้อบกพร่องของวิธีการ/ขั้นตอนการปฏิบัติงาน ซึ่งทำให้การปฏิบัติงานไม่มีประสิทธิภาพเพียงพอ
– การรายงานผลต่าง ๆ ไม่ถูกต้อง และขาดการติดตาม

ผลิตภัณฑ์ และบริการที่ไม่เหมาะสม
– การกำหนดน้ำหนักของงบประมาณเพื่อขับเคลื่อนแผนงานของการบรรลุเป้าหมายที่ไม่สัมพันธ์กับวิสัยทัศน์และเป้าประสงค์ขององค์กร
– การออกแบบ/พัฒนาและส่งเสริมผลิตภัณฑ์และบริการไม่สอดคล้องกับทิศทางของพันธกิจและวิสัยทัศน์
– ผลิตภัณฑ์/บริการมีความซับซ้อนหรือมีข้อบกพร่อง หรือไม่อาจวัดผลความสำเร็จที่ชัดเจนเป็นรูปธรรม ทำให้ผู้มีผลประโยชน์ร่วมไม่พึงพอใจ

การปฏิบัติตามกฎหมาย กฎเกณฑ์ ของผู้กำกับ
– เกิดจากการกำกับดูแลและกฎระเบียบที่องค์กรเผชิญอยู่ หากองค์กรวางแผนการปฏิบัติต่าง ๆ ไม่สอดคล้องกับข้อกำหนดของทางการ หรือหน่วยงานที่กำกับดูแล
– ความเสี่ยงจากการตีความข้อกฎหมาย ที่เอื้ออำนวยต่อการดำเนินธุรกิจขององค์กร

การสื่อสารเพื่อสร้างความเข้าใจ (Communication)
– การเข้าใจไม่ตรงกันในการสื่อข้อความทำให้ตีความผิดพลาด
– การสื่อสารที่ไม่ทั่วถึงทุกฝ่ายงานที่เกี่ยวข้อง
– การขาดการประสานงาน/ร่วมมือที่ดีระหว่างฝ่ายงาน
– ข้อมูลที่เผยแพร่ภายนอกองค์กรไม่ถูกต้อง ไม่สอดคล้องกันก่อให้เกิดความไม่น่าเชื่อถือ โดยเฉพาะกรณีที่มีการนำข้อมูลไปใช้อ้างอิง

ระบบงานขาดมาตรฐานและการควบคุมที่ดี
– การขาดมาตรฐาน/คู่มือ/แนวทางและรายละเอียดในการปฏิบัติงาน
– การขาดระบบการตรวจสอบ/การควบคุม/การรักษาความปลอดภัยที่ดีหรือมีไม่เพียงพอ

3. ความเสี่ยงที่เกิดจากการใช้เทคโนโลยี (Technology Risk)
การรักษาความปลอดภัยตามมาตรฐานที่ดี
– การขาดระบบรักษาความปลอดภัยของข้อมูลหรือระบบคอมพิวเตอร์ ตลอดจนการสำรองข้อมูล หรือมีแต่ด้อยประสิทธิภาพ
– การขาดมาตรการควบคุมและตรวจสอบระบบอย่างสม่ำเสมอ
– การขาดแผนสำรองฉุกเฉิน

ระบบงานมีข้อผิดพลาดหรือล้มเหลว
– ความผิดพลาด/ความสูญเสียของระบบ เนื่องจากอัคคีภัย ภัยธรรมชาติ
– ปัญหาด้านเทคนิค กระแสไฟฟ้าขัดข้อง
– ระบบสูญเสียความสามารถบางส่วน/ทั้งหมด จากการทำลายของไวรัสคอมพิวเตอร์

ความบกพร่องของโปรแกรมคอมพิวเตอร์
– ความผิดพลาด/ไม่สมบูรณ์ของโปรแกรมคอมพิวเตอร์ที่ใช้

ความบกพร่องของระบบการสื่อสาร
– การขัดข้องของระบบการสื่อสาร เช่น Computer Network , โทรศัพท์ , โทรสาร

สารสนเทศที่ใช้ในการบริหารและปฏิบัติงานไม่น่าเชื่อถือ
– ข้อมูลสำหรับการปฏิบัติงานมีไม่เพียงพอ ไม่สมบูรณ์ ไม่ถูกต้อง
– ระบบข้อมูลไม่ถูกต้อง ทำให้ไม่สามารถนำข้อมูลไปใช้งานได้
– การมีหลายระบบที่แสดงข้อมูลในลักษณะเดียวกัน แต่แสดงข้อมูลไม่สอดคล้อง/ไม่ตรงกัน

4. ความเสี่ยงที่เกิดจากเหตุการณ์ภายนอก (External Risk)
– ความไม่แน่นอนของนโยบายของรัฐ และหน่วยงานที่เกี่ยวข้อง
– การสูญเสียที่เกิดขึ้นกับทรัพย์สินหรือรายได้อันเนื่องมาจากอุบัติภัยต่าง ๆ ที่ไม่คาดคิด เช่นไฟไหม้ น้ำท่วม แผ่นดินไหว
– ความเสียหายจากการที่คู่ค้าหรือคู่สัญญาขององค์กรไม่สามารถปฏิบัติตามข้อตกลงหรือปฏิบัติตามสัญญาที่ให้ไว้กับองค์กรได้
– ความเสียหายจากการที่คู่ค้าหรือคู่สัญญาขององค์กร ใช้องค์กรเป็นเครื่องมือในการฟอกเงินและกระทำผิดกฎหมาย
– การขาดแผนรองรับเหตุการณ์ฉุกเฉินต่าง ๆ
– ไม่มีการทำประกันภัย ในธุรกรรมใด ๆ ที่มีความเสี่ยง

 

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

หลังจากที่ได้เข้าใจในความหมายของความเสี่ยง แนวคิดและมุมมองการบริหารความเสี่ยงกันไปพอสมควรแล้ว ผมจะขอพูดถึงกรอบของการบริหารความเสี่ยง ซึ่งกรอบการบริหารความเสี่ยงจะช่วยให้ทุกหน่วยงานในองค์กรมีวิธีการในการระบุ ประเมิน และจัดการความเสี่ยงไปในทิศทางเดียวกัน อันจะส่งผลให้การบริหารความเสี่ยงเกิดประสิทธิผลสูงสุด

กรอบการบริหารความเสี่ยงควรประกอบไปด้วย 4 องค์ประกอบหลัก ซึ่งมีคุณลักษณะ ดังนี้

กรอบการบริหารความเสี่ยง

กรอบการบริหารความเสี่ยง

– วัฒนธรรมองค์กร (Culture)
ในการบริหารความเสี่ยงในทุก ๆ ระดับขององค์กร ผู้บริหารระดับสูงควรกำหนดนโยบาย วัตถุประสงค์ และกลยุทธ์ในการบริหารความเสี่ยงและระดับความเสี่ยงที่องค์กรยอมรับได้ และชี้แจงสิ่งเหล่านี้ให้ทุกคนในองค์กรได้รับทราบเพื่อจะได้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

– โครงสร้างการบริหารความเสี่ยง (Structure)กำหนดโครงสร้างการบริหารความเสี่ยงที่เหมาะสม และระบุหน้าที่และความรับผิดชอบต่อการบริหารความเสี่ยงอย่างชัดเจน โดยถือว่าการบริหารความเสี่ยงเป็นหน้าที่และความรับผิดชอบของทุกคนในองค์กร

– กระบวนการ (Process)ปฏิบัติตามกระบวนการบริหารความเสี่ยงอย่างเป็นระบบและต่อเนื่อง โดยมีการปรับปรุงกระบวนการให้มีความเหมาะสมกับการดำเนินธุรกิจอยู่เสมอ

– ปัจจัยพื้นฐาน (Infrastructure)มีปัจจัยพื้นฐานที่ดี ซึ่งประกอบด้วย
 บุคลากรที่มีความสามารถ
 วิธีการวัดผลการดำเนินงาน
 การให้ความรู้และฝึกอบรม
 ช่องทางในการสื่อสารทั้งภายในและภายนอกองค์กร
 วิธีการสอบทานคุณภาพเพื่อทำให้มั่นใจได้ว่าองค์กร สามารถดำเนินการบริหารความเสี่ยงได้อย่างมีประสิทธิผลและประสิทธิภาพ

 

มุมมองของการวางแผนการตรวจสอบ

การตรวจสอบองค์กรยุคใหม่ ไม่ว่าเป็นการตรวจสอบประเภทใด ทางด้าน IT และ Non-IT โดยเฉพาะอย่างยิ่งทางด้าน IT ก็อาจจะแบ่งประเภทตรวจสอบได้อีกหลายลักษณะตามความต้องการของผู้บริหารนั้น ผู้ตรวจสอบควรจะได้เข้าใจภาพโดยรวมของการวางแผนการตรวจสอบ ซึ่งในเบื้องต้นจะมีกรอบหลัก ๆ ที่ไม่แตกต่างกันมากนัก แต่เมื่อลงในรายละเอียด โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบทางด้าน IT Audit และการปฏิบัติการตรวจสอบ โดยเฉพาะการรวบรวมหลักฐานการตรวจสอบ (Audit Evidence) จะแตกต่างกันอย่างมาก

ผู้บริหารและผู้ตรวจสอบ ควรติดตามแนวคิดและกระบวนการตรวจสอบให้ทันและเข้ากับกระบวนการบริหารความเสี่ยงที่หลอมรวมความเสี่ยงต่าง ๆ ทั้งทางด้าน IT และ Non-IT อย่างแยกกันไม่ได้นั้น ผู้ตรวจสอบจำเป็นต้องเข้าใจในองค์รวมขององค์กร โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กร และเรื่องอื่น ๆ ที่เกี่ยวข้องกับสภาพแวดล้อมขององค์กร ตามที่กล่าวในปัจจัยแรกขององค์ประกอบของ COSO v.2

นโยบายของคณะกรรมการ หรือถ้าหากเป็นสถาบันการศึกษา ก็ได้แก่ นโยบายของสภามหาวิทยาลัย วิสัยทัศน์ พันธกิจ กลยุทธ์ แผนงาน/โครงการต่าง ๆ ของมหาวิทยาลัยที่ต้องสัมพันธ์กันกับหน่วยงานกำกับที่เกี่ยวข้องหลายแห่ง ซึ่งแต่ละหน่วยงานกำกับก็มีความต้องการที่แตกต่างกัน ทั้ง ๆ ที่ในเนื้อหาหลัก ๆ ของกรอบการกำกับไม่แตกต่างกันมากนัก

ดังนั้น ผมจึงขึ้นรูปแผนการตรวจสอบโดยทั่วไป ซึ่งในที่นี้จะเน้นการตรวจสอบตามฐานความเสี่ยงเป็นหลัก โดยแสดงเป็นแผนภาพได้ดังนี้

Internal Auditing Standards & Practices

Internal Auditing Standards & Practices

วันนี้ ผมจะเริ่มต้นเพียงเท่านี้ก่อนนะครับ แล้วในโอกาสต่อไปผมจะค่อยมาขยายความ โดยเฉพาะอย่างยิ่งจะมากล่าวในมุมมองของการเล่าสู่กันฟังในเรื่องการตรวจสอบที่คิดว่าน่าสนใจและเข้าใจได้ง่าย ๆ กว่าการอ่านตำรา และต่อไปจะได้แยกแยะความแตกต่างของการตรวจสอบด้าน IT Audit กับการตรวจสอบทางด้านทั่วไปในองค์กรที่ใช้คอมพิวเตอร์

 

การพัฒนาความคิดเพื่อการกำกับและดูแลกิจการที่ดี

ผมสนใจเป็นอย่างมากในเรื่องการบรรยายและให้ข้อสังเกตในลักษณะการสร้างความคิดโดยพัฒนาความคิดใหม่ ๆ ซึ่งน่าจะเป็นแนวทางที่เหมาะสมสำหรับการเรียนการสอน ตั้งแต่ชั้นอนุบาลจนถึงมหาวิทยาลัย หรือแม้กระทั่งจบมหาวิทยาลัยออกไปปฏิบัติงานแล้วก็ตาม หากบุคลากรของเรารู้จักใช้สติปัญญา พัฒนาเป็นความคิดที่ถูกต้อง ปฏิบัติได้อย่างถูกต้อง และแน่นอนว่าควรจะสอดคล้องกับหลักการกำกับดูแลกิจการที่ดี ที่พูดกันทั่วไปแต่ปฏิบัติแตกต่างกันค่อนข้างมาก

หากการเรียนการสอนสามารถเพิ่มแนวทางในการสร้างความคิดให้กับเด็ก ๆ ได้ ก็น่าจะเป็นแนวทางที่ดีในการพัฒนาชาติบ้านเมืองต่อไปในอนาคต

วันนี้ผมจึงนำเสนอเรื่องการพัฒนาความคิดเพื่อการกำกับและดูแลกิจการที่ดีเผื่อท่านผู้สนใจจะนำไปประยุกต์ใช้หรือพัฒนาความคิดให้ก้าวไกลยิ่งขึ้นครับ

การบริหารความเสี่ยงกับความคิดอย่างเป็นระบบเพื่อการจัดการที่ดี / IT & Non-IT

การบริหารความเสี่ยงกับความคิดอย่างเป็นระบบเพื่อการจัดการที่ดี / IT & Non-IT

…ท่านเคยสนใจบ้างไหมครับว่าองค์กรและพนักงานที่ท่านดูแลอยู่ รวมทั้งผู้ตรวจสอบภายใน ผู้ตรวจสอบภายนอกบางส่วนติดตามและก้าวไม่ทันกับการเปลี่ยนแปลงต่าง ๆ โดยเฉพาะอย่างยิ่งการเปลี่ยนแปลงทางเทคโนโลยี ซึ่งมีผลต่อการบริหารความเสี่ยงและการตรวจสอบที่ก่อให้เกิดผลกระทบต่อวัตถุประสงค์และเป้าหมายของประเทศและองค์กรของเรา!

การกำกับดูแลกิจการที่ดี หรือ Good Corporate Governance เป็นนามธรรมที่จำเป็นอย่างยิ่งที่ผู้ที่เกี่ยวข้องทุกฝ่ายในองค์กร โดยเฉพาะผู้บริหารระดับสูงต้องพัฒนานำไปสู่การปฏิบัติอย่างเป็นรูปธรรม ซึ่งต้องอาศัยความคิด ความรู้ ความเข้าใจ ความมุ่งมั่น ความเสียสละ และการมีคุณธรรมที่ถูกต้อง เพื่อความสำเร็จขององค์กรให้เป็นที่ยอมรับจากผู้มีประโยชน์ร่วม (Stakeholder) ขององค์กรทุกระดับ โดยทำความเข้าใจกับกิจกรรมหลัก ๆ ที่มีผลต่อวัตถุประสงค์และเป้าหมายทั้งในระดับองค์กรและในระดับสายงานต่าง ๆ เพื่อกำหนดจุดควบคุม การบริหารความเสี่ยง การตรวจสอบภายในโดยใช้ฐานความเสี่ยง โดยมีเกณฑ์มาตรฐานอันเป็นที่ยอมรับทั่วไป

ในสถานการณ์ที่นวัตกรรมทางการเงิน การบริหาร การปฏิบัติงาน การตรวจสอบ เทคโนโลยีและสารสนเทศ และความรู้ต่าง ๆ ได้พัฒนาไปอย่างรวดเร็วในปัจจุบัน การปรับตัวขององค์กรและพนักงานระดับต่าง ๆ เป็นความจำเป็น โดยไม่ยึดติดกับกรอบความคิดหรือวิธีการทำงานแบบเดิม ๆ องค์กรโดยเฉพาะฝ่ายบริหารต้องพร้อมที่จะก้าวไปในมิติใหม่ที่มีการค้นคว้าและยอมรับว่าเป็นผลดีอย่างยิ่งในการดำเนินงานให้สำเร็จตามเป้าหมายอย่างยั่งยืน โดยไม่จำเป็นต้องลองผิดลองถูกอย่างไม่มั่นใจ เพราะ Good Corporate Governance มีการค้นคว้าและนำไปปฎิบัติงานอย่างได้ผลดีในองค์กรต่าง ๆ ของหลายประเทศแล้ว

เนื้อหาในครั้งนี้ ผมจะไม่ขอกล่าวถึงการพัฒนากรอบการกำกับดูแลกิจการที่ดีที่ต้องพิจารณาไปพร้อมกับการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยงต่องานหลักต่าง ๆ โดยเฉพาะอย่างยิ่งงานบริหารทางด้านเทคโนโลยีสารสนเทศเพื่อการจัดการ แต่จะเน้นเรื่องการพัฒนาความคิดและการปฏิบัติของบุคลากรเพื่อก้าวไปสู่กระบวนการกำกับดูแลกิจการที่ดี ซึ่งเป็นรากฐานที่สำคัญยิ่งต่อการปฏิรูปความเติบโต ความแข็งแกร่ง ความมั่นคงอย่างยั่งยืนของทุกองค์กรที่ต้องอาศัยความมีวิสัยทัศน์ที่ระดับผู้นำขององค์กรและผู้ที่เกี่ยวข้อง

จุดที่มีความสำคัญอย่างยิ่งในการพัฒนาองค์กรและบุคลากรขององค์กรเพื่อก้าวไปสู่การกำกับดูแลกิจการที่ดีบางประการก็คือ:-

 การเปิดใจกว้างเพื่อยอมรับการเปลี่ยนแปลง

 ปรับตัวให้เข้ากับการเปลี่ยนแปลง และก้าวไปข้างหน้าอย่างรวดเร็วอย่างมั่นใจ

 การรับมือกับการเปลี่ยนแปลงที่ได้เกิดขึ้นแล้วและจะเกิดขึ้นในอนาคตนั้น หากยังไม่แน่ใจเรื่องการวิเคราะห์ความเสี่ยงกับการเปลี่ยนแปลงดีพอ สิ่งที่ท่านพิจารณาก็คือ:-
o ต้องเข้าใจที่จะทำให้องค์กรมีความเรียบง่ายในทางราบและมีความยืดหยุ่นในการปรับตัวสูงตามกลยุทธ์ที่เหมาะสม
o ไม่ยึดติดกับความคุ้นเคยที่ปฏิบัติกันมานานจนไม่กล้าที่จะมีการเปลี่ยนแปลง ทั้งๆที่สิ่งแวดล้อมรอบข้างได้เปลี่ยนไปมากมายแล้ว
o ฝึกการเป็นผู้ช่างสังเกตหรือรับรู้ถึงการเปลี่ยนแปลงที่จะมีผลกระทบต่อการบริหาร และการพัฒนาความรู้ของพนักงาน เพื่อช่วยให้เราบริหารและจัดการกับความเสี่ยงระดับต่าง ๆ ได้โดยไม่อาศัยบุญเก่า
o การพัฒนาความคิดและมีความมุ่งมั่นอย่างถูกต้องในการก้าวไปสู่การปฏิบัติ การปรับองค์กรและปรับปรุงวิธีการทำงานใหม่ๆต้องกระทำการอย่างรวดเร็วและทันการจึงจะมีประโยชน์ โดยหมั่นสอบถามและประเมินตนเองอย่างเสมอว่า
– เหตุการณ์หรือการประทำใด ๆ ทั้งโดยระบบงานหรือบุคคลอาจเกิดปัญหาหรือข้อผิดพลาดใดขึ้นได้บ้าง
– กระบวนการบริหารงาน การปฏิบัติงานที่ถูกต้องในปัจจุบันและอนาคต ควรเป็นเช่นใด

การถ่ายทอดความคิดที่เป็นกระบวนการไปสู่การบริหาร/การปฏิบัติ

การถ่ายทอดความคิดที่เป็นกระบวนการไปสู่การบริหาร/การปฏิบัติ

o องค์กรและ/หรือตัวเราเท่านั้นที่จะเป็นผู้ผลักดันให้เกิดการเปลี่ยนแปลงในทางสร้างสรรค์ของการทำงานอย่างมีประสิทธิภาพและมีประสิทธิผล
o มีรางวัลอยู่เสมอ เพียงแต่เราตัดสินใจอย่างมุ่งมั่นที่จะแสวงหาโดยการบริหารความคิดและการปฏิบัติงานอย่างเป็นระบบ และใช้ “ระบบงาน” คุมคนมากกว่าให้ “คน” คุมระบบงาน

 ในประเด็นเรื่อง “ระบบงาน” กับ “บุคลากร” นั้นมีผู้กล่าวไว้น่าสนใจว่า…
ระบบดี คนดี นั้นดีหน้า
ระบบดี คนแย่ พอแก้ไหว
ระบบแย่ คนดี มีทางไป
ระบบแย่ คนไม่เอาไหน บรรลัยเอย

อย่างไรก็ดีระบบงานที่ดี และคนดีที่มีความสามารถ โดยไม่มีการพัฒนาให้เหมาะสมตามการเปลี่ยนแปลงของเทคโนโลยี และการบริหารการเปลี่ยนแปลงในเวลาที่เหมาะสมนั้นยังไม่ปรากฎอยู่ในโลกของการบริหารและการกำกับดูแลกิจการที่ดีในปัจจุบัน

o การยอมรับการเปลี่ยนแปลงแทนการต่อต้านการเปลี่ยนแปลงใด ๆ จะนำองค์กรและตัวเราไปสู่วิธีคิดและวิถีการทำงานแบบใหม่ที่จะนำสิ่งดี ๆ มาสู่องค์กรและผู้ปฏิบัติอย่างมั่นใจ
o ความยั่งยืนขององค์กร ชีวิตการทำงาน และความเป็นอยู่ในการดำรงชีพภายใต้โลกของการเปลี่ยนแปลงจะดำเนินไปไม่ได้ถ้าทุกองค์กรไม่เร่งปรับตัวเพื่อความอยู่รอดและพัฒนาตนเองเพื่อเพิ่มขีดความสามารถในการแข่งขัน ทุกหน่วยงานจึงต้องการองค์กรและพนักงานที่มีความยืดหยุ่น ถึงจะปรับตัวให้เข้ากับการกำกับดูแลกิจการที่ดี

ความตั้งใจจริงนำไปสู่ความคิดเชิงกลยุทธ์และนำไปสู่การปฏิบัติอย่างเป็นรูปธรรมของกระบวนการจัดการและการแก้ไขปัญหาที่ดี มีข้อสังเกตบางประการที่ควรพิจารณาก็คือ:-
 แนวคิดที่นำไปสู่การเปลี่ยนแปลงการบริหาร การปฏิบัติงาน ไม่ว่าจะเป็นกรณีปกติหรือกรณีที่ประเทศหรือองค์กรมีปัญหา จากปัจจัยทั้งภายนอกและ/หรือปัจจัยภายใน ทั้งในระดับประเทศและระดับองค์กร มีมุมมองได้หลายด้าน และปัจจัยต่าง ๆ มีผลกระทบทั้งทางด้านบวกและด้านลบเพื่อมองต่างมุมเสมอ

 อันตรายที่ร้ายแรงที่สุดในการปฏิบัติงาน การบริหารก็คือการปฏิบัติตาม ๆ กันไปด้วยความเคยชิน โดยไม่คำนึงถึงผลกระทบในทางลบต่าง ๆ ในทุกระดับของการจัดการเปลี่ยนแปลงหรือความเสี่ยงที่เกิดขึ้น เช่น บางหน่วยงานของรัฐมีระเบียบ กฎเกณฑ์ คำสั่งต่าง ๆ ที่ไม่เคยเปลี่ยนแปลงมามากกว่า 30 ปี เป็นต้น

 ดังนั้นกลยุทธ์ของการบริหารโดยเริ่มต้นที่อนวคิดในเชิงป้องกันหรือเชิงรุกอย่างมีระบบ จะเป็นการบริหารและการปฏิบัติงานแบบยั่งยืนที่แท้จริง ทั้งนี้ ไม่จำกัดความคิดอยู่ที่ผู้บริหารระดับสูงเท่านั้น แต่จะมีประโยชน์อย่างยิ่งต่อประเทศ ต่อองค์กร หากบุคลากรที่เกี่ยวข้องจะมีส่วนร่วมด้วยช่วยกันคิดและมีการสื่อสารและช่วยกันสร้างมูลค่าเพิ่มจากความคิดทุกระดับอย่างสร้างสรรค์ มุ่งมั่น ทุ่มเท ติดตามผลอย่างจริงจังจากระดับบนสู่ระดับล่าง จากระดับล่างสู่ระดับบน และระดับราบระหว่างหน่วยงาน เพื่อนำไปสู่การปฏิบัติที่งานที่วัดได้และตรวจสอบได้

 ผู้บริหารระดับสูงหลายหน่วยงาน โดยเฉพาะหน่วยงานของรัฐ และรัฐวิสาหกิจบางหน่วยงาน ผู้บริหารที่มีความสามารถมาก แต่ในทางปฏิบัติหลายท่านมีความคิดดี ๆ แต่ไม่อาจสานต่อไปสู่การปฏิบัติที่เป็นรูปธรรมได้ เพราะใช้เวลาส่วนใหญ่ไปในการประชุมต่าง ๆ ประจำวันภายในองค์กร และภายนอกองค์กรตามที่กำหนดไว้ในระเบียบข้อบังคับต่าง ๆ ที่ปฏิบัติ ทำให้มีปัญหาอื่น ๆ ตามมา นั่นคือก้าวไม่ทันกับการเปลี่ยนแปลงซึ่งน่านะเป็นปัญหาสำคัญพื้นฐานของการนำองค์กรหรือหน่วยงานในสังกัดก้าวไปสู่การกำกับดูแลกิจการที่ดีได้

การพัฒนาความคิดเพื่อการบริหารและการจัดการที่ดีและนำไปสู่การนำไปสู่การสร้างมูลค่าเพิ่ม 10 ประการ
1. การปรับปรุงและพัฒนาการบริหารจากการเปลี่ยนแปลงทุกรูปแบบหรือการบริหารความเสี่ยงนั้น ต้องกระทำตลอดเวลา เพราะไม่มีจุดสิ้นสุดของโลกแห่งการเปลี่ยนแปลง
2. ควรศึกษา แสวงหาความรู้ทุกรูปแบบที่จำเป็นจากแหล่งต่างๆเพื่อประเมินถึงผลกระทบ และเพื่อการปรับปรุงการบริหารงานไปสู่วัตถุประสงค์และเป้าหมายของประเทศหรือองค์กรอย่างยั่งยืน
3. อย่ายึดติดกับความคิดและการปฏิบัติเดิม ๆ โดยไม่คำนึงถึงความพึงพอใจของผู้มีผลประโยชน์ร่วมที่เกี่ยวข้องของโลกแห่งการเปลี่ยนแปลง
4. ควรคิดและตระหนักเสมอว่ายังมีวิธีการที่นำไปศุ่เป้าหมายและวัตถุประสงค์เสมอ
5. ไม่มีคำแก้ตัวสำหรับความผิดพลาดที่เกิดขึ้นหรืออาจเกิดขึ้น
6. หากมีปัญหาเกิดขึ้นและต้องการคำตอบและการดำเนินการที่ถูกต้องแล้วให้หาวิธีการที่ง่ายและสะดวกที่พอบรรเทาปัฆานั้นๆโยไม่ต้องมุ่งมั่นถือการแก้ไขปัญหาสมบูรณ์แบบที่สุด เพราะอาจไม่มีวิธีการที่ว่านั้น
7. หากประเทศหรือองค์กรหรือแม้แต่ตัวของเราเองได้รับประสบการณ์จากความล้มเหลวในการดำเนินการหรือปฏิบัติใด ๆ ในอดีต ก็ควรวิเคราะห์สาเหตุของปัญหาและข้อผิดพลาดที่เกิดขึ้น และต้องหาวิธีการไม่ให้เกิดความผิดพลาดนั้น หรือทำนองคล้าย ๆ กันเกิดขึ้นอีกเป็นอันขาด และควรหาวิธีการสื่อข้อผิดพลาดและทำเป็นกรณีศึกษาที่เป็นลายลักษณ์อักษรให้เป็นบทเรียนของประเทศหรือผู้ที่เกี่ยวข้องทุกฝ่าย
8. ใช้ความคิดเชิงกลยุทธ์ในการบริหารเชิงรุก ในแง่มุมต่าง ๆ ของการจัดการกับความเสี่ยงอย่างฉลาด จะได้ผลกว่าการใช้เงินอย่างเดียวในการพัฒนาหรือแก้ไขปัญหาเพราะอาจเป็นความสูญเปล่า การวิเคราะห์ที่จุดอ่อน จุดแข็ง ซึ่งเป็นสถานภาพภายในประเทศหรือขององค์กรเองที่แก้ไขได้ป ปรับปรุงได้ พัฒนาได้ กับการวิเคราะห์โอกาสและอุปสรรค ซึ่งเป็นปัจจัยภายนอกองค์กรที่ไม่อาจควบคุมได้ จะมีประโยชน์ต่อการบริหารความเสี่ยงต่าง ๆ ที่จะเกิดความเสียหายได้
9. วิกฤติหรือปัญหาต่าง ๆ อาจสร้างโอกาสและรางวัลต่อเราได้ แต่แนวความคิดของการบริหารที่ไม่ถูกต้องกับสถานการณ์อาจสร้างวังวนของปัญหาในระดับต่าง ๆ ได้
10. หากประเทศหรือองค์กรหรือตัวเราเองเผชิญอุปสรรคให้หมั่นตั้งคำถามบ่อย ๆ ว่า…

ทำไมปัญหาจึงเกิดขึ้น และควรระดมความคิดที่ว่า … จะแก้ไขรวมทั้งป้องกันและบริหารเชิงรุกได้อย่างไรเพื่อการฟื้นฟูและทำให้เกิดการพัฒนาที่ยั่งยืน โดยมีบทเรียนต่าง ๆ ในอดีดเป็นเรื่องเตือนความจำไม่ให้เกิดความผิดพลาดซ้ำได้อีก และมีอนาคตของการบรรลุเป้าหมายอย่างยั่งยืนเป็นธงชัย ด้วยวิธีการกำกับดูแลกิจการที่ดีซึ่งประกอบไปด้วย การบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบภายในที่มีมาตรฐาน จากผู้บริหารและผู้ที่เกี่ยวข้องที่มีคุณธรรมทุกระดับของการดำเนินงาน

สรุป
ถึงแม้ความคิดจะควบคุมเป็นรูปธรรมไม่ได้ แต่การตรวจสอบความคิดเชิงกลยุทธ์เพื่อการบริหารและการจัดการที่กีสามารถดำเนินการได้ด้วยการใช้ความคิดเชิงกลยุทธ์เช่นกัน

– เราช่วยกันคิด ช่วยกันทำ โดยการบริหารความคิดเพื่อนำไปสู่การปฏิบัติอย่างมีกลยุทธ์และเป็นรูปธรรมในวันนี้ เพื่ออนาคตที่รุ่งเรืองของประเทศและขององค์การแล้วหรือยัง

– เรามีการประเมินความคิดที่จะนำไปสู่รูปธรรมที่เหมาะสมอย่างได้ผลที่วัดได้เมื่อถึงเวลาที่กำหนดแล้วหรือยัง ทั้งนี้อาจมีการทดสอบความคิดง่ายๆโดยตั้งคำถามพื้นฐานของผู้บริหารระดับสูงขององค์กรว่า

“องค์กรของเรามีการปรับโครงสร้าง วิธีการทำงานให้เหมาะสมกับการเปลี่ยนแปลงทางกลยุทธ์ (strategic) ที่สอดคล้อง Strategic Thinking ที่เหมาะสมเมื่อใด”

– เราได้ตระหนักแล้วหรือยังว่าการทำธุรกิจ การผลิต การค้า การบริหารการเงิน การบริหาร ฯลฯ ความสามารถนั้นวัดกันที่ความคิดในหารบริหารความเสี่ยงและมีคุณธรรมที่จะนำสู่การปฏิบัติได้ผลต่อวัตถุประสงค์และเป้าหมายอย่างยั่งยืนเป็นสำคัญ

– การพัฒนาความคิดที่ถูกต้องอย่างมีขั้นตอนและเป็นระบบซึ่งประกอบไปด้วย คน เทคโนโลยี และกระบวนการควบคุมภายในและการปฏิบัติงานจะนำไปสู่ขนาดของสำเร็จและความก้าวหน้าขององค์กรและประเทศชาติที่วัดได้

– การฝึกใจเป็นนิสัยเพื่อคิดอย่างมีระบบ และปฏิบัติได้จริงให้ทันกับการเปลี่ยนแปลง เพื่อความก้าวหน้าของประเทศและองค์กร จะช่วยเพิ่มศักยภาพในการทำงานได้ทุกระดับ

– ความเชื่อมั่น ความทุ่มเท ความมุ่งมั่น ความกล้าหาญ ความดีงาม ความเสียสละ ความมีคุณธรรม คู่กันไปกับการพัฒนาความคิดเป็นสิ่งที่จำเป็นในการกำกับดูแลกิจการที่ดีซึ่งเป็นแม่บทของการบริหารความเสี่ยง กระบวนการควบคุมภายใน และการตรวจสอบภายในอย่างมีคุณภาพ

 

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

ตามที่มีท่านผู้สนใจหลายท่าน ได้ติดต่อให้ผมช่วยเขียนเรื่องที่เกี่ยวข้องกับ กรอบหรือคู่มือการบริหารความเสี่ยงระดับองค์กร (Enterprise Risk Management Framework) เพราะทราบว่าผมได้บรรยายเรื่องนี้ในหลายองค์กรทั้งภาครัฐและเอกชน และได้มีการนำไปปฏิบัติจริงด้วยนั้น

เนื่องจาก การบริหารความเสี่ยงระดับองค์กรหรือ COSO-ERM Framework เป็นองค์ประกอบหนึ่งของ การกำกับดูแลกิจการที่ดี (Corporate Governance) ที่คู่กันไปกับการบริหารการจัดการที่ดีทางด้านสารสนเทศ (IT Governance) โดยมีองค์ประกอบที่เกี่ยวข้อง 8 ประการ รวมทั้งมีการควบคุมภายใน (Internal Control) และการตรวจสอบภายในตามฐานความเสี่ยง (Risk-based Internal Audit) ในภาพโดยรวมเพื่อสร้างการเติบโตอย่างยั่งยืนและได้ดุลยภาพของการจัดการที่ดีตามหลัก CG และ ITG

ดังนั้น ผมจึงขออธิบายเรื่องการบริหารการจัดการที่ดีในรูปแบบของแผนภาพที่ท่านผู้อ่านสามารถอ่านและเข้าใจได้โดยอธิบายพื้นฐานโดยตัวของมันเอง เพราะผมจะแยกเขียนเรื่องนี้เป็นรายละเอียดต่างหากเมื่อมีโอกาสต่อไป

แผนภาพการกำกับดูแลกิจการที่ดีบางมุมมองอาจขึ้นรูปและสร้างความเข้าใจในเบื้องต้นก่อนก้าวไปสู่กระบวนการบริหารความเสี่ยงระดับองค์กร แสดงได้ดังนี้

Map Roles to Competency Corporate Governance Perspective

Map Roles to Competency Corporate Governance Perspective

นอกจากนั้น ยังมีปัจจัยและโครงสร้าง/กระบวนการกำกับดูแลกิจการที่ดี ภายใต้มุมมองต่าง ๆ ขององค์กร ที่อาจอธิบายโดยแผนภาพอีกครั้ง ดังนี้

Map Roles to Competency Corporate Governance Perspectives

Map Roles to Competency Corporate Governance Perspectives

กรอบของการกำกับดูแลกิจการที่ดีดังกล่าวข้างต้น ที่อธิบายด้วยแผนภาพโดยย่อนั้น เมื่อใช้ความคิดจะเกิดความเข้าใจในรายละเอียดได้ระดับหนึ่งและจะตามด้วยแนวทาง/กรอบการบริหารความเสี่ยงระดับองค์กร (COSO-ERM) ซึ่งจะกล่าวเป็นลำดับต่อไปตามโอกาสที่เหมาะสม ดังนี้

มุมมองการบริหารความเสี่ยงสำหรับผู้บริหารระดับบน

มุมมองการบริหารความเสี่ยงสำหรับผู้บริหารระดับบน

ความหมายของการบริหารความเสี่ยง

ความเสี่ยงคืออะไร?
การบริหารความเสี่ยงควรเริ่มต้นจากการที่กรรมการและผู้บริหารตลอดจนพนักงานทุกคนในองค์กร ควรได้ทำความเข้าใจตรงกันต่อคำนิยามของความเสี่ยง เพื่อให้ทุกคนสามารถมองความเสี่ยงในทิศทางเดียวกัน

ความเสี่ยงคือเหตุการณ์ที่อาจเกิดขึ้นในอนาคต และมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรทั้งในทางกลยุทธ์ การปฏิบัติงาน การรายงานและการเงิน การปฎิบัติตาม กฎหมาย ระเบียบ ที่เกี่ยวข้อง

เหตุการณ์ และความไม่แน่นอนต่าง ๆ ที่ทำให้องค์กร ไม่อาจบรรลุเป้าหมายได้ในเวลาที่กำหนด ซึ่งเป็นความเสี่ยงที่องค์กรต้องมีแนวทางจัดการ ควบคุม และตรวจสอบที่ต้นเหตุ โดยการระบุปัจจัยเสี่ยงและกำหนดวิธีการ และกระบวนการบริหารความเสี่ยง ที่เป็นรูปธรรม ซึ่งเป็นหลักการที่สำคัญ ของการกำกับดูแลกิจการที่ดี

องค์กรทั่วไป จะจัดให้มีกระบวนการบริหาร เพื่อให้แน่ใจอย่างสมเหตุสมผลว่ายังสามารถจะบรรลุเป้าหมาย ตามมาตรการพื้นฐาน ตามแผนงาน ตามพันธกิจได้ โดยการ ระบุความเสี่ยงจากปัจจัยภายใน และจากปัจจัยภายนอกอย่างเป็นระบบและพิจารณาแนวทางการจัดการเป็นการล่วงหน้าที่จะขจัดปัญหาอุปสรรคต่าง ๆ เพื่อก้าวไปสู่วัตถุประสงค์และวิสัยทัศน์ที่องค์กรตั้งไว้ได้

ความเสี่ยงโดยทั่ว ๆ ไป สามารถแบ่งออกเป็น 3 ประเภทที่สำคัญ ดังต่อไปนี้

ประเภทของความเสี่ยง

ประเภทของความเสี่ยง

ความเสี่ยงที่เป็นอันตราย (Hazard)เหตุการณ์ในเชิงลบที่หากเกิดขึ้นแล้วเป็นอันตราย หรือสร้างความเสียหายต่อการบรรลุวัตถุประสงค์ขององค์กรในระดับต่างๆ เช่น วัฒนธรรม ศักยภาพของพนักงานภายในองค์กร โครงสร้างขององค์กร ภาวะการเปลี่ยนแปลงของเทคโนโลยี ศักยภาพการแข่งขัน ปัญหาทางการตลาด คุณภาพของโครงการหรือแผนงาน ปัญหา ข้อขัดข้องหรือความเป็นไปได้ของกิจกรรม เป็นต้น

ความเสี่ยงที่เป็นความไม่แน่นอน (Uncertainty)เหตุการณ์ที่ทำให้ผลที่องค์กรได้รับการจากเหตุการณ์จริงไม่เป็นไปตามที่คาดการณ์ไว้ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น นโยบายภาครัฐ ศักยภาพทางการตลาด เป็นต้น

ความเสี่ยงที่เป็นโอกาส (Opportunity)เหตุการณ์ที่ทำให้องค์กรเสียโอกาสในการแข่งขัน การดำเนินงานและการเพิ่มมูลค่าให้แก่ผู้มีผลประโยชน์ร่วม เช่น การไม่ส่งเสริมหรือพัฒนาบุคคลากรให้มีทักษะในการปฏิบัติงาน เพื่อยกระดับประสิทธิภาพขององค์กร เป็นต้น

 

Good Corporate Governance – GCG กับสถาบันการเงินบางมุมมองของ ธปท. (ต่อ)

เนื่องจาก ธปท. เป็นสถาบันหลักในการกำกับสถาบันการเงิน การกำกับของ ธปท. เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า สถาบันการเงินต่าง ๆ จะมีการบริหารงาน ดำเนินการภายใต้กรอบการเติบโตอย่างยั่งยืนที่ยอมรับได้ ธปท. จึงมีบทบาทสูงมากในการกำหนดนโยบายและแนวทางการกำกับ ตลอดจนการติดตามการตรวจสอบ สถาบันการเงินต่าง ๆ อย่างเข้มงวด

วิกฤติการณ์เศรษฐกิจและการเงินของโลกในปัจจุบัน ซึ่งพิจารณาได้ว่ารุนแรงมากนั้น สถาบันการเงินในประเทศไทยได้รับผลกระทบกระเทือนน้อยมาก ทั้งนี้ อาจพิจารณาในมุมมองของความเข้มแข็งของการกำกับสถาบันการเงินของ ธปท. และการดำเนินงานที่มีคุณภาพของสถาบันการเงินต่าง ๆ โดยเฉลี่ยก็น่าจะเกิดจากสถาบันการเงินต่าง ๆ มี GCG ที่เป็นรูปธรรมมากขึ้น

วันนี้ ผมจึงขอนำร่าง เรื่องอำนาจหน้าที่ของกรรมการของสถาบันการเงินที่ ธปท. ให้ความสำคัญสูงสุด ที่เกี่ยวข้องกับหลักธรรมาภิบาลของสถาบันการเงิน ซึ่งเป็นแนวทางการกำกับของ ธปท. และจะเป็นแนวทางปฏิบัติของคณะกรรมการ ผู้บริหารของสถาบันการเงินต่าง ๆ มานำเสนอในบางส่วนต่อไป ดังนี้

1. เหตุผล
สถาบันการเงินเป็นองค์กรที่มีความสำคัญต่อระบบการเงินและเศรษฐกิจของประเทศโดยรวม หากมีสถาบันการเงินใดที่ดำเนินงานในลักษณะที่ไม่เหมาะสม หรือมีฐานะทางการเงินอ่อนแอ ก็อาจส่งผลกระทบต่อเนื่องไปยังความเชื่อมั่นและความมั่นคงของสถาบันการเงินทั้งระบบได้

นอกจากนี้ ภาวะปัจจุบันสถาบันการเงินมีการแข่งขันสูงขึ้น และธุรกรรมหลายประเภทมีความซับซ้อนและความเสี่ยงเพิ่มมากขึ้น รวมทั้งสถาบันการเงินยังถูกคาดหวังจากผู้ถือหุ้น ลูกค้า และผู้มีส่วนได้เสียอื่น ๆ โดยเฉพาะอย่างยิ่งผู้ฝากเงินก็เพิ่มขึ้นอย่างมากเช่นกัน

ตำแหน่งกรรมการของสถาบันการเงินจึงมิได้มีความสำคัญในฐานะเพียงกรรมการขององค์กรแห่งหนึ่งเท่านั้น แต่ยังเป็นตำแหน่งที่มีส่วนรับผิดชอบในความมั่นคงของระบบเศรษฐกิจและระบบสถาบันการเงินของประเทศอีกด้วย

ในการดำเนินกิจการของสถาบันการเงิน กรรมการจึงต้องปฏิบัติหน้าที่ให้เป็นไปตามกฎหมาย ด้วยความซื่อสัตย์สุจริต (Duty of loyalty) และระมัดระวังรักษาผลประโยชน์ของสถาบันการเงิน (Duty of care)

ธนาคารแห่งประเทศไทยคาดหวังให้กรรมการของสถาบันการเงินมีความรู้และความเข้าใจเกี่ยวกับธุรกิจหลักของสถาบันการเงิน เพื่อให้การบริหารงานของสถาบันการเงินดำเนินไปอย่างมั่นคง กล่าวคือ
มีระบบบริหารความเสี่ยงที่มีประสิทธิภาพ
มีเงินกองทุนที่เหมาะสมรองรับความมั่นคงของกิจการ
มีการกำกับดูแลและติดตามการดำเนินงานให้เป็นไปตามกฎเกณฑ์ของทางการ
ตลอดจนการปฏิบัติหน้าที่ในฐานะกรรมการที่มีธรรมาภิบาลที่ดี (Good Corporate Governance)
มีความโปร่งใสและให้ความเป็นธรรมแก่ทุกฝ่าย
ติดตามดูแลให้ฝ่ายจัดการปฏิบัติหน้าที่ตามกรอบนโยบายที่กำหนดไว้ เพื่อตอบสนองความต้องการและความคาดหวังของผู้มีส่วนได้เสียทุกฝ่าย (Stakeholders)

ธนาคารแห่งประเทศไทยจึงเห็นควรกำหนดอำนาจหน้าที่ของกรรมการของสถาบันการเงินในการบริหารจัดการสถาบันการเงินในเรื่องที่ธนาคารแห่งประเทศไทยให้ความสำคัญสูงสุด เพื่อให้สถาบันการเงินมีระบบบริหารจัดการและธรรมาภิบาลที่ดี ซึ่งในกรณีที่สถาบันการเงินกระทำผิดตามกฎหมาย กรรมการของสถาบันการเงินอาจต้องร่วมรับผิดด้วย เว้นแต่จะพิสูจน์ได้ว่ามิได้มีส่วนในการกระทำความผิดนั้น

2. อำนาจตามกฎหมาย
อาศัยอำนาจตามความในมาตรา 84 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 ธนาคารแห่งประเทศไทยออกข้อกำหนดเกี่ยวกับอำนาจหน้าที่ของกรรมการของสถาบันการเงินที่ธนาคารแห่งประเทศไทยให้ความสำคัญสูงสุดให้กรรมการของสถาบันการเงินถือปฏิบัติโดยทั่วกัน

3. ขอบเขตการบังคับใช้
ประกาศนี้ให้ใช้บังคับกับธนาคารพาณิชย์ที่จดทะเบียนในประเทศทุกธนาคาร บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ทุกแห่ง

4. เนื้อหา
ธนาคารแห่งประเทศไทยกำหนดอำนาจหน้าที่ของกรรมการของสถาบันการเงินที่ธนาคารแห่งประเทศไทยให้ความสำคัญสูงสุด 4 ด้าน ดังนี้

4.1 ด้านการบริหารความเสี่ยง (Risk Management)
กรรมการของสถาบันการเงินต้องมีความเข้าใจลักษณะของธุรกรรมและความเสี่ยงที่เกี่ยวข้องกับธุรกิจของสถาบันการเงินอย่างเพียงพอและเหมาะสม เพื่อที่จะสามารถจัดให้มีระบบบริหารความเสี่ยงที่มีประสิทธิภาพเพียงพอที่จะปกป้องดูแลผลประโยชน์ของสถาบันการเงิน และป้องกันความเสียหายที่อาจเกิดขึ้นได้ ดังนั้น กรรมการของสถาบันการเงินจึงมีหน้าที่ ดังนี้

4.1.1 ต้องกำหนดนโยบายและกลยุทธ์ในการบริหารจัดการความเสี่ยงอย่างชัดเจนเป็นลายลักษณ์อักษร มีประสิทธิภาพ และเหมาะสมกับสภาพแวดล้อมในการดำเนินธุรกิจ และต้องให้แน่ใจว่ามีกระบวนการบริหารความเสี่ยง (Risk Management Process) สำหรับความเสี่ยงที่สำคัญทุกประเภท เช่น ความเสี่ยงด้านเครดิต ความเสี่ยงด้านตลาด ความเสี่ยงด้านปฏิบัติการ ความเสี่ยงด้านสภาพคล่อง เป็นต้น

4.1.2 ต้องดำเนินการเพื่อให้แน่ใจว่าสถาบันการเงินมีกระบวนการในการบริหารความเสี่ยงที่ครอบคลุม ครบถ้วน อย่างน้อยดังต่อไปนี้

(1) กำหนดขั้นตอนการบริหารความเสี่ยง ได้แก่ การระบุความเสี่ยง (Risk Identification) การวัดความเสี่ยง (Risk Measurement) การควบคุมและลดความเสี่ยง (Risk Mitigation and Control) และการติดตามความเสี่ยงและการรายงาน (Risk Monitoring and Reporting) ให้สอดคล้องกับหลักเกณฑ์ที่ธนาคารแห่งประเทศไทยกำหนดเกี่ยวกับการบริหารความเสี่ยงด้านต่าง ๆ

(2) กำหนดเพดานความเสี่ยงที่เพียงพอ ให้เหมาะสมกับปริมาณ ความซับซ้อนและประเภทของธุรกรรมของสถาบันการเงิน ครอบคลุมความเสี่ยงต่าง ๆ ที่สำคัญอย่างครบถ้วน

4.1.3 ติดตามดูแลและประเมินความครบถ้วน ความมีประสิทธิภาพและประสิทธิผลของการปฏิบัติงานตามนโยบายการบริหารความเสี่ยงที่กำหนดไว้อย่างใกล้ชิด

4.1.4 ทบทวนนโยบาย ขั้นตอนการบริหารความเสี่ยงและเพดานความเสี่ยงให้สอดคล้องกับวัตถุประสงค์ เป้าหมาย ความสามารถโดยรวมขององค์กร และสอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป

4.1.5 ต้องให้ความสนใจเรื่องความเสี่ยงด้านสินเชื่อ ในประเด็นต่อไปนี้

(1) มีส่วนร่วมในการกำหนดนโยบายสินเชื่อ กำกับดูแลการให้สินเชื่อและการลงทุนเป็นไปอย่างถูกทำนองคลองธรรม มีกระบวนการพิจารณาโอกาสที่จะได้รับชำระคืนอย่างจริงจังครบถ้วน โดยครอบคลุมถึงความเสี่ยงทุกด้านที่เกี่ยวกับการให้สินเชื่อและการลงทุนนั้น และมีกระบวนการติดตามดูแลสินเชื่อและการลงุทนนั้นอย่างต่อเนื่อง

(2) ต้องดูแลไม่ให้เกิดการกระจุกตัวของความเสี่ยงด้านสินเชื่อและการลงทุน โดยกำหนดจำนวนสูงสุดที่จะอนุญาตให้กู้และลงทุนแก่ลูกค้ารายหนึ่ง ๆ และกลุ่มหนึ่ง ๆ ซึ่งอาจรวมถึงจำนวนสูงสุดสำหรับผู้กู้หลายรายที่อยู่ในอุตสาหกรรมเดียวกันด้วย (Industry limit)

(3) พึงเอาใจใส่เป็นพิเศษในการให้สินเชื่อแก่กิจการที่เกี่ยวข้องกับกรรมการ ผู้บริหาร หรือผู้ถือหุ้นรายใหญ่ เพื่อป้องกันการเอื้อประโยชน์ที่ไม่เหมาะสม และการมองข้ามความเสี่ยงที่ไม่สมควร

(4) ต้องกำหนดนโยบายและกระบวนการจัดการปัญหาที่เพียงพอสำหรับกรณีสินเชื่อหรือการลงทุนที่มีปัญหา และต้องดูแลให้มีการตั้งสำรองหนี้สูญให้พอเพียงกับความเสียหายที่อาจเกิดขึ้น

4.1.6 อนุมัตินโยบาย แผนงานในการทำธุรกรรมทางการเงินใหม่ ๆ โดยครอบคลุมถึงวัตถุประสงค์และขั้นตอนในการประกอบธุรกรรม และปัจจัยความเสี่ยงด้านต่าง ๆ ที่เกี่ยวข้อง โดยมีการวิเคราะห์ความเสี่ยงและผลกระทบที่อาจเกิดขึ้นต่อสถาบันการเงิน รวมทั้งต้องพิจารณาประเด็นด้านกฎหมาย บัญชี และภาษีที่เกี่ยวข้อง

4.1.7 ต้องกำหนดให้มีระบบควบคุมภายในและการตรวจสอบภายใน ซึ่งถือเป็นส่วนสำคัญในการปฏิบัติงาน ให้มีความชัดเจนและเป็นลายลักษณ์อักษร โดยกำหนดโครงสร้างและขั้นตอนการควบคุมอย่างละเอียดในทุกระดับชั้นขององค์กร ตลอดจนติดตาดูแลให้มีการปฏิบัติตามมาตรการควบคุมภายใน และมีการตรวจสอบอย่างสม่ำเสมอ

4.1.8 จัดให้มีการแบ่งแยกหน้าที่ในการปฏิบัติงานของพนักงานให้ชัดเจน (Segregation of Duties) เพื่อให้มีการตรวจสอบถ่วงดุล (Check and Balance) ของหน่วยงานที่เกี่ยวข้อง เช่น ผู้ทำธุรกรรม (Front Office) ผู้ดูแลความเสี่ยง (Middle Office) และผู้ทำงานด้านปฏิบัติการ (Back Office) มิให้เกิดการซ้ำซ้อนหรือคาบเกี่ยวกัน หรือเปิดโอกาสให้สามารถกระทำการเพื่อประโยชน์ส่วนตน และอาจเกิดปัญหาความขัดแย้งทางผลประโยชน์ (Conflict of Interest)

4.2. ด้านการดูแลความเพียงพอของเงินกองทุน (Capital Adequacy)เงินกองทุนเป็นสิ่งที่แสดงฐานะของสถาบันการเงิน ซึ่งขึ้นอยู่กับปัจจัยต่าง ๆ เช่น คุณภาพสินเชื่อ โครงสร้างของสินทรัพย์เสี่ยง ความเสี่ยงจากอัตราดอกเบี้ย การเติบโตของกิจการและผลการดำเนินงาน กรรมการของสถาบันการเงินจึงมีหน้าที่ ดังนี้

4.2.1 ดูแลความเพียงพอของเงินกองทุน โดยการติดตามฐานะเงินกองทุนของสถาบันการเงินอย่างสม่ำเสมอ เพื่อกำกับดูแลให้สถาบันการเงินสามารถดำรงเงินกองทุนให้เป็นไปตามที่กฎหมายกำหนด และเพียงพอรองรับการดำเนินธุรกิจทั้งในปัจจุบันและอนาคต

4.2.2 ดำเนินการให้มีการกำหนดกระบวนการหรือเครื่องมือต่าง ๆ เพื่อใช้ดูแลความเพียงพอของเงินกองทุนให้อยู่ในระดับที่มั่นคง สามารถรองรับความเสี่ยงที่สถาบันการเงินมีอยู่และสอดคล้องกับการบริหารความเสี่ยงและกลยุทธ์ในการดำเนินธุรกิจของสถาบันการเงิน โดยอย่างน้อยต้องจัดให้มีการดำเนินการดังกล่าวภายใต้กรอบกระบวนการประเมินความเพียงพอของเงินกองทุน (Internal Capital Adequacy Assessment Process : ICAAP) ให้มีความเหมาะสมกับปริมาณ ความซับซ้อน และประเภทของธุรกรรมของสถาบันการเงิน โดยครอบคลุมความเสี่ยงที่มีนัยสำคัญทุกด้านที่จะมีผลกระทบต่อเงินกองทุน ฐานะ และผลการดำเนินงาน สถาบันการเงินต้องให้ความสำคัญใน 2 เรื่อง ดังนี้

(1) การทดสอบภาวะวิกฤติ (Stress Test) ต้องพิจารณาถึงเหตุการณ์วิกฤติที่อาจเกิดขึ้นได้หรือการเปลี่ยนแปลงของภาวะเศรษฐกิจที่อาจส่งผลกระทบด้านลบอย่างรุนแรงต่อเงินกองทุน และประเมินความสามารถของสถาบันการเงินที่จะอยู่รอดภายใต้ภาวะการเปลี่ยนแปลงนั้น เช่น ภาวะเศรษฐกิจหรือภาวะอุตสาหกรรมที่ตกต่ำ ความผันผวนของอัตราดอกเบี้ยและอัตราแลกเปลี่ยน และปัญหาสภาพคล่องในระบบการเงิน เป็นต้น

(2) การวางแผนเงินกองทุน (Capital Planning) การประมาณการระดับเงินกองทุนให้สามารถรองรับการขยายตัวทางธุรกิจของสถาบันการเงิน ซึ่งทำให้มีสินทรัพย์เสี่ยงและปัจจัยความเสี่ยงอื่น ๆ เพิ่มขึ้น และอาจมีผลกระทบต่อเงินกองทุน นอกจากนี้ ต้องวางแผนในการเพิ่มทุนให้เพียงพอและสอดคล้องกับกลยุทธ์ในการดำเนินธุรกิจของสถาบันการเงินด้วย

4.3 ด้านการกำกับดูแลและติดตามการดำเนินงานให้เป็นไปตามกฎเกณฑ์ของทางการ (Compliance Roles)สถาบันการเงินอยู่ภายใต้ข้อบังคับของกฎหมาย กฎและระเบียบ ข้อบังคับมาตรฐาน และแนวปฏิบัติต่าง ๆ ของทางการ และจะต้องจัดทำรายงานต่าง ๆ เสนอต่อหน่วยงานที่ทำหน้าที่กำกับดูแล กรรมการจึงมีหน้าที่และความรับผิดชอบในการดำเนินงาน ดังนี้

4.3.1 จัดให้มีระบบควบคุมต่าง ๆ เพื่อให้เกิดความมั่นใจว่าสถาบันการเงินได้ดำเนินการไปโดยถูกต้องตามกฎหมาย กฎและระเบียบข้อบังคับต่าง ๆ รวมทั้งคำสั่งการของธนาคารแห่งประเทศไทย ฯลฯ โดยที่ระบบควบคุมดังกล่าวจะเป็นเครื่องมือช่วยชี้ให้เห็นการปฏิบัติ ฝ่าฝืนกฎหมาย หรือกฎระเบียบข้อบังคับต่าง ๆ หรือข้อผิดพลาดต่าง ๆ ที่อาจเกิดขึ้นได้อย่างทันท่วงที

4.3.2 กำหนดให้ฝ่ายจัดการเปิดเผยข้อมูลในเรื่องสำคัญ ๆ อย่างครบถ้วน ถูกต้อง เพียงพอ ทันต่อเหตุการณ์ เช่น การเปิดเผยข้อมูลของรายการที่อาจมีความขัดแย้งทางผลประโยชน์ (Conflict of Interest) การเปิดเผยผลประโยชน์และค่าตอบแทนที่กรรมการ ผู้จัดการ หรือผู้มีอำนาจในการจัดการ หรือผู้บริหารอื่น ๆ ที่ไม่เป็นกรรมการได้รับจากสถาบันการเงิน และการเปิดเผยข้อมูลการเป็นกรรมการในบริษัทอื่น เป็นต้น

4.4 ด้านการปฏิบัติหน้าที่ในฐานะกรรมการที่มีธรรมาภิบาลที่ดี (Good Corporate Governance)คณะกรรมการของสถาบันการเงินมีอำนาจและหน้าที่ในการกำกับดูแลสถาบันการเงินในอันที่จะก่อให้เกิดประโยชน์สูงสุดต่อองค์กร โดยมีกรรมการเป็นผู้เชื่อมโยงระหว่างผู้ถือหุ้นและฝ่ายจัดการ ดังนั้น กรรมการจึงเป็นบุคคลที่มีบทบาทสำคัญอย่างยิ่งในการสร้างธรรมาภิบาลที่ดีในองค์กรนั้น ๆ ทำให้เกิดความเชื่อมั่นต่อผู้ถือหุ้น ลูกค้า และผู้มีส่วนได้เสียทุกฝ่าย (Stakeholders) ตลอดจนระบบสถาบันการเงินในภาพรวม กรรมการจึงต้องมีบทบาทและภาระความรับผิดชอบตามหลักการของการกำกับดูแลกิจการที่ดี ดังนี้

4.4.1 ปฏิบัติหน้าที่ด้วยความซื่อตรง ไม่แสวงหาประโยชน์ส่วนตน ไม่เลือกปฏิบัติ ไม่เล่นพวกเล่นพ้อง และไม่เข้าไปมีส่วนร่วมหรือมีส่วนเกี่ยวข้องในการตัดสินใจในธุรกรรมหรือกิจการใด ๆ ที่ตนเองมีส่วนได้ส่วนเสีย ไม่ว่าทางตรงหรือทางอ้อม เพื่อไม่ให้เกิดปัญหาความขัดแย้งทางผลประโยชน์ (Conflict of Interest) หรือการแสวงหาประโยชน์ส่วนตน รวมถึงต้องสอดส่องดูแลไม่ให้เกิดกระบวนการแทรงแซงการพิจารณาใด ๆ อันจะทำให้สถาบันการเงินมีความเสี่ยงเพิ่มขึ้น

4.4.2 ร่วมกำหนดกลยุทธ์ขององค์กรและนโยบายในการปฏิบัติงานตลอดจนติดตามดูแลการปฏิบัติหน้าที่ของฝ่ายบริหารให้เป็นไปตามกลยุทธ์และนโยบายที่กำหนดไว้

4.4.3 ดูแลให้มีการกำหนดนโยบายเรื่องธรรมาภิบาลที่ดีให้ชัดเจนเป็นลายลักษณ์อักษร โดยคำนึงถึงผลประโยชน์ของผู้มีส่วนได้เสีย (Stakeholders) ทุกฝ่ายอย่างเหมาะสม

4.4.4 ต้องเข้าร่วมประชุมคณะกรรมการทุกครั้ง เว้นแต่กรณีมีเหตุจำเป็นเท่านั้น และจะต้องมีส่วนร่วมในการพิจารณาให้ความคิดเห็นที่เป็นประโยชน์ในการประชุมอย่างรอบคอบ เอาใจใส่ และเต็มความสามารถ

4.4.5 กำหนดนโยบายการให้ผลตอบแทนที่เหมาะสมและเพียงพอเพื่อจูงใจและรักษาบุคลากรที่มีคุณภาพ และดำรงไว้ซึ่งการปฏิบัติหน้าที่โดยสุจริต ทั้งนี้ ไม่ควรกำหนดอัตราผลตอบแทนผูกโยงกับกำไรระยะสั้น เพื่อไม่ให้กรรมการมีแรงจูงใจในการเพิ่มระดับความเสี่ยงที่สูงเกินกว่าระดับที่สถาบันการเงินยอมรับได้ หรือทำธุรกิจแบบสุ่มเสี่ยงต่อความมั่นคงของสถาบันการเงิน โดยละเลยผลกระทบในระยะยาวเพื่อหวังผลตอบแทนที่สูง

5. การบังคับใช้จะมีผลเมื่อธนาคารแห่งประเทศไทยพิจารณาความเห็นของสถาบันการเงินต่าง ๆ ที่ได้มีสังเกตหลากหลาย เมื่อวันที่ 5 มีนาคม 2552 และจะประกาศใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ทั้งนี้ มุมมองต่าง ๆ ที่เกี่ยวข้องกับ GCG + ITG + GRC + Internal Control/Audit ที่เป็นรายละเอียดและเป็นความเข้าใจของผู้เขียนจะได้นำเสนอในโอกาสต่อไป

 

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

ก่อนที่หลาย ๆ ท่าน รวมถึงตัวผมด้วยนั้น จะหยุดไปพักผ่อนในช่วงเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการบริหารจัดการความเสี่ยงขององค์กร ซึ่งเป็นเรื่องเบา ๆ ที่ผมเห็นว่าเหมาะที่จะนำเสนอในช่วงวันหยุดยาวแบบนี้ แต่กลับมีความสำคัญต่อการจัดการกับความเสี่ยงขององค์กรอย่างยิ่งยวด

ผมคิดว่าคงไม่มีองค์กรใด ไม่ว่าภาครัฐหรือภาคเอกชนสามารถดำเนินการภายใต้สภาพแวดล้อมที่ปราศจากความเสี่ยงได้ องค์กรที่ต้องดำเนินการในสภาวะแวดล้อมดังกล่าว การจัดการความเสี่ยงจะช่วยให้ฝ่ายบริหารจัดการกับสภาพแวดล้อมให้เหมาะสมกับความเสี่ยงได้เป็นอย่างดี เพื่อก้าวสู่การบรรลุวัตถุประสงค์และเป้าหมายได้อย่างสมเหตุสมผล

การจัดการความเสี่ยงขององค์กร เป็นการส่งเสริมความสามารถในด้าน

– การปรับความเสี่ยงที่องค์กรหรือองค์กรยอมรับได้
เป็นการกำหนดกลยุทธ์ที่เหมาะสมให้เป็นไปในทิศทางเดียวกันกับความเสี่ยงที่องค์กรยอมรับได้ คือระดับความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับเพื่อมุ่งไปสู่เป้าหมายขององค์กร ซึ่งการบริหารความเสี่ยงจะพิจารณาถึงความเสี่ยงที่องค์กรยอมรับได้เป็นอย่างแรก เพื่อประเมินทางเลือกและพัฒนากลไกในการบริหารความเสี่ยงที่เกี่ยวข้องต่อไป

– ความเชื่อมโยงการเติบโต ความเสี่ยงและผลตอบแทน
การบริหารความเสี่ยงช่วยในการระบุและประเมินความเสี่ยง รวมทั้งกำหนดระดับความเสี่ยงที่สามารถยอมรับได้ ที่สัมพันธ์กับการเติบโตและเป้าหมายของผลตอบแทนตามวัตถุประสงค์ที่องค์กรกำหนดไว้

– ส่งเสริมการตัดสินใจในการตอบสนองความเสี่ยงที่เกิดขึ้น
การบริหารความเสี่ยงใช้ในการระบุและเลือกทางเลือกในการตอบสนองความเสี่ยงในรูปแบบต่าง ๆ ทั้งยังช่วยจัดหาวิธีการและเทคนิคสำหรับการตัดสินใจ เช่น การหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยงและการยอมรับความเสี่ยง

– การลดความไม่แน่นอนและความสูญเสียในการปฏิบัติงานให้น้อยที่สุด
ช่วยให้องค์กรสามารถระบุเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้น ประเมินความเสี่ยงและจัดการตอบสนองต่อความเสี่ยงที่เกิดขึ้น รวมทั้งลดสิ่งไม่แน่นอนที่อาจเกิดขึ้น ตลอดจนความสัมพันธ์ของต้นทุนและการสูญเสีย

– การระบุและบริหารความเสี่ยงภายในองค์กร
ทุก ๆ องค์กรเผชิญกับความเสี่ยงมากมายหลายประเภทที่ส่งผลต่อส่วนต่าง ๆ ขององค์กรที่แตกต่างกัน ฝ่ายบริหารไม่เพียงแต่ต้องบริหารความเสี่ยงเฉพาะบุคคล แต่ต้องเข้าใจถึงผลกระทบที่เกิดขึ้นด้วย

– มีการตอบสนองแบบบูรณาการกับความเสี่ยงที่หลากหลาย
กระบวนการทางธุรกิจนำมาซึ่งความเสี่ยงสืบเนื่อง หรือความเสี่ยงจากลักษณะธุรกิจในหลายรูปแบบ และ ERM ทำให้เกิดการแก้ปัญหาแบบบูรณาการต่อการบริหารความเสี่ยง

– การฉกฉวยโอกาส
ฝ่ายบริหารพิจารณาเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นมากกว่าพิจารณาเฉพาะความเสี่ยง โดยการพิจารณาทุกระดับของเหตุการณ์

– การจัดการกับทุนอย่างสมเหตุสมผล
ข้อมูลที่ถูกต้องมีความหมายต่อความเสี่ยงทั้งหมดขององค์กร สิ่งนี้จะทำให้การบริหารเป็นไปอย่างมีประสิทธิภาพมากขึ้นในการเข้าถึงความต้องการและปรับปรุงการจัดสรรทรัพย์สินหรือทุน รวมถึงงบประมาณได้อย่างเหมาะสม

ภาพด้านล่างนี้จะช่วยให้เห็นถึงความสำคัญและประโยชน์ของการจัดการความเสี่ยงได้ชัดเจนยิ่งขึ้น

Translating Vision & Strategy to  State Enterprise Performance Measurement

Translating Vision & Strategy to State Enterprise Performance Measurement

ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กรไม่ใช่จุดสิ้นสุดโดยตัวเอง แต่มีความหมายที่สำคัญในการบรรลุวัตถุประสงค์ ที่ไม่สามารถปฏิบัติแยกออกจากองค์กรได้ แต่จะเป็นตัวกลไก (enabler) ในกระบวนการทางการบริหาร
ERM เป็นสิ่งที่เกี่ยวข้องกับความสัมพันธ์กับความร่วมมือของหน่วยการจัดการต่าง ๆ โดยจัดหาข้อมูลให้แก่คณะกรรมการบริหาร ได้ทราบถึงความเสี่ยงที่มีนัยสำคัญและการบริหารความเสี่ยงดังกล่าว การปรับเปลี่ยนความเสี่ยงโดยการควบคุมภายใน ซึ่งเป็นส่วนหนึ่งของ ERM

ERM ช่วยให้องค์กรประสบความสำเร็จในผลประกอบการและบรรลุเป้าหมายการทำกำไร การป้องกันความสูญเสียของทรัพยากร ช่วยทำให้มั่นใจถึงการรายงานที่มีประสิทธิภาพ การปฏิบัติที่ถูกต้องตามกฎหมายและกฎเกณฑ์ต่าง ๆ การหลีกเลี่ยงความเสียชื่อเสียงและผลลัพธ์ที่ตามมาอื่น ๆ

โดยรวมแล้วการจัดการความเสี่ยงขององค์กรจะช่วยให้องค์กรทั่วไปดำเนินไปในทิศทางที่ต้องการได้อย่างเหมาะสม และสามารถบรรลุวัตถุประสงค์ขององค์กรที่กำหนดไว้ได้เป็นอย่างดี

 

แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework

แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO-ERM Framework) ที่ท่านจะได้อ่านต่อไปนี้ เป็นการรวบรวมข้อมูลของผมจากการบรรยายในเรื่องนี้ ผสมผสานกับเอกสารของ COSO-ERM Framework หรือ COSO v.2 ของ IIA Institute

ภาพประกอบเอกสารของเรื่องนี้มีทั้งที่มาจาก เอกสารของ IIA และจากการบรรยายทั้งในภาครัฐและภาคเอกชนของผมหลายแห่งที่ผ่านมา เอกสารดังกล่าวจะทยอยลงและเผยแพร่เร็ว ๆ นี้ครับ

นอกจากนี้ ผมได้เพิ่มเรื่องราวที่เกี่ยวข้องกับ CG และ ITG บางมุมมองที่เป็นองค์ประกอบหลักเสมือนร่มใหญ่ของ COSO-ERM Framework ดังนั้น ข้อมูลตามเอกสารนี้จึงเป็นการผสมผสานในรูปแบบที่ใช้ COSO-ERM เป็นหลัก และอธิบายประกอบเพื่อสร้างความเข้าใจในแผนภาพเพิ่มเติมเท่าที่เห็นว่าเหมาะสมครับ

 

Good Corporate Governance – GCG กับสถาบันการเงินบางมุมมองของ ธปท. (ต่อ)

เมื่อวันที่ 7 มี.ค. 2552 ผมได้นำเสนอเรื่องการปรับปรุงหลักเกณฑ์ที่เกี่ยวข้องกับ GCG ของ ธปท. ที่ได้ร่างนำเสนอขอความคิดเห็นจากประธานกรรมการสถาบันการเงินต่าง ๆ ที่ห้องประชุม ดร. ป๋วย อึ้งภากรณ์ ชั้น 4 ของ ธปท. นั้น

มีผู้สนใจในข้อสังเกตบางถ้อยคำของผู้เขียนต่อที่ประชุม เช่น Interdependence และ Risk Convergence ที่ผู้เขียนได้หยิบยกมากล่าวเพิ่มเติมในเรื่องอำนาจหน้าที่ของกรรมการสถาบันการเงินที่ ธปท. ให้ความสำคัญสูงสุด 4 เรื่องคือ
1. Risk Management
2. Capital Adequacy
3. Compliance Roles
4. Good Corporate Governance

จึงขออธิบายสั้น ๆ ดังนี้
1. Interdependent
หัวข้อทั้ง 4 ที่ ธปท. ให้ความสำคัญสูงสุดข้างต้นในทุกหัวข้อมีความสำคัญอย่างยิ่งยวดในตัวของมันเองในทุกข้อ ที่เกี่ยวข้องกับความมั่นคงและการเติบโตอย่างยั่งยืนของสถาบันการเงินทุกแห่งที่ ธปท. ใช้เป็นกรอบในการกำกับ โดยมีรายละเอียดที่ไม่ขอกล่าวในที่นี้นั้น ทั้ง 4 หัวข้อยังมีปฏิสัมพันธ์และความสัมพันธ์ซึ่งกันและกันอย่างหลีกเลี่ยงไม่ได้ เพราะผลกระทบจากเหตุการณ์ การกระทำ หรือจุดอ่อนที่กล่าวข้างต้นข้อหนึ่งข้อใด จะไม่เพียงแต่มีผลกระทบต่อการบรรลุเป้าหมายในแต่ละปัจจัย หรือในแต่ละประเด็นที่กล่าวข้างต้นเท่านั้น แต่ยังจะมีผลกระทบต่อปัจจัยหรือประเด็นอื่น ๆ ที่ ธปท. ให้เป็นองค์ประกอบที่มีความสำคัญสูงสุดในการกำกับและการตรวจสอบสถาบันการเงินด้วย ความหมายข้างต้นตามที่ผมกล่าวเรียกสั้น ๆ ว่า “Interdependent”

ขอยกตัวอย่างอื่น ๆ ประกอบคำอธิบายของคำว่า Interdependent ในเรื่องที่เกี่ยวข้องกับ IT Security ตามมาตรฐาน ISO 27001 ซึ่งมี Domain หลัก ๆ 11 หัวข้อดังนี้
1. Security policy
2. Organization of information security
3. Asset management
4. Human resources security
5. Physical and environmental security
6. Communications and operations management
7. Access control
8. Information systems acquisition, development and maintenance
9. Information security incident management
10. Business continuity management
11. Compliance

ซึ่งอาจจะอธิบายโดยแผนภาพเพื่อให้เกิดความเข้าใจของคำว่า Interdependent ดังนี้

Information Security_ISO 27001

Information Security_ISO 27001

จาก Domain ทั้ง 11 ของมาตรฐาน ISO 27001 ซึ่งกระทรวงการคลัง โดย สคร. นำไปเป็นประเด็นในการพิจารณาศักยภาพการบริหารความเสี่ยงและพิจารณามุมมองการบริหารเทคโนโลยีสารสนเทศร่วมกันไปนั้น อธิบายในมุมมองของ Interdependent ได้ว่า ทั้ง 11 Domain มีความสำคัญในตัวของมันเองในแต่ละข้อ และในแต่ละข้อก็มีความสัมพันธ์ซึ่งกันและกัน เพื่อให้ได้ดุลยภาพของความปลอดภัย ความมั่นคงทางด้านเทคโนโลยีสารสนเทศ (IT Security) หากขาดข้อหนึ่งข้อใดก็พิจารณาได้ว่าดุลยภาพในการจัดการด้านความปลอดภัยและความมั่นคงทางด้านสารสนเทศที่เป็นพื้นฐานสำคัญของการประมวลข้อมูลและการรายงานต่าง ๆ เพื่อการบริหารของทุกองค์กรจะมีปัญหาสำคัญในเรื่องความน่าเชื่อถือได้ของข้อมูล และสารสนเทศที่ใช้ในการตัดสินใจขององค์กรโดยรวมเป็นอย่างยิ่ง

อาจจะอธิบายเพิ่มเติมได้ว่า หากองค์กรใดองค์กรหนึ่งได้จัดให้มีการจัดการด้าน IT Security ตั้งแต่ ข้อ 2 ถึง ข้อ 11 ครบถ้วน แต่ขาดเพียง ข้อ 1 เพียงข้อเดียว ก็เป็นเรื่องที่องค์กรนั้นจะขาดความเป็น Interdependent ทางด้าน IT Security หรือในกรณีที่องค์กรหนึ่งองค์กรใด รวมทั้งสถาบันการเงินมี IT Security ตั้งแต่ ข้อ 1 ถึง ข้อ 11 แต่ขาด IT Security ทางด้าน Business Continuity Management – BCM ซึ่งเป็นข้อ 10 เพียงข้อเดียว องค์กรนั้นหรือสถาบันการเงินนั้นก็พิจารณาได้ว่าไม่มีระบบ IT Security ที่ดีและยอมรับได้ ในมุมมองของผู้กำกับ (Regulors) และ Operators ที่เกี่ยวข้องกับการบริหารการจัดการของคณะกรรมการและผู้บริหารขององค์กร

นี่เป็นเรื่องของดุลยภาพในการบริหารและการจัดการที่ดีเพื่อการเติบโตอย่างยั่งยืน มั่นคง ++ ของทุกองค์กร ตามหลัก Good Corporate Governance – GCG และ IT Governance – ITG และเป็นไปตาม Statement ใหม่ ที่กล่าวถึง GRC – Governance + Risk + Compliance ของการบริหารการจัดการที่เป็น First Priority และการบริหารจัดการของทุกองค์กรในปัจจุบัน

จากแผนภาพข้างต้น จะเข้าใจได้ค่อนข้างชัดเจนถึงความสัมพันธ์ระหว่างองค์ประกอบต่าง ๆ ของ Domain ทั้ง 11 ที่ต้องอาศัยประสิทธิภาพและประสิทธิผลในการจัดการ IT Security ในแต่ละเรื่องให้ดีเป็นไปตามมาตรฐาน เพราะทุกเรื่องมีความสัมพันธ์ซึ่งกันและกันเช่นเดียวกับร่างกายของมนุษย์ที่มีอวัยวะ ระบบประสาท ระบบสมอง ระบบหัวใจ ระบบหลอดเลือด ระบบกล้ามเนื้อ ระบบขับถ่าย ระบบผิวหนัง และอวัยวะอื่น ๆ เช่น โครงกระดูก เป็นต้นนั้น

ทุกอวัยวะมีความสำคัญที่จะต้องทำงานสมบูรณ์ได้โดยตัวของมันเอง และต้องอาศัยระบบต่าง ๆ ที่เกี่ยวข้องมาหล่อเลี้ยงอวัยวะของตนเพื่อให้ทุกส่วนของร่างกายทำงานได้อย่างเป็นปกติ ถ้าระบบหนึ่งระบบใดของร่างกายมีปัญหา ระบบอื่น ๆ ก็จะพลอยมีปัญหาตามไปด้วยในที่สุด นั่นคือ สุขภาพทั้งร่างกายและจิตใจจะมีแต่ปัญหาตามมาจนถึงการจากไปของร่างกายและจิตวิญญาณในที่สุด นี่คือคำอธิบายโดยรวม ๆ ของคำว่า Interdependent ที่เกี่ยวข้องกับ Risk Convergence ในอีกมุมมองหนึ่ง

2. Risk Convergence
คำ ๆ นี้ก็มีความสำคัญอย่างยิ่งที่คณะกรรมการและผู้บริหาร รวมทั้งผู้ปฏิบัติระดับต่าง ๆ ขององค์กร ควรจะทำความเข้าใจให้ตรงกัน เพราะจะเกี่ยวข้องกับการขับเคลื่อนความสำเร็จในมุมมองต่าง ๆ ตามที่ ธปท. ได้กล่าวข้างต้น และตามมุมมองของ COSO-ERM และตามหลักการ Balanced Scorecard รวมทั้งกรอบมาตรฐานของ COBIT ตาม IT Governance ซึ่งผู้เขียนจะได้ขยายความในโอกาสต่อไป

สำหรับวันนี้ เพียงแต่จะอธิบาย Risk Convergence ในมุมมองกว้าง ๆ ว่า เหตุการณ์ ความไม่แน่นอน รวมทั้งโอกาสในการสร้างคุณค่าเพิ่มใหม่ ๆ ของทุกองค์กร ซึ่งอาจจะเรียกรวม ๆ กันว่าเป็นการบริหารเชิงรุก โดยผู้ที่เกี่ยวข้องจะต้องใช้ดุลยพินิจ วิจารณญาณ การวิเคราะห์เหตุการณ์ต่าง ๆ ที่อาจจะเกิดขึ้นในภายหน้าที่มีผลกระทบต่อการบรรลุเป้าประสงค์ พันธกิจ วิสัยทัศน์ ขององค์กรระดับต่าง ๆ นั้น จำเป็นอย่างยิ่งที่คณะกรรมการต่าง ๆ ผู้บริหารและผู้ปฏิบัติทุกระดับ ควรเข้าใจตรงกันว่า องค์ความรู้ที่เกี่ยวข้องกับความเสี่ยงในทุกมุมมองจะเกี่ยวข้องและสัมพันธ์กับการปฏิบัติงานขององค์กรอย่างแยกกันไม่ได้ เพราะผลกระทบของเหตุการณ์หนึ่ง ไม่ว่าจะเป็นเรื่อง IT หรือ Non-IT จะมีผลกระทบต่อวัตถุประสงค์ในการควบคุมภายในเพื่อก้าวไปสู่การบรรลุวัตถุประสงค์ระดับต่าง ๆ ของทุกองค์กร ตามหลักการของ COSO-ERM v.2 ในเรื่องที่เกี่ยวกับ S-Strategy, O-Operational, F-Financial, C-Compliance

ซึ่งรายละเอียดที่เกี่ยวข้องกับ COSO-ERM v.2 กับแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร จะได้นำเสนอในหัวข้องของ COSO-ERM และการบริหารความเสี่ยงขององค์กรในเร็ว ๆ นี้ โปรดติดตามได้ต่อไป

โดยสรุป Risk Convergence ในมุมมองของคณะกรรมการ ผู้บริหาร และผู้ปฏิบัติงานแล้ว ต้องการความเข้าใจในภาพโดยรวมของการจัดการ ในมุมมองของ Holistic Framework และ Integrated Thinking ผสมผสานกับ Allignment ของกระบวนการจัดการและการปฏิบัติงานของคณะกรรมการทุกชุด ซึ่งอาจจะอธิบายให้เข้าใจได้ง่ายจากแผนภาพประกอบด้านล่างนี้

Risk Convergence Mgmt. Model

Risk Convergence Mgmt. Model

สำหรับข้อคิดเห็นหรือข้อสังเกตเพิ่มเติมเกี่ยวข้องมุมมองของการบริหารจัดการทางด้าน Corporate Governance + Risk Management + Compliance Roles + Capital Adequacy ในเรื่องอื่น ๆ ที่เกี่ยวข้องจะได้ขยายความตามมุมมองของผู้เขียนต่อไป

 

บรรษัทภิบาล/การบริหารการจัดการที่ดีกับจริยธรรมองค์กร

5. ธรรมาภิบาลกับการบริหารความเสี่ยง

CG กับ RM และการประเมินคุณภาพ

ธรรมาภิบาล (Good Governance) ซึ่งเป็นแม่บทของบรรษัทภิบาล หรือการกำกับดูแลกิจการที่ดี (Good Corporate Governance) หรือ Corporate Governance หรือ CG ที่เคียงคู่กันกับการกำกับดูแลกิจการที่ดีทางด้านสารสนเทศ (IT Governance) นั้น คงเป็นที่เข้าใจกันดีเพราะกล่าวถึงและใช้กันมาหลายปีแล้ว แต่เนื่องจากความคิดและความเข้าใจ ความมุ่งมั่นเพื่อนำไปสู่การปฏิบัติที่เป็นรูปธรรมที่ทำได้ วัดได้ ตรวจสอบได้ รายงานความเกี่ยวข้อง ความเกี่ยวพัน การสอดประสาน การบูรณาการที่มีพื้นฐานแตกต่างกัน ทำให้หลักการที่ดีที่หลายองค์กรต่างก็อ้างว่าได้ปฏิบัติแล้ว มีคู่มือแล้ว มีโครงสร้างแล้ว มีนโยบายและระเบียบครอบคลุมดีแล้ว รวมทั้งองค์กรก็นำระบบการบริหารความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management – ERM) ตามหลักการของ COSO ใหม่ (Committee of Sponsoring Organization of the Treadway Commission) 8 ประการ แต่หลายองค์กรก็มีปัญหาในการบริหารเพื่อการบรรลุเป้าหมายหลัก ๆ ของทุกองค์กรทั้ง 4 ประการ คือ S (Strategic) + O (Operation) + F (Financial & Reporting) + C (Compliance) ซึ่งอาจจะอธิบายด้วยแผนภาพเพื่อก้าวไปสู่การบริหารเชิงรุก โดยการมองถึงอนาคตที่อาจจะเกิดเหตุการณ์ที่ไม่พึงประสงค์และหาทางจัดการ ป้องกัน ควบคุม เพื่อให้ประเทศ องค์กร หน่วยงานต่าง ๆ ก้าวไปสู่เป้าประสงค์ตามที่กำหนดไว้

ส่วนประกอบของ ERM

มุมมองตามหลัก COSO – Based ที่ต้องการการบริหารแบบผสมผสานและบูรณาการในมิติต่าง ๆ ตั้งแต่ส่วนประกอบของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM) ทั้ง 8 ประการ กับเป้าประสงค์ของการบริหารงานโดยทั่วไป 4 ข้อ และการเชื่อมโยงไปสู่ระดับการบริหารความเสี่ยง 4 ระดับ

COSO_Based

COSO_Based

5.1. องค์กรไม่อาจก้าวไปสู่เป้าหมายเชิงกลยุทธ์ระดับต่าง ๆ ขององค์กร (Strategic Risk) ภายใต้ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ตามมุมมองของหลักการ Balanced Scorecard ที่กำหนด

5.2. องค์กรไม่อาจก้าวไปสู่เป้าหมายด้านการปฏิบัติงาน/การดำเนินงาน การบริหารที่ส่วนใหญ่เกี่ยวข้องกับบุคลากร กระบวนการทำงาน และระบบเทคโนโลยีสารสนเทศที่สนองตอบต่อกลยุทธ์และนโยบายขององค์กร (Operational Risk) ที่อยู่ในระดับและกรอบที่องค์กรกำหนดได้

5.3. องค์กรไม่อาจก้าวไปสู่เป้าหมายด้านการรายงานต่าง ๆ ที่ถูกต้อง น่าเชื่อถือได้ ตามกรอบของความเสี่ยงที่กำหนด โดยเฉพาะรายงานทางด้านการปฏิบัติตามกฎหมาย ระเบียบ คำสั่ง และรายงานทางการเงิน (Reporting /Financial Risk)

5.4. องค์กรไม่อาจก้าวไปสู่การปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบ คำสั่ง ประกาศ ขั้นตอนการปฏิบัติงานต่าง ๆ ได้อย่างมีคุณภาพที่ยอมรับได้ (Compliance Risk)

ซึ่งนำไปสู่ความเสียหายที่เป็นทั้ง Tangible Asset/Value และ Intangible Asset/Value เช่น การเสื่อมเสียชื่อเสียง ขาดความไว้วางใจจากผู้มีส่วนได้เสีย (Stakeholder) อาจสร้างภาระปัญหา ความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง สร้างภาระผูกพันในทางลบต่อฐานะและความมั่นคงทางการเงิน/การดำเนินงาน จากการไม่ปฏิบัติหรือการปฏิบัติที่ย่อหย่อนทางด้านคุณภาพ โดยไม่ส่งเสริมการปฏิบัติอันเป็นเลิศและการมีจรรยาบรรณที่ดีในการประกอบธุรกิจ (Promotion of Best Practices) ศักยภาพการจัดการตามสภาวะการณ์ที่ต้องปฏิบัติให้สมกับความไว้วางใจจากเจ้าของหรือผู้ถือหุ้น (Fiduciary Duty) อย่างที่ควรจะเป็น หากองค์กรมีผู้บริหารแบบมืออาชีพ และทำหน้าที่อย่างผู้เป็นเจ้าของจะพึงปฏิบัติ เป็นต้น

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/