Archive for พฤษภาคม, 2009

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร ซึ่งมีขั้นตอนค่อนข้างเยอะ แต่ผมก็ได้พยายามอธิบายในลักษณะเป็นขั้นเป็นตอนพร้อมรูปภาพประกอบในแต่ละขั้น คงทำให้หลายท่านพอจะเข้าใจได้ง่ายขึ้นนะครับ

สำหรับวันนี้ ผมจะกล่าวถึงเรื่ององค์ประกอบของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM – Enterprise Risk Management) ซึ่งเป็นแนวทางการบริหารความเสี่ยงตามหลักการของ COSO ที่ประกอบด้วยส่วนประกอบหลัก ๆ 8 ประการ ได้แก่

1. สภาพแวดล้อมภายใน – ฝ่ายบริหารต้องกำหนดปรัชญาเกี่ยวกับความเสี่ยงและความเสี่ยงที่ยอมรับได้ขึ้นมา สภาพแวดล้อมภายในจะกำหนดพื้นฐานเพื่อใช้ในการวิธีการจัดการความเสี่ยงและควบคุม หลักสำคัญขององค์กรคือบุคลากรและสภาพแวดล้อมการทำงาน เช่น โครงสร้าง วัฒนธรรมการทำงาน เป็นต้น

2. การกำหนดวัตถุประสงค์ – ต้องมีการกำหนดวัตถุประสงค์ก่อน ฝ่ายบริหารจึงจะสามารถระบุสถานการณ์ที่อาจทำให้ไม่บรรลุผลสำเร็จได้ ERM จะสร้างความแน่ใจให้กับฝ่ายบริหารว่ามีกระบวนการกำหนดวัตถุประสงค์และเลือกวัตถุประสงค์ที่สนับสนุนและสอดคล้องกับภารกิจ/วิสัยทัศน์และมีความเสี่ยงในระดับที่องค์กรยอมรับได้

3. การระบุสถานการณ์ – ปัจจัยในการระบุสถานการณ์ประกอบด้วย ปัจจัยทั้งภายในและภายนอกที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

4. การประเมินความเสี่ยง – การระบุความเสี่ยงเป็นพื้นฐานนำมาวิเคราะห์ว่าจะจัดการกับความเสี่ยงอย่างไร

5. การตอบสนองความเสี่ยง – ฝ่ายบริหารต้องเลือกวิธีการจัดการกับความเสี่ยงที่ประเมินได้ให้อยู่ในระดับที่องค์กรยอมรับได้ วิธีการจัดการกับความเสี่ยงประกอบด้วย การหลีกเลี่ยง การยอมรับ การลดและการกระจายความเสี่ยง

6. กิจกรรมการควบคุม – เป็นนโยบายและวิธีการที่สร้างขึ้นมาและใช้ในการช่วยให้ฝ่ายบริหารสามารถจัดการกับความเสี่ยงที่อย่างมั่นใจ

7. ข้อมูลสารสนเทศและการสื่อสาร – มีการระบุ จัดการและสื่อสารข้อมูลที่เกี่ยวข้องในรูปแบบและช่วงเวลาที่สามารถทำให้บุคลากรปฏิบัติหน้าที่ความรับผิดชอบได้ ข้อมูลสารสนเทศเป็นสิ่งจำเป็นในทุกระดับขององค์กรในการระบุ ประเมิน และตอบสนองความเสี่ยง

8. การติดตาม – ต้องมีการติดตามดูแลกระบวนการ ERM ขององค์กร และดัดแปลงเท่าที่จำเป็น การติดตามดูแลต้องทำเป็นกิจกรรมที่ต่อเนื่อง แยกออกมาจากการประเมินผลกระบวนการ ERM หรือผสมผสานทั้งสองอย่างเข้าด้วยกัน

อธิบายไปครบทั้ง 8 ประการแล้ว เราไปดูแผนภาพของส่วนประกอบของ ERM ให้เห็นภาพที่ชัดเจนขึ้นกันครับ

องค์ประกอบของ ERM 8 ประการ

องค์ประกอบของ ERM 8 ประการ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM สามารถแสดงให้เห็นได้ใน 3 มิติ ในลักษณะของลูกเต๋าดังภาพ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

– วัตถุประสงค์ 4 ข้อที่แสดงในแนวตั้ง ได้แก่ กลยุทธ์ การดำเนินงาน การรายงาน และการปฏิบัติตาม
– องค์ประกอบ 8 ประการที่แสดงให้เห็นในแนวนอนและ
– องค์กรและหน่วยต่าง ๆ ขององค์กรจะบรรยายในมิติที่ 3

 

IT Governance กับ COSO – ERM

วันนี้ ผมจะเล่าต่อถึงเรื่องที่ สคร. โดยกระทรวงการคลังนำ IT Governance ไปใช้ในการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ และรวมทั้งถึงนำไปใช้ในการประเมินการบริหารจัดการสารสนเทศ บางมุมมองต่อไป ทั้งนี้เพราะการบริหารความเสี่ยงเป็นองค์ประกอบหนึ่งที่สำคัญยิ่งของ CG และ ITG + GRC นั่นเอง

การประเมินการบริหารความเสี่ยงแบ่งเป็นขั้นบันไดตามที่แสดงในรูปภาพด้านล่าง หน่วยงานที่ไม่ผ่านระดับ 1 ถึงแม้จะมีการบริหารความเสี่ยงในระดับ 2 – 3 หรือ 4 ก็จะไม่ได้คะแนนในเรื่องนั้น ๆ ทั้งนี้ โดยมีหลักการว่า การบริหารความเสี่ยงตามหลักการของ COSO – ERM องค์กรผู้นำกรอบการบริหารความเสี่ยงไปใช้จะต้องเข้าใจในหลักการบริหารความเสี่ยง และแนวการปฏิบัติในแต่ละขั้นตอนที่แท้จริง มิฉะนั้น กระบวนการบริหารความเสี่ยงในภาพโดยรวมขององค์กรก็จะล้มเหลวและขาดความยั่งยืนในที่สุด

ตัวอย่างในเรื่องนี้ก็คือ หากองค์กรไม่กำหนดวัตถุประสงค์ก่อนการประเมินความเสี่ยง และการควบคุม รวมทั้งการติดตามการควบคุมการบริหารความเสี่ยงอย่างมีขั้นตอนแล้ว ก็เปรียบสเมือนติดกระดุมผิดเม็ด นั่นคือเมื่อต้องการติดกระดุมให้ถูกต้องใหม่ก็ต้องแกะกระดุมทุกเม็ดออกไปก่อน เพื่อจะได้ติดกระดุมเม็ดแรกให้ถูกต้อง ซึ่งจะทำให้การติดกระดุมเม็ดต่อ ๆ ไปถูกต้องไปด้วยนั่นเอง นั่นคือที่มาของเกณฑ์การประเมินผลและการให้คะแนนตามขั้นบันไดของทางการที่เป็นอยู่ในปัจจุบัน

ทั้งนี้เพราะ หากไม่ดำเนินการตามที่กล่าวในวรรคต้น ก็อาจจะมีหน่วยงานของรัฐบางแห่ง หรือจำนวนไม่น้อยที่ได้คะแนนประเมินผลการบริหารความเสี่ยงในระดับสูง ที่ไม่สะท้อนถึงความเข้าใจในทางปฏิบัติอย่างเป็นกระบวนการของการบริหารความเสี่ยงอย่างแท้จริง พิสูจน์ได้จากบางหน่วยงานที่ได้รับการประเมินผลในปีก่อน ๆ มีคะแนนที่สูง แต่คะแนนในปีต่อ ๆ มา จะได้คะแนนลดลงจากความเสียหายที่เกิดจากการควบคุมความเสี่ยงที่ไม่ได้ผลอย่างชัดเจน ซึ่งแสดงให้เห็นถึงการขาดดุลยภาพและการบูรณาการการบริหารความเสี่ยงในเชิงรุกอย่างแท้จริง

การวัดระดับการบริหารความเสี่ยง

การวัดระดับการบริหารความเสี่ยง

นอกจากที่กล่าวตามหลักการประเมินผลตามเกณฑ์ข้างต้น แนวทางดังกล่าวยังสอดคล้องกับกรอบการบริหารความเสี่ยงตามหลักการของ COSO – ERM v2. ทุกประการ นั่นคือ องค์ประกอบการบริหารความเสี่ยง ทั้ง 8 ข้อ นั้น องค์กรจะต้องจัดให้มีการบริหารความเสี่ยงทั่วทั้งองค์กรในเชิงรุก ทั้ง 8 ข้อ เรียงตามลำดับกันไป ไม่อาจจะข้ามขั้นตอนข้อหนึ่งข้อใดไปได้เลย ดังนั้น การไม่ปฏิบัติตามหลักเกณฑ์ของ COSO – ERM จึงเป็นเรื่องที่พิจารณาได้ว่า เป็นการบริหารและจัดการกับความเสี่ยงที่ไม่ถูกต้องตามหลักการปฏิบัติ อันเป็นที่ยอมรับกันโดยทั่วไป และจะมีผลอย่างสำคัญถึงการบริหารและการจัดการที่ดีตามหลัก CG และ ITG ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืนขององค์กร

การประเมินผลที่ได้คะแนนในระดับที่ 3 จาก 5 ระดับ มีดังนี้

ระดับ 3 : การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

3.การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร
3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติ การบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น ) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)
3.2 รัฐวิสาหกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
– การจัดตั้งหน่วยงาน / คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง
– พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร
– การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร พิจารณาจาก เนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop) ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

4. มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)
4.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ
4.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร (เช่น การจัดทำ Risk Map เป็นต้น)
โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง ในปีบัญชี 2550

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
5.1 ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร
5.2 คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ เช่น
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา
5.3 คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT
5.4 คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT
5.5 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

 

การป้องกันการทุจริตและจุดอ่อนในระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง

จากกรณีการทุจริตของ ธอส. ที่เป็นข่าวครึกโครมตลอดสัปดาห์ที่ผ่านมา ได้รับความสนใจจากวงการบริหารและการตรวจสอบของสถาบันการเงิน และผู้ที่เกี่ยวข้องเป็นอย่างมาก ผมจึงขอร่วมออกความเห็นในบางมุมมองที่เห็นว่าน่าจะเป็นประโยชน์ต่อการบริหารความเสี่ยง การควบคุม และการตรวจสอบในเชิงรุกบางประการ ดังนี้

1. ควรมีการทบทวนการควบคุมสภาพแวดล้อมโดยทั่วไป ตามหลักการของ COSO ข้อ 1. บางประการที่เกี่ยวข้องกับโครงสร้างขององค์กร เช่น องค์กรของท่านมีการจัดโครงสร้างที่มีผู้บริหารคนเดียวที่ดูแลสายงาน IT สายงานบัญชี สายงานทางการเงินหรือไม่ ถ้าเป็นเช่นนี้ พิจารณาในเบื้องต้นได้ว่า องค์กรของท่านมีความเสี่ยงเป็นอย่างยิ่ง เพราะผู้บริหารอาจดำเนินการโยกย้ายข้อมูลทางการบัญชีและข้อมูลทางการเงิน รวมทั้งทรัพย์สิน หนี้สิน ตลอดจนรายการและงบการเงินให้เป็นไปตามที่พึงประสงค์ได้โดยง่าย เป็นช่องเปิดของจุดอ่อน (Exposure) ในกระบวนการทำงานระดับบนที่จะสร้างจุดอ่อนในกระบวนการทำงานระดับกลาง และระดับล่างลงไปอย่างสำคัญยิ่ง และแน่นอน เป็นการเปิดโอกาสให้เกิดการทุจริตตามมาได้ในที่สุด… และผมจะอธิบายในเรื่องนี้โดยละเอียดในโอกาสต่อไป

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

2. หากผู้บริหารและผู้ตรวจสอบประเมินตนเองในลักษณะ CSA ปรากฎโครงสร้างขององค์กรตามข้อ 1. ก็สามารถให้ข้อสังเกต รวมทั้งทดสอบจุดอ่อนของกระบวนการทำงานกับกระบวนการบริหาร กระบวนการควบคุมและการตรวจสอบภายในตามฐานความเสี่ยง ตาม Scenario หรือตามจินตนาการของเหตุการณ์ที่อาจจะเกิดขึ้นจากจุดอ่อนของกระบวนการบริหาร ซึ่งตามมาด้วยการทุจริตได้เป็นอย่างดี โดยเริ่มต้นจากข้อมูลและสารสนเทศที่ไม่ถูกต้อง เชื่อถือไม่ได้ มีการบิดเบือนข้อมูลอย่างตั้งใจ และไม่ตั้งใจ ตามระบบที่เปิดของจุดอ่อนทางเทคโนโลยีสารสนเทศ (Technology) ที่จะตามมาด้วยจุดอ่อนของกระบวนการทำงานในรูปแบบต่าง ๆ (Process) และเมื่อมีพนักงานผู้ไม่หวังดี (People) หรือมีผู้ต้องการทุจริตก็จะเป็นสาเหตุหลัก (Root Cause) ของความเสี่ยงที่ตามมาด้วยการทุจริตในรูปแบบต่าง ๆ ได้ในที่สุด

เพราะการทุจริตมีสาเหตุหลัก ๆ เพียง 3 ประการ คือ ก) ระบบงานมีจุดอ่อน ข) มีผู้ที่ต้องการทุจริต และ ค) มีโอกาสที่จะทุจริตได้ เมื่อครบองค์ประกอบทั้ง 3 ประการก็คงเหลือเพียงเวลาที่จะทุจริตเท่านั้น

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

3. ในอดีตสถาบันการเงินหลายแห่งมีประสบการณ์เกี่ยวกับการโอนเงินลอยผ่านระบบ Online หรือฝากเงินโดยไม่มีเงินสดจริง ไปเข้าบัญชีของตนเอง หรือบัญชีอื่น ๆ ที่เปิดเตรียมไว้เพื่อการทุจริตที่สาขาต่าง ๆ ของสถาบันการเงิน และเมื่อมีโอกาสก็คีย์เงินฝากลอย ๆ ผ่านระบบเทอร์มินอลไปเข้าบัญชีที่เปิดเตรียมไว้เพื่อการทุจริตนั้น ได้เงินไปตั้งแต่ 10 ล้าน ถึง 30 ล้านบาทภายในวันเดียว และไปถอนเงินสดตามสาขาที่โอนเงินฝากไปภายในวันเดียวกันนั้น ซึ่งเรื่องนี้มีตัวอย่างที่ผมเคยเขียนไว้ในหนังสือการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 2 จาก 4 เล่ม ซึ่งหากมีโอกาสจะได้นำมาเล่าสู่กันฟังในรายละเอียดต่อไป

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

4. กรณีของธนาคาร ธอส. ซึ่งเป็นข่าวประเด็นร้อน เมื่อ 2 สัปดาห์ที่ผ่านมานี้ ก็เป็นเรื่องที่น่าสนใจที่ผมเข้าใจว่า น่าจะมีลักษณะของการทุจริตที่มีองค์ประกอบในหลักการไม่แตกต่างกันมากนัก แต่จะแตกต่างกันในลักษณะของการทุจริตที่ไม่ได้เกิดจากการคีย์เงินฝากลอย ๆ ตามที่กล่าวในข้อ 3. ดังที่เคยเกิดขึ้นในอดีตของหลายสถาบันการเงินมาแล้ว

กรณีของ ธอส. ตามที่เป็นข่าวน่าจะเกิดจากจุดอ่อนของระบบงานที่เกี่ยวข้องกับการจ่ายดอกเบี้ยผ่านบัญชี Suspense Account ของธนาคารที่ขาดดุลยภาพการควบคุมกระบวนการบริหารความเสี่ยงที่เหมาะสม ซึ่งหากวิเคราะห์ในรายละเอียดประกอบกับการตรวจสอบจริงในภาคปฏิบัติ ตั้งแต่การติดตามดูกระบวนการทำงาน ตั้งแต่ Conseptual Flow ดู Processing Flow ไปจนถึง Data Flow ประกอบกับการวิเคราะห์การควบคุม Activity Flow ร่วมไปกับการติดตามดูระเบียบ คำสั่ง การมอบหมายอำนาจและหน้าที่ในการปฏิบัติงานในแต่ละขั้นตอน ควบคู่กันไปกับระบบการควบคุมในแต่ละกิจกรรมอย่างละเอียด ทั้งการควบคุมทางด้าน Computer Control และ Manual Control และแบบผสมผสาน อีกทั้งควรจะต้องพิจารณาข้อยกเว้นของระบบการควบคุม ระบบการปฏิบัติ ตลอดจนถึงกระบวนการ Override หรือกระบวนการข้ามขั้นตอนการควบคุม เพื่อความสะดวกในการปฏิบัติงาน รวมทั้งสังเกตุการณ์การปฏิบัติงานจริงในการมอบหมายหน้าที่ระหว่างผู้ปฏิบัติงานกับผู้ควบคุม ซึ่งในแต่ละขั้นตอนดังกล่าวนี้ จะมีจุดอ่อนที่มีผลต่อการทุจริตได้ทั้งสิ้น

5. จุดอ่อนที่สำคัญยิ่งของสถาบันการเงินส่วนใหญ่ และองค์กรทั่ว ๆ ไป ก็คือ การขาดนโยบายที่ชัดเจน และเป็นรูปธรรมของคณะกรรมการและผู้บริหารที่เกี่ยวข้อง ในเรื่องกระบวนการควบคุมการจัดการกับความเสี่ยงของบัญชี Suspense Account และหรือบัญชี Sundry Account หรือบัญชีอื่น ๆ ที่สถาบันการเงินหรือองค์กรได้กำหนดไว้เป็นรหัสให้คอมพิวเตอร์เป็นผู้ดำเนินการ โดยขาดกระบวนการติดตาม ขาดกระบวนการบริหาร รวมทั้งการจัดทำรายงานความเคลื่อนไหวของบัญชีเหล่านี้ให้เป็นรูปธรรม สถาบันการเงินหลายแห่งมียอดเงินในบัญชีพัก หรือบัญชีในชื่ออื่นใดก็ตามเป็นยอดเงินที่สูงมาก หากใช้หลักการของการบริหารความเสี่ยงตามกรอบของ COSO – ERM ที่คณะกรรมการและผู้บริหารจะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ คือ การกำหนด Risk Appetite และ Risk Tolerance ไว้ให้ชัดเจน อย่างกรณีบัญชี Suspense Account สถาบันการเงินก็ควรกำหนดนโยบายที่ชัดเจน และเป็นรูปธรรมว่า บัญชี Suspense Account นี้จะบันทึกบัญชีประเภทใดบ้าง มีวงเงินรวมและวงเงินแต่ละประเภทของบัญชีที่โอนเข้าบัญชีนี้เป็นเงินเท่าใด จะต้องมีรายละเอียดอะไรประกอบบัญชีแต่ละประเภท แต่ละกลุ่มภายใต้หัวข้อบัญชี Suspense Account หรือบัญชี Sundry Account และใครเป็นผู้ดูแล ใครเป็นผู้รับผิดชอบ โดยกำหนดกระบวนการควบคุมที่ฝังไว้ในระบบงาน (Embed) ซึ่งกระทำโดยการใช้ Code ที่เหมาะสม

6. ตามที่ผมได้กล่าวในข้อ 5. ข้างต้น ยังมีรายละเอียดหลายประการ และตัวอย่างอีกมากที่เป็นจุดรั่วไหลของในหลายองค์กร โดยเฉพาะอย่างยิ่ง ผู้ที่มีความรู้ทางด้านเทคโนโลยีสารสนเทศ ที่ได้รับมอบหมายให้เป็นผู้ดูแลที่ขาดความเข้าใจอย่างเป็นกระบวนการในการบริหารความเสี่ยงต่าง ๆ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่มีจุดอ่อนในระดับบน ซึ่งจะก่อให้เกิดความเสี่ยงในระดับรอง ๆ ลงมาอย่างหลีกเลี่ยงไม่ได้

ท่านผู้บริหารครับ ท่านเคยสนใจไหมครับว่า การเปลี่ยนแปลงกฎเกณฑ์ และระเบียบ รวมทั้งคำสั่งต่าง ๆ ที่เกี่ยวข้องกับการควบคุม การให้บริการใหม่ ๆ ผลิตภัณฑ์ใหม่ ๆ กระบวนการทำงานใหม่ ๆ ที่ปกติแล้วจะประกอบด้วย IT และ Non – IT นั้น จำเป็นอย่างยิ่งที่ต้องผ่านคณะกรรมการบริหารความเสี่ยง เพื่อประเมินถึงผลกระทบจากเหตุการณ์ใหม่ ๆ ที่เกิดขึ้น เรื่องนี้มีผู้บริหารระดับสูงของบางองค์กรได้อาศัยช่องว่างของกระบวนการบริหารความเสี่ยง ควบคู่กันไปกับการมีอำนาจควบคุมระบบเทคโนโลยีสารสนเทศ ระบบบัญชี ระบบการเงิน ระบบสินเชื่อ โดยการยักย้ายบัญชีสินทรัพย์เข้าไปไว้ในบัญชีพัก หรือ Suspense Account โดยเตรียมคำอธิบายไว้ล่วงหน้าหากมีการสอบถามจากผู้ที่เกี่ยวข้องไว้อย่างรัดกุม และเมื่อไม่มีคำถามจากผู้บริหารระดับสูง ประกอบกับผู้ตรวจสอบภายในยังขาดทักษะในการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งขาด Mind Map และขาดสัญชาตญาณในการตรวจสอบ (Audit Instinct) ในภาพโดยรวมของการตรวจสอบกับจุดอ่อนในกระบวนการจัดการ และระบบงาน รวมทั้งระเบียบปฏิบัติต่าง ๆ ที่เกี่ยวข้อง ก็จะเกิดความเสียหายได้มากมายจากสินทรัพย์ หรือลูกหนี้ที่ล่องหนไปจากบัญชีขององค์กร โดยมีสาเหตุหลัก ๆ ที่เกิดจาก PPT ซึ่งก็คือ People Risk + Process Risk + Technology Risk ที่ผสมผสานกันไปกับจุดอ่อนของกระบวนการบริหาร Compliance Risk โดยเฉพาะอย่างยิ่งจากความเสี่ยงในระดับสูงสุดขององค์กรก็คือ สภาพแวดล้อมในการควบคุมขององค์กร ซึ่งอยู่ในระดับบนสุดของกระบวนการบริหารความเสี่ยง และจะขอกล่าวซ้ำอีกครั้งหนึ่ง ซึ่งสรุปสั้นได้ตามแผนภาพ ดังนี้

สภาวะแวดล้อมเพื่อการควบคุม

สภาวะแวดล้อมเพื่อการควบคุม

ประเด็นการตรวจสอบจุดอ่อนของระบบงานที่อาจจะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตขึ้นได้นั้น ผู้ที่พบหรือสังเกตรายการทางบัญชีที่ผิดปกติ อันเป็นที่มาของการทุจริตตามข่าว… ทำไมจึงมีที่มาจากองค์กรอื่นที่ไม่ได้เป็นต้นตอของการทุจริต ทำไมองค์กรของเราผู้ได้รับความเสียหายจากการทุจริต ไม่ทราบปัญหาการทุจริตที่เกิดขึ้นแล้ว และที่กำลังจะเกิดขึ้นต่อไป? การบริหารความเสี่ยงเป็นการบริหารเชิงรุก เป็นการป้องกันปัญหาก่อนที่จะเกิดความเสียหาย องค์กรของเราโดยคณะกรรมการมีการกำหนด Risk Appetite ที่เกิดจากการทุจริต รวมทั้ง Risk Appetite ที่มีผลกระทบถึงชื่อเสียง และความไว้วางใจขององค์กรของเราจาก Stakeholders ไว้อย่างไร มีการติดตามการบริหารความเสี่ยง การควบคุมความเสี่ยง การตรวจสอบตามฐานความเสี่ยงในเรื่องนี้ รวมทั้งการรายงานครั้งสุดท้ายเมื่อใด

ภาพโดยรวมของการตรวจสอบการทุจริต

ภาพโดยรวมของการตรวจสอบการทุจริต

สำหรับจุดอ่อนของระบบงานและกระบวนการทำงาน (Process Risk) รวมทั้ง System Risk ที่เกี่ยวข้องกับระบบบัญชีพัก หรือ Suspense Account ที่สัมพันธ์กับจุดอ่อนของวิธีการปฏิบัติ และจุดอ่อนของดุลยภาพการควบคุมความเสี่ยงที่เป็นช่องทางของการทุจริตจะได้นำมาแลกเปลี่ยนความเห็นกันในครั้งต่อไปนะครับ

 

การนำ IT Governance ไปประยุกต์ใช้ในการกำกับในหน่วยงานของรัฐบางประการ

อีกมุมมองหนึ่งของ IT Governance คือ ดุลยภาพของกระบวนการบริหารความเสี่ยง กับการลงทุนทางด้าน IT โดยมีผลตอบแทนที่เหมาะสม ที่พิจารณาจาก Intangible Assets และ Tangible Assets ในระดับองค์กร

IT Governance เป็น หน้าที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางด้านเทคโนโลยีสารสนเทศควบคู่กันไปกับความสามารถด้านอื่นๆ ของคณะกรรมการและผู้บริหารระดับสูงที่ใช้เป็นกรอบ และองค์ประกอบของกระบวนการบริหารงานในการปฏิบัติตามนโยบาย กลยุทธ์เพื่อสร้างศักยภาพ คุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนอย่างรู้คุณค่าให้กับองค์กรควบคู่กันไปกับหลักการกำกับดูแลกิจการที่ดีที่แยกกันไม่ได้ ในกระบวนการบริหารความเสี่ยงตามองค์ประกอบของการจัดการตั้งแต่การวางแผน การจัดองค์กร การจัดพนักงาน การดำเนินการและการควบคุม
เทคโนโลยีสารสนเทศสร้างความเสี่ยงใหม่ๆ การสูญเสียโอกาสที่มีผลต่อประสิทธิภาพ ประสิทธิผลในการดำเนินการ การปฏิบัติตามนโยบาย กฎหมาย ระเบียบ ประกาศ คำสั่ง ฯลฯ รวมทั้งผลกระทบต่อความน่าเชื่อถือและความถูกต้องของการตรวจสอบและการจัดทำรายงาน ซึ่งเป็นหัวใจของการบริหารและการควบคุมภายในอย่างคาดไม่ถึงในการบริหารงานระดับต่างๆ ขององค์กร ดังนั้นการผสมผสานความสามารถด้านต่างๆ ขององค์กรกับศักยภาพของระบบงานและการจัดการเทคโนโลยีสารสนเทศที่ดี จึงเป็นทั้งหน้าที่ความรับผิดชอบที่ไม่อาจหลีกเลี่ยงได้ของคณะกรรมการและผู้บริหารระดับสูงของทุกองค์กรในปัจจุบัน

IT Governance ทำให้เกิดการบริหารและการบูรณาการที่เป็นระบบ มีระเบียบ เป็นขั้นตอน ลดความซ้ำซ้อน ลดความเสี่ยง เพิ่มศักยภาพโดยทำงานข้ามสายงานได้ และประสานงานระหว่างองค์กรได้อย่างรวดเร็ว ทันเวลา มีประสิทธิภาพสอดประสานกับ การดำเนินงานระดับต่างๆ จากการใช้ความสามารถและศักยภาพของเทคโนโลยีสารสนเทศ และทรัพยากรต่างๆ เพื่อการผลักดันความสำเร็จ ของการจัดการทั่วทั้งองค์กรอย่างเป็นกระบวนการ

ดังนั้น สคร. และกระทรวงการคลังจึงขับเคลื่อนกระบวนการบริหาร IT Governance ซึ่งเป็นกลไกหนึ่งของการขับเคลื่อน Corporate Governance ควบคู่กันไปกับการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยง ซึ่งเป็นองค์ประกอบที่สำคัญในการสร้างคุณค่าเพิ่มและการเติบโตอย่างยั่งยืนในทุกองค์กร

ผมจึงขอนำเสนอหลักการและหลักเกณฑ์การประเมินคุณภาพการบริหารและการจัดการ การบริหารความเสี่ยง รวมทั้งการบริหารการจัดการสารสนเทศ ในบางส่วนของ สคร. โดยกระทรวงการคลังที่ได้กำหนดขึ้น และนำมาใช้ในการประเมินผลการบริหารการจัดการองค์กรของรัฐวิสาหกิจมา 4 ปีแล้ว

ITG & Value Creation

ITG & Value Creation

หลักเกณฑ์การประเมินการบริหารความเสี่ยงที่รวมการประเมินการบริหารการจัดการ IT Governance ของ สคร. แบ่งผลประเมินออกเป็น 5 ระดับ ได้แก่

ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงใน เชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น ระบุความเสี่ยงจากต้นเหตุเป็นส่วนใหญ่ แต่ยังมีกระบวนการบริหารความเสี่ยงแยกเป็นส่วนๆ รัฐวิสาหกิจมีการจัดทำคู่มือการบริหารความเสี่ยงแล้วแต่ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงด้อยกว่าแผนฯ และไม่ต่างจากอดีต ที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 3 การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีการบริหารความเสี่ยงแบบบูรณาการ รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 3 และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนฯ แต่ดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 4 การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 3 ซึ่งกลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 4 และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนฯ และดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 5 การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 4 และมีกระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 5

รายละเอียดที่เกี่ยวข้องกับแนวทางการประเมินดังกล่าว จะได้นำมาเผยแพร่ต่อไปครับ

 

ดุลยภาพการบริหารความเสี่ยงกับการตัดสินใจ

คอลัมน์นี้ไม่ได้ update ค่อนข้างนานพอสมควรครับ วันนี้จะมาพูดต่อเรื่องดุลยภาพการบริหารความเสี่ยงกับการตัดสินใจในแง่มุมของความมั่นคงบางมุมมอง ซึ่งจะนำอาวุธสุดแสบของ US มาเพิ่มเติมให้ท่านเห็นประกอบดังนี้

Excalibur

Excalibur

Metal Storm

Metal Storm

เรื่องดุลยภาพของการบริหารความเสี่ยงกับการตัดสินใจในการลงทุน ไม่ว่าจะเพื่อความมั่นคงทางด้านการทหาร หรือความมั่นคงที่เกี่ยวข้องกับ IT Security ที่มีผลต่อวัตถุประสงค์ของการบริหารความเสี่ยงระดับองค์กร ที่เกี่ยวข้องกับ COSO – ERM ที่มีวัตถุประสงค์หลัก ๆ ของการบริหารความเสี่ยงและการควบคุมก็คือ Strategic Risk – S, Operational Risk – O, Financial / Reporting Risk – F, Compliance Risk – C ที่มีความสำคัญอย่างยิ่งยวดต่อกระบวนการบริหารระดับต่าง ๆ ที่ต้องการ Data & Information ที่ถูกต้องและน่าเชื่อถือได้ตามหลักการของ COBIT 7 ประการนั้น สำคัญอย่างยิ่งยวดต่อความมั่นคงและเจริญเติบโตอย่างยั่งยืนตามหลัก CG ในทุกรูปแบบ

ในเรื่องเกี่ยวข้องกับความมั่นคงทางทหาร การตัดสินใจอย่างรวดเร็วโดยมีกลยุทธ์และยุทธวิธีการรบ ที่ผสมผสานกับอาวุธที่เพียบพร้อมกับยุคอิเล็กทรอนิกส์ เป็นเรื่องที่มีความสำคัญยิ่ง ซึ่งรายละเอียดผมคงไม่กล่าวถึง แต่จะขอกล่าวเพียงว่า หากเราเข้าใจการใช้ยุทโธปกรณ์ที่ทันสมัยแตกต่างกัน ก็จะมีผลต่อการรบอย่างสำคัญ เช่น การใช้เครื่องบินที่เป็นรูปแบบของ Fighter ไปเป็น Bomber ก็จะเป็นความผิดพลาดที่มีผลต่อความเสียหาย ซึ่งอาจพ่ายแพ้ต่อการรบและการสงครามได้ในที่สุดนั้น จะเกี่ยวข้องกับดุลยภาพกับการบริหารความเสี่ยงและการตัดสินใจเป็นสำคัญ

 

บทเรียนการทุจริตครั้งสำคัญของธนาคาร Society Generale กับกรณีการทุจริตของ ธอส. และกระบวนการบริหาร รวมทั้ง Audit Risk

ถึงแม้กรณีการทุจริตประมาณ 400 ล้านของ ธอส. ยังไม่คลี่คลาย เนื่องจากอยู่ระหว่างการรวบรวมข้อเท็จจริงของกระทรวงการคลัง และ ธนาคารแห่งประเทศไทย ผู้กำกับธนาคารของรัฐแห่งนี้ ผมจึงคิดว่า กรณีการทุจริตของธนาคาร Society Generale – SG กับการเปิดเผย รวมทั้งการให้ข้อสังเกตของหน่วยงานกำกับหลายแห่ง รวมถึง FSA ของประเทศอังกฤษในเรื่องนี้ ในเวลาต่อมานั้น น่าจะพิจารณาว่าเป็นประโยชน์อย่างยิ่งในวงการควบคุม กระบวนการบริหารความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง รวมถึงการประเมินตนเองเพื่อการควบคุมและการบริหารความเสี่ยง ซึ่งเรียกย่อ ๆ ว่า CSA ในรูปแบบต่าง ๆ ที่ผมจะเผยแพร่ในโอกาสต่อ ๆ ไป

Fraud from Operational Risk & Poor Mgmt.

Fraud from Operational Risk & Poor Mgmt.

ข้อแนะนำของ FSA รวมทั้งข้อสังเกตที่มีประโยชน์อย่างยิ่งในทุกวงการ โดยเฉพาะสถาบันการเงินที่ไม่จำกัดอยู่เพียงความสูญเสียทางการค้าเงิน จากจุดอ่อนของกระบวนการบริหารและควบคุมภายในของ SG ยังได้รับความสนใจที่ค่อนข้างจำกัดอย่างน่าเสียดาย ผมจึงค่อนข้างจะเน้นและย้ำมากว่า หากองค์กรของท่านมุ่งมั่นที่จะบริหารความเสี่ยงอย่างเป็นเลิศ และเป็นกระบวนการที่ดีตามหลัก CG และ ITG รวมถึง GRC ซึ่งเป็น Statement ใหม่นั้น ขอให้ท่านผู้บริหารขององค์กรต่าง ๆ ได้โปรดสนใจที่จะประยุกต์ นำข้อสังเกตของ FSA มาใช้ในทางปฏิบัติให้ได้ผลอย่างจริงจัง

วันนี้ ผมจึงขอนำเสนอข้อสังเกตของ FSA ต่อ และจะตามมาด้วยการวิเคราะห์การบริหารความเสี่ยงของธนาคารของรัฐบางแห่งในโอกาสต่อไป

Off-market rates
9. สง. มีระบบควบคุมเพื่อดูแลการทำธุรกรรม Off market rates ของ Trader หรือไม่ และมีการนับแต้ม (Yellow flag) หรือติดตามผลของการกระทำดังกล่าวหรือไม่
9.1 การทำธุรกรรม Off market rate เป็นสิ่งที่สง.ควรให้ความสำคัญเนื่องจากเป็นช่องทางที่ Trader ใช้ในการตกแต่งกำไรขาดทุน และกลับกำไรขาดทุนเป็นทิศทางที่ตรงข้ามได้
9.2 สง. ควรมั่นใจว่ามีระบบการควบคุมเพื่อตรวจสอบธุรกรรมที่ทำ Off-market rate เพราะเป็นกลไกที่สำคัญมากในการป้องกันการทุจริตของ Trader

P&L attribution
10. สง. มั่นใจได้อย่างไรว่า มีความเข้าใจผลกำไรขาดทุนทั้งหมดของธนาคารว่ามาจากธุรกรรมใด รวมถึงกำไรขาดทุนที่เกิดจากธุรกรรมซับซ้อน
11. สง. เข้าใจหรือไม่ว่ากำไรขาดทุนจำนวนสูงที่เกิดขึ้นในวันแรกของการทำธุรกรรมมาจากไหนและสมเหตุสมผลหรือไม่
11.1 กำไรขาดทุนทำให้สง.เข้าใจความเสี่ยงในการทำธุรกรรมเพราะกำไรขาดทุนเป็นผลจากการรับความเสี่ยง ดังนั้นการทำความเข้าใจว่ากำไรขาดทุนมาจากส่วนใดเป็นสิ่งสำคัญสำหรับสง. โดยเฉพาะการทำธุรกรรมที่มีความซับซ้อนมากๆ
11.2 สง. ควรพิจารณา กำไรขาดทุนจำนวนสูงที่เกิดขึ้นในวันแรกของการทำธุรกรรม และ กำไรขาดทุนจำนวนสูง ที่เกิดจากการยกเลิกหรือแก้ไขธุรกรรมว่ามีเหตุผลเพียงพอควรทำการวิเคราะห์หาสาเหตุหรือไม่

Reconciliations
12. สง. มั่นใจได้อย่างไรว่ามีการวางระบบการกระทบยอดที่เหมาะสมและสามารถนำไปใช้งานได้อย่างมีประสิทธิภาพ
12.1 การกระทบยอดเป็นการควบคุมที่จำเป็นเพื่อให้มั่นใจได้ว่าฐานะด้าน ต่างๆ ถูกต้องตรงกันในทุกระบบของ สง. เช่น การกระทบยอดระหว่าง Front office , Back office และ Risk Management รวมถึงการยืนยันยอดกับ Custodians / Nostro account / ตลาดหลักทรัพย์ และ Broker สง. ควรมีการออกแบบกระบวนการในการสอบยันเพื่อป้องกันไม่ให้มีช่องว่างหรือจุดบกพร่องที่มีนัยสำคัญ และระบบที่ดีควรระบุถึงสาเหตุที่มีการกระทบยอดไม่ตรงกันว่ามาจากที่ใดเพื่อให้ทำการตรวจสอบและปรับปรุงแก้ไขให้ถูกต้อง
12.2 ควรกำหนดระยะเวลาที่ส่วนงานไม่สามารถหาสาเหตุของการกระทบยอดที่ไม่ตรงกันเป็นตัวชี้วัดผลการปฏิบัติงาน เพื่อส่งเสริมให้มีการควบคุมการกระทบยอดให้มีความถูกต้องรัดกุม

Confirmations
13. สง. มีการวางขั้นตอนระบบการยืนยันยอด (Confirmation) และระบบควบคุมเพื่อลดความเสี่ยงที่เกิดจากรายการที่ไม่มีการยืนยัน (Unconfirmed trade) อย่างไร
14. สง. มั่นใจได้อย่างไรว่าข้อมูลผู้บริหารมีรายละเอียดเพียงพอที่จะระบุถึงความเสี่ยงที่เกิดจาก Outstanding confirmation
14.1 การทำธุรกรรมระหว่าง สง. กับคู่ค้าควรมีการยืนยันเพื่อให้มั่นใจว่า Position ที่บันทึกในระบบของ สง. ถูกต้อง รวมถึงธุรกรรมระหว่างหน่วยงานภายในสง. ด้วย อย่างไรก็ดี สง.ควรมีระบบสืบค้น (Track) และวิเคราะห์รายการ Outstanding confirmation พร้อมทั้งกำหนดขั้นตอนการนำเสนอถึงผู้บริหารระดับสูงหากหน่วยงานที่เกี่ยวข้องไม่สามารถปฏิบัติได้ตาม Service level agreement
14.2 สง. ควรกำหนดให้มี Confirmation ระหว่าง Back office ของ สง. กับ Back office ของคู่ค้าโดยตรง (ไม่ควรผ่าน Front office)
14.3 หาก สง. อยู่ระหว่างขั้นตอนรอเอกสาร Confirmation ฉบับสมบูรณ์ อาจใช้ขั้นตอนการยืนยันเบื้องต้นด้วยวาจาซึ่งถือเป็นเครื่องมือที่มีประโยชน์เช่นกัน เช่นการยืนยันผ่านทางโทรศัพท์ระหว่างฝ่ายงานปฏิบัติการ
14.4 สง. ควรให้ความสนใจกับ Confirmation สำหรับธุรกรรม OTC ซึ่งที่มีลักษณะเฉพาะที่อาจจะก่อให้เกิดความเสี่ยงเพิ่มขึ้นกว่าธุรกรรมปกติ เช่น ธุรกรรมที่ไม่มีการกำหนดให้ส่งมอบหลักประกัน หรือเรียก Margin ระหว่างกันก่อนครบกำหนดสัญญา เป็นต้น

Margining collateralization and cash management
15. สง. มั่นใจได้อย่างไรว่าขั้นตอนการเรียกหรือวาง Margin นำมาใช้ปฏิบัติได้อย่างเหมาะสม และการเปลี่ยนแปลง Margin แต่ละครั้งมีการสอบยันกับฐานะที่เกี่ยวข้องในการบันทึกบัญชี
15.1 ธุรกรรมที่มียอดคงค้างจำนวนสูงจะมีการเรียกหรือวาง Margin หรือหลักประกันที่สูงขึ้นเช่นกัน ดังนั้น สง. ควรมีระบบการสอบยันการเรียกหรือวาง Margin หรือหลักประกันเพื่อให้มั่นใจได้ว่าการเรียกหรือวาง Margin และสัมพันธ์กับ Position ในบัญชี ถูกต้องตรงกัน
15.2 สง. ควรมีการวิเคราะห์ที่มาของ Gross และ Net cash-flow และเข้าใจว่ารายการดังกล่าวอยู่ในส่วนใดของข้อบังคับ ฐานะและ รายงานกำไรขาดทุน เช่น ถ้ามี Net cash- flow เกิดขึ้นต้องดูว่า Net cash-flow นั้นถูก Offset โดยรายการใด เช่น Unrealized gain/loss ที่เป็น Unmargined/Uncollaterized gain/loss จากรายการใด

Segregation of duties and IT security
16. สง. มั่นใจได้อย่างไรว่ามีระบบ Access control ที่เหมาะสม และมาตรการรักษาความปลอดภัยที่ดี
17. สง.มีการแยกอำนาจหน้าที่เพื่อไม่ให้ User ที่มีเจตนาทุจริตทำความเสียหายแก่ สง.หรือไม่
17.1 สง.ควรพิจารณาว่ามีการดำเนินการด้าน IT security และ Access control อย่างเหมาะสมหรือไม่ เพื่อให้ User สามารถเข้าระบบเฉพาะที่เกี่ยวข้องกับงานตนเอง เช่น การแบ่งหน้าที่ของผู้จัดทำและผู้สอบทาน (Maker-checker) หรือ สามารถเข้าระบบที่ทำธุรกรรมเฉพาะที่ตนได้รับมอบอำนาจเท่านั้น สง.ควรพิจารณาทบทวนสิทธิในการเข้าระบบงานของพนักงานเป็นระยะๆ นอกจากนี้ควรให้ความสนใจกับขั้นตอนที่อาจเกิดความเสี่ยงจากการโอนย้ายหน้าที่ของพนักงานใน 3 หน่วยงานคือ Front office, Middle office และ Back office
17.2 ประเด็นที่ควรระวังเบื้องต้นคือ การใช้ Password ร่วมกันในการเข้าระบบ การใช้ Password ที่ง่ายต่อการเดา การควบคุมที่ทำได้ง่ายคือการให้ User เปลี่ยน Password เป็นระยะๆ และการสั่งระบบให้ Lock การเข้าระบบหากมีการใส่ Password ผิดกี่ครั้ง นอกจากนี้ควรมีการตรวจสอบได้ว่ามีการเข้าระบบนั้นๆ โดยส่วนงานใด เช่น เครื่องคอมพิวเตอร์ของ Front office เข้าระบบงานของ Back office สง. ควรส่งเสริมวัฒนธรรมการเก็บรักษา Password ของตนเองโดยไม่ให้มีการใช้ Password ร่วมกัน

Good Corporate Governance & Internal Audit

Good Corporate Governance & Internal Audit

ผมใคร่ขอเรียนย้ำต่อคณะกรรมการและท่านผู้บริหารของทุกองค์กร โดยเฉพาะอย่างยิ่งสถาบันการเงินอีกครั้งว่า ท่านทราบหรือยังครับว่า องค์กรของท่านมีจุดอ่อนในกระบวนการบริหาร การควบคุมความเสี่ยง และการตรวจสอบตามฐานความเสี่ยงที่ยังไม่ทำ Gap Analysis เพื่อการบริหารการจัดการที่ดี ตามหลัก COSO – ERM ระหว่างข้อสังเกตของ FSA ข้างต้น ในส่วนที่ประยุกต์ได้กับแนวทางการบริหารการจัดการขององค์กรของท่านที่เป็นอยู่ในปัจจุบัน หรือ ท่านแน่ใจอย่างสมเหตุสมผลอย่างไรว่า องค์กรของท่านมีกระบวนการควบคุมความเสี่ยงต่าง ๆ ตามนัยของข้อสังเกต FSA ซึ่งอยู่ในระดับที่ยอมรับได้แล้ว คือมีการกำหนด Risk Appetite และ Risk Tolerance โดยผ่านคณะกรรมการเรียบร้อยแล้ว และมีการปฏิบัติ และรายงานอย่างสม่ำเสมออยู่จริง

 

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

สวัสดีครับ ผมดีใจจังเลยที่วันนี้อินเตอร์เน็ตที่ผมใช้งานอยู่มันกลับมาเป็นปกติเหมือนเดิมแล้ว หลังจากที่ใช้ได้บ้าง ใช้ไม่ได้บ้างมาหลายสัปดาห์ เลยทำให้ที่ผ่านมา ผม update ข้อมูลได้ไม่ง่ายเลยครับ ก็ต้องขออภัยสำหรับผู้ที่สนใจติดตามเนื้อหาสาระใน article ต่าง ๆ ของ itgthailand แห่งนี้ด้วยครับ

สำหรับวันนี้ ผมจะกล่าวถึงขั้นตอนต่าง ๆ ของกระบวนการบริหารความเสี่ยงที่สามารถนำไปปฏิบัติงานได้จริง โดยจะอธิบายพร้อมกับแสดงแผนผัง/แผนภาพในแต่ละขั้นตอน เพื่อให้เข้าใจได้ง่ายขึ้น

เมื่อพูดถึงกระบวนการบริหารความเสี่ยง ซึ่งเป็นกระบวนการต่อเนื่อง มิใช่กระบวนการที่ทำเพียงครั้งเดียว เนื่องจากสภาพแวดล้อมขององค์กรมีการเปลี่ยนแปลงตลอดเวลา ผู้บริหารทั้งหลายจึงควรมั่นใจว่ามีการสอบทานความเสี่ยงต่าง ๆ อย่างสม่ำเสมอ และมีการควบคุมและจัดการความเสี่ยงที่เหมาะสม

กระบวนการบริหารความเสี่ยงประกอบด้วย 5 ขั้นตอนดังต่อไปนี้
1. การกำหนดวัตถุประสงค์ที่สอดคล้องกับกลยุทธ์/ยุทธศาสตร์ขององค์กร
2. การบ่งชี้และเข้าใจความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อการบรรลุวัตถุประสงค์ที่กำหนดไว้ขององค์กร

ขั้นตอนของการระบุปัจจัยเสี่ยงของหน่วยงาน (Risk Identification)
ขั้นตอนที่ 1 ระบุภารกิจอย่างเป็นทางการ (Mission Statement)
ซึ่งประกอบด้วยองค์ประกอบต่าง ๆ ดังนี้
– ชื่อหน่วยงาน
– คำบรรยายถึงภารกิจของหน่วยงาน
– ความจำเป็นของภารกิจต่อเป้าหมายขององค์กร
– ความสัมพันธ์ของวัตถุประสงค์ของภารกิจของหน่วยงานต่อเป้าหมายขององค์กร
– อื่น ๆ

ขั้นตอนที่ 2 ระบุโครงสร้างงาน (Working Structure)
การระบุโครงสร้างงานจะเขียนในรูปแบบของ Organization Chart ตามลักษณะของส่วนงานที่จำแนกไว้ภายในหน่วยงานนั้น ๆ ก็ได้ เช่น

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน (Work Breakdown Structure-WBS)
เป็นการระบุหน้าที่ที่จะต้องปฏิบัติ เพื่อให้ภารกิจของแต่ละส่วนงานบรรลุจุดมุ่งหมาย

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงานแต่ละหน้าที่
เป็นการระบุกิจกรรมย่อยของแต่ละหน้าที่ที่ต้องปฏิบัติเพื่อบรรลุวัตถุประสงค์

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยงหรืออันตรายต่าง ๆ ที่อาจเกิดขึ้นในกิจกรรม

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

3. ประเมินความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อวัตถุประสงค์ที่กำหนดไว้ การประเมินความเสี่ยงโดยพิจารณาถึงผลกระทบและโอกาสเกิดความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง(Risk Assessment)….ระดับโอกาสของผลกระทบจากความเสี่ยง
ขั้นตอนที่ 1 การพิจารณา ปัจจัยเสี่ยงรอบด้าน เพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 2 การพิจารณาปัจจัยรอบด้านเพื่อ ประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 3 วิธีการประเมินระดับของปัจจัยเสี่ยง
คือการนำผลการประเมินทั้งระดับโอกาสที่จะเกิดความเสี่ยง (Probability of Occurrence) และความรุนแรงของผลกระทบที่อาจเกิดจากปัจจัยเสี่ยง (Severity of impact) พิจารณาร่วมกันเพื่อประเมินระดับของปัจจัยว่าอยู่ในระดับสูง กลาง หรือต่ำ โดยมีวิธีการประเมินตามรายละเอียดในตาราง

ตารางการประเมินระดับของปัจจัยเสี่ยง

ตารางการประเมินระดับของปัจจัยเสี่ยง

การประเมินหรือวัดระดับการบริหารความเสี่ยง อาจจัดเป็น 5 ระดับ แทน 3 ระดับ ดังแสดงตามรูปได้ดังนี้

Level of Risk

Level of Risk

ขั้นตอนที่ 4 วิธีการจัดกลุ่มและจัดลำดับปัจจัยเสี่ยงของหน่วยงาน
คือการนำผลการประเมินในขั้นตอนที่ 3 มาจำแนกออกเป็นกลุ่ม และจัดลำดับปัจจัยเสี่ยงในแต่ละกลุ่ม โดยพิจารณาถึงความสัมพันธ์และความเสียหายที่อาจเป็นอุปสรรคต่อการปฏิบัติซึ่งเป็นหลักเกณฑ์สำคัญ ในการบริหารความเสี่ยงและสร้างความเติบโตอย่างยั่งยืนขององค์กร เพื่อเรียงลำดับความสำคัญของปัจจัยเสี่ยงจากสูงไปต่ำของหน่วยงานและองค์กร
– วิสัยทัศน์
– ภารกิจ
– ค่านิยมร่วม
– วัตถุประสงค์
– นโยบาย
– กลยุทธ์
– เป้าหมาย
– แผนงาน
– โครงการ
– การปฏิบัติงาน
– การวัดผลการปฏิบัติ
– การสอบทาน/การกำกับดูแล
– การปรับปรุง/พัฒนา

จากนั้นจัดลำดับของปัจจัยเสี่ยงในแต่ละกลุ่มแล้ว อาจบันทึกลงในตารางด้านล่าง เพื่อความสะดวกในการตรวจสอบหรือพิจารณาจัดลำดับใหม่ ก่อนบันทึกลงในแบบฟอร์มที่ใช้เป็นเอกสารหลัก ที่ต้องใช้รายงานอย่างเป็นทางการต่อไป

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม


4. กำหนดการจัดการความเสี่ยงที่ปฏิบัติอยู่ในปัจจุบัน โดยต้องทำการพิจารณาถึงการควบคุมเพิ่มเติม รวมทั้งความสัมพันธ์ของต้นทุนและผลประโยชน์ที่เกิดขึ้น
5. การติดตามผลและการรายงานความมีประสิทธิผลของกระบวนการและระบบการบริหารความเสี่ยง

 

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale (ต่อ)

ดีใจได้เดี๋ยวเดียวเองครับ กับอินเตอร์เน็ตที่คิดว่าใช้งานได้ดีแล้ว คิดว่าวันนี้จะ update หัวข้อต่าง ๆ ที่ยังค้างคา อย่างกรณีเรื่องเล่าของ FSA ที่ยังค้างไว้เมื่อครั้งที่แล้ว และยังเรื่องของการบริหารความเสี่ยง หรือเรื่องของ CG อีก สุดท้ายก็ยังใช้งานได้ติด ๆ ขัด ๆ อยู่ดี แต่ผมตั้งใจไว้แล้วว่าวันนี้จะ update ให้ได้ ผมก็จะพยายามจนสุดความสามารถละกันนะครับ

จากกรณีศึกษา เรื่อง FSA – Financial Services Authority สอบสวนถึงกรณีการทุจริตของธนาคาร Societe Generale (SG) ซึ่งจะมีประโยชน์อย่างยิ่งต่อสถาบันการเงินทุกแห่ง รวมทั้งองค์กรที่ไม่ได้เป็นสถาบันการเงินด้วย ทั้งนี้เพราะข้อสังเกตของ FSA ซึ่งเป็นหน่วยงานกำกับของประเทศอังกฤษ ได้ร่วมกับหน่วยงานกำกับอื่น ๆ ในการศึกษาเพื่อป้องกันปัญหาการทุจริตในสถาบันการเงินต่อไปในอนาคตนั้น จะมีประโยชน์ในเชิงป้องกันปัญหาการทุจริตในวงการบริหารเงิน การกำกับสถาบันการเงินที่ไม่จำเป็นจะต้องเป็นผู้ค้าเงินด้วยก็ตาม

คำถามซึ่งผสมผสานไปด้วยข้อคิด และข้อสังเกตไปในตัวในแต่ละข้อนั้น มีลักษณะให้ผู้บริหารขององค์กรต้องตอบอย่างมั่นใจว่า องค์กรของตนได้มีการปฏิบัติที่เหมาะสมเกี่ยวกับการควบคุมความเสี่ยงต่าง ๆ ที่เกี่ยวข้องหรือไม่ ผมได้แนะนำให้สถาบันการเงินบางแห่งและองค์กรที่ไม่ใช่เป็นสถาบันการเงิน ได้นำข้อสังเกตกึ่งข้อแนะนำของ FSA นี้ไปใช้ในการทบทวนการป้องกันความเสี่ยงในแง่มุมต่าง ๆ ขององค์กรในเชิงรุก

ท่านผู้บริหารและผู้ตรวจสอบที่สนใจในเรื่องนี้ บางหน่วยงานให้ข้อสังเกตในลักษณะว่าเป็นเรื่องที่เกี่ยวข้องกับการค้าเงินของสถาบันการเงิน ซึ่งอาจไม่ตรงกับการดำเนินงานขององค์กรของตนมากนัก เรื่องนี้ผมใคร่ขอเรียนย้ำว่า ขอให้ท่านผู้บริหารได้โปรดศึกษาในเนื้อหาและสาเหตุของการทุจริตอย่างละเอียด และนำหลักการของ COSO – ERM มาประยุกต์ใช้และเปรียบเทียบ โดยใช้ดุลยพินิจและนำมาประยุกต์กับหน่วยงานของท่าน โดยการตั้งคำถามในเรื่องที่เกี่ยวข้องเช่นเดียวกับที่ FSA ได้ตั้งคำถามและนำคำตอบหลากหลายนั้น มาตั้งคำถามเพิ่มเติมเพื่อให้ได้คำตอบในแง่มุมที่เกี่ยวข้อง และตั้งคำถามจากคำตอบหลังสุดนั้นไปเรื่อย ๆ อย่างเป็นกระบวนการตามหลักการของ COSO – ERM ผสมผสานกับหลักการของ COBIT ภายใต้ร่มของ IT Governance ท่านผู้บริหารก็จะได้ภาพที่น่าสนใจอย่างยิ่ง ที่สามารถนำมาสร้างเป็นหลักการในการควบคุมความเสี่ยง รวมทั้งออกนโยบายที่เกี่ยวข้องได้อย่างเหมาะสมต่อไป

ความเสี่ยงในการตรวจสอบ (Audit Risk) ประการหนึ่งที่สำคัญอย่างยิ่ง ก็คือ ผู้ตรวจสอบไม่ได้ตรวจสอบหรือแม้แต่วางแผนการตรวจสอบ ประเด็นที่อาจปรับปรุงกระบวนการบริหารงานของผู้บริหารในองค์กรอย่างเป็นกระบวนการที่แท้จริง เช่น การมอบอำนาจให้กับผู้ที่เกี่ยวข้อง ซึ่งควรจะมีการควบคุมอย่างใกล้ชิดเพื่อรักษาดุลยภาพและความเหมาะสมในการให้อำนาจกับบุคคลนั้น ๆ โดยมี Dual Control ที่ได้ดุลยภาพผสมผสานกับการใช้เทคโนโลยีเข้าช่วยในการควบคุมและรายงานสิ่งผิดปกติ ที่อาจจะเกิดขึ้นได้ ซึ่งเรื่องนี้อาจเปรียบเทียบได้กับกรณีของ ธอส. ซึ่งกระทรวงการคลังกำลังขอให้ผู้บริหารของ ธอส. ชี้แจงในเรื่องนี้ ซึ่งมีแง่มุมที่น่าสนใจที่อาจนำมาแลกเปลี่ยนความคิดเห็นในโอกาสต่อไป

วันนี้ ผมจึงขอนำข้อสังเกตจากกรณีศึกษาของ FSA กรณีการทุจริตของ Societe Generale (SG) มาเล่าต่อจากวันก่อน เพื่อให้ท่านที่สนใจได้ช่วยกันวิเคราะห์ และจะมีประโยชน์อย่างยิ่ง หากผู้บริหารของสถาบันการเงินและองค์กรที่เกี่ยวข้องกับการบริหารเงินจะได้สนใจ และประเมินศักยภาพของผู้บริหารและผู้ตรวจสอบภายในในองค์กรของท่านต่อไป

Control functions: culture and challenge
3. สง. มั่นใจได้อย่างไรว่าหน่วยงานที่ทำหน้าที่ควบคุมมีความรู้และทักษะเพียงพอ เพื่อสามารถติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพ
4. สง. มั่นใจได้อย่างไรว่าระบบการสอบทานและควบคุม ทำงานได้อย่างมีประสิทธิภาพตามที่คาดหวัง
4.1 สง. ควรมีการพิจารณาอย่างสม่ำเสมอว่าบุคลากรทุกคนที่ทำหน้าที่เกี่ยวข้องกับการควบคุม ( Control function ) มีความรู้ความสามารถและมีอำนาจในการติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพเมื่อมีการทำธุรกรรมที่เกิน Limit หรือเมื่อเกิดเหตุการณ์ที่น่าสงสัยขึ้น
4.2 Middle office และ Back office มีความเข้าใจหรือไม่ว่าเมื่อใดควรใช้ บัญชีพัก (Suspense account) ในการบันทึกรายการ ทั้งนี้เพื่อป้องกันการใช้ บัญชีพัก ผิดวัตถุประสงค์ของ Trader (อาจใช้ บัญชีพัก เพื่อซ่อนรายการทุจริต) นอกจากนี้ หากมีธุรกรรมต้องสงสัย สง. มีขั้นตอนการนำเสนอรายงานตามลำดับชั้นถึงผู้บริหารเพื่อการตัดสินใจหรือไม่
4.3 เพื่อความมีประสิทธิภาพของการปฏิบัติงาน สง.ควรมีการคัดเลือกและรักษาพนักงานที่มีคุณภาพ รวมถึงมีการฝึกอบรมพนักงานอย่างสม่ำเสมอ

Risk management and limit
5. สง. มั่นใจได้อย่างไรว่ามีการตรวจสอบความเสี่ยงทุกประเภทที่มีนัยสำคัญได้อย่างถูกต้องครบถ้วน เช่น Exotic risk, Basic risk เป็นต้น
6. สง. มั่นใจได้อย่างไรว่า Limit ที่มีครอบคลุมความเสี่ยงทุกประเภทอย่างเหมาะสม และมีการติดตามความเสี่ยงทั้งหมดเป็นประจำอย่างสม่ำเสมอ
6.1 สง. ควรมีเครื่องมือที่สามารถตรวจสอบ Position ของ Trader โดยเปรียบเทียบกับอำนาจการทำธุรกรรมและ Limit ที่ Trader ได้รับ นอกจากนี้ควรเทียบ Position ของ Trader ว่ามีสัดส่วนเท่าใดของ Position ทั้ง Desk เพื่อทราบว่าธุรกรรมของ Trader รายนั้นต้องติดตามดูแลเป็นพิเศษหรือไม่
6.2 สง. ควรต้องติดตามดูแลความเสี่ยงที่อาจตรวจวัดได้ยาก เช่น Exotic and Higher order risk, Basic risk และ Liquidity risk ซึ่งในกรณีนี้ สง.ควรใช้เครื่องมือที่มีประโยชน์ เช่น Gross notional limit หรือ Gross sensitivity limits เพื่อควบคุมความเสี่ยงดังกล่าว

Management information
7. ตัวชี้วัดผลการปฏิบัติงานที่ใช้เป็นข้อมูลในการบริหารมีความละเอียดและเหมาะสมเพียงพอหรือไม่
8. สง. มีการรวบรวมข้อมูลจากทุกหน่วยงานที่เกี่ยวข้องเพื่อให้แน่ใจได้ว่าการปฏิบัติที่ไม่ถูกต้องและหรือธุรกรรมต้องสงสัยถูกตรวจจับ
8.1 หาก Trader สามารถทำธุรกรรมได้หลากหลายผลิตภัณฑ์ในหลายตลาด อาจถูกติดตามดูแลโดย Middle office ต่างทีมกัน จึงควรรวบรวมข้อมูลจาก Middle office ทุกทีมเพื่อใช้ติดตามผลการปฏิบัติงานของ Trader แต่ละราย นอกจากนี้ควรมีขั้นตอนการนำเสนอและการรวบรวมตัวชี้วัดจากหน่วยงานที่เกี่ยวข้องทั้งหมดเพื่อให้ผู้บริหารในห้องค้าและหน่วยงานที่ทำหน้าที่ควบคุมใช้ประเมินผลการปฏิบัติงาน Trader ได้อย่างครบถ้วนเหมาะสม
8.2 ตัวอย่างเช่น สง.มีการกำหนดว่า Trader ทำผิดกี่ครั้งจะได้รับ Yellow flag และกำหนดว่า Yellow flag กี่ครั้งจึงเท่ากับ Red flag เพื่อพิจารณาว่า Trader รายนั้นมีการทำผิดในเรื่องเดิมๆ หลายครั้งหรือไม่
8.3 สง. ควรให้ความสนใจกับข้อสังเกตของผู้ที่อยู่ภายนอกองค์กร เช่น การตั้งข้อสังเกตโดยตลาดหลักทรัพย์ว่าสง.มีการทำธุรกรรมซื้อขายในปริมาณที่ผิดปกติ สง. ควรมีการนำเสนอข้อมูลดังกล่าวร่วมกับข้อมูลต้องนำเสนอผู้บริหารด้วย เพื่อพิจารณาว่าควรตั้งเป็นข้อสังเกตและติดตามดูแลหรือไม่อย่างไร นอกจากนี้ประเด็นที่ถูกตั้งเป็นข้อสังเกตจากตลาดฯ ควรมีการสืบสวนหาข้อเท็จจริงโดยหน่วยงานที่เป็นอิสระจาก Trader หรือไม่

ยังครับ ยังไม่จบเท่านี้ ไว้คราวหน้าผมจะมาเล่าต่ออีกในกรณีศึกษา การทุจริตของธนาคาร Societe Generale (SG) ครับ

 

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale

หลังจากที่ผมได้หยุดพักผ่อนเนื่องในวันสงกรานต์หลายวัน และหลังจากนั้นก็มีกิจกรรมที่ทำให้ไม่สามารถ Update ข้อมูลได้ตามที่ตั้งใจไว้ ก็ต้องขออภัยด้วยนะครับ

พอดี ผมได้อ่านพบข่าวที่น่าสนใจในหนังสือพิมพ์เกี่ยวกับการทุจริต วงเงินประมาณ 400 ล้านบาท ของธนาคารอาคารสงเคราะห์ (ตามข่าว) ที่เกี่ยวข้องกับ Operational Risk ซึ่งประกอบไปด้วย People Risk + Process Risk + Technology Risk (PPT) ซึ่งเป็นความเสี่ยงที่มีน้ำหนักสูงสุดของความเสี่ยงในวงการสถาบันการเงิน และไม่ใช่สถาบันการเงิน ทำให้นึกถึงเหตุการณ์กรณีทุจริตของธนาคารยักษ์ใหญ่อันดับ 2 ของประเทศฝรั่งเศส ซึ่งเกิดการทุจริตเมื่อประมาณปีเศษ ๆ และมีความเสียหายสูงถึง ประมาณ 3 แสนล้านบาท

การบริหารความเสี่ยงเป็นการบริหารเชิงรุกที่จะต้องป้องกันปัญหาก่อนที่จะเกิดปัญหา โดยมองเหตุการณ์ที่อาจจะเกิดขึ้นในภายภาคหน้า ไม่ว่าจะเป็นปัจจัยภายในหรือปัจจัยภายนอก ตามหลักการของ COSO – ERM ที่เกี่ยวข้องกับการบริหารความเสี่ยงระดับองค์กร เพื่อบรรลุวัตถุประสงค์หลัก ๆ 4 ด้านด้วยกันก็คือ S – O – F – C
S = Strategic, O = Operational, F = Financial and Reproting, C = Compliance

ผมยังจะไม่วิจารณ์มุมมองที่เกี่ยวข้องกับการบริหารความเสี่ยงที่มีผลจาก Operational Risk ที่เกิดจาก PPT ของธนาคารอาคารสงเคราะห์ตามที่เป็นข่าวทั้งระบบ แต่จะให้ข้อสังเกตว่า กรณีการทุจริตของธนาคาร Societe Generale ซึ่งเกิดการทุจริตในการค้าเงินอันเกิดมาจาก Operational Risk เช่นกันนั้น เป็นเรื่องที่น่าศึกษาอย่างยิ่ง เพราะมีความเสียหายอย่างมหาศาลที่ผู้บริหารทุกระดับไม่อาจจะติดตาม ไม่อาจตรวจสอบ และรวมทั้ง ไม่อาจกำกับความเสี่ยงที่เกิดจาก PPT โดยเฉพาะอย่างยิ่งบุคลากรที่เกี่ยวข้องนั้น มีความเก่งทางด้าน IT เป็นเลิศ

ผมจึงขอให้ข้อสังเกตที่เป็นบทความของ FSA ที่เกี่ยวข้องกับการสอบสวนกรณีนี้ และถือว่าเป็น Lesson Learned ที่ดีมากในวงการสถาบันการเงิน และวงการ IT แต่เป็นที่น่าเสียดายอย่างยิ่ง เพราะเท่าที่ผมทราบ มีสถาบันการเงินจำนวนมากที่ไม่ได้นำ Lesson Learned กรณี Societe Generale มาใช้ในการประเมินตนเองในการบริหารความเสี่ยง ในลักษณะของ CSA – Control Self Assessment เพื่อหาทางป้องกันปัญหาที่อาจจะเกิดขึ้นได้ในทำนองเดียวกัน หรือคล้าย ๆ กัน

บทความที่รายงานโดย FSA บางส่วนที่น่าจะเป็นประโยชน์อย่างยิ่งต่อการทำ CSA หรือ QAR (Quality Assurance Review) เพื่อสร้างคุณค่าเพิ่มโดยเสียเงินน้อยที่สุด หรือแทบไม่ต้องเสียเงินเลยนั้น สรุปได้ดังนี้

วันที่ 24 มกราคม 2551 Societe Generale (SG) ได้ประกาศว่า เมื่อวันที่ 18 มกราคม 2551 SG ตรวจพบการมีฐานะด้านสินทรัพย์จากธุรกรรม Futures ประมาณ 50,000 ล้านดอลล่าร์สหรัฐ
ในตลาด European Stock Market Indices ถึงสามแห่ง ซึ่งธุรกรรมดังกล่าวทำโดย Trader เพียงคนเดียว และมีผลให้ SG ขาดทุนถึง 4,900 ล้านดอลล่าร์สหรัฐ ก่อนที่จะมีการปิดฐานะเหล่านั้น (Trader ได้ทำการทุจริตเป็นระยะเวลาต่อเนื่องยาวนาน โดยที่ระบบตรวจสอบควบคุมของทางธนาคารไม่สามารถตรวจพบได้)

หลังจากที่ SG ได้มีการประกาศการทุจริตและผลขาดทุนออกมา Financial Services Authority (FSA) ซึ่งเป็นผู้กำกับดูแล สง.ในประเทศอังกฤษ ได้ติดตามข่าวสารและติดต่อกับผู้กำกับดูแลในต่างประเทศอย่างใกล้ชิด เนื่องจาก FSA ตระหนักว่าควรมีการศึกษากรณีทุจริตดังกล่าวเพื่อป้องกันไม่ให้เกิดเหตุการณ์ที่เช่นนี้อีกในอนาคต

FSA ได้หารืออย่างไม่เป็นทางการกับ Trading Bank ขนาดใหญ่ประมาณ 40-50 แห่ง ว่ามีความเห็นอย่างไรกับกรณี SG พบว่าธนาคารส่วนใหญ่มีการหารือกันภายในเกี่ยวกับกรณีดังกล่าวเพื่อประเมินตนเอง และหลายแห่งได้ระบุถึง Gap ในการทำธุรกรรม และพยายามปิด Gap ดังกล่าวโดยเร็ว

หลังจาก FSA ศึกษากรณีการทุจริตของ SG อย่างใกล้ชิดและหารือกับธนาคารต่างๆ จึงได้จัดทำแนวทางเพื่อให้ธนาคารใช้เพื่อตรวจสอบระบบและการควบคุมต่างๆ ของตนเอง เพื่อป้องกันการทำทุจริตของ Trader ดังนี้

Front Office Culture and Governance
1. สง. มั่นใจได้อย่างไรว่าการกำหนดผลตอบแทน (Incentives) จากการทำธุรกรรมเหมาะสม และไม่ก่อให้เกิดการละเลยในเรื่องการกำกับดูแล และหลักธรรมาภิบาลในห้องค้า
1.1 สง. ควรพิจารณาถึงคุณภาพของข้อมูลที่ใช้ในการบริหารจัดการประจำวันและรายงานเกี่ยวกับการยกเว้นต่างๆ (Exception report) ซึ่งนำเสนอผู้บริหาร ว่าเป็นปัจจุบัน ทันต่อเหตุการณ์ และสอดคล้องกับการเปลี่ยนแปลงของธุรกิจหรือไม่ รวมถึงเหตุการณ์การทุจริตของ Trader
ด้วย นอกจากนี้ สง. ควรพิจารณากำหนดหน้าที่และการรับผิดชอบที่ชัดเจนในการจัดทำรายงาน รวมถึงการกำหนดผลตอบแทนที่เหมาะสมเพื่อส่งเสริมให้มีการกำกับและควบคุมที่ดีในห้องค้า
1.2 หาก Trader มีการยกเลิก หรือแก้ไขการซื้อขายบ่อยครั้งในระยะเวลาหนึ่งๆ สง. ควรให้ความสนใจติดตามเป็นพิเศษโดยผ่านรายงานประจำวันและระบุว่ารายการดังกล่าวเป็นของ Trader รายใด เพื่อให้ผู้บริหารในห้องค้าและผู้ที่ทำหน้าที่ในการควบคุมได้ติดตามดูแลอย่างใกล้ชิด
1.3 สง. ควรจะพิจารณาถึงวัฒนธรรมของห้องค้าว่าสามารถป้องกันการทุจริตของ Trader ได้หรือไม่ เช่น การลาหยุดประจำปีมีข้อบังคับให้ลาพักผ่อนติดต่อกัน 2 สัปดาห์ต่อปี Trader ปฏิบัติตามโดยเคร่งครัดหรือไม่ และในระหว่างที่ Trader หยุดพักผ่อนควรสังเกตว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ (ข้อบังคับเรื่องการลาหยุดพักผ่อนเป็นเครื่องมือที่ดีในการตรวจสอบ Trader ที่ทำการทุจริต)

Trading mandates and limits
2. สง. มั่นใจได้อย่างไรว่า การมอบอำนาจในการทำธุรกรรมมีความเหมาะสม มีการปรับให้เป็นปัจจุบัน และมีการติดตามดูแลอย่างใกล้ชิด
2.1 สง. ควรพิจารณาว่าอำนาจในการทำธุรกรรมของ Trader แต่ละรายมีความเหมาะสมหรือไม่ เช่น พิจารณาความสอดคล้องของการกำหนดผลิตภัณฑ์และตลาดที่ Trader สามารถทำธุรกรรมรวมทั้ง Limit ที่ได้รับ นอกจากนี้ ควรให้ผู้ที่เกี่ยวข้องทุกคนลงนามรับทราบข้อกำหนดและ Limit ต่างๆ ร่วมกัน
2.2 สง. ควรพิจารณาว่าข้อกำหนดและ Limit ต่างๆ Trader ได้นำไปปฏิบัติอย่างถูกต้อง โดยมี ผู้บริหารห้องค้าและหน่วยงานอิสระที่ทำหน้าที่ควบคุม ติดตามดูแลอย่างใกล้ชิด นอกจากนี้ สง. มีการกำหนดขั้นตอนที่เหมาะสมในการสอบสวนและนำเสนอผลการสอบสวนเป็นลำดับชั้นเมื่อเกิดการละเมิดข้อกำหนดต่างๆ หรือไม่

เรื่องนี้ ธนาคารแห่งประเทศไทยก็ให้ความสนใจและมีการศึกษาเรื่องนี้กันเป็นพิเศษ ซึ่งเข้าใจว่าคงจะมีการให้คำแนะนำ หรือนำไปใช้ในการทดสอบความพร้อมของสถาบันการเงิน ในเรื่องที่เกี่ยวข้องกับจุดอ่อนในการค้าเงินต่อไปแล้ว

ท่านที่สนใจลองนำคำถามและข้อแนะนำบางประการที่กล่าวข้างต้นไปประเมินตนเองในลักษณะ CSA หรือ QAR อย่างเป็นระบบ เพื่อจัดให้มีการควบคุมความเสี่ยงต่าง ๆ ที่ผมคิดว่า สถาบันการเงินทุกแห่งมีปัญหาเหล่านี้ไม่มากก็น้อย แล้วคำถามและข้อสังเกตอื่น ๆ จะได้นำมาเล่าสู่กันฟังต่อนะครับ