Archive for สิงหาคม, 2009

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ ไม่ได้พูดคุยกันมาก็หลายวันสำหรับ COSO – ERM ที่ตอนนี้ยังคงคุยกันอยู่ในเรื่องของการตอบสนองความเสี่ยงที่เป็นกลยุทธ์ในการจัดการกับความเสี่ยง โดยมีแนวทางในการจัดการความเสี่ยงที่องค์กรอาจพิจารณาได้จากความเสี่ยงของผลงานที่ผ่านมา ซึ่งวันนี้เราจะมาพูดคุยกันต่อในเรื่องนี้ครับ

การพิจารณาความเสี่ยงจากผลงานที่ผ่านมา ผู้บริหารพิจารณาความเสี่ยงจากองค์กรอย่างกว้าง ๆ หรือจากผลงานที่ผ่านมา ผู้บริหารอาจใช้วิธีการให้ผู้จัดการซึ่งรับผิดชอบแต่ละแผนก หน่วยงานหรือหน่วยธุรกิจ เป็นผู้พิจารณาส่วนประกอบต่าง ๆ ในการประเมินค่าความเสี่ยงและการตอบสนองความเสี่ยงสำหรับหน่วยงาน ซึ่งการมองเช่นนี้จะสะท้อนความเสี่ยงของหน่วยที่สัมพันธ์กับวัตถุประสงค์และระดับของความเสี่ยงที่ยอมรับได้

ในแง่ของความเสี่ยงที่เกิดขึ้นในแต่ละหน่วย ผู้บริหารอาวุโสถูกวางตำแหน่งให้ดูแลผลงานขององค์กร เพื่อกำหนดว่าความเสี่ยงขององค์กรสมน้ำสมเนื้อกับความเสี่ยงที่ยอมรับได้ที่สัมพันธ์กับวัตถุประสงค์หรือไม่ ความเสี่ยงอาจคงอยู่ในหน่วยงานที่แตกต่างกันที่อยู่ภายในระดับความเสี่ยงที่ยอมรับได้ของหน่วยงานต่าง ๆ ความเสี่ยงอาจมากเกินกว่าความเสี่ยงที่ยอมรับได้ขององค์กรในภาพรวม ซึ่งในกรณีนี้จำเป็นต้องใช้การตอบสนองความเสี่ยงเพิ่มเติมหรือมีความแตกต่าง

ในทางกลับกัน ความเสี่ยงอาจโต้ตอบองค์กรโดยธรรมชาติ หรือแต่ละหน่วยงานอาจไม่ชอบความเสี่ยง หากผลงานได้รับการพิจารณาน้อยกว่าความเสี่ยงที่ยอมรับได้ขององค์กร ผู้บริหารอาจตัดสินใจที่จะจูงใจให้ผู้บริหารของแต่ละหน่วยธุรกิจยอมรับความเสี่ยงที่มากกว่าในพื้นที่ที่เป็นเป้าหมาย เพื่อทำให้องค์กรโดยรวมมีการเติบโตและผลตอบแทนเพิ่มขึ้น

ในการสร้างผลงานของการตอบสนองความเสี่ยง ผู้บริหารจะจดจำความหลากหลายของการตอบสนองที่ถูกเลือก และผลของการตอบสนองมากมายในระดับความเสี่ยงที่ยอมรับได้ หากเหตุการณ์ที่มีศักยภาพไม่มีความสัมพันธ์โดยตรง

ผู้บริหารอาจประเมินค่าผลของการตอบสนองความเสี่ยงจากเหตุการณ์ แล้วจึงสร้างองค์ประกอบหรือผลงานที่ผ่านมา หากความเสี่ยงที่เหมือนกันคงมีอยู่ในหน่วยงานที่หลากหลาย ผู้บริหารอาจตัดสินใจประเมินค่าผลของการตอบสนองความเสี่ยงจากประเภทหรือกลุ่มของเหตุการณ์โดยเฉพาะ แล้วจึงสร้างภาพผลงาน ภาพผลงานจะส่งผลกระทบกับการโต้ตอบเหตุการณ์ที่เป็นโอกาส หรือเหตุการณ์ที่อาจลดระดับผลทางลบของเหตุการณ์อื่น ๆ ซึ่งควรอยู่ในภาพผลงาน เช่นเดียวกับผลรวมของการตอบสนองทั้งหมด

ฝ่ายจัดการระบุถึงทางเลือกในการตอบสนองความเสี่ยง และพิจารณาถึงผลกระทบต่อเหตุการณ์ที่เป็นไปได้ที่จะเกิดและผลกระทบที่ตามมา ในความสัมพันธ์ต่อระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) และต้นทุนเมื่อเปรียบเทียบกับผลประโยชน์ การออกแบบและดำเนินการตามทางเลือกหรือเครื่องมือในการสนองตอบต่อความเสี่ยง การพิจารณาถึงการตอบสนองความเสี่ยง

การเลือกเครื่องมือในการตอบสนองความเสี่ยงและการดำเนินการเป็นการผสมผสานของกระบวนการจัดการความเสี่ยงขององค์กร โดย ERM ที่มีประสิทธิภาพคือการที่ฝ่ายจัดการเลือกการตอบสนองที่ถูกคาดหวังว่าจะทำให้ความเป็นไปได้ที่จะเกิดความเสี่ยงและผลกระทบที่เกิดขึ้นอยู่ในระดับที่ยอมรับได้

องค์ประกอบสำคัญของการตอบสนองความเสี่ยง

ครั้งหน้าเราจะไปต่อกันในเรื่องของกิจกรรมควบคุม ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในกระบวนการถัดไปกันครับ

 

GRC กลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance (ต่อ)

คราวที่แล้วเราได้พูดกันถึง ปัจจัยสำคัญที่จำเป็นอย่างยิ่งที่ผู้บริหารต้องใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC ที่ผมได้กล่าวไปแล้ว 3 หัวข้อ สำหรับในวันนี้เราจะมาคุยกันต่อถึงปัจจัย ข้อที่ 4 ซึ่งจะมีหัวข้อแยกย่อยลงไปอีกเล็กน้อยกันครับ

4. ความสำเร็จของการใช้ GRC เป็นกลยุทธ์นั้น ต้องการใช้ตัวขับเคลื่อนไปสู่ความสำเร็จตามวัตถุประสงค์หลักขององค์กร (Key Enablers) ที่สำคัญยิ่งเป็นฐานร่วมด้วยอย่างมีนัยสำคัญก็คือ

– การสร้าง/การมีวัฒนธรรม (Culture) ที่ยอมรับได้ ซึ่งต้องมีตัวเปรียบเทียบ หรือต้องมีวัฒนธรรมจากจิตใจ (Spirited) เป็นฐานสำคัญ และ

– คณะกรรมการ ผู้บริหาร ตามกลยุทธ์ GRC ต้องนำหลักการบริหารการเปลี่ยนแปลง (Change Management) มาใช้ และ

– สร้างความเป็นรูปธรรมในการบริหารความเสี่ยงแบบบูรณาการของการดำเนินงาน/การปฏิบัติงานที่ต้องมีบุคลากร (People) ที่มีความสามารถ รวมทั้งมีกระบวกการบริหารที่สร้างคุณค่าเพิ่ม (Value Management) และ

– องค์กรต้องมีการปรับปรุงกระบวนการทำงาน (Process Improvement) และปรับปรุงเทคโนโลยี (Improvement Technology) ให้มีลักษณะที่เป็นบูรณาการ และสัมพันธ์กับวิสัยทัศน์ พันธกิจ กลุยทธ นโยบาย แผนการปฏิบัติงานใหม่ ๆ ที่เป็นรูปธรรม รวมถึงมีการสื่อสารให้พนักงาน (People) ทุกระดับได้เข้าใจ

– คณะกรรมการ ผู้บริหาร ต้องทำงานเป็นทีม ที่ต้องการผู้นำ (Leader) ที่เข้มแข็ง โดยเฉพาะความสามารถในการปรับปรุงกระบวนการทำงาน กระบวนการปฏิบัติงาน ที่องค์กรส่วนใหญ่ยังมีโครงสร้าง และแนวการบริหารที่เป็นแบบอิสระ หรือ Silo อยู่มากในหลายองค์กร ทั้ง ๆ ที่เป็นองค์กรที่ได้รับรางวัลธรรมาภิบาล หรือการกำกับดูแลกิจการที่ดีมาแล้วก็ตาม

The Value Change Approach

The Value Change Approach

ทั้งนี้เพราะ คณะกรรมการธรรมาภิบาลที่ดีของชาติ หรือผู้ให้รางวัลมีมุมมองทางด้านธรรมาภิบาลเป็นเรื่อง ๆ แยกเป็นส่วน ๆ หรือพิจารณาแบบ Silo เช่น ให้หรือวัดการมีธรรมาภิบาลเพียงด้าน “ความโปร่งใส” หรือ “Transparency” เท่านั้น ซึ่งเป็นเรื่องที่อาจพิจารณาได้ค่อนข้างง่ายกว่าปัจจัยหลัก ๆ ที่เหลืออีก 6 ข้อหลัก ก็คือ ส่วนใหญ่ยังมีโอกาสปรับปรุงเพิ่ม Governance ได้มากก็คือ

1) การมีความเข้าใจและมีขีดความสามารถในการประพฤติ การปฏิบัติตามหน้าที่และความรับผิดชอบ (Responsibility)

2) คณะกรรมการและผู้บริหารระดับสูง และ C – Levels แสดงความรับผิดและรับชอบต่อผลการปฏิบัติตามหน้าที่ (Accountability) นั่นคือ ถ้าองค์กรเสียชื่อเสียง เสียความไว้วางใจ อย่างมีนัยสำคัญ ก็จะแสดง Spirits ในการรับผิดและรับชอบจากการบริหารองค์กรโดยรวม

3) มีการปฏิบัติต่อผู้มีส่วนได้เสียทุกกลุ่มอย่างเท่าเทียมกัน และเป็นธรรมในทุกกลุ่มที่เกี่ยวข้อง โดยคำนึงถึงผลกระทบหรือผลประโยชน์ต่อผู้มีส่วนได้เสีย (Stakeholders) เป็นหลัก

4) แสดงหรือจัดให้มีกลยุทธ์และขีดความสามารถในการสร้างมูลค่าเพิ่มให้กับกิจการในระยะยาว (Creation of Long Term Value) ซึ่ง GRC จะให้น้ำหนักข้อนี้มากเป็นพิเศษ

5) องค์กรต้องส่งเสริมการปฏิบัติอันเป็นเลิศ (Best Practice) และการปฏิบัติตามมาตรฐาน (Standard) ที่เป็นสากลและยอมรับปฏิบัติกันโดยทั่วไป รวมทั้งการมีจรรยาบรรณที่ดีในการประกอบธุรกิจ เช่น ไม่ซ้ำเติมคู่แข่ง เป็นต้น

6) องค์กรมีความสำนึกที่ต้องรับผิดชอบต่อสังคม และสิ่งแวดล้อมที่ดี (Social and Environmental Awareness) คณะกรรมการและผู้บริหารต้องเคารพ เคร่งครัดในการปฏิบัติตามกติกาของสังคม ซึ่งรวมทั้งกฎหมาย มาตรฐาน จริยธรรม/จรรยาบรรณ และวัฒนธรรมที่ดี อันเป็นที่ยอมรับกันโดยทั่วไป และมีความรับผิดชอบในการร่วมกันปกป้องสิ่งแวดล้อมทั้งภายในองค์กร และภายนอกองค์กร โดยไม่กระทบถึงผลประโยชน์ของประเทศที่ยอมรับได้ในแต่ละกรอบของ Risk Appetite และ Risk Tolerance ที่รัฐบาลนานาชาติกำหนดอันเป็นสากล

 

ผลการสอบทุจริต “ธอส.” และข้อสังเกตในการบริหารความเสี่ยงเมื่อเทียบกับความเสียหายที่เกิดขึ้น ในบางมุมมอง

ก่อนผลการสอบข้อเท็จจริงกรณีการทุจริตที่ ธอส. จะเปิดเผยทางสื่อมวลชน ผมได้เคยกล่าวถึงกรณีทุจริตที่ ธอส. โดยกล่าวถึงหลักการกว้าง ๆ ว่า การทุจริตทุกประเภทมีเพียง 3 ประเด็นเท่านั้นที่ให้พิจารณา ก็คือ คน + กระบวนการทำงาน + เทคโนโลยี ที่ใช้คำย่อ ๆ ว่า PPT – People – Process – Technology

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

ผมขอทบทวนภาพที่คิดว่ามีคุณค่าอย่างยิ่ง สำหรับคณะกรรมการ รวมทั้งคณะกรรมการตรวจสอบของทุกองค์กร และอาจรวมถึงคณะกรรมการสอบสวนข้อเท็จจริง หากจะได้เห็นภาพที่ผมเคยแสดงไว้แล้ว และขอนำมาแสดงซ้ำอีกครั้ง เพื่อให้เกิดความเข้าใจความเสี่ยงจาก PPT ซึ่งเป็นความเสี่ยงในการดำเนินงาน และความเสี่ยงในการบริหารของทุกองค์กร ที่มีน้ำหนักโดยเฉลี่ยประมาณร้อยละ 70 ของความเสี่ยงประเภทอื่น ๆ ในการบริหารงานทั้งหมดขององค์กร

เพราะความเสี่ยงจากการจัดการที่แท้จริงในทุกระดับของการบริหารก็คือ ความเสี่ยงในการปฏิบัติการ หรือความเสี่ยงในการดำเนินงาน ซึ่งแท้จริงแล้ว อาจจะเรียกได้ว่าเป็นความเสี่ยงในการบริหารงานโดยแท้ ที่เกิดจาก PPT ในภาพโดยรวม อาจอธิบายได้โดยแผนภาพ ดังนี้

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

คณะกรรมการสอบสวนกรณีการทุจริต ของ ธอส. อาจใช้ Model ดังกล่าวในการไต่สวนหาข้อมูล และสารสนเทศในส่วนที่เกี่ยวข้องกับ PPT + Strategy ตามแผนภาพข้างต้น โดยนำปัจจัยต่าง ๆ ตามที่ปรากฎในการเชื่อมโยง 4 ประเด็นหลัก ๆ ซึ่งจะเกี่ยวข้องกับการบริหาร Operational Risk และการบริหารองค์กร แบบสอดประสานและบูรณาการ ตามองค์ประกอบหลักที่เกี่ยวข้องที่เชื่อมโยงด้วยการบริหารความเสี่ยงที่เกี่ยวเนื่อง คือ การหลอมรวม (Emergence) การบริหารความเสี่ยงในทุกมุมมองที่เกี่ยวข้องกับ S-O-F-C และ การบริหารทรัพยากรบุคคล และกลไกหรือตัวขับเคลื่อน รวมทั้งการสนับสนุนด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ

ตามที่กล่าวข้างต้นคือภาพแรกของ PPT ที่เกี่ยวข้องกับการบริหาร Emergence, Human Factors and Enabling & Support อย่างสอดประสานและเป็นบูรณาการ ซึ่งในแต่ละองค์ประกอบหลักและองค์ประกอบย่อย จะมีกิจกรรมต่าง ๆ ที่เกี่ยวข้องและสัมพันธ์กันอย่างมกาในการขับเคลื่อนความสำเร็จ เพื่อก้าวไปสู่การมีประสิทธิภาพและประสิทธิผลของการดำเนินงานขององค์กร และถ้าตรงกันข้ามก็คือ ความเสี่ยงที่อาจก่อให้เกิดความเสียหายและก่อให้เกิดการทุจริตในองค์กรได้

จากรูปภาพที่ 2 ท่านผู้ที่สนใจในเรื่องการบริหารความเสี่ยง ซึ่งเป็นส่วนหนึ่งในการขับเคลื่อน CG + ITG และเป็นองค์ประกอบหลักของ GRC ที่ผมเคยเล่าสู่กันฟังสั้น ๆ ไปแล้วก่อนหน้านี้หลายตอนนั้น ท่านกำลังจะเห็นคุณค่าจากความเข้าใจในการบริหารภายใต้ร่มของการกำกับดูแลกิจการที่ดี ควบคู่กันไปกับการบริหารสารสนเทศเพื่อการจัดการที่ดี ที่สามารถสร้างความเชื่อมั่น สร้างความน่าเชื่อถือให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) อย่างกว้างขวาง นี่คือ Value Creation ของกระบวนการจัดการที่ทุกองค์กรสามารถก้าวไปสู่จุดนี้ได้อย่างมั่นใจ หากองค์กรของท่านมีความเข้าใจในกระบวนการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ที่สามารถวัดคุณค่าเพิ่มได้จาก Intangible Assets และ Tangible Assets ซึ่งนับวันคุณค่าเพิ่มจากการบริหาร Intangible Assets จะมีบทบาทเพิ่มขึ้นอย่างมากในทุกองค์กร ขณะเดียวกันก็สร้างจุดอ่อนเป็นอย่างยิ่งให้กับหลายองค์กรที่ขาดความพร้อมทางด้านการบริหารและการจัดการ PPT อย่างแท้จริง

ในกรณี ธอส. หากจะมีการวิเคราะห์กระบวนการบริหารความเสี่ยง ตั้งแต่นโยบาย ลงมาถึงการปฏิบัติการและการตรวจสอบ ตามหลักการบริหารความเสี่ยงของกรอบ COSO – ERM อย่างน้อยก็จะพบกับข้อสังเกตและจุดอ่อนของกระบวนการทำงาน ที่ปรากฎในรายงานของ คณะกรรมการตรวจสอบข้อเท็จจจริงของ ธอส. ที่ปรากฎตามข่าวหนังสือพิมพ์ ซึ่งผมจะขอนำมาเปรียบเทียบพื่อการศึกษาให้แก่ท่านผู้ที่สนใจในครั้งต่อไป

จากแผนภาพที่ 2 ซึ่งเชื่อมโยงกระบวนการบริหารจัดการด้าน PPT ไปสู่กระบวนการออกแบบระบบ และการกำหนดกลยุทธ์ขององค์กรที่มีความเกี่ยวข้องกับข้อสังเกตของคณะกรรมการตรวจสอบข้อเท็จจริงของ ธอส. เป็นอย่างมาก ถึงกรณีระบบ CBS – Core Banking System ที่มีกระบวนการทำงาน (Process) ที่มีจุดอ่อนหลายประการผสมผสานกับบุคลากรที่ไม่จงรักภักดีต่อองค์กร รวมทั้งกระบวนการบริหารขององค์กรที่น่าจะปรับปรุงได้หลายประการนั้นเป็นต้นเหตุสำคัญ (Root Cause) ของการทุจริตใน ธอส. ทั้งสิ้น

จากแผนภาพข้างต้น หากทำเป็นกรณีศึกษา (Case Study) ก็จะพบประเด็นต่าง ๆ ที่มีกระบวนการบริหารความเสี่ยงที่ขาดดุลยภาพและคุณภาพในการจัดการ ตามหลักการของ COSO – ERM หลายประการ

ขอได้โปรดติดตาม ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. ในตอนต่อไปนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

วันนี้เรายังคงเล่าสู่กันฟังในเรื่องของการตอบสนองความเสี่ยง ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการตามหลักของ COSO – ERM โดยเริ่มตั้งแต่ 1.สภาพแวดล้อมภายในองค์กร 2.การกำหนดวัตถุประสงค์ 3.การระบุเหตุการณ์ 4.การประเมินความเสี่ยง 5.การตอบสนองความเสี่ยง 6.กิจกรรมควบคุม 7.ระบบสารสนเทศและการติดต่อสื่อสาร 8.การติดตามและประเมินผล

โดยในครั้งที่แล้วผมได้พูดถึงแนวทางในการกำหนดกลยุทธ์ในการจัดการความเสี่ยง ครั้งนี้เรามาต่อกันถึงโอกาสในเงื่อนไขของการตอบสนองความเสี่ยงกันเลยดีกว่าครับ

ในการประเมินผลเงื่อนไขการตอบสนอง ผู้บริหารพิจารณาผลที่เกิดขึ้นจากความเป็นไปได้และผลกระทบของความเสี่ยง และจะต้องเข้าใจว่าสิ่งตอบสนองอาจส่งผลกระทบต่อความเป็นไปได้และผลกระทบต่างกัน

ขีดความสามารถในการตอบสนองต่อการประเมินค่าของความเป็นไปได้และผลกระทบอาจพิจารณาถึงเหตุการณ์ในอดีตและแนวโน้มและเหตุการณ์ในอนาคต ในการประเมินทางเลือกของการตอบสนอง

ผู้บริหารกำหนดผลกระทบที่ใช้หน่วยในการวัดเหมือนกันสำหรับวัตถุประสงค์และความเสี่ยงในฐานะที่ถูกสร้างขึ้นมา ในส่วนประกอบของการประเมินค่าความเสี่ยงการแยกแยะเหตุการณ์ เป็นการอธิบายว่าการจัดการความเสี่ยงขององค์กรแยกแยะเหตุการณ์ ซึ่งมีผลกระทบต่อความสำเร็จของวัตถุประสงค์ขององค์กรทั้งในด้านบวกและด้านลบได้อย่างไร เหตุการณ์ที่ส่งผลกระทบทางด้านบวกจะเป็นตัวแทนของโอกาสและจะถูกส่งกลับไปสู่กลยุทธ์หรือขั้นตอนการตั้งวัตถุประสงค์

เช่นเดียวกันโอกาสที่มีศักยภาพสำหรับผลลัพธ์สำคัญอาจถูกแยะแยะเมื่อมีการพิจารณาการตอบสนองความเสี่ยง ผู้บริหารอาจแยกแยะการตอบสนองที่แปลกใหม่ ซึ่งในขณะที่พอเหมาะกับกลุ่มของการตอบสนอง แล้วอาจจะยังใหม่ต่อองค์กรหรืออุตสาหกรรม โอกาสเช่นนี้อาจครอบคลุมเมื่อเงื่อนไขการตอบสนองที่มีอยู่มาใกล้ถึงขีดจำกัดของประสิทธิภาพ และเมื่อการทำให้ดีขึ้นมีลักษณะเป็นการเปลี่ยนแปลงเล็กน้อยให้เกิดกับผลกระทบของความเสี่ยงหรือความเป็นไปได้ เช่น การตอบสนองอย่างมีความคิดสร้างสรรค์โดยบริษัทประกันรถยนต์ที่มีต่ออุบัติเหตุจำนวนมากที่เกิดบนถนนที่เป็นทางแยก บริษัทประกันภัยจึงให้ทุนเพิ่มเติมโดยการติดสัญญาณไฟเพื่อเป็นการลดการเคลมอุบัติเหตุและทำให้เกิดกำไรเพิ่มขึ้น

การตอบสนองที่ถูกเลือก
ทันที่ที่ประเมินผลของทางเลือกในการตอบสนอง ผู้บริหารตัดสินใจว่าจะจัดการความเสี่ยงได้อย่างไร การจัดการความเสี่ยงที่มีประสิทธิภาพคือการที่ผู้บริหารเลือก หรือได้รวมการตอบสนองอันนำมาซึ่งความเป็นไปได้ของความเสี่ยงและผลกระทบที่คาดการณ์ไว้ภายในระดับความเสี่ยงที่ยอมรับได้

การเลือกการตอบสนองอาจจำเป็นต้องพัฒนาแผนปฏิบัติเพื่อให้บรรลุการตอบสนองและการวัดความเสี่ยงบนพื้นฐานของความเสี่ยงส่วนที่เหลือ ยิ่งกว่านั้นกระบวนการจำเป็นต้องทำให้ผู้บริหารมั่นใจในการนำไปปฏิบัติอย่างมีประสิทธิภาพ กระบวนการเหล่านี้นำเสนอในการควบคุมกิจกรรม

ผู้บริหารต้องระลึกไว้ว่าความเสี่ยงส่วนที่เหลือบางระดับจะคงอยู่เสมอ ไม่เพียงแต่เพราะว่าทรัพยากรถูกจำกัด แต่เป็นเพราะความไม่แน่นอนของอนาคตและข้อจำกัดตามธรรมชาติในทุก ๆ กิจกรรม

กระบวนการเน้นย้ำ
การประเมินทางเลือกที่จะตอบสนองต่อความเสี่ยงธรรมชาตินั้น ต้องการการพิจารณาเรื่องที่อาจเป็นผลมาจากการตอบสนองตัวเอง ซึ่งอาจเป็นการกระตุ้นกระบวนการเน้นย้ำก่อนที่ผู้บริหารจะตัดสินใจในขั้นสุดท้าย ซึ่งพิจารณาความเสี่ยงที่มีผลมากจากการตอบสนอง รวมถึงอาจไม่ได้ปรากฏให้เห็นได้ทันที

สำหรับกระบวนการที่ 5 ในการตอบสนองความเสี่ยงยังไม่จบเท่านี้ โปรดติดตามต่อในครั้งหน้านะครับ

 

ความมั่นคงปลอดภัยของประเทศกับการบริหารความเสี่ยงที่เป็นกระบวนการ

ครั้งที่แล้ว ผมได้ให้ข้อสังเกตถึงเรื่องความเตรียมพร้อมทางด้านความมั่นคงทางการทหารของประเทศเพื่อนบ้านในลักษณะกว้าง ๆ เพียงให้ข้อสังเกตในเบื้องต้นว่า การป้องกันดีกว่าการแก้ไข โดยเฉพาะอย่างยิ่งการต่อสู้ยุคใหม่ต้องอาศัยข้อมูลและข่าวสารสนเทศที่ถูกต้องแม่นยำ ทันเหตุการณ์และทันเวลา และต่อสู้กันด้วยความคิดว่า ผู้ไม่หวังดี รวมทั้งประเทศที่ไม่หวังดีนั้น คือใคร เพื่อจะหาทางป้องกันได้อย่างเหมาะสมต่อไป

ความเข้มแข็งและอาวุธสมัยใหม่ ประกอบกับข้อมูลข่าวสารที่ถูกต้อง ทันเหตุการณ์ ผสมผสานอย่างสอดคล้องกับกลยุทธ์ แผนงาน จากนโยบายที่ชัดเจนเป็นรูปธรรม +++ กำลังทางอากาศที่ทรงพลัง มีอานุภาพ จะทำให้ชนะในการรบ และสงครามได้ แต่ก็ไม่ชนะได้อย่างเด็ดขาด ถ้าไม่มีทหารราบที่มีคุณภาพ พร้อมอาวุธที่เหมาะสม ตามไปยึดและรักษาพื้นที่ที่กองกำลังทางอากาศได้ปูทางไว้แล้ว

หากประเทศใดประเทศหนึ่ง โดยเฉพาะอย่างยิ่งประเทศเพื่อนบ้านของเรา เคลื่อนกำลังรบผ่านอุโมงค์ หรือผ่านเส้นทางซึ่งประเทศไทยไม่อาจติดตามได้โดยวิธีการตามปกติ เช่น เรดาห์ หรือการสังเกตการจากดาวเทียม หรือแม้แต่เครื่องบิน ประเทศของเราคงจะเสียเปรียบทางด้านกลยุทธ์และการวางกำลังที่เหมาะสมได้

การกำหนด Risk Appetite และ Risk Tolerance ในระดับประเทศและในระดับองค์กร จะต้องกำหนดโดยรัฐบาล ร่วมกับหน่วยงานทางด้านความมั่นคง และถ้าหากเป็นระดับองค์กรต้องกำหนดโดยคณะกรรมการขององค์กรนั้น

ผมได้เคยพูดถึงความเสี่ยงที่ยอมรับได้ ที่เราเรียกว่า Risk Appetite และระดับความเบี่ยงเบนจากความเสี่ยงที่เรายอมรับได้ หรือยอมรับไม่ได้ ขึ้นกับมุมมองในระดับองค์กร และในระดับประเทศไปแล้วนั้น หากเราสมมุติเหตุการณ์ว่า หากภาคกลางตอนล่างของประเทศ ตั้งแต่ราชบุรี เพชรบุรี ประจวบคีรีขันธ์ลงไป ที่เป็นด้ามขวานทองของไทย แผ่นดินช่วงนี้มีเนื้อที่ค่อนข้างแคบมาก ถ้าผู้ไม่หวังดี รวมทั้งประเทศที่อาจมีปัญหากันในอนาคต โจมตีหลาย ๆ จุดพร้อม ๆ กัน ก็สามารถจะแบ่งแยกหรือเข้ายึดอาณาเขตในส่วนนี้เพื่อเป็นข้อต่อรองได้อย่างง่ายดาย จากการขนส่งกำลังพลและกำลังอาวุธที่มีการเตรียมพร้อมอย่างดี ประเทศไทยน่าจะเสียเปรียบเป็นอย่างมาก

ข้อคิดของผมที่ยกเรื่องข้างต้นขึ้นมากล่าวจากข้อเท็จจริงที่ปรากฎเป็นข่าวในช่วงที่ผ่านมาประมาณ 3 เดือนในเรื่องของการสร้างอุโมงค์เรียบชายแดนไทยตรงที่เป็นด้ามขวานทองของไทยนั้น ประเทศของเรา หน่วยงานความมั่นคงต่าง ๆ ของเราได้กำหนดกลยุทธ์ที่เหมาะสม ทั้งในเชิงป้องกัน และในเชิงรุกไว้เพียงใด มีการกำหนดระดับความเสี่ยงหรือความเสียหายที่ยอมรับได้ จากเหตุการณ์ต่าง ๆ ที่สามารถสร้างสมมุติฐาน เพื่อกำหนดระดับ Risk Appetite และ Risk Tolerance ที่สัมพันธ์กับกลยุทธ์และ Action Plan เพียงใด และการกำหนด Risk Appetite และ Risk Tolerance ในระดับประเทศและในระดับองค์กร จะต้องกำหนดโดยรัฐบาล ร่วมกับหน่วยงานทางด้านความมั่นคง และถ้าหากเป็นระดับองค์กรต้องกำหนดโดยคณะกรรมการขององค์กรนั้น ทั้งนี้เพราะการกำหนด Risk Appetite และ Risk Tolerance ดังกล่าว จะเกี่ยวข้องกับนโยบายของประเทศที่มีผลต่อการกำหนดกลยุทธ์และ Action Plan ตามที่ได้กล่าวแล้วข้างต้นนั่นเอง

ทั้งนี้เพราะกลยุทธ์และ Action Plan ที่มาจากนโยบายทางด้านความมั่นคงปลอดภัยของประเทศ ต้องมีการบริหารแบบสอดประสานและบูรณาการเป็นอย่างดี ซึ่งเรื่องนี้เพียงเทียบเคียงกับการบริหารงานในองค์กรหลายแห่ง โดยเฉพาะหลายหน่วยงานของรัฐ ก็จะพบว่าการบริหารแบบสอดประสานและบูรณาการยังมีข้อควรจะปรับปรุงได้อีกมากพอสมควร

ดังนั้น หากหน่วยงานที่เป็นความมั่นคงของประเทศ ขาดการบริหารและบูรณาการที่มีความชัดเจน ตามหลักของ GRC ซึ่งหมายถึง Governance ในที่นี้จะหมายถึงความมั่นคงและปลอดภัยอย่างยั่งยืนของชาติ ที่ต้องการการส่งสัญญาณในลักษณะ Top down จากจิตสำนึก (Spiritual) ที่มีความมุ่งมั่นอย่างสูงจากความรับผิดชอบตามหน้าที่ ดังที่เรียกกันว่า Responsibility และ Accountability +++

ประกอบกับการมีเครื่องมือที่มุ่งไปสู่ Governance ก็คือ การบริหารความเสี่ยงอย่างเป็นกระบวนการ ตามหลักการของ COSO – Enterprise Risk Management ซึ่งมีองค์ประกอบที่เกี่ยวข้องที่มีความสัมพันธ์กันอย่างใกล้ชิดอยู่ 8 องค์ประกอบด้วยกัน ซึ่งในเรื่องนี้สิ่งที่ประเทศและทุกองค์กรจะต้องดำเนินการก็คือ การกำหนด Risk Appetite และ Risk Tolerance ที่เป็นรูปธรรมและสัมพันธ์กับนโยบาย กลยุทธ์ แผนการดำเนินงานทางด้านความมั่นคง ที่ทุกหน่วยงานควรจะได้เข้าใจตรงกันอย่างแท้จริง

หากมีเวลาและโอกาสที่อำนวยให้มีการแลกเปลี่ยนกันในเชิงสร้างสรร และด้วยความเคารพในทุกฝ่ายที่เกี่ยวข้อง ผมจะขออนุญาติของความเห็น รวมทั้งการสร้างภาพจำลอง เพื่อให้มีการประเมินตนเอง ตามหลักการ Control Self Assessment – CSA ซึ่งเป็นส่วนหนึ่งของการบริหารความเสี่ยงและการควบคุมเหตุการณ์หรือปัจจัยเสี่ยงจากต้นเหตุ (Root Cause) ต่อไปนะครับ

 

GRC กลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance (ต่อ)

ในครั้งก่อนผมได้ทิ้งท้ายไว้ว่าจะมาบอกถึงปัจจัยสำคัญที่ใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC ซึ่งก็มีปัจจัยหลัก ๆ อยู่ 4 ปัจจัยด้วยกัน แต่ในวันนี้ผมจะนำเสนอเพียง 3 ปัจจัยหลัก ๆ ก่อนนะครับ

GRC Model นอกจากจะเป็น Model ในการพัฒนาองค์กรในการก้าวไปสู่หลักการปฏิบัติงาน และการดำเนินงานที่ดี (Best Practice) ที่ยอมรับได้ มาตรฐานที่ใช้เป็นสากล หรือมาตรฐานการปฏิบัติที่เป็นที่ยอมรับกันโดยทั่วไป ในการก้าวสู่การปฏิบัติงานที่ดีเพื่อก้าวสู่หลักการของ Governance หรือการเติบโตอย่างยั่งยืนดังที่ได้กล่าวไปในครั้งก่อนแล้ว

GRC Model ยังเป็นกลยุทธ์ในการดำเนินงานเพื่อขับเคลื่อนองค์กรไปสู่การบริหารองค์กรแบบบูรณาการ อย่างมีคุณค่า (Business Integrity) การมีคุณธรรมในการบริหาร เช่น การกำหนดกฎเกณฑ์ ระเบียบ คำสั่ง และการปฏิบัติ การให้คุณให้โทษ จะต้องมีความชัดเจน สอดคล้องทั่วทั้งองค์กรในทุกมุมมองของการบริหาร ตามหลัก Balanced Scorecards และมีการปฏิบัติอย่างจริงจัง อีกทั้งยังสนับสนุน และส่งเสริม (Support) การบริหารความเสี่ยงแบบบูรณาการ (Integrity Driven) โดยการกำหนด Performance Strategy ให้เหมาะสมอีกด้วย

GRC ก้าวสู่ CG และ ITG ด้วย GRC ที่เป็นรูปธรรม กับข้อคิดและความเข้าใจในภาพโดยรวม

GRC ก้าวสู่ CG และ ITG ด้วย GRC ที่เป็นรูปธรรม กับข้อคิดและความเข้าใจในภาพโดยรวม

ปัจจัยสำคัญที่จำเป็นอย่างยิ่งที่ผู้บริหารต้องใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC คือ

1. การบูรณาการด้าน G + R + C (GRC) ที่เป็นรูปธรรม
คณะกรรมการและผู้บริหารต้องจัดให้มีการบริหารการเปลี่ยนแปลง โดยเชื่อมโยงให้มีการจัดการที่ดี (Governance) เข้ากับกระบวนการบริหารความเสี่ยง (COSO – ERM) ทั่วทั้งองค์กร และการควบคุมความเสี่ยงของกิจกรรมต่าง ๆ ในลักษณะเชิงรุก คือ การป้องกันปัญหาที่อาจเกิดขึ้นและกระทบกับการสร้างคุณค่าเพิ่มอย่างมีประสิทธิภาพให้กับองค์กร

โดยความเป็นจริง หลักการนี้ก็มีการปฏิบัติกันแล้วในหลายองค์กร แต่ส่วนใหญ่มักจะไม่ประสบความสำเร็จเท่าที่ควร เพราะมักมีการบริหารจัดการแยกเป็นส่วน ๆ เป็นเรื่อง ๆ ที่มีลักษณะเป็น Silo มิใช่เป็นแบบ Integrated หรือบูรณาการ GRC จึงเป็น Statement ที่อธิบายวิธีการจัดการให้เป็นแบบบูรณาการที่เป็นรูปธรรม คณะกรรมการและผู้บริหารที่ต้องการยกระดับการจัดการที่ดีและพิสูจน์ได้จึงควรนำหลักการของ GRC มาใช้อย่างเข้าใจ

2. การเชื่อมโยง GRC เข้ากับการดำเนินการและมีการวัดผลที่ไม่กำกวม และตรงประเด็น
การบูรณาการด้าน Governance + Risk Management + Compliance ที่ดีมีคุณภาพจะก่อให้เกิดการขับเคลื่อนคุณค่าและส่งเสริมประสิทธิภาพในการดำเนินงานและการปฏิบัติการ เพราะจะช่วยลดช่องว่างของการดำเนินงานที่เกิดจากการแยกกันทำงานในแบบต่างคนต่างทำ หรือเป็น Silo ตามลักษณะหรือ Function ของงานแทนการเน้นการทำงานแบบเป็นกระบวนการ (Process) ข้างสายงาน โดยคำนึงถึงวัตถุประสงค์ในกิจกรรมนั้น ๆ จนได้ผลลัพธ์ที่สามารถวัดประสิทธิภาพของคุณค่าเพิ่มได้อย่างเป็นรูปธรรม จากการประเมินคุณค่าทางสินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) และสินทรัพย์ที่มีตัวตน ซึ่งจับต้องได้ (Tangible Assets)

ITG/GRC & COSO กับการสร้างมูลค่าเพิ่ม

ITG/GRC & COSO กับการสร้างมูลค่าเพิ่ม

3. GRC ต้องการความเข้าใจคำจำกัดความของคำว่า วิสัยทัศน์ และการปฏิบัติตามกฎหมาย กฎเกณฑ์ หรือ Compliance ใหม่

คำว่า วิสัยทัศน์ขององค์กร ต้องมุ่งไปที่ความยั่งยืนที่แท้จริง ที่องค์กรยุคใหม่ รวมทั้งผู้บริหารต่างก็เข้าใจตรงกันแล้วว่า ต้องมุ่งไปที่ผู้มีผลประโยชน์ร่วม (Stakeholders) เป็นสำคัญ มิใช่เพียงแต่มุ่งกำไรสูงสุดเพื่อผู้ถือหุ้น (Shareholders) เป็นหลัก

ดังนั้น คำว่า “Compliance” ตามนัยยะ ของ GRC ใหม่ก็คือ การปกป้องรักษาชื่อเสียง ความไว้วางใจได้ และการสร้างคุณค่าเพิ่มจากการบริหารสินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) ที่เป็นตัวขับเคลื่อน หรือเป็นกลไกในการสร้างผลสำเร็จตามเป้าหมายขององค์กร (Enablers) โดยรวม และที่เกี่ยวกับการสร้าง “Value” ในมุมมองของการบริหารสินทรัพย์ที่มีตัวตน (Tangible Assets) ด้วย

เพราะในที่สุด การสร้างความน่าเชื่อถือจากความเชื่อ (Belief) นี้จะไปสร้างความน่าเชื่อถือ (Trust) ซึ่งเป็น “Value” ที่มีคุณค่ายิ่ง และจะสะท้อนโดยตรงไปยังการสร้างกำไรจากประสิทธิภาพที่มีดุลยภาพ เพื่อการเติบโตอย่างยั่งยืนตามหลักการของ Governance ที่ประกอบไปด้วย Corporate Governance และ IT Governance ในที่สุด
อนึ่ง คณะกรรมการและผู้บริหารขององค์กรต่าง ๆ ควรเข้าใจตรงกันต่อไปด้วยว่า GRC เป็นทั้งกลยุทธ์ใหม่ที่นำไปสู่ความสำเร็จในทางปฏิบัติและเมื่อเข้าใจแนวคิดนี้แล้วก็จะสามารถสร้าง Integrity – Driven Performance ทั้งองค์กรได้อย่างเป็นรูปธรรม จาก GRC Operating Model ใหม่นี้

Model ของ GRC ในที่นี้ก็คือ การบูรณาการกลยุทธ์มุ่งความสำเร็จของการควบคุมความเสี่ยงตามหลักการ COSO – ERM S – O – F – C โดยเน้นการบริหาร Operational Risk ที่มุ่งพิจารณา People + Process + Technology (PPT) ขององค์กรที่มีบทบาทและความสำคัญสูงมาก ประมาณร้อยละ 75 – 80 ที่มีผลต่อความสำเร็จในการบริหารตามมุมมองต่าง ๆ ตามหลัก Balanced Scorecard ที่เน้นการมองอนาคต โดยมีตัวชี้วัดที่เป็น Leading Indicator มากขึ้นจากเดิม เนื่องจากกลยุทธ์การมอง Vision ใหม่ (Envision) จาก Shareholders เป็น Stakeholders นั่นเอง

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ เข้าเดือน 8 ของปี 2009 นี้แล้ว เวลาช่างผ่านไปเร็วเสียจริง ๆ ผมคิดว่ายังมีอะไรอีกหลายอย่างที่อยากจะบอกเล่าสู่กันฟังจากความรู้ และประสบการณ์ที่ผมมีอยู่ แต่กลับมีเวลาเพียงน้อยนิดในการ update เนื้อหาในแต่ละหมวดหมู่ ซึ่งผมก็พยายามอย่างเต็มที่ในการนำเสนอข้อมูลที่คิดว่าน่าจะเป็นประโยชน์ต่อท่านผู้บริหาร และผู้สนใจเรื่องราวทางด้าน IT Governance

อย่างไรก็ตาม ผมจะพยายามจัดสรรเวลาเพื่อแบ่งปันข้อมูล และนำเสนอเนื้อหาที่มีสาระประโยชน์ ขอให้ท่านผู้บริหารและผู้ที่สนใจ หมั่นติดตาม itgthailand.com แห่งนี้อย่างสม่ำเสมอ โดยเฉพาะแนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ผมได้นำเสนอต่อเนื่องมาถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ซึ่งเป็นหัวใจสำคัญของการบริหารความเสี่ยง และในกระบวนการที่ 5 ที่นำเสนออยู่นี้เป็นเรื่องของการตอบสนองต่อความเสี่ยง

จากครั้งที่แล้ว ผมได้นำเสนอกลยุทธ์ในการตอบสนองความเสี่ยง ซึ่งแบ่งเป็น 4 ประเภท ในวันนี้ผมมีแนวทางในการกำหนดกลยุทธ์ในการจัดการกับความเสี่ยงมานำเสนอครับ

แนวทางในการกำหนดกลยุทธ์ในการจัดการความเสี่ยง
กลยุทธ์การจัดการความเสี่ยงถูกกำหนดขึ้นเพื่อลดระดับของความเสี่ยง (ทั้งผลกระทบและโอกาสเกิด) ให้เป็นไปตามระดับความเสี่ยงที่ยอมรับได้(Risk Tolerance) โดยผู้บริหารควรพิจารณาทั้งผลจากการดำเนินตามกลยุทธ์ที่มีอยู่ในปัจจุบันว่า สามารถจัดการกับความเสี่ยงหนึ่ง ๆ หรือกลุ่มของความเสี่ยงได้มากน้อยเพียงใดก่อนที่จะพิจารณาถึงกลยุทธ์การจัดการเพิ่มเติม

ทั้งนี้ ในส่วนของการบริหารความเสี่ยงสำหรับความเสี่ยงที่สำคัญ องค์กรต้องพิจารณาการตอบสนองจากช่วงของประเภทความเสี่ยง ซึ่งทำให้ลงลึกพอที่จะเลือกการตอบสนองและท้าทายสถานะที่เป็นอยู่

ในการกำหนดการตอบสนองที่มีศักยภาพ ผู้บริหารควรพิจารณาสิ่งต่าง ๆ ดังต่อไปนี้
1. การประเมินผลกระทบการตอบสนองความเสี่ยงจากความเป็นไปได้ และผลกระทบของความเสี่ยงและเงื่อนไขการตอบสนองใดที่ไปในทิศทางเดียวกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร

2. การประเมินค่าต้นทุนกับประโยชน์ของการตอบสนองความเสี่ยง และโอกาสที่เป็นไปได้ที่จะบรรลุวัตถุประสงค์องค์กรในการข้ามไปจัดการกับความเสี่ยงเฉพาะเจาะจง

เนื่องจากทรัพยากรส่วนใหญ่มีจำกัด องค์กรจึงมักพิจารณาต้นทุนและผลประโยชน์ของเงื่อนไขทางเลือกการตอบสนองความเสี่ยง การวัดผลในเรื่องต้นทุนและผลประโยชน์ของการสร้างเงื่อนไขการตอบสนองความเสี่ยง ได้ถูกสร้างขึ้นมาพร้อมกับระดับที่แตกต่างของความถูกต้อง การจัดการกับด้านต้นทุนของสมการจะง่ายกว่า ซึ่งในหลายกรณีสามารถวัดในเชิงปริมาณได้อย่างถูกต้องยุติธรรม ต้นทุนทางตรงทั้งหมดรวมกับการจัดการการตอบสนอง และต้นทุนทางอ้อมที่สามารถวัดผลได้จะถูกพิจารณาเสมอ ๆ บางองค์กรได้รวมเอาต้นทุนทางโอกาสรวมกับการใช้ทรัพยากร

อย่างไรก็ตาม การวัดต้นทุนเป็นสิ่งที่ทำได้ยาก การวัดปริมาณเวลาและความพยายามหรือการจัดการกับปัจจัยภายในเป็นสิ่งที่ทำได้ยาก ดังเช่น การยอมรับของผู้บริหารในการประเมินค่าทางจริยธรรม หรือการวัดความสามารถของพนักงานที่เป็นผู้ดำเนินการแยกแยะเหตุการณ์และประเมินค่าความเสี่ยง และอาจเป็นความยากที่จะจับข้อมูลข่าวสารภายนอก เช่น ความคิดสร้างสรรค์ทางการตลาดในการค้นหาความชอบของลูกค้า

ในด้านผลประโยชน์อาจรวมถึงคุณค่าทางวัตถุ เช่น ผลประโยชน์ของโปรแกรมการอบรมที่มีประสิทธิภาพ ปรากฏให้เห็นโดยทั่วไปแต่ยากต่อการวัดปริมาณ แม้กระนั้นปัจจัยภายในที่แท้จริงสามารถพิจารณาได้ในแง่การประเมินค่าผลประโยชน์แฝง ความเป็นไปได้ของเหตุการณ์ที่ไม่ปรารถนาให้เกิดขึ้น หรือเหตุการณ์ทางธรรมชาติ และปฏิบัติการและการเงินที่มีประสิทธิภาพมีผลกระทบต่อเหตุการณ์อาจเกิดขึ้นกับองค์กร

ในขณะที่ความท้าทายในการประเมินค่าต้นทุนและผลประโยชน์ยังคงอยู่ การวิเคราะห์ต้นทุน ผลประโยชน์ ควรดำเนินไปในระดับที่เพียงพอที่จะประเมินผลการตอบสนองความเสี่ยงจากพื้นฐานความเสี่ยงของแต่ละคน หรือจากประวัติที่ผ่านมา บางองค์กรอาจเลือกที่จะประเมินค่าการตอบสนองความเสี่ยงในแง่ของความต้องการเพิ่มทุน ตัวอย่างเช่น จุดคุ้มทุน หรือต้นทุน ณ จุดเสี่ยง และอาจพิจารณาในแง่เงินเฟ้อ การลดดอกเบี้ย และการวิเคราะห์ความอ่อนไหว

3. ประเมินโอกาสที่เกิดขึ้นจากการดำเนินการตามกลยุทธ์การจัดการความเสี่ยง
ความเสี่ยงที่เป็นธรรมชาติถูกวิเคราะห์และประเมินการตอบสนอง ด้วยเจตนาของการบรรลุระดับความเสี่ยงส่วนที่เหลือให้อยู่ในระดับความเสี่ยงที่ยอมรับได้ หลาย ๆ สิ่งตอบสนองอาจทำให้ความเสี่ยงส่วนที่อยู่ในระดับความเสี่ยงที่ยอมรับได้ และบางครั้งการรวมกันของสิ่งตอบสนองทำให้เกิดผลลัพธ์สูงสุด เช่นเดียวกันกับสิ่งตอบสนองจะส่งผลกระทบต่อความเสี่ยงของเหตุการณ์แฝงหลายเหตุการณ์ เนื่องจากการตอบสนองความเสี่ยงอาจทำให้เกิดความเสี่ยงมากมาย ผู้บริหารอาจค้นพบได้ว่าการกระทำที่เพิ่มขึ้นมาไม่ได้ถูกรับประกัน กระบวนการที่มีอยู่อาจเพียงพอหรือจำเป็นต้องปฏิบัติให้ดีกว่า ดังนั้นผู้บริหารจะพิจารณาว่าการตอบสนองที่แยกกันหรือรวมกันจะโต้ตอบกับผลกระทบของเหตุการณ์แฝงได้อย่างไร

หลังจากได้ทำการประเมินเพื่อกำหนดกลยุทธ์การจัดการความเสี่ยงที่มีประสิทธิผลจากแนวทางที่ได้กล่าวมาแล้วข้างต้น ผู้บริหารต้องทำการกำหนดแผนปฏิบัติงาน หรือขั้นตอนในการปฏิบัติ โดยต้องระบุเวลาแล้วเสร็จเพื่อให้มั่นใจได้ว่าจะมีการดำเนินงานตามกลยุทธ์เพื่อให้เกิดโอกาสตามที่คาดหวังไว้

 

GRC กลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance (ต่อ)

ไม่ได้ update เรื่องของ GRC นานพอสมควร จากที่ทิ้งท้ายกันไว้ในเรื่องของการเชื่อมโยงกระบวนการ GRC เข้ากับระบบปฏิบัติการ (Performance) ที่จะช่วยสร้างคุณค่าเพิ่มได้อย่างยั่งยืน และเป็นสิ่งจำเป็นอย่างยิ่งยวดสำหรับองค์กรยุคใหม่ ฉะนั้น วันนี้เรามาพูดคุยกันต่อในเรื่องนี้กันเลยดีกว่าครับ

GRC Model ก็คือการพัฒนาองค์กรในการก้าวไปสู่หลักการปฏิบัติงาน และการดำเนินงานที่ดี (Best Practice) ที่ยอมรับได้ มาตรฐานที่ใช้เป็นสากล หรือมาตรฐานการปฏิบัติที่เป็นที่ยอมรับกันโดยทั่วไป ในการก้าวสู่การปฏิบัติงานที่ดีเพื่อก้าวสู่หลักการของ Governance หรือการเติบโตอย่างยั่งยืน

โดยมีองค์ประกอบต่าง ๆ ที่เกี่ยวข้องสัมพันธ์กับการบริหารความเสี่ยงทั่วทั้งองค์กร และสร้างความน่าเชื่อถือได้ ความเชื่อมั่นให้กับผู้มีผลประโยชน์ร่วมจากการปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่าง ๆ ทั้งจากหน่วยงานภายนอก และหน่วยงานภายใน

โดยยึดหลักการปฏิบัติตาม Compliance ที่เกี่ยวข้องทั้งด้าน IT และ Non – IT ทางด้าน Regulator และ Standard Compliance เพื่อสนับสนุน และส่งเสริม (Support) การบริหารความเสี่ยงแบบบูรณาการ (Integrity Driven)โดยการกำหนด Performance Strategy ให้เหมาะสม

GRC and Integrity - Driven Performance

GRC and Integrity - Driven Performance

การเชื่อมโยงกระบวนการ GRC เข้ากับระบบปฏิบัติการ (Performance)
สิ่งที่ทุกองค์กรควรพิจารณาในการเริ่มต้นเพื่อก้าวสู่ GRC และสร้างคุณค่าเพิ่มอย่างยั่งยืน คือ
1. พิจารณาภาพในมุมที่กว้างขึ้นของการสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วมสู่ CSR แทนการเน้นผู้ถือหุ้นหรือการทำกำไรเพียงอย่างเดียว แล้วคณะกรรมการ ผู้บริหารจะได้มุมมองใหม่ที่สามารถสร้างความพึงพอใจให้กับผู้เกี่ยวข้อง รวมทั้งผู้ถือหุ้นได้อย่างยั่งยืน

2. พัฒนาและสร้างความเข้าใจในเชิงลึก เพื่อกำหนดวิสัยทัศน์ พันธกิจ กลยุทธ์ นโยบาย แผนงานไปสู่การปฏิบัติ จากจิตสำนึก (Spiritual) ทั่วทั้งองค์กร เพื่อขับเคลื่อน “คุณค่า” ที่เป็นรูปธรรม และ

คณะกรรมการ ผู้บริหาร ควรตอบคำถามเพื่อประเมินตนเองในประเด็นต่าง ๆ ที่มีประสิทธิภาพ เหล่านี้ให้ได้ในการก้าวสู่ GRC + CSR (Corporate Social Responsibility)
1. GRC ในองค์กรของเราเป็นแค่รูปแบบ แต่ขาดสาระสำคัญในการปฏิบัติหรือไม่ และเราแน่ใจอย่างไรว่าองค์กรของเรามีการบริหารและการปฏิบัติที่ดี (Good Governance
Operational) ตามที่องค์กรของเราตั้งวิสัยทัศน์ กลยุทธ์ และแนวทางการปฏิบัติต่าง ๆ ไว้

2. ในกรณีที่องค์กรของเราต้องมีการปฏิรูปกฎเกณฑ์ ระเบียบ คำสั่ง รวมทั้งต้องจัดให้มีแนวทางการปฏิบัติงานใหม่ ๆ เพื่อก้าวไปสู่ GRC โดยเน้นเพียงเรื่องการควบคุมภายในต่าง ๆ รายงาน และการเปิดเผยข้อมูลอย่างโปร่งใสนั้น องค์กรของเรามองข้ามหรือไม่ได้พิจารณาความเสี่ยงและผลกระทบสำคัญ ๆ ที่มิใช่การเงินหรือไม่ เช่น ผลกระทบต่อชื่อเสียงขององค์กร

การไม่ปฏิบัติ หรือปฏิบัติไม่ครบถ้วนในการจัดการกระบวนการควบคุมความเสี่ยงต่าง ๆ รวมทั้งความเสี่ยงในการดำเนินงาน ซึ่งเป็นหัวใจสำคัญของกระบวนการบริหารในด้านพนักงาน กระบวนการทำงาน และเทคโนโลยี หรือ P + P + T ที่ส่งผลกระทบทางลบต่าง ๆ รวมทั้ง การไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ ระเบียบ คำสั่ง ++ และมาตรฐานต่าง ๆ ที่กำหนดโดยองค์กรภายนอก และภายนอกองค์กร เป็นต้น

3. ถึงแม้นโยบายองค์กรของเรามีความชัดเจนในการกำหนดให้องค์กรและทุกหน่วยงานมีการปฏิบัติตามกฎหมาย กฎเกณฑ์ มาตรฐาน ระเบียบ คำสั่งต่าง ๆ ของหน่วยงานภายนอก และหน่วยงานภายในแล้วก็ตามนั้น

คณะกรรมการและผู้บริหารมีความมั่นใจอย่างไรว่า ในลายลักษณ์อักษรต่าง ๆ ที่เป็นนโยบายและเป็นแนวทางการควบคุมภายในตามฐานความเสี่ยงแล้วระดับหนึ่ง จะมีการปฏิบัติจริงด้วยความรอบคอบจากจิตวิญญาณ (Spiritual) ที่ฝังอยู่ในใจของผู้บริหารและผู้ปฏิบัติงาน ในการลดความเสี่ยงอย่างเป็นกระบวนการเพื่อการเติบโตอย่างยั่งยืน

4. องค์กรของเราได้สร้างความสับสนในการบริหารและการจัดการในการบริหารความเสี่ยงในระดับองค์กรหรือไม่ เช่น ถ้าองค์กรไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ กับพนักงานผู้ปฏิบัติงาน เช่น ไม่มีนโยบาย กลยุทธ์ ที่ชัดเจนในการกำหนดแนวทางและวิธีการปฏิบัติตามมาตรฐาน กฎหมาย กฎเกณฑ์ (Compliance) ที่กำหนด ซึ่งพิจารณาได้ว่าเป็นการนำ GRC มาเชื่อมโยงกับระบบปฏิบัติการในมุมมองหนึ่ง

5. องค์กรของเราได้ขับเคลื่อนการสร้าง “คุณค่า” หรือสร้างคุณค่าเพิ่ม (Value Creation) โดยพิจารณาถึงดุลยภาพ การจัดการความเสี่ยงที่เป็นกระบวนการ และเป็นระบบที่ผสมผสานความสามารถทางด้านเทคโนโลยีสารสนเทศ มาขับเคลื่อนความสำเร็จในการบรรลุเป้าหมายทางธุรกิจที่เป็นรูปธรรมหรือไม่

มีการตรวจสอบ รายงาน กลไกที่เชื่อมั่นระหว่างมุมมองความสำเร็จทางธุรกิจและเชื่อมโยงกับตัวชี้วัดที่มีความหมาย ตรงประเด็น ไม่กำกวม กับเป้าประสงค์ในระดับองค์กร และระดับสายงานอย่างไร?

มีการบูรณาการและประสานงานที่มีดุลยภาพของ GRC คือ เป็น Integrity – Driven Performance ที่เป็นกลยุทธ์ใหม่ในการบริหารที่องค์กรสำคัญ ๆ ทั่วโลกจัดเป็น First Priority เพียงใด

คณะกรรมการชุดต่าง ๆ มีความเข้าใจในเรื่อง GRC และมีการประสานงานการบริหาร การประชุม การพิจารณาภาพรวมตามลักษณะงานที่กิจกรรมหนึ่ง ๆ จะต้องปฏิบัติในสายงานต่าง ๆ อย่างไร

มีหลักฐานอะไรในการดำเนินการดังกล่าวที่แสดงถึงความร่วมมือของคณะกรรมการชุดต่าง ๆ
คณะกรรมการตรวจสอบ ผู้ตรวจสอบภายใน มองภาพรวมของ GRC ได้ชัดเจน

แนวคิดและกลยุทธ์ในการดำเนินงานเพื่อขับเคลื่อนองค์กรไปสู่การบริหารความเสี่ยงแบบบูรณาการ และมีคุณค่า (Business Integrity)

แนวคิดและกลยุทธ์ในการดำเนินงานเพื่อขับเคลื่อนองค์กรไปสู่การบริหารความเสี่ยงแบบบูรณาการ และมีคุณค่า (Business Integrity)

6. เมื่อเราพอจะเข้าใจบทบาทและความสำคัญของ GRC ในการขับเคลื่อนคุณค่า และเพื่อการบรรลุเป้าหมายอย่างมีคุณภาพมากขึ้นแล้ว องค์กรและผู้บริหารจะต้องถามตนเองต่อไปว่า เราจะนำ GRC มาใช้ในการบริหาร เพื่อลดต้นทุนในการดำเนินงานหรือทำให้องค์กรลดต้นทุนได้มากขึ้นอย่างไร

องค์กรของเราจะสามารถดำเนินการปฏิบัติการให้เป็นไปตามมาตรฐานและกฎเกณฑ์ของสังคม (Compliance) จากทั้งภายนอกและภายในองค์กรให้มีศักยภาพ เพื่อรักษาชื่อเสียง ความเชื่อมั่น พร้อม ๆ กับการทำกำไรที่ได้ดุลยภาพอย่างยั่งยืนได้อย่างไร หรือต้องรอให้ภาครัฐออกหลักเกณฑ์และหลักการในลักษณะภาคบังคับให้ต้องมีการปฏิบัติเสียก่อน

7. ทุกองค์กรควรตระหนักจากความเข้าใจในการบริหารเชิงรุกว่า การปฎิบัติตาม Compliance โดยใช้หลักการ GRC ซึ่งมี Concept ที่ขยายความเพิ่มเติม ตั้งแต่ Vision ใหม่เพื่อ Stakeholders และการขับเคลื่อนองค์กรให้เป็น Integrity – Driven Performance และการปฏิบัติตามมาตรฐานและกฎเกณฑ์ของสังคมทั้งภายในและระหว่างประเทศนั้น เป็น “หัวใจ” ของช่องว่างในเชิงบริหารความเสี่ยงทั่วทั้งองค์กรของทุกหน่วยงานอย่างแท้จริง

8. ข้อสรุปในเบื้องต้นของทุกองค์กร โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง ก็คือ

8.1. มุมมองเชิงกลยุทธ์ขององค์กรที่ต้องมีเป้าหมายหลักอยู่ที่ผู้มีผลประโยชน์ร่วม ดังนั้น องค์กรที่ไม่ได้มีเป้าหมายเช่นนี้จะต้องปรับเปลี่ยนวิสัยทัศน์ใหม่ (Envision)

8.2. เมื่อองค์กรพิจารณาว่า GRC คือแนวทางการจัดการที่ดี เป็นที่ยอมรับโดยทั่วไปแล้ว องค์กรจะปรับเปลี่ยนกระบวนการปฏิบัติการหรือกระบวนการดำเนินงานให้มีลักษณะ Integrity – Driven Performance อย่างไร เพราะ GRC เป็นแนวทางการบริหารที่ได้ถูกจัดและยอมรับกันทั่วโลกให้เป็น First Priority ขององค์กรชั้นนำในปัจจุบันแล้ว

ครั้งหน้าผมจะมาบอกถึงปัจจัยสำคัญที่ใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC ท่านผู้บริหารและผู้สนใจ GRC ที่เป็นกลยุทธ์ใหม่นี้อย่าพลาด! ติดตามตอนต่อไปนะครับ