Archive for ตุลาคม 10th, 2009

ความเข้าใจในกระบวนการตรวจสอบ กับการวางแผนการตรวจสอบ (ต่อ)

ในครั้งก่อน ผมได้พูดถึงสภาพแวดล้อมของเศรษฐกิจ และการเงินในปัจจุบัน ซึ่งเป็นขั้นตอนที่อาจเรียกว่า Down – turn หรือ อาจเรียกว่า อยู่ในระยะฟื้นตัวของเศรษฐกิจ การเงิน กับการตรวจสอบ

คณะกรรมการ และผู้บริหารระดับสูง ขององค์กร จะต้องเป็นผู้วางแนว และความต้องการในลักษณะของการสร้าง Reasonable Assurance เพื่อสนองตอบต่อความต้องการของ Stakeholders มากกว่าความต้องการของ Shareholders ซึ่งเป็นมุมมองเดิม ๆ ที่ไม่เหมาะกับการบริหาร เพื่อสร้างความเชื่อมั่น ความไว้วางใจ ให้กับผู้มีผลประโยชน์ร่วม และจะมีผลต่อการเติบโตอย่างยั่งยืนขององค์กรได้ในที่สุดนั้น

ในมุมมองดังกล่าวข้างต้น หากคณะกรรมการและผู้บริหารระดับสูง ยังไม่แน่ใจ หรือขาดความเชื่อมั่นในตนเอง ในระดับหนึ่ง ก็มักจะมอบหมายให้การนำเสนอเรื่องราวต่าง ๆ รวมทั้ง การวางแผนการตรวจสอบ (Audit Plan) เพื่อสนองตอบต่อ Stakeholders ในมุมมองของ Business Model ใหม่ เริ่มต้นในลักษณะ Bottom – Up ซึ่งจะได้ผลค่อนข้างจำกัด ในการสนองตอบต่อ Vision + Mission และกลยุทธ์ใหม่ขององค์กร เนื่องจาก พนักงานในระดับรอง ๆ ลงไป มีความเข้าใจในมุมมองระดับสูง และระดับกว้าง โดยเฉพาะระดับนโยบายขององค์กร หรือระดับประเทศที่แตกต่างกันค่อนข้างมาก

รายละเอียดในภาคปฏิบัติ สำหรับการดำเนินงาน การบริหาร การจัดการ การตรวจสอบ ทางด้าน IT และ Non – IT เพื่อสนองตอบให้กับกลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ อย่างได้ดุลยภาพ หรือเกิดความพอดี หรือพอเพียง ในการบริหารและการจัดการแบบบูรณาการ ตามหลัก GRC เพื่อการเติบโตอย่างยั่งยืนนั้น ต้องการผู้นำที่มีวิสัยทัศน์ และเข้าใจกระบวนการบริหาร ในระดับประเทศ และในภาคส่วนต่าง ๆ ที่สัมพันธ์กัน ในการขับเคลื่อนวัตถุประสงค์ขององค์กร เพื่อการเติบโตอย่างยั่งยืน

การควบคุมภายในและการตรวจสอบ ทางด้าน IT และ Non – IT มีส่วนสำคัญอย่างยิ่งต่อกระบวนการบริหาร เพื่อสร้างคุณค่าเพิ่ม และสร้างความมั่นใจอย่างสมเหตุสมผลว่า กิจกรรมการควบคุมต่าง ๆ ที่ขับเคลื่อน Business Process ไปสู่ Business Objective นั้น เหมาะสมและสัมพันธ์กับสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างรวดเร็ว และในหลายมุมมอง ผู้ตรวจสอบตามไม่ทันกับเทคโนโลยีที่เปลี่ยนแปลงไป และมีผลกระทบต่อการขับเคลื่อน และการบริหารความเสี่ยง เพื่อก้าวไปสู่วัตถุประสงค์ระดับองค์กร และระดับประเทศ อย่างมีนัยสำคัญ

วันนี้ ผมจะยังคงกล่าวถึงมุมมอง เพื่อสร้างความเข้าใจในการวางแผนการตรวจสอบที่เกี่ยวข้องกับ IT ไม่ว่าจะเป็น IT Audit หรือ Non – IT Audit ก็ตาม เพราะการตรวจสอบทั้ง 2 เรื่อง ในที่สุดแล้วก็จะหลอมรวมกันเป็นหนึ่งเดียว ของกระบวนการจัดการ ตามหลักการ GRC

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพกระบวนการวางแผน และการตรวจสอบ ที่เกี่ยวข้องกับงานด้าน IT และมีผลโดยตรงต่อการประเมินความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ตามหลักการของ IT Governance และ CobiT v.4.1 ที่เน้นเรื่อง ความน่าเชื่อถือได้ของ Information เป็นสำคัญ เพราะมีผลต่อกระบวนการบริหาร ตามหลักการบริหารความเสี่ยงของ COSO – ERM ตามหลักการ S – O – F – C ที่ผมกล่าวถึงหลาย ๆ ครั้งมาแล้ว

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพ และการบวนการบริหารที่เกี่ยวข้องกับการควบคุมและการตรวจสอบ บางมุมมอง ขององค์กรที่ใช้คอมพิวเตอร์ และพยายามสร้างความเข้าใจ หรือ คำถาม จากผลกระทบของการควบคุม ที่อาจมีจุดอ่อนในกิจกรรม และกระบวนการทำงานที่เกี่ยวข้องต่อรายงานต่าง ๆ ที่ท่านผู้บริหารต้องใช้ ดังต่อไปนี้นะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

คณะกรรมการตรวจสอบ ผู้ตรวจสอบ ผู้บริหาร และรับผิดชอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ใช้หลัก COSO – ERM หากต้องการได้รับความมั่นใจอย่างสมเหตุสมผลของกระบวนการควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยง เพื่อให้การบรรลุวัตถุประสงค์ระดับองค์กร และระดับสายงาน ประสบความสำเร็จดังที่ตั้งใจไว้ และเป็นไปตาม Vision + Mission + Policy + Strategy + Action Plan + KPI ที่เกี่ยวข้อง ในมุมมองต่าง ๆ โดยเฉพาะอย่างยิ่ง มุมมองของการสอดประสานและบูรณาการ ตามหลักการ GRC หากเข้าใจและมั่นใจกระบวนการติดตามผลของคณะกรรมการและผู้บริหารระดับต่าง ๆ รวมทั้งการตรวจสอบภายใน ซึ่งรวม ๆ แล้วอาจจะเรียกว่า Assurance แล้วละก็ คงจะสบายใจได้ขึ้นมาก ว่าองค์กรสามารถก้าวสู่การบรรลุวัตถุประสงค์ หากได้รับผลการตรวจสอบที่น่าเชื่อถือได้ จากผู้ตรวจสอบที่มีศักยภาพที่เข้าใจความต้องการของ Stakeholders ในมุมมองต่าง ๆ และมีการวางแผนการตรวจสอบได้ตรงกับวัตถุประสงค์ที่ Stakeholders ต้องการในมุมมองที่เกี่ยวข้อง

ในครั้งต่อไป ผมจะค่อย ๆ ลงรายละเอียดในระดับที่ลึกลงไปถึง กระบวนการวางแผนการตรวจสอบขององค์กรที่ใช้คอมพิวเตอร์ และเทคนิคการตรวจสอบความน่าเชื่อถือได้ของข้อมูล และสารสนเทศ รวมทั้ง การควบคุมภายใน ตามฐานความเสี่ยง ที่จะทำให้แน่ใจอย่างสมเหตุสมผลว่า คณะกรรมการและผู้บริหารระดับสูง ได้รับรายงานที่มีคุณค่าต่อการตัดสินใจที่แท้จริง

 

บทเรียนของการสั่งระงับ 76 โครงการลงทุนที่มาบตาพุด กับการพิจารณา ผู้มีผลประโยชน์ร่วม ระดับชาติ (Stakeholders)

จากกรณีที่ศาลปกครองมีคำสั่งคุ้มครองชั่วคราวกับ 76 โครงการที่รัฐบาลจะดำเนินการที่มาบตาพุด ซึ่งส่งผลกระทบต่อสิ่งแวดล้อมนั้น นายอภิสิทธิ์ เวชชาวีวะ นายกรัฐมนตรี ระบุว่า จะยื่นอุทธรณ์ในส่วนของโครงการที่ได้อนุญาตไปแล้วให้เดินต่อไปได้ ส่วนโครงการที่อยู่ในกระบวนการอนุมัติจะชะลอไว้ก่อน จนกว่าศาลจะมีความชัดเจน และอยากให้ศาลวินิจฉัยคดีทั้งหมดโดยเร็ว เพราะต้องการแนวทางปฏิบัติที่ชัดเจน

ในคำวินิจัยนี้ ศาลเห็นว่าบรรดาโครงการใด ๆ ก็ตามที่ต้องทำการวิเคราะห์ผลกระทบสิ่งแวดล้อม ศาลก็จะใช้มาตรการชั่วคราว เพื่อระงับโครงการเหล่านี้ไว้ เพื่อให้มีแนวทางที่ชัดเจนในการปฏิบัติตามมาตรา 67

แต่สิ่งที่รัฐบาลยืนยัน คือ รัฐบาลปฏิบัติตามมาตร 67 อยู่แล้ว และสิ่งที่เดินหน้าไปเป็นโครงการที่เห็นว่าไม่มีผลกระทบอย่างรุนแรงต่อชุมชน โดยอาศัยผลการศึกษาวิเคราะห์ผลกระทบสิ่งแวดล้อมเป็นเกณฑ์กำหนดว่า เรื่องไหนรุนแรงหรือไม่รุนแรง

รัฐบาลอยากได้ข้อยุติโดยเร็วว่า ความจริงแนวปฏิบัติเป็นอย่างไร เพราะถ้าไม่ได้ข้อยุติโดยเร็วจะเป็นปัญหาความไม่แน่นอน และมีผลกระทบต่อความเชื่อมั่นของนักลงทุน…ฯลฯ

ความคิด ความเข้าใจ ในการบริหารความเสี่ยงแบบบูรณาการ โดยคำนึงถึงสังคม และ Stakeholder ยิ่งกว่าการพิจารณาและตัดสินใจจากกลุ่มผู้มีผลประโยชน์เดียว เป็นเรื่องสำคัญยิ่งยวดต่อการเติบโตอย่างยั่งยืน ตามหลัก CG

กรณีข้างต้น ผมขอร่วมออกความคิดเห็นบางประการ ในมุมมองของ Stakeholders ทั้งในประเทศและต่างประเทศ สำหรับผมเองขอให้ข้อสังเกต ในมุมมองของประชาชนคนไทยคนหนึ่ง ที่อยู่ในสังคม และเกี่ยวข้องกับ Stakeholders ในมุมมองต่าง ๆ ดังนี้

หากผู้ที่เกี่ยวข้อง เช่น คณะกรรมการสิ่งแวดล้อมแห่งชาติ เลขาธิการสำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม (สผ.) รมว.ทรัพยากรธรรมชาติและสิ่งแวดล้อม (พม.) รมว.อุตสาหกรรม รมว.พลังงาน รมว.คมนาคม รมว.สาธารณสุข และการนิคมอุตสาหกรรมแห่งประเทศไทย (กนอ.) สมาคมต่อต้านสภาวะโลกร้อน สมาคมสมัชชาองค์กรเอกชนด้านการคุ้มครอง สิ่งแวดล้อมและอนุรักษ์ทรพัยากรธรรมชาติ ชาวบ้านที่อาศัยอยู่ในเขตนิคมอุตสาหกรรมมาบตาพุด จ. ระยอง และศาลปกครองกลาง และ….

ซึ่งเรียกรวม ๆ กันว่าเป็น Stakeholders หรือผู้มีผลประโยชน์ร่วม ของการก่อสร้างอุตสาหกรรม 76 โครงการ เป็นเงิน 4 แสนล้านบาท นั้น หากผู้ที่เกี่ยวข้องพิจารณาเพียงมุมมองของตนเอง (Individual Perspective) หรือเพียงมุมมองเดียว โดยไม่ได้พิจารณามุมมองอื่น ๆ ตามหลัก Corporate Governance หรือ CG และในมุมมองของส่วนรวม และสังคม

ทุกกลุ่มตามที่กล่าวข้างต้น ก็มีความมั่นใจในมุมมองของตนเองเป็นหลักว่า ถูกต้องแล้ว ปัญหาที่ตามมาของการระงับ 76 โครงการ เป็นเงินมหาศาลถึง 4 แสนล้าน ที่มีผลกระทบต่อความเชื่อมั่นของนักลงทุน ทั้งต่างประเทศและภายในประเทศ ความเสียหายจากการล่าช้าของโครงการ ผลกระทบที่ตามมาของการขาดความเชื่อมั่นของนักลงทุน และความเชื่อมั่นต่อประเทศไทยโดยรวม +++ นั้น มีมากมายมหาศาล เกินกว่าที่จะคำนวนเป็นจำนวนเงิน เพียงที่เกิดขึ้นเฉพาะ 76 โครงการ 4 แสนล้านบาทได้

ทั้งนี้เพราะ ต้นทุนจากการวิเคราะห์และพิจารณาเพียงมุมมองเดียว โดยไม่คำนึงถึงองค์ประกอบอื่น ๆ ในสังคม ที่มีกลุ่มของผู้มีผลประโยชน์ร่วมหลายกลุ่ม เช่น ผลกระทบต่อการสร้างรายได้ประชาชาติ ผลกระทบต่อการสร้างแรงงาน สร้างรายได้ ให้กับประชาชนในสังคมในอนาคต++ ซึ่งมีผลกระทบตามมาอย่างมากมาย ทั้งที่เป็นตัวเงิน และไม่เป็นตัวเงิน น่าจะมีมากมายมหาศาล และน่าจะเกินกว่าระดับความเสี่ยงที่ประเทศ หรือสังคมยอมรับก็ได้นะครับ

ความเสี่ยง และความเสียหายในระดับที่ประเทศชาติ และ/หรือองค์กรจะยอมรับได้นั้น เรียกกันในภาษาการบริหารความเสี่ยงว่า Risk Appetite และ Risk Tolerance ซึ่งผมได้อธิบายไว้ในหัวข้อที่เกี่ยวข้อง พร้อมกับรูปภาพไปพอสมควรแล้วนะครับ

ผลประโยชน์ของประเทศชาติ และสังคม โดยรวม มีความสำคัญอย่างยิ่งยวดต่อความสำคัญของการบริหารทุกระดับ ของกระบวนการจัดการ  ตามหลักการบริหารยุคใหม่ ที่ใช้หลัก GRC เป็นสำคัญ

ผมกำลังพยายามจะพูดว่า การบริหารความเสี่ยงเชิงรุก โดยการมองอนาคตขององค์กรและประเทศ ไปข้างหน้าอย่างเป็นระบบ และเป็นกระบวนการนั้น ต้องอาศัยความเข้าใจในหลักการของ COSO – Enterprise Risk Management ซึ่งเป็นกรอบการบริหารความเสี่ยง ที่อาจเรียกได้ว่าเป็น Good หรือ Best Practice ที่นิยมเรียกกัน และนำไปปฏิบัติใช้กันทั่วโลก ในทุกระดับของการบริหาร และการจัดการ ทั้งด้านเศรษฐกิจ การเงิน ความมั่นคงในระดับต่าง ๆ ทั้งด้าน IT และ Non – IT ซึ่งมีเรื่องที่ผู้บริหารควรจะทำความเข้าใจ และน่าจะนำไปประยุกต์ใช้ในการบริหารการจัดการระดับชาติ อย่างมีนัยสำคัญด้วย

ลองมาช่วยสรุปกันเร็ว ๆ นะครับว่า กรณีมาบตาพุด มีหน่วยงานต่าง ๆ และบุคลากรต่าง ๆ ที่เกี่ยวข้องกับการตัดสินใจ ตั้งแต่การฟ้องร้อง ไปจนถึง การระงับชั่วคราว มิให้มีการก่อสร้างเพิ่มเติม ทั้ง 76 โครงการ นั้น ได้พิจารณาในมุมมองของการบริหารความเสี่ยง แบบสอดประสานและบูรณาการ (Alignment and Integration Management) หรือไม่

หากผู้ที่เกี่ยวข้อง พิจารณาผลประโยชน์ของสังคม และผู้มีผลประโยชน์ร่วม ตามหลักการของ CG + ITG + GRC ซึ่งผมได้เคยอธิบายไว้ในหัวข้อต่าง ๆ ในเว็บนี้แล้วนั้น ก็จะพบว่า การพิจารณาของผู้ที่เกี่ยวข้อง ในกรณีที่เกิดขึ้น เท่าที่ผ่านมา มิใช่เฉพาะในกรณีมาบตาพุดนี้เท่านั้น ส่วนใหญ่จะพิจารณา ให้น้ำหนัก และตัดสินใจในมุมมอง ๆ เดียว เป็นสำคัญ โดยให้น้ำหนักและสนใจผลกระทบต่อผู้มีผลประโยชน์ร่วม หรือ Stakeholders หรือสังคม ทั้งภายนอกและภายในประเทศ ค่อนข้างน้อยมาก หรือบางกรณี แทบไม่พิจารณาในมุมมองของ Stakeholders ด้วยซ้ำไป

ผมมีภาพที่ได้ทำขึ้นในวันนี้ เพื่อใช้เป็นคำอธิบายแทนตัวอักษรหลายพันคำ เพียงเพื่อแสดงให้กับผู้ที่เกี่ยวข้องได้พิจารณาว่า หากเราต้องพิจารณาผลประโยชน์ของสังคม ซึ่งเป็นผลประโยชน์ของประเทศชาติ และทุกกลุ่มของผู้มีผลประโยชน์ร่วม แทนการพิจารณาเพียงมุมมองหนึ่งมุมมองใด หรือให้น้ำหนักมุมมองหนึ่งมุมมองใด อย่างไม่ได้ดุลยภาพเท่าที่ควร ผลที่เกิดต่อเป้าประสงค์ ระดับต่าง ๆ ของชาติ และสังคม จะเป็นเช่นใด

ความโปร่งใส และการปฎิบัติโดยเท่าเทียมกันของสังคม ในประเทศ จะนำไปสู่ความร่วมมือ ด้วยความเข้าใจ ด้วยความเต็มใจ เพื่อการขับเคลื่อนเป้าประสงค์ในระดับองค์กร และเป้าประสงค์ในระดับประเทศ

ความยุติธรรมที่สังคมในชาติ ต่างพากันเรียกร้อง ในกลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ จะเกิดขึ้นได้ยาก หากคนในสังคมนั้น ต่างพิจารณาผลประโยชน์ภายในกลุ่มของตนเองที่ต้องเป็นไปตามเป้าประสงค์ในกลุ่มของตนเท่านั้น โดยไม่พิจารณาถึงกลุ่มอื่น ๆ ที่มีมุมมอง และมีเป้าประสงค์ที่แตกต่างกัน

หากทุกคน หรือส่วนใหญ่ในสังคมขาดจิตสำนึก (Conscious) ที่แสดงถึงความรับผิดรับชอบภายในจิตใจของตนเอง จากจิตวิญญาณ (Spiritual) ที่มุ่งมั่น และคำนึงถึงผลประโยชน์ของสังคมในชาติ โดยรวม แนวการพิจารณาและตัดสินใจ ในเรื่องหนึ่งเรื่องใด ก็จะไม่พิจารณาเพียงมุมมองเดียวเป็นอันขาด เพราะการพิจารณาดังกล่าว จะนำไปสู่ความแตกแยกทางความคิด แตกแยกทางการกระทำ และนำไปสู่ความไม่เข้าใจกันของสังคมภายในชาติในที่สุด

องค์กรและประเทศชาติ ต้องการผู้รู้ที่เข้าใจการบริหารภาพแบบสอดประสานและบูรณาการ เพื่อผลประโยชน์ของสังคมและคนในประเทศชาติโดยรวม ดังนั้น ผู้บริหารในทุกองค์กร และผู้บริหารในระดับชาติ โดยเฉพาะอย่างยิ่งผู้ที่เกี่ยวข้องกับ การให้ความยุติธรรม การให้ความโปร่งใส การมีความรู้ มีศักยภาพ ในงานที่ตนทำ โดยการพัฒนาตนเองอย่างสม่ำเสมอ การมีความรับผิดชอบ ในภาระหน้าที่ที่ตนเองดูแล ถึงแม้จะไม่ได้ปฏิบัติโดยตรง ก็คงต้องรับผิดชอบ (Accountability) ในผลของงานที่เกิดขึ้น

รวมทั้ง การมีจิตสำนึกที่ต้องการสร้างคุณค่าเพิ่ม โดยการบริหารกลยุทธ์ ในระดับองค์กรและระดับประเทศ เพื่อให้เกิด Long Term Value Creation ภายใต้หลักการปฏิบัติโดยเท่าเทียมกัน และภายใต้การดูแลสังคมและสิ่งแวดล้อมที่เหมาะสม ที่ได้ดุลยภาพและสัมพันธ์กับผู้มีผลประโยชน์ร่วมในสังคม

หากประเทศเราสามารถทำได้ในทางปฏิบัติที่เป็นรูปธรรมจริง ๆ ประเทศไทยเราจะได้ประโยชน์โดยตรงจากความเชื่อมั่น เพื่อสร้างคุณค่าเพิ่มให้กับผู้ที่เกี่ยวข้องอย่างเท่าเทียมกันและยอมรับได้ในที่สุดนะครับ

ข้อสำคัญก็คือ ผู้นำในระดับองค์กร และในระดับชาติ ควรมีความรู้ ความเข้าใจในหลักการของ GRC – Governance + Risk Management + Compliance ซึ่งพิจารณาว่าเป็น Integrity – Driven Performance ตามที่ได้กล่าวในหัวข้อต่าง ๆ มาแล้ว อย่างแท้จริง

 

แนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ที่เกี่ยวข้องกับ GRC บางประการ

การบริหารความเสี่ยงที่มีการประเมินผลโดย สคร. / กระทรวงการคลัง ต่อการดำเนินงานของรัฐวิสาหกิจต่าง ๆ เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงาน ที่เป็นรูปธรรม

สคร. ได้ร่วมกับ คณะอนุกรรมการประเมินผลการบริหารความเสี่ยง ได้ยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่รูปธรรมของการบริหารเชิงรุก ที่เชื่อมโยงการกำกับดูแลกิจการที่ดี กับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่เกี่ยวข้อง โดยเชื่อมโยงกับการบริหารความเสี่ยงอย่างเป็นระบบ เพื่อให้หลักการบริหารความเสี่ยงที่ สคร. ใช้ในการประเมินผลรัฐวิสาหกิจเป็นรูปธรรมมากขึ้น สคร. และคณะอนุกรรมการประเมินผลการบริหารความเสี่ยง จึงได้นำ GRC – Governance + Risk Management + Compliance ซึ่งปัจจุบันเป็น First Priority ของหน่วยงานต่าง ๆ ทั่วโลก

GRC เป็นการยกระดับการบริหารความเสี่ยงของ COSO – ERM ให้เป็นรูปธรรมในทางปฏิบัติ โดยกระบวนการนี้จะต้องเริ่มต้นจากระดับคณะกรรมการ หรือเรียกสั้น ๆ ว่า Top Down เช่นเดียวกับการตรวจสอบภายใต้ภาวะเศรษฐกิจ การเงินปัจจุบัน ซึ่งเป็นเศรษฐกิจขาลงของประเทศต่าง ๆ ทั่วโลกนั้น ก็ต้องใช้แนวทาง Top Down เป็นหลัก เพื่อขับเคลื่อนผลประโยชน์ของผู้มีส่วนร่วม หรือ Stakeholders เป็นสำคัญ

GRC จะไม่ประสบความสำเร็จเลย ถ้าไม่มีการบริหารและจัดการในลักษณะ Top Down Basis ซึ่งจะต้องมีการเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ และแผนงาน รวมทั้งโครงการต่าง ๆ ให้สัมพันธ์กันในทุกองค์ประกอบที่เกี่ยวข้อง เพื่อการขับเคลื่อนศักยภาพโดยรวมขององค์กร ที่เรียกว่า Integrity – Driven Performance ตามที่ผู้เขียนได้กล่าวไว้แล้วในหัวข้ออื่น ๆ ก่อนหน้านี้

ดังนั้น ในการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส จึงได้กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเบื้องต้น ในปี 2553 ก่อนที่จะให้น้ำหนักมากขึ้นในปีต่อ ๆ ไป ดังนี้

ความคิดและความเข้าใจในการบริหารแบบบูรณาการผ่านกลยุทธ์ และ Action Plan ต่าง ๆ ขององค์กร เพื่อการขับเคลื่อน Integrity - Driven Performance ระดับองค์กรและระดับประเทศ

หลักเกณฑ์การประเมิน
หลักเกณฑ์การประเมินบริหารความเสี่ยง แบ่งเป็น 2 ส่วน ได้แก่
คะแนนในส่วนแรกที่ยึดหลักเกณฑ์ตาม COSO ERM และคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น

คะแนนในส่วนแรก แบ่งเป็นเกณฑ์ขั้นบันไดใน 3 ระดับ ได้แก่
ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น
มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

ระดับที่ 3 การบริหารความเสี่ยงที่มีองค์ประกอบที่ดีครบถ้วน ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน
มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส และมีการมีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

คะแนนในส่วนที่สอง เป็นเกณฑ์ที่มีคะแนนถ่วงน้ำหนักในเกณฑ์ดังกล่าว ได้แก่
• มีการบริหารความเสี่ยงแบบบูรณาการ
• มีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนด
• กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ
• มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น
• จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง
• กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงานและสัมพันธ์กับค่าตอบแทน
• มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร
• การบริหารความเสี่ยงเป็นการสนับสนุนการบริหารเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation)
• ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงเมื่อเทียบกับแผนการบริหารความเสี่ยง และเทียบจากอดีต
• Portfolio View of Risk (เกณฑ์ใหม่)
• Integrated Governance , Risk and Compliance (GRC – เกณฑ์ใหม่)

สคร. และคณะอนุกรรมการบริหารความเสี่ยง รวมทั้ง ทริส ได้ร่วมกันชี้แจงเกณฑ์การประเมินใหม่ ในปี 2553 แก่ผู้แทนของรัฐวิสาหกิจที่อยู่ในเกณฑ์ประเมินผลเรียบร้อยแล้ว ส่วนใหญ่คณะกรรมการรัฐวิสาหกิจฯ ยังไม่มีโอกาสได้ฟังหรือรับทราบการเปลี่ยนแปลงที่มีผลต่อบทบาทของคณะกรรมการ ตั้งแต่ระดับนโยบาย รวมทั้ง การปรับปรุงแนวทางการบริหารและการจัดการอย่างเป็นกระบวนการในส่วนที่เกี่ยวข้องต่อไป

การนำ GRC มาใช้วัดศัยกภาพในการบริหารรัฐวิสาหกิจ ซึ่งเริ่มตั้งแต่ ปี 2553 ในระดับเบื้องต้นนั้น น่าจะพิจารณาได้ว่า มีความสำคัญอย่างยิ่งยวด ต่อกระบวนการขับเคลื่อน หลักการของ CG ให้มาเชื่อมโยงกับกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO – ERM รวมทั้ง ผสมผสานการปฏิบัติตามกฎหมาย กฎเกณฑ์ / Compliance เข้าเป็นองค์ประกอบหลักในกระบวนการบริหาร ให้เป็นรูปธรรมนั้น เป็นเรื่องที่ต้องการความเข้าใจในความรับผิดชอบ ในทุกระดับ ของรัฐวิสาหกิจ เพื่อการเติบโตอย่างยั่งยืนขององค์กร เป็นสำคัญ

ในเรื่องของ GRC นี้เน้นผลประโยชน์ของผู้มีส่วนร่วม หรือผู้มีส่วนได้เสีย (Stakeholders) เป็นสำคัญ ซึ่งก็ตรงกับหลักการบริหารของหน่วยงานภาครัฐเป็นปกติอยู่แล้ว เพียงแต่คำจำกัดความและความหมายที่เกี่ยวเนื่องกับกระบวนการบริหารนั้น เป็นสิ่งที่จะใช้พิจารณาความเข้าใจร่วมกันของทั้งผู้ได้รับการประเมิน คือ รัฐวิสาหกิจต่าง ๆ กับผู้ประเมินผล ซึ่งก็คือ คณะอนุกรรมการประเมินผล ร่วมกับ ทริส ในการพิจารณาและวัดคุณภาพของการจัดการอย่างเป็นรูปธรรม

ความหมายของคำว่า Compliance ในองค์ประกอบของ GRC ก็เปลี่ยนแปลงไปอย่างมีนัยสำคัญ เพราะมิได้หมายความเฉพาะเพียง การปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่าง ๆ จากหน่วยงานภายนอก และหน่วยงานภายในองค์กรเท่านั้น แต่ Compliance ในคำจำกัดความใหม่นี้ มีความหมายกว้างขวาง ครอบคลุมไปถึง การปฏิบัติตาม Best Practice หรือจะเรียกว่า Good Practice รวมทั้ง การปฏิบัติให้ได้มาตรฐานสากล ในส่วนที่เกี่ยวข้อง เพื่อสร้างความน่าเชื่อถือ (Trust) การสร้างคุณค่าเพิ่ม (Value) การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ซึ่งขอขยายความสักเล็กน้อยนะครับว่า หมายถึง การติดตามผลของการปฏิบัติงาน ในแง่มุมต่าง ๆ ตามหลัก Balance Scorecard จากรายงานที่เกี่ยวข้อง

ซึ่งแน่นอนว่า จะสัมพันธ์กับหลักการของ COSO – ERM รวมทั้ง การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ของความถูกต้อง จากกระบวนการตรวจสอบความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ที่ผู้บริหารได้รับจากรายงานต่าง ๆ ตามหลักการ COSO ในองค์ประกอบเรื่อง Reporting ซึ่งเป็นหนึ่งในหลักการควบคุมการบริหารความเสี่ยง คือ S – O – F – C นั่นเอง

อีกองค์ประกอบหนึ่งของหลักการสร้างความเติบโตอย่างยั่งยืน (Sustainable Growth) ของ CG / ITG / GRC ก็คือ ความสามารถในการดำเนินการอย่างต่อเนื่อง และความอยู่รอด (Survival) ในกระบวนการบริหารและการจัดการที่เกี่ยวข้องกับความเสี่ยง ทางด้าน IT และ Non – IT ที่มีผลกระทบต่อ Activities Risk + Process Risk + Business Risk ซึ่งเป็นส่วนหนึ่งของ IT Governance Drivers เพื่อการขับเคลื่อน CG และ GRC ด้วย

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/