Posts Tagged "การควบคุมความเสี่ยง"

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 1

ความเข้าใจในเรื่องการบริหารความเสี่ยง เพื่อการควบคุมดูแล (Monitoring) และเพื่อการตรวจสอบ (Audit) นั้น ต้องการใช้ทรัพยากรนอกสายงานปฏิบัติการ เพื่อประเมินความเสี่ยงและการควบคุมความเสี่ยงว่ามีความเหมาะสมเพียงไรหรือไม่ โดยเฉพาะอย่างยิ่งการประเมินความเสี่ยงที่เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ Business Drivers เป็นกรอบในการประเมินความเสี่ยงและการควบคุม

เมื่อพูดถึง Business Driver ผมขออนุญาตที่จะทบทวนความหมาย เพื่อให้เกิดความเข้าใจที่ตรงกัน เพียงสั้น ๆ ด้วยแผนภาพแทนคำอธิบายด้วยคำพูดดังนี้นะครับ

Business Drivers ประกอบด้วยองค์ประกอบหลัก ๆ 2 ข้อ คือ

1. Performance
2. Conformance

ทั้ง 2 หัวข้อ คณะกรรมการและผู้บริหารระดับสูง จะต้องมีกระบวนการจัดการประเมินความเสี่ยงที่ได้ดุลยภาพ กล่าวคือ Performance จะพิจารณาการบริหารความเสี่ยงที่มุ่งไปสู่ Business Objective ที่มี Business Balanced Scorecard ทั้ง 4 มุมมองเป็นองค์ประกอบหลักที่ต้องการควบคุมความเสี่ยง และกระบวนการจัดการแบบบูรณาการ (Integrated Management) ทั้งด้าน IT และ Non – IT ในขณเะเดียวกันองค์กรก็ต้องดูแลให้มีการปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบ คำสั่ง และมาตรฐานต่าง ๆ ที่เกี่ยวข้อง ทั้งทางด้าน IT และ Non – IT เช่นเดียวกัน

จากแผนภาพ ท่านผู้อ่านจะเข้าใจได้ดียิ่งขึ้น หากอ่านในลักษณะของ Top Down และจากซ้ายไปขวา ในส่วนที่เกี่ยวข้อง และกระบวนการประเมินการควบคุมความเสี่ยงจะต้องอาศัยความเข้าใจ COSO – ERM และ ITG ที่เกี่ยวข้องกับ CobiT และ ITIL+++ ในลักษณะต้องพึ่งพาแต่ละปัจจัยที่เกี่ยวข้องต่อกันโดยใช้หลัก Interdependent เป็นสำคัญ

หากท่านผู้อ่านได้ดูแผนภาพ CSA for Management and Auditing ข้างต้นก็จะเข้าใจอย่างชัดเจนนะครับว่า กระบวนการประเมินตนเองเพื่อควบคุมความเสี่ยงที่จะเกิดขึ้นภายในสายงานของตนนั้น มีความสำคัญยิ่ง และหากดำเนินการได้อย่างมีประสิทธิผลและประสิทธิภาพ ก็จะสามารถช่วยลดภาระกิจของผู้บริหารระดับสูง และสายงานตรวจสอบได้เป็นอย่างดี เพราะกระบวนการควบคุมความเสี่ยง จะดำเนินการโดยสายงานที่เป็นผู้ปฏิบัติงานนั้น ซึ่งโดยหลักการน่าจะมีความเข้าใจงานของตนเองได้ดีกว่าผู้ตรวจสอบ

รายละเอียดเกี่ยวกับเรื่อง CSA บางประการจะได้นำเสนอเป็นตอน ๆ ไปนะครับ

 

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

สวัสดีครับทุกท่าน ในครั้งก่อนผมได้กล่าวถึงประเด็นสำคัญที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย ผู้บริหารระดับสูงองค์กร ควรต้องพิจารณาในการควบคุมความเสี่ยง เช่น เรื่องของระบบการควบคุมความเสี่ยง นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง การสอบทานแผนงาน/โครงการใหม่ ซึ่งได้นำเสนอไปแล้วนั้น สำหรับตอนนี้จะขอนำเสนอประเด็นที่ควรพิจารณาต่อเลยนะครับ

4. มาตรฐานหรือเกณฑ์ขั้นต่ำในการพิจารณาแผนงาน/โครงการใหม่

องค์กรควรมีกระบวนการและหลักเกณฑ์ในการพิจารณาอนุมัติ การนำเสนอแผนงานหรือโครงการใหม่ ๆ อย่างรอบคอบและรัดกุม ซึ่งส่วนใหญแล้วจะเป็นการวิเคราะห์ความสำเร็จของงาน โดยเปรียบเทียบระหว่างผลสำเร็จ ตัวชี้วัด และความเสี่ยงที่ยอมรับได้ นอกจากนี้ องค์กรควรมีการจัดทํารายงาน ติดตามผลการดําเนินงานภายหลังการดำเนินงานตามแผนงาน เพื่อประเมินความสําเร็จว่าจะดําเนินกลยุทธ์อย่างไรต่อไป เช่น หากแผน
งาน/โครงการใหม่ดังกล่าวไม่ประสบผลสําเร็จ องค์กรอาจพิจารณาแนวทางแก้ไขหรือตัดสินใจยกเลิกแผนงาน/โครงการที่ต่อเนื่อง

ความเชื่อมโยงระหว่างยุทธศาสตร์ การบริหารความเสี่ยง

5. คุณภาพและประสิทธิผลของระบบการควบคุมภายใน

ระบบการควบคุมภายในจะช่วยให้องค์กรปฏิบัติงานได้อย่างมีประสิทธิผล มีรายงานที่เชื่อถือได้ มีการดูแลรักษาทรัพย์สิน และช่วยให้มั่นใจว่ามีการปฏิบัติตามกฎหมาย กฎเกณฑ์ และนโยบายที่กําหนด องค์กรควรกําหนดให้มีผู้ตรวจสอบภายในที่เป็น อิสระ ทําหน้าที่รายงานผลการตรวจสอบภายใน หรือผลการสอบทานระบบโดยตรงต่อคณะกรรมการฯ หรือคณะกรรมการตรวจสอบอย่างเป็นลายลักษณ์อักษร เพื่อดําเนินการแก้ไขได้ ทันท่วงที โดยองค์กรควรดําเนินการหรือจัดให้มีรายการต่อไปนี้

(1) มีระบบการควบคุมภายในที่เหมาะสมสําหรับประเภท และระดับความเสี่ยงที่เกิดขึ้นจากลักษณะและขอบเขตของธุรกิจ

(2) มีสายการบังคับบัญชาและหน้าที่ความรับผิดชอบที่ชัดเจน และเป็นลายลักษณ์อักษร เพื่อการควบคุมและติดตามการปฏิบัติตามนโยบาย ขั้นตอนการบริหาร ความเสี่ยง และเพดานความเสี่ยง

(3) มีการแบ่งแยกหน้าที่และการรายงานระหว่างการปฏิบัติและการควบคุมอย่างชัดเจน

(4) มีขั้นตอนการตรวจสอบ และสอบทานการควบคุมภายในด้านต่าง ๆ อย่างอิสระและเป็นรูปธรรม ได้แก่ ขอบเขตและขั้นตอนการปฏิบัติงาน การรายงาน ข้อเท็จจริงที่พบ และการแก้ไขตามผลการตรวจสอบ รวมทั้งระบบจัดการข้อมูลและระบบการรายงานต่าง ๆ

(5) มีการจัดทํารายงานผลการตรวจสอบและสอบทาน และรายงานการปฏิบัติที่ไม่เป็นไปตามกฎหมายหรือกฎเกณฑ์ต่าง ๆ รวมทั้งผลการสอบสวนและการดําเนินการแก้ไขที่เชื่อถือได้ ถูกต้อง ทันกาล และเป็นลายลักษณ์อักษร

(6) คณะกรรมการตรวจสอบหรือคณะกรรมการฯ ควรสอบทานประสิทธิผลของการตรวจสอบภายใน และการควบคุมอื่นอย่างสม่ำเสมอ เพื่อแก้ไขข้อบกพร่องที่มีนัยสําคัญได้อย่างเหมาะสมและทันกาล

6. แผนการสร้างผู้บริหารทดแทนและการฝึกอบรม

การบริหารบุคคลครอบคลุมการกําหนดโครงสร้างของฝ่ายงานที่รับผิดชอบในด้านการวางแผนคัดเลือกพนักงาน การกําหนดตําแหน่งงานและรายละเอียดลักษณะงาน การพัฒนาและฝึกอบรมที่เหมาะสม ระบบการประเมินผลการปฏิบัติงาน และผลตอบแทนการจัดการด้านโครงสร้างเงินเดือน และเครือข่ายการติดต่อสื่อสารที่มีประสิทธิผล

วัตถุประสงค์ของการบริหารบุคคล คือ
(1) เพื่อให้การดําเนินธุรกิจมีความต่อเนื่อง และสอดคล้องกับนโยบายองค์กร

(2) เพื่อให้มีบุคลากรที่มีคุณภาพเพียงพอที่จะปฏิบัติงานตามหน้าที่ความรับผิดชอบ และสามารถคัดเลือกพนักงานที่มีคุณภาพมาทดแทนได้อย่างเหมาะสม ดังนั้น ฝ่ายบริหารบุคคลจึงมีบทบาทสําคัญในการเตรียมความพร้อมด้านบุคลากรให้สอดคล้องหรือรองรับกับทิศทางกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรกําหนดรายละเอียดของลักษณะงาน (job description) ระบบการประเมินผลการปฏิบัติงาน โครงสร้างเงินเดือน ผลตอบแทน และบทลงโทษที่เหมาะสม เพื่อให้ผลการดําเนินงานและหน้าที่ความรับผิดชอบเหล่านั้น สอดคล้องกับกลยุทธ์และเป้าหมายที่กําหนดไว้ รวมทั้งควรจัดเตรียมแผนการสร้างผู้บริหารทดแทน เพื่อให้องค์กรสามารถดําเนินธุรกิจได้อย่างต่อเนื่อง

ซึ่งแนวทางหนึ่งคือ สนับสนุนผู้บริหารรุ่นใหม่ที่มีความสามารถให้มีความรู้และประสบการณ์ที่จําเป็นสําหรับการปฏิบัติงานในระดับสูงขึ้นต่อไป ทั้งนี้ ฝ่ายบริหารควรกําหนดรายละเอียดเกี่ยวกับคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่งระดับบริหาร โปรแกรมการฝึกอบรม และการฝึกงานที่จําเป็นไว้ด้วย เพื่อให้มั่นใจว่า องค์กรสามารถดํารงไว้ซึ่งผู้บริหารที่มีความสามารถ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมายควรกําหนดมาตรการ ดังนี้

(1) ทบทวนผลการปฏิบัติงานของผู้บริหารระดับสูง โดยเปรียบเทียบกับเป้าหมายที่กําหนดไว้อย่างน้อยปีละครั้ง เพื่อให้ทราบว่าผลการปฏิบัติงานอยู่ในระดับที่น่าพอใจเพียงใด สามารถดําเนินการให้บรรลุเป้าหมายที่กําหนดไว้ได้มากน้อยเพียงใด โดยอาจพิจารณาได้จากผลประกอบการทั้งในเชิงคุณภาพและเชิงปริมาณ เปรียบเทียบกับแผนดําเนินงานและงบประมาณ การลงทุน ส่วนแบ่งตลาด ความสามารถในการแข่งขัน และระดับความเสี่ยง เป็นต้น

(2) กําหนดนโยบายหรือแผนการเกี่ยวกับการสร้างตําแหน่งผู้บริหารทดแทน ควรมีการจัดทําและทบทวนนโยบายอย่างน้อยปีละครั้ง ให้เหมาะสมกับโครงสร้างองค์กรและลักษณะงาน โดยควรครอบคลุมถึงกระบวนการในการฝึกอบรม การฝึกงานที่จําเป็น รายละเอียดคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่ง เป็นต้น

(3) ทบทวนสัญญาว่าจ้างผู้บริหารภายนอกในสาระสําคัญ กรณีที่มีการว่าจ้างผู้บริหารมืออาชีพจากภายนอก ที่ปรึกษา หรือผู้เชี่ยวชาญ เพื่อปฏิบัติหน้าที่เป็นกรณีพิเศษ ควรมีการสอบทานความเหมาะสมของสัญญาว่าจ้าง เพื่อกําหนดบทบาทหน้าที่ และเกณฑ์การประเมินผลการปฏิบัติงาน และการจ่ายค่าตอบแทนที่ชัดเจน

ทั้งนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีสิทธิและอํานาจการตัดสินใจที่สําคัญ รวมทั้งสามารถสอบทานผลการปฏิบัติงานของบุคคลดังกล่าว คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรดําเนินการติดตามและควบคุมการปฏิบัติงานของบุคคลภายนอก เพื่อป้องกันไม่ให้มีการแสวงหาผลประโยชน์จากองค์กร เช่น
(3.1) กําหนดขอบเขต หน้าที่ ความรับผิดชอบในการปฏิบัติงานอย่างชัดเจน
(3.2) ร่างข้อกําหนดที่เป็นทางการ โดยให้ครอบคลุมถึงมาตรฐานขั้นต่ำของผลงานที่ยอมรับได้ และระยะเวลาในการปฏิบัติงานที่ชัดเจน
(3.3) มีการประเมินผลการปฏิบัติงานโดยเปรียบเทียบกับผลที่คาดไว้
(3.4) สัญญาว่าจ้างควรผ่านการพิจารณาจากฝ่ายกฎหมาย และได้รับความเห็นชอบโดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย
(3.5) ควรกําหนดในสัญญาให้องค์กรมีสิทธิบอกเลิกสัญญาได้ หากไม่สามารถปฏิบัติได้ตามเป้าหมายที่ตกลงไว้

(4) กําหนดแนวทางและวิธีการในการให้ผลตอบแทนแก่ผู้บริหารระดับสูง คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีส่วนร่วมในการพิจารณาเกี่ยวกับ ผลตอบแทนที่ให้แก่ผู้บริหารระดับสูงเพื่อให้มีความเหมาะสม โดยอาจกําหนดเป็นในรูปตัวเงินหรือไม่ใช่ตัวเงินก็ได้ ทั้งนี้ ต้องคํานึงถึงความเหมาะสมและฐานะการเงินขององค์กรในขณะนั้นด้วย

(5) การกําหนดแผนการฝึกอบรม องค์กรควรจัดสรรงบประมาณสําหรับการฝึกอบรมให้เพียงพอ และจัดหาบุคลากรที่เหมาะสม มีความรู้ความเข้าใจเกี่ยวกับการบริหารบุคคล เพื่อรับผิดชอบการบริหารโครงการฝึกอบรมขององค์กร โดยสามารถดําเนินการได้ 2 ลักษณะ คือ จัดอบรมโดยวิทยากรภายใน หรือว่าจ้างสถาบันฝึกอบรมหรือเชิญวิทยากรจากภายนอก การฝึกอบรมเป็นปัจจัยสําคัญที่จะช่วยให้องค์กรสามารถพัฒนาคุณภาพของบุคลากร อันจะช่วยให้การดําเนินงานประสบผลสําเร็จได้ตามเป้าหมาย รวมทั้งยังเป็นช่องทางหนึ่งในการสื่อสารแผนงานและเป้าหมายขององค์กรให้ พนักงานทราบ โดยอาจเป็นการอบรมเรื่องทั่วไป เช่น นโยบายขององค์กรเกี่ยวกับกลยุทธ์ธุรกิจ ภาพรวมความเสี่ยง ลักษณะธุรกิจและแผนงาน/โครงการ แนวทางการปฏิบัติงาน และนโยบายการบริหารงานบุคคล เป็นต้น หรือเป็นการอบรมสําหรับการปฏิบัติงานเฉพาะด้าน เช่น การบริหารเงิน หรือการจัดอบรมพิเศษด้านเทคนิคเมื่อมีแผนงานหรือโครงการใหม่ ๆ เป็นต้น ทั้งนี้ ควรมีแผนการอบรมที่ต่อเนื่องและเนื้อหาสอดคล้องกับเป้าหมายการดําเนินงานและกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรสนับสนุนให้พนักงานได้มีโอกาสศึกษาต่อเพื่อเพิ่มพูนความรู้ เสริมทักษะ และเป็นการเพิ่มศักยภาพของพนักงานให้ก้าวทันกับวิทยาการใหม่ ๆ ที่จําเป็นต่อการดําเนินงานในอนาคต

7. การวางแผนรองรับการดําเนินธุรกิจ (business continuity planning)

การจัดทําแผนรองรับการดําเนินธุรกิจ เป็นการเตรียมความพร้อมเพื่อให้มีการดําเนินธุรกิจอย่างต่อเนื่อง สําหรับกรณีเกิดเหตุการณ์ที่ไม่คาดคิด โดยอาจจัดทําแผนรองรับการดําเนินธุรกิจสําหรับสถานการณ์วิกฤตที่จําลองขึ้น ในหลาย ๆ กรณี เช่น กรณีวิกฤตจากการไม่สามารถปฏิบัติได้สําเร็จตามแผนกลยุทธ์ กรณีวิกฤตจากภาวะเศรษฐกิจถดถอยรุนแรง หรือกรณีวิกฤตจากอุบัติเหตุหรืออุบัติภัยทางธรรมชาติ เช่น น้ำท่วม หรือไฟไหม้อันกระทบต่อการปฏิบัติงานอย่างมาก นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และบริหารระดับสูง ควรกําหนดรายละเอียดการบริหารจัดการ และผู้มีอํานาจสั่งการและ/หรือ ลงลายมือชื่อแทนตามลําดับชั้น ในกรณีที่ผู้บริหารระดับสูงบางรายหรือส่วนใหญ่ไม่สามารถปฏิบัติหน้าที่ได้ ซึ่งแผนรองรับการดําเนินธุรกิจควรประกอบด้วย

(1) แผนรองรับด้านการปฏิบัติการ ได้แก่ แผนการกําหนดสถานที่ปฏิบัติงานและประมวลผลสํารอง และแผนป้องกันความเสียหายของระบบประมวลผลข้อมูล (electronic data processing – EDP)

(2) แผนรองรับด้านการบริหาร ได้แก่ แผนพัฒนาศักยภาพความสามารถด้านการแข่งขัน และแผนรองรับหากดําเนินการไม่สําเร็จตามแผนกลยุทธ์

สำหรับการวางแผนรองรับการดําเนินธุรกิจ (business continuity planning) เป็นเรื่องที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องตระหนักและให้ความสำคัญอย่างยิ่งยวด ในการเตรียมความพร้อมรับมือกรณีเกิดเหตุการณ์ไม่คาดคิดดังที่ผมได้กล่าวในข้างต้น และควรจัดให้มีการดำเนินงานตามแผนรองรับดังกล่าว ซึ่งในรายละเอียด ผมจะได้นำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

 

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 11

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในการติดตามและการตรวจสอบความเสี่ยงด้านกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ซึ่งมีหน้าที่รับผิดชอบการดําเนินงานโดยรวมขององค์กร ต้องกําหนดแนวทางการควบคุมความเสี่ยง เช่น นโยบาย มาตรฐาน วิธีการปฏิบัติงาน ระบบการบริหารความเสี่ยง ระบบการควบคุมภายใน ระบบการติดตามและรายงานความเสี่ยง เช่น รายงานเปรียบเทียบผลปฏิบัติงานจริงกับประมาณการ รายงานตรวจสอบภายใน เป็นต้น ซึ่งในการควบคุมความเสี่ยง องค์กรควรจะพิจารณาในประเด็นที่ผมจะได้กล่าวถึงต่อไปนี้

1. ระบบการควบคุมความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรกําหนดระบบการควบคุมความเสี่ยงที่เป็นแนวทางปฏิบัติที่ดีตามแนวทางสากล หน่วยงานที่ทําหน้าที่ติดตามและควบคุมความเสี่ยงต้องเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง (risk taking function) เพื่อถ่วงดุลอํานาจในการบริหาร โดยมีการสอบยันกันเพื่อป้องกันช่องโหว่ในการควบคุมภายใน รวมทั้งต้องมีการทดสอบการควบคุมความเสี่ยงอย่างสม่ำเสมอ โดยหน่วยงานที่เป็นอิสระทั้งจากภายในและภายนอก เพื่อให้มั่นใจว่าองค์กรมีการบริหารงานตามหลักธรรมาภิบาล และมีระบบการควบคุมความเสี่ยงที่เหมาะสม

การกําหนดให้ระบบการควบคุมความเสี่ยง และหน่วยงานบริหารความเสี่ยงเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง อาจดําเนินการได้โดยแยกหน่วยงานบริหารความเสี่ยงออกไป เช่น การจัดตั้งหน่วยงานสอบทานหรือตรวจสอบภายใน และการจัดให้มีคณะกรรมการบริหารความเสี่ยง ซึ่งไม่มีหน้าที่เกี่ยวข้องโดยตรงกับการตัดสินใจทางธุรกิจหรือ การดำเนินธุรกิจประจําวัน รวมทั้งการมีบุคลากรที่มีความชํานาญ และมีคุณสมบัติที่เหมาะสมกับงานในด้านที่เกี่ยวข้อง สามารถเข้าใจลักษณะแผนงาน/โครงการ การดำเนินงานและผลกระทบจากระดับความเสี่ยงขององค์กรเกินเพดานที่กําหนดไว้ เป็นต้น

ขอบเขตหน้าที่ของคณะกรรมการบริหารความเสี่ยงมีมากกว่าการกําหนดนโยบาย และการจัดให้มีกระบวนการบริหารความเสี่ยง โดยจะครอบคลุมการสอบทานการปฏิบัติตามเพดานความเสี่ยง การกําหนดความถี่ในการสอบทาน และประเภทความเสี่ยงที่จะสอบทาน ความถี่ในการสอบทานจะขึ้นอยู่กับระดับความเสี่ยงของหน่วยงานที่รับความเสี่ยง เช่น กิจกรรมหรือการดำเนินงานทางการเงินของฝ่ายการเงินที่ควรได้รับการสอบทานทุกวัน กิจกรรมที่ไม่เกี่ยวข้องกับการเงินอาจได้รับการสอบทานเป็นรายสัปดาห์หรือรายเดือน

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรได้รับรายงานต่าง ๆ เพื่อประกอบการสอบทานและการติดตามความเสี่ยง ได้แก่ รายงานการบริหารหนี้สินและทรัพย์สิน รายงานสภาพคล่องของธุรกิจองค์กร รายงานเกี่ยวกับแผนงาน หรือโครงการที่มีระดับความเสี่ยงสูง รายงานเปรียบเทียบผลปฏิบัติงานจริงกับเป้าหมาย เป็นต้น

2. นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดนโยบายและขั้นตอนการบริหารความเสี่ยง ตามประเภทของความเสี่ยงอย่างละเอียด ถูกต้อง ชัดเจน และเป็นลายลักษณ์อักษร เพื่อใช้เป็นแนวทางการปฏิบัติงานประจําวัน รวมทั้งกําหนดเพดานความเสี่ยง เพื่อจํากัดขอบเขตความเสียหายให้อยู่ในระดับที่ยอมรับได้

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรทบทวนนโยบายและขั้นตอนการบริหารความเสี่ยงอย่างสม่ำเสมอ เพื่อปรับปรุงให้เหมาะสมกับการเปลี่ยนแปลงของธุรกรรมขององค์กร หรือภาวะธุรกิจที่เปลี่ยนแปลงไปในประเด็นต่าง ๆ ดังนี้

(1) นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยงต้องครอบคลุมการระบุ การวัด การติดตามและรายงาน และการควบคุมความเสี่ยงของธุรกรรม แผนงาน/โครงการที่สําคัญ เช่น การลงทุน

(2) นโยบาย ขั้นตอนการบริหารความเสี่ยงและเพดานความเสี่ยง ควรสอดคล้องกับวัตถุประสงค์ เป้าหมาย และความสามารถโดยรวมขององค์กร ทั้งนี้ แผนงาน/โครงการที่ไม่ได้กําหนดไว้ในนโยบายหรือที่มิได้ระบุไว้ในแผนกลยุทธ์ ต้องผ่านความเห็นชอบจากคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงก่อนทุกครั้ง

(3) ควรกําหนดนโยบายให้มีการสอบทานแผนงานหรือโครงการใหม่ ๆ เพื่อให้มั่นใจว่าองค์กรมีเครื่องมือหรือระบบที่จําเป็นในการระบุ วัด ติดตาม และควบคุมความเสี่ยง ก่อนที่จะเริ่มแผนงาน/โครงการใหม่

(4) ต้องกําหนดแยกหน้าที่ความรับผิดชอบ และสายการบังคับบัญชา ในขั้นตอนการบริหารความเสี่ยงอย่างชัดเจน เพื่อประโยชน์ในการบริหารจัดการและมีผู้รับผิดชอบโดยตรงในแต่ละแผนก กิจกรรม หรือโครงการ

(5) ต้องกําหนดเพดานความเสี่ยงอย่างชัดเจน และสามารถวัดได้

3. การสอบทานแผนงาน/โครงการใหม่

ในการบริหารองค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องติดตามการเปลี่ยนแปลงของตลาด ความก้าวหน้าทางเทคโนโลยี และพยายามเสนอแผนงาน/โครงการใหม่ ๆ เพื่อยกระดับความสามารถในการแข่งขัน และตอบสนองต่อความต้องการของลูกค้า หรือผู้ใช้บริการ อย่างไรก็ตาม การเสนอแผนงานหรือโครงการใหม่สามารถเพิ่มความเสี่ยงแก่องค์กรได้ หากไม่พิจารณาอย่างละเอียดรอบคอบ

ดังนั้น องค์กรจึงต้องระมัดระวังอย่างยิ่ง สําหรับการวางแผนกลยุทธ์ในการเสนอแผนงาน/โครงการใหม่ เพื่อลดปัญหาและ ข้อผิดพลาดให้เกิดขึ้นน้อยที่สุด และควรกําหนดให้มีระบบและกระบวนการสอบทานการเสนอแผนงาน/โครงการใหม่ โดยต้องประเมินว่าจะมีผลกระทบมากน้อยเพียงใดต่อความเสี่ยงหลักขององค์กร คือ ความเสี่ยงด้านกลยุทธ์ (Strategic Risk -S) ความเสี่ยงด้านปฏิบัติการ (Operational Risk – O) ความเสี่ยงด้านการเงิน (Financial Risk – F) ความเสี่ยงด้านการปฏิบัติตามระเบียบ กฎหมาย กฎเกณฑ์ (Compliance Risk – C)

นอกจากนี้ องค์กรอาจใช้แบบจําลองเพื่อศึกษาผลกระทบที่อาจเกิดขึ้นจากแผนงาน/โครงการใหม่ต่อฐานะ รายได้และเงินลงทุนในสถานการณ์ต่าง ๆ รวมทั้งการใช้วิจารณญาณและประสบการณ์ของบุคลากรที่มีความเชี่ยวชาญประกอบการตัดสินใจ อย่างไรก็ตาม แม้ว่าแบบจําลองจะมีข้อจํากัดและไม่สามารถครอบคลุมทุกสถานการณ์ที่อาจเกิดขึ้น แต่สามารถใช้เป็นเครื่องมือที่ช่วยสร้างความมั่นใจให้กับผู้วิเคราะห์ได้ระดับหนึ่ง ทั้งนี้ องค์กรควรกําหนดกระบวนการสอบทานแผนงาน/โครงการใหม่อย่างครบถ้วน และปรับปรุงระบบการดําเนินงานและระบบควบคุมต่าง ๆ ก่อนใช้งานจริง ซึ่งควรครอบคลุมประเด็นดังต่อไปนี้

(1) การกําหนดหน้าที่การสอบทานอย่างชัดเจน องค์กรควรจัดตั้งคณะทํางานหรือคณะกรรมการย่อย ซึ่งประกอบด้วยตัวแทนระดับเจ้าหน้าที่อาวุโสจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องในองค์กร เพื่อให้มั่นใจว่าองค์กรสามารถประเมินผลกระทบที่อาจเกิดขึ้นจากการเสนอแผนงาน/โครงการใหม่ได้ครบถ้วน นอกจากนี้ หน่วยงานหลัก ได้แก่ ฝ่ายบริหารเงิน และฝ่ายบริหารความเสี่ยง และหน่วยงานสนับสนุน เช่น ฝ่ายบัญชี ฝ่ายกฎหมาย ฝ่ายบริหารบุคคล และ ฝ่ายตรวจสอบภายใน เป็นต้น ควรเข้ามามีส่วนร่วมในการพิจารณาแผนงาน/โครงการใหม่ด้วย และควรมีการจัดทํารายงานเสนอความเห็นจากหน่วยงานต่าง ๆ ต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับ มอบหมาย และผู้บริหารระดับสูงเป็นระยะ

(2) การวิเคราะห์และสอบทานแผนงาน/โครงการใหม่ หน่วยงานที่ทําหน้าที่ในการวิเคราะห์และสอบทาน จะต้องเข้าใจกระบวนการดำเนินงานของแผนงาน/โครงการใหม่อย่างชัดเจน เพื่อให้มั่นใจว่าการสอบทานครอบคลุมทุกประเด็นที่สําคัญ ได้แก่

(2.1) วัตถุประสงค์ของแผนงาน/โครงการ ระยะเวลาในการดำเนินงาน งบประมาณหรือการลงทุน

(2.2) ประโยชน์ที่คาดว่าจะได้รับ เมื่อเทียบระหว่างแผนงาน/โครงการใหม่กับแผนงาน/โครงการเดิมที่มีอยู่แล้ว

(2.3 ) ผลวิเคราะห์ความสําเร็จของแผนงาน/โครงการ

(2.4) ผลกระทบที่มีนัยสําคัญที่คาดว่าจะเกิดขึ้นต่อความเสี่ยงด้านต่าง ๆ และหน่วยงานที่เกี่ยวข้อง

(2.5) วิธีการระบุ วัด ติดตาม และควบคุมความเสี่ยงของแผนงาน/โครงการและผู้รับผิดชอบ

(2.6) ข้อจํากัดของทรัพยากรด้านต่าง ๆ ที่นำมาใช้ในระบบงาน และระบบเทคโนโลยีสารสนเทศปัจจุบัน และการเตรียมการปรับปรุงให้สามารถรองรับแผนงาน/โครงการใหม่ได้

(2.7 ) ความรู้ ความสามารถ และประสบการณ์ของพนักงานที่เกี่ยวข้อง

(2.8) การอนุมัติและความเห็นจากฝ่ายงานต่าง ๆ ที่เกี่ยวข้อง

ในการควบคุมความเสี่ยง ยังมีอีกหลายประเด็นที่คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรจะต้องพิจารณาในมุมมองของการติดตามและตรวจสอบด้านกลยุทธ์ ซึ่งผมจะขอนำเสนอต่อในครั้งหน้านะครับ