Posts Tagged "CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง"

เกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553

ครั้งก่อน เราได้จบเกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วนั้น มีผู้บริหารของรัฐวิสาหกิจหลายท่าน อาจมีความเข้าใจการประเมินการบริหารความเสี่ยงที่เพิ่มแนวทางการบริหาร GRC – Governance + Risk Management + Compliance และ Portfolio View of Risk ซึ่งเป็นเรื่องใหม่ทั้ง 2 เรื่องพอสมควร

ผมจึงขอสรุปคุณลักษณะของการบริหาร GRC อย่างสั้นที่สุดมาให้ท่านได้ทราบตาม Slide ที่ปรากฎด้านล่างนี้ครับ

สำหรับ Portfolio View of Risk ท่านอาจจะทำความเข้าใจได้ง่ายขึ้น เมื่อเห็นแผนภาพด้านล่างนี้ด้วยเช่นกัน

กล่าวโดยสรุปสำหรับ Portfolio View of Risk ในอีกมุมมองหนึ่งของการอธิบายก็คือ การบริหารจัดการกับความเสี่ยง ในมุมมมองของการควบคุมความเสี่ยง 4 เรื่อง หลัก ๆ ตามหลักการของ COSO – ERM คือ Strategy Riks – S, Operational Risk – O, Financial and Reporting Risk – F, Compliance Risk – C นั้น จะมีแผนงาน/โครงการต่าง ๆ เพื่อการจัดการกับความเสี่ยง ตามหัวข้อใหญ่ S – O – F – C ในหลายเรื่อง หรือในหลายโครงการด้วยกัน และในแต่ละเรื่องจะมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) และ/หรือ Risk Tolerance ระดับความเสี่ยงที่เบี่ยงเบนจาก Risk Appetite ว่าในที่สุดแล้ว จะมีผลกระทบต่อเป้าประสงค์ของ Performance ตามมุมมองของ Balanced Scorecard – Business BSC ซึ่งใช้แนวทาง COSO – ERM ในการประเมิน เพราะเป็นการประเมินทางด้าน Non – IT เป็นหลัก

นอกจากนี้ ผู้บริหารและผู้ที่เกี่ยวข้องยังต้องประเมินผลกระทบต่อ Conformance หรือการปฏิบัติตามมาตรฐาน (Standards) หรือกรอบการปฏิบัติงานที่ดี (Best Pactice Framework) และกฎหมาย กฎเกณฑ์ที่เกี่ยวข้อง ซึ่งเป็นที่ยอมรับกันทั่วไป โดยปกติจะใช้กรอบการปฏิบัติที่ดีเพื่อประเมินผลกระทบจากความเสี่ยงทางด้าน COSO – ERM และ IT นั่นก็คือ การใช้ ITG – CobiT มาเกี่ยวข้องในการประเมิน โดยเปรียบเทียบกับ IT Balanced Scorecard โดยปกติจะเชื่อมโยงกับ Best Pactice Standard ต่าง ๆ เช่น ISO 27001, ISO 20000, ISO 9001:2000 และทั้งหมดจะเชื่อมโยงกับ Process and Procedures อย่างเป็นกระบวนการ เช่น ITIL, Security Principles และ Quality Assurance – QA Procedure ซึ่งอธิบายได้ง่ายกว่ามากโดยดูจากแผนภาพด้านล่างนี้

ทั้งการประเมินประสิทธิภาพ ประสิทธิผลในการดำเนินงานทางด้าน Performance และ Conformance ตามที่กล่าวข้างต้น จะต้องได้ดุลยภาพในการจัดการที่ดี ทั้งด้าน IT และ Non – IT นี่ก็เป็นส่วนหนึ่งของกระบวนการบริหาร GRC และเป็นการขับเคลื่อน Integrity – Driven Performance อีกด้วย

ขอให้ดูรูปภาพที่เกี่ยวข้องนะครับ ท่านจะได้เข้าใจหลักการบริหารแบบบูรณาการในมิติต่าง ๆ เพิ่มขึ้น

ผมตั้งใจที่จะสรุปแต่อธิบายยาวไปนิดนึงนะครับ ก่อนที่จะเริ่มนำหลักเกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 ที่กำหนดโดยคณะกรรมการประเมินผลรัฐวิสาหกิจ ด้านสารสนเทศ ของกระทรวงการคลังมาเล่าสู่กันฟังในตอนต่อไป

 

เกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับ วันนี้ผมจะนำเสนอต่อในเรื่องของเกณฑ์ประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ปี 2553 ให้จบ หลังจากที่ได้นำเสนอมาหลายตอนเนิ่นนานแล้ว และผมจะได้ต่อในเรื่องของเกณฑ์การประเมินการบริหารจัดการสารสนเทศ (IT) ปี 2553 ซึ่งตั้งใจไว้ว่าจะนำเสนอให้ทันภายในปีนี้ เพื่อที่ รส. และหน่วยงานภายใต้การกำกับดูแล จะได้เตรียมความพร้อมรับการประเมิน ประจำปี 2553 กัน ฉะนั้น เราไปต่อในส่วนที่เหลือกันเลยดีกว่าครับ

6. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ

6.1แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร

6.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคล หรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคล หรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคล หรือสายงานนั้นเป็นผู้รับผิดชอบว่า ความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

6.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

7. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

7.1 องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร

7.2 การที่องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศ เพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กรเช่นเดียวกัน

8. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง

8.1 การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง

8.2 ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง)

แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

8.3 ในกรณีที่มี Risk Appetite รายปัจจัยเสี่ยง ที่ระบุเป้าหมายเชิงปริมาณในปี 2552 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ Risk Appetite /ดีกว่าเป้าหมายของ Risk Appetite ที่กำหนด

 

เกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ) และเกร็ดความเข้าใจในบางมุมมอง

ในช่วงเวลานี้ ผมกำลังนำหลักเกณฑ์การประเมินรัฐวิสาหกิจประจำปี 2553 ที่กระทรวงการคลัง โดย สคร. ร่วมกับคณะกรรมการประเมินผลชุดต่าง ๆ ที่ได้ศึกษาและกำหนดเกณฑ์การประเมินผลของรัฐวิสาหกิจ ประจำปี 2553 มานำเสนอ เพื่อให้ผู้ที่เกี่ยวข้องได้ติดตามเพิ่มเติมจากแหล่งที่เป็นที่มาหลัก ๆ ก็คือ สคร. และ ทริส

ผมจะพยายามนำเสนอความเข้าใจเพิ่มเติมในบางมุมมองที่เกี่ยวข้องกับการประเมิน และการปฏิบัติงานการบริหารของ รส. โดยใช้รูปภาพ หรือแผนภาพ แทนการอธิบายด้วยลายลักษณ์อักษร เพื่อประกอบความเข้าใจตามสมควร ควบคู่กันไปกับการนำเสนอหลักเกณฑ์การประเมินตามหลักการของ สคร.

ความเข้าใจเพิ่มเติมในบางมุมมองที่เกี่ยวข้องกับการประเมิน และการปฏิบัติงานการบริหารของรัฐวิสาหกิจ

ต่อจากนี้ จะเป็นเกณฑ์การประเมินผลการบริหารความเสี่ยงของ รส. ในส่วนที่ 2 ซึ่งเป็นเกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง ที่ยังคงค้างกันเอาไว้จากครั้งที่แล้ว ผมจะขอต่อด้วยเกณฑ์ข้อที่ 2 เลยนะครับ

2. มีกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน

3. มีการทบทวนและปรับปรุงการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรง

4. จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง เช่น จรรยาบรรณ และผู้บริหารรับฟัง การท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น โดยพิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

4.1. ความเหมาะสมและเพียงพอของช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.2. ประสิทธิผลของการใช้ช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.3. การสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

5. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)

5.1. ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน

5.2. มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

5.2.1. การวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน

5.2.2. วิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายที่มิใช่ทางการเงิน

5.2.3. การวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

หลักการองค์กรแห่งการเรียนรู้ 5 ประการของ Peter Senge ประกอบด้วย
1. Systems Thinking กระบวนการคิด/วางแผน/จัดการที่เป็นระบบ
2. Personal Mastery การสร้างวินัยของบุคคล
3. Mental Models การปรับเปลี่ยนแนวความคิดของบุคคล
4. Building shared vision การมีวิสัยทัศน์ร่วมกัน
5. Team learning การเรียนรู้ของกลุ่ม/ฝ่าย/ทีม

5.3. มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

การสื่อสารภายใน ควรจะสื่อถึงเรื่องดังต่อไปนี้อย่างมีประสิทธิผล
• ความสำคัญและความจำเป็นของการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผล
• วัตถุประสงค์ขององค์กร
• ระดับความเสี่ยงที่องค์กรยอมรับได้ และช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้
• การใช้ภาษาเดียวกันในเรื่องความเสี่ยง
• บทบาทและความรับผิดชอบของบุคลากรที่จะสนับสนุนและนำองค์ประกอบต่างๆ ของการบริหารความเสี่ยงขององค์กรมาใช้

นอกจากความจำเป็นที่ต้องมีการสื่อสารที่เหมาะสมภายในองค์กรแล้ว ยังจำเป็นที่จะต้องมีการสื่อสารภายนอกที่เหมาะสมด้วย ด้วยช่องทางการสื่อสารภายนอกที่เปิดต่อกลุ่มผู้มีส่วนได้เสีย โดยเฉพาะการเปิดช่องทางการสื่อสารเกี่ยวกับระดับความเสี่ยงที่องค์กรยอมรับได้กับช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Appetite และ Risk Tolerance) นั้น มีความสำคัญ โดยเฉพาะสำหรับองค์กรที่ต้องเชื่อมโยงกับองค์กรอื่น ซึ่งการสื่อสารต่อกลุ่มผู้มีส่วนได้เสีย จะต้องให้สารสนเทศที่ตรงกับความต้องการของกลุ่มบุคคลนั้น ๆ

ครั้งหน้าผมจะมาต่อในส่วนที่เหลือให้จบ โปรดติดตามต่อนะครับ

 

การประเมินผลการดำเนินงานของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

สวัสดีครับ ผมได้นำเสนอเรื่องของแนวทางการประเมินผลการดำเนินงานของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วใน 2 – 3 ครั้งที่ผ่านมา จากที่ได้กล่าวไปแล้วว่า แนวทางที่ใช้ในการยกระดับและขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเกณฑ์พิจารณาเบื้องต้นนั้น มี 2 ส่วน และได้มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์การประเมินผลในปี 2552 ซึ่งได้นำเสนอเกณฑ์การพิจารณาการบริหารความเสี่ยงที่เป็นเกณฑ์การประเมินในส่วนแรกไปแล้ว แต่ยังไม่จบแค่นั้นครับ

วันนี้ ผมจะมานำเสนอต่อถึงการประเมินคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น ไปติดตามกันต่อเลยนะครับ

ส่วนที่สอง เกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง

1. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี
1.1. ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร

1.2. คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้

การสร้างมูลค่าเพิ่ม หมายรวมถึง
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา

1.3. คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตามการจัดการกระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT

1.4. คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT

1.5. ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

1.6. มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลักๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น

โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non-IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

1.7. คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

1.8. ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

1.9. คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น

1.10. คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

นี่เป็นเพียงเกณฑ์การประเมินในข้อแรกเท่านั้น ยังมีเกณฑ์ที่ใช้ในการประเมินอีกหลายข้อ ซึ่งผมจะนำเสนอในโอกาสต่อไปครับ

 

การประเมินผลการบริหารความเสี่ยงของรัฐวิสหากิจ ประจำปี 2553 (ต่อ)

สำหรับวันนี้คงไม่ต้องอธิบายอะไรมากนะครับ เราคงมาต่อกันในเรื่องของเกณฑ์การพิจารณาการบริหารความเสี่ยง ซึ่งผมจะขอนำเสนอเกณฑ์ในระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ต่อจากที่ได้นำเสนอไป 2 ระดับในครั้งที่แล้วครับ

ระดับ 3 : การบริหารความเสี่ยงในเชิงบูรณาการ
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร

2.1 แผนงานการบริหารความเสี่ยงปรากฏในแผนวิสาหกิจของ รส.

2.2 เป้าหมายในแผนบริหารความเสี่ยงมีการถ่ายทอดลงถึงระดับฝ่าย และสอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีในแต่ละฝ่ายงานของ รส.

3. มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน

3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)

3.2 มีการกำหนดบทบาทหน้าที่ และความรับผิดชอบของกลุ่มบุคคลต่างๆ ที่มีส่วนร่วมด้านการบริหารความเสี่ยงขององค์กร

3.3 มีการกำหนดแผนการปฏิบัติงานสำหรับหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยงประจำปี และแผนการปฏิบัติงานดังกล่าวผ่านการอนุมัติจากผู้บริหารระดับสูง เช่น แผนการฝึกอบรมหรือสร้างความรู้ความเข้าใจหน่วยงานอื่นเกี่ยวกับการบริหารความเสี่ยง การรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการตรวจสอบและคณะกรรมการ รส. ตามกำหนด เป็นต้น และสามารถบรรลุเป้าหมายตามแผนการปฏิบัติงานนั้นได้ครบถ้วน

4.มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส

4.1 มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง โดยใช้ฐานข้อมูลในอดีต หรือ การคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4.2 กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวังของทุกปัจจัยเสี่ยงได้ โดยเป็นเป้าหมาย ณ สิ้นปีบัญชี พร้อมทั้งเป้าหมายที่คาดหวังในเชิงระดับความรุนแรงต้องสามารถอธิบายได้โดยใช้ฐานข้อมูลและการวิเคราะห์เช่นเดียวกัน

4.3 สามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส เทียบกับเป้าหมายที่คาดหวัง พร้อมวิเคราะห์ถึงปัญหา/อุปสรรค และแนวทางทีจะบรรลุถึงเป้าหมาย

5. มีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

5.1 องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกปัจจัยเสี่ยงโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

5.2 Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

5.3 Risk Appetite ต้องสอดคล้องกับเป้าหมายขององค์กรประจำปีบัญชีที่ระบุในแผนปฏิบัติการประจำปี หรือ ค่า “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดสูงกว่า

5.4 Risk Tolerance ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ระบุในแผนปฏิบัติการประจำปี หากไม่มีระบุ ต้องเป็นค่า Risk Tolerance ที่ผ่านการอนุมัติจากคณะกรรมการ รส. หรือ ผลต่างของค่าเกณฑ์วัด “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดต่ำกว่า

6. มีการบริหารความเสี่ยงแบบบูรณาการ

6.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ โดยกลยุทธ์ในแผนการบริหารความเสี่ยงมีความสัมพันธ์กับกลยุทธ์ของรัฐวิสาหกิจ และมีการทบทวนกลยุทธ์การบริหารความเสี่ยง ในช่วงเวลาที่มีการรายงานผลการปฏิบัติงานตามแผนประจำปี เพื่อให้ทราบถึงปัญหา อุปสรรค ที่ส่งผลต่อการบรรลุเป้าหมายขององค์กร และเพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายองค์กร โดยการใช้กระบวนการบริหารความเสี่ยง

6.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยงในปีบัญชี 2552

6.2.1 การกำหนดสาเหตุของความเสี่ยงในทุกปัจจัยเสี่ยง และสามารถกำหนดระดับความรุนแรงของแต่ละสาเหตุในทุกปัจจัยเสี่ยง โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหาร
ความเสี่ยง

6.2.2 การวิเคราะห์ความสัมพันธ์ระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์ของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.3 การวิเคราะห์ผลกระทบระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบของสาเหตุ โดยมีการวิเคราะห์ผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.4 การนำ Risk Map ไปใช้ในการกำหนดแผนการบริหารความเสี่ยง ในแผนการบริหารความเสี่ยง โดยมีการบริหารถึงปัจจัยเสี่ยงที่เป็นสาเหตุหลัก และมีการกล่าวถึงปัจจัยเสี่ยงที่มีระดับความรุนแรงสูง และส่งผลกระทบต่อปัจจัยเสี่ยงดังกล่าว รวมถึงมีการประเมินถึงความสำเร็จของเป้าหมายในการบริหารความเสี่ยงของปัจจัยเสี่ยงหลัก ว่าเป็นผลมาจากการบริหารปัจจัยเสี่ยงที่เป็นสาเหตุ หรือการบริหารปัจจัยเสี่ยงที่มีผลกระทบสูง

6.2.5 การสร้างความเข้าใจในเรื่อง Risk Map ให้กับบุคลากรในองค์กร โดย Risk Owner มีส่วนร่วมในการจัดทำ Risk Map และยอมรับในการร่วมกันจัดทำแผนการบริหารความเสี่ยงในกลุ่มความเสี่ยงที่มีความสัมพันธ์กัน รวมถึงบุคลากรในองค์กร รับรู้และเข้าใจเรื่อง Risk Map

 

การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553

เมื่อครั้งที่ก่อน ผมได้พูดคุยกันไปบ้างแล้ว ถึงเรื่องการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ที่ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ซึ่งจะใช้ในปี 2553 โดยใช้หลักการ GRC เป็นเกณฑ์เบื้องต้น

วันนี้เรามาดูกันว่า แนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ทั้ง 2 ส่วน ดังที่กล่าวไปแล้ว ในเกณฑ์ใดบ้างที่มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์ประเมินผลฯ ปี 2552 และมีเกณฑ์การพิจารณาอย่างไรกันบ้าง

ส่วนที่หนึ่ง เกณฑ์การพิจารณาการบริหารความเสี่ยง
ระดับ 1 : การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

1. มีแนวทางบริหารความเสี่ยงในเชิงรับเป็นส่วนใหญ่หรือมีการบริหารความเสี่ยงในระดับเบื้องต้น

1.1. รัฐวิสาหกิจขาดการบริหารจัดการความเสี่ยง การพิจารณาปัจจัยเสี่ยงหรือการดำเนินการแก้ไขปัญหาเป็นการดำเนินการภายหลังจากที่เกิดเหตุการณ์หรือความเสียหายแล้ว เช่น ในกรณีที่รัฐวิสาหกิจ มีธุรกรรมเกี่ยวกับเงินตราต่างประเทศ แต่ไม่ได้มีการบริหารความเสี่ยงด้านอัตราแลกเปลี่ยนเลย ต่อเมื่อมีความเสียหาย เช่น การขาดทุนจากอัตราแลกเปลี่ยนเกิดขึ้นจากความผันผวนของอัตราแลกเปลี่ยน รัฐวิสาหกิจจึงเริ่มศึกษาหรือบริหารความเสี่ยงจากอัตราแลกเปลี่ยน เป็นต้น

1.2. รัฐวิสาหกิจยังไม่มีการดำเนินการเบื้องต้น โดยการกำหนดกระบวนการ/ดำเนินการสร้างความตระหนักเกี่ยวกับความสำคัญหรือความรู้ความเข้าใจของการบริหารความเสี่ยงในองค์กรต่อคณะกรรมการ ผู้บริหาร และพนักงานเท่านั้น ซึ่งกระบวนการสร้างความรู้ความเข้าใจดังกล่าว เช่น การจัดสัมมนาทั้งภายนอกและภายในองค์กรการจัดนิทรรศการ ป้ายประชาสัมพันธ์ วารสารภายใน และเสียงตามสาย เป็นต้น

การฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยง ต้องมีการให้ความรู้กับผู้บริหาร (3 อันดับแรก) และพนักงาน (พนักงานทุกคนในกรณีที่เป็นองค์กรขนาดเล็ก / ในกรณีองค์กรขนาดใหญ่ ต้องมีการสื่อสารและฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหาร

ความเสี่ยงสำหรับพนักงานในระดับที่เกี่ยวข้องในการรับผิดชอบในแต่ละปัจจัยเสี่ยง) และมีการสื่อสารสำหรับนโยบายหลักปฏิบัติในการบริหารความเสี่ยง

2. แนวทางในการบริหารความเสี่ยงยังไม่เป็นระบบ โดยเข้าเกณฑ์ข้อใดข้อหนึ่ง ดังต่อไปนี้

2.1. รัฐวิสาหกิจยังมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีที่ไม่ครบถ้วน ซึ่งองค์ประกอบหลักๆ ที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ยความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วย ความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนดวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2)
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลการบริหารความเสี่ยง

2.2. รัฐวิสาหกิจไม่มีการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

2.3. รัฐวิสาหกิจมีองค์ประกอบหลักข้างต้นของการบริหารจัดการความเสี่ยงที่ดีครบถ้วนทั้ง 5 องค์ประกอบ แต่ขาดการกำหนดวิธีการจัดการต่อความเสี่ยงที่มีลำดับความเสี่ยงสูง

2.4. การดำเนินการของรัฐวิสาหกิจขาดความสอดคล้องระหว่างองค์ประกอบหลักทั้ง 5 องค์ประกอบข้างต้น เช่น
– มีการระบุการกำหนดวิธีการจัดการต่อความเสี่ยงไม่ครบหรือไม่ตรงตามที่วิเคราะห์และระบุ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดการต่อความเสี่ยงเพียง 3 ประเภทเท่านั้น
– การระบุถึงความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ไม่ครบหรือ
ไม่สอดคล้องกับความเสี่ยงที่ระบุไว้ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการระบุถึงความเสียหายที่อาจจะเกิดขึ้น (ระดับความรุนแรง x โอกาสของการเกิดความเสี่ยง) เพียง 3 ประเภทเท่านั้น
– การจัดทำรายงานการบริหารความเสี่ยงและการประเมินผล ไม่ครบหรือไม่สอดคล้องกับ
ความเสี่ยงที่ระบุไว้ เป็นต้น เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดทำรายงาน
การบริหารความเสี่ยงและการประเมินผลเพียง 3 ประเภทเท่านั้น เป็นต้น

3. รัฐวิสาหกิจไม่มีคณะทำงาน หน่วยงานหรือผู้รับผิดชอบเพื่อบริหารจัดการความเสี่ยงในระดับองค์กร

4. รัฐวิสาหกิจไม่มีคู่มือการบริหารความเสี่ยง

การปรับเกณฑ์การประเมินผลฯ ปี 2553

ระดับ 2 : การบริหารความเสี่ยงเบื้องต้นที่มีระบบ
ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

1. การบริหารความเสี่ยงของรัฐวิสาหกิจเป็นกลยุทธ์ระยะสั้น

1.1. แผนงานการบริหารความเสี่ยงปรากฏในแผนกลยุทธ์ประจำปีของ รส.

1.2. เป้าหมายในแผนบริหารความเสี่ยง สอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีของ รส.

1.3. การดำเนินงานจัดทำแผนบริหารความเสี่ยงประจำปี ต้องมีการพิจารณาแผนการปฏิบัติการประจำปีของ รส. ที่เป็นแผนงานปกติ (แผนงานควบคุมภายใน) ที่จะจัดการความเสี่ยงที่มีอยู่ (Inherent Risk) ได้ว่ามีความเหมาะสมและ/หรือมีความเพียงพอหรือไม่ หากมีความไม่เหมาะสมและ/หรือมีความไม่เพียงพอ จะมีการหารือร่วมกันระหว่างหน่วยงานที่รับผิดชอบในการจัดทำแผน และหน่วยงานบริหารความเสี่ยง

2. รัฐวิสาหกิจมีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ เพื่อรับผิดชอบและติดตาม ในการบริหารจัดการความเสี่ยง ซึ่งโครงสร้างของคณะทำงานหรือผู้รับผิดชอบยังเป็นลักษณะเฉพาะกาล (เช่น คณะทำงานมีอายุการทำงานเพียง 1 ปี หรือ มีการทำงานเฉพาะเรื่องเพื่อเสนอเข้าคณะกรรมการพิจารณาเป็นคราวไป เป็นต้น) และ/หรือยังไม่มีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (ผลงานที่เป็นรูปธรรม ได้แก่ ผลงานที่นอกเหนือจากการประชุม เช่น การมีโครงการนำร่องในการพัฒนาระบบบริหารความเสี่ยง เป็นต้น)

3. มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ

3.1. รัฐวิสาหกิจมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหาร ความเสี่ยงในแต่ละปัจจัยเสี่ยงอยู่ ซึ่งองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง โดยการระบุความเสี่ยงต้องระบุความเสี่ยงครบทุกด้าน (เช่น ความเสี่ยงทั้ง 4 ด้านตามที่กระทรวงการคลังระบุ ได้แก่ ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยงด้านการดำเนินงาน (Operational Risk) ความเสี่ยงด้านธุรกิจ (Business Risk) และความเสี่ยงจากเหตุการณ์ภายนอก (Event Risk) เป็นต้น หรือ ความเสี่ยง 4 ด้านที่แบ่งออกเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

3.2. การดำเนินงานบริหารความเสี่ยงดังกล่าวเป็นการดำเนินงานเฉพาะส่วนหรือฝ่าย ไม่ใช่ในระดับองค์กร และ/หรือไม่ครบถ้วนตามที่ระบุและวิเคราะห์ไว้ หรือรัฐวิสาหกิจไม่มีการจัดทำ Risk Map (การแสดงความสัมพันธ์ของความเสี่ยงในแต่ละส่วนขององค์กร เพื่อแสดงผลกระทบของความเสี่ยงที่มีต่อกันในแต่ละฝ่าย เพื่อสะท้อนถึงภาพรวมความเสี่ยงขององค์กร) โดยระบุถึงสาเหตุของความเสี่ยงในแต่ละด้าน รวมถึงมีการวิเคราะห์ปัญหาที่เกิดขึ้น เพื่อที่จะทราบถึงต้นเหตุของการเกิดความเสี่ยงนั้น ๆ

3.3. รส. โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ ทั้งนี้ รส. จะต้องใช้ฐานข้อมูลในอดีต หรือการคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4. รัฐวิสาหกิจมีการจัดทำคู่มือบริหารความเสี่ยง และเผยแพร่ให้กับพนักงานทุกระดับ
คู่มือการบริหารความเสี่ยงที่ดี ควรประกอบไปด้วย
1) โครงสร้างของการบริหารความเสี่ยงขององค์กร (หน่วยงานที่รับผิดชอบด้านการบริหารความเสี่ยง / ระบบการติดตามงาน/การรายงานผลการบริหารความเสี่ยง)
2) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
3) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
4) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
5) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของ ความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
6) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง
รวมถึงคู่มือการบริหารความเสี่ยงดังกล่าวต้องมีการเผยแพร่ให้กับพนักงานทุกระดับผ่านช่องทางที่เหมาะสม โดย รส. จะต้องมีกระบวนการในการตรวจสอบถึงความเข้าใจของผู้บริหารและพนักงานในคู่มือดังกล่าว หากผลสำรวจถึงความเข้าใจในคู่มือต่ำกว่าที่ รส. ที่ประมาณการไว้ รส. ต้องดำเนินการปรับปรุงในจุดที่ต้องการแก้ไข อย่างเร่งด่วน และเผยแพร่ใหม่ในช่วงปีที่ประเมิน

สำหรับเกณฑ์การพิจารณาการบริหารความเสี่ยง ระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ในส่วนที่ 1 นี้นั้น ผมจะขอไปต่อในคราวหน้านะครับ

 

แนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ที่เกี่ยวข้องกับ GRC บางประการ

การบริหารความเสี่ยงที่มีการประเมินผลโดย สคร. / กระทรวงการคลัง ต่อการดำเนินงานของรัฐวิสาหกิจต่าง ๆ เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงาน ที่เป็นรูปธรรม

สคร. ได้ร่วมกับ คณะอนุกรรมการประเมินผลการบริหารความเสี่ยง ได้ยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่รูปธรรมของการบริหารเชิงรุก ที่เชื่อมโยงการกำกับดูแลกิจการที่ดี กับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่เกี่ยวข้อง โดยเชื่อมโยงกับการบริหารความเสี่ยงอย่างเป็นระบบ เพื่อให้หลักการบริหารความเสี่ยงที่ สคร. ใช้ในการประเมินผลรัฐวิสาหกิจเป็นรูปธรรมมากขึ้น สคร. และคณะอนุกรรมการประเมินผลการบริหารความเสี่ยง จึงได้นำ GRC – Governance + Risk Management + Compliance ซึ่งปัจจุบันเป็น First Priority ของหน่วยงานต่าง ๆ ทั่วโลก

GRC เป็นการยกระดับการบริหารความเสี่ยงของ COSO – ERM ให้เป็นรูปธรรมในทางปฏิบัติ โดยกระบวนการนี้จะต้องเริ่มต้นจากระดับคณะกรรมการ หรือเรียกสั้น ๆ ว่า Top Down เช่นเดียวกับการตรวจสอบภายใต้ภาวะเศรษฐกิจ การเงินปัจจุบัน ซึ่งเป็นเศรษฐกิจขาลงของประเทศต่าง ๆ ทั่วโลกนั้น ก็ต้องใช้แนวทาง Top Down เป็นหลัก เพื่อขับเคลื่อนผลประโยชน์ของผู้มีส่วนร่วม หรือ Stakeholders เป็นสำคัญ

GRC จะไม่ประสบความสำเร็จเลย ถ้าไม่มีการบริหารและจัดการในลักษณะ Top Down Basis ซึ่งจะต้องมีการเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ และแผนงาน รวมทั้งโครงการต่าง ๆ ให้สัมพันธ์กันในทุกองค์ประกอบที่เกี่ยวข้อง เพื่อการขับเคลื่อนศักยภาพโดยรวมขององค์กร ที่เรียกว่า Integrity – Driven Performance ตามที่ผู้เขียนได้กล่าวไว้แล้วในหัวข้ออื่น ๆ ก่อนหน้านี้

ดังนั้น ในการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส จึงได้กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเบื้องต้น ในปี 2553 ก่อนที่จะให้น้ำหนักมากขึ้นในปีต่อ ๆ ไป ดังนี้

ความคิดและความเข้าใจในการบริหารแบบบูรณาการผ่านกลยุทธ์ และ Action Plan ต่าง ๆ ขององค์กร เพื่อการขับเคลื่อน Integrity - Driven Performance ระดับองค์กรและระดับประเทศ

หลักเกณฑ์การประเมิน
หลักเกณฑ์การประเมินบริหารความเสี่ยง แบ่งเป็น 2 ส่วน ได้แก่
คะแนนในส่วนแรกที่ยึดหลักเกณฑ์ตาม COSO ERM และคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น

คะแนนในส่วนแรก แบ่งเป็นเกณฑ์ขั้นบันไดใน 3 ระดับ ได้แก่
ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น
มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

ระดับที่ 3 การบริหารความเสี่ยงที่มีองค์ประกอบที่ดีครบถ้วน ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน
มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส และมีการมีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

คะแนนในส่วนที่สอง เป็นเกณฑ์ที่มีคะแนนถ่วงน้ำหนักในเกณฑ์ดังกล่าว ได้แก่
• มีการบริหารความเสี่ยงแบบบูรณาการ
• มีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนด
• กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ
• มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น
• จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง
• กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงานและสัมพันธ์กับค่าตอบแทน
• มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร
• การบริหารความเสี่ยงเป็นการสนับสนุนการบริหารเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation)
• ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงเมื่อเทียบกับแผนการบริหารความเสี่ยง และเทียบจากอดีต
• Portfolio View of Risk (เกณฑ์ใหม่)
• Integrated Governance , Risk and Compliance (GRC – เกณฑ์ใหม่)

สคร. และคณะอนุกรรมการบริหารความเสี่ยง รวมทั้ง ทริส ได้ร่วมกันชี้แจงเกณฑ์การประเมินใหม่ ในปี 2553 แก่ผู้แทนของรัฐวิสาหกิจที่อยู่ในเกณฑ์ประเมินผลเรียบร้อยแล้ว ส่วนใหญ่คณะกรรมการรัฐวิสาหกิจฯ ยังไม่มีโอกาสได้ฟังหรือรับทราบการเปลี่ยนแปลงที่มีผลต่อบทบาทของคณะกรรมการ ตั้งแต่ระดับนโยบาย รวมทั้ง การปรับปรุงแนวทางการบริหารและการจัดการอย่างเป็นกระบวนการในส่วนที่เกี่ยวข้องต่อไป

การนำ GRC มาใช้วัดศัยกภาพในการบริหารรัฐวิสาหกิจ ซึ่งเริ่มตั้งแต่ ปี 2553 ในระดับเบื้องต้นนั้น น่าจะพิจารณาได้ว่า มีความสำคัญอย่างยิ่งยวด ต่อกระบวนการขับเคลื่อน หลักการของ CG ให้มาเชื่อมโยงกับกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO – ERM รวมทั้ง ผสมผสานการปฏิบัติตามกฎหมาย กฎเกณฑ์ / Compliance เข้าเป็นองค์ประกอบหลักในกระบวนการบริหาร ให้เป็นรูปธรรมนั้น เป็นเรื่องที่ต้องการความเข้าใจในความรับผิดชอบ ในทุกระดับ ของรัฐวิสาหกิจ เพื่อการเติบโตอย่างยั่งยืนขององค์กร เป็นสำคัญ

ในเรื่องของ GRC นี้เน้นผลประโยชน์ของผู้มีส่วนร่วม หรือผู้มีส่วนได้เสีย (Stakeholders) เป็นสำคัญ ซึ่งก็ตรงกับหลักการบริหารของหน่วยงานภาครัฐเป็นปกติอยู่แล้ว เพียงแต่คำจำกัดความและความหมายที่เกี่ยวเนื่องกับกระบวนการบริหารนั้น เป็นสิ่งที่จะใช้พิจารณาความเข้าใจร่วมกันของทั้งผู้ได้รับการประเมิน คือ รัฐวิสาหกิจต่าง ๆ กับผู้ประเมินผล ซึ่งก็คือ คณะอนุกรรมการประเมินผล ร่วมกับ ทริส ในการพิจารณาและวัดคุณภาพของการจัดการอย่างเป็นรูปธรรม

ความหมายของคำว่า Compliance ในองค์ประกอบของ GRC ก็เปลี่ยนแปลงไปอย่างมีนัยสำคัญ เพราะมิได้หมายความเฉพาะเพียง การปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่าง ๆ จากหน่วยงานภายนอก และหน่วยงานภายในองค์กรเท่านั้น แต่ Compliance ในคำจำกัดความใหม่นี้ มีความหมายกว้างขวาง ครอบคลุมไปถึง การปฏิบัติตาม Best Practice หรือจะเรียกว่า Good Practice รวมทั้ง การปฏิบัติให้ได้มาตรฐานสากล ในส่วนที่เกี่ยวข้อง เพื่อสร้างความน่าเชื่อถือ (Trust) การสร้างคุณค่าเพิ่ม (Value) การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ซึ่งขอขยายความสักเล็กน้อยนะครับว่า หมายถึง การติดตามผลของการปฏิบัติงาน ในแง่มุมต่าง ๆ ตามหลัก Balance Scorecard จากรายงานที่เกี่ยวข้อง

ซึ่งแน่นอนว่า จะสัมพันธ์กับหลักการของ COSO – ERM รวมทั้ง การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ของความถูกต้อง จากกระบวนการตรวจสอบความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ที่ผู้บริหารได้รับจากรายงานต่าง ๆ ตามหลักการ COSO ในองค์ประกอบเรื่อง Reporting ซึ่งเป็นหนึ่งในหลักการควบคุมการบริหารความเสี่ยง คือ S – O – F – C นั่นเอง

อีกองค์ประกอบหนึ่งของหลักการสร้างความเติบโตอย่างยั่งยืน (Sustainable Growth) ของ CG / ITG / GRC ก็คือ ความสามารถในการดำเนินการอย่างต่อเนื่อง และความอยู่รอด (Survival) ในกระบวนการบริหารและการจัดการที่เกี่ยวข้องกับความเสี่ยง ทางด้าน IT และ Non – IT ที่มีผลกระทบต่อ Activities Risk + Process Risk + Business Risk ซึ่งเป็นส่วนหนึ่งของ IT Governance Drivers เพื่อการขับเคลื่อน CG และ GRC ด้วย

 

CG+ITG+GRC กับ เกณฑ์การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ของ ก.คลัง และ TRIS

เราได้คุยกันถึงเรื่อง การกำกับดูแลกิจการที่ดี ( CG-Corporate Governance ) ซึ่งมีหลีกการใหญ่ ๆ 7 ประการด้วยกัน โดยทั่วไปการบริหารและการจัดการเพื่อก้าวไปสู่ CG ก็ยังขาดความเป็นรูปธรรมหลายประการ ในรูปธรรมที่เกี่ยวกับองค์ประกอบในแต่ละข้อของ CG และรูปธรรมของการเชื่อมโยงการบริหารการจัดการ CG ทั้ง 7 ข้อเข้าด้วยกันในลักษณะเป็นอวัยวะภายในร่างกายเดียวกัน ซึ่งเป็นเรื่องของความเข้าใจ ความหมายและการปฏิบัติตามคำที่เรียกสั้น ๆ ว่า Interdependency Approach

นอกจากนี้ การบริหารแบบบูรณาการ โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยงตามกรอบของ COSO – ERM นั้น การบริหาร CG จะต้องบริหารควบคู่กันไปกับ ITG หรือ IT Governance ด้วยเสมอ

ผมได้เขียนและอธิบายความหมายและกรอบการดำเนินงานย่อ ๆ ของ IT Governance ไปแล้วในหัวข้อที่เกี่ยวข้อง ซึ่งอาจกล่าวได้ว่าเป็นกระบวนการบริหารจัดการที่เน้นความถูกต้อง และความน่าเชื่อถือได้ของข้อมูล หรือสารสนเทศที่เรียกว่า Information ที่ใช้ในการจัดการเพื่อการบริหารทั้งองค์กร ตามกรอบ และวัตถุประสงค์หลักของ COSO – ERM คือ การบริหาร Strategic Risk การบริหาร Operation Risk การบริหารรายงานต่าง ๆ รวมทั้งรายงานทางการเงิน ซึ่งอาจเรียกได้ว่า Reporting Risk หรือ Financial Risk รวมทั้งการบริหารการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ หรือ Compliance Risk ซึ่งเป็นหัวใจสำคัญอย่างยิ่งยวด ของความสำเร็จในการบริหารแบบบูรณาการตามหลักการของ GRC คือ Governance + Risk Management + Compliance ซึ่งเป็น Statement ใหม่ ที่เป็น First Priority ของโลกในปัจจุบัน เพราะ GRC เป็นตัวขับเคลื่อน Integrity – Driven Performance Strategy

แนวทางในการปรับเกณฑ์การประเมินผลการบริหารความเสี่ยง ประจำปี 2553

GRC ที่เป็นตัวขับเคลื่อนที่ทรงคุณภาพ ซึ่งเป็นการบริหารที่ก่อให้เกิดความเป็นรูปธรรมตามแนวทางการบริหาร COSO – ERM และในช่วงเวลาที่ผ่านมา การบริหารตามแนวทางดังกล่าว ยังไม่มีความเด่นชัดในเรื่องการบริหารแบบบูรณาการ ตามหลักการของ COSO มากนัก

กระทรวงการคลัง โดย สคร. ร่วมกับทริส จึงนำแนวทาง GRC มาเป็นส่วนหนึ่งของการขับเคลื่อนการบริหารความเสี่ยงที่เชื่อมโยงกับ Governance และ Compliance โดยมีคำจำกัดความในแต่ละคำของ GRC ที่ชัดเจนและเป็นรูปธรรมมากขึ้น ตามที่ผมได้เขียนไว้ในหัวข้อที่เกี่ยวข้องในช่วง 2 – 3 สัปดาห์ที่ผ่านมา

ในวันที่ 4 กันยายน 2552 ซึ่งเป็นวันที่ สคร. ชี้แจงแนวทางการประเมินการบริหารความเสี่ยง ประจำปี 2553 นั้น ผมก็ได้ทราบเป็นครั้งแรกว่า รัฐวิสาหกิจมีแนวความคิดที่ต้องการให้มีศูนย์กลางให้หน่วยงานรัฐวิสาหกิจต่าง ๆ ได้แลกเปลี่ยนความคิดเห็น รวมทั้งแนวทางการดำเนินงาน เทคโนโลยีสารสนเทศ การจัดกิจกรรมอบรม สร้างเสริมความรู้ ความเข้าใจให้กับผู้บริหารและพนักงานในองค์กร รวมทั้ง เพื่อจะทำให้การพัฒนาการดำเนินงานด้านบริหารความเสี่ยงในหน่วยงานรัฐวิสาหกิจ มีการพัฒนาได้รวดเร็ว ถูกต้อง และมีประสิทธิภาพมากยิ่งขึ้น โดยมีคุณสาริณี แสงประสิทธิ์ เป็นประธานชมรม ซึ่งมีเว็บไซต์เพื่อการสื่อสารกับทางชมรม คือ www.risk-seclub.org เพื่อเป็นช่องทางหนึ่งในการแลกเปลี่ยนความคิดเห็นกับหน่วยงานกำกับที่เกี่ยวข้องต่อไป

สคร. และทริส ได้ร่วมกันชี้แจงกับคณะอนุกรรมการประมวลผลด้านการบริหารความเสี่ยง ต่อหน่วยงานรัฐวิสาหกิจต่าง ๆ เมื่อวันที่ 4 กันยายน 2552 นั้น ได้แนะนำและชี้แจงแนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ซึ่งจะได้กล่าวในตอนต่อ ๆ ไปนะครับ

 

GRC กลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance (ต่อ)

คราวที่แล้วเราได้พูดกันถึง ปัจจัยสำคัญที่จำเป็นอย่างยิ่งที่ผู้บริหารต้องใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC ที่ผมได้กล่าวไปแล้ว 3 หัวข้อ สำหรับในวันนี้เราจะมาคุยกันต่อถึงปัจจัย ข้อที่ 4 ซึ่งจะมีหัวข้อแยกย่อยลงไปอีกเล็กน้อยกันครับ

4. ความสำเร็จของการใช้ GRC เป็นกลยุทธ์นั้น ต้องการใช้ตัวขับเคลื่อนไปสู่ความสำเร็จตามวัตถุประสงค์หลักขององค์กร (Key Enablers) ที่สำคัญยิ่งเป็นฐานร่วมด้วยอย่างมีนัยสำคัญก็คือ

– การสร้าง/การมีวัฒนธรรม (Culture) ที่ยอมรับได้ ซึ่งต้องมีตัวเปรียบเทียบ หรือต้องมีวัฒนธรรมจากจิตใจ (Spirited) เป็นฐานสำคัญ และ

– คณะกรรมการ ผู้บริหาร ตามกลยุทธ์ GRC ต้องนำหลักการบริหารการเปลี่ยนแปลง (Change Management) มาใช้ และ

– สร้างความเป็นรูปธรรมในการบริหารความเสี่ยงแบบบูรณาการของการดำเนินงาน/การปฏิบัติงานที่ต้องมีบุคลากร (People) ที่มีความสามารถ รวมทั้งมีกระบวกการบริหารที่สร้างคุณค่าเพิ่ม (Value Management) และ

– องค์กรต้องมีการปรับปรุงกระบวนการทำงาน (Process Improvement) และปรับปรุงเทคโนโลยี (Improvement Technology) ให้มีลักษณะที่เป็นบูรณาการ และสัมพันธ์กับวิสัยทัศน์ พันธกิจ กลุยทธ นโยบาย แผนการปฏิบัติงานใหม่ ๆ ที่เป็นรูปธรรม รวมถึงมีการสื่อสารให้พนักงาน (People) ทุกระดับได้เข้าใจ

– คณะกรรมการ ผู้บริหาร ต้องทำงานเป็นทีม ที่ต้องการผู้นำ (Leader) ที่เข้มแข็ง โดยเฉพาะความสามารถในการปรับปรุงกระบวนการทำงาน กระบวนการปฏิบัติงาน ที่องค์กรส่วนใหญ่ยังมีโครงสร้าง และแนวการบริหารที่เป็นแบบอิสระ หรือ Silo อยู่มากในหลายองค์กร ทั้ง ๆ ที่เป็นองค์กรที่ได้รับรางวัลธรรมาภิบาล หรือการกำกับดูแลกิจการที่ดีมาแล้วก็ตาม

The Value Change Approach

The Value Change Approach

ทั้งนี้เพราะ คณะกรรมการธรรมาภิบาลที่ดีของชาติ หรือผู้ให้รางวัลมีมุมมองทางด้านธรรมาภิบาลเป็นเรื่อง ๆ แยกเป็นส่วน ๆ หรือพิจารณาแบบ Silo เช่น ให้หรือวัดการมีธรรมาภิบาลเพียงด้าน “ความโปร่งใส” หรือ “Transparency” เท่านั้น ซึ่งเป็นเรื่องที่อาจพิจารณาได้ค่อนข้างง่ายกว่าปัจจัยหลัก ๆ ที่เหลืออีก 6 ข้อหลัก ก็คือ ส่วนใหญ่ยังมีโอกาสปรับปรุงเพิ่ม Governance ได้มากก็คือ

1) การมีความเข้าใจและมีขีดความสามารถในการประพฤติ การปฏิบัติตามหน้าที่และความรับผิดชอบ (Responsibility)

2) คณะกรรมการและผู้บริหารระดับสูง และ C – Levels แสดงความรับผิดและรับชอบต่อผลการปฏิบัติตามหน้าที่ (Accountability) นั่นคือ ถ้าองค์กรเสียชื่อเสียง เสียความไว้วางใจ อย่างมีนัยสำคัญ ก็จะแสดง Spirits ในการรับผิดและรับชอบจากการบริหารองค์กรโดยรวม

3) มีการปฏิบัติต่อผู้มีส่วนได้เสียทุกกลุ่มอย่างเท่าเทียมกัน และเป็นธรรมในทุกกลุ่มที่เกี่ยวข้อง โดยคำนึงถึงผลกระทบหรือผลประโยชน์ต่อผู้มีส่วนได้เสีย (Stakeholders) เป็นหลัก

4) แสดงหรือจัดให้มีกลยุทธ์และขีดความสามารถในการสร้างมูลค่าเพิ่มให้กับกิจการในระยะยาว (Creation of Long Term Value) ซึ่ง GRC จะให้น้ำหนักข้อนี้มากเป็นพิเศษ

5) องค์กรต้องส่งเสริมการปฏิบัติอันเป็นเลิศ (Best Practice) และการปฏิบัติตามมาตรฐาน (Standard) ที่เป็นสากลและยอมรับปฏิบัติกันโดยทั่วไป รวมทั้งการมีจรรยาบรรณที่ดีในการประกอบธุรกิจ เช่น ไม่ซ้ำเติมคู่แข่ง เป็นต้น

6) องค์กรมีความสำนึกที่ต้องรับผิดชอบต่อสังคม และสิ่งแวดล้อมที่ดี (Social and Environmental Awareness) คณะกรรมการและผู้บริหารต้องเคารพ เคร่งครัดในการปฏิบัติตามกติกาของสังคม ซึ่งรวมทั้งกฎหมาย มาตรฐาน จริยธรรม/จรรยาบรรณ และวัฒนธรรมที่ดี อันเป็นที่ยอมรับกันโดยทั่วไป และมีความรับผิดชอบในการร่วมกันปกป้องสิ่งแวดล้อมทั้งภายในองค์กร และภายนอกองค์กร โดยไม่กระทบถึงผลประโยชน์ของประเทศที่ยอมรับได้ในแต่ละกรอบของ Risk Appetite และ Risk Tolerance ที่รัฐบาลนานาชาติกำหนดอันเป็นสากล

 

GRC กลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance (ต่อ)

ไม่ได้ update เรื่องของ GRC นานพอสมควร จากที่ทิ้งท้ายกันไว้ในเรื่องของการเชื่อมโยงกระบวนการ GRC เข้ากับระบบปฏิบัติการ (Performance) ที่จะช่วยสร้างคุณค่าเพิ่มได้อย่างยั่งยืน และเป็นสิ่งจำเป็นอย่างยิ่งยวดสำหรับองค์กรยุคใหม่ ฉะนั้น วันนี้เรามาพูดคุยกันต่อในเรื่องนี้กันเลยดีกว่าครับ

GRC Model ก็คือการพัฒนาองค์กรในการก้าวไปสู่หลักการปฏิบัติงาน และการดำเนินงานที่ดี (Best Practice) ที่ยอมรับได้ มาตรฐานที่ใช้เป็นสากล หรือมาตรฐานการปฏิบัติที่เป็นที่ยอมรับกันโดยทั่วไป ในการก้าวสู่การปฏิบัติงานที่ดีเพื่อก้าวสู่หลักการของ Governance หรือการเติบโตอย่างยั่งยืน

โดยมีองค์ประกอบต่าง ๆ ที่เกี่ยวข้องสัมพันธ์กับการบริหารความเสี่ยงทั่วทั้งองค์กร และสร้างความน่าเชื่อถือได้ ความเชื่อมั่นให้กับผู้มีผลประโยชน์ร่วมจากการปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่าง ๆ ทั้งจากหน่วยงานภายนอก และหน่วยงานภายใน

โดยยึดหลักการปฏิบัติตาม Compliance ที่เกี่ยวข้องทั้งด้าน IT และ Non – IT ทางด้าน Regulator และ Standard Compliance เพื่อสนับสนุน และส่งเสริม (Support) การบริหารความเสี่ยงแบบบูรณาการ (Integrity Driven)โดยการกำหนด Performance Strategy ให้เหมาะสม

GRC and Integrity - Driven Performance

GRC and Integrity - Driven Performance

การเชื่อมโยงกระบวนการ GRC เข้ากับระบบปฏิบัติการ (Performance)
สิ่งที่ทุกองค์กรควรพิจารณาในการเริ่มต้นเพื่อก้าวสู่ GRC และสร้างคุณค่าเพิ่มอย่างยั่งยืน คือ
1. พิจารณาภาพในมุมที่กว้างขึ้นของการสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วมสู่ CSR แทนการเน้นผู้ถือหุ้นหรือการทำกำไรเพียงอย่างเดียว แล้วคณะกรรมการ ผู้บริหารจะได้มุมมองใหม่ที่สามารถสร้างความพึงพอใจให้กับผู้เกี่ยวข้อง รวมทั้งผู้ถือหุ้นได้อย่างยั่งยืน

2. พัฒนาและสร้างความเข้าใจในเชิงลึก เพื่อกำหนดวิสัยทัศน์ พันธกิจ กลยุทธ์ นโยบาย แผนงานไปสู่การปฏิบัติ จากจิตสำนึก (Spiritual) ทั่วทั้งองค์กร เพื่อขับเคลื่อน “คุณค่า” ที่เป็นรูปธรรม และ

คณะกรรมการ ผู้บริหาร ควรตอบคำถามเพื่อประเมินตนเองในประเด็นต่าง ๆ ที่มีประสิทธิภาพ เหล่านี้ให้ได้ในการก้าวสู่ GRC + CSR (Corporate Social Responsibility)
1. GRC ในองค์กรของเราเป็นแค่รูปแบบ แต่ขาดสาระสำคัญในการปฏิบัติหรือไม่ และเราแน่ใจอย่างไรว่าองค์กรของเรามีการบริหารและการปฏิบัติที่ดี (Good Governance
Operational) ตามที่องค์กรของเราตั้งวิสัยทัศน์ กลยุทธ์ และแนวทางการปฏิบัติต่าง ๆ ไว้

2. ในกรณีที่องค์กรของเราต้องมีการปฏิรูปกฎเกณฑ์ ระเบียบ คำสั่ง รวมทั้งต้องจัดให้มีแนวทางการปฏิบัติงานใหม่ ๆ เพื่อก้าวไปสู่ GRC โดยเน้นเพียงเรื่องการควบคุมภายในต่าง ๆ รายงาน และการเปิดเผยข้อมูลอย่างโปร่งใสนั้น องค์กรของเรามองข้ามหรือไม่ได้พิจารณาความเสี่ยงและผลกระทบสำคัญ ๆ ที่มิใช่การเงินหรือไม่ เช่น ผลกระทบต่อชื่อเสียงขององค์กร

การไม่ปฏิบัติ หรือปฏิบัติไม่ครบถ้วนในการจัดการกระบวนการควบคุมความเสี่ยงต่าง ๆ รวมทั้งความเสี่ยงในการดำเนินงาน ซึ่งเป็นหัวใจสำคัญของกระบวนการบริหารในด้านพนักงาน กระบวนการทำงาน และเทคโนโลยี หรือ P + P + T ที่ส่งผลกระทบทางลบต่าง ๆ รวมทั้ง การไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ ระเบียบ คำสั่ง ++ และมาตรฐานต่าง ๆ ที่กำหนดโดยองค์กรภายนอก และภายนอกองค์กร เป็นต้น

3. ถึงแม้นโยบายองค์กรของเรามีความชัดเจนในการกำหนดให้องค์กรและทุกหน่วยงานมีการปฏิบัติตามกฎหมาย กฎเกณฑ์ มาตรฐาน ระเบียบ คำสั่งต่าง ๆ ของหน่วยงานภายนอก และหน่วยงานภายในแล้วก็ตามนั้น

คณะกรรมการและผู้บริหารมีความมั่นใจอย่างไรว่า ในลายลักษณ์อักษรต่าง ๆ ที่เป็นนโยบายและเป็นแนวทางการควบคุมภายในตามฐานความเสี่ยงแล้วระดับหนึ่ง จะมีการปฏิบัติจริงด้วยความรอบคอบจากจิตวิญญาณ (Spiritual) ที่ฝังอยู่ในใจของผู้บริหารและผู้ปฏิบัติงาน ในการลดความเสี่ยงอย่างเป็นกระบวนการเพื่อการเติบโตอย่างยั่งยืน

4. องค์กรของเราได้สร้างความสับสนในการบริหารและการจัดการในการบริหารความเสี่ยงในระดับองค์กรหรือไม่ เช่น ถ้าองค์กรไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ กับพนักงานผู้ปฏิบัติงาน เช่น ไม่มีนโยบาย กลยุทธ์ ที่ชัดเจนในการกำหนดแนวทางและวิธีการปฏิบัติตามมาตรฐาน กฎหมาย กฎเกณฑ์ (Compliance) ที่กำหนด ซึ่งพิจารณาได้ว่าเป็นการนำ GRC มาเชื่อมโยงกับระบบปฏิบัติการในมุมมองหนึ่ง

5. องค์กรของเราได้ขับเคลื่อนการสร้าง “คุณค่า” หรือสร้างคุณค่าเพิ่ม (Value Creation) โดยพิจารณาถึงดุลยภาพ การจัดการความเสี่ยงที่เป็นกระบวนการ และเป็นระบบที่ผสมผสานความสามารถทางด้านเทคโนโลยีสารสนเทศ มาขับเคลื่อนความสำเร็จในการบรรลุเป้าหมายทางธุรกิจที่เป็นรูปธรรมหรือไม่

มีการตรวจสอบ รายงาน กลไกที่เชื่อมั่นระหว่างมุมมองความสำเร็จทางธุรกิจและเชื่อมโยงกับตัวชี้วัดที่มีความหมาย ตรงประเด็น ไม่กำกวม กับเป้าประสงค์ในระดับองค์กร และระดับสายงานอย่างไร?

มีการบูรณาการและประสานงานที่มีดุลยภาพของ GRC คือ เป็น Integrity – Driven Performance ที่เป็นกลยุทธ์ใหม่ในการบริหารที่องค์กรสำคัญ ๆ ทั่วโลกจัดเป็น First Priority เพียงใด

คณะกรรมการชุดต่าง ๆ มีความเข้าใจในเรื่อง GRC และมีการประสานงานการบริหาร การประชุม การพิจารณาภาพรวมตามลักษณะงานที่กิจกรรมหนึ่ง ๆ จะต้องปฏิบัติในสายงานต่าง ๆ อย่างไร

มีหลักฐานอะไรในการดำเนินการดังกล่าวที่แสดงถึงความร่วมมือของคณะกรรมการชุดต่าง ๆ
คณะกรรมการตรวจสอบ ผู้ตรวจสอบภายใน มองภาพรวมของ GRC ได้ชัดเจน

แนวคิดและกลยุทธ์ในการดำเนินงานเพื่อขับเคลื่อนองค์กรไปสู่การบริหารความเสี่ยงแบบบูรณาการ และมีคุณค่า (Business Integrity)

แนวคิดและกลยุทธ์ในการดำเนินงานเพื่อขับเคลื่อนองค์กรไปสู่การบริหารความเสี่ยงแบบบูรณาการ และมีคุณค่า (Business Integrity)

6. เมื่อเราพอจะเข้าใจบทบาทและความสำคัญของ GRC ในการขับเคลื่อนคุณค่า และเพื่อการบรรลุเป้าหมายอย่างมีคุณภาพมากขึ้นแล้ว องค์กรและผู้บริหารจะต้องถามตนเองต่อไปว่า เราจะนำ GRC มาใช้ในการบริหาร เพื่อลดต้นทุนในการดำเนินงานหรือทำให้องค์กรลดต้นทุนได้มากขึ้นอย่างไร

องค์กรของเราจะสามารถดำเนินการปฏิบัติการให้เป็นไปตามมาตรฐานและกฎเกณฑ์ของสังคม (Compliance) จากทั้งภายนอกและภายในองค์กรให้มีศักยภาพ เพื่อรักษาชื่อเสียง ความเชื่อมั่น พร้อม ๆ กับการทำกำไรที่ได้ดุลยภาพอย่างยั่งยืนได้อย่างไร หรือต้องรอให้ภาครัฐออกหลักเกณฑ์และหลักการในลักษณะภาคบังคับให้ต้องมีการปฏิบัติเสียก่อน

7. ทุกองค์กรควรตระหนักจากความเข้าใจในการบริหารเชิงรุกว่า การปฎิบัติตาม Compliance โดยใช้หลักการ GRC ซึ่งมี Concept ที่ขยายความเพิ่มเติม ตั้งแต่ Vision ใหม่เพื่อ Stakeholders และการขับเคลื่อนองค์กรให้เป็น Integrity – Driven Performance และการปฏิบัติตามมาตรฐานและกฎเกณฑ์ของสังคมทั้งภายในและระหว่างประเทศนั้น เป็น “หัวใจ” ของช่องว่างในเชิงบริหารความเสี่ยงทั่วทั้งองค์กรของทุกหน่วยงานอย่างแท้จริง

8. ข้อสรุปในเบื้องต้นของทุกองค์กร โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง ก็คือ

8.1. มุมมองเชิงกลยุทธ์ขององค์กรที่ต้องมีเป้าหมายหลักอยู่ที่ผู้มีผลประโยชน์ร่วม ดังนั้น องค์กรที่ไม่ได้มีเป้าหมายเช่นนี้จะต้องปรับเปลี่ยนวิสัยทัศน์ใหม่ (Envision)

8.2. เมื่อองค์กรพิจารณาว่า GRC คือแนวทางการจัดการที่ดี เป็นที่ยอมรับโดยทั่วไปแล้ว องค์กรจะปรับเปลี่ยนกระบวนการปฏิบัติการหรือกระบวนการดำเนินงานให้มีลักษณะ Integrity – Driven Performance อย่างไร เพราะ GRC เป็นแนวทางการบริหารที่ได้ถูกจัดและยอมรับกันทั่วโลกให้เป็น First Priority ขององค์กรชั้นนำในปัจจุบันแล้ว

ครั้งหน้าผมจะมาบอกถึงปัจจัยสำคัญที่ใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC ท่านผู้บริหารและผู้สนใจ GRC ที่เป็นกลยุทธ์ใหม่นี้อย่าพลาด! ติดตามตอนต่อไปนะครับ

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/