Posts Tagged "CG & ITG & GRC กับเกณฑ์การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553"

การประเมินผลการบริหารความเสี่ยงของรัฐวิสหากิจ ประจำปี 2553 (ต่อ)

สำหรับวันนี้คงไม่ต้องอธิบายอะไรมากนะครับ เราคงมาต่อกันในเรื่องของเกณฑ์การพิจารณาการบริหารความเสี่ยง ซึ่งผมจะขอนำเสนอเกณฑ์ในระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ต่อจากที่ได้นำเสนอไป 2 ระดับในครั้งที่แล้วครับ

ระดับ 3 : การบริหารความเสี่ยงในเชิงบูรณาการ
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร

2.1 แผนงานการบริหารความเสี่ยงปรากฏในแผนวิสาหกิจของ รส.

2.2 เป้าหมายในแผนบริหารความเสี่ยงมีการถ่ายทอดลงถึงระดับฝ่าย และสอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีในแต่ละฝ่ายงานของ รส.

3. มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน

3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)

3.2 มีการกำหนดบทบาทหน้าที่ และความรับผิดชอบของกลุ่มบุคคลต่างๆ ที่มีส่วนร่วมด้านการบริหารความเสี่ยงขององค์กร

3.3 มีการกำหนดแผนการปฏิบัติงานสำหรับหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยงประจำปี และแผนการปฏิบัติงานดังกล่าวผ่านการอนุมัติจากผู้บริหารระดับสูง เช่น แผนการฝึกอบรมหรือสร้างความรู้ความเข้าใจหน่วยงานอื่นเกี่ยวกับการบริหารความเสี่ยง การรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการตรวจสอบและคณะกรรมการ รส. ตามกำหนด เป็นต้น และสามารถบรรลุเป้าหมายตามแผนการปฏิบัติงานนั้นได้ครบถ้วน

4.มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส

4.1 มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง โดยใช้ฐานข้อมูลในอดีต หรือ การคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4.2 กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวังของทุกปัจจัยเสี่ยงได้ โดยเป็นเป้าหมาย ณ สิ้นปีบัญชี พร้อมทั้งเป้าหมายที่คาดหวังในเชิงระดับความรุนแรงต้องสามารถอธิบายได้โดยใช้ฐานข้อมูลและการวิเคราะห์เช่นเดียวกัน

4.3 สามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส เทียบกับเป้าหมายที่คาดหวัง พร้อมวิเคราะห์ถึงปัญหา/อุปสรรค และแนวทางทีจะบรรลุถึงเป้าหมาย

5. มีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

5.1 องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกปัจจัยเสี่ยงโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

5.2 Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

5.3 Risk Appetite ต้องสอดคล้องกับเป้าหมายขององค์กรประจำปีบัญชีที่ระบุในแผนปฏิบัติการประจำปี หรือ ค่า “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดสูงกว่า

5.4 Risk Tolerance ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ระบุในแผนปฏิบัติการประจำปี หากไม่มีระบุ ต้องเป็นค่า Risk Tolerance ที่ผ่านการอนุมัติจากคณะกรรมการ รส. หรือ ผลต่างของค่าเกณฑ์วัด “ระดับ 3” ในบันทึกข้อตกลงการประเมินผลการดำเนินงาน แล้วแต่ค่าใดต่ำกว่า

6. มีการบริหารความเสี่ยงแบบบูรณาการ

6.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ โดยกลยุทธ์ในแผนการบริหารความเสี่ยงมีความสัมพันธ์กับกลยุทธ์ของรัฐวิสาหกิจ และมีการทบทวนกลยุทธ์การบริหารความเสี่ยง ในช่วงเวลาที่มีการรายงานผลการปฏิบัติงานตามแผนประจำปี เพื่อให้ทราบถึงปัญหา อุปสรรค ที่ส่งผลต่อการบรรลุเป้าหมายขององค์กร และเพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายองค์กร โดยการใช้กระบวนการบริหารความเสี่ยง

6.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยงในปีบัญชี 2552

6.2.1 การกำหนดสาเหตุของความเสี่ยงในทุกปัจจัยเสี่ยง และสามารถกำหนดระดับความรุนแรงของแต่ละสาเหตุในทุกปัจจัยเสี่ยง โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหาร
ความเสี่ยง

6.2.2 การวิเคราะห์ความสัมพันธ์ระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์ของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.3 การวิเคราะห์ผลกระทบระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบของสาเหตุ โดยมีการวิเคราะห์ผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบทั้งเชิงปริมาณ และมิใช่เชิงปริมาณของสาเหตุ โดยผ่านกระบวนการพิจารณาจาก Risk Owner ร่วมกับฝ่ายบริหารความเสี่ยง

6.2.4 การนำ Risk Map ไปใช้ในการกำหนดแผนการบริหารความเสี่ยง ในแผนการบริหารความเสี่ยง โดยมีการบริหารถึงปัจจัยเสี่ยงที่เป็นสาเหตุหลัก และมีการกล่าวถึงปัจจัยเสี่ยงที่มีระดับความรุนแรงสูง และส่งผลกระทบต่อปัจจัยเสี่ยงดังกล่าว รวมถึงมีการประเมินถึงความสำเร็จของเป้าหมายในการบริหารความเสี่ยงของปัจจัยเสี่ยงหลัก ว่าเป็นผลมาจากการบริหารปัจจัยเสี่ยงที่เป็นสาเหตุ หรือการบริหารปัจจัยเสี่ยงที่มีผลกระทบสูง

6.2.5 การสร้างความเข้าใจในเรื่อง Risk Map ให้กับบุคลากรในองค์กร โดย Risk Owner มีส่วนร่วมในการจัดทำ Risk Map และยอมรับในการร่วมกันจัดทำแผนการบริหารความเสี่ยงในกลุ่มความเสี่ยงที่มีความสัมพันธ์กัน รวมถึงบุคลากรในองค์กร รับรู้และเข้าใจเรื่อง Risk Map

 

CG+ITG+GRC กับ เกณฑ์การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ของ ก.คลัง และ TRIS

เราได้คุยกันถึงเรื่อง การกำกับดูแลกิจการที่ดี ( CG-Corporate Governance ) ซึ่งมีหลีกการใหญ่ ๆ 7 ประการด้วยกัน โดยทั่วไปการบริหารและการจัดการเพื่อก้าวไปสู่ CG ก็ยังขาดความเป็นรูปธรรมหลายประการ ในรูปธรรมที่เกี่ยวกับองค์ประกอบในแต่ละข้อของ CG และรูปธรรมของการเชื่อมโยงการบริหารการจัดการ CG ทั้ง 7 ข้อเข้าด้วยกันในลักษณะเป็นอวัยวะภายในร่างกายเดียวกัน ซึ่งเป็นเรื่องของความเข้าใจ ความหมายและการปฏิบัติตามคำที่เรียกสั้น ๆ ว่า Interdependency Approach

นอกจากนี้ การบริหารแบบบูรณาการ โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยงตามกรอบของ COSO – ERM นั้น การบริหาร CG จะต้องบริหารควบคู่กันไปกับ ITG หรือ IT Governance ด้วยเสมอ

ผมได้เขียนและอธิบายความหมายและกรอบการดำเนินงานย่อ ๆ ของ IT Governance ไปแล้วในหัวข้อที่เกี่ยวข้อง ซึ่งอาจกล่าวได้ว่าเป็นกระบวนการบริหารจัดการที่เน้นความถูกต้อง และความน่าเชื่อถือได้ของข้อมูล หรือสารสนเทศที่เรียกว่า Information ที่ใช้ในการจัดการเพื่อการบริหารทั้งองค์กร ตามกรอบ และวัตถุประสงค์หลักของ COSO – ERM คือ การบริหาร Strategic Risk การบริหาร Operation Risk การบริหารรายงานต่าง ๆ รวมทั้งรายงานทางการเงิน ซึ่งอาจเรียกได้ว่า Reporting Risk หรือ Financial Risk รวมทั้งการบริหารการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ หรือ Compliance Risk ซึ่งเป็นหัวใจสำคัญอย่างยิ่งยวด ของความสำเร็จในการบริหารแบบบูรณาการตามหลักการของ GRC คือ Governance + Risk Management + Compliance ซึ่งเป็น Statement ใหม่ ที่เป็น First Priority ของโลกในปัจจุบัน เพราะ GRC เป็นตัวขับเคลื่อน Integrity – Driven Performance Strategy

แนวทางในการปรับเกณฑ์การประเมินผลการบริหารความเสี่ยง ประจำปี 2553

GRC ที่เป็นตัวขับเคลื่อนที่ทรงคุณภาพ ซึ่งเป็นการบริหารที่ก่อให้เกิดความเป็นรูปธรรมตามแนวทางการบริหาร COSO – ERM และในช่วงเวลาที่ผ่านมา การบริหารตามแนวทางดังกล่าว ยังไม่มีความเด่นชัดในเรื่องการบริหารแบบบูรณาการ ตามหลักการของ COSO มากนัก

กระทรวงการคลัง โดย สคร. ร่วมกับทริส จึงนำแนวทาง GRC มาเป็นส่วนหนึ่งของการขับเคลื่อนการบริหารความเสี่ยงที่เชื่อมโยงกับ Governance และ Compliance โดยมีคำจำกัดความในแต่ละคำของ GRC ที่ชัดเจนและเป็นรูปธรรมมากขึ้น ตามที่ผมได้เขียนไว้ในหัวข้อที่เกี่ยวข้องในช่วง 2 – 3 สัปดาห์ที่ผ่านมา

ในวันที่ 4 กันยายน 2552 ซึ่งเป็นวันที่ สคร. ชี้แจงแนวทางการประเมินการบริหารความเสี่ยง ประจำปี 2553 นั้น ผมก็ได้ทราบเป็นครั้งแรกว่า รัฐวิสาหกิจมีแนวความคิดที่ต้องการให้มีศูนย์กลางให้หน่วยงานรัฐวิสาหกิจต่าง ๆ ได้แลกเปลี่ยนความคิดเห็น รวมทั้งแนวทางการดำเนินงาน เทคโนโลยีสารสนเทศ การจัดกิจกรรมอบรม สร้างเสริมความรู้ ความเข้าใจให้กับผู้บริหารและพนักงานในองค์กร รวมทั้ง เพื่อจะทำให้การพัฒนาการดำเนินงานด้านบริหารความเสี่ยงในหน่วยงานรัฐวิสาหกิจ มีการพัฒนาได้รวดเร็ว ถูกต้อง และมีประสิทธิภาพมากยิ่งขึ้น โดยมีคุณสาริณี แสงประสิทธิ์ เป็นประธานชมรม ซึ่งมีเว็บไซต์เพื่อการสื่อสารกับทางชมรม คือ www.risk-seclub.org เพื่อเป็นช่องทางหนึ่งในการแลกเปลี่ยนความคิดเห็นกับหน่วยงานกำกับที่เกี่ยวข้องต่อไป

สคร. และทริส ได้ร่วมกันชี้แจงกับคณะอนุกรรมการประมวลผลด้านการบริหารความเสี่ยง ต่อหน่วยงานรัฐวิสาหกิจต่าง ๆ เมื่อวันที่ 4 กันยายน 2552 นั้น ได้แนะนำและชี้แจงแนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ซึ่งจะได้กล่าวในตอนต่อ ๆ ไปนะครับ