Posts Tagged "GRC"

ก. คลัง กับ Successful GRC Integrated Into Business กับการบริหารบางมุมมอง

ในปัจจุบัน กระทรวงการคลัง โดย สคร. ได้กำหนดให้รัฐวิสาหกิจมีแนวปฏิบัติในการขับเคลื่อนการบริหารธุรกิจแนวใหม่ ซึ่งเรียกว่า GRC – Governance + Risk Managment + Compliance และกำลังเป็นที่สนใจทั่วโลกสำหรับแนวการบริหารยุคใหม่ หรือยุคเทคโนโลยีสารสนเทศนี้ ทั้งนี้ สคร. ได้กำหนดกรอบให้รัฐวิสาหกิจ โดยเฉพาะอย่างยิ่ง การบูรณาการระหว่าง Governance + Risk Management + Compliance – GRC ที่รัฐวิสาหกิจจะได้รับการประเมินในหัวข้อการบริหารความเสี่ยงที่จำเป็น

ตั้งแต่การกำหนดนโยบายด้าน GRC ซึ่งอาจมีรายละเอียดบางประการเพิ่มเติมจาก นโยบาย CG และ ITG ที่อาจจะมีอยู่แล้ว ลงไปถึงการดูแลการบริหารความเสี่ยงขององค์กร โดยรับรู้ถึงระดับความมีประสิทธิผลของการบริหารความเสี่ยง ที่ฝ่ายบริหารได้จัดให้มีขึ้นในองค์กร ได้ตระหนักและให้ความเห็นชอบกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร สอบทานความเสี่ยงในภาพรวมขององค์กร และพิจารณาเปรียบเทียบกับระดับความเสี่ยงที่องค์กรยอมรับได้

สำหรับผู้บริหารจะมีแนวทางในการประเมินในเรื่องที่เกี่ยวข้องกับ GRC ดังนี้

– รส. มีการกำหนดคณะทำงานที่รับผิดชอบดำเนินงานในด้าน GRC โดยมีผู้บริหารสูงสุดเป็นประธานคณะทำงาน และมีแผนงานที่ชัดเจนในการดำเนินการด้าน GRC รวมถึงนำเสนอคณะกรรมการเพื่อพิจารณา

– รส. มีการประเมินอย่างสม่ำเสมอถึงการประกอบธุรกิจขององค์กรว่า มีปัจจัยใดบ้างที่เป็นปัจจัยความเสี่ยง ทั้งที่มาจากภายนอกและภายใน ซึ่งอาจมีผลกระทบต่อการดำเนินธุรกิจอย่างมีนัยสำคัญ

– รส. ต้องมีการระบุปัจจัยเสี่ยง และกระบวนการในการบริหารความเสี่ยงในด้าน Compliance ให้ครบถ้วน

– รส. ต้องมีการเปิดเผยข้อมูลสำคัญ ๆ อย่างครบถ้วน ถูกต้อง เพียงพอ และทันต่อเหตุการณ์

ทั้งนี้ แนวการประเมินดังกล่าวจะอยู่ในหัวข้อการบริหารความเสี่ยงตามเกณฑ์การประเมินผล และการให้คะแนนโดย ก. คลัง – สคร. ซึ่ง ทริส จะมีหน้าที่ในการรวบรวม และประเมินการให้คะแนนเบื้องต้น เพื่อส่งให้คณะกรรมต่อไป

อนึ่ง แนวคิด GRC ในปัจจุบันไม่ใช่เพียงการนำเอาหลักการกำกับดูแล (Governance) มารวมกับ การบริหารความเสี่ยง (Risk Management) และการปฏิบัติตามกฎระเบียบและข้อบังคับ (Compliance) เท่านั้น แต่เป็นกรอบแนวคิดเชิงบูรณาการที่หลอมรวมองค์ประกอบการบริหารทั้ง 3 หลักการนี้เข้าด้วยกัน และเกิดเป็น Integrated Single Framework ซึ่งกรอบโครงสร้างนี้จะครอบคลุมถึง การกำกับดูแลองค์กรและการกำกับดูแลด้านเทคโนโลยีสารสนเทศ (Corporate Governance and IT Governance) การบริหารความเสี่ยงขององค์กร (Enterprise Risk Management – ERM) ซึ่งรวม COSO Framework CoBiT หรือ IT Risk และการปฏิบัติตามกฎระเบียบและข้อบังคับ (Compliance) สำหรับ IT และ Non – IT

GRC จึงเป็นกรอบโครงสร้างที่จะสร้างคุณค่าเพิ่ม และสร้างความมั่นใจในการตัดสินใจของผู้ที่มีผลประโยชน์ร่วมทุกกลุ่มขององค์กรได้ชัดเจนกว่า Sarbanes – Oxley Act ที่รู้จักกันดี ดังนั้น การนำกรอบโครงสร้าง GRC เชิงบูรณาการมาใช้ในธุรกิจ จึงเป็นเรื่องที่น่าสนใจ และเป็นประโยชน์อย่างยิ่งต่อกรรมการชุดต่าง ๆ ผู้บริหาร ผู้ตรวจสอบ และผู้ปฏิบัติงานด้าน IT และ Non – IT หน่วยงานกำกับดูแล หน่วยงานบริหารความเสี่ยง หรือหน่วยงานที่รับผิดชอบด้าน Compliance ผู้ที่รับผิดชอบในกรอบโครงสร้าง GRC เชิงบูรณาการ

ข้อคิดของผมในวันนี้ก็คือ องค์กรของท่านจัดให้มีการประเมินความเสี่ยงทางด้าน IT Risk ที่มีผลกระทบต่อ Business และ Objective Risk และมีผลต่อเนื่องไปยัง IT Controls และ IT Audit ซึ่งมีความสัมพันธ์อย่างแยกกันไม่ได้กับทุกองค์ประกอบของการบริหาร และการจัดการองค์กร

หากหัวหน้าผู้บริหารงานตรวจสอบที่ต้องปฏิบัติตามมาตรฐานของสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือมาตรฐานการปฏิบัติงานตรวจสอบในระดับสากล ไม่คำนึงถึง IT Risk ที่มีผลกระทบต่อการวางแผนการตรวจสอบแล้ว การประเมินผลกระทบความเสี่ยงของระดับองค์กร หรือในระัดับธุรกิจ ซึ่งเป็นระดับที่เกี่ยวเนื่องกับธุรกิจขององค์กรที่เกี่ยวข้องทุกแห่งแล้ว การวางแผนการตรวจสอบเพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ข้อมูลและรายการทางการเงินมีความเพียงพอที่จะให้ความมั่นใจต่อผู้มีผลประโยชน์ร่วม รวมทั้งการให้คำแนะนำในส่วนที่เกี่ยวข้อง ที่มีคุณค่าต่อการบริหาร คงกระทำได้อย่างจำกัดมาก

ทั้งนี้เพราะในการทำความเข้าใจถึงความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ จะต้องระบุว่ามีอะไรที่สามารถเกิดข้อผิดพลาดขึ้นได้ และมีผลกระทบต่อความน่าเชื่อถือทางการเงิน รวมทั้งการทุจริตที่เกี่ยวข้องจะประกอบไปด้วย
– ความพร้อม (Availability) เมื่อระบบไม่พร้อมใช้งาน
– ความปลอดภัย (Security) เมื่อเกิดการลักลอบเข้าระบบโดยไม่ได้รับอนุญาต
– ความถูกต้องสมบูรณ์ (Integrity) เมื่อข้อมูลไม่ครบถ้วนหรือไม่ถูกต้อง
– ความลับ (Confidentiallity) เมื่อข้อมูลถูกเปิดเผย
– ความมีประสิทธิผล (Effectiveness) เมื่อระบบไม่ปฏิบัติงานตามที่คาดหวัง
– ความมีประสิทธิภาพ (Efficiency) เมื่อระบบก่อให้เกิดการใช้ทรัพยากรที่ไม่คุ้มค่า

ท่านผู้อ่านครับ บางท่านอาจจะส่งสัยว่า ทำไมผมถึงนำเรื่องการควบคุมภายในและการตรวจสอบ โดยเฉพาะอย่างยิ่ง การตรวจสอบทางด้าน IT Audit มาลงในหัวข้อ GRC เหตุผลง่าย ๆ ก็คือ GRC เป็นการขับเคลื่อนในลักษณะ Integrity – Driven Performance ภายใต้ร่ม Consolidated Single Framework ที่ทุกอย่างภายใต้ร่มใบนี้ ไม่ว่าจะเป็นเรื่อง CG, ITG, COSO – ERM, CobiT, Internal Control ทั้งทางด้าน IT และ Non – IT, การตรวจสอบทางด้าน IT และ Non – IT ซึ่งรวมทั้งการติดตาม (Monitoring) ของผู้บริหารในภาพโดยรวม และอยู่ภายใต้ร่มของ GRC และทุกองค์ประกอบที่เกี่ยวข้อง ถึงแม้มีความอิสระ แต่มีความสัมพันธ์ซึ่งกันและกันอย่างแยกกันไม่ได้

สิ่งเหล่านี้เราเรียกกันว่า Interdependent ซึ่งอาจเปรียบเทียบกับองค์กรที่มีชีวิต ได้กับร่างกายที่มีชีวิตว่า ร่างกายประกอบด้วยอวัยวะที่ทำงานอย่างเป็นอิสระและมีความสำคัญหลายส่วน แต่ทุกส่วนของอวัยวะ ซึ่งได้แก่ หัวใจ ปอด สมอง +++ มีความเกี่ยวข้องซึ่งกันและกันโดยแยกจากกันไม่ได้ แต่อวัยวะทุกส่วนก็เป็นอิสระ

ครับ ผมกำลังพูดถึงเรื่อง GRC ในมุมมองของการบริหารที่เทียบได้กับองค์กร หรือร่างกายที่มีชีวิตอยู่นะครับ ดังนั้น ท่านผู้อ่านอย่าแปลกใจนะครับว่า หัวข้อต่าง ๆ ของผมต่อไปนี้ แต่ละหัวข้อจะมีความสัมพันธ์กันและกันตามเหตุผลที่กล่าวข้างต้น

 

แนวคิดและความเข้าใจเกี่ยวกับ GRC ในมุมมองต่างๆ

ครั้งก่อน ๆ ผมได้พูดถึงบางมุมมองของการก้าวไปสู่ CG หรือการกำกับดูแลกิจการที่ดีที่อธิบายโดยแผนภาพ เพื่อให้เห็นองค์ประกอบที่เกี่ยวข้องในการก้าวสู่การเติบโตอย่างยั่งยืน (Sustainable Growth) มาหลายครั้งแล้ว แต่ก็ยังไม่จบนะครับ เกรงว่าท่านผู้อ่านจะเบื่อในแนวทางการนำเสนอโดยใช้แผนภาพ ซึ่งความจริงเป็นเรื่องสำคัญอย่างยิ่งในหลักการบริหาร CG ที่มีผู้บริหารหลายท่านยังมีมุมมองที่แตกต่างกันไป ก่อนที่จะก้าวไปสู่การบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM + การควบคุมภายในและการตรวจสอบภายใน และการติดตามผล

วันนี้ผมจะหักมุมในแนวการเสนอจากกรอบของ CG ที่เป็นแผนภาพมาสู่การอธิบาย GRC ที่เกี่ยวข้องกับ CG และ ITG ก่อนจะกลับไปสู่เรื่องของ CG ในลักษณะของแผนภาพต่อไป เนื่องจาก GRC ในปัจจุบันมีผู้สนใจเป็นจำนวนมาก และมีหลายท่านให้ข้อสังเกตว่า ยังเข้าใจในเรื่องความหมายของ GRC ที่แตกต่างกัน ซึ่งนำไปสู่การปฏิบัติที่เป็นรูปธรรมไม่ได้ง่ายนัก ผมจึงขออธิบาย GRC เพิ่มเติม จากที่เคยอธิบายสั้น ๆ มาแล้ว ดังนี้

GRC มีความหมายในแต่ละคำที่เกิดจาก G + R + C ที่ส่วนใหญ่เราเข้าใจตรงกันแล้วนะครับ แต่ความหมายโดยรวม ซึ่งนำทั้ง 3 คำมารวมกัน มีนัยและความหมาย แนวความคิด แนวการปฏิบัติ แนวการควบคุม และแนวการตรวจสอบ รวมทั้งการติดตามผลที่แตกต่างกันเป็นอย่างมาก ก่อนที่จะอธิบายในรายละเอียดของ GRC ในความหมายใหม่ตามที่กล่าวข้างต้น ซึ่งจะมีนัยทาง Integreted GRC มากกว่า G + R + C ที่มีลักษณะและแนวความคิดแบบ SILO หรือแยกความคิด ความเข้าใจ และการปฏิบัติออกเป็นส่วน ๆ ตาม G + R + C ดังเดิม โดย:

GRC เป็น
– ทิศทางใหม่สำหรับผู้บริหารระดับสูงทุกคน มิใช่ CIO หรือผู้บริหารระบบสารสนเทศ
– C-Levels ทุกคนจำเป็นต้องร่วมแรงร่วมใจในการผลักดันแนวความคิด GRC ให้เป็นผลการปฏิบัติงานจริง
– Leadership/ผู้นำ ที่มี Competencies ที่แท้จริง เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ
– องค์กรต้องมี นโยบาย + กลยุทธ์ รวมทั้งแผนงานในการใช้หรือบริหารทรัพยาการ ตามแนวคิด GRC
– Standard & Best Practice & เทคโนโลยีจำเป็นต้องนำมาใช้เพื่อให้เกิด Integrated – Driven Pefermance
– การหลอมรวมการบริหารในมุมมองของ GRC ทั้ง G + R + C ต้องเกิด Intergrated G + R + C ทั้งธุรกิจ (Holistic Framework) จะสามารถสร้าง
คุณค่าเพิ่ม และยกระดับการแข่งขันให้กับองค์กร + ระดับชาติได้อย่างสำคัญ

ยังมีตอนต่อไปเกี่ยวข้องกับเรื่องความเข้าใจในมุมมองต่าง ๆ ของ GRC, Integrated GRC วัตถุประสงค์และประโยชน์ของ GRC ซึ่งจะได้กล่าวในตอนต่อ ๆ ไปนะครับ