Posts Tagged "Security and Risk Appetite"

ความมั่นคงปลอดภัยของประเทศกับการบริหารความเสี่ยงที่เป็นกระบวนการ

ครั้งที่แล้ว ผมได้ให้ข้อสังเกตถึงเรื่องความเตรียมพร้อมทางด้านความมั่นคงทางการทหารของประเทศเพื่อนบ้านในลักษณะกว้าง ๆ เพียงให้ข้อสังเกตในเบื้องต้นว่า การป้องกันดีกว่าการแก้ไข โดยเฉพาะอย่างยิ่งการต่อสู้ยุคใหม่ต้องอาศัยข้อมูลและข่าวสารสนเทศที่ถูกต้องแม่นยำ ทันเหตุการณ์และทันเวลา และต่อสู้กันด้วยความคิดว่า ผู้ไม่หวังดี รวมทั้งประเทศที่ไม่หวังดีนั้น คือใคร เพื่อจะหาทางป้องกันได้อย่างเหมาะสมต่อไป

ความเข้มแข็งและอาวุธสมัยใหม่ ประกอบกับข้อมูลข่าวสารที่ถูกต้อง ทันเหตุการณ์ ผสมผสานอย่างสอดคล้องกับกลยุทธ์ แผนงาน จากนโยบายที่ชัดเจนเป็นรูปธรรม +++ กำลังทางอากาศที่ทรงพลัง มีอานุภาพ จะทำให้ชนะในการรบ และสงครามได้ แต่ก็ไม่ชนะได้อย่างเด็ดขาด ถ้าไม่มีทหารราบที่มีคุณภาพ พร้อมอาวุธที่เหมาะสม ตามไปยึดและรักษาพื้นที่ที่กองกำลังทางอากาศได้ปูทางไว้แล้ว

หากประเทศใดประเทศหนึ่ง โดยเฉพาะอย่างยิ่งประเทศเพื่อนบ้านของเรา เคลื่อนกำลังรบผ่านอุโมงค์ หรือผ่านเส้นทางซึ่งประเทศไทยไม่อาจติดตามได้โดยวิธีการตามปกติ เช่น เรดาห์ หรือการสังเกตการจากดาวเทียม หรือแม้แต่เครื่องบิน ประเทศของเราคงจะเสียเปรียบทางด้านกลยุทธ์และการวางกำลังที่เหมาะสมได้

การกำหนด Risk Appetite และ Risk Tolerance ในระดับประเทศและในระดับองค์กร จะต้องกำหนดโดยรัฐบาล ร่วมกับหน่วยงานทางด้านความมั่นคง และถ้าหากเป็นระดับองค์กรต้องกำหนดโดยคณะกรรมการขององค์กรนั้น

ผมได้เคยพูดถึงความเสี่ยงที่ยอมรับได้ ที่เราเรียกว่า Risk Appetite และระดับความเบี่ยงเบนจากความเสี่ยงที่เรายอมรับได้ หรือยอมรับไม่ได้ ขึ้นกับมุมมองในระดับองค์กร และในระดับประเทศไปแล้วนั้น หากเราสมมุติเหตุการณ์ว่า หากภาคกลางตอนล่างของประเทศ ตั้งแต่ราชบุรี เพชรบุรี ประจวบคีรีขันธ์ลงไป ที่เป็นด้ามขวานทองของไทย แผ่นดินช่วงนี้มีเนื้อที่ค่อนข้างแคบมาก ถ้าผู้ไม่หวังดี รวมทั้งประเทศที่อาจมีปัญหากันในอนาคต โจมตีหลาย ๆ จุดพร้อม ๆ กัน ก็สามารถจะแบ่งแยกหรือเข้ายึดอาณาเขตในส่วนนี้เพื่อเป็นข้อต่อรองได้อย่างง่ายดาย จากการขนส่งกำลังพลและกำลังอาวุธที่มีการเตรียมพร้อมอย่างดี ประเทศไทยน่าจะเสียเปรียบเป็นอย่างมาก

ข้อคิดของผมที่ยกเรื่องข้างต้นขึ้นมากล่าวจากข้อเท็จจริงที่ปรากฎเป็นข่าวในช่วงที่ผ่านมาประมาณ 3 เดือนในเรื่องของการสร้างอุโมงค์เรียบชายแดนไทยตรงที่เป็นด้ามขวานทองของไทยนั้น ประเทศของเรา หน่วยงานความมั่นคงต่าง ๆ ของเราได้กำหนดกลยุทธ์ที่เหมาะสม ทั้งในเชิงป้องกัน และในเชิงรุกไว้เพียงใด มีการกำหนดระดับความเสี่ยงหรือความเสียหายที่ยอมรับได้ จากเหตุการณ์ต่าง ๆ ที่สามารถสร้างสมมุติฐาน เพื่อกำหนดระดับ Risk Appetite และ Risk Tolerance ที่สัมพันธ์กับกลยุทธ์และ Action Plan เพียงใด และการกำหนด Risk Appetite และ Risk Tolerance ในระดับประเทศและในระดับองค์กร จะต้องกำหนดโดยรัฐบาล ร่วมกับหน่วยงานทางด้านความมั่นคง และถ้าหากเป็นระดับองค์กรต้องกำหนดโดยคณะกรรมการขององค์กรนั้น ทั้งนี้เพราะการกำหนด Risk Appetite และ Risk Tolerance ดังกล่าว จะเกี่ยวข้องกับนโยบายของประเทศที่มีผลต่อการกำหนดกลยุทธ์และ Action Plan ตามที่ได้กล่าวแล้วข้างต้นนั่นเอง

ทั้งนี้เพราะกลยุทธ์และ Action Plan ที่มาจากนโยบายทางด้านความมั่นคงปลอดภัยของประเทศ ต้องมีการบริหารแบบสอดประสานและบูรณาการเป็นอย่างดี ซึ่งเรื่องนี้เพียงเทียบเคียงกับการบริหารงานในองค์กรหลายแห่ง โดยเฉพาะหลายหน่วยงานของรัฐ ก็จะพบว่าการบริหารแบบสอดประสานและบูรณาการยังมีข้อควรจะปรับปรุงได้อีกมากพอสมควร

ดังนั้น หากหน่วยงานที่เป็นความมั่นคงของประเทศ ขาดการบริหารและบูรณาการที่มีความชัดเจน ตามหลักของ GRC ซึ่งหมายถึง Governance ในที่นี้จะหมายถึงความมั่นคงและปลอดภัยอย่างยั่งยืนของชาติ ที่ต้องการการส่งสัญญาณในลักษณะ Top down จากจิตสำนึก (Spiritual) ที่มีความมุ่งมั่นอย่างสูงจากความรับผิดชอบตามหน้าที่ ดังที่เรียกกันว่า Responsibility และ Accountability +++

ประกอบกับการมีเครื่องมือที่มุ่งไปสู่ Governance ก็คือ การบริหารความเสี่ยงอย่างเป็นกระบวนการ ตามหลักการของ COSO – Enterprise Risk Management ซึ่งมีองค์ประกอบที่เกี่ยวข้องที่มีความสัมพันธ์กันอย่างใกล้ชิดอยู่ 8 องค์ประกอบด้วยกัน ซึ่งในเรื่องนี้สิ่งที่ประเทศและทุกองค์กรจะต้องดำเนินการก็คือ การกำหนด Risk Appetite และ Risk Tolerance ที่เป็นรูปธรรมและสัมพันธ์กับนโยบาย กลยุทธ์ แผนการดำเนินงานทางด้านความมั่นคง ที่ทุกหน่วยงานควรจะได้เข้าใจตรงกันอย่างแท้จริง

หากมีเวลาและโอกาสที่อำนวยให้มีการแลกเปลี่ยนกันในเชิงสร้างสรร และด้วยความเคารพในทุกฝ่ายที่เกี่ยวข้อง ผมจะขออนุญาติของความเห็น รวมทั้งการสร้างภาพจำลอง เพื่อให้มีการประเมินตนเอง ตามหลักการ Control Self Assessment – CSA ซึ่งเป็นส่วนหนึ่งของการบริหารความเสี่ยงและการควบคุมเหตุการณ์หรือปัจจัยเสี่ยงจากต้นเหตุ (Root Cause) ต่อไปนะครับ