การพัฒนาในเชิงรุกเพื่อให้เกิด Resilience ทางด้าน Cybersecurity ของรัฐวิสาหกิจ – มุมมองประเมินผล

มิถุนายน 24, 2025

ในยุคที่ภัยคุกคามทางไซเบอร์กลายเป็นความเสี่ยงระดับชาติ การรับมือเชิงรับเพียงอย่างเดียวไม่เพียงพออีกต่อไป โดยเฉพาะสำหรับองค์กรภาครัฐและรัฐวิสาหกิจ ซึ่งมีบทบาทสำคัญต่อโครงสร้างพื้นฐานและการให้บริการสาธารณะ สำหรับโพสต์นี้ ผมจึงชวนผู้อ่านมาทำความเข้าใจแนวทางการพัฒนาเชิงรุก (Proactive Development) เพื่อสร้างความสามารถในการฟื้นตัวและยืนหยัด (Cyber Resilience) ให้กับรัฐวิสาหกิจ โดยอิงจากกรอบแนวคิดและ/หรือมาตรฐานต่าง ๆ เพื่อเชื่อมโยง Cybersecurity เข้ากับการบริหารยุทธศาสตร์องค์กรอย่างเป็นระบบ

เชื่อม Cybersecurity กับยุทธศาสตร์องค์กร: เริ่มต้นที่วิสัยทัศน์

Cybersecurity ไม่ใช่เรื่องของฝ่าย IT เท่านั้น แต่ควรเป็นส่วนหนึ่งของกลยุทธ์องค์กรอย่างแท้จริง จุดเริ่มต้นของความมั่นคงที่ยั่งยืน คือการออกแบบ Cybersecurity Strategy ให้สนับสนุนวิสัยทัศน์ พันธกิจ และวัตถุประสงค์ขององค์กรได้อย่างชัดเจน ซึ่งควรถูกฝังอยู่ในแผนยุทธศาสตร์ เช่น Enterprise Risk Management, KPI ระดับองค์กร หรือแผนพัฒนาทรัพยากรบุคคล การมีวิสัยทัศน์ที่เชื่อมโยง Cybersecurity กับเป้าหมายองค์กร จึงเป็นรากฐานของ Resilience ที่แท้จริง

กรอบมาตรฐานช่วยให้มีกลยุทธ์ที่เป็นรูปธรรม

การเลือกกรอบมาตรฐานที่เหมาะสมเป็นหัวใจในการยกระดับการบริหารด้านไซเบอร์ โดยมีกรอบที่ได้รับการยอมรับอย่างแพร่หลาย เช่น:

  • NIST Cybersecurity Framework (CSF): โดดเด่นในการเชื่อมความเสี่ยงไซเบอร์กับเป้าหมายเชิงกลยุทธ์ ผ่าน 5 ฟังก์ชันหลัก: Identify, Protect, Detect, Respond, และ Recover
  • COBIT: เน้น Governance และการจัดการที่เชื่อมโยงกับกลยุทธ์องค์กรได้ชัดเจน โดยเฉพาะในการบริหาร IT อย่างมีระบบ
  • ISO/IEC 27001 และ 27002: เหมาะสำหรับการจัดการความมั่นคงสารสนเทศเป็นระบบ มีบริบทที่เชื่อมโยงกับองค์กรและเป้าหมายทางธุรกิจ
  • SE-AM: เป็นกรอบที่พัฒนาโดยหน่วยงานภาครัฐไทย (สรอ.) เมื่อปรับปรุงเรื่อง Cybersecurity Framework แล้วจะช่วยให้องค์กรภาครัฐและรัฐวิสาหกิจสามารถกำหนดแนวทางเชิงยุทธศาสตร์ด้านไซเบอร์ให้สอดคล้องกับ Governance และ PDPA (Personal Data Protection Act)/GDPR (General Data Protection Regulation)  ได้ง่าย

SE-AM: ทางเลือกเชิงยุทธศาสตร์ของรัฐวิสาหกิจไทย

สำหรับรัฐวิสาหกิจไทย กรอบ SE-AM ถือว่าเหมาะสม เพราะออกแบบมาโดยเฉพาะสำหรับบริบทองค์กรภาครัฐ มีจุดแข็งที่สำคัญคือ การเน้นการขับเคลื่อนจากบนลงล่าง (Top-down) ซึ่งสอดคล้องกับโครงสร้างการบริหารภาครัฐ และสามารถผสานเข้ากับกรอบสากลอื่นได้ เช่น นำ NIST CSF มาใช้เป็น baseline และค่อยต่อยอดไปยัง ISO 27001 ตามลำดับความพร้อม

อย่างไรก็ดี Core Business Enablers ในการที่หน่วยงานกำกับใช้เป็นกรอบในการประเมินผลการดำเนินงานรัฐวิสาหกิจนั้น ยังไม่ได้รวมมาตรฐานที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ทั้งภายในประเทศและภายนอกประเทศ ที่มีผลอย่างสำคัญยิ่งต่อรัฐวิสาหกิจที่ควรจะปฏิบัติตาม หลักการ Governance และ Management ที่มีผลไปถึง Performance และ Conformance ของรัฐวิสาหกิจ ที่มีผลสะท้อนไปยังยุทธศาสตร์ชาติ นโยบายรัฐบาล และแผนยุทธศาสตร์ของรัฐวิสาหกิจ ฯลฯ

นอกจากนี้ จะส่งผลกระทบต่อผลการดำเนินงานที่สำคัญ (Key Results) ต่อผลการดำเนินงานตามภารกิจที่สำคัญที่เกี่ยวข้องกับแผนงาน โครงการ ที่สะท้อนประสิทธิภาพ ประสิทธิผล ผลสัมฤทธิ์ ฯลฯ ในแต่ละ Core Business Enablers รวมทั้งการบูรณาการ ในการประเมินประสิทธิภาพ และประสิทธิผล ต่อ Core Business Enablers โดยรวม โดยเฉพาะอย่างยิ่ง ในเรื่องที่เกี่ยวข้องกับการพัฒนาในเชิงรุกเพื่อให้เกิด Resilience ทางด้าน Cybersecurity ฯลฯ ของรัฐวิสาหกิจที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามมาตรฐานและ Best Practice ที่เกี่ยวข้อง ซึ่งมีผลกระทบอย่างสำคัญต่อ GRC และ ESG และ output, outcome ต่อ performance และ conformance รวมทั้ง กระบวนการสร้างคุณค่าเพิ่ม (Value Creation) ในลักษณะ End-to-End ของรัฐวิสาหกิจ/องค์กร และกรอบมาตรฐาน ที่ช่วยให้องค์กรมีกลยุทธ์ที่เป็นรูปธรรม ตามที่ได้กล่าวข้างต้น

ภาพรวม: ใช้ 7S Model เป็นเลนส์ในการพัฒนา Cybersecurity Resilience

Cybersecurity ไม่ใช่เรื่องเทคนิคเท่านั้น แต่ต้อง “ฝังอยู่ในระบบคุณค่า” และ “ถูกขับเคลื่อนร่วมกัน” โดยทุกส่วนงานขององค์กร ดังที่ McKinsey 7S Model แสดงไว้ แบ่งเป็น:

  • Hard S (Strategy, Structure, Systems) – สิ่งที่จัดการได้ชัดเจน
  • Soft S (Shared Values, Skills, Staff, Style) – สิ่งที่ฝังลึกในวัฒนธรรมองค์กร

แนวทางบูรณาการที่ครอบคลุมเพื่อ Resilience ด้านไซเบอร์:

1. Strategy:

จุดเสี่ยง: ยุทธศาสตร์ที่ยังไม่เชื่อมโยงกับภาครัฐและไม่ตอบโจทย์การเปลี่ยนผ่านสู่ดิจิทัล (Thailand 4.0) และอาจยังไม่เชื่อมโยงกับแนวทางการพัฒนาสู่ AI Transformation ซึ่งจะมีผลกระทบอย่างสำคัญต่อกระบวนการ Governance และ Management ที่สำคัญของทุกองค์กร
แนวทาง:

  • ต้องกำหนด Cybersecurity Strategy ให้สอดคล้องกับ Vision และ Strategic Plan ระดับองค์กร
  • เสนอให้รวมไซเบอร์เข้าใน KPI ยุทธศาสตร์, แผนบริหารความเสี่ยงองค์กร และ SE-AM Framework

2. Structure:

จุดเสี่ยง: โครงสร้างยังมีความซับซ้อน และขาดความคล่องตัว
แนวทาง:

  • ปรับโครงสร้างให้เกิด Cyber Governance Board หรือ CISO ที่รายงานต่อผู้บริหารโดยตรง
  • ส่งเสริมโครงสร้างที่เอื้อต่อ cross-functional team ในการบริหารเหตุการณ์ไซเบอร์

3. Systems:

จุดเสี่ยง: ขาดระบบ Centralized, Back/Front office ไม่สอดประสาน, KM ยังไม่ครบ
แนวทาง:

  • พัฒนา Cybersecurity Architecture แบบ Zero Trust
  • ใช้ระบบ Cyber KM และ Threat Intelligence เป็นระบบประสานร่วม
  • เชื่อมโยงกับ GRC Tools และ PDPA Compliance Platform

4. Shared Values:

จุดเสี่ยง: ขาดพลังร่วม (Synergy) ในการขับเคลื่อนเป้าหมายองค์กร
แนวทาง:

  • วาง “Cybersecurity เป็นวาระองค์กร”
  • สื่อสารคุณค่าเรื่อง “Trust, Integrity, และ Resilience” ผ่าน Internal Branding
  • จัดกิจกรรมสร้างวัฒนธรรมไซเบอร์ เช่น Cyber Month หรือ Cyber Ambassadors

5. Staff:

จุดเสี่ยง: หน่วย ICT ยังไม่ทำงานตามมาตรฐาน และไม่มีบทบาทเชิงรุก
แนวทาง:

  • ต้องสร้างแผนพัฒนากำลังคนไซเบอร์แบบ Multi-level (ทั้งผู้บริหาร, ผู้ปฏิบัติ, และผู้เชี่ยวชาญ)
  • กำหนด JD ด้าน Cybersecurity ให้ชัดเจน และเสริมทักษะให้กับ non-IT units

6. Skills:

จุดเสี่ยง: ขาดทักษะ ICT เชิงลึก ต้องจ้างภายนอก
แนวทาง:

  • อบรม Reskill & Upskill ด้าน Cybersecurity ตาม framework เช่น NICE Framework
  • ใช้ internal sandbox ในการฝึกซ้อม/เรียนรู้ เช่น CTF, War Room, Incident Drill

7. Style:

จุดเสี่ยง: การบริหารยังเป็นแบบราชการ ไม่คล่องตัว
แนวทาง:

  • ต้องปรับ Style การบริหารเป็น Agile + Risk-informed + Evidence-based
  • ผู้นำองค์กรต้องแสดง Tone at the Top ด้าน Cybersecurity อย่างจริงจัง

“หาก Cybersecurity คือเส้นเลือดของความมั่นคงในยุคดิจิทัล… Enablers ทั้ง 7S ก็คือโครงสร้างร่างกายของรัฐวิสาหกิจ”

การประเมินผลองค์กรจึงควรใช้ 7S เป็นกรอบการพัฒนาแบบองค์รวม โดยเฉพาะเมื่อนำไปเชื่อมโยงกับโมเดล SE-AM / GRC / Performance Evaluation เพื่อให้เกิด Cybersecurity Resilience ที่ไม่เพียงแค่ป้องกันได้ แต่ฟื้นตัวและเติบโตต่อได้

การบูรณาการไซเบอร์กับกระบวนการบริหารในทุกมิติ

Resilience ทางด้าน Cybersecurity จะเกิดขึ้นได้จริงก็ต่อเมื่อการบริหารจัดการไซเบอร์ไม่ถูกแยกออกจากกระบวนการบริหารหลักขององค์กร แต่ถูก “ฝังตัว” อยู่ในกระบวนการต่าง ๆ เช่น การจัดซื้อจัดจ้าง (procurement), การบริหารบุคลากร (HR), การเงินการบัญชี ฯลฯ และมีโครงการหรือแผนงานที่สอดคล้องกับเป้าหมายเชิงกลยุทธ์ เช่น การฝึกอบรมพนักงาน การทดสอบแผนตอบสนองเหตุการณ์ (incident response) หรือการนำระบบ automation เข้ามาช่วยลดความเสี่ยง

มาตรฐานไม่ได้มีไว้ให้เลือกเพียงหนึ่ง แต่ต้องผสานอย่างมียุทธศาสตร์

การเลือกใช้มาตรฐานควรคำนึงถึงความเหมาะสมกับบริบทขององค์กร ไม่จำเป็นต้องเลือกเพียงหนึ่ง แต่สามารถผสานกันได้ เช่น:

  • เริ่มต้นจาก NIST CSF เพื่อความเข้าใจง่ายและเป็น baseline ที่ดี
  • ใช้ COBIT สำหรับการจัดการ Governance และการกำหนดทิศทางเชิงกลยุทธ์
  • นำ ISO 27002 มาใช้เฉพาะด้านการควบคุมภายในเพื่อไม่ให้ภาระมากเกินไปในช่วงเริ่มต้น

การแยกแยะระหว่าง Governance และ Management ช่วยให้องค์กรวางแผนได้ถูกจุด

ความเข้าใจเรื่อง Governance กับ Management ช่วยให้องค์กรออกแบบบทบาทและหน้าที่ได้เหมาะสม:

  • Governance: มองระดับภาพรวม เช่น การกำหนดนโยบาย วิสัยทัศน์ และ oversight โดยคณะกรรมการ
  • Management: มองระดับปฏิบัติ เช่น การจัดการ user, patching, หรือ incident response โดยผู้บริหาร

บทบาทของผู้บริหารในแต่ละระดับ: ร่วมขับเคลื่อน Cyber Resilience

การพัฒนา Cybersecurity ที่ยั่งยืน จำเป็นต้องมีการมีส่วนร่วมในทุกระดับ:

  • Board of Directors: กำหนดทิศทาง และสร้าง “Tone at the Top”
  • C-Level (CEO, CIO, CISO): วางกลยุทธ์ จัดสรรทรัพยากร สร้างความร่วมมือ และวัดผลความเสี่ยง
  • ผู้บริหารระดับกลาง/ต้น: ดำเนินการ ประสานงาน และสนับสนุนบุคลากรในหน้างาน

การกำหนดบทบาทที่ชัดเจนเหล่านี้ช่วยให้ทุกคนในองค์กรรู้ว่า “Cybersecurity ไม่ใช่หน้าที่ของใครคนหนึ่ง แต่คือความรับผิดชอบร่วมกัน”

จาก SILO สู่ระบบ – เปลี่ยนความมั่นคงไซเบอร์เป็นวัฒนธรรมองค์กร

Cybersecurity ที่มี Resilience ไม่ได้เกิดขึ้นจากการออกนโยบาย หรือการใช้เครื่องมือที่ล้ำหน้าเพียงอย่างเดียว แต่เกิดจากการเข้าใจ เชื่อมโยง และมีส่วนร่วมของทุกคนในองค์กร รัฐวิสาหกิจ สามารถใช้โอกาสนี้เปลี่ยน “ไซโล” ทางไซเบอร์ให้กลายเป็นระบบที่เชื่อมโยงกับยุทธศาสตร์องค์กร สร้างวัฒนธรรมความมั่นคงที่ยั่งยืน และพร้อมรับมือกับภัยคุกคามในอนาคตอย่างมั่นใจ

การประเมินผลการดำเนินงานรัฐวิสาหกิจควรมีการปรับปรุงโดยผู้กำกับให้รัฐวิสาหกิจมีกรอบและแนวการปฏิบัติที่เหมาะสมกับการเปลี่ยนแปลงของ Digital Transformation ไปสู่ Gen-AI Transformation จึงไม่ใช่แค่แนวคิด แต่คือพลังในการขับเคลื่อนองค์กรให้มีชีวิต มีเป้าหมาย และมีภูมิคุ้มกันทางไซเบอร์ที่แข็งแกร่งในทุกระดับของการบริหารในยุคปัจจุบันและอนาคต

1 ความเห็น | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

NRC ยุค Gen-AI เพื่อการกำกับและบริหารแบบบูรณาการอย่างยั่งยืน

มิถุนายน 17, 2025

ปรากฏการณ์ Gen-AI กับองค์กรยุคใหม่

ในช่วงไม่กี่ปีที่ผ่านมา เทคโนโลยีปัญญาประดิษฐ์ (AI) โดยเฉพาะ Generative AI หรือ Gen-AI ได้เข้ามามีบทบาทอย่างลึกซึ้งต่อการดำเนินงานขององค์กรทั้งภาครัฐและเอกชน การที่ AI สามารถสร้างเนื้อหา วิเคราะห์ข้อมูล และเรียนรู้พฤติกรรมผู้ใช้อย่างชาญฉลาด ทำให้เกิดคำถามสำคัญว่า องค์กรกำกับนโยบายอย่าง NRC (National Research Council หรือองค์กรในลักษณะคล้ายกัน) ควรปรับตัวอย่างไรท่ามกลางกระแสเทคโนโลยีที่ก้าวกระโดด

NRC ในฐานะองค์กรที่มีภารกิจด้านการส่งเสริม วิจัย พัฒนา หรือแม้แต่กำกับดูแลระดับประเทศ จำเป็นต้องก้าวสู่บทบาทใหม่ที่ไม่ได้เป็นเพียงแค่ผู้กำหนดนโยบาย แต่ต้องเป็น “ผู้นำเชิงระบบ” (System Enabler) ที่สามารถเชื่อมโยงการบริหาร กำกับ และสร้างความยั่งยืนในทุกมิติ ผ่านการใช้ศักยภาพของ AI อย่างรับผิดชอบและมีจริยธรรม

NRC ยุค Gen-AI: เมื่ออัลกอริทึมกลายเป็นส่วนหนึ่งของการตัดสินใจ

การพูดถึง NRC ยุค Gen-AI ไม่ใช่เพียงการเพิ่มเครื่องมือเทคโนโลยีเข้าไปในกระบวนการ แต่คือการ “ยกระดับบทบาท” ขององค์กร โดยมอง AI เป็นพลังสนับสนุน (enabler) ให้กับพันธกิจเดิม ได้แก่ การวิจัย การวิเคราะห์เชิงนโยบาย และการกำกับดูแล

ในยุคนี้ NRC ควรมีลักษณะสำคัญ 3 ประการ:

  1. AI-Augmented Organization: ใช้ AI เพื่อวิเคราะห์ข้อมูล วิจัยเชิงลึก และกำกับติดตามได้อย่างแม่นยำ
  2. Evidence-Based Governance: ตัดสินใจโดยอิงข้อมูลแบบ real-time จากแหล่งข้อมูลหลากหลายที่เชื่อมโยงกัน
  3. Agile Policy & Regulatory Lab: เป็นพื้นที่ทดลองเชิงนโยบายและการกำกับที่ยืดหยุ่น คล่องตัว ทันต่อการเปลี่ยนแปลง

การกำกับและบริหารแบบบูรณาการ: แนวคิดและความจำเป็น

ปัญหาในหลายองค์กรคือการบริหารที่แยกส่วน (Silo-Based) ซึ่งขัดต่อการจัดการเชิงระบบในยุคที่ปัญหามีความซับซ้อนสูง ดังนั้น NRC ควรนำแนวคิด “Integrated Governance” มาใช้ ซึ่งครอบคลุมทั้ง 5 มิติ ได้แก่:

  • Policy: เชื่อมโยงเป้าหมายเชิงนโยบายกับแผนปฏิบัติการ
  • People: ส่งเสริมทักษะดิจิทัลและ AI แก่บุคลากร
  • Platform: ลงทุนในเทคโนโลยีที่สนับสนุนการทำงานแบบเปิด
  • Process: ปรับกระบวนการให้ยืดหยุ่นและอิงข้อมูล
  • Performance: มีระบบติดตามผลแบบใกล้ชิดและต่อเนื่อง

การใช้ AI ในการผนวกมิติเหล่านี้จะช่วยให้องค์กรสามารถบริหารเชิงกลยุทธ์ได้มีประสิทธิภาพมากขึ้น

กรอบแนวคิด GRC + ESG + Digitalization

GRC (Governance, Risk, Compliance) เป็นโครงสร้างสำคัญของการบริหารองค์กรสมัยใหม่ เมื่อผนวกกับ ESG (Environment, Social, Governance) และ Digital Transformation จะเกิดเป็นแนวคิด “GRC-D” หรือ “GRC for Digital Era” ซึ่งมีองค์ประกอบดังนี้:

  • Governance: AI ต้องมีกรอบกำกับเพื่อความโปร่งใส ตรวจสอบได้ และมีจริยธรรม
  • Risk: ต้องประเมินความเสี่ยงเชิงเทคโนโลยี เช่น bias, cyber threat, model drift
  • Compliance: สอดคล้องกับข้อกำหนดทางกฎหมายและแนวทางสากล
  • Sustainability: ใช้เทคโนโลยีเพื่อสร้างผลกระทบที่ยั่งยืนต่อสังคมและสิ่งแวดล้อม

NRC ควรเป็นต้นแบบองค์กรที่สามารถประยุกต์ใช้แนวคิดนี้ในระดับยุทธศาสตร์

ตัวอย่าง Use Case: NRC ใช้ AI เพื่อการกำกับอย่างชาญฉลาด

ตัวอย่างที่เป็นไปได้ของการใช้ AI ใน NRC ได้แก่:

  • AI for Research Prioritization: วิเคราะห์เทรนด์งานวิจัยทั่วโลกเพื่อกำหนดเป้าหมายเชิงยุทธศาสตร์
  • Policy Simulation: ใช้ AI จำลองผลกระทบนโยบายต่าง ๆ ก่อนนำไปใช้จริง
  • Regulatory Monitoring: ตรวจสอบการปฏิบัติตามกฎระเบียบในแบบเรียลไทม์ผ่านระบบอัตโนมัติ
  • Knowledge Automation: สร้าง Chatbot หรือระบบสนับสนุนการตัดสินใจให้กับผู้บริหาร

การจัดการความเสี่ยงและจริยธรรมในยุค AI

แม้ AI จะทรงพลัง แต่ก็แฝงความเสี่ยง ทั้งด้านจริยธรรม ความเอนเอียงของข้อมูล และความไม่โปร่งใสในการตัดสินใจ NRC ควรมีแนวทางดังนี้:

  • กำหนด AI Governance Framework ภายใน
  • ส่งเสริมการใช้ Explainable AI (XAI) เพื่ออธิบายผลลัพธ์
  • มีระบบ AI Audit ตรวจสอบการใช้ AI ทั้งในเชิงเทคนิคและจริยธรรม

สร้าง จรรยาบรรณ AI สำหรับบุคลากร

เปลี่ยนผ่านจาก Digital Transformation สู่ Gen-AI: NRC ต้องปรับตัวอย่างไร?

Digital Transformation คือการวางรากฐานดิจิทัล เช่น ERP, Cloud และ RPA ส่วน Gen-AI คือการนำความฉลาดของข้อมูลมาใช้สร้างคุณค่า NRC ต้องเข้าใจการใช้ข้อมูลและ AI ในมุมมองของ “ศักยภาพผู้นำ” และ “ความสามารถปรับตัวต่อเทคโนโลยี” เช่น NRC ต้องเรียนรู้แนวโน้มผู้นำที่สามารถผสาน ESG และ AI ไปด้วยกัน เช่น CEO ที่ผลักดัน Carbon Neutral ด้วย Digital Twin

แผนที่ทางการเปลี่ยนผ่าน (Transformation Roadmap)

การเปลี่ยนผ่านของ NRC ไปสู่ยุค AI ไม่ใช่เพียงเรื่องเทคโนโลยี แต่เป็นการเปลี่ยนวัฒนธรรมองค์กร โดยสามารถแบ่งได้เป็น 3 ระยะ:

ระยะสั้น (1 ปี): Digitalization พื้นฐาน เช่น ระบบจัดเก็บและวิเคราะห์ข้อมูล

ระยะกลาง (2–3 ปี): AI Integration เช่น การใช้ AI ในงานวิเคราะห์และติดตามนโยบาย

ระยะยาว (4–5 ปี): สร้างระบบกำกับนโยบายและการวิจัยแบบบูรณาการด้วย AI (AI Ecosystem)

ข้อเสนอเชิงนโยบายและแนวปฏิบัติ

  • NRC ควรเป็น AI Policy Lab แห่งชาติ: พัฒนานโยบายต้นแบบโดยใช้ AI เป็นเครื่องมือ
  • สร้าง Data Sharing Platform ระหว่างหน่วยงานเพื่อเพิ่มประสิทธิภาพการกำกับ
  • ตั้งหน่วยงานย่อยด้าน AI Governance ภายใน NRC เพื่อควบคุม ตรวจสอบ และสร้างมาตรฐาน

กำหนดยุทธศาสตร์ NRC 5 ปี โดยมี AI และความยั่งยืนเป็นแกนกลาง

NRC ยุค Gen-AI: ผู้นำแห่งการสรรหา ค่าตอบแทน และคุณค่าที่ขับเคลื่อนด้วยข้อมูลและจริยธรรม

NRC กับความรับผิดชอบเชิงบูรณาการ: สร้างสมดุลระหว่างมนุษย์กับอัจฉริยะเทียม

ในยุคของ Generative AI (Gen-AI) ที่องค์กรต่างแสวงหาความสามารถของเทคโนโลยีเพื่อเพิ่มประสิทธิภาพ ความเร็ว และนวัตกรรม คณะกรรมการสรรหาและกำหนดค่าตอบแทน (Nomination and Remuneration Committee: NRC) กำลังเผชิญกับบทบาทที่ลึกซึ้งยิ่งกว่าการคัดเลือกผู้บริหารหรือการออกแบบแพ็กเกจเงินเดือน

NRC กลายเป็นฟันเฟืองสำคัญ ที่ต้องเข้าใจทั้งบริบทของ “มนุษย์” และ “อัจฉริยะเทียม” เพื่อสร้างสมดุลระหว่างการใช้ศักยภาพของ AI กับการรักษาหลักจริยธรรม ความโปร่งใส และคุณค่าทางวัฒนธรรมขององค์กร

NRC ต้องกำกับทั้งผู้นำมนุษย์และการใช้เทคโนโลยี AI อย่างมีจริยธรรม ต้องมีหลักเกณฑ์ว่าการใช้ AI ต้องไม่ละเมิดสิทธิ์ หรือทำลายคุณค่าความเป็นมนุษย์ อย่างเช่น ในการสรรหาผู้บริหารฝ่าย HR, NRC พิจารณาความสามารถในการใช้ AI คัดเลือกบุคลากรโดยไม่ลำเอียงทางเชื้อชาติหรือเพศ

เมื่อข้อมูล (Data) และความรู้ (Knowledge) คือทุนใหม่: NRC ต้องเข้าใจอย่างไร?

ในอดีต ความสามารถ ทักษะ และประสบการณ์ เป็นทรัพยากรหลักในการสรรหาผู้บริหาร แต่ในวันนี้ “ข้อมูล” (Data) และ “ความรู้” (Knowledge) ได้กลายเป็นทุนใหม่ที่มีค่า NRC ต้องพิจารณาผู้นำที่สามารถจัดการ Data Governance และนำความรู้มาใช้สร้างนวัตกรรม

NRC ต้องปรับมุมมองจากการวัดคุณสมบัติแบบเดิม มาเป็นการเข้าใจ “ศักยภาพการบริหารข้อมูล” ของผู้สมัคร เช่น การใช้ data-driven decision, การเรียนรู้จากข้อมูล (learning agility) และความสามารถในการสร้างความรู้จากข้อมูลในองค์กร สิ่งนี้ไม่เพียงแต่ส่งผลต่อการสรรหา แต่ยังรวมถึงการกำหนดค่าตอบแทนตามศักยภาพในการใช้ “ทุนข้อมูล” เพื่อสร้างคุณค่าองค์กรในอนาคต

ตัวอย่างเช่น NRC ประเมิน CEO candidate โดยดูความสามารถในการนำ ISO 30401 มาใช้จัดการความรู้ในองค์กรขนาดใหญ่

จริยธรรมของ AI ในกระบวนการสรรหา: NRC ต้องตั้งคำถามอะไรบ้าง?

แม้ AI จะช่วยให้กระบวนการสรรหาแม่นยำและรวดเร็วขึ้น แต่ NRC ต้องไม่ลืมมองผ่านแว่นของจริยธรรม (Ethics)

  • อัลกอริธึมเลือกผู้สมัครอย่างเป็นธรรมจริงหรือไม่?
  • มีอคติฝังลึกในข้อมูลที่ใช้เทรน AI หรือไม่?
  • ผู้สมัครมีสิทธิรู้ว่าตนถูกประเมินอย่างไรหรือไม่?

คำถามเหล่านี้ไม่ใช่เรื่องของ IT เท่านั้น แต่เป็นความรับผิดชอบทางธรรมาภิบาลที่ NRC ต้องตั้งขึ้นเพื่อรักษาความยุติธรรม ความเท่าเทียม และความโปร่งใสในการใช้เทคโนโลยี

เช่น AI คัดเลือกผู้สมัครโดยอคติหรือไม่? มีความโปร่งใสในการตั้งเกณฑ์หรือไม่? NRC ต้องตรวจสอบ Algorithm และตั้งคำถามอย่างมีหลักการ

ตัวอย่างเช่น NRC ขอให้ฝ่าย HR อธิบาย Training Data ของ AI ที่ใช้คัดเลือกผู้บริหารระดับสูง ว่าครอบคลุมความหลากหลายเพียงใด

AI for NRC: เครื่องมือที่ช่วยให้การสรรหามีประสิทธิภาพและโปร่งใสมากขึ้น

AI ไม่ได้เป็นเพียงวัตถุแห่งการกำกับ แต่เป็น “เครื่องมือ” ที่ NRC สามารถใช้เพื่อเพิ่มความสามารถของตนเอง

AI สามารถช่วย:

  • วิเคราะห์โปรไฟล์ผู้สมัครจากแหล่งข้อมูลหลากหลาย
  • ประเมินทักษะพฤติกรรมผ่านการวิเคราะห์การสื่อสาร
  • คัดกรองผู้สมัครที่สอดคล้องกับค่านิยมองค์กร
  • ตรวจสอบความสอดคล้องของค่าตอบแทนกับแนวโน้มตลาด

ด้วยการใช้ AI อย่างมีกลยุทธ์ NRC สามารถยกระดับมาตรฐานการสรรหาให้มีความชัดเจน ตรวจสอบได้ และตอบสนองอนาคตที่ขับเคลื่อนด้วยข้อมูล NRC ควรรู้จัก Talent Intelligence, AI Interview Analysis, Leadership Simulation ที่ใช้ AI ช่วยให้เห็นศักยภาพผู้นำได้รอบด้าน ตัวอย่าง การใช้ AI วิเคราะห์พฤติกรรมและภาษาในการสัมภาษณ์ เพื่อเสริมการตัดสินใจของคณะกรรมการแบบไม่เอนเอียง

ค่าตอบแทนแบบไหนจึงจะดึงดูดผู้นำยุค AI?

ผู้นำในยุค AI ไม่ได้มองค่าตอบแทนเพียงในรูปของเงินเดือนหรือโบนัส แต่ให้ความสำคัญกับ “ความหมายของงาน” (Purpose), “ความยืดหยุ่น” (Flexibility) และ “โอกาสในการเติบโตทางวิชาชีพ” ซึ่งหมายรวมถึง Learning Allowance, Innovation Bonus หรือแม้กระทั่ง AI Research Budget สำหรับผู้นำ

NRC ต้องออกแบบระบบค่าตอบแทนที่เป็น:

  • Value-Based Compensation: สะท้อนคุณค่าที่สร้างจริง ไม่ใช่แค่ตำแหน่ง
  • Long-Term Incentive: เชื่อมโยงเป้าหมายระยะยาวขององค์กรกับผลงาน
  • Non-Financial Rewards: เช่น การเรียนรู้ต่อเนื่อง การมีส่วนร่วมในนวัตกรรม

การดึงดูดและรักษาผู้นำที่เข้าใจโลกดิจิทัล จำเป็นต้องคิดใหม่เกี่ยวกับ “รางวัล” และ “แรงจูงใจ” ในมุมมองแบบองค์รวม ตัวอย่างเช่น บริษัทเทคใช้ระบบพิจารณา “ค่าตอบแทนตามผลลัพธ์ของ AI Initiatives” เช่น หากโครงการ AI ลดต้นทุนได้จริง ผู้นำได้ Bonus เพิ่มขึ้น

NRC ในฐานะผู้นำการสร้างวัฒนธรรมองค์กรแห่งอนาคต

การสรรหาผู้นำไม่เพียงเป็นเรื่องของทักษะ แต่คือการคัดเลือก “ผู้ถ่ายทอดวัฒนธรรม”

NRC มีบทบาทในการขับเคลื่อนวัฒนธรรมองค์กรให้ทันสมัย สอดคล้องกับโลกที่เปลี่ยนแปลง โดยคำนึงถึงความยั่งยืน ความหลากหลาย (DEI) และนวัตกรรม

NRC ยังมีบทบาทเลือกผู้นำที่สร้างวัฒนธรรมการเรียนรู้ การทดลอง และความโปร่งใส เพื่อสร้างองค์กรที่เรียนรู้ได้ด้วยตนเอง (self-adaptive)

ผู้นำที่ NRC เลือก ควรเป็นผู้สร้าง “สภาพแวดล้อมที่เอื้อต่อการเติบโตของ AI และคนร่วมกัน” ไม่ใช่คนใดคนหนึ่ง

ตัวอย่าง: NRC เลือก CFO ที่สนับสนุนระบบ Knowledge Graph เพื่อให้พนักงานทุกระดับเข้าถึงข้อมูลเชิงกลยุทธ์

ร่วมมือกับคณะกรรมการอื่นอย่างไร เพื่อการกำกับแบบ End-to-End

องค์กรไม่สามารถสร้างการกำกับที่ดีได้ด้วยคณะกรรมการชุดเดียว NRC ต้องทำงานหรือประสานงานร่วมกับ:

  • คณะกรรมการความเสี่ยง (Risk Committee) เพื่อประเมินความเสี่ยงจากการใช้ AI
  • คณะกรรมการบรรษัทธรรมาภิบาล (CG Committee) เพื่อวางกรอบจริยธรรม
  • คณะกรรมการเทคโนโลยี (Technology Committee) เพื่อเชื่อมโยงข้อมูลและนวัตกรรม

การสร้าง “การกำกับแบบ End-to-End” คือการประสานกลยุทธ์ กฎหมาย ข้อมูล และคน ให้เป็นหนึ่งเดียวภายใต้เป้าหมายองค์กร

ตัวอย่าง: NRC ทำงานร่วมกับคณะกรรมการไอที ในการกำหนดค่าตอบแทน CTO ที่สามารถทำ Digital Risk Assessment ร่วมกับทีมตรวจสอบภายใน

จาก NRC สู่องค์กรแห่งคุณค่าเพิ่ม (Value-Centric Organization)

NRC ที่เข้าใจการเปลี่ยนผ่านของโลกดิจิทัลจะไม่เพียงสรรหาคนเก่ง แต่จะสรรหาคนที่สร้าง “คุณค่าเพิ่ม”

NRC ต้องเปลี่ยนบทบาทจากแค่ “คัดเลือกและกำหนดค่าตอบแทน” ไปเป็น “ผู้ออกแบบคุณค่าองค์กรผ่านคน” โดยเฉพาะในยุคที่ AI คือผู้ช่วยสำคัญ การกำหนดค่าตอบแทนที่สะท้อนผลกระทบที่ผู้บริหารมีต่อ Stakeholder อย่างแท้จริง คือรากฐานของการขับเคลื่อนองค์กรให้เติบโตอย่างมีจริยธรรมและยั่งยืน นี่คือบทบาทของ NRC ที่ก้าวข้ามจาก “ผู้ประเมินผลงาน” ไปสู่ “ผู้สร้างผลกระทบ”

ตัวอย่าง: NRC ออกแบบค่าตอบแทนผู้นำตาม KPI ที่เกี่ยวกับ Innovation, ESG, Customer-Centricity และ AI Adoption

NRC ยุค Gen-AI: เมื่อการสรรหาไม่ใช่แค่เรื่องของคน แต่เป็นเรื่องของข้อมูลและคุณค่า

สุดท้าย NRC ในยุค Gen-AI ต้องมองการสรรหาและค่าตอบแทนไม่ใช่แค่การบริหาร “คน” แต่คือการบริหาร “ข้อมูล” และ “คุณค่า” เพราะคนที่ใช่ในตำแหน่งสำคัญ ไม่ได้ถูกเลือกแค่ด้วยเรซูเม่หรือประวัติ แต่ด้วย “หลักฐานเชิงข้อมูล” ที่มีความหมาย และ “กรอบจริยธรรม” ที่ชัดเจน องค์กรที่มี NRC ที่เข้าใจสิ่งนี้ คือองค์กรที่พร้อมก้าวสู่อนาคตด้วยความมั่นใจ โปร่งใส และยั่งยืน

ยุคนี้ NRC ต้องรู้ว่า ข้อมูลและคุณค่า (Value) นั้น เดินไปพร้อมกัน NRC ที่ดีจึงไม่ใช่แค่เลือกคนเก่ง แต่ต้องเลือกคนที่สร้างคุณค่าจากข้อมูลได้อย่างยั่งยืน ทั้งด้านธุรกิจ มนุษย์ และสังคม

สรุป NRC ในยุค Gen-AI ต้องเปลี่ยนบทบาทจากผู้กำกับหรือส่งเสริมวิจัยแบบเดิม มาเป็นผู้สร้างระบบนิเวศของการกำกับ วิจัย และพัฒนาที่ยั่งยืน โดยใช้พลังของ AI อย่างมีจริยธรรม บูรณาการ และเน้นผลลัพธ์ที่ตอบโจทย์สังคมอย่างแท้จริง

บทความหน้าจะเป็นเรื่องเกี่ยวกับอะไร โปรดติดตามกันนะครับ สวัสดีครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หนังสือการจัดระบบควบคุมความเสี่ยงของสถาบันการเงิน

มิถุนายน 8, 2025

ในโลกที่สถาบันการเงินต้องเผชิญกับความซับซ้อนของธุรกรรม ความเปลี่ยนแปลงของเทคโนโลยี และแรงกระเพื่อมของเศรษฐกิจระดับโลก การบริหารจัดการความเสี่ยงได้กลายมาเป็นเสาหลักสำคัญที่ไม่สามารถมองข้ามได้อีกต่อไป การเปลี่ยนแปลงเหล่านี้ ไม่ได้เพียงเพิ่มความท้าทายในการดำเนินงาน แต่ยังสร้างภารกิจใหม่ให้กับผู้บริหาร ผู้ควบคุมภายใน และผู้ตรวจสอบในการวิเคราะห์จุดเปราะบางขององค์กรก่อนที่ปัญหาจะเกิดขึ้นจริง

สถาบันการเงินจำเป็นต้อง “มองให้ไกล” กว่าปัญหาที่อยู่ตรงหน้า การจัดการความเสี่ยงไม่ใช่แค่การแก้ไขเมื่อปัญหาเกิดขึ้น (after the fact) แต่ต้องรวมถึงการวางแผนล่วงหน้า (before the fact) โดยอาศัยข้อมูล การวิเคราะห์ และระบบควบคุมที่รัดกุมในทุกมิติของธุรกรรม เพื่อป้องกันความเสียหายทั้งในระดับองค์กรและระบบเศรษฐกิจของประเทศ

หนังสือ “การจัดระบบควบคุมความเสี่ยงของสถาบันการเงินเล่มนี้” จึงมุ่งนำเสนอแนวคิด ประสบการณ์ และบทเรียนที่สั่งสมมาจากการปฏิบัติจริงในภาคสนาม ผ่านสายตาของผู้ที่อยู่ในภารกิจการกำกับดูแลสถาบันการเงินโดยตรง เพื่อเป็นแนวทางแก่ผู้บริหาร ผู้ตรวจสอบ และผู้ที่เกี่ยวข้องทุกภาคส่วน ในการวางระบบควบคุมภายในและการบริหารความเสี่ยงอย่างเป็นรูปธรรม

เพราะในท้ายที่สุดแล้ว ความมั่นคงของสถาบันการเงินไม่ได้เกิดจากการหลีกเลี่ยงปัญหา แต่เกิดจากการเผชิญหน้าและเตรียมรับมือกับปัญหานั้นอย่างชาญฉลาดและมีจริยธรรม

ผมจึงได้นำหนังสือ “การจัดระบบควบคุมความเสี่ยงของสถาบันการเงิน” มาเผยแพร่ไว้ ณ ที่นี้ http://www.itgthailand.wordpress.com ถึงแม้จะล่วงเวลามาพอสมควร แต่ผมคิดว่าก็น่าจะเป็นประโยชน์ต่อผู้ที่เกี่ยวข้องบ้าง ไม่มากก็น้อย

การจัดระบบควบคุมความเสี่ยงของสถาบันการเงิน

คํานํา

  1. การดําเนินธุรกิจของสถาบันการเงิน เช่น ธนาคารพาณิชย์ บริษัทเงินทุนและบริษัทเครดิต ฟองซิเอร์ ปัจจุบันมีความสลับซับซ้อนมากยิ่งขึ้น ต้องมีการติดตามนวัตกรรมทางการเงินใหม่ ๆ (Financial Innovation) และข้อมูลข่าวสารทางการเงินจากทั่วโลก (Globalization) ดังนั้น สถาบันการเงินต่าง ๆ จึงพยายามแข่งขันกันลงทุนปรับปรุงเทคโนโลยี (Technology) ด้านการเงินให้ทันสมัย ซึ่งทําให้การทําธุรกรรมของสถาบันการเงินมีความยุ่งยากและซับซ้อน ก่อให้เกิดความเสี่ยงซึ่งจะมีผลทําให้เกิดความเสียหายเป็นจํานวนสูงมากยิ่งขึ้น
  2. การศึกษาและวิเคราะห์ความเสี่ยงรวมทั้งการบริหารความเสี่ยงในด้านต่าง ๆ หรือการมองปัญหาให้พบและหาหนทางป้องกันก่อนที่ปัญหานั้นจะเกิดขึ้นในองค์กรตามธุรกรรมขององค์กร เป็นการชี้ให้เห็นถึงปัญหาและหาหนทางแก้ไขปัญหาล่วงหน้า ในลักษณะมองประเด็นปัญหาที่จะเกิดกับสถาบันการเงินต่าง ๆ ให้ออก และหาหนทางแก้ไข หรือป้องกันล่วงหน้าก่อนที่ปัญหาเหล่านั้นจะลุกลามให้กลับมาเป็นปัญหาที่องค์กรนั้น หรือทางการต้องหาทางแก้ไขในที่สุด (Point to the problem before it points to us) โดยรวมถึงกิจกรรมที่ทําให้เกิดความเสี่ยง ซึ่งเป็นที่มาของการวางกฎเกณฑ์ การออกระเบียบกับสิ่งที่เกี่ยวข้องกับการควบคุมภายในขององค์กร ดังนั้น การเน้นถึงจุดควบคุม ผู้ปฏิบัติและผู้ตรวจสอบ ตลอดจนถึงผู้บริหาร ระดับสูง ซึ่งควรเข้าใจถึงที่มาของการควบคุม นั้น เพราะการวิเคราะห์ความเสี่ยง เพื่อหาทางป้องกันหรือบรรเทาปัญหาที่อาจเกิดขึ้นต่อองค์กร เป็นการเข้าถึงการควบคุมภายในและการตรวจสอบ ตลอดจนการปฏิบัติงานที่มีประสิทธิภาพยิ่ง ความสําเร็จที่สมบูรณ์ของแนวความคิดนั้น ก็คือ การไม่มีปัญหาต้องแก้ไขในภายหลัง หรือหากจะมีก็ต้องมีให้น้อยที่สุดนั่นเอง
  3. การมองภาพปัญหาที่อาจจะเกิดขึ้นได้ในอนาคตทั้งในวงแคบและในวงกว้าง เป็นเรื่องที่ต้องใช้ความสามารถและความเข้าใจ ในเรื่องที่เกี่ยวข้องกับการปฏิบัติงานของสถาบันการเงินในด้านต่าง ๆ ตลอดจนภาวะเศรษฐกิจ การเงิน การคลังและสังคม ทั้งในประเทศและต่างประเทศ นวัตกรรม ทางการเงินใหม่ ๆ รวมทั้งปัจจัยสิ่งแวดล้อมอื่นของสถาบันการเงินที่เปลี่ยนแปลงไป เช่น การพัฒนาการดําเนินงานและการให้บริการไปสู่ระบบ ELECTRONIC BANKING การเข้าไปสู่ยุค PAPERLESS SYSTEM และกลไกการโอนเงินชําระหนี้ระหว่างประเทศที่เปลี่ยนแปลงไปมากเหล่านี้ มีส่วนทําให้ต้องมีการพัฒนาและเปลี่ยนแปลงด้านนโยบายและการปฏิบัติงาน ทั้งของสถาบันการเงินและธนาคารแห่งประเทศไทย ในฐานะเป็นผู้รับผิดชอบในการกํากับดูแลการดําเนินงานของสถาบันการเงินในส่วนที่เกี่ยวข้องด้วย ระเบียบคําสั่งและกฎเกณฑ์ต่าง ๆ ที่ประกาศตามความในพระราชบัญญัติสถาบันการเงินนั้น ก็มุ่งที่จะลดความเสียหายที่อาจเกิดขึ้น และส่งเสริมให้การดําเนินงานของสถาบันการเงินต่าง ๆ ให้มีความมั่นคงเป็นที่เชื่อถือของคนในสังคม ทั้งในและต่างประเทศ รวมทั้งมุ่งหวังให้สถาบันการเงิน มีส่วนร่วมช่วยเหลือเกื้อกูลการพัฒนาสังคมและเศรษฐกิจของประเทศ ตามกําลังและความสามารถที่จะกระทําได้
  4. การกํากับและตรวจสอบสถาบันการเงินตลอดจนการให้คําชี้แนะการแก้ไขปัญหาเป็นการล่วงหน้า ทั้ง ๆ ที่ปัญหาหรือความเสียหายยังไม่ทันจะเกิดขึ้นกับสถาบันการเงินที่ธนาคารแห่งประเทศไทยดูแลนั้น ในบางครั้งอาจมีผู้ได้รับคําแนะนํามักจะสงสัยทั้งในหลักการ วิธีการ ตลอดจนแนวการปฏิบัติของผู้ตรวจการฯ จากธนาคารแห่งประเทศไทยอยู่บ้าง เพราะอาจมองเห็นภาพยังไม่ชัดเท่ากับเหตุการณ์ที่เกิดขึ้นแล้ว (after the fact) ดังนั้น ผู้ตรวจการฯ ในปัจจุบันของธนาคารแห่งประเทศไทย จึงได้มองภาพของปัญหา ทั้งในลักษณะ after the fact และ before the fact ควบคู่กันไป ส่วนการจะเน้นในวิธีการใดมากกว่ากัน ก็ขึ้นกับเหตุการณ์เป็นกรณี ๆ ไป เช่น เมื่อมีปัญหาเกิดขึ้นแล้ว ทางเราจะพิจารณาหาทางแก้ไขปัญหาอย่างรีบด่วนก่อน แล้วก็จะมีมาตรการป้องกันปัญหาที่อาจเกิดขึ้นต่อไป และในกรณีที่เหตุการณ์ปกติ ผู้กํากับและผู้ตรวจการฯ ก็จะศึกษาหาทางป้องกันปัญหาที่อาจจะเกิดขึ้น เพื่อลดความเสี่ยงจากการดําเนินงานด้านต่าง ๆ ของสถาบันการเงินด้วย
  5. สาระของหนังสือเล่มนี้ได้มุ่งวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นกับธุรกรรมต่าง ๆ ที่สถาบันการเงินให้บริการแก่ลูกค้าของตน ที่อาจก่อให้เกิดความเสียหาย และหาแนวทางป้องกันปัญหาล่วงหน้าที่อาจกระทําได้ เพื่อบรรเทาความเสียหายที่เกิดขึ้น และเป็นแนวทางเบื้องต้นสําหรับผู้บริหารและสําหรับผู้ตรวจสอบ ที่จะใช้เป็นเครื่องมือช่วยในการตรวจสอบ ประเมินประสิทธิภาพของระบบการควบคุมภายในของสถาบันการเงิน ในการควบคุมและป้องกันความเสี่ยงในแต่ละธุรกรรมของตนเอง ในอีกรูปแบบหนึ่งที่เข้าใจได้ง่าย ๆ อย่างไรก็ดี ผมและเพื่อนร่วมงานก็ไม่อาจระบุกิจกรรมที่ก่อให้เกิดความเสี่ยงของธนาคารพาณิชย์ และสถาบันการเงินได้ครบถ้วน ผู้อ่านจึงต้องใช้ดุลยพินิจเพิ่มเติมด้วย
  6. หนังสือเล่มนี้ได้พิมพ์เผยแพร่โดยส่วนกํากับสถาบันการเงิน เพื่อเป็นเครื่องเสริมความเข้าใจต่อผู้ตรวจสอบของส่วนกํากับสถาบันการเงินของธนาคารแห่งประเทศไทย และเป็นความร่วมมือระหว่างธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ กับสถาบันการเงินในภูมิภาคฯ เท่าที่ทําได้ เพื่อทําให้สถาบันการเงินมีเสถียรภาพและความมั่นคง โดยการเข้าใจปัญหาที่อาจเกิดกับองค์กรของตน ซึ่งได้จัดพิมพ์เพิ่มเติมและแก้ไขทั้งเนื้อหาสาระที่ไม่ได้พิมพ์มาก่อนหลังจากได้ดําเนินการเผยแพร่ไปแล้ว เมื่อปี พ.ศ. 2537 ในภาคตะวันออกเฉียงเหนือ และผมเองได้ใช้เนื้อหากิจการที่ก่อให้เกิดความเสี่ยงของธนาคารพาณิชย์และสถาบันการเงิน ในการบรรยายให้แก่องค์กรต่าง ๆ ในอดีตหลายแห่ง ตั้งแต่ปี พ.ศ. 2534 ที่กรุงเทพมหานครและต่างจังหวัด ก่อนนํามาเผยแพร่ที่ภาคตะวันออกเฉียงเหนือ ในปี พ.ศ. 2537 ซึ่งผู้อ่านส่วนใหญ่ที่เป็นผู้ตรวจสอบ และผู้ที่อยู่ในวงการสถาบันการเงินได้ให้ความสนใจและเห็นว่าเป็นประโยชน์ต่อสถาบันการเงิน และการทําความเข้าใจในแง่การบริหารความเสี่ยงที่เข้าถึงจุดควบคุมที่เห็นชัดเป็นรูปธรรม และปฏิบัติได้
  7. ผมหวังว่าเอกสารฉบับนี้ คงจะเป็นประโยชน์ต่อท่านที่สนใจในเรื่องที่เกี่ยวกับการบริหารสถาบันการเงินตามสมควร การพิมพ์ครั้งนี้ได้แก้ไขและเพิ่มเติมเนื้อหาให้ครอบคลุมบริษัทเงินทุนที่ไม่เคยเผยแพร่มาก่อน และนวัตกรรมทางการเงินใหม่ ๆ เช่น อนุพันธ์ทางการเงิน (Financial Derivative) รวมทั้งเพิ่มภาคผนวกเกี่ยวกับตลาดทางการเงิน (Financial Market) เช่น ตลาดทุน ตลาดเงิน และ ตลาดตราสารอนุพันธ์ พร้อมคําอธิบายผลิตภัณฑ์ทางการเงิน (Financial Product) โดยย่อ เพื่อให้มีเนื้อหาเครื่องมือทางการเงินครบถ้วนสมบูรณ์ยิ่งขึ้น โดยยังคงรักษาลักษณะการวิเคราะห์ความเสี่ยงธุรกรรมการเงินของสถาบันการเงินไว้ในรูปแบบเดิม ทั้งนี้ เพื่อให้ผู้ตรวจสอบในส่วนกํากับสถาบันการเงินและสถาบันการเงิน ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ ดูแลอยู่ได้ใช้เป็นการศึกษาเพื่อเพิ่มประสิทธิภาพในการตรวจสอบเป็นสําคัญ
  8. การจัดรูปแบบการอธิบายถึงกิจกรรมที่ทําให้เกิดความเสี่ยง ตัวบ่งชี้ความเสี่ยง และการควบคุมความเสี่ยงที่อธิบายในหนังสือเล่มนี้ เป็นการค้นคว้าของผู้ตรวจสอบในส่วนที่ผมได้ดูแลและรับผิดชอบ ตลอดจนมอบหมายให้ดําเนินการ โดยอาศัยพื้นฐานและประสบการณ์จากแนวความคิดและการศึกษาเรื่องการวิเคราะห์ความเสี่ยงที่ใช้ Concept จากหนังสือของต่างประเทศ มาประยุกต์ใช้อธิบายในรูปแบบที่ผมคิดว่า จะทําให้ผู้ตรวจสอบและผู้บริหารงานที่เกี่ยวข้องได้เข้าใจเรื่องที่ใกล้ตนเองได้ง่ายขึ้น
  9. ความเสี่ยงที่น่ากลัวที่สุดในการบริหารสถาบันการเงินก็คือ ผู้บริหารระดับสูงไม่สนใจการควบคุมกิจกรรมที่ก่อให้เกิดความเสี่ยงเท่าที่ควรประการหนึ่ง และที่สําคัญ ซึ่งถือเป็นหัวใจของความสําเร็จหรือความล้มเหลวของการบริหารสถาบันการเงิน ก็คือ ผู้บริหารระดับสูงขาดจรรยาบรรณและขาดคุณธรรม ในการบริหารการเงินในองค์กรของตนนั่นเอง ซึ่งหน่วยงานที่เกี่ยวข้องควรให้ความสนใจความเสี่ยงทางจรรยาบรรณ หรือความเสี่ยงทางบริหาร อันเกิดจากความผิดพลาดของผู้บริหาร รวมทั้งการทุจริตของผู้บริหารให้มากขึ้น โดยการเพิ่มการดูแลระบบการบริหารงานและความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับระบบการบริหาร และการดําเนินงานของสถาบันการเงินให้มากยิ่งขึ้น ก่อนที่จะเกิดปัญหากับสถาบันการเงินตามมา ซึ่งจะมีผลกระทบต่อเศรษฐกิจและระบบการเงินของประเทศได้ในที่สุด
    หนังสือที่ได้ปรับปรุงขึ้นใหม่เล่มนี้ จึงได้นําเรื่องที่ผมคิดว่าน่าสนใจมาก สําหรับผู้บริหารสถาบันการเงินและผู้ตรวจสอบ นั่นคือ เรื่อง “สัญญาณเตือนภัยของการทุจริตและการประพฤติมิชอบของพนักงานธนาคาร” มารวบรวมไว้เป็นบทแรกแทนที่จะอยู่ในภาคผนวก เพราะสิ่งนี้เป็นปัญหาที่ควบคุมได้ยาก ไม่ว่าจะมีวิธีวิเคราะห์ความเสี่ยงดีเลิศประการใดก็ตาม ก็ไม่อาจใช้กับผู้บริหารของสถาบันการเงินที่ขาดจรรยาบรรณและมีพฤติกรรมมิชอบได้
  10. ขอขอบคุณเพื่อนร่วมงานในอดีต ที่ช่วยพยายามคิดค้นกิจกรรมที่ก่อให้เกิดความเสี่ยงในสถาบันการเงิน ซึ่งทําให้เข้าถึงการควบคุมที่เหมาะสมได้อย่างมีประสิทธิภาพ ผู้ที่มีส่วนช่วยเหลือในอดีต ก็คือ ผู้ร่วมงานกับผมในช่วงที่ผมอยู่ฝ่ายกํากับและตรวจสอบธนาคารพาณิชย์ และฝ่ายกํากับและตรวจสอบสถาบันการเงินเดิมก่อนแยกหน่วยงานใหม่ ซึ่งผมได้แนวความคิดการเข้าถึงจุดควบคุมต่าง ๆ ในกิจกรรมที่ก่อให้เกิดความเสี่ยง จากการศึกษาและประสบการณ์จากการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ ส่วนงานพิเศษที่ผมรับผิดชอบอยู่ในช่วงนั้น และขออภัยที่ไม่อาจกล่าวนามทั้งหมดได้ เพราะเป็นกิจกรรมที่ได้ดําเนินการมานานก่อนการมารับหน้าที่ใหม่ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่น เมื่อเดือนตุลาคม พ.ศ.2536
    อย่างไรก็ดี ผู้ที่มีส่วนช่วยเหลือเพิ่มเติมในการรวบรวมนวัตกรรมทางการเงินใหม่ ๆ ซึ่งอยู่ในภาคผนวก เพื่อทําให้หนังสือเล่มนี้มีความสมบูรณ์เพิ่มขึ้นก็ได้แก่ เพื่อนร่วมงานในส่วนกํากับสถาบันการเงินจากธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ ซึ่งผมได้แนะนําให้ศึกษาและรวบรวมจากเอกสารที่น่าศึกษา ในบางเรื่องเป็นเรื่องใหม่มากและยังไม่มีความชัดเจนในปัจจุบัน ผมและเพื่อนร่วมงาน ก็ได้ช่วยกันสรุปขึ้นมาจากความเข้าใจในเบื้องต้น เพื่อให้ได้เป็นข้อเขียนที่พอใช้อธิบายเท่าที่ทําได้ ดังนั้น หากท่านผู้อ่านท่านใดพบข้อสรุปหรือคําอธิบายใดที่อาจผิดพลาดหรือไม่ชัดเจน ขอได้โปรดแจ้งให้ผู้เขียนและผู้รวบรวมทราบด้วย เพื่อพิจารณาการปรับปรุงแก้ไขในคราวต่อไป ทั้งนี้ เพราะผมพิจารณาว่าการได้มีโอกาสช่วยกันศึกษาเรื่องใหม่ ๆ ที่มีประโยชน์ต่อผู้ที่เกี่ยวข้องทางการเงิน โดยเฉพาะอย่างยิ่งต่อผู้ตรวจสอบ จะมีส่วนช่วยให้ระบบสถาบันการเงินของประเทศไทยเราโดยส่วนรวมมีความมั่นคงเพิ่มขึ้นได้ทางหนึ่ง
    จึงขอขอบคุณผู้ตรวจสอบส่วนกํากับสถาบันการเงิน ซึ่งประกอบด้วยคุณไตรวุฒิ เรืองจิรารัตน์ คุณชัชวาลย์ ตียะพาณิชย์ คุณกฤษดา พุทธนารัตน์ คุณชนัช เทียมมณีเนตร คุณชุติมา ไชยบุตร คุณก้องเกียรติ วินโกมินทร์ และคุณณัฐพงศ์ ศิริจริยวัตร ที่ได้ช่วยรวบรวมเอกสารอ้างอิงต่าง ๆ และจัดพิมพ์ภายในส่วนงาน จนสําเร็จเป็นรูปเล่ม ตลอดจนพนักงานในหน่วยวิชาการที่ช่วยกันดูโครงสร้างของตลาดการเงินไว้ ณ ที่นี้ด้วย

    เมธา สุวรรณสาร ผู้อํานวยการธนาคารแห่งประเทศไทย
    สาขาภาคตะวันออกเฉียงเหนือ
    16 กรกฎาคม 2540

***** สำหรับท่านที่สนใจ หนังสือ “การจัดระบบควบคุมความเสี่ยงของสถาบันการเงิน” สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

การจัดระบบควบคุมความเสี่ยงของสถาบันการเงินDownload


Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn