Information Technology Governance

เนื่องจาก ธปท. เป็นสถาบันหลักในการกำกับสถาบันการเงิน การกำกับของ ธปท. เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า สถาบันการเงินต่าง ๆ จะมีการบริหารงาน ดำเนินการภายใต้กรอบการเติบโตอย่างยั่งยืนที่ยอมรับได้ ธปท. จึงมีบทบาทสูงมากในการกำหนดนโยบายและแนวทางการกำกับ ตลอดจนการติดตามการตรวจสอบ สถาบันการเงินต่าง ๆ อย่างเข้มงวด

วิกฤติการณ์เศรษฐกิจและการเงินของโลกในปัจจุบัน ซึ่งพิจารณาได้ว่ารุนแรงมากนั้น สถาบันการเงินในประเทศไทยได้รับผลกระทบกระเทือนน้อยมาก ทั้งนี้ อาจพิจารณาในมุมมองของความเข้มแข็งของการกำกับสถาบันการเงินของ ธปท. และการดำเนินงานที่มีคุณภาพของสถาบันการเงินต่าง ๆ โดยเฉลี่ยก็น่าจะเกิดจากสถาบันการเงินต่าง ๆ มี GCG ที่เป็นรูปธรรมมากขึ้น

วันนี้ ผมจึงขอนำร่าง เรื่องอำนาจหน้าที่ของกรรมการของสถาบันการเงินที่ ธปท. ให้ความสำคัญสูงสุด ที่เกี่ยวข้องกับหลักธรรมาภิบาลของสถาบันการเงิน ซึ่งเป็นแนวทางการกำกับของ ธปท. และจะเป็นแนวทางปฏิบัติของคณะกรรมการ ผู้บริหารของสถาบันการเงินต่าง ๆ มานำเสนอในบางส่วนต่อไป ดังนี้

1. เหตุผล
สถาบันการเงินเป็นองค์กรที่มีความสำคัญต่อระบบการเงินและเศรษฐกิจของประเทศโดยรวม หากมีสถาบันการเงินใดที่ดำเนินงานในลักษณะที่ไม่เหมาะสม หรือมีฐานะทางการเงินอ่อนแอ ก็อาจส่งผลกระทบต่อเนื่องไปยังความเชื่อมั่นและความมั่นคงของสถาบันการเงินทั้งระบบได้

นอกจากนี้ ภาวะปัจจุบันสถาบันการเงินมีการแข่งขันสูงขึ้น และธุรกรรมหลายประเภทมีความซับซ้อนและความเสี่ยงเพิ่มมากขึ้น รวมทั้งสถาบันการเงินยังถูกคาดหวังจากผู้ถือหุ้น ลูกค้า และผู้มีส่วนได้เสียอื่น ๆ โดยเฉพาะอย่างยิ่งผู้ฝากเงินก็เพิ่มขึ้นอย่างมากเช่นกัน

ตำแหน่งกรรมการของสถาบันการเงินจึงมิได้มีความสำคัญในฐานะเพียงกรรมการขององค์กรแห่งหนึ่งเท่านั้น แต่ยังเป็นตำแหน่งที่มีส่วนรับผิดชอบในความมั่นคงของระบบเศรษฐกิจและระบบสถาบันการเงินของประเทศอีกด้วย

ในการดำเนินกิจการของสถาบันการเงิน กรรมการจึงต้องปฏิบัติหน้าที่ให้เป็นไปตามกฎหมาย ด้วยความซื่อสัตย์สุจริต (Duty of loyalty) และระมัดระวังรักษาผลประโยชน์ของสถาบันการเงิน (Duty of care)

ธนาคารแห่งประเทศไทยคาดหวังให้กรรมการของสถาบันการเงินมีความรู้และความเข้าใจเกี่ยวกับธุรกิจหลักของสถาบันการเงิน เพื่อให้การบริหารงานของสถาบันการเงินดำเนินไปอย่างมั่นคง กล่าวคือ
มีระบบบริหารความเสี่ยงที่มีประสิทธิภาพ
มีเงินกองทุนที่เหมาะสมรองรับความมั่นคงของกิจการ
มีการกำกับดูแลและติดตามการดำเนินงานให้เป็นไปตามกฎเกณฑ์ของทางการ
ตลอดจนการปฏิบัติหน้าที่ในฐานะกรรมการที่มีธรรมาภิบาลที่ดี (Good Corporate Governance)
มีความโปร่งใสและให้ความเป็นธรรมแก่ทุกฝ่าย
ติดตามดูแลให้ฝ่ายจัดการปฏิบัติหน้าที่ตามกรอบนโยบายที่กำหนดไว้ เพื่อตอบสนองความต้องการและความคาดหวังของผู้มีส่วนได้เสียทุกฝ่าย (Stakeholders)

ธนาคารแห่งประเทศไทยจึงเห็นควรกำหนดอำนาจหน้าที่ของกรรมการของสถาบันการเงินในการบริหารจัดการสถาบันการเงินในเรื่องที่ธนาคารแห่งประเทศไทยให้ความสำคัญสูงสุด เพื่อให้สถาบันการเงินมีระบบบริหารจัดการและธรรมาภิบาลที่ดี ซึ่งในกรณีที่สถาบันการเงินกระทำผิดตามกฎหมาย กรรมการของสถาบันการเงินอาจต้องร่วมรับผิดด้วย เว้นแต่จะพิสูจน์ได้ว่ามิได้มีส่วนในการกระทำความผิดนั้น

2. อำนาจตามกฎหมาย
อาศัยอำนาจตามความในมาตรา 84 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 ธนาคารแห่งประเทศไทยออกข้อกำหนดเกี่ยวกับอำนาจหน้าที่ของกรรมการของสถาบันการเงินที่ธนาคารแห่งประเทศไทยให้ความสำคัญสูงสุดให้กรรมการของสถาบันการเงินถือปฏิบัติโดยทั่วกัน

3. ขอบเขตการบังคับใช้
ประกาศนี้ให้ใช้บังคับกับธนาคารพาณิชย์ที่จดทะเบียนในประเทศทุกธนาคาร บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ทุกแห่ง

4. เนื้อหา
ธนาคารแห่งประเทศไทยกำหนดอำนาจหน้าที่ของกรรมการของสถาบันการเงินที่ธนาคารแห่งประเทศไทยให้ความสำคัญสูงสุด 4 ด้าน ดังนี้

4.1 ด้านการบริหารความเสี่ยง (Risk Management)
กรรมการของสถาบันการเงินต้องมีความเข้าใจลักษณะของธุรกรรมและความเสี่ยงที่เกี่ยวข้องกับธุรกิจของสถาบันการเงินอย่างเพียงพอและเหมาะสม เพื่อที่จะสามารถจัดให้มีระบบบริหารความเสี่ยงที่มีประสิทธิภาพเพียงพอที่จะปกป้องดูแลผลประโยชน์ของสถาบันการเงิน และป้องกันความเสียหายที่อาจเกิดขึ้นได้ ดังนั้น กรรมการของสถาบันการเงินจึงมีหน้าที่ ดังนี้

4.1.1 ต้องกำหนดนโยบายและกลยุทธ์ในการบริหารจัดการความเสี่ยงอย่างชัดเจนเป็นลายลักษณ์อักษร มีประสิทธิภาพ และเหมาะสมกับสภาพแวดล้อมในการดำเนินธุรกิจ และต้องให้แน่ใจว่ามีกระบวนการบริหารความเสี่ยง (Risk Management Process) สำหรับความเสี่ยงที่สำคัญทุกประเภท เช่น ความเสี่ยงด้านเครดิต ความเสี่ยงด้านตลาด ความเสี่ยงด้านปฏิบัติการ ความเสี่ยงด้านสภาพคล่อง เป็นต้น

4.1.2 ต้องดำเนินการเพื่อให้แน่ใจว่าสถาบันการเงินมีกระบวนการในการบริหารความเสี่ยงที่ครอบคลุม ครบถ้วน อย่างน้อยดังต่อไปนี้

(1) กำหนดขั้นตอนการบริหารความเสี่ยง ได้แก่ การระบุความเสี่ยง (Risk Identification) การวัดความเสี่ยง (Risk Measurement) การควบคุมและลดความเสี่ยง (Risk Mitigation and Control) และการติดตามความเสี่ยงและการรายงาน (Risk Monitoring and Reporting) ให้สอดคล้องกับหลักเกณฑ์ที่ธนาคารแห่งประเทศไทยกำหนดเกี่ยวกับการบริหารความเสี่ยงด้านต่าง ๆ

(2) กำหนดเพดานความเสี่ยงที่เพียงพอ ให้เหมาะสมกับปริมาณ ความซับซ้อนและประเภทของธุรกรรมของสถาบันการเงิน ครอบคลุมความเสี่ยงต่าง ๆ ที่สำคัญอย่างครบถ้วน

4.1.3 ติดตามดูแลและประเมินความครบถ้วน ความมีประสิทธิภาพและประสิทธิผลของการปฏิบัติงานตามนโยบายการบริหารความเสี่ยงที่กำหนดไว้อย่างใกล้ชิด

4.1.4 ทบทวนนโยบาย ขั้นตอนการบริหารความเสี่ยงและเพดานความเสี่ยงให้สอดคล้องกับวัตถุประสงค์ เป้าหมาย ความสามารถโดยรวมขององค์กร และสอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป

4.1.5 ต้องให้ความสนใจเรื่องความเสี่ยงด้านสินเชื่อ ในประเด็นต่อไปนี้

(1) มีส่วนร่วมในการกำหนดนโยบายสินเชื่อ กำกับดูแลการให้สินเชื่อและการลงทุนเป็นไปอย่างถูกทำนองคลองธรรม มีกระบวนการพิจารณาโอกาสที่จะได้รับชำระคืนอย่างจริงจังครบถ้วน โดยครอบคลุมถึงความเสี่ยงทุกด้านที่เกี่ยวกับการให้สินเชื่อและการลงทุนนั้น และมีกระบวนการติดตามดูแลสินเชื่อและการลงุทนนั้นอย่างต่อเนื่อง

(2) ต้องดูแลไม่ให้เกิดการกระจุกตัวของความเสี่ยงด้านสินเชื่อและการลงทุน โดยกำหนดจำนวนสูงสุดที่จะอนุญาตให้กู้และลงทุนแก่ลูกค้ารายหนึ่ง ๆ และกลุ่มหนึ่ง ๆ ซึ่งอาจรวมถึงจำนวนสูงสุดสำหรับผู้กู้หลายรายที่อยู่ในอุตสาหกรรมเดียวกันด้วย (Industry limit)

(3) พึงเอาใจใส่เป็นพิเศษในการให้สินเชื่อแก่กิจการที่เกี่ยวข้องกับกรรมการ ผู้บริหาร หรือผู้ถือหุ้นรายใหญ่ เพื่อป้องกันการเอื้อประโยชน์ที่ไม่เหมาะสม และการมองข้ามความเสี่ยงที่ไม่สมควร

(4) ต้องกำหนดนโยบายและกระบวนการจัดการปัญหาที่เพียงพอสำหรับกรณีสินเชื่อหรือการลงทุนที่มีปัญหา และต้องดูแลให้มีการตั้งสำรองหนี้สูญให้พอเพียงกับความเสียหายที่อาจเกิดขึ้น

4.1.6 อนุมัตินโยบาย แผนงานในการทำธุรกรรมทางการเงินใหม่ ๆ โดยครอบคลุมถึงวัตถุประสงค์และขั้นตอนในการประกอบธุรกรรม และปัจจัยความเสี่ยงด้านต่าง ๆ ที่เกี่ยวข้อง โดยมีการวิเคราะห์ความเสี่ยงและผลกระทบที่อาจเกิดขึ้นต่อสถาบันการเงิน รวมทั้งต้องพิจารณาประเด็นด้านกฎหมาย บัญชี และภาษีที่เกี่ยวข้อง

4.1.7 ต้องกำหนดให้มีระบบควบคุมภายในและการตรวจสอบภายใน ซึ่งถือเป็นส่วนสำคัญในการปฏิบัติงาน ให้มีความชัดเจนและเป็นลายลักษณ์อักษร โดยกำหนดโครงสร้างและขั้นตอนการควบคุมอย่างละเอียดในทุกระดับชั้นขององค์กร ตลอดจนติดตาดูแลให้มีการปฏิบัติตามมาตรการควบคุมภายใน และมีการตรวจสอบอย่างสม่ำเสมอ

4.1.8 จัดให้มีการแบ่งแยกหน้าที่ในการปฏิบัติงานของพนักงานให้ชัดเจน (Segregation of Duties) เพื่อให้มีการตรวจสอบถ่วงดุล (Check and Balance) ของหน่วยงานที่เกี่ยวข้อง เช่น ผู้ทำธุรกรรม (Front Office) ผู้ดูแลความเสี่ยง (Middle Office) และผู้ทำงานด้านปฏิบัติการ (Back Office) มิให้เกิดการซ้ำซ้อนหรือคาบเกี่ยวกัน หรือเปิดโอกาสให้สามารถกระทำการเพื่อประโยชน์ส่วนตน และอาจเกิดปัญหาความขัดแย้งทางผลประโยชน์ (Conflict of Interest)

4.2. ด้านการดูแลความเพียงพอของเงินกองทุน (Capital Adequacy)เงินกองทุนเป็นสิ่งที่แสดงฐานะของสถาบันการเงิน ซึ่งขึ้นอยู่กับปัจจัยต่าง ๆ เช่น คุณภาพสินเชื่อ โครงสร้างของสินทรัพย์เสี่ยง ความเสี่ยงจากอัตราดอกเบี้ย การเติบโตของกิจการและผลการดำเนินงาน กรรมการของสถาบันการเงินจึงมีหน้าที่ ดังนี้

4.2.1 ดูแลความเพียงพอของเงินกองทุน โดยการติดตามฐานะเงินกองทุนของสถาบันการเงินอย่างสม่ำเสมอ เพื่อกำกับดูแลให้สถาบันการเงินสามารถดำรงเงินกองทุนให้เป็นไปตามที่กฎหมายกำหนด และเพียงพอรองรับการดำเนินธุรกิจทั้งในปัจจุบันและอนาคต

4.2.2 ดำเนินการให้มีการกำหนดกระบวนการหรือเครื่องมือต่าง ๆ เพื่อใช้ดูแลความเพียงพอของเงินกองทุนให้อยู่ในระดับที่มั่นคง สามารถรองรับความเสี่ยงที่สถาบันการเงินมีอยู่และสอดคล้องกับการบริหารความเสี่ยงและกลยุทธ์ในการดำเนินธุรกิจของสถาบันการเงิน โดยอย่างน้อยต้องจัดให้มีการดำเนินการดังกล่าวภายใต้กรอบกระบวนการประเมินความเพียงพอของเงินกองทุน (Internal Capital Adequacy Assessment Process : ICAAP) ให้มีความเหมาะสมกับปริมาณ ความซับซ้อน และประเภทของธุรกรรมของสถาบันการเงิน โดยครอบคลุมความเสี่ยงที่มีนัยสำคัญทุกด้านที่จะมีผลกระทบต่อเงินกองทุน ฐานะ และผลการดำเนินงาน สถาบันการเงินต้องให้ความสำคัญใน 2 เรื่อง ดังนี้

(1) การทดสอบภาวะวิกฤติ (Stress Test) ต้องพิจารณาถึงเหตุการณ์วิกฤติที่อาจเกิดขึ้นได้หรือการเปลี่ยนแปลงของภาวะเศรษฐกิจที่อาจส่งผลกระทบด้านลบอย่างรุนแรงต่อเงินกองทุน และประเมินความสามารถของสถาบันการเงินที่จะอยู่รอดภายใต้ภาวะการเปลี่ยนแปลงนั้น เช่น ภาวะเศรษฐกิจหรือภาวะอุตสาหกรรมที่ตกต่ำ ความผันผวนของอัตราดอกเบี้ยและอัตราแลกเปลี่ยน และปัญหาสภาพคล่องในระบบการเงิน เป็นต้น

(2) การวางแผนเงินกองทุน (Capital Planning) การประมาณการระดับเงินกองทุนให้สามารถรองรับการขยายตัวทางธุรกิจของสถาบันการเงิน ซึ่งทำให้มีสินทรัพย์เสี่ยงและปัจจัยความเสี่ยงอื่น ๆ เพิ่มขึ้น และอาจมีผลกระทบต่อเงินกองทุน นอกจากนี้ ต้องวางแผนในการเพิ่มทุนให้เพียงพอและสอดคล้องกับกลยุทธ์ในการดำเนินธุรกิจของสถาบันการเงินด้วย

4.3 ด้านการกำกับดูแลและติดตามการดำเนินงานให้เป็นไปตามกฎเกณฑ์ของทางการ (Compliance Roles)สถาบันการเงินอยู่ภายใต้ข้อบังคับของกฎหมาย กฎและระเบียบ ข้อบังคับมาตรฐาน และแนวปฏิบัติต่าง ๆ ของทางการ และจะต้องจัดทำรายงานต่าง ๆ เสนอต่อหน่วยงานที่ทำหน้าที่กำกับดูแล กรรมการจึงมีหน้าที่และความรับผิดชอบในการดำเนินงาน ดังนี้

4.3.1 จัดให้มีระบบควบคุมต่าง ๆ เพื่อให้เกิดความมั่นใจว่าสถาบันการเงินได้ดำเนินการไปโดยถูกต้องตามกฎหมาย กฎและระเบียบข้อบังคับต่าง ๆ รวมทั้งคำสั่งการของธนาคารแห่งประเทศไทย ฯลฯ โดยที่ระบบควบคุมดังกล่าวจะเป็นเครื่องมือช่วยชี้ให้เห็นการปฏิบัติ ฝ่าฝืนกฎหมาย หรือกฎระเบียบข้อบังคับต่าง ๆ หรือข้อผิดพลาดต่าง ๆ ที่อาจเกิดขึ้นได้อย่างทันท่วงที

4.3.2 กำหนดให้ฝ่ายจัดการเปิดเผยข้อมูลในเรื่องสำคัญ ๆ อย่างครบถ้วน ถูกต้อง เพียงพอ ทันต่อเหตุการณ์ เช่น การเปิดเผยข้อมูลของรายการที่อาจมีความขัดแย้งทางผลประโยชน์ (Conflict of Interest) การเปิดเผยผลประโยชน์และค่าตอบแทนที่กรรมการ ผู้จัดการ หรือผู้มีอำนาจในการจัดการ หรือผู้บริหารอื่น ๆ ที่ไม่เป็นกรรมการได้รับจากสถาบันการเงิน และการเปิดเผยข้อมูลการเป็นกรรมการในบริษัทอื่น เป็นต้น

4.4 ด้านการปฏิบัติหน้าที่ในฐานะกรรมการที่มีธรรมาภิบาลที่ดี (Good Corporate Governance)คณะกรรมการของสถาบันการเงินมีอำนาจและหน้าที่ในการกำกับดูแลสถาบันการเงินในอันที่จะก่อให้เกิดประโยชน์สูงสุดต่อองค์กร โดยมีกรรมการเป็นผู้เชื่อมโยงระหว่างผู้ถือหุ้นและฝ่ายจัดการ ดังนั้น กรรมการจึงเป็นบุคคลที่มีบทบาทสำคัญอย่างยิ่งในการสร้างธรรมาภิบาลที่ดีในองค์กรนั้น ๆ ทำให้เกิดความเชื่อมั่นต่อผู้ถือหุ้น ลูกค้า และผู้มีส่วนได้เสียทุกฝ่าย (Stakeholders) ตลอดจนระบบสถาบันการเงินในภาพรวม กรรมการจึงต้องมีบทบาทและภาระความรับผิดชอบตามหลักการของการกำกับดูแลกิจการที่ดี ดังนี้

4.4.1 ปฏิบัติหน้าที่ด้วยความซื่อตรง ไม่แสวงหาประโยชน์ส่วนตน ไม่เลือกปฏิบัติ ไม่เล่นพวกเล่นพ้อง และไม่เข้าไปมีส่วนร่วมหรือมีส่วนเกี่ยวข้องในการตัดสินใจในธุรกรรมหรือกิจการใด ๆ ที่ตนเองมีส่วนได้ส่วนเสีย ไม่ว่าทางตรงหรือทางอ้อม เพื่อไม่ให้เกิดปัญหาความขัดแย้งทางผลประโยชน์ (Conflict of Interest) หรือการแสวงหาประโยชน์ส่วนตน รวมถึงต้องสอดส่องดูแลไม่ให้เกิดกระบวนการแทรงแซงการพิจารณาใด ๆ อันจะทำให้สถาบันการเงินมีความเสี่ยงเพิ่มขึ้น

4.4.2 ร่วมกำหนดกลยุทธ์ขององค์กรและนโยบายในการปฏิบัติงานตลอดจนติดตามดูแลการปฏิบัติหน้าที่ของฝ่ายบริหารให้เป็นไปตามกลยุทธ์และนโยบายที่กำหนดไว้

4.4.3 ดูแลให้มีการกำหนดนโยบายเรื่องธรรมาภิบาลที่ดีให้ชัดเจนเป็นลายลักษณ์อักษร โดยคำนึงถึงผลประโยชน์ของผู้มีส่วนได้เสีย (Stakeholders) ทุกฝ่ายอย่างเหมาะสม

4.4.4 ต้องเข้าร่วมประชุมคณะกรรมการทุกครั้ง เว้นแต่กรณีมีเหตุจำเป็นเท่านั้น และจะต้องมีส่วนร่วมในการพิจารณาให้ความคิดเห็นที่เป็นประโยชน์ในการประชุมอย่างรอบคอบ เอาใจใส่ และเต็มความสามารถ

4.4.5 กำหนดนโยบายการให้ผลตอบแทนที่เหมาะสมและเพียงพอเพื่อจูงใจและรักษาบุคลากรที่มีคุณภาพ และดำรงไว้ซึ่งการปฏิบัติหน้าที่โดยสุจริต ทั้งนี้ ไม่ควรกำหนดอัตราผลตอบแทนผูกโยงกับกำไรระยะสั้น เพื่อไม่ให้กรรมการมีแรงจูงใจในการเพิ่มระดับความเสี่ยงที่สูงเกินกว่าระดับที่สถาบันการเงินยอมรับได้ หรือทำธุรกิจแบบสุ่มเสี่ยงต่อความมั่นคงของสถาบันการเงิน โดยละเลยผลกระทบในระยะยาวเพื่อหวังผลตอบแทนที่สูง

5. การบังคับใช้จะมีผลเมื่อธนาคารแห่งประเทศไทยพิจารณาความเห็นของสถาบันการเงินต่าง ๆ ที่ได้มีสังเกตหลากหลาย เมื่อวันที่ 5 มีนาคม 2552 และจะประกาศใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ทั้งนี้ มุมมองต่าง ๆ ที่เกี่ยวข้องกับ GCG + ITG + GRC + Internal Control/Audit ที่เป็นรายละเอียดและเป็นความเข้าใจของผู้เขียนจะได้นำเสนอในโอกาสต่อไป

เนื่องจาก ธปท. เป็นสถาบันหลักในการกำกับสถาบันการเงิน การกำกับของ ธปท. เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า สถาบันการเงินต่าง ๆ จะมีการบริหารงาน ดำเนินการภายใต้กรอบการเติบโตอย่างยั่งยืนที่ยอมรับได้ ธปท. จึงมีบทบาทสูงมากในการกำหนดนโยบายและแนวทางการกำกับ ตลอดจนการติดตามการตรวจสอบ สถาบันการเงินต่าง ๆ อย่างเข้มงวด

วิกฤติการณ์เศรษฐกิจและการเงินของโลกในปัจจุบัน ซึ่งพิจารณาได้ว่ารุนแรงมากนั้น สถาบันการเงินในประเทศไทยได้รับผลกระทบกระเทือนน้อยมาก ทั้งนี้ อาจพิจารณาในมุมมองของความเข้มแข็งของการกำกับสถาบันการเงินของ ธปท. และการดำเนินงานที่มีคุณภาพของสถาบันการเงินต่าง ๆ โดยเฉลี่ยก็น่าจะเกิดจากสถาบันการเงินต่าง ๆ มี GCG ที่เป็นรูปธรรมมากขึ้น

วันนี้ ผมจึงขอนำร่าง เรื่องอำนาจหน้าที่ของกรรมการของสถาบันการเงินที่ ธปท. ให้ความสำคัญสูงสุด ที่เกี่ยวข้องกับหลักธรรมาภิบาลของสถาบันการเงิน ซึ่งเป็นแนวทางการกำกับของ ธปท. และจะเป็นแนวทางปฏิบัติของคณะกรรมการ ผู้บริหารของสถาบันการเงินต่าง ๆ มานำเสนอในบางส่วนต่อไป ดังนี้

1. เหตุผล
สถาบันการเงินเป็นองค์กรที่มีความสำคัญต่อระบบการเงินและเศรษฐกิจของประเทศโดยรวม หากมีสถาบันการเงินใดที่ดำเนินงานในลักษณะที่ไม่เหมาะสม หรือมีฐานะทางการเงินอ่อนแอ ก็อาจส่งผลกระทบต่อเนื่องไปยังความเชื่อมั่นและความมั่นคงของสถาบันการเงินทั้งระบบได้

นอกจากนี้ ภาวะปัจจุบันสถาบันการเงินมีการแข่งขันสูงขึ้น และธุรกรรมหลายประเภทมีความซับซ้อนและความเสี่ยงเพิ่มมากขึ้น รวมทั้งสถาบันการเงินยังถูกคาดหวังจากผู้ถือหุ้น ลูกค้า และผู้มีส่วนได้เสียอื่น ๆ โดยเฉพาะอย่างยิ่งผู้ฝากเงินก็เพิ่มขึ้นอย่างมากเช่นกัน

ตำแหน่งกรรมการของสถาบันการเงินจึงมิได้มีความสำคัญในฐานะเพียงกรรมการขององค์กรแห่งหนึ่งเท่านั้น แต่ยังเป็นตำแหน่งที่มีส่วนรับผิดชอบในความมั่นคงของระบบเศรษฐกิจและระบบสถาบันการเงินของประเทศอีกด้วย

ในการดำเนินกิจการของสถาบันการเงิน กรรมการจึงต้องปฏิบัติหน้าที่ให้เป็นไปตามกฎหมาย ด้วยความซื่อสัตย์สุจริต (Duty of loyalty) และระมัดระวังรักษาผลประโยชน์ของสถาบันการเงิน (Duty of care)

ธนาคารแห่งประเทศไทยคาดหวังให้กรรมการของสถาบันการเงินมีความรู้และความเข้าใจเกี่ยวกับธุรกิจหลักของสถาบันการเงิน เพื่อให้การบริหารงานของสถาบันการเงินดำเนินไปอย่างมั่นคง กล่าวคือ
มีระบบบริหารความเสี่ยงที่มีประสิทธิภาพ
มีเงินกองทุนที่เหมาะสมรองรับความมั่นคงของกิจการ
มีการกำกับดูแลและติดตามการดำเนินงานให้เป็นไปตามกฎเกณฑ์ของทางการ
ตลอดจนการปฏิบัติหน้าที่ในฐานะกรรมการที่มีธรรมาภิบาลที่ดี (Good Corporate Governance)
มีความโปร่งใสและให้ความเป็นธรรมแก่ทุกฝ่าย
ติดตามดูแลให้ฝ่ายจัดการปฏิบัติหน้าที่ตามกรอบนโยบายที่กำหนดไว้ เพื่อตอบสนองความต้องการและความคาดหวังของผู้มีส่วนได้เสียทุกฝ่าย (Stakeholders)

ธนาคารแห่งประเทศไทยจึงเห็นควรกำหนดอำนาจหน้าที่ของกรรมการของสถาบันการเงินในการบริหารจัดการสถาบันการเงินในเรื่องที่ธนาคารแห่งประเทศไทยให้ความสำคัญสูงสุด เพื่อให้สถาบันการเงินมีระบบบริหารจัดการและธรรมาภิบาลที่ดี ซึ่งในกรณีที่สถาบันการเงินกระทำผิดตามกฎหมาย กรรมการของสถาบันการเงินอาจต้องร่วมรับผิดด้วย เว้นแต่จะพิสูจน์ได้ว่ามิได้มีส่วนในการกระทำความผิดนั้น

2. อำนาจตามกฎหมาย
อาศัยอำนาจตามความในมาตรา 84 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 ธนาคารแห่งประเทศไทยออกข้อกำหนดเกี่ยวกับอำนาจหน้าที่ของกรรมการของสถาบันการเงินที่ธนาคารแห่งประเทศไทยให้ความสำคัญสูงสุดให้กรรมการของสถาบันการเงินถือปฏิบัติโดยทั่วกัน

3. ขอบเขตการบังคับใช้
ประกาศนี้ให้ใช้บังคับกับธนาคารพาณิชย์ที่จดทะเบียนในประเทศทุกธนาคาร บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ทุกแห่ง

4. เนื้อหา
ธนาคารแห่งประเทศไทยกำหนดอำนาจหน้าที่ของกรรมการของสถาบันการเงินที่ธนาคารแห่งประเทศไทยให้ความสำคัญสูงสุด 4 ด้าน ดังนี้

4.1 ด้านการบริหารความเสี่ยง (Risk Management)
กรรมการของสถาบันการเงินต้องมีความเข้าใจลักษณะของธุรกรรมและความเสี่ยงที่เกี่ยวข้องกับธุรกิจของสถาบันการเงินอย่างเพียงพอและเหมาะสม เพื่อที่จะสามารถจัดให้มีระบบบริหารความเสี่ยงที่มีประสิทธิภาพเพียงพอที่จะปกป้องดูแลผลประโยชน์ของสถาบันการเงิน และป้องกันความเสียหายที่อาจเกิดขึ้นได้ ดังนั้น กรรมการของสถาบันการเงินจึงมีหน้าที่ ดังนี้

4.1.1 ต้องกำหนดนโยบายและกลยุทธ์ในการบริหารจัดการความเสี่ยงอย่างชัดเจนเป็นลายลักษณ์อักษร มีประสิทธิภาพ และเหมาะสมกับสภาพแวดล้อมในการดำเนินธุรกิจ และต้องให้แน่ใจว่ามีกระบวนการบริหารความเสี่ยง (Risk Management Process) สำหรับความเสี่ยงที่สำคัญทุกประเภท เช่น ความเสี่ยงด้านเครดิต ความเสี่ยงด้านตลาด ความเสี่ยงด้านปฏิบัติการ ความเสี่ยงด้านสภาพคล่อง เป็นต้น

4.1.2 ต้องดำเนินการเพื่อให้แน่ใจว่าสถาบันการเงินมีกระบวนการในการบริหารความเสี่ยงที่ครอบคลุม ครบถ้วน อย่างน้อยดังต่อไปนี้

(1) กำหนดขั้นตอนการบริหารความเสี่ยง ได้แก่ การระบุความเสี่ยง (Risk Identification) การวัดความเสี่ยง (Risk Measurement) การควบคุมและลดความเสี่ยง (Risk Mitigation and Control) และการติดตามความเสี่ยงและการรายงาน (Risk Monitoring and Reporting) ให้สอดคล้องกับหลักเกณฑ์ที่ธนาคารแห่งประเทศไทยกำหนดเกี่ยวกับการบริหารความเสี่ยงด้านต่าง ๆ

(2) กำหนดเพดานความเสี่ยงที่เพียงพอ ให้เหมาะสมกับปริมาณ ความซับซ้อนและประเภทของธุรกรรมของสถาบันการเงิน ครอบคลุมความเสี่ยงต่าง ๆ ที่สำคัญอย่างครบถ้วน

4.1.3 ติดตามดูแลและประเมินความครบถ้วน ความมีประสิทธิภาพและประสิทธิผลของการปฏิบัติงานตามนโยบายการบริหารความเสี่ยงที่กำหนดไว้อย่างใกล้ชิด

4.1.4 ทบทวนนโยบาย ขั้นตอนการบริหารความเสี่ยงและเพดานความเสี่ยงให้สอดคล้องกับวัตถุประสงค์ เป้าหมาย ความสามารถโดยรวมขององค์กร และสอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป

4.1.5 ต้องให้ความสนใจเรื่องความเสี่ยงด้านสินเชื่อ ในประเด็นต่อไปนี้

(1) มีส่วนร่วมในการกำหนดนโยบายสินเชื่อ กำกับดูแลการให้สินเชื่อและการลงทุนเป็นไปอย่างถูกทำนองคลองธรรม มีกระบวนการพิจารณาโอกาสที่จะได้รับชำระคืนอย่างจริงจังครบถ้วน โดยครอบคลุมถึงความเสี่ยงทุกด้านที่เกี่ยวกับการให้สินเชื่อและการลงทุนนั้น และมีกระบวนการติดตามดูแลสินเชื่อและการลงุทนนั้นอย่างต่อเนื่อง

(2) ต้องดูแลไม่ให้เกิดการกระจุกตัวของความเสี่ยงด้านสินเชื่อและการลงทุน โดยกำหนดจำนวนสูงสุดที่จะอนุญาตให้กู้และลงทุนแก่ลูกค้ารายหนึ่ง ๆ และกลุ่มหนึ่ง ๆ ซึ่งอาจรวมถึงจำนวนสูงสุดสำหรับผู้กู้หลายรายที่อยู่ในอุตสาหกรรมเดียวกันด้วย (Industry limit)

(3) พึงเอาใจใส่เป็นพิเศษในการให้สินเชื่อแก่กิจการที่เกี่ยวข้องกับกรรมการ ผู้บริหาร หรือผู้ถือหุ้นรายใหญ่ เพื่อป้องกันการเอื้อประโยชน์ที่ไม่เหมาะสม และการมองข้ามความเสี่ยงที่ไม่สมควร

(4) ต้องกำหนดนโยบายและกระบวนการจัดการปัญหาที่เพียงพอสำหรับกรณีสินเชื่อหรือการลงทุนที่มีปัญหา และต้องดูแลให้มีการตั้งสำรองหนี้สูญให้พอเพียงกับความเสียหายที่อาจเกิดขึ้น

4.1.6 อนุมัตินโยบาย แผนงานในการทำธุรกรรมทางการเงินใหม่ ๆ โดยครอบคลุมถึงวัตถุประสงค์และขั้นตอนในการประกอบธุรกรรม และปัจจัยความเสี่ยงด้านต่าง ๆ ที่เกี่ยวข้อง โดยมีการวิเคราะห์ความเสี่ยงและผลกระทบที่อาจเกิดขึ้นต่อสถาบันการเงิน รวมทั้งต้องพิจารณาประเด็นด้านกฎหมาย บัญชี และภาษีที่เกี่ยวข้อง

4.1.7 ต้องกำหนดให้มีระบบควบคุมภายในและการตรวจสอบภายใน ซึ่งถือเป็นส่วนสำคัญในการปฏิบัติงาน ให้มีความชัดเจนและเป็นลายลักษณ์อักษร โดยกำหนดโครงสร้างและขั้นตอนการควบคุมอย่างละเอียดในทุกระดับชั้นขององค์กร ตลอดจนติดตาดูแลให้มีการปฏิบัติตามมาตรการควบคุมภายใน และมีการตรวจสอบอย่างสม่ำเสมอ

4.1.8 จัดให้มีการแบ่งแยกหน้าที่ในการปฏิบัติงานของพนักงานให้ชัดเจน (Segregation of Duties) เพื่อให้มีการตรวจสอบถ่วงดุล (Check and Balance) ของหน่วยงานที่เกี่ยวข้อง เช่น ผู้ทำธุรกรรม (Front Office) ผู้ดูแลความเสี่ยง (Middle Office) และผู้ทำงานด้านปฏิบัติการ (Back Office) มิให้เกิดการซ้ำซ้อนหรือคาบเกี่ยวกัน หรือเปิดโอกาสให้สามารถกระทำการเพื่อประโยชน์ส่วนตน และอาจเกิดปัญหาความขัดแย้งทางผลประโยชน์ (Conflict of Interest)

4.2. ด้านการดูแลความเพียงพอของเงินกองทุน (Capital Adequacy)เงินกองทุนเป็นสิ่งที่แสดงฐานะของสถาบันการเงิน ซึ่งขึ้นอยู่กับปัจจัยต่าง ๆ เช่น คุณภาพสินเชื่อ โครงสร้างของสินทรัพย์เสี่ยง ความเสี่ยงจากอัตราดอกเบี้ย การเติบโตของกิจการและผลการดำเนินงาน กรรมการของสถาบันการเงินจึงมีหน้าที่ ดังนี้

4.2.1 ดูแลความเพียงพอของเงินกองทุน โดยการติดตามฐานะเงินกองทุนของสถาบันการเงินอย่างสม่ำเสมอ เพื่อกำกับดูแลให้สถาบันการเงินสามารถดำรงเงินกองทุนให้เป็นไปตามที่กฎหมายกำหนด และเพียงพอรองรับการดำเนินธุรกิจทั้งในปัจจุบันและอนาคต

4.2.2 ดำเนินการให้มีการกำหนดกระบวนการหรือเครื่องมือต่าง ๆ เพื่อใช้ดูแลความเพียงพอของเงินกองทุนให้อยู่ในระดับที่มั่นคง สามารถรองรับความเสี่ยงที่สถาบันการเงินมีอยู่และสอดคล้องกับการบริหารความเสี่ยงและกลยุทธ์ในการดำเนินธุรกิจของสถาบันการเงิน โดยอย่างน้อยต้องจัดให้มีการดำเนินการดังกล่าวภายใต้กรอบกระบวนการประเมินความเพียงพอของเงินกองทุน (Internal Capital Adequacy Assessment Process : ICAAP) ให้มีความเหมาะสมกับปริมาณ ความซับซ้อน และประเภทของธุรกรรมของสถาบันการเงิน โดยครอบคลุมความเสี่ยงที่มีนัยสำคัญทุกด้านที่จะมีผลกระทบต่อเงินกองทุน ฐานะ และผลการดำเนินงาน สถาบันการเงินต้องให้ความสำคัญใน 2 เรื่อง ดังนี้

(1) การทดสอบภาวะวิกฤติ (Stress Test) ต้องพิจารณาถึงเหตุการณ์วิกฤติที่อาจเกิดขึ้นได้หรือการเปลี่ยนแปลงของภาวะเศรษฐกิจที่อาจส่งผลกระทบด้านลบอย่างรุนแรงต่อเงินกองทุน และประเมินความสามารถของสถาบันการเงินที่จะอยู่รอดภายใต้ภาวะการเปลี่ยนแปลงนั้น เช่น ภาวะเศรษฐกิจหรือภาวะอุตสาหกรรมที่ตกต่ำ ความผันผวนของอัตราดอกเบี้ยและอัตราแลกเปลี่ยน และปัญหาสภาพคล่องในระบบการเงิน เป็นต้น

(2) การวางแผนเงินกองทุน (Capital Planning) การประมาณการระดับเงินกองทุนให้สามารถรองรับการขยายตัวทางธุรกิจของสถาบันการเงิน ซึ่งทำให้มีสินทรัพย์เสี่ยงและปัจจัยความเสี่ยงอื่น ๆ เพิ่มขึ้น และอาจมีผลกระทบต่อเงินกองทุน นอกจากนี้ ต้องวางแผนในการเพิ่มทุนให้เพียงพอและสอดคล้องกับกลยุทธ์ในการดำเนินธุรกิจของสถาบันการเงินด้วย

4.3 ด้านการกำกับดูแลและติดตามการดำเนินงานให้เป็นไปตามกฎเกณฑ์ของทางการ (Compliance Roles)สถาบันการเงินอยู่ภายใต้ข้อบังคับของกฎหมาย กฎและระเบียบ ข้อบังคับมาตรฐาน และแนวปฏิบัติต่าง ๆ ของทางการ และจะต้องจัดทำรายงานต่าง ๆ เสนอต่อหน่วยงานที่ทำหน้าที่กำกับดูแล กรรมการจึงมีหน้าที่และความรับผิดชอบในการดำเนินงาน ดังนี้

4.3.1 จัดให้มีระบบควบคุมต่าง ๆ เพื่อให้เกิดความมั่นใจว่าสถาบันการเงินได้ดำเนินการไปโดยถูกต้องตามกฎหมาย กฎและระเบียบข้อบังคับต่าง ๆ รวมทั้งคำสั่งการของธนาคารแห่งประเทศไทย ฯลฯ โดยที่ระบบควบคุมดังกล่าวจะเป็นเครื่องมือช่วยชี้ให้เห็นการปฏิบัติ ฝ่าฝืนกฎหมาย หรือกฎระเบียบข้อบังคับต่าง ๆ หรือข้อผิดพลาดต่าง ๆ ที่อาจเกิดขึ้นได้อย่างทันท่วงที

4.3.2 กำหนดให้ฝ่ายจัดการเปิดเผยข้อมูลในเรื่องสำคัญ ๆ อย่างครบถ้วน ถูกต้อง เพียงพอ ทันต่อเหตุการณ์ เช่น การเปิดเผยข้อมูลของรายการที่อาจมีความขัดแย้งทางผลประโยชน์ (Conflict of Interest) การเปิดเผยผลประโยชน์และค่าตอบแทนที่กรรมการ ผู้จัดการ หรือผู้มีอำนาจในการจัดการ หรือผู้บริหารอื่น ๆ ที่ไม่เป็นกรรมการได้รับจากสถาบันการเงิน และการเปิดเผยข้อมูลการเป็นกรรมการในบริษัทอื่น เป็นต้น

4.4 ด้านการปฏิบัติหน้าที่ในฐานะกรรมการที่มีธรรมาภิบาลที่ดี (Good Corporate Governance)คณะกรรมการของสถาบันการเงินมีอำนาจและหน้าที่ในการกำกับดูแลสถาบันการเงินในอันที่จะก่อให้เกิดประโยชน์สูงสุดต่อองค์กร โดยมีกรรมการเป็นผู้เชื่อมโยงระหว่างผู้ถือหุ้นและฝ่ายจัดการ ดังนั้น กรรมการจึงเป็นบุคคลที่มีบทบาทสำคัญอย่างยิ่งในการสร้างธรรมาภิบาลที่ดีในองค์กรนั้น ๆ ทำให้เกิดความเชื่อมั่นต่อผู้ถือหุ้น ลูกค้า และผู้มีส่วนได้เสียทุกฝ่าย (Stakeholders) ตลอดจนระบบสถาบันการเงินในภาพรวม กรรมการจึงต้องมีบทบาทและภาระความรับผิดชอบตามหลักการของการกำกับดูแลกิจการที่ดี ดังนี้

4.4.1 ปฏิบัติหน้าที่ด้วยความซื่อตรง ไม่แสวงหาประโยชน์ส่วนตน ไม่เลือกปฏิบัติ ไม่เล่นพวกเล่นพ้อง และไม่เข้าไปมีส่วนร่วมหรือมีส่วนเกี่ยวข้องในการตัดสินใจในธุรกรรมหรือกิจการใด ๆ ที่ตนเองมีส่วนได้ส่วนเสีย ไม่ว่าทางตรงหรือทางอ้อม เพื่อไม่ให้เกิดปัญหาความขัดแย้งทางผลประโยชน์ (Conflict of Interest) หรือการแสวงหาประโยชน์ส่วนตน รวมถึงต้องสอดส่องดูแลไม่ให้เกิดกระบวนการแทรงแซงการพิจารณาใด ๆ อันจะทำให้สถาบันการเงินมีความเสี่ยงเพิ่มขึ้น

4.4.2 ร่วมกำหนดกลยุทธ์ขององค์กรและนโยบายในการปฏิบัติงานตลอดจนติดตามดูแลการปฏิบัติหน้าที่ของฝ่ายบริหารให้เป็นไปตามกลยุทธ์และนโยบายที่กำหนดไว้

4.4.3 ดูแลให้มีการกำหนดนโยบายเรื่องธรรมาภิบาลที่ดีให้ชัดเจนเป็นลายลักษณ์อักษร โดยคำนึงถึงผลประโยชน์ของผู้มีส่วนได้เสีย (Stakeholders) ทุกฝ่ายอย่างเหมาะสม

4.4.4 ต้องเข้าร่วมประชุมคณะกรรมการทุกครั้ง เว้นแต่กรณีมีเหตุจำเป็นเท่านั้น และจะต้องมีส่วนร่วมในการพิจารณาให้ความคิดเห็นที่เป็นประโยชน์ในการประชุมอย่างรอบคอบ เอาใจใส่ และเต็มความสามารถ

4.4.5 กำหนดนโยบายการให้ผลตอบแทนที่เหมาะสมและเพียงพอเพื่อจูงใจและรักษาบุคลากรที่มีคุณภาพ และดำรงไว้ซึ่งการปฏิบัติหน้าที่โดยสุจริต ทั้งนี้ ไม่ควรกำหนดอัตราผลตอบแทนผูกโยงกับกำไรระยะสั้น เพื่อไม่ให้กรรมการมีแรงจูงใจในการเพิ่มระดับความเสี่ยงที่สูงเกินกว่าระดับที่สถาบันการเงินยอมรับได้ หรือทำธุรกิจแบบสุ่มเสี่ยงต่อความมั่นคงของสถาบันการเงิน โดยละเลยผลกระทบในระยะยาวเพื่อหวังผลตอบแทนที่สูง

5. การบังคับใช้จะมีผลเมื่อธนาคารแห่งประเทศไทยพิจารณาความเห็นของสถาบันการเงินต่าง ๆ ที่ได้มีสังเกตหลากหลาย เมื่อวันที่ 5 มีนาคม 2552 และจะประกาศใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ทั้งนี้ มุมมองต่าง ๆ ที่เกี่ยวข้องกับ GCG + ITG + GRC + Internal Control/Audit ที่เป็นรายละเอียดและเป็นความเข้าใจของผู้เขียนจะได้นำเสนอในโอกาสต่อไป

เมื่อวันที่ 7 มี.ค. 2552 ผมได้นำเสนอเรื่องการปรับปรุงหลักเกณฑ์ที่เกี่ยวข้องกับ GCG ของ ธปท. ที่ได้ร่างนำเสนอขอความคิดเห็นจากประธานกรรมการสถาบันการเงินต่าง ๆ ที่ห้องประชุม ดร. ป๋วย อึ้งภากรณ์ ชั้น 4 ของ ธปท. นั้น

มีผู้สนใจในข้อสังเกตบางถ้อยคำของผู้เขียนต่อที่ประชุม เช่น Interdependence และ Risk Convergence ที่ผู้เขียนได้หยิบยกมากล่าวเพิ่มเติมในเรื่องอำนาจหน้าที่ของกรรมการสถาบันการเงินที่ ธปท. ให้ความสำคัญสูงสุด 4 เรื่องคือ
1. Risk Management
2. Capital Adequacy
3. Compliance Roles
4. Good Corporate Governance

จึงขออธิบายสั้น ๆ ดังนี้
1. Interdependent
หัวข้อทั้ง 4 ที่ ธปท. ให้ความสำคัญสูงสุดข้างต้นในทุกหัวข้อมีความสำคัญอย่างยิ่งยวดในตัวของมันเองในทุกข้อ ที่เกี่ยวข้องกับความมั่นคงและการเติบโตอย่างยั่งยืนของสถาบันการเงินทุกแห่งที่ ธปท. ใช้เป็นกรอบในการกำกับ โดยมีรายละเอียดที่ไม่ขอกล่าวในที่นี้นั้น ทั้ง 4 หัวข้อยังมีปฏิสัมพันธ์และความสัมพันธ์ซึ่งกันและกันอย่างหลีกเลี่ยงไม่ได้ เพราะผลกระทบจากเหตุการณ์ การกระทำ หรือจุดอ่อนที่กล่าวข้างต้นข้อหนึ่งข้อใด จะไม่เพียงแต่มีผลกระทบต่อการบรรลุเป้าหมายในแต่ละปัจจัย หรือในแต่ละประเด็นที่กล่าวข้างต้นเท่านั้น แต่ยังจะมีผลกระทบต่อปัจจัยหรือประเด็นอื่น ๆ ที่ ธปท. ให้เป็นองค์ประกอบที่มีความสำคัญสูงสุดในการกำกับและการตรวจสอบสถาบันการเงินด้วย ความหมายข้างต้นตามที่ผมกล่าวเรียกสั้น ๆ ว่า “Interdependent”

ขอยกตัวอย่างอื่น ๆ ประกอบคำอธิบายของคำว่า Interdependent ในเรื่องที่เกี่ยวข้องกับ IT Security ตามมาตรฐาน ISO 27001 ซึ่งมี Domain หลัก ๆ 11 หัวข้อดังนี้
1. Security policy
2. Organization of information security
3. Asset management
4. Human resources security
5. Physical and environmental security
6. Communications and operations management
7. Access control
8. Information systems acquisition, development and maintenance
9. Information security incident management
10. Business continuity management
11. Compliance

ซึ่งอาจจะอธิบายโดยแผนภาพเพื่อให้เกิดความเข้าใจของคำว่า Interdependent ดังนี้

Information Security_ISO 27001

จาก Domain ทั้ง 11 ของมาตรฐาน ISO 27001 ซึ่งกระทรวงการคลัง โดย สคร. นำไปเป็นประเด็นในการพิจารณาศักยภาพการบริหารความเสี่ยงและพิจารณามุมมองการบริหารเทคโนโลยีสารสนเทศร่วมกันไปนั้น อธิบายในมุมมองของ Interdependent ได้ว่า ทั้ง 11 Domain มีความสำคัญในตัวของมันเองในแต่ละข้อ และในแต่ละข้อก็มีความสัมพันธ์ซึ่งกันและกัน เพื่อให้ได้ดุลยภาพของความปลอดภัย ความมั่นคงทางด้านเทคโนโลยีสารสนเทศ (IT Security) หากขาดข้อหนึ่งข้อใดก็พิจารณาได้ว่าดุลยภาพในการจัดการด้านความปลอดภัยและความมั่นคงทางด้านสารสนเทศที่เป็นพื้นฐานสำคัญของการประมวลข้อมูลและการรายงานต่าง ๆ เพื่อการบริหารของทุกองค์กรจะมีปัญหาสำคัญในเรื่องความน่าเชื่อถือได้ของข้อมูล และสารสนเทศที่ใช้ในการตัดสินใจขององค์กรโดยรวมเป็นอย่างยิ่ง

อาจจะอธิบายเพิ่มเติมได้ว่า หากองค์กรใดองค์กรหนึ่งได้จัดให้มีการจัดการด้าน IT Security ตั้งแต่ ข้อ 2 ถึง ข้อ 11 ครบถ้วน แต่ขาดเพียง ข้อ 1 เพียงข้อเดียว ก็เป็นเรื่องที่องค์กรนั้นจะขาดความเป็น Interdependent ทางด้าน IT Security หรือในกรณีที่องค์กรหนึ่งองค์กรใด รวมทั้งสถาบันการเงินมี IT Security ตั้งแต่ ข้อ 1 ถึง ข้อ 11 แต่ขาด IT Security ทางด้าน Business Continuity Management – BCM ซึ่งเป็นข้อ 10 เพียงข้อเดียว องค์กรนั้นหรือสถาบันการเงินนั้นก็พิจารณาได้ว่าไม่มีระบบ IT Security ที่ดีและยอมรับได้ ในมุมมองของผู้กำกับ (Regulors) และ Operators ที่เกี่ยวข้องกับการบริหารการจัดการของคณะกรรมการและผู้บริหารขององค์กร

นี่เป็นเรื่องของดุลยภาพในการบริหารและการจัดการที่ดีเพื่อการเติบโตอย่างยั่งยืน มั่นคง ++ ของทุกองค์กร ตามหลัก Good Corporate Governance – GCG และ IT Governance – ITG และเป็นไปตาม Statement ใหม่ ที่กล่าวถึง GRC – Governance + Risk + Compliance ของการบริหารการจัดการที่เป็น First Priority และการบริหารจัดการของทุกองค์กรในปัจจุบัน

จากแผนภาพข้างต้น จะเข้าใจได้ค่อนข้างชัดเจนถึงความสัมพันธ์ระหว่างองค์ประกอบต่าง ๆ ของ Domain ทั้ง 11 ที่ต้องอาศัยประสิทธิภาพและประสิทธิผลในการจัดการ IT Security ในแต่ละเรื่องให้ดีเป็นไปตามมาตรฐาน เพราะทุกเรื่องมีความสัมพันธ์ซึ่งกันและกันเช่นเดียวกับร่างกายของมนุษย์ที่มีอวัยวะ ระบบประสาท ระบบสมอง ระบบหัวใจ ระบบหลอดเลือด ระบบกล้ามเนื้อ ระบบขับถ่าย ระบบผิวหนัง และอวัยวะอื่น ๆ เช่น โครงกระดูก เป็นต้นนั้น

ทุกอวัยวะมีความสำคัญที่จะต้องทำงานสมบูรณ์ได้โดยตัวของมันเอง และต้องอาศัยระบบต่าง ๆ ที่เกี่ยวข้องมาหล่อเลี้ยงอวัยวะของตนเพื่อให้ทุกส่วนของร่างกายทำงานได้อย่างเป็นปกติ ถ้าระบบหนึ่งระบบใดของร่างกายมีปัญหา ระบบอื่น ๆ ก็จะพลอยมีปัญหาตามไปด้วยในที่สุด นั่นคือ สุขภาพทั้งร่างกายและจิตใจจะมีแต่ปัญหาตามมาจนถึงการจากไปของร่างกายและจิตวิญญาณในที่สุด นี่คือคำอธิบายโดยรวม ๆ ของคำว่า Interdependent ที่เกี่ยวข้องกับ Risk Convergence ในอีกมุมมองหนึ่ง

2. Risk Convergence
คำ ๆ นี้ก็มีความสำคัญอย่างยิ่งที่คณะกรรมการและผู้บริหาร รวมทั้งผู้ปฏิบัติระดับต่าง ๆ ขององค์กร ควรจะทำความเข้าใจให้ตรงกัน เพราะจะเกี่ยวข้องกับการขับเคลื่อนความสำเร็จในมุมมองต่าง ๆ ตามที่ ธปท. ได้กล่าวข้างต้น และตามมุมมองของ COSO-ERM และตามหลักการ Balanced Scorecard รวมทั้งกรอบมาตรฐานของ COBIT ตาม IT Governance ซึ่งผู้เขียนจะได้ขยายความในโอกาสต่อไป

สำหรับวันนี้ เพียงแต่จะอธิบาย Risk Convergence ในมุมมองกว้าง ๆ ว่า เหตุการณ์ ความไม่แน่นอน รวมทั้งโอกาสในการสร้างคุณค่าเพิ่มใหม่ ๆ ของทุกองค์กร ซึ่งอาจจะเรียกรวม ๆ กันว่าเป็นการบริหารเชิงรุก โดยผู้ที่เกี่ยวข้องจะต้องใช้ดุลยพินิจ วิจารณญาณ การวิเคราะห์เหตุการณ์ต่าง ๆ ที่อาจจะเกิดขึ้นในภายหน้าที่มีผลกระทบต่อการบรรลุเป้าประสงค์ พันธกิจ วิสัยทัศน์ ขององค์กรระดับต่าง ๆ นั้น จำเป็นอย่างยิ่งที่คณะกรรมการต่าง ๆ ผู้บริหารและผู้ปฏิบัติทุกระดับ ควรเข้าใจตรงกันว่า องค์ความรู้ที่เกี่ยวข้องกับความเสี่ยงในทุกมุมมองจะเกี่ยวข้องและสัมพันธ์กับการปฏิบัติงานขององค์กรอย่างแยกกันไม่ได้ เพราะผลกระทบของเหตุการณ์หนึ่ง ไม่ว่าจะเป็นเรื่อง IT หรือ Non-IT จะมีผลกระทบต่อวัตถุประสงค์ในการควบคุมภายในเพื่อก้าวไปสู่การบรรลุวัตถุประสงค์ระดับต่าง ๆ ของทุกองค์กร ตามหลักการของ COSO-ERM v.2 ในเรื่องที่เกี่ยวกับ S-Strategy, O-Operational, F-Financial, C-Compliance

ซึ่งรายละเอียดที่เกี่ยวข้องกับ COSO-ERM v.2 กับแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร จะได้นำเสนอในหัวข้องของ COSO-ERM และการบริหารความเสี่ยงขององค์กรในเร็ว ๆ นี้ โปรดติดตามได้ต่อไป

โดยสรุป Risk Convergence ในมุมมองของคณะกรรมการ ผู้บริหาร และผู้ปฏิบัติงานแล้ว ต้องการความเข้าใจในภาพโดยรวมของการจัดการ ในมุมมองของ Holistic Framework และ Integrated Thinking ผสมผสานกับ Allignment ของกระบวนการจัดการและการปฏิบัติงานของคณะกรรมการทุกชุด ซึ่งอาจจะอธิบายให้เข้าใจได้ง่ายจากแผนภาพประกอบด้านล่างนี้

Risk Convergence Mgmt. Model

สำหรับข้อคิดเห็นหรือข้อสังเกตเพิ่มเติมเกี่ยวข้องมุมมองของการบริหารจัดการทางด้าน Corporate Governance + Risk Management + Compliance Roles + Capital Adequacy ในเรื่องอื่น ๆ ที่เกี่ยวข้องจะได้ขยายความตามมุมมองของผู้เขียนต่อไป

เมื่อวันที่ 7 มี.ค. 2552 ผมได้นำเสนอเรื่องการปรับปรุงหลักเกณฑ์ที่เกี่ยวข้องกับ GCG ของ ธปท. ที่ได้ร่างนำเสนอขอความคิดเห็นจากประธานกรรมการสถาบันการเงินต่าง ๆ ที่ห้องประชุม ดร. ป๋วย อึ้งภากรณ์ ชั้น 4 ของ ธปท. นั้น

มีผู้สนใจในข้อสังเกตบางถ้อยคำของผู้เขียนต่อที่ประชุม เช่น Interdependence และ Risk Convergence ที่ผู้เขียนได้หยิบยกมากล่าวเพิ่มเติมในเรื่องอำนาจหน้าที่ของกรรมการสถาบันการเงินที่ ธปท. ให้ความสำคัญสูงสุด 4 เรื่องคือ
1. Risk Management
2. Capital Adequacy
3. Compliance Roles
4. Good Corporate Governance

จึงขออธิบายสั้น ๆ ดังนี้
1. Interdependent
หัวข้อทั้ง 4 ที่ ธปท. ให้ความสำคัญสูงสุดข้างต้นในทุกหัวข้อมีความสำคัญอย่างยิ่งยวดในตัวของมันเองในทุกข้อ ที่เกี่ยวข้องกับความมั่นคงและการเติบโตอย่างยั่งยืนของสถาบันการเงินทุกแห่งที่ ธปท. ใช้เป็นกรอบในการกำกับ โดยมีรายละเอียดที่ไม่ขอกล่าวในที่นี้นั้น ทั้ง 4 หัวข้อยังมีปฏิสัมพันธ์และความสัมพันธ์ซึ่งกันและกันอย่างหลีกเลี่ยงไม่ได้ เพราะผลกระทบจากเหตุการณ์ การกระทำ หรือจุดอ่อนที่กล่าวข้างต้นข้อหนึ่งข้อใด จะไม่เพียงแต่มีผลกระทบต่อการบรรลุเป้าหมายในแต่ละปัจจัย หรือในแต่ละประเด็นที่กล่าวข้างต้นเท่านั้น แต่ยังจะมีผลกระทบต่อปัจจัยหรือประเด็นอื่น ๆ ที่ ธปท. ให้เป็นองค์ประกอบที่มีความสำคัญสูงสุดในการกำกับและการตรวจสอบสถาบันการเงินด้วย ความหมายข้างต้นตามที่ผมกล่าวเรียกสั้น ๆ ว่า “Interdependent”

ขอยกตัวอย่างอื่น ๆ ประกอบคำอธิบายของคำว่า Interdependent ในเรื่องที่เกี่ยวข้องกับ IT Security ตามมาตรฐาน ISO 27001 ซึ่งมี Domain หลัก ๆ 11 หัวข้อดังนี้
1. Security policy
2. Organization of information security
3. Asset management
4. Human resources security
5. Physical and environmental security
6. Communications and operations management
7. Access control
8. Information systems acquisition, development and maintenance
9. Information security incident management
10. Business continuity management
11. Compliance

ซึ่งอาจจะอธิบายโดยแผนภาพเพื่อให้เกิดความเข้าใจของคำว่า Interdependent ดังนี้

Information Security_ISO 27001

จาก Domain ทั้ง 11 ของมาตรฐาน ISO 27001 ซึ่งกระทรวงการคลัง โดย สคร. นำไปเป็นประเด็นในการพิจารณาศักยภาพการบริหารความเสี่ยงและพิจารณามุมมองการบริหารเทคโนโลยีสารสนเทศร่วมกันไปนั้น อธิบายในมุมมองของ Interdependent ได้ว่า ทั้ง 11 Domain มีความสำคัญในตัวของมันเองในแต่ละข้อ และในแต่ละข้อก็มีความสัมพันธ์ซึ่งกันและกัน เพื่อให้ได้ดุลยภาพของความปลอดภัย ความมั่นคงทางด้านเทคโนโลยีสารสนเทศ (IT Security) หากขาดข้อหนึ่งข้อใดก็พิจารณาได้ว่าดุลยภาพในการจัดการด้านความปลอดภัยและความมั่นคงทางด้านสารสนเทศที่เป็นพื้นฐานสำคัญของการประมวลข้อมูลและการรายงานต่าง ๆ เพื่อการบริหารของทุกองค์กรจะมีปัญหาสำคัญในเรื่องความน่าเชื่อถือได้ของข้อมูล และสารสนเทศที่ใช้ในการตัดสินใจขององค์กรโดยรวมเป็นอย่างยิ่ง

อาจจะอธิบายเพิ่มเติมได้ว่า หากองค์กรใดองค์กรหนึ่งได้จัดให้มีการจัดการด้าน IT Security ตั้งแต่ ข้อ 2 ถึง ข้อ 11 ครบถ้วน แต่ขาดเพียง ข้อ 1 เพียงข้อเดียว ก็เป็นเรื่องที่องค์กรนั้นจะขาดความเป็น Interdependent ทางด้าน IT Security หรือในกรณีที่องค์กรหนึ่งองค์กรใด รวมทั้งสถาบันการเงินมี IT Security ตั้งแต่ ข้อ 1 ถึง ข้อ 11 แต่ขาด IT Security ทางด้าน Business Continuity Management – BCM ซึ่งเป็นข้อ 10 เพียงข้อเดียว องค์กรนั้นหรือสถาบันการเงินนั้นก็พิจารณาได้ว่าไม่มีระบบ IT Security ที่ดีและยอมรับได้ ในมุมมองของผู้กำกับ (Regulors) และ Operators ที่เกี่ยวข้องกับการบริหารการจัดการของคณะกรรมการและผู้บริหารขององค์กร

นี่เป็นเรื่องของดุลยภาพในการบริหารและการจัดการที่ดีเพื่อการเติบโตอย่างยั่งยืน มั่นคง ++ ของทุกองค์กร ตามหลัก Good Corporate Governance – GCG และ IT Governance – ITG และเป็นไปตาม Statement ใหม่ ที่กล่าวถึง GRC – Governance + Risk + Compliance ของการบริหารการจัดการที่เป็น First Priority และการบริหารจัดการของทุกองค์กรในปัจจุบัน

จากแผนภาพข้างต้น จะเข้าใจได้ค่อนข้างชัดเจนถึงความสัมพันธ์ระหว่างองค์ประกอบต่าง ๆ ของ Domain ทั้ง 11 ที่ต้องอาศัยประสิทธิภาพและประสิทธิผลในการจัดการ IT Security ในแต่ละเรื่องให้ดีเป็นไปตามมาตรฐาน เพราะทุกเรื่องมีความสัมพันธ์ซึ่งกันและกันเช่นเดียวกับร่างกายของมนุษย์ที่มีอวัยวะ ระบบประสาท ระบบสมอง ระบบหัวใจ ระบบหลอดเลือด ระบบกล้ามเนื้อ ระบบขับถ่าย ระบบผิวหนัง และอวัยวะอื่น ๆ เช่น โครงกระดูก เป็นต้นนั้น

ทุกอวัยวะมีความสำคัญที่จะต้องทำงานสมบูรณ์ได้โดยตัวของมันเอง และต้องอาศัยระบบต่าง ๆ ที่เกี่ยวข้องมาหล่อเลี้ยงอวัยวะของตนเพื่อให้ทุกส่วนของร่างกายทำงานได้อย่างเป็นปกติ ถ้าระบบหนึ่งระบบใดของร่างกายมีปัญหา ระบบอื่น ๆ ก็จะพลอยมีปัญหาตามไปด้วยในที่สุด นั่นคือ สุขภาพทั้งร่างกายและจิตใจจะมีแต่ปัญหาตามมาจนถึงการจากไปของร่างกายและจิตวิญญาณในที่สุด นี่คือคำอธิบายโดยรวม ๆ ของคำว่า Interdependent ที่เกี่ยวข้องกับ Risk Convergence ในอีกมุมมองหนึ่ง

2. Risk Convergence
คำ ๆ นี้ก็มีความสำคัญอย่างยิ่งที่คณะกรรมการและผู้บริหาร รวมทั้งผู้ปฏิบัติระดับต่าง ๆ ขององค์กร ควรจะทำความเข้าใจให้ตรงกัน เพราะจะเกี่ยวข้องกับการขับเคลื่อนความสำเร็จในมุมมองต่าง ๆ ตามที่ ธปท. ได้กล่าวข้างต้น และตามมุมมองของ COSO-ERM และตามหลักการ Balanced Scorecard รวมทั้งกรอบมาตรฐานของ COBIT ตาม IT Governance ซึ่งผู้เขียนจะได้ขยายความในโอกาสต่อไป

สำหรับวันนี้ เพียงแต่จะอธิบาย Risk Convergence ในมุมมองกว้าง ๆ ว่า เหตุการณ์ ความไม่แน่นอน รวมทั้งโอกาสในการสร้างคุณค่าเพิ่มใหม่ ๆ ของทุกองค์กร ซึ่งอาจจะเรียกรวม ๆ กันว่าเป็นการบริหารเชิงรุก โดยผู้ที่เกี่ยวข้องจะต้องใช้ดุลยพินิจ วิจารณญาณ การวิเคราะห์เหตุการณ์ต่าง ๆ ที่อาจจะเกิดขึ้นในภายหน้าที่มีผลกระทบต่อการบรรลุเป้าประสงค์ พันธกิจ วิสัยทัศน์ ขององค์กรระดับต่าง ๆ นั้น จำเป็นอย่างยิ่งที่คณะกรรมการต่าง ๆ ผู้บริหารและผู้ปฏิบัติทุกระดับ ควรเข้าใจตรงกันว่า องค์ความรู้ที่เกี่ยวข้องกับความเสี่ยงในทุกมุมมองจะเกี่ยวข้องและสัมพันธ์กับการปฏิบัติงานขององค์กรอย่างแยกกันไม่ได้ เพราะผลกระทบของเหตุการณ์หนึ่ง ไม่ว่าจะเป็นเรื่อง IT หรือ Non-IT จะมีผลกระทบต่อวัตถุประสงค์ในการควบคุมภายในเพื่อก้าวไปสู่การบรรลุวัตถุประสงค์ระดับต่าง ๆ ของทุกองค์กร ตามหลักการของ COSO-ERM v.2 ในเรื่องที่เกี่ยวกับ S-Strategy, O-Operational, F-Financial, C-Compliance

ซึ่งรายละเอียดที่เกี่ยวข้องกับ COSO-ERM v.2 กับแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร จะได้นำเสนอในหัวข้องของ COSO-ERM และการบริหารความเสี่ยงขององค์กรในเร็ว ๆ นี้ โปรดติดตามได้ต่อไป

โดยสรุป Risk Convergence ในมุมมองของคณะกรรมการ ผู้บริหาร และผู้ปฏิบัติงานแล้ว ต้องการความเข้าใจในภาพโดยรวมของการจัดการ ในมุมมองของ Holistic Framework และ Integrated Thinking ผสมผสานกับ Allignment ของกระบวนการจัดการและการปฏิบัติงานของคณะกรรมการทุกชุด ซึ่งอาจจะอธิบายให้เข้าใจได้ง่ายจากแผนภาพประกอบด้านล่างนี้

Risk Convergence Mgmt. Model

สำหรับข้อคิดเห็นหรือข้อสังเกตเพิ่มเติมเกี่ยวข้องมุมมองของการบริหารจัดการทางด้าน Corporate Governance + Risk Management + Compliance Roles + Capital Adequacy ในเรื่องอื่น ๆ ที่เกี่ยวข้องจะได้ขยายความตามมุมมองของผู้เขียนต่อไป