แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กันยายน 14, 2009

สวัสดีครับ ท่านผู้บริหารและผู้ติดตามเรื่องราวของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร หรือ COSO – ERM Framework อยู่ในขณะนี้ สำหรับเรื่องของกระบวนการบริหารความเสี่ยงเราก็ได้พูดคุยกันมาถึงกิจกรรมควบคุม (Control Activities) ซึ่งเป็นกระบวนการบริหารความเสี่ยงในขั้นตอนที่ 6 จากหลักการของ COSO – ERM ทั้ง 8 ประการ ที่ผมจะได้นำเสนอกับทุกท่านในวันนี้

หากจะกล่าวถึงกิจกรรมควบคุมในกระบวนการบริหารความเสี่ยง นั่นก็คือ นโยบายและกระบวนปฏิบัติที่จะช่วยให้แน่ใจได้ว่าการตอบสนองความเสี่ยงนั้นถูกจัดการอย่างเหมาะสม

นอกจากนี้กิจกรรมการควบคุมยังหมายถึง การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นนโยบาย วิธีปฏิบัติและคำสั่งต่าง ๆ ที่ฝ่ายบริหารกำหนด เพื่อเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด

กิจกรรมการควบคุมยังรวมถึง กิจกรรมที่กำหนดขึ้นเพื่อป้องกัน ค้นพบ หรือลดความเสี่ยงที่จะเกิดขึ้นได้ตามผลการประเมินความเสี่ยงอย่างเหมาะสมและทันกาล

แม้ว่ากิจกรรมควบคุมบางอย่างเกี่ยวกับพื้นที่เดียวแต่ก็มีความซ้ำซ้อน กิจกรรมควบคุมเฉพาะเจาะจงสามารถช่วยให้พึงพอใจวัตถุประสงค์มากกว่า 1 ประเภทขององค์กรได้โดยขึ้นอยู่กับโอกาส การควบคุมการปฏิบัติการสามารถช่วยให้เกิดความมั่นใจในการรายงานผลที่เชื่อถือได้ การรายงานผลกิจกรรมควบคุมสามารถช่วยบรรเทาผลที่เกิดขึ้นได้

การบูรณาการด้วยการตอบสนองความเสี่ยง
การตอบสนองความเสี่ยงมุ่งเอาใจใส่ในกิจกรรมควบคุม ซึ่งจำเป็นในการช่วยสร้างความมั่นใจว่าได้ดำเนินการตอบสนองความเสี่ยงอย่างถูกต้องและถูกเวลา กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการที่องค์กรพยายามที่จะบรรลุวัตถุประสงค์ของธุรกิจตนเอง

ในการเลือกกิจกรรมควบคุม ผู้บริหารเป็นผู้พิจารณาว่ามีความสัมพันธ์กันอย่างไร อาจใช้กิจกรรมควบคุมเดียวเพื่อใช้ในการตอบสนองความเสี่ยงจำนวนมาก ตัวอย่างเช่น ตัวบ่งชี้ผลงานซึ่งวัดการเข้าออกงานของพนักงาน เป็นสิ่งแสดงถึงประสิทธิภาพการตอบสนองของผู้บริหารต่อคู่แข่งในการเลือกคนและการขาดประสิทธิภาพในค่าตอบแทนพนักงาน การฝึกอบรมรวมถึงโปรแกรมการพัฒนา

เมื่อสร้างการตอบสนองความเสี่ยงใหม่ขึ้นผู้บริหารพิจารณากิจกรรมควบคุมที่มีอยู่ ซึ่งอาจมีเพียงพอที่จะทำให้มั่นใจว่าการตอบสนองใหม่นี้จะดำเนินไปอย่างมีประสิทธิภาพ ในทางตรงข้ามอาจมีความจำเป็นที่จะต้องพิจารณากิจกรรมควบคุมหลาย ๆ อย่างที่สัมพันธ์กับการตอบสนองความเสี่ยง

กิจกรรมควบคุมเป็นส่วนสำคัญของกระบวนการ ซึ่งทำให้องค์กรได้บรรลุถึงวัตถุประสงค์ของธุรกิจ กิจกรรมควบคุมไม่ได้ทำให้ง่ายสำหรับผลประโยชน์ของตนเอง หรือเพราะว่าเป็นเหมือนการทำสิ่งที่ถูกต้องหรือเหมาะสม ผู้บริหารจำเป็นต้องทำเพื่อให้แน่ใจว่าได้บรรลุเป้าหมาย กิจกรรมควบคุมเป็นเหมือนกลไกสำหรับการบริหารความสำเร็จของวัตถุประสงค์และถูกสร้างในกระบวนการบริหารโดยตรง

ในเรื่องของกิจกรรมการควบคุมครั้งนี้ ผมขอเกริ่นไว้เพียงเท่านี้ก่อนครับ แล้วเราจะไปพูดคุยต่อถึงประเภทของกิจกรรมการควบคุมในครั้งหน้ากันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ดุลยภาพทางด้านนโยบาย ความมั่นคง และดุลยภาพทางเศรษฐกิจ การเงิน กับการบริหารความเสี่ยง

กันยายน 9, 2009

จากข่าวหนังสือพิมพ์ประชาชาติ ฉบับประจำวันพฤหัสบดีที่ 10 – วันอาทิตย์ที่ 13 กันยายน 2552 ฉบับที่ 4139 (3339) หน้าแรกที่พาดหัวข่าวเกี่ยวกับเรื่องวิกฤตส่งออกขาดคน 5 หมื่น ลูกจ้างเมินโรงงาน-อุตฯ หวั่นสูญออเดอร์

จากปัญหาเศรษฐกิจและการเงินของโลกที่มีผลกระทบต่อประเทศไทยในทุกอุตสาหกรรมที่เกี่ยวข้อง ทำให้พนักงานที่กินเงินเดือนต้องถูกพ้นสภาพจากการเป็นพนักงานประจำ มารับเงินชดเชยตกงานจากรัฐ ซึ่งเป็นสวัสดิการที่เกี่ยวข้องกับการประกันสังคม หากผู้บริหารหรือรัฐบาลไม่พิจารณาความยั่งยืนในระยะยาวของเงินกองทุนประกันสังคมของประเทศแล้ว ค่อนข้างเป็นที่แน่นอนว่า เงินกองทุนนี้คงจะต้องอาศัยการอุดหนุนจากรัฐบาลหรือเป็นภาระของรัฐบาลมากขึ้นเป็นแน่

ทั้งนี้เพราะรัฐบาลพยายามให้ความช่วยเหลือประชาชนในรูปแบบต่าง ๆ มากขึ้น รวมทั้งการให้ความช่วยเหลือค่ารักษาพยาบาลพนักงาน ของผู้ประกันตนเพิ่มเติมจากเดิมซึ่งรัฐไม่มีภาระในเรื่องนี้ ถึงแม้ในมุมมองของประชาชนส่วนใหญ่ที่อยู่ในขอบเขตของการประกันตน จะได้รับประโยชน์มากขึ้น และเป็นสิ่งดีนั้น ผู้บริหารและหน่วยงานที่เกี่ยวข้องคงต้องมองภาพในระยะยาวภาพหนึ่งนั่นก็คือ ความมั่นคงและความยั่งยืนของเงินกองทุนจากภาระที่เพิ่มขึ้น

ด้วยเหตุนี้จึงทำให้แรงงานส่วนหนึ่งที่พ้นจากสภาพการเป็นพนักงานประจำในช่วงที่ประเทศมีปัญหาเศรษฐกิจและได้รับเงินชดเชยจากภาครัฐ เป็นเวลา 8 เดือน ไม่สนใจที่จะสมัครงานในภาคอุตสาหกรรมส่งออก ทั้งที่ในภาคอุตสาหกรรมส่งออกขณะนี้มีแนวโน้มที่เป็นสัญญาณในการเติบโต จากการมีออเดอร์สั่งสินค้าจากต่างประเทศเป็นจำนวนมาก แต่ด้วยเหตุผลดังกล่าวข้างต้นทำให้พนักงานไม่กลับเข้าไปสมัครงาน จึงเกิดปัญหาขาดแรงงาน ซึ่งขณะนี้กำลังเป็นปัญหาที่รัฐต้องให้ความสนใจในการบริหารดุลยภาพในการจัดการ และความพอดีในการชดเชยการตกงานจากภาครัฐ

ปัญหาดุลยภาพในการจัดการตั้งแต่ระดับนโยบาย กลยุทธ์และแผนการดำเนินงานต่าง ๆ เป็นปัญหาสำคัญ ซึ่งต้องการวิสัยทัศน์จากการมองการณ์ไกลของผู้บริหารระดับสูงเป็นอย่างยิ่ง ทั้งนี้เพราะ หากแรงงานส่วนหนึ่ง และเป็นแรงงานที่สำคัญพึงพอใจอย่างยิ่งกับรัฐสวัสดิการ มากกว่าการทำงานแล้วละก็ ย่อมแสดงให้เห็นชัดเจนว่าน่าจะมีปัญหาเรื่องดุลยภาพหรือความพอดีในการดำเนินการและจัดการในองค์ประกอบที่เกี่ยวข้อง ซึ่งจะมีผลกระทบอย่างร้ายแรงต่อเศรษฐกิจ การเงิน และอตุสาหกรรม รวมทั้งรายได้ประชาชาติ และระดับการแข่งขันโดยรวมของประเทศในอนาคต

สเถียรภาพในทุกมุมมอง ตั้งแต่ระดับประเทศไปถึงระดับหน่วยงาน และผู้ปฏิบัติงานต้องการความเข้าใจในหลักการของ Governance ทั้ง 4 ที่เชื่อมโยงไปยัง IT Governance และหลักการบริหารความเสี่ยงในระดับประเทศ ระดับองค์กรที่เป็นรูปธรรม

จากรายงานขีดความสามารถของ World Economic Forum : WEF ประเทศไทยตกอันดับการแข่งขันระหว่างประเทศต่อเนื่องกันเป็นปีที่ 2 จาก 30 อันดับแรก มาอยู่ที่อันดับที่ 36 จากทั้งหมด 133 ประเทศ ด้วยสาเหตุต่าง ๆ ทั้งทางการเมือง และเศรษฐกิจ

ทั้งนี้นอกจากจะเป็นประเด็นการเมือง และเศรษฐกิจของประเทศและของโลกแล้ว ก็ยังมีปัญหาที่สำคัญยิ่งที่ต้องได้รับการแก้ไขอย่างเร่งด่วน ก็คือการขาดดุลยภาพในการจัดการในมุมมองต่าง ๆ

ซึ่งอาจยกตัวอย่างดุลยภาพในการบริหารจัดการนโยบายทางด้านสินเชื่อจากภาครัฐ ที่กำหนดนโยบายให้กับธนาคารในภาครัฐ และภาคเอกชน ให้เร่งรัดในการปล่อยสินเชื่อเป็นกรณีเร่งด่วนให้กับธุรกิจ SME ถึงแม้จะเป็นเรื่องดี แต่การกำหนดให้ปล่อยสินเชื่อ บางธนาคารสูงถึง 30,000 – 50,000 ล้านบาทต่อปี/ธนาคาร โดยไม่กำหนดระดับความเสี่ยงที่ยอมรับได้ เช่น NPL ที่จะเกิดขึ้น โดยเฉพาะธนาคารที่รัฐเป็นเจ้าของ ในอนาคตก็จะเกิด NPL หรือหนี้เสีย จำนวนเกินกว่าที่จะยอมรับได้ เช่นที่เคยเกิดขึ้นแล้วในหลายธนาคาร และบางธนาคารของรัฐมี NPL สูงถึงร้อยละ 50 – 60 ของสินเชื่อที่ได้ปล่อยไปในปีที่ผ่าน ๆ มา และหากไม่รวมการปล่อยสินเชื่อใหม่ ซึ่งเป็นการเพิ่มฐานสินเชื่อโดยรวม และนำไปเปรียบเทียบกับ NPL ในปีก่อนหน้านี้ ทำให้ NPL ต่ำกว่าที่ควรจะเป็น

ดังนั้น หากมีการกำหนดนโยบายที่ได้ดุลยภาพในเรื่องการปล่อยสินเชื่อดังตัวอย่างข้างต้นก็คือ การกำหนดจำนวนสินเชื่อที่ธนาคารของรัฐพึงจะให้กับ SME คู่กับการกำหนดระดับความสูญเสียหรือ NPL ที่ยอมรับได้ เช่น ไม่เกินกว่าร้อยละ 10 – 15 ของสินเชื่อที่ปล่อยในแต่ละปี ซึ่งก็พิจารณาได้ว่าอยู่ในอัตราที่สูงมากแล้วอย่างเหมาะสม

นอกจากตัวอย่างนโยบายการปล่อยสินเชื่อของธนาคารภาครัฐที่ควรคู่กับการกำหนดระดับ NPL ที่เหมาะสม (Risk Appetite / Risk Tolerance) แล้ว ดุลยภาพในการจัดการเรื่องอื่น ๆ หน่วยงานกำกับและผู้บริหารที่เกี่ยวข้องควรกำหนดดุลยภาพในการจัดการ โดยคำนึงถึงผลกระทบในทางที่ไม่ต้องการในระยะยาวอย่างเหมาะสม ก็จะทำให้เกิดแนวคิดดุลยภาพในการบริหารจัดการที่ดีภายใต้หลักการ Corporate Governace ได้

ความมั่นคงทางการเมือง และความมั่นคงของรัฐ (Public Governance) ซึ่งเกี่ยวข้องกับ Corporate Governance และ Global Governance และ Social Governance อย่างแยกกันไม่ได้ โดยมีแนวทางการบริหารความเสี่ยงเข้ามาเป็นกลไกในการขับเคลื่อนในทุกมุมมองตามหลักการใหญ่ ทั้ง 4 Governance นั้น ต้องการความเข้าใจอย่างลึกซึ้ง และนำไปปฏิบัติจริงของผู้นำ ทั้งในระดับประเทศ ในระดับองค์กร และหน่วยงานต่าง ๆ ทั้งภาครัฐและเอกชน ที่มีหลักข้อหนึ่งที่สำคัญยิ่งก็คือ หลักความโปร่งใสและความเป็นธรรม หลักการปฏิบัติโดยเท่าเทียมกัน หลักการเติบโตอย่างยั่งยืน หลักการของการพัฒนาความรู้ความสามารถและความรับผิดชอบในทุกระดับ หลักการส่งเสริมให้มีการปฏิบัติตามมาตรฐานสากล และ Best Practice รวมทั้งการดูแลสังคมและสิ่งแวดล้อมให้เกิดบรรยากาศที่สร้างความเชื่อมั่นในทุกกลุ่มภายในประเทศ ซึ่งจะมีผลต่อความเชื่อมั่นระหว่างประเทศ และนำความสำเร็จจากความเชื่อมั่นนั้น มาเป็นกลไกในการขับเคลื่อนการเติบโตอย่างยั่งยืนในมุมมองต่าง ๆ ต่อไป

ในครั้งต่อไป ผมจะลองมาวิเคราะห์ดุลยภาพในการบริหารและการจัดการ Core Banking System – CBS ที่มีปัญหาค่อนข้างมากในวงการธนาคารภาครัฐที่เป็นบ่อเกิดสำคัญของประสิทธิผล ประสิทธิภาพในการจัดการที่มีความสำคัญยิ่งต่อความสำเร็จในการบริหาร ในมุมมองต่าง ๆ ตามหลัก Balanced Score Card

นอกจากนี้ก็คงจะพูดถึงดุลยภาพในการจัดการ การควบคุมความเสี่ยง การติดตามและการตรวจสอบตามฐานความเสี่ยงที่เกี่ยวข้องกับ IT และ Non – IT โดยเฉพาะอย่างยิ่งดุลยภาพในการจัดการ Business Process ที่ขับเคลื่อน Business Objective ที่เกี่ยวข้องกับ IT Governance ภายใต้ร่มใหญ่ของ Corporate Governance ในมุมมองต่าง ๆ ของ การวางแผนและการจัดการองค์กร (Planning & Organization-PO) การจัดหาและการนำระบบงานออกใช้จริง (Acquisition & Implementation-AI) การจัดการและการบำรุงรักษาระบบงาน (Delivery & Support-DS) รวมทั้งการติดตามและการวิเคราะห์กระบวนการจัดการในภาพโดยรวม (Monitor & Evaluate-ME) ในบางมุมมอง

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส.

กันยายน 5, 2009

ครั้งที่แล้วผมได้ทิ้งท้ายไว้ว่าจะมาพูดถึงเรื่องของผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. ที่ได้ตีพิมพ์ลงในหนังสือพิมพ์รายวันฉบับหนึ่ง โดยมีรายละเอียดเกี่ยวกับข้อเท็จจริงของผู้ทุจริตและการทุจริต รวมทั้งวิธีการทุจริตและสาเหตุที่ทำให้ผู้ทุจริตกระทำการทุจริตดังกล่าว ซึ่งผมมองว่ากรณีนี้น่าจะเป็นกรณีศึกษาที่สะท้อนให้เห็นภาพของการตรวจสอบ การทุจริต และการบริหารความเสี่ยง ตามที่ผมเคยได้กล่าวไว้ในครั้งก่อน ๆ ได้เป็นอย่างดี เราไปดูในรายละเอียดของผลการสอบที่ว่านี้กันดีกว่าครับ

ต่อจากนี้ไปเป็นรายงานผลสอบสวนของคณะกรรมการตรวจสอบข้อเท็จจริงชุดที่มี น.ส. โสภาวดี เลิศมนัสชัย เป็นประธานการตรวจสอบ ซึ่งได้ชี้ให้เห็นถึงจุดที่ผิดพลาดอย่างละเอียด รวมถึงการป้องกันปัญหาของธนาคารภายหลังที่เกิดเรื่อง

ประเด็นคำถามที่จะช่วยในการตรวจสอบ

ข้อเท็จจริงเกี่ยวกับผู้ทุจริตและการทุจริต
ประวัติผู้ทุจริต นายสมเกียรติ ปัญญาวรคุณเดช ตำแหน่งพนักงานธุรกิจสาขาอาวุโส เกรด 7 สาขาเซ็นหลุยส์ 3 อายุ 33 ปี ปฏิบัติงานเจ้าหน้าที่การเงินที่สาขาเซ็นหลุยส์เพียงสาขาเดียวเป็นเวลา 9 ปี ตั้งแต่วันที่ 1 ก.ย. 2542 ถึงปัจจุบัน จำนวนเงินที่ทุจริต 499,272,777.95 บาท โดยมีระยะเวลาที่ทำการทุจริต ตั้งแต่วันที่ 8 พ.ย. 2550 – 20 เม.ย. 2552

วิธีการทุจริตมี 2 แบบ ง่าย ๆ ไม่มีอะไรซับซ้อน
1. การปลอมสลิปถอนเงินจากบัญชีลูกค้า โดยการปลอมสลิปถอนเงินจากบัญชีเงินฝากประจำลูกค้าราย นางเล่งบ่าย รงคพรรณ จำนวน 2 บัญชี รวม 6 รายการ จำนวนเงินรวม 36.50 ล้านบาท ซึ่งเป็นการทำทุจริตระหว่างวันที่ 8 พ.ย. 2550 ถึงวันที่ 23 ม.ค. 2551

2. การสร้างรายการค่าใช้จ่ายประเภทบัญชีดอกเบี้ยจ่ายเงินฝากประจำของสำนักพระราม 9 และสาขาเซ็นหลุยส์ 3 จำนวน 419 รายการ จำนวนเงินรวม 499.27 ล้านบาท ทั้ง ๆ ที่ นายสมเกียติ ไม่มีเงินฝากประจำที่สาขาทั้ง 2 แห่งแต่อย่างใด และในขณะเดียวกัน นายสมเกียรติ ก็สร้างรายการฝากเงินเข้าบัญชีของตนเอง หรือผู้ที่เกี่ยวข้องในจำนวนเดียวกับดอกเบี้ยเงินฝากประจำที่สร้างขึ้นดังกล่าวข้างต้น ซึ่งเป็นการทำการทุจริตในช่วงหลัง Go Live โดยเริ่มตั้งแต่วันที่ 20 ก.พ. 2551 ถึง 20 เม.ย. 2552

สาเหตุที่ทุจริตได้สำเร็จ
1. นายสมเกียรติทำการปลอมเอกสารสลิปถอนเงินจากบัญชีเงินฝากของลูกค้า นอกจาก นายสมเกียรติ ที่เป็นผู้ทุจริตแล้ว พนักงานและผู้บริหารในสาขาละเลยไม่ระมัดระวังในการเก็บรักษารหัสส่วนตัว (Password) ให้เป็นความลับ ทำให้ นายสมเกียรติ นำไปใช้ Override รายการกระทำการทุจริตได้ ตลอดจนไม่ตรวจสอบรายงานการอนุมัติเกินอำนาจในวันรุ่งขึ้น จึงไม่พบความผิดปกติในการใช้ Password อนุมัติรายการจนเป็นเหตุสามารถทุจริตได้เป็นเวลานาน

2. นายสมเกียติทำการทุจริต โดยเข้าไปสร้างรายการดอกเบี้ยจ่ายในระบบบัญชี GL ของธนาคารได้จำนวน 499.27 ล้านบาท โดยมีปัจจัยมาจาก 2 ประการ คือ

ประการแรก ระบบงานโดยเฉพาะหน้าจอ (MENU) ที่ใช้ในการปรับปรุงดอกเบี้ยจ่ายและการทำรายการข้ามสาขาเปิดให้พนักงานทุกระดับ (Work Class) สามารถทำรายการได้ในบัญชี GL ของธนาคาร โดยไม่มีการอนุมัติผ่านรายการ (Verify) ซึ่งเป็นปัจจัยที่ช่วยให้ นายสมเกียรติ สามารถเข้าไปทำรายการดอกเบี้ยจ่ายในระบบงานบัญชี GL ของธนาคารได้

ประการที่ 2 สาขาของบัญชีดอกเบี้ยจ่ายไม่ตรวจสอบงบทดลองประจำวัน ซึ่งเป็นปัจจัยที่ช่วยให้ นายสมเกียรติสามารถทุจริตได้ต่อเนื่องเป็นเวลานาน ซึ่งทำให้มีมูลค่ารวมเสียหายสูง

วิธีการตรวจสอบระบบงาน

จากปัจจัย 2 ประการข้างต้น คณะกรรมการสามารถสรุปได้ คือ
1. ระบบงานโดยเฉพาะหน้าจอที่ใช้ในการปรับปรุงดอกเบี้ยจ่าย และการทำรายการข้ามสาขา หรือ MENU HXFER เปิดให้พนักงานทุกระดับสามารถทำรายการได้ในบัญชี GL ของธนาคาร โดยไม่มีการ Verify มีสาเหตุมาจาก

1.1. ธนาคารไม่ได้กำหนดสิทธิในการเข้าถึง MENU HXFER ทั้งที่เมนูดังกล่าวสามารถเชื่อมโยงกับงานบัญชี GL ของธนาคาร เนื่องจาก Architecture ของ CBS ระบบเก่าและใหม่แตกต่างกันอย่างมีสาระสำคัญ คือ ในระบบใหม่ได้รวมระบบ GL เข้าไว้ในระบบ ในขณะที่ระบบเดิมแยกระบบ GL ออกต่างหาก ซึ่งผู้ที่เกี่ยวข้องรับทราบประเด็นความแตกต่างดังกล่าว หากแต่ไม่ได้ตระหนักถึงความเสี่ยง หรือโอกาสที่จะก่อให้เกิดความเสียหาย หากไม่มีระบบการควบคุมที่เหมาะสม

1.2. ภายหลังจากการ Go Live แล้ว ธนาคารประสบปัญหาในการให้บริการ โดยเฉพาะธุรกรรมเงินฝาก ซึ่งระบบคิดดอกเบี้ยเงินฝากประจำที่จ่ายให้ผู้ฝากผิด จึงได้นำ MENU HXFER มาใช้ในการปรับปรุงรายการดอกเบี้ยจ่าย

1.3. ธนาคารได้กำหนดการปิดระบบของสาขา จะเป็นการปิด เปิดระบบจากส่วนกลางพร้อมกันทุกสาขา ซึ่งจะปิดระบบภายหลังจากที่เคาน์เตอร์การเงินปิดให้บริการแล้วในเวลาประมาณ 20.00 น. จึงเปิดโอกาสให้ นายสมเกียติ สามารถเข้าไปทำรายการทุจริตนอกเวลาทำการ

2. สำนักงานพระราม 9 และสาขาเซ็นหลุยส์ 3 ซึ่งเป็นเจ้าของบัญชีดอกเบี้ยจ่าย ไม่ได้ตรวจสอบงดทดลองประจำวัน มีสาเหตุจาก

2.1. ผู้ที่มีหน้าที่รับผิดชอบบริหารสาขาและผู้ที่ตรวจสอบบัญชีสาขาไม่ปฏิบัติหน้าที่ คือ ไม่ตรวจสอบรายงานทดลองประจำวัน หรือรายงานที่เกี่ยวข้อง ไม่ควบคุมดูแลการกระทบยอดประจำวัน ไม่ได้บริหารจัดการสาขา ควบคุม กำกับ ดูแลงบการเงินของตน กรณีเกิดความผิดปกติในงบการเงินเกี่ยวกับดอกเบี้ยจ่าย ถือเป็นค่าใช้จ่ายสำคัญของสำนักงานพระราม 9 และสาขาเซ็นหลุยส์ 3 อย่างมีสาระสำคัญให้ครบถ้วนตามที่ธนาคารกำหนด

2.2. ผู้ปฏิบัติไม่ได้รับการชี้แจงวิธิการปฏิบัติงานที่ถูกต้อง ครบถ้วนและไม่ได้รับการอบรมในเรื่องระบบ GL เพื่อให้ดูหัวบัญชีดอกเบี้ยจ่าย ซึ่งจากการสอบถามผู้ปฏิบัติก็ให้การยืนยันตรงกันว่าไม่ได้ดูหัวบัญชีดอกเบี้ยจ่าย อีกทั้งธนาคารไม่มีการฝึกอบรมผู้บริหารสาขาเพื่อเตรียมความพร้อมที่จำเป็นพื้นฐานในการบริหารสาขา

2.3. คู่มือปฏิบัติงานไม่มีความสมบูรณ์ในเรื่องการกระทบยอดงบทดลองประจำวัน และไม่ได้ปรับปรุงระเบียบที่เกี่ยวข้องกับบัญชี GL คือก่อน Go Live ธนาคารไม่ได้ปรับปรุงคู่มือปฏิบัติงานในเรื่องนี้ ต่อมาภายหลัง Go Live ก็ได้มีการปรับปรุงคู่มือการปฏิบัติงานเพื่อแก้ไขปัญหาที่ไม่สามารถปิดงบทดลองได้ลงตัว แต่ไม่มีคู่มือกระทบยอดรายวันเพื่อกระทบหัวบัญชีดอกเบี้ยจ่าย เนื่องจากเข้าใจว่าระบบจะประมวลผลตัวเลขที่ถูกต้อง ซึ่งสอดคล้องกับคำให้การของหัวหน้าบริหารจัดการสาขา

2.4. รายการสำคัญที่ใช้ในการกระทบยอดรายวัน ไม่อำนวยให้ผู้ปฏิบัติสามารถทำงานได้อย่างมีประสิทธิภาพ คือ รายงานที่ใช้กระทบยอดและตรวจสอบรายวันในระบบใหม่จะใช้รายงานรายการเกี่ยวกับตรวจเช็คต่าง ๆ ซึ่งเทียบได้กับรายงานในระบบเดิม 8 รายงาน และรายงานที่ใช้ตรวจประจำวัน ซึ่งเทียบกับรายงานระบบเดิม 5 รายงาน โดยปริมาณหน้าแต่ละวันของสำนักงานพระราม 9 มีมากกว่าพันหน้า ซึ่งรายงานดังกล่าว ได้รวมทั้งรายการที่เกิดขึ้นตามปกติและรายการที่ไม่ปกติ เช่น รายการที่มีการปรับปรุง การทำข้ามสาขาเข้าไว้ในรายงานเดียวกัน จึงทำให้เป็นการยากที่จะใช้เป็นเครื่องมือในการตรวจสอบ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สิงหาคม 29, 2009

สวัสดีครับ ไม่ได้พูดคุยกันมาก็หลายวันสำหรับ COSO – ERM ที่ตอนนี้ยังคงคุยกันอยู่ในเรื่องของการตอบสนองความเสี่ยงที่เป็นกลยุทธ์ในการจัดการกับความเสี่ยง โดยมีแนวทางในการจัดการความเสี่ยงที่องค์กรอาจพิจารณาได้จากความเสี่ยงของผลงานที่ผ่านมา ซึ่งวันนี้เราจะมาพูดคุยกันต่อในเรื่องนี้ครับ

การพิจารณาความเสี่ยงจากผลงานที่ผ่านมา ผู้บริหารพิจารณาความเสี่ยงจากองค์กรอย่างกว้าง ๆ หรือจากผลงานที่ผ่านมา ผู้บริหารอาจใช้วิธีการให้ผู้จัดการซึ่งรับผิดชอบแต่ละแผนก หน่วยงานหรือหน่วยธุรกิจ เป็นผู้พิจารณาส่วนประกอบต่าง ๆ ในการประเมินค่าความเสี่ยงและการตอบสนองความเสี่ยงสำหรับหน่วยงาน ซึ่งการมองเช่นนี้จะสะท้อนความเสี่ยงของหน่วยที่สัมพันธ์กับวัตถุประสงค์และระดับของความเสี่ยงที่ยอมรับได้

ในแง่ของความเสี่ยงที่เกิดขึ้นในแต่ละหน่วย ผู้บริหารอาวุโสถูกวางตำแหน่งให้ดูแลผลงานขององค์กร เพื่อกำหนดว่าความเสี่ยงขององค์กรสมน้ำสมเนื้อกับความเสี่ยงที่ยอมรับได้ที่สัมพันธ์กับวัตถุประสงค์หรือไม่ ความเสี่ยงอาจคงอยู่ในหน่วยงานที่แตกต่างกันที่อยู่ภายในระดับความเสี่ยงที่ยอมรับได้ของหน่วยงานต่าง ๆ ความเสี่ยงอาจมากเกินกว่าความเสี่ยงที่ยอมรับได้ขององค์กรในภาพรวม ซึ่งในกรณีนี้จำเป็นต้องใช้การตอบสนองความเสี่ยงเพิ่มเติมหรือมีความแตกต่าง

ในทางกลับกัน ความเสี่ยงอาจโต้ตอบองค์กรโดยธรรมชาติ หรือแต่ละหน่วยงานอาจไม่ชอบความเสี่ยง หากผลงานได้รับการพิจารณาน้อยกว่าความเสี่ยงที่ยอมรับได้ขององค์กร ผู้บริหารอาจตัดสินใจที่จะจูงใจให้ผู้บริหารของแต่ละหน่วยธุรกิจยอมรับความเสี่ยงที่มากกว่าในพื้นที่ที่เป็นเป้าหมาย เพื่อทำให้องค์กรโดยรวมมีการเติบโตและผลตอบแทนเพิ่มขึ้น

ในการสร้างผลงานของการตอบสนองความเสี่ยง ผู้บริหารจะจดจำความหลากหลายของการตอบสนองที่ถูกเลือก และผลของการตอบสนองมากมายในระดับความเสี่ยงที่ยอมรับได้ หากเหตุการณ์ที่มีศักยภาพไม่มีความสัมพันธ์โดยตรง

ผู้บริหารอาจประเมินค่าผลของการตอบสนองความเสี่ยงจากเหตุการณ์ แล้วจึงสร้างองค์ประกอบหรือผลงานที่ผ่านมา หากความเสี่ยงที่เหมือนกันคงมีอยู่ในหน่วยงานที่หลากหลาย ผู้บริหารอาจตัดสินใจประเมินค่าผลของการตอบสนองความเสี่ยงจากประเภทหรือกลุ่มของเหตุการณ์โดยเฉพาะ แล้วจึงสร้างภาพผลงาน ภาพผลงานจะส่งผลกระทบกับการโต้ตอบเหตุการณ์ที่เป็นโอกาส หรือเหตุการณ์ที่อาจลดระดับผลทางลบของเหตุการณ์อื่น ๆ ซึ่งควรอยู่ในภาพผลงาน เช่นเดียวกับผลรวมของการตอบสนองทั้งหมด

ฝ่ายจัดการระบุถึงทางเลือกในการตอบสนองความเสี่ยง และพิจารณาถึงผลกระทบต่อเหตุการณ์ที่เป็นไปได้ที่จะเกิดและผลกระทบที่ตามมา ในความสัมพันธ์ต่อระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) และต้นทุนเมื่อเปรียบเทียบกับผลประโยชน์ การออกแบบและดำเนินการตามทางเลือกหรือเครื่องมือในการสนองตอบต่อความเสี่ยง การพิจารณาถึงการตอบสนองความเสี่ยง

การเลือกเครื่องมือในการตอบสนองความเสี่ยงและการดำเนินการเป็นการผสมผสานของกระบวนการจัดการความเสี่ยงขององค์กร โดย ERM ที่มีประสิทธิภาพคือการที่ฝ่ายจัดการเลือกการตอบสนองที่ถูกคาดหวังว่าจะทำให้ความเป็นไปได้ที่จะเกิดความเสี่ยงและผลกระทบที่เกิดขึ้นอยู่ในระดับที่ยอมรับได้

องค์ประกอบสำคัญของการตอบสนองความเสี่ยง

ครั้งหน้าเราจะไปต่อกันในเรื่องของกิจกรรมควบคุม ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในกระบวนการถัดไปกันครับ

7 ความเห็น | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

GRC กลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance (ต่อ)

สิงหาคม 21, 2009

คราวที่แล้วเราได้พูดกันถึง ปัจจัยสำคัญที่จำเป็นอย่างยิ่งที่ผู้บริหารต้องใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC ที่ผมได้กล่าวไปแล้ว 3 หัวข้อ สำหรับในวันนี้เราจะมาคุยกันต่อถึงปัจจัย ข้อที่ 4 ซึ่งจะมีหัวข้อแยกย่อยลงไปอีกเล็กน้อยกันครับ

4. ความสำเร็จของการใช้ GRC เป็นกลยุทธ์นั้น ต้องการใช้ตัวขับเคลื่อนไปสู่ความสำเร็จตามวัตถุประสงค์หลักขององค์กร (Key Enablers) ที่สำคัญยิ่งเป็นฐานร่วมด้วยอย่างมีนัยสำคัญก็คือ

– การสร้าง/การมีวัฒนธรรม (Culture) ที่ยอมรับได้ ซึ่งต้องมีตัวเปรียบเทียบ หรือต้องมีวัฒนธรรมจากจิตใจ (Spirited) เป็นฐานสำคัญ และ

– คณะกรรมการ ผู้บริหาร ตามกลยุทธ์ GRC ต้องนำหลักการบริหารการเปลี่ยนแปลง (Change Management) มาใช้ และ

– สร้างความเป็นรูปธรรมในการบริหารความเสี่ยงแบบบูรณาการของการดำเนินงาน/การปฏิบัติงานที่ต้องมีบุคลากร (People) ที่มีความสามารถ รวมทั้งมีกระบวกการบริหารที่สร้างคุณค่าเพิ่ม (Value Management) และ

– องค์กรต้องมีการปรับปรุงกระบวนการทำงาน (Process Improvement) และปรับปรุงเทคโนโลยี (Improvement Technology) ให้มีลักษณะที่เป็นบูรณาการ และสัมพันธ์กับวิสัยทัศน์ พันธกิจ กลุยทธ นโยบาย แผนการปฏิบัติงานใหม่ ๆ ที่เป็นรูปธรรม รวมถึงมีการสื่อสารให้พนักงาน (People) ทุกระดับได้เข้าใจ

– คณะกรรมการ ผู้บริหาร ต้องทำงานเป็นทีม ที่ต้องการผู้นำ (Leader) ที่เข้มแข็ง โดยเฉพาะความสามารถในการปรับปรุงกระบวนการทำงาน กระบวนการปฏิบัติงาน ที่องค์กรส่วนใหญ่ยังมีโครงสร้าง และแนวการบริหารที่เป็นแบบอิสระ หรือ Silo อยู่มากในหลายองค์กร ทั้ง ๆ ที่เป็นองค์กรที่ได้รับรางวัลธรรมาภิบาล หรือการกำกับดูแลกิจการที่ดีมาแล้วก็ตาม

The Value Change Approach

The Value Change Approach

ทั้งนี้เพราะ คณะกรรมการธรรมาภิบาลที่ดีของชาติ หรือผู้ให้รางวัลมีมุมมองทางด้านธรรมาภิบาลเป็นเรื่อง ๆ แยกเป็นส่วน ๆ หรือพิจารณาแบบ Silo เช่น ให้หรือวัดการมีธรรมาภิบาลเพียงด้าน “ความโปร่งใส” หรือ “Transparency” เท่านั้น ซึ่งเป็นเรื่องที่อาจพิจารณาได้ค่อนข้างง่ายกว่าปัจจัยหลัก ๆ ที่เหลืออีก 6 ข้อหลัก ก็คือ ส่วนใหญ่ยังมีโอกาสปรับปรุงเพิ่ม Governance ได้มากก็คือ

1) การมีความเข้าใจและมีขีดความสามารถในการประพฤติ การปฏิบัติตามหน้าที่และความรับผิดชอบ (Responsibility)

2) คณะกรรมการและผู้บริหารระดับสูง และ C – Levels แสดงความรับผิดและรับชอบต่อผลการปฏิบัติตามหน้าที่ (Accountability) นั่นคือ ถ้าองค์กรเสียชื่อเสียง เสียความไว้วางใจ อย่างมีนัยสำคัญ ก็จะแสดง Spirits ในการรับผิดและรับชอบจากการบริหารองค์กรโดยรวม

3) มีการปฏิบัติต่อผู้มีส่วนได้เสียทุกกลุ่มอย่างเท่าเทียมกัน และเป็นธรรมในทุกกลุ่มที่เกี่ยวข้อง โดยคำนึงถึงผลกระทบหรือผลประโยชน์ต่อผู้มีส่วนได้เสีย (Stakeholders) เป็นหลัก

4) แสดงหรือจัดให้มีกลยุทธ์และขีดความสามารถในการสร้างมูลค่าเพิ่มให้กับกิจการในระยะยาว (Creation of Long Term Value) ซึ่ง GRC จะให้น้ำหนักข้อนี้มากเป็นพิเศษ

5) องค์กรต้องส่งเสริมการปฏิบัติอันเป็นเลิศ (Best Practice) และการปฏิบัติตามมาตรฐาน (Standard) ที่เป็นสากลและยอมรับปฏิบัติกันโดยทั่วไป รวมทั้งการมีจรรยาบรรณที่ดีในการประกอบธุรกิจ เช่น ไม่ซ้ำเติมคู่แข่ง เป็นต้น

6) องค์กรมีความสำนึกที่ต้องรับผิดชอบต่อสังคม และสิ่งแวดล้อมที่ดี (Social and Environmental Awareness) คณะกรรมการและผู้บริหารต้องเคารพ เคร่งครัดในการปฏิบัติตามกติกาของสังคม ซึ่งรวมทั้งกฎหมาย มาตรฐาน จริยธรรม/จรรยาบรรณ และวัฒนธรรมที่ดี อันเป็นที่ยอมรับกันโดยทั่วไป และมีความรับผิดชอบในการร่วมกันปกป้องสิ่งแวดล้อมทั้งภายในองค์กร และภายนอกองค์กร โดยไม่กระทบถึงผลประโยชน์ของประเทศที่ยอมรับได้ในแต่ละกรอบของ Risk Appetite และ Risk Tolerance ที่รัฐบาลนานาชาติกำหนดอันเป็นสากล

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลการสอบทุจริต “ธอส.” และข้อสังเกตในการบริหารความเสี่ยงเมื่อเทียบกับความเสียหายที่เกิดขึ้น ในบางมุมมอง

สิงหาคม 15, 2009

ก่อนผลการสอบข้อเท็จจริงกรณีการทุจริตที่ ธอส. จะเปิดเผยทางสื่อมวลชน ผมได้เคยกล่าวถึงกรณีทุจริตที่ ธอส. โดยกล่าวถึงหลักการกว้าง ๆ ว่า การทุจริตทุกประเภทมีเพียง 3 ประเด็นเท่านั้นที่ให้พิจารณา ก็คือ คน + กระบวนการทำงาน + เทคโนโลยี ที่ใช้คำย่อ ๆ ว่า PPT – People – Process – Technology

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

ผมขอทบทวนภาพที่คิดว่ามีคุณค่าอย่างยิ่ง สำหรับคณะกรรมการ รวมทั้งคณะกรรมการตรวจสอบของทุกองค์กร และอาจรวมถึงคณะกรรมการสอบสวนข้อเท็จจริง หากจะได้เห็นภาพที่ผมเคยแสดงไว้แล้ว และขอนำมาแสดงซ้ำอีกครั้ง เพื่อให้เกิดความเข้าใจความเสี่ยงจาก PPT ซึ่งเป็นความเสี่ยงในการดำเนินงาน และความเสี่ยงในการบริหารของทุกองค์กร ที่มีน้ำหนักโดยเฉลี่ยประมาณร้อยละ 70 ของความเสี่ยงประเภทอื่น ๆ ในการบริหารงานทั้งหมดขององค์กร

เพราะความเสี่ยงจากการจัดการที่แท้จริงในทุกระดับของการบริหารก็คือ ความเสี่ยงในการปฏิบัติการ หรือความเสี่ยงในการดำเนินงาน ซึ่งแท้จริงแล้ว อาจจะเรียกได้ว่าเป็นความเสี่ยงในการบริหารงานโดยแท้ ที่เกิดจาก PPT ในภาพโดยรวม อาจอธิบายได้โดยแผนภาพ ดังนี้

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

คณะกรรมการสอบสวนกรณีการทุจริต ของ ธอส. อาจใช้ Model ดังกล่าวในการไต่สวนหาข้อมูล และสารสนเทศในส่วนที่เกี่ยวข้องกับ PPT + Strategy ตามแผนภาพข้างต้น โดยนำปัจจัยต่าง ๆ ตามที่ปรากฎในการเชื่อมโยง 4 ประเด็นหลัก ๆ ซึ่งจะเกี่ยวข้องกับการบริหาร Operational Risk และการบริหารองค์กร แบบสอดประสานและบูรณาการ ตามองค์ประกอบหลักที่เกี่ยวข้องที่เชื่อมโยงด้วยการบริหารความเสี่ยงที่เกี่ยวเนื่อง คือ การหลอมรวม (Emergence) การบริหารความเสี่ยงในทุกมุมมองที่เกี่ยวข้องกับ S-O-F-C และ การบริหารทรัพยากรบุคคล และกลไกหรือตัวขับเคลื่อน รวมทั้งการสนับสนุนด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ

ตามที่กล่าวข้างต้นคือภาพแรกของ PPT ที่เกี่ยวข้องกับการบริหาร Emergence, Human Factors and Enabling & Support อย่างสอดประสานและเป็นบูรณาการ ซึ่งในแต่ละองค์ประกอบหลักและองค์ประกอบย่อย จะมีกิจกรรมต่าง ๆ ที่เกี่ยวข้องและสัมพันธ์กันอย่างมกาในการขับเคลื่อนความสำเร็จ เพื่อก้าวไปสู่การมีประสิทธิภาพและประสิทธิผลของการดำเนินงานขององค์กร และถ้าตรงกันข้ามก็คือ ความเสี่ยงที่อาจก่อให้เกิดความเสียหายและก่อให้เกิดการทุจริตในองค์กรได้

จากรูปภาพที่ 2 ท่านผู้ที่สนใจในเรื่องการบริหารความเสี่ยง ซึ่งเป็นส่วนหนึ่งในการขับเคลื่อน CG + ITG และเป็นองค์ประกอบหลักของ GRC ที่ผมเคยเล่าสู่กันฟังสั้น ๆ ไปแล้วก่อนหน้านี้หลายตอนนั้น ท่านกำลังจะเห็นคุณค่าจากความเข้าใจในการบริหารภายใต้ร่มของการกำกับดูแลกิจการที่ดี ควบคู่กันไปกับการบริหารสารสนเทศเพื่อการจัดการที่ดี ที่สามารถสร้างความเชื่อมั่น สร้างความน่าเชื่อถือให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) อย่างกว้างขวาง นี่คือ Value Creation ของกระบวนการจัดการที่ทุกองค์กรสามารถก้าวไปสู่จุดนี้ได้อย่างมั่นใจ หากองค์กรของท่านมีความเข้าใจในกระบวนการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ที่สามารถวัดคุณค่าเพิ่มได้จาก Intangible Assets และ Tangible Assets ซึ่งนับวันคุณค่าเพิ่มจากการบริหาร Intangible Assets จะมีบทบาทเพิ่มขึ้นอย่างมากในทุกองค์กร ขณะเดียวกันก็สร้างจุดอ่อนเป็นอย่างยิ่งให้กับหลายองค์กรที่ขาดความพร้อมทางด้านการบริหารและการจัดการ PPT อย่างแท้จริง

ในกรณี ธอส. หากจะมีการวิเคราะห์กระบวนการบริหารความเสี่ยง ตั้งแต่นโยบาย ลงมาถึงการปฏิบัติการและการตรวจสอบ ตามหลักการบริหารความเสี่ยงของกรอบ COSO – ERM อย่างน้อยก็จะพบกับข้อสังเกตและจุดอ่อนของกระบวนการทำงาน ที่ปรากฎในรายงานของ คณะกรรมการตรวจสอบข้อเท็จจจริงของ ธอส. ที่ปรากฎตามข่าวหนังสือพิมพ์ ซึ่งผมจะขอนำมาเปรียบเทียบพื่อการศึกษาให้แก่ท่านผู้ที่สนใจในครั้งต่อไป

จากแผนภาพที่ 2 ซึ่งเชื่อมโยงกระบวนการบริหารจัดการด้าน PPT ไปสู่กระบวนการออกแบบระบบ และการกำหนดกลยุทธ์ขององค์กรที่มีความเกี่ยวข้องกับข้อสังเกตของคณะกรรมการตรวจสอบข้อเท็จจริงของ ธอส. เป็นอย่างมาก ถึงกรณีระบบ CBS – Core Banking System ที่มีกระบวนการทำงาน (Process) ที่มีจุดอ่อนหลายประการผสมผสานกับบุคลากรที่ไม่จงรักภักดีต่อองค์กร รวมทั้งกระบวนการบริหารขององค์กรที่น่าจะปรับปรุงได้หลายประการนั้นเป็นต้นเหตุสำคัญ (Root Cause) ของการทุจริตใน ธอส. ทั้งสิ้น

จากแผนภาพข้างต้น หากทำเป็นกรณีศึกษา (Case Study) ก็จะพบประเด็นต่าง ๆ ที่มีกระบวนการบริหารความเสี่ยงที่ขาดดุลยภาพและคุณภาพในการจัดการ ตามหลักการของ COSO – ERM หลายประการ

ขอได้โปรดติดตาม ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. ในตอนต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สิงหาคม 12, 2009

วันนี้เรายังคงเล่าสู่กันฟังในเรื่องของการตอบสนองความเสี่ยง ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการตามหลักของ COSO – ERM โดยเริ่มตั้งแต่ 1.สภาพแวดล้อมภายในองค์กร 2.การกำหนดวัตถุประสงค์ 3.การระบุเหตุการณ์ 4.การประเมินความเสี่ยง 5.การตอบสนองความเสี่ยง 6.กิจกรรมควบคุม 7.ระบบสารสนเทศและการติดต่อสื่อสาร 8.การติดตามและประเมินผล

โดยในครั้งที่แล้วผมได้พูดถึงแนวทางในการกำหนดกลยุทธ์ในการจัดการความเสี่ยง ครั้งนี้เรามาต่อกันถึงโอกาสในเงื่อนไขของการตอบสนองความเสี่ยงกันเลยดีกว่าครับ

ในการประเมินผลเงื่อนไขการตอบสนอง ผู้บริหารพิจารณาผลที่เกิดขึ้นจากความเป็นไปได้และผลกระทบของความเสี่ยง และจะต้องเข้าใจว่าสิ่งตอบสนองอาจส่งผลกระทบต่อความเป็นไปได้และผลกระทบต่างกัน

ขีดความสามารถในการตอบสนองต่อการประเมินค่าของความเป็นไปได้และผลกระทบอาจพิจารณาถึงเหตุการณ์ในอดีตและแนวโน้มและเหตุการณ์ในอนาคต ในการประเมินทางเลือกของการตอบสนอง

ผู้บริหารกำหนดผลกระทบที่ใช้หน่วยในการวัดเหมือนกันสำหรับวัตถุประสงค์และความเสี่ยงในฐานะที่ถูกสร้างขึ้นมา ในส่วนประกอบของการประเมินค่าความเสี่ยงการแยกแยะเหตุการณ์ เป็นการอธิบายว่าการจัดการความเสี่ยงขององค์กรแยกแยะเหตุการณ์ ซึ่งมีผลกระทบต่อความสำเร็จของวัตถุประสงค์ขององค์กรทั้งในด้านบวกและด้านลบได้อย่างไร เหตุการณ์ที่ส่งผลกระทบทางด้านบวกจะเป็นตัวแทนของโอกาสและจะถูกส่งกลับไปสู่กลยุทธ์หรือขั้นตอนการตั้งวัตถุประสงค์

เช่นเดียวกันโอกาสที่มีศักยภาพสำหรับผลลัพธ์สำคัญอาจถูกแยะแยะเมื่อมีการพิจารณาการตอบสนองความเสี่ยง ผู้บริหารอาจแยกแยะการตอบสนองที่แปลกใหม่ ซึ่งในขณะที่พอเหมาะกับกลุ่มของการตอบสนอง แล้วอาจจะยังใหม่ต่อองค์กรหรืออุตสาหกรรม โอกาสเช่นนี้อาจครอบคลุมเมื่อเงื่อนไขการตอบสนองที่มีอยู่มาใกล้ถึงขีดจำกัดของประสิทธิภาพ และเมื่อการทำให้ดีขึ้นมีลักษณะเป็นการเปลี่ยนแปลงเล็กน้อยให้เกิดกับผลกระทบของความเสี่ยงหรือความเป็นไปได้ เช่น การตอบสนองอย่างมีความคิดสร้างสรรค์โดยบริษัทประกันรถยนต์ที่มีต่ออุบัติเหตุจำนวนมากที่เกิดบนถนนที่เป็นทางแยก บริษัทประกันภัยจึงให้ทุนเพิ่มเติมโดยการติดสัญญาณไฟเพื่อเป็นการลดการเคลมอุบัติเหตุและทำให้เกิดกำไรเพิ่มขึ้น

การตอบสนองที่ถูกเลือก
ทันที่ที่ประเมินผลของทางเลือกในการตอบสนอง ผู้บริหารตัดสินใจว่าจะจัดการความเสี่ยงได้อย่างไร การจัดการความเสี่ยงที่มีประสิทธิภาพคือการที่ผู้บริหารเลือก หรือได้รวมการตอบสนองอันนำมาซึ่งความเป็นไปได้ของความเสี่ยงและผลกระทบที่คาดการณ์ไว้ภายในระดับความเสี่ยงที่ยอมรับได้

การเลือกการตอบสนองอาจจำเป็นต้องพัฒนาแผนปฏิบัติเพื่อให้บรรลุการตอบสนองและการวัดความเสี่ยงบนพื้นฐานของความเสี่ยงส่วนที่เหลือ ยิ่งกว่านั้นกระบวนการจำเป็นต้องทำให้ผู้บริหารมั่นใจในการนำไปปฏิบัติอย่างมีประสิทธิภาพ กระบวนการเหล่านี้นำเสนอในการควบคุมกิจกรรม

ผู้บริหารต้องระลึกไว้ว่าความเสี่ยงส่วนที่เหลือบางระดับจะคงอยู่เสมอ ไม่เพียงแต่เพราะว่าทรัพยากรถูกจำกัด แต่เป็นเพราะความไม่แน่นอนของอนาคตและข้อจำกัดตามธรรมชาติในทุก ๆ กิจกรรม

กระบวนการเน้นย้ำ
การประเมินทางเลือกที่จะตอบสนองต่อความเสี่ยงธรรมชาตินั้น ต้องการการพิจารณาเรื่องที่อาจเป็นผลมาจากการตอบสนองตัวเอง ซึ่งอาจเป็นการกระตุ้นกระบวนการเน้นย้ำก่อนที่ผู้บริหารจะตัดสินใจในขั้นสุดท้าย ซึ่งพิจารณาความเสี่ยงที่มีผลมากจากการตอบสนอง รวมถึงอาจไม่ได้ปรากฏให้เห็นได้ทันที

สำหรับกระบวนการที่ 5 ในการตอบสนองความเสี่ยงยังไม่จบเท่านี้ โปรดติดตามต่อในครั้งหน้านะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความมั่นคงปลอดภัยของประเทศกับการบริหารความเสี่ยงที่เป็นกระบวนการ

สิงหาคม 8, 2009

ครั้งที่แล้ว ผมได้ให้ข้อสังเกตถึงเรื่องความเตรียมพร้อมทางด้านความมั่นคงทางการทหารของประเทศเพื่อนบ้านในลักษณะกว้าง ๆ เพียงให้ข้อสังเกตในเบื้องต้นว่า การป้องกันดีกว่าการแก้ไข โดยเฉพาะอย่างยิ่งการต่อสู้ยุคใหม่ต้องอาศัยข้อมูลและข่าวสารสนเทศที่ถูกต้องแม่นยำ ทันเหตุการณ์และทันเวลา และต่อสู้กันด้วยความคิดว่า ผู้ไม่หวังดี รวมทั้งประเทศที่ไม่หวังดีนั้น คือใคร เพื่อจะหาทางป้องกันได้อย่างเหมาะสมต่อไป

ความเข้มแข็งและอาวุธสมัยใหม่ ประกอบกับข้อมูลข่าวสารที่ถูกต้อง ทันเหตุการณ์ ผสมผสานอย่างสอดคล้องกับกลยุทธ์ แผนงาน จากนโยบายที่ชัดเจนเป็นรูปธรรม +++ กำลังทางอากาศที่ทรงพลัง มีอานุภาพ จะทำให้ชนะในการรบ และสงครามได้ แต่ก็ไม่ชนะได้อย่างเด็ดขาด ถ้าไม่มีทหารราบที่มีคุณภาพ พร้อมอาวุธที่เหมาะสม ตามไปยึดและรักษาพื้นที่ที่กองกำลังทางอากาศได้ปูทางไว้แล้ว

หากประเทศใดประเทศหนึ่ง โดยเฉพาะอย่างยิ่งประเทศเพื่อนบ้านของเรา เคลื่อนกำลังรบผ่านอุโมงค์ หรือผ่านเส้นทางซึ่งประเทศไทยไม่อาจติดตามได้โดยวิธีการตามปกติ เช่น เรดาห์ หรือการสังเกตการจากดาวเทียม หรือแม้แต่เครื่องบิน ประเทศของเราคงจะเสียเปรียบทางด้านกลยุทธ์และการวางกำลังที่เหมาะสมได้

การกำหนด Risk Appetite และ Risk Tolerance ในระดับประเทศและในระดับองค์กร จะต้องกำหนดโดยรัฐบาล ร่วมกับหน่วยงานทางด้านความมั่นคง และถ้าหากเป็นระดับองค์กรต้องกำหนดโดยคณะกรรมการขององค์กรนั้น

ผมได้เคยพูดถึงความเสี่ยงที่ยอมรับได้ ที่เราเรียกว่า Risk Appetite และระดับความเบี่ยงเบนจากความเสี่ยงที่เรายอมรับได้ หรือยอมรับไม่ได้ ขึ้นกับมุมมองในระดับองค์กร และในระดับประเทศไปแล้วนั้น หากเราสมมุติเหตุการณ์ว่า หากภาคกลางตอนล่างของประเทศ ตั้งแต่ราชบุรี เพชรบุรี ประจวบคีรีขันธ์ลงไป ที่เป็นด้ามขวานทองของไทย แผ่นดินช่วงนี้มีเนื้อที่ค่อนข้างแคบมาก ถ้าผู้ไม่หวังดี รวมทั้งประเทศที่อาจมีปัญหากันในอนาคต โจมตีหลาย ๆ จุดพร้อม ๆ กัน ก็สามารถจะแบ่งแยกหรือเข้ายึดอาณาเขตในส่วนนี้เพื่อเป็นข้อต่อรองได้อย่างง่ายดาย จากการขนส่งกำลังพลและกำลังอาวุธที่มีการเตรียมพร้อมอย่างดี ประเทศไทยน่าจะเสียเปรียบเป็นอย่างมาก

ข้อคิดของผมที่ยกเรื่องข้างต้นขึ้นมากล่าวจากข้อเท็จจริงที่ปรากฎเป็นข่าวในช่วงที่ผ่านมาประมาณ 3 เดือนในเรื่องของการสร้างอุโมงค์เรียบชายแดนไทยตรงที่เป็นด้ามขวานทองของไทยนั้น ประเทศของเรา หน่วยงานความมั่นคงต่าง ๆ ของเราได้กำหนดกลยุทธ์ที่เหมาะสม ทั้งในเชิงป้องกัน และในเชิงรุกไว้เพียงใด มีการกำหนดระดับความเสี่ยงหรือความเสียหายที่ยอมรับได้ จากเหตุการณ์ต่าง ๆ ที่สามารถสร้างสมมุติฐาน เพื่อกำหนดระดับ Risk Appetite และ Risk Tolerance ที่สัมพันธ์กับกลยุทธ์และ Action Plan เพียงใด และการกำหนด Risk Appetite และ Risk Tolerance ในระดับประเทศและในระดับองค์กร จะต้องกำหนดโดยรัฐบาล ร่วมกับหน่วยงานทางด้านความมั่นคง และถ้าหากเป็นระดับองค์กรต้องกำหนดโดยคณะกรรมการขององค์กรนั้น ทั้งนี้เพราะการกำหนด Risk Appetite และ Risk Tolerance ดังกล่าว จะเกี่ยวข้องกับนโยบายของประเทศที่มีผลต่อการกำหนดกลยุทธ์และ Action Plan ตามที่ได้กล่าวแล้วข้างต้นนั่นเอง

ทั้งนี้เพราะกลยุทธ์และ Action Plan ที่มาจากนโยบายทางด้านความมั่นคงปลอดภัยของประเทศ ต้องมีการบริหารแบบสอดประสานและบูรณาการเป็นอย่างดี ซึ่งเรื่องนี้เพียงเทียบเคียงกับการบริหารงานในองค์กรหลายแห่ง โดยเฉพาะหลายหน่วยงานของรัฐ ก็จะพบว่าการบริหารแบบสอดประสานและบูรณาการยังมีข้อควรจะปรับปรุงได้อีกมากพอสมควร

ดังนั้น หากหน่วยงานที่เป็นความมั่นคงของประเทศ ขาดการบริหารและบูรณาการที่มีความชัดเจน ตามหลักของ GRC ซึ่งหมายถึง Governance ในที่นี้จะหมายถึงความมั่นคงและปลอดภัยอย่างยั่งยืนของชาติ ที่ต้องการการส่งสัญญาณในลักษณะ Top down จากจิตสำนึก (Spiritual) ที่มีความมุ่งมั่นอย่างสูงจากความรับผิดชอบตามหน้าที่ ดังที่เรียกกันว่า Responsibility และ Accountability +++

ประกอบกับการมีเครื่องมือที่มุ่งไปสู่ Governance ก็คือ การบริหารความเสี่ยงอย่างเป็นกระบวนการ ตามหลักการของ COSO – Enterprise Risk Management ซึ่งมีองค์ประกอบที่เกี่ยวข้องที่มีความสัมพันธ์กันอย่างใกล้ชิดอยู่ 8 องค์ประกอบด้วยกัน ซึ่งในเรื่องนี้สิ่งที่ประเทศและทุกองค์กรจะต้องดำเนินการก็คือ การกำหนด Risk Appetite และ Risk Tolerance ที่เป็นรูปธรรมและสัมพันธ์กับนโยบาย กลยุทธ์ แผนการดำเนินงานทางด้านความมั่นคง ที่ทุกหน่วยงานควรจะได้เข้าใจตรงกันอย่างแท้จริง

หากมีเวลาและโอกาสที่อำนวยให้มีการแลกเปลี่ยนกันในเชิงสร้างสรร และด้วยความเคารพในทุกฝ่ายที่เกี่ยวข้อง ผมจะขออนุญาติของความเห็น รวมทั้งการสร้างภาพจำลอง เพื่อให้มีการประเมินตนเอง ตามหลักการ Control Self Assessment – CSA ซึ่งเป็นส่วนหนึ่งของการบริหารความเสี่ยงและการควบคุมเหตุการณ์หรือปัจจัยเสี่ยงจากต้นเหตุ (Root Cause) ต่อไปนะครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

GRC กลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance (ต่อ)

สิงหาคม 8, 2009

ในครั้งก่อนผมได้ทิ้งท้ายไว้ว่าจะมาบอกถึงปัจจัยสำคัญที่ใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC ซึ่งก็มีปัจจัยหลัก ๆ อยู่ 4 ปัจจัยด้วยกัน แต่ในวันนี้ผมจะนำเสนอเพียง 3 ปัจจัยหลัก ๆ ก่อนนะครับ

GRC Model นอกจากจะเป็น Model ในการพัฒนาองค์กรในการก้าวไปสู่หลักการปฏิบัติงาน และการดำเนินงานที่ดี (Best Practice) ที่ยอมรับได้ มาตรฐานที่ใช้เป็นสากล หรือมาตรฐานการปฏิบัติที่เป็นที่ยอมรับกันโดยทั่วไป ในการก้าวสู่การปฏิบัติงานที่ดีเพื่อก้าวสู่หลักการของ Governance หรือการเติบโตอย่างยั่งยืนดังที่ได้กล่าวไปในครั้งก่อนแล้ว

GRC Model ยังเป็นกลยุทธ์ในการดำเนินงานเพื่อขับเคลื่อนองค์กรไปสู่การบริหารองค์กรแบบบูรณาการ อย่างมีคุณค่า (Business Integrity) การมีคุณธรรมในการบริหาร เช่น การกำหนดกฎเกณฑ์ ระเบียบ คำสั่ง และการปฏิบัติ การให้คุณให้โทษ จะต้องมีความชัดเจน สอดคล้องทั่วทั้งองค์กรในทุกมุมมองของการบริหาร ตามหลัก Balanced Scorecards และมีการปฏิบัติอย่างจริงจัง อีกทั้งยังสนับสนุน และส่งเสริม (Support) การบริหารความเสี่ยงแบบบูรณาการ (Integrity Driven) โดยการกำหนด Performance Strategy ให้เหมาะสมอีกด้วย

GRC ก้าวสู่ CG และ ITG ด้วย GRC ที่เป็นรูปธรรม กับข้อคิดและความเข้าใจในภาพโดยรวม

GRC ก้าวสู่ CG และ ITG ด้วย GRC ที่เป็นรูปธรรม กับข้อคิดและความเข้าใจในภาพโดยรวม

ปัจจัยสำคัญที่จำเป็นอย่างยิ่งที่ผู้บริหารต้องใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC คือ

1. การบูรณาการด้าน G + R + C (GRC) ที่เป็นรูปธรรม
คณะกรรมการและผู้บริหารต้องจัดให้มีการบริหารการเปลี่ยนแปลง โดยเชื่อมโยงให้มีการจัดการที่ดี (Governance) เข้ากับกระบวนการบริหารความเสี่ยง (COSO – ERM) ทั่วทั้งองค์กร และการควบคุมความเสี่ยงของกิจกรรมต่าง ๆ ในลักษณะเชิงรุก คือ การป้องกันปัญหาที่อาจเกิดขึ้นและกระทบกับการสร้างคุณค่าเพิ่มอย่างมีประสิทธิภาพให้กับองค์กร

โดยความเป็นจริง หลักการนี้ก็มีการปฏิบัติกันแล้วในหลายองค์กร แต่ส่วนใหญ่มักจะไม่ประสบความสำเร็จเท่าที่ควร เพราะมักมีการบริหารจัดการแยกเป็นส่วน ๆ เป็นเรื่อง ๆ ที่มีลักษณะเป็น Silo มิใช่เป็นแบบ Integrated หรือบูรณาการ GRC จึงเป็น Statement ที่อธิบายวิธีการจัดการให้เป็นแบบบูรณาการที่เป็นรูปธรรม คณะกรรมการและผู้บริหารที่ต้องการยกระดับการจัดการที่ดีและพิสูจน์ได้จึงควรนำหลักการของ GRC มาใช้อย่างเข้าใจ

2. การเชื่อมโยง GRC เข้ากับการดำเนินการและมีการวัดผลที่ไม่กำกวม และตรงประเด็น
การบูรณาการด้าน Governance + Risk Management + Compliance ที่ดีมีคุณภาพจะก่อให้เกิดการขับเคลื่อนคุณค่าและส่งเสริมประสิทธิภาพในการดำเนินงานและการปฏิบัติการ เพราะจะช่วยลดช่องว่างของการดำเนินงานที่เกิดจากการแยกกันทำงานในแบบต่างคนต่างทำ หรือเป็น Silo ตามลักษณะหรือ Function ของงานแทนการเน้นการทำงานแบบเป็นกระบวนการ (Process) ข้างสายงาน โดยคำนึงถึงวัตถุประสงค์ในกิจกรรมนั้น ๆ จนได้ผลลัพธ์ที่สามารถวัดประสิทธิภาพของคุณค่าเพิ่มได้อย่างเป็นรูปธรรม จากการประเมินคุณค่าทางสินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) และสินทรัพย์ที่มีตัวตน ซึ่งจับต้องได้ (Tangible Assets)

ITG/GRC & COSO กับการสร้างมูลค่าเพิ่ม

ITG/GRC & COSO กับการสร้างมูลค่าเพิ่ม

3. GRC ต้องการความเข้าใจคำจำกัดความของคำว่า วิสัยทัศน์ และการปฏิบัติตามกฎหมาย กฎเกณฑ์ หรือ Compliance ใหม่

คำว่า วิสัยทัศน์ขององค์กร ต้องมุ่งไปที่ความยั่งยืนที่แท้จริง ที่องค์กรยุคใหม่ รวมทั้งผู้บริหารต่างก็เข้าใจตรงกันแล้วว่า ต้องมุ่งไปที่ผู้มีผลประโยชน์ร่วม (Stakeholders) เป็นสำคัญ มิใช่เพียงแต่มุ่งกำไรสูงสุดเพื่อผู้ถือหุ้น (Shareholders) เป็นหลัก

ดังนั้น คำว่า “Compliance” ตามนัยยะ ของ GRC ใหม่ก็คือ การปกป้องรักษาชื่อเสียง ความไว้วางใจได้ และการสร้างคุณค่าเพิ่มจากการบริหารสินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) ที่เป็นตัวขับเคลื่อน หรือเป็นกลไกในการสร้างผลสำเร็จตามเป้าหมายขององค์กร (Enablers) โดยรวม และที่เกี่ยวกับการสร้าง “Value” ในมุมมองของการบริหารสินทรัพย์ที่มีตัวตน (Tangible Assets) ด้วย

เพราะในที่สุด การสร้างความน่าเชื่อถือจากความเชื่อ (Belief) นี้จะไปสร้างความน่าเชื่อถือ (Trust) ซึ่งเป็น “Value” ที่มีคุณค่ายิ่ง และจะสะท้อนโดยตรงไปยังการสร้างกำไรจากประสิทธิภาพที่มีดุลยภาพ เพื่อการเติบโตอย่างยั่งยืนตามหลักการของ Governance ที่ประกอบไปด้วย Corporate Governance และ IT Governance ในที่สุด
อนึ่ง คณะกรรมการและผู้บริหารขององค์กรต่าง ๆ ควรเข้าใจตรงกันต่อไปด้วยว่า GRC เป็นทั้งกลยุทธ์ใหม่ที่นำไปสู่ความสำเร็จในทางปฏิบัติและเมื่อเข้าใจแนวคิดนี้แล้วก็จะสามารถสร้าง Integrity – Driven Performance ทั้งองค์กรได้อย่างเป็นรูปธรรม จาก GRC Operating Model ใหม่นี้

Model ของ GRC ในที่นี้ก็คือ การบูรณาการกลยุทธ์มุ่งความสำเร็จของการควบคุมความเสี่ยงตามหลักการ COSO – ERM S – O – F – C โดยเน้นการบริหาร Operational Risk ที่มุ่งพิจารณา People + Process + Technology (PPT) ขององค์กรที่มีบทบาทและความสำคัญสูงมาก ประมาณร้อยละ 75 – 80 ที่มีผลต่อความสำเร็จในการบริหารตามมุมมองต่าง ๆ ตามหลัก Balanced Scorecard ที่เน้นการมองอนาคต โดยมีตัวชี้วัดที่เป็น Leading Indicator มากขึ้นจากเดิม เนื่องจากกลยุทธ์การมอง Vision ใหม่ (Envision) จาก Shareholders เป็น Stakeholders นั่นเอง

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สิงหาคม 5, 2009

สวัสดีครับ เข้าเดือน 8 ของปี 2009 นี้แล้ว เวลาช่างผ่านไปเร็วเสียจริง ๆ ผมคิดว่ายังมีอะไรอีกหลายอย่างที่อยากจะบอกเล่าสู่กันฟังจากความรู้ และประสบการณ์ที่ผมมีอยู่ แต่กลับมีเวลาเพียงน้อยนิดในการ update เนื้อหาในแต่ละหมวดหมู่ ซึ่งผมก็พยายามอย่างเต็มที่ในการนำเสนอข้อมูลที่คิดว่าน่าจะเป็นประโยชน์ต่อท่านผู้บริหาร และผู้สนใจเรื่องราวทางด้าน IT Governance

อย่างไรก็ตาม ผมจะพยายามจัดสรรเวลาเพื่อแบ่งปันข้อมูล และนำเสนอเนื้อหาที่มีสาระประโยชน์ ขอให้ท่านผู้บริหารและผู้ที่สนใจ หมั่นติดตาม itgthailand.com แห่งนี้อย่างสม่ำเสมอ โดยเฉพาะแนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ผมได้นำเสนอต่อเนื่องมาถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ซึ่งเป็นหัวใจสำคัญของการบริหารความเสี่ยง และในกระบวนการที่ 5 ที่นำเสนออยู่นี้เป็นเรื่องของการตอบสนองต่อความเสี่ยง

จากครั้งที่แล้ว ผมได้นำเสนอกลยุทธ์ในการตอบสนองความเสี่ยง ซึ่งแบ่งเป็น 4 ประเภท ในวันนี้ผมมีแนวทางในการกำหนดกลยุทธ์ในการจัดการกับความเสี่ยงมานำเสนอครับ

แนวทางในการกำหนดกลยุทธ์ในการจัดการความเสี่ยง
กลยุทธ์การจัดการความเสี่ยงถูกกำหนดขึ้นเพื่อลดระดับของความเสี่ยง (ทั้งผลกระทบและโอกาสเกิด) ให้เป็นไปตามระดับความเสี่ยงที่ยอมรับได้(Risk Tolerance) โดยผู้บริหารควรพิจารณาทั้งผลจากการดำเนินตามกลยุทธ์ที่มีอยู่ในปัจจุบันว่า สามารถจัดการกับความเสี่ยงหนึ่ง ๆ หรือกลุ่มของความเสี่ยงได้มากน้อยเพียงใดก่อนที่จะพิจารณาถึงกลยุทธ์การจัดการเพิ่มเติม

ทั้งนี้ ในส่วนของการบริหารความเสี่ยงสำหรับความเสี่ยงที่สำคัญ องค์กรต้องพิจารณาการตอบสนองจากช่วงของประเภทความเสี่ยง ซึ่งทำให้ลงลึกพอที่จะเลือกการตอบสนองและท้าทายสถานะที่เป็นอยู่

ในการกำหนดการตอบสนองที่มีศักยภาพ ผู้บริหารควรพิจารณาสิ่งต่าง ๆ ดังต่อไปนี้
1. การประเมินผลกระทบการตอบสนองความเสี่ยงจากความเป็นไปได้ และผลกระทบของความเสี่ยงและเงื่อนไขการตอบสนองใดที่ไปในทิศทางเดียวกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร

2. การประเมินค่าต้นทุนกับประโยชน์ของการตอบสนองความเสี่ยง และโอกาสที่เป็นไปได้ที่จะบรรลุวัตถุประสงค์องค์กรในการข้ามไปจัดการกับความเสี่ยงเฉพาะเจาะจง

เนื่องจากทรัพยากรส่วนใหญ่มีจำกัด องค์กรจึงมักพิจารณาต้นทุนและผลประโยชน์ของเงื่อนไขทางเลือกการตอบสนองความเสี่ยง การวัดผลในเรื่องต้นทุนและผลประโยชน์ของการสร้างเงื่อนไขการตอบสนองความเสี่ยง ได้ถูกสร้างขึ้นมาพร้อมกับระดับที่แตกต่างของความถูกต้อง การจัดการกับด้านต้นทุนของสมการจะง่ายกว่า ซึ่งในหลายกรณีสามารถวัดในเชิงปริมาณได้อย่างถูกต้องยุติธรรม ต้นทุนทางตรงทั้งหมดรวมกับการจัดการการตอบสนอง และต้นทุนทางอ้อมที่สามารถวัดผลได้จะถูกพิจารณาเสมอ ๆ บางองค์กรได้รวมเอาต้นทุนทางโอกาสรวมกับการใช้ทรัพยากร

อย่างไรก็ตาม การวัดต้นทุนเป็นสิ่งที่ทำได้ยาก การวัดปริมาณเวลาและความพยายามหรือการจัดการกับปัจจัยภายในเป็นสิ่งที่ทำได้ยาก ดังเช่น การยอมรับของผู้บริหารในการประเมินค่าทางจริยธรรม หรือการวัดความสามารถของพนักงานที่เป็นผู้ดำเนินการแยกแยะเหตุการณ์และประเมินค่าความเสี่ยง และอาจเป็นความยากที่จะจับข้อมูลข่าวสารภายนอก เช่น ความคิดสร้างสรรค์ทางการตลาดในการค้นหาความชอบของลูกค้า

ในด้านผลประโยชน์อาจรวมถึงคุณค่าทางวัตถุ เช่น ผลประโยชน์ของโปรแกรมการอบรมที่มีประสิทธิภาพ ปรากฏให้เห็นโดยทั่วไปแต่ยากต่อการวัดปริมาณ แม้กระนั้นปัจจัยภายในที่แท้จริงสามารถพิจารณาได้ในแง่การประเมินค่าผลประโยชน์แฝง ความเป็นไปได้ของเหตุการณ์ที่ไม่ปรารถนาให้เกิดขึ้น หรือเหตุการณ์ทางธรรมชาติ และปฏิบัติการและการเงินที่มีประสิทธิภาพมีผลกระทบต่อเหตุการณ์อาจเกิดขึ้นกับองค์กร

ในขณะที่ความท้าทายในการประเมินค่าต้นทุนและผลประโยชน์ยังคงอยู่ การวิเคราะห์ต้นทุน ผลประโยชน์ ควรดำเนินไปในระดับที่เพียงพอที่จะประเมินผลการตอบสนองความเสี่ยงจากพื้นฐานความเสี่ยงของแต่ละคน หรือจากประวัติที่ผ่านมา บางองค์กรอาจเลือกที่จะประเมินค่าการตอบสนองความเสี่ยงในแง่ของความต้องการเพิ่มทุน ตัวอย่างเช่น จุดคุ้มทุน หรือต้นทุน ณ จุดเสี่ยง และอาจพิจารณาในแง่เงินเฟ้อ การลดดอกเบี้ย และการวิเคราะห์ความอ่อนไหว

3. ประเมินโอกาสที่เกิดขึ้นจากการดำเนินการตามกลยุทธ์การจัดการความเสี่ยง
ความเสี่ยงที่เป็นธรรมชาติถูกวิเคราะห์และประเมินการตอบสนอง ด้วยเจตนาของการบรรลุระดับความเสี่ยงส่วนที่เหลือให้อยู่ในระดับความเสี่ยงที่ยอมรับได้ หลาย ๆ สิ่งตอบสนองอาจทำให้ความเสี่ยงส่วนที่อยู่ในระดับความเสี่ยงที่ยอมรับได้ และบางครั้งการรวมกันของสิ่งตอบสนองทำให้เกิดผลลัพธ์สูงสุด เช่นเดียวกันกับสิ่งตอบสนองจะส่งผลกระทบต่อความเสี่ยงของเหตุการณ์แฝงหลายเหตุการณ์ เนื่องจากการตอบสนองความเสี่ยงอาจทำให้เกิดความเสี่ยงมากมาย ผู้บริหารอาจค้นพบได้ว่าการกระทำที่เพิ่มขึ้นมาไม่ได้ถูกรับประกัน กระบวนการที่มีอยู่อาจเพียงพอหรือจำเป็นต้องปฏิบัติให้ดีกว่า ดังนั้นผู้บริหารจะพิจารณาว่าการตอบสนองที่แยกกันหรือรวมกันจะโต้ตอบกับผลกระทบของเหตุการณ์แฝงได้อย่างไร

หลังจากได้ทำการประเมินเพื่อกำหนดกลยุทธ์การจัดการความเสี่ยงที่มีประสิทธิผลจากแนวทางที่ได้กล่าวมาแล้วข้างต้น ผู้บริหารต้องทำการกำหนดแผนปฏิบัติงาน หรือขั้นตอนในการปฏิบัติ โดยต้องระบุเวลาแล้วเสร็จเพื่อให้มั่นใจได้ว่าจะมีการดำเนินงานตามกลยุทธ์เพื่อให้เกิดโอกาสตามที่คาดหวังไว้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »