Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale (ต่อ)

พ.ค. 7, 2009

ดีใจได้เดี๋ยวเดียวเองครับ กับอินเตอร์เน็ตที่คิดว่าใช้งานได้ดีแล้ว คิดว่าวันนี้จะ update หัวข้อต่าง ๆ ที่ยังค้างคา อย่างกรณีเรื่องเล่าของ FSA ที่ยังค้างไว้เมื่อครั้งที่แล้ว และยังเรื่องของการบริหารความเสี่ยง หรือเรื่องของ CG อีก สุดท้ายก็ยังใช้งานได้ติด ๆ ขัด ๆ อยู่ดี แต่ผมตั้งใจไว้แล้วว่าวันนี้จะ update ให้ได้ ผมก็จะพยายามจนสุดความสามารถละกันนะครับ

จากกรณีศึกษา เรื่อง FSA – Financial Services Authority สอบสวนถึงกรณีการทุจริตของธนาคาร Societe Generale (SG) ซึ่งจะมีประโยชน์อย่างยิ่งต่อสถาบันการเงินทุกแห่ง รวมทั้งองค์กรที่ไม่ได้เป็นสถาบันการเงินด้วย ทั้งนี้เพราะข้อสังเกตของ FSA ซึ่งเป็นหน่วยงานกำกับของประเทศอังกฤษ ได้ร่วมกับหน่วยงานกำกับอื่น ๆ ในการศึกษาเพื่อป้องกันปัญหาการทุจริตในสถาบันการเงินต่อไปในอนาคตนั้น จะมีประโยชน์ในเชิงป้องกันปัญหาการทุจริตในวงการบริหารเงิน การกำกับสถาบันการเงินที่ไม่จำเป็นจะต้องเป็นผู้ค้าเงินด้วยก็ตาม

คำถามซึ่งผสมผสานไปด้วยข้อคิด และข้อสังเกตไปในตัวในแต่ละข้อนั้น มีลักษณะให้ผู้บริหารขององค์กรต้องตอบอย่างมั่นใจว่า องค์กรของตนได้มีการปฏิบัติที่เหมาะสมเกี่ยวกับการควบคุมความเสี่ยงต่าง ๆ ที่เกี่ยวข้องหรือไม่ ผมได้แนะนำให้สถาบันการเงินบางแห่งและองค์กรที่ไม่ใช่เป็นสถาบันการเงิน ได้นำข้อสังเกตกึ่งข้อแนะนำของ FSA นี้ไปใช้ในการทบทวนการป้องกันความเสี่ยงในแง่มุมต่าง ๆ ขององค์กรในเชิงรุก

ท่านผู้บริหารและผู้ตรวจสอบที่สนใจในเรื่องนี้ บางหน่วยงานให้ข้อสังเกตในลักษณะว่าเป็นเรื่องที่เกี่ยวข้องกับการค้าเงินของสถาบันการเงิน ซึ่งอาจไม่ตรงกับการดำเนินงานขององค์กรของตนมากนัก เรื่องนี้ผมใคร่ขอเรียนย้ำว่า ขอให้ท่านผู้บริหารได้โปรดศึกษาในเนื้อหาและสาเหตุของการทุจริตอย่างละเอียด และนำหลักการของ COSO – ERM มาประยุกต์ใช้และเปรียบเทียบ โดยใช้ดุลยพินิจและนำมาประยุกต์กับหน่วยงานของท่าน โดยการตั้งคำถามในเรื่องที่เกี่ยวข้องเช่นเดียวกับที่ FSA ได้ตั้งคำถามและนำคำตอบหลากหลายนั้น มาตั้งคำถามเพิ่มเติมเพื่อให้ได้คำตอบในแง่มุมที่เกี่ยวข้อง และตั้งคำถามจากคำตอบหลังสุดนั้นไปเรื่อย ๆ อย่างเป็นกระบวนการตามหลักการของ COSO – ERM ผสมผสานกับหลักการของ COBIT ภายใต้ร่มของ IT Governance ท่านผู้บริหารก็จะได้ภาพที่น่าสนใจอย่างยิ่ง ที่สามารถนำมาสร้างเป็นหลักการในการควบคุมความเสี่ยง รวมทั้งออกนโยบายที่เกี่ยวข้องได้อย่างเหมาะสมต่อไป

ความเสี่ยงในการตรวจสอบ (Audit Risk) ประการหนึ่งที่สำคัญอย่างยิ่ง ก็คือ ผู้ตรวจสอบไม่ได้ตรวจสอบหรือแม้แต่วางแผนการตรวจสอบ ประเด็นที่อาจปรับปรุงกระบวนการบริหารงานของผู้บริหารในองค์กรอย่างเป็นกระบวนการที่แท้จริง เช่น การมอบอำนาจให้กับผู้ที่เกี่ยวข้อง ซึ่งควรจะมีการควบคุมอย่างใกล้ชิดเพื่อรักษาดุลยภาพและความเหมาะสมในการให้อำนาจกับบุคคลนั้น ๆ โดยมี Dual Control ที่ได้ดุลยภาพผสมผสานกับการใช้เทคโนโลยีเข้าช่วยในการควบคุมและรายงานสิ่งผิดปกติ ที่อาจจะเกิดขึ้นได้ ซึ่งเรื่องนี้อาจเปรียบเทียบได้กับกรณีของ ธอส. ซึ่งกระทรวงการคลังกำลังขอให้ผู้บริหารของ ธอส. ชี้แจงในเรื่องนี้ ซึ่งมีแง่มุมที่น่าสนใจที่อาจนำมาแลกเปลี่ยนความคิดเห็นในโอกาสต่อไป

วันนี้ ผมจึงขอนำข้อสังเกตจากกรณีศึกษาของ FSA กรณีการทุจริตของ Societe Generale (SG) มาเล่าต่อจากวันก่อน เพื่อให้ท่านที่สนใจได้ช่วยกันวิเคราะห์ และจะมีประโยชน์อย่างยิ่ง หากผู้บริหารของสถาบันการเงินและองค์กรที่เกี่ยวข้องกับการบริหารเงินจะได้สนใจ และประเมินศักยภาพของผู้บริหารและผู้ตรวจสอบภายในในองค์กรของท่านต่อไป

Control functions: culture and challenge
3. สง. มั่นใจได้อย่างไรว่าหน่วยงานที่ทำหน้าที่ควบคุมมีความรู้และทักษะเพียงพอ เพื่อสามารถติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพ
4. สง. มั่นใจได้อย่างไรว่าระบบการสอบทานและควบคุม ทำงานได้อย่างมีประสิทธิภาพตามที่คาดหวัง
4.1 สง. ควรมีการพิจารณาอย่างสม่ำเสมอว่าบุคลากรทุกคนที่ทำหน้าที่เกี่ยวข้องกับการควบคุม ( Control function ) มีความรู้ความสามารถและมีอำนาจในการติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพเมื่อมีการทำธุรกรรมที่เกิน Limit หรือเมื่อเกิดเหตุการณ์ที่น่าสงสัยขึ้น
4.2 Middle office และ Back office มีความเข้าใจหรือไม่ว่าเมื่อใดควรใช้ บัญชีพัก (Suspense account) ในการบันทึกรายการ ทั้งนี้เพื่อป้องกันการใช้ บัญชีพัก ผิดวัตถุประสงค์ของ Trader (อาจใช้ บัญชีพัก เพื่อซ่อนรายการทุจริต) นอกจากนี้ หากมีธุรกรรมต้องสงสัย สง. มีขั้นตอนการนำเสนอรายงานตามลำดับชั้นถึงผู้บริหารเพื่อการตัดสินใจหรือไม่
4.3 เพื่อความมีประสิทธิภาพของการปฏิบัติงาน สง.ควรมีการคัดเลือกและรักษาพนักงานที่มีคุณภาพ รวมถึงมีการฝึกอบรมพนักงานอย่างสม่ำเสมอ

Risk management and limit
5. สง. มั่นใจได้อย่างไรว่ามีการตรวจสอบความเสี่ยงทุกประเภทที่มีนัยสำคัญได้อย่างถูกต้องครบถ้วน เช่น Exotic risk, Basic risk เป็นต้น
6. สง. มั่นใจได้อย่างไรว่า Limit ที่มีครอบคลุมความเสี่ยงทุกประเภทอย่างเหมาะสม และมีการติดตามความเสี่ยงทั้งหมดเป็นประจำอย่างสม่ำเสมอ
6.1 สง. ควรมีเครื่องมือที่สามารถตรวจสอบ Position ของ Trader โดยเปรียบเทียบกับอำนาจการทำธุรกรรมและ Limit ที่ Trader ได้รับ นอกจากนี้ควรเทียบ Position ของ Trader ว่ามีสัดส่วนเท่าใดของ Position ทั้ง Desk เพื่อทราบว่าธุรกรรมของ Trader รายนั้นต้องติดตามดูแลเป็นพิเศษหรือไม่
6.2 สง. ควรต้องติดตามดูแลความเสี่ยงที่อาจตรวจวัดได้ยาก เช่น Exotic and Higher order risk, Basic risk และ Liquidity risk ซึ่งในกรณีนี้ สง.ควรใช้เครื่องมือที่มีประโยชน์ เช่น Gross notional limit หรือ Gross sensitivity limits เพื่อควบคุมความเสี่ยงดังกล่าว

Management information
7. ตัวชี้วัดผลการปฏิบัติงานที่ใช้เป็นข้อมูลในการบริหารมีความละเอียดและเหมาะสมเพียงพอหรือไม่
8. สง. มีการรวบรวมข้อมูลจากทุกหน่วยงานที่เกี่ยวข้องเพื่อให้แน่ใจได้ว่าการปฏิบัติที่ไม่ถูกต้องและหรือธุรกรรมต้องสงสัยถูกตรวจจับ
8.1 หาก Trader สามารถทำธุรกรรมได้หลากหลายผลิตภัณฑ์ในหลายตลาด อาจถูกติดตามดูแลโดย Middle office ต่างทีมกัน จึงควรรวบรวมข้อมูลจาก Middle office ทุกทีมเพื่อใช้ติดตามผลการปฏิบัติงานของ Trader แต่ละราย นอกจากนี้ควรมีขั้นตอนการนำเสนอและการรวบรวมตัวชี้วัดจากหน่วยงานที่เกี่ยวข้องทั้งหมดเพื่อให้ผู้บริหารในห้องค้าและหน่วยงานที่ทำหน้าที่ควบคุมใช้ประเมินผลการปฏิบัติงาน Trader ได้อย่างครบถ้วนเหมาะสม
8.2 ตัวอย่างเช่น สง.มีการกำหนดว่า Trader ทำผิดกี่ครั้งจะได้รับ Yellow flag และกำหนดว่า Yellow flag กี่ครั้งจึงเท่ากับ Red flag เพื่อพิจารณาว่า Trader รายนั้นมีการทำผิดในเรื่องเดิมๆ หลายครั้งหรือไม่
8.3 สง. ควรให้ความสนใจกับข้อสังเกตของผู้ที่อยู่ภายนอกองค์กร เช่น การตั้งข้อสังเกตโดยตลาดหลักทรัพย์ว่าสง.มีการทำธุรกรรมซื้อขายในปริมาณที่ผิดปกติ สง. ควรมีการนำเสนอข้อมูลดังกล่าวร่วมกับข้อมูลต้องนำเสนอผู้บริหารด้วย เพื่อพิจารณาว่าควรตั้งเป็นข้อสังเกตและติดตามดูแลหรือไม่อย่างไร นอกจากนี้ประเด็นที่ถูกตั้งเป็นข้อสังเกตจากตลาดฯ ควรมีการสืบสวนหาข้อเท็จจริงโดยหน่วยงานที่เป็นอิสระจาก Trader หรือไม่

ยังครับ ยังไม่จบเท่านี้ ไว้คราวหน้าผมจะมาเล่าต่ออีกในกรณีศึกษา การทุจริตของธนาคาร Societe Generale (SG) ครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale

พ.ค. 4, 2009

หลังจากที่ผมได้หยุดพักผ่อนเนื่องในวันสงกรานต์หลายวัน และหลังจากนั้นก็มีกิจกรรมที่ทำให้ไม่สามารถ Update ข้อมูลได้ตามที่ตั้งใจไว้ ก็ต้องขออภัยด้วยนะครับ

พอดี ผมได้อ่านพบข่าวที่น่าสนใจในหนังสือพิมพ์เกี่ยวกับการทุจริต วงเงินประมาณ 400 ล้านบาท ของธนาคารอาคารสงเคราะห์ (ตามข่าว) ที่เกี่ยวข้องกับ Operational Risk ซึ่งประกอบไปด้วย People Risk + Process Risk + Technology Risk (PPT) ซึ่งเป็นความเสี่ยงที่มีน้ำหนักสูงสุดของความเสี่ยงในวงการสถาบันการเงิน และไม่ใช่สถาบันการเงิน ทำให้นึกถึงเหตุการณ์กรณีทุจริตของธนาคารยักษ์ใหญ่อันดับ 2 ของประเทศฝรั่งเศส ซึ่งเกิดการทุจริตเมื่อประมาณปีเศษ ๆ และมีความเสียหายสูงถึง ประมาณ 3 แสนล้านบาท

การบริหารความเสี่ยงเป็นการบริหารเชิงรุกที่จะต้องป้องกันปัญหาก่อนที่จะเกิดปัญหา โดยมองเหตุการณ์ที่อาจจะเกิดขึ้นในภายภาคหน้า ไม่ว่าจะเป็นปัจจัยภายในหรือปัจจัยภายนอก ตามหลักการของ COSO – ERM ที่เกี่ยวข้องกับการบริหารความเสี่ยงระดับองค์กร เพื่อบรรลุวัตถุประสงค์หลัก ๆ 4 ด้านด้วยกันก็คือ S – O – F – C
S = Strategic, O = Operational, F = Financial and Reproting, C = Compliance

ผมยังจะไม่วิจารณ์มุมมองที่เกี่ยวข้องกับการบริหารความเสี่ยงที่มีผลจาก Operational Risk ที่เกิดจาก PPT ของธนาคารอาคารสงเคราะห์ตามที่เป็นข่าวทั้งระบบ แต่จะให้ข้อสังเกตว่า กรณีการทุจริตของธนาคาร Societe Generale ซึ่งเกิดการทุจริตในการค้าเงินอันเกิดมาจาก Operational Risk เช่นกันนั้น เป็นเรื่องที่น่าศึกษาอย่างยิ่ง เพราะมีความเสียหายอย่างมหาศาลที่ผู้บริหารทุกระดับไม่อาจจะติดตาม ไม่อาจตรวจสอบ และรวมทั้ง ไม่อาจกำกับความเสี่ยงที่เกิดจาก PPT โดยเฉพาะอย่างยิ่งบุคลากรที่เกี่ยวข้องนั้น มีความเก่งทางด้าน IT เป็นเลิศ

ผมจึงขอให้ข้อสังเกตที่เป็นบทความของ FSA ที่เกี่ยวข้องกับการสอบสวนกรณีนี้ และถือว่าเป็น Lesson Learned ที่ดีมากในวงการสถาบันการเงิน และวงการ IT แต่เป็นที่น่าเสียดายอย่างยิ่ง เพราะเท่าที่ผมทราบ มีสถาบันการเงินจำนวนมากที่ไม่ได้นำ Lesson Learned กรณี Societe Generale มาใช้ในการประเมินตนเองในการบริหารความเสี่ยง ในลักษณะของ CSA – Control Self Assessment เพื่อหาทางป้องกันปัญหาที่อาจจะเกิดขึ้นได้ในทำนองเดียวกัน หรือคล้าย ๆ กัน

บทความที่รายงานโดย FSA บางส่วนที่น่าจะเป็นประโยชน์อย่างยิ่งต่อการทำ CSA หรือ QAR (Quality Assurance Review) เพื่อสร้างคุณค่าเพิ่มโดยเสียเงินน้อยที่สุด หรือแทบไม่ต้องเสียเงินเลยนั้น สรุปได้ดังนี้

วันที่ 24 มกราคม 2551 Societe Generale (SG) ได้ประกาศว่า เมื่อวันที่ 18 มกราคม 2551 SG ตรวจพบการมีฐานะด้านสินทรัพย์จากธุรกรรม Futures ประมาณ 50,000 ล้านดอลล่าร์สหรัฐ
ในตลาด European Stock Market Indices ถึงสามแห่ง ซึ่งธุรกรรมดังกล่าวทำโดย Trader เพียงคนเดียว และมีผลให้ SG ขาดทุนถึง 4,900 ล้านดอลล่าร์สหรัฐ ก่อนที่จะมีการปิดฐานะเหล่านั้น (Trader ได้ทำการทุจริตเป็นระยะเวลาต่อเนื่องยาวนาน โดยที่ระบบตรวจสอบควบคุมของทางธนาคารไม่สามารถตรวจพบได้)

หลังจากที่ SG ได้มีการประกาศการทุจริตและผลขาดทุนออกมา Financial Services Authority (FSA) ซึ่งเป็นผู้กำกับดูแล สง.ในประเทศอังกฤษ ได้ติดตามข่าวสารและติดต่อกับผู้กำกับดูแลในต่างประเทศอย่างใกล้ชิด เนื่องจาก FSA ตระหนักว่าควรมีการศึกษากรณีทุจริตดังกล่าวเพื่อป้องกันไม่ให้เกิดเหตุการณ์ที่เช่นนี้อีกในอนาคต

FSA ได้หารืออย่างไม่เป็นทางการกับ Trading Bank ขนาดใหญ่ประมาณ 40-50 แห่ง ว่ามีความเห็นอย่างไรกับกรณี SG พบว่าธนาคารส่วนใหญ่มีการหารือกันภายในเกี่ยวกับกรณีดังกล่าวเพื่อประเมินตนเอง และหลายแห่งได้ระบุถึง Gap ในการทำธุรกรรม และพยายามปิด Gap ดังกล่าวโดยเร็ว

หลังจาก FSA ศึกษากรณีการทุจริตของ SG อย่างใกล้ชิดและหารือกับธนาคารต่างๆ จึงได้จัดทำแนวทางเพื่อให้ธนาคารใช้เพื่อตรวจสอบระบบและการควบคุมต่างๆ ของตนเอง เพื่อป้องกันการทำทุจริตของ Trader ดังนี้

Front Office Culture and Governance
1. สง. มั่นใจได้อย่างไรว่าการกำหนดผลตอบแทน (Incentives) จากการทำธุรกรรมเหมาะสม และไม่ก่อให้เกิดการละเลยในเรื่องการกำกับดูแล และหลักธรรมาภิบาลในห้องค้า
1.1 สง. ควรพิจารณาถึงคุณภาพของข้อมูลที่ใช้ในการบริหารจัดการประจำวันและรายงานเกี่ยวกับการยกเว้นต่างๆ (Exception report) ซึ่งนำเสนอผู้บริหาร ว่าเป็นปัจจุบัน ทันต่อเหตุการณ์ และสอดคล้องกับการเปลี่ยนแปลงของธุรกิจหรือไม่ รวมถึงเหตุการณ์การทุจริตของ Trader
ด้วย นอกจากนี้ สง. ควรพิจารณากำหนดหน้าที่และการรับผิดชอบที่ชัดเจนในการจัดทำรายงาน รวมถึงการกำหนดผลตอบแทนที่เหมาะสมเพื่อส่งเสริมให้มีการกำกับและควบคุมที่ดีในห้องค้า
1.2 หาก Trader มีการยกเลิก หรือแก้ไขการซื้อขายบ่อยครั้งในระยะเวลาหนึ่งๆ สง. ควรให้ความสนใจติดตามเป็นพิเศษโดยผ่านรายงานประจำวันและระบุว่ารายการดังกล่าวเป็นของ Trader รายใด เพื่อให้ผู้บริหารในห้องค้าและผู้ที่ทำหน้าที่ในการควบคุมได้ติดตามดูแลอย่างใกล้ชิด
1.3 สง. ควรจะพิจารณาถึงวัฒนธรรมของห้องค้าว่าสามารถป้องกันการทุจริตของ Trader ได้หรือไม่ เช่น การลาหยุดประจำปีมีข้อบังคับให้ลาพักผ่อนติดต่อกัน 2 สัปดาห์ต่อปี Trader ปฏิบัติตามโดยเคร่งครัดหรือไม่ และในระหว่างที่ Trader หยุดพักผ่อนควรสังเกตว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ (ข้อบังคับเรื่องการลาหยุดพักผ่อนเป็นเครื่องมือที่ดีในการตรวจสอบ Trader ที่ทำการทุจริต)

Trading mandates and limits
2. สง. มั่นใจได้อย่างไรว่า การมอบอำนาจในการทำธุรกรรมมีความเหมาะสม มีการปรับให้เป็นปัจจุบัน และมีการติดตามดูแลอย่างใกล้ชิด
2.1 สง. ควรพิจารณาว่าอำนาจในการทำธุรกรรมของ Trader แต่ละรายมีความเหมาะสมหรือไม่ เช่น พิจารณาความสอดคล้องของการกำหนดผลิตภัณฑ์และตลาดที่ Trader สามารถทำธุรกรรมรวมทั้ง Limit ที่ได้รับ นอกจากนี้ ควรให้ผู้ที่เกี่ยวข้องทุกคนลงนามรับทราบข้อกำหนดและ Limit ต่างๆ ร่วมกัน
2.2 สง. ควรพิจารณาว่าข้อกำหนดและ Limit ต่างๆ Trader ได้นำไปปฏิบัติอย่างถูกต้อง โดยมี ผู้บริหารห้องค้าและหน่วยงานอิสระที่ทำหน้าที่ควบคุม ติดตามดูแลอย่างใกล้ชิด นอกจากนี้ สง. มีการกำหนดขั้นตอนที่เหมาะสมในการสอบสวนและนำเสนอผลการสอบสวนเป็นลำดับชั้นเมื่อเกิดการละเมิดข้อกำหนดต่างๆ หรือไม่

เรื่องนี้ ธนาคารแห่งประเทศไทยก็ให้ความสนใจและมีการศึกษาเรื่องนี้กันเป็นพิเศษ ซึ่งเข้าใจว่าคงจะมีการให้คำแนะนำ หรือนำไปใช้ในการทดสอบความพร้อมของสถาบันการเงิน ในเรื่องที่เกี่ยวข้องกับจุดอ่อนในการค้าเงินต่อไปแล้ว

ท่านที่สนใจลองนำคำถามและข้อแนะนำบางประการที่กล่าวข้างต้นไปประเมินตนเองในลักษณะ CSA หรือ QAR อย่างเป็นระบบ เพื่อจัดให้มีการควบคุมความเสี่ยงต่าง ๆ ที่ผมคิดว่า สถาบันการเงินทุกแห่งมีปัญหาเหล่านี้ไม่มากก็น้อย แล้วคำถามและข้อสังเกตอื่น ๆ จะได้นำมาเล่าสู่กันฟังต่อนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale

พ.ค. 4, 2009

หลังจากที่ผมได้หยุดพักผ่อนเนื่องในวันสงกรานต์หลายวัน และหลังจากนั้นก็มีกิจกรรมที่ทำให้ไม่สามารถ Update ข้อมูลได้ตามที่ตั้งใจไว้ ก็ต้องขออภัยด้วยนะครับ

พอดี ผมได้อ่านพบข่าวที่น่าสนใจในหนังสือพิมพ์เกี่ยวกับการทุจริต วงเงินประมาณ 400 ล้านบาท ของธนาคารอาคารสงเคราะห์ (ตามข่าว) ที่เกี่ยวข้องกับ Operational Risk ซึ่งประกอบไปด้วย People Risk + Process Risk + Technology Risk (PPT) ซึ่งเป็นความเสี่ยงที่มีน้ำหนักสูงสุดของความเสี่ยงในวงการสถาบันการเงิน และไม่ใช่สถาบันการเงิน ทำให้นึกถึงเหตุการณ์กรณีทุจริตของธนาคารยักษ์ใหญ่อันดับ 2 ของประเทศฝรั่งเศส ซึ่งเกิดการทุจริตเมื่อประมาณปีเศษ ๆ และมีความเสียหายสูงถึง ประมาณ 3 แสนล้านบาท

การบริหารความเสี่ยงเป็นการบริหารเชิงรุกที่จะต้องป้องกันปัญหาก่อนที่จะเกิดปัญหา โดยมองเหตุการณ์ที่อาจจะเกิดขึ้นในภายภาคหน้า ไม่ว่าจะเป็นปัจจัยภายในหรือปัจจัยภายนอก ตามหลักการของ COSO – ERM ที่เกี่ยวข้องกับการบริหารความเสี่ยงระดับองค์กร เพื่อบรรลุวัตถุประสงค์หลัก ๆ 4 ด้านด้วยกันก็คือ S – O – F – C
S = Strategic, O = Operational, F = Financial and Reproting, C = Compliance

ผมยังจะไม่วิจารณ์มุมมองที่เกี่ยวข้องกับการบริหารความเสี่ยงที่มีผลจาก Operational Risk ที่เกิดจาก PPT ของธนาคารอาคารสงเคราะห์ตามที่เป็นข่าวทั้งระบบ แต่จะให้ข้อสังเกตว่า กรณีการทุจริตของธนาคาร Societe Generale ซึ่งเกิดการทุจริตในการค้าเงินอันเกิดมาจาก Operational Risk เช่นกันนั้น เป็นเรื่องที่น่าศึกษาอย่างยิ่ง เพราะมีความเสียหายอย่างมหาศาลที่ผู้บริหารทุกระดับไม่อาจจะติดตาม ไม่อาจตรวจสอบ และรวมทั้ง ไม่อาจกำกับความเสี่ยงที่เกิดจาก PPT โดยเฉพาะอย่างยิ่งบุคลากรที่เกี่ยวข้องนั้น มีความเก่งทางด้าน IT เป็นเลิศ

ผมจึงขอให้ข้อสังเกตที่เป็นบทความของ FSA ที่เกี่ยวข้องกับการสอบสวนกรณีนี้ และถือว่าเป็น Lesson Learned ที่ดีมากในวงการสถาบันการเงิน และวงการ IT แต่เป็นที่น่าเสียดายอย่างยิ่ง เพราะเท่าที่ผมทราบ มีสถาบันการเงินจำนวนมากที่ไม่ได้นำ Lesson Learned กรณี Societe Generale มาใช้ในการประเมินตนเองในการบริหารความเสี่ยง ในลักษณะของ CSA – Control Self Assessment เพื่อหาทางป้องกันปัญหาที่อาจจะเกิดขึ้นได้ในทำนองเดียวกัน หรือคล้าย ๆ กัน

บทความที่รายงานโดย FSA บางส่วนที่น่าจะเป็นประโยชน์อย่างยิ่งต่อการทำ CSA หรือ QAR (Quality Assurance Review) เพื่อสร้างคุณค่าเพิ่มโดยเสียเงินน้อยที่สุด หรือแทบไม่ต้องเสียเงินเลยนั้น สรุปได้ดังนี้

วันที่ 24 มกราคม 2551 Societe Generale (SG) ได้ประกาศว่า เมื่อวันที่ 18 มกราคม 2551 SG ตรวจพบการมีฐานะด้านสินทรัพย์จากธุรกรรม Futures ประมาณ 50,000 ล้านดอลล่าร์สหรัฐ
ในตลาด European Stock Market Indices ถึงสามแห่ง ซึ่งธุรกรรมดังกล่าวทำโดย Trader เพียงคนเดียว และมีผลให้ SG ขาดทุนถึง 4,900 ล้านดอลล่าร์สหรัฐ ก่อนที่จะมีการปิดฐานะเหล่านั้น (Trader ได้ทำการทุจริตเป็นระยะเวลาต่อเนื่องยาวนาน โดยที่ระบบตรวจสอบควบคุมของทางธนาคารไม่สามารถตรวจพบได้)

หลังจากที่ SG ได้มีการประกาศการทุจริตและผลขาดทุนออกมา Financial Services Authority (FSA) ซึ่งเป็นผู้กำกับดูแล สง.ในประเทศอังกฤษ ได้ติดตามข่าวสารและติดต่อกับผู้กำกับดูแลในต่างประเทศอย่างใกล้ชิด เนื่องจาก FSA ตระหนักว่าควรมีการศึกษากรณีทุจริตดังกล่าวเพื่อป้องกันไม่ให้เกิดเหตุการณ์ที่เช่นนี้อีกในอนาคต

FSA ได้หารืออย่างไม่เป็นทางการกับ Trading Bank ขนาดใหญ่ประมาณ 40-50 แห่ง ว่ามีความเห็นอย่างไรกับกรณี SG พบว่าธนาคารส่วนใหญ่มีการหารือกันภายในเกี่ยวกับกรณีดังกล่าวเพื่อประเมินตนเอง และหลายแห่งได้ระบุถึง Gap ในการทำธุรกรรม และพยายามปิด Gap ดังกล่าวโดยเร็ว

หลังจาก FSA ศึกษากรณีการทุจริตของ SG อย่างใกล้ชิดและหารือกับธนาคารต่างๆ จึงได้จัดทำแนวทางเพื่อให้ธนาคารใช้เพื่อตรวจสอบระบบและการควบคุมต่างๆ ของตนเอง เพื่อป้องกันการทำทุจริตของ Trader ดังนี้

Front Office Culture and Governance
1. สง. มั่นใจได้อย่างไรว่าการกำหนดผลตอบแทน (Incentives) จากการทำธุรกรรมเหมาะสม และไม่ก่อให้เกิดการละเลยในเรื่องการกำกับดูแล และหลักธรรมาภิบาลในห้องค้า
1.1 สง. ควรพิจารณาถึงคุณภาพของข้อมูลที่ใช้ในการบริหารจัดการประจำวันและรายงานเกี่ยวกับการยกเว้นต่างๆ (Exception report) ซึ่งนำเสนอผู้บริหาร ว่าเป็นปัจจุบัน ทันต่อเหตุการณ์ และสอดคล้องกับการเปลี่ยนแปลงของธุรกิจหรือไม่ รวมถึงเหตุการณ์การทุจริตของ Trader
ด้วย นอกจากนี้ สง. ควรพิจารณากำหนดหน้าที่และการรับผิดชอบที่ชัดเจนในการจัดทำรายงาน รวมถึงการกำหนดผลตอบแทนที่เหมาะสมเพื่อส่งเสริมให้มีการกำกับและควบคุมที่ดีในห้องค้า
1.2 หาก Trader มีการยกเลิก หรือแก้ไขการซื้อขายบ่อยครั้งในระยะเวลาหนึ่งๆ สง. ควรให้ความสนใจติดตามเป็นพิเศษโดยผ่านรายงานประจำวันและระบุว่ารายการดังกล่าวเป็นของ Trader รายใด เพื่อให้ผู้บริหารในห้องค้าและผู้ที่ทำหน้าที่ในการควบคุมได้ติดตามดูแลอย่างใกล้ชิด
1.3 สง. ควรจะพิจารณาถึงวัฒนธรรมของห้องค้าว่าสามารถป้องกันการทุจริตของ Trader ได้หรือไม่ เช่น การลาหยุดประจำปีมีข้อบังคับให้ลาพักผ่อนติดต่อกัน 2 สัปดาห์ต่อปี Trader ปฏิบัติตามโดยเคร่งครัดหรือไม่ และในระหว่างที่ Trader หยุดพักผ่อนควรสังเกตว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ (ข้อบังคับเรื่องการลาหยุดพักผ่อนเป็นเครื่องมือที่ดีในการตรวจสอบ Trader ที่ทำการทุจริต)

Trading mandates and limits
2. สง. มั่นใจได้อย่างไรว่า การมอบอำนาจในการทำธุรกรรมมีความเหมาะสม มีการปรับให้เป็นปัจจุบัน และมีการติดตามดูแลอย่างใกล้ชิด
2.1 สง. ควรพิจารณาว่าอำนาจในการทำธุรกรรมของ Trader แต่ละรายมีความเหมาะสมหรือไม่ เช่น พิจารณาความสอดคล้องของการกำหนดผลิตภัณฑ์และตลาดที่ Trader สามารถทำธุรกรรมรวมทั้ง Limit ที่ได้รับ นอกจากนี้ ควรให้ผู้ที่เกี่ยวข้องทุกคนลงนามรับทราบข้อกำหนดและ Limit ต่างๆ ร่วมกัน
2.2 สง. ควรพิจารณาว่าข้อกำหนดและ Limit ต่างๆ Trader ได้นำไปปฏิบัติอย่างถูกต้อง โดยมี ผู้บริหารห้องค้าและหน่วยงานอิสระที่ทำหน้าที่ควบคุม ติดตามดูแลอย่างใกล้ชิด นอกจากนี้ สง. มีการกำหนดขั้นตอนที่เหมาะสมในการสอบสวนและนำเสนอผลการสอบสวนเป็นลำดับชั้นเมื่อเกิดการละเมิดข้อกำหนดต่างๆ หรือไม่

เรื่องนี้ ธนาคารแห่งประเทศไทยก็ให้ความสนใจและมีการศึกษาเรื่องนี้กันเป็นพิเศษ ซึ่งเข้าใจว่าคงจะมีการให้คำแนะนำ หรือนำไปใช้ในการทดสอบความพร้อมของสถาบันการเงิน ในเรื่องที่เกี่ยวข้องกับจุดอ่อนในการค้าเงินต่อไปแล้ว

ท่านที่สนใจลองนำคำถามและข้อแนะนำบางประการที่กล่าวข้างต้นไปประเมินตนเองในลักษณะ CSA หรือ QAR อย่างเป็นระบบ เพื่อจัดให้มีการควบคุมความเสี่ยงต่าง ๆ ที่ผมคิดว่า สถาบันการเงินทุกแห่งมีปัญหาเหล่านี้ไม่มากก็น้อย แล้วคำถามและข้อสังเกตอื่น ๆ จะได้นำมาเล่าสู่กันฟังต่อนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

เมษายน 30, 2009

จากที่ได้กล่าวไปแล้วว่า ผมจะพูดถึงหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงในครั้งนี้ ฉะนั้น การบริหารความเสี่ยงขององค์กรจะมีหลักการอย่างไร และจะมีปัจจัยใดบ้างที่เกี่ยวข้องและมีผลกระทบต่อความสำเร็จขององค์กร ติดตามกันต่อได้เลยครับ

หลักการบริหารความเสี่ยง
หลักการบริหารความเสี่ยงประกอบด้วยพื้นฐาน 2 ประการคือ หลักการ ORCA และปัจจัยที่ทำให้การนำกรอบการบริหารความเสี่ยงไปปฏิบัติประสบผลสำเร็จ

หลักการบริหารความเสี่ยง = หลักการ ORCA + ปัจจัยสำคัญที่ทำให้ประสบความสำเร็จ

หลักการ ORCA เป็นคำย่อของ Objectives – วัตถุประสงค์ / Risk – ความเสี่ยง / Control – การควบคุมภายใน Alignment – ความสอดคล้องกัน ซึ่งเป็นแนวทางที่มีเหตุผลดังนี้
1. การกำหนดวัตถุประสงค์ที่ชัดเจนขององค์กร
2. การประเมินความเสี่ยงที่อาจทำให้ไม่สามารถบรรลุวัตถุประสงค์ การประเมินความเสี่ยงเป็นการบ่งชี้และวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับความสามารถในการบรรลุวัตถุประสงค์และเป็นแนวทางพื้นฐานในการกำหนดการควบคุมภายในเพื่อใช้สำหรับการจัดการความเสี่ยง เป็นกระบวนการต่อเนื่อง ทั้งนี้เนื่องจากภาวะทางเศรษฐกิจ อุตสาหกรรม กฎ ระเบียบ และการปฏิบัติงานมีการเปลี่ยนแปลงอยู่ตลอดเวลา
3. สร้างการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงขององค์กร การควบคุมที่ไม่เพียงพออาจทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้
4. ดำเนินการเพื่อให้มั่นใจว่ามีความสอดคล้องกันระหว่างวัตถุประสงค์ ความเสี่ยงและการควบคุมทั่วทั้งองค์กร

ปัจจัยสำคัญต่อความสำเร็จในการบริหารความเสี่ยง
ปัจจัยสำคัญ 8 ประการ เพื่อช่วยให้การปฏิบัติตามกรอบการบริหารความเสี่ยงประสบความสำเร็จ มีดังนี้

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

ปัจจัยที่ 1 : การสนับสนุนจากผู้บริหารระดับสูง
การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กร จะประสบความสำเร็จเพียงใดขึ้นอยู่กับเจตนารมณ์ การสนับสนุน การมีส่วนร่วม และความเป็นผู้นำของผู้บริหารระดับสูงในองค์กร

คณะกรรมการ และผู้บริหารระดับสูงขององค์กรทั่วไป ต้องให้ความสำคัญและสนับสนุนให้ทุกคนในองค์กรเข้าใจความสำคัญในคุณค่าของการบริหารความเสี่ยงต่อองค์กร มิฉะนั้นแล้วการบริหารความเสี่ยงไม่สามารถเกิดขึ้นได้ การบริหารความเสี่ยงต้องเริ่มต้นจากการที่กรรมการผู้จัดการ หรือผู้นำสูงสุดขององค์กร ต้องการให้ระบบนี้เกิดขึ้น โดยกำหนดนโยบายให้มีการปฏิบัติ รวมถึงการกำหนดให้ผู้บริหารต้องใช้ข้อมูลเกี่ยวกับความเสี่ยงในการตัดสินใจ และบริหารงาน เป็นต้น

ปัจจัยที่ 2 : ความเข้าใจความหมายความเสี่ยงตรงกัน
การใช้คำนิยามเกี่ยวกับความเสี่ยงและการบริหารความเสี่ยงแบบเดียวกัน จะทำให้เกิดความมีประสิทธิภาพในการกำหนดวัตถุประสงค์ นโยบาย กระบวนการ เพื่อใช้ในการบ่งชี้และประเมินความเสี่ยง และกำหนดวิธีการจัดการความเสี่ยงที่เหมาะสม

การจัดทำกรอบและนโยบายการบริหารความเสี่ยงที่มีความชัดเจน จะทำให้ผู้บริหารและพนักงานทุกคนใช้ภาษาความเสี่ยงในแนวทางเดียวกันและมีจุดหมายร่วมกันในการบริหารความเสี่ยง

ปัจจัยที่ 3 : กระบวนการบริหารความเสี่ยง ดำเนินการอย่างต่อเนื่อง
การที่องค์กรทั่วไป จะประสบความสำเร็จในการปฏิบัติตามกระบวนการบริหารความเสี่ยงได้นั้น รูปแบบการบริหารความเสี่ยงขององค์กรจะต้องมีการกำหนดขึ้น และเป็นความรับผิดชอบของผู้บริหารในทุกระดับที่จะนำกระบวนการบริหารความเสี่ยงมาปฏิบัติได้อย่างทั่วถึงทั้งองค์กร และต้องกระทำอย่างต่อเนื่อง สม่ำเสมอ

ปัจจัยที่ 4 : การบริหารการเปลี่ยนแปลง ต้องมีการชี้แจง
ในการนำเอากระบวนการบริหารความเสี่ยงมาปฏิบัติ จำเป็นต้องมีการปรับวัฒนธรรมการบริหารความเสี่ยงขององค์กรให้กับเข้าทุกระดับขององค์กร และต้องให้ผู้บริหารและพนักงานทุกคนได้ทราบถึงการเปลี่ยนแปลงและผลที่องค์กร และแต่ละบุคคลจะได้รับจากการเปลี่ยนแปลงนั้น

องค์ประกอบที่สำคัญของการเปลี่ยนแปลง
– กำหนดความคาดหวังที่เป็นไปได้ในทางปฏิบัติตั้งแต่เริ่มต้นโครงการ
– กำหนดระยะเวลาของกระบวนการเปลี่ยนแปลงและสื่อให้กับผู้ที่เกี่ยวข้องได้รับทราบ
– กำหนดลักษณะและระดับของความพยายามที่ต้องการ
– ดำเนินการเพื่อให้มั่นใจว่ามีการสื่อสารไปยังทุกฝ่ายที่ได้รับผลกระทบจากการเปลี่ยนแปลง
– ระบุปัญหา อุปสรรคที่ต้องดำเนินการแก้ไขตั้งแต่เริ่มแรก

ปัจจัยที่ 5 : การสื่อสารที่มีคุณภาพเชื่อมโยงกับกลยุทธ์
วัตถุประสงค์ของการสื่อสารอย่างมีประสิทธิผลนั้น ต้องให้มั่นใจได้ว่า
– ผู้บริหารได้รับข้อมูลเกี่ยวกับความเสี่ยงที่ถูกต้องและทันเวลา
– ผู้บริหารสามารถจัดการกับความเสี่ยงตามลำดับความสำคัญ หรือตามการเปลี่ยนแปลงหรือความเสี่ยงที่เกิดขึ้นใหม่ได้ทันท่วงที
– มีการติดตามแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อนำมาใช้ปรับปรุงการบริหารองค์กร และจัดการความเสี่ยงต่าง ๆ เพื่อให้องค์กรมีโอกาสในการบรรลุวัตถุประสงค์ได้มากที่สุด

การสื่อสารเกี่ยวกับกลยุทธ์การบริหารความเสี่ยง และวิธีปฏิบัติมีความสำคัญอย่างมาก เพราะการสื่อสารจะเน้นให้เห็นถึงการเชื่อมโยง ระหว่างการบริหารความเสี่ยงกับกลยุทธ์องค์กร การชี้แจงทำความเข้าใจต่อพนักงานทุกคนถึงความรับผิดชอบของแต่ละบุคคลต่อกระบวนการบริหารความเสี่ยง จะช่วยให้เกิดการยอมรับในกระบวนการ และนำมาซึ่งความสำเร็จในการพัฒนาการบริหารความเสี่ยง โดยควรได้รับการสนับสนุนทั้งทางวาจา และในทางปฏิบัติจากกรรมการผู้จัดการและผู้บริหารระดับสูงของ องค์กร

ปัจจัยที่ 6 : การวัดผลการบริหารความเสี่ยง ควบคู่กับกระบวนการด้านบุคลากร
– การวัดความเสี่ยงในรูปแบบของผลกระทบและโอกาสที่อาจเกิดขึ้น เพื่อให้ผู้บริหารสามารถประเมินความเสี่ยงที่เกิดขึ้นและดำเนินการให้กระบวนการทั้งหมดเกิดความสอดคล้องกันอย่างมีประสิทธิภาพและประสิทธิผล และเป็นการลดความแตกต่างระหว่างความเสี่ยงที่เกิดขึ้น และความเสี่ยงที่องค์กรยอมรับ

– การวัดความสำเร็จของการบริหารความเสี่ยงโดยอาศัยดัชนีวัดผลการดำเนินงาน ซึ่งอาจกำหนดเป็นระดับองค์กร ฝ่ายงาน หรือของแต่ละบุคคล การใช้ดัชนีวัดผลการดำเนินงานนี้อาจปฏิบัติร่วมกับกระบวนการด้านทรัพยากรบุคคล

ปัจจัยที่ 7 : การฝึกอบรม ความรู้ ความรับผิดชอบการบริหารความเสี่ยง
กรรมการ ผู้บริหาร และพนักงานทุกคนในองค์กร ควรต้องได้รับการฝึกอบรมเพื่อให้เข้าใจกรอบการบริหารความเสี่ยง และความรับผิดชอบของแต่ละบุคคลในการจัดการความเสี่ยง เพื่อบรรลุความสำเร็จขององค์กร การสื่อสารข้อมูลเกี่ยวกับความเสี่ยง การฝึกอบรมในองค์กรควรต้องคำนึงถึงประเด็น ดังต่อไปนี้
– ความแตกต่างกันของระดับความรับผิดชอบ ในการบริหารความเสี่ยง
– ความรู้เกี่ยวกับความเสี่ยง และการบริหารความเสี่ยงที่มีอยู่แล้วในองค์กร
พนักงานใหม่ทุกคน ควรได้รับการฝึกอบรม เพื่อให้มีความเข้าใจในความรับผิดชอบต่อความเสี่ยง และกระบวนการบริหารความเสี่ยงด้วยเช่นกัน

ระบบการประเมินผลการดำเนินงาน ถือเป็นเครื่องมือสำคัญที่ใช้ในการส่งเสริมความรับผิดชอบของแต่ละบุคคล โดยความรับผิดชอบเกี่ยวกับการบริหารความเสี่ยง ควรกำหนดรวมอยู่ในงานที่แต่ละบุคคลรับผิดชอบ และในคำอธิบายลักษณะงาน (Job Description) การประเมินผลการดำเนินงานส่วนที่เกี่ยวกับการบริหารความเสี่ยง มีประเด็นที่ควรประเมินดังต่อไปนี้
– ความรับผิดชอบ และการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลมีต่อองค์กร
– การวัดระดับของความเสี่ยงที่บุคคลนั้น เป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

ปัจจัยที่ 8 : การติดตามกระบวนการบริหารความเสี่ยง
ขั้นตอนสุดท้ายของปัจจัยสำคัญต่อความสำเร็จของการบริหารความเสี่ยง คือ การกำหนดวิธีที่เหมาะสมในการติดตามการบริหารความเสี่ยง

การติดตามกระบวนการบริหารความเสี่ยง ควรพิจารณาประเด็นต่อไปนี้
– การรายงาน และสอบทานขั้นตอนตามกระบวนการบริหารความเสี่ยง
– ความชัดเจนและสม่ำเสมอของการมีส่วนร่วม และความมุ่งมั่นของผู้บริหารระดับสูง
– บทบาทของผู้นำในการสนับสนุน และติดตามการบริหารความเสี่ยง
– การประยุกต์ใช้เกณฑ์การประเมินผลการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

เมษายน 30, 2009

จากที่ได้กล่าวไปแล้วว่า ผมจะพูดถึงหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงในครั้งนี้ ฉะนั้น การบริหารความเสี่ยงขององค์กรจะมีหลักการอย่างไร และจะมีปัจจัยใดบ้างที่เกี่ยวข้องและมีผลกระทบต่อความสำเร็จขององค์กร ติดตามกันต่อได้เลยครับ

หลักการบริหารความเสี่ยง
หลักการบริหารความเสี่ยงประกอบด้วยพื้นฐาน 2 ประการคือ หลักการ ORCA และปัจจัยที่ทำให้การนำกรอบการบริหารความเสี่ยงไปปฏิบัติประสบผลสำเร็จ

หลักการบริหารความเสี่ยง = หลักการ ORCA + ปัจจัยสำคัญที่ทำให้ประสบความสำเร็จ

หลักการ ORCA เป็นคำย่อของ Objectives – วัตถุประสงค์ / Risk – ความเสี่ยง / Control – การควบคุมภายใน Alignment – ความสอดคล้องกัน ซึ่งเป็นแนวทางที่มีเหตุผลดังนี้
1. การกำหนดวัตถุประสงค์ที่ชัดเจนขององค์กร
2. การประเมินความเสี่ยงที่อาจทำให้ไม่สามารถบรรลุวัตถุประสงค์ การประเมินความเสี่ยงเป็นการบ่งชี้และวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับความสามารถในการบรรลุวัตถุประสงค์และเป็นแนวทางพื้นฐานในการกำหนดการควบคุมภายในเพื่อใช้สำหรับการจัดการความเสี่ยง เป็นกระบวนการต่อเนื่อง ทั้งนี้เนื่องจากภาวะทางเศรษฐกิจ อุตสาหกรรม กฎ ระเบียบ และการปฏิบัติงานมีการเปลี่ยนแปลงอยู่ตลอดเวลา
3. สร้างการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงขององค์กร การควบคุมที่ไม่เพียงพออาจทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้
4. ดำเนินการเพื่อให้มั่นใจว่ามีความสอดคล้องกันระหว่างวัตถุประสงค์ ความเสี่ยงและการควบคุมทั่วทั้งองค์กร

ปัจจัยสำคัญต่อความสำเร็จในการบริหารความเสี่ยง
ปัจจัยสำคัญ 8 ประการ เพื่อช่วยให้การปฏิบัติตามกรอบการบริหารความเสี่ยงประสบความสำเร็จ มีดังนี้

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

ปัจจัยที่ 1 : การสนับสนุนจากผู้บริหารระดับสูง
การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กร จะประสบความสำเร็จเพียงใดขึ้นอยู่กับเจตนารมณ์ การสนับสนุน การมีส่วนร่วม และความเป็นผู้นำของผู้บริหารระดับสูงในองค์กร

คณะกรรมการ และผู้บริหารระดับสูงขององค์กรทั่วไป ต้องให้ความสำคัญและสนับสนุนให้ทุกคนในองค์กรเข้าใจความสำคัญในคุณค่าของการบริหารความเสี่ยงต่อองค์กร มิฉะนั้นแล้วการบริหารความเสี่ยงไม่สามารถเกิดขึ้นได้ การบริหารความเสี่ยงต้องเริ่มต้นจากการที่กรรมการผู้จัดการ หรือผู้นำสูงสุดขององค์กร ต้องการให้ระบบนี้เกิดขึ้น โดยกำหนดนโยบายให้มีการปฏิบัติ รวมถึงการกำหนดให้ผู้บริหารต้องใช้ข้อมูลเกี่ยวกับความเสี่ยงในการตัดสินใจ และบริหารงาน เป็นต้น

ปัจจัยที่ 2 : ความเข้าใจความหมายความเสี่ยงตรงกัน
การใช้คำนิยามเกี่ยวกับความเสี่ยงและการบริหารความเสี่ยงแบบเดียวกัน จะทำให้เกิดความมีประสิทธิภาพในการกำหนดวัตถุประสงค์ นโยบาย กระบวนการ เพื่อใช้ในการบ่งชี้และประเมินความเสี่ยง และกำหนดวิธีการจัดการความเสี่ยงที่เหมาะสม

การจัดทำกรอบและนโยบายการบริหารความเสี่ยงที่มีความชัดเจน จะทำให้ผู้บริหารและพนักงานทุกคนใช้ภาษาความเสี่ยงในแนวทางเดียวกันและมีจุดหมายร่วมกันในการบริหารความเสี่ยง

ปัจจัยที่ 3 : กระบวนการบริหารความเสี่ยง ดำเนินการอย่างต่อเนื่อง
การที่องค์กรทั่วไป จะประสบความสำเร็จในการปฏิบัติตามกระบวนการบริหารความเสี่ยงได้นั้น รูปแบบการบริหารความเสี่ยงขององค์กรจะต้องมีการกำหนดขึ้น และเป็นความรับผิดชอบของผู้บริหารในทุกระดับที่จะนำกระบวนการบริหารความเสี่ยงมาปฏิบัติได้อย่างทั่วถึงทั้งองค์กร และต้องกระทำอย่างต่อเนื่อง สม่ำเสมอ

ปัจจัยที่ 4 : การบริหารการเปลี่ยนแปลง ต้องมีการชี้แจง
ในการนำเอากระบวนการบริหารความเสี่ยงมาปฏิบัติ จำเป็นต้องมีการปรับวัฒนธรรมการบริหารความเสี่ยงขององค์กรให้กับเข้าทุกระดับขององค์กร และต้องให้ผู้บริหารและพนักงานทุกคนได้ทราบถึงการเปลี่ยนแปลงและผลที่องค์กร และแต่ละบุคคลจะได้รับจากการเปลี่ยนแปลงนั้น

องค์ประกอบที่สำคัญของการเปลี่ยนแปลง
– กำหนดความคาดหวังที่เป็นไปได้ในทางปฏิบัติตั้งแต่เริ่มต้นโครงการ
– กำหนดระยะเวลาของกระบวนการเปลี่ยนแปลงและสื่อให้กับผู้ที่เกี่ยวข้องได้รับทราบ
– กำหนดลักษณะและระดับของความพยายามที่ต้องการ
– ดำเนินการเพื่อให้มั่นใจว่ามีการสื่อสารไปยังทุกฝ่ายที่ได้รับผลกระทบจากการเปลี่ยนแปลง
– ระบุปัญหา อุปสรรคที่ต้องดำเนินการแก้ไขตั้งแต่เริ่มแรก

ปัจจัยที่ 5 : การสื่อสารที่มีคุณภาพเชื่อมโยงกับกลยุทธ์
วัตถุประสงค์ของการสื่อสารอย่างมีประสิทธิผลนั้น ต้องให้มั่นใจได้ว่า
– ผู้บริหารได้รับข้อมูลเกี่ยวกับความเสี่ยงที่ถูกต้องและทันเวลา
– ผู้บริหารสามารถจัดการกับความเสี่ยงตามลำดับความสำคัญ หรือตามการเปลี่ยนแปลงหรือความเสี่ยงที่เกิดขึ้นใหม่ได้ทันท่วงที
– มีการติดตามแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อนำมาใช้ปรับปรุงการบริหารองค์กร และจัดการความเสี่ยงต่าง ๆ เพื่อให้องค์กรมีโอกาสในการบรรลุวัตถุประสงค์ได้มากที่สุด

การสื่อสารเกี่ยวกับกลยุทธ์การบริหารความเสี่ยง และวิธีปฏิบัติมีความสำคัญอย่างมาก เพราะการสื่อสารจะเน้นให้เห็นถึงการเชื่อมโยง ระหว่างการบริหารความเสี่ยงกับกลยุทธ์องค์กร การชี้แจงทำความเข้าใจต่อพนักงานทุกคนถึงความรับผิดชอบของแต่ละบุคคลต่อกระบวนการบริหารความเสี่ยง จะช่วยให้เกิดการยอมรับในกระบวนการ และนำมาซึ่งความสำเร็จในการพัฒนาการบริหารความเสี่ยง โดยควรได้รับการสนับสนุนทั้งทางวาจา และในทางปฏิบัติจากกรรมการผู้จัดการและผู้บริหารระดับสูงของ องค์กร

ปัจจัยที่ 6 : การวัดผลการบริหารความเสี่ยง ควบคู่กับกระบวนการด้านบุคลากร
– การวัดความเสี่ยงในรูปแบบของผลกระทบและโอกาสที่อาจเกิดขึ้น เพื่อให้ผู้บริหารสามารถประเมินความเสี่ยงที่เกิดขึ้นและดำเนินการให้กระบวนการทั้งหมดเกิดความสอดคล้องกันอย่างมีประสิทธิภาพและประสิทธิผล และเป็นการลดความแตกต่างระหว่างความเสี่ยงที่เกิดขึ้น และความเสี่ยงที่องค์กรยอมรับ

– การวัดความสำเร็จของการบริหารความเสี่ยงโดยอาศัยดัชนีวัดผลการดำเนินงาน ซึ่งอาจกำหนดเป็นระดับองค์กร ฝ่ายงาน หรือของแต่ละบุคคล การใช้ดัชนีวัดผลการดำเนินงานนี้อาจปฏิบัติร่วมกับกระบวนการด้านทรัพยากรบุคคล

ปัจจัยที่ 7 : การฝึกอบรม ความรู้ ความรับผิดชอบการบริหารความเสี่ยง
กรรมการ ผู้บริหาร และพนักงานทุกคนในองค์กร ควรต้องได้รับการฝึกอบรมเพื่อให้เข้าใจกรอบการบริหารความเสี่ยง และความรับผิดชอบของแต่ละบุคคลในการจัดการความเสี่ยง เพื่อบรรลุความสำเร็จขององค์กร การสื่อสารข้อมูลเกี่ยวกับความเสี่ยง การฝึกอบรมในองค์กรควรต้องคำนึงถึงประเด็น ดังต่อไปนี้
– ความแตกต่างกันของระดับความรับผิดชอบ ในการบริหารความเสี่ยง
– ความรู้เกี่ยวกับความเสี่ยง และการบริหารความเสี่ยงที่มีอยู่แล้วในองค์กร
พนักงานใหม่ทุกคน ควรได้รับการฝึกอบรม เพื่อให้มีความเข้าใจในความรับผิดชอบต่อความเสี่ยง และกระบวนการบริหารความเสี่ยงด้วยเช่นกัน

ระบบการประเมินผลการดำเนินงาน ถือเป็นเครื่องมือสำคัญที่ใช้ในการส่งเสริมความรับผิดชอบของแต่ละบุคคล โดยความรับผิดชอบเกี่ยวกับการบริหารความเสี่ยง ควรกำหนดรวมอยู่ในงานที่แต่ละบุคคลรับผิดชอบ และในคำอธิบายลักษณะงาน (Job Description) การประเมินผลการดำเนินงานส่วนที่เกี่ยวกับการบริหารความเสี่ยง มีประเด็นที่ควรประเมินดังต่อไปนี้
– ความรับผิดชอบ และการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลมีต่อองค์กร
– การวัดระดับของความเสี่ยงที่บุคคลนั้น เป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

ปัจจัยที่ 8 : การติดตามกระบวนการบริหารความเสี่ยง
ขั้นตอนสุดท้ายของปัจจัยสำคัญต่อความสำเร็จของการบริหารความเสี่ยง คือ การกำหนดวิธีที่เหมาะสมในการติดตามการบริหารความเสี่ยง

การติดตามกระบวนการบริหารความเสี่ยง ควรพิจารณาประเด็นต่อไปนี้
– การรายงาน และสอบทานขั้นตอนตามกระบวนการบริหารความเสี่ยง
– ความชัดเจนและสม่ำเสมอของการมีส่วนร่วม และความมุ่งมั่นของผู้บริหารระดับสูง
– บทบาทของผู้นำในการสนับสนุน และติดตามการบริหารความเสี่ยง
– การประยุกต์ใช้เกณฑ์การประเมินผลการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยง

1 ความเห็น | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

เมษายน 28, 2009

สวัสดีครับ ห่างหายกันไปนาน เดี๋ยวจะหาว่าผมหยุดพักผ่อนสงกรานต์นานไปหน่อย จริง ๆ แล้วไม่ได้หายไปไหนหรอกครับ แต่ตั้งแต่ช่วงสงกรานต์ที่ผ่านมาระบบอินเตอร์เน็ตที่ผมใช้งานอยู่เกิดเสียขึ้นมา ก็ต้องขอโทษด้วยสำหรับผู้อ่านที่กำลังติดตามแนวทาง/กรอบการบริหารความเสี่ยงขององค์กรกันอยู่

วันนี้ผมจะขอทบทวนในเรื่องของกรอบแนวความคิดของการบริหารความเสี่ยงกันอีกนึดนึง หลังจากที่ได้หายไปนาน ซึ่งวัตถุประสงค์สำคัญของกรอบแนวคิดนี้คือ การช่วยให้องค์กรทั่วไปจัดการกับความเสี่ยงที่เกิดขึ้นในการบรรลุวัตถุประสงค์ที่กำหนดไว้ แต่ความหมายของ ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กร จะมีความแตกต่างกันไปในแต่ละคน จึงจำเป็นต้องมีการบูรณาการแนวความคิด เรื่องความเสี่ยงออกมาเป็นกรอบเพื่อเป็นความหมายที่เข้าใจได้ตรงกันโดยทั่วไปและสามารถระบุองค์ประกอบได้

ภาพด้านล่างนี้จะทำให้เข้าใจภาพโดยรวมของ ERM ได้ชัดเจนยิ่งขึ้นครับ

ERM 8 ประการ

ERM 8 ประการ

คำจำกัดความการจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
การจัดการความเสี่ยงขององค์กร เป็นกระบวนการที่คณะกรรมการบริหาร และพนักงานทุกคน/ผู้ที่เกี่ยวข้องขององค์กร ประยุกต์ใช้ในการกำหนดกลยุทธ์ที่ออกแบบมาเพื่อจัดการกับเหตุการณ์ที่เป็นความไม่แน่นอนที่อาจส่งผลกระทบต่อองค์กรและบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ อันเป็นการประกันการบรรลุวัตถุประสงค์อย่างสมเหตุสมผลอย่างเป็นระบบตามหลักการบริหารงานยุคใหม่

คำจำกัดความดังกล่าวสะท้อนให้เห็นแนวคิดพื้นฐานของ ERM ดังนี้
1. เป็นกระบวนการ
มีเป้าหมายแต่ไม่มีจุดสิ้นสุดในตัวเอง ไม่ได้เป็นเพียงเหตุการณ์หรือสถานการณ์เพียงครั้งเดียวแต่มีลักษณะเป็นชุดของการกระทำที่ซึมซับเข้าไปเป็นกิจกรรมขององค์กรในการดำเนินธุรกิจ

2. ส่งผลกระทบต่อบุคลากร
ไม่ได้เป็นเพียงนโยบาย การสำรวจหรือรูปแบบ แต่เกี่ยวเนื่องกับคนทุกระดับขององค์กร ตั้งแต่คณะกรรมการบริหาร จนถึงพนักงานระดับปฏิบัติการ ผู้บริหารและพนักงาน จะเป็นผู้กำหนดวิสัยทัศน์ ภารกิจ กลยุทธ์และวัตถุประสงค์ขององค์กรและนำเอา ERM มาเป็นเครื่องมือในการทำให้สิ่งต่าง ๆ เกิดขึ้นจริงและมีผลในทางปฏิบัติ

3. นำมาประยุกต์ใช้กับการกำหนดกลยุทธ์
องค์กรจะกำหนดวิสัยทัศน์ หรือภารกิจ และกำหนดวัตถุประสงค์เชิงกลยุทธ์ และกลยุทธ์/ยุทธศาสตร์ที่เกี่ยวเนื่องในการทำให้บรรลุวัตถุประสงค์ขึ้นมา

ERM จะถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์โดยฝ่ายบริหารจะพิจารณาถึงความเสี่ยงที่เกี่ยวข้องกับกลยุทธ์ที่เป็นทางเลือก เช่น ทางเลือกที่ 1 คือต้องการให้องค์กรมีส่วนแบ่งทางการตลาดเพิ่มขึ้น ทางเลือกที่ 2 คือต้องการตัดต้นทุนค่าใช้จ่ายเพื่อให้ได้กำไรมากขึ้น แต่ละทางเลือกก็จะประกอบด้วยความเสี่ยงจำนวนมาก ถ้าฝ่ายบริหารเลือกทางเลือกที่ 1 โดยอาจขยายธุรกิจไปสู่ตลาดใหม่ ๆ ที่ไม่คุ้นเคย อาจทำให้องค์กรไม่สามารถแข่งขันกับคู่แข่งที่อยู่ในตลาดเดิมอยู่แล้วได้อันจะทำให้องค์กรไม่สามารถนำกลยุทธ์นั้นไปปฏิบัติได้ สำหรับทางเลือกที่ 2 ความเสี่ยงที่เกิดขึ้นคือ การใช้เทคโนโลยีและ suppliers ใหม่ ๆ หรือจากพันธมิตรต่าง ๆ ที่เกี่ยวข้อง จึงต้องมีการประยุกต์นำ ERM มาใช้ในระดับนี้ เพื่อกำหนดกลยุทธ์/ยุทธศาสตร์ขององค์กร

4. นำมาประยุกต์ใช้ทุกระดับและทุกหน่วยงาน
การนำ ERM มาใช้ให้เกิดประโยชน์ ฝ่ายบริหารและผู้ที่เกี่ยวข้องของ องค์กร จะต้องพิจารณาขอบข่ายของกิจกรรมทั้งหมดในทุกระดับขององค์กร ตั้งแต่กิจกรรมในระดับองค์กร เช่น การวางแผนกลยุทธ์และการจัดสรรทรัพยากร ในระดับกิจกรรมของหน่วยธุรกิจ การตลาดและทรัพยากรมนุษย์ ในระดับกระบวนการทางธุรกิจ เช่น การผลิตและการตรวจสอบเครดิตลูกค้าใหม่ ERM ยังสามารถประยุกต์ใช้กับโครงการพิเศษและนวัตกรรมใหม่ ๆ ได้ด้วย ฝ่ายบริหารต้องพิจารณาความเสี่ยงที่เกี่ยวเนื่องและบริหารจัดการให้เหลือความเสี่ยงที่ยอมรับได้ที่มีผลต่อแผนงาน/โครงการตามพันธกิจและกลยุทธ์ที่เกี่ยวข้อง

5. ออกแบบมาเพื่อกำหนดเหตุการณ์ที่เป็นไปได้ที่จะมีผลกระทบกับองค์กร และมีการบริหารความเสี่ยงให้อยู่ภายในความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้ คือ จำนวนความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับ กลยุทธ์ที่แตกต่างกันย่อมทำให้องค์กรต้องเผชิญกับความเสี่ยงที่แตกต่างกัน ERM จะช่วยให้ฝ่ายบริหารสามารถเลือกกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ให้กับองค์กร

ความเสี่ยงที่ยอมรับได้ขององค์กร จะเป็นแนวทางในการจัดสรรทรัพยากร ฝ่ายบริหารจะจัดสรรทรัพยากรให้กับหน่วยธุรกิจ โดยพิจารณาจากความเสี่ยงที่ยอมรับได้ของธุรกิจและกลยุทธ์ในการสร้างผลตอบแทนจากทรัพยากรที่ลงทุนไปของแต่ละหน่วยธุรกิจ

6. สร้างความเชื่อมั่นอย่างสมเหตุสมผลต่อการบริหารขององค์กร และคณะกรรมการ
การออกแบบและบริหาร ERM ที่ดีช่วยให้คณะกรรมการบริหารเกิดความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร ในเรื่องดังนี้
– เข้าใจขอบเขตในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ขององค์กร
– เข้าใจขอบเขตของการบรรลุวัตถุประสงค์เชิงปฏิบัติการขององค์กร
– รายงานขององค์กรมีความเชื่อถือได้
– การปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

7. เป็นเครื่องมือในการบรรลุวัตถุประสงค์ขององค์กร
คำจำกัดความนี้เป็นแนวคิดพื้นฐานว่า องค์กรทั่วไปจะบริหารความเสี่ยงได้อย่างไร โดยจะมุ่งเน้นถึงการบรรลุวัตถุประสงค์หรือเป้าหมายรวมขององค์กร

กรอบแนวคิดนี้แสดงให้เห็นวัตถุประสงค์ขององค์กรในเรื่องต่าง ๆ ดังนี้
กลยุทธ์ เกี่ยวข้องกับเป้าหมายในระดับสูง โดยการสร้างความสอดคล้องและสนับสนุนภารกิจขององค์กร
การดำเนินงาน เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ทรัพยากรขององค์กร
การรายงาน เกี่ยวข้องกับความน่าเชื่อถือของรายงานขององค์กร
การปฏิบัติตาม เกี่ยวข้องกับการปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

ครั้งหน้า ผมจะเล่าเรื่องหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงต่อครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

เมษายน 28, 2009

สวัสดีครับ ห่างหายกันไปนาน เดี๋ยวจะหาว่าผมหยุดพักผ่อนสงกรานต์นานไปหน่อย จริง ๆ แล้วไม่ได้หายไปไหนหรอกครับ แต่ตั้งแต่ช่วงสงกรานต์ที่ผ่านมาระบบอินเตอร์เน็ตที่ผมใช้งานอยู่เกิดเสียขึ้นมา ก็ต้องขอโทษด้วยสำหรับผู้อ่านที่กำลังติดตามแนวทาง/กรอบการบริหารความเสี่ยงขององค์กรกันอยู่

วันนี้ผมจะขอทบทวนในเรื่องของกรอบแนวความคิดของการบริหารความเสี่ยงกันอีกนึดนึง หลังจากที่ได้หายไปนาน ซึ่งวัตถุประสงค์สำคัญของกรอบแนวคิดนี้คือ การช่วยให้องค์กรทั่วไปจัดการกับความเสี่ยงที่เกิดขึ้นในการบรรลุวัตถุประสงค์ที่กำหนดไว้ แต่ความหมายของ ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กร จะมีความแตกต่างกันไปในแต่ละคน จึงจำเป็นต้องมีการบูรณาการแนวความคิด เรื่องความเสี่ยงออกมาเป็นกรอบเพื่อเป็นความหมายที่เข้าใจได้ตรงกันโดยทั่วไปและสามารถระบุองค์ประกอบได้

ภาพด้านล่างนี้จะทำให้เข้าใจภาพโดยรวมของ ERM ได้ชัดเจนยิ่งขึ้นครับ

ERM 8 ประการ

ERM 8 ประการ

คำจำกัดความการจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
การจัดการความเสี่ยงขององค์กร เป็นกระบวนการที่คณะกรรมการบริหาร และพนักงานทุกคน/ผู้ที่เกี่ยวข้องขององค์กร ประยุกต์ใช้ในการกำหนดกลยุทธ์ที่ออกแบบมาเพื่อจัดการกับเหตุการณ์ที่เป็นความไม่แน่นอนที่อาจส่งผลกระทบต่อองค์กรและบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ อันเป็นการประกันการบรรลุวัตถุประสงค์อย่างสมเหตุสมผลอย่างเป็นระบบตามหลักการบริหารงานยุคใหม่

คำจำกัดความดังกล่าวสะท้อนให้เห็นแนวคิดพื้นฐานของ ERM ดังนี้
1. เป็นกระบวนการ
มีเป้าหมายแต่ไม่มีจุดสิ้นสุดในตัวเอง ไม่ได้เป็นเพียงเหตุการณ์หรือสถานการณ์เพียงครั้งเดียวแต่มีลักษณะเป็นชุดของการกระทำที่ซึมซับเข้าไปเป็นกิจกรรมขององค์กรในการดำเนินธุรกิจ

2. ส่งผลกระทบต่อบุคลากร
ไม่ได้เป็นเพียงนโยบาย การสำรวจหรือรูปแบบ แต่เกี่ยวเนื่องกับคนทุกระดับขององค์กร ตั้งแต่คณะกรรมการบริหาร จนถึงพนักงานระดับปฏิบัติการ ผู้บริหารและพนักงาน จะเป็นผู้กำหนดวิสัยทัศน์ ภารกิจ กลยุทธ์และวัตถุประสงค์ขององค์กรและนำเอา ERM มาเป็นเครื่องมือในการทำให้สิ่งต่าง ๆ เกิดขึ้นจริงและมีผลในทางปฏิบัติ

3. นำมาประยุกต์ใช้กับการกำหนดกลยุทธ์
องค์กรจะกำหนดวิสัยทัศน์ หรือภารกิจ และกำหนดวัตถุประสงค์เชิงกลยุทธ์ และกลยุทธ์/ยุทธศาสตร์ที่เกี่ยวเนื่องในการทำให้บรรลุวัตถุประสงค์ขึ้นมา

ERM จะถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์โดยฝ่ายบริหารจะพิจารณาถึงความเสี่ยงที่เกี่ยวข้องกับกลยุทธ์ที่เป็นทางเลือก เช่น ทางเลือกที่ 1 คือต้องการให้องค์กรมีส่วนแบ่งทางการตลาดเพิ่มขึ้น ทางเลือกที่ 2 คือต้องการตัดต้นทุนค่าใช้จ่ายเพื่อให้ได้กำไรมากขึ้น แต่ละทางเลือกก็จะประกอบด้วยความเสี่ยงจำนวนมาก ถ้าฝ่ายบริหารเลือกทางเลือกที่ 1 โดยอาจขยายธุรกิจไปสู่ตลาดใหม่ ๆ ที่ไม่คุ้นเคย อาจทำให้องค์กรไม่สามารถแข่งขันกับคู่แข่งที่อยู่ในตลาดเดิมอยู่แล้วได้อันจะทำให้องค์กรไม่สามารถนำกลยุทธ์นั้นไปปฏิบัติได้ สำหรับทางเลือกที่ 2 ความเสี่ยงที่เกิดขึ้นคือ การใช้เทคโนโลยีและ suppliers ใหม่ ๆ หรือจากพันธมิตรต่าง ๆ ที่เกี่ยวข้อง จึงต้องมีการประยุกต์นำ ERM มาใช้ในระดับนี้ เพื่อกำหนดกลยุทธ์/ยุทธศาสตร์ขององค์กร

4. นำมาประยุกต์ใช้ทุกระดับและทุกหน่วยงาน
การนำ ERM มาใช้ให้เกิดประโยชน์ ฝ่ายบริหารและผู้ที่เกี่ยวข้องของ องค์กร จะต้องพิจารณาขอบข่ายของกิจกรรมทั้งหมดในทุกระดับขององค์กร ตั้งแต่กิจกรรมในระดับองค์กร เช่น การวางแผนกลยุทธ์และการจัดสรรทรัพยากร ในระดับกิจกรรมของหน่วยธุรกิจ การตลาดและทรัพยากรมนุษย์ ในระดับกระบวนการทางธุรกิจ เช่น การผลิตและการตรวจสอบเครดิตลูกค้าใหม่ ERM ยังสามารถประยุกต์ใช้กับโครงการพิเศษและนวัตกรรมใหม่ ๆ ได้ด้วย ฝ่ายบริหารต้องพิจารณาความเสี่ยงที่เกี่ยวเนื่องและบริหารจัดการให้เหลือความเสี่ยงที่ยอมรับได้ที่มีผลต่อแผนงาน/โครงการตามพันธกิจและกลยุทธ์ที่เกี่ยวข้อง

5. ออกแบบมาเพื่อกำหนดเหตุการณ์ที่เป็นไปได้ที่จะมีผลกระทบกับองค์กร และมีการบริหารความเสี่ยงให้อยู่ภายในความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้ คือ จำนวนความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับ กลยุทธ์ที่แตกต่างกันย่อมทำให้องค์กรต้องเผชิญกับความเสี่ยงที่แตกต่างกัน ERM จะช่วยให้ฝ่ายบริหารสามารถเลือกกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ให้กับองค์กร

ความเสี่ยงที่ยอมรับได้ขององค์กร จะเป็นแนวทางในการจัดสรรทรัพยากร ฝ่ายบริหารจะจัดสรรทรัพยากรให้กับหน่วยธุรกิจ โดยพิจารณาจากความเสี่ยงที่ยอมรับได้ของธุรกิจและกลยุทธ์ในการสร้างผลตอบแทนจากทรัพยากรที่ลงทุนไปของแต่ละหน่วยธุรกิจ

6. สร้างความเชื่อมั่นอย่างสมเหตุสมผลต่อการบริหารขององค์กร และคณะกรรมการ
การออกแบบและบริหาร ERM ที่ดีช่วยให้คณะกรรมการบริหารเกิดความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร ในเรื่องดังนี้
– เข้าใจขอบเขตในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ขององค์กร
– เข้าใจขอบเขตของการบรรลุวัตถุประสงค์เชิงปฏิบัติการขององค์กร
– รายงานขององค์กรมีความเชื่อถือได้
– การปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

7. เป็นเครื่องมือในการบรรลุวัตถุประสงค์ขององค์กร
คำจำกัดความนี้เป็นแนวคิดพื้นฐานว่า องค์กรทั่วไปจะบริหารความเสี่ยงได้อย่างไร โดยจะมุ่งเน้นถึงการบรรลุวัตถุประสงค์หรือเป้าหมายรวมขององค์กร

กรอบแนวคิดนี้แสดงให้เห็นวัตถุประสงค์ขององค์กรในเรื่องต่าง ๆ ดังนี้
กลยุทธ์ เกี่ยวข้องกับเป้าหมายในระดับสูง โดยการสร้างความสอดคล้องและสนับสนุนภารกิจขององค์กร
การดำเนินงาน เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ทรัพยากรขององค์กร
การรายงาน เกี่ยวข้องกับความน่าเชื่อถือของรายงานขององค์กร
การปฏิบัติตาม เกี่ยวข้องกับการปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

ครั้งหน้า ผมจะเล่าเรื่องหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงต่อครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/คู่มือการบริหารความเสี่ยงทั่วทั้งองค์กร

เมษายน 25, 2009

วันนี้ ผมจะเล่าสู่กันฟังถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ดังที่ผมเคยกล่าวไว้ในครั้งก่อน ๆ แล้วว่าเป็นปัจจัยสำคัญหลักของ ERM – Enterprise Risk Management โดยเฉพาะอย่างยิ่ง กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในเรื่องของสภาพแวดล้อมภายในองค์กร (Internal Environment) ที่เป็นกระบวนการที่ให้ความสำคัญเป็นอันดับแรก

ผมอยากให้ท่านผู้บริหาร หรือท่านผู้อ่าน เห็นภาพของกระบวนการบริหารความเสี่ยงทั้ง 8 ประการที่กล่าวถึงนี้ว่า มีแนวทางในการบริหารความเสี่ยงและสามารถจะนำไปปฏิบัติได้อย่างไร ก่อนที่จะกล่าวถึงในรายละเอียดต่อไปครับ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

สภาพแวดล้อมภายในองค์กร (Internal Environment)
ภาพแวดล้อมภายในองค์กรเป็นพื้นฐานสำหรับองค์ประกอบอื่น ๆ ของ ERM เพื่อใช้ในการกำหนดหลักเกณฑ์และโครงสร้าง สภาพแวดล้อมภายในมีผลต่อการประเมินและการดำเนินการในการกำหนดกลยุทธ์และวัตถุประสงค์ขององค์กร การกำหนดกิจกรรมทางธุรกิจ และการกระบุความเสี่ยง มีอิทธิพลต่อการออกแบบและการกำหนดหน้าที่ของกิจกรรม ในการควบคุมระบบข้อมูลข่าวสารและการสื่อสาร และกิจกรรมการติดตามดูแล ในทางตรงข้ามสภาพแวดล้อมภายในนั้นก็ได้รับอิทธิพลมาจากประวัติและวัฒนธรรมในอดีตขององค์กร

สภาพแวดล้อมภายในประกอบด้วยองค์ประกอบต่าง ๆ หลายประการ เช่น ค่านิยมทางจริยธรรม ศักยภาพและการพัฒนาของบุคลากร รูปแบบการจัดการของฝ่ายบริหารและวิธีการมอบหมายอำนาจหน้าที่และความรับผิดชอบ คณะกรรมการบริหารเองก็เป็นส่วนหนึ่งของการควบคุมภายในและมีความสำคัญเป็นอย่างมากในการกำหนดสภาพแวดล้อมการควบคุมภายใน แม้ว่าทุกองค์ประกอบจะมีความสำคัญแต่ในองค์กรที่แตกต่างกันก็จะให้ความสำคัญที่แตกต่างกันกันออกไป

สภาพแวดล้อมภายในองค์กร หมายถึงปัจจัยต่าง ๆ ซึ่งผู้บริหารต้องมีการกำหนดร่วมกันกับพนักงานในองค์กร ส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร และเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM

สภาพแวดล้อมภายในองค์กรพิจารณาได้ดังนี้
1. ปรัชญาการบริหารความเสี่ยงขององค์กร
ปรัชญาการบริหารความเสี่ยงขององค์กร เป็นปรัชญาที่คนในองค์กรมีความเข้าใจตระหนักถึงและสามารถนำมาใช้ในการจัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพ ปรัชญาที่ว่าความเชื่อเกี่ยวกับความเสี่ยงและการเลือกวิธีจัดการกับความเสี่ยงขององค์กรทั่วไป จะสะท้อนให้เห็นค่านิยมที่องค์กรแสวงหาจาก ERM และมีอิทธิพลต่อวิธีการจัดการกับองค์ประกอบต่าง ๆ ของความเสี่ยงขององค์กร ทั้งนี้ ปรัชญาการบริหารความเสี่ยงขององค์กรทั่วไป จะต้องสะท้อนให้เห็นถึงนโยบายขององค์กรและมีการสื่อสารให้พนักงานทุกระดับเข้าใจและนำไปสู่การปฏิบัติได้จริง

2. ความเสี่ยงที่ยอมรับได้
ระดับหรือมูลค่าของความเสี่ยงที่องค์กรยอมรับ ฝ่ายบริหารและผู้ที่เกี่ยวข้องจะพิจารณาความเสี่ยงในเชิงคุณภาพในแต่ละประเภทว่าสูง ปานกลาง หรือต่ำ หรืออาจใช้วิธีการเชิงปริมาณเพื่อสะท้อนและสร้างความสมดุลของวัตถุประสงค์เพื่อการเติบโต ผลตอบแทนและความเสี่ยง

ความเสี่ยงที่ยอมรับได้จะต้องเกี่ยวเนื่องกับกลยุทธ์ขององค์กรโดยตรง โดยการนำไปใช้ในการกำหนดกลยุทธ์ ผลตอบแทนที่ต้องการได้รับจากกลยุทธ์ กลยุทธ์ที่ต่างกันจะทำให้องค์กรมีความเสี่ยงที่ต่างกัน ERM จึงถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์ ช่วยผู้บริหารในการเลือกกลยุทธ์เพื่อให้องค์กรมีความเสี่ยงที่ยอมรับได้

3. ความเสี่ยงทางด้านวัฒนธรรม
วัฒนธรรมด้านความเสี่ยงคือทัศนคติร่วมกันขององค์กร คุณค่าและแนวทางการปฏิบัติขององค์กรว่าองค์กรมีการพิจารณาความเสี่ยงแบบไหน ผู้บริหารองค์กรจะเป็นผู้ปรับให้วัฒนธรรมทางด้านความเสี่ยงขององค์กรไปในทิศทางเดียวกับปรัชญาการบริหารความเสี่ยงขององค์กรและความเสี่ยงที่ยอมรับได้

4. วัฒนธรรมย่อยด้านความเสี่ยง
แต่ละหน่วยธุรกิจหรือแต่ละหน่วยงานขององค์กร ความหมายต่างกัน สายงาน/ฝ่ายงานตามหน้าที่ และส่วนต่าง ๆ จะมีลักษณะงาน รวมทั้งวัฒนธรรมการบริหารความเสี่ยงที่แตกต่างกัน ผู้อำนวยการ/ผู้จัดการจึงต้องมีการเตรียมตัวในการเผชิญกับความเสี่ยงมากขึ้น เช่น สายงานหนึ่งอาจเน้นไปยังยอดขายโดยไม่ได้ระวังในเรื่องการปฏิบัติตามกฎเกณฑ์

ส่วนค่านิยมร่วมกันของสายงานอื่นอาจต้องการให้เน้นความสนใจเพื่อให้เกิดความแน่ใจว่ามีการการปฏิบัติตามหลักเกณฑ์ที่เกี่ยวข้อง วัฒนธรรมย่อย ๆ ที่แตกต่างกันนี้อาจส่งผลต่อองค์กรได้ แต่ถ้าสายงานเหล่านี้ทำงานร่วมกัน ส่งเสริมซึ่งกันและกัน วัฒนธรรมที่แตกต่างกันอาจสะท้อนออกมาเป็นความเสี่ยงที่องค์กรยอมรับได้และปรัชญาขององค์กร สำหรับองค์กรทั่วไป สายงานและฝ่ายงานต่าง ๆ ก็มีคุณลักษณะในการบรรลุเป้าหมายและการจัดการกับความเสี่ยงที่ต้องแตกต่างกันด้วย ดังนั้น ความเข้าใจในการบริหารความเสี่ยงในภาพรวมทั้งองค์กร และของแต่ละหน่วยงาน ซึ่งจะถ่ายทอดไปสู่แผนงานและโครงการต่าง ๆ เพื่อก้าวไปสู่เป้าประสงค์ และวิสัยทัศน์ จึงแตกต่างกัน

5. ความตระหนักถึงความเสี่ยงที่แท้จริง
องค์กรทั่วไปที่มีประวัติที่ไม่เคยได้รับความสูญเสียและไม่มีความเสี่ยงที่มีนัยสำคัญที่สังเกตเห็นได้ อาจเชื่อว่าจะมีโอกาสเกิดขึ้น ในขณะที่องค์กรอาจมีพนักงานที่มีความสามารถ มีกระบวนการที่มีประสิทธิผลและเทคโนโลยีที่น่าเชื่อถือได้ มีความหลากหลายของสภาพแวดล้อมภายในและภายนอก ซึ่งสิ่งต่าง ๆ เหล่านี้สามารถเปลี่ยนแปลงได้อย่างรวดเร็ว ฝ่ายบริหารควรตระหนักว่าการดำเนินการที่ดีนั้นย่อมเกิดความอ่อนแอได้ ความอ่อนแอในมิติต่าง ๆ เป็นเรื่องของความเสี่ยง ซึ่งทำให้การบรรลุเป้าหมายอาจเบี่ยงเบนไปได้

6. คณะกรรมการบริหาร
คณะกรรมการบริหารขององค์กร เป็นส่วนหนึ่งของสภาพแวดล้อมภายในที่สำคัญยิ่งและมีอิทธิพลต่อองค์ประกอบของสภาพแวดล้อมภายในอื่น ๆ อย่างมีนัยสำคัญ คณะกรรมการมีความเป็นอิสระจากฝ่ายบริหาร ประสบการณ์และภูมิความรู้ของพนักงาน ขอบเขตขององค์ประกอบและการพิจารณากิจกรรม และความเหมาะสมของการปฏิบัติการ

การบริหารความเสี่ยงขององค์กร ที่ได้ผลไม่อาจเกิดขึ้นได้หากคณะกรรมการบริหารและผู้บริหาร และพนักงานทุกคน มีความเข้าใจที่แตกต่างกันในเรื่องการบริหารเชิงรุกหรือการบริหารความเสี่ยงในภาพโดยรวมทั้งองค์กร

ปัจจุบันสำนักงานตรวจเงินแผ่นดิน (สตง.) และกระทรวงการคลังและหน่วยงานของรัฐ ได้กำหนดเกณฑ์ประเมินผลการบริหารความเสี่ยง IT Governance และการควบคุมภายใน รวมทั้งการตรวจสอบภายในตามฐานความเสี่ยงอย่างเป็นระบบ สำหรับรายงานการบริหารความเสี่ยงของ สตง. มีภาพโดยย่อของการรายงานดังนี้

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ภาพสรุปโดยรวมในมุมมองของการวัดประสิทธิภาพการบริหารความเสี่ยงของกระทรวงการคลัง ดังนี้

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

องค์ประกอบของการพิจารณาการบริหารความเสี่ยงในเรื่องของสภาพแวดล้อมภายในองค์กร ยังมีอีกหลายหัวข้อที่ท่านผู้บริหารต้องพิจารณา ผมจะนำเสนอในโอกาสต่อไปครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Audit Risk & Auditors ในบางมุมมอง

เมษายน 11, 2009

ก่อนช่วงวันหยุดยาวในเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการตรวจสอบที่ผู้ที่เกี่ยวข้องควรจะเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศที่ถูกต้องและน่าเชื่อถือได้ในมุมมองต่าง ๆ ตามที่ได้กล่าวไปแล้วนั้น จะเป็นบันไดขั้นต้นที่สำคัญอย่างยิ่งต่อกระบวนการตรวจสอบและการกำกับของหน่วยงานที่เกี่ยวข้อง

ภาพต่อไปนี้จะช่วยให้ Auditors และผู้บริหารที่เกี่ยวข้องได้เข้าใจถึง Audit Risk บางมุมมองตามที่ผมได้กล่าวข้างต้นได้ดีนะครับ ทั้งนี้ หาก Auditors จะประเมินตนเองในลักษณะ CSA – Control Self Assessment ก็จะเห็นภาพและเกิดความคิดที่เด่นชัดถึง Audit Risk และ Impact ที่เกี่ยวข้องกับกระบวนการตรวจสอบ เพื่อจะได้ทบทวนกระบวนการวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบ รวมทั้งการจัดทำรายงานการตรวจสอบต่อไปครับ

Basel II Components & Audit Understanding & Audit Planning

Basel II Components & Audit Understanding & Audit Planning

ความเสี่ยงที่สำคัญของการตรวจสอบในทุกประเภท (Audit Risk) ทั้ง IT และ Non – IT Audit บางมุมมองก็คือ

1. การละเลย หรือการไม่ให้ความสนใจต่อความถูกต้องและความน่าเชื่อถือได้ รวมทั้งสภาพพร้อมใช้งาน และอื่น ๆ ของสารสนเทศที่ใช้ในการตรวจสอบ โดยมีสาเหตุหลักมาจากผู้บริหารให้ความสำคัญเกี่ยวกับ IT Security ที่มีผลต่อกระบวนการบริหารและการจัดการขององค์กรน้อยกว่าที่ควรจะเป็น++

2. มีการแบ่งแยกหน้าที่ระหว่างการตรวจสอบทางด้าน IT Audit และ Non – IT Audit แต่ขาดการประสานงาน และความร่วมมือ รวมทั้งความเข้าใจร่วมที่มีผลต่อการตรวจสอบ ที่เกิดจาก IT Audit ที่มีต่อ Financial Audit, Compliance Audit, Performance Audit, Operational Audit, Fraud Audit, Management Audit และอื่น ๆ

3. คู่มือหรือแนวทางการตรวจสอบ IT Audit และ Non – IT Audit ขาดความเชื่อมโยงที่อาจจะเรียกว่าเป็นสะพานเชื่อมความเข้าใจ ที่เชื่อมข้อมูลระหว่างผลกระทบต่อ IT Risk ต่อ Business Risk ในแง่มุมต่าง ๆ ที่มีผลต่องบการเงิน รายงานทางการเงิน และรายงานประเภทต่าง ๆ ทั้งนี้เพราะ ขาดการมอง/พิจารณาภาพรวมในระดับ High – Level ที่เป็นรูปธรรม

4. ผลของการตรวจสอบ IT Audit ได้รับความสนใจจากคณะกรรมการตรวจสอบ และผู้บริหารที่เกี่ยวข้องขององค์กร น้อยกว่าผลการตรวจสอบทางด้าน Non – IT Audit เป็นอย่างมาก ทั้ง ๆ ที่รายงานของ IT Audit โดยเฉพาะอย่างยิ่ง รายงานที่เกี่ยวข้องกับ IT Security และการบริหารจัดการสารสนเทศมีผลต่อกระบวนการทาง IT Audit เป็นอย่างมาก

5. ผู้ตรวจสอบจำนวนไม่น้อย ไม่ได้ศึกษา Work flow ของระบบงานที่จะตรวจสอบให้ดีพอว่าส่วนใดที่ Process โดยระบบคอมพิวเตอร์ล้วน ๆ ระบบหรืองานใดที่ Process โดย Manual ล้วน ๆ หรือระบบงานใด หรือกระบวนการงานใดที่ Process โดย IT และ Non – IT ผสมกันไป เช่น ระบบ front office ประมวลผลโดยระบบคอมพิวเตอร์ล้วน ๆ แต่ระบบ middle office และ back office ใช้ระบบ Manual หรือผสมการใช้เครื่องมือคอมพิวเตอร์บางส่วน เช่น excel เข้ามาช่วย ++

ซึ่งกระบวนการประมวลงานตามข้อนี้ จะมีความเสี่ยงจาก Audit Risk และ Operational Risk สูงที่สุด รวมทั้งผลกระทบจากความเสี่ยงในเรื่องนี้จะมีผลต่อ Strategic Risk, Financial Risk, Compliance Risk อย่างสำคัญ ที่อาจมีผลต่อกระบวนการบันทึกบัญชี และการจัดทำรายงานที่อาจจะก่อให้เกิดการผิดพลาด รวมทั้งการทุจริตที่เกิดจากช่องว่างที่เป็นรอยต่อของ Process ลูกผสมของระบบงานนั้น ๆ

เรื่องนี้ไว้หลังสงกรานต์ค่อยกลับมาเล่าสู่กันฟังอีกครั้งครับ

6. ความเสี่ยงที่เกิดจาก Audit Risk ต่อไปก็คือ ผู้ตรวจสอบไม่อาจหาหลักฐานเพื่อประกอบการตรวจสอบได้อย่างเหมาะสม เพื่อสนับสนุนความเห็นประกอบรายงานการตรวจสอบ

7. ผู้ตรวจสอบ ไม่ทราบว่าควรจะตรวจสอบอะไรก่อน – หลัง และผู้กำกับงานตรวจสอบก็ให้ความสนใจในกระบวนการตรวจสอบ โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ ซึ่งเป็นเรื่องสำคัญอย่างยิ่ง

8. การรวบรวมข้อมูลเพื่อการตรวจสอบ ที่เกิดจากความเข้าใจในระดับที่ไม่น่ายอมรับได้ มีผลต่อกระบวนการตรวจสอบอย่างมาก เพราะผู้ตรวจสอบขาดความเข้าใจในระบบการประมวลผลข้อมูล และเทคโนโลยีที่เกี่ยวข้องที่ก้าวหน้าไปอย่างไม่หยุดยั้ง และมีผลโดยตรงต่อประสบการณ์ของผู้ตรวจสอบ และผู้กำกับงานตรวจสอบ

9. การทดสอบระบบการควบคุมที่น่าเชื่อถือได้ของการประมวลผล และกระบวนการบริหารงานต่าง ๆ ซึ่งได้รับอิทธิพลจากการเปลี่ยนแปลงทางเทคโนโลยี และการใช้เครื่องมือใหม่ ๆ อย่างมากนั้น ได้ถูกละเลยเพราะ ผู้ตรวจสอบจำนวนหนึ่งได้ละเลยที่จะปฏิบัติงานในส่วนนี้ เนื่องจากศักยภาพในการตรวจสอบถูกกระทบจาก การประมวลผลในรูปแบบใหม่ ๆ นี่เป็นความเสี่ยงของ Audit Risk อย่างสำคัญ ไม่ว่าจะเป็นการตรวจสอบทางด้าน IT หรือ Non – IT ก็ตาม

10. การทำ Substive Test ซึ่งเป็นการทดสอบรายการทางการเงิน ซึ่งผู้ตรวจสอบเลือกที่จะใช้แทนการตรวจสอบหรือทดสอบการควบคุมในกระบวนการทำงาน โดยเฉพาะอย่างยิ่ง กระบวนการทำงานที่มาจาก IT Process นั้น โดยหลักการก็ใช้ได้ในระดับหนึ่ง และโดยปกติผู้ตรวจสอบก็มักจะใช้หลักการนี้กันอย่างแพร่หลาย เพราะค่อนข้างสะดวก และสอดคล้องกับระดับความรู้ และการตรวจสอบที่เป็นแบบ Conventional Audit ตามปกตินั้น ในหลายกรณีไม่อาจใช้ได้อย่างเหมาะสมกับการประมวลผลยุคใหม่ และเทคโนโลยีใหม่ ๆ เนื่องจากข้อมูลทางการเงินถูกควบคุมจากการประมวลผลด้วยระบบคอมพิวเตอร์ หรือจากการใช้เทคนิคการแก้ไข เปลี่ยนแปลงข้อมูลจาก Super Password หรือ Super ID หรือ จากจุดอ่อนที่มีต่อกระบวนการบริหารจัดการสารสนเทศ

ท่านผู้ตรวจสอบครับ เรื่องนี้เป็นเรื่องสำคัญอย่างยิ่งและยังเป็นจุดอ่อนที่สำคัญมากต่อ Audit Risk ที่ผมจะเล่าสู่กันฟังในโอกาสต่อ ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ดุลยภาพของการบริหารความเสี่ยง กับอาวุธสุดแสบของ US

เมษายน 11, 2009

ช่วงนี้อยู่ในระหว่างช่วงสงกรานต์แล้วนะครับ หลายท่านคงกำลังเดินทางกลับต่างจังหวัด เพื่อเยี่ยมญาติหรือเที่ยวพักผ่อนในวันสงกรานต์ แต่อยากให้ระมัดระวังความปลอดภัยในการเดินทางและการร่วมเล่นน้ำสงกรานต์อย่างเหมาะสม ประกอบกับในช่วงนี้บ้านเมืองเรามีเหตุการณ์ที่ไม่เป็นปกติมากนัก ผู้ที่เกี่ยวข้องกับฝ่ายต่าง ๆ กำลังหาจุดที่เป็นดุลยภาพของการจัดการและการบริหารความเสี่ยงที่เหมาะสมกันอยู่ จุดที่น่าจะลงตัวก็คือ การเคารพกติกาของสังคม และให้ความเป็นธรรมกับทุกฝ่ายที่เกี่ยวข้อง ด้วยความรักและความเมตตา และความเข้าใจกัน โดยคำนึงถึงผลประโยชน์ของชาติเป็นหลัก ซึ่งในฐานะที่ผมคลุกคลีอยู่กับการบริหารความเสี่ยง และความเสี่ยงก็เกิดขึ้นได้เสมอในชีวิตประจำวัน จึงอยากให้ระมัดระวังกันมากเป็นพิเศษในช่วงเทศกาลแบบนี้

ข้อคิดประการหนึ่งของการบริหารความเสี่ยงที่ได้ดุลยภาพ การควบคุมความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง เพื่อก้าวไปสู่การกำกับดูแลกิจการบ้านเมืองที่ดีของชาตินั้น มีข้อคิดที่เป็นคำกลอนที่มีผู้กล่าวอย่างน่าฟังว่า

ระบบดี คนดี นั้นดีแน่
ระบบดี คนแย่ พอแก้ไหว
ระบบแย่ คนดี มีทางไป
ระบบแย่ คนไม่เอาไหน บรรลัยเอย

ขออธิบายสู่กันฟังนะครับว่า คนเป็นผู้สร้างระบบให้ดี และใช้ระบบที่ดีและยอมรับได้นั้นในการควบคุมคน และสังคม หากพบหรือปรากฎต่อมาว่า ระบบที่ว่าดีแล้ว ยังอาจปรับปรุงแก้ไขได้ ก็คนนั่นแหละ ที่เป็นผู้แก้ไขระบบตามกระบวนการให้เป็นไปตามกติกาที่สังคมยอมรับได้ เมื่อมีการรับรองและยอมรับอย่างเป็นขั้นเป็นตอนแล้ว ก็นำระบบที่ปรับปรุงแล้วมาควบคุมคน หรือสังคมให้อยู่ในกติกาที่ยอมรับได้ของประเทศชาติ หรือองค์กรต่อไป

ดังนั้น การบริหารกิจการบ้านเมืองที่ดีตามหลัก CG + ITG ข้อหนึ่งก็คือ การให้ความเป็นธรรม และปฏิบัติโดยเท่าเทียมกัน เพื่อการเติบโตอย่างยั่งยืนของประเทศชาติและองค์กร โดยผู้ที่เกี่ยวข้องต้องมีวิสัยทัศน์ และความรับผิดชอบที่เกี่ยวกับ Responsibility + Accountability เพื่อ Social and Environmental Awareness โดยนำเรื่องของ Promotion of Best Practice มาปฏิบัติอย่างเป็นรูปธรรม หากทำได้อย่างนี้ ความเข้าใจกันจากความคิดที่แตกต่างกันก็จะก้าวสู่จุดดุลยภาพของกระบวนการบริหารความเสี่ยงเพื่อการเติบโตอย่างยั่งยืนนะครับ

การพูดคุยของผมในวันนี้กับท่านผู้อ่านก็คือ การมีสารสนเทศ (Information) ที่ถูกต้อง มีคุณภาพ ทันกาล ตามหลักของ Information Criteria 7 องค์ประกอบของ CobiT ภายใต้ร่ม IT Governance รวมทั้งมีการสื่อสารที่ดี (Communication) ตามหลักการของ COSO ซึ่งเป็นหนึ่งใน 8 องค์ประกอบหลักของการบริหารความเสี่ยงในระดับองค์กร หรือประเทศ (ERM – Enterprise Risk Management) ก็จะช่วยให้ประเทศเกิดความมั่นคง ที่เป็นพื้นฐานสำคัญของการพัฒนาเศรษฐกิจ การลงทุน การแข่งขัน และอื่น ๆ ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืน

วันก่อน ผมได้รับเมล์ฉบับหนึ่งที่พูดถึง 10 อาวุธสุดแสบของสหรัฐอเมริกา ผมเห็นว่าน่าจะเข้ากับสถานการณ์ในช่วงนี้พอดี (ผมไม่ได้หมายความว่าน่าจะเอาอาวุธนี้ไปใช้ในสถานการณ์แบบนี้นะครับ) แต่จะขอหยิบยกบางตัวอย่างมาเล่าสู่กันฟังในมุมมองของการบริหารความเสี่ยงที่ผมเข้าใจว่า ประเทศมหาอำนาจทั้งหลายกำลังแข่งขันกันอย่างเต็มที่ในขณะนี้นั้น ก็เพื่อสร้างดุลยภาพของการบริหารความเสี่ยง เพื่อให้เกิดความมั่นคงในประเทศของตนเป็นสำคัญนะครับ

ประเทศไทยจะได้บทเรียนอะไรจากภาพด้านล่างนี้ ก็คงจะขึ้นอยู่กับดุลยพินิจและความเข้าใจในการบริหารความเสี่ยง ที่นำไปสู่ความมั่นคงของประเทศชาติ ของผู้ที่เกี่ยวข้องเป็นสำคัญ ในโอกาสต่อ ๆ ไป เพราะสงครามยุคใหม่ ต้องต่อสู้กันด้วยความคิด สติปัญญาที่ชาญฉลาด ละเอียดรอบคอบ มองการณ์ไกล รู้จักการวางแผนการจัดการกับความเสี่ยงต่างๆในเชิงรุก ต้องมีข้อมูลข่าวสาร[Information] ที่ถูกต้อง ไว้วางใจได้จริงๆ โดยเฉพาะข้อมูลหรือช่าวสารของผู้ที่ไม่หวังดี หรือสัตรู ต้องรู้ว่าผู้ไม่หวังดี/ข้าศึกกำลังคิดอะไร กำลังวางแผนหรือมีแผนอะไร มีอาวุธประเภทใด ร้ายแรงเพียงใด มีจำนวนเท่าใด อยู่ที่ใดบ้าง+++ หากไม่มีข้อมูลหรือสารสนเทศที่ถูกต้อง ทันเวลา ก็จะมีผลร้ายแรงต่อการวางแผนทางยุทธศาสตร์การรบโดยใช้ความคิด สคิปัญญา และวางแผนการล่วงหน้า กล้าตัดสินใจอย่างรวดเร็วและทันเวลา มิฉนั้นจะแพ้สงครามในที่สุด

แม้แต่มีอาวุธดีๆมากมาย แต่ขาดสติปัญญาและข้อมูลที่ดี ก็แพ้สงครามได้อย่างง่ายดาย ตามที่ปรากฎในประวัติศาสตร์การรบในอดีตของหลายประเทศ เป็นต้น

ผมจะได้หยิบยกประเด็นการบริหารความเสี่ยงในมุมมองต่าง ๆ เพื่อวิเคราะห์ เล่าสู่กันฟังในทางสร้างสรรต่อไป ณที่นี้ ท่านลองดูอาวุธแปลกๆด้านล่างนี้แล้วพิจารณาถึง การรบยุคใหม่ที่ต่อสู้กันด้วยความรู้และสติปัญญา รวมทั้งการพัฒนาอาวุธใหม่ๆ ทั้งในเชิงป้องกันและเชิงรุก ประเทศมหาอำนาจมักจะเลือกอาวุธเชิงรุกมากกว่านะครับ

1. อาวุธประเภทแรก คือ LRAD Weapon long range acoustic device ซึ่งเป็นคลื่นเสียงมหาบรรลัยหู เป็นเครื่องส่งคลื่นเสียงความถี่สูงที่มีความดังไปยังที่ที่ศัตรูที่ประจำ อยู่ในระยะไกล อำนาจขนาดทำให้แก้วหูศัตรูแตก
เป็นหูหนวกไปในทันที ล่าสุดสามารถพัฒนาให้สามารถกระแทกหัวใจทำให้หัวใจหยุดเต้นได้

LRAD_Weapon long range acoustic device

LRAD_Weapon long range acoustic device

2. Corner Shot 40 เป็นปืนแบบกระสุนความเร็วสูง สามารถเอ็กซ์เรย์ได้ สามารถใช้เฝ้าตรวจสอบที่มืด ๆ หาจุดที่จะขว้างระเบิดน้อยหน่าได้ นอกจากนี้ยังมีถังทรงกระบอกสามารถหมุนตัวถึง 63 องศา เหมาะสำหรับคนคำนวณเก่ง

Corner Shot 40

Corner Shot 40

3. Thermobaric Bomb คือ ระเบิดที่เหนือกว่าระเบิดนาปาล์ม เพราะมันคือระเบิดที่บรรจุเชื้อเพลิงที่สามารถระเบิดลุกเป็นกลุ่มไฟสุดร้อน แรง ไม่ว่าจะเป็นถ้ำในหลืบถ้ำ หรือแม้แต่ซอกซอยที่ซุ่มของศัตรู โดยมันทำงานอย่างเป็นระบบ คือระบบแรกเป็นระเบิดทำลายที่กำบัง และระบบที่สองคือเพลิงเผาซ้ำ มีความร้อนสูงถึง 3000 องศาเซลเซียส ซึ่งสามารถหลอมละลายสรรพสิ่งให้เป็นจุณไปในพริบตา อย่าว่าคนเลย ปืนที่ใช้ก็โดนหลอมเป็นก้อนทันที

Thermobaric Bomb

Thermobaric Bomb

4. EMP Bomb (Episode: Future Shock) ผลิตโดยนักวิทยาศาสตร์ชาวออสเตรเลีย “ ระเบิดแม่เหล็ก ” วิถีมันสามารถไปทั่วทิศทาง โดยวงจรอิเล็กโทนิกของมันสามารถตรวจจับวัตถุที่อยู่ใกล้ ๆ ได้ เช่น เรือ และเมื่อมันพบเป้าหมาย ด้วยอำนาจของแม่เหล็กสามารถเกาะและทำลายเป้าหมายในทันที

EMP Bomb_Episode Future Shock

EMP Bomb_Episode Future Shock

5. Airborne Laser คือเลเซอร์ติดเครื่องบิน โดยเลเซอร์นี้ประกอบด้วยโลหะไอโอดีนธาตุออกซิเจนสารเคมีที่ทรงพลังในการเอ็กซ์เรย์ (ประมาณว่าคล้ายประภาคาร) เหมาะสำหรับตรวจแหล่งสะสมอาวุธของศัตรู และถ้ามีการพัฒนาปรับปรุงจะสามารถให้สามารถจุดไฟระเบิดเป้าหมายนั้นได้อีกด้วย

Airborne Laser

Airborne Laser

6. Sensor Fuzed Weapon (Episode: The Power of Fear) ฉายามันคือ “ ระเบิดตาพิทย์ ” บรรจุระเบิดขนาดย่อมที่มีอานุภาพสูงสามารถทำลายเกราะที่หุ้มรถถังทุกชนิดได้ภายใน 10 ลูก แถมแต่ละลูกมีร่มชูชีพติดอยู่พร้อมตาอินฟาเรดที่มีความไวสูงต่อเป้าหมายที่จะหย่อนระเบิดลงไปบนรถถังหุ้มเกราะของศัตรู และทำลายเกราะที่หุ้มและทหารที่อยู่ภายในเละในพริบตา

Sensor Fuzed_Weapon Episode The Power of fear

Sensor Fuzed_Weapon Episode The Power of fear

สำหรับการบริหารความเสี่ยงเพื่อก้าวสู่ดุลยภาพในกระบวนการจัดการ เพื่อการเติบโตอย่างยั่งยืนตามหลัก CG + ITG นั้น เอาไว้คุยกันในวันหลังนะครับ

ขอเพิ่มอีกนิดนึงนะครับ ข้อคิดของวันนี้ก็คือ อาวุธสุดแสบสารพัดชนิดตามภาพข้างต้น ซึ่งไม่รวมอาวุธปรมาณูประเภทต่าง ๆ ซึ่งมีอยู่มากมายแล้ว ก็คือ ศักยภาพ ความสามารถ จากความคิดในเชิงบวก หรือเชิงรุก หรือเชิงป้องกันปัญหา หรือป้องกันความเสี่ยง ที่เป็นความมั่นคงทุกประเภท ไม่ว่าจะเป็นการทหาร การเมือง เศรษฐกิจการเงิน การบริหารการจัดการประเภทต่าง ๆ ในทุกระดับชั้น การควบคุมและการตรวจสอบตามฐานความเสี่ยงที่ดีและมีคุณภาพนั้น จะเกิดขึ้นได้ก็จากการพัฒนาความคิด การมีแผน การศึกษา การอบรม เพื่อสร้างความเข้าใจที่มาจากความคิด มิใช่จากความจำ หรือลอกเลียนกันต่อ ๆ มา

ดังนั้น ความร่ำรวยทางเศรษฐกิจและการเงินของประเทศต่าง ๆ และศักยภาพของบุคลากรในประเทศต่าง ๆ หรือในระดับองค์กรต่าง ๆ นั้น มีความแตกต่างกันมากมาย ประเทศที่มีพลเมืองน้อย ๆ เช่น ประเทศสิงคโปร์ ฟินด์แลนด์ นอร์เวย์ สวิสแลนด์ ++ ก็สามารถสร้างผลผลิตประชาชาติที่เมื่อคำนวณเป็นรายได้ประชาชาติต่อหัวแล้ว มีจำนวนสูงกว่าประเทศไทยมากมาย ก็เกิดจากการพัฒนาความคิด (ซึ่งเรียกได้ว่า เป็น Intangible Assets) ให้เป็นคุณค่าทางการเงิน และการจัดการอย่างเป็นระบบ และเป็นระเบียบ โดยมีการนำมาปฏิบัติอย่างเป็นรูปธรรม และเป็นธรรมต่อประชาชนในประเทศอย่างเท่าเทียมกัน

1 ความเห็น | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »