Information Technology Governance

2. การกำกับและบริหารงานที่ดีกับความเสี่ยงขององค์กร

2.1 ประสิทธิผล ประสิทธิภาพขององค์กรจะประสบความสำเร็จได้ดีเป็นที่ยอมรับต่อผู้ที่มีผลประโยชน์ร่วม (Stakeholders) ทุกฝ่ายได้ดี ก็ต่อเมื่อองค์กรมีหลักการกำกับและบริหารงานที่ดี ซึ่งเป็นแม่บทของการบริหารความเสี่ยง (Risk Management) อันประกอบไปด้วย การควบคุมความเสี่ยง (Risk control) และการตรวจสอบโดยใช้ฐานความเสี่ยง (Risk-based Audit Approach) เป็นสำคัญและเป็นสากล

จากประสบการณ์ที่สถาบันการเงินและความล้มเหลวขององค์กรต่างๆ เป็นที่ยอมรับกันโดยทั่วไปแล้วว่า การกำกับและบริหารที่ดีเป็นคำตอบของการบริหารในยุคปัจจุบันและอนาคตอีกยาวนาน

2.2 การบริหาร คือ การทำสิ่งที่เป็นไปไม่ได้ให้เป็นไปได้ แต่สิ่งที่สำคัญสำหรับผู้บริหารคือการครอง “ใจ” ผู้ร่วมงานและผู้เกี่ยวข้อง ด้วยการชี้นำการบริหารความเสี่ยงต่าง ๆ ทุกระดับขององค์กรอย่างมีประสิทธิภาพ เพื่อสร้างศรัทธา และจิตวิญญาณในการทำงานอย่างผู้เป็นเจ้าของร่วมจากพนักงานทุกคนทุกระดับ

2.3 องค์กรควรสร้างจิตสำนึกในจริยธรรม/จรรยาบรรณด้วยความมุ่งมั่น โดยใช้ความรู้ความสามารถในการบริหารความเสี่ยงและการควบคุมความเสี่ยง ด้วยความเสียสละและความกล้าหาญให้เกิดขึ้นกับพนักงานทุกระดับ เพื่อสร้างจิตวิญญาณของความรู้สึกในการทุ่มเทการทำงาน เสมือนหนึ่งเป็นเจ้าขององค์กรร่วมกัน เพื่อความสำเร็จและความยั่งยืนขององค์กร

2.4 องค์กรควรพิจารณาสร้างหลักเกณฑ์และแนวทางการกำกับดูแลที่ดี ทั้งนี้ ควรจัดให้มีคณะกรรมการต่าง ๆ ให้ครบถ้วน ดังนี้
– คณะกรรมการบริหารความเสี่ยง
– คณะกรรมการค่าตอบแทน
– คณะกรรมการสรรหา
– คณะกรรมการตรวจสอบ
– คณะกรรมการสินเชื่อ หรือคณะกรรมการอื่นที่ดูแลงานหลัก ๆ ขององค์กร

2.5 ความหมายของคำว่า “ความเสี่ยง” ขององค์กรก็คือ เหตุการณ์/การกระทำใด ๆ ที่อาจเกิดขึ้น ภายใต้สถานการณ์ที่ไม่แน่นอนและจะส่งผลกระทบหรือโอกาสที่เกิดความเสียหรือความล้มเหลวต่อการบรรลุเป้าหมายและวัตถุประสงค์ทั้งระดับองค์กร ระดับหน่วยงาน และบุคลากร รวมทั้งการขาดประสิทธิภาพ ประสิทธิผลและการทุจริตที่อาจเกิดขึ้นได้

2.6 การบริหารความเสี่ยง คือ “การบริหารกิจกรรมรวมทั้งกระบวนการปฏิบัติงานและลดโอกาสที่องค์กรจะเกิดความเสียหาย ให้มีระดับของความเสี่ยงและขนาดของความเสียหายที่จะเกิดขึ้นในอนาคตให้อยู่ในระดับที่องค์กรยอมรับได้ ประเมินได้ และตรวจสอบได้ โดยคำนึงถึงการบรรลุวัตถุประสงค์ ประสิทธิภาพและประสิทธิผลขององค์กรทางด้าน IT และไม่ใช่ IT เป็นสำคัญ”

2.7 การประเมินความเสี่ยง การบริหารความเสี่ยง ตลอดจนการควบคุมและการตรวจสอบ ซึ่งเป็นกระบวนการหนึ่งของการวิเคราะห์ความเสี่ยง ซึ่งเป็นการวิเคราะห์ถึงมูลเหตุที่อาจนำไปสู่ความเสียหาย หรือความไม่สำเร็จของงาน หรือกิจกรรมอย่างเป็นระบบ ประกอบไปด้วยตัวแปรของความเสี่ยง 2 อย่างคือ มูลเหตุที่นำไปสู่ความเสียหาย และโอกาสที่จะเกิดเหตุการณ์นั้น เป็นต้นนั้น มีรายละเอียดอีกมากซึ่งไม่ได้อยู่ในขอบเขตของการเขียนบทความครั้งนี้

2.8 ความเข้าใจในบทบาทการกำกับและบริหารงานที่ดี ควบคู่กับการวิเคราะห์ความเสี่ยงอย่างเป็นระบบจึงเป็นสิ่งที่ไม่อาจแยกจากกันได้ นั่นคือ ผู้บริหารที่ดีต้องเข้าใจถึงความสัมพันธ์และความโยงใยระหว่างปัจจัยต่อไปนี้
– การกำกับดูแลกิจการที่ดี ซึ่งหมายถึง CG และ ITG รวมทั้ง GRC (Governance + Risk Management + Compliance กับ
– การวิเคราะห์และบริหารความเสี่ยง
– การควบคุมการบริหารและจัดการกับกิจกรรมที่ก่อให้เกิดความเสี่ยง และ
– การตรวจสอบภายในโดยใช้ฐานความเสี่ยงเป็นหลักในกระบวนการปฏิบัติงานอย่างเป็นระบบ

2. การกำกับและบริหารงานที่ดีกับความเสี่ยงขององค์กร

2.1 ประสิทธิผล ประสิทธิภาพขององค์กรจะประสบความสำเร็จได้ดีเป็นที่ยอมรับต่อผู้ที่มีผลประโยชน์ร่วม (Stakeholders) ทุกฝ่ายได้ดี ก็ต่อเมื่อองค์กรมีหลักการกำกับและบริหารงานที่ดี ซึ่งเป็นแม่บทของการบริหารความเสี่ยง (Risk Management) อันประกอบไปด้วย การควบคุมความเสี่ยง (Risk control) และการตรวจสอบโดยใช้ฐานความเสี่ยง (Risk-based Audit Approach) เป็นสำคัญและเป็นสากล

จากประสบการณ์ที่สถาบันการเงินและความล้มเหลวขององค์กรต่างๆ เป็นที่ยอมรับกันโดยทั่วไปแล้วว่า การกำกับและบริหารที่ดีเป็นคำตอบของการบริหารในยุคปัจจุบันและอนาคตอีกยาวนาน

2.2 การบริหาร คือ การทำสิ่งที่เป็นไปไม่ได้ให้เป็นไปได้ แต่สิ่งที่สำคัญสำหรับผู้บริหารคือการครอง “ใจ” ผู้ร่วมงานและผู้เกี่ยวข้อง ด้วยการชี้นำการบริหารความเสี่ยงต่าง ๆ ทุกระดับขององค์กรอย่างมีประสิทธิภาพ เพื่อสร้างศรัทธา และจิตวิญญาณในการทำงานอย่างผู้เป็นเจ้าของร่วมจากพนักงานทุกคนทุกระดับ

2.3 องค์กรควรสร้างจิตสำนึกในจริยธรรม/จรรยาบรรณด้วยความมุ่งมั่น โดยใช้ความรู้ความสามารถในการบริหารความเสี่ยงและการควบคุมความเสี่ยง ด้วยความเสียสละและความกล้าหาญให้เกิดขึ้นกับพนักงานทุกระดับ เพื่อสร้างจิตวิญญาณของความรู้สึกในการทุ่มเทการทำงาน เสมือนหนึ่งเป็นเจ้าขององค์กรร่วมกัน เพื่อความสำเร็จและความยั่งยืนขององค์กร

2.4 องค์กรควรพิจารณาสร้างหลักเกณฑ์และแนวทางการกำกับดูแลที่ดี ทั้งนี้ ควรจัดให้มีคณะกรรมการต่าง ๆ ให้ครบถ้วน ดังนี้
– คณะกรรมการบริหารความเสี่ยง
– คณะกรรมการค่าตอบแทน
– คณะกรรมการสรรหา
– คณะกรรมการตรวจสอบ
– คณะกรรมการสินเชื่อ หรือคณะกรรมการอื่นที่ดูแลงานหลัก ๆ ขององค์กร

2.5 ความหมายของคำว่า “ความเสี่ยง” ขององค์กรก็คือ เหตุการณ์/การกระทำใด ๆ ที่อาจเกิดขึ้น ภายใต้สถานการณ์ที่ไม่แน่นอนและจะส่งผลกระทบหรือโอกาสที่เกิดความเสียหรือความล้มเหลวต่อการบรรลุเป้าหมายและวัตถุประสงค์ทั้งระดับองค์กร ระดับหน่วยงาน และบุคลากร รวมทั้งการขาดประสิทธิภาพ ประสิทธิผลและการทุจริตที่อาจเกิดขึ้นได้

2.6 การบริหารความเสี่ยง คือ “การบริหารกิจกรรมรวมทั้งกระบวนการปฏิบัติงานและลดโอกาสที่องค์กรจะเกิดความเสียหาย ให้มีระดับของความเสี่ยงและขนาดของความเสียหายที่จะเกิดขึ้นในอนาคตให้อยู่ในระดับที่องค์กรยอมรับได้ ประเมินได้ และตรวจสอบได้ โดยคำนึงถึงการบรรลุวัตถุประสงค์ ประสิทธิภาพและประสิทธิผลขององค์กรทางด้าน IT และไม่ใช่ IT เป็นสำคัญ”

2.7 การประเมินความเสี่ยง การบริหารความเสี่ยง ตลอดจนการควบคุมและการตรวจสอบ ซึ่งเป็นกระบวนการหนึ่งของการวิเคราะห์ความเสี่ยง ซึ่งเป็นการวิเคราะห์ถึงมูลเหตุที่อาจนำไปสู่ความเสียหาย หรือความไม่สำเร็จของงาน หรือกิจกรรมอย่างเป็นระบบ ประกอบไปด้วยตัวแปรของความเสี่ยง 2 อย่างคือ มูลเหตุที่นำไปสู่ความเสียหาย และโอกาสที่จะเกิดเหตุการณ์นั้น เป็นต้นนั้น มีรายละเอียดอีกมากซึ่งไม่ได้อยู่ในขอบเขตของการเขียนบทความครั้งนี้

2.8 ความเข้าใจในบทบาทการกำกับและบริหารงานที่ดี ควบคู่กับการวิเคราะห์ความเสี่ยงอย่างเป็นระบบจึงเป็นสิ่งที่ไม่อาจแยกจากกันได้ นั่นคือ ผู้บริหารที่ดีต้องเข้าใจถึงความสัมพันธ์และความโยงใยระหว่างปัจจัยต่อไปนี้
– การกำกับดูแลกิจการที่ดี ซึ่งหมายถึง CG และ ITG รวมทั้ง GRC (Governance + Risk Management + Compliance กับ
– การวิเคราะห์และบริหารความเสี่ยง
– การควบคุมการบริหารและจัดการกับกิจกรรมที่ก่อให้เกิดความเสี่ยง และ
– การตรวจสอบภายในโดยใช้ฐานความเสี่ยงเป็นหลักในกระบวนการปฏิบัติงานอย่างเป็นระบบ

1. การกำกับดูแลกิจการที่ดี (Good Governance)

การกำกับดูแลกิจการที่ดีขององค์กร (Good Corporate Governance หรือ GCG) คืออะไร
คือ วิถีแห่งการนำองค์กรสู่ความรุ่งเรืองมั่นคงยั่งยืน ซึ่งกล่าวถึง ปรัชญา คุณธรรม และจริยธรรมแห่งองค์กรในการบริหารและจัดการที่ดี อันเป็นปัจจัยสำคัญของการสร้างคุณค่าและเพิ่มพลังแห่งความเจริญเติบโตรุ่งเรือง เพื่อให้องค์กรบรรลุวัตถุประสงค์หลักภายใต้การเปลี่ยนแปลงที่รวดเร็วในด้านต่าง ๆ ของประเทศและของโลกธุรกิจปัจจุบันที่เกี่ยวข้องกับการบริหารการควบคุมและจัดการกับความเสี่ยงและการตรวจสอบภายใน โดยใช้ฐานความเสี่ยงเป็นหลัก

ประโยชน์ของการกำกับดูแลกิจการที่ดีกับองค์กร
เพื่อให้องค์กรบรรลุวัตถุประสงค์หลักในเรื่องการบริหารและจัดการความเสี่ยงที่ดีในองค์กร โดยมีปรัชญาคุณธรรมเป็นแกนนำในการทำงานที่ดี และมีการบริหารเชิงรุกอย่างมีระบบและเป็นการพัฒนาวิธีการทำงานและพนักงานพร้อมกันไป ซึ่งจะช่วยให้องค์กรก้าวไปข้างหน้าได้อย่างมั่นคงและยั่งยืน ซึ่งเป็นแนวทางที่สำคัญยิ่งของการบริหารองค์กรต่าง ๆ ในยุคปัจจุบันทั่วโลก

ปรัชญา หลักการ และวิธีการ ของการกำกับดูแลกิจการที่ดี
ปรัชญา คือ ความเชื่อที่มาจากรากฐานแห่งความจริงที่ว่า การบริหารและการจัดการที่ดีคือ ความยุติธรรม ความโปร่งใส ความสามารถในการบริหาร การจัดการความเสี่ยงต่าง ๆ ที่มีต่อองค์กรได้อย่างเป็นรูปธรรมเป็นที่ยอมรับของผู้ที่เกี่ยวข้อง และความชัดเจนในภาระหน้าที่ความรับผิดชอบ และดุลอำนาจในองค์กร เพื่อนำองค์กรไปสู้เป้าหมายและวัตถุประสงค์ที่กำหนดได้อย่างยั่งยืนและมีประสิทธิภาพ

หลักการ คือ มาตรฐานของกฏเกณฑ์ที่ตั้งไว้เพื่อเป็นแก่นหรือเป็นโครงสร้างของความคิดและรูปแบบ (Model) ต่าง ๆ ที่ถูกพัฒนาต่อมาจากปรัชญา

วิธีการ คือ รายละเอียดแห่งการปฏิบัติที่เป็นไปตามหลักการที่กำหนดขึ้นเพื่อที่นำไปสู่กระบวนการแห่งความสำเร็จของการบริหารงานความเสี่ยงต่าง ๆ ซึ่งจะนำไปสู่เป้าหมายและวัตถุประสงค์ที่กำหนดขึ้น

โดยรวมแล้ววิธีการต้องอาศัยหลักการทำให้ทุกองค์ประกอบเกื้อกูลกัน อันเป็นแนวความคิดใหม่ในการบริหารองค์กร อันเป็นที่ยอมรับกันทั่วไปในโลกธุรกิจและการบริหารในปัจจุบันที่ว่าด้วย Good Corporate Governance การบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยงที่ผู้เกี่ยวข้องควรติดตามให้ทันการเปลี่ยนแปลงต่าง ๆ