Information Technology Governance

เพื่อเป็นการเตรียมพร้อมสำหรับการประเมินการบริหารสารสนเทศของรัฐวิสาหกิจในปีหน้า วันนี้ผมจะขอนำเสนอเกณฑ์ในการประเมินการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปีบัญชี 2553 โดยเกณฑ์การประเมินนี้จะกล่าวถึง ระบบสารสนเทศที่สามารถนำมาช่วยสนับสนุนการดำเนินงาน และเพิ่มประสิทธิภาพของรัฐวิสาหกิจ และยังมีบทบาทเป็นโครงสร้างพื้นฐานที่จำเป็นต่อการดำเนินงานของรัฐวิสาหกิจ อันเนื่องมาจากความสามารถของระบบในการรองรับธุรกรรมจำนวนมาก

ดังนั้น ในการประเมินการบริหารจัดการสารสนเทศ จะพิจารณาจากแผนแม่บทสารสนเทศ (IT Master plan) ว่าจะสามารถตอบสนองต่อความต้องการของรัฐวิสาหกิจและนโยบายหรือไม่ รวมถึงการดำเนินงานตามแผนแม่บทฯ ที่องค์กรได้กำหนดขึ้นและผลลัพธ์ของการดำเนินงานดังกล่าว

หลักเกณฑ์การพิจารณาการบริหารการจัดการสารสนเทศ ซึ่งดำเนินการโดยคณะอนุกรรมการบริหารสารสนเทศของ สคร. – กระทรวงการคลัง แบ่งออกเป็น 2 ส่วน ได้ดังนี้

ส่วนที่ 1 การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)

ส่วนที่ 2 การบริหารการจัดการสารสนเทศ
มีการวิเคราะห์แผนงาน/โครงการ เพื่อให้สอดคล้องกับแผนแม่บทสารสนเทศ ดังนี้ :-
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่าง ๆ ของรัฐบาล
2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ และผู้มีส่วนได้

ดูภาพจากด้านล่างนี้นะครับ แล้วจะเข้าใจชัดเจนยิ่งขึ้น

สำหรับรายละเอียดในแต่ละหัวข้อ ผมจะเล่าให้ฟังในครั้งหน้านะครับ

ครั้งก่อน เราได้จบเกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วนั้น มีผู้บริหารของรัฐวิสาหกิจหลายท่าน อาจมีความเข้าใจการประเมินการบริหารความเสี่ยงที่เพิ่มแนวทางการบริหาร GRC – Governance + Risk Management + Compliance และ Portfolio View of Risk ซึ่งเป็นเรื่องใหม่ทั้ง 2 เรื่องพอสมควร

ผมจึงขอสรุปคุณลักษณะของการบริหาร GRC อย่างสั้นที่สุดมาให้ท่านได้ทราบตาม Slide ที่ปรากฎด้านล่างนี้ครับ

สำหรับ Portfolio View of Risk ท่านอาจจะทำความเข้าใจได้ง่ายขึ้น เมื่อเห็นแผนภาพด้านล่างนี้ด้วยเช่นกัน

กล่าวโดยสรุปสำหรับ Portfolio View of Risk ในอีกมุมมองหนึ่งของการอธิบายก็คือ การบริหารจัดการกับความเสี่ยง ในมุมมมองของการควบคุมความเสี่ยง 4 เรื่อง หลัก ๆ ตามหลักการของ COSO – ERM คือ Strategy Riks – S, Operational Risk – O, Financial and Reporting Risk – F, Compliance Risk – C นั้น จะมีแผนงาน/โครงการต่าง ๆ เพื่อการจัดการกับความเสี่ยง ตามหัวข้อใหญ่ S – O – F – C ในหลายเรื่อง หรือในหลายโครงการด้วยกัน และในแต่ละเรื่องจะมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) และ/หรือ Risk Tolerance ระดับความเสี่ยงที่เบี่ยงเบนจาก Risk Appetite ว่าในที่สุดแล้ว จะมีผลกระทบต่อเป้าประสงค์ของ Performance ตามมุมมองของ Balanced Scorecard – Business BSC ซึ่งใช้แนวทาง COSO – ERM ในการประเมิน เพราะเป็นการประเมินทางด้าน Non – IT เป็นหลัก

นอกจากนี้ ผู้บริหารและผู้ที่เกี่ยวข้องยังต้องประเมินผลกระทบต่อ Conformance หรือการปฏิบัติตามมาตรฐาน (Standards) หรือกรอบการปฏิบัติงานที่ดี (Best Pactice Framework) และกฎหมาย กฎเกณฑ์ที่เกี่ยวข้อง ซึ่งเป็นที่ยอมรับกันทั่วไป โดยปกติจะใช้กรอบการปฏิบัติที่ดีเพื่อประเมินผลกระทบจากความเสี่ยงทางด้าน COSO – ERM และ IT นั่นก็คือ การใช้ ITG – CobiT มาเกี่ยวข้องในการประเมิน โดยเปรียบเทียบกับ IT Balanced Scorecard โดยปกติจะเชื่อมโยงกับ Best Pactice Standard ต่าง ๆ เช่น ISO 27001, ISO 20000, ISO 9001:2000 และทั้งหมดจะเชื่อมโยงกับ Process and Procedures อย่างเป็นกระบวนการ เช่น ITIL, Security Principles และ Quality Assurance – QA Procedure ซึ่งอธิบายได้ง่ายกว่ามากโดยดูจากแผนภาพด้านล่างนี้

ทั้งการประเมินประสิทธิภาพ ประสิทธิผลในการดำเนินงานทางด้าน Performance และ Conformance ตามที่กล่าวข้างต้น จะต้องได้ดุลยภาพในการจัดการที่ดี ทั้งด้าน IT และ Non – IT นี่ก็เป็นส่วนหนึ่งของกระบวนการบริหาร GRC และเป็นการขับเคลื่อน Integrity – Driven Performance อีกด้วย

ขอให้ดูรูปภาพที่เกี่ยวข้องนะครับ ท่านจะได้เข้าใจหลักการบริหารแบบบูรณาการในมิติต่าง ๆ เพิ่มขึ้น

ผมตั้งใจที่จะสรุปแต่อธิบายยาวไปนิดนึงนะครับ ก่อนที่จะเริ่มนำหลักเกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 ที่กำหนดโดยคณะกรรมการประเมินผลรัฐวิสาหกิจ ด้านสารสนเทศ ของกระทรวงการคลังมาเล่าสู่กันฟังในตอนต่อไป

สวัสดีครับ วันนี้ผมจะนำเสนอต่อในเรื่องของเกณฑ์ประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ปี 2553 ให้จบ หลังจากที่ได้นำเสนอมาหลายตอนเนิ่นนานแล้ว และผมจะได้ต่อในเรื่องของเกณฑ์การประเมินการบริหารจัดการสารสนเทศ (IT) ปี 2553 ซึ่งตั้งใจไว้ว่าจะนำเสนอให้ทันภายในปีนี้ เพื่อที่ รส. และหน่วยงานภายใต้การกำกับดูแล จะได้เตรียมความพร้อมรับการประเมิน ประจำปี 2553 กัน ฉะนั้น เราไปต่อในส่วนที่เหลือกันเลยดีกว่าครับ

6. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ

6.1แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร

6.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคล หรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคล หรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคล หรือสายงานนั้นเป็นผู้รับผิดชอบว่า ความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

6.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

7. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

7.1 องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร

7.2 การที่องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศ เพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กรเช่นเดียวกัน

8. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง

8.1 การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง

8.2 ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง)

แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

8.3 ในกรณีที่มี Risk Appetite รายปัจจัยเสี่ยง ที่ระบุเป้าหมายเชิงปริมาณในปี 2552 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ Risk Appetite /ดีกว่าเป้าหมายของ Risk Appetite ที่กำหนด

ในช่วงเวลานี้ ผมกำลังนำหลักเกณฑ์การประเมินรัฐวิสาหกิจประจำปี 2553 ที่กระทรวงการคลัง โดย สคร. ร่วมกับคณะกรรมการประเมินผลชุดต่าง ๆ ที่ได้ศึกษาและกำหนดเกณฑ์การประเมินผลของรัฐวิสาหกิจ ประจำปี 2553 มานำเสนอ เพื่อให้ผู้ที่เกี่ยวข้องได้ติดตามเพิ่มเติมจากแหล่งที่เป็นที่มาหลัก ๆ ก็คือ สคร. และ ทริส

ผมจะพยายามนำเสนอความเข้าใจเพิ่มเติมในบางมุมมองที่เกี่ยวข้องกับการประเมิน และการปฏิบัติงานการบริหารของ รส. โดยใช้รูปภาพ หรือแผนภาพ แทนการอธิบายด้วยลายลักษณ์อักษร เพื่อประกอบความเข้าใจตามสมควร ควบคู่กันไปกับการนำเสนอหลักเกณฑ์การประเมินตามหลักการของ สคร.

ต่อจากนี้ จะเป็นเกณฑ์การประเมินผลการบริหารความเสี่ยงของ รส. ในส่วนที่ 2 ซึ่งเป็นเกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง ที่ยังคงค้างกันเอาไว้จากครั้งที่แล้ว ผมจะขอต่อด้วยเกณฑ์ข้อที่ 2 เลยนะครับ

2. มีกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน

3. มีการทบทวนและปรับปรุงการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรง

4. จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง เช่น จรรยาบรรณ และผู้บริหารรับฟัง การท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น โดยพิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

4.1. ความเหมาะสมและเพียงพอของช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.2. ประสิทธิผลของการใช้ช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.3. การสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

5. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)

5.1. ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน

5.2. มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

5.2.1. การวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน

5.2.2. วิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายที่มิใช่ทางการเงิน

5.2.3. การวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

หลักการองค์กรแห่งการเรียนรู้ 5 ประการของ Peter Senge ประกอบด้วย
1. Systems Thinking กระบวนการคิด/วางแผน/จัดการที่เป็นระบบ
2. Personal Mastery การสร้างวินัยของบุคคล
3. Mental Models การปรับเปลี่ยนแนวความคิดของบุคคล
4. Building shared vision การมีวิสัยทัศน์ร่วมกัน
5. Team learning การเรียนรู้ของกลุ่ม/ฝ่าย/ทีม

5.3. มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

การสื่อสารภายใน ควรจะสื่อถึงเรื่องดังต่อไปนี้อย่างมีประสิทธิผล
• ความสำคัญและความจำเป็นของการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผล
• วัตถุประสงค์ขององค์กร
• ระดับความเสี่ยงที่องค์กรยอมรับได้ และช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้
• การใช้ภาษาเดียวกันในเรื่องความเสี่ยง
• บทบาทและความรับผิดชอบของบุคลากรที่จะสนับสนุนและนำองค์ประกอบต่างๆ ของการบริหารความเสี่ยงขององค์กรมาใช้

นอกจากความจำเป็นที่ต้องมีการสื่อสารที่เหมาะสมภายในองค์กรแล้ว ยังจำเป็นที่จะต้องมีการสื่อสารภายนอกที่เหมาะสมด้วย ด้วยช่องทางการสื่อสารภายนอกที่เปิดต่อกลุ่มผู้มีส่วนได้เสีย โดยเฉพาะการเปิดช่องทางการสื่อสารเกี่ยวกับระดับความเสี่ยงที่องค์กรยอมรับได้กับช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Appetite และ Risk Tolerance) นั้น มีความสำคัญ โดยเฉพาะสำหรับองค์กรที่ต้องเชื่อมโยงกับองค์กรอื่น ซึ่งการสื่อสารต่อกลุ่มผู้มีส่วนได้เสีย จะต้องให้สารสนเทศที่ตรงกับความต้องการของกลุ่มบุคคลนั้น ๆ

ครั้งหน้าผมจะมาต่อในส่วนที่เหลือให้จบ โปรดติดตามต่อนะครับ

สวัสดีครับ ผมได้นำเสนอเรื่องของแนวทางการประเมินผลการดำเนินงานของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วใน 2 – 3 ครั้งที่ผ่านมา จากที่ได้กล่าวไปแล้วว่า แนวทางที่ใช้ในการยกระดับและขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเกณฑ์พิจารณาเบื้องต้นนั้น มี 2 ส่วน และได้มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์การประเมินผลในปี 2552 ซึ่งได้นำเสนอเกณฑ์การพิจารณาการบริหารความเสี่ยงที่เป็นเกณฑ์การประเมินในส่วนแรกไปแล้ว แต่ยังไม่จบแค่นั้นครับ

วันนี้ ผมจะมานำเสนอต่อถึงการประเมินคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น ไปติดตามกันต่อเลยนะครับ

ส่วนที่สอง เกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง

1. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี
1.1. ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร

1.2. คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้

การสร้างมูลค่าเพิ่ม หมายรวมถึง
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา

1.3. คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตามการจัดการกระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT

1.4. คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT

1.5. ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

1.6. มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลักๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น

โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non-IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

1.7. คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

1.8. ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

1.9. คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น

1.10. คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

นี่เป็นเพียงเกณฑ์การประเมินในข้อแรกเท่านั้น ยังมีเกณฑ์ที่ใช้ในการประเมินอีกหลายข้อ ซึ่งผมจะนำเสนอในโอกาสต่อไปครับ

เมื่อครั้งที่ก่อน ผมได้พูดคุยกันไปบ้างแล้ว ถึงเรื่องการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ที่ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ซึ่งจะใช้ในปี 2553 โดยใช้หลักการ GRC เป็นเกณฑ์เบื้องต้น

วันนี้เรามาดูกันว่า แนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ทั้ง 2 ส่วน ดังที่กล่าวไปแล้ว ในเกณฑ์ใดบ้างที่มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์ประเมินผลฯ ปี 2552 และมีเกณฑ์การพิจารณาอย่างไรกันบ้าง

ส่วนที่หนึ่ง เกณฑ์การพิจารณาการบริหารความเสี่ยง
ระดับ 1 : การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

1. มีแนวทางบริหารความเสี่ยงในเชิงรับเป็นส่วนใหญ่หรือมีการบริหารความเสี่ยงในระดับเบื้องต้น

1.1. รัฐวิสาหกิจขาดการบริหารจัดการความเสี่ยง การพิจารณาปัจจัยเสี่ยงหรือการดำเนินการแก้ไขปัญหาเป็นการดำเนินการภายหลังจากที่เกิดเหตุการณ์หรือความเสียหายแล้ว เช่น ในกรณีที่รัฐวิสาหกิจ มีธุรกรรมเกี่ยวกับเงินตราต่างประเทศ แต่ไม่ได้มีการบริหารความเสี่ยงด้านอัตราแลกเปลี่ยนเลย ต่อเมื่อมีความเสียหาย เช่น การขาดทุนจากอัตราแลกเปลี่ยนเกิดขึ้นจากความผันผวนของอัตราแลกเปลี่ยน รัฐวิสาหกิจจึงเริ่มศึกษาหรือบริหารความเสี่ยงจากอัตราแลกเปลี่ยน เป็นต้น

1.2. รัฐวิสาหกิจยังไม่มีการดำเนินการเบื้องต้น โดยการกำหนดกระบวนการ/ดำเนินการสร้างความตระหนักเกี่ยวกับความสำคัญหรือความรู้ความเข้าใจของการบริหารความเสี่ยงในองค์กรต่อคณะกรรมการ ผู้บริหาร และพนักงานเท่านั้น ซึ่งกระบวนการสร้างความรู้ความเข้าใจดังกล่าว เช่น การจัดสัมมนาทั้งภายนอกและภายในองค์กรการจัดนิทรรศการ ป้ายประชาสัมพันธ์ วารสารภายใน และเสียงตามสาย เป็นต้น

การฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยง ต้องมีการให้ความรู้กับผู้บริหาร (3 อันดับแรก) และพนักงาน (พนักงานทุกคนในกรณีที่เป็นองค์กรขนาดเล็ก / ในกรณีองค์กรขนาดใหญ่ ต้องมีการสื่อสารและฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหาร

ความเสี่ยงสำหรับพนักงานในระดับที่เกี่ยวข้องในการรับผิดชอบในแต่ละปัจจัยเสี่ยง) และมีการสื่อสารสำหรับนโยบายหลักปฏิบัติในการบริหารความเสี่ยง

2. แนวทางในการบริหารความเสี่ยงยังไม่เป็นระบบ โดยเข้าเกณฑ์ข้อใดข้อหนึ่ง ดังต่อไปนี้

2.1. รัฐวิสาหกิจยังมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีที่ไม่ครบถ้วน ซึ่งองค์ประกอบหลักๆ ที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ยความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วย ความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนดวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2)
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลการบริหารความเสี่ยง

2.2. รัฐวิสาหกิจไม่มีการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

2.3. รัฐวิสาหกิจมีองค์ประกอบหลักข้างต้นของการบริหารจัดการความเสี่ยงที่ดีครบถ้วนทั้ง 5 องค์ประกอบ แต่ขาดการกำหนดวิธีการจัดการต่อความเสี่ยงที่มีลำดับความเสี่ยงสูง

2.4. การดำเนินการของรัฐวิสาหกิจขาดความสอดคล้องระหว่างองค์ประกอบหลักทั้ง 5 องค์ประกอบข้างต้น เช่น
– มีการระบุการกำหนดวิธีการจัดการต่อความเสี่ยงไม่ครบหรือไม่ตรงตามที่วิเคราะห์และระบุ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดการต่อความเสี่ยงเพียง 3 ประเภทเท่านั้น
– การระบุถึงความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ไม่ครบหรือ
ไม่สอดคล้องกับความเสี่ยงที่ระบุไว้ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการระบุถึงความเสียหายที่อาจจะเกิดขึ้น (ระดับความรุนแรง x โอกาสของการเกิดความเสี่ยง) เพียง 3 ประเภทเท่านั้น
– การจัดทำรายงานการบริหารความเสี่ยงและการประเมินผล ไม่ครบหรือไม่สอดคล้องกับ
ความเสี่ยงที่ระบุไว้ เป็นต้น เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดทำรายงาน
การบริหารความเสี่ยงและการประเมินผลเพียง 3 ประเภทเท่านั้น เป็นต้น

3. รัฐวิสาหกิจไม่มีคณะทำงาน หน่วยงานหรือผู้รับผิดชอบเพื่อบริหารจัดการความเสี่ยงในระดับองค์กร

4. รัฐวิสาหกิจไม่มีคู่มือการบริหารความเสี่ยง

ระดับ 2 : การบริหารความเสี่ยงเบื้องต้นที่มีระบบ
ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

1. การบริหารความเสี่ยงของรัฐวิสาหกิจเป็นกลยุทธ์ระยะสั้น

1.1. แผนงานการบริหารความเสี่ยงปรากฏในแผนกลยุทธ์ประจำปีของ รส.

1.2. เป้าหมายในแผนบริหารความเสี่ยง สอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีของ รส.

1.3. การดำเนินงานจัดทำแผนบริหารความเสี่ยงประจำปี ต้องมีการพิจารณาแผนการปฏิบัติการประจำปีของ รส. ที่เป็นแผนงานปกติ (แผนงานควบคุมภายใน) ที่จะจัดการความเสี่ยงที่มีอยู่ (Inherent Risk) ได้ว่ามีความเหมาะสมและ/หรือมีความเพียงพอหรือไม่ หากมีความไม่เหมาะสมและ/หรือมีความไม่เพียงพอ จะมีการหารือร่วมกันระหว่างหน่วยงานที่รับผิดชอบในการจัดทำแผน และหน่วยงานบริหารความเสี่ยง

2. รัฐวิสาหกิจมีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ เพื่อรับผิดชอบและติดตาม ในการบริหารจัดการความเสี่ยง ซึ่งโครงสร้างของคณะทำงานหรือผู้รับผิดชอบยังเป็นลักษณะเฉพาะกาล (เช่น คณะทำงานมีอายุการทำงานเพียง 1 ปี หรือ มีการทำงานเฉพาะเรื่องเพื่อเสนอเข้าคณะกรรมการพิจารณาเป็นคราวไป เป็นต้น) และ/หรือยังไม่มีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (ผลงานที่เป็นรูปธรรม ได้แก่ ผลงานที่นอกเหนือจากการประชุม เช่น การมีโครงการนำร่องในการพัฒนาระบบบริหารความเสี่ยง เป็นต้น)

3. มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ

3.1. รัฐวิสาหกิจมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหาร ความเสี่ยงในแต่ละปัจจัยเสี่ยงอยู่ ซึ่งองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง โดยการระบุความเสี่ยงต้องระบุความเสี่ยงครบทุกด้าน (เช่น ความเสี่ยงทั้ง 4 ด้านตามที่กระทรวงการคลังระบุ ได้แก่ ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยงด้านการดำเนินงาน (Operational Risk) ความเสี่ยงด้านธุรกิจ (Business Risk) และความเสี่ยงจากเหตุการณ์ภายนอก (Event Risk) เป็นต้น หรือ ความเสี่ยง 4 ด้านที่แบ่งออกเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

3.2. การดำเนินงานบริหารความเสี่ยงดังกล่าวเป็นการดำเนินงานเฉพาะส่วนหรือฝ่าย ไม่ใช่ในระดับองค์กร และ/หรือไม่ครบถ้วนตามที่ระบุและวิเคราะห์ไว้ หรือรัฐวิสาหกิจไม่มีการจัดทำ Risk Map (การแสดงความสัมพันธ์ของความเสี่ยงในแต่ละส่วนขององค์กร เพื่อแสดงผลกระทบของความเสี่ยงที่มีต่อกันในแต่ละฝ่าย เพื่อสะท้อนถึงภาพรวมความเสี่ยงขององค์กร) โดยระบุถึงสาเหตุของความเสี่ยงในแต่ละด้าน รวมถึงมีการวิเคราะห์ปัญหาที่เกิดขึ้น เพื่อที่จะทราบถึงต้นเหตุของการเกิดความเสี่ยงนั้น ๆ

3.3. รส. โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ ทั้งนี้ รส. จะต้องใช้ฐานข้อมูลในอดีต หรือการคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4. รัฐวิสาหกิจมีการจัดทำคู่มือบริหารความเสี่ยง และเผยแพร่ให้กับพนักงานทุกระดับ
คู่มือการบริหารความเสี่ยงที่ดี ควรประกอบไปด้วย
1) โครงสร้างของการบริหารความเสี่ยงขององค์กร (หน่วยงานที่รับผิดชอบด้านการบริหารความเสี่ยง / ระบบการติดตามงาน/การรายงานผลการบริหารความเสี่ยง)
2) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
3) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
4) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
5) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของ ความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
6) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง
รวมถึงคู่มือการบริหารความเสี่ยงดังกล่าวต้องมีการเผยแพร่ให้กับพนักงานทุกระดับผ่านช่องทางที่เหมาะสม โดย รส. จะต้องมีกระบวนการในการตรวจสอบถึงความเข้าใจของผู้บริหารและพนักงานในคู่มือดังกล่าว หากผลสำรวจถึงความเข้าใจในคู่มือต่ำกว่าที่ รส. ที่ประมาณการไว้ รส. ต้องดำเนินการปรับปรุงในจุดที่ต้องการแก้ไข อย่างเร่งด่วน และเผยแพร่ใหม่ในช่วงปีที่ประเมิน

สำหรับเกณฑ์การพิจารณาการบริหารความเสี่ยง ระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ในส่วนที่ 1 นี้นั้น ผมจะขอไปต่อในคราวหน้านะครับ

การบริหารความเสี่ยงที่มีการประเมินผลโดย สคร. / กระทรวงการคลัง ต่อการดำเนินงานของรัฐวิสาหกิจต่าง ๆ เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงาน ที่เป็นรูปธรรม

สคร. ได้ร่วมกับ คณะอนุกรรมการประเมินผลการบริหารความเสี่ยง ได้ยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่รูปธรรมของการบริหารเชิงรุก ที่เชื่อมโยงการกำกับดูแลกิจการที่ดี กับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่เกี่ยวข้อง โดยเชื่อมโยงกับการบริหารความเสี่ยงอย่างเป็นระบบ เพื่อให้หลักการบริหารความเสี่ยงที่ สคร. ใช้ในการประเมินผลรัฐวิสาหกิจเป็นรูปธรรมมากขึ้น สคร. และคณะอนุกรรมการประเมินผลการบริหารความเสี่ยง จึงได้นำ GRC – Governance + Risk Management + Compliance ซึ่งปัจจุบันเป็น First Priority ของหน่วยงานต่าง ๆ ทั่วโลก

GRC เป็นการยกระดับการบริหารความเสี่ยงของ COSO – ERM ให้เป็นรูปธรรมในทางปฏิบัติ โดยกระบวนการนี้จะต้องเริ่มต้นจากระดับคณะกรรมการ หรือเรียกสั้น ๆ ว่า Top Down เช่นเดียวกับการตรวจสอบภายใต้ภาวะเศรษฐกิจ การเงินปัจจุบัน ซึ่งเป็นเศรษฐกิจขาลงของประเทศต่าง ๆ ทั่วโลกนั้น ก็ต้องใช้แนวทาง Top Down เป็นหลัก เพื่อขับเคลื่อนผลประโยชน์ของผู้มีส่วนร่วม หรือ Stakeholders เป็นสำคัญ

GRC จะไม่ประสบความสำเร็จเลย ถ้าไม่มีการบริหารและจัดการในลักษณะ Top Down Basis ซึ่งจะต้องมีการเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ และแผนงาน รวมทั้งโครงการต่าง ๆ ให้สัมพันธ์กันในทุกองค์ประกอบที่เกี่ยวข้อง เพื่อการขับเคลื่อนศักยภาพโดยรวมขององค์กร ที่เรียกว่า Integrity – Driven Performance ตามที่ผู้เขียนได้กล่าวไว้แล้วในหัวข้ออื่น ๆ ก่อนหน้านี้

ดังนั้น ในการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส จึงได้กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเบื้องต้น ในปี 2553 ก่อนที่จะให้น้ำหนักมากขึ้นในปีต่อ ๆ ไป ดังนี้

หลักเกณฑ์การประเมิน
หลักเกณฑ์การประเมินบริหารความเสี่ยง แบ่งเป็น 2 ส่วน ได้แก่
คะแนนในส่วนแรกที่ยึดหลักเกณฑ์ตาม COSO ERM และคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น

คะแนนในส่วนแรก แบ่งเป็นเกณฑ์ขั้นบันไดใน 3 ระดับ ได้แก่
ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น
มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

ระดับที่ 3 การบริหารความเสี่ยงที่มีองค์ประกอบที่ดีครบถ้วน ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน
มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส และมีการมีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

คะแนนในส่วนที่สอง เป็นเกณฑ์ที่มีคะแนนถ่วงน้ำหนักในเกณฑ์ดังกล่าว ได้แก่
• มีการบริหารความเสี่ยงแบบบูรณาการ
• มีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนด
• กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ
• มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น
• จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง
• กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงานและสัมพันธ์กับค่าตอบแทน
• มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร
• การบริหารความเสี่ยงเป็นการสนับสนุนการบริหารเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation)
• ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงเมื่อเทียบกับแผนการบริหารความเสี่ยง และเทียบจากอดีต
• Portfolio View of Risk (เกณฑ์ใหม่)
• Integrated Governance , Risk and Compliance (GRC – เกณฑ์ใหม่)

สคร. และคณะอนุกรรมการบริหารความเสี่ยง รวมทั้ง ทริส ได้ร่วมกันชี้แจงเกณฑ์การประเมินใหม่ ในปี 2553 แก่ผู้แทนของรัฐวิสาหกิจที่อยู่ในเกณฑ์ประเมินผลเรียบร้อยแล้ว ส่วนใหญ่คณะกรรมการรัฐวิสาหกิจฯ ยังไม่มีโอกาสได้ฟังหรือรับทราบการเปลี่ยนแปลงที่มีผลต่อบทบาทของคณะกรรมการ ตั้งแต่ระดับนโยบาย รวมทั้ง การปรับปรุงแนวทางการบริหารและการจัดการอย่างเป็นกระบวนการในส่วนที่เกี่ยวข้องต่อไป

การนำ GRC มาใช้วัดศัยกภาพในการบริหารรัฐวิสาหกิจ ซึ่งเริ่มตั้งแต่ ปี 2553 ในระดับเบื้องต้นนั้น น่าจะพิจารณาได้ว่า มีความสำคัญอย่างยิ่งยวด ต่อกระบวนการขับเคลื่อน หลักการของ CG ให้มาเชื่อมโยงกับกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO – ERM รวมทั้ง ผสมผสานการปฏิบัติตามกฎหมาย กฎเกณฑ์ / Compliance เข้าเป็นองค์ประกอบหลักในกระบวนการบริหาร ให้เป็นรูปธรรมนั้น เป็นเรื่องที่ต้องการความเข้าใจในความรับผิดชอบ ในทุกระดับ ของรัฐวิสาหกิจ เพื่อการเติบโตอย่างยั่งยืนขององค์กร เป็นสำคัญ

ในเรื่องของ GRC นี้เน้นผลประโยชน์ของผู้มีส่วนร่วม หรือผู้มีส่วนได้เสีย (Stakeholders) เป็นสำคัญ ซึ่งก็ตรงกับหลักการบริหารของหน่วยงานภาครัฐเป็นปกติอยู่แล้ว เพียงแต่คำจำกัดความและความหมายที่เกี่ยวเนื่องกับกระบวนการบริหารนั้น เป็นสิ่งที่จะใช้พิจารณาความเข้าใจร่วมกันของทั้งผู้ได้รับการประเมิน คือ รัฐวิสาหกิจต่าง ๆ กับผู้ประเมินผล ซึ่งก็คือ คณะอนุกรรมการประเมินผล ร่วมกับ ทริส ในการพิจารณาและวัดคุณภาพของการจัดการอย่างเป็นรูปธรรม

ความหมายของคำว่า Compliance ในองค์ประกอบของ GRC ก็เปลี่ยนแปลงไปอย่างมีนัยสำคัญ เพราะมิได้หมายความเฉพาะเพียง การปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่าง ๆ จากหน่วยงานภายนอก และหน่วยงานภายในองค์กรเท่านั้น แต่ Compliance ในคำจำกัดความใหม่นี้ มีความหมายกว้างขวาง ครอบคลุมไปถึง การปฏิบัติตาม Best Practice หรือจะเรียกว่า Good Practice รวมทั้ง การปฏิบัติให้ได้มาตรฐานสากล ในส่วนที่เกี่ยวข้อง เพื่อสร้างความน่าเชื่อถือ (Trust) การสร้างคุณค่าเพิ่ม (Value) การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ซึ่งขอขยายความสักเล็กน้อยนะครับว่า หมายถึง การติดตามผลของการปฏิบัติงาน ในแง่มุมต่าง ๆ ตามหลัก Balance Scorecard จากรายงานที่เกี่ยวข้อง

ซึ่งแน่นอนว่า จะสัมพันธ์กับหลักการของ COSO – ERM รวมทั้ง การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ของความถูกต้อง จากกระบวนการตรวจสอบความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ที่ผู้บริหารได้รับจากรายงานต่าง ๆ ตามหลักการ COSO ในองค์ประกอบเรื่อง Reporting ซึ่งเป็นหนึ่งในหลักการควบคุมการบริหารความเสี่ยง คือ S – O – F – C นั่นเอง

อีกองค์ประกอบหนึ่งของหลักการสร้างความเติบโตอย่างยั่งยืน (Sustainable Growth) ของ CG / ITG / GRC ก็คือ ความสามารถในการดำเนินการอย่างต่อเนื่อง และความอยู่รอด (Survival) ในกระบวนการบริหารและการจัดการที่เกี่ยวข้องกับความเสี่ยง ทางด้าน IT และ Non – IT ที่มีผลกระทบต่อ Activities Risk + Process Risk + Business Risk ซึ่งเป็นส่วนหนึ่งของ IT Governance Drivers เพื่อการขับเคลื่อน CG และ GRC ด้วย