COSO ERM 2017 กับแนวทางการกำกับ การบริหารยุค Thailand 4.0
ผมได้ห่างหายในการพูดคุยกับท่านผู้อ่านและเล่าเรื่องราวต่างๆ ในหัวข้ออื่นๆ ที่นอกเหนือจากหัวข้อ CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง จึงขอวกมาคุยและเล่าเรื่องราวต่างๆ ที่เกี่ยวข้องกับการกำกับ การบริหารความเสี่ยงยุคใหม่ ในมุมมองของ COSO ERM 2017 ซึ่งแน่นอนว่าจะแตกต่างจากการบริหารความเสี่ยงในมิติอื่นๆ อยู่บ้าง แต่อย่างไรก็ดี แนวการบริหารความเสี่ยงของ COSO ERM 2017 และมาตรฐานการบริหารความเสี่ยง ตาม ISO31000-2018 และแนวการบริหารความเสี่ยงของ COBIT5 for Risk จะมีจุดเน้น รวมทั้งกรอบแนวคิด กระบวนการจัดการกับการบริหารความเสี่ยงทั่วทั้งองค์กร ที่มีทั้งมุมมองแตกต่างกัน และมีมุมมองที่ใกล้เคียงกัน ซึ่งท่านผู้อ่านควรจะได้ติดตามกระบวนการที่เกี่ยวข้องเพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมต่อไป
ผมจะไม่เน้นการพูดถึงหลักการและทฤษฎีต่างๆ ที่เกี่ยวข้องกับการบริหารความเสี่ยงของแต่ละค่าย/สถาบัน ตามที่กล่าวข้างต้น แต่จะพูดในภาพรวมทางด้านที่สามารถจะนำไปปฏิบัติได้ตามวัตถุประสงค์ กลยุทธ์ วิสัยทัศน์ และเป้าหมายหลักๆ ขององค์กร ที่เกี่ยวข้องกับความเสี่ยงที่ยอมรับได้ ทั้งนี้เพราะ ความเสี่ยงไม่ได้หมายถึงเหตุการณ์ที่จะก่อให้เกิดความเสียหายหรือการไม่บรรลุวัตถุประสงค์เพียงเท่านั้น แต่ยังหมายถึงโอกาสที่จะสร้างคุณค่าเพิ่ม หรือผลประโยชน์ให้กับผู้มีผลประโยชน์ร่วม (Stakesholder) และสร้างโอกาสและศักยภาพในการพัฒนาเศรษฐกิจ สังคม การลงทุน ตามสภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็ว
การกำหนดหลักการบริหารความเสี่ยงเพื่อลดระดับความเสี่ยงที่จะเกิดขึ้นกับระดับประเทศ ระดับองค์กร เพื่อสร้างความน่าเชื่อถือในมิติต่างๆ ซึ่งเป็นเรื่องสำคัญอย่างยิ่งยวดในการพัฒนาประเทศ และองค์กรให้เจริญเติบโตอย่างยั่งยืน โดยการกำหนดระดับความเสี่ยงที่ประเทศและองค์กรยอมรับได้ ในเรื่องต่างๆ ที่เกี่ยวข้องนั้น ผู้บริหารระดับประเทศ ผู้บริหารระดับองค์กร ควรจะเข้าใจถึงองค์ประกอบของกระบวนการบริหารความเสี่ยง ที่ต้องมีกระบวนการจัดการที่ชัดเจน และมีการกำกับแบบบูรณาการระหว่างเทคโนโลยีสารสนเทศ กับเป้าประสงค์ระดับประเทศและเป้าประสงค์ระดับองค์กร ซึ่งจะขอขยายความและพูดคุยกันเป็นตอนๆ ไปนะครับ
ถ้าอย่างนี้ เราลองมาเริ่มต้นพิจารณาถึงการเปลี่ยนแปลงสภาพแวดล้อม เอาแค่ในระดับองค์กรก่อนนะครับ เช่น การปรับเปลี่ยนนโยบาย กลยุทธ์ โครงสร้างองค์กร กระบวนการทำงาน การเปลี่ยนแปลงทรัพยากร ซึ่งหมายถึง Cyber/สารสนเทศ การบริการโครงสร้างพื้นฐานและระบบงาน รวมทั้งบุคลากร ทักษะ และศักยภาพของบุคลากรระดับต่างๆ ที่จะเชื่อมโยงหรืออิงกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จในกระบวนการกำกับ และการบริหารความเสี่ยง คือ ทรัพยากรดังกล่าวต้องเชื่อมโยงกับหลักการ ซึ่งหลักการดังกล่าวในที่นี้ หมายถึงท่านใช้หลักการอะไร มีนโยบายและกรอบการดำเนินการอย่างไร ซึ่งเป็นเรื่องสำคัญมาก เทียบได้กับการติดกระดุมเม็ดแรก และกระดุมเม็ดนี้จะเชื่อมต่อไปยังปัจจัยอื่นๆ ทีก่อให้เกิดความสำเร็จ คือ กระบวนการทำงาน โครงสร้างองค์กร และวัฒนธรรม จริยธรรม และพฤติกรรมของผู้บริหารและผู้ปฏิบัติงานทุกระดับ
นอกจากนี้ รวมทั้งองค์กร/ท่านจะต้องพิจารณาการเปลี่ยนแปลงสภาพแวดล้อมจากปัจจัยภายนอก เช่น กฎหมาย (พรบ. ไซเบอร์ พรบ. ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นเรื่องใหม่ ที่ท้าทายความเข้าใจในการนำไปปฏิบัติงานเป็นอย่างยิ่ง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสที่เหมาะสมต่อไป) มาตรฐาน แนวการปฏิบัติงาน และเรื่องสำคัญก็คือ การเปลี่ยนแปลงทางการเมือง เศรษฐกิจ นโยบายภาครัฐ แน่นอนตามที่ผมได้กล่าวมาแล้วคือ การเปลี่ยนแปลงสภาพแวดล้อมและเทคโนโลยีที่มีนวัตกรรมใหม่ๆ และก้าวหน้าอย่างยิ่ง และอาจส่งผลกระทบต่อการดำเนินงานทั้งมิติของความมั่นคงของประเทศ/องค์กร และการบรรลุเป้าหมาย ฯลฯ ดังกล่าวข้างต้น ซึ่งจะก่อให้เกิดความเสี่ยงต่อประเทศและองค์กรโดยรวม ในการบรรลุวิสัยทัศน์ และพันธกิจของประเทศและองค์กร ซึ่ง COSO ERM 2017 จะได้นำแนวทางการบริหารความเสี่ยงมาประยุกต์ใช้ ให้ความสำคัญในการเลือกกลยุทธ์ที่เหมาะสม (Strategy Selection) ตอบสนองวิสัยทัศน์ พันธกิจ และการดำเนินงานเพื่อให้บรรลุเป้าหมายและวัตถุประสงค์ ให้เป็นไปตามกลยุทธ์ที่เลือกไว้แล้ว (Strategy Implementaion) ในระดับประเทศหรือระดับองค์กร
ที่มา : http://www.coso.org
การกำกับ (Governance) และการบริหารความเสี่ยง (Risk Management) รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่างๆ (Compliance) เป็น 3 องค์ประกอบที่ต้องเข้าใจในกระบวนการบริหารแบบบูรณาการอย่างแท้จริง มิฉะนั้น ถ้าขาดองค์ประกอบข้อหนึ่งข้อใด การสร้างคุณค่าเพิ่มตามหลักการ Governance ก็ไม่อาจจะเกิดขึ้นได้จากการบริหารความเสี่ยงที่ด้อยคุณภาพ รวมทั้ง ความสามารถในการปฏิบัติตาม Compliance ที่ควรเข้าใจอย่างแท้จริง
การบริหารความเสี่ยงเป็นองค์ประกอบสำคัญยิ่งที่จะสนับสนุนให้ประเทศ/องค์กร สามารถดำเนินงานได้ตามเป้าหมายที่กำหนดไว้แล้ว และยังสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้อีกทางหนึ่ง ซึ่งเป็นแนวคิดที่สำคัญยิ่งที่จะต้องนำไปสู่การปฏิบัติ องค์กรหลายแห่งจึงได้นำกรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการ (Enterprise Risk Management – Intregrated Framework) ตามแนวทาง COSO ERM มาประยุกต์ใช้เป็นกรอบในการพัฒนาระบบการบริหารความเสี่ยง ซึ่งโดยรวมก็คือ การมีวัตถุประสงค์ให้คณะกรรมการ ผู้บริหาร และผู้ที่เกี่ยวข้อง ได้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง และองค์ประกอบที่เกี่ยวข้อง เพื่อสร้างความเข้าใจให้ตรงกันกับคำนิยาม เรื่องเป้าหมายและวัตถุประสงค์ อันจะสร้างความรับผิดชอบอย่างทั่วถึงและเป็นไปในทิศทางเดียวกันทั่วทั้งองค์กรได้อย่างมีประสิทธิภาพ
สรุปความเข้าใจโดยรวมของการบริหารความเสี่ยง ตามแนวทาง COSO ERM 2017 แบบผสมผสานกับหลักการ/มาตรฐานอื่นๆ เบื้องต้น มีดังนี้
ความเข้าใจในเรื่องการกำหนดกลยุทธ์การบริหารความเสี่ยง การกำกับและการบริหารความเสี่ยง รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามที่กล่าวข้างต้นนั้น เท่าที่ผู้เขียนได้ประสบพบมาปรากฎว่า การกำหนดแนวทางเรื่องกลยุทธ์การบริหารความเสี่ยง มีความเข้าใจแตกต่างอย่างมีนัยสำคัญ ซึ่งมีผลทำให้กระบวนการบริหารความเสี่ยง ซึ่งถูกหยิบยกขึ้นไปสู่ระดับความรับผิดชอบของคณะกรรมการควบคู่กับการสร้างดุลยภาพสู่วิสัยทัศน์ พันธกิจ แผนงาน โครงการต่างๆ ซึ่งในที่สุดแล้ว คณะกรรมการจะต้องประเมินผล และรับผิดชอบในเรื่องที่กล่าวนั้น ยังไม่มีการถ่ายทอดและทำความเข้าใจ รวมทั้งการออกนโยบายการควบคุมการปฏิบัติงาน การตรวจสอบ การรายงาน การติดตามผล อย่างมีนัยสำคัญ
การกำหนดกลยุทธ์การบริหารความเสี่ยง ควรพิจารณาในเรื่องที่น่าสนใจต่อไปนี้
ทั้งนี้ กรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการตามแนวทางของ COSO ERM ทำให้มั่นใจได้ว่า กระบวนการทำงานต่างๆ ทั่วทั้งองค์กรได้รับการสนับสนุนจากการบริหารความเสี่ยงอย่างต่อเนื่องและมีประสิทธิภาพ ซึ่งจะมีผลทำให้การบริหารความเสี่ยงมีความสำคัญต่อการบริหารที่สอดคล้องกับกลยุทธ์ การวางแผนงาน รวมทั้งกระบวนการรายงานผลที่สนองตอบต่อนโยบายต่างๆ ในการสร้างคุณค่าเพิ่มและสร้างวัตนธรรมให้กับองค์กร
ผมมีความเห็นส่วนตัวว่า ในกรณีที่ท่านผู้บริหาร รู้สึกสับสนว่าจะใช้กรอบการกำกับการดำเนินงานในระดับประเทศหรือในระดับองค์กรที่เกี่ยวข้องกับกระบวนการบริหารและการจัดการ IT ซึ่งในที่นี้ผมของเน้นในเรื่องของการบรูรณาการ GRC นะครับว่า ท่านควรใช้มาตรฐานที่เกี่ยวข้องในการกำกับและการบริหาร รวมทั้งการปฏิบัติงานที่ดีที่สุดและเป็นสากล โดยเพียงเข้าใจกระบวนการบริหารแบบบูรณาการที่แท้จริงเท่านั้นนะครับ เพราะมาตรฐานต่างๆ ของการบริหารความเสี่ยงตามที่กล่าวข้างต้น เป็นเพียงกรอบแนวคิด ไม่ใช่เป็นเครื่องมือสำเร็จรูปที่แต่ละองค์กรสามารถนำไปใช้ได้ทันที แต่ท่านควรเข้าใจในหลักการเบื้องต้นที่เกี่ยวข้องกับหลายปัจจัยตามที่กล่าวแล้วนะครับ
โดย อ. เมธา สุวรรณสาร