COSO ERM 2017 กับแนวทางการกำกับ การบริหารยุค Thailand 4.0

COSO ERM 2017 กับแนวทางการกำกับ การบริหารยุค Thailand 4.0

         ผมได้ห่างหายในการพูดคุยกับท่านผู้อ่านและเล่าเรื่องราวต่างๆ ในหัวข้ออื่นๆ ที่นอกเหนือจากหัวข้อ CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง จึงขอวกมาคุยและเล่าเรื่องราวต่างๆ ที่เกี่ยวข้องกับการกำกับ การบริหารความเสี่ยงยุคใหม่ ในมุมมองของ COSO ERM 2017 ซึ่งแน่นอนว่าจะแตกต่างจากการบริหารความเสี่ยงในมิติอื่นๆ อยู่บ้าง แต่อย่างไรก็ดี แนวการบริหารความเสี่ยงของ COSO ERM 2017 และมาตรฐานการบริหารความเสี่ยง ตาม ISO31000-2018 และแนวการบริหารความเสี่ยงของ COBIT5 for Risk จะมีจุดเน้น รวมทั้งกรอบแนวคิด กระบวนการจัดการกับการบริหารความเสี่ยงทั่วทั้งองค์กร ที่มีทั้งมุมมองแตกต่างกัน และมีมุมมองที่ใกล้เคียงกัน ซึ่งท่านผู้อ่านควรจะได้ติดตามกระบวนการที่เกี่ยวข้องเพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมต่อไป

         ผมจะไม่เน้นการพูดถึงหลักการและทฤษฎีต่างๆ ที่เกี่ยวข้องกับการบริหารความเสี่ยงของแต่ละค่าย/สถาบัน ตามที่กล่าวข้างต้น แต่จะพูดในภาพรวมทางด้านที่สามารถจะนำไปปฏิบัติได้ตามวัตถุประสงค์ กลยุทธ์ วิสัยทัศน์ และเป้าหมายหลักๆ ขององค์กร ที่เกี่ยวข้องกับความเสี่ยงที่ยอมรับได้ ทั้งนี้เพราะ ความเสี่ยงไม่ได้หมายถึงเหตุการณ์ที่จะก่อให้เกิดความเสียหายหรือการไม่บรรลุวัตถุประสงค์เพียงเท่านั้น แต่ยังหมายถึงโอกาสที่จะสร้างคุณค่าเพิ่ม หรือผลประโยชน์ให้กับผู้มีผลประโยชน์ร่วม (Stakesholder) และสร้างโอกาสและศักยภาพในการพัฒนาเศรษฐกิจ สังคม การลงทุน ตามสภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็ว

          การกำหนดหลักการบริหารความเสี่ยงเพื่อลดระดับความเสี่ยงที่จะเกิดขึ้นกับระดับประเทศ ระดับองค์กร เพื่อสร้างความน่าเชื่อถือในมิติต่างๆ ซึ่งเป็นเรื่องสำคัญอย่างยิ่งยวดในการพัฒนาประเทศ และองค์กรให้เจริญเติบโตอย่างยั่งยืน โดยการกำหนดระดับความเสี่ยงที่ประเทศและองค์กรยอมรับได้ ในเรื่องต่างๆ ที่เกี่ยวข้องนั้น ผู้บริหารระดับประเทศ ผู้บริหารระดับองค์กร ควรจะเข้าใจถึงองค์ประกอบของกระบวนการบริหารความเสี่ยง ที่ต้องมีกระบวนการจัดการที่ชัดเจน และมีการกำกับแบบบูรณาการระหว่างเทคโนโลยีสารสนเทศ กับเป้าประสงค์ระดับประเทศและเป้าประสงค์ระดับองค์กร ซึ่งจะขอขยายความและพูดคุยกันเป็นตอนๆ ไปนะครับ

          ถ้าอย่างนี้ เราลองมาเริ่มต้นพิจารณาถึงการเปลี่ยนแปลงสภาพแวดล้อม เอาแค่ในระดับองค์กรก่อนนะครับ เช่น การปรับเปลี่ยนนโยบาย กลยุทธ์ โครงสร้างองค์กร กระบวนการทำงาน การเปลี่ยนแปลงทรัพยากร ซึ่งหมายถึง Cyber/สารสนเทศ การบริการโครงสร้างพื้นฐานและระบบงาน รวมทั้งบุคลากร ทักษะ และศักยภาพของบุคลากรระดับต่างๆ ที่จะเชื่อมโยงหรืออิงกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จในกระบวนการกำกับ และการบริหารความเสี่ยง คือ ทรัพยากรดังกล่าวต้องเชื่อมโยงกับหลักการ ซึ่งหลักการดังกล่าวในที่นี้ หมายถึงท่านใช้หลักการอะไร มีนโยบายและกรอบการดำเนินการอย่างไร ซึ่งเป็นเรื่องสำคัญมาก เทียบได้กับการติดกระดุมเม็ดแรก และกระดุมเม็ดนี้จะเชื่อมต่อไปยังปัจจัยอื่นๆ ทีก่อให้เกิดความสำเร็จ คือ กระบวนการทำงาน โครงสร้างองค์กร และวัฒนธรรม จริยธรรม และพฤติกรรมของผู้บริหารและผู้ปฏิบัติงานทุกระดับ

          นอกจากนี้ รวมทั้งองค์กร/ท่านจะต้องพิจารณาการเปลี่ยนแปลงสภาพแวดล้อมจากปัจจัยภายนอก เช่น กฎหมาย (พรบ. ไซเบอร์ พรบ. ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นเรื่องใหม่ ที่ท้าทายความเข้าใจในการนำไปปฏิบัติงานเป็นอย่างยิ่ง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสที่เหมาะสมต่อไป) มาตรฐาน แนวการปฏิบัติงาน และเรื่องสำคัญก็คือ การเปลี่ยนแปลงทางการเมือง เศรษฐกิจ นโยบายภาครัฐ แน่นอนตามที่ผมได้กล่าวมาแล้วคือ การเปลี่ยนแปลงสภาพแวดล้อมและเทคโนโลยีที่มีนวัตกรรมใหม่ๆ และก้าวหน้าอย่างยิ่ง และอาจส่งผลกระทบต่อการดำเนินงานทั้งมิติของความมั่นคงของประเทศ/องค์กร และการบรรลุเป้าหมาย ฯลฯ ดังกล่าวข้างต้น ซึ่งจะก่อให้เกิดความเสี่ยงต่อประเทศและองค์กรโดยรวม ในการบรรลุวิสัยทัศน์ และพันธกิจของประเทศและองค์กร ซึ่ง COSO ERM 2017 จะได้นำแนวทางการบริหารความเสี่ยงมาประยุกต์ใช้ ให้ความสำคัญในการเลือกกลยุทธ์ที่เหมาะสม (Strategy Selection) ตอบสนองวิสัยทัศน์ พันธกิจ และการดำเนินงานเพื่อให้บรรลุเป้าหมายและวัตถุประสงค์ ให้เป็นไปตามกลยุทธ์ที่เลือกไว้แล้ว (Strategy Implementaion) ในระดับประเทศหรือระดับองค์กร

https://itgthailand.files.wordpress.com/2019/03/coso-erm-2017.png?w=450

ที่มา : http://www.coso.org

          การกำกับ (Governance) และการบริหารความเสี่ยง (Risk Management) รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่างๆ (Compliance) เป็น 3 องค์ประกอบที่ต้องเข้าใจในกระบวนการบริหารแบบบูรณาการอย่างแท้จริง มิฉะนั้น ถ้าขาดองค์ประกอบข้อหนึ่งข้อใด การสร้างคุณค่าเพิ่มตามหลักการ Governance ก็ไม่อาจจะเกิดขึ้นได้จากการบริหารความเสี่ยงที่ด้อยคุณภาพ รวมทั้ง ความสามารถในการปฏิบัติตาม Compliance ที่ควรเข้าใจอย่างแท้จริง

         การบริหารความเสี่ยงเป็นองค์ประกอบสำคัญยิ่งที่จะสนับสนุนให้ประเทศ/องค์กร สามารถดำเนินงานได้ตามเป้าหมายที่กำหนดไว้แล้ว และยังสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้อีกทางหนึ่ง ซึ่งเป็นแนวคิดที่สำคัญยิ่งที่จะต้องนำไปสู่การปฏิบัติ องค์กรหลายแห่งจึงได้นำกรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการ (Enterprise Risk Management – Intregrated Framework) ตามแนวทาง COSO ERM มาประยุกต์ใช้เป็นกรอบในการพัฒนาระบบการบริหารความเสี่ยง ซึ่งโดยรวมก็คือ การมีวัตถุประสงค์ให้คณะกรรมการ ผู้บริหาร และผู้ที่เกี่ยวข้อง ได้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง และองค์ประกอบที่เกี่ยวข้อง เพื่อสร้างความเข้าใจให้ตรงกันกับคำนิยาม เรื่องเป้าหมายและวัตถุประสงค์ อันจะสร้างความรับผิดชอบอย่างทั่วถึงและเป็นไปในทิศทางเดียวกันทั่วทั้งองค์กรได้อย่างมีประสิทธิภาพ

สรุปความเข้าใจโดยรวมของการบริหารความเสี่ยง ตามแนวทาง COSO ERM 2017 แบบผสมผสานกับหลักการ/มาตรฐานอื่นๆ เบื้องต้น มีดังนี้

  • สร้างความเข้าใจว่า ERM (Enterprise Risk Management) เป็นส่วนหนึ่งของ Governance และ Compliance และควรเข้าใจว่าหลักการสร้างคุณค่าเพิ่มนั้น หมายถึงการบูรณาการของ G + R + C หรือ GRC ที่มีทั้งเรื่อง Business และ IT
  • สร้างความเข้าใจว่ากรอบการดำเนินการทางธุรกิจสำหรับการกำกับดูแลและการบริหารจัดการนั้น ควรเข้าใจการกำกับและการบริหาร IT ระดับองค์กรเสมอ
  • เพื่อให้คณะกรรมการและผู้บริหาร รวมทั้งบุคลากรขององค์กร ได้ตระหนักและเข้าใจถึงเป้าหมายและวัตถุประสงค์ และแนวทางการบริหารความเสี่ยงขององค์กร ใช้เป็นส่วนหนึ่งของกระบวนการพัฒนาความเสี่ยง เพื่อสนับสนุนงานขององค์กรเพื่อให้เป็นไปตามเป้าหมายที่กำหนดไว้ และเป็นไปตามแผนการดำเนินงานและแผนกลยุทธ์ที่เกี่ยวข้อง (ไม่ว่าจะอธิบายในมิติใด หากไม่เข้าใจหรือไม่คำนึงถึง 2 ประเด็นข้างต้นอย่างแท้จริง ประสิทธิภาพและประสิทธิผลของ GRC จะได้ผลลัพธ์อย่างจำกัด จนถึงระดับที่ไม่อาจสามารถสร้างคุณค่าเพิ่มและเติบโตอย่างยั่งยืนได้)
  • เพื่อการพัฒนาองค์ความรู้ด้านการบริหารความเสี่ยง และสนับสนุนการบริหารความเสี่ยงเป็นวัตนธรรมขององค์กร เพื่อการเติบโตอย่างยั่งยืน
  • เพื่อให้มีกรอบแนวทางการบริหารความเสี่ยงอย่างเป็นระบบ เข้าใจทิศทางเชิงกลยุทธ์ขององค์กร โดยมีมาตรฐานและการจัดการกับความเสี่ยงที่มีความสำคัญต่อเป้าหมายหลักขององค์กร และป้องกันความเสี่ยงในระยะยาว ที่จะมีผลกระทบต่อการเติบโตอย่างยั่งยืนและประสิทธิภาพขององค์กร

          ความเข้าใจในเรื่องการกำหนดกลยุทธ์การบริหารความเสี่ยง การกำกับและการบริหารความเสี่ยง รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามที่กล่าวข้างต้นนั้น เท่าที่ผู้เขียนได้ประสบพบมาปรากฎว่า การกำหนดแนวทางเรื่องกลยุทธ์การบริหารความเสี่ยง มีความเข้าใจแตกต่างอย่างมีนัยสำคัญ ซึ่งมีผลทำให้กระบวนการบริหารความเสี่ยง ซึ่งถูกหยิบยกขึ้นไปสู่ระดับความรับผิดชอบของคณะกรรมการควบคู่กับการสร้างดุลยภาพสู่วิสัยทัศน์ พันธกิจ แผนงาน โครงการต่างๆ ซึ่งในที่สุดแล้ว คณะกรรมการจะต้องประเมินผล และรับผิดชอบในเรื่องที่กล่าวนั้น ยังไม่มีการถ่ายทอดและทำความเข้าใจ รวมทั้งการออกนโยบายการควบคุมการปฏิบัติงาน การตรวจสอบ การรายงาน การติดตามผล อย่างมีนัยสำคัญ

การกำหนดกลยุทธ์การบริหารความเสี่ยง ควรพิจารณาในเรื่องที่น่าสนใจต่อไปนี้

  • กลยุทธ์ของประเทศหรือองค์กรที่ไม่สอดคล้องกับระดับนโยบาย พันธกิจ วัตถุประสงค์และเป้าหมาย รวมทั้งแผนงานและโครงการ ทั้งในระดับประเทศและระดับองค์กร เป็นความเสี่ยงสูงสุด เพราะเป็นการปักธงนำกระบวนการสร้างคุณค่าเพิ่มโดยรวม
  • ความสอดคล้องกับแนวทางมาตรฐานของหน่วยงานกำกับดูแล ซึ่งควรจะได้มาตรฐานและแนวปฏิบัติที่ยอมรับกันเป็นสากล รวมทั้งข้อกำหนดของกฎหมาย ระเบียบ หลักเกณฑ์ ประกาศ และแนวทางปฏิบัติที่ดี
  • การกำหนดขอบเขต และลักษณะการดำเนินงานขององค์กร ให้เหมาะสมกับสภาพแวดล้อมที่เปลี่ยนแปลงไป ซึ่งมีเรื่องและปัจจัยรวมทั้งองค์ประกอบหลากหลายที่ยังไม่ได้กล่าวในรายละเอียดนะครับ ทั้งนี้ จะต้องมีความสอดคล้องกับนโยบาย กลยุทธ์ เป้าหมาย แผนงาน และโครงการต่างๆ ขององค์กร
  • ควรมีการทบทวนกลยุทธ์การบริหารความเสี่ยงอย่างน้อยปีละครั้ง ให้สอดคล้องกับแผนงานประจำปี หรือทบทวนเมื่อมีเหตุการณ์เปลี่ยนแปลงที่สำคัญ เช่น การปฏิบัติตามพรบ. ไซเบอร์ และพรบ. ความคุ้มครองข้อมูลส่วนบุคคล ที่จะมีการประกาศใช้ในภาคบังคับอีกไม่นานนับจากนี้ ทั้งนี้เพราะ จะได้ลดความเสี่ยงจากการไม่ปฏิบัติตามหลักการ Compliance รวมทั้งเพื่อให้ทราบถึงปัญหาและอุปสรรคในการบรรลุเป้าหมายการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายขององค์กรโดยรวม

          ทั้งนี้ กรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการตามแนวทางของ COSO ERM ทำให้มั่นใจได้ว่า กระบวนการทำงานต่างๆ ทั่วทั้งองค์กรได้รับการสนับสนุนจากการบริหารความเสี่ยงอย่างต่อเนื่องและมีประสิทธิภาพ ซึ่งจะมีผลทำให้การบริหารความเสี่ยงมีความสำคัญต่อการบริหารที่สอดคล้องกับกลยุทธ์ การวางแผนงาน รวมทั้งกระบวนการรายงานผลที่สนองตอบต่อนโยบายต่างๆ ในการสร้างคุณค่าเพิ่มและสร้างวัตนธรรมให้กับองค์กร

          ผมมีความเห็นส่วนตัวว่า ในกรณีที่ท่านผู้บริหาร รู้สึกสับสนว่าจะใช้กรอบการกำกับการดำเนินงานในระดับประเทศหรือในระดับองค์กรที่เกี่ยวข้องกับกระบวนการบริหารและการจัดการ IT ซึ่งในที่นี้ผมของเน้นในเรื่องของการบรูรณาการ GRC นะครับว่า ท่านควรใช้มาตรฐานที่เกี่ยวข้องในการกำกับและการบริหาร รวมทั้งการปฏิบัติงานที่ดีที่สุดและเป็นสากล โดยเพียงเข้าใจกระบวนการบริหารแบบบูรณาการที่แท้จริงเท่านั้นนะครับ เพราะมาตรฐานต่างๆ ของการบริหารความเสี่ยงตามที่กล่าวข้างต้น เป็นเพียงกรอบแนวคิด ไม่ใช่เป็นเครื่องมือสำเร็จรูปที่แต่ละองค์กรสามารถนำไปใช้ได้ทันที แต่ท่านควรเข้าใจในหลักการเบื้องต้นที่เกี่ยวข้องกับหลายปัจจัยตามที่กล่าวแล้วนะครับ

 

โดย อ. เมธา สุวรรณสาร