NEW MANAGEMENT FORUM

Central Knowledge Society

GRC : Effective Governance, Risk and Compliance Management


สวัสดี ครับ

วันนี้ เรานึกสนุกอยากเขียนเรื่อง GRC ที่รัฐวิสาหกิจหลายแห่งยังสับสน และหาคำตอบไม่ได้ว่าจะต้องทำอย่างไรบ้าง เราขออนุญาตเล่าให้ฟังตรงนี้เลยน่ะครับ จะได้เข้าใจหลักคิดของ GRC : Effective Governance, Risk and Compliance Managementให้เข้าใจกันอย่างถูกต้องครับ

คำแนะนำเกี่ยวกับ GRC 

การบริหารจัดการเกี่ยวกับ GRC เป็นหน้าที่ของคณะกรรมการบริหารองค์กรทั้งขนาดใหญ่และขนาดกลาง ที่ต้องการจะรู้ว่าองค์กรของตน ได้รับการบริหารจัดการและคุ้มครองอย่างเหมาะสมกับความเสี่ยงที่อาจจะเกิดขึ้น ด้วยจุดมุ่งหมายของการบริหารความเสี่ยง คือ การกำหนดและเข้าใจความไม่แน่นอน ความคลาดเคลื่อนของความเสี่ยง ขององค์กรตน  รวมทั้งแนวทางในการบริหารจัดการความคลาดเคลื่อนเหล่านั้น ด้วยการลดความเสี่ยงที่คาดว่าจะเพิ่มขึ้น หรือ การเพิ่มประสิทธิภาพขององค์กร  หรือ การเพิ่มผลตอบแทนของธุรกิจ

นอกจากนี้ความรับผิดชอบที่เพิ่มขึ้นและความโปร่งใสในการบริหารจัดการองค์กรของคณะกรรมการบริหาร จะถูกตรวจสอบ ติดตาม จากกลุ่มลูกค้า ผู้มีส่วนได้ส่วนเสีย  กลุ่มผู้ถือหุ้น และคณะอนุกรรมในหน่วยงานกำกับดูแลองค์กร  ซึ่งการปรับปรุงข้อกำหนดเหล่านี้จะกลายเป็นสิ่งที่ชัดเจนมากขึ้น เป็นรูปธรรมมากขึ้น และก็จำเป็นที่จะต้องมีค่าใช้จ่ายในส่วนงานกำกับดูแลกิจการภายในองค์กรให้มีความโปร่งใสมากขึ้นตามไปด้วยอย่างมีนัยสำคัญ  ซึ่งทั้งหมดนี้จะเกิดขึ้นในเวลาเดียวกันกับที่ทรัพยากรบางอย่างถูกตัดทอนลงไป (นั้นคือ วัฒนธรรมความไว้วางใจกัน  ความถ่อยทีถ่อยอาศัย แบบชาวพุทธ  ความเชื่อมั่นในผู้บริหารที่ทรงคุณวุฒิ  แต่จะกลายเป็นการตั้งป้อมจับผิดผู้บริหารระดับสูงแทน เพราะเรามีนักวิชาการที่เชื่อ ฝรั่งมากเกินไป เยอะเกินไป ทำให้เราลืมวิถีชีวิตแบบตะวันออก) 

นักวิชาการฝั่งตะวันตก ได้มีการคาดการณ์ค่าใช้จ่ายเกี่ยวกับการกำกับดูแลด้านความเสี่ยงและการปฎิบัติตาม (GRC) ประมาณ 32 พันล้านดอลลาร์ ในปี 2008  ซึ่งลำดับของความสำคัญของงบประมาณจะเพิ่มสูงขึ้นในองค์กรและการจัดการด้านความเสี่ยง สำหรับองค์กรที่ยังขาดความพร้อมมากๆ หรือ จำเป็นจะต้องจ้างที่ปรึกษามาช่วยวางระบบการบริหารจัดการด้าน GRC

GRC ไม่ใช่เครื่องมือชนิดใดชนิดหนึ่ง โดยเฉพาะทางด้านการบริหารความเสี่ยง แต่เป็นการบริหารจัดการด้านวินัย และการมีความโปร่งใสในการบริหารจัดการแบบ ทศพิธราชธรรม (คุณธรรม 10 ประการ) นั้นเองครับ เพราะเป็นการนำแนวคิดนี้มาพัฒนาแบบครบวงจรเพื่อให้เกิดความสัมพันธ์กันด้วยเหตุผลและเหตุการณ์ต่างๆ ภายในองค์กร รวมทั้งสิ่งที่เกี่ยวข้องโดยรอบ

GRC ประกอบด้วย :

 • การบริหารความเสี่ยง
 • การจัดการนโยบาย
 • การปฎิบัติตามกฎ ระเบียบ ข้อบังคับ
 • ความต่อเนื่องในการบริหารจัดการธุรกิจ
 • การบริหารจัดการทรัพย์สิน
 • การบริหารจัดการด้านการตรวจสอบภายใน / ภายนอก
 • การบริหารจัดการภัยคุกคาม องค์กร
 • การบริหารจัดการเหตุการณ์ / การจัดลำดับความสำคัญเหตุการณ์
 • การบริหารจัดการผู้ขาย (Vendor Management)

ซึ่งหลายองค์กรส่วนใหญ่ ยังขาดการบริหารจัดการในรูปแบบ GRC เพราะขาดการเชื่อมโยงด้านข้อมูลการบริหารจัดการที่เป็นระบบ เช่น หัวหน้าผู้ดูแลด้านการบริหารความเสี่ยงเทคโนโลยีสารสนเทศขององค์กร ก็จะต่อสู้เพื่อรักษาความปลอดภัยของข้อมูล โดยไม่มีการวางแผนการเชื่อมโยงความสัมพันธ์ของข้อมูล และการนำข้อมูลไปใชัแบบทั่วทั้งองค์กรเพื่อการบริหารจัดการอย่างแท้จริง

การบริหารความเสี่ยงด้านการดำเนินงานในรูปแบบ GRC 

การบริหารจะมีประสิทธิภาพในด้านการบริหารจัดการกำกับดูแลความเสี่ยงและการปฎิบัติตามกฎ ระเบียบที่กำกับดูแลองค์กร  ก็จำเป็นจะต้องสามารถที่จะสร้างความเข้าใจด้านการบริหารความเสี่ยงที่สามารถยอมรับความคลาดเคลื่อนในการบริหารจัดการความเสี่ยงเหล่านั้น  แลเพิ่มประสิทธิภาพหรือการหลีกเลี่ยงความเสี่ยงจากการดำเนินงานในลักษณะที่สำคัญของ GRC

การบริหารความเสี่ยงด้านการปฎิบัติการด้วยการเน้นการสูญเสีย (loss data) ทั้งทางตรงและทางอ้อม ที่เกิดจากความล้มเหลว ที่เกิดขึ้นจากกระบวนการปฎิบัติงานภายในองค์กร หรือระบบเทคโนโลยี  หรือเกิดจากเหตุการณ์ภายนอก  ความเสี่ยงด้านการปฎิบัติการไม่รวมถึงความเสี่ยงด้านเครดิต หรือความเสี่ยงด้านการตลาด  ซึ่งอาจจะเกิดได้หลายสาเหตุ  ซึ่งจะต้องมีการตั้งกฎ ระเบียบ ของ GRC เป็นเฉพาะด้านการปฎิบัติการด้านการเงินที่มีความซับซ้อนสูง

การบริหารจัดการ GRC ให้มีประสิทธิภาพ

องค์ประกอบที่จำเป็นในการสร้างแบบจำลอง GRC ที่มีประสิทธิภาพ ได้แก่

การจำแนกประเภทของความเสี่ยง  ซึ่งในการกำหนดแนวคิดหลักของความเสี่ยงของการบริหารความเสี่ยงองค์กร (ERM) และกรอบการบังคับด้านสภาพแวดล้อมของกฎหมายสากล   วิธีการบริหารจัดการแบบบูรณาการในการกำกับความเสี่ยงและการปฎิบัติตามการบริหารความเสี่ยงจากการดำเนินงาน

กระบวนการวัดประสิทธิภาพของ GRC 

รูปแบบและแนวทางในการกำหนด Capability Maturity Model Integration (CMMI) สามารถใช้ในการวัดและการกำหนดกระบวนการ GRC ขององค์กรได้ เพื่อใช้เป็นแนวทางในการปรับปรุงกระบวนการในโครงการต่างๆ ของธุรกิจ และ องค์กร  รูปแบบจะเป็นการให้คำแนะนำ  จุดอ้างอิง  สำหรับการประเมินกระบวนการปัจจุบัน ในบริบทของรูปแบบการปรับปรุงกระบวนการวิวัฒนาการที่มีระดับเกณฑ์ 1-5 ระดับ ดังนี้

 1.  กระบวนการเริ่มต้น (Initial Process)
 2. กระบวนการบริหารจัดการ (Managed Process)
 3. กระบวนการที่กำหนดไว้ (Defined Process)
 4. กระบวนการบริหารจัดการเชิงปริมาณ (Quantitative Managed Process)
 5. การเพิ่มประสิทธิภาพ (Optimizing)

มันเป็นสิ่งที่สำคัญที่ควรจะทราบว่าการกำหนดระดับเป้าหมายสำหรับกระบวนการ GRC ขององค์กร ควรจะมีความแตกต่างกัน ขึ้นอยู่กับสิ่งต่างๆ เช่น ขนาดขององค์กร  อุตสาหกรรม  ผลผลิตที่ออกมาสู่ประชาชน ฯลฯ

ตัวอย่าง ระดับ 1   องค์กรมักจะผลิตสินค้าและบริการที่ใช้งานได้ แต่พวกเขามักจะใช้งบประมาณในการดำเนินงานของพวกเขา เฉพาะกิจกรรม/มาตรการ เพื่อบริหารจัดการด้านความเสี่ยงเป็นหลัก

ตัวอย่าง ระดับ 5  องค์กรมุ่งเน้นไปที่การปรับปรุงประสิทธิภาพอย่างต่อเนื่องผ่านทางเทคโนโลยี และด้านนวัตกรรม  มีวัตถุประสงค์เพื่อปรับปรุงคุณภาพของสินค้า หรือ บริการ ให้มีความโดดเด่นเหนือคู่แข่งตลอดเวลา  และเพื่อสะท้อนให้เห็นถึงการเปลี่ยนแปลงวัตถุประสงค์ทางธุรกิจและการใช้เกณฑ์ในการจัดการด้านความเสี่ยงปรับปรุงการดำเนินงาน กระบวนการของรัฐในอุดมคติ

ตัวอย่าง ระดับ 3  องค์กรมีการบริหารจัดการเชิงรุก มีกระบวนการบริหารจัดการที่โดดเด่นเป็นอย่างดี  และเข้าใจวิธีการปฎิบัติงานที่เป็นมาตรฐาน มีการนำเครื่องมือในการบริหารจัดการสมัยใหม่มาใช้ในองค์กร เพื่อเพิ่มประสิทธิภาพการทำงาน และลดค่าใช้จ่ายส่วนที่ไม่จำเป็น

วันนี้ขอจบการอธิบาย เรื่อง GRC ไว้เพียงเท่านี้ก่อนนะครับเพื่อจะได้ไม่เยอะจนอ่านแล้วเบื่อ และก็ไม่น้อยไปจนอ่านแล้วไม่เข้าใจ เราก็จะเล่าให้ฟังเกี่ยวกับ GRC ในครั้งต่อไป โปรดติดตาม   ส่วนองค์กรรัฐวิสาหกิจใด สนใจอยากเชิญให้เราไปเล่าให้ฟังเกี่ยวกับการกำหนดแนวทางในการบริหารจัดการด้าน GRC ที่เหมาะสมกับองค์กรของท่าน ขอให้ติดต่อมาได้ครับ ติดต่อ คุณเอกกมล   เอี่ยมศรี โทรศัพท์ 081 588 1532  หรือ อีเมล์ info@interfinn.com ครับ 

สุดท้ายนี้ขอให้ทุกๆ ท่านมีความสุขตลอดไปครับ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

Advertisements

ตุลาคม 1, 2012 - Posted by | Risk Management

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out /  เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out /  เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out /  เปลี่ยนแปลง )

w

Connecting to %s

%d bloggers like this: