Good Corporate Governance – GCG กับสถาบันการเงินบางมุมมองของ ธปท. (ต่อ)

เมื่อวันที่ 7 มี.ค. 2552 ผมได้นำเสนอเรื่องการปรับปรุงหลักเกณฑ์ที่เกี่ยวข้องกับ GCG ของ ธปท. ที่ได้ร่างนำเสนอขอความคิดเห็นจากประธานกรรมการสถาบันการเงินต่าง ๆ ที่ห้องประชุม ดร. ป๋วย อึ้งภากรณ์ ชั้น 4 ของ ธปท. นั้น

มีผู้สนใจในข้อสังเกตบางถ้อยคำของผู้เขียนต่อที่ประชุม เช่น Interdependence และ Risk Convergence ที่ผู้เขียนได้หยิบยกมากล่าวเพิ่มเติมในเรื่องอำนาจหน้าที่ของกรรมการสถาบันการเงินที่ ธปท. ให้ความสำคัญสูงสุด 4 เรื่องคือ
1. Risk Management
2. Capital Adequacy
3. Compliance Roles
4. Good Corporate Governance

จึงขออธิบายสั้น ๆ ดังนี้
1. Interdependent
หัวข้อทั้ง 4 ที่ ธปท. ให้ความสำคัญสูงสุดข้างต้นในทุกหัวข้อมีความสำคัญอย่างยิ่งยวดในตัวของมันเองในทุกข้อ ที่เกี่ยวข้องกับความมั่นคงและการเติบโตอย่างยั่งยืนของสถาบันการเงินทุกแห่งที่ ธปท. ใช้เป็นกรอบในการกำกับ โดยมีรายละเอียดที่ไม่ขอกล่าวในที่นี้นั้น ทั้ง 4 หัวข้อยังมีปฏิสัมพันธ์และความสัมพันธ์ซึ่งกันและกันอย่างหลีกเลี่ยงไม่ได้ เพราะผลกระทบจากเหตุการณ์ การกระทำ หรือจุดอ่อนที่กล่าวข้างต้นข้อหนึ่งข้อใด จะไม่เพียงแต่มีผลกระทบต่อการบรรลุเป้าหมายในแต่ละปัจจัย หรือในแต่ละประเด็นที่กล่าวข้างต้นเท่านั้น แต่ยังจะมีผลกระทบต่อปัจจัยหรือประเด็นอื่น ๆ ที่ ธปท. ให้เป็นองค์ประกอบที่มีความสำคัญสูงสุดในการกำกับและการตรวจสอบสถาบันการเงินด้วย ความหมายข้างต้นตามที่ผมกล่าวเรียกสั้น ๆ ว่า “Interdependent”

ขอยกตัวอย่างอื่น ๆ ประกอบคำอธิบายของคำว่า Interdependent ในเรื่องที่เกี่ยวข้องกับ IT Security ตามมาตรฐาน ISO 27001 ซึ่งมี Domain หลัก ๆ 11 หัวข้อดังนี้
1. Security policy
2. Organization of information security
3. Asset management
4. Human resources security
5. Physical and environmental security
6. Communications and operations management
7. Access control
8. Information systems acquisition, development and maintenance
9. Information security incident management
10. Business continuity management
11. Compliance

ซึ่งอาจจะอธิบายโดยแผนภาพเพื่อให้เกิดความเข้าใจของคำว่า Interdependent ดังนี้

Information Security_ISO 27001

Information Security_ISO 27001

จาก Domain ทั้ง 11 ของมาตรฐาน ISO 27001 ซึ่งกระทรวงการคลัง โดย สคร. นำไปเป็นประเด็นในการพิจารณาศักยภาพการบริหารความเสี่ยงและพิจารณามุมมองการบริหารเทคโนโลยีสารสนเทศร่วมกันไปนั้น อธิบายในมุมมองของ Interdependent ได้ว่า ทั้ง 11 Domain มีความสำคัญในตัวของมันเองในแต่ละข้อ และในแต่ละข้อก็มีความสัมพันธ์ซึ่งกันและกัน เพื่อให้ได้ดุลยภาพของความปลอดภัย ความมั่นคงทางด้านเทคโนโลยีสารสนเทศ (IT Security) หากขาดข้อหนึ่งข้อใดก็พิจารณาได้ว่าดุลยภาพในการจัดการด้านความปลอดภัยและความมั่นคงทางด้านสารสนเทศที่เป็นพื้นฐานสำคัญของการประมวลข้อมูลและการรายงานต่าง ๆ เพื่อการบริหารของทุกองค์กรจะมีปัญหาสำคัญในเรื่องความน่าเชื่อถือได้ของข้อมูล และสารสนเทศที่ใช้ในการตัดสินใจขององค์กรโดยรวมเป็นอย่างยิ่ง

อาจจะอธิบายเพิ่มเติมได้ว่า หากองค์กรใดองค์กรหนึ่งได้จัดให้มีการจัดการด้าน IT Security ตั้งแต่ ข้อ 2 ถึง ข้อ 11 ครบถ้วน แต่ขาดเพียง ข้อ 1 เพียงข้อเดียว ก็เป็นเรื่องที่องค์กรนั้นจะขาดความเป็น Interdependent ทางด้าน IT Security หรือในกรณีที่องค์กรหนึ่งองค์กรใด รวมทั้งสถาบันการเงินมี IT Security ตั้งแต่ ข้อ 1 ถึง ข้อ 11 แต่ขาด IT Security ทางด้าน Business Continuity Management – BCM ซึ่งเป็นข้อ 10 เพียงข้อเดียว องค์กรนั้นหรือสถาบันการเงินนั้นก็พิจารณาได้ว่าไม่มีระบบ IT Security ที่ดีและยอมรับได้ ในมุมมองของผู้กำกับ (Regulors) และ Operators ที่เกี่ยวข้องกับการบริหารการจัดการของคณะกรรมการและผู้บริหารขององค์กร

นี่เป็นเรื่องของดุลยภาพในการบริหารและการจัดการที่ดีเพื่อการเติบโตอย่างยั่งยืน มั่นคง ++ ของทุกองค์กร ตามหลัก Good Corporate Governance – GCG และ IT Governance – ITG และเป็นไปตาม Statement ใหม่ ที่กล่าวถึง GRC – Governance + Risk + Compliance ของการบริหารการจัดการที่เป็น First Priority และการบริหารจัดการของทุกองค์กรในปัจจุบัน

จากแผนภาพข้างต้น จะเข้าใจได้ค่อนข้างชัดเจนถึงความสัมพันธ์ระหว่างองค์ประกอบต่าง ๆ ของ Domain ทั้ง 11 ที่ต้องอาศัยประสิทธิภาพและประสิทธิผลในการจัดการ IT Security ในแต่ละเรื่องให้ดีเป็นไปตามมาตรฐาน เพราะทุกเรื่องมีความสัมพันธ์ซึ่งกันและกันเช่นเดียวกับร่างกายของมนุษย์ที่มีอวัยวะ ระบบประสาท ระบบสมอง ระบบหัวใจ ระบบหลอดเลือด ระบบกล้ามเนื้อ ระบบขับถ่าย ระบบผิวหนัง และอวัยวะอื่น ๆ เช่น โครงกระดูก เป็นต้นนั้น

ทุกอวัยวะมีความสำคัญที่จะต้องทำงานสมบูรณ์ได้โดยตัวของมันเอง และต้องอาศัยระบบต่าง ๆ ที่เกี่ยวข้องมาหล่อเลี้ยงอวัยวะของตนเพื่อให้ทุกส่วนของร่างกายทำงานได้อย่างเป็นปกติ ถ้าระบบหนึ่งระบบใดของร่างกายมีปัญหา ระบบอื่น ๆ ก็จะพลอยมีปัญหาตามไปด้วยในที่สุด นั่นคือ สุขภาพทั้งร่างกายและจิตใจจะมีแต่ปัญหาตามมาจนถึงการจากไปของร่างกายและจิตวิญญาณในที่สุด นี่คือคำอธิบายโดยรวม ๆ ของคำว่า Interdependent ที่เกี่ยวข้องกับ Risk Convergence ในอีกมุมมองหนึ่ง

2. Risk Convergence
คำ ๆ นี้ก็มีความสำคัญอย่างยิ่งที่คณะกรรมการและผู้บริหาร รวมทั้งผู้ปฏิบัติระดับต่าง ๆ ขององค์กร ควรจะทำความเข้าใจให้ตรงกัน เพราะจะเกี่ยวข้องกับการขับเคลื่อนความสำเร็จในมุมมองต่าง ๆ ตามที่ ธปท. ได้กล่าวข้างต้น และตามมุมมองของ COSO-ERM และตามหลักการ Balanced Scorecard รวมทั้งกรอบมาตรฐานของ COBIT ตาม IT Governance ซึ่งผู้เขียนจะได้ขยายความในโอกาสต่อไป

สำหรับวันนี้ เพียงแต่จะอธิบาย Risk Convergence ในมุมมองกว้าง ๆ ว่า เหตุการณ์ ความไม่แน่นอน รวมทั้งโอกาสในการสร้างคุณค่าเพิ่มใหม่ ๆ ของทุกองค์กร ซึ่งอาจจะเรียกรวม ๆ กันว่าเป็นการบริหารเชิงรุก โดยผู้ที่เกี่ยวข้องจะต้องใช้ดุลยพินิจ วิจารณญาณ การวิเคราะห์เหตุการณ์ต่าง ๆ ที่อาจจะเกิดขึ้นในภายหน้าที่มีผลกระทบต่อการบรรลุเป้าประสงค์ พันธกิจ วิสัยทัศน์ ขององค์กรระดับต่าง ๆ นั้น จำเป็นอย่างยิ่งที่คณะกรรมการต่าง ๆ ผู้บริหารและผู้ปฏิบัติทุกระดับ ควรเข้าใจตรงกันว่า องค์ความรู้ที่เกี่ยวข้องกับความเสี่ยงในทุกมุมมองจะเกี่ยวข้องและสัมพันธ์กับการปฏิบัติงานขององค์กรอย่างแยกกันไม่ได้ เพราะผลกระทบของเหตุการณ์หนึ่ง ไม่ว่าจะเป็นเรื่อง IT หรือ Non-IT จะมีผลกระทบต่อวัตถุประสงค์ในการควบคุมภายในเพื่อก้าวไปสู่การบรรลุวัตถุประสงค์ระดับต่าง ๆ ของทุกองค์กร ตามหลักการของ COSO-ERM v.2 ในเรื่องที่เกี่ยวกับ S-Strategy, O-Operational, F-Financial, C-Compliance

ซึ่งรายละเอียดที่เกี่ยวข้องกับ COSO-ERM v.2 กับแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร จะได้นำเสนอในหัวข้องของ COSO-ERM และการบริหารความเสี่ยงขององค์กรในเร็ว ๆ นี้ โปรดติดตามได้ต่อไป

โดยสรุป Risk Convergence ในมุมมองของคณะกรรมการ ผู้บริหาร และผู้ปฏิบัติงานแล้ว ต้องการความเข้าใจในภาพโดยรวมของการจัดการ ในมุมมองของ Holistic Framework และ Integrated Thinking ผสมผสานกับ Allignment ของกระบวนการจัดการและการปฏิบัติงานของคณะกรรมการทุกชุด ซึ่งอาจจะอธิบายให้เข้าใจได้ง่ายจากแผนภาพประกอบด้านล่างนี้

Risk Convergence Mgmt. Model

Risk Convergence Mgmt. Model

สำหรับข้อคิดเห็นหรือข้อสังเกตเพิ่มเติมเกี่ยวข้องมุมมองของการบริหารจัดการทางด้าน Corporate Governance + Risk Management + Compliance Roles + Capital Adequacy ในเรื่องอื่น ๆ ที่เกี่ยวข้องจะได้ขยายความตามมุมมองของผู้เขียนต่อไป

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: