ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 1

ผมไม่ได้เขียนคอลัมน์นี้มานาน วันนี้ผมจะมาเล่าเรื่องที่เกี่ยวข้องกับการบริหารความเสี่ยงในอีกมุมมองหนึ่งก็คือ การตรวจสอบความเสี่ยง ซึ่งมีหลายมุมมองที่เกี่ยวข้อง ไม่ว่าจะในมุมมองของ COSO – ERM หรือมุมมองของ ความเสี่ยง 5 – 7 ด้านของ ธปท. ทั้งนี้ไม่รวมหัวข้อที่เกี่ยวข้องกับ IT Audit และ Integrated Audit รวมทั้งมุมมองการตรวจสอบความเสี่ยงด้าน CobiT ซึ่งจะหนักไปทาง IT Audit นะครับ

ท่านผู้อ่านครับ มาถึงช่วงต้นเดือนมกราคม 2554 และนับต่อจากนี้เป็นต้นไป ท่านคงจะได้ยินและได้อ่านเรื่องเกี่ยวกับ GRC – Governance + Risk Management + Compliance มากขึ้น ในวงการบริหารและปฏิบัติงานยุคใหม่ กระบวนการบริหารต่าง ๆ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ โดยเฉพาะอย่างยิ่งทางด้านเทคโนโลยีสารสนเทศ และการบริหารธุรกิจในระดับต่าง ๆ ของทุกองค์กร

วันนี้ผมจึงมาเล่าเรื่องมุมมองการตรวจสอบความเสี่ยงด้านกลยุทธ์ ซึ่งจะแบ่งได้เป็นหลายตอน ที่ผมเริ่มเรื่องนี้ก่อนก็เพราะความเสี่ยงด้านกลยุทธ์ มีความสำคัญอย่างยิ่งยวด และมีผลกระทบต่อกระบวนการบริหารด้านต่าง ๆ ขององค์กรเป็นอย่างยิ่ง

GRC และการจัดการ

การตรวจสอบความเสี่ยง คือการตรวจสอบ เพื่อประเมินฐานะ และผลการดำเนินงานขององค์กร โดยคำนึงถึงผลกระทบจากความเสี่ยงที่เกี่ยวข้องและมีนัยสำคัญ เพื่อที่จะสามารถแก้ไขปัญหาได้ทันท่วงที ก่อนที่จะเกิดความเสียหาย หรือก่อนที่ความเสียหายจะลุกลาม

การตรวจสอบความเสี่ยงไม่ใช่การตรวจสอบ เพื่อประเมินฐานะและผลการดำเนินงานที่เกิดขึ้นแล้วเพียง ณ วันตรวจสอบ และการบริหารความเสี่ยงขององค์กรเท่านั้น แต่ให้ความสำคัญกับการตรวจสอบ และประเมินฐานะและผลการดำเนินงานขององค์กรที่จะเป็นไปในอนาคต เท่าที่จะมีข้อมูลและหลักฐานสนับสนุนการประเมินอย่างเพียงพอ

นอกจากนี้ ยังเป็นการตรวจสอบโดยมุ่งเน้นใช้ทรัพยากร ได้แก่ ผู้ตรวจสอบและเวลาที่ใช้ในการตรวจสอบในเรื่องที่มีความเสี่ยงสำคัญ เพื่อให้การใช้ทรัพยากรที่มีจำกัดเป็นไปอย่างมีคุณค่า และเพื่อลดแรงจูงใจที่องค์กรจะยอมรับความเสี่ยงเกินกว่าระดับที่สามารถจะจัดการได้ (excessive risk / risk appetite)

แนวการตรวจสอบความเสี่ยงนั้น มีวัตถุประสงค์ เพื่อให้ผู้บริหารและผู้ตรวจสอบใช้เป็นข้อสังเกตเบื้องต้น และใช้เป็นแนวทางในการติดตาม (Monitoring) และตรวจสอบ (Audit – Assurance/Consoulting) และประเมินความเสี่ยงด้านกลยุทธ์ และด้านอื่น ๆ ที่เกี่ยวข้อง ตามเป้าประสงค์ของการบริหารความเสี่ยงในแต่ละองค์เป็นสำคัญ และ

เพื่อให้มั่นใจว่าองค์กรมีระบบการบริหารความเสี่ยงที่ใช้ในการระบุ วัด ติดตาม และควบคุมความเสี่ยงต่าง ๆ อย่างเพียงพอ ทั้งกำหนดหน้าที่และความรับผิดชอบ ในการจัดให้มีระบบการบริหารความเสี่ยงที่เหมาะสมกับปริมาณ ความซับซ้อนของระบบงาน โครงสร้างขององค์กร และสภาพแวดล้อมต่าง ๆ ที่เกี่ยวข้อง ทั้งนี้เพราะ ความเสี่ยงด้านกลยุทธ์จะมีผลกระทบอย่างกว้างขวางต่อผลสำเร็จของการบริหารในทุกมุมมองของการจัดการ โดยเฉพาะอย่างยิ่ง ความเสี่ยงทางด้านการดำเนินงาน (Operational Risk) ที่เกี่ยวข้องกับ P + P + T และการบริหารโครงการ / แผนงานต่าง ๆ ขององค์กร

ความสำเร็จในการติดตามและตรวจสอบ ต้องอาศัยความรู้เกี่ยวกับธุรกรรมขององค์กร และลักษณะที่แตกต่างของธุรกิจ สภาพแวดล้อม และวัฒนธรรมขององค์กรที่เกี่ยวข้องกับการดำเนินธุรกิจ แนวทางในการบริหารความเสี่ยง รวมทั้งพัฒนาการของวิธีการ / เครื่องมือบริหาร ความเสี่ยง และทักษะในการประเมินผลกระทบจากความเสี่ยงเหล่านั้นในลักษณะบูรณาการ (integrated) ภายใต้ร่มของ GRC

ผู้บริหารและผู้ตรวจสอบ ควรหมั่นฝึกฝนทักษะในการประเมินความเสี่ยง และการใช้ดุลยพินิจพิจารณาเรื่องต่าง ๆ โดยอาศัยหลักฐานตามกระบวนการจัดการที่ได้รับจากการตรวจสอบ ซึ่งรวบรวมไว้แล้วก่อนการตรวจสอบอย่างเพียงพอ แนวทางการบริหารและการตรวจสอบความเสี่ยงนี้ไม่ได้ครอบคลุมรายละเอียดกระบวนการ ขั้นตอนและวิธีการหาข้อมูลหลักฐานและการตรวจสอบข้อเท็จจริง (verify) ของข้อมูลหลักฐานเหล่านั้น เพื่อนำมาใช้ในการประเมินความเสี่ยง ดังนั้น ผู้บริหารและผู้ตรวจสอบใหม่จำเป็นต้องศึกษาจากแนวทางการจัดการ รวมทั้งแนวทางการตรวจสอบอื่น ๆ ที่เกี่ยวข้อง

สำหรับวันนี้ผมขออุ่นเครื่องในเรื่องความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ ตอนที่ 1 เพียงเท่านี้ก่อน ซึ่งในตอนที่ 2 และในตอนต่อ ๆ ไป ผมจะได้อธิบายถึงเรื่องหลักการติดตามของผู้บริหาร (Monitoring) กับแนวทางการตรวจสอบความเสี่ยงของผู้ตรวจสอบภายในก่อนที่จะเน้นถึงเรื่องความเสี่ยงด้านกลยุทธ์ครับ

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: