วันที่ พุธ สิงหาคม 2554

พิมพ์หน้านี้  |  ดูบล๊อกอื่นๆ ที่ OKnation

 

Proactive GRC: เงื่อนไขที่หลีกเลี่ยงไม่ได้ต่อไป


                  อ.จิรพร  สุเมธีประสิทธิ์

sumetheeprasit@hotmail.com

            ผู้บริการขององค์กรต่างๆ ในปัจจุบันทั้งที่บริหารจัดการองค์กรเอกชนและรัฐวิสาหกิจล้วนแต่อยู่ภายใต้แรงกดดันที่เพิ่มขึ้นว่า

(ก) จะต้องหาทางทำความเข้าใจเกี่ยวกับแนวคิดของ Governance, Risk Management, and Compliance หรือ GRC เพิ่มขึ้น

(ข)  จะต้องเพิ่มความสามารถในการตอบโต้ต่อประเด็นทั้ง 3 ประเด็น  อย่างเพียงพอ

(ค)  จะต้องหาทางสร้างผลลัพธ์ที่สะท้อนความสำเร็จของการพัฒนาแนวคิด GRC ผ่านบรรดา KPIs ต่างๆ ซึ่งรวมทั้ง

-     ความสามารถในการทำกำไรที่เพิ่มขึ้น

-     ความพอใจของลูกค้าที่พัฒนาขึ้น

-     การเติบโตของยอดจำหน่ายและรายรับ

-     การคุกคืบในด้านส่วนแบ่งทางการตลาด

-     การเพิ่มขึ้นของมูลค่าตลาดและตระหนักในมูลค่าของ
แบรนด์

ขณะเดียวกัน ผู้บริหารขององค์กรพบว่าตนกำลังเผชิญหน้ากับการเรียกร้องและการร้องขอที่เพิ่มขึ้นทุกขณะจากทั้งผู้มีส่วนได้ส่วนเสียภายนอก หน่วยงานที่ทำหน้าที่กำกับองค์กร  นักวิเคราะห์กิจการ  ตลอดจนสื่อมวลชน  และสาธารณชนทั่วไปที่รับฟังและบริโภคข้อมูลข่าวสารต่างๆ

นั่นหมายความว่าผู้บริหารองค์กรมีแนวโน้มที่จะต้องดำเนินงานบริหารจัดการองค์กรท่ามกลางสภาพแวดล้อมที่มีโทนของประเด็นความเสี่ยงเพิ่มขึ้นและซับซ้อนขึ้น  อีกทั้ง Portfolio View Of Risk มีขอบเขตที่กว้างขวางขึ้นเรื่อยๆ และมีพฤติกรรมของการเปลี่ยนแปลงอย่างต่อเนื่อง

ด้วยเหตุนี้การวางแผนที่ดีและการมีโครงสร้างขององค์กรที่ตอบสนองต่อ GRC จึงเป็นวิกฤตที่ไม่อาจหลีกเลี่ยงได้ต่อไปในทุกองค์กร   ไม่ว่าจะอยู่ในสาขาธุรกิจใดก็ตาม การจัดรูปโฉมและหน้าตาของการบริหารความเสี่ยงตามหลัก GRC ได้กลายเป็นบทบาทของ Proactive CEO เพื่อนำไปสู่การเพิ่มมูลค่าให้แก่องค์กรหนทางหนึ่งไปแล้ว

การจัดการอย่างหนึ่งที่จะทำให้เกิด Proactive GRC ในองค์กรก็คือการใช้ GRC เป็นเสมือนทรัพยากรอย่างหนึ่งขององค์กรที่ต้องสอดประสานกับทรัพยากรการบริหารจัดการที่มีอยู่แล้ว  เพราะ Proactive หมายถึงการมองไปข้างหน้า (Forward-looking) ผู้บริหารองค์กรจึงต้องมีเครื่องมือในการติดตามสอดส่องกระบวนการดำเนินงานทางธุรกิจที่มีขีดความสามารถและประสิทธิผลอย่างแท้จริง  ซึ่งเครื่องมือหนึ่งก็คือ Proactive GRC

องค์กรแทบจะทุกประเภทธุรกิจต้องติดต่อและสัมพันธ์กับผู้คนในลักษณะที่แตกต่างกัน  หากผู้บริหารองค์กรสามารถแสดงให้ผู้คนทุกภาคส่วนและทุกกลุ่มเห็นว่า องค์กรมีความพร้อมในการจัดการกับกฎเกณฑ์ใหม่  และความเสี่ยงใหม่ๆ ก็จะทำให้มุมมองของผู้คนที่มีต่อองค์กรเปลี่ยนแปลงไปในทางที่ดีขึ้นอย่างมากมายและเหนือความคาดหมาย

กิจการและองค์กรในต่างประเทศ ได้พบว่าเริ่มมีการเปลี่ยนแปลงมุมมองด้วยการมุ่งใช้ GRC เป็นมูลค่าเพิ่มขององค์กร  ด้วยการฉีกตัวเองออกจากแนวคิดเดิมๆ ด้วยการพัฒนาและยกระดับของหลักการดำเนินงานที่ดีผ่านการบริหารจัดการกับความเสี่ยงเพิ่มขึ้นอย่างเพียงพอ และหากการกำกับและควบคุมความเสี่ยงตามแนวคิด GRC สำเร็จผล องค์กรก็จะมีต้นทุนในส่วนของทรัพยากรของกระบวนการ GRC ลดลงตามลำดับ

การบริหารความเสี่ยงในยุคสมัยใหม่ได้กลายเป็นส่วนที่บูรณาการไว้ในเงื่อนไขของการบริหารกิจการที่ดีหรือบรรษัทภิบาล และยังถูกจัดวางไว้เป็นองค์ประกอบหนึ่งของกระบวนการบริหารเพื่อการส่งมอบสินค้าและบริการตามภารกิจขององค์กร

อย่างไรก็ตาม การศึกษาเกี่ยวกับพฤติกรรมขององค์กรเกี่ยวกับการใช้ Proactive GRC ระหว่างประเทศพัฒนาแล้วกับประเทศเกิดใหม่พบว่าแตกต่างกันมาก   ในขณะที่ประเทศพัฒนาแล้วอย่างเช่นประเทศอังกฤษราว 3 ใน  4 ขององค์กรเอาการบริหารความเสี่ยงไปใส่ไว้ในการวางแผนเชิงกลยุทธ์  ภาพที่ปรากฏในประเทศเกิดใหม่ออกมาแตกต่างกันมาก อย่างเช่นในจีนยังไม่ปรากฏแม้แต่วัฒนธรรมของการบริหารความเสี่ยงและการกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์  แม้ว่าจะเริ่มมีการก่อตัวของแนวคิดนี้ในองค์กรขนาดใหญ่บ้างแล้ว

ในประเทศอื่นๆ ในภูมิภาคเอเชีย ก็พบว่ายังขาดการบริหารความเสี่ยงอย่างเพียงพอ และจากการสำรวจของเอิร์นท แอนด์ยังพบว่าระดับของการทุจริตในอินเดียได้เพิ่มขึ้นด้วยซ้ำในรอบ 2 ปีที่ผ่านมา  เพราองค์กรราว 68% ไม่ได้มีการอบรมและสร้างความเข้าใจเรื่องการต่อต้านการทุจริตในพนักงานขององค์กรด้วยซ้ำ

การนำเอาแนวคิด Governance, Risk Management and Compliance หรือ GRC มาใช้เป็นส่วนหนึ่งของการบริหารจัดการธุรกรรมภายในองค์กร   ดูเหมือนว่าจะทำให้ความคาดหวังของผู้บริหารระดับสูงต่อกลไกการดำเนินงานและกิจกรรมในระดับปฏิบัติการปรับเปลี่ยนไปจากเดิม

อะไรบ้างที่เป็นความคาดหวังใหม่ของผู้บริหารระดับสูง  ที่สนับสนุนการนำแนวคิด GRC มาใช้ภายในองค์กร

ประการแรก การปฏิบัติให้เป็นไปตามกฎเกณฑ์ไม่ใช่เรื่องของการตรวจสอบหรือกำกับด้วยเอกสารหรือทดสอบประสิทธิผลของการควบคุมภายใน  หากแต่เป็นเรื่องของทุกคนที่ต้องเข้ามามีส่วนร่วม  ตั้งแต่การเรียนรู้และทำความเข้าใจความหมายของการกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์ที่เกี่ยวข้องกับกิจกรรมการดำเนินงานประจำวัน  หรืองานโครงการของตน  ตลอดจนความรับผิดชอบที่เกี่ยวกับการควบคุมการปฏิบัติให้เป็นไปตามกฎเกณฑ์ที่แพร่กระจายออกไปให้แก่ทุกคน

ประการที่สอง แม้ว่าขณะนี้แนวคิดของ GRC ยังคงเป็นเรื่องใหม่สำหรับทุกคน   แต่ความรู้ความเข้าใจจะต้องเพิ่มขึ้นตามลำดับ   และการเดินทางของทุกคนด้าน GRC ไม่ใช่เรื่องของปีหรือสองปีแต่เป็นพันธกิจที่จะต้องดำเนินการพัฒนาตนเอง (self improvement) ขึ้นไปเรื่อยๆ อย่างไม่มีที่สิ้นสุด

ประการที่สาม การที่องค์กรจะดำเนินการตามกรอบแนวคิดของ GRC ได้ จำเป็นต้องลงทุนด้านโครงสร้างพื้นฐานและระบบงานเป็นเงินจำนวนมาก ซึ่งในหลายองค์กรมองว่าเงินลงทุนเพื่อซื้อการยอมรับว่าองค์กรมี GRC ค่อนข้างแพง และมีภาระต้องบำรุงรักษาและบริหารจัดการสารสนเทศที่เป็นผลลัพธ์ของกระบวนการ GRC อีกมากมายรวมทั้งเสียสละเวลากับการนี้ไปมาก จึงต้องการความคุ้มค่าของการลงทุนดังกล่าวด้วย   และทุกคนต้องเลิกมองกระบวนการของ GRC ว่าเป็นเรื่องเฉพาะกิจหรือเฉพาะกาล

ประการที่สี่  การประยุกต์ใช้แนวคิดของ GRC เป็นความท้าทายของ CRO หรือ CIO หรือคณะกรรมการตรวจสอบแล้วแต่ว่าใครจะได้รับการมอบหมายความรับผิดชอบ แม้ว่าหากจะทบทวนกันจริงๆ แล้ว ผู้บริหารขององค์กรจะถูกกำกับด้วยกฎเกณฑ์ต่างๆ มานับสิบๆ ปีแล้วก็ตาม  เพราะการพัฒนา GRC จำเป็นต้องใช้การริเริ่มด้านความคิดใหม่ๆ ให้ทันกับสถานการณ์ความไม่แน่นอนและความเสี่ยงอย่างเช่นประเด็นง่ายๆ ที่มักจะพบในองค์กรเป็นจำนวนมาก คือความล้มเหลวของการผลักดันความเสี่ยงที่มีนัยสำคัญที่องค์กรเผชิญหน้าหรือคาดว่าจะเกิดจากการควบคุมภายใน  และทำการควบคุมด้วยระบบอัตโนมัติแทนการควบคุมด้วยมือตน เรื่องของแนวคิด GRC จึงไม่ใช่เรื่องง่ายๆ อย่างที่คิดไว้แต่แรก  เพราะความเสี่ยงไม่ได้อยู่นิ่งๆ การบริหารเรื่องนี้จึงต้องอาศัยคนที่ยินดีท้าทายกับความเปลี่ยนแปลงอยู่ตลอดเวลาแทบจะทุกนาทีด้วยซ้ำไป  ตั้งแต่

(1)  การเข้าออกของบุคลากร ซึ่งเป็นทรัพยากรที่สำคัญที่สุดในการกำกับการดำเนินงาน

(2)   การเปลี่ยนแปลงกิจกรรมและภารกิจหรือตำแหน่งงานที่ทำให้ต้องปรับการควบคุม

(3)   คู่ค้ารายใหม่  ลูกค้ารายใหม่ที่เข้ามาสู่กระบวนการควบคุมและกำกับ

(4)   การนำเอาระบบงานหรือ Applications ใหม่ๆ เข้ามาใช้งาน

ประการที่ห้า  โมเดลของ GRC ที่ถ่ายจากระดับกลยุทธ์ลงสู่ระดับปฏิบัติการจะเป็นไปได้อย่างยั่งยืนควรจะสามารถกำกับ 4 ส่วนด้วยกันได้อย่างมั่นใจ ได้แก่

(ก)   บุคลากรทั้งภายในองค์กรและผู้ให้บริการภายนอก (Outsourcing)

(ข)   กระบวนการที่เป็นแบบแผนหลักของการดำเนินงานขององค์กร

(ค)  เทคโนโลยี หรือระบบงานที่จะสนับสนุนการปฏิบัติงานตามแนวคิดของ GRC

(ง)   นโยบาย คุณค่า และความคาดหวังเชิงพฤติกรรม และแผนที่ยุทธศาสตร์ที่ชัดเจน

 

 

โดย จิรพรสุเมธีประสิทธิ์

 

กลับไปที่ www.oknation.net