Internal Control&Risk Management การควบคุมภายในและการบริหารความเสี่ยง โดย ผศ.ดร.สุภาภรณ์ ภิญโญฉัตรจินดา

คำ�นำ� หนังสือ “การควบคุมภายในและการบริหารความเสี่ยง” Internal Control & Risk Management จัดทำาโดยเรียบเรียงขึ้นเพื่อเป็นส่วนหนึ่งของการศึกษา เรื่องการควบคุมภายในและการบริหาร ความเสี่ยงทั่วทั้งองค์กร โดยมีวัตถุประสงค์เพื่อให้ผู้บริหาร ผู้ปฏิบัติงาน นักศึกษา หรือผู้สนใจ นำาไปประยุกต์ใช้เพื่อการพัฒนาตนเอง องค์กร และพัฒนากระบวนการบริหารองค์กร มุ่งเน้น เพื่อการบริหารที่มีการกำาหนดกลยุทธ์ที่สอดคล้องมุ่งสู่ประสิทธิภาพและเป้าหมายความสำาเร็จ โดยมิได้มุ่งเฉพาะมิติของการควบคุมเท่านั้น และมิได้เรียบเรียงภายใต้ข้อกำาหนดของหลักสูตร หนึ่งหลักสูตรใดในระบบการศึกษา ด้วยประสบการณ์ของผู้เรียบเรียง ในการเป็นวิทยากรและที่ปรึกษาการบริหารความเสี่ยง และการควบคุมภายใน ของหน่วยงานและองค์กรอิสระ จึงมีความเข้าใจถึงบริบทของการกำาหนด กลยุทธ์เพื่อการควบคุมภายในและการบริหารความเสี่ยงเป็นอย่างดี รวมถึงการได้เข้าไปแลกเปลี่ยน ความรู้และประสบการณ์กับผู้บริหารและผู้ปฏิบัติงานเป็นจำานวนมาก จึงสามารถนำามาสู่การถ่ายทอด และเรียบเรียงถึงเนื้อหาในเชิงบริหารองค์กร การพัฒนาบุคคล และการพัฒนาความคิดเชิงระบบ เพื่อเป็นพื้นฐานการวางระบบและกลไกการควบคุมภายในและการบริหารความเสี่ยงที่มีประสิทธิภาพ ขอขอบคุณ ผู้บริหารและผู้ปฏิบัติงานในองค์กรภาครัฐและภาคเอกชน ผู้ทรงคุณวุฒิ นักวิชาการในสายงานที่เกี่ยวข้อง และ แหล่งรวบรวมข้อมูลความรู้จากภาครัฐและภาคเอกชน ทั้ง ในประเทศและต่างประเทศ ที่ผู้เรียบเรียงได้ขอรวบรวมนำาความรู้และประสบการณ์ที่ดีทั้งหมดจาก ทุกท่าน มาประมวลและเรียบเรียงเป็นหนังสือเล่มนี้ สร้างประโยชน์ในการพัฒนาระบบการควบคุม ภายในและการบริหารความเสี่ยง เพื่อพัฒนากระบวนการบริหารเชิงกลยุทธ์เพื่อเพิ่มคุณค่าให้กับ ธุรกิจ มุ่งสู่การเป็นองค์กรคุณภาพต่อไป ผู้เรียบเรียง ผู้ช่วยศาสตราจารย์ ดร.สุภาภร ภิญโญฉัตรจินดา

สารบัญ หน้า คำ�นำ� 3 สารบัญ 4 บทที่ 1 ความหมาย ความสำ�คัญของการควบคุมภายในและ 5 การบริหารความเสี่ยง บทที่ 2 ความเป็นไปได้ของการพัฒนาระบบการควบคุมภายใน 21 บทที่ 3 ต้นแบบการควบคุมภายในและการบริหารความเสี่ยง: 39 ความสัมพันธ์ต่อกลยุทธ์ขององค์กร บทที่ 4 เป้าหมายของการบริหารความเสี่ยงที่มีพื้นฐาน 51 จากพฤติกรรมของบุคคล บทที่ 5 ภาพรวมของการปรับตัวและพัฒนา: 63 COSO 2004; COSO 2013; COSO 2017 บทที่ 6 การเรียนรู้: การพัฒนาแนวคิด พัฒนาบุคคล 79 เพื่อพัฒนาการควบคุมภายในและการบริหารความเสี่ยง บทที่ 7 โครงสร้างการบริหารและการจัดการควบคุม: 89 บทบาทและการมีส่วนร่วมในการบริหารความเสี่ยง ความหมาย ความสำ�คัญ ของการควบคุมภายใน และ การบริหารความเสี่ยง 1

สาระสำาคัญของเนื้อหาในบทนี้ ความหมาย ความสำาคัญของการควบคุมภายในและการบริหารความเสี่ยง 1. การพัฒนาการบริหารความเสี่ยง 2. การบริหารความเสี่ยง และการควบคุมภายใน: เส้นทางเพื่อประสิทธิภาพ รากฐานของการควบคุมภายใน ความหมายของการควบคุมภายใน ตัวอย่างรูปแบบการควบคุมภายใน 10 แนวทางสำาคัญที่สร้างความแข็งแกร่งให้กับการควบคุมภายใน 3. การควบคุมภายในและการประเมินความเสี่ยง การบริหารความเสี่ยงในองค์กรธุรกิจสำาคัญหรือไม่ บทบาทของการประเมินความเสี่ยง ปัจจัยที่ต้องคำานึงถึงเมื่อองค์กรประเมินความเสี่ยง องค์ประกอบหลักที่สำาคัญของการประเมินความเสี่ยง การจัดการคุณภาพหรือการควบคุมภายใน: กลยุทธ์เพื่อความสำาเร็จ 4. บูรณาการการควบคุมความเสี่ยงให้เป็นเรื่องง่าย จินตภาพของการควบคุมความเสี่ยง ข้อสังเกตถึงความเสี่ยงและความไม่แน่นอน เป้าหมายของการควบคุมความเสี่ยง การควบคุมความเสี่ยง: การจำาแนกกิจกรรมการควบคุมออกจากกิจกรรมอื่น ๆ การควบคุมความเสี่ยงทั่วทั้งองค์กร: การออกแบบระบบและทางเลือกการ ควบคุมที่สร้างสรรค์ 5 เหตุผล ที่แสดงว่า การควบคุมภายในมีความสำาคัญ “...องค์กรสามารถทำากิจกรรมการควบคุมไว้ในงานประจำา ซึ่งเป็นการทำาซ้ำาในกระบวน งานต่าง ๆ เป็นไปโดยปกติ ในขณะเดียวกัน องค์กรสามารถจัดทำากิจกรรมการควบคุมเพิ่มขึ้น เมื่อพบว่ามีเหตุการณ์ที่ไม่คาดฝัน หรือ เหตุการณ์ที่มิได้วางแผนไว้ เกิดขึ้น ...” เมื่อกล่าวถึงการเพิ่มมูลค่าและขยายคุณค่าของธุรกิจ การควบคุมความเสี่ยง เป็นสิ่งจำาเป็น อย่างยิ่งกล่าวได้ว่า หากบุคลากรส่วนมากให้ความสำาคัญต่อการประเมินความเสี่ยงและพัฒนา กระบวนการควบคุมความเสี่ยงไม่มากพอ การขาดระบบควบคุมความเสี่ยงที่ดีพอจะสร้างผลกระทบ ต่อการเพิ่มคุณค่าของธุรกิจ 1. การพัฒนาการบริหารความเสี่ยง ในมุมมองเพื่อการพัฒนา หากเราคือผู้เชี่ยวชาญด้านการควบคุมความเสี่ยงที่จะเข้าไป ทบทวนกระบวนการควบคุมความเสี่ยงและให้ข้อเสนอแนะต่าง ๆ ขั้นตอนที่จำาเป็นคือ การเข้าไป เรียนรู้ถึงการกระทำาทุกกิจกรรม และค้นหาเหตุผลว่า มีความจำาเป็นใดที่ต้องทำากิจกรรมนั้นๆ การเรียนรู้ ทุกกิจกรรมทั้งหมด จะทำาให้ผู้ควบคุมความเสี่ยงสามารถให้ข้อเสนอแนะที่เป็นประโยชน์ได้ อย่างไร ก็ตาม ผู้บริหารจะรับฟังเมื่อรับรู้ได้ว่า ผู้จัดการความเสี่ยงมีความเข้าใจเป็นอย่างดี และประการสำาคัญ เมื่อผู้บริหารตระหนักได้ถึงข้อจำากัดที่กำาลังเผชิญอยู่ ทั้งนี้ สิ่งที่ผู้บริหารพึงให้ความสำาคัญเป็นอย่างยิ่ง คือพฤติกรรมของบุคคล ซึ่งหมายถึงสิ่งที่ผู้ใต้บังคับบัญชาประพฤติ ปฏิบัติอยู่ ผู้จัดการความเสี่ยง มีบทบาทในการเข้าไปสร้างความเข้าใจและกระตุ้นให้ บุคลากรให้ความสำาคัญต่อการค้นหาวิธี การจัดการความเสี่ยงและความไม่แน่นอนที่ดีขึ้น ซึ่งแน่นอนว่า จะส่งผลต่อการสร้างคุณค่าของธุรกิจ กุญแจสำาคัญที่จะเพิ่มคุณค่าให้แก่ธุรกิจ ด้วยการจัดการควบคุมความเสี่ยง ประกอบด้วย 1. ให้ความสำาคัญต่อคุณค่าของธุรกิจ 2. ออกแบบรูปแบบกลไกการควบคุมที่มีประสิทธิภาพ 3. สร้างความเข้าใจที่ดีที่มีต่อบริบทของความเสี่ยงและการควบคุมความเสี่ยง 2. การบริหารความเสี่ยง และการควบคุมภายใน: เส้นทางเพื่อประสิทธิภาพ เมื่อพิจารณาถึงแนวคิดการพัฒนา การบริหารความเสี่ยงและการควบคุมภายใน ประเด็น ที่น่าสนใจอย่างยิ่งคือ การนำาแนวคิดทั้งสองเรื่องที่สำาคัญนั้นมารวมเป็นหนึ่งเดียว เพื่อเชื่อมโยง หัวใจสำาคัญของการควบคุมภายในซึ่งเป็นงานสำาคัญในองค์กรขนาดใหญ่ เชื่อมโยงกับการควบคุม ภายใน เพื่อให้ทั้งสองภาระงานสำาคัญ รวมเป็นภารกิจหนึ่งเดียวที่ง่ายและปฏิบัติได้จริง รากฐานของการควบคุมภายใน การควบคุมภายในมีรากฐานจากการเป็นระบบงานส่วนหนึ่งของงานบัญชี การควบคุม ภายในเป็นกิจกรรมหลักที่งานบัญชีให้ความสำาคัญเป็นอย่างยิ่งมาเป็นระยะเวลานาน การควบคุม ภายในคือ การตรวจสอบสิ่งที่นักบัญชีได้บันทึกไว้เพื่อเป็นการป้องกันความผิดพลาดและการฉ้อโกง คำาว่า “ควบคุม” ในภาษาอังกฤษ มีที่มาจากนักบัญชีรุ่นเก่าที่ควบคุมและตรวจสอบสองกิจกรรม ที่สัมพันธ์กัน ได้แก่ กิจกรรมรายการทางการค้าและการบันทึกบัญชี อีกครั้ง อย่างไรก็ดี ในช่วงเวลา หลายทศวรรษที่ผ่านมา การควบคุมภายในเป็นงานที่ได้รับความสำาคัญที่ถูกนำาไปดำาเนินงานใน กิจกรรมต่าง ๆ กับงานที่มากกว่า งานบัญชี โดยมีวัตถุประสงค์มากกว่าเพียงเพื่อการตรวจสอบ เท่านั้น ในช่วงเวลาครึ่งหลังของศตวรรษที่ 21 การควบคุมภายในจึงเป็นแนวคิดที่ได้รับการยอมรับ อย่างกว้างขวางเพื่อนำาไปเป็นแนวปฏิบัติกับงานตรวจสอบภายใน บทที่ 1 ความหมาย ความสำ คัญของการควบคุมภายในและการบริหารความเสี่ยง 6 7

อย่างกว้างขวางเพื่อนำาไปเป็นแนวปฏิบัติกับงานตรวจสอบภายใน หรือการตรวจสอบทางการเงิน โดยเฉพาะอย่างยิ่ง การตรวจสอบภายในโดยบริษัทที่รับตรวจสอบโดยอิสระ โดยมีวัตถุประสงค์ เพื่อรักษาผลประโยชน์ให้กับผู้ถือหุ้น ต่อมา เมื่อธุรกิจเริ่มมีการขยายขนาดมากขึ้น การดำาเนินกิจกรรมต่างๆ มีความซับซ้อน มากขึ้น รวมถึงการใช้เทคโนโลยีเพิ่มขึ้น ความสำาคัญของการตรวจสอบภายใน และความสำาคัญ ของการตรวจสอบโดยหน่วยงานภายนอกก็มีเพิ่มขึ้น จากผลการตรวจสอบด้วยองค์กรภายนอก พบการทุจริตด้วยการปลอมแปลงเอกสารทางการบัญชีในบริษัทขนาดใหญ่ ด้วยผลจากการ ตรวจพบนั้น มีคำาถามตามมาถึงระบบการควบคุมภายในที่มีประสิทธิภาพซึ่งเป็นสิ่งจำาเป็นในการ ป้องกันการทุจริตและการฉ้อโกง เป็นผลให้ในช่วงเวลาเดียวกัน ระบบการตรวจสอบโดยองค์กร ภายนอกจึงมีการเติบโตเป็นที่ยอมรับอย่างต่อเนื่อง มีการนำาระบบตรวจสอบโดยองค์กรภายนอก มาใช้อย่างกว้างขวาง ทั้งในองค์กรขนาดเล็ก และองค์กรธุรกิจขนาดใหญ่ซึ่งขนาดของธุรกิจมีผล กระทบต่อขนาดของเศรษฐกิจระดับมหภาค ความหมายของการควบคุมภายใน ในปี 2535 มีการรวมตัวและจัดตั้งองค์กรอิสระ ที่รวมตัวกัน โดยใช้ชื่อว่า The Committee of Sponsoring Organizations of the Treadway Committee หรือ ชื่อย่อว่า COSO รวมตัว กันจัดตั้ง เพื่อร่วมกันวางกรอบแนวทาง การควบคุมภายใน บนพื้นฐานแนวคิดว่า การควบคุม ภายในคือกระบวนการที่ออกแบบเพื่อสร้างความมั่นใจอย่างสมเหตุสมผล กับผู้บริหาร ผู้ถือหุ้น ผู้มีส่วนได้เสีย ขององค์กร ว่า องค์กรจะสามารถบรรลุเป้าหมายความสำาเร็จ ในภารกิจที่สำาคัญ รวม 3 ประการสำาคัญ ดังนี้ 1. ประสิทธิภาพและประสิทธิผลในการปฏิบัติงาน 2. ความเชื่อถือได้ของรายงานทางการเงิน 3. การปฏิบัติให้เป็นไปตามข้อบังคับ และกฎหมาย ความสำาคัญอีกประการหนึ่งของ กรอบแนวคิดระบบการควบคุมภายในของ COSO คือ การมีกระบวนการประเมินความเสี่ยง ทั้งนี้ การประเมินความเสี่ยง สามารถหมายถึง การ ลงทุนทางตรงที่สร้างมูลค่าให้กับธุรกิจ ซึ่งเกิดขึ้นได้ด้วยการควบคุม ด้วยแนวคิดนี้ การบริหาร ความเสี่ยงจึงเป็นส่วนหนึ่งที่สำาคัญของระบบการควบคุมภายใน ขอบเขตการควบคุมภายในกว้างครอบคลุมทุกกิจกรรมที่เกิดขึ้นทั่วทั้งองค์กร ไม่ว่า จะเป็น โดยผู้บังคับบัญชาระดับต้น หรือแผนกบุคลากร โดยปกติแล้ว ฝ่ายบริหารจะต้องรับผิด ชอบในการพัฒนาระบบการควบคุมภายใน เพื่อให้ได้ระบบการควบคุมภายในที่เหมาะสม และ บุคลากรทุกระดับในองค์กรรับผิดชอบในการนำาการควบคุมสู่การปฏิบัติที่มีประสิทธิภาพ ตัวอย่างรูปแบบการควบคุมภายใน 1. การควบคุมที่กำาหนดขึ้น ในกรณีการแบ่งงานกันทำา การควบคุมรูปแบบนี้ทำาขึ้น เพื่อลดความเสี่ยงในการผิดพลาดหรือ ลดความเสี่ยงในการปฏิบัติไม่เป็นไปตามแผนงาน เมื่อมี การจำาแนกงานให้กับบุคลากรแบ่งกันทำางาน 2. การควบคุมทางกายภาพ เป็นการควบคุมสภาพแวดล้อมเพื่อป้องกัน เครื่องมือ เครื่องจักร สินค้า เงินสด หรือ ทรัพย์สินใด ๆ สูญหาย หรือ เสียหาย การควบคุมรูปแบบนี้ทำา โดยการล็อค การใช้เซพ การป้องกันการสูญหาย การเสียหายโดยเจ้าหน้าที่รักษาความปลอดภัย การใช้กล้องวงจรปิดเฝ้าระวัง รวมถึงการจำากัดสิทธิให้กับฝ่ายบริหารเพื่อการเข้าถึงทรัพย์สินตาม ลำาดับความรับผิดชอบ 3. การทวนสอบ คือ การควบคุมโดยการเปรียบเทียบหรือ ทวนสอบธุรกรรมทางการค้า หรือ การบันทึกบัญชี ซึ่งทวนสอบโดยบุคคลอื่นที่มิได้ทำางานนั้น ยกตัวอย่าง การทวนสอบการ บันทึกบัญชี รายการธุรกรรมทางการค้าเพื่อตรวจประเมินถึงความถูกต้องแม่นยำาของงานที่บันทึกไว้ การตรวจเช็ครายงานยืนยันยอดคงเหลือ คงค้างของธนาคารเพื่อตรวจสอบถึงรายการที่ถูกบันทึก ไว้ การตรวจสอบยอดคงเหลือของเงินสดในมือเปรียบเทียบกับยอดคงเหลือของเงินสดในบัญชี 4. การกำาหนดนโยบายหรือขั้นตอนการปฏิบัติงาน การควบคุมเหล่านี้จัดทำาโดย การกำาหนด นโยบาย แนวทาง ขั้นตอนการปฏิบัติงาน โดยจัดทำาขึ้นเป็นเอกสารคู่มือการปฏิบัติงาน หรือคู่มือ การฝึกอบรมเพื่อสร้างความมั่นใจว่า ผลการปฏิบัติงานของพนักงานจึงเป็นไประดับคุณภาพที่ องค์กรต้องการ การกำาหนดนโยบาย หรือ แนวทางขั้นตอนการปฏิบัติงาน นี้ควรจัดทำาขึ้นในทุก ระดับชั้นสายงานในองค์กร 5. การประเมินผลการปฏิบัติงาน การควบคุมรูปแบบนี้คือ การวัดผลการปฏิบัติงาน จากรายงาน สรุปผลการปฏิบัติงาน แล้วประเมินเปรียบเทียบกับเป้าหมายวัตถุประสงค์ขององค์กร ประเมินเปรียบเทียบกับจุดประเด็นปัญหาที่ต้องการแก้ไขหรือพัฒนา ประเมินและระบุเปรียบเทียบ กับแนวโน้มที่ต้องการ การควบคุมในรูปแบบนี้ สามารถทำาในรูปแบบการประเมินจากข้อร้องเรียน ของลูกค้า หรือ ประเมินจากชั่วโมงการทำางานล่วงเวลาและเปรียบเทียบกับผลการปฏิบัติงาน 6. การควบคุมการประมวลผลข้อมูลโดยใช้โปรแกรมประมวลผล จำาเป็นต้องควบคุม เพื่อความแม่นยำา สมบูรณ์และต้องเป็นข้อมูลที่มีการกลั่นกรองตามลำาดับชั้น ทำาให้มีขั้นตอนและรูปแบบการควบคุมมากขึ้น ไม่ว่าจะเป็น การควบค ข้อมูลนำาเข้า ในรูปแบบไฟล์ภาพ ไฟล์ข้อมูล ไฟล์ข้อมูลตัวเลข กรณีเป็นข้อมูลทางการเงินบัญชี จะต้องมีการตรวจสอบ ความสมบูรณ์และสมดุล การพัฒนาระบบการควบคุมและ การปรับปรุงพัฒนาการควบคุมจึงเป็นสิ่งจำาเป็นเพื่อใช้ ประมวลผลข้อมูลและการเข้าถึงข้อมูล 8 9

10แนวทาง สำาคัญที่สร้างความแข็งแกร่งให้กับการควบคุมภายใน 1. มั่นใจว่ามีการแบ่งแยกงานกันทำา การแบ่งงานกันทำาเป็นกลไกสำาคัญพื้นฐานของการ ควบคุมภายใน และเป็นหนึ่งในปัจจัยที่สำาคัญที่สุดที่ทำาให้การควบคุมภายในประสบ ความสำาเร็จตามหลักการพื้นฐานของการควบคุมภายใน คือ การไม่มอบหมายให้บุคคล ใดบุคคลหนึ่งควบคุมงานมากกว่าสองงานขึ้นไป ซึ่งเป็นแนวทางที่สร้างความมั่นใจ ได้ว่า องค์กรจะสามารถป้องกันการเกิดข้อผิดพลาดหรือความไม่ปกติขึ้นได้ การแบ่ง งานกันทำาสามารถ 1) ทำาให้การทุจริตทำาได้ยากขึ้น เนื่องจากหากจะทุจริตต้องมี ผู้ร่วมก่อการมากกว่า 2 คนขึ้นไป 2) มีโอกาสที่จะพบข้อผิดพลาดที่ไม่ได้เกิดจาก การทุจริตง่ายขึ้น 2. พัฒนาระบบการควบคุมทางกายภาพของทรัพย์สินที่เพียงพอ เพื่อเป็นการปิดช่อง โหว่ของการเข้าถึงทรัพย์สินโดยไม่ได้รับอนุญาต เช่นเงินสด สินค้าคงคลัง เครื่องมือ เครื่องจักร จึงควรกำาหนดการควบคุมด้วยการตรวจเช็คและตรวจนับเปรียบเทียบกับ ยอดคงเหลือในรายงานอย่างสม่ำาเสมอ 3. ระบุความเสี่ยงในหน่วยงาน การจัดการความเสี่ยงที่ดีจะต้องมีการระบุความเสี่ยง เป็นลำาดับแรก เพื่อสามารถวิเคราะห์และประเมินถึงโอกาสที่จะเกิด ความรุนแรง ของผลกระทบที่อาจเกิดขึ้นจากความเสี่ยง นำาไปตัดสินใจวางแนวทางป้องกันความเสี่ยง นั้นได้คำาถามที่ควรใช้ในการระบุความเสี่ยง มีสิ่งใดที่กำาลังจะผิดปกติบ้าง? เรากำาลังจะพลาดในเรื่องใดๆอย่างไรหรือไม่? มีช่องโหว่อยู่ที่ไหนที่เรายังไม่เห็นบ้าง? มีสินทรัพย์ใดที่เราจำาเป็นต้องควบคุม? มีสิ่งใดที่สามารถโดนโจรกรรมได้หรือไม่? มีข้อมูลใดที่จำาเป็นและเรายังไม่เข้าถึง? เรามีวิธีการจัดเก็บรายได้อย่างไร? เราจำาเป็นต้องมีเทคโนโลยีใหม่ๆ ด้านใดหรือไม่? 4. แก้ไขข้อผิดพลาดแบบทันทีทันใด แม้ว่าจะมีการวางการควบคุมภายในไว้ดีเพียงใด ข้อผิดพลาดเล็กน้อย หรือการเข้าใจแนวปฏิบัติผิดพลาดไป ก็มักเกิดได้เสมอ ความ ผิดพลาดนั้นควรได้รับการแก้ไขแบบทันท่วงที และรายงานต่อฝ่ายจัดการความเสี่ยง ในทุกระดับที่เกิดข้อผิดพลาด 5. พัฒนานโยบาย คู่มือการปฏิบัติงาน และกระบวนการขั้นตอนปฏิบัติงาน ให้มีความ ชัดเจน สาเหตุหนึ่งที่สำาคัญของการควบคุมภายในที่ไม่ประสบความสำาเร็จ คือ การจัด ทำาคู่มือการปฏิบัติงาน นโยบายการปฏิบัติงานที่ไม่ชัดเจน ไม่สามารถนำาไปปฏิบัติได้ 6. ทวนสอบอย่างสม่ำาเสมอ การทวนสอบเป็นเครื่องมือควบคุมที่ดีที่สามารถแก้ไขข้อ ผิดพลาดได้ทันในช่วงเวลาที่เหมาะสม การทวนสอบที่ดีควรจัดทำาอย่างน้อยเดือนละ หนึ่งครั้งโดยบุคลากรจากองค์กรภายนอก 7. ทบทวน ปรับปรุง และอนุมัติ ขั้นตอนการปฏิบัติงาน เพื่อพัฒนากระบวนการและ ขั้นตอนการปฏิบัติงาน เพื่อลดโอกาสในการเกิดข้อผิดพลาด ทบทวนปรับปรุงกฎ ระเบียบ หรือ ปรับปรุงข้อผิดพลาดที่ตรวจและแก้ไข 8. มีระบบข้อมูลสนับสนุนที่เพียงพอ เป็นเครื่องมือในการควบคุมเชิงป้องกันที่มีประสิทธิภาพ ประเภทหนึ่ง 9. จัดฝึกอบรมให้ความรู้ทักษะแก่บุคลากรอย่างเหมาะสมเพียงพอ เพื่อให้พนักงานได้ มีประเมินตนเอง พัฒนาและปรับตัวให้ทันต่อการเปลี่ยนแปลงในมิติต่างๆ เช่น สภาพการแข่งขันของธุรกิจ เทคโนโลยีใหม่ กฎเกณฑ์หรือกฎหมายใหม่ 10.กำาหนดรูปแบบการประเมินการควบคุมภายในของตนเองเพื่อให้พนักงานสามารถ ระบุจุดหรือช่องว่างที่อาจเป็นผลให้เกิดข้อผิดพลาดขึ้นได้ 10 11

ปัจจัยที่ต้องคำานึงถึงเมื่อองค์กรประเมินความเสี่ยง • องค์กรของเราอยู่ในกลุ่มอุตสาหกรรมใด • สภาวะเศรษฐกิจมหภาค • ขนาดและความซับซ้อนของโครงสร้างองค์กร • การเปลี่ยนแปลงของกฎเกณฑ์ กฎหมาย • นโยบาย กลยุทธ์ และเป้าหมายขององค์กร • ศักยภาพ หรือแนวโน้มการเติบโตขององค์กร ในขั้นถัดไป คือ การประเมินระดับความเสี่ยง ของรายงานทางการเงิน หรือรายงาน การปฏิบัติการต่างๆ โดยมี แนวทางพิจารณา ดังนี้• ยอดประมาณการ และยอดสรุป พิจารณาว่า ยอดในรายงานเป็นยอดประมาณการ หรือยอดสรุป ในรายงานนั้น หากเป็นยอดประมาณการ การประมาณการได้มีการ พยากรณ์ไว้อย่างเหมาะสมหรือไม่ ในช่วงเวลาใด มีการคลาดเคลื่อนเมื่อเปรียบเทียบ ในเชิงช่วงเวลาเดียวกันต่อช่วงเวลาเดียวกันของปีถัดมาหรือไม่ เป็นต้น • ข้อมูลเชิงปริมาณ พิจารณาว่า ยอดเงินในรายงานมีขนาดใหญ่เพียงใด เพราะว่า ขนาดของรายงานแสดงฐานะทางการเงินอาจจะเพิ่มระดับของความเสี่ยงได้ยอด เงินสะสมในรายงานมีการคำานวณที่ถูกต้องเชื่อถือได้เพียงใด • ประวัติข้อมูลความผิดพลาดของรายงาน พิจารณาว่า ในการรายงานมีการพบข้อ ผิดพลาดที่เกิดจากการคำานวณ หรือ การแสดงข้อมูลในรายงานหรือไม่ อย่างไร การประมวลผลข้อมูลในรายงานจัดทำาด้วยวิธีใด โปรแกรมสำาเร็จรูปที่ใช้ หรือมีการ บันทึกข้อมูลถูกต้องหรือไม่ • ความซับซ้อนของข้อมูล พิจารณาว่า ข้อมูลที่ใช้คำานวณเพื่อแสดงรายงานมีความ ซับซ้อนหรือไม่ นำาข้อมูลที่ต้องแยกกันคำานวณมารวมคำานวณกันด้วยหรือไม่ แหล่ง ข้อมูลมีความน่าเชื่อถือหรือไม่ • บุคคลอื่นที่เกี่ยวข้อง ยกตัวอย่างเช่น คู่ค้า ซัพพลายเออร์ที่เกี่ยวข้อง องค์ประกอบหลักที่สำาคัญของการประเมินความเสี่ยง เพื่อสร้างความเข้าใจในแนวทางการประเมินความเสี่ยง เราควรเข้าใจถึงองค์ประกอบหลัก ที่สำาคัญของการประเมินความเสี่ยง • เป้าหมายของการประเมินความเสี่ยง วัตถุประสงค์ของการประเมินความเสี่ยง คือ การระบุความเสี่ยงและกำาหนดแนวทางการจัดการความเสี่ยง ลดโอกาสและผลกระทบ จากความเสี่ยงที่อาจเกิดขึ้น เพื่อให้บรรลุเป้าหมายของการบริหารความเสี่ยงนั้น • กิจกรรมการควบคุม ซึ่งเป็นกิจกรรมที่สัมพันธ์เชื่อมโยงถึง การควบคุมภายใน กิจกรรม การควบคุมเป็นองค์ประกอบสำาคัญที่จะทำาให้บรรลุเป้าหมายของการบริหาร ความเสี่ยงนั้น • ความเสี่ยง ถ้ากิจกรรมการควบคุมที่กำาหนดขึ้นไม่สามารถจัดการความเสี่ยงได้ และ ความเสี่ยงเกิดขึ้นแล้ว หมายถึง การจัดการความเสี่ยงไม่บรรลุเป้าหมาย 3. การควบคุมภายในและการประเมินความเสี่ยง การบริหารความเสี่ยงในองค์กรธุรกิจสำาคัญหรือไม่ องค์กรธุรกิจที่มีธรรมาภิบาล มีความโปร่งใสด้านการบริหารการเงิน มีการจัดการข้อมูล ที่โปร่งใสชัดเจนเพียงพอต่อการตัดสินใจ สามารถรายงานต่อผู้ถือหุ้นและผู้มีส่วนได้เสีย จะมีความ ได้เปรียบในการแข่งขัน กลยุทธ์และความสามารถในการตัดสินใจขององค์กรขึ้นอยู่กับความแม่นยำา เชื่อถือได้ ทันเวลาของข้อมูล ถ้ารายการธุรกรรมทางธุรกิจที่สำาคัญผิดพลาดหรือถูกบิดเบือน ข้อมูลเพื่อการลงทุนที่ไม่แม่นยำา สิ่งเหล่านี้คือความเสี่ยงต่อผู้บริหาร ผู้ถือหุ้น และผู้มีส่วนได้เสีย และเป็นผลให้องค์กรอยู่ในความเสี่ยง เพื่อจัดการความเสี่ยงการควบคุมภายในจึงเป็นสิ่งสำาคัญ การควบคุมภายในถูกออกแบบขึ้นเพื่อป้องกันไม่ให้เกิดข้อผิดพลาด หรือ เราเรียกว่า “การควบคุม เชิงป้องกัน” หรือเข้าไปค้นหาเพื่อประเมินข้อบกพร่องที่อาจเกิดขึ้นได้ หรือ “การควบคุมแบบ ค้นพบ” การควบคุมสามารถจัดทำาด้วยบุคคลหรือ จัดทำาในระบบอัตโนมัติ หรือซอฟท์แวร์ บทบาทของการประเมินความเสี่ยง การประเมินความเสี่ยง คือ การระบุเหตุการณ์ที่มีความอ่อนไหวต่อการเกิดข้อผิดพลาด ทั้งในเชิงปริมาณและในเชิงคุณภาพซึ่งจะสร้างผลกระทบต่อองค์กร การประเมินความเสี่ยงจะช่วย ประเมินความรุนแรงของผลกระทบที่อาจเกิดขึ้น เมื่อเหตุการณ์เสี่ยงที่ประเมินไว้เกิดขึ้นจริง นอกจาก นั้นยังช่วยตอบคำาถามเหล่านี้ได้ว่า o ใครคือผู้มีส่วนได้เสียหากเหตุการณ์เสี่ยงนี้เกิดขึ้น o ใครคือผู้ที่ได้รับผลกระทบหลัก หากเหตุการณ์เสี่ยงนี้เกิดขึ้น o อะไรคือข้อมูลหลัก เพื่อนำามาประกอบการจัดการความเสี่ยงนั้น o ข้อมูลที่องค์กรมีอยู่ มีความถูกต้องชัดเจนทันเวลาเพียงใด โดยเฉพาะอย่างยิ่ง เมื่อ ต้องใช้ประกอบการตัดสินใจเชิงกลยุทธ์ หรือ การปฏิบัติตามกฎเกณฑ์ของภาครัฐที่ เปลี่ยนแปลงไป o เพื่อเข้าถึงและจัดการปัจจัยเสี่ยง องค์กรมีทรัพยากรใดที่สามารถเข้าถึงปัจจัยเสี่ยงนั้น ได้ 12 13

• ผู้บริหารความเสี่ยง เป็นองค์ประกอบหลักที่สำาคัญที่สุด เพราะเป็นผู้มีภาระรับผิดชอบ ในการจัดการความเสี่ยง ผู้ที่รับผิดชอบนี้เป็นบุคคลที่องค์กรคาดหวัง ดังนั้น เขาจึง ควรเป็นที่ได้รับการยอมรับในด้านความสมบูรณ์ ความพร้อม ด้านคุณภาพ และมี ความชัดเจนเรื่องขอบเขตของกิจกรรมการควบคุม • งบแสดงฐานะทางการเงิน ในแต่ละกิจกรรมการควบคุมข้อมูลที่แสดงในงบแสดง ฐานะทางการเงิน ต้องแสดงถึงความเกี่ยวข้องเชื่อมโยงกับงบการเงิน ความมี อยู่คงอยู่ สถานะความผูกพันทางกฎหมาย การระบุได้ถึงหลักฐานที่แสดงว่า ความ เพียงพอของการควบคุมต่อการประมวลข้อมูลทางการเงิน หากยังพบว่ามีช่องว่าง ที่แสดงความแตกต่างที่มีระดับความสำาคัญ ในรายงานทางการเงินที่มีการเปิดเผย ข้อมูล องค์กรต้องเร่งเข้าทำาการแก้ไขช่องว่างนั้น• การควบคุมเชิงป้องกัน หรือการควบคุมเพื่อแก้ไข รูปแบบการควบคุมทั้งสองมีข้อ แตกต่างกัน กล่าวคือ การควบคุมเพื่อแก้ไขกำาหนดขึ้นเพื่อตรวจสอบความผิดพลาด หรือความไม่ปกติใดๆ ที่เกิดขึ้นแล้ว ในขณะเดียวกัน การควบคุมเชิงป้องกัน ถูก ออกแบบมาเพื่อป้องกันไม่ให้เกิดความผิดพลาดหรือความไม่ปกติขึ้นในงาน การควบคุม เชิงป้องกันจึงดีกว่าการควบคุมเพื่อแก้ไข • การควบคุมหลักหรือการควบคุมรอง องค์ประกอบนี้แสดงถึงการระบุถึงระดับความ เสี่ยงที่ต้องการเข้าวางระบบควบคุม หากความเสี่ยงใดอยู่ในระดับสูง เราจะเรียก รูปแบบการควบคุมที่เข้าไปจัดการความเสี่ยงนั้น ว่าการควบคุมหลัก การจัดการคุณภาพหรือการควบคุมภายใน: กลยุทธ์เพื่อความสำาเร็จ การควบคุมภายใน เป็นกิจกรรมที่จำาเป็นที่ได้รับการยอมรับอย่างกว้างขวางตลอดช่วงเวลา ที่ผ่านมาอย่างยาวนาน ทั้งนี้ ความเชื่อมั่นที่มีต่องานควบคุมภายใน ได้เป็นที่ยอมรับและนำามาใช้ทั้ง ในการบริหารธุรกิจ หรือ นำามากำาหนดเป็นข้อบังคับของตลาดทางการเงิน หรือ การบริหารงานภาครัฐ การตรวจสอบภายในจึงเป็นกลยุทธ์หนึ่งที่ผู้บริหารนำามาใช้ในการจัดการความมั่นคงของธุรกิจ และ การจัดการทางการเงิน อย่างไรก็ตาม การจัดการคุณภาพเป็นกลยุทธ์ทางการจัดการที่สร้างความมั่นคงและความ สำาเร็จให้แก่องค์กรธุรกิจ โดยเฉพาะอย่างยิ่ง การนำากิจกรรมการควบคุมบูรณาการกับแนวทาง การจัดการคุณภาพ จะเป็นผลต่อประสิทธิภาพของการจัดการคุณภาพยิ่งขึ้น ยกตัวอย่าง การใช้ แนวทางการจัดการคุณภาพร่วมกับกิจกรรมควบคุมภายในกับกระบวนการผลิต ซึ่งประสบความ สำาเร็จในงานผลิตซึ่งเป็นกระบวนการทำางานซ้ำา มีการวัดและการประเมิน หรือ กระบวนการที่ใช้ เทคนิคต่างๆ ในการควบคุม เพื่อให้เป็นไปตามความต้องการของลูกค้า และก้าวสู่ระดับเหนือความ ต้องการของลูกค้า 4. บูรณาการการควบคุมความเสี่ยงให้เป็นเรื่องง่าย เนื้อหาในส่วนนี้ จะกล่าวถึง กรอบแนวคิดการบูรณาการการควบคุมภายในและการบริหาร ความเสี่ยง นำาไปสู่การปฏิบัติเป็นหนึ่งเดียวที่เป็นเรื่องง่ายและปฏิบัติได้จริง เมื่อกล่าวถึง การควบคุม ความเสี่ยง นั่นจึงหมายถึง การควบคุมภายในและการบริหารความเสี่ยง การควบคุมความเสี่ยงให้ ก้าวไปอย่างคุ้มค่า เป็นเรื่องไม่ง่ายหากผู้จัดการความเสี่ยงขาดความเข้าใจที่อย่างชัดเจน จินตภาพของการควบคุมความเสี่ยง รูปแบบของการควบคุมความเสี่ยง อาจถูกจัดทำาขึ้นในรูปแบบ กราฟ แผนภาพวงกลม สามเหลี่ยม หรือปีรามิด หรือ แผนผังโครงสร้าง หรือแผนภาพใดๆ หรือ จัดทำาใน รูปแบบการ กำาหนดการควบคุมพฤติกรรมของบุคคล รวมกับผลสรุปจากการประมวลผลโดยคอมพิวเตอร์ หรือ ผสมผสานกับแผนภาพต่าง ๆ หรือ ผนวกกล่องข้อความ รูปแบบเหล่านี้ อาจทำาให้เข้าใจได้ยาก และ สร้างความเข้าใจผิดเมื่อนำาไปปฏิบัติได้ ดังนั้น จินตภาพของการควบคุมความเสี่ยงควรเป็นอย่างไร การควบคุมความเสี่ยง มีรูปแบบจำานวนมากที่ถูกจัดทำาขึ้นด้วยความไม่ชัดเจน เป็นนามธรรม และมีความคลุมเคลือ โดยเฉพาะอย่างยิ่ง เมื่อเราต้องบูรณาการการควบคุมภายในและการบริหาร ความเสี่ยงเป็นหนึ่งเดียวกัน รูปร่างของการควบคุมความเสี่ยงจึงมีรูปแบบได้มากมาย แล้วถ้าเรา ถ้าสร้างจินตภาพของการควบคุมความเสี่ยง ให้ชัดเจนจับต้องได้ปฏิบัติได้ เราควรออกแบบรูปแบบ การควบคุมความเสี่ยงเป็นรูปแบบใด เราจึงควรมาดูข้อสังเกต ข้อสรุปและวัตถุประสงค์ ดังนี้ 14 15

ข้อสังเกตถึงความเสี่ยงและความไม่แน่นอน 1. กิจกรรมใดๆ ที่เรากำาหนดขึ้นเป็นแนวปฏิบัติ เพราะตระหนักดีถึง “ความไม่แน่นอน” กิจกรรมเหล่านั้นคือ “การควบคุมความเสี่ยง” แม้ว่ากิจกรรมที่กำาหนดขึ้นจะมีความแตกต่าง เพียงเล็กน้อยกับข้อปฏิบัติตามปกติก็ตาม 2. การกำาหนดแนวทางการควบคุมความเสี่ยงจำานวนไม่น้อย ที่สามารถขยายและสร้างวิธี การควบคุมอื่น ๆ ไปได้ในขณะเดียวกัน ซึ่งอาจเป็นการควบคุมก่อน ควบคุมระหว่างหรือหลังการ ปฏิบัติงาน ระบบการควบคุมเป็นระบบที่สามารถกระจายแนวทางการควบคุมย่อย ๆ และขยาย วิธีการควบคุมอื่น ๆ ออกไปได้อย่างต่อเนื่อง 3. ระบบการควบคุมความเสี่ยงเป็นจำานวนมาก ที่เชื่อมโยงความคิดรวบยอดอย่างชัดเจน ให้เห็นถึงความสำาคัญของความเสี่ยงและความไม่แน่นอน 4. ระบบการควบคุมความเสี่ยง คือ ระบบที่สร้างเพื่อขับเคลื่อนความสำาเร็จขององค์กร ในภาพองค์รวม 5. การออกแบบระบบการควบคุมความเสี่ยง คือปัจจัยสำาคัญเพื่อความสำาเร็จในการ ควบคุมความเสี่ยง เป้าหมายของการควบคุมความเสี่ยง การจัดทำาระบบการควบคุมความเสี่ยงขึ้น เนื่องจากองค์กรให้ความสำาคัญกับบุคลากร ผู้ปฏิบัติงานเมื่อต้องเผชิญกับความไม่แน่นอน ซึ่งหมายถึง บุคลากรกำาลังเผชิญกับความเสี่ยงที่จะ ไม่ประสบความสำาเร็จตามเป้าหมายและวัตถุประสงค์ขององค์กร เป้าหมายของระบบการควบคุม จึงครอบคลุม การประหยัดต้นทุน การลดอาการตื่นตระหนกเมื่อเกิดเหตุการณ์ไม่คาดฝันและมี ความพร้อมในการรับมือกับเหตุการณ์ การลดโอกาสในการทุจริตและการฉ้อโกง การสร้างโอกาสที่ ดีในการปฏิบัติงาน หรือ การเพิ่มมูลค่าให้กับผู้ถือหุ้น และ การบรรลุความสำาเร็จตามวัตถุประสงค์ ขององค์กร ดังนั้น การควบคุมความเสี่ยงจึงมีเป้าหมาย ดังนี้ 1. เพื่อช่วยให้บุคลากรมีความตื่นตัว ตระหนักได้ถึงโอกาส ความไม่แน่นอน หรือความ เป็นไปได้ ที่กำาลังเผชิญอยู่ 2. เพื่อช่วยให้บุคลากรดึงศักยภาพของตนเองมาใช้อย่างต่อเนื่อง ให้สามารถมองภาพ กว้างของเหตุการณ์ต่าง ๆ ที่อาจส่งผลหรือไม่ส่งผลกระทบต่อองค์กร การควบคุมความเสี่ยง: การจำาแนกกิจกรรมการควบคุมออกจากกิจกรรมอื่น ๆ เพื่อมองถึงการกำาหนดการควบคุมกิจกรรมทั้งหมดขององค์กรธุรกิจ เราจะมองเห็นถึง บุคลากรที่ทำางานในสายงานต่าง ๆ เช่น สายงานผลิต สายงานขาย สายงานการจัดส่ง หรือ การ ติดต่อลูกค้าสัมพันธ์ ทั้งหมดคือ ระบบย่อย ๆ ของงานในองค์กร หรือ สารสนเทศทางเทคโนโลยี เพื่อการสื่อสารภายในและภายนอกองค์กร รวมเป็นภาพรวมขององค์กรขนาดใหญ่ ขณะเดียวกัน เมื่อมองลงไปที่บุคลากรแต่ละคน ทีมงาน และระบบย่อยของงาน จะพบการดำาเนินแต่ละกิจกรรม ของแต่ละงาน กิจกรรมทั้งหมดคือภารกิจที่จำาเป็นขององค์กร ซึ่งเป็นสิ่งจำาเป็นยิ่งว่า ภารกิจที่ จำาเป็นทั้งหมดจะต้องเป็นไปด้วยความแน่นอนแม่นยำา ปราศจากความไม่แน่นอน และนั่นคือ เหตุผลว่า พวกเขาทั้งหมดจึงต้องดำาเนินกิจกรรมอื่นๆ เพิ่มขึ้นอีกเป็นจำานวนมาก เพราะโลกมี ความไม่แน่นอน กิจกรรมอื่น ๆ จำานวนมากเหล่านั้น เราจะเรียกว่า “การควบคุม” ซึ่งหมายถึง กิจกรรมที่ทำาขึ้นเพื่อให้มีความมั่นใจได้ว่า การดำาเนินภารกิจหลักที่จำาเป็นเหล่านั้นเป็นไปอย่างถูก ต้องทุกครั้ง ในช่วงเวลาที่ผ่านมา กิจกรรมการควบคุมดำาเนินไปเพราะรองรับความไม่แน่นอน และใน ขณะเดียวกัน การควบคุมคือการสร้างสรรค์ สร้างโอกาส และสร้างความได้เปรียบในการแข่งขันให้ เกิดขึ้นได้ในอนาคต กิจกรรมการควบคุมจึงเกิดขึ้นเพื่อรับมือกับความเสี่ยงและความไม่แน่นอน และ สร้างโอกาสไปพร้อมกัน กล่าวได้ว่า องค์กรสามารถดำาเนินกิจกรรมธุรกิจในรูปแบบการแบ่งงานกันทำา ให้เป็นไป ตามลักษณะแกนของธุรกิจ (Core job) และจัดทำากิจกรรมการควบคุมเพื่อมุ่งปรับปรุงคุณภาพ ของผลการดำาเนินงานในขณะที่องค์กรต้องเผชิญกับความไม่แน่นอน กลไกการควบคุมส่วนใหญ่ ถูกกำาหนดให้ปฏิบัติสอดแทรกไปในขั้นตอนต่าง ๆ ของงานประจำา และมีกิจกรรมการควบคุมบาง ประเภทที่ถูกกำาหนดขึ้นในช่วงเวลาใดเวลาหนึ่ง แยกจากงานประจำา เมื่อฝ่ายบริหารพบว่าเกิดข้อ ผิดพลาดในงาน โดยงานนั้นต้องได้รับการปรับปรุงเพื่อแก้ไขและเพิ่มประสิทธิภาพโดยทันที องค์กรสามารถทำากิจกรรมการควบคุมไว้ในงานประจำา ซึ่งเป็นการทำาซ้ำาในกระบวน งานต่าง ๆ เป็นไปโดยปกติ ในขณะเดียวกัน องค์กรสามารถจัดทำากิจกรรมการควบคุมขึ้นเมื่อมี เหตุการณ์ที่ไม่คาดฝัน หรือ เหตุการณ์ที่มิได้วางแผนไว้เกิดขึ้น ยกตัวอย่างเช่น การลงนามอนุมัติ การใช้จ่ายเงิน ตามวันเวลาที่กำาหนดเป็นประจำา เป็นการควบคุมโดยปกติในงานประจำา หรือ การ พิจารณาอนุมัติดำาเนินงานโครงการ เพื่อเริ่มดำาเนินโครงการใหม่ เป็นการควบคุมเหตุการณ์ที่มิได้ วางแผนไว้ก่อนหน้า การควบคุมความเสี่ยงทั่วทั้งองค์กร: การออกแบบระบบและทางเลือกการควบคุม ที่สร้างสรรค์ องค์กรต้องวางระบบการควบคุมทั่วทั้งองค์กร ซึ่งมีอยู่ในทุกๆ ระดับของทุกองค์กร เราอาจพบว่า การควบคุมที่มีการวางระบบที่ดูคล้ายกัน เพียงแต่มีการนำาไปใช้ต่างสถานที่ ซึ่งโดย ปกติจะพบว่า ระบบควบคุมที่ดูคล้ายกันนั้นมีการนำาไปใช้ที่ต่างกัน ระบบการควบคุมต้องมีการกระ จายนำาไปใช้ทั่วทุกระดับทั่วทั้งองค์กร โดยต้องสามารถกระจายอำานาจการควบคุมไปในทุกระดับได้ เช่นเดียวกัน การวางระบบควบคุมต่าง ๆ ในองค์กร ถูกนำาไปใช้โดยบุคลากรที่หลากหลาย ไปใช้ใน ช่วงเวลาที่ต่างกัน เพื่อเหตุผลและประโยชน์จากการควบคุมที่ต่างกัน และแน่นอนว่า การควบคุม ตามบริบทที่ต่างกันย่อมมีวิธีการใช้ที่แตกต่างกัน ขึ้นอยู่กับบริบทของงานและกิจกรรมต่าง ๆ ของ องค์กรธุรกิจ ยกตัวอย่างเช่น การที่ฝ่ายบริหารประเมินความเสี่ยงและกำาหนดกิจกรรมการควบคุม ในแต่ละความเสี่ยง โดยที่ไม่ได้ออกแบบระบบการควบคุมทั้งระบบ ให้สอดคล้องกันกับปัจจัยเสี่ยง ทั้งหมดที่ประเมินได้ นี่คือสาเหตุที่อาจส่งผลให้กิจกรรมการควบคุมนั้นขาดประสิทธิภาพเพียงพอ อย่างไรก็ตาม กิจกรรมการควบคุมที่ไม่ประสบความสำาเร็จ อาจไม่ได้มีสาเหตุจากการ วางระบบควบคุมที่ไม่ดีเพียงพอ แต่อาจมาจากอีกหลายสาเหตุ ดังนี้ 16 17

1. บุคลากรที่รับผิดชอบระบบการควบคุมเกษียณจากงาน ย้ายงาน เปลี่ยนตำาแหน่ง หรือลาออก 2. ความกดดันหรือความเครียดในงาน อาจส่งผลให้บุคลากรละเลยการควบคุมในงาน ที่ตนเองรับผิดชอบอยู่ 3. สภาพการเปลี่ยนแปลงที่เกิดขึ้นและส่งผลกระทบต่องาน จะส่งผลให้กิจกรรมควบคุม ที่มีและปฏิบัติอยู่เดิม ไม่สามารถควบคุม หรือตอบสนองต่อเหตุการณ์ความเสี่ยงหรือ ความไม่ แน่นอนได้อีกต่อไป 4. การถูกทดแทนด้วยเทคโนโลยีใหม่ เป็นผลให้ไม่สามารถใช้ระบบควบคุมที่มีอยู่เดิมได้ ด้วยสาเหตุข้างต้น ผู้บริหารความเสี่ยงจึงต้องให้ความสำาคัญในการเฝ้าระวังถึง ปัจจัย จากบริบทสถานการณ์แวดล้อมที่จะเป็นผลให้เป็นเหตุการณ์เสี่ยง ซึ่งจะส่งผลให้การควบคุมไม่ ประสบความสำาเร็จ ถ้ามีคำาถามว่า “หากเราเป็นกิจการขนาดเล็ก เราจะต้องใช้ทรัพยากรที่มีอยู่อย่าง จำากัดไปเพื่อทำากิจกรรมการควบคุม การควบคุมภายในจำาเป็นหรือไม่” และถ้าคุณต้องการ ประสิทธิภาพ คุณภาพ การปฏิบัติเป็นไปตามขั้นตอน กฎระเบียบ มีความมั่นคงปลอดภัย ลดความเสี่ยง คำาตอบของคำาถามข้างต้นคือ “ใช่” การควบคุมภายใน คือหน้าที่งานที่สำาคัญในการรักษาความปลอดภัยของข้อมูลและการ ปฏิบัติที่เป็นไปตามกฎหมายขั้นตอนกฎระเบียบ การควบคุมภายในเป็นเครื่องมือที่มีคุณค่าสำาหรับ การบริหารความเสี่ยงได้อย่างเหมาะสม เราจะมั่นใจได้อย่างไรว่าสิ่งที่เรากำาลังทำาอยู่เป็นสิ่งที่เรา ต้องการทำา? มีช่องว่างระหว่างนโยบายขององค์กรกับขั้นตอนการปฏิบัติงานหรือไม่? มีกิจกรรม หรือเนื้องานใดที่ต้องรับการปรับปรุง? เรากำาลังก้าวเข้าสู่เป้าหมายที่เราตั้งไว้หรือไม่? คำาถามสำาคัญ เหล่านี้ สามารถตอบได้โดยผ่านการใช้เครื่องมือ “การควบคุมภายใน” การควบคุมภายในเป็นเครื่องมือสำาคัญเพื่อเฝ้าระวังและสร้างความมั่นใจว่า ทรัพย์สิน ขององค์กรจะได้รับการปกป้องให้มั่นคงอย่างเหมาะสมจากอุปสรรคใดๆ และเป็นเครื่องมือสำาคัญ ที่จะประเมินว่ากระบวนการทางธุรกิจที่เรากำาลังดำาเนินไป สะท้อนตามนโยบายและเป้าหมายของ องค์กรหรือไม่ จะกล่าวถึง เหตุผล 5 ข้อที่แสดงถึงความสำาคัญของการควบคุมภายใน คือ 1. การควบคุมภายในจะทำาให้มองผ่านเห็นถึงเป้าหมาย ที่อยู่ข้างในกิจกรรมและ กระบวนงานต่าง ๆ เราไม่สามารถตรวจสอบงานของตนเองได้โดยปราศจากอคติและ ความขัดแย้งทางผลประโยชน์ ดังนั้น การใช้ผู้ตรวจสอบภายในมาทำางานควบคุม ภายในและประเมินกิจกรรมการควบคุมภายในที่ทำางานโดยอิสระ ปราศจากอคติ จึงเป็น การสร้างมูลค่าให้กับองค์กร เพื่อให้มั่นใจและเห็นถึง เป้าหมายความสำาเร็จโดยมอง ผ่านกิจกรรมกระบวนงานต่าง ๆ ที่มีการควบคุมอย่างมีประสิทธิภาพ 2. การควบคุมภายในจะเพิ่มประสิทธิภาพในการทำางานให้แก่องค์กร เมื่อองค์กรกำาหนด นโยบายแผนงาน เป้าหมายและขั้นตอนการปฏิบัติงาน กิจกรรมการควบคุมที่เพียงพอ และสามารถรับมือกับความเสี่ยงได้ จะทำาให้เรามั่นใจได้ว่า เรากำาลังทำาในสิ่งที่เป็นไป ตามนโยบาย แผนงาน และเป้าหมายที่องค์กรคาดหวัง ด้วยการเฝ้าระวังและทบทวนขั้นตอนการปฏิบัติงานอย่างต่อเนื่อง จะได้ข้อแนะนำาที่ได้ จากกิจกรรมการควบคุมเพื่อนำามาปรับปรุงประสิทธิภาพและประสิทธิผลของการ ทำางานให้เพิ่มขึ้น 5 เหตุผล การควบคุมภายในมีความสำาคัญ 18 19

3. การควบคุมภายในจะประเมินความเสี่ยงและปกป้องสินทรัพย์ขององค์กร ด้วยการ ประเมินความเสี่ยง ระบุความเสี่ยง และจัดอันดับความสำาคัญของความเสี่ยงการ ควบคุมภายในจะช่วยฝ่ายบริหารและผู้ถือหุ้น ในการนำาแผนจัดการความเสี่ยง มาลดช่องว่างของสภาพแวดล้อมในการควบคุม จัดการความเสี่ยงให้อยู่ในระดับที่รับได้ 4. การควบคุมภายใน เพิ่มคุณค่าให้กับองค์กร เนื่องจากกระบวนการการควบคุมที่ เพียงพอจะช่วยลดความเสี่ยง และช่วยปรับปรุงและพัฒนา “สภาพแวดล้อมใน การควบคุม” ให้มีประสิทธิภาพและประสิทธิผลเพิ่มขึ้น 5. การควบคุมภายในจะช่วยสร้างความเชื่อมั่นให้กับฝ่ายบริหาร และผู้ถือหุ้น ได้ว่า จะมีการปฏิบัติงานให้เป็นไปตามกฎระเบียบ กฎหมาย ข้อบังคับที่เกี่ยวข้อง คำาสำาคัญ การควบคุมภายใน การบริหารความเสี่ยง การควบคุมความเสี่ยง การระบุความเสี่ยง การประเมินความเสี่ยง สภาพแวดล้อมในการควบคุม การควบคุมเชิงป้องกัน การควบคุมเพื่อแก้ไข ความเป็นไปได้ของการพัฒนา ระบบการควบคุมภายใน 2 20

สาระสำาคัญของเนื้อหาในบทนี้ บทบาทการควบคุมภายในต่อการบริหารความเสี่ยงทั่วทั้งองค์กร นิยามของการควบคุมภายใน นิยามของการบริหารความเสี่ยงทั่วทั้งองค์กร การควบคุมภายใน และการบริหารความเสี่ยง ตามมาตรฐาน COSO 2013 แนวคิดการควบคุมภายใน และการบริหารความเสี่ยง ตามมาตรฐาน COSO 2013 กระบวนการควบคุมภายใน: บทบาทและความรับผิดชอบของบริษัทต่อการควบคุมภายใน: การควบคุมภายในเป็นความรับผิดชอบของทุกคนในองค์กร กรณีศึกษา: นโยบายการควบคุมภายใน ของ PTTOR ข้อโดดเด่นและความสมบูรณ์ของนโยบายควบคุมภายใน ของ บริษัท ปตท. น้ำามัน และการค้าปลีก จำากัด (มหาชน) แนวทางการควบคุมภายใน ตามมาตรฐาน COSO 2013 นำาไปใช้กับหน่วยงานใด “...ความสัมพันธ์ระหว่าง 3 เป้าหมายหลัก ได้แก่ การดำาเนินงานเกิดประสิทธิผลและ ประสิทธิภาพ รายงานทางการเงินมีความน่าเชื่อถือ และมีการปฏิบัติตามกฎระเบียบข้อบังคับที่ เกี่ยวข้อง กับ 5 องค์ประกอบของการควบคุมภายใน ซึ่งประกอบด้วย สภาพแวดล้อมการควบคุม การประเมินความเสี่ยง กิจกรรมการควบคุม สารสนเทศและการสื่อสาร และการติดตามและ การประเมินผล...” นิยามของการควบคุมภายใน กระบวนการปฏิบัติงานที่ถูกกำาหนดร่วมกันโดยคณะกรรมการ ผู้บริหารและบุคคลอื่น ในองค์กรเพื่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า วิธีการหรือการปฏิบัติงานที่กำาหนดไว้จะทำาให้ บรรลุวัตถุประสงค์ของการควบคุม ทั้งสามด้าน ประกอบด้วย การดำาเนินงานเกิดประสิทธิผลและ ประสิทธิภาพ รายงานทางการเงินมีความน่าเชื่อถือ และมีการปฏิบัติตามกฎระเบียบข้อบังคับที่ เกี่ยวข้อง นิยามของการบริหารความเสี่ยงทั่วทั้งองค์กร (Definition of Enterprise Risk Management) การบริหารความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management-ERM) คือ กระบวนการที่มีมุมมองภาพรวมทั้งหมดขององค์กร ซึ่งเป็นกลยุทธ์จากผู้บริหารสู่ผู้ปฏิบัติโดยมี วัตถุประสงค์เพื่อระบุ ประเมินและเข้าถึง เหตุการณ์ที่มีความเป็นไปได้ที่จะเป็นผลให้เกิดความ สูญเสีย ความเสียหาย ความอันตรายต่อการปฏิบัติงาน ต่อการบริหารการเงิน ต่อเป้าหมาย ของ องค์กร หรือ “ความเสี่ยง” ซึ่งเป็นเหตุให้การปฏิบัติงานไม่บรรลุตามเป้าหมายที่วางไว้ เป็นการ บริหารเพื่อประกอบการตัดสินใจแบบองค์รวม ไม่ได้ออกแบบเพื่อบริหารเป็นอิสระตามหน่วยงาน ย่อย การบริหารความเสี่ยงคือ กระบวนการบริหารเพื่อมุ่งความสำาเร็จตามเป้าหมายกลยุทธ์หรือ มุ่งหาโอกาสในการสร้างความได้เปรียบในการแข่งขัน การบริหารความเสี่ยงเป็นองค์ประกอบที่สำาคัญในการบริหารเชิงกลยุทธ์ของทุก องค์กร เป็นกลยุทธ์ที่แทรกไว้ในทุกกิจกรรมทางธุรกิจ โดยมี องค์ประกอบพื้นฐานของการบริหาร ความเสี่ยงคือ การประเมินความเสี่ยงที่มีนัยสำาคัญ และจัดการความเสี่ยงนั้นอย่างเหมาะสม การจัดการความเสี่ยงสามารถอยู่ในรูปแบบ การยอมรับ การหลีกเลี่ยง การถ่ายโอนความเสี่ยง หรือ การลดความเสี่ยงด้วยการเพิ่มกิจกรรมการควบคุม แนวทางการจัดการความเสี่ยงนี้ ยังรวม ถึงการจัดการวัฒนธรรมองค์กรเพื่อให้คำานึงถึงความสำาคัญของความเสี่ยง ตระหนักรู้ด้วยทัศนคติ การเรียนรู้อยู่กับความเสี่ยงและการจัดการให้อยู่ในระดับที่ยอมรับได้ โดยที่ฝ่ายบริหารต้องรับผิดชอบ ในการออกแบบโครงสร้างการบริหารความเสี่ยงซึ่งครอบคลุม การกำาหนดนโยบายที่แสดงให้เห็นว่า ผู้บริหารให้ความสำาคัญ การอบรมให้ความรู้สร้างความเข้าใจ การกำาหนดแนวทางการเฝ้าระวัง การรายงาน และการกำาหนดกิจกรรมควบคุมความเสี่ยง บทที่ 2 ความเป็นไปได้ของการพัฒนาระบบการควบคุมภายใน 22 23

การควบคุมภายใน และการบริหารความเสี่ยง ตามมาตรฐาน COSO 2013 COSO ย่อมาจาก Committee of Sponsoring Organization of The Treadway Commission เป็นคณะทำางานประกอบด้วยผู้แทนจากสถาบันวิชาชีพ 5 แห่ง ในสหรัฐอเมริกา ประกอบด้วย • American Institute of Certified Public Accountants: AICPA สถาบันผู้สอบบัญชี • American Accounting Association: AAA สถาบันนักบัญชี • Financial Executives Institute: FEI สถาบันทางการเงิน • Institute of Internal Auditors: IIA สถาบันผู้ตรวจสอบภายใน • Institute of Management Accountants: IMA สถาบันการบัญชีบริหาร แนวคิดการควบคุมภายใน และการบริหารความเสี่ยง ตามมาตรฐาน COSO 2013 การควบคุมภายใน ตามกรอบแนวคิดการบริหารความเสี่ยง ตามมาตรฐาน COSO 2013 ประกอบด้วย 3 เป้าหมาย 5 องค์ประกอบหลัก และ 17 องค์ประกอบย่อย ดังนี้ (จิณห์ระ พีร์,2562) เข้าถึงได้จาก (https://med.mahidol.ac.th/risk_mgt/th/article/03092016-0912) 3 เป้าหมายความสำาเร็จของมาตรฐานการควบคุมภายใน• การดำาเนินงานเกิดประสิทธิผลและประสิทธิภาพ (Operation) มุ่งหมายให้การ ปฏิบัติงานมีประสิทธิภาพ ประสิทธิผล มีความคุ้มค่า ไม่เกิดการทุจริต บรรลุเป้าหมายที่องค์กร ตั้งไว้ หากพบเหตุการณ์ไม่ปกติ หรือเหตุการณ์ที่อาจเป็นผลให้การดำาเนินงานไม่บรรลุเป้าหมาย จะต้องมีการรายงานโดยทันที• รายงานทางการเงินมีความน่าเชื่อถือ การรายงานทางการเงินหรือ งบการเงิน ที่ ใช้ภายในองค์กรและรายงานต่อภายนอก ต้องมีคุณภาพ และทันเวลา มีความเชื่อถือได้ เพื่อให้ คณะกรรมการ ผู้บริหาร ผู้ถือหุ้น ผู้ลงทุน และบุคคลภายนอก ใช้ประกอบการพิจารณา ตัดสิน ใจ หรือลงทุนได้ • มีการปฏิบัติตามกฎระเบียบข้อบังคับที่เกี่ยวข้อง เป็นไปตามบทบัญญัติ ข้อกำาหนด กฎระเบียบ กฎหมายใดๆ ที่เกี่ยวข้องกับการดำาเนินธุรกิจนั้นๆ เพื่อป้องกันมิให้เกิดความเสีย หาย จากการปฏิบัติหรือละเว้นการปฏิบัติ 5 องค์ประกอบหลักของการควบคุมภายใน (จิณห์ระพีร์,2562 อ้างแล้ว) • สภาพแวดล้อมการควบคุม เป็นองค์ประกอบที่เกี่ยวกับการสร้างจิตสำานึกและ บรรยากาศของการควบคุมภายใน ส่งเสริมให้ทุกคน ทุกระดับ มีความเข้าใจ ตระหนักถึงความ จำาเป็น มีจิตสำานึกที่ดี และมีความรับผิดชอบ ต่อระบบควบคุมภายใน ปัจจัยที่ส่งผลต่อความ เข้าใจและความตระหนักรู้ ประกอบด้วย 1. ความซื่อสัตย์และจริยธรรม โดยผู้บริหารควรจัดทำาเป็นข้อกำาหนดด้านจริยธรรม และมาตรฐานการปฏิบัติงานซึ่งเปรียบเสมือนกฎระเบียบขององค์กร รวมถึง การปฏิบัติและวางตนเป็นแบบอย่างที่ดีอย่างสม่ำาเสมอของผู้บริหาร และไม่ใช้ ความรุนแรงในการกดดันเพื่อให้บุคลากรปฏิบัติ 2. ความรู้และทักษะที่สามารถเพิ่มความสามารถในการแข่งขันได้ โดยกำาหนดเพื่อ เป็นเกณฑ์ในการพิจารณาบรรจุคนเข้าสู่ตำาแหน่งหรือพัฒนาบุคลากรให้มี ทักษะเหมาะสมกับตำาแหน่ง 3. คณะกรรมการบริษัทหรือคณะกรรมการตรวจสอบ ผู้ซึ่งเป็นกลุ่มบุคคลที่มีบทบาท สำาคัญในการกำากับดูแลและตรวจสอบ ส่งเสริมบรรยากาศของการควบคุมและ การตรวจสอบ ส่งเสริมความเป็นอิสระ ติดตามวิเคราะห์สภาพแวดล้อม ความ เพียงพอในการควบคุม ติดตามความสำาเร็จตามเป้าหมายการควบคุม และเป้าหมาย ความสำาเร็จขององค์กร 4. โครงสร้างองค์กร เป็นพื้นฐานสำาคัญเพื่อการวางแผน การสั่งการที่รวดเร็ว และ การควบคุมที่มีประสิทธิภาพ 5. การมอบอำานาจหน้าที่ความรับผิดชอบ ที่มีความชัดเจนเป็นไปตามวัตถุประสงค์ มีมาตรฐานการควบคุมที่มีความเหมาะสม มีจำานวนผู้ปฏิบัติงานและผู้ปฏิบัติ กิจกรรมการควบคุมที่เหมาะสมกับลักษณะของธุรกิจ 6. นโยบายการบริหารงานด้านทรัพยากรมนุษย์ กำาหนดเกณฑ์การคัดเลือก การบรรจุ การจูงใจ การประเมินและการติดตามผล การเลื่อนตำาแหน่งและเส้นทางความ ก้าวหน้าในตำาแหน่ง และ การพัฒนาทรัพยากรมนุษย์ที่ทันต่อการเปลี่ยนแปลง อย่างตลอดเวลา 7. การตรวจสอบภายใน ที่มีความเป็นอิสระในการตรวจสอบ การประเมินผล และ การรายงานต่อผู้บริหารระดับสูงอย่างเพียงพอ ภายใต้การสนับสนุนของผู้บริหาร • การประเมินความเสี่ยง เพื่อระบุเหตุการณ์ซึ่งจะเป็นปัจจัยเสี่ยงต่อการบรรลุเป้าหมาย ความสำาเร็จขององค์กร ทั้งจากปัจจัยภายนอกและปัจจัยภายในองค์กร แล้วนำาปัจจัยเหล่านั้นมา ประเมินความสำาคัญของความเสี่ยงโดยจัดลำาดับจาก ผลกระทบความรุนแรงที่จะเกิดขึ้นหาก เหตุการณ์เสี่ยงนั้นเกิดขึ้น และโอกาสความเป็นไปได้ในการเกิดปัจจัยเสี่ยงนั้น และนำามาบริหาร ความเสี่ยงตามลำาดับความรุนแรงและผลกระทบที่ประเมิน ตามแนวทางการบริหารความเสี่ยง โดยคำานึงถึงต้นทุนในการบริหารความเสี่ยงและผลกระทบของความเสี่ยง ได้แก่ COSO 1. American Institue of Certified Public Accountants: AICPA สถาบันผูŒสอบบัญชี 2. American Accounting Association: AAA สถาบันนักบัญชี 3. Financial Executives Institute: FEI สถาบันทางการเงิน 4. Institute of Internal Auditors: IIA สถาบันผูŒตรวจสอบ ภายใน 5. Institute of Management Accountants: IMA สถาบันการบัญชี บริหาร 24 25

1. การหลีกเลี่ยง 2. การลดความเสี่ยง 3. การกระจายความเสี่ยง 4. และการยอมรับความเสี่ยง • กิจกรรมการควบคุม โดยสามารถแบ่งตามประเภทของการควบคุม ได้แก่ 1. การควบคุมแบบป้องกัน 2. การควบคุมแบบค้นพบ 3. การควบคุมแบบแก้ไข 4. การควบคุมแบบส่งเสริม • สารสนเทศและการสื่อสาร เป็นองค์ประกอบสำาคัญของการควบคุมภายใน ประกอบด้วย 1. ข้อมูลสารสนเทศ ที่มีความเหมาะสมกับการใช้ มีความถูกต้องสมบูรณ์ มีความ เป็นปัจจุบันทันเวลาที่มีการเปลี่ยนแปลงของข้อมูลอย่างรวดเร็ว และมีความ สะดวกรวดเร็วในการเข้าถึง 2. การสื่อสารที่มีประสิทธิภาพ ในรูปแบบการสื่อสารสองทาง • การติดตามและการประเมินผล เพื่อสร้างความมั่นใจได้ว่า ระบบการควบคุมมีประสิทธิผล มีการปรับปรุงพัฒนาให้ทันต่อการเปลี่ยนแปลงอยู่ตลอดเวลา ประกอบด้วย 1. การติดตามผลระหว่างการดำาเนินงาน 2. การประเมินผลอิสระ โดยประเมินในช่วงเวลาแล้วแต่จะกำาหนด หรือ ประเมิน โดยองค์กรภายนอกหรือ ผู้ที่ไม่มีส่วนได้เสียเกี่ยวข้องกับองค์กร 3. การประเมินตนเอง อ้างอิงการเผยแพร่ของ COSO 2013 กรอบแนวคิดระบบควบคุมภายในเพื่อประยุกต์ ใช้กับมหาวิทยาลัยในกำากับของรัฐ (สุวรรณา, 2560) ซึ่งอ้างอิงบทความ COSO 2013 ความ เปลี่ยนแปลงจาก COSO 1992 ที่เขียนโดย อาจารย์จิราพร สุเมธีประสิทธิ์ ที่ปรึกษาอิสระ เข้า ถึงได้จาก https://chirapon.wordpress.com/2013/10/09/coso-2013-%E0%B8%84%E0%B 8%A7%E0%B8%B2%E0%B8%A1%E0%B9%80%E0%B8%9B%E0%B8%A5%E0%B8%B 5%E0%B9%88%E0%B8%A2%E0%B8%99%E0%B9%81%E0%B8%9B%E0%B8%A5%E0 %B8%87%E0%B8%88%E0%B8%B2%E0%B8%81-coso-1992-%E0%B9%80/ โดยบทความนี้ ได้กล่าวถึงการประยุกต์กรอบแนวคิดระบบควบคุมภายในเพื่อประยุกต์ใช้กับมหาวิทยาลัย ในกำากับของรัฐ กรอบแนวคิดระบบการควบคุมภายใน ปี 2013 นี้ ได้รับการยอมรับอย่างกว้างขวาง โดยที่ คณะกรรมการกำากับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ก็ได้กำาหนดแนวทางการ ควบคุมภายใน นำามาใช้โดยให้บริษัทจดทะเบียนทั้งหมดทำาการประเมินและนำาส่งผลการประเมิน ต่อ ก.ล.ต. เป็นส่วนหนึ่งของการรายงานประจำาปี กรอบแนวคิด COSO 2013 ได้ปรับโดยทบทวนบทบาทของระบบควบคุมภายในที่ใช้ อยู่ในกิจการทุกกิจการและทุกประเภท อย่างน้อย 2 ประเด็น ได้แก่ (สุวรรณา, อ้างแล้ว) 1. โครงสร้างของการควบคุมภายในที่อยู่ใน COSO 1992 เพียงพอที่จะลดระดับ ความเสี่ยง เพื่อให้องค์กรสามารถบรรลุตามวัตถุประสงค์หรือไม่ 2. การเปลี่ยนแปลงของระบบควบคุมภายใน สามารถสะท้อนว่า เป็นการเปลี่ยนแปลง ที่สอดคล้องกับการเปลี่ยนแปลงทางธุรกิจด้วยหรือไม่ การปรับกรอบแนวคิด ของ COSO 2013 จะชี้นำาให้องค์กรได้ 1. ได้ทบทวนระดับกลยุทธ์ว่า ควรมีการเปลี่ยนระบบการควบคุมภายใน เพื่อเพิ่ม ประสิทธิภาพและประสิทธิผลให้กับการดำาเนินกิจกรรมธุรกิจขององค์กรหรือไม่ 2. ได้บูรณาการ การระบุ ประเมินความเสี่ยง และการปฏิบัติให้เป็นตามข้อบังคับ กฎเกณฑ์ ให้เป็นส่วนหนึ่งของขั้นตอนของกระบวนการปฏิบัติงานโดยปกติของ องค์กรให้ชัดเจนมากขึ้น 3. ได้ทบทวนและประเมิน เพื่อให้องค์กรธุรกิจมั่นใจได้ว่า ระบบการควบคุมภายใน ขององค์กรมีอยู่จริงและสามารถนำาไปปฏิบัติได้ ความสัมพันธ์ระหว่าง 3 เป้าหมายหลัก ได้แก่ การดำาเนินงานเกิดประสิทธิผลและ ประสิทธิภาพ รายงานทางการเงินมีความน่าเชื่อถือ และมีการปฏิบัติตามกฎระเบียบข้อบังคับ ที่เกี่ยวข้อง กับ 5 องค์ประกอบของการควบคุมภายใน ซึ่งประกอบด้วย สภาพแวดล้อมการ ควบคุม การประเมินความเสี่ยง กิจกรรมการควบคุม สารสนเทศและการสื่อสาร และการติดตาม และการประเมินผล โดยการปฏิบัติ 5 องค์ประกอบของการควบคุมภายใน เพื่อบรรลุเป้าหมายความสำาเร็จ หลัก ทั้ง 3 เป้าหมาย 26 27

กรอบแนวคิด COSO 2013 ได้กำาหนดองค์ประกอบย่อยตามองค์ประกอบหลัก 5 องค์ ประกอบเดิม ให้มีระบบการควบคุมภายใน มีความละเอียดชัดเจนมากยิ่งขึ้น ตามองค์ประกอบ ย่อย รวม 17 ด้าน ทั้งนี้ ก่อนจะอธิบายถึงรายละเอียดขององค์ประกอบย่อยทั้ง 17 ด้าน พร้อม สาระสำาคัญของแนวทางแต่ละองค์ประกอบ จะขอกล่าวถึง ความหมายขององค์ประกอบหลัก ทั้ง 5 ด้าน เพื่อความเข้าใจที่ชัดเจน ดังนี้ (จิณห์ระพีร์,2562) เข้าถึงได้จาก (https://med.mahidol.ac.th/risk_mgt/th/article/03092016-0912) องค์ประกอบที่ 1 สภาพแวดล้อมการควบคุม (Control Environment) ประกอบด้วย องค์ประกอบย่อย รวม 5 ด้าน • องค์กรยึดหลักความซื่อตรงและจริยธรรม ซึ่งต้องแสดงให้เห็นผ่านการปฏิบัติ คำาสั่ง การจัดทำามาตรฐานจรรยาบรรณ ทำาการ ประเมินมาตรฐานจรรยาบรรณ และมีการรายงานผลตามเวลาที่เหมาะสม • คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำากับดูแล กำาหนดความรับผิดชอบในการกำากับดูแลที่ชัดเจน โดยคณะกรรมการเป็นผู้มีความรู้ ความชำานาญที่เกี่ยวข้องกับธุรกิจ ดำาเนินการอย่างอิสระ กำากับดูแลตามขอบเขต การควบคุมทั้ง 5 องค์ประกอบ • คณะกรรมการและฝ่ายบริหาร มีอำานาจการสั่งการชัดเจน พิจารณากำาหนดโครงสร้างองค์กรทั้งหมด ซึ่งครอบคลุมสายการบังคับบัญชา อำานาจ หน้าที่ความรับผิดชอบ • องค์กรจูงใจพนักงานและรักษาไว้กำาหนดนโยบายการบริหารบุคลากร แนวทางการประเมินความสามารถ การพัฒนา บุคลากรและพัฒนาความสามารถส่วนที่พนักงานขาด การจูงใจการรักษาบุคลากรไว้ และการวางแผนความก้าวหน้าในอาชีพ • องค์กรผลักดันให้ทุกตำาแหน่งรับผิดชอบต่อการควบคุมภายใน กำาหนดให้บุคลากรทุกระดับรับผิดชอบต่อการควบคุมภายในผ่าน โครงสร้าง อำานาจ หน้าที่รับผิดชอบ โดยกำาหนดตัวชี้วัด ประเมินผลตัวชี้วัดการปฏิบัติงาน มีการกำาหนด บทลงโทษ และการสร้างแรงจูงใจในการปฏิบัติงาน ให้สิ่งจูงใจและรางวัล ตามผล การปฏิบัติงาน องค์ประกอบที่ 1 เน้นการกำาหนดนโยบายจากระดับบนลงล่าง ซึ่งเป็นความรับผิดชอบ ของคณะกรรมการบริษัท ผู้บริหารระดับสูง และคณะกรรมการตรวจสอบมากขึ้น องค์ประกอบที่ 2 การประเมินความเสี่ยง (Risk Assessment) มีองค์ประกอบย่อย รวม 4 ด้าน• กำาหนดเป้าหมายชัดเจน องค์กรกำาหนดแนวทางการปฏิบัติตามมาตรฐานบัญชีที่รับรองทั่วไป กำาหนดสาระ สำาคัญของรายงานทางการเงินที่สะท้อนถึงกิจกรรมขององค์กร กำาหนดนโยบายบริหาร ความเสี่ยงที่ได้รับอนุมัติจากคณะกรรมการ รายงานต่อผู้บริหารทราบและนำาสู่การ ปฏิบัติไปสู่การเป็นวัฒนธรรมองค์กร • ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม ระบุความเสี่ยงทุกประเภท ทุกระดับ วิเคราะห์ความเสี่ยงทั้งปัจจัยภายในและ ภายนอกโดยให้บุคลากรทุกระดับมีส่วนร่วม ประเมินระดับความเสี่ยงและความสำาคัญ ของความเสี่ยง และกำาหนดแนวทางการจัดการความเสี่ยง • พิจารณาโอกาสที่จะเกิดทุจริต ประเมินโอกาส แรงจูงใจ และแรงกดดันที่จะก่อให้เกิดการทุจริต พิจารณา ตรวจสอบ โอกาสในการเกิดการทุจริตและมาตรการป้องกัน สื่อสารแนวปฏิบัติการป้องกัน การทุจริตต่อพนักงานทุกระดับ • ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน ประเมินการเปลี่ยนแปลงสภาพแวดล้อมภายนอก รูปแบบการดำาเนินธุรกิจ และ รูปแบบผู้นำาองค์กร เพื่อประเมินสิ่งที่อาจกระทบต่อการควบคุมภายใน องค์ประกอบที่ 2 เน้นการนิยามเกณฑ์ความเสี่ยงที่ยอมรับได้ ระบุ วิเคราะห์ และ ประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน อย่างครอบคลุม องค์ประกอบที่ 3 กิจกรรมการควบคุม (Control Activities) มีองค์ประกอบย่อยรวม 3 ด้าน • ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ กำาหนดให้มีกิจกรรมการควบคุมทุกระดับในองค์กร มีความหลากหลายเหมาะสมกับ กิจกรรมที่แตกต่างโดยการแบ่งแยกหน้าที่ กำาหนดผู้อนุมัติ ผู้ดูแลเก็บรักษา กิจกรรม การควบคุมมีความเหมาะสมกับระดับความเสี่ยง สภาพแวดล้อม บริบทขององค์กร 5 องคประกอบหลักของการควบคุมภายในตามหลักการ COSO การประเมิณความเสี่ยง สภาพแวดลŒอมการควบคุม สารสนเทศและการสื่อสาร การติดตามและการประเมิณผล กิจกรรมการควบคุม 28 29

• พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม กำาหนดกิจกรรมการควบคุมด้านโครงสร้างพื้นฐาน ด้านเทคโนโลยี ด้านความปลอดภัย ทางเทคโนโลยี ด้านการจัดหา การพัฒนา ดูแลรักษาระบบเทคโนโลยีที่ใช้ในการควบคุม ให้เหมาะสม • ควบคุมให้นโยบายสามารถปฏิบัติได้ กำาหนดนโยบายที่รัดกุมเพื่อติดตามการทำาธุรกรรมของผู้ถือหุ้นรายใหญ่ กรรมการ ผู้บริหาร บริษัทย่อย บริษัทร่วม มีนโยบายให้การอนุมัติธุรกรรมคำานึงถึงประโยชน์ สูงสุดของบริษัท กระทำาโดยผู้ไม่มีส่วนได้เสีย กำาหนดผู้ที่มีหน้าที่รับผิดชอบในการ นำานโยบายไปปฏิบัติ ใช้อย่างเหมาะสม โดยมีการทบทวนนโยบายและขั้นตอนการ ปฏิบัติงานอย่างสม่ำาเสมอ องค์ประกอบที่ 3 เน้นการวางนโยบาย และกำาหนดกิจกรรมการควบคุมไว้ในขั้นตอน การปฏิบัติงาน รวมถึงการวางระบบรายงานเพื่อทบทวนกิจกรรมการควบคุม กับวัตถุประสงค์ การควบคุมที่ตั้งไว้ องค์ประกอบที่ 4 สารสนเทศและการสื่อสาร (Information and Communication) มีองค์ประกอบย่อยรวม 3 ด้าน • องค์กรมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ กำาหนดสารสนเทศที่ต้องใช้ในการดำาเนินที่มีข้อมูลถูกต้องและเพียงพอต่อการ ตัดสินใจ โดยพิจารณาต้นทุนและประโยชน์ที่ได้รับ กำาหนดแนวทางการจัดการ ข้อมูลให้มีสามารถตรวจสอบย้อนหลังได้ มีการเก็บอย่างเป็นระบบ มีการแก้ไข ตามข้อเสนอแนะของผู้ตรวจสอบอย่างเหมาะสม • มีการสื่อสารข้อมูลภายในองค์กร ให้การควบคุมภายในดำาเนินต่อไปได้ มีกระบวนการสื่อสารข้อมูล รายงานข้อมูลที่สำาคัญ อย่างสม่ำาเสมอ ในช่องทางที่ เหมาะสม กำาหนดให้มีช่องทางการรายงานทางลับเกี่ยวกับเบาะแสการทุจริต • มีการสื่อสารกับหน่วยงานภายนอก ในประเด็นที่อาจกระทบต่อการควบคุมภายใน มีการสื่อสารกับหน่วยงานภายนอกในช่องทางที่เหมาะสมอย่างมีประสิทธิภาพ กำาหนดให้มีช่องทางให้องค์กรภายนอกรายงานทางลับเกี่ยวกับเบาะแสการทุจริต องค์ประกอบที่ 4 เน้นความเคลื่อนไหวคล่องตัวของสารสนเทศ และกิจกรรมการ สื่อสาร ที่ครอบคลุมทุกระดับในองค์กร องค์ประกอบที่ 5 กิจกรรมการกำากับติดตามและประเมินผล (Monitoring Activities) มีองค์ประกอบย่อยรวม 2 ด้าน• ติดตามและประเมินผลการควบคุมภายใน กำาหนดให้มีการติดตามผลการปฏิบัติตามจริยธรรม ในรูปแบบที่อาจก่อให้เกิดผล ประโยชน์ทับซ้อน กำาหนดให้มีการตรวจติดตามการปฏิบัติการควบคุมภายใน โดย การประเมินตนเอง และหรือประเมินโดยผู้ตรวจสอบภายในที่มีความรู้ความสามารถ ตามมาตรฐานสากล ให้มีความถี่ที่เหมาะสม กำาหนดการรายงานผลการตรวจ • สอบภายในให้ขึ้นตรงต่อคณะกรรมการตรวจสอบ ประเมินและสื่อสารข้อบกพร่องของการควบคุมภายในทันเวลาและเหมาะสม รายงานข้อบกพร่องที่เป็นสาระสำาคัญ ได้แก่ เหตุการณ์ทุจริตร้ายแรง การฝ่าฝืน กฎหมาย หรือการกระทำาที่ผิดปกติ ซึ่งกระทบต่อชื่อเสียงและฐานะการเงินอย่างมี นัยสำาคัญ พร้อมแนวทางแก้ไขต่อคณะกรรมการบริษัท ผู้ตรวจสอบ โดยทันที องค์ประกอบที่ 5 เน้นการติดตามในกิจกรรมขั้นตอนการทำางานโดยปกติโดยเจ้าของ กระบวนงาน และการประเมินผลโดยหน่วยงานที่เป็นอิสระ โดยการประเมินผลจะต้องสอดคล้อง กับวัตถุประสงค์ของการควบคุมในกระบวนงาน ความเสี่ยงที่เกี่ยวข้อง และกิจกรรมการควบคุม ทั้งนี้ องค์ประกอบการควบคุมภายในแต่ละองค์ประกอบและหลักการจะต้องมีอยู่จริงและนำาไป ปฏิบัติได้ (Present & Function) และต้องมีความสอดคล้องและสัมพันธ์กันจึงจะทำาให้การควบคุม ภายในมีประสิทธิผล กระบวนการควบคุมภายใน: บทบาทและความรับผิดชอบของบริษัทต่อการควบคุมภายใน: การควบคุมภายในเป็นความรับผิดชอบของทุกคนในองค์กร เนื้อหาส่วนแรกกล่าวถึง ความหมาย ความสัมพันธ์ของการควบคุมภายในกับการ บริหารความเสี่ยง และองค์ประกอบของการควบคุมภายใน ประกอบด้วย 5 องค์ประกอบหลัก และ 17 องค์ประกอบย่อย ตามกรอบแนวคิดของการควบคุมภายใน ตามมาตรฐาน COSO 2013 เพื่อสร้างความเข้าใจว่า การควบคุมภายในคือ เครื่องมือหรือกลไกสำาคัญที่จะช่วยให้ องค์กร บรรลุวัตถุประสงค์และเป้าหมายความสำาเร็จที่วางไว้อย่างราบรื่น ในเนื้อหาส่วนนี้ จะกล่าวถึง กลไกการขับเคลื่อนการควบคุมภายในให้ดำาเนินไปอย่าง มีประสิทธิภาพ องค์กรต้องให้ความสำาคัญกับกระบวนการควบคุมภายใน สร้างความเข้าใจบน แนวคิดและแนวปฏิบัติที่เป็นไปในทิศทางเดียวกันว่า การควบคุมภายในเป็นความรับผิดชอบของ ทุกคนในองค์กร เป็นความรับผิดชอบในทุกระดับ 30 31

1st Line of Defense ผู้รับผิดชอบระดับแรก คือ หน่วยงานต่างๆ ในองค์กร (Business Lines) มีหน้าที่ดูแลงานในความรับผิดชอบ และระบบการควบคุมภายในให้เป็นไปตามแนวทางหรือ กรอบที่กำาหนดไว้ 2nd Line of Defense ผู้รับผิดชอบระดับที่สอง คือ หน่วยงานที่ดูแลให้มีการปฏิบัติ ตามกฎเกณฑ์ (Compliance) การตรวจสอบและควบคุมคุณภาพ (Inspection and Quality Assurance) การบริหารความเสี่ยง (Risk Management) ทั้ง 1st Line of Defense และ 2nd Line of Defense มีหน้าที่รายงานต่อคณะผู้บริหารหรือ ฝ่ายจัดการองค์กร 3rd Line of Defense ผู้รับผิดชอบระดับที่สาม คือ หน่วยงานตรวจสอบภายใน (Internal Audit) มีหน้าที่ประเมินความเพียงพอของระบบการควบคุมภายในขององค์กร ให้ข้อเสนอแนะ การปรับปรุง และพัฒนา โดยรายงานต่อฝ่ายจัดการ คณะกรรมการ หน่วยตรวจสอบภายใน ควรมีความเป็น อิสระอย่างเพียงพอ (Independence) เพื่อให้ความเห็นนั้นสะท้อนประเด็นการตรวจสอบอย่างแท้จริง ที่มา: ตลาดหลักทรัพย์แห่งประเทศไทย 2562, (อ้างแล้ว) กรณีศึกษา กระบวนการควบคุมภายใน: การควบคุมภายในเป็นความรับผิดชอบของทุกคนในองค์กร รูปที่ 2.1 แสดงระดับความรับผิดชอบของผู้บริหารในองค์กรทั้งสามระดับ ที่มา: ตลาดหลักทรัพย์แห่งประเทศไทย 2562, อ้างแล้ว ขั้นตอนกระบวนการควบคุมภายใน (ตลาดหลักทรัพย์แห่งประเทศไทย, 2562) อ้างแล้ว 1. วางระบบ/ทบทวนระบบการควบคุมภายในระดับองค์การ เป็นความรับผิดชอบของ ผู้รับผิดชอบระดับที่สอง คือ หน่วยงานที่ดูแลให้มีการปฏิบัติตามกฎเกณฑ์ (Compliance) การตรวจสอบและควบคุมคุณภาพ (Inspection and Quality Assurance) การบริหาร ความเสี่ยง (Risk Management) 2. ประเมินความเสี่ยง เป็นความรับผิดชอบของ ผู้รับผิดชอบระดับแรก คือ หน่วยงาน ต่างๆ ในองค์กร (Business Lines) มีหน้าที่ดูแลงานในความรับผิดชอบ และระบบ การควบคุมภายในให้เป็นไปตามแนวทางหรือ กรอบที่กำาหนดไว้ 3. ออกแบบ/ทบทวนกิจกรรมการควบคุม เป็นความรับผิดชอบของ ผู้รับผิดชอบระดับ แรก คือ หน่วยงานต่างๆ ในองค์กร (Business Lines) มีหน้าที่ดูแลงานในความ รับผิดชอบ และระบบการควบคุมภายในให้เป็นไปตามแนวทางหรือ กรอบที่กำาหนดไว้ 4. ประเมินประสิทธิภาพ/ประสิทธิผล ของการควบคุมภายใน เป็นความรับผิดชอบ ของบุคลากรทุกระดับในองค์กร ประกอบด้วย 1st Line of Defense ผู้รับผิดชอบระดับแรก คือ หน่วยงานต่างๆ ในองค์กร (Business Lines)มีหน้าที่ดูแลงานในความรับผิดชอบ และระบบการควบคุมภายใน ให้เป็นไปตามแนวทางหรือ กรอบที่กำาหนดไว้ 2nd Line of Defense ผู้รับผิดชอบระดับที่สอง คือ หน่วยงานที่ดูแลให้มีการ ปฏิบัติตามกฎเกณฑ์ (Compliance) การตรวจสอบและควบคุมคุณภาพ (Inspection and Quality Assurance) การบริหารความเสี่ยง (Risk Management) 2nd Line of Defense 1st, 2nd Lines of Defense 1st Line of Defense 1st, 2ndt, 3rd Lines of Defense 1st Line of Defense 32 33

3rd Line of Defense ผู้รับผิดชอบระดับที่สาม คือ หน่วยงานตรวจสอบภายใน (Internal Audit) มีหน้าที่ประเมินความเพียงพอของระบบการควบคุมภายในของ องค์กร ให้ข้อเสนอแนะ การปรับปรุงและพัฒนา โดยรายงานต่อฝ่ายจัดการ คณะ กรรมการ หน่วยตรวจสอบภายใน ควรมีความเป็นอิสระอย่างเพียงพอ (Independence) เพื่อให้ความเห็นนั้นสะท้อนประเด็นการตรวจสอบอย่างแท้จริง 5. รายงานและติดตามผล เป็นความรับผิดชอบของ ทั้ง 1st Line of Defense และ 2nd Line of Defense มีหน้าที่รายงานต่อคณะผู้บริหารหรือ ฝ่ายจัดการองค์กร กรณีศึกษา ตัวอย่างที่ดี ในการกำาหนดสภาพแวดล้อมการควบคุม เพื่อสร้างจิตสำานึกและ บรรยากาศของการควบคุมภายใน ส่งเสริมให้ทุกคน ทุกระดับ มีความเข้าใจ ตระหนักถึงความ จำาเป็น มีจิตสำานึกที่ดี และมีความรับผิดชอบ ต่อระบบควบคุมภายใน บริษัท ปตท. น้ำามันและ การค้าปลีก จำากัด (มหาชน) เข้าถึงได้จาก https://www.pttor.com/th/about#background นโยบายการควบคุมภายใน ของ PTTOR เข้าถึงได้จาก https://www.pttor.com/th/about/good_corporate_governance เพื่อสร้างความมั่นใจแก่ผู้มีส่วนได้ส่วนเสียทุกภาคส่วนว่าการดำาเนินงานของ OR จะ บรรลุวัตถุประสงค์ด้านประสิทธิภาพและประสิทธิผลของการปฏิบัติงาน ความเชื่อถือได้ของ รายงานทางการเงิน และรายงานการดำาเนินงาน การปฏิบัติตามกฎหมายและกฎระเบียบ ข้อ บังคับที่เกี่ยวข้อง เพื่อให้เป็นองค์กรที่มีการกำากับดูแลกิจการที่ดี OR จึงกำาหนดนโยบายการ ควบคุมภายใน ดังนี้ 1. พัฒนาระบบการควบคุมภายในตามมาตรฐานสากลและปลูกฝังเป็นวัฒนธรรม องค์กรควบคู่กับการสื่อสารให้พนักงานทุกคนตระหนักถึงความสำาคัญของการ ควบคุมภายใน 2. คณะกรรมการมีหน้าที่กำากับดูแลการพัฒนาระบบการควบคุมภายในในภาพรวม และกำากับให้มีการติดตามประเมินผลการควบคุมภายใน 3. ผู้บริหารมีหน้าที่รับผิดชอบในการกำาหนดและจัดให้มีระบบการควบคุมภายในที่มี ประสิทธิผล ริเริ่มและสร้างบรรยากาศเพื่อให้เกิดสภาพแวดล้อมของการควบคุม ปฏิบัติตนเป็นตัวอย่างที่ดีในเรื่องความซื่อสัตย์ ความมีคุณธรรมจริยธรรม รวมทั้ง ติดตามผลการดำาเนินงานอย่างสม่ำาเสมอ 4. ผู้บริหารของหน่วยงานมีหน้าที่ในการประเมินความเสี่ยงในระดับปฏิบัติการและ กำาหนดกิจกรรมควบคุมที่เพียงพอ เหมาะสม ตลอดจนนำาการควบคุมภายในไป ปฏิบัติและปรับปรุง รวมทั้งติดตามผลการดำาเนินงานของหน่วยงานที่รับผิดชอบ 5. ฝ่ายตรวจสอบภายในเป็นผู้สอบทานหรือประเมินผลการควบคุมภายในของ องค์กรอย่างเป็นอิสระ เพื่อให้ความมั่นใจว่าหน่วยรับตรวจมีการควบคุมภายในที่มี ประสิทธิภาพและประสิทธิผล มีกระบวนการบริหารความเสี่ยงอยู่ในระดับที่ยอมรับได้ 6. พนักงานทุกคนมีหน้าที่ในการปฏิบัติงานตามระบบการควบคุมภายใน รวมถึงรายงาน ปัญหาจากการปฏิบัติงานให้ผู้บังคับบัญชาทราบ เพื่อให้เกิดการปรับปรุงแก้ไขและ ลดผลกระทบที่อาจเกิดขึ้นได้อย่างทันท่วงที ข้อโดดเด่นและความสมบูรณ์ของนโยบายควบคุมภายใน ของ บริษัท ปตท. น้ำามันและการค้าปลีก จำากัด (มหาชน) • กำาหนดสภาพแวดล้อมการควบคุมได้อย่างชัดเจนครอบคลุม ตามมาตรฐานการ ควบคุมภายใน ประกอบด้วย 1. กำาหนดมาตรฐานด้านความซื่อสัตย์และคุณธรรม จริยธรรม 2. ฝ่ายบริหาร/คณะกรรมการบริษัท/คณะกรรมการตรวจสอบให้ความสำาคัญ และกำาหนดบทบาทชัดเจนในการสร้างบรรยากาศ การบริหารกิจกรรมการควบคุม และสร้างมาตรฐานการควบคุมภายใน 3. องค์กรกำาหนดบทบาทให้ทุกคนมีหน้าที่รับผิดชอบต่อการควบคุมภายในอย่าง ชัดเจน 4. องค์กรกำาหนดแนวทางการควบคุมภายใน การประเมินผล การรายงาน และ การแก้ไขปัญหาตามระยะเวลาที่ทันท่วงที 34 35

แนวทางการควบคุมภายใน ตามมาตรฐาน COSO 2013 นำาไปใช้กับหน่วยงานใด • บริษัทที่จดทะเบียนในตลาดหลักทรัพย์ • บริษัทที่กำาลังจะเข้า IPO ในตลาดหลักทรัพย์ • บริษัทที่ประชาชนเป็นผู้ถือหุ้น • อย่างไรก็ตาม มีบริษัทเป็นจำานวนมากที่ต้องการวางโครงการสร้างการควบคุมภายใน และการบริหารความเสี่ยงที่เป็นที่สากล ได้รับการยอมรับถึงการบริหารความเสี่ยงและ การควบคุมภายในที่มีประสิทธิผลดีต่อวัตถุประสงค์การดำาเนินงานขององค์กร ได้นำา แนวทางการควบคุมภายในและการบริหารความเสี่ยงตามมาตรฐาน COSO 2013 นำาไปใช้ในการจัดการความเสี่ยงขององค์กร กรณีศึกษา ห้องเรียนผู้ประกอบการ: Internal Control ตลาดหลักทรัพย์แห่งประเทศไทย, 2564 ได้กล่าวถึง องค์ประกอบอย่างน้อย 3 ด้าน เพื่อการพัฒนาระบบควบคุมภายในให้เกิดขึ้นนั้น ประกอบด้วย (เข้าถึงได้จาก https://www. set.or.th/set/enterprise/html.do?name=internal-control) ที่มา: ห้องเรียนผู้ประกอบการ, ตลาดหลักทรัพย์แห่งประเทศไทย, 2564 (อ้างแล้ว) การพัฒนาระบบควบคุมภายในให้เกิดขึ้นนั้น มีองค์ประกอบอย่างน้อย 3 ด้าน 1. Tone from the Top ผู้บริหาร คณะกรรมการ จะต้องให้ความสำาคัญ มีส่วนร่วม และผลักดันให้เกิดระบบควบคุมภายในองค์กร 2. การประเมินสถานะปัจจุบันเทียบกับระดับที่เป็นมาตรฐานว่าควรทำาให้ดีขึ้น หรือ ปรับปรุงสิ่งที่มีแล้วไปสู่ระดับที่ได้มาตรฐานเป็นที่ยอมรับ 3. Three Lines of Defense การแบ่งแยกบทบาทในการปฏิบัติหน้าที่ในองค์กร แบ่งเป็น (1)First Line การปฏิบัติงานในหน้างานต่างๆ ของส่วนงานนั้น ที่จะต้องสร้างการ ควบคุมให้เกิดขึ้นในระบบการปฏิบัติงานประจำาวัน (2)Second Line การปฏิบัติงานในหน้างานต่างๆ ของส่วนงานนั้น ที่จะต้องสร้างการ ควบคุมให้เกิดขึ้นในระบบการปฏิบัติงานประจำาวัน (3)Third Line งานตรวจสอบภายใน บริษัททั่วไปไม่ค่อยมี แต่จำาเป็นต้องพัฒนาให้มี ขึ้นในบริษัทจดทะเบียน เป็นงานที่คอยผลักดันและติดตามว่ากระบวนการควบคุม ภายในที่ออกแบบไว้นั้นได้มีการปฏิบัติงานตามที่ได้กำาหนดไว้หรือไม่ สรุป ในเนื้อหาส่วนต้น เราได้กล่าวถึงการกำาหนดมาตรฐานแนวทางการกำาหนดระบบการ ควบคุมภายใน ตามองค์ประกอบมาตรฐาน COSO 2013 สรุปได้ว่า การควบคุมภายใน เป็นก ระบวนการที่ได้รับการออกแบบ โดยคณะกรรมการ ผู้บริหาร และบุคลากร เพื่อสร้างความ มั่นใจอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์ทั้ง 3 ด้าน คือ วัตถุประสงค์ด้านการปฏิบัติ งาน วัตถุประสงค์ด้านการรายงาน และวัตถุประสงค์ด้านการปฏิบัติตามกฎระเบียบ ด้วยองค์ ประกอบทั้ง 5 ด้าน มาสนับสนุนวัตถุประสงค์ได้ทั้ง 3 ข้อ อาจไม่เจาะจงเฉพาะข้อใดข้อหนึ่ง หรือสามารถเน้นเฉพาะข้อใดข้อหนึ่ง ทั้งนี้ องค์ประกอบทั้ง 5 ข้อ ต้องครอบคลุมทั้งทุกระดับ ทั่วทั้งองค์กร อย่างไรก็ดี ประสิทธิผลของการควบคุมภายใน จะเกิดขึ้นได้ ขึ้นอยู่กับปัจจัย 2 ข้อ คือ หนึ่ง ความมีอยู่จริงและสามารถนำาไปปฏิบัติได้ ขององค์ประกอบทั้ง 5 ข้อ และ สอง องค์ ประกอบทั้ง 5 ข้อ ต้องสามารถทำางานขับเคลื่อนได้อย่างสอดคล้องสัมพันธ์กัน 36 37

ต้นแบบก ารควบคุมภ ายใน และก ารบริห ารคว ามเสี่ยง: คว ามสัมพันธ์ต่อกลยุทธ์ ขององค์กร 3 38

สาระสำาคัญของเนื้อหาในบทนี้ ความเปลี่ยนแปลงของการบริหารความเสี่ยง แนวทางการบริหารความเสี่ยงองค์กร สำาหรับบอร์ดบริหาร ผลลัพธ์ของการบริหารความเสี่ยงองค์กร ประโยชน์ของการบริหารความเสี่ยงองค์กรที่ดี บทบาทของความเสี่ยงต่อการวางแผนกลยุทธ์ กลยุทธ์ที่เราวาง มีความสอดคล้องกับภารกิจ พันธกิจ และค่านิยมหลักขององค์กร หรือไม่ ผลที่จะเกิดขึ้นตามมาจากกลยุทธ์ที่เราเลือก “...ความแข็งแกร่งต่อการเปลี่ยนแปลง และความยืดหยุ่นขององค์กร จะเป็นผลมา จากการนำากรอบแนวคิด การบริหารความเสี่ยงมาปรับเข้าใช้กับองค์กรได้อย่างมีประสิทธิภาพ ยิ่งเราสามารถระบุปัจจัยเสี่ยงรุนแรงได้เร็วแค่ไหนองค์กรจะยิ่งสามารถตอบสนองต่อปัจจัยเสี่ยง เหล่านั้นได้ดีและรวดเร็วซึ่งอาจก่อให้เกิดโอกาสทางธุรกิจซึ่งเป็นผลดีต่อองค์กรอีกด้วย...” ความเปลี่ยนแปลงของการบริหารความเสี่ยง การบริหารความเสี่ยง เป็นทั้งศาสตร์และศิลป์ที่ใช้ในการเลือกการตัดสินใจซึ่งรวมไปถึง ทุกสิ่งทุกอย่างในชีวิตของเรา ตั้งแต่การตัดสินใจง่ายๆในระดับปฏิบัติการ ไปจนถึงการหาข้อสรุป ภายในบอร์ดบริหาร ในหลายๆครั้งการตัดสินใจของเรานั้นก็ไม่ง่าย ไม่มีคำาตอบที่ชัดเจนว่าต้อง เลือกอย่างไรจึงจะได้ผลลัพธ์ที่ดีที่สุด ดังนั้น การบริหารความเสี่ยงองค์กรมักจะถูกมองว่าเป็น ทั้งศาสตร์และศิลป์ อันเป็นส่วนประกอบสำาคัญในการวางกลยุทธ์ขององค์กรให้ประสบความสำาเร็จ ในหลายสิบปีที่ผ่านมา ความรู้ความเข้าใจด้านการบริหารความเสี่ยงได้ถูกพัฒนาขึ้น มาเป็นอย่างมาก อย่างไรก็ตาม ในปัจจุบัน การบริหารผิดพลาดเพียงเล็กน้อยดูจะเป็นเรื่องใหญ่ กว่าสมัยก่อนมาก ด้วยเหตุผลสำาคัญก็คือ ความผันผวน ความซับซ้อน และความไม่ชัดเจนที่เพิ่ม มากขึ้นของสังคมมนุษย์ อันทำาให้เกิดปัจจัยเสี่ยงหลายอย่างที่เราไม่เคยเห็นมาก่อน แน่นอนว่าผู้ มีส่วนได้ส่วนเสียทั้งหลายก็ทราบถึงความจริงข้อนี้ดี พวกเขาจึงยิ่งคาดหวังความโปร่งใส และ ข้อมูลรายละเอียดทางการบริหารมากขึ้นทุกวันๆ องค์กรทุกองค์กรจึงจำาเป็นที่จะต้องพร้อมปรับตัวให้เข้ากับสถาณการณ์ปัจจุบันตลอด เวลา จำาเป็นจะต้องคำานึงถึงความผันผวน ความเปลี่ยนแปลงของโลกภายนอกอยู่ตลอด โดยเฉพาะ อย่างยิ่ง ผู้บริหารระดับสูงที่อยู่ในตำาแหน่งที่สามารถสร้างผลกระทบต่อธุรกิจได้อย่างใหญ่หลวง เนื้อหาส่วนนี้ จะมุ่งเป้าไปยังกลุ่มผู้บริหารดังกล่าว เพื่อแสดงถึงกรอบแนวคิด ที่จำาเป็น ต่อการบริความเสี่ยงองค์กร ทั้งขนาดใหญ่และเล็ก และแสดงให้เห็นว่า การนำากรอบแนวคิด เหล่านี้ไปใช้ จะสามารถช่วยขยายการเติบโต และเพิ่มประสิทธิภาพการทำางานขององค์กรได้ แนวทางการบริหารความเสี่ยงองค์กรสำาหรับผู้บริหาร แน่นอนที่สุดว่า ผู้ที่แบกรับความรับผิดชอบในการบริหารความเสี่ยงองค์กรไว้มากที่สุด ก็คือผู้บริหาร แต่ผู้บริหารที่ดีจะทำาได้มากกว่านั้น โดยการโน้มน้าวให้ทั้งบอร์ดบริหาร และเหล่าผู้มี ส่วนได้ส่วนเสียเข้าใจถึงความสำาคัญของกรอบแนวคิดบริหารความเสี่ยงองค์กร รวมถึงการนำา กรอบแนวคิด ดังกล่าวเข้ามาปรับใช้ในการวางกลยุทธ์องค์กร เราจะพบว่า หลายๆครั้งการตัดสินใจเชิงกลยุทธ์ของเรา จะเป็นผลมาจากการนำาปัจจัย เสี่ยงต่างๆเข้ามาร่วมวิเคราะห์ด้วย ยกตัวอย่างเช่น การมองจุดแข็งจุดอ่อนของกลยุทธ์ ร่วมกับ หลายๆสถานการณ์จำาลองที่อาจเกิดขึ้นได้ หรือการนำาพันธกิจขององค์กรมาเปรียบเทียบกับผลลัทธ์ของกลยุทธ์ที่เราคาดหวัง ยิ่งเราคำานึงถึงหลายๆกลยุทธ์ ประกอบกับหลายๆสถานการณ์จำาลอง ให้เห็นภาพรวม ได้กว้างแค่ไหน ก็จะยิ่งเพิ่มความมั่นใจให้กับองค์กร เมื่อต้องนำากลยุทธ์ที่คิดขึ้นได้ไปปรับใช้จริง ได้มากขึ้นเท่านั้น หลังจากเราสามารถเลือกกลยุทธ์ได้ สิ่งต่อมาที่นักบริหารความเสี่ยงต้องทำาก็คือ ทำางาน ร่วมกับกลุ่มผู้ปฏิบัติงาน ทำาความคุ้นเคยกับปัจจัยเสี่ยงต่างๆที่สามารถมีผลกระทบต่อความสำาเร็จ และวางแผนรับมือ ทั้งหมดนี้ก็เพื่อสร้างความมั่นใจให้กับผู้มีส่วนได้ส่วนเสีย ซึ่งบ่อยครั้งจะเต็ม ไปด้วยความกังวล และมีข้อสงสัยเกี่ยวกับทีมบริหารอยู่ตลอดเวลา บทที่ 3 ต้นแบบการควบคุมภายในและการบริหารความเสี่ยง: ความสัมพันธ์ต่อกลยุทธ์ขององค์กร 40 41

แนวทางการบริหารความเสี่ยงองค์กร สำาหรับบอร์ดบริหาร หน้าที่ที่สำาคัญที่สุดของบอร์ดบริหาร คือการสอดส่องดูแลการทำางานขององค์กรให้ เป็นไปอย่างราบรื่น หากเรามองกลับไปในอดีต นักบริหารความเสี่ยงมักจะมีหน้าที่สนับสนุนการ ทำางานของบอร์ดบริหาร อย่างไรก็ตาม ในปัจจุบันเรามักจะพบว่าบอร์ดบริหารจำาเป็นที่จะต้อง สอดส่องดูแลการทำางานของนักบริหารความเสี่ยงด้วย ในกรอบแนวความคิดนี้ เราจะให้เช็คลิสต์สำาคัญๆ ของสิ่งที่บอร์ดบริหารจะต้องคำานึง ไว้ในใจเสมอ ไม่ว่าจะเป็นวัฒนธรรมองค์กร การตั้งเป้าหมายองค์กร การสื่อสารภายใน ไปจนถึง การตรวจสอบและพัฒนาผลงาน หน้าที่ของบอร์ดบริหารในการควบคุมความเสี่ยงมีอยู่มากมาย ยกตัวอย่างเช่น • ตรวจสอบควบคุมการทำางานของผู้บริหาร• เสนอกลยุทธ์ และปรับระดับความเสี่ยงที่ยอมรับได้ • ปรับปรุงกลยุทธ์ และเป้าหมายเชิงธุจกิจ ให้เข้ากับภารกิจ พันธกิจ และค่านิยมหลัก ขององค์กร • มีส่วนร่วมในการตัดสินใจทางธุรกิจที่สำาคัญ เช่น การควบรวมกิจการ การจัดสรร เงินทุน หรือการปันผลประกอบการ • ตอบสนองเมื่อผลประกอบการมีการเปลี่ยนแปลงครั้งใหญ่ • ตอบสนองต่อสถานการณ์ที่อาจส่งผลต่อค่านิยมหลัก • ปรับปรุงโครงสร้างผลตอบแทนของผู้บริหาร • เข้าร่วมมีปฏิสัมพันธ์ระหว่างผู้บริหาร และผู้มีส่วนได้ส่วนเสีย ในระยะยาวการบริหารความเสี่ยงองค์กรยังเป็นผลดีต่อความยืดหยุ่นขององค์กรใน การตอบสนองต่อความเปลี่ยนแปลง บอร์ดบริหารจะสามารถแยกแยะได้อย่างชัดเจนว่า ปัจจัย ใดมีความเสี่ยงกับองค์กร หรือปัจจัยใดที่องค์กรจำาเป็นจะต้องเปลี่ยนแปลงตามไปจนถึงเล็ง เห็นผลกระทบที่จะมาพร้อมกับความเปลี่ยนแปลง และกลยุทธ์ที่จำาเป็นในการจัดการกับความ เปลี่ยนแปลงที่เกิดขึ้น คำาถามจากบอร์ดบริหารถึงผู้บริหาร เราอาจจะอยากลองถามผู้บริหารทุกคนให้พวกเขาอธิบายความเข้าใจของเขาว่าเรา จะสามารถนำาปัจจัยเสี่ยงต่างๆ มาร่วมประกอบการตัดสินใจเลือกกลยุทธ์ที่เหมาะสมได้อย่างไร หรือให้อธิบายว่าระดับความเสี่ยงที่องค์กรรับได้คืออะไร และจะมีผลต่อการตัดสินใจทางธุรกิจได้ อย่างไรบ้าง คำาตอบที่เราได้จะเป็นส่วนประกอบสำาคัญที่จะทำาให้เราเข้าใจถึงวิธีคิด และวัฒนธรรม ขององค์กรนั้นๆ สำาหรับผู้บริหารระดับสูง เราอาจจะถามให้ลึกลงไปอีกขั้นหนึ่ง เช่น ให้พวกเขาอธิบาย ว่าวัฒนธรรมที่องค์กรมี ส่งผลอย่างไรต่อความรับผิดชอบความเสี่ยงของผู้ปฏิบัติงาน หรือถาม ถึงกระบวนการที่ผู้บริหารมักจะใช้ในการสอดส่องดูแลค่านิยมที่เกี่ยวกับความเสี่ยงในทีม บอร์ดบริหารจะต้องมีความมั่นใจตลอดเวลาว่าผู้บริหารมีความสามารถเพียงพอที่จะ รับรู้ถึงความเปลี่ยนแปลงภายในองค์กรที่เกี่ยวข้องการความเสี่ยง เพราะความเปลี่ยนแปลงนั้น อย่างไรเกิดขึ้นตลอดเวลา สิ่งที่เราทำาได้มีเพียงแค่รับรู้ และตอบสนองอย่างรวดเร็วที่สุดเท่านั้น ผลลัพธ์ของการบริหารความเสี่ยงองค์กร ในกรอบแนวคิด COSO ที่ถูกตีพิมพ์ครั้งแรกในปี 2004 มีหลักปรัชญาหลักว่า “คุณค่า ขององค์กร เกิดจากกลยุทธ์และเป้าหมายที่มีความสมดุลระหว่างการเติบโต ผลประกอบ การ และความเสี่ยง รวมไปถึงการจัดสรรทรัพยากรที่มีอย่างจำากัด ให้เหมาะสมกับความ จำาเป็นขององค์กร” หลังจากนั้นมา กรอบแนวคิด ดังกล่าวได้ถูกนำาไปปรับใช้อย่างกว้างขวาง ในหลาก หลายประเทศทั่วโลก ในหลากหลายองค์กร หลากหลายขนาด และหลากหลายอุตสาหกรรม อย่างไรก็ตาม เรายังสามารถปรับปรุงกรอบแนวคิด ให้มีความชัดเจน และความละเอียดมากขึ้น ในหลายๆจุด - เพิ่มความชัดเจนของความเชื่อมโยงระหว่างความเสี่ยงองค์กร กับความคาด หวังของผู้มีส่วนได้ส่วนเสีย - มองความเสี่ยงว่าเป็นส่วนหนึ่งของผลประกอบการ ไม่ใช่หัวข้อเดี่ยวที่แยกออกมา - เตรียมตัวให้องค์กรมีความพร้อมในการรับมือความเสี่ยง โดยมีเป้าหมายในการ สร้างโอกาสจากความเปลี่ยนแปลง ไม่ใช่เพียงเพื่อรับมือกับภาวะวิกฤติ - เน้นย้ำาถึงความสัมพันธ์ระหว่างการบริหารความเสี่ยง กับกลยุทธ์และผลประกอบการ แก้ไขความเข้าใจผิด เราพบว่า การนำากรอบแนวคิด ของปี 2004 ไปปรับใช้ของหลายๆองค์กร มักจะมีความ เข้าใจผิดอยู่หลายข้อ ไม่ว่าจะเป็น • การบริหารความเสี่ยงองค์กร ไม่ใช่แผนก หรือกลุ่มคนกลุ่มใดกลุ่มหนึ่ง - การบริหารความเสี่ยงองค์กรเป็นเรื่องของวัฒนธรรม ค่านิยม และทักษะโดย รวมของคนภายในองค์กร ในการนำาปัจจัยเสี่ยงต่างๆมาร่วมประกอบการตัดสินใจ ตั้งแต่ขั้นตอนการวางกลยุทธ์ ไปจนถึงการลงมือทำางานจริง เพื่อสร้างคุณค่า เพิ่มเติมให้แก่องค์กร 42 43

• การบริหารความเสี่ยงองค์กร ไม่ใช่แค่การทำารายการปัจจัยเสี่ยงที่เป็นไปได้ - ความหมายของการจัดการความเสี่ยงองค์กร รวมไปถึงการลงมือควบคุม หรือ จัดการกับปัจจัยเสี่ยงที่เราทราบล่วงหน้าอยู่แล้วด้วย • การบริหารความเสี่ยงองค์กร ครอบคลุมไปมากกว่าการควบคุมภายใน - แต่ยังรวมไปถึงการวางกลยุทธ์ การวางระบบการจัดการ การสื่อสารกับผู้มีส่วน ได้ส่วนเสีย และการวัดผลการทำางาน นอกจากนี้ หลักการควบคุมความเสี่ยง ยังสามารถนำาไปปรับใช้กับการทำางานได้ในทุกระดับงาน • การบริหารความเสี่ยงองค์กร ไม่ใช่แค่การทำาเช็คลิสต์ - แต่เป็นหลักการคิด ว่ากระบวนการทำางานใดควรจะต้องเกิดขึ้น ถูกมอบหมาย ให้กับหน่วยงานใด ถูกควบคุมดูแลโดยใคร และพัฒนาระบบการทำางานอย่างไร • การบริหารความเสี่ยงองค์กร สามารถนำาไปปรับใช้ได้กับองค์กรทุกขนาด- ตราบเท่าที่องค์กรนั้นๆ มีภารกิจ กลยุทธ์ และเป้าหมายที่ชัดเจน และจำาเป็น ที่จะต้องลงมือตัดสินใจอะไรบางอย่าง โดยนำาปัจจัยเสี่ยงต่างๆมาประกอบการ ตัดสินใจด้วย องค์กรนั้นๆจะสามารถนำากรอบแนวคิดนี้ไปปรับใช้ให้เกิดประโยชน์ ต่อองค์กรได้ โดยไม่เกี่ยงว่าจะเป็นองค์กรขนาดเล็กหรือขนาดใหญ่ ประโยชน์ของการบริหารความเสี่ยงองค์กรที่ดี องค์กรทุกองค์กรจำาเป็นจะต้องมีกลยุทธ์และปรับปรุงกลยุทธ์นั้นๆให้เข้ากับความ เปลี่ยนแปลงไปของสถานการณ์ตลอดเวลา เพื่อทำาให้คุณค่าขององค์กรต่อผู้ถือหุ้นออกมาดีที่สุด เพราะฉะนั้น เราจำาเป็นที่จะต้องมีกรอบแนวคิด สำาหรับการวางแผน และการดำาเนินงานอย่างมี ประสิทธิภาพมากที่สุด การนำากรอบแนวคิด การบริหารความเสี่ยงองค์กรจะให้ประโยชน์ต่อองค์กรในหลายๆด้าน เช่น • เพิ่มโอกาสขององค์กร - ยิ่งเราสามารถคำานึงถึงสถานการณ์ที่เป็นไปได้กว้างได้แค่ไหน เรายิ่งเพิ่มโอกาส ที่เราจะมองเห็นช่องทางการสร้างคุณค่าเพิ่มเติมให้แก่องค์กรได้มากขึ้นเท่านั้น • สามารถระบุ และเข้าควบคุมปัจจัยเสี่ยงในองค์กรโดยรวม - ปัจจัยเสี่ยงมากมายมหาศาลนั้นมีอยู่ในทุกๆองค์กร ปัจจัยเหล่านั้นอาจเกิดมา จากหน่วยงานหนึ่ง แต่ไปส่งผลต่ออีกหน่วยงานหนึ่ง การมีนักบริหารความเสี่ยง ที่สามารถมองเห็นปัจจัยเหล่านั้นจากภาพกว้าง จะทำาให้เราสามารถวางแผน รับมือได้อย่างทันท่วงที • เพิ่มผลลัพธ์ทางบวก และลดปัจจัยทางลบที่คาดไม่ถึง - การวางแผนรับมืออย่างทันท่วงที จะช่วยลดต้นทุน หรือความเสียหายที่มา พร้อมกับปัจจัยทางลบเมื่อเทียบกับการรับมือกับเหตุการณ์แบบคาดไม่ถึง และ ยังทำาให้เราได้ประโยชน์เพิ่มเติมจากโอกาสที่เรามองเห็นก่อนล่วงหน้า • ลดความผันผวนของผลประกอบการ - ยิ่งเราวางแผนล่วงหน้า รับมือกับปัจจัยที่อาจเกิดขึ้นได้ได้ครอบคลุมแค่ไหน เรายิ่งลดโอกาสที่จะเกิดความเสียหายครั้งใหญ่ต่อผลประกอบการ ที่มักจะมา พร้อมกับปัจจัยที่เราคาดไม่ถึง • เพิ่มประสิทธิภาพของการจัดสรรทรัพยากร - หากเรามองว่า การจัดการกับความเสี่ยงใดๆ จะต้องมาพร้อมกับต้นทุนที่เรา ต้องจ่ายด้วยทรัพยากร นั่นแปลว่า ยิ่งเราสามารถมองปัจจัยเสี่ยงได้รอบด้าน มากแค่ไหน เรายิ่งสามารถจัดสรรทรัพยากรไปยังส่วนที่ต้องการได้อย่างเหมาะสม มากขึ้นเท่านั้น • เพิ่มความยืดหยุ่นขององค์กร - ความสำาเร็จในระยะยาวขององค์กร ขึ้นกับความสามารถขององค์กรในการวางแผน รับมือกับความเปลี่ยนแปลง ความสามารถดังกล่าวนั้นจำาเป็นต่อองค์กรที่ต้องการ เติบโต และประสบความสำาเร็จ ไม่ใช่แค่เพียงอยู่รอด ซึ่งการบริหารความเสี่ยง องค์กรที่ดี จะเป็นทางหนึ่งที่จะเตรียมองค์กรให้มีความพร้อมต่อการเปลี่ยนแปลง จากที่ได้กล่าวมา เราจะพบว่า ความเสี่ยงนั้นไม่ใช่แค่เรื่องของข้อจำากัด หรือปัญหาที่เรา จะต้องแก้เมื่อเราต้องการวางกลยุทธ์ แต่ความเสี่ยงจะเป็นเรื่องของโอกาส และผลประโยชน์ที่ เราสามารถเก็บเกี่ยวได้จากการเปลี่ยนแปลงที่มักจะมาพร้อมกับความเสี่ยง ผ่านการหาผลประโยชน์ ทางธุรกิจ หรือการสร้างจุดขายที่แตกต่างสำาคัญด้วย บทบาทของความเสี่ยงต่อการวางแผนกลยุทธ์ การวางแผนกลยุทธ์นั้นเต็มไปด้วยตัวเลือก ที่บางครั้งก็ไม่ชัดเจนว่าทางเลือกใดจะดีที่สุด และบางครั้งเราก็ต้องทำาใจยอมรับตัวเลือกแบบได้อย่างเสียอย่าง ดังนั้น การนำาการบริหารความเสี่ยง เข้ามาปรับใช้กับกระบวนการตัดสินใจเชิงกลยุทธ์จึงเป็นทางหนึ่งที่จะช่วยเฟ้นหาคำาตอบที่ดีที่สุด บนพื้นฐานของข้อมูลและความรู้ที่เรามี โดยทั่วไปแล้ว การวิเคราะห์ความเสี่ยงมักจะเกิดขึ้นหลังจากที่เราได้ตัดสินใจเลือกวางแผน ไปแล้ว เช่น การวิเคราะห์หาปัจจัยเสี่ยงที่อาจส่งผลระทบต่อความเ็นไปได้ของโครงการ การวิเคราะห์ ความถูกต้องของโมเดลพฤติกรรมลูกค้า การวิเคราะห์ความเป็นไปได้ของสินค้าคู่แข่ง หรือการ วิเคราะห์ความพร้อมของโครงสร้างพื้นฐานที่เราจำาเป็นต้องมี คำาถามเหล่านี้เป็นคำาถามที่ผู้บริหาร ระดับสูงขององค์กรจำาเป็นจะต้องคำานึงถึง และหาคำาตอบให้ได้อยู่ตลอดเวลา เพื่อที่จะสามารถ ดำาเนินงานตามแผนที่วางไว้ได้อย่างสำาเร็จลุล่วง อย่างไรก็ตาม ในกรอบแนวคิดของเรา เราจะเน้นย้ำาไปถึงคำาถามอีกสองข้อ ที่สามารถ ส่งผลต่อคุณค่าขององค์กรได้ไม่น้อยกว่าคำาถามที่ได้กล่าวมาก่อนหน้า 44 45

กลยุทธ์ที่เราวาง มีความสอดคล้องกับภารกิจ พันธกิจ และค่านิยมหลักขององค์กรหรือไม่ - คำาถามนี้เป็นคำาถามที่สำาคัญต่อองค์กรเป็นอย่างมาก เนื่องจากภารกิจ พันธกิจ และค่านิยมหลักนั้นเปรียบเสมือนกับเป้าหมายในการดำารงอยู่ขององค์กร และเส้นทางที่องค์กร อยากเดินไปเพื่อบรรลุเป้าหมายนั้นๆ - ถึงแม้บางองค์กรอาจจะไม่ให้ความสำาคัญกับพันธกิจขององค์กรมากเท่าไหร่นัก แต่หลากหลายตัวอย่างในอดีตได้แสดงให้เราเห็นว่าปัจจัยดังกล่าวมีผลต่อความสำาเร็จของ องค์กร โดยเฉพาะเมื่อองค์กรต้องเผชิญหน้ากับความเปลี่ยนแปลงจากภายนอก- กลยุทธ์ที่ถูกวางแผนมาอย่างดี และถูกดำาเนินการได้จนสำาเร็จลุล่วง อาจไม่ก่อ ให้เกิดคุณค่าต่อองค์กร หากลยุทธ์ดังกล่าวนั้นไม่ได้มีความสอดคล้องกับภารกิจ พันธกิจ และ ค่านิยมหลังขององค์กร ดังนั้น นักบริหารความเสี่ยงองค์กรจึงต้องแน่ใจอยู่เสมอว่าสองปัจจัยดัง กล่าวนั้นมีความสอดคล้องกัน ก่อนที่จะเริ่มดำาเนินการตามกลยุทธ์ที่วางไว้ ผลที่จะเกิดขึ้นตามมาจากกลยุทธ์ที่เราเลือก- ผู้บริหารและบอร์ดบริหารมักจะตัดสินใจเลือกกลยุทธ์ด้วยการชั่งน้ำาหนักข้อดีข้อ เสียของแต่ละกลยุทธ์ทางเลือก อย่างไรก็ตาม อีกปัจจัยหนึ่งที่เราต้องนำามาร่วมประกอบการตัดสิน ใจด้วยคือความเสี่ยงของแต่ละทางเลือก หรือก็คือผลที่อาจจะเกิดขึ้นตามมาของแต่ละกลยุทธ์ทาง เลือก ซึ่งจำาเป็นที่จะต้องสอดคล้องกับระดับความเสี่ยงที่องค์กรสามารถรับได้ ภาพในเชิงลึกของกรอบแนวคิด การนำากรอบแนวคิดนี้ไปปรับใช้ จำาเป็นที่จะต้องเกิดขึ้นพร้อมๆกัน ในทุกๆส่วนของ กระบวนการทำางาน และทุกๆหน่วยงานย่อยภายใน เราจะแบ่งกรอบแนวคิดนี้ออกเป็น 5 หัวข้อหลัก ซึ่งแต่ละหัวข้อจะมีความเกี่ยวข้อง กันเอง และยังสามารถถูกแบ่งลงไปเป็นหลักการย่อยๆได้อีก หลักการย่อยดังกล่าวเป็นหลัก การที่สามารถนำาไปปรับใช้ได้จริง ไม่ว่ากับองค์กรขนาดเล็กหรือใหญ่ และไม่ว่ากับองค์กรใน อุตสาหกรรมไหน 1. บ่มเพาะวัฒนธรรม คือวิธีการสร้างบรรยากาศการทำางานที่เล็งเห็นความสำาคัญของความเสี่ยง บ่มเพาะให้ เกิดการทำางานที่มีจรรยาบรรณ พฤติกรรที่พึงประสงค์ และความเข้าใจในผลกระทบของความ เสี่ยงต่อองค์กรในภาพรวม 1.1 นำาบอร์ดบริหารมามีส่วนร่วมกับการบริหารความเสี่ยง 1.2 ระบุโครงสร้างการทำางานให้ชัดเจน 1.3 กำาหนดวัฒนธรรมองค์กรที่พึงประสงค์ 1.4 แสดงให้เห็นถึงความสำาคัญของค่านิยมหลัก 1.5 ดึงดูด พัฒนา และดูแลบุคลากรที่มีคุณภาพ ภารกิจ พันธกิจ และค‹านิยมหลัก คุณค‹าองคกร กลยุทธ เป‡าหมายทางธุรกิจ และผลการดำเนินงาน • กลยุทธสอดคลŒองกับพันธกิจ • ผลที่อาจจะตามมาของกลยุทธ • ความเสี่ยงของกลยุทธ ภารกิจ พันธกิจ และค‹านิยมหลัก คุณค‹าองคกร กลยุทธ เป‡าหมายทางธุรกิจ และผลการดำเนินงาน 1. บ‹มเพาะวัฒนธรรม 2. วางเป‡าหมายและกลยุทธ 3. สอดส‹องผลการดำเนินงาน 4. ทบทวนและปรับปรุง 5. สื่อสารและรายงาน 46 47

2. วางเป้าหมายและกลยุทธ์ การบริหารความเสี่ยง ต้องเป็นส่วนหนึ่งของขั้นตอนการวางเป้าหมาย และการวาง กลยุทธ์ภายในองค์กร การประเมินระดับความเสี่ยงที่องค์กรรับได้จะต้องเกิดขึ้น และการนำา กลยุทธ์ไปลงมือทำาจริงจะต้องอยู่บนพื้นฐานของการเตรียมตัว วิเคราะห์ และรับมือกับความ เสี่ยงล่วงหน้า 2.1 วิเคราะห์บริบทของธุรกิจ 2.2 กำาหนดระดับความเสี่ยงที่องค์กรรับได้ 2.3 ประเมินกลยุทธ์ทางเลือก 2.4 สร้างเป้าหมายทางธุรกิจ 3. สอดส่องผลการดำาเนินงาน ในระหว่างการดำาเนินงาน ปัจจัยเสี่ยงต่างๆที่จะมีผลต่อผลลัทธ์ของการทำางานจะต้อง ถูกสอดส่องดูแลอยู่ตลอด โดยเฉพาะปัจจัยเสี่ยงที่มีความสำาคัญต่อระดับความเสี่ยงที่องค์กรรับ ได้ แล้วจึงรวบรวบผลของการดำาเนินการต่อความเสี่ยง และนำาเสนอให้กับผู้มีส่วนเกี่ยวข้อง 3.1 ระบุปัจจัยเสี่ยง 3.2 ระบุระดับความรุนแรงของแต่ละปัจจัยเสี่ยง 3.3 ระบุลำาดับความสำาคัญของแต่ละปัจจัยเสี่ยง 3.4 จัดทำาแผนการดำาเนินการต่อความเสี่ยง 3.5 รวบรวมผลการดำาเนินงานต่อความเสี่ยงโดยรวม 4. ทบทวนและปรับปรุง นำาผลการดำาเนินงานมารวบรวมและวิเคราะห์ให้ภาพรวมขององค์กร เพื่อทบทวน ประสิทธิภาพของ framework ในแต่ละขั้นตอนการทำางาน วิเคราะห์ความเปลี่ยนแปลงที่เกิดขึ้น และหาวิธีการปรับปรุงเพื่อให้การทำางานเป็นไปได้อย่างรายลื่นขึ้นในอนาคต 4.1 วิเคราะห์ความเปลี่ยนแปลงที่เกิดขึ้น 4.2 ทบทวนปัจจัยเสี่ยง และผลการดำาเนินงาน 4.3 ปรับปรุงวิธีการทำางาน และการบริหารความเสี่ยงองค์กร 5. สื่อสารและรายงาน เมื่อเราได้ข้อสรุปจากการทบทวนผลการทำางาน ข้อมูลดังกล่าวจะต้องถูกสื่อสารไปยัง หน่วยงาน หรือกลุ่มคนที่เกี่ยวข้อง เพื่อให้เกิดความรู้ ความเข้าใจภายในองค์กร และเกิดการ ปรับปรุงกระบวนการทำางานขึ้นจริง 5.1 พยายามปรับใช้เทคโนโลยีสารสนเทศ 5.2 สื่อสารความรู้เรื่องความเสี่ยงภายในองค์กร 5.3 รายงานปัจจัยเสี่ยงที่พบ วัฒนธรรมองค์กรที่เกิด และผลการดำาเนินงานที่ผ่านมา มองไปยังอนาคต สิ่งหนึ่งที่เราสามารถพูดได้อย่างมั่นใจ ก็คืออนาคตขององค์กรใดๆจะยิ่งยุ่งเหยิง ซับ ซ้อน และคลุมเครือมากขึ้นเรื่อยๆ ตามสภาพความเป็นไปของโลก องค์กรที่จะสามารถอยู่รอด และเติบโตได้ในสภาพแวดล้อมแบบนี้จึงจำาเป็นที่จะต้องมีการบริหารความเสี่ยงที่ดี การวาง กลยุทธ์จำาเป็นจะต้องสอดคล้องกับพันธกิจขององค์กร และจำาเป็นที่จะต้องสามารถตอบสนอง ต่อการเปลี่ยนแปลงภายในได้อย่างฉับไว ทั้งหมดนี้ก็เพื่อรักษาความเชื่อถือของผู้มีส่วนได้ส่วน เสียเอาไว้ เมื่อเรามองไปในอนาคต เราจะเห็นว่าแนวโน้มหลายๆอย่างกำาลังจะเริ่มมีบทบาทต่อ การบริหารความเสี่ยงองค์กร ยกตัวอย่างเช่น 1. การจัดการกับข้อมูลจำานวนมากศาล • ยิ่งเทคโนโลยีมีการพัฒนาไปข้างหน้ามากเท่าไหร่ ความเร็ว และปริมาณของข้อมูล ที่เกิดขึ้นยิ่งเพิ่มมากขึ้นเป็นเงาตามตัว นั่นหมายความว่าเทคนิคในการวิเคราะห์ข้อูลนั่นจำาเป็นจะต้อง ถูกพัฒนาตาขึ้นมาด้วย ซึ่งเป็นสิ่งที่จำาเป็นต่อการบริหารความเสี่ยงเป็นอย่างมาก ที่เราจะต้องมี ความเข้าใจ และสามารถนำาข้อมูลที่มีอยู่จำานวนมากมาช่วยประกอบการตัดสินใจขององค์กร 2. การประยุกต์ใช้ปัญญาประดิษฐ์ และการใช้เครื่องมือทำางานแทนมนุษย์ • นักวิเคราะห์ส่วนหนึ่งได้ให้ความเห็นว่า เรากำาลังจะเริ่มเข้าสู่ยุคของปัญญาประดิษฐ์ และการนำาเครื่องมือทำางานแทนมนุษย์ ถึงแม้ว่าเราจะเห็นด้วยหรือไม่ก็ตาม องค์กรแต่ละองค์กร จำาเป็นที่จะต้องเริ่มลงมือศึกษาผลกระทบของปัจจัยดังกล่าว ต่อบริบทของธุรกิจและสังคมในอนาคต รวมถึงศึกษาความเป็นไปได้ที่จะนำาข้อดี และสมรรถนะของเทคโนโลยีใหม่ๆมาปรับใช้กับธุรกิจของ ตนเอง เพื่อเพิ่มความได้เปรียบอีกด้วย 48 49

3. การจัดการต้นทุนของการบริหารความเสี่ยง • ต้นทุนของการบริหารความเสี่ยง เป็นปัจจัยหนึ่งที่มักจะสร้างควากังวลให้กับผู้บริหาร ระดับสูงของแต่ละองค์กร คำาถามที่มักจะถูกถามอยู่เสมอ คือผลประโยชน์ที่ธุรกิจที่เกิดขึ้นจริง เทียบกับต้นทุนที่รเาต้องจ่ายในกระบวนการบริหารควาเสี่ยง หรือการควบคุมภายใน ดังนั้น นักบริหารความเสี่ยงจึงต้องคำานึงอยู้เสมอ ว่าเป้าหมายของการควบคุมความเสี่ยงองค์กร คือ การเพิ่มคุณค่าขององค์กรให้มากที่สุด นั่นหมายความว่ากระบวนการควบคุมความเสี่ยงจำาเป็น ต้องเป็นไปอย่างมีประสิทธิภาพ ผ่านการสอดส่องดูแล และปรับปรุงกระบวนการทำางานอยู่ ตลอดเวลา 4. การสร้างองค์กรที่แข็งแกร่งต่อความเปลี่ยนแปลง• ความแข็งแกร่งต่อการเปลี่ยนแปลง และความยืดหยุ่นขององค์กร จะเป็นผลมา จากการนำากรอบแนวคิด การบริหารความเสี่ยงมาปรับเข้าใช้กับองค์กรได้อย่างมีประสิทธิภาพ ยิ่งเราสามารถระบุปัจจัยเสี่ยงรุนแรงได้เร็วแค่ไหน องค์กรจะยิ่งสามารถตอบสนองต่อปัจจัยเสี่ยง เหล่านั้นได้ดีและรวดเร็ว ซึ่งอาจก่อให้เกิดโอกาสทางธุรกิจซึ่งเป็นผลดีต่อองค์กรอีกด้วย โดยสรุปแล้ว แม้กระทั่งกรอบแนวคิด การบริหารความเสี่ยงองค์กร ก็จำาเป็นที่จะต้อง มีการปรับปรุงเปลี่ยนแปลงอยู่ตลอดเวลา เพื่อให้สอดคล้องกับความเปลี่ยนแปลงของโลกและ สภาพแวดล้อม ถ้าหากเราทำาได้ดี เราจะพบว่า ประโยชน์ที่ได้จากการนำาการบริหารความเสี่ยง มาปรับใช้นั้นีมากกว่าต้นทุนที่เราต้องจ่ายไปมหาศาล รวมถึงทำาให้เรามั่นใจได้ว่า องค์กรของเรา จะมีความพร้อมที่จะจัดการกับความเปลี่ยนแปลงในอนาคตได้ เป้าหมายของการบริหาร ความเสี่ยงที่มีพื้นฐานจาก พฤติกรรมของบุคคล 4 50

สาระสำาคัญของเนื้อหาในบทนี้ เป้าหมายของการบริหารความเสี่ยงที่มีพื้นฐานจากพฤติกรรมของบุคคล กระตุ้นพฤติกรรมทางบวก เราทำาได้มากกว่าบังคับ สร้างการกระตุ้น เพื่อให้เกิดการปรับพฤติกรรมในวงกว้าง ขั้นตอนการทำางาน นโยบาย และกฏข้อบังคับจากหอคอยงาช้าง จัดการเทรนนิ่งยังไงให้เกิดประโยชน์ สิ่งเร้าที่สร้างการกระตุ้นแบบเวลาจริง ความคืบหน้าและแรงบันดาลใจ “...ในทางปฏิบัติ เอกสารหลายๆอย่างที่กล่าวมามักจะไม่ได้มีประโยชน์ต่อคนกลุ่ม ปฏิบัติหน้างานเลย เพราะไม่มีใครเห็นถึงความสำาคัญที่จะอ่านมัน และถึงแม้จะมีคนบางกลุ่มที่ได้ อ่าน หรือได้รับการเทรนนิ่งให้คุ้นเคยกับกฏข้อบังคับในเอกสาร พอเวลาผ่านไปสักระยะหนึ่งพวก เขาก็ลืมหมดแล้ว เท่านั้นยังไม่พอ เอกสารเหล่านั้นมักจะไม่ได้ถูกอัพเดทให้เข้ากับสถานการณ์ปัจจุบัน หรือไม่ตรงกับสภาพความเป็นจริงซึ่งอาจเป็นเพราะผู้ที่เขียนเอกสารขึ้นมาไม่ได้มีประสบการณ์ จากหน้างานจริง ในอีกแง่หนึ่ง เราสามารถมองได้ว่าการออกแบบระบบการทำางานแบบนี้ เป็นการ โยนควารับผิดชอบให้กับคนทำางานที่หน้างานจริง สิ่งที่ผู้จัดการต้องทำา มีเพียงแค่เขียนกฏ ข้อบังคับที่เข้มงวดเกินจริง อาจเพื่อให้ตอบข้อบังคับของกฏระเบียบที่เกี่ยวข้อง หลังจากนั้น หากเกิดเหตุการณ์อะไรขึ้นทั้งหมดก็จะกลายเป็นความรับผิดชอบของคนทำางานหน้างานไป โดยปริยาย...” กระตุ้นพฤติกรรมทางบวก การจัดการกับความไม่แน่นอนและความเสี่ยง ไม่ใช่อะไรที่เราสามารถแยกออกมาเพื่อ ให้คนกลุ่มใดกลุ่มหนึ่งเป็นคนรับผิดชอบได้ ถึงแม้เราจะเห็นโดยทั่วไปว่าแต่ละองค์กรก็จะมี “ระบบ” ในการควมคุมและจัดการเรื่องเหล่านี้ ที่ถูกออกแบบโดยคนจากส่วนกลาง อย่างไรก็ตามระบบ เหล่านั้นมักจะเป็นแค่ส่วนหนึ่งของการจัดการในภาพใหญ่เท่านั้น หรือถูกสร้างขึ้นมาเพียงเพื่อให้เป็น หน้าเป็นตาขององค์กร หากเราจะมองจากมุมมองของนักจัดการความเสี่ยง เราจะพบว่าทางเดียวที่เราจะควบคุม ความเสี่ยงโดยรวมขององค์กรโดยรวมได้ มีแต่จะต้องอาศัยความร่วมมือของคนส่วนใหญ่ภายใน องค์กรเท่านั้น ดังนั้น โฟกัสของเราจึงควรจะอยู่ที่การกระตุ้น หรือสร้างความเปลี่ยนแปลงให้เกิดพฤติกรรม อันพึงประสงค์ ที่จะส่งผลบวกต่อความเสี่ยงองค์กร เราทำาได้มากกว่าบังคับ พื้นฐานที่สุดของการสร้างพฤติกรรมอันพึงประสงค์ ก็คือการเขียนวิธีการดำาเนินงาน อย่างชัดเจน และ สร้างระบบการทำางานที่ทุกคนต้องปฏิบัติตาม ส่วนที่ยากคือส่วนถัดมา ที่จะเป็นการบ่มเพาะทักษะที่จำาเป็น รวมไปถึงความเชื่อและ ความเข้าใจในระบบงาน แต่หากเราทำาได้สำาเร็จ เราจะพบว่า• คนทำางานจะทำาสิ่งที่ถูกต้องเอง โดยที่ไม่ต้องมีใครไปจ้ำาจี้จ้ำาไช• คนทำางานจะสามารถหาทางออก หรือแก้ปัญหาที่เกิดจากการทำางานตามวิธีการ ทำางานได้เอง ส่งผลให้งานสามารถเดินต่อไปได้อย่างไม่ติดขัด • วิธีการแก้ปัญหาของคนทำางาน จะสอดคล้องกับที่มาและเหตุผลดั้งเดิมของระบบงาน ซึ่งจะเป็นการปรับปรุงและพัฒนาระบบงานให้ดีขึ้นไปด้วย การควมคุมความเสี่ยงองค์กรจะเกิดขึ้นได้ยากมาก หากการบ่มเพาะดังกล่าวไม่เกิดขึ้น ยกตัวอย่างเช่น หากในระบบงานของเราระบุว่า “สเป็คของโครงการมีความยืดหยุ่นได้” เพื่อ ทำาให้เกิดการพูดคุยถกเถียงกันเองระหว่างคนทำางาน “ในเมื่อเรามีความยืดหยุ่นขนาดนี้ เราทำาอะไรก็ได้ขอแค่ให้โครงการเสร็จก่อนเดือน หน้า และงบไม่เกินสองล้านก็พอสินะครับ” บทสนทนานี้จะไม่มีทางเกิดขึ้นในทีมงานที่มีความเข้าใจถึงเจตนาที่แท้จริงของผู้ ออกแบบระบบงานนี้ ในทางกลับกัน ทีมงานที่มีความรู้ความเข้าใจอาจจะพูดว่า “ผมได้จัดการรวบรวมรายละเอียดทั้งหมดที่เกี่ยวข้องกับสเป็คของโครงการไว้ใน เอกสารนี้แล้วนะครับ ทางเราได้ออกแบบให้ยืดหยุ่นไปตามข้อจำากัดของสถานการณ์ปัจจุบัน หากใครมีข้อสงสัยถึงที่มาของแต่ละส่วน สามารถสอบถามได้เลยครับ” ในเนื้อหาส่วนนี้ เป็นต้นไป เราจะมาศึกษาถึงวิธีการสร้างระบบควบคุม ที่มีทั้งความเป็น ทางการ จับต้องได้ และสามารถนำาไปปฏิบัติได้จริงในวงกว้าง บทที่ 4 เป้าหมายของการบริหารความเสี่ยงที่มีพื้นฐาน จากพฤติกรรมของบุคคล 52 53

สร้างการกระตุ้น เพื่อให้เกิดการปรับพฤติกรรมในวงกว้าง พฤติกรรมส่วนใหญ่ของมนุษย์ไม่ได้ถูกกระตุ้นด้วยสิ่งเร้าอย่าง to-do list หรือเอกสาร ขั้นตอนการดำาเนินงาน แต่มักจะเป็นผลจากอะไรก็ตามที่อยู่ตรงหน้าเขา ณ ตอนนั้นๆเสียมากกว่า ที่จะมีผลอย่างทันทีทันใด ดังนั้น เราจะแบ่งสิ่งเร้าออกเป็นสองกลุ่มใหญ่ๆ คือกลุ่มที่ไม่ได้สร้างการกระตุ้นแบบ ตามเวลาจริง (non real-time) และกลุ่มที่สร้างการกระตุ้นตามเวลาจริง (real-time) สิ่งเร้าในกลุ่มแรกมักจะเป็นที่พูดถึงในทฤษฏีการควบคุมความเสี่ยงทั่วไปอยู่แล้ว เช่น การจัดการเทรนนิ่ง หรือเอกสารวิธีการดำาเนินงาน ส่วนกลุ่มที่สองจะเป็นสิ่งที่คนทำางานจะได้ เห็น หรือจับต้องด้วยในการทำางานอยู่ตลอดเวลา เช่น หน้าจอคอพิวเตอร์ หรือคนอื่นๆที่ร่วมการ ประชุมเดียวกัน เป้าหมายของเรา คือการทำาให้สิ่งเร้าทั้งสองกลุ่มดังที่กล่าวมา เป็นตัวช่วยกระตุ้นให้ เกิดพฤติกรรมอันพึงประสงค์ในคนทำางาน ซึ่งเราจะได้เห็นต่อไปว่า สิ่งเร้าที่สร้างการกระตุ้นได้ แบบ real-time จะมีประสิทธิภาพกว่ามาก ขั้นตอนการทำางาน นโยบาย และกฏข้อบังคับจากหอคอยงาช้าง ในทางปฏิบัติ เอกสารหลายๆอย่างที่กล่าวมามักจะไม่ได้มีประโยชน์ต่อคนกลุ่มปฏิบัติ หน้างานเลย เพราะไม่มีใครเห็นถึงความสำาคัญที่จะอ่านมัน และถึงแม้จะมีคนบางกลุ่มที่ได้อ่าน หรือได้รับการเทรนนิ่งให้คุ้นเคยกับกฏข้อบังคับในเอกสาร พอเวลาผ่านไปสักระยะหนึ่งพวกเขา ก็ลืมหมดแล้ว เท่านั้นยังไม่พอ เอกสารเหล่านั้นมักจะไม่ได้ถูกอัพเดทให้เข้ากับสถานการณ์ปัจจุบัน หรือ ไม่ตรงกับสภาพความเป็นจริง ซึ่งอาจเป็นเพราะผู้ที่เขียนเอกสารขึ้นมาไม่ได้มีประสบการณ์จาก หน้างานจริง ในอีกแง่หนึ่ง เราสามารถมองได้ว่าการออกแบบระบบการทำางานแบบนี้ เป็นการโยน ควารับผิดชอบให้กับคนทำางานที่หน้างานจริง สิ่งที่ ผู้จัดการต้องทำา มีเพียงแค่เขียนกฏข้อบังคับ ที่เข้มงวดเกินจริง อาจเพื่อให้ตอบข้อบังคับของกฏระเบียบที่เกี่ยวข้อง หลังจากนั้นหากเกิด เหตุการณ์อะไรขึ้น ทั้งหมดก็จะกลายเป็นความรับผิดชอบของคนทำางานหน้างานไปโดยปริยาย จัดการเทรนนิ่งยังไงให้เกิดประโยชน์ การเทรนนิ่งมักจะจำาเป็นหากเราพยายามปรับใช้ระบบงานใหม่ เพื่อสร้างความคุ้นเคย และความเข้าใจพื้นฐาน แต่ในอีกุมหนึ่ง การจัดเทรนนิ่งเพื่อพัฒนาการทำางานในระบบงานเดิมที่ ผู้เข้าเทรนนิ่งเคยทำามาอยู่แล้วเป็นอะไรที่ยากกว่ามาก โจทย์ที่เราต้องตอบคือ เราจะจัดการเทรนนิ่งให้เกิดประโยชน์ต่อผู้เข้าร่วม มากกว่าสิ่ง ที่พวกเขาได้เรียนรู้มาเองจากหน้างานแล้วได้ยังไง? การควบคุมความเสี่ยงก็เป็นอีกทักษะหนึ่งที่คนทำางานทุกคนต้องคำานึงถึงในใจอยู่ ตลอดเวลาอยู่แล้ว ไม่มากก็น้อย ไม่ว่าจะปฏิบัติงานในส่วนไหนก็ตาม เพราะฉะนั้นการจัดการ เทรนนิ่งเรื่องการควมคุมความเสี่ยงจะไม่มีประโยชน์เลย หากเราไม่สามารถทำาให้ผู้เข้าร่วมเข้าใจ และเห็นด้วยที่จะปรับพฤติกรรมจากพฤติกรรมที่พวกเขาเคยทำามาจากการทำางานเดิม ไปยัง พฤติกรรมใหม่ที่ได้รับการสอน นอกจากนั้น การปรับพฤติกรรมดังกล่าวจะต้องเป็นระยะยาว ไม่ใช่เพียงแค่ไม่กี่วัน หลังการเทรนแล้วก็ลืมหมด เพราะฉะนั้น การเทรนนิ่งที่ดีจะต้องเกิดจากการสาธิต ทดลองทำาในสถานการณ์ที่ สมจริง ซ้ำาไปซ้ำามาหลายๆครั้ง เพื่อให้เกิดความชำานาญและคุ้นเคยกับพฤติกรรมใหม่ๆ ซึ่งเป็น ปัจจัยหนึ่งที่ทำาให้การฝึกโดยการทำางานจริง (on the job training) มักจะมีปริสิทธิภาพมากกว่า การเรียนการสอน หรือการสัมมนาในรูปแบบบรรยาย 54 55

สิ่งเร้าที่สร้างการกระตุ้นแบบเวลาจริง อย่างที่ได้กล่าวไปแล้ว สิ่งเร้าที่คนทำางานสามารถเห็นได้ชัด หรือจำาเป็นจะต้องหยิบ จับในตอนทำางานจริง มักจะส่งผลต่อการปรับพฤติกรรมการทำางานได้ง่ายกว่า ยกตัวอย่างเช่น หน้าจอคอมพิวเตอร์ งานหลายๆอย่างในปัจจุบัน สามารถมองให้เป็นเพียงคนทำางานตอบโต้กับสิ่งที่แสดง ขึ้นบนหน้าจอคอมพิวเตอร์ได้ ตั้งแต่งาน call-center ที่รับโทรศัพท์และตอบโต้กับลูกค้าตาม สคริปท์ ที่อยู่บนหน้าจอคอมพิวเตอร์ ไปจนถึงงานของผู้บริการระดับสูงที่ตอบโต้กับอีเมล์ จาก แผนกอื่น ที่แสดงผลอยู่บนจอคอมพิวเตอร์ การนำาระบบคอมพิวเตอร์เข้ามาปรับใช้ในองค์กรจะทำาให้เราสามารถจำากัดพฤติกรรม ของคนทำางานได้ง่ายขึ้นมาก ทำาให้การนำาระบบมาปรับใช้กับคนทำางานจำานวนมากๆ เป็นไปได้ ง่ายกว่า • งานบางอย่างที่เป็นระบบงาน (workflow) อยู่แล้ว สามารถทำาให้กลายเป็นระบบ งานอัตโนมัติ (automated workflow) ได้โดยแอพลิเคชั่น ที่จะคอยนำาทางผู้ใช้ไปตามขั้นตอน ต่างๆ ตามลำาดับ หรือตรรกะที่เราได้ออกแบบไว้แล้ว • แบบฟอร์มเอกสารต่างๆ สามารถถูกจัดเก็บในระบบคอมพิวเตอร์ได้อย่างเป็นระเบียบ และครบถ้วน โดยไม่มีข้อจำากัดทางพื้นที่กระดาษที่ต้องใช้ในการกรอกข้อมูล และสามารถบังคับ ใช้รูปแบบการกรอกข้อมูลให้เป็นมาตรฐานได้ด้วย (เช่น วัน/เดือน/ปี) • งานที่เกี่ยวข้องกับการคำานวณ หรือการบัญชี จะสามารถทำาได้ง่ายๆบน spreadsheet software เช่น Microsoft Excel นอกจากข้อดีด้านการนำาไปปรับใช้กับคนทำางานจำานวนมากๆแล้ว การทำางานในระบบ คอมพิวเตอร์ยังช่วยลดความผิดพลาดจากคนทำางาน และทำาให้การทำางานเดิมซ้ำาหลายๆรอบ มี ประสิทธิภาพมากขึ้นอีกด้วย อย่างไรก็ตาม การทำางานบนระบบคอมพิวเตอร์ก็มีข้อเสียที่เราต้องนำามาพิจารณาร่วมด้วย ยกตัวอย่างเช่น • การใช้ซ้ำาแบบฟอร์มเก่า เพราะคนทำางานไม่ทราบว่ามีแบบฟอร์มเวอร์ชั่นใหม่กว่า • การสื่อสารด้วยอีเมล์ ทำาได้ง่าย ซึ่งอาจทำาให้ปริมาณอีเมล์ ที่ได้รับในแต่ละวันมีจำานวน มากเกินไป• การสร้างซอฟท์แวร์ ตามระบบงานที่เราออกแบบไว้ จำาเป็นต้องใช้เวลาและทรัพยากร จำานวนมาก ซึ่งจะเป็นปัจจัยจำากัดให้เราไม่สามารถปรับปรุงระบบงานได้อย่างรวดเร็วฉับไว ผู้ร่วมงาน และการประชุม การสื่อสารระหว่างผู้ร่วมงานเกิดขึ้นตลอดเวลาระหว่างการทำางาน โดยเฉพาะระหว่าง การประชุมเพื่อแลกเปลี่ยนความคิดเห็นระหว่างคนทำางาน หรือกับผู้บริหาร หากเรามองไปที่ผู้บริหารระดับสูง งานของพวกเขามักจะเกี่ยวข้องกับการวางกลยุทธ์ และการจัดการหรือโน้มน้าวคนทำางานเพื่อทำาให้เกิดการเปลี่ยนแปลงไปในทิศทางที่ถูกต้อง ผ่าน การประชุมครั้งแล้วครั้งเล่า กับคนหลายๆกลุ่มที่จำาเป็นต่อความสำาเร็จของโครงการ เราสามารถใช้วิธีการที่คล้ายคลึงกัน ในการสร้างความเปลี่ยนแปลงทางพฤติกรรม และ ควบคุมความเสี่ยงขององค์กรได้ ยกตัวอย่างเช่น • จัดการประชุม หรือ workshop ในหัวข้อการควบคุมความเสี่ยง ซึ่งเราจะสามารถ นำาประชุมได้เอง จัดวาระการประชุมได้เอง และเลือกผู้เข้าร่วมได้เอง • แทรกวาระการประชุมไปยังการประชุมอื่น โดยเฉพาะถ้าหัวข้อในการประชุมนั้นๆ มีความเกี่ยวข้องกับการควบคุมความเสี่ยงอยู่แล้ว เราจะสามารถให้ข้อมูลด้านความเสี่ยงเพิ่มเติม หรือแทรกคำาถามให้กับที่ประชุมได้ • โค้ช หรือฝึกสอนให้คนอื่นๆมีนิสัยในการตั้งคำาถามที่เกี่ยวข้องกับการควบคุมความ เสี่ยงในที่ประชุม โดยอาจพุ่งเป้าไปที่คนที่มักแสดงความเห็นที่ในประชุมบ่อยๆ หรือคนที่มักรับ หน้าที่ดำาเนินการประชุม ตัวอย่างของคำาถามสั้นๆ แต่มีประโยชน์ที่จะช่วยให้ผู้เข้าร่วมประชุมเกิดความตระหนัก รู้ด้านการควบคุมความเสี่ยงนั้นมีอยู่มากมาย ยกตัวอย่างเช่น - “ในตอนนี้ เรามีส่วนไหนของโครงการนี้ที่ยังไม่แน่นอนบ้างนะครับ?” - “จากข้อมูลที่เราเห็นอยู่นี้ เราต้องนำาการควบคุมความเสี่ยงเข้ามาจับตรงไหนมั้ยคะ?” - “มีอะไรที่ตอนนี้เรายังคิดไปครอบคลุมไม่ถึงไหม?” - “ถ้าสมมติว่าเราทำาตามแผนนี้ไปแล้ว ตอนนี้อาจจะจะเกิดอะไรขึ้นได้บ้าง?” - “เราต้องการข้อมูลส่วนไหนเพิ่มเติม เพื่อประกอบการตัดสินใจหรือเปล่า?” ตัวอย่างของการนำาไปปรับใช้จริง ในการนำาไปปรับใช้จริง สิ่งที่เราต้องใส่ใจคือ จะทำาอย่างไรให้เกิดการปรับปรุง เปลี่ยนแปลงที่ยั่งยืน และส่งผลดีต่อระบบการทำางาน และพฤติกรรมของบุคลากรในระยะยาว ยกตัวอย่างเช่น 1. นโยบายการนำา “ความไม่มั่นใจ” มาประกอบการรายงาน โดยปกติแล้ว ข้อมูลที่เรานำามาประกอบการรายงานมักจะมาจากการคาดเดาเป็นส่วน หนึ่งอยู่แล้ว ไม่มากก็น้อย อย่างไรก็ตาม เรามักจะมองข้ามความเป็นจริงข้อนี้ไป ซึ่งจะสามารถ นำาไปสู่ความเสี่ยงที่มองไม่เห็นในภายหลัง เพราะฉะนั้น เราจึงควรที่จะต้องชี้แจง “ความไม่มั่นใจ” ของข้อมูลในรายงานที่เราสร้างขึ้น หลังจากที่เราทำาการสื่อสารภายในองค์กร เพื่อสร้างความเข้าใจของความจำาเป็นในการ ปรับใช้นโยบายการทำางานใหม่แล้ว สิ่งที่เราจะต้องทำาต่อมาก็คือ • กำาหนดนโยบายให้เป็นทางการ กับกลุ่มคนที่มีอำานาจและอิทธิพลในองค์กร• สื่อสารนโยบายออกไปในวงกว้าง• สื่อสารถึงวิธีปฏิบัติงานให้สอดคล้องกับนโยบายที่กำาหนดขึ้น อย่างน้อยที่สูด ผู้ปฏิบัติ งานจะต้องทราบถึงวิธ ีการวัดระดับความไม่มั่นใจ และระดับความไม่มั่นใจท ี่สามารถยอมรับได้ รวมไปถึงตัวอย่างจากการทำางานจริง และทราบว่าจะต้องทำาอย่างไรเพื่อลดระดับความไม่มั่นใจของ ข้อมูลที่เกี่ยวข้อง 56 57

• สื่อสารถึงวิธีปฏิบัติงานร่วมกับข้อมูลที่มีความไม่มั่นใจประกอบอยู่ การทำางานจะต้อง ไม่หยุดชะงักเพียงเพราะเราไม่ทราบข้อมูลที่จำาเป็นได้อย่างแม่นยำา • สื่อสารถึงวิธีปฏิบัติงานเมื่อต้องตอบสนองกับสิ่งที่ขัดต่อนโยบาย • สื่อสารเป็นการส่วนตัวกับประธานกรรมการ และเลขาธิการ เพื่อสร้างให้เกิดความ เข้าใจและความมั่นใจต่อการรายงานที่มีความไม่มั่นใจประกอบ • เข้าแทรกแซง และเปลี่ยนแปลงแบบฟอร์มต่างๆ ที่มักถูกใช้ในการรายงาน เพื่อ ปรับปรุงให้เกิดเวอร์ชั่น ใหม่ที่สอดคล้องกับนโยบายมากขึ้นอยู่ตลอด • ผลักดันให้บุคลากรระดับสูงตั้งคำาถามถึงที่มาและระดับความมั่นใจของข้อมูลที่ นำามาประกอบการตัดสินใจอยู่เสมอ เพื่อเป็นตัวอย่างที่ดี และคอยย้ำาเตือนถึงความสำาคัญของ นโยบายต่อบุคลากรคนอื่นๆ• จัดการฝึกทักษะ เพื่อเพิ่มพูนความรู้ ความเข้าใจในการประเมิน การวัดระดับ และ การตอบสนองต่อความไม่มั่นใจ ให้กับบุคลากรในองค์กร • นำานโยบายใหม่นี้ เข้าเป็นส่วนหนึ่งของวาระการประชุมทุกครั้งที่มีการพูดคุยถึง รายงานที่เกี่ยวข้องกับข้อมูลที่มีความไม่แน่นอน 2. นำาการชั่งน้ำาหนักความเสี่ยงมาปรับใช้ ใจความสำาคัญของการชั่งน้ำาหนักความเสี่ยง คือการสร้างนโยบายว่าองค์กรจะมีวิธีการประเมิน และให้ความสำาคัญกับปัจจัยเสี่ยงในการตัดสินใจอย่างไร รวมไปถึงการผลักดันให้บุคลากรปฏิบัติ ตามวิธีการปฏิบัติงานที่ได้กำาหนดไว้แล้ว ซึ่งอาจจะประกอบไปด้วยนโยบายย่อยหลายๆนโยบาย ในทางทฤษฏี เราจะทำาการให้มูลค่า ซึ่งเป็นได้ทั้งบวกนั่นคือโอกาส และลบนั่นคือความ เสี่ยง กับความเสี่ยงระดับต่างๆ และกำาหนดระดับความเสี่ยงสูงสุดที่องค์กรสามารถรับได้ โดยมูลค่า ของความเสี่ยงระดับที่มากกว่าระดับความเสี่ยงที่รับได้ จะมีมูลค่าติดลบมากๆ แล้วจึงนำามูลค่า โดยรวมของแต่ละสถานการณ์มาใช้เพื่อการประกอบการตัดสินใจ ในการปฏิบัติจริง เราจำาเป็นจะต้องเลือกว่าจะนำาการชั่งน้ำาหนักความเสี่ยงไปปรับใช้กับ ส่วนไหน หรือการตัดสินใจอะไรภายในองค์กรบ้าง ขึ้นกับความถี่และระดับความสำาคัญ อย่างไร ก็ตาม องค์กรขนาดใหญ่ส่วนมากมักจะจัดทำาวิธีการทำางานอย่างเป็นทางการ สำาหรับการตัดสินใจที่ เกิดขึ้นบ่อยๆ อยู่แล้ว สำาหรับการตัดสินใจที่มีความสำาคัญมากๆ เรามักจะต้องนำาคณะกรรมการของผู้บริหาร ระดับสูงเข้ามาเกี่ยวข้อง โดยปกติแล้วการนำาหัวข้อเหล่านี้เข้าที่ประชุมใหญ่ จะเกิดขึ้นได้หลังจาก การเตรียมเอกสารตามขั้นตอนที่ได้ระบุไว้ ด้วยแบบฟอร์มที่ได้กำาหนดไว้ก่อนแล้ว ซึ่งอาจรวมไป ถึงการประมาณค่าทางการเงินของโครงการด้วย สำาหรับการตัดสินใจที่มีความสำาคัญรองลงมา และไม่ได้เกิดขึ้นบ่อย หรือเกิดขึ้นแบบ คาดไม่ถึง เราจะพบว่าเรามักจะยังไม่มีกระบวนการทำางานที่เตรียมพร้อมไว้อยู่แล้วสำาหรับการ ตัดสินใจกลุ่มนี้ จึงทำาให้หลายๆคนมองข้ามถึงการเตรียมการสำาหรับการตัดสินใจกลุ่มนี้ไป และ พึ่งพาความสามารถส่วนบุคคลของบุคลากรที่รับผิดชอบในการแก้ปัญหา นอกจากนี้ เราต้องคำานึงอยู่เสมอว่าการตัดสินใจ กับการประเมินผลการทำางานนั้น เป็นของคู่กัน ปัญหาต่างๆมากมายจะสามารถตามมาได้หากปัจจัยทั้งสองมีจุดที่ไม่สอดคล้องกัน อีกปัจจัยหนึ่งที่สำาคัญต่อการนำาการชั่งน้ำาหนักความเสี่ยงมาปรับใช้ คือการออกแบบ เทคนิค และขั้นตอนการทำางานสำาหรับแต่ละสถานการณ์จริง ซึ่งจะต้องครอบคลุมไปถึง • วิธีการให้ความสำาคัญ และให้มูลค่าของปัจจัยเสี่ยง • วิธีการประเมินประสิทธิภาพ และปรับปรุงแก้ไข • วิธีการสื่อสารต่อบุคลากร • วิธีการนำาไปตัดสินใจจริง • วิธีการสอดส่องดูแลการทำางาน และการผลักดันให้เกิดการนำาไปปรับใช้จริง หากเรามองลึกลงไปอีก เราจะพบว่า การตัดสินใจมักจะประกอบไปด้วยปัจจัยที่สามารถตี มูลค่าได้ และปัจจัยที่ไม่สามารถตีมูลค่าได้ ซึ่งจะยิ่งทำาให้การออกแบบการตัดสินใจในกรณีเหล่า นั้นมีความยุ่งยากมากขึ้นไปอีก หลังจากที่เราตัดสินใจว่าจะนำานโยบายชั่งน้ำาหนักความเสี่ยงมาปรับใช้แล้ว สิ่งที่เราต้อง ทำาต่อมานั้นมีอยู่อีกมาก โดยสำาหรับการตัดสินใจที่เคยมีขั้นตอนการทำางานระบุไว้อยู่แล้ว 58 59

• จัดทำานโยบายให้เป็นลายลักษณ์อักษร • สื่อสารนโยบายให้กับบุคลากรในองค์กร • ออกแบบเทคนิค หรือวิธีการให้มูลค่ากับปัจจัยเสี่ยงต่างๆ • นำาวิธีการประเมินความเสี่ยงเดิมกลับมาทบทวน และกำาหนดกระบวนการในการ ปรับปรุงแก้ไขเพิ่มเติมในอนาคต • สื่อสารถึงวิธีปฏิบัติงานที่สอดคล้องกับนโยบายใหม่นี้ และวิธีการนำาเครื่องมือใหม่ๆ เหล่านี้ไปปรับใช้ในการทำางานจริง ซึ่งรวมไปถึงการทบทวนวัตถุประสงค์และเป้าหมายของธุรกิจ หรือ กลยุทธ์ของธุรกิจที่อาจเปลี่ยนแปลงไปตามบริบทที่เปลี่ยนแปลง• ปรับปรุงแบบฟอร์ม และกฏระเบียบการทำางานที่เกี่ยวข้อง• สื่อสารรายละเอียด และความเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นให้กับคณะกรรมการ ของผู้บริหารระดับสูงและเลขาธิการ• เพิ่มเติมวาระการประชุมกับคณะกรรมการเพื่อขอความอนุมัติ สำาหรับการตัดสิน ใจที่เคยมีการสร้างรูปแบบหรือ ซอฟท์แวร์เพื่อทำาการตัดสินใจแทนที่เคยมีอยู่แล้ว • ออกแบบเทคนิค หรือวิธีการให้มูลค่ากับปัจจัยเสี่ยงต่างๆ • นำาวิธีการประเมินความเสี่ยงเดิมกลับมาทบทวน และกำาหนดกระบวนการในการ ปรับปรุงแก้ไขเพิ่มเติมในอนาคต • ทำาการปรับปรุง software เพื่อให้สอดคล้องกับวิธีการใหม่ๆ หากสามารถทำาได้ • ทำาการปรับการตั้งค่าของ software เพื่อให้สอดคล้องกับพฤติกรรมของ software ที่ต้องการ สำาหรับการตัดสินใจที่ไม่ได้เกิดขึ้นเป็นประจำา หรือไม่ได้เป็นทางการ • ทำาการระบุจุดบกพร่องของแผนปฏิบัติงานที่มีอยู่เดิม ที่อาจทำาให้เกิดการตัดสิน ใจที่ผิดพลาด จากการให้น้ำาหนักปัจจัยเสี่ยงที่ไม่เหมาะสม เช่น หากผู้ปฏิบัติงานจำาเป็นต้องทำา จำานวนชิ้นงานให้ได้ตามเป้า ประกอบกับการให้คำาแนะนำาด้านความเสี่ยงที่ไม่ชัดเจน อาจทำาให้ผู้ ปฏิบัติงานเหล่านั้นปฏิบัติงานโดยวิธีการที่เสี่ยงกว่าความจำาเป็น เพื่อเพิ่มจำานวนชิ้นงานที่ทำาได้ ต่อวัน • สร้างสถานการณ์สมมติที่เกี่ยวข้องกับปัญหาที่อาจเกิดขึ้นได้ และวิธีการจัดการกับ สถานการณ์ดังกล่าวที่สอดคล้องกับการจัดการความเสี่ยงที่ดี • สื่อสาร และทำาการให้ความรู้แก่ผู้ปฏิบัติงาน ด้วยสถานการณ์สมมติดังกล่าวสำาหรับ การกำาหนดตัวชี้วัดความสำาเร็จของการปฏิบัติงาน • ออกแบบเทคนิค หรือวิธีการให้มูลค่ากับปัจจัยเสี่ยงต่างๆ • ปรับปรุงวิธีการคำานวณ หรือเก็บข้อมูลตัวเลขต่างๆที่เกี่ยวข้อง • ปรับปรุงระบบ และแบบฟอร์มต่างๆที่เกี่ยวข้อง • หากเราใช้พฤติกรรมของผู้ปฏิบัติงาน เป็นส่วนหนึ่งของตัวชี้วัดความสำาเร็จของบุคคล ด้วย ให้นำาตัวชี้วัดที่เกี่ยวข้องกับพฤติกรรมของผู้ปฏิบัติงานเมื่อต้องเผชิญกับความไม่แน่นอนใส่ร่วม เข้าไปด้วย• พยายามผลักดันให้เกิดการพูดคุยที่เกี่ยวกับพฤติกรรมของผู้ปฏิบัติงานเมื่อต้อง เผชิญกับความไม่แน่นอนขึ้น ในการประชุมเพื่อประเมินความสำาเร็จของการปฏิบัติงาน 3. นำาการทำานายล่วงหน้าด้วยค่าสถิติมาปรับใช้ โดยมากแล้ว การทำานายล่วงหน้าจะสามารถทำาได้ง่ายขึ้นมากเมื่อเรานำาเทคนิคทางสถิติ มาปรับใช้ โดยเป็นเพราะข้อมูลส่วนใหญ่ที่เราสามารถเก็บมาจากการปฏิบัติงานในอดีต มักจะมี รูปแบบที่เฉพาะเจาะจงมากพอที่จะนำามาใช้ทำานายค่าตัวเลขต่างๆ ในอนาคตได้ อย่างไรก็ตาม การนำาเทคนิคดังกล่าวมาปรับใช้นั้นมีข้อจำากัดอยู่มาก โดยเฉพาะในแง่ของการเก็บและวิเคราะห์ ข้อมูล ไปจนถึงการออกแบบเครื่องมือต่างๆที่จำาเป็น และการผลักดันให้เครื่องมือใหม่นี้เกิดประโยชน์ ต่อผู้ปฏิบัติงานให้มากที่สุด ผู้ปฏิบัติงานส่วนมาก เมื่อได้ทำางานกับระบบที่มีเป้าหมายเป็นตัวเลขชัดเจนไปสักระยะ หนึ่งแล้ว ก็มักที่จะพยายามเล่นเกมกับระบบ ไม่ว่าจะเป็นการพยายามหาช่องโหว่ หรือพยายาม ต่อรองเพิ่มลดตัวเลข พฤติกรรมดังกล่าวสามารถส่งผลกระทบต่อการบริหารองค์กรได้ในภาพกว้าง หากผู้ปฏิบัติงานให้ความสนใจกับค่าตัวเลขมากกว่าการคิดหาแผนรับมือต่อสถานการณ์ตรงหน้า เมื่อองค์กรตัดสินใจนำาการทำานายล่วงหน้าด้วยสถิติมาปรับใช้แล้ว สิ่งที่เราต้องทำาต่อมา ยังมีอยู่อีกมาก • ทำาการจัดเก็บข้อมูลผลการปฏิบัติงานย้อนหลังไป 3 ปี (อาจมากหรือน้อยกว่า) แล้ว จัดทำาระบบเพื่อเปรียบเทียบผลกระทบของสถานการณ์สมมติว่าเราได้นำาการทำานายล่วงหน้า ด้วยสถิติมาใช้ตั้งแต่ในอดีต ยกตัวอย่างเช่น ถ้าหากเมื่อ 12 เดือนที่แล้ว เราเริ่มทำาการทำานาย ยอดขายด้วยข้อมูลย้อนหลัง 3 เดือน ความแม่นยำาของการทำานายยอดขายจะเพิ่มขึ้นหรือน้อย ลงเท่าไหร่ เมื่อเทียบกับวิธีการที่เคยใช้เดิม • ทดลองกับโมเดลการทำานายหลายๆโมเดล โดยอาจจะเริ่มจากโมเดลที่เป็นเพียง สมการง่ายๆ แล้วจึงศึกษาความแม่นยำา และลักษณะเฉพาะของแต่ละโมเดลทางเลือก เพื่อหา โมเดลที่เหมาะสมที่สุด ซึ่งอาจจะไม่ใช่โมเดลที่มีความแม่นยำามากที่สุด แต่เป็นโมเดลที่น่าจะ เป็นที่ยอมรับของคนส่วนใหญ่ ซึ่งต้องมีทั้งความแม่นยำา ความเรียบง่าย และเข้าใจง่าย • เปรียบเทียบความแม่นยำาของโมเดลดังกล่าว กับวิธีการ หรือโมเดลดั้งเดิมที่เคย ใช้มาในอดีต • หลังจากโมเดลใหม่ได้รับการยอมรับจากผู้ปฏิบัติงานในวงกว้าง จึงนำาโมเดลดังกล่าว ไปปรับใช้กับระบบการปฏิบัติงานจริง โดยในระยะแรกเราอาจจะอนุญาตให้ผู้จัดการสามารถ ปรับปรุงค่าตัวเลขที่ออกมาจากโมเดลได้เล็กน้อย เพื่อให้สอดคล้องกับปัจจัยภายนอกที่เราคาด ว่าจะพบในอนาคต • เก็บผลการทดลองใช้ ความแม่นยำาจากการใช้งานจริง และพฤติกรรมของผู้จัดการใน การใช้โมเดลดังกล่าว เพื่อทำาการปรับปรุงโมเดลให้มีความสมบูรณ์มากขึ้น แล้วจึงเขียนเอกสาร ประกอบการใช้งาน• จัดการสื่อสาร หรือการประชุม เพื่อทำาให้ผู้ปฏิบัติงานในวงกว้างเห็นถึงความสำาคัญ และประโยชน์ของการนำาโมเดลทำานายใหม่มาปรับใช้ ซึ่งเป็นได้ทั้งในแง่ของตัวเงิน และอื่นๆ• จัดการฝึกสอน ให้ผู้ปฏิบัติงานมี่ความรู้ ความเข้าใจเบื้องต้นในตัวโมเดล เพื่อให้ ผู้ปฏิบัติงานสามารถนำาโมเดลดังกล่าวไปใช้ในการปฏิบัติงานได้อย่างถูกต้อง 60 61

ภาพรวมของการปรับตัว และพัฒนา: COSO 2004; COSO 2013; COSO 2017 5 • สร้างกลไกบางอย่าง เพื่อสอดส่องดูแลการทำางานของโมเดล และการนำาโมเดล ไปใช้งานของผู้ปฏิบัติงาน ความคืบหน้า และแรงบันดาลใจ ตัวชี้วัดความคืบหน้าของชิ้นงาน เป็นแรงบันดาลใจที่ดีในการกระตุ้นให้เกิดการปฏิบัติงาน ต่อไป การวัดความคืบหน้าจึงเป็นเรื่องที่เราต้องให้ความสำาคัญ ในระยะแรกของการปฏิบัติงาน การมีอะไรเล็กน้อยเกิดขึ้นก็เป็นสิ่งที่น่ายินดีแล้ว เพราะ เรามักจะไม่ได้คาดหวังถึงผลลัพธ์ในทันทีทันใด อย่างไรก็ตาม ความรู้สึกถึงความคืบหน้าของการ ปฏิบัติงานจะยิ่งสำาคัญมากขึ้นเรื่อยๆ เพื่อรักษาขวัญกำาลังใจของผู้ปฏิบัติงาน จนถึงจุดหนึ่ง ผู้ปฏิบัติ งานอาจอยากได้ผลลัทธ์จนไม่สนถึงวิธีการที่จะได้มาซึ่งผลลัทธ์ ตัวชี้วัดความคืบหน้านั้นไม่จำาเป็นที่่จะต้องสมบูรณ์แบบตั้งแต่วันแรก รวมถึงสามารถ เปลี่ยนแปลงได้ตลอดเวลา เพื่อให้สอดคล้อง เหมาะสมกับสถานการณ์จริง และอุดจุดอ่อนของ ตัวชี้วัดเดิม 62

สาระสำาคัญของเนื้อหาในบทนี้ ภาพรวมของการปรับตัวและพัฒนา: COSO 2004; COSO 2013; COSO 2017 กรอบแนวคิดการปรับตัวและการพัฒนา หลักการ COSO ERM (Enterprise Risk Management) – Integrated Framework 2004 กรอบแนวคิด COSO ERM 2014 ตามรายละเอียดขององค์ประกอบทั้ง 8 ด้าน กรอบแนวคิด COSO ERM 2017 COSO Enterprise Risk Management – integrating with Strategy and Performance 2017 “...COSO ERM 2004 ได้รับความนิยมเป็นที่ยอมรับในวงกว้าง เนื่องจากมีวัตถุประสงค์ การบริหารความเสี่ยงชัดเจนเป็นระบบ เป็นขั้นตอนการจัดการระบุเชื่อมโยงสอดคล้องกันทั้ง 4 ด้าน ประกอบด้วย ด้านกลยุทธ์ ด้านการปฏิบัติงาน ด้านการรายงาน และด้านการปฏิบัติตามกฎ ระเบียบ และ 8 องค์ประกอบ...” “...องค์ประกอบการควบคุมภายในแต่ละองค์ประกอบและหลักการของ COSO IC 2013 เน้นการมีอยู่จริงและนำาไปปฏิบัติได้ (Present & Function) และต้องมีความสอดคล้อง และสัมพันธ์กันจึงจะทำาให้การควบคุมภายในมีประสิทธิผล...” กรอบแนวคิดการปรับตัวและการพัฒนา เราได้เรียนรู้กรอบแนวคิด และแนวทางการควบคุมภายในและการบริหารความเสี่ยง ความหมายความสำาคัญ ความจำาเป็น ประโยชน์ เพื่อการบรรลุความสำาเร็จตามเป้าหมายของ องค์กรที่ครอบคลุมในด้านต่างๆ บูรณาการเพื่อประสิทธิผลสูงสุดแก่ผู้มีส่วนได้เสีย จากเนื้อหา ในบทก่อนๆ มามากพอสมควร อย่างไรก็ดี การปรับตัวและการพัฒนาของ ระบบการควบคุม ภายในและการบริหารความเสี่ยงในช่วงเวลาที่ผ่านมา ได้รับการยอมรับและนำาไปใช้อย่างกว้างขวาง ทั่วโลก ผู้เรียบเรียงจะขอแสดงเนื้อหาเปรียบเทียบการพัฒนาของมาตรฐานการควบคุมภายในและ การบริหารความเสี่ยง ในแต่ช่วงเวลาของ COSO 2004; COSO 2013; COSO 2017 เพื่อให้ผู้ที่ ต้องการนำาไปใช้ประโยชน์ ประยุกต์ใช้เพื่อการปรับปรุงและพัฒนาระบบการควบคุมภายในและ การบริหารความเสี่ยงให้เกิดประโยชน์คุ้มค่าสูงสุดต่อองค์กร หลักการ COSO ERM (Enterprise Risk Management) – Integrated Framework 2004 หลักการ COSO ERM (Enterprise Risk Management) – Integrated Framework 2004ซึ่งมีนำาไปใช้อย่างแพร่หลาย มีที่มาเริ่มแต่ในช่วงปี 2001 – 2002 เกิดวิกฤติด้านระบบบัญชี และธรรมาภิบาลในสหรัฐอเมริกา มีการฉ้อฉล ตกแต่งบัญชี และรายงานทางการเงิน เกิดความ เสียหายมีผลกระทบอย่างกว้างขวาง จึงเป็นเหตุผลสำาคัญที่ทำาให้เกิดความตื่นตัว เกิดแรงกดดัน จากผู้มีส่วนได้เสีย ต่อฝ่ายบริหาร เป็นผลให้ มีการปฏิรูปกฎหมาย กฎระเบียบการกำากับดูแล กิจการที่ดี เพื่อรับรู้ถึงความเสี่ยงต่างๆ ที่จะส่งผลต่อความมั่นคงยั่งยืนขององค์กรมากขึ้น COSO ERM 2004 ได้รับความนิยมเป็นที่ยอมรับในวงกว้าง เนื่องจากมีวัตถุประสงค์ การบริหารความเสี่ยงชัดเจนเป็นระบบ เป็นขั้นตอนการจัดการระบุเชื่อมโยงสอดคล้องกันทั้ง 4 ด้าน ประกอบด้วย ด้านกลยุทธ์ ด้านการปฏิบัติงาน ด้านการรายงาน และด้านการปฏิบัติตาม กฎระเบียบ มุ‹งเนŒนวัตถุประสงค การบริหารความเสี่ยง รวม 4 ดŒาน มุ‹งเนŒนวัตถุประสงค การควบคุมภายในและ ารบริหารความเสี่ยง รวม 3 ดŒาน มุ‹งเนŒนการเพ��มคุณค‹า ใหŒกับองคกร บูรณาการ เชื่อมโยงกับกลยุทธ และผลการดำเนินงาน ไม‹ระบุองคประกอบย‹อย แต‹ละองคประกอบ มีองคประกอบย‹อย รวมทั�งหมด 17 องคประกอบย‹อย แต‹ละองคประกอบ มีองคประกอบย‹อย รวมทั�งหมด 20 องคประกอบย‹อย COSO 2004 COSO 2013 COSO 2017 องคประกอบ 8 ดŒาน องคประกอบ 5 ดŒาน องคประกอบ 5 ดŒาน บทที่ 5 ภาพรวมของการปรับตัวและพัฒนา: COSO 2004; COSO 2013; COSO 2017 64 65

และ 8 องค์ประกอบ COSO ERM 2004 เน้นที่การเชื่อมโยงการจัดการความเสี่ยง สำาหรับความเสี่ยง ทุกประเภท ตามวัตถุประสงค์การดำาเนินธุรกิจขององค์กรนั้นๆ และสำาหรับทุกระดับ ทั่วทั้งองค์กร เพื่อความเข้าใจที่ชัดเจนถึงสาระขององค์ประกอบ จะขออธิบายถึงรายละเอียดของ แต่ละองค์ประกอบทั้ง 8 ด้าน ตามกรอบแนวคิด COSO ERM 2014 กรอบแนวคิด COSO ERM 2014 ตามรายละเอียดขององค์ประกอบทั้ง 8 ด้าน 1. สภาพแวดล้อมภายใน 2. การกำาหนดวัตถุประสงค์ สภาพแวดลŒอมภายใน (Internal Environment) 1 การจัดการตอบสนองความเสี่ยง (Risk Response) 5 การกำหนดวัตถุประสงค (Objective Setting) 2 กิจกรรมการควบคุม (Control Activities) 6 การระบุเหตุการณ (Event Identification) 3 สารสนเทศและการสื่อสาร (Information and Communication) 7 การประเมิณความเสี่ยง (Risk Assessment) 4 การติดตามการประเมิณผล (Monitoring and Evaluation) 8 ••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••• ••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••• ••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••• การกำหนดนโยบายและ แนวการบริหารจากระดับสูง ที่สรŒางบรรยากาศใหŒทุกคน ตระหนักถึงความสำคัญของ การบริหารความเสี่ยง ซึ่งเปšน พ�้นฐานของการบริหาร ความเสี่ยงและการควบคุม อื่นทั�งหมด ป˜จจัยนี้เกี่ยวขŒองกับความเชื่อและ ความมุ‹งมั�นของผูŒบริหารระดับสูง ซึ่งจะส‹งผลต‹อความมุ‹งมั�นของ สมาชิกในองคกร และเปšนสิ�งที่มี อิทธิพลต‹อบรรยากาศภายใน องคกร ที่จะสรŒางใหŒสมาชิก ทั�งหมด ตระหนักถึงความสำคัญ ของการบริหารความเสี่ยง 1. นโยบายและแนวคิดการบริหาร ความเสี่ยง 2. ความเสี่ยงที่ยอมรับไดŒ 3. บทบาทของคณะกรรมการ ขององคกร 4. วัฒนธรรมองคการที่แสดงถึง ความซื่อตรงและจริยธรรม 5. ความมุ‹งมั�นของผูŒบริหารและ สมาชิก 6. การจัดการโครงสรŒาง ขององคการ 7. การมอบอำนาจและขอบเขต ความรับผิดชอบ 8. มาตรฐานการบริหาร รัพยากรบุคคล ความหมาย บริบท องคประกอบ การเชื่อมโยงกลยุทธกับ วัตถุประสงค การกำหนด วัตถุประสงคที่ดี ทำใหŒทราบ ตัววัด เป‡าหมายของความ สำเร็จที่ตŒองการ รวมทั�ง กำหนดระดับความ คลาดเคลื่อนที่ยอมรับไดŒ ในแต‹ละระดับ ซึ่งเปšนพ�้นฐาน ในการบริหารความเสี่ยง กำหนดขึ้นเพ�่อสรŒางความเชื่อมั�น และความมั�นใจว‹า ไดŒเลือก วัตถุประสงคที่เชื่อมโยงกับ วิสัยทัศนและภารกิจขององคการ และเชื่อมโยงกับกลยุทธที่กำหนด ขึ้นในระดับงานต‹างๆ เพ�่อสามารถ นำมาใหŒอยู‹ในระดับที่องคการ ยอมรับไดŒ 1. กลยุทธ 2. วัตถุประสงคที่เกี่ยวขŒองและ เชื่อมโยงกับกลยุทธ 3. การกำหนดวัตถุประสงคและ เป‡าหมายที่ดี 4. ความเสี่ยงและความ คลาดเคลื่อนที่ยอมรับไดŒ ความหมาย บริบท องคประกอบ 66 67

3. การระบุเหตุการณ์ เทคนิคการระบุเหตุการณ์หรือระบุความเสี่ยง รูปแบบการประเมินความเสี่ยง 4. การประเมินความเสี่ยง การระบุเหตุการณที่อาจ เกิดขึ้นจากป˜จจัยทั�ง ภายในนอกและภายใน องคการที่มีผลกระทบต‹อ ความสำเร็จของวัตถุประสงค ขององคการ และการนำ โอกาสไปกำหนดเปšนกลยุทธ ขององคการ • เปšนองคประกอบที่เกี่ยวขŒอง กับการระบุเหตุการณซึ่งเปšน ความไม‹แน‹นอนที่อาจเกิดขึ้น จากป˜จจัยภายในหรือป˜จจัย ภายนอก • การระบุเหตุการณตŒอง สามารถแยกเหตุการณเปšน โอกาสหรือเปšนความเสี่ยง ตŒองเลือกเหตุการณความ เสี่ยงที่สังเกตเห็นไดŒ และ เหตุการณที่เกี่ยวขŒองกับ วัตถุประสงคในการบริหาร ความเสี่ยงนั�นๆ • แหล‹งที่มาของความเสี่ยงทั�ง จากป˜จจัยภายในและภายนอก • เทคนิคในการระบุเหตุการณเสี่ยง • การวิเคราะหความเปšนอิสระและ ความสัมพันธของเหตุการณเสี่ยง • การจัดประเภทเหตุการณ ความเสี่ยง • การคัดแยกโอกาสออกจาก เหตุการณเสี่ยง ความหมาย บริบท องคประกอบ การประเมินความเสี่ยงจาก ระดับความน‹าจะเกิดและระดับ ผลกระทบ เพ�่อพ�จารณาวิธี การจัดการความเสี่ยงใหŒ เหมาะสม ใหŒความเสี่ยง คงเหลือหลังการจัดการใหŒอยู‹ ในระดับที่ยอมรับไดŒ การประเมินระดับความเสี่ยงของ เหตุการณความเสี่ยงที่อาจเกิดขึ้น จากป˜จจัยภายในและป˜จจัย ภายนอก โดยประเมินระดับความ เสี่ยงจากระดับความน‹าจะเกิด (Likelihood)และระดับผลกระทบ ที่อาจเกิดขึ้น (Impact) • ความเสี่ยงก‹อนการจัดการ และความเสี่ยงคงเหลือหลัง การจัดการ • การประเมินระดับความน‹าจะ เกิดและประเมินระดับผลกระทบ • เทคนิคการประเมินความเสี่ยง ความหมาย บริบท องคประกอบ การประเมินระดับค‹าคะแนน สามารถกำหนดเปšนระดับ 1-5 โดยกำหนดค‹าเปšนช‹วงเทียบเคียงเปšนมูลค‹า โอกาส ที่จะเกิด ความเสี่ยง ระดับ คะแนน ของความ น‹าจะเกิด ความถี่ ผลกระทบระดับ คะแนนของ ผลกระทบมูลค‹าความเสียหาย การประเมินระดับค‹าคะแนน สามารถกำหนดเปšนระดับ 1-5 โดยกำหนดค‹าเปšนช‹วงเทียบเคียงเปšนมูลค‹า 68 69

5. การจัดการตอบสนองความเสี่ยง 6. กิจกรรมการควบคุม 7. สารสนเทศและการสื่อสาร 8. การติดตามและการประเมินผล เนื้อหาที่แสดงข้างต้นนี้ อธิบายหลักการขั้นตอนที่สำาคัญของ COSO ERM 2004 ใน ส่วนต่อไปเราจะมาศึกษาเปรียบเทียบกับ COSO IC 2013 ซึ่งประกอบด้วย 3 วัตถุประสงค์ 5 องค์ประกอบหลัก และ 17 องค์ประกอบย่อยที่สำาคัญ การเลือกวิธีการจัดการและ การกำหนดการแกŒไขที่ เหมาะสม โดยพ�จารณาจาก หลักความน‹าจะเกิดและ ผลกระทบ และความคุŒมค‹า ในภาพรวม การตอบสนองความเสี่ยง สามารถทำไดŒ 4 วิธี • การยอมรับ • การหลีกเลี่ยง • การโอน กระจาย หรือ แบ‹งป˜น • การควบคุม • ประเภทของวิธีการจัดการ ตอบสนองความเสี่ยง • การเลือกวิธีการจัดการ ตอบสนองความเสี่ยงที่ ตอบสนองกับระดับความน‹าจะ เกิดและผลกระทบ • การประเมินตŒนทุนของการ จัดการความเสี่ยงกับประโยชน ที่ไดŒรับ ความหมาย บริบท องคประกอบ การกำหนดนโยบายและ วิธีการใหŒมั�นใจว‹า มีการ ปฏิบัติตามวิธีหรือแผนการ จัดการความเสี่ยง อย‹างมี ประสิทธิผลภายในเวลาที่ กำหนด คือ นโยบายหรือแนวปฏิบัติที่ฝ†าย บริหารและคณะกรรมการกำหนด ขึ้น เพ�่อสรŒางความมั�นใจไดŒว‹า จะมีการปฏิบัติตามแนวทางหรือ แผนการบริหารความเสี่ยงที่ กำหนดขึ้น โดยการปฏิบัติดังกล‹าว คือการปฏิบัติเพ�่อจัดการความ เสี่ยงใหŒอยู‹ในระดับที่ยอมรับไดŒใน ช‹วงเวลาที่กำหนด • การพ�จารณาแนวทางการ ควบคุมร‹วมกับวิธีการจัดการ ตอบสนองความเสี่ยง • การกำหนดนโยบายและวิธีการ ปฏิบัติงาน • ประเภทของการควบคุม • การควบคุมสารสนเทศและ แนวทางการควบคุมในแต‹ละ กิจกรรม ความหมาย บริบท องคประกอบ การจัดทำระบบสารสนเทศ เพ�่อใหŒทุกฝ†ายทราบระดับ ความสำเร็จความเสี่ยงคงเหลือ และบทบาทหนŒาที่ของตน โดยมีการสื่อสารเพ�่อความ เขŒาใจทั�งจากแหล‹งภายในและ ภายนอกองคการ คือ ขŒอมูลสารสนเทศที่เกี่ยวกับ การบริหารความเสี่ยง การควบคุม ในรูปแบบ หรือ แนวทางและ ระยะเวลาที่กำหนดใหŒสมาชิก สามารถนำไปปฏิบัติงานที่ รับผิดชอบไดŒอย‹างเหมาะสมและ มีประสิทธิภาพคือ การสื่อสารที่ สามารถสรŒางความเขŒาใจอย‹าง ทั�วถึงและแพร‹หลายทั�วทั�งองคกร และครอบคลุมภายนอกองคกร • ระบบสารสนเทศที่กำหนดขึ้น ในระบบการบริหารความเสี่ยง • ความเชื่อมโยงและสัมพันธกัน ของระบบสารสนเทศของการ บริหารความเสี่ยง ระดับการ บริหารความเสี่ยง และกลยุทธ ขององคการ • ระบบสารสนเทศที่ใชŒตŒองมี คุณภาพสอดคลŒองกับความ ตŒองการและสามารถใชŒใน การปฏิบัติงานโดยปกติไดŒ • ครอบคลุมการสื่อสารทั�ง ภายในและภายนอกองคการ ความหมาย บริบท องคประกอบ การมีระบบติดตามผลเพ�่อใหŒ ทราบคุณภาพการปฏิบัติงาน และประสิทธิภาพของการ บริหารความเสี่ยง คือ การกำหนดระบบติดตามผล เพ�่อสรŒางความเชื่อมั�นไดŒว‹า ขั�นตอนและวิธีปฏิบัติที่กำหนดขึ้น เพ�่อติดตามและประเมินผลนั�น เหมาะสมและมีประสิทธิผล ซึ่งตŒองครอบคลุมถึงการรายงาน และการแกŒไขขŒอบกพร‹องที่มี ประสิทธิผล • การรวบรวมขŒอมูลที่เหมาะสม และการแสดงผลการปฏิบัติ งานที่มีประสิทธิผล • การวิเคราะหและการติดตาม การบริหารความเสี่ยงที่มีความ เปšนอิสระ และอยู‹ในระดับที่ เหมาะสม • กำหนดเปšนระบบการประเมิน ตนเอง • การติดตามและการควบคุม มีวัตถุประสงคเพ�่อลดความเสี่ยง หรือช‹วยใหŒการบริหารความเสี่ยง มีประสิทธิภาพ ความหมาย บริบท องคประกอบ 70 71

ตารางแสดง 5 องค์ประกอบหลัก และ 17 องค์ประกอบย่อย ตามกรอบแนวคิด COSO 2013 สรุปภาพรวมของ 5 องค์ประกอบหลัก และ 17 องค์ประกอบย่อยของ COSO IC 2013 ทั้งนี้ องค์ประกอบการควบคุมภายในแต่ละองค์ประกอบและหลักการของ COSO IC 2013 เน้นการมีอยู่จริงและนำาไปปฏิบัติได้ (Present & Function) และต้องมีความสอดคล้อง และสัมพันธ์กันจึงจะทำาให้การควบคุมภายในมีประสิทธิผล องคประกอบที่ 1 สภาพแวดลŒอมการควบคุม (Control Environment) มีองคประกอบย‹อย รวม 5 ดŒาน • องคกรยึดหลักความซื่อตรงและจริยธรรม • คณะกรรมการแสดงออกถึงความรับผิดชอบ ต‹อการกำกับดูแล • คณะกรรมการและฝ†ายบริหาร มีอำนาจการ สั�งการชัดเจน • องคกรจูงใจพนักงานและรักษาไวŒ • องคกรผลักดันใหŒทุกตำแหน‹งรับผิดชอบต‹อการ ควบคุมภายใน องคประกอบที่ 2 การประเมินความเสี่ยง Risk Assessment) มีองคประกอบย‹อย รวม 4 ดŒาน • กำหนดเป‡าหมายชัดเจน • ระบุและวิเคราะหความเสี่ยงอย‹างครอบคลุม • พ�จารณาโอกาสที่จะเกิดทุจริต • ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบ ต‹อการควบคุมภายใน องคประกอบที่ 3 กิจกรรมการควบคุม (Control Activities) มีองคประกอบย‹อยรวม 3 ดŒาน • ควบคุมความเสี่ยงใหŒอยู‹ในระดับที่ยอมรับไดŒ • พัฒนาระบบเทคโนโลยีที่ใชŒในการควบคุม • ควบคุมใหŒนโยบายสามารถปฏิบัติไดŒ องคประกอบที่ 4 สารสนเทศและการสื่อสาร (Information and Communication) มีองคประกอบย‹อยรวม 3 ดŒาน • องคกรมีขŒอมูลที่เกี่ยวขŒองและมีคุณภาพ • มีการสื่อสารขŒอมูลภายในองคกร ใหŒการควบคุม ภายในดำเนินต‹อไปไดŒ • มีการสื่อสารกับหน‹วยงานภายนอก ในประเด็น ที่อาจกระทบต‹อการควบคุมภายใน องคประกอบที่ 5 กิจกรรมการกำกับติดตาม และประเมินผล (Monitoring Activities) มีองคประกอบย‹อยรวม 2 ดŒาน • ติดตามและประเมินผลการควบคุมภายใน • ประเมินและสื่อสารขŒอบกพร‹องของการควบคุม ภายในทันเวลาและเหมาะสม รายงานขŒอบกพร‹อง ที่เปšนสาระสำคัญ 5 องคประกอบหลัก 17 องคประกอบย‹อย องคประกอบที่ 1 สภาพแวดลŒอมการควบคุม (Control Environment) องคประกอบที่ 1 เนŒนการกำหนดนโยบายจาก ระดับบนลงล‹าง ซึ่งเปšนความรับผิดชอบของ คณะกรรมการบริษัท ผูŒบริหารระดับสูง และ คณะกรรมการตรวจสอบมากขึ้น องคประกอบที่ 2 การประเมินความเสี่ยง Risk Assessment) องคประกอบที่ 2 เนŒนการนิยามเกณฑความเสี่ยง ที่ยอมรับไดŒ ระบุ วิเคราะห และประเมินความ เปลี่ยนแปลงที่จะกระทบต‹อการควบคุมภายใน อย‹างครอบคลุม องคประกอบที่ 3 กิจกรรมการควบคุม (Control Activities) องคประกอบที่ 3 เนŒนการวางนโยบาย และกำหนด กิจกรรมการควบคุมไวŒในขั�นตอนการปฏิบัติงาน รวมถึงการวางระบบรายงานเพ�่อทบทวนกิจกรรม การควบคุม กับวัตถุประสงคการควบคุมที่ตั�งไวŒ องคประกอบที่ 4 สารสนเทศและการสื่อสาร (Information and Communication) องคประกอบที่ 4 เนŒนความเคลื่อนไหวคล‹องตัว ของสารสนเทศ และกิจกรรมการสื่อสาร ที่ครอบคลุม ทุกระดับในองคกร องคประกอบที่ 5 กิจกรรมการกำกับติดตาม และประเมินผล (Monitoring Activities) องคประกอบที่ 5 เนŒนการติดตามในกิจกรรม ขั�นตอนการทำงานโดยปกติโดยเจŒาของกระบวนงาน และการประเมินผลโดยหน‹วยงานที่เปšนอิสระ โดยการประเมินผลจะตŒองสอดคลŒองกับวัตถุประสงค ของการควบคุมในกระบวนงาน ความเสี่ยงที่เกี่ยวขŒอง และกิจกรรมการควบคุม 72 73

ภาพแสดงการเปรียบเทียบ COSO ERM 2004 & COSO IC 2013 กรอบแนวคิด COSO ERM 2017 (COSO Enterprise Risk Management – integrating with Strategy and Performance 2017) ในปี ค.ศ. 2017 COSO ได้ปรับปรุงกรอบแนวทางการบริหารความเสี่ยงรูปแบบใหม่ ที่มีการเชื่อมโยงบูรณาการการบริหารความเสี่ยง กับการกำาหนดกลยุทธ์ขององค์กรเชื่อมโยงไป ถึงการประเมินผลการดำาเนินงาน ซึ่งประกอบด้วย 5 องค์ประกอบที่สำาคัญ และ 20 หลักการ สำาคัญย่อย ในชื่อว่า COSO Enterprise Risk Management – integrating with Strategy and Performance 2017 COSO ERM 2004 COSO IC 2013 คำานิยามใหม่ของการบริหารความเสี่ยง โดย COSO ERM 2017 มีความหมาย ครอบคลุมถึง วัฒนธรรมองค์การ ความสามารถขององค์การและบุคคล การปฏิบัติงาน เชื่อมโย งบูรณาการกับการกำาหนดกลยุทธ์และผลการดำาเนินงาน ซึ่งองค์กรต้องตระหนักให้ความสำาคัญ เพื่อสร้างรักษาและเพิ่มคุณค่าให้กับองค์กร ความหมายของการบริหารความเสี่ยงที่นิยามขึ้นใหม่นี้ มีความชัดเจนจดจำาได้ง่ายขึ้น โดยมีองค์ประกอบความหมายที่สำาคัญของ การบริหารความเสี่ยง COSO ERM 2017 รวม 6 ประการ ดังนี้ วัฒนธรรมองคกร ความสามารถขององคการและ บุคคล การปฏิบัติงาน เชื่อมโยง บูรณาการกับการกำหนด กลยุทธและผลการดำเนินงาน ซึ่งองคกรตŒองตระหนักใหŒความ สำคัญ เพ�่อสรŒางรักษาและ เพ��มคุณค‹าใหŒกับองคกร การตระหนักถึงวัฒนธรรม องคกร ซึ่งเกิดจากการมีส‹วน ร‹วมของบุคลากร ทุกระดับ มีความเขŒาใจที่ตรง กัน เพ�่อช‹วยใหŒการบริหาร ความเสี่ยงเปšนไปในทิศทาง เดียวกัน การพัฒนาความสามารถ จะช‹วยใหŒองคกรสามารถ บรรลุพันธกิจและวิสัยทัศน สามารถสรŒางความไดŒเปรียบ ในการแข‹งขัน สรŒางและเพ��ม คุณค‹า และเพ��มความ ยืดหยุ‹นในการปรับตัวใหŒ กับองคกร การนำแนวปฏิบัติที่วางไวŒ ไปประยุกตใชŒ อย‹างต‹อเนื่อง ครอบคลุมทุกระดับ ดŒวยความเขŒาใจที่ถูกตŒอง ตรงกัน เพ�่อใหŒเกิดการ บริหารความเสี่ยงทั�วทั�ง องคกรที่ดีไดŒ การบูรณาการการบริหาร ความเสี่ยงกับภารกิจทั�วทั�ง องคกร ร‹วมกับการกำหนด กลยุทธและผลการดำเนิน งาน ซึ่งจะส‹งผลต‹อตŒนทุนที่ ต�ำลง เพ��มความสามารถใน การแข‹งขันและเพ��มโอกาส ต‹างๆ ใหŒกับองคกร เมื่อองคกรบริหารความ เสี่ยงใหŒอยู‹ในระดับที่ยอมรับ ไดŒ องคกรจะมั�นใจว‹าดำเนิน งานใหŒบรรลุวัตถุประสงค ขององคกร ซึ่งจะเปšนสรŒาง คุณค‹าและเพ��มมูลค‹าใหŒ องคกรไดŒ การบริหารความเสี่ยงที่มี ประสิทธิภาพช‹วยใหŒองคกร สามารถกำหนดระดับความ เสี่ยงที่ยอมรับไดŒ เพ�่อใหŒ สามารถบรรลุกลยุทธและ เป‡าหมายทางธุรกิจ โดย กำกับ ทบทวนและติดตาม การบริหารความเสี่ยง อย‹างต‹อเนื่อง 74 75

เรามาศึกษาหลักการและองค์ประกอบย่อยที่สำาคัญ ของ COSO ERM 2017 ตามข้อมูลส่วนนี้ Mission, Vision, & Core Values พันธกิจ วิสัยทัศน และค‹านิยมหลัก พันธกิจ วิสัยทัศน และค‹านิยมหลัก และการกำหนดกลยุทธ ที่มีความสัมพันธเชื่อมโยงสอดคลŒองกัน จะเปšนป˜จจัยที่ช‹วยกำหนดเป‡าหมาย และจุดยืนขององคกร เพ�่อใหŒผูŒมีส‹วนไดŒเสียทราบถึงวัตถุประสงคและ ทิศทางขององคกร หลักการที่ 1 การกำกับดูแลและ วัฒนธรรมองคการ มี 5 องคประกอบสำคัญ 1. กำหนดกิจกรรมบริหารความ เสี่ยงในภาพองครวม 2. กำหนดโครงสรŒางการปฏิบัติ งานใหŒสนับสนุนกลยุทธและ วัตถุประสงคขององคกร 3. ออกแบบและกำหนดวัฒนธรรม องคการที่องคกรตŒองการ 4. แสดงความยึดมั�นและมุ‹งมั�นต‹อ ค‹านิยมหลัก 5. สรŒางระบบจูงใจ ใหŒผลประโยชน เพ�่อพัฒนา รักษาบุคลากรที่มี ศักยภาพไวŒกับองคกร หลักการแรก ระบุใหŒคณะกรรมการ และฝ†ายบริหารจะตŒองมีความมุ‹งมั�น ในค‹านิยมหลักขององคกร มีส‹วนร‹วม อย‹างใกลŒชิด ในการกำกับดูแลที่ดี ในการควบคุมการบริหารความเสี่ยง ในภาพองครวมที่ดี รวมถึง การสนับสนุน การสรŒางโครงสรŒาง การดำเนินงาน การสรŒางวัฒนธรรม องคการที่องคกรตŒองการ และ การสรŒางระบบจูงใจ การพัฒนา และธำรงบุคลากรที่มีศักยภาพ Strategy Development การกำหนดกลยุทธใหŒเหมาะสมสอดคลŒองกับวัตถุประสงคขององคกร สอดคลŒองกับพันธกิจ และวิสัยทัศน และสอดคลŒองกับค‹านิยมหลักขององคกร องคกรสามารถระบุประเภท และระดับความเสี่ยงที่อาจเกิดขึ้นเมื่อเลือกการดำเนินกลยุทธต‹าง ๆ โดยที่องคกรสามารถเผชิญความเสี่ยง สรŒางโอกาสไดŒและสามารถเพ��มคุณค‹าใหŒกับองคกรไดŒ หลักการที่ 2 กลยุทธและการ กำหนดวัตถุประสงคขององคกร มี 4 องคประกอบสำคัญ 1. วิเคราะหบริบทของธุรกิจ 2. ระบุระดับความเสี่ยงที่ยอมรับไดŒ 3. ประเมินกลยุทธจากทางเลือก กลยุทธ 4. กำหนดวัตถุประสงคทางธุรกิจ หลักการที่สอง กำหนดใหŒองคกร วิเคราะหบริบทของธุรกิจ โดยพ�จารณา จากสภาพธุรกิจ ผูŒมีส‹วนไดŒเสียทั�ง ภายในและภายนอกองคกรธุรกิจ โดยฝ†ายบริหารจะตŒองพ�จารณาบริบท โดยรวมร‹วมกับความเสี่ยงทางธุรกิจ ในระดับที่องคกรรับไดŒ เพ�่อนำมา กำหนดทางเลือกกลยุทธและประเมิน เลือกกลยุทธ เพ�่อกำหนดวัตถุประสงค ทางธุรกิจใหŒสอดคลŒอง Business Objective Formulation การกำหนดการจัดการความเสี่ยงใหŒสอดคลŒองกับวัตถุประสงค ทางธุรกิจ และระดับความสำคัญของความเสี่ยงที่สอดคลŒองกับบริบทของธุรกิจ หลักการที่ 3 ผลการดำเนินงาน มี 5 องคประกอบสำคัญ 1. ระบุความเสี่ยง 2. ประเมินความรุนแรงของ ความเสี่ยง 3. จัดลำดับความสำคัญของ ความเสี่ยง 4. กำหนดแนวทางตอบสนอง ความเสี่ยง 5. พัฒนากรอบการจัดการ ความเสี่ยงในภาพรวม หลักการที่สาม กำหนดใหŒองคกรระบุ ความเสี่ยงที่อาจเกิดขึ้นไดŒตามบริบท ของธุรกิจ ประเมินระดับความรุนแรง ของความเสี่ยงเพ�่อนำมาจัดลำดับ ความเสี่ยง นำไปสู‹แนวทางการจัดการ ความเสี่ยงตามลำดับความสำคัญ และ จัดทำการบริหารความเสี่ยงในภาพรวม หลักการที่ 4 การทบทวนและ ปรับปรุงแกŒไข มี 3 องคประกอบ สำคัญ 1. ประเมินการเปลี่ยนแปลง ที่สำคัญ 2. ทบทวนความเสี่ยงและผล การดำเนินงาน 3. ปรับปรุงการบริหารความเสี่ยง ทั�วทั�งองคกรอย‹างต‹อเนื่อง หลักการที่สี่ กำหนดใหŒองคกรควรมี การประเมินการเปลี่ยนแปลงพรŒอม ทบทวนความเสี่ยงที่สำคัญ ซึ่งอาจส‹ง ผลกระทบต‹อการดำเนินงาน และมุ‹งมั�น ในการปรับปรุงแนวทางการบริหาร ความเสี่ยงทั�วทั�งองคกรอย‹างต‹อเนื่อง Implementation & Performance การนำการบริหารความเสี่ยงสู‹การปฏิบัติและผลการดำเนินงาน Enhanced Value ผลการดำเนินงานที่ดีขึ้น เกี่ยวขŒองกับปฏิบัติงาน การกำหนดกลยุทธ การเชื่อมโยง การจัดการความเสี่ยงที่สอดคลŒองกับบริบทและความเสี่ยงทางธุรกิจ ผลการดำเนินงานที่ดีขึ้นจะสรŒาง คุณค‹าใหŒกับองคกรเพ��มขึ้น หลักการที่ 5 สารสนเทศ การสื่อสารและการรายงาน มี 3 องคประกอบสำคัญ 1. สนับสนุนการนำเทคโนโลยี สารสนเทศมาใชŒ 2. สื่อสารขŒอมูลความเสี่ยง 3. รายงานความเสี่ยง วัฒนธรรม และผลการดำเนินงาน หลักการที่หŒา กำหนดใหŒองคกร สนับสนุนการนำเทคโนโลยีมาใชŒอย‹าง เหมาะสมเพ�ยงพอทันเวลา รวมถึง การสื่อสารขŒอมูลความเสี่ยงแบบ สองทางใหŒทั�วถึงบุคลากรทุกระดับ ในองคกร และจัดทำรายงานความเสี่ยง วัฒนธรรมองคกร และผลการดำเนินงาน 76 77

การเรียนรู้: การพัฒนาแนวคิด พัฒนาบุคคล เพื่อพัฒนาการควบคุมภายใน และการบริหารความเสี่ยง 6 การพัฒนาแนวทางการบริหารความเสี่ยงตามมาตรฐาน COSO IC & COSO ERM COSO ERM 2004 COSO IC 2013 COSO IC 2013 COSO ERM 2017 78

สาระสำาคัญของเนื้อหาในบทนี้ การพัฒนาตัวบุคคล RUMA: Risk and Uncertainty Management Assessment ตัวอย่างของสถานการณ์สมมติ โดยจัดทำาแบบสอบถามขึ้นตามเหตุการณ์จำาลองนี้ การนำา RUMA มาปรับใช้จริง ความเข้าใจถึงอุปสรรค ซึ่งจะส่งผลต่อการพัฒนา การขาดความเข้าใจและความมั่นใจ ความกดดันจากความไม่แน่นอน การติดขัดเนื่องจากข้อจำากัดในการทำางาน ผู้ตรวจสอบ และกฎระเบียบ การยึดติดกับระบบหรือเทคนิคที่ไม่สมบูรณ์ แนวคิดใหม่ที่ไม่ก่อให้เกิดประโยชน์ “...RUMA คือเครื่องมือที่ถูกสร้างขึ้นมาเพื่อทำาความเข้าใจวิธีการคิด และพฤติกรรม ของบุคลากรที่เราสนใจ ว่ามีแนวโน้มที่จะตอบสนองต่อความไม่แน่นอนอย่างไร โดยจะอยู่ในรูป แบบของแบบสอบถาม ที่ประกอบไปด้วยเหตุการณ์สมมติหลากหลายเหตุการณ์ และการกระทำา ต่างๆที่เป็นทางเลือก ว่าบุคลากรดังกล่าวเห็นด้วยที่จะตอบสนองเหตุการณ์สมมติดังกล่าวด้วย การกระทำาใด มากหรือน้อยแค่ไหน...” “...มีน้อยครั้งมากที่การควบคุมความเสี่ยงจะถูกจัดทำาขึ้นโดยผู้ที่มีความรู้ความสามารถ และไม่ได้ถูกจำากัดด้วยข้อจำากัดบางอย่างขององค์กร บ่อยครั้งที่ผู้บริหารที่ต้องการนำาการควบคุม ความเสี่ยงระบบใหม่ๆมาปรับใช้ แต่ติดอุปสรรคของกฎระเบียบ ข้อบังคับต่างๆที่มีอยู่ รวมไปถึง ความเคยชินในระบบเก่าของบุคลากร หรือความวุ่นวายในการหาข้อตกลงร่วมกัน...” การพัฒนาตัวบุคคล ในขณะที่คนส่วนใหญ่มองเรื่องการควบคุมความเสี่ยงว่าเป็นเรื่องขององค์กร ระบบ และ กระบวนการทำางาน เราจะมามองการควบคุมความเสี่ยงในมุมมองใหม่บ้าง ว่าการควบคุมความ เสี่ยงเป็นความสามารถส่วนบุคคล ที่สามารถฝึกฝนและพัฒนาขึ้นได้ ในบางสถานการณ์ เราอาจจะคิดว่าการที่ผู้บริหารมีทักษะบางอย่างจะเป็นประโยชน์ ต่อการควบคุมความเสี่ยง เช่น การประเมินความน่าจะเป็น หรือจิตวิทยาของผู้ปฏิบัติงาน แต่ หากเรามองให้ลึกลงไปอีก ทักษะที่จะมีประโยชน์ต่อหลากหลายสถานการณ์ และหลากหลาย ตำาแหน่งงาน ก็คือทักษะในการตอบสนองต่อความไม่แน่นอนที่พบในการทำางาน ซึ่งจะเป็นหัวข้อ หลักของบทนี้ เมื่อเราลองมองกลับมาที่ตัวบุคลากรที่เราต้องทำางานด้วยเป็นประจำา เราจะเห็นว่า แต่ละคนมีความสามารถ หรือพฤติกรรมต่อความไม่แน่นอนแตกต่างกันออกไป รวมไปถึงความ เชื่อ หรือความชอบส่วนบุคคลที่จะส่งผลกระทบต่อวิธีการทำางาน ปัจจัยดังกล่าวทั้งหมดนั้น จำาเป็นที่จะต้องได้รับการสอดส่องดูแล หรือแก้ไขก่อนที่จะเกิดเหตุอันไม่พึงประสงค์ RUMA: Risk and Uncertainty Management Assessment RUMA คือเครื่องมือที่ถูกสร้างขึ้นมาเพื่อทำาความเข้าใจวิธีการคิด และพฤติกรรมของ บุคลากรที่เราสนใจ ว่ามีแนวโน้มที่จะตอบสนองต่อความไม่แน่นอนอย่างไร โดยจะอยู่ในรูปแบบ ของแบบสอบถาม ที่ประกอบไปด้วยเหตุการณ์สมมติหลากหลายเหตุการณ์ และการกระทำาต่างๆที่ เป็นทางเลือก ว่าบุคลากรดังกล่าวเห็นด้วยที่จะตอบสนองเหตุการณ์สมมติดังกล่าวด้วยการกระทำาใด มากหรือน้อยแค่ไหน จุดสำาคัญคือ บุคลากรแค่ละคนจะต้องตอบแบบสอบถามด้วยตนเอง ไม่มีการปรึกษากัน เป็นกลุ่ม ตัวอย่างของสถานการณ์สมมติ โดยจัดทำาแบบสอบถามขึ้นตามเหตุการณ์จำาลองนี้ เหตุการณ์สมมติ: โครงการสิ่งปลูกสร้าง สมมติว่าเราเป็นข้าราชการระดับสูง ที่มีหน้าที่รับผิดชอบโครงการการสร้างสิ่งปลูกสร้าง ขนาดใหญ่แห่งหนึ่ง โดยอยู่ในการควบคุมดูแลของรัฐมนตรีท่านหนึ่ง อย่างไรก็ตาม โดยปกติแล้ว รัฐมนตรีท่านนี้มักจะไม่ได้มีส่วนร่วมต่อการบริหารจัดการโครงการเท่าไรนัก แต่จะมีบทบาทใน การพบปะกับสื่อมวลชนมากกว่า ในสถานการณ์จำาลองนี้ โครงการดังกล่าวสามารถดำาเนินการได้ตามกำาหนดการที่วาง ไว้ แต่เราได้รับทราบถึงปัญหาในส่วนของโคมไฟระย้าที่จะติดตั้งในห้องประชุมใหญ่ ว่าผู้รับเหมา โคมระย้ากำาลังมีปัญหาทางเทคนิคในการออกแบบโคมระย้าดังกล่าว ซึ่งทำาให้เกิดข้อขัดแย้ง ระหว่างผู้รับเหมา สถาปนิก และผู้ควบคุมงานก่อสร้าง ทั้งสามฝ่ายเริ่มมีการส่งอีเมล์ที่มีเนื้อหา รุนแรงและขัดแย้งหากันและกัน เราจึงถูกนำาตัวเข้ามาตัดสินข้อขัดแย้งในฐานะคนกลาง อย่างไร ก็ตาม เรายังไม่ทราบถึงข้อเท็จจริงทุกอย่าง และจากการประเมิน เราคิดว่าทีมงานยังมีเวลามาก พอที่จะแก้ปัญหาตรงหน้า แลำาดำาเนินการสร้างได้เสร็จตามกำาหนดเดิม บทที่ 6 การเรียนรู้:การพัฒนาแนวคิด พัฒนาบุคคล เพื่อพัฒนาการควบคุมภายในและการบริหารความเสี่ยง 80 81

ข้อคำาถามถึงแนวปฏิบัติ ตามสถานการณ์นี้ เราควรจะทำาข้อใดข้อหนึ่งข้างล่างนี้ หรือ ไม่ทำาข้อใดข้อหนึ่งเลย ตามทางเลือกนี้... 1. ยังไม่แจ้งอะไรให้รัฐมนตรีทราบ เรายังมีเวลาเหลือมากพอที่จะแก้ปัญหาและก่อสร้าง ให้เสร็จได้ตามกำาหนดการเดิม 2. ไปเยี่ยมบริษัทผู้รับเหมาโคมระย้าด้วยตนเอง เพื่อหารือถึงรายละเอียดของปัญหา ทางเทคนิคที่เกิดขึ้น 3. เข้าปรึกษารัฐมนตรีทันที เพื่อเล่าให้ฟังถึงปัญหาที่เกิดขึ้น และผลกระทบต่างๆที่ อาจเกิดขึ้นตามมา โดยเฉพาะกรณีที่เลวร้ายที่สุดที่สามารถเกิดขึ้นได้ 4. ยังไม่แจ้งอะไรให้กับรัฐมนตรี จนกว่าเราจะพูดคุยหารายละเอียดของข้อขัดแย้ง และ หาวิธีแก้ปัญหาอย่างเป็นรูปธรรม หลังจากนั้น เราจึงค่อยแจ้งรายละเอียดทั้งหมดให้กับรัฐมนตรี หากเราต้องการความช่วยเหลือในการลงมือแก้ปัญหาด้วยวิธีดังกล่าว 5. แจ้งรายละเอียดทุกอย่างที่เราทราบให้กับรัฐมนตรี ครอบคลุมไปถึงความไม่แน่นอน และความเสี่ยงที่เกิดขึ้น และขั้นตอนการจัดการและสอบสวนที่เราจะทำาต่อไป รวมถึงสิ่งที่อาจ จะต้องขอความช่วยเหลือจากรัฐมนตรีในอนาคต นี่เป็นปัญหา “เราต้องบอกเรื่องนี้กับหัวหน้าหรือเปล่า?” ที่เกิดขึ้นอยู่ตลอดเวลาไม่ว่า กับตำาแหน่งงานใด คนบางส่วนชอบที่จะพยายามแก้ปัญหาตรงหน้าด้วยตนเองก่อน เพื่อหลีก เลี่ยงการให้ข่าวร้ายกับผู้บังคับบัญชา กลายเป็นว่าบุคลากรดังกล่าวกำาลังนำาตัวเองเข้าไปสู่ความ เสี่ยงที่จะโดนผู้บังคับบัญหาจับได้ในภายหลัง ซึ่งเราจะพบว่าเป็นการสร้างความเสี่ยงให้กับการ ทำางานภายในองค์กรอย่างไม่จำาเป็น นอกจากนี้ ผลจากการศึกษาด้วย RUMA ทำาให้เราพบว่า • ตัวเลือกที่คนส่วนมากเห็นด้วย มักจะเป็นตัวเลือกที่โปร่งใส ซื่อสัตย์ และเป็นเหตุเป็นผล • อย่างไรก็ตาม พฤติกรรมที่เกิดขึ้นจริงนั้นอาจจะไม่ได้สอดคล้องกับผลสำารวจ • มักจะมีคนกลุ่มเล็กๆ ที่เห็นด้วยกับตัวเลือกที่มีความเสี่ยงแอบแฝงอยู่• มักจะมีคนกลุ่มเล็กๆ ที่เห็นด้วยกับตัวเลือกที่คนส่วนใหญ่มองว่าแย่• อย่างไรก็ตาม ในกรณีดังกล่าว ระดับความมั่นใจในคำาตอบมักจะอยู่ในระดับต่ำา• ในภาพรวม คำาตอบของแต่ละคนมักจะมีความแตกต่างและหลากหลายมาก• ในบางครั้ง คำาตอบจากหลายๆกรณีสมมติที่มีความคล้ายคลึงกัน จากบุคลากรคน เดียวกัน อาจไม่สอดคล้องกันได้ ซึ่งอาจเกิดขึ้นจากความไม่มั่นใจในคำาตอบ หรือความเชื่อส่วน บุคคลที่เกี่ยวข้องกับแต่ละกรณี ในตารางถัดมา เราจะลองมาวิเคราะห์ตัวอย่างผลสำารวจจากกรณีศึกษาข้างต้น จาก กลุ่มตัวอย่าง 141 คน • ตัวเลือกที่มีผู้เห็นด้วยมากที่สุด คือการแจ้งรายละเอียดทุกอย่างให้กับผู้บังคับบัญชา ทราบตั้งแต่แรก• ตัวเลือกที่มีผู้ไม่เห็นด้วยมากที่สุด คือการไม่แจ้งอะไรกับผู้บังคับบัญชาเลยสอดคล้อง กับแนวคิดที่ว่าคนส่วนใหญ่มักจะสนับสนุนตัวเลือกที่โปร่งใส ซื่อสัตย์ และเป็นเหตุเป็นผล• อย่างไรก็ตาม มีคนถึง 10% ที่เห็นด้วยกับการที่จะไม่แจ้งอะไรกับผู้บังคับบัญชาเลย ไม‹แจŒงอะไรเลย 40% 38% 12% 7% 3% ศึกษาป˜ญหาดŒวยตนเอง 1% 4% 15% 47% 33% แจŒงกรณีที่เลวรŒายที่สุด 17% 36% 21% 20% 6% พยายามหาทาง 4% 16% 12% 45% 23% แกŒป˜ญหา แลŒวจึงแจŒง แจŒงทุกอย‹าง 1% 3% 8% 38% 50% ไม‹เห็นดŒวย อย‹างมาก ไม‹เห็นดŒวย เฉยๆ เห็นดŒวย เห็นดŒวย อย‹างมาก 82 83

• และคนกว่า 68% เห็นด้วยที่จะพยายามแก้ปัญหาด้วยตนเองก่อนที่จะแจ้งผู้บังคับ บัญชา ซึ่งเป็นตัวเลือกที่มีความเสี่ยงแอบแฝงอยู่ เหตุผลที่พบได้บ่อยอาจเป็น - ผู้บังคับบัญชาอยากฟังวิธีแก้ปัญหา ไม่ใช่แค่แจ้งปัญหาเฉยๆ - เราอาจจะโดนผู้บังคับบัญชาแทรกแซงก่อนที่เราจะลงมือแก้ปัญหาได้ - วิธีการรับมือที่ถูกต้องคือเราต้องพยายามแก้ปัญหาด้วยตนเองก่อน หากผ่านไป สักระยะแล้วเรายังแก้ไม่ได้ เราจึงค่อยแจ้งให้ผู้บังคับบัญชาทราบ • ซึ่งเป็นแนวคิดที่อันตรายทั้งสิ้น สิ่งที่ผู้บังคับบัญชาต้องการมากที่สุดคือข้อมูลที่ มีความสำาคัญต่อการดำาเนินงาน การแจ้งให้ทราบไม่จำาเป็นต้องมาพร้อมกับการลงมือทำาของผู้ บังคับบัญชา• การพยายามลงมือแก้ปัญหาด้วยตัวเองสักระยะก่อน เป็นกับดักทางจิตวิทยาแบบ หนึ่ง เพราะหากเราใช้เวลา 2-3 วันแล้วแก้ปัญหาไม่ได้ จะยิ่งทำาให้การแจ้งปัญหาเรื่องนี้ให้กับผู้ บังคับบัญชายิ่งเป็นไปได้ยากขึ้นอีก สุดท้ายอาจทำาให้ยิ่งกลายเป็นปัญหาบานปลาย การนำา RUMA มาปรับใช้จริง ผลของแบบสำารวจ นอกจากจะสามารถนำามาใช้เป็นตัวชี้วัดระดับทักษะในการควบคุม ความเสี่ยงของบุคลากรในองค์กรได้แล้ว เรายังสามารถนำามาปรับใช้กับการจัดการฝึกทักษะการ ควบคุมความเสี่ยงให้กับบุคลากรได้ โดยอาจจัดการพูดคุยถึงผลกระทบที่อาจะเกิดขึ้นตามมา กับตัวเลือกต่างๆในสถานการณ์สมมติ หรือเหตุผลที่ควรหรือไม่ควรนำาตัวเลือกต่างๆมาใช้ในการ ปฏิบัติงานจริง นอกจากนี้ เรายังอาจมองหาบุคลากรที่มีความเหมาะสมในการรับผิดชอบตำาแหน่งที่ เกี่ยวข้องกับความเสี่ยงจากผลของแบบสำารวจได้ ความเข้าใจถึงอุปสรรค ซึ่งจะส่งผลต่อการพัฒนา ในเนื้อหาส่วนที่ผ่านมาทั้งหมด เราได้เห็นถึงความสำาคัญและความได้เปรียบที่เราจะได้ จากการสร้างการควบคุมความเสี่ยงขององค์กรที่มีประสิทธิภาพแล้ว อย่างไรก็ตาม ในความเป็น จริงแล้วเรามีอุปสรรคอยู่มากมายในการที่จะนำาพาองค์กรของเราเข้าไปอยู่ในจุดนั้น อุปสรรคดัง กล่าวนั้นมีทั้งสิ่งที่ยากและง่ายในการจัดการปะปนกันไป ดังนั้น ในเนื้อหาส่วนนี้เราจะพยายาม วิเคราะห์อุปสรรคที่ทั้งมีความยุ่งยากในการจัดการ และมักจะพบเห็นได้ง่ายในองค์กรทั่วไป การขาดความเข้าใจและความมั่นใจ ยิ่งบุคลากรมีความเข้าใจการควบคุมความเสี่ยงอย่างมีประสิทธิภาพมากเท่าไหร่ พวก เขายิ่งสามารถเล็งเห็นถึงความสำาคัญ และข้อดีของการควบคุมความเสี่ยงมากเท่านั้น ในทาง กลับกัน บุคลากรที่ขาดความรู้ความเข้าใจจะยังมองไม่เห็นข้อดีเหล่านั้น และอาจคิดว่าการ ควบคุมความเสี่ยงเป็นเพียงเรื่องของระบบการทำางานที่ยุ่งยากและชักช้า บุคลากรกลุ่มดังกล่าว จึงไม่มีแรงจูงใจที่จะพยายามเรียนรู้ ทำาความเข้าใจการความคุมความเสี่ยง เป็นอุปสรรคต่อการ พัฒนาบุคลากร เราอาจใช้วิธีการเหล่านี้ในการเผชิญกับอุปสรรคดังกล่าว • นำากรณีศึกษาขององค์กรที่ประสบความสำาเร็จในการนำาการควบคุมความเสี่ยง มาปรับใช้ มาเล่าให้บุคลากรได้รับทราบถึงข้อดี ผลกระทบด้านบวก และความสำาคัญของการ ควบคุมความเสี่ยง • สนับสนุนให้เกิดการวัดผล และรายงานมูลค่าที่เกิดขึ้นจากการควบคุมความเสี่ยง ใช้ทุกโอกาสที่มีเพื่อชี้ให้บุคลากรเห็นถึงมูลค่าที่เกิดขึ้นภายในองค์กร และวิธีการปฏิบัติงานที่ก่อ ให้เกิดมูลค่าดังกล่าว • สนับสนุนบุคลากรที่มีทักษะการควบคุมความเสี่ยง ยิ่งบุคลากรเห็นว่าผู้บริหารให้ ความสำาคัญกับความเห็นที่สอดคล้องกับการควบคุมความเสี่ยงมากแค่ไหน พวกเขายิ่งมีแรง บันดาลใจในการเรียนรู้และทำาความเข้าใจ เพื่อที่จะสามารถมีส่วนช่วยแสดงความคิดเห็นใน อนาคตได้มากขึ้น ความกดดันจากความไม่แน่นอน บ่อยครั้ง การตัดสินใจเปลี่ยนแปลงอะไรบางอย่างในองค์กรจะเกิดขึ้นได้ยาก หาก บุคลากรมีความกลัวความไม่แน่นอนที่จะเกิดขึ้นในอนาคต ยกตัวอย่างเช่น หากผู้บริหารระดับสูงกำาลังพยายามริเริ่มโครงการใหญ่มาได้สักระยะ หนึ่งแล้ว การนำา framework ควบคุมความเสี่ยงใหม่เข้ามาปรับใช้ อาจเป็นอุปสรรคต่อโครงการ ใหม่นี้ได้ ยกตัวอย่างเช่น framework ใหม่อาจจะทำาให้องค์กรต้องประเมินถึงความเสี่ยงของ โครงการก่อนที่จะลงมือทำา ซึ่งอาจส่งผลให้ต้องยกเลิกโครงการ หรือทำาให้โครงการมีความล่าช้า ผู้บริหารระดับสูงดังกล่าวจึงอาจจะไม่พึงพอใจกับความไม่แน่นอนที่เกิดขึ้นใหม่นี้ เป็นอุปสรรค ต่อการนำาการควบคุมความเสี่ยงมาปรับใช้กับองค์กร 84 85

เราอาจใช้วิธีการเหล่านี้ในการเผชิญกับอุปสรรคดังกล่าว • พยายามหลีกเลี่ยงการเข้าไปยุ่งเกี่ยวกับการเมืองภายในเดิม โดยอาจทำาได้โดยหา จังหวะเวลาที่ไม่มีใครกำาลังพยายามทำาอะไรใหม่ๆ ที่อาจขัดแย้งกับการควบคุมความเสี่ยง หรือ ทำาการประกาศล่วงหน้าก่อนนานๆ เพื่อให้บุคลากรมีเวลาปรับตัว หรือเลือกที่จะทำาการควบคุม ความเสี่ยงกับโครงการใหม่เท่านั้น • เลือกปะทะกับความขัดแย้งตรงๆ ในบางครั้งเราก็ต้องทำาการสะสางสิ่งสกปรกที่ ถูกซุกไว้ใต้พรมอย่างที่ไม่มีใครอยากทำา หากการกระทำาดังกล่าวจะทำาให้โครงการสำาเร็จลุล่วงไป ได้ด้วยดี• เลือกควบคุมความเสี่ยงในส่วนที่สามารถโกหกได้ยาก ซึ่งอาจเป็นเพราะผลงานที่ ออกมาจะแสดงให้เห็นอย่างชัดเจนว่าได้ผ่านการควบคุมความเสี่ยงมาแล้วหรือไม่ หรือบุคลากร จำาเป็นที่จะต้องดำาเนินการบางอย่างที่เป็นผลดีต่อการควบคุมความเสี่ยง อย่างหลีกเลี่ยงไม่ได้ อย่างไรก็ตาม การควบคุมความเสี่ยงแบบไหนที่โกหกได้ยาก เป็นหัวข้อที่ใหม่และยังจำาเป็นจะ ต้องศึกษาอีกมาก การติดขัดเนื่องจากข้อจำากัดในการทำางาน มีน้อยครั้งมากที่การควบคุมความเสี่ยงจะถูกจัดทำาขึ้นโดยผู้ที่มีความรู้ความสามารถ และไม่ได้ถูกจำากัดด้วยข้อจำากัดบางอย่างขององค์กร บ่อยครั้งที่ผู้บริหารที่ต้องการนำาการ ควบคุมความเสี่ยงระบบใหม่ๆมาปรับใช้ แต่ติดอุปสรรคของกฎระเบียบ ข้อบังคับต่างๆที่มีอยู่ รวมไปถึงความเคยชินในระบบเก่าของบุคลากร หรือความวุ่นวายในการหาข้อตกลงร่วมกัน ระหว่างสาขาย่อยให้หลากหลายประเทศ ปัจจัยลบต่างๆดังกล่าว ส่งผลว่า มีเหตุการณ์บ่อยครั้งที่ทำาให้เราต้องเลือกระหว่างการ ควบคุมความเสี่ยงที่ไม่สมบูรณ์ กับการไม่มีการควบคุมความเสี่ยงเลย เป็นอุปสรรคต่อการนำา การควบคุมความเสี่ยงมาปรับใช้กับองค์กร จากการศึกษาเราพบว่า เราสามารถพยายามแก้ปัญหาดังกล่าวเพิ่มเติมด้วยหลายๆวิธี เช่น การพยายามปรับแนวคิดของบุคลากรจากด้านบนลงมา หรือการเริ่มจากคนกลุ่มเล็กๆที่ใกล้ ตัวก่อน แล้วจึงค่อยๆขยายผลออกไปในวงกว้าง อีกกลยุทธ์หนึ่งที่เราสามารถทำาได้ คือการวางภาพใหญ่ของแผนที่เราต้องการลงมือ ทำาไว้ก่อน แล้วจึงรอให้องค์กรมีการริเริ่มทำาโครงการใหม่ๆ ที่สอดคล้องกับบางส่วนของแผนการ ใหญ่ที่เราวางไว้ ซึ่งบางครั้งเราอาจต้องรอให้ปัญหาที่ชัดเจนมากๆเกิดขึ้นก่อน เพื่อที่จะเป็น จังหวะที่ดีที่จะเสนอโครงการใหม่มาแก้ปัญหานั้นๆ ผู้ตรวจสอบ และกฎระเบียบ ผู้ตรวจสอบ หรือ Auditor เป็นกลุ่มคนที่มีความสามารถ และทำางานอย่างหนักเพื่อ สร้างประโยชน์ให้กับองค์กร อย่างไรก็ตาม ผู้ตรวจสอบส่วนใหญ่ยังไม่รู้ตัวว่าพวกเขาสามารถนำา ทักษะที่มีมาสร้างประโยชน์ให้กับองค์กรได้มากขึ้นอีก จากการเข้ามามีส่วนร่วมในการควบคุม ความเสี่ยง การตรวจสอบเป็นสิ่งที่จำาเป็นต่อองค์กรใดๆ แต่การรายงานปัญหาซ้ำาๆไม่ได้ทำาให้ ปัญหานั้นๆหายไป ผู้ตรวจสอบที่มีความรู้ความเข้าใจในการตรวจสอบความเสี่ยงสามารถเข้ามา มีส่วนร่วมออกแบบระบบการควบคุมความเสี่ยงให้ดีขึ้นได้ การยึดติดกับระบบหรือเทคนิคที่ไม่สมบูรณ์ การนำาระบบควบคุมความเสี่ยงใหม่ๆมาปรับใช้เป็นอะไรที่ยากกว่าคนทั่วไปคิด เพราะ เราจำาเป็นต้องทดลองและปรับปรุงระบบ จนกว่าระบบจะเข้าที่และสอดคล้องกับการทำางาน ขององค์กร ในบางครั้งความคิดสร้างสรรค์ในการสร้างนวัตกรรมใหม่ๆก็เป็นส่วนสำาคัญของการ สร้างระบบควบคุมความเสี่ยงที่ประสบความสำาเร็จ อย่างไรก็ตาม ผู้ร่างข้อเสนอระบบใหม่มีแนวโน้มที่จะแสดงออกถึงความมั่นใจในระบบ มากกว่าความเป็นจริง ซึ่งเป็นเรื่องปกติ ไม่เว้นแม้แต่การเสนอระบบควบคุมความเสี่ยงใหม่ ซึ่ง อาจเป็นเหตุให้ผู้ที่นำาไปใช้มีความมั่นใจต่อระบบควบคุมความเสี่ยงใหม่มากเกินไป และหลีกเลี่ยง การปรับปรุงพัฒนา และทดลองเพื่อหานวัตกรรมใหม่ที่จะทำาให้ระบบมีความสมบูรณ์มากขึ้น 86 87

แนวคิดใหม่ที่ไม่ก่อให้เกิดประโยชน์ ในบางครั้ง อุปสรรคบางเรื่องก็เป็นอะไรที่ง่ายต่อการแก้ปัญหา ยกตัวอย่างเช่น การ ขาดความรู้ความเขี่ยวชาญในทักษะที่เกี่ยวข้อง ความคิดใหม่ๆที่ออกมาจากกลุ่มคนที่มีลักษณะ ดังกล่าว นอกจากจะไม่ก่อให้เกิดประโยชน์แล้ว อาจทำาให้เกิดปัญหาบานปลายตามมาหาก แนวคิดดังกล่าวนั้นได้แพร่กระจายออกไป และถูกนำาไปใช้ในวงกว้าง อาจเป็นอุปสรรคต่อการนำา การควบคุมความเสี่ยงมาปรับใช้กับองค์กร ในลักษณะที่คล้ายคลึงกับหัวข้อ “ติดขัดข้อจำากัดใน การทำางาน” เพราะบุคลากรมีความเชื่อมั่นในแนวคิดผิดๆ โดยเฉพาะอย่างยิ่ง หากแนวคิดนั้นๆ ได้ถูกริเริ่มมาจากผู้บริหารระดับสูง โครงสร้างการบริหาร และการจัดการควบคุม: บทบาทและการมีส่วนร่วมในการ บริหารความเสี่ยง 7 88

สาระสำาคัญของเนื้อหาในบทนี้ บทบาทหน้าที่ที่สำาคัญ และการมีส่วนร่วมกับการควบคุมความเสี่ยง บทบาทของผู้เล่นสำาคัญ ผู้บริหารระดับสูง บอร์ดบริหาร ผู้ตรวจสอบอาวุโส ผู้บริหารระดับต้น ผู้จัดการระบบสารสนเทศ บุคลากรทุกระดับในองค์กร “...ในขณะที่ข้อมูลที่ถูกต้องแม่นยำา เป็นปัจจัยสำาคัญต่อผลการปฏิบัติงานของบอร์ดบริหาร แต่ข้อมูลที่ถูกมานำาเสนอในที่ประชุมอาจจะไม่ได้สมบูรณ์แบบอย่างที่บอร์ดบริหารต้องการ สิ่งที่ พวกเขาต้องทำาคือพยายามหาหลักฐาน หรือผลการปฏิบัติงานที่ชี้ให้เห็นว่าผู้บริหารมีการนำาปัจจัย เสี่ยง และความไม่แน่นอนในอนาคตมาประกอบการตัดสินใจ...” บทบาทหน้าที่ที่สำาคัญ และการมีส่วนร่วมกับการควบคุมความเสี่ยง ในความเป็นจริง ไม่ใช่ทุกคนในองค์กรที่จะให้ความสนใจกับการควบคุมความเสี่ยง อย่างไรก็ตาม คนบางกลุ่มที่เล็งเห็นความสำาคัญของการควบคุมความเสี่ยงจะได้ประโยชน์อย่าง มากในเนื้อหาส่วนต่อไปนี้ ซึ่งจะทำาการไล่เรียงบทบาทหน้าที่ที่สำาคัญในองค์กร ที่จะสามารถผลัก ดันให้การควบคุมความเสี่ยงที่ดีเกิดขึ้นในองค์กรได้ รวมไปถึงสิ่งที่ต้องทำา สิ่งที่ต้องระมัดระวัง และสิ่งที่ต้องให้ความสำาคัญ บทบาทของผู้เล่นสำาคัญ เราจะพุ่งเป้าไปยังบทบาทที่ส่งผลกระทบสำาคัญต่อการควบคุมความเสี่ยงดังต่อไปนี้ 1. ผู้บริหารระดับสูง และ บอร์ดบริหาร ที่มีหน้าที่ในการให้คำาปรึกษา ให้แนวทาง การปฏิบัติงานที่เหมาะสมกับสถาณการณ์ข้างหน้า 2. ผู้บริหารความเสี่ยง องค์กรทั่วๆไปจำาเป็นที่จะต้องมีผู้เชี่ยวชาญในการจัดการกับปัญหา เฉพาะทางที่เกี่ยวข้องกับกฎระเบียบ หรือความเสี่ยงบางอย่าง เช่น การรักษาความปลอดภัย การฟอกเงิน หรือความต่อเนื่องทางธุรกิจ ซึ่งสามารถนับรวมเป็นผู้จัดการการควบคุมความเสี่ยงได้ ทั้งสิ้น 3. ผู้ตรวจสอบอาวุโส ซึ่งมีความแตกต่างจากผู้จัดการหลักๆคือ พวกเขามีหน้าที่ใน การตรวจสอบระบบการทำางาน และรายงานผลการตรวจสอบเท่านั้น และไม่ได้มีหน้าที่ในการ สร้างการปรับปรุง 4. ผู้บริหารระดับต้น ซึ่งมีหน้าที่รับผิดชอบการปฏิบัติงานจริงโดยส่วนใหญ่ 5. ผู้จัดการระบบสารสนเทศ เป็นส่วนสำาคัญของแทบทุกองค์กรในปัจจุบัน ที่จำาเป็น ต้องนำาเทคโนโลยีสารสนเทศเข้ามาเป็นส่วนหนึ่งของการปฏิบัติงาน 6. บุคลากรทุกระดับในองค์กร ซึ่งแท้จริงแล้วเป็นส่วนที่สำาคัญที่สุดในการควบคุม ความเสี่ยง เพราะคนกลุ่มนี้เป็นคนส่วนใหญ่ภายในองค์กร เพียงแต่พวกเขาอาจจะไม่ได้มีส่วนร่วม ในการคิดตัดสินใจอย่างบทบาทอื่นๆข้างต้น ผู้บริหารระดับสูง พวกเขาเป็นกลุ่มคนที่มีคนต้องการตัวอยู่ตลอดเวลา มักจะทำางานจนเลยเวลา และ มีโครงการในการควบคุมดูแลจำานวนมากอยู่ไม่ขาด ปัญหาที่พวกเขามักจะต้องเผชิญคือแทบ ทุกคนในองค์กรอยากให้พวกเขาเข้ามามีส่วนร่วม ให้คำาปรึกษา และสนับสนุนโครงการต่างๆที่ ตนเองทำาอยู่ ด้วยความเชื่อที่ว่าความรู้ความสามารถของพวกเขาจะสามารถสร้างความแตกต่าง และผลัดกันให้โครงการดังกล่าวประสบผลสำาเร็จลุล่วงไปได้ด้วยดี อย่างไรก็ตาม ความเป็นจริงแล้วผู้บริหารไม่ได้มีเวลาเพียงพอที่จะให้ความสำาคัญกับ ทุกๆเรื่องที่เกิดขึ้นภายในองค์กร บ่อยครั้งที่การมอบหมายงานจำาเป็นที่จะต้องเกิดขึ้น และผู้ บริหารอาจไม่สามารถทำาอะไรได้มากกว่าการเซ็นเอกสาร และให้กำาลังใจบุคลากรที่มีหน้าที่รับ ผิดชอบโครงการเหล่านั้น บทที่ 7 โครงสร้างการบริหารและการจัดการควบคุม: บทบาทและการมีส่วนร่วมในการบริหารความเสี่ยง 90 91

สิ่งที่ผู้บริหารระดับสูงสามารถทำาได้ เพื่อเพิ่มคุณภาพของการควบคุมความเสี่ยงนั้นอาจเป็น 1. กระตุ้นให้ผู้จัดการความเสี่ยงพุ่งเป้าไปที่คุณค่าทางธุรกิจของโครงการ ซึ่งมักจะ ถูกตีความออกเป็นมูลค่าหรือตัวเงิน ซึ่งต้องมาพร้อมกับการปฏิบัติตามกฎข้อบังคับที่เกี่ยวข้อง แต่นอกจากนั้นแล้ว คุณค่าต้องมาก่อนเสมอ 2. กระตุ้นให้โครงการใหม่ๆทุกโครงการ จำาเป็นต้องแสดงถึงที่มาและความสำาคัญทาง ธุรกิจก่อนที่จะได้รับการอนุมัติ โดยตีออกมาเป็นตัวเลข หรือเม็ดเงินให้แม่นยำาที่สุดเท่าที่จะทำาได้ 3. กระตุ้นให้มีการประเมินมูลค่าของต้นทุน และประโยชน์ของโครงการที่เกี่ยวข้องกับ ความเสี่ยงทุกโครงการ 4. กระตุ้นให้นำาหลักตรรกะและคณิตศาสตร์ที่เหมาะสมมาใช้ในการประเมินความ เสี่ยงและผลลัพธ์ของโครงการ ไม่ใช่เพียงความคิดเห็นหรือการประเมินจากผู้ปฏิบัติงาน 5. กระตุ้นให้มีการลงทุนกับการพัฒนาบุคลากรที่มีความเกี่ยวข้องกับความเสี่ยงเพิ่ม มากขึ้น และพยายามควบคุมหรือลดต้นทุนที่เกี่ยวข้องกับการตรวจสอบลง 6. กระตุ้นให้โครงการควบคุมความเสี่ยงทุกโครงการ ต้องมีผลลัพธ์ที่วัดผลได้อย่าง ต่อเนื่อง (เช่น ทุกๆเดือน) ไม่ควรมีโครงการใดที่ต้องใช้เวลานานหลายเดือนกว่าจะได้ผลลัพธ์อะไร บางอย่างออกมา 7. กระตุ้นให้มีการจัดสรรทรัพยากรให้กับการควบคุมความเสี่ยงอยู่ตลอดเวลา โดยเฉพาะ เพื่อเตรียมการรับมือกับปัญหาก่อนเกิดขึ้นจริง ไม่ใช่วัวหายล้อมคอก บอร์ดบริหาร โดยหน้าที่ของบอร์ดบริหารแล้ว พวกเขามักจะถูกคาดหวังให้ใช้ความรู้ความสามารถ ที่มีในการคานอำานาจ ตรวจสอบ และประเมินแผนงานของผู้บริหาร ซึ่งมักจะให้ความสำาคัญกับ การควบคุมความเสี่ยงมากกว่าผู้บริหาร ในขณะที่ข้อมูลที่ถูกต้องแม่นยำา เป็นปัจจัยสำาคัญต่อผลการปฏิบัติงานของบอร์ดบริหาร แต่ข้อมูลที่ถูกมานำาเสนอในที่ประชุมอาจจะไม่ได้สมบูรณ์แบบอย่างที่บอร์ดบริหารต้องการ สิ่งที่ พวกเขาต้องทำาคือพยายามหาหลักฐาน หรือผลการปฏิบัติงานที่ชี้ให้เห็นว่าผู้บริหารมีการนำาปัจจัย เสี่ยง และความไม่แน่นอนในอนาคตมาประกอบการตัดสินใจ และการวางแผนปฏิบัติงานแล้ว เช่น 1. ข้อมูลที่บอร์ดบริหารจำาเป็นต้องนำามาประกอบการตัดสินใจ จะต้องมาพร้อมกับ ตัวเลขความไม่แน่นอนในตัวข้อมูลที่นำาเสนอเสมอ 2. การตัดสินใจครั้งใหญ่ใดๆ ต้องมาพร้อมกับข้อมูลความเสี่ยงเชิงตัวเลขเสมอ โดยเฉพาะ การพยากรณ์ผลลัพธ์ที่อาจเกิดขึ้นในอนาคต ต้องแสดงให้เห็นถึงตัวชี้วัดเชิงตัวเลขในหลายๆ สถานการณ์ที่เป็นไปได้ ไม่ใช่เลือกมาเพียงสถานการณ์เดียวที่มีโอกาสเกิดขึ้นมากที่สุดเท่านั้น โดยเฉพาะหากเราเป็นคณะกรรมการตรวจสอบ ต้องขีดเส้นให้ชัดเจนว่าส่วนไหนคือ ส่วนที่ผู้ตรวจสอบต้องรับผิดชอบ และส่วนไหนที่ผู้ตรวจสอบจะไม่ยื่นมือเข้าไปเกี่ยวข้อง เพราะ ในการตรวจสอบที่ดี ไม่ควรจะมีการตรวจสอบงานของตัวเองด้วยตนเองเกิดขึ้น ผู้ตรวจสอบอาวุโส ผู้ตรวจสอบอาวุโสมักจะต้องทำางานอย่างใกล้ชิดกับผู้บริหารและบอร์ดบริหารอยู่ ตลอดเวลา และในบางครั้งการขีดเส้นให้ชัดเจนว่าส่วนไหนเราควรจะเข้าไปมีส่วนเกี่ยวข้องก็เป็น อะไรที่ยาก โดยเฉพาะหากองค์กรของเรามีขนาดเล็ก และบุคลากรอื่นๆมองว่าเรามีความรู้ความ สามารถที่เกี่ยวข้องกับการควบคุมความเสี่ยง ซึ่งนั่นทำาให้พวกเขาตกอยู่ในสถานการณ์ที่กลืน ไม่เข้าคายไม่ออก ระหว่างการตรวจสอบ และการเข้าไปมีส่วนร่วมออกแบบพัฒนาการควบคุม ความเสี่ยง ซึ่งไม่สามารถเกิดขึ้นพร้อมกันได้ สิ่งที่ผู้ตรวจสอบอาวุโสสามารถผลักดันให้เกิดขึ้นได้ อาจเป็น 1. ระบบการควบคุมความเสี่ยงภายใน ซึ่งเป็นช่องทางที่จะสามารถทำาให้พวกเขาสามารถ เข้ามาตรวจสอบผลการปฏิบัติงานในแผนกต่างๆ ได้ในอนาคต 2. กระตุ้นให้ผู้ตรวจสอบภายใน มีความรู้ความสามารถมากพอที่จะประเมินระบบการ ควบคุมภายใน 3. กระตุ้นให้เกิดการบันทึกระบบการควบคุมภายในอย่างมีระบบ การประเมินระบบ โดยกระบวนการตรวจสอบภายใน มักจะเต็มไปด้วยคำาถามจากฝั่งผู้ตรวจสอบเอง เพียงเพื่อ พยายามทำาความเข้าใจถึงระบบที่ถูกออกแบบมา การจัดทำาเอกสารอธิบายรายละเอียดของ ระบบควบคุมภายในจะทำาการแก้ปัญหาจุดนี้ ทำาให้การตรวจสอบสามารถโฟกัสกับการประเมิน ตัวระบบ แทนที่จะต้องมาเสียเวลาทำาความเข้าใจระบบ 4. ผลักดันให้เกิดการประเมินระบบควบคุมความเสี่ยง ก่อนที่จะมีการนำาไปปรับใช้จริง 5. ผลักดันให้เกิดการรายงานผลของการควบคุมความเสี่ยงอย่างต่อเนื่อง โดยอาจจะ 6. อยู่ในรูปแบบของสถิติของตัวชี้วัด หรือความผิดพลาดที่เกิดขึ้น ในการออกแบบระบบควบคุมภายใน ผลักดันให้มีการนำาหลักคณิตศาสตร์ และการวิเคราะห์เชิง สถติที่เกี่ยวข้องกับการควบคุมความเสี่ยงเข้ามาปรับใช้ และปรับปรุงแก้ไขความเข้าใจผิด อคติ หรือวิธีการปฏิบัติงานที่ผิดให้หมดไปจากการปฏิบัติงาน 92 93

ผู้บริหารระดับต้น เมื่อเทียบกับบทบาทต่างๆ ที่ได้กล่าวมาแล้ว หน้าที่พวกเขาจะพุ่งเป้าไปที่การลงมือ ทำาจริงมากกว่าการนั่งคิดตัดสินใจ ซึ่งนั่นหมายถึงการจัดการกับความเสี่ยงที่อาจเกิดขึ้นได้ที่หน้า งานอยู่ตลอดเวลา ทำาให้พวกเขามีทักษะและความเข้าใจถึงความเสี่ยงมากกว่าที่คนส่วนใหญ่คิด สิ่งที่พวกเขาสามารถผลักดันให้เกิดขึ้นได้ อาจเป็น 1. การตรวจสอบอย่างชาญฉลาด ที่ทำาให้เกิดไอเดียใหม่ๆ และการพัฒนาการปฏิบัติงาน 2. ระบบรายงานสถานะของการทำางาน เช่น อัตราการผิดพลาด จำานวนงานตกค้าง หรือจำานวนครั้งที่ระบบสารสนเทศล่ม เพื่อที่จะใช้รายงานดังกล่าวในการปรับปรุงพัฒนาระบบ การปฏิบัติงานให้มีประสิทธิภาพมากขึ้น 3. นำาผู้เชี่ยวชาญในด้านที่เกี่ยวข้องเข้ามามีส่วนร่วมในเชิงลึกกับการออกแบบ ระบบการปฏิบัติงาน หลีกเลี่ยงการจัดสรรคนกลุ่มดังกล่าวทั้งหมดให้กับทีมออดิท เพราะนั่น หมายความว่าพวกเขาจะไม่สามารถเข้ามามีส่วนร่วมในการออกแบบระบบได้ 4. จัดการฝึกทักษะในการจัดการกับความไม่แน่นอนอย่างจริงจังให้กับผู้บริหาร สิ่งที่พวกเขาสามารถเข้ามามีส่วนร่วมกับการพัฒนาองค์กรได้นั้นมีมากมายมหาศาล หากพวกเขามีทักษะในการบริหารบุคลากร การจัดการกับความไม่แน่นอนของข้อมูล และการ ออกแบบระบบควบคุมภายในที่ดี ผู้จัดการระบบสารสนเทศ ระบบเทคโนโลยีสารสนเทศนั้นมีปัญหาเฉพาะของตนเองอยู่มากมาย โดยมักเกี่ยวข้อง กับความปลอดภัยของข้อมูลและโครงสร้างพื้นฐาน ตั้งแต่เรื่องของไวรัส ไฟร์วอลล์ ระบบล่ม ไป จนถึงการรับมือกับเหตุเพลิงไหม้ หรือภัยพิบัติ หรืออาจจะเป็นเรื่องที่เกี่ยวข้องกับบุคลากรผู้ใช้ ระบบ เช่นการควบคุมเนื้อหาของอีเมล์ภายในองค์กร อย่างไรก็ตาม ระบบคอมพิวเตอร์นั้นมักจะมาพร้อมกับระบบควบคุมภายในอยู่แล้ว ไม่ว่าจะ เพราะคนที่สร้างระบบคอมพิวเตอร์นี้ขึ้น หรือเป็นเพราะว่าระบบดังกล่าวนั้นติดมากับซอฟท์แวร์ สำาเร็จรูปที่เราซื้อมา ซึ่งหากใครก็ตามต้องการจะปรับปรุงพัฒนาระบบควบคุมดังกล่าว ผู้จัดการ ระบบสารสนเทศคือคนที่จะต้องถูกนำาเข้ามามีส่วนเกี่ยวข้อง สิ่งที่พวกเขาสามารถทำาได้ อาจเป็น 1. จัดการวางแผนและออกแบบระบบควบคุมภายในไว้ก่อนที่จะเกิดเหตุการณ์ร้าย แรงขึ้น ในกรณีที่เลวร้ายที่สุด หากองค์กรยังไม่พร้อมที่จะนำาแผนดังกล่าวมาปรับใช้จริง พวกเขา อาจจะสามารถลงมือทำาบางส่วนได้เองก่อนเท่าที่ทำาได้ 2. นำาผู้เชี่ยวชาญด้านการออกแบบระบบควบคุมมามีส่วนร่วมในการออกแบบระบบ สารสนเทศด้วย เพื่อให้มั่นใจว่าระบบดังกล่าวจะเป็นประโยชน์ต่อการปฏิบัติงาน และสามารถ ถูกนำาไปปรับใช้ได้จริง 3. ผลักดันให้โครงการต่างๆมีผลลัทธ์ที่เป็นประโยชน์ต่อองค์กรออกมาเป็นระยะ โครงการที่ดีไม่ควรที่จะใช้เวลานานหลายเดือนกว่าจะเริ่มมีผลลัพธ์ให้เห็น 4. ผลักดันให้เกิดระบบการรายงานความเสี่ยงที่ละเอียดครบถ้วน การรายงานระดับ ความเสี่ยงแบบง่ายๆ อย่างความน่าจะเป็น และระดับความเสี่ยง อาจทำาให้เรามองข้ามกรณีร้าย แรงที่สุด ที่มีโอกาสเกิดขึ้นได้น้อย หรือกรณีที่มีความเสี่ยงต่ำา แต่เกิดขึ้นอยู่ตลอดเวลาไป เช่น ความเสี่ยงในการถูกโจมตีด้วยไวรัส หรือการโจมตีผ่านระบบเน็ทเวิร์ก 5. สร้างระบบรายงานสถานะของระบบสารสนเทศ สำาหรับการสอดส่องดูแลและ ประเมินผลการปฏิบัติงาน บุคลากรทุกระดับในองค์กร พวกเขาคือคนกลุ่มใหญ่ที่สุดในองค์กร ซึ่งแปลว่าเป็นกลุ่มคนที่สำาคัญที่สุด ความเสี่ยง เป็นสิ่งที่ทุกคนต้องเผชิญ ไม่ใช่แค่เพียงผู้เชี่ยวชาญด้านความเสี่ยง ความไม่แน่นอนเป็นสาเหตุหลักสาเหตุหนึ่งของความเครียดที่เกิดจากการปฏิบัติงาน ปัจจัยที่เราไม่ได้คาดคิดว่าจะเกิดขึ้นมักเป็นสาเหตุที่ทำาให้เราไม่สามารถปฏิบัติงานได้สำาเร็จลุล่วง อย่างที่ได้วางแผนไว้ ซึ่งในบางครั้งปัจจัยดังกล่าวก็ไม่ได้อยู่ในการควบคุมของเราเสมอไป สิ่งที่เราต้องเรียนรู้ ก็คือการพยายามเปิดใจให้กว้างกับสิ่งที่อาจเกิดขึ้นได้ในอนาคต และพยายามวางแผนจัดการ และรับมือกับสิ่งดังกล่าว ในบางครั้งเราก็ต้องยอมรับ และสื่อสาร ปัจจัยเสี่ยงและความไม่แน่นอนตรงหน้าให้กับผู้ร่วมปฏิบัติงานอย่างไม่เขินอาย โดยไม่ทำาให้เรา เสียความน่าเชื่อถือ และไม่ก่อให้เกิดการหยุดชะงักในการทำางานเนื่องจากความหวาดกลัว บรรณานุกรม คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี งานบริหารความเสี่ยง. (2562). การควบคุมภายในตามแนวทางของ COSO. มหาวิทยาลัยมหิดล. https://med.mahidol.ac.th/risk_mgt/th/article/03092016-0912 จิราพร สุเมธีประสิทธิ์. (2556). COSO 2013 ความเปลี่ยนแปลงจาก COSO 1992. https://chirapon.wordpress.com/2013/10/09/coso-2013-%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1 %E0%B9%80%E0%B8%9B%E0%B8%A5%E0%B8%B5%E0%B9%88%E0%B8%A2%E0%B8%99%E0%B9%81% E0%B8%9B%E0%B8%A5%E0%B8%87%E0%B8%88%E0%B8%B2%E0%B8%81-coso-1992-%E0%B9%80/ ตลาดหลักทรัพย์แห่งประเทศไทย. (2562). Guidebook: Internal Control for IPO การควบคุม ภายในเพื่อเตรียมความพร้อมเป็นบริษัทจดทะเบียน https://www.set.or.th/set/enterprise/html.do?name=ebook ตลาดหลักทรัพย์แห่งประเทศไทย. (2564). กรณีศึกษา ห้องเรียนผู้ประกอบการ: Internal Control. https://www.set.or.th/set/enterprise/html.do?name=internal-control บริษัท ปตท. น้ำามันและการค้าปลีก จำากัด (มหาชน). (2564). นโยบายการควบคุมภายใน ของ PTTOR. https://www.pttor.com/th/about/good_corporate_governance สุวรรณา เจนสวัสดิ์พงศ์. (2560). COSO 2013 กรอบแนวคิดระบบควบคุมภายใน เพื่อประยุกต์ใช้กับ มหาวิทยาลัยในกำากับของรัฐ. https://op.mahidol.ac.th/ia/wp-content/uploads/2017/08/02COSO-2013_Suwan- na_042017.pdf Guidance on Enterprise Risk Management. (2021). Enterprise Risk Management-Integrating with Strategy and Performance (2017). https://www.coso.org/pages/erm.aspx Matthew Leitch. (2008). Intelligent Internal Control and Risk Management: Designing highperformance risk control systems. TJ International Ltd, Cornwall. Great Britain. 94 95