อาจารย์ จิรพร สุเมธีประสิทธิ์ พิมพ์ครั้งที่ 3 COMPLIANCE GUIDEBOOK
I สารบัญ หน้า บทนำ มาตรฐานสากลที่เกี่ยวข้องกับการกำกับการปฏิบัติตามกฎเกณฑ์ 1 1. ความเป็นมา 1 2. กำกับด้วย 4 มาตรฐานสากลที่สำคัญ 2 มาตรฐาน COSO 2013 2 มาตรฐาน COSO ERM 2017 3 มาตรฐาน GRC ของ OCEG 3 มาตรฐาน ISO 37301 : 2021 4 3. การใช้ 2 แนวปฏิบัติที่ดีเพื่อสนับสนุนเพิ่มเติม 5 แนวปฏิบัติที่ดีในการแบ่งความรับผิดชอบตาม Four Lines of Defense และ Five Lines of Defense 5 แนวปฏิบัติที่ดีด้าน Compliance ขององค์กร OECD 5 4. บทสรุปที่สำคัญ 8 5. พัฒนาการของการกำกับการปฏิบัติตามกฎเกณฑ์ 9 บทที่ 1 นิยามการกำกับการปฏิบัติตามกฎเกณฑ์และความเสี่ยงที่เกี่ยวข้อง 11 1. นิยามและความหมายของการกำกับการปฏิบัติตามกฎเกณฑ์ 11 2. วงจรของการกำกับการปฏิบัติตามกฎเกณฑ์ 13 3. นิยามและรูปแบบของความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ 19 4. สาเหตุของความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ 23 5. หลักการและเงื่อนไขการวิเคราะห์และประเมินความเสี่ยงด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์ 25 6. ความท้าทายของการกำหนดขอบเขตและการแบ่งแยกงานบริหาร COMPLIANCE 26 บทที่ 2 มาตรฐานสากล 1: COSO 2013: Integrated Internal Control Framework 28 1. องค์ประกอบที่สำคัญตามมาตรฐาน COSO 2013 29
II หน้า ส่วนที่ 1 วัตถุประสงค์ของการควบคุมภายใน (Control Objectives) 29 ส่วนที่ 2 ระดับการควบคุมภายในขององค์กร (Control level) 30 ส่วนที่ 3 ประเภทของความเสี่ยงที่องค์กรต้องมีการจัดการ 33 2. การนำเอา COSO 2013 มาปรับใช้ในงาน Compliance 36 ส่วนที่ 1 การปรับใช้ในตารางหรือเมทริกซ์อำนาจการอนุมัติ (Table or Matrix of Authority) 36 ส่วนที่ 2 การปรับใช้การกำกับการปฏิบัติตามกฎเกณฑ์แทรกในระดับ กระบวนการ (Process-level of Compliance) เพื่อกำกับตนเอง 44 3. หลักเกณฑ์การพิจารณาเพิ่มบทบาท Compliance ในระดับกระบวนการ 46 บทที่ 3 มาตรฐานสากล 2: COSO ERM 2017 50 1. หลักการ เหตุผล ความเป็นมา 50 2. กฎหมาย SOX Act กำกับการบริหารความเสี่ยงด้านกำกับการปฏิบัติตาม กฎเกณฑ์ 51 หลักการที่ 1 การควบคุมภายในต้องทำรายงานและเปิดเผยสาธารณะ 52 หลักการที่ 2 หน่วยงาน COMPLIANCE UNIT ต้องดูแลทั่วทั้งองค์กร 52 หลักการที่ 3 Compliance Unit เป็นกฤษฎีกาภายในองค์กร 53 3. การบริหารความเสี่ยงการกำกับการปฏิบัติตามกฎเกณฑ์ภายใต้กรอบCOSO ERM 55 1) องค์ประกอบของ Framework for Effective Compliance and Ethics Programs 55 2) การกำกับดูแล ผู้ที่มีอำนาจกระทำการ และสถานะที่เป็นภาพในองค์รวม (Oversight) ขององค์กร 60 3) บทบาทของหน่วยงานกำกับการปฏิบัติตามกฎเกณฑ์ในระดับองค์กร หรือ Compliance function 61 4) ผู้บริหารระดับสูงมีหน้าที่ความรับผิดชอบในการบริหารจัดการ 61 5) องค์กรอาจจะจัดตั้งผู้รับผิดชอบโครงการ 61
III หน้า 6) บทบาทด้านการสำรวจแบบ Due Diligence และการกระจายอำนาจที่ เหมาะสม 61 7) การสื่อสารการฝึกอบรมและทำให้เกิดความรู้ความเข้าใจในช่องทางอื่น 62 8) การติดตามผล การตรวจสอบ และระบบการรายงานผล 63 9) การสร้างแรงจูงใจและการสร้างกติกาการบังคับใช้ 65 10) การตอบโต้กับการกระทำที่ฝ่าฝืน การกำกับการปฏิบัติตามกฎเกณฑ์ 65 11) การวิเคราะห์และประเมินความเสี่ยงเพื่อปรับปรุงแผนงานให้ดีขึ้น 66 4. มุมมองของ COSO ERM ต่อการบริหารความเสี่ยงงานกำกับการปฏิบัติตาม กฎเกณฑ์ 5 องค์ประกอบ 67 องค์ประกอบที่ 1 GOVERNANCE & CULTURE สำหรับ COMPLIANCE RISK 68 หลักการที่ 1 การกำกับภาพในองค์รวมของคณะกรรมการ (Exercise Board Risk Oversight 68 หลักการที่ 2 การจัดวางโครงสร้างการดำเนินงานที่มีประสิทธิภาพ (Establishes Operating Structures) 69 หลักการที่ 3 การกำหนดวัฒนธรรมพฤติกรรม การตื่นตัวที่พึงประสงค์ 71 หลักการที่ 4 แสดงให้เห็นถึงความยึดมั่นมุ่งมั่นต่อคุณค่าหลักองค์กร (Demonstrates Commitment To Core Value) 72 หลักการที่ 5 กำหนดแรงจูงใจ กลไกพัฒนา และดำรงรักษาศักยภาพ รายบุคคล 73 องค์ประกอบที่ 2 กลยุทธ์และวัตถุประสงค์ Compliance Risk 74 หลักการที่ 6 การวิเคราะห์บริบทธุรกิจเพื่อกำหนดกลยุทธ์และ เป้าประสงค์ 74 หลักการที่ 7 กำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้ (Define Risk Appetite) 75 หลักการที่ 8 ประเมินทางเลือกในการใช้กลยุทธ์ตามเกณฑ์ที่ยอมรับได้ 76 หลักการที่ 9 จัดวางวัตถุประสงค์ความเสี่ยงที่รองรับธุรกิจ 77 ประกอบที่ 3 ผลดำเนินงานด้านการบริหาร Compliance Risk 78 หลักการที่ 10 การระบุความเสี่ยงการบริหารแผนงาน/โครงการ C&E 78
IV หน้า หลักการที่ 11 เรียงลำดับความรุนแรงของความเสี่ยงเพื่อบริหาร แผนงาน/โครงการ C&E 79 หลักการที่ 12 เรียงลำดับความเสี่ยงในการบริหารแผนงาน/โครงการ C&E 82 หลักการที่ 13 ขออนุมัติเพื่อทำแผนตอบโต้ บรรเทาความเสี่ยง 83 หลักการที่ 14 พัฒนาสถานะภาพรวม Portfolio View Of Compliance Risk 84 ประกอบที่ 4 ทบทวนและปรับปรุง Compliance Risk และการจัดการ 85 หลักการที่ 15 การวิเคราะห์และประเมินการเปลี่ยนแปลงที่มีนัยสำคัญ 85 หลักการที่ 16 ทบทวนความเสี่ยงและผลดำเนินงาน 86 หลักการที่ 17 ผลักดันสู่การปรับปรุงการบริหารความเสี่ยงทั่วทั้งองค์กร 87 องค์ประกอบที่ 5 ข้อมูลสารสนเทศ การสื่อสาร และการรายงานสำหรับ Compliance Risk 88 หลักการที่ 18 การยกระดับข้อมูลสารสนเทศและเทคโนโลยี 88 หลักการที่ 19 การสื่อสารข้อมูลความเสี่ยง 89 หลักการที่ 20 การรายงานความเสี่ยง วัฒนธรรม และผลดำเนินงาน 90 บทที่ 4 มาตรฐานสากล 3: GRC ของ OCEG 92 1. หลักการ เหตุผล ความเป็นมา 92 2. กรอบแนวคิดของมาตรฐาน 96 องค์ประกอบที่ 1: Governance 97 องค์ประกอบที่ 2 : Risk Management 98 องค์ประกอบที่ 3 : Compliance 99 3. ขอบเขตของการบริหารความเสี่ยงตามกรอบแนวคิด GRC 99 4. ผลลัพธ์ร่วมกัน (UNIVERSAL OUTCOMES) ตามมาตรฐาน GRC 103 บทที่ 5 มาตรฐาน ISO 37301: 2021 Compliance Management System - Requirements with guidance for use 106
V หน้า 1. หลักการ เหตุผล และความเป็นมา 106 2. ระบบบริหารการกำกับการปฏิบัติตามกฎเกณฑ์ตาม ISO 37301 113 1) ประโยชน์ที่สำคัญของ ISO 37301 113 2) ประเด็นการเปลี่ยนแปลงที่สำคัญ 113 3) แนวทางการนำมาตรฐาน ISO 37301 มาใช้ภายในองค์กร 115 บทที่ 6 The Three Lines of Defense สนับสนุนการกำกับความเสี่ยง Compliance Risk 118 1. หลักการ เหตุผล และความเป็นมา 118 2. การเกิดของแนวคิด The Three Lines of Defense 119 3. บทบาทของผู้บริหารระดับสูงและคณะกรรมการ 119 4. การจัดวางกลุ่มงานตาม The Three Lines of Defense 120 บทบาทของ 1st Line 121 บทบาทของ 2nd Line 122 บทบาทของ 3rd Line 123 5.บทบาทของหน่วยงานภายนอกองค์กร 124 กลุ่มที่ 1 บทบาทของผู้สอบบัญชีภายนอก 124 กลุ่มที่ 2 บทบาทของหน่วยงานรัฐภายนอก 124 6. การบูรณาการ เชื่อมโยง ส่งต่อการจัดการความเสี่ยงด้านการกำกับการปฏิบัติ ตามกฎเกณฑ์ผ่าน The Three Lines of Defense 124 7. OECD GOVERNANCE 125 บทที่ 7 บทสรุปเพื่อการพัฒนาการกำกับการปฏิบัติตามกฎเกณฑ์ 127 ขั้นตอนการพัฒนากลไกการกำกับการปฏิบัติตามกฎเกณฑ์ 127
1 COMPLIANCE GUIDEBOOK เล่มที่ 1 บทนำ มาตรฐานสากลที่เกี่ยวข้องกับ การกำกับการปฏิบัติตามกฎเกณฑ์ 1. ความเป็นมา การกำกับการปฏิบัติตามกฎเกณฑ์ (Compliance Management) เป็นหนึ่งในระบบงาน บริหารจัดการที่มีพัฒนาการมายาวนานหลายสิบปีแล้ว ตามแนวนโยบายของหน่วยงานกำกับดูแล โดยเฉพาะการบังคับใช้กับบริษัทมหาชนในตลาดหลักทรัพย์ ซึ่งเท่ากับเป็นบริษัทขนาดใหญ่ เพื่อให้ เป็นต้นแบบของระบบการบริหารจัดการ (Management System) ที่ดี แม้ว่าจนถึงขณะนี้ ผู้บริหาร องค์กรทั้งในไทยและหลายประเทศทั่วโลกจะยังรู้สึกว่าเรื่องนี้เป็นแนวคิดใหม่ที่ไม่คุ้นเคยสักที การทำความเข้าใจกับการบริหารจัดการการกำกับการปฏิบัติตามกฎเกณฑ์จึงต้องเริ่มจาก การทำการศึกษา ทำความเข้าใจ ในสาระสำคัญและในองค์ประกอบของแต่ละมาตรฐานสากลที่อ้างอิง
2 COMPLIANCE GUIDEBOOK เล่มที่ 1 และกล่าวถึงคำว่า “การกำกับการปฏิบัติตามกฎเกณฑ์” หรือ Compliance ทำให้คำนี้ถูกนำมาใช้และ พูดถึงกันในวงการบริหารจัดการขององค์กรต่างๆ 2. กำกับด้วย 4 มาตรฐานสากลที่สำคัญ มาตรฐานสากกลที่สำคัญในส่วนของการกำกับการปฏิบัติตามกฎเกณฑ์ ประกอบด้วย มาตรฐานสากลที่เกี่ยวข้องกับการกำกับการปฏิบัติตามกฎเกณฑ์ ประกอบด้วย มาตรฐานสากล 1 COSO 2013: Integrated Internal Control Framework มาตรฐานสากล 2 COSO ERM 2017 – Compliance Management มาตรฐานสากล 3 GRC ของ OCEG มาตรฐานสากล 4 ISO 37301: 2021 Compliance Management System จากแผนภาพดังกล่าวข้างต้นสามารถสรุปได้ว่า การกำกับการปฏิบัติตามกฎเกณฑ์เมื่อ นำมาปรับใช้โดยพิจารณาตามแนวปฏิบัติของมาตรฐานสากล สามารถแยกการประยุกต์ใช้ได้ดังนี้ มาตรฐาน COSO 2013 เป็นมาตรฐานที่นำการกำกับการปฏิบัติตามกฎเกณฑ์ ไปแทรกไว้ในกระบวนการควบคุมภายในจึงเหมาะสม ในการกำกับ มิให้กระบวนการควบคุมการปฏิบัติงาน ประจำวันที่ต้องใช้การกำกับการปฏิบัติตามกฎเกณฑ์
3 COMPLIANCE GUIDEBOOK เล่มที่ 1 อยู่ตลอดเวลา ทำให้ผู้รับผิดชอบภาระงานที่เป็น ผู้ปฏิบัติงานสามารถควบคุมการกำกับการปฏิบัติตาม กฎเกณฑ์ในระหว่างปฏิบัติงานได้โดยทันทีไม่เกิดความ ล่าช้า สามารถใช้ซ้ำได้และสามารถปรับเปลี่ยนได้เมื่อ มีความจำเป็น มาตรฐาน COSO ERM 2017 เป็นมาตรฐานที่จัดทำแนวปฏิบัติที่ดี แยกการวิเคราะห์ และประเมินความเสี่ยงของการกำกับการปฏิบัติตาม กฎเกณฑ์ ออกมาต่างหากจากการวิเคราะห์และ ประเมินความเสี่ยงในระดับกลยุทธ์ และแผนงาน/ โครงการเชิงกลยุทธ์ขององค์กร เนื่องจากเห็นว่า มี ความจำเป็นต้องใช้ผู้เชี่ยวชาญ มีทักษะ องค์ความรู้ เกี่ยวข้องกับกฎเกณฑ์ต่างๆรอบด้าน มาตรฐานนี้กำหนดให้การกำกับการปฏิบัติตาม กฎเกณฑ์เป็นความเสี่ยงที่องค์กรต้องให้ความสำคัญ ใน ระดับของการบริหารความสำเร็จเชิงวัตถุประสงค์และ ผลดำเนินงาน ฝ่ายบริหารหรือฝ่ายจัดการจำเป็นต้อง ทำให้มั่นใจว่า ได้กำหนดแผนงาน บริหารความเสี่ยงที่ จะรับมือและตอบโต้กับความเสี่ยงด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์อย่างเพียงพอพร้อมกับการ ตัดสินใจในเชิงธุรกิจ มาตรฐาน GRC ของ OCEG มาตรฐานนี้เกิดจากองค์กรไม่แสวงหากำไร ชื่อ OCEG หรือชื่อเดิมคือ The Open Compliance and Ethics Group มีบทบาทสำคัญตั้งแต่ปี 2002 ภายหลังจาก การล้มละลายมาจากการบริหารจัดการองค์กรที่มี จรรยาบรรณวิบัติของบริษัทมหาชนที่จดทะเบียนใน ตลาดหลักทรัพย์ของอเมริกาชื่อ Enron ทำให้เกิดการ ถอดบทเรียนเพื่อแสวงหาแนวทางการกำกับดูแล องค์กรที่ดีที่เรียกคืนความมั่นใจต่อบริษัทจดทะเบียน ของนักลงทุนในตลาดหลักทรัพย์
4 COMPLIANCE GUIDEBOOK เล่มที่ 1 มาตรฐานนี้ให้ความสำคัญกับบทบาทในส่วนของ คณะกรรมการในฐานะขององค์คณะที่ทำหน้าที่กำกับ ดูแลในภาพรวมของฝ่ายบริหารหรือฝ่ายจัดการ โดย เสนอให้มีการจัดตั้งคณะกรรมการ องค์คณะ หรือ คณะอนุกรรมการพิเศษขึ้นเพื่อกำกับดูแล ติดตามและ ประเมินผลการดำเนินงานด้านการบริหารและจัดการ กับความเสี่ยงการกำกับการปฏิบัติตามกฎเกณฑ์โดย เฉพาะเจาะจง โดยเฉพาะส่วนที่เกี่ยวข้องกับหน่วยงาน กำกับทางกฎหมายภายนอกองค์กร และทำให้มั่นใจว่า ฝ่ายบริหารหรือฝ่ายจัดการมีกิจกรรมในการขับเคลื่อน องค์กร โดยเฝ้าระวังและหลีกเลี่ยงการฝ่าฝืนการกำกับ การปฏิบัติตามกฎเกณฑ์ได้อย่างเพียงพอและมี ประสิทธิภาพ ควบคู่กับคณะกรรมการกำกับดูแล องค์กรที่ดีและคณะกรรมการบริหารความเสี่ยง มาตรฐานนี้กำหนดขึ้นเพื่อแก้ปัญหาการกำกับดูแล องค์กรที่ไม่เหมาะสมและไม่เพียงพอของบริษัทมหาชน ที่จดทะเบียนในตลาดหลักทรัพย์หรือบริษัทที่มีความ รับผิดชอบต่อสาธารณะ เช่นหน่วยงานภาครัฐ เนื่องจากเป็นมาตรฐานที่ให้ความสำคัญกับผู้มีส่วนได้ ส่วนเสียจากภายนอก นอกเหนือจากคำนึงถึง วัตถุประสงค์ทางธุรกิจและเป้าหมายการดำเนินงาน ภายในขององค์กรเอง มาตรฐาน ISO 37301 : 2021 เป็นมาตรฐานที่กำหนดขึ้นโดยองค์กร ISO โดยมองว่า การกำกับการปฏิบัติตามกฎเกณฑ์เป็นระบบบริหาร หนึ่งขององค์กรที่สำคัญและจำเป็น แต่ละองค์กรที่มี ลักษณะของการดำเนินงาน รูปแบบธุรกิจ บริบทของ การดำเนินงานที่แตกต่างกัน ควรจะวางระบบ มาตรฐานการปฏิบัติงาน ในส่วนของการกำกับการ ปฏิบัติตามกฎเกณฑ์ได้ใกล้เคียงกัน
5 COMPLIANCE GUIDEBOOK เล่มที่ 1 ระบบการบริหารงานกำกับการปฏิบัติการกฎเกณฑ์ที่ดี ต้องดำเนินงานตามวงจรคุณภาพ หรือที่เรียกว่า PDCA : Plan – Do – Check – Act ซ ึ ่ ง ห า ก ส า มา รถ ดำเนินการได้อย่างครบถ้วน ราะจะได้รับใบรับรอง หลังจากผ่านเกณฑ์การตรวจประเมินของ ISO มาตรฐานสากลทั้ง 4 มาตรฐานล้วนแต่มีความสำคัญ และมิได้มีแนวคิดที่ขัดแย้งกัน แต่ ละมาตรฐานมีจุดเด่น ที่น่าสนใจ และประโยชน์ที่ได้จากการนำมาใช้ที่แตกต่างกัน องค์กรจึงไม่ จำเป็นต้องเลือกมาตรฐานใดมาตรฐานหนึ่ง แต่สามารถวางแผนที่นำทางให้องค์กรได้ใช้ประโยชน์จาก ทุกมาตรฐานดังกล่าวข้างต้น เพื่อให้เกิดประสิทธิภาพและประสิทธิผลสูงสุดแก่องค์กร 3. การใช้ 2 แนวปฏิบัติที่ดีเพื่อสนับสนุนเพิ่มเติม นอกเหนือจากมาตรฐานสากลพร้อมแนวปฏิบัติที่ดีที่ออกประกาศใช้พร้อมกันกลับ มาตรฐานดังกล่าวข้างต้นแล้วยังมีแนวปฏิบัติที่ดีที่องค์กรควรพิจารณานำมาสนับสนุนการพัฒนาการ กำกับการปฏิบัติตามกฎเกณฑ์ เพื่อช่วยให้ระบบการจัดวางงานในส่วนนี้ประสบความสำเร็จ ประกอบด้วย 1) แนวปฏิบัติที่ดีในการแบ่งความรับผิดชอบตาม Four Lines of Defense และ Five Lines of Defense 2) แนวปฏิบัติที่ดีด้าน Compliance ขององค์กร OECD (1) Compliance for Regulator (2) Compliance for Public Sector ซึ่งแนวคิดโดยภาพรวมของแนวปฏิบัติที่ดีดังกล่าวข้างต้นสามารถสรุปประเด็นที่สำคัญได้ ดังนี้ แนวปฏิบัติที่ดีในการแบ่งความ รับผิดชอบตาม Four Lines of Defense และ Five Lines of Defense เป็นแนวปฏิบัติที่ดีของกลุ่ม COSO ที่ออกมา เพิ่มเติมเพื่อรองรับการกำหนดบทบาทและ หน้าที่ความรับผิดชอบในการบริหารและ จัดการความเสี่ยงภายในองค์กรให้เป็นไปอย่าง เหมาะสม ตั้งแต่บทบาทหน้าที่และความ รับผิดชอบ ของภาระงานหรือเจ้าของ กระบวนการโดยตรงไปจนถึงบทบาทของ หน่วยงานที่ทำหน้าที่กำกับในภาพรวมของ
6 COMPLIANCE GUIDEBOOK เล่มที่ 1 องค์กรหรือที่เรียกว่าหน่วยงานสนับสนุนและ บทบาทของงานตรวจสอบภายใน ในฐานะ ผู้ให้ความเชื่อมั่นอย่างอิสระ สำหรับกรณีการกำกับการปฏิบัติตาม กฎเกณฑ์ จำเป็นต้องคำนึงถึงและรวมเอา หน่วยงานกำกับดูแลภายนอก ที่ทำหน้าที่ใน การกำกับการดำเนินงานขององค์กรอย่าง ใกล้ชิด รวมทั้งการตรวจประเมินการปฏิบัติ ตามกฎเกณฑ์หรือตามเงื่อนไขของใบอนุญาต ประกอบการ การวินิจฉัยตามอำนาจทาง ปกครองเป็นรายกระบี่ โดยบางครั้งไม่ต้อง ผ่านกระบวนการทางศาลเพราะมีการแต่งตั้ง คณะกรรมการเฉพาะกิจขึ้นมาเพื่อการนั้นๆ โดยเฉพาะ ทำให้ความรับผิดชอบด้านการ กำกับ การปฏิบัติตามกฎเกณฑ์ ต้องใช้แนวคิด ของFour Lines of Defenseถือว่าหน่วยงาน กำกับทางกฎหมายภายนอกเป็น 4 th Line ส่วนบทบาทและหน้าที่ความรับผิดชอบของ หน่วยงานภายในองค์กรในส่วนของการกำกับ การปฏิบัติตามกฎเกณฑ์โดยเฉพาะ เป็นการ กำกับในระดับขององค์กรหรือระดับนิติบุคคล จึงต้องใช้แนวคิดของการกำกับถึง 5 ชั้น ที่เริ่ม จากคณะกรรมการ ผู้บริหารระดับสูง งาน ตรวจสอบภายใน หน่วยงานกำกับองค์กร ใน ภาพรวม และผู้ปฏิบัติงานที่เป็นเจ้าของภาระ งานหรือเจ้าของกระบวนการ แนวปฏิบัติที่ดีด้าน Compliance ขององค์กร OECD องค์กร OECD เป็นองค์กรความร่วมมือ ระหว่างประเทศที่ครอบคลุมในระดับของ รัฐบาลของหลายประเทศที่พัฒนาแล้ว ครอบคลุมภูมิภาคต่างๆของโลกในฐานะ
7 COMPLIANCE GUIDEBOOK เล่มที่ 1 รัฐบาลที่เป็นผู้กำหนดระดับนโยบาย ก็ไปก็ แบบว่าและการมอบหมายสั่งการผ่าน หน่วยงานรัฐ ทำให้ผลกระทบของแนวปฏิบัติ ที่ดีตามประกาศหรือข้อตกลงขององค์กร ระหว่างประเทศแห่งนี้มีลักษณะเป็นกฎหมาย ประเภทหนึ่งของโลกที่ใช้บังคับในลักษณะ เดียวกันสำหรับประเทศสมาชิก รวมทั้ง ประเทศอื่นที่มีการติดต่อความสัมพันธ์ ทางการค้าและทางธุรกิจกับประเทศสมาชิก ของ OECD นอกเหนือจาก OECD เป็นผู้ที่มีบทบาทสำคัญ ในการประกาศใช้แนวปฏิบัติที่ออกมาบังคับใช้ กับประเทศสมาชิกแล้ว OECD ยังทำหน้าที่ใน การสำรวจ การวิจัย ตลอดจนการติดตาม ประเมินผลการดำเนินงานจริงในการกำกับ การปฏิบัติตามกฎเกณฑ์ของแต่ละประเทศ เพื่อให้คำแนะนำ ความคิดเห็นในการแก้ไข ปรับปรุง และพัฒนา อย่างต่อเนื่องเป็นประจำ ทุกปีการนำเอากรอบแนวปฏิบัติที่ดีของ องค์กรนี้มาใช้จึงมีกรณีศึกษาและบทเรียนให้ เรียนรู้จากประเทศต่างๆ ทั่วโลก ทำให้ ประเทศที่นำมาใช้ปฏิบัติสามารถนำไป ประยุกต์และปรับใช้ได้ง่าย OECD พิจารณาว่าการกำกับการปฏิบัติตาม กฎเกณฑ์ถือเป็นส่วนหนึ่งของการกำกับดูแลที่ ดีตั้งแต่ระดับของหน่วยงานกำกับดูแลที่เป็นผู้ บังคับใช้กฎหมาย หน่วยงานภาครัฐที่เป็นผู้มี อำนาจตามกฎหมายควบคู่กับการให้บริการ ต่อประชาชน ไปจนถึงผู้ประกอบการ ภาคเอกชนโดยเฉพาะนิติบุคคลที่เป็นบริษัท
8 COMPLIANCE GUIDEBOOK เล่มที่ 1 มหาชน ทำให้แนวปฏิบัติด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์มีความครอบคลุมใน หน่วยงานทุกระดับขององค์กร แนวปฏิบัติที่ดีที่สำคัญ ประกอบด้วย (1) Compliance for Regulator (2) Compliance for Public Sector 4. บทสรุปที่สำคัญ บทสรุปที่สำคัญเกี่ยวข้องกับแนวปฏิบัติด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่ดีในส่วนนี้ ประกอบด้วย 1) หน่วยงานกำกับดูแลกฎหมายภายนอก หน่วยงานภาครัฐที่เป็นผู้กำหนดนโยบายมี แนวโน้มที่จะความเข้มงวดในการบังคับใช้กฎหมายมากขึ้นตามลำดับ จากผลของ การถอดบทเรียน ที่เรียนรู้ถึงจุดบกพร่องและจุดอ่อนที่ผ่านมา ตลอดจนความจำเป็น ในการเปลี่ยนแปลงให้เหมาะสมกับระบบนิเวศน์ทางธุรกิจที่ต้องการการกำกับการ ปฏิบัติที่แตกต่างจากเดิม เพื่อ ให้มั่นใจว่าองค์กรจะมีศักยภาพและความสามารถใน การกำกับการปฏิบัติตามกฎเกณฑ์ควบคู่กับการกำกับและเคลื่อนผลการดำเนินงาน ตามวัตถุประสงค์และเป้าหมายทางธุรกิจขององค์กร และองค์กรเองมีอาจมีความ จำเป็นในการที่จะต้องวางกรอบการกำกับการปฏิบัติตามกฎเกณฑ์ส่วนที่องค์กรเป็น ผู้กำหนดขึ้นเองผ่านการกำกับตั้งแต่ระดับคณะกรรมการ ผู้บริหารระดับสูง ผู้บริหาร สายงาน หัวหน้างาน ผู้ปฏิบัติงาน 2) ความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์มีแนวโน้มที่จะมีขนาดเพิ่มขึ้น รูปแบบหลากหลายมากขึ้น ขณะที่ผลกระทบจากความเสี่ยงด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์ก็อาจจะมีบทลงโทษรุนแรงขึ้น ทั้งในทางแพ่ง ทางอาญา การ แซงชั่น ที่สร้างความเสียหาย หรือความสูญเสียในด้านต่างๆ ทั้งที่เป็นตัวเงินและไม่ เป็นตัวเงินแก่องค์กรรุนแรงขึ้น 3) แนวทางในการลดความเสี่ยง คือ การเฝ้าระวัง การศึกษาเพื่อทำความเข้าใจ การ ประเมินให้เห็นถึงช่องว่างของความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์และ ออกแบบกลไก เครื่องมือ วิธีการ มาตรการ กิจกรรม หรือขั้นตอนในการกำกับการ ปฏิบัติงานที่ดี ไม่ให้หลุดกรอบของกฎเกณฑ์
9 COMPLIANCE GUIDEBOOK เล่มที่ 1 4) ที่ผ่านมามีองค์กรสากลหลายองค์กรที่มีชื่อเสียงได้รับการยอมรับทั่วโลกได้ ทำการศึกษาและถอดบทเรียน จนนำไปสู่การออกมาตรฐานที่ดีเพื่อช่วยให้องค์กร นำไปประยุกต์ใช้ในการวางแนวทางการกำกับการปฏิบัตินอกเหนือจากการกำกับ ตนเองของผู้รับผิดชอบภาระงานและผู้ปฏิบัติงานระหว่างที่บุคลากรปฏิบัติงาน ประจำวันแล้ว 5) งานกำกับการปฏิบัติตามกฎเกณฑ์ขององค์กรที่ยึดโยงกับองค์ประกอบที่ดีและ หลักการที่มีความเหมาะสมของแต่ละมาตรฐาน จึงเป็นส่วนหนึ่งที่ช่วยเพิ่มความ มั่นใจในความสำเร็จ ของการกำกับการปฏิบัติตามกฎเกณฑ์ได้มากขึ้น เมื่อเทียบกับ การจัดทำเองของแต่ละองค์กรโดยไม่มีหลักการหรือมาตรฐานอ้างอิง 6) มาตรฐานบางส่วนเป็นภาคบังคับกับองค์กรทางรูปแบบและบางลักษณะอยู่แล้ว เช่น กรณีของหน่วยงานภาครัฐ บริษัทมหาชน บริษัทที่จดทะเบียนในตลาดหลักทรัพย์ บริษัทที่มีการดำเนินงานในลักษณะข้ามชาติและบางส่วนเป็นภาคสมัครใจของแต่ละ องค์กรเองที่ต้องได้ประโยชน์จากการนำมาตรฐานที่ดีในระดับสากลมาประยุกต์ใช้กับ การกำกับการปฏิบัติตามกฎเกณฑ์ 5. พัฒนาการของการกำกับการปฏิบัติตามกฎเกณฑ์ 1) การเปลี่ยนแปลงไปจากเดิมและการเกิดใหม่ของ Risk Landscape มีผลให้ทุก องค์กรมีความจำเป็นต้องแยกกระบวนการในด้านการบริหารความเสี่ยงด้านการกำกับการปฏิบัติตาม กฎเกณฑ์ออกมาให้ชัดเจน เพราะเป็นความเสี่ยงที่มีลักษณะซับซ้อน ต้องการ ความเข้าใจ องค์ความรู้ เฉพาะทาง รวมทั้งทักษะและประสบการณ์ที่ทำให้มั่นใจว่าการบริหารจัดการความเสี่ยงรูปแบบนี้จะมี ความแม่นยำในการบริหารจัดการ จนนำไปสู่การประสบความสำเร็จ ตลอดจนมีประสิทธิภาพและ ประสิทธิผลสูง 2) การเปลี่ยนแปลงในด้านความต้องการและความคาดหวังจากผู้มีส่วนได้ส่วนเสียภาค ส่วนสำคัญขององค์กรที่มีต่อการปรับตัวในด้านกลไกการกำกับดูแลองค์กรที่ดีของแต่ละองค์กรที่รวมถึง การกำกับการปฏิบัติตามกฎเกณฑ์ทำให้มาตรฐานสากล ที่เกี่ยวข้องกับการกำกับการปฏิบัติตาม กฎเกณฑ์ มีการพัฒนามาอย่างต่อเนื่อง แม้ว่าชื่อมาตรฐานจะยังคงเดิมก็ตาม กล่าวคือ (1) มาตรฐานสากล COSO ได้ออกแนวปฏิบัติที่ดีเพิ่มเติมทั้งในส่วนของการควบคุม ภายในและส่วนของการบริหารความเสี่ยงทั่วทั้งองค์กร ส่วน หนึ่งเพื่อออกมา รองรับการกำกับการปฏิบัติตามกฎเกณฑ์โดยเฉพาะ
10 COMPLIANCE GUIDEBOOK เล่มที่ 1 (2) มาตรฐานสากล GRC ได้มีการจัดทำแนวปฏิบัติที่ดี ภายใต้ชื่อ GRC Capability Model ที่เริ่มจากเวอร์ชั่น 1.0 มาเป็นเวอร์ชั่น 2.0 และ 3.0 จนปัจจุบันเป็นเวอร์ ชั่น 3.5 และเวอร์ชั่น 5.0 สำหรับ IT GRC (3) มาตรฐาน ISO ได้ยกเลิกมาตรฐาน ISO 19600 เดิม และปรับเปลี่ยนมาเป็น ISO 37301 เวอร์ชั่น 2021 แทน
11 COMPLIANCE GUIDEBOOK เล่มที่ 1 บทที่ 1 นิยามการกำกับการปฏิบัติตามกฎเกณฑ์และความเสี่ยงที่ เกี่ยวข้อง ก่อนที่จะได้ศึกษาถึงรายละเอียดของแต่ละมาตรฐานสากล องค์กรควรมีความเข้าใจเกี่ยวกับ นิยามของคำว่า “การกำกับการปฏิบัติตามกฎเกณฑ์” (Compliance) รวมทั้งความเสี่ยงโดยตรงของ การกำกับการปฏิบัติตามกฎเกณฑ์และที่เกี่ยวข้องกับการกำกับการปฏิบัติตามกฎเกณฑ์ก่อน 1. นิยามและความหมายของการกำกับการปฏิบัติตามกฎเกณฑ์ การกำกับการปฏิบัติตามกฎเกณฑ์หมายถึง การกำกับที่ดำเนินการโดยทางอ้อม เป็น กิจกรรมหรือการกระทำในอีกชั้นหนึ่ง เพราะไม่ได้มาจากตัวผู้ปฏิบัติงานที่มีฐานะเป็นเจ้าของภาระงาน หรือเจ้าของกระบวนการโดยตรง ที่มีโอกาสได้รับผลกระทบทางลบจากความเสี่ยงด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์ จนทำให้การดำเนินงานไม่ไปสู่ระดับความสำเร็จตามวัตถุประสงค์และผลการ ดำเนินงาน หรืออาจจะขยายวงออกไปเกี่ยวข้องกับความเชื่อถือและความไว้วางใจของผู้มีส่วนได้ส่วน เสียภายนอกด้วย ทำให้การกำกับตนเองของผู้ที่เป็นเจ้าของภาระงานหรือกระบวนการไม่เพียงพอ เนื่องจากความซับซ้อน ความยุ่งยาก ความจำเป็นในการตีความให้ถูกต้อง ตรงกับเจตนารมณ์ของ กฎหมาย หรือหน่วยงานกำกับที่มีอำนาจบังคับใช้กฎหมาย หรือกฎเกณฑ์ที่เป็นความเสี่ยงในระดับสูง ขององค์กร ดังนั้น การกำกับการปฏิบัติ หรือการกำกับการปฏิบัติจึงหมายถึง 1) กระบวนการในการค้นหา และระบุ“กฎเกณฑ์ที่องค์กรเกี่ยวข้อง” ประเด็นที่ องค์กรต้องมีการกำกับการปฏิบัติการดำเนินงานเพื่อให้สอดคล้องและครบถ้วนตาม กฎเกณฑ์ดังกล่าว 2) กฎเกณฑ์ที่องค์กรเกี่ยวข้อง คือกฎเกณฑ์ต่อไปนี้ (1.1) กฎเกณฑ์ที่หน่วยงานกำกับดูแลภายนอกในฐานะผู้มีอำนาจทางปกครองหรือ บังคับใช้กฎหมายเป็นผู้ออก และรักษาการตามกฎหมายฉบับนั้น รวมทั้ง กฎหมายลำดับรองที่เกี่ยวข้อง (1.2) ข้อกำหนดภาครัฐที่องค์กรต้องปฏิบัติตาม (1.3) มติคณะรัฐมนตรีที่มีผลกระทบต่อการดำเนินงาน
12 COMPLIANCE GUIDEBOOK เล่มที่ 1 (1.4) นโยบายหรือมติของบริษัทแม่ หน่วยงานที่เป็นต้นสังกัด ซึ่งองค์กรอยู่ภายใต้ การกำกับ (1.5) กฎเกณฑ์ที่องค์กรกำหนดขึ้น เพื่อบังคับใช้ภายในองค์กรเอง ตั้งแต่ข้อบังคับ ระเบียบปฏิบัติ ประกาศ คำสั่ง นโยบาย มติ (1.6) ข้อผูกพัน นิติกรรมสัญญา พันธะที่มีต่อหน่วยงานภายนอก องค์กรภายนอก ที่เกิดจากการยอมรับขององค์กรเอง ที่เกี่ยวข้องกับคู่ค้า คู่สัญญา คู่ความ ร่วมมือ (1.7) ข้อกำหนดขององค์กรภายนอกที่องค์กรเป็นสมาชิกอยู่และต้องปฏิบัติตาม รวมทั้งสภาวิชาชีพที่เกี่ยวข้อง (1.8) มาตรฐาน บรรทัดฐาน แนวปฏิบัติที่ดี ที่ได้รับการยอมรับให้ใช้เป็นแนวปฏิบัติ ขององค์กรอื่นที่มีลักษณะการดำเนินงานใกล้เคียงกันอยู่ในธุรกิจประเภท เดียวกัน (1.9) ประเพณีปฏิบัติ ค่านิยมของสังคม ธรรมเนียมปฏิบัติที่ดี ที่สังคมคาดหวังว่า องค์กรจะต้องปฏิบัติตามโดยครบถ้วน (1.10)ข้อกำหนดอื่นใดที่ถือว่าเป็นกฎเกณฑ์ 3) องค์กรควรมีหน่วยงานที่รับมอบหมายให้ดูแลด้านกำกับการปฏิบัติตามกฎเกณฑ์ทำ การวิเคราะห์และประเมินความเสี่ยงของการกำกับการปฏิบัติตามกฎเกณฑ์ โดย ผ่านบุคคล คณะบุคคล หน่วยงานตามโครงสร้าง ที่มอบหมายให้ทำหน้าที่ในการ กำกับการปฏิบัติให้ครบถ้วนตามกฎเกณฑ์รวมทั้งกำหนด กลไก เครื่องมือ วิธีการ มาตรการ กิจกรรม หรือขั้นตอน หรือระบบงานในเชิงรุกที่ใช้ในการกำกับการปฏิบัติ เพื่อขออนุมัติจากผู้มีอำนาจกระทำการ และส่งต่อไปยังผู้ที่ทำหน้าที่ในการปฏิบัติ ภาระงานนั้น เพื่อใช้ในการกำกับการปฏิบัติ ในระหว่างการปฏิบัติงานต่อไป 4) กิจกรรมการกำกับการปฏิบัติเป็นกิจกรรมเชิงป้องกัน ป้องปราม ที่มีวัตถุประสงค์ให้ สามารถหลีกเลี่ยงการปฏิบัติที่ไม่ถูกต้องตามกฎเกณฑ์ทุกประเภท ในลักษณะที่ สร้างความตื่นตัว การเฝ้าระวัง ทั้ง (4.1) กฎเกณฑ์ที่บังคับใช้ต่อองค์กรอยู่แล้วในปัจจุบัน และ (4.2) กฎเกณฑ์ที่กำลังจะเกิดขึ้นใหม่ หรือมีการเปลี่ยนแปลง 5) เป้าหมายของการกำกับการปฏิบัติตามกฎเกณฑ์คือศักยภาพและความ สามารถ ขององค์กรที่เพียงพอ
13 COMPLIANCE GUIDEBOOK เล่มที่ 1 (5.1) ในการป้องปรามมิให้มีพฤติกรรมหรือการกระทำที่ไม่พึงประสงค์ อันจะ นำไปสู่การถูกลงโทษทางกฎหมาย ความสูญเสียทางการเงินทั้งทางตรงและ ทางอ้อม การเสื่อมเสียชื่อเสียงขององค์กร แบรนด์ ความคงอยู่ขององค์กร การหยุดชะงักของการดำเนินงาน ผลกระทบต่อคุณภาพชีวิต (5.2) ในการสนับสนุน ส่งเสริมและสร้างแรงจูงใจให้มีพฤติกรรมหรือการกระทำที่ พึงประสงค์ (5.3) ในการปกป้องบุคลากร มิให้ต้องมีความเสี่ยงในการรับผิดเป็นการส่วนตัว อัน เนื่องจากการกระทำหรือการปฏิบัติงานที่เกี่ยวข้องกับการดำเนินงานของ องค์กร ทั้งในทางแพ่งและทางอาญา 2. วงจรของการกำกับการปฏิบัติตามกฎเกณฑ์ การกำกับการปฏิบัติตามกฎเกณฑ์ เป็นการดำเนินงานในลักษณะที่เป็นกระบวนการ ที่มี วงจรตั้งแต่ต้นจนจบ ประกอบด้วย 9 ขั้นตอน ดังนี้
14 COMPLIANCE GUIDEBOOK เล่มที่ 1 จากแผนภาพข้างต้น เรียงลำดับขั้นตอนตามวงจรของการกำกับการปฏิบัติตามกฎเกณฑ์ ได้ดังนี้ ขั้นตอนที่1 ทำการศึกษาเพื่อกำหนดทะเบียนหรือบัญชีของกฎเกณฑ์ที่มีผลกระทบ ต่อการดำเนินงานขององค์กร ทั้งส่วนที่มีการบังคับใช้อยู่แล้วในปัจจุบัน และส่วนที่คาดว่าจะมีการบังคับใช้ในอนาคต ทะเบียนหรือบัญชีของกฎเกณฑ์ดังกล่าวข้างต้น ต้องนำมาจำแนกให้เป็น หมวดหมู่ เนื่องจากแต่ละกฎเกณฑ์มีผลกระทบต่อการดำเนินงานของ องค์การ ในบางเรื่องบางลักษณะที่แตกต่างกัน แนวทางในการจัดทำหมวดหมู่ของทะเบียนหรือบัญชีกฎเกณฑ์ มี ประโยชน์ในการทำให้ สะดวกต่อการวิเคราะห์ช่องว่างการปฏิบัติที่มีอยู่ ในปัจจุบันขององค์กรเปรียบเทียบกับการปฏิบัติที่ควรจะเป็นตาม เงื่อนไขและข้อกำหนดรายกฎเกณฑ์นั้นๆ วิธีการในการจัดทำหมวดหมู่ของทะเบียนหรือบัญชีของกฎเกณฑ์ วิธีการที่ 1 แบ่งตามประเภทของการกำกับการปฏิบัติ ประกอบด้วยประเภท 5 ประเภทหลัก (1) Financial Compliance กฎเกณฑ์ด้านการเงิน บัญชี และภาษีอากร (2) Operational Complianceกฎเกณฑ์ที่ใช้ในการ กำกับการปฏิบัติงานประจำวัน รวมทั้งมาตรฐาน บรรทัดฐาน เงื่อนไขด้านคุณภาพ เงื่อนไขทางการค้าที่ เป็นพันธะสัญญากับคู่ค้า คู่สัญญา คู่ความร่วมมือ (3) Regulatory Compliance กฎเกณฑ์ที่เป็นกลุ่ม กฎหมาย ตั้งแต่รัฐธรรมนูญ พระราชบัญญัติ พระราช กำหนด พระราชกฤษฎีกา กฎกระทรวง และกฎหมาย ลำดับรองต่างๆของหน่วยงานกำกับภายนอก (4) Workforce Compliance กฎเกณฑ์ที่เกี่ยวข้องกับ ด้านแรงงานสัมพันธ์การคุ้มครองแรงงาน ประเด็นสิทธิ มนุษยชน ด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการทำงาน ที่เกี่ยวข้องกับคุณภาพ ชีวิตของผู้ปฏิบัติงาน
15 COMPLIANCE GUIDEBOOK เล่มที่ 1 (5) IT Compliance กฎเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยี สารสนเทศ การกระทำผิดทางคอมพิวเตอร์ การ ปฏิบัติงานทางอิเล็กทรอนิกส์ การบริหารจัดการข้อมูล วิธีการที่2 แบ่งตามผลกระทบต่อการดำเนินงาน สามารถแบ่งประเภทของผลกระทบได้ 6 ด้านหลัก ได้แก่ (1) กำกับการปฏิบัติของตัวแทนนิติบุคคล ได้แก่กรรมการ และคณะผู้บริหารระดับสูง ที่ต้องรับผิดชอบในฐานะนิติ บุคคล (2) กำกับการบริหารงานบุคคล ทั้งบุคคลเป็นพนักงาน ประจำ ลูกจ้างประจำ ลูกจ้างโครงการ บุคลากรที่มา จากการยืมตัวจากองค์กรอื่น ที่ปรึกษา (3) กำกับการดำเนินงาน รวมทั้งการกำกับการปฏิบัติตาม รหัสประเภทธุรกิจ ใบอนุญาตประกอบการเป็นราย ฉบับ การรับรองตามมาตรฐาน จรรยาบรรณเชิง จริยธรรมและวิชาชีพ
16 COMPLIANCE GUIDEBOOK เล่มที่ 1 (4) กำกับการบริหารทางการเงิน รวมทั้งการบริหารงาน บัญชี การบริหารเงิน (5) กำกับความรับผิดชอบที่มีต่อสังคมและสิ่งแวดล้อม ร ว ม ท ั ้ ง ค ว า ม ร ั บ ผ ิ ด ช อ บ ต า ม ก ร อ บ ESG (Environment & Social Governance) แ ล ะควา ม รับผิดชอบตามเป้าหมายการพัฒนาที่ยั่งยืนขององค์การ สหประชาชาติ17 SDG (6) การกำกับด้านเทคโนโลยีสารสนเทศ ระบบงาน การ บริหารจัดการข้อมูล วิธีการที่ 3 แบ่งตามกลุ่มการบังคับใช้ (1) กฎเกณฑ์ที่มีการกำกับในระดับองค์กรและบังคับใช้แล้ว (2) กฎเกณฑ์ที่มีการบังคับใช้ใหม่ในรอบ 1 ปี (3) กฎเกณฑ์ที่เตรียมประกาศใช้ในอนาคต
17 COMPLIANCE GUIDEBOOK เล่มที่ 1 หลักการจำแนกทะเบียนหรือบัญชีของกฎเกณฑ์ ควรจะพิจารณาจากกฎเกณฑ์ของหน่วยงานกำกับภายนอกเป็นสำคัญ เนื่องจากเป็นส่วนที่อยู่นอกเหนือจากระดับความสามารถในการควบคุม ขององค์กร จากทะเบียนหรือบัญชีกฎเกณฑ์ภายนอก แต่ละกฎเกณฑ์ องค์กร สามารถนำมาเชื่อมโยงกับการดำเนินงานตามบริบทภายในขององค์กร (1) แยกแยะตามสายธุรกิจ หรือโมเดลธุรกิจ (2) แยกแยะตามกระบวนการหลักขององค์กร หลังจากนั้นจึงนำเอากฎเกณฑ์ภายนอก เชื่อมโยงกับกฎเกณฑ์ที่กำหนด ขึ้นภายในองค์กร เพื่อให้อยู่ในหมวดหมู่ที่สามารถทำการสืบค้นหรือ เรียนรู้เพิ่มเติมด้วยตนเองได้ในภายหลัง เนื้อจากการจัดเก็บมีความ เกี่ยวข้องสัมพันธ์กันในลักษณะ Family Tree ซึ่งจะทำให้การบริหาร จัดการช่องว่างของความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ทำ ได้ครบถ้วนทั้งวงจร ขั้นตอนที่2 กำหนดประเด็นที่ยังเป็นช่องว่างการกำกับการปฏิบัติ(Compliance Gap) จากความแตกต่างของวิธีการปฏิบัติในปัจจุบันกับเงื่อนไขการ ปฏิบัติที่กฎเกณฑ์นั้นๆ กำหนด โดยพิจารณาเป็นรายมาตราหรือราย เงื่อนไขหรือข้อกฎหนดของกฎเกณฑ์นั้น ๆ ส่วนที่ปฏิบัติได้ตรงตาม กฎเกณฑ์อยู่แล้วแสดงว่าไม่มีช่องว่างของความเสี่ยงด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์ ประเด็นที่เป็นช่องว่างการกำกับการปฏิบัติดังกล่าวข้างต้น ควรจะนำมา จัดทำเป็นเช็คลิสต์(Checklist) เพื่อสะดวกในการตรวจสอบรายการ และพิจารณาเพื่อนำไปสู่การจัดวางกลไก เครื่องมือ วิธีการ มาตรการ กิจกรรม หรือขั้นตอนในการปิดช่องว่างเฉพาะส่วนที่เกี่ยวข้อง เพื่อให้ มั่นใจว่าองค์ก มีการกำกับการปฏิบัติเพื่อให้เป็นไปตามกฎเกณฑ์อย่าง ครบถ้วนและถูกต้อง ขั้นตอนที่3 การดำเนินการทั้งในระดับของการตั้งเป็นแผนงานโครงการ หรือการ จัดทำในระดับกิจกรรม เพื่อให้มั่นใจว่ามีการเพิ่มเติม ปรับปรุง แก้ไข ยกเลิกการปฏิบัติภายในเดิม และมีการกำกับการปฏิบัติ เพื่อให้มั่นใจว่า การปฏิบัติจะสอดคล้องกับกฎเกณฑ์ทุกประการ
18 COMPLIANCE GUIDEBOOK เล่มที่ 1 ขั้นตอนที่4 นำเอาแนวทางการปฏิบัติที่ได้มีการเพิ่มเติม ปรับปรุง แก้ไข ยกเลิก เพื่อ ปิดช่องว่างที่เคยมีอยู่และให้สอดคล้องกับกฎเกณฑ์ที่เกี่ยวข้อง จัดการ ประชุมและชี้แจง ทำความเข้าใจประเด็นที่เปลี่ยนแปลงไปจากเดิม รวมทั้งเหตุผลและความจำเป็น ผลกระทบทางกฎหมายที่เกี่ยวข้อง ทำ ให้ต้องเปลี่ยนแปลง กระบวนการปฏิบัติงานเดิม นำผลที่ได้จากการจัดประชุมชี้แจงไปพัฒนาเป็นองค์ความรู้ ประเด็น ถามตอบที่เหมาะสม เพื่อ เพิ่มสมรรถนะ องค์ความรู้ของผู้ปฏิบัติงานที่ เกี่ยวข้อง จนสามารถส่งต่อไปยังผู้ปฏิบัติงาน เพื่อระมัดระวังในการ ควบคุมด้วยการกำกับการปฏิบัติงานประจำวันด้วยตนเองได้ ขั้นตอนที่5 กำหนดตัวชี้วัดจากประเด็นที่มีการเพิ่มเติม ปรับปรุง แก้ไข ยกเลิก จน ทำให้เกิดการเปลี่ยนแปลงของกระบวนการปฏิบัติงาน เพื่อเป็นเงื่อนไข ในการติดตาม และประเมินผลการปฏิบัติงานที่เกิดขึ้นจริง ภายหลังจาก การส่งต่อไปยังผู้ปฏิบัติงานแล้ว เพื่อทดสอบประสิทธิภาพและ ประสิทธิผลของการกำกับการปฏิบัติตามกฎเกณฑ์ โดยเฉพาะในช่วงปี แรกของการเปลี่ยนแปลง ขั้นตอนที่6 กรณีที่พบว่าข้อกำหนดในการกำกับการปฏิบัติตามกฎเกณฑ์ ยังมีข้อ ติดขัด ไม่ได้รับความสะดวก เกิดปัญหาความล่าช้า ภาวะคอขวด หรือ ความสับสนที่ทำให้ยังมีการปฏิบัติผิดพลาด คลาดเคลื่อน หรือการ ตีความที่แตกต่างกัน จะทำการทบทวนและปรับปรุงแก้ไข เพื่อเพิ่ม ความสะดวกในการปฏิบัติงาน และกำหนดตัวชี้วัดเพื่อการติดตามและ ประเมินผลใหม่ ขั้นตอนที่7 กรณีที่พบว่าผู้ปฏิบัติงานไม่มีข้อขัดข้องใดและสามารถกำกับการ ปฏิบัติงานด้วยตนเองได้อย่างเพียงพอและเหมาะสม จะพิจารณา กำหนดให้ผู้ปฏิบัติงานทุกคน ในทุกกระบวนการ นำกลไก เครื่องมือ วิธีการ มาตรการ กิจกรรม หรือขั้นตอนการกำกับการปฏิบัติงานที่ สามารถปฏิบัติได้จริงแล้ว และจำเป็นต้องกำกับการปฏิบัติอย่างต่อเนื่อง ในระหว่างการปฏิบัติงาน เพื่อทำการแทรกเพิ่มเข้าไปในคู่มือการ ปฏิบัติงาน Work Instruction หรือ Workflow
19 COMPLIANCE GUIDEBOOK เล่มที่ 1 ขั้นตอนที่8 พิจารณาว่าจำเป็นต้องทำการตรวจประเมินซ้ำอีกรอบหรือไม่ตามฐาน ความเสี่ยง หรือทำการตรวจเยี่ยมผู้ปฏิบัติงาน ณ สถานที่ปฏิบัติงานจริง ในระหว่างการปฏิบัติงานจริง (Site Visiting) กรณีที่ยังพบการฝ่าฝืนไม่ปฏิบัติตามกฎเกณฑ์ที่กำหนดไว้จะดำเนินการ เข้าสู่กระบวนการสอบสวนและไต่สวน เพื่อหาสาเหตุในเชิงลึก และ ป้องกันผู้ปฏิบัติงานรายอื่น ลีการผิดพลาดมิให้เกิดขึ้นซ้ำในอนาคต ขั้นตอนที่9 จัดทำสรุปรายงานผลการดำเนินงานที่เกี่ยวข้องกับการกำกับการปฏิบัติ ตามกฎเกณฑ์ในรอบปี หรือในรอบไตรมาส หรือในรอบเดือนแล้วแต่ ความต้องการของผู้ใช้ประโยชน์จากรายงาน นำผลที่ได้จากการรายงานผล สรุปเป็นบทเรียนที่เรียนรู้ พัฒนาต่อยอด ไปสู่การเป็นองค์ความรู้ และภูมิปัญญาการจัดการความเสี่ยงด้านการ กำกับการปฏิบัติตามกฎเกณฑ์ พิจารณากำหนด ช่องทาง เงื่อนไขในการสื่อสาร การเปิดเผย และการ ขยายต่อยอดกับผู้ที่เกี่ยวข้องในห่วงโซ่คุณค่าขององค์กร 3. นิยามและรูปแบบของความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ ความเสี่ยง เป็นเหตุการณ์ไม่พึงประสงค์(Risk event) ที่มีโอกาสเกิดขึ้นแล้วจะส่งผล กระทบทางลบที่เกินกว่าเกณฑ์ที่ยอมรับได้ขององค์กร ที่มีทั้งความเสี่ยงที่มีอยู่แล้วและยังหลงเหลืออยู่ แม้ว่าจะมีการจัดการแล้ว และความเสี่ยงเกิดใหม่ ความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ (Compliance Risk) เป็นความ เสี่ยงที่เกี่ยวข้องกับความเป็นไปได้ที่จะมีการฝ่าฝืนหรือละเมิดข้อกำหนดแห่งกฎหมาย เงื่อนไข ข้อกำหนด มาตรฐาน พันธะผูกพันที่มีต่อภายนอก รวมทั้งนโยบายภายในองค์กร ซึ่งการละเมิดหรือฝ่าฝืนที่เกี่ยวข้อง มีผลกระทบทางตรงหรือทางอ้อมให้เกิดภาระทาง การเงินความรับผิดทางแพ่งหรือทางอาญา การแชงชั่นตามกฎหมาย หรือผลกระทบทางลบอื่นที่มีต่อ องค์กร และต่อบุคคลผู้เกี่ยวข้องกับการกระทำดังกล่าว เหตุการณ์ที่เป็นความเสี่ยง Compliance Risk Event ➢ การไม่ปฏิบัติตามกฎเกณฑ์ที่กำหนดระดับบุคคลที่ได้รับมอบหมายหรือกำหนดให้มี อำนาจกระทำการ ➢ การฝ่าฝืนการปฏิบัติตามกฎเกณฑ์ระดับบุคคลหรือหน่วยงานย่อย ตัวการ ตัวแทน ➢ การเจตนาในการฝ่าฝืนการปฏิบัติตามกฎเกณฑ์ ระดับบุคคลหรือหน่วยงานย่อย
20 COMPLIANCE GUIDEBOOK เล่มที่ 1 ➢ เจตนาละเมิดการปฏิบัติตามกฎเกณฑ์ ที่มีโทษทางกฎหมายระดับองค์กร ➢ ความรับผิดที่เกิดขึ้นจาก Compliance Risk Event ➢ ความรับผิดระดับองค์กรหรือนิติบุคคล ➢ ความรับผิดระดับบุคคล อันเนื่องจากการปฏิบัติงาน ในนามองค์กร ➢ ความรับผิดส่วนตัวของบุคคล ➢ ความรับผิดต่อประชาคม สังคม หน่วยงานหรือบุคคลภายนอก รูปแบบความเสี่ยงสำคัญในด้านการกำกับการปฏิบัติตามกฎเกณฑ์ได้แก่ 1) กลไกการบริหารจัดการที่ยังไม่เพียงพอ (1) การปรับเปลี่ยนกระบวนการดำเนินงานที่มีช่องว่างความเสี่ยงที่มีอยู่ก่อนการ เกิดกฎหมายที่มีเงื่อนไขและข้อกำหนดที่แตกต่างยังไม่เพียงพอหรือไม่ทันการ บังคับใช้กฎหมาย (2) การจัดการสาเหตุของความเสี่ยงรายประเด็นย่อยที่ยังเป็นช่องว่างความเสี่ยง เพื่อให้เป็นไปตามข้อกำหนดย่อยของกฎหมายลำดับรองไม่เหมาะสม หรือไม่ เพียงพอ หรือไม่ทันการบังคับใช้กฎหมาย จากการที่ไม่ให้ความสำคัญถึง กฎหมายลำดับรอง (3) การกำหนดตัวบุคคลที่เกี่ยวข้องและมอบหมายให้ต้องรับผิดชอบแทนหรือใน นามขององค์กรตามหน้าที่ในการปฏิบัติงานโดยตรงและหน้าที่ในการกำกับ ผู้ปฏิบัติงานที่เป็นข้อกำหนดของกฎหมายไม่เหมาะสม หรือไม่เพียงพอ หรือไม่ ทันการบังคับใช้กฎหมาย (4) การวางแนวทางปฏิบัติระบบการทำงาน หรือกลไกการดำเนินงาน การมอบ อำนาจกระทำการ ความรับผิดรับชอบสำหรับบุคคลที่ต้องแต่งตั้ง มอบอำนาจ กำหนดหรือปรับปรุงคำอธิบายรายลักษณะงานตามเงื่อนไขของกฎหมายไม่ เหมาะสม หรือไม่เพียงพอ หรือไม่ทันการบังคับใช้กฎหมาย (5) การบริหารจัดการบุคคล/หน่วยงานที่เกี่ยวข้องภายนอกองค์กร หน่วยงานหรือ องค์กรในเครือข่าย คู่ค้า คู่สัญญา คู่ความร่วมมือที่อยู่ในวงจรของการควบคุม และต้องกำกับกระบวนการปฏิบัติงาน ไม่เหมาะสมหรือ หรือไม่เพียงพอ หรือไม่ ทันการบังคับใช้กฎหมาย (6) การกำกับการปฏิบัติผ่านการจัดทำบันทึกข้อตกลงเพิ่มเติมกับหน่วยงานหรือ องค์กรภายนอกในการถ่ายโอนความเสี่ยง แบ่งปันความเสี่ยง หรือส่งต่อหน้าที่ ความรับผิดชอบร่วมกันทางกฎหมายไม่เพียงพอไม่ว่าจะเป็นส่วนของข้อตกลง
21 COMPLIANCE GUIDEBOOK เล่มที่ 1 หรือสัญญามาตรฐาน เอกสารแนบท้าย หรือเนื้อหาสาระที่จัดทำไว้ไม่สามารถ บังคับใช้ได้จริง หรือไม่ทันการบังคับใช้กฎหมาย (7) การจัดทำมาตรฐานการควบคุมและกำกับการดำเนินงาน ส่วนที่ต้องเป็นบรรทัด ฐานหรือมาตรฐาน (SOP : Standard Operating Procedures) เพื่อให้เป็น กรอบการกำกับการปฏิบัติงานเป็นไปตามกฎหมายไม่ครบถ้วน หรือไม่เพียงพอ หรือไม่ทันการบังคับใช้กฎหมาย (8) การจัดอบรม พัฒนาความรู้ ความเข้าใจให้กับพนักงานและบุคลากรที่เกี่ยวข้อง กับความรับผิดชอบตามกฎหมายไม่เหมาะสม หรือไม่เพียงพอ หรือไม่ทันการ บังคับใช้กฎหมาย 2) ความเสี่ยงที่มาจากหน่วยงานกำกับตามกฎหมายภายนอก (Regulator Risk) หรือ หน่วยงานที่มีอำนาจทางปกครองในการบังคับใช้กฎหมาย (1) การเตรียมความพร้อมและบทบาทของหน่วยงานกำกับหรือบังคับใช้แต่ละฉบับ ของกฎหมายอาจจะมีรูปแบบและหลักเกณฑ์ดำเนินงานไม่ชัดเจน การพิจารณา ใช้ดุลพินิจรายบุคคลประกอบ หรือยังต้องรอกฎหมายลำดับรองและแนวปฏิบัติ เพิ่มเติมเพื่อให้เกิดความชัดเจนในการปฏิบัติ หรือเป็นเรื่องที่ไม่สามารถ คาดหมายล่วงหน้าได้ว่าการปฏิบัติในระดับใดจึงมีความเพียงพอและมี ประสิทธิผลจนไม่เกิดความผิดพลาดทางกฎหมาย ส่งผลต่อความชัดเจนไม่ เพียงพอกับองค์กรในฐานะผู้ที่ต้องกำกับการปฏิบัติตามกฎหมาย (2) การบังคับใช้กฎหมายยังต้องอาศัยการตีความ ข้อวินิจฉัยเป็นรายกรณีที่ไม่ระบุ ไว้ในกฎหมายหลักและกฎหมายลำดับรอง หากไม่ติดตามจะไม่มีแนวทางเพื่อใช้ เป็นแนวทางปฏิบัติในอนาคต หรืออาจจะเสี่ยงต่อการเปลี่ยนแปลงของการ ตีความหรือแนววินิจฉัย (3) แม้กฎหมายจะกำหนดให้มีผลใช้บังคับหลังจากการประกอศใช้เป็นเวลานาน เช่น 1 ปี หรือ 180 วันนับจากประกาศใช้ หรือแม้แต่มีการเลื่อนการใช้บังคับ กฎหมายออกไปก่อนในระยะแรก แต่กลไก กระบวนการ เครื่องมือในการสร้าง ความรู้ความเข้าใจก่อนการใช้บังคับยังไม่เต็มรูปแบบ ไม่เพียงพอ (4) ยังขาดความชัดเจน หรือไม่เพียงพอเพิ่มเติมในส่วนที่ยังมีความซับซ้อนและ องค์กรต้องการสอบถามเพิ่มเติม หรือความสนับสนุนในรูปแบบของที่ปรึกษา พี่เลี้ยง ผู้ให้คำแนะนำ หรือองค์ความรู้เมื่อมีปัญหาหลังจากประกาศใช้และ กฎหมายมีผลใช้บังคับแล้วจากหน่วยงานที่ทำหน้าที่กำกับดูแล
22 COMPLIANCE GUIDEBOOK เล่มที่ 1 3) ความเสี่ยงของข้อมูลและการบริหารข้อมูลต่อความรับผิดชอบที่มีต่อตัวข้อมูลสำคัญ ที่อาจจะรวมถึงการรายงานผล หรือการเก็บเพื่อการตรวจสอบย้อนหลังของ หน่วยงานกำกับตามกฎหมาย (1) ไม่ได้วางกลไก เครื่องมือ วีการ มาตรการ ระบบการจัดการข้อมูลที่มีความ อ่อนไหว เปราะบาง มีชั้นความลับ หรือทำการแยกแยะข้อมูลได้ไม่ดี (2) ไม่ได้กำหนดกิจกรรมการบริหารให้ครบถ้วนตลอดวงจรของข้อมูลตั้งแต่การ รวบรวม จัดเก็บ ใช้ เปิดเผย จัดทำรายงาน ลบ/ทำลายเมื่อหมดความจำเป็น (3) ไม่ได้ทำให้ข้อมูลมีคุณสมบัติในการเชื่อมโยงกัน หรือไม่สามารถระบุไปหาตัว บุคคลที่เป็นเจ้าของข้อมูลหรือผู้จัดการข้อมูลได้อย่างถูกต้อง หรือปล่อยให้มีการ จัดการข้อมูลคนละชุดกันทั้งที่ควรเป็นชุดเดียวกัน หรือปล่อยให้สามารถเข้าถึง ข้อมูลอื่นที่ไม่เกี่ยวข้องได้ (4) ไม่สามารถบริหารจัดการกรณีที่ต้องใช้ร่วมกับข้อมูลอื่นหรือแหล่งข้อมูลอื่น จน ไม่ต้องสามารถระบุหรือแยกแยะแหล่งที่มาหรือเจ้าของหรือผู้ควบคุมข้อมูลได้ (5) ไม่สามารถจำกัดการเข้าถึงและการเปิดเผยข้อมูลที่มีชั้นความลับ หรือวิธีการ ปกป้องความเป็นส่วนตัวและสิทธิในข้อมูลไม่เพียงพอ จนเกิดการเปิดเผยข้อมูล โดยไม่ได้รับอนุญาต มีผลกระทบทางลบอย่างร้ายแรงต่อการดำเนินงานองค์กร ทรัพย์สินองค์กรหรือบุคคล หรือการนำไปใช้โดยมิชอบ (6) มีการเปิดเผยข้อมูลที่อ่อนไหวโดยไม่ได้รับอนุญาตทำให้เกิดความเสียหาย ร้ายแรง มีการดัดแปลงหรือทำลายข้อมูลโดยไม่ได้รับอนุญาต อาจมีผลกระทบ ร้ายแรงต่อการดำเนินงาน เกิดการหยุดชะงักของการเข้าถึงหรือการใช้ข้อมูล หรือระบบสารสนเทศของข้อมูล ที่ไม่ทันเวลาและลดความน่าเชื่อถือ 4) ประเด็นความเสี่ยงเกี่ยวกับระบบงานหรือด้านทางเทคนิค (Process/Technology Risk) (1) ความเหมาะสมของระบบเทคโนโลยีและการตรวจสอบความปลอดภัยยังไม่ เพียงพอ (2) มาตรการรักษาความปลอดภัยสารสนเทศไม่เหมาะสมหรือไม่ได้ตามมาตรฐาน (3) เครื่องมือเชิงเทคโนโลยีที่ใช้บริหารงานปฏิบัติไม่ได้รองรับทางกฎหมายเพียงพอ (4) การอบรมและสร้างความตระหนักรู้เกี่ยวกับการใช้งานด้านระบบงานไม่ เพียงพอ (5) ขาดการจัดทำธรรมาภิบาลข้อมูล จริยธรรม และการบังคับใช้ภายในองค์กร
23 COMPLIANCE GUIDEBOOK เล่มที่ 1 (6) การติดตามประเมินผลการใช้งานงานเทคโนโลยีจริงของระบบงานที่เกี่ยวข้อง กับกฎหมาย ไม่เหมาะสมไม่ควบคุม (7) ขาดมาตรการในการตรวจสอบเพื่อทบทวนและปรับปรุงเชิงเทคโนโลยีอย่าง ต่อเนื่อง 5) ความเสี่ยงที่เกี่ยวเนื่องหรือเกี่ยวข้องกับความเสี่ยงการกำกับการปฏิบัติตาม กฎเกณฑ์ (Compliance-Related Risk) ทำให้เกิดความล้มเหลวการกำกับการ ปฏิบัติ (1) การดำเนินงานที่ไม่เป็นไปตามมาตรฐานเชิงวิชาชีพ (2) การดำเนินงานไม่เป็นไปตามนโยบายภายในองค์กร เช่น ประมวลจรรยาบรรณ (3) การดำเนินงานไม่เป็นไปตามพันธะผูกพัน ข้อตกลง ที่มีต่อบุคคลภายนอก ตัวอย่างเช่น การขัดกันของผลประโยชน์ระหว่างส่วนรวมและส่วนตัว 4. สาเหตุของความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ 1) การบริหารผลดำเนินงานเชิงพาณิชย์หรือเชิงธุรกิจภายในที่ไม่ให้ความสำคัญหรือให้ ความสำคัญไม่เพียงพอกับการกำกับการปฏิบัติตามกฎเกณฑ์ 2) การกำกับการปฏิบัติหรือการบริหารผลดำเนินงานของบุคคลที่ 3 ไม่เหมาะสม ไม่ เพียงพอจากการที่องค์กรไม่ได้ทำเองทุกอย่าง ผู้ให้บริการภายนอกเป็นส่วนหนึ่ง ขององค์กร 3) การกำกับการปฏิบัติตามกฎเกณฑ์ที่เกี่ยวข้องกับสินค้าหรือบริการ เงื่อนไขหรือ ข้อตกลงทางการค้า หรือพันธผูกพันกับลูกค้าหรือผู้ใช้บริการไม่เพียงพอหรือไม่ เหมาะสม 4) การกำกับการปฏิบัติตามกฎเกณฑ์ที่เชื่อมโยงกับห่วงโซ่คุณค่าระหว่างประเทศที่มี เงื่อนไขและข้อกำหนดที่เข้มงวดมากกว่าในประเทศไทย 5) การกำกับการปฏิบัติตามกฎเกณฑ์ด้านจริยธรรม จรรยาบรรณที่กำหนดมาจากผู้มี ส่วนได้ส่วนเสีย ที่เป็นกระแสความสนใจของสื่อสังคมออนไลน์หรือโซเชียลมีเดีย อย่างเช่น (1) ประเด็นการละเมิดสิทธิมนุษยชน (2) การคุกคามทางเพศ หรือ (3) การกระทำที่ถูกมองว่าเจตนากระทำหรือปฏิบัติที่บกพร่องทางจริยธรรม (4) การใช้อำนาจหน้าที่โดยไม่ชอบ
24 COMPLIANCE GUIDEBOOK เล่มที่ 1 6) การกำกับการปฏิบัติตามกฎเกณฑ์ตามข้อกำหนด เงื่อนไข จรรยาบรรณขององค์กร เชิงวิชาชีพที่องค์กรเป็นสมาชิกอยู่ ที่มีส่วนในการกำหนดบทบาทขององค์กรเมื่อมี การปฏิบัติงานร่วมกับหน่วยงานอื่น หรือย้อนแย้งกับขอบเขตการปฏิบัติงาน จนเกิด เป็นกรณีที่การขัดกันของผลประโยชน์ 7) การกำกับการปฏิบัติตามกฎเกณฑ์ที่ไม่สอดคล้องกับความคาดหวังของผู้ปฏิบัติใน ฐานะลูกจ้างแต่ถือเป็นผู้มีส่วนได้ส่วนเสียภายใน ที่คาดว่าควรจะเป็นหน้าที่และ ความรับผิดชอบในการกำกับดูแลที่ดีในฐานะของนายจ้าง หรือการกำกับดูแล ผู้ปฏิบัติงานตามความคาดหวังของครอบครัวพนักงานหรือลูกจ้าง ได้แก่ (1) การสื่อสารที่เกี่ยวข้องกับการกำกับการปฏิบัติตามกฎเกณฑ์ไม่อาจไม่ เหมาะสมหรือไม่เพียงพอในการสร้างความเข้าใจที่มีประสิทธิภาพ (2) สภาพแวดล้อมการทำงานที่ไม่เป็นมิตร (3) ไม่มีวิธีป้องกันการล่วงละเมิดในที่ทำงาน (4) ไม่มีวิธีป้องกันการกลั่นแกล้ง การบูลลี่ การดูถูกเหยียดหยามในที่ทำงาน (5) การใช้อำนาจโดยมิชอบในที่ทำงาน การด่าทอด้วยวาจา (6) การเลือกปฏิบัติเพราะอายุ (7) การกลั่นแกล้งผู้ร่วมงานในที่ทำงาน (8) การเลือกปฏิบัติทางเพศ เชื้อชาติ ศาสนา (9) การปล่อยให้เกิดการเกี่ยวข้องกับยาเสพติด สารเสพติด 8) การกำกับการปฏิบัติตามกฎเกณฑ์ที่ป้องกัน หลีกเลี่ยงการใช้อำนาจและอิทธิพลที่ ไม่ชอบ เช่น (1) การใช้อำนาจและอิทธิพลทางการเมือง ผ่านองค์คณะตามโครงสร้าง ผู้ถือหุ้น ที่ปรึกษา ผู้เสนองาน ลูกค้า (2) การใช้อำนาจและอิทธิพลทางการเมือง ในทางอ้อม หรือไม่เป็นทางการ 9) การกำกับการปฏิบัติตามกฎเกณฑ์ที่เป็นความรับผิดชอบต่อสังคมและสิ่งแวดล้อมที่ ไม่เพียงพอ เนื่องจากความคาดหวังต่อ ESG – SDG ที่ต้องมีหลักฐานของการกระทำ เชิงประจักษ์พร้อมรายงานและการเปิดเผย (Evidence-Based and Open data) 5. หลักการและเงื่อนไขการวิเคราะห์และประเมินความเสี่ยงด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์ 1) หลักเกณฑ์ด้านความเพียงพอและประสิทธิผลตลอดวงจร
25 COMPLIANCE GUIDEBOOK เล่มที่ 1 (1) ระดับการออกแบบให้มีระบบการกำกับการปฏิบัติตามกฎเกณฑ์เป็นส่วนหนึ่ง ของการควบคุมภายใน เพื่อคุ้มครอง ปกป้อง กำกับการปฏิบัติระดับองค์กร ระดับสายงาน ระดับกิจกรรม ระดับแผนงาน/โครงการที่มีประสิทธิภาพและ ประสิทธิผล (2) มีเครื่องมือ กลไก มาตรการกำกับให้เกิดการสิ่งที่ออกแบบมาใช้จริง ได้แก่ การกำหนดอำนาจการอนุมัติให้มีขั้นตอนของการพิจารณา ตรวจสอบ สอบ ทานของการกำกับการปฏิบัติตามกฎเกณฑ์ก่อนการตัดสินใจ (3) แทรกกิจกรรม มาตรการ ขั้นตอนของการกำกับการปฏิบัติตามกฎเกณฑ์ไว้ใน การปฏิบัติระหว่างที่ผู้ปฏิบัติมีการปฏิบัติงาน (4) การวางขั้นตอน กิจกรรม กระบวนการในการกำกับการปฏิบัติตามกฎเกณฑ์ โดยตรงส่วนที่ดำเนินการเองภายในควบคู่กับการกำกับการปฏิบัติตาม กฎเกณฑ์ทางอ้อมในส่วนที่หน่วยงาน/องค์กรอื่นเป็นผู้ดำเนินการ (5) ความครอบคลุมของการกำกับการปฏิบัติตามกฎเกณฑ์ที่มั่นใจว่าต่อเนื่อง ตลอดอายุของการปฏิบัติงานที่เกี่ยวข้องตามกฎหมายนั้น ๆ เช่น กฎหมาย กำหนดให้ใช้เวลาดำเนินการภายใน 5 หรือ 10 หรือ 15 ปี (6) การแบ่งแยกการกำกับการปฏิบัติตามกฎเกณฑ์ตามบทบาทการปฏิบัติหน้าที่ ในนามนิติบุคคลส่วนที่เป็นของคณะกรรมการ ผู้บริหารที่มีอำนาจกระทำการ ในนนามนิติบุคคลออกจากตัวผู้ปฏิบัติงานที่กระทำการตามคำสั่ง การ มอบหมาย การมอบอำนาจกระทำการ 2) ระดับความเพียงพอตามความคาดหวังอย่างสมเหตุสมผลว่าได้รับการดูแลให้มีการ กำกับการปฏิบัติตามกฎเกณฑ์อย่างเต็มที่ 3) ระดับความเพียงพอและครบถ้วนตามเงื่อนไขและข้อกำหนดของกฎหมายหลัก และหลักเกณฑ์ เงื่อนไข ข้อกำหนดกฎหมายลำดับรอง 4) ระดับความเพียงพอที่ทำให้องค์กรมีความพร้อมให้หน่วยงานกำกับภายนอกเข้า ตรวจประเมิน 5) ระดับความเพียงพอของการกำกับการปฏิบัติตามกฎเกณฑ์เชิงรุก หรือเชิงป้อง ปรามหรือป้องกันจนไม่ต้องรับการลงโทษตามกฎหมาย 6. ความท้าทายของการกำหนดขอบเขตและการแบ่งแยกงานบริหาร COMPLIANCE
26 COMPLIANCE GUIDEBOOK เล่มที่ 1 แม้จะปัจจุบันการกำกับการปฏิบัติตามกฎเกณฑ์จะมีการวางมาตรฐานไว้แล้ว แต่ ทรัพยากรที่มีความพร้อมของผู้เกี่ยวข้องทั้งภายในและภายนอกองค์กร รูปแบบดำเนินธุรกิจของแต่ละ องค์กรแตกต่างกัน ทำให้การกำกับการปฏิบัติตามกฎเกณฑ์ยังเป็นความท้าทายที่สำคัญขององค์กร ส่วนใหญ่ ประเด็นที่องค์กรต้องพิจารณาและให้ความสำคัญในฐานะที่เป็นความท้าทายและมี แนวทางในการการกำกับการปฏิบัติตามกฎเกณฑ์ที่ชัดเจนในอนาคต ได้แก่ 1) การกำกับการปฏิบัติตามกฎเกณฑ์ในส่วนที่เป็นจริยธรรมและจรรยาบรรณว่าอยู่ใน ขอบเขตของการกำกับดูแลที่ดี(Corporate Governance) ที่มีผู้รับผิดชอบกลุ่มอื่น ในองค์กรจัดการโดยเฉพาะอยู่แล้วหรือเป็นขอบเขตส่วนหนึ่งของการกำกับการ ปฏิบัติตามกฎเกณฑ์เพราะจริยธรรมและจรรยาบรรณบางเรื่องเป็นการกำกับการ ปฏิบัติตามกฎเกณฑ์ที่เป็นภาคบังคับ ไม่ใช่เพียงการกำกับดูแลองค์กรที่เป็นภาค สมัครใจหรือแล้วแต่นโยบายของผู้บริหารระดับสูงในแต่ละองค์กร เพราะตาม มาตรฐานสากลที่จะกล่าวถึงในลำดับต่อไป มีมุมมองให้ประเด็นของจริยธรรมและ จรรยาบรรณทางธุรกิจ เป็นส่วนหนึ่งของการกำกับการปฏิบัติตามกฎเกณฑ์และ เชื่อมโยงมาจากข้อกำหนดหรือเงื่อนไขของกฎหมายภายนอก ไม่ใช่สิ่งที่องค์กร สามารถเลือกที่จะกำหนดเป็นนโยบายได้ตามที่องค์กรแต่ละองค์กรต้องการ ยกเว้น ในประเด็นที่องค์กรมีความสมัครใจเพิ่มเติมนอกเหนือจากกฎเกณฑ์ภายนอกที่มี สถานะเป็นภาคบังคับ จึงมีการใช้คำว่า C & E หรือ Compliance & Ethics มา กำหนดเป็นมาตรฐานการกำกับการปฏิบัติตามกฎเกณฑ์ 2) งานด้านกฎหมาย นิติกรรมสัญญา และพิธีการ (Legal Risk) มาตรฐานสากล ถือว่า เป็นส่วนหนึ่งของการบริหารและจัดการความเสี่ยงด้านการดำเนินงาน จากการที่ ข้อกำหนด และเงื่อนไขของกฎหมายนั้นๆ มีความชัดเจนอยู่แล้ว และมีการบังคับใช้ อยู่แล้ว เป็นเรื่องที่องค์กรต้องปฏิบัติให้เป็นไปตามกฎหมายนั้นๆ จึงมีความแตกต่าง จากการกำกับการปฏิบัติตามกฎเกณฑ์ (Compliance Risk) ที่เน้นการบริหาร จัดการช่องว่างความเสี่ยงของกฎเกณฑ์ที่เกิดใหม่ หรือเปลี่ยนแปลงไปจากเดิม ที่มา จากภายนอกองค์กร และเชื่อมโยงมาสู่การกำหนดข้อบังคับ ระเบียบปฏิบัติ ประกาศหรือคำสั่งภายในองค์กร ที่ต้องมีความสอดคล้องกัน ซึ่งการทำความเข้าใจ ให้ถูกต้องระหว่างคำว่า งานกฎหมาย นิติกรรมสัญญาและพิธีการ กับงานกำกับการ ปฏิบัติตามกฎเกณฑ์เพื่อไม่ให้เกิดการใช้ที่ปะปนสับสนกัน จนทำให้การกำกับการ ปฏิบัติตามกฎเกณฑ์ใหม่มีประสิทธิภาพและประสิทธิผล
27 COMPLIANCE GUIDEBOOK เล่มที่ 1 (1) งานดำเนินงานทางด้านกฎหมายมีขั้นตอน วิธีการ เงื่อนไขและหลักการที่ ชัดเจนอยู่แล้ว (2) กระบวนการดำเนินการทางกฎหมาย จึงมีลักษณะเป็นงานประจำ งานด้านการกำกับการปฏิบัติตามกฎเกณฑ์เป็นงานเฉพาะกิจ หรืองานโครงการ กรณีที่มีช่องว่างความเสี่ยง (1) เน้นการออกแบบระบบ โครงสร้าง กลไก มาตรการเพื่อปิดช่องว่างความเสี่ยง ด้านการกำกับการปฏิบัติตามกฎเกณฑ์ (2) เมื่อวางกรอบการกำกับการปฏิบัติตามกฎเกณฑ์แล้ว ก็ส่งต่อไปให้ผู้ปฏิบัติภาระ งานที่เกี่ยวข้องปฏิบัติตาม นำไปใช้
28 COMPLIANCE GUIDEBOOK เล่มที่ 1 บทที่ 2 มาตรฐานสากล 1: COSO 2013: Integrated Internal Control Framework แม้ว่าองค์กรระหว่างประเทศที่ชื่อ COSO (Committee of Sponsoring of The Treadway Commission) ที่เป็นองค์กรไม่แสวงหากำไรจะได้มีการเปลี่ยนแปลงและยกเลิกมาตรฐานการควบคุม ภายในเดิมเวอร์ชั่น 1992 เป็นเวอร์ชั่น 2013 เนื่องจากผลการเรียนรู้จากการถอดบทเรียนสาเหตุเชิง ลึกของวิกฤติการณ์แฮมเบอร์เกอร์ และการสำรวจผู้ใช้งานที่เป็นองค์กรต่างๆ ทั่วโลกได้พบจุดอ่อนของ มาตรฐานการควบคุมภายในฉบับเดิม ที่ยังทำให้องค์กรต่าง ๆ ทั่วโลกไม่ได้ใช้การบริหารงานควบคุม ภายในเป็นกลไกการกำกับดูแลที่ดีอย่างแท้จริงและอย่างเพียงพอ หนึ่งในจุดอ่อนคือการกำกับการปฏิบัติตามกฎเกณฑ์มีการวางกลไก เครื่องมือ มาตรการ ควบคุมภายในไม่เพียงพอ มาตรฐาน COSO 2013 จึงกำหนดให้ Compliance เป็นหนึ่งใน วัตถุประสงค์หลักที่มีความสำคัญเทียบเท่าและแยกออกมาจากวัตถุประสงค์ด้านประสิทธิภาพของการ ดำเนินงาน และความถูกต้องครบถ้วนของการรายงานทางการเงินและไม่ใช่การเงิน ที่มา COSO
29 COMPLIANCE GUIDEBOOK เล่มที่ 1 1. องค์ประกอบที่สำคัญตามมาตรฐาน COSO 2013 กรอบแนวคิดที่ใช้เป็นแนวปฏิบัติที่ดีตามมาตรฐาน COSO 2013 ยังคงยึดเอากรอบ แนวทางเดิมของมาตรฐาน COSO 1992 ไว้เป็นส่วนใหญ่ โดยประเด็นที่เกี่ยวข้องกับการกำกับการ ปฏิบัติตามกฎเกณฑ์ที่เป็นวัตถุประสงค์ของงานควบคุมภายในยังคงเหมือนเดิม แต่ไปขยายผลและ เพิ่มเติมเป็นแนวปฏิบัติแยกต่างหากในระดับการนำไปใปฏิบัติในแต่ละส่วนที่สำคัญ ส่วนที่ 1 วัตถุประสงค์ของการควบคุมภายใน (Control Objectives) ประกอบด้วย 3 วัตถุประสงค์หลัก ได้แก่ วัตถุประสงค์ที่ 1 เพื่อให้การดำเนินงานตามปกติขององค์กรเป็นไปอย่าง มีประสิทธิภาพและก่อให้เกิดประสิทธิผล (Operation Effectiveness) วัตถุประสงค์ที่ 2 เพื่อให้การจัดทำข้อมูลและออกรายงานทางการเงิน และไม่ใช่รายงานทางการเงินมีความครบถ้วนถูกต้อง (Reporting) วัตถุประสงค์ที่ 3 เพื่อให้มีกลไก เครื่องมือ มาตรฐานเชิงรุกในการกำกับ การปฏิบัติตามกฎเกณฑ์ที่ครบถ้วน (Compliance) ซึ่งจะเห็นได้ว่าการกำกับการปฏิบัติตามกฎเกณฑ์เป็นหนึ่งในวัตถุประสงค์หลัก ของวัตถุประสงค์ของการควบคุมภายในมาตั้งแต่มาตรฐานการควบคุมภายใน ฉบับแรกที่ COSO ออกมาใช้ และไม่ได้เปลี่ยนแปลงไปจนฉบับ COSO 2013 ที่เป็นฉบับล่าสุด ดังนั้น ในทางปฏิบัติองค์กรต่าง ๆ ทั่วโลกต่างรับรู้คำว่า “การกำกับการปฏิบัติ ตามกฎเกณฑ์” หรือ “Compliance” มาตั้งแต่มาตรฐานการควบคุมภายใน COSO 1992 แสดงว่าทุกองค์กรที่จะจัดวางกรอบการปฏิบัติที่ดีในเรื่องการ ควบคุมภายในที่ดีไม่อาจหลีกเลี่ยงวัตถุประสงค์ของการควบคุมภายในที่ทำให้ สามารถกำกับการปฏิบัติตามกฎเกณฑ์ได้ กระนั้นก็ตาม องค์กรส่วนใหญ่ดูเหมือนว่าจะให้น้ำหนักความสำคัญของ วัตถุประสงค์การควบคุมแต่ละวัตถุประสงค์ดังกล่าวข้างต้นไม่เท่าเทียมกัน และที่สำคัญการกำกับการปฏิบัติตามกฎเกณฑ์ได้ถูกลดทอนความสำคัญลง เมื่อเปรียบเทียบกับวัตถุประสงค์อีกสองด้าน ยิ่งกว่านั้น องค์กรยังมีความ เข้าใจที่สับสน หรือผิดพลาดคลาดเคลื่อนในความหมายของการกำกับการ
30 COMPLIANCE GUIDEBOOK เล่มที่ 1 ปฏิบัติตามกฎเกณฑ์สำคัญและจำเป็น และประสิทธิภาพของการดำเนินงาน (Operation) อีกด้วย ที่ผ่านมาองค์กรส่วนใหญ่จึงยึดโยงกับการพิจารณากิจกรรมการควบคุมภายใน ที่มุ่งบรรลุวัตถุประสงค์แรก คือ การดำเนินงานขององค์กรที่เป็นไปอย่างมี ประสิทธิภาพและเกิดประสิทธิผลให้มีความสำคัญมากกว่าการกำกับการ ปฏิบัติตามกฎเกณฑ์ และการควบคุมความถูกต้องของรายงานที่เปิดเผยถือว่า มีความสำคัญเช่นกัน เพราะมาตรฐานด้านการควบคุมภายในของ COSO ประกาศใช้เพื่อมุ่งที่จะใช้บังคับกับบริษัทมหาชนที่จดทะเบียนในตลาด หลักทรัพย์ก่อนบริษัทนอกตลาด หน่วยงานกำกับตลาดหลักทรัพย์จึงต้องการ ให้องค์กรควบคุมภายในที่ดีที่นำไปสู่การออกรายงานที่ออกมาเปิดเผยต่อ สาธารณะที่มีความน่าเชื่อถือทำให้วัตถุประสงค์ด้านนี้ได้รับความสำคัญใน อันดับแรกตามไปด้วย แนวโน้มที่องค์กรที่เป็นผู้ประกอบการขนาดใหญ่ได้ให้ความสำคัญกับ วัตถุประสงค์ในการควบคุมการปฏิบัติงานมากกว่าการกำกับการปฏิบัติตาม กฎเกณฑ์มีส่วนที่จะทำให้เจ้าของภาระงานมุ่งเน้นการควบคุมเฉพาะภาระงาน ในขอบเขตของแต่ละคนและแต่ละหน่วยงานย่อยของตนเกี่ยวข้อง และถือว่า กฎเกณฑ์ภายในองค์กรและคำอธิบายรายลักษณะงานเป็นทั้งหมดของ กฎเกณฑ์ที่ตนต้องปฏิบัติตาม (Internal Rule based) เท่านั้น และมีความ มั่นใจว่าหากสามารถควบคุมการดำเนินงานในขอบเขตความรับผิดชอบของ ภาระงานของตนได้อย่างเพียงพอถือว่าบรรลุวัตถุประสงค์ด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์นี้แล้วและถือว่าการควบคุมภายในมีระดับที่เพียงพอ ส่วนที่ 2 ระดับการควบคุมภายในขององค์กร (Control level) มาตรฐาน COSO กำหนดองค์ประกอบของการควบคุมภายในที่จำเป็นมี 4 ระดับที่องค์กรจะต้องดำเนินการให้ครบถ้วน ได้แก่ ระดับที่ 1 การควบคุมภายในระดับภาพรวมขององค์กร (Entity level) กิจกรรมการควบคุมภายในที่เป็นระดับองค์กรจะเป็นการ ควบคุมภายในที่บังคับใช้และครอบคลุมบุคลากรทุกคน ทุก ระดับในองค์กร ไม่ว่าบุคลากรนั้นจะเป็นใคร ตำแหน่งหน้าที่ ในภาระงานใด จะต้องอยู่ภายใต้การควบคุมภายในนี้อย่าง
31 COMPLIANCE GUIDEBOOK เล่มที่ 1 เท่าเทียมกันทั้ง 3 วัตถุประสงค์ที่รวมทั้งการกำกับการปฏิบัติ ตามกฎเกณฑ์ด้วย การควบคุมภายในในระดับภาพรวมขององค์กรนี้ จึงมุ่งที่จะ ควบคุมสภาพแวดล้อมภายในเพื่อกำกับการดำเนินกิจกรรม หลักหรือ กระบวนงานหลักทั่วทั้งองค์กร โดยไม่มีข้อยกเว้น ไม่มีการเลือกปฏิบัติ เพราะเป็นประเด็นกิจกรรมการควบคุม ภายในที่บุคลากรทุกคนต้องยึดมั่นอย่างเท่าเทียมกัน ระดับที่ 2 การควบคุมภายในที่ใช้กับระดับสายงาน สายธุรกิจ และ องค์กรในเครือข่าย กิจกรรมการควบคุมภายในระดับสายงานนี้ เป็นการ กำหนดการควบคุมภายในในส่วนที่เกี่ยวข้องกับความ รับผิดชอบและหน้าที่ของแต่ละสายงานหรือสายธุรกิจที่ แตกต่างกัน โดยพิจารณาว่าการดำเนินงานขององค์กรใน ระดับกระบวนการ (Process Level) ที่เป็นพันธกิจหลักของ องค์กรที่ต้องขับเคลื่อนเกิดจริง ซึ่งแต่ละกระบวนการย่อมจะ มีหน่วยงานย่อยมาเกี่ยวข้องหลายหน่วยงานย่อย โดยบาง หน่วยงานย่อยทำหน้าที่เป็นกระบวนการในระดับต้นน้ำ บาง หน่วยงานย่อยทำหน้าที่เป็นกระบวนการกลางน้ำ และบาง หน่วยงานย่อยต้องทำหน้าที่เป็นกระบวนการปลายน้ำ ก่อนที่ จะเกิดการส่งมอบผลงานออกไปสู่ภายนอกต่อไป การที่หน่วยงานย่อยแต่ละหน่วยงานจะปฏิบัติงานร่วมกัน อย่างราบรื่น จำเป็นต้องมีการควบคุมภายในที่ใช้บริหารและ จัดการกับทุกหน่วยงานย่อยร่วมกันให้เกิดการประสาน ส่งต่อ บูรณาการกันและดำเนินงานอยู่บนวัตถุประสงค์ร่วมกัน ทั้ง ระดับต้นน้ำ กลางน้ำ และปลายน้ำ นอกจากนั้น การดำเนินการที่เกิดข้ามกระบวนการ (InterProcess) ที่เกี่ยวข้องกับหน่วยงานของสายงานหรือสายธุรกิจ อื่นๆ ภายในองค์กรก็มีความจำเป็นต้องอาศัยกลไกการ ควบคุมภายในที่จะสามารถทำให้มั่นใจว่าการดำเนินงาน ระหว่างกระบวนการที่เกี่ยวข้องกันจนถึงขั้นตอนการส่งมอบ
32 COMPLIANCE GUIDEBOOK เล่มที่ 1 ผลผลิตแก่ลูกค้า หรือคู่ค้าขององค์กรบรรลุตามวัตถุประสงค์ ของการควบคุมภายใน ระดับที่ 3 การควบคุมภายในที่ใช้เฉพาะหน่วยงานย่อยเอง กิจกรรมการควบคุมภายในในระดับนี้ จำกัดขอบเขตอยู่แต่ เฉพาะภาระงานระหว่างบุคลากรภายในหน่วยงานย่อยแต่ละ หน่วยงานเองตามคำอธิบายลักษณะงานและหน้าที่ความ รับผิดชอบที่ได้รับมอบหมาย ไม่ได้เกี่ยวข้องกับหน่วยงานย่อย อื่น ๆ โดยหัวหน้างานของหน่วยงานย่อยนั้น ๆ เองมักจะ รับผิดชอบในการจัดวางการควบคุมภายในเพื่อกำกับภาระ งานภายในหน่วยงานย่อยตามความจำเป็น กิจกรรมการควบคุมภายในในระดับหน่วยงานย่อยนี้จะยึดโยง กับคำอธิบายลักษณะงานตามภาระงานที่ได้รับมอบหมาย การมอบอำนาจกระทำการที่แต่ละหน่วยงานย่อยได้รับจาก ผู้บริหารองค์กร ระดับที่ 4 การควบคุมระดับภาระงานหรือหน้าที่ที่รับมอบหมาย รายบุคคล (Functional & Self-Control) กิจกรรมการควบคุมภายในในระดับนี้เป็นความรับผิดชอบที่ จำกัดตามหน้าที่และตำแหน่งแต่ละภาระงาน (FunctionalBased) ของบุคคลแต่ละบุคคลโดยเฉพาะเท่านั้น ในฐานะที่ เป็นเจ้าของภาระงาน ซึ่งโดยวุฒิภาวะและโดยการผ่านการ อบรมการพัฒนาสมรรถนะมาแล้วควรจะสามารถควบคุม ตนเองได้อย่างเพียงพอและเหมาะสม และไม่ได้บกพร่อง หรือประมาทหรือละเลยไม่ใส่ใจ องค์กรคาดหวังว่าบุคลากรรายบุคคลที่เป็นเจ้าของภาระงาน ที่เป็นผู้ลงมือปฏิบัติงานใด ๆ จะสามารถควบคุมตนเองได้ อย่างเพียงพอ เหมาะสม มิฉะนั้นจะถือว่า “บกพร่อง” การกำหนดระดับการควบคุมภายในเป็น 4 ระดับนี้ ทำให้การดำเนินงานของ องค์กรที่เกิดขึ้นเพื่อให้บรรลุวัตถุประสงค์ที่ 3 ด้านการกำกับการปฏิบัติตาม
33 COMPLIANCE GUIDEBOOK เล่มที่ 1 กฎเกณฑ์มีความจำเป็นจะต้องจัดวางกิจกรรมการควบคุมภายในให้ครบถ้วน ทั้ง 4 ระดับด้วย จึงจะมีประสิทธิภาพและเกิดประสิทธิผลตามที่กำหนดไว้ ส่วนที่ 3 ประเภทของความเสี่ยงที่องค์กรต้องมีการจัดการ ตั้งแต่เกิดมาตรฐานการควบคุมภายใน COSO 1992 จนมาถึง COSO 2013 ได้มีการกำหนดประเภทของความเสี่ยงที่องค์กรต้องพิจารณาเป็น 4 ประเภท และเป็นที่รับทราบกับโดยทั่วไปของนักบริหารจัดการ จนเกิดการเรียกกันว่า S – O – F – C Platform S = Strategic Risk ความเสี่ยงด้านกลยุทธ์เป็นความเสี่ยงจากความ ไม่แน่นอน ความเปลี่ยนแปลงที่อาจะเกิดจากการ กำหนดกลยุทธ์ หรือวัตถุประสงค์ทางธุรกิจ หรือ นโยบาย หรือแผนงาน/โครงการ หรือมีการปรับ โครงสร้างองค์กร หรือการโยกย้ายบุคลากร หรือ ปรับกรอบอัตรากำลัง หรือการบริหารและจัดสรร ทรัพยากรที่มีขององค์กรในระดับคณะกรรมการ และระดับผู้บริหาร O = Operational Risk ความเสี่ยงด้านปฏิบัติการ เป็นความเสี่ยงที่เกิด จากผู้ปฏิบัติงาน และ/หรือระบบงานด้าน IT ที่ ทำงานร่วมกับบุคคล มีลักษณะที่ไม่เหมาะสม
34 COMPLIANCE GUIDEBOOK เล่มที่ 1 ล้าสมัย หรือทันสมัยและก้าวหน้าเกินไป มีการ เปลี่ยนแปลง ไม่ชัดเจน จงใจที่จะฝ่าฝืนหรือละเมิด การปฏิบัติงานที่มีวิธีปฏิบัติ มีคู่มือปฏิบัติ และมี กระบวนการไหลของงานกำหนดไว้ชัดเจนอยู่แล้ว จนเกิดผลเสียหาย F = Financial Risk ความเสี่ยงทางด้านการเงิน เป็นความเสี่ยงที่ เกี่ยวข้องกับ ก) การให้เครดิต การผ่อนชำระ หรือกรณีที่มีการ ส่งมอบสินค้าและบริการก่อนได้รับเงินชำระ ครบถ้วน หรือการไม่ได้รับชำระเงินตรงตาม กำหนดจากลูกค้า หรือคู่ค้า ข) สถานะด้านสภาพคล่องและฐานะการเงินระยะ ยาว ทำให้องค์กรเองไม่สามารถชำระหนี้และ ภาระผูกพันที่มีต่อคู่สัญญา คู่ค้าได้ตรงตาม กำหนด ค) ความเสี่ยงด้านการตลาดที่เกิดจากความผัน ผวนของราคาตลาดของเงิน ของสังหาริมทรัพย์ หรือของอสังหาริมทรัพย์ ได้แก่ ราคาของเงิน ในรูปดอกเบี้ย ราคาของเงินตราต่างประเทศใน รูปอัตราแลกเปลี่ยนเงิน ราคาของทรัพย์สินใน ตลาดลดลง จนทำให้เกิดปัญหาขาดแคลนสภาพคล่องในระยะ สั้นแก่องค์กร และเกิดปัญหาความมั่นคงและ เสถียรภาพทางการเงินระยะยาวแก่องค์กร เป็น ความเสียหายทางการเงิน ผลขาดทุนจากการ ดำเนินงานและอาจจะล้มละลายได้ C = Compliance Risk ความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ ให้ครบถ้วน เป็นประเภทของความเสี่ยงที่องค์กรไม่ สามารถจะทำการกำกับการปฏิบัติงานและการ ดำเนินงานตามปกติให้สอดคล้อง และครบถ้วนตาม
35 COMPLIANCE GUIDEBOOK เล่มที่ 1 กฎเกณฑ์ของหน่วยงานกำกับภายนอกและ กฎเกณฑ์ภายในที่องค์กรกำหนดขึ้นเอง อันทำให้ เกิดการฝ่าฝืนการปฏิบัติตามกฎเกณฑ์นั้น ๆ หรือ ปฏิบัติผิดพลาด ที่นำไปสู่การถูกลงโทษ ความ เสียหายเป็นตัวเงินและไม่เป็นตัวเงิน อย่างไรก็ตาม ในการบริหารจัดการองค์กรที่มีรูปแบบการดำเนินธุรกิจที่ ก้าวหน้าไปจากเดิม มีลักษณะของการบริหารงานที่พึ่งพาเทคโนโลยีสมัยใหม่ ตลอดจนการที่องค์กรต้องมีความรับผิดชอบต่อสังคมและสิ่งแวดล้อมเพิ่มเติม ทำให้มีความเสี่ยงประเภทใหม่ๆ เกิดขึ้น นอกเหนือจากความเสี่ยงพื้นฐาน 4 ด้านข้างต้น ได้แก่ 1) ความเสี่ยงด้านการหยุดชะงักทางเทคโนโลยี(Technology disruption) 2) ความเสี่ยงจากการโจมตีทางไซเบอร์ 3) ความเสี่ยงด้านความรับผิดชอบต่อการเปลี่ยนแปลงของสภาพภูมิอากาศ 4) ความเสี่ยงด้านชื่อเสียงภาพลักษณ์ทางลบ การให้ข่าวที่เป็นข่าวปลอม (Fake news) ขององค์กร 5) ความเสี่ยงด้านความรับผิดชอบต่อการดำเนินงานที่เป็นมิตรต่อสังคมและ สิ่งแวดล้อม เป็นต้น จะเห็นได้ว่า นอกจากกำหนดให้การกำกับการปฏิบัติตามกฎเกณฑ์เป็น วัตถุประสงค์หลักของการควบคุมภายในแล้ว COSO 2013 ได้กำหนดให้ความ เสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์หรือ Compliance Risk เป็น ความเสี่ยงประเภทหนึ่งขององค์กรที่มีความสำคัญและองค์กรจะต้องดำเนิน กิจกรรมการควบคุมความเสี่ยงประเภทนี้เช่นเดียวกับความเสี่ยงประเภทอื่น ๆ ที่เกิดขึ้นกับองค์กร อีกทั้งยังได้แยกแยะความเสี่ยงด้านการกำกับการปฏิบัติ ตามกฎเกณฑ์ที่มีความแตกต่างออกจากความเสี่ยงด้านปฏิบัติการ ซึ่งความแตกต่างระหว่างความเสี่ยงด้านปฏิบัติการกับความเสี่ยงด้านการ กำกับการปฏิบัติตามกฎเกณฑ์ มีประเด็นที่สำคัญคือ 1) กรณีที่องค์กรได้กำหนดและประกาศใช้ระเบียบปฏิบัติ ขั้นตอนปฏิบัติ วิธี ปฏิบัติงานไว้อย่างครบถ้วน เพียงพอแล้ว หากผู้ปฏิบัติงานไม่ปฏิบัติตาม
36 COMPLIANCE GUIDEBOOK เล่มที่ 1 ต้องถือว่ารับรู้อยู่แล้ว เข้าใจมาก่อนแล้ว จึงเป็นความเสี่ยงด้านปฏิบัติการที่ เป็นการจงใจละเมิด ฝ่าฝืน ไม่ปฏิบัติตาม หรือเป็นประเด็นทางวินัยแต่ ไม่ใช่เพราะไม่เข้าใจ 2) กรณีที่องค์กรยังขาดความชัดเจน ขาดความครบถ้วน หรือยังขาด ความเพียงพอในด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่ต้องมีนโยบาย ระเบียบปฏิบัติ ขั้นตอนปฏิบัติ วิธีปฏิบัติงาน หรือไม่ได้มีอยู่ก่อนแล้ว หรือ มีอยู่แล้วก็จริงแต่ทำให้เกิดการตีความได้หลากหลาย แต่ละคนที่เป็นผู้ ปฏิบัติยังมีแนวทางในการปฏิบัติที่แตกต่างกัน กรณีนี้จะถือว่าเป็น “ความ เสี่ยงด้านกำกับการปฏิบัติตามกฎเกณฑ์” 2. การนำเอา COSO 2013 มาปรับใช้ในงาน Compliance วัตถุประสงค์การกำกับการปฏิบัติตามกฎเกณฑ์ (Compliance objective) ภายใต้กรอบ แนวปฏิบัติที่ดีตามมาตรฐานการควบคุมภายในของ COSO 2013 มุ่งเน้นในการกำกับการปฏิบัติของ กระบวนการดำเนินงานตามปกติ การปฏิบัติงานประจำวัน ซึ่งแต่ละองค์กรมักจะมีการจัดทำคู่มือการ ปฏิบัติงานหรือ Work Instruction หรือ Work Flow แสดงผังการไหลของงาน หรือการไหลของ ข้อมูล (Data Flow) ที่มีคำอธิบายลักษณะงาน (Job Description) ของแต่ละหน่วยงานตามโครงสร้าง องค์กร และของภาระงาน ตามอำนาจหน้าที่ไว้อยู่แล้ว การนำเอาองค์ประกอบในส่วนของการกำกับ การปฏิบัติตามกฎเกณฑ์มาใช้ในงานควบคุมภายในจึงคำนึงถึงความสอดคล้อง ความสะดวก และ ประสิทธิภาพและประสิทธิผลของการดำเนินงานดังกล่าวเป็นสำคัญ การนำเอามาตรฐานการควบคุมภายในดังกล่าวมาใช้ในการกำกับการปฏิบัติตาม กฎเกณฑ์สามารถแยกออกได้เป็นด้านต่างๆ ดังนี้ ส่วนที่ 1 การปรับใช้ในตารางหรือเมทริกซ์อำนาจการอนุมัติ (Table or Matrix of Authority) องค์กรจะกำกับการบริหารจัดการให้การดำเนินงานภายใน องค์กรขับเคลื่อนไปได้แบบไม่ติดขัด เมื่อมีการมอบอำนาจ กระทำการที่ชัดเจน ซึ่งรวมทั้งการการกำกับการปฏิบัติตาม กฎเกณฑ์เป็นส่วนหนึ่งของวงจรการดำเนินงานด้วย
37 COMPLIANCE GUIDEBOOK เล่มที่ 1 ทุกองค์กรจะมีการกำหนดตารางอำนาจอนุมัติ หรือเมทริกซ์ของ อำนาจการอนุมัติ ซึ่งโดยปกติจะประกอบด้วยอำนาจการอนุมัติ 5 ชั้นหรือ 5 ระดับ ประกอบด้วย โครงสร้างการอนุมัติ ตามแผนภาพข้างต้น อำนาจอนุมัติจะประกอบด้วย (1) คณะกรรมการ และคณะกรรมการที่จัดตั้งไว้ในโครงสร้าง เรียกว่า 5 th Line (2) ฝ่ายบริหารหรือฝ่ายจัดการที่เป็นผู้บริหารระดับสูง เรียกว่า 4 th Line (3) สายงานตรวจสอบภายใน เรียกว่า 3 rd Line (4) กลุ่มงานที่ทำหน้าที่กำกับดูแลในระดับองค์กร เช่น ฝ่ายบัญชี และการเงิน ฝ่ายบุคคล ฝ่ายไอที ฝ่ายธุรการ เรียกว่า 2 nd Line (5) กลุ่มผู้ปฏิบัติงาน เรียกว่า 1 st Line ความสำคัญของ The Five Lines Model โมเดลหรือแบบจำลองนี้ช่วยให้องค์กรสามารถระบุโครงสร้าง และกระบวนการดำเนินงานที่ควรจะมีขั้นตอนตั้งแต่การ
38 COMPLIANCE GUIDEBOOK เล่มที่ 1 เตรียมการ การรวบรวม การทวนสอบ ตรวจเช็ค การหารือขอ ความเห็น การกระทำที่เป็นการดำเนินการ และการตัดสินใจที่จะ ช่วยให้มั่นใจว่าผลที่เกิดขึ้นจะทำให้บรรลุผลสัมฤทธิ์ตาม วัตถุประสงค์ได้ดีที่สุด และช่วยอำนวยความสะดวกให้เกิดความ เข้มแข็งในด้านการกำกับดูแลและการบริหารจัดการความเสี่ยงที่ มีความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ด้วยส่วนหนึ่ง ซึ่งโมเดลนี้สามารถนำไปใช้ได้เช่นเดียวกันในทุกองค์กร และจะ ได้ผลดีที่สุดเมื่อ (1) ประยุกต์ใช้แนวคิดที่อ้างอิงตามหลักการ (Principlesbased approach) และปรับปรุงโมเดลนี้ให้เหมาะสมกับ วัตถุประสงค์และสภาพการณ์ของแต่ละองค์กร (2) มุ่งเน้นประเด็นการส่งเสริมการบริหารจัดการความเสี่ยงใน การบรรลุวัตถุประสงค์ และสร้างมูลค่าแก่องค์กร ควบคู่กับ การแบ่งแยกการสร้างแนวป้องกันและปกป้องคุณค่าของ องค์กรให้เหมาะสม (3) สร้างความชัดเจนด้านความเข้าใจในบทบาทและความ รับผิดชอบ ที่กำหนดไว้ในโมเดลและการสัมพันธ์เกี่ยวข้องกัน ระหว่างแนวป้องกันแต่ละส่วนใน 3 แนวกำแพงการควบคุม ในระดับปฏิบัติการ (4) นำมาตรการมาใช้ในการทำให้เกิดความมั่นใจว่ากิจกรรมที่ ดำเนินงานและวัตถุประสงค์นั้น ๆ มีความสอดคล้องกับ ผลประโยชน์ที่มีความสำคัญในลำดับต้น ๆ สำหรับผู้มีส่วนได้ ส่วนเสีย หลักการเบื้องต้น Matrix หรือ Approval Authorization Matrix เป็นตาราง เมทริกซ์ที่พิจารณาด้วยปัจจัยขับเคลื่อนตั้งแต่ 2 มิติขึ้นไปที่ใช้ กำหนดเป็นเงื่อนไขและข้อกำหนดไว้ล่วงหน้าเกี่ยวกับตัวผู้รับ มอบอำนาจกระทำการไปจนถึงผู้ที่ทำการตัดสินใจ โดยเฉพาะที่ เกี่ยวข้องกับอนุมัติหรือไม่อนุมัติควบคู่กับเงื่อนไขของการอนุมัติ และประเภทรายการอนุมัติเกี่ยวข้องกับกระบวนงานทางธุรกิจที่
39 COMPLIANCE GUIDEBOOK เล่มที่ 1 1) มีความเหมาะสมและสอดคล้องกัน สร้างดุลยภาพ ความ สมดุล การถ่วงอำนาจกระทำการในกลุ่มผู้เกี่ยวข้องโดยตรง ผู้ กำกับ ผู้สอบทานหรือตรวจสอบ และเป็นการกระจายอำนาจ บริหารแบบ Flat เพื่อเสริมสร้างศักยภาพของพนักงานระดับ บริหารและหัวหน้างาน 2) มีโครงสร้าง (Structure) ที่พร้อมที่จะปรับปรุง แก้ไข ยืดหยุ่น ได้อย่างรวดเร็วและคล่องตัว ตลอดจนป้องกันความล่าช้าจน เสียหาย เมื่อ (1) มีการเปลี่ยนแปลงโครงสร้างองค์กร หรือ (2) มีการเปลี่ยนตัวบุคลากร หรือตำแหน่ง (3) มีการเปลี่ยนแปลงเชิงนโยบาย รูปแบบธุรกิจ สายธุรกิจ (4) การเกิดขึ้นเฉพาะเจาะจงในบางสถานการณ์ที่พิจารณา เป็นรายกรณี วิธีการใช้ Approval Authorization Matrix ขึ้นกับโครงสร้าง องค์กร รูปแบบของสายงานธุรกิจ หรือการกำหนดสายการกำกับ ดูแลที่นำมากำหนดตรรกะของการกระจายอำนาจการอนุมัติจึง เกิดขึ้นควบคู่กับเส้นทางเดินของเอกสารหรือบันทึกข้อความที่ นำไปสู่การอนุมัติ (Document Routing & Approval) เป็นราย ครั้งหรือในกระบวนการด้านการปฏิบัติงานประจำวัน โดยแทรก กิจกรรมหรือขั้นตอนการกำกับการปฏิบัติตามกฎเกณฑ์ไว้เป็น ส่วนหนึ่ง ข้อควรระวังที่สำคัญของ Approval Authorization Matrix ที่เกี่ยวข้องกับการกำกับการปฏิบัติตามกฎเกณฑ์ 1) ต้องมีความชัดเจนในส่วนของการกำกับการปฏิบัติตาม กฎเกณฑ์ในแต่ละประเด็นหรือแต่ละกระบวนการที่กำหนด อำนาจการอนุมัติจนผู้เกี่ยวข้องต้องระมัดระวังและ ดำเนินการด้วยถูกต้องตามลำดับ-ก่อนหลัง มีความโปร่งใส ยืนหยัดบนความถูกต้อง และพร้อมให้ตรวจสอบย้อนหลังได้
40 COMPLIANCE GUIDEBOOK เล่มที่ 1 2) หากผู้มีอำนาจกระทำการระมัดระวังในส่วนของการกำกับ การปฏิบัติตามกฎเกณฑ์เกินไป อาจจะทำให้การตัดสินใจช้า เป็นคอขวด ล่าช้าเกินไป จนไม่ทันการณ์ 3) ช่วงที่องค์กรมีการปรับปรุงเชิงโครงสร้าง ปรับลดขนาดหรือ เพิ่มขนาดการประกอบการ หรือช่วงที่เน้นการเติบโตบน รูปแบบธุรกิจใหม่ ๆ ทำให้ต้องมีการปรับปรุง Authorization Approval Matrix บ่อยครั้งกว่าปกติ ต้องนำกรอบการกำกับ การปฏิบัติตามกฎเกณฑ์มาปรับให้ทันการด้วยเพื่อให้ทันการ เปลี่ยนแปลงเชิงโครงสร้างและขนาดของบริษัท ทุกองค์กรที่จะนำเอาแนวปฏิบัติด้านการกำกับการปฏิบัติตาม กฎเกณฑ์มาใช้ควรจะมีการกำหนดคุณสมบัติ สมรรถนะ ความสามารถ ความรู้ ประสบการณ์ของบุคลากรที่รับการกำกับ การปฏิบัติตามกฎเกณฑ์ก่อนที่จะนำส่งต่อยังผู้ที่มีอำนาจอนุมัติ ในส่วนนี้ โดยหัวหน้าทีมการกำกับการปฏิบัติตามกฎเกณฑ์ อาจจะใช้ชื่อ Compliance Chief Officer หรือ Compliance Manager หรือชื่ออื่นใดแล้วแต่กรณีโดยทำหน้าที่พิจารณา เกี่ยวข้องกับ (1) การสอบทาน ตรวจสอบ (Checking) (2) ให้ความเห็น (Recommend) ในลักษณะที่เห็นชอบด้วย หรือไม่เห็นชอบด้วย เนื่องจากมีความเห็นต่างเกี่ยวกับการ กำกับการปฏิบัติตามกฎเกณฑ์ในเรื่องใดเรื่องหนึ่ง (3) ให้ความเห็น (Recommend) ว่าควรระงับหรือห้าม ดำเนินการบางอย่างในกระบวนการอนุมัติสำคัญ บทบาทของ Compliance Officer เป็นกรณีที่เจ้าหน้าที่ของการกำกับการปฏิบัติตามกฎเกณฑ์ยัง ต้องมีบทบาทในกระบวนการอนุมัติเรื่องที่มีความสำคัญเป็นราย กรณีทำให้บทบาทของการกำกับการปฏิบัติตามกฎเกณฑ์แทรก ไว้ในระหว่างขั้นตอนการอนุมัตินั้น ๆ ทุกครั้ง หลักการในส่วนนี้ ประกอบด้วย
41 COMPLIANCE GUIDEBOOK เล่มที่ 1 (1) การที่บุคลากรทางด้านการกำกับการปฏิบัติตามกฎเกณฑ์ เข้าไปปรากฎในตารางหรือเมทริกซ์อำนาจการอนุมัติ ดังกล่าวอย่างน้อยต้องครอบคลุมกฎเกณฑ์หรือกฎหมาย ภายนอกที่สำคัญที่กำกับองค์กรและเชื่อมโยงมายัง กระบวนการที่สำคัญที่ต้องการขั้นตอนการกำกับการปฏิบัติ ตามกฎเกณฑ์ในระหว่างการดำเนินงานประจำวัน และ กระบวนการเชิงกลยุทธ์ที่ต้องเน้นประสิทธิภาพและ ประสิทธิผล โดยไม่ทำให้เกิดความล่าช้า หรือรอการแก้ไขที่ ไม่สิ้นสุด หรือต้องไม่สร้างประเด็นโต้แย้งกันหรือความสับสน บนสมมติฐานสำคัญว่า Compliance Manager หรือ Compliance officer มีความแม่นยำในข้อกำหนด เงื่อนไข หลักการของกฎเกณฑ์ภายนอกและภายในมากที่สุด (2) Compliance Manager ห ร ื อ Compliance officer มี บทบาทในขั้นตอนก่อนการอนุมัติหรือระดับของ PreApproved ที่ดำเนินการตรวจสอบ สอบทาน ให้ความเห็น เพิ่มเติมในด้านการกำกับการปฏิบัติตามกฎเกณฑ์และ สรุปว่าไม่มีประเด็นใดที่ขัดหรือแย้งกับกฎเกณฑ์ภายนอก ก่อนนำเสนอให้ผู้มีอำนาจอนุมัติพิจารณาใช้อำนาจอนุมัติที่ กระจายอำนาจออกไปยังผู้บริหารหรือผู้รับมอบอำนาจ โดย ชั้นที่อยู่สูงสุด คือ คณะกรรมการและกรรมการขององค์กร ต้องมีความชัดเจนก่อนในเรื่องการประเมินความเสี่ยง ส่วนที่ เหลือจะเป็นการปรับอำนาจอนุมัติตามกลุ่มการอนุมัติให้ ยืดหยุ่นในการปฏิบัติงานประจำวัน หรือการอนุมัติที่ต้องการ ผู้อนุมัติที่ผ่านการคัดกรองด้านการกำกับการปฏิบัติตาม กฎเกณฑ์ด้วยความรอบคอบหรือระมัดระวังในการพิจารณา และสอดคล้องกับรายละเอียดอ้างอิงตามเอกสาร ภาระงาน ตำแหน่งงาน และป้องกันไม่ทับซ้อนกัน ผู้บริหารกับบทบาทในฐานะ 1st และ 2nd Lines ตามอำนาจ อนุมัติยังไม่รวมการควบคุมในระหว่างกระบวนการ (Inprocess)
42 COMPLIANCE GUIDEBOOK เล่มที่ 1 ความรับผิดชอบของผู้บริหารในการดำเนินงานให้บรรลุตาม วัตถุประสงค์องค์กรต้องดำเนินการขับเคลื่อนแผนธุรกิจและ กระบวนงานหลักผ่านบทบาทของเจ้าของภาระงานหรือ หน่วยงานต้นเรื่องโดยตรง (1 st Line) และหน่วยงานสอบทาน ถ่วงดุลที่การกำกับการปฏิบัติตามกฎเกณฑ์(2 nd Line) คำว่า Lines ในกรณีนี้ไม่ได้เจตนาที่จะแสดงถึงองค์ประกอบเชิง โครงสร้างองค์กรที่ประกาศใช้เป็นทางการที่แยกตามหน่วยงาน ตำแหน่งงานและคำอธิบายลักษณะงาน (Job Description) หากแต่ COSO เพิ่มเติมเงื่อนไขนี้ใช้ประโยชน์ในการแยกแยะ บทบาทที่แตกต่างกันเพื่อกำกับควบคุมความเสี่ยงตามมาตรฐาน COSO 2013 ดังนั้น ในเชิงหลักการแล้วบทบาทของคณะกรรมการที่เป็น องค์กรระดับกำกับดูแลก่อนการดำเนินงานขับเคลื่อนของฝ่าย บริหารหรือฝ่ายจัดการถือว่าเป็น “line” ด้วย หากแต่หลักเกณฑ์ ดังกล่าวไม่ได้นำมาใช้งานเพื่อหลีกเลี่ยงความสับสน ตัวเลขที่ กำกับคือแนวป้องกันที่หนึ่งหรือสองหรือสามหรือ 1 st ที่เป็น หน่วยงานต้นเรื่องหรือ 2nd ที่เป็นหน่วยงานสอบทาน หรือ 3rd ที่ เป็นหน่วยงานตรวจสอบภายในอย่างอิสระ ไม่ได้เรียงลำดับการ ดำเนินงานก่อนหรือหลังแต่อย่างใด และทุกบทบาทต้อง ดำเนินการในลักษณะควบคู่กันไป บทบาทของ 1st Line หรือเจ้าของภาระงานหรือหน่วยงานต้น เรื่องที่ต้องลงมือปฏิบัติด้วยตนเอง เช่น ได้รับการมอบหมายให้ ส่งมอบสินค้าและ/หรือบริการแก่ลูกค้าขององค์กร ซึ่งในการ ดำเนินการดังกล่าวจะรวมถึงบทบาทสนับสนุนของ 2nd Line ใน การสอบทาน ดังนั้นบทบาทของ 1st Line ตามแนวคิดนี้จึงหมายความรวมถึง กิจกรรมจากหน่วยงานที่เป็น front และ back office ส่วนบท บทบาทของ 2nd Line จะประกอบด้วยกิจกรรมเสริมที่เน้นหนัก ด้านสถานการณ์บนฐานความเสี่ยงเป็นหลัก
43 COMPLIANCE GUIDEBOOK เล่มที่ 1 บทบาทของ 2nd Line รวมทั้งการกำกับการปฏิบัติตามกฎเกณฑ์ คือให้การสนับสนุน ช่วยเหลือ ช่วยให้ความเห็น สอบทานและ การบริหารจัดการความเสี่ยงการกำกับการปฏิบัติตามกฎเกณฑ์ เป็นหลัก โดย Compliance Manager หรือ Compliance officer เป็น 2nd Line บทบาทของ 1st และ 2nd Line อาจจะผสมผสานกันหรือ แบ่งแยกจากกันก็ได้ ในแต่ละกระบวนการหลัก โดย 2 nd Line คือผู้ร่วมงาน ผู้ให้การสนับสนุน ที่ปรึกษา บางกรณีบทบาทของ 2nd Line อาจจะรับมอบหมายให้เป็น ผู้เชี่ยวชาญเพื่อใช้ความเชี่ยวชาญในการส่งเสริม สนับสนุน ติดตาม และท้าทายการดำเนินงานที่เป็นบทบาทของ 1st Line บทบาทของ 2nd Line สามารถมุ่งเน้นวัตถุประสงค์ เฉพาะเจาะจงของการบริหารจัดการความเสี่ยง อย่างเช่น งาน กำกับการปฏิบัติตามกฎเกณฑ์(Compliance) หรือการบริหาร ความเสี่ยงและควบคุมภายใน การรักษาความปลอดภัยของ สารสนเทศและเทคโนโลยี การบริหารความยั่งยืน และการ ประกันคุณภาพ นอกจากนั้น บทบาทของ 2nd Line อาจจะมีทางเลือกในการ รับผิดชอบในมุมมองที่กว้างในการบริหารความเสี่ยงระดับองค์กร (ERM : Enterprise Risk Management) โดยความรับผิดชอบ ในขอบเขตของแต่ละกระบวนการยังคงเป็นบทบาทของ 1st และ 2nd Line กรณีที่มีผู้มีอำนาจอนุมัติธุรกรรมที่รับผิดชอบรายสายงานอยู่แล้ว บทบาทของ 2nd Line หรือ Compliance คือ ให้ความเห็น อิสระ (Recommend) และเห็นชอบหรือไม่เห็นชอบ (Agree or Disagree) แต่ไม่ทับซ้อนในการอนุมัติ (Decision) กับผู้มีอำนาจ อนุมัติอื่น
44 COMPLIANCE GUIDEBOOK เล่มที่ 1 ส่วนที่ 2 การปรับใช้การกำกับการปฏิบัติตามกฎเกณฑ์แทรกในระดับ กระบวนการ (Process-level of Compliance) เพื่อกำกับ ตนเอง หลักการเบื้องต้น กรณีที่เงื่อนไขหรือข้อกำหนดการกำกับการปฏิบัติตามกฎเกณฑ์ ใดได้ทำความเข้าใจ จนเกิดความแน่ชัดและมีความชัดเจนในแนว ทางการปฏิบัติแล้ว เป็นเรื่องที่ต้องการกำกับการปฏิบัติตาม กฎเกณฑ์ตลอดเวลาในงานประจำวัน ที่ผู้กำกับการปฏิบัติตาม กฎเกณฑ์คือผู้ปฏิบัติเองโดยตรงได้ หรือได้กระจายอำนาจการ อนุมัติลงมาที่หน่วยงานต้นเรื่องหรือภายในสายการบังคับบัญชา โดยตรงเท่านั้น กรณีนี้กลไก เครื่องมือ มาตรการหรือขั้นตอนการกำกับการ ปฏิบัติตามกฎเกณฑ์ไม่จำเป็นต้องนำมาเสนอให้Compliance officer ที่เป็น 2 nd เข้าไปแทรกอยู่ในระหว่างกระบวนการ พิจารณาอนุมัติเป็นรายครั้งอีก หรือเป็นการกำกับการปฏิบัติตาม กฎเกณฑ์ ที่ตั้งกำกับการปฏิบัติอยู่ตลอดเวลา เป็นประจำทุกวัน ในกรณีนี้กิจกรรมหรือขั้นตอนการกำกับการปฏิบัติตามกฎเกณฑ์ จะต้องแทรกไว้ในคู่มือการปฏิบัติงาน Work Instruction หรือ ผังที่แสดงการไหลของงาน (Work Flow) เพื่อให้ผู้ปฏิบัติงาน จัดการเองได้อย่างทันท่วงที เนื่องจากวิธีการการกำกับการปฏิบัติ ตามกฎเกณฑ์ไม่ได้มีความซับซ้อน การแทรกกิจกรรมกำกับการปฏิบัติตามกฎเกณฑ์ระหว่าง กระบวนการ (1) กรณีนี้ องค์กรจะกำหนดรูปแบบ รายละเอียด แพลตฟอร์ม ของกิจกรรมในแต่ละกระบวนการ ที่มีขั้นตอนการปฏิบัติงาน ตามลำดับ ให้ต้องมีการแทรกการกำกับการปฏิบัติตาม กฎเกณฑ์ไว้ในระหว่างการดำเนินกระบวนการตามปกติโดย ระบุให้ชัดเจนว่า ที่ต้องปฏิบัติตามกิจกรรมหรือขั้นตอนนั้นๆ