95 COMPLIANCE GUIDEBOOK เล่มที่ 1 (1) ทำการปรับปรุงคุณภาพของการบริหารจัดการภายในองค์กรและศักยภาพในการ ตัดสินใจบนผลประโยชน์ขององค์กร และความชอบธรรม (2) ทำการพัฒนามาตรฐานการกำกับกิจกรรมเชิงจริยธรรมและวัฒนธรรมความเสี่ยงในการ ดำเนินงาน เพื่อให้องค์กรสามารถบริหารความเสี่ยงที่เกี่ยวข้องกับการดำเนินงานได้ด้วย ความมั่นใจ (3) จัดหาข้อมูลมาประกอบการตัดสินใจว่า ความคาดหมายของผู้ใช้บริการ ลูกค้า และผู้มี ส่วนได้ส่วนเสียที่เป็นภาคส่วนสำคัญมีอะไรบ้างที่ต้องตอบสนอง และกฎเกณฑ์ภายใน ภายนอกที่ต้องใช้พิจารณาในการกำกับองค์กรคืออะไร เสาหลักที่ 2 การบริหารความเสี่ยง (Risk Management) การบริหารความเสี่ยงที่ส่งต่อมาจากกลยุทธ์และนโยบายองค์กร หลักการ 1 องค์กรมีแนวทางในการบริหารความเสี่ยงให้ครบถ้วนทุกระดับการจัดการ และมีความสอดคล้องกับกลยุทธ์ และเป็นระบบที่ชัดเจนได้อย่างไร หลักการที่ 2 องค์กรมีแนวทางในการรับรู้ ทำความเข้าใจ ประเมินสถานะความเสี่ยงและ ภัยคุกคามจากปัจจัยเสี่ยงภายนอกอย่างไร หลักการที่ 3 องค์กรมีแนวทางการใช้ข้อมูลความเสี่ยงและกระบวนการบริหารความเสี่ยง เพื่อช่วยให้องค์กรบรรลุวัตถุประสงค์ทางธุรกิจอย่างไร หลักการที่ 4 องค์กรค้นหาความเสี่ยงที่ซ่อนอยู่ได้อย่างไร การดำเนินงานในส่วนของการบริหารความเสี่ยงที่ดีตามกรอบ GRC จึงควรจะ (1) ทำให้ผลดำเนินงานด้านการบริหารความเสี่ยงเป็นส่วนหนึ่งในการสร้างมูลค่าองค์กร (2) กำหนดให้ชัดเจนถึงระดับความเสี่ยงที่ยอมรับได้ และส่วนที่เกินกว่ายอมรับได้มีประเด็น ความเสี่ยงใดที่ต้องจัดการให้ครบถ้วน (3) เป็นตัวแปรในการสนับสนุนการกำกับดูแลที่ดีในเสาหลักที่ 1 ในระดับที่นำมาสู่ การปฏิบัติงานรายภาระงานทั่วทั้งองค์กร (4) สร้างเกราะป้องกัน ข้อบ่งชี้และสัญญาณเตือนภัยล่วงหน้า เพื่อให้มีการเตรียม ความพร้อมรับมือเหตุการณ์ความเสี่ยงในอนาคต เสาหลักที่ 3 การกำกับการปฏิบัติตามกฎเกณฑ์ COMPLIANCE สอบทาน Governance และ Risk ประเภทอื่น
96 COMPLIANCE GUIDEBOOK เล่มที่ 1 หลักการที่ 1 องค์กรมีแนวทางในการลดต้นทุนของการกำกับดูแลการปฏิบัติตาม กฎเกณฑ์ ไม่ให้สูงเกินไป โดยไม่ลดประสิทธิผลของการกำกับได้ อย่างไร หลักการที่ 2 องค์กรมีแนวทางการเตรียมความพร้อมในการรับมือกับกฎเกณฑ์ที่จะ เปลี่ยนแปลงใหม่ให้เพียงพอได้อย่างไร หลักการที่ 3 องค์กรมีแนวทางในการตรวจจับและสอดส่องกฎเกณฑ์ที่ยังเป็นปัญหา ในการปฏิบัติ หรืออาจจะเกิดความผิดพลาดเพื่อหลีกเลี่ยงการเกิด ความผิดพลาดซ้ำเพื่อจัดการให้เพียงพอได้อย่างไร การดำเนินงานในส่วนของการปรับปรุงประสิทธิภาพและประสิทธิผลในการกำกับการ ปฏิบัติตามกฎเกณฑ์ในลักษณะที่ (1) ติดตามและเฝ้าระวังการเปลี่ยนแปลงในด้านกฎเกณฑ์และระเบียบสำคัญเพื่อทำ ความเข้าใจ (2) ศึกษาผลกระทบของกฎเกณฑ์ภายนอกต่อการดำเนินงานภายในและความ จำเป็นในการปรับนโยบาย ระเบียบ ประกาศ กระบวนการปฏิบัติงาน (3) สื่อสารเพื่อมิให้เกิดการฝ่าฝืนและถือเป็นส่วนหนึ่งของการกำกับดูแลที่ดี 2. กรอบแนวคิดของมาตรฐาน กรอบแนวคิด GRC มาจากการบูรณาการความเสี่ยงในองค์รวม 3 ส่วน คือ G = Governance ความเสี่ยงจากการกำกับดูแลหรือความเสี่ยงด้านธรรมาภิบาล R = Risk ความเสี่ยงจากการดำเนินธุรกิจ C = Compliance ความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์
97 COMPLIANCE GUIDEBOOK เล่มที่ 1 องค์ประกอบที่ 1: Governance องค์กรย่อมมีความเสี่ยงหากไม่สามารถทำให้การดำเนินงานอยู่ภายในกรอบของการกำกับ ดูแลที่ดีได้อย่างเพียงพอเหมาะสม และปรับตัวได้สอดคล้องกับการเปลี่ยนแปลงของสถานการณ์ทาง ธุรกิจ การกำกับดูแลที่ดีจึงเป็นของกลุ่มกฎเกณฑ์ นโยบาย ปรัชญาแนวทางปฏิบัติที่แสดงออกใน รูปของพฤติกรรมองค์กรโดยมนุษย์ในองค์กร ซึ่งต้องจัดวางออกแบบให้มีการแสดงออกเชิงพฤติกรรมที่ เป็นระบบ (System) มีการบริหารจัดการ การกำกับดูแล และการควบคุมที่เพียงพอ และใช้เป็น แนวทาง (Guideline) ประกอบการพิจารณาก่อนการตัดสินใจแสดงพฤติกรรม แนวทางการกำกับดูแลที่ดีต้องแทรกไว้ในระหว่างการดำเนินงานตามปกติขององค์กร - ระหว่างการกำหนดพันธกิจ วิสัยทัศน์ - ระหว่างการกำหนดกลยุทธ์ และวัตถุประสงค์ทางธุรกิจ เป้าประสงค์ ค่าเป้าหมายผล ประกอบการ - ระหว่างการจัดทำแผนปฏิบัติการ คู่มือ นโยบาย ระเบียบปฏิบัติ - ระหว่างการปฏิบัติงานตามแผนปฏิบัติการ
98 COMPLIANCE GUIDEBOOK เล่มที่ 1 - ระหว่างการจัดการความเสี่ยงด้วยการควบคุมภายในและการบริหารความเสี่ยง - ระหว่างติดตาม วัด ประเมินผลดำเนินงานที่เกิดจริงเปรียบเทียบกับแผน - ระหว่างการจัดทำรายงานผลและเปิดเผยข้อมูล การกำกับดูแลที่ดี นำมาใช้ในองค์กรในหลายระดับ ได้แก่ ระดับที่ 1 ระดับข้ามองค์กร (Cross - functional) ระดับที่ 2 ระดับสายงาน สายธุรกิจ ระดับที่ 3 ระดับหน่วยงานย่อย ระดับที่ 4 ระดับภาระงาน/รายบุคคล ช่องทางการกำกับดูแลที่ดีมี 2 ส่วน คือ ช่องทางที่ 1 ผ่านการปฏิบัติงาน Manual และ ช่องทางที่ 2 ผ่านระบบงาน IT เทคโนโลยี องค์ประกอบที่ 2 : Risk Management เมื่อผ่านเกณฑ์การตัดสินใจที่ดีตามกรอบของการกำกับดูแลที่ดีมาแล้ว สิ่งที่องค์กรต้องให้ ความสำคัญในลำดับต่อมาคือ ความเสี่ยงทางธุรกิจ (Business Risk) ที่เกิดกับองค์กรเสมอตราบใดที่ กิจการต้องดำเนินงานทางธุรกิจเพื่อให้บรรลุความสำเร็จของผลประกอบการที่กำหนดไว้ และสนองรับ ต่อความคาดหวังของผู้มีส่วนได้ส่วยเสีย โดยใช้กลไกของการบริหารความเสี่ยง เพื่อมิให้เปลี่ยนแปลง ความไม่แน่นอน ความไม่ชัดเจนที่เรียกที่เรียกโยรวมว่า “ความเสี่ยง” มีผลต่อการบรรลุผลสำเร็จ โดย การ 1) ระบุประเด็นความเสี่ยงสำคัญในแต่ละปี 2) ประเมินความเสี่ยงสำคัญ ในมิติของผลกระทบ และมิติของโอกาสเกิด 3) ประเมินความเพียงพอของความสามารถในการจัดการและควบคุมความเสี่ยง 4) กำหนดแนวทางการจัดการความเสี่ยงให้เพียงพอ GRC กำหนดให้คณะกรรมการเป็นกลุ่มที่มีความสำคัญที่สุดในการเชื่อมโยงกับผู้มีส่วนได้ ส่วนเสียภายนอก ซึ่งเป็นกลุ่มที่มีอิทธิพลสูงสุด และเป็นส่วนที่ควบคุมได้ยากที่สุด ในการหล่อหลอม เป็นกรอบการกำกับดูแลที่ดีของกิจการในที่สุด ในฐานะที่กรรมการมาจากการแต่งตั้งของผู้ถือหุ้น จึง เป็นตัวแทนของผู้ถือหุ้นด้วย คณะกรรมการจึงต้องร่วมกับผู้บริหารในฐานะฝ่ายจัดการ ในการทำการ ตัดสินใจสำคัญภายใต้ร่มเงาของการกำกับดูแลที่ดี นอกจากมุมมองที่เป็นคุณค่าจากผู้มีส่วนได้ส่วนเสียโดยตรงต่อการดำเนินงานของกิจการแล้ว คณะกรรมการจะมีมุมมองที่กว้างขวางและครอบคลุมถึงผู้มีส่วนได้ส่วนเสียโดยอ้อมได้แก่สังคมและ
99 COMPLIANCE GUIDEBOOK เล่มที่ 1 สิ่งแวดล้อมด้วย ตามกรอบแนวทาง “Profit, People, Planet” เพราะส่วนหนึ่งของคณะกรรมการ เป็นบุคคลที่เป็นอิสระ ไม่ได้มาจากกลุ่มผู้ถือหุ้นโดยตรง จึงคำนึงถึงผลกระทบต่อผู้มีส่วนได้ส่วนเสีย หลากหลายภาคส่วน GRC เริ่มต้นที่ Governance หรือการวางนโยบาย กลยุทธิ์ วิถีการตัดสินใจทางธุรกิจของ องค์กรในภาพรวม หากสามารถวางขอบเขตและขอบข่ายของพฤติกรรมและการตัดสินใจให้เหมาะสม ทั้งส่วนที่เกี่ยวข้องกับผู้มีส่วนได้ส่วยเสียภายนอก และผู้มีส่วนได้ส่วนเสียภายใน จะทำให้เกิดความ สมดุลและการถ่วงดุลของผลประโยชน์ของทุกฝ่าย โดยองค์ประกอบที่ดีของ Governance มี 2 ส่วน ได้แก่ องค์ประกอบที่ 1 ความโปร่งใส มีระดับการเปิดเผยอย่างเพียงพอและสามารถตรวจสอบได้ (Transparency) และองค์ประกอบที่ 2 ความรับผิดชอบต่อผลของการกระทำที่มีต่อสาธารณะ (Public Accountability) องค์ประกอบที่ 3 : Compliance หน่วยงานกำกับตามกฎหมาย หน่วยงานภาครัฐที่สามารถออกข้อกำหนด หรือมีอำนาจทาง ปกครอง นโยบายขององค์กร ข้อบังคับ ระเบียบ ประกาศ คำสั่ง ถือเป็นกลุ่มผู้มีส่วนได้ส่วนเสีย ที่ องค์การต้องกำกับการปฏิบัติในระหว่างการดำเนินงานให้มั่นใจว่ามีความสอดคล้อง ครบถ้วน ไม่เกิด กรณีที่มีการฝ่าฝืน บกพร่อง 3. ขอบเขตของการบริหารความเสี่ยงตามกรอบแนวคิด GRC 1) การบริหารความเสี่ยงที่ดี คือ ขีดความสามารถในการจัดการความเสี่ยงที่สามารถลด บรรเทา ความเสี่ยงได้อย่างมีประสิทธิภาพ มีความคุ้มค่าในด้าน Cost – effectiveness จนผลการดำเนินงานที่เกิดจริงยังคงบรรลุความสำเร็จตามเป้าหมาย 2) การบริหารความเสี่ยงมีลักษณะเป็นระบบบริหารจัดการย่อย (Management System) ที่เกี่ยวข้องกับ ▪ People บุคลากรและสมรรถนะในตัวบุคคล ▪ Process กระบวนการหลักในการปฏิบัติการ ▪ Technology เทคโนโลยี เป้าหมายที่ 1 ดำเนินงานบรรลุตามวัตถุประสงค์ พร้อมกับควบคุมแฟ้มความเสี่ยงมิให้ รุนแรง และปกป้องคุณค่าขององค์กรไว้ได้ เป้าหมายที่ 2 กำหนดวัตถุประสงค์ธุรกิจ ที่คำนึงถึงทั้งผลตอบแทนและคุณค่ากับความ เสี่ยงให้เป็นส่วนหนึ่งของต้นทุน
100 COMPLIANCE GUIDEBOOK เล่มที่ 1 เป้าหมายที่ 3 นำเอาความคาดหวังของผู้มีส่วนได้ส่วนเสียสำคัญมาเรียงลำดับ ความสำคัญ ความจำเป็นและความเร่งด่วนในการกำหนดแนวทางการ จัดการความเสี่ยง เป้าหมายที่ 4 การดำเนินงานจริงและการจัดการความเสี่ยงที่นำมาใช้จะต้องอยู่ภายใต้ ขอบเขตของการกำกับดูแลที่ดี ที่ยึดหลักการของความโปร่งใสและ เปิดเผยตรวจสอบได้ และหลักการแสดงความรับผิดรับชอบต่อผลการ กระทำที่ตัดสินใจ และจะต้องอยู่ภายใต้ขอบเขตของการกำกับการ ปฏิบัติตามกฎเกณฑ์ เป้าหมายที่ 5 ผลดำเนินงานด้านการจัดการความเสี่ยงที่เกิดจริง เป็นส่วนหนึ่งของผล ประกอบการจึงต้องจัดเป็นข้อมูลสารสนเทศและสื่อสารพร้อมผล ดำเนินงานทางธุรกิจให้ครบถ้วน ถูกต้อง และทันท่วงที เป้าหมายที่ 6 กำหนดตัวชี้วัดความเสี่ยง (KRIs: Key Risk Indicators) ที่สามารถ ติดตามวัดผล ประเมินผลเพื่อระบุประสิทธิผลของระบบได้ กรอบแนวคิดของมาตรฐาน Integrated GRC ให้หลักการและเงื่อนไขการบริหารความ เสี่ยงที่เฉพาะเจาะจงและสอดคล้องกันทั่วทั้งองค์กรจึงมีลักษณะ Top-down Tone แทนที่จะเป็น ลักษณะการประเมินตนเองด้านความเพียงพอของการจัดการความเสี่ยงของเจ้าของภาระงาน ที่เป็น Bottom-up ซึ่งยังไม่อาจให้หลักประกันได้ว่าจะได้ข้อมูลความเสี่ยงในระดับองค์กรหรือเชื่อมโยงความ เสี่ยงทุกด้านครบถ้วนและครอบคลุมออกไปถึงผู้มีส่วนได้ส่วนเสียภายนอกที่เป็นภาคส่วนสำคัญของ องค์กร รวมทั้งหน่วยงานกำกับทางกฎหมายหรือทางปกครองด้วยหรือไม่ หากเจ้าของภาระงานแต่ละ คนต่างตนต่างคิดตามประสบการณ์และมุมมองของตนเป็นหลัก อาจจะเป็นมุมมองที่แคบและไม่ตรง ตามกลยุทธ์ วัตถุประสงค์ ค่าเป้าหมายผลประกอบการองค์กรอย่างแท้จริง และจัดการความเสี่ยงได้มี ประสิทธิภาพและเกิดประสิทธิผล สนับสนุนการเติบโตของกิจการและความยั่งยืนในระยะยาว โดยเน้น เทคโนโลยีสมัยใหม่ด้วย ประเด็นที่ควรพิจารณาในการนำกรอบแนวคิด Integrated GRC มาใช้ในองค์กร ได้แก่ 1) สิ่งที่ขับเคลื่อนองค์กรสู่แนวคิด Integrated GRC ตามแนว Technology-enable GRC เป็นการนำเอาความก้าวหน้าทางเทคโนโลยีสมัยใหม่มาช่วยในการลดจุดอ่อนของการ บริหารจัดการโดยเฉพาะในการที่แหล่งข้อมูลหลากหลายมีความไม่สอดคล้องกันและสถานะความเสี่ยง สูงอีกทั้งกระบวนการบริหารความเสี่ยงที่เป็น Silo
101 COMPLIANCE GUIDEBOOK เล่มที่ 1 GRC จึงเป็นการลงทุนในระบบบริหารจัดการเพื่อหลีกเลี่ยงความล้มเหลวของการ ดำเนินงานในอนาคต ผนึกกำลังระหว่างกลยุทธ์ กระบวนการ และวัฒนธรรมการตระหนักใน ความสำคัญของผู้มีส่วนได้ส่วนเสียภายนอกองค์กรไปในวิถีทางที่สนับสนุนการบริหารความเสี่ยงเชิงรุก ควบคู่กับการมีคุณธรรม ความโปร่งใส และการตัดสินใจที่ยึดโยงกับข้อมูลความเสี่ยงที่เพียงพอ (Informed decision making) ในส่วนของการเปลี่ยนแปลง และความไม่แน่นอนของสภาพแวดล้อม ที่ครบวงจรและบูรณาการกันทั้งการเป็นองค์กรที่เป็นเลิศในการบรรลุเป้าหมายการดำเนินงานและเป็น องค์กรที่มีการกำกับดูแลกิจการที่ดีในสายตาของผู้มีส่วนได้ส่วนเสีย ดำเนินการจัดการความเสี่ยงที่ บูรณาการความเสี่ยง ทั้ง G-R-C และการบริหารความเสี่ยงในภาพองค์รวม (Risk oversight) เพิ่ม โอกาสทางธุรกิจและความท้าทายทางธุรกิจ และเน้นข้อมูล (Data) เป็นหัวใจในการเปลี่ยนแปลงและ ปรับปรุงความโปร่งใสของการดำเนินงานเพื่อให้ผลการดำเนินงานความเสี่ยงเป็นส่วนหนึ่งของผล ปฏิบัติงานของทุกภาระงานที่ต้องรายงานผลต่อผู้บริหาร GRC ทำให้องค์กรรวบรวมความเสี่ยงและการกำกับการปฏิบัติงานตามกฎเกณฑ์ที่ยึดโยง กับกลยุทธ์และการกำกับดูแลที่ดีให้เป็นองค์ความรู้ส่วนกลาง เป็นบรรทัดฐานเดียวกันให้บุคลากรที่ เป็นเจ้าของภาระงานทุกคนเข้ามาสืบค้นแฟ้มข้อมูลความเสี่ยงใช้ประกอบการบริหารจัดการและการ ตัดสินใจได้ พร้อมกันทั่วทั้งองค์กร ดังนั้น GRC จึงเป็นการปรับธุรกิจและยกระดับความรับผิดรับชอบต่อผลดำเนินงานผ่าน การปรับบุคลากร กระบวนการ และเทคโนโลยีเพื่อให้กิจการก้าวผ่านความท้าทายของสภาพแวดล้อม โดยเฉพาะความเสี่ยงสำคัญไปได้พร้อมกับองค์กร 2) บทบาทของผู้นำและคณะกรรมการต้องชัดเจน ความล้มเหลวในการนำกรอบแนวคิดการบริหารจัดการใด ๆ เข้ามาในองค์กร รวมทั้ง กรณี Integrated GRC ไม่ได้แตกต่างกัน คือ ภาวะผู้นำและบทบาทของคณะกรรมการสำคัญอย่างยิ่ง ต่อการผลักดันและสนับสนุนให้บุคลากรขับเคลื่อนไปในทิศทางเดียวกันและถือว่า GRC เป็นหนึ่งใน คุณค่าองค์กร ไม่ใช่เพียงระบบรายงานเท่านั้น หากองค์กรขาดความชัดเจนเกี่ยวกับคุณค่าใน GRC และผลกระทบที่เชื่อมโยงถึงความ ล้มเหลวหรือความสำเร็จขององค์กรควบคู่กับความรับผิดรับชอบต่อผลดำเนินงาน หรือไม่สามารถ สลายการต่อต้านจากบุคลการภายในได้ ก็คงไม่อาจเปลี่ยนแปลงแปลงสู่ GRC ที่ต้องทำให้เกิดความ เชื่อมโยงถึงผลประกอบการทางการเงินและคุณค่าของการกำกับดูแลกิจการที่ดีที่ไม่ใช่ตัวเงินได้ หรือไม่ อาจยกระดับระดับความสำคัญของ GRC ไปอยู่ในระดับการบริหารจัดการทั่วทั้งองค์กรได้ 3) ผลประโยชน์จากการใช้ Integrated GRC
102 COMPLIANCE GUIDEBOOK เล่มที่ 1 แนวคิดของมาตรฐาน GRC อาจจะเรียกอีกอย่างว่าเป็น GRC – enabler Technology คือการใช้เทคโนโลยี รวบรวม ประมวล บริหารจัดการข้อมูลที่เกี่ยวข้องกับความเสี่ยง 3 ส่วนคือ G-R-C ให้เป็นฐานข้อมูลกลางเดียวกัน พร้อมดัชนีเฝ้าระวังข้อบ่งชี้ความเสี่ยงและวางกลไกการเตือนล่วงหน้า หรือ Watchlist/Early Warning และการแจ้งข้อมูลที่เป็นปัจจุบันหรือ Real-time Reporting ดังนั้นประโยชน์ที่ชัดเจนของแนวคิด GRC คือ ➢ ประหยัดเวลาที่สูญเปล่าในระหว่างการดำเนินกระบวนการหลักจากการที่ 1) อบรมบุคลากรซ้ำแล้วซ้ำอีกในประเด็นเสี่ยงเดิม ๆ 2) เดินทางไปค้นหา รวบรวม เก็บข้อมูลให้ครบถ้วน 3) ลดโอกาสเกิดซ้ำได้จากส่วนที่เป็นความผิดพลาด คลาดเคลื่อน เบี่ยงเบน ➢ เพิ่มประสิทธิภาพการดำเนินงาน จากการที่หลีกเลี่ยงและป้องกันความเสียหาย การดำเนินกระบวนการวิเคราะห์ ประเมินความเสี่ยงซ้ำ ๆ ในเรื่องเดิม ๆ ทุกปี ➢ การประหยัดค่าใช้จ่าย เพราะรวบรวมข้อมูลไว้ในฐานข้อมูลกลางครบถ้วนแล้ว ➢ ใช้ประโยชน์จากการลงทุนในระบบงาน IT ได้เต็มประสิทธิภาพ แทนที่จะใช้เฉพาะ จุด เฉพาะส่วน ➢ เพิ่มความโปร่งใส มีการตรวจสอบกฎเกณฑ์ที่เป็นความเสี่ยงก่อนปฏิบัติงาน และ การตัดสินใจที่ดีขึ้น 4) การผนึกกำลังและบูรณาการตามกรอบแนวคิดของมาตรฐาน Integrated GRC ด้วย consolidated GRC Solution ครอบคลุมถึง ความเสี่ยงทุกประเภท ตั้งแต่ความมีคุณธรรมและโปร่งใส ความเสี่ยงด้านการดำเนินงาน และความเสี่ยงด้านกำกับกฎเกณฑ์ต้องใช้เป็นส่วนหนึ่งของข้อมูลประกอบการตัดสินใจร่วมกัน ผู้ที่ต้อง มีบทบาทในการจัดการความเสี่ยงจึงครอบคลุม The Three Lines of Defense ไม่ใช่เจ้าของภาระ งานแต่ละคนต่างฝ่ายต่างทำตามลำพัง แต่เป็นเจ้าภาพความเสี่ยงร่วมกัน และการบริหารความเสี่ยงใน กรณีนี้หมายถึง SIPOC: Supplier-Input-Process-Output-Customer หรือตลอดวงจรของ กระบวนการหลัก ไม่ได้หมายถึงการบริหารแบบ Silo เฉพาะแผนกหรือเฉพาะบุคคล นอกจากนั้น การจัดการความเสี่ยงต้องลดสัดส่วนของ Manual ลงแต่เพิ่มสัดส่วนของ Automation/IT-based System มากขึ้น รวมทั้งใช้ AI (Artificial Intelligence) จากการถอด บทเรียนและเรียนรู้ประสบการณ์ สั่งสมจนเป็นแนวพึงปฏิบัติที่ดี จนเป็น Watchlist กลางที่ตรวจสอบ ได้ทุกคน จึงต้องให้ความสำคัญกับข้อมูลสารสนเทศที่ถูกต้อง เชื่อถือได้ เป็นปัจจุบัน ทันเวลา ผ่าน กระบวนการวิเคราะห์มาอย่างดีแล้ว และรายงานที่อยู่ในรูปแบบของ Integrating Information
103 COMPLIANCE GUIDEBOOK เล่มที่ 1 Reporting และ Risk Response Modelling เพื่อให้เป็นภาพ “One View” และ “One Platform” ซึ่งการบูรณาการเหล่านี้ จะทำให้ ➢ ความเสี่ยงจากความเปลี่ยนแปลง (Change) ที่กระทบในวงกว้างต้องรับรู้โดยทุกคน ที่เกี่ยวข้องพร้อมกัน ในเวลาเดียวกัน เพื่อรับมือและปรับตัวให้พร้อมต่อการยืดหยุ่น ตามสถานการณ์ที่เปลี่ยนแปลงอย่างเท่าเทียมกันและพร้อมรับรู้โซลูชั่นใหม่ที่ แตกต่างจากเดิม ➢ ความเสี่ยงจากสถานการณ์ที่ยังไม่แน่นอน (Uncertain) ที่ทำให้การดำเนินงานไป ต่อไม่ได้ตัดสินใจยาก ต้องยกระดับขึ้นเป็นตัวเฝ้าระวังและเตือนภัยหรือ Watchlist ที่ติดตามเป็นชั่วโมง รายวัน หรือรายสัปดาห์ หรือด้วยความถี่ที่เหมาะสม และแจ้ง เตือนให้รับรู้ความคืบหน้าของสถานะความเสี่ยงแก่ผู้เกี่ยวข้องทุกคน เพื่อให้รับรู้ และเตรียมพร้อมจะเริ่มดำเนินการต่อเมื่อเกิดความชัดเจน หรือดำเนินงานใน ทางเลือกอื่นไปก่อนระหว่างที่รอความชัดเจน ➢ องค์กรอาจจะเตรียมแนวทางดำเนินการรอไว้ทั้ง 2 ทาง คือมีทั้งโซลูชั่น A และ B พร้อมกันไม่ว่าสถานการณ์อาจจะพัฒนาไปทางซ้ายหรือขวาก็ได้ เมื่อใดที่ สถานการณ์มีความแน่นอนขึ้นก็จะลงมือดำเนินการไปทางใดทางหนึ่งระหว่าง โซลูชั่น A กับโซลูชั่น B ➢ กำหนดประเด็นความเสี่ยงร่วมและกิจกรรมการควบคุมความเสี่ยงร่วมเป็น Risk Response Model ที่ต้องใช้ร่วมกันระหว่างเจ้าของภาระงานหลายหน่วยร่วมกัน ที่ ควรยอมรับ เข้าใจ และได้รับการสื่อสารถึงผู้ที่เกี่ยวข้องให้ดำเนินงานอย่างประสาน สอดคล้องกัน ตามกรอบ The Three Lines of Defense โดยเฉพาะความเสี่ยงใน การกำกับการปฏิบัติตามกฎเกณฑ์ 4. ผลลัพธ์ร่วมกัน (UNIVERSAL OUTCOMES) ตามมาตรฐาน GRC มาตรฐาน GRC ได้กำหนดผลลัพธ์ร่วมกัน (UNIVERSAL OUTCOMES) สำหรับองค์กรที่ เป็นผลลัพธ์8 ด้านที่คาดหวังขององค์กรและทุกหน่วยงานที่ต้องสามารถแสดงผลดำเนินงานในเชิง ประจักษ์ว่าสามารถส่งมอบและสะท้อนถึงความสำเร็จของการกำกับความเสี่ยง 3 ด้านตามแนวปฏิบัติ ที่ดีของ GRC CAPABILITY MODEL ประกอบด้วย U1 ACHIEVE BUSINESS OBJECTIVE
104 COMPLIANCE GUIDEBOOK เล่มที่ 1 หมายถึง องค์กรจำเป็นต้องดำรงอยู่ เพื่อดำเนินงานให้บรรลุตามวัตถุประสงค์ทางธุรกิจที่ กำหนดไว้ศักยภาพการจัดการความเสี่ยงที่รวมถึงการกำกับการปฏิบัติตามกฎเกณฑ์หรือ GRC Capability จึงต้องมีส่วนสนับสนุนอีกทางหนึ่ง เพื่อทำให้วัตถุประสงค์ทางธุรกิจบรรลุผล U2 ENHANCE ORGANIZATIONAL CULTURE หมายถึง การเสริมสร้างวัฒนธรรมองค์กร ผ่านการสร้างแรงบันดาลใจและส่งเสริม วัฒนธรรมการสร้างผลดำเนินงานตามที่ได้รับมอบหมาย ความรับผิดรับชอบต่อผลงานที่กระทำ การ ยืนหยัดอยู่บนความถูกต้อง การสร้างความไว้วางใจ และการสื่อสาร U3 INCREASE STAKEHOLDER CONFIDENCE หมายถึง องค์กรจำเป็นต้องเพิ่มระดับความไว้วางใจและความเชื่อใจของผู้มีส่วนได้ส่วน เสีย ที่มีต่อองค์กรให้อยู่เกณฑ์ที่ยอมรับได้ U4 PREPARE & PROTECT ORGANIZATION หมายถึง การเตรียมความพร้อมขององค์กรในการระบุประเด็นความเสี่ยง และสิ่งที่ จำเป็นต้องตอบโต้และรับมือ รวมทั้งทำการปกป้ององค์กรจากผลกระทบทางลบที่เกิดขึ้นจาก เหตุการณ์ไม่พึงประสงค์ การฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ และพฤติกรรมที่ขาดจริยธรรม U5 PREVENT, DETECT, & REDUCE ADVERSITY & WEAKNESS หมายถึง องค์กรต้องต่อต้าน หลีกเลี่ยง และจัดการกับเหตุการณ์ที่มีการปฏิบัติไม่ถูกต้อง พร้อมกับลดความเสียหายทั้งที่มีตัวตนและไม่มีตัวตน ทั้งทางตรงและทางอ้อม ทั้งที่เป็นตัวเงินและ ไม่ใช่ตัวเงิน ซึ่งมีสาเหตุจากเหตุการณ์ไม่พึงประสงค์ ทั้งกรณีที่สามารถควบคุมได้และควบคุมไม่ได้ การ ฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ และพฤติกรรมที่ขาดจริยธรรม รวมทั้งลดโอกาสที่จะเกิด เหตุการณ์ในลักษณะคล้ายคลึงกันในอนาคต U6 MOTIVATE & INSPIRE DESIGNED CONDUCT หมายถึง องค์กรมุ่งให้แรงจูงใจและระบบรางวัลกับการดำเนินการที่เป็นไปตามกรอบที่ กำหนดและพึงประสงค์ โดยเฉพาะอย่างยิ่งในสถานการณ์ที่เผชิญหน้ากับความท้าทายของสภาวการณ์ ที่ทำให้ต้องใช้ความพยายาม และความมุ่งมั่นในการบริหารจัดการ U7 IMPROVE RESPONSIVENESS & EFFICIENCY หมายถึง องค์กรมีความต้องการปรับปรุงอย่างต่อเนื่องให้เกิดการตอบสนองรับผ่านการ โต้ตอบต่อสถานการณ์ทางลบได้ทันเวลา และยืดหยุ่นปรับตัวอย่างรวดเร็วได้ตามสถานการณ์ ทำให้ เกิดประสิทธิภาพผ่านการเร่งความเร็วของการดำเนินการอย่างคุณภาพ ในส่วนที่เกี่ยวข้องกับกิจกรรม
105 COMPLIANCE GUIDEBOOK เล่มที่ 1 ตาม GRC Capability พร้อมทั้งปรับปรุงและยกระดับประสิทธิผลผ่านความสามารถบรรลุผลตาม วัตถุประสงค์และเงื่อนไขที่กำหนดไว้ U8 OPTIMIZE ECONOMIC & SOCIAL VALUE หมายถึง องค์กรมุ่งให้เกิดการจัดสรรทรัพยากรและทุนทางการเงินที่เหมาะสมที่สุด เพื่อ รองรับกิจกรรมตาม GRC Capability เพื่อนำไปสู่การสร้างมูลค่าสูงสุด เกิดประโยชน์แก่องค์กรและ สังคมมากที่สุด
106 COMPLIANCE GUIDEBOOK เล่มที่ 1 บทที่ 5 มาตรฐาน ISO 37301: 2021 Compliance Management System - Requirements with guidance for use ISO นำแนวคิด Risk-based Thinking มารองรับมาตรฐาน ISO 37301 ระบบบริหารการกำกับการปฏิบัติตามกฎเกณฑ์ ให้มีแนวทางปฏิบัติที่ เหมาะสมทุกประเภทองค์กร 1. หลักการ เหตุผล และความเป็นมา มาตรฐานของ ISO เกี่ยวกับระบบการบริหารการกำกับการปฏิบัติตามกฎเกณฑ์ ได้รับการ พิจารณาว่ามีความสำคัญ และมีการเปลี่ยนแปลงไปตามสถานการณ์ ทำให้ISO ตัดสินใจ ประกาศใช้ มาตรฐานฉบับใหม่ ISO 37301 เมื่อปี2021 ทดแทนฉบับที่ยกเลิกคือ ISO 19600 : 2014 Compliance Management System – Requirement โดยชื่อของมาตรฐานฉบับใหม่ ได้ให้ ข้อกำหนดที่เป็นแนวปฏิบัติที่จำเป็น สำหรับองค์กรในการใช้ออกแบบ พัฒนา นำไปประยุกต์ใช้ ประเมิน ธำรงรักษาไว้และปรับปรุงประสิทธิภาพ ของระบบการบริหารการกำกับการปฏิบัติตาม กฎเกณฑ์ให้มีประสิทธิผลภายในองค์กร เนื้อหาสาระสำคัญของมาตรฐานฉบับนี้ยังคงเข้มงวดที่บทบาทของคณะกรรมการและผู้บริหาร ระดับสูงขององค์กร และเสนอแนะให้มีคณะกรรมการย่อยเป็นองค์คณะตามโครงสร้างเพื่อกำกับดูแล โดยเฉพาะ พร้อมเสนอให้มีหน่วยงานตามโครงสร้างองค์กรที่ทำหน้าที่ในการกำกับดูแลการปฏิบัติตาม กฎเกณฑ์ อยากอิสระเป็น 2nd Line นอกเหนือจากเจ้าของภาระงานที่กำกับดูแลตนเอง ในฐานะที่ เป็น 1st Line อยู่แล้ว นอกจากนั้น ISO 37301 ยังเป็นมาตรฐาน TYPE A คือ องค์กรที่นำไปใช้ ปฏิบัติต้องดำเนินการให้ครบถ้วนทุกเงื่อนไข ตั้งแต่ 4-10 โดยไม่มีข้อยกเว้น ในปี 2012 ออสเตรเลียได้เสนอให้เริ่มการพัฒนามาตรฐาน ISO เพื่อให้มีบรรทัดฐานของงาน ด้านการกำกับการปฏิบัติตามกฎเกณฑ์โดย ISO นำเอามาตรฐานของออสเตรเลีย AS 8306 มาเป็น ต้นแบบ ซึ่งข้อเสนอนี้ได้รับการยอมรับจากสมาชิกของ ISO
107 COMPLIANCE GUIDEBOOK เล่มที่ 1 หลังจากนั้น คณะกรรมาธิการได้รับการแต่งตั้งให้รับผิดชอบโดยเฉพาะเพื่อพัฒนามาตรฐาน ระบบบริหารงานกำกับการปฏิบัติตามกฎเกณฑ์ ภายใต้ชื่อ ISO/PC 271- Compliance Management และได้ร่างออกมาเป็นมาตรฐาน ISO 19600 Compliance Management SystemGuidelines เพื่อให้ลงความเห็นและให้ข้อเสนอเพิ่มเติมจากสมาชิกของ ISO ในฐานะที่เป็นแนวทางพึง ปฏิบัติ จนปรับมาเป็น ISO 37301แบบ Type ที่เข้มงวดทุกเงื่อนไข แผนภาพที่ 2 มาตรฐานระบบการบริหาร ISO ในแนวคิดโดยองค์รวม มาตรฐาน ทั่วไป มาตรฐานภาคบังคับ รายธุรกิจ/อุตสาหกรรม บริหารคุณภาพ บริหารสภาพ แวดล้อม บริหารองค์กร องค์ประกอบหลักและเงื่อนไข ภาคบังคับ โครงสร้างระดับสูง แนวพึงปฏิบัติ เฉพาะเจาะจง บริหารความเสี่ยง ความรับผิดชอบทางสังคม บริหารกำกับปฏิบัติตามกฎเกณฑ์ การตรวจสอบ การจัดทำเอกสาร หลักฐาน แนวพึงปฏิบัติทั่วไป ISO จัดวางระบบที่ระดับผู้บริหารต้องเป็นหัวหน้าทีม ประเด็นที่น่าสนใจเกี่ยวกับ ISO 37301 1) ระบบบริหารการกำกับการปฏิบัติตามกฎเกณฑ์เป็นระบบบริหารที่สำคัญขององค์กร ที่ ISO มุ่งหวังให้เชื่อมโยงกับ ISO 14001 (บริหารสภาพแวดล้อม) ISO 18001 (การบริหาร สุขภาพและความปลอดภัย) และ ISO 9001 โดย ISO 37301 มีจุดมุ่งหมายจะช่วยองค์กร ปรับปรุงและขยายขอบเขตแนวคิดการบริหารจัดการที่เป็นอยู่สู่การกำกับการปฏิบัติตาม กฎเกณฑ์โดยอยู่ในระดับ High-level Structure
108 COMPLIANCE GUIDEBOOK เล่มที่ 1 2) การที่ ISO กำหนดมาตรฐาน ISO 37301 จากเดิมที่เป็นเพียงแนวพึงปฏิบัติที่ดี เป็น ISO 37301 ที่เป็นมาตรฐานภาคบังคับที่ต้องมีใบรับรองประกอบ เพราะต้องการให้แต่ละ องค์กรตั้งใจจะพัฒนาตนเองให้เกิดความพร้อม และองค์กรต้องตั้งเป้าหมายให้เกิด ประโยชน์แก่องค์กรจริงจัง 3) แต่ละองค์กรจะต้องค้นหาดุลยภาพที่มีความเหมาะสม และเป็นคุณค่าแก่องค์กรของตน และนำเอาแนวพึงปฏิบัตินี้ไปใช้อย่างเหมาะสมในองค์กร 4) ISO 37301 อยู่บน Risk-based Approach ให้ความสำคัญกับการแทรกแนวทางในการ คิด วิเคราะห์ ประเมินความเสี่ยงแทรกไว้ในระหว่างดำเนินงานตามปกติ 5) แนวคิดระบบบริหารการกำกับการปฏิบัติตามกฎเกณฑ์เป็นมากกว่ามุ่งให้ภายในองค์กรมี องค์ประกอบครบถ้วนและเป็นที่พอใจของหน่วยงานกำกับหรือบริษัทแม่เท่านั้น แต่ องค์กรต้องคำนึงถึงผู้มีส่วนได้ส่วนเสียหลายภาคส่วนที่ล้วนมีความสำคัญกับองค์กร เหมือนกัน ซึ่งองค์กรจะต้องจัดเรียงลำดับความสำคัญของผู้มีส่วนได้ส่วนเสียทั้งหมดที่เป็น หน่วยงานกำกับ (Regulator) ว่าจะให้ความสำคัญกับกลุ่มและภาคส่วนใดมากที่สุด และ จัดลำดับความเร่งด่วนก่อน-หลังอย่างไร 6) ISO 37301 นำเอาแนวคิด ISO 31000 เรื่องการบริหารความเสี่ยง และ ISO 9001 Riskbased Thinking มาใช้ในการค้นหา ระบุ วิเคราะห์ ประเมินประเด็นสุ่มเสี่ยงต่อการไม่ สามารถกำกับให้ปฏิบัติเป็นไปตามกฎเกณฑ์โดยเชื่อมโยงกับสภาพแวดล้อมการควบคุมที่ องค์กรมีอยู่ และสภาพแวดล้อมของกฎเกณฑ์ภายนอกและภายในที่เป็นภัยคุกคามหรือ วิกฤติ(Threats) เพื่อนำมากำหนดเป็นเป้าหมายการกำกับความสุ่มเสี่ยงสำคัญที่ เกี่ยวข้อง 7) หน่วยงานกำกับดูแลกฎหมายภายนอกมีความเข้มงวดขึ้นในการบังคับใช้กฎหมายเพื่อ กำกับการดำเนินงานมากขึ้น และองค์กรเองมีการออกกฎเกณฑ์ที่กำกับคณะกรรมการ ผู้บริหารระดับสูง ผู้บริหารสายงาน หัวหน้างาน ผู้ปฏิบัติงาน 8) ความเสี่ยงที่มีขนาดเพิ่มขึ้น คือ COMPLIANCE RISK ที่มีบทลงโทษ มีโอกาสสร้างความ เสียหาย หรือความสูญเสียแก่กิจการ การลดความเสี่ยง คือการมีระบบบริหารการกำกับ การปฏิบัติงานที่ดี ไม่ให้หลุดกรอบของกฎเกณฑ์ และระบบบริหารงานกำกับการปฏิบัติ ตามกฎเกณฑ์ที่ยึดโยงกับมาตรฐานนี้จึงจะสามารถเพิ่มความมั่นใจในความสำเร็จด้านนี้ ขององค์กร
109 COMPLIANCE GUIDEBOOK เล่มที่ 1 แผนภาพ สรุปกรอบแนวทางของการบริหารงานกำกับการปฏิบัติตามกฎเกณฑ์ ตามมาตรฐาน ISO 37301 ที่ใช้ Risk-based 4.1 และ4.2 กำหนดบริบท (ปรัชญา) 4.5 และ 4.6 การค้นหา ระบุ วิเคราะห์ และประเมินความเสี่ยง ด้านกำกับการปฏิบัติตามกฎเกณฑ์ 7.4 วางระบบสารสน เทศและการสื่อสาร (ภายในองค์กรและ ภายนอกองค์กร) (1) ระบุเงื่อนไข กติกาภาคบังคับที่ต้องมั่นใจว่ามีการกำกับการ ปฏิบัติตามกฎเกณฑ์ และความเสี่ยงด้านกำกับการปฏิบัติ ตามกฎเกณฑ์ (2) วิเคราะห์ความเสี่ยงใน 2 มิติ คือ โอกาสเกิดเหตุเสี่ยง และ ระดับความรุนแรงของผลกระทบที่ไม่สามารถกำกับการปฏิบัติ ตามกฎเกณฑ์ (3) ประเมินความเสี่ยงจากคุณภาพการบริหารจัดการที่ยังไม่ เพียงพอ/ไม่มั่นใจ จัดเรียงลำดับและกำหนดเป้าหมาย 11 และ 10 ประเมินผลประกอบการ และพัฒนาปรับปรุง 6.1 และ 6.2 และ 8.2 วางแนวทางจัดการกับประเด็นเสี่ยงด้วยการวางระบบกำกับการปฏิบัติตามกฎเกณฑ์และกิจกรรมควบคุม 1) ความเสี่ยงที่ใช้ ยึดนิยาม ISO เป็นทั้งโอกาสและวิกฤติ หากจัดการไม่เพียงพอและมีประสิทธิภาพก็จะเกิด วิกฤติกับองค์กร แต่ถ้าเพิ่มคุณภาพการบริหารจัดการได้ก็จะเป็นโอกาสทางธุรกิจ 2) หากประเด็นความเสี่ยงที่ไม่มั่นใจในงานกำกับการปฏิบัติตามกฎเกณฑ์เป็น Regulatory Compliance ย่อมไม่มีทางเลือก และ Risk Appetite คือ Zero Errors การวิเคราะห์ความเสี่ยง เป็นประเด็นที่ สามารถเลือก จัดเรียงลำดับได้ ที่ไม่ใช่เงื่อนไขทางกฎหมาย หรืออาจจะเรียกว่าเป็น Grey Areas 3) ความสัมพันธ์ระหว่างองค์ประกอบบริหารงานกำกับการปฏิบัติตามกฎเกณฑ์ตามเกณฑ์ ISO 37301 4.1 ระบุประเด็นสถานะแวดล้อม ภายในและภายนอก 4.2 ระบุความต้องการและเงื่อนไขของ ผู้มีส่วนได้ส่วนเสีย 4.3/4.4 กำหนดขอบเขตและจัดวาง ระบบกำกับการปฏิบัติตาม กฎเกณฑ์องค์กร หลักการกำกับดูแลที่ดี
110 COMPLIANCE GUIDEBOOK เล่มที่ 1 5.2 กำหนดและประกาศนโยบายกำกับการปฏิบัติตามกฎเกณฑ์ของ องค์กร 4.5/4.6 ระบุกติกา เงื่อนไขที่จะใส่ใจด้านการกำกับการปฏิบัติ ตามกฎเกณฑ์และประเมินประเด็นสุ่มเสี่ยงที่หลงเหลือ ธำรงรักษา พัฒนาเพิ่มเติม 10. การบริหาร Non-Compliance และการพัฒนาอย่างต่อเนื่อง 5. หน้าที่กำกับการปฏิบัติที่อิสระจากเจ้าของภาระงานของผู้นำ ผู้บริหารองค์กร 5.3 กำหนดความรับผิดชอบกำกับการปฏิบัติด้วยตนเองเจ้าของ ภาระงานทุกระดับ 7. หน้าที่ของฝ่ายงานสนับสนุน ประเมินผล นำไปใช้จริง 9. ประเมินผลประกอบการด้านการกำกับ การปฏิบัติตามกฎเกณฑ์ และรายงานผล การกำกับการปฏิบัติตามกฎเกณฑ์ 8.1/8.2 วางแผนก่อนเริ่ม ปฏิบัติงานและเพิ่มการควบคุม ความเสี่ยงด้านกำกับปฏิบัติตาม กฎเกณฑ์ระหว่างปฏิบัติงานจริง 9) ความสำคัญในเชิงยุทธศาสตร์ของ ISO 37301 (1) เมื่อองค์กรได้รับอนุญาตให้เริ่มประกอบการ กฎเกณฑ์ต่างๆ ได้เริ่มเข้ามามีบทบาทต่อ การดำเนินงานขององค์กรและถูกจับตามองจากผู้มีส่วนได้ส่วนเสียหลายภาคส่วน รวมทั้งคู่แข่งขัน ที่กำกับอย่างไม่เป็นทางการหรืออย่างไม่เปิดเผยโจ่งแจ้ง ให้องค์กร ปฏิบัติตามกฎเกณฑ์ต่างๆ อย่างเข้มงวด สม่ำเสมอ คงเส้นคงวา (2) มาตรฐาน ISO 37301 จึงเป็นเครื่องมือช่วยให้แนวทางว่าองค์กรควรจะดำเนินการ กำกับการปฏิบัติไปในทิศทางใด มีกระบวนการอย่างใดจึงจะครบวงจร และเป็นแนว ปฏิบัติที่ดี 10)การกำกับการปฏิบัติตามกฎเกณฑ์เป็นงานบริหารที่ต้องบูรณาการกับองค์ประกอบด้าน อื่นของการบริหารจัดการและเชื่อมโยงกับมาตรฐาน ISO อื่น ๆ ด้วย จึงยืดหยุ่นได้เพื่อให้ เหมาะสมกับโครงสร้างและบริบทของแต่ละองค์กร และสภาพแวดล้อมธุรกิจ บุคลากรแต่ ละรุ่น โดยวางกติกาจากระดับโครงสร้างด้านบนขององค์กร หรือ High Level Structure ที่เฉพาะเจาะจงในแต่ละองค์กร ในประเด็นสุ่มเสี่ยงสูงลำดับต้นๆ และคุณค่าหลักที่องค์กร ยึดมั่น 11)การกำกับการปฏิบัติตามกฎเกณฑ์ไม่ได้ยึดติดกับประเด็นสุ่มเสี่ยงเฉพาะประเด็นใด ประเด็นหนึ่งตลอดไป แต่อาจจะต้องมีการทบทวน และปรับเปลี่ยนไปสู่โปรแกรมการ กำกับการปฏิบัติตามกฎเกณฑ์ที่ยังคงมีช่องว่าง จุดอ่อน หรือความเสี่ยงที่หลงเหลือใน การดำเนินงานประจำวัน
111 COMPLIANCE GUIDEBOOK เล่มที่ 1 12)การวางกรอบแนวทางเพื่อพัฒนาการกำกับการปฏิบัติตามกฎเกณฑ์อาจใช้วิธีการ ดำเนินงาน 4 ขั้นตอนที่ใช้ควบคุมและพัฒนากระบวนการอย่างต่อเนื่อง PDCA Plan เป็นการกำหนดประเด็นสุ่มเสี่ยง กติกาการกำกับการปฏิบัติที่จำเป็น และทำการประเมินความเสี่ยงที่หลงเหลือด้านการกำกับการปฏิบัติ ตามกฎเกณฑ์ เพื่อที่จะนำไปสู่การจัดวางกลยุทธ์และจัดทำแผน เพิ่มเติมในการบริหารจัดการความเสี่ยง Do เป็นการกำหนดมาตรการที่จำเป็นในการดำเนินงานให้เป็นจริง ภาคปฏิบัติ และกลไกการกำกับติดตามความก้าวหน้า Check เป็นการนำเอาโปรแกรม แผนงาน โครงการในด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์มาทบทวน โดยอิงตามกระบวนการควบคุมที่ใช้ ดำเนินงานจริง Act จากผลที่ได้ หลังจากการทบทวน องค์กรควรจะทำการปรับปรุง โปรแกรมการกำกับการปฏิบัติตามกฎเกณฑ์อย่างต่อเนื่อง และสิ่งที่ องค์กรสามารถจัดการกับการไม่ปฏิบัติตามกฎเกณฑ์ได้
112 COMPLIANCE GUIDEBOOK เล่มที่ 1 แผนภาพ แสดงกระบวนการตาม Plan-Do-Check-Act Plan/Act Do/Check 1.ระบุประเด็นสภาพ จัดกลุ่มการควบคุม ภายในและสภาพ แวดล้อม และแรง กดดันภายนอก 2.ระบุเงื่อนไขที่เป็น ความคาดหวังของ ผู้รับผลประโยชน์ Plan 7.การวางแผนเพื่อ ระบุ สอด ส่องความ เสี่ยงด้าน Compliance และ ให้บรรลุ วัตถุประสงค์ Do 9.การวางแผนในระดับ องค์กรและการควบคุม ความเสี่ยงด้าน Compliance 3.กำหนดขอบเขตและ จัดวางระบบการบริหาร งานกำกับการปฏิบัติ ตามกฎเกณฑ์ 5.จัดวางนโยบายใน การกำกับการ ปฏิบัติตามกฎ เกณฑ์ 8.การยึดมั่นของผู้นำ หัวหน้างาน ทำ หน้าที่ กำกับการปฏิบัติตาม กฎเกณฑ์ขั้นที่ 2 (อิสระ) ควบคู่กับมอบหมาย หน้าที่ความรับผิด- ชอบให้เจ้าของภาระ งานกำกับตนเองด้าน ปฏิบัติตามกฎเกณฑ์ 10.การประเมินผล ดำเนินงานที่เกิด จริงและทำรายงาน Compliance Reporting
113 COMPLIANCE GUIDEBOOK เล่มที่ 1 4.หลักการกำกับ ดูแลที่ดี 6.ระบุเงื่อนไขกติกา ที่ต้องจัดวางมิให้ เกิดการละเมิด การกำกับการ ปฏิบัติตาม กฎเกณฑ์และ ความเสี่ยงด้าน Compliance 11. การบริหารความเสี่ยงที่ หลงเหลือ และวาง แนวทางพัฒนาอย่าง ต่อเนื่อง Act Check 2. ระบบบริหารการกำกับการปฏิบัติตามกฎเกณฑ์ตาม ISO 37301 1) ประโยชน์ที่สำคัญของ ISO 37301 องค์กรจะได้รับประโยชน์จากการยึดโยงกับกรอบแนวทางการปฏิบัติตาม ISO 37301 ประกอบด้วย (1) ช่วยทำให้แนวทางปฏิบัติขององค์กรมีความชัดเจน ง่ายต่อผู้ปฏิบัติมากขึ้น (2) ช่วยสร้างวัฒนธรรมการกำกับการปฏิบัติด้วยตนเองของเจ้าของภาระงาน ควบคู่ กับการกำกับขั้นที่ 2 จากหน่วยงานที่ทำหน้าที่กำกับดูแลเจ้าของภาระงานใน ลักษณะที่กำกับแยกออกจากกัน 2) ประเด็นการเปลี่ยนแปลงที่สำคัญ การที่มาตรฐาน ISO 37301 ได้เข้ามาทดแทนมาตรฐานเดิม ISO 19600 ได้นำความ แตกต่างที่สำคัญของกรอบแนวคิดระบบบริหารการกำกับการปฏิบัติตามกฎเกณฑ์ให้แก่องค์กรต่างๆ ด้วย องค์ประกอบเชิงโครงสร้างของมาตรา ISO 37301 ประกอบด้วย 7 Building Box ได้แก่ บริบทขององค์กร ภาวะผู้นำ กระบวนการวางแผน กระบวนการสนับสนุน กระบวนการด้านการ ดำเนินงาน กระบวนการประเมินผลการดำเนินงาน และกระบวนการปรับปรุงและพัฒนาอย่างต่อเนื่อง
114 COMPLIANCE GUIDEBOOK เล่มที่ 1 บริบทขององค์กร (1) มาตรฐานที่ปรับปรุงใหม่ ได้ขยายขอบเขตออกไปสู่แนวทางการปฏิบัติที่ดีใน รายละเอียดมากขึ้น เนื่องจากเปลี่ยนเงื่อนไขของมาตรฐานสูงเงื่อนไขภาคบังคับที่ ต้องปฏิบัติตามทุกองค์ประกอบ แตกต่างจากมาตรฐานเดิมทีเป็นเพียงข้อแนะนำ แนวทางให้แต่ละองค์กรนำไปประยุกต์ใช้อย่างสมัครใจ (2) เป็นความพยายามที่จะปรับกลไกของการกำกับการปฏิบัติตามกฎเกณฑ์ให้ สอดคล้องและเหมาะสมกับกฎหมาย กฎ ข้อบังคับในรูปแบบใหม่ที่มีอยู่ในระดับ โลก โดยเฉพาะกฎหมายที่มีการบังคับใช้ในระดับสากล ซึ่งประเทศต่างๆ จำเป็นต้องนำไปใช้ปฏิบัติ เพื่อมิให้เกิดปัญหาและอุปสรรคในการติดต่อทาง การค้า ทางธุรกิจ หรือการบริหารความสัมพันธ์ระหว่างประเทศที่ดีและยั่งยืน ลด การกีดกันทางการค้ามากยิ่งขึ้น (3) เพิ่มกลไกกำกับการปฏิบัติตามกฎเกณฑ์ในลักษณะของการเฝ้าระวัง ล่วงหน้า ตั้งแต่แรก ส่งข้อมูลการแจ้งเตือนทันที เมื่อพบว่ามีระดับความเสี่ยงของกฎหมาย กฎ หรือข้อบังคับใดเพิ่มขึ้นจนอาจจะส่งผลกระทบทางลบหรือเกิดความเสียหาย ต่อองค์กรจนเกินกว่ายอมรับได้เพื่อให้กลไกการกำกับการปฏิบัติตามกฎเกณฑ์ ทำงานได้รวดเร็วขึ้น และเน้นย้ำว่าระบบบริหารส่วนนี้เป็นเรื่องที่ฝ่ายจัดการต้อง บริบทองค์กร ภาวะผู้นำ กระบวนการวางแผน กระบวนการสนับสนุน กระบวนการดำเนินงาน กระบวนการประเมินผล กระบวนการปรับประง ทำความเข้าใจองค์กร ความคาดหวังผู้มีส่วน ได้ส่วนเสีย กลยุทธ์ ระบบงาน ความเสี่ยง วางกลไก องค์คณะ กำกับ หน่วยงานรองรับ แบ่งบทบาท หน้าที่ให้ ชัดเจน กิจกรรมติดตามความ เสี่ยง เพื่อวางแผน รับมือ ตอบโต้ และปิด ช่องว่างความเสี่ยง สำคัญ จัดสรรทรัพยากร เพิ่ม สมรรถนะ สร้างความ ตระหนักรู้ ให้การ ฝึกอบรม แบบแผน ลงสำรวจหน้างานจริง มีกลไกกำกับระหว่าง ปฏิบัติ สอบสวน ข้อเท็จจริงการละเมิด กำหนดตัวชี้วัด การ ติดตาม วัด ประเมินผล ที่เกิดจริง ทบทวนและ ปรับปรุงแก้ไข นำส่วนที่ยังปฏิบัติไม่ สอดคล้องกฎเกณฑ์ ทำ แผนแก้ไข และ ปรับปรุงสู่มาตรฐานที่ดี
115 COMPLIANCE GUIDEBOOK เล่มที่ 1 นำมาดำเนินการ เพื่อปรับปรุงกลยุทธ์แผนงานโครงการ และไม่ใช่บทบาทของ งานตรวจสอบภายใน (4) นำบทเรียนที่เรียนรู้จากเหตุการณ์ที่เกิดการละเมิด การฝ่าฝืนการปฏิบัติตาม กฎเกณฑ์เพื่อพัฒนาระบบบริหารงานกำกับการปฏิบัติตามกฎเกณฑ์ในลักษณะ ที่มีความรวดเร็วและมีประสิทธิภาพทันต่อเหตุการณ์มากขึ้น 3) แนวทางการนำมาตรฐาน ISO 37300 มาใช้ ภายในองค์กร เนื่องจากมาตรฐาน ISO 37301 ฉบับนี้เป็นมาตรฐานที่เป็นเงื่อนไข Type A คือต้อง ดำเนินการครบถ้วนทุกเงื่อนไข จึงเหมาะที่จะใช้ในองค์กร ซึ่งมีการพัฒนาระบบบริหารจัดการความ เสี่ยงไปในระดับที่ก้าวหน้า และมีการดำเนินการวิเคราะห์และประเมินความเสี่ยงองค์กร ที่ครอบคลุม ประเด็นความเสี่ยงสำคัญเป็นประจำอยู่แล้ว เพราะสภาพแวดล้อมขององค์กรลักษณะนี้ จะทำให้ สามารถวางระบบบริหารงานกำกับการปฏิบัติตามกฎเกณฑ์ได้โดยง่าย และเกิดการดำเนินการอย่าง สม่ำเสมอต่อเนื่อง (1) ด้วยการนำเอาระบบบริหารงานกำกับการปฏิบัติตามกฎเกณฑ์เข้าไปเสริมเป็นส่วน หนึ่งของกลไกการบริหารจัดการความเสี่ยงทั่วทั้งองค์กรตามปกติขององค์กร ทำ ให้การกำกับการปฏิบัติตามกฎเกณฑ์ เบนซ์ส่วนที่เสริมสร้างความสำเร็จด้านการ บริหารจัดการความเสี่ยงที่ครอบคลุม ตั้งอยู่บนความยั่งยืนและความอยู่รอดของ องค์กร (2) ระบบบริหารงานกำกัดการปฏิบัติตามกฎเกณฑ์สามารถใช้โครงสร้างพื้นฐาน และ สิ่งอำนวยความสะดวก ตลอดจนระบบงาน เทคโนโลยีสมัยใหม่แพลตฟอร์มหรือ แอปพลิเคชันที่องค์กรมีอยู่แล้ว เพื่อมาขยายต่อยอดในงานส่วนของการกำกับการ ปฏิบัติตามกฎเกณฑ์ให้ดำเนินการในลักษณะที่เป็นระบบ มีโครงสร้างชัดเจน และ มีลักษณะในเชิงรุก โดยไม่ต้องลงทุนเพิ่มเติมในจำนวนที่สูง (3) มาตรฐานการกำกับการปฏิบัติตามกฎเกณฑ์ ประกาศออกมาใช้ควบคู่กับ มาตรฐานในด้านอื่นที่มีความสัมพันธ์สอดคล้องกัน ซึ่งเป็นสิ่งที่ทุกองค์กรให้ ความสำคัญและต้องดำเนินการอยู่แล้ว ได้แก่ มาตรฐานต่อต้านการรับการให้ สินบน การต่อต้านการทุจริต ประพฤติมิชอบ การต่อต้านการฟอกเงิน หรือ เกี่ยวข้องกับกลุ่มผู้ก่อการร้าย ตลอดจนความเสี่ยงที่มาจากกฎเกณฑ์ใหม่ๆด้านอื่น โดยเฉพาะอย่างยิ่ง มาตรฐาน ISO 37001 ที่เกี่ยวข้องกับการต่อต้านการให้และ รับสินบน ในฐานะที่มาตรฐานการต่อต้านการให้และรับสินบนเป็นส่วนหนึ่งของ ระบบบริหารการกำกับปฏิบัติการปฏิบัติตามกฎเกณฑ์รวมทั้งมีข้อแนะนำว่า องค์กรควรจะพัฒนามาตรฐานทั้งสองมาตรฐานนี้ไปพร้อมๆกัน
116 COMPLIANCE GUIDEBOOK เล่มที่ 1 (4) ISO พยายามที่จะชี้แจงให้แต่ละองค์กรเห็นว่า มาตรฐานฉบับนี้มีส่วนช่วยให้ องค์กรเพิ่มสมรรถนะและความได้เปรียบด้านการแข่งขัน เนื่องจากเป็นเครื่องมือที่ ทำให้เห็นว่าองค์กร มีความมุ่งมั่นต่อหลักธรรมาภิบาล จริยธรรม จรรยาบรรณ และพร้อมที่จะรักษาชื่อเสียงโดยรวมขององค์กร มีความเสี่ยงในระดับต่ำที่จะฝ่า ฝืนการปฏิบัติตามกฎเกณฑ์หรือความเสี่ยงในการที่จะถูกดำเนินคดีทางกฎหมาย และมีความพร้อมที่จะขยายบทบาทและตำแหน่งทางการตลาดขององค์กรไปสู่การ ทำข้อตกลงทางธุรกิจระหว่างประเทศ อันเนื่องมาจากการที่องค์กรมีความแม่นยำ ในเรื่องของข้อกฎหมาย และมั่นใจในกลไกกำกับการปฏิบัติตามกฎหมายอย่าง ครบถ้วนครอบคลุม (5) มาตรฐานฉบับนี้วางข้อกำหนดให้องค์กรต้องวิเคราะห์ ประเมิน ติดตามการ เปลี่ยนแปลงของบริบททั้งภายในและภายนอก ที่เป็นระบบนิเวศน์การกำกับการ ปฏิบัติตามกฎเกณฑ์ เพื่อให้มั่นใจว่าสามารถพัฒนาระบบการบริหารจัดการเพื่อ การกำกับการปฏิบัติตามกฎเกณฑ์ได้อย่างทันท่วงที ทั้งในส่วนที่เป็น Hardware และ Software เช่น ค่านิยมของสังคม วัฒนธรรมที่เกี่ยวข้องกับการเป็นมิตรต่อ สิ่งแวดล้อม ผู้มีส่วนได้ส่วนเสียภาคส่วนต่างๆ รวมทั้งสื่อโซเชียลมีเดียที่เริ่มเข้ามามี บทบาทในการกำกับการปฏิบัติขององค์กร ให้เป็นไปตามความคาดหวังซึ่งถือเป็น กฎเกณฑ์ของสังคม (6) มาตรฐานฉบับนี้มุ่งให้ทุกองค์กร มีความยึดมั่นในพันธกรณีด้านการปฏิบัติตาม กฎเกณฑ์ ไม่ใช่เป็นเพียงทางเลือกแต่เป็นสิ่งที่มีความจำเป็น ที่ต้องมีการจัดทำการ พัฒนา การนำมาใช้ การติดตามและประเมินผลอย่างต่อเนื่องสม่ำเสมอ การดูแล รักษาให้ระบบคงอยู่ และการปรับปรุงระบบการบริหารจัดการด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์อย่างต่อเนื่อง เนื่องจากการไม่ปฏิบัติตามกฎเกณฑ์อาจ หมายถึงการสูญเสีย ทางการเงิน และไม่ใช่การเงิน และทำลายชื่อเสียงขององค์กร ทั้งในระดับประเทศและระดับโลก (7) บุคลากรที่จะมาทำหน้าที่ในด้านการกำกับการปฏิบัติตามกฎเกณฑ์ มีแนวโน้มที่จะ เป็นบุคลากรในสายวิชาชีพอย่างหนึ่ง เนื่องจากผู้ที่จะมาปฏิบัติงานต้องมีความรู้ ความเข้าใจในเชิงลึก และต้องปฏิบัติให้ครบถ้วนตามรูปแบบของเอกสารหลักฐาน มาตรฐานที่ ISO ได้จัดวางไว้เป็นเกณฑ์ขั้นต่ำหรือบรรทัดฐานสำหรับทุกองค์กร ทำ ให้ทุกองค์กรต้องมีแผนในการพัฒนาบุคลากรในกลุ่มวิชาชีพการกำกับการปฏิบัติ ตามกฎเกณฑ์อย่างต่อเนื่อง เพื่อให้มีองค์ความรู้ นำไปสู่ความ 3 ารถในการพัฒนา ทักษะ และเผชิญหน้ากับประสบการณ์ของความเสี่ยงด้านการกำกับการปฏิบัติ
117 COMPLIANCE GUIDEBOOK เล่มที่ 1 ตามกฎเกณฑ์ในแต่ละสถานการณ์ได้จริง เช่นเดียวกับวิชาชีพอื่น เช่น คนทำบัญชี ผู้ตรวจสอบภายใน เจ้าหน้าที่รักษาความปลอดภัย ตามมาตรฐานความปลอดภัย อาชีวอนามัยและสภาพแวดล้อมการทำงาน เป็นต้น (8) มาตรฐานฉบับนี้ มุ่งเน้นให้องค์กรมีการเตรียมความพร้อมในการรับมือกับความ เสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ล่วงหน้าในเชิงรุก ที่เป็นการป้องกัน และป้องปราม และบริหารตัวขับเคลื่อนที่เป็นสาเหตุสำคัญกรณีที่เกิดการละเมิด เพื่อป้องกันมิให้เกิดซ้ำในอนาคต (9) เงื่อนไขของมาตรฐาน ISO ทุกฉบับ กำหนดให้มีการตรวจสอบภายในในฐานะผู้ ประเมินอิสระ ให้ความเห็นและข้อเสนอแนะในการแก้ไขปรับปรุงต่อฝ่ายจัดการ ขององค์กรเองก่อนที่จะมีการตรวจประเมินโดยองค์กร ISO ในฐานะผู้ประเมิน อิสระภายนอกอีกชั้นหนึ่ง
118 COMPLIANCE GUIDEBOOK เล่มที่ 1 บทที่ 6 The Three Lines of Defense สนับสนุนการกำกับความเสี่ยง Compliance Risk 1. หลักการ เหตุผล และความเป็นมา องค์กรในโลกยุคปัจจุบันไม่สามารถละเลยหรือไม่ใส่ใจกับแนวคิดเกี่ยวกับการกำกับ การปฏิบัติตามกฎเกณฑ์และความเสี่ยงเรื่องนี้ไปได้ เช่นเดียวกับการบริหารจัดการกับความเสี่ยงอื่น ๆ การจัดการความเสี่ยงในด้านการกำกับการปฏิบัติตามกฎเกณฑ์ขององค์กรจึงควรจัดทำไปพร้อม ๆ กับ ความเสี่ยงประเภทอื่น ๆ ในคราวเดียวกัน และคิดพร้อมกันทีเดียว การจัดหาเทคนิคและหลักเกณฑ์ในการคิดความเสี่ยงการกำกับการปฏิบัติตาม กฎเกณฑ์ และความเสี่ยงประเภทอื่นให้ครอบคลุมทุกภาระงาน ซึ่งแต่ละภาระงานมีบทบาท หน้าที่ ความรับผิดชอบแตกต่างกันออกไป ที่ได้รับความนิยมและมีการนำไปใช้ในองค์กรต่างๆ ทั่วโลกมากขึ้น คือแนวคิดของ The Three Lines of Defense ที่เป็นการกำหนดบทบาทหน้าที่และความรับผิดชอบ ของหน่วยงานย่อยต่างๆ และภาระงานต่างๆ ที่เกี่ยวข้องกับความเสี่ยงด้านการกำกับการปฏิบัติตาม กฎเกณฑ์ออกเป็น 3 กลุ่มใหญ่ ที่แต่ละกลุ่มมีบทบาทที่ไม่เหมือนกัน The Three Lines of Defense เป็นกรอบแนวคิดระดับสากลที่ช่วยในการขยาย บทบาทการกำกับความเสี่ยงด้านการปฏิบัติตามกฎเกณฑ์ให้สามารถใช้ได้กับทุกหน่วยงานย่อย ที่ต้อง บูรณาการและเชื่อมโยง สัมพันธ์กันตลอดแนว ไม่ใช่แยกจากกัน ไม่กล้าข้ามหน่วยงาน เพราะเคยมี ความเชื่อผิด ๆ และเกรงไปว่าจะก้าวก่ายกัน ทั้งนี้เพื่อให้กลับเป็นแนวคิดการทำงานทางบวก คือ การ ทำงานให้มีลักษณะการร่วมกันรับผิดชอบความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ข้าม หน่วยงาน ไม่ได้แบ่งแยกด้วยผนังกั้นระหว่างหน่วยงาน หรือด้วยการติดตรึงภาระงานที่ติดกับลาย ลักษณ์อักษร ที่ระบุไว้ในโครงสร้างองค์กรตามหน้าที่ (Functional Organization) ที่มีคำอธิบาย ลักษณะงานที่แตกต่างกัน จนทำให้เสมือนกับว่าแต่ละหน่วยงานย่อยข้ามกำแพงโครงสร้างตามหน้าที่นี้ ไม่ได้ และส่งผลให้เกิดช่องว่างการดำเนินงานในด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่จำเป็นต้อง เกี่ยวข้องหลายหน่วยงานย่อย หรือตรงกันข้าม อาจจะเกิดความซ้ำซ้อน หรือทับซ้อนกันในการควบคุม และจัดการความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่ทำให้การจัดการไม่เกิดประสิทธิภาพ และไม่สร้างประสิทธิผล
119 COMPLIANCE GUIDEBOOK เล่มที่ 1 การมอบนโยบายให้มีการประสานงาน ร่วมมือ สนับสนุน ช่วยเหลือกันในการจัดการ ความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ อาจจะเป็นเพียงวลีที่กล่าวขึ้นลอย ๆ หรือเป็นเพียง ตัวอักษรในเอกสารที่ใช้ในการสั่งการ แต่ไม่เกิดประสิทธิผลจริง เพราะไม่มีการกำหนดวิธีการ ดำเนินการที่ชัดเจน และเป็นที่ยอมรับของทุกหน่วยงานย่อย นอกจากนั้น แต่ละหน่วยงานย่อยที่ยึดหลักการจัดโครงสร้างแบบหน้าที่ อาจจะพิจารณา ความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์เฉพาะภาระงานของตน ไม่ใช่ในภาพรวมขององค์กร หรือไม่แต่แม้จะพิจารณา หรือทำการประเมินความเสี่ยง หรือทำการสื่อสารความเสี่ยง หรือติดตาม ประเมินผลดำเนินงานที่มีผลกระทบของความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ ที่มีไปถึง หน่วยงานย่อยอื่น เพราะมองว่าไม่เกี่ยวข้องกับภาระงานของตน การศึกษาในอดีตจึงพบว่าไม่ว่าองค์กรจะดำเนินงานใด จัดรูปแบบโครงสร้างองค์กร อย่างไร ใช้กรอบแนวทางและวิธีการบริหารความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์แบบใด ความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ก็เป็นเพียงความเสี่ยงในระดับหน่วยงานย่อย ๆ หรือ ระดับภาระงานเท่านั้น 2. การเกิดของแนวคิด The Three Lines of Defense องค์กรไม่มุ่งหวังกำไรชื่อ COSO ได้ทำการพัฒนากรอบแนวคิดที่เรียกว่า The Three Lines of Defense มาใช้ในระดับสากล หลังจากที่ COSO มีการประกาศใช้ COSO 2013 Internal Control – Integrated Framework เพื่อให้นำไปใช้เป็นแนวปฏิบัติที่ดีแนวใหม่ เพื่อช่วยองค์กรใน การกระจายหน้าที่และความรับผิดชอบและกำหนดความร่วมมือ การประสานงานกันข้ามสายงานของ หน่วยงานย่อย ในการจัดการกับความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์และความเสี่ยง ประเภทอื่น ๆ อย่างเป็นระบบ รายละเอียดของ The Three Lines of Defense ประกอบด้วย 1) สร้างกลไกเพิ่มเติมการสื่อสารในระหว่างกระบวนดำเนินงาน กรอบแนวคิดนี้กำหนดวิธีการอย่างมีประสิทธิผลในการส่งเสริมกิจกรรมด้านการ สื่อสารกันอย่างเป็นระบบ เพื่อจัดการความเสี่ยงและควบคุมความเสี่ยงด้านต่างๆ รวมทั้งด้านการ กำกับการปฏิบัติตามกฎเกณฑ์
120 COMPLIANCE GUIDEBOOK เล่มที่ 1 2) นิยามในโมเดลของ The Three Lines of Defense 1 st line หมายถึงการควบคุมการบริหารและการดำเนินงานในพันธกิจหลักที่สร้าง รายได้แก่องค์กร หรือดำเนินงานตามค่าเป้าหมายหลักขององค์กร ที่เคยเรียกว่า front office มีหน้าที่ ต้องทำตามกฎเกณฑ์และดำเนินการกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์อย่างเคร่งครัด โดยการ เฝ้าระวัง ติดตามความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ในภาระงานของตนอย่างต่อเนื่อง ตลอดเวลา 2 nd Line หมายถึง หน่วยงานย่อยที่ทำหน้าที่รวบรวมความเสี่ยงด้านการกำกับ การปฏิบัติตามกฎเกณฑ์จากทุกหน่วยงาน เพื่อเฝ้าระวังและกำกับในภาพรวมของความเสี่ยงด้านการ กำกับการปฏิบัติตามกฎเกณฑ์ และออกแบบ จัดวาง กำหนดการใช้งานแนวทางการจัดการความเสี่ยง ด้านการกำกับการปฏิบัติตามกฎเกณฑ์ให้ 1 st Line นำไปใช้งานจริง 3 rd Line หมายถึงหน่วยงานย่อยที่ไม่ได้เกี่ยวข้องกับการปฏิบัติภาระงานและ ดำเนินงานตามพันธกิจประจำ ที่เข้าไปทำการตรวจสอบ สอบทาน ทดสอบว่าแนวทางการจัดการความ เสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่ 1 st Line และ 2 nd Line ใช้อยู่ในระหว่างการปฏิบัติงาน จริงนั้นได้ใช้จริงหรือไม่ และเมื่อใช้จริงแล้วเกิดประสิทธิภาพหรือไม่ ซึ่งการจัดการความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ ต้องอาศัยบทบาท ที่มาจากทั้ง 3 กลุ่มงานร่วมกัน ไม่ใช่เพียงส่วนใดส่วนหนึ่ง และการทำงานของ 3 สายงานเท่านั้นที่จะ ทำให้เกิดความความถ้วน สมบูรณ์ของกระบวนการดำเนินงาน 3. บทบาทของผู้บริหารระดับสูงและคณะกรรมการ แม้ว่ากรอบแนวคิด The Three Lines of Defense จะไม่ได้กำหนดให้รวมเอาผู้บริหาร ระดับสูง หรือคณะกรรมการเข้าไปไว้ใน 3 กลุ่มงานมีหน้าที่รับผิดชอบการจัดการความเสี่ยงด้านการ กำกับการปฏิบัติตามกฎเกณฑ์อย่างชัดเจน แต่ในทางปฏิบัติการที่กลุ่มงานใดใน 3 กลุ่มจะดำเนินการ ใด ๆ ได้ย่อมจะต้องได้รับความเห็นชอบหรืออนุมัติจากผู้บริหารระดับสูง และรายงานคณะกรรมการ เพื่อรับทราบก่อนเสมอ ดังนั้น The Three Lines of Defense จึงถือว่าผู้บริหารระดับสูงและคณะกรรมการ คือ ผู้มีส่วนได้ส่วนเสีย หรือผู้รับผลประโยชน์ร่วมของการจัดการความเสี่ยงด้านการกำกับการปฏิบัติตาม กฎเกณฑ์
121 COMPLIANCE GUIDEBOOK เล่มที่ 1 หน้าที่สำคัญของผู้บริหารระดับสูงและคณะกรรมการ ประกอบหน้าที่ในประเด็นต่อไปนี้ 1) ส่งเสริม สนับสนุน ผลักดัน ขับเคลื่อนให้เกิดการกำหนดแนวทางการจัดการความ เสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่มีประสิทธิผล โดยให้ 3 กลุ่มงาน ปฏิบัติงานร่วมมือกันอย่างเหมาะสม 2) หน้าที่นี้เริ่มตั้งแต่การแทรกกรอบแนวคิด The Three Lines of Defense ไว้ในการ จัดโครงสร้างองค์กร ทำให้แต่ละหน่วยงานย่อยรับรู้ว่าตนทำหน้าที่ใดใน 3 กลุ่ม 3) ขับเคลื่อนและผลักดันที่ทำให้เกิดการยอมรับว่า 2 nd Line มีหน้าที่ในการออกแบบ จัดวาง กำหนดให้ใช้แนวทางการจัดการความเสี่ยงด้านการกำกับการปฏิบัติตาม กฎเกณฑ์ ไม่ใช่การแทรกแซง หรือก้าวก่ายแต่อย่างใด 4) ทำการกำหนดวัตถุประสงค์การดำเนินงาน ด้านการจัดการความเสี่ยงในการกำกับ การปฏิบัติตามกฎเกณฑ์ให้กับแต่ละกลุ่มงาน และตัวชี้วัดผลดำเนินงานด้านการ จัดการความเสี่ยงของแต่ละกลุ่มงานให้ชัดเจน 4. การจัดวางกลุ่มงานตาม The Three Lines of Defense แบ่งแยกหน้าที่หน่วยงานในองค์กรออกเป็น 1) กลุ่มที่มีหน้าที่เป็นเจ้าภาพความเสี่ยงในภาระงานและหน้าที่เกี่ยวกับการจัดการ ความเสี่ยงระหว่างปฏิบัติภาระงานรายครั้ง รายวัน มิให้ความเสี่ยงกระทบต่อการ บรรลุสำเร็จของงานและวัตถุประสงค์การดำเนินงาน 2) กลุ่มที่มีหน้าที่เกี่ยวกับการกำกับสถานะความเสี่ยงในภาพรวมของทั้งองค์กร ที่มา จากผลการจัดการความเสี่ยงของรายหน่วยงาน 3) กลุ่มที่มีหน้าที่ตรวจสอบ ทดสอบอย่างอิสระเกี่ยวกับประสิทธิผลด้านการจัดการ ความเสี่ยง บทบาทของ 1 st Line เป็นเจ้าภาพความเสี่ยงในภาระงานและหน้าที่เกี่ยวกับการจัดการความเสี่ยงระหว่าง ปฏิบัติภาระงานรายครั้ง รายวัน มิให้ความเสี่ยงกระทบต่อการบรรลุสำเร็จของงานและวัตถุประสงค์ การดำเนินงาน ในฐานะเข้าภาพความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ หน่วยงานย่อยเหล่านี้ สามารถกำหนดแนวทางการจัดการเพิ่มเติมในส่วนที่เป็นวิธีการดำเนินงาน ขั้นตอนรายละเอียด (How
122 COMPLIANCE GUIDEBOOK เล่มที่ 1 to Do) และแทรกกิจกรรมการควบคุมความเสี่ยงไว้ในระหว่างการปฏิบัติงานตามปกติ และใน WI : Work Instruction สำหรับบุคลากรในความรับผิดชอบของตน บทบาทของ 2 nd Line ในโลกแห่งความเป็นจริง ความรับผิดชอบในการจัดการความเสี่ยงด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์แต่เพียงลำพังของ 1 st Line ยังไม่เพียงพอที่จะให้หลักประกันประสิทธิภาพของ การจัดการความเสี่ยงที่จำกัดเฉพาะรายภาระงานได้ จึงต้องการการกำกับชั้นที่ 2 จากหน่วยงานที่ทำ หน้าที่ออกแบบ จัดวาง นำไปใช้ในการกำหนดแนวทางการจัดการความเสี่ยงด้านการกำกับการปฏิบัติ ตามกฎเกณฑ์ ที่ใช้ประเมินผลสถานะความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ในภาพรวมของ องค์กร (Risk Oversight) เพื่อประเมินในภาพรวมขององค์กรได้ว่าการจัดการความเสี่ยงของแต่ละ หน่วยงานย่อยเพียงพอ เหมาะสม มีประสิทธิผลหรือไม่ ผ่านการรวบรวมข้อมูลและสร้างเป็น สารสนเทศของการกำกับการปฏิบัติตามกฎเกณฑ์ขององค์กร หากการประเมินผลพบว่าการจัดการของ 1 st Line ส่วนใดยังไม่เพียงพอ ก็จะต้องพัฒนา ปรับปรุง เสริมสร้างความแข็งแกร่งของการจัดการความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ใน ส่วนนั้นเพิ่มเติม สายการรายงานของ 2 nd Line คือ ผู้บริหารระดับสูง เพื่อพิจารณาและสั่งการ และ แจ้งผลกลับไปที่หน่วยงานย่อยที่เกี่ยวข้อง แม้จะเกี่ยวข้องกับ 1 st Line แต่ลักษณะและรูปแบบการดำเนินงานของ 2 nd Line มี ระยะห่างและมีความเป็นอิสระระดับหนึ่งจาก 1 st Line โดยเฉพาะการไม่เข้าไปทำการแก้ไขหรือ จัดการความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์แทน 1 st Line หากแต่จะส่งต่อให้ 1 st Line ต้องจัดการความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์นั้นด้วยตนเอง หรือในบางกรณี ผู้บริหาร ระดับสูงอาจจะเข้าไปแทรกแซงด้วยการสั่งการให้เพิ่มเติม ปรับปรุง แก้ไขการจัดการความเสี่ยงด้าน การกำกับการปฏิบัติตามกฎเกณฑ์เองโดยตรงกับ 1 st Line โดยไม่จำเป็นต้องผ่านทาง 2 nd Line ก่อน ทุกครั้ง หน้าที่หลักๆ ของ 2 nd Line ควรจะครอบคลุมถึงประเด็นต่อไปนี้ 1) สนับสนุนการดำเนินงานให้เป็นไปตามนโยบาย ด้วยการกำหนดระเบียบปฏิบัติใน ด้านการจัดการความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ให้แต่ละหน่วยงาน ย่อย 2) กำหนดเป้าหมาย วัตถุประสงค์ของการกำกับการปฏิบัติตามกฎเกณฑ์ และความ เสี่ยงที่เกี่ยวข้องประจำปี 3) กำหนดกรอบแนวทาง วิธีระบุ วิเคราะห์ ประเมินความเสี่ยง และการจัดการความ เสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์
123 COMPLIANCE GUIDEBOOK เล่มที่ 1 4) ระบุความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่ยังหลงเหลือในภาพรวมและ ความเสี่ยงจากกฎเกณฑ์ที่เกิดใหม่ 5) เปลี่ยนแปลงกรอบการกำกับการปฏิบัติตามกฎเกณฑ์ตามสภาพแวดล้อมการ ดำเนินงานและสภาพแวดล้อมภายนอกองค์กร 6) กำหนดหลักสูตรการอบรมที่ลดช่องว่างเชิงสมรรถนะในการบริหารจัดการความ เสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ให้กับบุคลากร 7) สร้างโครงสร้างพื้นฐาน สิ่งอำนวยความสะดวกในการจัดการความเสี่ยงด้านการ กำกับการปฏิบัติตามกฎเกณฑ์ของทุกหน่วยงานย่อย 8) แจ้งเตือนเป็นการล่วงหน้า ส่งสัญญาณเตือนที่จำเป็นล่วงหน้าให้แก่กลุ่ม 1 st Line ในความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่เกิดใหม่ 9) ติดตาม วัดผลตามมาตรวัด และประเมินประสิทธิผลของการควบคุมความเสี่ยงด้าน การกำกับการปฏิบัติตามกฎเกณฑ์ บทบาทของ 3 rd Line เป็นส่วนของงานตรวจสอบภายใน และคณะกรรมการพิเศษที่จัดตั้งขึ้นเฉพาะกิจ เช่น - คณะกรรมการตรวจนับทรัพย์สิน - คณะกรรมการตรวจนับสินค้าคงคลัง - คณะกรรมการตรวจนับเงินสด - คณะกรรมการตรวจรับการจัดซื้อจัดจ้าง เป็นการทำการตรวจสอบ ทดสอบ สอบทาน ให้กับผู้บริหารระดับสูง หรือคณะกรรมการ ตรวจสอบ ที่กระทำการอย่างอิสระ ไม่ได้มีส่วนร่วมในการตัดสินใจปฏิบัติงานและไม่ได้มีส่วนร่วมใน การปฏิบัติงานเองแต่แรกกับ 1 st Line หรือ 2 nd Line ซึ่งความเป็นอิสระของกลุ่ม 3 rd Line นี้ไม่พบว่า มีอยู่ในกรณีของ 2 nd Line ตั้งแต่เริ่มแรก เพื่อมิให้เกิดการทับซ้อนหรือซ้ำซ้อนกัน บทบาทของ 3 rd Line ขึ้นกับขนาดขององค์กรด้วย เพราะในองค์กรขนาดเล็ก จำนวนของผู้ตรวจสอบภายในไม่มาก อาจจะไม่สามารถดำเนินการตรวจสอบได้ครอบคลุมทุกหน่วยงาน ในทุกภาระงาน หากแต่อาจจะเลือก ทำได้เพียงบางส่วน ในการดำเนินงานในหน้าที่ของ 3 rd Line มักครอบคลุม 1) อิงตามมาตรฐานการตรวจสอบภายใน หรือคู่มือการปฏิบัติงานของคณะทำงาน/ คณะกรรมการเฉพาะกิจ 2) รายงานการดำเนินงานต่อผู้บริหารระดับสูง
124 COMPLIANCE GUIDEBOOK เล่มที่ 1 3) ส่งต่อข้อมูลรายงานที่เป็นจุดอ่อนของการควบคุมให้ 1 st Line และ 2 nd Line เพื่อ ปรับปรุง แก้ไข พัฒนาเพิ่มเติม 5.บทบาทของหน่วยงานภายนอกองค์กร กลุ่มที่ 1 บทบาทของผู้สอบบัญชีภายนอก ในกรณีขององค์กรที่เป็นบริษัทมหาชน หรือหน่วยงานรัฐ อาจจะมีกลุ่มที่เข้ามาเพิ่มเติมใน The Three Lines of Defense คือ ผู้สอบบัญชีภายนอก หรือสำนักงานตรวจเงินแผ่นดินในกรณีของ หน่วยงานภาครัฐ ความเห็นของหน่วยงานผู้สอบบัญชีภายนอกเหล่านี้ ถือเป็นส่วนหนึ่งของการพัฒนา แนวทางการจัดการความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ด้วย กลุ่มที่ 2 บทบาทของหน่วยงานรัฐภายนอก การตรวจประเมิน ณ สถานประกอบการของหน่วยงานกำกับเป็นรายครั้ง ถือเป็น Special Lines เพิ่มเติม เช่น กรณีของกรมสรรพากร กรมโรงงาน กระทรวงแรงงาน ที่ปรึกษาทางการเงิน ความเห็นของหน่วยงานกำกับภายนอกที่ได้เข้าตรวจประเมินเหล่านี้ ถือเป็นส่วนหนึ่งของ การพัฒนาแนวทางการจัดการความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ด้วย 6. การบูรณาการ เชื่อมโยง ส่งต่อการจัดการความเสี่ยงด้านการกำกับการปฏิบัติตาม กฎเกณฑ์ผ่าน The Three Lines of Defense แต่ละองค์กรมีพื้นฐานการบริหารจัดการ มีวัฒนธรรมการกำกับดูแลองค์กรที่แตกต่างกัน ดังนั้น แนวทางการบูรณาการ เชื่อมโยง ส่งต่อการจัดการจึงแตกต่างกัน ไม่ได้มีวิธีการหรือแนวทาง เดียวที่ดีที่สุด แก้ไขข้อจำกัดในองค์กรขนาดเล็ก ในองค์กรที่มีขนาดเล็ก มีข้อจำกัดในการจัดวางหน่วยงานย่อยให้แบ่งแยกเป็น The Three Lines of Defense ทางออกที่เป็นไปได้ในการดำเนินงาน คือ การทำให้หน้าที่ความรับผิดชอบสำคัญที่ มีโอกาสเกิดความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ ต้องมีการปฏิบัติงานแบบคู่ขนาน Dual Assignment ไม่ใช่คนใดคนหนึ่งกระทำการเบ็ดเสร็จ การจัดวางแนวทางในการทำงาน The Three Lines ให้ยังคงอยู่ เช่น - การร่วมลงนาม 2 คน - การเพิ่มขั้นตอนการสอบทาน ตรวจสอบก่อนดำเนินการ
125 COMPLIANCE GUIDEBOOK เล่มที่ 1 - การออกแบบเอกสารแบบฟอร์มให้ผ่านทุกหน่วยงานที่เกี่ยวข้องในชุดเดียวกัน ตั้งแต่ต้น จนจบกระบวนการ - การตั้งคณะทำงานปฏิบัติงานแทนหน่วยงานตามหน้าที่ในโครงสร้าง 7. OECD GOVERNANCE องค์กร OECD มีบทบาทสำคัญ ด้วยการออกกฎเกณฑ์ และบังคับใช้ผ่านสมาชิกของ องค์กร ซึ่งที่ผ่านมา OECD มีชื่อเสียงในเรื่องของการวางมาตรฐานการกำกับการปฏิบัติด้านกฎเกณฑ์ สำหรับหน่วยงานที่เป็นหน่วยงานที่มีอำนาจในการกำกับดูแล หรือมีอำนาจในการออกคำสั่งทาง ปกครอง ทำให้สามารถออกข้อกำหนดในรูปแบบต่างๆ หรือมาตรฐานที่ให้องค์กรต่างๆ ต้องถือปฏิบัติ มาตรฐานขององค์กรนี้ จึงเหมาะที่จะนำไปใช้สำหรับองค์กรที่มีลักษณะเป็นระดับของหน่วยงานกำกับ ที่สามารถออกกฎเกณฑ์บังคับใช้ต่อหน่วยงานอื่นได้ให้คำนึงถึงหลักการของการกำกับการปฏิบัติตาม กฎเกณฑ์ที่ดี แนวปฏิบัติที่เกี่ยวข้องในเรื่องนี้คือ OECD : COMPLIANCE FOR REGULATOR ประกอบด้วยหลักการทั้งสิ้น 7 หลักการดังนี้ หลักการที่1 การสร้างความชัดเจนในบทบาทการกำหนดนโยบายที่รับ มอบหมาย (Role clarity) หลักการที่ 2 การป้องกันและป้องปรามมิให้อยู่ภายใต้อิทธิพล การ แทรกแซง และการดำรงสถานะความน่าเชื่อถือ หลักการที่ 3 การกำหนดหลักการในการตัดสินใจเพื่อกำหนดและวาง โครงสร้างขององค์กรกำกับดูแลภายใน (Governing body structure) สำหรับหน่วยงานกำกับหรือกำหนดนโยบายที่มี ความเป็นอิสระจากระดับผู้ปฏิบัติ(Decision making & governing body structure for independent regulators) หลักการที่ 4 การแสดงความรับผิดรับชอบต่อผลดำเนินงานและความ โปร่งใส (Accountability & transparency) หลักการที่ 5 การทำความตกลงร่วมกันและสร้างการยินยอมกับผู้มีส่วน ได้ส่วนเสียที่เกี่ยวข้อง หลักการที่ 6 การจัดหาและบริหารแหล่งเงิน (Funding)
126 COMPLIANCE GUIDEBOOK เล่มที่ 1 หลักการที่ 7 การประเมินผลการดำเนินงาน (Performance evaluation) นอกจากนั้น OECD ยังทำหน้าที่ในการตรวจประเมินการปฏิบัติที่เกิดขึ้นจริง ด้านการ กำกับการปฏิบัติตามกฎเกณฑ์ในประเทศต่างๆ ที่เป็นสมาชิก ด้วยการกำหนดตัวชี้วัดผลสัมฤทธิ์ สำหรับงานการกำกับการปฏิบัติตามกฎเกณฑ์ ซึ่งสามารถนำมาประยุกต์ใช้ได้ในองค์กรที่มีลักษณะ ใกล้เคียงกัน ตัวชี้วัดผลสัมฤทธิ์สำหรับงานด้าน COMPLIANCE – REGULATORS ได้แก่ ตัวชี้วัดที่ 1 การมีจุดยืนที่มั่นคงบนความถูกต้อง (Integrity) ตัวชี้วัดที่ 2 การเปิดกว้างและความโปร่งใส (Openness & Transparency) ตัวชี้วัดที่ 3 การดึงเอาผู้เกี่ยวข้องเข้ามาร่วม มีส่วนร่วม เปิดโอกาสอย่างเท่า เทียม กระจายให้เกิดความทั่วถึง ( Inclusiveness, Participation , Gender Equality and Diversity) ตัวชี้วัดที่ 4 ความรับผิดรับชอบต่อผลที่กระทำไป และการเคารพต่อหลักนิติติ ธรรม (Accountability & the Respect for the Rule of Law) ตัวชี้วัดที่ 5 การประกาศเจตนารมณ์ ความมุ่งมั่นในรูปแบบนโยบาย การ กำหนดวิสัยทัศน์ บทบาทชี้นำในฐานะของพันธมิตรธุรกิจ ตัวชี้วัดที่ 6 การตัดสินใจเชิงนโยบายที่ยึดโยงกฎหมาย สอดคล้องและมี เอกสารหลักฐานประกอบ ตัวชี้วัดที่ 7 การร่วมดำเนินงานของทุกหน่วยงานที่เกี่ยวข้อง
127 COMPLIANCE GUIDEBOOK เล่มที่ 1 บทที่7 บทสรุปเพื่อการพัฒนากลไกการกำกับการปฏิบัติตาม กฎเกณฑ์ ขั้นตอนการพัฒนากลไกการกำกับการปฏิบัติตามกฎเกณฑ์ กระบวนการพัฒนากลไกการกำกับการปฏิบัติตามกฎเกณฑ์ในองค์กรตามมาตรฐานสากลที่ได้ กล่าวถึงในบทก่อนหน้านี้ โดยนำมาประยุกต์ใช้ภายในองค์กร ประกอบด้วย ขั้นตอนที่ 1 การจัดการอบรมและเสริมสร้างในองค์ความรู้ รวมทั้งหาพี่เลี้ยง (Coaching) เพื่อชี้แนะ ให้เกิดความรู้อย่างเพียงพอ โดยเฉพาะ (1) นิยามของ GRC (2) การนำเอา GRC มาใช้ (3) การวางกรอบการดำเนินงาน GRC ที่เหมาะสมกับองค์กร ขั้นตอนที่ 2 การสำรวจสภาพปัจจุบันขององค์กรเทียบกับสถานะที่ควรจะเป็น (GRC Diagnosis) เพื่อวินิจฉัยองค์กร ขั้นตอนที่ 3 การจัดทำแผนปฏิบัติการ หรือแผนที่นำทาง (Roadmap) เพื่อระบุสถานะ ขององค์กรที่เป็นเป้าหมาย ขั้นตอนที่ 4 การเริ่มต้นของกระบวนการออกแบบ พัฒนาและจัดวาง GRC ให้เกิดขึ้น ภายในองค์กร (Implementation) ในลักษณะของการบริหารโครงการ (1) กำหนดนโยบายกลยุทธ์ GRC และกรอบการดำเนินงาน (2) กระบวนการและขั้นตอน GRC ตามลำดับ (3) เครื่องมือการจัดวาง GRC (4) ทดสอบความพร้อมและเริ่มประกาศใช้
128 COMPLIANCE GUIDEBOOK เล่มที่ 1 แผนภาพที่ 1 กระบวนการรองรับการพัฒนาแนวคิด GRC และ Compliance Management 4 ขั้นตอน ขั้นตอนที่ 1 จัดอบรมและเสริมสร้างความรู้ หาพี่เลี้ยง (Coaching) ชี้แนะ ให้ความรู้อย่างเพียงพอ โดยเฉพาะด้าน Compliance ขั้นตอนที่ 2 สำรวจสภาพปัจจุบันขององค์กรเทียบกับสถานะที่ควรจะเป็น ขั้นตอนที่ 3 จัดทำแผนปฏิบัติการ แผนที่นำทาง (Roadmap) ระบุสถานะที่เป็นเป้าหมาย ขั้นตอนที่ 4 เริ่มกระบวนการพัฒนาและจัดวาง GRC ในองค์กร (Implementation) ในลักษณะของการบริหารโครงการ 1) การสำรวจสภาพปัจจุบันขององค์กร (GRC Diagnosis) เพื่อรับรู้บริบท ความรับผิดชอบต่อสาธารณะขององค์กร องค์กรควรมีผลสำรวจสภาพ ปัจจุบันองค์กรที่วินิจฉัยได้ว่าสถานะที่เป็นอยู่ขององค์กรด้านการกำกับการปฏิบัติตามกฎเกณฑ์ยัง แตกต่างจากสถานะที่ควรจะเป็นตามมาตรฐานสากล อย่างไร โดยครอบคลุมประเด็นต่อไปนี้ (1) องค์กรเข้าใจเกี่ยวกับความคาดหวังของผู้มีส่วนได้ส่วนเสียด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์ที่มีต่อองค์กรมากน้อยเพียงใดในด้านผลประกอบการ และ การกำกับดูแลองค์กรตลอดจนการควบคุมภายใน
129 COMPLIANCE GUIDEBOOK เล่มที่ 1 (2) องค์กรมีแนวทางและกระบวนการส่งมอบประเด็นที่เป็นไปตามความคาดหวัง ด้านการกำกับการปฏิบัติตามกฎเกณฑ์ดังกล่าวอย่างไร และแนวทางและ กระบวนการดังกล่าวเพียงพอหรือไม่ (3) องค์กรกำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้ (Risk Appetite) และค่าเบี่ยงเบน ของความเสี่ยง (Risk Tolerance) ด้านการกำกับการปฏิบัติตามกฎเกณฑ์อย่าง ชัดเจน ครอบคลุมการดำเนินงานสำคัญอย่างเพียงพอหรือไม่ (4) องค์กรได้สื่อสารเกณฑ์ความเสี่ยงที่ยอมรับได้ด้านการกำกับการปฏิบัติตาม กฎเกณฑ์แก่บุคลากรเพื่อใช้ประกอบการปฏิบัติงาน และเพื่อให้เชื่อมโยงกับกล ยุทธ์องค์กร กระบวนการตัดสินใจ และกระบวนการปฏิบัติการหรือไม่ (5) องค์กรปลูกฝังวัฒนธรรมความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์เป็น ส่วนหนึ่งของวัฒนธรรมองค์กรควบคู่กับวัฒนธรรมการควบคุมภายในอย่างไร (6) องค์กรจัดทำเครื่องมือเพื่อกำกับการปฏิบัติตามกฎเกณฑ์ที่ทำให้มั่นใจว่า บุคลากรภายในองค์กร และผู้ให้บริการภายนอกจะไม่เกิดการฝ่าฝืนกฎเกณฑ์ที่ สำคัญอย่างไร (7) รายงานจากผลการวินิจฉัยองค์กรจะนำไปเรียงลำดับกิจกรรมที่ต้องดำเนินการ ตามความจำเป็น เพื่อใช้กำหนดขอบเขตการจัดทำแผนปฏิบัติการด้านการกำกับ การปฏิบัติตามกฎเกณฑ์ต่อไปได้หรือไม่ 2) แนวทางการทำแผนปฏิบัติการในการพัฒนากลไกการกำกับการปฏิบัติตามกฎเกณฑ์ ในการจัดทำแผนปฏิบัติการเพื่อจัดวางกลไกการกำกับการปฏิบัติตามกฎเกณฑ์ในองค์กร มีประเด็นสำคัญที่ควรพิจารณาประกอบด้วย (1) ระบุรายละเอียดแผนปฏิบัติการระยะสั้น และ/หรือ Roadmap ระยะยาว เพื่อเป็น เครื่องมือสื่อสารและกรอบดำเนินงานผู้เกี่ยวข้อง (2) กำหนดกลยุทธ์ นโยบาย ขั้นตอนดำเนินการ กระบวนการ ตลอดจนระบุประเด็นเชิง โครงสร้าง บทบาท ความรับผิดชอบผู้ที่เกี่ยวข้อง และสายการนำเสนอรายงาน ภายใต้ระบบงาน และกลไกด้านการกำกับการปฏิบัติตามกฎเกณฑ์ (3) ออกแบบสิ่งอำนวยความสะดวกด้านเทคโนโลยีที่มีความจำเป็นจะช่วยสนับสนุนการ จัดทำระบบงานและการพัฒนากลไกการกำกับการปฏิบัติตามกฎเกณฑ์ (4) คัดเลือกเครื่องมือใช้สนับสนุนการจัดวางด้านการกำกับการปฏิบัติตามกฎเกณฑ์ใน องค์กร
130 COMPLIANCE GUIDEBOOK เล่มที่ 1 (5) ซักซ้อมทำความเข้าใจกับผู้ที่เกี่ยวข้อง ก่อนเริ่มจัดทำ (Implementation) โครงการ ต้นแบบหรืองานนำร่องต่อไป 3) กฎเกณฑ์ที่งานกำกับการปฏิบัติตามกฎเกณฑ์ต้องรับผิดชอบดูแล ตามแนวคิดมาตรฐานการปฏิบัติที่ดีในการพัฒนากลไกการกำกับการปฏิบัติตามกฎเกณฑ์ ได้แยกบทบาทของการกำกับการปฏิบัติตามกฎเกณฑ์ออกจากการบริหารความเสี่ยงขององค์กรอย่าง ชัดเจน แต่ในการดำเนินกระบวนการบริหารจัดการธุรกิจจริง ๆ แต่ละองค์กรเรื่องการกำกับการปฏิบัติ ตามกฎเกณฑ์ยังคงเกี่ยวข้องกับการบริหารความเสี่ยงอย่างใกล้ชิดอย่างแยกกันไม่ออก ทำให้ต้อง ดำเนินการคู่ขนานกันไปอย่างสม่ำเสมอ ในระดับที่มีความสำคัญใกล้เคียงกัน กฎเกณฑ์ที่องค์กรต้องให้ความสำคัญอาจจะแยกออกเป็นหลายลักษณะ ได้แก่ ลักษณะที่ 1 กฎเกณฑ์ที่องค์กรกำหนดขึ้นใช้เองภายในเพื่อกำกับการดำเนินธุรกิจ ลักษณะที่ 2 กฎเกณฑ์ที่ผู้มีส่วนได้ส่วนเสีย โดยเฉพาะผู้ถือหุ้นกำหนดขึ้นในรูปแบบ ความคาดหวังที่มีต่อองค์กร ลักษณะที่ 3 กฎเกณฑ์ที่สังคมหรือชุมชนสร้างขึ้นกำกับองค์กรทุกองค์กรในพื้นที่ ลักษณะที่ 4 กฎเกณฑ์ที่เป็นกฎหมายซึ่งหน่วยงานที่กำกับองค์กรหรือรัฐบาลออกมา ใช้บังคับ ลักษณะที่ 5 กฎเกณฑ์ที่เป็นเงื่อนไขและมาตรฐานระดับสากลที่ใช้กันอยู่ในประเทศ ต่าง ๆ ทั่วโลก ไม่ว่าองค์กรจะดำเนินธุรกิจในประเทศใด กฎเกณฑ์ส ำคัญ กฎเกณฑ์ที่ผู้มีส่วนได้ส่วนเสีย กฎเกณฑ์ที่ผู้มีส่วนได้ส่วนเสีย กฎเกณฑ์ที่เป็น กฎหมาย กฎเกณฑ์ที่สังคมหรือ ชุมชน สร้างขึ้น กฎเกณฑ์ที่เป็นเงื่อนไขและ มาตรฐานระดับสากล
131 COMPLIANCE GUIDEBOOK เล่มที่ 1 4) การแก้ไขความไม่เข้าใจต่อ Compliance ในทางปฏิบัติ มีประเด็นหลักๆ ที่สำคัญลำดับต้นๆ ที่องค์กรควรจะพิจารณาให้ความสำคัญใน การบริหารจัดการด้านการกำกับการปฏิบัติตามกฎเกณฑ์ ประกอบด้วย หลักบูรณาการและ เชื่อมโยง หลักกระจายส่งกลับเจ้าของ ภาระงาน หลักขอบเขตของงาน Compliance หลักความเสี่ยงของงาน Compliance หลักการสร้าง ความคุ้นเคย หลักผู้มีส่วนได้เสีย หน่วยงานกำกับ สังคม หลักการจัดการบนฐาน ความเสี่ยง หลักการใช้เทคโนโลยี เครื่องมือ หลักการใส่ใจหน่วยงาน ภาครัฐ หลักการเชื่อมโยง ไม่แปลกแยก หลักการแบ่งแยกหน้าที่ หลักการสร้าง ความเข้าใจต่อเนื่อง 12 สิ่งที่ต้อง เข้าใจ ร่วมกัน
132 COMPLIANCE GUIDEBOOK เล่มที่ 1 ประเด็นที่ 1 หลักบูรณาการและเชื่อมโยง การกำกับการปฏิบัติตามกฎเกณฑ์จะต้องไม่ใช่การดำเนินการโดยลำพังเป็นอิสระในลักษณะ Standalone ที่ไม่เกี่ยวข้องกับหน่วยงานอื่น ๆ ภายในองค์กร เพราะมีความสุ่มเสี่ยงที่อาจจะเกิดการ ทับซ้อนของกิจกรรมกำกับที่ทำจากหลายหน่วยงานเหมือนๆ กัน หรือในทางตรงกันข้าม อาจจะเกิด ช่องว่างการกำกับการปฏิบัติตามกฎเกณฑ์ที่ไม่มีหน่วยงานใดรับผิดชอบดูแลในบางส่วน จนเกิดความ เสียหายแก่องค์กรเพิ่มขึ้นได้ จำเป็นต้องเน้นการบูรณาการและเชื่อมโยงกิจกรรมการกำกับที่ไร้รอยต่อ สร้างความเข้าใจร่วมกันอย่างเพียงพอ ประเด็นที่ 2 หลักกระจายกลับเจ้าของภาระงาน ในองค์กรขนาดใหญ่ กฎเกณฑ์ในการปฏิบัติงานไม่ได้มาจากส่วนกลางเพียงด้านเดียว แต่ มักจะให้อำนาจและกระจายความรับผิดชอบในการตัดสินใจกำหนดกฎเกณฑ์ในการปฏิบัติงานให้แก่ ผู้บริหารในระดับสายงานแต่ละสายงานด้วย เพื่อให้เกิดความคล่องตัวและความยืดหยุ่นในการกำกับ การปฏิบัติตามกฎเกณฑ์มากขึ้น ประเด็นที่ 3 ขอบเขตการกำกับการปฏิบัติตามกฎเกณฑ์ การกำกับการปฏิบัติจะเริ่มต้นได้เมื่อองค์กรมีวัฒนธรรมบริหารความเสี่ยง มีกระบวนการ บริหารความเสี่ยงและการควบคุมภายในอยู่แล้ว สิ่งที่จะทำการกำกับการปฏิบัติตามกฎเกณฑ์นั้นเกิน กว่าขอบเขตความรับผิดชอบด้านการบริหารความเสี่ยงของเจ้าของภาระงานเองตามปกติ และยังไม่ได้ เป็นกติกาการกำกับดูแลภายในองค์กรมาก่อน เป็นการแยกเอากิจกรรมในส่วนที่เป็นการกำกับการ ปฏิบัติตามกฎเกณฑ์ออกมาดำเนินงานแยกต่างหากจากกิจกรรมในการบริหารความเสี่ยงอื่น ๆ ตามปกติ ประเด็นที่ 4 ความเสี่ยงของการกำกับการปฏิบัติตามกฎเกณฑ์ กิจกรรมการกำกับการปฏิบัติตามกฎเกณฑ์มีลักษณะเป็นพลวัตร สามารถที่จะปรับเปลี่ยน และทบทวน แก้ไข ให้เหมาะสมกับความเสี่ยงใหม่ ๆ ที่มาพร้อมกับความเปลี่ยนแปลงของตัวกฎเกณฑ์ เอง หรือความเปลี่ยนแปลงของสภาพแวดล้อมของการดำเนินธุรกิจ ที่มาจากทั้งภายในและภายนอก องค์กร ซึ่งเป็นแนวทางของการบริหารความเสี่ยงตามปกตินั่นเอง ประเด็นที่ 5 หลักการสร้างความคุ้นเคย โดยทั่วไป องค์กรมักจะมีความก้าวหน้าและความคุ้นเคยในการพัฒนาระบบการควบคุม ภายในและกระบวนการบริหารความเสี่ยงค่อนข้างมากแล้ว ขณะที่การจัดการความเสี่ยงการกำกับการ ปฏิบัติตามกฎเกณฑ์ (Compliance Risk) ยังเป็นเรื่องใหม่ องค์กรจึงอาจจะต้องให้งานควบคุมภายใน และงานการบริหารความเสี่ยงเป็นพี่เลี้ยง หรือเป็นตัวนำการขับเคลื่อนการกำกับการปฏิบัติตาม
133 COMPLIANCE GUIDEBOOK เล่มที่ 1 กฎเกณฑ์ โดยดึงเอามาตรฐานสากลที่เกี่ยวข้องมาปรับใช้ต่อไป ซึ่งความสำเร็จของการสร้าง ความคุ้นเคยนี้ อาจจะทำให้คำว่า Compliance (Risk) Management มีความหมายได้ทั้งความหมาย ในมุมแคบหรือในมุมมองอย่างกว้างในแต่ละองค์กร ที่ไม่เท่าเทียมกันในระยะแรก ๆ ในมุมมองอย่างกว้างจะรวมเอากฎเกณฑ์รูปแบบต่าง ๆ ทั้ง 5 ลักษณะตามที่กล่าวมาข้างต้น ไว้อย่างครบถ้วน โดยงานกำกับการปฏิบัติตามกฎเกณฑ์ส่วนที่เป็นระบบงานและเทคโนโลยีสารสนเทศ จะต้องเน้นการแยกงานปฏิบัติการออกจากงานการควบคุมภายในอย่างชัดเจน ประเด็นที่ 6 การบริหารจัดการบนฐานความเสี่ยง ความซับซ้อนที่สำคัญของการกำกับการปฏิบัติตามกฎเกณฑ์ในฐานะที่เป็นความเสี่ยง ประเภทหนึ่ง คือ การพิจารณาและตัดสินใจบนฐานความเสี่ยง (Risk-based Compliance Management) รวมถึงประเด็นต่อไปนี้ 6.1 อัตราการเติบโตและอัตราความรวดเร็วของขยายขนาดประกอบการขององค์กรทำให้ ขนาดความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ต้องปรับขอบเขต ขนาด และ ระดับความกว้างขวางตามไปด้วย 6.2 การกระจายตัวของสายธุรกิจ โครงสร้างทางธุรกิจ จำนวนของตลาด หรือความ หลากหลายของกลุ่มลูกค้าเป้าหมาย มีส่วนจะทำให้งานกำกับการปฏิบัติตามกฎเกณฑ์ ซับซ้อนหรือหลากหลายประเด็นตามไปด้วย 6.3 การปรับตัวของธุรกิจเข้าสู่กระแสโลกภิวัฒน์ และยุคดิจิตอลในอนาคต ทำให้ต้อง คำนึงถึงความคาดหมายผู้ที่เกี่ยวข้องในระดับโลกและสถานะการกำกับในโลกกายภาพ และโลกเสมือนจริง (Virtual World) ด้วย 6.4 สภาพแวดล้อมทางธุรกิจมักมีความเปลี่ยนแปลงอยู่ตลอดเวลา หรือมีความผันผวน แปรปรวน ทำให้เกิดกฎเกณฑ์ใหม่ ๆ ที่ต้องปฏิบัติตามออกมาเพิ่มขึ้น ประเด็นเหล่านี้ทำให้องค์กรยุ่งยากในการค้นหาและระบุความเสี่ยงการปฏิบัติตามกฎเกณฑ์ ตามไปด้วย และอาจจะต้องจัดสรรทรัพยากร งบประมาณ เพื่อทำกิจกรรมการกำกับการปฏิบัติตาม กฎเกณฑ์ให้เพียงพอ โดยเฉพาะบุคลากรด้านนี้โดยตรง ซึ่งหากผู้บริหารระดับสูงไม่ได้ให้ความสำคัญ และขาดความเข้าใจเรื่องนี้อย่างเพียงพออาจจะทำให้การกำกับการปฏิบัติตามกฎเกณฑ์ไม่บรรลุ เป้าหมายอย่างครบถ้วน ประเด็นที่ 7 ความคาดหวังกลุ่มผู้มีส่วนได้ส่วนเสียภาคส่วนสำคัญ คู่ค้า คู่สัญญา ผู้ที่ เกี่ยวข้อง สังคม
134 COMPLIANCE GUIDEBOOK เล่มที่ 1 ความคาดหวังของกลุ่มผู้มีส่วนได้ส่วนเสียและผู้เกี่ยวข้องกับองค์กรจากภายนอก ตลอดจน สังคมและประชาคม มีแนวโน้มเปลี่ยนแปลงไปตามกระแสสังคม โดยอาจจะรวมถึงความโปร่งใส และการเปิดเผยข้อมูลการกำกับการปฏิบัติตามกฎเกณฑ์อย่างเพียงพอ ประเด็นที่ 8 การใส่ใจจากหน่วยงานภาครัฐที่กำกับองค์กร หน่วยงานรัฐมุ่งมั่นที่จะให้องค์กรให้ความสำคัญกับการกำกับการปฏิบัติตามกฎเกณฑ์มากขึ้น จึงมีแนวโน้มว่าอาจจะมีการปรับเพิ่มอัตราค่าปรับและบทลงโทษ กรณีเกิดการฝ่าฝืนการปฏิบัติที่ไม่ เป็นไปตามกฎเกณฑ์ ซึ่งมีส่วนทำให้ต้นทุนการกำกับการปฏิบัติตามกฎเกณฑ์เพิ่มตามไปด้วย ประเด็นที่ 9 การแยกหน้าที่ความรับผิดชอบด้านกำกับการปฏิบัติตามกฎเกณฑ์ (Compliance) จากความรับผิดชอบด้านบริหารความเสี่ยงด้านอื่น ๆ ขององค์กร งานกำกับการปฏิบัติตามกฎเกณฑ์ไม่ควรแบ่งแยก แปลกปลอมจนมีลักษณะบริหารจัดการ Standalone เป็นสาเหตุหนึ่งที่ทำให้ต้นทุนการกำกับการปฏิบัติตามกฎเกณฑ์สูงขึ้น เพราะไม่ได้ แบ่งปันข้อมูลความเสี่ยงจากงานบริหารความเสี่ยง และต้องเริ่มค้นหาและระบุความเสี่ยงเอง ซึ่ง อาจจะเป็นเรื่องซ้ำซ้อนกัน ประเด็นที่ 10 การพึ่งพาเทคโนโลยีทันสมัยและเครื่องมือนวัตกรรมสมัยใหม่ ความสำเร็จของการกำกับการปฏิบัติตามกฎเกณฑ์อาจจะต้องอาศัยเทคโนโลยี หรือเทคนิค หรือเครื่องมือสนับสนุนที่เหมาะสม ทัดเทียม เท่าทันมาช่วยสนับสนุนด้วย ซึ่งหากองค์กรไม่สามารถหา เทคโนโลยีได้อย่างเพียงพอ ก็อาจจะทำให้ประสิทธิภาพขการกำกับการปฏิบัติตามกฎเกณฑ์ลดลงตาม ไปด้วย และการจัดหาเทคโนโลยีที่จำเป็นอาจจะมีส่วนให้ต้นทุนการกำกับการปฏิบัติตามกฎเกณฑ์ เพิ่มขึ้น จึงต้องหาจุดดุลยภาพที่เหมาะสมขององค์กรให้ได้ว่าจะอยู่ที่จุดใด ประการที่ 11 เน้นหลากหลาย เข้าถึง พัฒนา กิจกรรมการกำกับการปฏิบัติตามกฎเกณฑ์จะต้องมีความหลากหลาย เพื่อให้เหมาะสมกับ รูปแบบและลักษณะการปฏิบัติตามกฎเกณฑ์และเพื่อให้เกิดความสอดคล้องกับกฎเกณฑ์แต่ละ ลักษณะด้วย ซึ่งองค์กรของการกำกับการปฏิบัติตามกฎเกณฑ์บางส่วนอาจจะเป็นการกำกับด้วยระบบ อัตโนมัติ ซึ่งต้องมีการลงทุนอย่างเพียงพอด้วย ประเด็นที่ 12 การทำความเข้าใจให้เพียงพอ ชัดเจน มีภาษากลางเดียวกัน ประเด็นที่สำคัญที่ใช้ในการกำกับการปฏิบัติตามกฎเกณฑ์ได้แก่การทำความเข้าใจที่ชัดเจน เกี่ยวกับโครงสร้างของกฎเกณฑ์ที่ต้องการการปฏิบัติให้ถูกต้องและครบถ้วน เกี่ยวกับบทบาทและ หน้าที่ความรับผิดชอบ เกี่ยวกับความโปร่งใส และการเปิดเผยข้อมูล รวมทั้งระบบรายงาน และความ จำเป็นในการกำกับโดยอิสระนอกเหนือจากการกำกับตนเองของผู้ปฏิบัติงาน