45 COMPLIANCE GUIDEBOOK เล่มที่ 1 เนื่องมาจากเป็นส่วนหนึ่งของการกำกับการปฏิบัติตาม กฎเกณฑ์ (2) การแทรกกิจกรรมหรือขั้นตอนกำกับการปฏิบัติตาม กฎเกณฑ์ ไว้ในระหว่างการปฏิบัติงานของแต่ละกระบวนการ จะช่วยให้เจ้าของภาระงานหรือเจ้าของกระบวนการนั้นๆ สามารถศึกษาและเรียนรู้ความเข้าใจ และปฏิบัติตามใน ฐานะที่กิจกรรมหรือขั้นตอนของการกำกับการปฏิบัติตาม กฎเกณฑ์นั้นเป็นส่วนหนึ่งของกระบวนการทำงานของตน (3) เมื่อเวลาผ่านไป ผู้ปฏิบัติงานเดิมอาจมีการเปลี่ยนแปลง โยกย้าย เข้า-ออกใหม่ แต่กิจกรรมหรือขั้นตอนการกำกับ การปฏิบัติตามกฎเกณฑ์ที่แทรกไว้ในระหว่างการปฏิบัติงาน ของกระบวนการใดกระบวนการหนึ่งจะยังคงอยู่ สะท้อนถึง กลไกการควบคุมภายในยังคงอยู่และผู้ปฏิบัติหน้าที่แทนจะ ทำต่อได้ทันที กระบวนการทบทวน สอบทาน เรียนรู้และปรับปรุงกิจกรรม กำกับการปฏิบัติตามกฎเกณฑ์ในระหว่างกระบวนการ (1) การกำกับการปฏิบัติตามกฎเกณฑ์ที่แทรกไว้ในระหว่างการ ดำเนินกระบวนการตามปกติจะมีการทบทวนหรือสอบทาน อยู่เป็นประจำ เนื่องจากการเปลี่ยนแปลง ปรับปรุง และเกิด ใหม่ของกฎเกณฑ์ต่างๆ ทั้งจากภายในและภายนอกองค์กร ทำให้หลักเกณฑ์และเงื่อนไขที่กำหนดไว้เป็นข้อกำหนดเดิม สำหรับกระบวนการใดกระบวนการหนึ่ง อาจต้องมีการ เปลี่ยนแปลงไปตามความเหมาะสม (2) หลังเสร็จสิ้นการปฏิบัติงาน ผู้ปฏิบัติงานอาจรวบรวม ประเด็นและสรุปเป็นบทเรียนเพื่อเรียนรู้ว่ากิจกรรมหรือ ขั้นตอนที่ได้แทรกไว้ในระหว่างการดำเนินกระบวนการ ตามปกตินั้นยังคงมีประสิทธิภาพหรือประสิทธิผลหรือไม่ หรือควรมีการเปลี่ยนกิจกรรมหรือขั้นตอน เพื่อให้มีความ เหมาะสมยิ่งขึ้น
46 COMPLIANCE GUIDEBOOK เล่มที่ 1 (3) การสรุปบทเรียนที่ได้เรียน และนำเสนอเพื่อขอเปลี่ยนแปลง กิจกรรมหรือขั้นตอนการกำกับการปฏิบัติตามกฎเกณฑ์ ที่ เคยระบุไว้ในระหว่างการดำเนินกระบวนการ เป็นเรื่องที่ต้อง นำหารือกับผู้รับผิดชอบในด้านการกำกับการปฏิบัติตาม กฎเกณฑ์หรือ Compliance Officer ในฐานะของ 2 nd Line โดยตรง (4) กรณีที่หน่วยงานตรวจสอบภายในได้ทำการตรวจ ประสิทธิภาพและประสิทธิผลของการควบคุมภายในที่วางไว้ ในกระบวนการใดกระบวนการหนึ่ง และเห็นว่าควรมีการ ทบทวนและปรับปรุงกิจกรรมหรือขั้นตอนการกำกับการ ปฏิบัติตามกฎเกณฑ์ใหม่ให้เหมาะสมจะให้ผลเหมือนกับการ เกิดการสรุปบทเรียนที่เรียนรู้จากผู้ปฏิบัติงานเอง และนำขึ้น หารือกับผู้รับผิดชอบในด้านการกำกับการปฏิบัติตาม กฎเกณฑ์หรือ Compliance Officer ในฐานะของ 2 nd Line โดยตรงเช่นเดียวกัน การเริ่มต้น ในการประยุกต์ใช้มาตรฐานสากลเพื่อการกำกับการปฏิบัติตามกฎเกณฑ์ องค์กรควรเริ่มจากการประยุกต์ใช้มาตรฐานการควบคุมภายในของ COSO 2013 เนื่องจากเป็นส่วนที่ องค์กรสามารถพิจารณาดำเนินการได้เองภายในองค์กรจึงสามารถทำได้อย่างรวดเร็ว อีกทั้งองค์กรมี การปรับเปลี่ยนโครงสร้างองค์กร การเติบโต และการขยายตัวอยู่ตลอดเวลา ทั้งการปฏิบัติงานตาม กระบวนการดำเนินงานตามปกติจำเป็นต้องมีการกำหนดอำนาจอนุมัติในงานต่างๆ รวมทั้งมีการจัดทำ Workflow สำหรับผู้ปฏิบัติงานอยู่แล้ว การนำเอาหลักเกณฑ์ เงื่อนไข และข้อกำหนดสำคัญสำหรับ กำกับการปฏิบัติตามกฎเกณฑ์แทรกไว้ในกระบวนการจึงเป็นไปได้โดยง่ายและมีความยืดหยุ่นที่ เหมาะสมกับองค์กร 3. หลักเกณฑ์การพิจารณาเพิ่มบทบาท Compliance ในระดับกระบวนการ การประยุกต์ใช้หลักเกณฑ์ควบคุมภายในตามกรอบแนวปฏิบัติที่ดีของมาตรฐาน COSO 2013 ยังสามารถพิจารณาคัดกรองได้จากการใช้Risk-Control Matrix ดังนี้
47 COMPLIANCE GUIDEBOOK เล่มที่ 1 ปัจจัยที่1 การจำแนกระดับความเสี่ยงของภาระงานในแต่ละ กระบวนการ ในแต่ละกระบวนการ ไม่ได้มีประเด็นความเสี่ยงในทุก กิจกรรมหรือทุกขั้นตอนของการดำเนินงาน จึงจำเป็นต้อง จำแนกระดับความเสี่ยงของแต่ละกิจกรรมหรือแต่ละขั้นตอน ที่เป็นภาระงานในแต่ละกระบวนการก่อน ระดับความเสี่ยงของภาระงานในแต่ละกระบวนการอาจแบ่ง ออกได้เป็น 4 ระดับ คือ ระดับสีเขียว เจ้าของภาระงานต้องรับผิดชอบกำกับควบคุม ตนเอง ระดับสีเหลือง เจ้าของภาระงานต้องอ้างอิงกับกฎเกณฑ์ แนว ปฏิบัติที่ดี ศึกษาเรียนรู้ได้ตนเอง ก่อนการปฏิบัติจริง ระดับสีส้ม เป็นกิจกรรมที่เกี่ยวข้องกับหน่วยงานอื่นๆ ภายใน องค์กรเดียวกัน ต้องการความชัดเจนในการดำเนินการร่วมกัน และกำหนดเป็นหลักเกณฑ์และเงื่อนไขร่วมกัน ระดับสีแดง เป็นกิจกรรมที่เกี่ยวข้องกับหน่วยงาน องค์กรหรือ บุคคลอื่นภายนอก ที่อยู่นอกเหนือการควบคุมขององค์กร โดยตรง ดังนั้น การกำกับการปฏิบัติตามกฎเกณฑ์จึงควรมีความ เกี่ยวข้องกับภาระงานในระดับสีส้มและสีแดงเท่านั้น ส่วน ระดับสีเขียวและสีเหลือง เป็นส่วนที่เจ้าของภาระงานต้อง จัดทำ Work Instruction หรือ Workflow ที่แทรกกิจกรรม และขั้นตอนการกำกับการปฏิบัติตามกฎเกณฑ์ไว้อย่าง เพียงพอแล้ว ปัจจัยที่ 2 การจำแนกระดับความสามารถในการจัดการความเสี่ยง ด้วยตนเองของเจ้าของภาระงานในแต่ละกระบวนการ กรณีที่ประเมินพบว่าเจ้าของภาระงานหรือหน่วยงานต้นเรื่อง โดยตรงมีระดับความสามารถในการจัดการความเสี่ยงที่ดี และเพียงพออยู่แล้ว การกำกับการปฏิบัติตามกฎเกณฑ์ควร ใช้วิธีการแทรกกิจกรรมและขั้นตอนเข้าไปในระหว่างการ
48 COMPLIANCE GUIDEBOOK เล่มที่ 1 ดำเนินงานโดยตรง โดยหน่วยงาน 2 nd Line ไม่จำเป็นต้องเข้า ไปพิจารณาเป็นรายกรณี งานกำกับการปฏิบัติตามกฎเกณฑ์จะเกี่ยวข้องเมื่อประเมิน ว่าคุณภาพการจัดการความเสี่ยงในด้านนี้ของเจ้าของภาระ งาน หรือหน่วยงานต้นเรื่อง อยู่ในระดับ “พอใช้” หรือ “อ่อน” เท่านั้น หลักการในการมีบทบาทของการกำกับการปฏิบัติตามกฎเกณฑ์ 1) บทบาทของเจ้าของกระบวนงาน/ภาระงานสำคัญเป็นอันดับแรก 2) องค์กรต้องพยายามทำให้เจ้าของกระบวนงาน/ภาระงานกำกับการปฏิบัติได้ด้วย ตนเอง และให้เจ้าของงานตรวจประเมินเองได้ กำกับตนเองได้ 3) การประเมินคุณภาพการกำกับการปฏิบัติตามกฎเกณฑ์ด้วยตนเองจึงควรจะ เกิดขึ้นในลำดับแรก โดยหัวหน้างานและผู้บริหารสายงานนั้นๆ เอง 4) การกำกับการปฏิบัติตามกฎเกณฑ์ จึงเกี่ยวข้องกับความเสี่ยงการกำกับการ ปฏิบัติตามกฎเกณฑ์ที่เกี่ยวข้องกับหน่วยงานหลายหน่วยงาน และต้องพิจารณา ร่วมกัน หรือความเสี่ยงการกำกับการปฏิบัติตามกฎเกณฑ์ที่มีหน่วยงานกำกับ ตรวจประเมินเป็นระยะ ๆ ต้องเป็นระบบ โดยตัวแทนนิติบุคคลหรือองค์กรต้อง รับผิดชอบในระดับภาพรวมด้วย และเป็นเรื่องที่คุณภาพการกำกับการปฏิบัติ ระดับเจ้าของกระบวนงานไม่เพียงพอ กลไกของการกำกับการปฏิบัติตาม กฎเกณฑ์ควรเข้ามาเกี่ยวข้อง
49 COMPLIANCE GUIDEBOOK เล่มที่ 1 จากแผนภาพข้างต้น บทบาทของงานกำกับการปฏิบัติตามกฎเกณฑ์หรือ 2 nd Line จะเข้าไปเกี่ยวข้องใน 4 ส่วนจาก 6 ส่วนของแผนภาพ กล่าวคือ 1) ส่วนที่ความสามารถในการจัดการของ 1 st Line อยู่ในระดับพอใช้บทบาทของ งานกำกับการปฏิบัติตามกฎเกณฑ์จะเริ่มจากการสนับสนุน โดยหน่วยงานต้น เรื่องยังคงเป็นผู้ขับเคลื่อนหลัก และงานกำกับการปฏิบัติตามกฎเกณฑ์จะเริ่มมี บทบาทชี้นำ ในกรณีที่ผ่านงานนั้นมีสถานะสีส้มหรือสีแดง 2) ส่วนที่ความสามารถในการจัดการของ 1 st Line อยู่ในระดับอ่อน บทบาทของ งานกำกับการปฏิบัติตามกฎเกณฑ์จะต้องทำหน้าที่เติมเต็มเพื่อปิดจุดอ่อนนั้น หรือทำหน้าที่ในการ คัดค้านหรือย้อนแย้งการดำเนินการ ในลักษณะที่จำกัด บทบาทของกิจกรรมของหน่วยงานต้นเรื่อง
50 COMPLIANCE GUIDEBOOK เล่มที่ 1 บทที่ 3 มาตรฐานสากล 2: COSO ERM 2017 1. หลักการ เหตุผล ความเป็นมา นอกจากกำหนดมาตรฐานการควบคุมภายในตาม COSO 2013 แล้ว องค์กร COSO ยัง ได้ทำการกำหนดมาตรฐานการบริหารความเสี่ยงทั่วทั้งองค์กร ที่เรียกว่า COSO ERM 2017 – Integrating With Strategy & Performance
51 COMPLIANCE GUIDEBOOK เล่มที่ 1 หลังจากนั้น COSO ได้ออกแนวปฏิบัติที่ดี กำหนดให้การบริหารความเสี่ยงด้านการกำกับ การปฏิบัติตามกฎเกณฑ์(Compliance Risk) แยกออกมาดำเนินการต่างหาก โดยยังคงประยุกต์ใช้ กรอบแนวทางการดำเนินงานของ COSO ERM 2017 เหตุผลการแยกการบริหารความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ออกจาก การบริหารประเภทอื่นภายใต้COSO ERM คือ 1) COMPLIANCE RISK เป็นความเสี่ยงสำคัญต่อการบรรลุวัตถุประสงค์ธุรกิจของ องค์กร แต่ละองค์กรใช้การบริหารงานกำกับการปฏิบัติตามกฎเกณฑ์ไม่เหมือนกัน บางแห่ง เน้นป้องกันและสอดส่องให้ทันท่วงที ป้องกันเกิดพฤติกรรมการปฏิบัติละเมิดหรือฝ่า ฝืนการกำกับการปฏิบัติตามกฎเกณฑ์หรือไม่ บางองค์กรยังใช้การดำเนินงานแบบตั้ง รับ 2) องค์กรควรมีแอบพลิเคชั่นการบริหารความเสี่ยงด้านการกำกับการปฏิบัติตาม กฎเกณฑ์เป็นกรอบดำเนินงานการบริหารงานกำกับการปฏิบัติตามกฎเกณฑ์ ซึ่งเป็น ความเสี่ยงที่มีลักษณะเฉพาะเจาะจงตามบริบทธุรกิจของแต่ละองค์กรเอง เพื่อให้มี การกำหนดแนวทาง กลไก เครื่องมือ แผน และมาตรการที่มีประสิทธิภาพก่อนที่จะ นำกลับมารวมในความเสี่ยงเชิงกลยุทธ์ขององค์กร 2. กฎหมาย SOX Act กำกับการบริหารความเสี่ยงด้านกำกับการปฏิบัติ ตามกฎเกณฑ์ การบริหารความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์มีความชัดเจนด้านความจำ เป็นมากขึ้นภายหลังจากเกิดวิกฤติจากการทุจริตของผู้บริหารระดับสูงทั้ง CEO และ CFO ของบริษัท Enron เมื่อปี 2001-2002 ภายใต้การสนับสนุนและให้ความร่วมมือจากผู้สอบบัญชีของบริษัทที่รับรู้ถึง ความไม่ถูกต้องมาโดยตลอด ทำให้คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ของ สหรัฐได้ทบทวนแนวทางการกำกับบริษัทมหาชนที่จดทะเบียนในตลาดหลักทรัพย์สหรัฐใหม่หมดให้ เข้มงวดรัดกุมขึ้น ประกอบกับได้มีการเสนอแนวทางแก้ไขต่อสภาคอง-เกรสของสหรัฐ และได้รับความ เห็นชอบให้ผ่านกฎหมายที่เรียกว่า Sarbanes-Oxley Act หรือชื่อย่อว่า SOX Act เป็นกฎหมายภาค บังคับให้ทุกองค์กรต้องทำระบบการควบคุมภายในที่เพียงพอและต้องเปิดเผยรายงานผลการควบคุม ภายในอย่างเปิดเผยในตลาดให้แก่นักลงทุนรับทราบ
52 COMPLIANCE GUIDEBOOK เล่มที่ 1 หลักการที่ 1 การควบคุมภายในต้องทำรายงานและเปิดเผยสาธารณะ SOX Act เป็นกฎหมายระดับประเทศที่กำหนดให้ระบบการควบคุมภายในเป็นเงื่อนไข ภาคบังคับของผู้ประกอบการ ที่จะต้องจัดวางการควบคุมภายในและการกำกับองค์กรให้เพียงพอตาม เงื่อนไขทุกข้อของกฎหมาย SOX Act ทุกองค์กรและผู้สอบบัญชีขององค์กรจะต้องออกรายงานผลการ ควบคุมภายในอย่างโปร่งใส พร้อมเปิดเผยต่อสาธารณะชนเพื่อให้ตรวจสอบได้ และประเมินความ น่าเชื่อถือของการบริหารจัดการขององค์กรได้ก่อนจะลงทุนซื้อหุ้นของบริษัท การควบคุมภายในตามกฎหมาย SOX ได้กำหนดบทบาทของผู้ตรวจสอบภายในในการ ตรวจสอบผลประกอบการด้านการควบคุมภายในที่เกิดจริงเปรียบเทียบกับเงื่อนไขของกฎหมายและ ออกรายงานในส่วนของคณะกรรมการตรวจสอบ และท้ายที่สุด ผู้สอบบัญชีมีหน้าที่ต้องตรวจสอบ ระบบการควบคุมภายในของบริษัทลูกค้าควบคู่กับการตรวจสอบความถูกต้องและเชื่อถือได้ของ รายงานทางการเงิน และรายงานผลไว้ในรายงานการสอบบัญชีให้ชัดเจน ถึงจุดอ่อนของการควบคุม ภายในขององค์กรที่ทำการตรวจบัญชีนั้น ในส่วนของหน่วยงานกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. ในสหรัฐและ ตลาดหลักทรัพย์ทั่วโลก ได้ทำการปรับเปลี่ยนเงื่อนไขการกำกับการบริหารจัดการในส่วนของการ ควบคุมภายในในฐานะส่วนหนึ่งของการกำกับดูแลองค์กรที่ดีสำหรับบริษัทมหาชนที่จดทะเบียนใน ตลาดหลักทรัพย์หลายประการ ซึ่งเงื่อนไขเกิดใหม่ประการหนึ่งคือ การกำหนดให้บริษัทจดทะเบียน ต้องจัดตั้งหน่วยงานใหม่ในโครงสร้างองค์กรขององค์กรอย่างถาวร เรียกว่า “Compliance Unit” หลักการที่ 2 หน่วยงาน COMPLIANCE UNIT ต้องดูแลทั่วทั้งองค์กร การมีCompliance Unit เป็นหน่วยงานเพิ่มเติมในโครงสร้างองค์กรขององค์กรก็เพื่อให้ มีความมั่นใจว่า บริษัทจดทะเบียนในตลาดหลักทรัพย์จะมีการจัดจ้างบุคลากรที่มีคุณสมบัติและความรู้ ความสามารถ มีความวิชาชีพ ในการศึกษา วิเคราะห์ ประเมินความเสี่ยงด้าน Non-compliance และ กำหนดแนวทางการจัดการความเสี่ยงได้ด้วยความสามารถและทักษะโดยเฉพาะ การมี Compliance Unit โดยเฉพาะช่วยเพิ่มความมั่นใจว่าองค์กรมีกลไก เครื่องมือ กิจกรรมการกำกับการปฏิบัติตามกฎเกณฑ์ที่เพียงพอ ครบถ้วน และเหมาะสม แทนที่จะปล่อยให้ บุคลากรที่เป็นผู้ปฏิบัติงานในลักษณะงานประจำ ต้องหาทางทำความเข้าใจกับกฎเกณฑ์ และหาทาง การกำกับการปฏิบัติแบบตามมีตามเกิด ซึ่งไม่ใช่ความชำนาญและประสบการณ์ หรือการศึกษามา โดยเฉพาะ ตัวอย่างเช่น ในกลุ่มอาชีพในสายงานสนับสนุนธุรกิจหลักทรัพย์ที่ถือว่าสำคัญไม่ยิ่งหย่อน ไปกว่าสายงานธุรกิจหลักทรัพย์โดยตรง เนื่องจากเปรียบเสมือนเป็นฟันเฟืองที่ช่วยให้ขับเคลื่อนธุรกิจ
53 COMPLIANCE GUIDEBOOK เล่มที่ 1 อย่างเป็นระบบ เพื่อไปสู่ความสำเร็จจึงประกอบด้วย อาชีพผู้ดูแลการปฏิบัติงานด้านหลักทรัพย์ (Compliance Officer) ที่ทำงานควบคู่กับเจ้าหน้าที่ปฏิบัติการด้านหลักทรัพย์ (Operation Officer) ทั้งนี้ ได้มีการกำหนดบทบาทของผู้ดูแลการปฏิบัติงานด้านหลักทรัพย์ (Compliance Officer) ในงานธุรกิจหลักทรัพย์ไว้โดยสรุปว่า เป็นผู้ที่ทำหน้าที่กำกับดูแลการปฏิบัติงานของพนักงาน ในองค์กร หรือการทำกิจกรรมทางการตลาดขององค์กร ให้เป็นไปตามกฎหมายและกฎระเบียบ ซึ่งมี สำนักงาน ก.ล.ต. เป็น ผู้ควบคุมนโยบาย ลักษณะงานที่สำคัญ คือผู้ที่ทำหน้าที่นี้ควรมีความรู้ความเข้าใจเกี่ยวกับธุรกิจหลักทรัพย์ รวมถึงกฎเกณฑ์ ข้อบังคับของหน่วยงานทางการที่เกี่ยวข้องกับการประกอบธุรกิจหลักทรัพย์ใน ประเภทต่างๆ และให้คำปรึกษา แนะนำ เกี่ยวกับกฎหมาย กฎระเบียบและมาตรฐานการดำเนินธุรกิจ ที่เกี่ยวข้องให้แก่ผู้บริหาร ทบทวนระบบงาน เพื่อประเมินความเสี่ยงในการปฏิบัติงาน เพื่อให้เป็นไป ตามกฎหมาย ระเบียบปฏิบัติ หลักการที่ 3 Compliance Unit เป็นเสมือนกฤษฎีกาภายในองค์กร ในทางกลับกัน Compliance Unit จะกลายมาเป็นหน่วยงานศูนย์กลางขององค์กรใน การให้คำปรึกษา ค้นหาข้อมูล ความรู้ และให้คำแนะนำในส่วนของกิจกรรมกำกับด้านกฎมาย ระเบียบ ปฏิบัติ ประกาศ คำสั่ง ข้อบังคับที่จำเป็น พร้อมทั้งยังระบุข้อห้ามที่ผู้ปฏิบัติงานต้องหลีกเลี่ยง เพื่อมิให้ เกิดการฝ่าฝืนและละเมิดกฎเกณฑ์ โดยเฉพาะกฎเกณฑ์ที่กำหนดจากหน่วยงานกำกับภายนอกที่เป็น ภาคบังคับ นอกจากนั้น บทบาทของ Compliance Unit ที่ กลต. ของประเทศต่าง ๆ ที่ออกมาใช้มี แนวโน้มไปในทิศทางเดียวกัน และมีขอบเขตและบทบาทหน้าที่ ความรับผิดชอบที่คล้ายคลึงกัน จึงทำ ให้Compliance Unit ของประเทศต่าง ๆ ออกมาใกล้เคียงกัน ดังนั้น หากจะสรุปบทบาทของหน่วยงานใหม่ในองค์กรที่เรียกว่า Compliance Unit สามารถสรุปประเด็นได้ดังนี้
54 COMPLIANCE GUIDEBOOK เล่มที่ 1 ประการที่ 1 นิยามและขอบเขต Compliance Unit: หน่วยงานสนับสนุนในการดูแลการปฏิบัติงานอีก ชั้นหนึ่งจากบุคลากรที่เป็นเจ้าของภาระงานโดยตรง ก.ล.ต. กำหนดให้บริษัทหลักทรัพย์ บริษัทหลักทรัพย์จัดการกองทุน สถาบันการเงินที่ได้รับใบอนุญาตประกอบธุรกิจหลักทรัพย์จัดตั้ง Compliance Unit ขึ้นในบริษัท เพื่อทำหน้าที่กำกับดูแล การปฏิบัติงาน ของบริษัทซึ่งเป็นการป้องกันไม่ให้เกิดการปฏิบัติที่ไม่ถูกต้องตามกฎหมาย กฎระเบียบที่เกี่ยวข้อง หรือจรรยาบรรณในทางวิชาชีพ รวมถึงการรับ เรื่องร้องเรียนของลูกค้า หลักการนี้นับเป็นแนวทางในการให้สมาชิกได้มี การกำกับดูแลตนเอง Compliance Management การบริหารงานกำกับการปฏิบัติตาม กฎเกณฑ์ หมายถึง กระบวนการ ระบุ ประเมิน แนะนำ ติดตาม และรายงาน เกี่ยวกับความเสี่ยงด้านการปฏิบัติงานให้เป็นไปตามกฎระเบียบที่ เกี่ยวข้อง ที่ทำอย่างเหมาะสมตามหน้าที่ ความรับผิดชอบเจ้าของภาระ งาน เพื่อเพิ่มกิจกรรมเชิงป้องกัน ป้องปราม ไม่ให้เกิดการปฏิบัติที่ไม่ ถูกต้องตามกฎหมาย กฎระเบียบ ข้อพึงปฏิบัติและมาตรฐานที่เกี่ยวข้อง และแก้ไขความผิดพลาดเดิม ไม่ให้เกิดซ้ำอีก ซึ่งงานกำกับการปฏิบัติตามกฎเกณฑ์นี้จะต้องครอบคลุมทั้งกฎเกณฑ์ที่ บังคับใช้ในปัจจุบัน และที่กำลังจะมีขึ้นหรือมีการเปลี่ยนแปลงในอนาคต ทำให้เกิดพฤติกรรมที่หลีกเลี่ยงการถูกลงโทษตามกฎหมาย ความสูญเสีย ทางการเงิน หรือความเสื่อมเสียชื่อเสียงของบริษัท และกำกับให้บุคคล สามารถหลีกเลี่ยง ความรับผิดส่วนตัว ทั้งในทางแพ่งและทางอาญาได้ด้วย ประการที่ 2 แหล่งที่มาของกฎเกณฑ์ที่อยู่ในความรับผิดชอบ − กฎหมายที่ออกจากหน่วยงานกำกับภายนอก − ระเบียบ ข้อบังคับของหน่วยงานกำกับเฉพาะส่วน − กฎเกณฑ์ นโยบาย เงื่อนไข ข้อตกลง สัญญาที่มีต่อบริษัทแม่ − กฎเกณฑ์ที่องค์กรกำหนดขึ้นใช้ภายในองค์กร รวมถึงจริยธรรม จรรยาบรรณ
55 COMPLIANCE GUIDEBOOK เล่มที่ 1 − พันธะผูกพัน ข้อตกลง สัญญา เงื่อนไขที่ต้องปฏิบัติให้ครบถ้วนที่มีต่อ คู่สัญญา ลูกค้า − มาตรฐานอุตสาหกรรมที่ผู้ประกอบการทุกรายต้องปฏิบัติตาม − ความคาดหวังที่สังคมมีต่อองค์กร และถือว่าเป็นความรับผิดชอบของ กิจกรรม − ประเพณี ค่านิยม ธรรมเนียมปฏิบัติทางธุรกิจ หรือสมาคมที่เกี่ยวข้อง − คุณธรรมและนิติธรรมที่เป็นที่ยอมรับกันทั่วไปของวงการ 3. การบริหารความเสี่ยงการกำกับการปฏิบัติตามกฎเกณฑ์ภายใต้กรอบ COSO ERM ความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์เป็นเรื่องปกติของธุรกิจ และมีแนวโน้ม ที่จะกลายเป็นความเสี่ยงที่มีสาระสำคัญ ซึ่งส่งผลกระทบต่อความสำเร็จ ตามวัตถุประสงค์ขององค์กร ที่ผ่านมา ผู้เชี่ยวชาญ และผู้ที่อยู่ในวิชาชีพการกำกับการปฏิบัติตามกฎเกณฑ์ ได้ใช้กรอบแนวคิดที่ ได้รับการยอมรับอย่างกว้างขวาง คือ Framework for compliance and ethics programs ในการ ป้องกันและสอดส่องติดตามการฝ่าฝืนการปฏิบัติตามกฎเกณฑ์ ตลอดจนการปฏิบัติผิดพลาด และ เบี่ยงเบนเป็นระยะ ขณะที่กรอบแนวทางตามมาตรฐาน COSO ERM ได้นำมาใช้โดยวิชาชีพ ด้านความ เสี่ยง และการควบคุมภายใน ในการค้นหา ระบุ วิเคราะห์ ประเมิน และจัดทำมาตรการในการบรรเทา ความเสี่ยง ประเภทต่างๆ ในระดับองค์กร ซึ่งรวมถึงความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ ด้วย ดังนั้น COSO ERM จึงจัดทำแนวปฏิบัติ ตามกรอบแนวทางหรือแอพพลิเคชั่นของ COSO ERM เพื่อใช้ในการค้นหาและระบุ วิเคราะห์และประเมิน บริหารจัดการความเสี่ยงด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์ ให้สอดคล้องกับ Framework for compliance and ethics programs รวมทั้ง สร้างเครื่องมือที่ทรงพลัง ในการบูรณาการกรอบแนวคิด เพื่อให้การดำเนินงานจัดการความเสี่ยงทั่วทั้ง องค์กรเป็นประโยชน์ต่อองค์กรมากขึ้น 1) อง ค ์ ประก อบข อง Framework for Effective Compliance and Ethics Programs กรอบแนวทางนี้เกิดขึ้นโดยกลุ่มวิชาชีพการกำกับการปฏิบัติตามกฎเกณฑ์โดยตรง ประกอบด้วย 7 องค์ประกอบ ได้แก่
56 COMPLIANCE GUIDEBOOK เล่มที่ 1 องค์ประกอบที่ 1 องค์กรควรกำหนดและจัดวางมาตรฐานและขั้นตอนการ ปฏิบัติงานเพื่อป้องกัน และสอบสวนการดำเนินการที่เป็น ลักษณะผิดกฎหมาย หรืออาชญากรรม องค์ประกอบที่ 2 ผู้เกี่ยวข้อง 2.1 ผู้ที่มีอำนาจหน้าที่ในการกำกับดูแลองค์กร ควรมีความ รอบรู้เกี่ยวกับเนื้อหา และการดำเนินงานตามแผนงาน Framework for compliance and ethics programs และควรดำเนินการที่จะทำให้องค์กรเห็นภาพในองค์รวม ( Oversight) ว ่ า Framework for compliance and ethics programs สามารถนำไปดำเนินการได้จริง และ ก่อให้เกิดประสิทธิผลหรือไม่ 2.2 ผู้บริหารระดับสูงขององค์กรควรทำให้มั่นใจว่าองค์กรมี Framework for compliance and ethics programs ที่ มีประสิทธิผล โดยมีการมอบหมายให้บุคลากรในระดับ ผู้บริหารระดับสูงรับผิดชอบในองค์รวมเพื่อขับเคลื่อน และ ท ำ ใ ห ้ Framework for compliance and ethics programs เกิดผลจริง 2.3 ผู้ที่ได้รับมอบหมายให้ทำการกำกับดูแลและขับเคลื่อน Framework for compliance and ethics programs ควรมีการกระจายอำนาจดำเนินการและความรับผิดชอบ ในงานประจำวัน เพื่อทำให้เกิดการดำเนินกิจกรรมตาม Framework for compliance and ethics programs ผู้ที่ได้รับมอบหมายให้ดำเนินกิจกรรมประจำวันควรมีการ รายงานต่อผู้บริหารระดับสูงเป็นระยะหรือตามความ เหมาะสม รวมถึงคณะกรรมการที่มีหน้าที่กำกับดูแล องค์กร แสดงให้เห็นถึงสถานะในด้านประสิทธิผลสำหรับ ส ่ วน ของ Framework for compliance and ethics programs ในการดำเนินการตามความรับผิดชอบที่ได้มีการกระจาย อำนาจให้ องค์กรจะต้องมีการจัดสรรทรัพยากรที่จำเป็น อย่างเพียงพอกับการให้อำนาจในการตัดสินใจอย่าง
57 COMPLIANCE GUIDEBOOK เล่มที่ 1 เหมาะสม และเปิดโอกาสให้สามารถรายงานสถานะหรือ หารือต่อคณะกรรมการ หรือผู้ที่มีอำนาจในการบริหาร จัดการได้โดยตรง องค์ประกอบที่ 3 องค์กรควรจะใช้ความพยายามอย่างเหมาะสม ที่จะไม่ปล่อยให้ บุคลากรที่มีอำนาจ หรือมีบทบาทอย่างมีนัยสำคัญในองค์กร ซึ่ง เป็นสิ่งที่องค์กรรับทราบดีอยู่แล้ว ให้มีอีกส่วนในการดำเนินการ ก) Due Diligence ข) ร่วมในกิจกรรมที่ผิดกฎหมาย ค) ดำเนินการใดใดที่ไม่สอดคล้องกับ Framework for compliance and ethics programs องค์ประกอบที่ 4 วิธีดำเนินการ 4.1 องค์กรควรจัดวางขั้นตอนอย่างสมเหตุสมผลในการสื่อสาร เป็นระยะๆ และมีกิจกรรมการปฏิบัติเกี่ยวกับมาตรฐาน และขั้นตอนการปฏิบัติงาน รวมทั้งประเด็นอื่นๆ ที่มี ความสำคัญเกี่ยวกับ Framework for compliance and ethics programs แก่บุคลากร รวมถึงการจัดฝึกอบรมที่มี ประสิทธิผล และช่องทาง อื่นๆ ในการให้ข้อมูล ที่เกี่ยวข้อง และเหมาะสมกับความรับผิดชอบ บทบาทและหน้าที่ของ บุคลากรแต่ละกลุ่มนั้นๆ 4.2 บุคลากรในแต่ละกลุ่มภายในที่ถือเป็นส่วนหนึ่งของกลไก การกำกับการปฏิบัติที่ดี รวมถึงคณะกรรมการ ผู้บริหาร ระดับสูง บุคลากรที่รับผิดชอบกำกับดูแลแต่ละสายงาน บุคลากรระดับปฏิบัติงาน รวมทั้งตัวการหรือตัวแทนของ องค์กร องค์ประกอบที่ 5 องค์กรควรจัดให้มีขั้นตอนที่มีความจำเป็นและเหมาะสม ประกอบด้วย 5.1 ทำให้มั่นใจว่า Framework for compliance and ethics programs ได้มีการดำเนินการตามที่กำหนดไว้ ซึ่งรวมถึง กลไกการกำกับติดตาม และการตรวจสอบ เพื่อสอดส่อง และตรวจจับการดำเนินการหรือการปฏิบัติที่ฝ่าฝืน
58 COMPLIANCE GUIDEBOOK เล่มที่ 1 5.2 ทำการประเมินด้านประสิทธิผลของ Framework for compliance and ethics programs เป็นระยะ 5.3 จัดให้มีระบบงานและทำการเผยแพร่ระบบงานดังกล่าว เพื่อใช้เป็นกลไก ในการบริหารจัดการข้อมูลที่มีชั้น ความลับ ปกปิดชื่อพยาน ที่เป็นผู้ให้ข้อมูลเบาะแส หรือ รายงานสถานการณ์ ที่เกิดการฝ่าฝืนหรือปฏิบัติไม่ชอบ โดยกล้าที่จะนำข้อมูลดังกล่าวมาเปิดเผยต่อองค์กร องค์ประกอบที่ 6 Framework for compliance and ethics programs ควร ได้รับการส่งเสริมและสนับสนุน รวมทั้งนำมาใช้บังคับให้เกิด การดำเนินการที่สอดคล้องกันทั่วทั้งองค์กร ซึ่งรวมถึงการ จัดระบบแรงจูงใจ เพื่อให้มีการดำเนินการและพฤติกรรมพึง ประสงค์ และมาตรการจัดการในทางวินัย กรณีที่เกิดการ กระทำผิดหรือการฝ่าฝืน ในกรณีที่มาตรการเชิงป้องกันและ สอดส่องไม่ได้ผล องค์ประกอบที่ 7 ภายหลังจากการสอดส่องและตรวจพบการกระทำที่ผิด ตาม กรอบการกำกับการปฏิบัติตามกฎเกณฑ์ องค์กรต้องมีขั้นตอน ที่เหมาะสมในการตอบโต้กรณีที่เกิดขึ้น พร้อมทั้งป้องกันไม่ให้ กรณีดังกล่าวเกิดขึ้นซ้ำภายในองค์กรอีก รวมทั้งพิจารณา ปรับเ ปล ี ่ ย น Framework for compliance and ethics programs เพื่อเพิ่มประสิทธิผล ในการดำเนินการดังกล่าว องค์กรควรจัดให้มีการวิเคราะห์ และประเมินความเสี่ยงต่อการฝ่าฝืนการกำกับการปฏิบัติตาม กฎเกณฑ์เป็นระยะ ด้วยการกำหนดขั้นตอนที่เหมาะสม ดำเนินการให้มีการวิเคราะห์และประเมิน ที่มีประสิทธิภาพ และประสิทธิผล และนำผลการวิเคราะห์ไปใช้ในการลดความ เสี่ยงด้านการฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ จะเห็นว่า องค์ประกอบที่ 7 ซึ่งเป็นเงื่อนไขสุดท้ายของ Framework for compliance and ethics programs กำหนดให้มีการวิเคราะห์และประเมินความเสี่ยง เพื่อทบทวน และปรับปรุง Framework for compliance and ethics
59 COMPLIANCE GUIDEBOOK เล่มที่ 1 programs ให้เหมาะสมและมีประสิทธิภาพและประสิทธิผล อยู่เสมอ องค์ประกอบทั้ง 7 ส่วนของ Framework for compliance and ethics programs เมื่อดำเนินการควบคู่กับการวิเคราะห์และประเมินความเสี่ยง ตลอดจนการปรับปรุงและทบทวน ประสิทธิภาพและประสิทธิผลของแผนงานอยู่เสมอและอย่างต่อเนื่องจะต้องมีการจัดวางโครงสร้าง และองค์ประกอบภายในองค์กรที่ดี เพื่อให้มีบุคลากรที่ทำหน้าที่ในส่วนนี้อย่างต่อเนื่อง จนมั่นใจว่าการ ดำเนินการจะมีประสิทธิผล จุดอ่อนของ Framework for compliance and ethics programs คือยังไม่ได้มีการ กำหนดกรอบแนวทางและวิธีการในการดำเนินการด้านการวิเคราะห์และประเมินความเสี่ยงทั่วทั้ง องค์กรอย่างชัดเจน ประเด็นที่สำคัญจากองค์ประกอบของ Framework for Compliance and Ethics Programs ได้แก่ 1) มาตรฐานและขั้นตอนที่ควรจะเป็นข้อกำหนดและระเบียบปฏิบัติขององค์กร (1) มาตรฐานการปฏิบัติ เป็นจุดเริ่มต้นที่แสดงให้เห็นถึงความผูกพันและมุ่งมั่นของ องค์กรที่จะให้สภาพแวดล้อมการปฏิบัติงานเป็นไปอย่างมีจริยธรรม และมี วัฒนธรรมของการกำกับการปฏิบัติตามกฎเกณฑ์ (2) องค์กรจึงควรเริ่มด้วยการจัดทำประมวลจรรยาบรรณธุรกิจและประมวล จริยธรรม ที่ครอบคลุมถึงการกำกับการปฏิบัติตามกฎเกณฑ์ให้ชัดเจน โดยให้มี ผลใช้บังคับกับบุคลากรทุกคนทุกระดับ ตั้งแต่ระดับคณะกรรมการองค์กร (3) ประมวลจรรยาบรรณธุรกิจและจริยธรรมดังกล่าวควรได้รับการสนับสนุนจาก นโยบายและระเบียบขั้นตอน การปฏิบัติงานขององค์กร (4) พิจารณาว่ามีความจำเป็นต้องขยายขอบเขตของ ประมวลจรรยาบรรณทางธุรกิจ และจริยธรรมดังกล่าวออกไปยังคู่ค้าคู่สัญญา ซับพลายเออร์ด้วยหรือไม่ (5) นโยบายและระเบียบปฏิบัติที่มีความจำเป็นต่อ Framework for compliance and ethics programs ได้แก่ การกำหนดโครงสร้างองค์กร และระบุลำดับ ความสำคัญว่าอยู่ในลำดับสูง โดย - นโยบายเชิงโครงสร้างควรจะสร้างกรอบแนวทางเพื่อเป็นวิธีการในการ ดำเนินตามแผนงานดังกล่าว รวมทั้งการกำหนดบทบาทและความรับผิดชอบ ของคณะกรรมการองค์กร Compliance Committee และ Compliance officer วิธีการในการรายงาน ข้อสงสัยหรือข้อบ่งชี้ว่าอาจมีการกระทำผิด
60 COMPLIANCE GUIDEBOOK เล่มที่ 1 การตรวจสอบ การติดตามผลและประเมินผล หน้าที่ความรับผิดชอบในการ ไต่สวนข้อเท็จจริง และประเด็นอื่นที่สำคัญ - นโยบายที่จัดลำดับความสำคัญเป็นการระบุถึงสถานะขององค์กรที่เกี่ยวข้อง กับกฎเกณฑ์สำคัญจากภายนอก ตั้งแต่กฎหมายที่กำกับดูแลไปจนถึง มาตรฐานทางธุรกิจที่องค์กรต้องนำมาใช้ในระหว่างการดำเนินงานประจำวัน โดยเน้นหนักที่การป้องกันและหลีกเลี่ยงการกระทำผิด ตลอดจนการ สอดส่องและตรวจตราความผิดปกติ เฉพาะในกฎเกณฑ์ที่องค์กรจัดว่ามี ความสำคัญในลำดับสูง ที่มีการออกเป็นนโยบายเฉพาะเจาะจงแต่ละเรื่องอยู่ แล้ว 2) การกำกับดูแล ผู้ที่มีอำนาจกระทำการ และสถานะที่เป็นภาพในองค์รวม (Oversight) ขององค์กร (1) หน้าที่ความรับผิดชอบของหน่วยงานภายในองค์กรที่รองรับ Compliance and Ethics Programs ควรขึ้นอยู่กับสิ่งที่คณะกรรมการต้องการประเมินถึง ประสิทธิผลในภาพองค์รวมทั้งองค์กร Oversight กรอบดำเนินงานที่ผู้บริหาร ต้องดำเนินการให้เป็นไปตามความคาดหวังของคณะกรรมการ และแนวทางการ กำกับดูแลของ Compliance Officer ประกอบกัน (2) ส่วนของคณะกรรมการต้องมีบทบาทหน้าที่และความรับผิดชอบอย่างชัดเจน และครอบคลุมในการ - ทำให้มั่นใจว่า Compliance and Ethics Programs มีการดำเนินการอย่าง มีประสิทธิผล และทำให้มีข้อมูลที่เพียงพอในการประเมินภาพในองค์รวม Oversight ตามข้อมูลรายละเอียดของกิจกรรมที่มีการรับรู้เกี่ยวกับแผนการ ดำเนินงาน Compliance and Ethics Programs - ทำให้มั่นใจว่า CCO อยู่ในสถานะ ที่ใกล้เคียงกับ CEO ภายในโครงสร้าง องค์กร รวมทั้งได้รับการจัดสรรทรัพยากรและการมอบอำนาจกระทำการที่ เพียงพอที่จะบริหารจัดการแผนดำเนินงานดังกล่าวได้อย่างมีประสิทธิผล - องค์กรที่มีการกระจายอำนาจของคณะกรรมการองค์กรลงไปอยู่ในองค์คณะ ย ่ อ ย เ ช ่ น Compliance Committee ห ร ื อ Audit Committee คณะกรรมการองค์กรก็ยังต้องรับผิดชอบในการประเมินสถานะองค์กรใน ภาพรวม หรือ Oversight ด้วย 3) บทบาทของหน่วยงานกำกับการปฏิบัติตามกฎเกณฑ์ในระดับองค์กร หรือ Compliance function
61 COMPLIANCE GUIDEBOOK เล่มที่ 1 สามารถใช้แนวทางและแบบแผนของหน่วยงานตรวจสอบภายในเพื่อเป็นต้นแบบใน การดำเนินงานจัดตั้ง และมอบหมายอำนาจหน้าที่ โดยให้ความสำคัญกับความเป็น อิสระและการให้อำนาจในการพิจารณาและตัดสินใจอย่างเพียงพอ รวมทั้งมีสายการ บังคับบัญชาที่ควรขึ้นตรงต่อคณะกรรมการ ไม่ใช่ขึ้นตรงต่อประธานเจ้าหน้าที่บริหาร หรือผู้บริหารระดับสูงอื่น 4) ผู้บริหารระดับสูงมีหน้าที่ความรับผิดชอบในการบริหารจัดการ เพื่อให้เกิดการขับเคลื่อน Compliance and Ethics Programs จันทร์มั่นใจว่า บุคลากรภายในองค์กรจะได้รับการฝึกอบรม สามารถรายงานประเด็นที่เป็นข้อสงสัย หรือข้อบ่งชี้ความปิดปกติ สามารถแก้ไขปัญหาหรือข้อสงสัยที่เกิดขึ้น สามารถนำเอา แนวทางและมาตรการกำกับการปฏิบัติตามกฎเกณฑ์ไปใช้ในกิจกรรมระหว่าง ดำเนินงานประจำวัน ในลักษณะที่สอดคล้องกับแผนการดำเนินงานของ Compliance and Ethics Programs 5) องค์กรอาจจะจัดตั้งผู้รับผิดชอบโครงการ เพื่อเป็นผู้ดำเนินกิจกรรมตามแผนงาน Compliance and Ethics Programs โดยเฉพาะเพื่อให้มั่นใจว่าการดำเนินการจะ ครอบคลุมและครบถ้วนทั้งโครงการจน สามารถส่งมอบผลผลิตของโครงการให้แก่องค์กรเพื่อสร้างมูลค่าเพิ่มได้ รวมทั้ง ประสานความร่วมมือกับหน่วยงานต่างๆ ภายในองค์กรเพื่อสนับสนุนการดำเนิน แผนงาน Compliance and Ethics Programs องค์กรต้องทำให้มั่นใจว่า มีความเข้าใจอย่างชัดเจน และมีการกำหนดบทบาทและ ความรับผิดชอบต่อหน่วยงานต่างๆ เป็นลายลักษณ์อักษร รวมทั้งมีการลงนาม รับรองการปฏิบัติด้านการกำกับการตามกฎเกณฑ์ของบุคลากรทุกคนทุกระดับที่ ครบถ้วนเพียงพอ 6) บทบาทด้านการสำรวจแบบ Due Diligence และการกระจายอำนาจที่เหมาะสม (1) องค์กรควรดำเนินการตรวจทานพื้นฐานความเป็นมาก่อนการรับบุคลากรใหม่ และ ตรวจสอบเพิ่มเติมเป็นระยะ ๆ เมื่อเป็นเงื่อนไขหรือข้อกำหนดตามกฎเกณฑ์ภายนอก หรือเมื่อมีการแต่งตั้งให้มีหน้าที่ความรับผิดชอบสำคัญ (2) องค์กรควรพิจารณา บทบาทการมีส่วนร่วมในการสนับสนุน ความใส่ใจ หรือการร่วม ในกิจกรรมของบุคคล ที่เกี่ยวข้องกับ Compliance and Ethics Programs เป็น ปัจจัยส่วนหนึ่งที่ใช้ประกอบการพิจารณาเลื่อนชั้นเลื่อนตำแหน่ง หรือการมอบ อำนาจเพิ่มเติมจากเดิม โดยพิจารณาจากบทบาทหน้าที่ที่จะขึ้นไปรับตำแหน่งและ
62 COMPLIANCE GUIDEBOOK เล่มที่ 1 ประเด็นความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ โดยเฉพาะในบุคคลที่มี อำนาจหน้าที่อย่างมีนัยสำคัญ และการดำเนินงานตามอำนาจหน้าที่มีความ จำเป็นต้องพิจารณาถึงการกำกับการปฏิบัติตามกฎเกณฑ์โดยเคร่งครัด ถือเป็นการ ปฏิบัติงานในนามขององค์กร (3) องค์กรอาจจะต้องขยายขอบเขตของการตรวจสอบ หรือตรวจทานข้อมูลภูมิหลังเเละ ความเป็นมาออกไปยังบุคคลที่สามที่เกี่ยวข้อง ซึ่งอาจจะเป็นผู้สร้างหรือเกี่ยวข้องกับ ความเสี่ยงการกำกับการปฏิบัติตามกฎเกณฑ์ที่กระทบมาสู่ตัวองค์กร หรือผู้ที่ทำ หน้าที่เป็นตัวกลางตัวแทนขององค์กร 7) การสื่อสารการฝึกอบรมและทำให้เกิดความรู้ความเข้าใจในช่องทางอื่น (1) กลไกการสื่อสารและการฝึกอบรมมีความสำคัญ ต้องดำเนินการให้มีประสิทธิผล เพื่อให้มั่นใจว่าจะช่วยส่งเสริมการป้องกันและการสอดส่อง หรือตรวจจับความ ผิดปกติในประเด็นของการกำกับการปฏิบัติตามกฎเกณฑ์ (2) บุคลากรที่เป็นกรรมการในคณะกรรมการ และบุคลากรทุกคนภายในองค์กรควรจะ ได้รับการฝึกอบรมในประเด็นทั่วไปที่สะท้อนถึงความสำคัญของ Compliance and Ethics Programs และจัดการฝึกอบรมประเด็นด้านการกำกับการปฏิบัติตาม กฎเกณฑ์เฉพาะเรื่องสำหรับบุคลากรแต่ละกลุ่มที่มีบทบาทหน้าที่เกี่ยวข้องกับความ เสี่ยงด่านการกำกับการปฏิบัติตามกฎเกณฑ์แตกต่างกัน (3) ส่วนของการฝึกอบรมทั่วไปอย่างน้อยควรจะทำปีละหนึ่งครั้งสำหรับบุคลากรและ คณะกรรมการทุกคน ซึ่งถือเป็นองค์ประกอบสำคัญของ Compliance and Ethics Programs ที่มีประสิทธิผล โดยครอบคลุมเกี่ยวกับประมวลจรรยาบรรณทางธุรกิจ และประมวลจริยธรรม วัฒนธรรมของการกำกับการปฏิบัติตามกฎเกณฑ์และ จริยธรรม ความจำเป็นที่บุคลากรต้องเข้าใจในแนวปฏิบัติที่องค์กรกำหนดไว้ และ วิธีการในการรายงานกรณีที่เกิดข้อบ่งชี้หรือประเด็นความผิดปกติ นโยบายของ องค์กรที่เกี่ยวข้องกับเรื่องนี้ และสิ่งที่องค์กรจะดำเนินการเมื่อมีข้อสงสัย ในประเด็น การกำกับการปฏิบัติตามกฎเกณฑ์ รวมทั้งประเด็นอื่นใดที่เกี่ยวข้องกับ Compliance and Ethics Programs ซึ่งมีผลกระทบต่อการปฏิบัติงานของทุกคน (4) การฝึกอบรมในส่วนที่เฉพาะเจาะจงเชิงลึกสำหรับประเด็นความเสี่ยงด้านการกำกับ การปฏิบัติตามกฎเกณฑ์เฉพาะเรื่อง ประเด็นการควบคุมที่ถือเป็นวิกฤตขององค์กร หรือระเบียบปฏิบัติอื่นใดที่เกี่ยวข้องกับความเสี่ยงเฉพาะเจาะจงในด้านนี้ ซึ่งผู้เข้า อบรมจะเป็นบุคลากรที่ต้องมีบทบาทสำคัญและเกี่ยวข้องกับประเด็นความเสี่ยง
63 COMPLIANCE GUIDEBOOK เล่มที่ 1 ดังกล่าว จึงจำเป็นต้องมีการรับรู้และเข้าใจแนวทางการจัดการและตอบโต้ความ เสี่ยงไปในทิศทางเดียวกัน (5) เพื่อให้เกิดการมีประสิทธิภาพของการฝึกอบรม การอบรมต้องเป็นเชิงหวังสัมฤทธิ์ที่ พล ที่มากกว่าการอบรมเพื่อรับรู้ทั่วไป เช่น การเปิดโอกาสให้ผู้อบรมได้มีโอกาส ซักถามอย่างเต็มที่ในระหว่างการอบรม และมีการประเมินผลความเพียงพอของการ รับรู้และความเข้าใจ การประเมินความสามารถในการนำเอาองค์ความรู้ที่ได้ไปสู่ การปฏิบัติงานประจำวัน (6) การฝึกอบรมควรมีช่องทางและรูปแบบที่หลากหลาย ไม่จำกัดเฉพาะการจัดใน ลักษณะของห้องเรียน แต่ควรครอบคลุมถึงการอบรมทางออนไลน์ การจัดโปรแกรม บน Web-based หรือการอบรมที่สร้างรูปแบบการสื่อสารในรูปแบบอื่นตาม ความจำเป็น รวมทั้งการส่งข้อมูลทางอีเมล จุลสารขององค์กร หรือช่องทางผ่านสื่อ สังคมออนไลน์ (7) เนื้อหาของการฝึกอบรมนอกเหนือจากการครอบคลุมประเด็นสำคัญของการกำกับ การปฏิบัติตามกฎเกณฑ์ ควรรวมถึงบทเรียนที่เรียนรู้ ปัญหาหรือจุดอ่อนที่ทำให้เกิด ความล้มเหลวในการกำกับการปฏิบัติตามกฎเกณฑ์ (8) กรณีที่เกี่ยวข้องกับการกำกับการปฏิบัติตามกฎเกณฑ์ที่มีบุคคลที่สาม ภายนอก องค์กรเข้ามาเกี่ยวข้อง ควรนำไประบุให้ชัดเจนถึงหน้าที่ความรับผิดชอบ ที่เป็น พันธะผูกพันระหว่างกัน รวมทั้งการจัดฝึกอบรมที่ทำให้เกิดการรับรู้เกี่ยวกับความ เสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์อย่างเพียงพอ (9) การสื่อสารในรูปแบบอื่นใดนอกเหนือจากการฝึกอบรมแบบดั้งเดิม ควรมีการ สร้างสรรค์เพื่อเสริม อ้างและธำรงไว้ซึ่งวัฒนธรรมการตื่นตัวต่อการกำกับการปฏิบัติ ตามกฎเกณฑ์และจริยธรรม โดยมีผู้บริหารระดับสูงให้การสนับสนุน 8) การติดตามผล การตรวจสอบ และระบบการรายงานผล (1) การติดตามผล ในระดับของคณะกรรมการ หมายถึงการประเมินว่ากระบวนการมี การดำเนินงานจริงและเป็นไปตามความคาดหวัง และวัตถุประสงค์ของการปรับปรุง ระบบงาน ด้านการกำกับการปฏิบัติตามกฎเกณฑ์อย่างเพียงพอหรือไม่ (2) การติดตามผลอาจจะรวมถึงการตรวจสอบ ที่ผ่านกลไกการตรวจสอบภายใน ซึ่งเน้น ความเป็นอิสระโดย หน่วยงานตรวจสอบภายใน หรือการว่าจ้างผู้ตรวจประเมิน ภายนอกที่เป็นอิสระ ที่ไม่เกี่ยวข้องกับการออกแบบ การจัดวาง แนะการนำเอา
64 COMPLIANCE GUIDEBOOK เล่มที่ 1 มาตรการและกลไกการกำกับการปฏิบัติตามกฎเกณฑ์ไปใช้ในฐานะผู้ปฏิบัติงาน โดยตรง (3) ไม่ว่าจะเป็นการติดตามผลหรือการตรวจสอบ ควรจะมีวิธีการและเทคนิคที่ใกล้เคียง กัน รวมทั้งมีวัตถุประสงค์ในการที่จะทำให้มั่นใจในคุณภาพของผลดำเนินงานของ ระบบงานกำกับการปฏิบัติตามกฎเกณฑ์ ในแต่ละช่วงเวลา แนะนำจุดอ่อนหรือ ช่องว่างที่พบไปสู่การปรับปรุงอย่างต่อเนื่อง (4) การจัดทำแผนการติดตามผลและการตรวจสอบ ที่เป็นอิสระถือเป็นตัวขับเคลื่อน สำคัญด้านประสิทธิผลของ Compliance and Ethics Programs จึงควรมีการ ออกแบบแผ่น และการทบทวนเพื่อปรับปรุงให้เป็นปัจจุบัน และสอดคล้องกับผล การประเมินความเสี่ยงในแต่ละช่วงเวลา (5) การติดตามผลและการตรวจสอบควรอยู่บนเป้าประสงค์ - การสอดส่องและตรวจจับ ความผิดปกติที่อาจจะเป็นสัญญาณของการฝ่าฝืน การกำกับการปฏิบัติตามกฎเกณฑ์ - การแยกแยะมาตรการการควบคุมที่มีอยู่ ในส่วนของการกำกับการปฏิบัติตาม กฎเกณฑ์ ทั้งการควบคุมในเชิงป้องกัน ในเชิงของการสอดส่อง หรือตรวจจับ ความผิดปกติ ว่ามีการควบคุมใดที่ไม่สามารถใช้ได้ผลตามที่ออกแบบไว้ (6)การดำเนินการในส่วนนี้ควรใช้เทคนิคที่หลากหลาย ทั้งในด้านการสังเกตการณ์ การตรวจเยี่ยมพื้นที่จริง การสำรวจ การตั้งประเด็นคำถาม การใช้เอกสารตรวจ รายการหรือ Checklist การสัมภาษณ์ การสอบทวนจากธุรกรรมและเอกสาร หลักฐานที่มีอยู่ การวิเคราะห์จากข้อมูลที่ได้รับ และการทบทวนจากเอกสาร หลักฐานในรูปแบบดิจิทัล (7)ความสำเร็จของการติดตามผลหรือการตรวจสอบผลที่เกิดจริง อาจจะรวมถึง ประเด็นของการสร้างความไว้วางใจ ความเชื่อถือที่ทำให้ผู้ที่มีส่วนรู้เห็นกล้าที่จะ นำเสนอข้อมูลเบาะแส เพื่อให้ผู้ที่เกี่ยวข้องนำไป สืบสวนหรือไต่สวนเพิ่มเติมใน รายละเอียด หรือกล้าที่จะนำส่งรายงานสิ่งที่พบเห็นความผิดปกติต่อองค์กร ควบคู่ กับความสะดวกในการค้นหาแนวทางปฏิบัติเพื่อใช้ในการปฏิบัติเองได้อย่างถูกต้อง เหมาะสม (8)การประเมินประสิทธิผลของการติดตาม อาจจะรวมถึง ข้อมูลที่จะส่งเป็นรายงาน จากผู้ที่มีส่วนพบเห็นในทุกช่องทางในรูปแบบของ Whistle Blowing รายงานที่ได้
65 COMPLIANCE GUIDEBOOK เล่มที่ 1 จากการตรวจสอบภายใน การไต่สวนสอบสวนข้อเท็จจริง รวมทั้งระบบการ คุ้มครองพยาน การปกปิดข้อมูลที่เป็นความลับเพื่อไม่ให้สืบถึงตัวพยาน (9)องค์กรควรมีกลไกการบริหารจัดการในการสืบสวนหรือไต่สวนข้อเท็จจริงเพิ่มเติม ที่เหมาะสม รวมทั้งการดำเนินการจัดการเพื่อตอบโต้กับสถานการณ์ที่พบว่ามีการ ฝ่าฝืนการปฏิบัติ หรือจงใจที่จะฝ่าฝืนการปฏิบัติ เพื่อให้เกิดเป็นตัวอย่าง มีการ หราบจำและไม่นำไปสู่การทำซ้ำในอนาคต 9) การสร้างแรงจูงใจและการสร้างกติกาการบังคับใช้ (1)การฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ เกิดได้จากความตั้งใจหรือไม่ตั้งใจ และเป็นผลมาจากกลไกการควบคุมด้านการกำกับการปฏิบัติตามกฎเกณฑ์ใหม่มี ประสิทธิภาพ การฝึกอบรมที่ไม่ได้ผล หรือการปฐมนิเทศพนักงานใหม่ที่ไม่ เพียงพอ หรือความเข้าใจผิดในการปฏิบัติตามระเบียบ หรือวัฒนธรรมด้านการ กำกับการปฏิบัติตามกฎเกณฑ์ไม่เข้มแข็ง หรือความไม่ใส่ใจของผู้ปฏิบัติงาน (2)โดยปกติ กลไกการควบคุม และการเข้มงวดต่อกระบวนการที่เกี่ยวข้องกับการ กำกับการปฏิบัติตามกฎเกณฑ์ หย่อนยานหรือผ่อนปรนลงเมื่อเวลาผ่านไป หากไม่ มีการย้ำเตือนให้เกิดความเคร่งครัดอยู่ตลอดเวลา (3)การบริหารจัดการงานกำกับการปฏิบัติตามกฎเกณฑ์ควรจะใช้ระบบแรงจูงใจเป็น เครื่องมือที่สำคัญ เพื่อส่งเสริมให้มีการร่วมมือดำเนินการในทิศทางที่สอดคล้องกัน และเกิดการทำกิจกรรมภายใต้แผน Compliance and Ethics Programs ด้วย ความเต็มใจและความร่วมมือ และระบบแรงจูงใจควรใช้อย่างทั่วถึงทั่วทั้งองค์กร ในบุคลากรทุกระดับ ไม่ว่าจะเป็นแรงจูงใจที่เป็นตัวเงินหรือไม่เป็นตัวเงิน (4)องค์กรควรกำหนดกลไกหรือกติกาในการบังคับใช้เชิงวินัยกรณีที่เกิดการปฏิบัติ ฝ่า ฝืนการกำกับตามกฎเกณฑ์ และชี้แจงเพื่อสร้างการรับรู้ให้แก่บุคลากรทั้งด้วย วาจาและการตักเตือนเป็นลายลักษณ์อักษร รวมทั้งการยกระดับสู่การให้ออกหรือ ไล่ออกในอนาคต 10) การตอบโต้กับการกระทำที่ฝ่าฝืน การกำกับการปฏิบัติตามกฎเกณฑ์ 1) Compliance and Ethics Programs ไม่อาจจะรับประกันได้ว่า จะสามารถ รักษาการกำกับการปฏิบัติตามกฎเกณฑ์ขององค์กรไปได้ตลอดเวลา โดยเฉพาะใน องค์กรที่จัดตั้งมายาวนานหรือมีขนาดของกิจการที่ใหญ่ หรือมีการดำเนินงานที่ ซับซ้อน การฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์มีโอกาสเกิดขึ้นได้อยู่ ตลอดเวลา
66 COMPLIANCE GUIDEBOOK เล่มที่ 1 2) การตอบโต้ต่อกรณีที่เกิดการฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์จึงเป็นปัจจัย สำคัญ ที่จะนำไปสู่การสรุปผลว่า แผนงาน Compliance and Ethics Programs ที่ดำเนินการอยู่มีประสิทธิภาพหรือไม่ 3) องค์ประกอบของการตอบโต้ต่อการฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์มีสอง ลักษณะ คือ (1)การไต่สวนสอบสวน ที่เน้นการให้ความเป็นธรรมแก่ทุกฝ่าย และพิจารณาโดยผู้ ที่เป็นอิสระไม่มีส่วนได้ส่วนเสียต่อประเด็นที่เป็นข้อขัดแย้งในด้านการกำกับ การปฏิบัติตามกฎเกณฑ์ การดำเนินการไต่สวนสอบสวนต้องจัดทำเป็นขั้นตอน มีคู่มือการปฏิบัติสำหรับผู้ที่ได้รับมอบหมายอย่างชัดเจน มีการทำหนังสือแจ้ง เพื่อให้รับทราบอย่างครอบคลุมครบถ้วนทุกขั้นตอน ดำเนินการโดยผู้ที่มีความรู้ ความเชี่ยวชาญและชำนาญในเรื่องเหล่านั้น มีเจ้าหน้าที่Compliance Officer ร่วมในการดำเนินการ และนำเสนอผลการดำเนินงานทั้งในระดับบริหารและ Oversight เพื่อนำไปสู่การแก้ไขปัญหาในระยะยาว (2)การเยียวยาและแก้ไขสถานการณ์ กรณีที่ผลการไต่สวนสอบสวน สามารถ ค้นหาจุดที่ก่อให้เกิดความล้มเหลว การวิเคราะห์ถึงสาเหตุต้นตอที่ก่อให้เกิด ประเด็น การฝ่าฝืน ข้อมูลเหล่านี้จะป้อนกลับไปสู่การเยียวยาแก้ไขและฟื้นฟู สถานการณ์ เพื่อไม่ให้เกิดประเด็นปัญหาดังกล่าวขึ้นอีกในอนาคต ซึ่งอาจจะ หมายถึงการปรับปรุงตั้งแต่ระดับนโยบาย ระเบียบปฏิบัติ การออกแบบ วิธีการ บริหารจัดการงานกำกับการปฏิบัติตามกฎเกณฑ์ มาตรการในการควบคุมเพื่อ กำกับการปฏิบัติตามกฎเกณฑ์ ที่เน้นเชิงรุกเพื่อการป้องกันและหลีกเลี่ยง หรือ การสอดส่องตรวจจับความผิดปกติให้มากขึ้น การทบทวนการอบรมเพื่อสร้าง ความรู้ความเข้าใจให้ถูกต้อง 11) การวิเคราะห์และประเมินความเสี่ยงเพื่อปรับปรุงแผนงานให้ดีขึ้น (1)กระบวนการในการวิเคราะห์และประเมินความเสี่ยงถือเป็นจุดที่มีความสำคัญ โดย หลักการมใกล้เคียงกับการวิเคราะห์และประเมินความเสี่ยงประเภทอื่น ก) การระบุถึงความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ ที่มีผลกระทบ ต่อการดำเนินงานขององค์กร ข) จัดทำแผนที่ของความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ เปรียบเทียบกับมาตรการควบคุมที่มีอยู่
67 COMPLIANCE GUIDEBOOK เล่มที่ 1 ค) ทำการประเมินประสิทธิผลของการควบคุมด้านการกำกับการปฏิบัติตาม กฎเกณฑ์ ในความเสี่ยงสำคัญและเป็นความเสี่ยงที่มีผลกระทบรุนแรง ง) นำผลการ ประเมินโอกาสและผลกระทบของความเสี่ยงด้านการกำกับการ ปฏิบัติตามกฎเกณฑ์ มาเรียงลำดับความสำคัญผ่านการจัดสกอริ่ง หรือ heat map หรือวิธีการอื่นใดที่เป็นที่ยอมรับ จ) ออกแบบการตอบโต้ความเสี่ยงที่เน้นการปรับปรุงมาตรการควบคุม การจัด ฝึกอบรม เพื่อลดระดับความเสี่ยงลงมาอยู่ในเกณฑ์ที่ยอมรับได้ ฉ) นำเสนอขออนุมัติเพื่อกำหนดผู้รับผิดชอบในการดำเนินการตามมาตรการที่ กำหนดขึ้นใหม่ พร้อมกลไกการติดตามประเมินผลด้านประสิทธิภาพของ มาตรการที่กำหนดขึ้น (2)การประเมินความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์ต้องจัดทำเป็นระยะ ตามความจำเป็นและความเหมาะสม โดยเน้นหนักด้านคุณภาพของการวิเคราะห์ และประเมินเป็นสำคัญ 4. มุมมองของ COSO ERM ต่อการบริหารความเสี่ยงงานกำกับการ ปฏิบัติตามกฎเกณฑ์5 องค์ประกอบ COSO ERM ให้ความสำคัญกับการจัดทำแนวทางเพื่อใช้ในการระบุและวิเคราะห์ ความเสี่ยง ประเมินความเสี่ยงและวางมาตรการบริหารจัดการเพื่อตอบโต้กับความเสี่ยง เพราะเห็นว่า เป็นประเด็นความเสี่ยงที่มีผลกระทบต่อความสำเร็จของกลยุทธ์ และผลการดำเนินงานตาม วัตถุประสงค์ขององค์กร และเป็นความเสี่ยงที่เกี่ยวข้องกับวัตถุประสงค์ทางธุรกิจโดยรวม Compliance Risk ในมุมมองของ COSO ERM เป็นความเสี่ยงที่อาจจะเกิดการฝ่า ฝืนการปฏิบัติตามกฎเกณฑ์ ภาคบังคับที่สำคัญ โดยเฉพาะกฎเกณฑ์จากภายนอก รวมทั้งนโยบายและ ระเบียบปฏิบัติภายในองค์กรเอง ซึ่งมีผลโดยตรงหรือโดยอ้อมต่อภาระ หนี้สินทางการเงิน การลงโทษ การต้องคดี การถูกแซงชั่นทางกฎหมาย หรือผลกระทบทางลบอื่นใดต่อองค์กรและบุคลากรภายใน องค์กร
68 COMPLIANCE GUIDEBOOK เล่มที่ 1 องค์ประกอบที่ 1 GOVERNANCE & CULTURE สำหรับ COMPLIANCE RISK หลักการที่ 1 การกำกับภาพในองค์รวมของคณะกรรมการ (Exercise Board Risk Oversight) คณะกรรมการขององค์การรับผิดชอบในการกำกับติดตามและ ประเมินภาพองค์รวมของความเสี่ยงองค์กร และแผนงานโครงการ จัดการความเสี่ยง 1) จำเป็นต้องประเมินภาพองค์รวมของการบริหารความเสี่ยง Compliance Risk และแผนงาน/โครงการ C&E (Compliance & Ethics Program) รวมทั้งการอนุมัตินโยบายที่เกี่ยวข้อง 2) ทำให้มั่นใจว่าคณะกรรมการมีความรอบรู้เพียงพอ และลงมา ประเมินภาพในองค์รวมของแผนงาน/โครงการ C&E เป็นส่วนหนึ่ง ของวาระการประชุม การติดตามความเสี่ยง กำหนดตัวชี้วัดความ เสี่ยงในด้าน Compliance Risk เช่นเดียวกับความเสี่ยงด้านอื่น 3) องค์ประกอบของคณะกรรมการต้องมีผู้ที่มีความเชี่ยวชาญด้าน Compliance Risk
69 COMPLIANCE GUIDEBOOK เล่มที่ 1 4) มีเอกสารหลักฐานเชิงประจักษ์ ว่าคณะกรรมการได้ประเมินภาพ ในองค์รวมของแผนงาน/โครงการ C&E ปรากฏในมติที่ประชุม 5) มีส่วนในการพิจารณาแต่งตั้ง ถอดถอน พิจารณาคุณสมบัติของ CCO (Chief Compliance Officer) เพื่อให้มีความเป็นอิสระจาก ฝ่ายบริหาร และ CEO ที่ตัดสินใจเชิงพาณิชย์หรือเชิงธุรกิจ 6) ทำให้มั่นใจว่าจัดสรรทรัพยากรเพียงพอให้แก่แผนงาน/โครงการ C&E 7) รับทราบรายงานจาก CCO อย่างสม่ำเสมอและเพียงพอ 8) ทำให้มั่นใจว่าคณะกรรมการได้รับทราบข้อมูล ผลการไต่สวน สอบสวนประเด็นที่มีนัยสำคัญ กรณีเกิดการฝ่าฝืนการกำกับการ ปฏิบัติตามกฎเกณฑ์ และแผนในการแก้ไขปรับปรุง หลักการที่ 2 การจัดวางโครงสร้างการดำเนินงานที่มีประสิทธิภาพ (Establishes Operating Structures) ตำแหน่งของหน่วยงานกำกับการปฏิบัติตามกฎเกณฑ์ หน่วยงานด้าน กำกับการปฏิบัติตามกฎเกณฑ์ หรือ Compliance Function ภายใน องค์กร มีความสำคัญ ต่อประสิทธิภาพและประสิทธิผลของแผนงาน/ โครงการ ที่เกี่ยวข้อง Compliance Function ต้องชี้นำโดยผู้ที่มีตำแหน่งที่จะเสริม ประสิทธิภาพและประสิทธิผล อยู่ในระดับเดียวกับผู้บริหารระดับสูง Compliance Function ต้องได้รับการมอบอำนาจที่เพียงพอ มี ทรัพยากรที่จำเป็นและเครื่องมือที่ครบถ้วน เพื่อการบังคับใช้ได้อย่างมี ประสิทธิผล Compliance Function จะต้องแยกบทบาทหน้าที่ออกจาก หน่วยงานอื่น โดยเฉพาะอย่างยิ่ง หน่วยงานด้านกฎหมาย การเงิน ตรวจสอบภายใน เพื่อไม่ให้ทำหน้าที่ในลักษณะงานประจำ ที่ไม่ใช่ แผนงาน/โครงการ หน้าที่ความรับผิดชอบ ควรรวมถึงการกำหนดนโยบาย ระเบียบปฏิบัติ ที่ครอบคลุมถึงกระบวนการที่กำกับดูแลและการตัดสินใจเกี่ยวกับ แผนงานโครงการ C&E
70 COMPLIANCE GUIDEBOOK เล่มที่ 1 กรณีองค์กรมีคณะกรรมการโดยเฉพาะ Compliance Committee ควรกำหนดให้มีกฎบัตร เช่นเดียวกับคณะกรรมการตรวจสอบ กรณีองค์การอยู่ในข่ายถูกกำกับดูแลโดยหน่วยงานกำกับอย่างเข้มงวด รวมทั้งมีการตรวจประเมินโดยหน่วยงานกำกับดูแล แผนงานโครงการ C&E มีความสำคัญเทียบเท่าแผนงานโครงการกลยุทธ์ ซึ่งหน่วยงานที่ เกี่ยวข้องกับ Compliance Function อาจจำเป็นต้องครอบคลุม หลายหน่วยงาน 1) ทำให้มั่นใจว่าโครงสร้างของหน่วยงานด้าน Compliance Function สามารถทำหน้าที่กำกับที่มีอิสระและมีประสิทธิภาพ 2) ทำให้มั่นใจว่า CCO มีสายรายงานโดยตรงและสื่อสารกับ คณะกรรมการได้อย่างมีประสิทธิภาพ 3) ทำให้มั่นใจว่า CCO และแผนงาน/โครงการด้าน C&E ได้รับ ความสำคัญในระดับเดียวกับกลยุทธ์สำคัญอื่น 4) มีคำสั่งที่มอบอำนาจเพียงพอให้แก่ CCO ในการบริหารจัดการ แผนงาน/โครงการได้อย่างมีประสิทธิภาพ 5) มีการจัดสรรงบประมาณ ทรัพยากรที่เพียงพอให้รองรับกิจกรรม ตามแผนงาน/โครงการ C&E 6) ทำให้มั่นใจว่าโครงสร้างหน่วยงานด้าน Compliance Function สามารถทำหน้าที่กำกับที่มีอิสระและมีประสิทธิภาพ 7) ทำให้มั่นใจว่า CCO มีสายการรายงานโดยตรงและสื่อสารกับ คณะกรรมการได้อย่างมีประสิทธิภาพ 8) ทำให้มั่นใจว่า CCO และตัวแผนงาน/โครงการ C&E ได้รับ ความสำคัญในระดับเดียวกับกลยุทธ์สำคัญอื่น 9) มีคำสั่งที่มอบอำนาจเพียงพอให้แก่ CCO ในการบริหารจัดการ แผนงาน/โครงการได้อย่างมีประสิทธิภาพ 10) มีการจัดสรรงบประมาณ ทรัพยากรที่เพียงพอให้รองรับกิจกรรม ตามแผนงาน/โครงการ C&E 11)กำหนดประเด็นที่ต้องมีการประเมินภาพ ความคืบหน้าและ ประสิทธิผลในองค์รวมของแผนงาน/โครงการ C&E นำเสนอโดย
71 COMPLIANCE GUIDEBOOK เล่มที่ 1 ผู้รับผิดชอบแต่ละแผนงาน พร้อมระดับความเสี่ยงที่ยอมรับได้ หรือ Compliance Risk Appetite 12)ออกประกาศใช้นโยบายและระเบียบ เป็นลายลักษณ์อักษร ที่ เฉพาะเจาะจงการดำเนินงาน เพื่อสนับสนุนแผนงาน/โครงการ C&E 13)ออกมาตรการในการประชาสัมพันธ์ส่งเสริมและสนับสนุน ให้เกิด การตื่นตัวในเหตุการณ์ความเสี่ยงด้าน Compliance Risk สำคัญ ประจำปีขององค์กร หลักการที่ 3 การกำหนดวัฒนธรรมพฤติกรรม การตื่นตัวที่พึง ประสงค์ องค์การจำเป็นต้องแปลงนโยบาย ค่านิยมที่เกี่ยวกับ Compliance Risk Appetite ให้กลับเป็นวัฒนธรรมพึงประสงค์ภายในองค์กร วัฒนธรรมพึงประสงค์สำคัญคือการประพฤติและปฏิบัติบนความถูก ต้องเสมอ ตื่นตัวต่อประเด็นความเสี่ยงใหม่ที่จะต้องกำกับการปฏิบัติ ตามกฎเกณฑ์เพิ่มเติมที่แต่ละคนตื่นตัวและกำกับการปฏิบัติด้วย ตนเองระหว่างปฏิบัติงาน วัฒนธรรมเป็นการสร้างความผูกพันยึดมั่น ต่อสิ่งที่ต้องจัดทำในทุก ระดับขององค์กร โดยมีผู้บริหารเป็นผู้ชี้นำ และตัวอย่าง วัฒนธรรมเป็นการแปลงพฤติกรรมพึงประสงค์ เป็นตัวชี้วัดผล ปฏิบัติงาน และเป็นส่วนหนึ่งของการประเมินผลการปฏิบัติงาน ระบบ แรงจูงใจ บทลงโทษ 1) ทำให้มั่นใจว่าคณะกรรมการมีความรอบรู้เพียงพอ และอนุมัติ ประมวลจรรยาบรรณและจริยธรรมหลัก ควบคู่กับนโยบายการ กำกับการปฏิบัติตามกฎเกณฑ์ 2) ให้คำอธิบายและนิยามชัดเจนเกี่ยวกับความคาดหวัง ที่เกี่ยวกับ การกำกับการปฏิบัติตามกฎเกณฑ์และจริยธรรมไว้ในประมวล จรรยาบรรณและ จริยธรรม 3) กำหนดเงื่อนไขการฝึกอบรมที่จำเป็นในส่วนของประมวล จรรยาบรรณและจริยธรรม และการตัดสินใจที่ต้องใช้การกำกับ
72 COMPLIANCE GUIDEBOOK เล่มที่ 1 การปฏิบัติตามกฎเกณฑ์เป็นฐานหลัก (Compliance-Rules Based) เสมอ 4) กำหนดตัวชี้วัดที่สำคัญ เพื่อเฝ้าระวังการฝ่าฝืนการกำกับการ ปฏิบัติตามกฎเกณฑ์ และมีการติดตาม วิเคราะห์และประเมินผล อย่างต่อเนื่องสม่ำเสมอ 5) มีการวิเคราะห์เพื่อประเมินความจำเป็นเพื่อใช้ในการทบทวน วัฒนธรรมองค์กรที่เชื่อมโยงกับการกำกับการปฏิบัติตามกฎเกณฑ์ 6) พัฒนาตัวชี้วัดด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่เหมาะสม เที่ยงตรงและวัดได้จริง เพื่อนำไปประกอบการประเมินผลการ ปฏิบัติงาน และการให้แรงจูงใจ การพิจารณาเลื่อนชั้นเลื่อน ตำแหน่ง 7) ทบทวนและปรับปรุงแรงจูงใจในการส่งเสริมให้เกิดการปฏิบัติที่ สอดคล้องกับแผนงาน/โครงการ C&E 8) สอดแทรกคุณค่าความคาดหวังขององค์กร ความสำคัญการตื่นตัว ต่อการกำกับการปฏิบัติตามกฎเกณฑ์ในระหว่างการสื่อสารจาก ผู้บริหารแก่บุคลากร หลักการที่ 4 แสดงให้เห็นถึงความยึดมั่นมุ่งมั่นต่อคุณค่าหลักองค์กร (Demonstrates Commitment To Core Value) คุณค่าองค์กร ที่กำหนดขึ้นเป็นธงชี้ทิศทางหรือ Statement Of Direction ต้องผูกพันถึงความยึดมั่นและมุ่งมั่นที่มีต่อการกำกับการ ปฏิบัติตามกฎเกณฑ์ ประมวลจรรยาบรรณและจริยธรรมทางธุรกิจ Tone From The Top เป็นสิ่งสำคัญเพื่อเริ่มต้นการบริหารความเสี่ยง Compliance Risk และต้องทำให้ส่งต่อลงสู่ระดับปฏิบัติงานทั่วทั้ง องค์กร ผ่านการสื่อสารด้วยช่องทางต่างๆ เพื่อให้เกิดการยึดมั่น มุ่งมั่น จริงจัง การยึดมั่นมุ่งมั่นเป็นความรับผิดรับชอบในระดับรายบุคคลต่อการ บริหาร Compliance Risk และถือเป็นส่วนหนึ่งของภาระงาน การ ประเมินผลดำเนินงาน และระบบแรงจูงใจ การเลื่อนชั้นเลื่อนตำแหน่ง เมื่อเกิดการฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ การขาด จริยธรรมหรือจรรยาบรรณในพฤติกรรมการปฏิบัติงาน ต้องถือเป็น
73 COMPLIANCE GUIDEBOOK เล่มที่ 1 เรื่องร้ายแรง ต้องกำหนดให้มีการรายงาน การให้ข้อมูล การปฏิบัติที่ไม่ ถูกต้อง ผ่านช่องทางการรายงานพิเศษ และระบบการคุ้มครองพยาน รวมทั้งการกำหนดให้มีการไต่สวนสอบสวน แสวงหาข้อเท็จจริงและ สาเหตุโดยทันที ให้ทันท่วงที เพื่อนำไปสู่การแก้ไข ไม่ให้เกิดซ้ำ และ แจ้งให้รับทราบทั่วกัน 1) มีกิจกรรมการส่งเสริมเชิงรุก วัฒนธรรมการตระหนักต่อ Compliance Risk โดยเฉพาะการชี้นำจากผู้บริหาร 2) สร้างดุลยภาพระหว่างแรงจูงใจผลดำเนินงานทางธุรกิจ/พาณิชย์ กับการกำกับการปฏิบัติตามกฎเกณฑ์ที่ดี 3) สร้างกลไกความรับผิดรับชอบ สำหรับการบริหารจัดการที่แทรก ในตัวชี้วัดผลปฏิบัติงานบุคลากร เงื่อนไขการเลื่อนขั้นเลื่อน ตำแหน่ง โดยเฉพาะในระดับผู้บริหาร 4) ปกป้องพยาน ที่เป็นผู้ให้ข้อมูลเบาะแสการกระทำผิด 5) ประกาศไม่ยอมรับการกระทำผิดใด ๆ หรือค่าเบี่ยงเบนเป็นศูนย์ หรือ Zero Tolerance 6) ดำเนินการตามขั้นตอนวินัย กฎหมาย ไต่สวนสอบสวนให้ทันท่วงที 7) ส่งเสริมการใช้หลักความยุติธรรม นิติธรรมในการบริหารจัดการ เพื่อสร้างความเชื่อมั่นแก่บุคลากรทั้งหมด 8) แลกเปลี่ยนและถ่ายทอดบทเรียนที่เรียนรู้ เพื่อให้เกิดการพัฒนา หลักการที่ 5 กำหนดแรงจูงใจ กลไกพัฒนา และดำรงรักษา ศักยภาพรายบุคคล ควรแต่งตั้ง CCO เป็นผู้นำในการบริหารการกำกับการปฏิบัติตาม กฎเกณฑ์ โดยยึดประสบการณ์และคุณสมบัติที่เหมาะสม กำหนดเงื่อนไขให้บุคลากรทั่วทั้งองค์กรเคารพต่อการกำกับการปฏิบัติ ตามกฎเกณฑ์และตัดสินใจอย่างมีจริยธรรมและจรรยาบรรณ เพื่อ รักษาคนดี ยึดการบริหารจัดการบนเหตุผล เอกสารหลักฐาน บรรทัดฐาน มาตรฐาน มากกว่าดุลพินิจระดับบุคคลที่มีโอกาสเบี่ยงเบน ลำเอียง วางกลไกการรับรองตนเองด้านการปฏิบัติด้านการกำกับที่ดี เพื่อให้ เกิดการแยกแยะระหว่างสิ่งที่ควรดำเนินการและไม่ควรดำเนินการ
74 COMPLIANCE GUIDEBOOK เล่มที่ 1 ปรับปรุงเปลี่ยนแปลง การปฏิบัติที่จำเป็น เพื่อให้สอดคล้องกับ สภาพแวดล้อมด้านการกำกับการปฏิบัติตามกฎเกณฑ์ที่ดี 1) จัดหา CCO ด้วยประสบการณ์ คุณสมบัติที่เหมาะสม 2) จัดหาบุคลากรปฏิบัติงาน Compliance Officer ที่มีคุณสมบัติ เหมาะสม 3) วางกลไกการสอบทานประวัติเพิ่มเติม ความเป็นมาของบุคคล เพื่อลดความเสี่ยง Compliance Risk 4) จัดหาบุคลากร ปฏิบัติงานในแผนงานโครงการ C&E เพื่อให้เกิด กิจกรรมตามแผนจริง 5) ปรับปรุงหลักสูตรการฝึกอบรม ให้สอดคล้องกับประเด็นความ เสี่ยง 6) จัดกิจกรรมการสำรวจข้อมูลจากสถานที่และสถานการณ์จริงหรือ Due Diligence บุคคลที่สามเพิ่มเติม องค์ประกอบที่ 2 กลยุทธ์และวัตถุประสงค์ Compliance Risk ประกอบด้วยหลักการที่ 6 – 9 หลักการที่ 6 การวิเคราะห์บริบทธุรกิจเพื่อกำหนดกลยุทธ์และ เป้าประสงค์ การวิเคราะห์และประเมินบริบทธุรกิจที่เปลี่ยนแปลงไป มีความจำเป็น เพื่อนำไปกำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้ และวัตถุประสงค์เชิง ธุรกิจ ที่เกี่ยวข้องกับ Compliance Risk บริบทธุรกิจ เป็นต้นตอของ Compliance Risk เพื่อจัดวางการ ตัดสินใจทางธุรกิจที่เหมาะสมต่อความเสี่ยงเกิดใหม่ หรือเปลี่ยนแปลง จากเดิม Compliance Risk Universe เป็นหน้าที่ของ CCO เพื่อนำไปสู่การ กำหนดกระบวนการกลยุทธ์จัดการความเสี่ยงที่ดี เมื่อใดที่องค์กรเปลี่ยนแปลงบริบทธุรกิจ ต้องแจ้งให้ CCO รับทราบ เพื่อทำการวิเคราะห์ และทบทวน Compliance Risk จากปัจจัย ภายในและปัจจัยภายนอก
75 COMPLIANCE GUIDEBOOK เล่มที่ 1 ปัจจัยภายในที่สำคัญ เช่น การเปลี่ยนแปลงบุคลากรหลัก กระบวนการหลัก เทคโนโลยีหรือระบบงานสำคัญ แรงกดดันจากฝ่าย บริหารผ่านการกำหนดเป้าหมายที่สุ่มเสี่ยงต่อการฝ่าฝืนการปฏิบัติตาม กฎเกณฑ์ การเปลี่ยนแปลงเชิงวัฒนธรรมองค์กร ปัจจัยภายนอกที่สำคัญ เช่น การเปลี่ยนแปลงข้อกำหนด กฎหมาย มติของคณะรัฐมนตรี ประกาศของหน่วยงานกำกับและบังคับใช้ กฎหมาย สถานการณ์แข่งขัน ภาวะเศรษฐกิจที่ถดถอยหรือตกต่ำ สภาพสังคม การเปลี่ยนแปลงเงื่อนไขในระดับของพื้นที่ 1) พิจารณาและสะท้อนให้เห็นถึงกลยุทธ์องค์กรในส่วนที่ต้องมีการ ประเมินความเสี่ยงและบริหารความเสี่ยงในด้าน Compliance Risk 2) พิจารณาวิธีด้าน Compliance Risk มีผลกระทบจากการ เปลี่ยนแปลงภายใน เพื่อให้เกิดความตระหนักและตื่นตัวความ เสี่ยง 3) ประเมินผลกระทบจากภายนอก ที่ก่อให้เกิด Compliance Risk 4) วิเคราะห์ระบุ และพิจารณาถึงความเชื่อมโยงของความเสี่ยงต่อ การพัฒนากลยุทธ์องค์กร 5) วิเคราะห์ช่องว่างหรือความแตกต่างระดับพื้นที่ต่อกรอบแนว ทางการกำกับการปฏิบัติตามกฎเกณฑ์ เพื่อกำหนดกลยุทธ์ที่ เหมาะสม หลักการที่ 7 กำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้(Define Risk Appetite) ควรนำบริบทธุรกิจและผลการวิเคราะห์ Compliance Risk มา ประกอบการกำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้ ทางผลกระทบตัว เงินและไม่ใช่ตัวเงิน ที่สอดคล้องกับวัตถุประสงค์และเป้าหมายธุรกิจ ผ่านการหารือร่วมกันของผู้บริหาร เกณฑ์ความเสี่ยงที่ยอมรับได้อาจขึ้นกับรูปแบบของความเสี่ยง ขนาด ของความเสี่ยง วัฒนธรรมองค์กร ระดับความเสี่ยงในวงกว้าง และค่า เบี่ยงเบนที่ยอมรับได้ ต่อผลการดำเนินงานขององค์กร เกณฑ์ความเสี่ยงที่ยอมรับได้ อาจจำแนกตามกฎหมาย ที่บังคับใช้
76 COMPLIANCE GUIDEBOOK เล่มที่ 1 1) พิจารณา Compliance Risk เป็นส่วนหนึ่งของแฟ้มความเสี่ยง องค์กร ที่มีเกณฑ์ความเสี่ยงที่ยอมรับได้โดยเฉพาะ 2) พิจารณา Compliance Risk ตามรูปแบบของความเสี่ยง สายงาน หรือหน่วยธุรกิจ บทบาทหน้าที่ที่พิจารณา ระดับพื้นที่ ภูมิภาคที่ แตกต่างกัน 3) กำหนด และประเมินถึงความสัมพันธ์ระหว่าง Compliance Risk กับการบรรลุวัตถุประสงค์และเป้าหมายองค์กร 4) หารือเพื่อกำหนด Risk Appetite ที่เป็นเกณฑ์กลางและประเด็น เฉพาะเจาะจง และทบทวนให้เป็นปัจจุบันตามการเปลี่ยนแปลง Compliance Risk หลักการที่ 8 ประเมินทางเลือกการใช้กลยุทธ์ตามเกณฑ์ที่ยอมรับได้ Compliance Function ควรร่วมพิจารณาประเด็นเชิงกลยุทธ์ ทั้ง แผนงานโครงการ C&E ที่จำเป็นต้องรองรับด้วยกลยุทธ์ กลยุทธ์ องค์การที่จำเป็นต้องบริหาร Compliance Risk ข้อแนะนำบริหาร Compliance Risk เป็นแนวทางเชิงรุกควรเกิดขึ้น ก่อนที่ผู้บริหารจะตัดสินใจกำหนดกลยุทธ์องค์กร CCO เป็นผู้แนะนำแนวทางการตอบโต้ บรรเทาหรือทุเลาความเสี่ยง Compliance Risk ต่อผู้บริหารในการตัดสินใจเชิงกลยุทธ์ หลังจากได้ รับรู้ว่าองค์กรเปลี่ยนแปลงปัจจัยภายใน เปลี่ยนแปลงกลยุทธ์ 1) ทำให้มั่นใจว่า CCO ได้มีส่วนเข้าร่วม ในระหว่างกระบวนการ บริหารจัดการกลยุทธ์ หรือปรับเปลี่ยนกลยุทธ์สำคัญองค์กร 2) CCO ต้องให้ข้อมูลที่ทันท่วงทีว่าการกำหนดหรือเปลี่ยนแปลงกล ยุทธ์ดังกล่าวมีผลกระทบต่อ Compliance Risk ลักษณะใด 3) ดำเนินการสำรวจเพื่อค้นหาความเสี่ยง Due Diligence กรณีที่มี แผนธุรกิจหรือรูปแบบการดำเนินงานใหม่ก่อนที่จะเริ่มใช้จริง 4) นำการเปลี่ยนแปลงกลยุทธ์ที่เกิดขึ้นจากการตัดสินใจของฝ่าย จัดการ มากำหนดแผนงาน/โครงการด้าน C&E เพื่อรองรับให้ ทันท่วงที
77 COMPLIANCE GUIDEBOOK เล่มที่ 1 หลักการที่ 9 จัดวางวัตถุประสงค์ความเสี่ยงที่รองรับธุรกิจ การบริหารความเสี่ยงเชื่อมโยงกับกลยุทธ์และวัตถุประสงค์การ ดำเนินงานขององค์กร ผ่านการกำหนดเงื่อนไขที่มีตัวชี้วัดร่วมกัน การปรับเปลี่ยนแก้ไขกลยุทธ์องค์การ มีผลกระทบต่อ Compliance Risk อย่างไรขึ้นอยู่กับวัตถุประสงค์ทางธุรกิจ ที่ทำให้มีโอกาสฝ่าฝืน กฎเกณฑ์ได้แตกต่างกัน เพราะเกี่ยวข้องกับ ข้อกฎหมาย ข้อกำหนดที่ แตกต่างกันตามวัตถุประสงค์ของธุรกิจ การกำหนดตัวชี้วัดผลดำเนินงานแต่ละสายธุรกิจ/หน่วยงาน อาจจะ เพิ่มแรงจูงใจให้เกิดการฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ที่ ต่างกัน เช่น การเร่งผลิตผลงานมากเกินไป อาจทำให้ต้องลดระดับ คุณภาพลง องค์กรต้องให้ความสำคัญ กับการสร้างดุลยภาพระหว่างตัวชี้วัดผล ดำเนินงาน ระบบแรงจูงใจ และแรงขับเคลื่อนให้เกิดการฝ่าฝืนการ กำกับการปฏิบัติตามกฎเกณฑ์ การเปลี่ยนแปลงตัวชี้วัดผลดำเนินงานในระดับสายงานหรือหน่วยงาน ใด ๆ อาจทำให้ระดับความเสี่ยงด้าน Compliance Risk เปลี่ยนแปลง ไปด้วย เมื่อระดับความเสี่ยง Compliance Risk ส่งผลให้แผนงานหรือ โครงการ C&E ของงานกำกับการปฏิบัติตามกฎเกณฑ์เปลี่ยนแปลง ตามไปด้วย 1) ค้นหา ระบุและประเมินความเสี่ยง Compliance Risk ที่เกิดขึ้น จากวัตถุประสงค์องค์กรที่กำหนด 2) กำหนดเงื่อนไข/ตัวชี้วัดด้านการกำกับการปฏิบัติตามกฎ ให้เป็น วัตถุประสงค์ทางธุรกิจที่คู่ขนานกับวัตถุประสงค์หลักองค์กร เพื่อ กำกับการปฏิบัติให้ควบคู่กัน 3) กำหนดการบริหารจัดการ Compliance Risk และความ รับผิดชอบเป็นส่วนหนึ่งของตัวชี้วัดผลการปฏิบัติงานและการ ประเมินผลงาน
78 COMPLIANCE GUIDEBOOK เล่มที่ 1 4) พิจารณาปฏิสัมพันธ์และการบริหารร่วมกันระหว่างการ เปลี่ยนแปลงในวัตถุประสงค์ทางธุรกิจ กับการเปลี่ยนแปลง Compliance Risk 5) กำหนดแผนงาน/โครงการ C&E เพื่อรองรับวัตถุประสงค์ธุรกิจให้ ทันท่วงที ประกอบที่ 3 ผลดำเนินงานด้านการบริหาร Compliance Risk ประกอบด้วยหลักการที่ 10 - 14 หลักการที่ 10 การระบุความเสี่ยงการบริหารแผนงาน/โครงการ C&E ความสำเร็จและประสิทธิภาพของการบริหารแผนงาน/โครงการ C&E ให้เป็นไปตามกลยุทธ์การบริหารความเสี่ยง ขึ้นอยู่กับการประเมิน ความเสี่ยง ที่มาจากปัจจัยภายนอก หน่วยงานกำกับดูแล และกำหนด กิจกรรมการจัดการความเสี่ยงได้อย่างเหมาะสม การวิเคราะห์และประเมิน Compliance Risk ระดับแผนงาน/ โครงการ C&E สำคัญต่อการทำกิจกรรมให้มีประสิทธิภาพในการลด ความเสี่ยง กฎหมายและกฎเกณฑ์ที่กำกับองค์กรมีอยู่จำนวนมากมาย = ภัย คุกคามองค์กรเปลี่ยนแปลงไป ควบคู่กับการเปลี่ยนแปลงกลยุทธ์ องค์กรเอง ความเสี่ยงที่ระบุได้จะนำมาจัดเรียงลำดับความสำคัญ เพื่อจะกำหนด กิจกรรมที่จำเป็นต่อไป แนวคิดสำหรับการระบุความเสี่ยงการกำกับการปฏิบัติตามกฎเกณฑ์ ประกอบด้วย 1) ให้คำอธิบายและนิยามของ Compliance Risk ที่เกี่ยวข้อง กระบวนการที่ใช้ประเมินความเสี่ยง ไว้ในนโยบายและวิธีการ บริหารความเสี่ยงด้านกำกับการปฏิบัติตามกฎเกณฑ์ให้ชัดเจน 2) ระบุถึงประเด็นด้าน Compliance Risk สำคัญที่เกี่ยวข้องกับ วัตถุประสงค์และกลยุทธ์องค์กรที่มีการวางแผนงาน
79 COMPLIANCE GUIDEBOOK เล่มที่ 1 3) วิเคราะห์และประเมินสภาพแวดล้อมภายในและภายนอกเพื่อระบุ Compliance Risk 4) สร้างกระบวนการที่จำเป็นในการระบุความเสี่ยงเกิดใหม่ด้าน Compliance Risk 5) พิจารณา Compliance Risk ที่เกี่ยวข้องกับบุคคลที่สามซึ่งเป็นผู้ ให้บริการสำคัญ หรือพันธมิตรสำคัญ 6) พิจารณาและแสวงหาข้อมูล ผ่านช่องทางอื่นๆ เพื่อให้เกิดความ ครบถ้วนรอบด้าน 7) ทำการวิเคราะห์สาเหตุของความเสี่ยง เพื่อให้เกิดความเข้าใจอย่าง เพียงพอและสามารถจัดทำแฟ้มข้อมูลความเสี่ยงได้อย่างเพียงพอ และครบถ้วน หลักการที่ 11 เรียงลำดับความรุนแรงของความเสี่ยงเพื่อบริหาร แผนงาน/โครงการ C&E ระดับความรุนแรงของ Compliance Risk มาจากการประเมิน ด้วย (ก) โอกาสเกิด (ข) ผลกระทบที่เกิดจากความเสี่ยง (ค) คุณภาพการ บริหารจัดการที่มีอยู่แล้ว (ง) ระดับความเฉียบพลันของผลกระทบหาก เกิดความเสี่ยง การเรียงลำดับความรุนแรงของความเสี่ยง ควรมาจากดุลพินิจ สถิติที่มี อยู่ ประสบการณ์ที่เคยเกิดขึ้นแล้วจริง สมมติฐานที่นำมาใช้ มาตรการ การควบคุมที่มีอยู่แล้ว กรณีที่ยังไม่มีการควบคุมอยู่ในองค์กรโดยโอกาสเกิดสูงสุด =5 ความที่ที่มีโอกาสเกิดได้บ่อยครั้ง ในรอบหนึ่งปีโดยโอกาสเกิดสูงสุดจะ มีค่า = 5
80 COMPLIANCE GUIDEBOOK เล่มที่ 1 ที่มา COSO ที่มา COSO
81 COMPLIANCE GUIDEBOOK เล่มที่ 1 เกณฑ์วัด 1 ระดับความเพียงพอ Compliance Rating มิติที่ 1 ความสม่ำเสมอในการดำเนินงาน (Consistency) มิติที่ 2 การประหยัดค่าใช้จ่าย (Cost Savings) ดำเนินการในสิ่งที่ สร้างมูลค่าเพิ่ม และละเว้นหรือกำจัดการดำเนินการที่ไม่ สร้างคุณค่า (NON-VALUE) มิติที่ 3 การพัฒนาตนเอง (Self-improvement) เพื่อให้สิ่งที่พัฒนา นั้นยังคงอยู่ อย่างยั่งยืน มิติที่ 4 ความสามารถในการตอบสนอง/ตอบโต้ต่อความต้องการ (Demand Responsiveness) ด้วยแนวทางการปฏิบัติที่ดี ที่สุด กระบวนการที่เป็นมาตรฐาน มิติที่ 5 การปรับปรุงของกระบวนการดำเนินงาน (Process Improvement) พร้อมที่จะยืดหยุ่นให้ตอบสนองต่อการ เปลี่ยนแปลง สิ่งที่ต้องดำเนินการ 1) พัฒนาและจัดทำคู่มือ SCALE/SCORING SYSTEM เพื่อใช้ในการ วัดระดับความรุนแรงของความเสี่ยงให้เป็นแบบฟอร์มมาตรฐาน และใช้ไปในทางทิศทางเดียวกัน 2) พิจารณาตัวชี้วัดขนาดของความเสี่ยงทั้งในเชิงปริมาณและ คุณภาพ 3) จัดวางเงื่อนไขวิเคราะห์และประเมินแต่ละมิติความเสี่ยงครบถ้วน 4 มิติ 4) กำหนดระดับการวิเคราะห์และประเมินความรุนแรงของความ เสี่ยงในแต่ละระดับ > ระดับองค์กร > ระดับพื้นที่รายภูมิภาค > ระดับกิจการที่เกี่ยวข้องกัน > ระดับคู่ค้าคู่สัญญา 5) พิจารณาออกแบบ และกำหนดกิจกรรมการควบคุมภายในที่เป็น พื้นฐานขององค์กร ในการป้องกัน สอดส่องติดตาม เฝ้าระวัง
82 COMPLIANCE GUIDEBOOK เล่มที่ 1 เหตุการณ์ความเสี่ยง Compliance Risk สำคัญที่สามารถกำหนด ได้ชัดเจน และมีสัญญาณเตือนเพื่อสามารถเห็นได้ล่วงหน้า 6) หาแนวทางในการลดความเบี่ยงเบนของการใช้ดุลยพินิจ องค์ ความรู้ที่ยังไม่เพียงพอ ในกรณีที่ต้องประเมินระดับความรุนแรง ของความเสี่ยงบางลักษณะ หลักการที่ 12 เรียงลำดับความเสี่ยงในการบริหารแผนงาน/ โครงการ C&E ผลการวิเคราะห์และประเมินจนสามารถกำหนดขนาดของความเสี่ยง Compliance Risk ได้ในหลักการก่อนหน้านี้ ทำให้สามารถได้ คลังข้อมูลของ Risk Inventory Matrix อย่างเพียงพอที่จะนำมาใช้ใน การจัดเรียงลำดับความเสี่ยงได้ชัดเจน ทำการจัดกลุ่มความเสี่ยงเป็น RISK THRESHOLD เพื่อแยกเป็นสีไฟ จราจร ให้สอดคล้องกับเกณฑ์ความเสี่ยงที่ยอมรับได้ วางกิจกรรมการจัดการความเสี่ยงตามสีไฟจราจร > สีเขียว กำหนดระยะเวลาในการทบทวน > สีเหลือง สร้างตัวเฝ้าระวัง และมาตรการป้องกัน สอดส่อง ติดตาม และจัดการให้ทันท่วงที > สีแดง มีแผนงาน/โครงการ C&E รองรับ อย่างชัดเจน
83 COMPLIANCE GUIDEBOOK เล่มที่ 1 สิ่งที่ต้องดำเนินการ 1) ทบทวนผลการเรียงลำดับความเสี่ยงและความเชื่อมโยงกับ วัตถุประสงค์ทางธุรกิจ ให้เหมาะสมตามความจำเป็นและความ เร่งด่วน ความคุ้มค่าของการจัดการความเสี่ยง 2) นำหลักเกณฑ์ SCORING มาใช้ในการจัดระดับสี่ไฟจราจร 3) กำหนดเงื่อนไขประเมินความเสี่ยงรูปแบบอื่นเพื่อใช้เสริม เช่น > แนวโน้มและกระแสความสนใจของโลก > อัตราความผันผวนและแปรปรวนที่อยู่ในกลุ่มสูงในระยะสั้น 4) พิจารณาผลกระทบที่เกิดขึ้นจากการเปลี่ยนแปลงกลยุทธ์หรือการ ดำเนินงานที่มีนัยสำคัญในองค์กร 5) พัฒนาแผนปฏิบัติการ เพื่อตอบโต้ บรรเทาความเสี่ยง หลักการที่ 13 ขออนุมัติเพื่อทำแผนตอบโต้ บรรเทาความเสี่ยง มาตรการแผนปฏิบัติการเพื่อตอบโต้ความเสี่ยงที่ออกแบบมา เพื่อ จัดการความเสี่ยงสำคัญอาจอยู่ในหลายรูปแบบของการเพิ่มมาตรการ การควบคุมเชิงรุก Compliance Risk การบรรเทาความเสี่ยงที่มีประสิทธิผล ในส่วนของมาตรการควบคุมเชิง รุก เป็นองค์ประกอบในระดับนโยบายขององค์กร = Policy-Based Compliance Risk นอกจากมาตรการควบคุมเชิงรุก ในระดับของนโยบายองค์กรแล้ว Compliance Risk Factor ส่วนที่เหลือเป็นปัจจัยที่เป็นองค์ประกอบ ภายในองค์กรเป็นหลัก
84 COMPLIANCE GUIDEBOOK เล่มที่ 1 หลักการที่ 14 พัฒนาสถานะภาพรวม Portfolio View Of Compliance Risk องค์กรจำเป็นต้องเชื่อมโยง และบูรณาการให้เห็นภาพรวมของ Compliance Risk ที่อาจมีความสัมพันธ์เกี่ยวข้องกัน หรือเกี่ยวข้อง กับความเสี่ยงประเภทอื่นขององค์กร การมองภาพ Compliance Risk ที่แสดงสถานะรวมจึงสำคัญต่อการ วิเคราะห์และประเมินความเสี่ยง การออกแบบมาตรการตอบโต้ความ เสี่ยงเพื่อให้เกิดประสิทธิผลจริง ด้วยการจัดการเบ็ดเสร็จครบวงจร Compliance Risk ที่แตกต่างกันอาจมีสาเหตุร่วมกัน จึงไม่จำเป็นต้อง สร้างประเด็นความเสี่ยงใหม่ แต่ควรแสดงความเชื่อมโยงความเสี่ยง มาตรการตอบโต้ความเสี่ยง แต่ละมาตรการ อาจยอมแย่งกัน หากไม่ มองด้วยภาพ Portfolio View เดียวกัน 1) วิเคราะห์และพิจารณา เพื่อหาความเชื่อมโยงสัมพันธ์กันของความ เสี่ยง การตอบโต้ หรือบรรเทาความเสี่ยง Compliance Risk หนึ่ง อาจมีผลกระทบต่อความเสี่ยงอื่นหรือไม่ 2) พิจารณาถึงความสัมพันธ์ของมาตรการรับมือและตอบโต้ความ เสี่ยง Compliance Risk กับมาตรการตอบโต้ความเสี่ยงอื่น ว่า สอดคล้องหรือย้อนแย้งกันหรือไม่ 3) บูรณาการบริหารความเสี่ยง Compliance Risk กับการบริหาร ความเสี่ยงทั่วทั้งองค์กร
85 COMPLIANCE GUIDEBOOK เล่มที่ 1 4) จัดการประชุมเพื่อเชื่อมโยงกับหน่วยงานที่เกี่ยวข้องกับ Compliance Risk เพื่อหารือร่วมกัน ประกอบที่ 4 ทบทวนและปรับปรุง Compliance Risk และการ จัดการ ประกอบด้วยหลักการที่ 15 – 17 หลักการที่ 15 การวิเคราะห์และประเมินการเปลี่ยนแปลงที่มี นัยสำคัญ การเปลี่ยนแปลงของสภาพแวดล้อมภายในและภายนอกที่เกิดกับ องค์กร มีผลกระทบสำคัญต่อแฟ้มข้อมูลความเสี่ยง Compliance Risk และมักเกิดขึ้นอย่างรวดเร็ว ส่งผลให้ แผนงานโครงการ C&E จำเป็นต้องมีการทบทวนและปรับปรุงอยู่อย่างสม่ำเสมอ CCO จำเป็นต้องระบุถึงตัวขับเคลื่อนที่เป็นไปได้ ที่อาจส่งผลต่อการ เปลี่ยนแปลงในด้าน Compliance Risk ตัวขับเคลื่อนที่เป็นไปได้ได้แก่ ➢ การเปลี่ยนแปลงวัตถุประสงค์และกลยุทธ์องค์กร ➢ การเปลี่ยนแปลงบุคลากรหลัก กระบวนการสำคัญ เทคโนโลยี กำกับองค์กร ➢ การเปลี่ยนแปลงข้อกำหนด กฎหมายลำดับรอง 1) ทำการกำหนดตัวขับเคลื่อนการเปลี่ยนแปลง Compliance Risk สำคัญทั้งปัจจัยขับเคลื่อนภายในและภายนอกเพื่อแจ้งข้อมูล สารสนเทศ Compliance Risk ใหม่ให้ถูกต้อง ครบถ้วน 2) พิจารณาและวิเคราะห์ว่า การริเริ่มกลยุทธ์ใหม่ กระทบต่อ Compliance Risk อย่างไร 3) พิจารณาการเปลี่ยนแปลงบุคลากรหลัก ว่ากระทบต่อ Compliance Risk อย่างไร 4) ประเมินผลจากการเปลี่ยนแปลงในกฎหมายลำดับรอง 5) พิจารณาการเปลี่ยนแปลงในเงื่อนไขการบังคับใช้ แนวโน้มใหม่ๆ 6) ประเมินการเปลี่ยนแปลงในสภาพแวดล้อมระดับพื้นที่ ระดับ ภูมิภาคระดับประเทศ
86 COMPLIANCE GUIDEBOOK เล่มที่ 1 หลักการที่ 16 ทบทวนความเสี่ยงและผลดำเนินงาน ใช้กรอบแนวทาง The Three/Four/Five Lines มาใช้ประกอบ การ ทบทวนความเสี่ยงและผลดำเนินงานก็คู่กับ Compliance Function เพื่อรวบรวมผลการทบทวนความเสี่ยงได้ทั่วทั้งองค์กร ทำการทบทวน Compliance Risk ที่มีความสำคัญลำดับสูง อย่าง สม่ำเสมอต่อเนื่อง ทำการทบทวนผลดำเนินงาน และประสิทธิผลของแผนงาน/โครงการ C&E จากการนำไปใช้จริง ใช้กลไกการติดตามผลและตรวจสอบภายในประกอบการทบทวน 1) กิจกรรมติดตามผลดำเนินงาน เทียบกับตัวชี้วัดการกำกับการ ปฏิบัติตามกฎเกณฑ์และจรรยาบรรณจริยธรรม ทำเป็นรายงาน ต่อผู้บริหารและคณะกรรมการ 2) จัดทำผลการวิเคราะห์และประเมิน Compliance Risk แสดง สถานะที่เป็นปัจจุบันสม่ำเสมอ 3) พัฒนาแผนการกำกับติดตามความเสี่ยงที่อยู่ในความสำคัญลำดับ สูง ทำให้มั่นใจว่ามีผู้รับผิดชอบในการ ดำเนินการและดูแล ครบถ้วนทั้ง Three/Four/Five Lines พร้อมความคาดหวังต่อ ผลดำเนินงานของแต่ละกลุ่มที่ชัดเจน 4) ทำให้มั่นใจว่าหน่วยงานตรวจสอบภายในได้มีการพิจารณา Compliance Risk ที่เชื่อมโยงกับการทบทวนความเสี่ยงองค์กร 5) มีการวิเคราะห์ประเมิน และสำรวจ วัฒนธรรมการตื่นตัวด้านการ กำกับการปฏิบัติตามกฎเกณฑ์ในองค์กรอย่างสม่ำเสมอ 6) ทำให้มั่นใจว่าแผนงาน/โครงการ C&E ที่จะทำอยู่สะท้อนถึงการ วิเคราะห์และประเมินความเสี่ยงที่เหมาะสม และสาเหตุของความ เสี่ยง 7) เพิ่มเติมเงื่อนไขให้มีการทบทวนความเสี่ยง ส่วนที่เกี่ยวข้องกับคู่ค้า คู่สัญญา หรือบุคคลที่สาม เพื่อให้สามารถแสดงผลการทบทวน การกำกับติดตาม และการตรวจสอบอย่างเหมาะสม 8) รวบรวมผลป้อนกลับจากหน่วยงานและกลุ่มงานต่างๆ ผ่านกลไก การฝึกอบรม HOTLINE การสำรวจความคิดเห็น Exit Interviews
87 COMPLIANCE GUIDEBOOK เล่มที่ 1 9) ปรับปรุงให้มีแผนปฏิบัติการที่เหมาะสม พร้อมการชี้วัดและ ติดตามผลที่เหมาะสม และจัดทำเป็นบทเรียนที่เรียนรู้ หลักการที่ 17 ผลักดันสู่การปรับปรุงการบริหารความเสี่ยงทั่วทั้ง องค์กร ตัวชี้วัดหลักต่อประสิทธิผลของแผนงาน/โครงการ C&E คือ ความสามารถในการผลักดันองค์กรสู่การปรับปรุงอย่างต่อเนื่อง CCO ควรจัดการประชุมอย่างสม่ำเสมอกับคณะกรรมการ เพื่อทบทวน ผล นายเชิงประสิทธิภาพของแผนงาน/โครงการ C&E ที่นำมาใช้อยู่ และการปรับปรุงในเชิงรุกที่สามารถทำได้ นำผลของการไต่สวนการฝ่าฝืนการกำกับการปฏิบัติที่พบไปสู่ กระบวนการวิเคราะห์หาสาเหตุในเชิงลึก เพื่อปรับปรุงแผนงาน/ โครงการ C&E ควรจัดวางเครื่องมือในการปรับปรุงและพัฒนาที่เหมาะสม โดยใช้ นวัตกรรม เพื่อเพิ่มประสิทธิภาพและประสิทธิผล 1) ให้มั่นใจว่าองค์กรยังคงมีความตระหนักรู้เกี่ยวกับแนวโน้มของการ บริหารความเสี่ยงด้านการกำกับการปฏิบัติตามกฎเกณฑ์อย่าง สม่ำเสมอต่อเนื่อง ผ่านการจัดหลักสูตรการฝึกอบรม หรือออก แนวปฏิบัติการกำกับการปฏิบัติตามกฎเกณฑ์ที่เกิดใหม่ให้เพียงพอ 2) ทำให้มั่นใจว่า มีการรับรองและประเมินตนเอง ถึงประสิทธิผลของ การดำเนินงาน ตามแผนงาน/โครงการ C&E 3) เปิดรับข้อมูลที่ป้อนกลับและความคิดเห็น เกี่ยวกับคุณภาพและ การใช้ประโยชน์ของข้อมูล Compliance Risk ที่แลกเปลี่ยน แบ่งปัน 4) จัดให้มีการประเมินโดยผู้ประเมินอิสระต่อแผนงาน/โครงการ C&E 5) พิจารณา กรอบแนวปฏิบัติที่ดี เปรียบเทียบกับบรรทัดฐานและ มาตรฐานภายนอกหรือมาตรฐานสากล ในการดำเนินแผนงาน/ โครงการ C&E 6) ทบทวนประสิทธิภาพและประสิทธิผลของกระบวนการที่ใช้ วิเคราะห์และประเมิน Compliance Risk เป็นระยะอย่าง สม่ำเสมอ
88 COMPLIANCE GUIDEBOOK เล่มที่ 1 7) ทำให้มั่นใจว่าผู้ตรวจสอบภายในได้เข้ามามีบทบาทอย่างเพียงพอ ในการประเมินถึงประสิทธิผลของแผนงาน/โครงการ C&E องค์ประกอบที่ 5 ข้อมูลสารสนเทศ การสื่อสาร และการรายงาน สำหรับ Compliance Risk ประกอบด้วยหลักการที่ 18 – 20 หลักการที่ 18 การยกระดับข้อมูลสารสนเทศและเทคโนโลยี การที่หน่วยงาน Compliance Function จะสามารถบริหารจัดการ แผนงานโครงการ C&E ได้อย่างมีประสิทธิผล อยู่ที่ความสามารถใน การเข้าถึงข้อมูลสารสนเทศที่ทันท่วงที ข้อมูลสารสนเทศที่ดีและทันการณ์จะช่วยในการติดตามผล และการ ตรวจสอบ หน่วยงานที่เกี่ยวข้อง Compliance Function จึงต้องได้รับสิทธิ์ใน การเข้าถึงข้อมูลทั้งหมดที่เกี่ยวข้อง เพื่อสามารถสอดส่องและตรวจจับ การฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ หรือการไม่ยอมนำ มาตรการควบคุมมาใช้ ได้ทันท่วงที เทคโนโลยีเป็นสินทรัพย์ที่มีความสำคัญ ต่อการดำเนินแผนงาน/ โครงการ C&E การกำกับการปฏิบัติตามกฎเกณฑ์ต้องเข้าถึงข้อมูล Big Data โดยใช้ เทคโนโลยีที่เพียงพอทันสมัย เพื่อตรวจจับธุรกรรมหรือกิจกรรม Red Flag ได้ทันที การทดสอบประสิทธิผลของการกำกับการปฏิบัติตามกฎเกณฑ์ จำเป็นต้องมีเทคโนโลยีช่วยในการวิเคราะห์ข้อมูลที่ได้รับมาเกี่ยวกับ ➢ การละเลยการควบคุมหรือป้องกันตามที่ออกแบบไว้ ➢ ทำความเข้าใจต่อลักษณะหรือรูปแบบการฝ่าฝืน ➢ การละเลยการควบคุมที่กำหนดให้มีการสอดส่องตรวจจับ ➢ ตัวชี้วัดอื่น ที่สะท้อนถึงการฝ่าฝืนการกำกับการปฏิบัติ สิ่งที่ต้องดำเนินการ
89 COMPLIANCE GUIDEBOOK เล่มที่ 1 1) ทำให้มั่นใจว่างานกำกับการปฏิบัติตามกฎเกณฑ์สามารถเข้าถึง ข้อมูลที่จำเป็นทั้งหมด เพื่อบริหารความเสี่ยงได้อย่างมี ประสิทธิภาพ 2) เปิดให้งานกำกับการปฏิบัติตามกฎเกณฑ์ มีเทคโนโลยีที่จำเป็นใน การวิเคราะห์ข้อมูล เพื่อสร้างทักษะในการวิเคราะห์ข้อมูล 3) นำเทคโนโลยีมาใช้ประโยชน์จริงในการวิเคราะห์ข้อมูลเพื่อติดตาม ผลหรือตรวจสอบด้านการปฏิบัติด้านการควบคุมภายในที่วางไว้ 4) ใช้เทคโนโลยีมาช่วยในการสร้าง Dashboard/Report แบบ อัตโนมัติ เพื่อสามารถติดตามผลได้ทันที 5) มีเทคโนโลยีที่เพียงพอ ในการส่งมอบการกำกับการปฏิบัติตาม กฎเกณฑ์ การฝึกอบรมที่จำเป็น 6) สามารถใช้ประโยชน์จากเทคโนโลยีในการอำนวยความสะดวก กระบวนการวิเคราะห์และประเมินความเสี่ยง หลักการที่ 19 การสื่อสารข้อมูลความเสี่ยง ข้อมูลสารสนเทศความเสี่ยง เป็นทั้งบทเรียนที่เรียนรู้และเส้นแห่งการ เรียนรู้ ซึ่งจำเป็นต้องมีแผนด้านการสื่อสารและอยู่ในแผนงาน/ โครงการ C&E งานกำกับการปฏิบัติตามกฎเกณฑ์ต้องมีปฏิสัมพันธ์ร่วมกับทุก หน่วยงานภายในองค์กร ทำหน้าที่เป็นพันธมิตรความเสี่ยง ช่วยในการ ระบุ และบริหารจัดการความเสี่ยงที่เกี่ยวข้อง งานกำกับการปฏิบัติตามกฎเกณฑ์ทำหน้าที่ในการฝึกอบรม และให้ ข้อมูลผ่านช่องทางและรูปแบบอื่น เพื่อสร้างการตอบสนองต่อความ เสี่ยงได้อย่างเหมาะสมและทันท่วงที 1) ทำให้มั่นใจว่าบุคลากรทุกคนได้รับการสื่อสารชัดเจนอย่าง สม่ำเสมอเกี่ยวกับบทบาทความรับผิดชอบของตนที่เกี่ยวข้องกับ แผนงาน/โครงการ C&E 2) เป็นเงื่อนไขที่จำเป็นของการรายงานผลงานของ CCO ต่อ คณะกรรมการ
90 COMPLIANCE GUIDEBOOK เล่มที่ 1 3) การสื่อสารช่วยสร้างกิจกรรมการประชาสัมพันธ์ สร้างความเข้าใจ รณรงค์ จนมั่นใจว่า มีความเข้าใจเกี่ยวกับนโยบายที่เกี่ยวข้อง อย่างครบถ้วน 4) จัดให้มีการสื่อสาร Compliance Risk ที่มีความจำเป็นเพื่อ สนับสนุน และเพื่อดำเนินการที่เกี่ยวข้องกับการอบรม และการส่ง ต่อความรับผิดชอบในหน้าที่ด้านการกำกับการปฏิบัติตาม กฎเกณฑ์ 5) การสื่อสารที่เป็นการเพิ่มการเข้าไปมีส่วนร่วมเพื่อทำให้เกิดการ ปฏิสัมพันธ์สองทาง หลักการที่ 20 การรายงานความเสี่ยง วัฒนธรรม และผลดำเนินงาน การรายงานมีความสัมพันธ์กับการสื่อสาร โดยเฉพาะในส่วนของ ประเด็นความเสี่ยง วัฒนธรรมที่เกี่ยวข้องและผลการดำเนินงาน ประเด็นความเสี่ยงที่เกี่ยวข้องกับการกำกับการปฏิบัติตามกฎเกณฑ์ ผู้มีส่วนได้ส่วนเสีย ทั้งภายในและภายนอก ล้วนมีบทบาทความ รับผิดชอบในการกำกับติดตามและประเมินภาพในองค์รวมของความ เสี่ยง COMPLIANCE RISK OVERSIGHT ผ่านรายงานที่นำเสนอ เกี่ยวกับ ➢ กระบวนการวิเคราะห์และประเมินความเสี่ยง ➢ การตอบโต้ความเสี่ยงที่มีการออกแบบและนำไปใช้จริง ➢ ตัวชี้วัดและวิธีการวัดผลดำเนินงานด้านการบริหารความเสี่ยง ➢ พัฒนาการของวัฒนธรรมการตื่นตัวต่อความเสี่ยง รายงานที่จัดทำจำเป็นต้องมีความสอดคล้องกับผู้รับข้อมูล และ นำไปใช้ประโยชน์ได้อย่างเหมาะสม 1) จะทำรายงานอย่างสม่ำเสมอ เกี่ยวกับการวิเคราะห์ความเสี่ยง การแก้ไขปรับปรุง โดยดัดแปลงให้เหมาะสมกับผู้รับรายงาน 2) พัฒนาและรายงาน ตัวชี้วัดผลการดำเนินงานที่สำคัญ เพื่อสะท้อน ประสิทธิผลของแผนงานโครงการ C&E 3) การนำเสนอรายงานต่อผู้บริหารที่เกี่ยวข้องถึงความคืบหน้าและ ความสำเร็จของการฝึกอบรม
91 COMPLIANCE GUIDEBOOK เล่มที่ 1 4) ใช้กรณีศึกษา เพื่อปรับปรุงระบบรายงานให้สามารถไต่สวนและ สอบสวนข้อเท็จจริงได้อย่างเหมาะสม 5) จัดวางและติดตามนโยบาย ที่มีการแก้ไขปรับปรุงสถานการณ์ มาตรฐาน COSO ERM 2017 ที่ปรับใช้กับการกำกับการปฏิบัติตามกฎเกณฑ์มี ความสำคัญเพราะช่วยให้องค์กรและผู้ปฏิบัติงานที่เกี่ยวข้องมีความชัดเจนในรายละเอียดของการ ออกแบบองค์ประกอบของการกำกับการปฏิบัติตามกฎเกณฑ์ให้ครบถ้วนตาม 20 หลักการดังกล่าว ข้างต้น
92 COMPLIANCE GUIDEBOOK เล่มที่ 1 บทที่ 4 มาตรฐานสากล 3: GRC ของ OCEG GRC เป็นมาตรฐานที่เกิดขึ้นจากการใช้บทเรียนวิกฤติแฮมเบอร์เกอร์เป็นต้นแบบในการยก ร่าง มุ่งที่จะยกระดับความรับผิดชอบจัดการที่เน้นการกำกับดูแลที่ดีขึ้นไปสู่ระดับ คณะกรรมการรับผิดชอบ เพื่อกำกับฝ่ายบริหารอีกชั้นหนึ่ง ไม่ปล่อยให้ฝ่ายจัดการ ดำเนินการ 3 ด้านเองตามลำพัง โดยมีการปรับปรุงตัวมาตรฐานมาตามลำดับจนครอบคลุม ถึงความรับผิดชอบต่อสังคมและสิ่งแวดล้อม 1. หลักการ เหตุผล ความเป็นมา มาตรฐาน Integrated GRC ขององค์กรระหว่างประเทศ OCEG เป็นกรอบแนวคิดการ บริหารงานกำกับดูแลความเสี่ยงที่ให้ความสำคัญกับการพิจารณา ตัดสินใจ การบริหารงานกำกับดูแล ความเสี่ยงโดยคณะกรรมการกิจการร่วมกับผู้บริหารกิจการในการบริหารจัดการความเสี่ยงแบบองค์
93 COMPLIANCE GUIDEBOOK เล่มที่ 1 รวมขององค์กร ซึ่งสามารถนำมาปรับใช้กับองค์กรหรือกิจการขนาดใหญ่ มีเครือข่ายของบริษัทในเครือ จำนวนมาก คำนึงถึงปัจจัยเสี่ยงและตัวขับเคลื่อนมาจากผู้มีส่วนได้ส่วนเสีย คือ GRC ซึ่งมีหลักการ เงื่อนไขและข้อกำหนดที่มีความแตกต่างจากกรอบแนวคิดในการประเมินตนเองเพื่อบรรลุวัตถุประสงค์ ทางธุรกิจของตนเองเป็นหลักอย่างค่าย COSO ทำให้ต้องเปิดรับกรอบแนวคิด GRC อย่างเปิดกว้าง เพื่อทำความเข้าใจอย่างเพียงพอ จนสามารถนำเอาไปใช้ประโยชน์ได้จริง GRC – Governance, Risk Management and Compliance เป็นหนึ่งในแนวคิดของ การบริหารจัดการสมัยใหม่ที่เน้นจริยธรรม การกำกับดูแลที่ดี ความมีคุณธรรมและโปร่งใสขององค์กร ทำให้มาตรฐานนี้อาจจะเป็นหนึ่งในความคาดหวังของผู้ถือหุ้น ผู้มีส่วนได้ส่วนเสีย ผู้ทำหน้าที่กำกับดูแล การดำเนินองค์กรทั้งหลาย ส่วนหนึ่งเพราะความขัดเจนของมาตรฐานที่ยกระดับคำที่เป็น key word มาวางไว้ให้ชัดเจน รวมทั้งการที่นำเอาคำว่า Compliance มาปรากฏอย่างชัดเจนในชื่อของมาตรฐาน ไม่ได้เป็นเพียงคำที่ต้องค้นหาเชิงลึกภายในมาตรฐานเหมือนกับกรณีของ COSO 2013 หรือ SOX Act ในแต่ละประเด็นของ GRC มีเรื่องที่เป็นประเด็นค้างคาและเคลือบแคลงของบรรดาผู้ที่เกี่ยวข้อง ภายนอกองค์กรที่ได้กล่าวมาแล้ว จากบทเรียนที่เกิดวิกฤติแฮมเบอร์เกอร์ว่าผู้บริหารทำการตัดสินใจใน แบบจรรยาบรรณวิบัตินี้เองได้เองทั้งหมดหรือ โดยไม่มีคณะกรรมการมารู้เห็น ซึ่งหากคณะกรรมการ ขององค์กรได้มีโอกาสรับรู้และทำความเข้าใจได้ก่อน ก็จะเป็นประโยชน์ในการเตือน การควบคุม การ กำกับเพื่อจัดการกันเองให้เพียงพอภายในองค์กร จึงได้นำเอาแนวคิดนี้ไปใช้เป็นส่วนหนึ่งของการกำกับ ดูแลองค์กรที่ดีให้ชัดเจนในแบบของมาตรฐานสากล
94 COMPLIANCE GUIDEBOOK เล่มที่ 1 GRC เป็นมาตรฐานที่ออกมาใช้จากองค์กรไม่แสวงหากำไรที่ชื่อ Open Compliance and Ethics Group (OCEG) เป็นกลุ่มองค์กรที่รวมตัวและถือกำเนิดขึ้นมา เพื่อคิดริเริ่มสร้างสรรค์ใน ลักษณะที่เป็น Think Tank ที่จะช่วยองค์กรในการจัดการปัญหาด้านกลยุทธ์ ด้านการดำเนินงาน และ ด้านเทคนิค ที่มืออาชีพประสบ เมื่อพยายามจะนำเทคโนโลยีสารสนเทศ (ไอที) ไปใช้ในการจัดการด้าน การควบคุม การบริหารความเสี่ยง การปฏิบัติตามกฎระเบียบ (GRC) และจริยธรรม โดย OCEG มี บทบาทสำคัญในด้านการพัฒนาโครงสร้างและแนวทางปฏิบัติที่ดีที่สุด ที่ผ่านมา OCEG ได้พัฒนามาตรฐาน แนวพึงปฏิบัติที่ดี เครื่องมือบริหารจัดการ และองค์ ความรู้ทางออนไลน์เพื่อรองรับมาตรฐาน GRC ภายใต้กรอบแนวทางที่ชื่อว่า GRC Capability Model หรือ The Red Book เพื่อรองรับความต้องการขององค์กรต่างๆ เป็นกรอบแนวคิดแบบ OCEG (OCEG Framework) ที่ยึดโยงกับจริยธรรมอย่างเหนียวแน่น เชื่อว่าความมีจริยธรรมหรือธรรมาภิ บาลเป็นคำตอบสำคัญของการกำกับดูแลองค์กรที่ดี ตามจุดประสงค์ของการจัดตั้งองค์กรนี้ซึ่งGRC Capability Model ดังกล่าวข้างต้นเป็นแบบจำลองที่อธิบายกระบวนการดำเนินงานในการออกแบบ การจัดวาง การดำเนินงานจริง และการประเมินผลดำเนินงานของการจัดทำแผนงาน GRC ในองค์กร เสาหลักที่ 1 การกำกับดูแล (Governance) Governance รากฐานที่ต้องมาก่อน ประเด็นย่อย ๆ ที่เกี่ยวข้องกับ GRC สามารถประมวลออกมาเป็นคำถามได้ ดังนี้ หลักการที่ 1 องค์กรมีแนวทางในการยกระดับความรับผิดรับชอบ (Accountability) ของ บุคลากรที่มีอำนาจ หน้าที่ ความรับผิดชอบภายในองค์กรอย่างไร ทั้งในความ รับผิดรับชอบตามหน้าที่และความรับผิดรับชอบต่อสังคมที่เกิดจากการกระทำ ในนามขององค์กร หลักการที่ 2 องค์กรมีแนวทางในการเพิ่มคุณภาพของการส่งมอบสินค้าและการให้บริการ ในขณะที่ปรับลดต้นทุนลงเพื่อให้เกิดความคุ้มค่าและสร้างผลตอบแทนทาง การเงินได้อย่างไร หลักการที่ 3 องค์กรมีความมั่นใจได้อย่างไรว่าบุคลากรภายในฝ่ายงานต่าง ๆ จะมีความรู้ ความเข้าใจและความสามารถในการกำกับตนเองตามกรอบการกำกับดูแลที่ดี ได้อย่างเพียงพอ การดำเนินงานในส่วนของการกำกับดูแลที่ดีในอนาคตตามกรอบ GRC จึงควรที่จะพิจารณาใน ประเด็นสำคัญ คือ