คณะกรรมการบริหารความเสี่ยง : กลไกสำคัญขององค์กร เมื่อความเสี่ยงอยู่รอบตัว
.jpg)
ความเสี่ยงเป็นเรื่องใกล้ตัวและอยู่รอบตัวเราทุกคน ตั้งแต่ลืมตาตื่นขึ้นมา เชื่อว่าทุกคนก็จะมีการวางแผนเพื่อบริหารความเสี่ยงที่อาจเกิดขึ้นในชีวิตประจำวันแบบไม่รู้ตัว ยกตัวอย่างเช่น การวางแผนการเดินทางเพื่อหลีกเลี่ยงปัญหาการจราจร หรือสภาพดินฟ้าอากาศที่แปรปรวน จนทำให้ฝนตกและน้ำท่วมอยู่บ่อยๆ หรือจะเป็นการวางแผนการทำงานตามสถานการณ์ที่ปรับเปลี่ยนอย่างรวดเร็วในแต่ละช่วงเวลา จากรูปแบบออฟไลน์เป็นออนไลน์หรือไฮบริด หรือการวางแผนการใช้จ่ายหรือลงทุน เพื่อป้องกันปัญหาด้านการเงิน ในสภาวะเงินเฟ้อจนเกิดวิกฤตค่าครองชีพ เป็นต้น
ในเชิงธุรกิจ หลายองค์กรได้รับผลกระทบจากความเสี่ยงที่เกิดขึ้นจากหลายเหตุการณ์ ไม่ว่าจะเป็นผลกระทบความเสี่ยงด้านความปลอดภัยไซเบอร์ ความผันผวนของอัตราแลกเปลี่ยนเงินตราต่างประเทศ การแพร่ระบาดของโรคโควิด-19 การเปลี่ยนแปลงด้านประชากร สังคม และพฤติกรรมของผู้บริโภค ตลอดจนสิ่งแวดล้อมและสภาพภูมิอากาศ ซึ่งความเสี่ยงอย่างหลังเป็นประเด็นความเสี่ยงสำคัญที่หลายๆองค์กรกำลังให้ความสนใจเป็นอย่างมาก จนได้มีการบริหารและจัดการเพื่อป้องกันผลกระทบที่อาจเกิดขึ้นจากความเสี่ยงนี้ร่วมกัน ผ่านการดำเนินธุรกิจ แนวทางการบริหาร และกลยุทธ์ของแต่ละองค์กร ยกตัวอย่างเช่น ธุรกิจร้านกาแฟ ที่มีการรณรงค์ให้นำแก้วส่วนตัวมาใช้เมื่อมาซื้อกาแฟที่ร้าน ซึ่งจะได้ส่วนลด 5-10 บาท เพื่อช่วยลดการใช้แก้วพลาสติก ลดปัญหาขยะ แถมยังส่งเสริมภาพลักษณ์ของแบรนด์และก็ยังประหยัดต้นทุนได้อีก นอกจากนี้ ยังมีตัวอย่างของการใช้รถยนต์หรือมอเตอร์ไซด์ไฟฟ้า (Electric Vehicle (EV)) ในการให้บริการเดลิเวอรี่ถึงบ้านของ 7-Eleven ในพื้นที่กรุงเทพและปริมณฑล เพื่อช่วยประหยัดน้ำมันและลดมลพิษได้ในเวลาเดียวกัน และตัวอย่างของ “PaperLab” เครื่องรีไซเคิลกระดาษของ Epson ที่จะเปลี่ยนกระดาษใช้แล้วขององค์กรให้กลายเป็นกระดาษแผ่นใหม่ได้เลยทันที ซึ่งการดำเนินการดังกล่าวนี้ยังช่วยแก้ปัญหาเรื่องข้อมูลภายในองค์กรที่อาจจะรั่วไหลออกไปภายนอกได้อีกด้วย
ในการดำเนินงานด้านการบริหารความเสี่ยงนั้น แต่ละองค์กรก็จะมีโครงสร้างการบริหารความเสี่ยง (Risk Structure) ที่แตกต่างกันไปตามลักษณะ ขนาด ความซับซ้อนทางธุรกิจ และกฏหมายที่เกี่ยวข้อง ในกิจการขนาดเล็กที่มีลักษณะการประกอบธุรกิจและโครงสร้างไม่ซับซ้อนมากนัก คณะกรรมการมักทำหน้าที่เป็นคณะกรรมการบริหารความเสี่ยงไปในตัว ในขณะที่กิจการขนาดกลาง มักมีการมอบหมายให้คณะกรรมการชุดย่อยในปัจจุบันให้ดูแลเรื่องความเสี่ยงเพิ่มเติมอย่างเช่น คณะกรรมการตรวจสอบ เป็นต้น แต่สำหรับกิจการขนาดใหญ่หรือกิจการซึ่งประกอบธุรกิจที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา มักจะมีการพิจารณาจัดตั้ง “คณะกรรมการบริหารความเสี่ยง” (Risk Management Committee) แยกต่างหากออกมา เพื่อกำกับดูแลและบริหารความเสี่ยงขององค์กรโดยตรงอย่างเต็มที่
โดยคุณสมบัติของผู้ที่จะดำรงตำแหน่งในคณะกรรมการบริหารความเสี่ยงนั้น ควรจะต้องเป็นผู้ที่มีความรู้เกี่ยวกับลักษณะการประกอบธุรกิจของบริษัทและอุตสาหกรรม อีกทั้งยังควรมีวิสัยทัศน์และความสามารถในการวิเคราะห์ และคาดการณ์เหตุการณ์ในอนาคตได้อย่างรอบด้านและสมเหตุสมผล มีความเป็นผู้นำและกล้าตัดสินใจ ตลอดจนมีความรู้เกี่ยวกับวิธีการบริหารความเสี่ยงนั้นๆ ทั้งนี้ เพื่อลดผลกระทบที่อาจเกิดขึ้นกับองค์กรและผู้มีส่วนได้เสีย หรืออาจจะสร้างโอกาสใหม่ๆให้กับธุรกิจก็ได้ด้วยเช่นเดียวกัน
ซึ่งบทบาทและหน้าที่หลักของคณะกรรมการบริหารความเสี่ยง มีดังต่อไปนี้
· พิจารณากลั่นกรองร่างนโยบายและกรอบการบริหารความเสี่ยงองค์กร ก่อนนำเสนอต่อคณะกรรมการเพื่อพิจารณาอนุมัติ
· พิจารณาผลการประเมินความเสี่ยงและแผนบริหารจัดการความเสี่ยงเหล่านั้น พร้อมให้ข้อเสนอแนะหรือแนวทางลดผลกระทบของความเสี่ยงต่างๆ ให้อยู่ในระดับที่ยอมรับได้ เพื่อให้มั่นใจว่ากิจการมีระบบการบริหารจัดการความเสี่ยงที่เพียงพอและเหมาะสม
· ให้ข้อชี้แนะ/คำแนะนำแก่คณะกรรมการบริษัท ตลอดจนฝ่ายจัดการ ในด้านการบริหารความเสี่ยง รวมถึงส่งเสริมให้กิจการมีการพัฒนากรอบ/ระบบการบริหารความเสี่ยงภายในกิจการอย่างต่อเนื่อง
· ดูแลให้มีการสอบทานกรอบ/นโยบายการบริหารความเสี่ยงอย่างสมํ่าเสมอ เพื่อให้มั่นใจว่ากรอบ/นโยบายดังกล่าว ยังคงสอดรับกับบริบทและสภาพแวดล้อมการดำเนินธุรกิจของกิจการ
· รายงานความเสี่ยงสำคัญ สถานะของความเสี่ยง ตลอดจนความคืบหน้าหรือผลการบริหารจัดการความเสี่ยงเหล่านั้นให้คณะกรรมการทราบเป็นประจำ
อย่างไรก็ตาม เพื่อที่จะตอบโจทย์และจัดการกับประเด็นความเสี่ยงที่อยู่รอบตัวในบริบทของโลกธุรกิจที่มีความซับซ้อนมากขึ้นเรื่อยๆ นั้น คณะกรรมการบริหารความเสี่ยงควรขยายขอบเขตของคุณสมบัติและบทบาทหน้าที่ในเชิงลึกมากขึ้น เพื่อที่จะสามารถกำกับดูแลคณะทำงานด้านความเสี่ยง (ฝ่ายจัดการ) ได้อย่างเข้าใจ สอดคล้อง และส่งเสริมซึ่งกันและกันมากขึ้น ด้วยแนวคิดและหลักการดังต่อไปนี้
1. เข้าใจถึงปัญหาหลังเหตุการณ์ มองปัจจุบันอย่างลึกซึ้ง พร้อมวิเคราะห์และคาดการณ์ไปถึงอนาคต (From hindsight to insight to foresight)
วิธีการบริหารความเสี่ยงด้วยการอาศัยข้อมูลที่ผ่านมาอย่างเดียวนั้นอาจไม่เพียงพอและเหมาะสมกับสถานการณ์ปัจจุบันเท่าไรนัก การใช้เทคนิคอย่างการวิเคราะห์ข้อมูลเชิงลึก (Data Analytics) และพฤติกรรมศาสตร์ (Behavioral Science) หรือการนำชุดข้อมูลความเสี่ยงที่ทันสมัยมาวิเคราะห์ เช่น ข้อมูลเชิงลึกที่ละเอียดว่าผู้คน “รู้สึก” อย่างไร (Stakeholder Sentiment) และการใช้ปัจจัยด้านสิ่งแวดล้อม สังคม และการกำกับดูแล ภายนอกบริษัท (ESG factors in third parties) เป็นต้น ก็จะช่วยให้ทราบถึงตัวชี้วัดความเสี่ยง (Risk Indicators) แนวโน้ม (Trends and Patterns) และข้อมูลขององค์กรรอบข้าง โดยข้อมูลที่ได้มานี้จะช่วยระบุอุปสรรค โอกาส และความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) ได้ ซึ่งวิธีการเหล่านี้จะมีความสำคัญและจำเป็นมากขึ้นเรื่อยๆ ตามการเปลี่ยนแปลงที่เกิดขึ้นอย่างรวดเร็วในทุกวันนี้
2. คำนึงถึงเป้าหมายในการดำเนินธุรกิจขององค์กร มีการวางแผนบริหารความเสี่ยง อย่าปล่อยให้ธุรกิจหยุดชะงัก (Commerciality: being a safety belt rather than handbrake)
การบริหารความเสี่ยงแบบกล้าๆกลัวๆ (Risk Averse) หรือแบบที่จะต้องรู้ข้อมูลทั้งหมดก่อนแล้วจึงจัดการได้ คงไม่ตอบโจทย์กับสถานการณ์ในปัจจุบัน ที่ต้องอาศัยการดำเนินการตามแผนงานที่ต้องเป็นไปอย่างรวดเร็ว เหมาะสม เพียงพอ และปลอดภัย ซึ่งการกำหนดแนวทางและแผนงานการบริหารความเสี่ยงขององค์กรนั้นจะต้องสนับสนุนเป้าหมายในการดำเนินธุรกิจขององค์กร โดยทั้งคณะกรรมการบริหารความเสี่ยงและคณะทำงานด้านความเสี่ยงควรมีความยืดหยุ่น (Agile) รู้จักตัดสินใจได้อย่างทันท่วงทีจากข้อมูลที่เพียงพอ ซึ่งอาจจะไม่สมบูรณ์แบบ 100% และหากตัดสินใจพลาด ก็ควรยอมรับให้เร็วและรีบปรับปรุงแก้ไข ดีกว่าปล่อยให้เกิดการหยุดชะงักทางธุรกิจ นอกจากนั้นแล้ว ควรมีการประเมินอยู่เสมอว่าทั้งคณะกรรมการบริหารความเสี่ยงและคณะทำงานด้านความเสี่ยงได้ทำหน้าที่สนับสนุนและส่งเสริมกลยุทธ์ขององค์กรได้อย่างมีประสิทธิภาพหรือไม่ ภายใต้เงื่อนไขด้านต้นทุนที่มีและระดับความเสี่ยงที่ยอมรับได้ โดยอาจมีการพูดคุยกันในประเด็นดังต่อไปนี้
· ระดับความเสี่ยงที่ยอมรับได้ที่กำหนดไว้นั้นมีความเหมาะสมสำหรับการป้องกันผลกระทบแล้วหรือไม่ และมีเกณฑ์ที่กำหนดระดับความเสี่ยงที่ยอมรับได้ ทั้งในระดับต่ำและสูง ไว้อย่างชัดเจนแล้วหรือไม่
· มีการวิเคราะห์เชิงเปรียบเทียบเกี่ยวกับประสิทธิภาพของมาตรการควบคุมต่างๆกับต้นทุนและความคุ้มค่าแล้วหรือไม่
· ได้มองหาโอกาสทางธุรกิจจากความเสี่ยงที่เกิดขึ้นหรือไม่
· การทำงานมุ่งเน้นไปที่กระบวนการและการรายงานแบบเดิมมากจนเกินไป จนทำให้ไม่สามารถบริหารจัดการเชิงรุกได้หรือไม่
3. ล้มแล้วรีบลุก ยืดหยุ่นปรับแผน คิดเสมอว่าจะรับมืออย่างไรเมื่อความเสี่ยงเกิดขึ้น (Resilience: ‘when’ not ‘if’ events occur)
ในโลกที่ทุกอย่างนั้นเชื่อมโยงกันอย่างทั่วถึง เรื่องหนึ่งเรื่อง เหตุการณ์หนึ่งเหตุการณ์ อาจก่อให้เกิดผลเสียต่อผู้มีส่วนได้เสียอีกมากมาย ดังนั้น การลดความเสี่ยงด้วยมาตรการควบคุมภายในขององค์กรเพียงเท่านั้นคงไม่พอ ความเร็วและคุณภาพของการโต้ตอบและการสื่อสารขององค์กรเป็นอีกวิธีหนึ่งที่จะใช้จัดการกับสถานการณ์ที่ไม่สามารถหลีกเลี่ยงได้ โดยเฉพาะอย่างยิ่ง เรื่องความเสี่ยงด้านไซเบอร์ (Cyber Risks) ซึ่งกลายเป็นเรื่องที่สำคัญมากขึ้น ในยุคที่โซเชียลมีเดีย (Social Media) และแนวคิดการบริหารแบบทุนนิยมที่คำนึงถึงผู้มีส่วนได้เสียเป็นหลัก (Stakeholder Capitalism) เข้ามาทำให้การควบคุมดูแลเพื่อปกป้องชื่อเสียงและแบรนด์นั้นเป็นไปได้ยากมากขึ้นเรื่อยๆ ไม่ว่าจะเป็นการโพสท์แสดงความคิดเห็น หรือการสร้างข่าวปลอม (Fake News) เว็บไซต์ปลอม บัญชีผู้ใช้งานโซเชียลมีเดียปลอม เป็นต้น ดังนั้น การตอบโต้อย่างรวดเร็วและการสื่อสารจึงเข้ามามีบทบาทที่จะช่วยให้ผลกระทบจากความเสี่ยงนั้นบรรเทาลง อีกทั้งยังทำให้องค์กรสามารถมองหาทางออกจากการพร้อมที่จะปรับตัวให้ทันต่อเหตุการณ์อยู่ตลอดเวลาได้อีกด้วย
4. เสริมกำลังด้วยเครื่องมือที่จำเป็น (Tooling up)
การเรียนรู้หรืออัปเดตทักษะ ชุดข้อมูล และเครื่องมือในการทำงานอยู่เสมอ เพื่อให้สามารถรับมือกับสิ่งที่เกิดขึ้นในโลกปัจจุบันได้อย่างเข้าใจและทันท่วงทีนั้นเป็นเรื่องสำคัญและจำเป็นอย่างมาก หลายองค์กรได้นำข้อมูลและเทคโนโลยีสมัยใหม่มาพัฒนาการบริหารความเสี่ยงขององค์กรให้มีประสิทธิภาพมากขึ้น บางองค์กรมีการนำซอฟต์แวร์หุ่นยนต์มาทำงานแทนคน เพื่อให้การทำงานเป็นแบบอัตโนมัติ ลดความผิดพลาดที่เกิดขึ้น มีประสิทธิภาพมากขึ้น และทำงานได้ตลอด 24 ชั่วโมง (Robotic Process Automation (RPA)) อีกทั้งยังมีการใช้ข้อมูลตั้งแต่อดีตจนถึงปัจจุบันเพื่อคาดการณ์อนาคต (Data Analytics) และยังมีการใช้ระบบประมวลผลที่มีการวิเคราะห์ข้อมูลเชิงลึก (Artificial Intelligence (AI)) ที่จะมาเปลี่ยนโลกที่เต็มไปด้วยข้อมูลที่มีโครงสร้างชัดเจน หรือระบุได้ด้วยตัวเลข พร้อมใช้งานได้ทันที (Structured Data) เช่น จำนวนการซื้อขายกับลูกค้า เปอร์เซ็นต์ความเคลื่อนไหวภายในตลาดหุ้น เป็นต้น และข้อมูลที่ไม่มีโครงสร้าง หรือไม่สามารถระบุความแน่นอนของข้อมูลได้ และยังไม่สามารถประมวลผลเพื่อนำไปใช้ได้โดยทันที (Unstructured Data) เช่น บทสนทนาโต้ตอบกับลูกค้าทางโซเชียลมีเดีย เป็นต้น ให้มาเป็นข้อมูลที่สามารถนำมาใช้งานได้ทันที ซึ่งนั่นหมายถึงการที่องค์กรจะสามารถระบุความเสี่ยงเกิดใหม่ที่น่ากังวลสำหรับองค์กรได้อย่างรวดเร็ว หรือจะเป็นโปรแกรมบริหารความเสี่ยงและการปฏิบัติตามข้อกำหนดมาตรฐาน (eGRC) ที่สามารถรวบรวมข้อมูลที่สามารถตรวจสอบได้ เชื่อถือได้ มีความเชื่อมโยงของระบบฐานข้อมูลทั้งในด้านไอที การเงิน งานปฏิบัติการ การปฏิบัติตามกฎระเบียบและข้อบังคับ และการตรวจสอบภายใน เพื่อการบริหารและจัดการความเสี่ยงแบบอัตโนมัติมากขึ้น
เครื่องมือเหล่านี้จะช่วยเข้ามาสนับสนุนการติดตามดูแลการบริหารความเสี่ยงให้เป็นไปอย่างต่อเนื่องมากขึ้น โดยจะเห็นการแสดงผลแบบ Real-time ซึ่งสามารถประเมินมาตรการควบคุมตามแผนงาน และรายงานผลได้ทันที ซึ่งนั่นหมายถึงการที่องค์กรจะสามารถปรับปรุงหรือพัฒนาวิธีการจัดการความเสี่ยงนั้นๆได้ทันทีเช่นเดียวกัน นอกจากนั้นแล้ว เครื่องมือเหล่านี้ยังช่วยพัฒนาประสิทธิภาพในการทำงาน โดยช่วยลดเวลาในการทำงานที่จะต้องเสียไปกับการค้นหา รวบรวม และวิเคราะห์ข้อมูล ซึ่งจะทำให้มีเวลาใส่ใจกับงานอื่นๆที่สำคัญและจำเป็นเช่นเดียวกันได้มากขึ้น
5. มีทักษะที่หลากหลาย และมีกรอบความคิดหรือทัศนคติทางจิตใจที่เหมาะสม (Skills and mindset)
คณะกรรมการบริหารความเสี่ยงและคณะทำงานด้านความเสี่ยงควรประกอบไปด้วยบุคลากรที่มีทักษะ (Skills) ที่หลากหลาย และมีกรอบความคิดหรือทัศนคติทางจิตใจ (Mindset) ที่สามารถสนับสนุนองค์กรให้สามารถดำเนินธุรกิจได้ท่ามกลางบริบทของโลกดิจิทัลและให้ความสำคัญกับผู้มีส่วนได้เสียมากขึ้นอย่างในปัจจุบันนี้ ซึ่งควรประกอบไปด้วยบุคลากรที่มีคุณสมบัติต่อไปนี้
· มีความเข้าใจเรื่องความเสี่ยงที่มากไปกว่าข้อมูลความเสี่ยงทั่วๆไป หรืออาจเป็นผู้เชี่ยวชาญเฉพาะทางที่เข้าใจในเรื่องข้อมูลความเสี่ยง (Risk Profile) ในปัจจุบัน ซึ่งรวมไปถึงผู้เชี่ยวชาญที่ไม่ได้อยู่ในธุรกิจองค์กรโดยตรง แต่มีความรู้เกี่ยวกับความเสี่ยงที่เกิดขึ้นในปัจจุบันเป็นอย่างดีอีกด้วย
· เป็นคนที่ทำงานในส่วนงานอื่น ที่ไม่ใช่ทีมบริหารความเสี่ยงขององค์กร ซึ่งมีความเข้าใจถึงการทำธุรกิจ วัฒนธรรม และการเปลี่ยนแปลงที่เกิดขึ้นในองค์กรที่ผ่านมาโดยตลอด และสามารถเป็นผู้สนับสนุนในการสร้างวัฒนธรรมความเสี่ยง (Risk Culture) ที่เหมาะสมได้
· เป็นคนที่มีความรอบรู้เกี่ยวกับธุรกิจองค์กร และมีความสามารถในการระบุ ประเมิน และจัดการกับความเสี่ยงที่เกิดใหม่ และส่งผลกระทบต่อองค์กรได้อย่างเหมาะสม
· มีความยืดหยุ่น พร้อมเรียนรู้ และต้องเข้าใจในความหลากหลายทางความคิด เพื่อให้ได้มาซึ่งแนวทางใหม่ในการทำงานหรือเพื่ออุดรอยรั่วของแนวทางเดิม
คณะกรรมการบริหารความเสี่ยง ในฐานะผู้กำกับดูแลการบริหารความเสี่ยงขององค์กรโดยตรง จำเป็นอย่างยิ่งที่จะต้องหมั่นอัปเดตชุดทักษะ (Skillset) และแนวทาง (Approach) ในการทำงานให้พร้อมรับมือกับความเสี่ยงอยู่ตลอดเวลา ทั้งนี้ เพื่อป้องกันการหยุดชะงักในการดำเนินธุรกิจขององค์กร หรืออาจถึงขั้นล่มสลายเลยก็เป็นได้ อย่างไรก็ตาม หากสามารถบริหารและจัดการกับความเสี่ยงได้มีประสิทธิภาพ องค์กรก็จะอยู่ต่อไปได้ อีกทั้งยังอาจทำให้มองเห็นโอกาสทางธุรกิจใหม่ๆ จากผลกระทบของความเสี่ยงที่เกิดขึ้น จนนำมาสร้างคุณค่าให้กับองค์กรต่อไปในระยะยาว (Long-Term Value) อีกด้วยก็เป็นได้
รตนพรรษ เยาวบุตร
Senior CG Specialist
สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย
ที่มา : พัฒนามาจาก
1) แนวปฏิบัติที่ดีสำหรับคณะกรรมการด้านการบริหารความเสี่ยง สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย
2) Risk 2.0: Rebooting for Modern Risk Management (part 2), The Risk Coalition, August 17, 2022
|
