Testimonials FAQ Photo Gallery Contact Us Mail to Friend
Home Director Training Seminars & events News Join IOD IOD Members Projects Publications IOD Shop About IOD
GRC Series - บริหารความเสี่ยงอย่างไรให้องค์กรยั่งยืน

GRC Series - บริหารความเสี่ยงอย่างไรให้องค์กรยั่งยืน


โดย วารุณี ปรีดานนท์
หุ้นส่วนสายงานบริหารความเสี่ยงและตรวจสอบภายใน
บริษัท PwC ประเทศไทย


เราทราบดีว่าโลกธุรกิจวันนี้กำลังเผชิญกับความท้าทายหลากหลายด้าน ซึ่งหากบริษัทใดมีความพร้อมและสามารถบริหารจัดการตนเองอย่างเป็นระบบตลอดเวลา ก็จะสามารถรับมือกับความท้าทายได้อย่างมีประสิทธิภาพ ในทางตรงกันข้าม หากผู้บริหารรายใดไม่ได้มีการวางแผนบริหารความเสี่ยงและเหตุการณ์ที่ไม่คาดฝันไว้ล่วงหน้า ก็จะทำให้ธุรกิจพลาดโอกาสในการเติบโต หรือเปลี่ยนผ่านองค์กรไปสู่ความเปลี่ยนแปลงใหม่ ๆ ไม่ทันคู่แข่ง

บทความเรื่อง เทรนด์ธุรกิจโลกหลังยุคโควิดในมุมมองของผู้บริหาร ของ PwC ประเทศไทย ชี้ให้เห็นว่า ผู้บริหารในยุคโควิด-19 ต้องใช้แนวทางบริหารที่ต่างไปจากยุคเศรษฐกิจถดถอยเมื่อปี 2552 โดยสิ่งที่สำคัญคือ ผู้บริหารในยุคนี้จะต้องหมั่นแสวงหาโอกาสและกลยุทธ์ใหม่ ๆ เพื่อก้าวไปข้างหน้า แตกต่างกับผู้บริหารในยุคก่อนที่มักบริหารงานเพียงเพื่อให้ธุรกิจอยู่รอดเมื่อผลกระทบจากเหตุการณ์ใดเหตุการณ์หนึ่งเกิดขึ้น เช่น เมื่อมีปัญหาเกิดขึ้น ผู้บริหารตัดสินใจเลิกจ้างงาน หาทางลดต้นทุน หรือปรับปรุงวิธีบริหารเงินทุนหมุนเวียน เป็นต้น

การบริหารที่แตกต่างกันในสองยุคนี้ แสดงให้เห็นชัดเจนว่า ผู้บริหารที่ตระหนักในเรื่องของการบริหารความเสี่ยงจะสามารถก้าวต่อไปได้ในวันข้างหน้า ส่วนผู้บริหารที่ไม่ได้ตระหนัก หรือให้ความสำคัญในการแก้ปัญหาระยะสั้น ก็จะทำให้องค์กรอยู่รอดได้เป็นครั้ง ๆ ไปเท่านั้น ไม่ใช่อยู่ได้แบบยั่งยืน หรือหากเจอสถานการณ์ที่วิกฤต ก็อาจทำให้ธุรกิจนั้น ๆ ต้องพบกับจุดจบได้

ผู้บริหารยุคใหม่จึงควรเข้าใจและนำหลักการการกำกับดูแลกิจการ การบริหารความเสี่ยง และการกำกับการปฏิบัติตามกฎเกณฑ์ (Governance, Risk and Compliance หรือ GRC) มาประยุกต์ใช้ การบริหารงานแบบ GRC เกิดขึ้นจากการเรียนรู้สาเหตุของเหตุการณ์ทั้งหลายในโลกที่ทำให้องค์กรเกิดการสูญเสีย เช่น การกำหนดกลยุทธ์ที่มีเป้าหมายสูงเกินไป การตกแต่งงบการเงิน และการกระทำความผิดทางกฎหมายที่ทำให้ต้องเสียค่าปรับจำนวนมาก เป็นต้น

แม้ว่าวันนี้องค์กรหลายแห่งจะได้ให้ความสำคัญในการบริหารความเสี่ยง ควบคู่ไปกับการให้ความสำคัญกับการปฏิบัติตามกฎหมายและระเบียบข้อบังคับ แต่ก็มีบริษัทจำนวนไม่น้อยที่ยังมีช่องโหว่ในการมองปัญหาให้สอดรับกันตั้งแต่ระดับกลยุทธ์ไปสู่การปฏิบัติ เช่น องค์กรขนาดใหญ่แห่งหนึ่งต้องการเพิ่มรายได้และผลกำไร จึงตั้งเป้ายอดขายที่สูงมาก ส่งผลให้พนักงานมีการตกแต่งและสร้างบัญชีลูกค้าใหม่ เพื่อทำให้เห็นว่า มีคำสั่งซื้อใหม่เข้ามา ต่อมาภายหลังจึงทราบว่า พนักงานหลายฝ่ายได้ใช้ชื่อลูกค้ามาเปิดบัญชีปลอม ทำให้องค์กรกระทำผิดกฎหมายและต้องจ่ายค่าปรับราคาแพง รวมทั้งกระทบกับชื่อเสียงองค์กรในระยะยาวอีกด้วย

กรณีศึกษานี้ทำให้เห็นว่า องค์กรขาดการกำกับดูแลที่ดี เพราะแม้ว่าจะมีกลยุทธ์แล้ว ก็ไม่ได้คิดว่าจะเกิดความเสี่ยงอะไรบ้าง จึงดำเนินงานไปเรื่อย ๆ ไม่ได้ควบคุมการทำงานที่มีจุดเสี่ยง ซึ่งถือว่าเป็นการบริหารงานแบบไม่บูรณาการตามหลัก GRC เพราะกำหนดกลยุทธ์แล้ว ไม่ได้พิจารณาให้ครบวงจรว่า จะปฏิบัติให้สำเร็จลุล่วงได้อย่างไร

หลักการ GRC ช่วยบริหารความเสี่ยงได้ทันเวลา

หลักการ GRC นำไปสู่การบูรณาการการกำกับดูแลกิจการ การบริหารความเสี่ยง และการปฏิบัติตามกฎระเบียบให้เป็นกระบวนการเดียวกัน ซึ่งแม้ว่าแต่ละหน่วยงานจะแยกออกจากกัน แต่ในทางปฏิบัติถือว่าอยู่ภายใต้กรอบเดียวกัน เริ่มต้นจากกรรมการบริษัทและซีอีโอ ไปจนถึงพนักงานทุกคนในองค์กร

สำหรับการนำหลักการ GRC มาประยุกต์ใช้ ควรเริ่มจากการกำหนดกลยุทธ์ แล้วประเมินความเสี่ยงที่อาจสร้างความเสียหายให้กับองค์กร จากนั้นจึงมอบหมายให้หน่วยงานที่หน้าที่รับผิดชอบจัดการกับความเสี่ยงนั้น ๆ โดยคำนึงถึงการปฏิบัติตามกฎหมายและระเบียบที่เกี่ยวข้องด้วย

หากองค์กรยึดมั่นในหลักการนี้และนำไปปฏิบัติให้ถูกต้องอย่างสม่ำเสมอ องค์กรนั้น ๆ ก็จะสามารถก้าวไปสู่ความสำเร็จที่ยั่งยืน และเป็นองค์กรที่มีประสิทธิภาพ เพราะได้มีการกำกับดูแลกิจการ การบริหารความเสี่ยง และการปฏิบัติตามกฎระเบียบที่เชื่อมโยงกันอย่างเป็นระบบ ทำให้มีความพร้อมในการรับมือกับความเสี่ยงได้อย่างทันท่วงที

ทั้งนี้ องค์ประกอบสำคัญของ GRC ประกอบด้วย 4 เรื่องสำคัญ ได้แก่

1.     วัฒนธรรม หมายถึงความเชื่อแบบเดียวกันและการที่ทุกคนในองค์กรร่วมใจกันปฏิบัติตามแนวทางเดียวกัน ดังนั้น วัฒนธรรมตามหลัก GRC คือ การที่ทุกคนในองค์กรเชื่อและเห็นความสำคัญของการกำกับดูแลกิจการ การบริหารความเสี่ยง และการปฏิบัติตามกฎเกณฑ์ ต่อการดำเนินงานที่มีประสิทธิภาพ เพื่อบรรลุวัตถุประสงค์ขององค์กร

2.     การบริหารความเสี่ยง หมายถึงกระบวนการที่ถูกจัดให้ขึ้นเพื่อจัดการความไม่แน่นอนในอนาคตที่จะมีผลกระทบต่อกลยุทธ์ หรือวัตถุประสงค์ขององค์กร โดยความไม่แน่นอนนั้น ๆ อาจเป็นได้ทั้งโอกาสและความเสี่ยง

3.     การควบคุมภายใน หมายถึงกระบวนการที่จัดให้มีขึ้นและปฏิบัติกันทุกคนในองค์กร ตั้งแต่กรรมการบริษัท ผู้บริหาร ไปจนถึงพนักงาน เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ โดยสามารถแบ่งวัตถุประสงค์ออกเป็น 3 ประการ ได้แก่

    การดำเนินงานที่มีประสิทธิภาพ

    การมีรายงานที่เชื่อถือได้ทั้งรายงานทางการเงินและอื่น ๆ

    การปฏิบัติให้ถูกต้องตามกฎหมายและระเบียบต่าง ๆ

4.     การปฏิบัติตามกฎระเบียบ หมายถึงกระบวนการที่ช่วยควบคุมให้องค์กรปฏิบัติตามกฎหมาย ระเบียบ นโยบาย และประกาศต่าง ๆ ทั้งภายในและภายนอกองค์กร

องค์กรใดที่สามารถจัดองค์ประกอบเหล่านี้ให้เสมือนหนึ่งเป็นกระบวนการเดียวกันได้ ย่อมจะทำให้องค์กรนั้น ๆ มีความคล่องตัวในการปฏิบัติงาน และตอบสนองต่อความเสี่ยงและโอกาสได้อย่างมีประสิทธิภาพ เพื่อบรรลุวัตถุประสงค์ทางธุรกิจที่ต้องการ

ขอตัวอย่างองค์กรที่ไม่ได้นำหลักการ GRC ไปปฏิบัติจนเกิดความเสียหาย เช่น กรณีสถาบันการเงินขนาดใหญ่แห่งหนึ่ง ที่ต้องการเติบโตอย่างรวดเร็ว จึงตั้งเป้ายอดขายไว้สูงมาก โดยไม่ได้ให้ความสำคัญต่อความเสี่ยงที่อาจเกิดขึ้นต่อองค์กร ผู้บริหารระดับสูงมักสื่อสารกับพนักงานว่า ทำทุกอย่าง ที่ทำได้ เพื่อรายได้ของเราจนกลายเป็นความคิด (Mindset) และวัฒนธรรมขององค์กร

เมื่อพนักงานอยู่ภายใต้แรงกดดันในสภาพการทำงานแบบนี้ทุกวัน จนเกิดความเกรงกลัวต่อการทำงานไม่สำเร็จตามเป้าหมาย และอาจถูกไล่ออกจากงาน พนักงานหลาย ๆ คนจึงเริ่มปลอมแปลงยอดขายโดยสร้างบัญชีปลอมของลูกค้า เมื่อเวลาผ่านไป 2-3 ปี ทำให้บริษัทมีบัญชีปลอมของลูกค้ามากกว่า 1.5 ล้านบัญชี ความจริงมาถูกเปิดเผย เมื่อลูกค้าเริ่มร้องเรียนมายังบริษัทว่า ถูกเรียกเก็บเงินทั้ง ๆ ที่ไม่ได้สั่งซื้อสินค้าใด ๆ จากบริษัท

เมื่อได้มีการสอบสวนหาข้อเท็จจริง จึงพบว่า มีการทุจริตโดยปลอมยอดขายและบัญชีของลูกค้า ทำให้บริษัทต้องชดใช้ค่าเสียหายให้แก่ลูกค้าเป็นจำนวนมหาศาล รวมถึงต้องถูกลงโทษทางกฎหมายด้วย และยังได้รับผลกระทบด้านชื่อเสียงที่ทำให้ลูกค้าขาดความเชื่อถือต่อบริษัท กรณีศึกษานี้ทำให้เห็นว่า การตั้งเป้าหมาย หรือกลยุทธ์โดยที่ไม่ได้บูรณาการความเสี่ยงและการควบคุมภายใน ประกอบกับการสร้างวัฒนธรรมองค์กรที่ไม่ได้มุ่งเน้นการป้องกันความเสี่ยง นำไปสู่ความเสียหายที่กว่าจะทราบเรื่องราวที่เกิดขึ้น ก็เกิดความเสียหายที่เกินกว่าจะป้องกันได้แล้ว

เราจะเห็นได้ว่า หลักการ GRC เป็นเรื่องที่มีรายละเอียดค่อนข้างมาก และต้องอาศัยการมีแนวทางการพัฒนา (Roadmap) ที่ดี บทความนี้จึงไม่สามารถอธิบายข้อควรปฏิบัติทั้งหมดในคราวเดียวได้ ผู้บริหารที่สนใจเรื่องนี้ควรติดตามบทความในครั้งต่อไป เพื่อให้ทุกท่านได้แนวคิดและวิธีการนำไปปฏิบัติกับองค์กรของตนได้อย่างมีประสิทธิภาพ

หมายเหตุ : บทความนี้ได้รับการตีพิมพ์ครั้งแรกใน PwC Blog ในเดือนพฤศจิกายน 2564

 
Articles Previous Next
 
ข้อกำหนดและเงื่อนไข | นโยบายความเป็นส่วนตัว | ผังเว็บไซต์ | Share to
Copyright © 2010 Thai Institute Of Directors. Site by Redlab
Our
Sponsors
SCBx BBL IVL Kbank BCP CPF GPSC IRPC PTT PTTEP PTTGC PTTOR SCG Singha TISCO TOP
Our
Partners
CAC SET SEC OECD CBNC CG Thailand