หน่วยงาน หรือบริษัทฯ ที่ให้ความสำคัญในเรื่องของการบริหารความเสี่ยง โดยเฉพาะในต่างประเทศ ได้กำหนดตำแหน่งหน้าที่งานที่สำคัญ และมีความเกี่ยวเนื่องโดยตรงกับการบริหารความเสี่ยง นั่นคือ ตำแหน่ง Chief Risk Officer หรือ CRO ผมได้แปลและเรียบเรียงเรื่องดังกล่าวไว้ในปี 2009…
ในปัจจุบัน หลายบริษัทฯ ในประเทศไทยที่ให้ความสำคัญกับเรื่องของการบริหารความเสี่ยง จนได้มีการตั้งหน่วยงานที่เกี่ยวข้องกับความเสี่ยงโดยเฉพาะ ทั้งนี้ ยังได้จัดตั้งตำแหน่งที่มีความบทบาทและความสำคัญในการบริหารความเสี่ยงนี้ด้วย ลองอ่านบทความนี้ และทำความเข้าใจกับบทบาทหน้าที่ของตำแหน่งงานนี้ดูกันครับ
ท่านเคยได้ยินตำแหน่งที่ชื่อว่า Chief Risk Officer ไหมครับ?
หลายคนอาจเคยได้ยิน บางคนอาจคุ้นเคย เพราะได้ทำงานร่วมกับบุคคลในตำแหน่งนี้อยู่แล้ว
แต่สำหรับใครที่ยังไม่ทราบว่า ตำแหน่งนี้มีที่มา และความสำคัญอย่างไรกับองค์กร
ลองมาทำความรู้จักกันนะครับ
ระยะเวลามากกว่า 10 ปีที่ผ่านมา งานด้านบริหารความเสี่ยงได้เป็นหนึ่งในกิจกรรมที่ปฏิบัติกันอยู่ตามงานประเภทต่างๆ เช่น ด้านประกันภัย ด้านกฏหมาย กฏระเบียบหรือข้อบังคับ และด้านการรักษาความปลอดภัย เป็นต้น ซึ่งบางครั้งด้วยความเชี่ยวชาญ และความเต็มใจในการให้ความช่วยเหลือผู้บริหาร พวกเราผู้ตรวจสอบภายในนี่แหละ ที่ต้องรับบทบาทและหน้าที่ในกิจกรรมการบริหารความเสี่ยงนี้ด้วย และจากเหตุผลดังกล่าว จึงทำให้ฝ่ายจัดการในองค์กรหลายแห่งพยายามสร้าง และพัฒนาตำแหน่งที่มีหน้าที่โดยตรงในการกำกับดูแลงานบริหารความเสี่ยงขององค์กร (Risk Management) ซึ่งเรียกตำแหน่งนี้ว่า “Chief Risk Officer”
เราลองมาศึกษากรณีตัวอย่างของบริษัทชั้นนำระดับโลกอย่าง GE Capital กันครับ
ย้อนหลังไปเมื่อ 15 ปีที่แล้ว ผู้บริหารในองค์กรขณะนั้น ต้องการจะทราบมุมมองในเรื่องของความเสี่ยงที่เกิดขึ้นในหน่วยงานของผู้รับผิดชอบแต่ละคน รวมทั้งความเสี่ยงในเรื่องของเครดิต การตลาด ความเสี่ยงด้านปฏิบัติการ และให้รวบรวมความเสี่ยงเหล่านั้นมาเชื่อมโยงกับเป้าหมายเชิงกลยุทธ์ขององค์กร ประกอบกับมุมมองของผู้บริหารที่เห็นถึงการพัฒนาเปลี่ยนแปลงในโลกเศรษฐกิจ ที่มีปัจจัยทำให้การ-ประกอบกิจการ และการดำเนินงานขององค์กรหยุดนิ่งไม่ได้ อาทิเช่น ความก้าวหน้าทางเทคโนโลยีสารสนเทศ การพัฒนาผลิตภัณฑ์ทางการเงิน การติดต่อสื่อสาร การพึ่งพาอาศัยกันของธุรกิจในโลกไร้พรมแดน แรงขับเคลื่อนทางด้านนโยบายเศรษฐกิจของแต่ละประเทศ ซึ่งมีปัจจัยทางด้านการเมืองเข้ามาเกี่ยวข้อง เป็นต้น
การพัฒนาเปลี่ยนแปลงเหล่านี้ ล้วนมีความเสี่ยงที่เกิดควบคู่มาด้วย ดังนั้น การบริหารจัดการความเสี่ยงจึงควรดำเนินการอย่างต่อเนื่อง แม้ผู้ตรวจสอบภายในจะเป็นบุคคลที่มีมุมมองในเรื่องของการบริหารความเสี่ยงที่ดี แต่ด้วยฐานะของผู้ตรวจสอบภายในที่ต้องรักษาความเป็นอิสระในการปฏิบัติงาน จึงไม่มีบทบาทหน้าที่โดยตรงต่อการพัฒนากรอบการบริหารความเสี่ยง แต่สิ่งที่ทำได้ ก็คือ การให้คำปรึกษา หรือคำแนะนำแก่ฝ่ายจัดการเท่านั้น
ซึ่งวิธีที่จะทำให้การบริหารความเสี่ยงบรรลุตามวัตถุประสงค์ที่องค์กรตั้งเป้าหมายไว้ จึงจำเป็นต้องสรรหาบุคลากรมาทำหน้าที่นี้อย่างเต็มตัว ดังนั้น ผู้บริหารจึงได้แต่งตั้งตำแหน่ง Chief Risk Officer (CRO) ขึ้นเป็นครั้งแรก และกุญแจสำคัญดอกนี้นี่แหละ ที่จะช่วยทำให้องค์กรประสบความสำเร็จในการบริหารความเสี่ยง
‘CRO’ – หน้าที่นี้ ที่องค์กรต้องการ
จากตัวอย่างปัจจัยความเสี่ยงที่เกิดขึ้นข้างต้น ส่งผลให้เกิดตำแหน่ง CRO ในหลายองค์กรโดยเฉพาะในปี 2008 – ปีแห่งวิกฤตเศรษฐกิจที่ผ่านมา เราได้เห็นภาพความสูญเสียจากหลายองค์กรที่ตัดสินใจผิดพลาดในการรับมือกับนานาปัจจัยเสี่ยง หลังเหตุการณ์ดังกล่าว มีผู้วิเคราะห์ถึงสาเหตุของปัญหา จึงพบว่า สาเหตุหลักเกิดจากช่องว่างระหว่างความเข้าใจกับการสื่อสารในเรื่องความเสี่ยงที่ยอมรับได้ขององค์กร (Risk Appetite) และผลกระทบกับโอกาสของความเสี่ยงที่อาจเกิดขึ้น ซึ่งหมายถึงค่าความเสี่ยงโดยรวมสำหรับการจัดลำดับความสำคัญของการบริหารความเสี่ยง
อันที่จริงแล้ว คณะกรรมการกลุ่มผู้เชี่ยวชาญทางอาชีพ “Committee of Sponsoring Organizations of the Treadway Commission” หรือที่เรียกว่า “COSO” ได้กำหนดกรอบสากลของการบริหารความเสี่ยงขององค์กร (Enterprise Risk Management – Integrated Framework) และประกาศเผยแพร่ในปี 2004 ซึ่งกำหนดความหมายของการบริหารความเสี่ยง (ERM) ไว้ว่า “…a process, effected by an entity’s board of directors, management, and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives” หรือสรุปความหมายได้ว่า การบริหารความเสี่ยงเป็นกระบวนการที่ทุกคนในองค์กรมีส่วนเกี่ยวข้องทั้งการกำหนดกลยุทธ์และนำไปปฏิบัติ ทุกคนในที่นี้จึงหมายถึง คณะกรรมการบริษัท ฝ่ายจัดการ และพนักงานทุกคนในองค์กรที่ต้องร่วมกันระบุถึงเหตุการณ์ที่อาจเกิดขึ้นและมีผลกระทบต่อองค์กร และความเสี่ยงนั้นมีการจัดการให้อยู่ในระดับที่องค์กรยอมรับได้ และเป็นการให้ความเชื่อมั่นอย่างสมเหตุสมผลที่จะบรรลุวัตถุประสงค์ขององค์กรตามที่กำหนดไว้
ดังนั้น ผลกระทบจากปัจจัยเสี่ยงที่เกิดขึ้นในช่วงหลายปีที่ผ่านมา จึงเป็นสิ่งที่องค์กรได้เรียนรู้ในเรื่องความเสี่ยงอย่างเต็มรูปแบบ และสิ่งที่องค์กรต้องการมากกว่าแต่ก่อนก็คือ CRO ที่มีทักษะในหลักการบริหารความเสี่ยง ความสามารถในการกำหนดกลยุทธ์ และความรู้ความเข้าใจเกี่ยวกับองค์กรเป็นอย่างดี มีลักษณะความเป็นผู้นำ และสามารถปฏิบัติงานร่วมกับผู้บริหารในส่วนงานอื่นขององค์กรได้ นอกจากนี้ การได้รับการสนับสนุนอย่างเต็มที่ ทั้งจากคณะกรรมการบริษัท ฝ่ายจัดการ และผู้บริหารสูงสุดขององค์กร จะยิ่งช่วยให้การดำเนินงานของ CRO สำเร็จลุล่วงได้
จากลักษณะดังกล่าวข้างต้น ทำให้ทราบว่า ผู้ที่จะมารับตำแหน่ง CRO นี้ ย่อมมีความท้าทายไม่น้อยทั้งการกำหนดคุณสมบัติที่ยากแก่การสรรหา ข้อจำกัดในเรื่องงบประมาณ แรงกดดันต่อการหวังผลตอบแทนจากการทำหน้าที่ของ CRO และสิ่งสำคัญที่สุดของแก่นแท้ของการบริหารความเสี่ยง ก็คือ การผลักดันให้พนักงานทุกคน ทุกระดับเข้าใจและตระหนักถึงความเสี่ยง เห็นความสำคัญของการบริหารและเต็มใจที่จะร่วมมือจัดการความเสี่ยงดังกล่าว อย่างไรก็ตาม การบริหารความเสี่ยงควรจะพิจารณาควบคู่ไปกับการบริหารมูลค่าขององค์กร ผลกระทบต่อผู้มีส่วนได้ส่วนเสีย หรือผลตอบแทนทางธุรกิจที่ควรอยู่ในระดับที่สมเหตุสมผล และสอดคล้องกับระดับของความเสี่ยงที่องค์กรยอมรับได้
“หัวหน้าผู้บริหารงานตรวจสอบภายใน” พันธมิตรที่รู้ใจ
สำหรับใครที่จะมารับตำแหน่ง CRO อ่านมาถึงตรงนี้แล้วอย่าเพิ่งท้อใจครับ ไหนจะทั้งบทบาท ภาระหน้าที่ และความท้าทายในงาน ท่านอาจเริ่มมองหาความช่วยเหลือจากบุคคลอื่นในองค์กร ผู้ที่จะมาเป็นหุ้นส่วนทางความคิดที่มีประสิทธิภาพ มีความรู้ ความเข้าใจในเรื่องของการกำกับดูแลกิจการ และการบริหารความเสี่ยงขององค์กร เกริ่นคุณสมบัติมาขนาดนี้ พอนึกออกบ้างไหมครับว่าเป็นใคร…คนใกล้ตัวซึ่งคงจะเป็นใครไปไม่ได้ นอกจาก หัวหน้าผู้บริหารงานตรวจสอบภายใน (Chief Audit Executive: CAE) ผู้นี้นี่เอง
การสร้างพันธมิตรระหว่างสองหน่วยงานให้ประสบความสำเร็จนั้น หัวหน้างานทั้งสองฝ่ายควรแลกเปลี่ยนความคิดเห็นและข้อมูลกันอย่างตรงไปตรงมา มีการสื่อสารกันอย่างต่อเนื่อง ชี้แจงให้ทราบถึงวัตถุประสงค์ของแต่ละหน่วยงานเพื่อสร้างจุดยืนร่วมกัน มองถึงการจัดการความเสี่ยงที่มีอยู่และให้ความสำคัญกับความเสี่ยงใหม่ที่อาจเกิดขึ้น
ในการทำงาน CRO และ CAE ควรเริ่มต้นด้วยการกำหนดโครงสร้างพื้นฐานในการทำงานร่วมกัน อาทิเช่น วิธีการดำเนินงาน หรือการใช้คำนิยามต่างๆ ให้เป็นไปในทิศทางเดียวกัน ขณะเดียวกันควรกำหนดบทบาท หน้าที่และลักษณะงานของตำแหน่งทั้งสองฝ่ายให้ชัดเจนเพื่อหลีกเลี่ยงความซ้ำซ้อนในการปฏิบัติงาน และความสับสนในบทบาทหน้าที่
พึงระลึกเสมอ…หน้าที่ใคร ทำอะไร
เป็นเรื่องง่ายมากที่จะเกิดความสับสนในบทบาทหน้าที่ของ CAE และ CRO หากการแบ่งแยกหน้าที่นั้นไม่ชัดเจน งานของ CAEและผู้ตรวจสอบภายในควรคำนึงถึงบทบาท และหน้าที่ที่แท้จริงของตนเอง แม้ว่าเราจะมีทักษะ ความรู้และความสามารถในการดำเนินงานก็ตาม เราไม่ควรรับหน้าที่สร้างและดำเนินงานในกระบวนการที่เกี่ยวข้องกับการบริหารความเสี่ยง เช่น การพัฒนากรอบนโยบาย และกระบวนการบริหารความเสี่ยงให้หน่วยงานต่างๆ เป็นต้น
บทบาทและหน้าที่ของผู้ตรวจสอบภายในระบุไว้ชัดเจนในมาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายใน (International Standards for the professional practice of Internal Auditing) ซึ่งเน้นความเป็นอิสระในการปฏิบัติงาน กำหนดให้มีการควบคุมภายในต่อการบริหารความเสี่ยงอย่างเหมาะสม และให้ความเชื่อมั่นว่าหน่วยงานต่างๆ มีการปฏิบัติตามการควบคุมนั้น ดำเนินการสอบทานการปฏิบัติงานของหน่วยงานบริหารความเสี่ยง และสื่อสารกับหน่วยงานบริหารความเสี่ยงเพื่อทำความเข้าใจเกี่ยวกับความเสี่ยง รวมถึงการตรวจสอบภายในตามฐานความเสี่ยง เป็นต้น
สำหรับตัวอย่างกิจกรรมการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยงซึ่ง CAE และผู้ตรวจสอบภายในไม่ควรมีหน้าที่รับผิดชอบ ได้แก่
- การกำหนดความเสี่ยงที่องค์กรสามารถยอมรับได้ (Risk Appetite)
- การกำหนดกระบวนการในการบริหารความเสี่ยง
- การให้ความเชื่อมั่นในการบริหารความเสี่ยง
- การประเมินการตอบสนองต่อความเสี่ยง (Risk Response)
- การบ่งชี้ถึงการตอบสนองต่อความเสี่ยงรวมถึงการดำเนินงานบริหารความเสี่ยงในนามของฝ่ายจัดการ
- ความรับผิดชอบตามหน้าที่สำหรับการบริหารความเสี่ยง เป็นต้น
ในขณะที่บทบาท และหน้าที่ของ CRO มีหน้าที่จัดทำกรอบนโยบาย และกระบวนการในการบริหารความเสี่ยงให้กับหน่วยงานต่างๆ ให้การสนับสนุน ให้ความรู้ คำแนะนำ ติดตามกระบวนการประเมินความเสี่ยง รวมถึงการรายงานต่อผู้บริหารหรือคณะกรรมการที่เกี่ยวข้อง เป็นต้น
อีกประเด็นหนึ่งที่ CAE ควรตระหนักและระมัดระวัง คือ การวางแผนงานการตรวจสอบของหน่วยงานตรวจสอบภายในที่ควรจัดทำด้วยความเป็นอิสระ อย่าให้ CRO มีอิทธิพลเป็นการเมืองภายในองค์กรที่เข้ามาแทรกแซงจนเกิดความไม่เป็นกลาง ไม่งั้นอาจเกิดผลกระทบต่อความสัมพันธ์ในการร่วมมือกันทำงาน และการแลกเปลี่ยนความคิดเห็นในการบริหารความเสี่ยงของหน่วยงานจะหมดความสำคัญลงได้
อนาคตของงานบริหารจัดการความเสี่ยง
จากสถานการณ์วิกฤตเศรษฐกิจในช่วง 1 – 2 ปีที่ผ่านมา ความเสียหายเป็นบทเรียนสำคัญที่สอนให้เรามองถึงความสำคัญของการบริหารความเสี่ยงแบบองค์รวม ผู้บริหารขององค์กรจะมองงานบริหารความเสี่ยงเป็นเพียงส่วนหนึ่งของฝ่ายจัดการไม่ได้อีกต่อไป หากแต่ควรพิจารณาถึงงานที่ต้องอาศัยบุคลากรที่เป็นมืออาชีพ ไม่ว่าจะเป็นทักษะ ความรู้ ความชำนาญการและความเข้าใจถึงความเสี่ยงทั่วทั้งองค์กร
ดังนั้น การที่จะประสบความสำเร็จในการบริหารความเสี่ยงได้นั้น CRO จึงต้องทำหน้าที่ทั้งพัฒนากลยุทธ์ และยุทธวิธีในการดำเนินงานอย่างต่อเนื่อง อาทิเช่น ระบบการประเมินการบริหารความเสี่ยงที่มองถึงผลตอบแทนที่ได้จากการยอมรับความเสี่ยงที่เกิดขึ้น พิจารณาประกอบกับการเพิ่มมูลค่าให้กับผู้มีส่วนได้ส่วนเสียในองค์กรด้วย ในมุมมองของการวัดผลการบริหารความเสี่ยง CRO ไม่ควรวัดผลในลักษณะที่มองเฉพาะปริมาณหรือจำนวนเงินเพียงอย่างเดียว แต่ควรพิจารณาถึงการตัดสินใจทางธุรกิจอย่างมีคุณภาพด้วย เป็นต้น
หันกลับมามองในมุมของ CAE กันบ้างครับ ลักษณะงานของหัวหน้าผู้บริหารงานตรวจสอบภายในควรมีความเป็นกลาง ไร้อคติในการวัดประสิทธิภาพและประสิทธิผลในการบริหารความเสี่ยง ความท้าทายต่อการวัดผลที่เป็นมาตรฐานโดยเปรียบเทียบจากองค์กรที่เป็นพันธมิตรทางธุรกิจ หรือเป็นคู่แข่งทางธุรกิจ การประเมินถึงระบบการบริหารความเสี่ยงว่าได้นำมาปรับใช้อย่างเหมาะสม และปฏิบัติทั่วทั้งองค์กรหรือไม่ ท้ายที่สุดหากความเสี่ยงนั้น มีความเกี่ยวข้องกับการทุจริต CAE อาจต้องสวมบทบาทหน้าที่ให้ความช่วยเหลือในการสืบสวน สอบสวนหาสาเหตุของสิ่งผิดปกติที่เกี่ยวข้องกับความเสี่ยงในโครงการ หรือแผนงานต่างๆ ด้วย
ท่านที่ได้อ่านบทความนี้ น่าจะได้เรียนรู้แง่มุมความเป็น Chief Risk Officer กันบ้างแล้ว เรามองง่ายๆ ครับว่า ปัจจุบันองค์กรมีความซับซ้อนมากขึ้น การดำเนินธุรกิจจึงต้องร่วมมือกับพันธมิตรภายนอกองค์กรมากขึ้น ความเสี่ยงในรูปแบบต่างๆ ก็เพิ่มมากขึ้นเช่นกัน ดังนั้น บทบาทของ CRO ย่อมมีความสำคัญในการมีส่วนร่วมอย่างใกล้ชิดกับฝ่ายจัดการ อย่างไรก็ตาม แม้ CRO จะเป็นตำแหน่งที่มีหน้าที่ที่มีความสำคัญต่อองค์กร แต่อย่าลืมนะครับ ถ้าปราศจากพวกท่านที่เป็นผู้ตรวจสอบภายใน ซึ่งเป็นพันธมิตรคู่คิดแล้ว CRO ก็ยากที่จะประสบความสำเร็จในการดำเนินงาน และบริหารความเสี่ยงขององค์กรเพียงลำพัง
++++++++++++++++++++++
ผู้แปลและเรียบเรียง – ศรรณ ทองประเสริฐ, CIA
จากบทความของ John A. Wheeler และแก้ไขเพิ่มเติมจาก Paul Sobel
นิตยสาร Internal Auditor ฉบับเดือนมิถุนายน 2009
สนใจบริการงานตรวจสอบภายใน ติดต่อ e-mail: info@risklesssolutions.com