#CIA Coach Q&A : "Risk Governance" :
"หลักการ 3 Lines of Defense"
มีท่านหนึ่งถามมาทางกลุ่ม Line :
"CIA Coach Consulting" ที่ผมจัดตั้งขึ้น.
ซึ่งผมได้ตอบคำถาม โดยมีรายละเอียดดังนี้ครับ
#Q : รบกวนสอบถามค่ะ หาก บอร์ดมีการแต่งตั้งกรรมการบางท่านในบอร์ดเป็น คณะกรรมการตรวจสอบ แล้ว และมีการแต่งตั้งท่านเดิมเป็นคณะอนุกรรมการความเสี่ยงอีกได้ไหมคะ ถ้าได้ มันไม่ขาดความเป็นอิสระใช่ไหมคะ เพราะตรวจสอบก็ต้องตรวจเรื่องความเสี่ยงการควบคุมภายใน ขอบคุณค่ะ
#A : ที่ถูกต้องตามหลักการ คณะอนุกรรมการ 2 ชุดนี้ ควรแยกกัน และเป็นคนละคนกันครับ...
เพื่อความเป็นอิสระ และ Check & Balance กันครับ
เอาภาพนี้ไปอธิบายก็ได้ครับ
"#โครงสร้างการกำกับดูแลความเสี่ยง (#RiskGovernance) : หลักการ 3 Lines of Defense"
อธิบายภาพได้ดังนี้ครับ
#แบ่งงานหรือหน่วยงานเป็น 3 กลุ่มใหญ่ๆ ดังนี้
1) #กลุ่ม Risk #Owner (The #First Line):
มีหน้าที่บริหารความเสี่ยงในงานประจำวันของตน/ของหน่วยงานตน
กลุ่มนี้เป็นกลุ่มส่วนใหญ่ขององค์กร. ประกอบด้วย คณะกรรมการบริหาร CEO. และหน่วยงานต่างๆ ในองค์กร
2) #กลุ่ม Risk #Oversight (The #Second Line):
มีหน้าที่กำกับดูแลความเสี่ยง นโยบาย และกระบวนการบริหารความเสี่ยง. โดยมีหน้าที่รวบรวมความเสี่ยง และสนับสนุนหน่วยงานต่างๆ
กลุ่มนี้ ประกอบไปด้วย คณะกรรมการบริหารความเสี่ยง. CRO. และหน่วยงานบริหารความเสี่ยง
กลุ่มนี้บางองค์กร อาจรวมถึง หน่วยงาน Internal Control. หน่วยงาน Governance. หน่วยงาน Compliance ด้วย
3) #กลุ่ม Risk Assurance (The #Third Line) :
มีหน้าที่สอบทานกระบวนการบริหารความเสี่ยง เพื่อสร้างความเชื่อมั่นอย่างอิสระ
กลุ่มนี้เป็นกลุ่มที่อิสระจาก 2 กลุ่มก่อนหน้านี้. ประกอบด้วย. คณะกรรมการตรวจสอบ. ผู้ตรวจสอบภายนอก. และผู้ตรวจสอบภายใน
#จากConceptนี้มีความเข้าใจผิดในการนำไปใช้ในทางปฏิบัติอยู่2ประเด็นดังนี้
1) #เมื่อองค์กรมีหน่วยงานบริหารความเสี่ยงแล้ว. ทำไมหน่วยงานต่างๆ ยังต้องบริหารความเสี่ยงของตนเองอยู่???...
#คำตอบก็คือ ทุกหน่วยงานเป็นเจ้าของความเสี่ยงของตนเอง หรือ Risk Owner มีหน้าที่รับผิดชอบในการประเมินและบริหารความเสี่ยงในงานที่ตนเองรับผิดชอบอยู่...
หน่วยงานบริหารความเสี่ยงมีหน้าที่สนับสนุนหน่วยงานต่างๆ เท่านั้น
2) #องค์กรขนาดเล็กมีเพียงกลุ่มหน่วยงานที่เป็น Risk Owner เทานั้น ไม่มีหน่วยงานต่างๆ อีก 2 กลุ่มที่เหลือ. แล้วจะมีโครงสร้างนี้ได้อย่างไร???
#คำตอบก็คือ อย่าไปยึดที่ "#หน่วยงาน" ครับ...ขอให้มี "#งาน" ครบก็เพียงพอ. กล่าวคือ.ไม่มีหน่วยงานบริหารความเสี่ยง. ก็แต่งตั้งใครคนหนึ่งทำหน้าที่เป็น "Risk #Oversight" สิครับ. อาจมอบหมายให้ "#เลขานุการคณะกรรมบริหาร" ทำหน้าที่ตรงนี้ก็ได้ครับ
หากไม่มีฝ่ายตรวจสอบภายในแบบ In-house. กรณีนี้ต้องจ้าง IA Outsource จากภายนอก เพื่อความเป็นอิสระ มาทำหน้าที่เป็น Risk Assurance ในโครงสร้างนี้ครับ
ผมตอบเน้นว่าเป็นตามหลักการนะครับ...
แต่ความเป็นจริงมีปัจจัยต้องพิจารณาหลายประการ เช่น ขนาดขององค์กร. วัฒนธรรมขององค์กร ฯลฯ
แต่ Point คือ "โครงสร้าง" ที่แสดงความอิสระ...
แต่หากมีโครงสร้างที่เป็นอิสระแล้ว. แต่คนภายใต้โครงสร้างนี้ ใจไม่เป็นอิสระ ทุกอย่างก็จบครับ นี่แหละครับ ตามหลักการเรียก "ข้อจำกัด / อุปสรรคของ Control" ครับ..
ดังนั้น โดยสรุปคือ หากองค์กรไม่ได้มีโครงสร้างที่เป็นอิสระตามหลักการ แต่หากคนมี "จิตที่อิสระ" อย่างแท้จริง. ก็จะทำหน้าที่ได้อย่างมีประสิทธิผลตามเป้าหมายครับ
#โค้ชเม้ง
.........................................................................
#ท่านใดสนใจสมัครอบรมหรือต้องการสอบถาม
รายละเอียดเพิ่มเติมติดต่อมาได้เลยครับ
#ติดตามรายละเอียดของหลักสูตรต่างๆ ได้ใน #FBpageของบริษัท CIA Coach Consulting Co., Ltd. ตาม link นี้ครับ
https://www.facebook.com/CIA-Coach-Consulting-Co-Ltd-by-Coach-Meng-466788616782555/
#ติดตาม #Blog และ ช่อง #Youtube เพื่อนำเสนอผลงานของผม ทั้งงานเขียนบทความ และ Clip VDO รวมถึง Clip เสียง เพื่อเผยแพร่ความรู้ที่เป็นประโยชน์ต่อผู้ที่สนใจ ทั้งประเภทวิชาการ และ How-to ในการพัฒนาตนเองต่างๆ ครับ
#ชื่อBlog : CIA-Coach-Consulting
#ตามlinkนี้ครับ
CIA-Coach-Consulting.blogspot.com
#ชื่อช่องYoutube : CIA Coach Consulting Co., Ltd. by Coach Meng
#ตามlinkนี้ครับ
https://www.youtube.com/channel/UCyO2UYgDeFBEcGTkM2A_mAw
#ยินดีให้บริการและคำปรึกษาครับ
#โค้ชเม้ง
#นายสิริชัย สกุลแพร่พาณิชย์
Sirichai Sakulpraepanich
#ผู้ตรวจสอบอิสระ โครงการ #CAC SME Certification
ถือวุฒิบัตร #CIA #CRMA #CPIAT และ
#C-PA (Certified Performance Audit Professional)
#CoachMeng
#CIACoachConsultingCoLtd
#CleanOceanStrategy
เบอร์โทรศัพท์ & Line :
087-359-3331
ไม่มีความคิดเห็น:
แสดงความคิดเห็น