Skip to content Skip to footer
Search

Loading Results

GRC Blog

GRC Series - บริหารความเสี่ยงอย่างไรให้องค์กรยั่งยืน

โดย วารุณี ปรีดานนท์
หุ้นส่วนสายงานบริหารความเสี่ยงและตรวจสอบภายใน
บริษัท PwC ประเทศไทย 

เราทราบดีว่าโลกธุรกิจวันนี้กำลังเผชิญกับความท้าทายหลากหลายด้าน ซึ่งหากบริษัทใดมีความพร้อมและสามารถบริหารจัดการตนเองอย่างเป็นระบบตลอดเวลา ก็จะสามารถรับมือกับความท้าทายได้อย่างมีประสิทธิภาพ ในทางตรงกันข้าม หากผู้บริหารรายใดไม่ได้มีการวางแผนบริหารความเสี่ยงและเหตุการณ์ที่ไม่คาดฝันไว้ล่วงหน้า ก็จะทำให้ธุรกิจพลาดโอกาสในการเติบโต หรือเปลี่ยนผ่านองค์กรไปสู่ความเปลี่ยนแปลงใหม่ ๆ ไม่ทันคู่แข่ง

บทความเรื่อง “เทรนด์ธุรกิจโลกหลังยุคโควิดในมุมมองของผู้บริหาร” ของ PwC ประเทศไทย ชี้ให้เห็นว่า ผู้บริหารในยุคโควิด-19 ต้องใช้แนวทางบริหารที่ต่างไปจากยุคเศรษฐกิจถดถอยเมื่อปี 2552 โดยสิ่งที่สำคัญคือ ผู้บริหารในยุคนี้จะต้องหมั่นแสวงหาโอกาสและกลยุทธ์ใหม่ ๆ เพื่อก้าวไปข้างหน้า แตกต่างกับผู้บริหารในยุคก่อนที่มักบริหารงานเพียงเพื่อให้ธุรกิจอยู่รอดเมื่อผลกระทบจากเหตุการณ์ใดเหตุการณ์หนึ่งเกิดขึ้น เช่น เมื่อมีปัญหาเกิดขึ้น ผู้บริหารตัดสินใจเลิกจ้างงาน หาทางลดต้นทุน หรือปรับปรุงวิธีบริหารเงินทุนหมุนเวียน เป็นต้น

การบริหารที่แตกต่างกันในสองยุคนี้ แสดงให้เห็นชัดเจนว่า ผู้บริหารที่ตระหนักในเรื่องของการบริหารความเสี่ยงจะสามารถก้าวต่อไปได้ในวันข้างหน้า ส่วนผู้บริหารที่ไม่ได้ตระหนัก หรือให้ความสำคัญในการแก้ปัญหาระยะสั้น ก็จะทำให้องค์กรอยู่รอดได้เป็นครั้ง ๆ ไปเท่านั้น ไม่ใช่อยู่ได้แบบยั่งยืน หรือหากเจอสถานการณ์ที่วิกฤต ก็อาจทำให้ธุรกิจนั้น ๆ ต้องพบกับจุดจบได้

ผู้บริหารยุคใหม่จึงควรเข้าใจและนำหลักการการกำกับดูแลกิจการ การบริหารความเสี่ยง และการกำกับการปฏิบัติตามกฎเกณฑ์ (Governance, Risk and Compliance หรือ GRC) มาประยุกต์ใช้ การบริหารงานแบบ GRC เกิดขึ้นจากการเรียนรู้สาเหตุของเหตุการณ์ทั้งหลายในโลกที่ทำให้องค์กรเกิดการสูญเสีย เช่น การกำหนดกลยุทธ์ที่มีเป้าหมายสูงเกินไป การตกแต่งงบการเงิน และการกระทำความผิดทางกฎหมายที่ทำให้ต้องเสียค่าปรับจำนวนมาก เป็นต้น

แม้ว่าวันนี้องค์กรหลายแห่งจะได้ให้ความสำคัญในการบริหารความเสี่ยง ควบคู่ไปกับการให้ความสำคัญกับการปฏิบัติตามกฎหมายและระเบียบข้อบังคับ แต่ก็มีบริษัทจำนวนไม่น้อยที่ยังมีช่องโหว่ในการมองปัญหาให้สอดรับกันตั้งแต่ระดับกลยุทธ์ไปสู่การปฏิบัติ เช่น องค์กรขนาดใหญ่แห่งหนึ่งต้องการเพิ่มรายได้และผลกำไร จึงตั้งเป้ายอดขายที่สูงมาก ส่งผลให้พนักงานมีการตกแต่งและสร้างบัญชีลูกค้าใหม่ เพื่อทำให้เห็นว่า มีคำสั่งซื้อใหม่เข้ามา ต่อมาภายหลังจึงทราบว่า พนักงานหลายฝ่ายได้ใช้ชื่อลูกค้ามาเปิดบัญชีปลอม ทำให้องค์กรกระทำผิดกฎหมายและต้องจ่ายค่าปรับราคาแพง รวมทั้งกระทบกับชื่อเสียงองค์กรในระยะยาวอีกด้วย

กรณีศึกษานี้ทำให้เห็นว่า องค์กรขาดการกำกับดูแลที่ดี เพราะแม้ว่าจะมีกลยุทธ์แล้ว ก็ไม่ได้คิดว่าจะเกิดความเสี่ยงอะไรบ้าง จึงดำเนินงานไปเรื่อย ๆ ไม่ได้ควบคุมการทำงานที่มีจุดเสี่ยง ซึ่งถือว่าเป็นการบริหารงานแบบไม่บูรณาการตามหลัก GRC เพราะกำหนดกลยุทธ์แล้ว ไม่ได้พิจารณาให้ครบวงจรว่า จะปฏิบัติให้สำเร็จลุล่วงได้อย่างไร

หลักการ GRC ช่วยบริหารความเสี่ยงได้ทันเวลา

หลักการ GRC นำไปสู่การบูรณาการการกำกับดูแลกิจการ การบริหารความเสี่ยง และการปฏิบัติตามกฎระเบียบให้เป็นกระบวนการเดียวกัน ซึ่งแม้ว่าแต่ละหน่วยงานจะแยกออกจากกัน แต่ในทางปฏิบัติถือว่าอยู่ภายใต้กรอบเดียวกัน เริ่มต้นจากกรรมการบริษัทและซีอีโอ ไปจนถึงพนักงานทุกคนในองค์กร 

สำหรับการนำหลักการ GRC มาประยุกต์ใช้ ควรเริ่มจากการกำหนดกลยุทธ์ แล้วประเมินความเสี่ยงที่อาจสร้างความเสียหายให้กับองค์กร จากนั้นจึงมอบหมายให้หน่วยงานที่หน้าที่รับผิดชอบจัดการกับความเสี่ยงนั้น ๆ โดยคำนึงถึงการปฏิบัติตามกฎหมายและระเบียบที่เกี่ยวข้องด้วย 

หากองค์กรยึดมั่นในหลักการนี้และนำไปปฏิบัติให้ถูกต้องอย่างสม่ำเสมอ องค์กรนั้น ๆ ก็จะสามารถก้าวไปสู่ความสำเร็จที่ยั่งยืน และเป็นองค์กรที่มีประสิทธิภาพ เพราะได้มีการกำกับดูแลกิจการ การบริหารความเสี่ยง และการปฏิบัติตามกฎระเบียบที่เชื่อมโยงกันอย่างเป็นระบบ ทำให้มีความพร้อมในการรับมือกับความเสี่ยงได้อย่างทันท่วงที

ทั้งนี้ องค์ประกอบสำคัญของ GRC ประกอบด้วย 4 เรื่องสำคัญ ได้แก่

  1. วัฒนธรรม หมายถึงความเชื่อแบบเดียวกันและการที่ทุกคนในองค์กรร่วมใจกันปฏิบัติตามแนวทางเดียวกัน ดังนั้น วัฒนธรรมตามหลัก GRC คือ การที่ทุกคนในองค์กรเชื่อและเห็นความสำคัญของการกำกับดูแลกิจการ การบริหารความเสี่ยง และการปฏิบัติตามกฎเกณฑ์ ต่อการดำเนินงานที่มีประสิทธิภาพ เพื่อบรรลุวัตถุประสงค์ขององค์กร

  2. การบริหารความเสี่ยง หมายถึงกระบวนการที่ถูกจัดให้ขึ้นเพื่อจัดการความไม่แน่นอนในอนาคตที่จะมีผลกระทบต่อกลยุทธ์ หรือวัตถุประสงค์ขององค์กร โดยความไม่แน่นอนนั้น ๆ อาจเป็นได้ทั้งโอกาสและความเสี่ยง

  3. การควบคุมภายใน หมายถึงกระบวนการที่จัดให้มีขึ้นและปฏิบัติกันทุกคนในองค์กร ตั้งแต่กรรมการบริษัท ผู้บริหาร ไปจนถึงพนักงาน เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ โดยสามารถแบ่งวัตถุประสงค์ออกเป็น 3 ประการ ได้แก่
    3.1 การดำเนินงานที่มีประสิทธิภาพ
    3.2 การมีรายงานที่เชื่อถือได้ทั้งรายงานทางการเงินและอื่น ๆ
    3.3 การปฏิบัติให้ถูกต้องตามกฎหมายและระเบียบต่าง ๆ

  4. การปฏิบัติตามกฎระเบียบ หมายถึงกระบวนการที่ช่วยควบคุมให้องค์กรปฏิบัติตามกฎหมาย ระเบียบ นโยบาย และประกาศต่าง ๆ ทั้งภายในและภายนอกองค์กร

องค์กรใดที่สามารถจัดองค์ประกอบเหล่านี้ให้เสมือนหนึ่งเป็นกระบวนการเดียวกันได้ ย่อมจะทำให้องค์กรนั้น ๆ มีความคล่องตัวในการปฏิบัติงาน และตอบสนองต่อความเสี่ยงและโอกาสได้อย่างมีประสิทธิภาพ เพื่อบรรลุวัตถุประสงค์ทางธุรกิจที่ต้องการ

ขอตัวอย่างองค์กรที่ไม่ได้นำหลักการ GRC ไปปฏิบัติจนเกิดความเสียหาย เช่น กรณีสถาบันการเงินขนาดใหญ่แห่งหนึ่ง ที่ต้องการเติบโตอย่างรวดเร็ว จึงตั้งเป้ายอดขายไว้สูงมาก โดยไม่ได้ให้ความสำคัญต่อความเสี่ยงที่อาจเกิดขึ้นต่อองค์กร ผู้บริหารระดับสูงมักสื่อสารกับพนักงานว่า “ทำทุกอย่าง ที่ทำได้ เพื่อรายได้ของเรา” จนกลายเป็นความคิด (Mindset) และวัฒนธรรมขององค์กร 

เมื่อพนักงานอยู่ภายใต้แรงกดดันในสภาพการทำงานแบบนี้ทุกวัน จนเกิดความเกรงกลัวต่อการทำงานไม่สำเร็จตามเป้าหมาย และอาจถูกไล่ออกจากงาน พนักงานหลาย ๆ คนจึงเริ่มปลอมแปลงยอดขายโดยสร้างบัญชีปลอมของลูกค้า เมื่อเวลาผ่านไป 2-3 ปี ทำให้บริษัทมีบัญชีปลอมของลูกค้ามากกว่า 1.5 ล้านบัญชี ความจริงมาถูกเปิดเผย เมื่อลูกค้าเริ่มร้องเรียนมายังบริษัทว่า ถูกเรียกเก็บเงินทั้ง ๆ ที่ไม่ได้สั่งซื้อสินค้าใด ๆ จากบริษัท 

เมื่อได้มีการสอบสวนหาข้อเท็จจริง จึงพบว่า มีการทุจริตโดยปลอมยอดขายและบัญชีของลูกค้า ทำให้บริษัทต้องชดใช้ค่าเสียหายให้แก่ลูกค้าเป็นจำนวนมหาศาล รวมถึงต้องถูกลงโทษทางกฎหมายด้วย และยังได้รับผลกระทบด้านชื่อเสียงที่ทำให้ลูกค้าขาดความเชื่อถือต่อบริษัท กรณีศึกษานี้ทำให้เห็นว่า การตั้งเป้าหมาย หรือกลยุทธ์โดยที่ไม่ได้บูรณาการความเสี่ยงและการควบคุมภายใน ประกอบกับการสร้างวัฒนธรรมองค์กรที่ไม่ได้มุ่งเน้นการป้องกันความเสี่ยง นำไปสู่ความเสียหายที่กว่าจะทราบเรื่องราวที่เกิดขึ้น ก็เกิดความเสียหายที่เกินกว่าจะป้องกันได้แล้ว

เราจะเห็นได้ว่า หลักการ GRC เป็นเรื่องที่มีรายละเอียดค่อนข้างมาก และต้องอาศัยการมีแนวทางการพัฒนา (Roadmap) ที่ดี บทความนี้จึงไม่สามารถอธิบายข้อควรปฏิบัติทั้งหมดในคราวเดียวได้ ผู้บริหารที่สนใจเรื่องนี้ควรติดตามบทความในครั้งต่อไป เพื่อให้ทุกท่านได้แนวคิดและวิธีการนำไปปฏิบัติกับองค์กรของตนได้อย่างมีประสิทธิภาพ

Contact us

Brand, Clients and Markets

Bangkok, PwC Thailand

Tel: +66 (0) 2844 1000,
Ext. 4713-15, 18, 22-24, 26,28 and 29

Follow us