⇒ ธพว. นำหลักการบริหารความเสี่ยงและการควบคุมภายในตามมาตรฐานสากล The Committee of Sponsoring Organization of the Treadway Commission (COSO) หลักการบริหารความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management : ERM) แนวทางของธนาคารแห่งประเทศไทย (ธปท.) และกระทรวงการคลังมาเป็นกรอบในการบริหารความเสี่ยง เพื่อให้การดำเนินงานของ ธพว. เป็นไปตามเป้าหมายที่ได้กำหนดไว้อย่างมีเสถียรภาพและมีธรรมาภิบาล

          ⇒ ธพว. ได้กำหนดทิศทางและยุทธศาสตร์การดำเนินงานด้านการบริหารความเสี่ยง เพื่อสนับสนุนให้การดำเนินงานของธนาคารบรรลุตามวัตถุประสงค์ และเป้าหมายที่วางไว้ ดังนี้

1. ธพว. มีการกำหนดแนวทางการบริหารความเสี่ยงที่มีมาตรฐาน เป็นที่ยอมรับให้เหมาะสมกับภารกิจและกิจกรรมของธนาคาร โดยมีการบูรณาการร่วมกับแผนยุทธศาสตร์องค์กร มีการจัดทำแผนงานและกำหนดมาตรการบริหารจัดการความเสี่ยง เพื่อนำไปสู่การปฏิบัติที่เป็นไปในทิศทางเดียวกัน มีการทบทวนนโยบายและกระบวนการบริหารความเสี่ยงอย่างสม่ำเสมอ หรือเมื่อมีเหตุการณ์หรือการเปลี่ยนแปลงที่มีนัยสำคัญ เพื่อให้นโยบายและกระบวนการบริหารความเสี่ยงของ ธพว. มีประสิทธิภาพและประสิทธิผลมากยิ่งขึ้น

2. ธพว. จัดให้มีการพัฒนามีระบบงานด้านการบริหารความเสี่ยงที่สำคัญ อาทิ การพัฒนาระบบบริหารความเสี่ยงด้านปฏิบัติการ การพัฒนาระบบการจัดเก็บข้อมูลความเสียหายที่เกิดจากความเสี่ยงด้านปฏิบัติการ (Loss Data/ Incident Data) เพื่อให้มีฐานข้อมูลสำหรับคำนวณความเพียงพอของเงินกองทุน ตามแนวทางมาตรฐานสากล การพัฒนาระบบเตือนภัยล่วงหน้า (Early Warning System) เพื่อใช้ในการกำกับติดตามและส่งสัญญาณเตือนภัยล่วงหน้า โดยการพัฒนาจากปัจจัยเสี่ยงที่สำคัญซึ่งเชื่อมโยงกับเป้าหมายขององค์กร

3. ธพว. กำหนดให้การบริหารความเสี่ยงเป็นความรับผิดชอบของทุกหน่วยงาน เริ่มตั้งแต่คณะกรรมการ ธพว. ฝ่ายจัดการ ผู้บริหาร และพนักงานทุกคน ทั้งนี้ ธนาคารมีการกำหนดผู้บริหารหน่วยงาน อาทิ ผู้อำนวยการฝ่าย ให้ทำหน้าที่เป็น ผู้ขับเคลื่อนการบริหารความเสี่ยงลงไปสู่ระดับฝ่ายงาน (Risk Agency) เพื่อสร้างความตระหนักและการนำไปปฏิบัติจริง จนเกิดเป็นวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในขององค์กร (Risk Culture) ธพว. จัดให้มีการสื่อสาร เพื่อสร้างความรู้ความเข้าใจให้เกิดขึ้นกับผู้มีส่วนได้ส่วนเสียของ ธพว. ในเรื่องที่เกี่ยวข้องกับการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และการควบคุมภายใน ทำการเผยแพร่ผ่านช่องทางต่าง ๆ เช่น เว็บไซต์ของ ธพว. สื่อสิ่งพิมพ์และรายงานต่าง ๆ เป็นต้น เพื่อสร้างการรับรู้และความตระหนักถึงจนเกิดเป็นวัฒนธรรมองค์กร นอกจากนี้ ธพว. ยังมีการบูรณาการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และการควบคุมภายใน ภายใต้โครงการบูรณาการ Governance, Risk Management และ Compliance (GRC)

4. ธพว. จัดให้มีการพัฒนาบุคลากรและเครื่องมือในการบริหารความเสี่ยงอย่างต่อเนื่อง ทันต่อสถานการณ์ เพื่อให้บุคลากรมีความเป็นมืออาชีพในการบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ และส่งผลให้แผนงานของ ธพว. บรรลุเป้าหมายได้อย่างมีประสิทธิภาพและประสิทธิผล

5. ธพว. ดำเนินการปลูกฝังการบริหารความเสี่ยงให้เป็นวัฒนธรรมขององค์กรรวมถึงกำหนดให้ทุกภาคส่วนตั้งแต่คณะกรรมการ ธพว. คณะกรรมการกำกับความเสี่ยง ฝ่ายจัดการ ผู้บริหาร และพนักงานในส่วนงานต่าง ๆ มีส่วนร่วมในการบริหารความเสี่ยงของ ธพว. อย่างต่อเนื่อง เพื่อให้การบริหารความเสี่ยงของ ธพว. เป็นไปตามหลักการบริหารความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management : ERM)

ธนาคารตระหนักถึงความสำคัญของการบริหารความเสี่ยงด้านปฏิบัติการโดยคณะกรรมการธนาคารได้อนุมัตินโยบายการบริหารความเสี่ยงด้านปฏิบัติการ และจัดให้มีการทบทวนนโยบายอย่างน้อยปีละครั้ง  หรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ

ทั้งนี้  กำหนดให้การบริหารความเสี่ยงด้านปฏิบัติการเป็นความรับผิดชอบของกรรมการ ผู้บริหาร และพนักงานทุกคน โดยให้ถือปฏิบัติเป็นส่วนหนึ่งของงานจนเกิดเป็นวัฒนธรรมองค์กรโดยมีสาระสำคัญ ดังนี้

 

1.โครงสร้างและหน้าที่ความรับผิดชอบของหน่วยงานที่เกี่ยวกับการบริหารความเสี่ยงด้านปฏิบัติการ

ธนาคารกำหนดโครงสร้าง บทบาท หน้าที่ความรับผิดชอบอย่างชัดเจนเป็นลายลักษณ์อักษรและประกาศให้ทราบอย่างทั่วถึงภายในองค์กร สรุปได้ดังแผนภาพ

คณะกรรมการต่างๆ ที่เกี่ยวข้องมี ดังนี้

หน่วยงานภายในธนาคารทุกหน่วยงานซึ่งเป็นหน่วยงานเจ้าของความเสี่ยง

-ถือปฏิบัติตามนโยบายบริหารความเสี่ยงด้านปฏิบัติการ และระเบียบ ข้อบังคับ คำสั่งต่างๆ ที่เกี่ยวข้องอย่างเคร่งครัด

-จัดทำการประเมินความเสี่ยงและการควบคุมโดยตนเอง (Risk Control Self-Assessment:  RCSA) รายงานข้อมูลเครื่องชี้วัดความเสี่ยงด้านปฏิบัติการ และรายงานข้อมูลความเสียหาย

-จัดให้มีมาตรการจัดการความเสี่ยงที่เหมาะสม และแผนจัดการความเสี่ยงที่กำหนดรวมทั้งทำหน้าที่การบริหารความเสี่ยง และปลูกฝัง Risk Culture โดยส่งเสริมพนักงานให้มีการตระหนักถึงความสำคัญของการบริหารความเสี่ยง

2.กระบวนการบริหารความเสี่ยงด้านปฏิบัติการ

 

2.1 การระบุความเสี่ยง

ทุกหน่วยงานภายในธนาคารมีหน้าที่ระบุและทบทวนความเสี่ยงด้านปฏิบัติการ ทั้งนี้ กำหนดให้ทุกหน่วยงานต้องระบุความเสี่ยงเป็นระยะๆ หรืออย่างน้อยปีละ 1 ครั้ง หรือทุกครั้งที่มีการเปลี่ยนแปลงของปัจจัยความเสี่ยงต่างๆ ที่ส่งผลกระทบต่อกระบวนการปฏิบัติงาน เช่น การออกผลิตภัณฑ์ใหม่ การออกกฎระเบียบของทางการ การปรับโครงสร้างการทำงาน เป็นต้น

2.2 การประเมินความเสี่ยง

การประเมินความเสี่ยงเป็นผลจากผู้ประเมินได้ประเมินตนเองตามแบบประเมินความเสี่ยงและการควบคุมโดยตนเอง (Risk Control Self-Assessment: RCSA) ทั้งนี้ผลการประเมินจะขึ้นอยู่กับระดับความเสียหาย (Severity) และโอกาสหรือความถี่ (Likelihood) ที่จะเกิดความเสียหาย

2.3 การควบคุมและการจัดการความเสี่ยง

หน่วยงานจะดำเนินการจัดอันดับความเสี่ยงตามลำดับความสำคัญ  เพื่อวางระบบการควบคุมความเสี่ยงภายใน โดยระบบการควบคุมมีวัตถุประสงค์หลักในการควบคุมความเสี่ยงให้อยู่ในระดับที่หน่วยงานยอมรับได้  และต้องสามารถลดความเสี่ยงได้อย่างชัดเจนด้วย

ธนาคารมีแนวทางพิจารณาสำหรับกำหนดกลยุทธ์เพื่อวางระบบการควบคุม คือ การพิจารณาผลการประเมินความเสี่ยง โดยความเสี่ยงใดมีโอกาสที่จะเกิดความเสี่ยงสูงแต่ผลกระทบต่ำ (High Frequency / Low Severity) อาจพิจารณาใช้มาตรการควบคุมที่ช่วยลดโอกาสที่จะเกิดความเสี่ยงนั้น เช่น เพิ่มกระบวนการในการตรวจสอบและถ่วงดุล (Check and Balance) และดำเนินการจัดทำคู่มือการปฏิบัติงาน เป็นต้น  สำหรับความเสี่ยงใดมีโอกาสที่จะเกิดความเสี่ยงต่ำแต่มีความรุนแรงของผลกระทบสูง (Low Frequency / High  Severity) การควบคุมความเสี่ยงก็สามารถทำได้โดยหามาตรการในการลดหรือจำกัดผลกระทบที่อาจจะเกิดขึ้น เช่น การกำหนดเพดานการทำธุรกรรม การทำประกันภัย การจัดให้มีแผนรองรับการดำเนินธุรกิจต่อเนื่อง เป็นต้น  สำหรับความเสี่ยงที่มีโอกาสที่จะเกิดสูงและมีระดับความรุนแรงของผลกระทบสูง (High Frequency/ High severity) หน่วยงานควรหลีกเลี่ยง หรือยกเลิกการดำเนินงานนั้นๆไป กรณีพิจารณาแล้วมีความจำเป็นต้องดำเนินการต่อไปอาจจ้างผู้เชี่ยวชาญหรือบุคคลภายนอก (Outsourcing) มาดำเนินการแทน เพื่อลดความเสี่ยง

2.4 การติดตามและการรายงานความเสี่ยงด้านปฏิบัติการ

ทุกหน่วยงานและฝ่ายบริหารความเสี่ยงร่วมกันกำหนดดัชนีชี้วัดความเสี่ยง (Key Risk Indicators: KRIs) โดยให้รายงานข้อมูลปัจจัยความเสี่ยง (Risk Factor) และข้อมูลสถานะความเสี่ยง (Risk Profile) เพื่อใช้เป็นข้อมูลในการบริหารและจัดการความเสี่ยงด้านปฏิบัติการได้อย่างเหมาะสมและเสนอแนะแนวทางในการป้องกัน ควบคุม และลดความเสี่ยง นอกจากนี้ ยังยกระดับ Risk Agency ให้เป็น GRC Agency โดยมีหน้าที่ปฏิบัติตามภาระหน้าที่และความรับผิดชอบตามที่ธนาคารกำหนด

 

 

 

 

 

 

 

3.แนวทางการบริหารความเสี่ยงด้านปฏิบัติการ

 

 

3.1 การบริหารเทคโนโลยีสารสนเทศ

ธนาคารได้จัดให้มีนโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ  นโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศ หรือ นโยบายการใช้บริการจากผู้ให้ภายนอกด้านเทคโนโลยีสารสนเทศ เพื่อให้ป้องกันความเสี่ยงด้านเทคโนโลยีสารสนเทศที่อาจจะเกิดขึ้น

3.2 การบริหารความเสี่ยงด้านปฏิบัติการในหน่วยงานของธนาคาร

การบริหารความเสี่ยงด้านปฏิบัติการเป็นหน้าที่และความรับผิดชอบของหัวหน้าหน่วยงานที่จะต้องควบคุมดูแลและบริหารความเสี่ยงด้านปฏิบัติการในหน่วยงานของตน รวมถึงการกำหนดระดับที่ยอมรับได้ (Risk Appetite / Risk Tolerance) และการรายงานข้อมูลความเสี่ยงด้านปฏิบัติการ

3.3 การบริหารบุคคลและบุคลากรด้านงานบริหารความเสี่ยง

ธนาคารมีนโยบายในการพัฒนาบุคลากรของธนาคารเพื่อเพิ่มความรู้ความชำนาญรวมทั้งยกระดับมาตรฐานการทำงานของธนาคารให้สามารถรองรับกับการแข่งขันในอนาคตรวมถึงการปลูกจิตสำนึกในเรื่องของการบริหารความเสี่ยงธนาคารจะรักษาไว้ซึ่งทรัพยากรบุคคลด้านบริหารความเสี่ยงที่มีคุณภาพและให้มีค่าตอบแทนที่เหมาะสมส่งเสริมให้พนักงานตระหนักถึงหน้าที่และความรับผิดชอบต่อการบริหารความเสี่ยงด้านปฏิบัติการและจริยธรรมขององค์กรนำหลักการควบคุมภายในที่ดีมาใช้ เช่น การแบ่งแยกหน้าที่ เป็นต้น

 

4.การใช้บริการผู้ให้บริการภายนอก

ธนาคารจัดให้มีนโยบายการใช้บริการจากผู้ให้บริการสนับสนุนการประกอบธุรกิจ เพื่อควบคุมดูแลการดำเนินงานของผู้ให้บริการและลดความเสี่ยงที่อาจจะเกิดขึ้น ได้แก่ การบริหารความต่อเนื่องในการดำเนินธุรกิจ และการให้บริการแก่ลูกค้า (Business Continuity) การคุ้มครองลูกค้า (Consumer Protection) โดยการรักษาความปลอดภัยและข้อมูลลูกค้า และการบริหารความเสี่ยงจากการใช้บริการจากผู้ให้บริการสนับสนุนการประกอบธุรกิจ (Business Facilitator Risk Management) เป็นต้น

 

5.การจัดให้มีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan)

ธนาคารจัดให้มีแผน BCP ขึ้น เพื่อให้หน่วยงานที่เกี่ยวข้องสามารถดำเนินธุรกรรมงานที่สำคัญได้อย่างต่อเนื่อง โดยไม่ส่งผลกระทบต่อการดำเนินธุรกิจ ชื่อเสียง ฐานะ และผลประกอบการของธนาคาร

6.การส่งเสริมให้เกิดเป็นวัฒนธรรมองค์กร และหลักการกำกับดูแลกิจการที่ดี (Risk Culture & Good Governance)

ธนาคารสนับสนุน และให้ความสำคัญกับการปลูกฝังจิตสำนึกในการสร้างระบบการควบคุมให้เกิดเป็นวัฒนธรรมของธนาคาร เพื่อให้ผู้เกี่ยวข้องทุกระดับตระหนักว่ากิจกรรมการควบคุมเป็นหน้าที่ของทุกคนภายในธนาคาร โดยผู้บริหารของหน่วยงานต้องรับผิดชอบต่อความเสี่ยงด้านปฏิบัติการภายในหน่วยงานของตนให้มีการติดตาม ควบคุม และพัฒนาการบริหารความเสี่ยงภายในหน่วยงานอย่างสม่ำเสมอ เพื่อให้เกิดเป็นวัฒนธรรมการบริหารความเสี่ยงขึ้นภายในหน่วยงานและตามหลักการกำกับดูแลกิจการที่ดี

 

7.การสร้างความตื่นตัวในการบริหารความเสี่ยง และวัฒนธรรมของการควบคุมความเสี่ยง

Tone from the Top

คณะกรรมการธนาคาร หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะเป็นผู้นำในการสื่อสาร แนะนำแนวทาง และเน้นถึงความสำคัญของการควบคุม เพื่อเป็นแบบอย่างที่ดีให้แก่พนักงานโดยที่ผู้บริหารของหน่วยงานจักเป็นผู้ปลูกฝังจิตสำนึกในการสร้างระบบการควบคุมภายใน และการสร้างความตื่นตัวเกี่ยวกับการบริหารความเสี่ยงให้เกิดขึ้นภายในองค์กร

 

คณะกรรมการและผู้บริหารระดับสูงถ่ายทอดนโยบายและวัตถุประสงค์

GRC และสื่อสารจาก Tone from the Top