ภาพรวมการบริหารความเสี่ยงองค์กร
ธนาคารตระหนักถึงความสำคัญของการบริหารความเสี่ยงด้านปฏิบัติการโดยคณะกรรมการธนาคารได้อนุมัตินโยบายการบริหารความเสี่ยงด้านปฏิบัติการ และจัดให้มีการทบทวนนโยบายอย่างน้อยปีละครั้ง หรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
ทั้งนี้ กำหนดให้การบริหารความเสี่ยงด้านปฏิบัติการเป็นความรับผิดชอบของกรรมการ ผู้บริหาร และพนักงานทุกคน โดยให้ถือปฏิบัติเป็นส่วนหนึ่งของงานจนเกิดเป็นวัฒนธรรมองค์กรโดยมีสาระสำคัญ ดังนี้
1.โครงสร้างและหน้าที่ความรับผิดชอบของหน่วยงานที่เกี่ยวกับการบริหารความเสี่ยงด้านปฏิบัติการ
ธนาคารกำหนดโครงสร้าง บทบาท หน้าที่ความรับผิดชอบอย่างชัดเจนเป็นลายลักษณ์อักษรและประกาศให้ทราบอย่างทั่วถึงภายในองค์กร สรุปได้ดังแผนภาพ
คณะกรรมการต่างๆ ที่เกี่ยวข้องมี ดังนี้
หน่วยงานภายในธนาคารทุกหน่วยงานซึ่งเป็นหน่วยงานเจ้าของความเสี่ยง
-ถือปฏิบัติตามนโยบายบริหารความเสี่ยงด้านปฏิบัติการ และระเบียบ ข้อบังคับ คำสั่งต่างๆ ที่เกี่ยวข้องอย่างเคร่งครัด
-จัดทำการประเมินความเสี่ยงและการควบคุมโดยตนเอง (Risk Control Self-Assessment: RCSA) รายงานข้อมูลเครื่องชี้วัดความเสี่ยงด้านปฏิบัติการ และรายงานข้อมูลความเสียหาย
-จัดให้มีมาตรการจัดการความเสี่ยงที่เหมาะสม และแผนจัดการความเสี่ยงที่กำหนดรวมทั้งทำหน้าที่การบริหารความเสี่ยง และปลูกฝัง Risk Culture โดยส่งเสริมพนักงานให้มีการตระหนักถึงความสำคัญของการบริหารความเสี่ยง
2.กระบวนการบริหารความเสี่ยงด้านปฏิบัติการ
2.1 การระบุความเสี่ยง
ทุกหน่วยงานภายในธนาคารมีหน้าที่ระบุและทบทวนความเสี่ยงด้านปฏิบัติการ ทั้งนี้ กำหนดให้ทุกหน่วยงานต้องระบุความเสี่ยงเป็นระยะๆ หรืออย่างน้อยปีละ 1 ครั้ง หรือทุกครั้งที่มีการเปลี่ยนแปลงของปัจจัยความเสี่ยงต่างๆ ที่ส่งผลกระทบต่อกระบวนการปฏิบัติงาน เช่น การออกผลิตภัณฑ์ใหม่ การออกกฎระเบียบของทางการ การปรับโครงสร้างการทำงาน เป็นต้น
2.2 การประเมินความเสี่ยง
การประเมินความเสี่ยงเป็นผลจากผู้ประเมินได้ประเมินตนเองตามแบบประเมินความเสี่ยงและการควบคุมโดยตนเอง (Risk Control Self-Assessment: RCSA) ทั้งนี้ผลการประเมินจะขึ้นอยู่กับระดับความเสียหาย (Severity) และโอกาสหรือความถี่ (Likelihood) ที่จะเกิดความเสียหาย
2.3 การควบคุมและการจัดการความเสี่ยง
หน่วยงานจะดำเนินการจัดอันดับความเสี่ยงตามลำดับความสำคัญ เพื่อวางระบบการควบคุมความเสี่ยงภายใน โดยระบบการควบคุมมีวัตถุประสงค์หลักในการควบคุมความเสี่ยงให้อยู่ในระดับที่หน่วยงานยอมรับได้ และต้องสามารถลดความเสี่ยงได้อย่างชัดเจนด้วย
ธนาคารมีแนวทางพิจารณาสำหรับกำหนดกลยุทธ์เพื่อวางระบบการควบคุม คือ การพิจารณาผลการประเมินความเสี่ยง โดยความเสี่ยงใดมีโอกาสที่จะเกิดความเสี่ยงสูงแต่ผลกระทบต่ำ (High Frequency / Low Severity) อาจพิจารณาใช้มาตรการควบคุมที่ช่วยลดโอกาสที่จะเกิดความเสี่ยงนั้น เช่น เพิ่มกระบวนการในการตรวจสอบและถ่วงดุล (Check and Balance) และดำเนินการจัดทำคู่มือการปฏิบัติงาน เป็นต้น สำหรับความเสี่ยงใดมีโอกาสที่จะเกิดความเสี่ยงต่ำแต่มีความรุนแรงของผลกระทบสูง (Low Frequency / High Severity) การควบคุมความเสี่ยงก็สามารถทำได้โดยหามาตรการในการลดหรือจำกัดผลกระทบที่อาจจะเกิดขึ้น เช่น การกำหนดเพดานการทำธุรกรรม การทำประกันภัย การจัดให้มีแผนรองรับการดำเนินธุรกิจต่อเนื่อง เป็นต้น สำหรับความเสี่ยงที่มีโอกาสที่จะเกิดสูงและมีระดับความรุนแรงของผลกระทบสูง (High Frequency/ High severity) หน่วยงานควรหลีกเลี่ยง หรือยกเลิกการดำเนินงานนั้นๆไป กรณีพิจารณาแล้วมีความจำเป็นต้องดำเนินการต่อไปอาจจ้างผู้เชี่ยวชาญหรือบุคคลภายนอก (Outsourcing) มาดำเนินการแทน เพื่อลดความเสี่ยง
2.4 การติดตามและการรายงานความเสี่ยงด้านปฏิบัติการ
ทุกหน่วยงานและฝ่ายบริหารความเสี่ยงร่วมกันกำหนดดัชนีชี้วัดความเสี่ยง (Key Risk Indicators: KRIs) โดยให้รายงานข้อมูลปัจจัยความเสี่ยง (Risk Factor) และข้อมูลสถานะความเสี่ยง (Risk Profile) เพื่อใช้เป็นข้อมูลในการบริหารและจัดการความเสี่ยงด้านปฏิบัติการได้อย่างเหมาะสมและเสนอแนะแนวทางในการป้องกัน ควบคุม และลดความเสี่ยง นอกจากนี้ ยังยกระดับ Risk Agency ให้เป็น GRC Agency โดยมีหน้าที่ปฏิบัติตามภาระหน้าที่และความรับผิดชอบตามที่ธนาคารกำหนด
3.แนวทางการบริหารความเสี่ยงด้านปฏิบัติการ
3.1 การบริหารเทคโนโลยีสารสนเทศ
ธนาคารได้จัดให้มีนโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ นโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศ หรือ นโยบายการใช้บริการจากผู้ให้ภายนอกด้านเทคโนโลยีสารสนเทศ เพื่อให้ป้องกันความเสี่ยงด้านเทคโนโลยีสารสนเทศที่อาจจะเกิดขึ้น
3.2 การบริหารความเสี่ยงด้านปฏิบัติการในหน่วยงานของธนาคาร
การบริหารความเสี่ยงด้านปฏิบัติการเป็นหน้าที่และความรับผิดชอบของหัวหน้าหน่วยงานที่จะต้องควบคุมดูแลและบริหารความเสี่ยงด้านปฏิบัติการในหน่วยงานของตน รวมถึงการกำหนดระดับที่ยอมรับได้ (Risk Appetite / Risk Tolerance) และการรายงานข้อมูลความเสี่ยงด้านปฏิบัติการ
3.3 การบริหารบุคคลและบุคลากรด้านงานบริหารความเสี่ยง
ธนาคารมีนโยบายในการพัฒนาบุคลากรของธนาคารเพื่อเพิ่มความรู้ความชำนาญรวมทั้งยกระดับมาตรฐานการทำงานของธนาคารให้สามารถรองรับกับการแข่งขันในอนาคตรวมถึงการปลูกจิตสำนึกในเรื่องของการบริหารความเสี่ยงธนาคารจะรักษาไว้ซึ่งทรัพยากรบุคคลด้านบริหารความเสี่ยงที่มีคุณภาพและให้มีค่าตอบแทนที่เหมาะสมส่งเสริมให้พนักงานตระหนักถึงหน้าที่และความรับผิดชอบต่อการบริหารความเสี่ยงด้านปฏิบัติการและจริยธรรมขององค์กรนำหลักการควบคุมภายในที่ดีมาใช้ เช่น การแบ่งแยกหน้าที่ เป็นต้น
4.การใช้บริการผู้ให้บริการภายนอก
ธนาคารจัดให้มีนโยบายการใช้บริการจากผู้ให้บริการสนับสนุนการประกอบธุรกิจ เพื่อควบคุมดูแลการดำเนินงานของผู้ให้บริการและลดความเสี่ยงที่อาจจะเกิดขึ้น ได้แก่ การบริหารความต่อเนื่องในการดำเนินธุรกิจ และการให้บริการแก่ลูกค้า (Business Continuity) การคุ้มครองลูกค้า (Consumer Protection) โดยการรักษาความปลอดภัยและข้อมูลลูกค้า และการบริหารความเสี่ยงจากการใช้บริการจากผู้ให้บริการสนับสนุนการประกอบธุรกิจ (Business Facilitator Risk Management) เป็นต้น
5.การจัดให้มีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan)
ธนาคารจัดให้มีแผน BCP ขึ้น เพื่อให้หน่วยงานที่เกี่ยวข้องสามารถดำเนินธุรกรรมงานที่สำคัญได้อย่างต่อเนื่อง โดยไม่ส่งผลกระทบต่อการดำเนินธุรกิจ ชื่อเสียง ฐานะ และผลประกอบการของธนาคาร
6.การส่งเสริมให้เกิดเป็นวัฒนธรรมองค์กร และหลักการกำกับดูแลกิจการที่ดี (Risk Culture & Good Governance)
ธนาคารสนับสนุน และให้ความสำคัญกับการปลูกฝังจิตสำนึกในการสร้างระบบการควบคุมให้เกิดเป็นวัฒนธรรมของธนาคาร เพื่อให้ผู้เกี่ยวข้องทุกระดับตระหนักว่ากิจกรรมการควบคุมเป็นหน้าที่ของทุกคนภายในธนาคาร โดยผู้บริหารของหน่วยงานต้องรับผิดชอบต่อความเสี่ยงด้านปฏิบัติการภายในหน่วยงานของตนให้มีการติดตาม ควบคุม และพัฒนาการบริหารความเสี่ยงภายในหน่วยงานอย่างสม่ำเสมอ เพื่อให้เกิดเป็นวัฒนธรรมการบริหารความเสี่ยงขึ้นภายในหน่วยงานและตามหลักการกำกับดูแลกิจการที่ดี
7.การสร้างความตื่นตัวในการบริหารความเสี่ยง และวัฒนธรรมของการควบคุมความเสี่ยง
Tone from the Top
คณะกรรมการธนาคาร หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะเป็นผู้นำในการสื่อสาร แนะนำแนวทาง และเน้นถึงความสำคัญของการควบคุม เพื่อเป็นแบบอย่างที่ดีให้แก่พนักงานโดยที่ผู้บริหารของหน่วยงานจักเป็นผู้ปลูกฝังจิตสำนึกในการสร้างระบบการควบคุมภายใน และการสร้างความตื่นตัวเกี่ยวกับการบริหารความเสี่ยงให้เกิดขึ้นภายในองค์กร
คณะกรรมการและผู้บริหารระดับสูงถ่ายทอดนโยบายและวัตถุประสงค์
GRC และสื่อสารจาก Tone from the Top