การบริหารความเสี่ยงด้วย COSO-ERM 2017

บริหารความเสี่ยงด้วย COSO-ERM 2017

May 17, 2018

          การบริหารความเสี่ยงเป็นหนึ่งในระบบงานที่สำคัญขององค์กรทุกประเภท โดยเฉพาะอย่างยิ่งโลกยุคแห่งความไม่แน่นอนในปัจจุบัน  องค์กรทั่วโลกส่วนใหญ่ได้ใช้กรอบการบริหารความเสี่ยงตามแนวทางของ COSO หรือ COSO-ERM Framework เหตุผลหนึ่งเนื่องด้วยแนวทางนี้เป็นการต่อยอดต่อเนื่องจากการบริหารความเสี่ยงด้านการปฏิบัติงานตามกรอบการควบคุมภายในหรือ Internal Control ที่มุ่งสร้างความน่าเชื่อถือสนับสนุนรายงานทางการเงินให้กับบริษัทผู้ตรวจสอบบัญชี โดยเป็นข้อมูลสำคัญในกระบวนการตรวจสอบทางการเงินและบัญชีของกิจการต่างๆ ซึ่งกิจการต่างๆ มีความคุ้นเคยกันมาตั้งแต่ช่วงทศวรรษที่ 1990

          COSO หรือ The Committee of Sponsoring Organizations of the Treadway Commission เป็นองค์กรที่เกิดจากการรวมตัวของหน่วยงานสำคัญด้านการบัญชีและการตรวจสอบของประเทศสหรัฐอเมริกา ที่ถือเป็นประเทศต้นแบบของระบบการเงินและการบัญชีที่ทั่วโลกใช้อยู่ในปัจจุบัน

COSO’s Mission is “To provide thought leadership through the development of comprehensive frameworks and guidance on enterprise risk management, internal control and fraud deterrence designed to improve organizational performance and governance and to reduce the extent of fraud in organizations.”

          การเกิดวิกฤติด้านระบบบัญชีและธรรมาภิบาลในสหรัฐฯ ซึ่งเริ่มจากกรณีของเอ็นรอน (Enron) บริษัทยักษ์ใหญ่ด้านพลังงาน ในช่วงปี 2001-2002 อันเนื่องมาจากการฉ้อฉลของฝ่ายบริหาร และการตกแต่งบัญชีร่วมกับบริษัทผู้ตรวจสอบบัญชีอิสระ อาร์เธอร์ แอนเดอร์สัน (Arthur Andersen) นั้น เป็นปัจจัยสำคัญที่ทำให้สหรัฐฯ ต้องมีการปฏิรูประบบกฎหมาย กฎระเบียบทางการบัญชี รวมทั้งการกำหนดแนวทางการกำกับดูแลกิจการ (Governance) ครั้งใหญ่

          การเปลี่ยนแปลงครั้งนั้นนำมาซึ่งความตื่นตัวขององค์กร รวมทั้งแรงกดดันจากผู้มีส่วนได้ส่วนเสียกลุ่มต่างๆ ต่อการบริหารกิจการของฝ่ายบริหารและคณะกรรมการให้มีความมั่นคง รอบคอบ หรือก็คือการตระหนักต่อความเสี่ยงต่างๆ ที่เกี่ยวข้องกับการเติบโตและความยั่งยืนขององค์กรมากขึ้น กรอบการบริหารความเสี่ยงองค์กร (Enterprise Risk Management, ERM) จึงได้ถูกนำเสนอโดย COSO หลังจากเหตุนั้น ในชื่อของ COSO-ERM Integrated Framework-2004 ซึ่งองค์กรต่างๆ ทั่วโลกนำมาปรับใช้เป็นแนวทางในการบริหารความเสี่ยงองค์กรของตน รวมถึงหน่วยงานรัฐที่มีหน้าที่กำกับดูแลกิจการประเภทต่างๆ ในประเทศของตนด้วย

          เหตุผลสำคัญที่ทำให้ COSO-ERM เป็นกรอบการบริหารความเสี่ยงองค์กรที่ได้รับความนิยม คือการแสดงความชัดเจนของวัตถุประสงค์ในการบริหารความเสี่ยงที่เชื่อมโยงกับวัตถุประสงค์ขององค์กร 4 ด้านได้แก่ ด้านกลยุทธ์ ด้านการปฏิบัติงาน ด้านการรายงาน และด้านการปฏิบัติตามกฎระเบียบ ซึ่งช่วยให้องค์กรสามารถพิจารณาวิเคราะห์ระบุความเสี่ยงอย่างรอบด้านมากขึ้น

COSO-ERM ได้แสดงถึงองค์ประกอบของกระบวนการบริหารความเสี่ยงอย่างเป็นระบบ และยังให้ความชัดเจนของการบริหารความเสี่ยงที่ต้องดำเนินการในทุกระดับขององค์กรอย่างสอดคล้องเชื่อมโยงกัน ตั้งแต่ระดับองค์กร สายงาน กลุ่มธุรกิจ และรวมทั้งบริษัทย่อย (ในกรณีที่มีหลายๆ บริษัทในเครือ) ด้วย ซึ่งองค์ประกอบของกรอบการบริหารความเสี่ยงนี้ ได้ถูกนำเสนอผ่านรูปลูกบาศก์ COSO Cube ที่มักเห็นกันอยู่เสมอ

กรอบการบริหารความเสี่ยง COSO-ERM นี้ได้ถูกใช้มามากกว่า 10 ปี (ตั้งแต่ปี 2004) ท่ามกลางการใช้อย่างแพร่หลายมากขึ้นเรื่อยๆ และสภาพแวดล้อมทั้งในระดับมหภาค และระดับองค์กรที่เปลี่ยนแปลงไป โดย COSO ได้ดำเนินการทบทวนปรับปรุงใหม่จนแล้วเสร็จ เผยแพร่ในเดือนมิถุนายน ปี 2017 ที่ผ่านมา และใช้ชื่อกรอบการบริหารความเสี่ยงใหม่นี้ว่า Enterprise Risk Management-Integrating with Strategy and Performance

          การทบทวนปรับปรุงนี้ เป็นผลมาจากการเปลี่ยนแปลงของสภาพแวดล้อมที่ส่งผลให้มีปัจจัยเสี่ยงใหม่ๆ เกิดขึ้นอย่างมากมาย และรวดเร็วขึ้นกว่าเดิม รวมถึงการเปลี่ยนแปลงพฤติกรรมของลูกค้าและผู้มีส่วนได้ส่วนเสียกับองค์กร ที่ทั้งหมดได้แสดงอิทธิพลอย่างยิ่งต่อดำเนินงานขององค์กรต่างๆ ในปัจจุบัน โดยการบริหารจัดการความเสี่ยงดังกล่าวจะต้องเผชิญกับความท้าทายอย่างรอบด้าน ที่ต้องพิจารณาแนวทางใหม่ๆ ในการจัดการความเสี่ยงที่มีประสิทธิผลและประสิทธิภาพมากขึ้น เพื่อรักษาความสามารถและสร้างความยั่งยืนให้กับองค์กรต่อไปได้

          สำหรับการเปลี่ยนแปลงที่สำคัญของ COSO-ERM 2017 นี้ ได้แก่ การเปลี่ยนแปลงองค์ประกอบของกระบวนการใหม่ให้มีความละเอียดชัดเจนขึ้น โดยแบ่งออกเป็น 20 หลักการใน 5 องค์ประกอบ (จากเดิมมีเฉพาะ 8 องค์ประกอบ) คือ 1) Governance and Culture (การกำกับดูแลกิจการและวัฒนธรรมองค์กร) 2) Strategy & Objective Setting (กลยุทธ์และวัตถุประสงค์องค์กร) 3) Performance (เป้าหมายผลการดำเนินงาน) 4) Review & Revision (การทบทวนและปรับปรุง) และ 5) Information, Communication & Reporting (สารสนเทศ การสื่อสาร และการรายงาน)

สิ่งที่ COSO พยายามมุ่งเน้นนำเสนอในการปรับปรุงนี้ คือการแสดงให้เห็นว่าการบริหารความเสี่ยงองค์กรนั้น เกี่ยวข้องเชื่อมโยงกับการสร้างคุณค่าผ่านกลยุทธ์และตัวแบบธุรกิจขององค์กรอย่างแท้จริง

“Good risk management and internal control are necessary for long term success of all organizations.” – COSO

 

บทความจาก TRIS Academy Club Issue4 January 2018, "Organizational Excellence" โดย ดร.สุรเดช จองวรรณศิริ ผู้อำนวยการ สถาบันวิทยาการจัดการ ทริส คอร์ปอเรชั่น