Governance, Risk and Compliance นพ.ธรา ธรรมโรจน์

Global Risk Regional Risk Organization Risks Compliance Politicle Budget Economy Social Workforce Technology Regional Risk Global Risk

Organization Strategic Management Organization Profile Internal factors S External factors P E S T Vision Mission Strategic planning Work system requirements Goal KPIs Strategic Objectives Governance system Work Systems Initiatives Risk Management Work Processes Action plans Internal Control PIs

“Governance” หมายถึง นโยบาย วัฒนธรรมองค์กร กระบวนการขั้นตอนการปฏิบัติงาน ที่ถูกกำหนดออกมาอย่างชัดเจนในการบริหารจัดการและกำกับดูแลองค์กรโดยผู้บริหารระดับสูงเพื่อการบริหารองค์กรที่โปร่งใส ตรวจสอบได้

“Risk” “ความเสี่ยง” เหตุการณ์/ประเด็นที่มีโอกาสเกิดขึ้นในอนาคตและจะส่งผลกระทบในแง่ลบต่อการดำเนินการขององค์กร “Problem” “ปัญหา” เหตุการณ์/ประเด็นที่เป็นอุปสรรคต่อการดำเนินการในปัจจุบัน “Risk Management” หมายถึง การบริหารจัดการความเสี่ยงที่มีเป้าหมายในการลดผลกระทบจากความเสี่ยงที่อาจมีโอกาสเกิดขึ้นได้ในองค์กร หากไม่มีการบริหารจัดการความเสี่ยงที่ดีพอ

“Compliance” หมายถึง การปฏิบัติตามกฎระเบียบข้อบังคับ และ กฎหมาย ตลอดจนการปฏิบัติตามนโยบายด้านสารสนเทศและความปลอดภัยขององค์กรอย่างถูกต้อง ได้ตามมาตรฐาน

กลยุทธ์ วิสัยทัศน์/เป้าหมาย การจัดการ ความเสี่ยง ตัวชี้วัด ระบบงาน/กระบวนงาน ระบบกำกับดูแล

Organization Strategic Management Organization Profile Internal factors S External factors P E S T Vision Mission Strategic planning Work system requirements Goal KPIs Strategic Objectives Governance system Work Systems Initiatives Risk Management Work Processes Action plans Internal Control PIs

การกำกับดูแลองค์กรที่ดี การบริหารความเสี่ยงองค์กร ความเชื่อมโยงการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และการควบคุมภายใน วิสัยทัศน์องค์กร การตรวจสอบภายใน การกำกับดูแลองค์กรที่ดี เกี่ยวข้องกับการกำหนดให้มีระบบ กระบวนการที่โปร่งใส ตรวจสอบได้ขององค์กรเพื่อให้เป็นไปตามกลยุทธ์และวัตถุประสงค์ขององค์กร รวมถึงข้อกำหนดสำคัญที่องค์กรต้องปฏิบัติตาม การบริหารความเสี่ยงองค์กร เกี่ยวข้องกับการระบุ การประเมินและการจัดการความเสี่ยงที่อาจเกิดขึ้นและมีผลต่อการบรรลุวัตถุประสงค์ โดยต้องพิจารณาระดับความเสี่ยงที่องค์กรยอมรับได้ การควบคุมภายใน เกี่ยวข้องกับการพัฒนาและประเมินระบบการควบคุมของกระบวนวานไปใช้ในทางปฏิบัติเพื่อลดผลกระทบและ/หรือ โอกาสเกิดความเสี่ยง

Risk Categories Strategic Risks ความเสี่ยงที่เกี่ยวข้องกับการวางแผนเชิงกลยุทธ์ Operation Risks ความเสี่ยงที่เกี่ยวข้องกับแนวทางการปฏิบัติงานประจำวัน การปฏิบัติงานประจำวัน (เอาเฉพาะ back office) Compliance Risks ความเสี่ยงที่เกี่ยวข้องกับการควบคุมด้านธรรมาภิบาล จริยธรรม การประพฤติปฏิบัติตามระเบียบ ข้อบังคับ กฎหมาย IT Risks ความเสี่ยงที่เกี่ยวข้องกับการใช้งานระบบสารสนเทศ ทั้งด้าน ความปลอดภัย ความมั่นคงของระบบ ความน่าเชื่อถือ Physical Facility Risks ความเสี่ยงที่เกี่ยวข้องกับสภาพแวดล้อมในที่ทำงาน อุปกรณ์ในการปฏิบัติงาน (เครื่องมือ อาคาร สถานที่)

การระบุความเสี่ยง

Risk Past Present Future Effect & Tools Strategic Planning External Factors Political Economic Social Technology Environment Law&regulations Strategic management Intelligent risk KRIs Opportunities Previous Risks Risk Risk management New Problems RIs Out-range Internal control Problems Inefficient Management Tools Ineffectiveness Quality Tools

“Risk” “ความเสี่ยง” เหตุการณ์/ประเด็นที่มีโอกาสเกิดขึ้นในอนาคตและจะส่งผลกระทบในแง่ลบต่อการดำเนินการขององค์กร - ประเด็นที่อาจเกิดขึ้นจากการเปลี่ยนแนวทางการดำเนินการ - ประเด็นที่อาจเกิดขึ้นจากสภาพแวดล้อม ภายใน ภายนอก ที่เปลี่ยนไป - ปัญหาที่อาจเกินขอบเขต/การควบคุม ที่ยอมรับได้ในปัจจุบัน “Problem” “ปัญหา” เหตุการณ์/ประเด็นที่เป็นอุปสรรคต่อการดำเนินการในปัจจุบัน “Risk Management” หมายถึง การบริหารจัดการความเสี่ยงที่มีเป้าหมายในการลดผลกระทบจากความเสี่ยงที่อาจมีโอกาสเกิดขึ้นได้ในองค์กร หากไม่มีการบริหารจัดการความเสี่ยงที่ดีพอ

Workshop 1 ความเสี่ยงด้าน.... 1……………….. 2…………. 3…….. 4…

Response to the Risks วิเคราะห์สาเหตุ กำหนดแผนงาน (วิธีการจัดการความเสี่ยง ตัวชี้วัด ระดับความเสี่ยงที่ยอมรับได้ การกำกับ การซ้อม การตรวจสอบ) ติดตามความเสี่ยง วิเคราะห์ผลการจัดการความเสี่ยง ทบทวนการบริหารจัดการความเสี่ยง

Response to the Risks: causes analysis

Response to the Risks: risk management คำอธิบายความเสี่ยง สาเหตุความเสี่ยง แนวทางจัดการความเสี่ยง ตัวชี้วัด (leading, lagging) ระดับความเสี่ยงที่ยอมรับได้ (risk appetite, target) การซักซ้อม การกำกับติดตาม

การจัดการความเสี่ยง

โอกาสเกิด (Likelihood) Transfer 1 terminate reduce ผลกระทบ (Impact) accept Transfer 2 Transfer2 เช่น การ outsource พนักงานทำความสะอาด transfer 1 เช่น การทำประกันไฟไหม้ terminate เช่น ลิฟท์ตก โอกาสเกิด (Likelihood)

What Next?

การตอบสนองความเสี่ยง

7 damages from Operation Risks Internal Fraud (Man) External Fraud (Man) Employment Practices and Workplace Safety Compliance) Damage to Physical Assets (Safety/Disaster) Business Disruption and System Failures (IT/Machine) Execution, Delivery and Process Management (System/Method) Operation Disruption (Material/Man)