ทุกครั้งที่ต้องไปสอนเกี่ยวกับ "Governance" จะต้องเตรียมตัวเยอะหน่อย เพราะคิดว่าจะขยี้มุมไหนดี และทุกครั้งที่หาคลิปสอนเกี่ยวกับเรื่องนี้ มักคล้ายกับเรื่องการควบคุมภายใน (Internal Control) ที่มักเจอคลิปสอนแล้วง่วงนอน หากไม่ยกตัวอย่างประกอบ
โอกาสที่ผมต้องไปพูดเกี่ยวกับ "Governance" จะมี 2 โอกาส
1) พูดแตะตอนสอนเรื่อง ESG (Environment, Social and Governance) โดยตลาดหลักทรัพย์แห่งประเทศไทย ให้ความสำคัญกับเรื่อง Governance อย่างมาก สังเกตได้จากการที่ประเทศไทยเป็นผู้บุกเบิกการทำ CG Report ใน Asean จนทำให้ผลการจัดลำดับด้าน ESG (ESG Rating) ตามกรอบการเปิดเผย FTSE Russell ด้าน "Governance" บริษัทจดทะเบียนไทย เปิดเผยด้าน Governance มากที่สุดหากเทียบกับ Environment, Social ผมเคยทำสรุปไว้ -->ตรงนี้
2) เวลาไปสอนบริษัทประเภทรัฐวิสาหกิจ
เขามักเน้นเรื่อง Governance หรือบางทีคือ GRC (Governance, Risk and Compliance) ด้วย เพราะต้องผ่านการประเมิน State Enterprise Assessment Model : SE-AM
โดยการบริหารความเสี่ยงและการควบคุมภายใน เป็นหนึ่งในหมวด Enablers ที่ต้องได้รับการประเมิน
หลายบริษัทรัฐวิสาหกิจจะได้รับ Comment จากผู้ตรวจประเมินใน Domain: Governance ว่าควรปรับปรุง GRC (Governance, Risk and Compliance) โดยผู้ประเมินจะทิ้งข้อสงสัยไว้ว่าการทำ GRC ที่ดีนั้น Best-Practice จะต้องทำอย่างไร ผู้ประเมินก็ไม่ไ่ด้บอก / รู้แต่ว่าบริษัทเรายังทำไม่ดี แต่ก็ไม่รู้ว่าที่ทำดีควรทำอย่างไร ฮ่า ๆ
ผมขอสรุปจากที่อ่าน/ฟังมาแล้วตกผลึกว่า
1. เรื่องผลประเมินก็ส่วนผลประเมิน แต่สิ่งที่ต้องมาคิดคือ องค์กรเราได้ประโยชน์อะไรจากการทำ GRC หากวันนี้องค์กรท่านมีธรรมภิบาลหรือ Governance ที่ดี ท่านอาจไม่ค่อยรู้สึกว่าการทำ GRC มันมีประโยชน์อะไร / แต่วันนึงหากองค์กรหนึ่งได้รับผลกระทบจากการขาด
ธรรมาภิบาล ผลกระทบเกิดขึ้นชัดเจนมากตามภาพด้านล่าง วันหนึ่งที่มีข่าวการตกแต่งกำไร/ปลอมแปลงงบการเงิน ขึ้นมา ราคาหุ้นตกลงพรวดเลยครับ
จึงอาจกล่าวได้ว่าผลประโยชน์เชิงบวกจับต้องยากกว่าผลกระทบเชิงลบที่เกิดขึ้นได้เพียงแค่ข้ามคืน
ดังนั้นหากวันนี้องค์กรท่านไม่เกิดเรื่องอะไร ให้ท่านนึกไว้เลยว่า ท่านมี GRC หรือ Governance ที่ดีประมาณนึงเเล้ว (ให้กำลังใจจริงๆ ว่าผลประเมินก็อาจไม่ได้บอกอะไร)
2. หากต้องไปสอนเรื่องการออกแบบ GRC
แน่นอนว่าทุกตำราจะต้องแนะนำหลักการ Three Lines of Defense
เรื่อง GRC ก็มึนอยู่แล้ว เจอ Three Lines of Defense ยิ่งมึนเข้าไปใหญ่เลย
เนื่องจากต้องไปสอนเรื่อง GRC อยู่บ้าง พยายามนึกถึงอะไรที่จับต้องได้ ผมได้ไปเจอคลิป
ที่ดีมาก จับต้องได้ ในเรื่องของการออกแบบ GRC ของ AI ทำขึ้นโดย IBM อธิบายภาพให้เห็นชัดเจนเลยว่า GRC โดยหลักการ Three Lines of Defense แท้จริงแล้วมันก็คือ
- การ Sharing Data กัน
- การ Communicate
อย่ารอช้า มาดูคลิปกันครับ Risk & Compliance in Data GRC Architecture
อ. หน่ง
GRC ปวดหัวจัง มันคืออะไร
22 มี.ค. 2568