มาวันนี้อยากขอเล่าให้ชาว Risk Management เข้าใจในแบบที่ตัวเองเข้าใจ และเหตุผลที่นึกถึงหัวข้อนี้ เพราะเมื่อศุกรที่แล้วได้ถูกเชิญไปพูดในหัวข้อ "ปรากฎการณ์เอ๊ะ" ให้กับองค์กรชื่อดัง ขนาดใหญ่ ที่มี First Line of Defense เข้มแข็งมาก มาลองฟังกันนะครับว่า Three Lines of Defense ในแบบที่อาจารย์หน่งเข้าใจ พอจะทำให้ทุกคนเข้าใจมากขึ้นหรือไม่
1. First Line of Defense
พูดง่าย ๆ ก็คือ คนหน้างาน ที่จะรับรู้ความเสี่ยงของงานตัวเองได้ดีที่สุด หรือพูดอีกนัยก็คือ การรายงานความเสี่ยง (Reporting Risk)จากคนหน้างานที่รู้ความเสี่ยงดีที่สุด ส่วนใหญ่ First Line of Defense มักจะรายงานความเสี่ยงด้าน Operation ที่ตนเองได้ปฏิบัติงาน หรือเป็นการรายงานความเสี่ยงในแบบ Bottom Up Level
และองค์กรที่เชิญไปพูดล่าสุด หา Topic ได้สุดยอดมากคือ เขาอยากให้ First Line of Defense มีทักษะการเอ๊ะให้มาก เพื่อให้ความเสี่ยงสำคัญถูกวิเคราะห์ ไม่ปล่อยผ่านไปง่าย ๆ
คนกลุ่ม First Line of Defense จะ
เห็นความเสี่ยงก่อนใคร
กล้าถามว่า “ถ้าเกิดพลาดขึ้นมาจะเป็นยังไง?”
หลาย ๆ ที่พยายามสร้างความเข็มแข็งของ First Line of Defense ผ่านกลุ่มคนที่เรียกว่า "Risk Champion"และไม่ปล่อยให้ปัญหาเล็ก ๆ กลายเป็นวิกฤตใหญ่
หลายที่ใช้คำนี้ หรือบางที่อาจใช้คำว่า "Risk Coordinate" กลุ่มคนพวกนี้ใช่ Risk Owner หรือไม่ หลายคนคงสงสัย แต่ในความเป็นจริงแล้ว Risk Champion หรือ Risk Coordinate คือตัวแทนหน่วยงานที่ได้รับการถ่ายทอดองค์ความรู้ด้าน Risk เพื่อเป็น Change Agent และทำหน้าที่ประสานงานเพื่อให้เกิดการรายงานความเสี่ยงในหน่วยงานตนเองให้มีประสิทธิภาพ
ทุกครั้งที่ผมได้ทำหน้าที่ในการพัฒนา/consult ระบบบริหารความเสี่ยงก็จะแนะนำให้ที่เหล่านั้นสร้างกลไก Risk Champion ขึ้นมา โดยพัฒนาคนกลุ่มนี้ผ่านการ training จัดกิจกรรมต่าง ๆ เพื่อเป็นการกระตุ้นวัฒนธรรมความเสี่ยง นอกจากการจัด training และกิจกรรมวิชาการ ล่าสุดทีมงานและผมร่วมกันวางแผนจัดกิจกรรม KMUTT Awakening Risk DNA คัดเลือกหน่วยงาน First Line of Defense ที่ดำเนินการวิเคราะห์แผนความเสี่ยงได้อย่างยอดเยี่ยม 5 หน่วยงานขึ้น Pitching เพื่อรับรางวัล ซึ่งจะจัดขึ้นในวันที่ 26 มกราคม 2569
หากคนมองว่าเรื่อง Risk มักเป็นเรื่องลบๆ การจัดกิจกรรมดังกล่าวขึ้นนั้นเปลี่ยนมุมมอง Risk to Reward จริงแล้วรางวัลเป็นเพียงแค่องค์ประกอบ แต่เปา้หมายหลักของเราก็คือต้องการสร้้างความเข้มแข็งของประการด้่านแรก ให้เกิดเป็นวัฒนธรรมความเสี่ยงองค์กรที่ดี
2. Second Line of Defense
ด่านนี้จะเกี่ยวข้องโดยตรงใน 2 ระดับ คือ
- ระดับทีมงานด้านความเสี่ยง (Risk Management) ซึ่งทำหน้าที่ในการวางกรอบ สนับสนุนด้านความรู้ และทำให้การรายงานความเสี่ยงทำได้อย่างราบรื่น หรือทีม Facilitate ลดความเป็นตำรวจบ้าน และเพื่อให้ First Line of Defense ทำงานได้อย่างราบรื่น ทีมความเสี่ยงเองจะต้องสนับสนุนองค์ความรู้ จัดทำ template / หรือแม้แต่ออกแบบระบบสารสนเทศ (Risk Management Information) ให้ First Line of Defense รายงานความเสี่ยงได้อย่างไม่ติดขัด
- ระดับคณะกรรมการความเสี่ยง (Risk Management Commitee, RMC) ทำหน้าที่ในการกำกับและตัดสินใจในประเด็นสำคัญด้านบริหารความเสี่ยง วางนโยบาย ให้ความเห็นที่เป็นประโยชน์เพื่อพัฒนาระบบบริหารความเสี่ยง ซึ่ง RMC ที่มีทัศนคติเชิงบวก จะเกื้อหนุนให้ ระบบบริหารความเสี่ยงพัฒนาได้อย่างมีประสิทธิภาพ
3. Third Line of Defense
ซึ่งหลายตำรามักบอกว่าด่านสุดท้ายมีหน้าที่กำกับ แต่ส่วนตัวของอาจารย์หน่งไม่อยากให้มองแบบนั้น เพราะจริงแล้ว RMC ไม่ได้เล็กไปกว่า Audit Committee (AC) เลย แต่............. อยากให้มองว่าในยุคนี้ เป็นยุคแห่งการ sharing data กัน บางมุมที่ AC อาจมองได้รอบด้านกว่า อาจจะแชร์ไอเดีย ดี ๆ ให้กับ RMC เพื่อให้การจัดการความเสี่ยงทำได้รอบด้านขึ้น หรือบางที RMC อาจรุ้ในบางมุมที่ลึกกว่า ก็สามารถแชร์ AC ได้เช่นกัน
ตัวอย่างเรื่อง GRC, Three Line of Defense
แปะคลิปวีดีโอของ IBM ที่ทำไว้ค่อนข้างเห็นภาพชัดเกี่ยวกับการบริบท AI นะครับ
1. Risk & Compliance in Data GRC Architecture
2. The Importance of AI Governance
ไว้มาเล่ากันใหม่ตอนหน้านะครับ
อ. หน่ง