สวัสดีครับ ครั้งนี้อยากจะขอพูดเรื่อง GRC หน่อย เข้าใจว่าบางท่านอาจจะยังไม่รู้จักแต่หลายท่านคงเคยได้ยินหรือรู้จักกันบ้างแล้ว แต่ครั้งนี้จะขอเรียนในมุมมองส่วนตัวและความตั้งใจที่จะสื่อสารแบบง่ายๆ จากประสบการณ์ให้ฟัง คำว่า GRC ย่อมาจาก Governance, Risk (Management), และ Compliance คำว่า Risk นั้นมีทั้งเขียน Risk เฉยๆ หรือ เขียน Risk Management ผมจึงใส่วงเล็บให้เห็น
ก่อนอื่นเมื่อพูดถึง GRC ต้องพูดถึง OCEG (Open Compliance and Ethics Group) ก่อนเพราะเป็นต้นคิดเรื่องนี้ แต่ก่อนนั้น GRC ถูกอธิบายว่าเป็นระบบที่เกี่ยวข้องกับคน (people) กระบวนการ (processes) และเทคโนโลยี (technology) ที่ช่วยขับเคลื่อนองค์กรให้ มีความเข้าใจและจัดลำดับความสำคัญต่อความคาดหวังของผู้มีส่วนได้เสีย (Stakeholders) กำหนดวัตถุประสงค์ทางธุรกิจเพื่อให้สอดคล้องกับมูลค่าและความเสี่ยงที่เกี่ยวข้อง และอีกหลายประโยค …
รวมๆ แล้วได้ 6 ประโยคซึ่งก็คือประโยชน์ของการมี GRC นั่นเอง ซึ่งในความเห็นผมๆ ว่าเขียนเข้าใจยากเพราะบอกว่าเกี่ยวข้องกับใครหรืออะไรบ้าง? เพื่ออะไร? แต่ไม่ได้บอกตรงๆ ว่ามันคืออะไร? แต่การอธิบายตอนหลังนั้น OCEG เขียนดีขึ้น คือให้ความหมายว่า เป็นการบูรณาการของสิ่งที่จะทำให้องค์กรบรรลุเป้าหมาย รู้ถึงความไม่แน่นอน และดำเนินงานได้อย่างมีบูรณภาพ (ภาษาอังกฤษใช้คำ Integrity) ซึ่งเจ้าสิ่งที่จะทำให้บรรลุตามนั้นได้ก็คือ Governance, Risk, และ Compliance นั่นเอง
หัวใจสำคัญ คือ การบูรณาการกัน เพราะจริงๆ ทั้ง G, R, และ C นั้นไม่ใช่เรื่องใหม่ แต่ประเด็นคือทำแบบโดดๆ อาจทำได้ดี ครบถ้วนในตัวของมันเอง คือในตัว G เอง ตัว R เอง และ ตัว C เอง แต่ขาดการบูรณาการกัน ทีนี้ก็เลยเกิดปัญหาขึ้นมาเพราะการขาดการบูรณาการกัน!
ต้องบอกว่าถ้าทำทั้ง 3 ตัวนี้ได้ดีจริงแต่ขาดการบูรณาการกันนั้น ปัญหามักจะอยู่ในรูปของการขาดประสิทธิภาพ หรือ ประสิทธิผลเท่าที่ควรมากกว่า แต่ถ้าทำ 3 ตัวนี้ได้ยังไม่ดีพอแล้วขาดการบูรณาการกันด้วย ปัญหาก็คือ ตัวใดตัวหนึ่งหรือหลายตัวหรือทุกตัวอาจจะถึงขั้นล้มเหลวเลยก็ได้ นี่คือประเด็นหรือปัญหาที่ถูกกล่าวถึงกันมากเวลาพูดถึงที่มาและเหตุผลของ GRC แต่โดยส่วนตัวแล้วมักจะเสริมด้วยว่า จริงๆ ถ้าทำ 3 ตัวนี้แบบถูกต้องและเข้าใจในหลักการ เหตุผลจริงๆ แล้ว (ไม่ใช่ Checklist หรือทำโดยดูว่าต้องทำอะไรบ้างแล้วก็ไปทำเลย) ประเด็นหรือปัญหาที่ถูกพูดถึงโดยเฉพาะเรื่องบูรณาการกันจะไม่เกิดขึ้น เพราะทั้ง 3 ตัวเกี่ยวข้องกันและควรจะต้องบูรณาการกันอยู่แล้วถ้าเข้าใจในหลักการ
เหตุผลจริงๆ ก็รู้อยู่แล้วว่าต้องเหลือบดู (บูรณาการ) กันและกัน! จะมีการกำกับดูแล (G) ที่ดีได้ไง ถ้าไม่รู้ความเสี่ยง? จะบริหารความเสี่ยง (R) ที่ดีได้ไง ถ้าไม่รู้กฏ ระเบียบ ข้อบังคับที่ควรทำตามหรือต้องทำตาม? จะทำตามกฏ ระเบียบ ข้อบังคับ (C) ได้ดีได้ถูกต้องและครบถ้วนได้ไง ถ้าไม่รู้เรื่องการกำกับดูแลที่ดี? มันเกี่ยวข้องกันเหมือนงูกินหางอย่างนี้ล่ะครับ
นอกจากนี้อีกประเด็นที่น่าสนใจเวลาพูดถึง GRC คือ เทคโนโลยี เพราะมักจะมีการพูดว่าเป็นเรื่องที่เกี่ยวข้องกับเทคโนโลยีด้วย และจะตามมาด้วยเรื่องที่ขยายขอบเขตเข้าสู่เรื่องอื่น เช่น IT Governance, IT security เป็นต้น ในความเห็นส่วนตัวแล้วคิดว่าการที่เกี่ยวข้องหรือต้องพูดถึงเทคโนโลยีโดยเฉพาะเทคโนโลยีสารสนเทศก็เพราะเวลาพูดถึงการบูรณาการกันระหว่าง G, R, และ C นั้น สาระสำคัญมากๆ เลยคือการบูรณาการหรือใช้ข้อมูล แบ่งปัน (แชร์) ข้อมูลหรือสารสนเทศ และการให้ข้อมูลหรือสารสนเทศถูกต้อง ทันกาล และครบถ้วนระหว่างกัน เมื่อเป็นเช่นนี้ ในโลกปัจจุบันที่ข้อมูลหรือสารสนเทศมีมากมาย ซับซ้อน และหลากหลาย ฯลฯ นั้น
จึงแทบเป็นไปไม่ได้เลยที่จะไม่ใช้เทคโนโลยีเข้ามาช่วย ไม่นับเรื่องการประมวลผลและการนำเสนอข้อมูลหรือสารสนเทศด้วย เมื่อคิดภาพตรงนี้ออกจึงเข้าใจได้แล้วนะครับว่าเทคโนโลยีเข้ามาเกี่ยวข้องด้วยได้ไง อย่างไรก็ตามต้องบอกว่าการบูรณาการกันนั้นมีมากกว่าแค่เรื่องข้อมูลหรือสารสนเทศ เช่น เรื่องกระบวนการ นโยบาย คน ยุทธศาสตร์ เหล่านี้ก็ใช่ทั้งนั้น เพียงแต่หลายตัวจะเป็นเรื่องของการบูรณาการเพื่อประสิทธิภาพขณะที่บางตัวบูรณาการเพื่อประสิทธิผลหรือทั้งคู่ ซึ่งตัวข้อมูลหรือสารสนเทศนี้อยู่ในกลุ่มหลังครับ คือเพื่อทั้งคู่ทั้งประสิทธิภาพและประสิทธิผล ในการเขียนย่อให้เต็มนั้น บางครั้งก็จะเขียน iGRC เติม i เข้าไปข้างหน้าทำให้เป็น Integrated GRC เพื่อเน้นเรื่องบูรณาการมากขึ้นครับ
