การเปลี่ยนแปลงองค์กรเพื่อรองรับพันธมิตรทางธุรกิจ พลิก ‘วิกฤต’ ให้เป็น ‘โอกาส’?

ปัจจัยภายนอกทั้งในระดับโลกและระดับภูมิภาคที่ส่งผลต่อเศรษฐกิจในช่วงที่ผ่านมา เช่น ความขัดแย้งระหว่างประเทศที่กระทบต่อระบบห่วงโซ่อุปทาน อัตราเงินเฟ้อ และภัยจากการเปลี่ยนแปลงของสภาพภูมิอากาศ ทำให้หลายธุรกิจในประเทศไทยเหมือนถูกทดสอบการจัดการในสภาวะวิกฤต เพื่อให้การทำธุรกิจยังคงเป็นไปตามแผน ในวิกฤตนั้นก็เป็นแรงผลักอย่างแรงกล้าให้หลายธุรกิจซึ่งอาจจะอยู่ระหว่างการเปลี่ยนแปลงองค์กร หรืออาจจะอยู่ในช่วงพิจารณาเปลี่ยนแปลงองค์กร หรืออาจจะยังไม่เคยคิดถึงเรื่องนี้เลยด้วยซ้ำ จำเป็นต้องดำเนินการปรับตัวและเปลี่ยนแปลง ซึ่งในช่วงเวลาปกติมักจะต้องใช้ระยะเวลาพอสมควร แต่เพราะความผันผวนของสถานการณ์ทางสังคมและเศรษฐกิจโลก ทำให้การเปลี่ยนแปลงดังกล่าวเกิดขึ้นอย่างรวดเร็ว

ผู้ให้บริการภายนอก (Outsource) หรือพันธมิตรทางธุรกิจ (Business Partner) ที่ทางหน่วยงานกำกับ เช่น ธนาคารแห่งประเทศไทย เรียกโดยรวมว่า บุคคลภายนอก (Third Party) นั้นมีการกำหนดนิยามเอาไว้ว่า ‘บุคคลหรือนิติบุคคลภายนอก ซึ่งเป็นผู้ให้บริการด้านเทคโนโลยีสารสนเทศ หรือเป็นผู้ที่มีการเชื่อมต่อกับระบบเทคโนโลยีสารสนเทศของสถาบันการเงิน หรือเป็นผู้ที่สามารถเข้าถึงข้อมูลสำคัญของสถาบันการเงินหรือข้อมูลของลูกค้าที่ควบคุมดูแลโดยสถาบันการเงินได้ โดยกรณีของสาขาของธนาคารพาณิชย์ต่างประเทศให้รวมถึงสำนักงานใหญ่หรือสาขาอื่นในต่างประเทศที่เป็นนิติบุคคลเดียวกันด้วย ทั้งนี้ บุคคลภายนอกไม่ครอบคลุมถึงลูกค้าที่ใช้ผลิตภัณฑ์และบริการของสถาบันการเงิน’ เข้ามามีบทบาทมากขึ้นเรื่อยๆ ในช่วงที่ผ่านมา เพื่อให้ธุรกิจสามารถก้าวไปข้างหน้าได้อย่างรวดเร็ว

แต่จากผลสำรวจเรื่องการจัดการความเสี่ยงที่อาจเกิดขึ้นจากบุคคลภายนอก (Third-Party Risk Management) ที่ทาง KPMG ได้จัดทำในช่วงต้นปี 2022 ซึ่งได้สำรวจผู้บริหารระดับสูงในหลายภาคธุรกิจทั่วโลก ส่วนใหญ่ประมาณร้อยละ 52 มองว่าสถานการณ์ปัจจุบันขององค์กรไม่มีความสามารถในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากบุคคลภายนอก และมากกว่าร้อยละ 78 มองว่าหากไม่มีการจัดการที่ดีสำหรับบุคคลภายนอกในช่วงสภาวะวิกฤต ผลกระทบกับองค์กรอาจจะสูงอย่างมีนัยสำคัญ เพราะฉะนั้นมากกว่าร้อยละ 85 จึงมองว่าการจัดการดังกล่าวควรต้องเป็นหนึ่งในกลยุทธ์สำคัญขององค์กร และร้อยละ 77 ประเมินว่าสถานการณ์การจัดการดังกล่าวขององค์กรล่าช้ากว่าที่ควรจะเป็น

นอกจากนี้ 5 หัวข้อที่ถูกยกขึ้นมาพูดถึงค่อนข้างมากเกี่ยวกับ Third-Party Risk Management ได้แก่

1. เหตุการณ์ความเสียหายจากบุคคลภายนอกทำให้ธุรกิจเกิดการหยุดชะงัก และยังส่งผลเสียต่อชื่อเสียงอีกด้วย
2. หลายธุรกิจประเมินความต้องการในการจัดการบุคคลภายนอกต่ำกว่าที่ควรจะเป็น ทำให้งบประมาณไม่เพียงพอ
3. เทคโนโลยีที่องค์กรนำมาใช้ยังไม่สามารถตอบสนองความต้องการขององค์กรได้
4. ทรัพยากรไม่เพียงพอยังคงเป็นความท้าทาย
5. หลายธุรกิจยังขาดรูปแบบการดำเนินการที่เหมาะสมสำหรับการจัดการบุคคลภายนอก

นอกจากนี้ หน่วยงานราชการไม่ว่าจะเป็นธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือหน่วยราชการอื่นๆ ที่มีการกำกับให้องค์กรต่างๆ ไม่จำกัดแค่เพียงองค์กรที่เกี่ยวกับธุรกิจการเงินการธนาคารเท่านั้น ต้องจัดการความเสี่ยงที่อาจเกิดขึ้นจากบุคคลภายนอกมากขึ้น จากกระแสข่าวเกี่ยวกับความเสี่ยงข้อมูลรั่วไหลที่เกิดขึ้นในช่วงที่ผ่านมา รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่มีผลบังคับใช้ตั้งแต่ช่วงกลางปีที่ผ่านมา ยิ่งทำให้ฝ่ายบริหารความเสี่ยงจำเป็นต้องได้รับการเปลี่ยนแปลงเพื่อให้สามารถรับมือกับความเสี่ยงใหม่ๆ ที่อาจจะเกิดขึ้นกับองค์กรได้อย่างทันท่วงที

การเปลี่ยนแปลงฝ่ายบริหารความเสี่ยงเพื่อให้สามารถรองรับการใช้บริการ หรือการร่วมมือกับบุคคลภายนอกเป็นไปได้อย่างรวดเร็ว มีสิ่งที่จะช่วยทำให้สำเร็จได้ดังนี้

1. การขับเคลื่อนองค์กรด้วยข้อมูล (Data-driven Approach): ในสมัยก่อนการตรวจสอบวิเคราะห์สถานะบุคคลภายนอกจะเป็นการตรวจสอบผ่านแบบสอบถาม หรือเอกสารหลักฐานเป็นหลัก แต่ในปัจจุบันเราสนับสนุนให้มีการใช้ข้อมูลจริง ซึ่งอาจจะมีอยู่ภายในองค์กรอยู่แล้วหรือยังไม่มี เพื่อหาทางนำมาใช้ในการประมวลผลเพื่อให้มั่นใจว่าผู้บริหารสามารถตัดสินใจได้อย่างมั่นใจมากขึ้น ตั้งแต่ขั้นตอนการพิจารณาจนถึงยกเลิก

2. การกำหนดกฎเกณฑ์ต่างๆ (Rules-based Process): การประเมินและการให้คะแนนสำหรับบุคคลภายนอกแต่ละราย ควรมีการกำหนดไว้ให้ชัดเจน พร้อมทั้งกำหนดการจัดการที่เหมาะสมให้กับแต่ละระดับความเสี่ยง เพื่อให้องค์กรสามารถมุ่งจัดการบุคคลภายนอกที่อาจส่งผลกระทบกับองค์กรมากให้กลับมาอยู่ในระดับที่องค์กรยอมรับได้

3. กระบวนการอัตโนมัติ (Automation): ไม่ใช่ทุกอย่างที่จะสามารถทำให้เป็นอัตโนมัติได้ แต่กระบวนการที่สามารถทำได้ หรือกระบวนการที่สามารถทำให้เป็นมาตรฐานเดียวกันก็ควรทำให้เป็นอัตโนมัติ เพื่อลดขั้นตอนที่ยุ่งยากต่างๆ ลง เพื่อให้ฝ่ายที่รับผิดชอบได้มุ่งมั่นในการจัดการกับกระบวนการที่ไม่สามารถทำให้เป็นอัตโนมัติได้มีประสิทธิภาพมากขึ้น

4. การใช้บริการบุคคลภายนอก (Use of Managed Services): ไม่ใช่แค่เพียงฝ่ายธุรกิจ ฝ่ายปฏิบัติการ ฝ่ายเทคโนโลยีสารสนเทศเท่านั้นที่ใช้ผู้ให้บริการภายนอก แต่ฝ่ายบริหารความเสี่ยงก็สามารถเลือกใช้บริการภายนอกจากผู้เชี่ยวชาญเพื่อให้การจัดการความเสี่ยงขององค์กรมีประสิทธิภาพมากขึ้น เช่น การใช้บริการ Risk Intelligence Services ต่างๆ ในการตรวจสอบสถานะของผู้ให้บริการภายนอกหรือพันธมิตรทางธุรกิจ เฉกเช่นเดียวกับการที่องค์กรมักตรวจสอบว่าบุคคลภายนอกได้รับรองตามมาตรฐานต่างๆ หรือไม่

5. การรวมศูนย์ (Centralized): ในยุคปัจจุบันเรามักพูดถึงการกระจายอำนาจ (Decentralization) แต่การจัดการความเสี่ยงไม่ควรมีการกระจายอำนาจออกไป โดยส่วนกลางควรเป็นผู้กำหนดมาตรฐานในการตรวจสอบต่างๆ เพื่อให้มั่นใจได้ว่าการตรวจสอบสถานะเป็นไปอย่างมีมาตรฐาน

เนื่องจากเวลาเป็นสิ่งที่มีค่าอย่างยิ่งในช่วงสภาวการณ์ที่มีความไม่แน่นอนสูง การลองผิดลองถูกจึงเป็นเรื่องที่ไม่อาจเป็นไปได้ เพื่อให้องค์กรสามารถหาวิธีแก้ปัญหาที่ช่วยเพิ่มโอกาสให้เป้าหมายสำเร็จลุล่วง องค์กรควรปรับตัวโดยนำธุรกิจนำหน้า โดยเริ่มที่การสร้างวิสัยทัศน์ร่วมกันระหว่างผู้มีส่วนได้ส่วนเสีย ก่อนที่จะออกแบบรูปแบบการทำงาน แล้วค่อยนำเทคโนโลยีเข้ามาช่วยเพื่อให้สามารถดำเนินการด้วยวิธีที่ดีที่สุดเป็นไปตามวิสัยทัศน์ดังกล่าว

บทสรุป

การเปลี่ยนแปลงฝ่ายบริหารความเสี่ยงให้ก้าวเข้าสู่ยุคดิจิทัลตามที่ได้กล่าวก่อนหน้านี้ นอกจากจะช่วยเรื่องการบริหารจัดการความเสี่ยงของบุคคลภายนอกแล้ว ยังรวมถึงความเสี่ยงอื่นๆ อีกด้วย และไม่จำกัดแค่เพียงฝ่ายบริหารความเสี่ยงเท่านั้น แต่ฝ่ายอื่นๆ ก็ได้รับผลประโยชน์นั้นไปด้วย เมื่อการจัดการความเสี่ยงสามารถทำได้เร็ว ธุรกิจก็สามารถไปได้เร็วขึ้น ผู้บริหารมีข้อมูลเพียงพอที่จะใช้ในการตัดสินใจ สุดท้ายองค์กรก็จะสามารถเปลี่ยนแปลงอย่างยั่งยืนได้ และควบคุมความเสี่ยงให้อยู่ในระดับที่เหมาะสม

อ้างอิง:

• https://home.kpmg/xx/en/home/insights/2022/01/third-party-risk-management-outlook-2022.html