🛡️ การบริหารความเสี่ยง ควบคุมภายใน & Risk Culture

🛡️ 1. การบริหารความเสี่ยง (Risk Management)

นิยาม

การบริหารความเสี่ยง คือ กระบวนการระบุ วิเคราะห์ ประเมิน และจัดการความเสี่ยงที่อาจกระทบเป้าหมายขององค์กร อย่างเป็นระบบและต่อเนื่อง

จุดสำคัญ: การบริหารความเสี่ยงไม่ใช่การ "กำจัด" ความเสี่ยงทั้งหมด แต่เป็นการ "บริหารให้เหลือระดับที่ยอมรับได้" (Risk Appetite)

ประเภทของความเสี่ยง (4 ประเภทหลัก)

ประเภท	นิยาม	ตัวอย่าง ธ.ก.ส.
Strategic ความเสี่ยงเชิงยุทธศาสตร์	ความเสี่ยงจากแผนธุรกิจและการตัดสินใจเชิงกลยุทธ์	ขยายสินเชื่อใหม่ผิดกลุ่มเป้าหมาย, การแข่งขันจาก Virtual Bank
Operational ความเสี่ยงจากการดำเนินงาน	ความเสี่ยงจากกระบวนการ People System External Events	ระบบล่ม, พนักงานทุจริต, ข้อผิดพลาดในการให้บริการ
Financial ความเสี่ยงทางการเงิน	ความเสี่ยงที่กระทบฐานะการเงิน	NPL สูงขึ้น, อัตราแลกเปลี่ยน, ความเสี่ยงด้านสภาพคล่อง
Compliance ความเสี่ยงด้านการปฏิบัติตามกฎเกณฑ์	ความเสี่ยงจากการไม่ปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ	ไม่ปฏิบัติตาม พ.ร.บ.ป้องกันฟอกเงino, Regulation 35

กระบวนการบริหารความเสี่ยง (5 ขั้นตอน)

🔍 ระบุ
Identify

→

📊 ประเมิน
Assess

→

🚧 ควบคุม
Control

→

⚙️ บริหาร
Manage

→

🔗 บูรณาการ
Integrate

ระดับความเสี่ยง (Risk Rating)

	ผลกระทบ ต่ำ	ผลกระทบ ปานกลาง	ผลกระทบ สูง
โอกาสเกิดสูง	ปานกลาง	สูง	สูงมาก
โอกาสเกิดปานกลาง	ต่ำ	ปานกลาง	สูง
โอกาสเกิดต่ำ	ต่ำมาก	ต่ำ	ปานกลาง

🏛️ 2. COSO Framework 2017

COSO = Committee of Sponsoring Organizations of the Treadway Commission

เป็นกรอบการควบคุมภายในที่ได้รับการยอมรับมากที่สุดในโลก

5 เสาหลัก (COSO IC Framework)

1️⃣ Control Environment

สภาพแวดล้อมการควบคุม — ค่านิยม จริยธรรม โครงสร้างองค์กร

2️⃣ Risk Assessment

การประเมินความเสี่ยง — ระบุ วิเคราะห์ จัดลำดับ

3️⃣ Control Activities

กิจกรรมควบคุม — นโยบาย ขั้นตอน ระบบ IT

4️⃣ Info & Communication

ข้อมูลและการสื่อสาร — รายงาน แจ้งเตือน รับทราบ

5️⃣ Monitoring

การติดตาม — ประเมินผล ทบทวน แก้ไข

วัตถุประสงค์การควบคุมภายใน (3 ข้อ)

#	วัตถุประสงค์	ตัวอย่าง
1	ประสิทธิผลและประสิทธิภาพของการดำเนินงาน	กระบวนงานเร็ว ถูกต้อง คุ้มค่า
2	ความน่าเชื่อถือของรายงานทางการเงิน	งบการเงินถูกต้อง ครบถ้วน ทันเวลา
3	การปฏิบัติตามกฎหมายและระเบียบข้อบังคับ	ปฏิบัติตาม พ.ร.บ. Regulation 35

⚠️ จุดดักข้อสอบ: COSO 2017 เน้นการ "สร้างวัฒนธรรมความเสี่ยง" เป็นองค์ประกอบสำคัญ — ไม่ใช่แค่ระบบหรือระเบียบ แต่รวมถึง ทัศนคติและพฤติกรรม ของบุคลากรทุกระดับ

COSO ERM 2017 (Enterprise Risk Management)

ต่างจาก COSO IC: COSO ERM เน้นการ "สร้างมูลค่าเพิ่ม (Value Enhancement)" ให้องค์กร โดยบูรณาการการบริหารความเสี่ยงเข้ากับการจัดทำยุทธศาสตร์

🌐 3. ISO 31000:2018

ลักษณะสำคัญ

ISO 31000 เป็น "Framework" ไม่ใช่ "Standard" — ไม่สามารถรับรอง (Certify) ได้ เหมือน ISO 9001
ประยุกต์ใช้ได้กับทุกองค์กร ทุกขนาด ทุกอุตสาหกรรม
เน้น การมีส่วนร่วมของผู้มีส่วนได้ส่วนเสีย (Stakeholder Engagement)

กระบวนการ ISO 31000

Scope, Context
กำหนดขอบเขต

→

Risk Assessment
ระบุ วิเคราะห์ ประเมิน

→

Risk Treatment
จัดการความเสี่ยง

→

Monitor & Review
ติดตามทบทวน

→

Communication
สื่อสารปรับปรุง

ISO 31000 vs COSO:

• COSO เน้น การควบคุมภายใน (Internal Control)

• ISO 31000 เน้น การบริหารความเสี่ยง (Risk Management) แบบองค์รวม

• ทั้งสองใช้ร่วมกันได้ ไม่ขัดแย้งกัน

🏗️ 4. Three Lines of Defense (3 เส้นป้องกัน)

🛡️ เส้นที่ 1 — ฝ่ายปฏิบัติงาน (Business Operations)

ผู้รับผิดชอบหลักต่อความเสี่ยงในการดำเนินงานประจำวัน
สร้างและดำเนินการควบคุมภายในในสายงานของตนเอง
ตัวอย่าง: พนักงานสินเชื่อตรวจสอบเอกสารก่อนอนุมัติ, หัวหน้างานกลั่นกรองรายการ

📋 เส้นที่ 2 — ฝ่ายกำกับดูแลความเสี่ยง (Risk & Compliance Functions)

กำหนดนโยบาย แนวทาง เกณฑ์การบริหารความเสี่ยง
ติดตามและรายงานระดับความเสี่ยงให้ฝ่ายจัดการ
ตัวอย่าง: ฝ่ายบริหารความเสี่ยง, ฝ่ายกำกับการปฏิบัติตามกฎเกณฑ์, ฝ่ายนิติกรรม

🔍 เส้นที่ 3 — ฝ่ายตรวจสอบภายใน (Internal Audit)

ตรวจสอบและให้ความเห็นอิสระว่าเส้นที่ 1 และ 2 ทำงานได้อย่างมีประสิทธิผล
รายงานตรงต่อ คณะกรรมการตรวจสอบ (ไม่ขึ้นกับฝ่ายจัดการ)
ตัวอย่าง: ฝ่ายตรวจสอบภายใน ธ.ก.ส.

⚠️ จุดดักข้อสอบ: "Three Lines" บางทีเรียก "Three Lines of Defense" แต่ COSO 2017 ปรับมาใช้คำว่า "Three Lines Model" เพราะไม่ได้เน้นแค่ "ป้องกัน" แต่รวมถึงการสร้างมูลค่าด้วย

🔒 5. การควบคุมภายใน (Internal Control)

ประเภทของการควบคุม (ตามลำดับเวลา)

ประเภท	นิยาม	ตัวอย่าง ธ.ก.ส.
Preventive ป้องกัน	ป้องกันไม่ให้เกิดปัญหาตั้งแต่แรก	ระบบ Dual Control อนุมัติ 2 ชั้น, ตรวจสอบเอกสารก่อนทำรายการ
Detective ตรวจจับ	ตรวจพบปัญหาเมื่อเกิดขึ้นแล้ว	รายงาน Monitoring, การกระทบยอดบัญชี, ตรวจสอบย้อนหลัง
Corrective แก้ไข	แก้ไขปัญหาที่เกิดขึ้นแล้ว	แผนฟื้นฟู (Business Recovery Plan), การสั่งย้ายพนักงานที่ทุจริต

การควบคุม — วิธีการ

วิธีการ	คำอธิบาย	ตัวอย่าง
การแบ่งแยกหน้าที่ (Segregation of Duties)	ไม่ให้คนเดียวทำทุกขั้นตอน	คนอนุมัติ ≠ คนทำรายการ ≠ คนตรวจสอบ
การอนุมัติ (Authorization)	ต้องได้รับอนุมัติตามระดับอำนาจ	สินเชื่อเกิน 10 ล้าน → ผจก.อนุมัติ
การควบคุมทางกายภาพ (Physical Control)	ควบคุมทรัพย์สินทางกายภาพ	ตู้นิรภัย กล้อง CCTV ระบบ Key Card
การควบคุม IT (IT General Controls)	ควบคุมระบบสารสนเทศ	Password Policy, Backup, Access Control

🎭 6. Risk Culture (วัฒนธรรมองค์กรที่คำนึงถึงความเสี่ยง)

นิยาม

Risk Culture คือ ค่านิยม พฤติกรรม และทัศนคติ ของบุคลากรในองค์กรที่มีต่อความเสี่ยงและ การบริหารความเสี่ยง — เป็นรากฐานที่กำหนดว่า "คนในองค์กรคิดและทำอย่างไรกับความเสี่ยง"

องค์ประกอบ 4 ด้าน

องค์ประกอบ	คำอธิบาย	ตัวอย่างใน ธ.ก.ส.
Values ค่านิยม	ค่านิยมร่วมที่ให้ความสำคัญกับความเสี่ยง	HEART: Honest with integrity, Accountability
Behaviors พฤติกรรม	การกระทำที่สะท้อนความตระหนักรู้เรื่องความเสี่ยง	พนักงานกล้า Report ความผิดปกติ ไม่ปกปิด
Mindset ทัศนคติ	วิธีคิดเกี่ยวกับความเสี่ยงในองค์กร	มองความเสี่ยงเป็น "โอกาส" ไม่ใช่แค่ "อุปสรรค"
Accountability ความรับผิดชอบ	การรับผิดชอบต่อความเสี่ยงในหน้าที่ของตนเอง	ผู้จัดการสาขาต้องรับผิดชอบ NPL ในเขตรับผิดชอบ

ปัจจัยขับเคลื่อน Risk Culture

Tone from the Top — ผู้บริหารต้องเป็นตัวอย่าง (Leading by Example)
การสื่อสาร — ต้องสื่อสารเรื่องความเสี่ยงอย่างสม่ำเสมอ เปิดเผย
Incentive System — ระบบรางวัล/บทลงโทษต้องสอดคล้องกับความเสี่ยง
Accountability — ต้องชัดเจนว่าใครรับผิดชอบอะไร
Training & Education — ฝึกอบรมให้ตระหนักรู้เรื่องความเสี่ยง

⚠️ จุดดักข้อสอบ: Risk Culture ไม่ใช่ แค่ "ระเบียบหรือขั้นตอน" — แต่เป็น "วิธีคิดและพฤติกรรมจริง" ของคนในองค์กร ระเบียบดีแค่ไหนก็ใช้ไม่ได้ถ้าคนไม่เชื่อและไม่ปฏิบัติตาม

🏦 7. การเชื่อมโยงกับ ธ.ก.ส.

วัฒนธรรมองค์กร HEART

💎

H — Honest with integrity

ซื่อสัตย์สุจริต
Risk Culture ด้าน Values

💰

E — Economy/Sufficiency

ประหยัด/พอเพียง
Risk Appetite ระดับ conserv.

🎯

A — Accountability

รับผิดชอบ
3 Lines of Defense

❤️

R — Response heartily

ตอบสนองด้วยใจ
Stakeholder Mgmt

🤝

T — Teamwork

การทำงานเป็นทีม
Cross-functional Risk

SO5 — เพิ่มศักยภาพบุคลากรและ GRC

GRC = Governance Risk Compliance
• Governance = การกำกับดูแลที่ดี
• Risk = การบริหารความเสี่ยง
• Compliance = การปฏิบัติตามกฎเกณฑ์
เชื่อมโยง SE-AM หมวด 3 (RM & IC) และ หมวด 1 (CG)

แนวนโยบาย SFIs — Responsibility for all

Responsibility for all = ดำเนินธุรกิจอย่างรับผิดชอบ ยึดหลัก

✅ Sustainable Banking   ✅ Good Governance   ✅ ESG

วัตถุประสงค์เชิงยุทธศาสตร์ที่เกี่ยวข้อง

SO	วัตถุประสงค์	เชื่อมโยง Risk
SO2	บริหารคุณภาพสินเชื่อเพื่อความแข็งแกร่งทางการเงิน	Financial Risk, NPL Management
SO5	เพิ่มศักยภาพบุคลากรและ GRC	Governance, Risk, Compliance

💡 8. คีย์เวิร์ดทำข้อสอบ

🧠 COSO 5 เสา

C-R-C-I-M

Control Environment → Risk Assessment → Control Activities → Information → Monitoring

🧠 วัตถุประสงค์ COSO (3 ข้อ)

E-R-C

Effectiveness (ประสิทธิผล) → Reliability (ความน่าเชื่อถือ) → Compliance (การปฏิบัติตาม)

🧠 Three Lines of Defense

O-R-A

Operations (ปฏิบัติ) → Risk Functions (กำกับดูแล) → Audit (ตรวจสอบ)

🧠 4 ประเภทความเสี่ยง

S-O-F-C

Strategic → Operational → Financial → Compliance

🧠 Risk Culture 4 องค์ประกอบ

V-B-M-A

Values → Behaviors → Mindset → Accountability

💡 ทริคสอบ:
COSO 2017 เน้น "สร้างวัฒนธรรมความเสี่ยง" — ถ้าเจอว่า COSO = แค่ "ระเบียบ" → ผิด
ISO 31000 เป็น "Framework" ไม่ใช่ "Standard" — ไม่สามารถ certify ได้
Three Lines สมัยใหม่เรียก "Three Lines Model" ไม่ใช่ "Three Lines of Defense"
Risk Culture วัดจาก "พฤติกรรมจริง" ไม่ใช่ "ระเบียบที่เขียนไว้"
ธ.ก.ส. วัฒนธรรม HEART = H(A)RT ตรงกับ Accountability ใน Risk Culture

สรุปโดย คาร่า 🐶 — Genius 9 ผช.ผจข. ธ.ก.ส. · 2569
📝 ทำแบบทดสอบเลย →