Vo l . 4 0
Boardroom Exclusively For Company Directors
IT Governance
Issue 03/2015 | May - Jun | ISSBN 01998484
AGM 2015
AEC Economic Trends
Cyber Security
REGULATORY UPDATE Qualified
personnel in the insurance
b u s i n e s s
Content
Vo l . 4 0 Exclusively For Company Directors Issue 03/2015 | May - Jun | ISSBN 1513-61755
Board Welcome
06
CEO Reflection 08 Cover Story 10 Info Graphic 11 Cyber Summit 13 Special Interview Ms. Jirawan Boonperm 16 Mr. Metha Suvanasarn 18 Dr. Narumol Sinhaseni 20 Pol. Maj. Gen. Dr. Supisarn Bhakdinarinath 222 Mr. Rathian Srimongkol 24 Mr. Teeranun Srihong 26 Board Briefing AGM 2015 29 AFC Economis Trends 32 Board Development | IT Governance Era 35 Regulatory Update Qualified personnel in the insurance business 38 Board Opinion Who can the minority shareholders turn to 41 when Independent Directors turn a blind eye? Anti-Corruption Update Anti-Corruption Update 44 The Erawan Group: Anti-Corruption mechanism 46 boster confidence Board Review 49 Contract is a contract Thailand Internet User Profile 2014 Board Activities Global Cyber Summit & Company Board Visit 51 Chartered Director Meeting 54 Vietnam Visit 54 Board Success Award Presentation DCP 199-203 56 Namelist Welcome New Member 60 วัตถุประสงค์ 1. เพื่อเป็นการเผยแพร่เกี่ยวกับการกำากับดูแลกิจการที่ดีให้กับสมาชิกสมาคมฯ 2. เพื่อเป็นการเผยแพร่ข้อมูลกิจกรรมของสมาคมส่งเสริมสถาบันกรรมการบริษัทไทย ให้กับสมาชิกสมาคมฯ 3. เพื่อเป็นการเผยแพร่บทความและกิจกรรมของสมาคมให้สมาชิกรับทราบ 4. สรุปประเด็นด้านกฎหมาย กฎระเบียบใหม่ๆ ที่เกี่ยวข้องกับการทำาหน้าที่กรรมการ
คณะกรรมการ ประธานกิตติมศักดิ์ ศ.หิรัญ รดีศรี ศ.ดร.โกวิทย์ โปษยานนท์ คุณหญิงชฎา วัฒนศิริธรรม
Board of Directors Honorary Chairman Prof. Hiran Radeesri Prof. Kovit Poshyanand Khunying Jada Wattanasiritham
ประธานกรรมการ นาย เกริกไกร จีระแพทย์
Chairman Mr. Krik-Krai Jirapaet
รองประธานกรรมการ นาย ประพัฒน์ โพธิวรคุณ นาย ปลิว มังกรกนก นาย สิงห์ ตังทัตสวัสดิ์
Vice Chairman Mr. Praphad Phodhivorakhun Mr. Pliu Mangkornkanok Mr. Singh Tangtatswas
กรรมการผู้อำานวยการ ดร. บัณฑิต นิจถาวร
President&CEO Dr. Bandid Nijathaworn
กรรมการ นาง เกศรา มัญชุศรี นาย ฉัตรชัย วีระเมธีกุล นาย ชูศักดิ์ ดิเรกวัฒนชัย นาย ดอน ปรมัตถ์วินัย นาง ทองอุไร ลิ้มปิติ นาง นวลพรรณ ล่ำาซำา นาง ภัทรียา เบญจพลชัย นาย รพี สุจริตกุล นาย วีระศักดิ์ โควสุรัตน์ ศ.ดร. สุรพล นิติไกรพจน์
Director Mr. Chatchai Virameteekul Mr. Chusak Direkwattanachai Mr. Don Pramudwinai Mrs. Kesara Manchusree Mrs. Nualphan Lamsam Mrs. Patareeya Benjapolchai Mr. Rapee Sucharitakul Prof. Dr. Surapon Nitikraipot Mrs. Tongurai Limpiti Mr. Weerasak Kowsurat
คณะกรรมการ Member Engagement Committee (Boardroom) นาง กอบบุญ ศรีชัย ดร. ชัชวลิต สรวารี นาย ณ.พงษ์ สุขสงวน นาย ธีระยุทธ ตันตราพล นาย บุญเกียรติ ชีวะตระกูลกิจ รศ.ดร. ปริทรรศน์ พันธุบรรยงก์ นางสาว ภัคชัญญา ชุติมาวงศ์ นาย วัฒนา หลายเพิ่มพูน ร.ต.ท. ศิวะรักษ์ พินิจารมณ์ ผศ. อนุชา จินตกานนท์ นาย อภิวุฒิ พิมลแสงสุริยา
Member Engagement Committee (Boardroom)
คณะผู้จัดทำา / เจ้าของ สมาคมส่งเสริมสถาบันกรรมการ บริษัทไทย
Owner Thai Institute of Directors Association
กองบรรณาธิการ นาง วิไลรัตน์ เน้นแสงธรรม นางสาว ศิริพร วาณิชยานนท์ นาง วีรวรรณ มันนาภินันท์ นางสาว สาริณี เรืองคงเกียรติ สำานักงานติดต่อ อาคาร วตท. อาคาร 2 ชั้น 3 2/9 หมู่ 4 โครงการนอร์ธปาร์ค ถนนวิภาวดีรังสิต แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210 โทรศัพท์ (66) 2-955-1155 โทรสาร (66) 2-955-1156-57 E-mail: sarinee@thai-iod.com Website : http://www.thai-iod.com
Asst.Prof. Anucha Chintakanond Mr. Apiwut Pimolsaengsuriya Mr. Boonkiat Cheewatragoongit Dr. Chatchavalit Saravari Mrs. Kobboon Srichai Mr. Norpong Suksanguan Assoc.Prof.Dr. Paritud Bhandhubanyong Ms. Pacchanya Chutimawong Mr. Sivaraks Phinicharomna Mr. Teerayuth Tantraphon Mr. Wattana Laipermpoon
Editor Mrs. Wilairat Nensaengtham Ms. Siriporn Vanijyananda Mrs. Wirawan Munnapinun Ms. Sarinee Ruangkongkiat Contact CMA. Building 2, 3rd Floor, 2/9 Moo 4 Northpark Project, Vibhavadi-Rangsit Road, Thungsonghong, Laksi, Bangkok 10210 Tel: (66) 2-955-1155 Fax: (66) 2-955-1156-57 E-mail: sarinee@thai-iod.com Website : http://www.thai-iod.com
Board Welcome
ภาพยนตร์ หลายเรื่องทั้งไทยและ ต่างประเทศที่เคยผ่านสายตาทุกท่านมานั้น มีการ แสดงถึงความก้าวล้ำาทางเทคโนโลยีการสื่อสาร การจัดเก็บข้อมูลต่างๆ มากมาย และบางเรือ่ งก็แสดง ให้ เ ห็ น ถึ ง อั น ตรายหากมี ค นไม่ ดี พ ยายามขโมย ข้อมูลไป หรือทำาลายระบบขององค์กร อันทำาให้เกิด ความเสียหายมหาศาล แก่หน่วยงานหรือสังคม สิ่งเหล่านั้น ความจริงไม่ได้อยู่ไกลตัวทุกท่านเลย ซ้ำายังมีโอกาสเกิดขึ้นได้ง่ายมากโดยที่ท่านไม่ทัน รู้ตัวหรือเตรียมการป้องกันเอาไว้ Boardroom ฉบับนี้ จะนำาทุกท่านเปิดโลก ไซเบอร์ เพือ่ ให้ทา่ นเห็นมุมมองเรือ่ งการกำากับดูแล ด้านเทคโนโลยี (IT Governance) และการป้องกัน ความเสี่ยงด้านความปลอดภัยของข้อมูล (Cyber Sercurity Risk) ซึง่ ทีมงานได้จดั ทำาบทสรุปการเข้าร่วม สัมมนา Global Cyber Summit ทีก่ รุงวอชิงตัน ดีซี ประเทศสหรัฐอเมริกา และไปสัมภาษณ์คณะกรรมการ จากหน่วยงานกำากับดูแล ผู้เชี่ยวชาญ และนักธุรกิจ ทีเ่ ทคโนโลยีเข้ามามีบทบาทในองค์กร และยังได้รวบรวม ข้อมูลสถิตทิ น่ี า่ สนใจของพฤติกรรมการใช้อนิ เตอร์เน็ต ของประชากรในประเทศไทยมาให้ผ้อู ่านทุกท่านได้ ใช้เป็นข้อมูลในการวิเคราะห์แนวโน้มการตลาดและ ทิศทางการเติบโตอีกด้วย ติดตามได้ใน Cover Story ทางด้านบทความพิเศษ Boardroom ฉบับนี้ นำาเสนอเนือ้ หาทีห่ ลากหลาย ไม่วา่ จะเป็นเรือ่ งทิศทาง เศรษฐกิจในอาเซียน จาก ดร.สุรนิ ทร์ พิศสุวรรณ ความเหมาะสมของบุคลากรในธุรกิจประกันภัย จากสำานักงานคณะกรรมการกำากับและส่งเสริมการ ประกอบธุรกิจประกันภัย (คปภ.) และ นักลงทุน รายย่อยจะพึ่งพาใครได้ เมื่อกรรมการอิสระเอาหู ไปนาเอาตาไปไร่ โดย คุณธีระ ภู่ตระกูล สมาชิก ที่ร่วมแบ่งปันความคิดเห็นผ่านคอลัมน์ Board Opinion และปิดท้ายเล่มนีด้ ว้ ยบรรยากาศความสนุก จากงานมอบประกาศนียบัตรผูผ้ า่ นการอบรม Director Certificate Program รุ่น 199-203 Boardroom ขอแสดงความยินดีมา ณ โอกาสนี้ Boardroom | 06
IOD ได้จัดการประชุมใหญ่สามัญประจำาปี (AGM) ไปเมื่อเดือนพฤษภาคมที่ผ่านมา ซึ่งได้ รายงานผลการดำาเนินงานปี 2557 ให้สมาชิกได้ รับทราบรวมทั้งแผนงานในปี 2558 ซึ่งท่านสมาชิก สามารถอ่านรายละเอียดได้ในรายงานประจำาปีของ IOD และหากมีข้อแนะนำาเพิ่มเติมท่านสามารถส่ง ความคิดเห็นเกีย่ วกับการดำาเนินงานของ IOD มาได้ท ่ี : master@thai-iod.com และขอฝากข่าวประชาสัมพันธ์กจิ กรรมต่างๆ ที่ IOD ตั้งใจจัดมาเพื่อสมาชิกในช่วงครึ่งปีหลัง ทั้งงาน DCP Alumni Party ที่จะมีขึ้นในวันที่ 5 สิงหาคม งานประชุมระดับชาติวา่ ด้วยแนวร่วมปฏิบตั ิ ภาคเอกชนไทยในการต่อต้านการทุจริต ในเดือน ตุลาคม และงาน IOD Golf Challenge Cup ใน เดือนพฤศจิกายน ท่านสมาชิกเตรียมลงตารางของ ท่านไว้ล่วงหน้า ทาง IOD จะแจ้งรายละเอียดให้ ทราบทางอีเมล์ต่อไป
readers gain an understanding of current marketing and growth trends. Please read the cover story for further information. Boardroom has some special articles in this edition, including the economic trend of ASEAN from Dr. Surin Pitsuwan, the suitability of personnel in insurance company from the Office of Insurance Commission (OIC) and a discussion on who should small investors turn to when Independent Directors are uninformed by Mr. Sutee Phutrakul, an IOD member who has shared his opinions through Board Opinion. At the end, there are some photos from a diploma ceremony of Director Certificate Program 199 - 203. Boardroom would like to congratulate the successful participants in this program. IOD held its annual general meeting in May, during which it reported on the annual performance of the organization in 2014 and its plan for 2015. The details are available in the annual report of IOD. Please don’t hesitate to provide any suggestions on the operations of IOD. All comments can be sent to
master@thai-iod.com บรรณาธิการ Many Thai and international movies have highlighted the advances of communications technology and data storage. Some of them have also exposed the dangers of the technology to data theft and to attempts to destroy the system of an organization. These actions cause enormous damage to an organization or society. These threats are plausible and steps must be taken to counteract them. In this issue of Boardroom, we explore the cyber world, particularly the areas of IT governance and cyber security risk prevention. Our team has prepared a summary from a seminar the Global Cyber Summit, which was held in Washington D.C., and interviewed the Board of Directors of regulatory organizations, experts and businessmen about the role of technology in their organizations. In addition, we gathered interesting data on the behaviors of Internet users in Thailand to help our
Finally, we would like to discuss the upcoming activities of IOD in the second half of 2015. Among them are the national conference on Thai Private Sector Collective Action Coalition Against Corruption (CAC) on August 5, and the IOD Golf Challenge Club in November. Please note these activities in your calendar. IOD will send details about them via e-mail later.
Editor
789
CEO Reflection
ความไว้วางใจ เป็นพื้นฐานในการ กำากับดูแลกิจการที่ดี งานของ IOD ได้ผ่านไปแล้วครึ่งปีซึ่งเดือน พฤษภาคมและมิถุนายน ถือว่าเป็นเดือนที่สำาคัญ สำาหรับสถาบัน เพราะมีการจัดประชุมใหญ่ประจำาปี (Annual General Meeting – AGM) ในเดือนพฤษภาคม และมีกาำ หนดจัดงานสัมมนาใหญ่ National Director Conference ประจำาปีในเดือนมิถนุ ายน การประชุม ใหญ่ปีน้มี ีสมาชิกสถาบันเข้าร่วมจำานวนมากและได้ ร่วมกันลงคะแนนเลือกตัง้ กรรมการใหม่สท่ี า่ น เพือ่ เข้ามาปฏิบัติหน้าที่ต่อจากท่านกรรมการที่ได้ปฏิบัติ งานครบวาระสี่ปี ผมจึงขอใช้โอกาสนี้แสดงความ ยินดีและต้อนรับกรรมการใหม่ทั้งสี่ท่าน รวมทั้งขอ ขอบคุณอย่างจริงใจต่อกรรมการทั้งสี่ท่านที่ครบ วาระที่ได้สละเวลามาช่วยงานของสถาบันให้มีการ ก้าวหน้าด้วยดีในช่วงที่ผ่านมา
ทิศทางเศรษฐกิจ AEC เพื่ อ ให้ ส อดคล้ อ งกั บ ธรรมเนี ย มปฏิ บั ติ ก าร ประชุ ม ใหญ่ ป ระจำ า ปี จ บลงด้ ว ยการรั บ ประทาน อาหารค่ำ า ร่ ว มกั น ของสมาชิ ก พร้ อ มการรั บ ฟั ง ปาฐกถาพิ เศษ ปี นี้ เราโชคดี ที่ ไ ด้ รั บ เกี ย รติ จ าก ดร.สุรนิ ทร์ พิศสุวรรณ อดีตเลขาธิการอาเซียน ได้มา ปาฐกถาในหัวข้อทิศทางเศรษฐกิจ AEC ซึง่ ได้กล่าวว่า ถึงแม้วา่ ประเทศไทยจะมีความได้เปรียบทีด่ ที ง้ั ในเรือ่ ง ทรัพยากรด้านเทคนิค และความสามารถของบุคลากร แต่เราขาดการเตรียมตัวที่ดีและขาดความโปร่งใส ในสิง่ ทีเ่ ราทำาทัง้ ในภาครัฐและเอกชน ท่านกล่าวว่า ปัจจุบันประเทศไทยไม่ได้เป็นผูน้ าำ ในอาเซียนอย่างที่ เคยเป็น แต่เราได้กลายเป็นเพียงผู้ตาม จึงขอให้ภาค เอกชนออกแรงช่วยนำ าประเทศกลับไปสู่การเป็น ผูน้ าำ ระดับอาเซียนอีกครัง้ ปาฐกถาของท่านครั้งนี้ถือว่าทันเหตุการณ์และ เป็นประโยชน์ และชีใ้ ห้เห็นถึงความสำาคัญของประเด็น การกำากับดูแลกิจการในการแข่งขันทางธุรกิจ ปัจจุบนั ในโลกธุรกิจทีม่ กี ารแข่งขันสูง ความสามารถทาง Boardroom | 08
เทคนิคเป็นสิ่งที่จำาเป็นแต่ไม่เพียงพอที่ จ ะดึ ง ดู ด การลงทุ น และโอกาสทางธุ ร กิ จ จากทั่ ว โลกได้ ประเทศและคนในประเทศต้องร่วมแข่งขันเพื่อสร้าง สภาพแวดล้อมที่ดีในการทำาธุรกิจทำาให้เกิดความ สะดวก พัฒนาตลาดให้มปี ระสิทธิภาพและมีธรรมาภิบาลที่ดี ด้วยเหตุนี้การกำากับดูแลกิจการที่ดีจึง ไม่ ไ ด้ เ ป็ น เพี ย งเรื่ อ งของการปฏิ บั ติ ตามกฎตาม ระเบียบของทางการ แต่ได้เป็นปัจจัยสำาคัญทีบ่ ริษทั และประเทศใช้ในการแข่งขันทางธุรกิจในเศรษฐกิจ โลกขณะนี้ มีผอู้ าจกล่าวว่าการกำากับดูแลกิจการ โดยพืน้ ฐานแล้วเป็นกิจกรรมของมนุษย์ ดังนัน้ สำาหรับ บริษทั การกำากับดูแลกิจการจึงเป็นกิจกรรมทีมทีท่ าำ ร่วมกันระหว่างคณะกรรมการบริษัทและผู้บริหาร ซึ่งในทีมที่เข้มแข็งและทำางานด้วยกันได้ดี ความ ไว้วางใจระหว่างสมาชิกในทีมจะเป็นปัจจัยสำาคัญ ทีส่ ดุ ในลักษณะนีค้ วามไว้วางใจจึงเป็นพืน้ ฐานสำาคัญ ของการกำากับดูแลกิจการทีด่ ี โดยเฉพาะความไว้วางใจ ระหว่างคณะ กรรมการและผู้บริหารและระหว่าง บริษทั กับผูม้ สี ว่ นได้สว่ นเสีย ในกรณีของประเทศไทย หรื อ ระดั บ ประเทศความไว้ ว างใจก็ จ ะต้ อ งมี ระหว่างรัฐบาลกับภาคธุรกิจ ระหว่างบริษัทกับ ประชาชนผูบ้ ริโภค และระหว่างประชาชนกับรัฐบาล
ประเด็นเกีย่ วกับเทคโนโลยี แต่เป็นเรือ่ งการบริหาร ความเสี่ยงขององค์กร ทำาให้เป็นหน้าที่ของคณะ กรรมการทีต่ อ้ งจัดให้มกี ระบวนการบริหารความเสีย่ ง ที่เหมาะสมในการจัดการด้านด้านความปลอดภัย ในโลกไซเบอร์ อีกสิง่ หนึง่ ทีค่ วรให้ความสำาคัญก็คอื ตัวพนักงานหรือผูบ้ ริหาร เนือ่ งจากความไม่ปลอดภัย ในโลกไซเบอร์ส่วนใหญ่จะเกิดขึ้นจากพฤติกรรม ของพนั ก งานที่ ฝ่ า ฝื น ระเบี ย บหรื อ ข้ อ ปฏิ บั ติ ใ น องค์กร ซึ่งก็กลับไปสู่ประเด็นเรื่องความไว้วางใจ และการกำากับดูแลกิจการ
สัมมนา สำาหรับคณะกรรมการบริษัท ปีนี้สถาบันมีแผนที่จะจัดสัมมนาสำาหรับคณะ กรรมการบริษัทเรื่องความเสี่ยงในโลกไซเบอร์และ การกำากับดูแลกิจการซึ่งได้กำาหนดให้มีขึ้นในช่วง ครึ่งปีหลัง โดยจะมีหลักสูตรสำาหรับฝึกอบรม และ การประชุมเชิงปฏิบัติการเกี่ยวกับการกำากับความ เสี่ยงด้านไอทีสำาหรับกรรมการ
สถาบันหวังว่า การจัดสัมมนา เกีย่ วกับความเสีย่ ง ด้านความปลอดภัยในโลกไซเบอร์จะ การรักษาความปลอดภัย เป็นประโยชน์ตอ่ กรรมการ ซึง่ เราคงจะแจ้งให้สมาชิกทราบ ในโลกไซเบอร์ Boardroom ฉบับนี ้ นำาเสนอเรือ่ งการรักษาความ ความก้าวหน้าในเรือ่ งนี้ ปลอดภัยในโลกไซเบอร์และประเด็นกรรมการเรื่อง เป็นระยะๆ การกำ ากับดูแลกิจการ ปัจจุบันการรักษาความ ปลอดภัยในโลกไซเบอร์ได้กลายเป็นประเด็นที่คณะ กรรมการบริ ษั ท ทั่ ว โลกให้ ค วามสนใจมากที่ สุ ด ประเด็นหนึ่งในปีที่ผ่านมา สำาหรับกรรมการ สิ่งแรกที่ควรตระหนักก็คือ การรักษาความปลอดภัยในโลกไซเบอร์ไม่ใช่เป็น
Trust is F u n d a m e n t al
to Good Corporate Governance Time flies and almost half the year is gone. May and June are particularly busy months for the Institute, with our Annual General Meeting (AGM) in May and the National Director Conference in June. This year the AGM saw a big membership turnout. Four new IOD board members were appointed. May I take this opportunity to congratulate all the new board members, and also to express my sincere thanks and appreciation to the four outgoing board members, who have contributed considerably to the Institute’s success over the past years. In keeping with tradition, the AGM ended with a membership dinner and a keynote dinner talk. This year we were very fortunate to have as a keynote speaker Dr.Surin Pitsuwan, former Secretary General of the ASEAN Secretariat. Speaking on the AEC, he noted that while Thailand was well positioned in terms of technical resources and talent to compete successfully in ASEAN, we lacked adequate preparedness and transparency in the ways we do things in both the public and the private sectors. He also told us that Thailand was no longer a leading force in ASEAN as it used to be. We are now just a more follower. He urged the private sector to take charge and lead the country back to the front rank of ASEAN leadership. His remark was timely and well taken. It highlights the importance of corporate governance as a competitive force in business. In today’s highly competitive world, technical capability is a necessary, but not a sufficient condition to attract global investment and business opportunities, Nations compete by creating an enabling environment for companies and by improving ease of doing business, market efficiency, and governance. Corporate governance, therefore, is no longer just a matter of compliance. It is an important competitive factor of companies and countries in today’s global business.
It is said that governance is fundamentally a human activity. In the context of business, corporate governance is in essence a team activity, the team consisting of the board and the executives. To have a coherent and strong working team, trust amongst the team members is of utmost importance. It is fundamental to good corporate governance. There must be trust between the board and the executives, and trust between company and its stakeholders. In the context of Thailand, it means building trust between the government and businesses, between companies and the people, and between the people and the government. The theme of this Boardroom issue is Cyber Security and governance. Cyber security has emerged as one of the most important board issues globally in recent years. For the board, the first point to note is that cyber security is not a technology issue, but an enterprise-wide risk management issue. This then calls for the board to have a proper risk management process to deal with cyber security risk. Another important aspect of cyber security risk is that of people or personnel management. This is because, for most part, cyber security relates to employee behaviour and the lapse of individual discipline within the organization, which leads back to the issue of trust and governance. Going forward, we plan to organize a director forum on cyber risk and governance in the latter half of this year, and to be followed by a training/ workshop on IT risk governance for directors. We hope that a course on cyber security risk for the board will prove useful for directors. We will keep our members posted on its development.
In today’s highly competitive world, technical capability is a necessary, but not a sufficient condition to attract
global investment
and business o ppo r tunities
789
Boardroom | 09
Boardroom | 10
Cover Story
อิ น เ ท อ ร์ เ น็ ต กั บ ภั ย คุ ก ค า ม ไ ซ เ บ อ ร์
Info Graphic
Boardroom | 11
C y b e r s e c u r i t y
Info Graphic
Boardroom | 12
Cybersecurity อย่างรวดเร็ว คณะกรรมการต้องทราบว่าอะไรเป็น ข้อมูลที่สำาคัญ (Critical Data) ขององค์กร ซึง่ การ จัดการความเสีย่ งด้านเทคโนโลยีนน้ั อาจดำาเนินการ ตามแนวทางคือ ระบุหาสาเหตุป้องกัน ติดตาม ตอบสนอง และฟื้นฟู (Identify, Protect, Detect, Response and Recover) ซึ่งไม่ใช่หน้าที่ของผู้ บริหารที่ดูแลเท่านั้น แต่รวมถึงคณะกรรมการและ ผู้บริหารของทุกหน่วยงานในเรื่องความปลอดภัย ด้านข้อมูลคณะกรรมการควรถามตนเองว่า... คณะกรรมการและผู้บริหารที่ดูแลงานด้านนี้อยู่ สามารถตอบคำาถามเหล่านี้ได้หรือไม่? ทราบหรือไม่ว่าอะไรเป็นข้อมูลที่มีความสำาคัญที่สุด ขององค์กร? เรามีการจัดการข้อมูลเหล่านั้นอย่างไรบ้าง? มีการจัดระบบการควบคุมข้อมูลอย่างไร? ถ้าเกิดเหตุผิดปกติขึ้นเรามีแผนการรับมืออย่างไร? ใครที่สามารถเข้าถึงข้อมูลได้บ้าง? พนั ก งานที่ เ ข้ า ถึ ง ข้ อ มู ล ในองค์ ก รจะมี ร ะบบใน การควบคุมอย่างไรไม่ให้ข้อมูลรั่วไหล? เนื่องจาก พฤติกรรมของพนักงานในปัจจุบนั ทุกคนมีเครือ่ งมือ สื่อสารติดตัวตลอด (Bring your own device) ที่ อาจทำาให้ขอ้ มูลออกไปภายนอกองค์กร หรือถูกการ โจมตีจากผู้ไม่ประสงค์ดี เมื่อมีการควบรวมกิจการข้อมูลที่สื่อสารระหว่าง กันควรจะมีอะไรบ้าง ข้อมูลใดที่มีการแลกเปลี่ยนกันระหว่างคู่ค้าหรือ บุคคลภายนอก หากข้อมูลเก็บรักษาไว้นอกประเทศ มีการศึกษา กฎหมาย และระเบียบทีแ่ ตกต่างกันหรือไม่ เก็บข้อมูลไว้ทไ่ี หน เก็บอะไรบ้าง มีความจำาเป็นทีต่ อ้ งเก็บหรือไม่ และมี การประเมินความเสี่ยงของข้อมูลที่ เ ก็ บ หรื อ ไม่ เช่น อีเมล์ ภาพ เสียงบันทึกต่างๆ ข้อมูลลูกค้าทีน่ าำ มาใช้ได้ปกป้องความเป็นส่วนตัวของ ลูกค้ามากขนาดไหน โดยถามคำาถามได้วา่ ทำาไมจะต้อง เก็บข้อมูลเหล่านัน้ อะไรเป็นประเด็นเรือ่ งข้อมูลความ เป็นส่วนตัวทีส่ าำ คัญ หน่วยงานใดทีเ่ ป็นเจ้าของข้อมูล คู่ค้าที่มีข้อมูลร่วมกันปกป้องความเป็นส่วนตัวของ ลูกค้าหรือไม่ บทสรุปจากการสัมมนามีสาระสำาคัญดังนี้ ประเด็นที่น่าสนใจ คือ ในอดีตคณะกรรมการ ความเสี่ยงด้านเทคโนโลยี อาจมองการจัดการดด้านเทคโนโลยีเป็นเรือ่ งค่าใช้จา่ ย เป็นเรื่องที่ทุกองค์กรต้องเผชิญ ขององค์กร แต่ปจั จุบนั ควรจะปรับมุมมองเป็นเรือ่ งการ ความเสี่ยงทางเทคโนโลยีนั้นไม่ใช่เพียงเรื่อง ลงทุน ว่าจะลงทุนเท่าไหร่ และลงทุนอย่างไรโดยเร็ว ของระบบเทคโนโลยีสารสนเทศ แต่รวมถึงเรือ่ ง ทีส่ ดุ หลายครัง้ ปัญหาเรือ่ งความเสีย่ งด้านเทคโนโลยี ข้อมูลในระบบ ในโลกปัจจุบนั ข้อมูลได้สง่ ผ่านไปทัว่ โลก ไม่ใช่เรื่องเทคนิคแต่ผู้นำาองค์กรขาดการให้ความ
ปัจจุบันข้อมูลข่าวสารในโลกส่งผ่านกันอย่าง รวดเร็วเพียงปลายนิว้ สัมผัส โลกเหมือนถูกย่อส่วน ให้เล็กลง การติดต่อสือ่ สาร และการดำาเนินธุรกิจเป็น ไปด้วยความรวดเร็ว ด้วยเทคโนโลยีเข้ามามีบทบาท ในชีวิตประจำาวันของคนในโลก ทุกคนมีอุปกรณ์ สื่อสารติดตัว องค์กรที่เป็นแนวหน้านำาเทคโนโลยี มาใช้ประโยชน์เพื่อแย่งชิงความเป็นหนึ่งทางธุรกิจ แม้แต่องค์กรขนาดเล็กก็มีเรื่องต้องเกี่ยวข้องกับ เทคโนโลยี ทุกองค์กรใช้คอมพิวเตอร์ในการทำางาน และการเก็บข้อมูล แม้ผปู้ ระกอบการ SMEs ก็ใช้ เทคโนโลยีในการทำาธุรกิจ ดังเช่นที่เราเห็นการขาย สินค้าออนไลน์ที่ประสบความสำาเร็จมากมาย การที่เทคโนโลยีเข้ามามีบทบาทอย่างมากนั้น สิ่ ง ที่ เ พิ่ ม เติ ม มาด้ ว ยกั น คื อ ความเสี่ ย งทางด้ า น เทคโนโลยีที่มีมากขึ้น ภัยคุกคามในโลกไซเบอร์ การแฮกข้อมูล การปล่อยไวรัส การใช้ประโยชน์ จากข้อมูลอย่างไม่ถกู ต้อง เป็นเรือ่ งทีห่ ลายองค์กรไม่ได้ ตระหนักถึงคณะกรรมการผู้มีบทบาทสำาคัญในการ กำากับดูแลองค์กรเพื่อประโยชน์สูงสุดต่อผู้มีส่วนได้ เสียทุกฝ่าย จึงไม่สามารถที่จะละเลยหรือมองข้าม ความเสีย่ งเกีย่ วกับเรือ่ งนีไ้ ด้เลย ความเสียหายทีเ่ กิดขึน้ อาจไม่ใช่เพียงธุรกิจหยุดชะงัก แต่เป็นความเสียหาย ที่คงอยู่ระยะยาวเช่นการเสียชื่อเสียง การเสียความ เชื่อมั่นของผู้ถือหุ้น เป็นต้น Boardroom ฉบับนี้จึงได้นำาประเด็นเรื่องการ กำากับดูแลกิจการด้านเทคโนโลยีและความปลอดภัย ทางด้ า นเทคโนโลยี ม าเป็ น ประเด็ น ที่ จ ะให้คณะ กรรมการเห็นภาพทีช่ ดั เจนมากขึน้ จากการที่ IOD ได้นำาสมาชิกและตัวแทนจากหน่วยงานกำากับดูแล เข้าร่วมการประชุม Global Cyber Summit ที่ ประเทศสหรัฐอเมริกาเมือ่ เดือนเมษายนทีผ่ า่ นมา ซึง่ จัด โดย Global Institute of Directors ซึ่งมี IOD จากทัว่ โลกร่วมเป็นสมาชิก ซึง่ IOD ประเทศไทยได้เข้าร่วม เป็นสมาชิกเมื่อปีที่ผ่านมา ในการประชุมมีคณะ กรรมการจากทั่วโลกเข้าร่วมรับฟังและแลกเปลี่ยน ความคิดเห็น ซึง่ เห็นว่า คณะกรรมการในต่างประเทศ ให้ความสำาคัญกับเรือ่ งนีเ้ ป็นอย่างมาก IOD จึงนำา สรุปประเด็นสำาคัญจากการเข้าร่วมการสัมมนา และได้ไป สัมภาษณ์หน่วยงานกำากับดูแล ผูเ้ ชีย่ วชาญ และภาคธุรกิจ เพื่อให้คณะกรรมการเข้าใจและเห็นความสำาคัญใน การกำากับดูแลความเสี่ยงด้านเทคโนโลยีมากขึ้น
สำาคัญ จนเมือ่ เกิดปัญหาก็ขาดการเตรียมพร้อมอย่างดี การดำาเนินงานเรือ่ งนีค้ ณะกรรมการจึงต้องปรับมุมมอง ให้ เ ป็ น เรื่ อ งของการคาดการณ์ ล่ ว งหน้ า และมี แผนการรองรับ ตัวอย่างหนึ่งที่พบคือการโดนแฮกเกอร์เข้ามา โจมตีระบบ ในต่างประเทศเช่นในสหรัฐอเมริกา เจอกับกรณีนม้ี าก ความท้าทายในการจัดการความ เสี่ยงด้านเทคโนโลยีคือการที่เราจัดการกับสิ่งที่มอง ไม่เห็นด้วยตา เช่น ไวรัส การโจมตีระบบคอมพิวเตอร์ ทุกตัวสามารถโดนโจมตีระบบได้ซึ่งผู้ที่โจมตีนั้นมี เป้าหมายชัดเจนว่าจะเจาะข้อมูลในระดับใด ต้องการ ข้อมูลอะไรบ้าง ผูร้ ว่ มบรรยาย Ms. Kim Zetter ผูเ้ ขียน หนังสือ Countdown to Zero Day: Stuxnet and the Launch of World’s First Digital Weapon ได้นาำ กรณีศกึ ษามาแบ่งปันเรือ่ งมัลแวร์ Stuxnet ทีเ่ กิดขึน้ กว่าสิบปีที่แล้ว เป็นการเขียนโค้ดเพิ่ม 21 บรรทัด ในโปรแกรมควบคุมระบบผลิตไฟฟ้า ซึ่งทำาให้ ระบบผลิตไฟฟ้าสามารถหยุดทำางานได้ มัลแวร์นี้ สามารถกระจายในคอมพิวเตอร์ทใ่ี ช้ระบบปฏิบตั กิ าร แบบ Window เป้าหมายคือเพื่อปิดการทำางานของ ระบบ Protective Delay ทำาให้การทำางานผิดจาก ปกติ ค่อยๆ ลดประสิทธิภาพการทำางานของระบบ จนกระทัง้ ระบบไม่สามารถทำางานต่อไปได้ ตัวอย่าง ชี้ให้เห็นว่าการขาดการป้องกันและให้ความสนใจ เกีย่ วกับเรือ่ งความเสีย่ งด้านเทคโนโลยีอาจจะทำาให้ เกิดผลเสียกับองค์กรได้ บริษัทปัจจุบันอาจแบ่งได้ เป็น 2 ประเภท คือบริษัทที่โดนขโมยข้อมูลแต่ยัง ไม่ทราบ กับบริษัทที่โดนขโมยข้อมูลและทราบแล้ว ความเสี่ยงด้าน IT เป็นความเสี่ยง ภาพรวมธุรกิจ คณะกรรมการควรเล็งเห็นเรื่องความเสี่ยง ด้านเทคโนโลยีเป็นหนึ่งในความเสี่ยงสำาคัญของ ภาพรวมองค์กร (Enterprise - Wide Risk) ไม่ใช่ ความเสีย่ งแค่เรือ่ งเทคโนโลยีหรือเรือ่ งทางเทคนิคทีใ่ ห้ ฝ่ายไอทีเท่านัน้ คอยดูแลจัดการ คณะกรรมการมอง เป็นเรื่องของธุรกิจภาพรวม ไม่ใช่แยกออกมาเป็น ความเสีย่ งทีไ่ ม่เกีย่ วข้องกับธุรกิจ คณะกรรมการจึงต้อง เข้าใจเรือ่ งของความเสีย่ งไม่ใช่เข้าใจเรือ่ งของเทคโนโลยี แต่เป็นส่วนหนึ่งกระบวนการทางธุรกิจ (Business Process) ทัง้ หมดซึง่ อาจจะเริม่ จากการมองว่า ควรหรือไม่ทโ่ี ครงสร้างคณะกรรมการจะมีผเู้ ชีย่ วชาญ ด้านเทคโนโลยี เรื่ อ งความเสี่ ย งด้ า นเทคโนโลยี ค วรจะเป็ น เรื่ อ ง คณะกรรมการชุดใหญ่กาำ กับดูแลหรือไม่ หรือให้เป็น บทบาทหน้าทีข่ องคณะกรรมการตรวจสอบเท่านัน้
Boardroom | 13
คณะกรรมการควรจะได้รับความรู้เพิ่มเติมเกี่ยวกับ เรื่องเทคโนโลยีหรือไม่? คณะกรรมการไม่ ค วรที่ จ ะกลั ว ในการที่ จ ะถาม คำาถามทีต่ นเองไม่ทราบ เช่น คำาศัพท์ดา้ นไอทีตา่ งๆ ดังนั้นควรจะมีการจ้างที่ปรึกษาหรือผู้เชี่ยวชาญมา ทำาความเข้าใจกับคณะกรรมการมากขึ้นหรือไม่? คณะกรรมการควรจ้างผู้เชี่ยวชาญที่มีความอิสระมา ช่วยกำากับดูแลฝ่ายบริหารที่ดูแลเรื่องนี้หรือไม่? องค์กรของเรามีทรัพยากรเพียงพอหรือไม่ ทัง้ งบประมาณ และบุคคลากร? หากบริษทั เป็นเป้าหมายในการโจมตี บริษทั มีความ พร้อมที่จะรับมือหรือไม่ อะไรเป็นความเสียหายที่ ร้ายแรงที่สุดที่อาจเกิดขึ้นได้ จะตอบสนองต่อการ โจมตีอย่างไร? ความเสี่ยงด้านเทคโนโลยีควรเป็นความเสี่ยง ระดับไม่เกิน 1-10 ของทุกองค์กรในปัจจุบนั และควร เห็นภาพทีเ่ ชือ่ มกับความเสีย่ งอืน่ ๆ คณะกรรมการ ควรมองให้เห็นว่าผู้บริหารที่ดูแลเห็นความสำาคัญ และมีความสามารถรับมือกับความเสี่ยงนั้นได้จริง หรือไม่ ซึง่ คณะกรรมการอาจจะมีการพิจารณาแต่งตัง้ คณะอนุกรรมการดูความเสี่ยงในเรื่องนี้หากเป็น ความเสี่ยงที่มีความสำาคัญระดับต้นๆ ขององค์กร และควรให้ ทุ ก หน่ ว ยงานเห็ น ความสำ า คั ญ และมี ส่วนร่วมในการจัดการความเสี่ยงเรื่องนี้ การสื่อสารมีความสำาคัญ การสื่อสารเป็นสิ่งที่สำาคัญในการดำาเนินงาน ขององค์กรทุกเรือ่ ง เรือ่ งของเทคโนโลยีกเ็ ช่นเดียวกัน หากมีประเด็นใดที่องค์กรเป็นเป้าเสี่ยงต่อการโจมตี หรือคุกคามจะต้องสือ่ สารกับหน่วยงานรัฐทีเ่ กีย่ วข้อง การสือ่ สารระหว่างภาคเอกชนและภาครัฐมีความสำาคัญ มากเพือ่ ให้ภาครัฐสามารถหาทางป้องกันได้ แต่การ สือ่ สารไปยังสาธารณชนผ่านสื่อมวลชนต้องมีความ ระมัดระวัง ควรทีจ่ ะให้ขอ้ มูลทีเ่ พียงพอและจำาเป็น เท่านั้น เพื่อไม่ให้เป็นเป้าหมายต่อการโจมตีของผู้ ที่ไม่หวังดี ตัวอย่างเช่น เมือ่ ข้อมูลรัว่ ไหลออกไปคณะกรรมการ จะต้องเตรียมพร้อมว่า จะแจ้งลูกค้าทราบอย่างไร เมือ่ ไหร่ จะเปิดเผยข้อมูลมากน้อยเพียงใด และฝ่ายใดควรทีจ่ ะ มาร่วมในการอธิบายกับกลุม่ ลูกค้าบ้าง การให้ขอ้ มูลต่างๆ จะต้องระวังเรือ่ งความถูกต้อง ดังนัน้ คณะกรรมการ ควรมีแผนการสื่อสารในสถานการณ์ฉุกเฉิน (Crisis Communication Plan) ควบคูก่ บั แผนกูค้ นื (Crisis Recovery Plan) ภายในองค์กรจะต้องวางตัว ชัดเจนว่าใครจะเป็นตัวแทนองค์กรที่จะสื่อสารกับ สาธารณชน นอกเหนือจากการสือ่ สารภายนอก การสือ่ สารกับ บุคคลกรในองค์กรก็มคี วามสำาคัญ ควรจะมีการฝึกซ้อม และอบรมให้ความรู้บุคคลากรทุกระดับ แต่ควรทำา ในรูปแบบทีน่ า่ สนใจ เข้าใจง่าย เช่น การเล่นเกมส์ การสือ่ สารระหว่างคณะกรรมการและผูบ้ ริหาร ก็เป็นจุดที่สำาคัญอย่างมาก การที่คณะกรรมการจะ สามารถติดตามการดำาเนินงานได้อย่างมีประสิทธิภาพ อาจจะมีการพิจารณาแต่งตัง้ ตำาแหน่งในองค์กรได้แก่ Chief Information Officer (CIO) และ/หรือ Chief Boardroom | 14
Information Security Officer (CISO) และเมื่อ แต่งตั้งแล้วควรให้มีการสื่อสารและรายงานประเด็น ต่างๆ ให้คณะกรรมการทราบอย่างต่อเนื่องเช่นเป็น ประจำาทุกเดือน หรือหากมีเหตุการณ์ที่ไม่ปรกติ ในเรื่องความมั่นคงปลอดภัยของไซเบอร์อาจให้มี การรายงานทุกสัปดาห์ และหากมีเหตุการณ์เกิด ขึ้นคณะกรรมการควรสร้างวัฒนธรรมการยอมรับ กล่ า วคื อ ไม่ ต่ อ ว่ า ผู้ บ ริ ห ารแต่ รั บ ฟั ง และร่ ว มแก้ ปัญหาเพื่อให้ผู้บริหารกล้าที่จะสื่อสารสิ่งที่เกิดขึ้น อย่างแท้จริง โดยควรคิดว่า “Compliant is yesterday, resiliency is the future.”
Cyber Security Currently, all news and information in the world are sent speedily at a mere push of a button with a touch of your fingertips, as if the world have been made much smaller. Communicating with each other and conducting a business are done at a very fast pace, through technology playing a major role in the daily lives of every person in this world. Everyone has a personal mobile communications device. Leading organizations make use of technology to outcompete each other to be the number one in their businesses. Even small organizations are involved with technology, through using computers in working and storing key information. Small and medium businesses (or SMEs) make use of technology in operating their businesses - as can be seen in the great success of selling goods online. An added aspect to technology playing such a major role is the increasing technology related risks – or ‘cyber-risks’. Cyber-threats, hacking of information, release of computer viruses, or misuse of online information are all technology related risks that many organizations do not recognized. Boards of Directors have the role and responsibility for the governance and oversight of their respective organizations for the benefit of various Stakeholder groups. As such, Boards are not able to neglect or overlook the issue of these technology related risks; whereby the resulting losses and damages may not be mere interruption of business operations but may involve longer term damages – such as gaining a bad reputation or loss of confidence in the company on the part of its Shareholders. This issue of the Boardroom brings the subjects of oversight of technology related risks (or cyber risks) and cyber-security to the attention of Board Directors, so they can have a much clearer view of these important issues. The content is based on the IOD’s recent trip to the US, together with selected IOD Members and members of Regulatory authorities, to attend the Global Cyber Summit (GCS) last April, that was held by the Global Institute of Directors and attended by many member IOD organizations from around the world - including the Thai-IOD, which
became a GCS member last year. Many Boards Directors participated in this global event to learn about and exchange ideas on these issues, to which, it is clear, that many Boards in other countries are placing much more importance. Therefore, the IOD wishes to present a summary of the key ideas that were discussed at the various seminars during this event together with various viewpoints expressed at interviews conducted with various specialists, regulatory authorities and the business sector - so that Thai Board Directors can see and better understand the importance of the oversight of technology related risks.
The key points from the seminars are summarized as follows: Technology related risks is an issue that every organization must face
Technology related risks does not only relate to the information technology (IT) systems being used but also to the information stored in these IT systems. Currently, such information can be sent around the world in an instant. Thus, Boards of Directors need to recognize what are the ‘critical data’ for the organization; whereby the associated risks may be managed through the structured process of: identify, protect, detect, respond, and recover). As such, it is not only the oversight responsibility of the Management Group but rather a joint responsibility of the Members the Board of Directors together with the managers of every Business Unit within the organization. In regards to ‘information security’, the Board of Directors should ask itself whether the Board and the responsible members of the Management group are able answer these key questions: Do you know what are the mission ‘critical data’ for the organization? How does the company manage such set of critical information? What sort of security measures are in place to protect such critical information? If something abnormal or irregular occurs, what ‘action plans’ are in place to deal with problem? Who are the persons able to access such ‘critical data’? What measures are in place to control and prevent intentional leaking of such critical data by those Staff authorized to access the information, since every Staff is able to bring in their own communications ‘device’ which may result in important information being leaked outside the organization or being vulnerable to hacking by ill-intentioned external parties? In the event of a business merger, what sort of information should be communicated between the parties? What sort of information is being exchanged between Business Partners or with external parties? If the information is stored outside the country, has a study of the differing associated legal and regulatory implications been undertaken? Where is the information stored? What sort of information? Is there a necessity to store and keep the information involved? Has a risk assessment been made in regards to the storage of the information involved - such as, emails, photographs/pictures or audio recordings? To what extent have measures been taken to protect the confidentiality of the personal information of the
customers/clients; whereby it should be asked why such personal information are necessary and required? What constitutes genuine important personal information? Which Business Unit owns such personal information? And do the Business Partners, who have the same personal information, also have measures in place to protect the personal confidentiality of your customers/ clients and their personal information? An interesting issue is that in the past the Board of Directors may view the management of technology as an ‘expense’ for the company, but currently this viewpoint should be changed to seeing the matter of technology as more of an ‘investment’ to be made by the organization – namely; how much investment is required and how fast can the investment be made. Often, the issue of technology related risks is not really a technical issue but rather that corporate leaders often do not give this matter much importance, whereby when a problem occurs there is a lack of real readiness or of being well-prepared. With regards to this issue, Boards of Directors need to change their existing viewpoints to that of anticipating negative events in advance and then of having in place effective plans to preempt or deal with such events. An interesting example is hacking of information systems overseas - such as in the USA, where it happens quite frequently. A challenge in managing technology related risks is to manage those risks we cannot see, such as computer viruses. Attacking a computer system can be done easily through the attackers having a clear aim of attacking the information in the system at a specific level and of what information they want to access. A seminar participant, Ms. Kim Zetter, author of the book ”Countdown to Zero Day: Stuxnet and the Launch of World’s First Digital Weapon”, presented and shared the case study about Stuxnet Malware that occurred about 10 years ago. By adding 21 new lines of code into a software program that controls electricity power generation, it was possible to shutdown the entire power generating system. This ‘malware’ was able to be spread into computers using the Windows operating system, with the aim of shutting down the ‘protective delay system’ through causing the normal power generating operation to gradually become abnormal and to reduce the efficiency of the power generating system until it was not able to operate any further. This example shows how the lack of any protective measures or interest in technology related risk issues may result in losses and damages to the organization; whereby companies can be categorized into 2 types: namely, companies that have had their critical information stolen but does not know about it; and companies that have had their critical information stolen and know about it.
Information technology related risks are ‘enterprise-wide’ risks.
Boards of Directors should view technology related risks as being a key part of its ‘enterprise wide risks’ and not only related specifically to technology or technical matters to be managed and the sole responsibility of the IT Department. The Board should see it as being an enterprise wide operational matter and not as a separate risk issue that does not involve the overall business operations. As such, the Board of Directors needs to understand this matter from the point of view of being a key risk factor rather than a purely
technology matter, whereby it is an integral part of the overall business processes. Such an understanding can be achieved by starting to take the following points of view: Should or should not the composition of the Board of Directors include someone with IT expertise and knowhow? Should IT related risks also be an oversight responsibility of the main Board, or a role and responsibility for the Audit Committee only? Should the Board of Directors receive additional knowledge about technology or not? The Board of Directors should not be afraid to ask questions about matters that it does not know – such as, various technology terminologies. As such, should the Board engage an IT consultant or IT specialist to provide it with a better understanding of IT matters or not? Should the Board of Directors engage an independent IT specialist to oversee the members of the Management Group responsible for IT matters or not? Does our organization have sufficient associated resources or not - in terms of people and budgets? In the event that the company is subject to a cyberattack, it it well prepared - or not - to deal with it? And what would be the most serious extent of damages or losses to the company, which would meet the objectives of such a cyber-attack? Technology related risks should be ranked at beyond more than the current top 1 to 10 risks within any organization; and such risks should also be viewed as being connected to other types of risks. The Board of Directors should ensure that those members of Management directly responsible for IT matters should also realize the importance of technology related risks as well as are regarded as fully and genuinely capable of meeting such risks. As such, the Board of Directors may consider establishing a Risk Management Sub-Committee responsible for overseeing such key and important risks for the organization, as well as should ensure that every operational unit within the company also sees the importance of the various technology related risks and be involved in managing such risks.
Communications are important
Good communications are vital for the overall effective conduct of all business aspects of the organization. As such, technology is also an important aspect; whereby if there are any related issues that make the organization at risk of being a vulnerable target of any cyber-attacks, these should be informed to the involved Public Authorities. Good communications between the Private and Public Sectors are important to enable the Public Sector to determine effective preventive and protective measures. However, informing the general public, via the public media, must be done with care. Any such public disclosures of information should be adequate and only as necessary, so that the organization wil not be a target for any cyber- attacks by any il -intentioned external parties – such as, in the event of a leak of important information,
the Board of Directors should be well-prepared in regards to when and how to inform customers/clients and with how much or how little information should be given. The Board should also determine who, within the organization, should be involved and responsible for disclosing the information to the customers/clients, with close attention also being given to the accuracy of the information being disclosed. As such, the Board of Directors should have in place a ‘Crisis Communication Plan’ together with a ‘Crisis Recovery Plan’. Further, it should be clearly identified who, within the organization, wil be the official ‘representative’ of the organization responsible for communicating with and informing the general public. In addition to external communications, communicating internally with the organization’s staff is also important. Regular training and practice in regards to internal communications should take place; but this must be done in an interesting manner that can be easily understood – such as, through role playing. Good communications between the Board of Directors and the Management Group is also a vital and important aspect. So as to enable the Board of Directors to oversee and monitor the company’s business operations in an effective manner, it may consider appointing a Chief Information Officer (CIO) and/or a Chief Information Security Officer (CISO) within the organization; whereby once such an appointment is made, regular updates of various ongoing issues should be made to the Board - on a monthly basis or on a weekly basis in the event that a irregular incident or crisis occurs relating to cyber-security or cyber threats. Further, in the event of such crisis situations, the Board of Directors must create a positive corporate culture of accepting the situation – namely, not blaming the Management Group and listen to all the facts as well as closely collaborating together to quickly resolve the problem. This is so that the Management Group wil always be open and wil ing enough to inform the Board of the real facts and situation; whereby the Board should keep in mind this saying “Compliance is yesterday, resilience is the future”.
789
Boardroom | 15
Special Interview
security: ความมั่นคงปลอดภัย
Cyber
ในโลกไซเบอร์ คุณจีราวรรณ บุญเพิ่ม ประธานคณะกรรมการ สำานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ Mrs. Jirawan Boonperm Chairpreson Electronic Transactions Development Agency (Public Organization) - ETDA
เมื่อก้าวเข้าสู่ยุค Digital Economy หรือ เศรษฐกิจดิจิทัล นั่นหมายถึง เศรษฐกิจและสังคม ที่ใช้ข้อมูลข่าวสารและITเป็นกลไกสำ าคัญในการ ขับเคลื่อนการปฏิรูปกระบวนการผลิต การดำาเนิน ธุรกิจ การค้า การบริการ การศึกษา รวมถึง กิจกรรมต่างๆ ทางเศรษฐกิจและสังคมอืน่ ๆ ที่ ส่งผลต่อการพัฒนาทางเศรษฐกิจ และการพัฒนา คุณภาพชีวิตของคนในสังคม แน่นอนเมือ่ มีการใช้ขอ้ มูลข่าวสาร มีการรับส่ง หรือส่งต่ออย่างอิสระและรวดเร็ว การรั่วไหลของ ข้อมูลย่อมเกิดขึน้ ได้ หลายประเทศได้ตระหนักถึง ความไม่มน่ั คงปลอดภัยทีอ่ าจเกิดขึน้ นี ้ และให้ความ สำาคัญกับ Cybersecurity หรือการรักษาความ มั่นคงปลอดภัยไซเบอร์เป็นอย่างมาก สำาหรับประเทศไทย รัฐบาลได้ให้ความสำาคัญ กับ Cybersecurity เช่นเดียวกันเพื่อเป็นการสร้าง ความเชื่อมั่นให้กับภาคธุรกิจและสังคมในการทำา ธุรกรรมออนไลน์ ซึ่งเป็นเครื่องจักรหนึ่งในการขับ เคลื่อนระบบเศรษฐกิจของไทย หน่วยงานหลักทีร่ บั ภารกิจทีส่ าำ คัญนีโ้ ดยเฉพาะ คือ สำานักงานพัฒนา ธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. ที่ดำาเนินงานอยู่ภายใต้กระทรวงเทคโนโลยี สารสนเทศและการสื่อสาร (ICT) และกำาลังอยู่ใน ระหว่างการเสนอเพื่อพิจารณาร่างกฎหมายปรับปรุง กระทรวงโดยมีการเปลีย่ นชือ่ เป็นกระทรวงดิจทิ ลั เพือ่ เศรษฐกิจและสังคม Boardroom ฉบับนี้ ได้รับเกียรติจาก คุณจีราวรรณ บุญเพิ่ม ประธานคณะกรรมการ สำานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ให้ สัมภาษณ์เรือ่ ง Cybersecurity พร้อมชีใ้ ห้เห็นถึง ผลลัพธ์ทอ่ี าจเกิดขึน้ เมือ่ องค์กรขาดความตระหนักรู้ และไม่มีมาตรการหรือระบบป้องกันข้อมูลอย่าง เพียงพอขององค์กร เรื่องหลักที่ต้องเร่งทำา เริ่มแรกคุณจีราวรรณเล่าให้ฟังถึงพันธกิจที่ สพธอ. ต้องดำาเนินการ คือ การพัฒนา การทำา ธุรกรรมทางอิเล็กทรอนิกส์ของประเทศทั้งในระดับ ผูป้ ระกอบการอุตสาหกรรม ระดับองค์กร และระดับ ประชาชน ให้มีความมั่นคงปลอดภัยและน่าเชือ่ ถือ ซึง่ มีองค์ประกอบสำาคัญ 3 ด้าน คือ Boardroom | 16
1. เครื่องมือในการทำ าธุรกรรมออนไลน์ต้องมี ความมั่นคงปลอดภัย ไม่ว่าจะเป็นคอมพิวเตอร์ โทรศัพท์มอื ถือ แท็บเล็ต หรือเครือข่ายอินเทอร์เน็ตเอง ต้องมีกลไกในการดูแลให้ใช้งานได้ถูกต้อง 2. มี ม าตรฐานในการทำ า ธุ ร กรรมออนไลน์ เพื่อลดความซ้ำาซ้อน ลดข้อผิดพลาด และเพิ่ม ประสิทธิภาพ และ 3. มีกฎหมายรองรับการทำาธุรกรรมออนไลน์ไม่ ว่าจะเป็นด้านการรับส่งข้อมูล การดูแลข้อมูลส่วน บุคคล ตลอดจนป้องปรามการกระทำาความผิดโดย ใช้ IT เป็นเครื่องมือ สิ่งที่คุณจีราวรรณบอกว่าเป็นเรื่องสำาคัญเร่ง ด่วนที่ต้องทำาคือการสร้างความตระหนักรู้ให้กับ ผู้ประกอบการทุกระดับ รวมถึงประชาชนทั่วไป เกีย่ วกับความมัน่ คงปลอดภัยของข้อมูล ทัง้ นีเ้ พราะ ปัจจุบนั ทุกคนมีอปุ กรณ์ทส่ี ามารถเข้าถึงข้อมูลต่างๆ ผ่านทางอินเทอร์เน็ตได้อย่างง่ายดาย ไม่วา่ จะเป็น เรือ่ งส่วนตัวหรือเรือ่ งงาน จนเกิดเป็น trend ทีเ่ รียกว่า Bring your own device คือการนำาอุปกรณ์สว่ นตัว มาใช้ทาำ งาน ซึง่ ผูใ้ ช้อาจขาดความรู ้ ความเข้าใจถึง การป้องกันอย่างเพียงพอ ซึง่ โอกาสทีข่ อ้ มูลสำาคัญๆ ของหน่วยงานจะเกิดความเสียหายได้นน้ั มีมากทีเดียว แม้วา่ ปัจจุบนั ทาง สพธอ. จะมีไทยเซิร์ตที่คอยเฝ้า ระวังและติดตามภัยคุกคามบนอินเทอร์เน็ตตลอด 24 ชัว่ โมง แต่ประเทศไทยยังคงเป็นพืน้ ทีท่ ถ่ี กู โจมตี และมีความเสีย่ งด้านอินเทอร์เน็ตมากแห่งหนึง่ และ กลายเป็นฐานในการแฮกข้อมูล หรือกระจายมัลแวร์ ไปยังประเทศต่างๆ IT Governance เนือ่ งด้วย IT เป็นหัวใจสำาคัญของการดำาเนิน ธุรกิจ การกำากับดูแลเรือ่ งนีจ้ งึ มีความสำาคัญเหมือนกับ ความเสีย่ งทางธุรกิจอืน่ ๆ คณะกรรมการควรให้ความ เข้าใจ สนใจ เรือ่ งระบบดูแลความมัน่ คงปลอดภัย ติดตาม เฝ้าระวัง ป้องกัน ความมัน่ คงปลอดภัยด้าน ไซเบอร์ที่จะเกิดขึ้น เพื่อเป็นการป้องกันความเสีย หายที่จะเกิดขึ้นกับองค์กร เช่น การเสียหายด้าน ชื่อเสียงซึ่งประเมินมูลค่าไม่ได้รวมทัง้ จัดให้มวี าระ การประชุมเรื่องนี้อย่างชัดเจนในการประชุมคณะ กรรมการ เพือ่ ให้แน่ใจว่าระบบต่างๆ มีความโปร่งใส ตรวจสอบได้ และสามารถเปิดเผยรายงานการรั่ว
ไหลของข้อมูล รวมถึงมีวิธีการในแก้ไขปัญหาเพื่อ การพัฒนาและสร้างระบบป้องกันให้มปี ระสิทธิภาพ มากขึน้ ถ้ากรรมการขาดความรูค้ วามเชีย่ วชาญควร จะมีการเชิญผู้เชี่ยวชาญจากภายนอกเข้ามาเป็นที่ ปรึกษาในเรื่องนี้ นอกจากนี ้ คุณจีราวรรณ ยังฝากอีกว่า การทำา หน้าที่ดังกล่าวไม่ใช่หน้าที่ของหน่วยงาน IT ของ องค์กรเพียงอย่างเดียว หรือหน่วยงานใดหน่วยงานหนึง่ หากแต่เป็นเรื่องของทุกคนในองค์กรที่ตอ้ งช่วยกัน โดยเริม่ ต้นจากระดับคณะกรรมการลงไป ซึง่ ในส่วนนี้ ทาง สพธอ. มีการจัดเตรียมผูเ้ ชีย่ วชาญ ด้าน IT ทีพ่ ร้อม ให้คำาแนะนำาและความรู้ด้าน IT แก่หน่วยงานหรือ ประชาชนทัว่ ไป หรือหากองค์กรใด ต้องการสรรหา บุคคลที่มีความเชี่ยวชาญด้าน IT เข้าเป็นส่วนหนึ่ง ของการพัฒนาและดำาเนินงาน ทาง สพธอ. มีราย ชื่อให้บริการเช่นกัน เอกชนขานรับ คุณจีราวรรณ กล่าวว่า ในการดำาเนินงานที่ ผ่านมา ภาคเอกชนให้ความสนใจอย่างต่อเนือ่ งใน เรือ่ งการพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ โดยเฉพาะ ในกลุม่ ธุรกิจการเงิน เนือ่ งด้วยมีความเกีย่ วข้องโดยตรง ในการทำาธุรกรรมผ่านอินเทอร์เน็ต แต่อย่างไรก็ดี สพธอ. อยากให้ภาคเอกชนในอุตสาหกรรมอื่นๆ ให้ความสำาคัญเกีย่ วกับเรือ่ งนีเ้ ช่นเดียวกัน และร่วมกับ สพธอ. ในการพัฒนาระบบ และแบ่งปันประสบการณ์ ทีเ่ ผชิญมา เพือ่ ให้เป็นกรณีศกึ ษาและร่วมกันหาทาง ป้องกันต่อไป นอกจากนี ้ ทาง สพธอ. ได้มกี ารจัดทำา Leading Practice เพื่อใช้เป็นแม่แบบในการสร้างระบบใน แต่ละองค์กร และพัฒนาให้เข้ากับองค์กรต่อไปได้ สำาหรับองค์กรภาครัฐมีพรบ.ธุรกรรมทางอิเล็กทรอนิกส์ ทีเ่ ขียนกรอบไว้แล้ว ซึง่ อาจนำามาปรับใช้ในภาคเอกชน ได้ตอ่ ไป ซึง่ ทางสพธอ. จะต้องทำางานร่วมกับองค์กรอืน่ ๆ เช่น IOD ในการสอบถามความคิดเห็นภาคเอกชนและ จัดทำา Leading Practice ทีเ่ หมาะสมกับภาคเอกชน และอาจจะมีการออกเป็นกฎหมายอีกครัง้ ในอนาคต ซึง่ ก่อนทีจ่ ะทำาจะต้องมีการให้ความรูก้ บั ภาคเอกชน อย่างชัดเจนก่อน
Cybersecurity As we move towards the digital era – or specifially the Digital Economy – this means that the economy and society as a whole will make full use of information technology and communications
media as an important means to drive the modernization of manufacturing and production processes, business opertions, trade, services, and education together with various other economic and social activities that have an impact on the development of the economy and the overall quality of life for everyone in the society. Obviously, with the increased communcations of information and data together with the increase in the free and fast flow of information being sent, received or forwarded on to other parties, incidents of information leaks will be bound to occur. Many countries have recognized this unsecure and potential leak of such information ows, and have also given importance to the issue of safeguarding the security of information – or cyber security. As for Thailand, the Government is also giving the issue of cyber security much importance, in order to create confidence on the part of the business sector and society in undertaking online transactions that are considered to be a vital engine to drive the development of Thailand’s economy. The government authority assigned with this key responsibility is the Electronics Transactions Development Agency (or ETDA), which is a Public Sector organization within the Ministry of Information Technology (ICT Ministry) that is currently in the process of drafting proposed new laws to be re-designated as the Ministry of Digital Technology for the Economy and Society. This issue of the BOARDROOM magazine is honored to be able to interview Mrs. Jirawan Boonperm, Chairperson of the Electronic Transactions Development Agency (ETDA) on the subject of ‘cybersecurity’ as well as to hear her views on the potential resulting impact for an organization that lacks an awareness of this matter and that does not have in place any measures to protectits important information.
Key and urgent actions to be undertaken
At the start of the interview, Mrs. Jirawan told us that the key mission of the ETDA is to develop the system for electronic or online transactions of the country for the operational level of key industries, for the activities of key organizations, and for the people in general, so that there is full security and trustworthiness on the part of everyone. This mission consists of 3 elements: 1) The tools and devices used for undertaking such online transactions must be safe and secure – whether it is a mobile phone, tablet/PC and the internet network system itself, there must be measured to oversee and ensured that all such devices can be used in a proper and correct manner. 2) There must be standards of operations in undertaking online transactions, in order to reduce complexities, minimize errors and enhance overall effectiveness. 3) There must be laws to regulate and support online transactions – whether it is sending/receiving information, control of personal information, and prevention/protection against the misuse of IT as a tool for wrongdoings. Mrs. Jirawan also stated that one matter that must be urgently undertaken is to educate and communicate to business operators at all levels together with the general public about information security – or cyber security. This is because nowadays everyone is able to easily access various types of information via the internet – regardless of whether it is personal or business related information. In this regard, it has now become a common trend for people ‘to bring your own device’ – or make use of their personal communications device to work. As such, users may still not sufficiently understand about security and protection of information, and thus there is significant risk that damage will be caused to important data of the organization. Despite the fact that the ETDA, through its ‘ThaiCERT’ keeps a constant and 24 hour watch on potential cyber threats to the internet network, but Thailand is still vulnerable to cyber attacks, and to being a site with significant internet related risks where information hacking has often occurred or from which ‘malicious’ malware is released to various other countries.
IT Governance
Given that IT systems is at the heart of all business operations, oversight and governance of such systems is as essential as other potential business risks. As such, Boards of Directors need to fully understand as well as be concerned with systems to control the security and safety of IT systems in use. Boards must also monitor and be mindful about cyber security, and protect against potential cyber threats to the organization – such as, loss of reputation the full value of which cannot be assessed. Further, specific consideration of this key issue must be undertaken on a regular basis at Board Meetings, in order to ensure that the various associated operational systems are transparent and have full accountability, as well as it is possible to disclose information about information leaks together with relevant corrective measures against them - with the aim of establishing a more effective information security and protection system. In the event that the Board Directors does
not have full knowledge on this issue, the Board should engage an outside expert or specialist to advise the Board on these matters. Furthermore, Mrs. Jirawan added that this duty is not only the responsibility of the IT Department or any other specific internal business unit, but rather is the duty of everyone within the organization to help with these responsibilities; whereby it should start from the very top - at the Board level - and go downwards. With regard to this responsibility, the ETDA has IT experts available to provide advice to and educate any business organization or even the general public about IT issues. Also, should any organization seek to recruit IT specialists to join it in develop and operate its IT operations, then the ETDA can also provide a list of potential candidates for consideration.
Positive response from the general public
Mrs. Jirawan also stated that from past activities, the general public has continually shown keen interest in the development of electronic transactions – especially within the finance sector, since this business sector is directly involved with undertaking their transactions via the internet. However, the ETDA also wants private sector groups within other industry/business sectors to give importance to this matter through cooperating together with the EDTA in developing IT systems and in sharing relevant past experiences and problems, as well as in collaborating to ffiind ongoing effective ways of protecting information.
Additionally, the ETDA has
determined and established some ‘leading practices’
that can be used as a template for establishing a cyber security system that can then be developed further within each respective organization. For Public Sector organizations, there is the Electronics Transactions Act that includes a framework, which Private Sector organizations could possibly adopt and adapt for their own specific use. As such, the ETDA needs to collaborate with other organizations – such as the IOD – in surveying Private Sector organizations’ views in order to help determine other ‘leading practices’ suitable for the Private Sector in the future. These views may also be used to establish additional legal requirements, whereby the Private Sector needs to be further informed and educated about specific issues beforehand.
Boardroom | 17
Cyber
security: การกำากับดูแล ด้านไอที
อีกหนึง่ หน่วยงานทีท่ าำ งานด้านระบบสารสนเทศที่ น่าสนใจ คือ สมาคมผู้ตรวจสอบและควบคุมระบบ สารสนเทศ-ภาคพืน้ กรุงเทพฯ ทีเ่ ป็นเครือข่ายจาก Information Systems Audit and Control Association (ISACA) จากประเทศสหรัฐอเมริกา ซึง่ เป็นหน่วยงานทีส่ ง่ เสริม สนับสนุนเผยแพร่ขา่ วสารด้าน การตรวจสอบและการควบคุมงานด้านคอมพิวเตอร์ และเน้ น ให้ ผู้บ ริ ห ารและผู้ ป ระกอบวิ ช าชี พ ด้ า น คอมพิวเตอร์ ได้เห็นความสำาคัญในระบบควบคุม เพือ่ สร้างเสริมประสิทธิภาพขององค์การและดูแลให้การใช้ ทรัพยากรมีประโยชน์สงู สุด ซึง่ ทาง คุณเมธา สุวรรณสาร อุปนายกสมาคม Information Systems Audit and Control Association (ISACA) ให้เกียรติสัมภาษณ์ ถึงความสำาคัญและบทบาทหน้าที่ของกรรมการใน การกำากับดูแลด้านไอที การกำากับดูแลด้านไอที (IT Governance) คืออะไร อาจารย์เมธา สุวรรณสาร เป็นผู้เชี่ยวชาญ ด้านการกำากับดูแลด้านไอที (IT Governance-ITG) ได้ให้คำาจำากัดความเกี่ยวกับ ITG ว่าคือ “กรอบการ ดำาเนินงานทางธุรกิจสำาหรับการกำากับดูแลและการ บริหารจัดการไอทีระดับองค์กร” หรือ GEIT-Governance of Enterprise IT ซึ่งเป็นไปตามวัตถุประสงค์ในการ กำากับดูแล คือการสร้างคุณค่าเพิม่ ให้กบั ผูม้ สี ว่ นได้เสีย และมั่นใจว่าองค์กรจะได้รับผลประโยชน์ ในขณะ เดียวกันมีการบริหารความเสีย่ งทีเ่ หมาะสม และการใช้ ทรัพยากรให้เกิดประโยชน์สงู สุด เพือ่ ให้การดำาเนินงาน ขององค์กรบรรลุเป้าประสงค์ในทุกมิตแิ ละทุกบริบท โดยสอดคล้องกับมาตรฐานและกรอบการจัดการทีด่ ี ที่เป็นสากล หรือจะพูดให้ง่ายก็คือ ITG คือ “การ กำากับดูแลกิจการที่ดีระดับองค์กร ที่เป็นหน้าที่และ ความรับผิดชอบของคณะกรรมการ เพือ่ สร้างคุณค่า เพิ่ม สนองตอบความต้องการของผู้มีส่วนได้เสีย” หลักการที่นำามาใช้ในการกำากับดูแล ด้านไอที อาจารย์เมธา แนะนำาหลักการหนึ่งที่เรียกว่า COBIT ซึ่งย่อมาจาก Control Objectives for Information and Related Technology ที่มี วิวฒั นาการมายาวนานกว่า 46 ปี ของสมาคม ISACA สากล ทีย่ อ่ มาจาก Information Systems Audit and Control Association ภายใต้กรอบ IT Governance Institution ได้ศึกษาและพัฒนาการควบคุมการ ตรวจสอบสูก่ ารบริหารไอที การกำากับดูแลไอที และ
การดำาเนินทางธุรกิจที่ผสมผสานกันระหว่างการ กำากับดูแลและการบริหารธุรกิจเป็นหนึ่งเดียวแบบ บูรณาการ ซึ่ง COBIT5 มีหลักการโดยย่อ ดังนี้ เป็นการตอบสนองต่อความต้องการของผู้มีมีส่วนได้ เสีย มีกรอบการการดำาเนินงานทางธุรกิจที่ครอบคลุมทั่ว ทั้งองค์กรอย่างครบวงจร ประยุกต์ใช้กรอบการดำาเนินงานที่บูรณการเป็นหนึ่ง เดียว มีปัจจัยเอื้อที่ก่อให้เกิดความสำาเร็จ ให้วิธีปฎิบัติแบบองค์รวมสัมฤทธิ์ผล แยกการกำากับดูแลหรือ Governance ให้เป็น บทบาทของคณะกรรมการที่ แ ยกจากการบริ ห าร จัดการ หลักการทั้ง 5 ของ COBIT5 มีขั้นตอน มิติ ขอบเขต แนวทาง การนำาไปใช้ บทบาทของผูเ้ กีย่ วข้อง ที่แตกต่างกันไป ที่ควรพิจารณาถึงปัจจัยแวดล้อม เทคโนโลยี ศักยภาพของบุคลากรอย่างลึกซึ้ง การกำากับดูแลด้านไอทีสำาคัญอย่างไร อาจารย์เมธา เน้นยาำ้ ว่าเรือ่ งนีม้ คี วามสำาคัญมาก จากการสำารวจไม่เป็นทางการพบว่าวาระการประชุม ของคณะกรรมการไม่ ค่ อ ยมี เ รื่ อ งหรื อ เป้ า หมาย เกีย่ วกับไอทีควบคูก่ บั เป้าหมายระดับองค์กรอย่างมีนยั สำาคัญและเมือ่ มีการพิจารณาเรือ่ งไอทีกเ็ ป็นการพิจารณา เรื่ อ งไอที แ ยกจากเป้ า หมายและกลยุ ท ธระดั บ องค์กร ซึง่ ไม่สอดคล้องกับหลักการทีเ่ ป็นสากลที่การ กำากับดูแลด้านไอทีต้องเป็นส่วนหนึ่งของการกำากับ ดู แ ลกิ จ การที่ ดี ทำ า ให้ ร ะดั บ องค์ ก รที่ไม่สามารถ ตอบสนองต่อการขับเคลือ่ น และความต้องการของ ผู้มีส่วนได้เสียได้อย่างเต็มที่ หากเรื่ อ งไอที ไ ม่ ไ ด้ เ ป็ น ส่ ว นหนึ่ ง ของธุ ร กิ จ แบบบูรณาการตามความหมายและหลักการของ IT Governance หรือ GEIT- Governance of Enterprise IT จะส่งผลกระทบต่อองค์กรและความรับผิดชอบของ คณะกรรมการในหลายด้าน โดยเฉพาะอย่างยิง่ ด้าน Performance คือผลสัมฤทธิ์ และ Conformance คือการกำากับดูแลให้เป็นไปตามมาตรฐาน โดยมี การประเมินผล สั่งการ และเฝ้าติดตาม ซึ่งหาก เป็นเช่นนั้นจะเกิดความเสี่ยงเกินกว่าที่องค์กรจะ ยอมรับความเสียหายได้ อันจะทำาให้เกิดผลทางลบ
คุณเมธา สุวรรณสาร อุปนายกสมาคม Information Systems Audit and Control Association (ISACA) Mr. Metha Suvanasarn Vice President Information Systems Audit and Control Association (ISACA)
ตามมามากมาย หากองค์กรใดให้ความสำาคัญใน เรื่องนี้องค์กรและคณะกรรมการนัน้ ก็จะมัน่ ใจได้วา่ ได้รบั ความเชือ่ ถือความเชื่อมั่น ความไว้วางใจ จาก ผู้มีส่วนได้เสียและกรรมการสามารถตอบคำาถามภาย ใต้ “Fiduciary duty” ได้ในทุกมิตแิ ละทุกบริบทของ การกำากับดูแลกิจการที่ดี บทบาทของคณะกรรมการ อาจารย์เมธา ให้ความเห็นว่าการเริ่มต้นของ องค์กรเป็นส่วนที่สำาคัญมาก ซึ่งนโยบายในองค์กร ทุกอย่างเริ่มต้นที่คณะกรรมการ คณะกรรมการ อาจเริ่มต้นในการดำาเนินงานเรื่องนี้โดยการทบทวน บทบาทของกรรมการชุดต่างๆ ให้สอดคล้องกับ หลักการของ IT Governance ภายใต้กรอบ COBIT5 หากการปรับเปลี่ยนโครงสร้างขององค์กร ต้องใช้ เวลา และทรัพยากรนานเกินควร การสื่อสาร สร้าง ความเข้าใจในเรื่องและประโยชน์ของการกำากับ และบริหารแบบบูรณาการ และการปรับปรุงกฏบัตร ของคณะกรรมการชุ ด ต่ า งๆ น่ า จะเป็ น เรื่ อ งที่ ทำาได้ก่อน หลังจากนั้นจึงมีการประเมินเพื่อพัฒนา และนำาหลักการฯมาใช้และปรับปรุงประยุกต์อย่าง เหมาะสม ในเรื่องหนึ่งที่กรรมการควรให้ความสำาคัญ ในการกำากับดูแลคือเรื่อง ความเสี่ยงด้านความ ปลอดภัยทางไซเบอร์ (Cybersecurity Risk) ซึ่ง เป็นเรื่องหนึ่งของความเสี่ยงด้านไอที (IT Risk) ที่ เป็นสาเหตุของปัญหาที่สำาคัญยื่ง ที่มีผลกระทบต่อ Performance และ Conformance ระดับองค์กร การวิเคราะห์ความเสี่ยงและการป้องกันความเสีย่ ง ระดับองค์กรในเรือ่ ง Cybersecurity นัน้ ควรใช้ผู้ เชี่ยวชาญที่เป็นมืออาชีพเฉพาะเรื่องโดยเริ่มจาก การกำาหนดความเสี่ยงที่องค์กรยอมรับได้ และมีการ กำากับดูแลโดยคณะกรรมการ ตามหน้าทีห่ ลัก นัน่ คือ การประเมินผล การสั่งการ และการเฝ้าติดตาม อย่างเป็นกระบวนการ อาจารย์เมธา แนะนำาว่าหากท่านใดต้องการ ทราบรายละเอียดเพิ่มเติมเกี่ยวกับเรื่องการกำากับ ดูแลได้ไอที ตัวอย่างการนำาไปประยุกต์ใช้จริงของ COBIT5 เช่น เรื่อง เศรษฐกิจดิจิตอล สามารถอ่าน ได้เพิ่มเติมจากบทความในเว็บไซต์ www.itgthailand.com
Key principles used in regards to IT Governance Mr. Metha recommended one key principle relating to IT Governance, namely: “Control Objectives for Information and Related Technology” (or COBIT), that was innovated and initiated more 46 ago by ISACA – or the international Information Systems Audit and Control Association, under the auspices of the IT Governance Institution, that studied and developed control and monitoring procedures for the auditing the management of IT systems, the control procedures for IT systems, and the business operational procedures that combines both the governance and management of the overall business in one integrated system. As such, COBIT 5 incorporates the following principles: 1) Meeting the requirements of the Stakeholders 2) Having an enterprise-wide operational framework in an comprehensive or integrated manner 3) Adapting the operational framework into one integrated system 4) Incorporating together various factors, in order to enable successful achievements and to facilitate integrated organizational-wide performance results. 5) Separating out governance related activities, that is the duty of the Board of Directors, from those management/operational activities The above 5 key principles of the COBIT 5 system incorporates and includes: various steps, dimensions/ aspects, scope of coverage, operating guidelines, and the defined respective roles of involved parties that need to be taken into consideration, as well as details regarding environmental factors, technology systems and the potential capability of associated Another organization of interest, involved with people resources. information technology systems, is the Information Systems Audit and Control Association (ISACA) for the How important is IT Governance? Bangkok region, which is part of the US-based Mr. Metha emphasized that this is a very important ISCA. It is responsible for supporting, promoting matter. From an informal assessment of the agenda and informing relevant news and information items of Board Meetings, it was found that there were relating to the audit and control of computer not many significant discussions dealing with systems. ISACA’s main aim is to promote that information technology matters or objectives that corporate Management and IT Professionals give related to corporate objectives; and that whenever greater importance to the control and monitoring of there were discussions on I T matters, it was separate computer system, in order to enhance their organization’s to the discussions on corporate obj ectives or strategies. effectiveness and to ensure that its resources are This does not correspond to international principles, utilized for the maximum benefit possible. The IOD in which IT Governance is an integral part of the was honored to be able to interview Mr. Metha overall good corporate governance practices; and Suvanasarn, Vice President of the Information thus resul ts in governance at the corporate level Systems Audit and Control Association (ISACA) not being abl e to fully meet the ongoing requirements for the Bangkok region, about the importance of of the Stakehol IT Governance as well as the role and responsibility of If matters relders. ating to IT are not fully integrated Board Directors relating to IT Governance. as part of or within the overal l business operational systems, as required by the principles of IT Governance What is IT Governance? or the principles Governance of Enterprise IT Mr. Metha, who is an expert and specialist (GEIT), it will have an impact for the organization on IT Governance (ITG), defined IT Governance as well as on the Board of Directors responsibility as being “the business operation’s framework for for the various aspects of the organization – governance and management of its IT systems especially in regards to overall ‘performance’ (ie: on an enterprise-wide basis - or GEIT (Governance performance results) and ‘conformance’ (ie: overall of Enterprise IT). This is in accordance with the governance practices that are in accordance goals of its overall corporate governance practices with accepted standards which incorporates - namely, creating value added for all Stakeholders evaluation, direction and monitoring). As such, and ensuring that the organization will achieve if this is the case, then it would result in greater risks maximum benefits; while at the same time, and potentially greater damages or losses than would appropriate management of risks will also be be considered acceptable by the organization, undertaken together with making effective use of which will lead to significantly greater negative all its resources to gain full benefit, so that the impacts and consequence. However, if any overall organization wil achieve its stated objectives organization does give importance to this issue, and goals in every operational dimension or context. then both that organization and its Board of Directors As such, this corresponds to the internationally would be able to feel sure of receiving both the accepted good management standards and trust and confidence from its Stakeholders. Further, framework; or simply put: “good governance at the Board of Directors will be able to respond to the corporate level is the role and responsibility a key question that it has fully discharged of the Board of Directors, in order to create value its ‘fiduciary duty’ in every aspect and context added, and to meet the requirements of the relating to good corporate governance practices. Stakeholders”
IT Governance
Role of the Board of Directors Mr. Metha expressed the view that initial activities of any organization are very important; whereby any policies of the organizations are normally initiated by the Board of Directors. Thus, the Board may initiate this issue through reviewing the role and responsibilities of the various Board Committees so that they correspond to the principles of IT Governance within the framework of COBIT 5. If the restructuring of the organization requires a significant amount of time and resources than expected, perhaps one thing that could be undertaken initially is to communicate and inform those within the organization about the issues of and associated benefits to be derived from having in place fully integrated corporate governance and Management systems together with a redefined Charter for each respective Board Committee. This action would achieve a better understanding on their part. Thereafter, an assessment of the principles to be applied should be made, in order to develop and adapt them, as appropriate, for further application within the organization. One matter to which that the Board should give importance in regards to overall corporate governance is the issue of
‘cyber security’ risk, which relates to overall IT risks and is a key issue that will have an impact on both ‘performance’ and ‘conformance’ at a corporate
level.
The assessment and prevention of risks, at a corporate level, relating to cyber security should be assigned to professional experts and specialists, and should start with determining what level of risks are acceptable (ie: risk appetite), and should also be overseen by the Board of Directors in accordance with their core role – namely: evaluation, direction, and monitoring results in a structured process. Mr. Metha recommended that if anyone wishes to learn more about IT Governance and examples of actual situations of how COBIT 5 has been adapted and applied – such as, in regards to the digital economy, further details can seen in related articles through accessing the ITG website: www.itgthailand.com.
Cyber
security:
ความก้าวหน้าทางเทคโนโลยี VS ความเสี่ยงที่เกี่ยวข้อง
ดร.นฤมล สิงหเสนี รองกรรมการผู้จัดการใหญ่กลุ่มงานการเงินและสนับสนุนธุรกิจ บริษัท แม็คกรุ๊ป จำากัด (มหาชน) Dr. Narumol Sinhaseni Deputy Managing Director of Finance and Business Support Department Mc Group Plc.
เรือ่ งเทคโนโลยีเข้ามามีบทบาทในการทำาธุรกิจ อย่างมาก เช่น การติดต่อสือ่ สารของผูบ้ ริหารปัจจุบนั ใช้อเี มล์เป็นช่องทางสือ่ สารหลัก องค์กรต้องปฏิสมั พันธ์ กับลูกค้าตลอดเวลา ระบบงานภายในองค์กรแบบธุรกิจ ค้าปลีกใช้เทคโนโลยีตั้งแต่ติดบาร์โคด การทำาบัญชี การรายงานยอดขาย ในต่างประเทศการทำาธุรกิจ พาณิชย์อเิ ล็กทรอนิกส์ (e-commerce) ได้รบั ความ สนใจอย่างมาก ซึง่ ประเทศไทยก็มกี ารทำาเรือ่ งนีม้ าก ยิง่ ขึน้ การทีเ่ ทคโนโลยีเข้ามามีบทบาทมากขนาดนี้ ความเสี่ยงในการใช้งานก็ยิ่งมีมากขึ้น ทั้งเรื่องของ ตัวระบบ และข้อมูลทีอ่ ยูใ่ นระบบ ดังนัน้ คณะกรรมการ และผู้บริหารจึงไม่สามารถที่จะเพิกเฉยและไม่ให้ ความสำาคัญเกี่ยวกับเรื่องนี้ อาจารย์นฤมล ยกตัวอย่างของการทำาธุรกิจ พาณิ ช ย์ อิ เ ล็ ก ทรอนิ ก ส์ ว่ า เมื่ อ มี ก ารใช้ ง านมาก ขึ้ น การรั ก ษาความปลอดภั ย ยิ่ ง จะต้ อ งเพิ่ ม มาก ขึ้น การติดต่อของผู้บริหารที่มีข้อมูลที่สำาคัญของ บริษทั จะต้องระมัดระวังมากยิง่ ขึน้ “ปัจจุบนั สัง่ งาน กันผ่านทางไลน์ หรือส่งอีเมล์โดยใช้เมล์สาธารณะ เช่น Gmail ทางองค์กรได้มกี ารตัง้ กุญแจเมล์หรือไม่ ว่าให้ใครเปิดดูข้อมูลได้บ้าง และมั่นใจได้อย่างไร ว่าข้อมูลจะไม่รั่วไหล” นอกจากนั้นข้อมูลลูกค้าใน ระบบก็มีความสำาคัญมากที่จะปกป้องความเป็น ส่วนตัวของลูกค้า องค์กรต่างๆ ได้ให้ความสำาคัญ กับเรื่องนี้มากน้อยเพียงใด อาจารย์นฤมล แนะนำาว่าทุกองค์กรควรวาง นโยบายเรื่องระบบการกู้ข้อมูล (Data Recovery System) คือเมื่อข้อมูลในระบบล่มองค์กรจะต้อง กูข้ อ้ มูลให้ได้ภายในระยะเวลาเท่าไหร่ ซึง่ ขึน้ อยูก่ บั ว่า บริษทั มีความจำาเป็นในการใช้ขอ้ มูลมากน้อยแค่ไหน เช่น โรงพยาบาลอาจจะต้องกูใ้ ห้ได้ภายใน 1 ชัว่ โมง ในธุรกิจค้าปลีกเช่นบริษทั แมคกรุป๊ จำากัด (มหาชน) มีการกำาหนดว่าจะต้องกู้ข้อมูลให้ได้ภายใน 1 วัน ทุกบริษัทควรจะมีแผนรองรับอย่างชัดเจนว่าหาก ระบบล่มหรือข้อมูลสูญหายจะมีการจัดการอย่างไร ควรจะมีซอ้ มเพือ่ เตรียมการหากเหตุการณ์ที่ไม่คาด หมายเกิดขึ้น กรณีศึกษาด้านความเสี่ยงทางเทคโนโลยีที่ เกิดขึ้นในบริษัทที่อาจารย์นฤมลยกตัวอย่างเช่น การนำ า ซอฟ์ ท แวร์ ที่ ผิ ด กฏหมายมาใช้ ใ นบริ ษั ท Boardroom | 1 28 0
พนักงานแต่ละคนมีคอมพิวเตอร์พกพาเป็นของ ตนเอง หลายครัง้ นำาไปลงซอฟ์ทแวร์ทผ่ี ดิ กฎหมาย ซึ่งถ้าตรวจจับเจออาจก่อให้เกิดความเสียหายต่อ องค์กรเช่น ติดไวรัส ต้องจ่ายค่าปรับและส่งผล ภาพลักษณ์ต่อองค์กร ทางบริษัทจึงต้องมีการออก นโยบายทีช่ ดั เจน สือ่ สารกับพนักงาน และลงโปรแกรม ในคอมพิวเตอร์ทุกเครื่องที่ป้องกันไม่ให้พนักงาน นำาไปดาวน์โหลดโปรแกรมได้เอง เป็นต้น โครงสร้างองค์กรที่เอื้ออำานวย การจัดการความเสี่ยงด้านเทคโนโลยีได้อย่าง มีประสิทธิภาพนัน้ อาจารย์นฤมลแนะนำาให้ทกุ องค์กร มีการวางตัวผู้รับผิดชอบอย่างชัดเจน ที่แมคกรุ๊ปมี การแต่งตัง้ Chief Information Technology Officer (CIO) เพื่อดูแลเรื่องนี้โดยตรง สำาหรับองค์กรอื่นๆ อาจารย์นฤมล แนะนำาว่าหากไม่มผี เู้ ชีย่ วชาญภายใน อาจจัดหาผูเ้ ชีย่ วชาญจากภายนอก ซึง่ ผูเ้ ชีย่ วชาญนั้นจะ ต้องวางระบบภายในองค์กรทั้งด้านโครงสร้าง และ การวางระบบการทำางานทีช่ ดั เจน เช่น คนมาทำางานวัน แรกจะต้องมีอีเมล์ของบริษัททันที หน่วยงานนี้ตาม จริ ง แล้ ว ควรที่ จ ะรายงานตรงกั บ คณะกรรมการ ความเสี่ยง สำาหรับงบประมาณก็ขึ้นอยู่กับความจำาเป็นใน การใช้เทคโนโลยีภายในองค์กรมากน้อยเพียงใดซึ่ง คณะกรรมการจะต้องมีสว่ นร่วมในการตัดสินใจและ ติดตามการใช้งบประมาณทีไ่ ด้อนุมตั ไิ ป มีวาระประจำา ในทีป่ ระชุมคณะกรรมการทุกครัง้ คณะกรรมการต้อง เป็นผู้เริ่มต้นตั้งแต่การวางนโยบาย ซึ่งหากขาด ความเข้าใจควรจะเชิญผู้เชี่ยวชาญมาให้ความรู้ ซึ่ง ไม่ได้จำากัดแค่ระดับผู้บริหารแต่ลงไปถึงพนักงาน ทุกระดับ รวมทั้งหาความรู้เพิ่มเติมผ่านการอ่าน การเข้าร่วมอบรมสัมมนาต่างๆ เพือ่ ให้มคี วามเข้าใจ มากยิ่งขึ้น ต่างประเทศกับประเทศไทย เนื่องด้วย อาจารย์นฤมล เป็นท่านนึงที่ได้ไป ร่วมประชุม Global Cyber Summit ที่ประเทศ สหรัฐอเมริกา อาจารย์จึงเห็นมุมมองที่แตกต่าง บางอย่าง อาจารย์เห็นว่าคณะกรรมการและผูบ้ ริหาร ให้ความสนใจกับเรือ่ งนีม้ าก เพราะเห็นว่าเป็นจุดเสีย่ ง
ที่อาจนำาความเสียหายมาสู่องค์กรได้ ในขณะที่ ประเทศไทยยังพูดคุยเรือ่ งนีไ้ ม่มากนักวิทยากรท่านหนึง่ ที่อเมริกาได้แบ่งปันว่าไม่มีระบบใดที่สมบูรณ์แบบ แต่เราต้องมีอย่างน้อยเท่าเทียมกับคนอืน่ ๆ เพือ่ ทีเ่ ราจะ ไม่เป็นเหยื่อ “เราอาจไม่ต้องวิ่งเร็วเท่าหมี แต่ต้อง เท่ากับหรือเร็วกว่าคนรอบข้าง” ในประเทศสหรัฐอเมริกา พัฒนาไปไกลมีตำาแหน่งใหม่ๆ เกิดขึ้นในองค์กร เช่น Chief Information Security Officer (CISO) ในประเทศไทยอาจารย์นฤมลเห็นว่ารัฐบาล ควรวางเรื่องโครงสร้างพื้นฐานให้ดีและรวดเร็ว เช่น เรือ่ งบอร์ดแบนด์ทค่ี วรรวดเร็วและมีเสถียรภาพกว่านี้ และการออกกฏหมายเรือ่ งการป้องกันความปลอดภัย ควรมีความชัดเจนมากยิง่ ขึน้ หากรัฐบาลให้ความสำาคัญ เรือ่ งนีอ้ ย่างจริงจังภาคเอกชนก็จะสามารถใช้ประโยชน์ จากเทคโนโลยีได้อย่างเต็มที่และปลอดภัย
Technology progress VS Relevant risk Technology plays an important role in business such as, communication of the executives that currently use e-mail as a main communication channel, the organization has to interact with the customers at all time, internal system of the retail business relies on technology ranging from, barcoding, accounting to sale reporting. For international business, electronic commerce (e-commerce) has been in the trend. Thailand also sees more e-commerces as well. The more important role of technology inevitably results in more risks, including the system itself and data in the system. Thus, the Board of Directors and executives inevitably could not ignore this issue. Dr. Narumol raises an example of e-commerce that when there are more usages, the security has to be raised as well. The executives’ communication with important information has to be more careful. “Nowadays, there are communications through Line or public e-mail such as Gmail, does the organization set a password and how can they be sure that there is no data leakage?” In addition, customers’ data in the system is very important to protect their privacy. How much do the organizations emphasize on this issue?
Dr. Narumol also suggests every organization should set a data recovery system. It is the case when the system fails, how much time the organization is able to recover the data? It depends on the necessity of the data such as, the hospital should recover data within 1 hour, in the retail business such as Mc Group Plc. has determined to recover data within 1 day. Every organization should have a clear plan how to take an action in case of system failure or data lost. There should be a rehearsal to prepare for unexpected incidence. Dr. Narumol raises a case study about the technological risk that might occur in the company such as, the usage of il egal software of the employee. Every employee has his/her own computer installed illegal software. If they are checked, there might be a damage to the organization such as viruses. The organization has to pay the ffiine and have the bad reputation. Therefore, the company has to have a clear policy, communicate with the employee and install a program in the every computer to prevent the employees to download or install the software by themselves.
America, she has different viewpoints in some issues. She has an opinion that the Board of Directors and executives should pay attention to this issue because it is a risk that might cause damage to the organization. While it is not an interesting issue in Thailand, an American expert has shared that there is not such a perfect system, but we have to have a system at the same level as the other to prevent us from being a prey “we do not have to run as fast as a bear but, we have run as fast or equal as the others� In the United States of America, there are new positions in the organization such as Chief Information Security Officer (CISO)
management, Dr Narumol suggests every organization to place the responsible person clearly. At Mc Group, there is a Chief Information Technology Officer (CIO) to be responsible for this issue directly. For other organizations, she suggests them to look for external expert to set a system in the organization, including a clear structure and operational system such as a new employee must have the company e-mail instantly. Actually, this department should report to the Risk Committee. The budget depends on the necessity to use technology in the organization. The Board of Directors have to participate in decision making and monitoring the approved budget. Importantly, it should be a regular agenda of the Board meeting. The Board have to be the initiators themselves from setting a policy. If they do not understand, they should learn from the expert. Moreover, the executives and employees at all levels should learn more through attending the seminars.
such as a faster and more stable broadband and a new law to protect security should be clearer. If the Thai government seriously take it, the private sector would benefit fully and safely from the technology.
In Thailand,
Dr. Narumol has an opinion that the government should invest in a good Favorable organization structure and fast infrastructure Regarding of effective technological risk
Thailand and aboard
As Dr. Narumol was one of the attendants of Global Cyber Summit in the United States of 11 9 Boardroom | 2
พลตำารวจตรี ดร. สุพิศาล ภักดีนฤนาถ ประธานกรรมการ บริษัท คอมมิวนิเคชั่น แอนด์ ซิสเต็มส์ โซลูชั่น จำากัด (มหาชน) Pol. Major General Dr. Supisarn Bhakdinarinath Chairman Communication & System Solutions Pcl.
Cyber
security:
การเตรียมพร้อมของทุกองค์กร
ปั จ จุ บั น นี้ มี เ ทคโนโลยี เ กิ ด ขึ้ น ใหม่ แ ละ เปลี่ยนแปลงอยู่ตลอดเวลา ดังนั้น เทคโนโลยี สารสนเทศ หรือ IT ในโลกของไซเบอร์นี้ จึงเป็น ส่วนสำาคัญสำาหรับธุรกิจทุกแขนง ไม่ว่าบริษัทใด ต่างมีความจำาเป็นเร่งด่วนที่ต้องคอยปรับเปลี่ยน พัฒนาระบบ IT ของบริษัทให้สอดคล้องกับกระแส IT อยู่เสมอ และสิ่งสำาคัญที่สุด คือ การรับมือ กับความเสี่ยงที่อาจเกิดขึ้นจากโลกของไซเบอร์ Boardroom ฉบับนี้จึงขอสัมภาษณ์ พลตำารวจตรี ดร. สุพิศาล ภักดีนฤนาถ ประธานกรรมการ บริษัท คอมมิวนิเคชั่น แอนด์ ซิสเต็มส์ โซลูชั่น จำากัด (มหาชน) ในฐานะของคณะกรรมการบริษทั ที่ ดำาเนินงานด้านเทคโนโลยีสารสนเทศโดยตรง ทัง้ ยัง มีความรู้และประสบการณ์ทางด้านเทคโนโลยีจาก ทั้งภาครัฐอีกด้วย ความเสี่ยงด้าน IT เริ่มแรกพลตำารวจตรี ดร. สุพิศาล เล่าให้ ฟังถึงความเสี่ยงต่างๆ ที่เกิดขึ้นในระบบ IT เช่น การเจาะข้อมูลระยะไกล (Remote Hacker) โดย ผู้ก่อการร้าย การใช้ระบบ IT ในการแทรกซึมลง ถึงเครื่องจักรกลให้เกิดเหตุขัดข้องและสร้างความ เสียหายให้กบั องค์กร หรือการใช้ IT ในการตรวจสอบ และจัดเก็บข้อมูล พยานหลักฐาน ข้อมูล VDO และภาพของคูค่ วามในการต่อสูท้ างคดี การดำาเนิน งานต่างๆ ทีต่ อ้ งใช้คอมพิวเตอร์เข้ามามีส่วนร่วม แม้แต่การเรียนการสอนในระดับประถมก็มีการใช้ คอมพิวเตอร์เช่นกัน หากมีการถูกเจาะระบบเข้ามา เปลี่ยนแปลงข้อมูล ก็สามารถสร้างความเสียหาย ได้มากทีเดียว แนวทางรับมือ สำาหรับ พล.ต.ต. ดร. สุพศิ าล มองว่ากระแส IT จะเข้ามามีบทบาท และมีแนวโน้มเพิ่มสูงขึ้นเรื่อยๆ องค์กรต้องปรับตัวเพือ่ รับมือให้ได้ เริม่ จากการจัดตัง้ หน่วยงานหรือผู้ดูแลเฉพาะด้านอย่าง Unit IT ที่มี CIO (Chief Information Offificer or Information Technology (IT) Director) ดูแลโดยตรง เพราะมี ความสำาคัญต่อบริษทั มาก เนือ่ งจากเป็นหน่วยงานที่ สามารถช่วยลดต้นทุนในเรือ่ งต่างๆ ได้จากการวาง ระบบที่ดี และจะต้องมีการรายงานความปลอดภัย ของระบบต่อคณะกรรมการและผูบ้ ริหารอย่างต่อเนือ่ ง Boardroom | 22
เพือ่ ดูแนวโน้มและปรับปรุงระบบอย่างต่อเนือ่ ง และมี การพัฒนาบุคคลากรภายในให้มีศักยภาพควบคู่กัน ไปการสร้างความสัมพันธ์กับลูกค้า ถือเป็นอีกส่วน หนึ่งที่ต้องดำาเนินการ เพราะในโลกไซเบอร์ ลูกค้า เป็นส่วนสำาคัญในการผลักดันการดำาเนินงานของ บริษัทให้เติบโต และช่วยในเรื่องของภาพลักษณ์ ได้ดี การใช้บริการจัดเก็บข้อมูลที่มีมาตรฐาน เช่น การใช้ Clouds หรือ Application ที่ถูกพัฒนาโดย บริษัทขนาดใหญ่ เพื่อการจัดเก็บข้อมูลแทนวิธีเดิม ที่เก็บข้อมูลที่เป็นความลับของบริษัท บน server และทำาการ Back up ด้วยตัวบริษัทตนเองถือว่ามี ความเสีย่ ง หากบริษทั ไม่มกี ารป้องกันทีม่ ปี ระสิทธิภาพ ดังนั้น การลงทุนแบบนี้สามารถครอบคลุมความ ปลอดภัยทุกๆ ด้าน ไม่วา่ จะเป็นความปลอดภัยทาง ด้านผู้ดูแล การตรวจสอบการ Upgrade ฉะนั้น การว่าจ้างให้บริษัทที่มีความเชี่ยวชาญทางด้าน IT เข้ามาบริหาร จึงเป็นหนึง่ หลักการทีด่ แี ละมีประสิทธิภาพ ในการสร้างความปลอดภัยของไซเบอร์ บทบาทของกรรมการ และการป้องกัน การเกิดผลเสียทาง IT กรรมการต้องมีการพัฒนาตัวเองให้ทันต่อ กระแสที่เปลี่ยนไป พล.ต.ต.ดร.สุพิศาล มองว่า กรรมการควรต้องปลูกฝังการใช้ IT ลงไปใน DNA ขององค์กร เพือ่ สร้างให้ทกุ แผนกเกิดการใช้งานจริง และตกผลึกลงไปจากรุน่ สูร่ นุ่ โดยใช้ IT เป็นเครือ่ งมือ สือ่ สาร จนหล่อหลอมให้เป็นภาพลักษณ์ขององค์กร พล.ต.ต. ดร.สุพศิ าล กล่าวเพิม่ เติมว่าการพัฒนา และวางแผนในเรือ่ งการป้องกันความเสีย่ งทีจ่ ะเกิดขึน้ ต้องอาศัยปัจจัยหลายด้าน ยกตัวอย่างที ่ CSS เลือกใช้ บุคลากรภายในองค์กรเป็นหน่วยขับเคลื่อนหลัก เพื่อให้มีความเข้าใจในพื้นฐานของข้อมูลและรับรู้ ถึงการเปลี่ยนแปลงของเครื่องมือทาง IT ที่เกิดขึ้น ในทุกเวลา รวมถึงการพัฒนาองค์กรให้สอดคล้อง กับนโยบายรัฐบาล แต่เหนืออื่นใด การดำาเนินการ ทุกอย่างล้วนต้องคำานึงถึงผู้มีส่วนได้ส่วนเสียของ องค์กรเป็นสำาคัญ ต้องมีการรายงานและแสดงข้อมูล อย่างเปิดเผย สรุปได้ว่ากรรมการสามารถจัดการกับความ เสี่ยงด้านความปลอดภัยของไซเบอร์ได้ด้วยการ 1. สร้างโครงสร้างและผลักดันให้มีหน่วยงานด้าน IT โดยเฉพาะ และให้กรรมการทุกท่านรวมไปถึง
พนักงานทุกคนตระหนักและตืน่ ตัวในเรือ่ ง IT อย่าง จริงจัง 2. จัดเตรียมเครื่องมือ หรืออุปกรณ์ให้เหมาะสม กับการดำาเนินงาน 3. วางกฎกติการ่วมกัน และกำาหนดใช้ในทุกระดับ ทุกแผนก 4. ใช้ระบบทีม่ มี าตรฐานในการควบคุมความเสีย่ ง
Preparation by Every Organization Currently, launch of new technology systems as well as technological changes are happening all the time; and, therefore, in this ‘cyber world’ information technology (IT) systems have become essential for every type of business. Regardless, all companies need to urgently change and develop their technology systems to be in line with the current most IT trend on a regular basis; and, thus, one of the most important issue is: Meeting the potential risks within the cyber world. This issue of the BOARDROOM, therefore, includes an interview with Pol. Major General Dr. Supisarn Bhakdinarinath Chairman, Communication & System Solutions Pcl., in his capacity as a Board Director of a company that is directly involved with information technology as well as in being an expert with extensive experiences in technology matters and in the Public Sector.
IT related risks Pol. Major General Dr. Supisarn stated that the various types of risks relating to IT systems – such as: the risk from remote hackers or hacking by terrorists using IT systems that infiltrate into various types of machinery or mechanical systems to cause a breakdown or interruption of their operations that result in damages and losses to the affected organization; or making use of IT systems to review and compile written evidence or information in VDO and photographic formats of the other parties for use in legal disputes. All such activities require the use of computers; and even teaching in primary schools also needs the use of computers. If the computer system can be hacked to change the existing information or data stored, it will result in significant damages for the affected party.
Directions in meeting such risks From his viewpoint, Pol. Major General Dr. Supisarn sees that IT trends and associated systems will play an increasing role going forward. Organizations must adapt themselves to be able to meet such trends. They can begin by creating an internal unit specifially responsible for IT matters – such as an IT Unit/Department headed by the CIO/IT Director (ie: Chief Information Officer or Information Technology (IT) Director). The IT Unit has a significant degree of importance for the overall organization, since it is an internal unit that can help reduce costs in various operational aspects through implementing effective IT systems. It is also required to report on the security of the systems to the Board of Directors on a regular basis, so that possible trends can be predicted and continuous improvements can be made together with ongoing development of internal people resources to enable them to have the corresponding required capabilities. Establishing relations with customers is an other required operational aspect, since in the cyber world customers are an important componentin driving the company’s development and growth as well as in helping to create a positive corporate image. Make use of a standard information storage system – such as, cloud or an application developed by large companies – instead of storing confidential company data on its existing server system together with its own data backup system, which is considered to be a major risk if the company does not have an effective security system in place. Therefore, making such an investment will incorporate a comprehensive security system – whether it is security relating to peoplen responsible for oversight, to audit, to the systems upgrade. Thus, engaging IT experts and specialists to be responsible for the management of the IT systems is a core and effective principle in creating cyber security.
Role of Board Directors and protecting from IT related losses or damages Pol. Major General Dr. Supisarn said that Board Directors need to develop themselves to be attuned to the latest ever-changing IT trends, as well as embed the use of IT systems into the corporate DNA, so that every Department make full use of them and hand down this corporate culture
from generation to generation through the use of IT as a means of communications, until it becomes molded as an integral component of its corporate image.
Pol. Major General Dr. Supisarn also added that the development and planning of prevention measures against possible risks
1. Determining a structure for and pushing to create a dedicated internal IT Unit/Department, as well as encouraging all Board Directors and every Staff member to become aware of and actively alert to IT related issues, 2. Making available all the required tools and equipments appropriate to its operations and activities, 3. Jointly determining the rules and regulations to be used at every level and Department, 4. Using systems that incorporate standards relating to controlling risks.
must depend on various factors – for example, CSS chose to use outside resources to primary party for the implementation of its system, in order to achieve a basic understanding of the information and to be fully aware of the changes in IT tools that occurs at every point. Also, the development of the organization needs to be aligned with Government policies. But most important of all, every activity needs to take into consideration the Stakeholders and to report and disclose all relevant information in a open manner. In summary, Board Directors can tackle the issue of managing risks relating to cyber security through as follows:
Boardroom | 23
Cyber
security:
ไซเบอร์ป้องกันได้ด้วยการ
แชร์
คุณระเฑียร ศรีมงคล ประธานเจ้าหน้าที่บริหาร บริษัท บัตรกรุงไทย จำากัด (มหาชน) Mr. Rathian Srimongkol Chief Executive Officer Krungthai Card Plc.
อีกหนึง่ ธุรกิจทีต่ อ้ งส่งผ่านข้อมูลต่างๆ ตลอด เวลา คงจะหนีไม่พ้นธุรกิจบัตรเครดิต ที่มีการทำา ธุรกรรมผ่านอินเตอร์เน็ต และไม่ใช่จำากัดเฉพาะ แค่ประเทศไทยเท่านั้น แต่หมายถึงการส่งผ่าน ข้อมูลไปทัว่ โลก การป้องกันทีด่ แี ละรัดกุมเป็นเรือ่ งที่ ท้าทายอย่างมาก คุณระเฑียร ศรีมงคล ประธาน เจ้าหน้าทีบ่ ริหาร บริษทั บัตรกรุงไทย จำากัด (มหาชน) ได้สละเวลาพูดคุยเรื่องความเสี่ยงในโลกไซเบอร์ รวมไปถึงการป้องกันได้อย่างน่าสนใจ IT เข้ามามีบทบาทอย่างไร เป็นที่ทราบกันดีแล้วว่า KTC ให้ความสำาคัญ กับความทันสมัยและนวัตกรรม จึงไม่แปลกใจที่ KTC ได้นำาเทคโนโลยีสารสนเทศที่ทันสมัยเข้ามา เป็นส่วนสำาคัญในการพัฒนาธุรกิจ เรียกได้ว่าเป็น Back Bone ขององค์กรเลยก็ว่าได้ ที่ KTC มีการ จัดโครงสร้างด้าน IT เป็น 3 ระดับ คือ Plan จะเป็น หน่วยงานที่มีหน้าที่วางแผนการดำาเนินงาน Build ทีเ่ น้นการลงทุนเท่าทีจ่ าำ เป็น และสุดท้ายคือ Run เป็นการดำาเนินธุรกิจให้เดินไปอย่างต่อเนื่อง และ มีประสิทธิภาพ โดยทัว่ ไปแล้วองค์กรอืน่ ๆ ในขัน้ ตอน Plan และ Build มักจะเป็นการใช้บุคคลภายนอก มาดำาเนินงาน ทัง้ การวางระบบ คิดโครงสร้าง แต่ สำาหรับ KTC เป็นการสร้างจากบุคลากรภายใน องค์กร นัน่ หมายถึงการเข้าใจตัวตนและลักษณะงาน ขององค์กร ทำาให้สามารถวางแผนและสร้างระบบที่ สามารถตอบทุกความต้องการได้อย่างลงตัว KTC มองว่าการลงทุนงบประมาณเรือ่ งระบบ ไม่ใช่ประเด็นสำาคัญ แต่ที่สิ่งสำาคัญคือการพัฒนา บุคลากรขององค์กรให้เข้าใจและสามารถออกแบบ ระบบให้เหมาะสมกับองค์กร และจะต้องสามารถ อธิบายให้ทุกคนเข้าใจได้เหมือนกัน ด้วยภาษาที่ เข้าใจง่าย ไม่ใช่ศัพท์เทคนิค การพัฒนาจะเป็นไป ในลักษณะที่ก้าวเดินไปพร้อมๆ กันทั้งองค์กร ซึ่ง ความรู้ตรงนี้ที่เป็นตัวแปรด้านมูลค่าในการพัฒนา ระบบ ซึง่ อาจหมายถึงมูลค่าสูงจนแทนค่าไม่ได้เลย นั่นเอง สำาหรับคณะกรรมการตรวจสอบ หรือคณะ กรรมการทีม่ หี น้าทีบ่ ริหารความเสีย่ ง ไม่จาำ เป็นต้องมี ความเชี่ยวชาญด้าน IT แต่ควรจะมีพื้นฐานด้าน IT Boardroom | 24
อยูบ่ า้ งและให้ผเู้ ชีย่ วชาญมาอธิบายเพิม่ เติม นับเป็น Case Study คุณระเฑียร ยกตัวอย่างเหตุการณ์ทเ่ี กิดขึน้ จริง แนวทางหนึ่งที่ช่วยให้คณะกรรมการทำาหน้าที่ได้ ว่ามีบริษทั หนึง่ ได้รบั การติดต่อจากคูค่ า้ (Supplier) อย่างมีประสิทธิภาพมากขึ้น ว่าให้ทำาการชำาระเงินตามใบแจ้งหนี้หมายเลขที่ระบุ แต่ ขอเปลี่ยนบัญชีที่รับชำาระเงินเป็นเลขบัญชีใหม่ แนวทางป้องกัน ที่อเมริกามีการให้ความสนใจด้าน IT อย่าง เมื่อบริษัทโอนเงินไปเรียบร้อยแล้ว ปรากฏว่าคู่ค้า ชัดเจน มีการตัง้ หน่วยงานเกีย่ วกับ IT ขึน้ มาโดยเฉพาะ ตัวจริงมาทวงถามเงินทีต่ อ้ งทำาการชำาระ ทำาให้รวู้ า่ มีผบู้ ริหารชัดเจน หรือทีเ่ รียกว่า Chief Information บริษทั โดนเจาะอีเมล์ นับเป็นความเสียหายอย่างมาก Security Officer - CISO มีการเสนอรายงานต่อ สำาหรับกรณีน ้ี คุณระเฑียร มองว่าการป้องกัน ผู้บริหารและคณะกรรมการอย่างสม่ำาเสมอ มีการ ไม่ใช่แค่เรือ่ งของเทคโนโลยี แต่เป็นเรือ่ งของระบบ วางแผนงานเมื่อเกิดเหตุการณ์ แต่ในประเทศไทย การดำาเนินงานภายในองค์กร เช่นในกรณีนี้น่าจะ คุณระเฑียร คิดว่ามีการให้ความสนใจไม่มากเท่าทีค่ วร มีระบบให้ตรวจสอบข้อมูลก่อนที่จะดำาเนินการตาม มักจะเป็นการแฝงอยู่ในหน่วยงานต่างๆ และมีการ อีเมล์ เช่น มีการโทรศัพท์เพือ่ ตรวจสอบซ้ำาอีกครั้งก่อน รายงานต่อผูบ้ ริหาร เช่น Head of ERM (Enterprise ที่จะดำาเนินการ จึงสรุปได้ว่าการจัดการความเสี่ยง Risk Management) หรือ CEO โดยจะรายงาน ด้านเทคโนโลยีต้องเป็นส่วนหนึ่งของการจัดการ เชิงสถิติ ตัวเลข รายละเอียดของ Transaction ความเสี่ยงภาพรวมขององค์กร ต่างๆ ต่อ ERM แต่จะรายงานเพียงกรณีที่พบเจอ ความผิดปกติต่อ CEO ซึ่งเป็นสิ่งที่ไม่ค่อยถูกต้อง ป้องกันได้ด้วยการแบ่งปันประสบการณ์ เท่าที่ควร การรายงานที่ดีควรจะรายงานให้ทราบ การมีแนวปฏิบัติที่ชัดเจนจะช่วยให้บริษัทมี เหมือนกันทั้งฝ่าย ERM และ CEO รวมไปถึงคณะ โอกาสตรวจสอบขั้นตอนต่างๆ ที่วางไว้ว่ามีความ กรรมการ เพราะทุก Incident สามารถเป็นสัญญาณ ปลอดภัยมากเพียงพอหรือไม่ และสิง่ สำาคัญอีกประการ ที่บ่งบอกถึงอะไรสักอย่างในอนาคต ทำาให้เกิดการ ที่ช่วยเรื่องการป้องกันได้อย่างดี คือ ควรจะมีการ เฝ้าระวังและหาทางป้องกันได้บ่อยครั้งที่ผู้บริหารได้ แบ่งปันประสบการณ์ในสิง่ ทีเ่ กิดขึน้ เพราะจะช่วยให้ รับรายงานว่าพบการพยายามเจาะข้อมูล (Hack) บริษัทอื่นๆ สามารถวางแนวทางการป้องกันความ ทั้งที่ทำาสำาเร็จและไม่สำาเร็จ แต่นั่นหมายถึงจำานวน เสียหายที่จะเกิดขึ้นได้ โดยไม่ต้องเกิดความเสีย ครั้งที่ถูกค้นพบ แต่ครั้งที่ไม่สามารถตรวจจับได้ว่า หายก่อน มีการพยายามเจาะข้อมูล มีจำานวนมากน้อยเท่าใด ในช่วงท้ายของการสัมภาษณ์ คุณระเฑียร เราไม่มีทางทราบได้เลย ดังนั้น การเฝ้าระวังจาก พูดถึงความแตกต่างระหว่างประเทศไทย และต่าง รายงาน Incident จะช่วยให้ให้คณะกรรมการและ ประเทศในเรื่องการเปิดเผยข้อมูลในเรื่องความ ฝ่ายบริหารหาทางป้องกันได้อย่างทันท่วงที ปลอดภัยของไซเบอร์ว่าในต่างประเทศมีการเปิด คุณระเฑียร บอกอีกว่าสิง่ ทีส่ าำ คัญประการหนึง่ เผยข้อมูลต่างๆ รวมถึงความผิดปกติทเ่ี กิดขึน้ อย่าง เมือ่ เกิดเหตุการณ์ทาง Cyber ให้คดิ ว่าเราจะมีแผน ชัดเจน เพือ่ ให้บริษทั อืน่ เกิดความตืน่ ตัวและสามารถ อย่างไรในการแก้ไขปัญหา เริ่มแรกต้องคาดการณ์ วางแนวทางป้องกันได้ และวิธีคิดของผูบ้ ริหารของ ความเสี่ยงต่างๆ ที่จะเกิดขึ้นให้ได้ว่ามีอะไรบ้าง ต่างประเทศเมือ่ เกิดความผิดพลาดขึ้นจะมองว่ามัน แล้วแต่ละเหตุการณ์เราจะแก้ไขอย่างไร และป้องกัน คือการเรียนรู้ เป็น Learning Curve เป็นสิ่งที่ต้อง อย่างไร รับมือ และหาวิธีการแก้ไขป้องกัน สิ่งเหล่านี้คือจุด เด่นที่เราควรนำามาปรับใช้ให้เกิดประโยชน์ต่อไป
Cyber could be protected by sharing The credit card business involves the transfer of large amounts of date at all times. The data transfer is not just limited to Thailand, but is global. A good and strict prevention of crimes in the cyber world is a challenge for businesses. Mr. Rathian Srimongkol, Chief Executive Officer of Krungthai Card Plc. granted us an interview to discuss risk in the cyber world and preventive approaches. What was the role of information technology? It was well known that KTC focused heavily on technology and innovation and not surprising that KTC had adopted state-of-art information technology as a key component in business development. The technology served as the backbone of the organization. KTC had an IT structure consisting of three levels, Plan, Build and Run. Plan was the departmen responsible for making an operational plan. Build focused on necessary investment. Run was the ongoing and effective operation. Most organizations had outsourced external experts in Plan and Run, including setting a system and creating a structure, while KTC had relied on personnel in the organization, as they better understood the identity and characteristics of the organization. As a consequence, they could plan and create a system that meets the bank’s requirements. KTC was not overly concerned about the investment budget in the system. The key issue was to develop personnel in the organization to understand and design a proper system for the organization. Importantly, the personnel needed to be able to explain to others how the system works and ensure that there was a clear understanding and that simple language not jargon was used. The development involved a concerted effort by the whole organization. This knowledge was a valued variable in the system development. The value might be so high and priceless. The Audit Committee or Risk Management Committee was
not required to have the IT expertise, but it should have basic knowledge of it, with experts available to provide detailed explanations. This was one approach to enhance the effectiveness of the Board of Directors. Protective approach In the United States, there was clearly an interest in IT. Companies set up IT departments with executives and the top post being Chief Information Security Officer (CISO), who reported to the management and Board of Directors regularly. Interest in this issue in Thailand was minimal. In various Thai organizations, staff members overseeing IT operations tended to report to the Head of ERM (Enterprise Risk Management) or CEO by reporting statistic data, number and details of transactions to ERM. They would only report IT-related cases that seemed abnormal, which was not thorough enough. All suspicious cases should be reported to the ERM and CEO, including the Board of Directors, because every incident could be a sign of something in the future that needs to be monitored and prevented. Often, the cases reported to management pertaining to successful and unsuccessful of hacking of data, but only some of the cases were detected. It is now known how many of them went undetected. Thus, monitoring from the incident report could help the Board of Directors and the management to prevent hacking from occurring. Mr. Rathian added that when there was a cyber incidence, the bank had to think what the best resolution is. First, it had to anticipate the risks that could occur, which would then allow it to solve and prevent the problem from occurring again. . Case Study Mr. Rathian raised a case study, which involved a company that was approached by a supplier to pay its bil to a new bank account. The company paid the bil as requested, but soon after received a payment request form the real supplier. Finally the company’s email had been hacked, which resulted in extensive damages.
That case proved that a company not only should be protected technologically, but the organization should be protected as well. The company should have checked the information before acting according to the e-mail. For example it could have rechecked the bil . In conclusion, risk management in technology must be a component in the overall risk management of the organization. Protection by sharing experience A clear guideline would help an organization to recheck every procedure if it was suffificiently safe. Importantly, sharing an experience contributes to good protection because it could help other organizations to prepare an approach to prevent the damage beforehand. At the end of the interview, Mr. Rathian talked about the difference between Thailand and other countries regarding information disclosure pertaining to the security of the cyber world. In other countries, information disclosure is more readily used, including abnormalities to raise awareness of other organization and plan a preventive approach.
Moreover, in the mindset of the executive, mistakes were considered to be part of the learning curves for dealing with and preventing damage in the cyber world. By highlighting those mistakes, everyone can learn and adapt in
the context of Thailand.
Boardroom | 25
security:
่ยง Cyber ความเสี จาก IT เข้าใจไอทีี เข้าใจความเสี่ยง คุณธีรนันท์ ศรีหงส์ กรรมการผู้จัดการ ธนาคารกสิกรไทย จำากัด (มหาชน) Mr. Teeranun Srihong Managing Director Kasikornbank Plc.
ในประเทศไทยธุรกิจธนาคารนับว่าเป็นธุรกิจ ที่มีความก้าวไกลในเรื่องการใช้ระบบเทคโนโลยี สารสนเทศและการป้องกันความเสี่ยงที่อาจเกิดขึ้น จากการใช้งาน Boardroom ฉบับนี้จึงขอสัมภาษณ์ คุณธีรนันท์ ศรีหงส์ กรรมการผู้จัดการธนาคาร กสิกรไทย จำากัด (มหาชน) เกีย่ วกับแนวทางทีท่ าง ธนาคารได้นำาเทคโนโลยีไปใช้ประโยชน์และการ จัดการกับความเสีย่ งทีอ่ าจเกิดขึน้ เพือ่ เป็นประโยชน์ กับภาคธุรกิจอืน่ ๆ ทีต่ อ้ งการใช้เทคโนโลยีสารสนเทศ ให้เป็นประโยชน์ในการธุรกิจและมีแผนการจัดการ ความเสี่ยงอย่างเหมาะสม IT กับงานธนาคาร คุณธีรนันท์ เล่าให้ฟังว่าทางธนาคารได้นำา เทคโนโลยีมาใช้ในการดำาเนินงานในองค์กรมากว่า 30 ปีแล้ว ในช่วงแรกเป็นการนำามาใช้งานเพื่อ เพิ่มประสิทธิภาพของกระบวนการทำางานต่างๆ ภายในองค์กร แต่ตอ่ มาเทคโนโลยีได้ขยายบทบาท ออกไปมากกลายเป็นเครื่อ งมื อ สำ า คั ญ ที่ ใ ช้ ส ร้ า ง ความภักดีกบั ลูกค้า นำาระบบของธนาคารและระบบ ของลูกค้ามาผูกกันเพื่อความพึงพอใจสูงสุดของ ลูกค้า เทคโนโลยีกลายเป็นเครื่องมือทางกลยุทธ์ทั้ง ในการบริหารงานลูกค้าและเพิ่มประสิทธิภาพการ ทำางานขององค์กร การขยายขอบเขตไปสู่ Social Media และเทคโนโลยีมือถือในปัจจุบันกลายเป็น เครื่องมือในการทำาธุรกิจที่สำาคัญขององค์กร จากการใช้เทคโนโลยีมากทำาให้ความเสีย่ งมากขึน้ ตามไปด้วย ธนาคารจะต้องมั่นใจว่าเทคโนโลยี ที่ใช้อยู่น้ันสามารถใช้ได้อย่างต่อเนื่องไม่หยุดชะงัก ข้อมูลที่มีในระบบไม่ได้รับการใช้ในทางที่ไม่เป็น ประโยชน์ มีการป้องกันข้อมูลลูกค้าอย่างดีให้ ปลอดภัยจากทั้งอาชญากรรมทางอีเลคทรอนิคส์ (Crime) และการทุจริต (Fraud) ต่างๆ คุณธีรนันท์ กล่าวว่าใช้เทคโนโลยีแล้วต้อง คุมให้ได้ ไม่ให้เป็นเครือ่ งมือทีม่ าทำาร้าย ถ้าอาศัย เทคโนโลยี ใ นการทำ า งานก็ จ ะต้ อ งชั ด เจนว่ า การ ทำางานเทคโนโลยีนั้นมีความต่อเนื่องและมีความ ปลอดภัย การจัดการความเสี่ยงด้านเทคโนโลยี คุณธีรนันท์ แบ่งปันให้ฟงั ว่าทางธนาคารได้มี การจัดวางโครงสร้างที่ดูแลเรื่องนี้โดยเฉพาะมีการ Boardroom | 26
จั ด ตั้ ง คณะอนุ ก รรมการบริ ห ารความเสี่ ย งด้าน ปฏิบัติการโดยกรรมการผู้จัดการเป็นประธานของ คณะฯ ซึ่งมีเรื่องเทคโนโลยีสารสนเทศเป็นเรื่อง ที่ใหญ่และสำาคัญในคณะฯ นี ้ การรายงานขึน้ ตรง ต่อคณะกรรมการความเสี่ยงซึ่งมีคณะกรรมการ ชุดใหญ่เป็นสมาชิกในคณะนีโ้ ดยมีกรรมการผูจ้ ดั การ อยูด่ ว้ ย ภายใต้คณะกรรมการความเสีย่ ง มีคณะ กรรมการที่ มี ค วามเชี่ ย วชาญด้ า นเทคโนโลยี สารสนเทศโดยเฉพาะจึงสามารถให้มุมมองและ คำาแนะนำาที่เป็นประโยชน์ และหลายครั้งท่าน คณะกรรมการได้มกี ารพูดคุยกับ Chief Information Officer (CIO) โดยตรงเป็นการส่วนตัว โดยคณะ กรรมการความเสี่ยงจะกลั่นกรองเรื่องที่จะนำาเสนอ คณะกรรมการชุดใหญ่อีกครั้ง การจัด การความเสี่ ย งนั้ นต้ อ งเริ่ ม จากการ ทำาความความเข้าใจความเสีย่ งทีม่ อี ยู่ ทางธนาคาร ได้ มีจัด หมวดหมู่ค วามเสี่ย งด้ า นเทคโนโลยี อ อก มาเป็น 10 ด้าน และทำาการประเมินความเสี่ยง ความเสี่ ย งแต่ ล ะด้ า น โดยร่ ว มกั บ หน่ ว ยงานที่ เกี่ยวข้องจัดทำาดัชนีชี้วัดความเสี่ยงด้านเทคโนโลยี (IT Key Risk Indicator) ที่สำาคัญเพื่อจัดลำาดับผลก ระทบที่เกิดขึ้นจากความเสี่ยง หลังจากนั้นได้จัด ทำาแผนเพื่อป้องกันความเสี่ยง (Risk Treatment Plan) การทำาตามแผน และการติดตามแผนอย่าง ต่อเนื่องโดยมีการจัดให้ทำารายงานความเสี่ยง (Risk Reporting) เป็นประจำา โดยทางธนาคารได้หมวด หมู่ความเสี่ยง 10 ด้านได้แก่ ด้านความปลอดภัยของเทคโนโลยีสารสนเทศ (IT security risks) ทั้งข้อมูลและระบบในเรื่องการรักษา ความลับ ความถูกต้อง ความพร้อมในการใช้งาน ด้านข้อมูล (Data risks) เช่น ข้อมูลสูญหาย รัว่ ไหล ถูกปลอมแปลง หรือทำาลาย ด้านผู้ขายและผู้ให้บริการงานเทคโนโลยีสารสนเทศ (IT Vendor/ Supplier risks) เพือ่ จะมั่นใจว่าผู้ให้บริการ สามารถทำางานได้อย่างมีประสิทธิภาพและต่อเนื่อง ด้านการปฏิบัติการงานเทคโนโลยีสารสนเทศ (IT Operational risks) เช่น การวางแผนพัฒนา การออกแบบระบบ และโครงสร้างด้านอุปกรณ์ เทคโนโลยีสารสนเทศ (Hardware risks) ที่อาจ เกิดการทำางานผิดพลาดหรือไม่ทาำ งาน ด้านโปรแกรมเทคโนโลยีสารสนเทศ (Software risks) ทีอ่ าจเกิดการทำางานผิดพลาดหรือไม่พร้อมใช้งาน
ด้านการบริหารโครงการเทคโนโลยีสารสนเทศ (IT Project management risks) ที่อาจล่าช้า หรือไม่ สำาเร็จจากสาเหตุตา่ งๆ เช่น การวางแผนทีไ่ ม่รดั กุม และการจัดสรรทรัพยากรทีไ่ ม่เพียงพอ ด้านบุคคลากร (Personnel risks) ที่อาจขาดความ รูแ้ ละทักษะ การจัดคนทีไ่ ม่เหมาะสมกับงานรวมไป ถึงการทุจริตต่างๆ ด้ า นการกู้ ร ะบบจากเหตุ ก ารณ์ ฉุ ก เฉิ น และการ บริ ห ารความต่ อ เนื่ อ งของการให้ บ ริ ก ารงาน เทคโนโลยีสารสนเทศ (Disaster Recovery and IT Continuity risks) ด้านการปฏิบัติตามกฎ ระเบียบ ข้อบังคับ และ กฎหมาย (Compliance risk) คุ ณ ธี ร นั น ท์ เสริ ม เพิ่ ม เติ ม ว่ า การจั ด การ ความเสี่ยงด้านเทคโนโลยีสารสนเทศต้องเริ่มจาก นโยบายขององค์กรที่ชัดเจนจากคณะกรรมการและ ผูบ้ ริหารว่าจะให้ความสำาคัญเกีย่ วกับเรือ่ งนี ้ และมีการ กำาหนดผู้รับผิดชอบที่ชัดเจนที่จะมองภาพรวมและ ติ ด ตามให้ เ ป็ น ไปตามแผน แต่ ใ นรายละเอี ย ด ความเสี่ยงแต่ละตัวหน่วยงานที่เกี่ยวข้องต้องเข้า มามี ส่ ว นร่ ว ม และการป้ อ งกั น ความเสี่ ย งต้ อ ง เข้าใจว่าเทคโนโลยีเป็นเรื่องที่เปลี่ยนแปลงเป็นราย วัน หน่วยงานทุกหน่วยงานต้องมีวนิ ยั ในการบริหาร ประจำาวัน ติดตามผลและทบทวนแผนงานเป็นประจำา เพราะเห็นว่ากรณีท่ีเกิดขึ้นส่วนมากมาจากภายใน องค์กรทั้งความสามารถที่ไม่เพียงพอของบุคคลา กรและการทุจริตของบุคคลากรมากกว่าจะเป็นคน ภายนอกที่เข้ามาจารกรรมข้อมูล จึงต้องมีระบบใน การติดตามการปฏิบตั งิ านด้านต่างๆ อย่างสมาำ่ เสมอ ความเสีย่ งต้องได้รบั การประเมินได้วา่ เป็น incident คือ เกิดขึ้นครั้งเดียวหรือเป็น problem คือ ปัญหา ระยะยาวขององค์กร ความร่วมมือเพื่อพัฒนา คุณธีรนันท์ ให้ความคิดเห็นว่าการพัฒนาการ ดำาเนินงานด้านเทคโนโลยีสารสนเทศในประเทศไทย ในส่วนของภาครัฐควรจะมีนโยบายและวิธีการที่ ทำาให้บริษทั ต่างๆ ลดต้นทุนในการบริหารความเสีย่ ง เรือ่ งนีไ้ ด้ เช่น การให้ขอ้ มูลกับประชาชน เพราะ หลายครั้งอาชญากรรมทางไซเบอร์เกิดจากความ ไม่รขู้ องผูใ้ ช้งาน อีกด้านหนึง่ คือ การออกกฏหมายที่ มีบทลงโทษที่เหมาะสมสำาหรับผูท้ ท่ี าำ ผิดและลงโทษ
อย่างรวดเร็ว หน่วยงานต่างๆ ของรัฐควรทีจ่ ะร่วมมือ กั น ในการวางแผนป้ อ งกั น อาชญากรรมไซเบอร์ อย่างบูรณาการ และมีช่องทางให้ร้องเรียนได้หาก เกิดกรณีที่ผิดปกติ ภาคธนาคารมี ธ นาคารแห่ ง ประเทศไทยที่ ทำางานอย่างเข้มแข็งในการวางแนวนโยบายเกี่ยว กับเรื่องการใช้เทคโนโลยีสารสนเทศ มีการแนะนำา เพื่อให้ธนาคารปรับปรุงอย่างต่อเนื่อง และมีการทำา ทดสอบเช่นการเจาะข้อมูลอย่างต่อเนื่องในระหว่าง ธนาคารเองมีการวางมาตรฐานกลางร่วมกันเมือ่ ต้องมี การเชื่อมระบบระหว่างกัน ในบริษัทจดทะเบียน ในธุรกิจอื่นๆ อาจจะยังให้ความใส่ใจในเรื่องนี้น้อย เพราะยังเน้นเรือ่ งการสร้างผลประกอบการมากกว่า คุณธีรนันท์ จึงแนะนำาว่าคณะกรรมการและ ผูบ้ ริหารจะต้องให้ความสำาคัญกับเรือ่ งนีก้ อ่ น เชือ่ ว่า ความเสี่ยงเรื่องนี้มีอยู่จริง ถ้าบริษัทใดไม่มีการพูด คุยเรื่องนี้ในที่ประชุมคณะกรรมการเลยอาจเป็น เรื่องที่ผิดปกติ เมื่อผู้นำาองค์กรให้ความสำาคัญและ เริ่มดำาเนินการเรื่องนี้ก็น่าจะร่วมกับบริษทั อืน่ ๆ ใน การให้ความรู้กับลูกค้าเกี่ยวกับเรื่องนี้เพื่อขยายวง ความเข้าใจให้กว้างขวางมากยิ่งขึ้น
The Risk from Information Technology The banking industry in Thailand is increasing its use of advancing information technology (IT) and along with this is the need for risk management associated with using that technology. For this issue of Boardroom, we have interviewed Mr. Teeranun Srihong, Managing Director of Kasikornbank Plc. about his bank’s approach for adopting information technology and managing the potential risk from it for the benefit of other businesses that would like to use IT in their business and set a proper risk management plan. Information technology and banking Mr. Teeranun told us that the bank began adopting IT for its operations more than 30 years. It fifirst used IT to enhance the effectiveness of the working process in the organization. Then, it was used for more functions, especially as a tool to build customer loyalty. He explained that the bank integrated the system of customers and the
Hardware risks, hardware that may malfunctioned or out of order; Software risks, software that may be malfunctioned or unavailable; IT project management risks, projects what miss their deadline or be unsuccessful because of various causes, such as weak planning and insuffificient resource allocation; Personnel risks that employees may lack knowledge or skil s, bad personnel management and corruption; Disaster recovery and IT continuity risks; Compliance risks. Mr. Teeranun added that technological risk management had to begin with a clear policy of the organization that the Board of Directors and management would focus on this issue and assign a capable person to review the plan and take charge of implementing it. Then, the relevant department was responsible for each risk. Risk management relied on the understanding that technology changed daily. Every department had to be responsible for daily administration and monitoring and reviewing the implementation plan on a regular basis because most problems were caused by internal factors, such as insufficient expertise and corruption of personnel rather than by hacking from outsiders. Therefore, the company needed a system to monitor the operations regularly. Each risk had to be evaluated as an incident, or a long-term problem of the organization. Cooperation for development Mr. Teeranun noted that regarding to IT development in Thailand, the public sector should have a policy and approach that enabled companies to reduce cost in technological risk management, such as providing information to the public because cybercrimes could sometimes be the result of ignorance by the users. He explained that legislation with appropriate penalties for those who committed cyber-crimes should be in place. Public agencies should cooperate with each other to build a defense against cyber-crime and provide a complaint channel when there is an unusual case. In the banking sector, the Bank of Thailand had worked hard in the area of policy orientation on the use of information technology. Staff members were constantly recommended to enhance their knowledge and expertise in that area. In addition, there was a penetration test on the banking system and a central standard was imposed for connections among banks. Other listed companies might have less interest in technological risk management because they were more interested in the company performance. But, he stated that this should not be the case. All Boards of Director must realize the existence of technological risk. It was unusual if the company did not discuss this issue in the Board meeting. When the organization leaders started to take a serious interest in this issue,
bank together to attain the highest satisfaction of the customers. Technology became a strategic tool in administrating customer affairs and enhancing effectiveness of the organization. Currently, the bank is expanding its scope to social media and mobile phone technology, which has become an important business tool of the organization The use of more technology has resulted in more risks, said Mr. Teeranun. The bank had to be sure that the technology was using which could be used constantly and the he data in the system were not abused. Customer data had to be well protected from electronic crimes and frauds. Mr. Teeranun said that when the banks adapts new technology, it must be able to control the technology to prevent it from becoming counterproductive to the operations. In line with becoming more dependent on the technology, the bank must ensure that it functions consistently and is secure. Technological risk management Mr. Teeranun shared the experience Kasikorn Bank had with a particular structure for technological risk management. An operational risk management subcommittee was set up with the Managing Director assuming the role as its chairman. IT was the new big issue for the subcommittee, which reported directly to the Risk Committee. The Risk Committee consisted of some member of the Board of Directors and the Managing Director and had several experts in technology at its disposal, particular those who could provide a general overview and useful recommendations. Sometimes, the committee also had a meeting with Chief Information offificer (CIO) directly. The Risk Committee would review the key issues to report to the Board of Directors again. Risk management must begin with understanding the existing risks. The bank had categorized technological risks into 10 categories and assessed the risk in each category. It also cooperated with relevant organizations to make IT key risk indicators in order to rank the impact from the risks. Then, it developed a risk treatment plan and an implementation and monitoring plan, which entailed the company should cooperate submitting risk reports on a regular basis. The with other companies to bank had categorized risks into 10 categories, the as follows, IT security risks, including data and security with the objective to widen system, accuracy and readiness of operation; Data risks, such as data loss, data leakage and the scope of understanding data that was forged or destructed; on this important issue. IT vendor/supplier risks to ensure that the supplier could work effectively and constantly; IT operational risks, such as development plan, system design and structure; Boardroom | 27
educate customers
Board Briefing
การประชุมใหญ่สามัญประจำาปี
2558
สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย (IOD) จัดการประชุมใหญ่สามัญประจำาปีขน้ึ ณ ห้อง บอลรูม โรงแรมเรอเนสซองส์ ในวันที ่ 26 พฤษภาคม ทีผ่ า่ นมา การประชุมในครัง้ นีม้ ี คุณเกริกไกร จีระแพทย์ ประธานกรรมการ IOD เป็นประธานในทีป่ ระชุม ร่วม ด้วยคณะกรรมการสมาคมฯ อีก 8 ท่าน ขึ้นกล่าว รายงานผลการดำาเนินงานของสมาคมฯ ในปีทผ่ี า่ นมา พร้อมตอบข้อซักถามแก่สมาชิกที่เข้าร่วมประชุม การประชุมใหญ่ฯ ครั้งนี้ มีสมาชิกเข้าร่วม ลงคะแนนเสียงในการพิจารณาระเบียบวาระการ ประชุ ม ครบองค์ ป ระชุ ม ตามข้ อ บั ง คั บ สมาคม จำานวน 84 คน และมีสมาชิกทีล่ งคะแนนเสียงล่วงหน้า จำานวน 31 คน รวมมีสมาชิกลงคะแนนเสียงทั้งหมด 115 เสียง โดยได้พิจารณาวาระต่างๆ ได้แก่ การอนุมัติรายงานการประชุมสามัญประจำาปี 2557 การแถลงกิจกรรมที่ผ่านมาในปี 2557 การพิจารณา และอนุมัติงบการเงินปี 2557 การพิจารณาเลือก ตั้งผู้สอบบัญชีของสมาคมฯ ประจำาปี 2557 และ กำาหนดค่าตอบแทนของผู้สอบบัญชี และการแต่ง ตั้งคณะกรรมการของสมาคมฯ สำาหรับการแถลงกิจกรรมของปี 2557 ดร. บัณฑิต นิจถาวร กรรมการผู้อำานวยการ กล่าวรายงานว่า ในปีที่ผ่านมา ทาง IOD ได้จัดกิจกรรมเป็นประจำา ทุกเดือน มีผู้ทรงคุณวุฒิจากหลายสาขาให้เกียรติ เป็นวิทยากร และมีความหลากหลายของกิจกรรม ทำาให้มสี มาชิกสนใจเข้าร่วมงานมากขึน้ และกิจกรรม
ที่ได้รับความสนใจมาก คือการประชุม ประจำาปี National Director Conference ซึง่ เป็นงานประชุม แลกเปลีย่ นความคิดเห็นในประเด็นด้านการกำากับดูแล กิจการที่ดีของกรรมการบริษัททั้งไทยและต่างชาติ อีกหนึง่ ความสำาเร็จของ IOD คือการจัดรวมรุน่ ผู้ผ่านการอรมหลักสูตร DCP ภายใต้ชื่องาน DCP Alumni Party สานสัมพันธ์น้องพี่ ซึ่งได้รับการ สนับสนุนจากบริษัท เมืองไทยประกันภัย จำากัด (มหาชน) ในการจัดงาน มีสมาชิกจาก 112 รุ่นมา ร่วมงานอย่างคับคั่ง นอกจากนี ้ IOD ได้ปรับปรุงช่องทางการสือ่ สาร เพือ่ ประชาสัมพันธ์ขา่ วสารต่างๆ ไปยังสมาชิก ทั้งการ พัฒนานิตยสาร Boardroom ให้มเี นือ้ หาทีเ่ ข้มข้นขึน้ รวมไปถึงการพัฒนาระบบฐานข้อมูลสมาชิกให้ทนั สมัย มากขึ้น สะดวกต่อการใช้งานผ่านอินเตอร์เน็ทของ สมาชิก งานด้านการจัดอบรมของ IOD เป็นไปตาม เป้าหมายทีว่ างไว้โดยมีหลักสูตรใหม่ๆ ได้แก่ Family Business Governance for Sustainability (FBS) และ Corporate Governance for Capital Market Intermediaries (CGI) ในด้านงานวิจัย IOD มีสว่ น ร่วมสำาคัญในการยกระดับมาตรฐานการกำากับดูแล กิจการของบริษัทจดทะเบียนไทยสู่สากล โดยปรับ หลักเกณฑ์การประเมินของโครงการ CGR ให้ สอดคล้องกับมาตรฐานของ ASEAN CG Scorecard และ IOD ยังขยายการกำากับดูแลกิจการไปยังภาค Boardroom | 29
การศึกษา โดยร่วมกับมหาวิยาลัยชั้นนำาจัดงานเพื่อ ถ่ายทอดผลงานวิจยั ด้าน CG ผ่านกิจกรรมทีเ่ รียกว่า Research Alliance on CG Dialogue นอกจากนี้ ยังสนับสนุนข้อมูลในเชิงนโยบายแก่สมาชิกผ่านการ จัดทำา Policy Brief และเป็นผูแ้ ทนของสมาชิกในการ แสดงความคิดเห็นทีม่ ตี อ่ ประเด็นการเปลีย่ นแปลงต่างๆ ทีเ่ กีย่ วข้องกับการกำากับดูแลกิจการ (Policy Advocacy) เพือ่ ส่งเสริมการปฏิบัติงานของกรรมการ ภายหลังการรายงานเรื่องผลการดำาเนินงาน และวาระต่างๆ เกี่ยวกับการเงินแล้ว วาระหนึ่งที ่ สำาคัญคือ การแต่งตั้งคณะกรรมการของสมาคมฯ แทนคณะกรรมการเดิมทีค่ รบวาระการดำารงตำาแหน่ง ในการประชุมครั้งนี้ ได้แก่ คุณปลิว มังกรกนก คุณสิงห์ ตังทัตสวัสดิ์ คุณประพัฒน์ โพธิวรคุณ และคุณชูศักดิ์ ดิเรกวัฒนชัย ทัง้ นี ้ คณะอนุกรรมการสรรหาและกำากับดูแล กิจการ ได้พิจารณาคัดเลือกบุคคลที่เหมาะสมเป็น กรรมการสมาคมฯ โดยคำานึงถึงองค์ประกอบและ โครงสร้างของสมาคมฯ ได้แก่ เพศ วัย มีความ เชี่ยวชาญในธุรกิจที่หลากหลาย มีความเชี่ยวชาญ ด้านกฏหมาย มีประสบการณ์ดา้ นการต่างประเทศ การเป็นแบบอย่างทีด่ ใี นด้านความสำาเร็จ และการ ได้รับการยอมรับ โดยในที่ประชุมได้มีมติแต่งตั้ง กรรมการใหม่ 4 ท่าน คือ คุณไพรินทร์ ชูโชติถาวร คุณบรรจง จิตต์แจ้ง คุณประสัณห์ เชื้อพานิช และ คุณปรีดี ดาวฉาย รวมมีคณะกรรมการทัง้ หมด 15 ท่าน สำาหรับการดำาเนินงานของสมาคมฯ ในปี 2557 ดร. บัณฑิต นิจถาวร กรรมการผูอ้ าำ นวยการสมาคมฯ รับหน้าที่เป็นผู้ชี้แจงผลการดำาเนินงานปีทผ่ี า่ นมา ซึง่ ผลคะแนนเสียงในทีป่ ระชุมฯ ท่านสมาชิกสามารถอ่าน รายละเอียดรายงานการประชุมได้ที่เว็บไซต์ของ IOD (www.thai-iod.com) ภายหลังการประชุมใหญ่สามัญประจำาปี 2558 IOD ได้รับเกียรติจาก ดร.สุรินทร์ พิศสุวรรณ ประธานสถาบันออกแบบอนาคตประเทศไทย และ อดีตเลขาธิการอาเซียน ในการแสดงปาฐกถาพิเศษ ในงาน IOD Dinner Talk หัวข้อ “ทิศทางเศรษฐกิจ อาเซียน” เพือ่ แบ่งปันความรูแ้ ละแนวทางการเติบโต ทางเศรษฐกิจของอาเซียน ผู้อ่านสามารถติดตาม ได้ในคอลัมน์ถัดไป สำาหรับการจัดงานในครั้งนี้ IOD ขอขอบคุณ บริษทั นิวแฮมพ์เชอร์ อินชัวร์รนั ส์ บริษทั ช. การช่าง จำากัด (มหาชน) ธนาคารกสิกรไทยจำากัด (มหาชน) บริษัท ปตท. จำากัด (มหาชน) บริษทั ปตท. ผลิตและสำารวจปิโตรเลียม จำากัด (มหาชน) บริษทั ไพร้ซวอเตอร์เฮาส์คเู ปอร์ส เอบีเอเอส จำากัด บริษทั ปูนซิเมนต์ไทย จำากัด (มหาชน) และ บริษทั ไทยออยล์ จำากัด (มหาชน) ทีใ่ ห้การสนับสนุนเป็นอย่างดี และ IOD จะจัดกิจกรรมดีๆ ให้ กับสมาชิกอย่างต่อเนือ่ งต่อไป
Boardroom | 30
Annual General Meeting 2015 The Thai Institute of Directors Association (IOD) held its Annual General Meeting (AGM) for 2015 at the Ballroom, Renaissance Bangkok Hotel on May 26th, 2015. The AGM was chaired by Mr. Krirk-Krai Jirapaet, Chairman of the IOD, and was attended by other IOD Board Directors fo 8 persons. A report on the IOD activities and operating results for 2014 was presented, and questions from various attending IOD Members were answered. There was the required quorum of IOD Members to vote on the proposed Agenda Items in accordance with the Articles of Association of the IOD; whereby there was a total of 84 persons of IOD Members present together with another 31 presons of IOD Members registering their intended votes in advance of the AGM resulting in a combined total of 115 votes at this AGM 2015 which considered various Agenda Items - such as: acceptance of the Minutes of the AGM 2014, report of the IOD’s activities during 2014, consideration and approval of the IOD’s Financial Statements for full year 2014; consideration and appointment of the external Auditor and associated audit fee for 2015 and election of new IOD Board Directors.
In the report on the activities of the IOD during 2014, Dr. Bandid Nijathaworn, President & CEO of the IOD, stated that during the past year the IOD undertook a various different activities regularly every month, and was honored to have many well-qualified guest speakers participating in these differing events that resulted in an increasing number of IOD Members being very keen to attend. The event that attracted a high degree of interest from IOD Members included the annual National Director Conference, which is a forum for exchanging viewpoints and opinions on good corporate governance practices of Board Directors of Thai as well as international companies. Another very successful event was the DCP Alumni Party that brought together past and present attendees of the IOD’s DCP classes, so that alumni of earlier and more recent DCP courses could renew their acquaintances in a fun-filled atmosphere. The DCP Alumni Party was kindly sponsored by the Muang Thai Insurance Public Company Limited and attracted many, many attendees from more than 112 different DCP classes. Additionally, the IOD has made improvements to the various ‘channels of communications’ made available for IOD Members, which included the ongoing development of the IOD’s Boardroom bimonthly magazine to have more relevant and focused contents. Further enhancements were made to the IOD’s Membership database to make it more timely and modern so that it can be more easily accessed and used by IOD Members via the internet. The various IOD training programs and associated activities proceeded according to established plans and goals; whereby some new training programs were added – such as: the Family Business Governance for Sustainability (FBS) Course and the Corporate Governance for Capital Market Intermediaries (CGI) Course. With regard to the IOD’s Research activities, this IOD unit played a key role in raising the overall quality of corporate governance (CG) practices within listed companies in Thailand to be on par with international corporate governance standards, through incorporating and using the CG practices assessment criteria used for the CGR Program that corresponded to the ASEAN CG Scorecard
criteria. The IOD also expanded good governance practices into the education sector, through collaborating with leading universities and educational institutions in sharing the research fifindings on CG practices and issues via the ‘Research Alliance on CG Dialogue’ activity. Additionally, the IOD also acted as a promoter and supporter of various policy issues amongst IOD Members through the publication of various ‘Policy Briefs’, as well as the representative of IOD Members in being the intermediary in the exchange of viewpoints on various proposed changes relating to corporate governance issues (ie: Policy Advocacy) between IOD Members and involved external parties. This is in order to support and promote the activities of Corporate Directors. After the report on the annual activities of the IOD during 2014 and the consideration of the Agenda Items relating to the financial matters, another important Agenda Item was the election of new IOD’s Board Directors to replace those completing their term of office and retiring that included: Mr. Pliu Mangkornkanok, Mr. Singh Tangtatswas, Mr. Praphad Phodhivorakhun and Mr. Chusak Direkwattanachai. In this regard, the Nomination and Corporate Governance Committee has selected and nominated those persons deemed appropriately qualified to be nominated as IOD Board Directors, through taking into consideration the required composition and structure of the IOD’s Board of Directors with regard to age, gender, broad and varied business experiences, legal expertise, international business expertise, positive role model for successful achievements, and being well-accepted. As such, the AGM 2015 approved the election of 4 new IOD Board Directors: Mr. Pailin Chuchottaworn, Mr. Banchong Chittchang, Mr. Prasan Chuaphanich, and Mr. Pridee Daochai, resulting in a total of IOD Board Directors for 15 persons. Dr. Bandid Nijathaworn, President&CEO of the IOD, also agreed to present the detailed activities and operating results of the IOD for the full year 2014 period. Details of the votes received for each Agenda Item considered can be seen by interested IOD Members by accessing the IOD website (www.thai-iod.com) to read the Minutes of the AGM 2015.
After the formal AGM 2015 session, the IOD was honored to welcome Dr. Surin Pitsuwan, Chairman Future Innovative Thailand Institute and former ASEAN Secretary General, as the keynote speaker for the special dinner talk on” Directions for ASEAN’s Economy, in order to his extensive knowledge and views on the future direction of the ASEAN economy - details of which can be read in the next article here in this issue of the BOARDROOM. We wish to thank the following kind and generous sponsors for the AGM 2015 event: New Hampshire Insurance Company CH.Karnchang Public Company Limited Kasikornbank Public Company PTT Public Company Limited PTTEP Public Company Limited PricewaterhouseCoopers ABASCompany Limited Siam Cement Public Company Limited and Thai Oil Public Company Limited The IOD will continue to hold various events of interest for its Members in the future. 789
Boardroom | 31
ทิศทาง เศรษฐกิจ
อาเซียน
ดร.สุรินทร์ พิศสุวรรณ | ประธานสถาบันออกแบบอนาคตประเทศไทย และอดีตเลขาธิการอาเซียน
หลังการประชุมสามัญประจำาปี 2558 ทีผ่ า่ นมา IOD ได้จดั Dinner Talk ในหัวข้อ “ทิศทางเศรษฐกิจ อาเซียน” โดยได้รบั เกียรติจาก ดร.สุรนิ ทร์ พิศสุวรรณ ประธานสถาบันออกแบบอนาคตประเทศไทย และ อดีตเลขาธิการอาเซียน ผู้ที่มีความรู้และความ เชีย่ วชาญในเรือ่ งของอาเซียน เป็นองค์ปาฐกในงาน ดร.สุรินทร์ ให้ความเห็นว่าประเทศไทยเป็น เจ้าของความคิดในเรื่องของอาเซียนตั้งแต่เริ่มต้น แต่เรายังใช้ประโยชน์และเตรียมตัวในการเข้าร่วม น้อยมาก บริษัทใหญ่ๆ ในประเทศไทยค่อนข้างมี ความพร้อมและได้เริ่มออกไปทำาธุรกิจในประเทศ กลุ่มอาเซียน เช่น บริษัท ปูนซิเมนต์ไทย จำากัด (มหาชน) และธนาคารต่างๆ แต่ในระดับผูป้ ระกอบการ วิสาหกิจขนาดกลางและขนาดย่อม (SMEs) ยังไม่มี ข้อมูลและเครือข่ายมากเพียงพอที่จะออกไป ซึ่ง รัฐบาลควรจะมีส่วนช่วยในเรื่องนี้ Asean Economic Community (AEC) มีมลู ค่า ตลาดโดยรวมกว่า 2.55 ล้านล้านดอลล่าห์ มากกว่า ประเทศอินเดีย ใหญ่นับเป็นอันดับที่ 7 ของโลก และคาดว่าจะใหญ่กว่าญีป่ นุ่ ในปี 2035 และมากกว่า อังกฤษในปี 2038 ปัจจุบันมูลค่าการค้าขายของ 10 ประเทศในอาเซียนอยูท่ ป่ี ระมาณ 2.77 ล้านล้านบาท ซึง่ เป็นการค้าขายระหว่างกันเองประมาณ 25% ในขณะ ที่ NAFTA ค้าขายกันเองประมาณ 60% และ EU ค้าขายกันเองประมาณ 80% ประเทศไทยมีเศรษฐกิจ ใหญ่เป็นอันดับที ่ 2 ของ อาเซียนรองจากอินโดนีเซีย ที่มีประชากรประมาณ 250 ล้านคน เงินลงทุนจาก ต่างประเทศ (FDI) ทีม่ าในอาเซียนประมาณ 1.4 หมืน่ ล้านเหรียญเข้ามาประเทศไทยน้อยมาก จากตัวเลข เหล่านีเ้ ห็นว่าประเทศไทยยังมีโอกาสอย่างมหาศาล รากฐานของ AEC การสร้างให้เกิดการแข่งขัน (competitiveness) ความเท่าเทียมกัน (equitable) ตลาดที่รวมเป็นหนึ่ง (integrated market) และ Boardroom | 32
การเชื่ อ มโยงกั บ ตลาดโลกแบบไม่ มี ร อยตะเข็ บ (seamlessly) ซึ่งประเทศไทยน่าจะใช้ประโยชน์ได้ มากกว่านี้ เนื่องจากประเทศไทยมีจุดแข็ง คือ มีความหลากหลาย (diversify) ของธุรกิจ ประเทศไทย มีทง้ั ยานยนต์ อาหาร การผลิต การบริการ การรักษา พยาบาล การท่องเที่ยว การขนส่ง คนไทยเป็นคน ที่มีคุณภาพ อีกทัง้ วัฒนธรรมไทยที่ยิ้มแย้มแจ่มใส น่าจะเป็นผู้นำาได้ ในอาเซียน จากการจัดลำาดับ ของดัชนีชี้วัดต่างๆ พบว่าเงินลงทุนจากต่างชาติ ไม่ได้เข้าสู่ประเทศไทยมากนัก แต่เข้าไปที่ประเทศ สิงคโปร์ทม่ี คี วามชัดเจนเรื่องประสิทธิภาพ ความ โปร่งใสปราศจากคอร์รปั ชัน และความสะดวก ในการ ดำาเนินธุรกิจเนือ่ งจากประเทศไทยขาดความ ต่อเนือ่ ง ในการบริหารงานของภาครัฐ รัฐบาลและผู้ที่ดูแล นโยบายต่างๆ เปลี่ยนแปลงบ่อยทำาให้ขาดความ ต่อเนื่องและหลายครั้งคนที่ดำารงตำาแหน่งสำาคัญๆ มาจากระบบอุ ป ถั ม ภ์ ทำ า ให้ ไ ม่ มี ค นที่ มี ค วาม สามารถอย่างแท้จริงหรือไม่เหมาะสม และยังมี ปัญหาเรือ่ งการทุจริตคอร์รปั ชัน่ ประเทศไทยสามารถ ทีจ่ ะก้าวหน้ามากกว่านีห้ ากได้รบั การปฏิรปู อย่างจริงจัง เช่น เรือ่ งของการศึกษา ประเทศไทยได้รบั การจัด อันดับภาษาอังกฤษเป็นลำาดับ 8 ใน 10 ของประเทศ ในกลุ่ม และการลงทุนเรื่องการวิจัยและพัฒนา ดร.สุ ริ น ทร์ ยกตั ว อย่ า งประเทศญี่ ปุ่ น ที่ ไ ม่ พัฒนาเทคโนโลยีเพราะคิดว่าตนเองดีอยู่แล้ว ซึ่ง ทำาให้แพ้ประเทศเกาหลี กรอบความคิดเหล่านี้ ทำาให้จาำ กัดการพัฒนา ประเทศไทยจึงต้องออกจาก กรอบความคิดว่าเราทำาได้ดีแล้ว เพื่อจะพัฒนา ตนเองไปข้างหน้าได้ ดร.สุรินทร์ ตอบคำาถามว่า ไทยเป็นผู้นำาหรือผู้ตามในอาเซียนไว้อย่างน่าคิดว่า ไทยปัจจุบันไม่ได้เป็นผู้นำา และไม่ได้เป็นผู้ตามที่ดี เพียงพอ (We are not leader and not good enough follower)
อย่างไรก็ตาม ดร.สุรินทร์ ให้ความหวังว่า ประเทศไทยยังมีเวลาปรับตัวเพราะ AEC ยังไม่เสร็จ ภายในปีนี้ แต่ทุกภาคส่วนทั้งภาครัฐ ภาคเอกชน และประชาชนจะต้องเร่งมือในการเตรียมพร้อมเข้าสู่ โลกโลกาภิวัฒน์ในศตวรรษที่ 21 นี้ โดยเฉพาะ ภาครั ฐ จะต้ อ งหยุ ด การทะเลาะเบาะแว้ ง ด้ า น การเมื อ งและหาทิ ศ ทางร่ ว มกั น สำ า หรั บ อนาคต ผู้นำาประเทศจะต้องเชื่อในเรื่องของ AEC ว่าเป็น สิ่งที่ดี และผลักดันการดำาเนินงานของภาคส่วน ต่างๆ ประเทศไทยจะต้องคิดใหญ่กว่าเดิมเพราะ ตลาดของเราคือคน 600 ล้านคนไม่ใช่ 67 ล้านคน อีกต่อไป และหากทุกภาคส่วนร่วมมือกัน ประเทศไทย น่าจะเป็นผู้นำาในอาเซียนได้ไม่ยากจนเกินไป
AEC
Dr. Surin Pitsuwan | Chairman- Future Innovative Thailand Institute and former ASEAN Secretary General.
EconomicTrends
After the recent Annual General Meeting (AGM)/2015 of the Thai Institute of Directors Association (IOD), the event was honored to have Dr. Surin Pitsuwan, Chairman - Future Innovative Thailand Institute and former ASEAN Secretary General as well as a leading expert on ASEAN affairs, as the special keynote speaker presenting a dinner talk on “AEC Economic Trends”. Dr. Surin Pitsuwan stated that while Thailand was the originator of the concept of ASEAN from the beginning; but Thailand has made little use of the associated benefits as well as is not well-prepared as yet in fully joining this institution. Many large Thai corporations, however, are well-prepared as well as have started establishing and expanding their businesses in key ASEAN markets – such as, the Siam Cement Pcl. Group together with various Thai banks. Although many Thai Small and Medium Businesses (or SMEs) do not yet have the necessary information or sufficient business network to do so, whereby the Government needs to provide assistance in this regard. The estimated combined total value of the Asean Economic Community (AEC) market is more than US$ 2.55 trillion, which is larger than that of India. It ranks as the 7th largest market globally, as well as is expected to be larger than that of Japan by 2035 and larger than that of the UK by 2038. The current combined trading value of the 10 ASEAN countries totals approximately US$ 2.77 trillion, of which only 25% is accounted for by the vale of trade among the ASEAN member countries themselves. This is compared the total value of trade among the NAFTA member countries that equals to approximately 60% of the total trading value of NAFTA members; while the total value of trade among the EU countries is equal to approximately 80% of the total trading value of the EU member countries. Thailand is the second largest ASEAN economy after Indonesia where there is a total population of 250 million. Further, Thailand receives only a very small portion of the total annual direct foreign investments (FDI) of approximately US$ 14 billion coming into the ASEAN countries. From such statistics, it is clear that Thailand still has enormous opportunities and potential.
As such, Thailand should be in a position to make more effective use of the foundations of the AEC, together with the creation of its competitiveness, the equitable nature of such an integrated market, and its ability to seamlessly connect with the global markets – given that Thailand’s key strength is the diversity of its various industry and business sectors. Thailand has an automotive industry and a food production industry, together with various manufacturing and services industry sectors - such as medical services/hospitals, tourism and hotels, and logistics and transportation. Thai people possess quality as well as the Thai culture of always smiling and welcoming, which should enable the country to be a leader within ASEAN. From the various rankings and economic indicators, it appears that not much foreign direct investments come into Thailand, while a significant amount goes into countries like Singapore, where, it is clearly seen, that there is a lot of business effectiveness and transparency, as well as a lack of corruption. Operating a business there is also seen to be very convenient and easy. This is because, in Thailand there has been a lack of continuity in the governing of the country as well as the administration of the Public Sector, due to too many changes of key leaders responsible for determining various policies. This has resulted in an administrative discontinuity, with many leading persons often appointed through the inherent ‘patronage system’ as well as in many leaders who genuinely lack in the required capabilities or who are inappropriate to their roles. Furthermore, there is the major issue of corruption. Therefore, Thailand would be able to develop and progress much more than at the present, if real and basic reforms are implemented - such as, in regards to the educationalth system (in which Thailand has been ranked 8 out of the 10 ASEAN countries relating to the country’s overall English language competency), and in regards to overall investment for Research & Development (R&D) programs. Dr. Surin cited the example of Japan, which has not undertaken further R&D of technology in the belief that the country already excelled in that field; and, thus, Japan is now losing out to South
Korea in this regard. As such, this sort of mentality restricts the country’s full potential development. Thailand, therefore, must step out of such a frame of mind in thinking that the country is already doing well, in order to drive its ongoing self-development and progress. Dr. Surin also gave a interesting response to the question of ‘whether Thailand was a leader or a follower in ASEAN’ by saying: “We are not leader and not good enough follower”. Nevertheless, Dr. Surin expressed the hope that Thailand still has time to make the required changes, since the AEC will not be fully completed or established by the end of this year. However, all sectors of the country – both the Public and Private Sectors as well as its people – must speed up its activities in being well-prepared to enter into world of globalization in the 21st century. This especially so of the Public Sector, in which its constituents need to stop its political quarreling as well as fully focus on achieving a unified and collaborative direction for the future of the country. Its leaders must genuinely believe that the AEC is a good thing, as well as push and promote all sectors in Thailand to think in bigger terms than previously. This is because our target market is now made up of 600 million people – and no longer merely 67 million Thai; and if all sectors of the country fully cooperate, then it will should not be too difficult for Thailand to become a genuine leader in ASEAN. 789
Boardroom | 33
Board Development
The Beginning of
IT Governance Era
inThailand
and the Role of Directors กระแสความแรงเกีย่ วกับการกำากับดูแลกิจการ ในขณะนี้ คงหนีไม่พ้นกระแสความแรงในเรือ่ งของ “การกำากับดูแลด้านเทคโนโลยีสารสนเทศ” หรือทีเ่ รียก กันสัน้ ๆ ว่า “IT Governance” เนือ่ งจากเราอยู่ใน โลกยุคดิจิตอลที่บริษัทต่างๆ กำาลังพึ่งพาเทคโนโลยี สารสนเทศในการดำาเนินธุรกิจกันมากขึน้ เรือ่ ยๆ ทัง้ ใน การช่วยเพิม่ ประสิทธิภาพการทำางาน การเพิม่ ผลผลิต การสร้างสินค้าหรือนวัตกรรมใหม่ การเพิ่มคุณภาพ การบริการ การสร้างทางเลือกเพือ่ การแข่งขัน การ สร้างโอกาสทางธุรกิจ รวมไปถึงการดึงดูดลูกค้าและ การป้องกันคู่แข่ง ยิ่งเมื่อเกิดวิกฤตเศรษฐกิจและการ ถดถอยทางเศรษฐกิจมากขึน้ ก็ยง่ิ เป็นการกระตุน้ ให้ เกิ ด แนวโน้ ม ความต้ อ งการในการลดค่ า ใช้ จ่ า ย และการเพิ่ ม มู ล ค่ า ทางธุ ร กิ จ โดยใช้ เ ทคโนโลยี สารสนเทศมากขึ้นไปอีก อย่างไรก็ตาม หากบริษัทนำาเทคโนโลยีสารสนเทศมาประยุกต์ใช้ภายในองค์กรโดยปราศจาก ความพร้อม ความเหมาะสม และการกำากับดูแลที่ ดีแล้ว อาจก่อให้เกิดปัญหาและผลกระทบทางลบ ต่อการดำาเนินธุรกิจตามมาได้ ดังเช่นทีบ่ ริษทั หลายๆ แห่งกำาลังเผชิญอยู่ในปัจจุบัน ไม่ว่าจะเป็นปัญหา “การแฮ็คข้อมูล” “การโดนโจมตีระบบ” “ระบบ ปฏิบัติการขัดข้อง” “ระบบไม่รองรับการทำางาน” “ระบบไม่สอดคล้องกันในองค์กร” “ข้อมูลรั่วไหล” หรือ “การใช้เงินลงทุนสูงแต่เสียเปล่า” เป็นต้น Sony Pictures ค่ายหนังชั้นนำาระดับโลกของ ฮอลลีวูด ก็เป็นหนึ่งในบริษัทที่ประสบปัญหาครัง้ ใหญ่เกีย่ วกับเทคโนโลยีสารสนเทศ โดยในช่วงเดือน พฤศจิกายน 2014 ทีผ่ า่ นมา ได้เกิดเหตุการณ์จารกรรม ข้อมูล โดยแฮกเกอร์ทใ่ี ช้ชอ่ื ว่า Guardians of Peace ซึง่ ทำาให้ภาพยนตร์ของบริษทั มากถึง 5 เรือ่ งได้ถกู นำา ไปเผยแพร่ทางโลกออนไลน์แบบละเมิดลิขสิทธิ ์ อีกทัง้ บริษทั ยังได้รบั การส่งข้อความข่มขูว่ า่ จะนำาข้อมูลทีเ่ ป็น ความลั บ ทั้ ง หมดของบริ ษั ท ออกมาเปิ ด เผยต่ อ สาธารณชน ถ้าหากบริษทั ไม่ทำาตามข้อเรียกร้อง จากเหตุการณ์ที่เกิดขึ้นกับ Sony Pictures เมือ่ นับรวมกับเหตุการณ์ของบริษทั หลายๆ แห่งทัว่ โลก ทีต่ กเป็นข่าวครึกโครมและเสือ่ มเสียชือ่ เสียง จึงทำาให้ บริษัทหลายแห่งพากันตื่นตัวถึงความสำาคัญของ การมีระบบการควบคุมดูแลและบริหารจัดการทาง เทคโนโลยีสารสนเทศกันมากขึ้น ด้วยเหตุนี้ IT Governance จึงกลายมาเป็นเครื่องมือสำาคัญที่นำา มาใช้ในการปรับปรุงระบบและกระบวนการบริหาร จัดการเทคโนโลยีสารสนเทศภายในองค์กร ให้สามารถ รับมือกับสถานการณ์ทางธุรกิจที่มีความไม่แน่นอน และเทคโนโลยีที่มีการเปลี่ยนแปลงอย่างรวดเร็ว ซึ่งสามารถสร้างความมั่นใจให้กับผู้มีส่วนได้เสีย
รวมทั้งสร้างคุณค่าและผลักดันให้องค์กรการบรรลุ เป้าหมายได้อย่างมีประสิทธิภาพยิ่งขึ้น ในต่างประเทศ IT Governance เป็นเรื่อง ที่ ไ ด้ มี ก ารกล่ า วถึ ง และมี ก ารก่ อ ตั้ ง องค์ ก รเพื่ อ วัตถุประสงค์นี้เป็นการเฉพาะมานานหลายปีแล้ว เช่น องค์กรระดับโลกของประเทศสหรัฐอเมริกา The Information Systems Audit and Control Association หรือ ISACA ทีไ่ ด้กอ่ ตัง้ ขึน้ เมือ่ ปี 1969 เพื่อเป็นแหล่งศูนย์รวมข้อมูลเกี่ยวกับการควบคุม การตรวจสอบระบบคอมพิวเตอร์ ซึ่งต่อมาก็ได้ ก่อตั้ง IT Governance Institute หรือ ITGI ขึ้น ในปี 1998 เพื่อเข้ามาดูแลการบริหารจัดการการ กำากับดูแลทางด้านเทคโนโลยีสารสนเทศในระดับ องค์กร องค์กรสำาคัญทั้ง 2 แห่งนี้ต่างสนับสนุนและ ผลักดันให้เกิด IT Governance รวมทั้งแนวทาง ในการพัฒนาระบบการกำากับดูแลด้านเทคโนโลยี สารสนเทศ COBIT ที่เป็นที่ยอมรับกันในระดับ สากลดังเช่นในปัจจุบัน สำาหรับในประเทศไทย ถึงแม้ IT Governance จะเป็นเรือ่ งใหม่ แต่กม็ กี ฎหมายต่างๆ รองรับ เช่น พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และพ.ร.บ.การกระทำาผิดเกีย่ วกับคอมพิวเตอร์ พ.ศ. 2550 โดยกำ า หนดฐานความผิ ด และบทลงโทษสำ า หรั บ การกระทำาความผิดเกี่ยวกับคอมพิวเตอร์ และ กำาหนดหน้าที่ของพนักงานเจ้าหน้าที่เอาไว้ เมื่อมาถึงจุดนี้ หลายท่านอาจสงสัยว่า หาก เทคโนโลยีสารสนเทศมีความสำาคัญต่อการดำาเนิน ธุรกิจในปัจจุบันมากถึงขนาดนี้ ทำาไมบริษัทต่างๆ จึงยังคงละเลยกันอยู ่ จะเห็นได้วา่ แผนก IT ในหลาย บริษัทยังคงเป็นแค่เพียงหน่วยงานเล็กๆ หน่วยงาน หนึ่งที่ไม่มีความสำาคัญอะไร มีหน้าที่ในการแก้ไข ระบบ เครื่องมือ หรืออุปกรณ์เพื่อสนับสนุนการ ทำางานของแผนกอืน่ ๆ ในองค์กรเท่านัน้ ในขณะที่ บริษัทอีกหลายแห่งก็นำาภาระความรับผิดชอบใน เรื่องนี้ไปฝากฝังไว้กับแผนกงานต่างๆ แทนที่เป็น เช่นนี้ก็เพราะเทคโนโลยีสารสนเทศเป็นเครื่องมือ ที่มีราคาแพง และส่วนมากไม่อาจนำาไปใช้ได้ทันที แต่จะต้องมีความรู้ความเข้าใจเสียก่อนจึงจะใช้ได้ อย่างถูกต้องและมีประสิทธิภาพ ซึ่งก็เป็นเรื่องที่ เข้าใจยากและต้องใช้เวลามากอยูพ่ อสมควร จึงอาจ ก่อให้เกิดช่องว่างในการรับรูร้ ะหว่างกันและเกิดความ ผิดพลาดตามมาได้งา่ ย โดยเฉพาะเมือ่ มีเปลีย่ นแปลง ทางด้านเทคโนโลยีสภาพทางเศรษฐกิจและธุรกิจ ที่ ทำาให้บริษัทต้องมีการปรับเปลี่ยนระบบเทคโนโลยี สารสนเทศตามไปด้วย หากจะถามว่า IT Governance ควรเป็น หน้าทีข่ องใคร? ตามหลักการแล้ว IT Governance
โดย คุณเบญญาดา กำาลังเสือ Mrs. Benyada Kumlungsua CG Specialist - Curriculum Developement Thai Institute of Directors
ควรเป็นบทบาทหน้าที่และความรับผิดชอบของ “คณะกรรมการและผู้ บ ริ ห าร” เนื่ อ งจากคณะ กรรมการมีบทบาทหน้าทีใ่ นการกำากับดูแลกิจการทีด่ ี และการกำากับดูแลเทคโนโลยีสารสนเทศก็เป็นส่วนหนึง่ ที่ทำาให้เกิดการกำากับดูแลกิจการที่ดี ดังนั้น บทบาท ในการขับเคลื่อนและผลักดัน IT Governance จึงไม่ สามารถแยกออกจากบทบาทการกำากับดูแลด้านอืน่ ๆ ของคณะกรรมการได้ และเนือ่ งจากผูบ้ ริหารมีหน้าที่ ในการรับนโยบายของคณะกรรมการไปปฏิบัติต่อ ผู้บริหารจึงมีบทบาทที่สำาคัญต่อการสร้างความสำาเร็จ ให้เกิดขึน้ กับ IT Governance ด้วยเช่นกัน อย่างไรก็ตาม จากผลการสำารวจของ The Standish Group ในปี 2014 กลับพบว่า โครงการเทคโนโลยี สารสนเทศของบริษัทที่มีขนาดใหญ่ประสบความ สำาเร็จแค่เพียง 9% ในขณะที่บริษัทขนาดกลางและ ขนาดเล็กประสบความสำาเร็จที่ 16.2% และ 28% ตามลำาดับ ซึ่งจากผลการสำารวจนี้คงอาจทำาให้เรา มองเห็นว่า บริษัทจำานวนมากในปัจจุบันยังคงขาด การกำ า กั บ ดู แ ลและบริ ห ารจั ด การเทคโนโลยี สารสนเทศที่มีประสิทธิภาพเท่าที่ควร Peter Marshall และ Judy McKay ซึ่งได้ทำา การศึกษาในเรือ่ ง Strategic IT Planning, Evaluation and Benefits Management: The Basis for Effective IT Governance พบว่า สาเหตุสำาคัญประการหนึ่ง ที่ทำาให้ IT ไม่ประสบความสำาเร็จ ก็คือ การที่ คณะกรรมการขาดความรูค้ วามเข้าใจในเรือ่ งเทคโนโลยี สารสนเทศ จึงเกิดความรู้สึกกดดันเมื่อต้องทำาการ พิ จ ารณาตั ด สิ นใจลงทุ น เกี่ ย วกั บ เรื่ อ งดั ง กล่ า ว และมี แ นวโน้ ม ที่ คณะกรรมการจะปล่อยให้เป็น ภาระหน้าที่ของ Chief Information Officer (CIO) หรือแผนก IT หรือหน่วยงานภายนอก (Outsource) เป็นผู้ดูแลแทน เมื่อคณะกรรมการเพิกเฉยและ ละเลยกับประเด็นต่างๆ ทีเ่ กีย่ วข้องกับเทคโนโลยี สารสนเทศ ก็ย่อมจะส่งผลทำาให้ผู้บริหารและผู้ที่มี ส่วนเกีย่ วข้องทีม่ หี น้าทีร่ บั นโยบายจากคณะกรรมการ ไปดำาเนินการต่อ ต่างพากันมองไม่เห็นความสำาคัญ ของเทคโนโลยีสารสนเทศตามไปด้วย ซึ่งก่อให้เกิด ความเสี่ ย งและผลกระทบต่ อ องค์ ก รตามมาได้ อย่างมากมาย ด้วยเหตุนี้ จึงมีความจำาเป็นอย่างยิ่งที่คณะ กรรมการในปั จ จุ บั น ควรจะต้ อ งมี ค วามรู้ ค วาม เข้าใจเกี่ยวกับเทคโนโลยีสารสนเทศมากขึ้น ทั้งนี้ เพื่อที่จะได้สามารถกำาหนดกรอบนโยบายของ IT Governance ให้สามารถสนับสนุนองค์กรเชิงกลยุทธ์ และผลั ก ดั น ให้ อ งค์ ก รบรรลุ ต ามเป้ า หมายได้ อย่างสอดคล้องทั่วกันทั้งองค์กร นับตั้งแต่การ กำาหนดกลยุทธ์ การวางแผนการบริหารจัดการ Boardroom | 35
การจัดสรรทรัพยากร การดำาเนินการ การควบคุม ไปจนถึงการสื่อสาร ซึ่งหากคณะกรรมการให้ ความสำาคัญและอุทิศเวลาให้กับ IT Governance อย่างเต็มทีแ่ ล้ว ย่อมจะส่งผลให้การนำา IT Governance มาประยุกต์ใช้ภายในองค์กรของตนมีความถูกต้อง และเหมาะสมมากที่สุด อันจะนำามาซึ่งการสร้าง มูลค่าเพิ่ม และการเติบโตอย่างต่อเนื่องยั่งยืน ในอนาคต Currently, without a doubt the topmost trend relating to corporate governance practices is the overwhelming trend relating to oversight’ of information technology systems (IT) – or what is called ‘IT governance’. This is because we now live in the digital world, in which various’companies increasingly depend more and more on information technology to conduct their businesses, that enables the achievement of more effective operations, increased production outputs, development of new products and innovation, improved services quality, creation of more competitive options, and new business opportunities. IT also enables attracting new customers and protection against competitors – especially so in times of economic crises and resultant increasing economic downturn, when there is a drive to reduce expenses together with achievement of more business value added from increasing use of information technology systems. Nevertheless, if companies adapt and apply information technology systems for use internally without the appropriate readiness in regards to proper security and oversight measures, it may result in internal problems and negative impacts on its business operations - as so many companies are facing at this moment – such as, hacking of important information, cyber attacks to the overall IT systems, operating system failures, and systems that fail to effectively support the operations, as well as systems unsuited to the organization information leaks or even making the investment for nothing. The leading Hollywood-based global motion pictures conglomerate, Sony Pictures, is one of the companies that faced a significant IT related issue; whereby in November 2014 the company faced theft of important confidential data by hackers, using the name Guardian of Peace, who managed to get access to internal information about as many as 5 new movies still in the process of being made. They then posted the hacked information online in violation of the company’s intellectual property rights, with the motion picture company also receiving threats that more detailed information would be posted online if it failed to meet the hacker’s demands. Based on this incident at Sony Pictures together with similar incidents that happened to several other companies around the world, which all resulted in bad publicity and considerable damage to their reputations, made many companies pay much more attention to the importance of and the increasing need to have in place a system of IT systems controls and oversight. Boardroom | 36
For this reason, IT Governance has become an important tool for improving both the internal systems and the associated management procedures in managing information technology systems within an organization, in order to meet any business situations that are uncertain and that changes at a fast pace, so as to be capable of creating confidence on the part of all its Stakeholders, as well as to increase business value added in facilitating and driving the organization to more effectively achieve its goals. Overseas, IT Governance is an matter that has long been discussed, as well as the reason for establishing various organizations to specifically address this issue – such as, the US-based global institution ‘The Information Systems Audit and Control Association (or ISACA), that was established in 1969 as a center for gathering relevant information relating to the control the audit of computer systems. Thereafter, the IT Governance Institute (or ITGI) was established in 1998 to control and oversee the management of technology at an organizational basis. Each of these 2 key organizations support and promote the creation of IT Governance together with associated operating procedures guidelines in the development of IT governance principles and practices (COBIT), that is the current internationally accepted standards of practice. As for Thailand, despite the fact that the matter of IT Governance is still a new, there are already various laws to support it – such as, the Electronics Transactions Act BE. 2544 (2001) and the Computer Crime Act BE.2550 (2007), that specifies the criminal acts relating to the use of computers and associated penalties, together with the responsibilities of the involved officials and authorities. At this juncture, many people may question that, given that IT is so significantly important to business operations at the present time, why then are various companies still neglecting to address this issue? It can be seen that in many companies their IT Department is still a small internal business unit, without much operational importance and mostly responsible for solving any IT related problems, as well as seen as only a supporting tool for other operating Departments within the organization. While in many other companies, this responsibility is often attached or assigned to another internal Department instead. The main reason for this is that technology is seen as an expensive operating tool that cannot be made use of immediately, as well as that requires both specialized knowledge and knowhow before it can be used in a proper and effective manner, whereby such knowhow is difficult to acquire and needs quite a lot of time. As such, this may result in ‘gaps’ in both the required knowledge and knowhow together with possible mistakes being easily made. Furthermore, whenever there are changes or advances in technology systems or the business situations, this may result in companies having to consequently also change their existing IT systems. If you ask who is responsible for ‘IT Governance’, then, in principle, IT Governance is the role and responsibility of the Board of Directors and the
Management Group; since the Board is responsible for good corporate governance, and IT Governance is an integral part of the overall good corporate governance practices. As such, the role of driving and undertaking IT Governance activities can not be separated from other aspects of good governance undertaken by the Board. Further, given that the Management Group is responsible for implementing the policies as determined and specified by the Board, it also has a role in and responsibilities for IT Governance matters. Nevertheless, based on the 2014 survey undertaken by the Standish Group, it was found that only 9% of the IT projects in large size companies meet with success, while the corresponding success rates of IT projects for medium and small companies were 16.2% and 28% respectively. These findings may indicate to us that currently there are many companies still lacking the required level of oversight and management of their information technology systems. Peter Marshall and Judy McKay, who both made a study of this in “Strategic IT Planning, Evaluation and Benefits Management: The Basis for Effective IT Governance”, found that the main reason for IT systems not achieving success is that Boards of Directors stil lack a true understanding of IT matters. As a result, Boards feel pressured whenever they need to consider and decide about making investments in such matters; whereby there is the possibility that the Board wil relinquish responsibility to the Chief Information Officer (CIO), or the IT Department, or even to an outsourced party to make the necessary decisions instead. Given that the Board is inactive or even neglects to oversee such IT related issues, then the result is that the Management Group or those directly involved and responsible for implementing the stated Board policies also fail to see the importance of this matter, creating consequent and significant risks and negative effects for the organization. For these very reasons, currently, it is vital that the Board of Directors needs to possess more knowledge and a better understanding about IT matters. As such, this is so that the Board can determine effective IT Governance policies that will support the agreed strategies of the organization and drive the achievement of agreed corporate objectives in a uniform manner across the entire organization – from determining the strategies, planning management activities, managing resources and operations, controlling and oversight, to communicating. If the Board gives full importance and devotes time to IT Governance matters, which will often result in IT Governance practices being adapted and adopted for use within the organization in the most proper and appropriate manner possible, and which will then also result in the creation of value added and ongoing future growth on a sustainable basis. 789
Two Prestigious Global Awards: An Affirmation of Banpu’s Sustainable Development Achievement on the Path to “The Asian Face of Energy”
Banpu received ‘The Industry Leader and Gold Class Sustainability Award 2015’ in the Coal and Consumable Fuels Sector from RobecoSAM, an assessment company in charge of the Dow Jones Sustainability Indices (DJSI).
Banpu was selected as a member of the Dow Jones Sustainability Indices for Emerging Market 2014 in the Energy Sector.
Regulatory Update
ความเหมาะสม
บุคลากรในธุรกิจประกันภัย
ของ
สำานักงานคณะกรรมการกำากับและส่งเสริมการประกอบธุรกิจประกันภัย (สำานักงาน คปภ.) Office of Insurance Commission (OIC)
ธุรกิจประกันภัยเป็นธุรกิจที่มีความสำาคัญต่อ เศรษฐกิจและสังคมของประเทศ เนือ่ งจากสามารถ เป็นหลักประกันความมั่นคงให้กับชีวิต ทรัพย์สิน และธุรกิจต่างๆ ซึ่งที่ผ่านมาคนไทยมีความรู้เรื่อง การประกันภัยมากขึ้น ทำาให้ธุรกิจประกันภัยของ ไทย ทั้งประกันชีวิตและประกันวินาศภัย เติบโต อย่างรวดเร็วตลอดช่วงหลายปีทผ่ี า่ นมา อย่างไรก็ดี ธุรกิจประกันภัยถือว่าเป็นธุรกิจการเงินประเภทหนึ่ง ดังนัน้ ฐานะความมัน่ คงทางการเงินและภาพลักษณ์ ของบริษทั ประกันภัย จึงเป็นปัจจัยสำาคัญทีล่ กู ค้าจะใช้ ประเมินบริษัทก่อนเลือกซื้อผลิตภัณฑ์ประกันภัย การที่ บ ริ ษั ท ประกั น ภั ย จะมี ฐ านะการเงิ น มั่นคงและมีภาพลักษณ์ที่ดีได้นั้น ผู้ที่มีอำานาจใน การกำาหนดนโยบายของบริษัทจึงถือเป็นบุคคลที่ มีความสำาคัญอย่างยิ่ง ในการกำาหนดทิศทางและ ภาพลักษณ์ของธุรกิจประกันภัย ดังนัน้ หน้าทีห่ นึง่ ของสำานักงานคณะกรรมการกำากับและส่งเสริม การประกอบธุรกิจประกันภัย (สำานักงาน คปภ.) ซึ่งเป็นหน่วยงานภาครัฐที่มีหน้าที่กำากับดูแลธุรกิจ ประกันภัยของไทย จึงมีความรับผิดชอบในการ กำากับดูแลฐานะการเงินของบริษัทให้มีความมั่นคง รวมถึงการกำากับดูแลให้ผู้บริหารบริษัทประกันภัย บริหารงานอย่างมีธรรมาภิบาลอีกด้วย ธุ ร กิ จ ประกั น ภั ย นอกเหนื อ ที่ เ ป็ น ธุ ร กิ จ การ เงินแล้ว ยังถือว่าเป็นธุรกิจที่มีความเป็นสากล โดยมีองค์กรกลางระหว่างประเทศ ซึ่งสมาชิก ประกอบด้วยหน่วยงานกำากับดูแลธุรกิจประกันภัย จากประเทศต่างๆ ทัว่ โลก หรือทีเ่ รียกว่า The International Association of Insurance Supervisors (IAIS) ทำา หน้าที่ร่วมกันกำาหนดมาตรฐานในการกำากับธุรกิจ ประกันภัย (IAIS Insurance Core Principles: IAIS ICPs) ซึ่งมาตรฐานนี้เป็นเครื่องมือสำาคัญ สำาหรับหน่วยงานกำากับดูแลเพื่อใช้กำากับและตรวจ สอบบริษัทประกันภัยที่อยู่ภายใต้อาณัติ มาตรฐาน IAIS ICPs ฉบับล่าสุด คือ ฉบับที่ 2 ออกในปี พ.ศ. 2554 ซึ่งประกอบด้วยมาตรฐาน ย่อยในเรื่องต่างๆ 26 ข้อ อาทิ มาตรฐานเรื่อง ลักษณะและความรับผิดชอบของหน่วยงานกำากับ ดูแลฯ มาตรฐานเรื่องการให้ใบอนุญาตบริษัท ประกันภัย มาตรฐานเรื่องธรรมาภิบาลของบริษัท มาตรฐานเรื่องการจัดการความเสี่ยงของบริษัท มาตรฐานเรื่องการป้องกัน และตรวจสอบบริ ษั ท มาตรฐานเรื่องคนกลางประกันภัย และมาตรฐาน Boardroom | 38
เรื่องการป้องกันการฟอกเงินและการต่อต้านการ ก่อการร้าย เป็นต้น ซึ่ง ICP ที่เกี่ยวข้องโดยตรงกับ เรื่องการกำากับดูแลผู้บริหารบริษัทประกันภัย คือ ICP ข้อที่ 5 ว่าด้วยเรื่องมาตรฐานความเหมาะสม ของบุคลากร (suitability of persons) ซึง่ เนือ้ หาโดย รวมกำาหนดไว้วา่ หน่วยงานกำากับดูแลฯ ควรกำาหนด ให้เจ้าของกิจการ คณะกรรมการบริษทั ผู้บริหาร ระดับสูง และบุคลากรที่มีความสำาคัญต่อการ ควบคุมบริษทั ประกันภัย มีความรูค้ วามสามารถที่ เหมาะสมต่อหน้าทีค่ วามรับผิดชอบ โดยภายใต้ ICP เรื่องนี้ ได้กำาหนดหน้าที่ของหน่วยงานกำากับดูแลฯ ว่าจะต้องมีมาตรการต่างๆ อย่างไรบ้าง เพือ่ จะทำาให้ บุคลากรประกันภัยมีความเหมาะสม สามารถนำาพา ธุรกิจให้เติบโตและมีธรรมาภิบาล อาทิ กำาหนดว่า • หน่วยงานกำากับดูแลฯ จะต้องมีกฎหมายชัดเจน ที่ระบุถึงบุคคลที่ต้องมีคุณสมบัติเป็นไปตาม ข้อกำาหนดเรื่องความเหมาะสม
• หน่วยงานที่กำากับดูแลฯ จะต้องกำาหนดให้ คณะกรรมการบริษัท ผู้บริหารระดับสูง และ บุคลากรที่มีความสำาคัญต่อการควบคุมบริษัท ประกันภัย จะต้องมีความรูค้ วามสามารถและ มีความซื่อสัตย์ต่อการปฏิบัติหน้าที่ รวมถึง เจ้าของกิจการที่จะต้องมีความมั่นคงทางการ เงินและมีความซื่อสัตย์ต่อการปฏิบัติหน้าที่ เพื่อให้บุคคลเหล่านี้มีความเหมาะสมต่อ ตำาแหน่งหน้าที่ความรับผิดชอบ • หน่วยงานที่กำากับดูแลฯ ต้องกำาหนดให้บริษัท ประกันภัยแสดงรายงานความเหมาะสมของ คณะกรรมการบริษทั ผูบ้ ริหารระดับสูง บุคลากร ทีม่ คี วามสำาคัญต่อการควบคุมบริษทั ประกันภัย และเจ้าของกิจการในเบื้องต้นและภายหลัง
หากได้รบั การร้องขอจากหน่วยงานกำากับดูแล ทั้งนี้ ข้อกำาหนดความเหมาะสมและขอบเขต ของการทบทวนจากหน่วยงานกำากับดูแลฯ ขึ้นอยู่กับตำาแหน่งและหน้าที่ความรับผิดชอบ ของบุคคล • หน่วยงานที่กำากับดูแลฯ ต้องกำาหนดให้บริษัท ประกันภัยแจ้งต่อหน่วยงานกำากับดูแลฯ ใน กรณีทม่ี กี ารเปลีย่ นแปลงคณะกรรมการบริษทั ผู้บริหารระดับสูง บุคลากรที่มีความสำาคัญต่อ การควบคุมบริษทั ประกันภัย และเจ้าของกิจการ อีกทั้งบริษัทประกันภัยต้องดำาเนินการแจ้ง หน่วยงานที่กำากับดูแลฯ ทันที เมื่อบริษัทได้ ทราบถึงเหตุการณ์ที่อาจจะเกี่ยวข้องกับ ความไม่เหมาะสมของคณะกรรมการบริษัท ผู้บริหารระดับสูง บุคลากรที่มีความสำาคัญ ต่อการควบคุมบริษัทประกันภัย และเจ้าของ กิจการ • หน่วยงานที่กำากับดูแลฯ ควรดำาเนินการอย่าง เหมาะสม ในกรณีที่ คณะกรรมการบริษัท ผู้บริหารระดับสูง บุคลากรที่มีความสำาคัญ ต่อการควบคุมบริษัทประกันภัย และเจ้าของ กิจการมีคุณสมบัติไม่เป็นไปตามข้อกำาหนด เรื่องความเหมาะสม • หน่วยงานทีก่ าำ กับดูแลฯ ต้องมีการแลกเปลีย่ น ข้อมูลระหว่างกันทั้งภายในและภายนอก ประเทศในการตรวจสอบความเหมาะสมของ บุคคล อนึง่ สำานักงาน คปภ. ในฐานะหน่วยงานกำากับ ดูแลธุรกิจประกันภัย เห็นความสำาคัญในเรื่องนี้ จึงได้มีการปรับปรุงกฎระเบียบอย่างต่อเนื่อง และ ล่าสุด สำานักงาน คปภ. ได้ดาำ เนินการยกร่างพระราช บั ญ ญั ติ ป ระกั น ชี วิ ต และพระราชบั ญ ญั ติ ป ระกั น วินาศภัยฉบับใหม่ เพื่อพัฒนามาตรฐาน การกำากับ ดูแลฯ ให้เป็นไปตามมาตรฐานการกำากับดูแลของ IAIS โดยได้มงุ่ เน้นเรือ่ งธรรมาภิบาลของบริษทั ประกันภัย เป็นสำาคัญ ซึ่งครอบคลุมในถึงเรือ่ งความเหมาะสม ของบุคลากร การถือหุ้นของบริษัทประกันภัยและ ธรรมาภิบาล อาทิ • การกำาหนดคุณสมบัติ ความเหมาะสมของ กรรมการผูม้ อี าำ นาจในการจัดการ และผูถ้ อื หุน้ ของบริษทั โดยผูท้ จ่ี ะดำารงตำาแหน่งหรือเข้าถือ ครองหุ้นในบริษัทประกันภัย นอกจากจะต้อง
ไม่มีลักษณะต้องห้ามแล้ว ยังต้องได้รับความ เห็นชอบจาก คปภ. ด้วย • การกำาหนดให้บริษัทประกันภัยต้องมีคณะ กรรมการชุดต่างๆ เพื่อสอบทานการดำาเนิน การภายในบริษัท ตามหลักธรรมาภิบาลที่ดี • การกำาหนดให้บริษัทต้องมีนักคณิตศาสตร์ ประกันภัยประจำาบริษทั คอยให้คาำ แนะนำาและ รับผิดชอบในเรื่องคณิตศาสตร์ประกันภัยของ บริษทั เพือ่ รองรับการเปิดเสรีเบีย้ ประกันภัยและ เปิดเสรีธุรกิจประกันภัย เป็นต้น
นอกเหนือจากการปรับปรุงกฎหมายข้างต้นแล้ว สำานักงาน คปภ. จะดำาเนินการประเมินการกำากับ ดูแลธุรกิจประกันภัยด้วยตนเอง (self-assessment) โดยเปรียบเทียบกับมาตรฐาน IAIS ICPs โดยจะมีผู้ เชีย่ วชาญจากภายนอกมาช่วยทำาการประเมิน โดยมี วัตถุประสงค์เพือ่ จะได้ทราบถึงมาตรการต่างๆ หรือ กฎหมาย/กฎ/ระเบียบทีส่ าำ นักงาน คปภ. จะต้องพัฒนา หรือปรับปรุงเพิ่มเติมเพื่อให้การกำากับดูแลธุรกิจ ประกันภัยของสำานักงาน คปภ. เป็นไปสอดคล้อง กั บ มาตรฐานการกำ า กั บ ดู แ ลธุ ร กิ จ ประกั น ภั ย ใน ระดับสากลต่อไป
Insurance Core Principles (IAIS ICPs), the main code used by agencies that oversee insurance companies. The latest IAIS ICPs is the second version issued in 2011. It consists of 26 sub-standards pertaining to characteristics and responsibilities of supervising agencies, license of insurance company, corporate governance, risk management, prevention and auditing, insurance intermediary and anti-terrorism and money laundering. The principle that is directly related to insurance executive supervision is ICP number 5 about suitability of persons. It states that the supervising agency should determine that the owner, the Board of Directors, senior executives and other key persons involved in operating the company must have suitable qualifications to carry out the work functions of an insurance business. The IAIS ICP determines the duties of a supervising agency and steps to take in order to ensure the each insurance company under its supervision has competent staff members, who through their work practices bring prosperity and good corporate governance to their respective companies. The requirements specify that the supervisory agency:
• Take a proper action in cases in which the Board of Directors, senior executives and any other person in a key management position or the company owner do not meet the qualifications specified in the regulation on suitability. • Must exchange information domestically and internationally when checking the qualifications of a person.
OIC values the importance of the suitability issue and is constantly revising the regulations. Recently, it has taken on initiatives to draft a new life insurance act and to improve the supervision standard in accordance with IAIS standard by focusing on corporate governance of an insurance company, which covers the suitability of personnel, shareholders of the insurance company and corporate governance in such areas as: • The qualifications and suitability of the directors who have management authority in an insurance company and company shareholders. • Committees tasked with revising its internal affairs to be in accordance with good corporate governance practices.
Qualified personnel
in the
insurance b u s i n e s s
The insurance industry is a key sector of the Thai economy and important for society in general, as the products it provides protects lives, properties and businesses. In recent years, the people of Thailand have become more familiar with the insurance business and the advantages of purchasing insurance products. Consequently, the insurance sector, including general insurance and life insurance, has grown rapidly in the past few years. As the industry is grouped in the financial sector, financial security and the image of an insurance company are important factors to potential customers when selecting an insurance provider. Policymakers set the direction a company with the aim to to achieve a secure financial status and maintain a good image. Thus, one of the duties of the Insurance Commission and the Officer of Insurance Commission (OIC), which is a public company, is to supervise companies’ financial status, including ensuring good corporate governance of the executives. In addition to being classified as a financial business, insurance is considered an universal business. The International Association of Insurance Supervisors (IAIS) is an international organization comprised of insurance supervisors from around the world. It is responsible for setting the standards for the IAIS
• Issue clear rules on qualifications for persons in management positions. • Ensure that the Board of Directors, senior executives and key persons involved in operating the company are competent and have integrity, and that the owner of the business is financially stable and has integrity. • Ensure that each insurance company disclose a suitability report on the Board of Directors, senior executives and other key persons holding management positons and the company owner. The suitability regulation and scope of the review from the supervising agency depends on the position and duty of each person. • Authorize each insurance company to report to the supervising agency when there is a change in the Board of Directors, senior executives and other person in management positions and the company owner and immediately when there is concern that a member of the Board of Directors, a senior executive or any other person in a key management position, or the company owner are unsuitable to carry out their work functions.
• The function of a company actuary, other actuarial affairs, including prep-aration for the liberalization of insurance premiums and the insurance business, in general.
In addition to the improvement of the law, OIC will also do self-assessment by comparing its standards with those of IAIS ICPs with the help of external experts. The objective is to determine which measures or laws/regulations/rules need to be revised in order to upgrade the supervision of OIC to an international level. 789
Boardroom | 39
Board Opinion
นักลงทุนรายย่อย จะพึ่งพาใครได้ เมื่อ กรรมการอิสระ
เอาหูไปนา เอาตาไปไร่ ธีระ ภู่ตระกูล | นายก | สมาคมนักวางแผนการเงินไทย และสมาชิกผู้ทรงคุณวุฒิอาวุโสของสมาคมส่งเสริมสถาบันกรรมการบริษัทไทย Teera Phutrakul | Chairman | Thai Financial Planners Association and IOD’s fellow member
ในฐานะทีเ่ ป็นสมาชิกผูท้ รงคุณวุฒอิ าวุโส (Fellow Member) ของสมาคมส่งเสริมสถาบันกรรมการ บริษทั ไทย เมือ่ ไม่นานมานี ้ ผมได้รบั การติดต่อจาก กลุม่ ผูถ้ อื หุน้ รายย่อยของบริษทั ประกันชีวติ แห่งหนึง่ ซึ่งมีข้อขัดแย้งด้านกฎหมายกับผู้ถือหุ้นรายใหญ่ เนื่ อ งจากผู้ ถื อ หุ้ น รายใหญ่ มี ความพยายามที่จะ เพิกถอนหลักทรัพย์ออกจากตลาดหลักทรัพย์แห่ง ประเทศไทย ปกติผมจะไม่เข้าไปยุ่งเกี่ยวกับการ บริการแก่สงั คม และ/หรือเกีย่ วกับเรือ่ งกฎหมายใดๆ แต่สาำ หรับกรณีน ้ี ผมยอมรับทีจ่ ะทำาเพราะมีคาำ ถาม หลายประเด็นทีจ่ ะต้องหาคำาตอบ ในเรื่องของขั้นตอนการปฏิบัติตามมาตรฐาน เมื่ อ บริ ษั ท ประสงค์ ที่ จ ะแปลงสภาพกลั บ เป็ น บริ ษั ท เอกชนและเพิ ก ถอนหลั ก ทรั พ ย์ อ อกจาก ตลาดหลักทรัพย์ ผูถ้ อื หุน้ รายใหญ่จะต้องทำาคำาเสนอ ซื้อหลักทรัพย์ (Tender offer) ทั้งหมดของบริษัท จากผูถ้ อื หุน้ รายย่อย และเพือ่ ให้เกิดความเป็นธรรม ผู้ซื้อและผู้ขายจะต้องขอคำาปรึกษาจากที่ปรึกษา ทางการเงินอิสระ (Independent Financial Advisor – IFA) เพื่อประเมินมูลค่ายุติธรรมในการเพิกถอน หลักทรัพย์ดังกล่าว ในกรณีนี้ ผู้ขายได้แต่งตั้งที่ ปรึกษาทางการเงินอิสระจากบริษัทบัญชีชั้นนำา ใน เวลาเดียวกัน ผูซ้ อ้ื ซึง่ เป็นธนาคารใหญ่แห่งหนึง่ ของ ประเทศไทย ได้ทำาหน้าที่เป็นที่ปรึกษาทางการเงิน ด้วยตัวเอง ในการกำาหนดราคาที่ยุติธรรม ผู้ซื้อได้มีการ ประกาศความประสงค์ที่จะเพิกถอนหลักทรัพย์ จากตลาดหลักทรัพย์เพียงหนึ่งวันก่อนที่จะมีการ ประกาศงบการเงินของ ไตรมาสที่ 1/2557 ต่อ สาธารณชน ซึง่ งบดังกล่าวแสดงให้เห็นว่าผลกำาไรปี ต่อปี เพิม่ ขึน้ ถึงร้อยละ 22 อย่างไรก็ตาม การยืน่ คำา
เสนอซื้อหลักทรัพย์อย่างเป็นทางการไม่ได้เกิดขึ้น จนสิน้ ปี 2557 ซึง่ หมายความว่า ราคาทีเ่ สนอซือ้ จะตาำ่ กว่าความเป็นจริง เนือ่ งจากตลาดได้คาดหมายการ เพิกถอนหลักทรัพย์ดงั กล่าว โดยไม่มสี ภาพคล่อง ผมมองว่าเมื่อคำานึงถึงการแต่งตั้ง (ตนเอง) ที่ปรึกษาทางการเงินที่ไม่อิสระและช่วงเวลาการ ประกาศความประสงค์ท่จี ะเพิกถอนหลักทรัพย์และ การยื่นคำาเสนอซื้อหลักทรัพย์อย่างเป็นทางการ จึง ทำาให้มีคำาถามหลายข้อ โดยเฉพาะเกื่ยวกับความ ไม่เป็นธรรมต่อผู้ถือหุ้นรายย่อย ตามทีพ่ วกเรารูด้ กี ารประเมินค่าทางคณิตศาสตร์ ประกั น ภั ย เป็ น เรื่ อ งที่ ซั บ ซ้ อ นและมั ก จะต้ อ งมี ความเข้าใจอย่างลึกซึ้งเกี่ยวกับคณิตศาสตร์ประกัน ภัยและสูตรทีใ่ ช้คาำ นวน ผูถ้ อื หุน้ ทัว่ ไปคงไม่มคี วาม เข้าใจข้อมูลทุกอย่าง และมูลค่า ทุกตัว ของธุรกิจ ประกันชีวติ กลุม่ ผูถ้ อื หุน้ รายย่อย เหล่านี้ จึงมี ความจำาเป็นที่ต้องพึ่งคำาเสนอแนะของผู้เชี่ยวชาญ โดยเฉพาะของที่ปรึกษาทางการเงินอิสระที่มีความ น่าเชื่อถือ การทีผ่ ซู้ อ้ื ไม่ได้แต่งตัง้ ทีป่ รึกษาทางการเงินอิสระ ผู้ซ้อื มีความจำาเป็นต้องสร้างความมั่นใจว่า ทุกขั้น ตอนซึ่งรวมถึง ช่วงเวลา ราคา การวิเคราะห์ฯลฯ ได้กระทำาภายใต้ความโปร่งใสและความยุติธรรม สำาหรับผูถ้ อื หุน้ ทุกราย และเป็นการปฏิบตั ติ ามระเบียบ ข้อบังคับเกี่ยวกับการดำาเนินธุรกิจหลักทรัพย์และ หลักธรรมาภิบาลของบริษัท ในการคำานวนราคาเสนอซื้อ ได้มีการระบุใน เอกสารคำาเสนอซื้อไว้ว่า ผู้ซื้อไม่ได้คำานวณสูตร ของตัวเองแต่ ลอกเลียนแบบราคาประเมินของที่ ปรึกษาทางการเงินอิสระของผู้ขาย นอกจากนี้ผู้ซื้อ ได้เปลี่ยนแปลงสมมติฐานหลายอย่าง อาทิ การใช้
ตัวเลขจากงบการเงินทีไ่ ม่ปจั จุบนั การเปลีย่ นแปลง ระยะเวลาประเมินมูลค่ากิจการทีส่ น้ั ลง ทำาให้ราคา ประเมินออกมาน้อยลงถึงร้อยละ 21 และไม่เป็นทีน่ า่ แปลกใจที่ ที่ ป รึ ษ าทางการเงิ น อิ ส ระของผู้ ข ายมี ความเห็นว่า ราคาเสนอซือ้ หลักทรัพย์ดงั กล่าวเป็นราคา ที ่ “ไม่เหมาะสม” แต่ได้เสนอเพิม่ เติมว่า กลุม่ ผูถ้ อื หุน้ รายย่อยควรจะจำายอมรับข้อเสนอดังกล่าวเนือ่ งจาก เมื่อบริษัทได้รับการเพิกถอนจากตลาดหลักทรัพย์ แห่งประเทศไทยแล้วจะไม่มีสภาพคล่องและไม่มี ความจำ า เป็ น ที่ ต้ อ งปฏิ บั ติ ต ามข้ อ บั ง คั บ เกี่ ย วกั บ การรายงานอย่างที่บริษัทในตลาดหลักทรัพย์ต้อง ปฏิบัติ และจะทำาให้ผู้ถือหุ้นรายย่อยอยู่ในสถานะ ที่แย่ลง หากกรณีนี้เกิดขึ้นเมื่อ 10 ปีก่อน กลุ่มผู้ถือ หุ้นรายย่อยคงจะต้องยอมรับทุกอย่าง ซึ่งรวมถึง ยอมรับราคาที่ไม่เป็นธรรมของผู้ซื้อเสนอ แต่เวลา ได้เปลี่ยนไป และกลุ่มผู้ถือหุ้นรายย่อยเริ่มที่จะสู้ กลับเพื่อสิทธิของพวกเขา มี ห ลายครั้ ง ที่ ค ณะกรรมการของบริ ษั ท จด ทะเบียนถูกกล่าวหาว่า ไม่ได้ปฏิบัติหน้าที่อย่าง เต็มความสามารถ แต่กลุม่ ผูถ้ อื หุน้ รายย่อยในบริษทั ไทยส่วนมากมักจะพึง่ กรรมการอิสระในการดูแลผล ประโยชน์ให้พวกตน ความเชือ่ ทัว่ ไปคือ กรรมการอิสระ มักจะมีประสิทธิภาพมากกว่ากรรมการภายในของ บริษัท ในการตรวจตราการ กระทำาที่ไม่ถูกต้องของ ฝ่ายบริหาร ซึง่ จะทำาให้คณะกรรมการต้องจับตามอง ฝ่ายบริหารอย่างใกล้ชิดขึ้น และยืนยันว่ากลุ่มผู้ถือ หุ้นรายย่อยจะได้รับการปฏิบัติอย่างเท่าเทียมกัน ถึงแม้ว่าการรวมตัวกันฟ้องคดี (class action) ยังไม่มีผลบังคับใช้ในระบบยุติธรรมของไทย แต่ ผู้ถือหุ้นรายย่อยของบริษัทประกันชีวิตดังกล่าว Boardroom | 41
หลายรายได้ฟอ้ งผูซ้ อ้ื ในศาลแล้ว นอกจากนี ้ กลุม่ ผู้ ถือหุ้นรายย่อยดังกล่าวได้ทำาคำาร้องต่อสำานักงาน คณะกรรมการกำากับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ตลาดหลักทรัพย์แห่งประเทศไทย คณะ กรรมการของฝ่ายผู้ซื้อและผู้ขาย เป็นที่น่าผิดหวัง ที่กลุ่มบุคคลดังกล่าวยังไม่ได้ตอบคำาร้องเรียนของ กลุ่มผู้ถือหุ้นรายย่อยเลย เพื่ อ ให้ มี ค วามเป็ น ธรรมต่ อ ผู้ ถื อ หุ้ น ทุ ก ราย ทั้งผู้ถือหุ้นรายใหญ่และรายย่อย ผู้ซื้อและผู้ขาย ทั้งบริษัทใหญ่และเล็กฯลฯ กรรมการอิสระจะต้อง ปฏิบัติหน้าที่ภายใต้ความเท่าเทียมกัน ปัจจุบัน ดู เหมือนจะมีการเอนเอียงไปข้างใดข้างหนึง่ แต่ไม่ใช่ ข้างของกลุ่มผู้ถือหุ้นรายย่อย ผมเพียงแต่หวังว่า คำาถามเหล่านีจ้ ะไม่ถกู ยกขึน้ ถามอีกในบริษทั อืน่ ๆ มิฉะนัน้ จะมีการตัง้ คำาถามว่า ควรจะมีการทบทวนโครงสร้างของกรรมการอิสระ หรือไม่
สำาหรับในกรณีนี้ ผมเพียงแต่ขอให้
กรรมการอิสระ และ หน่วยงานกำากับดูแล หลักทรัพย์และธรรมาภิบาล ควรจะกลับมาตรวจสอบความเป็น ธรรมและความเท่าเทียม สำาหรับผู้ถือหุ้นทุกรายอีกครั้ง
case, the seller has appointed a well-known accounting firm as its IFA, while the buyer, a big local bank, appointed itself as the financial advisor. On the locking down of the share price of the company, the announcement to delist the stock was made one day before the 1st quarter earning results, a 22% increase in net profit year-on-year, was made public. That said, the actual tender offer was not made until the end of the year, which effectively held down the share price because the market had factored in the fact that it would soon be delisted with no liquidity. I find the appointment of a non-independent IFA as well as the timing of both the announcement to delist as well as the tender offer to be quite questionable especially for the fairness for the minority shareholders. As we all know, actuary analysis of life insurance companies is very complicated and generally requires a thorough understanding of complex mathematical modeling. Ordinary shareholders cannot be expected to understand the nuts and bolts of the embedded and intrinsic value of new businesses of a life insurance company. They have to rely on the expert’s opinions of a reputable IFA. By not using an independent IFA, the buyer has to ensure all actions with regards to the timing,
making minority shareholders much worse off. If this event occured 10 years ago, the minority shareholders will just have to take it as is, and accept whatever tender price was offered to them. But time has changed, and the minority shareholders are beginning to fight back for their rights. While there have long been complaints that board of directors often fall short of their duties,minority shareholders in most Thai companies have traditionally relied on independent directors to look after their interests. The conventional wisdom is that independent directors are more effective than inside directors in monitoring management conduct, which would lead the board to keep a closer eye on the management and ensure equitable treatment of minority shareholders. Although class action is not yet in effect in the Thai legal system, several of the minority shareholders in the life insurance company have already filed a lawsuit against the buyer. In addition, they have filed several complaints with the regulators such as the Securities and Exchange Commission (SEC), the SET, the board of directors of both the buyer and the seller. Unfortunately, these individuals have yet to reply to the minority shareholders. To ensure fairness to all shareholders both major and minor, buyers and sellers both big and small companies, etc, the independent directors
pricing, analysis, etc be completely transparent and fair to all shareholders to comply fully to both securities law and required corporate governance. In the buyer’s pricing calculation of the tender offer, it was stated in the tender offer document that the pricing was actually based off the seller’s IFA versus own calculation and analysis. Furthermore, the buyer has changed several data points such as outdated financial statements and shorter time period, which resulted in a lower appraised value by 21%. Not surprisingly, the seller’s IFA commented that the tender offer price by the buyer was “inappropriate”, but recommended that the minority shareholders should accept the offer anyway because once the company is delisted from the SET, there will be no liquidity and the company will no longer have to comply with the reporting requirements of listed companies,
have to act as the equilibrium. At the moment, the pendulum is swung to one side, and one side only, and it is not for the minority shareholders. I can only hope that the questions for this case do not apply to the other listed companies, otherwise, it would raise the question of whether the independent director model needs re-examination. As for this case, I would only appeal to the independent directors as well as the regulatory and corporate governance bodies to have a fresh look for fair and equitable treatment to all shareholders.
Who
can the minority shareholders turn to when
Independent Directors turn a blind eye?
As a fellow member of the Thai Institute of Directors (IOD), I was recently contacted by a group of minority shareholders of a listed life insurance company that became embroiled in a legal tussle when the major shareholder tried to delist the company from the Stock Exchange of Thailand (SET). Normally, I do not engage in pro bono and/or legal matters. However, this case intrigues me immensely as there are many questions that need to be addressed. As a matter of standard practice, when companies go private and delist from the stock exchange, the majority owner has to make a tender offer to buy the remaining shares that it does not already own from the minority shareholders. In order to ensure fair play, both the buyer and seller have to seek professional opinions from independent financial advisors (IFA) in order to derive at a fair price for the purpose of delisting. In this particular Boardroom | 42
789
Anti-Corruption Update
รายงานความก้าวหน้า
ระหว่างเดือน พฤษภาคม-มิถุนายน 2558
แนวร่วมปฏิบตั ิ
CAC
ของ
ภาคเอกชนไทย
ในการต่อต้านการทุจริต
Boardroom | 44
ตามที่ได้เคยรายงานแผนงานของ CAC ในปี 2558 นี้ IOD ในฐานเลขานุการคณะกรรมการแนว ร่ ว มปฏิ บั ติ ฯ ได้ จั ด ทำ า “การปรั บ ปรุ ง กระบวนการ รับรองใหม่ ระยะที ่ 1” สำาเร็จเรียบร้อย โดยจะนำา เกณฑ์ พิ จ ารณาให้ ก ารรั บ รองแบบใหม่ นี้ ม าใช้ ตั้งแต่เดือนกรกฎาคม 2558 เป็นต้นไป โดย IOD จะจั ด สั ม มนาเพื่ อ อธิ บ ายรายละเอี ย ดและแจ้ ง ประชาสัมพันธ์ให้ทุกฝ่ายที่เกี่ยวข้องรับทราบผ่าน ทางช่องทางสื่อสารและเว็บไซต์ เกณฑ์พิจารณาให้การรับรองใหม่ที่ปรับใน ครั้ ง นี้ จ ะขอให้ บ ริ ษั ท ที่ จ ะยื่ น ขอรั บ รองต้ อ งส่ ง หลักฐานเอกสารอ้างอิงในรูปแบบ E-documents มาให้ IOD และคณะกรรมการแนวร่วมปฏิบตั ฯิ ได้ตง้ั คณะกรรมการพิจารณาให้การรับรอง (Certification Committee) เพื่อทำาหน้าที่กลั่นกรอง ตรวจสอบ รายละเอียดข้อมูลของบริษัทที่ยื่นขอรับรองระบุมา ในแบบประเมินตนเองและหลักฐานเอกสารอ้างอิง ที่จัดส่งมาพร้อมกัน นอกจากนี ้ ในกรณีทจ่ี าำ เป็น คณะกรรมการชุดนี้ อาจจะขอเข้าเยีย่ มชมกิจการของบริษทั ทีย่ น่ื ขอรับรอง และสอบถามประธานกรรมการตรวจสอบและผู้ บริหารเพื่อให้แน่ใจได้ว่าบริษัทมีการนำานโยบายต่อ ต้านการทุจริตไปปฏิบัติจริง องค์ ป ระกอบของคณะกรรมการพิ จ ารณา ให้การรับรองประกอบด้วยผูแ้ ทนจากสภาวิชาชีพบัญชี สมาคมผูต้ รวจสอบภายใน ผูเ้ ชีย่ วชาญด้านกฎหมาย ธุรกิจ และผู้แทนจากบริษัทที่ผ่านการรับรอง โดยมี IOD รับหน้าที่เป็นเลขานุการคณะกรรมการ
สำ า หรั บ บริ ษั ท ที่ ป ระกาศเจตนารมณ์ แ ล้ ว และยังไม่ได้ยื่นขอรับรองก็จะอยู่เป็นดาวค้างฟ้า ในบัญชีรายชือ่ ต่อไปไม่ได้แล้ว เพราะกระบวนการ พิจารณาให้การรับรองนั้นจะมีระยะเวลาจำากัดให้ บริษัทที่ประกาศเจตนารมณ์ว่าจะร่วมต่อต้านการ ทุจริตทุกรูปแบบจะต้องคำาสัญญาไปสู่การปฏิบัติ จริงตามแนวทางที่ระบุในแบบประเมินตนเองและ ต้องยืน่ ขอรับรองภายในระยะเวลา 18 เดือน นับจาก วันที่บริษัทได้ลงนามประกาศเจตนารมณ์ สำาหรับ ท่านที่สนใจสามารถเข้าไปดูข้อมูลเพิ่มเติมได้ที่ www.thai-cac.com นอกจากนี้ในช่วงเดือนกรกฎาคมถึงสิงหาคม IOD จะจัดทำาแบบสำารวจความคิดเห็น (Major Annual Survey 2015) ของนักธุรกิจทีม่ ตี อ่ สถานการณ์ปญั หา คอร์รัปชันและการแก้ไขปัญหาในแบบ Collective Action ซึ่ง CAC จะจัดทำาทุก 2 ปี โอกาสนี้จึง
เรี ย นขอความอนุ เ คราะห์ จ ากทั้ ง ผู้ นำ าภาคธุ ร กิ จ ทุ ก องค์ ก รกรุ ณ าร่ ว มให้ ค วามเห็ น และข้ อ มู ล อั น เป็นประโยชน์ต่อการขับเคลื่อนการแก้ไขปัญหา คอร์รัปชันอย่างเป็นระบบมา ณ โอกาสนี้ โดย แบบสำ า รวจครั้ ง นี้ จ ะจั ด ทำ า ทั้ ง แบบออนไลน์ แ ละ แบบสอบถามส่งไปถึงท่าน หากท่านสนใจกรุณาติดต่อ เจ้าหน้าที่ IOD เพื่อขอรับทราบความคืบหน้าได้ ด้านการอบรมหลักสูตร Anti-Corruption: The Practical Guide (ACPG) ในปี 2015 นี้ IOD ได้ ทำาการปรับปรุงเนือ้ หาหลักสูตรให้สอดคล้องกับความ ต้องการของผูเ้ ข้าอบรม โดยจะเริม่ จัดอบรมครัง้ ถัดไป ในเดือนกรกฎาคมจนถึงเดือนพฤศจิกายน 2558 สำาหรับ ท่านที่สนใจจะสมัครสามารถติดต่อสอบถามได้ที่ คุณนิธิดล พัฒนตระกูลสุข 02-955-1155 ต่อ 400 หรือ ดูรายละเอียดและดาวน์โหลดใบสมัคร ได้ที่ www.thai-iod.com หรือ www.thai-cac.com
Thai Private Sector Collective Action Coalition Against Corruption:
CAC
Progress Report, May-June 2015 According to Thai Private Sector Collective Action Coalition Against Corruption (CAC) plan report 2015, IOD, as the secretariat of Coalition, has successfully developed the “new certification process improvement, phase 1”. The new certification criteria wil be adopted in July 2015. IOD is organizing seminars, to provide details of the new process and inform relevant parties through communication channels and the website. The newly improved certification criteria require applicants to submit reference documents in an e-document format to IOD and the Collective Action Coalition (Certification Committee) for them to consider, and check details of the company provided in the self-assessment form and attached reference document. In addition, the Certification Committee may also visit the company that is going through the certification process if necessary and request
the Chairman of Audit Committee and executives to ensure that the company implements the anti-corruption policy. The Certification Committee consists of representatives of the Federation of Accounting Professions, the Association of Internal Auditors and certified companies and experts in business law. IOD is serving as the board secretary. Companies on the list to be certified need to submit a certification form within 18 months from the date they declare their intention to join the anti-corruption coalition. Otherwise, they will be removed from the list. More information of the process is available at www.thai-cac.com Also, during the months of July and August, IOD will conduct its major biannual survey to ask the opinions of the businessmen about corruption and solutions to the problem through collective action. We kindly request business leaders from all organization to participate in the survey and give useful information, which will contribute to the efforts to solve the corruption problem systematically. The questionnaire will be available online or sent to you by post. If you are interested in participating in the survey, please contact an IOD official for an update. IOD has improved its training course entitled “Anti-Corruption: The Practical Guide (ACPG) “in 2015 to better meet the requirements of the participants. The next course will be held during the period July-November. If you are interested in attending the course, please contact Mr. Nithidol Pattanatrakulsook, 02-955-1155 ext 400 to find out more information. The application form can be downloaded from www.thai-iod.com or www.thai-cac.com 789
Boardroom | 45
Anti-Corruption in Practice
ดิ เอราวัณ กรุ๊ป :
ทำาธุรกิจอย่างมั่นใจ
ด้วยการวางกลไกป้องกันทุจริต
ใน Boardroom ฉบับนี้ เราได้รับเกียรติจาก คุณกมลวรรณ วิปุลากร กรรมการผู้จัดการใหญ่ บมจ. ดิ เอราวัณ กรุ๊ป ซึ่งเป็นธุรกิจโรงแรมชั้นแนวหน้าของไทย มาร่วมสนทนาเพื่อแบ่งปันประสบการณ์ในการ เข้ามาร่วมเป็นสมาชิกทีผ่ า่ นการรับรองของแนวร่วมปฏิบตั ขิ องภาคเอกชนไทยในการต่อต้านทุจริต (CAC) พร้อมทั้งให้คำาแนะนำาที่เป็นประโยชน์สำาหรับบริษัทที่กำาลังพิจารณาจะเข้ามาเป็นสมาชิก CAC หรือบริษัท ที่เข้ามาเป็นสมาชิกแล้วและกำาลังพยายามดำาเนินการเพื่อให้ผ่านการรับรองจากคณะกรรมการ CAC หลังจากที่บริษัทเข้าร่วมลงนามประกาศเจตนารมณ์เข้าเป็นแนวร่วมปฏิบัติในปี 2555 แล้วดิ เอราวัณ กรุ๊ป ก็ได้ดำาเนินการครบถ้วนตามเกณฑ์ที่ CAC กำาหนดภายในปีถัดไปและได้รับการรับรองจากคณะ กรรมการ CAC ในปี 2556 คุณกมลวรรณ เล่าว่าการเข้าร่วมโครงการ CAC ถือเป็นการประกาศเจตนารมณ์ และแสดงให้เห็น ถึงความมุ่งมั่นของ ดิ เอราวัณ ที่จะช่วยร่วมผลักดันให้การต่อต้านการทุจริตเกิดขึ้นจริงอย่างเป็นรูปธรรม ซึ่งในปี 2557 บริษัทฯได้รับการรับรองว่า “เป็นบริษัทที่มีกระบวนการในการต่อต้านการคอร์รัปชั่นที่ดี โดยเป็นบริษัทจดทะเบียนที่ได้รับการประเมินสูงสุดในระดับ 4 (Certified) ด้านการป้องกันการมีส่วน เกี่ยวข้องกับการคอร์รัปชั่น (Anti-Corruption Progress Indicator)” ที่ประเมินโดยสถาบันไทยพัฒน์ ร่วม กับสำานักงานคณะกรรมการกำากับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) นอกจากนี ้ ในปี 2558 บริษทั ฯ ยังได้รบั รางวัล “ESG 100 Certificate” จากสถาบันไทยพัฒน์ ในฐานะ เป็น 1 ใน 100 บริษทั จดทะเบียนทีม่ คี วามโดดเด่นในการดำาเนินธุรกิจด้านสิง่ แวดล้อม สังคม และธรรมาภิบาล (Environmental, Social and Governance: ESG) จากการคัดเลือกบริษัทหลักทรัพย์จดทะเบียนใน ตลาดหลักทรัพย์แห่งประเทศไทยทั้งหมดอีกด้วย การเข้าร่วมโครงการ CAC นอกจากจะทำาให้บริษัทได้รับการยอมรับจากสถาบันต่างๆ ดังกล่าว มาแล้ว คุณกมลวรรณ บอกว่ายังช่วยสร้างความมั่นใจให้กับผู้ถือหุ้น และสร้างความภาคภูมิใจให้กับ พนักงานในการที่บริษัทฯ เป็นผู้ประกอบการที่ดำาเนินธุรกิจอย่างโปร่งใส ยึดมั่นในจริยธรรมการดำาเนิน ธุรกิจและยังช่วยให้ผู้มีส่วนได้เสียอื่นๆ ทั้งลูกค้า เจ้าหนี้ คู่ค้า คู่แข่งขัน รัฐ และชุมชนเกิดความมั่นใจ ในกระบวนการทำาธุรกิจของบริษัท โดยเฉพาะอย่างยิ่ง คู่ค้าทั้งรายใหญ่รายย่อย อย่างเช่น บริษัทรับเหมา งานก่อสร้างโรงแรม ไปจนถึงผู้ค้ารายย่อย ให้มีความเชื่อมั่นในการเข้าร่วมประมูลงาน ติดต่อธุรกิจ หรือ ร่วมทำาการค้ากับบริษัทด้วย คุณกมลวรรณ เปิดเผยถึงเทคนิคในการจัดทำาแบบประเมินตัวเองตามเกณฑ์ 71 ข้อ เพื่อให้ผ่านการ รับรองตามเกณฑ์ของ CAC ว่า ในส่วนของเกณฑ์ภาคบังคับ 51 ข้อนี้ บริษัทที่จะผ่านการรับรองจำาเป็น ต้องตอบว่า “ใช่” และต้องมีเอกสารข้อมูลประกอบ พร้อมทั้งมีการแจ้งข้อมูลให้กับทั้งพนักงาน และ บุคคลภายนอก เช่น ระเบียบปฏิบัติ คำาสั่ง คู่มือจริยธรรมธุรกิจ รายงานประจำาปี 56-1 หรือเผยแพร่ไว้ บนเว็ปไซต์ของบริษัทฯ เป็นต้น ส่วนเกณฑ์อีก 20 ข้อที่ไม่ได้อยู่ในภาคบังคับ นั้น บริษัทที่ยื่นขอการรับรองสามารถตอบเป็นอย่างอื่น ได้ถึง 5 ระดับ คือ ใช่ ไม่ใช่ ไม่จำาเป็น ไม่ชัดเจน กำาลังวางแผน ทั้งนี้ ขึ้นอยู่กับการประเมินความเสี่ยง ของบริษัทเอง ว่าเรื่องนั้นๆ มีผลต่อกระบวนการในการปฏิบัติที่จะทำาให้บริษัทเข้าไปมีส่วนเกี่ยวข้องกับ การทุจริต หรือหากไม่มีเรื่องนั้นๆ จะทำาการการปฏิบัติไม่ชัดเจน เป็นต้น สำาหรับแนวทางในการจัดทำาแบบประเมินตนเองของ ดิ เอราวัณ กรุ๊ป นั้น ใช้วิธีในการกรอกข้อมูล ตามกระบวนการในการปฏิบตั จิ ริง และนำาข้อมูลตามทีม่ อี ยูจ่ ริงมาใช้เป็นหลักฐานในการอ้างอิง เพือ่ นำาเสนอ ต่อฝ่ายจัดการ และคณะกรรมการบริษทั เพือ่ พิจารณา โดยต้องมีการแยกให้ชดั เจนว่า เรือ่ งใดมีหลักปฏิบตั ิ อยูแ่ ล้ว และเรือ่ งใดทีย่ งั ไม่มหี ลักปฏิบตั ิ และคณะกรรมการเห็นสมควรให้กาำ หนดไว้เพือ่ ความชัดเจน เป็นต้น สำาหรับบริษัทที่เตรียมการหรืออยูระหว่างการจัดทำาแบบประเมินตนเองนั้น คุณกมลวรรณ แนะนำา ว่าควรมีการตรวจสอบว่าเรื่องใดที่มีหลักปฏิบัติอยู่แล้ว เรื่องใดที่กำาลังอยู่ระหว่างการวางแนวทาง และ เรื่องใดที่ต้องมีการดำาเนินการอย่างเร่งด่วน ส่วนการจัดทำานโยบายและแนวปฏิบัติก็ต้องมีการแสดงราย ละเอียดที่เกี่ยวข้องไว้ในเอกสารต่างๆ ทั้งภายใน และภายนอกองค์กรตามความเหมาะสม เพื่อให้เกิด การรับรู้ในวงกว้าง Boardroom | 46
The Erawan Group
The Erawan Group:
Anti-Corruption mechanism bolsters confidence คุณกมลวรรณ ได้ฝากข้อคิดทีน่ า่ สนใจไว้สาำ หรับ บริษัทที่ยังลังเลที่จะเข้าร่วมโครงการ CAC หรือ ยังลังเลที่จะเริ่มลงมือดำาเนินการเพื่อให้ผ่านการ รับรองว่า เรื่องนี้ถือเป็นวาระแห่งชาติ และเป็นสิ่ง ที่ ทุ ก ภาคส่ ว นควรตระหนั ก และให้ ค วามสำ า คั ญ ผู้นำาสูงสุดขององค์กร (ประธานเจ้าหน้าที่บริหาร/ กรรมการผูจ้ ดั การใหญ่) ควรเป็นผูน้ าำ ในการเข้าร่วม ลงนามประกาศเจตนารมณ์ เพื่อแสดงให้เห็นถึง ความมุ่งมั่นของบริษัท และเป็นแนวทางในการนำา เสนอคณะกรรมการเพื่อกำาหนดเป็นนโยบายเป็น ลายลักษณ์อักษร (สำาหรับในกรณีบริษัทยังไม่มี นโยบาย) ในตอนท้ า ย คุ ณ กมลวรรณ กล่ า วสรุ ป ว่าเนื่องจาก ดิ เอราวัณ กรุ๊ป ให้ความสำาคัญกับ การส่งเสริมวัฒนธรรมองค์กรที่ดี โดยเฉพาะเรื่อง “ความสำาเร็จต้องมาพร้อมด้วยคุณธรรม” (Success with Integrity) ด้วย ดังนั้นเท่าที่ผ่านมาจึงไม่มี ผลกระทบในแง่ ล บต่ อ องค์ ก รในการเข้ า ร่ ว มขั บ เคลื่อนกลไกต่อต้านการทุจริตให้เกิดผลอย่างเป็น รูปธรรม และผู้มีส่วนเกี่ยวข้องทุกฝ่ายต่างก็ให้การ สนับสนุนและไว้วางใจเป็นอย่างดี
Boardroom has a chance to speak with Ms. Kamonwan Wipulakorn, President of The Erawan Group PLC, one of Thailand’s leading hotel operators. She has shared her company’s experiences in becoming a certified member of Thailand’s Private Sector Collective Action Coalition against Corruption (CAC) and provided useful tips for companies mulling to join CAC or in the process of securing CAC certification. After signing up with CAC in 2012, The Erawan Group has completed all processes required by the CAC and been certified by the CAC Council for having put in place anti-corruption policies and high compliance standards in 2013. Ms. Kamonwan said joining the CAC clearly demonstrated The Erawan’s true intention and commitment to take part in fighting corruption. In 2014, the company has been certified for “being company that has good anti-corruption process whose Anti-Corruption Progress Indicator was rated at 4, the highest rating among listed companies so far, by Thai Pat Institute and the Securities and Exchange Commission. Moreover, the company has also been awarded “ESG 100 Certificate” in 2015 from Thai Pat Institute as 1 of 100 listed companies with outstanding performance in Environmental, Social and Governance (ESG). Besides gaining recognition from relevant institution mentioned above, Ms. Kamonwan said joining CAC also help creating confidence among shareholders and making employees proud of the company for running business with transparency and high ethical standard. It also enhance confidence among other stakeholders, including customers, creditors, suppliers, competitors, government, and community. Trading partners, in particular, such as construction contractors and small suppliers can trust in the company’s transparency and feel confidence in engaging business with The Erawan. Regarding techniques to complete the 71 criteria self-valuation form and get certification from the CAC, Ms. Kamonwan said there are 51 mandatory criteria that applicants need to tick ‘yes’ and backed by supporting documents as well as disclosure of such documents to employees
and external parties through regulations, orders, code of conduct, annual report, 56-1 form, or company’s website etc. For the remainder 20 criteria, applicants can choose to respond yes, no, not applicable, unclear, or in plan in accordance to its own risk assessment. Ms. Kamonwan said the Erawan Group prepared its self-evaluation form by filling information that are aligned with actual practices and use existing data as reference to propose to the management and the board for consideration. In this step, the company needed to distinguish issues that already had practical guidelines from issues with no existing guidelines. The board then decided if clear guidelines on selected issues need to be established. For companies that are preparing or in the process of completing the self-evaluation forms, Ms. Kamonwan suggested that they categorize issues with existing guidelines, issues that are under the process of setting guidelines, and issues that need urgent implementation. In the process of setting policy and guidelines, she noted that details must be laid out clearly in both internal and external documents as appropriate. To encourage companies that are still reluctan to join CAC or proceed with the certification process, Ms. Kamonwan said corruption is a national agenda that all parties need to recognize and set priority on. Organization leaders (CEO/President) should take the leading roles in singing up with CAC to show their commitments and pave ways for the board to establish written anti-corruption policy (for companies that have no such policy). As the Erawan Group has emphasized on the promotion of good corporate culture, especially in valuing “success with integrity”, Ms. Kamonwan said her company has not experienced any negative impact from joining the CAC and driving for the implementation of anti-corruption mechanism while, in contrary, gained warm support and trust from all relevant parties. 789
Boardroom | 47
Board Review
สัญญาต้องเป็นสัญญา Contract is a contract รายงานผลการสำารวจพฤติกรรม ผู้ ใช้อินเตอร์เน็ตในประเทศไทย ปี 2557 Thailand Internet User Profile 2014 Further to the article on cyber securities on the first page of Boardroom, Board Review would like to introduce two books, one of them will help you understand better electronic transactions and make you feel confident and secure when doing an electronic transfer and the other one explains the behavior of Internet users in Thailand.
Contract is a contract
ตั้งแต่เปิด Boardroom หน้าแรกขึ้นมา ก็เป็น เรื่อง Cyber Securities มาตลอดทั้งเล่ม หนังสือที่ แนะนำาใน Board Review นี้ขอแนะนำาหนังสือ 2 เล่ม ที่ช่วยให้เกิดความเข้าใจ มั่นใจ และสร้างความ ปลอดภั ย ในการทำ า ธุ ร กรรมผ่ า นอิ เ ล็ ก ทรอนิ ก ส์ และหนังสือที่ช่วยให้เข้าใจพฤติกรรมของกลุ่มผู้ใช้ อินเตอร์เน็ตของประเทศไทย
สัญญาต้องเป็นสัญญา หนังสือกฏหมายที่อ่านง่าย เข้าใจง่ายเล่มนี้ ได้หยิบยกประเด็นที่น่าสนใจเกี่ยวกับการทำาสัญญา พาณิชย์อเิ ล็กทรอนิกส์ โดยเริม่ อธิบายตัง้ แต่ตน้ เรือ่ ง คือการแสดงเจตนาทางอิเล็กทรอนิกส์ เวลาและ สถานที่ที่สัญญาฯ การคุ้มครองผู้บริโภคในการทำา สัญญาฯ และเรื่อยไปจนถึงขั้นตอนการดำาเนินการ ระงับข้อพิพาทที่เกิดขึ้น นอกจากนี้ยังมีกรณีศึกษา ที่ช่วยให้เข้าใจได้ง่ายขึ้น และรูปภาพประกอบที่ ช่วยลดทอนความเคร่งเครียดของเนื้อหา หนังสือ สัญญาต้องเป็นสัญญา เล่มนี้ เหมาะ สำาหรับผู้ประกอบการ ผู้บริโภค และประชาชน ทั่วไป เพราะจะช่วยให้ผู้อ่านมีความรู้ความเข้าใจ ที่ เ พิ่ ม ขึ้ น และช่ ว ยสร้ า งความเชื่ อ มั่ น ในการทำ า ธุรกรรมทางอิเล็กทรอนิกส์เพื่อเป็นการเตรียมตัว เข้าสู่ยุคเศรษฐกิจดิจิทัลแบบรู้เท่าทัน
รายงานผลการสำารวจพฤติกรรม ผู้ ใช้อินเตอร์เน็ตในประเทศไทย ปี 2557
This book on electronic transfers is easy to read and understand. It raises interesting issues about e-commerce contracts through discussions on electronic intention, time and places of contract, consumer protection of the contract and procedure of dispute settlement. It also contains case studies that make it easier to understand the content. This book is recommended for entrepreneurs, consumers and the general public. Readers of this book will gain knowledge and understanding about e-commerce and be more confident about conducting a transaction electronically. They will walk away better prepared for the age of digital economy.
รายงานผลการสำารวจพฤติกรรมผูใ้ ช้อนิ เตอร์เน็ต ในประเทศไทย ปี 2557 เป็นการเก็บรวบรวมข้อมูล ลักษณะของผู้ใช้และพฤติกรรมการใช้อินเตอร์เน็ต กว่า 16,000 ราย รายงานฉบับนี้สามารถช่วยให้ หน่วยงานทีเ่ กีย่ วเนือ่ งทางด้านเทคโนโลยีสารสนเทศ และการสื่อสาร ใช้ในการพัฒนาและวางแผนการ ตลาดเพื่อตอบโจทย์กลุ่มเป้าหมาย รวมถึงการคาด การณ์ความต้องการของลูกค้าได้ใกล้เคียงความ เป็นจริง หนังสือทั้ง 2 เล่มนี้ สามารถดาวน์โหลดได้ที่ https://www.etda.or.th/documents-fordownload.html
Thailand Internet User Profile 2014 Thailand Internet User Profile 2014 is a compilation of the characteristics and behaviors of more than 16,000 Internet users. This report provides useful information for organizations involved in information technology and communications, particularly for developing marketing plans to reach target groups and estimating the needs of customers. These two books can be downloaded at www.etda.or.th/documents-for-download.html or ordered for free at the Electronics Transaction หรือขอรับหนังสือได้ฟรีที่ สำานักงานพัฒนาธุรกรรม Development Agency.
ทางอิเล็กทรอนิกส์ (องค์การมหาชน) 789
Boardroom | 49
Driving Strategic Success with IT Governance (ITG) "The most successful business strategies enabled by IT are those initiated, championed and directed by the board of directors and executives."
ครั� งแรกกับหลักสูตรด้ านการกํากับเทคโนโลยีสารสนเทศ 1 ตุลาคม 2558 นี� Contact us: Tel. 0-2955-1155 Fax. 0-2955-1156-57
Mr. Sittisak (214) Ms. Tanyaporn (207) sittisak@thai-iod.com tanyaporn@thai-iod.com
&
@USA
GlobalCompany Cyber Board Summit Visit
Board Activities
เมือ่ วันที ่ 10-17 เมษายนทีผ่ า่ นมา IOD ได้จดั International Trip เป็นครั้งแรกที่เมืองนิวยอร์ก และวอชิงตันดีซี ประเทศสหรัฐอเมริกา เพื่อให้ สมาชิก IOD ได้มีโอกาสได้พบปะแลกเปลี่ยนความ คิดเห็นกับคณะกรรมการและผูบ้ ริหารของบริษทั ชัน้ นำา ในอเมริกา และองค์กรทีใ่ ห้ความสำาคัญเกีย่ วกับเรือ่ ง การกำากับดูแลกิจการที่ดีและการต่อต้านการทุจริต คอร์รปั ชัน่ รวมทัง้ ได้เข้าร่วมการประชุม Global Cyber Summit ซึง่ จัดโดย Global Network Institute of Directors (GNDI) ซึ่งมี IOD จาก 14 ประเทศ เป็นสมาชิก ประเทศไทยได้เข้าร่วมเป็นสมาชิกเมื่อ ปี 2557 และต่อจากการดูงานคณะผูเ้ ข้าร่วมได้เข้า ร่วมการประชุม Global Cyber Summit ทางคณะฯ ได้เข้าร่วมประชุม Board Agenda Cyber ซึง่ จัด โดย Greater Washington Board of Trade ร่วมกับ National Association of Corporate Directors (NACC) การประชุมดังกล่าวเน้นเรื่องบทบาทของ คณะกรรมการในการกำากับดูแลเรือ่ งความปลอดภัย ด้านไซเบอร์ การเดินทางมีผเู้ ข้าร่วม 17 ท่านซึง่ เป็นสมาชิก IOD ผูบ้ ริหาร IOD ตัวแทนจากหน่วยงานกำากับดูแล ได้แก่ ธนาคารแห่งประเทศไทย สำานักงานคณะกรรมการ กำากับและส่งเสริมการประกอบธุรกิจประกันภัย และ สำานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การ มหาชน) นอกจากนั้นได้รับเกียรติจากผู้บริหารของ กรมไปรษณียแ์ ละโทรคมนาคม กระทรวงเทคโนโลยี สารสนเทศและการสือ่ สาร (ประเทศพม่า) เข้าร่วมด้วย จากการเข้าร่วมพบว่าในประเทศสหรัฐอเมริกา คณะกรรมการให้ความสำาคัญกับเรือ่ งการกำากับดูแล กิจการทีด่ ี เช่น บริษทั ซิตก้ี รุป๊ จำากัด มีการจัดโครงสร้าง คณะกรรมการอย่างเหมาะสม องค์ประกอบของ คณะกรรมการต้องมีความเป็นอิสระ และมีการจัดทำา แนวปฏิบัติเกี่ยวกับการกำากับดูแลกิจการที่ดีและ
ทบทวนอย่างน้อยปีละ 1 ครั้ง และปรับปรุงเมื่อมี ความจำาเป็น ความท้าทายที่ซิตี้กรุ๊ปมองเกี่ยวกับ เรื่องการกำากับดูแลกิจการที่ดี ได้แก่ 1. การทำาหน้าทีข่ องกรรมการทีม่ บี ทบาทมากขึน้ และให้ความเป็นอิสระ Greater director and advisor independence 2. โครงสร้างของคณะกรรมการทีม่ คี วามหลากหลาย Better board composition and diversity 3. การกำากับดูแลเรือ่ งความเสีย่ ง Risk governance 4. การกำากับดูแลเรือ่ งค่าตอบแทน Compensation governance 5. ความรับผิดชอบของผู้ถือหุ้นที่มีมากขึ้น Greater shareholder accountability 6. ความสนใจเรื่องกลยุทธ์และการสร้างมูลค่า A focus on strategy and value creation focus 7. การกำากับดูแลเรื่องเทคโนโลยี Information technology governance 8. การตรวจสอบการทำางานของคณะกรรมการ Board performance audit 9. การกำากับดูแลเรื่องวัฒนธรรม Culture governance 10. ความเป็นพลวัตรในห้องประชุมคณะกรรมการ Boardroom dynamics ที่ AIG เห็นว่าเรื่องการกำากับดูแลกิจการที่ดี ที่เป็นประเด็นที่น่าสนใจตอนนี้คือการเคลื่อนไหว ของผู้ถือหุ้น (Shareholder Activist) ที่ติดตาม การทำางานของคณะกรรมการ และเรื่องของการ กำากับดูแลความปลอดภัยด้านไซเบอร์ ที่ AIG มี application ชื่อ AIG CybeEdge App ซึ่งมีอยู่ ใน AppStore และ Google Play และมีการบริการ ประกันเกี่ยวกับเรื่องความปลอดภัยด้านไซเบอร์ Boardroom | 51
อย่างไรก็ตามจากการบรรยายโดย Ms. Lisa J Sotto, Partner and Chair of Global Privacy and Cybersecurity Practice บริษทั ฮันตันแอนด์ วิลเลีย่ ม จำากัด เล่าให้ฟงั ว่าปัจจุบนั ในสหรัฐอเมริกาและยุโรป มีกฏหมายทีป่ กป้องความเป็นส่วนตัวแล้ว แต่ประเทศ ส่วนใหญ่ในเอเชียยังไม่ อย่างไรก็ดใี นประเทศสหรัฐ อเมริกายังต้องพัฒนาเนือ่ งจากนิยามทีแ่ ตกต่างกันของ แต่ละหน่วยงาน และต้องบูรณาการกับประเทศอืน่ ๆ ทีก่ ฎหมายแตกต่างกัน เมือ่ เก็บข้อมูลไว้นอกประเทศ ในเรือ่ งการกำากับดูแลกิจการทีด่ ี หน่วยงาน IOD ประเทศสหรัฐอเมริกา ทีช่ อ่ื ว่า National Association of Corporate Directors (NACC) มีความคิดเห็น เรื่องการทำางานของคณะกรรมการที่จะสร้างมูลค่า ให้กับองค์กรว่าคณะกรรมการควรมีส่วนร่วมในการ ดำาเนินงานขององค์กรในระดับหนึ่งเพื่อสามารถให้ ทิศทางในการแก้ไขปัญหาได้ คณะกรรมการต้องเป็น ผูน้ าำ มากกว่าทำาหน้าทีใ่ นการกำากับดูแลให้เป็นไปตาม กฎระเบียบ (Compliance) และคณะกรรมการจะ ต้องเป็นคนที่เรียนรู้ไม่หยุดนิ่งซึ่งอนาคตอาจเห็น คณะกรรมการที่มีอายุน้อยลงมากขึ้น การหารือกับองค์กรที่สนับสนุนโครงการแนว ร่วมปฏิบัติภาคเอกชนไทยในการต่อต้านการทุจริต ในประเทศไทยคือ Center of International Private Enterprise (CIPE) เห็นว่าการสร้างให้เกิดวัฒนธรรม ที่ต่อต้านการคอร์รัปชั่นในองค์กรนั้นจะต้องมีแนว ปฏิบัติที่นำาไปใช้งานได้จริง ไม่ใช่แค่นโยบายที่แยก ออกมาโดยไม่ได้เป็นส่วนหนึ่งของการดำาเนินธุรกิจ ซึ่งจะต้องสื่อสารให้กับผู้มีส่วนได้เสียได้รับทราบ โดยคณะกรรมการเป็ น ผู้ ที่ ริ เ ริ่ ม ในการให้ ค วาม สำาคัญ สำาหรับการจัด Intertional Trip ครั้งแรกนี้ ประสบความสำาเร็จเป็นอย่างดี ซึ่ง IOD วางแผน ที่จะจัดเป็นประจำาทุกปี เพื่อให้สมาชิกได้มีโอกาส เรียนรูก้ ารทำางานในแง่มมุ ทีห่ ลากหลายยิง่ ขึน้ เพือ่ สร้าง มูลค่าให้กบั การดำาเนินงานขององค์กร (สำาหรับบทสรุป การประชุม Global Cyber Summit และ Board Agenda Cyber ท่านสามารถอ่านได้ในคอลัมน์ Cover Story) รายชื่อคณะผู้ร่วมเดินทาง ดร. บัณฑิต นิจถาวร กรรมการผู้อำานวยการ สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย นายกุลเวช เจนวัฒนวิทย์ ที่ปรึกษาโครงการ แนวร่วมปฏิบัติภาคเอกชนไทยในการต่อต้าน การทุจริต ดร. นฤมล สิงหเสนี ผู้ช่วยผู้จัดกำารใหญ่อาวุโส บริษัท แม็คกรุ๊ป จำากัด (มหาชน) นายเมธา สุวรรณสาร กรรมการอิสระ บริษัท ศรีอยุธยา แคปปิตอล จำากัด (มหาชน)
Boardroom | 52
นายระเฑียร ศรีมงคล ประธานบริหาร บริษัท บัตรกรุงไทย จำากัด (มหาชน) พล.ต.ต. ดร.สุพิศาล ภักดีนฤนาถ ประธานกรรมการ บริษัท คอมมิวนิเคชั่น แอนด์ ซิสเต็มส์ โซลูชั่น จำากัด (มหำาชน) นายสาธร โตโพธิ์ไทย ผู้ช่วยผู้ว่าการ ธนาคารแห่งประเทศไทย นายชูฉัตร ประมูลผล ผู้ช่วยเลขาธิการ สายบริหาร สำานักงานคณะกรรมการกำากับและส่งเสริม การประกอบธุรกิจประกันภัย นางจีราวรรณ บุญเพิ่ม ประธานคณะกรรมการบริหาร สำานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) นายชัยชนะ มิตรพันธ์ รองผู้อำานวยการ สำานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) นางสาวนันทนา พจนานันทกุล ผู้ช่วยผู้อำานวยการ สำานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) นายธงชัย แสงสิริ รองผู้อำานวยการ สำานักความมั่นคงปลอดภัย สำานักงานพัฒนา ธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
นายลือชา การณ์เมือง กรรมการ บริษัท พีทีที เอ็นเนอร์ยี่ รีซอร์สเซส จำากัด Mr. Than Htun Aung กรรมการผู้จัดการ กรมไปรษณีย์และโทรคมนาคม กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ประเทศพม่า) Mr. Win Min Aung ผู้ช่วยกรรมการผุ้จัดกสร กรมไปรษณีย์และโทรคมนาคม กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ประเทศพม่า) นายสราวุฒิ ไกรลาศศิริ Senior Partner บริษัท ฮันตัน แอนด์ วิลเลี่ยมส์ (ประเทศไทย) จำากัด นางสาวศิริพร วาณิชยานนท์ ผู้ช่วยรองกรรมการผู้อำานวยการ สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย องค์กรที่ ได้พบปะเพื่อแลกเปลี่ยน ความคิดเห็นได้แก่ บริษัท ซิตี้กรุ๊ป จำากัด บริษทั อเมริกนั อินเตอร์เนชัน่ แนล กรุป๊ (จำากัด) - AIG บริษัท วิลเลี่ยม แอนด์ ฮันตัน (จำากัด) National Association of Corporate Directors (NACC) Center of International Private Enterprise (CIPE)
GlobalCompany CyberBoard Summit Visit
& @USA
From April 10 to 17, a team of Thai executives and IOD staff members embarked on the first the IOD-organized international trip to the United States, to New York and Washington D.C. The purpose of the trip was to expose the participants to the U.S. perspective on good corporate governance and anti-corruption through discussions with leading company executives and relevant organizations. During the visit, the IOD team attended the Global Conference of Cyberspace, which was organized by Global Network Institute of Directors (GNDI). Participants at the conference were from 14 countries. Thailand became a member of GNDI in 2014, before attending the Global Cyber Summit. The IOD team also attended the Board Agenda Cyber. The conference, which was jointly organized by the Greater Washington Board of Trade and National Association of Corporate Directors, focused on the role of the Board of Directors in cyber security governance. The IOD teams consisted of 17 people, which in addition to IOD staff members included executives from regulatory organizations, such as the Bank of Thailand, the Office of Insurance Commission (OIC) and the Electronic Transactions Development Agency (public organization), as well as executives from the Post and Telecommunication Department and the Ministry of Information Technology and Communication of Myanmar. The participants learned in discussions with executives of Citigroup, Inc. that the United States was highly focused on good corporate governance. As an example, executives from Citigroup Inc. Ltd explained that the company’s Board of Directors was a proper structure, with a sufficient number of independent members and that it had a guideline for good corporate governance, which was reviewed at least once a year and enhanced, if necessary. The executives cited the following as challenges in achieving good corporate governance: 1. Greater director and advisor independence 2. Better board composition and diversity 3. Risk governance 4. Compensation governance 5. Greater shareholder accountability 6. A focus on strategy and value creation focus 7. Information technology governance
8. Board performance audit 9. Culture governance 10. Boardroom dynamics The IOD team also engaged in a discussion with executives from AIG on interesting issues pertaining to good corporate governance. The AIG executives stated that a trend among shareholder activists was to monitor the work of the Board of Directors and cyber security governance. To accommodate this, AIG if offering an application for cyber security named “AIG Cyberedge App”, which is available in AppStore and Google Play. In another corporate visit, the team was informed by Ms. Lisa J Sotto, Partner and Chair of Global Privacy and Cybersecurity Practice of Hunton & Williams Co., Ltd., that the United States and Europe already had laws to protect privacy, while most countries in Asia did not. She added, however, that the United States still had to deal further with that issue because each organization had interpreted the laws differently. In addition, it also needed to cooperate with other countries that had different laws when data were stored aboard. Regarding good corporate governance, a discussion with the National Association of Corporate Directors centered on the function of the Board of Directors. It was stated that the Board should get involved in the operation of their organization at a certain level in order to point the company in the right direction towards solving a problem. The Board needed to be more than just a leader in regulation compliance. It had to learn new things all the time. Also in in the future, we should expect to see more younger directors. In a discussion with Center of International Private Enterprise (CIPE), a sponsor of Thai Private Sector Collective Action Coalition Against Corruption (CAC), it was stressed that a practical guideline was needed to create an anti-corruption culture in an organization, as a stand-alone policy would not be suffice. Also, the anti-corruption culture needed to be communicated to the stakeholders initially by the directors. The first IOD trip to the United States was a great success. As a result, it plans to organize this trip annually with the intent to expose IOD members to diverse perspectives that will ultimately create value for their organizations. Summaries of Global Cyber Summit and Board Agenda Cyber are available in cover story.
Mr. Rathian Srimongkol, Chief Executive Officer of Krungthai Card Plc. Pol. Maj. Gen. Dr. Supisarn Bhakdinarinath, Chairman of the Board of Communication and Systems Solution Plc. Mr. Satorn Topothai, Assistant Governor of the Bank of Thailand Mr. Chuchatr Pramoolpol, Asistant Secretary Deputy of the Office of Insurance Commission (OIC) Ms. Jirawan Boonperm, Chairman of the Electronic Transactions Development Agency (Public Organization) Mr. Chaichana Mitrpant, Vice Director of the Electronic Transactions Development Agency (Public Organization) Ms. Nuntana Podjananuntakul, Assistant Director of the Electronic Transactions Development Agency (Public Organization) Mr. Thongchai Saengsiri, Vice Director of Security Department, the Electronic Transactions Development Agency (Public Organization) Mr. Luecha Karnmuang, Director of PTT Energy Resources Co., Ltd. Mr. Than Htun Aung, Managing Director of Post and Telecommunication Department, Ministry of Information Technology and Communication (Myanmar) Mr. Win Min Aung, Assistant Managing Director of Post and Telecommunication Department, Ministry of Information Technology and Communication (Myanmar) Mr. Saravut Krailadsiri, Senior Partner of Hunton & Williams Co., Ltd. (Thailand) Ms. Siriporn Vanijyananda, Assistant Vice President of Thai Institute of Directors Association
The organizations shared opinions City Group Co., Ltd. American International Group Co., Ltd (AIG) Hunton & Williams Co., Ltd. National Association of Corporate Directors (NACC) Center of International Private Enterprise (CIPE)
Names of the trip attendants Dr. Bandid Nijathaworn, President&CEO of Thai Institute of Directors Association Mr. Kulavech Janvatanavit, Principal Project Advisor of Thailand’s Private Sector Collective Action Coalition Against Corruption (CAC) Dr. Narumol Sinhaseni, Deputy Managing Director of Finance and Business Support Department of Mc Group Mr. Metha Suvanasarn, Independent Director of Sri Ayuthaya Capital Plc. Boardroom | 53
Chartered Director Meeting เป็นประจำาทุกจันทร์สิ้นเดือนที่เหล่ากรรมการอาชีพในทำาเนียบ IOD จะนัดพบปะพูดคุย พร้อมอัพเดทความรู้ใหม่ๆ จากผู้เชี่ยวชาญจากหลายสาขาอาชีพ โดยในวันที่ 25 พฤษภาคมที่ผ่านมาได้มีวิทยากรพิเศษ Mr. Bert Van Walbeek, Managing Director บริษัท Winning Edge Consulting ได้มาบรรยายใน หัวข้อ Risk Prevention and Crisis & Recovery Management ซึ่งให้ประเด็นและแนวทางการป้องกันความเสี่ยงได้อย่างน่าสนใจ Every last Monday of each month, the IOD Charted Directors hold a meeting to disseminate knowledge from experts. On 25 May, Mr. Bert Van Walbeek, Managing Director of Winning Edge Consulting, gave a lecture on the topic “Risk prevention and crisis & recovery management”.
Vietnam Visit เมือ่ วันที ่ 19 พฤษภาคมทีผ่ า่ นมา IOD ได้มโี อกาสต้อนรับคณะผูบ้ ริหารจากตลาดหลักทรัพย์ และสำานักงานคณะกรรมการกำากับหลักทรัยพ์และตลาดหลักทรัพย์ ประเทศเวียดนาม อาทิ Mr. Nguyen Vu Quang TRUNG – Deputy CEO Hanoi Stock Exchange Vu Phi HO CEO Bac Kan Mineral Joint Stock Corporation ในการเยี่ยมเยียนและศึกษาดูงานด้านการ ส่งเสริมการกำากับดูแลกิจการที่ดี รวมถึงหลักสูตรอบรมของ IOD โดยมี ดร. บัณฑิต นิจถาวร กรรมการผู้อำานวยการ IOD และคณะผู้บริหารให้การต้อนรับ On 19 May, IOD welcomed executives from 11 listed companies on the Hanoi Stock Exchange in Vietnam led by Deputy CEO Nguyen Vu Quang Trung. During the visit, the group learned about promoting good corporate governance and the training courses of IOD. They were welcomed warmly by Dr. Bandid Nijathaworn, and other IOD executives. 789 Boardroom | 54
เตรียมพบกับ
DCP Alumni Party เร็วๆ นี้
Board Success
Award Presentation DCP 199-203 ขอแสดงความยินดีกับผู้ผ่านการอบรมหลักสูตร Director Certification Program - DPC รุน่ 199-203 และผูผ้ า่ น Diploma Examination รุน่ 43 ไปเมือ่ ปลายเดือนพฤษภาคมทีผ่ า่ นมา งานค่าำ คืนนัน้ อบอวลด้วยความสนุกสนาน และเสียงหัวเราะตลอดงานจากกิจกรรมที่ IOD จัดเตียมไว้ ทั้งเกมส์สนุกๆ รูปภาพเก็บตกและวีดีโอประมวลภาพระหว่างการอบรม แต่ที่เรียกความคึกคักที่สุดคงหนีไม่พ้นการถ่าย ภาพแสดงความยินดี ที่เฮฮากันลั่นสนั่นฟลอร์ นอกจากนี้ภายในงานผู้ผ่านการอบรมแต่ละรุ่นก็ผลัดกันขึ้น เวทีขับขานบทเพลงที่ถนัด มีทั้งแสดงเดี่ยว และแสดงทั้งรุ่น Boardroom ได้รวบรวมภาพและบรรยากาศ มาให้ได้ชมกัน Boardroom would like to congratulate the participants who passed the Director Certification Program – DPC, 199th -203rd Batches and Diploma Examination, 43rd batch in May. The celebration party night was very lively, full of fun activities organized by IOD, including games, pictures and videos from the training. The highlight of the evening was the group pictures. Also, the participants did a lot singing, both solo and in group. Photos of the party are available in this issue.
Boardroom | 56
Director Diploma Examination 43/2015 1 Mr.Ambrose KS Chan 2 Mr.Douglas H.de Weese 3 Mr.Gideon Moolenburgh 4 Ms.Malini Chawanid 5 Mr.Norpong Suksanguan Director Certification Program 199/2015 1 นายกิติพร ฤทธิศิลป์ 2 นายกนกกิต นวสิริ 3 น.ส.กนกพร อังสุนทรสฤษดิ์ 4 นางกานต์สุดา แสนสุทธิ์ 5 นายกมล บริสุทธนะกุล 6 นายขันธ์ชัย วิจักขณะ 7 นายคุณา เทวอักษร 8 น.ส.จิตติมา มานะไชยรักษ์ 9 นายชัยชนะ มิตรพันธ์ 10 นายดำารงชัย วิภาวัฒนกุล 11 นายทรงศักดิ์ จันทร์รัตนปรีดา 12 นายธีรชัย อรุณเรืองศิริเลิศ 13 นายธีรวุทธิ์ ปางวิรุฬห์รักข์ 14 นางนุชรินทร์ โกวิทคณิต 15 นางนันทรัตน์ สุรักขกะ 16 นางนริดา เศรษฐบุตร 17 นายบุญชัย เลิศถาวรธรรม 18 นางประวีรัตน์ เทวอักษร 19 นายประสิทธิ์ พัวภัทรกุล 20 นายพิพัฒน์ ธัญธเนส 21 นางพรรณา ปัญจวีณิน 22 ดร.พรลภัส ณ ลำาพูน 23 นายภวิศ ง่วนบรรจง 24 ดร.วิน อุดมรัชตวนิชย์ 25 นางวิภาภรณ์ ชัยรัตน์ 26 น.ส.วิมลศรี จงอุดมสมบัติ 27 นายวิโรจน์ วชิรเดชกุล 28 ดร.สาธิต วิทยากร Boardroom | 57
29 30 31 32 33
นายสันติ จงคงคา นายเสริมศักดิ์ จารุมนัส น.ส.อุษณีย์ เลขวณิชกุล นายชรินทร์ สัจจญาณ นายสุรินทร์ ตนะศุภผล
Director Certification Program 200/2015 1 ดร.จตุพร สังขวรรณ 2 ร.ท.ดร.เจษฎา ศิวรักษ์ 3 น.ส.ชัชณี อนันต์วัฒนพงษ์ 4 นายชุณหพงศ์ คงจินดา 5 นายชูพงษ์ สุรชุติกาล 6 นายณัฐพงศ์ ถาวรรัตน์ 7 นายนิทัศน์ ใจซื่อ 8 พ.อ.นิธิ จึงเจริญ 9 นายนพดล สันติภากรณ์ 10 นางพิมพ์ใจ ไชยเมืองราช 11 นายพิศิษฐ์ เสรีวิวัฒนา 12 นายมณฑล จุนชยะ 13 นายมนสรร ธีระนุสรณ์กิจ 14 นางรัศมี วิศทเวทย์ 15 นายเลิศศักดิ์ บุญส่งทรัพย์ 16 นายวิจิตร คำาภูมี 17 นายวรัญ หาญวงศ์ฤทธิ์ 18 นายวีรพันธ์ ณ ระนอง 19 นายวรรณวิทย์ อาขุบุตร 20 น.ส.วรวรินทร์ แสนพูลทรัพย์ 21 นางวสุกานต์ วิศาลสวัสดิ์ 22 น.ส.แสงแข หาญวนิชย์ 23 นายสมชาย สกุลวิจิตร์สินธุ 24 ดร.สมฤดี ศรีจรรยา 25 นายสุรเดช เกียรติธนากร 26 น.ส.สวาสดิ์วดี อนุมานราชธน 27 นายอาจอง ศรีหิรัญ 28 นายอนุทิน ช่วยเพ็ญ 29 นายอมรเทพ จิรัฐิติเจริญ 30 นางอรทัย สืบทรัพย์อนันต์ Director Certification Program 201/2015 1 นายกำาพล ศรธนะรัตน์ 2 นายชนินทร์ ทินนโชติ 3 นายฐนวัฒน์ จันทร์สุววรณ 4 นายณรงค์ชัย พิสุทธิ์ปัญญา 5 นายดุษฎี มีชัย 6 น.ส.ทมยันตี คงพูลศิลป์ Boardroom | 58
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
น.อ.ธนากร พีระพันธุ์ นายธีระ อัจฉริยศรีพงศ์ ดร.นปกรณ์ กลิ่นทอง นายนวพล ดิษเสถียร นายบุญชัย ชาญเชี่ยวชิงชัย ผศ.ดร.ปรีชาพร สุวัฒโนดม นายพิเทพ จันทรเสรีกุล พ.อ.พีรวัส พรหมกลัดพะเนาว์ น.ส.ละเอียด โควาวิสารัช ดร.ลักษมี ปลั่งแสงมาศ นายวิชิต อาวัชนากร รศ.ดร.วันชัย รัตนวงษ์ รศ.นพ.วิรัตน์ วงศ์แสงนาค น.ส.วลัยณัฐ ตรีวิศวเวทย์ นายสงวน แสงวงศ์กิจ นายสุธี จุฬานุตรกุล พล.ต.อ.สุนทร ซ้ายขวัญ นายสมิธ จริงเข้าใจ นางสายสุณีย์ คูหากาญจน์ น.ส.สุรัสวดี ซื่อวาจา นายอดิศร โฟดา นายอดิศร แก้วบูชา นายอำานวย ทองสถิตย์
Director Certification Program 202/2015 1 นายกิจจา อุไรรงค์ 2 ดร.กิตติ เจริญพรพานิชกุล 3 นางกันยา จิตรไพบูลย์ 4 นายกำาธร คุณานพรัตน์ 5 นางจิราภรณ์ ยินชัย 6 นางจรรยา ชูพุทธิพงศ์ 7 นายจุลวรรณฑิตย์ จิตรกุล 8 นางฉันทรา พูนศิริ 9 น.ส.ชุติมา เจนธัญญารักษ์ 10 น.ส.ดวงกมล พิศาล 11 น.ส.ดวงกมล ใสสี 12 นายเทียร เมฆานนท์ชัย 13 นายทวิช พิมพาแป้น 14 น.ต.ธนเดช มานะธัญญา 15 ดร.ปิติ ตัณฑเกษม 16 นายพัตน์พงษ์ วีระศิลป์ 17 ดร.พรสวาท วัฒนกูล 18 นางพรรณนิภา ศรีสุวรนันท์
19 20 21 22 23 24 25 26 27 28
นายไพโรจน์ วัฒนวโรดม นายพิสุทธิ์ สันติโชค นายมาโนช ปฐมวรกุล น.ส.วงศ์สุดา ศุภาพร นางวนัสนันท์ บุญญะเลิศลักษณ์ นายวิศิษฎ์ คูทองกุล นายวสันต์ สว่างศรีงาม นายศักดิ์อนันต์ วิจิตรธนารักษ์ นายสมเกียรติ ตันกิตติวัฒน์ ศ.ดร.สมศักดิ์ ไชยะภินันท์
Director Certification Program 203/2015 1 Ms.Chachawarin Choatchutrakul 2 Mr.Chhun Sambath 3 Mr.Christopher Manley 4 Mr.Francis Foo 5 Mr.Franklin William Timmons, Jr. 6 Mr.Hugues de Champs 7 Mr.John Stewart Anderson 8 Mr.K Ganesan Kolandevelu 9 Mr.Ketinart Sumrit 10 Mr.Kosintr Puongsophol 11 Mr.Luong Hai Sinh 12 Mr.Nakkil Sung 13 Mr.Ouk Sarat 14 Ms.Photjanee Luanphaisarnnont 15 Mrs.Somruedee Rungsiyaphornratana 16 Mr.Soulysak Thamnuvong 17 Mr.Stephen Woodruff Fordham 18 Mr.Thana Atiwattananont 19 Ms.Tin Zar Zar Lynn 20 Ms.Tracy Khua 21 Ms.Tran Kim Dung 22 Mr.Tran Van Dung 23 Mrs.Vinekham Lounthone
Welcome New Member Individual Member |
ชื่อ Mr. David Cole Mr. Megumu Motohisa Mr. Noah Shepherd นาย กานต์ อรรถธรรมสุนธร นาง เกสรา ลิ้มมีโชคชัย นาย เกียรติศักดิ์ เจนวิภากุล นาง คณพร ฮัทชิสัน นางสาว คิม จงสถิตย์วัฒนา นาย จักรพันธุ์ ประจวบเหมาะ นาง จิราพร คูสุวรรณ นางสาว เจน จงสถิตย์วัฒนา นาง ชวินดา หาญรัตนกุล นาย ชัยรัตน์ ธรรมพีร นาย ชาติชาย ชุติมา นาย ณัฐพงศ์ พรประยุทธ นางสาว ดารณี พรรณกลิ่น นาย ทินวรรธน์ มหธราดล นาย ธนะ รัตนสาร นาย ธรรมยศ ศรีช่วย นางสาว เนติรัด สังข์งาม นาย บุญมาก สมิทธิลีลา พันเอก บุญรอด ศรีสมบัติ นาย บุญเลิศ กมลชนกกุล นาย ปิยะ จิราภาพงศา นาย พงศ์พันธ์ คงกำาเหนิด นางสาว พัทยา สกลพันธุ์ นาย ไพศาล ภู่เจริญ นาย ยงยุทธ จันทรโรทัย นาง เยาวลักษณ์ ธรรมวิภาค นาง ระวีวรรณ วัธนานุกิจ นาย ลวรณ แสงสนิท นาย วรวิทย์ สีลภูสิทธิ์ นาง วลีรัตน์ เชื้อบุญชัย
Boardroom | 60
สมาชิกสามัญบุคคล ตำาแหน่ง
บริษทั
Executive Director ประธานเจ้าหน้าที่บริหาร กรรมการผู้จัดการ กรรมการบริหาร กรรมการ กรรมการผู้จัดการ ประธานกรรมการ กรรมการ กรรมการบริหาร กรรมการ กรรมการ
Chassis Brakes International (Thailand) Ltd. บริษัท หลักทรัพย์ เอสบีไอ ไทย ออนไลน์ จำากัด Stanley Works Co., Ltd. บริษัทหลักทรัพย์ แลนด์ แอนด์ เฮ้าส์ จำากัด (มหาชน) บริษัท เอนเนอร์ยี่ คอมเพล็กซ์ จำากัด บริษัทหลักทรัพย์ ไทยพาณิชย์ จำากัด บริษัท นู้ด เจ๊ จำากัด บริษัท นานมีบุ๊คส์ จำากัด บริษัท เจพี มอเตอร์เวิร์ค จำากัด (มหาชน) บริษัท อสมท. จำากัด (มหาชน) บริษัท นานมีบุ๊คส์ แอสเสทส์ จำากัด
กรรมการผู้จัดการและประธานเจ้าหน้าที่บริหาร
บริษัทหลักทรัพย์จัดการกองทุน กรุงไทย จำากัด (มหาชน)
กรรมการบริหาร กรรมการบริหาร กรรมการบริหาร กรรมการ กรรมการ กรรมการ กรรมการ กรรมการบริหาร กรรมการบริหาร กรรมการบริหาร หุ้นส่วน กรรมการ กรรมการตรวจสอบ ประธานเจ้าหน้าที่บริหาร ประธานกรรมการบริหาร กรรมการบรรษัทภิบาล กรรมการบริหาร กรรมการบริหาร กรรมการ กรรมการบริหาร กรรมการบริหาร
บริษัท พรีบิลท์ จำากัด (มหาชน) บริษัท สยามสติลซินดิเกต จำากัด (มหาชน) บริษัท พีทีที แทงค์ เทอร์มินัล จำากัด บริษัท มาสเตอร์ แอด จำากัด (มหาชน) บริษัท ศรีวิชัยเวชวิวัฒน์ จำากัด (มหาชน) บริษัท สยาม อลิเมนท์ แอดวานส์ จำากัด บริษัท ไทยออยล์ จำากัด (มหาชน) บริษัท เอ็นซีแอล อินเตอร์เนชั่นแนล โลจิสติกส์ จำากัด (มหาชน)
บริษัท กฟผ.อินเตอร์เนชั่นแนล จำากัด องค์การสุรา กรมสรรพสามิต บริษัท ไพร้ซวอเตอร์เฮาส์คูเปอร์ส เอบีเอเอส จำากัด บริษัท เทิร์นคีย์ คอมมูนิเคชั่น เซอร์วิส จำากัด บริษัท เอ็นซีแอล อินเตอร์เนชั่นแนล โลจิสติกส์ จำากัด (มหาชน)
บริษัท เจพี มอเตอร์เวิร์ค จำากัด (มหาชน) บริษัท นอร์ทโฮม จำากัด บริษัท ไทยออยล์ จำากัด (มหาชน) บริษัท ปิโตรเอเชีย (ประเทศไทย) จำากัด บริษัทหลักทรัพย์ แลนด์ แอนด์ เฮ้าส์ จำากัด (มหาชน) ธนาคารพัฒนาวิสาหกิจขนาดกลาง และขนาดย่อมแห่งประเทศไทย
บริษัท บิสซิเนสอะไลเม้นท์ จำากัด บริษัท ไฟร์วิคเตอร์ จำากัด (มหาชน)
Individual Member |
สมาชิกสามัญบุคคล
ชื่อ พลตรี สราวุธ กาพย์เดโช นาง สลักจิตต์ ปรีดาภรณ์ นาย สหรัฐ บุญโพธิภักดี นาย สิทธิชัย กฤชวิวรรธน์ นาง สุกัญญา เสรีโยธิน นางสาว สุทธิรัตน์ อยู่วิทยา นาย สุพจน์ นฤภัย นาย สุเมธ สุทธภักติ นาย สุรชัย เอี่อมละออ นาย สุรศักดื์ จำารัสการ นาย เสรี นนทสูติ
ตำาแหน่ง
บริษทั
กรรมการ
สำานักงานสลากกินแบ่งรัฐบาล กรรมการตรวจสอบและกรรมการอิสระ บริษัท ฮานา ไมโครอิเล็คโทรนิคส จำากัด (มหาชน) กรรมการ บริษัท ผลิตไฟฟ้าราชบุรี จำากัด กรรมการ บริษัท ทิพยประกันภัย จำากัด (สปป.ลาว) กรรมการบริหาร บริษัท ปตท. (ฟิลิปปินส์) คอร์ปอเรชั่น จำากัด กรรมการ บริษัท ที.ซี.ฟาร์มาซูติคอล อุตสาหกรรม จำากัด กรรมการผู้จัดการ บริษัท เอเอสพีเอ็น เอ็นเตอร์ ไพรส์ จำากัด กรรมการบริหาร บริษัท กรีน โกรท จำากัด รองประธานกรรมการบริหาร บริษัท นอร์ทโฮม จำากัด กรรมการ บริษัท ทีฆทัศน์ จำากัด กรรมการตรวจสอบ บริษัท กรุงไทยกฎหมาย จำากัด
Boardroom | 61
Juristic Member |
สมาชิกสามัญนิตบิ คุ คล
บริษทั ธนาคารกสิกรไทย จำากัด (มหาชน) บริษัท อะมานะฮ์ ลิสซิ่ง จำากัด (มหาชน) บริษัท เคที เรสทัวรองท์ จำากัด
บริษัท ชัยพัฒนาขนส่งเชียงใหม่ จำากัด
บริษัท ชิลแมทช์ จำากัด (สำานักงานใหญ่)
บริษัท บางจากปิโตรเลียม จำากัด (มหาชน) บริษัท ผลิตไฟฟ้าราชบุรีโฮลดิ้ง จำากัด (มหาชน) บริษัท ฟิฟธ์ ดีเวลลอฟเมนท์ จำากัด
บริษัท ลีโอ โกลบอล โลจิสติกส์ จำากัด
บริษัท ศรีอยุธยา แคปปิตอล จำากัด (มหาชน) บริษัท อสมท จำากัด (มหาชน)
บริษัทหลักทรัพย์ ซีมิโก้ จำากัด (มหาชน)
Boardroom | 62
ชื่อ นาย วิบูลย์ คูสกุล พลตรี ณัฎฐิพงษ์ เผือกสกนธ์ นาย กมล อังคะวิชัย นาย ธนกรณ์ ยีรัญศิริ นาย พิสิต จึงประดิษฐภัณฑ์ นาย สมบัติ หงส์ ไพฑูรย์ นาย สุรชัย ชาญอนุเ ดช นางสาว อัญชลี ปูชิตภากรณื นาง กัลยาณี ทองคำาคูน นางสาว นงลักษณ์ ทองคำาคูน นาง ปรียา เวโรจน์ นาย สมชาย ทองคำาคูน นาย ธรรมนูญ ตรีเพ็ชร นาย วสันต์ นันทขว้าง นาง สิริมา เอี่ยมสกุลรัตน์ นาย วิศิษฎ์ วงศ์รวมลาภ นาย ประพนธ์ กิติจันทโรภาส นาย สมัคร เชาวภานันท์ นาย ธีรวัฒน์ พิพัฒน์ดิฐกุล นาย บุญชัย มหาทรัพย์สิริ นาย ประโยชน์ สุขศรีการ นาย เกตติวิทย์ สิทธิสุนทรวงศ์ นาย วิวัฒน์ ลิ้มศักดากุล นาย วิเศษ สิทธิสุนทรวงศ์ นางสาว ศรี ไพร เอกวิจิตร์ นาย สุรสิทธิ์ อัศวศักดิ์เสรี นาย เสนีย์ แดงวัง นาย วิโรจน์ เศรษฐปราโมทย์ นาย พิเศษ จียาศักดิ์ นาย ศิวะพร ชมสุวรรณ นาย สุวิทย์ นาคพีระยุทธ นาย ชาคริต สกุลกริช ผศ. พิมล ศรีวิกรม์ นาย สุเทพ วงศ์วรเศรษฐ
ตำาแหน่ง กรรมการ ประธานกรรมการ กรรมการอิสระ กรรมการอิสระ กรรมการอิสระ กรรมการ กรรมการ ประธานกรรมการ เลขานุการคณะกรรมการ รองกรรมการผู้จัดการใหญ่ รองกรรมการผู้จัดการใหญ่ กรรมการผู้จัดการใหญ่ กรรมการบริหาร กรรมการผู้จัดการ ประธานกรรมการบริหาร กรรมการ กรรมการ กรรมการ รองกรรมการผู้จัดการ กรรมการผู้จัดการ ประธานกรรมการบริษัท ประธานกรรมการบริหารและ กรรมการผู้จัดการใหญ่ กรรมการ กรรมการบริหาร กรรมการผู้ช่วยผู้จัดการใหญ่ กรรมการผู้ช่วยผู้จัดการใหญ่ กรรมการ กรรมการ กรรมการ กรรมการ กรรมการ กรรมการ กรรมการ ประธานกรรมการ
Associate Member |
ชื่อ
สมาชิกสมทบ ตำาแหน่ง
Mr. Chhun Sambath
Deputy Director General
Mr. Luong Hai Sinh Mr. Matthe van Dam Mr. Ouk Sarat Mr. Saravut Krailadsiri Mr. Soulysak Thamnuvong Mr. Than Htun Aung Ms. Tin Zar Zar Lynn
Deputy Director General
Ms. Tran Kim Dung Mrs. Vinekham Lounthone Mr. Win Min Aung นาย โกศล สมบัติศิริ นาย ธนพล ศรษฐสถาพร นาย ประภาส ทองคำาคูณ นางสาว พจนีย์ ล้วนไพศาลนนท์
Senior Executive Deputy Director General ผู้ช่วยกรรมการผู้จัดการ Business Unit Manager ที่ปรึกษากฎหมาย รองกรรมการผู้จัดการใหญ่ ผู้อำานวยการฝ่ายบริหาร ความเสี่ยง นักวิเคราะห์ ศูนย์ลงทุน ผู้ช่วยเลขานุการบริษัท
นางสาว พิมพ์พิศา ประนอมมิตร์ นางสาว มณฑณา ใจอุ่น นาย ยงสิทธิ์ โฆษวิฑิตกุล นาย รุจ วรรณรัตน์ นาย วราวุฒิ ไวสาลี นาง ศิริรุ่ง สุขศรี นาย สมกมล ทองพันธ์ นาย อนุวัฒน์ แซ่ตั้ง ดร. อาภารัตน์ มหาขันธ์
Director Senior Partner Deputy Secretary General กรรมการผู้จัดการ Assistant Director
บริษัท Securities and Exchange Commission of Cambodia Vietnam Asset Management Co., Ltd. National Bank of Cambodia บริษัท ฮันตัน แอนด์ วิลเลี่ยมส์ (ประเทศไทย) จำากัด Lao Securities Commission Office บริษัท ฮันตัน แอนด์ วิลเลี่ยมส์ (ประเทศไทย) จำากัด Securities and Exchange Commission of Myanmar State Securities Commission of Vietnam Bank of the Lao P.D.R บริษัท ฮันตัน แอนด์ วิลเลี่ยมส์ (ประเทศไทย) จำากัด บริษัท สยามราช จำากัด (มหาชน) บริษัท วีเน็ท แคปปิทอล จำากัด บริษัท ชัยพัฒนาขนส่งเชียงใหม่ จำากัด สถาบันคุ้มครองเงินฝาก
สำานักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ บริษัท ปตท. สำารวจและผลิตปิโตรเลียม จำากัด (มหาชน) ผู้บริหารสายงานเลขานุการ บริษัท ปตท. สำารวจและผลิตปิโตรเลียม จำากัด บริษัท (มหาชน) ผู้ช่วยประธานกรรมการบริหาร บริษัท นอร์ทโฮม จำากัด Division Manager บริษัท สยามราช จำากัด (มหาชน) ผู้ช่วยแลขานุการคณะกรรมการ บริษัท ทีโอที จำากัด (มหาชน) บริษัท กรรมการบริหาร บริษัท ชัยพัฒนาขนส่งเชียงใหม่ จำากัด ที่ปรึกษาด้านการเงิน บริษัท เอ็ม ลิ้งค์ เอเชีย คอร์ปอเรชั่น จำากัด (มหาชน) ผู้เชี่ยวชาญวิจัย สถาบันวิจัยวิทยาศาสตร์และเทคโนโลยีแห่งประเทศไทย
Boardroom | 63
Boardroom | 66