โดย รัฐพร มาลยพันธุ์
บริษัท บูโร เวอริทัส (ประเทศไทย) จำกัด*
บริษัท บูโร เวอริทัส (ประเทศไทย) จำกัด*
นับตั้งแต่มีการประกาศใช้ ISO 37001:2016 Anti-bribery management systems – Requirements with guidance for use อย่างเป็นทางการเมื่อเดือนตุลาคม 2559 ผู้เขียนได้ถูกตั้งคำถามหลากหลายประเด็นเกียวกับข้อกำหนดนี้ คำถามส่วนใหญ่เกี่ยวข้องกับขั้นตอนในการขอรับการตรวจรับรอง (Certification) ซึ่งเป็นขั้นตอนลำดับท้าย หากองค์กรประสงค์ให้มีการตรวจสอบรับรองระบบการจัดการต่อต้านการติดสินบนโดยหน่วยงานให้การรับรอง (Certified Body) และจะสำเร็จไม่ได้หากไม่มีการดำเนินการ (Implementation) ให้สอดคล้องตามข้อกำหนด (Compliance) ISO 37001:2016 บทความนี้เน้นความสำคัญของการดำเนินการตามข้อกำหนด ก่อนที่องค์กรจะเข้าสู่กระบวนการขอรับการตรวจรับรอง
ISO 37001 พัฒนาขึ้นโดยองค์การระหว่างประเทศว่าด้วยมาตรฐานสากล (International Organization for Standardization, ISO) โดยใช้โครงสร้างเดียวกันกับมาตรฐานการจัดการอื่นๆ ทั้งที่เป็นข้อกำหนด (Type A MSS1) และเป็นแนวทางการปฏิบัติ (Type B MSS) เช่น ISO 9001 Quality Management System - Requirements, ISO 19600 Compliance Management Systems – Guidelines เป็นต้น ISO ได้กำหนดให้การจัดทำมาตรฐานในด้านต่างๆ มีโครงสร้าง คำ และถ้อยคำหลักเดียวกัน เพื่ออำนวยประโยชน์ในการบูรณาการประยุกต์ใช้มาตรฐานที่หลากหลาย
การจัดการเชิงระบบ (Process Approach)
หนึ่งในแนวคิดร่วมของมาตรฐานการจัดการต่างๆ คือ การจัดการเชิงกระบวนการ (Process Approach) กล่าวคือ กระบวนการคือกลุ่มของกิจกรรมที่ใช้ทรัพยากรเพื่อเปลี่ยนปัจจัยนำเข้า (Input) ให้เป็นผลลัพธ์ (Output) ตามวัตถุประสงค์ (Objective) ที่คาดหวัง กระบวนการต่างๆ นี้มีความสัมพันธ์เชื่อมโยงเป็นระบบ (System) องค์กรสามารถใช้วงจร PDCA ร่วมกับแนวคิดเชิงความเสี่ยง (Risk-based thinking) บูรณาการปฏิสัมพันธ์ของกระบวนการต่างๆ ให้สอดคล้องกับข้อกำหนดของมาตรฐานที่ประยุกษ์ใช้
การประยุกต์ใช้วงจร PDCA ในการดำเนินการตามข้อกำหนด ISO 37001:2016
Plan (P) องค์กรต้องวางแผนเพื่อให้บรรลุวัตถุประสงค์ในการต่อต้านการติดสินบนโดยดำเนินการให้สอดคล้องกับข้อกำหนด ISO 37001:2016 เริ่มจากการวิเคราะห์บริบทขององค์กร ความต้องการและความคาดหวังของผู้มีส่วนเกี่ยวข้อง การประเมินความเสี่ยง การกำหนดขอบเขตของระบบการจัดการต่อต้านการติดสินบน การจัดการระบบการจัดการต่อต้านการติดสินบนจะสำเร็จไม่ได้หากขาดพันธสัญญาจากผู้นำขององค์กร ผู้นำขององค์กรต้องกำหนดและขับเคลื่อนนโยบาย เป้าหมาย กำหนดบทบาท อำนาจและหน้าที่ และจัดสรรทรัพยากรสำหรับการดำเนินการจัดการต่อต้านการติดสินบน องค์กรต้องวางแผนการกิจกรรมและกำหนดเป้าหมายให้สอดคล้องกับผลของการประเมินความเสี่ยง และโอกาสที่จะทำให้เกิดการพัฒนาปรับปรุงระบบการจัดการต่อต้านการติดสินบน องค์กรต้องวางแผนให้การสนับสนุนการดำเนินการต่อต้านการติดสินบน เช่น จัดหาบุคคลากรที่มีคุณสมบัติที่เหมาะสม ให้การอบรมพนักงาน และจัดการระบบการข้อมูลเอกสาร เป็นต้น
Do (D) องค์กรต้องมีการปฏิบัติตามแผน โดยมีการควบคุมกระบวนการเพื่อให้บรรลุเป้าหมายตามวัตถุประสงค์ เช่น การสอบทานสถานะ (due diligence) ของคู่ค้า ผู้ให้บริการ การควบคุมกระบวนการโดยใช้เครื่องมือทางการเงิน (financial controls) และไม่ใช่เครื่องมือทางการเงิน (non-financial controls) การควบคุมองค์กรที่อยู่ภายใต้การจัดการขององค์กร และคู่ค้า การควบคุมการให้และรับของขวัญ การแสดงไมตรีจิต การบริจาค และการร้องเรียนหรือให้ข้อมูลการติดสินบน เป็นต้น
Check (C) องค์กรต้องตรวจสอบ วัดผล วิเคราะห์ และประเมินผลการดำเนินการว่ามีความสอดคล้องตามข้อกำหนด ตลอดจนนโยบาย และเป้าหมายที่กำหนดไว้หรือไม่ รวมทั้งต้องมีการตรวจสอบภายใน (internal audit) เพื่อประเมินประสิทธิภาพของระบบการจัดการต่อต้านการติดสินบน ทั้งนี้ สถานะและผลการดำเนินการตามข้อกำหนดการจัดการต่อต้านการติดสินบน ต้องมีการรายงานให้ผู้บริหารสูงสุดรับทราบ (management review) เพื่อเป็นข้อมูลสำหรับการตัดสินใจปรับปรุงระบบการจัดการอย่างต่อเนื่อง (continual improvement)
Act (A) หากพบว่าการดำเนินการใดไม่สอดคล้อง (nonconformity) ตามข้อกำหนดของการจัดการต่อต้านการติดสินบน องค์กรต้องดำเนินการแก้ไขอย่างเป็นระบบ (corrective action) โดยกำจัดสาเหตุของการดำเนินการที่ไม่สอดคล้อง และป้องกันไม่ให้เกิดซ้ำ องค์กรอาจเปลี่ยนแปลงวิธีการดำเนินงาน และต้องปรับปรุงระบบการจัดการต่อต้านการติดสินบนอย่างต่อเนื่อง และเหมาะสม องค์กรสามารถประยุกต์ใช้การจัดการเชิงระบบ ร่วมกับวงจร PDCA ที่กำหนดขึ้นตามผลของการประเมินความเสี่ยงด้านการให้และรับสินบนขององค์กร ไม่ว่าจะให้หรือรับโดยองค์กรเอง หรือผ่านตัวแทนขององค์กร เช่น ตัวแทนหรือนายหน้าทางธุรกิจ
หากการขอการรับรองระบบการจัดการต่อต้านการติดสินบน คือ ปัจจัยนำเข้า (input) การดำเนินการ (implementation) ตามข้อกำหนด ISO 37001:2016 และข้อกำหนดที่เกี่ยวข้อง คือกระบวนการ (process) การได้รับการรับรองระบบการจัดการต่อต้านการติดสินบน ตามข้อกำหนด ISO 37001:2016 ก็คือ ผลลัพท์ (output) ของกระบวนการ
เมื่อองค์กรมีการดำเนินการตามข้อกำหนดการจัดการการต่อต้านการติดสินบน หรือ ISO 37001:2016 ได้ครบวงรอบของวงจร PDCA แล้ว องค์กรจะมีข้อมูลและหลักฐานการดำเนินการตามข้อกำหนด ตลอดจนผลการวิเคราะห์ผลลัพธ์ของกระบวนการต่างๆ ภายใต้ระบบการจัดการการต่อต้านการติดสินบนที่สามารถใช้ประเมินประสิทธิภาพของการดำเนินการ และเป็นข้อมูลสำหรับการพัฒนาระบบการจัดการการต่อต้านการติดสินบนอย่างต่อเนื่อง ข้อมูลเหล่านี้เป็นหลักฐานแสดงความสอดคล้องของการดำเนินการตามข้อกำหนดการจัดการต่อต้านการติดสินบน
ระยะเวลาในการดำเนินการตามวงจร PDCA ของแต่ละองค์กรก่อนพร้อมสู่กระบวนการตรวจสอบ และให้การรับรองขึ้นอยู่กับขนาด ลักษณะทางธุรกิจ บริบทขององค์กร รวมทั้งขอบเขต (scope) ของระบบการจัดการต่อต้านการติดสินบนที่กำหนดขึ้นจากผลของการทำความเข้าใจบริบทภายใน และภายนอกขององค์กร และผลการประเมินความเสี่ยงด้านสินบนขององค์กรเอง
--------------------------------------
1 MMS, ISO Management System Standard.
* คุณรัฐพร มาลยพันธุ์ (ratthaporn.malayaphan@th.bureauveritas.com) เป็นผู้ให้การอบรม และให้การรับรองระบบ ISO 37001: 2016 ในสังกัดบริษัท บูโร เวอริทัส ประเทศไทย บูโร เวอริทัส ประเทศไทยเป็นบริษัทในกลุ่มบูโร เวอริทัสที่ให้บริการทั่วโลกด้านการตรวจประเมินและให้ใบรับรองในด้านคุณภาพ สุขอนามัยและความปลอดภัย สิ่งแวดล้อม และความรับผิดชอบต่อสังคม บูโร เวอริทัสให้การอบรม การประเมินความสอดคล้องเบื้องต้น (pre-assessment) และให้การรับรอง (certification) มาตรฐาน ISO 37001:2016