แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

เมษายน 9, 2009

วันนี้ ผมจะมาทบทวนในเรื่องของความหมายของความเสี่ยงและการบริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายขององค์กร ที่ผมเคยได้กล่าวไปในช่วงต้น ๆ แล้ว ซึ่งเป็นการเน้นย้ำให้เห็นความสำคัญของการบริหารจัดการกับความเสี่ยงให้ได้ดุลยภาพ เพื่อบรรลุเป้าประสงค์ขององค์กรต่อไป

ในการบริหารความเสี่ยงขององค์กรทั่วไปนั้น คณะกรรมการบริหาร ผู้บริหารและพนักงานทุกคนในองค์กร ต้องมีความรู้ ความเข้าใจถึงความหมายของความเสี่ยงที่ถูกต้องตรงกัน เพื่อให้ทุกคนในองค์กรสามารถมองความเสี่ยงไปในทิศทางเดียวกัน และสามารถนำไปประยุกต์ใช้ในการกำหนดกลยุทธ์ และการวางแผนขององค์กรได้ในทุกระดับ โดยได้รับการออกแบบให้สามารถบ่งชี้เหตุการณ์ที่อาจเกิดขึ้นที่มีผลกระทบต่อองค์กร และสามารถจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับ เพื่อให้ได้รับความมั่นใจอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์ขององค์กร

ความหมายของความเสี่ยงในมุมมองขององค์กรทั่วไป

ความเสี่ยง (Risk) หมายถึง เหตุการณ์ / การกระทำใด ๆ ที่มีความไม่แน่นอน ซึ่งหากเกิดขึ้นจะมีผลกระทบในเชิงลบ ต่อวัตถุประสงค์หรือเป้าหมายขององค์กร หรือลดโอกาสที่จะบรรลุความสำเร็จต่อการบรรลุเป้าหมายและวัตถุประสงค์ของแผนงาน/โครงการที่จะก้าวสู่พันธกิจ และวิสัยทัศน์ ที่ได้กำหนดไว้

โอกาส (Opportunity) หมายถึง เหตุการณ์ที่มีความไม่แน่นอน ซึ่งหากเกิดขึ้นจะมีผลกระทบในเชิงบวก ต่อวัตถุประสงค์หรือเป้าหมายขององค์กร ซึ่งผู้บริหารและผู้ที่เกี่ยวข้องควรจะได้ทบทวนถึงกลยุทธ์ที่เหมาะสม และแผนงานที่เหมาะสมใหม่ เพื่อสร้างคุณค่าเพิ่ม (Value Creation) ให้กับองค์กร นอกเหนือจากแผนงานและโครงการที่ได้กำหนดไว้แล้ว

ความเสี่ยงเป็นเรื่องที่เกิดขึ้นได้ในอนาคต ประกอบด้วยปัจจัย 2 ประการ คือ ความเป็นไปได้ของโอกาสที่จะเกิดเหตุการณ์หรือความน่าจะเกิดขึ้น และความรุนแรงของผลตรงข้ามที่เกิดขึ้นจากเหตุการณ์นั้นสิ่งสำคัญต้องทำให้ทั้ง 2 ประการได้สมดุลกัน ดังรูปที่ได้แสดงด้านล่างนี้

ดุลยภาพในการบริหารความเสี่ยงและการสร้างโอกาส

ดุลยภาพในการบริหารความเสี่ยงและการสร้างโอกาส

ประเภทของความเสี่ยง

1. ความเสี่ยงที่เป็นอุปสรรคหรืออันตราย (Hazard)
เหตุการณ์ในเชิงลบ/เหตุการณ์ไม่ดีที่หากเกิดขึ้นแล้วอาจเป็นอันตรายหรือสร้างความเสียหายต่อองค์กร เช่น ภาวะการเปลี่ยนแปลงของเทคโนโลยี การแข่งขันทางการตลาดทั้งสินค้าและบริการ การเปลี่ยนแปลงนโยบาย กลยุทธ ศักยภาพ ความสามารถของผู้บริหารและพนักงาน เป็นต้น

2. ความเสี่ยงที่เป็นความไม่แน่นอน (Uncertainly)
เหตุการณ์ที่ทำให้ผลที่องค์กรได้รับจากเหตุการณ์ไม่เป็นไปตามที่คาดการณ์ไว้ หรือการไม่สามารถคาดการณ์เหตุการณ์ล่วงหน้าได้อย่างแม่นยำ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น ต้นทุนที่เกิดขึ้นจริงสูงกว่างบประมาณที่กำหนดไว้ เป็นต้น

3. ความเสี่ยงที่เป็นโอกาส (Opportunity)
เหตุการณ์ที่ทำให้องค์กรเสียโอกาสในการแข่งขันการดำเนินงานและการเพิ่มมูลค่าของผู้มีผลประโยชน์ร่วม เช่น การไม่ส่งเสริมหรือพัฒนาบุคคลากรให้มีทักษะในการปฏิบัติงาน เพื่อยกระดับประสิทธิภาพขององค์กร เป็นต้น

สาเหตุแห่งความเสี่ยง
ความเสี่ยงทุกประเภทเกิดขึ้นโดยมีเหตุแห่งความเสี่ยง (Risk Driver) ซึ่งอาจเป็นเหตุที่เกิดจากภายในองค์กร ดังตัวอย่างในภาพด้านล่างนี้ ผู้บริหารควรทำความเข้าใจถึงการเปลี่ยนแปลงที่มีผลต่อธุรกิจและเหตุแห่งความเสี่ยงที่เกิดขึ้นตลอดเวลา เพื่อจะได้สามารถควบคุมได้อย่างเพียงพอและเหมาะสมต่อการเปลี่ยนแปลงที่เกิดขึ้นนั้น

Business Risk Exposures

Business Risk Exposures

ความเสี่ยงสามารถเกิดขึ้นได้เสมอ โดยองค์กรทั่วไปมักต้องเผชิญกับเหตุการณ์เหล่านี้ เช่น แผนงาน/โครงการใหม่ไม่เป็นไปตามที่คาดไว้ การลงทุนไม่ให้ผลตอบแทนตามที่คาดไว้ การละเลยกระบวนการทางธุรกิจ ภาวะการเปลี่ยนแปลงของเทคโนโลยี คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เป็นต้น ดังนั้น องค์กรทั่วไปควรดำเนินการเพื่อหลีกเลี่ยงหรือลดเหตุการณ์ที่อาจก่อให้เกิดความเสียหาย แต่สามารถบ่งชี้เหตุการณ์ที่เป็นโอกาสในการเพิ่มคุณค่าให้กับองค์กร สิ่งที่ทำให้ผู้บริหารต้องให้ความสำคัญหรือการกำหนดระดับความไม่แน่นอนที่องค์กรยอมรับได้ แต่ในขณะเดียวกันก็สามารถเพิ่มคุณค่าให้กับผู้มีผลประโยชน์ร่วมด้วย

การจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
COSO (Committee of Sponsoring Organizations of Treadway Commission) ได้เสนอแนวทางใหม่ที่เรียกว่า การจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM) ซึ่งเป็นกระบวนการที่ระบุและวิเคราะห์ความเสี่ยงในมุมมองของภาพที่เป็นองค์รวมแบบบูรณาการทั่วทั้งองค์กร

ทุกองค์กรไม่ว่าจะเป็นองค์กรที่หวังผลกำไร องค์กรทางการกุศล หรือหน่วยงานของรัฐบาลที่ตั้งขึ้นเพื่อเพิ่มคุณค่าแก่ผู้มีส่วนได้เสีย ทุกองค์กรนั้นต้องเผชิญกับความไม่แน่นอนและความท้าทายทางการบริหาร เพื่อที่จะกำหนดระดับของความไม่แน่นอนที่สามารถเตรียมพร้อมในการยอมรับมัน ในความไม่แน่นอนนั้นเป็นได้ทั้งความเสี่ยงและโอกาส มีความเป็นไปได้ทั้งที่จะลดหรือเพิ่มคุณค่า ERM เป็นกรอบความคิดทางการบริหารเพื่อที่จะจัดการกับสภาวการณ์ที่ไม่มีความแน่นอนอย่างมีประสิทธิภาพและเกี่ยวข้องกับความเสี่ยง โอกาสและการเพิ่มความสามารถในการสร้างคุณค่าได้อย่างแท้จริงในหลักการของการบริหารเชิงรุก หรือการบริหารความเสี่ยงภายใต้หลักการ การกำกับดูแลกิจการที่ดีในการสร้างคุณค่าเพิ่มระยะยาวให้กับองค์กรและสังคม

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance & Control Objective to Environmental Control (ต่อ)

เมษายน 9, 2009

จากครั้งก่อนที่ได้กล่าวถึงกิจกรรมด้าน IT Governance โดยสรุปไปแล้ว ครั้งนี้ผมจะนำเสนอแนวทางในการกำหนดกิจกรรมหลักของ IT Governance ต่อเลยครับ

การที่จะประสบความสำเร็จในยุคเทคโนโลยีสารสนเทศ ธรรมาภิบาลขององค์กร และ IT Governance ไม่สามารถแยกกันหรือใช้กฎเกณฑ์ที่แตกต่างกันได้อีกต่อไป ธรรมาภิบาลขององค์กรที่มีประสิทธิภาพ มุ่งเน้นความชำนาญและประสบการณ์ทั้งปัจเจกบุคคลและของหมู่คณะ ซึ่งก่อให้เกิดผลสูงสุด เฝ้าติดตามและวัดผลการดำเนินงาน และรับประกันการแก้ปัญหาวิกฤต เทคโนโลยีสารสนเทศ ซึ่งเดิมได้รับการพิจารณาว่าเป็นเพียงปัจจัยหนุนกลยุทธ์ของธุรกิจมาเป็นเวลานาน ปัจจุบันได้รับการพิจารณาให้รวมอยู่เป็นหนึ่งในกลยุทธ์ของธุรกิจ

IT Governance มีโครงสร้างที่เชื่อมโยง กระบวนการทางด้านเทคโนโลยีสารสนเทศ (IT process) ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resource) และสารสนเทศ (Information) ควบคู่ไปกับกลยุทธ์และวัตถุประสงค์ของธุรกิจ IT Governanceได้รวบรวมและจัดให้มีวิธีที่ดีที่สุดสำหรับการวางแผนและการจัดองค์กร การจัดหาและการนำระบบออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตามการดำเนินงานด้านเทคโนโลยีสารสนเทศ IT Governance ถูกรวมเป็นส่วนหนึ่งของความสำเร็จในธรรมาภิบาลขององค์กร โดยรับประกันในเรื่องการปรับปรุงที่สามารถวัดผลได้ทางด้านประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ IT Governance ช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

เมื่อมองถึงบทบาทความสัมพันธ์ระหว่างกระบวนการของธรรมาภิบาลขององค์กร และ IT Governance ในรายละเอียด จะเห็นได้ว่าธรรมาภิบาลขององค์กรนั้น เป็นระบบซึ่งทำหน้าที่กำกับ ควบคุม ผลักดัน และกำหนด IT Governance ในขณะเดียวกันเทคโนโลยีสารสนเทศควรให้ข้อมูลที่สำคัญในการจัดทำแผนกลยุทธ์ และควรเป็นส่วนหนึ่งที่สำคัญของแผนฯ อันที่จริงแล้วเทคโนโลยีสารสนเทศอาจมีอิทธิผลต่อโอกาสเชิงกลยุทธ์ที่องค์กรได้จัดร่างขึ้น

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

กิจกรรมขององค์กรต้องการข้อมูลที่ได้มาจากการทำงานของระบบเทคโนโลยีสารสนเทศ ในอันที่จะบรรลุถึงวัตถุประสงค์ขององค์กร องค์กรที่ประสบความสำเร็จต้องแน่ใจได้ว่า กิจกรรมด้านเทคโนโลยีสารสนเทศและการวางแผนกลยุทธ์นั้นมีความสัมพันธ์กัน เทคโนโลยีสารสนเทศจะต้องสอดคล้องกับองค์กร และช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

องค์กรมักได้รับการกำกับดูแลด้วยแนวทางการปฏิบัติที่ดี (หรือที่เป็นเลิศ) ซึ่งเป็นที่ยอมรับโดยทั่วไป เพื่อให้แน่ใจได้ว่าองค์กรจะสามารถบรรลุถึงเป้าหมาย โดยมีการควบคุมบางประการเพื่อรับประกันในเรื่องดังกล่าว วัตถุประสงค์เหล่านี้ช่วยให้เกิดการดำเนินงานไปตามทิศทางขององค์กร ซึ่งกำหนดกิจกรรมต่าง ๆ ที่ใช้ทรัพยากรขององค์กร ผลของการดำเนินกิจกรรมจะต้องได้รับการวัดผลและการรายงาน เพื่อเป็นข้อมูลในการปรับปรุงและบำรุงรักษามาตรการการควบคุมอย่างสม่ำเสมอ

ธรรมาภิบาลขององค์กร

ธรรมาภิบาลขององค์กร

เทคโนโลยีสารสนเทศถูกกำกับโดยวิธีการปฏิบัติที่ดี (หรือเป็นเลิศ) เพื่อแน่ใจได้ว่าสารสนเทศขององค์กรและเทคโนโลยีที่นำมาใช้เป็นไปตามวัตถุประสงค์ของธุรกิจ รวมถึงการนำทรัพยากรไปใช้อย่างรับผิดชอบ และการจัดการความเสี่ยงเป็นไปอย่างเหมาะสม วิธีการปฏิบัติเหล่านี้เป็นพื้นฐานของการกำหนดทิศทางในกิจกรรมต่าง ๆ ด้านเทคโนโลยีสารสนเทศ ได้แก่การวางแผนและจัดองค์กร การจัดหาและการนำระบบงานออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตาม โดยมีจุดประสงค์ทั้งสองประการคือ การจัดการความเสี่ยง (เพื่อให้มีความปลอดภัย ความน่าเชื่อถือ และการปฏิบัติตามกฎระเบียบข้อบังคับ) การได้รับผลประโยชน์ (การเพิ่มประสิทธิภาพและประสิทธิผล) และให้มีการรายงานผลการทำงานของกิจกรรมด้านเทคโนโลยีสารสนเทศ ซึ่งมีการวัดผลเปรียบเทียบกับวิธีการปฏิบัติและการควบคุมอื่น ๆ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance & Control Objective to Environmental Control (ต่อ)

เมษายน 9, 2009

จากครั้งก่อนที่ได้กล่าวถึงกิจกรรมด้าน IT Governance โดยสรุปไปแล้ว ครั้งนี้ผมจะนำเสนอแนวทางในการกำหนดกิจกรรมหลักของ IT Governance ต่อเลยครับ

การที่จะประสบความสำเร็จในยุคเทคโนโลยีสารสนเทศ ธรรมาภิบาลขององค์กร และ IT Governance ไม่สามารถแยกกันหรือใช้กฎเกณฑ์ที่แตกต่างกันได้อีกต่อไป ธรรมาภิบาลขององค์กรที่มีประสิทธิภาพ มุ่งเน้นความชำนาญและประสบการณ์ทั้งปัจเจกบุคคลและของหมู่คณะ ซึ่งก่อให้เกิดผลสูงสุด เฝ้าติดตามและวัดผลการดำเนินงาน และรับประกันการแก้ปัญหาวิกฤต เทคโนโลยีสารสนเทศ ซึ่งเดิมได้รับการพิจารณาว่าเป็นเพียงปัจจัยหนุนกลยุทธ์ของธุรกิจมาเป็นเวลานาน ปัจจุบันได้รับการพิจารณาให้รวมอยู่เป็นหนึ่งในกลยุทธ์ของธุรกิจ

IT Governance มีโครงสร้างที่เชื่อมโยง กระบวนการทางด้านเทคโนโลยีสารสนเทศ (IT process) ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resource) และสารสนเทศ (Information) ควบคู่ไปกับกลยุทธ์และวัตถุประสงค์ของธุรกิจ IT Governanceได้รวบรวมและจัดให้มีวิธีที่ดีที่สุดสำหรับการวางแผนและการจัดองค์กร การจัดหาและการนำระบบออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตามการดำเนินงานด้านเทคโนโลยีสารสนเทศ IT Governance ถูกรวมเป็นส่วนหนึ่งของความสำเร็จในธรรมาภิบาลขององค์กร โดยรับประกันในเรื่องการปรับปรุงที่สามารถวัดผลได้ทางด้านประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ IT Governance ช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

เมื่อมองถึงบทบาทความสัมพันธ์ระหว่างกระบวนการของธรรมาภิบาลขององค์กร และ IT Governance ในรายละเอียด จะเห็นได้ว่าธรรมาภิบาลขององค์กรนั้น เป็นระบบซึ่งทำหน้าที่กำกับ ควบคุม ผลักดัน และกำหนด IT Governance ในขณะเดียวกันเทคโนโลยีสารสนเทศควรให้ข้อมูลที่สำคัญในการจัดทำแผนกลยุทธ์ และควรเป็นส่วนหนึ่งที่สำคัญของแผนฯ อันที่จริงแล้วเทคโนโลยีสารสนเทศอาจมีอิทธิผลต่อโอกาสเชิงกลยุทธ์ที่องค์กรได้จัดร่างขึ้น

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

กิจกรรมขององค์กรต้องการข้อมูลที่ได้มาจากการทำงานของระบบเทคโนโลยีสารสนเทศ ในอันที่จะบรรลุถึงวัตถุประสงค์ขององค์กร องค์กรที่ประสบความสำเร็จต้องแน่ใจได้ว่า กิจกรรมด้านเทคโนโลยีสารสนเทศและการวางแผนกลยุทธ์นั้นมีความสัมพันธ์กัน เทคโนโลยีสารสนเทศจะต้องสอดคล้องกับองค์กร และช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

องค์กรมักได้รับการกำกับดูแลด้วยแนวทางการปฏิบัติที่ดี (หรือที่เป็นเลิศ) ซึ่งเป็นที่ยอมรับโดยทั่วไป เพื่อให้แน่ใจได้ว่าองค์กรจะสามารถบรรลุถึงเป้าหมาย โดยมีการควบคุมบางประการเพื่อรับประกันในเรื่องดังกล่าว วัตถุประสงค์เหล่านี้ช่วยให้เกิดการดำเนินงานไปตามทิศทางขององค์กร ซึ่งกำหนดกิจกรรมต่าง ๆ ที่ใช้ทรัพยากรขององค์กร ผลของการดำเนินกิจกรรมจะต้องได้รับการวัดผลและการรายงาน เพื่อเป็นข้อมูลในการปรับปรุงและบำรุงรักษามาตรการการควบคุมอย่างสม่ำเสมอ

ธรรมาภิบาลขององค์กร

ธรรมาภิบาลขององค์กร

เทคโนโลยีสารสนเทศถูกกำกับโดยวิธีการปฏิบัติที่ดี (หรือเป็นเลิศ) เพื่อแน่ใจได้ว่าสารสนเทศขององค์กรและเทคโนโลยีที่นำมาใช้เป็นไปตามวัตถุประสงค์ของธุรกิจ รวมถึงการนำทรัพยากรไปใช้อย่างรับผิดชอบ และการจัดการความเสี่ยงเป็นไปอย่างเหมาะสม วิธีการปฏิบัติเหล่านี้เป็นพื้นฐานของการกำหนดทิศทางในกิจกรรมต่าง ๆ ด้านเทคโนโลยีสารสนเทศ ได้แก่การวางแผนและจัดองค์กร การจัดหาและการนำระบบงานออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตาม โดยมีจุดประสงค์ทั้งสองประการคือ การจัดการความเสี่ยง (เพื่อให้มีความปลอดภัย ความน่าเชื่อถือ และการปฏิบัติตามกฎระเบียบข้อบังคับ) การได้รับผลประโยชน์ (การเพิ่มประสิทธิภาพและประสิทธิผล) และให้มีการรายงานผลการทำงานของกิจกรรมด้านเทคโนโลยีสารสนเทศ ซึ่งมีการวัดผลเปรียบเทียบกับวิธีการปฏิบัติและการควบคุมอื่น ๆ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn