แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

คงต้องขออภัยท่านผู้อ่านที่ติดตามกรอบการบริหารความเสี่ยง เพราะช่วงนี้ผมกำลังเร่ง post ข้อมูลเกี่ยวกับ IT Audit และ Non – IT Audit ทางด้านการทุจริตที่กำลังเป็นข่าว และเป็นเรื่องสำคัญที่น่าสนใจและควรติดตาม ประกอบกับเกิดปัญหาทางด้านเทคนิคในการ update ข้อมูลในหัวข้อดังกล่าว ทำให้ข้อมูลที่เคย post และแก้ไขหายไป ก็ต้องขออภัยอีกครั้งสำหรับผู้ที่ติดตามเนื้อหาทางด้าน Audit อยู่ เป็นเหตุให้ห่างหายจากการ update เรื่องความเสี่ยงในหัวข้อนี้ไปบ้าง แต่ผมก็จะพยายามหาเวลา post ข้อมูลให้ได้ในทุกหัวข้อเพื่อท่านผู้อ่านจะได้ติดตามได้อย่างต่อเนื่องครับ

สำหรับวันนี้ ผมจะมาต่อในกระบวนการขั้นที่ 2 ของกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM คือ การกำหนดวัตถุประสงค์ (Objective Setting) ในเรื่องของการกำหนดวัตถุประสงค์/เป้าประสงค์ที่ชัดเจนของแผนงานและโครงการ

การกำหนดวัตถุประสงค์ต้องมีความสอดคล้องกันทั่วทั้งองค์กร เพื่อให้เกิดความมั่นใจว่า ผู้บริหาร และพนักงานทุกคนกำลังดำเนินการเพื่อให้บรรลุวัตถุประสงค์ขององค์กร โดยใช้วิธีการที่เรียกว่า SMART ซึ่งอธิบายด้วยแผนภาพ เพื่อให้เข้าใจได้ง่าย ๆ ดังนี้

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ดี แบบ SMART
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้ปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน และปฏิบัติได้อย่างสอดคล้องและเป็นไปในแนวทางเดียวกัน

2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย การกำหนดวัตถุประสงค์ที่สามารถวัดผลได้ทำให้สามารถรู้ได้แน่ชัดว่าดำเนินการถึงขั้นตอนใด และผลของการดำเนินการในแต่ละขั้นเป็นอย่างไร บรรลุผลสำเร็จหรือไม่

3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ ในการกำหนดวัตถุประสงค์นั้นไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถปฏิบัติเพื่อบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ ทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรมเพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกันคือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้

4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความสมเหตุสมผลและมีความเป็นจริง ปฏิบัติได้จริง

5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

ความซ้ำซ้อนของวัตถุประสงค์
วัตถุประสงค์ของหน่วยงานหนึ่งอาจซ้ำซ้อนกับอีกหน่วยงานหนึ่งได้ การจัดกลุ่มของวัตถุประสงค์เพื่อมุ่งสู่พันธกิจ และวิสัยทัศน์ขององค์กรนั้น อาจขึ้นอยู่กับโอกาส ยกตัวอย่างเช่น การเตรียมข้อมูลให้กับผู้บริหารระดับสูงเพื่อใช้ในการบริหารจัดการ และควบคุมกิจกรรมในการส่งเสริมการผลิต อาจมีลักษณะเป็นวัตถุประสงค์เชิงปฏิบัติการและวัตถุประสงค์เชิงรายงานไปพร้อม ๆ กัน

ในบางองค์กรใช้การแบ่งกลุ่มวัตถุประสงค์ในแบบอื่น ๆ “การป้องกันทรัพยากร” บางครั้งอาจหมายถึง “การป้องกันทรัพย์สิน” ซึ่งซ้ำซ้อนกับกลุ่มวัตถุประสงค์อื่น ๆ หากมองอย่างกว้าง ๆ การป้องกันทรัพย์สิน หมายถึง การป้องกันความสูญเสียของทรัพย์สินหรือทรัพยากรขององค์กร ไม่ว่าจะเป็นการลักขโมย ความสิ้นเปลือง ความบกพร่อง หรือสิ่งใดก็ตามที่ทำให้เกิดการตัดสินใจที่ไม่ดี เช่น การขายสินค้าราคาต่ำเกินไป ความล้มเหลวในการรักษาพนักงานคนสำคัญ หรือ การป้องกันการละเมิดสิทธิ์ หรือหนี้สินที่ไม่ได้คาดมาก่อน เป็นต้น

สิ่งเหล่านี้เป็นวัตถุประสงค์เชิงปฏิบัติการเบื้องต้น เมื่อประยุกต์กฎหมายหรือกฎเกณฑ์ต่าง ๆ ก็จะกลายเป็นวัตถุประสงค์เชิงความร่วมมือ ในทางตรงข้ามภาพสะท้อนการสูญเสียทรัพย์สินในสถานะทางการเงินขององค์กรเป็นการนำเสนอวัตถุประสงค์เชิงรายงาน เมื่อนำมาใช้ร่วมกับการรายงานต่อสาธารณะ คำจำกัดความที่แคบลงของการป้องกันทรัพย์สินจะหมายถึง การปกป้องการได้มาซึ่งอำนาจโดยไม่ชอบ การใช้หรือการเคลื่อนย้ายทรัพย์สินขององค์กร

การบรรลุผลสำเร็จของวัตถุประสงค์
การตั้งวัตถุประสงค์เป็นส่วนสำคัญของการบริหารความเสี่ยงของสายงานหรือของหน่วยงานธุรกิจที่เกี่ยวข้อง แม้ว่าวัตถุประสงค์จะช่วยในการสร้างเป้าหมายที่สามารถวัดได้ใกล้เคียงกับองค์กรเพื่อเคลื่อนสู่การดำเนินกิจกรรม แต่อาจมีความแตกต่างกันในเรื่องระดับความสำคัญและลำดับก่อนหลัง แม้ว่าองค์กรทั่วไปจะมั่นใจอย่างมีเหตุมีผลว่าจะบรรลุวัตถุประสงค์ได้ แต่ไม่ใช่กับทุกวัตถุประสงค์

การบริหารความเสี่ยงที่มีประสิทธิภาพจะนำความมั่นใจที่มีเหตุมีผลว่าวัตถุประสงค์เชิงรายงานขององค์กรกำลังบรรลุความสำเร็จ เช่นเดียวกันกับวัตถุประสงค์เชิงความร่วมมือ การรายงานที่บรรลุความสำเร็จและวัตถุประสงค์เชิงความร่วมมือโดยทั่วไปอยู่ภายในการควบคุมขององค์กร นั่นคือทันทีที่กำหนดวัตถุประสงค์แล้ว องค์กรจะควบคุมว่าจะต้องทำอย่างไรให้บรรลุวัตถุประสงค์นั้น แต่มีความแตกต่างเมื่อกลายเป็นวัตถุประสงค์เชิงปฏิบัติการด้วยเหตุผลหลายประการ องค์กรอาจปฏิบัติได้ดังที่ตั้งใจแต่ไม่สามารถสู้คู่แข่งขันได้ ซึ่งเป็นปัญหาจากปัจจัยภายนอก เช่น การเปลี่ยนแปลงรัฐบาล สภาวะแวดล้อมทางอากาศ และ/หรือเหตุการณ์ที่ไม่สามารถควบคุมได้

ซึ่งเหล่านี้อาจนำมาพิจารณาในขั้นตอนการตั้งวัตถุประสงค์ในแง่ของการมีความเป็นไปได้น้อย โดยใช้การวางแผนตามสถานการณ์ในกรณีที่มีเหตุการณ์เกิดขึ้น อย่างไรก็ตาม แม้ว่าแผนงานจะสามารถบรรเทาผลกระทบจากเหตุการณ์ภายนอกได้ แต่ก็ไม่สามารถมั่นใจได้ว่าวัตถุประสงค์จะบรรลุผลสำเร็จ

การบริหารความเสี่ยงขององค์กรที่มีจุดมุ่งหมายพื้นฐานในการพัฒนาความยั่งยืนของวัตถุประสงค์และเป้าหมายทั่วทั้งองค์กร การแยกแยะปัจจัยที่ทำให้สำเร็จและความเสี่ยง การเข้าหาความเสี่ยงและการตอบสนอง การดำเนินการตอบสนองความเสี่ยงที่เหมาะสม การควบคุมความต้องการ และการรายงานผลการทำงานและความคาดหวัง สำหรับวัตถุประสงค์เหล่านี้ การบริหารความเสี่ยงขององค์กรสามารถสร้างความมั่นใจได้ว่าผู้บริหารจะตระหนักถึงขอบเขตขององค์กรในการมุ่งสู่วัตถุประสงค์

ครั้งหน้าผมจะพูดถึงวัตถุประสงค์ขององค์กรกับความเสี่ยง และระดับความเสี่ยงที่องค์กรยอมรับได้ โปรดติดตามในครั้งต่อไปนะครับ

This entry was posted on วันจันทร์ที่ 8 มิถุนายน 2009 at 4:13 am and is filed under แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

ใส่ความเห็น