การประเมินความพร้อมทางด้านการบริหารความเสี่ยงที่เกี่ยวข้องกับความมั่นคงของชาติกับความเข้าใจในเรื่อง Risk Appetite (ต่อ)

กรกฎาคม 15, 2009

เพื่อสร้างความเข้าใจที่ดีในกระบวนการบริหารความเสี่ยงและการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่มีความสำคัญยิ่งของทุกองค์กร โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับความมั่นคงของชาตินั้น เป็นเรื่องที่น่าจะมีการสื่อสารและทำความเข้าใจให้ตรงกัน

การจัดการความเสี่ยงของประเทศ ได้ถูกนำมาประยุกต์ในการกำหนดกลยุทธ์และกิจกรรมทั้งหมดของบ้านเมือง อันจะช่วยให้ผู้บริหารความมั่นคงของประเทศสามารถระบุ ประเมินและบริหารความเสี่ยงเมื่อต้องเผชิญอย่างคาดไม่ถึง และสนับสนุนการสร้างและรักษาค่านิยมของประเทศไทย การจัดการความเสี่ยงของประเทศ จะเป็นตัวสนับสนุนความสามารถในการจัดการความเสี่ยงและกลยุทธ์ให้เป็นแนวทางเดียวกัน เชื่อมโยงความเสี่ยงกับความเติบโตและผลตอบแทน ส่งเสริมการตัดสินใจตอบสนองต่อความเสี่ยง ลดความตื่นตระหนักและความสูญเสียในการปฏิบัติการ ระบุและบริหารความเสี่ยงระหว่างประเทศได้ สามารถตอบสนองความเสี่ยงที่ซับซ้อนอย่างบูรณาการได้ สามารถฉกฉวยโอกาสและมีการลงทุนภายในและระหว่างประเทศอย่างเหมาะสม
นานาประเทศ รวมทั้งประเทศไทยเราต้องเผชิญกับความไม่แน่นอน และความท้าทายสำหรับฝ่ายบริหารความมั่นคงของบ้านเมือง ก็คือการกำหนดระดับความไม่แน่นอนที่มีอยู่เพื่อเพิ่มคุณค่าให้กับประชาชนและ/หรือผู้มีผลประโยชน์ร่วม ความไม่แน่นอนที่เกิดขึ้นเป็นทั้งโอกาสและความเสี่ยงต่อศักยภาพและบั่นทอนหรือส่งเสริมคุณค่า การจัดการความเสี่ยงของประเทศ จึงเป็นการสร้างกรอบของงานเพื่อให้ผู้บริหารความมั่นคงของประเทศได้จัดการกับความไม่แน่นอน ความเสี่ยงและโอกาสเพื่อส่งเสริมความสามารถในการสร้างคุณค่าเพิ่มให้กับประเทศไทย และประชาชนหรือผู้มีผลประโยชน์ร่วม การบริหารความเสี่ยงจะช่วยให้แน่ใจอย่างสมเหตุสมผลว่า หน่วยงานทั้งภาครัฐและเอกชนต่าง ๆ ในระดับประเทศสามารถบรรลุเป้าประสงค์ของประเทศร่วมกันได้

จากตอนที่แล้วที่ผมได้กล่าวถึงความเสี่ยงของความมั่นคงที่ประเทศไทยยอมรับได้ (Risk Appetite) และระดับความเบี่ยงเบนของความเสี่ยงที่ประเทศไทยยอมรับได้ (Risk Tolerance) จากความไม่เข้าใจระหว่างประเทศในอนาคตที่อาจเกิดขึ้นได้ จากประเทศทางตะวันตก จากประเทศทางทิศตะวันออก จากประเทศทางทิศใต้ หรือรวม ๆ กันไปของทั้ง 3 เหตุการณ์ จากทุกทิศทุกทาง ถึงแม้จะเกิดขึ้นได้น้อย แต่ความเสียหายจากความเสี่ยงอาจเกิดกว่าระดับการยอมรับผลกระทบของประเทศไทยได้นั้น จำเป็นที่จะต้องมีการกำหนดความเสียหายที่ยอมรับได้ ที่เป็นรูปธรรมเพื่อจะกำหนดกลยุทธ์และแนวทางดำเนินการที่เหมาะสมให้สอดคล้องกับกรอบของ Risk Appetite ระดับประเทศไทยที่กำหนดขึ้นและได้รับการยอมรับร่วมกันแล้ว ในบรรดาหน่วยงานที่เกี่ยวข้องกับความมั่นคงของชาติ

ยุทธศาสตร์ นโยบาย และแนวการปฏิบัติทางด้านความมั่นคงระหว่างประเทศ รวมทั้งภายในประเทศไทยเองก็ตาม จะเปลี่ยนแปลงไปตามกรอบและขอบเขตของความเสี่ยงที่ยอมรับได้นั้น จำเป็นจะต้องมีการสื่อสารให้เข้าใจตรงกัน ในทุกหน่วยงานที่เกี่ยวข้องกับความมั่นคง ทั้งทหารและพลเรือน

ตอนต่อไปผมจะได้ลองนำภาพจำลองของแนวความคิด (Scenario) ต่าง ๆ ที่เป็นความเสียหายที่อาจจะเกิดขึ้นภายใต้กรอบหรือระดับความเสี่ยงที่ยอมรับได้ที่แตกต่างกันไป เพื่อมาประเมินตนเองถึงความพร้อมที่เป็นไปได้ที่ประเทศไทยควรมี และควรเปลี่ยนแปลงไปตามสถานการณ์ของภาพจำลองที่อาจเปลี่ยนแปลงได้ตามสถานการณ์ที่เปลี่ยนแปลงไปนั้น จะทำให้ท่านผู้อ่านที่สนใจในเรื่องกระบวนการบริหารความเสี่ยงอย่างเป็นกระบวนการ ที่เน้นทางด้านความมั่นคงของชาติว่า มีความพร้อมเพียงใด

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทบาทของ GRC กับแนวความคิดและการปฏิบัติงานที่เน้นผลประโยชน์ของผู้มีผลประโยชน์ร่วม (Stakeholders)

กรกฎาคม 15, 2009

เนื่องจากหัวข้อหรือ Article นี้จะอยู่ในหมวดของ CG และ ITG สำหรับคำ “GRC” ย่อมาจาก Governance + Risk Management + Compliance ที่ท่านผู้อ่านก็คุ้นเคยกันมานาน โดยเฉพาะหลักการของ COSO – Enterprise Risk Management (ERM) ซึ่งเน้นความเป็นรูปธรรมในการขับเคลื่อนการบริหารการปฏิบัติงานในลักษณะที่สอดประสานและบูรณาการทั่วทั้งองค์กร ซึ่งอาจจะใช้คำที่เข้าใจง่าย ๆ ว่า Integrity – Driven Performance แต่ในทางปฏิบัติ องค์กรส่วนใหญ่ยังมีจุดอ่อนค่อนข้างมากในการขับเคลื่อนกระบวนการบริหารความเสี่ยงที่เกี่ยวข้องกับศักยภาพในการดำเนินงาน (Operational Risk)

วันนี้เราลองมาเล่าสู่กันฟังเรื่อง GRC ต่อจากเรื่อง Corporate Governance – CG และ IT Governance – ITG ที่ได้เล่าย่อ ๆ กันมาแล้วนะครับ

แนวความคิดใหม่ที่ขับเคลื่อนการบริหารแบบบูรณาการทั่วทั้งองค์กร เพื่อผลประโยชน์ของ Stakeholders

แนวความคิดใหม่ที่ขับเคลื่อนการบริหารแบบบูรณาการทั่วทั้งองค์กร เพื่อผลประโยชน์ของ Stakeholders

โดยหลักการของ Governance ในที่นี้ จะเน้นเรื่อง Ethics ที่เป็นรูปธรรมมากขึ้น มีค่านิยม และรูปแบบการจัดการที่ต้องการขับเคลื่อนองค์กรให้มีศักยภาพและมีความเป็นบูรณาการมากขึ้น เพื่อสร้างประสิทธิภาพ ประสิทธิผล และรูปธรรมในการเติบโตอย่างยั่งยืน ที่ต้องการมาตรฐาน การปฎิบัติตามกฎหมาย กฎเกณฑ์ รวมทั้งการรักษาชื่อเสียงที่เน้นไปทางการบริหาร Intangible Assets หรือสินทรัพย์ที่ไม่มีตัวตนที่เป็นรูปธรรมมากขึ้น โดยบริหารควบคู่กันไปกับการบริหารสินทรัพย์ที่มีตัวตน หรือ Tangible Assets ที่เข้าใจกันและเน้นการประเมินผล รวมทั้งการบริหารงานที่มากกว่า Intangible Assets กันเป็นส่วนใหญ่

การบริหารงานในองค์กรที่ใช้คอมพิวเตอร์ยุคใหม่ ข้อมูลและสารสนเทศ ความน่าเชื่อถือได้ ความไว้วางใจได้ การสร้างคุณค่าเพิ่มในรูปแบบต่าง ๆ ส่วนใหญ่จะมาจากการบริหาร Intangible Assets มากกว่า Tangible Assets มาก

บทบาทของการบริหารสินทรัพย์ที่ไม่มีตัวตนที่สร้างคุณค่าเพิ่มมากขึ้นกับบทบาทของผู้บริหารของทุกองค์กร

บทบาทของการบริหารสินทรัพย์ที่ไม่มีตัวตนที่สร้างคุณค่าเพิ่มมากขึ้นกับบทบาทของผู้บริหารของทุกองค์กร

สำนักงาน Brooking Institute ของต่างประเทศ ซึ่งเป็นหน่วยงานค้นคว้าความรู้ทางวิชาการใหม่ ๆ ได้เคยสำรวจ เมื่อประมาณปี ค.ศ. 2000 ปรากฎว่า คุณค่าเพิ่มจากการบริหาร Intangible Assets มีประมาณร้อยละ 85 ของสินทรัพย์ทั้งหมดของบริษัทโดยเฉลี่ย ในประเทศที่เจริญแล้ว

GRC ต้องการ New Standard และความคาดหวังใหม่ ๆ ของผู้มีผลประโยชน์ร่วม (Stakeholders) และต้องการ Governance เป็นฐานสำคัญที่เน้นทางด้านจริยธรรมและจรรยาบรรณ (Ethics) ซึ่งคำ ๆ นี้ ผมจะขออนุญาตขยายความเพื่อให้ท่านผู้อ่านได้ทราบว่า Ethics มีความสำคัญอย่างไรต่อการสร้างคุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนขององค์กรชั้นนำทั่วโลกในปัจจุบัน

คำว่า “Ethics” นี้ก็มีบทบาทสำคัญยิ่งในองค์ประกอบของการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง ซึ่งเป็นข้อแรกขององค์ประกอบ ทั้ง 8 ประการของ COSO – ERM

GRC เป็น Statement ใหม่ภายใต้ร่มหลักของ CG และ ITG ที่มีกระบวนการบริหารเพื่อสนับสนุน
– การดำเนินงานให้บรรลุเป้าประสงค์
– รักษาความน่าเชื่อถือ ความไว้วางใจ ได้จากชื่อเสียง/Brand ขององค์กร เพื่อสร้างคุณค่าเพิ่มอย่างยั่งยืน
– เป็นความท้าทายของผู้บริหารที่จะพิสูจน์คุณค่า และศักยภาพของผู้บริหารในการรักษาความสามารถในการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ของผู้กำกับภายนอก และการปฏิบัติตามนโยบาย ทิศทาง คำสั่งต่าง ๆ ภายในองค์กร ในการปฏิบัติได้ตามมาตรฐานและความคาดหวังใหม่ ๆ ของผู้ถือหุ้น

ผมจะได้นำเรื่องราวที่น่าสนใจของ GRC ในแง่มุมต่าง ๆ มาเสนอให้ท่านผู้อ่านในตอนต่อ ๆ ไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 15, 2009

สวัสดีครับ เป็นอย่างไรกันบ้างครับกับแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ตอนนี้ผมได้นำเสนอกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ซึ่งกระบวนการทั้ง 8 ขั้นตอนนี้ถือเป็นหัวใจสำคัญหลักในการบริหารความเสี่ยงเลยก็ว่าได้ และที่กำลังนำเสนออยู่นี้ก็เข้าสู่กระบวนการในขั้นตอนที่ 4 คือ การประเมินความเสี่ยง ที่ได้เล่าสู่กันฟังไปบ้างแล้ว วันนี้ผมมีวิธีการและเทคนิคดี ๆ ในการประเมินความเสี่ยงในเชิงปริมาณและคุณภาพมาเล่าสู่กันฟังต่อจากครั้งที่แล้วครับ

วิธีการและเทคนิคเชิงปริมาณและคุณภาพ
วิธีการประเมินค่าความเสี่ยงขององค์กรประกอบด้วยการรวมตัวกันของเทคนิคเชิงปริมาณและเชิงคุณภาพ ผู้บริหารมักใช้เทคนิคการประเมินเชิงคุณภาพในกรณีที่ความเสี่ยงไม่สามารถใช้กระบวนการเชิงปริมาณได้ หรือเมื่อไม่สามารถหาข้อมูลที่เพียงพอและน่าเชื่อถือสำหรับการประเมินค่าเชิงคุณภาพได้ หรือข้อมูลที่ได้มาหรือนำมาวิเคราะห์ไม่คุ้มค่า เทคนิคเชิงปริมาณนำมาซึ่งความถูกต้องแม่นยำมากกว่า และใช้ในกิจกรรมที่ซับซ้อนกว่าเพื่อเพิ่มเติมเทคนิคเชิงคุณภาพ

เพื่อให้ได้รับความเห็นชอบในความน่าจะเกิดและผลกระทบของการใช้เทคนิคการประเมินค่าเชิงคุณภาพ องค์กรอาจใช้วิธีการเดียวกันกับการแยกแยะเหตุการณ์ ดังเช่น การสัมภาษณ์และการประชุมเชิงปฏิบัติการ กระบวนการประเมินค่าความเสี่ยงด้วยตนเอง จับภาพผู้เข้าร่วมประชุมจากความน่าจะเกิดและผลของเหตุการณ์ในอนาคตโดยใช้ทั้งเครื่องวัดเชิงตัวเลขและการพรรณนา

ความจำเป็นขององค์กรในการใช้เทคนิคการประเมินค่าที่ไม่ธรรมดากับหน่วยธุรกิจต่าง ๆ หรือ ทางเลือกของเทคนิคจะสะท้อนความต้องการความถูกต้องแม่นยำ และวัฒนธรรมของหน่วยธุรกิจ อย่างไรก็ตามวิธีการที่แต่ละธุรกิจนำไปใช้จะช่วยในการประเมินความเสี่ยงในระหว่างองค์กร

ผู้บริหารสามารถสืบค้นมาตรวัดผลกระทบเชิงคุณภาพองค์กรของเหตุการณ์ต่อเมื่อการประเมินความเสี่ยงของเหตุการณ์ได้แสดงออกในเชิงปริมาณ ตัวอย่างเช่น ผลกระทบของผลกำไรสุทธิของการเปลี่ยนแปลงราคาถูกคำนวณระหว่างหน่วยธุรกิจ และกำหนดผลกระทบขององค์กรโดยรวม

การผสมระหว่างการวัดเชิงปริมาณและคุณภาพนั้นผู้บริหารได้พัฒนาการประเมินค่าเชิงคุณภาพในระหว่างการวัดผลทั้งเชิงคุณภาพและปริมาณด้วยผลลัพธ์ ซึ่งประกอบด้วยการประเมินค่าที่อธิบายได้ในเชิงคุณภาพ การสร้างคำศัพท์ของความน่าจะเกิดและผลลัพธ์ขององค์กรและกลุ่มของความเสี่ยงที่ใช้สำหรับการวัดเชิงคุณภาพช่วยอำนวยความสะดวกให้ส่วนประกอบของการประเมินค่าความเสี่ยงต่าง ๆ เหล่านั้น

ความสัมพันธ์กันของเหตุการณ์
ผู้บริหาร องค์กร อาจประเมินว่าเหตุการณ์มีความสัมพันธ์กันอย่างไร ลำดับเหตุการณ์ได้รวมกันและสร้าง Likelihood หรือผลกระทบอย่างมีนัยสำคัญที่ใด ในขณะที่ผลของเหตุการณ์เดียวอาจเบาบาง ลำดับเหตุการณ์อาจมีผลกระทบที่สำคัญมากกว่า อาจใช้การทดสอบที่หนักหน่วงในการประเมินค่าผลกระทบของเหตุการณ์สุดท้ายและใช้การวิเคราะห์ภาพเหตุการณ์ในการประเมินค่าผลกระทบของเหตุการณ์จำนวนมาก หากว่าเหตุการณ์ไม่มีความสัมพันธ์กันโดยตรง

ผู้บริหารต้องประเมินค่าเหตุการณ์แยกกัน ยกตัวอย่าง บริษัทที่มีธุรกิจต่างกัน มีการผันผวนของราคาที่แตกต่างกัน จะประเมินความเสี่ยงซึ่งสัมพันธ์กับตลาดแยกจากกัน ดังเช่น ราคาของเนื้อและราคาพลังงาน ในการประเมินค่าเช่นนี้อาจถูกนำเสนอในรูปกราฟแสดงอัตราความเป็นไปได้และผลกระทบหรือเสนอในรูปแบบอื่น ๆ

ความเสี่ยงซึ่งเกิดขึ้นเหมือน ๆ กันในธุรกิจจำนวนมาก ผู้บริหารอาจประเมินค่าและแยกแยะกลุ่มเหตุการณ์เอาไว้ในกลุ่มเหตุการณ์ทั่วไป ตัวอย่างเช่น การเปลี่ยนแปลงในอัตราดอกเบี้ยของรัฐบาลซึ่งมีผลกระทบกับหน่วยธุรกิจของบริษัทที่ให้บริการด้านการเงิน

ความสัมพันธ์กันระหว่างความเสี่ยงและผลกระทบเป็นความรับผิดชอบที่สำคัญของผู้บริหาร การบริหารความเสี่ยงที่มีประสิทธิภาพต้องการการประเมินค่าความเสี่ยงที่เกี่ยวข้องกับความเสี่ยงธรรมชาติและความเสี่ยงที่ตามมาจากการตอบสนองความเสี่ยง

การประเมินความเสี่ยงจะต้องพิจารณาว่าเหตุการณ์ที่เป็นไปได้ว่าจะเกิดขึ้น เหตุการณ์ไหนมีผลกระทบต่อการบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร โดยฝ่ายบริหารประเมินและวิเคราะห์ความเสี่ยงโดยพิจารณาจาก

1. ความน่าจะเกิด (Likelihood) คือโอกาสความเป็นไปได้ที่เหตุการณ์ที่ความเสี่ยงนั้นจะเกิดหรือความถี่ที่เหตุการณ์จะเกิด
2. ส่วนผลกระทบ (Impact) หมายถึง ความเสียหายที่จะเกิดจากเหตุการณ์ความเสี่ยงนั้น ความน่าจะเกิดบ่งบอกถึงความเป็นไปได้ที่เหตุการณ์นั้นจะเกิดขึ้น สามารถวัดเป็นมูลค่าที่คาดหวังหรือมูลค่าที่เลวร้ายที่สุด หรืออาจแสดงเป็นปริมาณ เช่น สูง (High) กลาง (Medium) และต่ำ (Low) หรือการวัดเป็นเปอร์เซ็นต์ ความถี่ที่จะเกิด เป็นต้น

การประเมินความเสี่ยงเป็นเรื่องที่ยากและท้าทาย ฝ่ายจัดการต้องตระหนักว่าความเสี่ยงที่มีโอกาสเกิดขึ้นต่ำและมีผลกระทบต่อองค์กรต่ำไม่ต้องนำมาพิจารณา ในทางตรงกันข้ามหากความเสี่ยงที่มีความเป็นไปได้ที่จะเกิดสูงและมีผลกระทบอย่างมีนัยสำคัญต่อองค์กร ฝ่ายจัดการต้องนำมาพิจารณาและให้ความสนใจ

การประเมินความเสี่ยง ฝ่ายจัดการต้องพิจารณาผลกระทบทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่คาดไว้ซึ่งมีความเป็นไปได้ที่จะเกิดขึ้น ส่วนใหญ่เหตุการณ์ต่าง ๆ มักเป็นเหตุการณ์ประจำและเกิดขึ้นอีกครั้งและเหตุการณ์ดังกล่าวถูกนำมาอยู่ในโปรแกรมการบริหารจัดการแล้ว

ส่วนเหตุการณ์ที่ไม่คาดไว้ แม้มีความเป็นไปได้ที่จะเกิดต่ำแต่มีผลกระทบที่เป็นนัยสำคัญ เหตุการณ์ดังกล่าวจะถูกตอบสนองเป็นแต่ละเหตุการณ์ไป ทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่ได้คาดไว้ล้วนมีผลกระทบต่อการดำเนินกลยุทธ์และมีผลต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

การประเมินความเสี่ยงถูกนำมาใช้กับความเสี่ยงพื้นฐานขององค์กรหรือความเสี่ยงจากลักษณะธุรกิจ (Inherent risk) เมื่อการตอบสนองความเสี่ยงถูกพัฒนาขึ้น ฝ่ายจัดการจะใช้เทคนิคการประเมินความเสี่ยงในการจัดการกับความเสี่ยงที่เหลืออยู่ (Residual Risk)

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn