เมื่อท่านผู้บริหาร และท่านผู้อ่านทั้งหลาย ได้ทราบถึงแนวคิดความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ที่จะเกิดขึ้นของปัจจัยหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบต่อความไม่สำเร็จขององค์กร เพื่อจะนำมาประเมินค่าความเสี่ยงและโอกาสที่จะเกิดขึ้น รวมถึงการพิจารณาความเสี่ยงที่มีอยู่และความเสี่ยงส่วนที่เหลือ โดยการใช้ข้อมูลที่สังเกตได้ วิธีการและเทคนิคเชิงปริมาณและคุณภาพไปแล้วนั้น วันนี้ผมจะพาท่านไปสู่ขั้นตอนของการประเมินความเสี่ยงกันครับ
ขั้นตอนการประเมินความเสี่ยง
ขั้นตอนการประเมินความเสี่ยง
จากความเสี่ยงที่ได้ระบุไว้ข้างต้น จะนำรายการความเสี่ยงทั้งหมดมาพิจารณาเพื่อประเมินระดับความเสี่ยง
1. การประเมินระดับความเสี่ยง (Risk Score)
1.1. การประเมินความเป็นไปได้ (Likelihood)
การประเมินความเป็นไปได้ พิจารณาได้ในรูปแบบของความถี่ (Frequency) หรือโอกาสที่จะเกิดความเสี่ยง โดยแบ่งออกเป็น 4 ระดับ ดังนี้
การประเมินค่าความเป็นไปได้
1.2. การประเมินผลกระทบ (Impact)
การประเมินผลกระทบของความเสี่ยง ทั้งที่เป็นตัวเงินและไม่เป็นตัวเงินที่อาจเกิดขึ้นมีดังนี้
ผลกระทบด้านการเงิน เป็นผลกระทบหรือความเสียหายที่เกิดจากความเสี่ยง และสามารถประเมินค่าเป็นตัวเงินได้ ได้แก่
– ผลกระทบจากค่าความเสียหายในด้านต่าง ๆ ต่อทรัพย์สิน
– ผลกระทบจากการลงทุน/การร่วมลงทุน
– ผลกระทบค่าใช้จ่ายการลงทุนหรือการบรรลุวัตถุประสงค์ในระดับต่าง ๆ
– ผลกระทบต่อการเบิกจ่ายงบประมาณ
ผลกระทบต่อการดำเนินธุรกิจและความสามารถการแข่งขันทางธุรกิจหรือการบรรลุพันธกิจและวิสัยทัศน์ขององค์กร เป็นผลกระทบที่มีความเสียหายกับการดำเนินงานขององค์กรในภาพโดยรวม รวมถึงความสามารถในการแข่งขันทางธุรกิจ (ถ้ามี)
อย่างไรก็ดี ผลกระทบตามหัวข้อนี้ โดยทั่วไปจะมีผลต่อระบบการดำเนินงานต่อรูปแบบการดำเนินธุรกิจขององค์กร ได้แก่
– ผลกระทบจากปัจจัยภายนอก นโยบายรัฐบาล และกฎหมาย
– ผลกระทบจากการดำเนินงานตามแผนงาน/โครงการ
ผลกระทบด้านชื่อเสียงขององค์กร เป็นความเสียหายต่อชื่อเสียง ไม่ว่าจะเป็นผลจากการดำเนินงานทั้งทางตรงและทางอ้อม ที่ส่งผลต่อภาพพจน์และความเชื่อถือขององค์กรหรือขององค์กร
การประเมินระดับความเสี่ยง ซึ่งจะแบ่งระดับของความเสี่ยงออกเป็น 5 ระดับ และมีค่าความเสี่ยงรวมเท่ากับ 25 คะแนน (Level of Risk) โดยการนำผลที่ได้จากการประเมินความเป็นไปได้และผลกระทบ มาจัดทำแผนผังประเมินความเสี่ยง (Risk Assessment Matrix) อย่างไรก็ดี ระดับการบริหารความเสี่ยงอาจจะแบ่งออกเป็น 4 ระดับหรือ 3 ระดับก็ได้ ขึ้นอยู่กับการจัดกลุ่มความเสี่ยงตามที่องค์กรเห็นสมควร
Risk Assessment Matrix
จาก Risk Assessment Matrix นำรายการความเสี่ยงของแต่ละระดับความเสี่ยงที่ได้จัดเรียงลำดับไว้ (Risk Ranking) มาวิเคราะห์เปรียบเทียบกับเกณฑ์ความสามารถในการยอมรับความเสี่ยง
เกณฑ์ความสามารถในการยอมรับความเสี่ยง
เกณฑ์ความสามารถในการยอมรับความเสี่ยง
* ระดับความเสี่ยงปานกลาง การควบคุมความเสี่ยงต้องมีการติดตามผลและประเมินผลต่อความเสี่ยงที่เกิดขึ้นจริงอย่างมีประสิทธิภาพ/ประสิทธิผล และมีผู้รับผิดชอบโดยตรง เช่น มีแผนปฏิบัติคู่มือปฏิบัติงาน มีการมอบหมายที่ชัดเจน ฯ
2. ความสำคัญของการควบคุมในปัจจุบัน
ในการจัดการความเสี่ยง ผู้รับผิดชอบต้องมีการรวบรวม ประมวลข้อมูล และศึกษาระบบการควบคุมภายใน หรือการบริหารจัดการที่ได้มีการปฏิบัติจริงในปัจจุบัน (ระดับการควบคุม) เพื่อให้การดำเนินงานในขั้นต่อไปเกิดประสิทธิภาพ
การควบคุม พิจารณาได้จาก
– หน้าที่ความรับผิดชอบของคณะกรรมการและหน่วยงานที่เกี่ยวข้อง
– แผนงาน/โครงการ
– แผนปฏิบัติงานประจำ
– งานของคณะกรรมการบริหารของ องค์กร หรือคณะทำงานภายในหน่วยงาน
– ฯลฯ
การพิจารณาการควบคุมมีวัตถุประสงค์เพื่อให้การจัดการความเสี่ยง และการจัดทำแผนบริหารความเสี่ยงในขั้นตอนต่อไปไม่เกิดความซ้ำซ้อน และสร้างมูลค่าเพิ่มในการบรรลุพันธกิจก้าวสู่วิสัยทัศน์ขององค์กร ซึ่งสามารถใช้เป็นข้อมูลประกอบการจัดทำรายละเอียดแผนบริหารความเสี่ยงขององค์กรได้ดี
องค์ประกอบสำคัญของการประเมินความเสี่ยง
โพสต์โดย Metha Suvanasarn 
Information Technology Governance 