แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ครั้งที่แล้ว ผมได้กล่าวถึงเรื่องของการบริหารความเสี่ยงว่า การบริหารความเสี่ยงขององค์กรจะบรรลุผลสำเร็จหรือไม่ ขึ้นอยู่กับข้อจำกัดต่าง ๆ ที่มีอยู่ในกระบวนการบริหาร รวมถึงการพิจารณาตัดสินใจของผู้บริหารในรายละเอียดต่าง ๆ ที่เกิดขึ้นกันไปแล้ว วันนี้ผมจะมาเล่าให้ฟังว่าคณะกรรมการ คณะกรรมการตรวจสอบ ผู้บริหาร ผู้ตรวจสอบภายใน รวมถึงพนักงานทุกคนในองค์กร มีส่วนทำให้องค์กรบรรลุผลสำเร็จในการบริหารความเสี่ยงขององค์กรได้อย่างไร ไปติดตามบทบาทและการกำกับดูแลการบริหารความเสี่ยงกันครับ

คณะกรรมการบริหารและพนักงานทุกคนในองค์กร มีหน้าที่ในการบริหารความเสี่ยงขององค์กร CEO หรือ ผู้อำนวยการ เป็นผู้รับผิดชอบสูงสุด และอาจถือว่าเป็น “เจ้าของ” งานในการบริหารความเสี่ยงขององค์กร ผู้อำนวยการ ผู้จัดการอื่น ๆ ต้องสนับสนุนปรัชญาเรื่องความเสี่ยง สนับสนุนการปฏิบัติตามความเสี่งที่ยอมรับได้หรือ Risk Appetite และจัดการหน้าที่ต่าง ๆ ที่เป็นองค์ประกอบของการบริหารความเสี่ยงในหน้าที่ที่ได้รับมอบหมาย ตามวัฒนธรรมความเสี่ยงขององค์กรให้เกิดประสิทธิผล

คำจำกัดความ Risk Appetite หรือความเสี่ยงที่ยอมรับได้
– จำนวน หรือข้อความของความเสี่ยงในภาพกว้าง ที่องค์กรสามารถยอมรับได้เพื่อสร้างมูลค่าให้กับผู้มีผลประโยชน์ร่วม
– ใช้เป็นแนวทางในการกำหนดกลยุทธ์องค์กร เพื่อการจัดสรรทรัพยากรอย่างเหมาะสม
– การกำหนด Risk Appetite ขึ้นอยู่กับ
• ปัจจัยภายใน – ระดับของการหลีกเลี่ยงความเสี่ยง
• ปัจจัยภายนอก – ระดับของความไม่แน่นอนของสภาพแวดล้อมทางธุรกิจขององค์กร

แนวทางในการกำหนด Risk Appetite สามารถกำหนดได้จากการพิจารณาถึงประเด็นต่าง ๆ ต่อไปนี้
– ความต้องการของผู้มีผลประโยชน์ร่วม
– วัตถุประสงค์องค์กรเชิงกลยุทธ์
– ปัจจัยการสร้างมูลค่าองค์กร
– ความเสี่ยงที่อาจส่งผลต่อวัตถุประสงค์ขององค์กร

บุคลากรอื่น ๆ มีหน้าที่ในการกำหนดแนวทางและวิธีการบริหารความเสี่ยงขององค์กร คณะกรรมการบริหารจะเตรียมการดูแลที่สำคัญเรื่องการบริหารความเสี่ยงขององค์กร จำนวนของคณะที่ปรึกษาจากภายนอก จะเป็นผู้ให้ข้อมูลข่าวสารที่เป็นประโยชน์ในการบริหารความเสี่ยงขององค์กร อย่างไรก็ตามคณะบุคคลจากภายนอก เช่น บริษัทที่ปรึกษาด้านบริหารความเสี่ยง ที่ปรึกษา ผู้ตรวจสอบภายนอก ฯลฯ ไม่ได้มีความรับผิดชอบในประสิทธิผลของการบริหารความเสี่ยงขององค์กร แต่สามารถช่วยองค์กรให้บรรลุเป้าหมายตามที่ต้องการได้

โครงสร้างการบริหารความเสี่ยงขององค์กรทั่วไป
โครงสร้างการบริหารความเสี่ยงของแต่ละองค์กรนั้น ไม่มีรูปแบบที่เป็นมาตรฐานเพียงแบบเดียว หากต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร โดยพิจารณาจากวัฒนธรรม ความซับซ้อนของการดำเนินงาน ประเภทของธุรกิจ และลักษณะของธุรกิจเป็นองค์ประกอบ

อย่างไรก็ตาม สิ่งที่สำคัญของโครงสร้างการบริหารความเสี่ยง คือการที่คณะกรรมการและผู้บริหารทุกระดับมีบทบาท และมีส่วนร่วมในการพัฒนาการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลขององค์กร จะช่วยในการประเมิน ควบคุม และติดตามความเสี่ยงของแต่ละหน่วยธุรกิจ/หน่วยงาน และทำให้เกิดความมั่นใจการปฏิบัติงานในการบริหารความเสี่ยงที่ได้ผล

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลควรประกอบด้วย
– คณะกรรมการหรือ อนุกรรมการที่มีความรับผิดชอบโดยตรงในการกำกับดูแลการบริหารความเสี่ยง
– คณะกรรมการบริหารความเสี่ยงที่ได้รับการแต่งตั้งให้ทำหน้าที่ในการพัฒนาการบริหารความเสี่ยง อย่างน้อยควรประกอบด้วยผู้บริหารระดับสูงขององค์กร เช่น กรรมการผู้จัดการ และรองกรรมการผู้จัดการ
– หน่วยงานหรือผู้รับผิดชอบในการนำเอาวิสัยทัศน์ขององค์กรในส่วนที่เกี่ยวกับการบริหารความเสี่ยงไปกำหนดเป็นนโยบายและปฏิบัติ

บทบาทและความรับผิดชอบในการบริหารความเสี่ยง
บุคคลที่ได้รับมอบหมายให้รับผิดชอบในการจัดการความเสี่ยงในแต่ละเรื่อง ควรมีคุณสมบัติดังนี้
– สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน
– สามารถจัดให้มีกิจกรรมต่าง ๆ ดังต่อไปนี้ได้อย่างมีประสิทธิภาพและประสิทธิผล
• การกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
• การประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการความเสี่ยงในปัจจุบันแล้ว
• การกำหนดเวลาที่แน่นอนในแต่ละขั้นตอนการดำเนินการให้เป็นไปตามแผนที่กำหนดไว้

บทบาทหน้าที่ของผู้บริหารความเสี่ยง

คณะกรรมการบริหารขององค์กร
– กำหนดนโยบายและกลยุทธ์การบริหารความเสี่ยงที่สำคัญ
– สอบทานความเสี่ยง ติดตาม และประเมินผลการบริหารความเสี่ยงในภาพรวม
– มีความเข้าใจถึงความเสี่ยงที่อาจมีผลกระทบร้ายแรงต่อองค์กร และทำให้มั่นใจว่ามีการดำเนินการที่เหมาะสมเพื่อจัดการความเสี่ยงนั้น ๆ
– ให้ข้อเสนอแนะ ให้ความเห็นชอบในการบริหารความเสี่ยงขององค์กร

คณะกรรมการตรวจสอบองค์กร
– ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงทั่วทั้งองค์กร
– กำกับดูแลและติดตามการบริหารความเสี่ยงอย่างเป็นอิสระ
– ติดตามประสิทธิภาพการทำงานของหน่วยงานตรวจสอบภายใน ในลักษณะติดตามการตรวจสอบตามฐานความเสี่ยง
– รายงานต่อคณะกรรมการและผู้มีผลประโยชน์ร่วมเกี่ยวกับประสิทธิภาพและประสิทธิผลของการควบคุมภายใน
– การสอบทานแผนการบริหารความเสี่ยง
– ให้ข้อเสนอแนะการบริหารความเสี่ยง
– สื่อสารกับคณะกรรมการบริหารความเสี่ยง เพื่อให้เข้าใจความเสี่ยงที่สำคัญ และเชื่อมโยงกับการควบคุมภายใน

คณะกรรมการหรืออนุกรรมการบริหารความเสี่ยง
– พิจารณาและกำหนดนโยบาย โครงสร้าง และกรอบการจัดวางระบบการบริหารความเสี่ยงขององค์กร
– กำหนดกรอบการจัดวางระบบการควบคุมภายในให้เป็นไปตามมาตรฐานการควบคุมภายใน ตามระเบียบคณะกรรมการตรวจเงินแผ่นดิน (คตง.) และของกระทรวงการคลัง หรือหน่วยงานภาครัฐที่เกี่ยวข้อง
– กำกับดูแล และสนับสนุนให้ทุกส่วนงานขององค์กร มีระบบการควบคุมภายในตามระเบียบ คตง. หรือหน่วยงานภาครัฐที่เกี่ยวข้อง และมีกระบวนการบริหารความเสี่ยงของส่วนงาน
– กำหนดระดับความเสี่ยงที่สามารถยอมรับได้ และกำหนดกรอบการบริหารความเสี่ยง
– พิจารณาความเสี่ยงที่มีนัยสำคัญ และใช้วิธีจัดการความเสี่ยงอย่างมีประสิทธิภาพและประสิทธิผล
– ติดตามดูแลการพัฒนาระบบการควบคุมภายใน และระบบการบริหารความเสี่ยงขององค์กร
– ติดตามกระบวนการบ่งชี้และประเมินความเสี่ยง
– นำแผนการบริหารความเสี่ยงทั่วทั้งองค์กรไปสู่การปฏิบัติ เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุเป้าหมายได้อย่างมีคุณภาพ และสอดคล้องกับหลักการบริหารความเสี่ยงทั่วทั้งองค์กร
– พิจารณารายงานที่เกี่ยวกับการควบคุมภายใน และการบริหารความเสี่ยง
– สนับสนุนให้ผู้บริหาร และพนักงานมีความตระหนักถึงความสำคัญของการควบคุมภายใน และการบริหารความเสี่ยง
– ติดตาม และประเมินความเพียงพอ ประสิทธิภาพ และประสิทธิผลของการจัดการความเสี่ยงในแต่ละด้าน และให้ข้อแนะนำเพื่อปรับปรุงแก้ไขการจัดการความเสี่ยง
– รายงานต่อคณะกรรมการเกี่ยวกับความเสี่ยง และการจัดการความเสี่ยง
– สื่อสารกับคณะกรรมการตรวจสอบเกี่ยวกับความเสี่ยงที่สำคัญ

ผู้อำนวยการสำนักงาน/กรรมการผู้จัดการ
– ติดตามความเสี่ยงที่สำคัญทั้งองค์กร และทำให้มั่นใจได้ว่ามีแผนการจัดการที่เหมาะสม
– ส่งเสริมนโยบายการบริหารความเสี่ยง และทำให้มั่นใจว่ากระบวนการบริหารความเสี่ยงได้รับการปฏิบัติทั่วทั้งองค์กร

รองผู้อำนวยการสำนักงาน/รองกรรมการผู้จัดการ
– ติดตามความเสี่ยงทางกลยุทธ์ และความเสี่ยงด้านการปฏิบัติการที่สำคัญ และทำให้มั่นใจได้ว่ามีแผนการจัดการความเสี่ยงที่เหมาะสม
– ส่งเสริมวัฒนธรรมการบริหารความเสี่ยง และทำให้มั่นใจได้ว่า ผู้อำนวยการฝ่ายให้ความสำคัญกับการบริหารความเสี่ยงในฝ่ายของตน

ผู้อำนวยการฝ่าย
– ทำให้มั่นใจว่าการปฏิบัติงานรายวันมีการประเมิน จัดการและรายงานความเสี่ยงอย่างเพียงพอ
– ส่งเสริมพนักงานในฝ่ายงานให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

หัวหน้างานหรือพนักงาน
– ระบุและรายงานความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานต่อผู้อำนวยการฝ่าย และเข้าร่วมใจการจัดทำแผนจัดการความเสี่ยง และนำแผนไปปฏิบัติ

หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ปฏิบัติหน้าที่ประจำวันแทนคณะกรรมการบริหารความเสี่ยง
– จัดทำนโยบายความเสี่ยง กรอบและกระบวนการให้กับหน่วยธุรกิจ/หน่วยงาน และเสนอคณะกรรมการบริหารความเสี่ยงเพื่ออนุมัติ
– ให้การสนับสนุนและแนะนำกระบวนการบริหารความเสี่ยงแก่หน่วยงานต่าง ๆ ภายในองค์กรตามที่มีการร้องขอ

ผู้ตรวจสอบภายใน
– ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมต่อการจัดการความเสี่ยงและการควบคุมเหล่านั้นได้รับการปฏิบัติตามภายในองค์กร
– ทำให้มั่นใจว่าได้มีการนำระบบการบริหารความเสี่ยงมาปรับใช้อย่างเหมาะสมและมีการปฏิบัติตามทั่วทั้งองค์กร
– สอบทานการปฏิบัติงานของหน่วยงานการบริหารความเสี่ยงและการปฏิบัติงานของ Risk Manager ทุกหน่วยงาน โดยเฉพาะอย่างยิ่ง การบริหารแผนงานและโครงการ
– สื่อสารกับหน่วยงานการบริหารความเสี่ยง เพื่อทำความเข้าใจเกี่ยวกับความเสี่ยง และดำเนินการตรวจสอบภายในตามแนวความเสี่ยง
– รายงานผลการบริหารความเสี่ยงและการควบคุมภายในตามฐานความเสี่ยงให้กับคณะกรรมการตรวจสอบ

This entry was posted on วันศุกร์ที่ 29 มกราคม 2010 at 7:00 pm and is filed under แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

ใส่ความเห็น