ครั้งก่อนผมได้พูดถึงกรอบของการบริหารความเสี่ยงในภาพโดยรวม และยังเคยกล่าวถึงประเภทของความเสี่ยงให้พอได้ทราบกันมาบ้างแล้ว ครั้งนี้เรามาดูกันต่อว่าความเสี่ยงทั้ง 4 ประเภทที่กล่าวถึงนั้นมีอะไรบ้าง และความเสี่ยงต่าง ๆ นั้นมีแหล่งที่มาเกิดจากอะไร ซึ่งในที่นี้ผมจะขอเน้นเฉพาะความเสี่ยงทางด้านปฏิบัติการที่เกิดขึ้นกับองค์กรโดยส่วนใหญ่ เพื่อจะได้ใช้เป็นแนวทางในการระบุความเสี่ยง และจัดการกับความเสี่ยง ซึ่งผมจะได้กล่าวถึงรายละเอียดในคราวต่อ ๆ ไป
ความเสี่ยงของทุกองค์กร อาจแบ่งได้เป็น 4 ประเภท ได้แก่
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านปฏิบัติการ (Operational Risk)
3. ความเสี่ยงด้านการเงินและการรายงาน (Financial & Reporting Risk)
4. ความเสี่ยงด้านกฎหมาย กฎเกณฑ์ต่าง ๆ (Compliance Risk)
ความเสี่ยงส่วนใหญ่ขององค์กรทั่วไป จะเป็นความเสี่ยงด้านปฏิบัติการ ซึ่งหากดูจากแผนภาพด้านล่างก็คงจะพอเข้าใจภาพของ Operational Risk ได้ชัดเจนขึ้น ก่อนที่จะได้กล่าวถึงรายละเอียดกันต่อ
Operational Risk Business Objectives
ความเสี่ยงด้านปฏิบัติการ หมายถึง ความเสี่ยงที่จะเกิดความเสียหายอันเนื่องมาจากการขาดการกํากับดูแลกิจการที่ดี หรือขาดธรรมาภิบาลในองค์กร และการขาดการควบคุมที่ดี โดยอาจเกี่ยวข้องกับกระบวนการปฏิบัติงานภายใน คน ระบบงาน หรือเหตุการณ์ภายนอก และส่งผลกระทบต่อรายได้และเงินกองทุนขององค์กร
แหล่งที่มาของความเสี่ยง
เหตุแห่งความเสี่ยงด้านปฏิบัติการ เป็นความเสี่ยงที่จะเกิดความเสียหายโดยตรงหรือโดยอ้อม เนื่องจากการขาดระบบงาน การขาดการควบคุมที่ดี การจัดการภายในล้มเหลวจนทำให้เกิดความสูญเสีย และความผิดพลาดในการปฏิบัติงาน โดยมีสาเหตุต่าง ๆ ดังนี้
1. ความเสี่ยงที่เกิดจากบุคลากร (People Risk) ได้แก่
• ความด้อยศักยภาพของพนักงาน
– การขาดความรู้ความชำนาญในงานที่รับผิดชอบ
– การขาดความสามารถในการทำงานเป็นทีม
– การละเลยไม่ให้ความสำคัญกับกลุ่มลูกค้า
– การขาดการทำงานแบบมืออาชีพ
– การขาดความสามารถในการวิเคราะห์หรือใช้วิจารณญานในการตัดสินใจ
– การตีความข้อมูลที่ใช้ในการปฏิบัติงานผิดพลาด
• การทุจริต
– การทุจริตหรือกระทำผิดจรรยาบรรณ
– การใช้ตำแหน่งหน้าที่ของตนเพื่อประโยชน์ส่วนตัว
• ความผิดพลาดของพนักงาน (Human Error)
– ความผิดพลาดของพนักงานในการปฏิบัติงาน โดยมิได้มีเจตนาจะกระทำผิดหรือทุจริต
– ความประมาท เลินเล่อ หรือไม่รอบคอบ
• การบริหารและการจัดการบุคลากร
– การบริหารทรัพยากรบุคคลไม่เหมาะสม เช่น การมีพนักงานมาก-น้อยเกินไป
– การด้อยประสิทธิภาพในการสรรหา
– การมอบหมายงานไม่ตรงตามความสามารถ
– การขาดการอบรมให้พนักงานมีความเชี่ยวชาญหรือเพิ่มขีดความสามารถในการปฏิบัติงาน
– การขาดเครื่องมือในการสร้างแรงจูงใจให้พนักงานที่มีความสามารถให้คงอยู่กับองค์กร
– การประเมินผลงานที่ไม่ยุติธรรม
– ค่าตอบแทนที่ไม่เหมาะสม
– การพึ่งพิงกับพนักงานหลักมากเกินไป
• การบริหารทรัพยากรขององค์กร
– การบริหารทรัพยากรขององค์กรไม่เหมาะสม เช่น ไม่มีอุปกรณ์ที่ให้ความสะดวกหรือมีไม่เพียงพอต่อความจำเป็นในการปฏิบัติงาน
– อุปกรณ์ไม่อยู่ในสภาพที่ดีต่อการใช้งาน
– การมีโครงสร้างพื้นฐานทางเทคโนโลยีที่ไม่เหมาะสมกับงานหรือล้าสมัย
2. ความเสี่ยงที่เกิดจากกระบวนการหรือขั้นตอนการปฏิบัติงาน
(Process Risk)
• ความบกพร่องของการบริหารองค์กรที่ได้คุณภาพ (Model / Methodology Error)
– ความบกพร่องของการวางแผนการใช้โปรแกรมเพื่อการบริหารและการจัดการแบบบูรณาการ (Plan – Do – Check – Act)
– ความผิดพลาดในการพัฒนากำหนดสูตรการคำนวณต่าง ๆ เช่น การกำหนดน้ำหนักของกลยุทธ์ พันธกิจ แผนงานและโครงการต่าง ๆ ของ องค์กรในการก้าวสู่วิสัยทัศน์ที่กำหนด ในกรณีที่เป็นสถาบันการเงินก็จะเป็นความผิดพลาดจากการกำหนดอัตราส่วนทางการเงิน การประเมินมูลค่าหลักทรัพย์/ทรัพย์สิน/หนี้สิน และการประเมินมูลค่าหลักประกันผิดพลาด
– ข้อบกพร่องของวิธีการ/ขั้นตอนการปฏิบัติงาน ซึ่งทำให้การปฏิบัติงานไม่มีประสิทธิภาพเพียงพอ
– การรายงานผลต่าง ๆ ไม่ถูกต้อง และขาดการติดตาม
• ผลิตภัณฑ์ และบริการที่ไม่เหมาะสม
– การกำหนดน้ำหนักของงบประมาณเพื่อขับเคลื่อนแผนงานของการบรรลุเป้าหมายที่ไม่สัมพันธ์กับวิสัยทัศน์และเป้าประสงค์ขององค์กร
– การออกแบบ/พัฒนาและส่งเสริมผลิตภัณฑ์และบริการไม่สอดคล้องกับทิศทางของพันธกิจและวิสัยทัศน์
– ผลิตภัณฑ์/บริการมีความซับซ้อนหรือมีข้อบกพร่อง หรือไม่อาจวัดผลความสำเร็จที่ชัดเจนเป็นรูปธรรม ทำให้ผู้มีผลประโยชน์ร่วมไม่พึงพอใจ
• การปฏิบัติตามกฎหมาย กฎเกณฑ์ ของผู้กำกับ
– เกิดจากการกำกับดูแลและกฎระเบียบที่องค์กรเผชิญอยู่ หากองค์กรวางแผนการปฏิบัติต่าง ๆ ไม่สอดคล้องกับข้อกำหนดของทางการ หรือหน่วยงานที่กำกับดูแล
– ความเสี่ยงจากการตีความข้อกฎหมาย ที่เอื้ออำนวยต่อการดำเนินธุรกิจขององค์กร
• การสื่อสารเพื่อสร้างความเข้าใจ (Communication)
– การเข้าใจไม่ตรงกันในการสื่อข้อความทำให้ตีความผิดพลาด
– การสื่อสารที่ไม่ทั่วถึงทุกฝ่ายงานที่เกี่ยวข้อง
– การขาดการประสานงาน/ร่วมมือที่ดีระหว่างฝ่ายงาน
– ข้อมูลที่เผยแพร่ภายนอกองค์กรไม่ถูกต้อง ไม่สอดคล้องกันก่อให้เกิดความไม่น่าเชื่อถือ โดยเฉพาะกรณีที่มีการนำข้อมูลไปใช้อ้างอิง
• ระบบงานขาดมาตรฐานและการควบคุมที่ดี
– การขาดมาตรฐาน/คู่มือ/แนวทางและรายละเอียดในการปฏิบัติงาน
– การขาดระบบการตรวจสอบ/การควบคุม/การรักษาความปลอดภัยที่ดีหรือมีไม่เพียงพอ
3. ความเสี่ยงที่เกิดจากการใช้เทคโนโลยี (Technology Risk)
• การรักษาความปลอดภัยตามมาตรฐานที่ดี
– การขาดระบบรักษาความปลอดภัยของข้อมูลหรือระบบคอมพิวเตอร์ ตลอดจนการสำรองข้อมูล หรือมีแต่ด้อยประสิทธิภาพ
– การขาดมาตรการควบคุมและตรวจสอบระบบอย่างสม่ำเสมอ
– การขาดแผนสำรองฉุกเฉิน
• ระบบงานมีข้อผิดพลาดหรือล้มเหลว
– ความผิดพลาด/ความสูญเสียของระบบ เนื่องจากอัคคีภัย ภัยธรรมชาติ
– ปัญหาด้านเทคนิค กระแสไฟฟ้าขัดข้อง
– ระบบสูญเสียความสามารถบางส่วน/ทั้งหมด จากการทำลายของไวรัสคอมพิวเตอร์
• ความบกพร่องของโปรแกรมคอมพิวเตอร์
– ความผิดพลาด/ไม่สมบูรณ์ของโปรแกรมคอมพิวเตอร์ที่ใช้
• ความบกพร่องของระบบการสื่อสาร
– การขัดข้องของระบบการสื่อสาร เช่น Computer Network , โทรศัพท์ , โทรสาร
• สารสนเทศที่ใช้ในการบริหารและปฏิบัติงานไม่น่าเชื่อถือ
– ข้อมูลสำหรับการปฏิบัติงานมีไม่เพียงพอ ไม่สมบูรณ์ ไม่ถูกต้อง
– ระบบข้อมูลไม่ถูกต้อง ทำให้ไม่สามารถนำข้อมูลไปใช้งานได้
– การมีหลายระบบที่แสดงข้อมูลในลักษณะเดียวกัน แต่แสดงข้อมูลไม่สอดคล้อง/ไม่ตรงกัน
4. ความเสี่ยงที่เกิดจากเหตุการณ์ภายนอก (External Risk)
– ความไม่แน่นอนของนโยบายของรัฐ และหน่วยงานที่เกี่ยวข้อง
– การสูญเสียที่เกิดขึ้นกับทรัพย์สินหรือรายได้อันเนื่องมาจากอุบัติภัยต่าง ๆ ที่ไม่คาดคิด เช่นไฟไหม้ น้ำท่วม แผ่นดินไหว
– ความเสียหายจากการที่คู่ค้าหรือคู่สัญญาขององค์กรไม่สามารถปฏิบัติตามข้อตกลงหรือปฏิบัติตามสัญญาที่ให้ไว้กับองค์กรได้
– ความเสียหายจากการที่คู่ค้าหรือคู่สัญญาขององค์กร ใช้องค์กรเป็นเครื่องมือในการฟอกเงินและกระทำผิดกฎหมาย
– การขาดแผนรองรับเหตุการณ์ฉุกเฉินต่าง ๆ
– ไม่มีการทำประกันภัย ในธุรกรรมใด ๆ ที่มีความเสี่ยง
โพสต์โดย Metha Suvanasarn 
Information Technology Governance 