ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 3

กุมภาพันธ์ 11, 2011

ครั้งที่แล้วผมได้เกริ่นนำถึงมุมมองของการติดตามของผู้บริหารกับความเสี่ยง รวมทั้งวัตถุประสงค์ในการกำกับและติดตามการบริหารความเสี่ยงด้านกลยุทธ์ ซึ่งในสองสามตอนแรกนี้จะเป็นช่วงของการเกริ่นนำทั่ว ๆ ไป โดยรวม ๆ เพื่อก้าวไปสู่การบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์

เมื่อกล่าวถึงการบริหารความเสี่ยง และการตรวจสอบขององค์กรนั้น เราต้องไม่ลืมว่าการตรวจสอบโดยผู้ตรวจสอบภายในกับการติดตามการบริหารความเสี่ยงในแง่มุมต่าง ๆ ซึ่งในที่นี้จะเน้นที่เกี่ยวข้องกับกลยุทธ์นั้น ก็เป็นหน้าที่ของผู้บริหารเช่นเดียวกัน ซึ่งเรียกกันโดยทั่วไปว่า การติดตาม (Monitoring) นั่นเอง

การประเมิน ติดตาม และตรวจสอบการบริหารความเสี่ยงมีหลาย ๆ ด้านด้วยกัน แต่ในที่นี้ผมจะขอกล่าวถึงเฉพาะในมุมมองของความเสี่ยงด้านกลยุทธ์ ซึ่งในคำจำกัดความของความเสี่ยงด้านกลยุทธจะหมายถึง ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงานและการนำไปปฏิบัติไม่เหมาะสม หรือไม่สอดคล้องกับปัจจัยภายในและสภาพแวดล้อมภายนอก อันส่งผลกระทบต่อรายได้ หรือมุมมองอื่นของเป้าประสงค์ขององค์กร ไม่ว่าจะมองในมุมมองของ S – O – F – C ตามหลักการของ COSO หรือความเสี่ยง 5 – 7 ด้านของ ธปท. ที่มีผลกระทบต่อความสามารถในการดำรงอยู่ของกิจการ

โดยปกติแนวโน้มของความเสี่ยงถ้าเป็นสถาบันการเงิน หรือแม้กระทั่งองค์กรทั่วไป ก็จะมีผลมาจากปัจจัย 3 ประการ คือ การเปลี่ยนแปลงของปัจจัยภายนอก การเปลี่ยนแปลงปริมาณและความซับซ้อนของธุรกรรม และประสิทธิภาพของระบบบริหารความเสี่ยงที่มีอยู่มากกว่าจะมาจากปัจจัยภายในองค์กร

การมีแนวโน้มที่เพิ่มขึ้นอาจเกิดจากการที่ปัจจัยภายนอกเปลี่ยนแปลงไป เช่น การแข่งขันที่สูงขึ้นทำให้มีความเสี่ยงด้านกลยุทธ์ หรือความเสี่ยงด้านอื่น ๆ เพิ่มขึ้น แม้ว่าจะไม่มีการเปลี่ยนแปลงของปัจจัยภายในองค์กร ในกรณีดังกล่าว องค์กรจะต้องทำงานหนักและรัดกุมมากขึ้น เพื่อที่จะรักษาสถานภาพในการแข่งขันของตน ในขณะเดียวกันความผันผวนของตลาดที่เพิ่มขึ้น ทำให้เกิดความเสี่ยงด้านตลาดและความเสี่ยงด้านสภาพคล่องขององค์กร

แม้ว่าระบบที่มีอยู่ในปัจจุบันอาจเพียงพอที่จะจัดการกับความเสี่ยงในสถานการณ์ปกติ แต่อาจไม่เพียงพอเมื่อตลาดมีความผันผวนมากขึ้น ทำให้มีโอกาสที่จะเกิดความสูญเสียมากขึ้น ผู้ตรวจสอบต้องอาศัยข้อมูลภายนอก เช่น ข่าว รายงาน แนวโน้มอุตสาหกรรม และธุรกรรมขององค์กรเพื่อพิจารณาถึงความเสี่ยงที่อาจมีเพิ่มขึ้น

ความเสี่ยงที่เพิ่มขึ้นอาจเกิดจากการเปลี่ยนแปลงกลยุทธ์ หรือแผนงานธุรกิจขององค์กร ซึ่งอาจจะเกิดจากปัจจัยภายในก็ได้ในบางสถานการณ์ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่เปลี่ยนแปลงไป และเทคโนโลยีที่เปลี่ยนแปลงไป ตัวบ่งชี้ถึงความเสี่ยงที่เพิ่มขึ้น ได้แก่ การขยายตัวอย่างรวดเร็วของสินทรัพย์โดยรวม หรือสินทรัพย์ประเภทใดประเภทหนึ่ง โดยเฉพาะการเพิ่มขึ้นของการกระจุกตัวของเครดิตที่ให้กับลูกค้าที่อาจไม่สัมพันธ์กับสภาพคล่องขององค์กรเอง รวมทั้งแหล่งเงินทุน หรือมีการทำธุรกรรมใหม่ ๆ

โดยปกติผู้ตรวจสอบจะอาศัยกระบวนการวิเคราะห์ติดตาม (Monitoring) และระบบเตือนภัยล่วงหน้า (EWS – Early warning system) ในการระบุถึงการเพิ่มขึ้นของความเสี่ยงที่เกิดจากปัจจัยภายใน ซึ่งปกติจะพิจารณาได้จากอัตราส่วนทางการเงินที่มีแนวโน้มผิดปกติ หรือสัญญานเตือนภัยในระบบเตือนภัยล่วงหน้า

นอกจากนี้ ความเสี่ยงที่เพิ่มขึ้นอาจเกิดจากระบบการบริหารความเสี่ยงที่ไม่มีประสิทธิภาพ เช่น การพยายามลดต้นทุน โดยการลดงบประมาณการจัดการความเสี่ยง ในขณะที่การทำธุรกรรมยังคงเหมือนเดิม หรืออาจเกิดจากการที่ฝ่ายบริหาร ไม่ได้มีการกำหนดแผนในการฝึกอบรมหรือบุคคลที่จะมารับช่วงต่อ ในกรณีเกิดเหตุการณ์ที่ทำให้ตำแหน่งผู้บริหารระดับสูงว่างลง หรือการที่ไม่สามารถหาบุคลากรที่มีคุณสมบัติเหมาะสมมาดำรงตำแหน่งงานด้านบริหารความเสี่ยงได้

แนวโน้มความเสี่ยงที่อยู่ในสถานการณ์คงที่ เกิดจากการที่ปัจจัยต่าง ๆ ที่เกี่ยวข้องทั้งหมดไม่มีการเปลี่ยนแปลงหรือมีแต่น้อยมาก โดยที่ปัจจัยภายนอกไม่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ เช่น ภาวะการแข่งขันของตลาด โดยเฉพาะอย่างยิ่งไม่มีคู่แข่งใหม่เข้ามาในตลาด โครงสร้างการถือหุ้นไม่เปลี่ยนแปลง และมีผลิตภัณฑ์ใหม่ ๆ หรือการริเริ่มอะไรใหม่ ๆ ในตลาดไม่มากนัก

สำหรับปัจจัยภายใน รายงานการวิเคราะห์ติดตามและระบบเตือนภัยล่วงหน้า ไม่ได้แสดงให้เห็นว่ามีการเปลี่ยนแปลงที่สำคัญใด ๆ ในปริมาณการกระจุกตัว หรือโครงสร้างของสินทรัพย์ งบประมาณไม่เปลี่ยนแปลงมากนัก มีการเปลี่ยนแปลงจำนวนพนักงานและทรัพยากรเพียงเล็กน้อย

แนวโน้มความเสี่ยงที่อยู่ในสถานการณ์ลดลง เกิดจากการลดลงของอิทธิพลจากปัจจัยภายนอก หรือการที่องค์กรมีระบบการปฏิบัติงานที่ไม่ซับซ้อน เช่น มีจำนวนคู่แข่งน้อยลง หรือคู่แข่งมีความสามารถในการแข่งขันหรือทรงอิทธิพลน้อยลง การเคลื่อนไหวทางเศรษฐกิจเป็นไปอย่างช้า ๆ ซึ่งอาจจะทำให้ความเสี่ยงลดลงได้

สำหรับปัจจัยภายใน องค์กรสามารถลดความเสี่ยงได้ โดยการลดการใช้กลยุทธ์การทำธุรกิจไม่ว่าจะเป็นผลิตภัณฑ์หรือการให้บริการที่มีความซับซ้อนลง โดยปกติองค์กรที่เน้นผลิตภัณฑ์และบริการที่ไม่ซับซ้อน จะมีความเสี่ยงต่ำกว่าองค์กรที่เน้นทำธุรกรรมเพื่อค้า นอกจากนี้องค์กรสามารถลดความเสี่ยงลงได้ ด้วยการจัดให้มีระบบการบริหารความเสี่ยงที่มีประสิทธิภาพ

ความรู้ของผู้ตรวจสอบเพียงอย่างเดียวอาจไม่เพียงพอ การตรวจสอบซึ่งเน้นในเรื่องความเสี่ยงจะประสบผลสำเร็จได้ก็ต่อเมื่อ ผู้ตรวจสอบมีความรู้ความเข้าใจในธุรกิจขององค์กรเป็นอย่างดีในลักษณะของภาพโดยรวมของความเสี่ยงทั้งองค์กร ซึ่งจะช่วยให้สามารถชี้ความเสี่ยงที่มีอยู่และวางแผนการตรวจสอบอย่างเหมาะสมได้

สำหรับครั้งหน้าเราจะไปติดตามเรื่องของการจัดระดับความเสี่ยงด้านกลยุทธ์กันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 2

กุมภาพันธ์ 6, 2011

ในตอนที่ 1 ผมได้เล่าถึงมุมมองของการติดตามของผู้บริหารกับความเสี่ยง รวมทั้งการตรวจสอบด้านกลยุทธ์ที่เกี่ยวข้องกับความเสี่ยง ซึ่งเป็นเรื่องที่มีความสำคัญเป็นอย่างยิ่งและเกี่ยวข้องกับศักยภาพของการแข่งขัน และการเติบโตอย่างยั่งยืนของธุรกิจ และในบางกรณีจะเกี่ยวข้องกับการอยู่รอดของธุรกิจอย่างสำคัญ

วัตถุประสงค์ในการกำกับและติดตามการบริหารความเสี่ยงด้านกลยุทธ์ รวมทั้งบางมุมมองของการตรวจสอบนั้น ก็เพื่อให้องค์กรทั้งระบบมีความมั่นคงเข้มแข็ง โดยในการกำกับและการตรวจสอบภายในขององค์กร ซึ่งอาจจะรวมถึงบางมุมมองจากผู้กำกับของหน่วยงานภายนอก ก็อาจจะใช้แนวทางต่อไปนี้ในการประเมินความเข้มแข็งในการบริหารองค์กร ด้านต่าง ๆ ดังต่อไปนี้
1. ฐานะการเงิน และผลการดำเนินงาน
2. ประเภทและระดับของความเสี่ยง และผลกระทบที่มีต่อผลการดำเนินงาน
3. บทบาทของผู้บริหาร ความรู้ความเข้าใจ การติดตาม และควบคุมความเสี่ยง
4. ความเพียงพอของระบบบริหารความเสี่ยงที่จะรองรับความเสี่ยงที่มีอยู่

Strategic Risk

การติดตามและการกำกับ รวมทั้งมุมมองในการตรวจสอบยุคใหม่ขององค์กรต่าง ๆ ในปัจจุบันนั้น เป็นการติดตามกระบวนการบริหารความเสี่ยง และการตรวจสอบอย่างต่อเนื่อง กล่าวคือ เมื่อมีการติดตามและกำกับโดยฝ่ายบริหาร ซึ่งเป็นเรื่องปกติแล้ว สายงานตรวจสอบก็ยังต้องติดตามตรวจสอบคุณภาพการบริหารความเสี่ยงของฝ่ายบริหาร เพื่อประเมินผลสัมฤทธ์ในมุมมองต่าง ๆ ตามหลักการของ Business Balance Scorecard และในกรณีที่สายงานตรวจสอบพิจารณาว่า การบริหารความเสี่ยงในบางมุมมองขององค์กร โดยเฉพาะอย่างยิ่ง การบริหารความเสี่ยงทางด้านกลยุทธ์ ที่จะเชื่อมโยงไปยังทุกมุมมองของผลสัมฤทธ์ที่องค์กรต้องการนั้น ยังมีจุดอ่อนที่อาจปรับปรุงได้ ก็จำเป็นจะต้องเพิ่มความถี่และระยะเวลาในการตรวจสอบ

ตัวอย่างในเรื่องนี้ก็คือ ผู้บริหารและผู้ตรวจสอบไม่เข้าใจสาระความสำคัญของความเสี่ยงด้านกลยุทธ์ ที่มีผลกระทบต่อมูลค่าของกิจการในระยะยาว ไม่มีการวัด ติดตาม และควบคุมความเสี่ยงอย่างเพียงพอ และอย่างทันเวลา เครื่องมือและวิธีวัดความเสี่ยง ไม่เพียงพอและไม่เหมาะสมกับขนาดและความซับซ้อนของธุรกิจ ก็จะมีผลอย่างสำคัญต่อการวางแผนการตรวจสอบ โดยรวบรวมข้อมูลที่เกี่ยวข้องกับการตรวจสอบในภาพโดยรวม (Risk Universe) เพื่อการตรวจสอบการบริหารความเสี่ยงในมุมมองต่าง ๆ ที่เหมาะสมมากยิ่งขึ้น

การติดตามกระบวนการบริหารความเสี่ยง และการปฏิบัติงานตรวจสอบโดยทั่วไปนั้น เป็นที่เข้าใจตรงกันแล้วว่า ผู้บริหารและผู้ตรวจสอบจะคำนึงถึงผลกระทบจากความเสี่ยง และความเหมาะสมของระบบบริหารความเสี่ยง ซึ่งแตกต่างจากการตรวจสอบเพียงฐานะการเงิน หรือผลการดำเนินงาน ณ ปัจจุบันเท่านั้น

ทั้งนี้ เพื่อที่จะสามารถแก้ไขปัญหาได้ทันท่วงทีก่อนที่เกิดความเสียหายหรือความเสียหายลุกลามจนยากแก่การควบคุม

Strategic Risk Management

ในการประเมินความเสี่ยงและความเหมาะสมของระบบบริหารความเสี่ยง ผู้บริหารและผู้ตรวจสอบพึงตระหนักว่า กำไรเกิดจากความเสี่ยง กล่าวคือ หากองค์กรไม่ยอมรับความเสี่ยงก็จะไม่สามารถทำกำไรตามกลยุทธ์ที่กำหนดไว้ได้

ดังนั้น การมีความเสี่ยงสูงไม่ได้หมายถึงไม่ดี หรือการมีความเสี่ยงต่ำไม่ได้หมายความว่าดี ดีหรือไม่ดีนั้น ขึ้นอยู่กับว่าองค์กรมีระบบบริหารความเสี่ยงที่สามารถจัดการความเสี่ยงที่มีอยู่ได้หรือไม่ องค์กรไม่ควรทำธุรกรรมที่มีความเสี่ยงมากจนเกินกว่าที่จะจัดการได้ และควรระมัดระวังในการดำเนินธุรกรรมที่ไม่ชำนาญ หรือมีความรู้เกี่ยวกับความเสี่ยงที่เกี่ยวข้องเพียงเล็กน้อย เพราะอาจเกิดผลกระทบต่อความสามารถหรือขาดทุนจำนวนมากในภายหลัง ในขณะเดียวกัน องค์กรควรพัฒนาหรือจัดให้มีระบบบริหารความเสี่ยงที่เหมาะสมกับปริมาณ ความ ซับซ้อน และประเภทของธุรกรรมที่เกี่ยวข้อง

ตอนต่อไปผมจะได้เล่าถึงกระบวนการติดตามการบริหารความเสี่ยง และการตรวจสอบในภาพโดยรวม ก่อนที่จะก้าวสู่การกำกับและการบริหาร รวมทั้งการตรวจสอบทางด้านกลยุทธ์ต่อไปตามลำดับนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 1

มกราคม 20, 2011

ผมไม่ได้เขียนคอลัมน์นี้มานาน วันนี้ผมจะมาเล่าเรื่องที่เกี่ยวข้องกับการบริหารความเสี่ยงในอีกมุมมองหนึ่งก็คือ การตรวจสอบความเสี่ยง ซึ่งมีหลายมุมมองที่เกี่ยวข้อง ไม่ว่าจะในมุมมองของ COSO – ERM หรือมุมมองของ ความเสี่ยง 5 – 7 ด้านของ ธปท. ทั้งนี้ไม่รวมหัวข้อที่เกี่ยวข้องกับ IT Audit และ Integrated Audit รวมทั้งมุมมองการตรวจสอบความเสี่ยงด้าน CobiT ซึ่งจะหนักไปทาง IT Audit นะครับ

ท่านผู้อ่านครับ มาถึงช่วงต้นเดือนมกราคม 2554 และนับต่อจากนี้เป็นต้นไป ท่านคงจะได้ยินและได้อ่านเรื่องเกี่ยวกับ GRC – Governance + Risk Management + Compliance มากขึ้น ในวงการบริหารและปฏิบัติงานยุคใหม่ กระบวนการบริหารต่าง ๆ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ โดยเฉพาะอย่างยิ่งทางด้านเทคโนโลยีสารสนเทศ และการบริหารธุรกิจในระดับต่าง ๆ ของทุกองค์กร

วันนี้ผมจึงมาเล่าเรื่องมุมมองการตรวจสอบความเสี่ยงด้านกลยุทธ์ ซึ่งจะแบ่งได้เป็นหลายตอน ที่ผมเริ่มเรื่องนี้ก่อนก็เพราะความเสี่ยงด้านกลยุทธ์ มีความสำคัญอย่างยิ่งยวด และมีผลกระทบต่อกระบวนการบริหารด้านต่าง ๆ ขององค์กรเป็นอย่างยิ่ง

GRC และการจัดการ

การตรวจสอบความเสี่ยง คือการตรวจสอบ เพื่อประเมินฐานะ และผลการดำเนินงานขององค์กร โดยคำนึงถึงผลกระทบจากความเสี่ยงที่เกี่ยวข้องและมีนัยสำคัญ เพื่อที่จะสามารถแก้ไขปัญหาได้ทันท่วงที ก่อนที่จะเกิดความเสียหาย หรือก่อนที่ความเสียหายจะลุกลาม

การตรวจสอบความเสี่ยงไม่ใช่การตรวจสอบ เพื่อประเมินฐานะและผลการดำเนินงานที่เกิดขึ้นแล้วเพียง ณ วันตรวจสอบ และการบริหารความเสี่ยงขององค์กรเท่านั้น แต่ให้ความสำคัญกับการตรวจสอบ และประเมินฐานะและผลการดำเนินงานขององค์กรที่จะเป็นไปในอนาคต เท่าที่จะมีข้อมูลและหลักฐานสนับสนุนการประเมินอย่างเพียงพอ

นอกจากนี้ ยังเป็นการตรวจสอบโดยมุ่งเน้นใช้ทรัพยากร ได้แก่ ผู้ตรวจสอบและเวลาที่ใช้ในการตรวจสอบในเรื่องที่มีความเสี่ยงสำคัญ เพื่อให้การใช้ทรัพยากรที่มีจำกัดเป็นไปอย่างมีคุณค่า และเพื่อลดแรงจูงใจที่องค์กรจะยอมรับความเสี่ยงเกินกว่าระดับที่สามารถจะจัดการได้ (excessive risk / risk appetite)

แนวการตรวจสอบความเสี่ยงนั้น มีวัตถุประสงค์ เพื่อให้ผู้บริหารและผู้ตรวจสอบใช้เป็นข้อสังเกตเบื้องต้น และใช้เป็นแนวทางในการติดตาม (Monitoring) และตรวจสอบ (Audit – Assurance/Consoulting) และประเมินความเสี่ยงด้านกลยุทธ์ และด้านอื่น ๆ ที่เกี่ยวข้อง ตามเป้าประสงค์ของการบริหารความเสี่ยงในแต่ละองค์เป็นสำคัญ และ

เพื่อให้มั่นใจว่าองค์กรมีระบบการบริหารความเสี่ยงที่ใช้ในการระบุ วัด ติดตาม และควบคุมความเสี่ยงต่าง ๆ อย่างเพียงพอ ทั้งกำหนดหน้าที่และความรับผิดชอบ ในการจัดให้มีระบบการบริหารความเสี่ยงที่เหมาะสมกับปริมาณ ความซับซ้อนของระบบงาน โครงสร้างขององค์กร และสภาพแวดล้อมต่าง ๆ ที่เกี่ยวข้อง ทั้งนี้เพราะ ความเสี่ยงด้านกลยุทธ์จะมีผลกระทบอย่างกว้างขวางต่อผลสำเร็จของการบริหารในทุกมุมมองของการจัดการ โดยเฉพาะอย่างยิ่ง ความเสี่ยงทางด้านการดำเนินงาน (Operational Risk) ที่เกี่ยวข้องกับ P + P + T และการบริหารโครงการ / แผนงานต่าง ๆ ขององค์กร

ความสำเร็จในการติดตามและตรวจสอบ ต้องอาศัยความรู้เกี่ยวกับธุรกรรมขององค์กร และลักษณะที่แตกต่างของธุรกิจ สภาพแวดล้อม และวัฒนธรรมขององค์กรที่เกี่ยวข้องกับการดำเนินธุรกิจ แนวทางในการบริหารความเสี่ยง รวมทั้งพัฒนาการของวิธีการ / เครื่องมือบริหาร ความเสี่ยง และทักษะในการประเมินผลกระทบจากความเสี่ยงเหล่านั้นในลักษณะบูรณาการ (integrated) ภายใต้ร่มของ GRC

ผู้บริหารและผู้ตรวจสอบ ควรหมั่นฝึกฝนทักษะในการประเมินความเสี่ยง และการใช้ดุลยพินิจพิจารณาเรื่องต่าง ๆ โดยอาศัยหลักฐานตามกระบวนการจัดการที่ได้รับจากการตรวจสอบ ซึ่งรวบรวมไว้แล้วก่อนการตรวจสอบอย่างเพียงพอ แนวทางการบริหารและการตรวจสอบความเสี่ยงนี้ไม่ได้ครอบคลุมรายละเอียดกระบวนการ ขั้นตอนและวิธีการหาข้อมูลหลักฐานและการตรวจสอบข้อเท็จจริง (verify) ของข้อมูลหลักฐานเหล่านั้น เพื่อนำมาใช้ในการประเมินความเสี่ยง ดังนั้น ผู้บริหารและผู้ตรวจสอบใหม่จำเป็นต้องศึกษาจากแนวทางการจัดการ รวมทั้งแนวทางการตรวจสอบอื่น ๆ ที่เกี่ยวข้อง

สำหรับวันนี้ผมขออุ่นเครื่องในเรื่องความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ ตอนที่ 1 เพียงเท่านี้ก่อน ซึ่งในตอนที่ 2 และในตอนต่อ ๆ ไป ผมจะได้อธิบายถึงเรื่องหลักการติดตามของผู้บริหาร (Monitoring) กับแนวทางการตรวจสอบความเสี่ยงของผู้ตรวจสอบภายในก่อนที่จะเน้นถึงเรื่องความเสี่ยงด้านกลยุทธ์ครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร (ต่อ)

สิงหาคม 16, 2010

ครั้งที่แล้ว ผมได้พูดถึงหลักการและคำแนะนำบางประการ เพื่อยกระดับการบริหารความเสี่ยง ไปสู่การบริหารเชิงรุกอย่างเป็นระบบ โดยนำเสนอคำแนะนำในกรณีที่องค์กรสามารถยกระดับการบริหารความเสี่ยง จากน้อยไปสู่การบริหารความที่สร้างมูลค่าเพิ่มให้แก่องค์กรไปแล้วนั้น สำหรับครั้งนี้ ผมจะขอต่อด้วยการยกระดับการบริหารความเสี่ยง กรณีที่จะสามารถปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) ซึ่งสามารถพิจารณาได้จากหลักการและคำแนะนำบางประการ ดังนี้

กรณีที่ 2 การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร

1. กระบวนการบริหารความเสี่ยง เป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ

1.1 การมีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคล หรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคล หรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

องค์กรจะต้องเน้นความสำคัญของกระบวนการบริหารความเสี่ยง โดยถือเป็นส่วนสำคัญของการพิจารณาผลตอบแทนหรือความดีความชอบ โดยในแต่ละสายงานที่เกี่ยวข้องกับความเสี่ยงระดับองค์กร จะมีการถ่ายทอดตัวชี้วัดด้านการบริหารความเสี่ยงลงสู่ระดับสายงานดังกล่าว การเชื่อมโยงผลตอบแทนกับระดับความเสี่ยงที่สามารถลดลงได้ในแต่ละปัจจัยเสี่ยงของแต่ละสายงานนั้น ควรกำหนดให้ชัดเจน และการประเมินผลด้านการบริหารความเสี่ยงที่ถือเป็นส่วนหนึ่งของตัวชี้วัดของสายงานนั้น ๆ โดยเฉพาะผลงานด้านการบริหารความเสี่ยงกับแรงจูงใจพิเศษ

1.2 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง ซึ่งการยกระดับการบริหารความเสี่ยงองค์กรจะต้องมีหลักฐานชัดเจนในการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม โดยมีการถ่ายทอด (Deploy) เป้าหมายของตัวชี้วัดองค์กรลงสู่สายงานต่าง ๆ รวมถึงมีการถ่ายทอด Risk Appetite ระดับองค์กรลงสู่สายงานต่าง ๆ ด้วยเช่นกัน

2. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี

2.1 คณะกรรมการจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุล ระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น องค์กรควรแสดงให้เห็นถึงการที่คณะกรรมการมีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุน และการจัดการด้าน IT กับความเสี่ยงที่จะเกิดขึ้น มีการศึกษาผลตอบแทนด้านการลงทุนด้าน IT ในมุมของผลประโยชน์ ทั้งที่เป็นตัวเงินและมิใช่ตัวเงิน รวมถึงการพิจารณาในเชิงของการระบุความเสี่ยง การประเมินความรุนแรง และการบริหารความเสี่ยง

2.2. Board มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน ผ่านคณะกรรมการด้าน IT โดยในแผนแม่บท IT ต้องมีการกำหนด KPIs และ Outcome ของแผนงาน/โครงการไว้ชัดเจน และมีการประเมินอย่างต่อเนื่อง

2.3. การดำเนินงานตามแผน ISO 27001 ดีกว่าเป้าหมายที่กำหนดไว้ในแผนประจำปีบัญชี องค์กรมีการจัดทำแผนความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT Security Plan) ตามแนวทางของมาตรฐาน ISO 21001 โดยมีการดำเนินงานตามแผนงาน/โครงการ ได้ดีกว่าเป้าหมายที่กำหนดไว้

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยง เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่องค์กรระบุไว้ รวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ หรือการที่องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) เพื่อการสร้างสรรค์/นวัตกรรม (Innovation)

องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ มีการบริหารจัดการความรู้ โดยการส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศ เพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร โดยจัดให้พนักงานเข้ารับการอบรมในเรื่องต่าง ๆ รวมถึงองค์กรสามารถบริหารความเสี่ยงโดยผ่าน SWOT ขององค์กรวิเคราะห์ถึงโอกาสในการที่จะสร้างมูลค่าเพิ่มให้กับองค์กรอย่างชัดเจน

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร (ต่อ)

สิงหาคม 3, 2010

สวัสดีครับ วันนี้เราจะมาพูดคุยกันถึงคำแนะนำในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร บางประการ ที่จะสามารถเพิ่มประสิทธิภาพ เพื่อยกระดับการบริหารความเสี่ยงขององค์กรไปสู่ระดับการบริหารความเสี่ยงที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กรได้ โดยมีหลักการพิจารณาง่าย ๆ ที่ผมจะนำเสนอต่อจากครั้งที่แล้ว ดังนี้

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี

5.1. ก) องค์กรมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยง และปัญหาที่อาจเกิดขึ้นทางด้าน IT โดยมีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน และควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่าง ๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่องด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่าง ๆ ที่อาจเกิดขึ้นได้ )

ทั้งนี้องค์กรควรมีการดำเนินงานด้าน IT ตามแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งการพัฒนากระบวนการประเมินความเสี่ยง ด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร ตามมาตรฐานความมั่นคงปลอดภัย ISO/IEC 27001 ที่ดำเนินงานตามระบบจัดการดำเนินธุรกิจอย่างต่อเนื่องของงานหลักทุก ๆ ด้าน และมีการวิเคราะห์ผลกระทบต่อบริษัท การดำเนินกิจกรรมเพื่อลดความเสี่ยง รวมถึงการติดตามประเมินผล

ข) องค์กรมีการกำหนดกรอบการดำเนินงานการบริหารความต่อเนื่องทางธุรกิจ ตามแผนงานการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) และดำเนินการวิเคราะห์ – ประเมินผลกระทบต่อการหยุดชะงักการดำเนินงานที่สำคัญ ซึ่งประกอบด้วย การประเมินความเสี่ยง (Risk Assessment) การวิเคราะห์ผลกระทบทางธุรกิจ ( Business Impact Analysis: BIA ) และการวิเคราะห์และระบุงานที่สำคัญ (Critical Business Function) โดยวิเคราะห์ผลกระทบทางธุรกิจ ( Business Impact Analysis: BIA ) ซึ่งพิจารณาจากระบบหลัก ที่มีผลกระทบโดยตรงในระยะเวลาสั้นต่อการดำเนินงาน โดยเน้นเรื่อง Time Critical (Maximum Tolerable Period of Disruption : MTPD) เป็นหลัก และให้ความสำคัญต่อผลกระทบทางการเงินและผลกระทบต่อการดำเนินงานขององค์กร

5.2. 1) Board มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT คือ ได้มีการจัดทำแผนแม่บทเทคโนโลยีสารสนเทศ และดำเนินงานตามแผน โดยเป็นแผนเชิงกลยุทธ์ ซึ่งได้พิจารณาถึงการเปลี่ยนแปลงสภาวะแวดล้อมด้านเทคโนโลยีสารสนเทศ และการสื่อสารที่มีผลกระทบต่อการดำเนินธุรกิจ ทั้งในปัจจุบันและอนาคต โดยคณะกรรมการฯ มีบทบาทสำคัญ เพราะเป็นผู้ควบคุมดูแลตัดสินใจเรื่องนโยบาย รวมถึงแต่งตั้งฝ่ายจัดการ เพื่อจัดการงานประจำ ดังนั้น คณะกรรมการฯ จึงสามารถบริหารจัดการและติดตามประเมินผลการดำเนินงานโครงการด้าน IT ที่อยู่ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสาร ด้วยการติดตามและรายงานผลการดำเนินงานโครงการตามแผนธุรกิจ ซึ่งมีโครงการคลอบคลุมการดำเนินงานทั้งหมด รวมทั้งโครงการที่อยู่ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารเป็นไปอย่างเป็นระบบและสอดคล้องกัน

2) คณะกรรมการองค์กรแต่งตั้ง คณะอนุกรรมการกำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (IT Strategy Committee) เพื่อกลั่นกรองงานด้าน IT โดยมี CIO มีอำนาจหน้าที่ เช่น ให้คำปรึกษาแนะนำ และนำเสนอข้อมูลเชิงลึกด้านเทคโนโลยีสารสนเทศ (IT) แก่คณะกรรมการองค์กร ในเรื่องการพัฒนาเชิงลึกของ IT ความสอดคล้องของ IT กับทิศทางการดำเนินกิจการขององค์กร การมีทรัพยากรด้าน IT ที่พอเพียงและเหมาะสม รวมทั้งทักษะที่จำเป็น และ IT Infrastructure ประโยชน์ที่ได้รับจากการลงทุนด้าน IT ความเสี่ยงที่เกี่ยวข้องกับ IT และความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามนโยบายด้าน IT

5.3. ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการความมั่นคงปลอดภัย และกฎเกณฑ์ด้าน IT อย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุน ทางด้าน IT และระยะเวลาของการเปลี่ยนแปลง กระบวนการและระบบการทำงาน เป็นต้น โดยฝ่ายบริหารจะต้องมีการประเมินศักยภาพ และความคุ้มค่าของการใช้ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เพื่อการตัดสินใจของคณะกรรมการและผู้บริหารระดับสูง ในเชิงวิเคราะห์เปรียบเทียบกับวัตถุประสงค์และเป้าหมาย อันได้แก่ การนำเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมมาใช้งาน เพื่อพัฒนาระบบงานด้านต่าง ๆ ให้มีประสิทธิภาพ มีคุณภาพที่สอดคล้อง และรองรับต่อความต้องการของลูกค้า และทันต่อการเปลี่ยนแปลง โดยการนำ IT มาช่วยสนับสนุน หรือพัฒนาให้การปฏิบัติงานประจำมีความสะดวก รวดเร็ว ลดระยะเวลาในการทำงาน หรือลดความซ้ำซ้อนในการดำเนินงาน ซึ่งเป็นการใช้งานระบบ IT ทั้งทางด้าน Admin และงานด้านสนับสนุนภารกิจหลัก

5.4. การดำเนินงานตามแผน ISO 27001 เป็นไปตามเป้าหมายที่กำหนดไว้ในแผนประจำปี คือองค์กรได้มีการจัดทำแผนการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและการสื่อสาร ตามแนวทางของมาตรฐาน ISO 17799 โดยมีการดำเนินการตามแผนงาน/โครงการ ซึ่งประกอบด้วยแผนงาน/โครงการสำหรับระบบงานหลักและระบบงานรอง

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงดีกว่าแผนฯ ในปัจจัยเสี่ยงที่มีความรุนแรงสูง (อยู่ในดุลยพินิจของคณะอนุกรรมการ) และดีขึ้นจากอดีตที่ผ่านมา โดยผลการบริหารความเสี่ยงในทุกปัจจัยเสี่ยงขององค์กร มีระดับความรุนแรงลดลงทุกปัจจัยเสี่ยง ซึ่งในทุกปัจจัยเสี่ยงขององค์กรมีการระบุอย่างชัดเจน ถึงระดับความรุนแรงของความเสี่ยงทั้งก่อนและหลังการบริหารฯ โดยที่ระดับความรุนแรงก่อนและหลังบริหารความเสี่ยงแล้วนั้น องค์กรสามารถบริหารฯ ได้มีระดับความรุนแรงหลังบริหารความเสี่ยงลดลงจากก่อนบริหารความเสี่ยง รวมถึงองค์กรได้มีการดำเนินการตามแผนครบทุกกิจกรรม และมีผลการดำเนินงานดีกว่าเป้าหมายที่กำหนดไว้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร

กรกฎาคม 29, 2010

การบริหารความเสี่ยงที่มีการประเมินผลโดยรวม ต่อการดำเนินงานของหน่วยงานหรือองค์กร ตามหลักการของ COSO – ERM เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงานที่เป็นรูปธรรม ส่งผลให้หน่วยงานหรือองค์กรมีการบริหารจัดการ เพื่อยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่การบริหารเชิงรุกอย่างเป็นระบบ ซึ่งหน่วยงานหรือองค์กรสามารถยกระดับการบริหารความเสี่ยง จากน้อยไปสู่การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มให้แก่องค์กร หรือจนกระทั่งปลูกฝังให้การบริหารความเสี่ยง เป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าเพิ่มให้แก่องค์กร (Value Creation) ได้ในที่สุดนั้น สามารถพิจารณาได้จากหลักการ และคำแนะนำบางประการ ดังที่ผมจะได้เล่าสู่กันฟัง เป็นหัวข้อที่เข้าใจง่าย ๆ ดังนี้

กรณีที่ 1 การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กร

1. การกำหนดกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร

1.1. ก) องค์กรควรมีหลักฐานที่ชัดเจนถึงการเชื่อมโยงกลยุทธ์ การบริหารความเสี่ยง นโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร โดยเป้าหมายเชิงกลยุทธ์ ควรประกอบด้วย การรักษาความสามารถในการดำเนินธุรกิจหลักขององค์กร, มุ่งเน้นในการสร้างรายได้จากธุรกิจใหม่ที่มีอัตราการทำกำไรที่ดี และพัฒนาความสามารถของพนักงานและกระบวนการดำเนินงานอย่างต่อเนื่อง ซึ่งองค์กรควรได้ถ่ายทอดลงมาเป็นปัจจัยเสี่ยงและเป้าหมายในการบริหารความเสี่ยงอย่างชัดเจน

ข) องค์กรมีการกำหนดเรื่องการบริหารความเสี่ยง เป็นส่วนหนึ่งของวัตถุประสงค์ในการดำเนินธุรกิจในแผนธุรกิจ และแผนเพิ่มประสิทธิภาพ โดยกำหนดเป็นวัตถุประสงค์ด้านองค์กร คือ เพื่อเป็นองค์กรที่มีการบริหารในแนวทางของการกำกับดูแลกิจการที่ดี ควบคู่ไปกับการบริหารความเสี่ยงที่เป็นมาตรฐานสากล นอกจากนี้ การกำหนดนโยบายใหม่ ๆ ขององค์กรควรมีการกำหนดให้คณะกรรมการบริหารความเสี่ยงพิจารณาด้วย

2. องค์กรมีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยงเพื่อเพิ่มมูลค่า (Value Enhancement)

2.1. การปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน องค์กรมีการจัดทำแผนบริหารความเสี่ยงประจำปี โดยเป็นส่วนหนึ่งของแผนธุรกิจ และแผนเพิ่มประสิทธิภาพ และมีการปฏิบัติตามแผนปฏิบัติการบริหารความเสี่ยงได้อย่างครบถ้วน

2.2. มีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงิน โดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน หรือการควบคุม/บริหารต้นทุน และ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่องค์กรมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยง เพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างมูลค่าขององค์กร (Value Creation) โดยที่องค์กรมีการนำเป้าหมายทางการเงินของแผนยุทธศาสตร์มาวิเคราะห์ เชื่อมโยงและค้นหาปัจจัยเสี่ยง เพื่อนำมาบริหารความเสี่ยงและจัดทำแผนรองรับ โดยเป้าหมายของแผนบริหารความเสี่ยงทั้งการเงินและมิใช่การเงินขององค์กร สามารถบรรลุเป้าหมายได้ครบถ้วนตามที่กำหนด

2.3. มีการสื่อสารถึงคณะกรรมการตรวจสอบ และผู้บริหารระดับสูงสุดอย่างต่อเนื่อง ตามที่ระบุไว้ในคู่มือการบริหารความเสี่ยง โดยมีการรายงานผลการบริหารความเสี่ยง ต่อผู้บริหารระดับสูงอย่างต่อเนื่อง และมีการติดตามความเสี่ยงเป็นประจำทุกเดือน รวมถึง รายงานผลการบริหารความเสี่ยงในทุกไตรมาส ซึ่งได้กำหนดไว้ในคู่มือการบริหารความเสี่ยง เพื่อให้เป็นมาตรฐานปฏิบัติอย่างต่อเนื่องในการบริหารความเสี่ยงองค์กร

3. องค์กรมีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น เมื่อสภาพแวดล้อมเปลี่ยนแปลงไป หรือกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด

3.1. องค์กรมีการทบทวนการบริหารความเสี่ยง โดยมีการปรับเปลี่ยนวิธีการตามกระบวนการบริหารความเสี่ยงและองค์ประกอบในการบริหารความเสี่ยงในระดับองค์กร รวมถึงมีการทบทวนแผนหลักบริหารความเสี่ยงและควบคุมภายใน ซึ่งเป็นการปรับเปลี่ยนแผนในการดำเนินงานให้มีความสอดคล้อง เหมาะสมกับสภาพแวดล้อม และความจำเป็นขององค์กร และมีความชัดเจนในภาพการบูรณาการ การบริหารความเสี่ยงระดับองค์กรและระดับฝ่ายงาน กับกระบวนการบริหารเชิงกลยุทธ์

4. องค์กรจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง โดยต้องจัดให้มีการ สำรวจความตระหนักของพนักงานเกี่ยวกับระบบบริหารความเสี่ยงขององค์กร และนำผลสำรวจมาจัดทำแผนงาน และกำหนดเป้าหมายของแผนงานที่ชัดเจนในปีต่อไป

4.1. ก) องค์กรจัดให้มีการสำรวจความรู้ ความเข้าใจ เรื่องการบริหารความเสี่ยงและควบคุมภายใน จากพนักงานเพื่อรับทราบความรู้ ความเข้าใจเรื่องการบริหารความเสี่ยงและควบคุมภายใน และรับทราบความคิดเห็น โดยมีทั้งคำถามแบบปลายปิดและปลายเปิด โดยในส่วนของคำถามปลายปิด เป็นการสอบถามถึงความรู้ ความเข้าใจเกี่ยวกับการบริหารความเสี่ยง และการสอบถามถึงการบริหารความเสี่ยงที่ควรทราบ ส่วนคำถามปลายเปิด เป็นการให้พนักงานเสนอแนะเพิ่มเติม เพื่อนำมาเป็นข้อมูลในการวิเคราะห์เพื่อจัดทำแผนงาน/โครงการ/กิจกรรมส่งเสริมความรู้ความเข้าใจและความตระหนักรู้ในเรื่องการบริหารความเสี่ยงให้กับพนักงาน และเพื่อจะได้พิจารณากำหนดแนวทางในการส่งเสริม และผลักดันให้การบริหารความเสี่ยงแทรกซึมอยู่ในกระบวนการปฏิบัติงานประจำ เพื่อสร้างมูลค่าเพิ่มและปลูกฝังเป็นวัฒนธรรมองค์กร

ข) ฝ่ายบริหารความเสี่ยงควรทำการสำรวจความคิดเห็นของพนักงานหน่วยงานเจ้าของความเสี่ยงได้แก่ หน่วยงานด้านการบริหารการเงิน ด้านเทคโนโลยีสารสนเทศ ด้านบริการ ด้านบริหาร ด้านแผนและพัฒนา และหน่วยงานด้านอื่น ๆ ในองค์กรที่ดำเนินการบริหารความเสี่ยง เพื่อให้ผู้บริหารทราบถึงทัศนคติและความคิดเห็น รวมทั้งข้อเสนอแนะต่าง ๆ เพื่อใช้ประโยชน์ในการพัฒนาการบริหารความเสี่ยงต่อไป

การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กร ยังไม่จบเพียงเท่านี้ ครั้งหน้าผมจะมาเล่าสู่กันฟังถึงหลักการและคำแนะนำในข้ออื่น ๆ ต่อนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Tips การบริหารความเสี่ยง เพื่อเพิ่มประสิทธิภาพในการบริหารงานบางประการ (ต่อ)

กรกฎาคม 19, 2010

ครั้งที่แล้ว ผมได้พูดถึงเกร็ดการบริหารความเสี่ยง เพื่อยกระดับและเพิ่มประสิทธิภาพการบริหารจัดการที่สามารถสร้างคุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนให้กับองค์กรได้บางประการแล้วนั้น วันนี้ผมจะมาบอกเคล็ดลับบางประการในการยกระดับการบริหารความเสี่ยง ซึ่งบางมุมมองก็ยังเป็นจุดอ่อนของหลายองค์กรที่อาจปรับปรุงได้ ดังนี้

1. นโยบายผู้บริหาร
– ผู้บริหารระดับสูงยังมองข้ามความสำคัญของการบริหารความเสี่ยง และไม่มีนโยบายที่ชัดเจน รวมทั้งแนวทางการปฏิบัติที่เหมาะสมในเรื่องนี้ ++
– นโยบายการบริหารความเสี่ยงไม่ครอบคลุมเรื่องที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลกระทบต่อองค์กร ซึ่งมีผลทำให้การกำหนดกลยุทธ์และแผนการดำเนินงานการบริหารความเสี่ยงมีจุดอ่อนเป็นอย่างยิ่ง ทางด้าน Operationnal Risk โดยเฉพาะทางด้าน People Risk + Process Risk + Technology Risk ซึ่งมีผลกระทบต่อไปยังกรอบใหญ่ของการบรรลุเป้าหมายของ Information Risk + Integrity Risk + Strategy Risk + Financial and Compliance Risk
– ไม่มีสายงาน หรือหน่วยงานที่ทำหน้าที่รับผิดชอบโดยตรงในเรื่องการบริหารความเสี่ยง
– อื่น ๆ +++

2. การมีส่วนร่วมในการบริหารความเสี่ยง
– พนักงานทุกคนในองค์กรขาดความสนใจ หรือไม่ให้ความสำคัญ และไม่มีส่วนร่วมในการบริหารความเสี่ยง รวมถึงไม่มีส่วนร่วมในการระบุปัจจัยเสี่ยงและกำหนดแผนบริหารความเสี่ยงขององค์กรร่วมกัน
– พนักงานหรือบุคลากรขององค์กรไม่มีทักษะ ความรู้ ความเข้าใจที่ชัดเจน ถูกต้องในเรื่องการบริหารความเสี่ยงที่เพียงพอ
– อื่น ๆ +++

3. องค์ประกอบของ ERM – Enterprise Risk Management เพื่อการบรูณาการความเสี่ยงที่ดี
– หน่วยงานหรือสายงานมีการระบุความเสี่ยงยังไม่ครบถ้วน ในมุมมองต่าง ๆ ที่เกี่ยวข้องตามคำจำกัดความของความเสี่ยงที่มี 3 องค์ประกอบหลัก ๆ
– ไม่มีการใช้ฐานข้อมูลที่เหมาะสมในการกำหนดระดับความรุนแรงของความเสี่ยง
– หน่วยงานขาดการวิเคราะห์แผนบริหารความเสี่ยงที่ครบถ้วนตาม Riks Map
– อื่น ๆ +++

4. ระบบติดตามและประเมินผลการบริหารความเสี่ยง
– องค์กรไม่มีระบบ Early Warning ในกรณีที่ผลการบริหารความเสี่ยงไม่ระบุเป้าหมาย ตามหลักการและกระบวนการบริหารความเสี่ยงที่ดี
– พนักงานในองค์กรขาดการบริหารองค์ความรู้ที่ใช้ในการติดตามและประเมินผลการบริหารความเสี่ยงอย่างมีประสิทธิภาพ
– อื่น ๆ +++

5. การสร้างมูลค่าเพิ่มให้กับองค์กร
– องค์กรไม่มีการกำหนดสายการรายงานที่เหมาะสม และเพียงพอ โดยเฉพาะอย่างยิ่ง ความเสี่ยงและผลกระทบจาก Risk IT และ IT Risk
– พนักงานในองค์กรขาดความตระหนัก และมิได้เสริมสร้างค่านิยมในเรื่องของการบริหารความเสี่ยงให้เป็นวัฒนธรรมองค์กร
– ไม่ได้นำระบบการบริหารความเสี่ยงมาใช้ในการกำหนดนโยบาย กำหนดกลยุทธ์ และวางแผนการลงทุน เพื่อสร้างคุณค่าเพิ่มให้กับองค์กร
– อื่น ๆ +++

6. IT Governance
– ความรู้และความเข้าใจในองค์ประกอบของ IT Governance ต่อ Corporate Governance และ ERM ยังมีระดับที่แตกต่างกันมาก โดยเฉพาะอย่างยิ่งการก้าวไปสู่การบริหารยุคใหม่ที่เกี่ยวข้องกับ การบริหารและการจัดการในลักษณะของ GRC ซึ่งเป็นกระบวนการหลอมรวมการบริหารและการจัดการในลักษณะเป็นหนึ่งเดียว ++
– ขาดการวิเคราะห์ความคุ้มค่าหรือมูลค่าของการลงทุนด้าน IT กับความเสี่ยงที่อาจเกิดขึ้นกับองค์กร
– ขาดการจัดทำแผน BCM และฝึกซ้อมตามที่กำหนด
– อื่น ๆ +++

เกร็ดเกี่ยวกับการพัฒนาการบริหารความเสี่ยงเพื่อยกระดับการแข่งขัน และเพิ่มประสิทธิผล ประสิทธิภาพในการจัดการ ตามที่กล่าวข้างต้นในบางประการนั้น มีเรื่องเกี่ยวเนื่องอย่างสำคัญที่มีผลกระทบต่อกระบวนการบริหารจัดการองค์กรในเรื่องต่าง ๆ อย่างหลีกเลี่ยงไม่ได้ เช่น การควบคุมภายใน การตรวจสอบภายใน การบริหารจัดการสารสนเทศ การบริหารทรัพยากรบุคคลอย่างมีคุณภาพ ซึ่งทุกเรื่องตามที่กล่าวข้างต้นมีความสัมพันธ์และโยงใยกันอย่างเป็นบูรณาการ ไม่อาจจะคิดหรือบริหารเป็นเรื่อง ๆ ตามลำพัง โดยไม่คำนึงถึงองค์ประกอบต่าง ๆ ที่เกี่ยวข้องในการพิจารณาการบริหารภาพรวมในลักษณะ Holistic Framework หรือ Interdependency Approach ที่ต้องการความเข้าใจในเรื่องที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Risk และ Business Objective ของทุกองค์กรได้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกร็ดการบริหารความเสี่ยง เพื่อเพิ่มประสิทธิภาพในการบริหารงานบางประการ

มิถุนายน 30, 2010

ภาพโดยรวมของการบริหารความเสี่ยงที่หน่วยงานของรัฐ รวมทั้งราชการอาจมีความสามารถที่แตกต่างกันมากพอสมควรนั้น สามารถปรับปรุงได้ในภาพกว้าง ๆ ที่อาจกล่าวได้โดยรวมดังนี้ คือ

1. หน่วยงานยังไม่มีองค์ประกอบหลักของการบริหารความเสี่ยงที่ดี เช่น ไม่สามารถกำหนดแผนบริหารความเสี่ยง และขาดการติดตามและรายงานผลการบริหารความเสี่ยงให้คณะกรรมการ และผู้บริหารรับทราบเพื่อพิจารณาสั่งการ

2. องค์กรควรให้ความสำคัญกับการบริหารความเสี่ยง และควรจัดทำแผนการบริหารความเสี่ยง เพื่อให้องค์กรสามารถบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ และประสิทธิผล รวมถึงควรมีการติดตามผล และรายงานผลการบริหารความเสี่ยงเสนอต่อผู้บริหารระดับสูง และคณะกรรมการอย่างสม่ำเสมอ

3. หน่วยงานควรมีการรายงานผลการดำเนินงานในแต่ละปัจจัยเสี่ยงบางประการเพิ่ม เติม เช่น ระดับความรุนแรงเทียบกับเป้าหมายที่องค์กรคาดหวัง ผลการดำเนินงานเทียบกับ Risk Appetite / Risk Tolerance ที่กำหนด และผลการดำเนินงานเทียบกับเป้าหมายในแผนการบริหารความเสี่ยง ฯลฯ

4. องค์กรควรนำ Risk Map มาศึกษาและจัดทำแผนบริหารความเสี่ยงเชิงบูรณาการ เพื่อแสดงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีต่อหน่วยงานต่าง ๆ ในองค์กร โดย Risk Map นี้ต้องแสดงถึงการกำหนดสาเหตุของความเสี่ยง การวิเคราะห์ความสัมพันธ์หรือผลกระทบระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์/ผลกระทบของสาเหตุ รวมถึงการนำ Risk Map ไปใช้ในการบริหารความเสี่ยงอย่างเป็นรูปธรรม และมีการติดตามและปรับปรุงอยู่เสมอ

5. องค์กรควรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจในโอกาสทางธุรกิจ (Opportunity) ซึ่งเป็นหนึ่งใน 3 หลักของคำจำกัดความของความเสี่ยง คือ – ความเสี่ยงที่เป็น “อุปสรรค” ในการบรรลุเป้าหมาย – ความเสี่ยงที่เป็น “ความไม่แน่นอน” ในการบรรลุเป้าหมาย – ความเสี่ยงในการเสีย “โอกาสทางธุรกิจ” เพื่อเพิ่มมูลค่าให้กับองค์กร ซึ่งเป็นส่วนหนึ่งของหลักการวิเคราะห์ SWOT เป็นต้น

ทั้งนี้เพราะหน่วยงานต่าง ๆ มักจะเน้นการบริหารความเสี่ยงที่เป็นอุปสรรคเป็นส่วนใหญ่ โดยไม่ได้ระบุและจัดให้มีการบริหารความเสี่ยงที่เกิดจากความไม่แน่นอนในการ เสียโอกาสทางธรุกิจมากนัก ทำให้กระบวนการบริหารความเสี่ยงขาดเป้าประสงค์ของการจัดการกับความเสี่ยงใน 2 ประการหลังไปเป็นอย่างมาก ที่หน่วยงานต่าง ๆ ควรจะปรับปรุงต่อไป ดังนั้น ผู้บริหารที่เกี่ยวข้องกับการบริหารความเสี่ยง ซึ่งเป็นหน้าที่ของทุกคนอยู่แล้วที่จะต้องมีการจัดการกับความเสี่ยงของตนเอง ของสายงาน และขององค์กร ซึ่งขึ้นกับหน้าที่ที่เกี่ยวข้อง

อย่างไรก็ดี ยังมีปัจจัยสำคัญที่เป็นอุปสรรคของการพัฒนาระบบการบริหารความเสี่ยงที่ องค์กรควรจะได้มีการแก้ไขปรับปรุงอย่างเป็นรูปธรรม นอกเหนือจากที่ได้กล่าวข้างต้น ซึ่งผมจะได้นำมาเป็น Tips ในตอนต่อไปนะครับ

ปิดความเห็น บน เกร็ดการบริหารความเสี่ยง เพื่อเพิ่มประสิทธิภาพในการบริหารงานบางประการ | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป (ต่อ)

มิถุนายน 9, 2010

ในการวางแผนงาน/โครงการต่าง ๆ แน่นอนว่าองค์กรที่มีการจัดทำแผนงานก็เพื่อให้เป็นไปตามเป้าหมาย และคาดหวังว่าแผนงานหรือโครงการนั้นจะประสบความสำเร็จตามที่ได้กำหนดไว้ วันนี้ผมจะกล่าวถึงปัจจัยที่เกี่ยวข้องบางประการในการบริหารจัดการความเสี่ยง ที่ทำให้การวางแผนงาน/โครงการประสบความสำเร็จและเป็นไปตามเป้าประสงค์ของหน่วยงาน/องค์กร

ความสำเร็จของแผนงาน/โครงการขององค์กรทั่วไป และปัจจัยที่เกี่ยวข้อง
1. มีการกำหนดหน้าที่ ความรับผิดชอบการทำงานที่ชัดเจน
2. มีการมอบหมายหน้าที่ที่เหมาะสมกับบุคคลที่เข้ารับผิดชอบ
3. ผู้ปฏิบัติงานมีความรับผิดชอบต่องานที่ได้รับมอบหมาย
4. มีการจัดทำแผนงาน/โครงการ
5. เมื่อโครงการเกิดปัญหาให้มีการจัดทำรายงานด่วน
6. มีรายงานสถานภาพของแผนงาน/โครงการ เช่น รายงานประจำเดือน
7. มีระบบควบคุมการเปลี่ยนแปลงที่แน่ชัด
8. มีการบันทึกแผนงาน/โครงการที่เกิดขึ้นเป็นเอกสาร
9. ประเมินผลดำเนินการหลังจากที่ทำโครงการเสร็จสิ้น

การจัดองค์กรและการสรรหาบุคลากรจากแต่ละหน่วยงานทั้งภายในและภายนอกเข้ามาเสริมแผนงาน/โครงการ และกำหนดหน้าที่ ความรับผิดชอบของแต่ละส่วนให้ชัดเจน เป็นส่วนสำคัญที่จะทำให้แผนงานและโครงการประสบความสำเร็จได้สูง

หน้าที่และความรับผิดชอบของคณะผู้บริหารโครงการ
1. กำหนดผู้ทำหน้าที่หัวหน้าแผนงาน/โครงการและคณะทำงานที่เกี่ยวข้อง
1. กำหนดวัตถุประสงค์ ขอบข่ายงาน กลยุทธ์ และนโยบาย
2. กำหนดเงื่อนไขไปสู่ความสำเร็จของแผนงานและโครงการ
3. การอนุมัติแผนงานที่มีแผนปฏิบัติการและการบริหารความเสี่ยงที่ชัดเจน
4. ติดตามและทบทวนความคืบหน้าของแผนงาน/โครงการ
5. ให้การสนับสนุน หรือขออนุมัติจากฝ่ายบริหารในเรื่องที่เกินกว่าขอบเขตอำนาจ
6. แก้ข้อขัดแย้ง หรือปัญหาสำคัญ
7. ทบทวนหรืออนุมัติการเปลี่ยนแปลงที่สำคัญ
8. อนุมัติเรื่องที่ผู้บริหารแผนงานหรือคณะทำงานได้เสนอมา หรือให้นำไปทบทวนใหม่
9. เสนอรายงานของแผนงานและโครงการให้ฝ่ายบริหาร/คณะกรรมการบริหารอนุมัติ

การกำหนดเวลาของแผนงานและโครงการ
การกำหนดเวลาของงานที่เร่งรัด ทำให้ผู้ปฏิบัติต้องทำงานให้เสร็จตามกำหนดเวลา ทำให้ขาดความรอบคอบและเกิดความผิดพลาด มีผลกระทบต่อคุณภาพของงาน เกิดผลเสียในระยะยาวเพราะมีระบบงานที่ขาดคุณภาพ การกำหนดเวลาของโครงการเป็นเรื่องสำคัญที่ผู้บริหารโครงการ ต้องวางแผนและประมาณการให้เป็นไปตามเงื่อนไข วัตถุประสงค์ ตามเป้าหมายที่ต้องการ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

พ.ค. 21, 2010

สำหรับเรื่องการวางแผนงาน/โครงการ ในวันนี้ผมจะขอกล่าวถึงสาเหตุที่เป็นความเสี่ยง หรือเหตุของความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กร อาจไม่ประสบความสำเร็จ รวมทั้งข้อควรระวังในการวางแผนที่อาจเกิดจากความไม่แน่นอนขององค์กร ตามที่ได้กล่าวไว้ในครั้งที่แล้ว ไปติดตามกันเลยครับ

สาเหตุที่เป็นความเสี่ยง ความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กรทั่วไป อาจไม่ประสบความสำเร็จมีหลายประการ แต่ที่ผมจะได้กล่าวถึงก็เป็นสาเหตุบางประการเท่านั้น
1. เป้าหมายของแผนงานและ/หรือโครงการไม่ชัดเจนและสอดคล้องกับเป้าประสงค์ พันธกิจที่กำหนดไว้ตามหลักการบริหารความเสี่ยง ซึ่งแผนงานต้องชี้เป้าหมายตามหลัก SMART (โปรดดูคำอธิบายการบริหารความเสี่ยงโดยย่อ)
2. แผนงานมีขอบเขตกว้างขวาง แต่กำหนดเวลาไม่เหมาะสม
3. การประมาณด้านการเงินและทรัพยากรที่เกี่ยวข้องไม่เหมาะสม
4. การทำแผนงานมาจากพื้นฐานของข้อมูลที่ไม่เพียงพอ และมักขาดการวิเคราะห์ถึงความเป็นไปได้ของแผนงาน
5. กระบวนการจัดทำแผนงาน/โครงการไม่เป็นระบบ
6. แผนงานจัดทำโดยกลุ่มผู้วางแผนเท่านั้น ไม่มีผู้เกี่ยวข้องอื่น เช่น ผู้ชำนาญการที่เกี่ยวข้องจากบุคคลภายในและภายนอกร่วมจัดทำ
7. ขาดความชัดเจนของจุดประสงค์ที่แท้จริงของแผนงาน
8. ไม่ได้กำหนดจุดตรวจสอบและจัดทำรายงานแสดงความคืบหน้าของแผนงาน/ โครงการ
9. ประมาณการโดยการคาดเดา ไม่ได้กำหนดวิธีการที่มาตรฐาน หรือใช้ข้อมูลจากอดีตและการวิเคราะห์สภาพแวดล้อมในอนาคต
10. บุคลากรที่เกี่ยวข้องไม่มีประสบการณ์เพียงพอ
11. ผู้มีส่วนเกี่ยวข้องในการปฏิบัติงานไม่ปฏิบัติตามข้อกำหนด
12. แผนงานที่จัดทำขึ้นกระทำการเพียงเพื่อประกอบงบประมาณ โดยไม่เน้นเป้าหมาย และมีการสำรองงบเงินงบประมาณในแผนงาน เพื่อใช้ในโครงการอื่นที่ไม่มีความชัดเจน เป็นต้น

ในการวางแผนงาน/โครงการนั้น อาจเกิดความไม่แน่นอนเนื่องจากสาเหตุของความเสี่ยงที่เกิดขึ้นได้เสมอ ฉะนั้นในการวางแผนงานทุกครั้ง ผู้บริหารหรือผู้ที่เกี่ยวข้องควรรู้ถึงข้อควรระวังเกี่ยวกับการวางแผนที่อาจเกิดความไม่แน่นอนขององค์กรทั่วไป ดังนี้
1. ขาดการประสานงานที่ดีในการวางแผนงาน รวมทั้งการประสานงานรหว่างหน่วยงานที่เกี่ยวข้อง
2. ขาดการวิเคราะห์ความเสี่ยงหรือการบริหารแผนงานในเชิงรุกเพื่อป้องกันปัญหาในภายหน้าอย่างมีระบบ เช่น ไม่มีการชี้ปัจจัยเสี่ยงจากกิจกรรมหลักที่มีผลกระทบต่อการบรรลุเป้าหมายหรือปัจจัยสำคัญที่นำไปสู่ความสำเร็จตามแผนงาน
3. ระยะเวลาของแผนงาน/โครงการสั้นหรือยาวเกินไปไม่สัมพันธ์กับทรัพยากรที่มีอยู่
4. ไม่มีการศึกษาความเป็นไปได้ก่อนจัดทำแผนงานอย่างจริงจัง
5. บุคลากรที่จำเป็นต้องเข้ามาร่วมในโครงการมีไม่เพียงพอ
6. ขอบข่ายงานมีการเปลี่ยนแปลงตามสภาพแวดล้อมที่ไม่คาดหมายมาก่อน ซึ่งอาจจะเกิดจากขาดการบริหารความเสี่ยงประกอบการวางแผนงานอย่างเหมาะสม
7. ไม่มีแผนงานฉุกเฉินรองรับ
8. การกำหนดตารางเวลาของการปฏิบัติงานตามกิจกรรมต่าง ๆ ไม่สอดคล้องกับภารกิจที่พึงต้องปฏิบัติเพื่อบรรลุแผนงานตามทรัพยากรที่กำหนด
9. ขาดการรายงาน และการติดตามแผนงานของผู้ที่เกี่ยวข้อง
10. มีแผนงานและโครงการใหม่ที่มีระดับความสำคัญเร่งด่วนมากกว่า

ในครั้งหน้าผมจะพูดถึงปัจจัยที่เกี่ยวข้องที่ทำให้การวางแผนงาน/โครงการประสบความสำเร็จตามเป้าหมายที่กำหนดไว้ โปรดติดตามต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »