Information Technology Governance

สวัสดีครับ ไม่ได้พูดคุยกันมาก็หลายวันสำหรับ COSO – ERM ที่ตอนนี้ยังคงคุยกันอยู่ในเรื่องของการตอบสนองความเสี่ยงที่เป็นกลยุทธ์ในการจัดการกับความเสี่ยง โดยมีแนวทางในการจัดการความเสี่ยงที่องค์กรอาจพิจารณาได้จากความเสี่ยงของผลงานที่ผ่านมา ซึ่งวันนี้เราจะมาพูดคุยกันต่อในเรื่องนี้ครับ

การพิจารณาความเสี่ยงจากผลงานที่ผ่านมา ผู้บริหารพิจารณาความเสี่ยงจากองค์กรอย่างกว้าง ๆ หรือจากผลงานที่ผ่านมา ผู้บริหารอาจใช้วิธีการให้ผู้จัดการซึ่งรับผิดชอบแต่ละแผนก หน่วยงานหรือหน่วยธุรกิจ เป็นผู้พิจารณาส่วนประกอบต่าง ๆ ในการประเมินค่าความเสี่ยงและการตอบสนองความเสี่ยงสำหรับหน่วยงาน ซึ่งการมองเช่นนี้จะสะท้อนความเสี่ยงของหน่วยที่สัมพันธ์กับวัตถุประสงค์และระดับของความเสี่ยงที่ยอมรับได้

ในแง่ของความเสี่ยงที่เกิดขึ้นในแต่ละหน่วย ผู้บริหารอาวุโสถูกวางตำแหน่งให้ดูแลผลงานขององค์กร เพื่อกำหนดว่าความเสี่ยงขององค์กรสมน้ำสมเนื้อกับความเสี่ยงที่ยอมรับได้ที่สัมพันธ์กับวัตถุประสงค์หรือไม่ ความเสี่ยงอาจคงอยู่ในหน่วยงานที่แตกต่างกันที่อยู่ภายในระดับความเสี่ยงที่ยอมรับได้ของหน่วยงานต่าง ๆ ความเสี่ยงอาจมากเกินกว่าความเสี่ยงที่ยอมรับได้ขององค์กรในภาพรวม ซึ่งในกรณีนี้จำเป็นต้องใช้การตอบสนองความเสี่ยงเพิ่มเติมหรือมีความแตกต่าง

ในทางกลับกัน ความเสี่ยงอาจโต้ตอบองค์กรโดยธรรมชาติ หรือแต่ละหน่วยงานอาจไม่ชอบความเสี่ยง หากผลงานได้รับการพิจารณาน้อยกว่าความเสี่ยงที่ยอมรับได้ขององค์กร ผู้บริหารอาจตัดสินใจที่จะจูงใจให้ผู้บริหารของแต่ละหน่วยธุรกิจยอมรับความเสี่ยงที่มากกว่าในพื้นที่ที่เป็นเป้าหมาย เพื่อทำให้องค์กรโดยรวมมีการเติบโตและผลตอบแทนเพิ่มขึ้น

ในการสร้างผลงานของการตอบสนองความเสี่ยง ผู้บริหารจะจดจำความหลากหลายของการตอบสนองที่ถูกเลือก และผลของการตอบสนองมากมายในระดับความเสี่ยงที่ยอมรับได้ หากเหตุการณ์ที่มีศักยภาพไม่มีความสัมพันธ์โดยตรง

ผู้บริหารอาจประเมินค่าผลของการตอบสนองความเสี่ยงจากเหตุการณ์ แล้วจึงสร้างองค์ประกอบหรือผลงานที่ผ่านมา หากความเสี่ยงที่เหมือนกันคงมีอยู่ในหน่วยงานที่หลากหลาย ผู้บริหารอาจตัดสินใจประเมินค่าผลของการตอบสนองความเสี่ยงจากประเภทหรือกลุ่มของเหตุการณ์โดยเฉพาะ แล้วจึงสร้างภาพผลงาน ภาพผลงานจะส่งผลกระทบกับการโต้ตอบเหตุการณ์ที่เป็นโอกาส หรือเหตุการณ์ที่อาจลดระดับผลทางลบของเหตุการณ์อื่น ๆ ซึ่งควรอยู่ในภาพผลงาน เช่นเดียวกับผลรวมของการตอบสนองทั้งหมด

ฝ่ายจัดการระบุถึงทางเลือกในการตอบสนองความเสี่ยง และพิจารณาถึงผลกระทบต่อเหตุการณ์ที่เป็นไปได้ที่จะเกิดและผลกระทบที่ตามมา ในความสัมพันธ์ต่อระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) และต้นทุนเมื่อเปรียบเทียบกับผลประโยชน์ การออกแบบและดำเนินการตามทางเลือกหรือเครื่องมือในการสนองตอบต่อความเสี่ยง การพิจารณาถึงการตอบสนองความเสี่ยง

การเลือกเครื่องมือในการตอบสนองความเสี่ยงและการดำเนินการเป็นการผสมผสานของกระบวนการจัดการความเสี่ยงขององค์กร โดย ERM ที่มีประสิทธิภาพคือการที่ฝ่ายจัดการเลือกการตอบสนองที่ถูกคาดหวังว่าจะทำให้ความเป็นไปได้ที่จะเกิดความเสี่ยงและผลกระทบที่เกิดขึ้นอยู่ในระดับที่ยอมรับได้

ครั้งหน้าเราจะไปต่อกันในเรื่องของกิจกรรมควบคุม ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในกระบวนการถัดไปกันครับ

เมื่อมีการประเมินความเสี่ยงได้แล้วก็ต้องดำเนินการจัดการตอบสนองความเสี่ยงที่เกิดขึ้นเหล่านั้น การจัดการความเสี่ยงก็คือ กลยุทธ์หรือกิจกรรมที่กำหนดเพื่อจัดการความเสี่ยงให้สอดคล้องกับระดับที่องค์กรยอมรับได้

ผู้บริหารเป็นผู้กำหนดว่าจะประเมินค่าความเสี่ยงที่เชื่อมโยงกันได้อย่างไร การตอบสนองรวมถึงการหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยง และการยอมรับความเสี่ยง

วันนี้ผมจึงขอนำเสนอการตอบสนองความเสี่ยง (Risk Response) ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ที่ต้องพิจารณาหลังจากมีการประเมินความเสี่ยงตามที่ได้กล่าวไปในครั้งก่อนแล้ว

ในการพิจารณาการตอบสนองความเสี่ยง ผู้บริหารจะพิจารณาต้นทุนและผลประโยชน์และเลือกการตอบสนองที่นำมาซึ่งความน่าจะเกิด (Likelihood) ที่คาดหวังและผลกระทบภายในระดับความเสี่ยงที่ยอมรับได้ที่ปรารถนา

วัตถุประสงค์ของการตอบสนองความเสี่ยง
– ลดโอกาสเกิดความเสี่ยงและผลกระทบของความเสี่ยงให้เหลือน้อยที่สุด โดยการจัดการสาเหตุของความเสี่ยงอย่างมีประสิทธิภาพ หรือจัดการผลกระทบที่อาจจะเกิดขึ้นของความเสี่ยง

– การลดผลกระทบของความเสี่ยง ซึ่งโดยมากมักใช้ระบบการเตือนภัยหรือระบบการบริหาร พร้อมด้วยการจัดทำแผนฉุกเฉิน หรือแผนฟื้นฟู

– การเพิ่ม/สร้าง หรือจัดการโอกาสเกิดความเสี่ยงและผลกระทบจากความเสี่ยง เพื่อให้ได้ผลลัพธ์ที่ดีขึ้น

กลยุทธ์ในการตอบสนอง/บริหารความเสี่ยง
การตอบสนองความเสี่ยงแบ่งเป็น 4 ประเภท ดังนี้
1. การหลีกเลี่ยงความเสี่ยง (Risk avoidance)
หมายถึง การเลิกหรือหลีกเลี่ยงการกระทำและเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น ในงานที่องค์กรไม่ถนัด อาจหลีกเลี่ยงโดยการเลิกหรือลดการกระทำให้เหลือเท่าที่จำเป็นเพื่อการเรียนรู้ การเพิ่มการใช้บริการจากบุคคลภายนอก หรือการทำสัญญารับช่วงเหมาต่อ เป็นต้น

กล่าวโดยสรุป การหลีกเลี่ยงความเสี่ยง คือ การไม่ยอมรับความเสี่ยง และอาจทำให้ต้องเปลี่ยนวัตถุประสงค์ของแผนงานหรือยกเลิกแผนงานโครงการนั้นเสีย

2. การควบคุม และการจัดการกับความเสี่ยง (Risk Control)
หมายถึง การหาวิธีการควบคุมสาเหตุหรือต้นเหตุของปัจจัยเสี่ยงและกำหนดวิธีการจัดการที่ เหมาะสมเพื่อขับเคลื่อนให้แผนงานและโครงการตามกิจกรรมที่กำหนดไว้ดำเนินการไปสู่เป้าประสงค์ได้ในเวลาที่กำหนด หากผู้ที่เกี่ยวข้องไม่อาจดำเนินการได้ต้องรายงานให้ผู้บังคับบัญชาทราบว่าไม่อาจดำเนินการต่อไปได้

การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย หรือการลดทั้ง 2 ด้านพร้อมกัน ก็เป็นการควบคุมและการจัดการความเสี่ยงแบบหนึ่ง การลดความเสี่ยงที่สำคัญคือ การจัดระบบการควบคุมเพื่อป้องกันหรือค้นพบความเสี่ยงเฉพาะวัตถุประสงค์นั้นอย่างเหมาะสมและทันกาลมากขึ้น

รวมถึงการกำหนดแผนสำรองในเหตุฉุกเฉิน (Contingency Planning) ได้แก่ การกำหนดแผนฉุกเฉินสำหรับความเสี่ยงที่คาดการณ์ไว้ล่วงหน้าแล้ว (Known risk) เช่น แผนฉุกเฉินเมื่อไฟฟ้าดับ และเครื่องคอมพิวเตอร์จะไม่ทำงาน ฯลฯ และการควบคุมโดยเครื่องจักรอัตโนมัติ การใช้ระบบการรายงานและการใช้เทคโนโลยีสารสนเทศเพื่อการบริหารและควบคุมที่ดี

3. การกระจายความเสี่ยง (Sharing)
หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย โดยการแบ่งโอน การหาผู้รับผิดชอบร่วมในความเสี่ยง การจัดประกันภัย การกระจายความเสี่ยง (Diversify the risk) ออกไปในหลายกิจกรรม หลายผลิตภัณฑ์ หลายตลาด เป็นต้น

หรือถ้าหากแผนงาน/โครงการภายใต้กลยุทธ์มีความเสี่ยงเกินกว่าจะยอมรับได้ หรือเกิดความล้มเหลว ทางฝ่ายบริหารขององค์กร ก็อาจจะให้น้ำหนักแผนงานหรือโครงการอื่น ๆ ภายใต้กลยุทธ์เดียวกันนั้น หรือให้น้ำหนักกับแผนงานอื่น ภายใต้กลยุทธ์เดียวกันหรือกลยุทธ์อื่นที่เหมาะกว่าก็ได้

4. การยอมรับความเสี่ยง (Acceptance)
เป็นการยอมรับ โดยใช้วิธีการเดิมต่อไปในการจัดการกับความเสี่ยง หมายถึง กิจกรรมของแผนงานนั้น ๆ มีความเสี่ยงในระดับหนึ่ง แต่ องค์กร รวมทั้งเจ้าของแผนงานสามารถควบคุมและจัดการได้ และสามารถผลักดันกิจกรรมและขั้นตอนต่าง ๆ ของแผนงานนั้น ๆ ไปสู่เป้าประสงค์ได้ในเวลาที่กำหนด หรืออาจอธิบายการยอมรับความเสี่ยงได้ว่า การไม่กระทำการใด ๆ เพิ่มเติม กรณีนี้ใช้กับความเสี่ยงที่มีสาระสำคัญน้อย ความน่าจะเกิดน้อย หรือเห็นว่ามีต้นทุนในการบริหารความเสี่ยงสูง

การตอบสนองแบบหลีกเลี่ยงนั้น คือ การยุติกิจกรรมที่ทำให้ความเสี่ยงเพิ่มขึ้น การตอบสนองแบบลดความเสี่ยงนั้นจะลดความน่าจะเกิดหรือผลกระทบที่จะเกิดของเหตุการณ์นั้นหรือทั้งสองอย่าง การกระจายความเสี่ยงจะลดความเสี่ยงที่มีความเป็นไปได้ที่จะเกิดและมีผลกระทบโดยโอนความเสี่ยงหรือในอีกแง่หนึ่งคือ การกระจายสัดส่วนของความเสี่ยง ส่วนการยอมรับความเสี่ยงนั้นจะไม่มีการกระทำอะไรที่มีผลต่อความเป็นได้ที่จะเกิดหรือผลกระทบ ในส่วนของ ERM สำหรับแต่ละความเสี่ยงที่มีนัยสำคัญ องค์กรควรพิจารณาศักยภาพของการตอบสนอง จากขอบเขตของลักษณะการตอบสนองแต่ละประเภท

การหลีกเลี่ยงการตอบสนอง ทำให้คิดว่าความคุ้มค่าหรือต้นทุนของการตอบสนองที่มีมากเกินไปกว่าผลประโยชน์ที่ปรารถนา หรือเงื่อนไขที่ไม่มีการตอบสนองถูกแยกแยะ ในแง่ที่จะลดผลกระทบและความน่าจะเกิด (Likelihood) เพื่อเข้าสู่ระดับที่ยอมรับได้ การลดลงและการกระจายการตอบสนองจะช่วยลดความเสี่ยงส่วนที่เหลือ ไปสู่ระดับซึ่งเข้ากันได้กับระดับความเสี่ยงที่ยอมรับได้ขององค์กร ในขณะที่การยอมรับการตอบสนอง ทำให้เห็นว่าความเสี่ยงที่เป็นธรรมชาติเข้ากันได้กับระดับความเสี่ยงที่ยอมรับได้

สำหรับความเสี่ยงจำนวนมาก จะเห็นเงื่อนไขการตอบสนองที่เหมาะสมได้ชัดและถูกยอมรับอย่างดี ตัวอย่างเช่น เงื่อนไขการตอบสนองเหมาะสมสำหรับการสูญเสียประโยชน์จากการการคิดคำนวณเป็นการพัฒนาแผนธุรกิจอย่างต่อเนื่อง สำหรับความเสี่ยงอื่น ๆ เงื่อนไขที่มีอยู่อาจไม่ปรากฏให้เห็นนั้น ต้องการกิจกรรมที่มีการกำหนดขอบเขตที่ชัดเจนมากขึ้น ตัวอย่างเงื่อนไขการตอบสนองที่สัมพันธ์กับการบรรเทาผลกระทบของกิจกรรมของคู่แข่งในเรื่องค่านิยมของตราสินค้า อาจต้องการการวิจัยทางการตลาดและการวิเคราะห์

เมื่อรู้แล้วว่าการตอบสนองความเสี่ยงนั้นมีกี่ประเภท แล้วเราจะมีแนวทางในการกำหนดกลยุทธ์ในการจัดการกับความเสี่ยงได้อย่างไร ก็คงต้องติดตามกันในครั้งต่อไปนะครับ