Information Technology Governance

จากที่ได้กล่าวไปแล้วว่า ผมจะพูดถึงหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงในครั้งนี้ ฉะนั้น การบริหารความเสี่ยงขององค์กรจะมีหลักการอย่างไร และจะมีปัจจัยใดบ้างที่เกี่ยวข้องและมีผลกระทบต่อความสำเร็จขององค์กร ติดตามกันต่อได้เลยครับ

หลักการบริหารความเสี่ยง
หลักการบริหารความเสี่ยงประกอบด้วยพื้นฐาน 2 ประการคือ หลักการ ORCA และปัจจัยที่ทำให้การนำกรอบการบริหารความเสี่ยงไปปฏิบัติประสบผลสำเร็จ

หลักการบริหารความเสี่ยง = หลักการ ORCA + ปัจจัยสำคัญที่ทำให้ประสบความสำเร็จ

หลักการ ORCA เป็นคำย่อของ Objectives – วัตถุประสงค์ / Risk – ความเสี่ยง / Control – การควบคุมภายใน Alignment – ความสอดคล้องกัน ซึ่งเป็นแนวทางที่มีเหตุผลดังนี้
1. การกำหนดวัตถุประสงค์ที่ชัดเจนขององค์กร
2. การประเมินความเสี่ยงที่อาจทำให้ไม่สามารถบรรลุวัตถุประสงค์ การประเมินความเสี่ยงเป็นการบ่งชี้และวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับความสามารถในการบรรลุวัตถุประสงค์และเป็นแนวทางพื้นฐานในการกำหนดการควบคุมภายในเพื่อใช้สำหรับการจัดการความเสี่ยง เป็นกระบวนการต่อเนื่อง ทั้งนี้เนื่องจากภาวะทางเศรษฐกิจ อุตสาหกรรม กฎ ระเบียบ และการปฏิบัติงานมีการเปลี่ยนแปลงอยู่ตลอดเวลา
3. สร้างการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงขององค์กร การควบคุมที่ไม่เพียงพออาจทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้
4. ดำเนินการเพื่อให้มั่นใจว่ามีความสอดคล้องกันระหว่างวัตถุประสงค์ ความเสี่ยงและการควบคุมทั่วทั้งองค์กร

ปัจจัยสำคัญต่อความสำเร็จในการบริหารความเสี่ยง
ปัจจัยสำคัญ 8 ประการ เพื่อช่วยให้การปฏิบัติตามกรอบการบริหารความเสี่ยงประสบความสำเร็จ มีดังนี้

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

ปัจจัยที่ 1 : การสนับสนุนจากผู้บริหารระดับสูง
การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กร จะประสบความสำเร็จเพียงใดขึ้นอยู่กับเจตนารมณ์ การสนับสนุน การมีส่วนร่วม และความเป็นผู้นำของผู้บริหารระดับสูงในองค์กร

คณะกรรมการ และผู้บริหารระดับสูงขององค์กรทั่วไป ต้องให้ความสำคัญและสนับสนุนให้ทุกคนในองค์กรเข้าใจความสำคัญในคุณค่าของการบริหารความเสี่ยงต่อองค์กร มิฉะนั้นแล้วการบริหารความเสี่ยงไม่สามารถเกิดขึ้นได้ การบริหารความเสี่ยงต้องเริ่มต้นจากการที่กรรมการผู้จัดการ หรือผู้นำสูงสุดขององค์กร ต้องการให้ระบบนี้เกิดขึ้น โดยกำหนดนโยบายให้มีการปฏิบัติ รวมถึงการกำหนดให้ผู้บริหารต้องใช้ข้อมูลเกี่ยวกับความเสี่ยงในการตัดสินใจ และบริหารงาน เป็นต้น

ปัจจัยที่ 2 : ความเข้าใจความหมายความเสี่ยงตรงกัน
การใช้คำนิยามเกี่ยวกับความเสี่ยงและการบริหารความเสี่ยงแบบเดียวกัน จะทำให้เกิดความมีประสิทธิภาพในการกำหนดวัตถุประสงค์ นโยบาย กระบวนการ เพื่อใช้ในการบ่งชี้และประเมินความเสี่ยง และกำหนดวิธีการจัดการความเสี่ยงที่เหมาะสม

การจัดทำกรอบและนโยบายการบริหารความเสี่ยงที่มีความชัดเจน จะทำให้ผู้บริหารและพนักงานทุกคนใช้ภาษาความเสี่ยงในแนวทางเดียวกันและมีจุดหมายร่วมกันในการบริหารความเสี่ยง

ปัจจัยที่ 3 : กระบวนการบริหารความเสี่ยง ดำเนินการอย่างต่อเนื่อง
การที่องค์กรทั่วไป จะประสบความสำเร็จในการปฏิบัติตามกระบวนการบริหารความเสี่ยงได้นั้น รูปแบบการบริหารความเสี่ยงขององค์กรจะต้องมีการกำหนดขึ้น และเป็นความรับผิดชอบของผู้บริหารในทุกระดับที่จะนำกระบวนการบริหารความเสี่ยงมาปฏิบัติได้อย่างทั่วถึงทั้งองค์กร และต้องกระทำอย่างต่อเนื่อง สม่ำเสมอ

ปัจจัยที่ 4 : การบริหารการเปลี่ยนแปลง ต้องมีการชี้แจง
ในการนำเอากระบวนการบริหารความเสี่ยงมาปฏิบัติ จำเป็นต้องมีการปรับวัฒนธรรมการบริหารความเสี่ยงขององค์กรให้กับเข้าทุกระดับขององค์กร และต้องให้ผู้บริหารและพนักงานทุกคนได้ทราบถึงการเปลี่ยนแปลงและผลที่องค์กร และแต่ละบุคคลจะได้รับจากการเปลี่ยนแปลงนั้น

องค์ประกอบที่สำคัญของการเปลี่ยนแปลง
– กำหนดความคาดหวังที่เป็นไปได้ในทางปฏิบัติตั้งแต่เริ่มต้นโครงการ
– กำหนดระยะเวลาของกระบวนการเปลี่ยนแปลงและสื่อให้กับผู้ที่เกี่ยวข้องได้รับทราบ
– กำหนดลักษณะและระดับของความพยายามที่ต้องการ
– ดำเนินการเพื่อให้มั่นใจว่ามีการสื่อสารไปยังทุกฝ่ายที่ได้รับผลกระทบจากการเปลี่ยนแปลง
– ระบุปัญหา อุปสรรคที่ต้องดำเนินการแก้ไขตั้งแต่เริ่มแรก

ปัจจัยที่ 5 : การสื่อสารที่มีคุณภาพเชื่อมโยงกับกลยุทธ์
วัตถุประสงค์ของการสื่อสารอย่างมีประสิทธิผลนั้น ต้องให้มั่นใจได้ว่า
– ผู้บริหารได้รับข้อมูลเกี่ยวกับความเสี่ยงที่ถูกต้องและทันเวลา
– ผู้บริหารสามารถจัดการกับความเสี่ยงตามลำดับความสำคัญ หรือตามการเปลี่ยนแปลงหรือความเสี่ยงที่เกิดขึ้นใหม่ได้ทันท่วงที
– มีการติดตามแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อนำมาใช้ปรับปรุงการบริหารองค์กร และจัดการความเสี่ยงต่าง ๆ เพื่อให้องค์กรมีโอกาสในการบรรลุวัตถุประสงค์ได้มากที่สุด

การสื่อสารเกี่ยวกับกลยุทธ์การบริหารความเสี่ยง และวิธีปฏิบัติมีความสำคัญอย่างมาก เพราะการสื่อสารจะเน้นให้เห็นถึงการเชื่อมโยง ระหว่างการบริหารความเสี่ยงกับกลยุทธ์องค์กร การชี้แจงทำความเข้าใจต่อพนักงานทุกคนถึงความรับผิดชอบของแต่ละบุคคลต่อกระบวนการบริหารความเสี่ยง จะช่วยให้เกิดการยอมรับในกระบวนการ และนำมาซึ่งความสำเร็จในการพัฒนาการบริหารความเสี่ยง โดยควรได้รับการสนับสนุนทั้งทางวาจา และในทางปฏิบัติจากกรรมการผู้จัดการและผู้บริหารระดับสูงของ องค์กร

ปัจจัยที่ 6 : การวัดผลการบริหารความเสี่ยง ควบคู่กับกระบวนการด้านบุคลากร
– การวัดความเสี่ยงในรูปแบบของผลกระทบและโอกาสที่อาจเกิดขึ้น เพื่อให้ผู้บริหารสามารถประเมินความเสี่ยงที่เกิดขึ้นและดำเนินการให้กระบวนการทั้งหมดเกิดความสอดคล้องกันอย่างมีประสิทธิภาพและประสิทธิผล และเป็นการลดความแตกต่างระหว่างความเสี่ยงที่เกิดขึ้น และความเสี่ยงที่องค์กรยอมรับ

– การวัดความสำเร็จของการบริหารความเสี่ยงโดยอาศัยดัชนีวัดผลการดำเนินงาน ซึ่งอาจกำหนดเป็นระดับองค์กร ฝ่ายงาน หรือของแต่ละบุคคล การใช้ดัชนีวัดผลการดำเนินงานนี้อาจปฏิบัติร่วมกับกระบวนการด้านทรัพยากรบุคคล

ปัจจัยที่ 7 : การฝึกอบรม ความรู้ ความรับผิดชอบการบริหารความเสี่ยง
กรรมการ ผู้บริหาร และพนักงานทุกคนในองค์กร ควรต้องได้รับการฝึกอบรมเพื่อให้เข้าใจกรอบการบริหารความเสี่ยง และความรับผิดชอบของแต่ละบุคคลในการจัดการความเสี่ยง เพื่อบรรลุความสำเร็จขององค์กร การสื่อสารข้อมูลเกี่ยวกับความเสี่ยง การฝึกอบรมในองค์กรควรต้องคำนึงถึงประเด็น ดังต่อไปนี้
– ความแตกต่างกันของระดับความรับผิดชอบ ในการบริหารความเสี่ยง
– ความรู้เกี่ยวกับความเสี่ยง และการบริหารความเสี่ยงที่มีอยู่แล้วในองค์กร
พนักงานใหม่ทุกคน ควรได้รับการฝึกอบรม เพื่อให้มีความเข้าใจในความรับผิดชอบต่อความเสี่ยง และกระบวนการบริหารความเสี่ยงด้วยเช่นกัน

ระบบการประเมินผลการดำเนินงาน ถือเป็นเครื่องมือสำคัญที่ใช้ในการส่งเสริมความรับผิดชอบของแต่ละบุคคล โดยความรับผิดชอบเกี่ยวกับการบริหารความเสี่ยง ควรกำหนดรวมอยู่ในงานที่แต่ละบุคคลรับผิดชอบ และในคำอธิบายลักษณะงาน (Job Description) การประเมินผลการดำเนินงานส่วนที่เกี่ยวกับการบริหารความเสี่ยง มีประเด็นที่ควรประเมินดังต่อไปนี้
– ความรับผิดชอบ และการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลมีต่อองค์กร
– การวัดระดับของความเสี่ยงที่บุคคลนั้น เป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

ปัจจัยที่ 8 : การติดตามกระบวนการบริหารความเสี่ยง
ขั้นตอนสุดท้ายของปัจจัยสำคัญต่อความสำเร็จของการบริหารความเสี่ยง คือ การกำหนดวิธีที่เหมาะสมในการติดตามการบริหารความเสี่ยง

การติดตามกระบวนการบริหารความเสี่ยง ควรพิจารณาประเด็นต่อไปนี้
– การรายงาน และสอบทานขั้นตอนตามกระบวนการบริหารความเสี่ยง
– ความชัดเจนและสม่ำเสมอของการมีส่วนร่วม และความมุ่งมั่นของผู้บริหารระดับสูง
– บทบาทของผู้นำในการสนับสนุน และติดตามการบริหารความเสี่ยง
– การประยุกต์ใช้เกณฑ์การประเมินผลการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยง

จากที่ได้กล่าวไปแล้วว่า ผมจะพูดถึงหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงในครั้งนี้ ฉะนั้น การบริหารความเสี่ยงขององค์กรจะมีหลักการอย่างไร และจะมีปัจจัยใดบ้างที่เกี่ยวข้องและมีผลกระทบต่อความสำเร็จขององค์กร ติดตามกันต่อได้เลยครับ

หลักการบริหารความเสี่ยง
หลักการบริหารความเสี่ยงประกอบด้วยพื้นฐาน 2 ประการคือ หลักการ ORCA และปัจจัยที่ทำให้การนำกรอบการบริหารความเสี่ยงไปปฏิบัติประสบผลสำเร็จ

หลักการบริหารความเสี่ยง = หลักการ ORCA + ปัจจัยสำคัญที่ทำให้ประสบความสำเร็จ

หลักการ ORCA เป็นคำย่อของ Objectives – วัตถุประสงค์ / Risk – ความเสี่ยง / Control – การควบคุมภายใน Alignment – ความสอดคล้องกัน ซึ่งเป็นแนวทางที่มีเหตุผลดังนี้
1. การกำหนดวัตถุประสงค์ที่ชัดเจนขององค์กร
2. การประเมินความเสี่ยงที่อาจทำให้ไม่สามารถบรรลุวัตถุประสงค์ การประเมินความเสี่ยงเป็นการบ่งชี้และวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับความสามารถในการบรรลุวัตถุประสงค์และเป็นแนวทางพื้นฐานในการกำหนดการควบคุมภายในเพื่อใช้สำหรับการจัดการความเสี่ยง เป็นกระบวนการต่อเนื่อง ทั้งนี้เนื่องจากภาวะทางเศรษฐกิจ อุตสาหกรรม กฎ ระเบียบ และการปฏิบัติงานมีการเปลี่ยนแปลงอยู่ตลอดเวลา
3. สร้างการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงขององค์กร การควบคุมที่ไม่เพียงพออาจทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้
4. ดำเนินการเพื่อให้มั่นใจว่ามีความสอดคล้องกันระหว่างวัตถุประสงค์ ความเสี่ยงและการควบคุมทั่วทั้งองค์กร

ปัจจัยสำคัญต่อความสำเร็จในการบริหารความเสี่ยง
ปัจจัยสำคัญ 8 ประการ เพื่อช่วยให้การปฏิบัติตามกรอบการบริหารความเสี่ยงประสบความสำเร็จ มีดังนี้

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

ปัจจัยที่ 1 : การสนับสนุนจากผู้บริหารระดับสูง
การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กร จะประสบความสำเร็จเพียงใดขึ้นอยู่กับเจตนารมณ์ การสนับสนุน การมีส่วนร่วม และความเป็นผู้นำของผู้บริหารระดับสูงในองค์กร

คณะกรรมการ และผู้บริหารระดับสูงขององค์กรทั่วไป ต้องให้ความสำคัญและสนับสนุนให้ทุกคนในองค์กรเข้าใจความสำคัญในคุณค่าของการบริหารความเสี่ยงต่อองค์กร มิฉะนั้นแล้วการบริหารความเสี่ยงไม่สามารถเกิดขึ้นได้ การบริหารความเสี่ยงต้องเริ่มต้นจากการที่กรรมการผู้จัดการ หรือผู้นำสูงสุดขององค์กร ต้องการให้ระบบนี้เกิดขึ้น โดยกำหนดนโยบายให้มีการปฏิบัติ รวมถึงการกำหนดให้ผู้บริหารต้องใช้ข้อมูลเกี่ยวกับความเสี่ยงในการตัดสินใจ และบริหารงาน เป็นต้น

ปัจจัยที่ 2 : ความเข้าใจความหมายความเสี่ยงตรงกัน
การใช้คำนิยามเกี่ยวกับความเสี่ยงและการบริหารความเสี่ยงแบบเดียวกัน จะทำให้เกิดความมีประสิทธิภาพในการกำหนดวัตถุประสงค์ นโยบาย กระบวนการ เพื่อใช้ในการบ่งชี้และประเมินความเสี่ยง และกำหนดวิธีการจัดการความเสี่ยงที่เหมาะสม

การจัดทำกรอบและนโยบายการบริหารความเสี่ยงที่มีความชัดเจน จะทำให้ผู้บริหารและพนักงานทุกคนใช้ภาษาความเสี่ยงในแนวทางเดียวกันและมีจุดหมายร่วมกันในการบริหารความเสี่ยง

ปัจจัยที่ 3 : กระบวนการบริหารความเสี่ยง ดำเนินการอย่างต่อเนื่อง
การที่องค์กรทั่วไป จะประสบความสำเร็จในการปฏิบัติตามกระบวนการบริหารความเสี่ยงได้นั้น รูปแบบการบริหารความเสี่ยงขององค์กรจะต้องมีการกำหนดขึ้น และเป็นความรับผิดชอบของผู้บริหารในทุกระดับที่จะนำกระบวนการบริหารความเสี่ยงมาปฏิบัติได้อย่างทั่วถึงทั้งองค์กร และต้องกระทำอย่างต่อเนื่อง สม่ำเสมอ

ปัจจัยที่ 4 : การบริหารการเปลี่ยนแปลง ต้องมีการชี้แจง
ในการนำเอากระบวนการบริหารความเสี่ยงมาปฏิบัติ จำเป็นต้องมีการปรับวัฒนธรรมการบริหารความเสี่ยงขององค์กรให้กับเข้าทุกระดับขององค์กร และต้องให้ผู้บริหารและพนักงานทุกคนได้ทราบถึงการเปลี่ยนแปลงและผลที่องค์กร และแต่ละบุคคลจะได้รับจากการเปลี่ยนแปลงนั้น

องค์ประกอบที่สำคัญของการเปลี่ยนแปลง
– กำหนดความคาดหวังที่เป็นไปได้ในทางปฏิบัติตั้งแต่เริ่มต้นโครงการ
– กำหนดระยะเวลาของกระบวนการเปลี่ยนแปลงและสื่อให้กับผู้ที่เกี่ยวข้องได้รับทราบ
– กำหนดลักษณะและระดับของความพยายามที่ต้องการ
– ดำเนินการเพื่อให้มั่นใจว่ามีการสื่อสารไปยังทุกฝ่ายที่ได้รับผลกระทบจากการเปลี่ยนแปลง
– ระบุปัญหา อุปสรรคที่ต้องดำเนินการแก้ไขตั้งแต่เริ่มแรก

ปัจจัยที่ 5 : การสื่อสารที่มีคุณภาพเชื่อมโยงกับกลยุทธ์
วัตถุประสงค์ของการสื่อสารอย่างมีประสิทธิผลนั้น ต้องให้มั่นใจได้ว่า
– ผู้บริหารได้รับข้อมูลเกี่ยวกับความเสี่ยงที่ถูกต้องและทันเวลา
– ผู้บริหารสามารถจัดการกับความเสี่ยงตามลำดับความสำคัญ หรือตามการเปลี่ยนแปลงหรือความเสี่ยงที่เกิดขึ้นใหม่ได้ทันท่วงที
– มีการติดตามแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อนำมาใช้ปรับปรุงการบริหารองค์กร และจัดการความเสี่ยงต่าง ๆ เพื่อให้องค์กรมีโอกาสในการบรรลุวัตถุประสงค์ได้มากที่สุด

การสื่อสารเกี่ยวกับกลยุทธ์การบริหารความเสี่ยง และวิธีปฏิบัติมีความสำคัญอย่างมาก เพราะการสื่อสารจะเน้นให้เห็นถึงการเชื่อมโยง ระหว่างการบริหารความเสี่ยงกับกลยุทธ์องค์กร การชี้แจงทำความเข้าใจต่อพนักงานทุกคนถึงความรับผิดชอบของแต่ละบุคคลต่อกระบวนการบริหารความเสี่ยง จะช่วยให้เกิดการยอมรับในกระบวนการ และนำมาซึ่งความสำเร็จในการพัฒนาการบริหารความเสี่ยง โดยควรได้รับการสนับสนุนทั้งทางวาจา และในทางปฏิบัติจากกรรมการผู้จัดการและผู้บริหารระดับสูงของ องค์กร

ปัจจัยที่ 6 : การวัดผลการบริหารความเสี่ยง ควบคู่กับกระบวนการด้านบุคลากร
– การวัดความเสี่ยงในรูปแบบของผลกระทบและโอกาสที่อาจเกิดขึ้น เพื่อให้ผู้บริหารสามารถประเมินความเสี่ยงที่เกิดขึ้นและดำเนินการให้กระบวนการทั้งหมดเกิดความสอดคล้องกันอย่างมีประสิทธิภาพและประสิทธิผล และเป็นการลดความแตกต่างระหว่างความเสี่ยงที่เกิดขึ้น และความเสี่ยงที่องค์กรยอมรับ

– การวัดความสำเร็จของการบริหารความเสี่ยงโดยอาศัยดัชนีวัดผลการดำเนินงาน ซึ่งอาจกำหนดเป็นระดับองค์กร ฝ่ายงาน หรือของแต่ละบุคคล การใช้ดัชนีวัดผลการดำเนินงานนี้อาจปฏิบัติร่วมกับกระบวนการด้านทรัพยากรบุคคล

ปัจจัยที่ 7 : การฝึกอบรม ความรู้ ความรับผิดชอบการบริหารความเสี่ยง
กรรมการ ผู้บริหาร และพนักงานทุกคนในองค์กร ควรต้องได้รับการฝึกอบรมเพื่อให้เข้าใจกรอบการบริหารความเสี่ยง และความรับผิดชอบของแต่ละบุคคลในการจัดการความเสี่ยง เพื่อบรรลุความสำเร็จขององค์กร การสื่อสารข้อมูลเกี่ยวกับความเสี่ยง การฝึกอบรมในองค์กรควรต้องคำนึงถึงประเด็น ดังต่อไปนี้
– ความแตกต่างกันของระดับความรับผิดชอบ ในการบริหารความเสี่ยง
– ความรู้เกี่ยวกับความเสี่ยง และการบริหารความเสี่ยงที่มีอยู่แล้วในองค์กร
พนักงานใหม่ทุกคน ควรได้รับการฝึกอบรม เพื่อให้มีความเข้าใจในความรับผิดชอบต่อความเสี่ยง และกระบวนการบริหารความเสี่ยงด้วยเช่นกัน

ระบบการประเมินผลการดำเนินงาน ถือเป็นเครื่องมือสำคัญที่ใช้ในการส่งเสริมความรับผิดชอบของแต่ละบุคคล โดยความรับผิดชอบเกี่ยวกับการบริหารความเสี่ยง ควรกำหนดรวมอยู่ในงานที่แต่ละบุคคลรับผิดชอบ และในคำอธิบายลักษณะงาน (Job Description) การประเมินผลการดำเนินงานส่วนที่เกี่ยวกับการบริหารความเสี่ยง มีประเด็นที่ควรประเมินดังต่อไปนี้
– ความรับผิดชอบ และการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลมีต่อองค์กร
– การวัดระดับของความเสี่ยงที่บุคคลนั้น เป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

ปัจจัยที่ 8 : การติดตามกระบวนการบริหารความเสี่ยง
ขั้นตอนสุดท้ายของปัจจัยสำคัญต่อความสำเร็จของการบริหารความเสี่ยง คือ การกำหนดวิธีที่เหมาะสมในการติดตามการบริหารความเสี่ยง

การติดตามกระบวนการบริหารความเสี่ยง ควรพิจารณาประเด็นต่อไปนี้
– การรายงาน และสอบทานขั้นตอนตามกระบวนการบริหารความเสี่ยง
– ความชัดเจนและสม่ำเสมอของการมีส่วนร่วม และความมุ่งมั่นของผู้บริหารระดับสูง
– บทบาทของผู้นำในการสนับสนุน และติดตามการบริหารความเสี่ยง
– การประยุกต์ใช้เกณฑ์การประเมินผลการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยง

สวัสดีครับ ห่างหายกันไปนาน เดี๋ยวจะหาว่าผมหยุดพักผ่อนสงกรานต์นานไปหน่อย จริง ๆ แล้วไม่ได้หายไปไหนหรอกครับ แต่ตั้งแต่ช่วงสงกรานต์ที่ผ่านมาระบบอินเตอร์เน็ตที่ผมใช้งานอยู่เกิดเสียขึ้นมา ก็ต้องขอโทษด้วยสำหรับผู้อ่านที่กำลังติดตามแนวทาง/กรอบการบริหารความเสี่ยงขององค์กรกันอยู่

วันนี้ผมจะขอทบทวนในเรื่องของกรอบแนวความคิดของการบริหารความเสี่ยงกันอีกนึดนึง หลังจากที่ได้หายไปนาน ซึ่งวัตถุประสงค์สำคัญของกรอบแนวคิดนี้คือ การช่วยให้องค์กรทั่วไปจัดการกับความเสี่ยงที่เกิดขึ้นในการบรรลุวัตถุประสงค์ที่กำหนดไว้ แต่ความหมายของ ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กร จะมีความแตกต่างกันไปในแต่ละคน จึงจำเป็นต้องมีการบูรณาการแนวความคิด เรื่องความเสี่ยงออกมาเป็นกรอบเพื่อเป็นความหมายที่เข้าใจได้ตรงกันโดยทั่วไปและสามารถระบุองค์ประกอบได้

ภาพด้านล่างนี้จะทำให้เข้าใจภาพโดยรวมของ ERM ได้ชัดเจนยิ่งขึ้นครับ

ERM 8 ประการ

คำจำกัดความการจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
การจัดการความเสี่ยงขององค์กร เป็นกระบวนการที่คณะกรรมการบริหาร และพนักงานทุกคน/ผู้ที่เกี่ยวข้องขององค์กร ประยุกต์ใช้ในการกำหนดกลยุทธ์ที่ออกแบบมาเพื่อจัดการกับเหตุการณ์ที่เป็นความไม่แน่นอนที่อาจส่งผลกระทบต่อองค์กรและบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ อันเป็นการประกันการบรรลุวัตถุประสงค์อย่างสมเหตุสมผลอย่างเป็นระบบตามหลักการบริหารงานยุคใหม่

คำจำกัดความดังกล่าวสะท้อนให้เห็นแนวคิดพื้นฐานของ ERM ดังนี้
1. เป็นกระบวนการ
มีเป้าหมายแต่ไม่มีจุดสิ้นสุดในตัวเอง ไม่ได้เป็นเพียงเหตุการณ์หรือสถานการณ์เพียงครั้งเดียวแต่มีลักษณะเป็นชุดของการกระทำที่ซึมซับเข้าไปเป็นกิจกรรมขององค์กรในการดำเนินธุรกิจ

2. ส่งผลกระทบต่อบุคลากร
ไม่ได้เป็นเพียงนโยบาย การสำรวจหรือรูปแบบ แต่เกี่ยวเนื่องกับคนทุกระดับขององค์กร ตั้งแต่คณะกรรมการบริหาร จนถึงพนักงานระดับปฏิบัติการ ผู้บริหารและพนักงาน จะเป็นผู้กำหนดวิสัยทัศน์ ภารกิจ กลยุทธ์และวัตถุประสงค์ขององค์กรและนำเอา ERM มาเป็นเครื่องมือในการทำให้สิ่งต่าง ๆ เกิดขึ้นจริงและมีผลในทางปฏิบัติ

3. นำมาประยุกต์ใช้กับการกำหนดกลยุทธ์
องค์กรจะกำหนดวิสัยทัศน์ หรือภารกิจ และกำหนดวัตถุประสงค์เชิงกลยุทธ์ และกลยุทธ์/ยุทธศาสตร์ที่เกี่ยวเนื่องในการทำให้บรรลุวัตถุประสงค์ขึ้นมา

ERM จะถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์โดยฝ่ายบริหารจะพิจารณาถึงความเสี่ยงที่เกี่ยวข้องกับกลยุทธ์ที่เป็นทางเลือก เช่น ทางเลือกที่ 1 คือต้องการให้องค์กรมีส่วนแบ่งทางการตลาดเพิ่มขึ้น ทางเลือกที่ 2 คือต้องการตัดต้นทุนค่าใช้จ่ายเพื่อให้ได้กำไรมากขึ้น แต่ละทางเลือกก็จะประกอบด้วยความเสี่ยงจำนวนมาก ถ้าฝ่ายบริหารเลือกทางเลือกที่ 1 โดยอาจขยายธุรกิจไปสู่ตลาดใหม่ ๆ ที่ไม่คุ้นเคย อาจทำให้องค์กรไม่สามารถแข่งขันกับคู่แข่งที่อยู่ในตลาดเดิมอยู่แล้วได้อันจะทำให้องค์กรไม่สามารถนำกลยุทธ์นั้นไปปฏิบัติได้ สำหรับทางเลือกที่ 2 ความเสี่ยงที่เกิดขึ้นคือ การใช้เทคโนโลยีและ suppliers ใหม่ ๆ หรือจากพันธมิตรต่าง ๆ ที่เกี่ยวข้อง จึงต้องมีการประยุกต์นำ ERM มาใช้ในระดับนี้ เพื่อกำหนดกลยุทธ์/ยุทธศาสตร์ขององค์กร

4. นำมาประยุกต์ใช้ทุกระดับและทุกหน่วยงาน
การนำ ERM มาใช้ให้เกิดประโยชน์ ฝ่ายบริหารและผู้ที่เกี่ยวข้องของ องค์กร จะต้องพิจารณาขอบข่ายของกิจกรรมทั้งหมดในทุกระดับขององค์กร ตั้งแต่กิจกรรมในระดับองค์กร เช่น การวางแผนกลยุทธ์และการจัดสรรทรัพยากร ในระดับกิจกรรมของหน่วยธุรกิจ การตลาดและทรัพยากรมนุษย์ ในระดับกระบวนการทางธุรกิจ เช่น การผลิตและการตรวจสอบเครดิตลูกค้าใหม่ ERM ยังสามารถประยุกต์ใช้กับโครงการพิเศษและนวัตกรรมใหม่ ๆ ได้ด้วย ฝ่ายบริหารต้องพิจารณาความเสี่ยงที่เกี่ยวเนื่องและบริหารจัดการให้เหลือความเสี่ยงที่ยอมรับได้ที่มีผลต่อแผนงาน/โครงการตามพันธกิจและกลยุทธ์ที่เกี่ยวข้อง

5. ออกแบบมาเพื่อกำหนดเหตุการณ์ที่เป็นไปได้ที่จะมีผลกระทบกับองค์กร และมีการบริหารความเสี่ยงให้อยู่ภายในความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้ คือ จำนวนความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับ กลยุทธ์ที่แตกต่างกันย่อมทำให้องค์กรต้องเผชิญกับความเสี่ยงที่แตกต่างกัน ERM จะช่วยให้ฝ่ายบริหารสามารถเลือกกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ให้กับองค์กร

ความเสี่ยงที่ยอมรับได้ขององค์กร จะเป็นแนวทางในการจัดสรรทรัพยากร ฝ่ายบริหารจะจัดสรรทรัพยากรให้กับหน่วยธุรกิจ โดยพิจารณาจากความเสี่ยงที่ยอมรับได้ของธุรกิจและกลยุทธ์ในการสร้างผลตอบแทนจากทรัพยากรที่ลงทุนไปของแต่ละหน่วยธุรกิจ

6. สร้างความเชื่อมั่นอย่างสมเหตุสมผลต่อการบริหารขององค์กร และคณะกรรมการ
การออกแบบและบริหาร ERM ที่ดีช่วยให้คณะกรรมการบริหารเกิดความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร ในเรื่องดังนี้
– เข้าใจขอบเขตในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ขององค์กร
– เข้าใจขอบเขตของการบรรลุวัตถุประสงค์เชิงปฏิบัติการขององค์กร
– รายงานขององค์กรมีความเชื่อถือได้
– การปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

7. เป็นเครื่องมือในการบรรลุวัตถุประสงค์ขององค์กร
คำจำกัดความนี้เป็นแนวคิดพื้นฐานว่า องค์กรทั่วไปจะบริหารความเสี่ยงได้อย่างไร โดยจะมุ่งเน้นถึงการบรรลุวัตถุประสงค์หรือเป้าหมายรวมขององค์กร

กรอบแนวคิดนี้แสดงให้เห็นวัตถุประสงค์ขององค์กรในเรื่องต่าง ๆ ดังนี้
– กลยุทธ์ เกี่ยวข้องกับเป้าหมายในระดับสูง โดยการสร้างความสอดคล้องและสนับสนุนภารกิจขององค์กร
– การดำเนินงาน เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ทรัพยากรขององค์กร
– การรายงาน เกี่ยวข้องกับความน่าเชื่อถือของรายงานขององค์กร
– การปฏิบัติตาม เกี่ยวข้องกับการปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

ครั้งหน้า ผมจะเล่าเรื่องหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงต่อครับ

สวัสดีครับ ห่างหายกันไปนาน เดี๋ยวจะหาว่าผมหยุดพักผ่อนสงกรานต์นานไปหน่อย จริง ๆ แล้วไม่ได้หายไปไหนหรอกครับ แต่ตั้งแต่ช่วงสงกรานต์ที่ผ่านมาระบบอินเตอร์เน็ตที่ผมใช้งานอยู่เกิดเสียขึ้นมา ก็ต้องขอโทษด้วยสำหรับผู้อ่านที่กำลังติดตามแนวทาง/กรอบการบริหารความเสี่ยงขององค์กรกันอยู่

วันนี้ผมจะขอทบทวนในเรื่องของกรอบแนวความคิดของการบริหารความเสี่ยงกันอีกนึดนึง หลังจากที่ได้หายไปนาน ซึ่งวัตถุประสงค์สำคัญของกรอบแนวคิดนี้คือ การช่วยให้องค์กรทั่วไปจัดการกับความเสี่ยงที่เกิดขึ้นในการบรรลุวัตถุประสงค์ที่กำหนดไว้ แต่ความหมายของ ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กร จะมีความแตกต่างกันไปในแต่ละคน จึงจำเป็นต้องมีการบูรณาการแนวความคิด เรื่องความเสี่ยงออกมาเป็นกรอบเพื่อเป็นความหมายที่เข้าใจได้ตรงกันโดยทั่วไปและสามารถระบุองค์ประกอบได้

ภาพด้านล่างนี้จะทำให้เข้าใจภาพโดยรวมของ ERM ได้ชัดเจนยิ่งขึ้นครับ

ERM 8 ประการ

คำจำกัดความการจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
การจัดการความเสี่ยงขององค์กร เป็นกระบวนการที่คณะกรรมการบริหาร และพนักงานทุกคน/ผู้ที่เกี่ยวข้องขององค์กร ประยุกต์ใช้ในการกำหนดกลยุทธ์ที่ออกแบบมาเพื่อจัดการกับเหตุการณ์ที่เป็นความไม่แน่นอนที่อาจส่งผลกระทบต่อองค์กรและบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ อันเป็นการประกันการบรรลุวัตถุประสงค์อย่างสมเหตุสมผลอย่างเป็นระบบตามหลักการบริหารงานยุคใหม่

คำจำกัดความดังกล่าวสะท้อนให้เห็นแนวคิดพื้นฐานของ ERM ดังนี้
1. เป็นกระบวนการ
มีเป้าหมายแต่ไม่มีจุดสิ้นสุดในตัวเอง ไม่ได้เป็นเพียงเหตุการณ์หรือสถานการณ์เพียงครั้งเดียวแต่มีลักษณะเป็นชุดของการกระทำที่ซึมซับเข้าไปเป็นกิจกรรมขององค์กรในการดำเนินธุรกิจ

2. ส่งผลกระทบต่อบุคลากร
ไม่ได้เป็นเพียงนโยบาย การสำรวจหรือรูปแบบ แต่เกี่ยวเนื่องกับคนทุกระดับขององค์กร ตั้งแต่คณะกรรมการบริหาร จนถึงพนักงานระดับปฏิบัติการ ผู้บริหารและพนักงาน จะเป็นผู้กำหนดวิสัยทัศน์ ภารกิจ กลยุทธ์และวัตถุประสงค์ขององค์กรและนำเอา ERM มาเป็นเครื่องมือในการทำให้สิ่งต่าง ๆ เกิดขึ้นจริงและมีผลในทางปฏิบัติ

3. นำมาประยุกต์ใช้กับการกำหนดกลยุทธ์
องค์กรจะกำหนดวิสัยทัศน์ หรือภารกิจ และกำหนดวัตถุประสงค์เชิงกลยุทธ์ และกลยุทธ์/ยุทธศาสตร์ที่เกี่ยวเนื่องในการทำให้บรรลุวัตถุประสงค์ขึ้นมา

ERM จะถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์โดยฝ่ายบริหารจะพิจารณาถึงความเสี่ยงที่เกี่ยวข้องกับกลยุทธ์ที่เป็นทางเลือก เช่น ทางเลือกที่ 1 คือต้องการให้องค์กรมีส่วนแบ่งทางการตลาดเพิ่มขึ้น ทางเลือกที่ 2 คือต้องการตัดต้นทุนค่าใช้จ่ายเพื่อให้ได้กำไรมากขึ้น แต่ละทางเลือกก็จะประกอบด้วยความเสี่ยงจำนวนมาก ถ้าฝ่ายบริหารเลือกทางเลือกที่ 1 โดยอาจขยายธุรกิจไปสู่ตลาดใหม่ ๆ ที่ไม่คุ้นเคย อาจทำให้องค์กรไม่สามารถแข่งขันกับคู่แข่งที่อยู่ในตลาดเดิมอยู่แล้วได้อันจะทำให้องค์กรไม่สามารถนำกลยุทธ์นั้นไปปฏิบัติได้ สำหรับทางเลือกที่ 2 ความเสี่ยงที่เกิดขึ้นคือ การใช้เทคโนโลยีและ suppliers ใหม่ ๆ หรือจากพันธมิตรต่าง ๆ ที่เกี่ยวข้อง จึงต้องมีการประยุกต์นำ ERM มาใช้ในระดับนี้ เพื่อกำหนดกลยุทธ์/ยุทธศาสตร์ขององค์กร

4. นำมาประยุกต์ใช้ทุกระดับและทุกหน่วยงาน
การนำ ERM มาใช้ให้เกิดประโยชน์ ฝ่ายบริหารและผู้ที่เกี่ยวข้องของ องค์กร จะต้องพิจารณาขอบข่ายของกิจกรรมทั้งหมดในทุกระดับขององค์กร ตั้งแต่กิจกรรมในระดับองค์กร เช่น การวางแผนกลยุทธ์และการจัดสรรทรัพยากร ในระดับกิจกรรมของหน่วยธุรกิจ การตลาดและทรัพยากรมนุษย์ ในระดับกระบวนการทางธุรกิจ เช่น การผลิตและการตรวจสอบเครดิตลูกค้าใหม่ ERM ยังสามารถประยุกต์ใช้กับโครงการพิเศษและนวัตกรรมใหม่ ๆ ได้ด้วย ฝ่ายบริหารต้องพิจารณาความเสี่ยงที่เกี่ยวเนื่องและบริหารจัดการให้เหลือความเสี่ยงที่ยอมรับได้ที่มีผลต่อแผนงาน/โครงการตามพันธกิจและกลยุทธ์ที่เกี่ยวข้อง

5. ออกแบบมาเพื่อกำหนดเหตุการณ์ที่เป็นไปได้ที่จะมีผลกระทบกับองค์กร และมีการบริหารความเสี่ยงให้อยู่ภายในความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้ คือ จำนวนความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับ กลยุทธ์ที่แตกต่างกันย่อมทำให้องค์กรต้องเผชิญกับความเสี่ยงที่แตกต่างกัน ERM จะช่วยให้ฝ่ายบริหารสามารถเลือกกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ให้กับองค์กร

ความเสี่ยงที่ยอมรับได้ขององค์กร จะเป็นแนวทางในการจัดสรรทรัพยากร ฝ่ายบริหารจะจัดสรรทรัพยากรให้กับหน่วยธุรกิจ โดยพิจารณาจากความเสี่ยงที่ยอมรับได้ของธุรกิจและกลยุทธ์ในการสร้างผลตอบแทนจากทรัพยากรที่ลงทุนไปของแต่ละหน่วยธุรกิจ

6. สร้างความเชื่อมั่นอย่างสมเหตุสมผลต่อการบริหารขององค์กร และคณะกรรมการ
การออกแบบและบริหาร ERM ที่ดีช่วยให้คณะกรรมการบริหารเกิดความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร ในเรื่องดังนี้
– เข้าใจขอบเขตในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ขององค์กร
– เข้าใจขอบเขตของการบรรลุวัตถุประสงค์เชิงปฏิบัติการขององค์กร
– รายงานขององค์กรมีความเชื่อถือได้
– การปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

7. เป็นเครื่องมือในการบรรลุวัตถุประสงค์ขององค์กร
คำจำกัดความนี้เป็นแนวคิดพื้นฐานว่า องค์กรทั่วไปจะบริหารความเสี่ยงได้อย่างไร โดยจะมุ่งเน้นถึงการบรรลุวัตถุประสงค์หรือเป้าหมายรวมขององค์กร

กรอบแนวคิดนี้แสดงให้เห็นวัตถุประสงค์ขององค์กรในเรื่องต่าง ๆ ดังนี้
– กลยุทธ์ เกี่ยวข้องกับเป้าหมายในระดับสูง โดยการสร้างความสอดคล้องและสนับสนุนภารกิจขององค์กร
– การดำเนินงาน เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ทรัพยากรขององค์กร
– การรายงาน เกี่ยวข้องกับความน่าเชื่อถือของรายงานขององค์กร
– การปฏิบัติตาม เกี่ยวข้องกับการปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

ครั้งหน้า ผมจะเล่าเรื่องหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงต่อครับ

วันนี้ ผมจะเล่าสู่กันฟังถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ดังที่ผมเคยกล่าวไว้ในครั้งก่อน ๆ แล้วว่าเป็นปัจจัยสำคัญหลักของ ERM – Enterprise Risk Management โดยเฉพาะอย่างยิ่ง กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในเรื่องของสภาพแวดล้อมภายในองค์กร (Internal Environment) ที่เป็นกระบวนการที่ให้ความสำคัญเป็นอันดับแรก

ผมอยากให้ท่านผู้บริหาร หรือท่านผู้อ่าน เห็นภาพของกระบวนการบริหารความเสี่ยงทั้ง 8 ประการที่กล่าวถึงนี้ว่า มีแนวทางในการบริหารความเสี่ยงและสามารถจะนำไปปฏิบัติได้อย่างไร ก่อนที่จะกล่าวถึงในรายละเอียดต่อไปครับ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

สภาพแวดล้อมภายในองค์กร (Internal Environment)
ภาพแวดล้อมภายในองค์กรเป็นพื้นฐานสำหรับองค์ประกอบอื่น ๆ ของ ERM เพื่อใช้ในการกำหนดหลักเกณฑ์และโครงสร้าง สภาพแวดล้อมภายในมีผลต่อการประเมินและการดำเนินการในการกำหนดกลยุทธ์และวัตถุประสงค์ขององค์กร การกำหนดกิจกรรมทางธุรกิจ และการกระบุความเสี่ยง มีอิทธิพลต่อการออกแบบและการกำหนดหน้าที่ของกิจกรรม ในการควบคุมระบบข้อมูลข่าวสารและการสื่อสาร และกิจกรรมการติดตามดูแล ในทางตรงข้ามสภาพแวดล้อมภายในนั้นก็ได้รับอิทธิพลมาจากประวัติและวัฒนธรรมในอดีตขององค์กร

สภาพแวดล้อมภายในประกอบด้วยองค์ประกอบต่าง ๆ หลายประการ เช่น ค่านิยมทางจริยธรรม ศักยภาพและการพัฒนาของบุคลากร รูปแบบการจัดการของฝ่ายบริหารและวิธีการมอบหมายอำนาจหน้าที่และความรับผิดชอบ คณะกรรมการบริหารเองก็เป็นส่วนหนึ่งของการควบคุมภายในและมีความสำคัญเป็นอย่างมากในการกำหนดสภาพแวดล้อมการควบคุมภายใน แม้ว่าทุกองค์ประกอบจะมีความสำคัญแต่ในองค์กรที่แตกต่างกันก็จะให้ความสำคัญที่แตกต่างกันกันออกไป

สภาพแวดล้อมภายในองค์กร หมายถึงปัจจัยต่าง ๆ ซึ่งผู้บริหารต้องมีการกำหนดร่วมกันกับพนักงานในองค์กร ส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร และเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM

สภาพแวดล้อมภายในองค์กรพิจารณาได้ดังนี้
1. ปรัชญาการบริหารความเสี่ยงขององค์กร
ปรัชญาการบริหารความเสี่ยงขององค์กร เป็นปรัชญาที่คนในองค์กรมีความเข้าใจตระหนักถึงและสามารถนำมาใช้ในการจัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพ ปรัชญาที่ว่าความเชื่อเกี่ยวกับความเสี่ยงและการเลือกวิธีจัดการกับความเสี่ยงขององค์กรทั่วไป จะสะท้อนให้เห็นค่านิยมที่องค์กรแสวงหาจาก ERM และมีอิทธิพลต่อวิธีการจัดการกับองค์ประกอบต่าง ๆ ของความเสี่ยงขององค์กร ทั้งนี้ ปรัชญาการบริหารความเสี่ยงขององค์กรทั่วไป จะต้องสะท้อนให้เห็นถึงนโยบายขององค์กรและมีการสื่อสารให้พนักงานทุกระดับเข้าใจและนำไปสู่การปฏิบัติได้จริง

2. ความเสี่ยงที่ยอมรับได้
ระดับหรือมูลค่าของความเสี่ยงที่องค์กรยอมรับ ฝ่ายบริหารและผู้ที่เกี่ยวข้องจะพิจารณาความเสี่ยงในเชิงคุณภาพในแต่ละประเภทว่าสูง ปานกลาง หรือต่ำ หรืออาจใช้วิธีการเชิงปริมาณเพื่อสะท้อนและสร้างความสมดุลของวัตถุประสงค์เพื่อการเติบโต ผลตอบแทนและความเสี่ยง

ความเสี่ยงที่ยอมรับได้จะต้องเกี่ยวเนื่องกับกลยุทธ์ขององค์กรโดยตรง โดยการนำไปใช้ในการกำหนดกลยุทธ์ ผลตอบแทนที่ต้องการได้รับจากกลยุทธ์ กลยุทธ์ที่ต่างกันจะทำให้องค์กรมีความเสี่ยงที่ต่างกัน ERM จึงถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์ ช่วยผู้บริหารในการเลือกกลยุทธ์เพื่อให้องค์กรมีความเสี่ยงที่ยอมรับได้

3. ความเสี่ยงทางด้านวัฒนธรรม
วัฒนธรรมด้านความเสี่ยงคือทัศนคติร่วมกันขององค์กร คุณค่าและแนวทางการปฏิบัติขององค์กรว่าองค์กรมีการพิจารณาความเสี่ยงแบบไหน ผู้บริหารองค์กรจะเป็นผู้ปรับให้วัฒนธรรมทางด้านความเสี่ยงขององค์กรไปในทิศทางเดียวกับปรัชญาการบริหารความเสี่ยงขององค์กรและความเสี่ยงที่ยอมรับได้

4. วัฒนธรรมย่อยด้านความเสี่ยง
แต่ละหน่วยธุรกิจหรือแต่ละหน่วยงานขององค์กร ความหมายต่างกัน สายงาน/ฝ่ายงานตามหน้าที่ และส่วนต่าง ๆ จะมีลักษณะงาน รวมทั้งวัฒนธรรมการบริหารความเสี่ยงที่แตกต่างกัน ผู้อำนวยการ/ผู้จัดการจึงต้องมีการเตรียมตัวในการเผชิญกับความเสี่ยงมากขึ้น เช่น สายงานหนึ่งอาจเน้นไปยังยอดขายโดยไม่ได้ระวังในเรื่องการปฏิบัติตามกฎเกณฑ์

ส่วนค่านิยมร่วมกันของสายงานอื่นอาจต้องการให้เน้นความสนใจเพื่อให้เกิดความแน่ใจว่ามีการการปฏิบัติตามหลักเกณฑ์ที่เกี่ยวข้อง วัฒนธรรมย่อย ๆ ที่แตกต่างกันนี้อาจส่งผลต่อองค์กรได้ แต่ถ้าสายงานเหล่านี้ทำงานร่วมกัน ส่งเสริมซึ่งกันและกัน วัฒนธรรมที่แตกต่างกันอาจสะท้อนออกมาเป็นความเสี่ยงที่องค์กรยอมรับได้และปรัชญาขององค์กร สำหรับองค์กรทั่วไป สายงานและฝ่ายงานต่าง ๆ ก็มีคุณลักษณะในการบรรลุเป้าหมายและการจัดการกับความเสี่ยงที่ต้องแตกต่างกันด้วย ดังนั้น ความเข้าใจในการบริหารความเสี่ยงในภาพรวมทั้งองค์กร และของแต่ละหน่วยงาน ซึ่งจะถ่ายทอดไปสู่แผนงานและโครงการต่าง ๆ เพื่อก้าวไปสู่เป้าประสงค์ และวิสัยทัศน์ จึงแตกต่างกัน

5. ความตระหนักถึงความเสี่ยงที่แท้จริง
องค์กรทั่วไปที่มีประวัติที่ไม่เคยได้รับความสูญเสียและไม่มีความเสี่ยงที่มีนัยสำคัญที่สังเกตเห็นได้ อาจเชื่อว่าจะมีโอกาสเกิดขึ้น ในขณะที่องค์กรอาจมีพนักงานที่มีความสามารถ มีกระบวนการที่มีประสิทธิผลและเทคโนโลยีที่น่าเชื่อถือได้ มีความหลากหลายของสภาพแวดล้อมภายในและภายนอก ซึ่งสิ่งต่าง ๆ เหล่านี้สามารถเปลี่ยนแปลงได้อย่างรวดเร็ว ฝ่ายบริหารควรตระหนักว่าการดำเนินการที่ดีนั้นย่อมเกิดความอ่อนแอได้ ความอ่อนแอในมิติต่าง ๆ เป็นเรื่องของความเสี่ยง ซึ่งทำให้การบรรลุเป้าหมายอาจเบี่ยงเบนไปได้

6. คณะกรรมการบริหาร
คณะกรรมการบริหารขององค์กร เป็นส่วนหนึ่งของสภาพแวดล้อมภายในที่สำคัญยิ่งและมีอิทธิพลต่อองค์ประกอบของสภาพแวดล้อมภายในอื่น ๆ อย่างมีนัยสำคัญ คณะกรรมการมีความเป็นอิสระจากฝ่ายบริหาร ประสบการณ์และภูมิความรู้ของพนักงาน ขอบเขตขององค์ประกอบและการพิจารณากิจกรรม และความเหมาะสมของการปฏิบัติการ

การบริหารความเสี่ยงขององค์กร ที่ได้ผลไม่อาจเกิดขึ้นได้หากคณะกรรมการบริหารและผู้บริหาร และพนักงานทุกคน มีความเข้าใจที่แตกต่างกันในเรื่องการบริหารเชิงรุกหรือการบริหารความเสี่ยงในภาพโดยรวมทั้งองค์กร

ปัจจุบันสำนักงานตรวจเงินแผ่นดิน (สตง.) และกระทรวงการคลังและหน่วยงานของรัฐ ได้กำหนดเกณฑ์ประเมินผลการบริหารความเสี่ยง IT Governance และการควบคุมภายใน รวมทั้งการตรวจสอบภายในตามฐานความเสี่ยงอย่างเป็นระบบ สำหรับรายงานการบริหารความเสี่ยงของ สตง. มีภาพโดยย่อของการรายงานดังนี้

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ภาพสรุปโดยรวมในมุมมองของการวัดประสิทธิภาพการบริหารความเสี่ยงของกระทรวงการคลัง ดังนี้

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

องค์ประกอบของการพิจารณาการบริหารความเสี่ยงในเรื่องของสภาพแวดล้อมภายในองค์กร ยังมีอีกหลายหัวข้อที่ท่านผู้บริหารต้องพิจารณา ผมจะนำเสนอในโอกาสต่อไปครับ

ก่อนที่หลาย ๆ ท่าน รวมถึงตัวผมด้วยนั้น จะหยุดไปพักผ่อนในช่วงเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการบริหารจัดการความเสี่ยงขององค์กร ซึ่งเป็นเรื่องเบา ๆ ที่ผมเห็นว่าเหมาะที่จะนำเสนอในช่วงวันหยุดยาวแบบนี้ แต่กลับมีความสำคัญต่อการจัดการกับความเสี่ยงขององค์กรอย่างยิ่งยวด

ผมคิดว่าคงไม่มีองค์กรใด ไม่ว่าภาครัฐหรือภาคเอกชนสามารถดำเนินการภายใต้สภาพแวดล้อมที่ปราศจากความเสี่ยงได้ องค์กรที่ต้องดำเนินการในสภาวะแวดล้อมดังกล่าว การจัดการความเสี่ยงจะช่วยให้ฝ่ายบริหารจัดการกับสภาพแวดล้อมให้เหมาะสมกับความเสี่ยงได้เป็นอย่างดี เพื่อก้าวสู่การบรรลุวัตถุประสงค์และเป้าหมายได้อย่างสมเหตุสมผล

การจัดการความเสี่ยงขององค์กร เป็นการส่งเสริมความสามารถในด้าน

– การปรับความเสี่ยงที่องค์กรหรือองค์กรยอมรับได้
เป็นการกำหนดกลยุทธ์ที่เหมาะสมให้เป็นไปในทิศทางเดียวกันกับความเสี่ยงที่องค์กรยอมรับได้ คือระดับความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับเพื่อมุ่งไปสู่เป้าหมายขององค์กร ซึ่งการบริหารความเสี่ยงจะพิจารณาถึงความเสี่ยงที่องค์กรยอมรับได้เป็นอย่างแรก เพื่อประเมินทางเลือกและพัฒนากลไกในการบริหารความเสี่ยงที่เกี่ยวข้องต่อไป

– ความเชื่อมโยงการเติบโต ความเสี่ยงและผลตอบแทน
การบริหารความเสี่ยงช่วยในการระบุและประเมินความเสี่ยง รวมทั้งกำหนดระดับความเสี่ยงที่สามารถยอมรับได้ ที่สัมพันธ์กับการเติบโตและเป้าหมายของผลตอบแทนตามวัตถุประสงค์ที่องค์กรกำหนดไว้

– ส่งเสริมการตัดสินใจในการตอบสนองความเสี่ยงที่เกิดขึ้น
การบริหารความเสี่ยงใช้ในการระบุและเลือกทางเลือกในการตอบสนองความเสี่ยงในรูปแบบต่าง ๆ ทั้งยังช่วยจัดหาวิธีการและเทคนิคสำหรับการตัดสินใจ เช่น การหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยงและการยอมรับความเสี่ยง

– การลดความไม่แน่นอนและความสูญเสียในการปฏิบัติงานให้น้อยที่สุด
ช่วยให้องค์กรสามารถระบุเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้น ประเมินความเสี่ยงและจัดการตอบสนองต่อความเสี่ยงที่เกิดขึ้น รวมทั้งลดสิ่งไม่แน่นอนที่อาจเกิดขึ้น ตลอดจนความสัมพันธ์ของต้นทุนและการสูญเสีย

– การระบุและบริหารความเสี่ยงภายในองค์กร
ทุก ๆ องค์กรเผชิญกับความเสี่ยงมากมายหลายประเภทที่ส่งผลต่อส่วนต่าง ๆ ขององค์กรที่แตกต่างกัน ฝ่ายบริหารไม่เพียงแต่ต้องบริหารความเสี่ยงเฉพาะบุคคล แต่ต้องเข้าใจถึงผลกระทบที่เกิดขึ้นด้วย

– มีการตอบสนองแบบบูรณาการกับความเสี่ยงที่หลากหลาย
กระบวนการทางธุรกิจนำมาซึ่งความเสี่ยงสืบเนื่อง หรือความเสี่ยงจากลักษณะธุรกิจในหลายรูปแบบ และ ERM ทำให้เกิดการแก้ปัญหาแบบบูรณาการต่อการบริหารความเสี่ยง

– การฉกฉวยโอกาส
ฝ่ายบริหารพิจารณาเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นมากกว่าพิจารณาเฉพาะความเสี่ยง โดยการพิจารณาทุกระดับของเหตุการณ์

– การจัดการกับทุนอย่างสมเหตุสมผล
ข้อมูลที่ถูกต้องมีความหมายต่อความเสี่ยงทั้งหมดขององค์กร สิ่งนี้จะทำให้การบริหารเป็นไปอย่างมีประสิทธิภาพมากขึ้นในการเข้าถึงความต้องการและปรับปรุงการจัดสรรทรัพย์สินหรือทุน รวมถึงงบประมาณได้อย่างเหมาะสม

ภาพด้านล่างนี้จะช่วยให้เห็นถึงความสำคัญและประโยชน์ของการจัดการความเสี่ยงได้ชัดเจนยิ่งขึ้น

Translating Vision & Strategy to State Enterprise Performance Measurement

ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กรไม่ใช่จุดสิ้นสุดโดยตัวเอง แต่มีความหมายที่สำคัญในการบรรลุวัตถุประสงค์ ที่ไม่สามารถปฏิบัติแยกออกจากองค์กรได้ แต่จะเป็นตัวกลไก (enabler) ในกระบวนการทางการบริหาร
ERM เป็นสิ่งที่เกี่ยวข้องกับความสัมพันธ์กับความร่วมมือของหน่วยการจัดการต่าง ๆ โดยจัดหาข้อมูลให้แก่คณะกรรมการบริหาร ได้ทราบถึงความเสี่ยงที่มีนัยสำคัญและการบริหารความเสี่ยงดังกล่าว การปรับเปลี่ยนความเสี่ยงโดยการควบคุมภายใน ซึ่งเป็นส่วนหนึ่งของ ERM

ERM ช่วยให้องค์กรประสบความสำเร็จในผลประกอบการและบรรลุเป้าหมายการทำกำไร การป้องกันความสูญเสียของทรัพยากร ช่วยทำให้มั่นใจถึงการรายงานที่มีประสิทธิภาพ การปฏิบัติที่ถูกต้องตามกฎหมายและกฎเกณฑ์ต่าง ๆ การหลีกเลี่ยงความเสียชื่อเสียงและผลลัพธ์ที่ตามมาอื่น ๆ

โดยรวมแล้วการจัดการความเสี่ยงขององค์กรจะช่วยให้องค์กรทั่วไปดำเนินไปในทิศทางที่ต้องการได้อย่างเหมาะสม และสามารถบรรลุวัตถุประสงค์ขององค์กรที่กำหนดไว้ได้เป็นอย่างดี

ก่อนที่หลาย ๆ ท่าน รวมถึงตัวผมด้วยนั้น จะหยุดไปพักผ่อนในช่วงเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการบริหารจัดการความเสี่ยงขององค์กร ซึ่งเป็นเรื่องเบา ๆ ที่ผมเห็นว่าเหมาะที่จะนำเสนอในช่วงวันหยุดยาวแบบนี้ แต่กลับมีความสำคัญต่อการจัดการกับความเสี่ยงขององค์กรอย่างยิ่งยวด

ผมคิดว่าคงไม่มีองค์กรใด ไม่ว่าภาครัฐหรือภาคเอกชนสามารถดำเนินการภายใต้สภาพแวดล้อมที่ปราศจากความเสี่ยงได้ องค์กรที่ต้องดำเนินการในสภาวะแวดล้อมดังกล่าว การจัดการความเสี่ยงจะช่วยให้ฝ่ายบริหารจัดการกับสภาพแวดล้อมให้เหมาะสมกับความเสี่ยงได้เป็นอย่างดี เพื่อก้าวสู่การบรรลุวัตถุประสงค์และเป้าหมายได้อย่างสมเหตุสมผล

การจัดการความเสี่ยงขององค์กร เป็นการส่งเสริมความสามารถในด้าน

– การปรับความเสี่ยงที่องค์กรหรือองค์กรยอมรับได้
เป็นการกำหนดกลยุทธ์ที่เหมาะสมให้เป็นไปในทิศทางเดียวกันกับความเสี่ยงที่องค์กรยอมรับได้ คือระดับความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับเพื่อมุ่งไปสู่เป้าหมายขององค์กร ซึ่งการบริหารความเสี่ยงจะพิจารณาถึงความเสี่ยงที่องค์กรยอมรับได้เป็นอย่างแรก เพื่อประเมินทางเลือกและพัฒนากลไกในการบริหารความเสี่ยงที่เกี่ยวข้องต่อไป

– ความเชื่อมโยงการเติบโต ความเสี่ยงและผลตอบแทน
การบริหารความเสี่ยงช่วยในการระบุและประเมินความเสี่ยง รวมทั้งกำหนดระดับความเสี่ยงที่สามารถยอมรับได้ ที่สัมพันธ์กับการเติบโตและเป้าหมายของผลตอบแทนตามวัตถุประสงค์ที่องค์กรกำหนดไว้

– ส่งเสริมการตัดสินใจในการตอบสนองความเสี่ยงที่เกิดขึ้น
การบริหารความเสี่ยงใช้ในการระบุและเลือกทางเลือกในการตอบสนองความเสี่ยงในรูปแบบต่าง ๆ ทั้งยังช่วยจัดหาวิธีการและเทคนิคสำหรับการตัดสินใจ เช่น การหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยงและการยอมรับความเสี่ยง

– การลดความไม่แน่นอนและความสูญเสียในการปฏิบัติงานให้น้อยที่สุด
ช่วยให้องค์กรสามารถระบุเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้น ประเมินความเสี่ยงและจัดการตอบสนองต่อความเสี่ยงที่เกิดขึ้น รวมทั้งลดสิ่งไม่แน่นอนที่อาจเกิดขึ้น ตลอดจนความสัมพันธ์ของต้นทุนและการสูญเสีย

– การระบุและบริหารความเสี่ยงภายในองค์กร
ทุก ๆ องค์กรเผชิญกับความเสี่ยงมากมายหลายประเภทที่ส่งผลต่อส่วนต่าง ๆ ขององค์กรที่แตกต่างกัน ฝ่ายบริหารไม่เพียงแต่ต้องบริหารความเสี่ยงเฉพาะบุคคล แต่ต้องเข้าใจถึงผลกระทบที่เกิดขึ้นด้วย

– มีการตอบสนองแบบบูรณาการกับความเสี่ยงที่หลากหลาย
กระบวนการทางธุรกิจนำมาซึ่งความเสี่ยงสืบเนื่อง หรือความเสี่ยงจากลักษณะธุรกิจในหลายรูปแบบ และ ERM ทำให้เกิดการแก้ปัญหาแบบบูรณาการต่อการบริหารความเสี่ยง

– การฉกฉวยโอกาส
ฝ่ายบริหารพิจารณาเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นมากกว่าพิจารณาเฉพาะความเสี่ยง โดยการพิจารณาทุกระดับของเหตุการณ์

– การจัดการกับทุนอย่างสมเหตุสมผล
ข้อมูลที่ถูกต้องมีความหมายต่อความเสี่ยงทั้งหมดขององค์กร สิ่งนี้จะทำให้การบริหารเป็นไปอย่างมีประสิทธิภาพมากขึ้นในการเข้าถึงความต้องการและปรับปรุงการจัดสรรทรัพย์สินหรือทุน รวมถึงงบประมาณได้อย่างเหมาะสม

ภาพด้านล่างนี้จะช่วยให้เห็นถึงความสำคัญและประโยชน์ของการจัดการความเสี่ยงได้ชัดเจนยิ่งขึ้น

Translating Vision & Strategy to State Enterprise Performance Measurement

ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กรไม่ใช่จุดสิ้นสุดโดยตัวเอง แต่มีความหมายที่สำคัญในการบรรลุวัตถุประสงค์ ที่ไม่สามารถปฏิบัติแยกออกจากองค์กรได้ แต่จะเป็นตัวกลไก (enabler) ในกระบวนการทางการบริหาร
ERM เป็นสิ่งที่เกี่ยวข้องกับความสัมพันธ์กับความร่วมมือของหน่วยการจัดการต่าง ๆ โดยจัดหาข้อมูลให้แก่คณะกรรมการบริหาร ได้ทราบถึงความเสี่ยงที่มีนัยสำคัญและการบริหารความเสี่ยงดังกล่าว การปรับเปลี่ยนความเสี่ยงโดยการควบคุมภายใน ซึ่งเป็นส่วนหนึ่งของ ERM

ERM ช่วยให้องค์กรประสบความสำเร็จในผลประกอบการและบรรลุเป้าหมายการทำกำไร การป้องกันความสูญเสียของทรัพยากร ช่วยทำให้มั่นใจถึงการรายงานที่มีประสิทธิภาพ การปฏิบัติที่ถูกต้องตามกฎหมายและกฎเกณฑ์ต่าง ๆ การหลีกเลี่ยงความเสียชื่อเสียงและผลลัพธ์ที่ตามมาอื่น ๆ

โดยรวมแล้วการจัดการความเสี่ยงขององค์กรจะช่วยให้องค์กรทั่วไปดำเนินไปในทิศทางที่ต้องการได้อย่างเหมาะสม และสามารถบรรลุวัตถุประสงค์ขององค์กรที่กำหนดไว้ได้เป็นอย่างดี

มาแล้วครับ ตามที่ได้บอกทิ้งท้ายเอาไว้ในครั้งก่อนว่า ครั้งนี้เราจะมาพูดคุยและลงลึกกันในรายละเอียดของการจัดการความเสี่ยงขององค์กรกัน แต่ก่อนอื่นผมอยากให้ท่านผู้อ่านได้ทำความเข้าใจกับภาพ ๆ หนึ่ง ซึ่งจะช่วยให้เห็นภาพของการบริหารความเสี่ยงในระดับ ๆ ต่าง ๆ แบบบูรณาการและมีดุลยภาพได้เป็นอย่างดี ดังภาพด้านล่างนี้ ก่อนที่จะได้กล่าวถึงรายละเอียดต่าง ๆ ที่เกี่ยวข้องกับการจัดการความเสี่ยงต่อไป

การบริหารความเสี่ยงระดับต่าง ๆ กับเจ้าภาพ

การจัดการความเสี่ยงขององค์กรทั่วไป
การจัดการความเสี่ยงขององค์กร ได้ถูกนำมาประยุกต์ในการกำหนดกลยุทธ์และกิจกรรมทั้งหมดขององค์กร อันจะช่วยให้ผู้บริหารสามารถระบุ ประเมินและบริหารความเสี่ยงเมื่อต้องเผชิญอย่างคาดไม่ถึง และสนับสนุนการสร้างและรักษาค่านิยมขององค์กร การจัดการความเสี่ยงขององค์กร จะเป็นตัวสนับสนุนความสามารถในการจัดการความเสี่ยงและกลยุทธ์ให้เป็นแนวทางเดียวกัน เชื่อมโยงความเสี่ยงกับความเติบโตและผลตอบแทน ส่งเสริมการตัดสินใจตอบสนองต่อความเสี่ยง ลดความตื่นตระหนักและความสูญเสียในการปฏิบัติการ ระบุและบริหารความเสี่ยงระหว่างสถานประกอบได้ สามารถตอบสนองความเสี่ยงที่ซับซ้อนอย่างบูรณาการได้ สามารฉกฉวยโอกาสและมีการลงทุนอย่างเหมาะสม

ทุกองค์กรต้องเผชิญกับความไม่แน่นอน และความท้าทายสำหรับฝ่ายบริหารขององค์กรทั่วไป ก็คือการกำหนดระดับความไม่แน่นอนที่มีอยู่เพื่อเพิ่มคุณค่าให้กับผู้มีผลประโยชน์ร่วม ความไม่แน่นอนที่เกิดขึ้นเป็นทั้งโอกาสและความเสี่ยงต่อศักยภาพและบั่นทอนหรือส่งเสริมคุณค่า การจัดการความเสี่ยงขององค์กรทั่วไป จึงเป็นการสร้างกรอบของงานเพื่อให้ผู้บริหารได้จัดการกับความไม่แน่นอน ความเสี่ยงและโอกาสเพื่อส่งเสริมความสามารถในการสร้างคุณค่าเพิ่มให้กับองค์กรและผู้มีผลประโยชน์ร่วม การบริหารความเสี่ยงจะช่วยให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรทั่วไปสามารถบรรลุเป้าประสงค์ขององค์กรได้

องค์กรที่ดำเนินงานในสภาพแวดล้อม ซึ่งปัจจัยต่าง ๆ เช่น โลกาภิวัฒน์ เทคโนโลยี กฎระเบียบ การปรับโครงสร้างใหม่ การเปลี่ยนแปลงตลาด และการแข่งขันที่สร้างความไม่แน่นอน ความไม่แน่นอนมักถูกแสดงออกมาและสร้างขึ้นจากทางเลือกเชิงกลยุทธ์ ตัวอย่างเช่น องค์กรที่มีกลยุทธ์สร้างความเติบโตโดยมีพื้นฐานจากการขยายการดำเนินงานไปยังประเทศอื่น ทางเลือกเชิงกลยุทธ์นี้จะแสดงให้เห็นความเสี่ยงและโอกาสของการมีส่วนร่วมกับความมีเสถียรภาพของสภาพแวดล้อมทางการเมือง ทรัพยากร ตลาด ช่องทาง ความสามารถของแรงงาน และต้นทุนของประเทศนั้น

ความไม่แน่นอนนั้นเป็นไปได้ทั้งความเสี่ยงและโอกาส มีความเป็นไปได้ทั้งที่จะลดหรือเพิ่มคุณค่าให้กับองค์กร

การจัดการความเสี่ยง (Enterprise Risk Management – ERM) เป็นกรอบความคิดทางการบริหารเพื่อที่จะจัดการกับสภาวการณ์ที่ไม่มีความแน่นอนอย่างมีประสิทธิภาพ และเพิ่มความสามารถในการสร้างโอกาสและคุณค่าให้กับองค์กร สำหรับความไม่แน่นอนขององค์กรทั่วไป ก็คือการที่องค์กรไม่อาจจะบรรลุพันธกิจตามแผนงานการบริหารงานที่กำหนดไว้ได้

คุณค่าและค่านิยมร่วม (Shared Value) จึงเป็นเป้าหมายสูงสุด ที่ถูกกำหนดและยอมรับจากทั้งผู้บริหาร และสมาชิกทุกคนขององค์กร โดยตั้งปรัชญาและค่านิยมที่จะปลูกฝังให้พนักงานทุกคนยึดถือเป็นหลักในการปฏิบัติงานในทางปฏิบัติ ดังนั้นค่านิยมร่วมกันจึงเป็นสิ่งที่พนักงานขององค์กรจะยึดถือร่วมกันอยู่ตลอดเวลา ซึ่งอาจจะแสดงออกอย่างชัดเจน หรือต้องศึกษาและทำความเข้าใจเองจากสภาพแวดล้อมในองค์กร

ภาพต่อไปนี้จะแสดงให้เห็นถึงความโยงใยสัมพันธ์กันของพนักงานทุกคนในองค์กรที่มีค่านิยมร่วมกันในสภาพแวดล้อมขององค์กรเดียวกัน

คุณค่าและค่านิยมร่วม

การตัดสินใจของผู้บริหารจะสร้าง รักษา หรือให้คุณค่า ในทุกกิจกรรมจากการกำหนดการปฏิบัติงานในองค์กรในแต่ละวัน การตัดสินใจจะต้องตระหนักถึงความเสี่ยงและโอกาส ความต้องการที่ฝ่ายบริหารจะต้องพิจารณาข้อมูลสารสนเทศเกี่ยวกับสภาพแวดล้อมภายในและภายนอก ใช้ทรัพยากรอย่างมีคุณค่าและส่งเสริมกิจกรรมต่าง ๆ ขององค์กร เพื่อที่จะเปลี่ยนแปลงสถานการณ์ที่เกิดขึ้น

การสร้างคุณค่าเกิดขึ้นโดยการพัฒนาทรัพยากร อันประกอบด้วย บุคลากร ทุน เทคโนโลยี และ ความน่าเชื่อถือ เช่น แบรนด์ เป็นต้น เพื่อสร้างประโยชน์จากการใช้ทรัพยากรให้มากขึ้นกว่าเดิม การรักษาคุณค่าโดยเน้นไปยัง บุคลากร กระบวนการ ระบบและการปฏิบัติเพื่อสร้างคุณค่าที่ยั่งยืน ประกอบด้วยสิ่งอื่น ๆ เช่น คุณภาพของสินค้า ความสามารถในการผลิตและความพึงพอใจของลูกค้า คุณค่าอาจถูกบั่นทอนจากการปฏิบัติที่ไม่สมบูรณ์หรือไม่เหมาะสมเกี่ยวกับความเสี่ยงและโอกาส หรือโดยกลยุทธ์หรือการบริหารจัดการที่ไม่ดีพอ

คุณค่าสามารถเพิ่มขึ้นได้เมื่อกลยุทธ์และวัตถุประสงค์ของฝ่ายบริหารมีความสมดุลระหว่างการเติบโต วัตถุประสงค์ ความเสี่ยงที่เกี่ยวข้อง ประสิทธิผลและประสิทธิภาพในการจัดสรรทรัพยากรในการดำเนินการตามวัตถุประสงค์ การจัดการความเสี่ยงขององค์กรทั่วไป จะช่วยอำนวยความสะดวกในการระบุความต้องการของตลาด ความไม่เพียงพอและเหตุการณ์อื่น ๆ ที่แสดงให้เห็นถึงโอกาสในการสร้างคุณค่าและความเสี่ยงต่อกลยุทธ์และความสำเร็จในการบรรลุวัตถุประสงค์ขององค์กร

คุณค่าของการบริหารความเสี่ยง
1. การบริหารความเสี่ยงอย่างมีประสิทธิผล สามารถช่วยบ่งชี้และประเมินความเสี่ยงในทุกระดับขององค์กร และช่วยให้การประเมินโอกาสเกิดและผลกระทบของความเสี่ยงที่มีคุณค่าขององค์กรมีความน่าเชื่อถือมากขึ้น โดยการบริหารความเสี่ยงที่มีประสิทธิภาพจะสามารถเพิ่มมูลค่าให้กับผู้มีผลประโยชน์ร่วม
2. สามารถลดความสูญเสียและเพิ่มโอกาสให้กับองค์กร
3. ช่วยจัดการกับความไม่แน่นอนที่อาจเกิดขึ้น และสามารถกำหนดแนวทางการบริหารความเสี่ยงเพื่อให้องค์กรสามารถบรรลุวัตถุประสงค์
4. ความสำเร็จขององค์กร

การบริหารความเสี่ยงที่มีประสิทธิผล ควรตระหนักถึงคุณค่าที่อาจเกิดขึ้น ซึ่งได้ถูกสร้าง รักษา หรือซ่อนเร้นอยู่ภายในการดำเนินงานปัจจุบัน และคุณค่าซึ่งซ่อนเร้นอยู่ในการตัดสินใจในอนาคต คุณค่าที่ซ่อนเร้น หมายถึงคุณค่าที่อาจเกิดขึ้นได้จากปัจจัยต่าง ๆ โดยองค์กรไม่ได้นำออกมาใช้หรือกำลังหมดค่าไปในที่สุด

RM & BSC - KPI & Hidden Value

การวัดคุณค่าขององค์กร
การวัดคุณค่าจะเกี่ยวข้องกับคุณค่า ประโยชน์ หรือเรื่องที่สำคัญขององค์กรต่อผู้มีผลประโยชน์ร่วม ผู้บริหารองค์กรหลายแห่งมักคิดถึงคุณค่าในลักษณะการวัดการเงิน เช่น กำไรทางเศรษฐศาสตร์ คุณค่าเพิ่มของผู้มีผลประโยชน์ร่วม การปรับความเสี่ยงจากผลตอบแทนจากทุนทรัพย์ หรืองบประมาณที่ได้รับจากทางการในกรณีที่เกี่ยวข้องกับหน่วยงานของรัฐ และองค์กรมหาชน

คุณค่าขององค์กร จะเกิดขึ้นได้จากความน่าเชื่อถือในการบริหารงานโดยรวม ของคณะกรรมการบริหารและพนักงานที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งการรักษาชื่อเสียงที่เกี่ยวข้องกับศักยภาพในการดำเนินการให้ได้ตามแผนงาน และโครงการที่เกี่ยวข้องอย่างมั่นใจที่จะก้าวไปสู่พันธกิจและวิสัยทัศน์ตามที่กำหนดไว้ได้ ดังภาพที่เห็นด้านล่างนี้ แสดงถึงการบริหารความเสี่ยงกับการเพิ่มคุณค่าขององค์กรในระดับต่าง ๆ

แนวทางการพัฒนาและเพิ่มคุณค่าการบริหารความเสี่ยงระดับต่าง ๆ ขององค์กร

มาแล้วครับ ตามที่ได้บอกทิ้งท้ายเอาไว้ในครั้งก่อนว่า ครั้งนี้เราจะมาพูดคุยและลงลึกกันในรายละเอียดของการจัดการความเสี่ยงขององค์กรกัน แต่ก่อนอื่นผมอยากให้ท่านผู้อ่านได้ทำความเข้าใจกับภาพ ๆ หนึ่ง ซึ่งจะช่วยให้เห็นภาพของการบริหารความเสี่ยงในระดับ ๆ ต่าง ๆ แบบบูรณาการและมีดุลยภาพได้เป็นอย่างดี ดังภาพด้านล่างนี้ ก่อนที่จะได้กล่าวถึงรายละเอียดต่าง ๆ ที่เกี่ยวข้องกับการจัดการความเสี่ยงต่อไป

การบริหารความเสี่ยงระดับต่าง ๆ กับเจ้าภาพ

การจัดการความเสี่ยงขององค์กรทั่วไป
การจัดการความเสี่ยงขององค์กร ได้ถูกนำมาประยุกต์ในการกำหนดกลยุทธ์และกิจกรรมทั้งหมดขององค์กร อันจะช่วยให้ผู้บริหารสามารถระบุ ประเมินและบริหารความเสี่ยงเมื่อต้องเผชิญอย่างคาดไม่ถึง และสนับสนุนการสร้างและรักษาค่านิยมขององค์กร การจัดการความเสี่ยงขององค์กร จะเป็นตัวสนับสนุนความสามารถในการจัดการความเสี่ยงและกลยุทธ์ให้เป็นแนวทางเดียวกัน เชื่อมโยงความเสี่ยงกับความเติบโตและผลตอบแทน ส่งเสริมการตัดสินใจตอบสนองต่อความเสี่ยง ลดความตื่นตระหนักและความสูญเสียในการปฏิบัติการ ระบุและบริหารความเสี่ยงระหว่างสถานประกอบได้ สามารถตอบสนองความเสี่ยงที่ซับซ้อนอย่างบูรณาการได้ สามารฉกฉวยโอกาสและมีการลงทุนอย่างเหมาะสม

ทุกองค์กรต้องเผชิญกับความไม่แน่นอน และความท้าทายสำหรับฝ่ายบริหารขององค์กรทั่วไป ก็คือการกำหนดระดับความไม่แน่นอนที่มีอยู่เพื่อเพิ่มคุณค่าให้กับผู้มีผลประโยชน์ร่วม ความไม่แน่นอนที่เกิดขึ้นเป็นทั้งโอกาสและความเสี่ยงต่อศักยภาพและบั่นทอนหรือส่งเสริมคุณค่า การจัดการความเสี่ยงขององค์กรทั่วไป จึงเป็นการสร้างกรอบของงานเพื่อให้ผู้บริหารได้จัดการกับความไม่แน่นอน ความเสี่ยงและโอกาสเพื่อส่งเสริมความสามารถในการสร้างคุณค่าเพิ่มให้กับองค์กรและผู้มีผลประโยชน์ร่วม การบริหารความเสี่ยงจะช่วยให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรทั่วไปสามารถบรรลุเป้าประสงค์ขององค์กรได้

องค์กรที่ดำเนินงานในสภาพแวดล้อม ซึ่งปัจจัยต่าง ๆ เช่น โลกาภิวัฒน์ เทคโนโลยี กฎระเบียบ การปรับโครงสร้างใหม่ การเปลี่ยนแปลงตลาด และการแข่งขันที่สร้างความไม่แน่นอน ความไม่แน่นอนมักถูกแสดงออกมาและสร้างขึ้นจากทางเลือกเชิงกลยุทธ์ ตัวอย่างเช่น องค์กรที่มีกลยุทธ์สร้างความเติบโตโดยมีพื้นฐานจากการขยายการดำเนินงานไปยังประเทศอื่น ทางเลือกเชิงกลยุทธ์นี้จะแสดงให้เห็นความเสี่ยงและโอกาสของการมีส่วนร่วมกับความมีเสถียรภาพของสภาพแวดล้อมทางการเมือง ทรัพยากร ตลาด ช่องทาง ความสามารถของแรงงาน และต้นทุนของประเทศนั้น

ความไม่แน่นอนนั้นเป็นไปได้ทั้งความเสี่ยงและโอกาส มีความเป็นไปได้ทั้งที่จะลดหรือเพิ่มคุณค่าให้กับองค์กร

การจัดการความเสี่ยง (Enterprise Risk Management – ERM) เป็นกรอบความคิดทางการบริหารเพื่อที่จะจัดการกับสภาวการณ์ที่ไม่มีความแน่นอนอย่างมีประสิทธิภาพ และเพิ่มความสามารถในการสร้างโอกาสและคุณค่าให้กับองค์กร สำหรับความไม่แน่นอนขององค์กรทั่วไป ก็คือการที่องค์กรไม่อาจจะบรรลุพันธกิจตามแผนงานการบริหารงานที่กำหนดไว้ได้

คุณค่าและค่านิยมร่วม (Shared Value) จึงเป็นเป้าหมายสูงสุด ที่ถูกกำหนดและยอมรับจากทั้งผู้บริหาร และสมาชิกทุกคนขององค์กร โดยตั้งปรัชญาและค่านิยมที่จะปลูกฝังให้พนักงานทุกคนยึดถือเป็นหลักในการปฏิบัติงานในทางปฏิบัติ ดังนั้นค่านิยมร่วมกันจึงเป็นสิ่งที่พนักงานขององค์กรจะยึดถือร่วมกันอยู่ตลอดเวลา ซึ่งอาจจะแสดงออกอย่างชัดเจน หรือต้องศึกษาและทำความเข้าใจเองจากสภาพแวดล้อมในองค์กร

ภาพต่อไปนี้จะแสดงให้เห็นถึงความโยงใยสัมพันธ์กันของพนักงานทุกคนในองค์กรที่มีค่านิยมร่วมกันในสภาพแวดล้อมขององค์กรเดียวกัน

คุณค่าและค่านิยมร่วม

การตัดสินใจของผู้บริหารจะสร้าง รักษา หรือให้คุณค่า ในทุกกิจกรรมจากการกำหนดการปฏิบัติงานในองค์กรในแต่ละวัน การตัดสินใจจะต้องตระหนักถึงความเสี่ยงและโอกาส ความต้องการที่ฝ่ายบริหารจะต้องพิจารณาข้อมูลสารสนเทศเกี่ยวกับสภาพแวดล้อมภายในและภายนอก ใช้ทรัพยากรอย่างมีคุณค่าและส่งเสริมกิจกรรมต่าง ๆ ขององค์กร เพื่อที่จะเปลี่ยนแปลงสถานการณ์ที่เกิดขึ้น

การสร้างคุณค่าเกิดขึ้นโดยการพัฒนาทรัพยากร อันประกอบด้วย บุคลากร ทุน เทคโนโลยี และ ความน่าเชื่อถือ เช่น แบรนด์ เป็นต้น เพื่อสร้างประโยชน์จากการใช้ทรัพยากรให้มากขึ้นกว่าเดิม การรักษาคุณค่าโดยเน้นไปยัง บุคลากร กระบวนการ ระบบและการปฏิบัติเพื่อสร้างคุณค่าที่ยั่งยืน ประกอบด้วยสิ่งอื่น ๆ เช่น คุณภาพของสินค้า ความสามารถในการผลิตและความพึงพอใจของลูกค้า คุณค่าอาจถูกบั่นทอนจากการปฏิบัติที่ไม่สมบูรณ์หรือไม่เหมาะสมเกี่ยวกับความเสี่ยงและโอกาส หรือโดยกลยุทธ์หรือการบริหารจัดการที่ไม่ดีพอ

คุณค่าสามารถเพิ่มขึ้นได้เมื่อกลยุทธ์และวัตถุประสงค์ของฝ่ายบริหารมีความสมดุลระหว่างการเติบโต วัตถุประสงค์ ความเสี่ยงที่เกี่ยวข้อง ประสิทธิผลและประสิทธิภาพในการจัดสรรทรัพยากรในการดำเนินการตามวัตถุประสงค์ การจัดการความเสี่ยงขององค์กรทั่วไป จะช่วยอำนวยความสะดวกในการระบุความต้องการของตลาด ความไม่เพียงพอและเหตุการณ์อื่น ๆ ที่แสดงให้เห็นถึงโอกาสในการสร้างคุณค่าและความเสี่ยงต่อกลยุทธ์และความสำเร็จในการบรรลุวัตถุประสงค์ขององค์กร

คุณค่าของการบริหารความเสี่ยง
1. การบริหารความเสี่ยงอย่างมีประสิทธิผล สามารถช่วยบ่งชี้และประเมินความเสี่ยงในทุกระดับขององค์กร และช่วยให้การประเมินโอกาสเกิดและผลกระทบของความเสี่ยงที่มีคุณค่าขององค์กรมีความน่าเชื่อถือมากขึ้น โดยการบริหารความเสี่ยงที่มีประสิทธิภาพจะสามารถเพิ่มมูลค่าให้กับผู้มีผลประโยชน์ร่วม
2. สามารถลดความสูญเสียและเพิ่มโอกาสให้กับองค์กร
3. ช่วยจัดการกับความไม่แน่นอนที่อาจเกิดขึ้น และสามารถกำหนดแนวทางการบริหารความเสี่ยงเพื่อให้องค์กรสามารถบรรลุวัตถุประสงค์
4. ความสำเร็จขององค์กร

การบริหารความเสี่ยงที่มีประสิทธิผล ควรตระหนักถึงคุณค่าที่อาจเกิดขึ้น ซึ่งได้ถูกสร้าง รักษา หรือซ่อนเร้นอยู่ภายในการดำเนินงานปัจจุบัน และคุณค่าซึ่งซ่อนเร้นอยู่ในการตัดสินใจในอนาคต คุณค่าที่ซ่อนเร้น หมายถึงคุณค่าที่อาจเกิดขึ้นได้จากปัจจัยต่าง ๆ โดยองค์กรไม่ได้นำออกมาใช้หรือกำลังหมดค่าไปในที่สุด

RM & BSC - KPI & Hidden Value

การวัดคุณค่าขององค์กร
การวัดคุณค่าจะเกี่ยวข้องกับคุณค่า ประโยชน์ หรือเรื่องที่สำคัญขององค์กรต่อผู้มีผลประโยชน์ร่วม ผู้บริหารองค์กรหลายแห่งมักคิดถึงคุณค่าในลักษณะการวัดการเงิน เช่น กำไรทางเศรษฐศาสตร์ คุณค่าเพิ่มของผู้มีผลประโยชน์ร่วม การปรับความเสี่ยงจากผลตอบแทนจากทุนทรัพย์ หรืองบประมาณที่ได้รับจากทางการในกรณีที่เกี่ยวข้องกับหน่วยงานของรัฐ และองค์กรมหาชน

คุณค่าขององค์กร จะเกิดขึ้นได้จากความน่าเชื่อถือในการบริหารงานโดยรวม ของคณะกรรมการบริหารและพนักงานที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งการรักษาชื่อเสียงที่เกี่ยวข้องกับศักยภาพในการดำเนินการให้ได้ตามแผนงาน และโครงการที่เกี่ยวข้องอย่างมั่นใจที่จะก้าวไปสู่พันธกิจและวิสัยทัศน์ตามที่กำหนดไว้ได้ ดังภาพที่เห็นด้านล่างนี้ แสดงถึงการบริหารความเสี่ยงกับการเพิ่มคุณค่าขององค์กรในระดับต่าง ๆ

แนวทางการพัฒนาและเพิ่มคุณค่าการบริหารความเสี่ยงระดับต่าง ๆ ขององค์กร