แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

เมษายน 4, 2009

วันนี้ ผมจะมาทบทวนในเรื่องของความหมายของความเสี่ยงและการบริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายขององค์กร ที่ผมเคยได้กล่าวไปในช่วงต้น ๆ แล้ว ซึ่งเป็นการเน้นย้ำให้เห็นความสำคัญของการบริหารจัดการกับความเสี่ยงให้ได้ดุลยภาพ เพื่อบรรลุเป้าประสงค์ขององค์กรต่อไป

ในการบริหารความเสี่ยงขององค์กรทั่วไปนั้น คณะกรรมการบริหาร ผู้บริหารและพนักงานทุกคนในองค์กร ต้องมีความรู้ ความเข้าใจถึงความหมายของความเสี่ยงที่ถูกต้องตรงกัน เพื่อให้ทุกคนในองค์กรสามารถมองความเสี่ยงไปในทิศทางเดียวกัน และสามารถนำไปประยุกต์ใช้ในการกำหนดกลยุทธ์ และการวางแผนขององค์กรได้ในทุกระดับ โดยได้รับการออกแบบให้สามารถบ่งชี้เหตุการณ์ที่อาจเกิดขึ้นที่มีผลกระทบต่อองค์กร และสามารถจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับ เพื่อให้ได้รับความมั่นใจอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์ขององค์กร

ความหมายของความเสี่ยงในมุมมองขององค์กรทั่วไป

ความเสี่ยง (Risk) หมายถึง เหตุการณ์ / การกระทำใด ๆ ที่มีความไม่แน่นอน ซึ่งหากเกิดขึ้นจะมีผลกระทบในเชิงลบ ต่อวัตถุประสงค์หรือเป้าหมายขององค์กร หรือลดโอกาสที่จะบรรลุความสำเร็จต่อการบรรลุเป้าหมายและวัตถุประสงค์ของแผนงาน/โครงการที่จะก้าวสู่พันธกิจ และวิสัยทัศน์ ที่ได้กำหนดไว้

โอกาส (Opportunity) หมายถึง เหตุการณ์ที่มีความไม่แน่นอน ซึ่งหากเกิดขึ้นจะมีผลกระทบในเชิงบวก ต่อวัตถุประสงค์หรือเป้าหมายขององค์กร ซึ่งผู้บริหารและผู้ที่เกี่ยวข้องควรจะได้ทบทวนถึงกลยุทธ์ที่เหมาะสม และแผนงานที่เหมาะสมใหม่ เพื่อสร้างคุณค่าเพิ่ม (Value Creation) ให้กับองค์กร นอกเหนือจากแผนงานและโครงการที่ได้กำหนดไว้แล้ว

ความเสี่ยงเป็นเรื่องที่เกิดขึ้นได้ในอนาคต ประกอบด้วยปัจจัย 2 ประการ คือ ความเป็นไปได้ของโอกาสที่จะเกิดเหตุการณ์หรือความน่าจะเกิดขึ้น และความรุนแรงของผลตรงข้ามที่เกิดขึ้นจากเหตุการณ์นั้นสิ่งสำคัญต้องทำให้ทั้ง 2 ประการได้สมดุลกัน ดังรูปที่ได้แสดงด้านล่างนี้

ดุลยภาพในการบริหารความเสี่ยงและการสร้างโอกาส

ดุลยภาพในการบริหารความเสี่ยงและการสร้างโอกาส

ประเภทของความเสี่ยง

1. ความเสี่ยงที่เป็นอุปสรรคหรืออันตราย (Hazard)
เหตุการณ์ในเชิงลบ/เหตุการณ์ไม่ดีที่หากเกิดขึ้นแล้วอาจเป็นอันตรายหรือสร้างความเสียหายต่อองค์กร เช่น ภาวะการเปลี่ยนแปลงของเทคโนโลยี การแข่งขันทางการตลาดทั้งสินค้าและบริการ การเปลี่ยนแปลงนโยบาย กลยุทธ ศักยภาพ ความสามารถของผู้บริหารและพนักงาน เป็นต้น

2. ความเสี่ยงที่เป็นความไม่แน่นอน (Uncertainly)
เหตุการณ์ที่ทำให้ผลที่องค์กรได้รับจากเหตุการณ์ไม่เป็นไปตามที่คาดการณ์ไว้ หรือการไม่สามารถคาดการณ์เหตุการณ์ล่วงหน้าได้อย่างแม่นยำ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น ต้นทุนที่เกิดขึ้นจริงสูงกว่างบประมาณที่กำหนดไว้ เป็นต้น

3. ความเสี่ยงที่เป็นโอกาส (Opportunity)
เหตุการณ์ที่ทำให้องค์กรเสียโอกาสในการแข่งขันการดำเนินงานและการเพิ่มมูลค่าของผู้มีผลประโยชน์ร่วม เช่น การไม่ส่งเสริมหรือพัฒนาบุคคลากรให้มีทักษะในการปฏิบัติงาน เพื่อยกระดับประสิทธิภาพขององค์กร เป็นต้น

สาเหตุแห่งความเสี่ยง
ความเสี่ยงทุกประเภทเกิดขึ้นโดยมีเหตุแห่งความเสี่ยง (Risk Driver) ซึ่งอาจเป็นเหตุที่เกิดจากภายในองค์กร ดังตัวอย่างในภาพด้านล่างนี้ ผู้บริหารควรทำความเข้าใจถึงการเปลี่ยนแปลงที่มีผลต่อธุรกิจและเหตุแห่งความเสี่ยงที่เกิดขึ้นตลอดเวลา เพื่อจะได้สามารถควบคุมได้อย่างเพียงพอและเหมาะสมต่อการเปลี่ยนแปลงที่เกิดขึ้นนั้น

Business Risk Exposures

Business Risk Exposures

ความเสี่ยงสามารถเกิดขึ้นได้เสมอ โดยองค์กรทั่วไปมักต้องเผชิญกับเหตุการณ์เหล่านี้ เช่น แผนงาน/โครงการใหม่ไม่เป็นไปตามที่คาดไว้ การลงทุนไม่ให้ผลตอบแทนตามที่คาดไว้ การละเลยกระบวนการทางธุรกิจ ภาวะการเปลี่ยนแปลงของเทคโนโลยี คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เป็นต้น ดังนั้น องค์กรทั่วไปควรดำเนินการเพื่อหลีกเลี่ยงหรือลดเหตุการณ์ที่อาจก่อให้เกิดความเสียหาย แต่สามารถบ่งชี้เหตุการณ์ที่เป็นโอกาสในการเพิ่มคุณค่าให้กับองค์กร สิ่งที่ทำให้ผู้บริหารต้องให้ความสำคัญหรือการกำหนดระดับความไม่แน่นอนที่องค์กรยอมรับได้ แต่ในขณะเดียวกันก็สามารถเพิ่มคุณค่าให้กับผู้มีผลประโยชน์ร่วมด้วย

การจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
COSO (Committee of Sponsoring Organizations of Treadway Commission) ได้เสนอแนวทางใหม่ที่เรียกว่า การจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM) ซึ่งเป็นกระบวนการที่ระบุและวิเคราะห์ความเสี่ยงในมุมมองของภาพที่เป็นองค์รวมแบบบูรณาการทั่วทั้งองค์กร

ทุกองค์กรไม่ว่าจะเป็นองค์กรที่หวังผลกำไร องค์กรทางการกุศล หรือหน่วยงานของรัฐบาลที่ตั้งขึ้นเพื่อเพิ่มคุณค่าแก่ผู้มีส่วนได้เสีย ทุกองค์กรนั้นต้องเผชิญกับความไม่แน่นอนและความท้าทายทางการบริหาร เพื่อที่จะกำหนดระดับของความไม่แน่นอนที่สามารถเตรียมพร้อมในการยอมรับมัน ในความไม่แน่นอนนั้นเป็นได้ทั้งความเสี่ยงและโอกาส มีความเป็นไปได้ทั้งที่จะลดหรือเพิ่มคุณค่า ERM เป็นกรอบความคิดทางการบริหารเพื่อที่จะจัดการกับสภาวการณ์ที่ไม่มีความแน่นอนอย่างมีประสิทธิภาพและเกี่ยวข้องกับความเสี่ยง โอกาสและการเพิ่มความสามารถในการสร้างคุณค่าได้อย่างแท้จริงในหลักการของการบริหารเชิงรุก หรือการบริหารความเสี่ยงภายใต้หลักการ การกำกับดูแลกิจการที่ดีในการสร้างคุณค่าเพิ่มระยะยาวให้กับองค์กรและสังคม

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือบริหารความเสี่ยงขององค์กร

เมษายน 3, 2009

เป็นอย่างไรกันบ้างครับ หลังจากที่ท่านผู้สนใจได้ติดตามแนวทางการบริหารความเสี่ยงขององค์กร มาในระยะหนึ่งแล้ว ก่อนที่จะลงลึงไปในรายละเอียดของการจัดการความเสี่ยง ซึ่งผมจะได้อธิบายในโอกาสต่อไปนั้น ผมอยากให้ท่านผู้อ่านเห็นภาพของการบริหารจัดการความเสี่ยงขององค์กรว่ามีกระบวนการบริหารความเสี่ยงในภาพโดยรวมเป็นอย่างไร เพื่อที่จะได้เข้าใจและเตรียมพร้อมในการก้าวสู่การจัดการความเสี่ยงต่อไปครับ

กระบวนการบริหารความเสี่ยงในภาพโดยรวม

กระบวนการบริหารความเสี่ยงในภาพโดยรวม

กระบวนการบริหารความเสี่ยงที่มีประสิทธิผล ประกอบด้วย 5 ขั้นตอนต่อไปนี้

1. การกำหนดวัตถุประสงค์และกลยุทธ์
การกำหนดวัตถุประสงค์และกลยุทธ์ ควรกำหนดให้ชัดเจนและสื่อสารให้แก่หน่วยงานต่าง ๆ ที่เกี่ยวข้องในองค์กรด้วย เพื่อให้มีความเข้าใจตรงกัน

2. การบ่งชี้ความเสี่ยงในมิติต่าง ๆ
ความเสี่ยงและเหตุแห่งความเสี่ยงควรครอบคลุมในเรื่องต่อไปนี้
– ความเสียหายหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบในเชิงลบต่อองค์กร
– ความไม่แน่นอนที่อาจมีผลต่อการบรรลุวัตถุประสงค์และกลยุทธ์ขององค์กร
– เหตุการณ์ที่อาจทำให้องค์กรเสียโอกาสในการได้สิ่งที่ดี

กระบวนการบ่งชี้ความเสี่ยงควรพิจารณาให้ครอบคลุมถึง
– ความเสี่ยงที่อาจเกิดขึ้นทุกประเภท เช่น ความเสี่ยงทางกลยุทธ์ การเงิน บุคลากร การดำเนินงาน ชื่อเสียง กฎหมาย ภาษีอากร ระบบงาน และสิ่งแวดล้อม เป็นต้น
– ความเสี่ยงที่อาจเกิดขึ้นจากสาเหตุทั้งภายในและภายนอกองค์กร

ทั้งนี้อาจอธิบายการสำรวจความเสี่ยงทั่งทั้งองค์กรด้วยภาพดังนี้

การสำรวจความเสี่ยงทั่วทั้งองค์กร

การสำรวจความเสี่ยงทั่วทั้งองค์กร

3. การประเมินความเสี่ยง
เมื่อบ่งชี้ความเสี่ยงได้แล้ว ควรทำการประเมินความเสี่ยง โดยพิจารณาความเสี่ยงที่มีอยู่ก่อนทำการควบคุมใด ๆ จากนั้นจึงพิจารณาดูว่าการปฏิบัติงานในปัจจุบันได้มีวิธีการอย่างไรในการจัดการความเสี่ยง โดยพิจารณาถึงการจัดการต่าง ๆ ดังนี้
– การปฏิบัติงานของผู้บริหารและพนักงาน
– กระบวนการการดำเนินงานขององค์กร
– กิจกรรมการควบคุมภายใน
– โครงสร้างขององค์กรและกระบวนการรายงาน
– การวัดผลการดำเนินงานและการติดตามผลของกิจกรรมต่าง ๆ
– วิธีการสื่อสารทั้งภายในและภายนอกองค์กร
– ทัศนคติของผู้บริหารต่อความเสี่ยงและวิธีการบริหารความเสี่ยง
– การปฏิบัติด้านบุคลากร
– การปฏิบัติต่อคู่ค้าและสัญญาทางธุรกิจขององค์กร

เมื่อได้พิจารณาถึงการจัดการต่าง ๆ แล้ว จึงทำการประเมินระดับความแรงของความเสี่ยงอีกครั้งหนึ่ง การประเมินความเสี่ยงทุกครั้ง ควรประเมินทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการดำเนินงาน และเชิงปริมาณ เช่น ผลขาดทุน การลดลงของรายได้ หรือการเพิ่มขึ้นของค่าใช้จ่ายที่อาจมีผลต่อการบรรลุวัตถุประสงค์และกลยุทธ์ขององค์กร โดยการประเมินควรพิจารณาให้ครอบคลุมถึงประเด็นดังนี้
– โอกาสของความเสี่ยงที่อาจเกิดขึ้น (Likelihood) ความเสี่ยงมีโอกาสเกิดขึ้นได้มากน้อยเพียงไร
– ผลกระทบ (Impact) หากมีความเสี่ยงเกิดขึ้น องค์กรจะได้รับผลกระทบมากน้อยเพียงไร

4. การจัดการความเสี่ยง
การจัดการความเสี่ยงอาจใช้วิธีใดวิธีหนึ่งดังนี้
– การหลีกเลี่ยงไม่ยอมรับความเสี่ยงนั้นเลย จึงอาจทำให้ต้องเปลี่ยนวัตถุประสงค์
– การโอนย้าย โดยโอนความเสี่ยงให้ผู้อื่นช่วยรับผิดชอบ เช่น การทำประกันภัย
– การควบคุม ด้วยการหาวิธีการควบคุมเพิ่มเติมเพื่อจัดการความเสี่ยง
– การยอมรับ โดยใช้วิธีการเดิมต่อไปในการจัดการความเสี่ยง

การบริหารความเสี่ยงให้มีประสิทธิภาพ ต้องกำหนดบุคคลที่รับผิดชอบในการจัดการความเสี่ยงในแต่ละเรื่องที่ได้รับการบ่งชี้

บุคคลที่ได้รับมอบหมายให้รับผิดชอบในการจัดการความเสี่ยงในแต่ละเรื่อง ควรมีคุณสมบัติดังนี้
– สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน
– สามารถจัดให้มีกิจกรรมต่าง ๆ ต่อไปนี้อย่างมีประสิทธิภาพและประสิทธิผล

 การกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
 การประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว
 การกำหนดเวลาที่แน่นอนในแต่ละขั้นตอนการดำเนินการให้เป็นไปตามแผนที่กำหนดไว้

5. การติดตามผลและการรายงาน
องค์ประกอบหลักของการติดตามผลและการรายงานคือ
– การประเมินคุณภาพและความเหมาะสมในการปฏิบัติงานเพื่อลดความเสี่ยง รวมถึงการระบุความเสี่ยงที่สามารถโอนย้ายออกไปภายนอกองค์กรได้
– การรายงานความเสี่ยงจากทุกหน่วยงานในองค์กรอย่างสม่ำเสมอ สอดคล้องและต่อเนื่อง

องค์ประกอบสำคัญของการติดตามคือการสื่อสาร ที่ต้องดำเนินการอย่างรวดเร็วและสม่ำเสมอ โดยวิธีการที่หลากหลาย เช่น การประชุม การจัดทำรายงานประจำเดือน เพื่อให้ผู้บริหารได้ทำการสอบทานสถานะของความเสี่ยงและแผนการดำเนินงาน ซึ่งจะช่วยให้เกิดการบอกกล่าวข้อมูลที่สำคัญ และทำให้เกิดการตัดสินใจที่มีประสิทธิผลได้ทันเวลา

สิ่งที่ผมได้กล่าวมาทั้งหมดตั้งแต่ครั้งแรกจนถึงครั้งนี้ ผมขอสรุปบางมุมมองของการบริหารความเสี่ยงที่สอดประสานกันทั่วทั้งองค์กร เพื่อให้ท่านผู้อ่านเข้าใจภาพของการบริหารความเสี่ยงขององค์กรได้ชัดเจนยิ่งขึ้น

บางมุมมองของการบริหารความเสี่ยงที่สอดประสานทั่วทั้งองค์กร

บางมุมมองของการบริหารความเสี่ยงที่สอดประสานทั่วทั้งองค์กร

ในครั้งหน้าเราจะมาพูดกันถึงการจัดการความเสี่ยงขององค์กรโดยทั่วไปกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือบริหารความเสี่ยงขององค์กร

เมษายน 3, 2009

เป็นอย่างไรกันบ้างครับ หลังจากที่ท่านผู้สนใจได้ติดตามแนวทางการบริหารความเสี่ยงขององค์กร มาในระยะหนึ่งแล้ว ก่อนที่จะลงลึงไปในรายละเอียดของการจัดการความเสี่ยง ซึ่งผมจะได้อธิบายในโอกาสต่อไปนั้น ผมอยากให้ท่านผู้อ่านเห็นภาพของการบริหารจัดการความเสี่ยงขององค์กรว่ามีกระบวนการบริหารความเสี่ยงในภาพโดยรวมเป็นอย่างไร เพื่อที่จะได้เข้าใจและเตรียมพร้อมในการก้าวสู่การจัดการความเสี่ยงต่อไปครับ

กระบวนการบริหารความเสี่ยงในภาพโดยรวม

กระบวนการบริหารความเสี่ยงในภาพโดยรวม

กระบวนการบริหารความเสี่ยงที่มีประสิทธิผล ประกอบด้วย 5 ขั้นตอนต่อไปนี้

1. การกำหนดวัตถุประสงค์และกลยุทธ์
การกำหนดวัตถุประสงค์และกลยุทธ์ ควรกำหนดให้ชัดเจนและสื่อสารให้แก่หน่วยงานต่าง ๆ ที่เกี่ยวข้องในองค์กรด้วย เพื่อให้มีความเข้าใจตรงกัน

2. การบ่งชี้ความเสี่ยงในมิติต่าง ๆ
ความเสี่ยงและเหตุแห่งความเสี่ยงควรครอบคลุมในเรื่องต่อไปนี้
– ความเสียหายหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบในเชิงลบต่อองค์กร
– ความไม่แน่นอนที่อาจมีผลต่อการบรรลุวัตถุประสงค์และกลยุทธ์ขององค์กร
– เหตุการณ์ที่อาจทำให้องค์กรเสียโอกาสในการได้สิ่งที่ดี

กระบวนการบ่งชี้ความเสี่ยงควรพิจารณาให้ครอบคลุมถึง
– ความเสี่ยงที่อาจเกิดขึ้นทุกประเภท เช่น ความเสี่ยงทางกลยุทธ์ การเงิน บุคลากร การดำเนินงาน ชื่อเสียง กฎหมาย ภาษีอากร ระบบงาน และสิ่งแวดล้อม เป็นต้น
– ความเสี่ยงที่อาจเกิดขึ้นจากสาเหตุทั้งภายในและภายนอกองค์กร

ทั้งนี้อาจอธิบายการสำรวจความเสี่ยงทั่งทั้งองค์กรด้วยภาพดังนี้

การสำรวจความเสี่ยงทั่วทั้งองค์กร

การสำรวจความเสี่ยงทั่วทั้งองค์กร

3. การประเมินความเสี่ยง
เมื่อบ่งชี้ความเสี่ยงได้แล้ว ควรทำการประเมินความเสี่ยง โดยพิจารณาความเสี่ยงที่มีอยู่ก่อนทำการควบคุมใด ๆ จากนั้นจึงพิจารณาดูว่าการปฏิบัติงานในปัจจุบันได้มีวิธีการอย่างไรในการจัดการความเสี่ยง โดยพิจารณาถึงการจัดการต่าง ๆ ดังนี้
– การปฏิบัติงานของผู้บริหารและพนักงาน
– กระบวนการการดำเนินงานขององค์กร
– กิจกรรมการควบคุมภายใน
– โครงสร้างขององค์กรและกระบวนการรายงาน
– การวัดผลการดำเนินงานและการติดตามผลของกิจกรรมต่าง ๆ
– วิธีการสื่อสารทั้งภายในและภายนอกองค์กร
– ทัศนคติของผู้บริหารต่อความเสี่ยงและวิธีการบริหารความเสี่ยง
– การปฏิบัติด้านบุคลากร
– การปฏิบัติต่อคู่ค้าและสัญญาทางธุรกิจขององค์กร

เมื่อได้พิจารณาถึงการจัดการต่าง ๆ แล้ว จึงทำการประเมินระดับความแรงของความเสี่ยงอีกครั้งหนึ่ง การประเมินความเสี่ยงทุกครั้ง ควรประเมินทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการดำเนินงาน และเชิงปริมาณ เช่น ผลขาดทุน การลดลงของรายได้ หรือการเพิ่มขึ้นของค่าใช้จ่ายที่อาจมีผลต่อการบรรลุวัตถุประสงค์และกลยุทธ์ขององค์กร โดยการประเมินควรพิจารณาให้ครอบคลุมถึงประเด็นดังนี้
– โอกาสของความเสี่ยงที่อาจเกิดขึ้น (Likelihood) ความเสี่ยงมีโอกาสเกิดขึ้นได้มากน้อยเพียงไร
– ผลกระทบ (Impact) หากมีความเสี่ยงเกิดขึ้น องค์กรจะได้รับผลกระทบมากน้อยเพียงไร

4. การจัดการความเสี่ยง
การจัดการความเสี่ยงอาจใช้วิธีใดวิธีหนึ่งดังนี้
– การหลีกเลี่ยงไม่ยอมรับความเสี่ยงนั้นเลย จึงอาจทำให้ต้องเปลี่ยนวัตถุประสงค์
– การโอนย้าย โดยโอนความเสี่ยงให้ผู้อื่นช่วยรับผิดชอบ เช่น การทำประกันภัย
– การควบคุม ด้วยการหาวิธีการควบคุมเพิ่มเติมเพื่อจัดการความเสี่ยง
– การยอมรับ โดยใช้วิธีการเดิมต่อไปในการจัดการความเสี่ยง

การบริหารความเสี่ยงให้มีประสิทธิภาพ ต้องกำหนดบุคคลที่รับผิดชอบในการจัดการความเสี่ยงในแต่ละเรื่องที่ได้รับการบ่งชี้

บุคคลที่ได้รับมอบหมายให้รับผิดชอบในการจัดการความเสี่ยงในแต่ละเรื่อง ควรมีคุณสมบัติดังนี้
– สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน
– สามารถจัดให้มีกิจกรรมต่าง ๆ ต่อไปนี้อย่างมีประสิทธิภาพและประสิทธิผล

 การกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
 การประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว
 การกำหนดเวลาที่แน่นอนในแต่ละขั้นตอนการดำเนินการให้เป็นไปตามแผนที่กำหนดไว้

5. การติดตามผลและการรายงาน
องค์ประกอบหลักของการติดตามผลและการรายงานคือ
– การประเมินคุณภาพและความเหมาะสมในการปฏิบัติงานเพื่อลดความเสี่ยง รวมถึงการระบุความเสี่ยงที่สามารถโอนย้ายออกไปภายนอกองค์กรได้
– การรายงานความเสี่ยงจากทุกหน่วยงานในองค์กรอย่างสม่ำเสมอ สอดคล้องและต่อเนื่อง

องค์ประกอบสำคัญของการติดตามคือการสื่อสาร ที่ต้องดำเนินการอย่างรวดเร็วและสม่ำเสมอ โดยวิธีการที่หลากหลาย เช่น การประชุม การจัดทำรายงานประจำเดือน เพื่อให้ผู้บริหารได้ทำการสอบทานสถานะของความเสี่ยงและแผนการดำเนินงาน ซึ่งจะช่วยให้เกิดการบอกกล่าวข้อมูลที่สำคัญ และทำให้เกิดการตัดสินใจที่มีประสิทธิผลได้ทันเวลา

สิ่งที่ผมได้กล่าวมาทั้งหมดตั้งแต่ครั้งแรกจนถึงครั้งนี้ ผมขอสรุปบางมุมมองของการบริหารความเสี่ยงที่สอดประสานกันทั่วทั้งองค์กร เพื่อให้ท่านผู้อ่านเข้าใจภาพของการบริหารความเสี่ยงขององค์กรได้ชัดเจนยิ่งขึ้น

บางมุมมองของการบริหารความเสี่ยงที่สอดประสานทั่วทั้งองค์กร

บางมุมมองของการบริหารความเสี่ยงที่สอดประสานทั่วทั้งองค์กร

ในครั้งหน้าเราจะมาพูดกันถึงการจัดการความเสี่ยงขององค์กรโดยทั่วไปกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 31, 2009

ครั้งก่อนผมได้กล่าวถึง แนวทางของการระบุปัจจัยเสี่ยงและเครื่องมือที่ใช้วัดการระบุปัจจัยเสี่ยงไปแล้ว ครั้งนี้เราจะมาดูกันว่า โครงสร้างของการบริหารความเสี่ยงประกอบไปด้วยใครกันบ้าง และในแต่ละคน/แต่ละส่วนงานมีหน้าที่และความรับผิดชอบในการบริหารความเสี่ยงอย่างไรกันบ้าง ซึ่งผมจะพูดถึงบทบาทและความรับผิดชอบหลักของผู้ที่เกี่ยวข้องโดยตรงกับการบริหารความเสี่ยง โดยจะแบ่งเป็นหัวข้อ ๆ เพื่อให้เข้าใจได้ง่าย เรามาดูกันต่อเลยครับ

โครงสร้างการบริหารความเสี่ยง
โครงสร้างของการบริหารความเสี่ยง ไม่มีรูปแบบที่เป็นมาตรฐานเพียงแบบเดียว แต่ต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร โดยจะพิจารณาได้จากวัฒนธรรม ความซับซ้อนของการดำเนินงาน ประเภทและลักษณะขององค์กรเป็นองค์ประกอบ สิ่งสำคัญของโครงสร้างการบริหารความเสี่ยง คือการที่คณะกรรมการและผู้บริหารทุกระดับมีบทบาทและมีส่วนร่วมในการพัฒนาการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลขององค์กรจะช่วยในการประเมิน ควบคุมและติดตามความเสี่ยงของแต่ละหน่วยงาน และทำให้เกิดความมั่นใจว่าการปฏิบัติงานในการบริหารความเสี่ยงโดยทุกคนในองค์กรอยู่ภายใต้กรอบเดียวกัน

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลประกอบด้วย
– คณะกรรมการที่มีความรับผิดชอบโดยตรงในการกำกับดูแลการบริหารความเสี่ยง
– คณะกรรมการบริหารความเสี่ยงที่ได้รับแต่งตั้งให้ทำหน้าที่ในการพัฒนาการบริหารความเสี่ยงอย่างน้อยควรประกอบด้วยผู้บริหารระดับสูงขององค์กร เช่น กรรมการผู้จัดการ และรองกรรมการผู้จัดการ
– หน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยงที่รับผิดชอบในการนำเอาวิสัยทัศน์ขององค์กรในส่วนที่เกี่ยวกับการบริหารความเสี่ยงไปกำหนดเป็นนโยบายและวิธีการปฏิบัติ

อย่างที่ได้กล่าวไปในช่วงต้นแล้วว่า โครงสร้างของการบริหารความเสี่ยง ไม่มีรูปแบบที่เป็นมาตรฐานตายตัว แต่ต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร ดังนั้น ผมจึงขอนำแผนภาพที่เป็นตัวอย่างของโครงสร้างการบริหารความเสี่ยงมาให้ดูกันครับ

โครงสร้างการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงขององค์กร

การพัฒนาโครงสร้างการบริหารความเสี่ยงอย่างเป็นทางการ จะทำให้ผู้บริหารและพนักงานในหน่วยงานต่าง ๆ มีความเข้าใจในหน้าที่และความรับผิดชอบที่เกี่ยวข้องกับการบริหารความเสี่ยง ซึ่งมีผลให้เกิดการตัดสินใจที่ถูกต้อง ทันเวลา ป้องกันความสูญเสียและเพิ่มโอกาสทางธุรกิจให้แก่องค์กร

การพัฒนาโครงสร้างการบริหารความเสี่ยงต้องการความรับผิดชอบและความร่วมมือจากทุกคนดังนี้
– คณะกรรมการ
– คณะกรรมการตรวจสอบ
– คณะกรรมการบริหารความเสี่ยง
– ผู้บริหารระดับสูง
– หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ผู้ตรวจสอบภายใน
– หัวหน้างานและพนักงาน

บทบาทและความรับผิดชอบหลักของผู้ที่เกี่ยวข้องโดยตรงกับการบริหารความเสี่ยง
คณะกรรมการ
– จะต้องเข้าใจถึงความเสี่ยงที่อาจมีผลกระทบร้ายแรงต่อการบรรลุวัตถุประสงค์ขององค์กร และทำให้มั่นใจว่ามีการดำเนินการที่เหมาะสมเพื่อจัดการความเสี่ยงนั้น ๆ

คณะกรรมการตรวจสอบ
– ต้องทำให้มั่นใจว่ามีการควบคุมภายในองค์กรที่เหมาะสมเพื่อจัดการความเสี่ยงทั่วทั้งองค์กร
– มีหน้าที่กำกับดูแลและติดตามการบริหารความเสี่ยงอย่างเป็นอิสระ
– ติดตามประสิทธิภาพการทำงานของหน่วยงานตรวจสอบภายใน
– รายงานต่อคณะกรรมการและผู้ถือหุ้นเกี่ยวกับประสิทธิภาพและประสิทธิผลของการควบคุมภายในองค์กร
– คณะกรรมการตรวจสอบมีการสื่อสารกับคณะกรรมการบริหารความเสี่ยง เพื่อให้เข้าใจความเสี่ยงที่สำคัญและเชื่อมโยงให้สอดคล้องกับการควบคุมภายใน

คณะกรรมการบริหารความเสี่ยง
– มีหน้าที่ในการพิจารณาและอนุมัตินโยบายและกรอบการบริหารความเสี่ยง
– ติดตามการพัฒนากรอบการบริหารความเสี่ยง
– ติดตามกระบวนการบ่งชี้และการประเมินความเสี่ยง
– ประเมินและอนุมัติแผนการจัดการความเสี่ยง
– รายงานต่อคณะกรรมการเกี่ยวกับความเสี่ยง และการจัดการความเสี่ยง
– มีการสื่อสารกับคณะกรรมการตรวจสอบเกี่ยวกับความเสี่ยงที่สำคัญ

กรรมการผู้จัดการหรือ ผู้อำนวยการ
– มีหน้าที่ติดตามความเสี่ยงที่สำคัญทั้งองค์กร และทำให้มั่นใจได้ว่ามีแผนการจัดการกับความเสี่ยงที่เหมาะสม
– ส่งเสริมนโยบายการบริหารความเสี่ยง และทำให้มั่นใจว่ากระบวนการบริหารความเสี่ยงได้รับการปฏิบัติทั่วทั้งองค์กร

รองกรรมการผู้จัดการ หรือ รองผู้อำนวยการ
– ต้องติดตามความเสี่ยงทางกลยุทธ์และความเสี่ยงด้านการปฏิบัติการที่สำคัญ และทำให้มั่นใจได้ว่ามีแผนการจัดการความเสี่ยงที่เหมาะสม
– ส่งเสริมวัฒนธรรมการบริหารความเสี่ยง และทำให้มั่นใจได้ว่าผู้อำนวยการฝ่ายให้ความสำคัญกับการบริหารความเสี่ยงในฝ่ายของตน

ผู้อำนวยการฝ่าย
– ต้องทำให้มั่นใจว่าการปฏิบัติงานรายวันมีการประเมิน จัดการและรายงานความเสี่ยงอย่างเพียงพอ
– มีการส่งเสริมพนักงานในฝ่ายให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

หัวหน้างานหรือพนักงาน
– มีหน้าที่ระบุและรายงานความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานต่อผู้อำนวยการฝ่าย และเข้าร่วมในการจัดทำแผนจัดการความเสี่ยง และนำแผนไปปฏิบัติ

หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ต้องปฏิบัติหน้าที่ประจำวันแทนคณะกรรมการบริหารความเสี่ยง
– จัดทำนโยบายความเสี่ยง กรอบและกระบวนการให้กับหน่วยงานและเสนอคณะกรรมการบริหารความเสี่ยงเพื่ออนุมัติ
– มีหน้าที่ให้การสนับสนุน และแนะนำกระบวนการบริหารความเสี่ยง แก่หน่วยงานต่าง ๆ ภายในองค์กรตามที่มีการร้องขอ

ผู้ตรวจสอบภายใน
– ต้องทำให้มั่นใจว่ามีการควบคุมภายในองค์กรที่เหมาะสมต่อการจัดการความเสี่ยง และการควบคุมเหล่านั้นได้รับการปฏิบัติตาม
– ทำให้มั่นใจว่าได้มีการนำระบบการบริหารความเสี่ยงมาปรับใช้อย่างเหมาะสมและมีการปฏิบัติตามทั่วทั้งองค์กร
– มีการสอบทานการปฏิบัติงานของหน่วยงานการบริหารความเสี่ยง
– ต้องสื่อสารกับหน่วยงานการบริหารความเสี่ยงเพื่อทำความเข้าใจเกี่ยวกับความเสี่ยง และดำเนินการตรวจสอบภายในตามแนวความเสี่ยง (Risk Based Auditing)

ถึงแม้ว่าจะมีการกำหนดบทบาทและหน้าที่ความรับผิดชอบของผู้เกี่ยวข้องกับการบริหารความเสี่ยงไว้อย่างชัดเจนแล้วก็ตาม แต่อย่างไรก็ตาม องค์กรทั่วไปควรกำหนดให้การบริหารความเสี่ยงเป็นความรับผิดชอบร่วมกันของผู้บริหารและพนักงานทุกระดับ และให้มีการปฏิบัติอย่างต่อเนื่อง เพื่อให้การบริหารความเสี่ยงประสบความสำเร็จและมีประสิทธิภาพสูงสุด

ผมจะขอทิ้งท้ายด้วยภาพของบทบาทและหน้าที่ความรับผิดชอบของผู้บริหารความเสี่ยง ดังที่ได้อธิบายในข้างต้นไว้ให้ได้ชมกันครับ

บทบาทและหน้าที่ความรับผิดชอบของผู้บริหารความเสี่ยง

บทบาทและหน้าที่ความรับผิดชอบของผู้บริหารความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 31, 2009

ครั้งก่อนผมได้กล่าวถึง แนวทางของการระบุปัจจัยเสี่ยงและเครื่องมือที่ใช้วัดการระบุปัจจัยเสี่ยงไปแล้ว ครั้งนี้เราจะมาดูกันว่า โครงสร้างของการบริหารความเสี่ยงประกอบไปด้วยใครกันบ้าง และในแต่ละคน/แต่ละส่วนงานมีหน้าที่และความรับผิดชอบในการบริหารความเสี่ยงอย่างไรกันบ้าง ซึ่งผมจะพูดถึงบทบาทและความรับผิดชอบหลักของผู้ที่เกี่ยวข้องโดยตรงกับการบริหารความเสี่ยง โดยจะแบ่งเป็นหัวข้อ ๆ เพื่อให้เข้าใจได้ง่าย เรามาดูกันต่อเลยครับ

โครงสร้างการบริหารความเสี่ยง
โครงสร้างของการบริหารความเสี่ยง ไม่มีรูปแบบที่เป็นมาตรฐานเพียงแบบเดียว แต่ต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร โดยจะพิจารณาได้จากวัฒนธรรม ความซับซ้อนของการดำเนินงาน ประเภทและลักษณะขององค์กรเป็นองค์ประกอบ สิ่งสำคัญของโครงสร้างการบริหารความเสี่ยง คือการที่คณะกรรมการและผู้บริหารทุกระดับมีบทบาทและมีส่วนร่วมในการพัฒนาการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลขององค์กรจะช่วยในการประเมิน ควบคุมและติดตามความเสี่ยงของแต่ละหน่วยงาน และทำให้เกิดความมั่นใจว่าการปฏิบัติงานในการบริหารความเสี่ยงโดยทุกคนในองค์กรอยู่ภายใต้กรอบเดียวกัน

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลประกอบด้วย
– คณะกรรมการที่มีความรับผิดชอบโดยตรงในการกำกับดูแลการบริหารความเสี่ยง
– คณะกรรมการบริหารความเสี่ยงที่ได้รับแต่งตั้งให้ทำหน้าที่ในการพัฒนาการบริหารความเสี่ยงอย่างน้อยควรประกอบด้วยผู้บริหารระดับสูงขององค์กร เช่น กรรมการผู้จัดการ และรองกรรมการผู้จัดการ
– หน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยงที่รับผิดชอบในการนำเอาวิสัยทัศน์ขององค์กรในส่วนที่เกี่ยวกับการบริหารความเสี่ยงไปกำหนดเป็นนโยบายและวิธีการปฏิบัติ

อย่างที่ได้กล่าวไปในช่วงต้นแล้วว่า โครงสร้างของการบริหารความเสี่ยง ไม่มีรูปแบบที่เป็นมาตรฐานตายตัว แต่ต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร ดังนั้น ผมจึงขอนำแผนภาพที่เป็นตัวอย่างของโครงสร้างการบริหารความเสี่ยงมาให้ดูกันครับ

โครงสร้างการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงขององค์กร

การพัฒนาโครงสร้างการบริหารความเสี่ยงอย่างเป็นทางการ จะทำให้ผู้บริหารและพนักงานในหน่วยงานต่าง ๆ มีความเข้าใจในหน้าที่และความรับผิดชอบที่เกี่ยวข้องกับการบริหารความเสี่ยง ซึ่งมีผลให้เกิดการตัดสินใจที่ถูกต้อง ทันเวลา ป้องกันความสูญเสียและเพิ่มโอกาสทางธุรกิจให้แก่องค์กร

การพัฒนาโครงสร้างการบริหารความเสี่ยงต้องการความรับผิดชอบและความร่วมมือจากทุกคนดังนี้
– คณะกรรมการ
– คณะกรรมการตรวจสอบ
– คณะกรรมการบริหารความเสี่ยง
– ผู้บริหารระดับสูง
– หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ผู้ตรวจสอบภายใน
– หัวหน้างานและพนักงาน

บทบาทและความรับผิดชอบหลักของผู้ที่เกี่ยวข้องโดยตรงกับการบริหารความเสี่ยง
คณะกรรมการ
– จะต้องเข้าใจถึงความเสี่ยงที่อาจมีผลกระทบร้ายแรงต่อการบรรลุวัตถุประสงค์ขององค์กร และทำให้มั่นใจว่ามีการดำเนินการที่เหมาะสมเพื่อจัดการความเสี่ยงนั้น ๆ

คณะกรรมการตรวจสอบ
– ต้องทำให้มั่นใจว่ามีการควบคุมภายในองค์กรที่เหมาะสมเพื่อจัดการความเสี่ยงทั่วทั้งองค์กร
– มีหน้าที่กำกับดูแลและติดตามการบริหารความเสี่ยงอย่างเป็นอิสระ
– ติดตามประสิทธิภาพการทำงานของหน่วยงานตรวจสอบภายใน
– รายงานต่อคณะกรรมการและผู้ถือหุ้นเกี่ยวกับประสิทธิภาพและประสิทธิผลของการควบคุมภายในองค์กร
– คณะกรรมการตรวจสอบมีการสื่อสารกับคณะกรรมการบริหารความเสี่ยง เพื่อให้เข้าใจความเสี่ยงที่สำคัญและเชื่อมโยงให้สอดคล้องกับการควบคุมภายใน

คณะกรรมการบริหารความเสี่ยง
– มีหน้าที่ในการพิจารณาและอนุมัตินโยบายและกรอบการบริหารความเสี่ยง
– ติดตามการพัฒนากรอบการบริหารความเสี่ยง
– ติดตามกระบวนการบ่งชี้และการประเมินความเสี่ยง
– ประเมินและอนุมัติแผนการจัดการความเสี่ยง
– รายงานต่อคณะกรรมการเกี่ยวกับความเสี่ยง และการจัดการความเสี่ยง
– มีการสื่อสารกับคณะกรรมการตรวจสอบเกี่ยวกับความเสี่ยงที่สำคัญ

กรรมการผู้จัดการหรือ ผู้อำนวยการ
– มีหน้าที่ติดตามความเสี่ยงที่สำคัญทั้งองค์กร และทำให้มั่นใจได้ว่ามีแผนการจัดการกับความเสี่ยงที่เหมาะสม
– ส่งเสริมนโยบายการบริหารความเสี่ยง และทำให้มั่นใจว่ากระบวนการบริหารความเสี่ยงได้รับการปฏิบัติทั่วทั้งองค์กร

รองกรรมการผู้จัดการ หรือ รองผู้อำนวยการ
– ต้องติดตามความเสี่ยงทางกลยุทธ์และความเสี่ยงด้านการปฏิบัติการที่สำคัญ และทำให้มั่นใจได้ว่ามีแผนการจัดการความเสี่ยงที่เหมาะสม
– ส่งเสริมวัฒนธรรมการบริหารความเสี่ยง และทำให้มั่นใจได้ว่าผู้อำนวยการฝ่ายให้ความสำคัญกับการบริหารความเสี่ยงในฝ่ายของตน

ผู้อำนวยการฝ่าย
– ต้องทำให้มั่นใจว่าการปฏิบัติงานรายวันมีการประเมิน จัดการและรายงานความเสี่ยงอย่างเพียงพอ
– มีการส่งเสริมพนักงานในฝ่ายให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

หัวหน้างานหรือพนักงาน
– มีหน้าที่ระบุและรายงานความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานต่อผู้อำนวยการฝ่าย และเข้าร่วมในการจัดทำแผนจัดการความเสี่ยง และนำแผนไปปฏิบัติ

หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ต้องปฏิบัติหน้าที่ประจำวันแทนคณะกรรมการบริหารความเสี่ยง
– จัดทำนโยบายความเสี่ยง กรอบและกระบวนการให้กับหน่วยงานและเสนอคณะกรรมการบริหารความเสี่ยงเพื่ออนุมัติ
– มีหน้าที่ให้การสนับสนุน และแนะนำกระบวนการบริหารความเสี่ยง แก่หน่วยงานต่าง ๆ ภายในองค์กรตามที่มีการร้องขอ

ผู้ตรวจสอบภายใน
– ต้องทำให้มั่นใจว่ามีการควบคุมภายในองค์กรที่เหมาะสมต่อการจัดการความเสี่ยง และการควบคุมเหล่านั้นได้รับการปฏิบัติตาม
– ทำให้มั่นใจว่าได้มีการนำระบบการบริหารความเสี่ยงมาปรับใช้อย่างเหมาะสมและมีการปฏิบัติตามทั่วทั้งองค์กร
– มีการสอบทานการปฏิบัติงานของหน่วยงานการบริหารความเสี่ยง
– ต้องสื่อสารกับหน่วยงานการบริหารความเสี่ยงเพื่อทำความเข้าใจเกี่ยวกับความเสี่ยง และดำเนินการตรวจสอบภายในตามแนวความเสี่ยง (Risk Based Auditing)

ถึงแม้ว่าจะมีการกำหนดบทบาทและหน้าที่ความรับผิดชอบของผู้เกี่ยวข้องกับการบริหารความเสี่ยงไว้อย่างชัดเจนแล้วก็ตาม แต่อย่างไรก็ตาม องค์กรทั่วไปควรกำหนดให้การบริหารความเสี่ยงเป็นความรับผิดชอบร่วมกันของผู้บริหารและพนักงานทุกระดับ และให้มีการปฏิบัติอย่างต่อเนื่อง เพื่อให้การบริหารความเสี่ยงประสบความสำเร็จและมีประสิทธิภาพสูงสุด

ผมจะขอทิ้งท้ายด้วยภาพของบทบาทและหน้าที่ความรับผิดชอบของผู้บริหารความเสี่ยง ดังที่ได้อธิบายในข้างต้นไว้ให้ได้ชมกันครับ

บทบาทและหน้าที่ความรับผิดชอบของผู้บริหารความเสี่ยง

บทบาทและหน้าที่ความรับผิดชอบของผู้บริหารความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 26, 2009

เมื่อได้ทราบถึงภาพรวมของการบริหารความเสี่ยง กรอบของการบริหารความเสี่ยง ความหมายของความเสี่ยง ประเภทและแหล่งที่มาหรือเหตุแห่งความเสี่ยง เป็นซึ่งเป็นพื้นฐานเบื้องต้นที่ผมได้กล่าวถึงไปบ้างแล้ว วันนี้เราจะมาพูดกันถึงแนวทางและเครื่องมือที่ใช้ในการระบุความเสี่ยงกันครับ

ก่อนอื่นผมมีภาพที่อยากให้เห็นถึงการระบุปัจจัยเสี่ยงกับแนวคิดด้านความเสี่ยงบางประการ เพื่อความเข้าใจที่ชัดเจนยิ่งขึ้น โปรดดูตามภาพด้านล่างนี้เลยครับ

การระบุปัจจัยเสี่ยงและแนวคิดบางประการ

การระบุปัจจัยเสี่ยงและแนวคิดบางประการ

แนวทางที่สามารถใช้ในการระบุความเสี่ยงขององค์กร

1. การใช้ประสบการณ์ของผู้ประเมินในการระบุเหตุการณ์ที่เคยเกิดขึ้น หรือพิจารณาแล้วว่ามีโอกาสที่จะเกิดขึ้นได้ หรือใช้การเก็บข้อมูลเกี่ยวกับปัญหา/ข้อผิดพลาดในกระบวนการทำงานที่เคยเกิดขึ้นในอดีตและได้มีการบันทึกไว้ หรือเป็นข้อมูลที่บันทึกอยู่ในระบบคอมพิวเตอร์ สามารถนำมาใช้เป็นแนวทาง และเป็นข้อมูลเบื้องต้นได้

2. การใช้คู่มือปฏิบัติงาน หรือ Work flow charts เพื่อลำดับขั้นตอนของกระบวนการทำงาน และพิจารณาว่าในแต่ละขั้นตอนอาจจะเกิดเหตุการณ์ต่าง ๆ ซึ่งอาจจะทำให้กิจกรรมนั้น ๆ หยุดชะงัก หรือผิดพลาดจนก่อให้เกิดความเสียหายขึ้นได้

3. การระดมความคิดจากพนักงานที่มีส่วนเกี่ยวข้องกับกิจกรรมดังกล่าว ทั้งภายในและภายนอกหน่วยงาน เพื่อร่วมกันพิจารณาว่ามีเหตุการณ์ใดบ้างที่เกิดขึ้นแล้วส่งผลกระทบเสียหายต่องานที่ดูแล

4. การใช้แบบสอบถามความคิดเห็นไปยังผู้รับผิดชอบกิจกรรมการทำงานต่าง ๆ ว่ามีปัญหาข้อผิดพลาด หรือความเสี่ยงในลักษณะใด ก่อให้เกิดความเสียหายมากน้อยแค่ไหน ซึ่งการสอบถามควรกระทำกับเจ้าหน้าที่ที่เกี่ยวข้องโดยตรง ซึ่งเป็นผู้ทราบข้อมูลต่าง ๆ อย่างแท้จริง นอกจากนี้คำตอบที่ได้รับอาจจะไม่ใช่ข้อเท็จจริงทั้งหมด เพราะการตอบคำถามอาจจะรวมข้อคิดเห็น ความรู้สึก และทัศนคติส่วนตัว ดังนั้นผู้ประเมินควรใช้วิธีอื่นควบคู่กันไปด้วย

5. การใช้แบบตรวจสอบรายการ เพื่อใช้เป็นแนวทางในการติดตามและตรวจสอบรายละเอียดของงานต่าง ๆ เพื่อพิจารณาความเสี่ยงในแต่ละกิจกรรม

การเลือกใช้แหล่งข้อมูล/วิธีการใด ๆ ในการระบุความเสี่ยงนั้น อาจแตกต่างกันในแต่ละฝ่ายงานและแต่ละเหตุความเสี่ยง โดยขึ้นอยู่กับลักษณะงานและวิธีปฏิบัติของแต่ละฝ่ายงาน

เครื่องมือสำหรับการระบุความเสี่ยงด้านปฏิบัติการ ประกอบด้วย
1. แบบประเมินตนเอง
ซึ่งเป็นเครื่องมือที่ใช้ในการประเมินการควบคุมตนเอง (Control Self Assessment) และรับผิดชอบให้มีการประเมินตนเอง โดยกำหนดให้ทุกฝ่ายงานมีหน้าที่ต้องประเมินตนเองอย่างน้อยปีละ 1 ครั้ง ทั้งนี้ผู้ประเมินต้องระบุประเภทความเสี่ยงที่เผชิญอยู่ในแต่ละกิจกรรม หรือแต่ละกระบวนการปฏิบัติงานที่อยู่ภายใต้ความรับผิดชอบของตน รวมทั้งประเด็นของความพร้อมของบุคคลากร ทรัพยากร และระบบงานที่เกี่ยวข้อง พร้อมทั้งเสนอแนะแนวทางที่จะบริหารความเสี่ยงที่เผชิญอยู่นั้น

2. ดัชนีเครื่องชี้ความเสี่ยง
ดัชนีเครื่องชี้ความเสี่ยง (Key Risk Indicators) จะถูกใช้เป็นเครื่องมือระบุความเสี่ยงที่เกิดขึ้นในกระบวนการปฏิบัติงานต่าง ๆ ดัชนีเครื่องชี้ความเสี่ยงจะถูกสร้างขึ้น โดยความเห็นชอบร่วมกันระหว่างหน่วยงานที่เกี่ยวข้องกับโครงการและแผนงานต่าง ๆ กับฝ่ายบริหารความเสี่ยง (ถ้ามี) เพื่อชี้ให้เห็นถึงความเสี่ยงที่อาจจะเกิดความเสียหายขึ้นในกระบวนการตามแผนงานต่าง ๆ ซึ่งนอกจากจะเป็นเครื่องมือที่ใช้ในการติดตามความเสี่ยงแล้ว ยังจะช่วยนําไปสู่การค้นหาสาเหตุเพื่อป้องกันและ/หรือแก้ไขเพื่อป้องกันหรือบรรเทาผลกระทบที่จะเกิดขึ้นในอนาคตได้อีกด้วย โดยกำหนดให้ทุกฝ่ายงานมีหน้าที่ต้องจัดทำดัชนีเครื่องชี้ความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 26, 2009

เมื่อได้ทราบถึงภาพรวมของการบริหารความเสี่ยง กรอบของการบริหารความเสี่ยง ความหมายของความเสี่ยง ประเภทและแหล่งที่มาหรือเหตุแห่งความเสี่ยง เป็นซึ่งเป็นพื้นฐานเบื้องต้นที่ผมได้กล่าวถึงไปบ้างแล้ว วันนี้เราจะมาพูดกันถึงแนวทางและเครื่องมือที่ใช้ในการระบุความเสี่ยงกันครับ

ก่อนอื่นผมมีภาพที่อยากให้เห็นถึงการระบุปัจจัยเสี่ยงกับแนวคิดด้านความเสี่ยงบางประการ เพื่อความเข้าใจที่ชัดเจนยิ่งขึ้น โปรดดูตามภาพด้านล่างนี้เลยครับ

การระบุปัจจัยเสี่ยงและแนวคิดบางประการ

การระบุปัจจัยเสี่ยงและแนวคิดบางประการ

แนวทางที่สามารถใช้ในการระบุความเสี่ยงขององค์กร

1. การใช้ประสบการณ์ของผู้ประเมินในการระบุเหตุการณ์ที่เคยเกิดขึ้น หรือพิจารณาแล้วว่ามีโอกาสที่จะเกิดขึ้นได้ หรือใช้การเก็บข้อมูลเกี่ยวกับปัญหา/ข้อผิดพลาดในกระบวนการทำงานที่เคยเกิดขึ้นในอดีตและได้มีการบันทึกไว้ หรือเป็นข้อมูลที่บันทึกอยู่ในระบบคอมพิวเตอร์ สามารถนำมาใช้เป็นแนวทาง และเป็นข้อมูลเบื้องต้นได้

2. การใช้คู่มือปฏิบัติงาน หรือ Work flow charts เพื่อลำดับขั้นตอนของกระบวนการทำงาน และพิจารณาว่าในแต่ละขั้นตอนอาจจะเกิดเหตุการณ์ต่าง ๆ ซึ่งอาจจะทำให้กิจกรรมนั้น ๆ หยุดชะงัก หรือผิดพลาดจนก่อให้เกิดความเสียหายขึ้นได้

3. การระดมความคิดจากพนักงานที่มีส่วนเกี่ยวข้องกับกิจกรรมดังกล่าว ทั้งภายในและภายนอกหน่วยงาน เพื่อร่วมกันพิจารณาว่ามีเหตุการณ์ใดบ้างที่เกิดขึ้นแล้วส่งผลกระทบเสียหายต่องานที่ดูแล

4. การใช้แบบสอบถามความคิดเห็นไปยังผู้รับผิดชอบกิจกรรมการทำงานต่าง ๆ ว่ามีปัญหาข้อผิดพลาด หรือความเสี่ยงในลักษณะใด ก่อให้เกิดความเสียหายมากน้อยแค่ไหน ซึ่งการสอบถามควรกระทำกับเจ้าหน้าที่ที่เกี่ยวข้องโดยตรง ซึ่งเป็นผู้ทราบข้อมูลต่าง ๆ อย่างแท้จริง นอกจากนี้คำตอบที่ได้รับอาจจะไม่ใช่ข้อเท็จจริงทั้งหมด เพราะการตอบคำถามอาจจะรวมข้อคิดเห็น ความรู้สึก และทัศนคติส่วนตัว ดังนั้นผู้ประเมินควรใช้วิธีอื่นควบคู่กันไปด้วย

5. การใช้แบบตรวจสอบรายการ เพื่อใช้เป็นแนวทางในการติดตามและตรวจสอบรายละเอียดของงานต่าง ๆ เพื่อพิจารณาความเสี่ยงในแต่ละกิจกรรม

การเลือกใช้แหล่งข้อมูล/วิธีการใด ๆ ในการระบุความเสี่ยงนั้น อาจแตกต่างกันในแต่ละฝ่ายงานและแต่ละเหตุความเสี่ยง โดยขึ้นอยู่กับลักษณะงานและวิธีปฏิบัติของแต่ละฝ่ายงาน

เครื่องมือสำหรับการระบุความเสี่ยงด้านปฏิบัติการ ประกอบด้วย
1. แบบประเมินตนเอง
ซึ่งเป็นเครื่องมือที่ใช้ในการประเมินการควบคุมตนเอง (Control Self Assessment) และรับผิดชอบให้มีการประเมินตนเอง โดยกำหนดให้ทุกฝ่ายงานมีหน้าที่ต้องประเมินตนเองอย่างน้อยปีละ 1 ครั้ง ทั้งนี้ผู้ประเมินต้องระบุประเภทความเสี่ยงที่เผชิญอยู่ในแต่ละกิจกรรม หรือแต่ละกระบวนการปฏิบัติงานที่อยู่ภายใต้ความรับผิดชอบของตน รวมทั้งประเด็นของความพร้อมของบุคคลากร ทรัพยากร และระบบงานที่เกี่ยวข้อง พร้อมทั้งเสนอแนะแนวทางที่จะบริหารความเสี่ยงที่เผชิญอยู่นั้น

2. ดัชนีเครื่องชี้ความเสี่ยง
ดัชนีเครื่องชี้ความเสี่ยง (Key Risk Indicators) จะถูกใช้เป็นเครื่องมือระบุความเสี่ยงที่เกิดขึ้นในกระบวนการปฏิบัติงานต่าง ๆ ดัชนีเครื่องชี้ความเสี่ยงจะถูกสร้างขึ้น โดยความเห็นชอบร่วมกันระหว่างหน่วยงานที่เกี่ยวข้องกับโครงการและแผนงานต่าง ๆ กับฝ่ายบริหารความเสี่ยง (ถ้ามี) เพื่อชี้ให้เห็นถึงความเสี่ยงที่อาจจะเกิดความเสียหายขึ้นในกระบวนการตามแผนงานต่าง ๆ ซึ่งนอกจากจะเป็นเครื่องมือที่ใช้ในการติดตามความเสี่ยงแล้ว ยังจะช่วยนําไปสู่การค้นหาสาเหตุเพื่อป้องกันและ/หรือแก้ไขเพื่อป้องกันหรือบรรเทาผลกระทบที่จะเกิดขึ้นในอนาคตได้อีกด้วย โดยกำหนดให้ทุกฝ่ายงานมีหน้าที่ต้องจัดทำดัชนีเครื่องชี้ความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 23, 2009

นอกจากความเสี่ยงในด้านต่าง ๆ และความเสี่ยงในด้านการปฏิบัติการที่ได้กล่าวไปในครั้งก่อนแล้ว องค์กรต่าง ๆ อาจเผชิญกับความเสี่ยงที่เป็นความไม่แน่นอนและอยู่ใกล้ตัวมากที่สุด ซึ่งมีความสำคัญที่จะกระทบปัจจัยเสี่ยงอื่น ๆ ในทุกเรื่อง รวมถึงความเสี่ยงจากสภาพแวดล้อมทั่วไปด้วยเช่นกันที่องค์กรควรต้องกำหนดแนวทาง ระบุความเสี่ยง และจัดหาเครื่องมือในการจัดการกับความเสี่ยงที่จะอาจเกิดขึ้น

ความเสี่ยงจากสภาพแวดล้อมทั่วไปขององค์กร เช่น จริยธรรม คุณธรรมในการบริหารงาน ปรัชญา ความเชื่อในเรื่องการบริหารความเสี่ยงที่เป็นรูปธรรม แนวความคิดและความเข้าใจของการนำการบริหารความเสี่ยงมาใช้ในองค์กร การกำหนดความเสี่ยงที่ยอมรับได้ (Risk Appetite) การจัดโครงสร้างขององค์กร การมอบหมายอำนาจและหน้าที่ ขั้นตอนการปฏิบัติงาน วัฒนธรรมในการดำเนินงานขององค์กร ความเกรงใจ ความเห็นแก่หน้า การไม่เคารพกฎและกติกาตามหลักการกำกับดูแลกิจการที่ดี การขาดการประสานงาน การทำงานเป็นทีมที่ด้อยคุณภาพ ความไม่มีใจต่อความสำเร็จขององค์กร การมีอัตตาหรือการไม่รับฟังความคิดเห็นจากผู้ร่วมงาน การให้คุณให้โทษที่ไม่เป็นธรรม โดยไม่ยึดผลสำเร็จของงาน การขาดการติดตามวัดผลสำเร็จของแผนงาน โครงการ ตามพันธกิจที่ได้ดุลยภาพและมีคุณภาพ รวมทั้งทัศนคติของผู้บริหารที่อาจชอบฟังหรือรับทราบเฉพาะเรื่องดี ๆ โดยไม่ยอมรับฟังเรื่องเชิงลบ ทั้งที่เป็นเรื่องจริงที่เป็นความเสี่ยงและมีผลกระทบต่อเป้าประสงค์ ทั้งระยะสั้น ระยะยาว เป็นต้น

ซึ่งความเสี่ยงจากสภาพแวดล้อมทั่วไปเหล่านี้จะมีผลอย่างสำคัญต่อความสำเร็จของการบริหารความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการเงินและการรายงาน ทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ และคำสั่งต่าง ๆ ของทุกองค์กรได้

องค์กรทั่วไป ควรจะมีการสอบทานความเหมาะสม และระบุปัจจัยเสี่ยงที่อาจเกิดจากสภาพแวดล้อมทั่วไปดังกล่าวข้างต้นควบคู่กันไปกับการบริหารความเสี่ยงขององค์ประกอบอื่น ๆ และพิจารณาหาแนวทางควบคุมและจัดการกับความเสี่ยงที่มีนัยสำคัญให้อยู่ในระดับที่องค์กรยอมรับได้ โดยใช้เครื่องมือสำหรับระบุความเสี่ยงในแบบการประเมินตนเองหรือ CSA – Control Self Assessment โดยใช้บุคคลภายในองค์กรเอง หรือ QAR – Quality Assurance Review โดยใช้บุคคลภายนอก หรือดัชนีเครื่องชี้ความเสี่ยง (Key Risk Indicators) ตามความเหมาะสมต่อไป

นี่คือ ตัวอย่างบางประการที่มีความสำคัญต่อการบริหารความเสี่ยง ซึ่งเป็นเครื่องมือและกระบวนการบริหารเชิงรุกภายใต้กรอบการกำกับดูแลกิจการที่ดี ที่คณะกรรมการบริหาร ผู้บริหาร ผู้ปฏิบัติงานทุกคนขององค์กรทั่วไป จะมีส่วนร่วมอย่างสำคัญในการนำไปปฏิบัติควบคู่กับการบริหารแผนงานและโครงการต่าง ๆ ขององค์กร เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุเป้าประสงค์หลักโดยมีการจัดการและควบคุมความเสี่ยงอย่างพอเพียงและเหมาะสม

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 23, 2009

นอกจากความเสี่ยงในด้านต่าง ๆ และความเสี่ยงในด้านการปฏิบัติการที่ได้กล่าวไปในครั้งก่อนแล้ว องค์กรต่าง ๆ อาจเผชิญกับความเสี่ยงที่เป็นความไม่แน่นอนและอยู่ใกล้ตัวมากที่สุด ซึ่งมีความสำคัญที่จะกระทบปัจจัยเสี่ยงอื่น ๆ ในทุกเรื่อง รวมถึงความเสี่ยงจากสภาพแวดล้อมทั่วไปด้วยเช่นกันที่องค์กรควรต้องกำหนดแนวทาง ระบุความเสี่ยง และจัดหาเครื่องมือในการจัดการกับความเสี่ยงที่จะอาจเกิดขึ้น

ความเสี่ยงจากสภาพแวดล้อมทั่วไปขององค์กร เช่น จริยธรรม คุณธรรมในการบริหารงาน ปรัชญา ความเชื่อในเรื่องการบริหารความเสี่ยงที่เป็นรูปธรรม แนวความคิดและความเข้าใจของการนำการบริหารความเสี่ยงมาใช้ในองค์กร การกำหนดความเสี่ยงที่ยอมรับได้ (Risk Appetite) การจัดโครงสร้างขององค์กร การมอบหมายอำนาจและหน้าที่ ขั้นตอนการปฏิบัติงาน วัฒนธรรมในการดำเนินงานขององค์กร ความเกรงใจ ความเห็นแก่หน้า การไม่เคารพกฎและกติกาตามหลักการกำกับดูแลกิจการที่ดี การขาดการประสานงาน การทำงานเป็นทีมที่ด้อยคุณภาพ ความไม่มีใจต่อความสำเร็จขององค์กร การมีอัตตาหรือการไม่รับฟังความคิดเห็นจากผู้ร่วมงาน การให้คุณให้โทษที่ไม่เป็นธรรม โดยไม่ยึดผลสำเร็จของงาน การขาดการติดตามวัดผลสำเร็จของแผนงาน โครงการ ตามพันธกิจที่ได้ดุลยภาพและมีคุณภาพ รวมทั้งทัศนคติของผู้บริหารที่อาจชอบฟังหรือรับทราบเฉพาะเรื่องดี ๆ โดยไม่ยอมรับฟังเรื่องเชิงลบ ทั้งที่เป็นเรื่องจริงที่เป็นความเสี่ยงและมีผลกระทบต่อเป้าประสงค์ ทั้งระยะสั้น ระยะยาว เป็นต้น

ซึ่งความเสี่ยงจากสภาพแวดล้อมทั่วไปเหล่านี้จะมีผลอย่างสำคัญต่อความสำเร็จของการบริหารความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการเงินและการรายงาน ทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ และคำสั่งต่าง ๆ ของทุกองค์กรได้

องค์กรทั่วไป ควรจะมีการสอบทานความเหมาะสม และระบุปัจจัยเสี่ยงที่อาจเกิดจากสภาพแวดล้อมทั่วไปดังกล่าวข้างต้นควบคู่กันไปกับการบริหารความเสี่ยงขององค์ประกอบอื่น ๆ และพิจารณาหาแนวทางควบคุมและจัดการกับความเสี่ยงที่มีนัยสำคัญให้อยู่ในระดับที่องค์กรยอมรับได้ โดยใช้เครื่องมือสำหรับระบุความเสี่ยงในแบบการประเมินตนเองหรือ CSA – Control Self Assessment โดยใช้บุคคลภายในองค์กรเอง หรือ QAR – Quality Assurance Review โดยใช้บุคคลภายนอก หรือดัชนีเครื่องชี้ความเสี่ยง (Key Risk Indicators) ตามความเหมาะสมต่อไป

นี่คือ ตัวอย่างบางประการที่มีความสำคัญต่อการบริหารความเสี่ยง ซึ่งเป็นเครื่องมือและกระบวนการบริหารเชิงรุกภายใต้กรอบการกำกับดูแลกิจการที่ดี ที่คณะกรรมการบริหาร ผู้บริหาร ผู้ปฏิบัติงานทุกคนขององค์กรทั่วไป จะมีส่วนร่วมอย่างสำคัญในการนำไปปฏิบัติควบคู่กับการบริหารแผนงานและโครงการต่าง ๆ ขององค์กร เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุเป้าประสงค์หลักโดยมีการจัดการและควบคุมความเสี่ยงอย่างพอเพียงและเหมาะสม

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 21, 2009

ครั้งก่อนผมได้พูดถึงกรอบของการบริหารความเสี่ยงในภาพโดยรวม และยังเคยกล่าวถึงประเภทของความเสี่ยงให้พอได้ทราบกันมาบ้างแล้ว ครั้งนี้เรามาดูกันต่อว่าความเสี่ยงทั้ง 4 ประเภทที่กล่าวถึงนั้นมีอะไรบ้าง และความเสี่ยงต่าง ๆ นั้นมีแหล่งที่มาเกิดจากอะไร ซึ่งในที่นี้ผมจะขอเน้นเฉพาะความเสี่ยงทางด้านปฏิบัติการที่เกิดขึ้นกับองค์กรโดยส่วนใหญ่ เพื่อจะได้ใช้เป็นแนวทางในการระบุความเสี่ยง และจัดการกับความเสี่ยง ซึ่งผมจะได้กล่าวถึงรายละเอียดในคราวต่อ ๆ ไป

ความเสี่ยงของทุกองค์กร อาจแบ่งได้เป็น 4 ประเภท ได้แก่
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านปฏิบัติการ (Operational Risk)
3. ความเสี่ยงด้านการเงินและการรายงาน (Financial & Reporting Risk)
4. ความเสี่ยงด้านกฎหมาย กฎเกณฑ์ต่าง ๆ (Compliance Risk)

ความเสี่ยงส่วนใหญ่ขององค์กรทั่วไป จะเป็นความเสี่ยงด้านปฏิบัติการ ซึ่งหากดูจากแผนภาพด้านล่างก็คงจะพอเข้าใจภาพของ Operational Risk ได้ชัดเจนขึ้น ก่อนที่จะได้กล่าวถึงรายละเอียดกันต่อ

Operational Risk Business Objectives

Operational Risk Business Objectives

ความเสี่ยงด้านปฏิบัติการ หมายถึง ความเสี่ยงที่จะเกิดความเสียหายอันเนื่องมาจากการขาดการกํากับดูแลกิจการที่ดี หรือขาดธรรมาภิบาลในองค์กร และการขาดการควบคุมที่ดี โดยอาจเกี่ยวข้องกับกระบวนการปฏิบัติงานภายใน คน ระบบงาน หรือเหตุการณ์ภายนอก และส่งผลกระทบต่อรายได้และเงินกองทุนขององค์กร

แหล่งที่มาของความเสี่ยง
เหตุแห่งความเสี่ยงด้านปฏิบัติการ เป็นความเสี่ยงที่จะเกิดความเสียหายโดยตรงหรือโดยอ้อม เนื่องจากการขาดระบบงาน การขาดการควบคุมที่ดี การจัดการภายในล้มเหลวจนทำให้เกิดความสูญเสีย และความผิดพลาดในการปฏิบัติงาน โดยมีสาเหตุต่าง ๆ ดังนี้

1. ความเสี่ยงที่เกิดจากบุคลากร (People Risk) ได้แก่
ความด้อยศักยภาพของพนักงาน
– การขาดความรู้ความชำนาญในงานที่รับผิดชอบ
– การขาดความสามารถในการทำงานเป็นทีม
– การละเลยไม่ให้ความสำคัญกับกลุ่มลูกค้า
– การขาดการทำงานแบบมืออาชีพ
– การขาดความสามารถในการวิเคราะห์หรือใช้วิจารณญานในการตัดสินใจ
– การตีความข้อมูลที่ใช้ในการปฏิบัติงานผิดพลาด

การทุจริต
– การทุจริตหรือกระทำผิดจรรยาบรรณ
– การใช้ตำแหน่งหน้าที่ของตนเพื่อประโยชน์ส่วนตัว

ความผิดพลาดของพนักงาน (Human Error)
– ความผิดพลาดของพนักงานในการปฏิบัติงาน โดยมิได้มีเจตนาจะกระทำผิดหรือทุจริต
– ความประมาท เลินเล่อ หรือไม่รอบคอบ

การบริหารและการจัดการบุคลากร
– การบริหารทรัพยากรบุคคลไม่เหมาะสม เช่น การมีพนักงานมาก-น้อยเกินไป
– การด้อยประสิทธิภาพในการสรรหา
– การมอบหมายงานไม่ตรงตามความสามารถ
– การขาดการอบรมให้พนักงานมีความเชี่ยวชาญหรือเพิ่มขีดความสามารถในการปฏิบัติงาน
– การขาดเครื่องมือในการสร้างแรงจูงใจให้พนักงานที่มีความสามารถให้คงอยู่กับองค์กร
– การประเมินผลงานที่ไม่ยุติธรรม
– ค่าตอบแทนที่ไม่เหมาะสม
– การพึ่งพิงกับพนักงานหลักมากเกินไป

การบริหารทรัพยากรขององค์กร
– การบริหารทรัพยากรขององค์กรไม่เหมาะสม เช่น ไม่มีอุปกรณ์ที่ให้ความสะดวกหรือมีไม่เพียงพอต่อความจำเป็นในการปฏิบัติงาน
– อุปกรณ์ไม่อยู่ในสภาพที่ดีต่อการใช้งาน
– การมีโครงสร้างพื้นฐานทางเทคโนโลยีที่ไม่เหมาะสมกับงานหรือล้าสมัย

2. ความเสี่ยงที่เกิดจากกระบวนการหรือขั้นตอนการปฏิบัติงาน
(Process Risk)
ความบกพร่องของการบริหารองค์กรที่ได้คุณภาพ (Model / Methodology Error)
– ความบกพร่องของการวางแผนการใช้โปรแกรมเพื่อการบริหารและการจัดการแบบบูรณาการ (Plan – Do – Check – Act)
– ความผิดพลาดในการพัฒนากำหนดสูตรการคำนวณต่าง ๆ เช่น การกำหนดน้ำหนักของกลยุทธ์ พันธกิจ แผนงานและโครงการต่าง ๆ ของ องค์กรในการก้าวสู่วิสัยทัศน์ที่กำหนด ในกรณีที่เป็นสถาบันการเงินก็จะเป็นความผิดพลาดจากการกำหนดอัตราส่วนทางการเงิน การประเมินมูลค่าหลักทรัพย์/ทรัพย์สิน/หนี้สิน และการประเมินมูลค่าหลักประกันผิดพลาด
– ข้อบกพร่องของวิธีการ/ขั้นตอนการปฏิบัติงาน ซึ่งทำให้การปฏิบัติงานไม่มีประสิทธิภาพเพียงพอ
– การรายงานผลต่าง ๆ ไม่ถูกต้อง และขาดการติดตาม

ผลิตภัณฑ์ และบริการที่ไม่เหมาะสม
– การกำหนดน้ำหนักของงบประมาณเพื่อขับเคลื่อนแผนงานของการบรรลุเป้าหมายที่ไม่สัมพันธ์กับวิสัยทัศน์และเป้าประสงค์ขององค์กร
– การออกแบบ/พัฒนาและส่งเสริมผลิตภัณฑ์และบริการไม่สอดคล้องกับทิศทางของพันธกิจและวิสัยทัศน์
– ผลิตภัณฑ์/บริการมีความซับซ้อนหรือมีข้อบกพร่อง หรือไม่อาจวัดผลความสำเร็จที่ชัดเจนเป็นรูปธรรม ทำให้ผู้มีผลประโยชน์ร่วมไม่พึงพอใจ

การปฏิบัติตามกฎหมาย กฎเกณฑ์ ของผู้กำกับ
– เกิดจากการกำกับดูแลและกฎระเบียบที่องค์กรเผชิญอยู่ หากองค์กรวางแผนการปฏิบัติต่าง ๆ ไม่สอดคล้องกับข้อกำหนดของทางการ หรือหน่วยงานที่กำกับดูแล
– ความเสี่ยงจากการตีความข้อกฎหมาย ที่เอื้ออำนวยต่อการดำเนินธุรกิจขององค์กร

การสื่อสารเพื่อสร้างความเข้าใจ (Communication)
– การเข้าใจไม่ตรงกันในการสื่อข้อความทำให้ตีความผิดพลาด
– การสื่อสารที่ไม่ทั่วถึงทุกฝ่ายงานที่เกี่ยวข้อง
– การขาดการประสานงาน/ร่วมมือที่ดีระหว่างฝ่ายงาน
– ข้อมูลที่เผยแพร่ภายนอกองค์กรไม่ถูกต้อง ไม่สอดคล้องกันก่อให้เกิดความไม่น่าเชื่อถือ โดยเฉพาะกรณีที่มีการนำข้อมูลไปใช้อ้างอิง

ระบบงานขาดมาตรฐานและการควบคุมที่ดี
– การขาดมาตรฐาน/คู่มือ/แนวทางและรายละเอียดในการปฏิบัติงาน
– การขาดระบบการตรวจสอบ/การควบคุม/การรักษาความปลอดภัยที่ดีหรือมีไม่เพียงพอ

3. ความเสี่ยงที่เกิดจากการใช้เทคโนโลยี (Technology Risk)
การรักษาความปลอดภัยตามมาตรฐานที่ดี
– การขาดระบบรักษาความปลอดภัยของข้อมูลหรือระบบคอมพิวเตอร์ ตลอดจนการสำรองข้อมูล หรือมีแต่ด้อยประสิทธิภาพ
– การขาดมาตรการควบคุมและตรวจสอบระบบอย่างสม่ำเสมอ
– การขาดแผนสำรองฉุกเฉิน

ระบบงานมีข้อผิดพลาดหรือล้มเหลว
– ความผิดพลาด/ความสูญเสียของระบบ เนื่องจากอัคคีภัย ภัยธรรมชาติ
– ปัญหาด้านเทคนิค กระแสไฟฟ้าขัดข้อง
– ระบบสูญเสียความสามารถบางส่วน/ทั้งหมด จากการทำลายของไวรัสคอมพิวเตอร์

ความบกพร่องของโปรแกรมคอมพิวเตอร์
– ความผิดพลาด/ไม่สมบูรณ์ของโปรแกรมคอมพิวเตอร์ที่ใช้

ความบกพร่องของระบบการสื่อสาร
– การขัดข้องของระบบการสื่อสาร เช่น Computer Network , โทรศัพท์ , โทรสาร

สารสนเทศที่ใช้ในการบริหารและปฏิบัติงานไม่น่าเชื่อถือ
– ข้อมูลสำหรับการปฏิบัติงานมีไม่เพียงพอ ไม่สมบูรณ์ ไม่ถูกต้อง
– ระบบข้อมูลไม่ถูกต้อง ทำให้ไม่สามารถนำข้อมูลไปใช้งานได้
– การมีหลายระบบที่แสดงข้อมูลในลักษณะเดียวกัน แต่แสดงข้อมูลไม่สอดคล้อง/ไม่ตรงกัน

4. ความเสี่ยงที่เกิดจากเหตุการณ์ภายนอก (External Risk)
– ความไม่แน่นอนของนโยบายของรัฐ และหน่วยงานที่เกี่ยวข้อง
– การสูญเสียที่เกิดขึ้นกับทรัพย์สินหรือรายได้อันเนื่องมาจากอุบัติภัยต่าง ๆ ที่ไม่คาดคิด เช่นไฟไหม้ น้ำท่วม แผ่นดินไหว
– ความเสียหายจากการที่คู่ค้าหรือคู่สัญญาขององค์กรไม่สามารถปฏิบัติตามข้อตกลงหรือปฏิบัติตามสัญญาที่ให้ไว้กับองค์กรได้
– ความเสียหายจากการที่คู่ค้าหรือคู่สัญญาขององค์กร ใช้องค์กรเป็นเครื่องมือในการฟอกเงินและกระทำผิดกฎหมาย
– การขาดแผนรองรับเหตุการณ์ฉุกเฉินต่าง ๆ
– ไม่มีการทำประกันภัย ในธุรกรรมใด ๆ ที่มีความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »