การประเมินความพร้อมทางด้านการบริหารความเสี่ยงที่เกี่ยวข้องกับความมั่นคงของชาติกับความเข้าใจในเรื่อง Risk Appetite (ต่อ)

กรกฎาคม 15, 2009

เพื่อสร้างความเข้าใจที่ดีในกระบวนการบริหารความเสี่ยงและการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่มีความสำคัญยิ่งของทุกองค์กร โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับความมั่นคงของชาตินั้น เป็นเรื่องที่น่าจะมีการสื่อสารและทำความเข้าใจให้ตรงกัน

การจัดการความเสี่ยงของประเทศ ได้ถูกนำมาประยุกต์ในการกำหนดกลยุทธ์และกิจกรรมทั้งหมดของบ้านเมือง อันจะช่วยให้ผู้บริหารความมั่นคงของประเทศสามารถระบุ ประเมินและบริหารความเสี่ยงเมื่อต้องเผชิญอย่างคาดไม่ถึง และสนับสนุนการสร้างและรักษาค่านิยมของประเทศไทย การจัดการความเสี่ยงของประเทศ จะเป็นตัวสนับสนุนความสามารถในการจัดการความเสี่ยงและกลยุทธ์ให้เป็นแนวทางเดียวกัน เชื่อมโยงความเสี่ยงกับความเติบโตและผลตอบแทน ส่งเสริมการตัดสินใจตอบสนองต่อความเสี่ยง ลดความตื่นตระหนักและความสูญเสียในการปฏิบัติการ ระบุและบริหารความเสี่ยงระหว่างประเทศได้ สามารถตอบสนองความเสี่ยงที่ซับซ้อนอย่างบูรณาการได้ สามารถฉกฉวยโอกาสและมีการลงทุนภายในและระหว่างประเทศอย่างเหมาะสม
นานาประเทศ รวมทั้งประเทศไทยเราต้องเผชิญกับความไม่แน่นอน และความท้าทายสำหรับฝ่ายบริหารความมั่นคงของบ้านเมือง ก็คือการกำหนดระดับความไม่แน่นอนที่มีอยู่เพื่อเพิ่มคุณค่าให้กับประชาชนและ/หรือผู้มีผลประโยชน์ร่วม ความไม่แน่นอนที่เกิดขึ้นเป็นทั้งโอกาสและความเสี่ยงต่อศักยภาพและบั่นทอนหรือส่งเสริมคุณค่า การจัดการความเสี่ยงของประเทศ จึงเป็นการสร้างกรอบของงานเพื่อให้ผู้บริหารความมั่นคงของประเทศได้จัดการกับความไม่แน่นอน ความเสี่ยงและโอกาสเพื่อส่งเสริมความสามารถในการสร้างคุณค่าเพิ่มให้กับประเทศไทย และประชาชนหรือผู้มีผลประโยชน์ร่วม การบริหารความเสี่ยงจะช่วยให้แน่ใจอย่างสมเหตุสมผลว่า หน่วยงานทั้งภาครัฐและเอกชนต่าง ๆ ในระดับประเทศสามารถบรรลุเป้าประสงค์ของประเทศร่วมกันได้

จากตอนที่แล้วที่ผมได้กล่าวถึงความเสี่ยงของความมั่นคงที่ประเทศไทยยอมรับได้ (Risk Appetite) และระดับความเบี่ยงเบนของความเสี่ยงที่ประเทศไทยยอมรับได้ (Risk Tolerance) จากความไม่เข้าใจระหว่างประเทศในอนาคตที่อาจเกิดขึ้นได้ จากประเทศทางตะวันตก จากประเทศทางทิศตะวันออก จากประเทศทางทิศใต้ หรือรวม ๆ กันไปของทั้ง 3 เหตุการณ์ จากทุกทิศทุกทาง ถึงแม้จะเกิดขึ้นได้น้อย แต่ความเสียหายจากความเสี่ยงอาจเกิดกว่าระดับการยอมรับผลกระทบของประเทศไทยได้นั้น จำเป็นที่จะต้องมีการกำหนดความเสียหายที่ยอมรับได้ ที่เป็นรูปธรรมเพื่อจะกำหนดกลยุทธ์และแนวทางดำเนินการที่เหมาะสมให้สอดคล้องกับกรอบของ Risk Appetite ระดับประเทศไทยที่กำหนดขึ้นและได้รับการยอมรับร่วมกันแล้ว ในบรรดาหน่วยงานที่เกี่ยวข้องกับความมั่นคงของชาติ

ยุทธศาสตร์ นโยบาย และแนวการปฏิบัติทางด้านความมั่นคงระหว่างประเทศ รวมทั้งภายในประเทศไทยเองก็ตาม จะเปลี่ยนแปลงไปตามกรอบและขอบเขตของความเสี่ยงที่ยอมรับได้นั้น จำเป็นจะต้องมีการสื่อสารให้เข้าใจตรงกัน ในทุกหน่วยงานที่เกี่ยวข้องกับความมั่นคง ทั้งทหารและพลเรือน

ตอนต่อไปผมจะได้ลองนำภาพจำลองของแนวความคิด (Scenario) ต่าง ๆ ที่เป็นความเสียหายที่อาจจะเกิดขึ้นภายใต้กรอบหรือระดับความเสี่ยงที่ยอมรับได้ที่แตกต่างกันไป เพื่อมาประเมินตนเองถึงความพร้อมที่เป็นไปได้ที่ประเทศไทยควรมี และควรเปลี่ยนแปลงไปตามสถานการณ์ของภาพจำลองที่อาจเปลี่ยนแปลงได้ตามสถานการณ์ที่เปลี่ยนแปลงไปนั้น จะทำให้ท่านผู้อ่านที่สนใจในเรื่องกระบวนการบริหารความเสี่ยงอย่างเป็นกระบวนการ ที่เน้นทางด้านความมั่นคงของชาติว่า มีความพร้อมเพียงใด

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทบาทของ GRC กับแนวความคิดและการปฏิบัติงานที่เน้นผลประโยชน์ของผู้มีผลประโยชน์ร่วม (Stakeholders)

กรกฎาคม 15, 2009

เนื่องจากหัวข้อหรือ Article นี้จะอยู่ในหมวดของ CG และ ITG สำหรับคำ “GRC” ย่อมาจาก Governance + Risk Management + Compliance ที่ท่านผู้อ่านก็คุ้นเคยกันมานาน โดยเฉพาะหลักการของ COSO – Enterprise Risk Management (ERM) ซึ่งเน้นความเป็นรูปธรรมในการขับเคลื่อนการบริหารการปฏิบัติงานในลักษณะที่สอดประสานและบูรณาการทั่วทั้งองค์กร ซึ่งอาจจะใช้คำที่เข้าใจง่าย ๆ ว่า Integrity – Driven Performance แต่ในทางปฏิบัติ องค์กรส่วนใหญ่ยังมีจุดอ่อนค่อนข้างมากในการขับเคลื่อนกระบวนการบริหารความเสี่ยงที่เกี่ยวข้องกับศักยภาพในการดำเนินงาน (Operational Risk)

วันนี้เราลองมาเล่าสู่กันฟังเรื่อง GRC ต่อจากเรื่อง Corporate Governance – CG และ IT Governance – ITG ที่ได้เล่าย่อ ๆ กันมาแล้วนะครับ

แนวความคิดใหม่ที่ขับเคลื่อนการบริหารแบบบูรณาการทั่วทั้งองค์กร เพื่อผลประโยชน์ของ Stakeholders

แนวความคิดใหม่ที่ขับเคลื่อนการบริหารแบบบูรณาการทั่วทั้งองค์กร เพื่อผลประโยชน์ของ Stakeholders

โดยหลักการของ Governance ในที่นี้ จะเน้นเรื่อง Ethics ที่เป็นรูปธรรมมากขึ้น มีค่านิยม และรูปแบบการจัดการที่ต้องการขับเคลื่อนองค์กรให้มีศักยภาพและมีความเป็นบูรณาการมากขึ้น เพื่อสร้างประสิทธิภาพ ประสิทธิผล และรูปธรรมในการเติบโตอย่างยั่งยืน ที่ต้องการมาตรฐาน การปฎิบัติตามกฎหมาย กฎเกณฑ์ รวมทั้งการรักษาชื่อเสียงที่เน้นไปทางการบริหาร Intangible Assets หรือสินทรัพย์ที่ไม่มีตัวตนที่เป็นรูปธรรมมากขึ้น โดยบริหารควบคู่กันไปกับการบริหารสินทรัพย์ที่มีตัวตน หรือ Tangible Assets ที่เข้าใจกันและเน้นการประเมินผล รวมทั้งการบริหารงานที่มากกว่า Intangible Assets กันเป็นส่วนใหญ่

การบริหารงานในองค์กรที่ใช้คอมพิวเตอร์ยุคใหม่ ข้อมูลและสารสนเทศ ความน่าเชื่อถือได้ ความไว้วางใจได้ การสร้างคุณค่าเพิ่มในรูปแบบต่าง ๆ ส่วนใหญ่จะมาจากการบริหาร Intangible Assets มากกว่า Tangible Assets มาก

บทบาทของการบริหารสินทรัพย์ที่ไม่มีตัวตนที่สร้างคุณค่าเพิ่มมากขึ้นกับบทบาทของผู้บริหารของทุกองค์กร

บทบาทของการบริหารสินทรัพย์ที่ไม่มีตัวตนที่สร้างคุณค่าเพิ่มมากขึ้นกับบทบาทของผู้บริหารของทุกองค์กร

สำนักงาน Brooking Institute ของต่างประเทศ ซึ่งเป็นหน่วยงานค้นคว้าความรู้ทางวิชาการใหม่ ๆ ได้เคยสำรวจ เมื่อประมาณปี ค.ศ. 2000 ปรากฎว่า คุณค่าเพิ่มจากการบริหาร Intangible Assets มีประมาณร้อยละ 85 ของสินทรัพย์ทั้งหมดของบริษัทโดยเฉลี่ย ในประเทศที่เจริญแล้ว

GRC ต้องการ New Standard และความคาดหวังใหม่ ๆ ของผู้มีผลประโยชน์ร่วม (Stakeholders) และต้องการ Governance เป็นฐานสำคัญที่เน้นทางด้านจริยธรรมและจรรยาบรรณ (Ethics) ซึ่งคำ ๆ นี้ ผมจะขออนุญาตขยายความเพื่อให้ท่านผู้อ่านได้ทราบว่า Ethics มีความสำคัญอย่างไรต่อการสร้างคุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนขององค์กรชั้นนำทั่วโลกในปัจจุบัน

คำว่า “Ethics” นี้ก็มีบทบาทสำคัญยิ่งในองค์ประกอบของการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง ซึ่งเป็นข้อแรกขององค์ประกอบ ทั้ง 8 ประการของ COSO – ERM

GRC เป็น Statement ใหม่ภายใต้ร่มหลักของ CG และ ITG ที่มีกระบวนการบริหารเพื่อสนับสนุน
– การดำเนินงานให้บรรลุเป้าประสงค์
– รักษาความน่าเชื่อถือ ความไว้วางใจ ได้จากชื่อเสียง/Brand ขององค์กร เพื่อสร้างคุณค่าเพิ่มอย่างยั่งยืน
– เป็นความท้าทายของผู้บริหารที่จะพิสูจน์คุณค่า และศักยภาพของผู้บริหารในการรักษาความสามารถในการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ของผู้กำกับภายนอก และการปฏิบัติตามนโยบาย ทิศทาง คำสั่งต่าง ๆ ภายในองค์กร ในการปฏิบัติได้ตามมาตรฐานและความคาดหวังใหม่ ๆ ของผู้ถือหุ้น

ผมจะได้นำเรื่องราวที่น่าสนใจของ GRC ในแง่มุมต่าง ๆ มาเสนอให้ท่านผู้อ่านในตอนต่อ ๆ ไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 15, 2009

สวัสดีครับ เป็นอย่างไรกันบ้างครับกับแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ตอนนี้ผมได้นำเสนอกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ซึ่งกระบวนการทั้ง 8 ขั้นตอนนี้ถือเป็นหัวใจสำคัญหลักในการบริหารความเสี่ยงเลยก็ว่าได้ และที่กำลังนำเสนออยู่นี้ก็เข้าสู่กระบวนการในขั้นตอนที่ 4 คือ การประเมินความเสี่ยง ที่ได้เล่าสู่กันฟังไปบ้างแล้ว วันนี้ผมมีวิธีการและเทคนิคดี ๆ ในการประเมินความเสี่ยงในเชิงปริมาณและคุณภาพมาเล่าสู่กันฟังต่อจากครั้งที่แล้วครับ

วิธีการและเทคนิคเชิงปริมาณและคุณภาพ
วิธีการประเมินค่าความเสี่ยงขององค์กรประกอบด้วยการรวมตัวกันของเทคนิคเชิงปริมาณและเชิงคุณภาพ ผู้บริหารมักใช้เทคนิคการประเมินเชิงคุณภาพในกรณีที่ความเสี่ยงไม่สามารถใช้กระบวนการเชิงปริมาณได้ หรือเมื่อไม่สามารถหาข้อมูลที่เพียงพอและน่าเชื่อถือสำหรับการประเมินค่าเชิงคุณภาพได้ หรือข้อมูลที่ได้มาหรือนำมาวิเคราะห์ไม่คุ้มค่า เทคนิคเชิงปริมาณนำมาซึ่งความถูกต้องแม่นยำมากกว่า และใช้ในกิจกรรมที่ซับซ้อนกว่าเพื่อเพิ่มเติมเทคนิคเชิงคุณภาพ

เพื่อให้ได้รับความเห็นชอบในความน่าจะเกิดและผลกระทบของการใช้เทคนิคการประเมินค่าเชิงคุณภาพ องค์กรอาจใช้วิธีการเดียวกันกับการแยกแยะเหตุการณ์ ดังเช่น การสัมภาษณ์และการประชุมเชิงปฏิบัติการ กระบวนการประเมินค่าความเสี่ยงด้วยตนเอง จับภาพผู้เข้าร่วมประชุมจากความน่าจะเกิดและผลของเหตุการณ์ในอนาคตโดยใช้ทั้งเครื่องวัดเชิงตัวเลขและการพรรณนา

ความจำเป็นขององค์กรในการใช้เทคนิคการประเมินค่าที่ไม่ธรรมดากับหน่วยธุรกิจต่าง ๆ หรือ ทางเลือกของเทคนิคจะสะท้อนความต้องการความถูกต้องแม่นยำ และวัฒนธรรมของหน่วยธุรกิจ อย่างไรก็ตามวิธีการที่แต่ละธุรกิจนำไปใช้จะช่วยในการประเมินความเสี่ยงในระหว่างองค์กร

ผู้บริหารสามารถสืบค้นมาตรวัดผลกระทบเชิงคุณภาพองค์กรของเหตุการณ์ต่อเมื่อการประเมินความเสี่ยงของเหตุการณ์ได้แสดงออกในเชิงปริมาณ ตัวอย่างเช่น ผลกระทบของผลกำไรสุทธิของการเปลี่ยนแปลงราคาถูกคำนวณระหว่างหน่วยธุรกิจ และกำหนดผลกระทบขององค์กรโดยรวม

การผสมระหว่างการวัดเชิงปริมาณและคุณภาพนั้นผู้บริหารได้พัฒนาการประเมินค่าเชิงคุณภาพในระหว่างการวัดผลทั้งเชิงคุณภาพและปริมาณด้วยผลลัพธ์ ซึ่งประกอบด้วยการประเมินค่าที่อธิบายได้ในเชิงคุณภาพ การสร้างคำศัพท์ของความน่าจะเกิดและผลลัพธ์ขององค์กรและกลุ่มของความเสี่ยงที่ใช้สำหรับการวัดเชิงคุณภาพช่วยอำนวยความสะดวกให้ส่วนประกอบของการประเมินค่าความเสี่ยงต่าง ๆ เหล่านั้น

ความสัมพันธ์กันของเหตุการณ์
ผู้บริหาร องค์กร อาจประเมินว่าเหตุการณ์มีความสัมพันธ์กันอย่างไร ลำดับเหตุการณ์ได้รวมกันและสร้าง Likelihood หรือผลกระทบอย่างมีนัยสำคัญที่ใด ในขณะที่ผลของเหตุการณ์เดียวอาจเบาบาง ลำดับเหตุการณ์อาจมีผลกระทบที่สำคัญมากกว่า อาจใช้การทดสอบที่หนักหน่วงในการประเมินค่าผลกระทบของเหตุการณ์สุดท้ายและใช้การวิเคราะห์ภาพเหตุการณ์ในการประเมินค่าผลกระทบของเหตุการณ์จำนวนมาก หากว่าเหตุการณ์ไม่มีความสัมพันธ์กันโดยตรง

ผู้บริหารต้องประเมินค่าเหตุการณ์แยกกัน ยกตัวอย่าง บริษัทที่มีธุรกิจต่างกัน มีการผันผวนของราคาที่แตกต่างกัน จะประเมินความเสี่ยงซึ่งสัมพันธ์กับตลาดแยกจากกัน ดังเช่น ราคาของเนื้อและราคาพลังงาน ในการประเมินค่าเช่นนี้อาจถูกนำเสนอในรูปกราฟแสดงอัตราความเป็นไปได้และผลกระทบหรือเสนอในรูปแบบอื่น ๆ

ความเสี่ยงซึ่งเกิดขึ้นเหมือน ๆ กันในธุรกิจจำนวนมาก ผู้บริหารอาจประเมินค่าและแยกแยะกลุ่มเหตุการณ์เอาไว้ในกลุ่มเหตุการณ์ทั่วไป ตัวอย่างเช่น การเปลี่ยนแปลงในอัตราดอกเบี้ยของรัฐบาลซึ่งมีผลกระทบกับหน่วยธุรกิจของบริษัทที่ให้บริการด้านการเงิน

ความสัมพันธ์กันระหว่างความเสี่ยงและผลกระทบเป็นความรับผิดชอบที่สำคัญของผู้บริหาร การบริหารความเสี่ยงที่มีประสิทธิภาพต้องการการประเมินค่าความเสี่ยงที่เกี่ยวข้องกับความเสี่ยงธรรมชาติและความเสี่ยงที่ตามมาจากการตอบสนองความเสี่ยง

การประเมินความเสี่ยงจะต้องพิจารณาว่าเหตุการณ์ที่เป็นไปได้ว่าจะเกิดขึ้น เหตุการณ์ไหนมีผลกระทบต่อการบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร โดยฝ่ายบริหารประเมินและวิเคราะห์ความเสี่ยงโดยพิจารณาจาก

1. ความน่าจะเกิด (Likelihood) คือโอกาสความเป็นไปได้ที่เหตุการณ์ที่ความเสี่ยงนั้นจะเกิดหรือความถี่ที่เหตุการณ์จะเกิด
2. ส่วนผลกระทบ (Impact) หมายถึง ความเสียหายที่จะเกิดจากเหตุการณ์ความเสี่ยงนั้น ความน่าจะเกิดบ่งบอกถึงความเป็นไปได้ที่เหตุการณ์นั้นจะเกิดขึ้น สามารถวัดเป็นมูลค่าที่คาดหวังหรือมูลค่าที่เลวร้ายที่สุด หรืออาจแสดงเป็นปริมาณ เช่น สูง (High) กลาง (Medium) และต่ำ (Low) หรือการวัดเป็นเปอร์เซ็นต์ ความถี่ที่จะเกิด เป็นต้น

การประเมินความเสี่ยงเป็นเรื่องที่ยากและท้าทาย ฝ่ายจัดการต้องตระหนักว่าความเสี่ยงที่มีโอกาสเกิดขึ้นต่ำและมีผลกระทบต่อองค์กรต่ำไม่ต้องนำมาพิจารณา ในทางตรงกันข้ามหากความเสี่ยงที่มีความเป็นไปได้ที่จะเกิดสูงและมีผลกระทบอย่างมีนัยสำคัญต่อองค์กร ฝ่ายจัดการต้องนำมาพิจารณาและให้ความสนใจ

การประเมินความเสี่ยง ฝ่ายจัดการต้องพิจารณาผลกระทบทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่คาดไว้ซึ่งมีความเป็นไปได้ที่จะเกิดขึ้น ส่วนใหญ่เหตุการณ์ต่าง ๆ มักเป็นเหตุการณ์ประจำและเกิดขึ้นอีกครั้งและเหตุการณ์ดังกล่าวถูกนำมาอยู่ในโปรแกรมการบริหารจัดการแล้ว

ส่วนเหตุการณ์ที่ไม่คาดไว้ แม้มีความเป็นไปได้ที่จะเกิดต่ำแต่มีผลกระทบที่เป็นนัยสำคัญ เหตุการณ์ดังกล่าวจะถูกตอบสนองเป็นแต่ละเหตุการณ์ไป ทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่ได้คาดไว้ล้วนมีผลกระทบต่อการดำเนินกลยุทธ์และมีผลต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

การประเมินความเสี่ยงถูกนำมาใช้กับความเสี่ยงพื้นฐานขององค์กรหรือความเสี่ยงจากลักษณะธุรกิจ (Inherent risk) เมื่อการตอบสนองความเสี่ยงถูกพัฒนาขึ้น ฝ่ายจัดการจะใช้เทคนิคการประเมินความเสี่ยงในการจัดการกับความเสี่ยงที่เหลืออยู่ (Residual Risk)

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 13, 2009

จากการที่ผมได้เล่าถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM มาหลายขั้นตอน มาถึงตอนนี้จะเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ขั้นตอนที่ 4 นั่นก็คือ การประเมินความเสี่ยง (Risk Assessment) การประเมินค่าความเสี่ยงขององค์กรทั่วไป เปิดโอกาสให้องค์กรและผู้ที่เกี่ยวข้องพิจารณาขอบเขตซึ่งเหตุการณ์แฝง อาจส่งผลต่อการบรรลุวัตถุประสงค์ พันธกิจ มุ่งสู่วิสัยทัศน์ขององค์กร ผู้บริหารควรประเมินค่าเหตุการณ์จาก 2 แนวคิด คือ ความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ที่จะเกิดขึ้น

ผมมีคำอธิบายเพื่อการประเมินค่าความเสี่ยงที่นำไปสู่การปฏิบัติ เมื่อปัจจัยภายในและภายนอกส่งผลต่อเหตุการณ์แฝง และบางเหตุการณ์ก็ส่งผลต่อการบรรลุวัตถุประสงค์ขององค์กร แม้ว่าปัจจัยบางอย่างจะเป็นสิ่งปกติในการร่วมอยู่ในอุตสาหกรรม ปัจจัยจำนวนมากมีความเป็นเอกลักษณ์ในองค์กรใดองค์กรหนึ่งโดยเฉพาะ สาเหตุเนื่องจากเป็นสิ่งที่ก่อให้เกิดวัตถุประสงค์และตัวเลือกในอดีต

ในการประเมินค่าความเสี่ยงผู้บริหารได้พิจารณาการผสมผสานของเหตุการณ์แฝงในอนาคตที่สัมพันธ์กับองค์กรและกิจกรรมของเหตุการณ์ สิ่งเหล่านี้นำมาซึ่งการตรวจสอบปัจจัยต่าง ๆ รวมถึงขนาดองค์กร ความซับซ้อนของการปฏิบัติงานและระดับของกฎระเบียบที่ครอบคลุมกิจกรรม เป็นต้น ซึ่งได้ก่อร่างรูปแบบของความเสี่ยงขององค์กรและมีอิทธิพลต่อวิธีการซึ่งใช้ในการประเมินค่าความเสี่ยง

โดยมีหลักการย่อ ๆ ว่า เมื่อเจ้าภาพหรือเจ้าของแผนงานสามารถระบุหรือบ่งชี้ความเสี่ยงตามข้อ 2 ได้แล้วให้ประเมินต่อไปว่า เหตุการณ์ที่อาจมีผลกระทบต่อความสำเร็จของแต่ละกิจกรรมในแต่ละขั้นตอนของแผนงานนั้น ๆ จะสามารถจัดการหรือแก้ไขปัญหาให้ลุล่วงเพื่อผลักดันกิจกรรมขั้นตอนต่อ ๆ ไปให้ประสบความสำเร็จของแผนงานนั้นตามกรอบเวลาได้หรือไม่

ทั้งนี้ เจ้าของแผนงานจะต้องประเมินว่า ปัจจัยหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบ (Impact) ต่อความไม่สำเร็จนั้น มีมากน้อยเพียงใด และมีโอกาสที่จะเกิดขึ้น (Likelihood) บ่อยเพียงใด ทั้งนี้เพื่อไปจัดลำดับความรุนแรงของความเสี่ยงที่จะมีผลต่อแผนงานและโครงการนั้น ๆ

ความเสี่ยงที่มีอยู่ (Inherent) และความเสี่ยงส่วนที่เหลือ (Residual Risk)
ผู้บริหาร องค์กร ต้องพิจารณาความเสี่ยงที่มีอยู่และความเสี่ยงส่วนที่เหลือ ความเสี่ยงที่มีอยู่เป็นความเสี่ยงขององค์กรที่ไม่ได้ดำเนินการใด ๆ ทั้งสิ้นของผู้บริหาร เพื่อเปลี่ยนแปลงผลกระทบและโอกาสเกิดของความเสี่ยง ความเสี่ยงส่วนที่เหลือคือความเสี่ยงที่ยังคงมีอยู่หลังจากผู้บริหารได้ตอบสนองต่อความเสี่ยงแล้ว

ในการประเมินค่าความเสี่ยง ผู้บริหารจะพิจารณาผลกระทบของเหตุการณ์แฝงที่คาดหวังและไม่ได้คาดหวัง หลาย ๆ เหตุการณ์เกิดเป็นประจำ และเกิดขึ้นอีกบ่อย ๆ และได้ถูกวางไว้ในโปรแกรมการบริหารและงบประมาณด้านปฏิบัติการ หลาย ๆ เหตุการณ์ไม่ได้ถูกคาดหวังไว้ และบ่อยครั้งมีความน่าจะเกิดต่ำ แต่อาจมีผลกระทบแฝงที่สำคัญ เหตุการณ์ที่ไม่ได้คาดไว้อาจถูกตอบสนองแยกต่างหาก

อย่างไรก็ตาม ความไม่แน่นอนยังคงอยู่กับทั้งเหตุการณ์แฝงที่คาดไว้และไม่ได้คาดไว้ และแต่ละเหตุการณ์ได้ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ ผลก็คือผู้บริหารต้องประเมินค่าความเสี่ยงของเหตุการณ์แฝงทั้งหมด ซึ่งเหมือนกันในแง่มีผลกระทบสำคัญต่อองค์กร การประเมินค่าความเสี่ยงได้ถูกประยุกต์ไปสู่ความเสี่ยงที่มีอยู่ ทันทีที่การตอบสนองความเสี่ยงได้ถูกพิจารณา ดังนั้น ผู้บริหารได้ใช้เทคนิคการประเมินค่าความเสี่ยงในการกำหนดความเสี่ยงส่วนที่เหลือ

การประมาณค่าความน่าจะเกิด ( Likelihood) และผลกระทบ (Impact)
ความไม่แน่นอนของเหตุการณ์แฝงถูกประเมินจาก 2 แนวคิด คือความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ความน่าจะเกิด เปรียบเสมือนความเป็นไปได้ซึ่งเหตุการณ์จะเกิดขึ้น ในขณะที่ผลกระทบเปรียบเสมือนผลที่เกิดขึ้น

ความน่าจะเกิดและผลกระทบเป็นคำศัพท์ที่ใช้กันโดยทั่วไปแม้ว่าบางองค์กรจะใช้คำว่าความเป็นไปได้และความเข้มงวดหรือผลที่เกิดขึ้นก็ตาม บางครั้งคำศัพท์อาจมีความหมายเฉพาะ “ความน่าจะเกิด” แสดงถึงความเป็นไปได้ซึ่งจะทำให้เกิดเหตุการณ์ในเชิงคุณภาพ เช่น สูง กลาง และต่ำ หรือมาตรวัดอื่น ๆ ที่เที่ยงตรง ในขณะที่ความเป็นไปได้อาจถูกใช้ในการอธิบายการวัดเชิงปริมาณ เช่น เปอร์เซ็นต์ ความถี่ของเหตุการณ์ หรือมาตรวัดที่เป็นตัวเลข

ผู้บริหารอาจเลือกอธิบายความน่าจะเกิดและผลกระทบในลักษณะต่าง ๆ เช่น การประมาณค่า หรือขอบเขตหรือการกระจาย ซึ่งอาจอธิบายการแยกแยะหรือการประเมินค่าความเสี่ยงเป็นคำพูดหรือใส่ลงในกราฟ ตัวอย่างหนึ่งคือการทำแผนผังความเสี่ยง ซึ่งเป็นการวาดให้เห็นภาพโดยการแบ่งกลุ่มเหตุการณ์ วัตถุประสงค์องค์กร หรือกลุ่มอื่น ๆ ซึ่งจะช่วยรายงานความเสี่ยงในหลาย ๆ ระดับ รวมถึงระดับองค์กร ระดับธุรกิจ ระดับหน่วยงานหรือระดับกระบวนการ

การกำหนดปริมาณความตั้งใจในการประเมินค่าลำดับของความเสี่ยงที่องค์กรต้องเผชิญนั้นมีความยากและท้าทาย ผู้บริหารต้องระลึกไว้ว่าความเสี่ยงที่มีความน่าจะเกิดของเหตุการณ์ที่จะเกิดต่ำและมีผลกระทบเพียงเล็กน้อย ไม่สามารถรับประกันการพิจารณาอื่น ๆ ได้ ในทางตรงข้ามความเสี่ยงที่มีความน่าจะเกิดของการเกิดเหตุการณ์สูงและมีผลกระทบสำคัญที่ต้องการการพิจารณาอย่างตั้งใจ เหตุการณ์ทั้งสองประเภทต้องการการตัดสินที่ยากเย็น สิ่งสำคัญคือการวิเคราะห์ต้องมีเหตุมีผลและระมัดระวัง

เนื่องจากความเสี่ยงถูกประเมินในส่วนของกลยุทธ์องค์กรและวัตถุประสงค์องค์กร ผู้บริหารจะเฝ้ามุ่งเน้นดูความเสี่ยงด้วยช่วงระยะเวลาสั้นไปจนถึงกลาง อย่างไรก็ตามองค์ประกอบบางอย่างของทิศทางกลยุทธ์และวัตถุประสงค์ได้ขยายตัวเป็นช่วงเวลาที่ยาวนานขึ้น ผลก็คือผู้บริหารต้องมีความรู้ความเข้าใจในกรอบเวลาที่ยาวนาน และไม่เพิกเฉยต่อความเสี่ยงที่อาจหมดไป
ผู้บริหารมักใช้การวัดผลงานในการกำหนดขอบเขตที่ทำให้บรรลุวัตถุประสงค์และใช้หน่วยเดียวกันวัดว่าเมื่อไรจะพิจารณาผลกระทบแฝงของความเสี่ยงในการบรรลุวัตถุประสงค์เฉพาะ ตัวอย่างเช่น

องค์กรซึ่งมีวัตถุประสงค์ในการรักษาระดับของการบริการลูกค้าจะถูกให้คะแนนหรือการวัดแบบอื่น ๆ สำหรับวัตถุประสงค์นั้น ดังเช่น ดัชนีความพึงพอใจของผู้เกี่ยวข้อง จำนวนการร้องเรียน เมื่อการประเมินค่าผลกระทบของความเสี่ยงที่อาจส่งผลต่อการบริการ ดังเช่น ความเป็นไปได้ที่เว็บไซต์อาจใช้ไม่ได้ในช่วงเวลานั้น ผลกระทบเป็นตัวกำหนดที่ดีที่สุดในการใช้

การใช้ข้อมูลที่สังเกตได้
การประมาณค่าความน่าจะเกิดและความถี่ของผลกระทบถูกกำหนดให้ใช้ข้อมูลจากเหตุการณ์ที่สังเกตได้ที่ผ่านมาแล้ว ซึ่งอาจทำให้เกิดวัตถุประสงค์ได้มากกว่าการประมาณโดยการนึกคิด การสร้างข้อมูลที่เกิดจากประสบการณ์ในองค์กรของตนเองอาจสะท้อนความมีอคติของบุคคลได้น้อยกว่าและทำให้เกิดผลลัพธ์ได้ดีกว่าข้อมูลจากแหล่งภายนอก

อย่างไรก็ตามแม้ว่าข้อมูลที่สร้างจากภายในเป็นข้อมูลนำเข้าเบื้องต้น ข้อมูลจากภายนอกสามารถใช้ประโยชน์ในการเป็นที่ตรวจสอบหรือเพื่อช่วยส่งเสริมการวิเคราะห์ ข้อควรระวังเมื่อใช้เหตุการณ์ในอดีตคาดเดาอนาคตนั้นคือ อิทธิพลของปัจจัยอาจทำให้เหตุการณ์เปลี่ยนแปลงไปตามเวลา

สำหรับการประเมินความเสี่ยงนี้ ยังมีวิธีการและเทคนิคเชิงปริมาณและคุณภาพ รวมถึงขั้นตอนการประเมินความเสี่ยงที่เป็นขั้นตอนสำคัญที่ควรต้องติดตามต่อไปในโอกาสหน้านะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย (ต่อ)

กรกฎาคม 11, 2009

วันนี้เรามาต่อกันในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานเทคโนโลยีสารสนเทศบางประการกันครับ

การจัดการ/การควบคุมบางประการ
1. 1) กำหนดประเภทของกิจกรรม (Activities) และเป้าหมายหลัก (Objectives) ในการพัฒนาระบบงานให้เป็นมาตรฐานทันกับเหตุการณ์
2) ให้ผู้บริหารระดับสูงและผู้ใช้ข้อมูลทบทวนและประเมินผลงานทุกขั้นตอนของการพัฒนาระบบงาน เมื่อพบว่ามีข้อที่ไม่สมเหตุสมผลอย่างร้ายแรงในขั้นตอนใด ให้สั่งหยุดการพัฒนาขั้นตอนถัดไปทันทีจนกว่าจะแก้ไขแล้ว/หรือ
3) ผู้บริหารระดับสูงอาจมอบหมายให้ผู้ตรวจสอบภายในของ องค์กรเป็นผู้ทำหน้าที่ทบทวนและประเมินผลขั้นตอนของการพัฒนาระบบงาน โดยเฉพาะความเหมาะสมของการควบคุมภายในของระบบงานการตรวจสอบและการมี Automated Solutions อย่างเหมาะสมและทันเวลา

2. 1) กำหนดประเภทของกิจกรรม (Activities) และเป้าหมายหลัก (Objectives) ในการพัฒนาระบบงานให้เป็นมาตรฐานจากผู้ที่เข้าใจจริง
2) ให้ผู้บริหารระดับสูงขององค์กรหรือมอบหมายให้ผู้ตรวจสอบภายในทำหน้าที่ทบทวนและประเมินผลทุกขั้นตอนของการพัฒนาระบบงานทุกระบบ

3. 1) การจ้างบุคคลที่ได้รับการอบรมและฝึกฝนทางด้านนี้โดยเฉพาะหรือส่งพนักงานที่มีอยู่ไปเข้ารับการอบรมและฝึกฝนทางด้านเทคนิคเพิ่มเติมภายในและภายนอกอยู่เสมอ
2) ให้จัดทำเอกสารประกอบการวิเคราะห์ทุกขั้นตอน :-
2.1) รายงานการศึกษาระบบงาน
2.2) รายงานความต้องการของระบบงาน
2.3) รายงานเกี่ยวกับเทคนิค
2.4) แผนการสร้างระบบงาน ฯลฯ
3) ให้ผู้ใช้ข้อมูลเป็นผู้ทดสอบระบบงานหรือที่เรียกว่า Acceptance Test หรืออาจมอบหมายให้ผู้ตรวจสอบ ภายในเป็นผู้ทำหน้าที่ทดสอบระบบงาน

4. 1) ให้ผู้ใช้ข้อมูลหรือผู้ตรวจสอบภายในเป็นผู้ทำหน้าที่ทดสอบระบบงาน (Acceptance Test)
2) ให้ผู้ออกแบบระบบงานจัดทำเอกสารประกอบโดยละเอียด

5. 1) การว่าจ้างบุคคลที่มีความสามารถเฉพาะหรือส่งพนักงานที่มีอยู่ไปเข้ารับการอบรมและฝึกฝนทางด้านเทคนิคเพิ่มเติมอยู่เสมอ
2) มอบหมายให้ผู้ควบคุมระบบงานด้านการวิเคราะห์และการเขียนโปรแกรมทบทวนผลลัพธ์ของการดำเนินงานพัฒนาระบบทุกขั้นตอน ก่อนส่งให้ฝ่ายบริหารและผู้ใช้ข้อมูลให้ความเห็นชอบ
3) ให้ผู้ใช้ข้อมูลหรือผู้ตรวจสอบภายในเป็นผู้ทำหน้าที่ทดสอบความถูกต้องของระบบงาน

6. 1) การกำหนดให้ผู้บริหารโครงการพัฒนาระบบใหม่ (Project Leader) จัดทำแผนและตารางการปฏิบัติงาน แต่ละโครงการ (Project Planing) และการมอบหมายงานให้พนักงานที่อยู่ในความรับผิดชอบการประเมินผลงานและการรายงานความคืบหน้าของ โครงการ (Status report)
2) มอบหมายให้ผู้ควบคุมงาน ทบทวนผลลัพธ์ที่ได้จากงานทุกขั้นตอน
3) มอบหมายให้ผู้ตรวจสอบภายในหรือผู้ออกแบบระบบงานทบทวนระบบงานนั้นอีกครั้งหลังจากที่ปล่อยให้ใช้กับงานจริงแล้ว 3 – 6 เดือน เพื่อค้นหาข้อผิดพลาดที่ยังหลงเหลือ เช่น เสียค่าใช้จ่ายในการปฏิบัติงานมากเกินไป

7. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำแผนในการพัฒนาระบบงานประเมินผลงานตามที่ปรากฏในแผน และจัดทำรายงานความคืบหน้าของโครงการเพื่อเสนอต่อฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูง
2) ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบการปฏิบัติงานทุกขั้นตอนโดยละเอียดและเรียบร้อย เพื่อส่งให้ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงทบทวนได้ทุกขณะเมื่อมีปัญหาเกิดขึ้น

8. 1) ให้ฝ่ายบริหารระดับสูงและผู้ใช้ข้อมูลทบทวนผลลัพธ์ที่ได้จากการพัฒนาระบบงานทุกขั้นตอน เมื่อเห็นว่าขั้นตอนใดมีผลลัพธ์ต่างไปจากที่ต้องการมากหรือไม่เหมาะสมกับสถานการณ์ในขณะนั้นให้สั่งระงับการพัฒนาระบบงานนั้นทันที หรือ
2) มอบหมายให้ผู้ตรวจสอบภายในกระทำหน้าที่แทน ภายใต้การรับผิดชอบของผู้บริหารระดับสูง

9. 1) ให้จัดทำเอกสารประกอบการพัฒนาระบบงานทุกขั้นตอนอย่างละเอียดและเรียบร้อย
2) ให้ฝ่ายบริหารระดับสูงและผู้ใช้ข้อมูลทบทวน
3) หรือมอบหมายให้ผู้ตรวจสอบภายในมีส่วนในการพัฒนาระบบงานแต่เริ่มแรก
4) หรือมอบหมายให้ผู้ตรวจสอบภายในทดสอบระบบงานนี้ก่อนนำออกไปใช้งานจริง

10. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบทุกขั้นตอนอย่างละเอียดและเรียบร้อย
2) มอบหมายให้ผู้ตรวจสอบภายในทดสอบระบบงานนั้นก่อนนำออกไปใช้งานจริง
3) ให้บริหารฝ่ายพัฒนาระบบงานทบทวนความถูกต้องทางด้านเทคนิคทั้งหมด
4) การจัดทำเอกสารประกอบระบบงานโดยละเอียดทั้งหมด

11. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำแผนงานและเป้าหมายของงานแต่ละขั้น เพื่อเป็นแนวทางในการปฏิบัติงานแก่พนักงานที่เกี่ยวข้อง
1.1) System Planing Steps
1.2) Development Steps
1.3) Implementation Steps
2) ให้ฝ่ายพัฒนาระบบงานทบทวนความถูกต้องทางด้านเทคนิคทั้งหมด
3) มอบหมายให้ผู้ตรวจสอบภายในเข้าไปร่วมในการพัฒนาระบบงานและทดสอบความถูกต้องของระบบงานนั้นก่อนนำออกไปใช้งานจริง
4) ให้ฝ่ายพัฒนาระบบงานทบทวนความถูกต้องของระบบงานนั้นอีกครั้งเมื่อปล่อยให้ใช้กับงานจริงแล้ว 3 – 6 เดือน
5) ให้จัดทำเอกสารประกอบระบบงานโดยละเอียดทั้งหมด

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 8, 2009

ช่วงนี้อากาศเย็นเพราะฝนตกบ่อย ผมอยู่นอกบ้านอากาศเย็นถึงกับหนาว ๆ อยู่บ้าง พอกลับเข้ามาในบ้านก็รู้สึกอบอุ่นขึ้นมาหน่อย หลายท่านก็ต้องระวังจะไม่สบายตามฝนฟ้าอากาศด้วยนะครับ สำหรับวันนี้ผมจะมาเล่าต่อถึงการจัดกลุ่มของเหตุการณ์จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน

การจัดกลุ่มเหตุการณ์
การจัดเหตุการณ์แฝงให้เป็นกลุ่มอาจเป็นสิ่งที่มีประโยชน์ การรวบรวมเหตุการณ์ระหว่างองค์กรและภายในส่วนงานต่าง ๆ ขององค์กรนั้น ผู้บริหารจะพัฒนาความเข้าใจของความสัมพันธ์กันระหว่างเหตุการณ์ได้รับข้อมูลเพิ่มขึ้น เพื่อใช้เป็นพื้นฐานในการประเมินค่าความเสี่ยงในการจัดกลุ่มเหตุการณ์แฝงที่เหมือนกัน ผู้บริหารจะสามารถกำหนดโอกาสและความเสี่ยงได้ดียิ่งขึ้น
การแบ่งกลุ่มเหตุการณ์ทำให้ผู้บริหารได้พิจารณาถึงความสมบูรณ์ของความพยายามที่จะแยกแยะเหตุการณ์ จากการตรวจสอบเหตุการณ์แฝงในกลุ่มนี้ ผู้บริหารสามารถวัดได้ว่ามีการแยกแยะความสำคัญของเหตุการณ์แฝงซึ่งสัมพันธ์กับการผิดพลาดของกิจกรรมต่าง ๆ ที่เกี่ยวข้องได้หรือไม่

ยิ่งไปกว่านั้น การจัดกลุ่มเหตุการณ์สามารถเสริมภาพเหตุการณ์ ประวัติขององค์กรต่าง ๆ บางองค์กรได้พัฒนาการแบ่งกลุ่มเหตุการณ์บนพื้นฐานของการจัดกลุ่มของวัตถุประสงค์การใช้ระดับขั้น ซึ่งเริ่มต้นด้วยวัตถุประสงค์ระดับสูงและลดหลั่นลงมาสู่วัตถุประสงค์ซึ่งเกี่ยวข้องกับหน่วยงานขององค์กร หรือการดำเนินธุรกิจ

ผู้บริหารต้องตระหนักว่ายังมีเหตุการณ์ที่มีความไม่แน่นอน ซึ่งไม่สามารถคาดการณ์ว่าจะเกิดอะไร เมื่อไร หรือส่งผลอย่างไร การกำหนดเหตุการณ์นี้คือผู้บริหารต้องพิจารณาปัจจัยทั้งภายนอกภายในที่มีผลทำให้เกิดเหตุการณ์ดังกล่าวขึ้น

ปัจจัยภายนอก รวมถึงสภาวะเศรษฐกิจ ธุรกิจ สภาพแวดล้อมทางธรรมชาติ การเมือง สังคมและเทคโนโลยีใหม่ ๆ ปัจจัยภายใน เช่นสาธารณูปโภคขั้นพื้นฐาน (Infrastructure) บุคลากร กระบวนการทำงาน หรือเทคโนโลยี

เหตุการณ์ที่มีความเป็นไปได้ว่าจะเกิดขึ้นมีผลกระทบได้ทั้งแง่บวกและแง่ลบ เหตุการณ์ที่มีผลกระทบในแง่บวกแสดงถึงโอกาส โอกาสสามารถนำไปกำหนดกลยุทธ์หรือกระบวนการในการกำหนดเป้าหมายหรือวัตถุประสงค์ขององค์กร เหตุการณ์ที่มีผลกระทบในแง่ลบแสดงถึงความเสี่ยงที่เกิดขึ้น ซึ่งฝ่ายจัดการต้องทำการประเมินและตอบสนองกับเหตุการณ์นั้น ความเสี่ยงที่ถูกกำหนดนั้นเป็นเหตุการณ์ที่เกิดขึ้นและมีผลกระทบต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายนอก เช่น
– ภาวะการเปลี่ยนแปลงของเทคโนโลยี
– ลูกค้าเปลี่ยนทัศนคติหรือความพึงพอใจต่อสินค้าหรือบริการ
– ภาวะการแข่งขันทางการตลาดทั้งสินค้าและบริการ
– กฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง
– สภาวะทางเศรษฐกิจ การค้า ความร่วมมือระหว่างประเทศ และสภาวะแวดล้อมภายนอกอื่น

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายในและระบบงาน เช่น
– ศักยภาพของบุคลากร กระบวนการบริหาร โครงสร้าง และการบริหารแผนงานขององค์กร
– ปริมาณและความซับซ้อนของรายการค้า การบริการ ผู้มีผลประโยชน์ร่วม และสาขางานที่เกี่ยวข้อง
– คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เพื่อการรายงาน เพื่อการบริหาร
– คุณภาพและความสามารถของพนักงาน ความขัดแย้งชิงดีชิงเด่นภายในองค์กร และนโยบายเกี่ยวกับการบริหารบุคลากรขององค์กร
– คุณภาพและการเปลี่ยนแปลง ฝ่ายบริหาร วิธีการบริหาร ระบบและวิธีการปฏิบัติงาน
– การคัดเลือกคณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่ไม่เหมาะสม ทำให้ได้ผู้ที่ไม่มีคุณภาพมากำกับดูแลงาน
– ความเพียงพอและประสิทธิผลการควบคุม

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

วิธีการจำแนกเหตุการณ์จากพื้นฐานของปัจจัยภายนอกและปัจจัยภายใน
ปัจจัยภายใน พิจารณาจาก
โครงสร้างพื้นฐาน
– สินทรัพย์ที่มีอยู่
– ความสามารถของสินทรัพย์
– การเข้าถึงทุน
– ความซับซ้อน
– การรวมกัน/การหามาได้

บุคลากร
– ความสามารถของพนักงาน
– สุขภาพและความปลอดภัย
– การตัดสินคุณค่า
– การปฏิบัติที่ปลอดภัย
– การดำเนินการขาย

กระบวนการ
– ความสามารถ
– การออกแบบ
– การดำเนินการ
– ผู้ขาย/การพึ่งพา

เทคโนโลยี
– ข้อมูล
– ข้อมูลและการได้มาซึ่งระบบ
– ความสามารถ
– ระบบ

ปัจจัยภายนอก พิจารณาจาก
เศรษฐกิจ
– การหาทุน
– เครดิต
– การลื่นไหลของตลาด การหาทุน กระแสเงินสด
– ตลาด ราคาตลาด อัตราดอกเบี้ย การว่างงาน อัตราแลกเปลี่ยน

ธุรกิจ
– ยี่ห้อ/ชื่อสินค้า
– การแข่งขัน
– พฤติกรรมผู้บริโภค
– คู่แข่ง
– ความลำเอียง
– มาตรฐานอุตสาหกรรม
– โครงสร้างความเป็นเจ้าของ
– สาธารณะ
– ความเกี่ยวข้องของผลิตภัณฑ์

เทคนิค
– การค้าอิเล็กทรอนิคส์
– ข้อมูลภายนอก
– การกระจายเทคโนโลยี

สภาพแวดล้อมทางธรรมชาติ
– พลังงาน
– ภัยธรรมชาติ
– การพัฒนาอย่างต่อเนื่อง
– การขนส่ง
– น้ำ
– ไฟ

การเมือง
– การเปลี่ยนรัฐบาล
– กฎหมาย
– นโยบายสาธารณะ
– กฎระเบียบ

สังคม
– ความเป็นประชากรขององค์กร
– ความเป็นส่วนตัว

ความเสี่ยงที่เด่นชัดและโอกาส
เหตุการณ์อาจทำให้เกิดผลทางด้านลบ ทางด้านบวก หรือทั้งสองด้าน เหตุการณ์ซึ่งส่งผลทางด้านลบเป็นเสมือนความเสี่ยง ซึ่งต้องการการประเมินค่าและตอบสนองจากผู้บริหาร ดังนั้น ความเสี่ยงคือความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้นและส่งผลอย่างเป็นปฏิปักษ์ต่อความสำเร็จของวัตถุประสงค์

ส่วนเหตุการณ์ซึ่งส่งผลทางบวกเป็นเสมือนโอกาสหรือการโต้ตอบผลลบของความเสี่ยง เหตุการณ์ที่เป็นเสมือนโอกาสจะถูกส่งกลับไปสู่กลยุทธ์ของผู้บริหารหรือในขั้นตอนการตั้งวัตถุประสงค์ เพื่อให้การกระทำสามารถก่อตัวเพื่อครอบงำโอกาส เหตุการณ์ที่โต้ตอบผลลบของความเสี่ยงจะถูกพิจารณา ในการประเมินค่าความเสี่ยงและการตอบสนองของผู้บริหาร

องค์ประกอบสำคัญของการระบุเหตุการณ์

องค์ประกอบสำคัญของการระบุเหตุการณ์

ครั้งหน้าผมจะกล่าวถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ในกระบวนการขั้นถัดไปคือ การประเมินความเสี่ยง ซึ่งเป็นขั้นตอนที่ผู้บริหารองค์กรทั้งหลายไม่ควรพลาดครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความมั่นคง ความปลอดภัยระดับประเทศกับการบริหารความเสี่ยงที่ยอมรับได้ (Risk Appetite)

กรกฎาคม 8, 2009

ทุกท่านที่ได้อ่านข่าวต่าง ๆ ที่เกี่ยวกับประเทศเพื่อนบ้าน เช่น ประเทศทางทิศตะวันตกของไทย ได้ย้ายเมืองหลวงไปอยู่ในสถานที่ห่างไกล ซึ่งตามข่าวอ้างว่าเพื่อความปลอดภัยจากการถูกโจมตี และอื่น รวมทั้งมีข่าวเมื่อประมาณ 2 สัปดาห์ที่ผ่านมาว่า ประเทศเพื่อนบ้านนี้ได้สร้างอุโมงค์ลับเป็นร้อย ๆ อุโมงค์ ในแต่ละอุโมงค์มีขนาดใหญ่ที่สามารถให้รถบรรทุกทหาร 2 คันวิ่งสวนกันได้ และมีระดับความสูงเพียงพอที่อาจจะใช้เป็นที่เก็บจรวดและยุทโธปกรณ์ขนาดใหญ่ได้ การสร้างอุโมงค์นี้มีหลายสิบอุโมงค์ที่สร้างลอดช่องเขาที่เรียบชายแดนไทยไปทางตอนใต้++

ตามข่าวประเทศเพื่อนบ้านนี้ได้สร้างอุโมงค์ที่ว่านี้ตั้งแต่ปี 2539 โดยได้รับความร่วมมือจากต่างประเทศที่ปัจจุบันมีอาวุธนิวเคลียร์ไว้ในความครอบครองแล้ว นอกเหนือจากการทดลองขีปนาวุธที่สามารถยิงไกลได้ถึงรัฐอลาสก้า ประเทศสหรัฐอเมริกา เป็นระยะทางประมาณ 8,000 ไมล์ ที่เป็นข่าวครึกโครมกันไปทั่วโลก+++

และจากข่าวที่เรือบรรทุกผลิตภัณฑ์ขนาดหนักที่กำลังมุ่งหน้าไปทางประเทศเพื่อนบ้านแห่งนี้ ได้ถูกระบุจากข่าวต่างประเทศว่า อาจบรรทุกยุทโธปกรณ์ขนาดหนัก ซึ่งก็ได้ดำเนินการมานานพอสมควรแล้วนั้น ทางกองทัพไทย กระทรวงกลาโหม หน่วยงานความมั่นคงต่าง ๆ ของไทย ทั้งทหารและพลเรือน มีกระบวนการบริหารความเสี่ยงที่เต็มรูปแบบและพร้อมรับมือกับสถานะการณ์ต่าง ๆ เหตุการณ์ต่าง ๆ ที่อาจเกิดขึ้นและเป็นไปในทางลบ ถึงลบมาก ซึ่งอาจจะเรียกได้ว่าหากเกิดเหตุการณ์ขึ้นจริง ผลกระทบที่เกิดขึ้นอาจเกินกว่าที่ประเทศไทยยอมรับได้หรือไม่

การกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ อันเกิดจากความเสียหายที่จะต้องสร้างสถานะการณ์จำลอง ควบคู่กันไปกับการวิเคราะห์ความเสี่ยง โดยใช้เทคนิค What if… ? เพื่อหาคำตอบ และตามด้วยคำถามจากคำตอบนั้นสลับกันไป ก็น่าจะได้การกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ (Risk Apptite) ซึ่งเป็นเรื่องของความมั่นคงระดับประเทศและเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวด พร้อมทั้งการกำหนดยุทธศาสตร์ และนโยบาย รวมทั้งแผนการปฏิบัติการ โดยกำหนดเจ้าภาพ/หน่วยงานที่รับผิดชอบ ตามระดับความเสี่ยง ซึ่งสากลกำหนดไว้ที่ 5 ระดับ และมีการซักซ้อมกันอย่างเหมาะสม+++

เนื่องจากผมมิได้อยู่ในวงการทหาร แต่มีความห่วงใยและกังวลใจในฐานะที่เป็นประชาชนคนไทยคนหนึ่งที่ต้องการเห็นความพร้อมรับมือในทุกรูปแบบ ในทุกสถานการณ์ และทุกเหตุการณ์ในอนาคตที่อาจเกิดขึ้นได้ เพราะการป้องกันเชิงรุก คือการบริหารความเสี่ยงอย่างเป็นระบบย่อมดีกว่าการป้องกันเชิงรับที่ขาดยุทธศาสตร์การดำเนินงานที่เหมาะสมในระดับชาติ

หากมีโอกาสผมจะใคร่ขอออกความเห็นในการสร้างสถานการณ์จำลองตามเทคนิค What if.. ? เพื่อประเมินความพร้อมต่อระบบความมั่นคงของชาติในแง่มุมต่าง ๆ เพราะเรื่องนี้ผู้ที่มีความพร้อมกว่าเท่านั้นจะเป็นผู้ที่ได้เปรียบในรูปแบบต่าง ๆ ซึ่งจะเกิดดุลยภาพทางด้านความมั่นคงของประเทศ และระดับภูมิภาคได้อย่างมั่นใจ

หากมีคำถามว่า หน่วยงานราชการ หน่วยงานความมั่นคง หน่วยงานทางด้านสังคม หน่วยงานทางเศรษฐกิจและการเงิน มีความเข้าใจและมีการเรียนการสอนในระดับสูงถึงการบริหารความเสี่ยงอย่างเป็นกระบวนการหรือไม่ ส่วนใหญ่ก็จะได้คำตอบว่า “เรามีการบริหารความเสี่ยงกันอยู่แล้ว โดยยกตัวอย่างประกอบ เช่นอย่างนั้น เช่นอย่างนี้ อยู่เสมอ ๆ” แต่โดยแท้ที่จริงหน่วยงานภาครัฐหลายหน่วยงานยังขาดการเรียนการสอนกระบวนการบริหารความเสี่ยงอย่างครบถ้วนและเป็นกระบวนการที่แท้จริง แต่มีการบริหารความเสี่ยงเป็นเรื่อง ๆ เป็นส่วน ๆ โดยขาดการบริหารความเสี่ยงในระดับประเทศที่มีการประสานงานในระหว่างหน่วยงานความมั่นคง และหน่วยงานต่าง ๆ ในลักษณะที่เป็นบูรณาการอย่างแท้จริง

การกำหนดระดับความเสี่ยงของประเทศที่ยอมรับได้ (Risk Appetite) เป็นเรื่องสำคัญยิ่ง และต้องดำเนินการก่อนที่จะมีการกำหนดยุทธศาสตร์ ยูทธวิธี นโยบาย และแนวทางจัดการที่เหมาะสม

การกำหนดระดับความเสี่ยงของประเทศที่ยอมรับได้ (Risk Appetite) เป็นเรื่องสำคัญยิ่ง และต้องดำเนินการก่อนที่จะมีการกำหนดยุทธศาสตร์ ยูทธวิธี นโยบาย และแนวทางจัดการที่เหมาะสม

ในโอกาสต่อ ๆ ไป ผมจะใช้หลักการประเมินความพร้อมด้านความมั่นคงในแง่มุมต่าง ๆ โดยจำลองสถานการณ์ที่เป็นไปได้ เพื่อประเมินยุทธศาสตร์และแนวทางการดำเนินการตามสถานการณ์ที่ไม่อาจยอมรับได้ว่า หน่วยงานนั้น ๆ มีความพร้อมเพียงใดที่จะจัดการกับสถานการณ์ที่เกิดขึ้น มีหน่วยงานใดเป็นเจ้าภาพ และเป็นผู้ตัดสินใจ เป็นผู้สั่งการ หรือต้องจัดให้มีการประชุมโดยใช้เวลาอีกหลายชั่วโมงในการดำเนินการกับเหตุการณ์ที่อาจสร้างความเสียหายที่ไม่อาจยอมรับได้ ซึ่งเหตุการณ์เหล่านี้จะต้องมีแนวการปฏิบัติที่เหมาะสมและเป็นรูปธรรมอย่างจริงจัง

เราจะกลับมาคุยกันในมุมมองของความมั่นคงทางด้านตะวันตกในภายหลังนะครับ

คราวนี้เราลองหันมามองทางทิศตะวันออกของไทยกันบ้าง เช่นเดียวกับที่ได้เกริ่นทางด้านความมั่นคง ความปลอดภัยระดับชาติกับการประเมินความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ ตามที่กล่าวไปแล้ว+++ เรามาตั้งคำถามง่าย ๆ ว่า…

“ทำไมประเทศเล็ก ๆ ที่มีกำลังน้อยกว่าเราในทุกรูปแบบ จึงสามารถข่มขู่หรือใช้วาจาในลักษณะไม่เคารพศักดิ์ศรี ไม่ให้ความเกรงใจประเทศที่ใหญ่กว่าอย่างประเทศไทยเราได้” และ

“ทำไมเราจึงยอมให้มีการสร้างวัด หรือสร้างอาคารในเนื้อที่ของประเทศไทย และมีชาวต่างชาติที่อาจเป็นทหารในรูปแบบของประชาชนมาอยู่ในอาณาเขตของประเทศไทย ซึ่งต่อมาได้กลายเป็นกรณีพิพาทระหว่างประเทศ จนกระทั่งกำลังทหารทั้ง 2 ฝ่าย เผชิญหน้าในลักษณะใกล้ชิดกันอย่างยิ่ง (เก็บตกจากเนื้อข่าวต่าง ๆ)

สำหรับความเห็นส่วนตัวของผม เหตุการณ์ดังกล่าวข้างต้นไม่น่ายอมรับได้ในสภาวะแวดล้อมที่เกิดขึ้นแบบนี้ เพราะเป็นความเสี่ยงทั้ง 2 ฝ่าย ถ้าหากขาดความอดทนซึ่งกันและกัน ซึ่งเป็นเรื่องที่น่าจะหลีกเลี่ยงได้ ถ้ามีการบริหารความเสี่ยง มีการป้องกันหรือควบคุม และมีการจัดการอย่างเป็นระบบภายใต้กรอบความเสี่ยงที่ยอมรับได้ตั้งแต่แรก ๆ ซึ่งเป็นไปตามหลักการบริหารความเสี่ยงสากล ที่ใช้แนวทางของ COSO – Enterprise Risk Management เป็นต้น”

ผลที่ตามมา ถ้าหากมีการบริหารความเสี่ยงในเชิงบูรณาการและมีการสอดประสานงานกันอย่างใกล้ชิด และเป็นระบบก็น่าจะลดความตึงเครียดและความเข้าใจผิดที่อาจจะเกิดขึ้นได้เป็นอย่างดี

ลองหันไปดูทางทิศใต้ของประเทศไทย เป็นความยากอย่างยิ่งในการออกความเห็นของผมในสถานการณ์ที่อ่อนไหวมาก ๆ ในปัจจุบัน++ อย่างไรก็ดี หากผู้บริหารระดับประเทศใช้หลักการของ COSO – ERM พร้อมกับการวางกลยุทธ์และนโยบายที่เหมาะสม โดยมองอนาคตและเหตุการณ์ที่อาจควบคุมได้อย่างเป็นระบบ ทั้งเชิงรุกและเชิงรับ ก็อาจมีแนวทางบางประการที่แตกต่างจากที่เป็นอยู่ก็ได้นะครับ

วันนี้ ผมได้นำหลักการบริหารความเสี่ยงของประเทศที่ใช้หลักการบริหารความเสี่ยงขององค์กรมาอธิบายในระดับหนึ่ง ซึ่งผมเข้าใจว่าน่าจะได้ประโยชน์พอสมควร โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เป็นความมั่นคงของประเทศ น่าจะเป็นเรื่องที่ต้องช่วยกันคิด ช่วยกันออกความเห็น ในระดับประชาชน และท้องถิ่น เช่นเดียวกับการควบคุมภายในตามฐานความเสี่ยงเป็นหน้าที่ของบุคคลทุกคนภายในองค์กรนั้น ตั้งแต่คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงาน โดยมีความรับผิดชอบที่แตกต่างกันออกไป

เป็นเรื่องแปลกแต่จริงก็คือ สำนักงานตรวจเงินแผ่นดินได้มีการสำรวจความรู้ ความเข้าใจในเรื่องการควบคุมภายใน ตามฐานความเสี่ยงทั่วประเทศมาแล้ว ผลที่ออกมาเป็นเรื่องที่น่าใจหายอย่างยิ่ง เพราะผู้บริหารระดับสูง ผู้บริหารระดับกลาง ต่างก็เข้าใจไม่ถูกต้องตามหลักการของ COSO – ERM กันเป็นส่วนใหญ่ ถึงร้อยละประมาณ 80% ของการสำรวจในหน่วยงาน 500 กว่าแห่ง ซึ่งให้เห็นแสดงว่าควรจะมีการร่วมด้วยช่วยกันในเรื่องของกระบวนการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในอย่างเป็นระบบ

ท่านที่อ่านมาถึงตอนนี้ อาจจะมีความเข้าใจที่แตกต่างกันบ้างในบางมุมมอง เพราะผมยังไม่ได้ลงในรายละเอียดต่าง ๆ เช่น การอธิบายถึงคำว่า กระบวนการบริหารความเสี่ยงหมายถึงอะไร และทำไมจึงต้องมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ (Risk Appetite) และระดับความเบี่ยงเบนที่อาจเกิดขึ้น (Risk Tolerance) มิฉะนั้น การวางยุทธศาสตร์ นโยบาย การกำหนดเป้าหมาย อาจไม่เป็นไปตามพันธกิจ และวิสัยทัศน์ของประเทศทางด้านความมั่นคงที่ต้องถ่ายทอดไปยังแผนการปฏิบัติที่เป็นรูปธรรม และการประสานงานอย่างบูรณาการก็จะเกิดขึ้นอย่างไม่สมบูรณ์ ซึ่งเป็นที่มาของประสิทธิภาพและประสิทธิผลทางด้านความมั่นคง รวมทั้งการบริหารจัดการในเรื่องต่าง ๆ ที่เกี่ยวข้อง

นี่คือที่มาของความเป็นห่วงใยของประชาชนคนหนึ่ง ที่พยายามจะนำหลักการทางวิชาการมาประยุกต์ใช้ในการบริหารและการจัดการในทุกองค์กร เพื่อก้าวสู่กระบวนการจัดการทางด้านความมั่นคงและความปลอดภัยของประเทศชาติอันเป็นที่รักยิ่งของเราทุกคน

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความมั่นคง ความปลอดภัยระดับประเทศกับการบริหารความเสี่ยงที่ยอมรับได้ (Risk Appetite)

กรกฎาคม 8, 2009

ทุกท่านที่ได้อ่านข่าวต่าง ๆ ที่เกี่ยวกับประเทศเพื่อนบ้าน เช่น ประเทศทางทิศตะวันตกของไทย ได้ย้ายเมืองหลวงไปอยู่ในสถานที่ห่างไกล ซึ่งตามข่าวอ้างว่าเพื่อความปลอดภัยจากการถูกโจมตี และอื่น รวมทั้งมีข่าวเมื่อประมาณ 2 สัปดาห์ที่ผ่านมาว่า ประเทศเพื่อนบ้านนี้ได้สร้างอุโมงค์ลับเป็นร้อย ๆ อุโมงค์ ในแต่ละอุโมงค์มีขนาดใหญ่ที่สามารถให้รถบรรทุกทหาร 2 คันวิ่งสวนกันได้ และมีระดับความสูงเพียงพอที่อาจจะใช้เป็นที่เก็บจรวดและยุทโธปกรณ์ขนาดใหญ่ได้ การสร้างอุโมงค์นี้มีหลายสิบอุโมงค์ที่สร้างลอดช่องเขาที่เรียบชายแดนไทยไปทางตอนใต้++

ตามข่าวประเทศเพื่อนบ้านนี้ได้สร้างอุโมงค์ที่ว่านี้ตั้งแต่ปี 2539 โดยได้รับความร่วมมือจากต่างประเทศที่ปัจจุบันมีอาวุธนิวเคลียร์ไว้ในความครอบครองแล้ว นอกเหนือจากการทดลองขีปนาวุธที่สามารถยิงไกลได้ถึงรัฐอลาสก้า ประเทศสหรัฐอเมริกา เป็นระยะทางประมาณ 8,000 ไมล์ ที่เป็นข่าวครึกโครมกันไปทั่วโลก+++

และจากข่าวที่เรือบรรทุกผลิตภัณฑ์ขนาดหนักที่กำลังมุ่งหน้าไปทางประเทศเพื่อนบ้านแห่งนี้ ได้ถูกระบุจากข่าวต่างประเทศว่า อาจบรรทุกยุทโธปกรณ์ขนาดหนัก ซึ่งก็ได้ดำเนินการมานานพอสมควรแล้วนั้น ทางกองทัพไทย กระทรวงกลาโหม หน่วยงานความมั่นคงต่าง ๆ ของไทย ทั้งทหารและพลเรือน มีกระบวนการบริหารความเสี่ยงที่เต็มรูปแบบและพร้อมรับมือกับสถานะการณ์ต่าง ๆ เหตุการณ์ต่าง ๆ ที่อาจเกิดขึ้นและเป็นไปในทางลบ ถึงลบมาก ซึ่งอาจจะเรียกได้ว่าหากเกิดเหตุการณ์ขึ้นจริง ผลกระทบที่เกิดขึ้นอาจเกินกว่าที่ประเทศไทยยอมรับได้หรือไม่

การกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ อันเกิดจากความเสียหายที่จะต้องสร้างสถานะการณ์จำลอง ควบคู่กันไปกับการวิเคราะห์ความเสี่ยง โดยใช้เทคนิค What if… ? เพื่อหาคำตอบ และตามด้วยคำถามจากคำตอบนั้นสลับกันไป ก็น่าจะได้การกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ (Risk Apptite) ซึ่งเป็นเรื่องของความมั่นคงระดับประเทศและเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวด พร้อมทั้งการกำหนดยุทธศาสตร์ และนโยบาย รวมทั้งแผนการปฏิบัติการ โดยกำหนดเจ้าภาพ/หน่วยงานที่รับผิดชอบ ตามระดับความเสี่ยง ซึ่งสากลกำหนดไว้ที่ 5 ระดับ และมีการซักซ้อมกันอย่างเหมาะสม+++

เนื่องจากผมมิได้อยู่ในวงการทหาร แต่มีความห่วงใยและกังวลใจในฐานะที่เป็นประชาชนคนไทยคนหนึ่งที่ต้องการเห็นความพร้อมรับมือในทุกรูปแบบ ในทุกสถานการณ์ และทุกเหตุการณ์ในอนาคตที่อาจเกิดขึ้นได้ เพราะการป้องกันเชิงรุก คือการบริหารความเสี่ยงอย่างเป็นระบบย่อมดีกว่าการป้องกันเชิงรับที่ขาดยุทธศาสตร์การดำเนินงานที่เหมาะสมในระดับชาติ

หากมีโอกาสผมจะใคร่ขอออกความเห็นในการสร้างสถานการณ์จำลองตามเทคนิค What if.. ? เพื่อประเมินความพร้อมต่อระบบความมั่นคงของชาติในแง่มุมต่าง ๆ เพราะเรื่องนี้ผู้ที่มีความพร้อมกว่าเท่านั้นจะเป็นผู้ที่ได้เปรียบในรูปแบบต่าง ๆ ซึ่งจะเกิดดุลยภาพทางด้านความมั่นคงของประเทศ และระดับภูมิภาคได้อย่างมั่นใจ

หากมีคำถามว่า หน่วยงานราชการ หน่วยงานความมั่นคง หน่วยงานทางด้านสังคม หน่วยงานทางเศรษฐกิจและการเงิน มีความเข้าใจและมีการเรียนการสอนในระดับสูงถึงการบริหารความเสี่ยงอย่างเป็นกระบวนการหรือไม่ ส่วนใหญ่ก็จะได้คำตอบว่า “เรามีการบริหารความเสี่ยงกันอยู่แล้ว โดยยกตัวอย่างประกอบ เช่นอย่างนั้น เช่นอย่างนี้ อยู่เสมอ ๆ” แต่โดยแท้ที่จริงหน่วยงานภาครัฐหลายหน่วยงานยังขาดการเรียนการสอนกระบวนการบริหารความเสี่ยงอย่างครบถ้วนและเป็นกระบวนการที่แท้จริง แต่มีการบริหารความเสี่ยงเป็นเรื่อง ๆ เป็นส่วน ๆ โดยขาดการบริหารความเสี่ยงในระดับประเทศที่มีการประสานงานในระหว่างหน่วยงานความมั่นคง และหน่วยงานต่าง ๆ ในลักษณะที่เป็นบูรณาการอย่างแท้จริง

การกำหนดระดับความเสี่ยงของประเทศที่ยอมรับได้ (Risk Appetite) เป็นเรื่องสำคัญยิ่ง และต้องดำเนินการก่อนที่จะมีการกำหนดยุทธศาสตร์ ยูทธวิธี นโยบาย และแนวทางจัดการที่เหมาะสม

การกำหนดระดับความเสี่ยงของประเทศที่ยอมรับได้ (Risk Appetite) เป็นเรื่องสำคัญยิ่ง และต้องดำเนินการก่อนที่จะมีการกำหนดยุทธศาสตร์ ยูทธวิธี นโยบาย และแนวทางจัดการที่เหมาะสม

ในโอกาสต่อ ๆ ไป ผมจะใช้หลักการประเมินความพร้อมด้านความมั่นคงในแง่มุมต่าง ๆ โดยจำลองสถานการณ์ที่เป็นไปได้ เพื่อประเมินยุทธศาสตร์และแนวทางการดำเนินการตามสถานการณ์ที่ไม่อาจยอมรับได้ว่า หน่วยงานนั้น ๆ มีความพร้อมเพียงใดที่จะจัดการกับสถานการณ์ที่เกิดขึ้น มีหน่วยงานใดเป็นเจ้าภาพ และเป็นผู้ตัดสินใจ เป็นผู้สั่งการ หรือต้องจัดให้มีการประชุมโดยใช้เวลาอีกหลายชั่วโมงในการดำเนินการกับเหตุการณ์ที่อาจสร้างความเสียหายที่ไม่อาจยอมรับได้ ซึ่งเหตุการณ์เหล่านี้จะต้องมีแนวการปฏิบัติที่เหมาะสมและเป็นรูปธรรมอย่างจริงจัง

เราจะกลับมาคุยกันในมุมมองของความมั่นคงทางด้านตะวันตกในภายหลังนะครับ

คราวนี้เราลองหันมามองทางทิศตะวันออกของไทยกันบ้าง เช่นเดียวกับที่ได้เกริ่นทางด้านความมั่นคง ความปลอดภัยระดับชาติกับการประเมินความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ ตามที่กล่าวไปแล้ว+++ เรามาตั้งคำถามง่าย ๆ ว่า…

“ทำไมประเทศเล็ก ๆ ที่มีกำลังน้อยกว่าเราในทุกรูปแบบ จึงสามารถข่มขู่หรือใช้วาจาในลักษณะไม่เคารพศักดิ์ศรี ไม่ให้ความเกรงใจประเทศที่ใหญ่กว่าอย่างประเทศไทยเราได้” และ

“ทำไมเราจึงยอมให้มีการสร้างวัด หรือสร้างอาคารในเนื้อที่ของประเทศไทย และมีชาวต่างชาติที่อาจเป็นทหารในรูปแบบของประชาชนมาอยู่ในอาณาเขตของประเทศไทย ซึ่งต่อมาได้กลายเป็นกรณีพิพาทระหว่างประเทศ จนกระทั่งกำลังทหารทั้ง 2 ฝ่าย เผชิญหน้าในลักษณะใกล้ชิดกันอย่างยิ่ง (เก็บตกจากเนื้อข่าวต่าง ๆ)

สำหรับความเห็นส่วนตัวของผม เหตุการณ์ดังกล่าวข้างต้นไม่น่ายอมรับได้ในสภาวะแวดล้อมที่เกิดขึ้นแบบนี้ เพราะเป็นความเสี่ยงทั้ง 2 ฝ่าย ถ้าหากขาดความอดทนซึ่งกันและกัน ซึ่งเป็นเรื่องที่น่าจะหลีกเลี่ยงได้ ถ้ามีการบริหารความเสี่ยง มีการป้องกันหรือควบคุม และมีการจัดการอย่างเป็นระบบภายใต้กรอบความเสี่ยงที่ยอมรับได้ตั้งแต่แรก ๆ ซึ่งเป็นไปตามหลักการบริหารความเสี่ยงสากล ที่ใช้แนวทางของ COSO – Enterprise Risk Management เป็นต้น”

ผลที่ตามมา ถ้าหากมีการบริหารความเสี่ยงในเชิงบูรณาการและมีการสอดประสานงานกันอย่างใกล้ชิด และเป็นระบบก็น่าจะลดความตึงเครียดและความเข้าใจผิดที่อาจจะเกิดขึ้นได้เป็นอย่างดี

ลองหันไปดูทางทิศใต้ของประเทศไทย เป็นความยากอย่างยิ่งในการออกความเห็นของผมในสถานการณ์ที่อ่อนไหวมาก ๆ ในปัจจุบัน++ อย่างไรก็ดี หากผู้บริหารระดับประเทศใช้หลักการของ COSO – ERM พร้อมกับการวางกลยุทธ์และนโยบายที่เหมาะสม โดยมองอนาคตและเหตุการณ์ที่อาจควบคุมได้อย่างเป็นระบบ ทั้งเชิงรุกและเชิงรับ ก็อาจมีแนวทางบางประการที่แตกต่างจากที่เป็นอยู่ก็ได้นะครับ

วันนี้ ผมได้นำหลักการบริหารความเสี่ยงของประเทศที่ใช้หลักการบริหารความเสี่ยงขององค์กรมาอธิบายในระดับหนึ่ง ซึ่งผมเข้าใจว่าน่าจะได้ประโยชน์พอสมควร โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เป็นความมั่นคงของประเทศ น่าจะเป็นเรื่องที่ต้องช่วยกันคิด ช่วยกันออกความเห็น ในระดับประชาชน และท้องถิ่น เช่นเดียวกับการควบคุมภายในตามฐานความเสี่ยงเป็นหน้าที่ของบุคคลทุกคนภายในองค์กรนั้น ตั้งแต่คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงาน โดยมีความรับผิดชอบที่แตกต่างกันออกไป

เป็นเรื่องแปลกแต่จริงก็คือ สำนักงานตรวจเงินแผ่นดินได้มีการสำรวจความรู้ ความเข้าใจในเรื่องการควบคุมภายใน ตามฐานความเสี่ยงทั่วประเทศมาแล้ว ผลที่ออกมาเป็นเรื่องที่น่าใจหายอย่างยิ่ง เพราะผู้บริหารระดับสูง ผู้บริหารระดับกลาง ต่างก็เข้าใจไม่ถูกต้องตามหลักการของ COSO – ERM กันเป็นส่วนใหญ่ ถึงร้อยละประมาณ 80% ของการสำรวจในหน่วยงาน 500 กว่าแห่ง ซึ่งให้เห็นแสดงว่าควรจะมีการร่วมด้วยช่วยกันในเรื่องของกระบวนการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในอย่างเป็นระบบ

ท่านที่อ่านมาถึงตอนนี้ อาจจะมีความเข้าใจที่แตกต่างกันบ้างในบางมุมมอง เพราะผมยังไม่ได้ลงในรายละเอียดต่าง ๆ เช่น การอธิบายถึงคำว่า กระบวนการบริหารความเสี่ยงหมายถึงอะไร และทำไมจึงต้องมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ (Risk Appetite) และระดับความเบี่ยงเบนที่อาจเกิดขึ้น (Risk Tolerance) มิฉะนั้น การวางยุทธศาสตร์ นโยบาย การกำหนดเป้าหมาย อาจไม่เป็นไปตามพันธกิจ และวิสัยทัศน์ของประเทศทางด้านความมั่นคงที่ต้องถ่ายทอดไปยังแผนการปฏิบัติที่เป็นรูปธรรม และการประสานงานอย่างบูรณาการก็จะเกิดขึ้นอย่างไม่สมบูรณ์ ซึ่งเป็นที่มาของประสิทธิภาพและประสิทธิผลทางด้านความมั่นคง รวมทั้งการบริหารจัดการในเรื่องต่าง ๆ ที่เกี่ยวข้อง

นี่คือที่มาของความเป็นห่วงใยของประชาชนคนหนึ่ง ที่พยายามจะนำหลักการทางวิชาการมาประยุกต์ใช้ในการบริหารและการจัดการในทุกองค์กร เพื่อก้าวสู่กระบวนการจัดการทางด้านความมั่นคงและความปลอดภัยของประเทศชาติอันเป็นที่รักยิ่งของเราทุกคน

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 8, 2009

ช่วงนี้อากาศเย็นเพราะฝนตกบ่อย ผมอยู่นอกบ้านอากาศเย็นถึงกับหนาว ๆ อยู่บ้าง พอกลับเข้ามาในบ้านก็รู้สึกอบอุ่นขึ้นมาหน่อย หลายท่านก็ต้องระวังจะไม่สบายตามฝนฟ้าอากาศด้วยนะครับ สำหรับวันนี้ผมจะมาเล่าต่อถึงการจัดกลุ่มของเหตุการณ์จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน

การจัดกลุ่มเหตุการณ์
การจัดเหตุการณ์แฝงให้เป็นกลุ่มอาจเป็นสิ่งที่มีประโยชน์ การรวบรวมเหตุการณ์ระหว่างองค์กรและภายในส่วนงานต่าง ๆ ขององค์กรนั้น ผู้บริหารจะพัฒนาความเข้าใจของความสัมพันธ์กันระหว่างเหตุการณ์ได้รับข้อมูลเพิ่มขึ้น เพื่อใช้เป็นพื้นฐานในการประเมินค่าความเสี่ยงในการจัดกลุ่มเหตุการณ์แฝงที่เหมือนกัน ผู้บริหารจะสามารถกำหนดโอกาสและความเสี่ยงได้ดียิ่งขึ้น
การแบ่งกลุ่มเหตุการณ์ทำให้ผู้บริหารได้พิจารณาถึงความสมบูรณ์ของความพยายามที่จะแยกแยะเหตุการณ์ จากการตรวจสอบเหตุการณ์แฝงในกลุ่มนี้ ผู้บริหารสามารถวัดได้ว่ามีการแยกแยะความสำคัญของเหตุการณ์แฝงซึ่งสัมพันธ์กับการผิดพลาดของกิจกรรมต่าง ๆ ที่เกี่ยวข้องได้หรือไม่

ยิ่งไปกว่านั้น การจัดกลุ่มเหตุการณ์สามารถเสริมภาพเหตุการณ์ ประวัติขององค์กรต่าง ๆ บางองค์กรได้พัฒนาการแบ่งกลุ่มเหตุการณ์บนพื้นฐานของการจัดกลุ่มของวัตถุประสงค์การใช้ระดับขั้น ซึ่งเริ่มต้นด้วยวัตถุประสงค์ระดับสูงและลดหลั่นลงมาสู่วัตถุประสงค์ซึ่งเกี่ยวข้องกับหน่วยงานขององค์กร หรือการดำเนินธุรกิจ

ผู้บริหารต้องตระหนักว่ายังมีเหตุการณ์ที่มีความไม่แน่นอน ซึ่งไม่สามารถคาดการณ์ว่าจะเกิดอะไร เมื่อไร หรือส่งผลอย่างไร การกำหนดเหตุการณ์นี้คือผู้บริหารต้องพิจารณาปัจจัยทั้งภายนอกภายในที่มีผลทำให้เกิดเหตุการณ์ดังกล่าวขึ้น

ปัจจัยภายนอก รวมถึงสภาวะเศรษฐกิจ ธุรกิจ สภาพแวดล้อมทางธรรมชาติ การเมือง สังคมและเทคโนโลยีใหม่ ๆ ปัจจัยภายใน เช่นสาธารณูปโภคขั้นพื้นฐาน (Infrastructure) บุคลากร กระบวนการทำงาน หรือเทคโนโลยี

เหตุการณ์ที่มีความเป็นไปได้ว่าจะเกิดขึ้นมีผลกระทบได้ทั้งแง่บวกและแง่ลบ เหตุการณ์ที่มีผลกระทบในแง่บวกแสดงถึงโอกาส โอกาสสามารถนำไปกำหนดกลยุทธ์หรือกระบวนการในการกำหนดเป้าหมายหรือวัตถุประสงค์ขององค์กร เหตุการณ์ที่มีผลกระทบในแง่ลบแสดงถึงความเสี่ยงที่เกิดขึ้น ซึ่งฝ่ายจัดการต้องทำการประเมินและตอบสนองกับเหตุการณ์นั้น ความเสี่ยงที่ถูกกำหนดนั้นเป็นเหตุการณ์ที่เกิดขึ้นและมีผลกระทบต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายนอก เช่น
– ภาวะการเปลี่ยนแปลงของเทคโนโลยี
– ลูกค้าเปลี่ยนทัศนคติหรือความพึงพอใจต่อสินค้าหรือบริการ
– ภาวะการแข่งขันทางการตลาดทั้งสินค้าและบริการ
– กฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง
– สภาวะทางเศรษฐกิจ การค้า ความร่วมมือระหว่างประเทศ และสภาวะแวดล้อมภายนอกอื่น

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายในและระบบงาน เช่น
– ศักยภาพของบุคลากร กระบวนการบริหาร โครงสร้าง และการบริหารแผนงานขององค์กร
– ปริมาณและความซับซ้อนของรายการค้า การบริการ ผู้มีผลประโยชน์ร่วม และสาขางานที่เกี่ยวข้อง
– คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เพื่อการรายงาน เพื่อการบริหาร
– คุณภาพและความสามารถของพนักงาน ความขัดแย้งชิงดีชิงเด่นภายในองค์กร และนโยบายเกี่ยวกับการบริหารบุคลากรขององค์กร
– คุณภาพและการเปลี่ยนแปลง ฝ่ายบริหาร วิธีการบริหาร ระบบและวิธีการปฏิบัติงาน
– การคัดเลือกคณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่ไม่เหมาะสม ทำให้ได้ผู้ที่ไม่มีคุณภาพมากำกับดูแลงาน
– ความเพียงพอและประสิทธิผลการควบคุม

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

วิธีการจำแนกเหตุการณ์จากพื้นฐานของปัจจัยภายนอกและปัจจัยภายใน
ปัจจัยภายใน พิจารณาจาก
โครงสร้างพื้นฐาน
– สินทรัพย์ที่มีอยู่
– ความสามารถของสินทรัพย์
– การเข้าถึงทุน
– ความซับซ้อน
– การรวมกัน/การหามาได้

บุคลากร
– ความสามารถของพนักงาน
– สุขภาพและความปลอดภัย
– การตัดสินคุณค่า
– การปฏิบัติที่ปลอดภัย
– การดำเนินการขาย

กระบวนการ
– ความสามารถ
– การออกแบบ
– การดำเนินการ
– ผู้ขาย/การพึ่งพา

เทคโนโลยี
– ข้อมูล
– ข้อมูลและการได้มาซึ่งระบบ
– ความสามารถ
– ระบบ

ปัจจัยภายนอก พิจารณาจาก
เศรษฐกิจ
– การหาทุน
– เครดิต
– การลื่นไหลของตลาด การหาทุน กระแสเงินสด
– ตลาด ราคาตลาด อัตราดอกเบี้ย การว่างงาน อัตราแลกเปลี่ยน

ธุรกิจ
– ยี่ห้อ/ชื่อสินค้า
– การแข่งขัน
– พฤติกรรมผู้บริโภค
– คู่แข่ง
– ความลำเอียง
– มาตรฐานอุตสาหกรรม
– โครงสร้างความเป็นเจ้าของ
– สาธารณะ
– ความเกี่ยวข้องของผลิตภัณฑ์

เทคนิค
– การค้าอิเล็กทรอนิคส์
– ข้อมูลภายนอก
– การกระจายเทคโนโลยี

สภาพแวดล้อมทางธรรมชาติ
– พลังงาน
– ภัยธรรมชาติ
– การพัฒนาอย่างต่อเนื่อง
– การขนส่ง
– น้ำ
– ไฟ

การเมือง
– การเปลี่ยนรัฐบาล
– กฎหมาย
– นโยบายสาธารณะ
– กฎระเบียบ

สังคม
– ความเป็นประชากรขององค์กร
– ความเป็นส่วนตัว

ความเสี่ยงที่เด่นชัดและโอกาส
เหตุการณ์อาจทำให้เกิดผลทางด้านลบ ทางด้านบวก หรือทั้งสองด้าน เหตุการณ์ซึ่งส่งผลทางด้านลบเป็นเสมือนความเสี่ยง ซึ่งต้องการการประเมินค่าและตอบสนองจากผู้บริหาร ดังนั้น ความเสี่ยงคือความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้นและส่งผลอย่างเป็นปฏิปักษ์ต่อความสำเร็จของวัตถุประสงค์

ส่วนเหตุการณ์ซึ่งส่งผลทางบวกเป็นเสมือนโอกาสหรือการโต้ตอบผลลบของความเสี่ยง เหตุการณ์ที่เป็นเสมือนโอกาสจะถูกส่งกลับไปสู่กลยุทธ์ของผู้บริหารหรือในขั้นตอนการตั้งวัตถุประสงค์ เพื่อให้การกระทำสามารถก่อตัวเพื่อครอบงำโอกาส เหตุการณ์ที่โต้ตอบผลลบของความเสี่ยงจะถูกพิจารณา ในการประเมินค่าความเสี่ยงและการตอบสนองของผู้บริหาร

องค์ประกอบสำคัญของการระบุเหตุการณ์

องค์ประกอบสำคัญของการระบุเหตุการณ์

ครั้งหน้าผมจะกล่าวถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ในกระบวนการขั้นถัดไปคือ การประเมินความเสี่ยง ซึ่งเป็นขั้นตอนที่ผู้บริหารองค์กรทั้งหลายไม่ควรพลาดครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 6, 2009

ช่วงนี้อากาศเย็นเพราะฝนตกบ่อย ผมอยู่นอกบ้านอากาศเย็นถึงกับหนาว ๆ อยู่บ้าง พอกลับเข้ามาในบ้านก็รู้สึกอบอุ่นขึ้นมาหน่อย หลายท่านก็ต้องระวังจะไม่สบายตามฝนฟ้าอากาศด้วยนะครับ สำหรับวันนี้ผมจะมาเล่าต่อถึงการจัดกลุ่มของเหตุการณ์จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน

การจัดกลุ่มเหตุการณ์
การจัดเหตุการณ์แฝงให้เป็นกลุ่มอาจเป็นสิ่งที่มีประโยชน์ การรวบรวมเหตุการณ์ระหว่างองค์กรและภายในส่วนงานต่าง ๆ ขององค์กรนั้น ผู้บริหารจะพัฒนาความเข้าใจของความสัมพันธ์กันระหว่างเหตุการณ์ได้รับข้อมูลเพิ่มขึ้น เพื่อใช้เป็นพื้นฐานในการประเมินค่าความเสี่ยงในการจัดกลุ่มเหตุการณ์แฝงที่เหมือนกัน ผู้บริหารจะสามารถกำหนดโอกาสและความเสี่ยงได้ดียิ่งขึ้น
การแบ่งกลุ่มเหตุการณ์ทำให้ผู้บริหารได้พิจารณาถึงความสมบูรณ์ของความพยายามที่จะแยกแยะเหตุการณ์ จากการตรวจสอบเหตุการณ์แฝงในกลุ่มนี้ ผู้บริหารสามารถวัดได้ว่ามีการแยกแยะความสำคัญของเหตุการณ์แฝงซึ่งสัมพันธ์กับการผิดพลาดของกิจกรรมต่าง ๆ ที่เกี่ยวข้องได้หรือไม่

ยิ่งไปกว่านั้น การจัดกลุ่มเหตุการณ์สามารถเสริมภาพเหตุการณ์ ประวัติขององค์กรต่าง ๆ บางองค์กรได้พัฒนาการแบ่งกลุ่มเหตุการณ์บนพื้นฐานของการจัดกลุ่มของวัตถุประสงค์การใช้ระดับขั้น ซึ่งเริ่มต้นด้วยวัตถุประสงค์ระดับสูงและลดหลั่นลงมาสู่วัตถุประสงค์ซึ่งเกี่ยวข้องกับหน่วยงานขององค์กร หรือการดำเนินธุรกิจ

ผู้บริหารต้องตระหนักว่ายังมีเหตุการณ์ที่มีความไม่แน่นอน ซึ่งไม่สามารถคาดการณ์ว่าจะเกิดอะไร เมื่อไร หรือส่งผลอย่างไร การกำหนดเหตุการณ์นี้คือผู้บริหารต้องพิจารณาปัจจัยทั้งภายนอกภายในที่มีผลทำให้เกิดเหตุการณ์ดังกล่าวขึ้น

ปัจจัยภายนอก รวมถึงสภาวะเศรษฐกิจ ธุรกิจ สภาพแวดล้อมทางธรรมชาติ การเมือง สังคมและเทคโนโลยีใหม่ ๆ ปัจจัยภายใน เช่นสาธารณูปโภคขั้นพื้นฐาน (Infrastructure) บุคลากร กระบวนการทำงาน หรือเทคโนโลยี

เหตุการณ์ที่มีความเป็นไปได้ว่าจะเกิดขึ้นมีผลกระทบได้ทั้งแง่บวกและแง่ลบ เหตุการณ์ที่มีผลกระทบในแง่บวกแสดงถึงโอกาส โอกาสสามารถนำไปกำหนดกลยุทธ์หรือกระบวนการในการกำหนดเป้าหมายหรือวัตถุประสงค์ขององค์กร เหตุการณ์ที่มีผลกระทบในแง่ลบแสดงถึงความเสี่ยงที่เกิดขึ้น ซึ่งฝ่ายจัดการต้องทำการประเมินและตอบสนองกับเหตุการณ์นั้น ความเสี่ยงที่ถูกกำหนดนั้นเป็นเหตุการณ์ที่เกิดขึ้นและมีผลกระทบต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายนอก เช่น
– ภาวะการเปลี่ยนแปลงของเทคโนโลยี
– ลูกค้าเปลี่ยนทัศนคติหรือความพึงพอใจต่อสินค้าหรือบริการ
– ภาวะการแข่งขันทางการตลาดทั้งสินค้าและบริการ
– กฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง
– สภาวะทางเศรษฐกิจ การค้า ความร่วมมือระหว่างประเทศ และสภาวะแวดล้อมภายนอกอื่น

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายในและระบบงาน เช่น
– ศักยภาพของบุคลากร กระบวนการบริหาร โครงสร้าง และการบริหารแผนงานขององค์กร
– ปริมาณและความซับซ้อนของรายการค้า การบริการ ผู้มีผลประโยชน์ร่วม และสาขางานที่เกี่ยวข้อง
– คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เพื่อการรายงาน เพื่อการบริหาร
– คุณภาพและความสามารถของพนักงาน ความขัดแย้งชิงดีชิงเด่นภายในองค์กร และนโยบายเกี่ยวกับการบริหารบุคลากรขององค์กร
– คุณภาพและการเปลี่ยนแปลง ฝ่ายบริหาร วิธีการบริหาร ระบบและวิธีการปฏิบัติงาน
– การคัดเลือกคณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่ไม่เหมาะสม ทำให้ได้ผู้ที่ไม่มีคุณภาพมากำกับดูแลงาน
– ความเพียงพอและประสิทธิผลการควบคุม

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

วิธีการจำแนกเหตุการณ์จากพื้นฐานของปัจจัยภายนอกและปัจจัยภายใน
ปัจจัยภายใน พิจารณาจาก
โครงสร้างพื้นฐาน
– สินทรัพย์ที่มีอยู่
– ความสามารถของสินทรัพย์
– การเข้าถึงทุน
– ความซับซ้อน
– การรวมกัน/การหามาได้

บุคลากร
– ความสามารถของพนักงาน
– สุขภาพและความปลอดภัย
– การตัดสินคุณค่า
– การปฏิบัติที่ปลอดภัย
– การดำเนินการขาย

กระบวนการ
– ความสามารถ
– การออกแบบ
– การดำเนินการ
– ผู้ขาย/การพึ่งพา

เทคโนโลยี
– ข้อมูล
– ข้อมูลและการได้มาซึ่งระบบ
– ความสามารถ
– ระบบ

ปัจจัยภายนอก พิจารณาจาก
เศรษฐกิจ
– การหาทุน
– เครดิต
– การลื่นไหลของตลาด การหาทุน กระแสเงินสด
– ตลาด ราคาตลาด อัตราดอกเบี้ย การว่างงาน อัตราแลกเปลี่ยน

ธุรกิจ
– ยี่ห้อ/ชื่อสินค้า
– การแข่งขัน
– พฤติกรรมผู้บริโภค
– คู่แข่ง
– ความลำเอียง
– มาตรฐานอุตสาหกรรม
– โครงสร้างความเป็นเจ้าของ
– สาธารณะ
– ความเกี่ยวข้องของผลิตภัณฑ์

เทคนิค
– การค้าอิเล็กทรอนิคส์
– ข้อมูลภายนอก
– การกระจายเทคโนโลยี

สภาพแวดล้อมทางธรรมชาติ
– พลังงาน
– ภัยธรรมชาติ
– การพัฒนาอย่างต่อเนื่อง
– การขนส่ง
– น้ำ
– ไฟ

การเมือง
– การเปลี่ยนรัฐบาล
– กฎหมาย
– นโยบายสาธารณะ
– กฎระเบียบ

สังคม
– ความเป็นประชากรขององค์กร
– ความเป็นส่วนตัว

ความเสี่ยงที่เด่นชัดและโอกาส
เหตุการณ์อาจทำให้เกิดผลทางด้านลบ ทางด้านบวก หรือทั้งสองด้าน เหตุการณ์ซึ่งส่งผลทางด้านลบเป็นเสมือนความเสี่ยง ซึ่งต้องการการประเมินค่าและตอบสนองจากผู้บริหาร ดังนั้น ความเสี่ยงคือความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้นและส่งผลอย่างเป็นปฏิปักษ์ต่อความสำเร็จของวัตถุประสงค์

ส่วนเหตุการณ์ซึ่งส่งผลทางบวกเป็นเสมือนโอกาสหรือการโต้ตอบผลลบของความเสี่ยง เหตุการณ์ที่เป็นเสมือนโอกาสจะถูกส่งกลับไปสู่กลยุทธ์ของผู้บริหารหรือในขั้นตอนการตั้งวัตถุประสงค์ เพื่อให้การกระทำสามารถก่อตัวเพื่อครอบงำโอกาส เหตุการณ์ที่โต้ตอบผลลบของความเสี่ยงจะถูกพิจารณา ในการประเมินค่าความเสี่ยงและการตอบสนองของผู้บริหาร

องค์ประกอบสำคัญของการระบุเหตุการณ์

องค์ประกอบสำคัญของการระบุเหตุการณ์

ครั้งหน้าผมจะกล่าวถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ในกระบวนการขั้นถัดไปคือ การประเมินความเสี่ยง ซึ่งเป็นขั้นตอนที่ผู้บริหารองค์กรทั้งหลายไม่ควรพลาดครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »