แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 13, 2009

จากครั้งที่แล้วผมได้พูดถึงการกำหนดวัตถุประสงค์ตามหลัก SMART ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในขององค์กร ประการที่ 2 ตามหลัก COSO – ERM ทั้ง 8 ประการ นั่นคือ การกำหนดวัตถุประสงค์ ดังที่ได้เคยกล่าวไว้และแสดงเป็นแผนภาพขั้นตอนของกระบวนการบริหารความเสี่ยงองค์กรในครั้งที่ผ่าน ๆ มา สำหรับวันนี้ก็จะยังคงกล่าวถึงเรื่องราวของวัตถุประสงค์ การเลือกหรือการกำหนดวัตถุประสงค์กับความเสี่ยงที่องค์กรยอมรับได้ ในกระบวนการที่ 2 ของการกำหนดวัตถุประสงค์อยู่นั่นเอง

วัตถุประสงค์ที่เลือก
ในส่วนของการบริหารความเสี่ยงขององค์กร ผู้บริหารควรมั่นใจว่าองค์กรได้เลือกวัตถุประสงค์และพิจารณาว่าจะสนับสนุนกลยุทธ์ พันธกิจ และวิสัยทัศน์ขององค์กรได้อย่างไร วัตถุประสงค์ขององค์กร ควรไปในแนวทางเดียวกับความเสี่ยงที่ยอมรับได้ขององค์กร การไม่ไปในแนวทางเดียวกันจะส่งผลต่อองค์กรทำให้ไม่สามารถรับความเสี่ยงได้เพียงพอที่จะบรรลุวัตถุประสงค์ หรือในทางกลับกันการยอมรับความเสี่ยงที่ไม่เหมาะสมก็ส่งผลต่อการบรรลุวัตถุประสงค์เช่นกัน การบริหารความเสี่ยงขององค์กรทั่วไปที่มีประสิทธิภาพจะไม่บังคับให้ผู้บริหารเลือกวัตถุประสงค์ แต่ผู้บริหารจะมีขั้นตอนที่ทำให้วัตถุประสงค์กับวิสัยทัศน์และกลยุทธ์ไปในแนวทางเดียวกัน และทำให้วัตถุประสงค์ที่ได้เลือกมีความยั่งยืนด้วยความเสี่ยงที่ยอมรับได้ขององค์กร

ความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้เป็นสิ่งที่ใช้เป็นแนวทางในการกำหนดกลยุทธ์ ถูกกำหนดโดยผู้บริหารและทบทวนโดยคณะกรรมการบริหาร อาจอธิบายได้ว่าความเสี่ยงที่ยอมรับได้เป็นความสมดุลระหว่างความเติบโต ความเสี่ยงและผลตอบแทน ไม่ใช่เพื่อผลกำไร หรืออธิบายได้ว่าเป็นระดับของความเสี่ยงที่ยอมรับเพื่อสร้างคุณค่าให้กับผู้มีผลประโยชน์ร่วม ความเสี่ยงที่ยอมรับได้สามารถนำมาใช้เพื่อกิจกรรมต่าง ๆ ดังนี้

– ใช้เพื่อการสื่อสารให้องค์กรทราบถึงความเสี่ยงที่องค์กรยอมรับได้
– ใช้กำหนดค่าหรือปัจจัยที่ใช้ในกระบวนการวางแผนเพื่อใช้ในการกำหนดค่าความแตกต่างหรือความเบี่ยงเบนที่ควรจะเป็นระหว่างผลลัพธ์จริงกับแผนงานที่กำหนดไว้
– ใช้ในการสื่อสารคุณค่าขององค์กรที่ทำให้เกิดการสร้างวัฒนธรรมความเสี่ยงอย่างต่อเนื่อง

ความเสี่ยงที่ยอมรับได้ขององค์กรสามารถแสดงได้ทั้งในเชิงคุณภาพและเชิงปริมาณ หรือแสดงได้ทั้งสองรูปแบบดังนี้
– ความสมดุลระหว่างอัตราการเจริญเติบโต ความเสี่ยง และผลตอบแทน
– การเพิ่มมูลค่าให้กับผู้มีผลประโยชน์ร่วม
– ข้อจำกัดและแนวทางสำหรับการปฏิบัติงานทั่วไป
– ต้นทุนทางเศรษฐกิจ โดยคำนวณจากระดับความเชื่อมั่นและระยะเวลาที่กำหนด

ความเสี่ยงที่ยอมรับได้มีความสัมพันธ์กับกลยุทธ์ขององค์กร โดยทั่วไปกลยุทธ์ที่มีความแตกต่างกันสามารถออกแบบให้บรรลุความเติบโตและเป้าหมายที่ปรารถนาได้ ซึ่งแต่ละกลยุทธ์ก็มีความเสี่ยงที่แตกต่างกัน การบริหารความเสี่ยงขององค์กรประยุกต์ใช้ในการตั้งกลยุทธ์ ช่วยผู้บริหารเลือกกลยุทธ์ที่มีความมั่นคงโดยการใช้ความเสี่ยง ถ้าความเสี่ยงที่ร่วมกับกลยุทธ์ไม่มีความมั่นคงกับความเสี่ยงที่ยอมรับได้ กลยุทธ์จะต้องถูกแก้ไข กรณีนี้อาจเกิดขึ้นเมื่อผู้บริหารสร้างกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ขององค์กรมากเกินไป หรือกลยุทธ์ไม่สามารถรวมเอาความเสี่ยงที่เพียงพอจะให้องค์กรบรรลุผลสำเร็จในวิสัยทัศน์และภารกิจได้

ความเสี่ยงที่ยอมรับได้ขององค์กรจะถูกสะท้อนในรูปของกลยุทธ์ขององค์กร ซึ่งจะนำไปในรูปของการจัดสรรทรัพยากร ผู้บริหารจัดสรรทรัพยากรข้ามหน่วยธุรกิจหรือข้ามสายงาน โดยใช้การพิจารณาความเสี่ยงที่ยอมรับได้และแผนกลยุทธ์ของแต่ละธุรกิจในการคืนผลตอบแทนในการลงทุน

ดังนั้น การกำหนด Risk Appetite ของฝ่ายงานจากแผนงานต่าง ๆ จึงต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ที่สะท้อนหลักการดังกล่าวข้างต้น

ระดับความเสี่ยงที่ยอมรับได้
ระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) คือ ระดับที่ยอมรับได้ของความผันแปรจากเกณฑ์หรือประเภทของความเสี่ยงที่ยอมรับได้ เพื่อให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ ระดับความเสี่ยงที่ยอมรับได้สามารถวัดผลได้ และบ่อยครั้งเป็นการวัดผลที่ดีที่สุดในหน่วยเดียวกันในฐานะที่เป็นวัตถุประสงค์ที่สัมพันธ์กัน ทั้งนี้ ระดับความเสี่ยงที่ยอมรับได้อาจถูกกำหนดเป็นเป้าหมายความเสี่ยงหรือระดับจำกัดความเสี่ยง

การวัดผลงานถูกวางไว้เพื่อช่วยให้มั่นใจว่าผลที่เกิดขึ้นจริงจะอยู่ภายในระดับความเสี่ยงที่ยอมรับได้ในการตั้งระดับความเสี่ยงที่ยอมรับได้ ผู้บริหาร องค์กร ต้องพิจารณาความสำคัญของวัตถุประสงค์ที่สัมพันธ์กันและวางระดับความเสี่ยงที่ยอมรับได้ไปแนวทางเดียวกับความเสี่ยงที่ยอมรับได้ การปฏิบัติการภายในระดับความเสี่ยงที่ยอมรับได้ทำให้ผู้บริหารมั่นใจเพิ่มขึ้นว่า องค์กร ยังคงมีความเสี่ยงที่ยอมรับได้และจะบรรลุวัตถุประสงค์ได้อย่างแน่นอน

แผนการบริหารความเสี่ยงและระดับความเสี่ยงที่องค์กรยอมรับได้

แผนการบริหารความเสี่ยงและระดับความเสี่ยงที่องค์กรยอมรับได้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 13, 2009

จากครั้งที่แล้วผมได้พูดถึงการกำหนดวัตถุประสงค์ตามหลัก SMART ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในขององค์กร ประการที่ 2 ตามหลัก COSO – ERM ทั้ง 8 ประการ นั่นคือ การกำหนดวัตถุประสงค์ ดังที่ได้เคยกล่าวไว้และแสดงเป็นแผนภาพขั้นตอนของกระบวนการบริหารความเสี่ยงองค์กรในครั้งที่ผ่าน ๆ มา สำหรับวันนี้ก็จะยังคงกล่าวถึงเรื่องราวของวัตถุประสงค์ การเลือกหรือการกำหนดวัตถุประสงค์กับความเสี่ยงที่องค์กรยอมรับได้ ในกระบวนการที่ 2 ของการกำหนดวัตถุประสงค์อยู่นั่นเอง

วัตถุประสงค์ที่เลือก
ในส่วนของการบริหารความเสี่ยงขององค์กร ผู้บริหารควรมั่นใจว่าองค์กรได้เลือกวัตถุประสงค์และพิจารณาว่าจะสนับสนุนกลยุทธ์ พันธกิจ และวิสัยทัศน์ขององค์กรได้อย่างไร วัตถุประสงค์ขององค์กร ควรไปในแนวทางเดียวกับความเสี่ยงที่ยอมรับได้ขององค์กร การไม่ไปในแนวทางเดียวกันจะส่งผลต่อองค์กรทำให้ไม่สามารถรับความเสี่ยงได้เพียงพอที่จะบรรลุวัตถุประสงค์ หรือในทางกลับกันการยอมรับความเสี่ยงที่ไม่เหมาะสมก็ส่งผลต่อการบรรลุวัตถุประสงค์เช่นกัน การบริหารความเสี่ยงขององค์กรทั่วไปที่มีประสิทธิภาพจะไม่บังคับให้ผู้บริหารเลือกวัตถุประสงค์ แต่ผู้บริหารจะมีขั้นตอนที่ทำให้วัตถุประสงค์กับวิสัยทัศน์และกลยุทธ์ไปในแนวทางเดียวกัน และทำให้วัตถุประสงค์ที่ได้เลือกมีความยั่งยืนด้วยความเสี่ยงที่ยอมรับได้ขององค์กร

ความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้เป็นสิ่งที่ใช้เป็นแนวทางในการกำหนดกลยุทธ์ ถูกกำหนดโดยผู้บริหารและทบทวนโดยคณะกรรมการบริหาร อาจอธิบายได้ว่าความเสี่ยงที่ยอมรับได้เป็นความสมดุลระหว่างความเติบโต ความเสี่ยงและผลตอบแทน ไม่ใช่เพื่อผลกำไร หรืออธิบายได้ว่าเป็นระดับของความเสี่ยงที่ยอมรับเพื่อสร้างคุณค่าให้กับผู้มีผลประโยชน์ร่วม ความเสี่ยงที่ยอมรับได้สามารถนำมาใช้เพื่อกิจกรรมต่าง ๆ ดังนี้

– ใช้เพื่อการสื่อสารให้องค์กรทราบถึงความเสี่ยงที่องค์กรยอมรับได้
– ใช้กำหนดค่าหรือปัจจัยที่ใช้ในกระบวนการวางแผนเพื่อใช้ในการกำหนดค่าความแตกต่างหรือความเบี่ยงเบนที่ควรจะเป็นระหว่างผลลัพธ์จริงกับแผนงานที่กำหนดไว้
– ใช้ในการสื่อสารคุณค่าขององค์กรที่ทำให้เกิดการสร้างวัฒนธรรมความเสี่ยงอย่างต่อเนื่อง

ความเสี่ยงที่ยอมรับได้ขององค์กรสามารถแสดงได้ทั้งในเชิงคุณภาพและเชิงปริมาณ หรือแสดงได้ทั้งสองรูปแบบดังนี้
– ความสมดุลระหว่างอัตราการเจริญเติบโต ความเสี่ยง และผลตอบแทน
– การเพิ่มมูลค่าให้กับผู้มีผลประโยชน์ร่วม
– ข้อจำกัดและแนวทางสำหรับการปฏิบัติงานทั่วไป
– ต้นทุนทางเศรษฐกิจ โดยคำนวณจากระดับความเชื่อมั่นและระยะเวลาที่กำหนด

ความเสี่ยงที่ยอมรับได้มีความสัมพันธ์กับกลยุทธ์ขององค์กร โดยทั่วไปกลยุทธ์ที่มีความแตกต่างกันสามารถออกแบบให้บรรลุความเติบโตและเป้าหมายที่ปรารถนาได้ ซึ่งแต่ละกลยุทธ์ก็มีความเสี่ยงที่แตกต่างกัน การบริหารความเสี่ยงขององค์กรประยุกต์ใช้ในการตั้งกลยุทธ์ ช่วยผู้บริหารเลือกกลยุทธ์ที่มีความมั่นคงโดยการใช้ความเสี่ยง ถ้าความเสี่ยงที่ร่วมกับกลยุทธ์ไม่มีความมั่นคงกับความเสี่ยงที่ยอมรับได้ กลยุทธ์จะต้องถูกแก้ไข กรณีนี้อาจเกิดขึ้นเมื่อผู้บริหารสร้างกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ขององค์กรมากเกินไป หรือกลยุทธ์ไม่สามารถรวมเอาความเสี่ยงที่เพียงพอจะให้องค์กรบรรลุผลสำเร็จในวิสัยทัศน์และภารกิจได้

ความเสี่ยงที่ยอมรับได้ขององค์กรจะถูกสะท้อนในรูปของกลยุทธ์ขององค์กร ซึ่งจะนำไปในรูปของการจัดสรรทรัพยากร ผู้บริหารจัดสรรทรัพยากรข้ามหน่วยธุรกิจหรือข้ามสายงาน โดยใช้การพิจารณาความเสี่ยงที่ยอมรับได้และแผนกลยุทธ์ของแต่ละธุรกิจในการคืนผลตอบแทนในการลงทุน

ดังนั้น การกำหนด Risk Appetite ของฝ่ายงานจากแผนงานต่าง ๆ จึงต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ที่สะท้อนหลักการดังกล่าวข้างต้น

ระดับความเสี่ยงที่ยอมรับได้
ระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) คือ ระดับที่ยอมรับได้ของความผันแปรจากเกณฑ์หรือประเภทของความเสี่ยงที่ยอมรับได้ เพื่อให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ ระดับความเสี่ยงที่ยอมรับได้สามารถวัดผลได้ และบ่อยครั้งเป็นการวัดผลที่ดีที่สุดในหน่วยเดียวกันในฐานะที่เป็นวัตถุประสงค์ที่สัมพันธ์กัน ทั้งนี้ ระดับความเสี่ยงที่ยอมรับได้อาจถูกกำหนดเป็นเป้าหมายความเสี่ยงหรือระดับจำกัดความเสี่ยง

การวัดผลงานถูกวางไว้เพื่อช่วยให้มั่นใจว่าผลที่เกิดขึ้นจริงจะอยู่ภายในระดับความเสี่ยงที่ยอมรับได้ในการตั้งระดับความเสี่ยงที่ยอมรับได้ ผู้บริหาร องค์กร ต้องพิจารณาความสำคัญของวัตถุประสงค์ที่สัมพันธ์กันและวางระดับความเสี่ยงที่ยอมรับได้ไปแนวทางเดียวกับความเสี่ยงที่ยอมรับได้ การปฏิบัติการภายในระดับความเสี่ยงที่ยอมรับได้ทำให้ผู้บริหารมั่นใจเพิ่มขึ้นว่า องค์กร ยังคงมีความเสี่ยงที่ยอมรับได้และจะบรรลุวัตถุประสงค์ได้อย่างแน่นอน

แผนการบริหารความเสี่ยงและระดับความเสี่ยงที่องค์กรยอมรับได้

แผนการบริหารความเสี่ยงและระดับความเสี่ยงที่องค์กรยอมรับได้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 8, 2009

คงต้องขออภัยท่านผู้อ่านที่ติดตามกรอบการบริหารความเสี่ยง เพราะช่วงนี้ผมกำลังเร่ง post ข้อมูลเกี่ยวกับ IT Audit และ Non – IT Audit ทางด้านการทุจริตที่กำลังเป็นข่าว และเป็นเรื่องสำคัญที่น่าสนใจและควรติดตาม ประกอบกับเกิดปัญหาทางด้านเทคนิคในการ update ข้อมูลในหัวข้อดังกล่าว ทำให้ข้อมูลที่เคย post และแก้ไขหายไป ก็ต้องขออภัยอีกครั้งสำหรับผู้ที่ติดตามเนื้อหาทางด้าน Audit อยู่ เป็นเหตุให้ห่างหายจากการ update เรื่องความเสี่ยงในหัวข้อนี้ไปบ้าง แต่ผมก็จะพยายามหาเวลา post ข้อมูลให้ได้ในทุกหัวข้อเพื่อท่านผู้อ่านจะได้ติดตามได้อย่างต่อเนื่องครับ

สำหรับวันนี้ ผมจะมาต่อในกระบวนการขั้นที่ 2 ของกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM คือ การกำหนดวัตถุประสงค์ (Objective Setting) ในเรื่องของการกำหนดวัตถุประสงค์/เป้าประสงค์ที่ชัดเจนของแผนงานและโครงการ

การกำหนดวัตถุประสงค์ต้องมีความสอดคล้องกันทั่วทั้งองค์กร เพื่อให้เกิดความมั่นใจว่า ผู้บริหาร และพนักงานทุกคนกำลังดำเนินการเพื่อให้บรรลุวัตถุประสงค์ขององค์กร โดยใช้วิธีการที่เรียกว่า SMART ซึ่งอธิบายด้วยแผนภาพ เพื่อให้เข้าใจได้ง่าย ๆ ดังนี้

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ดี แบบ SMART
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้ปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน และปฏิบัติได้อย่างสอดคล้องและเป็นไปในแนวทางเดียวกัน

2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย การกำหนดวัตถุประสงค์ที่สามารถวัดผลได้ทำให้สามารถรู้ได้แน่ชัดว่าดำเนินการถึงขั้นตอนใด และผลของการดำเนินการในแต่ละขั้นเป็นอย่างไร บรรลุผลสำเร็จหรือไม่

3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ ในการกำหนดวัตถุประสงค์นั้นไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถปฏิบัติเพื่อบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ ทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรมเพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกันคือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้

4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความสมเหตุสมผลและมีความเป็นจริง ปฏิบัติได้จริง

5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

ความซ้ำซ้อนของวัตถุประสงค์
วัตถุประสงค์ของหน่วยงานหนึ่งอาจซ้ำซ้อนกับอีกหน่วยงานหนึ่งได้ การจัดกลุ่มของวัตถุประสงค์เพื่อมุ่งสู่พันธกิจ และวิสัยทัศน์ขององค์กรนั้น อาจขึ้นอยู่กับโอกาส ยกตัวอย่างเช่น การเตรียมข้อมูลให้กับผู้บริหารระดับสูงเพื่อใช้ในการบริหารจัดการ และควบคุมกิจกรรมในการส่งเสริมการผลิต อาจมีลักษณะเป็นวัตถุประสงค์เชิงปฏิบัติการและวัตถุประสงค์เชิงรายงานไปพร้อม ๆ กัน

ในบางองค์กรใช้การแบ่งกลุ่มวัตถุประสงค์ในแบบอื่น ๆ “การป้องกันทรัพยากร” บางครั้งอาจหมายถึง “การป้องกันทรัพย์สิน” ซึ่งซ้ำซ้อนกับกลุ่มวัตถุประสงค์อื่น ๆ หากมองอย่างกว้าง ๆ การป้องกันทรัพย์สิน หมายถึง การป้องกันความสูญเสียของทรัพย์สินหรือทรัพยากรขององค์กร ไม่ว่าจะเป็นการลักขโมย ความสิ้นเปลือง ความบกพร่อง หรือสิ่งใดก็ตามที่ทำให้เกิดการตัดสินใจที่ไม่ดี เช่น การขายสินค้าราคาต่ำเกินไป ความล้มเหลวในการรักษาพนักงานคนสำคัญ หรือ การป้องกันการละเมิดสิทธิ์ หรือหนี้สินที่ไม่ได้คาดมาก่อน เป็นต้น

สิ่งเหล่านี้เป็นวัตถุประสงค์เชิงปฏิบัติการเบื้องต้น เมื่อประยุกต์กฎหมายหรือกฎเกณฑ์ต่าง ๆ ก็จะกลายเป็นวัตถุประสงค์เชิงความร่วมมือ ในทางตรงข้ามภาพสะท้อนการสูญเสียทรัพย์สินในสถานะทางการเงินขององค์กรเป็นการนำเสนอวัตถุประสงค์เชิงรายงาน เมื่อนำมาใช้ร่วมกับการรายงานต่อสาธารณะ คำจำกัดความที่แคบลงของการป้องกันทรัพย์สินจะหมายถึง การปกป้องการได้มาซึ่งอำนาจโดยไม่ชอบ การใช้หรือการเคลื่อนย้ายทรัพย์สินขององค์กร

การบรรลุผลสำเร็จของวัตถุประสงค์
การตั้งวัตถุประสงค์เป็นส่วนสำคัญของการบริหารความเสี่ยงของสายงานหรือของหน่วยงานธุรกิจที่เกี่ยวข้อง แม้ว่าวัตถุประสงค์จะช่วยในการสร้างเป้าหมายที่สามารถวัดได้ใกล้เคียงกับองค์กรเพื่อเคลื่อนสู่การดำเนินกิจกรรม แต่อาจมีความแตกต่างกันในเรื่องระดับความสำคัญและลำดับก่อนหลัง แม้ว่าองค์กรทั่วไปจะมั่นใจอย่างมีเหตุมีผลว่าจะบรรลุวัตถุประสงค์ได้ แต่ไม่ใช่กับทุกวัตถุประสงค์

การบริหารความเสี่ยงที่มีประสิทธิภาพจะนำความมั่นใจที่มีเหตุมีผลว่าวัตถุประสงค์เชิงรายงานขององค์กรกำลังบรรลุความสำเร็จ เช่นเดียวกันกับวัตถุประสงค์เชิงความร่วมมือ การรายงานที่บรรลุความสำเร็จและวัตถุประสงค์เชิงความร่วมมือโดยทั่วไปอยู่ภายในการควบคุมขององค์กร นั่นคือทันทีที่กำหนดวัตถุประสงค์แล้ว องค์กรจะควบคุมว่าจะต้องทำอย่างไรให้บรรลุวัตถุประสงค์นั้น แต่มีความแตกต่างเมื่อกลายเป็นวัตถุประสงค์เชิงปฏิบัติการด้วยเหตุผลหลายประการ องค์กรอาจปฏิบัติได้ดังที่ตั้งใจแต่ไม่สามารถสู้คู่แข่งขันได้ ซึ่งเป็นปัญหาจากปัจจัยภายนอก เช่น การเปลี่ยนแปลงรัฐบาล สภาวะแวดล้อมทางอากาศ และ/หรือเหตุการณ์ที่ไม่สามารถควบคุมได้

ซึ่งเหล่านี้อาจนำมาพิจารณาในขั้นตอนการตั้งวัตถุประสงค์ในแง่ของการมีความเป็นไปได้น้อย โดยใช้การวางแผนตามสถานการณ์ในกรณีที่มีเหตุการณ์เกิดขึ้น อย่างไรก็ตาม แม้ว่าแผนงานจะสามารถบรรเทาผลกระทบจากเหตุการณ์ภายนอกได้ แต่ก็ไม่สามารถมั่นใจได้ว่าวัตถุประสงค์จะบรรลุผลสำเร็จ

การบริหารความเสี่ยงขององค์กรที่มีจุดมุ่งหมายพื้นฐานในการพัฒนาความยั่งยืนของวัตถุประสงค์และเป้าหมายทั่วทั้งองค์กร การแยกแยะปัจจัยที่ทำให้สำเร็จและความเสี่ยง การเข้าหาความเสี่ยงและการตอบสนอง การดำเนินการตอบสนองความเสี่ยงที่เหมาะสม การควบคุมความต้องการ และการรายงานผลการทำงานและความคาดหวัง สำหรับวัตถุประสงค์เหล่านี้ การบริหารความเสี่ยงขององค์กรสามารถสร้างความมั่นใจได้ว่าผู้บริหารจะตระหนักถึงขอบเขตขององค์กรในการมุ่งสู่วัตถุประสงค์

ครั้งหน้าผมจะพูดถึงวัตถุประสงค์ขององค์กรกับความเสี่ยง และระดับความเสี่ยงที่องค์กรยอมรับได้ โปรดติดตามในครั้งต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 8, 2009

คงต้องขออภัยท่านผู้อ่านที่ติดตามกรอบการบริหารความเสี่ยง เพราะช่วงนี้ผมกำลังเร่ง post ข้อมูลเกี่ยวกับ IT Audit และ Non – IT Audit ทางด้านการทุจริตที่กำลังเป็นข่าว และเป็นเรื่องสำคัญที่น่าสนใจและควรติดตาม ประกอบกับเกิดปัญหาทางด้านเทคนิคในการ update ข้อมูลในหัวข้อดังกล่าว ทำให้ข้อมูลที่เคย post และแก้ไขหายไป ก็ต้องขออภัยอีกครั้งสำหรับผู้ที่ติดตามเนื้อหาทางด้าน Audit อยู่ เป็นเหตุให้ห่างหายจากการ update เรื่องความเสี่ยงในหัวข้อนี้ไปบ้าง แต่ผมก็จะพยายามหาเวลา post ข้อมูลให้ได้ในทุกหัวข้อเพื่อท่านผู้อ่านจะได้ติดตามได้อย่างต่อเนื่องครับ

สำหรับวันนี้ ผมจะมาต่อในกระบวนการขั้นที่ 2 ของกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM คือ การกำหนดวัตถุประสงค์ (Objective Setting) ในเรื่องของการกำหนดวัตถุประสงค์/เป้าประสงค์ที่ชัดเจนของแผนงานและโครงการ

การกำหนดวัตถุประสงค์ต้องมีความสอดคล้องกันทั่วทั้งองค์กร เพื่อให้เกิดความมั่นใจว่า ผู้บริหาร และพนักงานทุกคนกำลังดำเนินการเพื่อให้บรรลุวัตถุประสงค์ขององค์กร โดยใช้วิธีการที่เรียกว่า SMART ซึ่งอธิบายด้วยแผนภาพ เพื่อให้เข้าใจได้ง่าย ๆ ดังนี้

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ดี แบบ SMART
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้ปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน และปฏิบัติได้อย่างสอดคล้องและเป็นไปในแนวทางเดียวกัน

2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย การกำหนดวัตถุประสงค์ที่สามารถวัดผลได้ทำให้สามารถรู้ได้แน่ชัดว่าดำเนินการถึงขั้นตอนใด และผลของการดำเนินการในแต่ละขั้นเป็นอย่างไร บรรลุผลสำเร็จหรือไม่

3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ ในการกำหนดวัตถุประสงค์นั้นไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถปฏิบัติเพื่อบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ ทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรมเพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกันคือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้

4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความสมเหตุสมผลและมีความเป็นจริง ปฏิบัติได้จริง

5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

ความซ้ำซ้อนของวัตถุประสงค์
วัตถุประสงค์ของหน่วยงานหนึ่งอาจซ้ำซ้อนกับอีกหน่วยงานหนึ่งได้ การจัดกลุ่มของวัตถุประสงค์เพื่อมุ่งสู่พันธกิจ และวิสัยทัศน์ขององค์กรนั้น อาจขึ้นอยู่กับโอกาส ยกตัวอย่างเช่น การเตรียมข้อมูลให้กับผู้บริหารระดับสูงเพื่อใช้ในการบริหารจัดการ และควบคุมกิจกรรมในการส่งเสริมการผลิต อาจมีลักษณะเป็นวัตถุประสงค์เชิงปฏิบัติการและวัตถุประสงค์เชิงรายงานไปพร้อม ๆ กัน

ในบางองค์กรใช้การแบ่งกลุ่มวัตถุประสงค์ในแบบอื่น ๆ “การป้องกันทรัพยากร” บางครั้งอาจหมายถึง “การป้องกันทรัพย์สิน” ซึ่งซ้ำซ้อนกับกลุ่มวัตถุประสงค์อื่น ๆ หากมองอย่างกว้าง ๆ การป้องกันทรัพย์สิน หมายถึง การป้องกันความสูญเสียของทรัพย์สินหรือทรัพยากรขององค์กร ไม่ว่าจะเป็นการลักขโมย ความสิ้นเปลือง ความบกพร่อง หรือสิ่งใดก็ตามที่ทำให้เกิดการตัดสินใจที่ไม่ดี เช่น การขายสินค้าราคาต่ำเกินไป ความล้มเหลวในการรักษาพนักงานคนสำคัญ หรือ การป้องกันการละเมิดสิทธิ์ หรือหนี้สินที่ไม่ได้คาดมาก่อน เป็นต้น

สิ่งเหล่านี้เป็นวัตถุประสงค์เชิงปฏิบัติการเบื้องต้น เมื่อประยุกต์กฎหมายหรือกฎเกณฑ์ต่าง ๆ ก็จะกลายเป็นวัตถุประสงค์เชิงความร่วมมือ ในทางตรงข้ามภาพสะท้อนการสูญเสียทรัพย์สินในสถานะทางการเงินขององค์กรเป็นการนำเสนอวัตถุประสงค์เชิงรายงาน เมื่อนำมาใช้ร่วมกับการรายงานต่อสาธารณะ คำจำกัดความที่แคบลงของการป้องกันทรัพย์สินจะหมายถึง การปกป้องการได้มาซึ่งอำนาจโดยไม่ชอบ การใช้หรือการเคลื่อนย้ายทรัพย์สินขององค์กร

การบรรลุผลสำเร็จของวัตถุประสงค์
การตั้งวัตถุประสงค์เป็นส่วนสำคัญของการบริหารความเสี่ยงของสายงานหรือของหน่วยงานธุรกิจที่เกี่ยวข้อง แม้ว่าวัตถุประสงค์จะช่วยในการสร้างเป้าหมายที่สามารถวัดได้ใกล้เคียงกับองค์กรเพื่อเคลื่อนสู่การดำเนินกิจกรรม แต่อาจมีความแตกต่างกันในเรื่องระดับความสำคัญและลำดับก่อนหลัง แม้ว่าองค์กรทั่วไปจะมั่นใจอย่างมีเหตุมีผลว่าจะบรรลุวัตถุประสงค์ได้ แต่ไม่ใช่กับทุกวัตถุประสงค์

การบริหารความเสี่ยงที่มีประสิทธิภาพจะนำความมั่นใจที่มีเหตุมีผลว่าวัตถุประสงค์เชิงรายงานขององค์กรกำลังบรรลุความสำเร็จ เช่นเดียวกันกับวัตถุประสงค์เชิงความร่วมมือ การรายงานที่บรรลุความสำเร็จและวัตถุประสงค์เชิงความร่วมมือโดยทั่วไปอยู่ภายในการควบคุมขององค์กร นั่นคือทันทีที่กำหนดวัตถุประสงค์แล้ว องค์กรจะควบคุมว่าจะต้องทำอย่างไรให้บรรลุวัตถุประสงค์นั้น แต่มีความแตกต่างเมื่อกลายเป็นวัตถุประสงค์เชิงปฏิบัติการด้วยเหตุผลหลายประการ องค์กรอาจปฏิบัติได้ดังที่ตั้งใจแต่ไม่สามารถสู้คู่แข่งขันได้ ซึ่งเป็นปัญหาจากปัจจัยภายนอก เช่น การเปลี่ยนแปลงรัฐบาล สภาวะแวดล้อมทางอากาศ และ/หรือเหตุการณ์ที่ไม่สามารถควบคุมได้

ซึ่งเหล่านี้อาจนำมาพิจารณาในขั้นตอนการตั้งวัตถุประสงค์ในแง่ของการมีความเป็นไปได้น้อย โดยใช้การวางแผนตามสถานการณ์ในกรณีที่มีเหตุการณ์เกิดขึ้น อย่างไรก็ตาม แม้ว่าแผนงานจะสามารถบรรเทาผลกระทบจากเหตุการณ์ภายนอกได้ แต่ก็ไม่สามารถมั่นใจได้ว่าวัตถุประสงค์จะบรรลุผลสำเร็จ

การบริหารความเสี่ยงขององค์กรที่มีจุดมุ่งหมายพื้นฐานในการพัฒนาความยั่งยืนของวัตถุประสงค์และเป้าหมายทั่วทั้งองค์กร การแยกแยะปัจจัยที่ทำให้สำเร็จและความเสี่ยง การเข้าหาความเสี่ยงและการตอบสนอง การดำเนินการตอบสนองความเสี่ยงที่เหมาะสม การควบคุมความต้องการ และการรายงานผลการทำงานและความคาดหวัง สำหรับวัตถุประสงค์เหล่านี้ การบริหารความเสี่ยงขององค์กรสามารถสร้างความมั่นใจได้ว่าผู้บริหารจะตระหนักถึงขอบเขตขององค์กรในการมุ่งสู่วัตถุประสงค์

ครั้งหน้าผมจะพูดถึงวัตถุประสงค์ขององค์กรกับความเสี่ยง และระดับความเสี่ยงที่องค์กรยอมรับได้ โปรดติดตามในครั้งต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 1, 2009

วันนี้ ผมจะนำเสนอถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลักการของ COSO – ERM ในกระบวนการถัดไป ซึ่งเป็นเรื่องของการกำหนดวัตถุประสงค์ (Objective Setting) และถือเป็นหัวใจสำคัญของกระบวนการบริหารความเสี่ยง COSO – ERM ทั้ง 8 ประการ หลังจากที่ได้พิจารณาสภาพแวดล้อมภายในองค์กรไปแล้ว

การบริหารงานเพื่อก้าวไปสู่พันธกิจ และวิสัยทัศน์ขององค์กร ซึ่งจะต้องถูกถ่ายทอดเป็นแผนปฏิบัติการและโครงการต่าง ๆ นั้น จำเป็นอย่างยิ่งที่ผู้เกี่ยวข้องจะต้องเข้าใจการกำหนดวัตถุประสงค์ให้ชัดเจน เพื่อกำหนดการควบคุมที่เหมาะสมได้ และมีหลักการโดยย่อตามรูปภาพ

การกำหนดวัตถุประสงค์ตามหลัก SMART

การกำหนดวัตถุประสงค์ตามหลัก SMART

เพราะการบริหารความเสี่ยงอย่างเป็นกระบวนการจะชี้ปัจจัยเสี่ยงจากความไม่แน่นอนต่าง ๆ ซึ่งเกิดจากเหตุการณ์ภายใน และเหตุการณ์ภายนอกขององค์กรนั้น จะมุ่งไปสู่การระบุเหตุการณ์ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์และเป้าหมายของแผนงาน/โครงการต่าง ๆ ขององค์กร เป็นสำคัญ และการจัดการกับความเสี่ยงใด ๆ ก็จะมุ่งไปที่สาเหตุ หรือมูลเหตุที่แท้จริงที่สามารถควบคุมและจัดการกับความเสี่ยงให้ได้ผลเป็นรูปธรรม เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า แผนงานและโครงการขององค์กรจะก้าวสู่ความสำเร็จได้ตามแผนงานที่วางไว้

วัตถุประสงค์โดยรวมของทุกองค์กร อาจแบ่งได้เป็นวัตถุประสงค์เชิงกลยุทธ์ หรือวัตถุประสงค์หลักขององค์กร และตามด้วยวัตถุประสงค์ย่อยที่เกี่ยวข้องกับการดำเนินการตามแผนงาน ซึ่งจะอธิบายโดยแผนภาพย่อ ๆ ซึ่งเป็นกระบวนการหนึ่งของการบริหารความเสี่ยงทั่วทั้งองค์กร หรือ ERM 8 ประการ ดังนี้

องค์ประกอบสำคัญของการกำหนดวัตถุประสงค์ - หัวใจสำคัญของกระบวนการบริหารความเสี่ยง

องค์ประกอบสำคัญของการกำหนดวัตถุประสงค์ - หัวใจสำคัญของกระบวนการบริหารความเสี่ยง

ประเภทของวัตถุประสงค์
ทุก ๆ องค์กร จะต้องเผชิญกับความหลากหลายของความเสี่ยงจากแหล่งภายในและภายนอก รวมทั้งการคาดการณ์สำหรับการระบุเหตุการณ์ให้มีประสิทธิภาพ การประเมินความเสี่ยง การตอบสนองความเสี่ยงเป็นจุดเริ่มต้นของวัตถุประสงค์ โดยเชื่อมโยงกับระดับที่แตกต่างและมีความเหนียวแน่นอยู่ภายใน วัตถุประสงค์ถูกตั้งไว้ที่ระดับกลยุทธ์ เป็นพื้นฐานสำหรับการปฏิบัติการ การรายงานผล และการปฏิบัติตามวัตถุประสงค์ วัตถุประสงค์ได้ถูกวางเป็นแนวเดียวกับความเสี่ยงซึ่งผลักดันระดับความทนต่อความเสี่ยงเพื่อสร้างกิจกรรมต่าง ๆ ในองค์กร

การตั้งวัตถุประสงค์ คือ การคาดการณ์สำหรับการระบุเหตุการณ์ การประเมินความเสี่ยง และการตอบสนองความเสี่ยง การมีวัตถุประสงค์ก่อนการบริหารสามารถระบุความเสี่ยงสำหรับการบรรลุผลสำเร็จและเป็นการนำการปฏิบัติที่จำเป็นมาใช้ในการจัดการกับความเสี่ยง

การกำหนดวัตถุประสงค์จึงต้องมีความชัดเจนเพื่อให้การบ่งชี้ความเสี่ยงมีความน่าเชื่อถือ เมื่อได้กำหนดวัตถุประสงค์ขึ้นมาแล้วควรสื่อสารให้แก่หน่วยงานต่าง ๆ ที่เกี่ยวข้องในองค์กรด้วย เพื่อให้ผู้บริหารและพนักงานทุกคนมีความเข้าใจตรงกันและสามารถดำเนินการเพื่อมุ่งให้บรรลุเป้าหมายขององค์กรได้

1. วัตถุประสงค์เชิงกลยุทธ์ (Strategic Objective)/วัตถุประสงค์หลัก
พันธกิจขององค์กรถูกตั้งไว้อย่างกว้าง ๆ ว่าต้องการความสำเร็จอะไร อาจเรียกว่า พันธกิจ (Mission), วิสัยทัศน์ (Vision), หรือ เป้าหมาย (Purpose) ซึ่งล้วนแต่มีความสำคัญ ซึ่งฝ่ายบริหารที่มีความเอาใส่ใจได้สร้างไว้อย่างกว้าง ๆ ซึ่งเป็นเหตุผลในการเป็นอยู่ของกิจการ ผู้บริหารเป็นผู้ตั้งวัตถุประสงค์เชิงกลยุทธ์ สร้างกลยุทธ์และสร้างวัตถุประสงค์ที่เกี่ยวข้องเพื่อองค์กร ในขณะที่พันธกิจที่เป็นจริงและวัตถุประสงค์เชิงกลยุทธ์มีเสถียรภาพ กลยุทธ์และวัตถุประสงค์ที่เกี่ยวข้องจะมีความเป็นพลวัตรมากกว่าและสามารถปรับเปลี่ยนไปตามสภาพภายในและภายนอกได้

วัตถุประสงค์เชิงกลยุทธ์เป็นเป้าหมายระดับสูง เป็นแนวทางเดียวกันและสนับสนุนพันธกิจ วิสัยทัศน์ วัตถุประสงค์เชิงกลยุทธ์สะท้อนทางเลือกทางการบริหาร ในการทำอย่างไรให้องค์กรช่วยเพิ่มคุณค่าให้กับผู้มีผลประโยชน์ร่วม

ผู้บริหารเป็นผู้จัดตั้งเป้าหมายเชิงกลยุทธ์ (Strategic Objective) โดยเลือกกลยุทธ์ที่เกี่ยวข้องกับเป้าหมายระดับสูง (High-Level goal) และเป้าหมายดังกล่าวต้องสนับสนุนและเป็นไปในทิศทางเดียวกับวิสัยทัศน์และพันธกิจขององค์กร

ผู้บริหารระดับรองลงมา จะต้องกำหนดแผนปฏิบัติงานเพื่อรองรับแผนกลยุทธ์ และในแผนปฏิบัติงานนั้นต้องกำหนดวัตถุประสงค์เพื่อเชื่อมโยงและสอดคล้องกับเป้าหมายเชิงกลยุทธ์ ดังนั้นวัตถุประสงค์ที่กำหนดขึ้นจึงเป็นพื้นฐานสำคัญ ในการพิจารณาความเสี่ยงต่าง ๆ ที่อาจเกิดขึ้นและมีผลต่อความสำเร็จของวัตถุประสงค์นั้น ๆ

ในการพิจารณาเลือกกลยุทธ์เพื่อให้บรรลุผลสำเร็จ ผู้บริหารเป็นผู้ระบุความเสี่ยงกับระดับของกลยุทธ์ต่าง ๆ และพิจารณาสิ่งต่าง ๆ ที่เกี่ยวข้อง การระบุเหตุการณ์ที่หลากหลายและเทคนิคการประเมินความเสี่ยง สามารถนำมาใช้ในกระบวนการตั้งกลยุทธ์

2. วัตถุประสงค์ที่เกี่ยวข้อง
การตั้งวัตถุประสงค์ที่ถูกต้อง (ซึ่งสนับสนุนและเป็นไปในแนวทางเดียวกับกลยุทธ์ที่ได้เลือก) สัมพันธ์เกี่ยวข้องกับกิจกรรมขององค์กรเป็นสิ่งจำเป็นต่อความสำเร็จ หากมุ่งเน้นไปที่วัตถุประสงค์เชิงกลยุทธ์และกลยุทธ์ องค์กรได้ถูกวางไว้เพื่อพัฒนาวัตถุประสงค์ที่เกี่ยวข้องในระดับปฏิบัติการ ความสำเร็จจะสร้างและสงวนคุณค่าของวัตถุประสงค์เหล่านั้น ในวัตถุประสงค์แต่ละชุดจะเชื่อมโยงและรวมกับหลาย ๆ วัตถุประสงค์เฉพาะ ซึ่งลดหลั่นลงมาเป็นชั้น ๆ ผ่านองค์กรไปยังวัตถุประสงค์ย่อยซึ่งสร้างกิจกรรมที่หลากหลาย เช่น ยอดขาย การผลิต วิศวกรรมและงานด้านสาธารณูปโภคต่าง ๆ เป็นต้น

จากการตั้งวัตถุประสงค์ในระดับเอกลักษณ์และระดับกิจกรรมทำให้สามารถระบุปัจจัยสำคัญในความสำเร็จได้ ซึ่งหากต้องการไปถึงเป้าหมายจะต้องไปในทางที่ถูกต้อง ปัจจัยสำคัญมีอยู่เพื่อความเป็นจริงหน่วยธุรกิจ หน่วยงาน แผนกหรือปัจเจกบุคคล จากการตั้งวัตถุประสงค์ ผู้บริหารสามารถระบุเกณฑ์การวัดผลการปฏิบัติงานซึ่งมุ่งเน้นไปที่ปัจจัยสำคัญในความสำเร็จ

วัตถุประสงค์จะสอดคล้องกับการฝึกปฏิบัติและผลงาน การเชื่อมโยงระหว่างกิจกรรม อย่างไรก็ตามหากวัตถุประสงค์ใหม่มีความแตกต่างจากการปฏิบัติที่ผ่านมา ผู้บริหารมักเชื่อมต่อหรือเพิ่มความเสี่ยงขึ้น ซึ่งในกรณีนี้ความจำเป็นของวัตถุประสงค์ของหน่วยธุรกิจหรือวัตถุประสงค์ย่อยซึ่งสอดคล้องกับทิศทางใหม่จะมีความสำคัญมากกว่า

วัตถุประสงค์ต้องวัดได้และง่ายต่อการทำความเข้าใจ การบริหารความเสี่ยงของธุรกิจต้องการให้บุคลากรทุกระดับมีความเข้าใจวัตถุประสงค์ขององค์กรในแง่ที่มีความสัมพันธ์กับตนเอง พนักงานทุกคนจะต้องมีความเข้าใจสิ่งที่จะทำให้ประสบความสำเร็จและค่ากลางในการวัดผลของความสำเร็จ

กลุ่มของวัตถุประสงค์ที่เกี่ยวข้อง
เนื่องจากองค์กรต่าง ๆ มีวัตถุประสงค์ที่หลากหลาย จึงได้แบ่งเป็นกลุ่มได้ดังนี้
– วัตถุประสงค์เชิงปฏิบัติการ (Operation) – เป็นวัตถุประสงค์ที่มุ่งสู่ความมีประสิทธิภาพและประสิทธิผลของการปฏิบัติงานขององค์กร ซึ่งรวมถึงวัตถุประสงค์ย่อยสำหรับการปฏิบัติที่มุ่งการส่งเสริมการปฏิบัติงานอย่างมีประสิทธิภาพและประสิทธิผล เพื่อที่จะนำพาองค์กรไปสู่เป้าหมายอันสูงสุด

– วัตถุประสงค์เชิงรายงาน(Reporting) – เป็นวัตถุประสงค์ที่เกี่ยวข้องกับความน่าเชื่อถือของการรายงาน ซึ่งรวมถึงรายงานภายในและภายนอก และอาจรวมถึงข้อมูลทางการเงินและข้อมูลที่ไม่ใช่การเงิน การรายงานที่น่าเชื่อถือทำให้ผู้บริหารได้รับข้อมูลที่ถูกต้องและสมบูรณ์เพื่อให้บรรลุเป้าหมายที่ตั้งไว้ และยังช่วยสนับสนุนการตัดสินใจของผู้บริหาร รวมทั้งช่วยตรวจสอบผลงานและกิจกรรมของผู้บริหาร ตัวอย่างของรายงานอาจรวมถึงผลของกิจกรรมทางการตลาด รายงานการขายประจำวัน คุณภาพการผลิต ลูกจ้าง และความพึงพอใจของลูกค้า รายงานที่น่าเชื่อถือทำให้ผู้บริหารมั่นใจในการเตรียมรายงานที่น่าเชื่อถือสำหรับการนำไปเผยแพร่ รายงานเหล่านี้รวมถึงเอกสารทางการเงินและเชิงอรรถ การอภิปรายและการวิเคราะห์ในระดับบริหารรวมทั้งรายงานต่างๆ ที่เก็บไว้คู่กับกฎระเบียบบริษัท

– วัตถุประสงค์ด้านการปฏิบัติตาม กฎ ระเบียบ ขององค์กร/ความร่วมมือ (Compliance ) – เป็นวัตถุประสงค์ที่ยึดตามกฎหมายและกฎระเบียบ ซึ่งขึ้นอยู่กับปัจจัยภายนอก เช่น กฎระเบียบเกี่ยวกับสิ่งแวดล้อม และมีแนวโน้มที่คล้ายคลึงกันทุกองค์กรและทุกอุตสาหกรรมในบางกรณี

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 1, 2009

วันนี้ ผมจะนำเสนอถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลักการของ COSO – ERM ในกระบวนการถัดไป ซึ่งเป็นเรื่องของการกำหนดวัตถุประสงค์ (Objective Setting) และถือเป็นหัวใจสำคัญของกระบวนการบริหารความเสี่ยง COSO – ERM ทั้ง 8 ประการ หลังจากที่ได้พิจารณาสภาพแวดล้อมภายในองค์กรไปแล้ว

การบริหารงานเพื่อก้าวไปสู่พันธกิจ และวิสัยทัศน์ขององค์กร ซึ่งจะต้องถูกถ่ายทอดเป็นแผนปฏิบัติการและโครงการต่าง ๆ นั้น จำเป็นอย่างยิ่งที่ผู้เกี่ยวข้องจะต้องเข้าใจการกำหนดวัตถุประสงค์ให้ชัดเจน เพื่อกำหนดการควบคุมที่เหมาะสมได้ และมีหลักการโดยย่อตามรูปภาพ

การกำหนดวัตถุประสงค์ตามหลัก SMART

การกำหนดวัตถุประสงค์ตามหลัก SMART

เพราะการบริหารความเสี่ยงอย่างเป็นกระบวนการจะชี้ปัจจัยเสี่ยงจากความไม่แน่นอนต่าง ๆ ซึ่งเกิดจากเหตุการณ์ภายใน และเหตุการณ์ภายนอกขององค์กรนั้น จะมุ่งไปสู่การระบุเหตุการณ์ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์และเป้าหมายของแผนงาน/โครงการต่าง ๆ ขององค์กร เป็นสำคัญ และการจัดการกับความเสี่ยงใด ๆ ก็จะมุ่งไปที่สาเหตุ หรือมูลเหตุที่แท้จริงที่สามารถควบคุมและจัดการกับความเสี่ยงให้ได้ผลเป็นรูปธรรม เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า แผนงานและโครงการขององค์กรจะก้าวสู่ความสำเร็จได้ตามแผนงานที่วางไว้

วัตถุประสงค์โดยรวมของทุกองค์กร อาจแบ่งได้เป็นวัตถุประสงค์เชิงกลยุทธ์ หรือวัตถุประสงค์หลักขององค์กร และตามด้วยวัตถุประสงค์ย่อยที่เกี่ยวข้องกับการดำเนินการตามแผนงาน ซึ่งจะอธิบายโดยแผนภาพย่อ ๆ ซึ่งเป็นกระบวนการหนึ่งของการบริหารความเสี่ยงทั่วทั้งองค์กร หรือ ERM 8 ประการ ดังนี้

องค์ประกอบสำคัญของการกำหนดวัตถุประสงค์ - หัวใจสำคัญของกระบวนการบริหารความเสี่ยง

องค์ประกอบสำคัญของการกำหนดวัตถุประสงค์ - หัวใจสำคัญของกระบวนการบริหารความเสี่ยง

ประเภทของวัตถุประสงค์
ทุก ๆ องค์กร จะต้องเผชิญกับความหลากหลายของความเสี่ยงจากแหล่งภายในและภายนอก รวมทั้งการคาดการณ์สำหรับการระบุเหตุการณ์ให้มีประสิทธิภาพ การประเมินความเสี่ยง การตอบสนองความเสี่ยงเป็นจุดเริ่มต้นของวัตถุประสงค์ โดยเชื่อมโยงกับระดับที่แตกต่างและมีความเหนียวแน่นอยู่ภายใน วัตถุประสงค์ถูกตั้งไว้ที่ระดับกลยุทธ์ เป็นพื้นฐานสำหรับการปฏิบัติการ การรายงานผล และการปฏิบัติตามวัตถุประสงค์ วัตถุประสงค์ได้ถูกวางเป็นแนวเดียวกับความเสี่ยงซึ่งผลักดันระดับความทนต่อความเสี่ยงเพื่อสร้างกิจกรรมต่าง ๆ ในองค์กร

การตั้งวัตถุประสงค์ คือ การคาดการณ์สำหรับการระบุเหตุการณ์ การประเมินความเสี่ยง และการตอบสนองความเสี่ยง การมีวัตถุประสงค์ก่อนการบริหารสามารถระบุความเสี่ยงสำหรับการบรรลุผลสำเร็จและเป็นการนำการปฏิบัติที่จำเป็นมาใช้ในการจัดการกับความเสี่ยง

การกำหนดวัตถุประสงค์จึงต้องมีความชัดเจนเพื่อให้การบ่งชี้ความเสี่ยงมีความน่าเชื่อถือ เมื่อได้กำหนดวัตถุประสงค์ขึ้นมาแล้วควรสื่อสารให้แก่หน่วยงานต่าง ๆ ที่เกี่ยวข้องในองค์กรด้วย เพื่อให้ผู้บริหารและพนักงานทุกคนมีความเข้าใจตรงกันและสามารถดำเนินการเพื่อมุ่งให้บรรลุเป้าหมายขององค์กรได้

1. วัตถุประสงค์เชิงกลยุทธ์ (Strategic Objective)/วัตถุประสงค์หลัก
พันธกิจขององค์กรถูกตั้งไว้อย่างกว้าง ๆ ว่าต้องการความสำเร็จอะไร อาจเรียกว่า พันธกิจ (Mission), วิสัยทัศน์ (Vision), หรือ เป้าหมาย (Purpose) ซึ่งล้วนแต่มีความสำคัญ ซึ่งฝ่ายบริหารที่มีความเอาใส่ใจได้สร้างไว้อย่างกว้าง ๆ ซึ่งเป็นเหตุผลในการเป็นอยู่ของกิจการ ผู้บริหารเป็นผู้ตั้งวัตถุประสงค์เชิงกลยุทธ์ สร้างกลยุทธ์และสร้างวัตถุประสงค์ที่เกี่ยวข้องเพื่อองค์กร ในขณะที่พันธกิจที่เป็นจริงและวัตถุประสงค์เชิงกลยุทธ์มีเสถียรภาพ กลยุทธ์และวัตถุประสงค์ที่เกี่ยวข้องจะมีความเป็นพลวัตรมากกว่าและสามารถปรับเปลี่ยนไปตามสภาพภายในและภายนอกได้

วัตถุประสงค์เชิงกลยุทธ์เป็นเป้าหมายระดับสูง เป็นแนวทางเดียวกันและสนับสนุนพันธกิจ วิสัยทัศน์ วัตถุประสงค์เชิงกลยุทธ์สะท้อนทางเลือกทางการบริหาร ในการทำอย่างไรให้องค์กรช่วยเพิ่มคุณค่าให้กับผู้มีผลประโยชน์ร่วม

ผู้บริหารเป็นผู้จัดตั้งเป้าหมายเชิงกลยุทธ์ (Strategic Objective) โดยเลือกกลยุทธ์ที่เกี่ยวข้องกับเป้าหมายระดับสูง (High-Level goal) และเป้าหมายดังกล่าวต้องสนับสนุนและเป็นไปในทิศทางเดียวกับวิสัยทัศน์และพันธกิจขององค์กร

ผู้บริหารระดับรองลงมา จะต้องกำหนดแผนปฏิบัติงานเพื่อรองรับแผนกลยุทธ์ และในแผนปฏิบัติงานนั้นต้องกำหนดวัตถุประสงค์เพื่อเชื่อมโยงและสอดคล้องกับเป้าหมายเชิงกลยุทธ์ ดังนั้นวัตถุประสงค์ที่กำหนดขึ้นจึงเป็นพื้นฐานสำคัญ ในการพิจารณาความเสี่ยงต่าง ๆ ที่อาจเกิดขึ้นและมีผลต่อความสำเร็จของวัตถุประสงค์นั้น ๆ

ในการพิจารณาเลือกกลยุทธ์เพื่อให้บรรลุผลสำเร็จ ผู้บริหารเป็นผู้ระบุความเสี่ยงกับระดับของกลยุทธ์ต่าง ๆ และพิจารณาสิ่งต่าง ๆ ที่เกี่ยวข้อง การระบุเหตุการณ์ที่หลากหลายและเทคนิคการประเมินความเสี่ยง สามารถนำมาใช้ในกระบวนการตั้งกลยุทธ์

2. วัตถุประสงค์ที่เกี่ยวข้อง
การตั้งวัตถุประสงค์ที่ถูกต้อง (ซึ่งสนับสนุนและเป็นไปในแนวทางเดียวกับกลยุทธ์ที่ได้เลือก) สัมพันธ์เกี่ยวข้องกับกิจกรรมขององค์กรเป็นสิ่งจำเป็นต่อความสำเร็จ หากมุ่งเน้นไปที่วัตถุประสงค์เชิงกลยุทธ์และกลยุทธ์ องค์กรได้ถูกวางไว้เพื่อพัฒนาวัตถุประสงค์ที่เกี่ยวข้องในระดับปฏิบัติการ ความสำเร็จจะสร้างและสงวนคุณค่าของวัตถุประสงค์เหล่านั้น ในวัตถุประสงค์แต่ละชุดจะเชื่อมโยงและรวมกับหลาย ๆ วัตถุประสงค์เฉพาะ ซึ่งลดหลั่นลงมาเป็นชั้น ๆ ผ่านองค์กรไปยังวัตถุประสงค์ย่อยซึ่งสร้างกิจกรรมที่หลากหลาย เช่น ยอดขาย การผลิต วิศวกรรมและงานด้านสาธารณูปโภคต่าง ๆ เป็นต้น

จากการตั้งวัตถุประสงค์ในระดับเอกลักษณ์และระดับกิจกรรมทำให้สามารถระบุปัจจัยสำคัญในความสำเร็จได้ ซึ่งหากต้องการไปถึงเป้าหมายจะต้องไปในทางที่ถูกต้อง ปัจจัยสำคัญมีอยู่เพื่อความเป็นจริงหน่วยธุรกิจ หน่วยงาน แผนกหรือปัจเจกบุคคล จากการตั้งวัตถุประสงค์ ผู้บริหารสามารถระบุเกณฑ์การวัดผลการปฏิบัติงานซึ่งมุ่งเน้นไปที่ปัจจัยสำคัญในความสำเร็จ

วัตถุประสงค์จะสอดคล้องกับการฝึกปฏิบัติและผลงาน การเชื่อมโยงระหว่างกิจกรรม อย่างไรก็ตามหากวัตถุประสงค์ใหม่มีความแตกต่างจากการปฏิบัติที่ผ่านมา ผู้บริหารมักเชื่อมต่อหรือเพิ่มความเสี่ยงขึ้น ซึ่งในกรณีนี้ความจำเป็นของวัตถุประสงค์ของหน่วยธุรกิจหรือวัตถุประสงค์ย่อยซึ่งสอดคล้องกับทิศทางใหม่จะมีความสำคัญมากกว่า

วัตถุประสงค์ต้องวัดได้และง่ายต่อการทำความเข้าใจ การบริหารความเสี่ยงของธุรกิจต้องการให้บุคลากรทุกระดับมีความเข้าใจวัตถุประสงค์ขององค์กรในแง่ที่มีความสัมพันธ์กับตนเอง พนักงานทุกคนจะต้องมีความเข้าใจสิ่งที่จะทำให้ประสบความสำเร็จและค่ากลางในการวัดผลของความสำเร็จ

กลุ่มของวัตถุประสงค์ที่เกี่ยวข้อง
เนื่องจากองค์กรต่าง ๆ มีวัตถุประสงค์ที่หลากหลาย จึงได้แบ่งเป็นกลุ่มได้ดังนี้
– วัตถุประสงค์เชิงปฏิบัติการ (Operation) – เป็นวัตถุประสงค์ที่มุ่งสู่ความมีประสิทธิภาพและประสิทธิผลของการปฏิบัติงานขององค์กร ซึ่งรวมถึงวัตถุประสงค์ย่อยสำหรับการปฏิบัติที่มุ่งการส่งเสริมการปฏิบัติงานอย่างมีประสิทธิภาพและประสิทธิผล เพื่อที่จะนำพาองค์กรไปสู่เป้าหมายอันสูงสุด

– วัตถุประสงค์เชิงรายงาน(Reporting) – เป็นวัตถุประสงค์ที่เกี่ยวข้องกับความน่าเชื่อถือของการรายงาน ซึ่งรวมถึงรายงานภายในและภายนอก และอาจรวมถึงข้อมูลทางการเงินและข้อมูลที่ไม่ใช่การเงิน การรายงานที่น่าเชื่อถือทำให้ผู้บริหารได้รับข้อมูลที่ถูกต้องและสมบูรณ์เพื่อให้บรรลุเป้าหมายที่ตั้งไว้ และยังช่วยสนับสนุนการตัดสินใจของผู้บริหาร รวมทั้งช่วยตรวจสอบผลงานและกิจกรรมของผู้บริหาร ตัวอย่างของรายงานอาจรวมถึงผลของกิจกรรมทางการตลาด รายงานการขายประจำวัน คุณภาพการผลิต ลูกจ้าง และความพึงพอใจของลูกค้า รายงานที่น่าเชื่อถือทำให้ผู้บริหารมั่นใจในการเตรียมรายงานที่น่าเชื่อถือสำหรับการนำไปเผยแพร่ รายงานเหล่านี้รวมถึงเอกสารทางการเงินและเชิงอรรถ การอภิปรายและการวิเคราะห์ในระดับบริหารรวมทั้งรายงานต่างๆ ที่เก็บไว้คู่กับกฎระเบียบบริษัท

– วัตถุประสงค์ด้านการปฏิบัติตาม กฎ ระเบียบ ขององค์กร/ความร่วมมือ (Compliance ) – เป็นวัตถุประสงค์ที่ยึดตามกฎหมายและกฎระเบียบ ซึ่งขึ้นอยู่กับปัจจัยภายนอก เช่น กฎระเบียบเกี่ยวกับสิ่งแวดล้อม และมีแนวโน้มที่คล้ายคลึงกันทุกองค์กรและทุกอุตสาหกรรมในบางกรณี

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 28, 2009

ในครั้งที่แล้วผมได้พูดถึงสภาพแวดล้อมในองค์กรที่เป็นปัจจัยสำคัญที่ผู้บริหารต้องพิจารณาและมีการกำหนดร่วมกันกับพนักงานในองค์กร อันจะส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร ซึ่งเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM โดยได้กล่าวไว้เพียงบางส่วน และในวันนี้ผมจะกล่าวถึงสภาพแวดล้อมขององค์กรที่ผู้บริหารจะต้องพิจารณาในส่วนที่เหลือ ก่อนที่จะนำไปสู่กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในกระบวนการถัดไปในโอกาสหน้าครับ

7. ค่านิยมด้านความซื่อสัตย์และจริยธรรม
กลยุทธ์และวัตถุประสงค์ที่นำไปสู่วิธีการปฏิบัติเพื่อให้บรรลุผลสำเร็จมีพื้นฐานมาจากความนิยมชมชอบ การตัดสินคุณค่าและรูปแบบการบริหาร ความซื่อสัตย์และการยอมรับในค่านิยมด้านจริยธรรมมีผลต่อความชอบและการตัดสินคุณค่า ซึ่งจะถูกนำไปสู่มาตรฐานทางพฤติกรรม เนื่องจากชื่อเสียงขององค์กรเป็นสิ่งที่มีคุณค่ามาก มาตรฐานทางพฤติกรรมต้องดำเนินไปอย่างสอดคล้องกับกฎหมาย ผู้บริหารขององค์กรที่มีการดำเนินการที่ดีมีการยอมรับมากขึ้นว่ามุมมองในเรื่องพฤติกรรมที่มีความซื่อสัตย์และจริยธรรมเป็นธุรกิจที่ดี

ความซื่อสัตย์ทางการบริหารเป็นสิ่งที่จำเป็นสำหรับพฤติกรรมด้านจริยธรรมในทุกแง่ของกิจกรรมขององค์กร ประสิทธิผลของการจัดการความเสี่ยงขององค์กรไม่สามารถเพิ่มเหนือคุณค่าของความสื่อสัตย์และจริยธรรมของบุคลากรที่สร้าง ดำเนินการและดูแลกิจกรรมที่สำคัญ ค่านิยมด้านความซื่อสัตย์และจริยธรรมเป็นองค์ประกอบของสภาพแวดล้อมที่มีความสำคัญ มีผลต่อการออกแบบ การบริหารและการติดตามดูแลองค์ประกอบอื่น ๆ ของการบริหารความเสี่ยง

การสร้างคุณค่าทางจริยธรรมมักทำได้ยาก เนื่องจากความจำเป็นในการพิจารณาหลาย ๆ ด้าน ค่านิยมของฝ่ายบริหารต้องสมดุลกับองค์กร พนักงาน ลูกค้า คู่แข่งและ ผู้มีผลประโยชน์ร่วม ความสมดุลของเรื่องต่าง ๆ นั้น เป็นเรื่องที่มีความซับซ้อนและยุ่งยาก เนื่องจากความสนใจในแต่ละบุคคลนั้นแตกต่างกัน

พฤติกรรมทางจริยธรรมและความซื่อสัตย์ทางการบริหารเป็นผลพวงของวัฒนธรรมขององค์กร ซึ่งจริยธรรมและมาตรฐานทางพฤติกรรม รวมถึงวิธีที่ใช้สื่อสารและผลักดันนโยบายอย่างเป็นทางการชี้ให้เห็นถึงสิ่งที่คณะกรรมการและฝ่ายบริหารต้องการให้เกิดขึ้น วัฒนธรรมขององค์กรระบุให้เห็นถึงสิ่งที่เกิดขึ้นจริง และบทบาทที่ต้องปฏิบัติตามอย่างตั้งใจหรือหลีกเลี่ยง

8. การยอมรับในความสามารถ
ความสามารถสะท้อนให้เห็นถึงความรู้และทักษะที่จำเป็นสำหรับการปฏิบัติงานตามที่ได้รับมอบหมาย ฝ่ายบริหารจะตัดสินใจถึงวิธีต่าง ๆ ที่จำเป็นในการทำงานให้สำเร็จ โดยการให้น้ำหนักระหว่างกลยุทธ์และวัตถุประสงค์เทียบกับแผนในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

ผู้บริหารควรกำหนดระดับของความรู้ความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละงาน เช่น การจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เป็นต้น ความรู้และทักษะที่จำเป็นนั้นอาจขึ้นอยู่กับความฉลาด การฝึกอบรมและประสบการณ์ของแต่ละคน ปัจจัยที่ต้องพิจารณาในการพัฒนาระดับความรู้และทักษะจะรวมถึงธรรมชาติและระดับของการตัดสินในการนำไปประยุกต์ใช้ในงานที่มีความเฉพาะเจาะจง

9. ปรัชญาและสไตล์การบริหารงานของผู้บริหาร
ความแตกต่างในแนวความคิดและวิธีการทำงานของนักบริหาร อาทิเช่น ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ลักษณะในการยอมรับความเสี่ยงของผู้บริหาร ความกล้าได้กล้าเสียหรือชอบระมัดระวัง เป็นต้น ย่อมมีอิทธิพลต่อวิธีการบริหาร รูปแบบของการยอมรับความเสี่ยง การควบคุมภายในขององค์กร เพราะผู้บริหารมีหน้าที่โดยตรงในการจัดให้มีนโยบาย มาตรการ และวิธีการควบคุมที่เหมาะสมในแต่ละสถานการณ์สำหรับองค์กร

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

10. โครงสร้างการจัดองค์กร
โครงสร้างองค์กรจะเป็นตัวกำหนดกรอบของงานที่จะวางแผน จัดการ ควบคุมและติดตามกิจกรรมต่าง ๆ โครงสร้างองค์กรประกอบด้วยการกำหนดจุดสำคัญของอำนาจหน้าที่และความรับผิดชอบและการกำหนดสายการบังคับบัญชาในการรายงาน

องค์กรทั่วไปจะต้องกำหนดโครงสร้างองค์กรที่เหมาะสมตามที่จำเป็น บางส่วนอาจต้องรวมอำนาจ บางส่วนก็อาจต้องกระจายอำนาจออกไป บางส่วนต้องมีการรายงานโดยตรง หรือบางส่วนอาจต้องใช้องค์กรแบบ Matrix

โครงสร้างขององค์กรทั่วไปที่เหมาะสมขึ้นอยู่กับขนาดขององค์กรและลักษณะของกิจกรรม องค์กรที่มีโครงสร้างสูง มีสายการบังคับบัญชาและความรับผิดชอบที่เป็นทางการ อาจเหมาะสมกับองค์กรขนาดใหญ่ที่มีฝ่ายปฏิบัติจำนวนมากและการปฏิบัติงานต่างประเทศ อย่างไรก็ตามบางโครงสร้างที่มีช่องทางการสื่อสารที่สะดวกอาจเหมาะสมกับองค์กรที่มีขนาดเล็ก

11. วิธีการมอบอำนาจและความรับผิดชอบ
การมอบอำนาจและความรับผิดชอบมีความสัมพันธ์กับระดับที่แต่ละบุคคลและทีมงานได้รับมอบหมายอำนาจ เป็นการส่งเสริมให้ใช้ความคิดริเริ่มในประเด็นต่าง ๆ การแก้ปัญหา และการใช้ขอบเขตของอำนาจ

ประเด็นที่สำคัญในการมอบหมายอำนาจก็คือต้องการให้บรรลุวัตถุประสงค์ นั่นหมายถึงต้องแน่ใจว่าการยอมรับความเสี่ยงนั้นมีพื้นฐานมาจากวิธีการในการระบุความเสี่ยง ประเมินความเสี่ยง รวมถึงขนาดและการให้น้ำหนักของการสูญเสียเทียบกับประโยชน์ที่ได้รับในระดับการตัดสินใจทางธุรกิจที่ดี

อีกประการหนึ่งคือทำให้แน่ใจว่าทุกคนเข้าใจวัตถุประสงค์ขององค์กรและประโยชน์ที่ทุกคนรู้วิธีการในการปฏิบัติเพื่อให้บรรลุวัตถุประสงค์

บางครั้งการเพิ่มการมอบอำนาจอาจขึ้นอยู่กับโครงสร้างขององค์กรว่าเป็นแบบแนวดิ่งหรือแนวราบ การเปลี่ยนแปลงโครงสร้างต้องสนับสนุนให้เกิดความคิดสร้างสรรค์ การริเริ่มและการตอบสนองการแข่งขันและความพึงพอใจของลูกค้าอย่างรวดเร็ว การเพิ่มการมอบอำนาจอาจต้องใช้ความสามารถของพนักงานในระดับที่สูงขึ้นและต้องสามารถตรวจสอบได้มากขึ้น และต้องมีวิธีการที่มีประสิทธิภาพเพื่อให้ฝ่ายบริหารสามารติดตามผลเพื่อการตัดสินใจเท่าที่จำเป็น

12. นโยบายบริหารงานด้านทรัพยากรมนุษย์
บุคลากรเป็นปัจจัยสำคัญและมีอิทธิพลต่อการปฏิบัติงานทุกด้าน รวมทั้งการควบคุมภายใน ดังนั้น ผู้บริหารควรมีการกำหนดนโยบายและวิธีปฏิบัติที่กำหนดในส่วนที่เกี่ยวข้องกับการบริหารทรัพยากรมนุษย์ที่ชัดเจนด้านการคัดเลือก การปฐมนิเทศ การฝึกอบรม การประเมินผล การให้คำปรึกษา การเลื่อนตำแหน่ง การบริหารค่าตอบแทน เป็นต้น

การจ้างงานควรมีมาตรฐานโดยพิจารณาจากพื้นฐานทางการศึกษา ประสบการณ์การทำงาน ความสำเร็จที่ผ่านมาและพฤติกรรมด้านจริยธรรมและความซื่อสัตย์ การแสดงให้เห็นว่าเป็นบุคคลที่มีความผูกพันต่อองค์กรและมีความน่าเชื่อถือได้ วิธีการในการสรรหาจะประกอบด้วยการสัมภาษณ์ที่เป็นทางการ การสัมภาษณ์เชิงลึก และข้อมูลและการแสดงออกที่สามารถมองเห็นได้จากองค์กรเดิม วัฒนธรรมและรูปแบบการปฏิบัติงาน

นโยบายการฝึกอบรมมีอิทธิพลต่อระดับการปฏิบัติงานและพฤติกรรมที่คาดหวังไว้โดยการสื่อสารบทบาทและความรับผิดชอบที่คาดหวังไว้ และการดำเนินงานเหมือนโรงเรียนฝึกอบรมและสัมมนา แบบฝึกหัดที่เป็นกรณีศึกษาให้ปฏิบัติและการแสดงบทบาทสมมติ

การโยกย้ายและการเลื่อนตำแหน่งต้องเกิดจากการประเมินผลการปฏิบัติที่สะท้อนให้เห็นถึงความผูกพันขององค์กรต่อพนักงานที่มีคุณภาพสูง

โปรแกรมการจ่ายค่าตอบแทนที่ใช้ในการแข่งขันจะประกอบด้วยการจ่ายโบนัสจูงใจเพื่อตอบสนองและจูงใจผู้ที่มีผลการปฏิบัติงานที่ดีเลิศ

การลงโทษทางวินัยจะเป็นตัวส่งสัญญาณให้เห็นถึงพฤติกรรมที่ไม่ควรปฏิบัติ ควรหลีกเลี่ยง

13. ความแตกต่างทางสภาพแวดล้อมและความหมายของสภาพแวดล้อม
สภาพแวดล้อมภายในขององค์กรทั่วไป ย่อมมีความแตกต่างกัน ซึ่งสภาพแวดล้อมภายในที่แตกต่างกันนี้ ถือเป็นองค์ประกอบหนึ่งของกรอบการบริหารความเสี่ยงขององค์กร หากองค์กรมีสภาพแวดล้อมภายในที่ไม่มีประสิทธิภาพจะส่งผลกระทบต่อความสูญเสียทางการเงิน ภาพพจน์ขององค์กรต่อบุคคล/สังคมภายนอก รวมไปถึงอาจก่อให้เกิดความล้มเหลวทางธุรกิจได้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 28, 2009

ในครั้งที่แล้วผมได้พูดถึงสภาพแวดล้อมในองค์กรที่เป็นปัจจัยสำคัญที่ผู้บริหารต้องพิจารณาและมีการกำหนดร่วมกันกับพนักงานในองค์กร อันจะส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร ซึ่งเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM โดยได้กล่าวไว้เพียงบางส่วน และในวันนี้ผมจะกล่าวถึงสภาพแวดล้อมขององค์กรที่ผู้บริหารจะต้องพิจารณาในส่วนที่เหลือ ก่อนที่จะนำไปสู่กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในกระบวนการถัดไปในโอกาสหน้าครับ

7. ค่านิยมด้านความซื่อสัตย์และจริยธรรม
กลยุทธ์และวัตถุประสงค์ที่นำไปสู่วิธีการปฏิบัติเพื่อให้บรรลุผลสำเร็จมีพื้นฐานมาจากความนิยมชมชอบ การตัดสินคุณค่าและรูปแบบการบริหาร ความซื่อสัตย์และการยอมรับในค่านิยมด้านจริยธรรมมีผลต่อความชอบและการตัดสินคุณค่า ซึ่งจะถูกนำไปสู่มาตรฐานทางพฤติกรรม เนื่องจากชื่อเสียงขององค์กรเป็นสิ่งที่มีคุณค่ามาก มาตรฐานทางพฤติกรรมต้องดำเนินไปอย่างสอดคล้องกับกฎหมาย ผู้บริหารขององค์กรที่มีการดำเนินการที่ดีมีการยอมรับมากขึ้นว่ามุมมองในเรื่องพฤติกรรมที่มีความซื่อสัตย์และจริยธรรมเป็นธุรกิจที่ดี

ความซื่อสัตย์ทางการบริหารเป็นสิ่งที่จำเป็นสำหรับพฤติกรรมด้านจริยธรรมในทุกแง่ของกิจกรรมขององค์กร ประสิทธิผลของการจัดการความเสี่ยงขององค์กรไม่สามารถเพิ่มเหนือคุณค่าของความสื่อสัตย์และจริยธรรมของบุคลากรที่สร้าง ดำเนินการและดูแลกิจกรรมที่สำคัญ ค่านิยมด้านความซื่อสัตย์และจริยธรรมเป็นองค์ประกอบของสภาพแวดล้อมที่มีความสำคัญ มีผลต่อการออกแบบ การบริหารและการติดตามดูแลองค์ประกอบอื่น ๆ ของการบริหารความเสี่ยง

การสร้างคุณค่าทางจริยธรรมมักทำได้ยาก เนื่องจากความจำเป็นในการพิจารณาหลาย ๆ ด้าน ค่านิยมของฝ่ายบริหารต้องสมดุลกับองค์กร พนักงาน ลูกค้า คู่แข่งและ ผู้มีผลประโยชน์ร่วม ความสมดุลของเรื่องต่าง ๆ นั้น เป็นเรื่องที่มีความซับซ้อนและยุ่งยาก เนื่องจากความสนใจในแต่ละบุคคลนั้นแตกต่างกัน

พฤติกรรมทางจริยธรรมและความซื่อสัตย์ทางการบริหารเป็นผลพวงของวัฒนธรรมขององค์กร ซึ่งจริยธรรมและมาตรฐานทางพฤติกรรม รวมถึงวิธีที่ใช้สื่อสารและผลักดันนโยบายอย่างเป็นทางการชี้ให้เห็นถึงสิ่งที่คณะกรรมการและฝ่ายบริหารต้องการให้เกิดขึ้น วัฒนธรรมขององค์กรระบุให้เห็นถึงสิ่งที่เกิดขึ้นจริง และบทบาทที่ต้องปฏิบัติตามอย่างตั้งใจหรือหลีกเลี่ยง

8. การยอมรับในความสามารถ
ความสามารถสะท้อนให้เห็นถึงความรู้และทักษะที่จำเป็นสำหรับการปฏิบัติงานตามที่ได้รับมอบหมาย ฝ่ายบริหารจะตัดสินใจถึงวิธีต่าง ๆ ที่จำเป็นในการทำงานให้สำเร็จ โดยการให้น้ำหนักระหว่างกลยุทธ์และวัตถุประสงค์เทียบกับแผนในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

ผู้บริหารควรกำหนดระดับของความรู้ความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละงาน เช่น การจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เป็นต้น ความรู้และทักษะที่จำเป็นนั้นอาจขึ้นอยู่กับความฉลาด การฝึกอบรมและประสบการณ์ของแต่ละคน ปัจจัยที่ต้องพิจารณาในการพัฒนาระดับความรู้และทักษะจะรวมถึงธรรมชาติและระดับของการตัดสินในการนำไปประยุกต์ใช้ในงานที่มีความเฉพาะเจาะจง

9. ปรัชญาและสไตล์การบริหารงานของผู้บริหาร
ความแตกต่างในแนวความคิดและวิธีการทำงานของนักบริหาร อาทิเช่น ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ลักษณะในการยอมรับความเสี่ยงของผู้บริหาร ความกล้าได้กล้าเสียหรือชอบระมัดระวัง เป็นต้น ย่อมมีอิทธิพลต่อวิธีการบริหาร รูปแบบของการยอมรับความเสี่ยง การควบคุมภายในขององค์กร เพราะผู้บริหารมีหน้าที่โดยตรงในการจัดให้มีนโยบาย มาตรการ และวิธีการควบคุมที่เหมาะสมในแต่ละสถานการณ์สำหรับองค์กร

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

10. โครงสร้างการจัดองค์กร
โครงสร้างองค์กรจะเป็นตัวกำหนดกรอบของงานที่จะวางแผน จัดการ ควบคุมและติดตามกิจกรรมต่าง ๆ โครงสร้างองค์กรประกอบด้วยการกำหนดจุดสำคัญของอำนาจหน้าที่และความรับผิดชอบและการกำหนดสายการบังคับบัญชาในการรายงาน

องค์กรทั่วไปจะต้องกำหนดโครงสร้างองค์กรที่เหมาะสมตามที่จำเป็น บางส่วนอาจต้องรวมอำนาจ บางส่วนก็อาจต้องกระจายอำนาจออกไป บางส่วนต้องมีการรายงานโดยตรง หรือบางส่วนอาจต้องใช้องค์กรแบบ Matrix

โครงสร้างขององค์กรทั่วไปที่เหมาะสมขึ้นอยู่กับขนาดขององค์กรและลักษณะของกิจกรรม องค์กรที่มีโครงสร้างสูง มีสายการบังคับบัญชาและความรับผิดชอบที่เป็นทางการ อาจเหมาะสมกับองค์กรขนาดใหญ่ที่มีฝ่ายปฏิบัติจำนวนมากและการปฏิบัติงานต่างประเทศ อย่างไรก็ตามบางโครงสร้างที่มีช่องทางการสื่อสารที่สะดวกอาจเหมาะสมกับองค์กรที่มีขนาดเล็ก

11. วิธีการมอบอำนาจและความรับผิดชอบ
การมอบอำนาจและความรับผิดชอบมีความสัมพันธ์กับระดับที่แต่ละบุคคลและทีมงานได้รับมอบหมายอำนาจ เป็นการส่งเสริมให้ใช้ความคิดริเริ่มในประเด็นต่าง ๆ การแก้ปัญหา และการใช้ขอบเขตของอำนาจ

ประเด็นที่สำคัญในการมอบหมายอำนาจก็คือต้องการให้บรรลุวัตถุประสงค์ นั่นหมายถึงต้องแน่ใจว่าการยอมรับความเสี่ยงนั้นมีพื้นฐานมาจากวิธีการในการระบุความเสี่ยง ประเมินความเสี่ยง รวมถึงขนาดและการให้น้ำหนักของการสูญเสียเทียบกับประโยชน์ที่ได้รับในระดับการตัดสินใจทางธุรกิจที่ดี

อีกประการหนึ่งคือทำให้แน่ใจว่าทุกคนเข้าใจวัตถุประสงค์ขององค์กรและประโยชน์ที่ทุกคนรู้วิธีการในการปฏิบัติเพื่อให้บรรลุวัตถุประสงค์

บางครั้งการเพิ่มการมอบอำนาจอาจขึ้นอยู่กับโครงสร้างขององค์กรว่าเป็นแบบแนวดิ่งหรือแนวราบ การเปลี่ยนแปลงโครงสร้างต้องสนับสนุนให้เกิดความคิดสร้างสรรค์ การริเริ่มและการตอบสนองการแข่งขันและความพึงพอใจของลูกค้าอย่างรวดเร็ว การเพิ่มการมอบอำนาจอาจต้องใช้ความสามารถของพนักงานในระดับที่สูงขึ้นและต้องสามารถตรวจสอบได้มากขึ้น และต้องมีวิธีการที่มีประสิทธิภาพเพื่อให้ฝ่ายบริหารสามารติดตามผลเพื่อการตัดสินใจเท่าที่จำเป็น

12. นโยบายบริหารงานด้านทรัพยากรมนุษย์
บุคลากรเป็นปัจจัยสำคัญและมีอิทธิพลต่อการปฏิบัติงานทุกด้าน รวมทั้งการควบคุมภายใน ดังนั้น ผู้บริหารควรมีการกำหนดนโยบายและวิธีปฏิบัติที่กำหนดในส่วนที่เกี่ยวข้องกับการบริหารทรัพยากรมนุษย์ที่ชัดเจนด้านการคัดเลือก การปฐมนิเทศ การฝึกอบรม การประเมินผล การให้คำปรึกษา การเลื่อนตำแหน่ง การบริหารค่าตอบแทน เป็นต้น

การจ้างงานควรมีมาตรฐานโดยพิจารณาจากพื้นฐานทางการศึกษา ประสบการณ์การทำงาน ความสำเร็จที่ผ่านมาและพฤติกรรมด้านจริยธรรมและความซื่อสัตย์ การแสดงให้เห็นว่าเป็นบุคคลที่มีความผูกพันต่อองค์กรและมีความน่าเชื่อถือได้ วิธีการในการสรรหาจะประกอบด้วยการสัมภาษณ์ที่เป็นทางการ การสัมภาษณ์เชิงลึก และข้อมูลและการแสดงออกที่สามารถมองเห็นได้จากองค์กรเดิม วัฒนธรรมและรูปแบบการปฏิบัติงาน

นโยบายการฝึกอบรมมีอิทธิพลต่อระดับการปฏิบัติงานและพฤติกรรมที่คาดหวังไว้โดยการสื่อสารบทบาทและความรับผิดชอบที่คาดหวังไว้ และการดำเนินงานเหมือนโรงเรียนฝึกอบรมและสัมมนา แบบฝึกหัดที่เป็นกรณีศึกษาให้ปฏิบัติและการแสดงบทบาทสมมติ

การโยกย้ายและการเลื่อนตำแหน่งต้องเกิดจากการประเมินผลการปฏิบัติที่สะท้อนให้เห็นถึงความผูกพันขององค์กรต่อพนักงานที่มีคุณภาพสูง

โปรแกรมการจ่ายค่าตอบแทนที่ใช้ในการแข่งขันจะประกอบด้วยการจ่ายโบนัสจูงใจเพื่อตอบสนองและจูงใจผู้ที่มีผลการปฏิบัติงานที่ดีเลิศ

การลงโทษทางวินัยจะเป็นตัวส่งสัญญาณให้เห็นถึงพฤติกรรมที่ไม่ควรปฏิบัติ ควรหลีกเลี่ยง

13. ความแตกต่างทางสภาพแวดล้อมและความหมายของสภาพแวดล้อม
สภาพแวดล้อมภายในขององค์กรทั่วไป ย่อมมีความแตกต่างกัน ซึ่งสภาพแวดล้อมภายในที่แตกต่างกันนี้ ถือเป็นองค์ประกอบหนึ่งของกรอบการบริหารความเสี่ยงขององค์กร หากองค์กรมีสภาพแวดล้อมภายในที่ไม่มีประสิทธิภาพจะส่งผลกระทบต่อความสูญเสียทางการเงิน ภาพพจน์ขององค์กรต่อบุคคล/สังคมภายนอก รวมไปถึงอาจก่อให้เกิดความล้มเหลวทางธุรกิจได้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/คู่มือการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 25, 2009

วันนี้ ผมจะเล่าสู่กันฟังถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ดังที่ผมเคยกล่าวไว้ในครั้งก่อน ๆ แล้วว่าเป็นปัจจัยสำคัญหลักของ ERM – Enterprise Risk Management โดยเฉพาะอย่างยิ่ง กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในเรื่องของสภาพแวดล้อมภายในองค์กร (Internal Environment) ที่เป็นกระบวนการที่ให้ความสำคัญเป็นอันดับแรก

ผมอยากให้ท่านผู้บริหาร หรือท่านผู้อ่าน เห็นภาพของกระบวนการบริหารความเสี่ยงทั้ง 8 ประการที่กล่าวถึงนี้ว่า มีแนวทางในการบริหารความเสี่ยงและสามารถจะนำไปปฏิบัติได้อย่างไร ก่อนที่จะกล่าวถึงในรายละเอียดต่อไปครับ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

สภาพแวดล้อมภายในองค์กร (Internal Environment)
ภาพแวดล้อมภายในองค์กรเป็นพื้นฐานสำหรับองค์ประกอบอื่น ๆ ของ ERM เพื่อใช้ในการกำหนดหลักเกณฑ์และโครงสร้าง สภาพแวดล้อมภายในมีผลต่อการประเมินและการดำเนินการในการกำหนดกลยุทธ์และวัตถุประสงค์ขององค์กร การกำหนดกิจกรรมทางธุรกิจ และการกระบุความเสี่ยง มีอิทธิพลต่อการออกแบบและการกำหนดหน้าที่ของกิจกรรม ในการควบคุมระบบข้อมูลข่าวสารและการสื่อสาร และกิจกรรมการติดตามดูแล ในทางตรงข้ามสภาพแวดล้อมภายในนั้นก็ได้รับอิทธิพลมาจากประวัติและวัฒนธรรมในอดีตขององค์กร

สภาพแวดล้อมภายในประกอบด้วยองค์ประกอบต่าง ๆ หลายประการ เช่น ค่านิยมทางจริยธรรม ศักยภาพและการพัฒนาของบุคลากร รูปแบบการจัดการของฝ่ายบริหารและวิธีการมอบหมายอำนาจหน้าที่และความรับผิดชอบ คณะกรรมการบริหารเองก็เป็นส่วนหนึ่งของการควบคุมภายในและมีความสำคัญเป็นอย่างมากในการกำหนดสภาพแวดล้อมการควบคุมภายใน แม้ว่าทุกองค์ประกอบจะมีความสำคัญแต่ในองค์กรที่แตกต่างกันก็จะให้ความสำคัญที่แตกต่างกันกันออกไป

สภาพแวดล้อมภายในองค์กร หมายถึงปัจจัยต่าง ๆ ซึ่งผู้บริหารต้องมีการกำหนดร่วมกันกับพนักงานในองค์กร ส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร และเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM

สภาพแวดล้อมภายในองค์กรพิจารณาได้ดังนี้
1. ปรัชญาการบริหารความเสี่ยงขององค์กร
ปรัชญาการบริหารความเสี่ยงขององค์กร เป็นปรัชญาที่คนในองค์กรมีความเข้าใจตระหนักถึงและสามารถนำมาใช้ในการจัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพ ปรัชญาที่ว่าความเชื่อเกี่ยวกับความเสี่ยงและการเลือกวิธีจัดการกับความเสี่ยงขององค์กรทั่วไป จะสะท้อนให้เห็นค่านิยมที่องค์กรแสวงหาจาก ERM และมีอิทธิพลต่อวิธีการจัดการกับองค์ประกอบต่าง ๆ ของความเสี่ยงขององค์กร ทั้งนี้ ปรัชญาการบริหารความเสี่ยงขององค์กรทั่วไป จะต้องสะท้อนให้เห็นถึงนโยบายขององค์กรและมีการสื่อสารให้พนักงานทุกระดับเข้าใจและนำไปสู่การปฏิบัติได้จริง

2. ความเสี่ยงที่ยอมรับได้
ระดับหรือมูลค่าของความเสี่ยงที่องค์กรยอมรับ ฝ่ายบริหารและผู้ที่เกี่ยวข้องจะพิจารณาความเสี่ยงในเชิงคุณภาพในแต่ละประเภทว่าสูง ปานกลาง หรือต่ำ หรืออาจใช้วิธีการเชิงปริมาณเพื่อสะท้อนและสร้างความสมดุลของวัตถุประสงค์เพื่อการเติบโต ผลตอบแทนและความเสี่ยง

ความเสี่ยงที่ยอมรับได้จะต้องเกี่ยวเนื่องกับกลยุทธ์ขององค์กรโดยตรง โดยการนำไปใช้ในการกำหนดกลยุทธ์ ผลตอบแทนที่ต้องการได้รับจากกลยุทธ์ กลยุทธ์ที่ต่างกันจะทำให้องค์กรมีความเสี่ยงที่ต่างกัน ERM จึงถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์ ช่วยผู้บริหารในการเลือกกลยุทธ์เพื่อให้องค์กรมีความเสี่ยงที่ยอมรับได้

3. ความเสี่ยงทางด้านวัฒนธรรม
วัฒนธรรมด้านความเสี่ยงคือทัศนคติร่วมกันขององค์กร คุณค่าและแนวทางการปฏิบัติขององค์กรว่าองค์กรมีการพิจารณาความเสี่ยงแบบไหน ผู้บริหารองค์กรจะเป็นผู้ปรับให้วัฒนธรรมทางด้านความเสี่ยงขององค์กรไปในทิศทางเดียวกับปรัชญาการบริหารความเสี่ยงขององค์กรและความเสี่ยงที่ยอมรับได้

4. วัฒนธรรมย่อยด้านความเสี่ยง
แต่ละหน่วยธุรกิจหรือแต่ละหน่วยงานขององค์กร ความหมายต่างกัน สายงาน/ฝ่ายงานตามหน้าที่ และส่วนต่าง ๆ จะมีลักษณะงาน รวมทั้งวัฒนธรรมการบริหารความเสี่ยงที่แตกต่างกัน ผู้อำนวยการ/ผู้จัดการจึงต้องมีการเตรียมตัวในการเผชิญกับความเสี่ยงมากขึ้น เช่น สายงานหนึ่งอาจเน้นไปยังยอดขายโดยไม่ได้ระวังในเรื่องการปฏิบัติตามกฎเกณฑ์

ส่วนค่านิยมร่วมกันของสายงานอื่นอาจต้องการให้เน้นความสนใจเพื่อให้เกิดความแน่ใจว่ามีการการปฏิบัติตามหลักเกณฑ์ที่เกี่ยวข้อง วัฒนธรรมย่อย ๆ ที่แตกต่างกันนี้อาจส่งผลต่อองค์กรได้ แต่ถ้าสายงานเหล่านี้ทำงานร่วมกัน ส่งเสริมซึ่งกันและกัน วัฒนธรรมที่แตกต่างกันอาจสะท้อนออกมาเป็นความเสี่ยงที่องค์กรยอมรับได้และปรัชญาขององค์กร สำหรับองค์กรทั่วไป สายงานและฝ่ายงานต่าง ๆ ก็มีคุณลักษณะในการบรรลุเป้าหมายและการจัดการกับความเสี่ยงที่ต้องแตกต่างกันด้วย ดังนั้น ความเข้าใจในการบริหารความเสี่ยงในภาพรวมทั้งองค์กร และของแต่ละหน่วยงาน ซึ่งจะถ่ายทอดไปสู่แผนงานและโครงการต่าง ๆ เพื่อก้าวไปสู่เป้าประสงค์ และวิสัยทัศน์ จึงแตกต่างกัน

5. ความตระหนักถึงความเสี่ยงที่แท้จริง
องค์กรทั่วไปที่มีประวัติที่ไม่เคยได้รับความสูญเสียและไม่มีความเสี่ยงที่มีนัยสำคัญที่สังเกตเห็นได้ อาจเชื่อว่าจะมีโอกาสเกิดขึ้น ในขณะที่องค์กรอาจมีพนักงานที่มีความสามารถ มีกระบวนการที่มีประสิทธิผลและเทคโนโลยีที่น่าเชื่อถือได้ มีความหลากหลายของสภาพแวดล้อมภายในและภายนอก ซึ่งสิ่งต่าง ๆ เหล่านี้สามารถเปลี่ยนแปลงได้อย่างรวดเร็ว ฝ่ายบริหารควรตระหนักว่าการดำเนินการที่ดีนั้นย่อมเกิดความอ่อนแอได้ ความอ่อนแอในมิติต่าง ๆ เป็นเรื่องของความเสี่ยง ซึ่งทำให้การบรรลุเป้าหมายอาจเบี่ยงเบนไปได้

6. คณะกรรมการบริหาร
คณะกรรมการบริหารขององค์กร เป็นส่วนหนึ่งของสภาพแวดล้อมภายในที่สำคัญยิ่งและมีอิทธิพลต่อองค์ประกอบของสภาพแวดล้อมภายในอื่น ๆ อย่างมีนัยสำคัญ คณะกรรมการมีความเป็นอิสระจากฝ่ายบริหาร ประสบการณ์และภูมิความรู้ของพนักงาน ขอบเขตขององค์ประกอบและการพิจารณากิจกรรม และความเหมาะสมของการปฏิบัติการ

การบริหารความเสี่ยงขององค์กร ที่ได้ผลไม่อาจเกิดขึ้นได้หากคณะกรรมการบริหารและผู้บริหาร และพนักงานทุกคน มีความเข้าใจที่แตกต่างกันในเรื่องการบริหารเชิงรุกหรือการบริหารความเสี่ยงในภาพโดยรวมทั้งองค์กร

ปัจจุบันสำนักงานตรวจเงินแผ่นดิน (สตง.) และกระทรวงการคลังและหน่วยงานของรัฐ ได้กำหนดเกณฑ์ประเมินผลการบริหารความเสี่ยง IT Governance และการควบคุมภายใน รวมทั้งการตรวจสอบภายในตามฐานความเสี่ยงอย่างเป็นระบบ สำหรับรายงานการบริหารความเสี่ยงของ สตง. มีภาพโดยย่อของการรายงานดังนี้

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ภาพสรุปโดยรวมในมุมมองของการวัดประสิทธิภาพการบริหารความเสี่ยงของกระทรวงการคลัง ดังนี้

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

องค์ประกอบของการพิจารณาการบริหารความเสี่ยงในเรื่องของสภาพแวดล้อมภายในองค์กร ยังมีอีกหลายหัวข้อที่ท่านผู้บริหารต้องพิจารณา ผมจะนำเสนอในโอกาสต่อไปครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 20, 2009

หลังจากที่ผมได้กล่าวถึงแนวความคิด และภาพรวมของการบริหารจัดการความเสี่ยง ก็เพื่อให้ท่านผู้อ่านได้ทำความเข้าใจถึงความเป็นมาเป็นไป และความสำคัญของการบริหารจัดการกับความเสี่ยง ซึ่งได้นำเสนอไปในครั้งที่ผ่าน ๆ มา แล้ว

จากนี้ไป ผมจะขอเข้าสู่เนื้อหาหลักที่สำคัญของการบริหารความเสี่ยงทั่วทั้งองค์กร นั่นก็คือกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ซึ่งจะได้นำเสนอในรายละเอียดอย่างเป็นกระบวนการ เป็นขั้นเป็นตอนในโอกาสต่อ ๆ ไปครับ

ความมีประสิทธิผลในการบริหารความเสี่ยงทั่วทั้งองค์กร
ในขณะที่ ERM หรือ การบริหารความเสี่ยงทั่วทั้งองค์กร เป็นกระบวนการ ดังนั้นความมีประสิทธิผลของ ERM จึงขึ้นอยู่กับเงื่อนไขในแต่ละช่วงเวลา และขึ้นอยู่กับผลของการประเมินจากองค์ประกอบ 8 ประการ

การทำ ERM จะบรรลุผลสำเร็จต้องพิจารณาองค์ประกอบทั้ง 8 ประการ และมีการระบุหน้าที่ที่เกี่ยวข้อง แต่ไม่ได้หมายความว่าจะต้องระบุหน้าที่ในแต่ละองค์ประกอบหรือแม่แต่ในระดับเดียวกัน และอาจมีการสับเปลี่ยนระหว่างองค์ประกอบต่าง ๆ เนื่องจากเทคนิคด้าน ERM สามารถแก้ปัญหาในวัตถุประสงค์ที่หลากหลาย การตอบสนองความเสี่ยงจะมีระดับที่แตกต่างกันขึ้นอยู่กับการกำหนดความเสี่ยง

แนวคิดที่กล่าวถึงในที่นี้สามารถประยุกต์ใช้ได้ทั่วทั้งองค์กร แต่สำหรับองค์กรที่มีขนาดเล็กกว่า วิธีการสำหรับแต่ละองค์ประกอบควรมีลักษณะที่เป็นทางการและมีความเป็นโครงสร้างให้น้อยที่สุด

การควบคุมภายใน
การควบคุมภายในก็เป็นอีกส่วนประกอบหนึ่งที่สำคัญของ ERM โดยกรอบแนวคิด ERM เน้นในเรื่องการควบคุมภายใน การจัดรูปแบบแนวคิดที่เข้มแข็งมากขึ้นและเป็นเครื่องมือในการบริหาร การควบคุมภายในถูกให้ความหมายและให้คำอธิบายในกรอบแนวคิดเชิงบูรณาการเรื่องการควบคุมภายใน

การควบคุมภายในได้รับการออกแบบเพื่อให้ความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร เพื่อให้เกิดประสิทธิภาพและประสิทธิผลในการปฏิบัติงาน ความน่าเชื่อถือของรายงานทางการเงิน และการปฏิบัติตามกฎ ระเบียบที่เกี่ยวข้อง

เนื่องจาก ERM เป็นส่วนหนึ่งของกระบวนการบริหาร องค์ประกอบของกรอบแนวคิด ERM ได้ถูกอธิบายในเนื้อหาที่ว่าฝ่ายบริหารจะสามารถดำเนินธุรกิจไปได้อย่างไร สิ่งที่คณะกรรมการและผู้บริหารจัดการเกี่ยวกับการบริหารองค์กรไม่ใช่ ERM ในทุกเรื่อง แต่ ERM เป็นส่วนหนึ่งของกิจกรรมด้านการบริหารทั่วไป ซึ่งอธิบายโดยย่อได้ดังนี้

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

จากตารางต่อไปนี้เป็นการแสดงรายการของสิ่งที่ฝ่ายบริหารปฏิบัติและสิ่งที่เป็นส่วนหนึ่งของ การบริหารความเสี่ยงทั่วทั้งองค์กร หรือ ERM

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

ครั้งหน้า ผมจะพูดถึงสภาพแวดล้อมภายในองค์กร (Internal Environment) ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงอันดับแรก จาก ERM ทั้ง 8 ประการ ตามหลักเกณฑ์ของ COSO ใหม่ครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »