แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 20, 2009

หลังจากที่ผมได้กล่าวถึงแนวความคิด และภาพรวมของการบริหารจัดการความเสี่ยง ก็เพื่อให้ท่านผู้อ่านได้ทำความเข้าใจถึงความเป็นมาเป็นไป และความสำคัญของการบริหารจัดการกับความเสี่ยง ซึ่งได้นำเสนอไปในครั้งที่ผ่าน ๆ มา แล้ว

จากนี้ไป ผมจะขอเข้าสู่เนื้อหาหลักที่สำคัญของการบริหารความเสี่ยงทั่วทั้งองค์กร นั่นก็คือกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ซึ่งจะได้นำเสนอในรายละเอียดอย่างเป็นกระบวนการ เป็นขั้นเป็นตอนในโอกาสต่อ ๆ ไปครับ

ความมีประสิทธิผลในการบริหารความเสี่ยงทั่วทั้งองค์กร
ในขณะที่ ERM หรือ การบริหารความเสี่ยงทั่วทั้งองค์กร เป็นกระบวนการ ดังนั้นความมีประสิทธิผลของ ERM จึงขึ้นอยู่กับเงื่อนไขในแต่ละช่วงเวลา และขึ้นอยู่กับผลของการประเมินจากองค์ประกอบ 8 ประการ

การทำ ERM จะบรรลุผลสำเร็จต้องพิจารณาองค์ประกอบทั้ง 8 ประการ และมีการระบุหน้าที่ที่เกี่ยวข้อง แต่ไม่ได้หมายความว่าจะต้องระบุหน้าที่ในแต่ละองค์ประกอบหรือแม่แต่ในระดับเดียวกัน และอาจมีการสับเปลี่ยนระหว่างองค์ประกอบต่าง ๆ เนื่องจากเทคนิคด้าน ERM สามารถแก้ปัญหาในวัตถุประสงค์ที่หลากหลาย การตอบสนองความเสี่ยงจะมีระดับที่แตกต่างกันขึ้นอยู่กับการกำหนดความเสี่ยง

แนวคิดที่กล่าวถึงในที่นี้สามารถประยุกต์ใช้ได้ทั่วทั้งองค์กร แต่สำหรับองค์กรที่มีขนาดเล็กกว่า วิธีการสำหรับแต่ละองค์ประกอบควรมีลักษณะที่เป็นทางการและมีความเป็นโครงสร้างให้น้อยที่สุด

การควบคุมภายใน
การควบคุมภายในก็เป็นอีกส่วนประกอบหนึ่งที่สำคัญของ ERM โดยกรอบแนวคิด ERM เน้นในเรื่องการควบคุมภายใน การจัดรูปแบบแนวคิดที่เข้มแข็งมากขึ้นและเป็นเครื่องมือในการบริหาร การควบคุมภายในถูกให้ความหมายและให้คำอธิบายในกรอบแนวคิดเชิงบูรณาการเรื่องการควบคุมภายใน

การควบคุมภายในได้รับการออกแบบเพื่อให้ความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร เพื่อให้เกิดประสิทธิภาพและประสิทธิผลในการปฏิบัติงาน ความน่าเชื่อถือของรายงานทางการเงิน และการปฏิบัติตามกฎ ระเบียบที่เกี่ยวข้อง

เนื่องจาก ERM เป็นส่วนหนึ่งของกระบวนการบริหาร องค์ประกอบของกรอบแนวคิด ERM ได้ถูกอธิบายในเนื้อหาที่ว่าฝ่ายบริหารจะสามารถดำเนินธุรกิจไปได้อย่างไร สิ่งที่คณะกรรมการและผู้บริหารจัดการเกี่ยวกับการบริหารองค์กรไม่ใช่ ERM ในทุกเรื่อง แต่ ERM เป็นส่วนหนึ่งของกิจกรรมด้านการบริหารทั่วไป ซึ่งอธิบายโดยย่อได้ดังนี้

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

จากตารางต่อไปนี้เป็นการแสดงรายการของสิ่งที่ฝ่ายบริหารปฏิบัติและสิ่งที่เป็นส่วนหนึ่งของ การบริหารความเสี่ยงทั่วทั้งองค์กร หรือ ERM

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

ครั้งหน้า ผมจะพูดถึงสภาพแวดล้อมภายในองค์กร (Internal Environment) ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงอันดับแรก จาก ERM ทั้ง 8 ประการ ตามหลักเกณฑ์ของ COSO ใหม่ครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 15, 2009

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร ซึ่งมีขั้นตอนค่อนข้างเยอะ แต่ผมก็ได้พยายามอธิบายในลักษณะเป็นขั้นเป็นตอนพร้อมรูปภาพประกอบในแต่ละขั้น คงทำให้หลายท่านพอจะเข้าใจได้ง่ายขึ้นนะครับ

สำหรับวันนี้ ผมจะกล่าวถึงเรื่ององค์ประกอบของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM – Enterprise Risk Management) ซึ่งเป็นแนวทางการบริหารความเสี่ยงตามหลักการของ COSO ที่ประกอบด้วยส่วนประกอบหลัก ๆ 8 ประการ ได้แก่

1. สภาพแวดล้อมภายใน – ฝ่ายบริหารต้องกำหนดปรัชญาเกี่ยวกับความเสี่ยงและความเสี่ยงที่ยอมรับได้ขึ้นมา สภาพแวดล้อมภายในจะกำหนดพื้นฐานเพื่อใช้ในการวิธีการจัดการความเสี่ยงและควบคุม หลักสำคัญขององค์กรคือบุคลากรและสภาพแวดล้อมการทำงาน เช่น โครงสร้าง วัฒนธรรมการทำงาน เป็นต้น

2. การกำหนดวัตถุประสงค์ – ต้องมีการกำหนดวัตถุประสงค์ก่อน ฝ่ายบริหารจึงจะสามารถระบุสถานการณ์ที่อาจทำให้ไม่บรรลุผลสำเร็จได้ ERM จะสร้างความแน่ใจให้กับฝ่ายบริหารว่ามีกระบวนการกำหนดวัตถุประสงค์และเลือกวัตถุประสงค์ที่สนับสนุนและสอดคล้องกับภารกิจ/วิสัยทัศน์และมีความเสี่ยงในระดับที่องค์กรยอมรับได้

3. การระบุสถานการณ์ – ปัจจัยในการระบุสถานการณ์ประกอบด้วย ปัจจัยทั้งภายในและภายนอกที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

4. การประเมินความเสี่ยง – การระบุความเสี่ยงเป็นพื้นฐานนำมาวิเคราะห์ว่าจะจัดการกับความเสี่ยงอย่างไร

5. การตอบสนองความเสี่ยง – ฝ่ายบริหารต้องเลือกวิธีการจัดการกับความเสี่ยงที่ประเมินได้ให้อยู่ในระดับที่องค์กรยอมรับได้ วิธีการจัดการกับความเสี่ยงประกอบด้วย การหลีกเลี่ยง การยอมรับ การลดและการกระจายความเสี่ยง

6. กิจกรรมการควบคุม – เป็นนโยบายและวิธีการที่สร้างขึ้นมาและใช้ในการช่วยให้ฝ่ายบริหารสามารถจัดการกับความเสี่ยงที่อย่างมั่นใจ

7. ข้อมูลสารสนเทศและการสื่อสาร – มีการระบุ จัดการและสื่อสารข้อมูลที่เกี่ยวข้องในรูปแบบและช่วงเวลาที่สามารถทำให้บุคลากรปฏิบัติหน้าที่ความรับผิดชอบได้ ข้อมูลสารสนเทศเป็นสิ่งจำเป็นในทุกระดับขององค์กรในการระบุ ประเมิน และตอบสนองความเสี่ยง

8. การติดตาม – ต้องมีการติดตามดูแลกระบวนการ ERM ขององค์กร และดัดแปลงเท่าที่จำเป็น การติดตามดูแลต้องทำเป็นกิจกรรมที่ต่อเนื่อง แยกออกมาจากการประเมินผลกระบวนการ ERM หรือผสมผสานทั้งสองอย่างเข้าด้วยกัน

อธิบายไปครบทั้ง 8 ประการแล้ว เราไปดูแผนภาพของส่วนประกอบของ ERM ให้เห็นภาพที่ชัดเจนขึ้นกันครับ

องค์ประกอบของ ERM 8 ประการ

องค์ประกอบของ ERM 8 ประการ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM สามารถแสดงให้เห็นได้ใน 3 มิติ ในลักษณะของลูกเต๋าดังภาพ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

– วัตถุประสงค์ 4 ข้อที่แสดงในแนวตั้ง ได้แก่ กลยุทธ์ การดำเนินงาน การรายงาน และการปฏิบัติตาม
– องค์ประกอบ 8 ประการที่แสดงให้เห็นในแนวนอนและ
– องค์กรและหน่วยต่าง ๆ ขององค์กรจะบรรยายในมิติที่ 3

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 15, 2009

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร ซึ่งมีขั้นตอนค่อนข้างเยอะ แต่ผมก็ได้พยายามอธิบายในลักษณะเป็นขั้นเป็นตอนพร้อมรูปภาพประกอบในแต่ละขั้น คงทำให้หลายท่านพอจะเข้าใจได้ง่ายขึ้นนะครับ

สำหรับวันนี้ ผมจะกล่าวถึงเรื่ององค์ประกอบของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM – Enterprise Risk Management) ซึ่งเป็นแนวทางการบริหารความเสี่ยงตามหลักการของ COSO ที่ประกอบด้วยส่วนประกอบหลัก ๆ 8 ประการ ได้แก่

1. สภาพแวดล้อมภายใน – ฝ่ายบริหารต้องกำหนดปรัชญาเกี่ยวกับความเสี่ยงและความเสี่ยงที่ยอมรับได้ขึ้นมา สภาพแวดล้อมภายในจะกำหนดพื้นฐานเพื่อใช้ในการวิธีการจัดการความเสี่ยงและควบคุม หลักสำคัญขององค์กรคือบุคลากรและสภาพแวดล้อมการทำงาน เช่น โครงสร้าง วัฒนธรรมการทำงาน เป็นต้น

2. การกำหนดวัตถุประสงค์ – ต้องมีการกำหนดวัตถุประสงค์ก่อน ฝ่ายบริหารจึงจะสามารถระบุสถานการณ์ที่อาจทำให้ไม่บรรลุผลสำเร็จได้ ERM จะสร้างความแน่ใจให้กับฝ่ายบริหารว่ามีกระบวนการกำหนดวัตถุประสงค์และเลือกวัตถุประสงค์ที่สนับสนุนและสอดคล้องกับภารกิจ/วิสัยทัศน์และมีความเสี่ยงในระดับที่องค์กรยอมรับได้

3. การระบุสถานการณ์ – ปัจจัยในการระบุสถานการณ์ประกอบด้วย ปัจจัยทั้งภายในและภายนอกที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

4. การประเมินความเสี่ยง – การระบุความเสี่ยงเป็นพื้นฐานนำมาวิเคราะห์ว่าจะจัดการกับความเสี่ยงอย่างไร

5. การตอบสนองความเสี่ยง – ฝ่ายบริหารต้องเลือกวิธีการจัดการกับความเสี่ยงที่ประเมินได้ให้อยู่ในระดับที่องค์กรยอมรับได้ วิธีการจัดการกับความเสี่ยงประกอบด้วย การหลีกเลี่ยง การยอมรับ การลดและการกระจายความเสี่ยง

6. กิจกรรมการควบคุม – เป็นนโยบายและวิธีการที่สร้างขึ้นมาและใช้ในการช่วยให้ฝ่ายบริหารสามารถจัดการกับความเสี่ยงที่อย่างมั่นใจ

7. ข้อมูลสารสนเทศและการสื่อสาร – มีการระบุ จัดการและสื่อสารข้อมูลที่เกี่ยวข้องในรูปแบบและช่วงเวลาที่สามารถทำให้บุคลากรปฏิบัติหน้าที่ความรับผิดชอบได้ ข้อมูลสารสนเทศเป็นสิ่งจำเป็นในทุกระดับขององค์กรในการระบุ ประเมิน และตอบสนองความเสี่ยง

8. การติดตาม – ต้องมีการติดตามดูแลกระบวนการ ERM ขององค์กร และดัดแปลงเท่าที่จำเป็น การติดตามดูแลต้องทำเป็นกิจกรรมที่ต่อเนื่อง แยกออกมาจากการประเมินผลกระบวนการ ERM หรือผสมผสานทั้งสองอย่างเข้าด้วยกัน

อธิบายไปครบทั้ง 8 ประการแล้ว เราไปดูแผนภาพของส่วนประกอบของ ERM ให้เห็นภาพที่ชัดเจนขึ้นกันครับ

องค์ประกอบของ ERM 8 ประการ

องค์ประกอบของ ERM 8 ประการ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM สามารถแสดงให้เห็นได้ใน 3 มิติ ในลักษณะของลูกเต๋าดังภาพ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

– วัตถุประสงค์ 4 ข้อที่แสดงในแนวตั้ง ได้แก่ กลยุทธ์ การดำเนินงาน การรายงาน และการปฏิบัติตาม
– องค์ประกอบ 8 ประการที่แสดงให้เห็นในแนวนอนและ
– องค์กรและหน่วยต่าง ๆ ขององค์กรจะบรรยายในมิติที่ 3

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

พ.ค. 9, 2009

สวัสดีครับ ผมดีใจจังเลยที่วันนี้อินเตอร์เน็ตที่ผมใช้งานอยู่มันกลับมาเป็นปกติเหมือนเดิมแล้ว หลังจากที่ใช้ได้บ้าง ใช้ไม่ได้บ้างมาหลายสัปดาห์ เลยทำให้ที่ผ่านมา ผม update ข้อมูลได้ไม่ง่ายเลยครับ ก็ต้องขออภัยสำหรับผู้ที่สนใจติดตามเนื้อหาสาระใน article ต่าง ๆ ของ itgthailand แห่งนี้ด้วยครับ

สำหรับวันนี้ ผมจะกล่าวถึงขั้นตอนต่าง ๆ ของกระบวนการบริหารความเสี่ยงที่สามารถนำไปปฏิบัติงานได้จริง โดยจะอธิบายพร้อมกับแสดงแผนผัง/แผนภาพในแต่ละขั้นตอน เพื่อให้เข้าใจได้ง่ายขึ้น

เมื่อพูดถึงกระบวนการบริหารความเสี่ยง ซึ่งเป็นกระบวนการต่อเนื่อง มิใช่กระบวนการที่ทำเพียงครั้งเดียว เนื่องจากสภาพแวดล้อมขององค์กรมีการเปลี่ยนแปลงตลอดเวลา ผู้บริหารทั้งหลายจึงควรมั่นใจว่ามีการสอบทานความเสี่ยงต่าง ๆ อย่างสม่ำเสมอ และมีการควบคุมและจัดการความเสี่ยงที่เหมาะสม

กระบวนการบริหารความเสี่ยงประกอบด้วย 5 ขั้นตอนดังต่อไปนี้
1. การกำหนดวัตถุประสงค์ที่สอดคล้องกับกลยุทธ์/ยุทธศาสตร์ขององค์กร
2. การบ่งชี้และเข้าใจความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อการบรรลุวัตถุประสงค์ที่กำหนดไว้ขององค์กร

ขั้นตอนของการระบุปัจจัยเสี่ยงของหน่วยงาน (Risk Identification)
ขั้นตอนที่ 1 ระบุภารกิจอย่างเป็นทางการ (Mission Statement)
ซึ่งประกอบด้วยองค์ประกอบต่าง ๆ ดังนี้
– ชื่อหน่วยงาน
– คำบรรยายถึงภารกิจของหน่วยงาน
– ความจำเป็นของภารกิจต่อเป้าหมายขององค์กร
– ความสัมพันธ์ของวัตถุประสงค์ของภารกิจของหน่วยงานต่อเป้าหมายขององค์กร
– อื่น ๆ

ขั้นตอนที่ 2 ระบุโครงสร้างงาน (Working Structure)
การระบุโครงสร้างงานจะเขียนในรูปแบบของ Organization Chart ตามลักษณะของส่วนงานที่จำแนกไว้ภายในหน่วยงานนั้น ๆ ก็ได้ เช่น

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน (Work Breakdown Structure-WBS)
เป็นการระบุหน้าที่ที่จะต้องปฏิบัติ เพื่อให้ภารกิจของแต่ละส่วนงานบรรลุจุดมุ่งหมาย

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงานแต่ละหน้าที่
เป็นการระบุกิจกรรมย่อยของแต่ละหน้าที่ที่ต้องปฏิบัติเพื่อบรรลุวัตถุประสงค์

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยงหรืออันตรายต่าง ๆ ที่อาจเกิดขึ้นในกิจกรรม

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

3. ประเมินความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อวัตถุประสงค์ที่กำหนดไว้ การประเมินความเสี่ยงโดยพิจารณาถึงผลกระทบและโอกาสเกิดความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง(Risk Assessment)….ระดับโอกาสของผลกระทบจากความเสี่ยง
ขั้นตอนที่ 1 การพิจารณา ปัจจัยเสี่ยงรอบด้าน เพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 2 การพิจารณาปัจจัยรอบด้านเพื่อ ประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 3 วิธีการประเมินระดับของปัจจัยเสี่ยง
คือการนำผลการประเมินทั้งระดับโอกาสที่จะเกิดความเสี่ยง (Probability of Occurrence) และความรุนแรงของผลกระทบที่อาจเกิดจากปัจจัยเสี่ยง (Severity of impact) พิจารณาร่วมกันเพื่อประเมินระดับของปัจจัยว่าอยู่ในระดับสูง กลาง หรือต่ำ โดยมีวิธีการประเมินตามรายละเอียดในตาราง

ตารางการประเมินระดับของปัจจัยเสี่ยง

ตารางการประเมินระดับของปัจจัยเสี่ยง

การประเมินหรือวัดระดับการบริหารความเสี่ยง อาจจัดเป็น 5 ระดับ แทน 3 ระดับ ดังแสดงตามรูปได้ดังนี้

Level of Risk

Level of Risk

ขั้นตอนที่ 4 วิธีการจัดกลุ่มและจัดลำดับปัจจัยเสี่ยงของหน่วยงาน
คือการนำผลการประเมินในขั้นตอนที่ 3 มาจำแนกออกเป็นกลุ่ม และจัดลำดับปัจจัยเสี่ยงในแต่ละกลุ่ม โดยพิจารณาถึงความสัมพันธ์และความเสียหายที่อาจเป็นอุปสรรคต่อการปฏิบัติซึ่งเป็นหลักเกณฑ์สำคัญ ในการบริหารความเสี่ยงและสร้างความเติบโตอย่างยั่งยืนขององค์กร เพื่อเรียงลำดับความสำคัญของปัจจัยเสี่ยงจากสูงไปต่ำของหน่วยงานและองค์กร
– วิสัยทัศน์
– ภารกิจ
– ค่านิยมร่วม
– วัตถุประสงค์
– นโยบาย
– กลยุทธ์
– เป้าหมาย
– แผนงาน
– โครงการ
– การปฏิบัติงาน
– การวัดผลการปฏิบัติ
– การสอบทาน/การกำกับดูแล
– การปรับปรุง/พัฒนา

จากนั้นจัดลำดับของปัจจัยเสี่ยงในแต่ละกลุ่มแล้ว อาจบันทึกลงในตารางด้านล่าง เพื่อความสะดวกในการตรวจสอบหรือพิจารณาจัดลำดับใหม่ ก่อนบันทึกลงในแบบฟอร์มที่ใช้เป็นเอกสารหลัก ที่ต้องใช้รายงานอย่างเป็นทางการต่อไป

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม


4. กำหนดการจัดการความเสี่ยงที่ปฏิบัติอยู่ในปัจจุบัน โดยต้องทำการพิจารณาถึงการควบคุมเพิ่มเติม รวมทั้งความสัมพันธ์ของต้นทุนและผลประโยชน์ที่เกิดขึ้น
5. การติดตามผลและการรายงานความมีประสิทธิผลของกระบวนการและระบบการบริหารความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

พ.ค. 9, 2009

สวัสดีครับ ผมดีใจจังเลยที่วันนี้อินเตอร์เน็ตที่ผมใช้งานอยู่มันกลับมาเป็นปกติเหมือนเดิมแล้ว หลังจากที่ใช้ได้บ้าง ใช้ไม่ได้บ้างมาหลายสัปดาห์ เลยทำให้ที่ผ่านมา ผม update ข้อมูลได้ไม่ง่ายเลยครับ ก็ต้องขออภัยสำหรับผู้ที่สนใจติดตามเนื้อหาสาระใน article ต่าง ๆ ของ itgthailand แห่งนี้ด้วยครับ

สำหรับวันนี้ ผมจะกล่าวถึงขั้นตอนต่าง ๆ ของกระบวนการบริหารความเสี่ยงที่สามารถนำไปปฏิบัติงานได้จริง โดยจะอธิบายพร้อมกับแสดงแผนผัง/แผนภาพในแต่ละขั้นตอน เพื่อให้เข้าใจได้ง่ายขึ้น

เมื่อพูดถึงกระบวนการบริหารความเสี่ยง ซึ่งเป็นกระบวนการต่อเนื่อง มิใช่กระบวนการที่ทำเพียงครั้งเดียว เนื่องจากสภาพแวดล้อมขององค์กรมีการเปลี่ยนแปลงตลอดเวลา ผู้บริหารทั้งหลายจึงควรมั่นใจว่ามีการสอบทานความเสี่ยงต่าง ๆ อย่างสม่ำเสมอ และมีการควบคุมและจัดการความเสี่ยงที่เหมาะสม

กระบวนการบริหารความเสี่ยงประกอบด้วย 5 ขั้นตอนดังต่อไปนี้
1. การกำหนดวัตถุประสงค์ที่สอดคล้องกับกลยุทธ์/ยุทธศาสตร์ขององค์กร
2. การบ่งชี้และเข้าใจความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อการบรรลุวัตถุประสงค์ที่กำหนดไว้ขององค์กร

ขั้นตอนของการระบุปัจจัยเสี่ยงของหน่วยงาน (Risk Identification)
ขั้นตอนที่ 1 ระบุภารกิจอย่างเป็นทางการ (Mission Statement)
ซึ่งประกอบด้วยองค์ประกอบต่าง ๆ ดังนี้
– ชื่อหน่วยงาน
– คำบรรยายถึงภารกิจของหน่วยงาน
– ความจำเป็นของภารกิจต่อเป้าหมายขององค์กร
– ความสัมพันธ์ของวัตถุประสงค์ของภารกิจของหน่วยงานต่อเป้าหมายขององค์กร
– อื่น ๆ

ขั้นตอนที่ 2 ระบุโครงสร้างงาน (Working Structure)
การระบุโครงสร้างงานจะเขียนในรูปแบบของ Organization Chart ตามลักษณะของส่วนงานที่จำแนกไว้ภายในหน่วยงานนั้น ๆ ก็ได้ เช่น

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน (Work Breakdown Structure-WBS)
เป็นการระบุหน้าที่ที่จะต้องปฏิบัติ เพื่อให้ภารกิจของแต่ละส่วนงานบรรลุจุดมุ่งหมาย

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงานแต่ละหน้าที่
เป็นการระบุกิจกรรมย่อยของแต่ละหน้าที่ที่ต้องปฏิบัติเพื่อบรรลุวัตถุประสงค์

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยงหรืออันตรายต่าง ๆ ที่อาจเกิดขึ้นในกิจกรรม

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

3. ประเมินความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อวัตถุประสงค์ที่กำหนดไว้ การประเมินความเสี่ยงโดยพิจารณาถึงผลกระทบและโอกาสเกิดความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง(Risk Assessment)….ระดับโอกาสของผลกระทบจากความเสี่ยง
ขั้นตอนที่ 1 การพิจารณา ปัจจัยเสี่ยงรอบด้าน เพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 2 การพิจารณาปัจจัยรอบด้านเพื่อ ประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 3 วิธีการประเมินระดับของปัจจัยเสี่ยง
คือการนำผลการประเมินทั้งระดับโอกาสที่จะเกิดความเสี่ยง (Probability of Occurrence) และความรุนแรงของผลกระทบที่อาจเกิดจากปัจจัยเสี่ยง (Severity of impact) พิจารณาร่วมกันเพื่อประเมินระดับของปัจจัยว่าอยู่ในระดับสูง กลาง หรือต่ำ โดยมีวิธีการประเมินตามรายละเอียดในตาราง

ตารางการประเมินระดับของปัจจัยเสี่ยง

ตารางการประเมินระดับของปัจจัยเสี่ยง

การประเมินหรือวัดระดับการบริหารความเสี่ยง อาจจัดเป็น 5 ระดับ แทน 3 ระดับ ดังแสดงตามรูปได้ดังนี้

Level of Risk

Level of Risk

ขั้นตอนที่ 4 วิธีการจัดกลุ่มและจัดลำดับปัจจัยเสี่ยงของหน่วยงาน
คือการนำผลการประเมินในขั้นตอนที่ 3 มาจำแนกออกเป็นกลุ่ม และจัดลำดับปัจจัยเสี่ยงในแต่ละกลุ่ม โดยพิจารณาถึงความสัมพันธ์และความเสียหายที่อาจเป็นอุปสรรคต่อการปฏิบัติซึ่งเป็นหลักเกณฑ์สำคัญ ในการบริหารความเสี่ยงและสร้างความเติบโตอย่างยั่งยืนขององค์กร เพื่อเรียงลำดับความสำคัญของปัจจัยเสี่ยงจากสูงไปต่ำของหน่วยงานและองค์กร
– วิสัยทัศน์
– ภารกิจ
– ค่านิยมร่วม
– วัตถุประสงค์
– นโยบาย
– กลยุทธ์
– เป้าหมาย
– แผนงาน
– โครงการ
– การปฏิบัติงาน
– การวัดผลการปฏิบัติ
– การสอบทาน/การกำกับดูแล
– การปรับปรุง/พัฒนา

จากนั้นจัดลำดับของปัจจัยเสี่ยงในแต่ละกลุ่มแล้ว อาจบันทึกลงในตารางด้านล่าง เพื่อความสะดวกในการตรวจสอบหรือพิจารณาจัดลำดับใหม่ ก่อนบันทึกลงในแบบฟอร์มที่ใช้เป็นเอกสารหลัก ที่ต้องใช้รายงานอย่างเป็นทางการต่อไป

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม


4. กำหนดการจัดการความเสี่ยงที่ปฏิบัติอยู่ในปัจจุบัน โดยต้องทำการพิจารณาถึงการควบคุมเพิ่มเติม รวมทั้งความสัมพันธ์ของต้นทุนและผลประโยชน์ที่เกิดขึ้น
5. การติดตามผลและการรายงานความมีประสิทธิผลของกระบวนการและระบบการบริหารความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

เมษายน 30, 2009

จากที่ได้กล่าวไปแล้วว่า ผมจะพูดถึงหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงในครั้งนี้ ฉะนั้น การบริหารความเสี่ยงขององค์กรจะมีหลักการอย่างไร และจะมีปัจจัยใดบ้างที่เกี่ยวข้องและมีผลกระทบต่อความสำเร็จขององค์กร ติดตามกันต่อได้เลยครับ

หลักการบริหารความเสี่ยง
หลักการบริหารความเสี่ยงประกอบด้วยพื้นฐาน 2 ประการคือ หลักการ ORCA และปัจจัยที่ทำให้การนำกรอบการบริหารความเสี่ยงไปปฏิบัติประสบผลสำเร็จ

หลักการบริหารความเสี่ยง = หลักการ ORCA + ปัจจัยสำคัญที่ทำให้ประสบความสำเร็จ

หลักการ ORCA เป็นคำย่อของ Objectives – วัตถุประสงค์ / Risk – ความเสี่ยง / Control – การควบคุมภายใน Alignment – ความสอดคล้องกัน ซึ่งเป็นแนวทางที่มีเหตุผลดังนี้
1. การกำหนดวัตถุประสงค์ที่ชัดเจนขององค์กร
2. การประเมินความเสี่ยงที่อาจทำให้ไม่สามารถบรรลุวัตถุประสงค์ การประเมินความเสี่ยงเป็นการบ่งชี้และวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับความสามารถในการบรรลุวัตถุประสงค์และเป็นแนวทางพื้นฐานในการกำหนดการควบคุมภายในเพื่อใช้สำหรับการจัดการความเสี่ยง เป็นกระบวนการต่อเนื่อง ทั้งนี้เนื่องจากภาวะทางเศรษฐกิจ อุตสาหกรรม กฎ ระเบียบ และการปฏิบัติงานมีการเปลี่ยนแปลงอยู่ตลอดเวลา
3. สร้างการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงขององค์กร การควบคุมที่ไม่เพียงพออาจทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้
4. ดำเนินการเพื่อให้มั่นใจว่ามีความสอดคล้องกันระหว่างวัตถุประสงค์ ความเสี่ยงและการควบคุมทั่วทั้งองค์กร

ปัจจัยสำคัญต่อความสำเร็จในการบริหารความเสี่ยง
ปัจจัยสำคัญ 8 ประการ เพื่อช่วยให้การปฏิบัติตามกรอบการบริหารความเสี่ยงประสบความสำเร็จ มีดังนี้

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

ปัจจัยที่ 1 : การสนับสนุนจากผู้บริหารระดับสูง
การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กร จะประสบความสำเร็จเพียงใดขึ้นอยู่กับเจตนารมณ์ การสนับสนุน การมีส่วนร่วม และความเป็นผู้นำของผู้บริหารระดับสูงในองค์กร

คณะกรรมการ และผู้บริหารระดับสูงขององค์กรทั่วไป ต้องให้ความสำคัญและสนับสนุนให้ทุกคนในองค์กรเข้าใจความสำคัญในคุณค่าของการบริหารความเสี่ยงต่อองค์กร มิฉะนั้นแล้วการบริหารความเสี่ยงไม่สามารถเกิดขึ้นได้ การบริหารความเสี่ยงต้องเริ่มต้นจากการที่กรรมการผู้จัดการ หรือผู้นำสูงสุดขององค์กร ต้องการให้ระบบนี้เกิดขึ้น โดยกำหนดนโยบายให้มีการปฏิบัติ รวมถึงการกำหนดให้ผู้บริหารต้องใช้ข้อมูลเกี่ยวกับความเสี่ยงในการตัดสินใจ และบริหารงาน เป็นต้น

ปัจจัยที่ 2 : ความเข้าใจความหมายความเสี่ยงตรงกัน
การใช้คำนิยามเกี่ยวกับความเสี่ยงและการบริหารความเสี่ยงแบบเดียวกัน จะทำให้เกิดความมีประสิทธิภาพในการกำหนดวัตถุประสงค์ นโยบาย กระบวนการ เพื่อใช้ในการบ่งชี้และประเมินความเสี่ยง และกำหนดวิธีการจัดการความเสี่ยงที่เหมาะสม

การจัดทำกรอบและนโยบายการบริหารความเสี่ยงที่มีความชัดเจน จะทำให้ผู้บริหารและพนักงานทุกคนใช้ภาษาความเสี่ยงในแนวทางเดียวกันและมีจุดหมายร่วมกันในการบริหารความเสี่ยง

ปัจจัยที่ 3 : กระบวนการบริหารความเสี่ยง ดำเนินการอย่างต่อเนื่อง
การที่องค์กรทั่วไป จะประสบความสำเร็จในการปฏิบัติตามกระบวนการบริหารความเสี่ยงได้นั้น รูปแบบการบริหารความเสี่ยงขององค์กรจะต้องมีการกำหนดขึ้น และเป็นความรับผิดชอบของผู้บริหารในทุกระดับที่จะนำกระบวนการบริหารความเสี่ยงมาปฏิบัติได้อย่างทั่วถึงทั้งองค์กร และต้องกระทำอย่างต่อเนื่อง สม่ำเสมอ

ปัจจัยที่ 4 : การบริหารการเปลี่ยนแปลง ต้องมีการชี้แจง
ในการนำเอากระบวนการบริหารความเสี่ยงมาปฏิบัติ จำเป็นต้องมีการปรับวัฒนธรรมการบริหารความเสี่ยงขององค์กรให้กับเข้าทุกระดับขององค์กร และต้องให้ผู้บริหารและพนักงานทุกคนได้ทราบถึงการเปลี่ยนแปลงและผลที่องค์กร และแต่ละบุคคลจะได้รับจากการเปลี่ยนแปลงนั้น

องค์ประกอบที่สำคัญของการเปลี่ยนแปลง
– กำหนดความคาดหวังที่เป็นไปได้ในทางปฏิบัติตั้งแต่เริ่มต้นโครงการ
– กำหนดระยะเวลาของกระบวนการเปลี่ยนแปลงและสื่อให้กับผู้ที่เกี่ยวข้องได้รับทราบ
– กำหนดลักษณะและระดับของความพยายามที่ต้องการ
– ดำเนินการเพื่อให้มั่นใจว่ามีการสื่อสารไปยังทุกฝ่ายที่ได้รับผลกระทบจากการเปลี่ยนแปลง
– ระบุปัญหา อุปสรรคที่ต้องดำเนินการแก้ไขตั้งแต่เริ่มแรก

ปัจจัยที่ 5 : การสื่อสารที่มีคุณภาพเชื่อมโยงกับกลยุทธ์
วัตถุประสงค์ของการสื่อสารอย่างมีประสิทธิผลนั้น ต้องให้มั่นใจได้ว่า
– ผู้บริหารได้รับข้อมูลเกี่ยวกับความเสี่ยงที่ถูกต้องและทันเวลา
– ผู้บริหารสามารถจัดการกับความเสี่ยงตามลำดับความสำคัญ หรือตามการเปลี่ยนแปลงหรือความเสี่ยงที่เกิดขึ้นใหม่ได้ทันท่วงที
– มีการติดตามแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อนำมาใช้ปรับปรุงการบริหารองค์กร และจัดการความเสี่ยงต่าง ๆ เพื่อให้องค์กรมีโอกาสในการบรรลุวัตถุประสงค์ได้มากที่สุด

การสื่อสารเกี่ยวกับกลยุทธ์การบริหารความเสี่ยง และวิธีปฏิบัติมีความสำคัญอย่างมาก เพราะการสื่อสารจะเน้นให้เห็นถึงการเชื่อมโยง ระหว่างการบริหารความเสี่ยงกับกลยุทธ์องค์กร การชี้แจงทำความเข้าใจต่อพนักงานทุกคนถึงความรับผิดชอบของแต่ละบุคคลต่อกระบวนการบริหารความเสี่ยง จะช่วยให้เกิดการยอมรับในกระบวนการ และนำมาซึ่งความสำเร็จในการพัฒนาการบริหารความเสี่ยง โดยควรได้รับการสนับสนุนทั้งทางวาจา และในทางปฏิบัติจากกรรมการผู้จัดการและผู้บริหารระดับสูงของ องค์กร

ปัจจัยที่ 6 : การวัดผลการบริหารความเสี่ยง ควบคู่กับกระบวนการด้านบุคลากร
– การวัดความเสี่ยงในรูปแบบของผลกระทบและโอกาสที่อาจเกิดขึ้น เพื่อให้ผู้บริหารสามารถประเมินความเสี่ยงที่เกิดขึ้นและดำเนินการให้กระบวนการทั้งหมดเกิดความสอดคล้องกันอย่างมีประสิทธิภาพและประสิทธิผล และเป็นการลดความแตกต่างระหว่างความเสี่ยงที่เกิดขึ้น และความเสี่ยงที่องค์กรยอมรับ

– การวัดความสำเร็จของการบริหารความเสี่ยงโดยอาศัยดัชนีวัดผลการดำเนินงาน ซึ่งอาจกำหนดเป็นระดับองค์กร ฝ่ายงาน หรือของแต่ละบุคคล การใช้ดัชนีวัดผลการดำเนินงานนี้อาจปฏิบัติร่วมกับกระบวนการด้านทรัพยากรบุคคล

ปัจจัยที่ 7 : การฝึกอบรม ความรู้ ความรับผิดชอบการบริหารความเสี่ยง
กรรมการ ผู้บริหาร และพนักงานทุกคนในองค์กร ควรต้องได้รับการฝึกอบรมเพื่อให้เข้าใจกรอบการบริหารความเสี่ยง และความรับผิดชอบของแต่ละบุคคลในการจัดการความเสี่ยง เพื่อบรรลุความสำเร็จขององค์กร การสื่อสารข้อมูลเกี่ยวกับความเสี่ยง การฝึกอบรมในองค์กรควรต้องคำนึงถึงประเด็น ดังต่อไปนี้
– ความแตกต่างกันของระดับความรับผิดชอบ ในการบริหารความเสี่ยง
– ความรู้เกี่ยวกับความเสี่ยง และการบริหารความเสี่ยงที่มีอยู่แล้วในองค์กร
พนักงานใหม่ทุกคน ควรได้รับการฝึกอบรม เพื่อให้มีความเข้าใจในความรับผิดชอบต่อความเสี่ยง และกระบวนการบริหารความเสี่ยงด้วยเช่นกัน

ระบบการประเมินผลการดำเนินงาน ถือเป็นเครื่องมือสำคัญที่ใช้ในการส่งเสริมความรับผิดชอบของแต่ละบุคคล โดยความรับผิดชอบเกี่ยวกับการบริหารความเสี่ยง ควรกำหนดรวมอยู่ในงานที่แต่ละบุคคลรับผิดชอบ และในคำอธิบายลักษณะงาน (Job Description) การประเมินผลการดำเนินงานส่วนที่เกี่ยวกับการบริหารความเสี่ยง มีประเด็นที่ควรประเมินดังต่อไปนี้
– ความรับผิดชอบ และการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลมีต่อองค์กร
– การวัดระดับของความเสี่ยงที่บุคคลนั้น เป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

ปัจจัยที่ 8 : การติดตามกระบวนการบริหารความเสี่ยง
ขั้นตอนสุดท้ายของปัจจัยสำคัญต่อความสำเร็จของการบริหารความเสี่ยง คือ การกำหนดวิธีที่เหมาะสมในการติดตามการบริหารความเสี่ยง

การติดตามกระบวนการบริหารความเสี่ยง ควรพิจารณาประเด็นต่อไปนี้
– การรายงาน และสอบทานขั้นตอนตามกระบวนการบริหารความเสี่ยง
– ความชัดเจนและสม่ำเสมอของการมีส่วนร่วม และความมุ่งมั่นของผู้บริหารระดับสูง
– บทบาทของผู้นำในการสนับสนุน และติดตามการบริหารความเสี่ยง
– การประยุกต์ใช้เกณฑ์การประเมินผลการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

เมษายน 30, 2009

จากที่ได้กล่าวไปแล้วว่า ผมจะพูดถึงหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงในครั้งนี้ ฉะนั้น การบริหารความเสี่ยงขององค์กรจะมีหลักการอย่างไร และจะมีปัจจัยใดบ้างที่เกี่ยวข้องและมีผลกระทบต่อความสำเร็จขององค์กร ติดตามกันต่อได้เลยครับ

หลักการบริหารความเสี่ยง
หลักการบริหารความเสี่ยงประกอบด้วยพื้นฐาน 2 ประการคือ หลักการ ORCA และปัจจัยที่ทำให้การนำกรอบการบริหารความเสี่ยงไปปฏิบัติประสบผลสำเร็จ

หลักการบริหารความเสี่ยง = หลักการ ORCA + ปัจจัยสำคัญที่ทำให้ประสบความสำเร็จ

หลักการ ORCA เป็นคำย่อของ Objectives – วัตถุประสงค์ / Risk – ความเสี่ยง / Control – การควบคุมภายใน Alignment – ความสอดคล้องกัน ซึ่งเป็นแนวทางที่มีเหตุผลดังนี้
1. การกำหนดวัตถุประสงค์ที่ชัดเจนขององค์กร
2. การประเมินความเสี่ยงที่อาจทำให้ไม่สามารถบรรลุวัตถุประสงค์ การประเมินความเสี่ยงเป็นการบ่งชี้และวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับความสามารถในการบรรลุวัตถุประสงค์และเป็นแนวทางพื้นฐานในการกำหนดการควบคุมภายในเพื่อใช้สำหรับการจัดการความเสี่ยง เป็นกระบวนการต่อเนื่อง ทั้งนี้เนื่องจากภาวะทางเศรษฐกิจ อุตสาหกรรม กฎ ระเบียบ และการปฏิบัติงานมีการเปลี่ยนแปลงอยู่ตลอดเวลา
3. สร้างการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงขององค์กร การควบคุมที่ไม่เพียงพออาจทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้
4. ดำเนินการเพื่อให้มั่นใจว่ามีความสอดคล้องกันระหว่างวัตถุประสงค์ ความเสี่ยงและการควบคุมทั่วทั้งองค์กร

ปัจจัยสำคัญต่อความสำเร็จในการบริหารความเสี่ยง
ปัจจัยสำคัญ 8 ประการ เพื่อช่วยให้การปฏิบัติตามกรอบการบริหารความเสี่ยงประสบความสำเร็จ มีดังนี้

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

จิกซอร์ของความสำเร็จในการบริหารความเสี่ยง

ปัจจัยที่ 1 : การสนับสนุนจากผู้บริหารระดับสูง
การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กร จะประสบความสำเร็จเพียงใดขึ้นอยู่กับเจตนารมณ์ การสนับสนุน การมีส่วนร่วม และความเป็นผู้นำของผู้บริหารระดับสูงในองค์กร

คณะกรรมการ และผู้บริหารระดับสูงขององค์กรทั่วไป ต้องให้ความสำคัญและสนับสนุนให้ทุกคนในองค์กรเข้าใจความสำคัญในคุณค่าของการบริหารความเสี่ยงต่อองค์กร มิฉะนั้นแล้วการบริหารความเสี่ยงไม่สามารถเกิดขึ้นได้ การบริหารความเสี่ยงต้องเริ่มต้นจากการที่กรรมการผู้จัดการ หรือผู้นำสูงสุดขององค์กร ต้องการให้ระบบนี้เกิดขึ้น โดยกำหนดนโยบายให้มีการปฏิบัติ รวมถึงการกำหนดให้ผู้บริหารต้องใช้ข้อมูลเกี่ยวกับความเสี่ยงในการตัดสินใจ และบริหารงาน เป็นต้น

ปัจจัยที่ 2 : ความเข้าใจความหมายความเสี่ยงตรงกัน
การใช้คำนิยามเกี่ยวกับความเสี่ยงและการบริหารความเสี่ยงแบบเดียวกัน จะทำให้เกิดความมีประสิทธิภาพในการกำหนดวัตถุประสงค์ นโยบาย กระบวนการ เพื่อใช้ในการบ่งชี้และประเมินความเสี่ยง และกำหนดวิธีการจัดการความเสี่ยงที่เหมาะสม

การจัดทำกรอบและนโยบายการบริหารความเสี่ยงที่มีความชัดเจน จะทำให้ผู้บริหารและพนักงานทุกคนใช้ภาษาความเสี่ยงในแนวทางเดียวกันและมีจุดหมายร่วมกันในการบริหารความเสี่ยง

ปัจจัยที่ 3 : กระบวนการบริหารความเสี่ยง ดำเนินการอย่างต่อเนื่อง
การที่องค์กรทั่วไป จะประสบความสำเร็จในการปฏิบัติตามกระบวนการบริหารความเสี่ยงได้นั้น รูปแบบการบริหารความเสี่ยงขององค์กรจะต้องมีการกำหนดขึ้น และเป็นความรับผิดชอบของผู้บริหารในทุกระดับที่จะนำกระบวนการบริหารความเสี่ยงมาปฏิบัติได้อย่างทั่วถึงทั้งองค์กร และต้องกระทำอย่างต่อเนื่อง สม่ำเสมอ

ปัจจัยที่ 4 : การบริหารการเปลี่ยนแปลง ต้องมีการชี้แจง
ในการนำเอากระบวนการบริหารความเสี่ยงมาปฏิบัติ จำเป็นต้องมีการปรับวัฒนธรรมการบริหารความเสี่ยงขององค์กรให้กับเข้าทุกระดับขององค์กร และต้องให้ผู้บริหารและพนักงานทุกคนได้ทราบถึงการเปลี่ยนแปลงและผลที่องค์กร และแต่ละบุคคลจะได้รับจากการเปลี่ยนแปลงนั้น

องค์ประกอบที่สำคัญของการเปลี่ยนแปลง
– กำหนดความคาดหวังที่เป็นไปได้ในทางปฏิบัติตั้งแต่เริ่มต้นโครงการ
– กำหนดระยะเวลาของกระบวนการเปลี่ยนแปลงและสื่อให้กับผู้ที่เกี่ยวข้องได้รับทราบ
– กำหนดลักษณะและระดับของความพยายามที่ต้องการ
– ดำเนินการเพื่อให้มั่นใจว่ามีการสื่อสารไปยังทุกฝ่ายที่ได้รับผลกระทบจากการเปลี่ยนแปลง
– ระบุปัญหา อุปสรรคที่ต้องดำเนินการแก้ไขตั้งแต่เริ่มแรก

ปัจจัยที่ 5 : การสื่อสารที่มีคุณภาพเชื่อมโยงกับกลยุทธ์
วัตถุประสงค์ของการสื่อสารอย่างมีประสิทธิผลนั้น ต้องให้มั่นใจได้ว่า
– ผู้บริหารได้รับข้อมูลเกี่ยวกับความเสี่ยงที่ถูกต้องและทันเวลา
– ผู้บริหารสามารถจัดการกับความเสี่ยงตามลำดับความสำคัญ หรือตามการเปลี่ยนแปลงหรือความเสี่ยงที่เกิดขึ้นใหม่ได้ทันท่วงที
– มีการติดตามแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อนำมาใช้ปรับปรุงการบริหารองค์กร และจัดการความเสี่ยงต่าง ๆ เพื่อให้องค์กรมีโอกาสในการบรรลุวัตถุประสงค์ได้มากที่สุด

การสื่อสารเกี่ยวกับกลยุทธ์การบริหารความเสี่ยง และวิธีปฏิบัติมีความสำคัญอย่างมาก เพราะการสื่อสารจะเน้นให้เห็นถึงการเชื่อมโยง ระหว่างการบริหารความเสี่ยงกับกลยุทธ์องค์กร การชี้แจงทำความเข้าใจต่อพนักงานทุกคนถึงความรับผิดชอบของแต่ละบุคคลต่อกระบวนการบริหารความเสี่ยง จะช่วยให้เกิดการยอมรับในกระบวนการ และนำมาซึ่งความสำเร็จในการพัฒนาการบริหารความเสี่ยง โดยควรได้รับการสนับสนุนทั้งทางวาจา และในทางปฏิบัติจากกรรมการผู้จัดการและผู้บริหารระดับสูงของ องค์กร

ปัจจัยที่ 6 : การวัดผลการบริหารความเสี่ยง ควบคู่กับกระบวนการด้านบุคลากร
– การวัดความเสี่ยงในรูปแบบของผลกระทบและโอกาสที่อาจเกิดขึ้น เพื่อให้ผู้บริหารสามารถประเมินความเสี่ยงที่เกิดขึ้นและดำเนินการให้กระบวนการทั้งหมดเกิดความสอดคล้องกันอย่างมีประสิทธิภาพและประสิทธิผล และเป็นการลดความแตกต่างระหว่างความเสี่ยงที่เกิดขึ้น และความเสี่ยงที่องค์กรยอมรับ

– การวัดความสำเร็จของการบริหารความเสี่ยงโดยอาศัยดัชนีวัดผลการดำเนินงาน ซึ่งอาจกำหนดเป็นระดับองค์กร ฝ่ายงาน หรือของแต่ละบุคคล การใช้ดัชนีวัดผลการดำเนินงานนี้อาจปฏิบัติร่วมกับกระบวนการด้านทรัพยากรบุคคล

ปัจจัยที่ 7 : การฝึกอบรม ความรู้ ความรับผิดชอบการบริหารความเสี่ยง
กรรมการ ผู้บริหาร และพนักงานทุกคนในองค์กร ควรต้องได้รับการฝึกอบรมเพื่อให้เข้าใจกรอบการบริหารความเสี่ยง และความรับผิดชอบของแต่ละบุคคลในการจัดการความเสี่ยง เพื่อบรรลุความสำเร็จขององค์กร การสื่อสารข้อมูลเกี่ยวกับความเสี่ยง การฝึกอบรมในองค์กรควรต้องคำนึงถึงประเด็น ดังต่อไปนี้
– ความแตกต่างกันของระดับความรับผิดชอบ ในการบริหารความเสี่ยง
– ความรู้เกี่ยวกับความเสี่ยง และการบริหารความเสี่ยงที่มีอยู่แล้วในองค์กร
พนักงานใหม่ทุกคน ควรได้รับการฝึกอบรม เพื่อให้มีความเข้าใจในความรับผิดชอบต่อความเสี่ยง และกระบวนการบริหารความเสี่ยงด้วยเช่นกัน

ระบบการประเมินผลการดำเนินงาน ถือเป็นเครื่องมือสำคัญที่ใช้ในการส่งเสริมความรับผิดชอบของแต่ละบุคคล โดยความรับผิดชอบเกี่ยวกับการบริหารความเสี่ยง ควรกำหนดรวมอยู่ในงานที่แต่ละบุคคลรับผิดชอบ และในคำอธิบายลักษณะงาน (Job Description) การประเมินผลการดำเนินงานส่วนที่เกี่ยวกับการบริหารความเสี่ยง มีประเด็นที่ควรประเมินดังต่อไปนี้
– ความรับผิดชอบ และการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลมีต่อองค์กร
– การวัดระดับของความเสี่ยงที่บุคคลนั้น เป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

ปัจจัยที่ 8 : การติดตามกระบวนการบริหารความเสี่ยง
ขั้นตอนสุดท้ายของปัจจัยสำคัญต่อความสำเร็จของการบริหารความเสี่ยง คือ การกำหนดวิธีที่เหมาะสมในการติดตามการบริหารความเสี่ยง

การติดตามกระบวนการบริหารความเสี่ยง ควรพิจารณาประเด็นต่อไปนี้
– การรายงาน และสอบทานขั้นตอนตามกระบวนการบริหารความเสี่ยง
– ความชัดเจนและสม่ำเสมอของการมีส่วนร่วม และความมุ่งมั่นของผู้บริหารระดับสูง
– บทบาทของผู้นำในการสนับสนุน และติดตามการบริหารความเสี่ยง
– การประยุกต์ใช้เกณฑ์การประเมินผลการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยง

1 ความเห็น | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

เมษายน 28, 2009

สวัสดีครับ ห่างหายกันไปนาน เดี๋ยวจะหาว่าผมหยุดพักผ่อนสงกรานต์นานไปหน่อย จริง ๆ แล้วไม่ได้หายไปไหนหรอกครับ แต่ตั้งแต่ช่วงสงกรานต์ที่ผ่านมาระบบอินเตอร์เน็ตที่ผมใช้งานอยู่เกิดเสียขึ้นมา ก็ต้องขอโทษด้วยสำหรับผู้อ่านที่กำลังติดตามแนวทาง/กรอบการบริหารความเสี่ยงขององค์กรกันอยู่

วันนี้ผมจะขอทบทวนในเรื่องของกรอบแนวความคิดของการบริหารความเสี่ยงกันอีกนึดนึง หลังจากที่ได้หายไปนาน ซึ่งวัตถุประสงค์สำคัญของกรอบแนวคิดนี้คือ การช่วยให้องค์กรทั่วไปจัดการกับความเสี่ยงที่เกิดขึ้นในการบรรลุวัตถุประสงค์ที่กำหนดไว้ แต่ความหมายของ ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กร จะมีความแตกต่างกันไปในแต่ละคน จึงจำเป็นต้องมีการบูรณาการแนวความคิด เรื่องความเสี่ยงออกมาเป็นกรอบเพื่อเป็นความหมายที่เข้าใจได้ตรงกันโดยทั่วไปและสามารถระบุองค์ประกอบได้

ภาพด้านล่างนี้จะทำให้เข้าใจภาพโดยรวมของ ERM ได้ชัดเจนยิ่งขึ้นครับ

ERM 8 ประการ

ERM 8 ประการ

คำจำกัดความการจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
การจัดการความเสี่ยงขององค์กร เป็นกระบวนการที่คณะกรรมการบริหาร และพนักงานทุกคน/ผู้ที่เกี่ยวข้องขององค์กร ประยุกต์ใช้ในการกำหนดกลยุทธ์ที่ออกแบบมาเพื่อจัดการกับเหตุการณ์ที่เป็นความไม่แน่นอนที่อาจส่งผลกระทบต่อองค์กรและบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ อันเป็นการประกันการบรรลุวัตถุประสงค์อย่างสมเหตุสมผลอย่างเป็นระบบตามหลักการบริหารงานยุคใหม่

คำจำกัดความดังกล่าวสะท้อนให้เห็นแนวคิดพื้นฐานของ ERM ดังนี้
1. เป็นกระบวนการ
มีเป้าหมายแต่ไม่มีจุดสิ้นสุดในตัวเอง ไม่ได้เป็นเพียงเหตุการณ์หรือสถานการณ์เพียงครั้งเดียวแต่มีลักษณะเป็นชุดของการกระทำที่ซึมซับเข้าไปเป็นกิจกรรมขององค์กรในการดำเนินธุรกิจ

2. ส่งผลกระทบต่อบุคลากร
ไม่ได้เป็นเพียงนโยบาย การสำรวจหรือรูปแบบ แต่เกี่ยวเนื่องกับคนทุกระดับขององค์กร ตั้งแต่คณะกรรมการบริหาร จนถึงพนักงานระดับปฏิบัติการ ผู้บริหารและพนักงาน จะเป็นผู้กำหนดวิสัยทัศน์ ภารกิจ กลยุทธ์และวัตถุประสงค์ขององค์กรและนำเอา ERM มาเป็นเครื่องมือในการทำให้สิ่งต่าง ๆ เกิดขึ้นจริงและมีผลในทางปฏิบัติ

3. นำมาประยุกต์ใช้กับการกำหนดกลยุทธ์
องค์กรจะกำหนดวิสัยทัศน์ หรือภารกิจ และกำหนดวัตถุประสงค์เชิงกลยุทธ์ และกลยุทธ์/ยุทธศาสตร์ที่เกี่ยวเนื่องในการทำให้บรรลุวัตถุประสงค์ขึ้นมา

ERM จะถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์โดยฝ่ายบริหารจะพิจารณาถึงความเสี่ยงที่เกี่ยวข้องกับกลยุทธ์ที่เป็นทางเลือก เช่น ทางเลือกที่ 1 คือต้องการให้องค์กรมีส่วนแบ่งทางการตลาดเพิ่มขึ้น ทางเลือกที่ 2 คือต้องการตัดต้นทุนค่าใช้จ่ายเพื่อให้ได้กำไรมากขึ้น แต่ละทางเลือกก็จะประกอบด้วยความเสี่ยงจำนวนมาก ถ้าฝ่ายบริหารเลือกทางเลือกที่ 1 โดยอาจขยายธุรกิจไปสู่ตลาดใหม่ ๆ ที่ไม่คุ้นเคย อาจทำให้องค์กรไม่สามารถแข่งขันกับคู่แข่งที่อยู่ในตลาดเดิมอยู่แล้วได้อันจะทำให้องค์กรไม่สามารถนำกลยุทธ์นั้นไปปฏิบัติได้ สำหรับทางเลือกที่ 2 ความเสี่ยงที่เกิดขึ้นคือ การใช้เทคโนโลยีและ suppliers ใหม่ ๆ หรือจากพันธมิตรต่าง ๆ ที่เกี่ยวข้อง จึงต้องมีการประยุกต์นำ ERM มาใช้ในระดับนี้ เพื่อกำหนดกลยุทธ์/ยุทธศาสตร์ขององค์กร

4. นำมาประยุกต์ใช้ทุกระดับและทุกหน่วยงาน
การนำ ERM มาใช้ให้เกิดประโยชน์ ฝ่ายบริหารและผู้ที่เกี่ยวข้องของ องค์กร จะต้องพิจารณาขอบข่ายของกิจกรรมทั้งหมดในทุกระดับขององค์กร ตั้งแต่กิจกรรมในระดับองค์กร เช่น การวางแผนกลยุทธ์และการจัดสรรทรัพยากร ในระดับกิจกรรมของหน่วยธุรกิจ การตลาดและทรัพยากรมนุษย์ ในระดับกระบวนการทางธุรกิจ เช่น การผลิตและการตรวจสอบเครดิตลูกค้าใหม่ ERM ยังสามารถประยุกต์ใช้กับโครงการพิเศษและนวัตกรรมใหม่ ๆ ได้ด้วย ฝ่ายบริหารต้องพิจารณาความเสี่ยงที่เกี่ยวเนื่องและบริหารจัดการให้เหลือความเสี่ยงที่ยอมรับได้ที่มีผลต่อแผนงาน/โครงการตามพันธกิจและกลยุทธ์ที่เกี่ยวข้อง

5. ออกแบบมาเพื่อกำหนดเหตุการณ์ที่เป็นไปได้ที่จะมีผลกระทบกับองค์กร และมีการบริหารความเสี่ยงให้อยู่ภายในความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้ คือ จำนวนความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับ กลยุทธ์ที่แตกต่างกันย่อมทำให้องค์กรต้องเผชิญกับความเสี่ยงที่แตกต่างกัน ERM จะช่วยให้ฝ่ายบริหารสามารถเลือกกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ให้กับองค์กร

ความเสี่ยงที่ยอมรับได้ขององค์กร จะเป็นแนวทางในการจัดสรรทรัพยากร ฝ่ายบริหารจะจัดสรรทรัพยากรให้กับหน่วยธุรกิจ โดยพิจารณาจากความเสี่ยงที่ยอมรับได้ของธุรกิจและกลยุทธ์ในการสร้างผลตอบแทนจากทรัพยากรที่ลงทุนไปของแต่ละหน่วยธุรกิจ

6. สร้างความเชื่อมั่นอย่างสมเหตุสมผลต่อการบริหารขององค์กร และคณะกรรมการ
การออกแบบและบริหาร ERM ที่ดีช่วยให้คณะกรรมการบริหารเกิดความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร ในเรื่องดังนี้
– เข้าใจขอบเขตในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ขององค์กร
– เข้าใจขอบเขตของการบรรลุวัตถุประสงค์เชิงปฏิบัติการขององค์กร
– รายงานขององค์กรมีความเชื่อถือได้
– การปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

7. เป็นเครื่องมือในการบรรลุวัตถุประสงค์ขององค์กร
คำจำกัดความนี้เป็นแนวคิดพื้นฐานว่า องค์กรทั่วไปจะบริหารความเสี่ยงได้อย่างไร โดยจะมุ่งเน้นถึงการบรรลุวัตถุประสงค์หรือเป้าหมายรวมขององค์กร

กรอบแนวคิดนี้แสดงให้เห็นวัตถุประสงค์ขององค์กรในเรื่องต่าง ๆ ดังนี้
กลยุทธ์ เกี่ยวข้องกับเป้าหมายในระดับสูง โดยการสร้างความสอดคล้องและสนับสนุนภารกิจขององค์กร
การดำเนินงาน เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ทรัพยากรขององค์กร
การรายงาน เกี่ยวข้องกับความน่าเชื่อถือของรายงานขององค์กร
การปฏิบัติตาม เกี่ยวข้องกับการปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

ครั้งหน้า ผมจะเล่าเรื่องหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงต่อครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

เมษายน 28, 2009

สวัสดีครับ ห่างหายกันไปนาน เดี๋ยวจะหาว่าผมหยุดพักผ่อนสงกรานต์นานไปหน่อย จริง ๆ แล้วไม่ได้หายไปไหนหรอกครับ แต่ตั้งแต่ช่วงสงกรานต์ที่ผ่านมาระบบอินเตอร์เน็ตที่ผมใช้งานอยู่เกิดเสียขึ้นมา ก็ต้องขอโทษด้วยสำหรับผู้อ่านที่กำลังติดตามแนวทาง/กรอบการบริหารความเสี่ยงขององค์กรกันอยู่

วันนี้ผมจะขอทบทวนในเรื่องของกรอบแนวความคิดของการบริหารความเสี่ยงกันอีกนึดนึง หลังจากที่ได้หายไปนาน ซึ่งวัตถุประสงค์สำคัญของกรอบแนวคิดนี้คือ การช่วยให้องค์กรทั่วไปจัดการกับความเสี่ยงที่เกิดขึ้นในการบรรลุวัตถุประสงค์ที่กำหนดไว้ แต่ความหมายของ ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กร จะมีความแตกต่างกันไปในแต่ละคน จึงจำเป็นต้องมีการบูรณาการแนวความคิด เรื่องความเสี่ยงออกมาเป็นกรอบเพื่อเป็นความหมายที่เข้าใจได้ตรงกันโดยทั่วไปและสามารถระบุองค์ประกอบได้

ภาพด้านล่างนี้จะทำให้เข้าใจภาพโดยรวมของ ERM ได้ชัดเจนยิ่งขึ้นครับ

ERM 8 ประการ

ERM 8 ประการ

คำจำกัดความการจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
การจัดการความเสี่ยงขององค์กร เป็นกระบวนการที่คณะกรรมการบริหาร และพนักงานทุกคน/ผู้ที่เกี่ยวข้องขององค์กร ประยุกต์ใช้ในการกำหนดกลยุทธ์ที่ออกแบบมาเพื่อจัดการกับเหตุการณ์ที่เป็นความไม่แน่นอนที่อาจส่งผลกระทบต่อองค์กรและบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ อันเป็นการประกันการบรรลุวัตถุประสงค์อย่างสมเหตุสมผลอย่างเป็นระบบตามหลักการบริหารงานยุคใหม่

คำจำกัดความดังกล่าวสะท้อนให้เห็นแนวคิดพื้นฐานของ ERM ดังนี้
1. เป็นกระบวนการ
มีเป้าหมายแต่ไม่มีจุดสิ้นสุดในตัวเอง ไม่ได้เป็นเพียงเหตุการณ์หรือสถานการณ์เพียงครั้งเดียวแต่มีลักษณะเป็นชุดของการกระทำที่ซึมซับเข้าไปเป็นกิจกรรมขององค์กรในการดำเนินธุรกิจ

2. ส่งผลกระทบต่อบุคลากร
ไม่ได้เป็นเพียงนโยบาย การสำรวจหรือรูปแบบ แต่เกี่ยวเนื่องกับคนทุกระดับขององค์กร ตั้งแต่คณะกรรมการบริหาร จนถึงพนักงานระดับปฏิบัติการ ผู้บริหารและพนักงาน จะเป็นผู้กำหนดวิสัยทัศน์ ภารกิจ กลยุทธ์และวัตถุประสงค์ขององค์กรและนำเอา ERM มาเป็นเครื่องมือในการทำให้สิ่งต่าง ๆ เกิดขึ้นจริงและมีผลในทางปฏิบัติ

3. นำมาประยุกต์ใช้กับการกำหนดกลยุทธ์
องค์กรจะกำหนดวิสัยทัศน์ หรือภารกิจ และกำหนดวัตถุประสงค์เชิงกลยุทธ์ และกลยุทธ์/ยุทธศาสตร์ที่เกี่ยวเนื่องในการทำให้บรรลุวัตถุประสงค์ขึ้นมา

ERM จะถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์โดยฝ่ายบริหารจะพิจารณาถึงความเสี่ยงที่เกี่ยวข้องกับกลยุทธ์ที่เป็นทางเลือก เช่น ทางเลือกที่ 1 คือต้องการให้องค์กรมีส่วนแบ่งทางการตลาดเพิ่มขึ้น ทางเลือกที่ 2 คือต้องการตัดต้นทุนค่าใช้จ่ายเพื่อให้ได้กำไรมากขึ้น แต่ละทางเลือกก็จะประกอบด้วยความเสี่ยงจำนวนมาก ถ้าฝ่ายบริหารเลือกทางเลือกที่ 1 โดยอาจขยายธุรกิจไปสู่ตลาดใหม่ ๆ ที่ไม่คุ้นเคย อาจทำให้องค์กรไม่สามารถแข่งขันกับคู่แข่งที่อยู่ในตลาดเดิมอยู่แล้วได้อันจะทำให้องค์กรไม่สามารถนำกลยุทธ์นั้นไปปฏิบัติได้ สำหรับทางเลือกที่ 2 ความเสี่ยงที่เกิดขึ้นคือ การใช้เทคโนโลยีและ suppliers ใหม่ ๆ หรือจากพันธมิตรต่าง ๆ ที่เกี่ยวข้อง จึงต้องมีการประยุกต์นำ ERM มาใช้ในระดับนี้ เพื่อกำหนดกลยุทธ์/ยุทธศาสตร์ขององค์กร

4. นำมาประยุกต์ใช้ทุกระดับและทุกหน่วยงาน
การนำ ERM มาใช้ให้เกิดประโยชน์ ฝ่ายบริหารและผู้ที่เกี่ยวข้องของ องค์กร จะต้องพิจารณาขอบข่ายของกิจกรรมทั้งหมดในทุกระดับขององค์กร ตั้งแต่กิจกรรมในระดับองค์กร เช่น การวางแผนกลยุทธ์และการจัดสรรทรัพยากร ในระดับกิจกรรมของหน่วยธุรกิจ การตลาดและทรัพยากรมนุษย์ ในระดับกระบวนการทางธุรกิจ เช่น การผลิตและการตรวจสอบเครดิตลูกค้าใหม่ ERM ยังสามารถประยุกต์ใช้กับโครงการพิเศษและนวัตกรรมใหม่ ๆ ได้ด้วย ฝ่ายบริหารต้องพิจารณาความเสี่ยงที่เกี่ยวเนื่องและบริหารจัดการให้เหลือความเสี่ยงที่ยอมรับได้ที่มีผลต่อแผนงาน/โครงการตามพันธกิจและกลยุทธ์ที่เกี่ยวข้อง

5. ออกแบบมาเพื่อกำหนดเหตุการณ์ที่เป็นไปได้ที่จะมีผลกระทบกับองค์กร และมีการบริหารความเสี่ยงให้อยู่ภายในความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้ คือ จำนวนความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับ กลยุทธ์ที่แตกต่างกันย่อมทำให้องค์กรต้องเผชิญกับความเสี่ยงที่แตกต่างกัน ERM จะช่วยให้ฝ่ายบริหารสามารถเลือกกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ให้กับองค์กร

ความเสี่ยงที่ยอมรับได้ขององค์กร จะเป็นแนวทางในการจัดสรรทรัพยากร ฝ่ายบริหารจะจัดสรรทรัพยากรให้กับหน่วยธุรกิจ โดยพิจารณาจากความเสี่ยงที่ยอมรับได้ของธุรกิจและกลยุทธ์ในการสร้างผลตอบแทนจากทรัพยากรที่ลงทุนไปของแต่ละหน่วยธุรกิจ

6. สร้างความเชื่อมั่นอย่างสมเหตุสมผลต่อการบริหารขององค์กร และคณะกรรมการ
การออกแบบและบริหาร ERM ที่ดีช่วยให้คณะกรรมการบริหารเกิดความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร ในเรื่องดังนี้
– เข้าใจขอบเขตในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ขององค์กร
– เข้าใจขอบเขตของการบรรลุวัตถุประสงค์เชิงปฏิบัติการขององค์กร
– รายงานขององค์กรมีความเชื่อถือได้
– การปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

7. เป็นเครื่องมือในการบรรลุวัตถุประสงค์ขององค์กร
คำจำกัดความนี้เป็นแนวคิดพื้นฐานว่า องค์กรทั่วไปจะบริหารความเสี่ยงได้อย่างไร โดยจะมุ่งเน้นถึงการบรรลุวัตถุประสงค์หรือเป้าหมายรวมขององค์กร

กรอบแนวคิดนี้แสดงให้เห็นวัตถุประสงค์ขององค์กรในเรื่องต่าง ๆ ดังนี้
กลยุทธ์ เกี่ยวข้องกับเป้าหมายในระดับสูง โดยการสร้างความสอดคล้องและสนับสนุนภารกิจขององค์กร
การดำเนินงาน เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ทรัพยากรขององค์กร
การรายงาน เกี่ยวข้องกับความน่าเชื่อถือของรายงานขององค์กร
การปฏิบัติตาม เกี่ยวข้องกับการปฏิบัติตามกฎหมายและกฎเกณฑ์ต่าง ๆ

ครั้งหน้า ผมจะเล่าเรื่องหลักการบริหารความเสี่ยงโดยย่อที่สามารถนำไปใช้ได้จริงในทางปฏิบัติ และปัจจัยสู่ความสำเร็จในการบริหารความเสี่ยงต่อครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/คู่มือการบริหารความเสี่ยงทั่วทั้งองค์กร

เมษายน 25, 2009

วันนี้ ผมจะเล่าสู่กันฟังถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ดังที่ผมเคยกล่าวไว้ในครั้งก่อน ๆ แล้วว่าเป็นปัจจัยสำคัญหลักของ ERM – Enterprise Risk Management โดยเฉพาะอย่างยิ่ง กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในเรื่องของสภาพแวดล้อมภายในองค์กร (Internal Environment) ที่เป็นกระบวนการที่ให้ความสำคัญเป็นอันดับแรก

ผมอยากให้ท่านผู้บริหาร หรือท่านผู้อ่าน เห็นภาพของกระบวนการบริหารความเสี่ยงทั้ง 8 ประการที่กล่าวถึงนี้ว่า มีแนวทางในการบริหารความเสี่ยงและสามารถจะนำไปปฏิบัติได้อย่างไร ก่อนที่จะกล่าวถึงในรายละเอียดต่อไปครับ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

สภาพแวดล้อมภายในองค์กร (Internal Environment)
ภาพแวดล้อมภายในองค์กรเป็นพื้นฐานสำหรับองค์ประกอบอื่น ๆ ของ ERM เพื่อใช้ในการกำหนดหลักเกณฑ์และโครงสร้าง สภาพแวดล้อมภายในมีผลต่อการประเมินและการดำเนินการในการกำหนดกลยุทธ์และวัตถุประสงค์ขององค์กร การกำหนดกิจกรรมทางธุรกิจ และการกระบุความเสี่ยง มีอิทธิพลต่อการออกแบบและการกำหนดหน้าที่ของกิจกรรม ในการควบคุมระบบข้อมูลข่าวสารและการสื่อสาร และกิจกรรมการติดตามดูแล ในทางตรงข้ามสภาพแวดล้อมภายในนั้นก็ได้รับอิทธิพลมาจากประวัติและวัฒนธรรมในอดีตขององค์กร

สภาพแวดล้อมภายในประกอบด้วยองค์ประกอบต่าง ๆ หลายประการ เช่น ค่านิยมทางจริยธรรม ศักยภาพและการพัฒนาของบุคลากร รูปแบบการจัดการของฝ่ายบริหารและวิธีการมอบหมายอำนาจหน้าที่และความรับผิดชอบ คณะกรรมการบริหารเองก็เป็นส่วนหนึ่งของการควบคุมภายในและมีความสำคัญเป็นอย่างมากในการกำหนดสภาพแวดล้อมการควบคุมภายใน แม้ว่าทุกองค์ประกอบจะมีความสำคัญแต่ในองค์กรที่แตกต่างกันก็จะให้ความสำคัญที่แตกต่างกันกันออกไป

สภาพแวดล้อมภายในองค์กร หมายถึงปัจจัยต่าง ๆ ซึ่งผู้บริหารต้องมีการกำหนดร่วมกันกับพนักงานในองค์กร ส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร และเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM

สภาพแวดล้อมภายในองค์กรพิจารณาได้ดังนี้
1. ปรัชญาการบริหารความเสี่ยงขององค์กร
ปรัชญาการบริหารความเสี่ยงขององค์กร เป็นปรัชญาที่คนในองค์กรมีความเข้าใจตระหนักถึงและสามารถนำมาใช้ในการจัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพ ปรัชญาที่ว่าความเชื่อเกี่ยวกับความเสี่ยงและการเลือกวิธีจัดการกับความเสี่ยงขององค์กรทั่วไป จะสะท้อนให้เห็นค่านิยมที่องค์กรแสวงหาจาก ERM และมีอิทธิพลต่อวิธีการจัดการกับองค์ประกอบต่าง ๆ ของความเสี่ยงขององค์กร ทั้งนี้ ปรัชญาการบริหารความเสี่ยงขององค์กรทั่วไป จะต้องสะท้อนให้เห็นถึงนโยบายขององค์กรและมีการสื่อสารให้พนักงานทุกระดับเข้าใจและนำไปสู่การปฏิบัติได้จริง

2. ความเสี่ยงที่ยอมรับได้
ระดับหรือมูลค่าของความเสี่ยงที่องค์กรยอมรับ ฝ่ายบริหารและผู้ที่เกี่ยวข้องจะพิจารณาความเสี่ยงในเชิงคุณภาพในแต่ละประเภทว่าสูง ปานกลาง หรือต่ำ หรืออาจใช้วิธีการเชิงปริมาณเพื่อสะท้อนและสร้างความสมดุลของวัตถุประสงค์เพื่อการเติบโต ผลตอบแทนและความเสี่ยง

ความเสี่ยงที่ยอมรับได้จะต้องเกี่ยวเนื่องกับกลยุทธ์ขององค์กรโดยตรง โดยการนำไปใช้ในการกำหนดกลยุทธ์ ผลตอบแทนที่ต้องการได้รับจากกลยุทธ์ กลยุทธ์ที่ต่างกันจะทำให้องค์กรมีความเสี่ยงที่ต่างกัน ERM จึงถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์ ช่วยผู้บริหารในการเลือกกลยุทธ์เพื่อให้องค์กรมีความเสี่ยงที่ยอมรับได้

3. ความเสี่ยงทางด้านวัฒนธรรม
วัฒนธรรมด้านความเสี่ยงคือทัศนคติร่วมกันขององค์กร คุณค่าและแนวทางการปฏิบัติขององค์กรว่าองค์กรมีการพิจารณาความเสี่ยงแบบไหน ผู้บริหารองค์กรจะเป็นผู้ปรับให้วัฒนธรรมทางด้านความเสี่ยงขององค์กรไปในทิศทางเดียวกับปรัชญาการบริหารความเสี่ยงขององค์กรและความเสี่ยงที่ยอมรับได้

4. วัฒนธรรมย่อยด้านความเสี่ยง
แต่ละหน่วยธุรกิจหรือแต่ละหน่วยงานขององค์กร ความหมายต่างกัน สายงาน/ฝ่ายงานตามหน้าที่ และส่วนต่าง ๆ จะมีลักษณะงาน รวมทั้งวัฒนธรรมการบริหารความเสี่ยงที่แตกต่างกัน ผู้อำนวยการ/ผู้จัดการจึงต้องมีการเตรียมตัวในการเผชิญกับความเสี่ยงมากขึ้น เช่น สายงานหนึ่งอาจเน้นไปยังยอดขายโดยไม่ได้ระวังในเรื่องการปฏิบัติตามกฎเกณฑ์

ส่วนค่านิยมร่วมกันของสายงานอื่นอาจต้องการให้เน้นความสนใจเพื่อให้เกิดความแน่ใจว่ามีการการปฏิบัติตามหลักเกณฑ์ที่เกี่ยวข้อง วัฒนธรรมย่อย ๆ ที่แตกต่างกันนี้อาจส่งผลต่อองค์กรได้ แต่ถ้าสายงานเหล่านี้ทำงานร่วมกัน ส่งเสริมซึ่งกันและกัน วัฒนธรรมที่แตกต่างกันอาจสะท้อนออกมาเป็นความเสี่ยงที่องค์กรยอมรับได้และปรัชญาขององค์กร สำหรับองค์กรทั่วไป สายงานและฝ่ายงานต่าง ๆ ก็มีคุณลักษณะในการบรรลุเป้าหมายและการจัดการกับความเสี่ยงที่ต้องแตกต่างกันด้วย ดังนั้น ความเข้าใจในการบริหารความเสี่ยงในภาพรวมทั้งองค์กร และของแต่ละหน่วยงาน ซึ่งจะถ่ายทอดไปสู่แผนงานและโครงการต่าง ๆ เพื่อก้าวไปสู่เป้าประสงค์ และวิสัยทัศน์ จึงแตกต่างกัน

5. ความตระหนักถึงความเสี่ยงที่แท้จริง
องค์กรทั่วไปที่มีประวัติที่ไม่เคยได้รับความสูญเสียและไม่มีความเสี่ยงที่มีนัยสำคัญที่สังเกตเห็นได้ อาจเชื่อว่าจะมีโอกาสเกิดขึ้น ในขณะที่องค์กรอาจมีพนักงานที่มีความสามารถ มีกระบวนการที่มีประสิทธิผลและเทคโนโลยีที่น่าเชื่อถือได้ มีความหลากหลายของสภาพแวดล้อมภายในและภายนอก ซึ่งสิ่งต่าง ๆ เหล่านี้สามารถเปลี่ยนแปลงได้อย่างรวดเร็ว ฝ่ายบริหารควรตระหนักว่าการดำเนินการที่ดีนั้นย่อมเกิดความอ่อนแอได้ ความอ่อนแอในมิติต่าง ๆ เป็นเรื่องของความเสี่ยง ซึ่งทำให้การบรรลุเป้าหมายอาจเบี่ยงเบนไปได้

6. คณะกรรมการบริหาร
คณะกรรมการบริหารขององค์กร เป็นส่วนหนึ่งของสภาพแวดล้อมภายในที่สำคัญยิ่งและมีอิทธิพลต่อองค์ประกอบของสภาพแวดล้อมภายในอื่น ๆ อย่างมีนัยสำคัญ คณะกรรมการมีความเป็นอิสระจากฝ่ายบริหาร ประสบการณ์และภูมิความรู้ของพนักงาน ขอบเขตขององค์ประกอบและการพิจารณากิจกรรม และความเหมาะสมของการปฏิบัติการ

การบริหารความเสี่ยงขององค์กร ที่ได้ผลไม่อาจเกิดขึ้นได้หากคณะกรรมการบริหารและผู้บริหาร และพนักงานทุกคน มีความเข้าใจที่แตกต่างกันในเรื่องการบริหารเชิงรุกหรือการบริหารความเสี่ยงในภาพโดยรวมทั้งองค์กร

ปัจจุบันสำนักงานตรวจเงินแผ่นดิน (สตง.) และกระทรวงการคลังและหน่วยงานของรัฐ ได้กำหนดเกณฑ์ประเมินผลการบริหารความเสี่ยง IT Governance และการควบคุมภายใน รวมทั้งการตรวจสอบภายในตามฐานความเสี่ยงอย่างเป็นระบบ สำหรับรายงานการบริหารความเสี่ยงของ สตง. มีภาพโดยย่อของการรายงานดังนี้

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ภาพสรุปโดยรวมในมุมมองของการวัดประสิทธิภาพการบริหารความเสี่ยงของกระทรวงการคลัง ดังนี้

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

องค์ประกอบของการพิจารณาการบริหารความเสี่ยงในเรื่องของสภาพแวดล้อมภายในองค์กร ยังมีอีกหลายหัวข้อที่ท่านผู้บริหารต้องพิจารณา ผมจะนำเสนอในโอกาสต่อไปครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »