แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 13, 2009

จากครั้งที่แล้วผมได้พูดถึงการกำหนดวัตถุประสงค์ตามหลัก SMART ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในขององค์กร ประการที่ 2 ตามหลัก COSO – ERM ทั้ง 8 ประการ นั่นคือ การกำหนดวัตถุประสงค์ ดังที่ได้เคยกล่าวไว้และแสดงเป็นแผนภาพขั้นตอนของกระบวนการบริหารความเสี่ยงองค์กรในครั้งที่ผ่าน ๆ มา สำหรับวันนี้ก็จะยังคงกล่าวถึงเรื่องราวของวัตถุประสงค์ การเลือกหรือการกำหนดวัตถุประสงค์กับความเสี่ยงที่องค์กรยอมรับได้ ในกระบวนการที่ 2 ของการกำหนดวัตถุประสงค์อยู่นั่นเอง

วัตถุประสงค์ที่เลือก
ในส่วนของการบริหารความเสี่ยงขององค์กร ผู้บริหารควรมั่นใจว่าองค์กรได้เลือกวัตถุประสงค์และพิจารณาว่าจะสนับสนุนกลยุทธ์ พันธกิจ และวิสัยทัศน์ขององค์กรได้อย่างไร วัตถุประสงค์ขององค์กร ควรไปในแนวทางเดียวกับความเสี่ยงที่ยอมรับได้ขององค์กร การไม่ไปในแนวทางเดียวกันจะส่งผลต่อองค์กรทำให้ไม่สามารถรับความเสี่ยงได้เพียงพอที่จะบรรลุวัตถุประสงค์ หรือในทางกลับกันการยอมรับความเสี่ยงที่ไม่เหมาะสมก็ส่งผลต่อการบรรลุวัตถุประสงค์เช่นกัน การบริหารความเสี่ยงขององค์กรทั่วไปที่มีประสิทธิภาพจะไม่บังคับให้ผู้บริหารเลือกวัตถุประสงค์ แต่ผู้บริหารจะมีขั้นตอนที่ทำให้วัตถุประสงค์กับวิสัยทัศน์และกลยุทธ์ไปในแนวทางเดียวกัน และทำให้วัตถุประสงค์ที่ได้เลือกมีความยั่งยืนด้วยความเสี่ยงที่ยอมรับได้ขององค์กร

ความเสี่ยงที่ยอมรับได้
ความเสี่ยงที่ยอมรับได้เป็นสิ่งที่ใช้เป็นแนวทางในการกำหนดกลยุทธ์ ถูกกำหนดโดยผู้บริหารและทบทวนโดยคณะกรรมการบริหาร อาจอธิบายได้ว่าความเสี่ยงที่ยอมรับได้เป็นความสมดุลระหว่างความเติบโต ความเสี่ยงและผลตอบแทน ไม่ใช่เพื่อผลกำไร หรืออธิบายได้ว่าเป็นระดับของความเสี่ยงที่ยอมรับเพื่อสร้างคุณค่าให้กับผู้มีผลประโยชน์ร่วม ความเสี่ยงที่ยอมรับได้สามารถนำมาใช้เพื่อกิจกรรมต่าง ๆ ดังนี้

– ใช้เพื่อการสื่อสารให้องค์กรทราบถึงความเสี่ยงที่องค์กรยอมรับได้
– ใช้กำหนดค่าหรือปัจจัยที่ใช้ในกระบวนการวางแผนเพื่อใช้ในการกำหนดค่าความแตกต่างหรือความเบี่ยงเบนที่ควรจะเป็นระหว่างผลลัพธ์จริงกับแผนงานที่กำหนดไว้
– ใช้ในการสื่อสารคุณค่าขององค์กรที่ทำให้เกิดการสร้างวัฒนธรรมความเสี่ยงอย่างต่อเนื่อง

ความเสี่ยงที่ยอมรับได้ขององค์กรสามารถแสดงได้ทั้งในเชิงคุณภาพและเชิงปริมาณ หรือแสดงได้ทั้งสองรูปแบบดังนี้
– ความสมดุลระหว่างอัตราการเจริญเติบโต ความเสี่ยง และผลตอบแทน
– การเพิ่มมูลค่าให้กับผู้มีผลประโยชน์ร่วม
– ข้อจำกัดและแนวทางสำหรับการปฏิบัติงานทั่วไป
– ต้นทุนทางเศรษฐกิจ โดยคำนวณจากระดับความเชื่อมั่นและระยะเวลาที่กำหนด

ความเสี่ยงที่ยอมรับได้มีความสัมพันธ์กับกลยุทธ์ขององค์กร โดยทั่วไปกลยุทธ์ที่มีความแตกต่างกันสามารถออกแบบให้บรรลุความเติบโตและเป้าหมายที่ปรารถนาได้ ซึ่งแต่ละกลยุทธ์ก็มีความเสี่ยงที่แตกต่างกัน การบริหารความเสี่ยงขององค์กรประยุกต์ใช้ในการตั้งกลยุทธ์ ช่วยผู้บริหารเลือกกลยุทธ์ที่มีความมั่นคงโดยการใช้ความเสี่ยง ถ้าความเสี่ยงที่ร่วมกับกลยุทธ์ไม่มีความมั่นคงกับความเสี่ยงที่ยอมรับได้ กลยุทธ์จะต้องถูกแก้ไข กรณีนี้อาจเกิดขึ้นเมื่อผู้บริหารสร้างกลยุทธ์ที่มีความเสี่ยงที่ยอมรับได้ขององค์กรมากเกินไป หรือกลยุทธ์ไม่สามารถรวมเอาความเสี่ยงที่เพียงพอจะให้องค์กรบรรลุผลสำเร็จในวิสัยทัศน์และภารกิจได้

ความเสี่ยงที่ยอมรับได้ขององค์กรจะถูกสะท้อนในรูปของกลยุทธ์ขององค์กร ซึ่งจะนำไปในรูปของการจัดสรรทรัพยากร ผู้บริหารจัดสรรทรัพยากรข้ามหน่วยธุรกิจหรือข้ามสายงาน โดยใช้การพิจารณาความเสี่ยงที่ยอมรับได้และแผนกลยุทธ์ของแต่ละธุรกิจในการคืนผลตอบแทนในการลงทุน

ดังนั้น การกำหนด Risk Appetite ของฝ่ายงานจากแผนงานต่าง ๆ จึงต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ที่สะท้อนหลักการดังกล่าวข้างต้น

ระดับความเสี่ยงที่ยอมรับได้
ระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) คือ ระดับที่ยอมรับได้ของความผันแปรจากเกณฑ์หรือประเภทของความเสี่ยงที่ยอมรับได้ เพื่อให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ ระดับความเสี่ยงที่ยอมรับได้สามารถวัดผลได้ และบ่อยครั้งเป็นการวัดผลที่ดีที่สุดในหน่วยเดียวกันในฐานะที่เป็นวัตถุประสงค์ที่สัมพันธ์กัน ทั้งนี้ ระดับความเสี่ยงที่ยอมรับได้อาจถูกกำหนดเป็นเป้าหมายความเสี่ยงหรือระดับจำกัดความเสี่ยง

การวัดผลงานถูกวางไว้เพื่อช่วยให้มั่นใจว่าผลที่เกิดขึ้นจริงจะอยู่ภายในระดับความเสี่ยงที่ยอมรับได้ในการตั้งระดับความเสี่ยงที่ยอมรับได้ ผู้บริหาร องค์กร ต้องพิจารณาความสำคัญของวัตถุประสงค์ที่สัมพันธ์กันและวางระดับความเสี่ยงที่ยอมรับได้ไปแนวทางเดียวกับความเสี่ยงที่ยอมรับได้ การปฏิบัติการภายในระดับความเสี่ยงที่ยอมรับได้ทำให้ผู้บริหารมั่นใจเพิ่มขึ้นว่า องค์กร ยังคงมีความเสี่ยงที่ยอมรับได้และจะบรรลุวัตถุประสงค์ได้อย่างแน่นอน

แผนการบริหารความเสี่ยงและระดับความเสี่ยงที่องค์กรยอมรับได้

แผนการบริหารความเสี่ยงและระดับความเสี่ยงที่องค์กรยอมรับได้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงที่ยอมรับได้ หรือ Risk Appetite และ Risk Tolerance กับการตรวจสอบตู้คอนเทนเนอร์ที่แสมสาน สัตหีบ และการตัดสินใจของรัฐบาล

มิถุนายน 1, 2009

เมื่อวันศุกร์ที่ 29 พฤษภาคม 2552 ผมมีโอกาสได้ไปรับฟังการบรรยายของท่านนายกรัฐมนตรี อภิสิทธิ์ เวชชาชีวะ ที่โรงแรมแอทธินี ซึ่งจัดโดยสมาคมส่งเสริมกรรมการไทย หรือ IOD ท่านได้พูดตอนหนึ่งว่า จะให้การสนับสนุนให้มีการตรวจสอบตู้คอนเทนเนอร์ ที่จมน้ำมาประมาณ 17 ปี ซึ่งได้รับความสนใจจากประชาชนว่าข้างในตู้คอนเทนเนอร์จะเป็นอะไร เช่น เป็นซากศพ เป็นสารพิษหนัก หรืออะไรกันแน่นั้น ท่านนายกได้สรุปว่า เพื่อความโปร่งใสในเรื่องนี้ ท่านจะให้มีการดำเนินการตรวจสอบสิ่งที่อยู่ในตู้คอนเทนเนอร์ต่อไป

แนวความคิดนี้ หลายท่านก็คงถูกใจ หลายท่านก็อาจเป็นห่วง มุมมองของความคิดและการพิจารณาในเรื่องนี้ก็คือ การเน้นความโปร่งใสที่จะต้องมีการตรวจสอบได้ตามหลักการของ Corporate Governance ซึ่งเป็นเรื่องที่ดีและเป็นที่ยอมรับกันอย่างเป็นสากล

อย่างไรก็ดี แนวความคิดในการตรวจสอบตู้คอนเทนเนอร์ ควรอยู่ภายใต้กรอบของความเสี่ยงที่ประเทศและสังคมยอมรับได้ นั่นคือ ทางการหรือผู้รับผิดชอบในเรื่องนี้ ควรจะได้กำหนดระดับความเสี่ยงของการตรวจสอบตู้นี้ให้อยู่ในระดับที่ยอมรับได้ (Risk Appetite) เพื่อใช้เป็นบรรทัดฐานในการดำเนินงานและการตัดสินใจและใช้ดุลยพินิจของผู้ดำเนินการในทุกระดับที่เกี่ยวข้อง นั่นคือ หากเป็นสารพิษที่เป็นโลหะหนัก ที่จะมีพิษยาวนานประมาณ 30 – 40 ปี และหากพิษนั้นรั่วไหลออกมาสู่ทะเล จะเกิดปัญหาที่คาดไม่ถึงและยอมรับไม่ได้ต่อสภาพแวดล้อม ต่อสังคม ต่อการท่องเที่ยว ต่อสาธารณสุขของประชาชน รวมทั้งความไว้วางใจได้ของมวลชนทั้งในและต่างประเทศเพียงใด

ในเรื่องนี้ ถ้าไม่มีกรอบ ผลกระทบของความเสี่ยงที่จะก่อให้เกิดความเสียหายได้ในระดับประเทศ ในระดับชุมชนที่ชัดเจนและเป็นรูปธรรม ที่สามารถวัด ประเมินผลได้อย่างเป็นรูปธรรม ก็ยังไม่ควรดำเนินการจนกว่าผู้ที่เกี่ยวข้องจะได้กำหนด Risk Appetite ให้ชัดเจน และกำหนดแนวทางขั้นตอนในการดำเนินงานที่เหมาะสม หากเข้าใจว่าเป็นสารพิษที่เป็นโลหะหนัก ผลกระทบที่เกิดขึ้นในมุมมองต่าง ๆ จะเป็นเช่นใด ยอมรับได้หรือไม่ เช่น ถ้ามีคนตาย อันเกิดจากสารพิษในภายหลัง 1 คน หรือ 5 คน หรือ 10 คน หรือมากกว่านั้น ยอมรับให้มีการตรวจสอบในเชิงลึกได้หรือไม่ หากสภาพแวดล้อมต้องเสียหาย น้ำทะเลในแถบนั้นเป็นพิษ และมีผลกระทบต่อระบบนิเวศของสัตว์และพืช รวมทั้งประชาชนในวงกว้าง ผู้ที่เกี่ยวข้องควรจะใช้ดุลยพินิจอย่างไร ++

ระดับความเสี่ยงที่ยอมรับได้ระดับประเทศหรือระดับองค์กร หรือระดับการปฏิบัติงาน

ระดับความเสี่ยงที่ยอมรับได้ระดับประเทศหรือระดับองค์กร หรือระดับการปฏิบัติงาน

แน่นอนว่าหากไม่มีการกำหนดกรอบผลกระทบซึ่งเป็นความเสี่ยงและความเสียหายที่ยอมรับได้ ที่เรียกกันติดปากว่า Risk Appetite ใช้ชัดเจน ก็เปรียบเสมือนกับการกำหนดเป้าหมายที่ไม่เข้าหลักการ SMART ก็จะมีปัญหาเรื่องการปฏิบัติการเช่นกัน เพราะหากเป้าหมายไม่ชัดเจน Risk Appetite และขั้นตอนในการดำเนินงานต่าง ๆ ของการสำรวจตู้คอนเทนเนอร์ก็จะไม่ชัดเจนตามไปด้วย เป็นต้น

วันนี้ผมจะพูดถึงเรื่องระดับความเสี่ยงที่ประเทศหรือองค์กรยอมรับได้ (Risk Appetite) เพื่อเชื่อมไปสู่โครงการสำรวจตู้คอนเทนเนอร์ตามที่กล่าวข้างต้น ดังนี้

ระดับความเสี่ยงที่ยอมรับได้ หรือ Risk Appetite ก็คือ ระดับความเสี่ยงที่สามารถกำหนดได้ทั้งในเชิงปริมาณและเชิงคุณภาพ ที่เข้าใจตรงกันในระดับประเทศหรือองค์กร หรือโครงการ เช่น โครงการสำรวจตู้คอนเทนเนอร์ที่แสมสาน เป็นต้น

คำจำกัดความ Risk Appetite

คำจำกัดความ Risk Appetite

เราลองมาช่วยกันตั้งคำถาม เพื่อพิจารณาถึงระดับความเสี่ยงโดยทั่วไปที่องค์กรยอมรับได้ แต่ ณ ที่นี้ ผมจะพยายามพูดถึงความเสี่ยงของโครงการสำรวจตู้คอนเทนเนอร์ที่แสมสานเป็นหลัก ซึ่งบางส่วนจะเกี่ยวข้องกับความเสี่ยงที่ยอมรับได้ในระดับหน่วยงาน / องค์กร และระดับประเทศด้วย โดยมีแนวทางดังนี้

1. ความเสี่ยงและผลกระทบ (Impact) ระดับใดที่ประเทศหรือโครงการสำรวจตู้คอนเทนเนอร์ที่แสมสานจะยอมรับได้ หรือยอมรับไม่ได้ เช่น ในกรณีของวิทยุการบิน อาจกำหนด Risk Appetite ไว้ว่าความปลอดภัยของการบิน โดยเฉพาะอย่างยิ่งที่เกี่ยวกับการสื่อสารและการอำนวยความสะดวกของทุกเที่ยวบิน ในการนำเครื่องบินขึ้น – ลง จะต้องมีความปลอดภัยเต็ม 100% โดยไม่ยอมรับความเสี่ยงจากการเกิดอุบัติเหตุเลยแม้แต่ครั้งเดียว เป็นต้น

แนวทางในการกำหนด Risk Appetite

แนวทางในการกำหนด Risk Appetite

ดังนั้น ในกรณีโครงการสำรวจตู้คอนเทนเนอร์ที่แสมสาน เป็นไปได้ไหมว่า หากสภาพแวดล้อมเป็นพิษ ระบบนิเวศน์จะมีปัญหาและมีผลกระทบต่อสัตว์ทะเล รวมทั้งความเชื่อมั่นของการส่งอาหารทะเลไปต่างประเทศ และการบริโภคอาหารทะเลของคนไทย จะยอมรับความเสี่ยงไม่ได้ นั่นคือ จะต้องมีการสำรวจให้แน่ใจอย่างสมเหตุสมผลก่อนว่า สิ่งที่บรรจุอยู่ในตู้คอนเทนเนอร์เป็นอะไรกันแน่ หากตู้คอนเทนเนอร์มีรู การส่งกล้องผ่านลงไปนั้นก็อาจจะไม่เห็นสิ่งใด หรืออาจจะเห็นเพียงถังหรือพาชนะที่เก็บวัตถุหรือสารที่ต้องสงสัย ที่อาจเป็นสารพิษได้นั้น โครงการนี้จะวางแผนที่จะเจาะเข้าไปในถังหรือพาชนะที่อาจบรรจุสารพิษหรือไม่ คุ้มหรือไม่ที่จะทำเช่นนั้น เพราะถ้าเป็นสารพิษจริง อะไรจะเกิดขึ้น และมีผลกระทบต่อความเสียหายที่ไม่อาจยอมรับได้ตามที่ได้กล่าวแล้ว

ตัวอย่างของ Risk Appetite

ตัวอย่างของ Risk Appetite

รายละเอียดในเรื่องการดำเนินการ ผมคิดว่าคงจะเป็นหน้าที่ของหน่วยงานที่เกี่ยวข้องที่จะปฏิบัติตามโครงการนี้ ผมเพียงแต่ให้แนวความคิดที่จะใช้ในการตัดสินใจและการปฏิบัติงานที่มีเหตุมีผล โดยนำหลักการบริหารความเสี่ยงอย่างเป็นกระบวนการและนำเรื่องระดับความเสี่ยงที่ประเทศหรือองค์กร หรือโครงการยอมรับได้เท่านั้นมาใช้อธิบายเป็นอุทธาหรณ์

2. ประเทศหรือทีมงานที่ต้องดำเนินงานตามโครงการนี้ พร้อมที่จะรับความเสี่ยงเพิ่มขึ้นจากระดับความเสี่ยงที่ยอมรับได้ที่จะเกิดขึ้นหรือไม่ และหากยอมรับได้ บุคคลหรือหน่วยงานที่เกี่ยวข้องใช้ดุลยพินิจอะไรในการพิจารณาการดำเนินการต่อไป เกินระดับความเสี่ยงที่ยอมรับได้ตาม ข้อ 1. ซึ่งเรื่องนี้ก็มีแนวคิดที่ต้องพิจารณาหลายอย่างก็ขอฝากให้ผู้ที่เกี่ยวข้องนำไปพิจารณาก็แล้วกันนะครับ

รูปแบบอื่นของ Risk Appetite และแนวความคิดในการกำหนดให้มีความเสี่ยงที่ยอมรับได้

รูปแบบอื่นของ Risk Appetite และแนวความคิดในการกำหนดให้มีความเสี่ยงที่ยอมรับได้

3. มีความเสี่ยงที่เฉพาะเจาะจงหรืออาจจะคาดไม่ถึง รวมทั้งการปฏิบัติไม่ถูกต้องตามหลักการกฎหมายระหว่างประเทศ หรือกฎหมายภายในประเทศ หรือการรักษาสภาพแวดล้อมที่กำหนดไว้เป็นกฎเกณฑ์ชัดเจนไว้บ้างหรือไม่ มีการทบทวนในเรื่องนี้กันเพียงใด เพราะการรักษาสภาพแวดล้อมเป็นข้อหนึ่งของหลักการที่สำคัยของการกำกับและดูแลกิจการที่ดี ที่เรียกว่า Corporate Governance

ความเข้าใจในกรอบความคิดของระดับความเบี่ยงเบน (Risk Tolerance) จากความเสี่ยงที่ยอมรับได้ (Risk Appetite)

ความเข้าใจในกรอบความคิดของระดับความเบี่ยงเบน (Risk Tolerance) จากความเสี่ยงที่ยอมรับได้ (Risk Appetite)

4. ประเทศหรือหน่วยงานที่เกี่ยวข้องจะยอมรับความเสี่ยงเมื่อเทียบกับผลตอบแทนจากการพิสูจน์ความโปร่งใส และกล้าจะแลกกับความเสี่ยงที่ยอมรับไม่ได้เพียงใด มีความคุ้มค่าหรือไม่ นี่ก็เป็นกรอบแนวคิดเพื่อใช้ดุลยพินิจในการบริหารความเสี่ยงแบบบูรณาการ และได้ดุลยภาพ คุ้มค่ากับการลงทุนที่เป็น Tangible Assets และ Intangible Assets ที่เกี่ยวข้องกับความเสียหายที่พิสูจน์ได้และมีตัวตน และไม่มีตัวตนที่เกี่ยวข้องกับชื่อเสียงและความเชื่อมั่นระดับประเทศ

5. ระดับความเสี่ยงที่เกิดขึ้นมีผลกระทบ (Impact) ต่อเรื่องอื่น ๆ มากน้อยเพียงใด เมื่อพิจารณาถึงระยะสั้น ระยะกลาง และระยะยาว

ความสัมพันธ์ระหว่างความเสี่ยงที่ยอมรับได้กับระดับความเบี่ยงเบนจากความเสี่ยงที่ยอมรับได้

ความสัมพันธ์ระหว่างความเสี่ยงที่ยอมรับได้กับระดับความเบี่ยงเบนจากความเสี่ยงที่ยอมรับได้

6. โครงการนี้ได้เตรียมการไว้เพียงใด มีเครื่องมือเพียงพอและเหมาะสมหรือไม่ในการดำเนินการที่มีความเสี่ยงในระดับที่กำหนดไว้

7. โครงการนี้ หากเกิดปัญหาขึ้นมาจะสามารถอธิบายในเชิงรูปธรรมที่ชัดเจนตามหลักและกรอบการบริหารความเสี่ยงอย่างเป็นกระบวนการได้เพียงใด โดยเฉพาะอย่างยิ่ง กรอบการบริหารความเสี่ยง โดยใช้หลักการของ COSO – Enterprise Risk Management

ผมได้เสนอรูปแบบที่อธิบายด้วยแผนภาพ แสดงถึงโอกาสที่จะเกิดและผลกระทบที่เกิดจากความเสี่ยงและความเสียหาย และรูปแบบของระดับความเสี่ยงที่ยอมรับได้ ซึ่งน่าจะเป็นประโยชน์สำหรับการดำเนินการบริหารความเสี่ยงในระดับประเทศ ความเสี่ยงในระดับองค์กร และความเสี่ยงในระดับการปฏิบัติงาน

3 ความเห็น | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn