การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553

เมื่อครั้งที่ก่อน ผมได้พูดคุยกันไปบ้างแล้ว ถึงเรื่องการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ที่ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ซึ่งจะใช้ในปี 2553 โดยใช้หลักการ GRC เป็นเกณฑ์เบื้องต้น

วันนี้เรามาดูกันว่า แนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ ทั้ง 2 ส่วน ดังที่กล่าวไปแล้ว ในเกณฑ์ใดบ้างที่มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์ประเมินผลฯ ปี 2552 และมีเกณฑ์การพิจารณาอย่างไรกันบ้าง

ส่วนที่หนึ่ง เกณฑ์การพิจารณาการบริหารความเสี่ยง
ระดับ 1 : การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

1. มีแนวทางบริหารความเสี่ยงในเชิงรับเป็นส่วนใหญ่หรือมีการบริหารความเสี่ยงในระดับเบื้องต้น

1.1. รัฐวิสาหกิจขาดการบริหารจัดการความเสี่ยง การพิจารณาปัจจัยเสี่ยงหรือการดำเนินการแก้ไขปัญหาเป็นการดำเนินการภายหลังจากที่เกิดเหตุการณ์หรือความเสียหายแล้ว เช่น ในกรณีที่รัฐวิสาหกิจ มีธุรกรรมเกี่ยวกับเงินตราต่างประเทศ แต่ไม่ได้มีการบริหารความเสี่ยงด้านอัตราแลกเปลี่ยนเลย ต่อเมื่อมีความเสียหาย เช่น การขาดทุนจากอัตราแลกเปลี่ยนเกิดขึ้นจากความผันผวนของอัตราแลกเปลี่ยน รัฐวิสาหกิจจึงเริ่มศึกษาหรือบริหารความเสี่ยงจากอัตราแลกเปลี่ยน เป็นต้น

1.2. รัฐวิสาหกิจยังไม่มีการดำเนินการเบื้องต้น โดยการกำหนดกระบวนการ/ดำเนินการสร้างความตระหนักเกี่ยวกับความสำคัญหรือความรู้ความเข้าใจของการบริหารความเสี่ยงในองค์กรต่อคณะกรรมการ ผู้บริหาร และพนักงานเท่านั้น ซึ่งกระบวนการสร้างความรู้ความเข้าใจดังกล่าว เช่น การจัดสัมมนาทั้งภายนอกและภายในองค์กรการจัดนิทรรศการ ป้ายประชาสัมพันธ์ วารสารภายใน และเสียงตามสาย เป็นต้น

การฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยง ต้องมีการให้ความรู้กับผู้บริหาร (3 อันดับแรก) และพนักงาน (พนักงานทุกคนในกรณีที่เป็นองค์กรขนาดเล็ก / ในกรณีองค์กรขนาดใหญ่ ต้องมีการสื่อสารและฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหาร

ความเสี่ยงสำหรับพนักงานในระดับที่เกี่ยวข้องในการรับผิดชอบในแต่ละปัจจัยเสี่ยง) และมีการสื่อสารสำหรับนโยบายหลักปฏิบัติในการบริหารความเสี่ยง

2. แนวทางในการบริหารความเสี่ยงยังไม่เป็นระบบ โดยเข้าเกณฑ์ข้อใดข้อหนึ่ง ดังต่อไปนี้

2.1. รัฐวิสาหกิจยังมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีที่ไม่ครบถ้วน ซึ่งองค์ประกอบหลักๆ ที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ยความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วย ความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนดวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2)
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลการบริหารความเสี่ยง

2.2. รัฐวิสาหกิจไม่มีการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

2.3. รัฐวิสาหกิจมีองค์ประกอบหลักข้างต้นของการบริหารจัดการความเสี่ยงที่ดีครบถ้วนทั้ง 5 องค์ประกอบ แต่ขาดการกำหนดวิธีการจัดการต่อความเสี่ยงที่มีลำดับความเสี่ยงสูง

2.4. การดำเนินการของรัฐวิสาหกิจขาดความสอดคล้องระหว่างองค์ประกอบหลักทั้ง 5 องค์ประกอบข้างต้น เช่น
– มีการระบุการกำหนดวิธีการจัดการต่อความเสี่ยงไม่ครบหรือไม่ตรงตามที่วิเคราะห์และระบุ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดการต่อความเสี่ยงเพียง 3 ประเภทเท่านั้น
– การระบุถึงความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ไม่ครบหรือ
ไม่สอดคล้องกับความเสี่ยงที่ระบุไว้ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการระบุถึงความเสียหายที่อาจจะเกิดขึ้น (ระดับความรุนแรง x โอกาสของการเกิดความเสี่ยง) เพียง 3 ประเภทเท่านั้น
– การจัดทำรายงานการบริหารความเสี่ยงและการประเมินผล ไม่ครบหรือไม่สอดคล้องกับ
ความเสี่ยงที่ระบุไว้ เป็นต้น เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดทำรายงาน
การบริหารความเสี่ยงและการประเมินผลเพียง 3 ประเภทเท่านั้น เป็นต้น

3. รัฐวิสาหกิจไม่มีคณะทำงาน หน่วยงานหรือผู้รับผิดชอบเพื่อบริหารจัดการความเสี่ยงในระดับองค์กร

4. รัฐวิสาหกิจไม่มีคู่มือการบริหารความเสี่ยง

การปรับเกณฑ์การประเมินผลฯ ปี 2553

ระดับ 2 : การบริหารความเสี่ยงเบื้องต้นที่มีระบบ
ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

1. การบริหารความเสี่ยงของรัฐวิสาหกิจเป็นกลยุทธ์ระยะสั้น

1.1. แผนงานการบริหารความเสี่ยงปรากฏในแผนกลยุทธ์ประจำปีของ รส.

1.2. เป้าหมายในแผนบริหารความเสี่ยง สอดคล้องกับเป้าหมายที่ระบุในแผนปฏิบัติการประจำปีของ รส.

1.3. การดำเนินงานจัดทำแผนบริหารความเสี่ยงประจำปี ต้องมีการพิจารณาแผนการปฏิบัติการประจำปีของ รส. ที่เป็นแผนงานปกติ (แผนงานควบคุมภายใน) ที่จะจัดการความเสี่ยงที่มีอยู่ (Inherent Risk) ได้ว่ามีความเหมาะสมและ/หรือมีความเพียงพอหรือไม่ หากมีความไม่เหมาะสมและ/หรือมีความไม่เพียงพอ จะมีการหารือร่วมกันระหว่างหน่วยงานที่รับผิดชอบในการจัดทำแผน และหน่วยงานบริหารความเสี่ยง

2. รัฐวิสาหกิจมีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ เพื่อรับผิดชอบและติดตาม ในการบริหารจัดการความเสี่ยง ซึ่งโครงสร้างของคณะทำงานหรือผู้รับผิดชอบยังเป็นลักษณะเฉพาะกาล (เช่น คณะทำงานมีอายุการทำงานเพียง 1 ปี หรือ มีการทำงานเฉพาะเรื่องเพื่อเสนอเข้าคณะกรรมการพิจารณาเป็นคราวไป เป็นต้น) และ/หรือยังไม่มีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (ผลงานที่เป็นรูปธรรม ได้แก่ ผลงานที่นอกเหนือจากการประชุม เช่น การมีโครงการนำร่องในการพัฒนาระบบบริหารความเสี่ยง เป็นต้น)

3. มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ

3.1. รัฐวิสาหกิจมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหาร ความเสี่ยงในแต่ละปัจจัยเสี่ยงอยู่ ซึ่งองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดี ได้แก่
1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ
ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
4) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง โดยการระบุความเสี่ยงต้องระบุความเสี่ยงครบทุกด้าน (เช่น ความเสี่ยงทั้ง 4 ด้านตามที่กระทรวงการคลังระบุ ได้แก่ ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยงด้านการดำเนินงาน (Operational Risk) ความเสี่ยงด้านธุรกิจ (Business Risk) และความเสี่ยงจากเหตุการณ์ภายนอก (Event Risk) เป็นต้น หรือ ความเสี่ยง 4 ด้านที่แบ่งออกเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

3.2. การดำเนินงานบริหารความเสี่ยงดังกล่าวเป็นการดำเนินงานเฉพาะส่วนหรือฝ่าย ไม่ใช่ในระดับองค์กร และ/หรือไม่ครบถ้วนตามที่ระบุและวิเคราะห์ไว้ หรือรัฐวิสาหกิจไม่มีการจัดทำ Risk Map (การแสดงความสัมพันธ์ของความเสี่ยงในแต่ละส่วนขององค์กร เพื่อแสดงผลกระทบของความเสี่ยงที่มีต่อกันในแต่ละฝ่าย เพื่อสะท้อนถึงภาพรวมความเสี่ยงขององค์กร) โดยระบุถึงสาเหตุของความเสี่ยงในแต่ละด้าน รวมถึงมีการวิเคราะห์ปัญหาที่เกิดขึ้น เพื่อที่จะทราบถึงต้นเหตุของการเกิดความเสี่ยงนั้น ๆ

3.3. รส. โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ ทั้งนี้ รส. จะต้องใช้ฐานข้อมูลในอดีต หรือการคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับความรุนแรงของแต่ละปัจจัยเสี่ยง โดยต้องสัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)

4. รัฐวิสาหกิจมีการจัดทำคู่มือบริหารความเสี่ยง และเผยแพร่ให้กับพนักงานทุกระดับ
คู่มือการบริหารความเสี่ยงที่ดี ควรประกอบไปด้วย
1) โครงสร้างของการบริหารความเสี่ยงขององค์กร (หน่วยงานที่รับผิดชอบด้านการบริหารความเสี่ยง / ระบบการติดตามงาน/การรายงานผลการบริหารความเสี่ยง)
2) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
3) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือ ความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น
4) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
5) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ค่าใช้จ่ายและผลประโยชน์ ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของ ความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
6) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง
รวมถึงคู่มือการบริหารความเสี่ยงดังกล่าวต้องมีการเผยแพร่ให้กับพนักงานทุกระดับผ่านช่องทางที่เหมาะสม โดย รส. จะต้องมีกระบวนการในการตรวจสอบถึงความเข้าใจของผู้บริหารและพนักงานในคู่มือดังกล่าว หากผลสำรวจถึงความเข้าใจในคู่มือต่ำกว่าที่ รส. ที่ประมาณการไว้ รส. ต้องดำเนินการปรับปรุงในจุดที่ต้องการแก้ไข อย่างเร่งด่วน และเผยแพร่ใหม่ในช่วงปีที่ประเมิน

สำหรับเกณฑ์การพิจารณาการบริหารความเสี่ยง ระดับ 3 เรื่องการบริหารความเสี่ยงในเชิงบูรณาการ ในส่วนที่ 1 นี้นั้น ผมจะขอไปต่อในคราวหน้านะครับ

 

Leave a Reply