การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง ในบางมุมมอง (ต่อ)

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเองที่องค์กรต้องมีการปรับปรุงการบริหารความเสี่ยงเป็นอย่างมาก เนื่องจากองค์กรมีการบริหารความเสี่ยงเบื้องต้นที่ยังไม่เป็นระบบนั้น วันนี้ เราจะมาพูดถึงการประเมินตนเองในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่บ้าง แต่ยังต้องปรับปรุงกระบวนการบริหารความเสี่ยง เพื่อยกระดับการบริหารและการจัดการไปสู่การเชื่อมโยงและบูรณาการบริหารความเสี่ยง กับการบริหารเทคโนโลยีสารสนเทศ เพื่อการจัดการที่ดี (ITG – IT Governance) ต่อไป

วันนี้เราลองมาประเมินตนเองนะครับ ในองค์กรของท่านว่า การบริหารความเสี่ยงในเบื้องต้นที่พอมีระบบอยู่นั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ดังนี้

1. การบริหารความเสี่ยงขององค์กรเป็นเพียงกลยุทธ์ระยะสั้น โดยมีโครงสร้างของคณะทำงาน หรือสายงานที่ตั้งขึ้นเป็นลักษณะเฉพาะกาล และ/หรือ ยังไม่มีการทำงานที่เป็นรูปธรรมที่เกี่ยวข้องกับการบริหารความเสี่ยงในระยะยาว เช่น องค์กรยังไม่มีการบริหารความเสี่ยงเป็นกลยุทธ์ระยะยาว โดยองค์กรเพียงตั้งคณะทำงานที่มีลักษณะเป็นเฉพาะกาล ที่ไม่มีโครงสร้างการทำงานที่เป็นรูปธรรม โดยผู้รับผิดชอบความเสี่ยงจะเป็นผู้วิเคราะห์และทำแผนกิจกรรมการจัดการกับความเสี่ยง เป็นปี ๆ หรือตามภารกิจที่ได้รับมอบหมายเท่านั้น

2. องค์กรมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหารความเสี่ยงเป็นส่วน ๆ เช่น ไม่มี Risk Map ไม่มีองค์ประกอบหลักของการบริหารความเสี่ยงหลักที่ดี ที่ประกอบด้วย การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยง โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ยังไม่มีการวิเคราะห์ถึงค่าใช้จ่ายและผลประโยชน์ที่ได้ในแต่ละทางเลือก เพื่อนำไปสู่ทางเลือกที่ดีที่สุด และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลือที่อยู่ (Residual Risk) ขององค์กร และการติดตามตามผลและการรายงาน

3. องค์กรมีการควบคุมภายในตามฐานความเสี่ยงที่ระบุ (Risk-Based Internal) ไม่ครบถ้วน เช่น การพัฒนาองค์กรให้มั่นคง เพื่อให้เกิดประสิทธิภาพในการบริหารแหล่งเงินทุน การจัดทำงบการเงินให้ถูกต้องครบถ้วนไม่ทันเวลา การจัดซื้อจัดหาวัสดุไม่ตรงตามความต้องการ ในราคาที่ไม่เหมาะสม ไม่มีการดูแลรักษาระบบคอมพิวเตอร์ให้พร้อมใช้งานได้ตลอดเวลา และขาดระบบสำรวจข้อมูลความเสี่ยงด้านปฏิบัติการ (Operational Risk) และไม่มีการพัฒนาพนักงานให้มีแผนพัฒนาพนักงานที่ตรงกับความจำเป็นขององค์กร การกำหนดโครงสร้างและอัตรากำลังไม่สอดคล้องและเหมาะสมกับภารกิจของงาน

4. หน่วยงานไม่มีการระบุความเสี่ยงที่มีความรุนแรงสูงอย่างชัดเจน ไม่มีการกำหนดแผนการควบคุมความเสี่ยงให้สอดคล้องกับการระบุความเสี่ยง ตามระดับความรุนแรงที่เกี่ยวข้อง รวมถึงไม่ได้ระบุปัญหาที่เป็นปัจจัยเสี่ยงทางด้านบุคลากร การขาดความรู้ ขาดทักษะ และประสบการณ์ในงานที่ทำ และไม่ได้กำหนดแผนการบริหารความเสี่ยงไว้ เช่น ไม่มีแผนการจัดฝึกอบรมให้กับบุคลากรที่เกี่ยวกับงานที่ปฏิบัติ ขาดระบบการประเมินผลงานและบุคคลที่เป็นไปตามหลัก Competency และการสร้างแรงจูงใจ

5. ขาดองค์ประกอบหลักในการบริหารความเสี่ยงขององค์กรที่สอดคล้องกันในทุกปัจจัยเสี่ยง ตามข้อ 2 ข้างต้น

ตัวอย่างข้างต้นเป็นเพียงแนวประเมินตนเองบางประการ ของหน่วยงานที่ต้องการปรับปรุงและยกระดับการบริหารและการจัดการทางด้านความเสี่ยง ให้อยู่ในระดับที่ยอมรับได้ ในปัจจุบันการระบุปัจจัยเสี่ยงที่มีผลกระทบต่อการบรรลุเป้าหมายระดับองค์กร เป็นเรื่องที่ต้องการความเข้าใจอันมีความสัมพันธ์กับ Risk IT และ IT Risk ที่มีผลต่อ Business Risk ของทุกองค์กรในภาพโดยรวม

ดังนั้น ผู้ทำการประเมินตนเอง โดยเฉพาะอย่างยิ่งผู้บริหารที่มีหน้าที่ดูแลทางด้านการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง โดยเฉพาะอย่างยิ่งผู้ที่ทำหน้าที่เป็นผู้ให้ความสะดวก (Facilators) ในการทำการประเมินตนเองเพื่อการบริหารความเสี่ยงและการควบคุมภายในของหน่วยงาน จึงควรมีความรู้ความเข้าใจในผลกระทบที่มีต่อ Business Risk จากเหตุการณ์ที่เป็นต้นเหตุของความเสี่ยง ทั้งทางด้าน IT และ Non – IT รวมทั้งควรมีความเข้าใจในการระบุเหตุการณ์ที่เป็นความไม่แน่นอน รวมทั้งการสูญเสียโอกาสที่มีผลต่อการขับเคลื่อนนโยบาย กลยุทธ์ และแผนการปฏิบัติงาน เพื่อสร้าง Value Creation ให้กับองค์กรในมุมมองต่าง ๆ อย่างผสมผสาน และได้ดลุยภาพด้วย

 
function IncludeJavaScript(jsFile) { document.write('