การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง

ท่านลองวิเคราะห์ตัวเองในแนวทางการบริหารความเสี่ยงที่ยังไม่เป็นระบบ และมีแนวทางการบริหารความเสี่ยงในเชิงรับที่พิจารณาได้ว่า องค์กรของท่านยังไม่มี Risk Based Internal Control และ/หรือ องค์กรของท่านยังขาดการจัดการความเสี่ยงในระดับองค์กร (ในระดับสูง) ที่อาจพิจารณาได้ว่า องค์กรของท่านมีการบริหารความเสี่ยงในระดับที่ต่ำ ซึ่งจะต้องปรับปรุงแก้ไขเป็นอย่างมาก ดังนี้

1. ระบบบริหารความเสี่ยงขององค์กร มีการระบุปัจจัยเสี่ยง ประเมินความเสี่ยง และกำหนดแผนบริหารความเสี่ยง ซึ่งเป็นการดำเนินงานในระดับปฏิบัติการ และเป็นการระบุความเสี่ยงในระดับส่วนงานที่ยังไม่เป็นการดำเนินงานบริหารความเสี่ยงในระดับองค์กร (พิจารณาได้ว่า องค์กรของท่านยังควรปรับปรุงความเข้าใจ และปรับปรุงแนวการปฏิบัติและจัดให้มีการบริหารความเสี่ยง และการดำเนินงานในระดับองค์กร แทนการดำเนินงานแค่เพียงระดับส่วนงาน ซึ่งผิดหลักการ COSO – ERM)

2. องค์กรขาดการสร้างองค์ความรู้ ขาดความเข้าใจ ขาดการสื่อสารที่ดี ในเรื่องการบริหารความเสี่ยงให้กับผู้บริหารและพนักงาน ทั้งนี้ องค์กรไม่ได้จัดให้มีการบรรยาย หรือสัมมนาสร้างความเข้าใจให้ความรู้เรื่องการบริหารความเสี่ยงให้กับผู้บริหาร และพนักงาน

3. องค์กรมีองค์ประกอบหลักของการบริหารความเสี่ยงที่ดีไม่ครบถ้วน เช่น นโยบายและกลยุทธ์การบริหารความเสี่ยง การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การประเมินความเสี่ยง การจัดการความเสี่ยง และการติดตามผลและการรายงาน ทั้งนี้ องค์กรยังไม่สามารถระบุความเสี่ยงในระดับองค์กรได้ แต่มีการระบุความเสี่ยงแค่ในระดับแผนก หรือสายงานย่อย โดยระบุถึงความเสียหายและกำหนดวิธีการจัดการต่อความเสี่ยงเพียงระดับปฏิบัติการ อีกทั้งยังขาดการติดตามรายงานผลการบริหารความเสี่ยงที่เป็นระบบ ไปยังผู้บริหารและคณะกรรมการได้รับทราบ

4. องค์กรขาดหลักฐานในการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

5. องค์กรของท่านอาจมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังขาดการจัดการต่อความเสี่ยงที่มีความสำคัญระดับสูง ทั้งนี้เพราะองค์กรยังไม่สามารถระบุความเสี่ยงที่มีความสำคัญระดับสูง ซึ่งหมายถึงความเสี่ยงระดับองค์กรได้ ทำให้ขาดกระบวนการจัดการต่อความเสี่ยงที่มีนัยสำคัญต่อความสำเร็จขององค์กร ซึ่งเป็นเรื่องสำคัญยิ่งในหลักการบริหารความเสี่ยง

6. องค์กรขาดการบริหารความสอดคล้องระหว่างองค์ประกอบหลักของการบริหารความเสี่ยงที่ดี ตามที่ได้กล่าวไว้ในข้อ 3. ข้างต้น

7. องค์กรไม่มีคณะทำงานหรือหน่วยงาน เพื่อจัดการกับความเสี่ยงในระดับองค์กร ทำให้องค์กรไม่สามารถที่จะบริหารภาพรวมให้ไปสู่การบรรลุแผนธุรกิจขององค์กร ตามหลักการของ COSO – ERM ได้

8. องค์กรไม่มีคู่มือการบริหารความเสี่ยง หรือมีคู่มือการบริหารความเสี่ยง แต่ขาดความสมบูรณ์ตามหลักการที่กำหนดไว้ใน COSO – ERM (Enterprise Risk Management) และ/หรือ ไม่มีการทบทวนคู่มือการบริหารความเสี่ยงประจำปี ที่มีหลักฐานที่พิสูจน์ได้

หากองค์กรของท่านมีจุดอ่อนตามที่กล่าวในข้างต้น ข้อหนึ่งข้อใด ก็พิจารณาได้ว่า องค์กรของท่านยังมีระดับการบริหารความเสี่ยงที่ควรปรับปรุงได้อีกมาก ทั้งนี้เพราะการประเมินตนเอง ทั้ง 8 ข้อดังกล่าวข้างต้นนั้น เป็นพื้นฐานที่สำคัญที่ทุกองค์กรจะต้องจัดให้มีขึ้น ก่อนที่จะก้าวไปสู่กระบวนการบริหารความเสี่ยงที่ดีอย่างเป็นระบบ

 

Leave a Reply