ความเข้าใจในเรื่อง Risk Map เพื่อยกระดับการบริหารความเสี่ยงขององค์กร (3)

ความเข้าใจในเรื่องของ Risk Map เพื่อหาความสัมพันธ์ของ Root Cause จากปัจจัยหนึ่งที่มีผลกระทบต่อปัจจัยอื่น ๆ ทั้งในระดับองค์กร เช่น Stratigic Risk – S, Operational Risk – O, Financial Risk/Reporting Risk – F, Compliance Risk – C ตามแนวทางของ COSO – ERM รวมถึง Root Cause จากความเสี่ยงที่มีผลกระทบในระดับขั้นตอน + กระบวนการ + กิจกรรม ของจุดอ่อนในแต่ละกรอบข้างต้น ที่เกี่ยวข้องและมีผลกระทบกับกรอบการควบคุมด้านอื่น ๆ ในทุกมุมมอง ทั้งด้าน IT และ Non – IT นั้น จะมีประโยชน์ต่อการบริหารความเสี่ยงเป็นอย่างมาก ถ้าผู้ที่เกี่ยวข้องสามารถเข้าใจและควบคุมความเสี่ยงจากต้นเหตุที่แท้จริง ก็จะสามารถควบคุมความเสี่ยงที่มีผลต่อเนื่องจากความเสี่ยงที่มาจากต้นเหตุนั้นได้เป็นอย่างมาก และบางกรณีอาจได้ทั้งหมด +++

ลองพิจารณาและทำความเข้าใจในเกณฑ์การประเมิน Risk Map ของทาง Tris จะมีแนวทางบางประการดังนี้

1. การกำหนดสาเหตุของปัจจัยเสี่ยง และกำหนดระดับความรุนแรงของสาเหตุนั้น

2. การวิเคราะห์ความสัมพันธ์ระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์ของสาเหตุ (ต้นเหตุื –> ปลายเหตุ)

3. การวิเคราะห์ผลกระทบทั้งเชิงการเงิน และมิใช่เชิงการเงิน (กระทบมาก/น้อย) ระหว่าง
3.1. ปัจจัยเสี่ยงและปัจจัยเสี่ยง
3.2. สาเหตุกับสาเหตุ
3.3. ปัจจัยเสี่ยงและสาเหตุ

4. การนำ Risk Map ไปใช้ในการกำหนดแผนการบริหารความเสี่ยง ทุกกิจกรรมในแผนบริหารความเสี่ยง จะต้องมีความสอดคล้องกับสาเหตุและจัดลำดับตามระดับความรุนแรงของสาเหตุ รวมถึงความสัมพันธ์อื่นที่มากระทบต่อสาเหตุนั้น

5. การสร้างความเข้าใจในเรื่อง Risk Map ให้กับบุคลากรในองค์กร และวาระการประชุมร่วมกันระหว่างผู้บริหาร ฝ่ายบริหารความเสี่ยง และ Risk Owner ทุกปัจจัยเสี่ยง

เมื่อเทียบกับเกณฑ์ประเมินที่หน่วยงานภาครัฐยังต้องปรับปรุง เพราะพิจารณาได้ว่าหน่วยงานนั้นยังไม่ผ่านเกณฑ์การบริหาร Risk Map เนื่องจากพิจารณาความเสี่ยงเพียงระดับเดียว โดยยังไม่พิจารณาความเสี่ยงที่มีความสัมพันธ์กันอย่างครบถ้วน ซึ่งพิจารณาได้ดังนี้

Layer - Special Viewpoints in IAF

1. หน่วยงาน/องค์กร ทำการกำหนดสาเหตุเพียง Layer เดียว ทั้ง ๆ ที่่บางสาเหตุสามารถแตกออกเป็น Layer ที่สองได้ และ/หรือไม่ได้กำหนดระดับความรุนแรงของสาเหตุ

Risk Map and Layer of Controls

2. หน่วยงาน/องค์กรนั้น สามารถอธิบายความสัมพันธ์ได้ แต่ไม่สามารถแสดงความสัมพันธ์ได้ครบถ้วน

3. หน่วยงาน/องค์กร ส่วนใหญ่จะวิเคราะห์ผลกระทบระหว่างปัจัยเสี่ยงและปัจจัยเสี่ยงได้ แต่มีบางหน่วยงานที่วิเคราะห์ผลกระทบระหว่างสาเหตุกับสาเหตุไม่ได้ รวมถึงไม่สามารถอธิบายได้ถึงผลกระทบที่ไม่ใช่เชิงการเงินได้อย่างชัดเจน

Mapping and Layer - Strategic Alignment between

4. หน่วยงาน/องค์กร มีการจัดทำแผนการบริหารความเสี่ยง เกิดก่อนการทำ Risk Map หรือกิจกรรมในแผนบริหารความเสี่ยง ไม่สอดคล้องกับการบริหารที่สาเหตุที่เกิดปัจจัยเสี่ยง

5. หน่วยงาน/องค์กรส่วนใหญ่ขาดความเข้าใจและไม่มีส่วนร่วมในการจัดทำ Risk Map ขององค์กร

เกณฑ์การประเมิน Risk Map

นอกจากการอธิบาย Risk Map ตามแผนภาพข้างต้น ซึ่งเป็นการเชื่อมโยงความเสี่ยงตามแนวทางของ COSO – ERM ที่ไม่ได้กล่าวถึงความเสี่ยงทางด้าน IT Risk ที่มีผลกระทบต่อ Business Process และ Business Objectives จึงขออธิบาย Risk Map ในรูปแบบของการ Mapping ระหว่าง CobiT และ COSO เพียงบางโดเมน รวมทั้งการนำเสนอ Risk Map ที่เกี่ยวข้องกับ Operational Risk ซึ่งอธิบายด้วยแผนภาพได้ดังนี้

Operation Risk and Mapping

CobiT and COSO Mapping

ผมได้เพิ่มเติมภาพต่าง ๆ เพื่อใช้อธิบายประกอบความเข้าใจในเรื่อง Risk Map ในระดับต่าง ๆ และเสริมสร้างความเข้าใจในเรื่อง Layer of Risk and Controls เพื่อ Monitoring และ Auditing ที่มีความสัมพันธ์กันอย่างแยกไม่ได้

ขอให้ท่านผู้อ่านได้โปรดพิจารณาแผนภาพและใช้ดุลยพินิจไปพร้อม ๆ กับการดูแผนภาพข้างต้น ซึ่งอธิบายได้ดีกว่าการใช้ถ้อยคำในแต่ละภาพได้อย่างมากมาย ข้อสำคัญก็คือ ท่านควรได้เข้าใจถึงคำจำกัดความ และความหมายต่าง ๆ ที่เกี่ยวข้อง เช่น Risk Map และ Layer of Risk and Controls เป็นต้น ท่านที่เห็นภาพและเข้าใจคำจำกัดความจะสามารถทำความเข้าใจที่จะนำไปสู่การปฏิบัติ เพื่อยกระดับการบริหารความเสี่ยงในมุมมองต่าง ๆ เพื่อการจัดการที่ดีต่อไปอย่างได้ผลครับ

 

Leave a Reply