คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร (ต่อ)

ครั้งที่แล้ว ผมได้พูดถึงหลักการและคำแนะนำบางประการ เพื่อยกระดับการบริหารความเสี่ยง ไปสู่การบริหารเชิงรุกอย่างเป็นระบบ โดยนำเสนอคำแนะนำในกรณีที่องค์กรสามารถยกระดับการบริหารความเสี่ยง จากน้อยไปสู่การบริหารความที่สร้างมูลค่าเพิ่มให้แก่องค์กรไปแล้วนั้น สำหรับครั้งนี้ ผมจะขอต่อด้วยการยกระดับการบริหารความเสี่ยง กรณีที่จะสามารถปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) ซึ่งสามารถพิจารณาได้จากหลักการและคำแนะนำบางประการ ดังนี้

กรณีที่ 2 การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร

1. กระบวนการบริหารความเสี่ยง เป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ

1.1 การมีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคล หรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคล หรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

องค์กรจะต้องเน้นความสำคัญของกระบวนการบริหารความเสี่ยง โดยถือเป็นส่วนสำคัญของการพิจารณาผลตอบแทนหรือความดีความชอบ โดยในแต่ละสายงานที่เกี่ยวข้องกับความเสี่ยงระดับองค์กร จะมีการถ่ายทอดตัวชี้วัดด้านการบริหารความเสี่ยงลงสู่ระดับสายงานดังกล่าว การเชื่อมโยงผลตอบแทนกับระดับความเสี่ยงที่สามารถลดลงได้ในแต่ละปัจจัยเสี่ยงของแต่ละสายงานนั้น ควรกำหนดให้ชัดเจน และการประเมินผลด้านการบริหารความเสี่ยงที่ถือเป็นส่วนหนึ่งของตัวชี้วัดของสายงานนั้น ๆ โดยเฉพาะผลงานด้านการบริหารความเสี่ยงกับแรงจูงใจพิเศษ

1.2 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง ซึ่งการยกระดับการบริหารความเสี่ยงองค์กรจะต้องมีหลักฐานชัดเจนในการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม โดยมีการถ่ายทอด (Deploy) เป้าหมายของตัวชี้วัดองค์กรลงสู่สายงานต่าง ๆ รวมถึงมีการถ่ายทอด Risk Appetite ระดับองค์กรลงสู่สายงานต่าง ๆ ด้วยเช่นกัน

2. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี

2.1 คณะกรรมการจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุล ระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น องค์กรควรแสดงให้เห็นถึงการที่คณะกรรมการมีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุน และการจัดการด้าน IT กับความเสี่ยงที่จะเกิดขึ้น มีการศึกษาผลตอบแทนด้านการลงทุนด้าน IT ในมุมของผลประโยชน์ ทั้งที่เป็นตัวเงินและมิใช่ตัวเงิน รวมถึงการพิจารณาในเชิงของการระบุความเสี่ยง การประเมินความรุนแรง และการบริหารความเสี่ยง

2.2. Board มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน ผ่านคณะกรรมการด้าน IT โดยในแผนแม่บท IT ต้องมีการกำหนด KPIs และ Outcome ของแผนงาน/โครงการไว้ชัดเจน และมีการประเมินอย่างต่อเนื่อง

2.3. การดำเนินงานตามแผน ISO 27001 ดีกว่าเป้าหมายที่กำหนดไว้ในแผนประจำปีบัญชี องค์กรมีการจัดทำแผนความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT Security Plan) ตามแนวทางของมาตรฐาน ISO 21001 โดยมีการดำเนินงานตามแผนงาน/โครงการ ได้ดีกว่าเป้าหมายที่กำหนดไว้

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยง เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่องค์กรระบุไว้ รวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ หรือการที่องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) เพื่อการสร้างสรรค์/นวัตกรรม (Innovation)

องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ มีการบริหารจัดการความรู้ โดยการส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศ เพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร โดยจัดให้พนักงานเข้ารับการอบรมในเรื่องต่าง ๆ รวมถึงองค์กรสามารถบริหารความเสี่ยงโดยผ่าน SWOT ขององค์กรวิเคราะห์ถึงโอกาสในการที่จะสร้างมูลค่าเพิ่มให้กับองค์กรอย่างชัดเจน

 

Leave a Reply