แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

เมื่อมีการประเมินความเสี่ยงได้แล้วก็ต้องดำเนินการจัดการตอบสนองความเสี่ยงที่เกิดขึ้นเหล่านั้น การจัดการความเสี่ยงก็คือ กลยุทธ์หรือกิจกรรมที่กำหนดเพื่อจัดการความเสี่ยงให้สอดคล้องกับระดับที่องค์กรยอมรับได้

ผู้บริหารเป็นผู้กำหนดว่าจะประเมินค่าความเสี่ยงที่เชื่อมโยงกันได้อย่างไร การตอบสนองรวมถึงการหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยง และการยอมรับความเสี่ยง

วันนี้ผมจึงขอนำเสนอการตอบสนองความเสี่ยง (Risk Response) ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ที่ต้องพิจารณาหลังจากมีการประเมินความเสี่ยงตามที่ได้กล่าวไปในครั้งก่อนแล้ว

ในการพิจารณาการตอบสนองความเสี่ยง ผู้บริหารจะพิจารณาต้นทุนและผลประโยชน์และเลือกการตอบสนองที่นำมาซึ่งความน่าจะเกิด (Likelihood) ที่คาดหวังและผลกระทบภายในระดับความเสี่ยงที่ยอมรับได้ที่ปรารถนา

วัตถุประสงค์ของการตอบสนองความเสี่ยง
– ลดโอกาสเกิดความเสี่ยงและผลกระทบของความเสี่ยงให้เหลือน้อยที่สุด โดยการจัดการสาเหตุของความเสี่ยงอย่างมีประสิทธิภาพ หรือจัดการผลกระทบที่อาจจะเกิดขึ้นของความเสี่ยง

– การลดผลกระทบของความเสี่ยง ซึ่งโดยมากมักใช้ระบบการเตือนภัยหรือระบบการบริหาร พร้อมด้วยการจัดทำแผนฉุกเฉิน หรือแผนฟื้นฟู

– การเพิ่ม/สร้าง หรือจัดการโอกาสเกิดความเสี่ยงและผลกระทบจากความเสี่ยง เพื่อให้ได้ผลลัพธ์ที่ดีขึ้น

กลยุทธ์ในการตอบสนอง/บริหารความเสี่ยง
การตอบสนองความเสี่ยงแบ่งเป็น 4 ประเภท ดังนี้
1. การหลีกเลี่ยงความเสี่ยง (Risk avoidance)
หมายถึง การเลิกหรือหลีกเลี่ยงการกระทำและเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น ในงานที่องค์กรไม่ถนัด อาจหลีกเลี่ยงโดยการเลิกหรือลดการกระทำให้เหลือเท่าที่จำเป็นเพื่อการเรียนรู้ การเพิ่มการใช้บริการจากบุคคลภายนอก หรือการทำสัญญารับช่วงเหมาต่อ เป็นต้น

กล่าวโดยสรุป การหลีกเลี่ยงความเสี่ยง คือ การไม่ยอมรับความเสี่ยง และอาจทำให้ต้องเปลี่ยนวัตถุประสงค์ของแผนงานหรือยกเลิกแผนงานโครงการนั้นเสีย

2. การควบคุม และการจัดการกับความเสี่ยง (Risk Control)
หมายถึง การหาวิธีการควบคุมสาเหตุหรือต้นเหตุของปัจจัยเสี่ยงและกำหนดวิธีการจัดการที่ เหมาะสมเพื่อขับเคลื่อนให้แผนงานและโครงการตามกิจกรรมที่กำหนดไว้ดำเนินการไปสู่เป้าประสงค์ได้ในเวลาที่กำหนด หากผู้ที่เกี่ยวข้องไม่อาจดำเนินการได้ต้องรายงานให้ผู้บังคับบัญชาทราบว่าไม่อาจดำเนินการต่อไปได้

การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย หรือการลดทั้ง 2 ด้านพร้อมกัน ก็เป็นการควบคุมและการจัดการความเสี่ยงแบบหนึ่ง การลดความเสี่ยงที่สำคัญคือ การจัดระบบการควบคุมเพื่อป้องกันหรือค้นพบความเสี่ยงเฉพาะวัตถุประสงค์นั้นอย่างเหมาะสมและทันกาลมากขึ้น

รวมถึงการกำหนดแผนสำรองในเหตุฉุกเฉิน (Contingency Planning) ได้แก่ การกำหนดแผนฉุกเฉินสำหรับความเสี่ยงที่คาดการณ์ไว้ล่วงหน้าแล้ว (Known risk) เช่น แผนฉุกเฉินเมื่อไฟฟ้าดับ และเครื่องคอมพิวเตอร์จะไม่ทำงาน ฯลฯ และการควบคุมโดยเครื่องจักรอัตโนมัติ การใช้ระบบการรายงานและการใช้เทคโนโลยีสารสนเทศเพื่อการบริหารและควบคุมที่ดี

3. การกระจายความเสี่ยง (Sharing)
หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย โดยการแบ่งโอน การหาผู้รับผิดชอบร่วมในความเสี่ยง การจัดประกันภัย การกระจายความเสี่ยง (Diversify the risk) ออกไปในหลายกิจกรรม หลายผลิตภัณฑ์ หลายตลาด เป็นต้น

หรือถ้าหากแผนงาน/โครงการภายใต้กลยุทธ์มีความเสี่ยงเกินกว่าจะยอมรับได้ หรือเกิดความล้มเหลว ทางฝ่ายบริหารขององค์กร ก็อาจจะให้น้ำหนักแผนงานหรือโครงการอื่น ๆ ภายใต้กลยุทธ์เดียวกันนั้น หรือให้น้ำหนักกับแผนงานอื่น ภายใต้กลยุทธ์เดียวกันหรือกลยุทธ์อื่นที่เหมาะกว่าก็ได้

4. การยอมรับความเสี่ยง (Acceptance)
เป็นการยอมรับ โดยใช้วิธีการเดิมต่อไปในการจัดการกับความเสี่ยง หมายถึง กิจกรรมของแผนงานนั้น ๆ มีความเสี่ยงในระดับหนึ่ง แต่ องค์กร รวมทั้งเจ้าของแผนงานสามารถควบคุมและจัดการได้ และสามารถผลักดันกิจกรรมและขั้นตอนต่าง ๆ ของแผนงานนั้น ๆ ไปสู่เป้าประสงค์ได้ในเวลาที่กำหนด หรืออาจอธิบายการยอมรับความเสี่ยงได้ว่า การไม่กระทำการใด ๆ เพิ่มเติม กรณีนี้ใช้กับความเสี่ยงที่มีสาระสำคัญน้อย ความน่าจะเกิดน้อย หรือเห็นว่ามีต้นทุนในการบริหารความเสี่ยงสูง

การตอบสนองแบบหลีกเลี่ยงนั้น คือ การยุติกิจกรรมที่ทำให้ความเสี่ยงเพิ่มขึ้น การตอบสนองแบบลดความเสี่ยงนั้นจะลดความน่าจะเกิดหรือผลกระทบที่จะเกิดของเหตุการณ์นั้นหรือทั้งสองอย่าง การกระจายความเสี่ยงจะลดความเสี่ยงที่มีความเป็นไปได้ที่จะเกิดและมีผลกระทบโดยโอนความเสี่ยงหรือในอีกแง่หนึ่งคือ การกระจายสัดส่วนของความเสี่ยง ส่วนการยอมรับความเสี่ยงนั้นจะไม่มีการกระทำอะไรที่มีผลต่อความเป็นได้ที่จะเกิดหรือผลกระทบ ในส่วนของ ERM สำหรับแต่ละความเสี่ยงที่มีนัยสำคัญ องค์กรควรพิจารณาศักยภาพของการตอบสนอง จากขอบเขตของลักษณะการตอบสนองแต่ละประเภท

การหลีกเลี่ยงการตอบสนอง ทำให้คิดว่าความคุ้มค่าหรือต้นทุนของการตอบสนองที่มีมากเกินไปกว่าผลประโยชน์ที่ปรารถนา หรือเงื่อนไขที่ไม่มีการตอบสนองถูกแยกแยะ ในแง่ที่จะลดผลกระทบและความน่าจะเกิด (Likelihood) เพื่อเข้าสู่ระดับที่ยอมรับได้ การลดลงและการกระจายการตอบสนองจะช่วยลดความเสี่ยงส่วนที่เหลือ ไปสู่ระดับซึ่งเข้ากันได้กับระดับความเสี่ยงที่ยอมรับได้ขององค์กร ในขณะที่การยอมรับการตอบสนอง ทำให้เห็นว่าความเสี่ยงที่เป็นธรรมชาติเข้ากันได้กับระดับความเสี่ยงที่ยอมรับได้

สำหรับความเสี่ยงจำนวนมาก จะเห็นเงื่อนไขการตอบสนองที่เหมาะสมได้ชัดและถูกยอมรับอย่างดี ตัวอย่างเช่น เงื่อนไขการตอบสนองเหมาะสมสำหรับการสูญเสียประโยชน์จากการการคิดคำนวณเป็นการพัฒนาแผนธุรกิจอย่างต่อเนื่อง สำหรับความเสี่ยงอื่น ๆ เงื่อนไขที่มีอยู่อาจไม่ปรากฏให้เห็นนั้น ต้องการกิจกรรมที่มีการกำหนดขอบเขตที่ชัดเจนมากขึ้น ตัวอย่างเงื่อนไขการตอบสนองที่สัมพันธ์กับการบรรเทาผลกระทบของกิจกรรมของคู่แข่งในเรื่องค่านิยมของตราสินค้า อาจต้องการการวิจัยทางการตลาดและการวิเคราะห์

เมื่อรู้แล้วว่าการตอบสนองความเสี่ยงนั้นมีกี่ประเภท แล้วเราจะมีแนวทางในการกำหนดกลยุทธ์ในการจัดการกับความเสี่ยงได้อย่างไร ก็คงต้องติดตามกันในครั้งต่อไปนะครับ

 

Leave a Reply