Archive for เมษายน 4th, 2009

ความสำคัญของ Integrity of the Information ที่มีผลต่อกระบวนการบริหารและการตรวจสอบ (ต่อ)

Read the rest of this entry »

 

IT Governance & Control Objective to Environmental Control

เพื่อให้ท่านผู้อ่านทราบถึงแนวคิดและหลักการ IT Governance ตามหลักการของ COBIT ที่คัดย่อมาจาก IT Governance Institute ที่ใช้กันทั่วไปและเป็นสากลในบางมุมมองที่เกี่ยวข้องกับ Control OBjective for Information and Technology ที่เกี่ยวข้องกับการบริหารและการจัดการสารสนเทศที่ดีทางด้านการบริหารสารสนเทศที่เกี่ยวข้องกับคุณลักษณะที่ดี คือ ประสิทธิผล ประสิทธิภาพ การรักษาความลับ ความครบถ้วนถูกต้อง สภาพพร้อมใช้งาน การปฏิบัติตามกฎ ความเชื่อถือได้ ซึ่งมี 34 Process และหนึ่งในนั้นก็คือ การดำเนินธุรกิจที่ต่อเนื่องและการบริหารความเสี่ยง เพื่อสนับสนุนแนวทางของคณะอนุกรรมการบริหารความเสี่ยงในการใช้ปัจจัยในการประเมินที่เกี่ยวข้องกับ BCM และ Environmental Control ที่เกี่ยวกับมาตรฐาน EN 1047-2 บางมุมมอง วันนี้ผมจึงขอนำเสนอแนวคิด หลักการ และความสัมพันธ์ที่เกี่ยวข้องกับ IT Governance & Control Objective to Environmental Control ตามหัวเรื่องที่ได้กล่าวไว้ครับ

แนวคิดหลักของ IT Governance คือ รูปแบบโครงสร้างของความสัมพันธ์ กระบวนการการจัดการและการปฏิบัติในองค์กรที่ผู้บริหารใช้กำกับ และควบคุมองค์กรให้บรรลุถึงเป้าประสงค์ โดยการสร้างมูลค่าเพิ่มให้เกิดขึ้น ในขณะเดียวกันก็สามารถสร้างความสมดุลในการจัดการกับความเสี่ยงที่เกิดขึ้นเทียบกับผลลัพธ์ที่ได้รับจาก เทคโนโลยีสารสนเทศ และจากกระบวนการที่เกี่ยวข้อง

สารสนเทศขององค์กรต้องสามารถตอบสนองความต้องการด้านคุณภาพ ความน่าเชื่อถือ และการรักษาความปลอดภัย เช่นเดียวกับสินทรัพย์อื่น ๆ หรือยิ่งกว่าสินทรัพย์อื่น ๆ เพราะหลายกรณี การดำเนินธุรกิจที่ต่อเนื่องเป็นความสำคัญยิ่งยวดที่มิอาจจะผลักภาระไปยังบุคคลอื่นหรือทำการประกันภัยใด ๆ เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่องตามหลักการ Business Continuity Management

ผู้บริหารควรเข้าใจถึงสถานภาพของระบบเทคโนโลยีสารสนเทศขององค์กร และตัดสินใจว่าควรมีการดำเนินการควบคุม และสร้างศักยภาพอย่างไร จึงจะเหมาะสมอย่างผสมผสานกับธุรกิจเพื่อบรรลุเป้าหมายอย่างมีประสิทธิภาพสูงสุดขององค์กร ทั้งนี้โดยคำนึงถึงคุณลักษณะสารสนเทศที่ดีและความสามารถในการบริหารทรัพยากรเทคโนโลยีสารสนเทศจาก 34 กระบวนการที่กำหนดไว้ภายใต้ 4 โดเมน / กรอบหลักของการบริหาร IT Governance

หลักการและความเป็นจริงในการกำหนดกรอบ IT Governance
ความจำเป็นที่ต้องมีการควบคุมการจัดการและการใช้เทคโนโลยีสารสนเทศ
1. การพัฒนาเทคโนโลยีสารสนเทศ (IT) มีความก้าวหน้าขึ้นเป็นอันมาก ทำให้สารสนเทศสามารถส่งผ่านถึงผู้รับได้อย่างรวดเร็วโดยปราศจากข้อจำกัดด้านเวลา ระยะทาง และสถานที่ซึ่งมีผลถึงศักยภาพการแข่งขันอย่างสำคัญ
1.1. การพึ่งพาการใช้งานจากสารสนเทศ (Information) และระบบต่าง ๆ (Systems) ที่เพิ่มมากขึ้น
1.2. การเพิ่มขึ้นของการใช้สารสนเทศที่ใช้ในการพัฒนา Business Process และการให้บริการลูกค้า
1.3. การเปลี่ยนแปลงของต้นทุน และขนาดของการลงทุนของข้อมูล และ Information Systems ในปัจจุบัน และในอนาคต
1.4. ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงให้เกิดขึ้นในองค์กร รวมทั้งปรับเปลี่ยนหลักการการจัดการ และการปฏิบัติงาน (Business Practices) ซึ่งก่อให้เกิดโอกาสทางธุรกิจใหม่ ๆ และช่วยให้ต้นทุนลดลงด้วย

2. การแข่งขันที่รุนแรงขึ้นก่อให้เกิดการเปลี่ยนแปลงขององค์กรในด้านต่าง ๆ ไม่ว่าจะเป็นการปรับเปลี่ยนระบบ และกระบวนการทำงานให้กระชับขึ้น โดยนำเทคโนโลยีสารสนเทศมาช่วยในการปรับปรุงเพื่อเพิ่มความสามารถในการแข่งขันมากขึ้น มีการปรับขนาดขององค์กรให้กระชับและมีความเหมาะสม มีการใช้บริการจากภายนอกมากขึ้น มีการกระจายอำนาจและปรับโครงสร้างองค์กรให้เป็นแนวราบมากขึ้น สิ่งเหล่านี้มีผลกระทบต่อการปฏิบัติงานทั้งขององค์กรเอกชนและองค์กรของรัฐบาล โดยเฉพาะการเน้นไปที่การได้เปรียบในด้านการแข่งขัน (Competitive Advantage) และการเกิดประสิทธิภาพด้านต้นทุน (Cost Efficiency) ซึ่งเป็นผลให้แต่ละองค์กรจำเป็นต้องพึ่งพาเทคโนโลยีมากขึ้นและกลายเป็นยุทธศาสตร์ที่สำคัญขององค์กร

การดำเนินธุรกิจที่ต่อเนื่องเป็นความสำคัญยิ่งยวดที่ทุกองค์กรจะต้องตระหนัก โดยจัดให้มีการบริหารความเสี่ยงในมุมมองต่าง ๆ ที่เหมาะสม ตั้งแต่ Logical Control และ Environmental Control เพราะความไม่แน่นอนในการพึ่งพา Offsite Backup มีความเสี่ยงสูงและเป็นความเสี่ยงที่ไม่อาจยอมรับได้ในหลาย ๆ กรณี เมื่อมีการศึกษา Business Impact Analysis

3. องค์กรต่าง ๆ มองเห็นความสำคัญของสารสนเทศและเทคโนโลยีที่พัฒนา อันถือได้ว่าเป็นสินทรัพย์ที่มีค่ายิ่งโดยเฉพาะในโลกของการแข่งขันที่รุนแรง ผู้บริหารจะให้ความสำคัญ และความคาดหวังกับเทคโนโลยีสารสนเทศมากยิ่งขึ้นโดยเฉพาะการตอบสนองที่รวดเร็ว มีคุณภาพ สามารถใช้งานได้หลากหลาย และสะดวกต่อการใช้งาน โดยใช้เวลาน้อยลง เพิ่มระดับการบริการให้ดียิ่งขึ้น โดยมีต้นทุนที่ต่ำลง

4. องค์กรที่มีการปฏิบัติงานในระบบอัตโนมัติจำเป็นต้องมีกลไกในการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร์ และระบบเครือข่าย (Network) ทั้งในด้านของ Hardware และ Software ซึ่งระบบการควบคุมจำเป็นต้องพัฒนาไปพร้อมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็ว และเป็นไปแบบก้าวกระโดด

5. หลายองค์กรได้เล็งเห็นถึงประโยชน์ที่จะได้รับจากเทคโนโลยี สำหรับองค์กรที่ประสบความสำเร็จก็มีความเข้าใจ และสามารถบริหารความเสี่ยงที่มาพร้อมกับการนำเทคโนโลยีมาใช้ได้เป็นอย่างดี โดยเฉพาะการเปลี่ยนแปลงทางด้านเทคโนโลยีสารสนเทศ ได้เกิดมากขึ้นเป็นลำดับ และรวดเร็ว จึงจำเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนำข้อมูลไปใช้กระทำการที่ผิดกฎหมาย ดังนั้น การบริหารความเสี่ยงที่เกี่ยวข้องกับ เทคโนโลยีสารสนเทศ จึงกลายมาเป็นส่วนสำคัญในการกำกับดูแลกิจการที่ดีขององค์กรขององค์กร (Corporate Governance)

6. ที่ผ่านมาความต้องการในการมีกรอบมาตรฐาน (Framework) สำหรับการจัดการเรื่องความปลอดภัย และการควบคุมทางด้านเทคโนโลยีสารสนเทศมีค่อนข้างมาก โดยเฉพาะองค์กรที่ประสบความสำเร็จต่าง ๆ ได้มีความเข้าใจ และประเมินค่าของความเสี่ยงเทียบกับข้อจำกัดในการใช้เทคโนโลยีสารสนเทศในทุกระดับขององค์กร เพื่อให้มั่นใจว่าองค์กรจะสามารถมีการกำกับดูแลที่มีประสิทธิผล และมีการควบคุมที่เพียงพอ

7. ระดับบริหารจะต้องสามารถตัดสินใจได้ว่าควรจะลงทุน ณ ระดับใด ในเรื่องการรักษาความปลอดภัย และการควบคุม (Security and Control) และจะรักษาจุดสมดุลอย่างไร ระหว่างความเสี่ยงที่รับได้กับการลงทุนในด้านการควบคุม ถึงแม้การรักษาความปลอดภัย และการควบคุม (Security and Control) ทางด้านเทคโนโลยีสารสนเทศจะช่วยในการบริหารความเสี่ยง แต่ความเสี่ยงก็ยังคงมีอยู่ไม่ได้ถูกกำจัดออกไปทั้งหมด เพราะไม่มีผู้ใดสามารถกำหนดระดับความเสี่ยงได้ชัดเจนแน่นอน

ดังนั้น ผู้บริหารจึงต้องกำหนดระดับความเสี่ยงที่รับได้ โดยเปรียบเทียบกับต้นทุนที่ต้องลงทุน ซึ่งถือได้ว่าเป็นการตัดสินใจที่ค่อนข้างยาก จึงจำเป็นต้องมีกรอบมาตรฐาน (Framework) เพื่อให้ทราบถึงการกำหนดนโยบายการรักษาความปลอดภัย และการควบคุมด้านเทคโนโลยีสารสนเทศ โดยคำนึงถึงสภาวะของเทคโนโลยีสารสนเทศในปัจจุบัน และที่จะเป็นในอนาคต

8. ระดับผู้ใช้ (Users) ก็ต้องมีความมั่นใจว่ามีการรักษาความปลอดภัย และการควบคุม (Security and Control) อย่างเพียงพอในการใช้งานด้านเทคโนโลยีสารสนเทศ ไม่ว่าจะเป็นการใช้บริการจากภายในองค์กร หรือจากผู้ให้บริการจากภายนอก (Third Party) ก็ตามซึ่งที่ผ่านมาการควบคุมทางด้านเทคโนโลยีสารสนเทศจะค่อนข้างสับสนเนื่องจากมีมาตรฐานหลากหลายวิธีจากองค์กรต่าง ๆ

9. ระดับผู้ตรวจสอบ (Auditors) ก็จำเป็นจะต้องมีมาตรฐานสากลในการตรวจสอบ เนื่องจากจะต้องมีจุดยืนในการให้แนวคิด และเหตุผลเกี่ยวกับการตรวจสอบภายในกับระดับบริหาร ซึ่งถ้าปราศจากกรอบมาตรฐานแล้วจะหาจุดพิจารณาถึงระดับการรักษาความปลอดภัย และการควบคุม (Security and Control) ด้านเทคโนโลยีสารสนเทศที่เหมาะสมได้ค่อนข้างยาก

ความสัมพันธ์ของ IT Governance กับ Corporate Governance
ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) เป็นส่วนสำคัญที่รวมอยู่ในความสำเร็จของธรรมาภิบาลขององค์กร (Corporate Governance) โดยจะเป็นจุดวัดของการปรับปรุงในด้านประสิทธิผล และประสิทธิภาพของกระบวนการปฏิบัติงานขององค์กร ธรรมาภิบาลขององค์กรจะเป็นกรอบในการกำหนดแนวทางสำหรับธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) ส่วนกิจกรรม / กระบวนการต่าง ๆ ขององค์กรจะต้องใช้ข้อมูลจาก กิจกรรม / กระบวนการของเทคโนโลยีสารสนเทศอย่างมีนัยสำคัญยิ่ง โดยเฉพาะธุรกิจหลัก ๆ ขององค์กร

Corporate Governance เป็นผู้ขับเคลื่อน และกำหนดรูปแบบของ IT Governance ขณะเดียวกันเทคโนโลยีสารสนเทศก็ได้สนับสนุนข้อมูลที่จำเป็นต่าง ๆ เพื่อใช้ในการวางแผนด้านกลยุทธ์ (Strategic Planning) และในบางครั้งยังเป็นส่วนที่มีอิทธิพลในการสร้างโอกาสใหม่ ๆ ให้กับองค์กร จึงถือได้ว่าเทคโนโลยีสารสนเทศ และการวางแผนด้านกลยุทธ์มีความสัมพันธ์แบบพึ่งพากัน โดยกิจกรรมในองค์กร (Corporate Activities) จำเป็นต้องใช้ข้อมูลจาก IT Activities เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจ โดย IT Activities จะต้องสอดคล้องกับกิจกรรมในองค์กร และช่วยให้องค์กรสามารถใช้ประโยชน์จากข้อมูลอย่างเต็มที่ในการสร้างประโยชน์สูงสุด และได้ผลตอบแทนจากการลงทุนจากโอกาสทางธุรกิจต่าง ๆ รวมทั้งสามารถเพิ่มความได้เปรียบในการแข่งขันมากขึ้น

โดยปกติแล้วองค์กรจะมีการกำกับ บริหาร และควบคุมโดยใช้หลักการจัดการ และการปฏิบัติที่เหมาะสมหรือที่ดีที่สุด เพื่อให้มั่นใจว่าองค์กรจะสามารถบรรลุเป้าหมายหรือวัตถุประสงค์ที่ต้องการ โดยต้องมีการควบคุมที่ดีด้วย

และในขณะเดียวกันเทคโนโลยีสารสนเทศก็จำเป็นต้องมีการกำกับ บริหาร และควบคุมที่ดี โดยยึดหลักการของ Best Practices เช่นเดียวกัน เพื่อให้ข้อมูล และเทคโนโลยีที่ใช้ในองค์กร สามารถช่วยให้องค์กรบรรลุวัตถุประสงค์ทางธุรกิจได้ รวมทั้งการใช้ทรัพยากรต่าง ๆ อย่างมีเหตุมีผล และมีการบริหารความเสี่ยงที่เหมาะสม
องค์กร ควรสร้างคุณค่าเพิ่ม และความน่าเชื่อถือจากผู้มีผลประโยชน์ร่วมโดยการปรับปรุง Business Process และลดขนาดขององค์กร โดยจัดให้มีการจัดองค์กรใหม่อย่างเหมาะสมต่อไป

 

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

วันนี้ ผมจะมาทบทวนในเรื่องของความหมายของความเสี่ยงและการบริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายขององค์กร ที่ผมเคยได้กล่าวไปในช่วงต้น ๆ แล้ว ซึ่งเป็นการเน้นย้ำให้เห็นความสำคัญของการบริหารจัดการกับความเสี่ยงให้ได้ดุลยภาพ เพื่อบรรลุเป้าประสงค์ขององค์กรต่อไป

ในการบริหารความเสี่ยงขององค์กรทั่วไปนั้น คณะกรรมการบริหาร ผู้บริหารและพนักงานทุกคนในองค์กร ต้องมีความรู้ ความเข้าใจถึงความหมายของความเสี่ยงที่ถูกต้องตรงกัน เพื่อให้ทุกคนในองค์กรสามารถมองความเสี่ยงไปในทิศทางเดียวกัน และสามารถนำไปประยุกต์ใช้ในการกำหนดกลยุทธ์ และการวางแผนขององค์กรได้ในทุกระดับ โดยได้รับการออกแบบให้สามารถบ่งชี้เหตุการณ์ที่อาจเกิดขึ้นที่มีผลกระทบต่อองค์กร และสามารถจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับ เพื่อให้ได้รับความมั่นใจอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์ขององค์กร

ความหมายของความเสี่ยงในมุมมองขององค์กรทั่วไป

ความเสี่ยง (Risk) หมายถึง เหตุการณ์ / การกระทำใด ๆ ที่มีความไม่แน่นอน ซึ่งหากเกิดขึ้นจะมีผลกระทบในเชิงลบ ต่อวัตถุประสงค์หรือเป้าหมายขององค์กร หรือลดโอกาสที่จะบรรลุความสำเร็จต่อการบรรลุเป้าหมายและวัตถุประสงค์ของแผนงาน/โครงการที่จะก้าวสู่พันธกิจ และวิสัยทัศน์ ที่ได้กำหนดไว้

โอกาส (Opportunity) หมายถึง เหตุการณ์ที่มีความไม่แน่นอน ซึ่งหากเกิดขึ้นจะมีผลกระทบในเชิงบวก ต่อวัตถุประสงค์หรือเป้าหมายขององค์กร ซึ่งผู้บริหารและผู้ที่เกี่ยวข้องควรจะได้ทบทวนถึงกลยุทธ์ที่เหมาะสม และแผนงานที่เหมาะสมใหม่ เพื่อสร้างคุณค่าเพิ่ม (Value Creation) ให้กับองค์กร นอกเหนือจากแผนงานและโครงการที่ได้กำหนดไว้แล้ว

ความเสี่ยงเป็นเรื่องที่เกิดขึ้นได้ในอนาคต ประกอบด้วยปัจจัย 2 ประการ คือ ความเป็นไปได้ของโอกาสที่จะเกิดเหตุการณ์หรือความน่าจะเกิดขึ้น และความรุนแรงของผลตรงข้ามที่เกิดขึ้นจากเหตุการณ์นั้นสิ่งสำคัญต้องทำให้ทั้ง 2 ประการได้สมดุลกัน ดังรูปที่ได้แสดงด้านล่างนี้

ดุลยภาพในการบริหารความเสี่ยงและการสร้างโอกาส

ดุลยภาพในการบริหารความเสี่ยงและการสร้างโอกาส

ประเภทของความเสี่ยง

1. ความเสี่ยงที่เป็นอุปสรรคหรืออันตราย (Hazard)
เหตุการณ์ในเชิงลบ/เหตุการณ์ไม่ดีที่หากเกิดขึ้นแล้วอาจเป็นอันตรายหรือสร้างความเสียหายต่อองค์กร เช่น ภาวะการเปลี่ยนแปลงของเทคโนโลยี การแข่งขันทางการตลาดทั้งสินค้าและบริการ การเปลี่ยนแปลงนโยบาย กลยุทธ ศักยภาพ ความสามารถของผู้บริหารและพนักงาน เป็นต้น

2. ความเสี่ยงที่เป็นความไม่แน่นอน (Uncertainly)
เหตุการณ์ที่ทำให้ผลที่องค์กรได้รับจากเหตุการณ์ไม่เป็นไปตามที่คาดการณ์ไว้ หรือการไม่สามารถคาดการณ์เหตุการณ์ล่วงหน้าได้อย่างแม่นยำ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น ต้นทุนที่เกิดขึ้นจริงสูงกว่างบประมาณที่กำหนดไว้ เป็นต้น

3. ความเสี่ยงที่เป็นโอกาส (Opportunity)
เหตุการณ์ที่ทำให้องค์กรเสียโอกาสในการแข่งขันการดำเนินงานและการเพิ่มมูลค่าของผู้มีผลประโยชน์ร่วม เช่น การไม่ส่งเสริมหรือพัฒนาบุคคลากรให้มีทักษะในการปฏิบัติงาน เพื่อยกระดับประสิทธิภาพขององค์กร เป็นต้น

สาเหตุแห่งความเสี่ยง
ความเสี่ยงทุกประเภทเกิดขึ้นโดยมีเหตุแห่งความเสี่ยง (Risk Driver) ซึ่งอาจเป็นเหตุที่เกิดจากภายในองค์กร ดังตัวอย่างในภาพด้านล่างนี้ ผู้บริหารควรทำความเข้าใจถึงการเปลี่ยนแปลงที่มีผลต่อธุรกิจและเหตุแห่งความเสี่ยงที่เกิดขึ้นตลอดเวลา เพื่อจะได้สามารถควบคุมได้อย่างเพียงพอและเหมาะสมต่อการเปลี่ยนแปลงที่เกิดขึ้นนั้น

Business Risk Exposures

Business Risk Exposures

ความเสี่ยงสามารถเกิดขึ้นได้เสมอ โดยองค์กรทั่วไปมักต้องเผชิญกับเหตุการณ์เหล่านี้ เช่น แผนงาน/โครงการใหม่ไม่เป็นไปตามที่คาดไว้ การลงทุนไม่ให้ผลตอบแทนตามที่คาดไว้ การละเลยกระบวนการทางธุรกิจ ภาวะการเปลี่ยนแปลงของเทคโนโลยี คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เป็นต้น ดังนั้น องค์กรทั่วไปควรดำเนินการเพื่อหลีกเลี่ยงหรือลดเหตุการณ์ที่อาจก่อให้เกิดความเสียหาย แต่สามารถบ่งชี้เหตุการณ์ที่เป็นโอกาสในการเพิ่มคุณค่าให้กับองค์กร สิ่งที่ทำให้ผู้บริหารต้องให้ความสำคัญหรือการกำหนดระดับความไม่แน่นอนที่องค์กรยอมรับได้ แต่ในขณะเดียวกันก็สามารถเพิ่มคุณค่าให้กับผู้มีผลประโยชน์ร่วมด้วย

การจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM)
COSO (Committee of Sponsoring Organizations of Treadway Commission) ได้เสนอแนวทางใหม่ที่เรียกว่า การจัดการความเสี่ยงขององค์กร (Enterprise Risk Management – ERM) ซึ่งเป็นกระบวนการที่ระบุและวิเคราะห์ความเสี่ยงในมุมมองของภาพที่เป็นองค์รวมแบบบูรณาการทั่วทั้งองค์กร

ทุกองค์กรไม่ว่าจะเป็นองค์กรที่หวังผลกำไร องค์กรทางการกุศล หรือหน่วยงานของรัฐบาลที่ตั้งขึ้นเพื่อเพิ่มคุณค่าแก่ผู้มีส่วนได้เสีย ทุกองค์กรนั้นต้องเผชิญกับความไม่แน่นอนและความท้าทายทางการบริหาร เพื่อที่จะกำหนดระดับของความไม่แน่นอนที่สามารถเตรียมพร้อมในการยอมรับมัน ในความไม่แน่นอนนั้นเป็นได้ทั้งความเสี่ยงและโอกาส มีความเป็นไปได้ทั้งที่จะลดหรือเพิ่มคุณค่า ERM เป็นกรอบความคิดทางการบริหารเพื่อที่จะจัดการกับสภาวการณ์ที่ไม่มีความแน่นอนอย่างมีประสิทธิภาพและเกี่ยวข้องกับความเสี่ยง โอกาสและการเพิ่มความสามารถในการสร้างคุณค่าได้อย่างแท้จริงในหลักการของการบริหารเชิงรุก หรือการบริหารความเสี่ยงภายใต้หลักการ การกำกับดูแลกิจการที่ดีในการสร้างคุณค่าเพิ่มระยะยาวให้กับองค์กรและสังคม