Archive for เมษายน 11th, 2009

Audit Risk & Auditors ในบางมุมมอง

ก่อนช่วงวันหยุดยาวในเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการตรวจสอบที่ผู้ที่เกี่ยวข้องควรจะเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศที่ถูกต้องและน่าเชื่อถือได้ในมุมมองต่าง ๆ ตามที่ได้กล่าวไปแล้วนั้น จะเป็นบันไดขั้นต้นที่สำคัญอย่างยิ่งต่อกระบวนการตรวจสอบและการกำกับของหน่วยงานที่เกี่ยวข้อง

ภาพต่อไปนี้จะช่วยให้ Auditors และผู้บริหารที่เกี่ยวข้องได้เข้าใจถึง Audit Risk บางมุมมองตามที่ผมได้กล่าวข้างต้นได้ดีนะครับ ทั้งนี้ หาก Auditors จะประเมินตนเองในลักษณะ CSA – Control Self Assessment ก็จะเห็นภาพและเกิดความคิดที่เด่นชัดถึง Audit Risk และ Impact ที่เกี่ยวข้องกับกระบวนการตรวจสอบ เพื่อจะได้ทบทวนกระบวนการวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบ รวมทั้งการจัดทำรายงานการตรวจสอบต่อไปครับ

Basel II Components & Audit Understanding & Audit Planning

Basel II Components & Audit Understanding & Audit Planning

ความเสี่ยงที่สำคัญของการตรวจสอบในทุกประเภท (Audit Risk) ทั้ง IT และ Non – IT Audit บางมุมมองก็คือ

1. การละเลย หรือการไม่ให้ความสนใจต่อความถูกต้องและความน่าเชื่อถือได้ รวมทั้งสภาพพร้อมใช้งาน และอื่น ๆ ของสารสนเทศที่ใช้ในการตรวจสอบ โดยมีสาเหตุหลักมาจากผู้บริหารให้ความสำคัญเกี่ยวกับ IT Security ที่มีผลต่อกระบวนการบริหารและการจัดการขององค์กรน้อยกว่าที่ควรจะเป็น++

2. มีการแบ่งแยกหน้าที่ระหว่างการตรวจสอบทางด้าน IT Audit และ Non – IT Audit แต่ขาดการประสานงาน และความร่วมมือ รวมทั้งความเข้าใจร่วมที่มีผลต่อการตรวจสอบ ที่เกิดจาก IT Audit ที่มีต่อ Financial Audit, Compliance Audit, Performance Audit, Operational Audit, Fraud Audit, Management Audit และอื่น ๆ

3. คู่มือหรือแนวทางการตรวจสอบ IT Audit และ Non – IT Audit ขาดความเชื่อมโยงที่อาจจะเรียกว่าเป็นสะพานเชื่อมความเข้าใจ ที่เชื่อมข้อมูลระหว่างผลกระทบต่อ IT Risk ต่อ Business Risk ในแง่มุมต่าง ๆ ที่มีผลต่องบการเงิน รายงานทางการเงิน และรายงานประเภทต่าง ๆ ทั้งนี้เพราะ ขาดการมอง/พิจารณาภาพรวมในระดับ High – Level ที่เป็นรูปธรรม

4. ผลของการตรวจสอบ IT Audit ได้รับความสนใจจากคณะกรรมการตรวจสอบ และผู้บริหารที่เกี่ยวข้องขององค์กร น้อยกว่าผลการตรวจสอบทางด้าน Non – IT Audit เป็นอย่างมาก ทั้ง ๆ ที่รายงานของ IT Audit โดยเฉพาะอย่างยิ่ง รายงานที่เกี่ยวข้องกับ IT Security และการบริหารจัดการสารสนเทศมีผลต่อกระบวนการทาง IT Audit เป็นอย่างมาก

5. ผู้ตรวจสอบจำนวนไม่น้อย ไม่ได้ศึกษา Work flow ของระบบงานที่จะตรวจสอบให้ดีพอว่าส่วนใดที่ Process โดยระบบคอมพิวเตอร์ล้วน ๆ ระบบหรืองานใดที่ Process โดย Manual ล้วน ๆ หรือระบบงานใด หรือกระบวนการงานใดที่ Process โดย IT และ Non – IT ผสมกันไป เช่น ระบบ front office ประมวลผลโดยระบบคอมพิวเตอร์ล้วน ๆ แต่ระบบ middle office และ back office ใช้ระบบ Manual หรือผสมการใช้เครื่องมือคอมพิวเตอร์บางส่วน เช่น excel เข้ามาช่วย ++

ซึ่งกระบวนการประมวลงานตามข้อนี้ จะมีความเสี่ยงจาก Audit Risk และ Operational Risk สูงที่สุด รวมทั้งผลกระทบจากความเสี่ยงในเรื่องนี้จะมีผลต่อ Strategic Risk, Financial Risk, Compliance Risk อย่างสำคัญ ที่อาจมีผลต่อกระบวนการบันทึกบัญชี และการจัดทำรายงานที่อาจจะก่อให้เกิดการผิดพลาด รวมทั้งการทุจริตที่เกิดจากช่องว่างที่เป็นรอยต่อของ Process ลูกผสมของระบบงานนั้น ๆ

เรื่องนี้ไว้หลังสงกรานต์ค่อยกลับมาเล่าสู่กันฟังอีกครั้งครับ

6. ความเสี่ยงที่เกิดจาก Audit Risk ต่อไปก็คือ ผู้ตรวจสอบไม่อาจหาหลักฐานเพื่อประกอบการตรวจสอบได้อย่างเหมาะสม เพื่อสนับสนุนความเห็นประกอบรายงานการตรวจสอบ

7. ผู้ตรวจสอบ ไม่ทราบว่าควรจะตรวจสอบอะไรก่อน – หลัง และผู้กำกับงานตรวจสอบก็ให้ความสนใจในกระบวนการตรวจสอบ โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ ซึ่งเป็นเรื่องสำคัญอย่างยิ่ง

8. การรวบรวมข้อมูลเพื่อการตรวจสอบ ที่เกิดจากความเข้าใจในระดับที่ไม่น่ายอมรับได้ มีผลต่อกระบวนการตรวจสอบอย่างมาก เพราะผู้ตรวจสอบขาดความเข้าใจในระบบการประมวลผลข้อมูล และเทคโนโลยีที่เกี่ยวข้องที่ก้าวหน้าไปอย่างไม่หยุดยั้ง และมีผลโดยตรงต่อประสบการณ์ของผู้ตรวจสอบ และผู้กำกับงานตรวจสอบ

9. การทดสอบระบบการควบคุมที่น่าเชื่อถือได้ของการประมวลผล และกระบวนการบริหารงานต่าง ๆ ซึ่งได้รับอิทธิพลจากการเปลี่ยนแปลงทางเทคโนโลยี และการใช้เครื่องมือใหม่ ๆ อย่างมากนั้น ได้ถูกละเลยเพราะ ผู้ตรวจสอบจำนวนหนึ่งได้ละเลยที่จะปฏิบัติงานในส่วนนี้ เนื่องจากศักยภาพในการตรวจสอบถูกกระทบจาก การประมวลผลในรูปแบบใหม่ ๆ นี่เป็นความเสี่ยงของ Audit Risk อย่างสำคัญ ไม่ว่าจะเป็นการตรวจสอบทางด้าน IT หรือ Non – IT ก็ตาม

10. การทำ Substive Test ซึ่งเป็นการทดสอบรายการทางการเงิน ซึ่งผู้ตรวจสอบเลือกที่จะใช้แทนการตรวจสอบหรือทดสอบการควบคุมในกระบวนการทำงาน โดยเฉพาะอย่างยิ่ง กระบวนการทำงานที่มาจาก IT Process นั้น โดยหลักการก็ใช้ได้ในระดับหนึ่ง และโดยปกติผู้ตรวจสอบก็มักจะใช้หลักการนี้กันอย่างแพร่หลาย เพราะค่อนข้างสะดวก และสอดคล้องกับระดับความรู้ และการตรวจสอบที่เป็นแบบ Conventional Audit ตามปกตินั้น ในหลายกรณีไม่อาจใช้ได้อย่างเหมาะสมกับการประมวลผลยุคใหม่ และเทคโนโลยีใหม่ ๆ เนื่องจากข้อมูลทางการเงินถูกควบคุมจากการประมวลผลด้วยระบบคอมพิวเตอร์ หรือจากการใช้เทคนิคการแก้ไข เปลี่ยนแปลงข้อมูลจาก Super Password หรือ Super ID หรือ จากจุดอ่อนที่มีต่อกระบวนการบริหารจัดการสารสนเทศ

ท่านผู้ตรวจสอบครับ เรื่องนี้เป็นเรื่องสำคัญอย่างยิ่งและยังเป็นจุดอ่อนที่สำคัญมากต่อ Audit Risk ที่ผมจะเล่าสู่กันฟังในโอกาสต่อ ๆ ไปนะครับ

 

ดุลยภาพของการบริหารความเสี่ยง กับอาวุธสุดแสบของ US

ช่วงนี้อยู่ในระหว่างช่วงสงกรานต์แล้วนะครับ หลายท่านคงกำลังเดินทางกลับต่างจังหวัด เพื่อเยี่ยมญาติหรือเที่ยวพักผ่อนในวันสงกรานต์ แต่อยากให้ระมัดระวังความปลอดภัยในการเดินทางและการร่วมเล่นน้ำสงกรานต์อย่างเหมาะสม ประกอบกับในช่วงนี้บ้านเมืองเรามีเหตุการณ์ที่ไม่เป็นปกติมากนัก ผู้ที่เกี่ยวข้องกับฝ่ายต่าง ๆ กำลังหาจุดที่เป็นดุลยภาพของการจัดการและการบริหารความเสี่ยงที่เหมาะสมกันอยู่ จุดที่น่าจะลงตัวก็คือ การเคารพกติกาของสังคม และให้ความเป็นธรรมกับทุกฝ่ายที่เกี่ยวข้อง ด้วยความรักและความเมตตา และความเข้าใจกัน โดยคำนึงถึงผลประโยชน์ของชาติเป็นหลัก ซึ่งในฐานะที่ผมคลุกคลีอยู่กับการบริหารความเสี่ยง และความเสี่ยงก็เกิดขึ้นได้เสมอในชีวิตประจำวัน จึงอยากให้ระมัดระวังกันมากเป็นพิเศษในช่วงเทศกาลแบบนี้

ข้อคิดประการหนึ่งของการบริหารความเสี่ยงที่ได้ดุลยภาพ การควบคุมความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง เพื่อก้าวไปสู่การกำกับดูแลกิจการบ้านเมืองที่ดีของชาตินั้น มีข้อคิดที่เป็นคำกลอนที่มีผู้กล่าวอย่างน่าฟังว่า

ระบบดี คนดี นั้นดีแน่
ระบบดี คนแย่ พอแก้ไหว
ระบบแย่ คนดี มีทางไป
ระบบแย่ คนไม่เอาไหน บรรลัยเอย

ขออธิบายสู่กันฟังนะครับว่า คนเป็นผู้สร้างระบบให้ดี และใช้ระบบที่ดีและยอมรับได้นั้นในการควบคุมคน และสังคม หากพบหรือปรากฎต่อมาว่า ระบบที่ว่าดีแล้ว ยังอาจปรับปรุงแก้ไขได้ ก็คนนั่นแหละ ที่เป็นผู้แก้ไขระบบตามกระบวนการให้เป็นไปตามกติกาที่สังคมยอมรับได้ เมื่อมีการรับรองและยอมรับอย่างเป็นขั้นเป็นตอนแล้ว ก็นำระบบที่ปรับปรุงแล้วมาควบคุมคน หรือสังคมให้อยู่ในกติกาที่ยอมรับได้ของประเทศชาติ หรือองค์กรต่อไป

ดังนั้น การบริหารกิจการบ้านเมืองที่ดีตามหลัก CG + ITG ข้อหนึ่งก็คือ การให้ความเป็นธรรม และปฏิบัติโดยเท่าเทียมกัน เพื่อการเติบโตอย่างยั่งยืนของประเทศชาติและองค์กร โดยผู้ที่เกี่ยวข้องต้องมีวิสัยทัศน์ และความรับผิดชอบที่เกี่ยวกับ Responsibility + Accountability เพื่อ Social and Environmental Awareness โดยนำเรื่องของ Promotion of Best Practice มาปฏิบัติอย่างเป็นรูปธรรม หากทำได้อย่างนี้ ความเข้าใจกันจากความคิดที่แตกต่างกันก็จะก้าวสู่จุดดุลยภาพของกระบวนการบริหารความเสี่ยงเพื่อการเติบโตอย่างยั่งยืนนะครับ

การพูดคุยของผมในวันนี้กับท่านผู้อ่านก็คือ การมีสารสนเทศ (Information) ที่ถูกต้อง มีคุณภาพ ทันกาล ตามหลักของ Information Criteria 7 องค์ประกอบของ CobiT ภายใต้ร่ม IT Governance รวมทั้งมีการสื่อสารที่ดี (Communication) ตามหลักการของ COSO ซึ่งเป็นหนึ่งใน 8 องค์ประกอบหลักของการบริหารความเสี่ยงในระดับองค์กร หรือประเทศ (ERM – Enterprise Risk Management) ก็จะช่วยให้ประเทศเกิดความมั่นคง ที่เป็นพื้นฐานสำคัญของการพัฒนาเศรษฐกิจ การลงทุน การแข่งขัน และอื่น ๆ ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืน

วันก่อน ผมได้รับเมล์ฉบับหนึ่งที่พูดถึง 10 อาวุธสุดแสบของสหรัฐอเมริกา ผมเห็นว่าน่าจะเข้ากับสถานการณ์ในช่วงนี้พอดี (ผมไม่ได้หมายความว่าน่าจะเอาอาวุธนี้ไปใช้ในสถานการณ์แบบนี้นะครับ) แต่จะขอหยิบยกบางตัวอย่างมาเล่าสู่กันฟังในมุมมองของการบริหารความเสี่ยงที่ผมเข้าใจว่า ประเทศมหาอำนาจทั้งหลายกำลังแข่งขันกันอย่างเต็มที่ในขณะนี้นั้น ก็เพื่อสร้างดุลยภาพของการบริหารความเสี่ยง เพื่อให้เกิดความมั่นคงในประเทศของตนเป็นสำคัญนะครับ

ประเทศไทยจะได้บทเรียนอะไรจากภาพด้านล่างนี้ ก็คงจะขึ้นอยู่กับดุลยพินิจและความเข้าใจในการบริหารความเสี่ยง ที่นำไปสู่ความมั่นคงของประเทศชาติ ของผู้ที่เกี่ยวข้องเป็นสำคัญ ในโอกาสต่อ ๆ ไป เพราะสงครามยุคใหม่ ต้องต่อสู้กันด้วยความคิด สติปัญญาที่ชาญฉลาด ละเอียดรอบคอบ มองการณ์ไกล รู้จักการวางแผนการจัดการกับความเสี่ยงต่างๆในเชิงรุก ต้องมีข้อมูลข่าวสาร[Information] ที่ถูกต้อง ไว้วางใจได้จริงๆ โดยเฉพาะข้อมูลหรือช่าวสารของผู้ที่ไม่หวังดี หรือสัตรู ต้องรู้ว่าผู้ไม่หวังดี/ข้าศึกกำลังคิดอะไร กำลังวางแผนหรือมีแผนอะไร มีอาวุธประเภทใด ร้ายแรงเพียงใด มีจำนวนเท่าใด อยู่ที่ใดบ้าง+++ หากไม่มีข้อมูลหรือสารสนเทศที่ถูกต้อง ทันเวลา ก็จะมีผลร้ายแรงต่อการวางแผนทางยุทธศาสตร์การรบโดยใช้ความคิด สคิปัญญา และวางแผนการล่วงหน้า กล้าตัดสินใจอย่างรวดเร็วและทันเวลา มิฉนั้นจะแพ้สงครามในที่สุด

แม้แต่มีอาวุธดีๆมากมาย แต่ขาดสติปัญญาและข้อมูลที่ดี ก็แพ้สงครามได้อย่างง่ายดาย ตามที่ปรากฎในประวัติศาสตร์การรบในอดีตของหลายประเทศ เป็นต้น

ผมจะได้หยิบยกประเด็นการบริหารความเสี่ยงในมุมมองต่าง ๆ เพื่อวิเคราะห์ เล่าสู่กันฟังในทางสร้างสรรต่อไป ณที่นี้ ท่านลองดูอาวุธแปลกๆด้านล่างนี้แล้วพิจารณาถึง การรบยุคใหม่ที่ต่อสู้กันด้วยความรู้และสติปัญญา รวมทั้งการพัฒนาอาวุธใหม่ๆ ทั้งในเชิงป้องกันและเชิงรุก ประเทศมหาอำนาจมักจะเลือกอาวุธเชิงรุกมากกว่านะครับ

1. อาวุธประเภทแรก คือ LRAD Weapon long range acoustic device ซึ่งเป็นคลื่นเสียงมหาบรรลัยหู เป็นเครื่องส่งคลื่นเสียงความถี่สูงที่มีความดังไปยังที่ที่ศัตรูที่ประจำ อยู่ในระยะไกล อำนาจขนาดทำให้แก้วหูศัตรูแตก
เป็นหูหนวกไปในทันที ล่าสุดสามารถพัฒนาให้สามารถกระแทกหัวใจทำให้หัวใจหยุดเต้นได้

LRAD_Weapon long range acoustic device

LRAD_Weapon long range acoustic device

2. Corner Shot 40 เป็นปืนแบบกระสุนความเร็วสูง สามารถเอ็กซ์เรย์ได้ สามารถใช้เฝ้าตรวจสอบที่มืด ๆ หาจุดที่จะขว้างระเบิดน้อยหน่าได้ นอกจากนี้ยังมีถังทรงกระบอกสามารถหมุนตัวถึง 63 องศา เหมาะสำหรับคนคำนวณเก่ง

Corner Shot 40

Corner Shot 40

3. Thermobaric Bomb คือ ระเบิดที่เหนือกว่าระเบิดนาปาล์ม เพราะมันคือระเบิดที่บรรจุเชื้อเพลิงที่สามารถระเบิดลุกเป็นกลุ่มไฟสุดร้อน แรง ไม่ว่าจะเป็นถ้ำในหลืบถ้ำ หรือแม้แต่ซอกซอยที่ซุ่มของศัตรู โดยมันทำงานอย่างเป็นระบบ คือระบบแรกเป็นระเบิดทำลายที่กำบัง และระบบที่สองคือเพลิงเผาซ้ำ มีความร้อนสูงถึง 3000 องศาเซลเซียส ซึ่งสามารถหลอมละลายสรรพสิ่งให้เป็นจุณไปในพริบตา อย่าว่าคนเลย ปืนที่ใช้ก็โดนหลอมเป็นก้อนทันที

Thermobaric Bomb

Thermobaric Bomb

4. EMP Bomb (Episode: Future Shock) ผลิตโดยนักวิทยาศาสตร์ชาวออสเตรเลีย “ ระเบิดแม่เหล็ก ” วิถีมันสามารถไปทั่วทิศทาง โดยวงจรอิเล็กโทนิกของมันสามารถตรวจจับวัตถุที่อยู่ใกล้ ๆ ได้ เช่น เรือ และเมื่อมันพบเป้าหมาย ด้วยอำนาจของแม่เหล็กสามารถเกาะและทำลายเป้าหมายในทันที

EMP Bomb_Episode Future Shock

EMP Bomb_Episode Future Shock

5. Airborne Laser คือเลเซอร์ติดเครื่องบิน โดยเลเซอร์นี้ประกอบด้วยโลหะไอโอดีนธาตุออกซิเจนสารเคมีที่ทรงพลังในการเอ็กซ์เรย์ (ประมาณว่าคล้ายประภาคาร) เหมาะสำหรับตรวจแหล่งสะสมอาวุธของศัตรู และถ้ามีการพัฒนาปรับปรุงจะสามารถให้สามารถจุดไฟระเบิดเป้าหมายนั้นได้อีกด้วย

Airborne Laser

Airborne Laser

6. Sensor Fuzed Weapon (Episode: The Power of Fear) ฉายามันคือ “ ระเบิดตาพิทย์ ” บรรจุระเบิดขนาดย่อมที่มีอานุภาพสูงสามารถทำลายเกราะที่หุ้มรถถังทุกชนิดได้ภายใน 10 ลูก แถมแต่ละลูกมีร่มชูชีพติดอยู่พร้อมตาอินฟาเรดที่มีความไวสูงต่อเป้าหมายที่จะหย่อนระเบิดลงไปบนรถถังหุ้มเกราะของศัตรู และทำลายเกราะที่หุ้มและทหารที่อยู่ภายในเละในพริบตา

Sensor Fuzed_Weapon Episode The Power of fear

Sensor Fuzed_Weapon Episode The Power of fear

สำหรับการบริหารความเสี่ยงเพื่อก้าวสู่ดุลยภาพในกระบวนการจัดการ เพื่อการเติบโตอย่างยั่งยืนตามหลัก CG + ITG นั้น เอาไว้คุยกันในวันหลังนะครับ

ขอเพิ่มอีกนิดนึงนะครับ ข้อคิดของวันนี้ก็คือ อาวุธสุดแสบสารพัดชนิดตามภาพข้างต้น ซึ่งไม่รวมอาวุธปรมาณูประเภทต่าง ๆ ซึ่งมีอยู่มากมายแล้ว ก็คือ ศักยภาพ ความสามารถ จากความคิดในเชิงบวก หรือเชิงรุก หรือเชิงป้องกันปัญหา หรือป้องกันความเสี่ยง ที่เป็นความมั่นคงทุกประเภท ไม่ว่าจะเป็นการทหาร การเมือง เศรษฐกิจการเงิน การบริหารการจัดการประเภทต่าง ๆ ในทุกระดับชั้น การควบคุมและการตรวจสอบตามฐานความเสี่ยงที่ดีและมีคุณภาพนั้น จะเกิดขึ้นได้ก็จากการพัฒนาความคิด การมีแผน การศึกษา การอบรม เพื่อสร้างความเข้าใจที่มาจากความคิด มิใช่จากความจำ หรือลอกเลียนกันต่อ ๆ มา

ดังนั้น ความร่ำรวยทางเศรษฐกิจและการเงินของประเทศต่าง ๆ และศักยภาพของบุคลากรในประเทศต่าง ๆ หรือในระดับองค์กรต่าง ๆ นั้น มีความแตกต่างกันมากมาย ประเทศที่มีพลเมืองน้อย ๆ เช่น ประเทศสิงคโปร์ ฟินด์แลนด์ นอร์เวย์ สวิสแลนด์ ++ ก็สามารถสร้างผลผลิตประชาชาติที่เมื่อคำนวณเป็นรายได้ประชาชาติต่อหัวแล้ว มีจำนวนสูงกว่าประเทศไทยมากมาย ก็เกิดจากการพัฒนาความคิด (ซึ่งเรียกได้ว่า เป็น Intangible Assets) ให้เป็นคุณค่าทางการเงิน และการจัดการอย่างเป็นระบบ และเป็นระเบียบ โดยมีการนำมาปฏิบัติอย่างเป็นรูปธรรม และเป็นธรรมต่อประชาชนในประเทศอย่างเท่าเทียมกัน

 

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

ก่อนที่หลาย ๆ ท่าน รวมถึงตัวผมด้วยนั้น จะหยุดไปพักผ่อนในช่วงเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการบริหารจัดการความเสี่ยงขององค์กร ซึ่งเป็นเรื่องเบา ๆ ที่ผมเห็นว่าเหมาะที่จะนำเสนอในช่วงวันหยุดยาวแบบนี้ แต่กลับมีความสำคัญต่อการจัดการกับความเสี่ยงขององค์กรอย่างยิ่งยวด

ผมคิดว่าคงไม่มีองค์กรใด ไม่ว่าภาครัฐหรือภาคเอกชนสามารถดำเนินการภายใต้สภาพแวดล้อมที่ปราศจากความเสี่ยงได้ องค์กรที่ต้องดำเนินการในสภาวะแวดล้อมดังกล่าว การจัดการความเสี่ยงจะช่วยให้ฝ่ายบริหารจัดการกับสภาพแวดล้อมให้เหมาะสมกับความเสี่ยงได้เป็นอย่างดี เพื่อก้าวสู่การบรรลุวัตถุประสงค์และเป้าหมายได้อย่างสมเหตุสมผล

การจัดการความเสี่ยงขององค์กร เป็นการส่งเสริมความสามารถในด้าน

– การปรับความเสี่ยงที่องค์กรหรือองค์กรยอมรับได้
เป็นการกำหนดกลยุทธ์ที่เหมาะสมให้เป็นไปในทิศทางเดียวกันกับความเสี่ยงที่องค์กรยอมรับได้ คือระดับความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับเพื่อมุ่งไปสู่เป้าหมายขององค์กร ซึ่งการบริหารความเสี่ยงจะพิจารณาถึงความเสี่ยงที่องค์กรยอมรับได้เป็นอย่างแรก เพื่อประเมินทางเลือกและพัฒนากลไกในการบริหารความเสี่ยงที่เกี่ยวข้องต่อไป

– ความเชื่อมโยงการเติบโต ความเสี่ยงและผลตอบแทน
การบริหารความเสี่ยงช่วยในการระบุและประเมินความเสี่ยง รวมทั้งกำหนดระดับความเสี่ยงที่สามารถยอมรับได้ ที่สัมพันธ์กับการเติบโตและเป้าหมายของผลตอบแทนตามวัตถุประสงค์ที่องค์กรกำหนดไว้

– ส่งเสริมการตัดสินใจในการตอบสนองความเสี่ยงที่เกิดขึ้น
การบริหารความเสี่ยงใช้ในการระบุและเลือกทางเลือกในการตอบสนองความเสี่ยงในรูปแบบต่าง ๆ ทั้งยังช่วยจัดหาวิธีการและเทคนิคสำหรับการตัดสินใจ เช่น การหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยงและการยอมรับความเสี่ยง

– การลดความไม่แน่นอนและความสูญเสียในการปฏิบัติงานให้น้อยที่สุด
ช่วยให้องค์กรสามารถระบุเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้น ประเมินความเสี่ยงและจัดการตอบสนองต่อความเสี่ยงที่เกิดขึ้น รวมทั้งลดสิ่งไม่แน่นอนที่อาจเกิดขึ้น ตลอดจนความสัมพันธ์ของต้นทุนและการสูญเสีย

– การระบุและบริหารความเสี่ยงภายในองค์กร
ทุก ๆ องค์กรเผชิญกับความเสี่ยงมากมายหลายประเภทที่ส่งผลต่อส่วนต่าง ๆ ขององค์กรที่แตกต่างกัน ฝ่ายบริหารไม่เพียงแต่ต้องบริหารความเสี่ยงเฉพาะบุคคล แต่ต้องเข้าใจถึงผลกระทบที่เกิดขึ้นด้วย

– มีการตอบสนองแบบบูรณาการกับความเสี่ยงที่หลากหลาย
กระบวนการทางธุรกิจนำมาซึ่งความเสี่ยงสืบเนื่อง หรือความเสี่ยงจากลักษณะธุรกิจในหลายรูปแบบ และ ERM ทำให้เกิดการแก้ปัญหาแบบบูรณาการต่อการบริหารความเสี่ยง

– การฉกฉวยโอกาส
ฝ่ายบริหารพิจารณาเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นมากกว่าพิจารณาเฉพาะความเสี่ยง โดยการพิจารณาทุกระดับของเหตุการณ์

– การจัดการกับทุนอย่างสมเหตุสมผล
ข้อมูลที่ถูกต้องมีความหมายต่อความเสี่ยงทั้งหมดขององค์กร สิ่งนี้จะทำให้การบริหารเป็นไปอย่างมีประสิทธิภาพมากขึ้นในการเข้าถึงความต้องการและปรับปรุงการจัดสรรทรัพย์สินหรือทุน รวมถึงงบประมาณได้อย่างเหมาะสม

ภาพด้านล่างนี้จะช่วยให้เห็นถึงความสำคัญและประโยชน์ของการจัดการความเสี่ยงได้ชัดเจนยิ่งขึ้น

Translating Vision & Strategy to  State Enterprise Performance Measurement

Translating Vision & Strategy to State Enterprise Performance Measurement

ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กรไม่ใช่จุดสิ้นสุดโดยตัวเอง แต่มีความหมายที่สำคัญในการบรรลุวัตถุประสงค์ ที่ไม่สามารถปฏิบัติแยกออกจากองค์กรได้ แต่จะเป็นตัวกลไก (enabler) ในกระบวนการทางการบริหาร
ERM เป็นสิ่งที่เกี่ยวข้องกับความสัมพันธ์กับความร่วมมือของหน่วยการจัดการต่าง ๆ โดยจัดหาข้อมูลให้แก่คณะกรรมการบริหาร ได้ทราบถึงความเสี่ยงที่มีนัยสำคัญและการบริหารความเสี่ยงดังกล่าว การปรับเปลี่ยนความเสี่ยงโดยการควบคุมภายใน ซึ่งเป็นส่วนหนึ่งของ ERM

ERM ช่วยให้องค์กรประสบความสำเร็จในผลประกอบการและบรรลุเป้าหมายการทำกำไร การป้องกันความสูญเสียของทรัพยากร ช่วยทำให้มั่นใจถึงการรายงานที่มีประสิทธิภาพ การปฏิบัติที่ถูกต้องตามกฎหมายและกฎเกณฑ์ต่าง ๆ การหลีกเลี่ยงความเสียชื่อเสียงและผลลัพธ์ที่ตามมาอื่น ๆ

โดยรวมแล้วการจัดการความเสี่ยงขององค์กรจะช่วยให้องค์กรทั่วไปดำเนินไปในทิศทางที่ต้องการได้อย่างเหมาะสม และสามารถบรรลุวัตถุประสงค์ขององค์กรที่กำหนดไว้ได้เป็นอย่างดี