Archive for พฤษภาคม 9th, 2009

การนำ IT Governance ไปประยุกต์ใช้ในการกำกับในหน่วยงานของรัฐบางประการ

อีกมุมมองหนึ่งของ IT Governance คือ ดุลยภาพของกระบวนการบริหารความเสี่ยง กับการลงทุนทางด้าน IT โดยมีผลตอบแทนที่เหมาะสม ที่พิจารณาจาก Intangible Assets และ Tangible Assets ในระดับองค์กร

IT Governance เป็น หน้าที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางด้านเทคโนโลยีสารสนเทศควบคู่กันไปกับความสามารถด้านอื่นๆ ของคณะกรรมการและผู้บริหารระดับสูงที่ใช้เป็นกรอบ และองค์ประกอบของกระบวนการบริหารงานในการปฏิบัติตามนโยบาย กลยุทธ์เพื่อสร้างศักยภาพ คุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนอย่างรู้คุณค่าให้กับองค์กรควบคู่กันไปกับหลักการกำกับดูแลกิจการที่ดีที่แยกกันไม่ได้ ในกระบวนการบริหารความเสี่ยงตามองค์ประกอบของการจัดการตั้งแต่การวางแผน การจัดองค์กร การจัดพนักงาน การดำเนินการและการควบคุม
เทคโนโลยีสารสนเทศสร้างความเสี่ยงใหม่ๆ การสูญเสียโอกาสที่มีผลต่อประสิทธิภาพ ประสิทธิผลในการดำเนินการ การปฏิบัติตามนโยบาย กฎหมาย ระเบียบ ประกาศ คำสั่ง ฯลฯ รวมทั้งผลกระทบต่อความน่าเชื่อถือและความถูกต้องของการตรวจสอบและการจัดทำรายงาน ซึ่งเป็นหัวใจของการบริหารและการควบคุมภายในอย่างคาดไม่ถึงในการบริหารงานระดับต่างๆ ขององค์กร ดังนั้นการผสมผสานความสามารถด้านต่างๆ ขององค์กรกับศักยภาพของระบบงานและการจัดการเทคโนโลยีสารสนเทศที่ดี จึงเป็นทั้งหน้าที่ความรับผิดชอบที่ไม่อาจหลีกเลี่ยงได้ของคณะกรรมการและผู้บริหารระดับสูงของทุกองค์กรในปัจจุบัน

IT Governance ทำให้เกิดการบริหารและการบูรณาการที่เป็นระบบ มีระเบียบ เป็นขั้นตอน ลดความซ้ำซ้อน ลดความเสี่ยง เพิ่มศักยภาพโดยทำงานข้ามสายงานได้ และประสานงานระหว่างองค์กรได้อย่างรวดเร็ว ทันเวลา มีประสิทธิภาพสอดประสานกับ การดำเนินงานระดับต่างๆ จากการใช้ความสามารถและศักยภาพของเทคโนโลยีสารสนเทศ และทรัพยากรต่างๆ เพื่อการผลักดันความสำเร็จ ของการจัดการทั่วทั้งองค์กรอย่างเป็นกระบวนการ

ดังนั้น สคร. และกระทรวงการคลังจึงขับเคลื่อนกระบวนการบริหาร IT Governance ซึ่งเป็นกลไกหนึ่งของการขับเคลื่อน Corporate Governance ควบคู่กันไปกับการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยง ซึ่งเป็นองค์ประกอบที่สำคัญในการสร้างคุณค่าเพิ่มและการเติบโตอย่างยั่งยืนในทุกองค์กร

ผมจึงขอนำเสนอหลักการและหลักเกณฑ์การประเมินคุณภาพการบริหารและการจัดการ การบริหารความเสี่ยง รวมทั้งการบริหารการจัดการสารสนเทศ ในบางส่วนของ สคร. โดยกระทรวงการคลังที่ได้กำหนดขึ้น และนำมาใช้ในการประเมินผลการบริหารการจัดการองค์กรของรัฐวิสาหกิจมา 4 ปีแล้ว

ITG & Value Creation

ITG & Value Creation

หลักเกณฑ์การประเมินการบริหารความเสี่ยงที่รวมการประเมินการบริหารการจัดการ IT Governance ของ สคร. แบ่งผลประเมินออกเป็น 5 ระดับ ได้แก่

ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงใน เชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น ระบุความเสี่ยงจากต้นเหตุเป็นส่วนใหญ่ แต่ยังมีกระบวนการบริหารความเสี่ยงแยกเป็นส่วนๆ รัฐวิสาหกิจมีการจัดทำคู่มือการบริหารความเสี่ยงแล้วแต่ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงด้อยกว่าแผนฯ และไม่ต่างจากอดีต ที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 3 การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีการบริหารความเสี่ยงแบบบูรณาการ รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 3 และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนฯ แต่ดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 4 การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 3 ซึ่งกลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 4 และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนฯ และดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 5 การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 4 และมีกระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 5

รายละเอียดที่เกี่ยวข้องกับแนวทางการประเมินดังกล่าว จะได้นำมาเผยแพร่ต่อไปครับ

 

ดุลยภาพการบริหารความเสี่ยงกับการตัดสินใจ

คอลัมน์นี้ไม่ได้ update ค่อนข้างนานพอสมควรครับ วันนี้จะมาพูดต่อเรื่องดุลยภาพการบริหารความเสี่ยงกับการตัดสินใจในแง่มุมของความมั่นคงบางมุมมอง ซึ่งจะนำอาวุธสุดแสบของ US มาเพิ่มเติมให้ท่านเห็นประกอบดังนี้

Excalibur

Excalibur

Metal Storm

Metal Storm

เรื่องดุลยภาพของการบริหารความเสี่ยงกับการตัดสินใจในการลงทุน ไม่ว่าจะเพื่อความมั่นคงทางด้านการทหาร หรือความมั่นคงที่เกี่ยวข้องกับ IT Security ที่มีผลต่อวัตถุประสงค์ของการบริหารความเสี่ยงระดับองค์กร ที่เกี่ยวข้องกับ COSO – ERM ที่มีวัตถุประสงค์หลัก ๆ ของการบริหารความเสี่ยงและการควบคุมก็คือ Strategic Risk – S, Operational Risk – O, Financial / Reporting Risk – F, Compliance Risk – C ที่มีความสำคัญอย่างยิ่งยวดต่อกระบวนการบริหารระดับต่าง ๆ ที่ต้องการ Data & Information ที่ถูกต้องและน่าเชื่อถือได้ตามหลักการของ COBIT 7 ประการนั้น สำคัญอย่างยิ่งยวดต่อความมั่นคงและเจริญเติบโตอย่างยั่งยืนตามหลัก CG ในทุกรูปแบบ

ในเรื่องเกี่ยวข้องกับความมั่นคงทางทหาร การตัดสินใจอย่างรวดเร็วโดยมีกลยุทธ์และยุทธวิธีการรบ ที่ผสมผสานกับอาวุธที่เพียบพร้อมกับยุคอิเล็กทรอนิกส์ เป็นเรื่องที่มีความสำคัญยิ่ง ซึ่งรายละเอียดผมคงไม่กล่าวถึง แต่จะขอกล่าวเพียงว่า หากเราเข้าใจการใช้ยุทโธปกรณ์ที่ทันสมัยแตกต่างกัน ก็จะมีผลต่อการรบอย่างสำคัญ เช่น การใช้เครื่องบินที่เป็นรูปแบบของ Fighter ไปเป็น Bomber ก็จะเป็นความผิดพลาดที่มีผลต่อความเสียหาย ซึ่งอาจพ่ายแพ้ต่อการรบและการสงครามได้ในที่สุดนั้น จะเกี่ยวข้องกับดุลยภาพกับการบริหารความเสี่ยงและการตัดสินใจเป็นสำคัญ

 

บทเรียนการทุจริตครั้งสำคัญของธนาคาร Society Generale กับกรณีการทุจริตของ ธอส. และกระบวนการบริหาร รวมทั้ง Audit Risk

ถึงแม้กรณีการทุจริตประมาณ 400 ล้านของ ธอส. ยังไม่คลี่คลาย เนื่องจากอยู่ระหว่างการรวบรวมข้อเท็จจริงของกระทรวงการคลัง และ ธนาคารแห่งประเทศไทย ผู้กำกับธนาคารของรัฐแห่งนี้ ผมจึงคิดว่า กรณีการทุจริตของธนาคาร Society Generale – SG กับการเปิดเผย รวมทั้งการให้ข้อสังเกตของหน่วยงานกำกับหลายแห่ง รวมถึง FSA ของประเทศอังกฤษในเรื่องนี้ ในเวลาต่อมานั้น น่าจะพิจารณาว่าเป็นประโยชน์อย่างยิ่งในวงการควบคุม กระบวนการบริหารความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง รวมถึงการประเมินตนเองเพื่อการควบคุมและการบริหารความเสี่ยง ซึ่งเรียกย่อ ๆ ว่า CSA ในรูปแบบต่าง ๆ ที่ผมจะเผยแพร่ในโอกาสต่อ ๆ ไป

Fraud from Operational Risk & Poor Mgmt.

Fraud from Operational Risk & Poor Mgmt.

ข้อแนะนำของ FSA รวมทั้งข้อสังเกตที่มีประโยชน์อย่างยิ่งในทุกวงการ โดยเฉพาะสถาบันการเงินที่ไม่จำกัดอยู่เพียงความสูญเสียทางการค้าเงิน จากจุดอ่อนของกระบวนการบริหารและควบคุมภายในของ SG ยังได้รับความสนใจที่ค่อนข้างจำกัดอย่างน่าเสียดาย ผมจึงค่อนข้างจะเน้นและย้ำมากว่า หากองค์กรของท่านมุ่งมั่นที่จะบริหารความเสี่ยงอย่างเป็นเลิศ และเป็นกระบวนการที่ดีตามหลัก CG และ ITG รวมถึง GRC ซึ่งเป็น Statement ใหม่นั้น ขอให้ท่านผู้บริหารขององค์กรต่าง ๆ ได้โปรดสนใจที่จะประยุกต์ นำข้อสังเกตของ FSA มาใช้ในทางปฏิบัติให้ได้ผลอย่างจริงจัง

วันนี้ ผมจึงขอนำเสนอข้อสังเกตของ FSA ต่อ และจะตามมาด้วยการวิเคราะห์การบริหารความเสี่ยงของธนาคารของรัฐบางแห่งในโอกาสต่อไป

Off-market rates
9. สง. มีระบบควบคุมเพื่อดูแลการทำธุรกรรม Off market rates ของ Trader หรือไม่ และมีการนับแต้ม (Yellow flag) หรือติดตามผลของการกระทำดังกล่าวหรือไม่
9.1 การทำธุรกรรม Off market rate เป็นสิ่งที่สง.ควรให้ความสำคัญเนื่องจากเป็นช่องทางที่ Trader ใช้ในการตกแต่งกำไรขาดทุน และกลับกำไรขาดทุนเป็นทิศทางที่ตรงข้ามได้
9.2 สง. ควรมั่นใจว่ามีระบบการควบคุมเพื่อตรวจสอบธุรกรรมที่ทำ Off-market rate เพราะเป็นกลไกที่สำคัญมากในการป้องกันการทุจริตของ Trader

P&L attribution
10. สง. มั่นใจได้อย่างไรว่า มีความเข้าใจผลกำไรขาดทุนทั้งหมดของธนาคารว่ามาจากธุรกรรมใด รวมถึงกำไรขาดทุนที่เกิดจากธุรกรรมซับซ้อน
11. สง. เข้าใจหรือไม่ว่ากำไรขาดทุนจำนวนสูงที่เกิดขึ้นในวันแรกของการทำธุรกรรมมาจากไหนและสมเหตุสมผลหรือไม่
11.1 กำไรขาดทุนทำให้สง.เข้าใจความเสี่ยงในการทำธุรกรรมเพราะกำไรขาดทุนเป็นผลจากการรับความเสี่ยง ดังนั้นการทำความเข้าใจว่ากำไรขาดทุนมาจากส่วนใดเป็นสิ่งสำคัญสำหรับสง. โดยเฉพาะการทำธุรกรรมที่มีความซับซ้อนมากๆ
11.2 สง. ควรพิจารณา กำไรขาดทุนจำนวนสูงที่เกิดขึ้นในวันแรกของการทำธุรกรรม และ กำไรขาดทุนจำนวนสูง ที่เกิดจากการยกเลิกหรือแก้ไขธุรกรรมว่ามีเหตุผลเพียงพอควรทำการวิเคราะห์หาสาเหตุหรือไม่

Reconciliations
12. สง. มั่นใจได้อย่างไรว่ามีการวางระบบการกระทบยอดที่เหมาะสมและสามารถนำไปใช้งานได้อย่างมีประสิทธิภาพ
12.1 การกระทบยอดเป็นการควบคุมที่จำเป็นเพื่อให้มั่นใจได้ว่าฐานะด้าน ต่างๆ ถูกต้องตรงกันในทุกระบบของ สง. เช่น การกระทบยอดระหว่าง Front office , Back office และ Risk Management รวมถึงการยืนยันยอดกับ Custodians / Nostro account / ตลาดหลักทรัพย์ และ Broker สง. ควรมีการออกแบบกระบวนการในการสอบยันเพื่อป้องกันไม่ให้มีช่องว่างหรือจุดบกพร่องที่มีนัยสำคัญ และระบบที่ดีควรระบุถึงสาเหตุที่มีการกระทบยอดไม่ตรงกันว่ามาจากที่ใดเพื่อให้ทำการตรวจสอบและปรับปรุงแก้ไขให้ถูกต้อง
12.2 ควรกำหนดระยะเวลาที่ส่วนงานไม่สามารถหาสาเหตุของการกระทบยอดที่ไม่ตรงกันเป็นตัวชี้วัดผลการปฏิบัติงาน เพื่อส่งเสริมให้มีการควบคุมการกระทบยอดให้มีความถูกต้องรัดกุม

Confirmations
13. สง. มีการวางขั้นตอนระบบการยืนยันยอด (Confirmation) และระบบควบคุมเพื่อลดความเสี่ยงที่เกิดจากรายการที่ไม่มีการยืนยัน (Unconfirmed trade) อย่างไร
14. สง. มั่นใจได้อย่างไรว่าข้อมูลผู้บริหารมีรายละเอียดเพียงพอที่จะระบุถึงความเสี่ยงที่เกิดจาก Outstanding confirmation
14.1 การทำธุรกรรมระหว่าง สง. กับคู่ค้าควรมีการยืนยันเพื่อให้มั่นใจว่า Position ที่บันทึกในระบบของ สง. ถูกต้อง รวมถึงธุรกรรมระหว่างหน่วยงานภายในสง. ด้วย อย่างไรก็ดี สง.ควรมีระบบสืบค้น (Track) และวิเคราะห์รายการ Outstanding confirmation พร้อมทั้งกำหนดขั้นตอนการนำเสนอถึงผู้บริหารระดับสูงหากหน่วยงานที่เกี่ยวข้องไม่สามารถปฏิบัติได้ตาม Service level agreement
14.2 สง. ควรกำหนดให้มี Confirmation ระหว่าง Back office ของ สง. กับ Back office ของคู่ค้าโดยตรง (ไม่ควรผ่าน Front office)
14.3 หาก สง. อยู่ระหว่างขั้นตอนรอเอกสาร Confirmation ฉบับสมบูรณ์ อาจใช้ขั้นตอนการยืนยันเบื้องต้นด้วยวาจาซึ่งถือเป็นเครื่องมือที่มีประโยชน์เช่นกัน เช่นการยืนยันผ่านทางโทรศัพท์ระหว่างฝ่ายงานปฏิบัติการ
14.4 สง. ควรให้ความสนใจกับ Confirmation สำหรับธุรกรรม OTC ซึ่งที่มีลักษณะเฉพาะที่อาจจะก่อให้เกิดความเสี่ยงเพิ่มขึ้นกว่าธุรกรรมปกติ เช่น ธุรกรรมที่ไม่มีการกำหนดให้ส่งมอบหลักประกัน หรือเรียก Margin ระหว่างกันก่อนครบกำหนดสัญญา เป็นต้น

Margining collateralization and cash management
15. สง. มั่นใจได้อย่างไรว่าขั้นตอนการเรียกหรือวาง Margin นำมาใช้ปฏิบัติได้อย่างเหมาะสม และการเปลี่ยนแปลง Margin แต่ละครั้งมีการสอบยันกับฐานะที่เกี่ยวข้องในการบันทึกบัญชี
15.1 ธุรกรรมที่มียอดคงค้างจำนวนสูงจะมีการเรียกหรือวาง Margin หรือหลักประกันที่สูงขึ้นเช่นกัน ดังนั้น สง. ควรมีระบบการสอบยันการเรียกหรือวาง Margin หรือหลักประกันเพื่อให้มั่นใจได้ว่าการเรียกหรือวาง Margin และสัมพันธ์กับ Position ในบัญชี ถูกต้องตรงกัน
15.2 สง. ควรมีการวิเคราะห์ที่มาของ Gross และ Net cash-flow และเข้าใจว่ารายการดังกล่าวอยู่ในส่วนใดของข้อบังคับ ฐานะและ รายงานกำไรขาดทุน เช่น ถ้ามี Net cash- flow เกิดขึ้นต้องดูว่า Net cash-flow นั้นถูก Offset โดยรายการใด เช่น Unrealized gain/loss ที่เป็น Unmargined/Uncollaterized gain/loss จากรายการใด

Segregation of duties and IT security
16. สง. มั่นใจได้อย่างไรว่ามีระบบ Access control ที่เหมาะสม และมาตรการรักษาความปลอดภัยที่ดี
17. สง.มีการแยกอำนาจหน้าที่เพื่อไม่ให้ User ที่มีเจตนาทุจริตทำความเสียหายแก่ สง.หรือไม่
17.1 สง.ควรพิจารณาว่ามีการดำเนินการด้าน IT security และ Access control อย่างเหมาะสมหรือไม่ เพื่อให้ User สามารถเข้าระบบเฉพาะที่เกี่ยวข้องกับงานตนเอง เช่น การแบ่งหน้าที่ของผู้จัดทำและผู้สอบทาน (Maker-checker) หรือ สามารถเข้าระบบที่ทำธุรกรรมเฉพาะที่ตนได้รับมอบอำนาจเท่านั้น สง.ควรพิจารณาทบทวนสิทธิในการเข้าระบบงานของพนักงานเป็นระยะๆ นอกจากนี้ควรให้ความสนใจกับขั้นตอนที่อาจเกิดความเสี่ยงจากการโอนย้ายหน้าที่ของพนักงานใน 3 หน่วยงานคือ Front office, Middle office และ Back office
17.2 ประเด็นที่ควรระวังเบื้องต้นคือ การใช้ Password ร่วมกันในการเข้าระบบ การใช้ Password ที่ง่ายต่อการเดา การควบคุมที่ทำได้ง่ายคือการให้ User เปลี่ยน Password เป็นระยะๆ และการสั่งระบบให้ Lock การเข้าระบบหากมีการใส่ Password ผิดกี่ครั้ง นอกจากนี้ควรมีการตรวจสอบได้ว่ามีการเข้าระบบนั้นๆ โดยส่วนงานใด เช่น เครื่องคอมพิวเตอร์ของ Front office เข้าระบบงานของ Back office สง. ควรส่งเสริมวัฒนธรรมการเก็บรักษา Password ของตนเองโดยไม่ให้มีการใช้ Password ร่วมกัน

Good Corporate Governance & Internal Audit

Good Corporate Governance & Internal Audit

ผมใคร่ขอเรียนย้ำต่อคณะกรรมการและท่านผู้บริหารของทุกองค์กร โดยเฉพาะอย่างยิ่งสถาบันการเงินอีกครั้งว่า ท่านทราบหรือยังครับว่า องค์กรของท่านมีจุดอ่อนในกระบวนการบริหาร การควบคุมความเสี่ยง และการตรวจสอบตามฐานความเสี่ยงที่ยังไม่ทำ Gap Analysis เพื่อการบริหารการจัดการที่ดี ตามหลัก COSO – ERM ระหว่างข้อสังเกตของ FSA ข้างต้น ในส่วนที่ประยุกต์ได้กับแนวทางการบริหารการจัดการขององค์กรของท่านที่เป็นอยู่ในปัจจุบัน หรือ ท่านแน่ใจอย่างสมเหตุสมผลอย่างไรว่า องค์กรของท่านมีกระบวนการควบคุมความเสี่ยงต่าง ๆ ตามนัยของข้อสังเกต FSA ซึ่งอยู่ในระดับที่ยอมรับได้แล้ว คือมีการกำหนด Risk Appetite และ Risk Tolerance โดยผ่านคณะกรรมการเรียบร้อยแล้ว และมีการปฏิบัติ และรายงานอย่างสม่ำเสมออยู่จริง

 

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

สวัสดีครับ ผมดีใจจังเลยที่วันนี้อินเตอร์เน็ตที่ผมใช้งานอยู่มันกลับมาเป็นปกติเหมือนเดิมแล้ว หลังจากที่ใช้ได้บ้าง ใช้ไม่ได้บ้างมาหลายสัปดาห์ เลยทำให้ที่ผ่านมา ผม update ข้อมูลได้ไม่ง่ายเลยครับ ก็ต้องขออภัยสำหรับผู้ที่สนใจติดตามเนื้อหาสาระใน article ต่าง ๆ ของ itgthailand แห่งนี้ด้วยครับ

สำหรับวันนี้ ผมจะกล่าวถึงขั้นตอนต่าง ๆ ของกระบวนการบริหารความเสี่ยงที่สามารถนำไปปฏิบัติงานได้จริง โดยจะอธิบายพร้อมกับแสดงแผนผัง/แผนภาพในแต่ละขั้นตอน เพื่อให้เข้าใจได้ง่ายขึ้น

เมื่อพูดถึงกระบวนการบริหารความเสี่ยง ซึ่งเป็นกระบวนการต่อเนื่อง มิใช่กระบวนการที่ทำเพียงครั้งเดียว เนื่องจากสภาพแวดล้อมขององค์กรมีการเปลี่ยนแปลงตลอดเวลา ผู้บริหารทั้งหลายจึงควรมั่นใจว่ามีการสอบทานความเสี่ยงต่าง ๆ อย่างสม่ำเสมอ และมีการควบคุมและจัดการความเสี่ยงที่เหมาะสม

กระบวนการบริหารความเสี่ยงประกอบด้วย 5 ขั้นตอนดังต่อไปนี้
1. การกำหนดวัตถุประสงค์ที่สอดคล้องกับกลยุทธ์/ยุทธศาสตร์ขององค์กร
2. การบ่งชี้และเข้าใจความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อการบรรลุวัตถุประสงค์ที่กำหนดไว้ขององค์กร

ขั้นตอนของการระบุปัจจัยเสี่ยงของหน่วยงาน (Risk Identification)
ขั้นตอนที่ 1 ระบุภารกิจอย่างเป็นทางการ (Mission Statement)
ซึ่งประกอบด้วยองค์ประกอบต่าง ๆ ดังนี้
– ชื่อหน่วยงาน
– คำบรรยายถึงภารกิจของหน่วยงาน
– ความจำเป็นของภารกิจต่อเป้าหมายขององค์กร
– ความสัมพันธ์ของวัตถุประสงค์ของภารกิจของหน่วยงานต่อเป้าหมายขององค์กร
– อื่น ๆ

ขั้นตอนที่ 2 ระบุโครงสร้างงาน (Working Structure)
การระบุโครงสร้างงานจะเขียนในรูปแบบของ Organization Chart ตามลักษณะของส่วนงานที่จำแนกไว้ภายในหน่วยงานนั้น ๆ ก็ได้ เช่น

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน (Work Breakdown Structure-WBS)
เป็นการระบุหน้าที่ที่จะต้องปฏิบัติ เพื่อให้ภารกิจของแต่ละส่วนงานบรรลุจุดมุ่งหมาย

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงานแต่ละหน้าที่
เป็นการระบุกิจกรรมย่อยของแต่ละหน้าที่ที่ต้องปฏิบัติเพื่อบรรลุวัตถุประสงค์

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยงหรืออันตรายต่าง ๆ ที่อาจเกิดขึ้นในกิจกรรม

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

3. ประเมินความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อวัตถุประสงค์ที่กำหนดไว้ การประเมินความเสี่ยงโดยพิจารณาถึงผลกระทบและโอกาสเกิดความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง(Risk Assessment)….ระดับโอกาสของผลกระทบจากความเสี่ยง
ขั้นตอนที่ 1 การพิจารณา ปัจจัยเสี่ยงรอบด้าน เพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 2 การพิจารณาปัจจัยรอบด้านเพื่อ ประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 3 วิธีการประเมินระดับของปัจจัยเสี่ยง
คือการนำผลการประเมินทั้งระดับโอกาสที่จะเกิดความเสี่ยง (Probability of Occurrence) และความรุนแรงของผลกระทบที่อาจเกิดจากปัจจัยเสี่ยง (Severity of impact) พิจารณาร่วมกันเพื่อประเมินระดับของปัจจัยว่าอยู่ในระดับสูง กลาง หรือต่ำ โดยมีวิธีการประเมินตามรายละเอียดในตาราง

ตารางการประเมินระดับของปัจจัยเสี่ยง

ตารางการประเมินระดับของปัจจัยเสี่ยง

การประเมินหรือวัดระดับการบริหารความเสี่ยง อาจจัดเป็น 5 ระดับ แทน 3 ระดับ ดังแสดงตามรูปได้ดังนี้

Level of Risk

Level of Risk

ขั้นตอนที่ 4 วิธีการจัดกลุ่มและจัดลำดับปัจจัยเสี่ยงของหน่วยงาน
คือการนำผลการประเมินในขั้นตอนที่ 3 มาจำแนกออกเป็นกลุ่ม และจัดลำดับปัจจัยเสี่ยงในแต่ละกลุ่ม โดยพิจารณาถึงความสัมพันธ์และความเสียหายที่อาจเป็นอุปสรรคต่อการปฏิบัติซึ่งเป็นหลักเกณฑ์สำคัญ ในการบริหารความเสี่ยงและสร้างความเติบโตอย่างยั่งยืนขององค์กร เพื่อเรียงลำดับความสำคัญของปัจจัยเสี่ยงจากสูงไปต่ำของหน่วยงานและองค์กร
– วิสัยทัศน์
– ภารกิจ
– ค่านิยมร่วม
– วัตถุประสงค์
– นโยบาย
– กลยุทธ์
– เป้าหมาย
– แผนงาน
– โครงการ
– การปฏิบัติงาน
– การวัดผลการปฏิบัติ
– การสอบทาน/การกำกับดูแล
– การปรับปรุง/พัฒนา

จากนั้นจัดลำดับของปัจจัยเสี่ยงในแต่ละกลุ่มแล้ว อาจบันทึกลงในตารางด้านล่าง เพื่อความสะดวกในการตรวจสอบหรือพิจารณาจัดลำดับใหม่ ก่อนบันทึกลงในแบบฟอร์มที่ใช้เป็นเอกสารหลัก ที่ต้องใช้รายงานอย่างเป็นทางการต่อไป

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม


4. กำหนดการจัดการความเสี่ยงที่ปฏิบัติอยู่ในปัจจุบัน โดยต้องทำการพิจารณาถึงการควบคุมเพิ่มเติม รวมทั้งความสัมพันธ์ของต้นทุนและผลประโยชน์ที่เกิดขึ้น
5. การติดตามผลและการรายงานความมีประสิทธิผลของกระบวนการและระบบการบริหารความเสี่ยง