Archive for กรกฎาคม, 2009

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

เมื่อมีการประเมินความเสี่ยงได้แล้วก็ต้องดำเนินการจัดการตอบสนองความเสี่ยงที่เกิดขึ้นเหล่านั้น การจัดการความเสี่ยงก็คือ กลยุทธ์หรือกิจกรรมที่กำหนดเพื่อจัดการความเสี่ยงให้สอดคล้องกับระดับที่องค์กรยอมรับได้

ผู้บริหารเป็นผู้กำหนดว่าจะประเมินค่าความเสี่ยงที่เชื่อมโยงกันได้อย่างไร การตอบสนองรวมถึงการหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยง และการยอมรับความเสี่ยง

วันนี้ผมจึงขอนำเสนอการตอบสนองความเสี่ยง (Risk Response) ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ที่ต้องพิจารณาหลังจากมีการประเมินความเสี่ยงตามที่ได้กล่าวไปในครั้งก่อนแล้ว

ในการพิจารณาการตอบสนองความเสี่ยง ผู้บริหารจะพิจารณาต้นทุนและผลประโยชน์และเลือกการตอบสนองที่นำมาซึ่งความน่าจะเกิด (Likelihood) ที่คาดหวังและผลกระทบภายในระดับความเสี่ยงที่ยอมรับได้ที่ปรารถนา

วัตถุประสงค์ของการตอบสนองความเสี่ยง
– ลดโอกาสเกิดความเสี่ยงและผลกระทบของความเสี่ยงให้เหลือน้อยที่สุด โดยการจัดการสาเหตุของความเสี่ยงอย่างมีประสิทธิภาพ หรือจัดการผลกระทบที่อาจจะเกิดขึ้นของความเสี่ยง

– การลดผลกระทบของความเสี่ยง ซึ่งโดยมากมักใช้ระบบการเตือนภัยหรือระบบการบริหาร พร้อมด้วยการจัดทำแผนฉุกเฉิน หรือแผนฟื้นฟู

– การเพิ่ม/สร้าง หรือจัดการโอกาสเกิดความเสี่ยงและผลกระทบจากความเสี่ยง เพื่อให้ได้ผลลัพธ์ที่ดีขึ้น

กลยุทธ์ในการตอบสนอง/บริหารความเสี่ยง
การตอบสนองความเสี่ยงแบ่งเป็น 4 ประเภท ดังนี้
1. การหลีกเลี่ยงความเสี่ยง (Risk avoidance)
หมายถึง การเลิกหรือหลีกเลี่ยงการกระทำและเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น ในงานที่องค์กรไม่ถนัด อาจหลีกเลี่ยงโดยการเลิกหรือลดการกระทำให้เหลือเท่าที่จำเป็นเพื่อการเรียนรู้ การเพิ่มการใช้บริการจากบุคคลภายนอก หรือการทำสัญญารับช่วงเหมาต่อ เป็นต้น

กล่าวโดยสรุป การหลีกเลี่ยงความเสี่ยง คือ การไม่ยอมรับความเสี่ยง และอาจทำให้ต้องเปลี่ยนวัตถุประสงค์ของแผนงานหรือยกเลิกแผนงานโครงการนั้นเสีย

2. การควบคุม และการจัดการกับความเสี่ยง (Risk Control)
หมายถึง การหาวิธีการควบคุมสาเหตุหรือต้นเหตุของปัจจัยเสี่ยงและกำหนดวิธีการจัดการที่ เหมาะสมเพื่อขับเคลื่อนให้แผนงานและโครงการตามกิจกรรมที่กำหนดไว้ดำเนินการไปสู่เป้าประสงค์ได้ในเวลาที่กำหนด หากผู้ที่เกี่ยวข้องไม่อาจดำเนินการได้ต้องรายงานให้ผู้บังคับบัญชาทราบว่าไม่อาจดำเนินการต่อไปได้

การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย หรือการลดทั้ง 2 ด้านพร้อมกัน ก็เป็นการควบคุมและการจัดการความเสี่ยงแบบหนึ่ง การลดความเสี่ยงที่สำคัญคือ การจัดระบบการควบคุมเพื่อป้องกันหรือค้นพบความเสี่ยงเฉพาะวัตถุประสงค์นั้นอย่างเหมาะสมและทันกาลมากขึ้น

รวมถึงการกำหนดแผนสำรองในเหตุฉุกเฉิน (Contingency Planning) ได้แก่ การกำหนดแผนฉุกเฉินสำหรับความเสี่ยงที่คาดการณ์ไว้ล่วงหน้าแล้ว (Known risk) เช่น แผนฉุกเฉินเมื่อไฟฟ้าดับ และเครื่องคอมพิวเตอร์จะไม่ทำงาน ฯลฯ และการควบคุมโดยเครื่องจักรอัตโนมัติ การใช้ระบบการรายงานและการใช้เทคโนโลยีสารสนเทศเพื่อการบริหารและควบคุมที่ดี

3. การกระจายความเสี่ยง (Sharing)
หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย โดยการแบ่งโอน การหาผู้รับผิดชอบร่วมในความเสี่ยง การจัดประกันภัย การกระจายความเสี่ยง (Diversify the risk) ออกไปในหลายกิจกรรม หลายผลิตภัณฑ์ หลายตลาด เป็นต้น

หรือถ้าหากแผนงาน/โครงการภายใต้กลยุทธ์มีความเสี่ยงเกินกว่าจะยอมรับได้ หรือเกิดความล้มเหลว ทางฝ่ายบริหารขององค์กร ก็อาจจะให้น้ำหนักแผนงานหรือโครงการอื่น ๆ ภายใต้กลยุทธ์เดียวกันนั้น หรือให้น้ำหนักกับแผนงานอื่น ภายใต้กลยุทธ์เดียวกันหรือกลยุทธ์อื่นที่เหมาะกว่าก็ได้

4. การยอมรับความเสี่ยง (Acceptance)
เป็นการยอมรับ โดยใช้วิธีการเดิมต่อไปในการจัดการกับความเสี่ยง หมายถึง กิจกรรมของแผนงานนั้น ๆ มีความเสี่ยงในระดับหนึ่ง แต่ องค์กร รวมทั้งเจ้าของแผนงานสามารถควบคุมและจัดการได้ และสามารถผลักดันกิจกรรมและขั้นตอนต่าง ๆ ของแผนงานนั้น ๆ ไปสู่เป้าประสงค์ได้ในเวลาที่กำหนด หรืออาจอธิบายการยอมรับความเสี่ยงได้ว่า การไม่กระทำการใด ๆ เพิ่มเติม กรณีนี้ใช้กับความเสี่ยงที่มีสาระสำคัญน้อย ความน่าจะเกิดน้อย หรือเห็นว่ามีต้นทุนในการบริหารความเสี่ยงสูง

การตอบสนองแบบหลีกเลี่ยงนั้น คือ การยุติกิจกรรมที่ทำให้ความเสี่ยงเพิ่มขึ้น การตอบสนองแบบลดความเสี่ยงนั้นจะลดความน่าจะเกิดหรือผลกระทบที่จะเกิดของเหตุการณ์นั้นหรือทั้งสองอย่าง การกระจายความเสี่ยงจะลดความเสี่ยงที่มีความเป็นไปได้ที่จะเกิดและมีผลกระทบโดยโอนความเสี่ยงหรือในอีกแง่หนึ่งคือ การกระจายสัดส่วนของความเสี่ยง ส่วนการยอมรับความเสี่ยงนั้นจะไม่มีการกระทำอะไรที่มีผลต่อความเป็นได้ที่จะเกิดหรือผลกระทบ ในส่วนของ ERM สำหรับแต่ละความเสี่ยงที่มีนัยสำคัญ องค์กรควรพิจารณาศักยภาพของการตอบสนอง จากขอบเขตของลักษณะการตอบสนองแต่ละประเภท

การหลีกเลี่ยงการตอบสนอง ทำให้คิดว่าความคุ้มค่าหรือต้นทุนของการตอบสนองที่มีมากเกินไปกว่าผลประโยชน์ที่ปรารถนา หรือเงื่อนไขที่ไม่มีการตอบสนองถูกแยกแยะ ในแง่ที่จะลดผลกระทบและความน่าจะเกิด (Likelihood) เพื่อเข้าสู่ระดับที่ยอมรับได้ การลดลงและการกระจายการตอบสนองจะช่วยลดความเสี่ยงส่วนที่เหลือ ไปสู่ระดับซึ่งเข้ากันได้กับระดับความเสี่ยงที่ยอมรับได้ขององค์กร ในขณะที่การยอมรับการตอบสนอง ทำให้เห็นว่าความเสี่ยงที่เป็นธรรมชาติเข้ากันได้กับระดับความเสี่ยงที่ยอมรับได้

สำหรับความเสี่ยงจำนวนมาก จะเห็นเงื่อนไขการตอบสนองที่เหมาะสมได้ชัดและถูกยอมรับอย่างดี ตัวอย่างเช่น เงื่อนไขการตอบสนองเหมาะสมสำหรับการสูญเสียประโยชน์จากการการคิดคำนวณเป็นการพัฒนาแผนธุรกิจอย่างต่อเนื่อง สำหรับความเสี่ยงอื่น ๆ เงื่อนไขที่มีอยู่อาจไม่ปรากฏให้เห็นนั้น ต้องการกิจกรรมที่มีการกำหนดขอบเขตที่ชัดเจนมากขึ้น ตัวอย่างเงื่อนไขการตอบสนองที่สัมพันธ์กับการบรรเทาผลกระทบของกิจกรรมของคู่แข่งในเรื่องค่านิยมของตราสินค้า อาจต้องการการวิจัยทางการตลาดและการวิเคราะห์

เมื่อรู้แล้วว่าการตอบสนองความเสี่ยงนั้นมีกี่ประเภท แล้วเราจะมีแนวทางในการกำหนดกลยุทธ์ในการจัดการกับความเสี่ยงได้อย่างไร ก็คงต้องติดตามกันในครั้งต่อไปนะครับ

 

แผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป

ครั้งที่แล้วผมได้นำเสนอกรอบการตรวจสอบเรื่องการทุจริต และตั้งใจว่าจะตามด้วยสัญญาเตือนภัยของเหตุการณ์ที่อาจก่อให้เกิดการทุจริต (Red Flag) ได้ อย่างไรก็ดี เพื่อให้ท่านผู้อ่านที่ติดตามเรื่องการตรวจสอบทางด้าน IT และ Non – IT Audit ได้ทราบถึงหัวข้อของแผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป ผมจึงจะขอนำเสนอและอธิบายด้วยแผนภาพ เพื่อให้เกิดความเข้าใจและติดตามได้โดยง่าย

Internal Auditing Standards and Auditors & CEA

Internal Auditing Standards and Auditors & CEA

มาถึงจุดนี้ ท่านผู้อ่านโดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบภายในและผู้บริหารงานตรวจสอบภายในก็ยังไม่เห็นภาพการแบ่งแยก งานการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ที่ชัดเจน ทั้งนี้เพราะการเข้าใจในลักษณะการปฏิบัติงานของหน่วยงานรับตรวจ รวมทั้งขอบเขตและเป้าประสงค์ในการตรวจสอบ เป็นเรื่องจำเป็นที่จะต้องทำความเข้าใจกระบวนการประมวลข้อมูลด้วยคอมพิวเตอร์ เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า หากผู้ตรวจสอบได้รับมอบหมายให้ปฏิบัติงานตรวจสอบภายใน ในลักษณะที่เป็น manual ซึ่งไม่ใช่เป็นงานทางด้าน IT Audit ผู้ตรวจสอบก็ยังจำเป็นจะต้องศึกษาความน่าเชื่อถือของข้อมูลและสารสนเทศ ที่ประมวลโดยระบบคอมพิวเตอร์ก่อนวางแผนการตรวจสอบในขั้นตอนต่อไป

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

ในขั้นตอนนี้ สำหรับผู้ตรวจสอบที่ต้องการตรวจสอบภายในที่ไม่เกี่ยวข้องกับทางด้าน IT Audit อาจศึกษาแนวทางการตรวจสอบภายในของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ที่ร่วมกับ ตลาดหลักทรัพย์แห่งประเทศไทย จัดทำหนังสือแนวทางการตรวจสอบภายในขึ้นมา 2 เล่ม ที่ครอบคลุมภาพรวมของการตรวจสอบภายใน กระบวนการตรวจสอบ เทคนิคการตรวจสอบ และการบริหารงานตรวจสอบภายใน ซึ่งจัดทำได้ดีและเข้าใจได้ง่ายที่ผู้ตรวจสอบและผู้บริหารงานตรวจสอบ โดยเฉพาะงานตรวจสอบที่ไม่เกี่ยวข้องกับ IT Audit หรือเกี่ยวข้องในลักษณะเป็นพื้นฐานเบื้องต้น สามารถใช้หนังสือดังกล่าวในการศึกษาเพื่อปฏิบัติงานตรวจสอบภายในได้เป็นอย่างดี

ผมเองจะมุ่งให้คำอธิบายและแนะนำแนวทางการตรวจสอบที่ผสมผสานระหว่าง IT Audit และ Non – IT Audit ที่อาจไม่ได้กล่าวไว้ในหนังสือแนวทางดังกล่าวข้างต้น เพื่อให้เกิดความเข้าใจในอีกมุมมองหนึ่ง

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

เพื่อเป็นการสะท้อนถึงแนวทางดังกล่าว ผมจึงจะขอนำเสนอคำอธิบายในรูปแบบเป็น Slide ที่สามารถพิจารณาในรายละเอียดและสร้างความเข้าใจได้ลึกซึ้ง และเป็นกระบวนการที่ดีมากกว่าคำอธิบายเป็นลายลักษณ์อักษร ยกเว้นในกรณีจำเป็นที่เห็นว่าจะเป็นประโยชน์ต่อท่านผู้บริหารงานตรวจสอบภายใน และผู้ปฏิบัติงานการตรวจสอบภายใน ผมจึงจะยกตัวอย่างและอธิบายในรายละเอียด ซึ่งเป็นลายลักษณ์อักษรมากขึ้น

วันนี้ เราลองมาดูแผนภาพที่แสดงเป็น Slide ต่าง ๆ ให้ท่านได้ดู ซึ่งพยายามที่จะจัดลำดับให้ท่านผู้อ่านได้ติดตามและทำความเข้าใจได้ง่าย ดังที่เสนอในแผนภาพข้างต้นตามลำดับนะครับ

Risk-based Audit Approach and Auditors

Risk-based Audit Approach and Auditors

สำหรับการตรวจสอบการปฏิบัติการ โดยเฉพาะอย่างยิ่งการตรวจสอบที่เกี่ยวกับความเสี่ยงทางด้านผู้บริหาร และพนักงาน (People Risk) กระบวนการดำเนินงาน (Process Risk) และเทคโนโลยี (Technology Risk) ซึ่งเป็นเรื่องที่มีความสำคัญมาก โดยเฉพาะอย่างยิ่ง ธนาคารแห่งประเทศไทย ก็ให้ความสำคัญและให้น้ำหนักของกระบวนการตรวจสอบด้าน Operational Risk ซึ่งจะมีผลอย่างสำคัญต่อ Management Risk ที่มีผลกระทบต่อองค์กรในวงกว้าง และบางกรณีมีผลกระทบไม่เฉพาะหน่วยงานใด หน่วยงานหนึ่ง แต่มีผลกระทบต่อระบบงานและสังคมในภาพใหญ่เลยทีเดียว

Understand the Control Environment and Flow of Transactions

Understand the Control Environment and Flow of Transactions

สำหรับการตรวจสอบและประเมินศัยกภาพการปฏิบัติตาม Compliance ขอให้ท่าน CAE และผู้ตรวจสอบทุกท่าน ได้โปรดอย่าลืมว่า การบริหารเพื่อสร้างคุณค่าเพิ่มในลักษณะของ GRC ซึ่งเป็นกระบวนการขับเคลื่อนระบบบริหารแบบบูรณาการทั่วทั้งองค์กร ที่เรียกว่า Integrity – Driven Performance และเป็น A New Strategy for Success ผ่านกระบวนการ GRC ซึ่งเป็นแนวทางปฏิบัติของการบริหารยุคใหม่ที่เปลี่ยนคำจำกัดความในการบรรลุเป้าหมาย โดยมุ่งเน้น Stakeholders แทน Shareholders และได้เพิ่มการปฏิบัติตามมาตรฐาน และการสร้างจริยธรรมทางธุรกิจในการบริหารอย่างเป็นกระบวนการ ตามที่ผมได้กล่าวไว้ในหัวข้อ GRC ในวันนี้และในวันต่อ ๆ ไปนั้น ขอให้ท่านผู้บริหารงานตรวจสอบได้ลองติดตามดูว่า หากท่านจะวางแผนการตรวจสอบการบริหารงานยุคใหม่ที่ใช้กรอบของ GRC เป็นหลักแล้วละก็ ท่านควรจะวางแผนและปฏิบัติงานตรวจสอบเช่นใดจึงจะเหมาะสมนะครับ

 

GRC เป็นกลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance

Governance ในความหมายของ GRC ได้รวมถึงหลักทางด้านการปฏิรูปการบริหารแบบสอดประสานบูรณาการของ GRC ที่สำคัญมาก ก็คือ

1. การปกป้องและสร้างชื่อเสียง ความไว้วางใจและการสร้างคุณค่าเพิ่มขององค์กร จากการเน้นบริหารทรัพยากรที่ไม่มีตัวตน (Intangible Assets) ที่ยังมีความเข้าใจ การปฏิบัติที่แตกต่างกันมาก

2. การบริหารที่สอดคล้องกับความต้องการ ความคาดหวังใหม่ ๆ ของผู้มีผลประโยชน์ร่วม (Stakeholders) แทนการเน้นผู้ถือหุ้น (Shareholders) ซึ่งเน้นการทำกำไรที่ขาดความยั่งยืน ซึ่งไม่เป็นไปตามหลักการของ Governance

3. การขับเคลื่อนคุณค่าหรือ “Value” และการบริหาร/การจัดการการปฏิบัติงานที่ดี ตามแนวทางการเติบโตอย่างยั่งยืนที่เกี่ยวกับบุคลากร (People) กระบวนการทำงาน (Process) และเทคโนโลยีทางด้านสารสนเทศ (Technology) ที่ต้องเน้นความเป็นรูปธรรมในเรื่องของจรรยาบรรณ (Ethics) ที่เกี่ยวกับ Governance การบริหารความเสี่ยง (Risk Management) และการปฏิบัติตามมาตรฐาน และกฎเกณฑ์ของสังคม ทั้งภายนอกประเทศ ภายในประเทศ และระดับองค์กร

ความหมายของคำว่า Ethics และ Compliance (C) นั้น จำเป็นจะต้องทำความเข้าใจความหมายที่มีการปฏิรูปที่มีความชัดเจนและอาจแตกต่างจากเดิม ซึ่งผมจะอธิบายในตอนต่อ ๆ ไปให้มีความละเอียดและชัดเจนมากยิ่งขึ้นนั้น จะเกี่ยวข้องกับการพิจารณาการตัดสินใจในการบริหารการจัดการว่าผิดหรือถูก ที่อยู่บนพื้นฐานว่า องค์กรมีเป้าหมายหลักที่ Stakeholders หรือ Shareholders เป็นสำคัญ

4. การบริหารองค์กรในภาวะวิกฤติ และการแก้ไขภาวะวิกฤติให้สู่ภาวะปกติโดยเร็ว อันเกิดจากผลกระทบทางลบตามที่กล่าวใน ข้อ 1 – 3 ข้างต้น โดยเน้นชื่อเสียง ความไว้วางใจ การบริหารแบบบูรณาการในการสร้างคุณค่าเพิ่มที่เกิดจากจุดอ่อนหรือการบริหารความเสี่ยงที่ล้มเหลว หรือขาดประสิทธิภาพในการดำเนินการ ไม่เป็นไปตามความคาดหวังของผู้มีผลประโยชน์ร่วม (Stakeholders)

GRC A New Strategy for Success

GRC A New Strategy for Success

นอกจากนี้ องค์กร โดยเฉพาะอย่างยิ่ง คณะกรรมการ ผู้บริหาร ต้องมีความสามารถในการสร้างศักยภาพทางด้าน GRC โดยการขับเคลื่อนองค์กร ปฏิบัติงานได้อย่างสอดคล้องกับความต้องการของผู้กำกับ กฎเกณฑ์ และการเพิ่มความต้องการให้องค์กรปฏิบัติตามมาตรฐานและกฎหมายที่นำมาใช้ใหม่ ๆ และผลกระทบที่เป็นความเสี่ยงทางด้านต่าง ๆ ที่เพิ่มขึ้นขององค์กรได้อย่างเป็นรูปธรรม

การบริหารและการจัดการที่ดีในมุมมองของการบริหารเพื่อการเติบโตอย่างยั่งยืน ตามหลักการของ GRC ซึ่งพิจารณาได้ว่ามีความสำคัญยิ่งนั้น แต่ละองค์กรมีประสบการณ์และมีความสามารถในการรักษาเสถียรภาพที่ดีของการบริหารแบบ GRC ตามแนว Concept ปัจจุบันในความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders) ได้แตกต่างกัน ทำให้หลายองค์กรทั้งภายในและต่างประเทศ ต่างก็มีปัญหาตามมาได้มากมาย ตั้งแต่การเสียชื่อเสียง ความไม่น่าเชื่อถือที่ลดลงมา ไปจนกระทั่งต้องปิดกิจการหรือล้มละลายไปในที่สุด

Governance built on principles of ethiscs, independence, transparency, integrity and accountability

Governance built on principles of ethiscs, independence, transparency, integrity and accountability

แนวทางใหม่ในการบริหารตามแบบของ GRC ซึ่งเป็นการเน้นการบริหารแบบสอดประสานและเป็นบูรณาการ เพื่อสร้างศักยภาพ ความสามารถ เพิ่มประสิทธิภาพ เพิ่มประสิทธิผลจากการดำเนินงานที่มีกระบวนการทำงานทั้งองค์กรเกี่ยวพันกัน ตั้งแต่มุมมองของวิสัยทัศน์ใหม่ที่เน้นผู้มีผลประโยชน์ร่วม การตั้งวัตถุประสงค์โดยรวมกับองค์กรที่สอดประสานกันในลักษณะ P + P + T คือ People + Process + Technology :
P – การกำหนดและปรับปรุงกลยุทธ์และนโยบาย รวมทั้งวิธีการปฏิบัติงานที่ชัดเจน เป็นรูปธรรม มีการติดตามดูแลการบริหารอย่างใกล้ชิด โดยคณะกรรมการ และผู้บริหาร
P – การปรับปรุงให้กระบวนการบริหารมีคุณภาพดีอยู่เสมอ
T – การบริหารจัดการข้อมูลและสารสนเทศที่เกี่ยวข้องด้านหลัก ๆ คือ Input + Process + Output + Authorization และการปฏิบัติตามมาตรฐานที่เกี่ยวข้องกับ Information Security คือ CIA เป็นสำคัญ

การเชื่อมโยงกระบวนการสร้าง GRC เข้ากับระบบปฏิบัติการ (Performance) เป็นการสร้างคุณค่าเพิ่มอย่างยั่งยืน เพราะองค์กรที่ใช้หลักการของ GRC จะพิจารณาผลประโยชน์ของ Stakeholders แทน Shareholders เป็นสำคัญ อีกทั้งกลยุทธ์ นโยบาย แผนงานไปสู่การปฏิบัติที่เป็นรูปธรรมจากจิตสำนึก (Spiritual) ทั่วทั้งองค์กร เพื่อการขับเคลื่อนคุณค่าและสร้างความเชื่อมั่น พร้อม ๆ กับการสร้างวัฒนธรรม และจริยธรรมที่เหมาะสมให้กับองค์กรเป็นสิ่งที่จำเป็นอย่างยิ่งยวด

โปรดติดตามตอนต่อไปนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

เมื่อท่านผู้บริหาร และท่านผู้อ่านทั้งหลาย ได้ทราบถึงแนวคิดความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ที่จะเกิดขึ้นของปัจจัยหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบต่อความไม่สำเร็จขององค์กร เพื่อจะนำมาประเมินค่าความเสี่ยงและโอกาสที่จะเกิดขึ้น รวมถึงการพิจารณาความเสี่ยงที่มีอยู่และความเสี่ยงส่วนที่เหลือ โดยการใช้ข้อมูลที่สังเกตได้ วิธีการและเทคนิคเชิงปริมาณและคุณภาพไปแล้วนั้น วันนี้ผมจะพาท่านไปสู่ขั้นตอนของการประเมินความเสี่ยงกันครับ

ขั้นตอนการประเมินความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง

จากความเสี่ยงที่ได้ระบุไว้ข้างต้น จะนำรายการความเสี่ยงทั้งหมดมาพิจารณาเพื่อประเมินระดับความเสี่ยง

1. การประเมินระดับความเสี่ยง (Risk Score)
1.1. การประเมินความเป็นไปได้ (Likelihood)
การประเมินความเป็นไปได้ พิจารณาได้ในรูปแบบของความถี่ (Frequency) หรือโอกาสที่จะเกิดความเสี่ยง โดยแบ่งออกเป็น 4 ระดับ ดังนี้

การประเมินค่าความเป็นไปได้

การประเมินค่าความเป็นไปได้

1.2. การประเมินผลกระทบ (Impact)
การประเมินผลกระทบของความเสี่ยง ทั้งที่เป็นตัวเงินและไม่เป็นตัวเงินที่อาจเกิดขึ้นมีดังนี้
ผลกระทบด้านการเงิน เป็นผลกระทบหรือความเสียหายที่เกิดจากความเสี่ยง และสามารถประเมินค่าเป็นตัวเงินได้ ได้แก่
– ผลกระทบจากค่าความเสียหายในด้านต่าง ๆ ต่อทรัพย์สิน
– ผลกระทบจากการลงทุน/การร่วมลงทุน
– ผลกระทบค่าใช้จ่ายการลงทุนหรือการบรรลุวัตถุประสงค์ในระดับต่าง ๆ
– ผลกระทบต่อการเบิกจ่ายงบประมาณ

ผลกระทบต่อการดำเนินธุรกิจและความสามารถการแข่งขันทางธุรกิจหรือการบรรลุพันธกิจและวิสัยทัศน์ขององค์กร เป็นผลกระทบที่มีความเสียหายกับการดำเนินงานขององค์กรในภาพโดยรวม รวมถึงความสามารถในการแข่งขันทางธุรกิจ (ถ้ามี)

อย่างไรก็ดี ผลกระทบตามหัวข้อนี้ โดยทั่วไปจะมีผลต่อระบบการดำเนินงานต่อรูปแบบการดำเนินธุรกิจขององค์กร ได้แก่
– ผลกระทบจากปัจจัยภายนอก นโยบายรัฐบาล และกฎหมาย
– ผลกระทบจากการดำเนินงานตามแผนงาน/โครงการ

ผลกระทบด้านชื่อเสียงขององค์กร เป็นความเสียหายต่อชื่อเสียง ไม่ว่าจะเป็นผลจากการดำเนินงานทั้งทางตรงและทางอ้อม ที่ส่งผลต่อภาพพจน์และความเชื่อถือขององค์กรหรือขององค์กร

การประเมินระดับความเสี่ยง ซึ่งจะแบ่งระดับของความเสี่ยงออกเป็น 5 ระดับ และมีค่าความเสี่ยงรวมเท่ากับ 25 คะแนน (Level of Risk) โดยการนำผลที่ได้จากการประเมินความเป็นไปได้และผลกระทบ มาจัดทำแผนผังประเมินความเสี่ยง (Risk Assessment Matrix) อย่างไรก็ดี ระดับการบริหารความเสี่ยงอาจจะแบ่งออกเป็น 4 ระดับหรือ 3 ระดับก็ได้ ขึ้นอยู่กับการจัดกลุ่มความเสี่ยงตามที่องค์กรเห็นสมควร

Risk Assessment Matrix

Risk Assessment Matrix

จาก Risk Assessment Matrix นำรายการความเสี่ยงของแต่ละระดับความเสี่ยงที่ได้จัดเรียงลำดับไว้ (Risk Ranking) มาวิเคราะห์เปรียบเทียบกับเกณฑ์ความสามารถในการยอมรับความเสี่ยง

เกณฑ์ความสามารถในการยอมรับความเสี่ยง

เกณฑ์ความสามารถในการยอมรับความเสี่ยง

เกณฑ์ความสามารถในการยอมรับความเสี่ยง

* ระดับความเสี่ยงปานกลาง การควบคุมความเสี่ยงต้องมีการติดตามผลและประเมินผลต่อความเสี่ยงที่เกิดขึ้นจริงอย่างมีประสิทธิภาพ/ประสิทธิผล และมีผู้รับผิดชอบโดยตรง เช่น มีแผนปฏิบัติคู่มือปฏิบัติงาน มีการมอบหมายที่ชัดเจน ฯ

2. ความสำคัญของการควบคุมในปัจจุบัน
ในการจัดการความเสี่ยง ผู้รับผิดชอบต้องมีการรวบรวม ประมวลข้อมูล และศึกษาระบบการควบคุมภายใน หรือการบริหารจัดการที่ได้มีการปฏิบัติจริงในปัจจุบัน (ระดับการควบคุม) เพื่อให้การดำเนินงานในขั้นต่อไปเกิดประสิทธิภาพ

การควบคุม พิจารณาได้จาก
– หน้าที่ความรับผิดชอบของคณะกรรมการและหน่วยงานที่เกี่ยวข้อง
– แผนงาน/โครงการ
– แผนปฏิบัติงานประจำ
– งานของคณะกรรมการบริหารของ องค์กร หรือคณะทำงานภายในหน่วยงาน
– ฯลฯ

การพิจารณาการควบคุมมีวัตถุประสงค์เพื่อให้การจัดการความเสี่ยง และการจัดทำแผนบริหารความเสี่ยงในขั้นตอนต่อไปไม่เกิดความซ้ำซ้อน และสร้างมูลค่าเพิ่มในการบรรลุพันธกิจก้าวสู่วิสัยทัศน์ขององค์กร ซึ่งสามารถใช้เป็นข้อมูลประกอบการจัดทำรายละเอียดแผนบริหารความเสี่ยงขององค์กรได้ดี

องค์ประกอบสำคัญของการประเมินความเสี่ยง

องค์ประกอบสำคัญของการประเมินความเสี่ยง

 

การประเมินความพร้อมทางด้านการบริหารความเสี่ยงที่เกี่ยวข้องกับความมั่นคงของชาติกับความเข้าใจในเรื่อง Risk Appetite (ต่อ)

เพื่อสร้างความเข้าใจที่ดีในกระบวนการบริหารความเสี่ยงและการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่มีความสำคัญยิ่งของทุกองค์กร โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับความมั่นคงของชาตินั้น เป็นเรื่องที่น่าจะมีการสื่อสารและทำความเข้าใจให้ตรงกัน

การจัดการความเสี่ยงของประเทศ ได้ถูกนำมาประยุกต์ในการกำหนดกลยุทธ์และกิจกรรมทั้งหมดของบ้านเมือง อันจะช่วยให้ผู้บริหารความมั่นคงของประเทศสามารถระบุ ประเมินและบริหารความเสี่ยงเมื่อต้องเผชิญอย่างคาดไม่ถึง และสนับสนุนการสร้างและรักษาค่านิยมของประเทศไทย การจัดการความเสี่ยงของประเทศ จะเป็นตัวสนับสนุนความสามารถในการจัดการความเสี่ยงและกลยุทธ์ให้เป็นแนวทางเดียวกัน เชื่อมโยงความเสี่ยงกับความเติบโตและผลตอบแทน ส่งเสริมการตัดสินใจตอบสนองต่อความเสี่ยง ลดความตื่นตระหนักและความสูญเสียในการปฏิบัติการ ระบุและบริหารความเสี่ยงระหว่างประเทศได้ สามารถตอบสนองความเสี่ยงที่ซับซ้อนอย่างบูรณาการได้ สามารถฉกฉวยโอกาสและมีการลงทุนภายในและระหว่างประเทศอย่างเหมาะสม
นานาประเทศ รวมทั้งประเทศไทยเราต้องเผชิญกับความไม่แน่นอน และความท้าทายสำหรับฝ่ายบริหารความมั่นคงของบ้านเมือง ก็คือการกำหนดระดับความไม่แน่นอนที่มีอยู่เพื่อเพิ่มคุณค่าให้กับประชาชนและ/หรือผู้มีผลประโยชน์ร่วม ความไม่แน่นอนที่เกิดขึ้นเป็นทั้งโอกาสและความเสี่ยงต่อศักยภาพและบั่นทอนหรือส่งเสริมคุณค่า การจัดการความเสี่ยงของประเทศ จึงเป็นการสร้างกรอบของงานเพื่อให้ผู้บริหารความมั่นคงของประเทศได้จัดการกับความไม่แน่นอน ความเสี่ยงและโอกาสเพื่อส่งเสริมความสามารถในการสร้างคุณค่าเพิ่มให้กับประเทศไทย และประชาชนหรือผู้มีผลประโยชน์ร่วม การบริหารความเสี่ยงจะช่วยให้แน่ใจอย่างสมเหตุสมผลว่า หน่วยงานทั้งภาครัฐและเอกชนต่าง ๆ ในระดับประเทศสามารถบรรลุเป้าประสงค์ของประเทศร่วมกันได้

จากตอนที่แล้วที่ผมได้กล่าวถึงความเสี่ยงของความมั่นคงที่ประเทศไทยยอมรับได้ (Risk Appetite) และระดับความเบี่ยงเบนของความเสี่ยงที่ประเทศไทยยอมรับได้ (Risk Tolerance) จากความไม่เข้าใจระหว่างประเทศในอนาคตที่อาจเกิดขึ้นได้ จากประเทศทางตะวันตก จากประเทศทางทิศตะวันออก จากประเทศทางทิศใต้ หรือรวม ๆ กันไปของทั้ง 3 เหตุการณ์ จากทุกทิศทุกทาง ถึงแม้จะเกิดขึ้นได้น้อย แต่ความเสียหายจากความเสี่ยงอาจเกิดกว่าระดับการยอมรับผลกระทบของประเทศไทยได้นั้น จำเป็นที่จะต้องมีการกำหนดความเสียหายที่ยอมรับได้ ที่เป็นรูปธรรมเพื่อจะกำหนดกลยุทธ์และแนวทางดำเนินการที่เหมาะสมให้สอดคล้องกับกรอบของ Risk Appetite ระดับประเทศไทยที่กำหนดขึ้นและได้รับการยอมรับร่วมกันแล้ว ในบรรดาหน่วยงานที่เกี่ยวข้องกับความมั่นคงของชาติ

ยุทธศาสตร์ นโยบาย และแนวการปฏิบัติทางด้านความมั่นคงระหว่างประเทศ รวมทั้งภายในประเทศไทยเองก็ตาม จะเปลี่ยนแปลงไปตามกรอบและขอบเขตของความเสี่ยงที่ยอมรับได้นั้น จำเป็นจะต้องมีการสื่อสารให้เข้าใจตรงกัน ในทุกหน่วยงานที่เกี่ยวข้องกับความมั่นคง ทั้งทหารและพลเรือน

ตอนต่อไปผมจะได้ลองนำภาพจำลองของแนวความคิด (Scenario) ต่าง ๆ ที่เป็นความเสียหายที่อาจจะเกิดขึ้นภายใต้กรอบหรือระดับความเสี่ยงที่ยอมรับได้ที่แตกต่างกันไป เพื่อมาประเมินตนเองถึงความพร้อมที่เป็นไปได้ที่ประเทศไทยควรมี และควรเปลี่ยนแปลงไปตามสถานการณ์ของภาพจำลองที่อาจเปลี่ยนแปลงได้ตามสถานการณ์ที่เปลี่ยนแปลงไปนั้น จะทำให้ท่านผู้อ่านที่สนใจในเรื่องกระบวนการบริหารความเสี่ยงอย่างเป็นกระบวนการ ที่เน้นทางด้านความมั่นคงของชาติว่า มีความพร้อมเพียงใด

 

บทบาทของ GRC กับแนวความคิดและการปฏิบัติงานที่เน้นผลประโยชน์ของผู้มีผลประโยชน์ร่วม (Stakeholders)

เนื่องจากหัวข้อหรือ Article นี้จะอยู่ในหมวดของ CG และ ITG สำหรับคำ “GRC” ย่อมาจาก Governance + Risk Management + Compliance ที่ท่านผู้อ่านก็คุ้นเคยกันมานาน โดยเฉพาะหลักการของ COSO – Enterprise Risk Management (ERM) ซึ่งเน้นความเป็นรูปธรรมในการขับเคลื่อนการบริหารการปฏิบัติงานในลักษณะที่สอดประสานและบูรณาการทั่วทั้งองค์กร ซึ่งอาจจะใช้คำที่เข้าใจง่าย ๆ ว่า Integrity – Driven Performance แต่ในทางปฏิบัติ องค์กรส่วนใหญ่ยังมีจุดอ่อนค่อนข้างมากในการขับเคลื่อนกระบวนการบริหารความเสี่ยงที่เกี่ยวข้องกับศักยภาพในการดำเนินงาน (Operational Risk)

วันนี้เราลองมาเล่าสู่กันฟังเรื่อง GRC ต่อจากเรื่อง Corporate Governance – CG และ IT Governance – ITG ที่ได้เล่าย่อ ๆ กันมาแล้วนะครับ

แนวความคิดใหม่ที่ขับเคลื่อนการบริหารแบบบูรณาการทั่วทั้งองค์กร เพื่อผลประโยชน์ของ Stakeholders

แนวความคิดใหม่ที่ขับเคลื่อนการบริหารแบบบูรณาการทั่วทั้งองค์กร เพื่อผลประโยชน์ของ Stakeholders

โดยหลักการของ Governance ในที่นี้ จะเน้นเรื่อง Ethics ที่เป็นรูปธรรมมากขึ้น มีค่านิยม และรูปแบบการจัดการที่ต้องการขับเคลื่อนองค์กรให้มีศักยภาพและมีความเป็นบูรณาการมากขึ้น เพื่อสร้างประสิทธิภาพ ประสิทธิผล และรูปธรรมในการเติบโตอย่างยั่งยืน ที่ต้องการมาตรฐาน การปฎิบัติตามกฎหมาย กฎเกณฑ์ รวมทั้งการรักษาชื่อเสียงที่เน้นไปทางการบริหาร Intangible Assets หรือสินทรัพย์ที่ไม่มีตัวตนที่เป็นรูปธรรมมากขึ้น โดยบริหารควบคู่กันไปกับการบริหารสินทรัพย์ที่มีตัวตน หรือ Tangible Assets ที่เข้าใจกันและเน้นการประเมินผล รวมทั้งการบริหารงานที่มากกว่า Intangible Assets กันเป็นส่วนใหญ่

การบริหารงานในองค์กรที่ใช้คอมพิวเตอร์ยุคใหม่ ข้อมูลและสารสนเทศ ความน่าเชื่อถือได้ ความไว้วางใจได้ การสร้างคุณค่าเพิ่มในรูปแบบต่าง ๆ ส่วนใหญ่จะมาจากการบริหาร Intangible Assets มากกว่า Tangible Assets มาก

บทบาทของการบริหารสินทรัพย์ที่ไม่มีตัวตนที่สร้างคุณค่าเพิ่มมากขึ้นกับบทบาทของผู้บริหารของทุกองค์กร

บทบาทของการบริหารสินทรัพย์ที่ไม่มีตัวตนที่สร้างคุณค่าเพิ่มมากขึ้นกับบทบาทของผู้บริหารของทุกองค์กร

สำนักงาน Brooking Institute ของต่างประเทศ ซึ่งเป็นหน่วยงานค้นคว้าความรู้ทางวิชาการใหม่ ๆ ได้เคยสำรวจ เมื่อประมาณปี ค.ศ. 2000 ปรากฎว่า คุณค่าเพิ่มจากการบริหาร Intangible Assets มีประมาณร้อยละ 85 ของสินทรัพย์ทั้งหมดของบริษัทโดยเฉลี่ย ในประเทศที่เจริญแล้ว

GRC ต้องการ New Standard และความคาดหวังใหม่ ๆ ของผู้มีผลประโยชน์ร่วม (Stakeholders) และต้องการ Governance เป็นฐานสำคัญที่เน้นทางด้านจริยธรรมและจรรยาบรรณ (Ethics) ซึ่งคำ ๆ นี้ ผมจะขออนุญาตขยายความเพื่อให้ท่านผู้อ่านได้ทราบว่า Ethics มีความสำคัญอย่างไรต่อการสร้างคุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนขององค์กรชั้นนำทั่วโลกในปัจจุบัน

คำว่า “Ethics” นี้ก็มีบทบาทสำคัญยิ่งในองค์ประกอบของการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง ซึ่งเป็นข้อแรกขององค์ประกอบ ทั้ง 8 ประการของ COSO – ERM

GRC เป็น Statement ใหม่ภายใต้ร่มหลักของ CG และ ITG ที่มีกระบวนการบริหารเพื่อสนับสนุน
– การดำเนินงานให้บรรลุเป้าประสงค์
– รักษาความน่าเชื่อถือ ความไว้วางใจ ได้จากชื่อเสียง/Brand ขององค์กร เพื่อสร้างคุณค่าเพิ่มอย่างยั่งยืน
– เป็นความท้าทายของผู้บริหารที่จะพิสูจน์คุณค่า และศักยภาพของผู้บริหารในการรักษาความสามารถในการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ของผู้กำกับภายนอก และการปฏิบัติตามนโยบาย ทิศทาง คำสั่งต่าง ๆ ภายในองค์กร ในการปฏิบัติได้ตามมาตรฐานและความคาดหวังใหม่ ๆ ของผู้ถือหุ้น

ผมจะได้นำเรื่องราวที่น่าสนใจของ GRC ในแง่มุมต่าง ๆ มาเสนอให้ท่านผู้อ่านในตอนต่อ ๆ ไปนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ เป็นอย่างไรกันบ้างครับกับแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ตอนนี้ผมได้นำเสนอกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ซึ่งกระบวนการทั้ง 8 ขั้นตอนนี้ถือเป็นหัวใจสำคัญหลักในการบริหารความเสี่ยงเลยก็ว่าได้ และที่กำลังนำเสนออยู่นี้ก็เข้าสู่กระบวนการในขั้นตอนที่ 4 คือ การประเมินความเสี่ยง ที่ได้เล่าสู่กันฟังไปบ้างแล้ว วันนี้ผมมีวิธีการและเทคนิคดี ๆ ในการประเมินความเสี่ยงในเชิงปริมาณและคุณภาพมาเล่าสู่กันฟังต่อจากครั้งที่แล้วครับ

วิธีการและเทคนิคเชิงปริมาณและคุณภาพ
วิธีการประเมินค่าความเสี่ยงขององค์กรประกอบด้วยการรวมตัวกันของเทคนิคเชิงปริมาณและเชิงคุณภาพ ผู้บริหารมักใช้เทคนิคการประเมินเชิงคุณภาพในกรณีที่ความเสี่ยงไม่สามารถใช้กระบวนการเชิงปริมาณได้ หรือเมื่อไม่สามารถหาข้อมูลที่เพียงพอและน่าเชื่อถือสำหรับการประเมินค่าเชิงคุณภาพได้ หรือข้อมูลที่ได้มาหรือนำมาวิเคราะห์ไม่คุ้มค่า เทคนิคเชิงปริมาณนำมาซึ่งความถูกต้องแม่นยำมากกว่า และใช้ในกิจกรรมที่ซับซ้อนกว่าเพื่อเพิ่มเติมเทคนิคเชิงคุณภาพ

เพื่อให้ได้รับความเห็นชอบในความน่าจะเกิดและผลกระทบของการใช้เทคนิคการประเมินค่าเชิงคุณภาพ องค์กรอาจใช้วิธีการเดียวกันกับการแยกแยะเหตุการณ์ ดังเช่น การสัมภาษณ์และการประชุมเชิงปฏิบัติการ กระบวนการประเมินค่าความเสี่ยงด้วยตนเอง จับภาพผู้เข้าร่วมประชุมจากความน่าจะเกิดและผลของเหตุการณ์ในอนาคตโดยใช้ทั้งเครื่องวัดเชิงตัวเลขและการพรรณนา

ความจำเป็นขององค์กรในการใช้เทคนิคการประเมินค่าที่ไม่ธรรมดากับหน่วยธุรกิจต่าง ๆ หรือ ทางเลือกของเทคนิคจะสะท้อนความต้องการความถูกต้องแม่นยำ และวัฒนธรรมของหน่วยธุรกิจ อย่างไรก็ตามวิธีการที่แต่ละธุรกิจนำไปใช้จะช่วยในการประเมินความเสี่ยงในระหว่างองค์กร

ผู้บริหารสามารถสืบค้นมาตรวัดผลกระทบเชิงคุณภาพองค์กรของเหตุการณ์ต่อเมื่อการประเมินความเสี่ยงของเหตุการณ์ได้แสดงออกในเชิงปริมาณ ตัวอย่างเช่น ผลกระทบของผลกำไรสุทธิของการเปลี่ยนแปลงราคาถูกคำนวณระหว่างหน่วยธุรกิจ และกำหนดผลกระทบขององค์กรโดยรวม

การผสมระหว่างการวัดเชิงปริมาณและคุณภาพนั้นผู้บริหารได้พัฒนาการประเมินค่าเชิงคุณภาพในระหว่างการวัดผลทั้งเชิงคุณภาพและปริมาณด้วยผลลัพธ์ ซึ่งประกอบด้วยการประเมินค่าที่อธิบายได้ในเชิงคุณภาพ การสร้างคำศัพท์ของความน่าจะเกิดและผลลัพธ์ขององค์กรและกลุ่มของความเสี่ยงที่ใช้สำหรับการวัดเชิงคุณภาพช่วยอำนวยความสะดวกให้ส่วนประกอบของการประเมินค่าความเสี่ยงต่าง ๆ เหล่านั้น

ความสัมพันธ์กันของเหตุการณ์
ผู้บริหาร องค์กร อาจประเมินว่าเหตุการณ์มีความสัมพันธ์กันอย่างไร ลำดับเหตุการณ์ได้รวมกันและสร้าง Likelihood หรือผลกระทบอย่างมีนัยสำคัญที่ใด ในขณะที่ผลของเหตุการณ์เดียวอาจเบาบาง ลำดับเหตุการณ์อาจมีผลกระทบที่สำคัญมากกว่า อาจใช้การทดสอบที่หนักหน่วงในการประเมินค่าผลกระทบของเหตุการณ์สุดท้ายและใช้การวิเคราะห์ภาพเหตุการณ์ในการประเมินค่าผลกระทบของเหตุการณ์จำนวนมาก หากว่าเหตุการณ์ไม่มีความสัมพันธ์กันโดยตรง

ผู้บริหารต้องประเมินค่าเหตุการณ์แยกกัน ยกตัวอย่าง บริษัทที่มีธุรกิจต่างกัน มีการผันผวนของราคาที่แตกต่างกัน จะประเมินความเสี่ยงซึ่งสัมพันธ์กับตลาดแยกจากกัน ดังเช่น ราคาของเนื้อและราคาพลังงาน ในการประเมินค่าเช่นนี้อาจถูกนำเสนอในรูปกราฟแสดงอัตราความเป็นไปได้และผลกระทบหรือเสนอในรูปแบบอื่น ๆ

ความเสี่ยงซึ่งเกิดขึ้นเหมือน ๆ กันในธุรกิจจำนวนมาก ผู้บริหารอาจประเมินค่าและแยกแยะกลุ่มเหตุการณ์เอาไว้ในกลุ่มเหตุการณ์ทั่วไป ตัวอย่างเช่น การเปลี่ยนแปลงในอัตราดอกเบี้ยของรัฐบาลซึ่งมีผลกระทบกับหน่วยธุรกิจของบริษัทที่ให้บริการด้านการเงิน

ความสัมพันธ์กันระหว่างความเสี่ยงและผลกระทบเป็นความรับผิดชอบที่สำคัญของผู้บริหาร การบริหารความเสี่ยงที่มีประสิทธิภาพต้องการการประเมินค่าความเสี่ยงที่เกี่ยวข้องกับความเสี่ยงธรรมชาติและความเสี่ยงที่ตามมาจากการตอบสนองความเสี่ยง

การประเมินความเสี่ยงจะต้องพิจารณาว่าเหตุการณ์ที่เป็นไปได้ว่าจะเกิดขึ้น เหตุการณ์ไหนมีผลกระทบต่อการบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร โดยฝ่ายบริหารประเมินและวิเคราะห์ความเสี่ยงโดยพิจารณาจาก

1. ความน่าจะเกิด (Likelihood) คือโอกาสความเป็นไปได้ที่เหตุการณ์ที่ความเสี่ยงนั้นจะเกิดหรือความถี่ที่เหตุการณ์จะเกิด
2. ส่วนผลกระทบ (Impact) หมายถึง ความเสียหายที่จะเกิดจากเหตุการณ์ความเสี่ยงนั้น ความน่าจะเกิดบ่งบอกถึงความเป็นไปได้ที่เหตุการณ์นั้นจะเกิดขึ้น สามารถวัดเป็นมูลค่าที่คาดหวังหรือมูลค่าที่เลวร้ายที่สุด หรืออาจแสดงเป็นปริมาณ เช่น สูง (High) กลาง (Medium) และต่ำ (Low) หรือการวัดเป็นเปอร์เซ็นต์ ความถี่ที่จะเกิด เป็นต้น

การประเมินความเสี่ยงเป็นเรื่องที่ยากและท้าทาย ฝ่ายจัดการต้องตระหนักว่าความเสี่ยงที่มีโอกาสเกิดขึ้นต่ำและมีผลกระทบต่อองค์กรต่ำไม่ต้องนำมาพิจารณา ในทางตรงกันข้ามหากความเสี่ยงที่มีความเป็นไปได้ที่จะเกิดสูงและมีผลกระทบอย่างมีนัยสำคัญต่อองค์กร ฝ่ายจัดการต้องนำมาพิจารณาและให้ความสนใจ

การประเมินความเสี่ยง ฝ่ายจัดการต้องพิจารณาผลกระทบทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่คาดไว้ซึ่งมีความเป็นไปได้ที่จะเกิดขึ้น ส่วนใหญ่เหตุการณ์ต่าง ๆ มักเป็นเหตุการณ์ประจำและเกิดขึ้นอีกครั้งและเหตุการณ์ดังกล่าวถูกนำมาอยู่ในโปรแกรมการบริหารจัดการแล้ว

ส่วนเหตุการณ์ที่ไม่คาดไว้ แม้มีความเป็นไปได้ที่จะเกิดต่ำแต่มีผลกระทบที่เป็นนัยสำคัญ เหตุการณ์ดังกล่าวจะถูกตอบสนองเป็นแต่ละเหตุการณ์ไป ทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่ได้คาดไว้ล้วนมีผลกระทบต่อการดำเนินกลยุทธ์และมีผลต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

การประเมินความเสี่ยงถูกนำมาใช้กับความเสี่ยงพื้นฐานขององค์กรหรือความเสี่ยงจากลักษณะธุรกิจ (Inherent risk) เมื่อการตอบสนองความเสี่ยงถูกพัฒนาขึ้น ฝ่ายจัดการจะใช้เทคนิคการประเมินความเสี่ยงในการจัดการกับความเสี่ยงที่เหลืออยู่ (Residual Risk)

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

จากการที่ผมได้เล่าถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM มาหลายขั้นตอน มาถึงตอนนี้จะเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ขั้นตอนที่ 4 นั่นก็คือ การประเมินความเสี่ยง (Risk Assessment) การประเมินค่าความเสี่ยงขององค์กรทั่วไป เปิดโอกาสให้องค์กรและผู้ที่เกี่ยวข้องพิจารณาขอบเขตซึ่งเหตุการณ์แฝง อาจส่งผลต่อการบรรลุวัตถุประสงค์ พันธกิจ มุ่งสู่วิสัยทัศน์ขององค์กร ผู้บริหารควรประเมินค่าเหตุการณ์จาก 2 แนวคิด คือ ความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ที่จะเกิดขึ้น

ผมมีคำอธิบายเพื่อการประเมินค่าความเสี่ยงที่นำไปสู่การปฏิบัติ เมื่อปัจจัยภายในและภายนอกส่งผลต่อเหตุการณ์แฝง และบางเหตุการณ์ก็ส่งผลต่อการบรรลุวัตถุประสงค์ขององค์กร แม้ว่าปัจจัยบางอย่างจะเป็นสิ่งปกติในการร่วมอยู่ในอุตสาหกรรม ปัจจัยจำนวนมากมีความเป็นเอกลักษณ์ในองค์กรใดองค์กรหนึ่งโดยเฉพาะ สาเหตุเนื่องจากเป็นสิ่งที่ก่อให้เกิดวัตถุประสงค์และตัวเลือกในอดีต

ในการประเมินค่าความเสี่ยงผู้บริหารได้พิจารณาการผสมผสานของเหตุการณ์แฝงในอนาคตที่สัมพันธ์กับองค์กรและกิจกรรมของเหตุการณ์ สิ่งเหล่านี้นำมาซึ่งการตรวจสอบปัจจัยต่าง ๆ รวมถึงขนาดองค์กร ความซับซ้อนของการปฏิบัติงานและระดับของกฎระเบียบที่ครอบคลุมกิจกรรม เป็นต้น ซึ่งได้ก่อร่างรูปแบบของความเสี่ยงขององค์กรและมีอิทธิพลต่อวิธีการซึ่งใช้ในการประเมินค่าความเสี่ยง

โดยมีหลักการย่อ ๆ ว่า เมื่อเจ้าภาพหรือเจ้าของแผนงานสามารถระบุหรือบ่งชี้ความเสี่ยงตามข้อ 2 ได้แล้วให้ประเมินต่อไปว่า เหตุการณ์ที่อาจมีผลกระทบต่อความสำเร็จของแต่ละกิจกรรมในแต่ละขั้นตอนของแผนงานนั้น ๆ จะสามารถจัดการหรือแก้ไขปัญหาให้ลุล่วงเพื่อผลักดันกิจกรรมขั้นตอนต่อ ๆ ไปให้ประสบความสำเร็จของแผนงานนั้นตามกรอบเวลาได้หรือไม่

ทั้งนี้ เจ้าของแผนงานจะต้องประเมินว่า ปัจจัยหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบ (Impact) ต่อความไม่สำเร็จนั้น มีมากน้อยเพียงใด และมีโอกาสที่จะเกิดขึ้น (Likelihood) บ่อยเพียงใด ทั้งนี้เพื่อไปจัดลำดับความรุนแรงของความเสี่ยงที่จะมีผลต่อแผนงานและโครงการนั้น ๆ

ความเสี่ยงที่มีอยู่ (Inherent) และความเสี่ยงส่วนที่เหลือ (Residual Risk)
ผู้บริหาร องค์กร ต้องพิจารณาความเสี่ยงที่มีอยู่และความเสี่ยงส่วนที่เหลือ ความเสี่ยงที่มีอยู่เป็นความเสี่ยงขององค์กรที่ไม่ได้ดำเนินการใด ๆ ทั้งสิ้นของผู้บริหาร เพื่อเปลี่ยนแปลงผลกระทบและโอกาสเกิดของความเสี่ยง ความเสี่ยงส่วนที่เหลือคือความเสี่ยงที่ยังคงมีอยู่หลังจากผู้บริหารได้ตอบสนองต่อความเสี่ยงแล้ว

ในการประเมินค่าความเสี่ยง ผู้บริหารจะพิจารณาผลกระทบของเหตุการณ์แฝงที่คาดหวังและไม่ได้คาดหวัง หลาย ๆ เหตุการณ์เกิดเป็นประจำ และเกิดขึ้นอีกบ่อย ๆ และได้ถูกวางไว้ในโปรแกรมการบริหารและงบประมาณด้านปฏิบัติการ หลาย ๆ เหตุการณ์ไม่ได้ถูกคาดหวังไว้ และบ่อยครั้งมีความน่าจะเกิดต่ำ แต่อาจมีผลกระทบแฝงที่สำคัญ เหตุการณ์ที่ไม่ได้คาดไว้อาจถูกตอบสนองแยกต่างหาก

อย่างไรก็ตาม ความไม่แน่นอนยังคงอยู่กับทั้งเหตุการณ์แฝงที่คาดไว้และไม่ได้คาดไว้ และแต่ละเหตุการณ์ได้ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ ผลก็คือผู้บริหารต้องประเมินค่าความเสี่ยงของเหตุการณ์แฝงทั้งหมด ซึ่งเหมือนกันในแง่มีผลกระทบสำคัญต่อองค์กร การประเมินค่าความเสี่ยงได้ถูกประยุกต์ไปสู่ความเสี่ยงที่มีอยู่ ทันทีที่การตอบสนองความเสี่ยงได้ถูกพิจารณา ดังนั้น ผู้บริหารได้ใช้เทคนิคการประเมินค่าความเสี่ยงในการกำหนดความเสี่ยงส่วนที่เหลือ

การประมาณค่าความน่าจะเกิด ( Likelihood) และผลกระทบ (Impact)
ความไม่แน่นอนของเหตุการณ์แฝงถูกประเมินจาก 2 แนวคิด คือความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ความน่าจะเกิด เปรียบเสมือนความเป็นไปได้ซึ่งเหตุการณ์จะเกิดขึ้น ในขณะที่ผลกระทบเปรียบเสมือนผลที่เกิดขึ้น

ความน่าจะเกิดและผลกระทบเป็นคำศัพท์ที่ใช้กันโดยทั่วไปแม้ว่าบางองค์กรจะใช้คำว่าความเป็นไปได้และความเข้มงวดหรือผลที่เกิดขึ้นก็ตาม บางครั้งคำศัพท์อาจมีความหมายเฉพาะ “ความน่าจะเกิด” แสดงถึงความเป็นไปได้ซึ่งจะทำให้เกิดเหตุการณ์ในเชิงคุณภาพ เช่น สูง กลาง และต่ำ หรือมาตรวัดอื่น ๆ ที่เที่ยงตรง ในขณะที่ความเป็นไปได้อาจถูกใช้ในการอธิบายการวัดเชิงปริมาณ เช่น เปอร์เซ็นต์ ความถี่ของเหตุการณ์ หรือมาตรวัดที่เป็นตัวเลข

ผู้บริหารอาจเลือกอธิบายความน่าจะเกิดและผลกระทบในลักษณะต่าง ๆ เช่น การประมาณค่า หรือขอบเขตหรือการกระจาย ซึ่งอาจอธิบายการแยกแยะหรือการประเมินค่าความเสี่ยงเป็นคำพูดหรือใส่ลงในกราฟ ตัวอย่างหนึ่งคือการทำแผนผังความเสี่ยง ซึ่งเป็นการวาดให้เห็นภาพโดยการแบ่งกลุ่มเหตุการณ์ วัตถุประสงค์องค์กร หรือกลุ่มอื่น ๆ ซึ่งจะช่วยรายงานความเสี่ยงในหลาย ๆ ระดับ รวมถึงระดับองค์กร ระดับธุรกิจ ระดับหน่วยงานหรือระดับกระบวนการ

การกำหนดปริมาณความตั้งใจในการประเมินค่าลำดับของความเสี่ยงที่องค์กรต้องเผชิญนั้นมีความยากและท้าทาย ผู้บริหารต้องระลึกไว้ว่าความเสี่ยงที่มีความน่าจะเกิดของเหตุการณ์ที่จะเกิดต่ำและมีผลกระทบเพียงเล็กน้อย ไม่สามารถรับประกันการพิจารณาอื่น ๆ ได้ ในทางตรงข้ามความเสี่ยงที่มีความน่าจะเกิดของการเกิดเหตุการณ์สูงและมีผลกระทบสำคัญที่ต้องการการพิจารณาอย่างตั้งใจ เหตุการณ์ทั้งสองประเภทต้องการการตัดสินที่ยากเย็น สิ่งสำคัญคือการวิเคราะห์ต้องมีเหตุมีผลและระมัดระวัง

เนื่องจากความเสี่ยงถูกประเมินในส่วนของกลยุทธ์องค์กรและวัตถุประสงค์องค์กร ผู้บริหารจะเฝ้ามุ่งเน้นดูความเสี่ยงด้วยช่วงระยะเวลาสั้นไปจนถึงกลาง อย่างไรก็ตามองค์ประกอบบางอย่างของทิศทางกลยุทธ์และวัตถุประสงค์ได้ขยายตัวเป็นช่วงเวลาที่ยาวนานขึ้น ผลก็คือผู้บริหารต้องมีความรู้ความเข้าใจในกรอบเวลาที่ยาวนาน และไม่เพิกเฉยต่อความเสี่ยงที่อาจหมดไป
ผู้บริหารมักใช้การวัดผลงานในการกำหนดขอบเขตที่ทำให้บรรลุวัตถุประสงค์และใช้หน่วยเดียวกันวัดว่าเมื่อไรจะพิจารณาผลกระทบแฝงของความเสี่ยงในการบรรลุวัตถุประสงค์เฉพาะ ตัวอย่างเช่น

องค์กรซึ่งมีวัตถุประสงค์ในการรักษาระดับของการบริการลูกค้าจะถูกให้คะแนนหรือการวัดแบบอื่น ๆ สำหรับวัตถุประสงค์นั้น ดังเช่น ดัชนีความพึงพอใจของผู้เกี่ยวข้อง จำนวนการร้องเรียน เมื่อการประเมินค่าผลกระทบของความเสี่ยงที่อาจส่งผลต่อการบริการ ดังเช่น ความเป็นไปได้ที่เว็บไซต์อาจใช้ไม่ได้ในช่วงเวลานั้น ผลกระทบเป็นตัวกำหนดที่ดีที่สุดในการใช้

การใช้ข้อมูลที่สังเกตได้
การประมาณค่าความน่าจะเกิดและความถี่ของผลกระทบถูกกำหนดให้ใช้ข้อมูลจากเหตุการณ์ที่สังเกตได้ที่ผ่านมาแล้ว ซึ่งอาจทำให้เกิดวัตถุประสงค์ได้มากกว่าการประมาณโดยการนึกคิด การสร้างข้อมูลที่เกิดจากประสบการณ์ในองค์กรของตนเองอาจสะท้อนความมีอคติของบุคคลได้น้อยกว่าและทำให้เกิดผลลัพธ์ได้ดีกว่าข้อมูลจากแหล่งภายนอก

อย่างไรก็ตามแม้ว่าข้อมูลที่สร้างจากภายในเป็นข้อมูลนำเข้าเบื้องต้น ข้อมูลจากภายนอกสามารถใช้ประโยชน์ในการเป็นที่ตรวจสอบหรือเพื่อช่วยส่งเสริมการวิเคราะห์ ข้อควรระวังเมื่อใช้เหตุการณ์ในอดีตคาดเดาอนาคตนั้นคือ อิทธิพลของปัจจัยอาจทำให้เหตุการณ์เปลี่ยนแปลงไปตามเวลา

สำหรับการประเมินความเสี่ยงนี้ ยังมีวิธีการและเทคนิคเชิงปริมาณและคุณภาพ รวมถึงขั้นตอนการประเมินความเสี่ยงที่เป็นขั้นตอนสำคัญที่ควรต้องติดตามต่อไปในโอกาสหน้านะครับ

 

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย (ต่อ)

วันนี้เรามาต่อกันในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานเทคโนโลยีสารสนเทศบางประการกันครับ

การจัดการ/การควบคุมบางประการ
1. 1) กำหนดประเภทของกิจกรรม (Activities) และเป้าหมายหลัก (Objectives) ในการพัฒนาระบบงานให้เป็นมาตรฐานทันกับเหตุการณ์
2) ให้ผู้บริหารระดับสูงและผู้ใช้ข้อมูลทบทวนและประเมินผลงานทุกขั้นตอนของการพัฒนาระบบงาน เมื่อพบว่ามีข้อที่ไม่สมเหตุสมผลอย่างร้ายแรงในขั้นตอนใด ให้สั่งหยุดการพัฒนาขั้นตอนถัดไปทันทีจนกว่าจะแก้ไขแล้ว/หรือ
3) ผู้บริหารระดับสูงอาจมอบหมายให้ผู้ตรวจสอบภายในของ องค์กรเป็นผู้ทำหน้าที่ทบทวนและประเมินผลขั้นตอนของการพัฒนาระบบงาน โดยเฉพาะความเหมาะสมของการควบคุมภายในของระบบงานการตรวจสอบและการมี Automated Solutions อย่างเหมาะสมและทันเวลา

2. 1) กำหนดประเภทของกิจกรรม (Activities) และเป้าหมายหลัก (Objectives) ในการพัฒนาระบบงานให้เป็นมาตรฐานจากผู้ที่เข้าใจจริง
2) ให้ผู้บริหารระดับสูงขององค์กรหรือมอบหมายให้ผู้ตรวจสอบภายในทำหน้าที่ทบทวนและประเมินผลทุกขั้นตอนของการพัฒนาระบบงานทุกระบบ

3. 1) การจ้างบุคคลที่ได้รับการอบรมและฝึกฝนทางด้านนี้โดยเฉพาะหรือส่งพนักงานที่มีอยู่ไปเข้ารับการอบรมและฝึกฝนทางด้านเทคนิคเพิ่มเติมภายในและภายนอกอยู่เสมอ
2) ให้จัดทำเอกสารประกอบการวิเคราะห์ทุกขั้นตอน :-
2.1) รายงานการศึกษาระบบงาน
2.2) รายงานความต้องการของระบบงาน
2.3) รายงานเกี่ยวกับเทคนิค
2.4) แผนการสร้างระบบงาน ฯลฯ
3) ให้ผู้ใช้ข้อมูลเป็นผู้ทดสอบระบบงานหรือที่เรียกว่า Acceptance Test หรืออาจมอบหมายให้ผู้ตรวจสอบ ภายในเป็นผู้ทำหน้าที่ทดสอบระบบงาน

4. 1) ให้ผู้ใช้ข้อมูลหรือผู้ตรวจสอบภายในเป็นผู้ทำหน้าที่ทดสอบระบบงาน (Acceptance Test)
2) ให้ผู้ออกแบบระบบงานจัดทำเอกสารประกอบโดยละเอียด

5. 1) การว่าจ้างบุคคลที่มีความสามารถเฉพาะหรือส่งพนักงานที่มีอยู่ไปเข้ารับการอบรมและฝึกฝนทางด้านเทคนิคเพิ่มเติมอยู่เสมอ
2) มอบหมายให้ผู้ควบคุมระบบงานด้านการวิเคราะห์และการเขียนโปรแกรมทบทวนผลลัพธ์ของการดำเนินงานพัฒนาระบบทุกขั้นตอน ก่อนส่งให้ฝ่ายบริหารและผู้ใช้ข้อมูลให้ความเห็นชอบ
3) ให้ผู้ใช้ข้อมูลหรือผู้ตรวจสอบภายในเป็นผู้ทำหน้าที่ทดสอบความถูกต้องของระบบงาน

6. 1) การกำหนดให้ผู้บริหารโครงการพัฒนาระบบใหม่ (Project Leader) จัดทำแผนและตารางการปฏิบัติงาน แต่ละโครงการ (Project Planing) และการมอบหมายงานให้พนักงานที่อยู่ในความรับผิดชอบการประเมินผลงานและการรายงานความคืบหน้าของ โครงการ (Status report)
2) มอบหมายให้ผู้ควบคุมงาน ทบทวนผลลัพธ์ที่ได้จากงานทุกขั้นตอน
3) มอบหมายให้ผู้ตรวจสอบภายในหรือผู้ออกแบบระบบงานทบทวนระบบงานนั้นอีกครั้งหลังจากที่ปล่อยให้ใช้กับงานจริงแล้ว 3 – 6 เดือน เพื่อค้นหาข้อผิดพลาดที่ยังหลงเหลือ เช่น เสียค่าใช้จ่ายในการปฏิบัติงานมากเกินไป

7. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำแผนในการพัฒนาระบบงานประเมินผลงานตามที่ปรากฏในแผน และจัดทำรายงานความคืบหน้าของโครงการเพื่อเสนอต่อฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูง
2) ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบการปฏิบัติงานทุกขั้นตอนโดยละเอียดและเรียบร้อย เพื่อส่งให้ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงทบทวนได้ทุกขณะเมื่อมีปัญหาเกิดขึ้น

8. 1) ให้ฝ่ายบริหารระดับสูงและผู้ใช้ข้อมูลทบทวนผลลัพธ์ที่ได้จากการพัฒนาระบบงานทุกขั้นตอน เมื่อเห็นว่าขั้นตอนใดมีผลลัพธ์ต่างไปจากที่ต้องการมากหรือไม่เหมาะสมกับสถานการณ์ในขณะนั้นให้สั่งระงับการพัฒนาระบบงานนั้นทันที หรือ
2) มอบหมายให้ผู้ตรวจสอบภายในกระทำหน้าที่แทน ภายใต้การรับผิดชอบของผู้บริหารระดับสูง

9. 1) ให้จัดทำเอกสารประกอบการพัฒนาระบบงานทุกขั้นตอนอย่างละเอียดและเรียบร้อย
2) ให้ฝ่ายบริหารระดับสูงและผู้ใช้ข้อมูลทบทวน
3) หรือมอบหมายให้ผู้ตรวจสอบภายในมีส่วนในการพัฒนาระบบงานแต่เริ่มแรก
4) หรือมอบหมายให้ผู้ตรวจสอบภายในทดสอบระบบงานนี้ก่อนนำออกไปใช้งานจริง

10. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบทุกขั้นตอนอย่างละเอียดและเรียบร้อย
2) มอบหมายให้ผู้ตรวจสอบภายในทดสอบระบบงานนั้นก่อนนำออกไปใช้งานจริง
3) ให้บริหารฝ่ายพัฒนาระบบงานทบทวนความถูกต้องทางด้านเทคนิคทั้งหมด
4) การจัดทำเอกสารประกอบระบบงานโดยละเอียดทั้งหมด

11. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำแผนงานและเป้าหมายของงานแต่ละขั้น เพื่อเป็นแนวทางในการปฏิบัติงานแก่พนักงานที่เกี่ยวข้อง
1.1) System Planing Steps
1.2) Development Steps
1.3) Implementation Steps
2) ให้ฝ่ายพัฒนาระบบงานทบทวนความถูกต้องทางด้านเทคนิคทั้งหมด
3) มอบหมายให้ผู้ตรวจสอบภายในเข้าไปร่วมในการพัฒนาระบบงานและทดสอบความถูกต้องของระบบงานนั้นก่อนนำออกไปใช้งานจริง
4) ให้ฝ่ายพัฒนาระบบงานทบทวนความถูกต้องของระบบงานนั้นอีกครั้งเมื่อปล่อยให้ใช้กับงานจริงแล้ว 3 – 6 เดือน
5) ให้จัดทำเอกสารประกอบระบบงานโดยละเอียดทั้งหมด

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ช่วงนี้อากาศเย็นเพราะฝนตกบ่อย ผมอยู่นอกบ้านอากาศเย็นถึงกับหนาว ๆ อยู่บ้าง พอกลับเข้ามาในบ้านก็รู้สึกอบอุ่นขึ้นมาหน่อย หลายท่านก็ต้องระวังจะไม่สบายตามฝนฟ้าอากาศด้วยนะครับ สำหรับวันนี้ผมจะมาเล่าต่อถึงการจัดกลุ่มของเหตุการณ์จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน

การจัดกลุ่มเหตุการณ์
การจัดเหตุการณ์แฝงให้เป็นกลุ่มอาจเป็นสิ่งที่มีประโยชน์ การรวบรวมเหตุการณ์ระหว่างองค์กรและภายในส่วนงานต่าง ๆ ขององค์กรนั้น ผู้บริหารจะพัฒนาความเข้าใจของความสัมพันธ์กันระหว่างเหตุการณ์ได้รับข้อมูลเพิ่มขึ้น เพื่อใช้เป็นพื้นฐานในการประเมินค่าความเสี่ยงในการจัดกลุ่มเหตุการณ์แฝงที่เหมือนกัน ผู้บริหารจะสามารถกำหนดโอกาสและความเสี่ยงได้ดียิ่งขึ้น
การแบ่งกลุ่มเหตุการณ์ทำให้ผู้บริหารได้พิจารณาถึงความสมบูรณ์ของความพยายามที่จะแยกแยะเหตุการณ์ จากการตรวจสอบเหตุการณ์แฝงในกลุ่มนี้ ผู้บริหารสามารถวัดได้ว่ามีการแยกแยะความสำคัญของเหตุการณ์แฝงซึ่งสัมพันธ์กับการผิดพลาดของกิจกรรมต่าง ๆ ที่เกี่ยวข้องได้หรือไม่

ยิ่งไปกว่านั้น การจัดกลุ่มเหตุการณ์สามารถเสริมภาพเหตุการณ์ ประวัติขององค์กรต่าง ๆ บางองค์กรได้พัฒนาการแบ่งกลุ่มเหตุการณ์บนพื้นฐานของการจัดกลุ่มของวัตถุประสงค์การใช้ระดับขั้น ซึ่งเริ่มต้นด้วยวัตถุประสงค์ระดับสูงและลดหลั่นลงมาสู่วัตถุประสงค์ซึ่งเกี่ยวข้องกับหน่วยงานขององค์กร หรือการดำเนินธุรกิจ

ผู้บริหารต้องตระหนักว่ายังมีเหตุการณ์ที่มีความไม่แน่นอน ซึ่งไม่สามารถคาดการณ์ว่าจะเกิดอะไร เมื่อไร หรือส่งผลอย่างไร การกำหนดเหตุการณ์นี้คือผู้บริหารต้องพิจารณาปัจจัยทั้งภายนอกภายในที่มีผลทำให้เกิดเหตุการณ์ดังกล่าวขึ้น

ปัจจัยภายนอก รวมถึงสภาวะเศรษฐกิจ ธุรกิจ สภาพแวดล้อมทางธรรมชาติ การเมือง สังคมและเทคโนโลยีใหม่ ๆ ปัจจัยภายใน เช่นสาธารณูปโภคขั้นพื้นฐาน (Infrastructure) บุคลากร กระบวนการทำงาน หรือเทคโนโลยี

เหตุการณ์ที่มีความเป็นไปได้ว่าจะเกิดขึ้นมีผลกระทบได้ทั้งแง่บวกและแง่ลบ เหตุการณ์ที่มีผลกระทบในแง่บวกแสดงถึงโอกาส โอกาสสามารถนำไปกำหนดกลยุทธ์หรือกระบวนการในการกำหนดเป้าหมายหรือวัตถุประสงค์ขององค์กร เหตุการณ์ที่มีผลกระทบในแง่ลบแสดงถึงความเสี่ยงที่เกิดขึ้น ซึ่งฝ่ายจัดการต้องทำการประเมินและตอบสนองกับเหตุการณ์นั้น ความเสี่ยงที่ถูกกำหนดนั้นเป็นเหตุการณ์ที่เกิดขึ้นและมีผลกระทบต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายนอก เช่น
– ภาวะการเปลี่ยนแปลงของเทคโนโลยี
– ลูกค้าเปลี่ยนทัศนคติหรือความพึงพอใจต่อสินค้าหรือบริการ
– ภาวะการแข่งขันทางการตลาดทั้งสินค้าและบริการ
– กฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง
– สภาวะทางเศรษฐกิจ การค้า ความร่วมมือระหว่างประเทศ และสภาวะแวดล้อมภายนอกอื่น

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายในและระบบงาน เช่น
– ศักยภาพของบุคลากร กระบวนการบริหาร โครงสร้าง และการบริหารแผนงานขององค์กร
– ปริมาณและความซับซ้อนของรายการค้า การบริการ ผู้มีผลประโยชน์ร่วม และสาขางานที่เกี่ยวข้อง
– คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เพื่อการรายงาน เพื่อการบริหาร
– คุณภาพและความสามารถของพนักงาน ความขัดแย้งชิงดีชิงเด่นภายในองค์กร และนโยบายเกี่ยวกับการบริหารบุคลากรขององค์กร
– คุณภาพและการเปลี่ยนแปลง ฝ่ายบริหาร วิธีการบริหาร ระบบและวิธีการปฏิบัติงาน
– การคัดเลือกคณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่ไม่เหมาะสม ทำให้ได้ผู้ที่ไม่มีคุณภาพมากำกับดูแลงาน
– ความเพียงพอและประสิทธิผลการควบคุม

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

วิธีการจำแนกเหตุการณ์จากพื้นฐานของปัจจัยภายนอกและปัจจัยภายใน
ปัจจัยภายใน พิจารณาจาก
โครงสร้างพื้นฐาน
– สินทรัพย์ที่มีอยู่
– ความสามารถของสินทรัพย์
– การเข้าถึงทุน
– ความซับซ้อน
– การรวมกัน/การหามาได้

บุคลากร
– ความสามารถของพนักงาน
– สุขภาพและความปลอดภัย
– การตัดสินคุณค่า
– การปฏิบัติที่ปลอดภัย
– การดำเนินการขาย

กระบวนการ
– ความสามารถ
– การออกแบบ
– การดำเนินการ
– ผู้ขาย/การพึ่งพา

เทคโนโลยี
– ข้อมูล
– ข้อมูลและการได้มาซึ่งระบบ
– ความสามารถ
– ระบบ

ปัจจัยภายนอก พิจารณาจาก
เศรษฐกิจ
– การหาทุน
– เครดิต
– การลื่นไหลของตลาด การหาทุน กระแสเงินสด
– ตลาด ราคาตลาด อัตราดอกเบี้ย การว่างงาน อัตราแลกเปลี่ยน

ธุรกิจ
– ยี่ห้อ/ชื่อสินค้า
– การแข่งขัน
– พฤติกรรมผู้บริโภค
– คู่แข่ง
– ความลำเอียง
– มาตรฐานอุตสาหกรรม
– โครงสร้างความเป็นเจ้าของ
– สาธารณะ
– ความเกี่ยวข้องของผลิตภัณฑ์

เทคนิค
– การค้าอิเล็กทรอนิคส์
– ข้อมูลภายนอก
– การกระจายเทคโนโลยี

สภาพแวดล้อมทางธรรมชาติ
– พลังงาน
– ภัยธรรมชาติ
– การพัฒนาอย่างต่อเนื่อง
– การขนส่ง
– น้ำ
– ไฟ

การเมือง
– การเปลี่ยนรัฐบาล
– กฎหมาย
– นโยบายสาธารณะ
– กฎระเบียบ

สังคม
– ความเป็นประชากรขององค์กร
– ความเป็นส่วนตัว

ความเสี่ยงที่เด่นชัดและโอกาส
เหตุการณ์อาจทำให้เกิดผลทางด้านลบ ทางด้านบวก หรือทั้งสองด้าน เหตุการณ์ซึ่งส่งผลทางด้านลบเป็นเสมือนความเสี่ยง ซึ่งต้องการการประเมินค่าและตอบสนองจากผู้บริหาร ดังนั้น ความเสี่ยงคือความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้นและส่งผลอย่างเป็นปฏิปักษ์ต่อความสำเร็จของวัตถุประสงค์

ส่วนเหตุการณ์ซึ่งส่งผลทางบวกเป็นเสมือนโอกาสหรือการโต้ตอบผลลบของความเสี่ยง เหตุการณ์ที่เป็นเสมือนโอกาสจะถูกส่งกลับไปสู่กลยุทธ์ของผู้บริหารหรือในขั้นตอนการตั้งวัตถุประสงค์ เพื่อให้การกระทำสามารถก่อตัวเพื่อครอบงำโอกาส เหตุการณ์ที่โต้ตอบผลลบของความเสี่ยงจะถูกพิจารณา ในการประเมินค่าความเสี่ยงและการตอบสนองของผู้บริหาร

องค์ประกอบสำคัญของการระบุเหตุการณ์

องค์ประกอบสำคัญของการระบุเหตุการณ์

ครั้งหน้าผมจะกล่าวถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ในกระบวนการขั้นถัดไปคือ การประเมินความเสี่ยง ซึ่งเป็นขั้นตอนที่ผู้บริหารองค์กรทั้งหลายไม่ควรพลาดครับ