Archive for สิงหาคม 5th, 2009

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ เข้าเดือน 8 ของปี 2009 นี้แล้ว เวลาช่างผ่านไปเร็วเสียจริง ๆ ผมคิดว่ายังมีอะไรอีกหลายอย่างที่อยากจะบอกเล่าสู่กันฟังจากความรู้ และประสบการณ์ที่ผมมีอยู่ แต่กลับมีเวลาเพียงน้อยนิดในการ update เนื้อหาในแต่ละหมวดหมู่ ซึ่งผมก็พยายามอย่างเต็มที่ในการนำเสนอข้อมูลที่คิดว่าน่าจะเป็นประโยชน์ต่อท่านผู้บริหาร และผู้สนใจเรื่องราวทางด้าน IT Governance

อย่างไรก็ตาม ผมจะพยายามจัดสรรเวลาเพื่อแบ่งปันข้อมูล และนำเสนอเนื้อหาที่มีสาระประโยชน์ ขอให้ท่านผู้บริหารและผู้ที่สนใจ หมั่นติดตาม itgthailand.com แห่งนี้อย่างสม่ำเสมอ โดยเฉพาะแนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ผมได้นำเสนอต่อเนื่องมาถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ซึ่งเป็นหัวใจสำคัญของการบริหารความเสี่ยง และในกระบวนการที่ 5 ที่นำเสนออยู่นี้เป็นเรื่องของการตอบสนองต่อความเสี่ยง

จากครั้งที่แล้ว ผมได้นำเสนอกลยุทธ์ในการตอบสนองความเสี่ยง ซึ่งแบ่งเป็น 4 ประเภท ในวันนี้ผมมีแนวทางในการกำหนดกลยุทธ์ในการจัดการกับความเสี่ยงมานำเสนอครับ

แนวทางในการกำหนดกลยุทธ์ในการจัดการความเสี่ยง
กลยุทธ์การจัดการความเสี่ยงถูกกำหนดขึ้นเพื่อลดระดับของความเสี่ยง (ทั้งผลกระทบและโอกาสเกิด) ให้เป็นไปตามระดับความเสี่ยงที่ยอมรับได้(Risk Tolerance) โดยผู้บริหารควรพิจารณาทั้งผลจากการดำเนินตามกลยุทธ์ที่มีอยู่ในปัจจุบันว่า สามารถจัดการกับความเสี่ยงหนึ่ง ๆ หรือกลุ่มของความเสี่ยงได้มากน้อยเพียงใดก่อนที่จะพิจารณาถึงกลยุทธ์การจัดการเพิ่มเติม

ทั้งนี้ ในส่วนของการบริหารความเสี่ยงสำหรับความเสี่ยงที่สำคัญ องค์กรต้องพิจารณาการตอบสนองจากช่วงของประเภทความเสี่ยง ซึ่งทำให้ลงลึกพอที่จะเลือกการตอบสนองและท้าทายสถานะที่เป็นอยู่

ในการกำหนดการตอบสนองที่มีศักยภาพ ผู้บริหารควรพิจารณาสิ่งต่าง ๆ ดังต่อไปนี้
1. การประเมินผลกระทบการตอบสนองความเสี่ยงจากความเป็นไปได้ และผลกระทบของความเสี่ยงและเงื่อนไขการตอบสนองใดที่ไปในทิศทางเดียวกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร

2. การประเมินค่าต้นทุนกับประโยชน์ของการตอบสนองความเสี่ยง และโอกาสที่เป็นไปได้ที่จะบรรลุวัตถุประสงค์องค์กรในการข้ามไปจัดการกับความเสี่ยงเฉพาะเจาะจง

เนื่องจากทรัพยากรส่วนใหญ่มีจำกัด องค์กรจึงมักพิจารณาต้นทุนและผลประโยชน์ของเงื่อนไขทางเลือกการตอบสนองความเสี่ยง การวัดผลในเรื่องต้นทุนและผลประโยชน์ของการสร้างเงื่อนไขการตอบสนองความเสี่ยง ได้ถูกสร้างขึ้นมาพร้อมกับระดับที่แตกต่างของความถูกต้อง การจัดการกับด้านต้นทุนของสมการจะง่ายกว่า ซึ่งในหลายกรณีสามารถวัดในเชิงปริมาณได้อย่างถูกต้องยุติธรรม ต้นทุนทางตรงทั้งหมดรวมกับการจัดการการตอบสนอง และต้นทุนทางอ้อมที่สามารถวัดผลได้จะถูกพิจารณาเสมอ ๆ บางองค์กรได้รวมเอาต้นทุนทางโอกาสรวมกับการใช้ทรัพยากร

อย่างไรก็ตาม การวัดต้นทุนเป็นสิ่งที่ทำได้ยาก การวัดปริมาณเวลาและความพยายามหรือการจัดการกับปัจจัยภายในเป็นสิ่งที่ทำได้ยาก ดังเช่น การยอมรับของผู้บริหารในการประเมินค่าทางจริยธรรม หรือการวัดความสามารถของพนักงานที่เป็นผู้ดำเนินการแยกแยะเหตุการณ์และประเมินค่าความเสี่ยง และอาจเป็นความยากที่จะจับข้อมูลข่าวสารภายนอก เช่น ความคิดสร้างสรรค์ทางการตลาดในการค้นหาความชอบของลูกค้า

ในด้านผลประโยชน์อาจรวมถึงคุณค่าทางวัตถุ เช่น ผลประโยชน์ของโปรแกรมการอบรมที่มีประสิทธิภาพ ปรากฏให้เห็นโดยทั่วไปแต่ยากต่อการวัดปริมาณ แม้กระนั้นปัจจัยภายในที่แท้จริงสามารถพิจารณาได้ในแง่การประเมินค่าผลประโยชน์แฝง ความเป็นไปได้ของเหตุการณ์ที่ไม่ปรารถนาให้เกิดขึ้น หรือเหตุการณ์ทางธรรมชาติ และปฏิบัติการและการเงินที่มีประสิทธิภาพมีผลกระทบต่อเหตุการณ์อาจเกิดขึ้นกับองค์กร

ในขณะที่ความท้าทายในการประเมินค่าต้นทุนและผลประโยชน์ยังคงอยู่ การวิเคราะห์ต้นทุน ผลประโยชน์ ควรดำเนินไปในระดับที่เพียงพอที่จะประเมินผลการตอบสนองความเสี่ยงจากพื้นฐานความเสี่ยงของแต่ละคน หรือจากประวัติที่ผ่านมา บางองค์กรอาจเลือกที่จะประเมินค่าการตอบสนองความเสี่ยงในแง่ของความต้องการเพิ่มทุน ตัวอย่างเช่น จุดคุ้มทุน หรือต้นทุน ณ จุดเสี่ยง และอาจพิจารณาในแง่เงินเฟ้อ การลดดอกเบี้ย และการวิเคราะห์ความอ่อนไหว

3. ประเมินโอกาสที่เกิดขึ้นจากการดำเนินการตามกลยุทธ์การจัดการความเสี่ยง
ความเสี่ยงที่เป็นธรรมชาติถูกวิเคราะห์และประเมินการตอบสนอง ด้วยเจตนาของการบรรลุระดับความเสี่ยงส่วนที่เหลือให้อยู่ในระดับความเสี่ยงที่ยอมรับได้ หลาย ๆ สิ่งตอบสนองอาจทำให้ความเสี่ยงส่วนที่อยู่ในระดับความเสี่ยงที่ยอมรับได้ และบางครั้งการรวมกันของสิ่งตอบสนองทำให้เกิดผลลัพธ์สูงสุด เช่นเดียวกันกับสิ่งตอบสนองจะส่งผลกระทบต่อความเสี่ยงของเหตุการณ์แฝงหลายเหตุการณ์ เนื่องจากการตอบสนองความเสี่ยงอาจทำให้เกิดความเสี่ยงมากมาย ผู้บริหารอาจค้นพบได้ว่าการกระทำที่เพิ่มขึ้นมาไม่ได้ถูกรับประกัน กระบวนการที่มีอยู่อาจเพียงพอหรือจำเป็นต้องปฏิบัติให้ดีกว่า ดังนั้นผู้บริหารจะพิจารณาว่าการตอบสนองที่แยกกันหรือรวมกันจะโต้ตอบกับผลกระทบของเหตุการณ์แฝงได้อย่างไร

หลังจากได้ทำการประเมินเพื่อกำหนดกลยุทธ์การจัดการความเสี่ยงที่มีประสิทธิผลจากแนวทางที่ได้กล่าวมาแล้วข้างต้น ผู้บริหารต้องทำการกำหนดแผนปฏิบัติงาน หรือขั้นตอนในการปฏิบัติ โดยต้องระบุเวลาแล้วเสร็จเพื่อให้มั่นใจได้ว่าจะมีการดำเนินงานตามกลยุทธ์เพื่อให้เกิดโอกาสตามที่คาดหวังไว้