Archive for the "แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework" Category

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 4

ในการจัดระดับความเสี่ยงจะต้องปฏิบัติทั้งก่อนและหลังการตรวจสอบ โดยวัตถุประสงค์ของการจัดระดับก่อนการตรวจสอบนั้น ก็เพื่อระบุประเด็นที่มีความเสี่ยงตามข้อมูลที่มีอยู่ และเพื่อจัดสรรทรัพยากรและเวลาในการออกตรวจสอบให้สอดคล้องกัน ส่วนการจัดระดับภายหลังการตรวจสอบนั้น เพื่อระบุระดับความเสี่ยงขององค์กรที่บ่งชี้ถึง ระดับความสําคัญที่ผู้กํากับดูแลต้องให้ความเอาใจใส่ ติดตามและดําเนินมาตรการแก้ไข

การจัดระดับความเสี่ยงด้านกลยุทธ์

การจัดระดับความเสี่ยงด้านกลยุทธ์
ระดับความเสี่ยงอยู่ในเกณฑ์ต่ำ การเปลี่ยนแปลงโครงสร้างองค์กร หรือผู้ที่อยู่ในตําแหน่งงานที่สําคัญ หลังจากการตรวจสอบครั้งก่อน มีผลกระทบต่อองค์กรเพียงเล็กน้อย องค์กรต้องมีการวางแผนกลยุทธ์ที่จะช่วยให้การบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิผล สมมติฐานหรือปัจจัยต่าง ๆ ที่ใช้ในการวางแผนกลยุทธ์ มีความสมเหตุสมผล และแผนสะท้อนให้เห็นถึงจุดแข็ง จุดอ่อน โอกาส อุปสรรค และตําแหน่งในตลาดขององค์กรเป็นอย่างดี

การวางแผนกลยุทธ์มีความน่าเชื่อถือ มีส่วนของผู้ถือหุ้นหรือมีเงินกองทุนที่มั่นคง บุคลากร ระบบงาน และการจัดการรองรับเพียงพอสําหรับอนาคต มีระบบการบริหารความเสี่ยงและแผนการดําเนินงานที่มีประสิทธิภาพ เป้าหมายกลยุทธ์มีความชัดเจน และสอดคล้องกับทิศทางการดําเนินธุรกิจและสภาพแวดล้อมที่เปลี่ยนแปลงไป มีการสื่อสารเป้าหมายกลยุทธ์และวัฒนธรรมองค์กรอย่างทั่วถึง และมีการปฏิบัติตามอย่างสม่ำเสมอ

การตัดสินใจทางกลยุทธ์ หรือการเปลี่ยนแปลงของปัจจัยภายนอก จะมีผลกระทบต่อองค์กรเพียงเล็กน้อย

ระดับความเสี่ยงอยู่ในเกณฑ์ปานกลาง การเปลี่ยนแปลงโครงสร้างองค์กร หรือผู้ที่อยู่ในตําแหน่งงานที่สําคัญ หลังจากการตรวจสอบครั้งก่อนมีผลกระทบต่อองค์กรพอสมควร โดยไม่มีนัยสําคัญ

องค์กรควรมีการวางแผนกลยุทธ์ที่จะช่วยให้มีการบริหารความเสี่ยงอย่างเพียงพอ สมมติฐานหรือปัจจัยต่าง ๆ ที่ใช้ในการวางแผนมีความสมเหตุสมผล และแผนสะท้อนให้เห็นถึงจุดแข็ง จุดอ่อน โอกาส อุปสรรค และตําแหน่งในตลาดขององค์กรอย่างเพียงพอ

การวางแผน และกําหนดกลยุทธ์ มีส่วนของผู้ถือหุ้นหรือมีเงินกองทุนที่มั่นคง บุคลากร ระบบงาน และการจัดการรองรับอย่างเพียงพอสําหรับอนาคต ระบบการบริหารความเสี่ยงและแผนการดําเนินงานมีความสอดคล้องกับกลยุทธ์ เป้าหมายกลยุทธ์อาจอยู่ในลักษณะเชิงรุก แต่สอดคล้องกับทิศทางการดําเนินธุรกิจ และตอบสนองต่อสภาพแวดล้อมที่เปลี่ยนแปลงไป มีการสื่อสารเป้าหมายกลยุทธ์และวัฒนธรรมองค์กรอย่างเหมาะสม และมีการนําไปปฏิบัติอย่างมีประสิทธิผลทั่วทั้งองค์กร

ผลกระทบจากการตัดสินใจทางกลยุทธ์ หรือการเปลี่ยนแปลงของปัจจัยภายนอก ไม่มีนัยสําคัญต่อองค์กร

ระดับความเสี่ยงอยู่ในเกณฑ์สูง การเปลี่ยนแปลงโครงสร้างองค์กร หรือผู้ที่อยู่ในตําแหน่งงานที่สําคัญ หลังจากการตรวจสอบครั้งก่อน มีผลกระทบที่มีนัยสําคัญต่อองค์กรเป็นอย่างมาก

การวางแผนกลยุทธ์ไม่ช่วยสนับสนุนให้การบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิผล สมมติฐานหรือปัจจัยต่าง ๆ ที่ใช้ในการวางแผนกลยุทธ์ไม่สมเหตุสมผล และแผนงานไม่ได้สะท้อนให้เห็นถึง จุดแข็ง จุดอ่อน โอกาส อุปสรรค และตําแหน่งในตลาดขององค์กรอย่างเพียงพอ

หุ้นส่วนหรือผู้ถือหุ้น บุคลากร ระบบงาน การจัดการ ระบบการบริหารความเสี่ยง และแผนการดําเนินงานไม่สามารถรองรับการปฏิบัติตามกลยุทธ์อย่างเพียงพอ เนื่องจากการเติบโตหรือการขยายตัวของธุรกิจที่มากเกินไป การขยายตัวนี้ หากเกิดขึ้นอย่างต่อเนื่องจะส่งผลกระทบต่อรายได้และเครดิตขององค์กร กลยุทธ์อาจไม่สอดคล้องกับทิศทางการดําเนินธุรกิจ หรือไม่สามารถตอบสนองต่อสภาพแวดล้อมที่เปลี่ยนแปลงไป ไม่มีการสื่อสารเป้าหมายกลยุทธ์ และวัฒนธรรมขององค์กรอย่างชัดเจนทั่วทั้งองค์กร ไม่ได้นํากลยุทธ์ไปปฏิบัติอย่างเพียงพอหรือนําไปปฏิบัติแต่ไม่มีประสิทธิผล

การตัดสินใจทางกลยุทธ์หรือการเปลี่ยนแปลงของปัจจัยภายนอก อาจก่อให้เกิดผลกระทบในทางลบอย่างมากต่อองค์กรอย่างมีนัยสำคัญ

ตัวอย่างการจัดระดับความเสี่ยงด้านกลยุทธ์

 

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 3

ครั้งที่แล้วผมได้เกริ่นนำถึงมุมมองของการติดตามของผู้บริหารกับความเสี่ยง รวมทั้งวัตถุประสงค์ในการกำกับและติดตามการบริหารความเสี่ยงด้านกลยุทธ์ ซึ่งในสองสามตอนแรกนี้จะเป็นช่วงของการเกริ่นนำทั่ว ๆ ไป โดยรวม ๆ เพื่อก้าวไปสู่การบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์

เมื่อกล่าวถึงการบริหารความเสี่ยง และการตรวจสอบขององค์กรนั้น เราต้องไม่ลืมว่าการตรวจสอบโดยผู้ตรวจสอบภายในกับการติดตามการบริหารความเสี่ยงในแง่มุมต่าง ๆ ซึ่งในที่นี้จะเน้นที่เกี่ยวข้องกับกลยุทธ์นั้น ก็เป็นหน้าที่ของผู้บริหารเช่นเดียวกัน ซึ่งเรียกกันโดยทั่วไปว่า การติดตาม (Monitoring) นั่นเอง

การประเมิน ติดตาม และตรวจสอบการบริหารความเสี่ยงมีหลาย ๆ ด้านด้วยกัน แต่ในที่นี้ผมจะขอกล่าวถึงเฉพาะในมุมมองของความเสี่ยงด้านกลยุทธ์ ซึ่งในคำจำกัดความของความเสี่ยงด้านกลยุทธจะหมายถึง ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงานและการนำไปปฏิบัติไม่เหมาะสม หรือไม่สอดคล้องกับปัจจัยภายในและสภาพแวดล้อมภายนอก อันส่งผลกระทบต่อรายได้ หรือมุมมองอื่นของเป้าประสงค์ขององค์กร ไม่ว่าจะมองในมุมมองของ S – O – F – C ตามหลักการของ COSO หรือความเสี่ยง 5 – 7 ด้านของ ธปท. ที่มีผลกระทบต่อความสามารถในการดำรงอยู่ของกิจการ

โดยปกติแนวโน้มของความเสี่ยงถ้าเป็นสถาบันการเงิน หรือแม้กระทั่งองค์กรทั่วไป ก็จะมีผลมาจากปัจจัย 3 ประการ คือ การเปลี่ยนแปลงของปัจจัยภายนอก การเปลี่ยนแปลงปริมาณและความซับซ้อนของธุรกรรม และประสิทธิภาพของระบบบริหารความเสี่ยงที่มีอยู่มากกว่าจะมาจากปัจจัยภายในองค์กร

การมีแนวโน้มที่เพิ่มขึ้นอาจเกิดจากการที่ปัจจัยภายนอกเปลี่ยนแปลงไป เช่น การแข่งขันที่สูงขึ้นทำให้มีความเสี่ยงด้านกลยุทธ์ หรือความเสี่ยงด้านอื่น ๆ เพิ่มขึ้น แม้ว่าจะไม่มีการเปลี่ยนแปลงของปัจจัยภายในองค์กร ในกรณีดังกล่าว องค์กรจะต้องทำงานหนักและรัดกุมมากขึ้น เพื่อที่จะรักษาสถานภาพในการแข่งขันของตน ในขณะเดียวกันความผันผวนของตลาดที่เพิ่มขึ้น ทำให้เกิดความเสี่ยงด้านตลาดและความเสี่ยงด้านสภาพคล่องขององค์กร

แม้ว่าระบบที่มีอยู่ในปัจจุบันอาจเพียงพอที่จะจัดการกับความเสี่ยงในสถานการณ์ปกติ แต่อาจไม่เพียงพอเมื่อตลาดมีความผันผวนมากขึ้น ทำให้มีโอกาสที่จะเกิดความสูญเสียมากขึ้น ผู้ตรวจสอบต้องอาศัยข้อมูลภายนอก เช่น ข่าว รายงาน แนวโน้มอุตสาหกรรม และธุรกรรมขององค์กรเพื่อพิจารณาถึงความเสี่ยงที่อาจมีเพิ่มขึ้น

ความเสี่ยงที่เพิ่มขึ้นอาจเกิดจากการเปลี่ยนแปลงกลยุทธ์ หรือแผนงานธุรกิจขององค์กร ซึ่งอาจจะเกิดจากปัจจัยภายในก็ได้ในบางสถานการณ์ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่เปลี่ยนแปลงไป และเทคโนโลยีที่เปลี่ยนแปลงไป ตัวบ่งชี้ถึงความเสี่ยงที่เพิ่มขึ้น ได้แก่ การขยายตัวอย่างรวดเร็วของสินทรัพย์โดยรวม หรือสินทรัพย์ประเภทใดประเภทหนึ่ง โดยเฉพาะการเพิ่มขึ้นของการกระจุกตัวของเครดิตที่ให้กับลูกค้าที่อาจไม่สัมพันธ์กับสภาพคล่องขององค์กรเอง รวมทั้งแหล่งเงินทุน หรือมีการทำธุรกรรมใหม่ ๆ

โดยปกติผู้ตรวจสอบจะอาศัยกระบวนการวิเคราะห์ติดตาม (Monitoring) และระบบเตือนภัยล่วงหน้า (EWS – Early warning system) ในการระบุถึงการเพิ่มขึ้นของความเสี่ยงที่เกิดจากปัจจัยภายใน ซึ่งปกติจะพิจารณาได้จากอัตราส่วนทางการเงินที่มีแนวโน้มผิดปกติ หรือสัญญานเตือนภัยในระบบเตือนภัยล่วงหน้า

นอกจากนี้ ความเสี่ยงที่เพิ่มขึ้นอาจเกิดจากระบบการบริหารความเสี่ยงที่ไม่มีประสิทธิภาพ เช่น การพยายามลดต้นทุน โดยการลดงบประมาณการจัดการความเสี่ยง ในขณะที่การทำธุรกรรมยังคงเหมือนเดิม หรืออาจเกิดจากการที่ฝ่ายบริหาร ไม่ได้มีการกำหนดแผนในการฝึกอบรมหรือบุคคลที่จะมารับช่วงต่อ ในกรณีเกิดเหตุการณ์ที่ทำให้ตำแหน่งผู้บริหารระดับสูงว่างลง หรือการที่ไม่สามารถหาบุคลากรที่มีคุณสมบัติเหมาะสมมาดำรงตำแหน่งงานด้านบริหารความเสี่ยงได้

แนวโน้มความเสี่ยงที่อยู่ในสถานการณ์คงที่ เกิดจากการที่ปัจจัยต่าง ๆ ที่เกี่ยวข้องทั้งหมดไม่มีการเปลี่ยนแปลงหรือมีแต่น้อยมาก โดยที่ปัจจัยภายนอกไม่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ เช่น ภาวะการแข่งขันของตลาด โดยเฉพาะอย่างยิ่งไม่มีคู่แข่งใหม่เข้ามาในตลาด โครงสร้างการถือหุ้นไม่เปลี่ยนแปลง และมีผลิตภัณฑ์ใหม่ ๆ หรือการริเริ่มอะไรใหม่ ๆ ในตลาดไม่มากนัก

สำหรับปัจจัยภายใน รายงานการวิเคราะห์ติดตามและระบบเตือนภัยล่วงหน้า ไม่ได้แสดงให้เห็นว่ามีการเปลี่ยนแปลงที่สำคัญใด ๆ ในปริมาณการกระจุกตัว หรือโครงสร้างของสินทรัพย์ งบประมาณไม่เปลี่ยนแปลงมากนัก มีการเปลี่ยนแปลงจำนวนพนักงานและทรัพยากรเพียงเล็กน้อย

แนวโน้มความเสี่ยงที่อยู่ในสถานการณ์ลดลง เกิดจากการลดลงของอิทธิพลจากปัจจัยภายนอก หรือการที่องค์กรมีระบบการปฏิบัติงานที่ไม่ซับซ้อน เช่น มีจำนวนคู่แข่งน้อยลง หรือคู่แข่งมีความสามารถในการแข่งขันหรือทรงอิทธิพลน้อยลง การเคลื่อนไหวทางเศรษฐกิจเป็นไปอย่างช้า ๆ ซึ่งอาจจะทำให้ความเสี่ยงลดลงได้

สำหรับปัจจัยภายใน องค์กรสามารถลดความเสี่ยงได้ โดยการลดการใช้กลยุทธ์การทำธุรกิจไม่ว่าจะเป็นผลิตภัณฑ์หรือการให้บริการที่มีความซับซ้อนลง โดยปกติองค์กรที่เน้นผลิตภัณฑ์และบริการที่ไม่ซับซ้อน จะมีความเสี่ยงต่ำกว่าองค์กรที่เน้นทำธุรกรรมเพื่อค้า นอกจากนี้องค์กรสามารถลดความเสี่ยงลงได้ ด้วยการจัดให้มีระบบการบริหารความเสี่ยงที่มีประสิทธิภาพ

ความรู้ของผู้ตรวจสอบเพียงอย่างเดียวอาจไม่เพียงพอ การตรวจสอบซึ่งเน้นในเรื่องความเสี่ยงจะประสบผลสำเร็จได้ก็ต่อเมื่อ ผู้ตรวจสอบมีความรู้ความเข้าใจในธุรกิจขององค์กรเป็นอย่างดีในลักษณะของภาพโดยรวมของความเสี่ยงทั้งองค์กร ซึ่งจะช่วยให้สามารถชี้ความเสี่ยงที่มีอยู่และวางแผนการตรวจสอบอย่างเหมาะสมได้

สำหรับครั้งหน้าเราจะไปติดตามเรื่องของการจัดระดับความเสี่ยงด้านกลยุทธ์กันครับ

 

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 2

ในตอนที่ 1 ผมได้เล่าถึงมุมมองของการติดตามของผู้บริหารกับความเสี่ยง รวมทั้งการตรวจสอบด้านกลยุทธ์ที่เกี่ยวข้องกับความเสี่ยง ซึ่งเป็นเรื่องที่มีความสำคัญเป็นอย่างยิ่งและเกี่ยวข้องกับศักยภาพของการแข่งขัน และการเติบโตอย่างยั่งยืนของธุรกิจ และในบางกรณีจะเกี่ยวข้องกับการอยู่รอดของธุรกิจอย่างสำคัญ

วัตถุประสงค์ในการกำกับและติดตามการบริหารความเสี่ยงด้านกลยุทธ์ รวมทั้งบางมุมมองของการตรวจสอบนั้น ก็เพื่อให้องค์กรทั้งระบบมีความมั่นคงเข้มแข็ง โดยในการกำกับและการตรวจสอบภายในขององค์กร ซึ่งอาจจะรวมถึงบางมุมมองจากผู้กำกับของหน่วยงานภายนอก ก็อาจจะใช้แนวทางต่อไปนี้ในการประเมินความเข้มแข็งในการบริหารองค์กร ด้านต่าง ๆ ดังต่อไปนี้
1. ฐานะการเงิน และผลการดำเนินงาน
2. ประเภทและระดับของความเสี่ยง และผลกระทบที่มีต่อผลการดำเนินงาน
3. บทบาทของผู้บริหาร ความรู้ความเข้าใจ การติดตาม และควบคุมความเสี่ยง
4. ความเพียงพอของระบบบริหารความเสี่ยงที่จะรองรับความเสี่ยงที่มีอยู่

Strategic Risk

การติดตามและการกำกับ รวมทั้งมุมมองในการตรวจสอบยุคใหม่ขององค์กรต่าง ๆ ในปัจจุบันนั้น เป็นการติดตามกระบวนการบริหารความเสี่ยง และการตรวจสอบอย่างต่อเนื่อง กล่าวคือ เมื่อมีการติดตามและกำกับโดยฝ่ายบริหาร ซึ่งเป็นเรื่องปกติแล้ว สายงานตรวจสอบก็ยังต้องติดตามตรวจสอบคุณภาพการบริหารความเสี่ยงของฝ่ายบริหาร เพื่อประเมินผลสัมฤทธ์ในมุมมองต่าง ๆ ตามหลักการของ Business Balance Scorecard และในกรณีที่สายงานตรวจสอบพิจารณาว่า การบริหารความเสี่ยงในบางมุมมองขององค์กร โดยเฉพาะอย่างยิ่ง การบริหารความเสี่ยงทางด้านกลยุทธ์ ที่จะเชื่อมโยงไปยังทุกมุมมองของผลสัมฤทธ์ที่องค์กรต้องการนั้น ยังมีจุดอ่อนที่อาจปรับปรุงได้ ก็จำเป็นจะต้องเพิ่มความถี่และระยะเวลาในการตรวจสอบ

ตัวอย่างในเรื่องนี้ก็คือ ผู้บริหารและผู้ตรวจสอบไม่เข้าใจสาระความสำคัญของความเสี่ยงด้านกลยุทธ์ ที่มีผลกระทบต่อมูลค่าของกิจการในระยะยาว ไม่มีการวัด ติดตาม และควบคุมความเสี่ยงอย่างเพียงพอ และอย่างทันเวลา เครื่องมือและวิธีวัดความเสี่ยง ไม่เพียงพอและไม่เหมาะสมกับขนาดและความซับซ้อนของธุรกิจ ก็จะมีผลอย่างสำคัญต่อการวางแผนการตรวจสอบ โดยรวบรวมข้อมูลที่เกี่ยวข้องกับการตรวจสอบในภาพโดยรวม (Risk Universe) เพื่อการตรวจสอบการบริหารความเสี่ยงในมุมมองต่าง ๆ ที่เหมาะสมมากยิ่งขึ้น

การติดตามกระบวนการบริหารความเสี่ยง และการปฏิบัติงานตรวจสอบโดยทั่วไปนั้น เป็นที่เข้าใจตรงกันแล้วว่า ผู้บริหารและผู้ตรวจสอบจะคำนึงถึงผลกระทบจากความเสี่ยง และความเหมาะสมของระบบบริหารความเสี่ยง ซึ่งแตกต่างจากการตรวจสอบเพียงฐานะการเงิน หรือผลการดำเนินงาน ณ ปัจจุบันเท่านั้น

ทั้งนี้ เพื่อที่จะสามารถแก้ไขปัญหาได้ทันท่วงทีก่อนที่เกิดความเสียหายหรือความเสียหายลุกลามจนยากแก่การควบคุม

Strategic Risk Management

ในการประเมินความเสี่ยงและความเหมาะสมของระบบบริหารความเสี่ยง ผู้บริหารและผู้ตรวจสอบพึงตระหนักว่า กำไรเกิดจากความเสี่ยง กล่าวคือ หากองค์กรไม่ยอมรับความเสี่ยงก็จะไม่สามารถทำกำไรตามกลยุทธ์ที่กำหนดไว้ได้

ดังนั้น การมีความเสี่ยงสูงไม่ได้หมายถึงไม่ดี หรือการมีความเสี่ยงต่ำไม่ได้หมายความว่าดี ดีหรือไม่ดีนั้น ขึ้นอยู่กับว่าองค์กรมีระบบบริหารความเสี่ยงที่สามารถจัดการความเสี่ยงที่มีอยู่ได้หรือไม่ องค์กรไม่ควรทำธุรกรรมที่มีความเสี่ยงมากจนเกินกว่าที่จะจัดการได้ และควรระมัดระวังในการดำเนินธุรกรรมที่ไม่ชำนาญ หรือมีความรู้เกี่ยวกับความเสี่ยงที่เกี่ยวข้องเพียงเล็กน้อย เพราะอาจเกิดผลกระทบต่อความสามารถหรือขาดทุนจำนวนมากในภายหลัง ในขณะเดียวกัน องค์กรควรพัฒนาหรือจัดให้มีระบบบริหารความเสี่ยงที่เหมาะสมกับปริมาณ ความ ซับซ้อน และประเภทของธุรกรรมที่เกี่ยวข้อง

ตอนต่อไปผมจะได้เล่าถึงกระบวนการติดตามการบริหารความเสี่ยง และการตรวจสอบในภาพโดยรวม ก่อนที่จะก้าวสู่การกำกับและการบริหาร รวมทั้งการตรวจสอบทางด้านกลยุทธ์ต่อไปตามลำดับนะครับ

 

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 1

ผมไม่ได้เขียนคอลัมน์นี้มานาน วันนี้ผมจะมาเล่าเรื่องที่เกี่ยวข้องกับการบริหารความเสี่ยงในอีกมุมมองหนึ่งก็คือ การตรวจสอบความเสี่ยง ซึ่งมีหลายมุมมองที่เกี่ยวข้อง ไม่ว่าจะในมุมมองของ COSO – ERM หรือมุมมองของ ความเสี่ยง 5 – 7 ด้านของ ธปท. ทั้งนี้ไม่รวมหัวข้อที่เกี่ยวข้องกับ IT Audit และ Integrated Audit รวมทั้งมุมมองการตรวจสอบความเสี่ยงด้าน CobiT ซึ่งจะหนักไปทาง IT Audit นะครับ

ท่านผู้อ่านครับ มาถึงช่วงต้นเดือนมกราคม 2554 และนับต่อจากนี้เป็นต้นไป ท่านคงจะได้ยินและได้อ่านเรื่องเกี่ยวกับ GRC – Governance + Risk Management + Compliance มากขึ้น ในวงการบริหารและปฏิบัติงานยุคใหม่ กระบวนการบริหารต่าง ๆ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ โดยเฉพาะอย่างยิ่งทางด้านเทคโนโลยีสารสนเทศ และการบริหารธุรกิจในระดับต่าง ๆ ของทุกองค์กร

วันนี้ผมจึงมาเล่าเรื่องมุมมองการตรวจสอบความเสี่ยงด้านกลยุทธ์ ซึ่งจะแบ่งได้เป็นหลายตอน ที่ผมเริ่มเรื่องนี้ก่อนก็เพราะความเสี่ยงด้านกลยุทธ์ มีความสำคัญอย่างยิ่งยวด และมีผลกระทบต่อกระบวนการบริหารด้านต่าง ๆ ขององค์กรเป็นอย่างยิ่ง

GRC และการจัดการ

การตรวจสอบความเสี่ยง คือการตรวจสอบ เพื่อประเมินฐานะ และผลการดำเนินงานขององค์กร โดยคำนึงถึงผลกระทบจากความเสี่ยงที่เกี่ยวข้องและมีนัยสำคัญ เพื่อที่จะสามารถแก้ไขปัญหาได้ทันท่วงที ก่อนที่จะเกิดความเสียหาย หรือก่อนที่ความเสียหายจะลุกลาม

การตรวจสอบความเสี่ยงไม่ใช่การตรวจสอบ เพื่อประเมินฐานะและผลการดำเนินงานที่เกิดขึ้นแล้วเพียง ณ วันตรวจสอบ และการบริหารความเสี่ยงขององค์กรเท่านั้น แต่ให้ความสำคัญกับการตรวจสอบ และประเมินฐานะและผลการดำเนินงานขององค์กรที่จะเป็นไปในอนาคต เท่าที่จะมีข้อมูลและหลักฐานสนับสนุนการประเมินอย่างเพียงพอ

นอกจากนี้ ยังเป็นการตรวจสอบโดยมุ่งเน้นใช้ทรัพยากร ได้แก่ ผู้ตรวจสอบและเวลาที่ใช้ในการตรวจสอบในเรื่องที่มีความเสี่ยงสำคัญ เพื่อให้การใช้ทรัพยากรที่มีจำกัดเป็นไปอย่างมีคุณค่า และเพื่อลดแรงจูงใจที่องค์กรจะยอมรับความเสี่ยงเกินกว่าระดับที่สามารถจะจัดการได้ (excessive risk / risk appetite)

แนวการตรวจสอบความเสี่ยงนั้น มีวัตถุประสงค์ เพื่อให้ผู้บริหารและผู้ตรวจสอบใช้เป็นข้อสังเกตเบื้องต้น และใช้เป็นแนวทางในการติดตาม (Monitoring) และตรวจสอบ (Audit – Assurance/Consoulting) และประเมินความเสี่ยงด้านกลยุทธ์ และด้านอื่น ๆ ที่เกี่ยวข้อง ตามเป้าประสงค์ของการบริหารความเสี่ยงในแต่ละองค์เป็นสำคัญ และ

เพื่อให้มั่นใจว่าองค์กรมีระบบการบริหารความเสี่ยงที่ใช้ในการระบุ วัด ติดตาม และควบคุมความเสี่ยงต่าง ๆ อย่างเพียงพอ ทั้งกำหนดหน้าที่และความรับผิดชอบ ในการจัดให้มีระบบการบริหารความเสี่ยงที่เหมาะสมกับปริมาณ ความซับซ้อนของระบบงาน โครงสร้างขององค์กร และสภาพแวดล้อมต่าง ๆ ที่เกี่ยวข้อง ทั้งนี้เพราะ ความเสี่ยงด้านกลยุทธ์จะมีผลกระทบอย่างกว้างขวางต่อผลสำเร็จของการบริหารในทุกมุมมองของการจัดการ โดยเฉพาะอย่างยิ่ง ความเสี่ยงทางด้านการดำเนินงาน (Operational Risk) ที่เกี่ยวข้องกับ P + P + T และการบริหารโครงการ / แผนงานต่าง ๆ ขององค์กร

ความสำเร็จในการติดตามและตรวจสอบ ต้องอาศัยความรู้เกี่ยวกับธุรกรรมขององค์กร และลักษณะที่แตกต่างของธุรกิจ สภาพแวดล้อม และวัฒนธรรมขององค์กรที่เกี่ยวข้องกับการดำเนินธุรกิจ แนวทางในการบริหารความเสี่ยง รวมทั้งพัฒนาการของวิธีการ / เครื่องมือบริหาร ความเสี่ยง และทักษะในการประเมินผลกระทบจากความเสี่ยงเหล่านั้นในลักษณะบูรณาการ (integrated) ภายใต้ร่มของ GRC

ผู้บริหารและผู้ตรวจสอบ ควรหมั่นฝึกฝนทักษะในการประเมินความเสี่ยง และการใช้ดุลยพินิจพิจารณาเรื่องต่าง ๆ โดยอาศัยหลักฐานตามกระบวนการจัดการที่ได้รับจากการตรวจสอบ ซึ่งรวบรวมไว้แล้วก่อนการตรวจสอบอย่างเพียงพอ แนวทางการบริหารและการตรวจสอบความเสี่ยงนี้ไม่ได้ครอบคลุมรายละเอียดกระบวนการ ขั้นตอนและวิธีการหาข้อมูลหลักฐานและการตรวจสอบข้อเท็จจริง (verify) ของข้อมูลหลักฐานเหล่านั้น เพื่อนำมาใช้ในการประเมินความเสี่ยง ดังนั้น ผู้บริหารและผู้ตรวจสอบใหม่จำเป็นต้องศึกษาจากแนวทางการจัดการ รวมทั้งแนวทางการตรวจสอบอื่น ๆ ที่เกี่ยวข้อง

สำหรับวันนี้ผมขออุ่นเครื่องในเรื่องความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ ตอนที่ 1 เพียงเท่านี้ก่อน ซึ่งในตอนที่ 2 และในตอนต่อ ๆ ไป ผมจะได้อธิบายถึงเรื่องหลักการติดตามของผู้บริหาร (Monitoring) กับแนวทางการตรวจสอบความเสี่ยงของผู้ตรวจสอบภายในก่อนที่จะเน้นถึงเรื่องความเสี่ยงด้านกลยุทธ์ครับ

 

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร (ต่อ)

ครั้งที่แล้ว ผมได้พูดถึงหลักการและคำแนะนำบางประการ เพื่อยกระดับการบริหารความเสี่ยง ไปสู่การบริหารเชิงรุกอย่างเป็นระบบ โดยนำเสนอคำแนะนำในกรณีที่องค์กรสามารถยกระดับการบริหารความเสี่ยง จากน้อยไปสู่การบริหารความที่สร้างมูลค่าเพิ่มให้แก่องค์กรไปแล้วนั้น สำหรับครั้งนี้ ผมจะขอต่อด้วยการยกระดับการบริหารความเสี่ยง กรณีที่จะสามารถปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) ซึ่งสามารถพิจารณาได้จากหลักการและคำแนะนำบางประการ ดังนี้

กรณีที่ 2 การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร

1. กระบวนการบริหารความเสี่ยง เป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ

1.1 การมีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคล หรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคล หรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

องค์กรจะต้องเน้นความสำคัญของกระบวนการบริหารความเสี่ยง โดยถือเป็นส่วนสำคัญของการพิจารณาผลตอบแทนหรือความดีความชอบ โดยในแต่ละสายงานที่เกี่ยวข้องกับความเสี่ยงระดับองค์กร จะมีการถ่ายทอดตัวชี้วัดด้านการบริหารความเสี่ยงลงสู่ระดับสายงานดังกล่าว การเชื่อมโยงผลตอบแทนกับระดับความเสี่ยงที่สามารถลดลงได้ในแต่ละปัจจัยเสี่ยงของแต่ละสายงานนั้น ควรกำหนดให้ชัดเจน และการประเมินผลด้านการบริหารความเสี่ยงที่ถือเป็นส่วนหนึ่งของตัวชี้วัดของสายงานนั้น ๆ โดยเฉพาะผลงานด้านการบริหารความเสี่ยงกับแรงจูงใจพิเศษ

1.2 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง ซึ่งการยกระดับการบริหารความเสี่ยงองค์กรจะต้องมีหลักฐานชัดเจนในการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม โดยมีการถ่ายทอด (Deploy) เป้าหมายของตัวชี้วัดองค์กรลงสู่สายงานต่าง ๆ รวมถึงมีการถ่ายทอด Risk Appetite ระดับองค์กรลงสู่สายงานต่าง ๆ ด้วยเช่นกัน

2. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี

2.1 คณะกรรมการจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุล ระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น องค์กรควรแสดงให้เห็นถึงการที่คณะกรรมการมีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุน และการจัดการด้าน IT กับความเสี่ยงที่จะเกิดขึ้น มีการศึกษาผลตอบแทนด้านการลงทุนด้าน IT ในมุมของผลประโยชน์ ทั้งที่เป็นตัวเงินและมิใช่ตัวเงิน รวมถึงการพิจารณาในเชิงของการระบุความเสี่ยง การประเมินความรุนแรง และการบริหารความเสี่ยง

2.2. Board มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน ผ่านคณะกรรมการด้าน IT โดยในแผนแม่บท IT ต้องมีการกำหนด KPIs และ Outcome ของแผนงาน/โครงการไว้ชัดเจน และมีการประเมินอย่างต่อเนื่อง

2.3. การดำเนินงานตามแผน ISO 27001 ดีกว่าเป้าหมายที่กำหนดไว้ในแผนประจำปีบัญชี องค์กรมีการจัดทำแผนความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT Security Plan) ตามแนวทางของมาตรฐาน ISO 21001 โดยมีการดำเนินงานตามแผนงาน/โครงการ ได้ดีกว่าเป้าหมายที่กำหนดไว้

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยง เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่องค์กรระบุไว้ รวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ หรือการที่องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) เพื่อการสร้างสรรค์/นวัตกรรม (Innovation)

องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ มีการบริหารจัดการความรู้ โดยการส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศ เพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร โดยจัดให้พนักงานเข้ารับการอบรมในเรื่องต่าง ๆ รวมถึงองค์กรสามารถบริหารความเสี่ยงโดยผ่าน SWOT ขององค์กรวิเคราะห์ถึงโอกาสในการที่จะสร้างมูลค่าเพิ่มให้กับองค์กรอย่างชัดเจน

 

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร (ต่อ)

สวัสดีครับ วันนี้เราจะมาพูดคุยกันถึงคำแนะนำในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร บางประการ ที่จะสามารถเพิ่มประสิทธิภาพ เพื่อยกระดับการบริหารความเสี่ยงขององค์กรไปสู่ระดับการบริหารความเสี่ยงที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กรได้ โดยมีหลักการพิจารณาง่าย ๆ ที่ผมจะนำเสนอต่อจากครั้งที่แล้ว ดังนี้

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี

5.1. ก) องค์กรมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยง และปัญหาที่อาจเกิดขึ้นทางด้าน IT โดยมีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน และควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่าง ๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่องด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่าง ๆ ที่อาจเกิดขึ้นได้ )

ทั้งนี้องค์กรควรมีการดำเนินงานด้าน IT ตามแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งการพัฒนากระบวนการประเมินความเสี่ยง ด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร ตามมาตรฐานความมั่นคงปลอดภัย ISO/IEC 27001 ที่ดำเนินงานตามระบบจัดการดำเนินธุรกิจอย่างต่อเนื่องของงานหลักทุก ๆ ด้าน และมีการวิเคราะห์ผลกระทบต่อบริษัท การดำเนินกิจกรรมเพื่อลดความเสี่ยง รวมถึงการติดตามประเมินผล

ข) องค์กรมีการกำหนดกรอบการดำเนินงานการบริหารความต่อเนื่องทางธุรกิจ ตามแผนงานการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) และดำเนินการวิเคราะห์ – ประเมินผลกระทบต่อการหยุดชะงักการดำเนินงานที่สำคัญ ซึ่งประกอบด้วย การประเมินความเสี่ยง (Risk Assessment) การวิเคราะห์ผลกระทบทางธุรกิจ ( Business Impact Analysis: BIA ) และการวิเคราะห์และระบุงานที่สำคัญ (Critical Business Function) โดยวิเคราะห์ผลกระทบทางธุรกิจ ( Business Impact Analysis: BIA ) ซึ่งพิจารณาจากระบบหลัก ที่มีผลกระทบโดยตรงในระยะเวลาสั้นต่อการดำเนินงาน โดยเน้นเรื่อง Time Critical (Maximum Tolerable Period of Disruption : MTPD) เป็นหลัก และให้ความสำคัญต่อผลกระทบทางการเงินและผลกระทบต่อการดำเนินงานขององค์กร

5.2. 1) Board มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT คือ ได้มีการจัดทำแผนแม่บทเทคโนโลยีสารสนเทศ และดำเนินงานตามแผน โดยเป็นแผนเชิงกลยุทธ์ ซึ่งได้พิจารณาถึงการเปลี่ยนแปลงสภาวะแวดล้อมด้านเทคโนโลยีสารสนเทศ และการสื่อสารที่มีผลกระทบต่อการดำเนินธุรกิจ ทั้งในปัจจุบันและอนาคต โดยคณะกรรมการฯ มีบทบาทสำคัญ เพราะเป็นผู้ควบคุมดูแลตัดสินใจเรื่องนโยบาย รวมถึงแต่งตั้งฝ่ายจัดการ เพื่อจัดการงานประจำ ดังนั้น คณะกรรมการฯ จึงสามารถบริหารจัดการและติดตามประเมินผลการดำเนินงานโครงการด้าน IT ที่อยู่ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสาร ด้วยการติดตามและรายงานผลการดำเนินงานโครงการตามแผนธุรกิจ ซึ่งมีโครงการคลอบคลุมการดำเนินงานทั้งหมด รวมทั้งโครงการที่อยู่ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารเป็นไปอย่างเป็นระบบและสอดคล้องกัน

2) คณะกรรมการองค์กรแต่งตั้ง คณะอนุกรรมการกำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (IT Strategy Committee) เพื่อกลั่นกรองงานด้าน IT โดยมี CIO มีอำนาจหน้าที่ เช่น ให้คำปรึกษาแนะนำ และนำเสนอข้อมูลเชิงลึกด้านเทคโนโลยีสารสนเทศ (IT) แก่คณะกรรมการองค์กร ในเรื่องการพัฒนาเชิงลึกของ IT ความสอดคล้องของ IT กับทิศทางการดำเนินกิจการขององค์กร การมีทรัพยากรด้าน IT ที่พอเพียงและเหมาะสม รวมทั้งทักษะที่จำเป็น และ IT Infrastructure ประโยชน์ที่ได้รับจากการลงทุนด้าน IT ความเสี่ยงที่เกี่ยวข้องกับ IT และความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามนโยบายด้าน IT

5.3. ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการความมั่นคงปลอดภัย และกฎเกณฑ์ด้าน IT อย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุน ทางด้าน IT และระยะเวลาของการเปลี่ยนแปลง กระบวนการและระบบการทำงาน เป็นต้น โดยฝ่ายบริหารจะต้องมีการประเมินศักยภาพ และความคุ้มค่าของการใช้ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เพื่อการตัดสินใจของคณะกรรมการและผู้บริหารระดับสูง ในเชิงวิเคราะห์เปรียบเทียบกับวัตถุประสงค์และเป้าหมาย อันได้แก่ การนำเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมมาใช้งาน เพื่อพัฒนาระบบงานด้านต่าง ๆ ให้มีประสิทธิภาพ มีคุณภาพที่สอดคล้อง และรองรับต่อความต้องการของลูกค้า และทันต่อการเปลี่ยนแปลง โดยการนำ IT มาช่วยสนับสนุน หรือพัฒนาให้การปฏิบัติงานประจำมีความสะดวก รวดเร็ว ลดระยะเวลาในการทำงาน หรือลดความซ้ำซ้อนในการดำเนินงาน ซึ่งเป็นการใช้งานระบบ IT ทั้งทางด้าน Admin และงานด้านสนับสนุนภารกิจหลัก

5.4. การดำเนินงานตามแผน ISO 27001 เป็นไปตามเป้าหมายที่กำหนดไว้ในแผนประจำปี คือองค์กรได้มีการจัดทำแผนการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและการสื่อสาร ตามแนวทางของมาตรฐาน ISO 17799 โดยมีการดำเนินการตามแผนงาน/โครงการ ซึ่งประกอบด้วยแผนงาน/โครงการสำหรับระบบงานหลักและระบบงานรอง

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงดีกว่าแผนฯ ในปัจจัยเสี่ยงที่มีความรุนแรงสูง (อยู่ในดุลยพินิจของคณะอนุกรรมการ) และดีขึ้นจากอดีตที่ผ่านมา โดยผลการบริหารความเสี่ยงในทุกปัจจัยเสี่ยงขององค์กร มีระดับความรุนแรงลดลงทุกปัจจัยเสี่ยง ซึ่งในทุกปัจจัยเสี่ยงขององค์กรมีการระบุอย่างชัดเจน ถึงระดับความรุนแรงของความเสี่ยงทั้งก่อนและหลังการบริหารฯ โดยที่ระดับความรุนแรงก่อนและหลังบริหารความเสี่ยงแล้วนั้น องค์กรสามารถบริหารฯ ได้มีระดับความรุนแรงหลังบริหารความเสี่ยงลดลงจากก่อนบริหารความเสี่ยง รวมถึงองค์กรได้มีการดำเนินการตามแผนครบทุกกิจกรรม และมีผลการดำเนินงานดีกว่าเป้าหมายที่กำหนดไว้

 

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร

การบริหารความเสี่ยงที่มีการประเมินผลโดยรวม ต่อการดำเนินงานของหน่วยงานหรือองค์กร ตามหลักการของ COSO – ERM เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงานที่เป็นรูปธรรม ส่งผลให้หน่วยงานหรือองค์กรมีการบริหารจัดการ เพื่อยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่การบริหารเชิงรุกอย่างเป็นระบบ ซึ่งหน่วยงานหรือองค์กรสามารถยกระดับการบริหารความเสี่ยง จากน้อยไปสู่การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มให้แก่องค์กร หรือจนกระทั่งปลูกฝังให้การบริหารความเสี่ยง เป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าเพิ่มให้แก่องค์กร (Value Creation) ได้ในที่สุดนั้น สามารถพิจารณาได้จากหลักการ และคำแนะนำบางประการ ดังที่ผมจะได้เล่าสู่กันฟัง เป็นหัวข้อที่เข้าใจง่าย ๆ ดังนี้

กรณีที่ 1 การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กร

1. การกำหนดกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร

1.1. ก) องค์กรควรมีหลักฐานที่ชัดเจนถึงการเชื่อมโยงกลยุทธ์ การบริหารความเสี่ยง นโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร โดยเป้าหมายเชิงกลยุทธ์ ควรประกอบด้วย การรักษาความสามารถในการดำเนินธุรกิจหลักขององค์กร, มุ่งเน้นในการสร้างรายได้จากธุรกิจใหม่ที่มีอัตราการทำกำไรที่ดี และพัฒนาความสามารถของพนักงานและกระบวนการดำเนินงานอย่างต่อเนื่อง ซึ่งองค์กรควรได้ถ่ายทอดลงมาเป็นปัจจัยเสี่ยงและเป้าหมายในการบริหารความเสี่ยงอย่างชัดเจน

ข) องค์กรมีการกำหนดเรื่องการบริหารความเสี่ยง เป็นส่วนหนึ่งของวัตถุประสงค์ในการดำเนินธุรกิจในแผนธุรกิจ และแผนเพิ่มประสิทธิภาพ โดยกำหนดเป็นวัตถุประสงค์ด้านองค์กร คือ เพื่อเป็นองค์กรที่มีการบริหารในแนวทางของการกำกับดูแลกิจการที่ดี ควบคู่ไปกับการบริหารความเสี่ยงที่เป็นมาตรฐานสากล นอกจากนี้ การกำหนดนโยบายใหม่ ๆ ขององค์กรควรมีการกำหนดให้คณะกรรมการบริหารความเสี่ยงพิจารณาด้วย

2. องค์กรมีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยงเพื่อเพิ่มมูลค่า (Value Enhancement)

2.1. การปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน องค์กรมีการจัดทำแผนบริหารความเสี่ยงประจำปี โดยเป็นส่วนหนึ่งของแผนธุรกิจ และแผนเพิ่มประสิทธิภาพ และมีการปฏิบัติตามแผนปฏิบัติการบริหารความเสี่ยงได้อย่างครบถ้วน

2.2. มีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงิน โดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน หรือการควบคุม/บริหารต้นทุน และ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่องค์กรมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยง เพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างมูลค่าขององค์กร (Value Creation) โดยที่องค์กรมีการนำเป้าหมายทางการเงินของแผนยุทธศาสตร์มาวิเคราะห์ เชื่อมโยงและค้นหาปัจจัยเสี่ยง เพื่อนำมาบริหารความเสี่ยงและจัดทำแผนรองรับ โดยเป้าหมายของแผนบริหารความเสี่ยงทั้งการเงินและมิใช่การเงินขององค์กร สามารถบรรลุเป้าหมายได้ครบถ้วนตามที่กำหนด

2.3. มีการสื่อสารถึงคณะกรรมการตรวจสอบ และผู้บริหารระดับสูงสุดอย่างต่อเนื่อง ตามที่ระบุไว้ในคู่มือการบริหารความเสี่ยง โดยมีการรายงานผลการบริหารความเสี่ยง ต่อผู้บริหารระดับสูงอย่างต่อเนื่อง และมีการติดตามความเสี่ยงเป็นประจำทุกเดือน รวมถึง รายงานผลการบริหารความเสี่ยงในทุกไตรมาส ซึ่งได้กำหนดไว้ในคู่มือการบริหารความเสี่ยง เพื่อให้เป็นมาตรฐานปฏิบัติอย่างต่อเนื่องในการบริหารความเสี่ยงองค์กร

3. องค์กรมีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น เมื่อสภาพแวดล้อมเปลี่ยนแปลงไป หรือกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด

3.1. องค์กรมีการทบทวนการบริหารความเสี่ยง โดยมีการปรับเปลี่ยนวิธีการตามกระบวนการบริหารความเสี่ยงและองค์ประกอบในการบริหารความเสี่ยงในระดับองค์กร รวมถึงมีการทบทวนแผนหลักบริหารความเสี่ยงและควบคุมภายใน ซึ่งเป็นการปรับเปลี่ยนแผนในการดำเนินงานให้มีความสอดคล้อง เหมาะสมกับสภาพแวดล้อม และความจำเป็นขององค์กร และมีความชัดเจนในภาพการบูรณาการ การบริหารความเสี่ยงระดับองค์กรและระดับฝ่ายงาน กับกระบวนการบริหารเชิงกลยุทธ์

4. องค์กรจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง โดยต้องจัดให้มีการ สำรวจความตระหนักของพนักงานเกี่ยวกับระบบบริหารความเสี่ยงขององค์กร และนำผลสำรวจมาจัดทำแผนงาน และกำหนดเป้าหมายของแผนงานที่ชัดเจนในปีต่อไป

4.1. ก) องค์กรจัดให้มีการสำรวจความรู้ ความเข้าใจ เรื่องการบริหารความเสี่ยงและควบคุมภายใน จากพนักงานเพื่อรับทราบความรู้ ความเข้าใจเรื่องการบริหารความเสี่ยงและควบคุมภายใน และรับทราบความคิดเห็น โดยมีทั้งคำถามแบบปลายปิดและปลายเปิด โดยในส่วนของคำถามปลายปิด เป็นการสอบถามถึงความรู้ ความเข้าใจเกี่ยวกับการบริหารความเสี่ยง และการสอบถามถึงการบริหารความเสี่ยงที่ควรทราบ ส่วนคำถามปลายเปิด เป็นการให้พนักงานเสนอแนะเพิ่มเติม เพื่อนำมาเป็นข้อมูลในการวิเคราะห์เพื่อจัดทำแผนงาน/โครงการ/กิจกรรมส่งเสริมความรู้ความเข้าใจและความตระหนักรู้ในเรื่องการบริหารความเสี่ยงให้กับพนักงาน และเพื่อจะได้พิจารณากำหนดแนวทางในการส่งเสริม และผลักดันให้การบริหารความเสี่ยงแทรกซึมอยู่ในกระบวนการปฏิบัติงานประจำ เพื่อสร้างมูลค่าเพิ่มและปลูกฝังเป็นวัฒนธรรมองค์กร

ข) ฝ่ายบริหารความเสี่ยงควรทำการสำรวจความคิดเห็นของพนักงานหน่วยงานเจ้าของความเสี่ยงได้แก่ หน่วยงานด้านการบริหารการเงิน ด้านเทคโนโลยีสารสนเทศ ด้านบริการ ด้านบริหาร ด้านแผนและพัฒนา และหน่วยงานด้านอื่น ๆ ในองค์กรที่ดำเนินการบริหารความเสี่ยง เพื่อให้ผู้บริหารทราบถึงทัศนคติและความคิดเห็น รวมทั้งข้อเสนอแนะต่าง ๆ เพื่อใช้ประโยชน์ในการพัฒนาการบริหารความเสี่ยงต่อไป

การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กร ยังไม่จบเพียงเท่านี้ ครั้งหน้าผมจะมาเล่าสู่กันฟังถึงหลักการและคำแนะนำในข้ออื่น ๆ ต่อนะครับ

 

Tips การบริหารความเสี่ยง เพื่อเพิ่มประสิทธิภาพในการบริหารงานบางประการ (ต่อ)

ครั้งที่แล้ว ผมได้พูดถึงเกร็ดการบริหารความเสี่ยง เพื่อยกระดับและเพิ่มประสิทธิภาพการบริหารจัดการที่สามารถสร้างคุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนให้กับองค์กรได้บางประการแล้วนั้น วันนี้ผมจะมาบอกเคล็ดลับบางประการในการยกระดับการบริหารความเสี่ยง ซึ่งบางมุมมองก็ยังเป็นจุดอ่อนของหลายองค์กรที่อาจปรับปรุงได้ ดังนี้

1. นโยบายผู้บริหาร
– ผู้บริหารระดับสูงยังมองข้ามความสำคัญของการบริหารความเสี่ยง และไม่มีนโยบายที่ชัดเจน รวมทั้งแนวทางการปฏิบัติที่เหมาะสมในเรื่องนี้ ++
– นโยบายการบริหารความเสี่ยงไม่ครอบคลุมเรื่องที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลกระทบต่อองค์กร ซึ่งมีผลทำให้การกำหนดกลยุทธ์และแผนการดำเนินงานการบริหารความเสี่ยงมีจุดอ่อนเป็นอย่างยิ่ง ทางด้าน Operationnal Risk โดยเฉพาะทางด้าน People Risk + Process Risk + Technology Risk ซึ่งมีผลกระทบต่อไปยังกรอบใหญ่ของการบรรลุเป้าหมายของ Information Risk + Integrity Risk + Strategy Risk + Financial and Compliance Risk
– ไม่มีสายงาน หรือหน่วยงานที่ทำหน้าที่รับผิดชอบโดยตรงในเรื่องการบริหารความเสี่ยง
– อื่น ๆ +++

2. การมีส่วนร่วมในการบริหารความเสี่ยง
– พนักงานทุกคนในองค์กรขาดความสนใจ หรือไม่ให้ความสำคัญ และไม่มีส่วนร่วมในการบริหารความเสี่ยง รวมถึงไม่มีส่วนร่วมในการระบุปัจจัยเสี่ยงและกำหนดแผนบริหารความเสี่ยงขององค์กรร่วมกัน
– พนักงานหรือบุคลากรขององค์กรไม่มีทักษะ ความรู้ ความเข้าใจที่ชัดเจน ถูกต้องในเรื่องการบริหารความเสี่ยงที่เพียงพอ
– อื่น ๆ +++

3. องค์ประกอบของ ERM – Enterprise Risk Management เพื่อการบรูณาการความเสี่ยงที่ดี
– หน่วยงานหรือสายงานมีการระบุความเสี่ยงยังไม่ครบถ้วน ในมุมมองต่าง ๆ ที่เกี่ยวข้องตามคำจำกัดความของความเสี่ยงที่มี 3 องค์ประกอบหลัก ๆ
– ไม่มีการใช้ฐานข้อมูลที่เหมาะสมในการกำหนดระดับความรุนแรงของความเสี่ยง
– หน่วยงานขาดการวิเคราะห์แผนบริหารความเสี่ยงที่ครบถ้วนตาม Riks Map
– อื่น ๆ +++

4. ระบบติดตามและประเมินผลการบริหารความเสี่ยง
– องค์กรไม่มีระบบ Early Warning ในกรณีที่ผลการบริหารความเสี่ยงไม่ระบุเป้าหมาย ตามหลักการและกระบวนการบริหารความเสี่ยงที่ดี
– พนักงานในองค์กรขาดการบริหารองค์ความรู้ที่ใช้ในการติดตามและประเมินผลการบริหารความเสี่ยงอย่างมีประสิทธิภาพ
– อื่น ๆ +++

5. การสร้างมูลค่าเพิ่มให้กับองค์กร
– องค์กรไม่มีการกำหนดสายการรายงานที่เหมาะสม และเพียงพอ โดยเฉพาะอย่างยิ่ง ความเสี่ยงและผลกระทบจาก Risk IT และ IT Risk
– พนักงานในองค์กรขาดความตระหนัก และมิได้เสริมสร้างค่านิยมในเรื่องของการบริหารความเสี่ยงให้เป็นวัฒนธรรมองค์กร
– ไม่ได้นำระบบการบริหารความเสี่ยงมาใช้ในการกำหนดนโยบาย กำหนดกลยุทธ์ และวางแผนการลงทุน เพื่อสร้างคุณค่าเพิ่มให้กับองค์กร
– อื่น ๆ +++

6. IT Governance
– ความรู้และความเข้าใจในองค์ประกอบของ IT Governance ต่อ Corporate Governance และ ERM ยังมีระดับที่แตกต่างกันมาก โดยเฉพาะอย่างยิ่งการก้าวไปสู่การบริหารยุคใหม่ที่เกี่ยวข้องกับ การบริหารและการจัดการในลักษณะของ GRC ซึ่งเป็นกระบวนการหลอมรวมการบริหารและการจัดการในลักษณะเป็นหนึ่งเดียว ++
– ขาดการวิเคราะห์ความคุ้มค่าหรือมูลค่าของการลงทุนด้าน IT กับความเสี่ยงที่อาจเกิดขึ้นกับองค์กร
– ขาดการจัดทำแผน BCM และฝึกซ้อมตามที่กำหนด
– อื่น ๆ +++

เกร็ดเกี่ยวกับการพัฒนาการบริหารความเสี่ยงเพื่อยกระดับการแข่งขัน และเพิ่มประสิทธิผล ประสิทธิภาพในการจัดการ ตามที่กล่าวข้างต้นในบางประการนั้น มีเรื่องเกี่ยวเนื่องอย่างสำคัญที่มีผลกระทบต่อกระบวนการบริหารจัดการองค์กรในเรื่องต่าง ๆ อย่างหลีกเลี่ยงไม่ได้ เช่น การควบคุมภายใน การตรวจสอบภายใน การบริหารจัดการสารสนเทศ การบริหารทรัพยากรบุคคลอย่างมีคุณภาพ ซึ่งทุกเรื่องตามที่กล่าวข้างต้นมีความสัมพันธ์และโยงใยกันอย่างเป็นบูรณาการ ไม่อาจจะคิดหรือบริหารเป็นเรื่อง ๆ ตามลำพัง โดยไม่คำนึงถึงองค์ประกอบต่าง ๆ ที่เกี่ยวข้องในการพิจารณาการบริหารภาพรวมในลักษณะ Holistic Framework หรือ Interdependency Approach ที่ต้องการความเข้าใจในเรื่องที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Risk และ Business Objective ของทุกองค์กรได้

 

เกร็ดการบริหารความเสี่ยง เพื่อเพิ่มประสิทธิภาพในการบริหารงานบางประการ

ภาพโดยรวมของการบริหารความเสี่ยงที่หน่วยงานของรัฐ รวมทั้งราชการอาจมีความสามารถที่แตกต่างกันมากพอสมควรนั้น สามารถปรับปรุงได้ในภาพกว้าง ๆ ที่อาจกล่าวได้โดยรวมดังนี้ คือ

1. หน่วยงานยังไม่มีองค์ประกอบหลักของการบริหารความเสี่ยงที่ดี เช่น ไม่สามารถกำหนดแผนบริหารความเสี่ยง และขาดการติดตามและรายงานผลการบริหารความเสี่ยงให้คณะกรรมการ และผู้บริหารรับทราบเพื่อพิจารณาสั่งการ

2. องค์กรควรให้ความสำคัญกับการบริหารความเสี่ยง และควรจัดทำแผนการบริหารความเสี่ยง เพื่อให้องค์กรสามารถบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ และประสิทธิผล รวมถึงควรมีการติดตามผล และรายงานผลการบริหารความเสี่ยงเสนอต่อผู้บริหารระดับสูง และคณะกรรมการอย่างสม่ำเสมอ

3. หน่วยงานควรมีการรายงานผลการดำเนินงานในแต่ละปัจจัยเสี่ยงบางประการเพิ่ม เติม เช่น ระดับความรุนแรงเทียบกับเป้าหมายที่องค์กรคาดหวัง ผลการดำเนินงานเทียบกับ Risk Appetite / Risk Tolerance ที่กำหนด และผลการดำเนินงานเทียบกับเป้าหมายในแผนการบริหารความเสี่ยง ฯลฯ

4. องค์กรควรนำ Risk Map มาศึกษาและจัดทำแผนบริหารความเสี่ยงเชิงบูรณาการ เพื่อแสดงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีต่อหน่วยงานต่าง ๆ ในองค์กร โดย Risk Map นี้ต้องแสดงถึงการกำหนดสาเหตุของความเสี่ยง การวิเคราะห์ความสัมพันธ์หรือผลกระทบระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์/ผลกระทบของสาเหตุ รวมถึงการนำ Risk Map ไปใช้ในการบริหารความเสี่ยงอย่างเป็นรูปธรรม และมีการติดตามและปรับปรุงอยู่เสมอ

5. องค์กรควรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจในโอกาสทางธุรกิจ (Opportunity) ซึ่งเป็นหนึ่งใน 3 หลักของคำจำกัดความของความเสี่ยง คือ – ความเสี่ยงที่เป็น “อุปสรรค” ในการบรรลุเป้าหมาย – ความเสี่ยงที่เป็น “ความไม่แน่นอน” ในการบรรลุเป้าหมาย – ความเสี่ยงในการเสีย “โอกาสทางธุรกิจ” เพื่อเพิ่มมูลค่าให้กับองค์กร ซึ่งเป็นส่วนหนึ่งของหลักการวิเคราะห์ SWOT เป็นต้น

ทั้งนี้เพราะหน่วยงานต่าง ๆ มักจะเน้นการบริหารความเสี่ยงที่เป็นอุปสรรคเป็นส่วนใหญ่ โดยไม่ได้ระบุและจัดให้มีการบริหารความเสี่ยงที่เกิดจากความไม่แน่นอนในการ เสียโอกาสทางธรุกิจมากนัก ทำให้กระบวนการบริหารความเสี่ยงขาดเป้าประสงค์ของการจัดการกับความเสี่ยงใน 2 ประการหลังไปเป็นอย่างมาก ที่หน่วยงานต่าง ๆ ควรจะปรับปรุงต่อไป ดังนั้น ผู้บริหารที่เกี่ยวข้องกับการบริหารความเสี่ยง ซึ่งเป็นหน้าที่ของทุกคนอยู่แล้วที่จะต้องมีการจัดการกับความเสี่ยงของตนเอง ของสายงาน และขององค์กร ซึ่งขึ้นกับหน้าที่ที่เกี่ยวข้อง

อย่างไรก็ดี ยังมีปัจจัยสำคัญที่เป็นอุปสรรคของการพัฒนาระบบการบริหารความเสี่ยงที่ องค์กรควรจะได้มีการแก้ไขปรับปรุงอย่างเป็นรูปธรรม นอกเหนือจากที่ได้กล่าวข้างต้น ซึ่งผมจะได้นำมาเป็น Tips ในตอนต่อไปนะครับ

 

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป (ต่อ)

ในการวางแผนงาน/โครงการต่าง ๆ แน่นอนว่าองค์กรที่มีการจัดทำแผนงานก็เพื่อให้เป็นไปตามเป้าหมาย และคาดหวังว่าแผนงานหรือโครงการนั้นจะประสบความสำเร็จตามที่ได้กำหนดไว้ วันนี้ผมจะกล่าวถึงปัจจัยที่เกี่ยวข้องบางประการในการบริหารจัดการความเสี่ยง ที่ทำให้การวางแผนงาน/โครงการประสบความสำเร็จและเป็นไปตามเป้าประสงค์ของหน่วยงาน/องค์กร

ความสำเร็จของแผนงาน/โครงการขององค์กรทั่วไป และปัจจัยที่เกี่ยวข้อง
1. มีการกำหนดหน้าที่ ความรับผิดชอบการทำงานที่ชัดเจน
2. มีการมอบหมายหน้าที่ที่เหมาะสมกับบุคคลที่เข้ารับผิดชอบ
3. ผู้ปฏิบัติงานมีความรับผิดชอบต่องานที่ได้รับมอบหมาย
4. มีการจัดทำแผนงาน/โครงการ
5. เมื่อโครงการเกิดปัญหาให้มีการจัดทำรายงานด่วน
6. มีรายงานสถานภาพของแผนงาน/โครงการ เช่น รายงานประจำเดือน
7. มีระบบควบคุมการเปลี่ยนแปลงที่แน่ชัด
8. มีการบันทึกแผนงาน/โครงการที่เกิดขึ้นเป็นเอกสาร
9. ประเมินผลดำเนินการหลังจากที่ทำโครงการเสร็จสิ้น

การจัดองค์กรและการสรรหาบุคลากรจากแต่ละหน่วยงานทั้งภายในและภายนอกเข้ามาเสริมแผนงาน/โครงการ และกำหนดหน้าที่ ความรับผิดชอบของแต่ละส่วนให้ชัดเจน เป็นส่วนสำคัญที่จะทำให้แผนงานและโครงการประสบความสำเร็จได้สูง

หน้าที่และความรับผิดชอบของคณะผู้บริหารโครงการ
1. กำหนดผู้ทำหน้าที่หัวหน้าแผนงาน/โครงการและคณะทำงานที่เกี่ยวข้อง
1. กำหนดวัตถุประสงค์ ขอบข่ายงาน กลยุทธ์ และนโยบาย
2. กำหนดเงื่อนไขไปสู่ความสำเร็จของแผนงานและโครงการ
3. การอนุมัติแผนงานที่มีแผนปฏิบัติการและการบริหารความเสี่ยงที่ชัดเจน
4. ติดตามและทบทวนความคืบหน้าของแผนงาน/โครงการ
5. ให้การสนับสนุน หรือขออนุมัติจากฝ่ายบริหารในเรื่องที่เกินกว่าขอบเขตอำนาจ
6. แก้ข้อขัดแย้ง หรือปัญหาสำคัญ
7. ทบทวนหรืออนุมัติการเปลี่ยนแปลงที่สำคัญ
8. อนุมัติเรื่องที่ผู้บริหารแผนงานหรือคณะทำงานได้เสนอมา หรือให้นำไปทบทวนใหม่
9. เสนอรายงานของแผนงานและโครงการให้ฝ่ายบริหาร/คณะกรรมการบริหารอนุมัติ

การกำหนดเวลาของแผนงานและโครงการ
การกำหนดเวลาของงานที่เร่งรัด ทำให้ผู้ปฏิบัติต้องทำงานให้เสร็จตามกำหนดเวลา ทำให้ขาดความรอบคอบและเกิดความผิดพลาด มีผลกระทบต่อคุณภาพของงาน เกิดผลเสียในระยะยาวเพราะมีระบบงานที่ขาดคุณภาพ การกำหนดเวลาของโครงการเป็นเรื่องสำคัญที่ผู้บริหารโครงการ ต้องวางแผนและประมาณการให้เป็นไปตามเงื่อนไข วัตถุประสงค์ ตามเป้าหมายที่ต้องการ