Archive for the "แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework" Category

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

ตามที่มีท่านผู้สนใจหลายท่าน ได้ติดต่อให้ผมช่วยเขียนเรื่องที่เกี่ยวข้องกับ กรอบหรือคู่มือการบริหารความเสี่ยงระดับองค์กร (Enterprise Risk Management Framework) เพราะทราบว่าผมได้บรรยายเรื่องนี้ในหลายองค์กรทั้งภาครัฐและเอกชน และได้มีการนำไปปฏิบัติจริงด้วยนั้น

เนื่องจาก การบริหารความเสี่ยงระดับองค์กรหรือ COSO-ERM Framework เป็นองค์ประกอบหนึ่งของ การกำกับดูแลกิจการที่ดี (Corporate Governance) ที่คู่กันไปกับการบริหารการจัดการที่ดีทางด้านสารสนเทศ (IT Governance) โดยมีองค์ประกอบที่เกี่ยวข้อง 8 ประการ รวมทั้งมีการควบคุมภายใน (Internal Control) และการตรวจสอบภายในตามฐานความเสี่ยง (Risk-based Internal Audit) ในภาพโดยรวมเพื่อสร้างการเติบโตอย่างยั่งยืนและได้ดุลยภาพของการจัดการที่ดีตามหลัก CG และ ITG

ดังนั้น ผมจึงขออธิบายเรื่องการบริหารการจัดการที่ดีในรูปแบบของแผนภาพที่ท่านผู้อ่านสามารถอ่านและเข้าใจได้โดยอธิบายพื้นฐานโดยตัวของมันเอง เพราะผมจะแยกเขียนเรื่องนี้เป็นรายละเอียดต่างหากเมื่อมีโอกาสต่อไป

แผนภาพการกำกับดูแลกิจการที่ดีบางมุมมองอาจขึ้นรูปและสร้างความเข้าใจในเบื้องต้นก่อนก้าวไปสู่กระบวนการบริหารความเสี่ยงระดับองค์กร แสดงได้ดังนี้

Map Roles to Competency Corporate Governance Perspective

Map Roles to Competency Corporate Governance Perspective

นอกจากนั้น ยังมีปัจจัยและโครงสร้าง/กระบวนการกำกับดูแลกิจการที่ดี ภายใต้มุมมองต่าง ๆ ขององค์กร ที่อาจอธิบายโดยแผนภาพอีกครั้ง ดังนี้

Map Roles to Competency Corporate Governance Perspectives

Map Roles to Competency Corporate Governance Perspectives

กรอบของการกำกับดูแลกิจการที่ดีดังกล่าวข้างต้น ที่อธิบายด้วยแผนภาพโดยย่อนั้น เมื่อใช้ความคิดจะเกิดความเข้าใจในรายละเอียดได้ระดับหนึ่งและจะตามด้วยแนวทาง/กรอบการบริหารความเสี่ยงระดับองค์กร (COSO-ERM) ซึ่งจะกล่าวเป็นลำดับต่อไปตามโอกาสที่เหมาะสม ดังนี้

มุมมองการบริหารความเสี่ยงสำหรับผู้บริหารระดับบน

มุมมองการบริหารความเสี่ยงสำหรับผู้บริหารระดับบน

ความหมายของการบริหารความเสี่ยง

ความเสี่ยงคืออะไร?
การบริหารความเสี่ยงควรเริ่มต้นจากการที่กรรมการและผู้บริหารตลอดจนพนักงานทุกคนในองค์กร ควรได้ทำความเข้าใจตรงกันต่อคำนิยามของความเสี่ยง เพื่อให้ทุกคนสามารถมองความเสี่ยงในทิศทางเดียวกัน

ความเสี่ยงคือเหตุการณ์ที่อาจเกิดขึ้นในอนาคต และมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรทั้งในทางกลยุทธ์ การปฏิบัติงาน การรายงานและการเงิน การปฎิบัติตาม กฎหมาย ระเบียบ ที่เกี่ยวข้อง

เหตุการณ์ และความไม่แน่นอนต่าง ๆ ที่ทำให้องค์กร ไม่อาจบรรลุเป้าหมายได้ในเวลาที่กำหนด ซึ่งเป็นความเสี่ยงที่องค์กรต้องมีแนวทางจัดการ ควบคุม และตรวจสอบที่ต้นเหตุ โดยการระบุปัจจัยเสี่ยงและกำหนดวิธีการ และกระบวนการบริหารความเสี่ยง ที่เป็นรูปธรรม ซึ่งเป็นหลักการที่สำคัญ ของการกำกับดูแลกิจการที่ดี

องค์กรทั่วไป จะจัดให้มีกระบวนการบริหาร เพื่อให้แน่ใจอย่างสมเหตุสมผลว่ายังสามารถจะบรรลุเป้าหมาย ตามมาตรการพื้นฐาน ตามแผนงาน ตามพันธกิจได้ โดยการ ระบุความเสี่ยงจากปัจจัยภายใน และจากปัจจัยภายนอกอย่างเป็นระบบและพิจารณาแนวทางการจัดการเป็นการล่วงหน้าที่จะขจัดปัญหาอุปสรรคต่าง ๆ เพื่อก้าวไปสู่วัตถุประสงค์และวิสัยทัศน์ที่องค์กรตั้งไว้ได้

ความเสี่ยงโดยทั่ว ๆ ไป สามารถแบ่งออกเป็น 3 ประเภทที่สำคัญ ดังต่อไปนี้

ประเภทของความเสี่ยง

ประเภทของความเสี่ยง

ความเสี่ยงที่เป็นอันตราย (Hazard)เหตุการณ์ในเชิงลบที่หากเกิดขึ้นแล้วเป็นอันตราย หรือสร้างความเสียหายต่อการบรรลุวัตถุประสงค์ขององค์กรในระดับต่างๆ เช่น วัฒนธรรม ศักยภาพของพนักงานภายในองค์กร โครงสร้างขององค์กร ภาวะการเปลี่ยนแปลงของเทคโนโลยี ศักยภาพการแข่งขัน ปัญหาทางการตลาด คุณภาพของโครงการหรือแผนงาน ปัญหา ข้อขัดข้องหรือความเป็นไปได้ของกิจกรรม เป็นต้น

ความเสี่ยงที่เป็นความไม่แน่นอน (Uncertainty)เหตุการณ์ที่ทำให้ผลที่องค์กรได้รับการจากเหตุการณ์จริงไม่เป็นไปตามที่คาดการณ์ไว้ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น นโยบายภาครัฐ ศักยภาพทางการตลาด เป็นต้น

ความเสี่ยงที่เป็นโอกาส (Opportunity)เหตุการณ์ที่ทำให้องค์กรเสียโอกาสในการแข่งขัน การดำเนินงานและการเพิ่มมูลค่าให้แก่ผู้มีผลประโยชน์ร่วม เช่น การไม่ส่งเสริมหรือพัฒนาบุคคลากรให้มีทักษะในการปฏิบัติงาน เพื่อยกระดับประสิทธิภาพขององค์กร เป็นต้น

 

แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

ก่อนที่หลาย ๆ ท่าน รวมถึงตัวผมด้วยนั้น จะหยุดไปพักผ่อนในช่วงเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการบริหารจัดการความเสี่ยงขององค์กร ซึ่งเป็นเรื่องเบา ๆ ที่ผมเห็นว่าเหมาะที่จะนำเสนอในช่วงวันหยุดยาวแบบนี้ แต่กลับมีความสำคัญต่อการจัดการกับความเสี่ยงขององค์กรอย่างยิ่งยวด

ผมคิดว่าคงไม่มีองค์กรใด ไม่ว่าภาครัฐหรือภาคเอกชนสามารถดำเนินการภายใต้สภาพแวดล้อมที่ปราศจากความเสี่ยงได้ องค์กรที่ต้องดำเนินการในสภาวะแวดล้อมดังกล่าว การจัดการความเสี่ยงจะช่วยให้ฝ่ายบริหารจัดการกับสภาพแวดล้อมให้เหมาะสมกับความเสี่ยงได้เป็นอย่างดี เพื่อก้าวสู่การบรรลุวัตถุประสงค์และเป้าหมายได้อย่างสมเหตุสมผล

การจัดการความเสี่ยงขององค์กร เป็นการส่งเสริมความสามารถในด้าน

– การปรับความเสี่ยงที่องค์กรหรือองค์กรยอมรับได้
เป็นการกำหนดกลยุทธ์ที่เหมาะสมให้เป็นไปในทิศทางเดียวกันกับความเสี่ยงที่องค์กรยอมรับได้ คือระดับความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับเพื่อมุ่งไปสู่เป้าหมายขององค์กร ซึ่งการบริหารความเสี่ยงจะพิจารณาถึงความเสี่ยงที่องค์กรยอมรับได้เป็นอย่างแรก เพื่อประเมินทางเลือกและพัฒนากลไกในการบริหารความเสี่ยงที่เกี่ยวข้องต่อไป

– ความเชื่อมโยงการเติบโต ความเสี่ยงและผลตอบแทน
การบริหารความเสี่ยงช่วยในการระบุและประเมินความเสี่ยง รวมทั้งกำหนดระดับความเสี่ยงที่สามารถยอมรับได้ ที่สัมพันธ์กับการเติบโตและเป้าหมายของผลตอบแทนตามวัตถุประสงค์ที่องค์กรกำหนดไว้

– ส่งเสริมการตัดสินใจในการตอบสนองความเสี่ยงที่เกิดขึ้น
การบริหารความเสี่ยงใช้ในการระบุและเลือกทางเลือกในการตอบสนองความเสี่ยงในรูปแบบต่าง ๆ ทั้งยังช่วยจัดหาวิธีการและเทคนิคสำหรับการตัดสินใจ เช่น การหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยงและการยอมรับความเสี่ยง

– การลดความไม่แน่นอนและความสูญเสียในการปฏิบัติงานให้น้อยที่สุด
ช่วยให้องค์กรสามารถระบุเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้น ประเมินความเสี่ยงและจัดการตอบสนองต่อความเสี่ยงที่เกิดขึ้น รวมทั้งลดสิ่งไม่แน่นอนที่อาจเกิดขึ้น ตลอดจนความสัมพันธ์ของต้นทุนและการสูญเสีย

– การระบุและบริหารความเสี่ยงภายในองค์กร
ทุก ๆ องค์กรเผชิญกับความเสี่ยงมากมายหลายประเภทที่ส่งผลต่อส่วนต่าง ๆ ขององค์กรที่แตกต่างกัน ฝ่ายบริหารไม่เพียงแต่ต้องบริหารความเสี่ยงเฉพาะบุคคล แต่ต้องเข้าใจถึงผลกระทบที่เกิดขึ้นด้วย

– มีการตอบสนองแบบบูรณาการกับความเสี่ยงที่หลากหลาย
กระบวนการทางธุรกิจนำมาซึ่งความเสี่ยงสืบเนื่อง หรือความเสี่ยงจากลักษณะธุรกิจในหลายรูปแบบ และ ERM ทำให้เกิดการแก้ปัญหาแบบบูรณาการต่อการบริหารความเสี่ยง

– การฉกฉวยโอกาส
ฝ่ายบริหารพิจารณาเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นมากกว่าพิจารณาเฉพาะความเสี่ยง โดยการพิจารณาทุกระดับของเหตุการณ์

– การจัดการกับทุนอย่างสมเหตุสมผล
ข้อมูลที่ถูกต้องมีความหมายต่อความเสี่ยงทั้งหมดขององค์กร สิ่งนี้จะทำให้การบริหารเป็นไปอย่างมีประสิทธิภาพมากขึ้นในการเข้าถึงความต้องการและปรับปรุงการจัดสรรทรัพย์สินหรือทุน รวมถึงงบประมาณได้อย่างเหมาะสม

ภาพด้านล่างนี้จะช่วยให้เห็นถึงความสำคัญและประโยชน์ของการจัดการความเสี่ยงได้ชัดเจนยิ่งขึ้น

Translating Vision & Strategy to  State Enterprise Performance Measurement

Translating Vision & Strategy to State Enterprise Performance Measurement

ERM หรือการบริหารความเสี่ยงทั่วทั้งองค์กรไม่ใช่จุดสิ้นสุดโดยตัวเอง แต่มีความหมายที่สำคัญในการบรรลุวัตถุประสงค์ ที่ไม่สามารถปฏิบัติแยกออกจากองค์กรได้ แต่จะเป็นตัวกลไก (enabler) ในกระบวนการทางการบริหาร
ERM เป็นสิ่งที่เกี่ยวข้องกับความสัมพันธ์กับความร่วมมือของหน่วยการจัดการต่าง ๆ โดยจัดหาข้อมูลให้แก่คณะกรรมการบริหาร ได้ทราบถึงความเสี่ยงที่มีนัยสำคัญและการบริหารความเสี่ยงดังกล่าว การปรับเปลี่ยนความเสี่ยงโดยการควบคุมภายใน ซึ่งเป็นส่วนหนึ่งของ ERM

ERM ช่วยให้องค์กรประสบความสำเร็จในผลประกอบการและบรรลุเป้าหมายการทำกำไร การป้องกันความสูญเสียของทรัพยากร ช่วยทำให้มั่นใจถึงการรายงานที่มีประสิทธิภาพ การปฏิบัติที่ถูกต้องตามกฎหมายและกฎเกณฑ์ต่าง ๆ การหลีกเลี่ยงความเสียชื่อเสียงและผลลัพธ์ที่ตามมาอื่น ๆ

โดยรวมแล้วการจัดการความเสี่ยงขององค์กรจะช่วยให้องค์กรทั่วไปดำเนินไปในทิศทางที่ต้องการได้อย่างเหมาะสม และสามารถบรรลุวัตถุประสงค์ขององค์กรที่กำหนดไว้ได้เป็นอย่างดี

 

แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework

แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO-ERM Framework) ที่ท่านจะได้อ่านต่อไปนี้ เป็นการรวบรวมข้อมูลของผมจากการบรรยายในเรื่องนี้ ผสมผสานกับเอกสารของ COSO-ERM Framework หรือ COSO v.2 ของ IIA Institute

ภาพประกอบเอกสารของเรื่องนี้มีทั้งที่มาจาก เอกสารของ IIA และจากการบรรยายทั้งในภาครัฐและภาคเอกชนของผมหลายแห่งที่ผ่านมา เอกสารดังกล่าวจะทยอยลงและเผยแพร่เร็ว ๆ นี้ครับ

นอกจากนี้ ผมได้เพิ่มเรื่องราวที่เกี่ยวข้องกับ CG และ ITG บางมุมมองที่เป็นองค์ประกอบหลักเสมือนร่มใหญ่ของ COSO-ERM Framework ดังนั้น ข้อมูลตามเอกสารนี้จึงเป็นการผสมผสานในรูปแบบที่ใช้ COSO-ERM เป็นหลัก และอธิบายประกอบเพื่อสร้างความเข้าใจในแผนภาพเพิ่มเติมเท่าที่เห็นว่าเหมาะสมครับ