Posts Tagged "การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง"

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง เพื่อยกระดับการจัดการ ในบางมุมมอง (ต่อ)

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเอง (CSA – Control Self Assessment) ในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่ในระดับ 2 แล้ว แต่สามารถเชื่อมโยงและบูรณาการในการบริหารความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีด้วยนั้น

ท่านลองมาประเมินตนเองต่อนะครับ ว่าในองค์กรของท่านมีการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่แล้วพอสมควรนั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ในบางมุมมองของการบริหารความเสี่ยง เพื่อยกระดับให้สูงขึ้นไปได้ดังนี้

1. องค์กรมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง Risk Appetite และกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการทบทวน Risk Appetite และ Risk Tolerance ที่ระบุเป็นเชิงปริมาณ และมีความสอดคล้องกับเป้าหมายที่สำคัญขององค์กรตามที่ระบุไว้ในแผนงาน หรือตามที่องค์กรต้องดำเนินการให้เป็นไปตามมาตรฐานที่เกี่ยวข้อง

– องค์กรไม่ได้กำหนด Risk Appetite ในภาพรวมของแต่ละประเภทความเสี่ยง เช่น ด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ด้านการเสียชื่อเสียงขององค์กร ด้านความพึงพอใจของลูกค้าและผู้มีผลประโยชน์ร่วม ด้านการพัฒนาองค์กรและกระบวนการทำงาน และด้านการเรียนรู้ของบุคลากรในเรื่องที่เกี่ยวข้องกับการบริหารและการจัดการ ในมุมมองต่าง ๆ เช่น การไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ และข้อตกลงร่วมกันในระดับองค์กร

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร โดยองค์กรมีหน่วยงานที่รับผิดชอบการบริหารจัดการความเสี่ยงและมีการทำงานที่เป็นรูปธรรม หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการกำหนดหรือไม่มีการทบทวนโครงสร้าง บทบาทหน้าที่ กระบวนการ และผู้รับผิดชอบการบริหารความเสี่ยง ทั้งในระดับองค์กร และระดับฝ่ายงานอย่างชัดเจน เพื่อให้เกิดความเหมาะสมและมีประสิทธิภาพในการดำเนินงานยิ่งขึ้น

– ไม่มีการกำหนดผู้ทำหน้าที่กำกับดูแลและติดตามการบริหารความเสี่ยง ตามขั้นตอนต่าง ๆ และรายงานให้คณะกรรมการบริหารความเสี่ยงได้รับทราบและพิจารณา เพื่อกำหนด และหรือทบทวน Criteria, Risk Appetite และ Risk Tolerance รวมถึงนโยบายการควบคุมความเสี่ยงให้มีความเหมาะสม

– ไม่มีการกำหนดมาตรการควบคุมเพิ่มเติม หรือติดตามผลการดำเนินงาน รายงานคณะอนุกรรมการ และคณะกรรมการบริหารความเสี่ยง

– ในระดับสายงาน หรือฝ่ายงาน ไม่มีการมอบหมายให้มีการบริหารจัดการและการกำกับดูแลตามสายการบังคับบัญชา เพื่อรับผิดชอบด้านการบริหารความเสี่ยง และควบคุมภายในเป็นการเฉพาะ เพื่อมีหน้าที่ผลักดันงานด้านบริหารความเสี่ยง ให้เป็นไปตามทิศทางของแผนงานหลัก ในการบริหารความเสี่ยงระดับองค์กร

– ไม่ได้จัดทำกรอบ/มาตรฐานและถ่ายทอด สนับสนุน เครื่องมือ ข้อมูล หรือเทคนิค

– ไม่ได้มีการอบรมพัฒนา สร้างการรับรู้ ติดตามประเมินผลการดำเนินงานบริหารความเสี่ยง รวมถึงการรายงานผลการดำเนินงานให้ผู้ที่เกี่ยวข้องทราบ

3. การบริหารนโยบายและกลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงาน เพื่อให้การบริหารความเสี่ยงเป็นไปในระยะยาว หรือปลูกฝังอยู่ในองค์กร

– องค์กรไม่มีนโยบายและการปฏิบัติที่แสดงให้เห็นถึงการผลักดันให้มีการดำเนินงานบริหารความเสี่ยง เป็นไปในระยะยาว โดยการบรูณากระบวนการบริหารความเสี่ยงให้มีความสอดคล้องกับการบริหารงานหลักที่สำคัญ

– ไม่มีการแต่งตั้งเจ้าหน้าที่บริหารความเสี่ยงประจำสายงาน หรือฝ่ายงาน และไม่มีการมอบหมายให้เป็นบทบาทหน้าที่หลักให้กับผู้บริหารในแต่ละระดับ เพิ่มเติมจากการกำหนดงานที่ทำอยู่เป็นปกติ

4. องค์กรมีการบริหารความเสี่ยงแบบบูรณาการหรือไม่ โดยพิจารณาการบริหารความเสี่ยงทางด้านนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่าง ๆ ขององค์กร

– องค์กรไม่มีการบริหารความเสี่ยงที่พิจารณาถึงนโยบาย กลยุทธ์ เป้าหมาย แผนงาน/โครงการต่าง ๆ อย่างชัดเจน โดยเฉพาะการบริหารความเสี่ยงในระดับองค์กร เช่น ในการประชุมฯ คณะกรรมการไม่ได้แสดงความคิดเห็นเกี่ยวกับสถานการณ์ต่าง ๆ ที่อาจก่อให้เกิดผลกระทบต่อนโยบาย เป้าหมาย วิสัยทัศน์ พันธกิจ หรือแผนงาน/โครงการที่สำคัญขององค์กรเป็นประจำ เพื่อจัดให้มีการกำหนดมาตรการควบคุมความเสี่ยง หรือทบทวนมาตรการควบคุมที่มีอยู่ให้มีความเพียงพอและเหมาะสม

5. การพิจารณาว่าการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยง และผลกระทบที่มีต่อหน่วยงานต่าง ๆ ภายในองค์กร เช่น การบริหารผ่านต้นเหตุ และความสัมพันธ์ถึงผลกระทบที่ชัดเจน) โดยผ่านคณะกรรมการบริหารความเสี่ยงให้ความเห็นชอบ โดยในแผนการบริหารความเสี่ยงต้องแสดงให้เห็นถึงประโยชน์จาก Risk Map มากำหนดแผนการบริหารความเสี่ยงโดยรวมขององค์กร ตัวอย่างเช่น

– องค์กรไม่มีการจัดทำ Risk Map เพื่อใช้ประกอบการนำเสนอให้ผู้บริหารระดับสูง ตามโครงสร้างการบริหารความเสี่ยงและการควบคุมภายใน เพื่อการพิจารณาทบทวน การระบุ ประเมินความเสี่ยง รวมถึงเป้าหมายที่คาดหวังภายหลังการดำเนินการตามมาตรการควบคุมความเสี่ยงเพิ่มเติม

– องค์กรไม่ได้ใช้ Risk Map เป็นสื่ออีกรูปแบบหนึ่งในการสร้างความเข้าใจในการบริหารความเสี่ยงระดับองค์กร ซึ่งสามารถช่วยแสดงความสัมพันธ์ระหว่างปัจจัยเสี่ยงและผลกระทบซึ่งกันและกันของความเสี่ยงต่อเป้าประสงค์ต่าง ๆ ระดับองค์กร และระดับฝ่ายงาน เพื่อรับทราบภาพรวมของการบริหารความเสี่ยงได้อย่างสอดประสานกัน

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี โดยพิจารณาว่าฝ่ายบริหารได้จัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ IT Governance เช่น

– องค์กรไม่ได้มีการจัดโครงสร้างการบริหารจัดการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร ที่ประกอบด้วยผู้บริหาร คณะกรรมการ ที่ปรึกษาและคณะทำงานสนับสนุน เข้ามาดำเนินการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร และมีความสอดคล้องกับโครงสร้างขององค์กร

7. คณะกรรมการมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนด ในการสร้างมูลค่าเพิ่มทางด้านการเงิน และไม่ใช่ทางการเงิน เช่น การให้บริการที่รวดเร็วอย่าง One Stop Service เป็นต้น โดยพิจารณาว่า

– คณะกรรมการองค์กรมีส่วนในการพิจารณาอนุมัติกลยุทธ์ และแนวทางในการพัฒนาและการปรับปรุงการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรหรือไม่ โดยวิเคราะห์ความจำเป็นในการใช้ประโยชน์เทคโนโลยีสารสนเทศขององค์กร และได้บรรจุเป็นรายละเอียดของเรื่องดังกล่าวไว้ในแผนงาน/โครงการขององค์กร ประจำปี

8. คณะกรรมการตรวจสอบกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกัน ความเสียหาย การปรับปรุง และเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการ IT โดยพิจารณว่า

– คณะกรรมการตรวจสอบ มีการอนุมัติแผนการตรวจสอบประจำปี เพื่อทำการสอบทางการควบคุมทั่วไปทางด้านเทคโนโลยีสารสนเทศ และชี้แจงรายละเอียดให้ผู้เกี่ยวข้องได้ทราบถึงวัตถุประสงค์ ขอบเขต และแนวทางปฏิบัติ พร้อมรายละเอียดแผนการตรวจสอบประจำปี และได้ชี้แจงฝ่ายจัดการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เพื่อนำไปประยุกต์ใช้ในการดำเนินการด้านเทคโนโลยีสารสนเทศ หรือไม่

– คณะกรรมการตรวจสอบมีการกำกับดูแลและติดตามการจัดการกระบวนการป้องกัน ความเสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT (ITG) ในเรื่องของการเพิ่มประสิทธิภาพการปฏิบัติงาน และการใช้ประโยชน์จากระบบประมวลผลข้อมูลหรือไม่

9. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น และดีขึ้นจากอดีตทุกปัจจัยเสี่ยง โดยพิจารณาว่า

– ทุกปัจจัยเสี่ยงขององค์กร มีการระบุอย่างชัดเจนถึงระดับความรุนแรงของความเสี่ยง ทั้งก่อนและหลังการบริหารความเสี่ยง โดยที่ระดับความรุนแรงก่อนและหลักการบริหารความเสี่ยงแล้วนั้น องค์กรสามารถบริหารให้มีระดับความรุนแรงหลังจากการบริหารความเสี่ยงลดลง จากก่อนการบริหารความเสี่ยงหรือไม่

ขอให้ท่านลองประเมินตนเองในแง่มุมของการบริหารความเสี่ยง ที่เรียกว่า CSA – Control Self Assessment ว่าปัจจัยต่าง ๆ ตามที่กล่าวข้างต้นเพียงบางประการนั้น องค์กรของท่านได้ปฏิบัติอย่างมีคุณภาพเพียงใด และมีหลักฐานอะไรในการสนับสนุนการดำเนินการดังกล่าวที่เป็นรูปธรรม และพนักงานที่เกี่ยวข้องมีความเข้าใจในเรื่องดังกล่าวมากน้อยเพียงใด และมีการสื่อสารในเรื่องการบริหารความเสี่ยงทั่วทั้งองค์กรในมุมมองของ COSO – ERM ที่เชื่อมโยงกับ Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Risk หรือไม่ เพราะโดยส่วนใหญ่แล้ว องค์กรโดยทั่วไป มักจะละเลยความเสี่ยงจาก IT Risk ที่มีผลกระทบต่อ Business Objective ในภาพโดยรวม ซึ่งประเด็นดังกล่าวนี้เป็นเรื่องสำคัญยิ่ง และน่าจะมีส่วนเกี่ยวข้องในการปรับปรุงยกระดับการบริหารความเสี่ยงที่ให้ครอบคลุม ด้าน Risk IT และ IT Risk ที่มีผลต่อ Business Risk และแน่นอนว่าจะต้องเกี่ยวข้องกับการควบคุมภายใน และการตรวจสอบภายใน ตามมุมมองของ Risk IT และ IT Risk ในอนาคตอันใกล้

ทั้งนี้เพราะ COSO – ERM ไม่ได้กล่าวถึงการบริหารความเสี่ยงในมุมมองของ Risk IT และ IT Risk ในปัจจุบันที่ชัดเจนนัก แต่ COSO – ERM ในมุมมองของเทคโนโลยีที่เกี่ยวข้องเป็นเรื่องน่าสนใจมาก ที่ผมจะได้นำมาเล่าสู่กันฟังเพื่อยกระดับการบริหารความเสี่ยงในมุมมองของ GRC ต่อไปนะครับ

 

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง ในบางมุมมอง (ต่อ)

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเองที่องค์กรต้องมีการปรับปรุงการบริหารความเสี่ยงเป็นอย่างมาก เนื่องจากองค์กรมีการบริหารความเสี่ยงเบื้องต้นที่ยังไม่เป็นระบบนั้น วันนี้ เราจะมาพูดถึงการประเมินตนเองในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่บ้าง แต่ยังต้องปรับปรุงกระบวนการบริหารความเสี่ยง เพื่อยกระดับการบริหารและการจัดการไปสู่การเชื่อมโยงและบูรณาการบริหารความเสี่ยง กับการบริหารเทคโนโลยีสารสนเทศ เพื่อการจัดการที่ดี (ITG – IT Governance) ต่อไป

วันนี้เราลองมาประเมินตนเองนะครับ ในองค์กรของท่านว่า การบริหารความเสี่ยงในเบื้องต้นที่พอมีระบบอยู่นั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ดังนี้

1. การบริหารความเสี่ยงขององค์กรเป็นเพียงกลยุทธ์ระยะสั้น โดยมีโครงสร้างของคณะทำงาน หรือสายงานที่ตั้งขึ้นเป็นลักษณะเฉพาะกาล และ/หรือ ยังไม่มีการทำงานที่เป็นรูปธรรมที่เกี่ยวข้องกับการบริหารความเสี่ยงในระยะยาว เช่น องค์กรยังไม่มีการบริหารความเสี่ยงเป็นกลยุทธ์ระยะยาว โดยองค์กรเพียงตั้งคณะทำงานที่มีลักษณะเป็นเฉพาะกาล ที่ไม่มีโครงสร้างการทำงานที่เป็นรูปธรรม โดยผู้รับผิดชอบความเสี่ยงจะเป็นผู้วิเคราะห์และทำแผนกิจกรรมการจัดการกับความเสี่ยง เป็นปี ๆ หรือตามภารกิจที่ได้รับมอบหมายเท่านั้น

2. องค์กรมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหารความเสี่ยงเป็นส่วน ๆ เช่น ไม่มี Risk Map ไม่มีองค์ประกอบหลักของการบริหารความเสี่ยงหลักที่ดี ที่ประกอบด้วย การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยง โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ยังไม่มีการวิเคราะห์ถึงค่าใช้จ่ายและผลประโยชน์ที่ได้ในแต่ละทางเลือก เพื่อนำไปสู่ทางเลือกที่ดีที่สุด และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลือที่อยู่ (Residual Risk) ขององค์กร และการติดตามตามผลและการรายงาน

3. องค์กรมีการควบคุมภายในตามฐานความเสี่ยงที่ระบุ (Risk-Based Internal) ไม่ครบถ้วน เช่น การพัฒนาองค์กรให้มั่นคง เพื่อให้เกิดประสิทธิภาพในการบริหารแหล่งเงินทุน การจัดทำงบการเงินให้ถูกต้องครบถ้วนไม่ทันเวลา การจัดซื้อจัดหาวัสดุไม่ตรงตามความต้องการ ในราคาที่ไม่เหมาะสม ไม่มีการดูแลรักษาระบบคอมพิวเตอร์ให้พร้อมใช้งานได้ตลอดเวลา และขาดระบบสำรวจข้อมูลความเสี่ยงด้านปฏิบัติการ (Operational Risk) และไม่มีการพัฒนาพนักงานให้มีแผนพัฒนาพนักงานที่ตรงกับความจำเป็นขององค์กร การกำหนดโครงสร้างและอัตรากำลังไม่สอดคล้องและเหมาะสมกับภารกิจของงาน

4. หน่วยงานไม่มีการระบุความเสี่ยงที่มีความรุนแรงสูงอย่างชัดเจน ไม่มีการกำหนดแผนการควบคุมความเสี่ยงให้สอดคล้องกับการระบุความเสี่ยง ตามระดับความรุนแรงที่เกี่ยวข้อง รวมถึงไม่ได้ระบุปัญหาที่เป็นปัจจัยเสี่ยงทางด้านบุคลากร การขาดความรู้ ขาดทักษะ และประสบการณ์ในงานที่ทำ และไม่ได้กำหนดแผนการบริหารความเสี่ยงไว้ เช่น ไม่มีแผนการจัดฝึกอบรมให้กับบุคลากรที่เกี่ยวกับงานที่ปฏิบัติ ขาดระบบการประเมินผลงานและบุคคลที่เป็นไปตามหลัก Competency และการสร้างแรงจูงใจ

5. ขาดองค์ประกอบหลักในการบริหารความเสี่ยงขององค์กรที่สอดคล้องกันในทุกปัจจัยเสี่ยง ตามข้อ 2 ข้างต้น

ตัวอย่างข้างต้นเป็นเพียงแนวประเมินตนเองบางประการ ของหน่วยงานที่ต้องการปรับปรุงและยกระดับการบริหารและการจัดการทางด้านความเสี่ยง ให้อยู่ในระดับที่ยอมรับได้ ในปัจจุบันการระบุปัจจัยเสี่ยงที่มีผลกระทบต่อการบรรลุเป้าหมายระดับองค์กร เป็นเรื่องที่ต้องการความเข้าใจอันมีความสัมพันธ์กับ Risk IT และ IT Risk ที่มีผลต่อ Business Risk ของทุกองค์กรในภาพโดยรวม

ดังนั้น ผู้ทำการประเมินตนเอง โดยเฉพาะอย่างยิ่งผู้บริหารที่มีหน้าที่ดูแลทางด้านการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง โดยเฉพาะอย่างยิ่งผู้ที่ทำหน้าที่เป็นผู้ให้ความสะดวก (Facilators) ในการทำการประเมินตนเองเพื่อการบริหารความเสี่ยงและการควบคุมภายในของหน่วยงาน จึงควรมีความรู้ความเข้าใจในผลกระทบที่มีต่อ Business Risk จากเหตุการณ์ที่เป็นต้นเหตุของความเสี่ยง ทั้งทางด้าน IT และ Non – IT รวมทั้งควรมีความเข้าใจในการระบุเหตุการณ์ที่เป็นความไม่แน่นอน รวมทั้งการสูญเสียโอกาสที่มีผลต่อการขับเคลื่อนนโยบาย กลยุทธ์ และแผนการปฏิบัติงาน เพื่อสร้าง Value Creation ให้กับองค์กรในมุมมองต่าง ๆ อย่างผสมผสาน และได้ดลุยภาพด้วย

 

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง

ท่านลองวิเคราะห์ตัวเองในแนวทางการบริหารความเสี่ยงที่ยังไม่เป็นระบบ และมีแนวทางการบริหารความเสี่ยงในเชิงรับที่พิจารณาได้ว่า องค์กรของท่านยังไม่มี Risk Based Internal Control และ/หรือ องค์กรของท่านยังขาดการจัดการความเสี่ยงในระดับองค์กร (ในระดับสูง) ที่อาจพิจารณาได้ว่า องค์กรของท่านมีการบริหารความเสี่ยงในระดับที่ต่ำ ซึ่งจะต้องปรับปรุงแก้ไขเป็นอย่างมาก ดังนี้

1. ระบบบริหารความเสี่ยงขององค์กร มีการระบุปัจจัยเสี่ยง ประเมินความเสี่ยง และกำหนดแผนบริหารความเสี่ยง ซึ่งเป็นการดำเนินงานในระดับปฏิบัติการ และเป็นการระบุความเสี่ยงในระดับส่วนงานที่ยังไม่เป็นการดำเนินงานบริหารความเสี่ยงในระดับองค์กร (พิจารณาได้ว่า องค์กรของท่านยังควรปรับปรุงความเข้าใจ และปรับปรุงแนวการปฏิบัติและจัดให้มีการบริหารความเสี่ยง และการดำเนินงานในระดับองค์กร แทนการดำเนินงานแค่เพียงระดับส่วนงาน ซึ่งผิดหลักการ COSO – ERM)

2. องค์กรขาดการสร้างองค์ความรู้ ขาดความเข้าใจ ขาดการสื่อสารที่ดี ในเรื่องการบริหารความเสี่ยงให้กับผู้บริหารและพนักงาน ทั้งนี้ องค์กรไม่ได้จัดให้มีการบรรยาย หรือสัมมนาสร้างความเข้าใจให้ความรู้เรื่องการบริหารความเสี่ยงให้กับผู้บริหาร และพนักงาน

3. องค์กรมีองค์ประกอบหลักของการบริหารความเสี่ยงที่ดีไม่ครบถ้วน เช่น นโยบายและกลยุทธ์การบริหารความเสี่ยง การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การประเมินความเสี่ยง การจัดการความเสี่ยง และการติดตามผลและการรายงาน ทั้งนี้ องค์กรยังไม่สามารถระบุความเสี่ยงในระดับองค์กรได้ แต่มีการระบุความเสี่ยงแค่ในระดับแผนก หรือสายงานย่อย โดยระบุถึงความเสียหายและกำหนดวิธีการจัดการต่อความเสี่ยงเพียงระดับปฏิบัติการ อีกทั้งยังขาดการติดตามรายงานผลการบริหารความเสี่ยงที่เป็นระบบ ไปยังผู้บริหารและคณะกรรมการได้รับทราบ

4. องค์กรขาดหลักฐานในการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

5. องค์กรของท่านอาจมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังขาดการจัดการต่อความเสี่ยงที่มีความสำคัญระดับสูง ทั้งนี้เพราะองค์กรยังไม่สามารถระบุความเสี่ยงที่มีความสำคัญระดับสูง ซึ่งหมายถึงความเสี่ยงระดับองค์กรได้ ทำให้ขาดกระบวนการจัดการต่อความเสี่ยงที่มีนัยสำคัญต่อความสำเร็จขององค์กร ซึ่งเป็นเรื่องสำคัญยิ่งในหลักการบริหารความเสี่ยง

6. องค์กรขาดการบริหารความสอดคล้องระหว่างองค์ประกอบหลักของการบริหารความเสี่ยงที่ดี ตามที่ได้กล่าวไว้ในข้อ 3. ข้างต้น

7. องค์กรไม่มีคณะทำงานหรือหน่วยงาน เพื่อจัดการกับความเสี่ยงในระดับองค์กร ทำให้องค์กรไม่สามารถที่จะบริหารภาพรวมให้ไปสู่การบรรลุแผนธุรกิจขององค์กร ตามหลักการของ COSO – ERM ได้

8. องค์กรไม่มีคู่มือการบริหารความเสี่ยง หรือมีคู่มือการบริหารความเสี่ยง แต่ขาดความสมบูรณ์ตามหลักการที่กำหนดไว้ใน COSO – ERM (Enterprise Risk Management) และ/หรือ ไม่มีการทบทวนคู่มือการบริหารความเสี่ยงประจำปี ที่มีหลักฐานที่พิสูจน์ได้

หากองค์กรของท่านมีจุดอ่อนตามที่กล่าวในข้างต้น ข้อหนึ่งข้อใด ก็พิจารณาได้ว่า องค์กรของท่านยังมีระดับการบริหารความเสี่ยงที่ควรปรับปรุงได้อีกมาก ทั้งนี้เพราะการประเมินตนเอง ทั้ง 8 ข้อดังกล่าวข้างต้นนั้น เป็นพื้นฐานที่สำคัญที่ทุกองค์กรจะต้องจัดให้มีขึ้น ก่อนที่จะก้าวไปสู่กระบวนการบริหารความเสี่ยงที่ดีอย่างเป็นระบบ