Posts Tagged "การรายงานความเสี่ยง"

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 10

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

หลังจากที่พนักงาน หรือฝ่ายงานขององค์กรได้ปฏิบัติและดำเนินงานตามแผนกลยุทธ์ ดังที่ผมได้เล่าสู่กันฟังไปแล้วในครั้งที่ผ่านมา สิ่งสำคัญที่คณะกรรมการ และผู้บริหาร ต้องใส่ใจอย่างยิ่งยวดและจะขาดเสียมิได้ ก็คือ การติดตามและรายงานความเสี่ยง ที่ผู้บริหารต้องนำไปใช้ในการวิเคราะห์และตัดสินใจ ซึ่งผมจะขอแบ่งเป็น 2 ส่วน คือ ในส่วนแรกจะเป็นเรื่องของระบบสารสนเทศเพื่อใช้ในการบริหารจัดการ สำหรับส่วนที่ 2 จะเป็นเรื่องของรายงานการติดตาม

การติดตามและการรายงานความเสี่ยงนั้น ควรกระทำอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า ความเสี่ยงที่มีอยู่ในระดับที่ยอมรับได้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรได้รับรายงานที่เกี่ยวข้องโดยมีความถูกต้อง ทันเวลา และมีความถี่ที่เหมาะสม เพื่อให้ข้อมูลสําคัญสําหรับการตัดสินใจของผู้บริหาร

ประสิทธิผลของการติดตามความเสี่ยง ขึ้นอยู่กับความสามารถในการระบุและวัดความเสี่ยงต่าง ๆ ซึ่งต้องอาศัยระบบข้อมูลสารสนเทศเพื่อการบริหาร หรือแบบจําลอง (model) ที่เหมาะสม ถูกต้อง และรวดเร็ว เพื่อช่วยในการวิเคราะห์และตัดสินใจ ดังนั้น คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงต้องจัดให้มีการพัฒนาและปรับปรุงระบบข้อมูลสารสนเทศ ให้สามารถระบุและวัดความเสี่ยงต่าง ๆ ได้อย่างแม่นยําและน่าเชื่อถืออยู่เสมอ เพื่อรองรับธุรกรรมหรืองานที่มีความซับซ้อนและหลากหลายขององค์กร เช่น องค์กรที่ประกอบธุรกรรมที่มีความซับซ้อนเป็นอย่างมาก ควรมีระบบการรายงานและระบบการติดตามความเสี่ยงที่สามารถวัดความเสี่ยงโดยรวมได้ นอกจากนี้ ระบบสารสนเทศขององค์กร ควรมีการรวบรวมข้อมูลทั้งจากภายใน เช่น ข้อมูลทางการเงิน การบัญชี และข้อมูลจากภายนอก เช่น สภาพเศรษฐกิจ ภาวะตลาด การแข่งขัน เทคโนโลยี และกฎเกณฑ์ของทางการ เป็นต้น

ระบบสารสนเทศเพื่อการบริหาร (MIS) ระบบสารสนเทศเป็นระบบหรือขั้นตอนที่ให้ข้อมูลสําคัญเพื่อการตัดสินใจและการบริหารที่มีประสิทธิผล ซึ่งจะช่วยสนับสนุนการดําเนินงานตามแผนกลยุทธ์ โดยทั่วไปมีวัตถุประสงค์เพื่อ
• จัดหา รวบรวม และประมวลผลข้อมูล
• สนับสนุนเป้าหมายกลยุทธ์และทิศทางขององค์กร
• ลดค่าใช้จ่ายในการดําเนินงาน
• ส่งเสริมการติดต่อสื่อสารของพนักงาน
• รายงานข้อมูลที่ซับซ้อนได้อย่างทั่วถึง

ระบบสารสนเทศที่มีประสิทธิผล จะต้องสนับสนุนการดําเนินงานตามวัตถุประสงค์ เป้าหมาย และการให้บริการต่าง ๆ ขององค์กรอย่างเพียงพอ สามารถเสนอรายงานในรูปแบบที่ต้องการได้ทันเวลา และกําหนดระดับชั้นการเข้าถึงข้อมูลที่เหมาะสม ซึ่งอาจเป็นได้ทั้งระบบอัตโนมัติและระบบประมวลผลโดยพนักงาน หรือทั้งสองอย่าง ที่สําคัญคือ การกําหนดวิธีการควบคุมที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลนั้นถูกต้องตามที่ต้องการ และมีการป้องกันความผิดพลาดในการเรียกข้อมูลจากหลายระบบงาน ซึ่งอาจทําให้เกิดการรายงานและการตัดสินใจที่ผิดพลาดขึ้นได้

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องให้ความสําคัญกับการพัฒนา การติดตั้ง และการทบทวนระบบสารสนเทศอย่างสม่ำเสมอ รวมทั้งควรกําหนดนโยบาย กรอบการปฏิบัติงาน และขั้นตอนการดําเนินงานเกี่ยวกับระบบสารสนเทศที่ครอบคลุมตั้งแต่การพัฒนา การบํารุงรักษา การรักษาความปลอดภัย จนถึงการปรับปรุงหรือเปลี่ยนแปลงระบบงานให้เป็นมาตรฐาน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องจัดให้มีระบบสารสนเทศเพื่อการบริหารที่ประกอบด้วย คุณสมบัติที่สําคัญ 5 ประการ ดังนี้

1) ทันกาล (timeliness) องค์กรควรมีระบบการรายงานที่สามารถจัดหา และส่งข้อมูลที่เป็นปัจจุบันไปยังผู้ใช้อย่างรวดเร็ว ทันต่อการตัดสินใจ ระบบดังกล่าวควรเก็บข้อมูล สรุปผล หรือปรับแก้ไขข้อผิดพลาดที่เกิดขึ้นได้อย่างรวดเร็ว

(2) ความถูกต้อง (accuracy) ควรมีการตรวจสอบข้อมูลนําเข้า ระบบ สารสนเทศ และผลลัพธ์ เพื่อให้มั่นใจว่ามีการประมวลผลข้อมูลอย่างถูกต้อง โดยกําหนดให้มีระบบการควบคุมภายใน การตรวจสอบและประเมินโดยผู้ตรวจสอบภายในและภายนอก และมีการสอบทาน อย่างต่อเนื่อง

(3) ความสม่ำเสมอ (consistency) การรวบรวมและประมวลผลข้อมูลควรมีความสม่ำเสมอและเป็นรูปแบบเดียวกัน เพื่อประโยชน์ในการเปรียบเทียบผลการดําเนินงานระหว่าง ฝ่ายงาน การวิเคราะห์ข้อมูลและแนวโน้มที่เปลี่ยนแปลงไป ทั้งนี้ ขั้นตอนการรายงานและรวบรวมข้อมูลอาจเปลี่ยนแปลงได้ตามความเหมาะสม คณะกรรมการฯ หรือคณะกรรมการ ที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดวิธีปฏิบัติและขั้นตอนการเปลี่ยนแปลงระบบดังกล่าว เป็นลายลักษณ์อักษร และสื่อสารให้เจ้าหน้าที่ที่เกี่ยวข้องรับทราบโดยทั่วถึง

(4) ความสมบูรณ์ของข้อมูล (completeness) รายงานควรมีลักษณะที่กระชับครบถ้วน เพื่อให้คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีข้อมูลที่ครบถ้วนและสอดคล้องกับประเด็นที่ต้องการตัดสินใจหรือแก้ปัญหา

(5) ความเกี่ยวข้อง (relevance) ข้อมูลที่เสนอคณะกรรมการฯ หรือ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องสอดคล้องและเหมาะสมกับระดับชั้นของผู้รับข้อมูล และต้องมีข้อมูลสําคัญที่จําเป็นต่อการตัดสินใจรวมอยู่ด้วยเสมอ

รายงานการติดตาม ในการประเมินความเพียงพอ และความเหมาะสมของการติดตามความเสี่ยงและรายงานต่าง ๆ ที่เสนอต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และ ผู้บริหารระดับสูง รวมทั้งระบบข้อมูลสารสนเทศขององค์กร ฝ่ายงานต่าง ๆ ควรพิจารณาปัจจัยดังต่อไปนี้

1) วิธีการติดตามความเสี่ยงและรายงานความเสี่ยง ครอบคลุมความเสี่ยงทุกด้านและเป็นลายลักษณ์อักษร

2) ข้อมูลและวิธีปฏิบัติงานมีความเหมาะสม เป็นลายลักษณ์อักษร และมีการทดสอบความน่าเชื่อถืออย่างสม่ำเสมอ

3) รายงานผลการดําเนินงาน และการสื่อสารภายในองค์กร มีความเหมาะสมกับปริมาณและความซับซ้อนของธุรกรรมขององค์กร

4) มีการจัดทํารายงานที่เสนอต่อคณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงที่ถูกต้อง ทันกาล และมีข้อมูลเพียงพอต่อการประเมินแนวโน้มและระดับความเสี่ยงขององค์กร

ครั้งหน้าเราไปติดตามการควบคุมความเสี่ยงกันครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ วันนี้ผมจะมาเล่าต่อถึงการรายงานผลความเสี่ยงของผู้ตรวจสอบภายในว่า ภายหลังจากที่ผู้ตรวจสอบภายในได้ประเมินผล และทำการติดตามผลแล้ว ผู้ตรวจสอบภายในควรจะต้องรายงานผลต่อคณะกรรมการบริหารความเสี่ยง ซึ่งจะต้องรายงานในเรื่องใด และทำอย่างไรนั้น ผมจะนำเสนอต่อเลยนะครับ

กิจกรรมและขั้นตอนการบริหารใดที่มีจุดอ่อนที่ผู้ตรวจสอบภายในควรจะต้องรายงาน แม้ว่าไม่มีคำตอบที่เป็นสากลที่ชัดเจน แต่การเปรียบเทียบการบรรลุผลตามกิจกรรมและ/หรือผลลัพธ์ของแผนงานกับการปฏิบัติงานจริง จะช่วยชี้ประเด็นที่ผู้ตรวจสอบภายในสามารถรายงานศักยภาพการบริหารความเสี่ยงในระดับต่าง ๆ อย่างเป็นกระบวนการได้

ในการพิจารณาสิ่งจำเป็นในการติดต่อสื่อสาร และการรายงานผลการตรวจสอบภายในที่ผู้ตรวจสอบพึงปฏิบัติก็คือ การให้ข้อสังเกตที่มีนัยสำคัญต่อคุณภาพการบริหารความเสี่ยงทั้ง 8 ขั้นตอนอย่างเป็นกระบวนการ และให้คำแนะนำเพื่อสร้างคุณค่าเพิ่มในด้านการควบคุมการบริหารความเสี่ยง ที่ยังอาจไม่เหมาะสมที่ผู้รับการตรวจสอบในสายงานที่เกี่ยวข้องอาจนำไปใช้ลดจุดอ่อน และสร้างจุดแข็ง เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า การบริหารความเสี่ยงของผู้ที่เกี่ยวข้องในระดับต่าง ๆ สามารถก้าวสู่การบรรลุวัตถุประสงค์ และเป้าหมายที่กำหนดได้

ทั้งนี้ ผู้ตรวจสอบภายในจะต้องมั่นใจในศักยภาพ ในความเป็นผู้ตรวจสอบภายในที่มีความรู้ในกระบวนการบริหารความเสี่ยงในระดับต่าง ๆ อย่างแท้จริง มิใช่เพียงแต่ระบุจุดอ่อนของผู้ได้รับการตรวจสอบ แต่ไม่ได้ให้คำแนะนำที่ชัดเจนในการเพิ่มคุณค่าของกระบวนการบริหารความเสี่ยงในการควบคุมภายในที่เหมาะสม

หากมีข้อโต้แย้งหรือความเห็นที่แตกต่างระหว่างผู้ได้รับการตรวจสอบกับผู้ตรวจสอบ ความเห็นที่แตกต่างและข้อเสนอแนะของฝ่ายตรวจสอบภายใน ควรจะได้รับการบันทึกไว้ในรายงานการตรวจสอบและดำเนินการตามมาตรฐานการตรวจสอบของสมาคมผู้ตรวจสอบภายในสากลด้วย

ผู้ตรวจสอบภายในควรจะรายงานผลในเรื่องใดบ้าง
ข้อมูลที่สร้างจากกิจรรมการปฏิบัติงานจะถูกรายงานผ่านช่องทางปกติไปสู่หัวหน้างานทันที หัวหน้างานอาจสื่อสารไปสู่เบื้องบนตามลำดับในองค์กร เพื่อให้ข้อมูลสิ้นสุดที่บุคลากรที่สามารถปฏิบัติได้

ช่องทางเลือกของการติดต่อสื่อสารควรมีอยู่เพื่อการรายงานผลข้อมูลที่อ่อนไหว เช่น เรื่องผิดกฎหมาย ผิดระเบียบ คำสั่ง หรือการปฏิบัติที่ไม่เหมาะสม การพบข้อบกพร่องของการบริหารความเสี่ยงควรถูกรายงานที่เฉพาะต่อความรับผิดชอบของปัจเจกบุคคลเพื่อหน้าที่หรือกิจกรรมที่เกี่ยวข้อง แต่อย่างน้อยเพื่อผู้บริหารระดับที่เหนือกว่าบุคคลนั้น และแน่นอนว่าจะต้องรายงานตามสายการบังคับบัญชาด้วยเสมอ

เรามาดูกันต่อนะครับว่า การรายงานความเสี่ยงนั้นมีประโยชน์อย่างไรต่อการบริหารความเสี่ยงกันบ้าง
1. ทำให้คณะกรรมการขององค์กร มั่นใจว่าความเสี่ยงขององค์กรสอดคล้องกับกลยุทธ์ความเสี่ยงที่ได้รับอนุมัติ และพิจารณาได้ว่าหน้าที่การบริหารความเสี่ยงได้รับการปฏิบัติอย่างมีประสิทธิผล และช่วยในการติดตามที่สำคัญในกรณีที่จำเป็น

2. หัวหน้ากลุ่มต่าง ๆ และผู้บริหารระดับสูงสามารถบ่งชี้และเข้าใจความเสี่ยงที่เกิดขึ้น และข้อกำหนดกิจกรรมการลดความเสี่ยงที่มีประสิทธิผลในระดับกลยุทธ์และระดับปฏิบัติการ

3. หัวหน้ากลุ่มและผู้บริหารระดับสูงสามารถยืนยันได้ว่าการควบคุมความเสี่ยงที่สำคัญได้ถูกนำไปปฏิบัติและดำเนินการอย่างประสบความสำเร็จ และหลีกเลี่ยงความผิดพลาดและล้มเหลวต่าง ๆ ที่จะมีผลต่อการบรรลุวัตถุประสงค์ขององค์กร

ตัวอย่างเอกสารการรายงานความเสี่ยง
– ตารางความเสี่ยง (Risk Matrix)
ตารางความเสี่ยง คือ ทะเบียนความเสี่ยงที่ประกอบไปด้วยข้อมูลของแต่ละความเสี่ยง

ตัวอย่างตารางความเสี่ยง

– แผนภาพความเสี่ยง (Risk Map)
แผนภาพความเสี่ยงจัดทำขึ้นเพื่อแสดงความเสี่ยงแต่ละเรื่องไว้ด้วยกัน และแสดงภาพใหญ่ของความเสี่ยงทั้งหมดและความสำคัญแต่ละเรื่อง

แผนภาพความเสี่ยงเป็นเครื่องมือช่วยในการ
– แสดงการประเมินความเสี่ยงเชิงคุณภาพ
– แสดงตำแหน่งของความเสี่ยง
– สนับสนุนการตัดสินใจในระดับความสำคัญของความเสี่ยงในภาพรวม

การติดตามผลและการรายงานความเสี่ยง

– แผนผังความเสี่ยง
แผนผังความเสี่ยงแสดงความสัมพันธ์ระหว่างโอกาสเกิดและผลกระทบของความเสี่ยงที่บ่งชี้ได้ นอกจากนี้ยังสามารถให้ผู้บริหารใช้เป็นเครื่องมือสำหรับวัดผลและรายงานความเสี่ยงขององค์กร

องค์ประกอบสำคัญของการติดตามผล