Posts Tagged "คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร"

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร (ต่อ)

ครั้งที่แล้ว ผมได้พูดถึงหลักการและคำแนะนำบางประการ เพื่อยกระดับการบริหารความเสี่ยง ไปสู่การบริหารเชิงรุกอย่างเป็นระบบ โดยนำเสนอคำแนะนำในกรณีที่องค์กรสามารถยกระดับการบริหารความเสี่ยง จากน้อยไปสู่การบริหารความที่สร้างมูลค่าเพิ่มให้แก่องค์กรไปแล้วนั้น สำหรับครั้งนี้ ผมจะขอต่อด้วยการยกระดับการบริหารความเสี่ยง กรณีที่จะสามารถปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) ซึ่งสามารถพิจารณาได้จากหลักการและคำแนะนำบางประการ ดังนี้

กรณีที่ 2 การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร

1. กระบวนการบริหารความเสี่ยง เป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ

1.1 การมีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคล หรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคล หรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

องค์กรจะต้องเน้นความสำคัญของกระบวนการบริหารความเสี่ยง โดยถือเป็นส่วนสำคัญของการพิจารณาผลตอบแทนหรือความดีความชอบ โดยในแต่ละสายงานที่เกี่ยวข้องกับความเสี่ยงระดับองค์กร จะมีการถ่ายทอดตัวชี้วัดด้านการบริหารความเสี่ยงลงสู่ระดับสายงานดังกล่าว การเชื่อมโยงผลตอบแทนกับระดับความเสี่ยงที่สามารถลดลงได้ในแต่ละปัจจัยเสี่ยงของแต่ละสายงานนั้น ควรกำหนดให้ชัดเจน และการประเมินผลด้านการบริหารความเสี่ยงที่ถือเป็นส่วนหนึ่งของตัวชี้วัดของสายงานนั้น ๆ โดยเฉพาะผลงานด้านการบริหารความเสี่ยงกับแรงจูงใจพิเศษ

1.2 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง ซึ่งการยกระดับการบริหารความเสี่ยงองค์กรจะต้องมีหลักฐานชัดเจนในการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม โดยมีการถ่ายทอด (Deploy) เป้าหมายของตัวชี้วัดองค์กรลงสู่สายงานต่าง ๆ รวมถึงมีการถ่ายทอด Risk Appetite ระดับองค์กรลงสู่สายงานต่าง ๆ ด้วยเช่นกัน

2. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี

2.1 คณะกรรมการจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุล ระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น องค์กรควรแสดงให้เห็นถึงการที่คณะกรรมการมีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุน และการจัดการด้าน IT กับความเสี่ยงที่จะเกิดขึ้น มีการศึกษาผลตอบแทนด้านการลงทุนด้าน IT ในมุมของผลประโยชน์ ทั้งที่เป็นตัวเงินและมิใช่ตัวเงิน รวมถึงการพิจารณาในเชิงของการระบุความเสี่ยง การประเมินความรุนแรง และการบริหารความเสี่ยง

2.2. Board มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน ผ่านคณะกรรมการด้าน IT โดยในแผนแม่บท IT ต้องมีการกำหนด KPIs และ Outcome ของแผนงาน/โครงการไว้ชัดเจน และมีการประเมินอย่างต่อเนื่อง

2.3. การดำเนินงานตามแผน ISO 27001 ดีกว่าเป้าหมายที่กำหนดไว้ในแผนประจำปีบัญชี องค์กรมีการจัดทำแผนความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT Security Plan) ตามแนวทางของมาตรฐาน ISO 21001 โดยมีการดำเนินงานตามแผนงาน/โครงการ ได้ดีกว่าเป้าหมายที่กำหนดไว้

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยง เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่องค์กรระบุไว้ รวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ หรือการที่องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) เพื่อการสร้างสรรค์/นวัตกรรม (Innovation)

องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ มีการบริหารจัดการความรู้ โดยการส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศ เพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร โดยจัดให้พนักงานเข้ารับการอบรมในเรื่องต่าง ๆ รวมถึงองค์กรสามารถบริหารความเสี่ยงโดยผ่าน SWOT ขององค์กรวิเคราะห์ถึงโอกาสในการที่จะสร้างมูลค่าเพิ่มให้กับองค์กรอย่างชัดเจน

 

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร (ต่อ)

สวัสดีครับ วันนี้เราจะมาพูดคุยกันถึงคำแนะนำในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร บางประการ ที่จะสามารถเพิ่มประสิทธิภาพ เพื่อยกระดับการบริหารความเสี่ยงขององค์กรไปสู่ระดับการบริหารความเสี่ยงที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กรได้ โดยมีหลักการพิจารณาง่าย ๆ ที่ผมจะนำเสนอต่อจากครั้งที่แล้ว ดังนี้

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี

5.1. ก) องค์กรมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยง และปัญหาที่อาจเกิดขึ้นทางด้าน IT โดยมีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน และควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่าง ๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่องด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่าง ๆ ที่อาจเกิดขึ้นได้ )

ทั้งนี้องค์กรควรมีการดำเนินงานด้าน IT ตามแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งการพัฒนากระบวนการประเมินความเสี่ยง ด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร ตามมาตรฐานความมั่นคงปลอดภัย ISO/IEC 27001 ที่ดำเนินงานตามระบบจัดการดำเนินธุรกิจอย่างต่อเนื่องของงานหลักทุก ๆ ด้าน และมีการวิเคราะห์ผลกระทบต่อบริษัท การดำเนินกิจกรรมเพื่อลดความเสี่ยง รวมถึงการติดตามประเมินผล

ข) องค์กรมีการกำหนดกรอบการดำเนินงานการบริหารความต่อเนื่องทางธุรกิจ ตามแผนงานการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) และดำเนินการวิเคราะห์ – ประเมินผลกระทบต่อการหยุดชะงักการดำเนินงานที่สำคัญ ซึ่งประกอบด้วย การประเมินความเสี่ยง (Risk Assessment) การวิเคราะห์ผลกระทบทางธุรกิจ ( Business Impact Analysis: BIA ) และการวิเคราะห์และระบุงานที่สำคัญ (Critical Business Function) โดยวิเคราะห์ผลกระทบทางธุรกิจ ( Business Impact Analysis: BIA ) ซึ่งพิจารณาจากระบบหลัก ที่มีผลกระทบโดยตรงในระยะเวลาสั้นต่อการดำเนินงาน โดยเน้นเรื่อง Time Critical (Maximum Tolerable Period of Disruption : MTPD) เป็นหลัก และให้ความสำคัญต่อผลกระทบทางการเงินและผลกระทบต่อการดำเนินงานขององค์กร

5.2. 1) Board มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT คือ ได้มีการจัดทำแผนแม่บทเทคโนโลยีสารสนเทศ และดำเนินงานตามแผน โดยเป็นแผนเชิงกลยุทธ์ ซึ่งได้พิจารณาถึงการเปลี่ยนแปลงสภาวะแวดล้อมด้านเทคโนโลยีสารสนเทศ และการสื่อสารที่มีผลกระทบต่อการดำเนินธุรกิจ ทั้งในปัจจุบันและอนาคต โดยคณะกรรมการฯ มีบทบาทสำคัญ เพราะเป็นผู้ควบคุมดูแลตัดสินใจเรื่องนโยบาย รวมถึงแต่งตั้งฝ่ายจัดการ เพื่อจัดการงานประจำ ดังนั้น คณะกรรมการฯ จึงสามารถบริหารจัดการและติดตามประเมินผลการดำเนินงานโครงการด้าน IT ที่อยู่ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสาร ด้วยการติดตามและรายงานผลการดำเนินงานโครงการตามแผนธุรกิจ ซึ่งมีโครงการคลอบคลุมการดำเนินงานทั้งหมด รวมทั้งโครงการที่อยู่ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารเป็นไปอย่างเป็นระบบและสอดคล้องกัน

2) คณะกรรมการองค์กรแต่งตั้ง คณะอนุกรรมการกำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (IT Strategy Committee) เพื่อกลั่นกรองงานด้าน IT โดยมี CIO มีอำนาจหน้าที่ เช่น ให้คำปรึกษาแนะนำ และนำเสนอข้อมูลเชิงลึกด้านเทคโนโลยีสารสนเทศ (IT) แก่คณะกรรมการองค์กร ในเรื่องการพัฒนาเชิงลึกของ IT ความสอดคล้องของ IT กับทิศทางการดำเนินกิจการขององค์กร การมีทรัพยากรด้าน IT ที่พอเพียงและเหมาะสม รวมทั้งทักษะที่จำเป็น และ IT Infrastructure ประโยชน์ที่ได้รับจากการลงทุนด้าน IT ความเสี่ยงที่เกี่ยวข้องกับ IT และความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามนโยบายด้าน IT

5.3. ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการความมั่นคงปลอดภัย และกฎเกณฑ์ด้าน IT อย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุน ทางด้าน IT และระยะเวลาของการเปลี่ยนแปลง กระบวนการและระบบการทำงาน เป็นต้น โดยฝ่ายบริหารจะต้องมีการประเมินศักยภาพ และความคุ้มค่าของการใช้ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เพื่อการตัดสินใจของคณะกรรมการและผู้บริหารระดับสูง ในเชิงวิเคราะห์เปรียบเทียบกับวัตถุประสงค์และเป้าหมาย อันได้แก่ การนำเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมมาใช้งาน เพื่อพัฒนาระบบงานด้านต่าง ๆ ให้มีประสิทธิภาพ มีคุณภาพที่สอดคล้อง และรองรับต่อความต้องการของลูกค้า และทันต่อการเปลี่ยนแปลง โดยการนำ IT มาช่วยสนับสนุน หรือพัฒนาให้การปฏิบัติงานประจำมีความสะดวก รวดเร็ว ลดระยะเวลาในการทำงาน หรือลดความซ้ำซ้อนในการดำเนินงาน ซึ่งเป็นการใช้งานระบบ IT ทั้งทางด้าน Admin และงานด้านสนับสนุนภารกิจหลัก

5.4. การดำเนินงานตามแผน ISO 27001 เป็นไปตามเป้าหมายที่กำหนดไว้ในแผนประจำปี คือองค์กรได้มีการจัดทำแผนการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและการสื่อสาร ตามแนวทางของมาตรฐาน ISO 17799 โดยมีการดำเนินการตามแผนงาน/โครงการ ซึ่งประกอบด้วยแผนงาน/โครงการสำหรับระบบงานหลักและระบบงานรอง

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงดีกว่าแผนฯ ในปัจจัยเสี่ยงที่มีความรุนแรงสูง (อยู่ในดุลยพินิจของคณะอนุกรรมการ) และดีขึ้นจากอดีตที่ผ่านมา โดยผลการบริหารความเสี่ยงในทุกปัจจัยเสี่ยงขององค์กร มีระดับความรุนแรงลดลงทุกปัจจัยเสี่ยง ซึ่งในทุกปัจจัยเสี่ยงขององค์กรมีการระบุอย่างชัดเจน ถึงระดับความรุนแรงของความเสี่ยงทั้งก่อนและหลังการบริหารฯ โดยที่ระดับความรุนแรงก่อนและหลังบริหารความเสี่ยงแล้วนั้น องค์กรสามารถบริหารฯ ได้มีระดับความรุนแรงหลังบริหารความเสี่ยงลดลงจากก่อนบริหารความเสี่ยง รวมถึงองค์กรได้มีการดำเนินการตามแผนครบทุกกิจกรรม และมีผลการดำเนินงานดีกว่าเป้าหมายที่กำหนดไว้

 

คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร

การบริหารความเสี่ยงที่มีการประเมินผลโดยรวม ต่อการดำเนินงานของหน่วยงานหรือองค์กร ตามหลักการของ COSO – ERM เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงานที่เป็นรูปธรรม ส่งผลให้หน่วยงานหรือองค์กรมีการบริหารจัดการ เพื่อยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่การบริหารเชิงรุกอย่างเป็นระบบ ซึ่งหน่วยงานหรือองค์กรสามารถยกระดับการบริหารความเสี่ยง จากน้อยไปสู่การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มให้แก่องค์กร หรือจนกระทั่งปลูกฝังให้การบริหารความเสี่ยง เป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าเพิ่มให้แก่องค์กร (Value Creation) ได้ในที่สุดนั้น สามารถพิจารณาได้จากหลักการ และคำแนะนำบางประการ ดังที่ผมจะได้เล่าสู่กันฟัง เป็นหัวข้อที่เข้าใจง่าย ๆ ดังนี้

กรณีที่ 1 การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กร

1. การกำหนดกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร

1.1. ก) องค์กรควรมีหลักฐานที่ชัดเจนถึงการเชื่อมโยงกลยุทธ์ การบริหารความเสี่ยง นโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร โดยเป้าหมายเชิงกลยุทธ์ ควรประกอบด้วย การรักษาความสามารถในการดำเนินธุรกิจหลักขององค์กร, มุ่งเน้นในการสร้างรายได้จากธุรกิจใหม่ที่มีอัตราการทำกำไรที่ดี และพัฒนาความสามารถของพนักงานและกระบวนการดำเนินงานอย่างต่อเนื่อง ซึ่งองค์กรควรได้ถ่ายทอดลงมาเป็นปัจจัยเสี่ยงและเป้าหมายในการบริหารความเสี่ยงอย่างชัดเจน

ข) องค์กรมีการกำหนดเรื่องการบริหารความเสี่ยง เป็นส่วนหนึ่งของวัตถุประสงค์ในการดำเนินธุรกิจในแผนธุรกิจ และแผนเพิ่มประสิทธิภาพ โดยกำหนดเป็นวัตถุประสงค์ด้านองค์กร คือ เพื่อเป็นองค์กรที่มีการบริหารในแนวทางของการกำกับดูแลกิจการที่ดี ควบคู่ไปกับการบริหารความเสี่ยงที่เป็นมาตรฐานสากล นอกจากนี้ การกำหนดนโยบายใหม่ ๆ ขององค์กรควรมีการกำหนดให้คณะกรรมการบริหารความเสี่ยงพิจารณาด้วย

2. องค์กรมีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยงเพื่อเพิ่มมูลค่า (Value Enhancement)

2.1. การปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน องค์กรมีการจัดทำแผนบริหารความเสี่ยงประจำปี โดยเป็นส่วนหนึ่งของแผนธุรกิจ และแผนเพิ่มประสิทธิภาพ และมีการปฏิบัติตามแผนปฏิบัติการบริหารความเสี่ยงได้อย่างครบถ้วน

2.2. มีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงิน โดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน หรือการควบคุม/บริหารต้นทุน และ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่องค์กรมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยง เพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างมูลค่าขององค์กร (Value Creation) โดยที่องค์กรมีการนำเป้าหมายทางการเงินของแผนยุทธศาสตร์มาวิเคราะห์ เชื่อมโยงและค้นหาปัจจัยเสี่ยง เพื่อนำมาบริหารความเสี่ยงและจัดทำแผนรองรับ โดยเป้าหมายของแผนบริหารความเสี่ยงทั้งการเงินและมิใช่การเงินขององค์กร สามารถบรรลุเป้าหมายได้ครบถ้วนตามที่กำหนด

2.3. มีการสื่อสารถึงคณะกรรมการตรวจสอบ และผู้บริหารระดับสูงสุดอย่างต่อเนื่อง ตามที่ระบุไว้ในคู่มือการบริหารความเสี่ยง โดยมีการรายงานผลการบริหารความเสี่ยง ต่อผู้บริหารระดับสูงอย่างต่อเนื่อง และมีการติดตามความเสี่ยงเป็นประจำทุกเดือน รวมถึง รายงานผลการบริหารความเสี่ยงในทุกไตรมาส ซึ่งได้กำหนดไว้ในคู่มือการบริหารความเสี่ยง เพื่อให้เป็นมาตรฐานปฏิบัติอย่างต่อเนื่องในการบริหารความเสี่ยงองค์กร

3. องค์กรมีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น เมื่อสภาพแวดล้อมเปลี่ยนแปลงไป หรือกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด

3.1. องค์กรมีการทบทวนการบริหารความเสี่ยง โดยมีการปรับเปลี่ยนวิธีการตามกระบวนการบริหารความเสี่ยงและองค์ประกอบในการบริหารความเสี่ยงในระดับองค์กร รวมถึงมีการทบทวนแผนหลักบริหารความเสี่ยงและควบคุมภายใน ซึ่งเป็นการปรับเปลี่ยนแผนในการดำเนินงานให้มีความสอดคล้อง เหมาะสมกับสภาพแวดล้อม และความจำเป็นขององค์กร และมีความชัดเจนในภาพการบูรณาการ การบริหารความเสี่ยงระดับองค์กรและระดับฝ่ายงาน กับกระบวนการบริหารเชิงกลยุทธ์

4. องค์กรจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง โดยต้องจัดให้มีการ สำรวจความตระหนักของพนักงานเกี่ยวกับระบบบริหารความเสี่ยงขององค์กร และนำผลสำรวจมาจัดทำแผนงาน และกำหนดเป้าหมายของแผนงานที่ชัดเจนในปีต่อไป

4.1. ก) องค์กรจัดให้มีการสำรวจความรู้ ความเข้าใจ เรื่องการบริหารความเสี่ยงและควบคุมภายใน จากพนักงานเพื่อรับทราบความรู้ ความเข้าใจเรื่องการบริหารความเสี่ยงและควบคุมภายใน และรับทราบความคิดเห็น โดยมีทั้งคำถามแบบปลายปิดและปลายเปิด โดยในส่วนของคำถามปลายปิด เป็นการสอบถามถึงความรู้ ความเข้าใจเกี่ยวกับการบริหารความเสี่ยง และการสอบถามถึงการบริหารความเสี่ยงที่ควรทราบ ส่วนคำถามปลายเปิด เป็นการให้พนักงานเสนอแนะเพิ่มเติม เพื่อนำมาเป็นข้อมูลในการวิเคราะห์เพื่อจัดทำแผนงาน/โครงการ/กิจกรรมส่งเสริมความรู้ความเข้าใจและความตระหนักรู้ในเรื่องการบริหารความเสี่ยงให้กับพนักงาน และเพื่อจะได้พิจารณากำหนดแนวทางในการส่งเสริม และผลักดันให้การบริหารความเสี่ยงแทรกซึมอยู่ในกระบวนการปฏิบัติงานประจำ เพื่อสร้างมูลค่าเพิ่มและปลูกฝังเป็นวัฒนธรรมองค์กร

ข) ฝ่ายบริหารความเสี่ยงควรทำการสำรวจความคิดเห็นของพนักงานหน่วยงานเจ้าของความเสี่ยงได้แก่ หน่วยงานด้านการบริหารการเงิน ด้านเทคโนโลยีสารสนเทศ ด้านบริการ ด้านบริหาร ด้านแผนและพัฒนา และหน่วยงานด้านอื่น ๆ ในองค์กรที่ดำเนินการบริหารความเสี่ยง เพื่อให้ผู้บริหารทราบถึงทัศนคติและความคิดเห็น รวมทั้งข้อเสนอแนะต่าง ๆ เพื่อใช้ประโยชน์ในการพัฒนาการบริหารความเสี่ยงต่อไป

การยกระดับการบริหารความเสี่ยงที่ดีในระดับที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กร ยังไม่จบเพียงเท่านี้ ครั้งหน้าผมจะมาเล่าสู่กันฟังถึงหลักการและคำแนะนำในข้ออื่น ๆ ต่อนะครับ