Posts Tagged "คู่มือการบริหารความเสี่ยง"

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

หวังว่าคงจะพอจำกันได้นะครับ กับกระบวนการบริหารความเสี่ยง ตามหลัก COSO – Enterprise Risk Management (ERM) ทั้ง 8 ประการที่ผมเคยพูดถึง หากจำไม่ได้หรือต้องการทบทวนก็สามารถไปดูได้ที่ COSO-ERM มาถึงตอนนี้ก็เข้าสู่องค์ประกอบการบริหารความเสี่ยงหรือกระบวนการบริหารความเสี่ยง ขั้นที่ 7 ซึ่งจะเป็นการบริหารความเสี่ยงที่เกี่ยวกับระบบสารสนเทศและการสื่อสาร (Information and Communication) ที่ผมจะพูดคุยกันในวันนี้

ข้อมูลที่เกี่ยวข้อง (Pertinent Information) จากแหล่งภายในและภายนอก จะต้องมีการระบุและมีการสื่อสารในรูปแบบที่เป็นทางการ มีการระบุตารางเวลาทำให้แต่ละบุคคลสามารถดำเนินการตามความรับผิดชอบของตน

การสื่อสารที่มีประสิทธิภาพนั้นเป็นได้ทั้งในเชิงกว้าง ทั้งจากระดับล่างและระดับบนภายในองค์กร รวมถึงมีการสื่อสารแลกเปลี่ยนข่าวสารต่อภายนอกองค์กรที่มีความเกี่ยวข้องกัน เช่น ลูกค้า ผู้จัดหาวัตถุดิบ ผู้รักษากฎระเบียบ หรือผู้มีผลประโยชน์ร่วม

ข้อมูลต่าง ๆ ทั้งหลาย ถูกต้องการในทุกระดับขององค์กร เพื่อที่จะระบุทรัพย์สินและการสนองตอบต่อความเสี่ยง และในอีกนัยหนึ่งคือ เพื่อที่จะดำเนินงานขององค์กรและประสบความสำเร็จในเป้าหมาย ข้อมูลที่ถูกใช้จะมีส่วนเกี่ยวข้องกับเป้าหมาย ข้อมูลที่มาจากหลายแหล่ง จากภายในและภายนอก ทั้งในรูปแบบของข้อมูลเชิงปริมาณและข้อมลเชิงคุณภาพ ซึ่ง ERM จะตอบสนองต่อสภาวการณ์ที่เปลี่ยนแปลงในเวลาปัจจุบัน ความท้าทายต่อการบริหารก็คือ กระบวนการในการจัดการข้อมูลจำนวนมหาศาล เพื่อให้ได้ข้อมูลที่สามารถใช้ได้จริง

ความท้าทายนี้จะสำเร็จได้โดยการจัดตั้งระบบโครงสร้างข้อมูลของแหล่งข้อมูล การจับ (Capture) กระบวนการ (Process) การวิเคราะห์ (Analyze) และการรายงาน (Reporting) ข้อมูลที่มีความเกี่ยวข้อง ระบบข้อมูลเหล่านี้ โดยปกติจะแล้วถูกคำนวณโดย computer แต่เกี่ยวข้องกับการป้อนข้อมูลหรือแลกเปลี่ยนของบุคคล บ่อยครั้งถูกมองในบริบทของกระบวนการจัดการข้อมูลภายในที่เกี่ยวข้องกับการแลกเปลี่ยนข้อมูล
ระบบข้อมูลมีการออกแบบที่ยาวนานและถูกใช้เพื่อสนับสนุนกลยุทธ์ทางธุรกิจ บทบาทนี้เป็นบทบาทที่สำคัญต่อความต้องการขององค์กรที่เปลี่ยนแปลงไปทางธุรกิจและเทคโนโลยีสร้างโอกาสใหม่ต่อความได้เปรียบทางกลยุทธ์ เพื่อที่จะสนับสนุน ERM อย่างมีประสิทธิภาพ

หน่วยงานที่ได้มาซึ่งข้อมูลจะใช้ทั้งข้อมูลในอดีตและปัจจุบัน ข้อมูลในอดีต (Historical Data) ใช้ผลประกอบการจริงเปรียบเทียบกับเป้าหมาย แผนหรือความคาดหวัง ซึ่งแสดงถึงผลประกอบการดำเนินงานของหน่วยงานภายใต้ สภาวการณ์ที่เปลี่ยนแปลงไป ฝ่ายจัดการจะกำหนดความสัมพันธ์และแนวโน้มเพื่อพยากรณ์การดำเนินงานในอนาคต ข้อมูลในอดีตสามารถนำมาเป็นเครื่องเตือนภัยล่วงหน้า (Early Warning) เหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นซึ่งฝ่ายจัดการควรให้ความสำคัญ

ข้อมูลในปัจจุบัน (Current Data) เป็นข้อมูลที่องค์กรสามารถใช้ประเมินความเสี่ยงที่เกิดขึ้นในองค์กร ทำให้สามารถปรับเปลี่ยนกิจกรรมซึ่งมีความจำเป็นในการปรับเปลี่ยนความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite)

ข้อมูลที่เป็นพื้นฐานสำหรับการสื่อสารจะต้องเข้าถึงความคาดหวังของกลุ่ม และปัจเจกบุคคลในช่องทางการสื่อสารที่สำคัญที่สุด ระหว่างผู้จัดการระดับสูงกับคณะกรรมการบริหาร (Board of Directors) การสื่อสารที่ดีทำให้คณะกรรมการบริหารมีประสิทธิภาพในการให้คำแนะนำปรึกษา หารือหรือสั่งการในทิศทางเดียวกัน หรือสื่อสารถึงฝ่ายจัดการว่าต้องการข้อมูลอะไร ประเภทไหน การตอบสนอง (Feedback) และการสั่งการ

ฝ่ายบริหารจะสื่อสารถึงพฤติกรรมที่คาดหวังและความรับผิดชอบของแต่ละบุคคล ปรัชญาการบริหารความเสี่ยงที่มีความชัดเจน การมอบหมายอำนาจบังคับบัญชา และวัฒนธรรมความเสี่ยง (Risk Culture) การสื่อสารควรเพิ่มความตระหนักเกี่ยวกับความสำคัญและความเกี่ยวพันของ ERM ที่มีประสิทธิภาพของความเสี่ยงในรับที่องค์กรยอมรับได้ (Risk Appetite) และระดับความเสี่ยงที่องค์กรยอมรับได้ (Risk Tolerance)

ช่องทางการสื่อสารควรทำให้แน่ใจว่าแต่ละบุคคลสามารถสื่อสารข้อมูลบนพื้นฐานของความเสี่ยง ระหว่างหน่วยงานทางธุรกิจ กระบวนการหรือหน้าที่ของหน่วยงาน ในกรณีส่วนใหญ่ สายการรายงานทั่วไปในองค์กร (Normal Reporting Line) คือช่องทางที่เหมาะสมของการสื่อสาร อย่างไรก็ตามในบางโอกาสนั้น การแยกช่องทางการสื่อสาร (Separate Line) ก็สามารถใช้ได้แต่ต้องไม่เป็นการรายงานที่ไม่มีความน่าเชื่อถือของข้อมูล

ช่องทางการสื่อสารภายนอก เป็นที่มาของข้อมูลที่มีความสำคัญอย่างมากต่อการออกแบบคุณภาพของผลผลิตและบริการ ฝ่ายจัดการควรพิจารณาความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite) เป็นอย่างไรและระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) เป็นอย่างไร ต่อลูกค้า ผู้จัดหาวัตถุดิบ ผู้มีผลประโยชน์ร่วม ขององค์กรเพื่อทำให้แน่ใจว่ามันจะไม่มีความเสี่ยงที่มากจนเกินไป

ข้อมูลข่าวสารที่ตรงประเด็นถูกแยกแยะ ดักจับและสื่อสารในรูปแบบและกรอบเวลา ซึ่งทำให้คนปฏิบัติตามความรับผิดชอบ ระบบข้อมูลข่าวสารใช้ข้อมูลที่สร้างจากภายในและข้อมูลเกี่ยวกับเหตุการณ์ภายนอก กิจกรรมและเงื่อนไข ในการเตรียมข้อมูลให้กับการบริหารความเสี่ยงขององค์กร และการตัดสินใจที่สัมพันธ์กับวัตถุประสงค์การติดต่อสื่อสารที่มีประสิทธิภาพไหลไปสู่ด้านบน ด้านข้างและด้านบนขององค์กร

บุคลากรทั้งหมดได้รับข่าวสารที่ชัดเจนจากผู้บริหารระดับบนที่มีความรับผิดชอบในการบริหารความเสี่ยงอย่างจริงจัง ผู้บริหารเข้าใจบทบาทของตนเองในการบริหารความเสี่ยง เช่นเดียวกับเข้าใจว่ากิจกรรมแต่ละคนเกี่ยวข้องกับงานของคนอื่นอย่างไร ผู้บริหารต้องมีค่ากลางของการไหลของข้อมูลข่าวสารที่สำคัญซึ่งเป็นการติดต่อสื่อสารที่มีประสิทธิภาพกับภายนอก

ทุก ๆ องค์กรได้แยกแยะและดักจับข้อมูลข่าวสาร ข้อมูลทางการเงิน และไม่ใช่การเงินที่เกี่ยวข้องกับภายนอก เช่นเดียวกับเหตุการณ์ และกิจกรรมภายในสัมพันธ์กับการบริหารองค์กร ข้อมูลเหล่านี้ถูกส่งไปยังบุคคลในรูปแบบและกรอบเวลา ซึ่งทำให้พวกเขาสามารถจัดการกับการบริหารความเสี่ยงและความรับผิดชอบอื่น ๆ ได้

สำหรับวันนี้คงไว้เท่านี้ก่อน ในรายละเอียดต่าง ๆ ผมจะพูดถึงในครั้งต่อไป โปรดติดตามต่อไปนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ในวันนี้ มาต่อกันด้วยเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน ด้วยความแพร่หลายของการพึ่งพาระบบข้อมูลสารสนเทศ และการแพร่กระจายของข้อมูลข่าวสาร การควบคุมกิจกรรมควบคุมจึงมีความสำคัญและจำเป็นอย่างยิ่ง เพื่อทำให้เกิดความมั่นใจในความสมบูรณ์ ความถูกต้องของข้อมูลข่าวสาร ซึ่งการควบคุมระบบข้อมูลข่าวสารดังกล่าวนี้แบ่งได้เป็น 2 กลุ่ม คือ

1. การควบคุมทั่วไป (General Control) เป็นการควบคุมทั่วไปเพื่อรับประกันความเชื่อมั่นว่ามีการปฏิบัติหรือกระบวนการที่เหมาะสมอย่างต่อเนื่อง การควบคุมทั่วไปนี้รวมถึงการจัดองค์กร การปฏิบัติ การควบคุมการบริหารข้อมูลสารสนเทศ โครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ การบริหารความปลอดภัย การซื้อซอฟต์แวร์ การพัฒนาและการดูแลรักษา การควบคุมนี้สามารถประยุกต์ใช้ได้กับทุกระบบ จากระบบปฏิบัติการหลัก (Mainframe) จนถึงลูกค้าหรือผู้ใช้บริการไปจนถึงสภาพแวดล้อม การควบคุมรวมถึงกระบวนการ (Process) การติดตามและการรายงานกิจกรรมเทคโนโลยีข้อมูลสารสนเทศ

2. การควบคุมการใช้งาน (Application Control) เป็นการควบคุมเพื่อทำให้แน่ใจว่าการบันทึกข้อมูล การประมวลผลและการรายงานมีความสมบูรณ์ ความถูกต้อง เชื่อถือได้ของข้อมูล

เนื่องจากแต่ละหน่วยงานตั้งเป้าหมายและกระบวนการของตนเอง ซึ่งย่อมแตกต่างกัน ดังนั้นเป้าหมาย โครงสร้างและกิจกรรมควบคุมของแต่ละองค์กรย่อมแตกต่างกัน แต่ละองค์กรจะถูกบริหารจัดการจากบุคลากร สภาพแวดล้อม ความซับซ้อนของโครงสร้างองค์กรและวัฒนธรรมองค์กรที่แตกต่างกัน ซึ่งมีผลต่อการควบคุมภายใน (Internal Control)

การควบคุมการใช้งานออกแบบมาเพื่อให้มั่นใจในความสมบูรณ์ ความถูกต้อง การมอบอำนาจและความมีเหตุมีผลของการดักจับข้อมูลและการประมวลผล การใช้งานแต่ละชนิดอาจพึ่งพาการปฏิบัติที่มีประสิทธิภาพในการควบคุมระบบข้อมูลข่าวสาร เพื่อให้มั่นใจว่าได้ดักจับข้อมูลหรือดำเนินการกับข้อมูลเมื่อจำเป็น การสนับสนุนการใช้งานสามารถหามาได้และตรวจสอบความผิดพลาดได้อย่างรวดเร็ว

สิ่งหนึ่งที่สำคัญที่สุดที่ได้จากคอมพิวเตอร์คือความสามารถในการป้องกันความผิดพลาดจากการเข้าไปในระบบ รวมทั้งการตรวจและแก้ไขในทันที ในการทำเช่นนี้การควบคุมการใช้งานขึ้นอยู่กับการตรวจสอบระบบคอมพิวเตอร์ ซึ่งประกอบด้วยรูปแบบ ความมีเหตุมีผล และการตรวจสอบอื่น ๆ จากข้อมูลซึ่งอยู่ภายในระบบการใช้งานระหว่างทำการพัฒนา เมื่อออกแบบได้อย่างถูกต้องก็สามารถควบคุมการนำเข้าข้อมูลได้

องค์กรกับการตอบสนองความเสี่ยงและการควบคุม
เนื่องจากแต่ละองค์กรมีวัตถุประสงค์และวิธีการนำไปปฏิบัติที่แตกต่างกันในการสนองตอบความเสี่ยงและกิจกรรมการควบคุมที่เกี่ยวข้อง หากแม้ว่า 2 องค์กรมีวัตถุประสงค์เหมือนกันและมีการตัดสินใจเหมือนกันในการที่จะทำอย่างไรให้บรรลุผลสำเร็จ แต่กิจกรรมการควบคุมอาจมีความแตกต่างกัน แต่ละองค์กรถูกบริหารโดยคนซึ่งใช้การตัดสินของแต่ละคนส่งผลต่อการควบคุมภายใน ยิ่งไปกว่านี้การควบคุมสะท้อนสภาพแวดล้อมและอุตสาหกรรมในแง่การปฏิบัติในองค์กร

สภาพแวดล้อมในแง่ขององค์กรจัดการกับผลสะท้อนของความเสี่ยงซึ่งถูกเปิดเผยและอาจนำเสนอรายงานเชิงวัตถุประสงค์ที่ไม่เหมือนใคร หรือกฎหมายพิเศษ หรือความต้องการของกฎระเบียบ เช่น โรงงานผลิตภัณฑ์เคมีอาจบริหารความเสี่ยงของสภาพแวดล้อมได้มากกว่าองค์กรที่ให้บริการ

ความซับซ้อนขององค์กรและธรรมชาติและกรอบของกิจกรรมส่งผลต่อกิจกรรมควบคุมขององค์กร องค์กรที่ซับซ้อนและมีกิจกรรมที่หลากหลายอาจเผชิญกับเรื่องของการควบคุมที่ยากกว่าองค์กรธรรมดาที่มีกิจกรรมที่หลากหลายน้อยกว่า องค์กรที่มีการปฏิบัติแบบกระจายอำนาจและมุ่งเน้นความเป็นเอกเทศและนวัตกรรม นำเสนอเหตุการณ์การควบคุมที่แตกต่างกว่าองค์กรที่มีการรวมศูนย์อย่างมาก ปัจจัยอื่น ๆ ซึ่งมีอิทธิพลต่อความซับซ้อนขององค์กรและธรรมชาติของการควบคุมรวมถึงสถานที่ตั้ง การกระจายทางประชากร การขยายตัวและปรับแต่งการปฏิบัติ และวิธีการประมวลผลข้อมูล

ปัจจัยต่าง ๆ ซึ่งส่งผลต่อกิจกรรมควบคุมขององค์กรทั่วไป จำเป็นต้องออกแบบเพื่อให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ขององค์กร

องค์ประกอบที่สำคัญของกิจกรรมการควบคุม

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ครั้งที่แล้วผมได้เกริ่นถึงกิจกรรมควบคุมกันไปบ้างแล้วในบางส่วน คราวนี้เรามาต่อในเรื่องของประเภทของกิจกรรมควบคุมกัน

ประเภทของกิจกรรมควบคุม
คำอธิบายที่แตกต่างมากมายของประเภทกิจกรรมควบคุมถูกนำออกมาใช้รวมถึงการควบคุมเชิงป้องกัน การควบคุมเชิงสืบสวน คู่มือการควบคุม การควบคุมเชิงคอมพิวเตอร์ และการควบคุมเชิงบริหาร กิจกรรมควบคุมถูกแบ่งตามวัตถุประสงค์เฉพาะของการควบคุม เช่น ความมั่นใจในความสมบูรณ์และความถูกต้องของการประมวลผลข้อมูล

ประเภทของการควบคุม แบ่งเป็น 4 ประเภท ดังนี้
1. การควบคุมแบบป้องกัน (Preventive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อป้องกันไม่ให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก เช่นการอนุมัติ การจัดโครงสร้างองค์กร การแบ่งแยกหน้าที่ การใช้พนักงานที่มีความรู้และจริยธรรม

2. การควบคุมแบบค้นพบ (Detective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อค้นพบข้อผิดพลาดที่เกิดขึ้นแล้ว เช่น การสอบทาน การวิเคราะห์ การยืนยันยอด การตรวจนับและการรายงานข้อบกพร่อง การตรวจสอบ ฯลฯ

3. การควบคุมแบบแก้ไข (Corrective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้องหรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต

4. การควบคุมแบบส่งเสริม (Directive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อส่งเสริมหรือกระตุ้นให้เกิดผลสำเร็จโดยตรงกับวัตถุประสงค์ที่ต้องการ

กิจกรรมควบคุมจะเกิดขึ้นตลอดองค์กรในทุกระดับชั้นและในทุกหน้าที่ กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการซึ่งองค์กรต้องการจะประสบความสำเร็จในเป้าหมายทางธุรกิจ โดยทั่วไปแล้วเกี่ยวข้องกับองค์ประกอบสองอย่างคือ นโยบายที่จัดตั้งขึ้น คือสิ่งที่ควรจะทำและกระบวนการที่รองรับนโยบาย

นโยบายและขั้นตอนปฏิบัติเกี่ยวกับการควบคุม
กิจกรรมควบคุมมักรวมถึงส่วนประกอบ 2 ส่วน คือ นโยบายที่สร้างขึ้นว่าอะไรควรทำและขั้นตอนปฏิบัติให้บรรลุนโยบาย ตัวอย่างเช่น นโยบายจำเป็นต้องทบทวนกิจกรรมทางการค้าของลูกค้าโดยผู้จัดการสาขาตัวแทนจำหน่ายรายย่อย ขั้นตอนปฏิบัติเป็นการทบทวนตนเอง ปฏิบัติในเวลาที่สมควรและด้วยความเอาใจใส่ต่อปัจจัยที่ตั้งขึ้นเพื่อนโยบาย เช่น ภาวะและปริมาณของความปลอดภัยทางการค้าและความสัมพันธ์ต่อลูกค้า

ในหลาย ๆ ครั้งพบว่านโยบายมักสื่อสารกันโดยวาจา นโยบายที่ไม่เป็นลายลักษณ์อักษรสามารถบรรลุผลทางนโยบาย ยืนระยะได้นานและปฏิบัติด้วยความเข้าใจดี และในองค์กรขนาดเล็กซึ่งช่องทางการติดต่อสื่อสารเกี่ยวข้องเฉพาะขึ้นการบริหารที่จำกัด และมีความสัมพันธ์ใกล้ชิดกับการบริหารงานบุคคล แต่การไม่คำนึงถึงว่ามีนโยบายเป็นลายลักษณ์อักษรหรือไม่นั้น นโยบายถูกนำไปปฏิบัติโดยตลอดอย่างถูกต้องและยั่งยืน

ขั้นตอนการปฏิบัติจะไม่เกิดประโยชน์หากปฏิบัติเป็นเครื่องจักรและปราศจากความชัดเจน ความต่อเนื่องในการมุ่งเน้นไปยังเงื่อนไขที่มุ่งสู่นโยบาย ยิ่งกว่านั้นเป็นสิ่งจำเป็นที่เงื่อนไขที่เป็นผลลัพธ์ของขั้นตอนการปฏิบัติได้ถูกตรวจสอบและแก้ไขให้ถูกต้อง

การติดตามการปฏิบัติขึ้นอยู่กับขนาดโครงสร้างองค์กร ซึ่งอาจวัดได้จากกระบวนการการรายงานผลอย่างเป็นทางการ ในบริษัทขนาดใหญ่เจ้าของธุรกิจได้บอกว่าทำไมบริษัทจึงไม่บรรลุเป้าหมายและจะทำอย่างไรเพื่อไม่ให้เกิดเหตุการณ์เช่นนี้อีก ในบริษัทขนาดเล็กเจ้าของจะพูดกับผู้จัดการด้านการผลิตเกี่ยวกับสิ่งที่ทำผิดและจะต้องดำเนินการอย่างไร

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

ครั้งหน้าไปต่อกันในเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ ท่านผู้บริหารและผู้ติดตามเรื่องราวของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร หรือ COSO – ERM Framework อยู่ในขณะนี้ สำหรับเรื่องของกระบวนการบริหารความเสี่ยงเราก็ได้พูดคุยกันมาถึงกิจกรรมควบคุม (Control Activities) ซึ่งเป็นกระบวนการบริหารความเสี่ยงในขั้นตอนที่ 6 จากหลักการของ COSO – ERM ทั้ง 8 ประการ ที่ผมจะได้นำเสนอกับทุกท่านในวันนี้

หากจะกล่าวถึงกิจกรรมควบคุมในกระบวนการบริหารความเสี่ยง นั่นก็คือ นโยบายและกระบวนปฏิบัติที่จะช่วยให้แน่ใจได้ว่าการตอบสนองความเสี่ยงนั้นถูกจัดการอย่างเหมาะสม

นอกจากนี้กิจกรรมการควบคุมยังหมายถึง การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นนโยบาย วิธีปฏิบัติและคำสั่งต่าง ๆ ที่ฝ่ายบริหารกำหนด เพื่อเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด

กิจกรรมการควบคุมยังรวมถึง กิจกรรมที่กำหนดขึ้นเพื่อป้องกัน ค้นพบ หรือลดความเสี่ยงที่จะเกิดขึ้นได้ตามผลการประเมินความเสี่ยงอย่างเหมาะสมและทันกาล

แม้ว่ากิจกรรมควบคุมบางอย่างเกี่ยวกับพื้นที่เดียวแต่ก็มีความซ้ำซ้อน กิจกรรมควบคุมเฉพาะเจาะจงสามารถช่วยให้พึงพอใจวัตถุประสงค์มากกว่า 1 ประเภทขององค์กรได้โดยขึ้นอยู่กับโอกาส การควบคุมการปฏิบัติการสามารถช่วยให้เกิดความมั่นใจในการรายงานผลที่เชื่อถือได้ การรายงานผลกิจกรรมควบคุมสามารถช่วยบรรเทาผลที่เกิดขึ้นได้

การบูรณาการด้วยการตอบสนองความเสี่ยง
การตอบสนองความเสี่ยงมุ่งเอาใจใส่ในกิจกรรมควบคุม ซึ่งจำเป็นในการช่วยสร้างความมั่นใจว่าได้ดำเนินการตอบสนองความเสี่ยงอย่างถูกต้องและถูกเวลา กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการที่องค์กรพยายามที่จะบรรลุวัตถุประสงค์ของธุรกิจตนเอง

ในการเลือกกิจกรรมควบคุม ผู้บริหารเป็นผู้พิจารณาว่ามีความสัมพันธ์กันอย่างไร อาจใช้กิจกรรมควบคุมเดียวเพื่อใช้ในการตอบสนองความเสี่ยงจำนวนมาก ตัวอย่างเช่น ตัวบ่งชี้ผลงานซึ่งวัดการเข้าออกงานของพนักงาน เป็นสิ่งแสดงถึงประสิทธิภาพการตอบสนองของผู้บริหารต่อคู่แข่งในการเลือกคนและการขาดประสิทธิภาพในค่าตอบแทนพนักงาน การฝึกอบรมรวมถึงโปรแกรมการพัฒนา

เมื่อสร้างการตอบสนองความเสี่ยงใหม่ขึ้นผู้บริหารพิจารณากิจกรรมควบคุมที่มีอยู่ ซึ่งอาจมีเพียงพอที่จะทำให้มั่นใจว่าการตอบสนองใหม่นี้จะดำเนินไปอย่างมีประสิทธิภาพ ในทางตรงข้ามอาจมีความจำเป็นที่จะต้องพิจารณากิจกรรมควบคุมหลาย ๆ อย่างที่สัมพันธ์กับการตอบสนองความเสี่ยง

กิจกรรมควบคุมเป็นส่วนสำคัญของกระบวนการ ซึ่งทำให้องค์กรได้บรรลุถึงวัตถุประสงค์ของธุรกิจ กิจกรรมควบคุมไม่ได้ทำให้ง่ายสำหรับผลประโยชน์ของตนเอง หรือเพราะว่าเป็นเหมือนการทำสิ่งที่ถูกต้องหรือเหมาะสม ผู้บริหารจำเป็นต้องทำเพื่อให้แน่ใจว่าได้บรรลุเป้าหมาย กิจกรรมควบคุมเป็นเหมือนกลไกสำหรับการบริหารความสำเร็จของวัตถุประสงค์และถูกสร้างในกระบวนการบริหารโดยตรง

ในเรื่องของกิจกรรมการควบคุมครั้งนี้ ผมขอเกริ่นไว้เพียงเท่านี้ก่อนครับ แล้วเราจะไปพูดคุยต่อถึงประเภทของกิจกรรมการควบคุมในครั้งหน้ากันครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

วันนี้เรายังคงเล่าสู่กันฟังในเรื่องของการตอบสนองความเสี่ยง ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการตามหลักของ COSO – ERM โดยเริ่มตั้งแต่ 1.สภาพแวดล้อมภายในองค์กร 2.การกำหนดวัตถุประสงค์ 3.การระบุเหตุการณ์ 4.การประเมินความเสี่ยง 5.การตอบสนองความเสี่ยง 6.กิจกรรมควบคุม 7.ระบบสารสนเทศและการติดต่อสื่อสาร 8.การติดตามและประเมินผล

โดยในครั้งที่แล้วผมได้พูดถึงแนวทางในการกำหนดกลยุทธ์ในการจัดการความเสี่ยง ครั้งนี้เรามาต่อกันถึงโอกาสในเงื่อนไขของการตอบสนองความเสี่ยงกันเลยดีกว่าครับ

ในการประเมินผลเงื่อนไขการตอบสนอง ผู้บริหารพิจารณาผลที่เกิดขึ้นจากความเป็นไปได้และผลกระทบของความเสี่ยง และจะต้องเข้าใจว่าสิ่งตอบสนองอาจส่งผลกระทบต่อความเป็นไปได้และผลกระทบต่างกัน

ขีดความสามารถในการตอบสนองต่อการประเมินค่าของความเป็นไปได้และผลกระทบอาจพิจารณาถึงเหตุการณ์ในอดีตและแนวโน้มและเหตุการณ์ในอนาคต ในการประเมินทางเลือกของการตอบสนอง

ผู้บริหารกำหนดผลกระทบที่ใช้หน่วยในการวัดเหมือนกันสำหรับวัตถุประสงค์และความเสี่ยงในฐานะที่ถูกสร้างขึ้นมา ในส่วนประกอบของการประเมินค่าความเสี่ยงการแยกแยะเหตุการณ์ เป็นการอธิบายว่าการจัดการความเสี่ยงขององค์กรแยกแยะเหตุการณ์ ซึ่งมีผลกระทบต่อความสำเร็จของวัตถุประสงค์ขององค์กรทั้งในด้านบวกและด้านลบได้อย่างไร เหตุการณ์ที่ส่งผลกระทบทางด้านบวกจะเป็นตัวแทนของโอกาสและจะถูกส่งกลับไปสู่กลยุทธ์หรือขั้นตอนการตั้งวัตถุประสงค์

เช่นเดียวกันโอกาสที่มีศักยภาพสำหรับผลลัพธ์สำคัญอาจถูกแยะแยะเมื่อมีการพิจารณาการตอบสนองความเสี่ยง ผู้บริหารอาจแยกแยะการตอบสนองที่แปลกใหม่ ซึ่งในขณะที่พอเหมาะกับกลุ่มของการตอบสนอง แล้วอาจจะยังใหม่ต่อองค์กรหรืออุตสาหกรรม โอกาสเช่นนี้อาจครอบคลุมเมื่อเงื่อนไขการตอบสนองที่มีอยู่มาใกล้ถึงขีดจำกัดของประสิทธิภาพ และเมื่อการทำให้ดีขึ้นมีลักษณะเป็นการเปลี่ยนแปลงเล็กน้อยให้เกิดกับผลกระทบของความเสี่ยงหรือความเป็นไปได้ เช่น การตอบสนองอย่างมีความคิดสร้างสรรค์โดยบริษัทประกันรถยนต์ที่มีต่ออุบัติเหตุจำนวนมากที่เกิดบนถนนที่เป็นทางแยก บริษัทประกันภัยจึงให้ทุนเพิ่มเติมโดยการติดสัญญาณไฟเพื่อเป็นการลดการเคลมอุบัติเหตุและทำให้เกิดกำไรเพิ่มขึ้น

การตอบสนองที่ถูกเลือก
ทันที่ที่ประเมินผลของทางเลือกในการตอบสนอง ผู้บริหารตัดสินใจว่าจะจัดการความเสี่ยงได้อย่างไร การจัดการความเสี่ยงที่มีประสิทธิภาพคือการที่ผู้บริหารเลือก หรือได้รวมการตอบสนองอันนำมาซึ่งความเป็นไปได้ของความเสี่ยงและผลกระทบที่คาดการณ์ไว้ภายในระดับความเสี่ยงที่ยอมรับได้

การเลือกการตอบสนองอาจจำเป็นต้องพัฒนาแผนปฏิบัติเพื่อให้บรรลุการตอบสนองและการวัดความเสี่ยงบนพื้นฐานของความเสี่ยงส่วนที่เหลือ ยิ่งกว่านั้นกระบวนการจำเป็นต้องทำให้ผู้บริหารมั่นใจในการนำไปปฏิบัติอย่างมีประสิทธิภาพ กระบวนการเหล่านี้นำเสนอในการควบคุมกิจกรรม

ผู้บริหารต้องระลึกไว้ว่าความเสี่ยงส่วนที่เหลือบางระดับจะคงอยู่เสมอ ไม่เพียงแต่เพราะว่าทรัพยากรถูกจำกัด แต่เป็นเพราะความไม่แน่นอนของอนาคตและข้อจำกัดตามธรรมชาติในทุก ๆ กิจกรรม

กระบวนการเน้นย้ำ
การประเมินทางเลือกที่จะตอบสนองต่อความเสี่ยงธรรมชาตินั้น ต้องการการพิจารณาเรื่องที่อาจเป็นผลมาจากการตอบสนองตัวเอง ซึ่งอาจเป็นการกระตุ้นกระบวนการเน้นย้ำก่อนที่ผู้บริหารจะตัดสินใจในขั้นสุดท้าย ซึ่งพิจารณาความเสี่ยงที่มีผลมากจากการตอบสนอง รวมถึงอาจไม่ได้ปรากฏให้เห็นได้ทันที

สำหรับกระบวนการที่ 5 ในการตอบสนองความเสี่ยงยังไม่จบเท่านี้ โปรดติดตามต่อในครั้งหน้านะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ เข้าเดือน 8 ของปี 2009 นี้แล้ว เวลาช่างผ่านไปเร็วเสียจริง ๆ ผมคิดว่ายังมีอะไรอีกหลายอย่างที่อยากจะบอกเล่าสู่กันฟังจากความรู้ และประสบการณ์ที่ผมมีอยู่ แต่กลับมีเวลาเพียงน้อยนิดในการ update เนื้อหาในแต่ละหมวดหมู่ ซึ่งผมก็พยายามอย่างเต็มที่ในการนำเสนอข้อมูลที่คิดว่าน่าจะเป็นประโยชน์ต่อท่านผู้บริหาร และผู้สนใจเรื่องราวทางด้าน IT Governance

อย่างไรก็ตาม ผมจะพยายามจัดสรรเวลาเพื่อแบ่งปันข้อมูล และนำเสนอเนื้อหาที่มีสาระประโยชน์ ขอให้ท่านผู้บริหารและผู้ที่สนใจ หมั่นติดตาม itgthailand.com แห่งนี้อย่างสม่ำเสมอ โดยเฉพาะแนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ผมได้นำเสนอต่อเนื่องมาถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ซึ่งเป็นหัวใจสำคัญของการบริหารความเสี่ยง และในกระบวนการที่ 5 ที่นำเสนออยู่นี้เป็นเรื่องของการตอบสนองต่อความเสี่ยง

จากครั้งที่แล้ว ผมได้นำเสนอกลยุทธ์ในการตอบสนองความเสี่ยง ซึ่งแบ่งเป็น 4 ประเภท ในวันนี้ผมมีแนวทางในการกำหนดกลยุทธ์ในการจัดการกับความเสี่ยงมานำเสนอครับ

แนวทางในการกำหนดกลยุทธ์ในการจัดการความเสี่ยง
กลยุทธ์การจัดการความเสี่ยงถูกกำหนดขึ้นเพื่อลดระดับของความเสี่ยง (ทั้งผลกระทบและโอกาสเกิด) ให้เป็นไปตามระดับความเสี่ยงที่ยอมรับได้(Risk Tolerance) โดยผู้บริหารควรพิจารณาทั้งผลจากการดำเนินตามกลยุทธ์ที่มีอยู่ในปัจจุบันว่า สามารถจัดการกับความเสี่ยงหนึ่ง ๆ หรือกลุ่มของความเสี่ยงได้มากน้อยเพียงใดก่อนที่จะพิจารณาถึงกลยุทธ์การจัดการเพิ่มเติม

ทั้งนี้ ในส่วนของการบริหารความเสี่ยงสำหรับความเสี่ยงที่สำคัญ องค์กรต้องพิจารณาการตอบสนองจากช่วงของประเภทความเสี่ยง ซึ่งทำให้ลงลึกพอที่จะเลือกการตอบสนองและท้าทายสถานะที่เป็นอยู่

ในการกำหนดการตอบสนองที่มีศักยภาพ ผู้บริหารควรพิจารณาสิ่งต่าง ๆ ดังต่อไปนี้
1. การประเมินผลกระทบการตอบสนองความเสี่ยงจากความเป็นไปได้ และผลกระทบของความเสี่ยงและเงื่อนไขการตอบสนองใดที่ไปในทิศทางเดียวกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร

2. การประเมินค่าต้นทุนกับประโยชน์ของการตอบสนองความเสี่ยง และโอกาสที่เป็นไปได้ที่จะบรรลุวัตถุประสงค์องค์กรในการข้ามไปจัดการกับความเสี่ยงเฉพาะเจาะจง

เนื่องจากทรัพยากรส่วนใหญ่มีจำกัด องค์กรจึงมักพิจารณาต้นทุนและผลประโยชน์ของเงื่อนไขทางเลือกการตอบสนองความเสี่ยง การวัดผลในเรื่องต้นทุนและผลประโยชน์ของการสร้างเงื่อนไขการตอบสนองความเสี่ยง ได้ถูกสร้างขึ้นมาพร้อมกับระดับที่แตกต่างของความถูกต้อง การจัดการกับด้านต้นทุนของสมการจะง่ายกว่า ซึ่งในหลายกรณีสามารถวัดในเชิงปริมาณได้อย่างถูกต้องยุติธรรม ต้นทุนทางตรงทั้งหมดรวมกับการจัดการการตอบสนอง และต้นทุนทางอ้อมที่สามารถวัดผลได้จะถูกพิจารณาเสมอ ๆ บางองค์กรได้รวมเอาต้นทุนทางโอกาสรวมกับการใช้ทรัพยากร

อย่างไรก็ตาม การวัดต้นทุนเป็นสิ่งที่ทำได้ยาก การวัดปริมาณเวลาและความพยายามหรือการจัดการกับปัจจัยภายในเป็นสิ่งที่ทำได้ยาก ดังเช่น การยอมรับของผู้บริหารในการประเมินค่าทางจริยธรรม หรือการวัดความสามารถของพนักงานที่เป็นผู้ดำเนินการแยกแยะเหตุการณ์และประเมินค่าความเสี่ยง และอาจเป็นความยากที่จะจับข้อมูลข่าวสารภายนอก เช่น ความคิดสร้างสรรค์ทางการตลาดในการค้นหาความชอบของลูกค้า

ในด้านผลประโยชน์อาจรวมถึงคุณค่าทางวัตถุ เช่น ผลประโยชน์ของโปรแกรมการอบรมที่มีประสิทธิภาพ ปรากฏให้เห็นโดยทั่วไปแต่ยากต่อการวัดปริมาณ แม้กระนั้นปัจจัยภายในที่แท้จริงสามารถพิจารณาได้ในแง่การประเมินค่าผลประโยชน์แฝง ความเป็นไปได้ของเหตุการณ์ที่ไม่ปรารถนาให้เกิดขึ้น หรือเหตุการณ์ทางธรรมชาติ และปฏิบัติการและการเงินที่มีประสิทธิภาพมีผลกระทบต่อเหตุการณ์อาจเกิดขึ้นกับองค์กร

ในขณะที่ความท้าทายในการประเมินค่าต้นทุนและผลประโยชน์ยังคงอยู่ การวิเคราะห์ต้นทุน ผลประโยชน์ ควรดำเนินไปในระดับที่เพียงพอที่จะประเมินผลการตอบสนองความเสี่ยงจากพื้นฐานความเสี่ยงของแต่ละคน หรือจากประวัติที่ผ่านมา บางองค์กรอาจเลือกที่จะประเมินค่าการตอบสนองความเสี่ยงในแง่ของความต้องการเพิ่มทุน ตัวอย่างเช่น จุดคุ้มทุน หรือต้นทุน ณ จุดเสี่ยง และอาจพิจารณาในแง่เงินเฟ้อ การลดดอกเบี้ย และการวิเคราะห์ความอ่อนไหว

3. ประเมินโอกาสที่เกิดขึ้นจากการดำเนินการตามกลยุทธ์การจัดการความเสี่ยง
ความเสี่ยงที่เป็นธรรมชาติถูกวิเคราะห์และประเมินการตอบสนอง ด้วยเจตนาของการบรรลุระดับความเสี่ยงส่วนที่เหลือให้อยู่ในระดับความเสี่ยงที่ยอมรับได้ หลาย ๆ สิ่งตอบสนองอาจทำให้ความเสี่ยงส่วนที่อยู่ในระดับความเสี่ยงที่ยอมรับได้ และบางครั้งการรวมกันของสิ่งตอบสนองทำให้เกิดผลลัพธ์สูงสุด เช่นเดียวกันกับสิ่งตอบสนองจะส่งผลกระทบต่อความเสี่ยงของเหตุการณ์แฝงหลายเหตุการณ์ เนื่องจากการตอบสนองความเสี่ยงอาจทำให้เกิดความเสี่ยงมากมาย ผู้บริหารอาจค้นพบได้ว่าการกระทำที่เพิ่มขึ้นมาไม่ได้ถูกรับประกัน กระบวนการที่มีอยู่อาจเพียงพอหรือจำเป็นต้องปฏิบัติให้ดีกว่า ดังนั้นผู้บริหารจะพิจารณาว่าการตอบสนองที่แยกกันหรือรวมกันจะโต้ตอบกับผลกระทบของเหตุการณ์แฝงได้อย่างไร

หลังจากได้ทำการประเมินเพื่อกำหนดกลยุทธ์การจัดการความเสี่ยงที่มีประสิทธิผลจากแนวทางที่ได้กล่าวมาแล้วข้างต้น ผู้บริหารต้องทำการกำหนดแผนปฏิบัติงาน หรือขั้นตอนในการปฏิบัติ โดยต้องระบุเวลาแล้วเสร็จเพื่อให้มั่นใจได้ว่าจะมีการดำเนินงานตามกลยุทธ์เพื่อให้เกิดโอกาสตามที่คาดหวังไว้

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

เมื่อมีการประเมินความเสี่ยงได้แล้วก็ต้องดำเนินการจัดการตอบสนองความเสี่ยงที่เกิดขึ้นเหล่านั้น การจัดการความเสี่ยงก็คือ กลยุทธ์หรือกิจกรรมที่กำหนดเพื่อจัดการความเสี่ยงให้สอดคล้องกับระดับที่องค์กรยอมรับได้

ผู้บริหารเป็นผู้กำหนดว่าจะประเมินค่าความเสี่ยงที่เชื่อมโยงกันได้อย่างไร การตอบสนองรวมถึงการหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยง และการยอมรับความเสี่ยง

วันนี้ผมจึงขอนำเสนอการตอบสนองความเสี่ยง (Risk Response) ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ที่ต้องพิจารณาหลังจากมีการประเมินความเสี่ยงตามที่ได้กล่าวไปในครั้งก่อนแล้ว

ในการพิจารณาการตอบสนองความเสี่ยง ผู้บริหารจะพิจารณาต้นทุนและผลประโยชน์และเลือกการตอบสนองที่นำมาซึ่งความน่าจะเกิด (Likelihood) ที่คาดหวังและผลกระทบภายในระดับความเสี่ยงที่ยอมรับได้ที่ปรารถนา

วัตถุประสงค์ของการตอบสนองความเสี่ยง
– ลดโอกาสเกิดความเสี่ยงและผลกระทบของความเสี่ยงให้เหลือน้อยที่สุด โดยการจัดการสาเหตุของความเสี่ยงอย่างมีประสิทธิภาพ หรือจัดการผลกระทบที่อาจจะเกิดขึ้นของความเสี่ยง

– การลดผลกระทบของความเสี่ยง ซึ่งโดยมากมักใช้ระบบการเตือนภัยหรือระบบการบริหาร พร้อมด้วยการจัดทำแผนฉุกเฉิน หรือแผนฟื้นฟู

– การเพิ่ม/สร้าง หรือจัดการโอกาสเกิดความเสี่ยงและผลกระทบจากความเสี่ยง เพื่อให้ได้ผลลัพธ์ที่ดีขึ้น

กลยุทธ์ในการตอบสนอง/บริหารความเสี่ยง
การตอบสนองความเสี่ยงแบ่งเป็น 4 ประเภท ดังนี้
1. การหลีกเลี่ยงความเสี่ยง (Risk avoidance)
หมายถึง การเลิกหรือหลีกเลี่ยงการกระทำและเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น ในงานที่องค์กรไม่ถนัด อาจหลีกเลี่ยงโดยการเลิกหรือลดการกระทำให้เหลือเท่าที่จำเป็นเพื่อการเรียนรู้ การเพิ่มการใช้บริการจากบุคคลภายนอก หรือการทำสัญญารับช่วงเหมาต่อ เป็นต้น

กล่าวโดยสรุป การหลีกเลี่ยงความเสี่ยง คือ การไม่ยอมรับความเสี่ยง และอาจทำให้ต้องเปลี่ยนวัตถุประสงค์ของแผนงานหรือยกเลิกแผนงานโครงการนั้นเสีย

2. การควบคุม และการจัดการกับความเสี่ยง (Risk Control)
หมายถึง การหาวิธีการควบคุมสาเหตุหรือต้นเหตุของปัจจัยเสี่ยงและกำหนดวิธีการจัดการที่ เหมาะสมเพื่อขับเคลื่อนให้แผนงานและโครงการตามกิจกรรมที่กำหนดไว้ดำเนินการไปสู่เป้าประสงค์ได้ในเวลาที่กำหนด หากผู้ที่เกี่ยวข้องไม่อาจดำเนินการได้ต้องรายงานให้ผู้บังคับบัญชาทราบว่าไม่อาจดำเนินการต่อไปได้

การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย หรือการลดทั้ง 2 ด้านพร้อมกัน ก็เป็นการควบคุมและการจัดการความเสี่ยงแบบหนึ่ง การลดความเสี่ยงที่สำคัญคือ การจัดระบบการควบคุมเพื่อป้องกันหรือค้นพบความเสี่ยงเฉพาะวัตถุประสงค์นั้นอย่างเหมาะสมและทันกาลมากขึ้น

รวมถึงการกำหนดแผนสำรองในเหตุฉุกเฉิน (Contingency Planning) ได้แก่ การกำหนดแผนฉุกเฉินสำหรับความเสี่ยงที่คาดการณ์ไว้ล่วงหน้าแล้ว (Known risk) เช่น แผนฉุกเฉินเมื่อไฟฟ้าดับ และเครื่องคอมพิวเตอร์จะไม่ทำงาน ฯลฯ และการควบคุมโดยเครื่องจักรอัตโนมัติ การใช้ระบบการรายงานและการใช้เทคโนโลยีสารสนเทศเพื่อการบริหารและควบคุมที่ดี

3. การกระจายความเสี่ยง (Sharing)
หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย โดยการแบ่งโอน การหาผู้รับผิดชอบร่วมในความเสี่ยง การจัดประกันภัย การกระจายความเสี่ยง (Diversify the risk) ออกไปในหลายกิจกรรม หลายผลิตภัณฑ์ หลายตลาด เป็นต้น

หรือถ้าหากแผนงาน/โครงการภายใต้กลยุทธ์มีความเสี่ยงเกินกว่าจะยอมรับได้ หรือเกิดความล้มเหลว ทางฝ่ายบริหารขององค์กร ก็อาจจะให้น้ำหนักแผนงานหรือโครงการอื่น ๆ ภายใต้กลยุทธ์เดียวกันนั้น หรือให้น้ำหนักกับแผนงานอื่น ภายใต้กลยุทธ์เดียวกันหรือกลยุทธ์อื่นที่เหมาะกว่าก็ได้

4. การยอมรับความเสี่ยง (Acceptance)
เป็นการยอมรับ โดยใช้วิธีการเดิมต่อไปในการจัดการกับความเสี่ยง หมายถึง กิจกรรมของแผนงานนั้น ๆ มีความเสี่ยงในระดับหนึ่ง แต่ องค์กร รวมทั้งเจ้าของแผนงานสามารถควบคุมและจัดการได้ และสามารถผลักดันกิจกรรมและขั้นตอนต่าง ๆ ของแผนงานนั้น ๆ ไปสู่เป้าประสงค์ได้ในเวลาที่กำหนด หรืออาจอธิบายการยอมรับความเสี่ยงได้ว่า การไม่กระทำการใด ๆ เพิ่มเติม กรณีนี้ใช้กับความเสี่ยงที่มีสาระสำคัญน้อย ความน่าจะเกิดน้อย หรือเห็นว่ามีต้นทุนในการบริหารความเสี่ยงสูง

การตอบสนองแบบหลีกเลี่ยงนั้น คือ การยุติกิจกรรมที่ทำให้ความเสี่ยงเพิ่มขึ้น การตอบสนองแบบลดความเสี่ยงนั้นจะลดความน่าจะเกิดหรือผลกระทบที่จะเกิดของเหตุการณ์นั้นหรือทั้งสองอย่าง การกระจายความเสี่ยงจะลดความเสี่ยงที่มีความเป็นไปได้ที่จะเกิดและมีผลกระทบโดยโอนความเสี่ยงหรือในอีกแง่หนึ่งคือ การกระจายสัดส่วนของความเสี่ยง ส่วนการยอมรับความเสี่ยงนั้นจะไม่มีการกระทำอะไรที่มีผลต่อความเป็นได้ที่จะเกิดหรือผลกระทบ ในส่วนของ ERM สำหรับแต่ละความเสี่ยงที่มีนัยสำคัญ องค์กรควรพิจารณาศักยภาพของการตอบสนอง จากขอบเขตของลักษณะการตอบสนองแต่ละประเภท

การหลีกเลี่ยงการตอบสนอง ทำให้คิดว่าความคุ้มค่าหรือต้นทุนของการตอบสนองที่มีมากเกินไปกว่าผลประโยชน์ที่ปรารถนา หรือเงื่อนไขที่ไม่มีการตอบสนองถูกแยกแยะ ในแง่ที่จะลดผลกระทบและความน่าจะเกิด (Likelihood) เพื่อเข้าสู่ระดับที่ยอมรับได้ การลดลงและการกระจายการตอบสนองจะช่วยลดความเสี่ยงส่วนที่เหลือ ไปสู่ระดับซึ่งเข้ากันได้กับระดับความเสี่ยงที่ยอมรับได้ขององค์กร ในขณะที่การยอมรับการตอบสนอง ทำให้เห็นว่าความเสี่ยงที่เป็นธรรมชาติเข้ากันได้กับระดับความเสี่ยงที่ยอมรับได้

สำหรับความเสี่ยงจำนวนมาก จะเห็นเงื่อนไขการตอบสนองที่เหมาะสมได้ชัดและถูกยอมรับอย่างดี ตัวอย่างเช่น เงื่อนไขการตอบสนองเหมาะสมสำหรับการสูญเสียประโยชน์จากการการคิดคำนวณเป็นการพัฒนาแผนธุรกิจอย่างต่อเนื่อง สำหรับความเสี่ยงอื่น ๆ เงื่อนไขที่มีอยู่อาจไม่ปรากฏให้เห็นนั้น ต้องการกิจกรรมที่มีการกำหนดขอบเขตที่ชัดเจนมากขึ้น ตัวอย่างเงื่อนไขการตอบสนองที่สัมพันธ์กับการบรรเทาผลกระทบของกิจกรรมของคู่แข่งในเรื่องค่านิยมของตราสินค้า อาจต้องการการวิจัยทางการตลาดและการวิเคราะห์

เมื่อรู้แล้วว่าการตอบสนองความเสี่ยงนั้นมีกี่ประเภท แล้วเราจะมีแนวทางในการกำหนดกลยุทธ์ในการจัดการกับความเสี่ยงได้อย่างไร ก็คงต้องติดตามกันในครั้งต่อไปนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

เมื่อท่านผู้บริหาร และท่านผู้อ่านทั้งหลาย ได้ทราบถึงแนวคิดความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ที่จะเกิดขึ้นของปัจจัยหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบต่อความไม่สำเร็จขององค์กร เพื่อจะนำมาประเมินค่าความเสี่ยงและโอกาสที่จะเกิดขึ้น รวมถึงการพิจารณาความเสี่ยงที่มีอยู่และความเสี่ยงส่วนที่เหลือ โดยการใช้ข้อมูลที่สังเกตได้ วิธีการและเทคนิคเชิงปริมาณและคุณภาพไปแล้วนั้น วันนี้ผมจะพาท่านไปสู่ขั้นตอนของการประเมินความเสี่ยงกันครับ

ขั้นตอนการประเมินความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง

จากความเสี่ยงที่ได้ระบุไว้ข้างต้น จะนำรายการความเสี่ยงทั้งหมดมาพิจารณาเพื่อประเมินระดับความเสี่ยง

1. การประเมินระดับความเสี่ยง (Risk Score)
1.1. การประเมินความเป็นไปได้ (Likelihood)
การประเมินความเป็นไปได้ พิจารณาได้ในรูปแบบของความถี่ (Frequency) หรือโอกาสที่จะเกิดความเสี่ยง โดยแบ่งออกเป็น 4 ระดับ ดังนี้

การประเมินค่าความเป็นไปได้

การประเมินค่าความเป็นไปได้

1.2. การประเมินผลกระทบ (Impact)
การประเมินผลกระทบของความเสี่ยง ทั้งที่เป็นตัวเงินและไม่เป็นตัวเงินที่อาจเกิดขึ้นมีดังนี้
ผลกระทบด้านการเงิน เป็นผลกระทบหรือความเสียหายที่เกิดจากความเสี่ยง และสามารถประเมินค่าเป็นตัวเงินได้ ได้แก่
– ผลกระทบจากค่าความเสียหายในด้านต่าง ๆ ต่อทรัพย์สิน
– ผลกระทบจากการลงทุน/การร่วมลงทุน
– ผลกระทบค่าใช้จ่ายการลงทุนหรือการบรรลุวัตถุประสงค์ในระดับต่าง ๆ
– ผลกระทบต่อการเบิกจ่ายงบประมาณ

ผลกระทบต่อการดำเนินธุรกิจและความสามารถการแข่งขันทางธุรกิจหรือการบรรลุพันธกิจและวิสัยทัศน์ขององค์กร เป็นผลกระทบที่มีความเสียหายกับการดำเนินงานขององค์กรในภาพโดยรวม รวมถึงความสามารถในการแข่งขันทางธุรกิจ (ถ้ามี)

อย่างไรก็ดี ผลกระทบตามหัวข้อนี้ โดยทั่วไปจะมีผลต่อระบบการดำเนินงานต่อรูปแบบการดำเนินธุรกิจขององค์กร ได้แก่
– ผลกระทบจากปัจจัยภายนอก นโยบายรัฐบาล และกฎหมาย
– ผลกระทบจากการดำเนินงานตามแผนงาน/โครงการ

ผลกระทบด้านชื่อเสียงขององค์กร เป็นความเสียหายต่อชื่อเสียง ไม่ว่าจะเป็นผลจากการดำเนินงานทั้งทางตรงและทางอ้อม ที่ส่งผลต่อภาพพจน์และความเชื่อถือขององค์กรหรือขององค์กร

การประเมินระดับความเสี่ยง ซึ่งจะแบ่งระดับของความเสี่ยงออกเป็น 5 ระดับ และมีค่าความเสี่ยงรวมเท่ากับ 25 คะแนน (Level of Risk) โดยการนำผลที่ได้จากการประเมินความเป็นไปได้และผลกระทบ มาจัดทำแผนผังประเมินความเสี่ยง (Risk Assessment Matrix) อย่างไรก็ดี ระดับการบริหารความเสี่ยงอาจจะแบ่งออกเป็น 4 ระดับหรือ 3 ระดับก็ได้ ขึ้นอยู่กับการจัดกลุ่มความเสี่ยงตามที่องค์กรเห็นสมควร

Risk Assessment Matrix

Risk Assessment Matrix

จาก Risk Assessment Matrix นำรายการความเสี่ยงของแต่ละระดับความเสี่ยงที่ได้จัดเรียงลำดับไว้ (Risk Ranking) มาวิเคราะห์เปรียบเทียบกับเกณฑ์ความสามารถในการยอมรับความเสี่ยง

เกณฑ์ความสามารถในการยอมรับความเสี่ยง

เกณฑ์ความสามารถในการยอมรับความเสี่ยง

เกณฑ์ความสามารถในการยอมรับความเสี่ยง

* ระดับความเสี่ยงปานกลาง การควบคุมความเสี่ยงต้องมีการติดตามผลและประเมินผลต่อความเสี่ยงที่เกิดขึ้นจริงอย่างมีประสิทธิภาพ/ประสิทธิผล และมีผู้รับผิดชอบโดยตรง เช่น มีแผนปฏิบัติคู่มือปฏิบัติงาน มีการมอบหมายที่ชัดเจน ฯ

2. ความสำคัญของการควบคุมในปัจจุบัน
ในการจัดการความเสี่ยง ผู้รับผิดชอบต้องมีการรวบรวม ประมวลข้อมูล และศึกษาระบบการควบคุมภายใน หรือการบริหารจัดการที่ได้มีการปฏิบัติจริงในปัจจุบัน (ระดับการควบคุม) เพื่อให้การดำเนินงานในขั้นต่อไปเกิดประสิทธิภาพ

การควบคุม พิจารณาได้จาก
– หน้าที่ความรับผิดชอบของคณะกรรมการและหน่วยงานที่เกี่ยวข้อง
– แผนงาน/โครงการ
– แผนปฏิบัติงานประจำ
– งานของคณะกรรมการบริหารของ องค์กร หรือคณะทำงานภายในหน่วยงาน
– ฯลฯ

การพิจารณาการควบคุมมีวัตถุประสงค์เพื่อให้การจัดการความเสี่ยง และการจัดทำแผนบริหารความเสี่ยงในขั้นตอนต่อไปไม่เกิดความซ้ำซ้อน และสร้างมูลค่าเพิ่มในการบรรลุพันธกิจก้าวสู่วิสัยทัศน์ขององค์กร ซึ่งสามารถใช้เป็นข้อมูลประกอบการจัดทำรายละเอียดแผนบริหารความเสี่ยงขององค์กรได้ดี

องค์ประกอบสำคัญของการประเมินความเสี่ยง

องค์ประกอบสำคัญของการประเมินความเสี่ยง

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ เป็นอย่างไรกันบ้างครับกับแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ตอนนี้ผมได้นำเสนอกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ซึ่งกระบวนการทั้ง 8 ขั้นตอนนี้ถือเป็นหัวใจสำคัญหลักในการบริหารความเสี่ยงเลยก็ว่าได้ และที่กำลังนำเสนออยู่นี้ก็เข้าสู่กระบวนการในขั้นตอนที่ 4 คือ การประเมินความเสี่ยง ที่ได้เล่าสู่กันฟังไปบ้างแล้ว วันนี้ผมมีวิธีการและเทคนิคดี ๆ ในการประเมินความเสี่ยงในเชิงปริมาณและคุณภาพมาเล่าสู่กันฟังต่อจากครั้งที่แล้วครับ

วิธีการและเทคนิคเชิงปริมาณและคุณภาพ
วิธีการประเมินค่าความเสี่ยงขององค์กรประกอบด้วยการรวมตัวกันของเทคนิคเชิงปริมาณและเชิงคุณภาพ ผู้บริหารมักใช้เทคนิคการประเมินเชิงคุณภาพในกรณีที่ความเสี่ยงไม่สามารถใช้กระบวนการเชิงปริมาณได้ หรือเมื่อไม่สามารถหาข้อมูลที่เพียงพอและน่าเชื่อถือสำหรับการประเมินค่าเชิงคุณภาพได้ หรือข้อมูลที่ได้มาหรือนำมาวิเคราะห์ไม่คุ้มค่า เทคนิคเชิงปริมาณนำมาซึ่งความถูกต้องแม่นยำมากกว่า และใช้ในกิจกรรมที่ซับซ้อนกว่าเพื่อเพิ่มเติมเทคนิคเชิงคุณภาพ

เพื่อให้ได้รับความเห็นชอบในความน่าจะเกิดและผลกระทบของการใช้เทคนิคการประเมินค่าเชิงคุณภาพ องค์กรอาจใช้วิธีการเดียวกันกับการแยกแยะเหตุการณ์ ดังเช่น การสัมภาษณ์และการประชุมเชิงปฏิบัติการ กระบวนการประเมินค่าความเสี่ยงด้วยตนเอง จับภาพผู้เข้าร่วมประชุมจากความน่าจะเกิดและผลของเหตุการณ์ในอนาคตโดยใช้ทั้งเครื่องวัดเชิงตัวเลขและการพรรณนา

ความจำเป็นขององค์กรในการใช้เทคนิคการประเมินค่าที่ไม่ธรรมดากับหน่วยธุรกิจต่าง ๆ หรือ ทางเลือกของเทคนิคจะสะท้อนความต้องการความถูกต้องแม่นยำ และวัฒนธรรมของหน่วยธุรกิจ อย่างไรก็ตามวิธีการที่แต่ละธุรกิจนำไปใช้จะช่วยในการประเมินความเสี่ยงในระหว่างองค์กร

ผู้บริหารสามารถสืบค้นมาตรวัดผลกระทบเชิงคุณภาพองค์กรของเหตุการณ์ต่อเมื่อการประเมินความเสี่ยงของเหตุการณ์ได้แสดงออกในเชิงปริมาณ ตัวอย่างเช่น ผลกระทบของผลกำไรสุทธิของการเปลี่ยนแปลงราคาถูกคำนวณระหว่างหน่วยธุรกิจ และกำหนดผลกระทบขององค์กรโดยรวม

การผสมระหว่างการวัดเชิงปริมาณและคุณภาพนั้นผู้บริหารได้พัฒนาการประเมินค่าเชิงคุณภาพในระหว่างการวัดผลทั้งเชิงคุณภาพและปริมาณด้วยผลลัพธ์ ซึ่งประกอบด้วยการประเมินค่าที่อธิบายได้ในเชิงคุณภาพ การสร้างคำศัพท์ของความน่าจะเกิดและผลลัพธ์ขององค์กรและกลุ่มของความเสี่ยงที่ใช้สำหรับการวัดเชิงคุณภาพช่วยอำนวยความสะดวกให้ส่วนประกอบของการประเมินค่าความเสี่ยงต่าง ๆ เหล่านั้น

ความสัมพันธ์กันของเหตุการณ์
ผู้บริหาร องค์กร อาจประเมินว่าเหตุการณ์มีความสัมพันธ์กันอย่างไร ลำดับเหตุการณ์ได้รวมกันและสร้าง Likelihood หรือผลกระทบอย่างมีนัยสำคัญที่ใด ในขณะที่ผลของเหตุการณ์เดียวอาจเบาบาง ลำดับเหตุการณ์อาจมีผลกระทบที่สำคัญมากกว่า อาจใช้การทดสอบที่หนักหน่วงในการประเมินค่าผลกระทบของเหตุการณ์สุดท้ายและใช้การวิเคราะห์ภาพเหตุการณ์ในการประเมินค่าผลกระทบของเหตุการณ์จำนวนมาก หากว่าเหตุการณ์ไม่มีความสัมพันธ์กันโดยตรง

ผู้บริหารต้องประเมินค่าเหตุการณ์แยกกัน ยกตัวอย่าง บริษัทที่มีธุรกิจต่างกัน มีการผันผวนของราคาที่แตกต่างกัน จะประเมินความเสี่ยงซึ่งสัมพันธ์กับตลาดแยกจากกัน ดังเช่น ราคาของเนื้อและราคาพลังงาน ในการประเมินค่าเช่นนี้อาจถูกนำเสนอในรูปกราฟแสดงอัตราความเป็นไปได้และผลกระทบหรือเสนอในรูปแบบอื่น ๆ

ความเสี่ยงซึ่งเกิดขึ้นเหมือน ๆ กันในธุรกิจจำนวนมาก ผู้บริหารอาจประเมินค่าและแยกแยะกลุ่มเหตุการณ์เอาไว้ในกลุ่มเหตุการณ์ทั่วไป ตัวอย่างเช่น การเปลี่ยนแปลงในอัตราดอกเบี้ยของรัฐบาลซึ่งมีผลกระทบกับหน่วยธุรกิจของบริษัทที่ให้บริการด้านการเงิน

ความสัมพันธ์กันระหว่างความเสี่ยงและผลกระทบเป็นความรับผิดชอบที่สำคัญของผู้บริหาร การบริหารความเสี่ยงที่มีประสิทธิภาพต้องการการประเมินค่าความเสี่ยงที่เกี่ยวข้องกับความเสี่ยงธรรมชาติและความเสี่ยงที่ตามมาจากการตอบสนองความเสี่ยง

การประเมินความเสี่ยงจะต้องพิจารณาว่าเหตุการณ์ที่เป็นไปได้ว่าจะเกิดขึ้น เหตุการณ์ไหนมีผลกระทบต่อการบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร โดยฝ่ายบริหารประเมินและวิเคราะห์ความเสี่ยงโดยพิจารณาจาก

1. ความน่าจะเกิด (Likelihood) คือโอกาสความเป็นไปได้ที่เหตุการณ์ที่ความเสี่ยงนั้นจะเกิดหรือความถี่ที่เหตุการณ์จะเกิด
2. ส่วนผลกระทบ (Impact) หมายถึง ความเสียหายที่จะเกิดจากเหตุการณ์ความเสี่ยงนั้น ความน่าจะเกิดบ่งบอกถึงความเป็นไปได้ที่เหตุการณ์นั้นจะเกิดขึ้น สามารถวัดเป็นมูลค่าที่คาดหวังหรือมูลค่าที่เลวร้ายที่สุด หรืออาจแสดงเป็นปริมาณ เช่น สูง (High) กลาง (Medium) และต่ำ (Low) หรือการวัดเป็นเปอร์เซ็นต์ ความถี่ที่จะเกิด เป็นต้น

การประเมินความเสี่ยงเป็นเรื่องที่ยากและท้าทาย ฝ่ายจัดการต้องตระหนักว่าความเสี่ยงที่มีโอกาสเกิดขึ้นต่ำและมีผลกระทบต่อองค์กรต่ำไม่ต้องนำมาพิจารณา ในทางตรงกันข้ามหากความเสี่ยงที่มีความเป็นไปได้ที่จะเกิดสูงและมีผลกระทบอย่างมีนัยสำคัญต่อองค์กร ฝ่ายจัดการต้องนำมาพิจารณาและให้ความสนใจ

การประเมินความเสี่ยง ฝ่ายจัดการต้องพิจารณาผลกระทบทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่คาดไว้ซึ่งมีความเป็นไปได้ที่จะเกิดขึ้น ส่วนใหญ่เหตุการณ์ต่าง ๆ มักเป็นเหตุการณ์ประจำและเกิดขึ้นอีกครั้งและเหตุการณ์ดังกล่าวถูกนำมาอยู่ในโปรแกรมการบริหารจัดการแล้ว

ส่วนเหตุการณ์ที่ไม่คาดไว้ แม้มีความเป็นไปได้ที่จะเกิดต่ำแต่มีผลกระทบที่เป็นนัยสำคัญ เหตุการณ์ดังกล่าวจะถูกตอบสนองเป็นแต่ละเหตุการณ์ไป ทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่ได้คาดไว้ล้วนมีผลกระทบต่อการดำเนินกลยุทธ์และมีผลต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

การประเมินความเสี่ยงถูกนำมาใช้กับความเสี่ยงพื้นฐานขององค์กรหรือความเสี่ยงจากลักษณะธุรกิจ (Inherent risk) เมื่อการตอบสนองความเสี่ยงถูกพัฒนาขึ้น ฝ่ายจัดการจะใช้เทคนิคการประเมินความเสี่ยงในการจัดการกับความเสี่ยงที่เหลืออยู่ (Residual Risk)

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

จากการที่ผมได้เล่าถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM มาหลายขั้นตอน มาถึงตอนนี้จะเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ขั้นตอนที่ 4 นั่นก็คือ การประเมินความเสี่ยง (Risk Assessment) การประเมินค่าความเสี่ยงขององค์กรทั่วไป เปิดโอกาสให้องค์กรและผู้ที่เกี่ยวข้องพิจารณาขอบเขตซึ่งเหตุการณ์แฝง อาจส่งผลต่อการบรรลุวัตถุประสงค์ พันธกิจ มุ่งสู่วิสัยทัศน์ขององค์กร ผู้บริหารควรประเมินค่าเหตุการณ์จาก 2 แนวคิด คือ ความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ที่จะเกิดขึ้น

ผมมีคำอธิบายเพื่อการประเมินค่าความเสี่ยงที่นำไปสู่การปฏิบัติ เมื่อปัจจัยภายในและภายนอกส่งผลต่อเหตุการณ์แฝง และบางเหตุการณ์ก็ส่งผลต่อการบรรลุวัตถุประสงค์ขององค์กร แม้ว่าปัจจัยบางอย่างจะเป็นสิ่งปกติในการร่วมอยู่ในอุตสาหกรรม ปัจจัยจำนวนมากมีความเป็นเอกลักษณ์ในองค์กรใดองค์กรหนึ่งโดยเฉพาะ สาเหตุเนื่องจากเป็นสิ่งที่ก่อให้เกิดวัตถุประสงค์และตัวเลือกในอดีต

ในการประเมินค่าความเสี่ยงผู้บริหารได้พิจารณาการผสมผสานของเหตุการณ์แฝงในอนาคตที่สัมพันธ์กับองค์กรและกิจกรรมของเหตุการณ์ สิ่งเหล่านี้นำมาซึ่งการตรวจสอบปัจจัยต่าง ๆ รวมถึงขนาดองค์กร ความซับซ้อนของการปฏิบัติงานและระดับของกฎระเบียบที่ครอบคลุมกิจกรรม เป็นต้น ซึ่งได้ก่อร่างรูปแบบของความเสี่ยงขององค์กรและมีอิทธิพลต่อวิธีการซึ่งใช้ในการประเมินค่าความเสี่ยง

โดยมีหลักการย่อ ๆ ว่า เมื่อเจ้าภาพหรือเจ้าของแผนงานสามารถระบุหรือบ่งชี้ความเสี่ยงตามข้อ 2 ได้แล้วให้ประเมินต่อไปว่า เหตุการณ์ที่อาจมีผลกระทบต่อความสำเร็จของแต่ละกิจกรรมในแต่ละขั้นตอนของแผนงานนั้น ๆ จะสามารถจัดการหรือแก้ไขปัญหาให้ลุล่วงเพื่อผลักดันกิจกรรมขั้นตอนต่อ ๆ ไปให้ประสบความสำเร็จของแผนงานนั้นตามกรอบเวลาได้หรือไม่

ทั้งนี้ เจ้าของแผนงานจะต้องประเมินว่า ปัจจัยหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบ (Impact) ต่อความไม่สำเร็จนั้น มีมากน้อยเพียงใด และมีโอกาสที่จะเกิดขึ้น (Likelihood) บ่อยเพียงใด ทั้งนี้เพื่อไปจัดลำดับความรุนแรงของความเสี่ยงที่จะมีผลต่อแผนงานและโครงการนั้น ๆ

ความเสี่ยงที่มีอยู่ (Inherent) และความเสี่ยงส่วนที่เหลือ (Residual Risk)
ผู้บริหาร องค์กร ต้องพิจารณาความเสี่ยงที่มีอยู่และความเสี่ยงส่วนที่เหลือ ความเสี่ยงที่มีอยู่เป็นความเสี่ยงขององค์กรที่ไม่ได้ดำเนินการใด ๆ ทั้งสิ้นของผู้บริหาร เพื่อเปลี่ยนแปลงผลกระทบและโอกาสเกิดของความเสี่ยง ความเสี่ยงส่วนที่เหลือคือความเสี่ยงที่ยังคงมีอยู่หลังจากผู้บริหารได้ตอบสนองต่อความเสี่ยงแล้ว

ในการประเมินค่าความเสี่ยง ผู้บริหารจะพิจารณาผลกระทบของเหตุการณ์แฝงที่คาดหวังและไม่ได้คาดหวัง หลาย ๆ เหตุการณ์เกิดเป็นประจำ และเกิดขึ้นอีกบ่อย ๆ และได้ถูกวางไว้ในโปรแกรมการบริหารและงบประมาณด้านปฏิบัติการ หลาย ๆ เหตุการณ์ไม่ได้ถูกคาดหวังไว้ และบ่อยครั้งมีความน่าจะเกิดต่ำ แต่อาจมีผลกระทบแฝงที่สำคัญ เหตุการณ์ที่ไม่ได้คาดไว้อาจถูกตอบสนองแยกต่างหาก

อย่างไรก็ตาม ความไม่แน่นอนยังคงอยู่กับทั้งเหตุการณ์แฝงที่คาดไว้และไม่ได้คาดไว้ และแต่ละเหตุการณ์ได้ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ ผลก็คือผู้บริหารต้องประเมินค่าความเสี่ยงของเหตุการณ์แฝงทั้งหมด ซึ่งเหมือนกันในแง่มีผลกระทบสำคัญต่อองค์กร การประเมินค่าความเสี่ยงได้ถูกประยุกต์ไปสู่ความเสี่ยงที่มีอยู่ ทันทีที่การตอบสนองความเสี่ยงได้ถูกพิจารณา ดังนั้น ผู้บริหารได้ใช้เทคนิคการประเมินค่าความเสี่ยงในการกำหนดความเสี่ยงส่วนที่เหลือ

การประมาณค่าความน่าจะเกิด ( Likelihood) และผลกระทบ (Impact)
ความไม่แน่นอนของเหตุการณ์แฝงถูกประเมินจาก 2 แนวคิด คือความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ความน่าจะเกิด เปรียบเสมือนความเป็นไปได้ซึ่งเหตุการณ์จะเกิดขึ้น ในขณะที่ผลกระทบเปรียบเสมือนผลที่เกิดขึ้น

ความน่าจะเกิดและผลกระทบเป็นคำศัพท์ที่ใช้กันโดยทั่วไปแม้ว่าบางองค์กรจะใช้คำว่าความเป็นไปได้และความเข้มงวดหรือผลที่เกิดขึ้นก็ตาม บางครั้งคำศัพท์อาจมีความหมายเฉพาะ “ความน่าจะเกิด” แสดงถึงความเป็นไปได้ซึ่งจะทำให้เกิดเหตุการณ์ในเชิงคุณภาพ เช่น สูง กลาง และต่ำ หรือมาตรวัดอื่น ๆ ที่เที่ยงตรง ในขณะที่ความเป็นไปได้อาจถูกใช้ในการอธิบายการวัดเชิงปริมาณ เช่น เปอร์เซ็นต์ ความถี่ของเหตุการณ์ หรือมาตรวัดที่เป็นตัวเลข

ผู้บริหารอาจเลือกอธิบายความน่าจะเกิดและผลกระทบในลักษณะต่าง ๆ เช่น การประมาณค่า หรือขอบเขตหรือการกระจาย ซึ่งอาจอธิบายการแยกแยะหรือการประเมินค่าความเสี่ยงเป็นคำพูดหรือใส่ลงในกราฟ ตัวอย่างหนึ่งคือการทำแผนผังความเสี่ยง ซึ่งเป็นการวาดให้เห็นภาพโดยการแบ่งกลุ่มเหตุการณ์ วัตถุประสงค์องค์กร หรือกลุ่มอื่น ๆ ซึ่งจะช่วยรายงานความเสี่ยงในหลาย ๆ ระดับ รวมถึงระดับองค์กร ระดับธุรกิจ ระดับหน่วยงานหรือระดับกระบวนการ

การกำหนดปริมาณความตั้งใจในการประเมินค่าลำดับของความเสี่ยงที่องค์กรต้องเผชิญนั้นมีความยากและท้าทาย ผู้บริหารต้องระลึกไว้ว่าความเสี่ยงที่มีความน่าจะเกิดของเหตุการณ์ที่จะเกิดต่ำและมีผลกระทบเพียงเล็กน้อย ไม่สามารถรับประกันการพิจารณาอื่น ๆ ได้ ในทางตรงข้ามความเสี่ยงที่มีความน่าจะเกิดของการเกิดเหตุการณ์สูงและมีผลกระทบสำคัญที่ต้องการการพิจารณาอย่างตั้งใจ เหตุการณ์ทั้งสองประเภทต้องการการตัดสินที่ยากเย็น สิ่งสำคัญคือการวิเคราะห์ต้องมีเหตุมีผลและระมัดระวัง

เนื่องจากความเสี่ยงถูกประเมินในส่วนของกลยุทธ์องค์กรและวัตถุประสงค์องค์กร ผู้บริหารจะเฝ้ามุ่งเน้นดูความเสี่ยงด้วยช่วงระยะเวลาสั้นไปจนถึงกลาง อย่างไรก็ตามองค์ประกอบบางอย่างของทิศทางกลยุทธ์และวัตถุประสงค์ได้ขยายตัวเป็นช่วงเวลาที่ยาวนานขึ้น ผลก็คือผู้บริหารต้องมีความรู้ความเข้าใจในกรอบเวลาที่ยาวนาน และไม่เพิกเฉยต่อความเสี่ยงที่อาจหมดไป
ผู้บริหารมักใช้การวัดผลงานในการกำหนดขอบเขตที่ทำให้บรรลุวัตถุประสงค์และใช้หน่วยเดียวกันวัดว่าเมื่อไรจะพิจารณาผลกระทบแฝงของความเสี่ยงในการบรรลุวัตถุประสงค์เฉพาะ ตัวอย่างเช่น

องค์กรซึ่งมีวัตถุประสงค์ในการรักษาระดับของการบริการลูกค้าจะถูกให้คะแนนหรือการวัดแบบอื่น ๆ สำหรับวัตถุประสงค์นั้น ดังเช่น ดัชนีความพึงพอใจของผู้เกี่ยวข้อง จำนวนการร้องเรียน เมื่อการประเมินค่าผลกระทบของความเสี่ยงที่อาจส่งผลต่อการบริการ ดังเช่น ความเป็นไปได้ที่เว็บไซต์อาจใช้ไม่ได้ในช่วงเวลานั้น ผลกระทบเป็นตัวกำหนดที่ดีที่สุดในการใช้

การใช้ข้อมูลที่สังเกตได้
การประมาณค่าความน่าจะเกิดและความถี่ของผลกระทบถูกกำหนดให้ใช้ข้อมูลจากเหตุการณ์ที่สังเกตได้ที่ผ่านมาแล้ว ซึ่งอาจทำให้เกิดวัตถุประสงค์ได้มากกว่าการประมาณโดยการนึกคิด การสร้างข้อมูลที่เกิดจากประสบการณ์ในองค์กรของตนเองอาจสะท้อนความมีอคติของบุคคลได้น้อยกว่าและทำให้เกิดผลลัพธ์ได้ดีกว่าข้อมูลจากแหล่งภายนอก

อย่างไรก็ตามแม้ว่าข้อมูลที่สร้างจากภายในเป็นข้อมูลนำเข้าเบื้องต้น ข้อมูลจากภายนอกสามารถใช้ประโยชน์ในการเป็นที่ตรวจสอบหรือเพื่อช่วยส่งเสริมการวิเคราะห์ ข้อควรระวังเมื่อใช้เหตุการณ์ในอดีตคาดเดาอนาคตนั้นคือ อิทธิพลของปัจจัยอาจทำให้เหตุการณ์เปลี่ยนแปลงไปตามเวลา

สำหรับการประเมินความเสี่ยงนี้ ยังมีวิธีการและเทคนิคเชิงปริมาณและคุณภาพ รวมถึงขั้นตอนการประเมินความเสี่ยงที่เป็นขั้นตอนสำคัญที่ควรต้องติดตามต่อไปในโอกาสหน้านะครับ

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/