Posts Tagged "COSO – ERM"

COSO ERM 2017 กับแนวทางการกำกับ การบริหารยุค Thailand 4.0

ผมได้ห่างหายในการพูดคุยกับท่านผู้อ่านและเล่าเรื่องราวต่างๆ ในหัวข้ออื่นๆ ที่นอกเหนือจากหัวข้อ CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง จึงขอวกมาคุยและเล่าเรื่องราวต่างๆ ที่เกี่ยวข้องกับการกำกับ การบริหารความเสี่ยงยุคใหม่ ในมุมมองของ COSO ERM 2017 ซึ่งแน่นอนว่าจะแตกต่างจากการบริหารความเสี่ยงในมิติอื่นๆ อยู่บ้าง แต่อย่างไรก็ดี แนวการบริหารความเสี่ยงของ COSO ERM 2017 และมาตรฐานการบริหารความเสี่ยง ตาม ISO31000-2018 และแนวการบริหารความเสี่ยงของ COBIT5 for Risk จะมีจุดเน้น รวมทั้งกรอบแนวคิด กระบวนการจัดการกับการบริหารความเสี่ยงทั่วทั้งองค์กร ที่มีทั้งมุมมองแตกต่างกัน และมีมุมมองที่ใกล้เคียงกัน ซึ่งท่านผู้อ่านควรจะได้ติดตามกระบวนการที่เกี่ยวข้องเพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมต่อไป

ผมจะไม่เน้นการพูดถึงหลักการและทฤษฎีต่างๆ ที่เกี่ยวข้องกับการบริหารความเสี่ยงของแต่ละค่าย/สถาบัน ตามที่กล่าวข้างต้น แต่จะพูดในภาพรวมทางด้านที่สามารถจะนำไปปฏิบัติได้ตามวัตถุประสงค์ กลยุทธ์ วิสัยทัศน์ และเป้าหมายหลักๆ ขององค์กร ที่เกี่ยวข้องกับความเสี่ยงที่ยอมรับได้ ทั้งนี้เพราะ ความเสี่ยงไม่ได้หมายถึงเหตุการณ์ที่จะก่อให้เกิดความเสียหายหรือการไม่บรรลุวัตถุประสงค์เพียงเท่านั้น แต่ยังหมายถึงโอกาสที่จะสร้างคุณค่าเพิ่ม หรือผลประโยชน์ให้กับผู้มีผลประโยชน์ร่วม (Stakesholder) และสร้างโอกาสและศักยภาพในการพัฒนาเศรษฐกิจ สังคม การลงทุน ตามสภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็ว

การกำหนดหลักการบริหารความเสี่ยงเพื่อลดระดับความเสี่ยงที่จะเกิดขึ้นกับระดับประเทศ ระดับองค์กร เพื่อสร้างความน่าเชื่อถือในมิติต่างๆ ซึ่งเป็นเรื่องสำคัญอย่างยิ่งยวดในการพัฒนาประเทศ และองค์กรให้เจริญเติบโตอย่างยั่งยืน โดยการกำหนดระดับความเสี่ยงที่ประเทศและองค์กรยอมรับได้ ในเรื่องต่างๆ ที่เกี่ยวข้องนั้น ผู้บริหารระดับประเทศ ผู้บริหารระดับองค์กร ควรจะเข้าใจถึงองค์ประกอบของกระบวนการบริหารความเสี่ยง ที่ต้องมีกระบวนการจัดการที่ชัดเจน และมีการกำกับแบบบูรณาการระหว่างเทคโนโลยีสารสนเทศ กับเป้าประสงค์ระดับประเทศและเป้าประสงค์ระดับองค์กร ซึ่งจะขอขยายความและพูดคุยกันเป็นตอนๆ ไปนะครับ

ถ้าอย่างนี้ เราลองมาเริ่มต้นพิจารณาถึงการเปลี่ยนแปลงสภาพแวดล้อม เอาแค่ในระดับองค์กรก่อนนะครับ เช่น การปรับเปลี่ยนนโยบาย กลยุทธ์ โครงสร้างองค์กร กระบวนการทำงาน การเปลี่ยนแปลงทรัพยากร ซึ่งหมายถึง Cyber/สารสนเทศ การบริการโครงสร้างพื้นฐานและระบบงาน รวมทั้งบุคลากร ทักษะ และศักยภาพของบุคลากรระดับต่างๆ ที่จะเชื่อมโยงหรืออิงกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จในกระบวนการกำกับ และการบริหารความเสี่ยง คือ ทรัพยากรดังกล่าวต้องเชื่อมโยงกับหลักการ ซึ่งหลักการดังกล่าวในที่นี้ หมายถึงท่านใช้หลักการอะไร มีนโยบายและกรอบการดำเนินการอย่างไร ซึ่งเป็นเรื่องสำคัญมาก เทียบได้กับการติดกระดุมเม็ดแรก และกระดุมเม็ดนี้จะเชื่อมต่อไปยังปัจจัยอื่นๆ ทีก่อให้เกิดความสำเร็จ คือ กระบวนการทำงาน โครงสร้างองค์กร และวัฒนธรรม จริยธรรม และพฤติกรรมของผู้บริหารและผู้ปฏิบัติงานทุกระดับ

นอกจากนี้ รวมทั้งองค์กร/ท่านจะต้องพิจารณาการเปลี่ยนแปลงสภาพแวดล้อมจากปัจจัยภายนอก เช่น กฎหมาย (พรบ. ไซเบอร์ พรบ. ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นเรื่องใหม่ ที่ท้าทายความเข้าใจในการนำไปปฏิบัติงานเป็นอย่างยิ่ง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสที่เหมาะสมต่อไป) มาตรฐาน แนวการปฏิบัติงาน และเรื่องสำคัญก็คือ การเปลี่ยนแปลงทางการเมือง เศรษฐกิจ นโยบายภาครัฐ แน่นอนตามที่ผมได้กล่าวมาแล้วคือ การเปลี่ยนแปลงสภาพแวดล้อมและเทคโนโลยีที่มีนวัตกรรมใหม่ๆ และก้าวหน้าอย่างยิ่ง และอาจส่งผลกระทบต่อการดำเนินงานทั้งมิติของความมั่นคงของประเทศ/องค์กร และการบรรลุเป้าหมาย ฯลฯ ดังกล่าวข้างต้น ซึ่งจะก่อให้เกิดความเสี่ยงต่อประเทศและองค์กรโดยรวม ในการบรรลุวิสัยทัศน์ และพันธกิจของประเทศและองค์กร ซึ่ง COSO ERM 2017 จะได้นำแนวทางการบริหารความเสี่ยงมาประยุกต์ใช้ ให้ความสำคัญในการเลือกกลยุทธ์ที่เหมาะสม (Strategy Selection) ตอบสนองวิสัยทัศน์ พันธกิจ และการดำเนินงานเพื่อให้บรรลุเป้าหมายและวัตถุประสงค์ ให้เป็นไปตามกลยุทธ์ที่เลือกไว้แล้ว (Strategy Implementaion) ในระดับประเทศหรือระดับองค์กร

ที่มา : www.coso.org

การกำกับ (Governance) และการบริหารความเสี่ยง (Risk Management) รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่างๆ (Compliance) เป็น 3 องค์ประกอบที่ต้องเข้าใจในกระบวนการบริหารแบบบูรณาการอย่างแท้จริง มิฉะนั้น ถ้าขาดองค์ประกอบข้อหนึ่งข้อใด การสร้างคุณค่าเพิ่มตามหลักการ Governance ก็ไม่อาจจะเกิดขึ้นได้จากการบริหารความเสี่ยงที่ด้อยคุณภาพ รวมทั้ง ความสามารถในการปฏิบัติตาม Compliance ที่ควรเข้าใจอย่างแท้จริง

การบริหารความเสี่ยงเป็นองค์ประกอบสำคัญยิ่งที่จะสนับสนุนให้ประเทศ/องค์กร สามารถดำเนินงานได้ตามเป้าหมายที่กำหนดไว้แล้ว และยังสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้อีกทางหนึ่ง ซึ่งเป็นแนวคิดที่สำคัญยิ่งที่จะต้องนำไปสู่การปฏิบัติ องค์กรหลายแห่งจึงได้นำกรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการ (Enterprise Risk Management – Intregrated Framework) ตามแนวทาง COSO ERM มาประยุกต์ใช้เป็นกรอบในการพัฒนาระบบการบริหารความเสี่ยง ซึ่งโดยรวมก็คือ การมีวัตถุประสงค์ให้คณะกรรมการ ผู้บริหาร และผู้ที่เกี่ยวข้อง ได้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง และองค์ประกอบที่เกี่ยวข้อง เพื่อสร้างความเข้าใจให้ตรงกันกับคำนิยาม เรื่องเป้าหมายและวัตถุประสงค์ อันจะสร้างความรับผิดชอบอย่างทั่วถึงและเป็นไปในทิศทางเดียวกันทั่วทั้งองค์กรได้อย่างมีประสิทธิภาพ

สรุปความเข้าใจโดยรวมของการบริหารความเสี่ยง ตามแนวทาง COSO ERM 2017 แบบผสมผสานกับหลักการ/มาตรฐานอื่นๆ เบื้องต้น มีดังนี้

  • สร้างความเข้าใจว่า ERM (Enterprise Risk Management) เป็นส่วนหนึ่งของ Governance และ Compliance และควรเข้าใจว่าหลักการสร้างคุณค่าเพิ่มนั้น หมายถึงการบูรณาการของ G + R + C หรือ GRC ที่มีทั้งเรื่อง Business และ IT
  • สร้างความเข้าใจว่ากรอบการดำเนินการทางธุรกิจสำหรับการกำกับดูแลและการบริหารจัดการนั้น ควรเข้าใจการกำกับและการบริหาร IT ระดับองค์กรเสมอ
  • เพื่อให้คณะกรรมการและผู้บริหาร รวมทั้งบุคลากรขององค์กร ได้ตระหนักและเข้าใจถึงเป้าหมายและวัตถุประสงค์ และแนวทางการบริหารความเสี่ยงขององค์กร ใช้เป็นส่วนหนึ่งของกระบวนการพัฒนาความเสี่ยง เพื่อสนับสนุนงานขององค์กรเพื่อให้เป็นไปตามเป้าหมายที่กำหนดไว้ และเป็นไปตามแผนการดำเนินงานและแผนกลยุทธ์ที่เกี่ยวข้อง (ไม่ว่าจะอธิบายในมิติใด หากไม่เข้าใจหรือไม่คำนึงถึง 2 ประเด็นข้างต้นอย่างแท้จริง ประสิทธิภาพและประสิทธิผลของ GRC จะได้ผลลัพธ์อย่างจำกัด จนถึงระดับที่ไม่อาจสามารถสร้างคุณค่าเพิ่มและเติบโตอย่างยั่งยืนได้)
  • เพื่อการพัฒนาองค์ความรู้ด้านการบริหารความเสี่ยง และสนับสนุนการบริหารความเสี่ยงเป็นวัตนธรรมขององค์กร เพื่อการเติบโตอย่างยั่งยืน
  • เพื่อให้มีกรอบแนวทางการบริหารความเสี่ยงอย่างเป็นระบบ เข้าใจทิศทางเชิงกลยุทธ์ขององค์กร โดยมีมาตรฐานและการจัดการกับความเสี่ยงที่มีความสำคัญต่อเป้าหมายหลักขององค์กร และป้องกันความเสี่ยงในระยะยาว ที่จะมีผลกระทบต่อการเติบโตอย่างยั่งยืนและประสิทธิภาพขององค์กร

ความเข้าใจในเรื่องการกำหนดกลยุทธ์การบริหารความเสี่ยง การกำกับและการบริหารความเสี่ยง รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามที่กล่าวข้างต้นนั้น เท่าที่ผู้เขียนได้ประสบพบมาปรากฎว่า การกำหนดแนวทางเรื่องกลยุทธ์การบริหารความเสี่ยง มีความเข้าใจแตกต่างอย่างมีนัยสำคัญ ซึ่งมีผลทำให้กระบวนการบริหารความเสี่ยง ซึ่งถูกหยิบยกขึ้นไปสู่ระดับความรับผิดชอบของคณะกรรมการควบคู่กับการสร้างดุลยภาพสู่วิสัยทัศน์ พันธกิจ แผนงาน โครงการต่างๆ ซึ่งในที่สุดแล้ว คณะกรรมการจะต้องประเมินผล และรับผิดชอบในเรื่องที่กล่าวนั้น ยังไม่มีการถ่ายทอดและทำความเข้าใจ รวมทั้งการออกนโยบายการควบคุมการปฏิบัติงาน การตรวจสอบ การรายงาน การติดตามผล อย่างมีนัยสำคัญ

การกำหนดกลยุทธ์การบริหารความเสี่ยง ควรพิจารณาในเรื่องที่น่าสนใจต่อไปนี้

  • กลยุทธ์ของประเทศหรือองค์กรที่ไม่สอดคล้องกับระดับนโยบาย พันธกิจ วัตถุประสงค์และเป้าหมาย รวมทั้งแผนงานและโครงการ ทั้งในระดับประเทศและระดับองค์กร เป็นความเสี่ยงสูงสุด เพราะเป็นการปักธงนำกระบวนการสร้างคุณค่าเพิ่มโดยรวม
  • ความสอดคล้องกับแนวทางมาตรฐานของหน่วยงานกำกับดูแล ซึ่งควรจะได้มาตรฐานและแนวปฏิบัติที่ยอมรับกันเป็นสากล รวมทั้งข้อกำหนดของกฎหมาย ระเบียบ หลักเกณฑ์ ประกาศ และแนวทางปฏิบัติที่ดี
  • การกำหนดขอบเขต และลักษณะการดำเนินงานขององค์กร ให้เหมาะสมกับสภาพแวดล้อมที่เปลี่ยนแปลงไป ซึ่งมีเรื่องและปัจจัยรวมทั้งองค์ประกอบหลากหลายที่ยังไม่ได้กล่าวในรายละเอียดนะครับ ทั้งนี้ จะต้องมีความสอดคล้องกับนโยบาย กลยุทธ์ เป้าหมาย แผนงาน และโครงการต่างๆ ขององค์กร
  • ควรมีการทบทวนกลยุทธ์การบริหารความเสี่ยงอย่างน้อยปีละครั้ง ให้สอดคล้องกับแผนงานประจำปี หรือทบทวนเมื่อมีเหตุการณ์เปลี่ยนแปลงที่สำคัญ เช่น การปฏิบัติตามพรบ. ไซเบอร์ และพรบ. ความคุ้มครองข้อมูลส่วนบุคคล ที่จะมีการประกาศใช้ในภาคบังคับอีกไม่นานนับจากนี้ ทั้งนี้เพราะ จะได้ลดความเสี่ยงจากการไม่ปฏิบัติตามหลักการ Compliance รวมทั้งเพื่อให้ทราบถึงปัญหาและอุปสรรคในการบรรลุเป้าหมายการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายขององค์กรโดยรวม

ทั้งนี้ กรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการตามแนวทางของ COSO ERM ทำให้มั่นใจได้ว่า กระบวนการทำงานต่างๆ ทั่วทั้งองค์กรได้รับการสนับสนุนจากการบริหารความเสี่ยงอย่างต่อเนื่องและมีประสิทธิภาพ ซึ่งจะมีผลทำให้การบริหารความเสี่ยงมีความสำคัญต่อการบริหารที่สอดคล้องกับกลยุทธ์ การวางแผนงาน รวมทั้งกระบวนการรายงานผลที่สนองตอบต่อนโยบายต่างๆ ในการสร้างคุณค่าเพิ่มและสร้างวัตนธรรมให้กับองค์กร

ผมมีความเห็นส่วนตัวว่า ในกรณีที่ท่านผู้บริหาร รู้สึกสับสนว่าจะใช้กรอบการกำกับการดำเนินงานในระดับประเทศหรือในระดับองค์กรที่เกี่ยวข้องกับกระบวนการบริหารและการจัดการ IT ซึ่งในที่นี้ผมของเน้นในเรื่องของการบรูรณาการ GRC นะครับว่า ท่านควรใช้มาตรฐานที่เกี่ยวข้องในการกำกับและการบริหาร รวมทั้งการปฏิบัติงานที่ดีที่สุดและเป็นสากล โดยเพียงเข้าใจกระบวนการบริหารแบบบูรณาการที่แท้จริงเท่านั้นนะครับ เพราะมาตรฐานต่างๆ ของการบริหารความเสี่ยงตามที่กล่าวข้างต้น เป็นเพียงกรอบแนวคิด ไม่ใช่เป็นเครื่องมือสำเร็จรูปที่แต่ละองค์กรสามารถนำไปใช้ได้ทันที แต่ท่านควรเข้าใจในหลักการเบื้องต้นที่เกี่ยวข้องกับหลายปัจจัยตามที่กล่าวแล้วนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ครั้งที่แล้ว ผมได้กล่าวถึงเรื่องของการบริหารความเสี่ยงว่า การบริหารความเสี่ยงขององค์กรจะบรรลุผลสำเร็จหรือไม่ ขึ้นอยู่กับข้อจำกัดต่าง ๆ ที่มีอยู่ในกระบวนการบริหาร รวมถึงการพิจารณาตัดสินใจของผู้บริหารในรายละเอียดต่าง ๆ ที่เกิดขึ้นกันไปแล้ว วันนี้ผมจะมาเล่าให้ฟังว่าคณะกรรมการ คณะกรรมการตรวจสอบ ผู้บริหาร ผู้ตรวจสอบภายใน รวมถึงพนักงานทุกคนในองค์กร มีส่วนทำให้องค์กรบรรลุผลสำเร็จในการบริหารความเสี่ยงขององค์กรได้อย่างไร ไปติดตามบทบาทและการกำกับดูแลการบริหารความเสี่ยงกันครับ

คณะกรรมการบริหารและพนักงานทุกคนในองค์กร มีหน้าที่ในการบริหารความเสี่ยงขององค์กร CEO หรือ ผู้อำนวยการ เป็นผู้รับผิดชอบสูงสุด และอาจถือว่าเป็น “เจ้าของ” งานในการบริหารความเสี่ยงขององค์กร ผู้อำนวยการ ผู้จัดการอื่น ๆ ต้องสนับสนุนปรัชญาเรื่องความเสี่ยง สนับสนุนการปฏิบัติตามความเสี่งที่ยอมรับได้หรือ Risk Appetite และจัดการหน้าที่ต่าง ๆ ที่เป็นองค์ประกอบของการบริหารความเสี่ยงในหน้าที่ที่ได้รับมอบหมาย ตามวัฒนธรรมความเสี่ยงขององค์กรให้เกิดประสิทธิผล

คำจำกัดความ Risk Appetite หรือความเสี่ยงที่ยอมรับได้
– จำนวน หรือข้อความของความเสี่ยงในภาพกว้าง ที่องค์กรสามารถยอมรับได้เพื่อสร้างมูลค่าให้กับผู้มีผลประโยชน์ร่วม
– ใช้เป็นแนวทางในการกำหนดกลยุทธ์องค์กร เพื่อการจัดสรรทรัพยากรอย่างเหมาะสม
– การกำหนด Risk Appetite ขึ้นอยู่กับ
• ปัจจัยภายใน – ระดับของการหลีกเลี่ยงความเสี่ยง
• ปัจจัยภายนอก – ระดับของความไม่แน่นอนของสภาพแวดล้อมทางธุรกิจขององค์กร

แนวทางในการกำหนด Risk Appetite สามารถกำหนดได้จากการพิจารณาถึงประเด็นต่าง ๆ ต่อไปนี้
– ความต้องการของผู้มีผลประโยชน์ร่วม
– วัตถุประสงค์องค์กรเชิงกลยุทธ์
– ปัจจัยการสร้างมูลค่าองค์กร
– ความเสี่ยงที่อาจส่งผลต่อวัตถุประสงค์ขององค์กร

บุคลากรอื่น ๆ มีหน้าที่ในการกำหนดแนวทางและวิธีการบริหารความเสี่ยงขององค์กร คณะกรรมการบริหารจะเตรียมการดูแลที่สำคัญเรื่องการบริหารความเสี่ยงขององค์กร จำนวนของคณะที่ปรึกษาจากภายนอก จะเป็นผู้ให้ข้อมูลข่าวสารที่เป็นประโยชน์ในการบริหารความเสี่ยงขององค์กร อย่างไรก็ตามคณะบุคคลจากภายนอก เช่น บริษัทที่ปรึกษาด้านบริหารความเสี่ยง ที่ปรึกษา ผู้ตรวจสอบภายนอก ฯลฯ ไม่ได้มีความรับผิดชอบในประสิทธิผลของการบริหารความเสี่ยงขององค์กร แต่สามารถช่วยองค์กรให้บรรลุเป้าหมายตามที่ต้องการได้

โครงสร้างการบริหารความเสี่ยงขององค์กรทั่วไป
โครงสร้างการบริหารความเสี่ยงของแต่ละองค์กรนั้น ไม่มีรูปแบบที่เป็นมาตรฐานเพียงแบบเดียว หากต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร โดยพิจารณาจากวัฒนธรรม ความซับซ้อนของการดำเนินงาน ประเภทของธุรกิจ และลักษณะของธุรกิจเป็นองค์ประกอบ

อย่างไรก็ตาม สิ่งที่สำคัญของโครงสร้างการบริหารความเสี่ยง คือการที่คณะกรรมการและผู้บริหารทุกระดับมีบทบาท และมีส่วนร่วมในการพัฒนาการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลขององค์กร จะช่วยในการประเมิน ควบคุม และติดตามความเสี่ยงของแต่ละหน่วยธุรกิจ/หน่วยงาน และทำให้เกิดความมั่นใจการปฏิบัติงานในการบริหารความเสี่ยงที่ได้ผล

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลควรประกอบด้วย
– คณะกรรมการหรือ อนุกรรมการที่มีความรับผิดชอบโดยตรงในการกำกับดูแลการบริหารความเสี่ยง
– คณะกรรมการบริหารความเสี่ยงที่ได้รับการแต่งตั้งให้ทำหน้าที่ในการพัฒนาการบริหารความเสี่ยง อย่างน้อยควรประกอบด้วยผู้บริหารระดับสูงขององค์กร เช่น กรรมการผู้จัดการ และรองกรรมการผู้จัดการ
– หน่วยงานหรือผู้รับผิดชอบในการนำเอาวิสัยทัศน์ขององค์กรในส่วนที่เกี่ยวกับการบริหารความเสี่ยงไปกำหนดเป็นนโยบายและปฏิบัติ

บทบาทและความรับผิดชอบในการบริหารความเสี่ยง
บุคคลที่ได้รับมอบหมายให้รับผิดชอบในการจัดการความเสี่ยงในแต่ละเรื่อง ควรมีคุณสมบัติดังนี้
– สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน
– สามารถจัดให้มีกิจกรรมต่าง ๆ ดังต่อไปนี้ได้อย่างมีประสิทธิภาพและประสิทธิผล
• การกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
• การประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการความเสี่ยงในปัจจุบันแล้ว
• การกำหนดเวลาที่แน่นอนในแต่ละขั้นตอนการดำเนินการให้เป็นไปตามแผนที่กำหนดไว้

บทบาทหน้าที่ของผู้บริหารความเสี่ยง

คณะกรรมการบริหารขององค์กร
– กำหนดนโยบายและกลยุทธ์การบริหารความเสี่ยงที่สำคัญ
– สอบทานความเสี่ยง ติดตาม และประเมินผลการบริหารความเสี่ยงในภาพรวม
– มีความเข้าใจถึงความเสี่ยงที่อาจมีผลกระทบร้ายแรงต่อองค์กร และทำให้มั่นใจว่ามีการดำเนินการที่เหมาะสมเพื่อจัดการความเสี่ยงนั้น ๆ
– ให้ข้อเสนอแนะ ให้ความเห็นชอบในการบริหารความเสี่ยงขององค์กร

คณะกรรมการตรวจสอบองค์กร
– ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงทั่วทั้งองค์กร
– กำกับดูแลและติดตามการบริหารความเสี่ยงอย่างเป็นอิสระ
– ติดตามประสิทธิภาพการทำงานของหน่วยงานตรวจสอบภายใน ในลักษณะติดตามการตรวจสอบตามฐานความเสี่ยง
– รายงานต่อคณะกรรมการและผู้มีผลประโยชน์ร่วมเกี่ยวกับประสิทธิภาพและประสิทธิผลของการควบคุมภายใน
– การสอบทานแผนการบริหารความเสี่ยง
– ให้ข้อเสนอแนะการบริหารความเสี่ยง
– สื่อสารกับคณะกรรมการบริหารความเสี่ยง เพื่อให้เข้าใจความเสี่ยงที่สำคัญ และเชื่อมโยงกับการควบคุมภายใน

คณะกรรมการหรืออนุกรรมการบริหารความเสี่ยง
– พิจารณาและกำหนดนโยบาย โครงสร้าง และกรอบการจัดวางระบบการบริหารความเสี่ยงขององค์กร
– กำหนดกรอบการจัดวางระบบการควบคุมภายในให้เป็นไปตามมาตรฐานการควบคุมภายใน ตามระเบียบคณะกรรมการตรวจเงินแผ่นดิน (คตง.) และของกระทรวงการคลัง หรือหน่วยงานภาครัฐที่เกี่ยวข้อง
– กำกับดูแล และสนับสนุนให้ทุกส่วนงานขององค์กร มีระบบการควบคุมภายในตามระเบียบ คตง. หรือหน่วยงานภาครัฐที่เกี่ยวข้อง และมีกระบวนการบริหารความเสี่ยงของส่วนงาน
– กำหนดระดับความเสี่ยงที่สามารถยอมรับได้ และกำหนดกรอบการบริหารความเสี่ยง
– พิจารณาความเสี่ยงที่มีนัยสำคัญ และใช้วิธีจัดการความเสี่ยงอย่างมีประสิทธิภาพและประสิทธิผล
– ติดตามดูแลการพัฒนาระบบการควบคุมภายใน และระบบการบริหารความเสี่ยงขององค์กร
– ติดตามกระบวนการบ่งชี้และประเมินความเสี่ยง
– นำแผนการบริหารความเสี่ยงทั่วทั้งองค์กรไปสู่การปฏิบัติ เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุเป้าหมายได้อย่างมีคุณภาพ และสอดคล้องกับหลักการบริหารความเสี่ยงทั่วทั้งองค์กร
– พิจารณารายงานที่เกี่ยวกับการควบคุมภายใน และการบริหารความเสี่ยง
– สนับสนุนให้ผู้บริหาร และพนักงานมีความตระหนักถึงความสำคัญของการควบคุมภายใน และการบริหารความเสี่ยง
– ติดตาม และประเมินความเพียงพอ ประสิทธิภาพ และประสิทธิผลของการจัดการความเสี่ยงในแต่ละด้าน และให้ข้อแนะนำเพื่อปรับปรุงแก้ไขการจัดการความเสี่ยง
– รายงานต่อคณะกรรมการเกี่ยวกับความเสี่ยง และการจัดการความเสี่ยง
– สื่อสารกับคณะกรรมการตรวจสอบเกี่ยวกับความเสี่ยงที่สำคัญ

ผู้อำนวยการสำนักงาน/กรรมการผู้จัดการ
– ติดตามความเสี่ยงที่สำคัญทั้งองค์กร และทำให้มั่นใจได้ว่ามีแผนการจัดการที่เหมาะสม
– ส่งเสริมนโยบายการบริหารความเสี่ยง และทำให้มั่นใจว่ากระบวนการบริหารความเสี่ยงได้รับการปฏิบัติทั่วทั้งองค์กร

รองผู้อำนวยการสำนักงาน/รองกรรมการผู้จัดการ
– ติดตามความเสี่ยงทางกลยุทธ์ และความเสี่ยงด้านการปฏิบัติการที่สำคัญ และทำให้มั่นใจได้ว่ามีแผนการจัดการความเสี่ยงที่เหมาะสม
– ส่งเสริมวัฒนธรรมการบริหารความเสี่ยง และทำให้มั่นใจได้ว่า ผู้อำนวยการฝ่ายให้ความสำคัญกับการบริหารความเสี่ยงในฝ่ายของตน

ผู้อำนวยการฝ่าย
– ทำให้มั่นใจว่าการปฏิบัติงานรายวันมีการประเมิน จัดการและรายงานความเสี่ยงอย่างเพียงพอ
– ส่งเสริมพนักงานในฝ่ายงานให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

หัวหน้างานหรือพนักงาน
– ระบุและรายงานความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานต่อผู้อำนวยการฝ่าย และเข้าร่วมใจการจัดทำแผนจัดการความเสี่ยง และนำแผนไปปฏิบัติ

หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ปฏิบัติหน้าที่ประจำวันแทนคณะกรรมการบริหารความเสี่ยง
– จัดทำนโยบายความเสี่ยง กรอบและกระบวนการให้กับหน่วยธุรกิจ/หน่วยงาน และเสนอคณะกรรมการบริหารความเสี่ยงเพื่ออนุมัติ
– ให้การสนับสนุนและแนะนำกระบวนการบริหารความเสี่ยงแก่หน่วยงานต่าง ๆ ภายในองค์กรตามที่มีการร้องขอ

ผู้ตรวจสอบภายใน
– ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมต่อการจัดการความเสี่ยงและการควบคุมเหล่านั้นได้รับการปฏิบัติตามภายในองค์กร
– ทำให้มั่นใจว่าได้มีการนำระบบการบริหารความเสี่ยงมาปรับใช้อย่างเหมาะสมและมีการปฏิบัติตามทั่วทั้งองค์กร
– สอบทานการปฏิบัติงานของหน่วยงานการบริหารความเสี่ยงและการปฏิบัติงานของ Risk Manager ทุกหน่วยงาน โดยเฉพาะอย่างยิ่ง การบริหารแผนงานและโครงการ
– สื่อสารกับหน่วยงานการบริหารความเสี่ยง เพื่อทำความเข้าใจเกี่ยวกับความเสี่ยง และดำเนินการตรวจสอบภายในตามแนวความเสี่ยง
– รายงานผลการบริหารความเสี่ยงและการควบคุมภายในตามฐานความเสี่ยงให้กับคณะกรรมการตรวจสอบ

 

คู่มือ/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

หลังจากที่ผมได้นำเสนอ กระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร COSO – ERM ทั้ง 8 ประการ ต่อเนื่องกันมาหลายครั้งแล้ว โดยในครั้งที่ผ่านมา ผมได้จบเรื่องของการติดตามผลและการตรวจสอบ ซึ่งเป็นกระบวนการบริหารความเสี่ยงในขั้นสุดท้าย แต่นั่นก็ไม่ได้หมายความว่า การบริหารความเสี่ยงทั่วทั้งองค์กรจะสิ้นสุดเพียงเท่านี้ เพราะยังมีข้อจำกัดในการบริหารความเสี่ยงขององค์กรอีกหลายประการที่คณะกรรมการ ผู้บริหาร จะต้องทำความเข้าใจ

การบริหารความเสี่ยงขององค์กรทั่วไป ที่มีประสิทธิผลไม่ได้มีกำหนดไว้ว่าวิธีการใด จะเป็นการออกแบบและการปฏิบัติที่ดี การบริหารความเสี่ยง เป็นเพียงหลักประกันอย่างสมเหตุสมผลให้กับคณะกรรมการ และผู้บริหาร องค์กร ในการที่จะบริหารความเสี่ยงขององค์กรให้บรรลุผลสำเร็จ

การบรรลุผลสำเร็จขององค์กรขึ้นอยู่กับข้อจำกัดที่มีอยู่ในทุกกระบวนการบริหาร รวมถึงความเป็นจริงที่ว่าการตัดสินของบุคคลในการตัดสินใจมีข้อบกพร่องและรายละเอียดต่าง ๆ ที่อาจเกิดขึ้นเนื่องจากจุดด้อยของบุคคลนั้น เช่น ข้อผิดพลาดทั่วไปหรือจากประสิทธิภาพพนักงาน

ในการพิจารณาข้อจำกัดของการบริหารความเสี่ยงต้องพิจารณาแนวคิด 3 ประการดังนี้
– ประการแรก ความเสี่ยงเป็นเรื่องที่เกี่ยวข้องอนาคต ซึ่งมีความไม่แน่นอน
– ประการที่สอง การบริหารความเสี่ยงขององค์กรต้องดำเนินการในระดับที่แตกต่างกันเพื่อตอบสนองต่อวัตถุประสงค์ที่แตกต่างกัน
– ประการที่สาม การบริหารความเสี่ยงขององค์กรไม่สามารถเป็นเครื่องรับประกันในการตอบสนองต่อวัตถุประสงค์ประเภทต่าง ๆ ได้ทั้งหมด

ความรู้เรื่องข้อจำกัดประการแรกที่ควรทราบคือ ไม่มีใครที่สามารถทำนายอนาคตได้อย่างถูกต้อง ความรู้ในเรื่องที่สองคือ เหตุการณ์ที่เกิดขึ้นจริงอยู่นอกการควบคุมโดยทั่วไปของฝ่ายบริหาร ประการที่สามคือ ไม่มีกระบวนการใดจะสามารถดำเนินการได้ตามที่ได้ตั้งใจไว้

ข้อจำกัดของการตัดสินใจกับการบริหารความเสี่ยง
ประสิทธิผลของการบริหารความเสี่ยงถูกจำกัดโดยศักยภาพของบุคคลในการตัดสินใจทางการบริหาร การตัดสินใจเกิดขึ้นจากการตัดสินใจของบุคคลในเวลาที่มีอยู่ โดยมีพื้นฐานจากข้อมูลที่มีอยู่ในขณะนั้นและภายใต้แรงกดดันของการดำเนินงานเพื่อบรรลุเป้าหมาย

ข้อจำกัดในการแจงรายละเอียด
การบริหารความเสี่ยงขององค์กรที่ได้รับการออกแบบมาอย่างดี สามารถแจงรายละเอียดได้ บุคลากรอาจไม่เข้าใจข้อแนะนำ โดยอาจตัดสินผิดพลาด หรืออาจเกิดความผิดพลาดเนื่องจากการไม่ได้รับการดูแลเอาใจใส่ การไม่สนใจ หรือความเหนื่อยล้าหรือจากวัฒนธรรมขององค์กรที่มีจุดอ่อนอย่างสำคัญ

ข้อจำกัดของการสมรู้ร่วมคิดของพนักงาน
พฤติกรรมการสมรู้ร่วมคิดของพนักงานตั้งแต่ 2 คนขึ้นไปสามารถส่งผลต่อการบริหารความเสี่ยงขององค์กรได้ การปฏิบัติของแต่ละคนในการกระทำและปิดบังการปฏิบัติที่มักเลือกข้อมูลทางการเงินหรือข้อมูลในการบริหารอื่น ๆ ในเรื่องที่ไม่สามารถระบุได้โดยกระบวนการบริหารความเสี่ยง เช่น อาจมีการสมรู้ร่วมคิดกันระหว่างพนักงานที่ปฏิบัติงานในหน้าที่การควบคุมที่สำคัญ หรือพนักงานอื่น ๆ ที่ไม่สนใจในผลกระทบขององค์กร

ข้อจำกัดด้านต้นทุนกับผลตอบแทน
การมีทรัพยากรที่จำกัดและองค์กรต้องพิจารณาความสัมพันธ์ระหว่างต้นทุนกับผลประโยชน์เพื่อตัดสินใจ รวมทั้งเรื่องที่เกี่ยวข้องเพื่อตอบสนองความเสี่ยงและการดำเนินกิจกรรมการควบคุม

การวัดต้นทุนกับผลตอบแทนเพื่อการนำไปปฏิบัติในการระบุเหตุการณ์และความสามารถในการประเมินความเสี่ยงและการตอบสนองที่เกี่ยวข้อง และการทำกิจกรรมการควบคุมในระดับความแม่นยำที่แตกต่างกัน

การพัฒนาเรื่องต้นทุนที่เพิ่มขึ้นนั้นสามารถทำได้ง่ายกว่า ต้นทุนโดยตรง ทั้งหมดเกี่ยวข้องกับการตั้งความสามารถหรือการกำหนดการควบคุม และจะต้องพิจารณาต้นทุนทางอ้อมที่สามารถวัดได้ด้วย

อย่างไรก็ตามในการพิจารณาเรื่องต้นทุนนี้นั้นจะทำได้ยากก็เนื่องจากปัจจัยเรื่องสภาพแวดล้อม เช่น ความผูกพันของฝ่ายบริหารต่อค่านิยมเรื่องจริยธรรมหรือความสามารถของบุคคล และการได้มาซึ่งข้อมูลข่าวสารภายนอก

ส่วนทางด้านผลประโยชน์อาจขึ้นอยู่กับการประเมินค่าของผู้ประเมินมากขึ้น เช่น ถ้าความสูญเสียนั้นเกิดความเบี่ยงเบนไปจากที่เป็นอยู่ อันเนื่องมาจากประสิทธิผลของการบริหารความเสี่ยงขององค์กร ผลประโยชน์ที่ที่เกิดขึ้นมักไม่ได้สังเกตเห็น หรือประโยชน์ของการตอบสนองความเสี่ยง เช่น โปรแกรมการฝึกอบรมที่มีประสิทธิผลจะเห็นได้อย่างชัดเจนแต่ยากที่จะบอกถึงคุณภาพ

การพิจารณาเรื่องต้นทุนกับผลตอบแทนนี้มีความหลากหลายขึ้นอยู่กับธรรมชาติขององค์กร การค้นหาความสมดุลที่เหมาะสมจึงเป็นเรื่องที่มีความท้าทายต่อผู้บริหารองค์กรเป็นอย่างมาก

การกระทำผิดกฎเกณฑ์ ละเลย ของฝ่ายบริหาร
การบริหารความเสี่ยงขององค์กรจะเกิดประสิทธิผลได้ขึ้นอยู่กับบุคลากรที่ทำหน้าที่ทางด้านนี้ แม้องค์กรมีการบริหารและการควบคุมที่มีประสิทธิผล เช่น มีระดับของความซื่อสัตย์ต่อองค์กรและความตระหนักถึงเรื่องการควบคุมสูง ผู้บริหารก็อาจ Overrideหรือ ละเลย กระทำผิดกฎเกณฑ์ กระบวนการบริหารความเสี่ยงได้ ไม่มีระบบการบริหารหรือการควบคุมใดที่ไม่มีข้อผิดพลาด และระบบที่ผิดพลาดกับผู้ที่ทำผิดพลาดจะต้องตั้งใจที่จะค้นหาวิธีการหยุดข้อผิดพลาดนั้น

อย่างไรก็ตามการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผลจะปรับปรุงความสามารถขององค์กรในการป้องกันและก้าวข้ามกิจกรรมเหล่านั้นไปได้

ความหมายของการ Override ของฝ่ายบริหารคือ การประพฤติออกนอกกรอบนโยบายหรือกระบวนการเพื่อวัตถุประสงค์ที่ไม่ถูกต้องตามกฎ เช่น ผลประโยชน์ของแต่ละบุคคลหรือการเสนอเงื่อนไขทางการเงินขององค์กรหรือสถานะที่มีการปฏิบัติตาม ผู้บริหารหรือสมาชิกของฝ่ายบริหารระดับสูง อาจ Override กระบวนการบริหารความเสี่ยงเพื่อเหตุผลหลายประการ เช่น

– เพิ่มการรายงานรายได้ หรือเพิ่มความสำเร็จ ให้ครอบคลุมในส่วนที่ไม่เกี่ยวข้อง
– เพิ่มการรายงานผลความสำเร็จ ให้พอกับงบประมาณจริง
– แสดงถึงการบรรลุเป้าหมาย เพื่อให้เกิดการจ่ายโบนัสตามผลการปฏิบัติงาน
– ปกปิดการไม่ปฏิบัติตามความต้องการของกฎหมาย ระเบียบ คำสั่ง

การ Override ของฝ่ายบริหารแสดงถึงการปฏิบัติของฝ่ายบริหารในการแยกตัวมาจากการกำหนดนโยบาย หรือกระบวนการเพื่อเป้าหมายที่ถูกต้องตามกฎหมาย การทำการ Override มักจะไม่ทำเป็นลายลักษณ์อักษรหรือเปิดเผย

ครั้งหน้าผมจะมาพูดถึงเรื่องบทบาทและการกำกับดูแลการบริหารความเสี่ยง โปรดติดตามต่อไปนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ วันนี้ผมจะมาเล่าต่อถึงการรายงานผลความเสี่ยงของผู้ตรวจสอบภายในว่า ภายหลังจากที่ผู้ตรวจสอบภายในได้ประเมินผล และทำการติดตามผลแล้ว ผู้ตรวจสอบภายในควรจะต้องรายงานผลต่อคณะกรรมการบริหารความเสี่ยง ซึ่งจะต้องรายงานในเรื่องใด และทำอย่างไรนั้น ผมจะนำเสนอต่อเลยนะครับ

กิจกรรมและขั้นตอนการบริหารใดที่มีจุดอ่อนที่ผู้ตรวจสอบภายในควรจะต้องรายงาน แม้ว่าไม่มีคำตอบที่เป็นสากลที่ชัดเจน แต่การเปรียบเทียบการบรรลุผลตามกิจกรรมและ/หรือผลลัพธ์ของแผนงานกับการปฏิบัติงานจริง จะช่วยชี้ประเด็นที่ผู้ตรวจสอบภายในสามารถรายงานศักยภาพการบริหารความเสี่ยงในระดับต่าง ๆ อย่างเป็นกระบวนการได้

ในการพิจารณาสิ่งจำเป็นในการติดต่อสื่อสาร และการรายงานผลการตรวจสอบภายในที่ผู้ตรวจสอบพึงปฏิบัติก็คือ การให้ข้อสังเกตที่มีนัยสำคัญต่อคุณภาพการบริหารความเสี่ยงทั้ง 8 ขั้นตอนอย่างเป็นกระบวนการ และให้คำแนะนำเพื่อสร้างคุณค่าเพิ่มในด้านการควบคุมการบริหารความเสี่ยง ที่ยังอาจไม่เหมาะสมที่ผู้รับการตรวจสอบในสายงานที่เกี่ยวข้องอาจนำไปใช้ลดจุดอ่อน และสร้างจุดแข็ง เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า การบริหารความเสี่ยงของผู้ที่เกี่ยวข้องในระดับต่าง ๆ สามารถก้าวสู่การบรรลุวัตถุประสงค์ และเป้าหมายที่กำหนดได้

ทั้งนี้ ผู้ตรวจสอบภายในจะต้องมั่นใจในศักยภาพ ในความเป็นผู้ตรวจสอบภายในที่มีความรู้ในกระบวนการบริหารความเสี่ยงในระดับต่าง ๆ อย่างแท้จริง มิใช่เพียงแต่ระบุจุดอ่อนของผู้ได้รับการตรวจสอบ แต่ไม่ได้ให้คำแนะนำที่ชัดเจนในการเพิ่มคุณค่าของกระบวนการบริหารความเสี่ยงในการควบคุมภายในที่เหมาะสม

หากมีข้อโต้แย้งหรือความเห็นที่แตกต่างระหว่างผู้ได้รับการตรวจสอบกับผู้ตรวจสอบ ความเห็นที่แตกต่างและข้อเสนอแนะของฝ่ายตรวจสอบภายใน ควรจะได้รับการบันทึกไว้ในรายงานการตรวจสอบและดำเนินการตามมาตรฐานการตรวจสอบของสมาคมผู้ตรวจสอบภายในสากลด้วย

ผู้ตรวจสอบภายในควรจะรายงานผลในเรื่องใดบ้าง
ข้อมูลที่สร้างจากกิจรรมการปฏิบัติงานจะถูกรายงานผ่านช่องทางปกติไปสู่หัวหน้างานทันที หัวหน้างานอาจสื่อสารไปสู่เบื้องบนตามลำดับในองค์กร เพื่อให้ข้อมูลสิ้นสุดที่บุคลากรที่สามารถปฏิบัติได้

ช่องทางเลือกของการติดต่อสื่อสารควรมีอยู่เพื่อการรายงานผลข้อมูลที่อ่อนไหว เช่น เรื่องผิดกฎหมาย ผิดระเบียบ คำสั่ง หรือการปฏิบัติที่ไม่เหมาะสม การพบข้อบกพร่องของการบริหารความเสี่ยงควรถูกรายงานที่เฉพาะต่อความรับผิดชอบของปัจเจกบุคคลเพื่อหน้าที่หรือกิจกรรมที่เกี่ยวข้อง แต่อย่างน้อยเพื่อผู้บริหารระดับที่เหนือกว่าบุคคลนั้น และแน่นอนว่าจะต้องรายงานตามสายการบังคับบัญชาด้วยเสมอ

เรามาดูกันต่อนะครับว่า การรายงานความเสี่ยงนั้นมีประโยชน์อย่างไรต่อการบริหารความเสี่ยงกันบ้าง
1. ทำให้คณะกรรมการขององค์กร มั่นใจว่าความเสี่ยงขององค์กรสอดคล้องกับกลยุทธ์ความเสี่ยงที่ได้รับอนุมัติ และพิจารณาได้ว่าหน้าที่การบริหารความเสี่ยงได้รับการปฏิบัติอย่างมีประสิทธิผล และช่วยในการติดตามที่สำคัญในกรณีที่จำเป็น

2. หัวหน้ากลุ่มต่าง ๆ และผู้บริหารระดับสูงสามารถบ่งชี้และเข้าใจความเสี่ยงที่เกิดขึ้น และข้อกำหนดกิจกรรมการลดความเสี่ยงที่มีประสิทธิผลในระดับกลยุทธ์และระดับปฏิบัติการ

3. หัวหน้ากลุ่มและผู้บริหารระดับสูงสามารถยืนยันได้ว่าการควบคุมความเสี่ยงที่สำคัญได้ถูกนำไปปฏิบัติและดำเนินการอย่างประสบความสำเร็จ และหลีกเลี่ยงความผิดพลาดและล้มเหลวต่าง ๆ ที่จะมีผลต่อการบรรลุวัตถุประสงค์ขององค์กร

ตัวอย่างเอกสารการรายงานความเสี่ยง
– ตารางความเสี่ยง (Risk Matrix)
ตารางความเสี่ยง คือ ทะเบียนความเสี่ยงที่ประกอบไปด้วยข้อมูลของแต่ละความเสี่ยง

ตัวอย่างตารางความเสี่ยง

– แผนภาพความเสี่ยง (Risk Map)
แผนภาพความเสี่ยงจัดทำขึ้นเพื่อแสดงความเสี่ยงแต่ละเรื่องไว้ด้วยกัน และแสดงภาพใหญ่ของความเสี่ยงทั้งหมดและความสำคัญแต่ละเรื่อง

แผนภาพความเสี่ยงเป็นเครื่องมือช่วยในการ
– แสดงการประเมินความเสี่ยงเชิงคุณภาพ
– แสดงตำแหน่งของความเสี่ยง
– สนับสนุนการตัดสินใจในระดับความสำคัญของความเสี่ยงในภาพรวม

การติดตามผลและการรายงานความเสี่ยง

– แผนผังความเสี่ยง
แผนผังความเสี่ยงแสดงความสัมพันธ์ระหว่างโอกาสเกิดและผลกระทบของความเสี่ยงที่บ่งชี้ได้ นอกจากนี้ยังสามารถให้ผู้บริหารใช้เป็นเครื่องมือสำหรับวัดผลและรายงานความเสี่ยงขององค์กร

องค์ประกอบสำคัญของการติดตามผล

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ในครั้งที่แล้วผมได้กล่าวถึงลักษณะและรูปแบบของการติดตามผลการตรวจสอบ (Monitoring) ว่ามีลักษณะอย่างไร และท่านผู้บริหาร ผู้ตรวจสอบ สามารถที่จะติดตามผลของการตรวจสอบนั้นได้จากทางใดบ้าง สำหรับวันนี้ผมจะกล่าวต่อถึงขอบเขตของความถี่่ในการประเมินผล ซึ่งการประเมินผลในเรื่องการบริหารความเสี่ยงมีความแตกต่างกันในเรื่องขอบเขตและความถี่ ขึ้นอยู่กับความมีนัยสำคัญของความเสี่ยง และความสำคัญของการตอบสนองความเสี่ยงและการควบคุมที่เกี่ยวข้องในเรื่องการจัดการความเสี่ยง

พื้นที่ที่มีความเสี่ยงและการตอบสนองสูงกว่ามีแนวโน้มที่จะถูกประเมินผลบ่อยกว่า การประเมินผลความสมบูรณ์ของการบริหารความเสี่ยง ซึ่งโดยทั่วไปมีความถี่ในความจำเป็นน้อยกว่าการประเมินค่าเฉพาะส่วน อาจถูกกระตุ้นโดยเหตุผลมากมาย กลยุทธ์หลัก หรือการเปลี่ยนแปลงเรื่องการบริหาร การเข้าถือสิทธิ์หรืออำนาจในการควบคุม การเปลี่ยนแปลงทางเศรษฐกิจหรือเงื่อนไขทางการเมือง หรือการเปลี่ยนแปลงในการปฏิบัติการหรือวิธีการในการประมวลผลข้อมูล

เมื่อการตัดสินใจเกิดขึ้น เพื่อใช้เป็นการประเึมินผลที่ครอบคลุมของการบริหารความเสี่ยงขององค์กร ความตั้งใจควรมุ่งในการสร้างวิธีการเพื่อจัดตั้งกลยุทธ์ด้วยกิจกรรมที่สำคัญ ขอบเขตการประเมินผลขึ้นอยู่กับประเภทของวัตถุประสงค์ที่ถูกวางไว้ ว่าเป็นวัตถุประสงค์ประเภทใด รวมถึงมีใครเป็นผู้ประเมินผล บ่อยครั้งการประเมินผลใช้รูปแบบของการประเมินค่าตนเอง บุคคลผู้ซึ่งรับผิดชอบต่อหน่วยเฉพาะหรือหน้าที่กำหนดความมีประสิทธิภาพของการบริหารความเสี่ยงสำหรับกิจกรรมของพวกเขาเหล่านั้น

ผู้ตรวจสอบภายในทำการประเมินผลให้เป็นส่วนหนึ่งของหน้าที่ปกติ หรือเป็นคำขอร้องพิเศษของผู้บริหารอาวุโส กรรมการหรือผู้ช่วยหรือผู้บริหารของฝ่าย เช่นเดียวกันผู้บริหารอาจใช้ประโยชน์ สูงสุดจากผู้ตรวจสอบภายนอกในการพิจารณาความมีประสิทธิภาพของการบริหารความเสี่ยง การรวมกันของความพยายามต่าง ๆ ถูกใช้ในการดำเนินการ อย่างไรก็ตามการบริหารกระบวนการประเมินก็เป็นสิ่งจำเป็น

ขั้นตอนการประเมินผล
การประเมินผลการบริหารความเสี่ยงเป็นขั้นตอนภายในตัวเอง ขณะที่วิธีการหรือเทคนิคมีความแตกต่าง ความมีระเบียบควรนำมาใช้ในขั้นตอน ด้วยพื้นฐานที่มีอยู่อย่างถาวรและไม่แยกจากกัน

ผู้ทำการประเมินต้องเข้าใจในแต่ละกิจกรรมขององค์กรและแต่ละส่วนประกอบของการบริหารความเสี่ยง ซึ่งอาจเป็นประโยชน์ต่อการมุ่งเน้นเป็นอันดับแรกว่าการบริหารความเสี่ยงทำหน้าที่ได้ตามวัตถุประสงค์ได้อย่างไร ซึ่งบางครั้งอาจหมายถึงระบบหรือการออกแบบขั้นตอน

ผู้ทำการประเมินวิเคราะห์การออกแบบขั้นตอนการบริหารความเสี่ยงและผลของการทดสอบการปฏิบัติงาน การวิเคราะห์นี้เป็นการเปรียบเทียบกับการจัดฉากของผู้บริหารสำหรับแต่ละส่วน ประกอบด้วยเป้าหมายสูงสุดของการกำหนดว่ากระบวนการบริหารความเสี่ยงกระทำไปนั้นมั่นใจได้ว่าเข้ากันได้กับวัตถุประสงค์ที่กำหนดขึ้นหรือไม่

กลวิธีในการตรวจสอบ
ความหลากหลายของวิธีการประเมินผลและเครื่องมือสามารถหามาได้ที่ใช้ในการตรวจสอบการบริหารความเสี่ยง จะขึ้นอยู่กับเป้าหมายการตรวจสอบเป็นหลัก อย่างไรก็ดี ประสิทธิภาพและประสิทธิผลของกระบวนการบริหารความเสี่ยงจะต้องถูกประเมินด้วยการทดสอบการปฏิบัติงานจริง ซึ่งอาจจะใช้เทคนิคการประเมินความเสี่ยงตามฐานการตรวจสอบความเสี่ยง Risk Based Internal Audit (RBIA) ที่เน้นทางด้าน Manual หรือเน้นควบคู่กันไปกับการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ Computer Assisted Audit Technic (CAAT) เช่น ใช้ IDEA หรือ ACL และ/หรือเทคนิคการตรวจสอบแบบ Around The Computer หรือ Throgh The Computer เป็นต้น

ในฐานะที่เป็นส่วนหนึ่งของวิธีการประเมินผล บางองค์กรเปรียบเทียบขั้นตอนการบริหารความเสี่ยงกับองค์กรอื่น ๆ เช่น องค์กรหนึ่งอาจวัดผลกระบวนการกับบริษัทอื่นด้วยชื่อเสียงที่ได้จากการบริหารความเสี่ยง การเปรียบเทียบนี้อาจกระทำได้โดยตรงกับบริษัทอื่นหรือธุรกิจอื่น ๆ องค์กรอื่น ๆ อาจให้ข้อมูลเชิงเปรียบเทียบ การระวังเป็นสิ่งจำเป็นเมื่อดำเนินการเปรียบเทียบ ต้องพิจารณาความแตกต่างซึ่งคงอยู่ในวัตถุประสงค์ ข้อเท็จจริงและโอกาส และส่วนประกอบของการบริหารความเสี่ยงทั้ง 8 ประการ เช่นเดียวกับข้อจำกัดที่เป็นธรรมชาติของการบริหารความเสี่ยงจำเป็นต้องนำมาใส่ใจ

การทำเอกสารการรายงานความเสี่ยง
ขอบเขตในเรื่องเอกสารของการบริหารความเสี่ยงแตกต่างไปตามขนาดขององค์กร ความซับซ้อนและปัจจัยที่คล้ายกัน องค์กรที่มีขนาดใหญ่กว่ามักเขียนนโยบายเป็นลายลักษณ์อักษร มีแผนผังของโครงสร้างองค์กร มีการเขียน Job Description คำแนะนำในการปฏิบัติการ แผนผังระบบข้อมูล และอื่น ๆ องค์กรที่มีขนาดเล็กกว่าจะมีความใส่ใจในเรื่องเอกสารน้อยกว่า

การบริหารความเสี่ยงหลาย ๆ ด้าน เป็นสิ่งไม่เป็นทางการและไม่มีเอกสาร แต่มีผลการปฏิบัติงานที่ดีและมีประสิทธิภาพสูง กิจกรรมเหล่านี้อาจถูกทดสอบในแบบเดียวกันจนเหมือนเป็นเอกสาร ข้อเท็จจริงคือส่วนประกอบของการบริหารความเสี่ยงไม่ได้เป็นลายลักษณ์อักษร ไม่ได้หมายความว่าไม่มีประสิทธิภาพหรือไม่สามารถประเมินผลได้ อย่างไรก็ตาม ระดับที่เหมาะสมของเอกสารมักทำให้การตรวจติดตามมีประสิทธิภาพและประสิทธิผล

ผู้ทำการประเมินอาจตัดสินใจทำเอกสารขั้นตอนการประเมินผล ผู้ทำการประเมินจะร่างจากเอกสารของการบริหารความเสี่ยงที่มีอยู่ ซึ่งเป็นส่วนเสริมให้กับเอกสารที่เพิ่มขึ้นพร้อมกันกับอธิบายเรื่องการทดสอบและวิเคราะห์การปฏิบัติงานในขั้นตอนการประเมินผล

ผู้บริหารเจตนาทำประกาศให้ภายนอกทราบเกี่ยวกับความมีประสิทธิภาพของการบริหารความเสี่ยง ซึ่งจะต้องพัฒนาและรักษาเอกสารเพื่อสนับสนุนการประกาศ ดังนั้น เอกสารจึงมีประโยชน์หากประกาศนั้นถูกท้าทายในภายหลัง

การรายงานการบริหารความเสี่ยง
รูปแบบรายงานที่นำเสนอนี้สามารถใช้เพื่ออธิบายความเสี่ยง รายงานควรนำเสนอแนวทางที่ใช้ในการรวบรวมข้อมูลความเสี่ยงและแนวทางการให้คะแนนที่ใช้ในการประเมินความเสี่ยง และควรอธิบายคุณค่าซ่อนเร้นหรือโอกาสที่ถูกบ่งชี้เพื่อช่วยเหลือในการที่ผู้บริหารจะมุ่งเน้นในข้อมูลความเสี่ยงโดยรวม

หลักในการจัดทำรายงานความเสี่ย
1. การจัดทำรายงานต้องทันเวลา กระชับ และอยู่ในรูปแบบที่ช่วยให้การติดตามผลและการควบคุมขององค์กรมีประสิทธิผล
2. รายงานเบื้องต้นควรเน้นที่การแสดงความเสี่ยงในภาพโดยรวม และกิจกรรมเพื่อลดความเสี่ยงในระดับองค์กร กระบวนการและโครงการ รายงานความเสี่ยงที่ทำเป็นปกติควรรายงานความเสี่ยงสำคัญที่เกิดขึ้นเป็นรายเดือน และรายงานสถานะความเสี่ยงในภาพรวมเป็นรายไตรมาส
3. เน้นการติดตามการจัดการความเสี่ยงหลัก ยกเว้น ในกรณีที่สภาพแวดล้อมต่าง ๆ แสดงให้เห็นว่าความเสี่ยงนั้นหมดไปแล้ว

การรายงานผลการบริหารความเสี่ยงและการควบคุม รวมทั้งการปรับปรุงแก้ไข
จุดอ่อนในการบริหารความเสี่ยงอาจครอบครอบคลุมจากหลายแหล่งรวมถึงกระบวนการการตรวจติดตามอย่างต่อเนื่อง การประเมินผลแยกต่างหากและบุคคลภายนอก คำว่า “จุดอ่อน” อาจจะหมายถึง ความบกพร่องที่นำมาสู่ความเสียหายของการบริหารแผนงานและโครงการต่าง ๆ ขององค์กร และยังหมายถึงสภาพภายในกระบวนการบริหารความเสี่ยง ดังนั้น จุดอ่อนที่ผู้ตรวจสอบภายในตรวจพบ อาจหมายถึง ศักยภาพของพนักงานที่อาจต้องมีการปรับปรุงแก้ไข เพื่อลดจุดอ่อน เพื่อช่วยเพิ่มความเป็นไปได้ซึ่งทำให้วัตถุประสงค์ขององค์กรบรรลุผล

แหล่งของข้อมูล
แหล่งที่ดีที่สุดของข้อมูลจากความบกพร่องในการบริหารความเสี่ยง คือ ตัวของการบริหารความเสี่ยงเอง

กิจกรรมการตรวจติดตามอย่างต่อเนื่องขององค์กร รวมถึงกิจกรรมทางการบริหารและการสั่งการผู้ใต้บังคับบัญชาทุก ๆ วัน การสร้างความเข้าใจลึกซึ้งจากผู้ที่เกี่ยวข้องโดยตรงในกิจกรรมขององค์กร ความเข้าใจลึกซึ้งนี้หาได้ในเวลาที่เป็นจริงและสามารถแยกแยะความบกพร่องได้อย่างรวดเร็ว แหล่งอื่นของความบกพร่องคือการประเมินผลที่แยกต่างหากของการบริหารความเสี่ยง การประเมินผลดำเนินการโดยผู้บริหาร ผู้ตรวจสอบภายใน หรือหน่วยงานอื่น ๆ ซึ่งสามารถเน้นพื้นที่ที่จะเป็นต้องปรับปรุง

หน่วยงานภายนอกเป็นผู้ให้ข้อมูลสำคัญบ่อย ๆ จากการทำงานในการบริหารความเสี่ยง ซึ่งรวมถึงลูกค้า คู่ค้า และผู้มีผลประโยชน์ร่วมที่ทำธุรกิจกับองค์กร ผู้ตรวจสอบภายนอกและผู้ดูแลกฎระเบียบ รายงานจากแหล่งภายนอกควรถูกพิจารณาอย่างระมัดระวังในเรื่องการตีความสำหรับการบริหารความเสี่ยงและควรมีการแก้ไขที่เหมาะสม

จากการประเมินและการติดตามผลการบริหารความเสี่ยง ผู้บริหาร ผู้ตรวจสอบต้องทำการรายงานการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยง โดยจะต้องรายงานเรื่องใด และอย่างไรนั้น ผมจะมาพูดคุยกันต่อในครั้งต่อไป โปรดติดตามนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ในส่วนของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร ผมจะมาเล่าสู่กันฟังในเรื่องของกระบวนการบริหารความเสี่ยง (COSO – ERM) ทั้ง 8 ประการ ซึ่งจะต่อกันด้วยระบบสารสนเทศและการติดต่อสื่อสาร (Information and Communication) ที่ได้กล่าวไปในครั้งที่แล้วเกี่ยวกับเรื่องของข้อมูล หรือสารสนเทศ สำหรับวันนี้จะกล่าวถึงการติดต่อสื่อสาร ไปติดตามต่อกันเลยนะครับ

การติดต่อสื่อสาร
การติดต่อสื่อสารเป็นธรรมชาติในระบบข้อมูล ดังที่เคยอธิบายแล้ว ระบบข้อมูลจะให้ข้อมูลกับคนที่เหมาะสม เพื่อให้ปฏิบัติงาน รายงานทางการเงินและความรับผิดชอบเชิงความร่วมมือ
แต่การติดต่อสื่อสารมักเกิดขึ้นในความหมายที่กว้าง การจัดการกับความคาดหวัง ความรับผิดชอบของแต่ละคน และกลุ่ม และเรื่องสำคัญอื่น ๆ

การติดต่อสื่อสารภายใน
ผู้บริหารติดต่อสื่อสารโดยตรง และเฉพาะเจาะจง ในเรื่องความคาดหวังเชิงพฤติกรรม และความรับผิดชอบของบุคคล

การสื่อสาร รวมถึงการให้ความกระจ่างในเรื่องปรัชญาการบริหารความเสี่ยงขององค์กร และวิธีการการแบ่งอำนาจหน้าที่ให้กระจ่าง การสื่อสารในเรื่องกระบวนการ และขั้นตอนการปฏิบัติควรเป็นไปในแนวทางเดียวกับวัฒนธรรมในเรื่องความเสี่ยง

การติดต่อสื่อสารควรมีประสิทธิภาพ
– มั่นใจว่ามีความรู้ในเรื่องความสำคัญ และความสัมพันธ์ของการบริหารความเสี่ยงที่มีประสิทธิภาพ
– ติดต่อสื่อสารเรื่องความเสี่ยงที่ยอมรับได้ และระดับความเสี่ยงที่ยอมรับได้
– ดำเนินการและสนับสนุนภาษาเกี่ยวกับความเสี่ยงโดยทั่วไป
– แนะนำบุคคลในเรื่องบทบาท และหน้าที่รับผิดชอบ เพื่อช่วยในการสนับสนุนในส่วนประกอบของการบริหารความเสี่ยง

บุคลากรทั้งหมดโดยเฉพาะผู้ที่มีความรับผิดชอบในการบริหารการเงิน และบริหารการจัดการ จำเป็นต้องได้รับข้อมูลจากผู้บริหารระดับสูง ซึ่งมีการจัดการด้านความเสี่ยงอย่างจริงจัง ความกระจ่างของข้อมูล และความมีประสิทธิภาพของการติดต่อสื่อสารมีความสำคัญ

บุคลากรควรรู้ว่าเมื่อไรสิ่งที่ไม่คาดหวังจะเกิดขึ้น ความตั้งใจต้องมอบให้ไม่เฉพาะต่อเหตุการณ์แต่ต้องใส่ใจสาเหตุด้วย ในกรณีนี้ระบบที่อ่อนแอถูกแยกแยะ และมีการกระทำเพื่อป้องกันไม่ให้เกิดซ้ำ เช่น การพบสินค้าคงคลังที่ไม่สามารถขายได้นั้น ไม่เพียงแต่ตัดบัญชีในรายงานการเงิน แต่เป็นการระบุว่าเหตุใดสินค้าคงคลังจึงไม่สามารถขายได้เป็นอันดับหนึ่ง

บุคลากรจำเป็นต้องรู้ว่ากิจกรรมต่าง ๆ เกี่ยวข้องกับงานของส่วนอื่น ๆ อย่างไร ความรู้เหล่านี้ช่วยให้เข้าใจปัญหา หรือระบุสาเหตุ และวิธีการแก้ไข และจำเป็นต้องรู้ว่าพฤติกรรมอะไรยอมรับได้ และยอมรับไม่ได้ มีการนำการเผยแพร่รายงานการฉ้อโกงในกรณีผู้จัดการอยู่ภายใต้ความกดดันในการบรรลุงบประมาณ หลอกลวงผลการปฏิบัติงาน

ตัวอย่างทั้งหลายนี้ ไม่มีใครบอกได้ว่าแต่ละคน ซึ่งรายงานผิดพลาดนั้น ทำผิดกฎหมายหรือไม่ถูกต้อง ซึ่งเน้นลักษณะสำคัญของการติดต่อสื่อสารข้อความภายในองค์กร ผู้จัดการที่แนะนำลูกน้องว่า “ทำให้ได้ตามงบประมาณ ผมไม่สนใจว่าจะใช้วิธีใด” สามารถส่งโดยไม่เป็นลายลักษณ์อักษรด้วยข้อความที่ผิด

พนักงานส่วนหน้าซึ่งติดต่อกับเรื่องการปฏิบัติการที่สำคัญทุก ๆ วัน จะอยู่ในตำแหน่งที่ดีที่สุดในการตระหนักถึงปัญหาที่พวกเขาพบเจอ เช่น พนักงานขายหรือผู้จัดการบัญชีอาจเรียนรู้ความจำเป็นของการออกแบบผลิตภัณฑ์เพื่อลูกค้าคนสำคัญ บุคลากรฝ่ายผลิตตระหนักถึงความสูญเสีย ในเรื่องความบกพร่องของกระบวนการ และบุคลากรด้านจัดซื้ออาจเผชิญกับสินน้ำใจที่ไม่เหมาะสมจาก Supplier

ข้อมูลจะถูกนำเสนอไปสู่ส่วนบน ดังนั้น จะต้องมีการเปิดช่องทางของการติดต่อสื่อสาร และทำให้เกิดความเต็มใจที่จะรับฟัง บุคลากรต้องมีความเชื่อว่า หัวหน้างานต้องการรู้เกี่ยวกับปัญหาและจะจัดการปัญหาอย่างมีประสิทธิภาพ ผู้จัดการเกือบทุกคนตระหนักว่าพวกเขาควรหลีกเลี่ยง “การทำลายผู้ส่งข้อความ”

แต่เมื่อเกิดความกดดันขึ้นทุกวัน พวกเขาไม่นำความคิดไปสู่คนที่นำพวกเขาไปสู่ปัญหา บุคลากรมีความไวต่อการรับรู้ในสัญลักษณ์ที่พูดออกมา และไม่ได้พูดออกมา ซึ่งหัวหน้าไม่มีเวลา หรือไม่สนใจที่จะจัดการกับปัญหา การรวมของปัญหาผู้จัดการที่ไม่รับความคิดเป็นคนสุดท้ายที่จะรู้ว่า ช่องทางการติดต่อสื่อสารถูกปิดลงอย่างมีประสิทธิภาพ

ช่องทางการติดต่อสื่อสาร ควรทำให้มั่นใจว่าบุคลากรสามารถสื่อสารบนพื้นฐานของความเสี่ยงข้ามหน่วยธุรกิจ กระบวนการ เช่น การเพิ่มขึ้นของคำติดชมของลูกค้าเกี่ยวกับการดูแลสินค้าโดยกลุ่มผู้บริการลูกค้า อาจจำเป็นต้องทำให้มีการพัฒนาการออกแบบผลิตภัณฑ์

ความล้มเหลวในการติดต่อสื่อสารเกิดขึ้นได้ เมื่อบุคคลหรือหน่วยต่าง ๆ ไม่เห็นด้วยหรือไม่มีเครื่องมือในการช่วยให้ข้อมูลสำคัญกับคนอื่น ๆ บุคคลากรอาจต้องระวังเรื่องความเสี่ยงที่สำคัญแต่ไม่สามารถรายงานผลได้

ส่วนมากสายการรายงานโดยปกติในองค์กรเป็นช่องทางที่เหมาะสมของการติดต่อสื่อสาร อย่างไรก็ตามในบางโอกาสสายที่แยกออกมาของการติดต่อสื่อสารก็จำเป็น ในกรณีเป็นเครื่องมือช่วยป้องกันการผิดพลาดในกรณีที่ช่องทางปกติไม่สามารถทำงานได้

บางองค์กรจัดช่องทางโดยตรงสำหรับผู้บริหารอาวุโส หัวหน้าผู้ตรวจสอบภายในหรือ ที่ปรึกษาทางกฎหมาย หากปราศจากช่องทางการสื่อสารที่เปิดเผย และความเต็มใจที่จะรับฟังแล้ว การไหลของข้อมูลจากล่างสู่บนอาจถูกปิดกั้น

ในทุกกรณีสิ่งสำคัญคือ การที่บุคลากรเข้าใจว่าจะไม่มีการโต้ตอบด้วยกำลังสำหรับการรายงานข่าวสารที่เกี่ยวข้องกัน ข้อความที่กระจ่างถูกส่งโดยกลไก ซึ่งสนับสนุนให้ลูกจ้างรายงานสิ่งผิดปกติของการปฏิบัติงาน และการดูแลของบุคลากรผู้รายงาน

ช่องทางการติดต่อสื่อสารที่สำคัญที่สุดอยู่ระหว่างผู้บริหารระดับสูง และกรรมการผู้บริหาร ผู้บริหารต้องรายงานความคืบหน้าในเรื่องต่าง ๆ ให้กรรมการได้รู้ เช่น ผลการปฏิบัติงาน การพัฒนา ความเสี่ยง และการทำงานของการบริหารความเสี่ยงขององค์กร รวมทั้งเรื่องต่าง ๆ ที่เกี่ยวข้อง

ยิ่งการติดต่อสื่อสารดีขึ้นมากเท่าใด ผู้บริหารที่มีประสิทธิภาพยิ่งต้องจัดการกับความรับผิดชอบที่ผิดพลาดยิ่งขึ้น ในฐานะเป็นผู้ประกาศเกี่ยวกับเรื่องสำคัญ และให้คำแนะนำคำปรึกษาและทิศทางการทำงาน ในกรณีนี้กรรมการควรสื่อสารกับผู้บริหารว่าต้องการข้อมูลอะไร และส่งข้อมูลย้อนกลับและแนวทางปฏิบัติไปให้

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ในวันนี้ มาต่อกันด้วยเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน ด้วยความแพร่หลายของการพึ่งพาระบบข้อมูลสารสนเทศ และการแพร่กระจายของข้อมูลข่าวสาร การควบคุมกิจกรรมควบคุมจึงมีความสำคัญและจำเป็นอย่างยิ่ง เพื่อทำให้เกิดความมั่นใจในความสมบูรณ์ ความถูกต้องของข้อมูลข่าวสาร ซึ่งการควบคุมระบบข้อมูลข่าวสารดังกล่าวนี้แบ่งได้เป็น 2 กลุ่ม คือ

1. การควบคุมทั่วไป (General Control) เป็นการควบคุมทั่วไปเพื่อรับประกันความเชื่อมั่นว่ามีการปฏิบัติหรือกระบวนการที่เหมาะสมอย่างต่อเนื่อง การควบคุมทั่วไปนี้รวมถึงการจัดองค์กร การปฏิบัติ การควบคุมการบริหารข้อมูลสารสนเทศ โครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ การบริหารความปลอดภัย การซื้อซอฟต์แวร์ การพัฒนาและการดูแลรักษา การควบคุมนี้สามารถประยุกต์ใช้ได้กับทุกระบบ จากระบบปฏิบัติการหลัก (Mainframe) จนถึงลูกค้าหรือผู้ใช้บริการไปจนถึงสภาพแวดล้อม การควบคุมรวมถึงกระบวนการ (Process) การติดตามและการรายงานกิจกรรมเทคโนโลยีข้อมูลสารสนเทศ

2. การควบคุมการใช้งาน (Application Control) เป็นการควบคุมเพื่อทำให้แน่ใจว่าการบันทึกข้อมูล การประมวลผลและการรายงานมีความสมบูรณ์ ความถูกต้อง เชื่อถือได้ของข้อมูล

เนื่องจากแต่ละหน่วยงานตั้งเป้าหมายและกระบวนการของตนเอง ซึ่งย่อมแตกต่างกัน ดังนั้นเป้าหมาย โครงสร้างและกิจกรรมควบคุมของแต่ละองค์กรย่อมแตกต่างกัน แต่ละองค์กรจะถูกบริหารจัดการจากบุคลากร สภาพแวดล้อม ความซับซ้อนของโครงสร้างองค์กรและวัฒนธรรมองค์กรที่แตกต่างกัน ซึ่งมีผลต่อการควบคุมภายใน (Internal Control)

การควบคุมการใช้งานออกแบบมาเพื่อให้มั่นใจในความสมบูรณ์ ความถูกต้อง การมอบอำนาจและความมีเหตุมีผลของการดักจับข้อมูลและการประมวลผล การใช้งานแต่ละชนิดอาจพึ่งพาการปฏิบัติที่มีประสิทธิภาพในการควบคุมระบบข้อมูลข่าวสาร เพื่อให้มั่นใจว่าได้ดักจับข้อมูลหรือดำเนินการกับข้อมูลเมื่อจำเป็น การสนับสนุนการใช้งานสามารถหามาได้และตรวจสอบความผิดพลาดได้อย่างรวดเร็ว

สิ่งหนึ่งที่สำคัญที่สุดที่ได้จากคอมพิวเตอร์คือความสามารถในการป้องกันความผิดพลาดจากการเข้าไปในระบบ รวมทั้งการตรวจและแก้ไขในทันที ในการทำเช่นนี้การควบคุมการใช้งานขึ้นอยู่กับการตรวจสอบระบบคอมพิวเตอร์ ซึ่งประกอบด้วยรูปแบบ ความมีเหตุมีผล และการตรวจสอบอื่น ๆ จากข้อมูลซึ่งอยู่ภายในระบบการใช้งานระหว่างทำการพัฒนา เมื่อออกแบบได้อย่างถูกต้องก็สามารถควบคุมการนำเข้าข้อมูลได้

องค์กรกับการตอบสนองความเสี่ยงและการควบคุม
เนื่องจากแต่ละองค์กรมีวัตถุประสงค์และวิธีการนำไปปฏิบัติที่แตกต่างกันในการสนองตอบความเสี่ยงและกิจกรรมการควบคุมที่เกี่ยวข้อง หากแม้ว่า 2 องค์กรมีวัตถุประสงค์เหมือนกันและมีการตัดสินใจเหมือนกันในการที่จะทำอย่างไรให้บรรลุผลสำเร็จ แต่กิจกรรมการควบคุมอาจมีความแตกต่างกัน แต่ละองค์กรถูกบริหารโดยคนซึ่งใช้การตัดสินของแต่ละคนส่งผลต่อการควบคุมภายใน ยิ่งไปกว่านี้การควบคุมสะท้อนสภาพแวดล้อมและอุตสาหกรรมในแง่การปฏิบัติในองค์กร

สภาพแวดล้อมในแง่ขององค์กรจัดการกับผลสะท้อนของความเสี่ยงซึ่งถูกเปิดเผยและอาจนำเสนอรายงานเชิงวัตถุประสงค์ที่ไม่เหมือนใคร หรือกฎหมายพิเศษ หรือความต้องการของกฎระเบียบ เช่น โรงงานผลิตภัณฑ์เคมีอาจบริหารความเสี่ยงของสภาพแวดล้อมได้มากกว่าองค์กรที่ให้บริการ

ความซับซ้อนขององค์กรและธรรมชาติและกรอบของกิจกรรมส่งผลต่อกิจกรรมควบคุมขององค์กร องค์กรที่ซับซ้อนและมีกิจกรรมที่หลากหลายอาจเผชิญกับเรื่องของการควบคุมที่ยากกว่าองค์กรธรรมดาที่มีกิจกรรมที่หลากหลายน้อยกว่า องค์กรที่มีการปฏิบัติแบบกระจายอำนาจและมุ่งเน้นความเป็นเอกเทศและนวัตกรรม นำเสนอเหตุการณ์การควบคุมที่แตกต่างกว่าองค์กรที่มีการรวมศูนย์อย่างมาก ปัจจัยอื่น ๆ ซึ่งมีอิทธิพลต่อความซับซ้อนขององค์กรและธรรมชาติของการควบคุมรวมถึงสถานที่ตั้ง การกระจายทางประชากร การขยายตัวและปรับแต่งการปฏิบัติ และวิธีการประมวลผลข้อมูล

ปัจจัยต่าง ๆ ซึ่งส่งผลต่อกิจกรรมควบคุมขององค์กรทั่วไป จำเป็นต้องออกแบบเพื่อให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ขององค์กร

องค์ประกอบที่สำคัญของกิจกรรมการควบคุม

 

บทเรียนของการสั่งระงับ 76 โครงการลงทุนที่มาบตาพุด กับการพิจารณา ผู้มีผลประโยชน์ร่วม ระดับชาติ (Stakeholders)

จากกรณีที่ศาลปกครองมีคำสั่งคุ้มครองชั่วคราวกับ 76 โครงการที่รัฐบาลจะดำเนินการที่มาบตาพุด ซึ่งส่งผลกระทบต่อสิ่งแวดล้อมนั้น นายอภิสิทธิ์ เวชชาวีวะ นายกรัฐมนตรี ระบุว่า จะยื่นอุทธรณ์ในส่วนของโครงการที่ได้อนุญาตไปแล้วให้เดินต่อไปได้ ส่วนโครงการที่อยู่ในกระบวนการอนุมัติจะชะลอไว้ก่อน จนกว่าศาลจะมีความชัดเจน และอยากให้ศาลวินิจฉัยคดีทั้งหมดโดยเร็ว เพราะต้องการแนวทางปฏิบัติที่ชัดเจน

ในคำวินิจัยนี้ ศาลเห็นว่าบรรดาโครงการใด ๆ ก็ตามที่ต้องทำการวิเคราะห์ผลกระทบสิ่งแวดล้อม ศาลก็จะใช้มาตรการชั่วคราว เพื่อระงับโครงการเหล่านี้ไว้ เพื่อให้มีแนวทางที่ชัดเจนในการปฏิบัติตามมาตรา 67

แต่สิ่งที่รัฐบาลยืนยัน คือ รัฐบาลปฏิบัติตามมาตร 67 อยู่แล้ว และสิ่งที่เดินหน้าไปเป็นโครงการที่เห็นว่าไม่มีผลกระทบอย่างรุนแรงต่อชุมชน โดยอาศัยผลการศึกษาวิเคราะห์ผลกระทบสิ่งแวดล้อมเป็นเกณฑ์กำหนดว่า เรื่องไหนรุนแรงหรือไม่รุนแรง

รัฐบาลอยากได้ข้อยุติโดยเร็วว่า ความจริงแนวปฏิบัติเป็นอย่างไร เพราะถ้าไม่ได้ข้อยุติโดยเร็วจะเป็นปัญหาความไม่แน่นอน และมีผลกระทบต่อความเชื่อมั่นของนักลงทุน…ฯลฯ

ความคิด ความเข้าใจ ในการบริหารความเสี่ยงแบบบูรณาการ โดยคำนึงถึงสังคม และ Stakeholder ยิ่งกว่าการพิจารณาและตัดสินใจจากกลุ่มผู้มีผลประโยชน์เดียว เป็นเรื่องสำคัญยิ่งยวดต่อการเติบโตอย่างยั่งยืน ตามหลัก CG

กรณีข้างต้น ผมขอร่วมออกความคิดเห็นบางประการ ในมุมมองของ Stakeholders ทั้งในประเทศและต่างประเทศ สำหรับผมเองขอให้ข้อสังเกต ในมุมมองของประชาชนคนไทยคนหนึ่ง ที่อยู่ในสังคม และเกี่ยวข้องกับ Stakeholders ในมุมมองต่าง ๆ ดังนี้

หากผู้ที่เกี่ยวข้อง เช่น คณะกรรมการสิ่งแวดล้อมแห่งชาติ เลขาธิการสำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม (สผ.) รมว.ทรัพยากรธรรมชาติและสิ่งแวดล้อม (พม.) รมว.อุตสาหกรรม รมว.พลังงาน รมว.คมนาคม รมว.สาธารณสุข และการนิคมอุตสาหกรรมแห่งประเทศไทย (กนอ.) สมาคมต่อต้านสภาวะโลกร้อน สมาคมสมัชชาองค์กรเอกชนด้านการคุ้มครอง สิ่งแวดล้อมและอนุรักษ์ทรพัยากรธรรมชาติ ชาวบ้านที่อาศัยอยู่ในเขตนิคมอุตสาหกรรมมาบตาพุด จ. ระยอง และศาลปกครองกลาง และ….

ซึ่งเรียกรวม ๆ กันว่าเป็น Stakeholders หรือผู้มีผลประโยชน์ร่วม ของการก่อสร้างอุตสาหกรรม 76 โครงการ เป็นเงิน 4 แสนล้านบาท นั้น หากผู้ที่เกี่ยวข้องพิจารณาเพียงมุมมองของตนเอง (Individual Perspective) หรือเพียงมุมมองเดียว โดยไม่ได้พิจารณามุมมองอื่น ๆ ตามหลัก Corporate Governance หรือ CG และในมุมมองของส่วนรวม และสังคม

ทุกกลุ่มตามที่กล่าวข้างต้น ก็มีความมั่นใจในมุมมองของตนเองเป็นหลักว่า ถูกต้องแล้ว ปัญหาที่ตามมาของการระงับ 76 โครงการ เป็นเงินมหาศาลถึง 4 แสนล้าน ที่มีผลกระทบต่อความเชื่อมั่นของนักลงทุน ทั้งต่างประเทศและภายในประเทศ ความเสียหายจากการล่าช้าของโครงการ ผลกระทบที่ตามมาของการขาดความเชื่อมั่นของนักลงทุน และความเชื่อมั่นต่อประเทศไทยโดยรวม +++ นั้น มีมากมายมหาศาล เกินกว่าที่จะคำนวนเป็นจำนวนเงิน เพียงที่เกิดขึ้นเฉพาะ 76 โครงการ 4 แสนล้านบาทได้

ทั้งนี้เพราะ ต้นทุนจากการวิเคราะห์และพิจารณาเพียงมุมมองเดียว โดยไม่คำนึงถึงองค์ประกอบอื่น ๆ ในสังคม ที่มีกลุ่มของผู้มีผลประโยชน์ร่วมหลายกลุ่ม เช่น ผลกระทบต่อการสร้างรายได้ประชาชาติ ผลกระทบต่อการสร้างแรงงาน สร้างรายได้ ให้กับประชาชนในสังคมในอนาคต++ ซึ่งมีผลกระทบตามมาอย่างมากมาย ทั้งที่เป็นตัวเงิน และไม่เป็นตัวเงิน น่าจะมีมากมายมหาศาล และน่าจะเกินกว่าระดับความเสี่ยงที่ประเทศ หรือสังคมยอมรับก็ได้นะครับ

ความเสี่ยง และความเสียหายในระดับที่ประเทศชาติ และ/หรือองค์กรจะยอมรับได้นั้น เรียกกันในภาษาการบริหารความเสี่ยงว่า Risk Appetite และ Risk Tolerance ซึ่งผมได้อธิบายไว้ในหัวข้อที่เกี่ยวข้อง พร้อมกับรูปภาพไปพอสมควรแล้วนะครับ

ผลประโยชน์ของประเทศชาติ และสังคม โดยรวม มีความสำคัญอย่างยิ่งยวดต่อความสำคัญของการบริหารทุกระดับ ของกระบวนการจัดการ  ตามหลักการบริหารยุคใหม่ ที่ใช้หลัก GRC เป็นสำคัญ

ผมกำลังพยายามจะพูดว่า การบริหารความเสี่ยงเชิงรุก โดยการมองอนาคตขององค์กรและประเทศ ไปข้างหน้าอย่างเป็นระบบ และเป็นกระบวนการนั้น ต้องอาศัยความเข้าใจในหลักการของ COSO – Enterprise Risk Management ซึ่งเป็นกรอบการบริหารความเสี่ยง ที่อาจเรียกได้ว่าเป็น Good หรือ Best Practice ที่นิยมเรียกกัน และนำไปปฏิบัติใช้กันทั่วโลก ในทุกระดับของการบริหาร และการจัดการ ทั้งด้านเศรษฐกิจ การเงิน ความมั่นคงในระดับต่าง ๆ ทั้งด้าน IT และ Non – IT ซึ่งมีเรื่องที่ผู้บริหารควรจะทำความเข้าใจ และน่าจะนำไปประยุกต์ใช้ในการบริหารการจัดการระดับชาติ อย่างมีนัยสำคัญด้วย

ลองมาช่วยสรุปกันเร็ว ๆ นะครับว่า กรณีมาบตาพุด มีหน่วยงานต่าง ๆ และบุคลากรต่าง ๆ ที่เกี่ยวข้องกับการตัดสินใจ ตั้งแต่การฟ้องร้อง ไปจนถึง การระงับชั่วคราว มิให้มีการก่อสร้างเพิ่มเติม ทั้ง 76 โครงการ นั้น ได้พิจารณาในมุมมองของการบริหารความเสี่ยง แบบสอดประสานและบูรณาการ (Alignment and Integration Management) หรือไม่

หากผู้ที่เกี่ยวข้อง พิจารณาผลประโยชน์ของสังคม และผู้มีผลประโยชน์ร่วม ตามหลักการของ CG + ITG + GRC ซึ่งผมได้เคยอธิบายไว้ในหัวข้อต่าง ๆ ในเว็บนี้แล้วนั้น ก็จะพบว่า การพิจารณาของผู้ที่เกี่ยวข้อง ในกรณีที่เกิดขึ้น เท่าที่ผ่านมา มิใช่เฉพาะในกรณีมาบตาพุดนี้เท่านั้น ส่วนใหญ่จะพิจารณา ให้น้ำหนัก และตัดสินใจในมุมมอง ๆ เดียว เป็นสำคัญ โดยให้น้ำหนักและสนใจผลกระทบต่อผู้มีผลประโยชน์ร่วม หรือ Stakeholders หรือสังคม ทั้งภายนอกและภายในประเทศ ค่อนข้างน้อยมาก หรือบางกรณี แทบไม่พิจารณาในมุมมองของ Stakeholders ด้วยซ้ำไป

ผมมีภาพที่ได้ทำขึ้นในวันนี้ เพื่อใช้เป็นคำอธิบายแทนตัวอักษรหลายพันคำ เพียงเพื่อแสดงให้กับผู้ที่เกี่ยวข้องได้พิจารณาว่า หากเราต้องพิจารณาผลประโยชน์ของสังคม ซึ่งเป็นผลประโยชน์ของประเทศชาติ และทุกกลุ่มของผู้มีผลประโยชน์ร่วม แทนการพิจารณาเพียงมุมมองหนึ่งมุมมองใด หรือให้น้ำหนักมุมมองหนึ่งมุมมองใด อย่างไม่ได้ดุลยภาพเท่าที่ควร ผลที่เกิดต่อเป้าประสงค์ ระดับต่าง ๆ ของชาติ และสังคม จะเป็นเช่นใด

ความโปร่งใส และการปฎิบัติโดยเท่าเทียมกันของสังคม ในประเทศ จะนำไปสู่ความร่วมมือ ด้วยความเข้าใจ ด้วยความเต็มใจ เพื่อการขับเคลื่อนเป้าประสงค์ในระดับองค์กร และเป้าประสงค์ในระดับประเทศ

ความยุติธรรมที่สังคมในชาติ ต่างพากันเรียกร้อง ในกลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ จะเกิดขึ้นได้ยาก หากคนในสังคมนั้น ต่างพิจารณาผลประโยชน์ภายในกลุ่มของตนเองที่ต้องเป็นไปตามเป้าประสงค์ในกลุ่มของตนเท่านั้น โดยไม่พิจารณาถึงกลุ่มอื่น ๆ ที่มีมุมมอง และมีเป้าประสงค์ที่แตกต่างกัน

หากทุกคน หรือส่วนใหญ่ในสังคมขาดจิตสำนึก (Conscious) ที่แสดงถึงความรับผิดรับชอบภายในจิตใจของตนเอง จากจิตวิญญาณ (Spiritual) ที่มุ่งมั่น และคำนึงถึงผลประโยชน์ของสังคมในชาติ โดยรวม แนวการพิจารณาและตัดสินใจ ในเรื่องหนึ่งเรื่องใด ก็จะไม่พิจารณาเพียงมุมมองเดียวเป็นอันขาด เพราะการพิจารณาดังกล่าว จะนำไปสู่ความแตกแยกทางความคิด แตกแยกทางการกระทำ และนำไปสู่ความไม่เข้าใจกันของสังคมภายในชาติในที่สุด

องค์กรและประเทศชาติ ต้องการผู้รู้ที่เข้าใจการบริหารภาพแบบสอดประสานและบูรณาการ เพื่อผลประโยชน์ของสังคมและคนในประเทศชาติโดยรวม ดังนั้น ผู้บริหารในทุกองค์กร และผู้บริหารในระดับชาติ โดยเฉพาะอย่างยิ่งผู้ที่เกี่ยวข้องกับ การให้ความยุติธรรม การให้ความโปร่งใส การมีความรู้ มีศักยภาพ ในงานที่ตนทำ โดยการพัฒนาตนเองอย่างสม่ำเสมอ การมีความรับผิดชอบ ในภาระหน้าที่ที่ตนเองดูแล ถึงแม้จะไม่ได้ปฏิบัติโดยตรง ก็คงต้องรับผิดชอบ (Accountability) ในผลของงานที่เกิดขึ้น

รวมทั้ง การมีจิตสำนึกที่ต้องการสร้างคุณค่าเพิ่ม โดยการบริหารกลยุทธ์ ในระดับองค์กรและระดับประเทศ เพื่อให้เกิด Long Term Value Creation ภายใต้หลักการปฏิบัติโดยเท่าเทียมกัน และภายใต้การดูแลสังคมและสิ่งแวดล้อมที่เหมาะสม ที่ได้ดุลยภาพและสัมพันธ์กับผู้มีผลประโยชน์ร่วมในสังคม

หากประเทศเราสามารถทำได้ในทางปฏิบัติที่เป็นรูปธรรมจริง ๆ ประเทศไทยเราจะได้ประโยชน์โดยตรงจากความเชื่อมั่น เพื่อสร้างคุณค่าเพิ่มให้กับผู้ที่เกี่ยวข้องอย่างเท่าเทียมกันและยอมรับได้ในที่สุดนะครับ

ข้อสำคัญก็คือ ผู้นำในระดับองค์กร และในระดับชาติ ควรมีความรู้ ความเข้าใจในหลักการของ GRC – Governance + Risk Management + Compliance ซึ่งพิจารณาว่าเป็น Integrity – Driven Performance ตามที่ได้กล่าวในหัวข้อต่าง ๆ มาแล้ว อย่างแท้จริง

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

วันนี้เรายังคงเล่าสู่กันฟังในเรื่องของการตอบสนองความเสี่ยง ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการตามหลักของ COSO – ERM โดยเริ่มตั้งแต่ 1.สภาพแวดล้อมภายในองค์กร 2.การกำหนดวัตถุประสงค์ 3.การระบุเหตุการณ์ 4.การประเมินความเสี่ยง 5.การตอบสนองความเสี่ยง 6.กิจกรรมควบคุม 7.ระบบสารสนเทศและการติดต่อสื่อสาร 8.การติดตามและประเมินผล

โดยในครั้งที่แล้วผมได้พูดถึงแนวทางในการกำหนดกลยุทธ์ในการจัดการความเสี่ยง ครั้งนี้เรามาต่อกันถึงโอกาสในเงื่อนไขของการตอบสนองความเสี่ยงกันเลยดีกว่าครับ

ในการประเมินผลเงื่อนไขการตอบสนอง ผู้บริหารพิจารณาผลที่เกิดขึ้นจากความเป็นไปได้และผลกระทบของความเสี่ยง และจะต้องเข้าใจว่าสิ่งตอบสนองอาจส่งผลกระทบต่อความเป็นไปได้และผลกระทบต่างกัน

ขีดความสามารถในการตอบสนองต่อการประเมินค่าของความเป็นไปได้และผลกระทบอาจพิจารณาถึงเหตุการณ์ในอดีตและแนวโน้มและเหตุการณ์ในอนาคต ในการประเมินทางเลือกของการตอบสนอง

ผู้บริหารกำหนดผลกระทบที่ใช้หน่วยในการวัดเหมือนกันสำหรับวัตถุประสงค์และความเสี่ยงในฐานะที่ถูกสร้างขึ้นมา ในส่วนประกอบของการประเมินค่าความเสี่ยงการแยกแยะเหตุการณ์ เป็นการอธิบายว่าการจัดการความเสี่ยงขององค์กรแยกแยะเหตุการณ์ ซึ่งมีผลกระทบต่อความสำเร็จของวัตถุประสงค์ขององค์กรทั้งในด้านบวกและด้านลบได้อย่างไร เหตุการณ์ที่ส่งผลกระทบทางด้านบวกจะเป็นตัวแทนของโอกาสและจะถูกส่งกลับไปสู่กลยุทธ์หรือขั้นตอนการตั้งวัตถุประสงค์

เช่นเดียวกันโอกาสที่มีศักยภาพสำหรับผลลัพธ์สำคัญอาจถูกแยะแยะเมื่อมีการพิจารณาการตอบสนองความเสี่ยง ผู้บริหารอาจแยกแยะการตอบสนองที่แปลกใหม่ ซึ่งในขณะที่พอเหมาะกับกลุ่มของการตอบสนอง แล้วอาจจะยังใหม่ต่อองค์กรหรืออุตสาหกรรม โอกาสเช่นนี้อาจครอบคลุมเมื่อเงื่อนไขการตอบสนองที่มีอยู่มาใกล้ถึงขีดจำกัดของประสิทธิภาพ และเมื่อการทำให้ดีขึ้นมีลักษณะเป็นการเปลี่ยนแปลงเล็กน้อยให้เกิดกับผลกระทบของความเสี่ยงหรือความเป็นไปได้ เช่น การตอบสนองอย่างมีความคิดสร้างสรรค์โดยบริษัทประกันรถยนต์ที่มีต่ออุบัติเหตุจำนวนมากที่เกิดบนถนนที่เป็นทางแยก บริษัทประกันภัยจึงให้ทุนเพิ่มเติมโดยการติดสัญญาณไฟเพื่อเป็นการลดการเคลมอุบัติเหตุและทำให้เกิดกำไรเพิ่มขึ้น

การตอบสนองที่ถูกเลือก
ทันที่ที่ประเมินผลของทางเลือกในการตอบสนอง ผู้บริหารตัดสินใจว่าจะจัดการความเสี่ยงได้อย่างไร การจัดการความเสี่ยงที่มีประสิทธิภาพคือการที่ผู้บริหารเลือก หรือได้รวมการตอบสนองอันนำมาซึ่งความเป็นไปได้ของความเสี่ยงและผลกระทบที่คาดการณ์ไว้ภายในระดับความเสี่ยงที่ยอมรับได้

การเลือกการตอบสนองอาจจำเป็นต้องพัฒนาแผนปฏิบัติเพื่อให้บรรลุการตอบสนองและการวัดความเสี่ยงบนพื้นฐานของความเสี่ยงส่วนที่เหลือ ยิ่งกว่านั้นกระบวนการจำเป็นต้องทำให้ผู้บริหารมั่นใจในการนำไปปฏิบัติอย่างมีประสิทธิภาพ กระบวนการเหล่านี้นำเสนอในการควบคุมกิจกรรม

ผู้บริหารต้องระลึกไว้ว่าความเสี่ยงส่วนที่เหลือบางระดับจะคงอยู่เสมอ ไม่เพียงแต่เพราะว่าทรัพยากรถูกจำกัด แต่เป็นเพราะความไม่แน่นอนของอนาคตและข้อจำกัดตามธรรมชาติในทุก ๆ กิจกรรม

กระบวนการเน้นย้ำ
การประเมินทางเลือกที่จะตอบสนองต่อความเสี่ยงธรรมชาตินั้น ต้องการการพิจารณาเรื่องที่อาจเป็นผลมาจากการตอบสนองตัวเอง ซึ่งอาจเป็นการกระตุ้นกระบวนการเน้นย้ำก่อนที่ผู้บริหารจะตัดสินใจในขั้นสุดท้าย ซึ่งพิจารณาความเสี่ยงที่มีผลมากจากการตอบสนอง รวมถึงอาจไม่ได้ปรากฏให้เห็นได้ทันที

สำหรับกระบวนการที่ 5 ในการตอบสนองความเสี่ยงยังไม่จบเท่านี้ โปรดติดตามต่อในครั้งหน้านะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ เข้าเดือน 8 ของปี 2009 นี้แล้ว เวลาช่างผ่านไปเร็วเสียจริง ๆ ผมคิดว่ายังมีอะไรอีกหลายอย่างที่อยากจะบอกเล่าสู่กันฟังจากความรู้ และประสบการณ์ที่ผมมีอยู่ แต่กลับมีเวลาเพียงน้อยนิดในการ update เนื้อหาในแต่ละหมวดหมู่ ซึ่งผมก็พยายามอย่างเต็มที่ในการนำเสนอข้อมูลที่คิดว่าน่าจะเป็นประโยชน์ต่อท่านผู้บริหาร และผู้สนใจเรื่องราวทางด้าน IT Governance

อย่างไรก็ตาม ผมจะพยายามจัดสรรเวลาเพื่อแบ่งปันข้อมูล และนำเสนอเนื้อหาที่มีสาระประโยชน์ ขอให้ท่านผู้บริหารและผู้ที่สนใจ หมั่นติดตาม itgthailand.com แห่งนี้อย่างสม่ำเสมอ โดยเฉพาะแนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ผมได้นำเสนอต่อเนื่องมาถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ซึ่งเป็นหัวใจสำคัญของการบริหารความเสี่ยง และในกระบวนการที่ 5 ที่นำเสนออยู่นี้เป็นเรื่องของการตอบสนองต่อความเสี่ยง

จากครั้งที่แล้ว ผมได้นำเสนอกลยุทธ์ในการตอบสนองความเสี่ยง ซึ่งแบ่งเป็น 4 ประเภท ในวันนี้ผมมีแนวทางในการกำหนดกลยุทธ์ในการจัดการกับความเสี่ยงมานำเสนอครับ

แนวทางในการกำหนดกลยุทธ์ในการจัดการความเสี่ยง
กลยุทธ์การจัดการความเสี่ยงถูกกำหนดขึ้นเพื่อลดระดับของความเสี่ยง (ทั้งผลกระทบและโอกาสเกิด) ให้เป็นไปตามระดับความเสี่ยงที่ยอมรับได้(Risk Tolerance) โดยผู้บริหารควรพิจารณาทั้งผลจากการดำเนินตามกลยุทธ์ที่มีอยู่ในปัจจุบันว่า สามารถจัดการกับความเสี่ยงหนึ่ง ๆ หรือกลุ่มของความเสี่ยงได้มากน้อยเพียงใดก่อนที่จะพิจารณาถึงกลยุทธ์การจัดการเพิ่มเติม

ทั้งนี้ ในส่วนของการบริหารความเสี่ยงสำหรับความเสี่ยงที่สำคัญ องค์กรต้องพิจารณาการตอบสนองจากช่วงของประเภทความเสี่ยง ซึ่งทำให้ลงลึกพอที่จะเลือกการตอบสนองและท้าทายสถานะที่เป็นอยู่

ในการกำหนดการตอบสนองที่มีศักยภาพ ผู้บริหารควรพิจารณาสิ่งต่าง ๆ ดังต่อไปนี้
1. การประเมินผลกระทบการตอบสนองความเสี่ยงจากความเป็นไปได้ และผลกระทบของความเสี่ยงและเงื่อนไขการตอบสนองใดที่ไปในทิศทางเดียวกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร

2. การประเมินค่าต้นทุนกับประโยชน์ของการตอบสนองความเสี่ยง และโอกาสที่เป็นไปได้ที่จะบรรลุวัตถุประสงค์องค์กรในการข้ามไปจัดการกับความเสี่ยงเฉพาะเจาะจง

เนื่องจากทรัพยากรส่วนใหญ่มีจำกัด องค์กรจึงมักพิจารณาต้นทุนและผลประโยชน์ของเงื่อนไขทางเลือกการตอบสนองความเสี่ยง การวัดผลในเรื่องต้นทุนและผลประโยชน์ของการสร้างเงื่อนไขการตอบสนองความเสี่ยง ได้ถูกสร้างขึ้นมาพร้อมกับระดับที่แตกต่างของความถูกต้อง การจัดการกับด้านต้นทุนของสมการจะง่ายกว่า ซึ่งในหลายกรณีสามารถวัดในเชิงปริมาณได้อย่างถูกต้องยุติธรรม ต้นทุนทางตรงทั้งหมดรวมกับการจัดการการตอบสนอง และต้นทุนทางอ้อมที่สามารถวัดผลได้จะถูกพิจารณาเสมอ ๆ บางองค์กรได้รวมเอาต้นทุนทางโอกาสรวมกับการใช้ทรัพยากร

อย่างไรก็ตาม การวัดต้นทุนเป็นสิ่งที่ทำได้ยาก การวัดปริมาณเวลาและความพยายามหรือการจัดการกับปัจจัยภายในเป็นสิ่งที่ทำได้ยาก ดังเช่น การยอมรับของผู้บริหารในการประเมินค่าทางจริยธรรม หรือการวัดความสามารถของพนักงานที่เป็นผู้ดำเนินการแยกแยะเหตุการณ์และประเมินค่าความเสี่ยง และอาจเป็นความยากที่จะจับข้อมูลข่าวสารภายนอก เช่น ความคิดสร้างสรรค์ทางการตลาดในการค้นหาความชอบของลูกค้า

ในด้านผลประโยชน์อาจรวมถึงคุณค่าทางวัตถุ เช่น ผลประโยชน์ของโปรแกรมการอบรมที่มีประสิทธิภาพ ปรากฏให้เห็นโดยทั่วไปแต่ยากต่อการวัดปริมาณ แม้กระนั้นปัจจัยภายในที่แท้จริงสามารถพิจารณาได้ในแง่การประเมินค่าผลประโยชน์แฝง ความเป็นไปได้ของเหตุการณ์ที่ไม่ปรารถนาให้เกิดขึ้น หรือเหตุการณ์ทางธรรมชาติ และปฏิบัติการและการเงินที่มีประสิทธิภาพมีผลกระทบต่อเหตุการณ์อาจเกิดขึ้นกับองค์กร

ในขณะที่ความท้าทายในการประเมินค่าต้นทุนและผลประโยชน์ยังคงอยู่ การวิเคราะห์ต้นทุน ผลประโยชน์ ควรดำเนินไปในระดับที่เพียงพอที่จะประเมินผลการตอบสนองความเสี่ยงจากพื้นฐานความเสี่ยงของแต่ละคน หรือจากประวัติที่ผ่านมา บางองค์กรอาจเลือกที่จะประเมินค่าการตอบสนองความเสี่ยงในแง่ของความต้องการเพิ่มทุน ตัวอย่างเช่น จุดคุ้มทุน หรือต้นทุน ณ จุดเสี่ยง และอาจพิจารณาในแง่เงินเฟ้อ การลดดอกเบี้ย และการวิเคราะห์ความอ่อนไหว

3. ประเมินโอกาสที่เกิดขึ้นจากการดำเนินการตามกลยุทธ์การจัดการความเสี่ยง
ความเสี่ยงที่เป็นธรรมชาติถูกวิเคราะห์และประเมินการตอบสนอง ด้วยเจตนาของการบรรลุระดับความเสี่ยงส่วนที่เหลือให้อยู่ในระดับความเสี่ยงที่ยอมรับได้ หลาย ๆ สิ่งตอบสนองอาจทำให้ความเสี่ยงส่วนที่อยู่ในระดับความเสี่ยงที่ยอมรับได้ และบางครั้งการรวมกันของสิ่งตอบสนองทำให้เกิดผลลัพธ์สูงสุด เช่นเดียวกันกับสิ่งตอบสนองจะส่งผลกระทบต่อความเสี่ยงของเหตุการณ์แฝงหลายเหตุการณ์ เนื่องจากการตอบสนองความเสี่ยงอาจทำให้เกิดความเสี่ยงมากมาย ผู้บริหารอาจค้นพบได้ว่าการกระทำที่เพิ่มขึ้นมาไม่ได้ถูกรับประกัน กระบวนการที่มีอยู่อาจเพียงพอหรือจำเป็นต้องปฏิบัติให้ดีกว่า ดังนั้นผู้บริหารจะพิจารณาว่าการตอบสนองที่แยกกันหรือรวมกันจะโต้ตอบกับผลกระทบของเหตุการณ์แฝงได้อย่างไร

หลังจากได้ทำการประเมินเพื่อกำหนดกลยุทธ์การจัดการความเสี่ยงที่มีประสิทธิผลจากแนวทางที่ได้กล่าวมาแล้วข้างต้น ผู้บริหารต้องทำการกำหนดแผนปฏิบัติงาน หรือขั้นตอนในการปฏิบัติ โดยต้องระบุเวลาแล้วเสร็จเพื่อให้มั่นใจได้ว่าจะมีการดำเนินงานตามกลยุทธ์เพื่อให้เกิดโอกาสตามที่คาดหวังไว้