เนื้อหาวันที่ : 2010-05-07 17:53:37 จำนวนผู้เข้าชมแล้ว : 5508 views

แนวทางปฏิบัติสู่ความเป็นเลิศในการบริหาร จัดการความเสี่ยง (ตอนที่ 1)

เนื่องจากการดำเนินกระบวนการทางธุรกิจมีความไม่แน่นอนหลายประการที่อาจส่งผลกระทบต่อผลการดำเนินการทางธุรกิจ ซึ่งความไม่แน่นอนทางธุรกิจนี้เป็นเสมือนดาบสองคม คืออาจก่อให้เกิดผลลัพธ์ในทางบวกซึ่งเป็นการสร้างโอกาสให้แก่องค์กร หรืออาจก่อให้เกิดผลลัพธ์ในทางลบ ซึ่งถือว่าเป็นความเสี่ยง

สนั่น เถาชารี

.

.

เนื่องจากการดำเนินกระบวนการทางธุรกิจมีความไม่แน่นอนหลายประการที่อาจส่งผลกระทบต่อผลการดำเนินการทางธุรกิจ ซึ่งความไม่แน่นอนทางธุรกิจนี้เป็นเสมือนดาบสองคม คืออาจก่อให้เกิดผลลัพธ์ในทางบวกซึ่งเป็นการสร้างโอกาสให้แก่องค์กร หรืออาจก่อให้เกิดผลลัพธ์ในทางลบ ซึ่งถือว่าเป็นความเสี่ยง โดยความเสี่ยงทุกประเภทเกิดขึ้นจากสาเหตุที่สำคัญ 2 ประการคือ

.

สาเหตุที่เกิดจากภายในองค์กร คือ วัฒนธรรมและจรรยาบรรณองค์กร โครงสร้างองค์กร การบริหารทรัพยากรบุคคล และสาเหตุที่เกิดจากปัจจัยภายนอก คือ เศรษฐกิจและการเมือง คู่แข่งขัน ความคาดหวังของชุมชน ซึ่งผู้บริหารควรทำความเข้าใจถึงการเปลี่ยนแปลงที่มีผลต่อธุรกิจและเหตุแห่งความเสี่ยงที่เกิดขึ้นตลอดเวลา เพื่อทำการบริหารจัดการความเสี่ยงอย่างได้ผล โดยมีรายละเอียดที่สำคัญดังต่อไปนี้

.

วิธีการประเมินความเสี่ยง

1. ประเมินโดยคณะกรรมการที่รับผิดชอบ โดยการประเมินจะเป็นการพิจารณาจัดระดับของการบริหารความเสี่ยงขององค์กรธุรกิจว่าองค์กรนั้น ๆ มีระดับของการบริหารความเสี่ยงเท่าใด เมื่อเปรียบเทียบกับเกณฑ์ที่ได้กำหนดไว้ทั้ง 5 ระดับ ดังแสดงในตารางที่ 1 ข้างล่างนี้

.
ตารางที่ 1 แสดงระดับคะแนนและเกณฑ์การประเมินของการบริหารความเสี่ยง

.

ซึ่งจะมีเกณฑ์การพิจารณาย่อยในแต่ละระดับอย่างชัดเจน โดยองค์กร ธุรกิจจะต้องผ่านเกณฑ์การพิจารณาย่อยในระดับนั้น ๆ ครบถ้วนทุกเกณฑ์จึงจะได้คะแนนในระดับนั้น ดังนั้นคะแนนการประเมินการบริหารจัดการความเสี่ยงคือ คะแนนเต็ม 1 - 5 เท่านั้น โดยไม่มีการถ่วงน้ำหนักย่อยของเกณฑ์พิจารณาในแต่ละระดับแต่อย่างใด

.

2. คณะกรรมการประเมินผลกำหนดคะแนนแต่ละหัวข้อของเกณฑ์การประเมินตามกรอบที่กำหนดไว้ (แต่ละข้อน้ำหนักสามารถปรับได้ -/+ ร้อยละ 5)
3. คณะกรรมการประเมินผลให้คะแนนในแต่ละหัวข้อของเกณฑ์การประเมินที่กำหนด โดยอาศัยข้อมูลจากหน่วยงานที่เกี่ยวข้อง เช่น องค์กรวิเคราะห์บทบาทของที่ปรึกษา การพบปะและสัมภาษณ์คณะกรรมการและผู้บริหารองค์กร ธุรกิจ ประกอบการพิจารณาให้คะแนน โดยที่บทวิเคราะห์ของที่ปรึกษาได้จากการสัมภาษณ์เจ้าหน้าที่และบุคลากรองค์กร ธุรกิจที่เกี่ยวข้องเบื้องต้นและจากเอกสารอ้างอิงต่าง ๆ

.

หลักเกณฑ์การประเมิน แบ่งออกเป็น 5 ระดับ ดังแสดงในภาพที่ 1

ภาพที่ 1 แสดงระดับของการบริหารความเสี่ยง

.

จากภาพที่ 1 สามารถอธิบายรายละเอียดของเกณฑ์การบริหารความเสี่ยงในแต่ละระดับ ดังต่อไปนี้ เกณฑ์พิจารณาการบริหารความเสี่ยง ตามระดับของการบริหารความเสี่ยง 5 ระดับ สามารถอธิบายรายละเอียดในแต่ละระดับได้ดังต่อไปนี้

.
ระดับ 1 การบริหารความเสี่ยงน้อยมาก
1. มีแนวทางการบริหารความเสี่ยงในเชิงรับเป็นส่วนใหญ่ หรือมีการบริหารความเสี่ยงในระดับเบื้องต้น

1.1 องค์กร ธุรกิจขาดการบริหารจัดการกับความเสี่ยง การพิจารณาปัจจัยเสี่ยงหรือการดำเนินการแก้ไขปัญหาเป็นการดำเนินการภายหลังจากที่เกิดเหตุการณ์หรือความเสียหายแล้ว เช่น ในกรณีที่องค์กร ธุรกิจ มีธุรกรรมเกี่ยวกับเงินตราต่างประเทศ แต่ไม่ได้มีการบริหารความเสี่ยงด้านอัตราแลกเปลี่ยนเลย ต่อเมื่อมีความเสียหาย เช่น การขาดทุนจากอัตราแลกเปลี่ยนเกิดขึ้นจากความผันผวนของอัตราแลกเปลี่ยน องค์กร ธุรกิจจึงเริ่มศึกษาหรือบริหารความเสี่ยงจากอัตราแลกเปลี่ยน เป็นต้น

.

1.2 องค์กร ธุรกิจมีการดำเนินการเบื้องต้น โดยการกำหนดกระบวนการ/ดำเนินการสร้างความตระหนักเกี่ยวกับความสำคัญหรือความรู้ความเข้าใจของการบริหารความเสี่ยงในองค์กรต่อคณะกรรมการ ผู้บริหาร และพนักงานเท่านั้น ซึ่งกระบวนการสร้างความรู้ความเข้าใจดังกล่าว เช่น การจัดสัมมนาทั้งภายนอกและภายในองค์กร การจัดนิทรรศการ ป้ายประชาสัมพันธ์ วารสารภายใน และเสียงตามสาย

.

การฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยง ต้องมีการให้ความรู้กับผู้บริหาร (3 อันดับแรก) และพนักงาน (พนักงานทุกคนในกรณีที่เป็นองค์กรขนาดเล็ก/ในกรณีองค์กรขนาดใหญ่ ต้องมีการสื่อสารและฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยงสำหรับพนักงานในระดับที่เกี่ยวข้องในการรับผิดชอบในแต่ละปัจจัยเสี่ยง) และมีการสื่อสารสำหรับนโยบายหลักปฏิบัติในการบริหารความเสี่ยง

.
2. แนวทางในการบริหารความเสี่ยงยังไม่เป็นระบบ โดยเข้าเกณฑ์ข้อใดข้อหนึ่งดังต่อไปนี้
2.1 องค์กร ธุรกิจยังมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดียังไม่ครบถ้วน ซึ่งองค์ประกอบหลัก ๆ ที่ดี ได้แก่

1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน โดยทั่วไปวัตถุประสงค์ของการบริหารความเสี่ยงอาจแบ่งออกได้เป็น 2 ระดับ คือ

.

1.1) วัตถุประสงค์ในระดับองค์กร (Entity Level Objectives) เป็นวัตถุประสงค์ของการดำเนินงานในภาพรวมขององค์กร โดยทั่วไปวัตถุประสงค์ในระดับองค์กรจะระบุไว้ในแผนกลยุทธ์ และแผนการปฏิบัติงานประจำปีขององค์กรเช่นเดียวกับภารกิจ (Mission) และกลยุทธ์ในภาพรวมขององค์กร

.

1.2) วัตถุประสงค์ในระดับกิจกรรม (Activity Level Objectives) เป็นวัตถุประสงค์ของการดำเนินงานที่เฉพาะเจาะจงลงไปสำหรับแต่ละกิจกรรมที่องค์กรกำหนดเพื่อให้บรรลุวัตถุประสงค์ขององค์กร ซึ่งวัตถุประสงค์ของแต่ละกิจกรรมจะต้องสนับสนุนและสอดคล้องกับวัตถุประสงค์ในระดับองค์กร

.
การกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง ควรมีลำดับขั้นตอน ดังนี้

1. กำหนดภารกิจขององค์กร
2. กำหนดวัตถุประสงค์ในระดับองค์กรให้สอดคล้องกับภารกิจที่กำหนดไว้
3. กำหนดกิจกรรมที่ทำให้บรรลุวัตถุประสงค์ในระดับองค์กร
4. กำหนดวัตถุประสงค์ในระดับกิจกรรม

.
วัตถุประสงค์ที่กำหนดขึ้นในแต่ละระดับ ควรมีการกำหนดเป้าหมายและตัวชี้วัดความสำเร็จที่ชัดเจนและสามารถวัดผลได้

2) การระบุความเสี่ยง เนื่องจากความเสี่ยงมีสาเหตุมาจากปัจจัยทั้งภายในและภายนอก ปัจจัยเหล่านี้มีผลกระทบต่อวัตถุประสงค์และเป้าหมายขององค์กรหรือผลการปฏิบัติงานทั้งในระดับองค์กรและระดับกิจกรรม ในการระบุปัจจัยเสี่ยงฝ่ายบริหารจำเป็นต้องตั้งคำถามว่ามีเหตุการณ์ใด หรือกิจกรรมใดของกระบวนการปฏิบัติงานที่อาจเกิดความผิดพลาด ความเสียหาย และการไม่บรรลุวัตถุประสงค์ที่กำหนด รวมทั้งมีทรัพย์สินใดที่จำเป็นจะต้องได้รับการดูแลป้องกันรักษา เช่น ความเสี่ยงจากการจัดซื้อจัดจ้างในราคาแพง ความเสี่ยงจากการจัดซื้อพัสดุที่มีคุณภาพต่ำกว่าข้อกำหนด เป็นต้น

.

ซึ่งการระบุความเสี่ยงเป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงทางการเงิน อาจประกอบด้วย ความเสี่ยงด้านอัตราดอกเบี้ย ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง หรือความเสี่ยงด้านการดำเนินงาน อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น

.

3)  การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น

.
การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท

การวิเคราะห์ความเสี่ยง (Risk Analysis) หลังจากระบุปัจจัยเสี่ยงแล้ว ขั้นต่อไปคือการวิเคราะห์ความเสี่ยงหรือผลกระทบของความเสี่ยงต่อองค์กร เทคนิคการวิเคราะห์ความเสี่ยงมีหลายวิธี เพราะการวัดความเสี่ยงเป็นตัวเลขว่ามีผลกระทบต่อองค์กรเท่าไรนั้นเป็นสิ่งที่ทำได้ยาก โดยทั่วไปจะวิเคราะห์ความเสี่ยงโดยประเมินนัยสำคัญหรือผลกระทบของความเสี่ยง (Materiality) ที่คิดเป็นมูลค่าความเสียหายต่อองค์กร ที่มีต่อชื่อเสียงขององค์กร ที่มีต่อระบบเทคโนโลยีและสารสนเทศ และที่มีต่อการต่อเนื่องของการดำเนินธุรกิจ โดยการใช้วิธีการให้คะแนน ดังแสดงในตารางที่ 2 ตารางที่ 3 ตารางที่ 4 และตารางที่ 5 ตามลำดับ

.
ตารางที่ 2 แสดงผลกระทบของความเสี่ยงที่คิดเป็นมูลค่าความเสียหายต่อองค์กร

หมายเหตุ มูลค่าความเสียหายเป็นเพียงตัวอย่าง การนำไปใช้ควรมีการกำหนดให้เหมาะสมกับขนาดภารกิจและลักษณะการดำเนินงานขององค์กรเป็นสำคัญ

.
ตารางที่ 3 แสดงผลกระทบของความเสี่ยงต่อชื่อเสียงองค์กร

หมายเหตุ ผลกระทบของความเสี่ยงต่อชื่อเสียงองค์กร เป็นเพียงตัวอย่างการนำไปใช้ควรมีการกำหนดให้เหมาะสมกับขนาดภารกิจและลักษณะการดำเนินงานขององค์กรเป็นสำคัญ

 .

ตารางที่ 4 แสดงผลกระทบของความเสี่ยงต่อระบบเทคโนโลยีและสารสนเทศ (Information Technology (IT))

หมายเหตุ ผลกระทบของความเสี่ยงต่อระบบเทคโนโลยีและสารสนเทศเป็นเพียงตัวอย่างการนำไปใช้ควรมีการกำหนดให้เหมาะสมกับขนาดภารกิจและลักษณะการดำเนินงานขององค์กรเป็นสำคัญ

 .
ตารางที่ 5 แสดงผลกระทบของความเสี่ยงต่อการต่อเนื่องของการดำเนินธุรกิจ

หมายเหตุ ผลกระทบของความเสี่ยงต่อการต่อเนื่องของการดำเนินธุรกิจเป็นเพียงตัวอย่างการนำไปใช้ควรมีการกำหนดให้เหมาะสมกับขนาดภารกิจและลักษณะการดำเนินงานขององค์กรเป็นสำคัญ

 .
4) การกำหนดวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2.
5) การจัดทำรายงานการบริหารความเสี่ยงและการประเมินผลการบริหารความเสี่ยง
 .

2.2 องค์กร ธุรกิจไม่มีการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control) กรณีเป็นความเสี่ยงเกี่ยวกับการควบคุมภายใน ซึ่งเกิดจากปัจจัยภายในซึ่งอยู่ภายใต้การควบคุมของฝ่ายบริหาร การป้องกันหรือลดความเสี่ยงกระทำได้โดยจัดให้มีกิจกรรมการควบคุมอย่างเพียงพอและเหมาะสม

 .

อาทิเช่น ความเสี่ยงจากการจัดซื้อพัสดุในราคาแพงแต่คุณภาพต่ำ อาจจัดให้มีกิจกรรมควบคุมเกี่ยวกับการจัดซื้อให้รัดกุมมากขึ้น เช่น การกำหนดนโยบายการคัดเลือกผู้ขายที่ดีที่สุดทั้งในเรื่องคุณภาพและราคาการกำหนดวงเงินการอนุมัติจัดซื้อให้เหมาะสม การจัดทำทะเบียนประวัติผู้ขาย รวมทั้งสถิติราคาและปริมาณการจัดซื้อ

 .

2.3 องค์กร ธุรกิจมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีครบถ้วนทุกองค์ประกอบ คือ ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยงด้านการดำเนินงาน (Operational Risk) ความเสี่ยงด้านธุรกิจ (Business Risk) และความเสี่ยงจากเหตุการณ์ภายนอก (Event Risk) แต่ขาดการกำหนดวิธีการจัดการต่อความเสี่ยงที่มีลำดับความเสี่ยงสูง

 .
2.4 การดำเนินการขององค์กร ธุรกิจขาดความสอดคล้องระหว่างองค์ประกอบหลักทั้ง 4 องค์ประกอบข้างต้น เช่น
          - มีการกำหนดวิธีการจัดการต่อความเสี่ยงไม่ครบหรือไม่ตรงตามที่วิเคราะห์และระบุ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดการต่อความเสี่ยงเพียง 3 ประเภทเท่านั้น
 .

          - การระบุถึงความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ไม่ครบหรือสอดคล้องกับความเสี่ยงที่ระบุไว้ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการระบุถึงความเสียหายที่อาจจะเกิดขึ้น (ระดับความรุนแรง x โอกาสของการเกิดความเสี่ยง) เพียง 3 ประเภทเท่านั้น
          - การจัดทำรายงานการบริหารความเสี่ยงและการประเมินผลไม่ครบหรือไม่สอดคล้องกับความเสี่ยงที่ระบุไว้   เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดทำรายงานการบริหารความเสี่ยงและการประเมินผลเพียง 3 ประเภทเท่านั้น

 .

2. องค์กร ธุรกิจไม่มีคณะทำงาน หน่วยงาน หรือผู้รับผิดชอบเพื่อบริหารจัดการความเสี่ยงในระดับองค์กร
3. องค์กร ธุรกิจไม่มีคู่มือการบริหารความเสี่ยง

 .
ระดับ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ
1. การบริหารความเสี่ยงขององค์กร ธุรกิจเป็นกลยุทธ์ระยะสั้น

1.1 องค์กร ธุรกิจมีคณะทำงานหรือผู้รับผิดชอบเพื่อรับผิดชอบและติดตามในการบริหารจัดการความเสี่ยง ซึ่งโครงสร้างของคณะทำงานหรือผู้รับผิดชอบยังเป็นลักษณะเฉพาะกาล เช่น คณะทำงานมีอายุการทำงานเพียง 1 ปี หรือมีการทำงานเฉพาะเรื่องเพื่อเสนอเข้าคณะกรรมการพิจารณาเป็นครั้งเป็นคราวไป และ/หรือ ยังไม่มีการทำงานที่เป็นรูปธรรมอย่างจริงจัง โดยผลงานที่เป็นรูปธรรม ได้แก่ ผลงานที่นอกเหนือจากการประชุม เช่น การมีโครงการนำร่องในการพัฒนาระบบบริหารความเสี่ยง

 .

1.2 ไม่ปรากฏนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหารความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
          - การจัดตั้งหน่วยงานที่รับผิดชอบในการบริหารความเสี่ยง
          - พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร
          - การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง หรือกำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร

 .
2. ระบุความเสี่ยงจากต้นเหตุเป็นส่วนใหญ่ แต่ยังมีกระบวนการบริหารความเสี่ยงที่แยกเป็นส่วน ๆ และมุ่งเน้นการควบคุมเป็นเรื่อง ๆ

2.1 องค์กร ธุรกิจมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหารความเสี่ยงเป็นส่วน ๆ อยู่ ซึ่งองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดี ได้แก่
         1) นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน

 .

         2) การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงด้านการเงิน ความเสี่ยงด้านการดำเนินงาน ความเสี่ยงด้านธุรกิจ หรือความเสี่ยงจากเหตุการณ์ภายนอก
         3) การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น

 .

         4) การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิดค่าใช้จ่ายและผลประโยชน์ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
         5) การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง โดยการระบุความเสี่ยงต้องระบุความเสี่ยงครบ 4 ด้าน ได้แก่ ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยงด้านการดำเนินงาน (Operational Risk) ความเสี่ยงด้านธุรกิจ (Business Risk) และความเสี่ยงจากเหตุการณ์ภายนอก (Event Risk)

 .

2.2 การดำเนินงานบริหารความเสี่ยงดังกล่าวเป็นการดำเนินงานเฉพาะส่วนหรือฝ่ายไม่ใช่ในระดับองค์กร และ/หรือไม่ครบถ้วนตามที่ระบุและวิเคราะห์ไว้ หรือองค์กร ธุรกิจไม่มีการจัดทำ Risk Map (การแสดงความสัมพันธ์ของความเสี่ยงในแต่ละส่วนขององค์กร เพื่อแสดงผลกระทบของความเสี่ยงที่มีต่อกันในแต่ละฝ่าย เพื่อสะท้อนถึงภาพรวมความเสี่ยงขององค์กร) โดยระบุถึงสาเหตุของความเสี่ยงในแต่ละด้าน รวมถึงมีการวิเคราะห์ปัญหาที่เกิดขึ้น เพื่อที่จะทราบถึงต้นเหตุของการเกิดความเสี่ยงนั้น ๆ

 .
3. องค์กร ธุรกิจมีการจัดทำคู่มือการบริหารความเสี่ยง คู่มือการบริหารความเสี่ยงที่ดีควรประกอบไปด้วย

          1.  โครงสร้างการบริหารความเสี่ยงขององค์กร เช่น หน่วยงานที่รับผิดชอบด้านการบริหารความเสี่ยง/ระบบการติดตามงาน/การรายงานผลการบริหารความเสี่ยง
          2.  นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน
          3.  การระบุความเสี่ยง เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น ความเสี่ยงด้านการเงิน ความเสี่ยงด้านการดำเนินงาน ความเสี่ยงด้านธุรกิจ หรือความเสี่ยงจากเหตุการณ์ภายนอก

 .

          4.  การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น
          5.  การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2) โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิดค่าใช้จ่ายและผลประโยชน์ที่ได้ และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร
          6.  การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง

 .

4. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น (ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงด้อยกว่าแผนและไม่แตกต่างจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง) ทั้งนี้ พิจารณาเพิ่มเติมในเรื่องของแผนการบริหารความเสี่ยงขององค์กรว่า ต้องแสดงเป้าหมายที่ชัดเจนของการบริหารความเสี่ยงของแต่ละปัจจัยเสี่ยง โดยเป้าหมายที่ระบุอาจอยู่ในรูปความสำเร็จของกิจกรรมในแผนงาน และ/หรือการกำหนดดัชนีชี้วัดความเสี่ยง(Key Risk Indicators (KRI)) ได้ตามความเหมาะสมในแต่ละปัจจัยเสี่ยง

 .
ระดับ 3 การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

1.  มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2
2.  องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk
Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Financial Risk/Operational Risk/Business Risk/Event Risk โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

 .
3.  การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั่วทั้งองค์กร

3.1 องค์กร ธุรกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการองค์กร ธุรกิจ

 .

3.2 องค์กร ธุรกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหารความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
- การจัดตั้งหน่วยงาน/คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง
- พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร

 .

- การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยงดังแสดงในตารางที่ 6 หรือกำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร พิจารณาจากเนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop) ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

 .
ตารางที่ 6 แสดงบทบาทและความรับผิดชอบหลักของผู้ที่เกี่ยวข้องโดยตรงกับการบริหารความเสี่ยง

 .

4.  มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)
4.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่าง ๆ ขององค์กร ธุรกิจ
4.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่าง ๆ ภายใน โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง

 .

5.  การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
5.1 ฝ่ายบริหารขององค์กร ธุรกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้านเทคโนโลยีสารสนเทศ และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงานเพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร

 .

5.2 คณะกรรมการองค์กร ธุรกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จากเทคโนโลยีสารสนเทศ เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ เช่น
          - การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงิน โดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่
กำหนด
          - การสร้างมูลค่าเพิ่มให้กับองค์กรทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือสร้าง
ความพึงพอใจให้กับลูกค้าสูงสุด เช่น การดำเนินการแบบเบ็ดเสร็จ (One Stop Service)
          - การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา

 .

5.3 คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับ ดูแล และติดตามการจัดการกระบวนการป้องกันความเสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบทางด้านเทคโนโลยีสารสนเทศ

.
5.4 คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
5.5 ระบบ e-DOC (Electronic Department Operation Center) ขององค์กร ธุรกิจแล้วเสร็จ
.

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก

.

- การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด

.

- ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
- ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลางถึงสูงมาก แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลงจะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Financial Risk/Operational Risk/Business Risk และ Event Risk

.

- ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators (KRI)) ที่ระบุเป้าหมายเชิงปริมาณขององค์กร ธุรกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI/ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.

ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด