สนั่น เถาชารี

ระดับ 4 การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร
มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3
กลยุทธ์การบริหารความเสี่ยงเชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร ธุรกิจ ซึ่ง ได้แก่ การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่าง ๆ ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน ประกอบในการกำหนดนโยบาย/กลยุทธ์/การวางแผน /การลงทุน

1.2 มีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงิน โดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน หรือการควบคุม/บริหารต้นทุน และ/หรือ ค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหารความเสี่ยง หรือการที่องค์กร ธุรกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด         

รวมไปถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร

2. มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนดโดยใช้แนวทางที่สำคัญคือ

- กำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
- พัฒนากระบวนการบริหารความเสี่ยงที่ดี และสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
- พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

3. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น ผู้บริหารควรรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

4. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
4.1 คณะกรรมการองค์กร ธุรกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้านเทคโนโลยีสารสนเทศ ได้แก่

4.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off Site Back Up)
4.1.2 มีระบบการดูแลสภาพแวดล้อมของศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตาม
มาตรฐาน BS/EN1047-2

4.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management (BCM)) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis (BIA)) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่าง ๆ อย่างเป็นรูปธรรม โดยการจัดการดำเนินธุรกิจอย่างต่อเนื่อง มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non-IT จากสถานการณ์ต่าง ๆ ที่อาจเกิดขึ้นได้)

4.2 คณะกรรมการองค์กร ธุรกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ (Information Technology (IT)) ขององค์กร ธุรกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ (Information Technology Strategy Committee)

4.3 ฝ่ายบริหารมีการประเมินศักยภาพของเทคโนโลยีสารสนเทศ (Information Technology (IT)) และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้านเทคโนโลยีสารสนเทศ (Information Technology (IT)) และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน

4.4 ระบบ e-DOC (Electronic Department Operation Center) ขององค์กร ธุรกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน Financial Risk/Operational Risk/Business Risk และ Event Risk ของคณะกรรมการและผู้บริหารระดับสูงในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

4.5 การจัดทำแผนเพื่อรองรับ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ISO 17799) สำหรับทุกระบบขององค์กร โดยทุกระบบต้องดำเนินการครบทั้ง 11 Domain ซึ่งกำหนดให้แล้วเสร็จภายใน 2 ปี โดยประกอบด้วยแผนระยะสั้น และแผนระยะยาว

5. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง โดยพิจารณาจาก

- การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด

- ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
- ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลางถึงสูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลงจะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Financial Risk/Operational Risk/Business Risk และ Event Risk

- ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators (KRI)) ที่ระบุเป้าหมายเชิงปริมาณ องค์กร ธุรกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI/ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

ระดับ 5 การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation)

มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 4 กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณา

1.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคลหรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคลหรือสายงานนั้นเป็นผู้รับผิดชอบว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

1.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงานเพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

2. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
2.1 คณะกรรมการองค์กร ธุรกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้านเทคโนโลยีสารสนเทศกับความเสี่ยงที่อาจเกิดขึ้น

2.2 คณะกรรมการองค์กร ธุรกิจมีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้านเทคโนโลยีสารสนเทศตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่เพิ่มมากขึ้น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศ ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จากมูลค่าที่องค์กร ธุรกิจระบุไว้ นอกจากนี้ยังรวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสียโอกาสของธุรกิจการที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน

โดยที่โอกาสของธุรกิจอาจพิจารณาจากการวิเคราะห์ SWOT ขององค์กรซึ่งประกอบด้วย Strengths คือจุดแข็ง Weaknesses คือจุดอ่อน Opportunities คือโอกาส และ Threats คืออุปสรรค หรือการที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมการพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ภายในองค์กร

1.  การกำหนดวัตถุประสงค์ (Objective Setting) การกำหนดวัตถุประสงค์ทางธุรกิจที่ชัดเจน เป็นขั้นตอนแรกสำหรับกระบวนการบริหารความเสี่ยง องค์กรควรมั่นใจว่าวัตถุประสงค์ที่กำหนดขึ้นมามีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้ โดยทั่วไปวัตถุประสงค์และกลยุทธ์ควรได้รับการบันทึกเป็นลายลักษณ์อักษรและสามารถพิจารณาได้ในด้านต่าง ๆ ดังนี้

- ด้านกลยุทธ์ เกี่ยวข้องกับเป้าหมายและพันธกิจในภาพรวมขององค์กร
- ด้านปฏิบัติงาน เกี่ยวข้องกับประสิทธิภาพ ผลการปฏิบัติงาน และความสามารถในการทำกำไร
- ด้านการรายงาน เกี่ยวข้องกับการรายงานทั้งภายในและภายนอกองค์กร
- ด้านการปฏิบัติตามกฎ ระเบียบ เกี่ยวข้องกับการปฏิบัติตามกฎหมาย และกฎระเบียบต่าง ๆ

2.  การบ่งชี้เหตุการณ์ (Event Identification) การทำธุรกิจมักมีความไม่แน่นอนเกิดขึ้นมากมาย องค์กรไม่สามารถมั่นใจได้ว่าเหตุการณ์ใดเหตุการณ์หนึ่งจะเกิดขึ้นหรือไม่หรือผลลัพธ์ที่เกิดขึ้นจะเป็นอย่างไร ในกระบวนการบ่งชี้เหตุการณ์ผู้บริหารควรต้องพิจารณาสิ่งต่อไปนี้

- ปัจจัยความเสี่ยงทุกด้านที่อาจจะเกิดขึ้น เช่น ความเสี่ยงด้านกลยุทธ์ การเงิน บุคลากร การปฏิบัติงาน กฎหมาย ภาษี อากร ระบบงาน สิ่งแวดล้อม
- แหล่งความเสี่ยงทั้งจากภายในและภายนอกองค์กร
- ความสัมพันธ์ระหว่างเหตุการณ์ที่อาจเกิดขึ้น

ในบางกรณีควรมีการจัดกลุ่มเหตุการณ์ที่อาจเกิดขึ้นโดยแบ่งตามประเภทของเหตุการณ์ และรวบรวมเหตุการณ์ทั้งหมดในองค์กรที่เกิดขึ้นระหว่างหน่วยงานและภายในหน่วยงาน เพื่อช่วยให้ผู้บริหารสามารถเข้าใจความสัมพันธ์ระหว่างเหตุการณ์ และมีข้อมูลที่เพียงพอเพื่อเป็นพื้นฐานสำหรับการประเมินความเสี่ยง

3. การประเมินความเสี่ยง (Risk Assessment) ขั้นตอนนี้เน้นการประเมินโอกาสและผลกระทบของเหตุการณ์ที่อาจเกิดขึ้นต่อวัตถุประสงค์ ขณะที่การเกิดเหตุการณ์ใดเหตุการณ์หนึ่งอาจส่งผลกระทบในระดับต่ำ เหตุการณ์ที่เกิดขึ้นอย่างต่อเนื่องอาจมีผลกระทบในระดับสูงต่อวัตถุประสงค์ โดยทั่วไปการประเมินความเสี่ยงประกอบด้วย 2 มิติดังนี้

มิติที่ 1 โอกาสที่อาจเกิดขึ้น (Likelihood) เหตุการณ์มีโอกาสเกิดขึ้นมากน้อยเพียงใด
มิติที่ 2 ผลกระทบ (Impact) หากมีเหตุการณ์เกิดขึ้นองค์กรจะได้รับผลกระทบมากน้อยเพียงใด

การประเมินความเสี่ยงสามารถทำได้ทั้งการประเมินเชิงคุณภาพและเชิงปริมาณ โดยพิจารณาทั้งเหตุการณ์ที่เกิดขึ้นจากภายนอกและภายในองค์กร นอกจากนี้ การประเมินความเสี่ยงควรดำเนินการทั้งก่อนการจัดการความเสี่ยง (Inherent Risk) และหลังจากที่มีการจัดการความเสี่ยงแล้ว (Residual Risk)

ปัจจัยที่ควรใช้ในการประเมินความเสี่ยงที่สำคัญคือ การปฏิบัติงานของผู้บริหารและพนักงาน กระบวนการปฏิบัติงาน กิจกรรมการควบคุมภายใน โครงสร้างทางธุรกิจและกระบวนการรายงาน การวัดผลการปฏิบัติงานและการติดตามผล วิธีการติดต่อสื่อสาร ทัศนคติและแนวทางของผู้บริหารเกี่ยวกับความเสี่ยง พฤติกรรมขององค์กรที่คาดว่าจะมีและที่มีอยู่ในปัจจุบัน และสัญญาและพันธมิตรในปัจจุบัน

4. การตอบสนองความเสี่ยง (Risk Response) เมื่อความเสี่ยงได้รับการบ่งชี้และประเมินความสำคัญแล้ว ผู้บริหารต้องประเมินวิธีการจัดการความเสี่ยงที่สามารถนำไปปฏิบัติได้และผลของการจัดการเหล่านั้น การพิจารณาทางเลือกในการดำเนินการจะต้องคำนึงถึงความเสี่ยงที่ยอมรับได้ และต้นทุนที่เกิดขึ้นเปรียบเทียบกับผลประโยชน์ที่จะได้รับเพื่อให้การบริหารความเสี่ยงมีประสิทธิผล

ผู้บริหารอาจต้องเลือกวิธีการจัดการความเสี่ยงอย่างใดอย่างหนึ่ง หรือหลายวิธีรวมกัน เพื่อลดระดับโอกาสที่อาจเกิดขึ้นและผลกระทบของเหตุการณ์ให้อยู่ในช่วงที่องค์กรสามารถยอมรับได้ (Risk Tolerance)

หลักการตอบสนองความเสี่ยงมี 4 ประการคือ
1. การหลีกเลี่ยง (Avoid) เป็นการดำเนินการเพื่อหลีกเลี่ยงเหตุการณ์ที่ก่อให้เกิดความเสี่ยง
2. การร่วมจัดการ (Share) เป็นการร่วมหรือแบ่งความรับผิดชอบกับผู้อื่นในการจัดการความเสี่ยง
3. การลด (Reduce) เป็นการดำเนินการเพิ่มเติมเพื่อลดโอกาสที่อาจเกิดขึ้นหรือผลกระทบของความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
4. การยอมรับ (Accept) ความเสี่ยงที่เหลือในปัจจุบันอยู่ภายในระดับที่ต้องการและยอมรับได้แล้ว โดยไม่ต้องมีการดำเนินการเพิ่มเติมเพื่อลดโอกาสหรือผลกระทบที่อาจเกิดขึ้นอีก

ผู้บริหารควรพิจารณาการจัดการความเสี่ยงตามประเภทของการตอบสนองข้างต้น และควรดำเนินการประเมินความเสี่ยงที่เหลือออยู่อีกครั้งหนึ่ง หลังจากที่ได้มีการจัดการความเสี่ยงแล้วในช่วงเวลาที่เหมาะสม

5. กิจกรรมการควบคุม (Control Activities) กิจกรรมการควบคุมคือ นโยบายและกระบวนการปฏิบัติงาน เพื่อให้มั่นใจได้ว่ามีการจัดการความเสี่ยงอย่างมีประสิทธิภาพ เนื่องจากแต่ละองค์กรมีการกำหนดวัตถุประสงค์และเทคนิคการนำไปปฏิบัติเป็นของเฉพาะองค์กร ดังนั้นกิจกรรมการควบคุมจึงมีความแตกต่างกัน การควบคุมเป็นการสะท้อนถึงสภาพแวดล้อมภายในองค์กร ลักษณะธุรกิจ โครงสร้างและวัฒนธรรมขององค์กร  

กิจกรรมการควบคุมสำหรับระบบเทคโนโลยีสารสนเทศสามารถจัดกลุ่มได้เป็น 2 ประเภท ได้แก่ การควบคุมทั่วไป และการควบคุมเฉพาะระบบงาน ซึ่งการควบคุมทั่วไปครอบคลุมถึงโครงสร้างพื้นฐานและการบริหารเทคโนโลยีสารสนเทศ การบริหารความปลอดภัย การจัดซื้อโปรแกรมสำเร็จรูป การพัฒนาโปรแกรม และการบำรุงรักษา ส่วนการควบคุมเฉพาะระบบงานได้รับการออกแบบเพื่อให้มั่นใจได้ว่าข้อมูลที่ได้รับการบันทึกและประมวลผลมีความครบถ้วน ถูกต้อง และมีอยู่จริง 

สิ่งสำคัญประการหนึ่งต่อกิจกรรมการควบคุม คือ การกำหนดบุคลากรภายในองค์กรเพื่อรับผิดชอบการควบคุมนั้น บุคลากรแต่ละคนที่ได้รับมอบหมายกิจกรรมการควบคุมควรมีความรับผิดชอบ ดังนี้คือ พิจารณาประสิทธิผลของการจัดการความเสี่ยงที่ได้ดำเนินการอยู่ในปัจจุบัน และพิจารณาการปฏิบัติเพิ่มเติมที่จำเป็น เพื่อเพิ่มประสิทธิผลของการจัดการความเสี่ยง นอกจากนี้การปฏิบัติเพื่อลดความเสี่ยงขององค์กรควรจะต้องมีการกำหนดวันแล้วเสร็จให้ชัดเจน

6. การติดตามผล (Monitoring) ประเด็นสำคัญของการติดตามผล ได้แก่
- การติดตามผลเพื่อให้มั่นใจได้ว่าการจัดการความเสี่ยงมีคุณภาพ มีความเหมาะสม และการบริหารความเสี่ยงได้นำไปประยุกต์ใช้ในทุกระดับขององค์กร
- ความเสี่ยงทั้งหมดที่มีผลกระทบสำคัญต่อการบรรลุวัตถุประสงค์ขององค์กรได้รับการรายงานต่อผู้บริหารที่รับผิดชอบ

การติดตามผลการบริหารความเสี่ยงสามารถทำได้ 2 ลักษณะ คือ การติดตามผลอย่างต่อเนื่อง และการติดตามผลเป็นรายครั้ง การติดตามผลอย่างต่อเนื่องเป็นการดำเนินการอย่างสม่ำเสมอ เพื่อให้สามารถตอบสนองต่อการเปลี่ยนแปลงอย่างทันท่วงทีและถือเป็นส่วนหนึ่งของการปฏิบัติงาน

ส่วนการติดตามผลรายครั้ง เป็นการดำเนินการภายหลังจากเกิดเหตุการณ์ ดังนั้นปัญหาที่เกิดขึ้นจะได้รับการแก้ไขอย่างรวดเร็วหากองค์กรมีการติดตามผลอย่างต่อเนื่อง นอกจากนี้องค์กรควรมีการจัดทำรายงานความเสี่ยงเพื่อให้การติดตามผลการบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล

เพื่อให้องค์กรได้รับประโยชน์จากการบริหารความเสี่ยง ผู้บริหารจะต้องสร้างกระบวนการเพื่อสนับสนุนให้เกิดการบ่งชี้ การประเมิน การจัดการ และการรายงานความเสี่ยงอย่างต่อเนื่องและเป็นส่วนหนึ่งของการปฏิบัติงานปกติ ปัจจัยสำคัญ 8 ประการเพื่อช่วยให้การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กรประสบความสำเร็จ มีดังนี้

ปัจจัยที่ 1 การสนับสนุนจากผู้บริหารระดับสูง การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กร จะประสบความสำเร็จเพียงใดขึ้นอยู่กับเจตนารมณ์ การสนับสนุน การมีส่วนร่วม และความเป็นผู้นำของผู้บริหารระดับสูงในองค์กร คณะกรรมการและผู้บริหารระดับสูงต้องให้ความสำคัญ และสนับสนุนให้ทุกคนในองค์กรเข้าใจความสำคัญในคุณค่าของการบริหารความเสี่ยงต่อองค์กร มิฉะนั้นแล้วการบริหารความเสี่ยงจะไม่สามารถเกิดขึ้นได้

การบริหารความเสี่ยงต้องเริ่มต้นจากการที่กรรมการผู้จัดการ หรือผู้นำสูงสุดขององค์กรต้องการให้ระบบนี้เกิดขึ้น โดยกำหนดนโยบายให้มีการปฏิบัติ รวมถึงการกำหนดให้ผู้บริหารต้องใช้ข้อมูลเกี่ยวกับความเสี่ยงในการตัดสินใจและบริหารงาน

ปัจจัยที่ 2 การใช้คำให้เกิดความเข้าใจแบบเดียวกัน การใช้คำนิยามเกี่ยวกับความเสี่ยง และการบริหารความเสี่ยงแบบเดียวกัน จะทำให้เกิดความมีประสิทธิภาพในการกำหนดวัตถุประสงค์ นโยบาย กระบวนการ เพื่อใช้ในการบ่งชี้และประเมินความเสี่ยง และกำหนดวิธีการจัดการความเสี่ยงที่เหมาะสมองค์กรที่ได้มีการจัดทำกรอบและนโยบายการบริหารความเสี่ยงที่มีคำอธิบายองค์ประกอบในกรอบการบริหารความเสี่ยงอย่างชัดเจน จะทำให้ผู้บริหารและพนักงานทุกคนใช้ภาษาความเสี่ยงในแนวทางเดียวกันและมีจุดมุ่งหมายร่วมกันในการบริหารความเสี่ยง

ปัจจัยที่ 3 การปฏิบัติตามกระบวนการบริหารความเสี่ยงอย่างต่อเนื่อง องค์กรที่ประสบความสำเร็จในการปฏิบัติตามกระบวนการบริหารความเสี่ยง คือองค์กรที่สามารถนำกระบวนการบริหารความเสี่ยงมาปฏิบัติอย่างทั่วถึงทั้งองค์กร และกระทำอย่างต่อเนื่องสม่ำเสมอ

ปัจจัยที่ 4 กระบวนการในการบริหารการเปลี่ยนแปลง ในการนำเอากระบวนการและระบบบริหารแบบใหม่มาใช้ องค์กรจำเป็นต้องมีการบริหารการเปลี่ยนแปลง การพัฒนาการบริหารความเสี่ยงก็เช่นเดียวกันที่ต้องมีการชี้แจงให้ผู้บริหารและพนักงานทุกคนรับทราบถึงการเปลี่ยนแปลงและผลที่องค์กรและแต่ละบุคคลจะได้รับจากการเปลี่ยนแปลงนั้น

ปัจจัยที่ 5 การสื่อสารอย่างมีประสิทธิผล วัตถุประสงค์ของการสื่อสารอย่างมีประสิทธิผลนั้นเพื่อให้มั่นใจว่า
- ผู้บริหารได้รับข้อมูลเกี่ยวกับความเสี่ยงอย่างถูกต้องและทันเวลา
- ผู้บริหารสามารถจัดการกับความเสี่ยงตามลำดับความสำคัญ หรือตามการเปลี่ยนแปลง หรือความเสี่ยงที่เกิดขึ้นใหม่
- มีการติดตามแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อนำมาใช้ปรับปรุงการบริหารองค์กรและจัดการความเสี่ยงต่าง ๆ เพื่อให้องค์กรมีโอกาสในการบรรลุวัตถุประสงค์ได้มากที่สุด

การสื่อสารเกี่ยวกับกลยุทธ์การบริหารความเสี่ยงและวิธีปฏิบัติมีความสำคัญอย่างมาก เพราะการสื่อสารจะเน้นให้เห็นถึงการเชื่อมโยงระหว่างการบริหารความเสี่ยงกับกลยุทธ์องค์กร การชี้แจงทำความเข้าใจต่อพนักงานทุกคนถึงความรับผิดชอบของแต่ละบุคคลต่อกระบวนการบริหารความเสี่ยง จะช่วยให้เกิดการยอมรับในกระบวนการและนำมาซึ่งความสำเร็จในการพัฒนาการบริหารความเสี่ยง โดยควรได้รับการสนับสนุนทั้งทางวาจาและในทางปฏิบัติจากผู้บริหารระดับสูง กรรมการผู้จัดการ และคณะกรรมการขององค์กร

ปัจจัยที่ 6 การวัดผลการบริหารความเสี่ยง การวัดผลการบริหารความเสี่ยงประกอบด้วย 2 รูปแบบ ดังนี้
รูปแบบที่ 1 การวัดความเสี่ยง ในรูปแบบของผลกระทบและโอกาสที่อาจเกิดขึ้น การบริหารความเสี่ยงที่ประสบความสำเร็จ จะช่วยให้ความเสี่ยงเหลืออยู่ในระดับที่องค์กรยอมรับได้

รูปแบบที่ 2 การวัดความสำเร็จของการบริหารความเสี่ยง โดยอาศัยดัชนีวัดผลการดำเนินงานซึ่งอาจกำหนดเป็นระดับองค์กร ฝ่ายงาน หรือของแต่ละบุคคล โดยการใช้ดัชนีวัดผลการดำเนินงานนี้อาจปฏิบัติร่วมกับกระบวนการด้านทรัพยากรบุคคล

ปัจจัยที่ 7 การฝึกอบรมและกลไกด้านทรัพยากรบุคคล กรรมการ ผู้บริหาร และพนักงานทุกคนในองค์กรควรต้องได้รับการฝึกอบรมเพื่อให้เข้าใจกรอบการบริหารความเสี่ยง และความรับผิดชอบของแต่ละบุคคลในการจัดการความเสี่ยงและสื่อสารข้อมูลเกี่ยวกับความเสี่ยง การฝึกอบรมในองค์กรควรต้องคำนึงถึงประเด็นดังต่อไปนี้
- ความแตกต่างกันของระดับความรับผิดชอบในการบริหารความเสี่ยง
- ความรู้ที่เกี่ยวกับความเสี่ยงและการบริหารความเสี่ยงที่มีอยู่แล้วในองค์กร

พนักงานใหม่ทุกคนควรได้รับการฝึกอบรมเพื่อให้มีความเข้าใจในความรับผิดชอบต่อความเสี่ยง และกระบวนการบริหารความเสี่ยงด้วยเช่นกัน ซึ่งระบบการประเมินผลการดำเนินงานถือเป็นเครื่องมือสำคัญที่ใช้ในการส่งเสริมความรับผิดชอบของแต่ละบุคคล โดยความรับผิดชอบเกี่ยวกับบริหารความเสี่ยงควรกำหนดรวมอยู่ในงานที่แต่ละบุคคลรับผิดชอบและในคำอธิบายลักษณะงาน (Job Description) การประเมินผล การดำเนินงานส่วนที่เกี่ยวกับการบริหารความเสี่ยง โดยมีประเด็นที่ควรประเมินดังต่อไปนี้

- ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลมีต่อองค์กร
- การวัดระดับของความเสี่ยงที่บุคคลนั้นเป็นผู้รับผิดชอบว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

ปัจจัยที่ 8 การติดตามกระบวนการบริหารความเสี่ยง การติดตามกระบวนการบริหารความเสี่ยงควรพิจารณาประเด็นดังต่อไปนี้
- การรายงานและการสอบทานขั้นตอนตามกระบวนการบริหารความเสี่ยง
- ความชัดเจนและสม่ำเสมอของการมีส่วนร่วมและความมุ่งมั่นของผู้บริหารระดับสูง
- การประยุกต์ใช้เกณฑ์การประเมินผลการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยง

1. การนำการบริหารความเสี่ยงมาใช้เป็นเครื่องมือทางกลยุทธ์ เพื่อช่วยสนับสนุนการบรรลุวัตถุประสงค์ขององค์กร
2. การทำให้การบริหารความเสี่ยงมีความสอดคล้องและรวมอยู่ในกระบวนการดำเนินงานที่มีอยู่ในปัจจุบันขององค์กร ทั้งนี้รวมถึงกำหนดให้การบริหารความเสี่ยงเป็นขั้นตอนหนึ่งในการจัดทำแผนธุรกิจ การกำหนดงบประมาณ การตัดสินใจลงทุน และการบริหารโครงการ

3. การบริหารความเสี่ยงที่ครอบคลุมถึงความเสี่ยงเกี่ยวกับการปฏิบัติงานในภาพรวมและความเสี่ยงเชิงกลยุทธ์ นอกจากนี้องค์กรควรเพิ่มความสนใจต่อความเสี่ยงทั้งที่เป็นความเสียหาย ความไม่แน่นอน การเสียโอกาส ซึ่งต่างจากการบริหารความเสี่ยงแบบเดิมที่เน้นเฉพาะความเสี่ยงที่เกี่ยวกับการปฏิบัติตามกฎระเบียบเท่านั้น

4. กรรมการผู้จัดการและผู้บริหารระดับสูงต้องสนับสนุนและเน้นถึงประโยชน์ที่จะได้รับจากการบริหารความเสี่ยง รวมทั้งแสดงความรับผิดชอบและมีส่วนร่วมในการบริหารความเสี่ยง
5. การใช้คำนิยามเกี่ยวกับความเสี่ยงที่เป็นที่เข้าใจ และใช้ร่วมกันในองค์กร

6. การมีกระบวนการในการบ่งชี้ วิเคราะห์ จัดการ ติดตาม และรายงานความเสี่ยงอย่างต่อเนื่องสม่ำเสมอและปฏิบัติทั่วทั้งองค์กร
7. องค์กรต้องมีความมุ่งมั่นและพยายามอย่างจริงจังในการบ่งชี้ และบริหารความเปลี่ยนแปลงที่เกิดจากการทำการบริหารความเสี่ยงเข้าปรับใช้ภายในองค์กร

8. มีการสื่อสารให้ข้อมูลเกี่ยวกับความเสี่ยงอย่างสม่ำเสมอ โดยเน้นให้เห็นถึงความสำคัญของการบริหารความเสี่ยงประเด็นความเสี่ยง
9. การวัดผลความเสี่ยงทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการดำเนินงาน และเชิงปริมาณ เช่น ผลขาดทุน มูลค่ารายได้ หรือค่าใช้จ่ายที่อาจเพิ่มขึ้นหรือลดลง โดยพิจารณาจากสองประเด็นหลักคือ โอกาสที่อาจเกิดขึ้น และผลกระทบ

10. การจัดให้มีการฝึกอบรมและใช้กลไกการบริหารทรัพยากรบุคคล เพื่อเผยแพร่ข้อมูลต่าง ๆ เกี่ยวกับการบริหารความเสี่ยง การรับผิดชอบของแต่ละบุคคล และเพื่อส่งเสริมให้เกิดการปฏิบัติที่เหมาะสม

11. การจัดให้มีหน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยง เพื่อทำหน้าช่วยเหลือในการดำเนินการ การสนับสนุนการนำการบริหารความเสี่ยงมาปฏิบัติและการพัฒนาความสามารถในการบริหารความเสี่ยงของพนักงาน แต่ไม่มีหน้าที่โดยตรงในการประเมินและจัดการความเสี่ยงที่เกิดขึ้น

12. ผู้ตรวจสอบภายในมีบทบาทสำคัญในการทำให้มั่นใจว่าองค์กร มีการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผลในการจัดการความเสี่ยง และในกรณีที่จำเป็น ผู้ตรวจสอบภายในควรเสนอแนะประเด็นที่ควรได้รับการปรับปรุงแต่ผู้ตรวจสอบภายในไม่มีบทบาทโดยตรงต่อการเป็นผู้นำในการพัฒนากรอบการบริหารความเสี่ยง

เนื่องจากองค์กรชั้นนำต่างตระหนักถึงความสำคัญของการบริหารความเสี่ยงที่มีต่อมูลค่าของผู้มีส่วนได้ส่วนเสียขององค์กร จึงได้มีการปรับเปลี่ยนมุมมองจากการบริหารความเสี่ยงแต่เพียงด้านการปฏิบัติให้เป็นไปตามกฎ ระเบียบ มาเป็นการพิจารณาความเสี่ยงที่เป็นโอกาสเพื่อเพิ่มมูลค่าของผู้มีส่วนได้ส่วนเสีย ดังแสดงในตารางที่ 7 ข้างล่างนี้

ตารางที่ 7 แสดงความสัมพันธ์ระหว่างระดับขององค์กรและแนวทางในการปฏิบัติ

จากตารางที่ 7 สามารถอธิบายได้ว่า องค์กรที่อยู่ในระดับที่ 1 มีการบริหารความเสี่ยงแบบตอบสนองตามเหตุการณ์ (Reactive Risk Management) โดยเน้นที่การปฏิบัติตามและป้องกันความเสี่ยงที่อาจทำให้เกิดความเสียหาย องค์กรเหล่านี้จะพัฒนาการควบคุมภายในใหม่ขึ้น เพื่อตอบสนองต่อความเสี่ยงที่พบว่ายังไม่ได้รับการจัดการให้เป็นที่น่าพอใจ

องค์กรที่อยู่ในระดับที่ 2 คือองค์กรที่พยายามทำความเข้าใจต่อความเสี่ยงทุกประเภทที่อาจเกิดขึ้นต่อองค์กร โดยมีการกำหนดการบริหารความเสี่ยงที่ครอบคลุมมากขึ้น นอกเหนือไปจากการควบคุมด้านการเงิน องค์กรเหล่านี้ทำการประเมินความเสี่ยงทั้งทางด้านปฏิบัติการ การปฏิบัติตามกฎระเบียบ และด้านอื่น ๆ รวมถึงพิจารณากระบวนการที่จะปรับปรุงการปฏิบัติงานให้ดียิ่งขึ้น

เมื่อผู้บริหารขององค์กรเหล่านี้พบความล้มเหลวหรือความผิดพลาดในการควบคุมภายในขององค์กรอื่น ๆ ก็จะดำเนินการประเมินหรือปรับปรุงกระบวนการบริหารความเสี่ยงในองค์กรของตนใหม่ เพื่อหลีกเลี่ยงปัญหาที่อาจจะเกิดขึ้นดังเช่นองค์กรอื่น นอกจากนี้ องค์กรยังได้ทำการศึกษาแนวปฏิบัติที่ดียิ่งขึ้นเพื่อทำการปรับปรุงกระบวนการให้ก้าวต่อไปข้างหน้า องค์กรเหล่านี้จะปรับปรุงการบริหารความเสี่ยงตามการเปลี่ยนแปลงและเป้าหมายขององค์กร ทั้งนี้เพื่อสร้างกระบวนการที่สามารถทำให้บรรลุวัตถุประสงค์ต่าง ๆ ได้ดียิ่งขึ้น   

นอกจากนี้ ยังได้มีการริเริ่มการนำเอาการบริหารงาน มาควบรวมกับกระบวนการประเมินและการจัดการความเสี่ยงมากขึ้น และนำเอากรอบการบริหารความเสี่ยงมาใช้เพื่อให้เกิดการสื่อสารเกี่ยวกับความเสี่ยงด้านภาษาเดียวกัน รวมไปถึงการจัดการความเสี่ยงในแนวทางเดียวกันด้วย

องค์กรที่อยู่ในระดับที่ 3 เป็นองค์กรที่ประเมินความเสี่ยงเพื่อพิจารณาหาโอกาสใหม่ของธุรกิจและเชื่อมโยงกับการบริหารมูลค่าขององค์กร องค์กรเหล่านี้ให้ความสำคัญกับสาเหตุที่ก่อให้เกิดผลกระทบต่อมูลค่าของผู้มีส่วนได้ส่วนเสีย และพิจารณาระดับความเสี่ยงที่ยอมรับได้เพื่อใช้ในการกำหนดกลยุทธ์ องค์กรเหล่านี้ยังตระหนักถึงการเชื่อมโยงระหว่างการเติบโต ความเสี่ยง และผลตอบแทนของธุรกิจ และยอมรับว่าความเสี่ยงเป็นส่วนหนึ่งของการสร้างและการรักษามูลค่าขององค์กร     

อย่างไรก็ตามผลตอบแทนที่จะได้รับต้องสอดคล้องกับความเสี่ยงที่อาจเกิดขึ้น ด้วยเหตุนี้องค์กรเหล่านี้จึงประเมินความเสี่ยงที่มีผลกระทบที่สำคัญต่อวัตถุประสงค์ และดำเนินการตามกระบวนการควบคุมและการบริหารความเสี่ยง นอกจากนั้นยังทำการพลิกผันเหตุการณ์เชิงลบให้เป็นโอกาสแก่ธุรกิจ ซึ่งมีผลให้เกิดการได้เปรียบทางการแข่งขันและการตัดสินใจทางธุรกิจที่มีประสิทธิภาพ

การบริหารความเสี่ยงช่วยให้องค์กรสามารถบรรลุเป้าหมาย ในขณะที่ลดอุปสรรคหรือสิ่งที่ไม่คาดหวังที่อาจเกิดขึ้นทั้งในด้านผลกำไรและการปฏิบัติงาน ป้องกันความเสียหายต่อทรัพยากรขององค์กร และสร้างความมั่นใจในการรายงานและการปฏิบัติตามกฎระเบียบ การบริหารความเสี่ยงจึงมีประโยชน์ที่สำคัญคือ

- ลดความสูญเสียและสิ่งที่ไม่คาดหวังจากการดำเนินงาน การบริหารความเสี่ยงช่วยให้องค์กรตระหนักถึงเหตุการณ์ที่อาจเกิดขึ้นในทางเสียหาย ประเมินความเสี่ยง และกำหนดวิธีจัดการ ดังนั้นจึงลดสิ่งที่ไม่คาดหวังและการสูญเสียต่อธุรกิจ
- สร้างโอกาส การพิจารณาเหตุการณ์ทั้งหมดที่อาจเกิดขึ้นต่อองค์กรโดยไม่จำกัดเฉพาะความเสี่ยงที่เป็นความเสียหายช่วยให้ผู้บริหารสามารถบ่งชี้และใช้ประโยชน์จากเหตุการณ์ในเชิงบวกได้อย่างมีประสิทธิภาพมากยิ่งขึ้น

โดยสรุปองค์กรที่ประสบความสำเร็จมากที่สุดคือองค์กรที่สามารถนำเอาการบริหารความเสี่ยงมาใช้เป็นเครื่องมือในการเพิ่มมูลค่าของผู้ที่มีส่วนได้ส่วนเสีย ทั้งนี้ผู้บริหารระดับสูงต้องเป็นผู้นำเพื่อให้การบริหารความเสี่ยงขององค์กรก้าวไปสู่ความเป็นเลิศ