โกศล ดีศีลธรรม
สำหรับการดำเนินงานขององค์กรยุคใหม่ไม่ว่าจะเป็นภาคธุรกิจหรือภาครัฐ จะต้องเผชิญกับปัจจัยความไม่แน่นอน โดยเฉพาะความเสี่ยงเป็นเหตุการณ์ที่อาจเกิดขึ้นในอนาคตภายใต้สถานการณ์ที่ไม่แน่นอน และส่งผลกระทบหรือสร้างความเสียหายให้กับองค์กร ทั้งทางด้านกลยุทธ์การปฏิบัติงานและการเงิน ทำให้หลายคนไม่สามารถปฏิเสธว่าเหตุการณ์เหล่านี้ล้วนเป็นความเสี่ยงที่มีผลต่อกระทบต่อการดำเนินงาน
การบริหารความเสี่ยงจึงมีบทบาทสนับสนุนกระบวนการบริหารจัดการให้องค์กรสามารถดำเนินงานอย่างต่อเนื่องหรือเกิดผลกระทบที่องค์กรยอมรับได้หากเกิดเหตุการณ์ความเสี่ยง โดยกำหนดแนวทางจัดการและติดตามปัจจัยความเสี่ยงเกี่ยวข้องกับการดำเนินงานและสามารถดำเนินการขจัดหรือลดปัจจัยต่าง ๆ ที่เป็นอุปสรรคต่อการดำเนินงาน ดังนั้นแนวทางบริหารความเสี่ยงที่นำมาประยุกต์ใช้จะต้องสอดคล้องกับโครงสร้าง วัฒนธรรมองค์กร เพื่อใช้กำหนดกลยุทธ์องค์กรที่จะเพิ่มความเชื่อมั่นให้กับผู้บริหารและสนับสนุนให้องค์กรบรรลุเป้าหมาย
ความเสี่ยงระดับองค์กร คือ ความเสี่ยงระดับนโยบาย กลยุทธ์หรือความเสี่ยงที่ทำให้ไม่สามารถบรรลุวัตถุประสงค์ระดับกลยุทธ์องค์กรได้ โดยแนวทางบริหารความเสี่ยงทั้งองค์กร (Enterprise Risk Management) ได้มุ่งเน้นการเชื่อมโยงการบริหารความเสี่ยงกับกระบวนการกำหนดกลยุทธ์และการวางแผนธุรกิจ ดังนั้นการบริหารความเสี่ยงจะช่วยระบุเหตุการณ์ที่อาจเกิดขึ้นและส่งผลกระทบกับองค์กร
ขณะเดียวกันเมื่อมีการดำเนินการตามแผนธุรกิจและแผนกลยุทธ์ระยะหนึ่งแล้ว กระบวนการบริหารความเสี่ยงจะมีหน้าที่ติดตามความเสี่ยงต่าง ๆ ขององค์กรและสามารถส่งสัญญาณเตือนภัยล่วงหน้าเพื่อที่เป็นข้อมูลสนับสนุนให้ฝ่ายบริหารสามารถตัดสินใจได้ สำหรับแผนการบริหารความเสี่ยงองค์กรจัดทำขึ้น โดยคณะกรรมการ ผู้บริหาร และพนักงาน เพื่อนำมาประยุกต์ใช้ในการจัดทำแผนกลยุทธ์องค์กร ซึ่งมีแนวทางการจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้เพื่อให้บรรลุวัตถุประสงค์ขององค์กร โดยมีองค์ประกอบสำคัญ คือ วัฒนธรรมองค์กร โครงสร้างการบริหารความเสี่ยง กระบวนการบริหารความเสี่ยงและปัจจัยพื้นฐานต่าง ๆ โดยทั่วไปการบริหารความเสี่ยงจะมุ่งการจัดลำดับความสำคัญหรือความรุนแรงของความเสี่ยงเพื่อใช้ทรัพยากรที่มีอยู่อย่างจำกัดในการบริหารจัดการกับสิ่งที่มีความสำคัญมากก่อน ซึ่งมีการพิจารณาถึงต้นทุนที่ต้องเสียไปกับผลประโยชน์ที่จะได้รับ ดังนั้นการบริหารความเสี่ยงถือเป็นเครื่องมือสนับสนุนการบริหารองค์กรให้เกิดประสิทธิภาพและบรรลุวัตถุประสงค์ตามวิสัยทัศน์องค์กร โดยประเมินวิเคราะห์เหตุการณ์ การคาดการณ์ การพยากรณ์เหตุการณ์หรือวิเคราะห์ความน่าจะทั้งปัจจัยภายในและภายนอกที่อาจส่งผลกระทบต่อการดำเนินงานขององค์กร โดยเฉพาะการจัดลำดับความสำคัญเพื่อจัดการความเสี่ยงที่เหมาะสมซึ่งใช้วิธีการที่เป็นเหตุเป็นผลเชิงวิทยาศาสตร์ผสมผสานกับความเชี่ยวชาญและประสบการณ์เพื่อประกอบการบ่งชี้และประเมินความรุนแรงของผลกระทบ รวมถึงการเฝ้าระวังติดตามความเสี่ยงและสื่อสารความเสี่ยงที่แฝงในการดำเนินงานทั่วทั้งองค์กร สำหรับความเสี่ยงเกิดขึ้นจากเหตุปัจจัยความเสี่ยง ประเภทความเสี่ยงสามารถจำแนก ดังนี้
กรอบบริหารความเสี่ยงองค์กร
1. ความเสี่ยงทางกลยุทธ์ (Strategic Risk) คือ ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงานและนำไปปฏิบัติไม่เหมาะสมหรือไม่สอดคล้องกับปัจจัยภายในและสภาพแวดล้อมภายนอก ซึ่งส่งผลกระทบต่อการบรรลุวิสัยทัศน์และพันธกิจขององค์กร โดยแหล่งที่มาความเสี่ยงทางกลยุทธ์ สามารถจำแนกได้ 2 ประเภท คือ ปัจจัยความเสี่ยงภายนอก อาทิ สภาวะการแข่งขัน การเปลี่ยนแปลงนโยบาย กระแสสังคม การเปลี่ยนแปลงทางเทคโนโลยี ปัจจัยเศรษฐกิจ การเมือง ส่วนปัจจัยความเสี่ยงภายใน คือ ปัจจัยภายในที่องค์กรสามารถควบคุมได้ แต่สามารถส่งผลกระทบหรือเป็นอุปสรรคต่อการดำเนินการตามแผนกลยุทธ์เพื่อให้บรรลุเป้าหมาย ได้แก่ โครงสร้างองค์กร กระบวนการ และวิธีปฏิบัติงาน ความเพียงพอของข้อมูล และเทคโนโลยีสนับสนุนการให้บริการ เป็นต้น
2. ความเสี่ยงการดำเนินงาน (Operational Risk) คือ ความเสี่ยงที่จะเกิดความเสียหายอันเนื่องมาจากการกำกับดูแลกิจการที่ดีหรือขาดธรรมาภิบาลในองค์กรและขาดการควบคุมที่ดี ประเภทความเสี่ยงปฏิบัติการ ได้แก่
• ความเสี่ยงจากบุคลากร (People Risk) เป็นความเสี่ยงการปฏิบัติงานที่เกิดจากความล้มเหลวหรือความไม่เหมาะสมของบุคลากร รวมถึงความสามารถและจริยธรรมของบุคลากร ซึ่งส่งผลกระทบทางลบต่อการดำเนินงานหรือฐานะทางการเงินขององค์กร ด้วยเหตุผลหลัก 3 ประการ คือ
1. บุคลากรผู้ปฏิบัติงานอาจมีความสามารถไม่เพียงพอหรือมีความสามารถแต่ไม่ตรงกับลักษณะของงาน (Incompetency)
2. บุคลากรภายในองค์กรทุจริต (Fraud) เช่น การปลอมแปลงเอกสาร
3. จำนวนบุคลากรไม่เพียงพอต่อการปฏิบัติงาน (Inadequacy)
• ความเสี่ยงในกระบวนการปฏิบัติงาน (Process Risk) เป็นความเสี่ยงที่เกิดจากความล้มเหลวหรือความไม่เหมาะสมของกระบวนการ แม้บุคลากรขององค์กรจะเป็นผู้มีความสามารถตรงลักษณะงาน ตั้งใจทำงานด้วยความขยันหมั่นเพียร และซื่อสัตย์สุจริต แต่ความเสี่ยงอาจมีสาเหตุจากระบบการควบคุมภายในไม่ดีพอหรือไม่เหมาะสม (Internal Control Risk) เช่น การแบ่งแยกหน้าที่การทำงานไม่เหมาะสม กำหนดขอบเขตอำนาจอนุมัติไว้อย่างไม่ชัดเจน เป็นต้น สำหรับภาครัฐควรมีการวางระบบบริหารความเสี่ยงกระบวนการที่มุ่งสร้างคุณค่าเพื่อให้เป็นไปตามมาตรฐานปฏิบัติงานที่กำหนดการบริหารความเสี่ยงของกระบวนการ อาจนำแนวคิดการออกแบบระบบควบคุมมาใช้ได้ โดยมีปัจจัยหลัก คือ วัตถุประสงค์การควบคุม ความคุ้มค่าการควบคุม ความทันการณ์ของการติดตาม ความสม่ำเสมอของกลไกการควบคุม การจูงใจผู้ปฏิบัติงาน
• ความเสี่ยงทางเทคโนโลยี (Technology Risk) เป็นความเสี่ยงที่เกิดจากระบบคอมพิวเตอร์ หรือเครือข่ายสื่อสารขององค์กรเกิดความล้มเหลว ล้าสมัย และไม่มีประสิทธิภาพ ทำให้การดำเนินงานหยุดชะงักหรือไม่สามารถให้บริการได้ เช่น ข้อมูลไม่ถูกต้อง ข้อมูลไม่มีความปลอดภัยจากการโจรกรรม การไม่สามารถกู้ระบบได้อย่างทันท่วงที เป็นต้น
• ความเสี่ยงจากเหตุปัจจัยภายนอก (External) เกิดจากสาเหตุภายนอกองค์กรที่ส่งผลกระทบต่อการดำเนินงานหรือฐานะทางการเงินขององค์กร เช่น การเรียกร้องค่าสินไหมทดแทนอันเป็นเท็จ การทุจริตจากบุคคลภายนอก การเปลี่ยนแปลงกฎหมาย การจ้างผู้บริการภายนอก และภัยธรรมชาติ เป็นต้น ดังกรณีการผลิตโทรศัพท์มือถือของโซนี่ อีริคสันและโนเกีย ในอดีตตลาดโทรศัพท์มือถือค่ายโซนี่และอีริคสันถือว่าเป็นผู้นำตลาด โดยผู้ผลิตทั้งสองรายมีผู้ส่งมอบชิ้นส่วนรายเดียวกัน เมื่อเกิดเพลิงไหม้ทางโซนี่และอีริคสัน ไม่มีระบบการบริหารความเสี่ยงที่ดีจึงทำให้กิจกรรมการผลิตหยุดชะงัก ขณะที่โนเกียมีการบริหารความเสี่ยงโดยใช้ผู้ส่งมอบชิ้นส่วนหลายราย ทำให้สายการผลิตไม่เกิดการสะดุดและมีการพัฒนาสินค้าเข้าสู่ตลาดอย่างต่อเนื่อง ทำให้โนเกียเป็นผู้นำตลาดโทรศัพท์มือถือกระทั่งปัจจุบัน
ปัจจัยความเสี่ยงทั้งภายในและภายนอก
3. ความเสี่ยงด้านการเงิน (Financial Risk) เกิดจากการเปลี่ยนแปลงทางสภาพเศรษฐกิจและการเงินอย่างกรณีปี พ.ศ.2551 ถือได้ว่าเป็นปีที่สถาบันการเงินได้รับผลกระทบจากภาวะวิกฤตการเงินโลกและปัญหาความไม่สงบทางการเมืองภายในประเทศ ส่งผลให้เศรษฐกิจชะลอตัวลงต่อเนื่อง ทำให้เกิดความผันผวนในอัตราแลกเปลี่ยน อัตราดอกเบี้ยและสภาพคล่องทางการเงิน
4. ความเสี่ยงด้านปฏิบัติตามกฎหมาย/กฎระเบียบ (Compliance Risk) คือ ความเสี่ยงที่เกิดจากการไม่สามารถปฏิบัติตามกฎระเบียบหรือกฎหมายที่เกี่ยวข้องซึ่งเป็นอุปสรรคการปฏิบัติงาน
5. ความเสี่ยงทางธุรกิจ (Business Risk) เกิดจากการเปลี่ยนแปลงข้อตกลงหรือสมมติฐานทางธุรกิจ ที่มีผลกระทบต่อความสามารถการแข่งขัน โดยเฉพาะความเสี่ยงในการลงทุน
6. ความเสี่ยงทางชื่อเสียง (Reputation Risk) เกิดจากการดำเนินงานที่มีผลกระทบต่อภาพลักษณ์และชื่อเสียงองค์กรเช่น การร้องเรียนเรื่องคุณภาพสินค้าหรือการไม่ยอมรับของชุมชน
โดยลักษณะความเสี่ยงสามารถจำแนกเป็น 3 ส่วน ดังนี้
• ปัจจัยความเสี่ยง (Risk Factor) คือ สาเหตุที่จะทำให้เกิดความเสี่ยง โดยต้องระบุว่าเหตุการณ์นั้นเกิดที่ไหน เมื่อใด และเกิดขึ้นอย่างไร และทำไม ทั้งนี้สาเหตุความเสี่ยงที่ระบุควรเป็นสาเหตุแท้จริงเพื่อวิเคราะห์และกำหนดมาตรการลดความเสี่ยงในภายหลังอย่างถูกต้อง
• เหตุการณ์เสี่ยง (Event) คือ เหตุการณ์ที่ส่งผลกระทบต่อการดำเนินงานหรือนโยบาย
• ผลกระทบจากความเสี่ยง (Impact) คือ ความรุนแรงของความเสียหายที่น่าจะเกิดขึ้นจากเหตุการณ์เสี่ยง
ระบบบริหารความเสี่ยง
ดังนั้นเป้าหมายหลักของการบริหารความเสี่ยงองค์กร ได้แก่
• ลดความเสี่ยงที่มีผลกระทบต่อหน่วยงานให้อยู่ในระดับที่ยอมรับได้ โดยผู้บริหารควรต้องรู้ความเสี่ยงทั้งหมดขององค์กร แต่หน่วยงานหรือองค์กรจะมีการควบคุมภายในหรือไม่ขึ้นอยู่กับความคุ้มค่าและความสบายใจการทำงาน
• การติดตามประเมินผลการบริหารความเสี่ยงอย่างเป็นทางการและไม่เป็นทางการ การดำเนินงานควรเป็นในเชิงปริมาณ (Quantitative) หากเป็นนามธรรมต้องใช้ดุลยพินิจประเมินในเชิงคุณภาพโดยทั่วไปการดำเนินการจะผสมผสานทั้งเชิงปริมาณและเชิงคุณภาพ กิจกรรมบางประเภทเมื่อตัดความเสี่ยงออกไป หน่วยงานต้องติดตามดูแล โดยใช้ประสบการณ์มาพิจารณาทบทวนว่ายังมีความเสี่ยงอยู่หรือไม่ ตามมาตรฐานใหม่ การบริหารความเสี่ยงที่ฝังแน่นในวัฒนธรรมของหน่วยงานจะมีการทบทวนปรับปรุงทุก 2–5 ปี ที่มุ่งบริหารความเสี่ยงทั่วทั้งองค์กร โดยมีผู้บริหารระดับสูง คณะกรรมการบริษัท ตลอดจนพนักงานทุกระดับมีส่วนร่วม
ส่วนการบริหารความเสี่ยงที่มีประสิทธิผล เกิดจากปัจจัยหลัก ดังนี้
• การสนับสนุน ผู้บริหารระดับสูงต้องให้การสนับสนุนและแสดงความรับผิดชอบ รวมทั้งความมีส่วนร่วมบริหารความเสี่ยง
• กระบวนการ โดยมุ่งบริหารความเสี่ยงที่สามารถปรับเปลี่ยนให้สอดคล้องกับการปฏิบัติงานจริงขององค์กรและสามารถปฏิบัติได้อย่างต่อเนื่องทั่วทั้งองค์กร
• บุคลากร โดยมุ่งสร้างความร่วมมือที่ดำเนินการโดยพนักงานทุกระดับและกำหนดหน้าที่ความรับผิดชอบอย่างชัดเจน
• การสื่อสาร โดยมีการสื่อสารข้อมูลเกี่ยวกับความเสี่ยงอย่างต่อเนื่องและจัดให้มีการอบรม ตลอดจนใช้กลไกบริหารทรัพยากรบุคคลและเทคโนโลยีสารสนเทศเพื่อเผยแพร่ข้อมูลการบริหารความเสี่ยง
เนื่องจากการบริหารความเสี่ยงองค์กรยุคใหม่ครอบคลุมถึงการบูรณาการอย่างลงตัวของวัฒนธรรมองค์กร กระบวนการและโครงสร้างองค์กร ซึ่งมีผลโดยตรงต่อประสิทธิภาพการบริหารงานและผลได้ผลเสียของธุรกิจ ทำให้การดำเนินการควรเริ่มต้นจากคณะกรรมการและผู้บริหาร ตลอดจนพนักงานทำความเข้าใจให้ตรงกันต่อนิยามความเสี่ยงเพื่อให้ทุกคนสามารถบ่งชี้โอกาสเกิดความเสี่ยงในทิศทางเดียวกับการดำเนินงานและสร้างความมั่นใจในการปฏิบัติตามกฎระเบียบ ดังนี้
1. ความสอดคล้องกันระหว่างความเสี่ยงที่ยอมรับได้กับกลยุทธ์องค์กร โดยความเสี่ยงที่ยอมรับได้คือ ความไม่แน่นอนโดยรวมที่องค์กรยอมรับได้โดยยังคงให้ธุรกิจสามารถบรรลุเป้าหมาย ความเสี่ยงที่ยอมรับได้เป็นปัจจัยสำคัญในการประเมินทางเลือกดำเนินกลยุทธ์ ทำให้ผู้บริหารพิจารณาความเสี่ยงที่ยอมรับได้ที่สอดคล้องกับกลยุทธ์องค์กร
2. ความสัมพันธ์ระหว่างการเติบโต ความเสี่ยง และผลตอบแทนธุรกิจ โดยสนับสนุนให้องค์กรสามารถบ่งชี้เหตุการณ์ ประเมินความเสี่ยงและจัดการความเสี่ยงให้สอดคล้องกับวัตถุประสงค์การเติบโตและผลตอบแทนขององค์กร
3. การบริหารจัดการความเสี่ยง เนื่องจากการบริหารความเสี่ยงคลอบคลุมเหตุการณ์ทั้งหมดที่จะเกิดขึ้น โดยไม่จำเป็นต้องจำกัดเฉพาะสิ่งที่เป็นความเสียหาย ทำให้ผู้บริหารสามารถบ่งชี้และใช้ประโยชน์จากเหตุการณ์เชิงบวกอย่างรวดเร็วและเกิดประสิทธิภาพ
4. ลดความสูญเสียจากปัจจัยความเสี่ยงการดำเนินงาน โดยกำหนดวิธีจัดการเพื่อลดปัจจัยที่ผลต่อความสูญเสียต่อองค์กร
5. การบริหารความเสี่ยงทั่วทั้งองค์กร เนื่องจากปัจจัยความเสี่ยงมีความเชื่อมโยงระหว่างกัน ดังนั้นบริหารจัดการความเสี่ยงโดยรวมจึงควรพิจารณาความเสี่ยงในภาพรวมขององค์กร
6. การสร้างโอกาส การพิจารณาเหตุการณ์ทั้งหมดที่อาจเกิดขึ้นต่อองค์กรโดยไม่จำกัดเฉพาะความเสี่ยงที่เป็นความเสียหาย ทำให้ผู้บริหารสามารถบ่งชี้และใช้ประโยชน์จากโอกาสหรือเหตุการณ์เชิงบวกเกิดประสิทธิภาพมากขึ้น
ขั้นตอนประเมินความเสี่ยง
สำหรับการประเมินความเสี่ยงควรจัดทำลงในตารางประเมินและดำเนินการประเมินความเสี่ยงใหม่หลังจากดำเนินการแล้วระยะหนึ่ง เพื่อติดตามผลว่าความเสี่ยงลดลงหรือไม่ ถ้ายังไม่ดีขึ้นก็ต้องทำแผนตอบสนองความเสี่ยงเพิ่ม หากทำแผนเพิ่มหลายครั้งแล้วความเสี่ยงไม่ลดลงก็ต้องยอมรับความเสี่ยงนั้น แต่ทั้งนี้แนวทางจัดการความเสี่ยงมีหลายวิธี ซึ่งต้องพิจารณาตามวัตถุประสงค์เพื่อหาแนวทางจัดการให้เหมาะสม เพื่อให้สามารถติดตามและแก้ไขได้ง่ายทันท่วงที ดังนั้นช่วงการทำ Workshop ต้องพิจารณา โอกาสและผลกระทบให้ดีเพื่อให้เกิดความผิดพลาดในการประเมิน ถ้าไม่แน่ใจอาจใส่ค่าเฉลี่ย แต่ต้องมีการตกลงและยอมรับกันก่อน รวมถึงการกำหนด หน่วยวัดที่ต้องจับต้องได้และระดับที่ยอมรับได้ให้สอดคล้องกัน โดยทั่วไปการประเมินความเสี่ยงสามารถดำเนินการได้ทั้งก่อนและหลังการดำเนินงาน ซึ่งพิจารณาตามความสำคัญ รวมถึงการประเมินที่วัดเชิงคุณภาพด้วยตารางวัดความเสี่ยงโดยใช้ระบบสเกลหรือการใช้เทคนิคเชิง โดยจัดแบ่งเป็นระดับความเสี่ยงและแสดงเป็น Risk Profile แบ่งพื้นที่เป็น 4 ส่วน (4 Quadrant) เพื่อใช้เกณฑ์การจำแนก ดังนี้
1. ระดับความเสี่ยงต่ำ (Low) คะแนนระดับความเสี่ยง 1–4 คะแนน ยอมรับความเสี่ยง กำหนดเป็นสีเขียว
2. ระดับความเสี่ยงปานกลาง (Medium) คะแนนระดับความเสี่ยง 5–9 คะแนน ยอมรับความเสี่ยงแต่มีแผนควบคุมความเสี่ยง กำหนดเป็นสีเหลือง
3. ระดับความเสี่ยงสูง (High) คะแนนระดับความเสี่ยง 10–15 คะแนน โดยมีแผนลดความเสี่ยง กำหนดเป็นสีส้ม
4. ระดับความเสี่ยงสูงมาก (Extreme) คะแนนระดับความเสี่ยง 16–25 คะแนน ต้องมีแผนลดความเสี่ยงและประเมินซ้ำหรือถ่ายโอนความเสี่ยง กำหนดเป็นสีแดง
การจำแนกระดับความเสี่ยง
เมื่อประเมินค่าระดับความเสี่ยงแล้วจะนำมาจัดลำดับความรุนแรงของความเสี่ยงที่มีผลกระทบต่อการดำเนินงานเพื่อระบุกิจกรรมควบคุมแต่ละสาเหตุความเสี่ยงหลักให้เหมาะสม โดยพิจารณาระดับความเสี่ยงตามตารางประเมินความเสี่ยงที่จัดเรียงตามลำดับจากระดับสูงมาก สูง ปานกลาง ต่ำและเลือกความเสี่ยงที่มีระดับสูงมากและสูง เพื่อจัดทำแผนการบริหารความเสี่ยงในขั้นต่อไป ซึ่งการประเมินความเสี่ยงจะต้องจัดทำแผนภูมิความเสี่ยง (Risk Profile) ที่ได้จากการจัดระดับความสำคัญความเสี่ยงจากโอกาสที่จะเกิดความเสี่ยง (Likelihood) และผลกระทบที่เกิดขึ้น (Impact) รวมทั้งขอบเขตระดับความเสี่ยงที่สามารถยอมรับได้ (Risk Appetite Boundary) แสดงด้วยความสัมพันธ์ ดังนี้
ระดับความเสี่ยง = โอกาสการเกิดเหตุการณ์ x ความรุนแรงของเหตุการณ์ (Likelihood x Impact)
โดยองค์กรควรมีเครื่องมือช่วยระบุประเมินและแสดงผลการประเมินความเสี่ยงปฏิบัติการ เช่น แผนภูมิความเสี่ยง (Risk Map) ดัชนีชี้วัดความเสี่ยง (Key Risk Indicators) และแผนผังขั้นตอนการทำงาน (Business Process Map) เป็นต้น ทั้งนี้อาจกำหนดรูปแบบและเงื่อนไขการประเมินความเสี่ยงตามแนวทางที่เห็นสมควรนอกเหนือจากที่กล่าวไว้ข้างต้น อาทิ วิธีคำนวณเฉพาะตามหลักการคณิตศาสตร์และค่าสัมพันธ์ทางสถิติหรือใช้โปรแกรมคอมพิวเตอร์สำเร็จรูป แนวทางหรือวิธีการคำนวณดังกล่าวต้องสอดคล้องกับลักษณะ ขอบเขต การดำเนินธุรกิจ และความสามารถในการยอมรับความเสี่ยงหลัก องค์กรควรติดตามการจัดการความเสี่ยงและบันทึกไว้เป็นเอกสาร ซึ่งมีการระบุรายละเอียดชัดเจนเพื่อใช้ในการตรวจสอบและประเมินประสิทธิภาพการบริหารความเสี่ยง ส่วนการพิจารณาว่าจะตอบสนองต่อความเสี่ยงอย่างไร ฝ่ายจัดการจะต้องประเมินผลกระทบที่มีต่อโอกาสที่อาจเกิดขึ้นและผลกระทบความเสี่ยง รวมทั้งต้นทุนและผลประโยชน์ที่จะได้รับ เพื่อเลือกแนวทางการตอบสนองต่อความเสี่ยงให้ความเสี่ยงที่ยังคงเหลืออยู่ (Residual Risk) ภายในช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Tolerances) ฝ่ายจัดการควรระบุโอกาส (Opportunities) ที่อาจจะยังมีอยู่ รวมถึงมองประเด็นความเสี่ยงระดับองค์กรแล้วพิจารณาว่าความเสี่ยงที่เหลืออยู่โดยรวมอยู่ในระดับที่องค์กรยอมรับได้หรือไม่ โดยมีขั้นตอน ดังนี้
ตัวอย่างการประเมินความเสี่ยงขั้นต้นและความเสี่ยงคงเหลือ
• ระบุกลยุทธ์ แนวทางและมาตรการที่เป็นทางเลือกเพื่อดำเนินการขจัดหรือลดความเสี่ยงเพื่อให้ความเสี่ยงที่เหลื่ออยู่ในระดับที่ยอมรับได้
• ศึกษาความเป็นไปได้และค่าใช้จ่ายแต่ละทางเลือก รวมถึงพิจารณาประโยชน์แต่ละทางเลือก
• เลือกแนวทางดีที่สุด โดยกำหนดผู้รับผิดชอบและกรอบระยะเวลา เพื่อกำหนดแผนปฏิบัติการ และมาตรการในการติดตามผล
• ดำเนินการขออนุมัติแผนจัดการความเสี่ยง
• รายงานผลการประเมินความเสี่ยงให้ผู้บริหารระดับสูงและคณะกรรมการตรวจสอบ
การตอบสนองความเสี่ยง
สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.
ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด
