เนื้อหาวันที่ : 2010-07-23 11:53:01 จำนวนผู้เข้าชมแล้ว : 7227 views

แนวทางปฏิบัติสู่ความเป็นเลิศในการบริหาร จัดการความเสี่ยง (ตอนจบ)

กลยุทธ์การบริหารความเสี่ยงเชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร ธุรกิจ ซึ่ง ได้แก่ การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่าง ๆ ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน ประกอบในการกำหนดนโยบาย/กลยุทธ์/การวางแผน /การลงทุน

สนั่น เถาชารี

.

.

ระดับ 4 การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร
มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3
กลยุทธ์การบริหารความเสี่ยงเชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนขององค์กร ธุรกิจ ซึ่ง ได้แก่ การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่าง ๆ ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน ประกอบในการกำหนดนโยบาย/กลยุทธ์/การวางแผน /การลงทุน

.
1. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยงเพื่อเพิ่มมูลค่า (Value Enhancement)
1.1 ปฏิบัติตามแผนการบริหารความเสี่ยงประจำปีอย่างครบถ้วน
.

1.2 มีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงิน โดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน หรือการควบคุม/บริหารต้นทุน และ/หรือ ค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหารความเสี่ยง หรือการที่องค์กร ธุรกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด         

.

รวมไปถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร

.
1.3 มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุดอย่างต่อเนื่อง
.

2. มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนดโดยใช้แนวทางที่สำคัญคือ

.

- กำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
- พัฒนากระบวนการบริหารความเสี่ยงที่ดี และสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
- พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

.

3. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น ผู้บริหารควรรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

.

4. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
4.1 คณะกรรมการองค์กร ธุรกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้านเทคโนโลยีสารสนเทศ ได้แก่

.

4.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off Site Back Up)
4.1.2 มีระบบการดูแลสภาพแวดล้อมของศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตาม
มาตรฐาน BS/EN1047-2

.

4.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management (BCM)) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis (BIA)) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่าง ๆ อย่างเป็นรูปธรรม โดยการจัดการดำเนินธุรกิจอย่างต่อเนื่อง มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non-IT จากสถานการณ์ต่าง ๆ ที่อาจเกิดขึ้นได้)

.

4.2 คณะกรรมการองค์กร ธุรกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ (Information Technology (IT)) ขององค์กร ธุรกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ (Information Technology Strategy Committee)

.

4.3 ฝ่ายบริหารมีการประเมินศักยภาพของเทคโนโลยีสารสนเทศ (Information Technology (IT)) และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้านเทคโนโลยีสารสนเทศ (Information Technology (IT)) และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน

.

4.4 ระบบ e-DOC (Electronic Department Operation Center) ขององค์กร ธุรกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน Financial Risk/Operational Risk/Business Risk และ Event Risk ของคณะกรรมการและผู้บริหารระดับสูงในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

.

4.5 การจัดทำแผนเพื่อรองรับ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ISO 17799) สำหรับทุกระบบขององค์กร โดยทุกระบบต้องดำเนินการครบทั้ง 11 Domain ซึ่งกำหนดให้แล้วเสร็จภายใน 2 ปี โดยประกอบด้วยแผนระยะสั้น และแผนระยะยาว

.

5. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง โดยพิจารณาจาก

.

- การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด

.

- ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
- ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลางถึงสูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลงจะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Financial Risk/Operational Risk/Business Risk และ Event Risk

.

- ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators (KRI)) ที่ระบุเป้าหมายเชิงปริมาณ องค์กร ธุรกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI/ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

.

ระดับ 5 การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation)

มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 4 กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณา

.
1. ผลตอบแทน และ/หรือความดีความชอบ
1.1 แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับการประเมินผลการปฏิบัติงาน (Performance Evaluation) ขององค์กร
.

1.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคลหรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคลหรือสายงานนั้นเป็นผู้รับผิดชอบว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

.

1.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงานเพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

.

2. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
2.1 คณะกรรมการองค์กร ธุรกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้านเทคโนโลยีสารสนเทศกับความเสี่ยงที่อาจเกิดขึ้น

.

2.2 คณะกรรมการองค์กร ธุรกิจมีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้านเทคโนโลยีสารสนเทศตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่เพิ่มมากขึ้น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศ ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร

.

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จากมูลค่าที่องค์กร ธุรกิจระบุไว้ นอกจากนี้ยังรวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสียโอกาสของธุรกิจการที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน

.

โดยที่โอกาสของธุรกิจอาจพิจารณาจากการวิเคราะห์ SWOT ขององค์กรซึ่งประกอบด้วย Strengths คือจุดแข็ง Weaknesses คือจุดอ่อน Opportunities คือโอกาส และ Threats คืออุปสรรค หรือการที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมการพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ภายในองค์กร

.
กระบวนการบริหารความเสี่ยง (Risk Management Process)
องค์กรที่นำกรอบการบริหารความเสี่ยงไปปฏิบัติได้อย่างประสบผลสำเร็จมีขั้นตอนที่สำคัญของการบริหารความเสี่ยงดังต่อไปนี้

1.  การกำหนดวัตถุประสงค์ (Objective Setting) การกำหนดวัตถุประสงค์ทางธุรกิจที่ชัดเจน เป็นขั้นตอนแรกสำหรับกระบวนการบริหารความเสี่ยง องค์กรควรมั่นใจว่าวัตถุประสงค์ที่กำหนดขึ้นมามีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้ โดยทั่วไปวัตถุประสงค์และกลยุทธ์ควรได้รับการบันทึกเป็นลายลักษณ์อักษรและสามารถพิจารณาได้ในด้านต่าง ๆ ดังนี้

.

- ด้านกลยุทธ์ เกี่ยวข้องกับเป้าหมายและพันธกิจในภาพรวมขององค์กร
- ด้านปฏิบัติงาน เกี่ยวข้องกับประสิทธิภาพ ผลการปฏิบัติงาน และความสามารถในการทำกำไร
- ด้านการรายงาน เกี่ยวข้องกับการรายงานทั้งภายในและภายนอกองค์กร
- ด้านการปฏิบัติตามกฎ ระเบียบ เกี่ยวข้องกับการปฏิบัติตามกฎหมาย และกฎระเบียบต่าง ๆ

.

2.  การบ่งชี้เหตุการณ์ (Event Identification) การทำธุรกิจมักมีความไม่แน่นอนเกิดขึ้นมากมาย องค์กรไม่สามารถมั่นใจได้ว่าเหตุการณ์ใดเหตุการณ์หนึ่งจะเกิดขึ้นหรือไม่หรือผลลัพธ์ที่เกิดขึ้นจะเป็นอย่างไร ในกระบวนการบ่งชี้เหตุการณ์ผู้บริหารควรต้องพิจารณาสิ่งต่อไปนี้

.

- ปัจจัยความเสี่ยงทุกด้านที่อาจจะเกิดขึ้น เช่น ความเสี่ยงด้านกลยุทธ์ การเงิน บุคลากร การปฏิบัติงาน กฎหมาย ภาษี อากร ระบบงาน สิ่งแวดล้อม
- แหล่งความเสี่ยงทั้งจากภายในและภายนอกองค์กร
- ความสัมพันธ์ระหว่างเหตุการณ์ที่อาจเกิดขึ้น

.

ในบางกรณีควรมีการจัดกลุ่มเหตุการณ์ที่อาจเกิดขึ้นโดยแบ่งตามประเภทของเหตุการณ์ และรวบรวมเหตุการณ์ทั้งหมดในองค์กรที่เกิดขึ้นระหว่างหน่วยงานและภายในหน่วยงาน เพื่อช่วยให้ผู้บริหารสามารถเข้าใจความสัมพันธ์ระหว่างเหตุการณ์ และมีข้อมูลที่เพียงพอเพื่อเป็นพื้นฐานสำหรับการประเมินความเสี่ยง

.

3. การประเมินความเสี่ยง (Risk Assessment) ขั้นตอนนี้เน้นการประเมินโอกาสและผลกระทบของเหตุการณ์ที่อาจเกิดขึ้นต่อวัตถุประสงค์ ขณะที่การเกิดเหตุการณ์ใดเหตุการณ์หนึ่งอาจส่งผลกระทบในระดับต่ำ เหตุการณ์ที่เกิดขึ้นอย่างต่อเนื่องอาจมีผลกระทบในระดับสูงต่อวัตถุประสงค์ โดยทั่วไปการประเมินความเสี่ยงประกอบด้วย 2 มิติดังนี้

.

มิติที่ 1 โอกาสที่อาจเกิดขึ้น (Likelihood) เหตุการณ์มีโอกาสเกิดขึ้นมากน้อยเพียงใด
มิติที่ 2 ผลกระทบ (Impact) หากมีเหตุการณ์เกิดขึ้นองค์กรจะได้รับผลกระทบมากน้อยเพียงใด

.

การประเมินความเสี่ยงสามารถทำได้ทั้งการประเมินเชิงคุณภาพและเชิงปริมาณ โดยพิจารณาทั้งเหตุการณ์ที่เกิดขึ้นจากภายนอกและภายในองค์กร นอกจากนี้ การประเมินความเสี่ยงควรดำเนินการทั้งก่อนการจัดการความเสี่ยง (Inherent Risk) และหลังจากที่มีการจัดการความเสี่ยงแล้ว (Residual Risk)

.

ปัจจัยที่ควรใช้ในการประเมินความเสี่ยงที่สำคัญคือ การปฏิบัติงานของผู้บริหารและพนักงาน กระบวนการปฏิบัติงาน กิจกรรมการควบคุมภายใน โครงสร้างทางธุรกิจและกระบวนการรายงาน การวัดผลการปฏิบัติงานและการติดตามผล วิธีการติดต่อสื่อสาร ทัศนคติและแนวทางของผู้บริหารเกี่ยวกับความเสี่ยง พฤติกรรมขององค์กรที่คาดว่าจะมีและที่มีอยู่ในปัจจุบัน และสัญญาและพันธมิตรในปัจจุบัน

.

4. การตอบสนองความเสี่ยง (Risk Response) เมื่อความเสี่ยงได้รับการบ่งชี้และประเมินความสำคัญแล้ว ผู้บริหารต้องประเมินวิธีการจัดการความเสี่ยงที่สามารถนำไปปฏิบัติได้และผลของการจัดการเหล่านั้น การพิจารณาทางเลือกในการดำเนินการจะต้องคำนึงถึงความเสี่ยงที่ยอมรับได้ และต้นทุนที่เกิดขึ้นเปรียบเทียบกับผลประโยชน์ที่จะได้รับเพื่อให้การบริหารความเสี่ยงมีประสิทธิผล

.

ผู้บริหารอาจต้องเลือกวิธีการจัดการความเสี่ยงอย่างใดอย่างหนึ่ง หรือหลายวิธีรวมกัน เพื่อลดระดับโอกาสที่อาจเกิดขึ้นและผลกระทบของเหตุการณ์ให้อยู่ในช่วงที่องค์กรสามารถยอมรับได้ (Risk Tolerance)

.

หลักการตอบสนองความเสี่ยงมี 4 ประการคือ
1. การหลีกเลี่ยง (Avoid) เป็นการดำเนินการเพื่อหลีกเลี่ยงเหตุการณ์ที่ก่อให้เกิดความเสี่ยง
2. การร่วมจัดการ (Share) เป็นการร่วมหรือแบ่งความรับผิดชอบกับผู้อื่นในการจัดการความเสี่ยง
3. การลด (Reduce) เป็นการดำเนินการเพิ่มเติมเพื่อลดโอกาสที่อาจเกิดขึ้นหรือผลกระทบของความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
4. การยอมรับ (Accept) ความเสี่ยงที่เหลือในปัจจุบันอยู่ภายในระดับที่ต้องการและยอมรับได้แล้ว โดยไม่ต้องมีการดำเนินการเพิ่มเติมเพื่อลดโอกาสหรือผลกระทบที่อาจเกิดขึ้นอีก

.

ผู้บริหารควรพิจารณาการจัดการความเสี่ยงตามประเภทของการตอบสนองข้างต้น และควรดำเนินการประเมินความเสี่ยงที่เหลือออยู่อีกครั้งหนึ่ง หลังจากที่ได้มีการจัดการความเสี่ยงแล้วในช่วงเวลาที่เหมาะสม

.

5. กิจกรรมการควบคุม (Control Activities) กิจกรรมการควบคุมคือ นโยบายและกระบวนการปฏิบัติงาน เพื่อให้มั่นใจได้ว่ามีการจัดการความเสี่ยงอย่างมีประสิทธิภาพ เนื่องจากแต่ละองค์กรมีการกำหนดวัตถุประสงค์และเทคนิคการนำไปปฏิบัติเป็นของเฉพาะองค์กร ดังนั้นกิจกรรมการควบคุมจึงมีความแตกต่างกัน การควบคุมเป็นการสะท้อนถึงสภาพแวดล้อมภายในองค์กร ลักษณะธุรกิจ โครงสร้างและวัฒนธรรมขององค์กร  

.

กิจกรรมการควบคุมสำหรับระบบเทคโนโลยีสารสนเทศสามารถจัดกลุ่มได้เป็น 2 ประเภท ได้แก่ การควบคุมทั่วไป และการควบคุมเฉพาะระบบงาน ซึ่งการควบคุมทั่วไปครอบคลุมถึงโครงสร้างพื้นฐานและการบริหารเทคโนโลยีสารสนเทศ การบริหารความปลอดภัย การจัดซื้อโปรแกรมสำเร็จรูป การพัฒนาโปรแกรม และการบำรุงรักษา ส่วนการควบคุมเฉพาะระบบงานได้รับการออกแบบเพื่อให้มั่นใจได้ว่าข้อมูลที่ได้รับการบันทึกและประมวลผลมีความครบถ้วน ถูกต้อง และมีอยู่จริง 

.

สิ่งสำคัญประการหนึ่งต่อกิจกรรมการควบคุม คือ การกำหนดบุคลากรภายในองค์กรเพื่อรับผิดชอบการควบคุมนั้น บุคลากรแต่ละคนที่ได้รับมอบหมายกิจกรรมการควบคุมควรมีความรับผิดชอบ ดังนี้คือ พิจารณาประสิทธิผลของการจัดการความเสี่ยงที่ได้ดำเนินการอยู่ในปัจจุบัน และพิจารณาการปฏิบัติเพิ่มเติมที่จำเป็น เพื่อเพิ่มประสิทธิผลของการจัดการความเสี่ยง นอกจากนี้การปฏิบัติเพื่อลดความเสี่ยงขององค์กรควรจะต้องมีการกำหนดวันแล้วเสร็จให้ชัดเจน

.

6. การติดตามผล (Monitoring) ประเด็นสำคัญของการติดตามผล ได้แก่
- การติดตามผลเพื่อให้มั่นใจได้ว่าการจัดการความเสี่ยงมีคุณภาพ มีความเหมาะสม และการบริหารความเสี่ยงได้นำไปประยุกต์ใช้ในทุกระดับขององค์กร
- ความเสี่ยงทั้งหมดที่มีผลกระทบสำคัญต่อการบรรลุวัตถุประสงค์ขององค์กรได้รับการรายงานต่อผู้บริหารที่รับผิดชอบ

.

การติดตามผลการบริหารความเสี่ยงสามารถทำได้ 2 ลักษณะ คือ การติดตามผลอย่างต่อเนื่อง และการติดตามผลเป็นรายครั้ง การติดตามผลอย่างต่อเนื่องเป็นการดำเนินการอย่างสม่ำเสมอ เพื่อให้สามารถตอบสนองต่อการเปลี่ยนแปลงอย่างทันท่วงทีและถือเป็นส่วนหนึ่งของการปฏิบัติงาน

.

ส่วนการติดตามผลรายครั้ง เป็นการดำเนินการภายหลังจากเกิดเหตุการณ์ ดังนั้นปัญหาที่เกิดขึ้นจะได้รับการแก้ไขอย่างรวดเร็วหากองค์กรมีการติดตามผลอย่างต่อเนื่อง นอกจากนี้องค์กรควรมีการจัดทำรายงานความเสี่ยงเพื่อให้การติดตามผลการบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล

.
ปัจจัยสำคัญต่อความสำเร็จในการบริหารความเสี่ยง

เพื่อให้องค์กรได้รับประโยชน์จากการบริหารความเสี่ยง ผู้บริหารจะต้องสร้างกระบวนการเพื่อสนับสนุนให้เกิดการบ่งชี้ การประเมิน การจัดการ และการรายงานความเสี่ยงอย่างต่อเนื่องและเป็นส่วนหนึ่งของการปฏิบัติงานปกติ ปัจจัยสำคัญ 8 ประการเพื่อช่วยให้การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กรประสบความสำเร็จ มีดังนี้

.

ปัจจัยที่ 1 การสนับสนุนจากผู้บริหารระดับสูง การปฏิบัติตามกรอบการบริหารความเสี่ยงขององค์กร จะประสบความสำเร็จเพียงใดขึ้นอยู่กับเจตนารมณ์ การสนับสนุน การมีส่วนร่วม และความเป็นผู้นำของผู้บริหารระดับสูงในองค์กร คณะกรรมการและผู้บริหารระดับสูงต้องให้ความสำคัญ และสนับสนุนให้ทุกคนในองค์กรเข้าใจความสำคัญในคุณค่าของการบริหารความเสี่ยงต่อองค์กร มิฉะนั้นแล้วการบริหารความเสี่ยงจะไม่สามารถเกิดขึ้นได้

.

การบริหารความเสี่ยงต้องเริ่มต้นจากการที่กรรมการผู้จัดการ หรือผู้นำสูงสุดขององค์กรต้องการให้ระบบนี้เกิดขึ้น โดยกำหนดนโยบายให้มีการปฏิบัติ รวมถึงการกำหนดให้ผู้บริหารต้องใช้ข้อมูลเกี่ยวกับความเสี่ยงในการตัดสินใจและบริหารงาน

.

ปัจจัยที่ 2 การใช้คำให้เกิดความเข้าใจแบบเดียวกัน การใช้คำนิยามเกี่ยวกับความเสี่ยง และการบริหารความเสี่ยงแบบเดียวกัน จะทำให้เกิดความมีประสิทธิภาพในการกำหนดวัตถุประสงค์ นโยบาย กระบวนการ เพื่อใช้ในการบ่งชี้และประเมินความเสี่ยง และกำหนดวิธีการจัดการความเสี่ยงที่เหมาะสมองค์กรที่ได้มีการจัดทำกรอบและนโยบายการบริหารความเสี่ยงที่มีคำอธิบายองค์ประกอบในกรอบการบริหารความเสี่ยงอย่างชัดเจน จะทำให้ผู้บริหารและพนักงานทุกคนใช้ภาษาความเสี่ยงในแนวทางเดียวกันและมีจุดมุ่งหมายร่วมกันในการบริหารความเสี่ยง

.

ปัจจัยที่ 3 การปฏิบัติตามกระบวนการบริหารความเสี่ยงอย่างต่อเนื่อง องค์กรที่ประสบความสำเร็จในการปฏิบัติตามกระบวนการบริหารความเสี่ยง คือองค์กรที่สามารถนำกระบวนการบริหารความเสี่ยงมาปฏิบัติอย่างทั่วถึงทั้งองค์กร และกระทำอย่างต่อเนื่องสม่ำเสมอ

.

ปัจจัยที่ 4 กระบวนการในการบริหารการเปลี่ยนแปลง ในการนำเอากระบวนการและระบบบริหารแบบใหม่มาใช้ องค์กรจำเป็นต้องมีการบริหารการเปลี่ยนแปลง การพัฒนาการบริหารความเสี่ยงก็เช่นเดียวกันที่ต้องมีการชี้แจงให้ผู้บริหารและพนักงานทุกคนรับทราบถึงการเปลี่ยนแปลงและผลที่องค์กรและแต่ละบุคคลจะได้รับจากการเปลี่ยนแปลงนั้น

.

ปัจจัยที่ 5 การสื่อสารอย่างมีประสิทธิผล วัตถุประสงค์ของการสื่อสารอย่างมีประสิทธิผลนั้นเพื่อให้มั่นใจว่า
- ผู้บริหารได้รับข้อมูลเกี่ยวกับความเสี่ยงอย่างถูกต้องและทันเวลา
- ผู้บริหารสามารถจัดการกับความเสี่ยงตามลำดับความสำคัญ หรือตามการเปลี่ยนแปลง หรือความเสี่ยงที่เกิดขึ้นใหม่
- มีการติดตามแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อนำมาใช้ปรับปรุงการบริหารองค์กรและจัดการความเสี่ยงต่าง ๆ เพื่อให้องค์กรมีโอกาสในการบรรลุวัตถุประสงค์ได้มากที่สุด

.

การสื่อสารเกี่ยวกับกลยุทธ์การบริหารความเสี่ยงและวิธีปฏิบัติมีความสำคัญอย่างมาก เพราะการสื่อสารจะเน้นให้เห็นถึงการเชื่อมโยงระหว่างการบริหารความเสี่ยงกับกลยุทธ์องค์กร การชี้แจงทำความเข้าใจต่อพนักงานทุกคนถึงความรับผิดชอบของแต่ละบุคคลต่อกระบวนการบริหารความเสี่ยง จะช่วยให้เกิดการยอมรับในกระบวนการและนำมาซึ่งความสำเร็จในการพัฒนาการบริหารความเสี่ยง โดยควรได้รับการสนับสนุนทั้งทางวาจาและในทางปฏิบัติจากผู้บริหารระดับสูง กรรมการผู้จัดการ และคณะกรรมการขององค์กร

.

ปัจจัยที่ 6 การวัดผลการบริหารความเสี่ยง การวัดผลการบริหารความเสี่ยงประกอบด้วย 2 รูปแบบ ดังนี้
รูปแบบที่ 1 การวัดความเสี่ยง ในรูปแบบของผลกระทบและโอกาสที่อาจเกิดขึ้น การบริหารความเสี่ยงที่ประสบความสำเร็จ จะช่วยให้ความเสี่ยงเหลืออยู่ในระดับที่องค์กรยอมรับได้

.

รูปแบบที่ 2 การวัดความสำเร็จของการบริหารความเสี่ยง โดยอาศัยดัชนีวัดผลการดำเนินงานซึ่งอาจกำหนดเป็นระดับองค์กร ฝ่ายงาน หรือของแต่ละบุคคล โดยการใช้ดัชนีวัดผลการดำเนินงานนี้อาจปฏิบัติร่วมกับกระบวนการด้านทรัพยากรบุคคล

.

ปัจจัยที่ 7 การฝึกอบรมและกลไกด้านทรัพยากรบุคคล กรรมการ ผู้บริหาร และพนักงานทุกคนในองค์กรควรต้องได้รับการฝึกอบรมเพื่อให้เข้าใจกรอบการบริหารความเสี่ยง และความรับผิดชอบของแต่ละบุคคลในการจัดการความเสี่ยงและสื่อสารข้อมูลเกี่ยวกับความเสี่ยง การฝึกอบรมในองค์กรควรต้องคำนึงถึงประเด็นดังต่อไปนี้
- ความแตกต่างกันของระดับความรับผิดชอบในการบริหารความเสี่ยง
- ความรู้ที่เกี่ยวกับความเสี่ยงและการบริหารความเสี่ยงที่มีอยู่แล้วในองค์กร

.

พนักงานใหม่ทุกคนควรได้รับการฝึกอบรมเพื่อให้มีความเข้าใจในความรับผิดชอบต่อความเสี่ยง และกระบวนการบริหารความเสี่ยงด้วยเช่นกัน ซึ่งระบบการประเมินผลการดำเนินงานถือเป็นเครื่องมือสำคัญที่ใช้ในการส่งเสริมความรับผิดชอบของแต่ละบุคคล โดยความรับผิดชอบเกี่ยวกับบริหารความเสี่ยงควรกำหนดรวมอยู่ในงานที่แต่ละบุคคลรับผิดชอบและในคำอธิบายลักษณะงาน (Job Description) การประเมินผล การดำเนินงานส่วนที่เกี่ยวกับการบริหารความเสี่ยง โดยมีประเด็นที่ควรประเมินดังต่อไปนี้

.

- ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลมีต่อองค์กร
- การวัดระดับของความเสี่ยงที่บุคคลนั้นเป็นผู้รับผิดชอบว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

.

ปัจจัยที่ 8 การติดตามกระบวนการบริหารความเสี่ยง การติดตามกระบวนการบริหารความเสี่ยงควรพิจารณาประเด็นดังต่อไปนี้
- การรายงานและการสอบทานขั้นตอนตามกระบวนการบริหารความเสี่ยง
- ความชัดเจนและสม่ำเสมอของการมีส่วนร่วมและความมุ่งมั่นของผู้บริหารระดับสูง
- การประยุกต์ใช้เกณฑ์การประเมินผลการดำเนินงานที่เกี่ยวกับการบริหารความเสี่ยง

.
แนวทางปฏิบัติสู่ความเป็นเลิศในการบริหารความเสี่ยง
ประกอบด้วย

1. การนำการบริหารความเสี่ยงมาใช้เป็นเครื่องมือทางกลยุทธ์ เพื่อช่วยสนับสนุนการบรรลุวัตถุประสงค์ขององค์กร
2. การทำให้การบริหารความเสี่ยงมีความสอดคล้องและรวมอยู่ในกระบวนการดำเนินงานที่มีอยู่ในปัจจุบันขององค์กร ทั้งนี้รวมถึงกำหนดให้การบริหารความเสี่ยงเป็นขั้นตอนหนึ่งในการจัดทำแผนธุรกิจ การกำหนดงบประมาณ การตัดสินใจลงทุน และการบริหารโครงการ

.

3. การบริหารความเสี่ยงที่ครอบคลุมถึงความเสี่ยงเกี่ยวกับการปฏิบัติงานในภาพรวมและความเสี่ยงเชิงกลยุทธ์ นอกจากนี้องค์กรควรเพิ่มความสนใจต่อความเสี่ยงทั้งที่เป็นความเสียหาย ความไม่แน่นอน การเสียโอกาส ซึ่งต่างจากการบริหารความเสี่ยงแบบเดิมที่เน้นเฉพาะความเสี่ยงที่เกี่ยวกับการปฏิบัติตามกฎระเบียบเท่านั้น

.

4. กรรมการผู้จัดการและผู้บริหารระดับสูงต้องสนับสนุนและเน้นถึงประโยชน์ที่จะได้รับจากการบริหารความเสี่ยง รวมทั้งแสดงความรับผิดชอบและมีส่วนร่วมในการบริหารความเสี่ยง
5. การใช้คำนิยามเกี่ยวกับความเสี่ยงที่เป็นที่เข้าใจ และใช้ร่วมกันในองค์กร

.

6. การมีกระบวนการในการบ่งชี้ วิเคราะห์ จัดการ ติดตาม และรายงานความเสี่ยงอย่างต่อเนื่องสม่ำเสมอและปฏิบัติทั่วทั้งองค์กร
7. องค์กรต้องมีความมุ่งมั่นและพยายามอย่างจริงจังในการบ่งชี้ และบริหารความเปลี่ยนแปลงที่เกิดจากการทำการบริหารความเสี่ยงเข้าปรับใช้ภายในองค์กร

.

8. มีการสื่อสารให้ข้อมูลเกี่ยวกับความเสี่ยงอย่างสม่ำเสมอ โดยเน้นให้เห็นถึงความสำคัญของการบริหารความเสี่ยงประเด็นความเสี่ยง
9. การวัดผลความเสี่ยงทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการดำเนินงาน และเชิงปริมาณ เช่น ผลขาดทุน มูลค่ารายได้ หรือค่าใช้จ่ายที่อาจเพิ่มขึ้นหรือลดลง โดยพิจารณาจากสองประเด็นหลักคือ โอกาสที่อาจเกิดขึ้น และผลกระทบ

.

10. การจัดให้มีการฝึกอบรมและใช้กลไกการบริหารทรัพยากรบุคคล เพื่อเผยแพร่ข้อมูลต่าง ๆ เกี่ยวกับการบริหารความเสี่ยง การรับผิดชอบของแต่ละบุคคล และเพื่อส่งเสริมให้เกิดการปฏิบัติที่เหมาะสม

.

11. การจัดให้มีหน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยง เพื่อทำหน้าช่วยเหลือในการดำเนินการ การสนับสนุนการนำการบริหารความเสี่ยงมาปฏิบัติและการพัฒนาความสามารถในการบริหารความเสี่ยงของพนักงาน แต่ไม่มีหน้าที่โดยตรงในการประเมินและจัดการความเสี่ยงที่เกิดขึ้น

.

12. ผู้ตรวจสอบภายในมีบทบาทสำคัญในการทำให้มั่นใจว่าองค์กร มีการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผลในการจัดการความเสี่ยง และในกรณีที่จำเป็น ผู้ตรวจสอบภายในควรเสนอแนะประเด็นที่ควรได้รับการปรับปรุงแต่ผู้ตรวจสอบภายในไม่มีบทบาทโดยตรงต่อการเป็นผู้นำในการพัฒนากรอบการบริหารความเสี่ยง

.
ลำดับขั้นของการพัฒนาการบริหารความเสี่ยง

เนื่องจากองค์กรชั้นนำต่างตระหนักถึงความสำคัญของการบริหารความเสี่ยงที่มีต่อมูลค่าของผู้มีส่วนได้ส่วนเสียขององค์กร จึงได้มีการปรับเปลี่ยนมุมมองจากการบริหารความเสี่ยงแต่เพียงด้านการปฏิบัติให้เป็นไปตามกฎ ระเบียบ มาเป็นการพิจารณาความเสี่ยงที่เป็นโอกาสเพื่อเพิ่มมูลค่าของผู้มีส่วนได้ส่วนเสีย ดังแสดงในตารางที่ 7 ข้างล่างนี้

.

ตารางที่ 7 แสดงความสัมพันธ์ระหว่างระดับขององค์กรและแนวทางในการปฏิบัติ

.

จากตารางที่ 7 สามารถอธิบายได้ว่า องค์กรที่อยู่ในระดับที่ 1 มีการบริหารความเสี่ยงแบบตอบสนองตามเหตุการณ์ (Reactive Risk Management) โดยเน้นที่การปฏิบัติตามและป้องกันความเสี่ยงที่อาจทำให้เกิดความเสียหาย องค์กรเหล่านี้จะพัฒนาการควบคุมภายในใหม่ขึ้น เพื่อตอบสนองต่อความเสี่ยงที่พบว่ายังไม่ได้รับการจัดการให้เป็นที่น่าพอใจ

.

องค์กรที่อยู่ในระดับที่ 2 คือองค์กรที่พยายามทำความเข้าใจต่อความเสี่ยงทุกประเภทที่อาจเกิดขึ้นต่อองค์กร โดยมีการกำหนดการบริหารความเสี่ยงที่ครอบคลุมมากขึ้น นอกเหนือไปจากการควบคุมด้านการเงิน องค์กรเหล่านี้ทำการประเมินความเสี่ยงทั้งทางด้านปฏิบัติการ การปฏิบัติตามกฎระเบียบ และด้านอื่น ๆ รวมถึงพิจารณากระบวนการที่จะปรับปรุงการปฏิบัติงานให้ดียิ่งขึ้น

.

เมื่อผู้บริหารขององค์กรเหล่านี้พบความล้มเหลวหรือความผิดพลาดในการควบคุมภายในขององค์กรอื่น ๆ ก็จะดำเนินการประเมินหรือปรับปรุงกระบวนการบริหารความเสี่ยงในองค์กรของตนใหม่ เพื่อหลีกเลี่ยงปัญหาที่อาจจะเกิดขึ้นดังเช่นองค์กรอื่น นอกจากนี้ องค์กรยังได้ทำการศึกษาแนวปฏิบัติที่ดียิ่งขึ้นเพื่อทำการปรับปรุงกระบวนการให้ก้าวต่อไปข้างหน้า องค์กรเหล่านี้จะปรับปรุงการบริหารความเสี่ยงตามการเปลี่ยนแปลงและเป้าหมายขององค์กร ทั้งนี้เพื่อสร้างกระบวนการที่สามารถทำให้บรรลุวัตถุประสงค์ต่าง ๆ ได้ดียิ่งขึ้น   

.

นอกจากนี้ ยังได้มีการริเริ่มการนำเอาการบริหารงาน มาควบรวมกับกระบวนการประเมินและการจัดการความเสี่ยงมากขึ้น และนำเอากรอบการบริหารความเสี่ยงมาใช้เพื่อให้เกิดการสื่อสารเกี่ยวกับความเสี่ยงด้านภาษาเดียวกัน รวมไปถึงการจัดการความเสี่ยงในแนวทางเดียวกันด้วย

.

องค์กรที่อยู่ในระดับที่ 3 เป็นองค์กรที่ประเมินความเสี่ยงเพื่อพิจารณาหาโอกาสใหม่ของธุรกิจและเชื่อมโยงกับการบริหารมูลค่าขององค์กร องค์กรเหล่านี้ให้ความสำคัญกับสาเหตุที่ก่อให้เกิดผลกระทบต่อมูลค่าของผู้มีส่วนได้ส่วนเสีย และพิจารณาระดับความเสี่ยงที่ยอมรับได้เพื่อใช้ในการกำหนดกลยุทธ์ องค์กรเหล่านี้ยังตระหนักถึงการเชื่อมโยงระหว่างการเติบโต ความเสี่ยง และผลตอบแทนของธุรกิจ และยอมรับว่าความเสี่ยงเป็นส่วนหนึ่งของการสร้างและการรักษามูลค่าขององค์กร     

.

อย่างไรก็ตามผลตอบแทนที่จะได้รับต้องสอดคล้องกับความเสี่ยงที่อาจเกิดขึ้น ด้วยเหตุนี้องค์กรเหล่านี้จึงประเมินความเสี่ยงที่มีผลกระทบที่สำคัญต่อวัตถุประสงค์ และดำเนินการตามกระบวนการควบคุมและการบริหารความเสี่ยง นอกจากนั้นยังทำการพลิกผันเหตุการณ์เชิงลบให้เป็นโอกาสแก่ธุรกิจ ซึ่งมีผลให้เกิดการได้เปรียบทางการแข่งขันและการตัดสินใจทางธุรกิจที่มีประสิทธิภาพ

.
ประโยชน์ที่สำคัญของการบริหารความเสี่ยง

การบริหารความเสี่ยงช่วยให้องค์กรสามารถบรรลุเป้าหมาย ในขณะที่ลดอุปสรรคหรือสิ่งที่ไม่คาดหวังที่อาจเกิดขึ้นทั้งในด้านผลกำไรและการปฏิบัติงาน ป้องกันความเสียหายต่อทรัพยากรขององค์กร และสร้างความมั่นใจในการรายงานและการปฏิบัติตามกฎระเบียบ การบริหารความเสี่ยงจึงมีประโยชน์ที่สำคัญคือ

.

- ลดความสูญเสียและสิ่งที่ไม่คาดหวังจากการดำเนินงาน การบริหารความเสี่ยงช่วยให้องค์กรตระหนักถึงเหตุการณ์ที่อาจเกิดขึ้นในทางเสียหาย ประเมินความเสี่ยง และกำหนดวิธีจัดการ ดังนั้นจึงลดสิ่งที่ไม่คาดหวังและการสูญเสียต่อธุรกิจ
- สร้างโอกาส การพิจารณาเหตุการณ์ทั้งหมดที่อาจเกิดขึ้นต่อองค์กรโดยไม่จำกัดเฉพาะความเสี่ยงที่เป็นความเสียหายช่วยให้ผู้บริหารสามารถบ่งชี้และใช้ประโยชน์จากเหตุการณ์ในเชิงบวกได้อย่างมีประสิทธิภาพมากยิ่งขึ้น

.

โดยสรุปองค์กรที่ประสบความสำเร็จมากที่สุดคือองค์กรที่สามารถนำเอาการบริหารความเสี่ยงมาใช้เป็นเครื่องมือในการเพิ่มมูลค่าของผู้ที่มีส่วนได้ส่วนเสีย ทั้งนี้ผู้บริหารระดับสูงต้องเป็นผู้นำเพื่อให้การบริหารความเสี่ยงขององค์กรก้าวไปสู่ความเป็นเลิศ

สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.

ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด