มาตรฐาน BS 31100 เป็นมาตรฐานด้านการบริหารจัดการความเสี่ยง มีเนื้อหาที่พัฒนาขึ้นมาจากการนำมาตรฐานด้านการบริหารความเสี่ยงในหลาย ๆ รายการมาผสมผสานกัน
กิตติพงศ์ จิรวัสวงศ์
kitroj@yahoo.com
มาตรฐาน BS 31100 เป็นมาตรฐานด้านการบริหารจัดการความเสี่ยง ที่จัดทำขึ้นโดย BSI (British Standards Institute) ซึ่งเป็นสถาบันที่จัดทำมาตรฐานด้านต่าง ๆ ของอังกฤษ โดยมีเนื้อหาที่พัฒนาขึ้นมาจากการนำมาตรฐานด้านการบริหารความเสี่ยงในหลาย ๆ รายการมาผสมผสานกัน ทั้งจากมาตรฐาน ISO 31000 ของ ISO (The International Organization for Standardization) จากแนวปฏิบัติการบริหารความเสี่ยง ตามคู่มือการบริหารความเสี่ยงของ HM Treasury และ Office of Government Commerce ของประเทศอังกฤษ
รวมถึงคู่มือกรอบโครงสร้างการบริหารความเสี่ยงขององค์กรเชิงบูรณาการ (Enterprise Risk Management–Integrated Framework) ของ COSO (The Committee of Sponsoring Organizations of the Treadway Commission) และมาตรฐานการบริหารความเสี่ยง ที่จัดทำขึ้นโดย The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC) และ ALARM
โดยมีจุดประสงค์ เพื่อเป็นแนวทางสำหรับองค์กรต่าง ๆ ในการนำไปใช้เพื่อการบริหารจัดการกับความเสี่ยงในรูปแบบต่าง ๆ ได้อย่างมีประสิทธิผล ลดความเสียหายที่เกิดขึ้น หรืออาจจะเกิดขึ้น ให้มีน้อยที่สุด หรือไม่เกิดขึ้นเลย ช่วยให้องค์กรสามารถบรรลุวัตถุประสงค์ตามที่กำหนดไว้
ทั้งนี้ เนื้อหาของมาตรฐานการบริหารความเสี่ยง BS 31100 นี้ จะแบ่งออกเป็น 3 ส่วนหลัก ๆ ที่สำคัญ ประกอบด้วย
* หลักการพื้นฐานการบริหารความเสี่ยง (Risk Management Principles)
* กรอบโครงสร้างการบริหารความเสี่ยง (Risk Management Framework) และ
* กระบวนการบริหารความเสี่ยง (Risk Management Process)
ส่วนที่ 1 หลักการพื้นฐานการบริหารความเสี่ยง (Risk Management Principles)
หลักการพื้นฐานของการบริหารความเสี่ยง ตามมาตรฐาน BS31100 นี้ จะประกอบด้วย
1. การปรับระบบบริหารความเสี่ยงให้เข้ากัน และเหมาะสมกับองค์กร ภายใต้บริบทต่าง ๆ ที่ได้มีการกำหนดไว้
2. การคำนึงถึงวัฒนธรรม ปัจจัยด้านมนุษย์ และพฤติกรรมขององค์กร โดยคำนึงถึงขีดความสามารถ การรับรู้ และความมุ่งมั่นของบุคลากรในทุกระดับขององค์กร รวมถึงผู้มีส่วนได้เสียกับองค์กร ที่จะมีส่วนช่วยสนับสนุน หรือเป็นอุปสรรคต่อวัตถุประสงค์ขององค์กร
3. การบริหารจัดการอย่างเป็นระบบ และมีโครงสร้างการทำงานที่ชัดเจน รวมถึงการนำแนวทางการจัดการความเสี่ยงมาใช้งานอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่าผลลัพธ์ของการบริหารความเสี่ยง มีความน่าเชื่อถือ และสามารถนำมาเปรียบเทียบได้ รวมถึงช่วยให้ผู้บริหารมีความเชื่อมั่นในการตัดสินใจได้อย่างมีประสิทธิผล
4. การใช้ภาษาที่เข้าใจได้ร่วมกัน ในการระบุ ประเมิน และจัดการกับความเสี่ยง รวมถึงการดูแลกรอบการบริหารความเสี่ยง
5. ข้อมูลต่าง ๆ ที่นำมาใช้ในการบริหารความเสี่ยง ควรจะมาจากแหล่งข้อมูลต่าง ๆ ที่เกี่ยวข้อง เช่น จากประสบการณ์ องค์ความรู้ ความเห็นของผู้เชี่ยวชาญ และจากการคาดการณ์ล่วงหน้าขององค์กร ทั้งนี้ จะต้องระมัดระวังถึงข้อจำกัดของข้อมูลที่ได้ และความเห็นที่หลากหลายของผู้เชี่ยวชาญ
6. การบริหารความเสี่ยง จะช่วยให้เกิดความชัดเจนของลักษณะของความไม่แน่นอนที่เกิดขึ้น ซึ่งมีผลต่อการตัดสินใจ และแนวทางที่จะนำมาใช้ในการจัดการกับความไม่แน่นอนนั้น ๆ
7. การสนับสนุนต่อการตัดสินใจ จากความเข้าใจในความเสี่ยงที่เกิดขึ้น โดยคำนึงถึงความเสี่ยงที่ยอมรับได้ และความสามารถในการจัดการความเสี่ยงอย่างมีประสิทธิผล
8. การมีส่วนช่วยในความสำเร็จของวัตถุประสงค์ และเกิดประโยชน์สูงสุดผ่านการบูรณาการของกระบวนการบริหารจัดการ โดยคำนึงถึงข้อกฎหมาย และระเบียบข้อบังคับต่าง ๆ ที่เกี่ยวข้อง
9. การดูแลให้มั่นใจได้ว่าผู้มีส่วนได้เสียทั้งหมดขององค์กร ได้รับการแจ้งให้ทราบ และมีส่วนร่วมในการระบุ ประเมินและจัดการกับความเสี่ยง
10. การกำหนด และการตอบสนองต่อการเปลี่ยนแปลงที่มีผลกระทบต่อสภาพแวดล้อมในการปฏิบัติงานอย่างต่อเนื่อง
11. การทบทวนหลักการพื้นฐานของการบริหารความเสี่ยงอย่างสม่ำเสมอ เพื่อรองรับการเปลี่ยนแปลงที่เกิดขึ้นกับรูปแบบ และบริบทขององค์กร
ส่วนที่ 2 กรอบโครงสร้างการบริหารความเสี่ยง (Risk Management Framework)
ในการบริหารความเสี่ยงอย่างมีประสิทธิผล จะประกอบด้วยองค์ประกอบที่สำคัญที่มีการเชื่อมโยงเข้าด้วยกัน เป็นกรอบโครงสร้างการบริหารความเสี่ยง ดังแสดงให้เห็นในรูปที่ 1 และตารางที่ 1 ซึ่งประกอบด้วย
รูปที่ 1 แสดงกรอบโครงสร้างการบริหารความเสี่ยง
ตารางที่ 1 แสดงกรอบโครงสร้างและองค์ประกอบต่าง ๆ ของการบริหารความเสี่ยง
องค์ประกอบของการบริหารความเสี่ยง
จากตารางที่ 1 จะแสดงให้เห็นว่าในแต่ละกรอบโครงสร้าง (Framework) ของการบริหารความเสี่ยง จะประกอบด้วยองค์ประกอบต่าง ๆ ที่สำคัญของการบริหารความเสี่ยง ซึ่งประกอบด้วย
1. การกำกับดูแลกิจการ
การบริหารความเสี่ยง จะเป็นเครื่องมือที่สำคัญที่คณะกรรมการบริษัท จะใช้ในการกำกับดูแลองค์กร ทั้งนี้ การบริหารความเสี่ยงจะถือเป็นส่วนหนึ่งของกรอบการดำเนินงานด้านธรรมาภิบาลขององค์กร และเป็นหนึ่งในภารกิจที่สำคัญของคณะกรรมการบริษัท โดยมีวัตถุประสงค์เพื่อระบุถึงความเสี่ยงที่ยอมรับได้ขององค์กร และแนวทางการยอมรับความเสี่ยงในกระบวนการตัดสินใจ รวมถึงการกำหนดเป้าหมายที่ต้องการในการบริหารความเสี่ยง
นอกจากนั้น ยังต้องมีการกำหนดความเป็นเจ้าของ และความรับผิดชอบสำหรับการจัดการ และการจัดทำรายงานความเสี่ยงต่าง ๆ ที่เกิดขึ้น รวมถึงการสื่อสาร และทำความเข้าใจเกี่ยวกับบทบาทหน้าที่ และความรับผิดชอบในการจัดการความเสี่ยง ซึ่งประกอบด้วย
* ผู้รับผิดชอบโดยตรงในการบริหารความเสี่ยง เช่น ผู้บริหาร และพนักงานที่ปฏิบัติงานในแต่ละหน่วยงาน
* ผู้รับผิดชอบในการจัดทำ การนำไปปฏิบัติ การดูแล และการรักษาความมีประสิทธิผลของกรอบการดำเนินงานบริหารความเสี่ยง เช่น คณะกรรมการบริหารความเสี่ยง
* ผู้รับผิดชอบในการรับประกันอย่างเป็นอิสระ (Independent Assurance) เช่น หน่วยงานตรวจสอบภายใน
* ผู้รับผิดชอบในการประกันความเสี่ยง และการปรับปรุงอย่างต่อเนื่อง
องค์กรยังต้องจัดให้มีกระบวนการสื่อสาร และการสร้างความเข้าใจในนโยบายการบริหารความเสี่ยงที่กำหนดขึ้น รวมถึงกำหนดกระบวนการ และวิธีการปฏิบัติงานในการบริหารความเสี่ยง การประเมิน และการติดตามวัดผลการสร้างวัฒนธรรมความเสี่ยงให้เกิดขึ้นในองค์กรด้วย
2. การกำหนดกลยุทธ์การบริหารความเสี่ยง
ในการบริหารความเสี่ยง จะต้องมีการกำหนดกลยุทธ์ในการดำเนินการ โดยมีจุดประสงค์เพื่อ กำหนดทิศทาง ขอบเขตและลำดับความสำคัญของการบริหารความเสี่ยง รวมถึงเป็นการระบุแนวทางของการบริหารความเสี่ยง ที่ช่วยสนับสนุนต่อการดำเนินกลยุทธ์ และวัตถุประสงค์ขององค์กร นอกจากนั้น ยังเป็นการกำหนดบริบท ผู้มีส่วนได้เสียที่สำคัญ และขีดความสามารถขององค์กร โดยจะต้องมีการจัดทำกลยุทธ์ไว้เป็นเอกสารที่ชัดเจน ได้รับการอนุมัติจากผู้บริหารระดับสูง และมีการสื่อสารให้เกิดการรับรู้ทั่วทั้งองค์กร
ทั้งนี้ กลยุทธ์ของการบริหารความเสี่ยง จะประกอบด้วย
* วัตถุประสงค์ของการบริหารความเสี่ยง
* ขั้นตอนการดำเนินงานในการบริหารความเสี่ยง เพื่อให้องค์กรสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้
* ทรัพยากรที่จำเป็น ทั้งทรัพยากรทางด้านบุคลากร องค์ความรู้ และงบประมาณที่ใช้
* ระดับเป้าหมายของขีดความสามารถในการบริหารความเสี่ยงขององค์กร รวมถึงขั้นตอนในการพัฒนา และปลูกฝังแนวทางการบริหารความเสี่ยงให้เกิดขึ้นในองค์กร
* แนวทางในการติดตามวัดผล ทบทวน และจัดทำรายงานความก้าวหน้าของการดำเนินงาน
3. นโยบายการบริหารความเสี่ยง
นโยบายการบริหารความเสี่ยง (Risk Management Policy) จะเป็นการแสดงให้เห็นถึงภาพที่ชัดเจนขึ้นของแนวทางในการบริหารความเสี่ยงขององค์กร มีเป้าหมายเพื่อให้เกิดความสม่ำเสมอในการดำเนินการ โดยนโยบายการบริหารความเสี่ยงขององค์กร ควรจะจัดทำขึ้นโดยผู้บริหารขององค์กร และได้รับการอนุมัติจากคณะกรรมการบริษัท โดยพิจารณาร่วมกันกับผู้มีส่วนได้เสียขององค์กร และมีการพิจารณาถึงแนวทางในการเฝ้าติดตามการปฏิบัติตามนโยบาย รวมถึงการอ้างอิงข้อกฎหมาย มาตรฐาน และนโยบายอื่น ๆ ที่เกี่ยวข้อง
ทั้งนี้ นโยบายการบริหารความเสี่ยง ควรจะระบุถึง
* แนวทางในการควบคุมการบริหารความเสี่ยง
* ขอบเขตของนโยบาย ที่อธิบายด้วยจุดประสงค์ และกลุ่มเป้าหมายของนโยบาย รวมถึงหลักการพื้นฐาน ประโยชน์ที่จะได้รับจากการบริหารความเสี่ยง การกำหนดวัตถุประสงค์ ข้อกฎหมายและระเบียบข้อบังคับ และความสัมพันธ์กับนโยบายด้านอื่น ๆ ที่เกี่ยวข้อง
* แนวทางในการปฏิบัติตามนโยบาย
* กระบวนการบริหารความเสี่ยงขององค์กร
* แนวทางในการกำหนดระดับของความเสี่ยงที่ยอมรับได้
* การจัดทำรายงานความเสี่ยง โดยระบุถึงจุดประสงค์ของการรายงาน ความถี่ในการดำเนินการ และขอบเขตของการจัดทำรายงาน
* บทบาทหน้าที่ ความรับผิดชอบต่อผลงาน และหน้าที่รับผิดชอบ และ
* ระดับของความเบี่ยงเบนไปจากนโยบายที่สามารถยอมรับได้
4. การสร้างวัฒนธรรมการบริหารความเสี่ยง
แนวทางในการสร้างวัฒนธรรมการบริหารความเสี่ยง และการติดตามวัดผล จะประกอบด้วย
* การแสดงให้เห็นถึงความมีประสิทธิผลในการนำองค์กรของผู้บริหารระดับสูง เพื่อเป็นตัวอย่างที่ดีให้กับบุคลากรในองค์กร
* การติดตามวัดผล และสื่อสารให้เห็นถึงคุณค่าที่เพิ่มขึ้นจากการบริหารความเสี่ยง
* การจัดให้มีการฝึกอบรม และการศึกษาเกี่ยวกับการบริหารความเสี่ยง รวมถึงการนำเสนอผลการดำเนินการให้ได้รับทราบอย่างทั่วถึง
* การบูรณาการบริหารความเสี่ยงเข้ากับวัตถุประสงค์ และการประเมินผลการปฏิบัติงานของบุคลากรแต่ละคน
* การติดตามประเมินทัศนคติของบุคลากรในองค์กร เกี่ยวกับการบริหารความเสี่ยง
* การดูแลให้นโยบายและวิธีการปฏิบัติงานในการบริหารความเสี่ยง ได้มีการนำไปใช้ในทุก ๆ กระบวนการขององค์กร ตั้งแต่การวางแผนเชิงกลยุทธ์ การปฏิบัติงาน และการบริหารโปรแกรมการทำงานต่าง ๆ รวมถึงโครงการ และการบริหารการเปลี่ยนแปลงที่เกิดขึ้นด้วย
* การดูแลให้มีการปรับปรุงแนวทางการบริหารความเสี่ยงอย่างต่อเนื่องด้วย
5. การพัฒนาขีดความสามารถ
ในการพัฒนาขีดความสามารถขององค์กรในการบริหารความเสี่ยง บุคลากรขององค์กรจะต้องมีความรู้ ทักษะ และประสบการณ์เกี่ยวกับ
* ข้อกำหนดเกี่ยวกับหลักธรรมาภิบาลขององค์กร
* ข้อกฎหมาย และระเบียบข้อบังคับ
* นโยบายการบริหารความเสี่ยงขององค์กร
* ระดับของความเสี่ยงที่ยอมรับได้
* รายละเอียดของมาตรการควบคุม
* กระบวนการบริหารความเสี่ยง
* แนวทางในการระบุ ประเมิน และจัดการความเสี่ยง
* เครื่องมือและเทคนิคทางด้านความเสี่ยง รวมถึงแนวทางในการนำไปประยุกต์ใช้งาน
* ข้อกำหนดในการจัดทำรายงานความเสี่ยง
* ระดับขีดความสามารถขององค์กรในการบริหารความเสี่ยง
* บทบาทหน้าที่ และความรับผิดชอบของบุคลากร รวมถึงคณะกรรมการบริหาร คณะกรรมการตรวจสอบ หน่วยงานที่ดูแลรับผิดชอบการบริหารความเสี่ยง และผู้บริหารระดับสูง
* การประเมินผลการดำเนินงาน
6. บทบาทหน้าที่ ความรับผิดชอบและอำนาจในการดำเนินการ
องค์ประกอบหนึ่งที่สำคัญอย่างมากสำหรับการบริหารความเสี่ยงได้อย่างมีประสิทธิผล คือการกำหนดบทบาทหน้าที่ ความรับผิดชอบ และอำนาจดำเนินการของหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการบริหารความเสี่ยงไว้อย่างชัดเจน โดยจะต้องมีการกำหนด และจัดทำเป็นเอกสาร รวมถึงมีการสื่อสารไปยังบุคคลที่เกี่ยวข้องให้เกิดความเข้าใจเป็นอย่างดีด้วย ทั้งนี้ หน้าที่ความรับผิดชอบที่เกี่ยวกับการบริหารความเสี่ยง จะแบ่งออกเป็นกลุ่มต่าง ๆ ดังนี้
ผู้บริหารระดับสูง
บทบาทหน้าที่และความรับผิดชอบของผู้บริหารระดับสูงขององค์กร ที่เกี่ยวกับการบริหารความเสี่ยง จะประกอบด้วย
* ดูแลให้กรอบการบริหารความเสี่ยงและกระบวนการบริหารความเสี่ยง ตรงตามวัตถุประสงค์ขององค์กร และมีความทันสมัยอยู่เสมอ รวมถึงจัดสรรทรัพยากร และเงินทุนอย่างเพียงพอ เพื่อสนับสนุนต่อการบริหารความเสี่ยงองค์กร
* กำหนดทิศทางเชิงกลยุทธ์ และระดับความเสี่ยงที่ยอมรับได้ในระดับองค์กร รวมถึงอำนาจในการดำเนินการที่เกี่ยวข้อง
* อนุมัตินโยบายการบริหารความเสี่ยง และการสร้างวัฒนธรรมการบริหารความเสี่ยง รวมถึงการปลูกฝังการบริหารความเสี่ยงให้เกิดขึ้นในองค์กร
* ดูแลให้มั่นใจว่าความเสี่ยงที่สำคัญที่เกิดขึ้น ได้รับการประเมินและจัดการอย่างมีประสิทธิผล
* ประเมินความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลง
* วางแผนแนวทางที่จะใช้ในการรับมือกับความเสี่ยงที่อาจจะเกิดขึ้น รวมถึงการจัดการกับเหตุการณ์วิกฤตต่าง ๆ
* กำหนดทิศทาง และรับประกันความมีประสิทธิผลของการบริหารความเสี่ยง และความสอดคล้องไปในทิศทางเดียวกันกับนโยบายการบริหารความเสี่ยงขององค์กร
บุคลากรต่าง ๆ
การบริหารความเสี่ยง จะต้องมีการเชื่อมโยงให้เข้ากับหน้าที่ความรับผิดชอบของบุคลากรแต่ละคนในองค์กรด้วย โดยจะต้องเข้าใจถึง
* ความเสี่ยงที่เกี่ยวข้องกับบทบาทหน้าที่ และกิจกรรมของแต่ละคน
* แนวทางการบริหารความเสี่ยงที่จะนำไปสู่ความสำเร็จตามเป้าหมาย และวัตถุประสงค์ทั้งขององค์กร และแต่ละบุคคล
* ความรับผิดชอบในความเสี่ยงเฉพาะรายการ และแนวทางในการจัดการความเสี่ยงนั้น ๆ
* การมีส่วนร่วมในการปรับปรุงระบบการบริหารความเสี่ยงขององค์กร
* การบริหารความเสี่ยงจะเป็นส่วนหนึ่งของวัฒนธรรมองค์กร
* การรายงานให้กับผู้บริหารองค์กร ได้รับทราบถึงความเสี่ยงใหม่ ๆ ที่เกิดขึ้น หรือมีโอกาสที่จะเกิดขึ้น รวมถึงความล้มเหลวของมาตรการควบคุมที่ดำเนินการอยู่
เจ้าของความเสี่ยงและหน่วยงาน
เมื่อมีการระบุความเสี่ยงในองค์กรแล้ว จะต้องมีการกำหนดผู้รับผิดชอบและหน่วยงานที่เป็นเจ้าของความเสี่ยงด้วย โดยมีหน้าที่รับผิดชอบในการประเมิน เฝ้าติดตามและรายงานสถานะของความเสี่ยง รวมถึงพัฒนาและดูแลสภาพแวดล้อมในการควบคุมที่เหมาะสมสำหรับการจัดการความเสี่ยง
ผู้จัดการความเสี่ยง และหน่วยงานบริหารความเสี่ยง
องค์กรควรจะมีการกำหนดให้มีผู้จัดการ รวมถึงหน่วยงานที่รับผิดชอบในการดูแลการบริหารความเสี่ยง ทั้งนี้ จะขึ้นอยู่กับขนาดและความซับซ้อนขององค์กร โดยผู้จัดการและหน่วยงานบริหารความเสี่ยง จะมีหน้าที่ความรับผิดชอบ ดังนี้
* ส่งเสริมให้เกิดการบริหารความเสี่ยงอย่างสม่ำเสมอ รวมถึงกำหนดเจ้าของความเสี่ยงในทุกระดับในองค์กร
* สร้างวัฒนธรรม และจิตสำนึกเกี่ยวกับความเสี่ยงให้เกิดขึ้น รวมถึงการจัดการศึกษา และฝึกอบรม
* พัฒนาและนำไปปฏิบัติ รวมถึงทบทวนกรอบการดำเนินงาน และกระบวนการในการบริหารความเสี่ยง
* พัฒนาขีดความสามารถ และพัฒนาการในการบริหารความเสี่ยงขององค์กร
* ประสานงานกับหน่วยงานต่าง ๆ ในการให้คำแนะนำเกี่ยวกับการบริหารความเสี่ยง
* ประสานงานการจัดการกับความเสี่ยง ในกรณีที่ความเสี่ยงนั้น ๆ เกี่ยวข้องกับหลายหน่วยงาน
* ทำความเข้าใจระหว่างผู้มีส่วนได้เสียหลัก ๆ ขององค์กร
* สร้างความเชื่อมั่นให้กับผู้บริหารระดับสูงขององค์กร รวมถึงคณะกรรมการบริษัท
* จัดการคุณภาพในการบริหารความเสี่ยง
* จัดทำรายงาน นำเสนอ และสื่อสารถึงประเด็นด้านการบริหารเสี่ยงให้กับผู้มีส่วนได้ส่วนเสีย
หน่วยงานต่าง ๆ ในองค์กร
สำหรับหน่วยงานต่าง ๆ ภายในองค์กร ทั้งในระดับหน่วยธุรกิจ ฝ่าย และแผนกต่าง ๆ จะมีหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับการบริหารความเสี่ยง ดังนี้
* กำหนดวัตถุประสงค์ในการบริหารความเสี่ยงของหน่วยงาน
* กำหนดกลยุทธ์ที่จะใช้ในการบริหารความเสี่ยง ระดับของความเสี่ยงที่ยอมรับได้ มาตรวัดสำหรับการประเมิน และขอบเขตความรับผิดชอบในการบริหารจัดการ
* การดูแลให้สามารถเข้าถึงคำแนะนำในการบริหารความเสี่ยงได้
* การดำเนินการตามกระบวนการบริหารความเสี่ยง
* การพิจารณาถึงความเสี่ยงที่เกิดขึ้นในพื้นที่ต่าง ๆ ที่รับผิดชอบ และโอกาสที่จะส่งผลกระทบต่อหน่วยงานอื่น ๆ
* การดูแลให้มีการจัดการความเสี่ยงอย่างมีประสิทธิผลทางด้านต้นทุน (Cost-effectiveness)
* การกำหนดดัชนีวัดสำหรับการบริหารความเสี่ยง เพื่อวัดความก้าวหน้าตามวัตถุประสงค์ที่ได้กำหนดไว้
* การดูแลให้มีการพิจารณาถึงความเสี่ยงที่เกิดขึ้นใหม่ หรือมีการจัดลำดับความสำคัญของความเสี่ยงใหม่ ๆ ตามการวิเคราะห์ความเสี่ยงที่เกิดขึ้น
* การเฝ้าติดตามวัดผลการดำเนินโปรแกรมการปฏิบัติงานในการบริหารความเสี่ยง
* การจัดทำรายงานอย่างเป็นระบบ และทันกับความต้องการของผู้บริหาร เกี่ยวกับความเสี่ยงใหม่ ๆ ที่เกิดขึ้น หรือการเปลี่ยนแปลงที่มีผลกระทบกับการดำเนินการ หรือความผิดพลาดที่เกิดขึ้นจากมาตรการควบคุมปัจจุบัน
* การจัดเตรียมให้มีการแลกเปลี่ยนข้อมูลสารสนเทศเกี่ยวกับการบริหารความเสี่ยงอย่างเหมาะสม
หน่วยงานตรวจสอบภายใน
ในองค์กรขนาดใหญ่ มักจะมีหน่วยงานด้านการตรวจสอบภายใน (Internal Audit) ซึ่งจะมีบทบาทอย่างมากในการสร้างความเชื่อมั่นให้กับผู้บริหารระดับสูง ในส่วนของกระบวนการบริหารความเสี่ยง ทั้งการออกแบบและการนำไปใช้งาน ความมีประสิทธิผลของการควบคุม และการจัดการความเสี่ยงในรูปแบบต่าง ๆ รวมถึงการจัดทำรายงานการบริหารความเสี่ยง
ทั้งนี้ การดำเนินการบริหารความเสี่ยงขององค์กร และการทำงานในการตรวจสอบภายใน จะแยกจากกันอย่างเป็นอิสระ โดยมีการแลกเปลี่ยนข้อมูลสารสนเทศ และประสานการทำงานระหว่างกัน ตัวอย่างของข้อมูลที่จะนำมาแลกเปลี่ยนกัน เช่น แผนการดำเนินงานประจำปีของหน่วยงานต่าง ๆ วิธีการจัดการความเสี่ยง ความเสี่ยงที่สำคัญ รายละเอียดของแนวทางการควบคุม ผลลัพธ์ที่ได้จากกระบวนการบริหารความเสี่ยง การจัดทำรายงานและข้อมูลสารสนเทศในการบริหารจัดการ
7. เครื่องมือสำหรับการบริหารความเสี่ยง
ในการบริหารความเสี่ยง จะต้องเลือกเครื่องมือ แนวปฏิบัติ เทคนิค รูปแบบ เอกสาร และระบบงานที่เหมาะสม เพื่อ
* จัดทำ และดำเนินการบริหารความเสี่ยง
* ให้เกิดความสอดคล้องไปในทิศทางเดียวกันของกรอบการดำเนินงาน กระบวนการ และพัฒนาการของการบริหารความเสี่ยงองค์กร
* ความเหมาะสมกับลักษณะ ขนาด ความซับซ้อน และวัฒนธรรมขององค์กร
* จัดทำ และแบ่งปันความรู้ รวมถึงความชำนาญในการบริหารความเสี่ยงองค์กร
8. การกำหนดความเสี่ยงที่ยอมรับได้ และรูปแบบของความเสี่ยง
ในการกำหนดระดับของความเสี่ยงที่ยอมรับได้ จะต้องได้รับการอนุมัติจากคณะกรรมการบริษัท และมีการสื่อสารให้เกิดความเข้าใจทั่วทั้งองค์กร ทั้งนี้ จะต้องมีการจัดทำรายละเอียดของความเสี่ยงที่ยอมรับได้ เพื่อ
* แสดงถึงทิศทาง และขอบเขตของความเสี่ยง ที่สามารถยอมรับได้ในระดับต่าง ๆ รวมถึงเป็นการรักษาสมดุลระหว่างความเสี่ยงและประโยชน์ที่จะได้รับ
* พิจารณาถึงบริบท และความเข้าใจขององค์กรเกี่ยวกับคุณค่า ความประสิทธิผลทางด้านต้นทุนของการบริหารจัดการ ความเข้มแข็งของมาตรการควบคุม และการรับประกันกระบวนการ
* ให้องค์กรได้ตระหนักถึงความพร้อมในการยอมรับกับความเสี่ยงที่มากกว่าระดับทั่วไปในบางพื้นที่ ถ้าความเสี่ยงโดยรวมได้รับการยอมรับ
* กำหนดมาตรการควบคุม การยอมรับ และการแทรกแซง รวมถึงการมอบหมายอำนาจในการอนุมัติที่เกี่ยวกับการยอมรับความเสี่ยงขององค์กร และขั้นตอนการนำเสนอสำหรับความเสี่ยงที่อยู่นอกเหนือเกณฑ์การยอมรับ ขีดความสามารถ และความสามารถขององค์กร
* แสดงให้เห็นถึงนโยบายการบริหารความเสี่ยงองค์กร และการจัดทำรายงานความเสี่ยงภายในขององค์กร
* อธิบายเชิงคุณภาพ (Qualitative) สำหรับความเสี่ยงเฉพาะ ที่องค์กรสามารถยอมรับ หรือไม่ยอมรับ และ
* อธิบายเชิงปริมาณ (Quantitative) ถึงขอบเขตจำกัด หรือดัชนีวัดความเสี่ยงที่สำคัญ (Key Risk Indicator)
นอกจากนั้น การจัดทำข้อมูลเกี่ยวกับรูปแบบของความเสี่ยง หรือ Risk Profile จะช่วยให้องค์กรได้เห็นภาพรวมของความเสี่ยงที่จะเกิดขึ้นในองค์กร รวมถึงในหน่วยงานและพื้นที่ต่าง ๆ ขององค์กร โดยรูปแบบของความเสี่ยง จะอธิบายลักษณะ และระดับความเสี่ยงที่องค์กรพบ ผลกระทบและโอกาสในการเกิดขึ้นของความเสี่ยงที่เกิดขึ้นกับองค์กร และผู้มีส่วนได้ส่วนเสีย รวมถึงความมีประสิทธิผลของการควบคุมในการจัดการกับความเสี่ยงนั้น ๆ
ทั้งนี้ ความเสี่ยงที่ยอมรับได้ และรูปแบบความเสี่ยง จะได้รับการเฝ้าติดตาม และทบทวนโดยคณะกรรมการบริษัท ซึ่งจะเป็นส่วนหนึ่งของกระบวนการในการวางแผนกลยุทธ์ขององค์กร โดยจะพิจารณาถึงความเหมาะสมของความเสี่ยงที่ยอมรับได้ในการบรรลุวัตถุประสงค์ขององค์กรภายใต้ตัวขับเคลื่อน และข้อจำกัดทั้งภายในและภายนอกองค์กร
9. การจัดประเภทของความเสี่ยง และผลกระทบของความเสี่ยง
องค์กรจะต้องมีการจัดประเภทของความเสี่ยงให้เหมาะสมกับขนาด จุดประสงค์ รูปแบบ ความซับซ้อน รวมถึงบริบทขององค์กร โดยคำนึงถึงพัฒนาการของการบริหารความเสี่ยง ทั้งนี้ จะต้องมีการสื่อสารเกี่ยวกับการจัดประเภทของความเสี่ยงให้เกิดความเข้าใจอย่างทั่วถึงด้วย
นอกจากนั้น จะต้องมีการจัดประเภทของผลกระทบของเหตุการณ์ต่าง ๆ ที่จะเกิดขึ้นด้วย เพื่อให้สามารถทำการประเมิน และจัดทำรายงานเกี่ยวกับผลกระทบของเหตุการณ์ต่าง ๆ ที่เกิดขึ้นและที่อาจจะเกิดขึ้นได้อย่างชัดเจน เช่นเดียวกัน การจัดประเภทของผลกระทบของความเสี่ยง จะต้องเหมาะสมกับขนาด จุดประสงค์ รูปแบบ ความซับซ้อน และบริบทขององค์กรด้วย
10. การกำหนดเกณฑ์ความเสี่ยง
นอกจากการจัดประเภทของความเสี่ยง และผลกระทบของความเสี่ยงแล้ว องค์กรยังต้องมีการกำหนดเกณฑ์สำหรับการพิจารณาความเสี่ยงด้วย โดยเกณฑ์ที่กำหนดขึ้น จะต้องเหมาะสมกับขนาด จุดประสงค์ รูปแบบ ความซับซ้อน ระดับการบริหารงาน และบริบทขององค์กร เพื่อนำมาใช้ในการประเมินความเสี่ยง และวัดระดับของพัฒนาการของการบริหารความเสี่ยงขององค์กร
การประเมินจะเป็นการพิจารณาถึงโอกาสในการเกิดขึ้น และผลกระทบที่ตามมาของความเสี่ยง รวมถึงช่วงเวลาที่เกิดขึ้นด้วย ทั้งนี้การกำหนดเกณฑ์ความเสี่ยง จะต้องคำนึงถึงระดับของความเสี่ยงที่ยอมรับได้ และความเสี่ยงตามธรรมชาติที่ไม่สามารถนำไปสู่การวิเคราะห์ในเชิงตัวเลขได้
11. การสื่อสารด้านความเสี่ยง
ผู้บริหารระดับสูงขององค์กร จะต้องมีการจัดทำกระบวนการสื่อสารที่เหมาะสม สำหรับข้อมูลสารสนเทศต่าง ๆ ที่เกี่ยวกับความเสี่ยง รวมถึงมาตรการจัดการต่อความเสี่ยง ไปยังผู้มีส่วนได้เสียทั้งหมดขององค์กร
12. กระบวนการบริหารความเสี่ยง
ดูรายละเอียดของกระบวนการบริหารความเสี่ยง ในส่วนที่ 3
13. การกำหนดกิจกรรมการบริหารความเสี่ยง
การบริหารความเสี่ยง จะประกอบด้วยกิจกรรมหลัก ๆ ที่สำคัญ ได้แก่
* การวางแผนการพัฒนาการบริหารความเสี่ยง
* การดำเนินการและการดูแลรักษาการบริหารความเสี่ยง
* การติดตามวัดผล ทบทวน และปรับปรุงอย่างต่อเนื่อง และ
* การจัดทำรายงานการพัฒนาระบบบริหารความเสี่ยง
ในขั้นตอนของการวางแผน เพื่อการพัฒนาระบบบริหารความเสี่ยงให้เกิดขึ้นในองค์กร จะต้องมีการพิจารณาถึงความต้องการของผู้มีส่วนได้เสียที่สำคัญ โดย
* คำนึงถึงข้อจำกัด และขีดความสามารถขององค์กรในการดำเนินการ
* พิจารณาถึงกระบวนการต่าง ๆ ที่มีอยู่ และทำความเข้าใจถึงแนวทางในการบริหารความเสี่ยง
* กำหนดกลยุทธ์ ในการพัฒนาระดับของขีดความสามารถให้ได้ตามที่ต้องการ เพื่อประสิทธิภาพของการดำเนินการขององค์กร
* ใช้ขีดความสามารถ ทรัพยากร กระบวนการ และระบบงานที่มีอยู่ขององค์กร
จากนั้น องค์กรจะต้องมีการระบุถึงจุดอ่อนของกรอบโครงสร้างในการบริหารความเสี่ยงที่องค์กรดำเนินการอยู่ รวมถึงจุดอ่อนในองค์ประกอบอื่น ๆ เช่น ความมุ่งมั่นและทรัพยากรที่มีอย่างจำกัด การขาดความชัดเจนในหน้าที่ความรับผิดชอบและความเป็นเจ้าของ ความล้มเหลวในการปลูกฝังวัฒนธรรมการบริหารความเสี่ยงให้เกิดขึ้นในองค์กร รวมถึงข้อจำกัดของบุคลากรที่เกี่ยวข้องกับการบริหารความเสี่ยง
นอกจากนั้น จะต้องมีการจัดทำรายงานการพัฒนาระบบบริหารความเสี่ยง ทั้งการกำหนดนโยบาย กรอบการบริหารความเสี่ยง และความมีประสิทธิผลของการดำเนินการ ให้กับผู้มีส่วนได้เสียกับองค์กร รวมถึงมีการสื่อสารให้กับผู้มีส่วนได้เสียที่เกี่ยวข้อง ถึงการกำหนดนโยบาย และกรอบการทำงานในการบริหารความเสี่ยง รวมถึงความมีประสิทธิผลของการดำเนินงาน
14. การจัดทำรายงานความเสี่ยง
ดูรายละเอียดของการจัดทำรายงานความเสี่ยง ในส่วนที่ 3
15. การดำเนินการและการดูแลรักษาการบริหารความเสี่ยง
องค์กรจะต้องมีการจัดทำแผนการดำเนินการในการส่งเสริม และดูแลรักษาการบริหารความเสี่ยงให้เกิดขึ้นทั่วทั้งองค์กร โดยมีการกำหนดผู้รับผิดชอบ และตารางเวลาในการดำเนินการไว้อย่างชัดเจน ทั้งนี้ จะต้องมีการเฝ้าติดตามถึงการปฏิบัติการ และความก้าวหน้าของการดำเนินการเปลี่ยนแปลงด้วย
16. การติดตามวัดผล ทบทวน และปรับปรุงอย่างต่อเนื่อง
ในการบริหารความเสี่ยงขององค์กร จะต้องมีการปรับปรุงความมีประสิทธิผลอย่างต่อเนื่องด้วย โดยการเรียนรู้จากเหตุการณ์ที่ทำให้เกิดความเสี่ยง และการประยุกต์ใช้มาตรการควบคุม การตรวจประเมินภายในองค์กร และการทบทวนกระบวนการ
การเรียนรู้จากเหตุการณ์ที่เกี่ยวกับความเสี่ยง
กลไกที่สำคัญในการปรับปรุงจิตสำนึก ความรู้ ขีดความสามารถ และผลการดำเนินงานในอนาคตของการบริหารความเสี่ยง คือการสร้างความมั่นใจให้ได้ว่าองค์กรได้เรียนรู้จากเหตุการณ์ความเสี่ยงที่เกิดขึ้น โดยองค์กรควรจะทำการทบทวนเหตุการณ์ทางด้านความเสี่ยง จากแนวโน้มที่เกิดขึ้น ซึ่งอาจรวมไปถึงการใช้ข้อมูลเกี่ยวกับเหตุการณ์ความสูญเสียที่เกิดขึ้น รวมถึงควรจะพิจารณาถึงการทบทวนความเสี่ยงที่เกิดขึ้น และดูแลให้มั่นใจว่าได้รับการรายงานและบันทึกอย่างเพียงพอ โดยสิ่งที่ควรจะนำมาพิจารณาในระหว่างการทบทวน ได้แก่
* เกิดเหตุการณ์อะไรขึ้น
* ลักษณะ และสาเหตุที่ความเสี่ยงนั้นเกิดขึ้น
* การดำเนินการที่เกิดขึ้นกับความเสี่ยงนั้น ๆ
* โอกาสที่ความเสี่ยงจะเกิดขึ้นอีกครั้ง
* การตอบสนองเพิ่มเติม และ
* จุดเรียนรู้หลัก และผู้ที่จะต้องได้รับการสื่อสารให้ทราบ
นอกจากนั้น องค์กรควรจะมีการพิจารณาถึงข้อมูลที่เกี่ยวกับการเกิดขึ้นของความเสี่ยงขององค์กรภายนอก เช่น องค์กรที่อยู่ในอุตสาหกรรมเดียวกัน เพื่อพิจารณาถึงความเสี่ยงนั้นมีโอกาสที่จะเกิดขึ้นของเหตุการณ์ที่คล้าย ๆ กัน และมาตรการในการดำเนินการ
การเฝ้าติดตามและการทบทวน
องค์กรจะต้องมั่นใจได้ว่าการเปลี่ยนแปลงที่มีต่อบริบท หรือการเปลี่ยนแปลงที่เกิดขึ้นปัจจัยอื่น ๆ ที่ส่งผลกระทบต่อความเหมาะสม หรือต้นทุนของการบริหารความเสี่ยง จะต้องได้รับการกำหนดไว้ รวมถึงจะต้องมีการดำเนินการทบทวนอย่างน้อยปีละหนึ่งครั้ง เพื่อพิจารณาว่า
* กรอบการบริหารงาน และกระบวนการมีความเหมาะสมกับจุดประสงค์ และสอดคล้องไปในทิศทางเดียวกันกับวัตถุประสงค์ และลำดับความสำคัญขององค์กร
* กรอบการบริหารงาน และกระบวนการ ได้ให้ผลลัพธ์ตามที่ต้องการ
* ผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง ได้รับรายงานอย่างเพียงพอเพื่อให้สามารถปฏิบัติหน้าที่ตามที่ได้รับมอบหมายในโครงสร้างธรรมภิบาล
* บุคลากรทั่วทั้งองค์กร มีทักษะ ความรู้ และความสามารถในการบริหารความเสี่ยงอย่างเพียงพอ ในแนวทางเดียวกันกับบทบาทหน้าที่ที่เกี่ยวกับความเสี่ยง เพื่อให้สามารถปฏิบัติงานประจำวันได้
* ทรัพยากรในการบริหารความเสี่ยงมีอย่างเพียงพอ
* บทเรียนที่ได้จากความสูญเสียที่เกิดขึ้น รวมถึงที่เกือบจะเกิดขึ้นและโอกาส ได้รับการนำมาพิจารณา
* การเติบโต และขีดความสามารถการบริหารความเสี่ยงโดยรวม และเป็นปัจจุบัน เพื่อให้ได้ตามวัตถุประสงค์ ตามที่กำหนดไว้ในกลยุทธ์การบริหารความเสี่ยง
การทบทวนอาจดำเนินการได้ในหลาย ๆ รูปแบบ ตั้งแต่การประเมินด้วยตนเอง และการตรวจสอบภายใน จนถึงการทบทวนอย่างรายละเอียดโดยหน่วยงานภายนอกที่เป็นอิสระ
ส่วนที่ 3 กระบวนการบริหารความเสี่ยง (Risk Management Process)
ในส่วนของกระบวนการบริหารความเสี่ยง จะเป็นการดำเนินการอย่างเป็นระบบ ที่มีประสิทธิภาพ และประสิทธิผลในการจัดการกับความเสี่ยงในรูปแบบต่าง ๆ และในส่วนงานต่าง ๆ ภายในองค์กร โดยจะเป็นการดำเนินการอย่างต่อเนื่อง และนำมาใช้เป็นส่วนหนึ่งของกระบวนการตัดสินใจขององค์กร
รูปที่ 2 แสดงกระบวนการบริหารความเสี่ยง
จากรูปที่ 2 กระบวนการบริหารความเสี่ยง จะประกอบด้วย
1. การกำหนดบริบทของความเสี่ยง (Risk Context)
2. การระบุความเสี่ยง (Risk Identification)
3. การประเมินความเสี่ยง (Risk Assessment)
4. การจัดการความเสี่ยง (Risk Response)
5. การรายงานความเสี่ยง (Risk Reporting)
6. การทบทวนความเสี่ยง (Risk Review)
1. การกำหนดบริบทของความเสี่ยง
ในการจัดการความเสี่ยง จะเริ่มต้นจากการระบุ และเฝ้าติดตาม ถึงบริบทของความเสี่ยง และปัจจัยภายในขององค์กรที่มีอิทธิพลต่อการบริหารความเสี่ยง รวมถึงความเสี่ยงที่องค์กรสามารถดำเนินการในบางระดับของการควบคุมหรือการตอบสนองได้ โดยองค์กรจะต้อง
* กำหนดขอบเขตที่ชัดเจนสำหรับกระบวนการบริหารความเสี่ยง
* ทบทวนองค์ประกอบต่าง ๆ ที่เกี่ยวข้องของกรอบการดำเนินงานในการบริหารความเสี่ยง
* คัดเลือกวิธีการปฏิบัติงาน เครื่องมือ และเทคนิคที่เหมาะสม รวมถึงจัดทำตารางเวลาการปฏิบัติงานของกระบวนการในการบริหารความเสี่ยง
* สร้างการมีส่วนร่วมของบุคลากรในแต่ละขั้นตอนอย่างเหมาะสม
2. การระบุความเสี่ยง
ในการระบุความเสี่ยง จะต้องดำเนินการด้วยวิธีการที่เหมาะสม เพื่อให้มั่นใจว่าได้มีการ
* ระบุ และบันทึกถึงแหล่งที่มาของความเสี่ยงทั้งหมด ที่อาจจะส่งผลต่อความสำเร็จของวัตถุประสงค์ขององค์กร
* กำหนดความเสี่ยงไว้อย่างชัดเจน ไม่ซ้ำซ้อน
* ระบุภัยคุกคาม และโอกาสที่จะเกิดขึ้นไว้อย่างเหมาะสม
* ประเมินถึงสาเหตุของความเสี่ยงในแต่ละรายการ
* พิสูจน์ความถูกต้องของสมมติฐานต่าง ๆ
* ระบุถึงความสัมพันธ์ และความขัดแย้งระหว่างผู้มีส่วนได้เสีย และวัตถุประสงค์ ที่อาจเป็นสาเหตุของความเสี่ยง
* กำหนดถึงเจ้าของที่ดูแลความเสี่ยงไว้อย่างชัดเจน และ
* ระบุถึงแนวทางในการตอบสนองต่อความเสี่ยงที่เกิดขึ้นจากการกำหนดไว้
ทั้งนี้ ความเสี่ยงทั้งหมดที่ระบุไว้ ควรมีการบันทึกอย่างสม่ำเสมอและชัดเจน เพื่อให้สามารถนำมาทบทวนและดำเนินการตอบสนองได้อย่างมีประสิทธิผล
3. การประเมินความเสี่ยง
ในการประเมินความเสี่ยง จะประกอบด้วย การวิเคราะห์ความเสี่ยงแต่ละรายการ การวิเคราะห์ความเสี่ยงที่มีการเชื่อมโยงกัน การประเมินผลและจัดลำดับความสำคัญของความเสี่ยง
3.1 การวิเคราะห์ความเสี่ยงแต่ละรายการ
ความเสี่ยงโดยทั่วไป จะส่งผลให้เกิดผลกระทบที่ตามมา ซึ่งบางครั้งจะเป็นในทางบวก แต่บางครั้งก็เป็นทางลบ ดังนั้นในการบริหารความเสี่ยงและผลกระทบที่เกิดขึ้น จะเป็นการเปลี่ยนแปลงผลกระทบนั้น ๆ จากผลกระทบในเชิงลบ มาเป็นผลกระทบในเชิงบวก โดยการวิเคราะห์ความเสี่ยง จะดำเนินการภายใต้ระดับของความละเอียดที่แตกต่างกันไป ขึ้นอยู่กับความเสี่ยง จุดประสงค์ของการวิเคราะห์ และความพร้อมของข้อมูลสารสนเทศ และทรัพยากรที่มี ทั้งนี้อาจจะเป็นการวิเคราะห์เชิงคุณภาพ หรือการวิเคราะห์เชิงปริมาณ หรือทั้งสองอย่างก็ได้
จากนั้น ความเสี่ยงแต่ละรายการ จะถูกนำมาวิเคราะห์ในขอบเขตที่เหมาะสม โดยคำนึงถึงผลกระทบที่ และโอกาสในการเกิดขึ้นของความเสี่ยงนั้น ๆ อย่างไรก็ตาม การวิเคราะห์ความเสี่ยง ควรจะเป็นกระบวนการที่สามารถทำซ้ำได้ โดยพิจารณาถึงความเสี่ยงที่เกิดขึ้นตามธรรมชาติ (Inherent Risk) มาตรการควบคุมที่มีอยู่ และแนวทางในการบรรเทาความเสี่ยง รวมถึงการดำเนินการให้สอดคล้องกับเกณฑ์ความเสี่ยง (Risk Criteria) ที่ได้กำหนดไว้
3.2 การวิเคราะห์ความเสี่ยงที่มีการเชื่อมโยงกัน
ในส่วนนี้ จะเป็นการนำความเสี่ยงที่มีการเชื่อมโยงกัน มาทำการรวมกัน หรือพิจารณาร่วมกัน ในขณะที่ความเสี่ยงที่มีอิสระ ไม่เกี่ยวข้องกัน ก็อาจจะแยกออกจากกันในการนำมาพิจารณา โดยความเสี่ยงที่ถูกกำหนดโดยการตอบสนองร่วมกัน อาจจะนำมารวมกัน หรือจัดอยู่กลุ่มเดียวกัน ในขณะที่ความเสี่ยงที่ถูกกำหนดในแยกการตอบสนองออกไป ก็อาจจะพิจารณาแยกออกเป็นอิสระออกไป
3.3 การประเมินผลและจัดลำดับความสำคัญของความเสี่ยง
ในการจัดการความเสี่ยง ควรจะมีการจัดลำดับความสำคัญของความเสี่ยงที่ถูกวิเคราะห์ รวมถึงการพิจารณาถึงแนวทางที่ความเสี่ยงเกิดขึ้น และความสามารถในการจัดการ โดยกระบวนการประเมินความเสี่ยง จะทำการคำนวณเป็นรูปแบบความเสี่ยง (Risk Profiles) จากการผสมผสานของความเสี่ยงที่ได้รับการวิเคราะห์อย่างเหมาะสม และทำการเปรียบเทียบระดับของความเสี่ยงกับความเสี่ยงที่ยอมรับได้
ในส่วนของการประเมินผล และการจัดลำดับความสำคัญของความเสี่ยง จะคำนึงถึงบริบทของความเสี่ยง รวมถึงความเป็นไปได้ในการยอมรับหรือปฏิเสธความเสี่ยงโดยผู้มีส่วนได้ส่วนเสีย
4. การจัดการความเสี่ยง
ขั้นตอนของการจัดการความเสี่ยง จะเริ่มต้นจากการทำความเข้าใจในความเสี่ยง การพัฒนาแนวทางในการเปลี่ยนแปลงเพื่อจัดการความเสี่ยง การตัดสินใจดำเนินการเปลี่ยนแปลงมาตรการควบคุม การบริหารการเปลี่ยนแปลงในมาตรการควบคุม และการเฝ้าติดตามสมรรถนะของมาตรการควบคุม
4.1 การทำความเข้าใจ
การตอบสนองต่อความเสี่ยงที่มีอยู่ รวมถึงมาตรการควบคุม และความเสี่ยงที่เหลืออยู่ จะต้องได้รับการตรวจสอบ จัดทำเป็นเอกสารและสร้างความเข้าใจ โดยมาตรการควบคุมจะต้องสอดรับกับความเสี่ยง เพื่อให้ชัดเจนว่ายังคงมีความเสี่ยงที่เหลืออยู่ ทั้งนี้ความเสี่ยงที่เหลืออยู่ จะสะท้อนถึงความเสี่ยงที่เกิดขึ้นโดยธรรมชาติ (Inherent risk) และผลกระทบของมาตรการควบคุมทั้งหมดที่เกี่ยวข้อง ทั้งนี้ ความเสี่ยงที่เหลืออยู่อาจจะประมาณการณ์ได้โดยตรงจากหลักฐานของความเสี่ยงที่เกิดขึ้นในช่วงเวลาที่ผ่านมา
4.2 การพัฒนาแนวทางในการเปลี่ยนแปลงเพื่อจัดการความเสี่ยง
ในแต่ละรอบของกระบวนการบริหารความเสี่ยง จะมีการจัดทำแนวคิดสำหรับการปรับปรุงมาตรการควบคุมที่เกี่ยวข้องกับความเสี่ยงภายใต้การพิจารณา เพื่อนำไปสู่การตัดสินใจเกี่ยวกับการดำเนินการเปลี่ยนแปลง โดยการเปลี่ยนแปลงอาจจะเป็นการเพิ่มมาตรการควบคุม การยกเลิกการควบคุม หรือการใช้วิธีการควบคุมที่แตกต่างออกไป ซึ่งการควบคุมควรจะเป็นการดำเนินการที่สามารถทำซ้ำได้ และเป็นการดำเนินการเพื่อ
* การหลีกเลี่ยงความเสี่ยง (Avoid)
* การค้นหาความเสี่ยง (Seek)
* การปรับเปลี่ยนความเสี่ยง (Modify)
* การโอนย้ายความเสี่ยง (Transfer)
* การคงความเสี่ยงไว้ (Retain)
ทั้งนี้ ในการพิจารณา จะต้องคำนึงถึงงานที่จำเป็นในการพัฒนา และดำเนินการเปลี่ยนแปลงมาตรการควบคุมที่เป็นไปได้ รวมถึงการดำเนินการในมาตรการควบคุมนั้น ๆ โดยการควบคุม สามารถทำการพิจารณาแยกเป็นอิสระก็ได้ แต่การพิจารณาโดยเป็นส่วนหนึ่งของระบบที่บูรณาการทั้งหมดเข้าด้วยกัน จะช่วยให้เกิดประสิทธิภาพ และประสิทธิผลได้มากกว่า
4.3 การตัดสินใจดำเนินการเปลี่ยนแปลงมาตรการควบคุม
เมื่อทำการตัดสินใจที่จะดำเนินการเปลี่ยนแปลงมาตรการควบคุมของการบริหารความเสี่ยง จะต้องมีการประเมินถึง
1. ความเป็นไปได้ของประโยชน์ที่ได้เทียบกับต้นทุนของการปฏิบัติการในมาตรการควบคุม โดยคำนึงถึงผลกระทบของความเสี่ยงที่เปลี่ยนไปจากแต่ละมาตรการควบคุม
2. ต้นทุนและประโยชน์ที่เกี่ยวข้องของการเปลี่ยนแปลงมาตรการควบคุม
3. ข้อกฎหมายหรือระเบียบข้อบังคับ หรือปัจจัยความรับผิดชอบต่อสังคม ที่อาจจะส่งผลต่อการวิเคราะห์ต้นทุนและผลประโยชน์ที่ได้ (Cost-benefit Analysis) และจำเป็นที่จะต้องมีการเปลี่ยนแปลงการควบคุมเฉพาะ และ
4. ความเสี่ยงที่เพิ่มขึ้น ที่อาจจะเกิดขึ้นจากการเปลี่ยนแปลงมาตรการควบคุม
นอกจากนั้น การตัดสินใจเปลี่ยนแปลงมาตรการควบคุม ควรจะคำนึงถึงการรับรู้ และความกังวลของผู้มีส่วนได้เสียด้วย ทั้งนี้การเปลี่ยนแปลงทั้งหมด และผลลัพธ์ของความเสี่ยงที่ยังเหลืออยู่ (Residual Risk) ควรจะได้รับการอนุมัติอย่างเหมาะสมจากองค์กรด้วย
4.4 การบริหารการเปลี่ยนแปลงในมาตรการควบคุม
ในการบริหารความเสี่ยง จะต้องมีการจัดลำดับความสำคัญของการเปลี่ยนแปลงมาตรการควบคุม โดยคำนึงถึงผลกระทบที่มีต่อกิจกรรมอื่น ๆ และความพร้อมของทรัพยากรที่จำเป็นต้องใช้ ซึ่งการเปลี่ยนแปลงมาตรการควบคุมต่างๆ จะถูกมอบหมายไปยังเจ้าของที่รับผิดชอบในการจัดการความเสี่ยง และมีการจัดทำตารางเวลาในการดำเนินการ รวมถึงมีการติดตามวัดผลความก้าวหน้าในการดำเนินการของการเปลี่ยนแปลงมาตรการควบคุมไว้อย่างชัดเจนด้วย
4.5 การเฝ้าติดตามสมรรถนะของมาตรการควบคุม
ภายหลังจากมีการดำเนินการเปลี่ยนแปลงมาตรการควบคุมแล้ว ควรจะมีการรวบรวมข้อมูลเกี่ยวกับความเสี่ยงที่เหลือที่เกิดขึ้นจริง (Actual Residual Risk) โดยระดับของความเสี่ยงที่เหลือจะได้รับการประเมิน ด้วยกระบวนการในการตัดสินใจที่เหมือนกัน ในการพิจารณาที่จะคงความเสี่ยงที่เหลืออยู่ไว้
หรือพิจารณาถึงความคุ้มค่าในการเพิ่มการเปลี่ยนแปลงในมาตรการควบคุมเพื่อลดความเสี่ยงลงไปอีก ทั้งนี้ กระบวนการจะถูกดำเนินการซ้ำ จนกว่าระดับของความเสี่ยงที่เหลือจะอยู่ภายใต้ระดับของความเสี่ยงที่ยอมรับได้ (Risk Appetite) และการเปลี่ยนแปลงในมาตรการควบคุมที่เพิ่มเติมเข้ามา ไม่มีความคุ้มค่า
องค์กรจะต้องทำการเฝ้าติดตาม และทดสอบมาตรการควบคุมต่าง ๆ เพื่อให้มั่นใจได้ว่า
* มีเจ้าของรับผิดชอบดูแลอย่างชัดเจน
* มีการกำหนด สื่อสาร และทำความเข้าใจอย่างชัดเจน
* ในการดำเนินการ จะไม่ทำให้เกิดความเสี่ยงเพิ่มเติมที่ไม่สามารถยอมรับได้
* ได้รับการนำไปปฏิบัติการตามที่ออกแบบไว้
* สามารถรักษาความมีประสิทธิผลในเชิงต้นทุน (Cost-effective)
การประกันความมีประสิทธิผลของมาตรการควบคุม อาจจะดำเนินการได้ในหลายๆ รูปแบบ ตั้งแต่การประเมินด้วยตนเอง และการตรวจสอบภายใน ไปจนถึงการทบทวนโดยผู้เชี่ยวชาญอิสระจากภายนอก รวมถึงหลักฐานที่แสดงถึงความมีประสิทธิผลของมาตรการควบคุม ซึ่งจะได้จากการเฝ้าติดตามกิจกรรมที่ดำเนินการเป็นประจำ
5. การรายงานความเสี่ยง
ผลลัพธ์ที่สำคัญจากกระบวนการบริหารความเสี่ยง ควรได้รับการสื่อสารไปยังผู้มีส่วนได้เสียต่าง ๆ ที่เกี่ยวข้องผ่านรายงานความเสี่ยง หรือ Risk Reporting โดยในการจัดทำรายงานความเสี่ยงขององค์กร ควรจะ
* มีความเข้าใจในความต้องการของผู้มีส่วนได้ส่วนเสีย ลำดับความสำคัญและกรอบของเวลา รวมถึงมีความสอดคล้องกันกับหน้าที่ความรับผิดชอบ
* จัดทำขึ้นทันเวลาที่ต้องการ มีความกระชับได้ใจความ เฉพาะเจาะจง และเชื่อถือได้
* มีรายละเอียดอย่างเพียงพอที่ผู้มีส่วนได้ส่วนเสียสามารถใช้ประโยชน์ในการทำความเข้าใจในประเด็นที่สำคัญ
* บูรณาการเข้ากับกระบวนการจัดทำรายงานอื่น ๆ ได้อย่างเหมาะสม และสามารถนำมาปฏิบัติได้
* นำส่งในเวลาที่เพียงพอ เพื่อให้ผู้รับได้สามารถทบทวนเนื้อหาอย่างทั่วถึง และครอบคลุม
* ได้รับการทบทวนอย่างเป็นอิสระเป็นระยะ ๆ เพื่อยืนยันถึงความถูกต้องในคุณภาพ และมั่นใจได้ว่าสอดคล้องกันกับความต้องการของผู้มีส่วนได้ส่วนเสีย
ทั้งนี้ รายงานที่จัดทำขึ้น จะต้องมีรายละเอียดที่เหมาะสม มีลักษณะเฉพาะเจาะจง มีความเกี่ยวข้อง ทันเวลา และน่าเชื่อถือได้ ประกอบด้วยเนื้อหาที่อธิบายถึง
* สถานะของความเสี่ยงที่สำคัญที่อธิบายถึงการเปลี่ยนแปลงของสิ่งต่าง ๆ ที่มีผลต่อการเปลี่ยนโอกาส หรือผลกระทบที่เกิดขึ้น โดยเฉพาะอย่างยิ่ง ที่อาจจะมีผลกระทบต่อความคุ้มค่าของการดำเนินการตอบสนอง และความเสี่ยงที่ระดับมากกว่าความเสี่ยงที่ยอมรับได้ (ช่วงการยอมรับของความเสี่ยง)
* ความเสี่ยงที่เกิดขึ้นที่สำคัญ ที่จำเป็นที่จะต้องมีการประเมิน และเฝ้าติดตาม
* สาเหตุ หรือแหล่งที่มาของความเสี่ยงที่สำคัญ เช่น กิจกรรม หรือกระบวนการเฉพาะ
* คำอธิบายเกี่ยวกับความไม่แน่นอนที่เกี่ยวกับกิจกรรม กระบวนการ หรือเหตุการณ์เฉพาะ
* ผลกระทบที่อาจเกิดขึ้นของความเสี่ยง โดยอธิบายในรูปของผลกระทบที่มีต่อธุรกิจ กิจกรรม หรือโครงการ มากกว่าจะระบุเป็นผลกระทบเฉพาะด้าน เช่น การกำไรหรือขาดทุนทางการเงิน
* ช่วงเวลาของความเสี่ยง
* วันที่ความเสี่ยงเกิดขึ้น จากการเฝ้าติดตามอายุของความเสี่ยง ตามความก้าวหน้าของการบรรเทา
* โอกาสในการเกิดขึ้นของความเสี่ยง
* การเชื่อมโยงระหว่างแหล่งที่มาของความเสี่ยงแต่ละรายการ และวัตถุประสงค์ของสมรรถนะที่เกี่ยวข้อง
* การเชื่อมโยงกับความเสี่ยงอื่น ๆ
* การจัดการความเสี่ยงที่เกิดขึ้น
* ข้อเสนอแนะในการปรับปรุงการจัดการความเสี่ยง และ
* เจ้าของความเสี่ยง และผู้รับผิดชอบในมาตรการจัดการความเสี่ยง
ระบบการรายงานภายในขององค์กร จะช่วยในการ
* เฝ้าติดตามความเสี่ยงใหม่ ความสอดคล้องของความเสี่ยงที่ได้รับการจัดการตามระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) รูปแบบความเสี่ยงโดยรวมขององค์กร และความเสี่ยงที่สำคัญ รวมถึงการเปลี่ยนแปลงเมื่อเวลาผ่านไป
นอกจากนั้น ยังช่วยติดตามถึงความก้าวหน้าของการดำเนินการในการตอบสนองต่อความเสี่ยงหลัก และการปฏิบัติการของการควบคุมหลัก รวมถึงความมีประสิทธิผลของกรอบการบริหารความเสี่ยงโดยรวม และกระบวนการ และการยึดมั่นในนโยบายความเสี่ยง หรือนโยบายอื่น ๆ และความสูญเสียที่เกิดขึ้นจริง โอกาสที่เสียไป และที่เกือบจะเสียไป
* การนำเสนอและการจัดลำดับความสำคัญของความเสี่ยงและทรัพยากร
* การเข้าแทรกแซง และการดำเนินการตามความจำเป็น
* การระบุถึงการเปลี่ยนแปลงที่สำคัญทั้งภายในและภายนอกองค์กร รวมถึงประเด็น และเหตุการณ์ที่อาจส่งผลกระทบต่อรูปแบบของความเสี่ยง (Risk Profile) ขององค์กร และความจำเป็นในการดำเนินการ
* การระบุถึงโอกาสใหม่ ๆ สำหรับการปรับปรุง และ
* การเน้นถึงช่องว่างของความรู้ที่เป็นปัญหา และมั่นได้ว่าได้มีการจัดทำแนวทางในการแก้ไข หลีกเลี่ยงการทำซ้ำ และมีการเผยแพร่ความรู้ที่ได้ไปทั่วทั้งองค์กรอย่างมีประสิทธิผล
6. การทบทวนความเสี่ยง
เมื่อมีการดำเนินการตามขั้นตอนต่าง ๆ ของกระบวนการบริหารความเสี่ยงแล้ว องค์กรควรจัดให้มีการทบทวนผลลัพธ์ที่ได้อย่างสม่ำเสมอ เพื่อให้มั่นใจได้ถึงความถูกต้อง และสามารถสะท้อนถึงการเปลี่ยนแปลงต่าง ๆ ที่เกิดขึ้นในบริบทต่าง ๆ ขององค์กรได้เป็นอย่างดี รวมถึงช่วยสนับสนุนต่อการตัดสินใจขององค์กร ทั้งนี้ ในการทบทวนความเสี่ยง จะพิจารณาถึง
* รูปแบบของความเสี่ยง และความเสี่ยงหลักที่ระบุขึ้นผ่านกระบวนการ และการเปลี่ยนแปลงในแต่ละช่วงเวลา
* ความก้าวหน้าของการดำเนินการในการจัดการความเสี่ยง และการดำเนินงานของมาตรการควบคุมที่สำคัญ
* ความสอดคล้องไปในทิศทางเดียวกันของมาตรการควบคุม และความเสี่ยงต่าง ๆ
* การจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
* ความเสี่ยงที่หมดไปแล้ว เมื่อผ่านจุดหรือช่วงเวลาที่จะทำให้เกิดความเสี่ยงนั้นไปแล้ว หรือได้รับการกำจัดอย่างสมบูรณ์
จากที่อธิบายมาทั้งหมด จะเห็นได้ว่าสาระสำคัญของแนวทางการบริหารความเสี่ยงตามมาตรฐาน BS 31100 นี้ จะคล้ายกันกับแนวทางการบริหารความเสี่ยงของมาตรฐานอื่น ๆ ไม่ว่าจะเป็น ISO31000 หรือ AS 4360 แต่อาจจะมีแตกต่างอยู่บ้างเล็กน้อยในรายละเอียด
ดังนั้นในการพิจารณาเพื่อนำไปใช้งานในองค์กร อาจจะเลือกใช้ในมาตรฐานใดมาตรฐานหนึ่ง หรือจะเป็นการเลือกเฉพาะบางส่วนของมาตรฐานต่าง ๆ มาบูรณาการให้เข้ากัน และเหมาะสมแนวทางการบริหารจัดการขององค์กรก็ได้ เพื่อให้เกิดประโยชน์สูงสุดกับองค์กร
สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.
ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด