แนวทางในการบริหารความเสี่ยง ได้มีการพัฒนาขึ้นมาอย่างต่อเนื่องในหลากหลายรูปแบบ หนึ่งในแนวทางที่ได้พัฒนาและเป็นที่ยอมรับ คือ กรอบการบริหารความเสี่ยงองค์กรแบบบูรณาการ
กิตติพงศ์ จิรวัสวงศ์
kitjirawas@gmail.com
ในการบริหารจัดการองค์กร เพื่อให้ประสบความสำเร็จตามวัตถุประสงค์เชิงกลยุทธ์ที่ได้กำหนดไว้ นอกจากจะขึ้นอยู่กับความสามารถในการดำเนินการตามแผนปฏิบัติการที่ได้กำหนดแล้ว ยังขึ้นอยู่กับความสามารถขององค์กรในการบริหารจัดการกับสิ่งที่ไม่ได้คาดหมายไว้ ทั้งที่เกิดขึ้น และที่อาจจะเกิดขึ้น และส่งผลกระทบในทางลบต่อองค์กร หรือที่เรียกว่า ความสามารถในการบริหารความเสี่ยง
ทั้งนี้ แนวทางในการบริหารความเสี่ยง ได้มีการพัฒนาขึ้นมาอย่างต่อเนื่องในหลากหลายรูปแบบ ซึ่งหนึ่งในแนวทางที่ได้รับการพัฒนา และได้รับการยอมรับอย่างกว้างขวาง คือกรอบการบริหารความเสี่ยงองค์กรแบบบูรณาการ หรือ Enterprise Risk Management–Integrated Framework ซึ่งพัฒนาขึ้นโดย COSO หรือ The Committee of Sponsoring Organization of the Treadway Commission ในปี 2003
ในกรอบการบริหารความเสี่ยงของ COSO จะมองว่า เหตุการณ์ที่เกิดขึ้นทั้งจากภายในและภายนอกองค์กร ซึ่งส่งผลกระทบในทางลบต่อความสำเร็จหรือวัตถุประสงค์ขององค์กร เราจะเรียกว่า ความเสี่ยง หรือ Risk เช่น ความเสียหายของเครื่องจักรในโรงงาน การสูญเสียความน่าเชื่อถือ รวมถึงเกิดจากเหตุการณ์ที่เหมือนว่าจะดีสำหรับองค์กร เช่น ลูกค้ามีคำสั่งซื้อที่มากกว่าความสามารถในการผลิตขององค์กร ถ้าองค์กรไม่สามารถตอบสนองต่อความต้องการดังกล่าวได้ ก็อาจจะทำให้ลูกค้าเกิดความไม่พอใจ และลดปริมาณคำสั่งซื้อในอนาคตลงได้ ส่วนเหตุการณ์ที่ส่งผลกระทบในทางบวกต่อองค์กร เราจะเรียกว่า โอกาส
COSO ได้ระบุถึงความหมายของการบริหารความเสี่ยงองค์กร หรือ Enterprise Risk Management ไว้ว่า การบริหารความเสี่ยงองค์กร เป็นกระบวนการที่จัดทำขึ้นโดยคณะกรรมการ ผู้บริหาร และบุคลากรอื่น ๆ ในองค์กร เพื่อใช้ในการกำหนดกลยุทธ์ และนำมาใช้งานทั่วทั้งองค์กร โดยออกแบบมาเพื่อทำการระบุถึงเหตุการณ์ที่อาจจะเกิดขึ้น ซึ่งจะส่งผลกระทบต่อองค์กร รวมถึงเป็นการบริหารจัดการความเสี่ยงภายใต้ระดับของความเสี่ยงที่ยอมรับได้ หรือ Risk Appetite เพื่อให้เกิดความมั่นใจในความสำเร็จของวัตถุประสงค์ที่ตั้งไว้
องค์ประกอบของการบริหารความเสี่ยงองค์กร
รูปที่ 1 แสดงองค์ประกอบของการบริหารความเสี่ยง
จากรูปที่ 1 จะแสดงให้เห็นถึงความสัมพันธ์ระหว่างองค์ประกอบต่าง ๆ ของการบริหารความเสี่ยง วัตถุประสงค์ และระดับงานขององค์กรตามแนวทางของ COSO ซึ่งองค์ประกอบของการบริหารความเสี่ยงองค์กรนี้ จะประกอบด้วย
1. สภาพแวดล้อมภายในองค์กร (Internal Environment)
2. การกำหนดวัตถุประสงค์ (Objective Setting)
3. การระบุเหตุการณ์ (Event Identification)
4. การประเมินความเสี่ยง (Risk Assessment)
5. การตอบสนองความเสี่ยง (Risk Response)
6. กิจกรรมการควบคุม (Control Activities)
7. สารสนเทศและการสื่อสาร (Information and Communication)
8. การติดตามประเมินผล (Monitoring)
1. สภาพแวดล้อมภายในองค์กร (Internal Environment)
ผู้บริหารขององค์กร จะทำการกำหนดปรัชญาการบริหารงานที่เกี่ยวกับความเสี่ยง และระดับความเสี่ยงที่องค์กรสามารถยอมรับได้ ทั้งนี้ สภาพแวดล้อมภายในองค์กร จะเป็นพื้นฐานที่สำคัญที่จะช่วยในการมองภาพของความเสี่ยงและมาตรการควบคุมที่จะนำมาใช้ โดยที่บุคลากรในองค์กร ที่จะต้องมีคุณสมบัติเฉพาะ ความซื่อสัตย์ ค่านิยมทางจริยธรรม และขีดความสามารถ รวมถึงอยู่ในสภาพแวดล้อมในการปฏิบัติงานที่ดีด้วย
2. การกำหนดวัตถุประสงค์ (Objective Setting)
ผู้บริหารขององค์กร จะต้องกำหนดวัตถุประสงค์ขององค์กร ก่อนที่จะทำการระบุถึงเหตุการณ์ที่อาจจะเกิดขึ้น และมีผลกระทบต่อความสำเร็จของวัตถุประสงค์นั้น ๆ ซึ่งการบริหารความเสี่ยงองค์กร จะช่วยสร้างความมั่นใจว่าได้มีกระบวนการในการกำหนดวัตถุประสงค์ และวัตถุประสงค์นั้นได้สนับสนุนต่อพันธกิจขององค์กร และสอดคล้องกับระดับความเสี่ยงที่ยอมรับได้ โดยวัตถุประสงค์ขององค์กร จะสามารถแบ่งออกได้เป็น 4 ลักษณะ ได้แก่
* วัตถุประสงค์ด้านกลยุทธ์ จะเกี่ยวข้องกับเป้าหมายในระดับสูง ซึ่งจะสอดคล้องไปในทิศทางเดียวกันกับพันธกิจขององค์กร
* วัตถุประสงค์ด้านการปฏิบัติการ จะเกี่ยวข้องกับความมีประสิทธิภาพ และประสิทธิผลในการปฏิบัติการขององค์กร รวมถึงผลการดำเนินงาน เป้าหมายในการทำกำไร และการปกป้องความสูญเสียทรัพยากรขององค์กร
* วัตถุประสงค์ด้านการรายงาน จะเกี่ยวข้องกับความน่าเชื่อถือของรายงาน ทั้งรายงานภายใน และรายงานภายนอกองค์กร ทั้งที่เป็นรายงานทางการเงิน และรายงานที่ไม่เกี่ยวกับการเงิน
* วัตถุประสงค์ด้านการปฏิบัติตามกฎระเบียบข้อบังคับ จะเกี่ยวข้องกับการปฏิบัติตามข้อกฎหมาย และกฎระเบียบข้อบังคับต่าง ๆ ที่เกี่ยวข้อง โดยส่วนใหญ่จะขึ้นอยู่กับปัจจัยภายนอกองค์กร
3. การระบุเหตุการณ์ (Event Identification)
องค์กรจะต้องทำการระบุถึงเหตุการณ์ที่อาจจะเกิดขึ้น ซึ่งจะส่งผลกระทบต่อองค์กร โดยการระบุเหตุการณ์ จะครอบคลุมทั้งแหล่งที่มาจากภายใน และภายนอกองค์กรที่มีผลต่อวัตถุประสงค์ขององค์กร รวมถึงการแยกแยะระหว่างเหตุการณ์ที่ทำให้เกิดความเสี่ยง และโอกาส หรือทำให้เกิดทั้งสองอย่าง
ทั้งนี้ ปัจจัยภายในองค์กร ที่จะทำให้เกิดเหตุการณ์ที่ส่งผลกระทบต่อวัตถุประสงค์ และการดำเนินงานขององค์กร จะประกอบด้วย ปัจจัยด้านโครงสร้างพื้นฐาน ด้านบุคลากร ด้านกระบวนการ และด้านเทคโนโลยี ส่วนปัจจัยภายนอกองค์กร จะประกอบด้วย ปัจจัยด้านเศรษฐกิจ ด้านทรัพยากรธรรมชาติ ด้านการเมือง ด้านสังคม และด้านเทคโนโลยี
4. การประเมินความเสี่ยง (Risk Assessment)
ความเสี่ยงต่าง ๆ ที่ได้มีการระบุไว้ในกระบวนการก่อนหน้า จะถูกนำมาวิเคราะห์ เพื่อพิจารณาถึงแนวทางในการจัดการกับความเสี่ยงนั้น ๆ ทั้งนี้ ความเสี่ยงจะสัมพันธ์กันกับวัตถุประสงค์ที่ได้รับผลกระทบ โดยจะต้องมีการประเมินทั้งความเสี่ยงที่มีอยู่เดิมตามธรรมชาติ (Inherent Risk) และความเสี่ยงที่เหลืออยู่ (Residual Risk) ในประเด็นของโอกาสที่จะเกิดความเสี่ยงนั้น ๆ (Likelihood) และผลกระทบของความเสี่ยง (Impact)
5. การตอบสนองต่อความเสี่ยง (Risk Response)
ในขั้นตอนนี้จะทำการระบุถึงแนวทางต่าง ๆ ที่จะนำมาใช้ในการตอบสนองต่อความเสี่ยง โดยผู้บริหารจะเป็นผู้พิจารณาถึงแนวทางที่เหมาะสม เพื่อให้สอดคล้องกันกับช่วงของการยอมรับความเสี่ยง (Risk Tolerances) และระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ทั้งนี้แนวทางที่สามารถนำมาใช้ในการตอบสนองต่อความเสี่ยง จะประกอบด้วย
* การหลีกเลี่ยงความเสี่ยง (Avoidance) จะเป็นการยกเลิกการดำเนินกิจกรรมนั้น ๆ ที่ทำให้เกิดความเสี่ยง เช่น การยกเลิกการออกผลิตภัณฑ์ใหม่ หรือยกเลิกสายการผลิต หรือการขายหน่วยธุรกิจบางหน่วยออกไป
* การลดความเสี่ยง (Reduction) จะเป็นการดำเนินการในการลดโอกาส หรือผลกระทบของความเสี่ยง หรือทั้งสองอย่าง
* การแบ่งปันความเสี่ยง (Sharing) จะเป็นการลดโอกาสของการเกิดความเสี่ยง หรือผลกระทบของความเสี่ยง โดยการโอนความเสี่ยง หรือกระจายความเสี่ยงออกไปบางส่วน เช่น การซื้อประกันภัยประเภทต่าง ๆ การทำสัญญาป้องกันความเสี่ยงในการทำธุรกรรมทางการเงิน หรือการว่าจ้างบุคคลภายนอกในการดำเนินงาน (Outsourcing)
* การยอมรับความเสี่ยง (Acceptance) จะไม่มีการดำเนินการใด ๆ เลยที่จะส่งผลกระทบต่อโอกาสในการเกิด และผลกระทบของความเสี่ยง
ดังนั้น ในการพิจารณาเลือกแนวทางในการตอบสนองต่อความเสี่ยง จะขึ้นอยู่กับ
* ผลกระทบของแนวทางในการตอบสนองต่อความเสี่ยงที่ใช้ ต่อโอกาสในการเกิด และผลกระทบของความเสี่ยง และความสอดคล้องไปใช้ทิศทางเดียวกันกับช่วงการยอมรับความเสี่ยง (Risk Tolerance)
* ต้นทุนและประโยชน์ที่จะได้รับจากแนวทางที่จะเลือกใช้
* โอกาสที่เป็นไปได้ต่อความสำเร็จของวัตถุประสงค์
6. กิจกรรมการควบคุม (Control Activities)
ในขั้นตอนนี้ จะเป็นการจัดทำนโยบาย และวิธีการปฏิบัติงาน รวมถึงมีการนำไปใช้งาน เพื่อให้มั่นใจว่าแนวทางในการตอบสนองต่อความเสี่ยงที่ได้เลือกมานั้น มีการดำเนินการอย่างมีประสิทธิผล
ทั้งนี้แนวทางที่ใช้ในการควบคุม มีได้หลากหลายรูปแบบ ตั้งแต่การป้องกัน การตรวจจับ การควบคุมด้วยมือ การควบคุมด้วยคอมพิวเตอร์ หรือด้วยการบริหารจัดการ ตัวอย่างของแนวทางที่สามารถนำมาใช้ในการควบคุม ได้แก่
* การทบทวนโดยผู้บริหารระดับสูง โดยจะทำการทบทวนผลการดำเนินงานที่เกิดขึ้นจริง เทียบกับงบประมาณ การประมาณการ ผลงานในช่วงเวลาที่ผ่านมา และเปรียบเทียบกับคู่แข่ง
* การบริหารจัดการกิจกรรม หรือหน้าที่งานโดยตรง โดยผู้บริหารที่รับผิดชอบในกิจกรรมนั้น ๆ จะทำการทบทวนผลการดำเนินงานที่เกิดขึ้น
* การประมวลผลข้อมูล เป็นการตรวจสอบถึงความถูกต้อง ความสมบูรณ์ และการอนุมัติธุรกรรมต่าง ๆ รวมถึงมีการทวนสอบความถูกต้องของข้อมูลที่บันทึกเข้าสู่ระบบด้วย
* การควบคุมทางกายภาพ โดยจัดให้มีการดูแลความปลอดภัยให้กับอุปกรณ์ สินค้าคงคลัง เงินสด และทรัพย์สินอื่น ๆ รวมถึงจัดให้มีการตรวจนับเป็นระยะ ๆ เทียบกับจำนวนที่แสดงไว้ในบันทึก
* ดัชนีชี้วัดผลการดำเนินงาน จะเป็นการเชื่อมโยงข้อมูลต่าง ๆ เข้าด้วยกัน พร้อมการวิเคราะห์ความสัมพันธ์ การวินิจฉัย และการแก้ไข
* การแบ่งแยกหน้าที่รับผิดชอบ เพื่อลดความเสี่ยงจากความผิดพลาด และการทุจริตในการปฏิบัติงานของแต่ละบุคคล
7. สารสนเทศและการสื่อสาร (Information and Communication)
สารสนเทศต่าง ๆ ที่เกี่ยวข้อง จะต้องได้รับการชี้บ่ง จัดเก็บ และสื่อสารในรูปแบบ และช่วงเวลาที่จะช่วยให้บุคลากรสามารถปฏิบัติตามหน้าที่ที่รับผิดชอบได้อย่างมีประสิทธิภาพ โดยสารสนเทศจะมีความจำเป็นในทุกระดับสำหรับการชี้บ่ง การประเมิน และการตอบสนองต่อความเสี่ยง ส่วนการสื่อสารที่มีประสิทธิผลจะต้องเกิดขึ้นในวงกว้าง มีการสื่อสารสู่ระดับบน ระดับล่าง และทั่วทั้งองค์กรด้วย
8 การติดตามประเมินผล (Monitoring)
การบริหารความเสี่ยงองค์กร จะต้องได้รับการเฝ้าติดตามประเมินผล และมีการปรับเปลี่ยนความจำเป็น ทั้งนี้ การติดตามประเมินผลจะสามารถดำเนินการได้โดยกิจกรรมการติดตามประเมินผลอย่างต่อเนื่อง (Ongoing Management Activities) การประเมินแยกต่างหาก (Separate Evaluations) หรือใช้ทั้งสองวิธี
กิจกรรมการติดตามประเมินผลอย่างต่อเนื่อง จะดำเนินการโดยผู้จัดการของสายงานปฏิบัติการ หรือสายงานสนับสนุน ในการพิจารณาถึงความสัมพันธ์ ความไม่สอดคล้องกัน และความเกี่ยวข้องกันอื่น ๆ ของข้อมูลที่ได้รับมา เพื่อนำเสนอประเด็น และติดตามการดำเนินการแก้ไข หรือดำเนินการอื่น ๆ
ส่วนการประเมินแยกต่างหาก จะเป็นการดำเนินการที่มุ่งเน้นที่ความมีประสิทธิผลของการบริหารความเสี่ยง รวมถึงความมีประสิทธิผลของกิจกรรมการติดตามประเมินผลอย่างต่อเนื่องด้วย โดยจะมีการกำหนดขอบเขตและความถี่ ผู้ทำการประเมิน กระบวนการประเมิน วิธีการ การจัดทำเอกสาร การรายงานข้อบกพร่อง แหล่งข้อมูล สิ่งที่ควรรายงาน บุคคลที่ควรได้รับรายงาน และข้อกำหนดต่าง ๆ ในการรายงานไว้อย่างชัดเจน
จากที่อธิบายมาทั้งหมด จะเป็นองค์ประกอบที่สำคัญของการบริหารความเสี่ยงองค์กรตามแนวทางของ COSO ซึ่งจะเป็นประโยชน์อย่างมากกับองค์กรที่ได้มีการนำไปประยุกต์ใช้ ในตอนต่อไป จะอธิบายถึงบทบาทหน้าที่ของบุคลากรในส่วนต่าง ๆ ในองค์กร ที่มีต่อการบริหารความเสี่ยง เพื่อให้การดำเนินการเป็นไปอย่างมีประสิทธิผลสูงสุด
สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.
ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด