กรอบการบริหารความเสี่ยงของ COSO ได้ระบุถึงบทบาทหน้าที่ของบุคลากรในส่วนงานต่าง ๆ ที่มีต่อการบริหารความเสี่ยง โดยครอบคลุมถึงบุคคลากรทุกคนในองค์กร
กิตติพงศ์ จิรวัสวงศ์
นอกจากจะอธิบายถึงองค์ประกอบต่าง ๆ ที่สำคัญของการบริหารความเสี่ยงแล้ว ในกรอบการบริหารความเสี่ยงของ COSO ยังได้ระบุถึงบทบาทหน้าที่ของบุคลากรในส่วนงานต่าง ๆ ที่มีต่อการบริหารความเสี่ยงด้วย โดยครอบคลุมตั้งแต่กรรมการบริหารขององค์กร ผู้นำระดับสูง ฝ่ายบริหารจัดการ เจ้าหน้าที่ที่รับผิดชอบการบริหารความเสี่ยง รวมไปถึงบุคลากรทุกคนในองค์กร
คณะกรรมการ
โดยทั่วไป คณะกรรมการจะมีหน้าที่ในการดูแล รวมถึงให้แนวทางและทิศทางในการดำเนินงานขององค์กร เพื่อให้บรรลุผลสำเร็จตามที่คาดหมายไว้ ซึ่งในส่วนของการบริหารความเสี่ยง คณะกรรมการจะมีบทบาทในการ
• รับรู้ถึงความมีประสิทธิผลของการบริหารความเสี่ยงที่ฝ่ายบริหารให้จัดทำขึ้น
• ตระหนักและให้ความเห็นชอบกับระดับของความเสี่ยงที่ยอมรับได้ขององค์กร
• ทวนสอบถึงความเสี่ยงในภาพรวมขององค์กร และเปรียบเทียบกับความเสี่ยงที่ยอมรับได้
• รับทราบถึงความเสี่ยงที่สำคัญ และพิจารณาถึงความเหมาะสมของการดำเนินการกับความเสี่ยงของฝ่ายบริหารองค์กร
ทั้งนี้ คณะกรรมการจะถือเป็นองค์ประกอบหนึ่งของสภาพแวดล้อมภายในองค์กร ซึ่งคณะกรรมการจะต้องมีองค์ประกอบที่เอื้ออำนวย และมุ่งเน้นให้มีการบริหารความเสี่ยงองค์กรอย่างมีประสิทธิผลด้วย โดยคณะกรรมการที่มีประสิทธิผล จะต้องมีความเป็นธรรม มีความสามารถ และเป็นคนที่ชอบตั้งคำถาม จะต้องมีความรู้ในเชิงปฏิบัติในกิจกรรมและสภาพแวดล้อมขององค์กร รวมถึงความสามารถในการใช้ทรัพยากร เพื่อทำการสอบสวน และอำนวยความสะดวกให้กับผู้ตรวจสอบภายใน ผู้สอบบัญชีภายนอก และที่ปรึกษาด้านกฎหมาย ได้สามารถสื่อสารกับกรรมการได้โดยไม่มีข้อจำกัด
ฝ่ายบริหาร
ฝ่ายบริหารขององค์กร จะมีความรับผิดชอบโดยตรงต่อกิจกรรมทั้งหมดขององค์กร รวมถึงการบริหารความเสี่ยงด้วย ซึ่งจะแตกต่างกันไปตามระดับการบริหารงานที่ต่างกันไป โดยประธานเจ้าหน้าที่บริหาร จะมีความรับผิดชอบสูงสุดในการเป็นเจ้าของการบริหารความเสี่ยงทั้งหมดขององค์กร รวมถึงดูแลให้มั่นใจว่าองค์กรจะมีสภาพแวดล้อมภายในองค์กรที่ดี นอกจากนั้น ยังมีอิทธิพลต่อคณะกรรมการต่าง ๆ ในองค์กรด้วย ทั้งนี้ หน้าที่และความรับผิดชอบของฝ่ายบริหารต่อการบริหารความเสี่ยงองค์กร จะประกอบด้วย
• ความรับผิดชอบโดยรวมต่อกระบวนการบริหารความเสี่ยงขององค์กร รวมถึงกระบวนการในการระบุ ประเมิน ตอบสนอง และรายงานความเสี่ยง
• กำหนดบทบาทหน้าที่ ความรับผิดชอบ และความรับผิดชอบตามหน้าที่ให้กับผู้บริหาร
• กำหนดนโยบาย กรอบโครงสร้าง วิธีการและเครื่องมือต่าง ๆ ให้กับหน่วยธุรกิจ เพื่อนำมาใช้ในการระบุ ประเมิน และจัดการความเสี่ยง
• ทวนสอบความเสี่ยงต่าง ๆ ขององค์กร
• ทวนสอบการวัดผลการปฏิบัติงานเทียบกับช่วงที่ยอมรับได้ รวมถึงให้ข้อเสนอแนะเพื่อการแก้ไข และการปรับปรุง
• สื่อสารกระบวนการบริหารความเสี่ยงกับประธาน และคณะกรรมการบริษัท
เจ้าหน้าที่บริหารความเสี่ยง
ในบางองค์กร จะมีการกำหนดให้มีศูนย์กลางของการดำเนินการบริหารความเสี่ยง เพื่ออำนวยความสะดวกให้กับหน่วยงานต่าง ๆ ซึ่งอาจจะเรียกว่า หัวหน้าหน่วยงานบริหารความเสี่ยง หรือผู้จัดการความเสี่ยง หรือเจ้าหน้าที่บริหารความเสี่ยง ซึ่งจะทำงานร่วมกับผู้บริหารคนอื่น ๆ ในการสร้างระบบการบริหารความเสี่ยงให้เกิดขึ้นในหน่วยงานนั้น ๆ
ทั้งนี้ ผู้จัดการความเสี่ยงหรือเจ้าหน้าที่บริหารความเสี่ยง จะได้รับการแต่งตั้งและได้รับการสนับสนุนอย่างเต็มที่จากผู้บริหารระดับสูงขององค์กร รวมถึงมีทรัพยากรอย่างเพียงพอในการดำเนินการให้เกิดการบริหารความเสี่ยงองค์กร นอกจากนั้นยังมีหน้าที่ในการติดตามดูแลความก้าวหน้าของการบริหารความเสี่ยง และให้ความช่วยเหลือกับผู้บริหารอื่น ๆ ในการรายงานข้อมูลความเสี่ยงที่เกี่ยวข้องด้วย
ทั้งนี้ ความรับผิดชอบของเจ้าหน้าที่บริหารความเสี่ยง จะประกอบด้วย
• จัดทำนโยบายการบริหารความเสี่ยงขององค์กร รวมถึงบทบาทและหน้าที่ความรับผิดชอบ การมีส่วนร่วมในการกำหนดเป้าหมาย เพื่อนำไปใช้งานต่อไป
• กำหนดกรอบอำนาจหน้าที่ และความรับผิดชอบของการบริหารความเสี่ยงในหน่วยธุรกิจ
• ส่งเสริมให้เกิดความสามารถในการบริหารความเสี่ยงให้ขึ้นทั่วทั้งองค์กร รวมถึงพัฒนาทักษะเกี่ยวกับเทคนิคของการบริหารความเสี่ยง และช่วยในการทำให้การตอบสนองต่อความเสี่ยงให้สอดคล้องกับช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ขององค์กร รวมถึงการจัดทำมาตรการควบคุมที่เหมาะสม
• แนะนำแนวทางบูรณาการการบริหารความเสี่ยงขององค์กร เข้ากับการวางแผนธุรกิจ และกิจกรรมการบริหารจัดการอื่น ๆ ขององค์กร
• จัดทำภาษาที่เหมาะสมสำหรับการบริหารความเสี่ยงองค์กร ให้เป็นภาษาเดียวที่สามารถเข้าใจได้ง่ายสำหรับองค์กร รวมถึงวิธีการที่นำมาใช้ในการวัดโอกาสในการเกิด และผลกระทบที่จะเกิดขึ้น รวมถึงประเภทของความเสี่ยงที่จะใช้ร่วมกัน
• อำนวยความสะดวกในผู้บริหารต่าง ๆ ในการจัดทำรายงาน และเกณฑ์ขั้นสูงขั้นต่ำ ทั้งในเชิงปริมาณและเชิงคุณภาพ รวมถึงติดตามดูแลกระบวนการจัดทำรายงานการบริหารความเสี่ยง
• รายงานต่อผู้บริหาร ถึงความคืบหน้าของการบริหารความเสี่ยง และความผิดปกติต่าง ๆ รวมถึงให้ข้อเสนอแนะในการดำเนินการที่จำเป็น
ผู้บริหารด้านการเงิน
ผู้บริหารที่ดูแลด้านการเงิน และบัญชีขององค์กร จะมีความสำคัญอย่างมากต่อการบริหารความเสี่ยงองค์กร เนื่องจากกิจกรรมทางด้านการเงิน จะเกี่ยวข้องกับหน่วยงาน และหน่วยธุรกิจต่าง ๆ ในองค์กร ทั้งนี้ ผู้บริหารด้านการเงิน จะเกี่ยวข้องกับการจัดทำงบประมาณและแผนงานทั้งหมด มีการติดตามและวิเคราะห์ผลการดำเนินการในด้านการปฏิบัติงาน การปฏิบัติตามกฎระเบียบและการรายงาน รวมถึงการติดตามดูแลบริษัทย่อย และหน่วยกิจกรรมอื่น ๆ ด้วย
ดังนั้น ผู้บริหารด้านการเงิน จึงเป็นศูนย์กลางของการบริหารความเสี่ยง ทั้งในด้านการป้องกัน และการตรวจพบการจัดทำรายงานที่เป็นเท็จ รวมถึงมีส่วนช่วยในการกำหนดท่าทีในส่วนของจริยธรรม และจรรยาบรรณขององค์กร รวมถึงมีความรับผิดชอบต่องบการเงิน และมีอิทธิพลต่อการออกแบบ การนำไปปฏิบัติ และติดตามดูแลระบบการจัดทำรายงานของบริษัท
ผู้ตรวจสอบภายใน
ผู้ตรวจสอบภายใน จะมีบทบาทที่สำคัญในการประเมินถึงความมีประสิทธิผล และให้คำแนะนำในการปรับปรุงระบบการบริหารความเสี่ยงขององค์กรให้ดีขึ้น จากมาตรฐานการตรวจสอบภายใน ได้กำหนดให้ขอบเขตของการตรวจสอบภายในให้ครอบคลุมถึงการบริหารความเสี่ยง และระบบการควบคุมด้วย
นอกจากนั้น ยังเป็นการประเมินถึงความน่าเชื่อถือของการจัดทำรายงานการบริหารความเสี่ยง ความมีประสิทธิผลและประสิทธิภาพของการดำเนินการ และการปฏิบัติตามข้อกฎหมาย และกฎระเบียบที่เกี่ยวข้องด้วย รวมถึงให้การสนับสนุนต่อการทำงานของฝ่ายบริหาร และคณะกรรมการ ในการตรวจสอบ การจัดทำรายงาน และการให้ข้อเสนอแนะ เพื่อนำไปสู่การปรับปรุงความพอเพียง และความมีประสิทธิผลของการบริหารความเสี่ยงองค์กรต่อไป
ทั้งนี้ การทำงานของผู้ตรวจสอบภายใน ควรมีความเป็นธรรม และเป็นอิสระจากกิจกรรมต่าง ๆ ที่ได้เข้าไปตรวจสอบ โดยความเป็นธรรมนี้ จะแสดงได้ด้วยระดับตำแหน่งงาน และอำนาจหน้าที่ของผู้ตรวจสอบภายใน รวมถึงความเหมาะสมของการมอบหมายงานให้กับผู้ตรวจสอบภายใน
บุคลากรอื่น ๆ ในองค์กร
การบริหารความเสี่ยง จะถือเป็นหน้าที่ความรับผิดชอบของทุกคนในองค์กร ดังนั้น จึงควรระบุหน้าที่รับผิดชอบที่เกี่ยวกับการบริหารความเสี่ยงไว้ในคำบรรยายลักษณะงานของบุคลากรทุกคนในองค์กร อาทิ
• บุคลากรทุกคนต่างมีบทบาทหน้าที่ที่ส่งผลกระทบต่อการบริหารความเสี่ยงทั้งนั้น เช่น มีส่วนในการให้ข้อมูลที่สามารถนำมาใช้ในการระบุหรือประเมินความเสี่ยง หรือมีการดำเนินการที่ส่งผลกระทบต่อความมีประสิทธิผลของการบริหารความเสี่ยง
• บุคลากรทุกคนต่างมีหน้าที่สนับสนุนข้อมูล และการสื่อสารเกี่ยวกับการบริหารความเสี่ยงขององค์กร รวมถึงการสื่อสารเกี่ยวกับการดำเนินการ การไม่ปฏิบัติตามหลักจรรยาบรรณ การละเมิดนโยบาย หรือการกระทำที่ผิดกฎหมาย ทั้งนี้ ในการบริหารความเสี่ยง จะต้องการให้มีการตรวจสอบและการถ่วงดุล การแบ่งแยกหน้าที่รับผิดชอบอย่างชัดเจน รวมถึงการไม่เพิกเฉย หรือละเลยต่อการกระทำผิด โดยจะต้องจัดให้มีช่องทางในการรายงานสิ่งที่เกิดขึ้น นอกเหนือจากช่องทางปกติทั่วไป เมื่อเกิดเหตุการณ์ที่ไม่เหมาะสมขึ้น
มาตรฐานการบริหารความเสี่ยง
นอกเหนือจากการบริหารความเสี่ยงตามแนวทางของ COSO แล้ว ยังมีอีกหลายองค์กรที่มีการพัฒนาแนวทางในการบริหารความเสี่ยงออกมาให้กับองค์กรต่าง ๆ ได้มีการนำไปใช้งาน ไม่ว่าจะเป็นมาตรฐานการบริหารความเสี่ยง (Risk Management Standard) ที่จัดทำขึ้นโดย FERMA หรือ Federation of European Risk Management Associations หรือจะเป็นมาตรฐานการบริหารความเสี่ยง (A Risk Management Standard) ที่จัดทำขึ้นโดยองค์กรต่าง ๆ ในสหราชอาณาจักร ประกอบด้วย The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC) และ ALARM The National Forum for Risk Management in the Public Sector
นอกจากนั้น ยังได้มีการพัฒนาแนวทางในการบริหารความเสี่ยงขึ้นเป็นมาตรฐานสากลอีกด้วย เช่น มาตรฐาน AS/NZS 4360:2004 ของออสเตรเลียและนิวซีแลนด์ หรือมาตรฐาน BS 31100:2008 ของอังกฤษ หรือที่ประกาศใช้เป็นทางการเมื่อปี 2009 คือมาตรฐาน ISO 31000: 2009 ที่อธิบายถึงหลักการ และแนวปฏิบัติสำหรับการบริหารความเสี่ยง ซึ่งเป็นที่นิยมและมีการนำมาประยุกต์ใช้กันอย่างกว้างขวาง
หลักการพื้นฐานของการบริหารความเสี่ยง
ในการบริหารความเสี่ยงให้เกิดประสิทธิผล จำเป็นที่จะต้องทำความเข้าใจถึงหลักการพื้นฐาน (Principles) ที่สำคัญของการบริหารความเสี่ยง ซึ่งประกอบด้วย
1. การบริหารความเสี่ยง จะเป็นการสร้างและปกป้องดูแลคุณค่าขององค์กร โดยจะช่วยให้องค์กรประสบความสำเร็จ และช่วยในการปรับปรุงความสามารถขององค์กรในด้านต่าง ๆ ทั้งในเรื่องของการดูแลสุขภาพและความปลอดภัยของบุคลากรในองค์กร การปฏิบัติตามข้อกฎหมาย กฎระเบียบต่าง ๆ ที่เกี่ยวข้อง การบริหารจัดการโครงการอย่างมีประสิทธิผล การพัฒนาคุณภาพของผลิตภัณฑ์และการบริการ ประสิทธิภาพในการปฏิบัติงาน รวมไปถึงการกำกับดูแลกิจการที่ดี
2. การบริหารความเสี่ยง จะเป็นส่วนที่สำคัญในทุก ๆ กระบวนการในองค์กร โดยจะไม่เป็นกิจกรรมที่แยกออกมาต่างหากจากกระบวนการต่าง ๆ ในองค์กร ไม่ว่าจะเป็นกระบวนการหลัก หรือกระบวนการสนับสนุนก็ตาม แต่จะต้องเป็นส่วนหนึ่งของการบริหารจัดการกระบวนการเหล่านั้น
3. การบริหารความเสี่ยง จะต้องเป็นส่วนหนึ่งของการตัดสินใจ ซึ่งจะช่วยให้ผู้ทำหน้าที่ตัดสินใจในการสร้างทางเลือก จัดลำดับความสำคัญ และพิจารณาแยกแยะความแตกต่างของทางเลือกได้อย่างชัดเจน
4. การบริหารความเสี่ยง จะแสดงให้เห็นถึงความไม่แน่นอนไว้อย่างชัดเจน รวมไปถึงลักษณะของความไม่แน่นอน และแนวทางในการจัดการกับความไม่แน่นอนเหล่านั้น
5. การบริหารความเสี่ยง จะเป็นการดำเนินการอย่างเป็นระบบ มีโครงสร้างการดำเนินงานที่ชัดเจน และดำเนินการในช่วงเวลาที่เหมาะสม เพื่อให้เกิดความมีประสิทธิผล ความสม่ำเสมอ ความสามารถในการเปรียบเทียบได้ และความน่าเชื่อถือของผลลัพธ์ที่เกิดขึ้น
6. การบริหารความเสี่ยง จะดำเนินการจากข้อมูลสารสนเทศที่ดีที่สุดที่มีอยู่ จากแหล่งต่าง ๆ ที่สำคัญ เช่น ข้อมูลในอดีต ประสบการณ์ ข้อมูลที่ได้จากผู้มีส่วนได้ส่วนเสีย การสังเกตการณ์ การคาดการณ์ และความเห็นจากผู้เชี่ยวชาญ ทั้งนี้ จะต้องมีการพิจารณาถึงข้อจำกัดของข้อมูลที่ได้มาด้วย รวมถึงแบบจำลองที่นำมาใช้ หรือความเห็นจากผู้เชี่ยวชาญที่อาจมีความแตกต่างกัน
7. การบริหารความเสี่ยง จะต้องปรับให้เหมาะสม เข้ากับแนวทางการดำเนินงานขององค์กร สอดคล้องไปในทิศทางเดียวกันกับบริบททั้งภายในและภายนอกขององค์กร
8. การบริหารความเสี่ยง จะต้องพิจารณาถึงปัจจัยมนุษย์ และวัฒธรรมขององค์กรด้วย โดยจะต้องคำนึงถึงขีดความสามารถ การรับรู้ และความมุ่งมั่นตั้งใจ ของบุคลากรทั้งภายในและภายนอกองค์กร ซึ่งจะมีส่วนในการสนับสนุน หรือเป็นอุปสรรคต่อการความสำเร็จในวัตถุประสงค์ขององค์กร
9. การบริหารความเสี่ยง จะต้องมีความโปร่งใสในการดำเนินงาน และมีความครอบคลุม ส่งเสริมให้เกิดการมีความส่วนร่วมอย่างเหมาะสม และทันเวลาของผู้มีส่วนได้ส่วนเสีย รวมถึงผู้รับผิดชอบในการตัดสินใจในทุก ๆ ระดับขององค์กร
10. การบริหารความเสี่ยง จะมีความเป็นพลวัต สามารถทำซ้ำได้ และสามารถตอบสนองต่อการเปลี่ยนแปลงต่าง ๆ ที่เกิดขึ้น ทั้งเหตุการณ์ภายใน และภายนอกองค์กร การเปลี่ยนแปลของบริบทต่าง ๆ รวมถึงความรู้ใหม่ ๆ ที่เกิดขึ้น การเฝ้าติดตามและการทบทวนความเสี่ยง การเกิดขึ้นของความเสี่ยงใหม่ ๆ
11. การบริหารความเสี่ยง จะต้องช่วยในการปรับปรุงอย่างต่อเนื่องให้กับองค์กร โดยจะต้องมีการพัฒนา และนำกลยุทธ์ในการปรับปรุงการบริหารความเสี่ยง ควบคู่ไปกับการพัฒนาองค์ประกอบอื่น ๆ ขององค์กรด้วย
โปรดติดตามอ่านตอนต่อไป
สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.
ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด