การบริหารความเสี่ยงองค์กร

เมื่อวันที่ 5 มีนาคม 2555 ได้ไปเข้า workshop รับการอบรมเรื่อง การบริหารความเสี่ยงองค์กร ที่ห้อง K102 คณะวิทยาศาสตร์ วิทยากรที่มาบรรยายคือ ผอ.ธรรญา สุขสมัย ผู้อำนวยการศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล .. พอจะสรุปเกร็ดความรู้จากเอกสารประกอบการบรรยาย และประยุกต์เข้ากับข้อมูลที่ค้นเพิ่มเติมใน net นำมาเล่าสู่กันฟัง ดังนี้ค่ะ

  • ใช้วิธีบริหารความเสี่ยงตามหลักการของ Enterprise Risk Management — Integrated Framework (2004) ของ COSO หรือที่เรียกสั้นๆว่า COSO-ERM ซึ่งก่อตั้งโดยสมาคมนักบัญชี สถาบันผู้ตรวจสอบภายใน และผู้บริหารการเงินระหว่างประเทศ
  • เป็นเรื่องของความสัมพันธ์ระหว่าง การกำกับดูแลกิจการที่ดี (good governance) การควบคุมภายใน (internal control) + การบริหารความเสี่ยง (risk management) และการตรวจสอบภายใน (internal audit)
  • หน่วยงานที่ทำหน้าที่บริหารความเสี่ยง กับหน่วยงานที่ทำหน้าที่ตรวจสอบภายใน (internal audit) ควรแยกออกจากกัน มิฉะนั้นจะเป็น conflict of interest
  • ความเสี่ยง มี 4 ลักษณะ คือ 1.Strategic risk ความเสี่ยงที่เกี่ยวข้องในระดับยุทธศาสตร์ 2.Operational risk ความเสี่ยงที่เกี่ยวข้องในระดับปฏิบัติการ 3.Financial risk ความเสี่ยงที่เกี่ยวข้องกับการเงิน 4.Hazard risk ความเสี่ยงที่เกี่ยวข้องในด้านความปลอดภัย จากอันตรายต่อชีวิตและทรัพย์สิน
  • เมื่อพิจารณาการบริหารความเสี่ยงทั่วทั้งองค์กร ตามกรอบแนวคิดของ ERM Framework (ตามภาพแผนภูมิกล่องสี่เหลี่ยม) – ด้านบน คือ ประเภทของวัตถุประสงค์ขององค์กร โดยทั่วไป (ได้แก่ วัตถุประสงค์ด้านกลยุทธ์ ด้านการดำเนินงาน ด้านการรายงาน (ทั้งการเงินและไม่ใช่การเงิน) ด้านการปฏิบัติตามกฎ/ระเบียบ) ทางขวามือ คือ โครงสร้างขององค์กรในระดับต่างๆ (เช่น ระดับมหาวิทยาลัย ส่วนงาน ภาควิชา หน่วยงาน) ส่วนด้านหน้า คือ องค์ประกอบของการบริหารความเสี่ยง 8 ประการ
  • องค์ประกอบของ ERM ทั้ง 8 ประการ ได้แก่ 1.สภาพแวดล้อมภายใน (internal environment) 2.การกำหนดวัตถุประสงค์ (objective setting) 3.การระบุเหตุการณ์ (event identification) 4.การประเมินความเสี่ยง (risk assessment) 5.การตอบสนองความเสี่ยง (risk response) 6.กิจกรรมการควบคุม (control activities) 7.สารสนเทศและการสื่อสาร (Information and communication) 8.การติดตามประเมินผล (monitoring)

ขั้นตอนการบริหารความเสี่ยง คือ

  1. ดูวัตถุประสงค์ขององค์กรก่อน ว่ามีระดับการยอมรับความเสี่ยงเท่าไหร่ และมีตัวชี้วัดอะไรบ้าง
  2. ระบุเหตุการณ์ความเสี่ยง และสาเหตุที่มาของความเสี่ยง (ปัจจัยเสี่ยง risk factor) ทั้งปัจจัยภายในและปัจจัยภายนอกองค์กร ที่ส่งผลให้เกิดเหตุการณ์ทำให้ไม่บรรลุเป้าหมายตามแผนยุทธศาสตร์ โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใด และเกิดขึ้นได้อย่างไร และทำไมทั้งนี้สาเหตุของความเสี่ยงที่ระบุควรเป็นสาเหตุที่แท้จริง เพื่อจะได้วิเคราะห์และกำหนดมาตรการลดความเสี่ยงในภายหลังได้อย่างถูกต้อง
  3. ประเมินความเสี่ยง (โอกาสเกิด และผลกระทบ)
  4. จัดการความเสี่ยง (ยอมรับ ลด หลีกเลี่ยง หรือแบ่งความเสี่ยง)
  5. ติดตามประเมินผลการบริหารความเสี่ยง (ด้วยดัชนีชี้วัดความเสี่ยงหลัก Key risk indicator-KRI)
  • การประเมินความเสี่ยง (risk assessment) พิจารณาจาก 2 มุมมองคือ โอกาสเกิด (likelihood) และ ผลกระทบ (impact)
  • โอกาสเกิด (likelihood) : level 1 = very rare (แทบไม่มีโอกาสที่จะเกิดขึ้น เกิด 1 ครั้งในรอบหลายปี), level 2 = rare (เกิดขึ้นนานๆครั้ง เกิดขึ้นในรอบ 1-2 ปี), level 3 = possible (เกิดขึ้นปานกลาง เกิดในรอบ 6-12 เดือน), level 4 = likely (เกิดขึ้นหลายครั้ง เกิดในรอบ 3-6 เดือน), level 5 = almost certain (เกิดขึ้นเป็นประจำ)
  • ผลกระทบ (impact) : level 1 = insignificant (ต่ำมาก ไม่มีนัยสำคัญ), level 2 = minor (ต่ำ ค่าความเสียหายเล็กน้อย), level 3 = moderate (ปานกลาง), level 4 = major (วิกฤติ ค่าความเสียหายสูง), level 5 = severe หรือ catastrophic (หายนะ เสียหายสูงมาก ระบบหยุดชะงักนาน มีผู้เสียชีวิต)
  • เกณฑ์การวัดผลกระทบ (impact) ได้แก่ 1.ประสิทธิผล (ความล่าช้าของการดำเนินงาน ผลการดำเนินงานตามเป้าหมาย ระยะเวลาการหยุดชะงักของระบบ) 2.มูลค่าความเสียหายทางการเงิน 3.ชื่อเสียงและภาพลักษณ์ขององค์กร 4.ความปลอดภัยของชีวิต
  • ระดับของความเสี่ยง ที่ได้จากประเมินแต่ละปัจจัยเสี่ยง มี 4 ระดับคือ low, moderate, high, extreme risk

Risk Matrix

การตอบสนองความเสี่ยง (risk response) หรือการจัดการความเสี่ยง มี 4 วิธีคือ

  1. ยอมรับความเสี่ยง
  2. ลด/ควบคุมความเสี่ยง
  3. หลีกเลี่ยงความเสี่ยง
  4. ร่วมจัดการความเสี่ยง (กระจาย ถ่ายโอน แบ่งความรับผิดชอบความเสี่ยงกับคนอื่นหรือองค์กรอื่น)

แนวทางการจัดการความเสี่่ยง โดยดูจาก risk matrix

  • high imact, high likelihood -> ลดความเสี่ยง / หลีกเลี่ยงความเสี่ยง
  • low impact, high likelihood -> ลดความเสี่ยง / ยอมรับความเสี่ยง
  • high impact, low likelihood -> ร่วมจัดการความเสี่ยง กระจายความเสี่ยง
  • low impact, low likelihood -> ยอมรับความเสี่ยง

กิจกรรมการควบคุม (control activities) เพื่อลดความเสี่ยง มีทั้ง soft controls (สร้างจิตสำนึก) และ hard controls (ตรวจสอบควบคุม) แบ่งเป็น

  • การควบคุมเพื่อการป้องกันล่วงหน้า (preventive control)
  • การควบคุมเพื่อให้ตรวจพบ ค้นหาที่ผิด (detective control)
  • การควบคุมเพื่อการแก้ไขข้อผิดพลาด (corrective control)

ความเสี่ยงด้านกลยุทธ์ที่เกิดจากปัจจัยภายนอกของมหาวิทยาลัย มีหลายข้อ แต่ที่น่าสนใจ ได้แก่ ความคิดเห็นและทัศนคติของสังคมและประชาชน ที่มีต่อมหาวิทยาลัย ที่สะท้อนความต้องการที่อาจเกิดขึ้นในอนาคต การแข่งขัน ประชาคมอาเซียน ภัยพิบัติและการก่อการร้าย การแสดงความคิดเห็นบนเครือข่ายสื่อสังคมออนไลน์ที่ไม่มีการไตร่ตรองและการสอบทาน อาจส่งผลกระทบต่อภาพลักษณ์ชื่อเสียงของมหาวิทยาลัยได้

ความเสี่ยงด้านกลยุทธ์ที่เกิดจากปัจจัยภายในของมหาวิทยาลัย ที่น่าสนใจ ได้แก่ การกำกับดูแลกิจการที่ดี (good governance) เพื่อสร้างความเชื่อมั่น ความเชื่อถือได้ต่อผู้มีส่วนได้เสีย เพื่อความโปร่งใสและในการบริหารตรวจสอบได้ บรรยากาศและสิ่งแวดล้อมในการทำงาน และการสร้างคุณภาพชีวิตที่ดี ซึ่งจะมีผลต่อประสิทธิภาพการทำงานของบุคลากร

2 thoughts on “การบริหารความเสี่ยงองค์กร

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s