การบริหารจัดการความเสี่ยงขององค์กร

หน่วยงานของรัฐ มีหน้าที่ในการจัดให้มีการบริหารจัดการความเสี่ยง ตามมาตรฐานและหลักเกณฑ์ตามที่กระทรวงการคลังกำหนด ตามมาตรา 79 ของ พ.ร.บ. วินัยการเงินการคลังของรัฐ พ.ศ. 2561 เพื่อให้การบริหารจัดการความเสี่ยงของหน่วยงานมีประสิทธิภาพ สามารถใช้เป็นเครื่องมือที่สำคัญในการบริหารงานให้เป็นไปตามหลักธรรมภิบาล และการตัดสินใจเชิงกลยุทธ์ของผู้บริหาร เพื่อให้สามารถบรรลุวัตถุประสงค์ขององค์กรอย่างแท้จริง

ดังนั้น กระทรวงการคลัง จึงได้จัดทำประกาศ หลักเกณฑ์ของกระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ พ.ศ. 2562 และกำหนดแนวทางการบริการจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ ไว้ในเอกสารเรื่อง หลักการบริหารจัดการความเสี่ยงระดับองค์กร (จัดทำโดย กรมบัญชีกลาง เมื่อเดือนกุมภาพันธ์ 2564) เพื่อให้หน่วยงานของรัฐ นำหลักการดังกล่าวไปปรับใช้ในการพัฒนาระบบบริหารจัดการความเสี่ยงให้เหมาะสมกับหน่วยงาน โดยมีสาระสำคัญ ดังนี้

Download เอกสารได้จากเว็บไซต์กรมบัญชีกลาง https://www.cgd.go.th/cs/internet/internet/%E0%B8%AA%E0%B8%9E%E0%B8%95-%E0%B8%A3%E0%B8%B0%E0%B9%80%E0%B8%9A%E0%B8%B5%E0%B8%A2%E0%B8%9A.html?page_locale=th_TH

หลัการบริหารจัดการความเสี่ยงระดับองค์กร ผสานกรอบแนวคิดด้านการบริหารจัดการความเสี่ยงขององค์กรชั้นนำระดับโลก เช่น COSO (Committee of Sponsoring Organizations of the Treadway Commission) และ ISO (International Organization for Standardization) รวมทั้งกรอบแนวคิดในการบริหารจัดการความเสี่ยงของประเทศต่าง ๆ มากำหนดเป็นแนวทาง

หลักการบริหารจัดการความเสี่ยง แบ่งออกเป็น 2 ส่วน คือ กรอบการบริหารจัดการความเสี่ยง และ กระบวนการบริหารจัดการความเสี่ยง

กรอบการบริหารจัดการความเสี่ยง ประกอบด้วยหลักการ 8 ประการ ดังนี้

  1. การบริหารจัดการความเสี่ยงต้องดำเนินการแบบบูรณาการทั่วทั้งองค์กร
  2. ความมุ่งมั่นของผู้กำกับดูแล หัวหน้าหน่วยงานของรัฐ และผู้บริหารระดับสูง
  3. การสร้างและรักษาบุคลากร และวัฒนธรรมที่ดีขององค์กร
  4. การมอบหมายหน้าที่ความรับผิดชอบด้านการบริหารจัดการความเสี่ยง
  5. การตระหนักถึงผู้มีส่วนได้ส่วนเสีย
  6. การกำหนดยุทธศาสตร์/กลยุทธ์ วัตถุประสงค์ และการตัดสินใจ
  7. การใช้ข้อมูลสารสนเทศ
  8. การพัฒนาอย่างต่อเนื่อง

กระบวนการบริหารจัดการความเสี่ย เป็นกระบวนการที่เป็นวงจรต่อเนื่อง ดังนี้

  1. การวิเคราะห์องค์กร ต้องวิเคราะห์ทั้งปัจจัยภายในและภายนอกองค์กร เครื่องมือที่ใช้ ได้แก่ SWOT Analysis, PESTEL Analysis
  2. การกำหนดนโยบายการบริหารจัดการความเสี่ยง ผู้บริหารต้องกำหนดความเสี่ยงที่ยอมรับได้ระดับองค์กร (Risk Appetite) เพื่อเป็นการแสดงเจตนารมณ์ของผู้บริหาร โดยคำนึงถึงศักยภาพในการจัดการความเสี่ยงขององค์กร (Risk Capacity) ขึ้นอยู่กับงบประมาณ บุคลากร และความคาดหวังของผู้มีส่วนได้ส่วนเสีย
  3. การระบุความเสี่ยง การระบุเหตุการณ์ความเสี่ยงที่อาจเกิดขึ้น สาเหตุของความเสี่ยงหรือตัวผลักดันความเสี่ยง (โดยการวิเคราะห์สาเหตุที่แท้จริง Root Cause Analysis) และผลกระทบต่อวัตถุประสงค์ของหน่วยงานทั้งในด้านบวกและด้านลบ อาจทำรายชื่อความเสี่ยงทั้งหมด (Risk Inventory) จัดกลุ่มและปรับปรุงข้อมูลให้เป็นปัจจุบันอยู่เสมอ
  4. การประเมินความเสี่ยง ประกอบด้วย 1) การกำหนดเกณฑ์การประเมินความเสี่ยง 2) การให้คะแนนความเสี่ยง โอกาสxผลกระทบ 3) การพิจารณาความเสี่ยงในภาพรวม 4) การจัดลำดับความเสี่ยง
  5. การตอบสนองความเสี่ยง กระบวนการตัดสินใจของฝ่ายบริหารในการจัดการความเสี่ยงที่เกิดขึ้น ได้แก่ 1) ปฏิเสธความเสี่ยงโดยไม่ดำเนินงานในกิจกรรมที่มีความเสี่ยง 2) ลดโอกาสของความเสี่ยง 3) ลดผลกระทบของความเสี่ยง 4) โอนความเสี่ยงให้หน่วยงานอื่นดำเนินการแทน 5) ยอมรับความเสี่ยงโดยไม่ดำเนินการจัดการความเสี่ยง ใ6) ช้มาตรการเฝ้าระวัง 7) ทำแผนฉุกเฉิน 8) ส่งเสริมหรือผลักดันเหตุการณ์ที่อาจจะเกิดขึ้นรวมทั้งกำหนดแผนในการดำเนินงานเมื่อเหตุการณ์เกิดขึ้น
  6. การติดตามและการทบทวน เป็นกระบวนการที่เกิดขึ้นสม่ำเสมอ เมื่อเกิดความเปลี่ยนแปลงที่สำคัญซึ่งเกิดจากปัจจัยภายในและภายนอก หรือผลการดำเนินงานไม่เป็นไปตามเป้าหมายที่วางไว้
  7. การสื่อสารและการรายงาน แบบ two-way communication เพื่อสร้างความตระหนัก ความเข้าใจและความมีส่วนร่วม หน่วยงานควรพิจารณากำหนดตัวชี้วัดความเสี่ยงที่สำคัญ หรือ Key Risk Indicators เพื่อติดตามและรายงานเมื่อระดับความเสี่ยงถึงจุด KRIs

ตัวอย่างการบริหารจัดการความเสี่ยง

  1. นโยบายการยอมรับความเสี่ยงระดับองค์กร ผู้บริหารกำหนดความเสี่ยงที่ยอมรับได้ (ระดับน้อย ระดับปานกลาง ระดับสูง) ในด้านต่าง ๆ ได้แก่ ด้านการปฏิบัติงาน ด้านการทุจริต ด้านเทคโนโลยีสารสนเทศ ด้านภาพลักษณ์ขององค์กร
  2. การกำหนดประเภทของเหตุการณ์ความเสี่ยง ได้แก่ ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยงด้านการดำเนินงาน (Operation Risk) ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk) และด้านอื่น ๆ เช่น ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Technology Risk) และความเสี่ยงด้านความน่าเชื่อถือขององค์กร (Reputation Risk)
  3. การระบุความเสี่ยง เช่น ระบุรหัสความเสี่ยง ชื่อเหตุการณ์ความเสี่ยง สาเหตุ/ตัวผลักดันความเสี่ยง และผลกระทบ
  4. เกณฑ์การให้คะแนนความเสี่ยง ด้านโอกาสเกิด (Likelihood) ด้านผลกระทบ (Impact) ด้านความอ่อนไหวต่อความเสี่ยง และด้านลักษณะการเปลี่ยนแปลงของความเสี่ยง ระดับคะแนนตั้งแต่ 1 ถึง 5
  5. การให้คะแนนความเสี่ยง แต่ละด้าน มีระดับคะแนนตั้งแต่ 1 (น้อยมาก) 2 (น้อย) 3 (ปานกลาง) 4 (สูง) 5 (สูงมาก)
  6. การจัดลำดับความเสี่ยงโดยพิจารณาจากโอกาสและผลกระทบ ความเสี่ยงที่มีโอกาสสูงผลกระทบสูง หน่วยงานต้องพิจารณาให้ความสำคัญมากกว่าความเสี่ยงที่มีโอกาสต่ำผลกระทบต่ำ (อาจใช้แผนภาพ Heat Map เป็นเกณฑ์ในการจัดลำดับความเสี่ยง)
  7. การจัดลำดับความเสี่ยงโดยพิจารณาจากผลกระทบและความอ่อนไหวต่อความเสี่ยง ตามแนวคิดการจัดลำดับแบบ MARCI Chart
  8. แผนการบริหารจัดการความเสี่ยง โดยระบุรหัสความเสี่ยง ชื่อของเหตุการณ์ความเสี่ยง ระดับผลกระทบ เจ้าของความเสี่ยง (Risk Owner) ตัวชี้วัดความเสี่ยงที่สำคัญ (KRIs) วิธีจัดการความเสี่ยง (มาตรการต่างๆ) วิธีการติดตามและการรายงาน
การจัดลำดับความเสี่ยงโดยพิจารณาจากโอกาสและผลกระทบ
การจัดลำดับความเสี่ยงโดยพิจารณาจากผลกระทบและความอ่อนไหวต่อความเสี่ยง

การประเมินระบบการควบคุมภายในขององค์กร

ทุกปีงบประมาณ คณะ/สถาบันต่าง ๆ จะต้องประเมินผลการควบคุมภายใน ด้วยวิธีการตามที่หน่วยงานกำหนดและเป็นไปตามหลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561 (ที่สอดคล้องตามมาตรฐานสากล COSO 2013 Internal Control) และ หลักเกณฑ์ของกระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ พ.ศ. 2562 (ที่สอดคล้องตามมาตรฐานสากล COSO-ERM 2017) และรายงานไปยังมหาวิทยาลัยต้นสังกัด

การประเมินองค์ประกอบของการควบคุมภายใน ประกอบด้วย 5 องค์ประกอบ ที่ใช้ในการประเมินความเพียงพอเหมาะสมของระบบควบคุมภายใน ได้แก่

องค์ประกอบที่ 1 สภาพแวดล้อมการควบคุม : ความซื่อสัตย์และจริยธรรม ความรับผิดชอบต่อการกำกับดูแลองค์กร การกำหนดอำนาจและหน้าที่ การพัฒนาบุคลากร การให้ความสำคัญต่อการควบคุมภายใน

องค์ประกอบที่ 2 การประเมินความเสี่ยง : วัตถุประสงค์ของการดำเนินงานชัดเจน การระบุและจัดการความเสี่ยง การประเมินความเสี่ยงที่อาจก่อให้เกิดการทุจริต การระบุและวิเคราะห์การเปลี่ยนแปลงที่มีความสำคัญ

องค์ประกอบที่ 3 กิจกรรมการควบคุม : การควบคุมสามารถลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ มีการควบคุมทั่วไปด้านไอที การกำหนดนโยบายและกระบวนการปฏิบัติ

องค์ประกอบที่ 4 สารสนเทศและการสื่อสาร : สารสนเทศ การสื่อสารข้อมูลภายในองค์กร การติดต่อสื่อสารภายนอกองค์กร

องค์ประกอบที่ 5 กิจกรรมการติดตามผล : การติดตามและประเมินผลการควบคุมภายในแบบประเมินตนเองหรืออย่างเป็นอิสระ การสื่อสารผลการติดตามไปยังผู้เกี่ยวข้อง

การวิเคราะห์และประเมินความเสี่ยงของพันธกิจหลักและพันธกิจสนับสนุน อาจมีประเด็นเหตุการณ์ความเสี่ยงที่สำคัญ อาทิ

  1. ด้านการวิจัย เช่น ความผันผวนในการจัดสรรทุนของแหล่งเงินทุนวิจัย
  2. ด้านการศึกษา เช่น บัณฑิตไม่มีทักษะความเป็นผู้ประกอบการ
  3. ด้านการบริการวิชาการ เช่น การบริการวิชาการไม่ตอบโจทย์ภาคเอกชน
  4. ด้านการเงินการคลัง เช่น การขาดสภาพคล่องและความมั่นคงทางการเงิน
  5. ด้านทรัพยากรบุคคล เช่น การขาดแคลนบุคลากรที่มีความเชี่ยวชาญเฉพาะ
  6. ด้านเทคโนโลยีสารสนเทศ เช่น ความพร้อมในการดำเนินงานตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PCPA)
  7. ด้านภาพลักษณ์องค์กร เช่น การรับมือกับสถานการณ์ต่าง ๆ ในสื่อสังคมออนไลน์
  8. ด้านธรรมาภิบาล เช่น ความไม่พร้อมขอระบบติดตามกฎระเบียบและข้อบังคับใหม่

นอกจากนั้น ยังต้องปฏิบัติตามแนวทางการประเมินคุณธรรมและความโปร่งใสในการดำเนินงานของหน่วยงานภาครัฐ (ITA) ตัวชี้วัดที่ 10 เรื่อง การป้องกันการทุจริต ตัวชี้วัดย่อยที่ 10.1 การดำเนินการเพื่อป้องกันการทุจริต เพื่อป้องกันความเสี่ยงของการดำเนินงาน ที่อาจก่อให้เกิดการทุจริต หรือผลประโยชน์ทับซ้อน (Conflict of Interest) อีกด้วย

ความเสี่ยง คือโอกาส ถ้าไม่เสี่ยง อาจสูญเสีย

เมื่อวันที่ 27-28 สิงหาคม 2563 ได้ไปอบรมหลักสูตร การกำกับและบริหารความเสี่ยงของมหาวิทยาลัย ตามกรอบแนวทาง COSO Enterprise Risk Management Integrating with Strategy and Performance รุ่นที่ 2 จัดโดยสถาบันคลังสมองของชาติ ที่โรงแรมปทุมวันปริ๊นเซส วิทยากร คือ ผศ. ประเสริฐ อัครประถมพงศ์ และทีมงาน คือ คุณทศพร จันทมงคลเลิศ และ ดร. อวิรุทธ์ ฉัตรมาลาทอง (ผู้อำนวยการศูนย์บริหารความเสี่ยง จุฬาลงกรณ์มหาวิทยาลัย) ได้รับความรู้ความเข้าใจเกี่ยวกับการบริหารจัดการความเสี่ยงมากพอสมควร จากการฟังบรรยายและทำกิจกรรมกลุ่ม และได้มีการค้นคว้าข้อมูลเพิ่มเติมจากหนังสือและแหล่งอื่น ๆ บนอินเทอร์เน็ต จะขอสรุปประเด็นสำคัญมาเล่าสู่กันฟังดังนี้ค่ะ

กิจกรรมกลุ่ม 4 : ความเสี่ยงด้านการบริการสังคม
กรณีศึกษา โครงการเกษตรอินทรีย์พื้นที่ 3 อำเภอ จ.เชียงใหม่
นำเสนอโดย รศ.ดร.จำเนียร บุญมาก
คณบดีคณะบริหารธุรกิจ มหาวิทยาลัยแม่โจ้

ความเข้าใจผิด 10 ประการ เกี่ยวกับ การบริหารจัดการความเสี่ยง

สิ่งที่เข้าใจผิดสิ่งที่เข้าใจถูกต้อง
ความเสี่ยง (Risk) คือ
ความสูญเสีย (Loss) ที่จะเกิดขึ้นกับองค์กร
ความเสี่ยง (Risk) คือ โอกาส (Opportunities)  
High Risk High Return
ถ้าไม่ยอมเสี่ยง อาจสูญเสีย
ความเสี่ยง เป็นการป้องกันความสูญเสีย
ที่จะเกิดขึ้นในอนาคต เป็นภาระ
ไม่ได้ทำให้ผลการดำเนินงานขององค์กรดีขึ้น
ความเสี่ยงที่สำคัญระดับองค์กร
(Enterprise Risk Management: ERM)
จะต้องสนับสนุนให้วัตถุประสงค์ ภารกิจหลัก ตัวชี้วัด
และเป้าหมายขององค์กรบรรลุผลสำเร็จ และก้าวสู่เป้าหมายอย่างมั่นใจ
ปัญหาปัจจุบัน (Current Problem)
คือความเสี่ยง
ปัญหาไม่ใช่ความเสี่ยง
แต่ผลของปัญหา จะทำให้เกิดความเสี่ยงในอนาคต ถ้าไม่แก้ไข
รายการความเสี่ยงที่สำคัญระดับองค์กร
(Key Risk) ความเสี่ยงด้านกลยุทธ์
ยิ่งมีจำนวนมากยิ่งดี
ควรบริหารจัดการ ทำแผนจัดการความเสี่ยง
ทุกกลยุทธ์
ระบุความเสี่ยงเฉพาะประเด็นที่สำคัญและมีผลกระทบต่อองค์กร
(เช่น มิติชื่อเสียง ภาพลักษณ์ สถานะทางการเงิน
ความปลอดภัยชีวิตและทรัพย์สิน
และความชะงักงันการดำเนินงานภารกิจหลัก)
เพื่อ Focus ในการจัดการอย่างมีประสิทธิภาพและประสิทธิผล
ความเสี่ยงที่สำคัญ –> มีน้อย
ความเสี่ยงที่เล็กน้อย –> มีมาก
หากกำหนดประเด็นความเสี่ยงมากเกินไป มักละเลย
การบริหารจัดการความเสี่ยงระดับองค์กร
เป็นหน้าที่และความรับผิดชอบของ
หน่วยงานบริหารจัดการความเสี่ยง
การบริหารจัดการความเสี่ยงระดับองค์กร
เป็นหน้าที่และความรับผิดชอบของผู้บริหารระดับสูง
ในการระบุ ประเมิน ตัดสินใจ ติดตาม และบริหารจัดการความเสี่ยง
ให้อยู่ในระดับที่ยอมรับได้
“การควบคุมภายใน (Internal Audit)”
เป็นงานเดียวกัน กับ “การบริหารจัดการความเสี่ยง (Risk Management)”
“การควบคุมภายใน (Internal Audit)” และ
“การบริหารจัดการความเสี่ยง (Risk Management)”
ไม่ใช่งานเดียวกัน เป็นงานที่จะต้องเชื่อมต่อข้อมูลที่สำคัญระหว่างกัน เพื่อประโยชน์ในการบริหารจัดการองค์กร
อย่างมีประสิทธิภาพและประสิทธิผล
ต้องลดความเสี่ยงลงให้อยู่ในระดับต่ำสุด (ระดับความเสี่ยง ยิ่งต่ำ ยิ่งดี)ในการจัดการลดความเสี่ยงย่อมมีค่าใช้จ่าย
ยิ่งลดระดับความเสี่ยงมาก ยิ่งมีค่าใช้จ่ายมาก
ดังนั้น ผู้บริหารจึงต้องพิจารณาตัดสินใจให้เกิดความสมดุล
ระหว่างระดับความเสี่ยงที่ลดลง กับค่าใช้จ่ายในการลดความเสี่ยง
และจำเป็นต้องใช้ข้อมูล ข้อเท็จจริง (Fact & Data)
ในการประเมินและตัดสินใจจัดการความเสี่ยง
ดัชนีชี้วัดความเสี่ยง (KRIs) เป็นตัวเดียวกันกับ ดัชนีชี้วัดผลดำเนินงาน (KPIs)KRIs ส่วนใหญ่เป็นดัชนีชี้วัดก่อนเกิดเหตุการณ์ความเสี่ยง (Leading Indicator) เป็นเสมือน “สัญญาณเตือนภัย”
เพื่อให้เกิดการจัดการก่อนที่ความเสี่ยงจะเกิดขึ้น
ส่วนตัวชี้วัดผลดำเนินงาน (KPIs) มักเป็นตัวชี้วัดผลลัพธ์
ซึ่งเกิดขึ้นแล้ว (Lagging Indicator)
ต้องมีแผนงาน/กิจกรรม/โครงการ
ในการจัดการลดระดับความเสี่ยง
สำหรับทุกรายการความเสี่ยงที่ระบุขึ้น
การจัดการความเสี่ยง อาจเลือกใช้กลยุทธ์อย่างใดอย่างหนึ่ง หรือผสมผสานกัน
– ระดับความเสี่ยงจากการประเมินที่ต่ำ สามารถยอมรับได้ 
ใช้กลยุทธ์ TAKE ยอมรับความเสี่ยง (Accept)
และดำเนินการควบคุม / ตรวจติดตาม (Control / Audit)
– ระดับความเสี่ยงจากการประเมินที่สูง ไม่สามารถยอมรับได้
ใช้กลยุทธ์ TRANSFER – TREAT – TERMINATE
ร่วมจัดการ (Share)/ลด (Reduce)/หลีกเลี่ยง (Avoid)
โดยจะดำเนินการบริหารจัดการ (PDCA)
เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
ทุกกิจกรรม/โครงการที่จะดำเนินการ สามารถลดและบริหารจัดการความเสี่ยงได้เสมอกิจกรรม/โครงการ ที่เป็น Exiting Control จะต้องเชื่อมโยง
และสอดคล้องกับการประเมินระดับความเสี่ยง
โดยมีวัตถุประสงค์เพื่อลดโอกาสเกิด (Likelihood) ลดผลกระทบ (Impact) และจะต้องจัดการที่สาเหตุของปัจจัยเสี่ยง
ดังนั้น การวิเคราะห์สาเหตุของความเสี่ยงเป็นเรื่องที่สำคัญ

GRC คืออะไร ?

กลยุทธ์ในการบริหารเพื่อการเติบโตอย่างยั่งยืนขององค์กร โดยบูรณาการ G, R, C เข้าด้วยกัน

  • G – Governance การกำกับดูแลกิจการและบริหารองค์กร ที่โปร่งใสและเป็นธรรม  
  • R – Risk Management การบริหารและควบคุมความเสี่ยงทั่วทั้งองค์กร
  • C – Compliance การปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับทางการบัญชีและด้านอื่น ๆ  เพื่อปกป้องรักษาชื่อเสียง และความไว้วางใจของผู้มีส่วนได้ส่วนเสีย

COSO-ERM

COSO = The Committee of Sponsoring Organizations of the Treadway Commission ของประเทศสหรัฐอเมริกา COSO-ERM Integrated Framework-2004  มีสาเหตุมาจากวิกฤติด้านระบบบัญชีและธรรมาภิบาล ในสหรัฐอเมริกา การฉ้อฉลของฝ่ายบริหารและการตกแต่งบัญชีร่วมกับบริษัทผู้ตรวจสอบบัญชีอิสระ กรณีบริษัทเอ็นรอน (Enron) ยักษ์ใหญ่ด้านพลังงาน ในช่วงปี 2001-2002 ปัจจุบันกรอบแนวคิด COSO-ERM ได้พัฒนาเป็น version ล่าสุดคือ ปี 2017 หลังจากเวอร์ชั่นแรกในปี 2004 ใช้มาแล้วกว่า 13 ปี

COSO ERM 2017

“COSO Enterprise Risk Management-Integrating with Strategy and Performance” การเชื่อมโยงกลไกการบริหารความเสี่ยง เข้ากับกลยุทธ์และการดำเนินงานขององค์กร

COSO ERM 2017 Framework 5 องค์ประกอบ 20 หลักการ

1) Governance and Culture (การกำกับดูแลกิจการและวัฒนธรรมองค์กร)

  • จัดตั้งคณะกรรมการดูแลความเสี่ยง (Exercises Board Risk Oversight)
  • จัดตั้งโครงสร้างการดำเนินงาน (Establishes Operating Structures)
  • ระบุวัฒนธรรมองค์กรที่ต้องการ (Defines Desired Culture)
  • แสดงความมุ่งมั่นในค่านิยมหลัก (Demonstrates Commitment to Core Values)
  • จูงใจ พัฒนา และรักษาบุคลากรที่มีความสามารถ (Attracts, Develops, and Retains Capable Individuals)

2) Strategy & Objective Setting (กลยุทธ์และการกำหนดวัตถุประสงค์)

  • วิเคราะห์บริบทของธุรกิจ (Analyzes Business Context)
  • ระบุความเสี่ยงที่ยอมรับได้ (Defines Risk Appetite)
  • ประเมินและค้นหากลยุทธ์ทางเลือก (Evaluates Alternative Strategies)
  • กำหนดวัตถุประสงค์ทางธุรกิจภายใต้ความเสี่ยง (Formulates Business Objectives)

3) Performance (เป้าหมายผลการดำเนินงาน)

  • ระบุความเสี่ยง (Identifies Risk)
  • ประเมินความรุนแรงของความเสี่ยง (Assesses Severity of Risk)
  • จัดลำดับความสำคัญของความเสี่ยง (Prioritizes Risks)
  • ดำเนินการตอบสนองต่อความเสี่ยง (Implements Risk Responses)
  • พัฒนากรอบความเสี่ยงในภาพรวม (Develops Portfolio View)

4) Review & Revision (การทบทวนและปรับปรุงแก้ไข)

  • ประเมินการเปลี่ยนแปลงที่สำคัญ ที่เกิดขึ้นจากการบริหารความเสี่ยง (Assesses Substantial Change)
  • ทบทวนความเสี่ยงและผลการดำเนินงาน (Reviews Risk and Performance)
  • มุ่งมั่นปรับปรุงการบริหารความเสี่ยงองค์กร (Pursues Improvement in Enterprise Risk Management)

5) Information, Communication & Reporting (สารสนเทศ การสื่อสาร และการรายงาน)

  • ยกระดับระบบสารสนเทศ (Leverages Information Systems)
  • สื่อสารข้อมูลความเสี่ยง (Communicates Risk Information)
  • รายงานผลความเสี่ยง วัฒนธรรม และผลการดำเนินงาน (Reports on Risk Culture, and Performance)

วัฒนธรรมความเสี่ยงขององค์กร (Risk Culture)

วัฒนธรรมความเสี่ยง ประกอบด้วย 4 กลุ่ม 10 มิติ ได้แก่

  1. ความโปร่งใสของความเสี่ยง (1.1 การสื่อสาร 1.2 ความใจกว้างและอดทนต่อความเสี่ยง 1.3 ความเข้าใจอย่างลึกซึ้ง)
  2. การยอมรับความเสี่ยง (2.1 ความมั่นใจ 2.2 ความท้าทาย 23 ความเปิดเผย)
  3. การตอบสนองต่อความเสี่ยง (3.1 ระดับของความใส่ใจ 3.2 ความเร็วในการตอบสนอง)
  4. การเคารพความเสี่ยง (4.1 การทำงานร่วมกัน 4.2 การยึดมั่นและทำตามกฎระเบียบ)
กรอบแนวคิดในการสร้างวัฒนธรรมความเสี่ยงขององค์กร (Risk Culture Framework) ของ Mckinsey

เครื่องมือที่เกี่ยวข้องกับการบริหารจัดการความเสี่ยง

  • Root Cause Analysis (RCA)
  • แผนผังก้างปลา (Fishbone Diagram)
  • Failure Mode and Effect Analysis (FMEA)
  • Bow-tie Diagram (วิเคราะห์และจัดการความเสี่ยง)
  • Environmental Scanning ค้นหาความเสี่ยงใหม่ หรือ Emerging Risk ระดับองค์กร
    • SWOT Analysis
    • PESTEL (Political, Economic, Social, Technological, Environmental, Legal) Analysis
    • Porter’s 5 Forces Analysis

ไปอบรม Financial Management for Executives: Day 1

วันที่ 10-11 มีนาคม 2560 ได้มีโอกาสไปรับการอบรม หลักสูตรการเงินสำหรับผู้บริหารมหาวิทยาลัย (Financial Management for Executives) – กลุ่มที่ 1 จัดขึ้นที่วิทยาลัยจัดการ มหาวิทยาลัยมหิดล ถนนวิภาวดีรังสิต เป็นเวลา 2 วัน วิทยากรคือ ดร. อริชัย รักธรรม ท่านเป็นผู้เชี่ยวชาญด้านเศรษฐศาสตร์ การเงิน และการลงทุน ทำงานอยู่ในภาคเอกชน (กรรมการตรวจสอบบริษัท SYNTEC) บรรยายได้สนุกสนานและเป็นกันเองมาก ทำให้เราได้รับความรู้มากมายที่จะนำกลับมาประยุกต์ใช้ในการบริหารจัดการส่วนงานที่เรากำกับดูแล ท่านสอนโดยใช้วิธีสนทนาพูดคุยเล่าประสบการณ์จากชีวิตจริงในแวดวงธุรกิจ ยกตัวอย่างและกรณีศึกษาประกอบ เพื่อให้เราได้แนวความคิด เปรียบเทียบ และนำบางส่วนไปประยุกต์ใช้ให้เหมาะสมกับบริบทของมหาวิทยาลัย สลับกับการทำกิจกรรมกลุ่มระดมสมองร่วมกัน จึงทำให้เราได้เห็นมุมมองทางด้านการเงิน รวมทั้งการบริหารความเสี่ยงขององค์กรที่แตกต่างออกไปจากเดิม อย่างไรก็ตาม เวลาอบรมมีค่อนข้างจำกัด เพียง 2 วัน จึงไม่ได้ลงรายละเอียดมากนัก อีกทั้งเอกสารประกอบการบรรยายเป็นภาษาอังกฤษ จึงทำให้ผู้เขียนซึ่งเป็นคนที่ไม่มีพื้นฐานทางด้านเศรษฐศาสตร์การเงินมาก่อน จำเป็นต้องศึกษาหาความรู้เพิ่มเติมด้วยตนเองจากหนังสือและสื่ออินเทอร์เน็ตอื่นๆ ขอขอบพระคุณท่านรองอธิการบดีฝ่ายการคลังและแผนงาน และคณะผู้จัดงาน ที่เปิดโอกาสให้ได้ไปเข้ารับการอบรมในครั้งนี้ และขอบันทึกสรุปหัวข้อที่ได้รับจากการอบรม ไว้ดังนี้ค่ะ

Screen Shot 2560-03-12 at 1.44.57 PM.png

วันที่ 1 :

การบริหารจัดการการเงิน (Financial Management) โดยใช้ตัวชี้วัดผลสำเร็จของงาน (Performance Indicator)

ประเด็นด้านศรษฐศาสตร์การเงิน (Financial Economic Issues) ควรคำนึงถึง 3 ประเด็น คือ

  • เศรษฐศาสตร์มหภาค (Macroeconomic issues)
  • เศรษฐศาสตร์จุลภาค (Microeconomic issues)
  • การเงิน (Financial issues)

ประเด็นด้านเศรษฐศาสตร์มหภาค (Macroeconomic Issues) ได้แก่

  • การวิเคราะห์อุปสงค์ (Demand) และอุปทาน (Supply)
  • ต้นทุน (Cost) ของเงินทุน Capital) ชนิดต่างๆ
  • ความเชื่อมั่นของนักลงทุน (Investor Sentiment)
  • ความเชื่อมั่นของผู้บริโภค (Consumer Confidence)
  • ปัจจัยภายในและปัจจัยภายนอก

ประเด็นด้านเศรษฐศาสตร์จุลภาค (Microeconomic Issues) ได้แก่

  • ผลิตภัณฑ์มวลรวมในประเทศ (GDP) และ ผลิตภัณฑ์มวลรวมนานาชาติ (GNP)
  • สมการ GDP = C + I + G + (X – M) หมายถึง รายจ่ายเพื่อการบริโภค (Consumption) + รายจ่ายเพื่อการลงทุน (Investment) + รายจ่ายของรัฐ เช่น การลงทุนด้านโครงสร้างพื้นฐาน (Government Spending) + (ส่งออก [Export] – นำเข้า [Import])
  • ภาวะเงินเฟ้อ (Inflation) แก้ไขยาก และมักมีผลกระทบหากแก้ไขโดยขึ้นภาษีหรือเพิ่มอัตราดอกเบี้ย
  • ดุลการชำระเงิน (Balance of Payment: BoP)
  • ตลาดแลกเปลี่ยนเงินตราต่างประเทศ (Forex) ตัวอย่างเช่น  บริษัท Super Rich
  • ปัจจัยภายในและปัจจัยภายนอก

ประเด็นด้านการเงิน (Financial Issues) ได้แก่

  • ภาษี (Taxation) เป็นการเพิ่มรายได้ให้แก่รัฐ และขจัดเงินเฟ้อ
  • นโยบายส่งเสริมการลงทุน เช่น การมีสำนักงาน BOI (Thailand Board of Investment)
  • การเปิดเสรีการค้า (Liberalization of Markets)
  • การโอนกิจการของรัฐเป็นของเอกชน หรือการแปรรูปรัฐวิสาหกิจ (Privatization)
  • การอุดหนุน หรือการที่รัฐให้ความช่วยเหลือ (Subsidies) เช่น รถเมล์ฟรี นำ้ฟรี ไฟฟ้าฟรี
  • การสนับสนุนการศึกษาและการฝึกอบรม (Education and Training Support)

ประเด็นด้านธุรกิจ (Business Issues) ควรคำนึงถึง 3 ด้าน คือ

  • พฤติกรรมผู้บริโภค (Consumer Behavior)
  • ตัวเลขทางการเงิน (Financial Numbers)
  • รายการประเมินความสำเร็จของธุรกิจ (Check List for Business Success)

ประเด็นด้านพฤติกรรมผู้บริโภค (Consumer Behavior) 

  • การสำรวจ (Surveys)
  • การวิจัยตลาด (Market Research)
  • การรับรู้และจดจำแบรนด์ (Brand Awareness)
  • การผลิตสินค้า (Product Execution)

ประเด็นด้านตัวเลขทางการเงิน (Financial Numbers) 

  •  การลงทุนในอสังหาริมทรัพย์ (New Housing Starts and Purchase)
  • ดัชนีราคาหุ้นในตลาดหลักทรัพย์ (Stock Exchange Indexes)
  • อัตราส่วนราคาต่อต้นทุนค่าจ้างแรงงาน (Price to Unit Labor Cost Ratios)
  • ปริมาณการสั่งซื้อวัตถุดิบเปรียบเทียบกับยอดขาย (New Orders for Input compare to Sales)
  • การให้เครดิตแก่ผู้บริโภคในการสั่งซื้อแทนเงินสด (Consumer Credits and Purchase)

รายการประเมินความสำเร็จของธุรกิจ (Check List for Business Success) ประกอบด้วย

ความเข้าใจในเรื่องวัตถุประสงค์ของธุรกิจ

  • เข้าใจเป้าหมายขององค์กรทั้งในระยะสั้นและระยะยาว
  •  เข้าใจเรื่องกำไรสูงสุด (Profit Maximization)
  • เข้าใจเรื่องยอดขายสูงสุด (Sales Maximization)
  • เข้าใจเรื่องความมั่งคั่งสูงสุด (Wealth Maximization)

ความเข้าใจในเรื่องตลาดการแข่งขัน

  • การวิเคราะห์คู่แข่งขัน
  • การตั้งราคาที่กำหนดโดยคู่แข่งขัน
  • การเข้ามาของคู่แข่งขันรายใหม่  (New Entrants to the Business)

ความเข้าใจในเรื่องพฤติกรรมลูกค้า

  • ปัจจัยต่างๆ ที่มีผลกระทบต่อความต้องการของตลาด
  • ความไว (Sensitivity) ของผู้บริโภคต่อการเปลี่ยนแปลงราคา (Price Change)

ความเข้าใจในเรื่องการตัดสินใจของผู้ลงทุน (Investment Decision)

  • อัตราส่วนของหนี้สินต่อทุน (Debt/Equity Ratio) – แหล่งที่มาของเงินทุน (Sources of Funds) ขององค์กร ส่วนใหญ่มาจากหนี้สิน (Debt) หรือส่วนของผู้ถือหุ้น (Equity)?
  • สถานภาพของหนี้ (Liability Status) ทั้งในระยะสั้นและระยะยาว
  • ตัววัดความสำเร็จของงาน (Performance Indicators) มี 2 ชนิด คือ ROE (Return of Equity) และ P/E (Price-Earnings Ratio)

ความเข้าใจในเรื่องการตัดสินใจจ้างงาน (Employment Decision)

  • มีพนักงานทั้ง full-time และ Part-time จำนวนเท่าใด ที่ต้องจ่ายเงินเดือน (Payroll)
  • เปรียบเทียบอัตราเงินเดือนในการจ้างงานกับองค์กรคู่แข่ง

การบัญชีบริหาร (Managerial Accounting) และงบการเงิน (Financial Statements)

การบัญชีบริหาร (Managerial Accounting) เป็นการนำข้อมูลทางการบัญชีมาใช้ในการบริหารงานและตัดสินใจ ผู้บริหารควรติดตามตัวเลขและใช้ข้อมูลด้านการบัญชีเพื่อการวางแผน (Planning)  กำกับงานให้เป็นไปตามทิศทางที่กำหนดไว้ (Directing) ตรวจสอบ ติดตามผลการปฏิบัติงาน แก้ไขปัญหา รวมทั้งปรับเปลี่ยนแผนตามความเหมาะสมกับสถานการณ์ เกิดเป็นวงจรการควบคุมเพื่อการพัฒนา (Control Cycle)

การวิเคราะห์งบการเงิน (Financial Statement Analysis) เป็นเครื่องมือช่วยในการกลั่นกรอง การพยากรณ์ และการประเมินผล เป็นข้อมูลสำคัญที่จะช่วยลดความไม่แน่นอนในการตัดสินใจ ซึ่งในทางธุรกิจผู้บริหารไม่ควรตัดสินใจโดยใช้ความรู้สึก สัญชาตญาน หรือการคาดเดา

งบการเงิน (Financial Statement) ประกอบด้วย งบดุล  (Balance Sheet) หรืองบแสดงฐานะทางการเงิน (Statement of Financial Position) และงบกำไรขาดทุน (Income Statement หรือ Profit and Loss Statement)

งบดุล (Balance Sheet) 

หมายถึง รายงานที่แสดงให้ทราบถึง “ฐานะทางการเงิน” ของกิจการ ณ วันใดวันหนึ่ง ว่ามีสินทรัพย์ (Assets) หนี้สิน (Liabilities) และทุน หรือส่วนของเจ้าของ  (Equity) เป็นจำนวนเท่าใด

สมการเบื้องต้น คือ A = L + E

สินทรัพย์ (Assets) ได้แก่ สินทรัพย์ถาวร (Fixed Assets: FA) เช่น อสังหาริมทรัพย์, สินทรัพย์หมุนเวียน (Current Assets: CA),เงินสด (Cash), เงินฝากธนาคาร (Deposit), ลูกหนี้ วางบิลแล้วแต่ยังไม่ได้รับเงิน (Accounts Receivable: A/R),  สินค้าคงเหลือ (Inventories), วัสดุสิ้นเปลือง (Supplies) ฯลฯ

หนี้สิน (Liabilities) ได้แก่ เจ้าหนี้ รับของแล้วแต่ยังไม่ได้จ่ายเงิน (Accounts Payable: A/P), ตั๋วเงินจ่าย (Notes Payable) เช่น ตั๋วแลกเงินระยะสั้นหรือตั๋ว BE, ค้างจ่าย (Accruals), หนี้สินหมุนเวียน หรือหนี้สินปัจจุบัน (Current Liabilities: CL),  หนี้สินระยะยาว (Long-term Debt/Liabilities)

ทุน หรือส่วนของเจ้าของ  (Equity) หมายถึง มูลค่าของสินทรัพย์ทีเจ้าของกิจการเป็นเจ้าของโดยปราศจากการมีหนี้สินทึ่จะต้องชำระคืนในอนาคต  เช่น หุ้นทุนหรือหุ้นสามัญ (Common Stock), กำไรสะสม (Retained Earnings) ซึ่งเป็นสัดส่วนของกำไรสุทธิที่องค์กรเก็บเอาไว้ โดยไม่ได้แบ่งกลับไปให้ผู้ถือหุ้นในรูปแบบของเงินปันผล (Dividends)

งบกำไรขาดทุน (Income Statement)

เป็นงบการเงินที่แสดงให้เห็นถึง “ผลการดำเนินงาน” ของกิจการในช่วงเวลาใดเวลาหนึ่ง ว่ากิจการมีผลการดำเนินงานเป็นอย่างไร กำไรหรือขาดทุน  คำนวณจากรายได้  (Revenues) และค่าใช้จ่าย (Expenses) ประเภทต่างๆ

  • รายได้จากการขาย (Sales)
  • ต้นทุนของสินค้าที่ขาย (Cost of Goods Sold: COGS)
  • ค่าใช้จ่ายอื่นๆ (Other Expenses)
  • ค่าเสื่อมราคา (Depreciation) และค่าตัดจำหน่าย (Amortization)
  • อัตรากำไรขั้นต้น (Gross Profit Margin)
  • อัตรากำไรก่อนหักดอกเบี้ย ภาษี และค่าเสื่อมราคา (Earnings before Interest, Tax, Depreciation  and  Amortization: EBITDA Margin)
  • อัตรากำไรสุทธิ (Net Profit Margin)
  • ภาษี (Taxes)
  • กำไรสุทธิก่อนดอกเบี้ยและภาษี (EBT: Earnings before Interest and Tax)
  • ดอกเบี้ยจ่าย (Interest Expense) หมายถึงค่าตอบแทนเนื่องจากการใช้ประโยชน์จากเงินทุน
  • รายได้สุทธิ (Net Income) / กำไรสุทธิ (Net Profit) / ขาดทุนสุทธิ (Net Loss)

การวิเคราะห์อัตราส่วนทางการเงิน (Financial Ratio Analysis)

อัตราส่วนสภาพคล่องทางการเงิน (Liquidity Ratio) ตัวอย่างเช่น

  • เงินทุนหมุนเวียน (Working Capital: WC) = สินทรัพย์หมุนเวียน (Current Assets) – หนี้สินหมุนเวียน (Current Liabilities)

อัตราส่วนประสิทธิภาพในการใช้สินทรัพย์ (Efficiency Ratio) ตัวอย่างเช่น

  • อัตราหมุนเวียนของสินทรัพย์รวม  (Total Asset Turnover) = ขายสุทธิ (Net Sales) / สินทรัพย์รวม (Total Assets)
  • อัตราหมุนเวียนของสินทรัพย์ถาวร (Net Fixed Asset Turnover) = ขายสุทธิ (Net Sales) / สินทรัพย์ถาวร (Fixed Assets)
  • อัตราการหมุนเวียนของสินค้าคงเหลือ (Inventory Turnover) = ต้นทุนสินค้าขาย (COGS) /สินค้าคงเหลือเฉลี่ย (Avg. Inventory)
  • อัตราผลตอบแทนจากสินทรัพย์รวม (Return on Assets: ROA)(%) = กำไรสุทธิ (Net Profit) /สินทรัพย์รวม (Total Assets)

อัตราส่วนความสามารถในการทำกำไร (Profitability Ratio) ตัวอย่างเช่น

  • อัตรากำไรสุทธิ (Net Profit Margin)(%) = กำไรสุทธิ (Net Profit) / ขายสุทธิ (SALES)
  • ผลตอบแทนผู้ถือหุ้น (ROE %) = กำไรสุทธิ (Net Profit) / ส่วนของผู้ถือหุ้น (Equity)

อัตราส่วนความสามารถในการชำระหนี้ (Leverage Ratio) ตัวอย่างเช่น

  • อัตราส่วนหนี้สินต่อส่วนของผู้ถือหุ้น (Debt to Equity : D/E Ratio) = หนี้สินรวม (Total Debt) / ส่วนของเจ้าของหรือผู้ถือหุ้น (Total Equity)
  • อัตราส่วนความสามารถในการจ่ายดอกเบี้ย (Interest Coverage Ratio) = กำไรสุทธิก่อนดอกเบี้ยและภาษี (EBIT) / ดอกเบี้ยจ่าย (Interest Expense)
  • อัตราการจ่ายเงินปันผล (Dividend Payout) = เงินปันผลต่อหุ้น (Dividend per Share) / กำไรสุทธิต่อหุ้น (Earning per Share: EPS)

ข้อจำกัด

การวิเคราะห์อัตราส่วนทางการเงิน เป็นเครื่องมือสำคัญในการตัดสินใจ แต่อาจมีข้อจำกัด  มีความคลาดเคลื่อนได้จากปัจจัยอื่นที่มีผลกระทบ เช่น Seasonal Factors มีการตกแต่งตัวเลขทางบัญชี ทำให้รายงานงบการเงิน และอัตราส่วนทางการเงินดูดีเกินจริง (Window Dressing)  และบางครั้งการแปลผลตัวเลข เพื่อสรุปว่ากิจการของบริษัทหรือองค์กรนั้นดีหรือไม่ดี ทำได้ยาก

การฉ้อโกงตกแต่งตัวเลขสถิติทางการบัญชี ที่สร้างความเสียหายในวงกว้างและมีผลกระทบไปทั่วโลก เช่นวิกฤตการณ์สินเชื่อ Subprime ในสหรัฐอเมริกา และกรณีของบริษัท Enron ที่หลอกลวงนักลงทุนจนถึงขั้นล้มละลาย (เรื่องจริงที่นำมาสร้างเป็นภาพยนตร์เรื่อง The Crooked E: The Unshredded Truth About Enron) เป็นเรื่องที่เราควรระมัดระวังและหาทางป้องกันไม่ให้เกิดขึ้นอีก

ทั้งนี้ สิ่งที่เกิดขึ้นในอดีต ไม่จำเป็นต้องชี้นำสิ่งที่จะเกิดขึ้นในอนาคต  และบางครั้งความสำเร็จอันยิ่งใหญ่ของธุรกิจอาจเกิดจากอัจฉริยภาพและปัญญาญาณของผู้นำบางคนก็ได้   — ท้ายที่สุด ความสำเร็จของการบริหาร จึงขึ้นกับว่า เราจะตัดสินใจนำตัวเลขสถิติทางการเงินและข้อมูลทางการบัญชี มาใช้งานให้เกิดประโยชน์ต่อองค์กรอย่างมีประสิทธิภาพ — ได้อย่างไร

หมายเหตุ : วิทยากรแนะนำให้ไปเรียนรู้เพิ่มเติมในเรื่องทฤษฎีเกม (Games Theory) เพื่อเสริมทักษะทางด้านการบริหารการเงิน ขณะนี้ผู้เขียนได้ลงทะเบียนเรียนวิชา Games Theory จากระบบ COURSERA Online Course หลักสูตร 8 สัปดาห์ เป็นที่เรียบร้อยแล้ว  ได้ผลเป็นประการใด จะนำมาเล่าสู่กันฟังต่อไปค่ะ

 

การบริหารความเสี่ยงองค์กร

เมื่อวันที่ 5 มีนาคม 2555 ได้ไปเข้า workshop รับการอบรมเรื่อง การบริหารความเสี่ยงองค์กร ที่ห้อง K102 คณะวิทยาศาสตร์ วิทยากรที่มาบรรยายคือ ผอ.ธรรญา สุขสมัย ผู้อำนวยการศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล .. พอจะสรุปเกร็ดความรู้จากเอกสารประกอบการบรรยาย และประยุกต์เข้ากับข้อมูลที่ค้นเพิ่มเติมใน net นำมาเล่าสู่กันฟัง ดังนี้ค่ะ

  • ใช้วิธีบริหารความเสี่ยงตามหลักการของ Enterprise Risk Management — Integrated Framework (2004) ของ COSO หรือที่เรียกสั้นๆว่า COSO-ERM ซึ่งก่อตั้งโดยสมาคมนักบัญชี สถาบันผู้ตรวจสอบภายใน และผู้บริหารการเงินระหว่างประเทศ
  • เป็นเรื่องของความสัมพันธ์ระหว่าง การกำกับดูแลกิจการที่ดี (good governance) การควบคุมภายใน (internal control) + การบริหารความเสี่ยง (risk management) และการตรวจสอบภายใน (internal audit)
  • หน่วยงานที่ทำหน้าที่บริหารความเสี่ยง กับหน่วยงานที่ทำหน้าที่ตรวจสอบภายใน (internal audit) ควรแยกออกจากกัน มิฉะนั้นจะเป็น conflict of interest
  • ความเสี่ยง มี 4 ลักษณะ คือ 1.Strategic risk ความเสี่ยงที่เกี่ยวข้องในระดับยุทธศาสตร์ 2.Operational risk ความเสี่ยงที่เกี่ยวข้องในระดับปฏิบัติการ 3.Financial risk ความเสี่ยงที่เกี่ยวข้องกับการเงิน 4.Hazard risk ความเสี่ยงที่เกี่ยวข้องในด้านความปลอดภัย จากอันตรายต่อชีวิตและทรัพย์สิน
  • เมื่อพิจารณาการบริหารความเสี่ยงทั่วทั้งองค์กร ตามกรอบแนวคิดของ ERM Framework (ตามภาพแผนภูมิกล่องสี่เหลี่ยม) – ด้านบน คือ ประเภทของวัตถุประสงค์ขององค์กร โดยทั่วไป (ได้แก่ วัตถุประสงค์ด้านกลยุทธ์ ด้านการดำเนินงาน ด้านการรายงาน (ทั้งการเงินและไม่ใช่การเงิน) ด้านการปฏิบัติตามกฎ/ระเบียบ) ทางขวามือ คือ โครงสร้างขององค์กรในระดับต่างๆ (เช่น ระดับมหาวิทยาลัย ส่วนงาน ภาควิชา หน่วยงาน) ส่วนด้านหน้า คือ องค์ประกอบของการบริหารความเสี่ยง 8 ประการ
  • องค์ประกอบของ ERM ทั้ง 8 ประการ ได้แก่ 1.สภาพแวดล้อมภายใน (internal environment) 2.การกำหนดวัตถุประสงค์ (objective setting) 3.การระบุเหตุการณ์ (event identification) 4.การประเมินความเสี่ยง (risk assessment) 5.การตอบสนองความเสี่ยง (risk response) 6.กิจกรรมการควบคุม (control activities) 7.สารสนเทศและการสื่อสาร (Information and communication) 8.การติดตามประเมินผล (monitoring)

ขั้นตอนการบริหารความเสี่ยง คือ

  1. ดูวัตถุประสงค์ขององค์กรก่อน ว่ามีระดับการยอมรับความเสี่ยงเท่าไหร่ และมีตัวชี้วัดอะไรบ้าง
  2. ระบุเหตุการณ์ความเสี่ยง และสาเหตุที่มาของความเสี่ยง (ปัจจัยเสี่ยง risk factor) ทั้งปัจจัยภายในและปัจจัยภายนอกองค์กร ที่ส่งผลให้เกิดเหตุการณ์ทำให้ไม่บรรลุเป้าหมายตามแผนยุทธศาสตร์ โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใด และเกิดขึ้นได้อย่างไร และทำไมทั้งนี้สาเหตุของความเสี่ยงที่ระบุควรเป็นสาเหตุที่แท้จริง เพื่อจะได้วิเคราะห์และกำหนดมาตรการลดความเสี่ยงในภายหลังได้อย่างถูกต้อง
  3. ประเมินความเสี่ยง (โอกาสเกิด และผลกระทบ)
  4. จัดการความเสี่ยง (ยอมรับ ลด หลีกเลี่ยง หรือแบ่งความเสี่ยง)
  5. ติดตามประเมินผลการบริหารความเสี่ยง (ด้วยดัชนีชี้วัดความเสี่ยงหลัก Key risk indicator-KRI)
  • การประเมินความเสี่ยง (risk assessment) พิจารณาจาก 2 มุมมองคือ โอกาสเกิด (likelihood) และ ผลกระทบ (impact)
  • โอกาสเกิด (likelihood) : level 1 = very rare (แทบไม่มีโอกาสที่จะเกิดขึ้น เกิด 1 ครั้งในรอบหลายปี), level 2 = rare (เกิดขึ้นนานๆครั้ง เกิดขึ้นในรอบ 1-2 ปี), level 3 = possible (เกิดขึ้นปานกลาง เกิดในรอบ 6-12 เดือน), level 4 = likely (เกิดขึ้นหลายครั้ง เกิดในรอบ 3-6 เดือน), level 5 = almost certain (เกิดขึ้นเป็นประจำ)
  • ผลกระทบ (impact) : level 1 = insignificant (ต่ำมาก ไม่มีนัยสำคัญ), level 2 = minor (ต่ำ ค่าความเสียหายเล็กน้อย), level 3 = moderate (ปานกลาง), level 4 = major (วิกฤติ ค่าความเสียหายสูง), level 5 = severe หรือ catastrophic (หายนะ เสียหายสูงมาก ระบบหยุดชะงักนาน มีผู้เสียชีวิต)
  • เกณฑ์การวัดผลกระทบ (impact) ได้แก่ 1.ประสิทธิผล (ความล่าช้าของการดำเนินงาน ผลการดำเนินงานตามเป้าหมาย ระยะเวลาการหยุดชะงักของระบบ) 2.มูลค่าความเสียหายทางการเงิน 3.ชื่อเสียงและภาพลักษณ์ขององค์กร 4.ความปลอดภัยของชีวิต
  • ระดับของความเสี่ยง ที่ได้จากประเมินแต่ละปัจจัยเสี่ยง มี 4 ระดับคือ low, moderate, high, extreme risk

Risk Matrix

การตอบสนองความเสี่ยง (risk response) หรือการจัดการความเสี่ยง มี 4 วิธีคือ

  1. ยอมรับความเสี่ยง
  2. ลด/ควบคุมความเสี่ยง
  3. หลีกเลี่ยงความเสี่ยง
  4. ร่วมจัดการความเสี่ยง (กระจาย ถ่ายโอน แบ่งความรับผิดชอบความเสี่ยงกับคนอื่นหรือองค์กรอื่น)

แนวทางการจัดการความเสี่่ยง โดยดูจาก risk matrix

  • high imact, high likelihood -> ลดความเสี่ยง / หลีกเลี่ยงความเสี่ยง
  • low impact, high likelihood -> ลดความเสี่ยง / ยอมรับความเสี่ยง
  • high impact, low likelihood -> ร่วมจัดการความเสี่ยง กระจายความเสี่ยง
  • low impact, low likelihood -> ยอมรับความเสี่ยง

กิจกรรมการควบคุม (control activities) เพื่อลดความเสี่ยง มีทั้ง soft controls (สร้างจิตสำนึก) และ hard controls (ตรวจสอบควบคุม) แบ่งเป็น

  • การควบคุมเพื่อการป้องกันล่วงหน้า (preventive control)
  • การควบคุมเพื่อให้ตรวจพบ ค้นหาที่ผิด (detective control)
  • การควบคุมเพื่อการแก้ไขข้อผิดพลาด (corrective control)

ความเสี่ยงด้านกลยุทธ์ที่เกิดจากปัจจัยภายนอกของมหาวิทยาลัย มีหลายข้อ แต่ที่น่าสนใจ ได้แก่ ความคิดเห็นและทัศนคติของสังคมและประชาชน ที่มีต่อมหาวิทยาลัย ที่สะท้อนความต้องการที่อาจเกิดขึ้นในอนาคต การแข่งขัน ประชาคมอาเซียน ภัยพิบัติและการก่อการร้าย การแสดงความคิดเห็นบนเครือข่ายสื่อสังคมออนไลน์ที่ไม่มีการไตร่ตรองและการสอบทาน อาจส่งผลกระทบต่อภาพลักษณ์ชื่อเสียงของมหาวิทยาลัยได้

ความเสี่ยงด้านกลยุทธ์ที่เกิดจากปัจจัยภายในของมหาวิทยาลัย ที่น่าสนใจ ได้แก่ การกำกับดูแลกิจการที่ดี (good governance) เพื่อสร้างความเชื่อมั่น ความเชื่อถือได้ต่อผู้มีส่วนได้เสีย เพื่อความโปร่งใสและในการบริหารตรวจสอบได้ บรรยากาศและสิ่งแวดล้อมในการทำงาน และการสร้างคุณภาพชีวิตที่ดี ซึ่งจะมีผลต่อประสิทธิภาพการทำงานของบุคลากร