ป้ายกำกับ: การจัดการความเสี่ยง

การบริหารจัดการความเสี่ยงขององค์กร

Published on by Rucharekaใส่ความเห็น

การบริหารจัดการความเสี่ยงขององค์กร (Enterprise Risk Management : ERM) ถือเป็นเรื่องใหญ่ ที่ทุกองค์กรจะต้องดำเนินการ โดยเฉพาะในโลกที่มีแต่ความผันผวนไม่แน่นอน และเกิดสถานการณ์วิกฤติจากการแพร่ระบาดของโรคโควิด-19 เช่นในปัจจุบัน

หน่วยงานของรัฐ รวมทั้งคณะ/มหาวิทยาลัย ต้องจัดให้มีการบริหารจัดการความเสี่ยง ที่เป็นไปตามมาตรฐานและหลักเกณฑ์ตามที่กระทรวงการคลังกำหนดไว้ ในมาตรา 79 ของ พ.ร.บ. วินัยการเงินการคลังของรัฐ พ.ศ. 2561 โดยมีวัตถุประสงค์เพื่อให้การบริหารจัดการความเสี่ยงของหน่วยงานมีประสิทธิภาพ ใช้เป็นเครื่องมือที่สำคัญในการบริหารงานให้เป็นไปตามหลักธรรมภิบาล และการตัดสินใจเชิงกลยุทธ์ของผู้บริหาร สามารถบรรลุวัตถุประสงค์ขององค์กรได้อย่างแท้จริง

กระทรวงการคลัง จัดทำประกาศ หลักเกณฑ์ของกระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ พ.ศ. 2562 และเมื่อเดือนกุมภาพันธ์ 2564 กรมบัญชีกลาง ได้จัดทำเอกสาร ชื่อ “แนวทางการบริการจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ เรื่อง หลักการบริหารจัดการความเสี่ยงระดับองค์กร” เพื่อให้หน่วยงานของรัฐ นำหลักการดังกล่าวไปปรับใช้ในการพัฒนาระบบบริหารจัดการความเสี่ยงให้เหมาะสมกับหน่วยงาน โดยมีสาระสำคัญ ดังนี้

หลัการบริหารจัดการความเสี่ยงระดับองค์กร ของประเทศไทย ผสานกรอบแนวคิดด้านการบริหารจัดการความเสี่ยงขององค์กรชั้นนำระดับโลก เช่น COSO (Committee of Sponsoring Organizations of the Treadway Commission) ได้แก่ COSO-ERM 2004, COSO-ERM 2017 และ ISO (International Organization for Standardization) ได้แก่ ISO 31000:2018 รวมทั้งกรอบแนวคิดในการบริหารจัดการความเสี่ยงของประเทศต่าง ๆ มากำหนดเป็นแนวทาง

หลักการบริหารจัดการความเสี่ยง แบ่งออกเป็น 2 ส่วน คือ กรอบการบริหารจัดการความเสี่ยง และ กระบวนการบริหารจัดการความเสี่ยง

กรอบการบริหารจัดการความเสี่ยง ประกอบด้วยหลักการ 8 ประการ ดังนี้

  1. การบริหารจัดการความเสี่ยงต้องดำเนินการแบบบูรณาการทั่วทั้งองค์กร เนื่องจากความเสี่ยงของกิจกรรมหนึ่งอาจมีผลกระทบต่อความเสี่ยงของกิจกรรมอื่น ๆ การบริหารความเสี่ยงควรผนวกเข้าเป็นส่วนหนึ่งของกระบวนการจัดทำแผนกลยุทธ์ขององค์กร การดำเนินงานและการประมินผลขององค์กร และต้องช่วยสนับสนุนกระบวนการตัดสินใจในทุกระดับ
  2. ความมุ่งมั่นของผู้กำกับดูแล หัวหน้าหน่วยงานของรัฐ และผู้บริหารระดับสูง ผู้กำกับดูแลอาจอยู่ในรูปแบบคณะกรรมการบริหารจัดการความเสี่ยง ทำหน้าที่กำกับฝ่ายบริหารให้มีการบริหารจัดการตามหลักธรรมภิบาล และทำหน้าที่กำกับดูแลการบริหารจัดการความเสี่ยง เพื่อให้เกิดความมั่นใจว่า ฝ่ายบริหารได้บริหารจัดการความเสี่ยงอย่างเหมาะสม เพียงพอ และมีประสิทธิผล
  3. การสร้างและรักษาบุคลากร และวัฒนธรรมที่ดีขององค์กร การสร้างบุคลากรให้มีความรู้และทักษะในการบริหารจัดการความเสี่ยง บุคลากรควรมีพฤติกรรมตระหนักถึงความเสี่ยง และมีพฤติกรรมการตัดสินใจโดยใช้ข้อมูลสารสนเทศในการบริหารจัดการความเสี่ยง และการสร้างวัฒนธรรม Risk Culture ขององค์กรเป็นสิ่งสำคัญ
  4. การมอบหมายหน้าที่ความรับผิดชอบด้านการบริหารจัดการความเสี่ยง ประกอบด้วย เจ้าของความเสี่ยง (Risk Owner) ผู้รับผิดชอบในการตัดสินใจในกรณีที่ความเสี่ยงเกิดขึ้นในระดับที่กำหนดไว้ และผู้มีหน้าที่ควบคุมกำกับติดตามแผนการบริหารจัดการความเสี่ยง
  5. การตระหนักถึงผู้มีส่วนได้ส่วนเสีย ความคาดหวังของผู้รับบริการ และประชาชนที่มีต่อองค์กร รวมทั้งผลกระทบที่มีต่อสังคม เศรษฐกิจ และสิ่งแวดล้อม
  6. การกำหนดยุทธศาสตร์/กลยุทธ์ วัตถุประสงค์ และการตัดสินใจ การบริหารจัดการความเสี่ยงเป็นเครื่องมือช่วยผู้บริหารในการกำหนดยุทธศาสตร์/กลยุทธ์ และแผนปฏิบัติการขององค์กร ที่สอดคล้องกับความเสี่ยงที่ยอมรับได้ (Risk Appetite) รวมทั้งการมอบหมายความรับผิดชอบในการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร โดยกำหนดเป็นส่วนหนึ่งของตัวชี้วัดผลการปฏิบัติงาน (KPI)
  7. การใช้ข้อมูลสารสนเทศ เพื่อให้ผู้บริหารสามารถตัดสินใจโดยใช้ข้อมูลความเสี่ยงเป็นพื้นฐาน ข้อมูลความเสี่ยง ประกอบด้วย เหตุการณ์ที่เป็นผลกระทบทั้งทางบวกและทางลบต่อองค์กร สาเหตุของความเสี่ยง ตัวผลักดัน
  8. การพัฒนาอย่างต่อเนื่อง โดนมีการฝังการบริหารจัดการความเสี่ยงเข้าสู่กระบวนการดำเนินงานปกติ การตัดสินใจบนพื้นฐานข้อมูลด้านความเสี่ยง และอาจพิจารณาทำ Benchmarking เพื่อพัฒนาระบบบริหารจัดการความเสี่ยงขององค์กรอย่างต่อเนื่อง

กระบวนการบริหารจัดการความเสี่ย เป็นกระบวนการที่เป็นวงจรต่อเนื่อง ดังนี้

  1. การวิเคราะห์องค์กร ต้องวิเคราะห์ทั้งปัจจัยภายในและภายนอกองค์กร เครื่องมือที่ใช้ ได้แก่ SWOT Analysis, PESTEL Analysis
  2. การกำหนดนโยบายการบริหารจัดการความเสี่ยง ผู้บริหารต้องกำหนดความเสี่ยงที่ยอมรับได้ระดับองค์กร (Risk Appetite) เพื่อเป็นการแสดงเจตนารมณ์ของผู้บริหาร โดยคำนึงถึงศักยภาพในการจัดการความเสี่ยงขององค์กร (Risk Capacity) ขึ้นอยู่กับงบประมาณ บุคลากร และความคาดหวังของผู้มีส่วนได้ส่วนเสีย
  3. การระบุความเสี่ยง การระบุเหตุการณ์ความเสี่ยงที่อาจเกิดขึ้น สาเหตุของความเสี่ยง หรือตัวผลักดันความเสี่ยง โดยการวิเคราะห์สาเหตุที่แท้จริง (Root Cause) และผลกระทบต่อวัตถุประสงค์ของหน่วยงานทั้งในด้านบวกและด้านลบ อาจทำรายชื่อความเสี่ยงทั้งหมด (Risk Inventory) จัดกลุ่มและปรับปรุงข้อมูลให้เป็นปัจจุบันอยู่เสมอ
  4. การประเมินความเสี่ยง ประกอบด้วย 1) การกำหนดเกณฑ์การประเมินความเสี่ยง 2) การให้คะแนนความเสี่ยง โอกาสxผลกระทบ 3) การพิจารณาความเสี่ยงในภาพรวม 4) การจัดลำดับความเสี่ยง
  5. การตอบสนองความเสี่ยง กระบวนการตัดสินใจของฝ่ายบริหารในการจัดการความเสี่ยงที่เกิดขึ้น ได้แก่ 1) ปฏิเสธความเสี่ยงโดยไม่ดำเนินงานในกิจกรรมที่มีความเสี่ยง 2) ลดโอกาสของความเสี่ยง 3) ลดผลกระทบของความเสี่ยง 4) โอนความเสี่ยงให้หน่วยงานอื่นดำเนินการแทน 5) ยอมรับความเสี่ยงโดยไม่ดำเนินการจัดการความเสี่ยง 6) ใช้มาตรการเฝ้าระวัง 7) ทำแผนฉุกเฉิน 8) ส่งเสริมหรือผลักดันเหตุการณ์ที่อาจจะเกิดขึ้นรวมทั้งกำหนดแผนในการดำเนินงานเมื่อเหตุการณ์เกิดขึ้น
  6. การติดตามและการทบทวน เป็นกระบวนการที่เกิดขึ้นสม่ำเสมอ เมื่อเกิดความเปลี่ยนแปลงที่สำคัญซึ่งเกิดจากปัจจัยภายในและภายนอก หรือผลการดำเนินงานไม่เป็นไปตามเป้าหมายที่วางไว้
  7. การสื่อสารและการรายงาน แบบ two-way communication เพื่อสร้างความตระหนัก ความเข้าใจและความมีส่วนร่วม หน่วยงานควรพิจารณากำหนดตัวชี้วัดความเสี่ยงที่สำคัญ หรือ Key Risk Indicators เพื่อติดตามและรายงานเมื่อระดับความเสี่ยงถึงจุด KRIs

การดำเนินงานด้านบริหารจัดการความเสี่ยงของมหาวิทยาลัยมหิดล

ศึกษารายละเอียดเพิ่มเติมได้ที่ : คู่มือการบริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล, 2564.

ทุกปีงบประมาณ คณะ/สถาบันต่าง ๆ จะต้องประเมินผลการควบคุมภายใน ด้วยวิธีการตามที่หน่วยงานกำหนดและเป็นไปตามหลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561 (ที่สอดคล้องตามมาตรฐานสากล COSO 2013 Internal Control) และ หลักเกณฑ์ของกระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ พ.ศ. 2562 (ที่สอดคล้องตามมาตรฐานสากล COSO-ERM 2004, 2017) และรายงานไปยังมหาวิทยาลัยต้นสังกัด

5 องค์ประกอบ ที่ใช้ในการประเมินความเพียงพอเหมาะสมของระบบควบคุมภายใน และระบบบริหารจัดการความเสี่ยงที่มีประสิทธิผล ได้แก่

องค์ประกอบที่ 1 สภาพแวดล้อมการควบคุม (Control Environment) ประกอบด้วย ความซื่อสัตย์และจริยธรรม ความรับผิดชอบต่อการกำกับดูแลองค์กร การกำหนดอำนาจและหน้าที่ การพัฒนาบุคลากร การให้ความสำคัญต่อการควบคุมภายใน

องค์ประกอบที่ 2 การประเมินความเสี่ยง (Risk Assessment) ประกอบด้วย วัตถุประสงค์ของการดำเนินงานชัดเจน การระบุและจัดการความเสี่ยง การประเมินความเสี่ยงที่อาจก่อให้เกิดการทุจริต การระบุและวิเคราะห์การเปลี่ยนแปลงที่มีความสำคัญ

องค์ประกอบที่ 3 กิจกรรมการควบคุม (Control Activities) ประกอบด้วย การควบคุมสามารถลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ มีการควบคุมทั่วไปด้านไอที การกำหนดนโยบายและกระบวนการปฏิบัติ

องค์ประกอบที่ 4 สารสนเทศและการสื่อสาร (Infomation and Communication) ประกอบด้วย สารสนเทศ การสื่อสารข้อมูลภายในองค์กร การติดต่อสื่อสารภายนอกองค์กร

องค์ประกอบที่ 5 กิจกรรมการติดตามผล (Monitoring Activities) ประกอบด้วย การติดตามและประเมินผลการควบคุมภายในแบบประเมินตนเองหรืออย่างเป็นอิสระ การสื่อสารผลการติดตามไปยังผู้เกี่ยวข้อง

ขั้นตอนและกระบวนการความเสี่ยงของมหาวิทยาลัยมหิดล

ประยุกต์จากหลักการตามแนวปฏิบัติมาตรฐานสากล COSO-ERM 2004 (8 องค์ประกอบ) และ COSO-ERM 2017 (5 องค์ประกอบ 20 หลักการ) กลายเป็นแผนภูมิที่ประกอบด้วย 5 ขั้นตอนหลัก ดังนี้

เหตุการณ์ความเสี่ยงของพันธกิจหลักและพันธกิจสนับสนุน กำหนดไว้ดังนี้

  1. ด้านการวิจัย ความผันผวน (flucuation) ของการจัดสรรทุนวิจัยของแหล่งเงินทุนภายในประเทศและต่างประเทศ
  2. ด้านการศึกษา การจัดการเรียนการสอนที่ไม่ตอบสนองต่อการเป็นผู้ประกอบการ (Entrepreneurship)
  3. ด้านการบริการวิชาการ การบริการวิชาการที่ต้องปรับตัวภายใต้ความท้าทายใหม่ (New Normal)
  4. ด้านการเงินการคลัง การขาดความมั่นคงทางการเงินในระยะยาว (Financial Productivity/Sustainability)
  5. ด้านทรัพยากรบุคคล การขาดแคลนบุคลากรที่มีความเชี่ยวชาญความสามารถในอนาคต (Global Talent)
  6. ด้านเทคโนโลยีสารสนเทศ ขีดความสามารถในการฟื้นตัวจากการถูกโจมตีจากไซเบอร์ (Cyber Resilence) และภัยคุกคามด้านไซเบอร์ (Cyber Attack) การเตรียมความพร้อมในการดำเนินงานตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
  7. ด้านภาพลักษณ์องค์กร ระดับการรับรู้และการตอบสนองต่อการสื่อสารภายในองค์กรจากประชาคมลดลง การไม่สามารถรับมือต่อภาวะวิกฤต/ภัยคุกคาม รวมถึงการทำร้ายตนเองของนักศึกษา และการกลั่นแกล้งทางไซเบอร์ (Cyberbulling) ของนักศึกษาที่เพิ่มขึ้น ส่งผลกระทบต่อภาพลักษณ์/ชื่อเสียงของมหาวิทยาลัย
  8. ด้านธรรมาภิบาล ความไม่เพียงพอและไม่พร้อมของระบบติดตามกฎ ระเบียบ ข้อบังคับ และประกาศใหม่
  9. ด้านกายภาพและสิ่งแวดล้อม การดำเนินงานขององค์กร ที่ส่งผลกระทบต่อการเปลี่ยนแปลงสภาพภูมิอากาศและการพัฒนาอย่างยั่งยืน (SDGs)

นอกจากนั้น ยังต้องปฏิบัติตามแนวทางการประเมินคุณธรรมและความโปร่งใสในการดำเนินงานของหน่วยงานภาครัฐ (ITA) ตัวชี้วัดที่ 10 เรื่อง การป้องกันการทุจริต ตัวชี้วัดย่อยที่ 10.1 การดำเนินการเพื่อป้องกันการทุจริต เพื่อป้องกันความเสี่ยงของการดำเนินงาน ที่อาจก่อให้เกิดการทุจริต หรือผลประโยชน์ทับซ้อน (Conflict of Interest) อีกด้วย

การรายงานผลการบริหารความเสี่ยง