ความเสี่ยง คือโอกาส ถ้าไม่เสี่ยง อาจสูญเสีย

เมื่อวันที่ 27-28 สิงหาคม 2563 ได้ไปอบรมหลักสูตร การกำกับและบริหารความเสี่ยงของมหาวิทยาลัย ตามกรอบแนวทาง COSO Enterprise Risk Management Integrating with Strategy and Performance รุ่นที่ 2 จัดโดยสถาบันคลังสมองของชาติ ที่โรงแรมปทุมวันปริ๊นเซส วิทยากร คือ ผศ. ประเสริฐ อัครประถมพงศ์ และทีมงาน คือ คุณทศพร จันทมงคลเลิศ และ ดร. อวิรุทธ์ ฉัตรมาลาทอง (ผู้อำนวยการศูนย์บริหารความเสี่ยง จุฬาลงกรณ์มหาวิทยาลัย) ได้รับความรู้ความเข้าใจเกี่ยวกับการบริหารจัดการความเสี่ยงมากพอสมควร จากการฟังบรรยายและทำกิจกรรมกลุ่ม และได้มีการค้นคว้าข้อมูลเพิ่มเติมจากหนังสือและแหล่งอื่น ๆ บนอินเทอร์เน็ต จะขอสรุปประเด็นสำคัญมาเล่าสู่กันฟังดังนี้ค่ะ

กิจกรรมกลุ่ม 4 : ความเสี่ยงด้านการบริการสังคม
กรณีศึกษา โครงการเกษตรอินทรีย์พื้นที่ 3 อำเภอ จ.เชียงใหม่
นำเสนอโดย รศ.ดร.จำเนียร บุญมาก
คณบดีคณะบริหารธุรกิจ มหาวิทยาลัยแม่โจ้

ความเข้าใจผิด 10 ประการ เกี่ยวกับ การบริหารจัดการความเสี่ยง

สิ่งที่เข้าใจผิดสิ่งที่เข้าใจถูกต้อง
ความเสี่ยง (Risk) คือ
ความสูญเสีย (Loss) ที่จะเกิดขึ้นกับองค์กร
ความเสี่ยง (Risk) คือ โอกาส (Opportunities)  
High Risk High Return
ถ้าไม่ยอมเสี่ยง อาจสูญเสีย
ความเสี่ยง เป็นการป้องกันความสูญเสีย
ที่จะเกิดขึ้นในอนาคต เป็นภาระ
ไม่ได้ทำให้ผลการดำเนินงานขององค์กรดีขึ้น
ความเสี่ยงที่สำคัญระดับองค์กร
(Enterprise Risk Management: ERM)
จะต้องสนับสนุนให้วัตถุประสงค์ ภารกิจหลัก ตัวชี้วัด
และเป้าหมายขององค์กรบรรลุผลสำเร็จ และก้าวสู่เป้าหมายอย่างมั่นใจ
ปัญหาปัจจุบัน (Current Problem)
คือความเสี่ยง
ปัญหาไม่ใช่ความเสี่ยง
แต่ผลของปัญหา จะทำให้เกิดความเสี่ยงในอนาคต ถ้าไม่แก้ไข
รายการความเสี่ยงที่สำคัญระดับองค์กร
(Key Risk) ความเสี่ยงด้านกลยุทธ์
ยิ่งมีจำนวนมากยิ่งดี
ควรบริหารจัดการ ทำแผนจัดการความเสี่ยง
ทุกกลยุทธ์
ระบุความเสี่ยงเฉพาะประเด็นที่สำคัญและมีผลกระทบต่อองค์กร
(เช่น มิติชื่อเสียง ภาพลักษณ์ สถานะทางการเงิน
ความปลอดภัยชีวิตและทรัพย์สิน
และความชะงักงันการดำเนินงานภารกิจหลัก)
เพื่อ Focus ในการจัดการอย่างมีประสิทธิภาพและประสิทธิผล
ความเสี่ยงที่สำคัญ –> มีน้อย
ความเสี่ยงที่เล็กน้อย –> มีมาก
หากกำหนดประเด็นความเสี่ยงมากเกินไป มักละเลย
การบริหารจัดการความเสี่ยงระดับองค์กร
เป็นหน้าที่และความรับผิดชอบของ
หน่วยงานบริหารจัดการความเสี่ยง
การบริหารจัดการความเสี่ยงระดับองค์กร
เป็นหน้าที่และความรับผิดชอบของผู้บริหารระดับสูง
ในการระบุ ประเมิน ตัดสินใจ ติดตาม และบริหารจัดการความเสี่ยง
ให้อยู่ในระดับที่ยอมรับได้
“การควบคุมภายใน (Internal Audit)”
เป็นงานเดียวกัน กับ “การบริหารจัดการความเสี่ยง (Risk Management)”
“การควบคุมภายใน (Internal Audit)” และ
“การบริหารจัดการความเสี่ยง (Risk Management)”
ไม่ใช่งานเดียวกัน เป็นงานที่จะต้องเชื่อมต่อข้อมูลที่สำคัญระหว่างกัน เพื่อประโยชน์ในการบริหารจัดการองค์กร
อย่างมีประสิทธิภาพและประสิทธิผล
ต้องลดความเสี่ยงลงให้อยู่ในระดับต่ำสุด (ระดับความเสี่ยง ยิ่งต่ำ ยิ่งดี)ในการจัดการลดความเสี่ยงย่อมมีค่าใช้จ่าย
ยิ่งลดระดับความเสี่ยงมาก ยิ่งมีค่าใช้จ่ายมาก
ดังนั้น ผู้บริหารจึงต้องพิจารณาตัดสินใจให้เกิดความสมดุล
ระหว่างระดับความเสี่ยงที่ลดลง กับค่าใช้จ่ายในการลดความเสี่ยง
และจำเป็นต้องใช้ข้อมูล ข้อเท็จจริง (Fact & Data)
ในการประเมินและตัดสินใจจัดการความเสี่ยง
ดัชนีชี้วัดความเสี่ยง (KRIs) เป็นตัวเดียวกันกับ ดัชนีชี้วัดผลดำเนินงาน (KPIs)KRIs ส่วนใหญ่เป็นดัชนีชี้วัดก่อนเกิดเหตุการณ์ความเสี่ยง (Leading Indicator) เป็นเสมือน “สัญญาณเตือนภัย”
เพื่อให้เกิดการจัดการก่อนที่ความเสี่ยงจะเกิดขึ้น
ส่วนตัวชี้วัดผลดำเนินงาน (KPIs) มักเป็นตัวชี้วัดผลลัพธ์
ซึ่งเกิดขึ้นแล้ว (Lagging Indicator)
ต้องมีแผนงาน/กิจกรรม/โครงการ
ในการจัดการลดระดับความเสี่ยง
สำหรับทุกรายการความเสี่ยงที่ระบุขึ้น
การจัดการความเสี่ยง อาจเลือกใช้กลยุทธ์อย่างใดอย่างหนึ่ง หรือผสมผสานกัน
– ระดับความเสี่ยงจากการประเมินที่ต่ำ สามารถยอมรับได้ 
ใช้กลยุทธ์ TAKE ยอมรับความเสี่ยง (Accept)
และดำเนินการควบคุม / ตรวจติดตาม (Control / Audit)
– ระดับความเสี่ยงจากการประเมินที่สูง ไม่สามารถยอมรับได้
ใช้กลยุทธ์ TRANSFER – TREAT – TERMINATE
ร่วมจัดการ (Share)/ลด (Reduce)/หลีกเลี่ยง (Avoid)
โดยจะดำเนินการบริหารจัดการ (PDCA)
เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
ทุกกิจกรรม/โครงการที่จะดำเนินการ สามารถลดและบริหารจัดการความเสี่ยงได้เสมอกิจกรรม/โครงการ ที่เป็น Exiting Control จะต้องเชื่อมโยง
และสอดคล้องกับการประเมินระดับความเสี่ยง
โดยมีวัตถุประสงค์เพื่อลดโอกาสเกิด (Likelihood) ลดผลกระทบ (Impact) และจะต้องจัดการที่สาเหตุของปัจจัยเสี่ยง
ดังนั้น การวิเคราะห์สาเหตุของความเสี่ยงเป็นเรื่องที่สำคัญ

GRC คืออะไร ?

กลยุทธ์ในการบริหารเพื่อการเติบโตอย่างยั่งยืนขององค์กร โดยบูรณาการ G, R, C เข้าด้วยกัน

  • G – Governance การกำกับดูแลกิจการและบริหารองค์กร ที่โปร่งใสและเป็นธรรม  
  • R – Risk Management การบริหารและควบคุมความเสี่ยงทั่วทั้งองค์กร
  • C – Compliance การปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับทางการบัญชีและด้านอื่น ๆ  เพื่อปกป้องรักษาชื่อเสียง และความไว้วางใจของผู้มีส่วนได้ส่วนเสีย

COSO-ERM

COSO = The Committee of Sponsoring Organizations of the Treadway Commission ของประเทศสหรัฐอเมริกา COSO-ERM Integrated Framework-2004  มีสาเหตุมาจากวิกฤติด้านระบบบัญชีและธรรมาภิบาล ในสหรัฐอเมริกา การฉ้อฉลของฝ่ายบริหารและการตกแต่งบัญชีร่วมกับบริษัทผู้ตรวจสอบบัญชีอิสระ กรณีบริษัทเอ็นรอน (Enron) ยักษ์ใหญ่ด้านพลังงาน ในช่วงปี 2001-2002 ปัจจุบันกรอบแนวคิด COSO-ERM ได้พัฒนาเป็น version ล่าสุดคือ ปี 2017 หลังจากเวอร์ชั่นแรกในปี 2004 ใช้มาแล้วกว่า 13 ปี

COSO ERM 2017

“COSO Enterprise Risk Management-Integrating with Strategy and Performance” การเชื่อมโยงกลไกการบริหารความเสี่ยง เข้ากับกลยุทธ์และการดำเนินงานขององค์กร

COSO ERM 2017 Framework 5 องค์ประกอบ 20 หลักการ

1) Governance and Culture (การกำกับดูแลกิจการและวัฒนธรรมองค์กร)

  • จัดตั้งคณะกรรมการดูแลความเสี่ยง (Exercises Board Risk Oversight)
  • จัดตั้งโครงสร้างการดำเนินงาน (Establishes Operating Structures)
  • ระบุวัฒนธรรมองค์กรที่ต้องการ (Defines Desired Culture)
  • แสดงความมุ่งมั่นในค่านิยมหลัก (Demonstrates Commitment to Core Values)
  • จูงใจ พัฒนา และรักษาบุคลากรที่มีความสามารถ (Attracts, Develops, and Retains Capable Individuals)

2) Strategy & Objective Setting (กลยุทธ์และการกำหนดวัตถุประสงค์)

  • วิเคราะห์บริบทของธุรกิจ (Analyzes Business Context)
  • ระบุความเสี่ยงที่ยอมรับได้ (Defines Risk Appetite)
  • ประเมินและค้นหากลยุทธ์ทางเลือก (Evaluates Alternative Strategies)
  • กำหนดวัตถุประสงค์ทางธุรกิจภายใต้ความเสี่ยง (Formulates Business Objectives)

3) Performance (เป้าหมายผลการดำเนินงาน)

  • ระบุความเสี่ยง (Identifies Risk)
  • ประเมินความรุนแรงของความเสี่ยง (Assesses Severity of Risk)
  • จัดลำดับความสำคัญของความเสี่ยง (Prioritizes Risks)
  • ดำเนินการตอบสนองต่อความเสี่ยง (Implements Risk Responses)
  • พัฒนากรอบความเสี่ยงในภาพรวม (Develops Portfolio View)

4) Review & Revision (การทบทวนและปรับปรุงแก้ไข)

  • ประเมินการเปลี่ยนแปลงที่สำคัญ ที่เกิดขึ้นจากการบริหารความเสี่ยง (Assesses Substantial Change)
  • ทบทวนความเสี่ยงและผลการดำเนินงาน (Reviews Risk and Performance)
  • มุ่งมั่นปรับปรุงการบริหารความเสี่ยงองค์กร (Pursues Improvement in Enterprise Risk Management)

5) Information, Communication & Reporting (สารสนเทศ การสื่อสาร และการรายงาน)

  • ยกระดับระบบสารสนเทศ (Leverages Information Systems)
  • สื่อสารข้อมูลความเสี่ยง (Communicates Risk Information)
  • รายงานผลความเสี่ยง วัฒนธรรม และผลการดำเนินงาน (Reports on Risk Culture, and Performance)

วัฒนธรรมความเสี่ยงขององค์กร (Risk Culture)

วัฒนธรรมความเสี่ยง ประกอบด้วย 4 กลุ่ม 10 มิติ ได้แก่

  1. ความโปร่งใสของความเสี่ยง (1.1 การสื่อสาร 1.2 ความใจกว้างและอดทนต่อความเสี่ยง 1.3 ความเข้าใจอย่างลึกซึ้ง)
  2. การยอมรับความเสี่ยง (2.1 ความมั่นใจ 2.2 ความท้าทาย 23 ความเปิดเผย)
  3. การตอบสนองต่อความเสี่ยง (3.1 ระดับของความใส่ใจ 3.2 ความเร็วในการตอบสนอง)
  4. การเคารพความเสี่ยง (4.1 การทำงานร่วมกัน 4.2 การยึดมั่นและทำตามกฎระเบียบ)
กรอบแนวคิดในการสร้างวัฒนธรรมความเสี่ยงขององค์กร (Risk Culture Framework) ของ Mckinsey

เครื่องมือที่เกี่ยวข้องกับการบริหารจัดการความเสี่ยง

  • Root Cause Analysis (RCA)
  • แผนผังก้างปลา (Fishbone Diagram)
  • Failure Mode and Effect Analysis (FMEA)
  • Bow-tie Diagram (วิเคราะห์และจัดการความเสี่ยง)
  • Environmental Scanning ค้นหาความเสี่ยงใหม่ หรือ Emerging Risk ระดับองค์กร
    • SWOT Analysis
    • PESTEL (Political, Economic, Social, Technological, Environmental, Legal) Analysis
    • Porter’s 5 Forces Analysis