NEW MANAGEMENT FORUM

Central Knowledge Society

9 ขั้นตอนการเริ่มต้นความเสี่ยง (Enterprise Risk Management : ERM)

สวัสดี ครับ

วันนี้อยากจะเล่าเรื่องการบริหารความเสี่่ยง ที่ห่างหายการเขียนไปนานมากแล้ว เพราะดูจากปริมาณผู้ที่เข้ามาเยี่ยมชมเว็บไซต์ ต่างให้ความสนใจค้นคว้าเกี่ยวกับความเสี่ยงเป็นปริมาณที่มากพอสมควร ก็เลยอยากจะเล่าเรื่องความเสี่ยงให้ทุกๆ ท่านพิจารณากันครับ

ความเสี่ยงที่เป็นแบบ ERM มักเป็นคำถามที่พบได้บ่อยมากสำหรับคำนี้ แต่คำถามตามมาทันที ก็คือเราจะเริ่มต้นอย่างไร? แบบไหน?  อย่างไร?  มีตัวอย่างไหม?  ใครทำแบบนี้บ้าง?  และอีกมากมาย

ขั้นตอนการเริ่มต้นความเสี่ยงองค์กรในแบบ ERM 

ขั้นที่ 1 : ดำเนินการประเมินความเสี่ยงขององค์กรด้วยตนเอง ( Enterprise Risk Assessment : ERA)  เพื่อประเมินและจัดลำดับความเสี่ยงที่สำคัญ

ทีมงานบริหารความเสี่ยงขององค์กร มีความจำเป็นที่จะต้องเข้าใจบริบท และกลยุทธ์ขององค์กรอย่างท่องแท้และชัดเจน  สำหรับการระบุและจัดลำดับความสำคัญของความเสี่ยงขององค์กร  และกำหนดปัจจัยความเสี่ยง นอกจากนี้ผู้บริหาร และสำนักผู้ตรวจสอบภายใน ควรจะมีส่วนร่วมในการเข้าประชุมเพื่อกลั่นกรองประเด็นความเสี่ยงและปัจจัยเสี่ยง ขององค์กร และของสำนัก/ฝ่าย/กอง ต่างๆ ในองค์กรให้ชัดเจน

นอกจากนี้ ทีมงานบริหารความเสี่ยงจำเป็นที่จะต้องทำการเชื่อมโยงปัจจัยเสี่ยงกับแผนยุทธศาสตร์ และกลยุทธ์ขององค์กร และความเสี่ยงเหล่านี้จะต้องได้รับการยอมรับจากผู้บริหาร และ คณะอนุกรรมการบริหารความเสี่ยง ขององค์กรด้วยครับ

ขั้นที่ 2 : การวิเคราะห์ความเสี่ยงแบบ ERM นี้การคัดกรองประเด็นความเสี่ยงและปัจจัยเสี่ยงจะต้องทำเพื่อปิดช่องว่างยุทธศาสตร์ขององค์กร 

แนวทางในการวิเคราะห์ความเสี่ยงขององค์กรในรูปแบบของ ERM COSO ที่ถูกต้องและเป็นการปิดช่องว่างด้านยุทธศาสตร์ขององค์กร ต้องดำเนินการ ดังนี้ 

  1. ทำการวิเคราะห์ SWOT Analysis ขององค์กร และทีมงานบริหารความเสี่ยงจะเลือกเฉพาะ ประเด็นจุดอ่อน และอุปสรรคขององค์กร มาพิจารณาหาความเสี่ยงขององค์กร ด้วยการแบ่งแยกออกเป็น จุดอ่อนหลัก และจุดอ่อนรอง, อุปสรรค และ อุปสรรครอง 
  2. ทำการวิเคราะห์ แผนยุทธศาสตร์ที่มีความสำคัญ ต่อองค์กร  กลยุทธ์ที่นำมาใช้แล้วเกิดอุปสรรคต่อการดำเนินงาน  โครงการที่มีปัญหาและอุปสรรคในระหว่างดำเนินงานของโครงการ (โครงการเหล่านี้จะต้องมีผลต่อความสำเร็จของกลยุทธ์องค์กรและยุทธศาสตร์องค์กร)
  3. ทำการวิเคราะห์ Strategy Map ขององค์กร
  4. ทำการวิเคราะห์เป้าหมายและวัตถุประสงค์ที่จะต้องดำเนินการให้สำเร็จในปีงบประมาณปัจจุบัน
  5. ทำการวิเคราะห์ การจัดทำบันทึกข้อตกลงการประเมินผลงานรัฐวิสาหกิจ (Performance Agreement) สำหรับรัฐวิสาหกิจ ในประเด็นใดบ้างที่องค์กรมีปัญหา หรือ อุปสรรค ที่ไม่สามารถดำเนินการได้
  6. ทำตารางเปรียบเทียบปัญหาและทำการคัดกรองประเด็นความเสี่ยงต่างๆ ให้ตรงกับตัวอย่างหนังสือการวิเคราะห์ความเสี่ยง ที่ สคร. แจกให้กับทุกรัฐวิสาหกิจ จะดีที่สุดเพื่อป้องกันปัญหาความเข้าใจที่ไม่ตรงกันในด้านการตีความหมายครับ 

ในขั้นตอนนี้ คุณจะต้องสามารถเลือก ประเด็นความเสี่ยง (Risk Title) และปัจจัยเสี่ยง (Risk Factor / Risk Event) ให้สอดคล้องกับ
ข้อ1-4 ด้านบน และจะต้องเป็นการเลือกปัจจัยเสี่ยงที่สามารถอธิบายความสอดคล้องได้ด้วยรหัสที่อยุ่ด้านหน้า ปัจจัยเสี่ยง เช่น

         C1-RF.S1 ชื่อปัจจัยเสี่ยง

S1-RF.S2 ชื่อปัจจัยเสี่ยง

อธิบาย C1 = ความเสี่ยงด้านลูกค้า (Customers, Products) ชื่อย่อที่มาจากชื่อเป้าประสงค์,  PA,  SWOT, BSC

               RF = Risk Factor  หมายถึง ปัจจัยเสี่ยง

               S1 = ชื่อกลยุทธ์  หมายถึง เป็นความเสี่ยงด้านใดใน 4 ด้าน  ( S, O, F, C )

ในขั้นตอนที่ 2 นี้เป็นขั้นตอนที่ยากพอสมควร เพราะคุณจำเป็นที่จะต้องศึกษาข้อมูลในข้อ 1-5 อย่างละเอียดและมาทำการคัดกรองให้เป็น ข้อ 6 เพื่อเสนอ คณะกรรมการบริหารความเสี่ยง (RMC) และคณะกรรมการบริหารขององค์กร พิจารณาความเสี่ยงขององค์กร

ขั้นที่ 3 : การกำหนด Risk Appetite and Risk Tolerance ขององค์กร 

ขั้นตอนนี้ เป็นขั้นตอนที่ยากพอสมควรอีกเช่นกัน เพราะทีมงานบริหารความเสี่ยง และอนุคณะทำงานด้านการบริหารความเสี่ยง จะต้องทำการนำประเด็นความเสี่ยงและปัจจัยเสี่ยงมาทำการวิเคราะห์ เกณฑ์ความเสี่ยงที่องค์กรสามารถยอมรับได้ ให้มีความสอดคล้องกับปัจจัยเสียงขององค์กร

การวิเคราะห์ Risk Appetite และ Risk Tolerance จำเป็นจะต้องนำค่า บันทึกข้อตกลงการประเมินผลงานรัฐวิสาหกิจ (Performance Agreement) และค่าเป้าประสงค์ตามตัวชี้วัดขององค์กร มากำกับเพื่อให้ได้ค่า Risk Appetite และ Risk Tolerance ขององค์กรจริงๆ  นอกจากนี้ ทีมงานบริหารความเสี่ยงจำเป็นจะต้องทำการวิเคราะห์และเปรียบเทียบ  ค่า Risk Appetite และ Risk Tolerance แยกรายปัจจัยเสี่ยงแต่ละตัวด้วย เพื่อใช้ในการเปรียบเทียบรายปัจจัยเสี่ยง 

ขั้นที่ 4 : การกำหนดค่าโอกาสเกิด Likelihood และ ค่าผลกระทบ Impact แยกรายปัจจัยเสี่ยง 

ขั้นตอนนี้ เป็นการกำหนดค่าเกณฑ์โอกาสเกิด และ เกณฑ์ผลกระทบ ของปัจจัยเสี่ยงระดับองค์กร  ซึ่งมีความจำเป็นที่จะต้องมีการกำหนดค่าเกณฑ์ โอกาสเกิด และ เกณฑ์ผลกระทบ แยกรายปัจจัยเสี่ยง ในกรณีต่างๆ

ในขั้นตอนนี้ ทีมงานบริหารความเสี่ยง จำเป็นจะต้องมีการวิเคราะห์เหตุการณ์ต่างๆ ขึ้นมาก่อนว่าจะมีเหตุการณ์ความเสี่ยงในกรณีใดได้บ้าง เช่น

 ความเสี่ยงด้านการเงิน   สถานการณ์ เช่น ความเสี่ยงด้านการทุจริตของพนักงาน      ความเสี่ยงด้านการขาดสภาพคล่องทาง
การเงิน    ความเสี่ยงด้านการลงทุนที่ผิดพลาดหรือไม่คุ้มค่า   ความเสี่ยงด้านการเบิกจ่ายงบประมาณ

ความเสี่ยงด้านชื่อเสียง  สถานการณ์ เช่น ความเสี่ยงด้านชื่อเสียงที่ไม่ดีขององค์กร หรือ ผลิตภัณฑ์ที่ผิดพลาดแล้วสังคมประนาม

ความเสี่ยงที่เกิดจากการพูดดูหมิ่นบุคคลอื่นๆ และมีการฟ้องร้อง

 ความเสี่ยงด้านทรัพย์สิน สถานการณ์ เช่น ความเสี่ยงด้านทรัพย์สินสูญหาย  หรือ ทรัพย์สินเสื่อมสภาพเร็วกว่ากำหนด

                                                                    เช่น ถนนพังเร็วกว่าระยะเวลาที่กำหนด หรือ อุปกรณ์ที่อยู่ในรถยนต์เสียหาย ที่ขายให้ลูกค้า เป็นต้น  

 ความเสี่ยงด้านกฎระเบียบ และกฎหมาย สถานการณ์ เช่น ความเสี่ยงด้านกฎหมายที่่ประกาศออกมาใหม่ และทำให้บริษัท หรือ

                                                                                                 องค์กรจะต้องมีการปรับมาตรการบางอย่างเพิ่มเติม หรือ ดำเนินงานด้านธุรกรรมบาง

                                                                                                  อย่างไม่ได้ เป็นต้น 

ดังนั้น ทีมงานบริหารความเสี่ยงจำเป็นที่จะต้องมีการคิดสร้างสรรค์ สถานการณ์ด้านความเสี่ยงขั้นมาก่อน และค่อยดำเนินการวิเคราะห์หาโอกาสเกิด และ ผลกระทบที่เกิดจากปัจจัยเสี่ยง เหล่านั้นในทุกมิติ ที่คาดว่าจะเกิดขึ้น และกำหนดระดับโอกาสเกิด และ ระดับความรุนแรง ออกเป็น 5 ระดับ ตามเกณฑ์ของ COSO

ขั้นที่ 6 : การวิเคราะห์สาเหตุความเสี่ยง (Risk Root Cause) 

ขั้นตอนนี้ เป็นการวิเคราะห์สาเหตุที่เกี่ยวข้องกับปัจจัยเสี่ยงแยกรายปัจจัยเสี่ยง  ซึ่งผู้วิเคราะห์สาเหตุความเสี่ยงจะเป็น หน่วยงานที่รับผิดชอบปัจจัยเสี่ยงขององค์กรในแต่ละตัว ที่จะต้องระดมสมองช่วยกันคิดปัจจัยเสี่ยงเหล่านี้มีสาเหตุมาจากอะไร และอนุคณะกรรมการบริหารบริหารความเสี่ยงจะมีส่วนช่วยในการคัดกรองคำและความหมายของสาเหตุความเสี่ยงให้มีมาตรฐาน สามารถนำไปใช้ได้ในรูปแบบมาตรฐาน เพราะ เราจะไม่เห็นด้วยอย่างมาก ถ้าองค์กรใดคิดคำที่เป็นสาเหตุความเสี่ยงแล้ว ไม่สามารถอธิบายความเชื่อมโยงกับขั้นที่ 2 ได้

การคัดกรองคำสำหรับ สาเหตุความเสี่ยง จะต้องมีความหมายที่เชื่อมโยง หรือ สะท้อนความเสี่ยงที่เกิดหรือมีผลกระทบต่อขั้นตอนที่ 2 ได้เพราะอย่าลืมว่า สาเหตุความเสี่ยงจะเป็นตัวตั้งต้นในการนำไปวางแผนด้านการบริหารจัดการความเสี่ยง และสรุปหาความสัมพันธ์ของสาเหตุความเสี่ยงเพื่อนำไปจัดทำ Risk Map ขององค์กร  ถ้าคุณคิดแต่ว่าใช้คำง่ายๆ ไม่มีความเชื่อมโยงและสอดคล้องกับ ขั้นที่ 2  เรารับรองได้เลยว่าคุณจะมีปัญหาในการจัดทำ Risk Map และ การจัดทำแผนบริหารความเสี่ยงอย่างแน่นอนที่สุด  

ขั้นที่ 7 : การประเมินความเสี่ยง (Risk Evaluation) 

ขั้นตอนนี้ เป็นการประเมินความค่าความเสี่ยงแยกรายปัจจัยเสี่ยงด้วยการเทียบกับเกณฑ์ โอกาสเกิด และเกณฑ์ผลกระทบ ในระดับเกณฑ์ คะแนน 1-5  ซึ่งในขั้นตอนนี้มีความจำเป็นที่จะต้องพิจารณาค่า การวิเคราะห์ Risk Appetite และ Risk Tolerance และค่าเกณฑ์โอกาสเกิด และ เกณฑ์ผลกระทบ ของปัจจัยเสี่ยงระดับองค์กร

  1. เมื่อทำการประเมินความเสี่ยงแยกรายปัจจัยเสี่ยงเรียบร้อยแล้ว ก็เข้าสู่กระบวนการค่า (L) x (I) = คะแนนความเสี่ยง มาทำการวิเคราะห์ใน Risk Matrix ขององค์กร  (ซึ่งเราจะเล่าเกี่ยวกับวิธีการคำนวณ Risk Matrix) อีกครั้งแยกเป็นเรื่องต่างหาก ครับ 
  2. ทำการวิเคราะห์ Root Cause Analysis ซึ่งหลายคนจะสงสัยวิธีการวิเคราะห์ Root Cause Analysis  หมายถึง การวิเคราะห์ความซ้ำของสาเหตุของปัญหา และค้นหาความเชื่อมโยงของสาเหตุของปัญหากับปัจจัยความเสี่ยง ต่างๆแบบทั่วทั้งองค์กร
  3. ทำการวิเคราะห์ต้นเหตุของ ปัจจัยเสี่ยง และ ต้นเหตุของสาเหตุของปัญหา ที่ทำให้เกิดความเสี่ยงข้างเคียงต่างๆ ขึ้นมาในองค์กร ในขั้นตอนนี้มีความจำเป็นที่จะต้องใช้ผู้เชี่ยวชาญด้านการบริหารความเสี่ยงมาช่วยสนับสนุน ครับ
  4. ทำการวิเคราะห์และออกแบบ Risk Map ซึ่ง Risk Map ที่ดีจะต้องสามารถแสดงความเชื่อมโยงของปัจจัยความเสี่ยงกับสาเหตุความเสี่ยงได้   สามารถระบุ โอกาสเกิด และผลกระทบ ปัจจัยเสี่ยงได้  และสาเหตุความเสี่ยงได้  นอกจากนี้ควรจะสามารถระบุน้ำหนักของสาเหตุความเสี่ยงว่ามีความสำคัญ สูง  กลาง   ต่ำ ได้ ด้วยการแยกรายสาเหตุความเสี่ยง

ขั้นที่ 8 : การจัดการความเสี่ยง (Risk Management)

ขั้นตอนนี้ เป็นการวิเคราะห์หาแนวทางในการบริหารจัดการความเสี่ยงที่มีคะแนนความเสี่ยงสูง ๆ ด้วยการทำแผนบริหารจัดการความเสี่ยงหรือมาตรการลดความเสี่ยง ซึ่งมีอยู่ 4 วิธีการ 1) ยอมรับความเสี่ยง   2) ลดความเสี่ยง / ควบคุมความเสี่ยง  3) หลีกเลี่ยงความเสี่ยง  4) ถ่ายโอนความเสี่ยง

ถ้าคุณเลือกวิธีการ ลดความเสี่ยง  หมายถึง คุณจะต้องมีการกำหนดแผนบริหารจัดการความเสี่ยง ที่มีการวางแผนแบบเป็นรูปธรรม สามารถวัดผลการดำเนินงานได้  สามารถวัดประสิทธิภาพการทำงาน และผลลัพธ์ที่คาดว่าจะเกิดขึ้นได้  กำหนดงบประมาณ และระยะเวลาที่แน่นอน ระบุผู้รับผิดชอบในการทำแผนบริหารความเสี่ยง ที่ชัดเจน  ซึ่งเรืองนี้มีความยุ่งยากและซับซ้อนพอสมควร  ในความเห็นของเรา คุณจำเป็นจะต้องมีการนำเงื่อนไข การจัดทำบันทึกข้อตกลงการประเมินผลงานรัฐวิสาหกิจ (Performance Agreement) มาทำการวิเคราะห์และปฎิบัติให้ได้ตาม PA เป็นหลัก 

ขั้นที่ 9 : การติดตามและประเมินผลด้านความเสี่ยง (Risk Monitoring) 

ขั้นตอนนี้ เป็นการติดตามประเมินผลด้านการบริหารความเสี่ยง มีความจำเป็นอย่างมากที่จะต้องมีการบริหารจัดการแยกเป็นรายไตรมาส เพื่อให้เกิดความสะดวกและง่ายต่อการประเมินผลด้านการบริหารความเสี่ยง  ซึ่งเป็นหน้าที่ของอนุคณะกรรมการบริหารความเสี่ยงที่จะต้องมีการวางแผนในการติดตามและประเมินผลด้านการบริหารความเสี่ยงเป็นรายไตรมาส และมีการออกแบบฟอร์มที่สามารถใช้วัดผล และติดตามความเสี่ยงรายไตรมาสได้อย่างถูกต้องเม่นยำ และเชื่อถือได้

สุดท้ายนี้ เราก็ขอจบการบรรยายเกี่ยวกับขั้นตอนการบริหารความเสี่ยงในรูปแบบ ERM COSO ในระดับเบื้องต้นไว้เพียงเท่านี้ก่อน และหวังเป็นอย่างสูงว่าบทความนี้คงจะมีประโยชน์สำหรับบางหน่วยงาน และบางท่านที่มีความสนใจเกี่ยวกับวิธีการบริหารความเสี่ยงองค์กร

ขอให้ทุกๆ ท่านมีความสุขสดชื่น ทั้งกาย และใจ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

มีนาคม 2, 2013 - Posted by | Risk Management |

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: