NEW MANAGEMENT FORUM

Central Knowledge Society

การจัดทำ Risk Heat Map ระดับองค์กร


สวัสดีครับ

วันนี้อยากจะคุยกันเกี่ยวกับการสร้าง Risk Heat Map เพราะน้องๆ หลายคนต่างสับสน กับคำว่า Risk Heat Map เราก็ไม่รู้จะใช้คำภาษาไทยว่าอะไรดี ก็เลยเสนอว่า

“แผนที่ความเชื่อมโยงความเสี่ยง” เพราะจะใช้คำนี้เวลาบรรยายเสมอๆ  เพื่อไม่ให้เสียเวลาท่านผู้อ่าน เรามาเริ่มกันเลยดีกว่า

ความเป็นมาของ Risk Heat Map

Risk Map เกิดขึ้นมาจากการนำ นำความเสี่ยงขององค์กรมาทำการแบ่งแยกตามหมวดหลักๆ ออกเป็น 4 หมวด ได้แก่ S – O – F – C  ถ้าใครเคยเรียนตารางธาตุมาจะรู้เลยว่า การเรียงธาตุต่างๆ ในตาราง กับการเรียง Risk Heat Map ใกล้เคียงกันมาก  เข้าเรื่องท่านพี่!!  เมื่อเราได้ทำการแบ่ง หัวตารางให้เป็น S – O – F – C  เรียบร้อยแล้วก็ให้ทำการนำ ประเด็นความเสี่ยง หรือ ชื่อความเสี่ยงหลัก ที่เป็นความเสี่ยงระดับองค์กรมาเรียงต่อจาก S-O-F-C  แต่คราวนี้จะต้องแบ่งประเภทของ ประเด็นความเสี่ยงให้ถูกต้องตรงกับ ประเภทความเสี่ยงทั้ง 4 ด้านที่กล่าวมาแล้ว  และค่อยนำ ปัจจัยเสี่ยงมาแยกตามหมวดรายการของประเด็นความเสี่ยง อีกทีหนึ่ง  และตามด้วยสาเหตุความเสี่ยงจะอยู่ใต้ปัจจัยเสี่ยงแต่ละปัจจัยเสี่ยง  ซึ่งสาเหตุความเสี่ยงจะมีการแบ่งแยกออกเป็น สาเหตุภายในองค์กร และ สาเหตุภายนอกองค์กร อีกนะครับ   เพื่อใช้ในการระบุความสัมพันธ์ของความเสี่ยง ซึ่งจะสามารถสร้างเส้นเชื่อมโยงความสัมพันธ์ของความเสี่ยงได้ ในมิติต่างๆ ดังนี้

1) การลากเส้นความสัมพันธ์ ระหว่าง ปัจจัยเสี่ยง A ไปยัง ปัจจัยเสี่ยง B ที่มีความสัมพันธ์กันในลักษณะ A เป็นต้นเหตุความเสี่ยง และ B เป็นผลกระทบจาก A

2) การลากเส้นความสัมพันธ์ ระหว่าง ปัจจัยเสี่ยง A ไปยังสาเหตุความเสี่ยง ของ ปัจจัยเสี่ยงใดๆ ก็ได้ ในลักษณะแสดงความสัมพันธ์ร่วมของสาเหตุการเกิดความเสี่ยงว่า ปัจจัยเสี่ยง A เกิดจากสาเหตุความเสี่ยงใดได้บ้าง

3) การลากเส้นความสัมพันธ์ ระหว่า สาเหตุความเสี่ยง A ไปยังสาเหตุความเสี่ยงของปัจจัยๆ ใดๆ ก็ได้ เช่นกัน เพื่อแสดงความสัมพันธ์ร่วมกันของสาเหตุความเสี่ยง แต่จำเป็นจะต้องมีการอธิบายให้ได้ว่าสาเหตุใด เป็นสาเหตุหลัก อะไรเป็นสาเหตุผลกระทบที่เกิดขึ้นตามมา

คำถามที่พบบ่อย

คำถาม : ในกรณีนี้ เราจำเป็นจะต้องมีการระบุโอกาสเกิด x ผลกระทบ เพื่อให้เกิดโทนสีในแต่ละปัจจัยเสี่ยง เช่น เขียว เหลือง ส้ม แดง หรือไม่?

ตอบ : ถูกต้องครับ คุณจะต้องระบุคะแนน L x I ในแต่ละปัจจัยเสี่ยง และระบุโทนสีในกล่องของปัจจัยเสี่ยงแต่ละตัวด้วยครับ เพื่อดูความรุนแรงของความเสี่ยง

คำถาม : ในกรณีของ สาเหตุความเสี่ยงจะต้องทำการวิเคราะห์ L x I ในแต่ละสาเหตุความเสี่ยงและระบุโทนสีด้วยใช่หรือไม่ ?

ตอบ : ใช่ครับ เก่งมาก  คุณจะต้องระบุคะแนน L x I ในแต่ละสาเหตุความเสี่ยง และระบุโทนสีในกล่องของสาเหตุความเสี่ยงแต่ละตัวด้วยครับ เพื่อดูความรุนแรงของความเสี่ยง

คำถาม : ที่ปรึกษาบางคนก็บอกว่าให้ใส่น้ำหนักเข้าไปที่ สาเหตุความเสี่ยงด้วย ในลักษณะ “สาเหตุหลัก” และ “สาเหตุรอง” ทำอย่างไร?

ตอบ : เป็นคำถามที่ดีมากครับ การที่เราจะระบุสาเหตุความเสี่ยงนั้น นอกจากจะต้องระบุ L x I ของแต่ละสาเหตุความเสี่ยงแล้ว เราจำเป็นอย่างมากที่จะต้องมีการระบุ น้ำหนัก สาเหตุหลัก และสาเหตุรอง ด้วย และวิธีการทำอย่างไร?

ขั้นตอนการระบุ น้ำหนักของสาเหตุหลัก และสาเหตุรอง

1) คุณจะต้องระบุสาเหตุหลัก หรือ สาเหตุรอง ในขั้นตอนการวิเคราะห์เลือกสาเหตุความเสี่ยงในแต่ละปัจจัยเสี่ยให้ได้พร้อมกับเลือกสาเหตุความเสี่ยง ภายในองค์กร หรือ ภายนอกองค์กร ไปพร้อมๆ กันนะครับ

2) เมื่อคุณระบุสาเหตุหลัก และ สาเหตุรอง เรียบร้อยแล้วก็ให้ทำการระบุ น้ำหนัก1-100% ของสาเหตุภายในทั้งหมดรวมกัน ในกรณีที่คุณระบุสาเหตุภายใน มา 3 สาเหตุความเสี่ยง เช่น

สาเหตุความเสี่ยง A  สาเหตุรอง  (L x I)  น้ำหนัก 20%

สาเหตุความเสี่ยง B  สาเหตุหลัก (L x I)  น้ำหนัก 60%

สาเหตุความเสี่ยง C สาเหตุรอง (L x I) น้ำหนัก 20%

3) การระบุสาเหตุความเสี่ยงหลัก หรือ สาเหตุความเสี่ยงรอง เพราะว่า คุณจะต้องนำสาเหตุความเสี่ยงไปใช้ในการจัดทำแผนบริหารความเสี่ยง Action Plan ต่อไปนะครับ เพราะอยู่ดีๆ คุณไม่สามารถอธิบายได้ว่า แผนบริหารควาเสี่ยงนี้มาจากอะไร? ทำไมต้องทำ? เกิดจากสาเหตุใดของปัจจัยเสี่ยง? และจะลดความเสี่ยงได้อย่างไร? ฯลฯ  คำถามมาเพียบเลยครับ  ดังนั้น การระบุสาเหตุหลัก และสาเหตุรอง จะทำให้ผู้รับผิดชอบความเสี่ยงของปัจจัยเสี่ยงเหล่านั้น สามารถวิเคราะห์เลือกสาเหตุความเสี่ยงได้ง่ายครับ

การวิเคราะห์เพื่อลากเส้นแสดงความสัมพันธ์ของ Risk Heat Map 

ก่อนที่จะอธิบายวิธีการลากเส้นแสดงความสัมพันธ์ของความเสี่ยงใน Risk Map เราอยากจะอธิบายเกี่ยวกับวัตถุประสงค์ของการลากเส้นก่อนดีกว่า

วัตถุประสงค์ของการลากเส้นแสดงความสัมพันธ์ของ Risk Heat Map

1) เพื่อให้ผู้วิเคราะห์ความเสี่ยงสามารถเข้าใจความสัมพันธ์ของความเสี่ยงที่เกิดขึ้นทั้งหมดทั่วทั้งองค์กร

2) เพื่อใช้ค้นสาเหตุของความเสี่ยงหลัก และปัจจัยเสี่ยงหลัก ที่เป็นต้นเหตุให้เกิดปัญหา หรือ ความเสี่ยงขึ้นในองค์กร (คนจะต้องหาทางจับโจรให้ได้)

3) เพื่อให้เกิดความสะดวกในการบริหารจัดการด้านความเสี่ยงและ จัดทำแผนบริหารความเสี่ยงที่ถูกต้องแม่นยำ และครอบคลุมความเสี่ยงหลายๆ เรื่อง

4) เพื่อนำไปใช้ในการจัดทำ Portfolio View of Risk ต่อไป

วิธีการลากเส้นความสัมพันธ์ของความเสี่ยงใน Risk Heat Map 

1) คุณจะต้องทำการวิเคราะห์หาความสัมพันธ์ของความเสี่ยงโดยต้องสนใจว่าใครจะเกิดก่อนเกิดหลัง (ลากเส้นไปก่อนให้มากที่สุด)

2) คุณต้องวิเคราะห์ให้ได้ว่าเส้นแต่ละเส้นที่ลากมานั้น ใครเป็นจุดกำเนิดของความเสี่ยง ใครเป็นผู้รับผลกระทบของความเสี่ยงในเส้นที่ลาก เพื่อระบุหัวลูกศร

3) เมื่อคุณลากเส้นและระบุหัวลูกศร ของสาเหตุความเสี่ยง และปัจจัยเสี่ยงครบแล้ว ก็ค่อยมาดูกันว่า เรื่องอะไร เป็นตัวปล่อยหัวลูกศรไปหาเพื่อนๆ มากที่สุด         ปัจจัยเสี่ยงที่ปล่อยหัวลูกศรออกไป จะต้องรับผิดชอบความเสี่ยงหลัก และจะต้องมีแผนก่อนเพื่อนเลยครับ

4) เราไม่ได้ทำการลากเส้นความสัมพันธ์เพราะมันอาจจะทำให้รูปมันไม่สวย เมื่อผู้อ่านทำรูปแบบได้อย่างตารางนี้แล้ว ก็อย่าลืม “ลากเส้นหาความสัมพันธ์” การลากเส้นใน Risk Map ขอให้ลากเส้นให้มากที่สุด เท่าที่จะทำได้ หรือใส่สัญญาลักษณ์ เพื่อแสดงว่าเป็นกลุ่มเดียวกันก็ได้ แต่ถ้าทำทั้ง 2 อย่างจะดีมากกว่า

ตัวอย่าง Risk Heat Map ที่แสดงสีของระดับคะแนนความเสี่ยง

RISK MAP

ในสุดท้ายนี้ก็อยากจะให้ทุกๆ ท่านลองพิจารณาการเลือกความสัมพันธ์ของ Risk Heat Map ให้ได้ตามตัวอย่างนี้ และค่อยวิเคราะห์หาความสัมพันธ์ของเส้นเชื่อมโยงความเสี่ยงเพื่อทำการวิเคราะห์ การเกิดความเสี่ยงต่อไป ขอให้ทุกๆ ท่านโชคดี

ขอให้มีความสุขในการทำงาน เพราะอย่างไรท่านก็ต้องมีงานทำไม่ว่างานนั้นจะเป็นอะไร

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

Advertisements

ตุลาคม 1, 2013 Posted by | Risk Management | | ใส่ความเห็น

การประยุกต์ใช้การจัดการความเสี่ยงในการบริหารทรัพยากรบุคคล


สวัสดี ครับ

วันนี้อยากจะคุยกันเกี่ยวกับการจัดการความเสี่ยงในการบริหารทรัพยากรบุคคล ซึ่งเป็นหัวข้อที่หลายๆ ท่านให้ความสนใจและได้มีการสอบถามกันเข้ามา เราก็เลยอยากจะเล่าให้ฟังเพื่อใช้เป็นแนวทางในการจัดการความเสี่ยงในองค์กรของคุณ และเราก็เชื่อว่าน่าจะมีประโยชน์พอสมควร

การบริหารความเสี่ยงในการบริหารทรัพยากรบุคคล

เป็นวิธีการตรวจสอบเพื่อหลีกเลี่ยงความเสี่ยงในการป้องกัน ปราบปราม ไม่ให้ความเสี่ยงที่อาจจะเกิดขึ้นมีความรุนแรง หรือขยายวงกว้างขึ้น ความเสี่ยงเป็นสิ่งที่หลีกเลี่ยงได้ในบางเรื่อง เพราะองค์กรมีภาระผูกพันกับการปฎิบัติงานตามกระบวนการ ขั้นตอน ตามระเบียบข้อบังคับ และตามภาระงานที่ได้รับมอบหมายของแต่ละส่วนงาน ซึ่งกระบวนการจัดการด้านความเสี่ยงจะใช้การวางแผน การตัดสินใจ และมุ่งเน้นเฉพาะส่วนที่มีการบริหารความเสี่ยงที่ใช้กิจกรรมของ HRM

การประยุกต์ใช้การจัดการความเสี่ยงในการบริหารทรัพยากรบุคคล

เมื่อการพัฒนาแผนบริหารความเสี่ยงสำหรับกิจกรรมทรัพยากรบุคคลของคุณมีจำนวนของพื้นที่ที่จะมุ่งเน้นเป็น นี่คือรายการทั่วไปจะได้รับคุณเริ่มต้น แต่มันเป็นสิ่งสำคัญมากที่ทุกองค์กรระบุและประเมินความเสี่ยงที่ไม่ซ้ำกันให้กับองค์กรของตัวเอง

กิจกรรมการบริหาร
ทรัพยากรบุคคล

ความเสี่ยงที่อาจเกิดขึ้น

การพิจารณา
ที่มีศักยภาพ

ค่าตอบแทนและผลประโยชน์
  • ทำผิดกฎเกี่ยวการเงิน
  • ใครมีอำนาจลงนาม?
  • วิธีการให้มีหลายลายเซ็น?
  • จะมีการตรวจสอบและยอดคงเหลือ?
การว่าจ้าง
  • เลือกปฏิบัติ
  • ผู้รับจ้างมีคุณสมบัติที่ไม่เหมาะสมหรือไม่น่าเชื่อถือ มีประวัติไม่ดี
  • การจ้างงานมีการปฎิบัติ “ผิดศีลธรรม”
  • การตรวจคัดกรอง มีความสมบูรณ์แบบ เสร็จสมบูรณ์ ผู้สมัครที่มีศักยภาพเพียงพอหรือไม่
  • เป็นพื้นที่ จังหวัดที่ถูก กฎหมายสิทธิมนุษยชนเฝ้าจับตามองหรือไม่ ใช้แรงงานต่างชาติเถื่อน?
  • มีระยะเวลาทดลองการปฎิบัติงาน ?
  • ได้ทำสัญญาที่ทำกับผู้สมัคร และทำให้ผู้สมัครไม่สามารถได้รับเกียรติ หรือความน่าเชื่อถือ?
  • พนักงานไม่ยอมลงชื่อยอมรับนโยบายและสัญญาการจ้างงานก่อนที่จะได้รับการว่าจ้าง?
อาชีวอนามัยและความปลอดภัย
  • สิ่งแวดล้อม
  • บาดเจ็บหรือความตาย
  • มีสภาพการทำงานที่ปลอดภัยและดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ?
  • มีการฝึกอบรมที่เพียงพอสำหรับพนักงาน?
  • องค์กรสร้างมั่นใจว่าการใช้งานของเสื้อผ้าที่เหมาะสมและอุปกรณ์ความปลอดภัย?
  • องค์กรมีนโยบายที่เพียงพอ วิธีการจัดการและคณะกรรมการควบคุมสถานที่?
การกำกับดูแลการทำงานของพนักงาน
  • การใช้ผิดวิธี
  • ชื่อเสียงในชุมชน
  • ความเป็นอิสระของข้อมูลส่วนบุคคล
  • มีการวางแนวทางที่เพียงพอและการฝึกอบรม
  • มีการดูแลอย่างเพียงพอ (โดยเฉพาะอย่างยิ่งสำหรับการทำกิจกรรมที่เกิดขึ้นนอกสถานที่หรือหลังชั่วโมงทำงาน)?
  • มีระบบการจัดการผลเสียการปฏิบัติงานในสถานที่?
  • มีแนวทางการป้องกันข้อมูลส่วนบุคคลตามกฎหมาย?
ความประพฤติของพนักงาน
  • การใช้ผิดวิธี
  • ชื่อเสียงในชุมชน
  • องค์กรไม่ได้เขียนไว้อย่างชัดเจนรายละเอียดตำแหน่งสำหรับตำแหน่งทั้งหมดหรือไม่
  • องค์กรจะปฏิบัติตามเมื่อค่าพารามิเตอร์ของคำบรรยายลักษณะงาน (JD) จะไม่ได้รับความเคารพนับถือ?
  • องค์กรจะให้มีการวางแนวทางอย่างละเอียดและการฝึกอบรม
  • องค์กรจะให้คู่มือพนักงาน?
  • องค์กรมีนโยบายที่ครอบคลุมและวิธีการ?
  • องค์กรจะให้การฝึกอบรมอย่างต่อเนื่องเกี่ยวกับนโยบายและขั้นตอนขององค์กรหรือไม่
  • องค์กรเก็บรักษาบันทึกเป็นลายลักษณ์อักษรของปัญหาเรื่องประสิทธิภาพ?
  • องค์กรไม่แน่ใจว่าของมีค่าขององค์กรมีความปลอดภัยหรือไม่
  • องค์กรมีขั้นตอนการจัดการเงินสด?
  • องค์กรมีนโยบายการล่วงละเมิดอย่างเพียงพอและขั้นตอน?
จบการทำงานของพนักงาน
  • คุณสมบัติ
  • ชื่อเสียงในชุมชน
  • ค่าตอบแทน
  • องค์กรจะดึงข้อมูลขององค์กรและอุปกรณ์ที่ใช้ในการทำงานของพนักงานออก (โดยเฉพาะอย่างยิ่งจากที่บ้าน)
  • องค์กรมั่นใจว่าทุกรหัสการเข้าถึงรหัสผ่าน ฯลฯ de-code
  • องค์กรจะดำเนินการให้สัมภาษณ์ออกเผยแพร่สู่ทั่วไป?
  • องค์กรจะบันทึกเวลาแทนและยอดคงเหลือในวันหยุด?

กระบวนการบริหารความเสี่ยง 

การบริหารความเสี่ยงเป็นวงจรที่มีขั้นตอนเป็นระบบที่ชัดเจน หมายความว่ามันไม่ได้เป็นบางสิ่งบางอย่างที่ได้รับการตรวจสอบก่อนแล้วจึงเลือกปฎิบัติ “เลือกที่จะทำ” รายการ แต่มันเป็นกิจกรรมที่ต่อเนื่อง มีกระบวนการบริหารความเสี่ยง ซึ่งองค์กรของคุณรู้และเข้าใจความเสี่ยงที่คุณต้องเผชิญ นอกจากนี้องค์กรของคุณได้มีการประเมินความเสี่ยงที่จงใจและมีกลยุทธ์ในสถานที่ที่มีความเสี่ยงที่จะสามารถจัดการให้ลดลงจนอยู่ในระดับที่ยอมรับได้ไปโดยสิ้นเชิง ด้วยการลดโอกาสของการเกิดความเสี่ยงหรือลดความเสียหายในกรณีที่สิ่งที่เกิดขึ้น

ในระดับพื้นฐานมากจะมุ่งเน้นการบริหารความเสี่ยงที่คุณสองคำถามพื้นฐาน:

  1. สิ่งที่พนักงานสามารถปฎิบัติไปอย่างผิดปกติ แล้วองค์กรไม่รับรู้ หรือ ไม่ทราบ?
  2. สิ่งที่องค์กรจะทำเพื่อป้องกันไม่ให้เกิดอันตรายจากการที่เกิดขึ้นในสถานที่ หรือหน่วยงาน และมีมาตรการในการตอบสนองต่อสิ่งที่เป็นอันตรายต่อการสูญเสียหรือถ้ามันอาจจะเกิดขึ้นจริง?

ระบุความเสี่ยง

  • ขั้นตอนแรกคือการระบุความเสี่ยง ถามตัวเองว่าสิ่งที่สามารถดำเนินการได้อย่างผิดปกติ กิจกรรมขององค์กรทุกขั้นตอน ที่อาจจะเกิดความเสี่ยง  เพื่อระดมความคิดของผู้เชี่ยวชาญภายในองค์กรและเอกสารการบริหารจัดการความเสี่ยง
  • พิจารณาทั้งความเสี่ยงทั่วไป (ที่อาจเกิดขึ้นกับองค์กรใด ๆ ) และความเสี่ยงที่เฉพาะเจาะจงกับองค์กรของคุณ
  • ความเสี่ยงที่จะเป็น:
    • การใช้ผิดวิธีที่คนใดคนหนึ่งเวลาหรือต่อเนื่อง (ร่างกาย  อารมณ์  จิตใจ  ทางเพศ  ทางการเงิน)
    • การบาดเจ็บส่วนบุคคล
    • ทางการแพทย์
    • สิ่งแวดล้อม
    • คุณสมบัติ
    • ทางการเงิน
    • ชื่อเสียง / ค่าความนิยม
    • อื่น ๆ

ประเมินความเสี่ยง

  • ถ้าคุณได้ทำงานอย่างละเอียดของการระบุความเสี่ยงที่คุณอาจลงท้ายด้วยรายการ (และครอบคลุม) ยาว
  • ขั้นตอนต่อไปคือการประเมินแต่ละรายการความเสี่ยง
    (1) ซึ่งอยู่บนพื้นฐานของความน่าจะเป็น หรือความถี่ของความเสี่ยงที่เกิดขึ้นและ
    (2) ความรุนแรงของผลกระทบ
  • ใช้แผนที่ความเสี่ยง (Risk Map) สร้างความสัมพันธ์และระดับความน่าจะเป็นของการเกิดและความรุนแรงของผลกระทบที่จะช่วยให้คุณจัดลำดับความสำคัญขั้นตอนต่อไปของคุณ

การพัฒนากลยุทธ์สำหรับการบริหารความเสี่ยง

  • พิจารณากลยุทธ์ที่เหมาะสมที่สุดการบริหารความเสี่ยงสำหรับความเสี่ยงแต่ละระบุ:

หลีกเลี่ยง – หยุดให้บริการหรือทำกิจกรรมเพราะมันเป็นเรื่องเสี่ยงเกินไป

ยอมรับ – บางกิจกรรมที่มีความเสี่ยงเป็นศูนย์กลางของการปฏิบัติภารกิจขององค์กรและองค์กรจะเลือกที่จะยอมรับความเสี่ยง

การปรับ – เปลี่ยนกิจกรรมเพื่อลดโอกาสของความเสี่ยงที่เกิดขึ้นหรือลดความรุนแรงของผลกระทบ นโยบายและขั้นตอนเป็นส่วนสำคัญของกลยุทธ์การบริหารความเสี่ยงเพราะพวกเขาสื่อสารความคาดหวังและกำหนดขอบเขตเกี่ยวกับการเขียนนโยบายและขั้นตอน

การถ่ายโอนหรือการแบ่งปัน – ประกันการซื้อหรือรับโอนความเสี่ยงให้กับองค์กรอื่นผ่านการลงนามในสัญญากับองค์กรอื่น ๆ ที่จะแบ่งปันความเสี่ยง (เช่นมีสัญญากับ บริษัท รถบัสที่จะส่งลูกค้ามากกว่าพนักงานขับรถลูกค้า)

Implement

เมื่อคุณได้ตัดสินใจที่กลยุทธ์การจัดการความเสี่ยงที่จะมีประสิทธิภาพมากที่สุดและราคาไม่แพงสำหรับองค์กรของคุณ  คุณและทีมีงานจะต้องทำการร่างขั้นตอนและผู้ที่เป็นผู้รับผิดชอบสำหรับขั้นตอนในการวางแผนการจัดการแต่ละความเสี่ยง

แผนการสื่อสารและให้แน่ใจว่ามีความเข้าใจอย่างท่องแท้จากทุกคนที่มีส่วนร่วมในองค์กร (พนักงานอาสาสมัครลูกค้าผู้มีส่วนได้เสียอื่น ๆ ที่เกี่ยวข้อง)

ให้มีการฝึกอบรมสำหรับพนักงานขององค์กรทั้งหมดและอาสาสมัครเพื่อให้พวกเขาเข้าใจเหตุผลของแผนบริหารความเสี่ยงเช่นเดียวกับความคาดหวังของขั้นตอนรูปแบบ ฯลฯ

การตรวจสอบ

ประเด็นคำถามเหล่านี้และเอกสารการเปลี่ยนแปลงใด ๆ ในการวางแผน:

  • มีการวางแผนการทำงานของคุณ?
  • ความเสี่ยงของคุณมีการเปลี่ยนไปหรือไม่
  • คุณขยายหรือลดลงโปรแกรมและบริการของคุณ หรือไม่
  • การเปลี่ยนแปลงหรือการปรับปรุงจำเป็นต้องใช้หรือไม่
  • มีเจ้าหน้าที่และอาสาสมัครตามแผนบริหารความเสี่ยง?
  • พวกเขาจำเป็นต้องมีการฝึกอบรมในรายละเอียดเพิ่มเติม?
  • คุณและทีมงานรวมทั้งองค์กรไม่จำเป็นที่จะต้องสื่อสารแผน?

ผู้ที่มีส่วนเกี่ยวข้องในกระบวนการบริหารความเสี่ยง?

การบริหารความเสี่ยงเป็นกิจการที่มีขนาดใหญ่และมีความสำคัญ ต้องมีความมุ่งมั่นจากคณะกรรมการที่จะกระทำ ทรัพยากรทางการเงินและบุคลากรในองค์กรขนาดใหญ่การบริหารความเสี่ยงคณะกรรมการทีมงานหรือหน่วยงานที่อาจจะเกิดขึ้นในการจัดการกับกระบวนการบริหารความเสี่ยง ในองค์กรขนาดเล็กและขนาดกลางความรับผิดชอบในการพัฒนาและการใช้กระบวนการบริหารความเสี่ยงที่มีแนวโน้มที่จะตกอยู่ในกรรมการบริหารแต่พนักงานจ่ายอาสาสมัคร – และลูกค้าที่อาจเกิดขึ้นและผู้มีส่วนได้ส่วนเสียอื่น ๆ – จะเป็นคู่ค้าที่เป็นประโยชน์มากในการระบุความเสี่ยงและการพัฒนากลยุทธ์ที่มีประสิทธิภาพเพื่อจัดการกับความเสี่ยง เมื่อกระบวนการบริหารความเสี่ยงอยู่ในสถานที่ทุกคนในองค์กรที่มีบทบาทในการเล่นจากการระบุความเสี่ยงกับนโยบายและขั้นตอนต่อไปนี้เสร็จสิ้นการฟอร์มและรายงาน

 

สุดท้ายนี้ เราเชื่อว่าคุณน่าจะพอมีแนวทางในการบริหารจัดการด้านความเสี่ยงบุคลากรภายในองค์กรของคุณ  ซึ่งเครื่องที่ใช้ในการบริหารจัดการทรัพยากรบุคคลมีเป็นจำนวนมาก และมีความสำคัญแตกต่างกัน มีคุณสมบัติที่แตกต่างกัน  ซึ่งคุณจำเป็นจะต้องนำเครื่องมือด้านการบริหารจัดการทรัพยากรบุคคล HRM มาใช้ประกอบกับการบริหารความเสี่ยงระดับองค์กร  ซึ่งการเลือกเครื่องมือต่างจำเป็นจะต้องใช้ประสบการณ์และทักษะของหัวหน้าฝ่าย/สำนักทรัพยากรบุคคล

ในกรณีที่คุณมีข้อสงสัย อยากได้ความเห็นเพิ่มเติม สามารถส่งอีเมล์ หรือ แสดงความคิดเห็นในบทความด้านล่างนี้ได้ครับ เพื่อเป็นการแลกเปลี่ยนทัศนคติกัน

ขอให้ทุกๆ ท่านมีความสุข หมดทุก ด้วยการปล่อยวางความสุขทางกาย และสร้างเสริมความสุขทางใจ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

สิงหาคม 30, 2013 Posted by | Human Resource Development, Risk Management | | ใส่ความเห็น

การควบคุมภายใน เป็นส่วนหนึ่งของ การบริหารความเสี่ยง จริงหรือ?


สวัสดีครับ

วันนี้อยากเขียนเรื่องเบาๆ หน่อย เพราะอยู่ระหว่างการเดินทางไปจังหวัดพังงาและสุราษฎ์ธานี อ่านเจอบทความที่ดีเกี่ยวกับการบริหารความเสี่ยงและ ควบคุมภายในว่ามีความสัมพันธ์กันอย่างไร  ก็เลยนึกถึงทุกๆ ท่านก็นำมาเขียนในสไตล์ของเราเอง และให้ทุกๆ ท่านได้อ่านครับ

ความสัมพันธ์ที่ชัดเจนมากระหว่างการควบคุมภายในและการบริหารความเสี่ยง คือ

โดยทั่วไปการควบคุมภายในจะสร้างความเชื่อมั่นอย่างมีเหตุผลว่า สามารถบริหารจัดการความเสี่ยงได้ เพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ขององค์กร  และอยู่ในระดับที่องค์กรยอมรับได้  ซึ่งก็ต้องไปเปรียบเทียบกับตัวชี้วัดของวัตถุประสงค์ขององค์กรด้วย  เพราะการที่จะยอมรับระดับความสำเร็จขององค์กรหรือไม่ ก็ต้องไปดูที่ KPIs ขององค์กรด้วยว่าอยู่ในระดับใด

ดังนั้น ความเสี่ยงแรก : คุณจะต้องจำแนกระดับการยอมรับได้ของการควบคุมภายใน และระดับการบรรลุผลกสำเร็จตามวัตถุประสงค์ให้ได้ก่อน (ระดับองค์กร)  ก่อนที่คุณจะวางแผนการควบคุม หรือ มีมาตรการควบคุมใดๆ

 ในขณะเดียวกัน คุณจะต้องควบคุมการบริหารความเสี่ยงปัจจัยเสี่ยงเหล่านั้น ให้อยู่ในระดับที่ยอมรับได้  ซึ่งทำได้โดยการวัดระดับความเสี่ยงด้วยการพิจารณา โอกาสเกิด (Likelihood)  และ ระดับผลกระทบ (Impact)  และพิจารณาผลคะแนนความเสี่ยงว่าอยู่ในระดับใด  (Risk Ranking)  และก็พิจารณาตามขั้นตอนของการบริหารความเสี่ยงต่อไป  ซึ่งเคยเล่าให้ฟังไปแล้ว

ในกระบวนการของการเริ่มต้นก่อนการบริหารความเสี่ยงนั้น คุณจะต้องกำหนด วัตถุประสงค์ระดับองค์กร ขึ้น มาก่อนว่าองค์กรต้องการอะไร?  มีภาระกิจอะไร?  มีตัวชี้วัดอะไรบ้าง? ฯลฯ   เพราะถ้าคุณกำหนดวัตถุประสงค์ขององค์กร (ไม่ชัดเจน)  (วัดค่าความสำเร็จเป็นรูปธรรมไม่ได้)   การกำหนดค่าส่วนใหญ่เป็นนามธรรม   ปัญหาที่ตามมาคือ องค์กรไม่สามารถส่งมอบคุณค่าที่ดีที่สุดเพื่อผู้มีส่วนได้ส่วนเสีย   ความเสี่ยงที่สำคัญๆ ควรจะมีการระบุและประเมินความสัมพันธ์กับวัตถุประสงค์ระดับองค์กรให้ชัดเจนตั้งแต่ต้น

ดังนั้นก่อนการวิเคราะห์ความเสี่ยงระดับองค์กร จะต้องนำวัตถุประสงค์ขององค์กรเป็นตัวตั้ง และวิเคราะห์ตัวชี้วัดความสำเร็จระดับองค์กร ว่าจะทำได้จริงหรือไม่?  สามารถหาหลักฐานมายืนยันความสำเร็จตามตัวชี้วัดได้หรือไม่?   มีมาตรการมารองรับในกรณีไม่ประสบความสำเร็จของตัวชี้วัดที่มีความสำคัญอย่างไร? เป็นต้น   ถ้าคุณมั่นใจ ว่าองค์กรของคุณจะไม่บรรลุตามวัตถุประสงค์ที่กำหนดตามตัวชี้วัดที่สำคัญๆ แน่นอนแล้ว ก็ขอให้คุณพิจารณาตัวควบคุมที่อยู่ เพราะตัวควบคุมภายในจะเป็นตัวที่กำกับติดตามความก้าวหน้าของโครงการ  กระบวนการทำงาน  ผลการดำเนินงาน ในลักษณะ Monitoring เพื่อให้คุณเข้าใจสถานะปัจจุบันของปัญหาหรืออุปสรรคที่เกิดขึ้น  หลังจากนั้นคุณก็จำเป็นจะต้องเอา จุดอ่อน  ปัญหา  อุปสรรค มาวิเคราะห์ร่วมกับตัวชี้วัด KPIs องค์กร และทำการบริหารจัดการความเสี่ยงระดับองค์กรต่อไป

ในขณะที่ COSO มีระบบการควบคุมภายในระดับองค์กร และกรอบการบริหารความเสี่ยง ด้วยการระบุปัจจัยเสี่ยงที่เกิดขึ้น  รวมทั้งการวิเคราะห์สาเหตุความเสี่ยง และมี Risk Appetite & Risk Tolerance มากำกับตรวจสอบ และมีการวัดค่าความเสี่ยงในรูปแบบ Risk Matrix นอกจากนี้มีการวิเคราะห์ความสัมพันธ์ของปัจจัยเสี่ยงและสาเหตุความเสี่ยงด้วย Risk Map ซึ่งจะเห็นว่ามีความคิดแบบเป็นระบบ และมีความสอดคล้องกันของทุกเครื่องมือ

ดังนั้น เรากลับเข้ามาที่หัวข้อที่ตั้งไว้ “การควบคุมภายในเป็นส่วนหนึ่งของการบริหารความเสี่ยง? ”  (ถ้าพิจารณาระบบการตรวจสอบมาตรฐานระดับโลกที่ใช้เกณฑ์การบริหารความเสี่ยง ISO 31000:2009) ก็ได้มีการพูดถึงเกี่ยวกับการควบคุมภายใน แต่ไม่ได้ให้รายละเอียดเกี่ยวกับการควบคุมภายในว่าจะต้องมีการวัดค่าระดับความเสี่ยงที่ยอมรับได้  หรือการวิเคราะห์ผลกระทบถ้าความเสี่ยงนั้นมีระดับความรุนแรงที่สูงขึ้น  (รวมถึงมีมาตรการควบคุมพิเศษเพิ่มเติมหรือมีการเปลี่ยนแปลงระดับการควบคุม)

กรณีตัวอย่าง : 

เมื่อมีการประเมินการบริหารควาเสี่ยงหรือการควบคุมภายในก็จะมีความผิดพลาด (มุมมองส่วนตัวของเรา) เพราะมีการเพิกเฉยต่อการบริหารจัดการความเสี่ยงและการควบคุมภายในที่เกี่ยวข้องกับการตั้งค่าวัตถุประสงค์ขององค์กรให้ชัดเจนตั้งแต่ต้น เพราะการกำหนดวัตถุประสงค์จะต้องเกิดก่อน  แต่การจัดการความเสี่ยงและการควบคุมภายในที่เกี่ยวข้องกับวัตถุประสงค์ จะมาหลังจากเข้าไปติดตามและประเมินผลวัตถุประสงค์แล้วพบว่ามีอุปสรรค หรือ ปัญหาประการใด ที่ทำให้ไม่สามารถบรรลุตามวัตถุประสงค์ได้

นอกจากนี้ มีความเสี่ยงอย่างหนึ่งที่ถูกมองข้ามอย่างมากต่อการบริหารความเสี่ยงที่มีประสิทธิภาพ  เช่น

  1. ผู้จ้ดการด้านการตลาดคนหนึ่ง พิจารณาความเสี่ยงในฝ่ายงานของตนว่าไม่มีปัญหา เพราะตนมีระบบควบคุมภายใน (ที่องค์กรทุกองค์กรจะต้องกำหนดขึ้นมาเอง) ดีอยู่แล้ว  และตนมีประสบการณ์สูง  เชื่อมั่นตนเอง  ทำให้องค์กรไม่พิจารณาความเสี่ยงที่เกิดจากการตัดสินใจของพวกเขา  ก็คือว่าข้อมูลที่ใช้ในการประเมินความเสี่ยงที่ไม่ถูกต้อง  ควรจะมีระบบการควบคุมความเสี่ยงล่วงหน้าก่อนการเปิดปัญหา
  2. ไม่สามารถรักษาพนักงานที่มีความรู้ความสามารถไว้ภายในบริษัทได้  ทำให้บริษัทมีความเสี่ยงต่อการดำเนินงานของการควบคุมภายใน  สิ่งเหล่านี้อาจจะยังไม่ได้รับการแก้ไข  ซึ่งบริษัท จำเป็นจะต้องมีการมาตรการทางอ้อมในการควบคุมภายในด้วยการถ่ายทอดความรู้ ความสามารถ และทักษะส่วนตัวให้กับหน่วยงาน หรือ บุคลากรที่เป็นทายาททางตำแหน่ง ล่วงหน้า ผ่านระบบเทคโนโลยีสารสนเทศ ต่างๆ

สรุปข้อควรปฎิบัติ

  1. ทำความเข้าใจเกี่ยวกับความสัมพันธ์ระหว่างวัตถุประสงค์การตั้งค่าการจัดการความเสี่ยง เพื่อให้วัตถุประสงค์เหล่านั้นและการควบคุมภายใน อยู่ในระดับความเสี่ยงที่ยอมรับได้
  2. กำหนดผลสำเร็จตามวัตถุประสงค์ในระดับที่องค์กร สามารถปฎิบัติได้จริง  และมีตัวชี้วัดที่เหมาะสมและมีผลในเชิงรูปธรรม
  3. คุณมีระบบติดตามวัดประสิทธิภาพของความสำเร็จ หรือ อุปสรรคของ วัตถุประสงค์ขององค์กรในหว่างการปฎิบัติงาน และการดำเนินการอยู่ และจำเป็นจะต้องมีการปรับเปลี่ยนมาตรการควบคุมภายในขององค์กร ให้สอดคล้องกับสถานการณ์ตลอดเวลา
  4. ทีมงานด้านการวางแผนบริหารความเสี่ยง และทีมงานด้านการวางแผนกลยุทธ์ระดับองค์กร จะต้องมีการพูดคุยกันและมีข้อตกลงร่วมกันในการยอมรับความสำเร็จระดับองค์กร ที่ยอมรับได้ และควบคุมความเสี่ยงได้
  5. ตรวจสอบให้แน่ใจว่าการประเมินความเสี่ยงเมื่อเทียบกับระดับที่ยอมรับได้ตาม KPIs เป็นส่วนหนึ่งของการทำงานในระดับองค์กร และการตัดสินใจทุกวัน 
  6. ตรวจสอบให้แน่ใจว่าคุณมีการผสมผสานกันอย่างลงตัวและมีประสิทธิภาพและประสิทธิผล ของการควบคุมภายใน และการบริหารความเสี่ยง สอดคล้องกับการตั้งค่าวัตถุประสงค์  และมีการประเมินความสำเร็จของวัตถุประสงค์  รวมถึงการทำความเข้าใจและรักษาความจำเป็นในการบริหารความเสี่ยงต่อการดำเนินงานขององค์กร

สุดท้าย เราเชื่อว่าทุกๆ ท่าน เข้าใจเกี่ยวกับความสอดคล้องกัน ของ วัตถุประสงค์องค์กร  การบริหารความเสี่ยง  และการควบคุมภายใน เป็นอย่างดีแล้ว ที่เหลือก็เพียงแต่ลงมือทำการวิเคราะห์และประชุมร่วมกัน เพื่อหาข้อสรุปที่เป็นรูปธรรม เพื่อนำไปสู่กระบวนการปฎิบัติงาน  อย่างไรก็ตามขอให้นำเสนอความเห็นแบบสร้างสรรค์ อย่านำความรู้สึกส่วนตัวเป็นที่ตั้ง และอย่านำตำแหน่งที่ใหญ่กว่ามาเป็นตัวกำหนดเป้าหมายและวัตถุประสงค์องค์กร โดยไม่สอบถามความเห็นจากเจ้าหน้าที่ระดับปฎิบัติการก่อนทุกครั้ง และทำการวางแผนการควบคุมภายใน และการบริหารความเสี่ยงในปัจจัยเสี่ยงที่มีความสำคัญๆ ทันที รวมทั้งจะต้องปรับเปลี่ยนให้สอดคล้องตามสถานการณ์ที่เปลี่ยนแปลงอยู่ตลอดเวลา

ขอให้ทุกๆ ท่าน มีความสุขสดชื่น ในช่วงเวลเข้าพรรษา

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

htt://eiamsri.wordpress.com 

กรกฎาคม 27, 2013 Posted by | Risk Management | | ใส่ความเห็น

เทคนิคการวิเคราะห์สาเหตุของความเสี่ยง ภาค 2 : Risk Root Cause Analysis (Part II)


สวัสดี ครับ

วันนี้อยากจะคุยกันเรื่องการวิเคราะห์สาเหตุความเสี่ยง ด้วยเครื่องมือที่เราชอบเป็นการส่วนตัว “Fishbone Diagram”  ซึ่งการทำแผนภาพก้างปลาเป็นเครื่องมือง่ายๆ ทรงประสิทธิภาพมากในการวิเคราะห์ต้นเหตุของสาเหตุความเสี่ยง  และต้องทำความเข้าใจในการแสวงหาการดำเนินการแก้ไข

มักจะเรียกกันว่าเป็นสาเหตุและผลกระทบแผนภาพหรือ อิชิกาวะ (Ishikawa) มันเป็นเครื่องมือที่ใช้วิเคราะห์สาเหตุด้วยการระดมความคิดถึงสาเหตุของปัญหาที่เป็นการเฉพาะเจาะจง  และสามารถนำมาใช้ร่วมกับการวิเคราะห์ด้วยเครื่องมือ Why 5 ได้อย่างดี

ในแผนภาพก้างปลา การวิเคราะห์สาเหตุต่างๆ จะถูกจัดกลุ่มเป็นหมวดหมู่และมีการเรียงลำดับคล้ายๆ การไหลของน้ำตกในแต่ละหมวด ไปสู่ผลกระทบคล้ายๆ กับลักษณะของก้างปลา

ทีมงานที่ทำการวิเคราะห์หาสาเหตุความเสี่ยงจะทำการระดมความคิดเกี่ยวกับปัญหาดังกล่าวด้วยการวิเคราะห์ที่สาเหตุของปัญหาดังกล่าว  ด้วยการวิเคราะห์ว่า “ทำไมปัญหาถึงได้เกิดขึ้น”  และ “มีความสัมพันธ์กับปัจจัยอื่นๆ อะไรบ้าง”  “ระดับความรุนแรง และความสำคัญของปัญหานี้”  “ปัญหานี้มีผลกระทบต่อกระบวนการผลิต หรือ กระบวนการให้บริการหรือไม่”  “ใครมีส่วนเกี่ยวข้อง”  “การเกิดปัญหานี้มีระยะเวลา หรือ ฤดูกาลมาเกี่ยวข้องหรือไม่”  “เกี่ยวข้องกับเงินหรือไม่”   ในขั้นตอนนี้คุณจำเป็นจะต้องมีการคิดหาสาเหตุให้มากที่สุด และมากที่สุด (ถ้าปลาของคุณมีก้างเยอะๆ จะทำให้คุณสามารถแก้ไขปัญหาได้)

วิธีการวิเคราะห์แผนภาพก้างปลา 

เริ่มต้นคุณจะต้องวาดเส้น “กระดูกสันหลังของปลา” จากซ้ายไปขวา ซึ่งเป็นตัวแทนของประเภทของสาเหตุปัญหาหลัก หลังจากนั้นค่อยวาดก้างปลา เพื่อเป็นตัวแทนของสาเหตุปัญหารอง และก้างเล็ก เป็นตัวแทนของสาเหตุของปัญหาย่อยๆ

การแบ่งหมวดที่จะใช้ในการวิเคราะห์ก้างปลาจะแบ่งออกเป็นสาเหตุหลักๆ ได้ ดังนี้

– คน (People)

– วิธีการ (Method)

– เครื่องจักร (Machine)

– วัตถุดิบ (Material)

– สิ่งแวดล้อม (Environment)

การแบ่งกลุ่มของหัวข้อหลักที่ใช้การวิเคราะห์จะทำให้เป็นเรื่องง่ายที่ใช้สำหรับระดมความคิดประเด็นปัญหาหลัก จะได้มีการวิเคราะห์สาเหตุความเสี่ยงแบบปัญหาที่เฉพาะเจาะจง

ในขั้นตอนนี้ทีมงาน จำเป็นจะต้องมีการระดมสมองวิเคราะห์สาเหตุของปัญหา  ซึ่งคุณและทีมงานสามารถเขียนสาเหตุของปัญหาด้วยการวิเคราะห์ว่า “ทำไม”  “เกิดจากอะไร”  “เกิดเมื่อไร”  “เกี่ยวข้องกับใคร”  “มีความรุนแรงระดับใด”  “กระทบด้านใดบ้าง”    “เกี่ยวข้องกับเงินไหม” ฯลฯ

ซึ่งการวิเคราะห์ปัญหาทั้งหมดจะต้องอยู่ในกรอบของหมวด 5 หมวดข้างต้น และมีกระบวนการคิดที่ค้นหาสาเหตุความเสี่ยงอย่างละเอียดและครอบคลุมให้มากที่สุด

fishbone diagram

fishbone diagram-2

 การวิเคราะห์ Fishbone Diagram จำเป็นจะต้องเลือกปัญหา/ผลลัพธ์ที่ต้องการวิเคราะห์ก่อน หลังจากนั้นค่อยทำการระบุปัจจัยหลัก ในกล่องสี่เหลี่ยมด้านนอกก่อนว่าประกอบด้วย 5 องค์ประกอบนี้

– ปัจจัย คน (People)  : ต่อมา วิเคราะห์ ค้นหา สาเหตุหลักที่เกิดจากคน แต่ต้องสอดคล้องกับผลลัพธ์ที่ต้องการวิเคราะห์ปัญหาเหล่านั้นที่เป็นหัวปลาด้วยครับ

หลังจากนั้นวิเคราะห์สาเหตุรอง และสาเหตุย่อย

ปัจจัย วิธีการ (Method) : ต่อมา วิเคราะห์ ค้นหา สาเหตุหลักที่เกิดจากคน แต่ต้องสอดคล้องกับผลลัพธ์ที่ต้องการวิเคราะห์ปัญหาเหล่านั้นที่เป็นหัวปลาด้วย
ครับ  หลังจากนั้นวิเคราะห์สาเหตุรอง และสาเหตุย่อย

ปัจจัย เครื่องจักร (Machine) : ต่อมา วิเคราะห์ ค้นหา สาเหตุหลักที่เกิดจากเครื่องจักร แต่ต้องสอดคล้องกับผลลัพธ์ที่ต้องการวิเคราะห์ปัญหาเหล่านั้นที่เป็น
หัวปลาด้วยครับ  หลังจากนั้นวิเคราะห์สาเหตุรอง และสาเหตุย่อย

ปัจจัย วัตถุดิบ (Material) : ต่อมา วิเคราะห์ ค้นหา สาเหตุหลักที่เกิดจากวัตถุดิบ แต่ต้องสอดคล้องกับผลลัพธ์ที่ต้องการวิเคราะห์ปัญหาเหล่านั้นที่เป็นหัวปลา
ด้วยครับ หลังจากนั้นวิเคราะห์สาเหตุรอง และสาเหตุย่อย

ปัจจัย สิ่งแวดล้อม (Environment) : ต่อมา วิเคราะห์ ค้นหา สาเหตุหลักที่เกิดจากสิ่งแวดล้อม แต่ต้องสอดคล้องกับผลลัพธ์ที่ต้องการวิเคราะห์ปัญหาเหล่า
นั้นที่เป็นหัวปลาด้วยครับ  หลังจากนั้นวิเคราะห์สาเหตุรอง และสาเหตุย่อย

เทคนิคการวิเคราะห์หาสาเหตุหลัก และสาเหตุรอง และสุดท้ายสาเหตุย่อย

คุณจะต้องประชุมและวิเคราะห์ร่วมกันว่า ปัญหานี้ หรือ ผลลัพธ์นี้ มันเกิดจากอะไร (หัวปลา)  ดังนั้นคุณจำเป็นจะต้องนำทฤษฎีการวิเคราะห์ว่า 5 Whys มาใช้ประกอบ ด้วยการตั้งคำถามว่า ทำไมถึงเกิดขึ้น?  เกิดจากสาเหตุอะไร?  เกี่ยวข้องกับใคร?  ฯลฯ

1)  ทำไมถึงเกิดขึ้น?

คุณจะต้องวิเคราะห์ว่าเกิดจาก คน ได้หรือไม่ ถ้าได้เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าเกิดจาก วิธีการที่ผิดพลาดหรือไม่ถูกต้อง  ได้หรือไม่ ถ้าได้เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าเกิดจาก เครื่องจักร/เก่า/ล้าสมัย/ขาดการซ่อมบำรุง/ไม่รู้วิธการใช้งาน ได้หรือไม่ ถ้าได้เพราะอะไร
และอย่างไร?

คุณจะต้องวิเคราะห์ว่าเกิดจาก วัตถุดิบ  ได้หรือไม่ ถ้าได้เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าเกิดจาก สิ่งแวดล้อม  ได้หรือไม่ ถ้าได้เพราะอะไร และอย่างไร?

2)  สาเหตุหลักมาจากอะไร? 

คุณจะต้องวิเคราะห์ว่าสาเหตุเกิดจาก คน เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุเกิดจาก วิธีการที่ผิดพลาดหรือไม่ถูกต้อง  เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุเกิดจาก เครื่องจักร/เก่า/ล้าสมัย/ขาดการซ่อมบำรุง/ไม่รู้วิธการใช้งาน เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุเกิดจาก วัตถุดิบ  เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุเกิดจาก สิ่งแวดล้อม  เพราะอะไร และอย่างไร?

3)  สาเหตุรอง หรือสาเหตุสนับสนุนให้เกิดสาเหตุหลัก มาจากอะไร?   

คุณจะต้องวิเคราะห์ว่าสาเหตุสนับสนุนให้เกิดสาเหตุหลัก มาจากอะไร? คน เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุสนับสนุนให้เกิดสาเหตุหลัก มาจากอะไร? วิธีการที่ผิดพลาดหรือไม่ถูกต้อง  เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุสนับสนุนให้เกิดสาเหตุหลัก มาจากอะไร? เครื่องจักร/เก่า/ล้าสมัย/ขาดการซ่อมบำรุง/ไม่รู้วิธการใช้งาน
เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุสนับสนุนให้เกิดสาเหตุหลัก มาจากอะไร? วัตถุดิบ  เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุสนับสนุนให้เกิดสาเหตุหลัก มาจากอะไร? สิ่งแวดล้อม  เพราะอะไร และอย่างไร?

4)  สาเหตุย่อย หรือสาเหตุทางอ้อมที่ทำให้เกิดสาเหตุรอง มาจากอะไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุทางอ้อมที่ทำให้เกิดสาเหตุรองมาจากอะไร? คน เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุทางอ้อมที่ทำให้เกิดสาเหตุรองมาจากอะไร? วิธีการที่ผิดพลาดหรือไม่ถูกต้อง  เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุทางอ้อมที่ทำให้เกิดสาเหตุรองมาจากอะไร? เครื่องจักร/เก่า/ล้าสมัย/ขาดการซ่อมบำรุง/
ไม่รู้วิธการใช้งาน
 เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุทางอ้อมที่ทำให้เกิดสาเหตุรองมาจากอะไร? วัตถุดิบ  เพราะอะไร และอย่างไร?

คุณจะต้องวิเคราะห์ว่าสาเหตุทางอ้อมที่ทำให้เกิดสาเหตุรองมาจากอะไร? สิ่งแวดล้อม  เพราะอะไร และอย่างไร?

มาถึงตรงนี้หลายคนคงจะสงสัยว่าทำไมมีแค่ 4 ก็เพราะการวิเคราะห์แบบ Fishbone ต้องการแค่ 4 ระดับของสาเหตุของปัญหา แต่คุณสามารถวิเคราะห์ว่า

ทำไม? 

ทำไม?

ทำไม?

ทำไม?

ทำไม?

           ว่าเกิดจากสาเหตุอะไรได้ถึง 5 ระดับความลึกของแต่ละสาเหตุของปัญหา และ  เพื่อให้คุณรู้ว่าจะต้องดำเนินการมันอย่างไร? ต่อไปและค้นพบว่าสาเหตุของปัญหาอาจจะมาจากสาเหตุเดียวกันหรือมีความสัมพันธ์กันอย่างชัดเจนว่า ต้องเกิดจากสาเหตุนี้ก่อน ค่อยไปเชื่อมกับอีกสาเหตุหนึ่งต่อไป ทำให้เกิดเป็นภาพของ Risk Map  ด้านการบริหารความเสี่ยงที่ชัดเจน ต่อไป 

ในบทความต่อๆ ไปเราจะมาอธิบายวิธีการสร้าง Risk Map ที่ถูกต้องและสามารถนำไปใช้งานได้จริงๆ  ปฎิบัติได้อย่างไม่ยุ่งยาก และเชื่อถือได้ โปรดติดตามเนื้อหาใน บล็อกนี้ไปเรื่อยๆ

           การวิเคราะห์ด้วย Fishbone จำเป็นที่จะต้องทำหลายๆ ครั้ง และนำมาตรวจสอบและประเมินผลอย่างต่อเนื่องเพื่อนำสาเหตุหลัก และสาเหตุรองที่ไม่ถูกต้องออกไปและทำการวิเคราะห์หาสาเหตุใหม่มาทดแทนจากประสบการณ์ในการวิเคราะห์ที่เพิ่มขึ้น ทำให้มีความชัดเจน และแม่นยำมากขึ้น  คุณไม่สามารถวิเคราะห์ Fishbone Diagram ได้อย่างแม่นยำด้วยการวิเคราะห์เพียงครั้งเดียว หรือ เพียงคนแค่ 3 คน แต่จะต้องมาจากการวิเคราะห์ร่วมกันของผู้เชี่ยวชาญในแต่ละส่วนงานเพื่อให้ได้ข้อมูลสาเหตุที่แท้จริง  และไม่ได้มาจากปัญหาของคุณคนเดียว หรือ สาเหตุของคุณคนเดียวเท่านั้น

        การวิเคราะห์ Fishbone ที่ดีจะต้อนำข้อมูลการวิเคราะห์ของทีมอื่นๆ ที่วิเคราะห์ปัญหาหรือผลลัพธ์ที่ต้องการในเรื่องเดียวกันมาเปรียบเทียบ เพื่อหาข้อมูลเพิ่มเติมและหาความสัมพันธ์ของสาเหตุปัญหาเหล่านี้ ห้ามทำเพียงกลุ่มเดียว จำเป็นจะต้องทำงานแบ่งออกเป็นหลายๆ กลุ่มในปัญหาที่เกิดขึ้นในเรื่องเดียวกัน

         ทีมงานที่จะตอบคำถามใน Fishbone จำเป็นจะต้องมีความรู้ความสามารถที่ชัดเจนในงานที่ทำการวิเคราะห์เรื่องๆนั้นอยู่เป็นอย่างดี  เพราะข้อมูลที่พวกเขาวิเคราะห์จะต้องมีความน่าเชื่อถือ  ยอมรับได้  และตรงประเด็นมากที่สุด เพียงพอที่จะนำไปทำแผนลดความเสี่ยง หรือ Risk Action Plan ต่อไป

สุดท้ายนี้ขอให้ทุกๆ ท่านได้อ่านบทความเกี่ยวกับ 5 Whys ให้เข้าใจก่อนที่จะมาอ่าน Fishbone Diagram เพราะงานทั้งสองส่วนนี้ มีความสัมพันธ์กันอย่างมากและจำเป็นที่จะต้องนำความรู้ และเทคนิคมาวิเคราะห์ต่อไป

ขอให้ทุกๆ ท่านโชคดีมีความสุข เย็นกาย เย็นใจ

 เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

มิถุนายน 22, 2013 Posted by | New Management, Risk Management | | ใส่ความเห็น

เทคนิคการวิเคราะห์สาเหตุของความเสี่ยง ภาค 1 : Risk Root Cause Analysis (Part I)


สวัสดีครับ

วันนี้อยากจะเขียนเกี่ยวกับการบริหารความเสี่ยงเพิ่มเติมอีกสักเรื่อง เป็นเรื่องที่มีความสำคัญอย่างมากเช่นกัน สำหรับใช้ในการวิเคราะห์และบริหารจัดการความเสี่ยงที่เกิดขึ้นภายในองค์กร ให้บรรลุวัตถุประสงค์ตามที่ต้องการ ซึ่งเทคนิคที่ใช้วิเคราะห์สาเหตุความเสี่ยง มี 2 แบบ 1) Determine the Root Cause : 5 Whys  2) The Cause and Effect (a.k.a. Fishbone Diagram)  เรามาเรียนรู้พร้อมกันเลยครับ

การตรวจสอบสาเหตุความเสี่ยง : 5 Whys 

การวิเคราะห์สาเหตุความเสี่ยงจะเริ่มต้นด้วยคำว่า “ทำไม?” ซึ่งอาจจะเป็นเทคนิคที่หลายคนชื่นชอบ เพราะมีความสัมพันธ์กับแนวคิดของ Six Sigma DMAIC   เราจะไม่พูดถึง Six Sigma เพราะอยู่กันคนละส่วนกัน

ส่วนมากแล้วเราจะตั้งคำถามซ้ำๆ กันว่า “ทำไม? 5 ครั้งในปัญหาเดิม” เพื่อที่จะค้นหาว่าทำไม? ถึงเกิดเหตุการณ์นี้ขึ้นมาได้ มีสาเหตุมาจากอะไร? มีความเกี่ยวข้องหรือสัมพันธ์กับอะไร?  ซึ่งคำตอบของคำถามทำไมครั้งที่ 4-5 จะทำให้เข้าใจเหตุผลที่ชัดเจนขึ้นสำหรับสาเหตุของปัญหาที่จะนำคุณไปสู่อีกคำถามหนึ่ง  แต่ก็มีบ่อยครั้งที่ตั้งคำถามน้อยกว่า 5 ครั้งก็ได้คำตอบ  และก็มีบ่อยครั้งที่ต้องตั้งคำถามมากกว่า 5 ครั้งขึ้นไปถึงจะได้คำตอบที่ชัดเจนของสาเหตุปัญหา

ประโยชน์ที่ได้รับจาก 5 Whys

  • ช่วยระบุสาเหตุที่แท้จริงของปัญหา
  • กำหนดความสัมพันธ์ระหว่างสาเหตุของปัญหาที่มีความแตกต่างกัน
  • เป็นเครื่องมือที่ง่ายมาก ไม่จำเป็นจะต้องใช้ข้อมูลทางสถิติ

เมื่อไหร่ที่ 5 Whys จะมีประโยชน์มากที่สุด 

  • เมื่อมีปัญหาที่เกี่ยวข้องกับปัจจัยเสี่ยงและสาเหตุความเสี่ยงที่ปฎิสัมพันธ์กับมนุษย์
  • มีการบริหารจัดการธุรกิจแบบ วัน-ต่อ-วัน

เทคนิคการใช้ 5 Whys ให้ประสบความสำเร็จ

  1. เขียนปัญหาลงไปในกระดาษแบบเฉพาะเจาะจง การเขียนปัญหาลงไปจะช่วยให้คุณกำหนดแนวความคิดได้อย่างเป็นระบบ และมีแบบแผน สามารถอธิบายมันได้อย่างสมบูรณ์ นอกจากนี้ยังช่วยให้ทีมงานสามารถกำหนดเป้าหมายของการแก้ไขปัญหาได้อย่างเหมาะสม
  2. ให้เริ่มต้นคำถามด้วย “ทำไมปัญหานี้จึงเกิดขึ้น?” และให้เขียนคำตอบลงมาด้านล่าง และให้ขึ้นคำถามใหม่ต่อๆ ไปด้วย  “ทำไมปัญหานี้จึงเกิดขึ้น?” ลงมาเรื่อยจนกว่าคุณจะพบคำตอบที่คุณพอใจ
  3. ถ้าคำตอบที่คุณได้ไม่สามารถวิเคราะห์สาเหตุได้ชัดเจน หรือมีความแตกต่างของคำตอบเป็นจำนวนมาก   ให้คุณเปลี่ยนคำถามตั้งต้นใหม่ให้มีความเฉพาะเจาะจงมากขึ้น
  4. เมื่อคุณได้คำตอบครบทุกคำถามที่คุณตั้งแล้ว สามารถวิเคราะห์สาเหตุของความเสี่ยงแต่ละปัญหาหรือปัจจัยเสี่ยงได้แล้ว ให้คุณพยามทำการเชื่อมโยงคำตอบของสาเหตุความเสี่ยงกับปัจจัยเสี่ยงที่เกิดขึ้นว่า สิ่งใด? รายการใด? หรือ อะไร?  ที่มีความสัมพันธ์กันบ้าง

ตัวอย่าง วิธีการวิเคราะห์แบบ 5 Whys

ปัญหา : ลูกค้าไม่พึงพอใจที่คุณไม่สามารถจัดส่งผลิตภัณฑ์ไปได้ครบตามที่ตกลงภายในเวลาที่กำหนด

  1. ทำไม : ลูกค้าถึงไม่พอใจในผลิตภัณฑ์ที่จัดส่ง
    >> การสั่งซื่อผลิตภัณฑ์ของลูกค้ามีความหลากหลายมาก และสั่งในปริมาณที่น้อยทำให้ต้องมีการปรับกระบวนการผลิตใหม่ทุกครั้งที่ผลิตสินค้าแตกต่างจากเดิม ทำให้ผลิตไม่ทันตามกรอบเวลา จัดส่งล่าช้ากว่ากำหนด ทำให้ลูกค้าไม่พอใจ
  2. ทำไม : กระบวนการผลิตจะต้องปรับปรุงใหม่ทุกครั้งที่ผลิตสินค้าเปลี่ยนแปลงไปจากเดิม
    >> บริษัทมีเครื่องจักรหลักที่เป็นตัวผสมสูตรในการผลิต เพียงเครื่องจักรเดียวทำให้จำเป็นจะต้องหยุดทำความสะอาดเครื่องจักร และกระบวนการผลิตจะมีสูตรของวัตถุดิบไม่เหมือนกันทำให้ทำร่วมกันไม่ได้
  3. ทำไม : กระบวนการผลิตในปัจจุบันไม่มีการปรับปรุงด้วยการใช้เทคนิคหรือเครื่องมืออื่นๆ มาช่วยในการแยกเส้นทางการผลิต หรือ การผสมตามสูตรของผลิตภัณฑ์
    >> กระบวนการผลิตใช้เส้นทางการผลิตเส้นทางเดียว ไม่มีการแยกสายพานส่วนผสมด้านการผลิต หรือ มีเครื่องจักรแยกตามผลิตภัณฑ์  นอกจากนี้ไม่มีการปรับปรุุงกระบวนการผลิตมานานกว่า 2 ปีแล้ว
  4. ทำไม : ผู้เชี่ยวชาญด้านการผลิตของบริษัท ไม่นำเสนอแนวทางแก้ไขปัญหาด้านการผลิตที่สามารถตรวจสอบพบ
    >> ผู้เชี่ยวชาญด้านการผลิตมีเพียง 2 คน และมีผู้ช่วยในด้านการผลิตที่ขาดทักษะความรู้และประสบการณ์ เพราะเริ่มรับเข้าทำงานได้ไม่นาน  ขาดการประชุมระดมสมองเกี่ยวกับการพัฒนาเส้นทางการผลิตแบบใหม่
  5. ทำไม : บริษัทไม่ลงทุนเปลี่ยนเครื่องจักรให้ทันสมัย และไม่ประชุมปรับปรุงเครื่องจักรให้สามารถแก้ไขปัญหาด้านการผลิตได้
    >> ผู้บริหารไม่ให้ความสนใจเท่าที่ควร  ไม่มีการจัดสรรงบประมาณมาพัฒนาเครื่องจักร  เพราะผู้บริหารให้ความสนใจกับด้านการตลาดมากเกินไป  ใช้งบประมาณด้านการตลาดมากเกินไป

วิธีการวิเคราะห์ 5 Whys

เมื่อคุณได้ลองเขียนปัญหาขึ้นมาและช่วยกันประชุมระดมสมอง หาสาเหตุของปัญหาที่เกิดขึ้นมาจากสาเหตุใดบ้าง? และเกี่ยวข้องกับใคร?  ใช้เงินงบประมาณไหม?  สามารถแก้ไขได้ทันทีหรือไม่? สาเหตุของปัญหานี้มีความเชื่อมโยงกับสาเหตุปัญหาอื่นๆ หรือไม่?  เกี่ยวข้องกับปัจจัยเสี่ยงใดอีกบ้าง?   ซึ่งคุณจะสามารถเชื่อมโยงสาเหตุของปัญหาได้จากแหล่งกำเนิดเดียวกัน หรือมีความสัมพันธ์กันได้

การวิเคราะห์ 5 Whys จำเป็นจะต้องวิเคราะห์ สม่ำเสมอและต่อเนื่องภายหลังจากที่ได้มีการบริหารจัดการความเสี่ยง หรือมีมาตรการลดความเสี่ยงด้วยวิธีการต่างๆ แล้วเพื่อจะได้ตรวจสอบระดับความเสี่ยง และความรุนแรงของปัญหาว่ามีผลกระทบรุนแรงเท่าเดิม หรือ บรรเทาลงหรือไม่?  นอกจากนี้ช่วยในการตรวจสอบ และวัดประสิทธิภาพของมาตรการและเครื่องมือในการลดความเสี่ยงด้วย

สุดท้ายนี้ก็ขอจบการวิเคราะห์ Risk Root Cause Analysis เพียงเท่านี้ก่อน โอกาสหน้าจะมาอธิบายเกี่ยวกับการวิเคราะห์ Root Cause Analysis ด้วย ทฤษฎีก้างปลา “Fishbone Diagram” ซึ่งมีความน่าสนใจเช่นเดียวกัน และมีความละเอียดกว่า 5 Whys โปรดติดตามตอนต่อไป

ขอให้ทุกๆ ท่านมีความสุขในวันศุกร์สิ้นเดือน

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com

http://eiamsri,wordpress.com

พฤษภาคม 31, 2013 Posted by | New Management, Risk Management | | ใส่ความเห็น

วิธีการสร้างแผนบริหารความเสี่ยง ? : How to create a Risk Management Plan ?


สวัสดี ครับ

เมื่อตอนที่แล้ว เราได้ทำการเล่าเกี่ยวกับวิธีการวิเคราะห์และตรวจสอบความเสี่ยงระดับองค์กร และมีการกำหนดรูปแบบของแผนบริหารความเสี่ยงในระดับองค์กร  ซึ่งเราเชื่อว่าคำถามที่ตามมา คือ วิธีการจัดทำแผนบริหารความเสี่ยงทำอย่างไร?  ซึ่งในวันนี้ เราจะมาคุยกันเกี่ยวกับวิธีการสร้างแผนบริหารความเสี่ยงระดับองค์กร   การบริหารความเสี่ยงเป็นกระบวนการที่ต่อเนื่องและทำซ้ำ ซ้ำ ในการวิเคราะห์และจัดการปัญหาที่เป็นความเสี่ยงในระดับองค์กร  ดังนั้นการวางแผนบริหารความเสี่ยงก็เป็นสิ่งที่จำเป็นในการบริหารจัดการเชิงรุก และการวางแผนบริหารจัดการความเสี่ยงจำเป็นจะต้องมีการบริหารจัดการด้านกลยุทธ์ที่เหมาะสม และตอบสนองต่อยุทธศาสตร์ขององค์กรด้วย  ด้วยการพิจารณาดังนี้

การกำหนดกลยุทธ์และเป้าหมายในการบริหารจัดการความเสี่ยง : คุณจำเป็นจะต้องมีการระบุเป้าหมายของคุณ ในการบริหารจัดการความเสี่ยงที่สามารถวัดผลลัพธ์ได้  ไม่ยากในการปฎิบัติจนเกินไป  สามารถตรวจสอบผลลัพธ์ที่ได้จากการบริหารแผนความเสี่ยงย้อนกลับไปยังเป้าหมายของการบริหารความเสี่ยงได้ ซึ่งคุณจำเป็จะต้องมีการกำหนดเป้าหมายผลลัพธ์ของการบริหารความเสี่ยงที่เป็นตารางข้อมูลแสดงรายละเอียด เช่น

  • ประเภทของความเสี่ยง S-O-F-C
  • การบริหารความเสี่ยงนี้ใช้กลยุทธ์แบบใด?
  • เป้าหมาย  วัตถุประสงค์ และผลลัพธ์ที่คาดว่าจะเกิดขึ้น จะต้องสอดคล้องกัน ทำแล้วได้อะไร?
  • กระบวนการทำงาน มาตรการ  กิจกรรมหลัก กิจกรรมย่อยในแผนบริหารความเสี่ยงเป็นอย่างไร ?
  • ตัวชี้วัดความสำเร็จของแผนบริหารจัดการความเสี่ยง คืออะไร และเป็นอย่างไร?
  • งบประมาณที่ใช้ในการบริหารแผนฯ มีจำนวนเท่าใด ?
  • หน่วยงานใดเป็นผู้รับผิดชอบแผนบริหารความเสี่ยงนี้ ?
  • ระยะเวลาในการติดตามประเมินผล แผนบริหารจัดการความเสี่ยงนี้มีช่วงเวลาใดบ้าง?
  • กำหนดช่วงเวลา และรูปแบบในการนำเสนอความก้าวหน้าของแผนบริหารจัดการความเสี่ยงให้ คณะทำงานด้านการบริหารความเสี่ยง หรือ คณะกรรมการบริหารระดับสูง เมื่อใด ?

แผนหรือยุทธวิธี : คุณจำเป็นจะต้องมีการกำหนดยุทธวิธี ที่จะทำให้แผนบริหารความเสี่ยงนี้บรรลุผลสำเร็จตามวัตถุประสงค์ เชิงกลยุทธ์ของคุณ เช่น ด้านการตลาด วัตถุประสงค์ คือ การเพิ่มฐานลูกค้าให้ได้ถึง 50% ภายในสิ้นปีนี้ ดังนั้นคุณจำเป็นจะต้องมีการกำหนดยุทธวิธีที่จะทำให้สำเร็จ ตามลำดับขั้นที่คุณวางแผนไว้ทีละขั้นๆ

แผนปฎิบัติการ : คุณจะต้องมีการระบุกิจกรรม มาตรการ ที่เป็นแผนปฎิบัติการเป็นรายสัปดาห์  รายเดือน และรายไตรมาส เพื่อให้การดำเนินงานเป็นไปตามลำดับขั้น และบรรลุตามเป้าหมายการดำเนินงานของคุณ  แต่คุณจะต้องมีการวางแผนสำรองในกรณีที่กิจกรรม หรือ มาตรการต่างๆ ไม่ประสบความสำเร็จ หรือผิดพลาดในขั้นตอนการปฎิบัติ  ด้วยความยุ่งยากในการปฎิบัติงาน  สถานการณ์ความเสี่ยงเปลี่ยนแปลง  งบประมาณไม่เพียงพอ  ทรัพยากรบุคคลขาดทักษะความรู้   ฯลฯ

กระบวนการบริหารความเสี่ยง : คุณจำเป็นจะต้องมีการประเมินสถานการณ์และระดับความรุนแรงของการบริหารความเสี่ยง เพื่อให้บรรลุตามเป้าหมายของคุณ  ซึ่งเครื่องมือที่สำคัญและได้รับความนิยมในกระบวนการบริหารความเสี่ยง มี 3 ขั้นตอน

  • การค้นหาและระบุความเสี่ยงระดับองค์กร
  • ประเมินระดับความเสี่ยง โอกาสเกิด และผลกระทบ
  • พัฒนาแผนบริหารจัดการความเสี่ยง

กระบวนการสร้างแผนบริหารความเสี่ยงที่เหมาะสมกับองค์กร

  1. ระบุลักษณะและประเภทของความเสี่ยงที่อาจจะส่งผลกระทบต่อเป้าหมายขององค์กร
    โปรดระลึกเสมอว่าผลกระทบต่อเป้าหมายขององค์กร อาจจะมาจากปัจจัยบวก หรือ ปัจจัยลบ ก็ได้ ดังนั้นคุณจำเป็นจะต้องมีการวิเคราะห์ SWOT Analysis ของความเสี่ยงองค์กร และทำการค้นหาสาเหตุของความเสี่ยงด้วย Root Cause Analysis เพื่อค้นหาต้นกำเนิดของสาเหตุความเสี่ยง และนำสาเหตุความเสี่ยงทั้งหมดมาจัดกลุ่ม แบ่งหมวด เพื่อให้ง่ายแก่การออกมาตรการ และแนวทางในการบริหารจัดการความเสี่ยงตามลำดับขั้นของความสำคัญ
  2. ประเมินระดับโอกาสเกิด และ ความรุนแรงของ ความเสี่ยง
    การประเมินความเสี่ยง คุณจำเป็นจะต้องมีการเก็บรวบรวมข้อมูลด้วยระบบคอมพิวเตอร์ และทำการสำรวจในพื้นที่ความเสี่ยงจริง ด้วยการสัมภาษณ์ หรือ ทำแบบสอบถามประเมินสถานการณ์ด้านความเสี่ยง (Checklist Template)  ซึ่งในขั้นตอนนี้ คุณควรจะมีการปฎิบัติดังนี้
    –  มีการกำหนดเกณฑ์คะแนน โอกาสเกิด  และเกณฑ์คะแนน ผลกระทบ ที่มีความเหมาะสม และครอบคลุมรายปัจจัยความเสี่ยง (ห้ามใช้วิธีการสร้างกฎเกณฑ์เดียว ใช้กับทุกสถานการณ์ หรือใช้เกณฑ์กลางๆ ที่ไม่มีความชัดเจน หรือไม่สอดคล้องกับปัจจัยเสี่ยงรายตัว)
    – มีการกำหนดเกณฑ์ Risk Appetite และ Risk Tolerance ระดับองค์กร และ ระดับปัจจัยเสี่ยงรายตัว และสามารถนำมาใช้ได้จริง
    – มีการระบุสาเหตุความเสี่ยงแยกรายปัจจัยเสี่ยง และมีการระบุคะแนนความสำคัญของสาเหตุความเสี่ยง รวมทั้งมีการกำหนดความสัมพันธ์ของสาเหตุความเสี่ยง กับปัจจัยเสี่ยง และภายในกลุ่มของสาเหตุความเสี่ยง เพื่อหาต้นกำเนิดของสาเหตุความเสี่ยง
  3. การวางแผนตอบสนองต่อความเสี่ยงที่ระบุ
    เมื่อคุณดำเนินการตามข้อ 2. เสร็จแล้วคุณก็จะต้องจัดลำดับความสำคัญของความเสี่ยงที่มีความรุนแรงสูง และสาเหตุของความเสี่ยง ที่เป็นต้นกำเนิดของความเสี่ยง จากการกำหนดความสัมพันธ์ของสาเหตุความเสี่ยงภายในกลุ่ม  ต่อมาคุณก็จำเป็นจะต้องเลือกวิธีการจัดการความเสี่ยงเหล่านี้
    – ยอมรับความเสี่ยง
    – ลด/บรรเทา ความเสี่ยง
    – หลีกเลี่ยงความเสี่ยง
    – ถ่ายโอนความเสี่ยง
  4. การกำหนดมาตรการ/กิจกรรมเพื่อบริหารจัดการความเสี่ยง 
    ในขั้นตอนนี้ คุณจำเป็นจะต้องมีการตั้งคณะทำงานฯ เพื่อระดมสมองมาบริหารจัดการความเสี่ยง โดยมีผู้รับผิดชอบความเสี่ยง risk owner เป็นผู้ดูแล และมีคณะทำงานฯ เป็นผู้ให้ความเห็น ข้อแนะนำ กำกับดูแล ติดตาม และประเมินผล ตามระยะเวลาที่กำหนด
  5. การติดตามประเมินผลแผนบริหารจัดการความเสี่ยง
    การติดตามประเมินผลก็เป็นขั้นตอนที่สำคัญอีกเช่นกัน เพื่อตรวจสอบกระบวนการบริหารจัดการความเสี่ยง สามารถดำเนินการได้อย่างมีประสิทธิภาพ และบรรลุตามวัตถุประสงค์ของการบริหารจัดการความเสี่ยง ซึ่งเป็นหน้าที่ของคณะทำงานฯ ที่จะต้องมีการเรียกประชุมเพื่อตรวจสอบความก้าวหน้าของแผนฯ
  6. การทบทวนแผนบริหารความเสี่ยง
    กระบวนการทบทวนทวนแผนบริหารความเสี่ยงก็มีความสำคัญ เพราะแผนบริหารความเสี่ยงไม่สามารถยืนยันได้ว่าจะมีการระบุกิจกรรม หรือ มาตรการจัดการความเสี่ยงที่มีประสิทธิภาพ และควบคุมความเสี่ยงได้ตามที่ต้องการเสมอไป  รวมทั้งอาจจะต้องมีการปรับปรุงมาตรการ หรือ กิจกรรมลดความเสี่ยงบางประเภทให้มีความเหมาะสมตามสถานการณ์ความเสี่ยงที่เปลี่ยนแปลงไป

ส่วนที่ยากที่สุดของแผนบริหารความเสี่ยง คือ ใครจะเป็นผู้นำความคิด  กิจกรรม  มาตรการต่างๆ มารวมกันจนกลายเป็นแผนบริหารความเสี่ยงที่มีความเหมาะสมกับประด็นความเสี่ยงแต่ละตัวที่มีความสำคัญสูง เพราะเจ้าหน้าที่ส่วนใหญ่ก็ยังขาดทักษะในการบริหารจัดการความเสี่ยง และมีการโยกย้ายตำแหน่งภายในองค์กรทุกปี  ซึงเจ้าหน้าที่บริหารความเสี่ยงก็อยากย้ายไปอยู่ส่วนงานอื่นๆ เพราะงานบริหารความเสี่ยงมีความยุ่งยากมาก  ต้องคอยตอบคำถามผู้บริหาร  กำกับดูแลหน่วยงานที่เป็นเจ้าของความเสี่ยง  เข้ารับการอบรมเกี่ยวกับมาตรการบริหารความเสี่ยงที่มีความยุ่งยาก  ซับซ้อน  ตอบคำถามและจัดทำเอกสารด้านการบริหารความเสี่ยง ให้กับองค์กรและหน่วยงานภายนอกองค์กร  ถูกผู้บริหารเพ่งเล่งกรณีที่มีปัญหาแล้วหน่วยงานบริหารความเสี่ยงตอบไม่ได้ หรือไม่มีคำตอบ “หน่วยงานบริหารความเสี่ยงไม่ใช่ หน่วยงานที่จะรู้งานของคนอื่นๆ ทุกเรื่องนะครับ” แต่เป็นหน่วยงานที่กำกับดูแลการบริหารจัดการความเสี่ยง และการวิเคราะห์ความเสี่ยงที่อาจจะเกิดขึ้นในองค์กร ด้วยทฤษฎีการบริหารความเสี่ยงที่ได้รับการอบรมมาเท่านั้น

ดังนั้น ทุกหน่วยงานจำเป็นจะต้องมีการฝึกอบรมด้านการบริหารความเสี่ยง  แต่อยากให้มีการศึกษาวิเคราะห์ ข้อมูลความเสี่ยงภายในองค์กรของท่านให้ชัดเจน  กำหนดวัตถุประสงค์ของการฝึกอบรให้ชัดเจน  ให้เจ้าหน้าที่มีประสบการณ์พอสมควรเข้ารับฟัง และประชุมร่วมกับวิทยากรหรือที่ปรึกษา เกี่ยวกับปัญหาที่ท่านประสบอยู่ และให้ช่วยแนะนำแบบลักษณะโค้ช  ไม่ใช่แค่มาเล่าทฤษฎีให้หมดชั่วโมง แล้วก็กลับบ้านนะครับ

สุดท้ายนี้ขอให้ทุกๆ ท่านประสบความสำเร็จในการบริหารจัดการความเสี่ยง ครับ

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com

https://eiamsri.wordpress.com 

พฤษภาคม 20, 2013 Posted by | Risk Management | | ใส่ความเห็น

มุมมองด้านการบริหารความเสี่ยง : Various Aspects of Risk Management


สวัสดี ครับ

วันนี้อยากจะคุยกันเกี่ยวกับการบริหารความเสี่ยงในระดับองค์กร อีกสักพักเพราะหลายหน่วยงานก็ยังมีปัญหาและการทำความเข้าใจเกี่ยวกับการบริหารความเสี่ยงกันอยู่ การบริหารความเสี่ยงระดับองค์กรเป็นสิ่งสำคัญ และมีความจำเป็นอย่างมากที่จะต้องมีการศึกษา วิเคราะห์ และตรวจสอบความถูกต้อง เพือนำมาปรับปรุงแก้ไขปัญหาต่างๆ ในระหว่างการดำเนินงานบริหารความเสี่ยง เพื่อให้ได้ผลลัพธ์ตามวัตถุประสงค์ขององค์กร  ซึ่งกระบวนการที่จะทำให้การบริหารความเสี่ยงระดับองค์กร บรรลุตามวัตถุประสงค์ได้นั้นมีความยุ่งยาก ซับซ้อน และใช้ทรัพยากรบุคคลมากพอสมควร นอกจากนี้ก็จำเป็นจะต้องใช้เวลาที่นานพอสมควร

การบริหารความเสี่ยงระดับองค์กร หมายความว่าอย่างไร?  การบริหารความเสี่ยงระดับองค์กรเป็นเพียง “การระบุ”  “การประเมิน” และ “การวางแผน” และ “การควบคุม” สิ่งที่คุกคามมาจากเศรษฐกิจ  สังคม หรือเกิดจากทางกายภาพภายในองค์กรเอง  ดังนั้นจึงจำเป็นจะต้องหาวิธีการมาจัดการความเสี่ยงเหล่านี้ด้วยการประเมินระดับความรุนแรงของปัญหาที่เป็นความเสี่ยงเหล่านี้ ด้วยการ “ลดความเสี่ยง”  “ยอมรับความเสี่ยง” “การถ่ายโอนความเสี่ยง” “การหลีกเลี่ยงความเสี่ยง” เมื่อตัดสินใจบริหารจัดการความเสี่ยงองค์กร ก็จะนำไปสู่การวางแผนลดความเสี่ยงในเชิงลบ แล้วจะทำอย่างไร?

เรามีคำตอบที่ดี สำหรับคำถามข้างต้น คือ กระบวนการบริหารและจัดการความเสี่ยงไม่ได้เป็นเพียงการ จำกัด การควบคุมภัยคุกคาม หรือ การลดผลกระทบเชิงลบขององค์กรคุณ  มันเป็นแนวความคิดที่ลึกซึ่งกว่านั้น เพราะการบริหารความเสี่ยงยังเกี่ยวข้องกับการหลีกเลี่ยงด้วยเช่นกัน  และการบริหารความเสี่ยงจำเป็นจะต้องค้นหาความสัมพันธ์กันของสาเหตุปัญหาที่ทำให้เกิดความเสี่ยง เพราะสาเหตุของปัญหาที่ทำให้เกิดความเสี่ยงอาจจะมาจากต้นกำเนิดเดียวกัน

การบริหารจัดการความเสี่ยง ไม่มีกฏระเบียบที่ออกแบบมาเฉพาะแก้ไขปัญหาได้ทุกเรื่อง  หรือออกกฎระเบียบที่หนัก รุนแรง และรวดเร็ว มาใช้ในการบริหารจัดการความเสี่ยงได้ทุกเรื่อง  แต่การบริหารจัดการความเสี่ยงจำเป็นจะต้องมีการใช้ระบบการปฎิบัติงาน และกระบวนการในการทำงานขององค์กร มาเป็นตัวแก้ไขปัญหาด้านการบริหารความเสี่ยงภายในองค์กร  ซึ่งการเลือกวิธีการบริหารจัดการก็จะขึ้นอยู่กับวัฒนธรรมองค์กร  อุตสาหกรรม  และกฎเกณฑ์ที่ถูกกำกับจากหน่วยงานภายนอก อีกมากมายที่จำเป็นจะต้องได้รับการวิเคราะห์ เช่น สภาพแวดล้อมภายใน และ สภาพแวดล้อมภายนอกองค์กร และระดับความสามารถในการบริหารจัดการความเสี่ยงขององค์กร อย่างมีประสิทธิภาพ

ดังนั้น หน่วยงานที่กำกับดูแลด้านการบริหารความเสี่ยงภายในองค์กร จำเป็นอย่างมากที่จะต้องมีการศึกษา วิเคราะห์ปัญหาที่ทำให้เป็นความเสี่ยง วางแผนในการแก้ไขความเสี่ยงเหล่านี้  และวางแผนเกี่ยวกับงบประมาณที่จำเป็นจะต้องใช้  สุดท้ายจะต้องมีข้อสรุปร่วมกันว่าองค์กรต้องการวิธีการจัดการความเสี่ยงในรูปแบบใด ที่เหมาะสมที่สุด

เมื่อคุณได้ทำการตัดสินใจเกี่ยวกับการวางแผนบริหารจัดการความเสี่ยงเรียบร้อยแล้ว  คุณจำเป็นจะต้องมีการตรวจสอบอย่างละเอียด และสอบถามตัวเอง สอง ถึง สาม คำถามก่อนว่าคุณจะดำเนินการต่อไปอย่างไร?  ซึ่งคำถามเหล่านี้จะทำให้คุณเข้าใจโครงร่างเกี่ยวกับการออกแบบและการวางแผนบริหารความเสี่ยง ในสิ่งที่คุณจะต้องทำและมองไปข้างหน้า  ในขณะเดียวกันการออกแบบและการพัฒนากระบวนการบริหารจัดการความเสี่ยงของคุณ ควรจะต้องมีการพิจารณาสิ่งเหล่านี้

  • องค์กรของคุณจำเป็นต้องมีแผนบริหารจัดการความเสี่ยงหรือไม่ ? : นี้เป็นคำถามแรกและเป็นคำถามที่สำคัญที่สุดที่คุณจะต้องสอบถามตัวคุณเอง  ซึ่งจำเป็นจะต้องมีการตรวจสอบอย่างละเอียดเกี่ยวกับสถานการณ์ด้านความเสี่ยง  และกระบวนการตัดสินใจว่าคุณจะจัดการความเสี่ยงเหล่านี้อย่างไร?
  • แผนบริหารความเสี่ยงของคุณมีความเป็นไปได้หรือไม่? : คำถามนี้เป็นคำถามเพื่อให้คุณมั่นใจ สิ่งที่คุณค้นพบในคำถามแรก มีความถูกต้องแม่นยำ และเชื่อถือได้  ทำให้คุณออกแบบกระบวนการบริหารจัดการความเสี่ยง และมีการกำหนดงบประมาณในการบริหารจัดการความเสี่ยง
  • อะไร คือ จุดแข็ง และ จุดอ่อนของแผนบริหารความเสี่ยง? : การนำวิธีการวิเคราะห์ SWOT Analysis และ Root Cause Analysis มาใช้ในการค้นหาจุดแข็งและจุดอ่อนของแผนบริหารความเสี่ยงระดับองค์กร  จะทำให้คุณเข้าใจรูปแบบโครงสร้างของแผน และความสัมพันธ์ของสาเหตุความเสี่ยง และต้นกำเนิดของความเสี่ยงเหล่านี้ว่ามาจากจุดกำเนิดเดียวกันหรือไม่  นอกจากนี้เพื่อเป็นการสอบทานความเข้าใจในแก่แท้ของปัญหาที่ทำให้เกิดความเสี่ยงภายในองค์กร  และการเลือกวิธีการบริหารจัดการความเสี่ยงที่เหมาะสม
  • แผนบริหารความเสี่ยงมีความสอดคล้องกับวัตถุประสงค์องค์กรหรือไม่?  :  ความต้องการที่ยิ่งใหญ่ที่สุดของแผนบริหารความเสี่ยงที่จะประสบความสำเร็จ คือ มันควรจะตอบสนองวัตถุประสงค์ขององค์กร  บริษัท  ของคุณ ซึ่งคุณมีความจำเป็นจะต้องพิจารณาที่วัตถุประสงค์ของแผนบริหารความเสี่ยง  ตัวชี้วัดความสำเร็จของแผนบริหารความเสี่ยง  มีความถูกต้องแม่นยำ สอดคล้องกับวัตถุประสงค์ของการบริหารแผนความเสี่ยง
  • ทำการวิเคราะห์และทบทวนแผนบริหารความเสี่ยงตามระยะเวลาหรือไม่? : คุณจำเป็นจะต้องมีการกำหนดระยะเวลาในการตรวจสอบความเหมาะสมเกี่ยวกับกระบวนการบริหารจัดการความเสี่ยง  เครื่องมือ  ระเบียบ หรือประกาศ และมาตรการต่างๆ ที่ใช้ในการบริหารจัดการความเสี่ยง ยังสามารถควบคุม และ มีประสิทธิภาพที่ดีเพียงพอกับสถานการณ์หรือไม่?  ทีมงานที่บริหารจัดการมีความเข้าใจในแนวทางการปฎิบัติเกี่ยวกับการบริหารความเสี่ยงเหล่านี้หรือไม่?   มีความจำเป็นที่จะต้องปรับปรุงมาตรการที่จะนำมาบริหารจัดการความเสี่ยงเหล่านี้หรือไม่?
  • ตรวจสอบว่าแผนบริหารความเสี่ยงมีกิจกรรม และเครื่องมือที่ใช้ในการบริหารความเสี่ยงที่เหมาะสมหรือไม่? : แผนบริหารความเสี่ยงทีดีควรได้รับการสนับสนุนจากกิจกรรมหรือมาตรการต่างๆ ที่ระบุไว้ในแผนบริหารความเสี่ยง และมีการตอบสนองต่อเหตุการณ์ความเสี่ยงเหล่านั้นอย่างชัดเจน เพื่อลด บรรเทา หรือ จัดการความเสี่ยงเหล่านั้นไม่ให้เกิดปัญหาในระยะยาวต่อไป

หลายหน่วยงาน ที่เราไปเป็นวิทยากรบรรยายเกี่ยวกับการบริหารความเสี่ยง มักจะสอบถามว่า “มีแผนบริหารความเสี่ยงแบบครอบจักรวาลที่ใช้ได้กับทุกความเสี่ยงหรือไม่?”  ซึ่งคำถามนี้ทำให้เรา เงียบไปครู่ใหญ่!!! เพราะการที่คุณไม่เข้าใจวิธีการออกแบบ  กำหนดขั้นตอนการวิเคราะห์ความเสี่ยง  วัตถุประสงค์ของการบริหารแผนจัดการความเสี่ยง  กังวลอยู่กับงบประมาณในการจัดทำแผนที่คิดว่าเป็นเรื่องสิ้นเปลือง ซึ่งคำตอบที่เราตอบไป ก็เป็นคำตอบสั้นๆ “ไม่มีครับ” ก็เลยทำให้ต้องมาเขียนคำอธิบายเกี่ยวกับมุมมองด้านการบริหารความเสี่ยงกันใหม่อีกครั้ง เพราะคุณยังไม่เข้าใจพื้นฐานของการออกแบบแผนบริหารจัดการด้านความเสี่ยง คิดเพียงแต่ว่าขอให้มีแผนบริหารความเสี่ยง ก็เป็นอันใช้ได้  นายก็ไม่เข้าใจแผนฯ  ลูกน้องก็ประหยัดงบประมาณ  และกลัวการทำงานหนัก  สุดท้ายแผนก็ไม่บรรลุผลสำเร็จ  อย่างที่ต้องการ องค์กรก็ได้รับความเสียหาย  ทุกคนก็บอกว่าไปจ้างที่ปรึกษามาทำแผนบริหารจัดการความเสี่ยง  และตั้งทีมงานตรวจรับเอกสารด้านการบริหารความเสี่ยง  โดยที่ไม่มีความเข้าใจแผนบริหารความเสี่ยงอย่างแท้จริง  ก็เลยกลายเป็นจ้างที่ปรึกษามาทำเอกสารกระดาษส่งให้หน่วยงานภายนอกที่กำกับดูแลด้านการบริหารความเสี่ยง  โดยที่หน่วยงานผู้รับผิดชอบด้านการบริหารความเสี่ยงในองค์กรไม่เข้าใจแผนฯ

สุดท้ายนี้ เราก็จะพยามเล่าเทคนิค และวิธีการบริหารจัดการด้านความเสี่ยงในมุมมองต่างๆ รวมทั้งนำหลักทฤษฎีมาประกอบให้ง่ายแก่การเข้าใจและนำไปปฎิบัติได้เองในองค์กรของท่าน

ขอให้ทุกๆ ท่านมีความสุข กับเช้าวันจันทร์ที่ 20 พฤษภาคม 2556

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

 

พฤษภาคม 20, 2013 Posted by | Risk Management | ใส่ความเห็น

องค์ประกอบพื้นฐานที่สำคัญของการบริหารความเสี่ยง : Key Elements of the Risk Management Process


สวัสดี ครับ

วันนี้เราอยากจะคุยกันเรื่องขององค์ประกอบพื้นฐานของการบริหารความเสี่ยง ตามหลักของ การบริหารจัดการความเสี่ยงขององค์กร (ERM) ประกอบด้วย 4 องค์ประกอบ ซึ่งมีความสำคัญอย่างมากที่จะทำให้การบริหารความเสี่ยงขององค์กร ประสบความสำเร็จหรือไม่  โดยทั่วไปแล้วการบริหารความเสี่ยงจำเป็นจะต้องมีการบริหารจัดการกระบวนการบูรณาการวัฒนธรรมและโครงสร้างพื้นฐาน  มีความตั้งใจที่จะมีความยืดหยุ่นในการประยุกต์ใช้ เพราะกลยุทธ์โครงสร้างด้านปรัชญาการดำเนินงานขององค์กรด้านการบริหารความเสี่ยงมีความแตกต่างกันไปในความซับซ้อนในอุตสาหกรรมและบริษัท

ซึ่งเราจะได้เรียนรู้ร่วมกันในกระบวนการด้านล่าง

ระบุความเสี่ยง

องค์กรต่างมีการบริหารจัดการและรูปแบบของกระบวนการจัดลำดับความเสี่ยงของบริษัท ที่แตกต่างกัน ตามปัจจัยการผลิตและคุณภาพของการให้บริการ ที่บริหารความเสี่ยงตามอำนาจและกระบวนการตัดสินใจของผู้บริหารองค์กร  มีวัตถุประสงค์เพื่อตอบสนองความเสี่ยงให้มีประสิทธิภาพรวมถึงการจัดการข้อมูลเกี่ยวกับสถานะปัจจุบันของความสามารถในการบริหารความเสี่ยงที่สำคัญๆ

การประเมินความเสี่ยงจำเป็นจะต้องมีความครอบคลุมทั่วทั้งองค์กรรวมทั้งหน่วยงานภายในองค์กรที่มีความสำคัญๆ และพื้นที่การทำงานอย่างทั่วถึง  ซึ่งจำเป็นจะต้องนำมาประยุกต์ใช้อย่างมีประสิทธิภาพพร้อมกับพิจารณากลยุทธ์ทางธุรกิจหรือเป้าหมายหลักขององค์กรเป็นบริบทหลักในการประเมินความเสี่ยงที่จะพิจารณาคุณสมบัติ เช่น ผลกระทบที่เป็นความเสียหาย เทียบกับความน่าจะเป็นที่จะเกิดขึ้น

ที่มาของความเสี่ยง 

เมื่อมีการค้นพบความเสี่ยงที่สำคัญ และมีผลกระทบต่อองค์กร คุณและทีมงานบริหารความเสี่ยงมีความจำเป็นที่จะต้องเชื่อมโยงที่มาของความเสี่ยงเหล่านี้กับสาเหตุของความเสี่ยงที่เกิดขึ้น  และให้ทีมประชุมร่วมกันกับผู้บริหารเพื่อกำหนดแนวทางบริหารจัดการและควบคุมความเสี่ยง ด้วยการออกแบบตัวชี้วัดระดับความเสี่ยงเพื่อพิจารณาระดับความรุนแรงของความเสี่ยงด้วยการเปรียบเทียบกับตาราง Risk Matrix  เมื่อกำหนดระดับความรุนแรงของความเสี่ยงได้แล้วก็ให้ทำการวางแผนการตอบสนองความเสี่ยงในเชิงรุกที่แหล่งกำเนิดสาเหตุความเสี่ยง

การวัดระดับความเสี่ยง

มีสุภาษิตโบรานกล่าวไว้ว่า “ถ้าคุณไม่เข้าใจกระแสการไหลของแม่น้ำ คุณจะไม่สามารถสร้างแพข้ามแม่น้ำได้” วิธีการวัดความเสี่ยงอาจจะง่ายและอยู่บนพื้นฐานของกระบวนการจัดอันดับความเสี่ยงด้วยการให้คะแนนความเสี่ยงด้านโอกาสเกิด (Likelihood) และ การให้คะแนนความเสี่ยงด้านผลกระทบ (Impact)  รวมทั้งมีการวิเคราะห์ค่าใช้จ่ายต่างๆ ที่ใช้ในการบริหารจัดการความเสี่ยงเหล่านั้น  และการวิเคราะห์ความอ่อนไหว และความไวต่อการเกิดความรุนแรงกับองค์กร เป็นต้น

คุณต้องระลึกเสมอว่า “การไร้ความสามารถในการบริหารจัดการและวัดระดับความรุนแรงของความเสี่ยง  ไม่ได้ทำให้ความเสี่ยงเหล่านั้นหายไป” 

การประเมินความเสี่ยง

บนพื้นฐานของความเสี่ยงที่มีความสำคัญระดับองค์กร และสามารถระบุต้นเหตุ (ที่มาของความเสี่ยง) จะเป็นสิ่งที่ดีมากในการประเมินความเสี่ยง เพราะจะทำให้เข้าใจลักษณะของความเสี่ยงมากขึ้น  ดังนั้นกระบวนการวัดและการตัดสินใจเกี่ยวกับการตอบสนองความเสี่ยงที่เหมาะสม จึงเป็นสิ่่งที่จำเป็นและมีความสำคัญมากเช่นเดียวกัน ซึ่งการตอบสนองความเสี่ยงสามารถแบ่งออกได้เป็น 4 ระดับด้วยกัน (1) การยอมรับความเสี่ยง  (2) การลดความเสี่ยง  (3) การแบ่งปันความเสี่ยง (การถ่ายโอนความเสี่ยง)  (4) การหลีกเลี่ยงความเสี่ยง  ซึ่งเป็นกระบวนการของการบริหารความเสี่ยงระดับองค์กร

การบริหารและจัดการความเสี่ยง ทีมงานตัวแทนองค์กร จะต้องเลือกวิธีการที่จะตอบสนองความเสี่ยงด้วยการแบ่งออกเป็น 4 ระดับข้างต้น  และเมื่อเลือกวิธีการจัดการความเสี่ยงได้แล้วจำเป็นที่จะต้องมีการวิเคราะห์และประเมินต่อไปว่าความเสี่ยงที่เกิดจากปัจจัยความเสี่ยงนี้ มีสาเหตุมาจากอะไร?   และมีความเกี่ยวข้องกับธุรกิจหลัก หรือมีระดับความรุนแรงที่จะส่งผลกระทบต่อธุรกิจขององค์กรได้มากน้อยขนาดไหน?  มีโอกาสเกิดขึ้นในช่วงเวลาใด?  เคยเกิดขึ้นมาแล้วหรือไม่?  เมื่อเกิดขึ้นมาแล้วสามารถบริหารจัดการได้หรือไม่?  เครื่องมือที่ใช้ในการบริหารจัดการความเสี่ยงนี้คืออะไร?  ฯลฯ  คำถามเหล่านี้ทีมงานที่เป็นตัวแทนขององค์กรจำเป็นจะต้องหาคำตอบให้ได้ และนำเสนอให้ผู้บริหารรับทราบและตัดสินใจดำเนินการต่อไป

วิเคราะห์ค่าใช้จ่ายต่างๆ ที่ใช้ในการบริหารจัดการความเสี่ยงเหล่านั้น  และการวิเคราะห์ความอ่อนไหว และความไวต่อการเกิดความรุนแรงกับองค์กร เป็นต้น

 

การลดความเสี่ยง

เมื่อตัวแทนขององค์กรสามารถประเมินความเสี่ยง และทำการวิเคราะห์ระดับโอกาสเกิด และผลกระทบจากปัจจัยเสี่ยง และค้นหาสาเหตุของความเสี่ยงเหล่านี้ได้ครบ  เลือกวิธีการจัดการความเสี่ยงได้แล้ว ก็ถึงขั้นกระบวนการลดความเสี่ยงเป็นวิธีการปฎิบัติ หรือที่เรียกว่า (Risk Action Plan)  ซึ่งต้วแทนองค์กร จะต้องประชุมร่วมกับผู้รับผิดชอบความเสี่ยง (Risk Owner) ถึงแนวทางลดความเสี่ยงที่เกิดจากปัจจัยเสี่ยงเหล่านี้ที่มีผลกระทบต่อองค์กรสูง และมีความจำเป็นที่จะต้องทำการบริหารจัดการด้วยการลดความเสี่ยง

ผู้รับผิดชอบความเสี่ยง (Risk Owner) ก็จำเป็นจะต้องนำเสนอแนวทาง เช่น

– การเชิญผู้เชี่ยวชาญมาให้ความรู้ ถ้าเป็นความเสี่ยงที่เกิดจากการขาดทักษะความรู้ของเจ้าหน้าที่

– การจัดประชุมสัมมนา Focus Group เฉพาะผู้เชี่ยวชาญภายในองค์กรเพื่อกำหนดเป็นแผนงาน หรือ โครงการเสนอให้ผู้บริหารอนุมัติใช้

– การเขียนร่างประกาศ หรือ ระเบียบ ภายในองค์กรให้มีความชัดเจนในเรื่องนั้นๆ และนำเสนให้ผู้บริหารสูงสุดพิจารณาอนุมัติ

– การจ้างที่ปรึกษาจากภายนอกมาให้คำแนะนำและทำการปรับปรุงกระบวนการทำงานที่บกพร่องพร้อมอบรมกระบวนการทำงานให้ถูกต้อง

ข้อมูลข้างต้นเป็นเพียงแนวทางตัวอย่างที่หน่วยงานที่รับผิดชอบ (Risk Owner) จำเป็นจะต้องประชุมร่วมกับตัวแทนองค์กรในการพิจารณาแผนลดความเสี่ยง

 

การตรวจสอบความเสี่ยง 

ขั้นตอนนี้เป็นกระบวนการติดตามและตรวจสอบความเสี่ยงที่ได้มีการจัดทำแผนลดความเสี่ยง (Risk Action Plan) ว่ามีการดำเนินการตามที่ได้มีการวางแผนไว้หรือไม่ และการดำเนินงานนั้นมีประสิทธิภาพเพียงพอที่จะทำให้ความเสี่ยงเหล่านี้ลดลงมาอยู่ในระดับที่สามารถยอมรับได้หรือไม่   ซึ่งกระบวนการตรวจสอบความเสี่ยงจะเป็นหน้าที่ของ กอง/ส่วน/งาน บริหารความเสี่ยง และควบคุมภายใน ขององค์กรที่จะทำการติดตามความก้าวหน้าของแผนบริหารความเสี่ยงทุกไตรมาส

ถ้ามาตรการหรือกิจกรรม ที่ได้มีการออกแบบและดำเนินการเพื่อลดความเสี่ยงเหล่านี้ไม่ได้ผล ก็จำเป็นที่จะต้องเพิ่มมาตรการและความเข้มข้นของการบริหารจัดการความเสี่ยงเข้าไปอีก เพื่อให้การบริหารจัดการความเสี่ยงลดลงมาอยู่ในระดับที่สามารถยอมรับได้

กระบวนการตรวจสอบความเสี่ยงจำเป็นที่จะต้องมีการายงานผลการดำเนินงานรายไตรมาส ให้กับคณะกรรมการบริหารความเสี่ยง (RMC) พิจารณาความก้าวหน้าของการบริหารจัดการความเสี่ยงด้วยทุกครั้ง เพื่อเป็นหลักฐานและเพื่อขอความเห็นในการจัดการความเสี่ยงที่มีความรุนแรงและไม่สามารถควบคุมความเสี่ยงเหล่านั้นได้

 

สิ่งที่ได้มีการเล่าให้ฟังเหล่านี้เป็นกระบวนการบริหารความเสี่ยงขั้นพื้นฐานที่ทุกคน และทุกหน่วยงานจะต้องมีความเข้าใจที่ตรงกันก่อน และเมื่อทุกๆ ท่านเข้าใจกระบวนการพื้นฐานเหล่านี้ดีแล้ว ก็ให้อ่านบทความส่วนอื่นๆ ที่อยู่ในเว็บบล็อกนี้ ท่านก็จะเข้าใจกระบวนการในเชิงลึกของแต่ละขั้นตอนที่มีรายละเอียดย่อยๆ มากขึ้น

 

สุดท้ายนี้หวังเป็นอย่างสูงว่าทุกๆ ท่านจะสามารถนำความรู้ที่ได้จากบล็อกนี้ไปใช้ประโยชน์กับองค์กรของตน และเกิดความรู้ ความเข้าใจและนำไปสู่การปฎิบัติงานได้อย่างถูกต้องและเกิดประสิทธิภาพกับองค์กร

 

ขอให้ทุกๆ ท่านโชคดี มีความสุข อากาศมันร้อน อะไรที่อภัยกันได้ ก็อภัยให้กันนะครับ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

www.interfinn.com 

https://eiamsri.wordpress.com 

เมษายน 26, 2013 Posted by | Risk Management | | ใส่ความเห็น

9 ขั้นตอนการเริ่มต้นความเสี่ยง (Enterprise Risk Management : ERM)


สวัสดี ครับ

วันนี้อยากจะเล่าเรื่องการบริหารความเสี่่ยง ที่ห่างหายการเขียนไปนานมากแล้ว เพราะดูจากปริมาณผู้ที่เข้ามาเยี่ยมชมเว็บไซต์ ต่างให้ความสนใจค้นคว้าเกี่ยวกับความเสี่ยงเป็นปริมาณที่มากพอสมควร ก็เลยอยากจะเล่าเรื่องความเสี่ยงให้ทุกๆ ท่านพิจารณากันครับ

ความเสี่ยงที่เป็นแบบ ERM มักเป็นคำถามที่พบได้บ่อยมากสำหรับคำนี้ แต่คำถามตามมาทันที ก็คือเราจะเริ่มต้นอย่างไร? แบบไหน?  อย่างไร?  มีตัวอย่างไหม?  ใครทำแบบนี้บ้าง?  และอีกมากมาย

ขั้นตอนการเริ่มต้นความเสี่ยงองค์กรในแบบ ERM 

ขั้นที่ 1 : ดำเนินการประเมินความเสี่ยงขององค์กรด้วยตนเอง ( Enterprise Risk Assessment : ERA)  เพื่อประเมินและจัดลำดับความเสี่ยงที่สำคัญ

ทีมงานบริหารความเสี่ยงขององค์กร มีความจำเป็นที่จะต้องเข้าใจบริบท และกลยุทธ์ขององค์กรอย่างท่องแท้และชัดเจน  สำหรับการระบุและจัดลำดับความสำคัญของความเสี่ยงขององค์กร  และกำหนดปัจจัยความเสี่ยง นอกจากนี้ผู้บริหาร และสำนักผู้ตรวจสอบภายใน ควรจะมีส่วนร่วมในการเข้าประชุมเพื่อกลั่นกรองประเด็นความเสี่ยงและปัจจัยเสี่ยง ขององค์กร และของสำนัก/ฝ่าย/กอง ต่างๆ ในองค์กรให้ชัดเจน

นอกจากนี้ ทีมงานบริหารความเสี่ยงจำเป็นที่จะต้องทำการเชื่อมโยงปัจจัยเสี่ยงกับแผนยุทธศาสตร์ และกลยุทธ์ขององค์กร และความเสี่ยงเหล่านี้จะต้องได้รับการยอมรับจากผู้บริหาร และ คณะอนุกรรมการบริหารความเสี่ยง ขององค์กรด้วยครับ

ขั้นที่ 2 : การวิเคราะห์ความเสี่ยงแบบ ERM นี้การคัดกรองประเด็นความเสี่ยงและปัจจัยเสี่ยงจะต้องทำเพื่อปิดช่องว่างยุทธศาสตร์ขององค์กร 

แนวทางในการวิเคราะห์ความเสี่ยงขององค์กรในรูปแบบของ ERM COSO ที่ถูกต้องและเป็นการปิดช่องว่างด้านยุทธศาสตร์ขององค์กร ต้องดำเนินการ ดังนี้ 

  1. ทำการวิเคราะห์ SWOT Analysis ขององค์กร และทีมงานบริหารความเสี่ยงจะเลือกเฉพาะ ประเด็นจุดอ่อน และอุปสรรคขององค์กร มาพิจารณาหาความเสี่ยงขององค์กร ด้วยการแบ่งแยกออกเป็น จุดอ่อนหลัก และจุดอ่อนรอง, อุปสรรค และ อุปสรรครอง 
  2. ทำการวิเคราะห์ แผนยุทธศาสตร์ที่มีความสำคัญ ต่อองค์กร  กลยุทธ์ที่นำมาใช้แล้วเกิดอุปสรรคต่อการดำเนินงาน  โครงการที่มีปัญหาและอุปสรรคในระหว่างดำเนินงานของโครงการ (โครงการเหล่านี้จะต้องมีผลต่อความสำเร็จของกลยุทธ์องค์กรและยุทธศาสตร์องค์กร)
  3. ทำการวิเคราะห์ Strategy Map ขององค์กร
  4. ทำการวิเคราะห์เป้าหมายและวัตถุประสงค์ที่จะต้องดำเนินการให้สำเร็จในปีงบประมาณปัจจุบัน
  5. ทำการวิเคราะห์ การจัดทำบันทึกข้อตกลงการประเมินผลงานรัฐวิสาหกิจ (Performance Agreement) สำหรับรัฐวิสาหกิจ ในประเด็นใดบ้างที่องค์กรมีปัญหา หรือ อุปสรรค ที่ไม่สามารถดำเนินการได้
  6. ทำตารางเปรียบเทียบปัญหาและทำการคัดกรองประเด็นความเสี่ยงต่างๆ ให้ตรงกับตัวอย่างหนังสือการวิเคราะห์ความเสี่ยง ที่ สคร. แจกให้กับทุกรัฐวิสาหกิจ จะดีที่สุดเพื่อป้องกันปัญหาความเข้าใจที่ไม่ตรงกันในด้านการตีความหมายครับ 

ในขั้นตอนนี้ คุณจะต้องสามารถเลือก ประเด็นความเสี่ยง (Risk Title) และปัจจัยเสี่ยง (Risk Factor / Risk Event) ให้สอดคล้องกับ
ข้อ1-4 ด้านบน และจะต้องเป็นการเลือกปัจจัยเสี่ยงที่สามารถอธิบายความสอดคล้องได้ด้วยรหัสที่อยุ่ด้านหน้า ปัจจัยเสี่ยง เช่น

         C1-RF.S1 ชื่อปัจจัยเสี่ยง

S1-RF.S2 ชื่อปัจจัยเสี่ยง

อธิบาย C1 = ความเสี่ยงด้านลูกค้า (Customers, Products) ชื่อย่อที่มาจากชื่อเป้าประสงค์,  PA,  SWOT, BSC

               RF = Risk Factor  หมายถึง ปัจจัยเสี่ยง

               S1 = ชื่อกลยุทธ์  หมายถึง เป็นความเสี่ยงด้านใดใน 4 ด้าน  ( S, O, F, C )

ในขั้นตอนที่ 2 นี้เป็นขั้นตอนที่ยากพอสมควร เพราะคุณจำเป็นที่จะต้องศึกษาข้อมูลในข้อ 1-5 อย่างละเอียดและมาทำการคัดกรองให้เป็น ข้อ 6 เพื่อเสนอ คณะกรรมการบริหารความเสี่ยง (RMC) และคณะกรรมการบริหารขององค์กร พิจารณาความเสี่ยงขององค์กร

ขั้นที่ 3 : การกำหนด Risk Appetite and Risk Tolerance ขององค์กร 

ขั้นตอนนี้ เป็นขั้นตอนที่ยากพอสมควรอีกเช่นกัน เพราะทีมงานบริหารความเสี่ยง และอนุคณะทำงานด้านการบริหารความเสี่ยง จะต้องทำการนำประเด็นความเสี่ยงและปัจจัยเสี่ยงมาทำการวิเคราะห์ เกณฑ์ความเสี่ยงที่องค์กรสามารถยอมรับได้ ให้มีความสอดคล้องกับปัจจัยเสียงขององค์กร

การวิเคราะห์ Risk Appetite และ Risk Tolerance จำเป็นจะต้องนำค่า บันทึกข้อตกลงการประเมินผลงานรัฐวิสาหกิจ (Performance Agreement) และค่าเป้าประสงค์ตามตัวชี้วัดขององค์กร มากำกับเพื่อให้ได้ค่า Risk Appetite และ Risk Tolerance ขององค์กรจริงๆ  นอกจากนี้ ทีมงานบริหารความเสี่ยงจำเป็นจะต้องทำการวิเคราะห์และเปรียบเทียบ  ค่า Risk Appetite และ Risk Tolerance แยกรายปัจจัยเสี่ยงแต่ละตัวด้วย เพื่อใช้ในการเปรียบเทียบรายปัจจัยเสี่ยง 

ขั้นที่ 4 : การกำหนดค่าโอกาสเกิด Likelihood และ ค่าผลกระทบ Impact แยกรายปัจจัยเสี่ยง 

ขั้นตอนนี้ เป็นการกำหนดค่าเกณฑ์โอกาสเกิด และ เกณฑ์ผลกระทบ ของปัจจัยเสี่ยงระดับองค์กร  ซึ่งมีความจำเป็นที่จะต้องมีการกำหนดค่าเกณฑ์ โอกาสเกิด และ เกณฑ์ผลกระทบ แยกรายปัจจัยเสี่ยง ในกรณีต่างๆ

ในขั้นตอนนี้ ทีมงานบริหารความเสี่ยง จำเป็นจะต้องมีการวิเคราะห์เหตุการณ์ต่างๆ ขึ้นมาก่อนว่าจะมีเหตุการณ์ความเสี่ยงในกรณีใดได้บ้าง เช่น

 ความเสี่ยงด้านการเงิน   สถานการณ์ เช่น ความเสี่ยงด้านการทุจริตของพนักงาน      ความเสี่ยงด้านการขาดสภาพคล่องทาง
การเงิน    ความเสี่ยงด้านการลงทุนที่ผิดพลาดหรือไม่คุ้มค่า   ความเสี่ยงด้านการเบิกจ่ายงบประมาณ

ความเสี่ยงด้านชื่อเสียง  สถานการณ์ เช่น ความเสี่ยงด้านชื่อเสียงที่ไม่ดีขององค์กร หรือ ผลิตภัณฑ์ที่ผิดพลาดแล้วสังคมประนาม

ความเสี่ยงที่เกิดจากการพูดดูหมิ่นบุคคลอื่นๆ และมีการฟ้องร้อง

 ความเสี่ยงด้านทรัพย์สิน สถานการณ์ เช่น ความเสี่ยงด้านทรัพย์สินสูญหาย  หรือ ทรัพย์สินเสื่อมสภาพเร็วกว่ากำหนด

                                                                    เช่น ถนนพังเร็วกว่าระยะเวลาที่กำหนด หรือ อุปกรณ์ที่อยู่ในรถยนต์เสียหาย ที่ขายให้ลูกค้า เป็นต้น  

 ความเสี่ยงด้านกฎระเบียบ และกฎหมาย สถานการณ์ เช่น ความเสี่ยงด้านกฎหมายที่่ประกาศออกมาใหม่ และทำให้บริษัท หรือ

                                                                                                 องค์กรจะต้องมีการปรับมาตรการบางอย่างเพิ่มเติม หรือ ดำเนินงานด้านธุรกรรมบาง

                                                                                                  อย่างไม่ได้ เป็นต้น 

ดังนั้น ทีมงานบริหารความเสี่ยงจำเป็นที่จะต้องมีการคิดสร้างสรรค์ สถานการณ์ด้านความเสี่ยงขั้นมาก่อน และค่อยดำเนินการวิเคราะห์หาโอกาสเกิด และ ผลกระทบที่เกิดจากปัจจัยเสี่ยง เหล่านั้นในทุกมิติ ที่คาดว่าจะเกิดขึ้น และกำหนดระดับโอกาสเกิด และ ระดับความรุนแรง ออกเป็น 5 ระดับ ตามเกณฑ์ของ COSO

ขั้นที่ 6 : การวิเคราะห์สาเหตุความเสี่ยง (Risk Root Cause) 

ขั้นตอนนี้ เป็นการวิเคราะห์สาเหตุที่เกี่ยวข้องกับปัจจัยเสี่ยงแยกรายปัจจัยเสี่ยง  ซึ่งผู้วิเคราะห์สาเหตุความเสี่ยงจะเป็น หน่วยงานที่รับผิดชอบปัจจัยเสี่ยงขององค์กรในแต่ละตัว ที่จะต้องระดมสมองช่วยกันคิดปัจจัยเสี่ยงเหล่านี้มีสาเหตุมาจากอะไร และอนุคณะกรรมการบริหารบริหารความเสี่ยงจะมีส่วนช่วยในการคัดกรองคำและความหมายของสาเหตุความเสี่ยงให้มีมาตรฐาน สามารถนำไปใช้ได้ในรูปแบบมาตรฐาน เพราะ เราจะไม่เห็นด้วยอย่างมาก ถ้าองค์กรใดคิดคำที่เป็นสาเหตุความเสี่ยงแล้ว ไม่สามารถอธิบายความเชื่อมโยงกับขั้นที่ 2 ได้

การคัดกรองคำสำหรับ สาเหตุความเสี่ยง จะต้องมีความหมายที่เชื่อมโยง หรือ สะท้อนความเสี่ยงที่เกิดหรือมีผลกระทบต่อขั้นตอนที่ 2 ได้เพราะอย่าลืมว่า สาเหตุความเสี่ยงจะเป็นตัวตั้งต้นในการนำไปวางแผนด้านการบริหารจัดการความเสี่ยง และสรุปหาความสัมพันธ์ของสาเหตุความเสี่ยงเพื่อนำไปจัดทำ Risk Map ขององค์กร  ถ้าคุณคิดแต่ว่าใช้คำง่ายๆ ไม่มีความเชื่อมโยงและสอดคล้องกับ ขั้นที่ 2  เรารับรองได้เลยว่าคุณจะมีปัญหาในการจัดทำ Risk Map และ การจัดทำแผนบริหารความเสี่ยงอย่างแน่นอนที่สุด  

ขั้นที่ 7 : การประเมินความเสี่ยง (Risk Evaluation) 

ขั้นตอนนี้ เป็นการประเมินความค่าความเสี่ยงแยกรายปัจจัยเสี่ยงด้วยการเทียบกับเกณฑ์ โอกาสเกิด และเกณฑ์ผลกระทบ ในระดับเกณฑ์ คะแนน 1-5  ซึ่งในขั้นตอนนี้มีความจำเป็นที่จะต้องพิจารณาค่า การวิเคราะห์ Risk Appetite และ Risk Tolerance และค่าเกณฑ์โอกาสเกิด และ เกณฑ์ผลกระทบ ของปัจจัยเสี่ยงระดับองค์กร

  1. เมื่อทำการประเมินความเสี่ยงแยกรายปัจจัยเสี่ยงเรียบร้อยแล้ว ก็เข้าสู่กระบวนการค่า (L) x (I) = คะแนนความเสี่ยง มาทำการวิเคราะห์ใน Risk Matrix ขององค์กร  (ซึ่งเราจะเล่าเกี่ยวกับวิธีการคำนวณ Risk Matrix) อีกครั้งแยกเป็นเรื่องต่างหาก ครับ 
  2. ทำการวิเคราะห์ Root Cause Analysis ซึ่งหลายคนจะสงสัยวิธีการวิเคราะห์ Root Cause Analysis  หมายถึง การวิเคราะห์ความซ้ำของสาเหตุของปัญหา และค้นหาความเชื่อมโยงของสาเหตุของปัญหากับปัจจัยความเสี่ยง ต่างๆแบบทั่วทั้งองค์กร
  3. ทำการวิเคราะห์ต้นเหตุของ ปัจจัยเสี่ยง และ ต้นเหตุของสาเหตุของปัญหา ที่ทำให้เกิดความเสี่ยงข้างเคียงต่างๆ ขึ้นมาในองค์กร ในขั้นตอนนี้มีความจำเป็นที่จะต้องใช้ผู้เชี่ยวชาญด้านการบริหารความเสี่ยงมาช่วยสนับสนุน ครับ
  4. ทำการวิเคราะห์และออกแบบ Risk Map ซึ่ง Risk Map ที่ดีจะต้องสามารถแสดงความเชื่อมโยงของปัจจัยความเสี่ยงกับสาเหตุความเสี่ยงได้   สามารถระบุ โอกาสเกิด และผลกระทบ ปัจจัยเสี่ยงได้  และสาเหตุความเสี่ยงได้  นอกจากนี้ควรจะสามารถระบุน้ำหนักของสาเหตุความเสี่ยงว่ามีความสำคัญ สูง  กลาง   ต่ำ ได้ ด้วยการแยกรายสาเหตุความเสี่ยง

ขั้นที่ 8 : การจัดการความเสี่ยง (Risk Management)

ขั้นตอนนี้ เป็นการวิเคราะห์หาแนวทางในการบริหารจัดการความเสี่ยงที่มีคะแนนความเสี่ยงสูง ๆ ด้วยการทำแผนบริหารจัดการความเสี่ยงหรือมาตรการลดความเสี่ยง ซึ่งมีอยู่ 4 วิธีการ 1) ยอมรับความเสี่ยง   2) ลดความเสี่ยง / ควบคุมความเสี่ยง  3) หลีกเลี่ยงความเสี่ยง  4) ถ่ายโอนความเสี่ยง

ถ้าคุณเลือกวิธีการ ลดความเสี่ยง  หมายถึง คุณจะต้องมีการกำหนดแผนบริหารจัดการความเสี่ยง ที่มีการวางแผนแบบเป็นรูปธรรม สามารถวัดผลการดำเนินงานได้  สามารถวัดประสิทธิภาพการทำงาน และผลลัพธ์ที่คาดว่าจะเกิดขึ้นได้  กำหนดงบประมาณ และระยะเวลาที่แน่นอน ระบุผู้รับผิดชอบในการทำแผนบริหารความเสี่ยง ที่ชัดเจน  ซึ่งเรืองนี้มีความยุ่งยากและซับซ้อนพอสมควร  ในความเห็นของเรา คุณจำเป็นจะต้องมีการนำเงื่อนไข การจัดทำบันทึกข้อตกลงการประเมินผลงานรัฐวิสาหกิจ (Performance Agreement) มาทำการวิเคราะห์และปฎิบัติให้ได้ตาม PA เป็นหลัก 

ขั้นที่ 9 : การติดตามและประเมินผลด้านความเสี่ยง (Risk Monitoring) 

ขั้นตอนนี้ เป็นการติดตามประเมินผลด้านการบริหารความเสี่ยง มีความจำเป็นอย่างมากที่จะต้องมีการบริหารจัดการแยกเป็นรายไตรมาส เพื่อให้เกิดความสะดวกและง่ายต่อการประเมินผลด้านการบริหารความเสี่ยง  ซึ่งเป็นหน้าที่ของอนุคณะกรรมการบริหารความเสี่ยงที่จะต้องมีการวางแผนในการติดตามและประเมินผลด้านการบริหารความเสี่ยงเป็นรายไตรมาส และมีการออกแบบฟอร์มที่สามารถใช้วัดผล และติดตามความเสี่ยงรายไตรมาสได้อย่างถูกต้องเม่นยำ และเชื่อถือได้

สุดท้ายนี้ เราก็ขอจบการบรรยายเกี่ยวกับขั้นตอนการบริหารความเสี่ยงในรูปแบบ ERM COSO ในระดับเบื้องต้นไว้เพียงเท่านี้ก่อน และหวังเป็นอย่างสูงว่าบทความนี้คงจะมีประโยชน์สำหรับบางหน่วยงาน และบางท่านที่มีความสนใจเกี่ยวกับวิธีการบริหารความเสี่ยงองค์กร

ขอให้ทุกๆ ท่านมีความสุขสดชื่น ทั้งกาย และใจ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

มีนาคม 2, 2013 Posted by | Risk Management | | ใส่ความเห็น

ขั้นตอนการตรวจสอบและประเมินความเสี่ยง : ภาค 3


สวัสดี ครับ

วันนี้ เราจะขอเล่าเรื่องวิธีการใช้งาน Internal Audit Matrix นี้ ซึ่งเราเชื่อว่าจะมีประโยชน์สำหรับกลุ่มผู้ใช้งานด้านการตรวจสอบภายในที่ต้องการเครื่องมือในการวิเคราะห์ความเสี่ยงของโครงการในรูปแบบของ Internal Audit และเราก็เชื่อว่าขั้นตอนเหล่านี้อาจจะพบข้อบกพร่องบางประการที่เราเองยังตรวจสอบได้ไม่ครบถ้วน จึงอยากจะขอความอนุเคราะห์จากทุกๆ ท่านมีความเชี่ยวชาญด้านการตรวจสอบภายใน ให้ความเห็นเพิ่มเติม เพื่อจะได้เป็นประโยชน์กับผู้ใช้งานท่าน อื่นๆ ต่อไปในอนาคต และเป็นประโยชน์กับผู้เขียนในแง่การปรับปรุงให้ดีขึ้นเรื่อยๆ

7. มาตรการวิเคราะห์ผลกระทบ

  • ลักษณะของกิจกรรม  : การวิเคราะห์วิกฤติของกิจกรรมเป็นส่วนหนึ่งขององค์กร เพราะทุกโครงการจะต้องมีการระบุกิจกรรม   ซึ่งโครงการทุกโครงการจะต้องมีปัญหาระหว่างการดำเนินงานกิจกรรมต่างๆ    กิจกรรมใดๆ ที่ผิดปกติ หรือ โครงการที่มีแนวโน้มที่จะส่งผลให้เกิดข้อผิดพลาดหรือขาดประสิทธิภาพและเป็นที่สนใจของการตรวจสอบมากขึ้น
  • วิเคราะห์สาเหตุของปัญหา/อุปสรรค  : ปัจจัยที่เกี่ยวข้องกับมาตรการที่ได้ในกำหนดการวางในตำแหน่ง ในจะต้องมีการสังเกตข้อบกพร่องต่างๆ  ซึ่งที่ต้องพิจารณารวมถึงแผนการต่อเนื่องทางธุรกิจ เช่น แผนกู้คืนระบบขั้นตอนที่มีปัญหาหรืออุปสรรคด้วยตนเอง

โดยทั่วไปการแก้ไขปัญหาดังกล่าวจะต้องมีผู้มีความรู้ ความเชี่ยวชาญ และค่าใช้จ่ายในการแก้ไขที่เป็นประโยชน์เพื่อลดความเสี่ยงลงให้ต่ำที่สุด

  • ความไวของการตอบสนองการทำงานเพื่อการบริหารจัดการ : ปัจจัยที่เกี่ยวข้องกับวิธีการที่สำคัญในกิจกรรมหรือพื้นที่มีการบริหาร
  • ความสำคัญ : แนวคิดเกี่ยวกับความสำคัญของรายการในกิจกรรม ของข้อมูลที่เกี่ยวข้องกับเรื่องที่มีผลต่อด้านลบต่อการทำงานขององค์กร การแสดงออกอย่างมีนัยสำคัญเมื่อเทียบ หรือ ความสำคัญของเรื่องนั้นๆ โดยเฉพาะอย่างยิ่งในบริบทขององค์กรโดยรวม

8. มาตรการของโอกาส

  • ขอบเขตของระบบหรือกระบวนการการเปลี่ยนแปลง : สภาพแวดล้อมแบบไดนามิกในแง่ของระบบหรือการเปลี่ยนแปลงกระบวนการเพิ่มเติมโอกาสของความผิดพลาดและทำให้เพิ่มความสนใจการตรวจสอบจำนวนมากของกระบวนการ re-engineering อาจจะเกิดขึ้นการเปลี่ยนแปลงระบบหรือกระบวนการปกติที่เกิดขึ้นเพื่อผลการพัฒนาในระยะยาว  แต่มักจะมีการชดเชย ในระยะสั้นที่ต้องตรวจสอบความคุ้มครองที่เพิ่มขึ้น
  • ความซับซ้อน : นี้สะท้อนให้เห็นถึงปัจจัยเสี่ยงที่อาจเกิดขึ้นสำหรับข้อผิดพลาด หรือการยักยอกไปตรวจไม่พบเนื่องจากสภาพแวดล้อมที่มีความซับซ้อน คะแนนสำหรับความซับซ้อนจะขึ้นอยู่กับปัจจัยหลายอย่าง ขอบเขตของระบบอัตโนมัติคำนวณที่ซับซ้อนจะขึ้นอยู่กับปัจจัยหลายอย่าง ขอบเขตของระบบอัตโนมัติคำนวณที่ซับซ้อนกิจกรรมสัมพันธ์และพึ่งพาบุคคลที่สามารถความต้องการของลูกค้าเวลาการประมวลผลตามกฎหมาย และระเบียบข้อบังคับและปัจจัยอื่นๆ  อีกมากมายบางคนไม่ได้รับการยอมรับส่งผลกระทบต่อการตัดสินใจของเกี่ยวกับความซับซ้อนของการตรวจสอบโดยเฉพาะอย่างยิ่ง
  • โครงการการจัดการ : การพิจารณาควรจะได้รับต่อไปนี้เมื่อการบริหารจัดการโครงการจัดอันดับ
    • นักพัฒนาภายใน In-house  หรือ จ้าง Outsourced
    • โครงสร้างของการโครงการ
    • ทักษะบุคลากร
    • ระยะเวลาโครงการ

9. ความเห็นของผู้ตรวจสอบ

  • ความเห็นของผู้ตรวจสอบ ก็เป็นการวิเคราะห์โดยพิจารณาจากเอกสารหลักฐานและการสอบทานข้อมูลทั้งหมดที่มีด้วยความรอบคอบ และประสบการณ์ของผู้ตรวจสอบ
  • การให้คะแนนน้ำหนักของผู้ตรวจสอบจะมีผลต่อความเสี่ยง และระดับความสำคัญของโครงการหรือกิจกรรมที่จะทำการตรวจสอบ เพื่อให้การตรวจสอบเป็นไปอย่างคุ้มค่า และเหมาะสมกับการดำเนินงาน
  • รวมทั้งพิจารณาข้อมูลที่ได้รับจาก กองบริหารความเสี่ยง หรือ กองควบคุมภายใน มาพิจารณาประกอบ การตัดสินใจทุกครั้ง (ห้ามพิจารณาด้วยการใช้ความรู้สึกแบบไม่มีเอกสารหลักฐานมาพิจารณาประกอบเด็ดขาด)

10. ตารางคะแนนน้ำหนักของ Internal Audit Matrix 

  • ตารางคะแนนน้ำหนักของ Internal Audit Matrix นี้ เป็นการนำข้อมูลระดับความเสี่ยงด้าน โอกาสเกิด  ผลกระทบ และความเห็นของผู้ตรวจสอบ มาพิจารณาร่วมกันในการกำหนดระดับความรุนแรง และความสำคัญของกิจกรรมที่ควรจะเข้าไปตรวจสอบ
  • การกำหนดระดับน้ำหนักของคะแนนจะแบ่งออกเป็น 5 ระดับ ซึ่งสามารถใช้ได้กับการระบุน้ำหนักของ โอกาสเกิด  หรือ ผลกระทบ  หรือ ความเห็นของผู้ตรวจสอบ จะมีระดับคะแนน 5 ระดับ เหมือนกัน  ประกอบด้วย
    • ระดับต่ำที่สุด = 0.25 
    • ระดับต่ำ = 0.50
    • ระดับปานกลาง = 0.75 
    • ระดับสูง = 0.85 
    • ระดับสูงมาก = 0.95 

internal audit matrix

  • ผู้ใช้งานจำเป็นจะต้องพิจารณากิจกรรมหลักของโครงการที่จะเข้าไปตรวจสอบ และทำการแยกประเภทของกิจกรรมหลัก และทำการระบุน้ำหนักของ “โอกาสเกิด”  “ผลกระทบ”  และ “ความเห็นของผู้ตรวจสอบ” แยกรายกิจกรรม
  • ผู้ใช้งานไม่จำเป็นจะต้องให้น้ำหนักกิจกรรมเหมือนกับตารางที่เป็ํนตัวอย่างน้ำหนัก  ซึ่งขึ้นอยู่กับความเห็นของผู้ตรวจสอบในการระบุน้ำหนักแยกรายกิจกรรม เช่น
    • กิจกรรมการจัดซื้ออุปกรณ์สุขภัณฑ์     โอกาสเกิด   0.75   ผลกระทบ  0.85   ความเห็นผู้ตรวจ 0.85 
      จำนวน 50 รายการ แต่มีข้อสงสัย
      บางประการด้วยราคาและคุณภาพ       ผลรวมคะแนนความเสี่ยง = 2.45 (0.75+0.85+0.85) 
      น่าสงสัย
  • ผู้ใช้งานก็จำเป็นจะต้องนำผลรวมของคะแนนความเสี่ยงไปเปรียบเทียบกับ ตารางคะแนนน้ำหนักของคะแนน Internal Audit Matrix Score ในข้อ 11 ซึ่งอยู่ในพื้นที่ สีแดง จำเป็นจะต้องเข้าไปตรวจสอบ

11. ตารางคะแนนน้ำหนักของคะแนน Internal Audit Matrix Score 

  • เราได้ทำการสรุปลักษณะของคะแนน แยกตามระดับของความเสี่ยง ด้วยการแบ่งเป็นโทนสี เพื่อให้สะดวกในการจดจำและการวิเคราะห์ระดับความสำคัญของการเข้าไปพิจารณาตรวจสอบ ด้วยการแบ่งออกเป็น 4 ระดับ ด้วยกัน
  • ระดับความเสี่ยงที่ ยอมรับได้ อยู่ในโซนพื้นที่ สีเขียว  

ในพื้นที่สีเขียว  เป็นพื้นที่มีระดับความเสี่ยงต่ำ ไม่จำเป็นจะต้องเข้าไปตรวจสอบในกิจกรรมนั้นๆ

  • ระดับความเสี่ยงที่ เฝ้าระวังและติดตาม อยู่ในโซนพิ้นที่ สีเหลือง

ในพื้นที่สีเหลือง เป็นพื้นที่ระดับเฝ้าระวัง และติดตามความก้าวหน้าของโครงการ และจำเป็นจะต้องติดตามขอข้อมูลในกิจกรรมที่น่าสงสัย

  • ระดับความเสี่ยงที่ ขอข้อมูลเพิ่มเติมหรือมีหลักฐานเพียงพอก็จะต้องเข้าไปตรวจสอบ อยู่ในโซนพื้้นที่ สีส้ม

ในพื้นที่สีส้ม  เป็นพื้นที่ระดับเฝ้าระวัง และมีเอกสารหลักฐานที่เพียงพอที่่สงสัยจะมีการทุจริต หรือมีข้อผิดพลาดเกิดขึ้น ที่มีนัยสำคัญต่อความสำเร็จของโครงการนั้นๆ ทำให้จะต้องเข้าไปตรวจสอบ อย่างใกล้ชิด

  • ระดับความเสี่ยงที่ ต้องเข้าไปตรวจสอบเร่งด่วน  อยู่ในโซนพื้นที่ สีแดง

ในพื้นที่สีแดง เป็นพื้นที่ระดับที่มีความเสี่ยง แสดงว่าเกิดข้อผิดพลาดขึ้นแล้ว และมีความรุนแรงต่อความสำเร็จของโครงการ และองค์กร อย่างเห็นได้ชัดเจน มีเอกสารหลักฐานที่ชัดเจน มีการสั่งโดยตรงจากผู้บริหารระดับสูง หรือ คณะกรรมการตรวจสอบภายใน ให้เข้าไปตรวจสอบทันที

internal audit matrix score

  • เราได้พยามออกแบบตาราง Internal Audit Matrix ให้อยู่ในระดับปานกลางที่มากกว่า โซนอื่นๆ เพราะโครงการต่างๆ หรือ กิจกรรมหลักต่างๆ ส่วนใหญ่จะตกอยู่ในพื้นที่สีเหลือง เพราะยังไม่ข้อมูล หรือ เอกสารหลักฐานที่ชัดเจนจนสามารถระบุได้เลยว่ามีความผิดพลาด หรือมีการทุจริตอย่างชัดเจน
  • ในส่วนของพิ้นที่ สีส้ม มีปริมาณตัวเลขระบุน้ำหนักน้อยสุด เพราะยังไม่ชัดเจนว่าผิดจริง เพียงแต่มีข้อมูลจากการบอกกล่าว หรือ โทรศัพท์ หรือ สภาพแวดล้อมผิดปกติ แต่ยังระบุความผิดที่ชัดเจนไม่ได้

12. ตารางผลคะแนนความเสี่ยง Internal Audit Matrix 

  • ตารางผลคะแนนความเสี่ยง Internal Audit Matrix นี้จะเป็นการแสดงความเสี่ยงแยกตามพิ้นที่ด้วยระดับสีที่แตกต่างกัน
  • คะแนนความเสี่ยงที่อยู่ในช่องสี่เหลี่ยมแต่ละช่อง จะต้องมาจากผลรวมของคะแนน “โอกาสเกิด”  + “ผลกระทบ” + “ความเห็นของผู้ตรวจสอบ” เมื่อได้ผลรวมคะแนนแล้ว ก็ให้มาวางให้ตรงกับช่องคะแนนที่ระบุในตาราง Internal Audit Matrix ในตารางนี้
  • ตารางใน Internal Audit Matrix จะแบ่งเป็น 2 ด้าน โอกาสเกิด (แนวตั้ง)   และ ผลกระทบ (แนวนอน)

internal audit matrix_

  • การใช้งานตาราง Internal Audit Matrix นี้  สามารถแยกวิเคราะห์รายโครงการก็ได้ หรือ จะพิจารณาในภาพรวมทุกโครงการก่อน เพื่อหาโครงการที่มีความเสี่ยงสูงสุด เพียงพอที่จะเข้าไปตรวจสอบ และทำแผนการตรวจสอบต่อไป
  • ถ้าจะวิเคราะห์ภาพรวมทุกโครงการก็ให้ตั้งคำถามที่จะวิเคราะห์ในข้อ 13  เหมือนกันทุกโครงการ แต่จะมีคะแนนระดับความเสี่ยงที่ต่างกัน ตอนผลการวิเคราะห์ก็จะสามารถทราบได้ว่าจะเข้าไปตรวจสอบโครงการใดบ้าง

13. มาตรการเกี่ยวกับการควบคุม Internal Audit Matrix  

  •  เราได้ออกแบบตารางการวิเคราะห์ความเสี่ยงในรูปแบบของ Internal Audit Matrix เพื่อให้ผู้ตรวจสอบสามารถนำไปใช้งานได้ง่ายขึ้น และสามารถระบุข้อมูลรายละเอียดเกี่ยวกับการวิเคราะห์ โอกาสเกิด และ ผลกระทบ ที่คาดว่าจะเกิดขึ้นจากกิจกรรมหลักของโครงการที่ทำการวิเคราะห์ในเวลานั้น
  • ในช่องแรกของตาราง “ช่องตัวแปรที่สำคัญ”
    • ผู้ใช้งานจะต้องระบุตัวแปรที่จะนำมาวิเคราะห์ เช่น ชื่อกิจกรรมหลัก และประเด็นที่จะวิเคราะห์หาค่าความเสี่ยง
    • ผู้ใช้งานจะต้องระบุ ระดับน้ำหนักของความสำคัญในกิจกรรมที่ทำการวิเคราะห์ด้วย เพื่อเป็นการแจ้งว่าเรื่องที่ทำการวิเคราะห์มีความสำคัญระดับใด ในโครงการนั้นๆ หรือ เกี่ยวข้องกับองค์กรในประเด็นใด มีความสำคัญระดับใด มีผลกระทบต่อความสำเร็จขององค์กรในระดับใด เป็นต้น
  •  ในช่องที่สองของตาราง “อธิบายลักษณะและระดับโอกาสเกิด และผลกระทบ”
    •  ผู้ใช้งานจะต้องอธิบายเหตุผล ของการตรวจสอบพบ หรือ มีเอกสารอ้างอิงเหตุการณ์นั้นๆ หรือมีประเด็นข้อสงสัยในเรื่องใด ที่ทำให้สามารถวิเคราะห์โอกาสเกิด และผลกระทบ ที่คาดว่าจะเกิดขึ้นจากกิจกรรมหลัก ที่จะส่งผลต่อความสำเร็จของโครงการนั้นๆ  หรือ องค์กรในด้านใดบ้าง
    • ผู้ใช้งานสามารถอ้างอิง ชื่อเอกสารที่ใช้ประเมิน หรือ ตรวจสอบ หรือ สถานที่  หรือ การสัมภาษณ์บุคคลใด เป็นต้น   
  • ในช่องที่สาม ถึง ห้า ของตาราง “ระดับโอกาสเกิด”  “ระดับผลกระทบ”  “ความเห็นผู้ตรวจสอบ” 
    • ผู้ใช้งานจะต้องระบุคะแนนของระดับโอกาสเกิด ที่แบ่งได้ 5 ระดับ ดังตัวอย่างด้านล่าง
    • ผู้ใช้งานจะต้องเลือกระดับคะแนนตามความเห็นการวิเคราะห์ด้านเอกสาร และการตรวจสอบเบื้องต้นที่ได้พบเจอ หรือ ความเห็นจากการประเมินผลการตรวจสอบในอดีตของผู้ตรวจสอบรายก่อนหน้า หรือ ระดับความเสี่ยงที่เกิดขึ้นจากการบริหารความเสี่ยงของโครงการที่ได้รับจาก กองบริหารความเสี่ยง ส่งมาให้พิจารณาประกอบ เป็นต้น
    • การระบุคะแนนใน 3 ช่องนี้ จะต้องใส่ข้อมูลด้วยเหตุผล จากการวิเคราะห์เท่านั้น ห้ามใส่คะแนนด้วยความรู้สึกเพียงอย่างเดียว และควรจะมีความเห็นของหัวหน้าผู้ตรวจสอบวิเคราะห์ขั้นสุดท้ายอีกครั้งเพื่อยืนยันระดับคะแนนความเสี่ยงที่เกิดขึ้น
      • จะมีระดับคะแนน 5 ระดับ เหมือนกัน  ประกอบด้วย
      • ระดับต่ำที่สุด = 0.25 
      • ระดับต่ำ = 0.50
      • ระดับปานกลาง = 0.75 
      • ระดับสูง = 0.85 
      • ระดับสูงมาก = 0.95
  • ในช่องที่หก “ระดับความเสี่ยง”
    • ผู้ใช้งานต้องรวมคะแนนจาก โอกาสเกิด + ผลกระทบ + ความเห็นของผู้ตรวจสอบ มาเก็บไว้ในช่องนี้ แยกรายประเด็นกิจกรรมหลักที่ได้มีการประเมินความเห็นก่อนการเข้าไปตรวจสอบจริง เพื่อนำผลลัพธ์ที่ได้จากการวิเคราะห์ไปทำแผนการตรวจสอบรายโครงการต่อไป
    • ผู้ใช้งานจะต้องทำการวิเคราะห์ประเด็นในช่องแรก ให้ดี และมีความเหมาะสมกับการวิเคราะห์โครงการให้มากที่สุด และจะต้องทำแบบนี้กับโครงการที่มีความสำคัญสูง  ใช้งบประมาณมาก  เป็นตัวชี้วัดขององค์กร  เป็นนโยบายของรัฐบาล เป็นต้น

audit

14.  ผู้ใช้งานจะต้องวิเคราะห์ภาพรวมของทุกโครงการที่มีความสำคัญ

  • ทำบทสรุปเพื่อนำเสนอผู้บริหารในการจัดทำแผนตรวจสอบภายใน ต่อไป

การทำงานวิเคราะห์ความเสี่ยงด้วย Internal Audit Matrix นี้จะทำให้ผู้ตรวจสอบ มีความมั่นใจในการตรวจสอบมากขึ้น และสามารถนำประเด็นที่ได้มีการวิเคราะห์เหล่านี้ไปใช้ในการทำแผนการตรวจสอบ และประเด็นที่จะใช้ในการตรวจสอบได้อย่างถูกต้อง แม่นยำมากขึ้น  เราก็อยากได้ความเห็นจากทุกๆ ท่านเกี่ยวกับวิธีการทำงานของตาราง Internal Audit Matrix นี้มีจุดบกพร่องในด้านใดบ้าง เพื่อนำมาปรับปรุงแก้ไขให้มีความเหมาะสมกับกระบวนการทำงานตรวจสอบภายในให้ดีมากยิ่งๆ ขึ้นไป 

สุดท้ายนี้หวังเป็นอย่างสูง ว่าการอธิบายเกี่ยวกับวิธีการใช้ Internal Audit Matrix นี้จะมีประโยชน์สำหรับทุกๆ ท่านที่ทำงานด้านการบริหารความเสี่ยง และ ตรวจสอบภายใน นำไปปรับใช้ในองค์กรของท่านเพื่อให้เกิดประโยชน์สูงสุด และสร้างมูลค่าเพิ่มด้านองค์ความรู้ให้กับเจ้าหน้าที่ ต่อไป

ขอให้ทุกๆ ท่านมีความสุข ไร้โรคภัยไข้เจ็บเถิด สาธุ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

ธันวาคม 15, 2012 Posted by | Internal Audit, Risk Management | | ใส่ความเห็น

%d bloggers like this: