ความเสี่ยง (Risk) หมายถึง เหตุการณ์หรือสถานการณ์ที่มีความไม่แน่นอน ซึ่งอาจเกิดขึ้น และมีผลทำให้องค์กรเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่าไม่สามารถดำเนินงานให้บรรลุผลสำเร็จตามวัตถุประสงค์หรือเป้าหมายที่ตั้งไว้ได้
การบริหารความเสี่ยง (Risk Management) หมายถึง วิธีการบริหารจัดการที่เป็นไปเพื่อการคาดการณ์ และลดผลเสียของความไม่แน่นอนที่จะเกิดขึ้นกับองค์กร ทั้งนี้ เพื่อให้องค์กรสามารถบรรลุวัตถุประสงค์ได้อย่างมีประสิทธิภาพมากขึ้น
ปัญหา หมายถึง สิ่งที่เกิดขึ้นแล้วและมักจะส่งผลในทางลบ เป็นอุปสรรคต่อเป้าหมายการดำเนินการ จำเป็นต้องมีการแก้ไข เพราะมิเช่นนั้น ปัญหาดังกล่าวอาจก่อให้เกิดความเสียหายตามมาได้
ปัจจัยหรือประเภทที่ทำให้เกิดความเสี่ยง (Risk Factors) ตามแนวทางของ COSO (The Committee of Sponsoring Organizations of The Treadway Commission)* มี ๔ ประการ
๑. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) คือ ความเสี่ยงเนื่องจากกลยุทธ์/การเมืองเศรษฐกิจ/ความเปลี่ยนแปลงของสถานการณ์ ส่งผลต่อความได้เปรียบทางการแข่งขัน/การบริหารสินทรัพย์และการลงทุนหรือเป็นความเสี่ยงที่เกิดขึ้นจากการตัดสินใจผิดพลาดหรือนำการตัดสินใจนั้นมาใช้อย่างไม่ถูกต้อง
๒. ความเสี่ยงด้านการดำเนินงาน (Operational Risk: O) คือ ความเสี่ยงเนื่องจากระบบขององค์กร/กระบวนการ/เทคโนโลยี/บุคลากร/ความเพียงพอของข้อมูลส่งผลต่อประสิทธิภาพและประสิทธิผลในการดำเนินธุรกิจ
๓. ความเสี่ยงด้านการเงิน (Financial Risk) คือ ความเสี่ยงเนื่องจากขาดการจัดหาข้อมูล การวิเคราะห์ การวางแผน การควบคุม และการจัดทำรายงาน เพื่อนำมาใช้ในการบริหารการเงินได้อย่างถูกต้อง เหมาะสม ทำให้ขาดประสิทธิภาพ และไม่ทันต่อสถานการณ์ จึงส่งผลกระทบต่อฐานะการเงินขององค์กร หรือเป็นความเสี่ยงที่เกี่ยวข้องกับการเงินขององค์กร เช่น อัตราแลกเปลี่ยน/อัตราดอกเบี้ย/สภาพคล่อง/งบประมาณ/สินค้า (Commodities)/ความสามารถในการชำระหนี้และความน่าเชื่อถือทางการเงิน (Credit Risk)
๔. ความเสี่ยงด้านการปฏิบัติตามกฎหมาย/กฎระเบียบ (Compliance Risk: C) คือ ความเสี่ยงเนื่องจากการฝ่าฝืนหรือไม่สามารถปฏิบัติตามกฎหมาย กฎระเบียบ ระเบียบข้อบังคับ ข้อกำหนดของทางการ หรือสัญญาที่เกี่ยวข้องกับการดำเนินงาน รวมทั้งไม่สามารถปฏิบัติตามนโยบาย และวิธีการปฏิบัติงานที่องค์กรกำหนดขึ้น
ประโยชน์ของการบริหารความเสี่ยง
- ระบุและบริหารจัดการความเสี่ยงที่สำคัญได้ทันเวลา
- ทำให้การดำเนินงานบรรลุเป้าหมาย
- ทำให้ลดอุปสรรคหรือสิ่งที่ไม่คาดหวัง
- ทำให้การกำหนดแผนกลยุทธ์และวัตถุประสงค์สอดคล้องกับความเสี่ยงที่ยอมรับได้
- ทำให้จัดสรรทรัพยากรได้อย่างมีประสิทธิภาพและประสิทธิผล
การบริหารความเสี่ยงตามมาตรฐาน COSO ประกอบด้วย ๔ วัตถุประสงค์ ๘ องค์ประกอบ ซึ่งครอบคลุมแนวทางการกำหนดนโยบายการบริหารงาน การดำเนินงาน และการบริหารความเสี่ยง ดังนี้
วัตถุประสงค์ของการบริหารความเสี่ยง
๑) ด้านกลยุทธ์ (Strategic: S) เกี่ยวกับการกำหนดเป้าหมายในระดับสูง ซึ่งต้องเป็นแนวทางเดียวกันและต้องสนับสนุนวัตถุประสงค์ขององค์กร
๒) ด้านการดำเนินงาน (Operation: O) การใช้ทรัพยากรขององค์กรอย่างมีประสิทธิผลและประสิทธิภาพ
๓) ด้านการรายงาน (Reporting: R) การรายงานขององค์กรมีความเชื่อถือได้
๔) ด้านการปฏิบัติตามกฎ/ระเบียบ/ข้อบังคับ (Compliance: C) องค์กรได้ปฏิบัติตามข้อกำหนดหรือกฎหมายที่ใช้บังคับองค์กร
องค์ประกอบการบริหารความเสี่ยง
๑. สภาพแวดล้อมภายในองค์กร (Internal Environment) เป็นองค์ประกอบที่สำคัญ ในการกำหนดกรอบบริหารความเสี่ยง เช่น วัฒนธรรมองค์กร นโยบายของผู้บริหาร แนวทางการปฏิบัติงาน บุคลากร กระบวนการทำงาน ระบบสารสนเทศ ระเบียบ เป็นต้น
๒. การกำหนดวัตถุประสงค์ (Objective Setting) ต้องให้มีความสอดคล้องกับกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้ เพื่อวางเป้าหมายในการบริหารความเสี่ยงขององค์กรได้อย่างชัดเจนและเหมาะสม โดยใช้วิธี SMART คือ
- Specific: มีความเฉพาะเจาะจง
- Measurable: สามารถวัดได้ทั้งเชิงปริมาณและคุณภาพ
- Achievable: สามารถปฏิบัติให้บรรลุผลได้
- Relevant: มีความสอดคล้องกับวัตถุประสงค์ขององค์กร
- Timely: มีกรอบระยะเวลาที่แน่นอน
๓. การระบุเหตุการณ์ (Event Identification) เป็นการรวบรวมเหตุการ์ที่อาจเกิดขึ้นกับหน่วยงาน ทั้งในส่วนของ ปัจจัยเสี่ยงที่เกิดจากภายในและภายนอกองค์กร เช่น นโยบายบริหารงาน บุคลากร การปฏิบัติงาน การเงิน ระบบสารสนเทศ ระเบียบ กฎหมาย ระบบบัญชี ภาษีอากร ทั้งนี้ เพื่อทำความเข้าใจต่อเหตุการณ์และสถานการณ์นั้น เพื่อให้ผู้บริหารสามารถพิจารณา กำหนดแนวทาง และนโยบายในการจัดการกับความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดี
๔. การประเมินความเสี่ยง (Risk Assessment) เป็นการจำแนกและพิจารณาจัดลำดับความสำคัญของความเสี่ยงที่มีอยู่ โดยการประเมินจาก
- ระดับโอกาสที่จะเกิดความเสี่ยง (Likelihood Score) โดยพิจารณาถึงความถี่ของการเกิดขึ้นในอดีต และคาดการณ์โอกาสที่จะเกิดในอนาคต
- ระดับผลกระทบของความเสี่ยง (Consequence Score) โดยพิจารณาทั้งผลกระทบทางการเงิน และที่ไม่ใช่ทางการเงิน
๕. การตอบสนองความเสี่ยง (Risk Response) เป็นขั้นตอนกำหนดวิธีการจัดการเพื่อลดความเสี่ยง ซึ่งมีวิธีจัดการความเสี่ยง ประกอบด้วย ๔ กลยุทธ์ หรือกลยุทธ์ 4T (Take, Treat, Transfer, Termination) เพื่อการบริหารความเสี่ยง
- ยอมรับ (Take) คือ (๑) ยอมรับความเสี่ยง (๒) กำหนดงบประมาณรองรับเหตุการณ์ความสูญเสีย (๓) ดูแลติดตามความเสี่ยงเป็นประจำ
- ลด/บรรเทา (Treat) คือ (๑) กำหนดนโยบายและวิธีการปฏิบัติงานใหม่ (๒) การเพิ่มการควบคุม (๓) การวางระบบงานใหม่ (๔) การฝึกอบรมเพิ่มทักษะเจ้าหน้าที่/พนักงาน (๕) การปรับปรุงกระบวนการปฏิบัติงาน
- โอน/แบ่ง (Transfer) คือ (๑) ทำประกัน (๒) การร่วมทุนหรือหาพันธบัตร (๓) จ้างผู้ให้บริการภายนอกดำเนินการ (๔) การกระจายการลงทุน
- หยุด/หลีกเลี่ยง (Termination) คือ (๑) หยุดกิจกรรมธุรกิจ (๒) ลดสัดส่วนการลงทุน (๓) ปรับเปลี่ยนเป้าหมายทางธุรกิจ (๔) ออกแบบปรับปรุงกระบวนการหรือระบบ (๕) ลดขนาดการลงทุน
๖. กิจกรรมการควบคุม (Control Activities) การกำหนดกิจกรรมและการปฏิบัติต่าง ๆ ที่กระทำเพื่อลดความเสี่ยง และทำให้การดำเนินงานบรรลุวัตถุประสงค์ และเป้าหมายขององค์กร มี ๕ ขั้นตอน
- การสอบทางงาน (Reconciliation and Review)
- การดูแลป้องกันทรัพย์สิน (Security of Assets)
- การควบคุมระบบสารสนเทศ (IT Control)
- การทำหลักฐานเอกสารอ้างอิง (Documentarian)
- การอนุมัติ (Authorization and Approvals)
การบริหารความเสี่ยง (Risk Management) หมายถึง วิธีการบริหารจัดการที่เป็นไปเพื่อการคาดการณ์ และลดผลเสียของความไม่แน่นอนที่จะเกิดขึ้นกับองค์กร ทั้งนี้ เพื่อให้องค์กรสามารถบรรลุวัตถุประสงค์ได้อย่างมีประสิทธิภาพมากขึ้น
ปัญหา หมายถึง สิ่งที่เกิดขึ้นแล้วและมักจะส่งผลในทางลบ เป็นอุปสรรคต่อเป้าหมายการดำเนินการ จำเป็นต้องมีการแก้ไข เพราะมิเช่นนั้น ปัญหาดังกล่าวอาจก่อให้เกิดความเสียหายตามมาได้
ปัจจัยหรือประเภทที่ทำให้เกิดความเสี่ยง (Risk Factors) ตามแนวทางของ COSO (The Committee of Sponsoring Organizations of The Treadway Commission)* มี ๔ ประการ
๑. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) คือ ความเสี่ยงเนื่องจากกลยุทธ์/การเมืองเศรษฐกิจ/ความเปลี่ยนแปลงของสถานการณ์ ส่งผลต่อความได้เปรียบทางการแข่งขัน/การบริหารสินทรัพย์และการลงทุนหรือเป็นความเสี่ยงที่เกิดขึ้นจากการตัดสินใจผิดพลาดหรือนำการตัดสินใจนั้นมาใช้อย่างไม่ถูกต้อง
๒. ความเสี่ยงด้านการดำเนินงาน (Operational Risk: O) คือ ความเสี่ยงเนื่องจากระบบขององค์กร/กระบวนการ/เทคโนโลยี/บุคลากร/ความเพียงพอของข้อมูลส่งผลต่อประสิทธิภาพและประสิทธิผลในการดำเนินธุรกิจ
๓. ความเสี่ยงด้านการเงิน (Financial Risk) คือ ความเสี่ยงเนื่องจากขาดการจัดหาข้อมูล การวิเคราะห์ การวางแผน การควบคุม และการจัดทำรายงาน เพื่อนำมาใช้ในการบริหารการเงินได้อย่างถูกต้อง เหมาะสม ทำให้ขาดประสิทธิภาพ และไม่ทันต่อสถานการณ์ จึงส่งผลกระทบต่อฐานะการเงินขององค์กร หรือเป็นความเสี่ยงที่เกี่ยวข้องกับการเงินขององค์กร เช่น อัตราแลกเปลี่ยน/อัตราดอกเบี้ย/สภาพคล่อง/งบประมาณ/สินค้า (Commodities)/ความสามารถในการชำระหนี้และความน่าเชื่อถือทางการเงิน (Credit Risk)
๔. ความเสี่ยงด้านการปฏิบัติตามกฎหมาย/กฎระเบียบ (Compliance Risk: C) คือ ความเสี่ยงเนื่องจากการฝ่าฝืนหรือไม่สามารถปฏิบัติตามกฎหมาย กฎระเบียบ ระเบียบข้อบังคับ ข้อกำหนดของทางการ หรือสัญญาที่เกี่ยวข้องกับการดำเนินงาน รวมทั้งไม่สามารถปฏิบัติตามนโยบาย และวิธีการปฏิบัติงานที่องค์กรกำหนดขึ้น
ประโยชน์ของการบริหารความเสี่ยง
- ระบุและบริหารจัดการความเสี่ยงที่สำคัญได้ทันเวลา
- ทำให้การดำเนินงานบรรลุเป้าหมาย
- ทำให้ลดอุปสรรคหรือสิ่งที่ไม่คาดหวัง
- ทำให้การกำหนดแผนกลยุทธ์และวัตถุประสงค์สอดคล้องกับความเสี่ยงที่ยอมรับได้
- ทำให้จัดสรรทรัพยากรได้อย่างมีประสิทธิภาพและประสิทธิผล
การบริหารความเสี่ยงตามมาตรฐาน COSO ประกอบด้วย ๔ วัตถุประสงค์ ๘ องค์ประกอบ ซึ่งครอบคลุมแนวทางการกำหนดนโยบายการบริหารงาน การดำเนินงาน และการบริหารความเสี่ยง ดังนี้
วัตถุประสงค์ของการบริหารความเสี่ยง
๑) ด้านกลยุทธ์ (Strategic: S) เกี่ยวกับการกำหนดเป้าหมายในระดับสูง ซึ่งต้องเป็นแนวทางเดียวกันและต้องสนับสนุนวัตถุประสงค์ขององค์กร
๒) ด้านการดำเนินงาน (Operation: O) การใช้ทรัพยากรขององค์กรอย่างมีประสิทธิผลและประสิทธิภาพ
๓) ด้านการรายงาน (Reporting: R) การรายงานขององค์กรมีความเชื่อถือได้
๔) ด้านการปฏิบัติตามกฎ/ระเบียบ/ข้อบังคับ (Compliance: C) องค์กรได้ปฏิบัติตามข้อกำหนดหรือกฎหมายที่ใช้บังคับองค์กร
องค์ประกอบการบริหารความเสี่ยง
๑. สภาพแวดล้อมภายในองค์กร (Internal Environment) เป็นองค์ประกอบที่สำคัญ ในการกำหนดกรอบบริหารความเสี่ยง เช่น วัฒนธรรมองค์กร นโยบายของผู้บริหาร แนวทางการปฏิบัติงาน บุคลากร กระบวนการทำงาน ระบบสารสนเทศ ระเบียบ เป็นต้น
๒. การกำหนดวัตถุประสงค์ (Objective Setting) ต้องให้มีความสอดคล้องกับกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้ เพื่อวางเป้าหมายในการบริหารความเสี่ยงขององค์กรได้อย่างชัดเจนและเหมาะสม โดยใช้วิธี SMART คือ
- Specific: มีความเฉพาะเจาะจง
- Measurable: สามารถวัดได้ทั้งเชิงปริมาณและคุณภาพ
- Achievable: สามารถปฏิบัติให้บรรลุผลได้
- Relevant: มีความสอดคล้องกับวัตถุประสงค์ขององค์กร
- Timely: มีกรอบระยะเวลาที่แน่นอน
๓. การระบุเหตุการณ์ (Event Identification) เป็นการรวบรวมเหตุการ์ที่อาจเกิดขึ้นกับหน่วยงาน ทั้งในส่วนของ ปัจจัยเสี่ยงที่เกิดจากภายในและภายนอกองค์กร เช่น นโยบายบริหารงาน บุคลากร การปฏิบัติงาน การเงิน ระบบสารสนเทศ ระเบียบ กฎหมาย ระบบบัญชี ภาษีอากร ทั้งนี้ เพื่อทำความเข้าใจต่อเหตุการณ์และสถานการณ์นั้น เพื่อให้ผู้บริหารสามารถพิจารณา กำหนดแนวทาง และนโยบายในการจัดการกับความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดี
๔. การประเมินความเสี่ยง (Risk Assessment) เป็นการจำแนกและพิจารณาจัดลำดับความสำคัญของความเสี่ยงที่มีอยู่ โดยการประเมินจาก
- ระดับโอกาสที่จะเกิดความเสี่ยง (Likelihood Score) โดยพิจารณาถึงความถี่ของการเกิดขึ้นในอดีต และคาดการณ์โอกาสที่จะเกิดในอนาคต
- ระดับผลกระทบของความเสี่ยง (Consequence Score) โดยพิจารณาทั้งผลกระทบทางการเงิน และที่ไม่ใช่ทางการเงิน
๕. การตอบสนองความเสี่ยง (Risk Response) เป็นขั้นตอนกำหนดวิธีการจัดการเพื่อลดความเสี่ยง ซึ่งมีวิธีจัดการความเสี่ยง ประกอบด้วย ๔ กลยุทธ์ หรือกลยุทธ์ 4T (Take, Treat, Transfer, Termination) เพื่อการบริหารความเสี่ยง
- ยอมรับ (Take) คือ (๑) ยอมรับความเสี่ยง (๒) กำหนดงบประมาณรองรับเหตุการณ์ความสูญเสีย (๓) ดูแลติดตามความเสี่ยงเป็นประจำ
- ลด/บรรเทา (Treat) คือ (๑) กำหนดนโยบายและวิธีการปฏิบัติงานใหม่ (๒) การเพิ่มการควบคุม (๓) การวางระบบงานใหม่ (๔) การฝึกอบรมเพิ่มทักษะเจ้าหน้าที่/พนักงาน (๕) การปรับปรุงกระบวนการปฏิบัติงาน
- โอน/แบ่ง (Transfer) คือ (๑) ทำประกัน (๒) การร่วมทุนหรือหาพันธบัตร (๓) จ้างผู้ให้บริการภายนอกดำเนินการ (๔) การกระจายการลงทุน
- หยุด/หลีกเลี่ยง (Termination) คือ (๑) หยุดกิจกรรมธุรกิจ (๒) ลดสัดส่วนการลงทุน (๓) ปรับเปลี่ยนเป้าหมายทางธุรกิจ (๔) ออกแบบปรับปรุงกระบวนการหรือระบบ (๕) ลดขนาดการลงทุน
๖. กิจกรรมการควบคุม (Control Activities) การกำหนดกิจกรรมและการปฏิบัติต่าง ๆ ที่กระทำเพื่อลดความเสี่ยง และทำให้การดำเนินงานบรรลุวัตถุประสงค์ และเป้าหมายขององค์กร มี ๕ ขั้นตอน
- การสอบทางงาน (Reconciliation and Review)
- การดูแลป้องกันทรัพย์สิน (Security of Assets)
- การควบคุมระบบสารสนเทศ (IT Control)
- การทำหลักฐานเอกสารอ้างอิง (Documentarian)
- การอนุมัติ (Authorization and Approvals)
๗. สารสนเทศและการสื่อสาร (Information and Communication) คือ องค์กรจะต้องมีระบบสารสนเทศและการติดต่อสื่อสารที่มีประสิทธิรภพี่ เพราะเป็นพื้นฐานสำคัญที่จะนำไปพิจารณาดำเนินการบริหารความเสี่ยงให้เป็นไปตามกรอบ และขั้นตอนการปฏิบัติที่องค์กรกำหนด ได้แก่
- ข้อมูลมีเนื้อหาสาระเหมาะสม
- ข้อมูลเป็นปัจจุบันทันเวลา
- มีความถูกต้องสมบูรณ์
- การจำกัดการเข้าถึงอย่างเหมาะสม
- ข้อมูลมีความน่าเชื่อถือ และตรวจสอบได้
- มีระบบการรักษาความปลอดภัย
๘. การติดตาม (Monitoring) คือ องค์กรจะต้องมีการติดตามผล เพื่อให้ทราบถึง ผลการดำเนินการว่า มีความเหมาะสมและสามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพด้วยการติดตามประเมินผลอย่างต่อเนื่อง (Ongoing Monitoring) และการประเมินผลการปฏิบัติงานเฉพาะ (Separate Evaluation) เพื่อให้
- แผนจัดการความเสี่ยงถูกนำไปใช้อย่างถูกต้องและมีประสิทธิภาพ
- ทราบถึงข้อผิดพลาดที่อาจเกิดขึ้นหลังจากใช้แผนจัดการความเสี่ยง
- สามารถปรับปรุงแก้ไขแผนจัดการความเสี่ยงให้สอดคล้องกับสถานกากรณ์ที่เปลี่ยนแปลงไปหรือกรณีที่แผนเดิมไม่มีประสิทธิภาพ
- มีการรายงานผลต่อผู้บริหารที่ได้รับมอบหมาย