ระบบจัดการความรู้ การยางแห่งประเทศไทย

การบริหารความเสี่ยง คู่มือการบริหารความเสี่ยง
คู่มือการบริหารความเสี่ยง PDF พิมพ์
KM สำหรับพนักงาน - การบริหารความเสี่ยง
เขียนโดย Administrator   
วันศุกร์ที่ 22 เมษายน 2011 เวลา 09:03 น.

การบริหารความเสี่ยง

 

หลักการ/เหตุผล

 

1.     เพื่อส่งเสริมและผลักดันให้รัฐวิสาหกิจมีการบริหารความเสี่ยงที่ดี โดยการกำหนดระดับที่สะท้อนพัฒนาการของ    การบริหารความเสี่ยงของรัฐวิสาหกิจตั้งแต่ระดับน้อยมาก ได้แก่ การกำหนดนโยบาย/กลยุทธ์ขององค์กรใน        การบริหารความเสี่ยง การระบุความเสี่ยง  การประเมินความเสี่ยง และการบริหารความเสี่ยงในแต่ละประเภท จนถึงระดับที่มีการบริหารความเสี่ยงแบบบูรณาการ  ซึ่งจะเป็นเครื่องมือหนึ่งของการบริหารจัดการที่จะเพิ่มมูลค่าให้แก่รัฐวิสาหกิจได้

2.     การประเมินการบริหารความเสี่ยง  จะพิจารณาจากปัจจัยต่างๆ ที่สำคัญของการบริหารความเสี่ยง ตั้งแต่การสร้างความรู้ความเข้าใจ การวิเคราะห์ความเสี่ยง การจัดการความเสี่ยง การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance) ผลลัพธ์ของการบริหารความเสี่ยง และการพิจารณาให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของ   การพิจารณาผลตอบแทนและความดีความชอบ

 

วิธีการประเมิน

1.       ประเมินโดยคณะกรรมการสาขาที่รับผิดชอบแต่ละรัฐวิสาหกิจ โดยการประเมินจะเป็นการพิจารณาจัดระดับของ    การบริหารความเสี่ยงของรัฐวิสาหกิจว่ารัฐวิสาหกิจนั้นๆ มีระดับของการบริหารความเสี่ยงเท่าใด เมื่อเปรียบเทียบกับกรอบที่ได้กำหนดไว้ทั้ง 5 ระดับ ซึ่งได้แก่      

 

ระดับคะแนน

เกณฑ์การประเมิน

1

การบริหารความเสี่ยงน้อยมาก                  

2

การบริหารความเสี่ยงเบื้องต้นที่มีระบบ

3

การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศ             เพื่อการจัดการที่ดี 

4

การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

5

การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation)

 

ซึ่งจะมีเกณฑ์การพิจารณาย่อยในแต่ละระดับอย่างชัดเจน  โดยรัฐวิสาหกิจจะต้องผ่านเกณฑ์การพิจารณาย่อยในระดับนั้น ๆ ครบถ้วนทุกเกณฑ์  จึงจะได้คะแนนในระดับนั้น  ดังนั้น คะแนนการประเมินการบริหารจัดการ              ความเสี่ยง  คือคะแนนเต็ม 1 - 5 เท่านั้น โดยไม่มีการถ่วงน้ำหนักย่อยของเกณฑ์พิจารณาในแต่ละระดับแต่อย่างใด

2.    คณะกรรมการประเมินผลสาขาฯ กำหนดคะแนนแต่ละหัวข้อของเกณฑ์การประเมินตามกรอบที่กำหนดไว้ (แต่ละข้อน้ำหนักสามารถปรับได้ -/+ ร้อยละ 5)

3.    คณะกรรมการประเมินผลสาขาฯ ให้คะแนนในแต่ละหัวข้อของเกณฑ์การประเมินที่กำหนด โดยอาศัยข้อมูลจากกระทรวงการคลัง กระทรวงเจ้าสังกัด หน่วยงานที่เกี่ยวข้อง เช่น สตง.  บทวิเคราะห์ของที่ปรึกษา และการพบปะและสัมภาษณ์คณะกรรมการและผู้บริหารรัฐวิสาหกิจ ประกอบการพิจารณาให้คะแนน โดยที่บทวิเคราะห์ของที่ปรึกษาได้จากการสัมภาษณ์เจ้าหน้าที่และบุคลากรรัฐวิสาหกิจที่เกี่ยวข้องเบื้องต้นและจากเอกสารอ้างอิงต่างๆ

 

หลักเกณฑ์การประเมิน

            หลักเกณฑ์การประเมินบริหารความเสี่ยง แบ่งผลประเมินออกเป็น 5 ระดับ ได้แก่  

ระดับที่ 1   การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงใน    เชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

 

ระดับที่ 2   การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น ระบุความเสี่ยงจากต้นเหตุเป็นส่วนใหญ่ แต่ยังมีกระบวนการบริหารความเสี่ยงแยกเป็นส่วนๆ รัฐวิสาหกิจมีการจัดทำคู่มือการบริหารความเสี่ยงแล้วแต่ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงด้อยกว่าแผนฯ และไม่ต่างจากอดีต        ที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง

 

ระดับที่ 3   การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ           การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีการบริหารความเสี่ยงแบบบูรณาการ รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 3  และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนฯ แต่ดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

 

ระดับที่ 4   การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร  ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 3  ซึ่งกลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/          การลงทุนของรัฐวิสาหกิจ มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร                มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 4  และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนฯ และดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

 

ระดับที่ 5    การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 4 และมีกระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 5

 การบริหารความเสี่ยงของโครงการ  (Project  Risk  Management) 

            เริ่มมีความสำคัญมากขึ้นในการบริหารโครงการทั้งขนาดกลางและขนาดใหญ่ เนื่องจากโครงการทั้งสอง ขนาดดังกล่าวต้องใช้ทรัพยากรมาก มีข้อจำกัดทั้งด้านงบประมาณและระยะเวลาการดำเนินงาน  ความไม่แน่นอนและข้อจำกัดหากมีมากขึ้นเท่าใด ความเสี่ยงก็จะเพิ่มมากขึ้นเป็นเงาตามตัว ผู้บริหารโครงการจึงจำเป็นต้องพิจารณาความเสี่ยงทั้งด้านค่าใช้จ่าย  เทคนิควิธี  ข้อจำกัดด้านทุน  และความเสี่ยงด้านการดำเนินการให้โครงการแล้วเสร็จตามระยะเวลาที่กำหนดไว้

            กรอบการบริหารความเสี่ยงอาจดำเนินการโดยการวางแผน การระบุความเสี่ยง  การวิเคราะห์ความเสี่ยง  การวางแผนตอบสนองความเสี่ยง  การตรวจติดตามและการควบคุมการบริหารความเสี่ยง  หรือการวางแผนการบริหารความเสี่ยงที่รอบคอบในขั้นตอนที่เหมาะสม  ซึ่งจะต้องคำนึงถึงวัฒนธรรมองค์การ ใช้ข้อมูลเชิงคุณภาพประกอบการตัดสินใจ มีคุณธรรมจริยธรรม
มีความเป็นมืออาชีพและจะต้องปรับปรุงมาตรฐานการดำเนินงานให้มีคุณภาพสูงขึ้นอย่างต่อเนื่อง

             ความสำเร็จในการบริหารความเสี่ยงของโครงการคือ  ความสำเร็จของโครงการในแง่การบรรลุวัตถุประสงค์และเป้าหมาย  หรือความสามารถที่จะดำเนินการให้ประสบความสำเร็จ  ภายใต้งบประมาณ  กำหนดเวลาและข้อกำจัดด้านเทคนิคที่กำลังเผชิญอยู่ได้อย่างมีประสิทธิภาพและประสิทธิผลนั่นเอง

 

คู่มือการบริหารความเสี่ยงของ สกย.

 

 

ภาคผนวก

 

เกณฑ์การพิจารณาการบริหารความเสี่ยง

 

ระดับ 1 :  การบริหารความเสี่ยงน้อยมาก

1.     มีแนวทางบริหารความเสี่ยงในเชิงรับเป็นส่วนใหญ่หรือมีการบริหารความเสี่ยงในระดับเบื้องต้น

1.1.         รัฐวิสาหกิจขาดการบริหารจัดการความเสี่ยง การพิจารณาปัจจัยเสี่ยงหรือการดำเนินการแก้ไขปัญหาเป็นการดำเนินการภายหลังจากที่เกิดเหตุการณ์หรือความเสียหายแล้ว  เช่น ในกรณีที่รัฐวิสาหกิจ    มีธุรกรรมเกี่ยวกับเงินตราต่างประเทศ แต่ไม่ได้มีการบริหารความเสี่ยงด้านอัตราแลกเปลี่ยนเลย  ต่อเมื่อมีความเสียหาย เช่น การขาดทุนจากอัตราแลกเปลี่ยนเกิดขึ้นจากความผันผวนของอัตราแลกเปลี่ยน  รัฐวิสาหกิจจึงเริ่มศึกษาหรือบริหารความเสี่ยงจากอัตราแลกเปลี่ยน เป็นต้น

1.2.         รัฐวิสาหกิจมีการดำเนินการเบื้องต้นโดยการกำหนดกระบวนการ/ดำเนินการสร้างความตระหนักเกี่ยวกับความสำคัญหรือความรู้ความเข้าใจของการบริหารความเสี่ยงในองค์กรต่อคณะกรรมการ ผู้บริหาร และพนักงานเท่านั้น

ซึ่งกระบวนการสร้างความรู้ความเข้าใจดังกล่าว เช่น การจัดสัมมนาทั้งภายนอกและภายในองค์กร    การจัดนิทรรศการ ป้ายประชาสัมพันธ์ วารสารภายใน และเสียงตามสาย เป็นต้น

      การฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยง  ต้องมีการให้ความรู้กับผู้บริหาร (3 อันดับแรก) และพนักงาน (พนักงานทุกคนในกรณีที่เป็นองค์กรขนาดเล็ก  / ในกรณีองค์กรขนาดใหญ่ ต้องมีการสื่อสารและฝึกอบรม/ชี้แจง/ทำความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยงสำหรับพนักงานในระดับที่เกี่ยวข้องในการรับผิดชอบในแต่ละปัจจัยเสี่ยง)  และมีการสื่อสารสำหรับนโยบายหลักปฏิบัติในการบริหารความเสี่ยง 

 

2.     แนวทางในการบริหารความเสี่ยงยังไม่เป็นระบบ  โดยเข้าเกณฑ์ข้อใดข้อหนึ่ง ดังต่อไปนี้

2.1  รัฐวิสาหกิจยังมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีที่ไม่ครบถ้วน ซึ่งองค์ประกอบหลักๆ ที่ดี ได้แก่

1)    นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน  ระยะเวลาและกิจกรรมในการดำเนิน              การ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน  (วัตถุประสงค์ของการบริหารความเสี่ยง อธิบายหน้า 13)           

2)    การระบุความเสี่ยง  เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น  ความเสี่ยงทางการเงิน อาจประกอบด้วย  ความเสี่ยงด้านอัตราดอกเบี้ย                 ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง  หรือ ความเสี่ยงด้าน                การดำเนินงาน  อาจประกอบไปด้วย  ความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น  (การระบุความเสี่ยง อธิบายหน้า 13)

3)    การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ                  ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับ             ความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น (การระบุถึงระดับความเสียหาย อธิบายหน้า 13-14)

4)    การกำหนดวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2)

5)    การทำรายงานการบริหารความเสี่ยงและการประเมินผลการบริหารความเสี่ยง

2.2 รัฐวิสาหกิจไม่มีการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)                  (การควบคุมภายในตามฐานความเสี่ยง อธิบายหน้า 15)

2.3  รัฐวิสาหกิจมีองค์ประกอบหลักข้างต้นของการบริหารจัดการความเสี่ยงที่ดีครบถ้วนทั้ง 5 องค์ประกอบ แต่ขาดการกำหนดวิธีการจัดการต่อความเสี่ยงที่มีลำดับความเสี่ยงสูง

2.4  การดำเนินการของรัฐวิสาหกิจขาดความสอดคล้องระหว่างองค์ประกอบหลักทั้ง 5  องค์ประกอบข้างต้น เช่น

-          มีการระบุการกำหนดวิธีการจัดการต่อความเสี่ยงไม่ครบหรือไม่ตรงตามที่วิเคราะห์และระบุ เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท แต่มีการจัดการต่อความเสี่ยงเพียง 3 ประเภทเท่านั้น

-          การระบุถึงความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ไม่ครบหรือ            ไม่สอดคล้องกับความเสี่ยงที่ระบุไว้  เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท  แต่มีการระบุถึงความเสียหายที่อาจจะเกิดขึ้น (ระดับความรุนแรง x โอกาสของการเกิดความเสี่ยง) เพียง 3 ประเภทเท่านั้น

-          การจัดทำรายงานการบริหารความเสี่ยงและการประเมินผล ไม่ครบหรือไม่สอดคล้องกับ                  ความเสี่ยงที่ระบุไว้ เป็นต้น  เช่น ระบุความเสี่ยงครบทั้ง 4 ประเภท  แต่มีการจัดทำรายงาน         การบริหารความเสี่ยงและการประเมินผลเพียง 3 ประเภทเท่านั้น  เป็นต้น

 

3.     รัฐวิสาหกิจไม่มีคณะทำงาน หน่วยงานหรือผู้รับผิดชอบเพื่อบริหารจัดการความเสี่ยงในระดับองค์กร

 

4.     รัฐวิสาหกิจไม่มีคู่มือการบริหารความเสี่ยง

 

 

 

ระดับ 2 :  การบริหารความเสี่ยงเบื้องต้นที่มีระบบ

1.     การบริหารความเสี่ยงของรัฐวิสาหกิจเป็นกลยุทธ์ระยะสั้น

1.1  รัฐวิสาหกิจมีคณะทำงานหรือผู้รับผิดชอบเพื่อรับผิดชอบและติดตามในการบริหารจัดการความเสี่ยง  ซึ่งโครงสร้างของคณะทำงานหรือผู้รับผิดชอบยังเป็นลักษณะเฉพาะกาล(เช่น คณะทำงานมีอายุ           การทำงานเพียง 1 ปี  หรือ มีการทำงานเฉพาะเรื่องเพื่อเสนอเข้าคณะกรรมการพิจารณาเป็นคราวไป เป็นต้น) และ/หรือยังไม่มีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (ผลงานที่เป็นรูปธรรม ได้แก่ ผลงานที่นอกเหนือจากการประชุม เช่น การมีโครงการนำร่องในการพัฒนาระบบบริหารความเสี่ยง เป็นต้น)

1.2  ไม่ปรากฏนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร        ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น

-          การจัดตั้งหน่วยงานที่รับผิดชอบในการบริหารความเสี่ยง

-          พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร

-          การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง  หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร

2.     ระบุความเสี่ยงจากต้นเหตุเป็นส่วนใหญ่ แต่ยังมีกระบวนการบริหารความเสี่ยงที่แยกเป็นส่วนๆ และมุ่งเน้น           การควบคุมเป็นเรื่องๆ

2.1  รัฐวิสาหกิจมีองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหาร             ความเสี่ยงเป็นส่วน ๆ อยู่  ซึ่งองค์ประกอบหลักของการบริหารจัดการความเสี่ยงที่ดี  ได้แก่

1)   นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน  ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน         

2)   การระบุความเสี่ยง  เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น  ความเสี่ยงทางการเงิน อาจประกอบด้วย  ความเสี่ยงด้านอัตราดอกเบี้ย                ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง  หรือ ความเสี่ยงด้าน                การดำเนินงาน  อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น

3)   การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ                 ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น                 

4)   การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2)  โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด  ค่าใช้จ่ายและผลประโยชน์ที่ได้  และระดับความเสี่ยงที่ยอมรับได้ของ    ความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร

5)   การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง  

โดยการระบุความเสี่ยงต้องระบุความเสี่ยงครบทุกด้าน (เช่น ความเสี่ยงทั้ง 4 ด้านตามที่กระทรวงการคลังระบุ ได้แก่ ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยง                 ด้านการดำเนินงาน (Operational Risk) ความเสี่ยงด้านธุรกิจ (Business Risk) และความเสี่ยงจากเหตุการณ์ภายนอก (Event Risk) เป็นต้น หรือ ความเสี่ยง 4 ด้านที่แบ่งออกเป็น Strategic Risk  /Operational Risk/ Financial Risk  และ Compliance Risk  (S-O-F-C)

2.2  การดำเนินงานบริหารความเสี่ยงดังกล่าวเป็นการดำเนินงานเฉพาะส่วนหรือฝ่ายไม่ใช่ในระดับองค์กร และ/หรือไม่ครบถ้วนตามที่ระบุและวิเคราะห์ไว้ หรือรัฐวิสาหกิจไม่มีการจัดทำ Risk Map (การแสดงความสัมพันธ์ของความเสี่ยงในแต่ละส่วนขององค์กร เพื่อแสดงผลกระทบของความเสี่ยงที่มีต่อกันในแต่ละฝ่าย เพื่อสะท้อนถึงภาพรวมความเสี่ยงขององค์กร ซึ่งตัวอย่าง Risk Map แสดงหน้า 17)    โดยระบุถึงสาเหตุของความเสี่ยงในแต่ละด้าน รวมถึงมีการวิเคราะห์ปัญหาที่เกิดขึ้น เพื่อที่จะทราบถึงต้นเหตุของการเกิดความเสี่ยงนั้นๆ

 

             3.    รัฐวิสาหกิจมีการจัดทำคู่มือบริหารความเสี่ยง

                  คู่มือการบริหารความเสี่ยงที่ดี  ควรประกอบไปด้วย

1.     โครงสร้างของการบริหารความเสี่ยงขององค์กร  (หน่วยงานที่รับผิดชอบด้านการบริหารความเสี่ยง / ระบบการติดตามงาน/การรายงานผลการบริหารความเสี่ยง)

2.     นโยบาย วัตถุประสงค์ ขอบเขตของการดำเนินงาน  ระยะเวลาและกิจกรรมในการดำเนินการ รวมถึงการกำหนดผู้รับผิดชอบในการดำเนินงาน   

3.     การระบุความเสี่ยง  เป็นการพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดำเนินกิจการขององค์กร เช่น  ความเสี่ยงทางการเงิน อาจประกอบด้วย  ความเสี่ยงด้านอัตราดอกเบี้ย                ความเสี่ยงด้านอัตราแลกเปลี่ยน และความเสี่ยงด้านสภาพคล่อง  หรือ ความเสี่ยงด้าน                การดำเนินงาน  อาจประกอบไปด้วยความเสี่ยงด้านการบริหารและการจัดการ เป็นต้น

4.      การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท (ระดับ                 ความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) และมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ความเสียหายข้างต้น      

5.      การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยงที่ระบุไว้ในข้อ 2)  โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด  ค่าใช้จ่ายและผลประโยชน์ ที่ได้  และระดับความเสี่ยงที่ยอมรับได้ของ  ความเสี่ยงที่เหลืออยู่ (Residual Risk) ขององค์กร

6.      การทำรายงานการบริหารความเสี่ยงและการประเมินผลของการบริหารความเสี่ยง 

 

  

 

 4.    ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น                 

       (ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงด้อยกว่าแผนฯ และไม่แตกต่างจากอดีตที่ผ่านมาก่อนที่จะทำ           

        การบริหารความเสี่ยง)

ทั้งนี้ พิจารณาเพิ่มเติมในเรื่องของแผนการบริหารความเสี่ยงขององค์กรว่า ต้องแสดงเป้าหมายที่ชัดเจนของการบริหารความเสี่ยงของแต่ละปัจจัยเสี่ยง  โดยเป้าหมายที่ระบุ อาจอยู่ในรูปความสำเร็จของกิจกรรมในแผนงาน และ/หรือ  การกำหนดดัชนีชี้วัดความเสี่ยง (Key Risk Indicators: KRI) ได้ตาม     ความเหมาะสมในแต่ละปัจจัยเสี่ยง

  

 

    ระดับ 3 : การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2 

 

องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น  (Risk Tolerance)  โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Strategic Risk  /Operational Risk/ Financial Risk  และ Compliance Risk  (S-O-F-C)

 

โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

 

การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร

3.1  รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง  โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติ     การบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้  และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น ) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)

3.2  รัฐวิสาหกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร           ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร  เช่น

-          การจัดตั้งหน่วยงาน / คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง

-          พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร

-          การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง  หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร (ภาคผนวก  หน้า 19-20 ในเรื่องบทบาทและความรับผิดชอบหลักของผู้ที่เกี่ยวข้องโดยตรงกับการบริหารความเสี่ยง) พิจารณาจาก  เนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop)  ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง  และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

 

 

 

มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)

4.1  การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ

4.2  การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร (เช่น การจัดทำ Risk Map     เป็นต้น ซึ่งตัวอย่าง Risk Map แสดงหน้า 17)

โดย Risk Map ขององค์กร  จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง  ในปีบัญชี 2551

 

การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (นิยามตามหน้า 20) ดังต่อไปนี้

5.1 ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่     ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร

5.2  คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุ 

      วัตถุประสงค์ที่กำหนดไว้  เช่น

§         การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น

§         การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น

§         การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา

5.3   คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตาม การจัดการ   

       กระบวนการป้องกันความ เสียหาย  การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดี 

       ทางด้าน  IT 

5.4    คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับ 

        ด้านการจัดการ  IT

5.5    ระบบ e-DOC (Electronic Department Operation Center)  ของรัฐวิสาหกิจแล้วเสร็จ

 

ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก

-          การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง    (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/    เชิงปริมาณได้ในปีนั้นๆ  ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด

-          ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา

-          ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก  (ระดับความเสียหาย = ระดับของความรุนแรง  x  โอกาสของการเกิดความเสี่ยง)  แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk  /Operational Risk/ Financial Risk  และ Compliance Risk  (S-O-F-C)

-          ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2551  รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว  แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ  KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

 

 


 

ระดับ 4 :  การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3

2. กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับ การกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน ของรัฐวิสาหกิจ ซึ่งได้แก่การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่างๆ (ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน) ประกอบในการกำหนดนโยบาย/กลยุทธ์  /การวางแผน /การลงทุน

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)

3.1  ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน

3.2  มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร  ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

3.3  มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

 

4. มีการทบทวนการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผน             การบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด   ได้แก่ 

-          การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ

-          พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา

-          พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

5. พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

6.  การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี  ดังต่อไปนี้

6.1  คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT  ได้แก่

6.1.1   มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-Site Back Up)   

6.1.2   มีระบบการดูแลสภาพแวดล้อม ของ ศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security  Room) โดยเป็นไปตามมาตรฐาน BS/EN1047-2

6.1.3   มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลักๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA)  เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non - IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

6.2  คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ  เช่น  การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

6.3  ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของ            การเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

6.4  ระบบ e-DOC (Electronic  Department Operation Center)  ของรัฐวิสาหกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลักๆ ทางด้าน S-O-F-C ของคณะกรรมการและผู้บริหารระดับสูง ในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

6.5  การจัดทำแผนเพื่อรองรับ พรบ. ว่าด้วยธุรกรรมทางอิเล็คทรอนิคส์ พ.ศ. 2544 (ISO17799)   สำหรับทุกระบบขององค์กร  โดยทุกระบบต้องดำเนินการครบทุก Domain (11 Domain) กำหนดให้แล้วเสร็จภายใน 2 ปี (พ.ศ.2552) โดยประกอบด้วยแผนระยะสั้น (ปี 2551) และแผนระยะยาว (ปี 2551 - 2552) 

7. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น  และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง   พิจารณาจาก

-          การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง    (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้นๆ  ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหาร   ความเสี่ยงที่กำหนด

-          ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา

-          ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก  (ระดับความเสียหาย = ระดับของความรุนแรง  x  โอกาสของการเกิดความเสี่ยง)  แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk  /Operational Risk/ Financial Risk  และ Compliance Risk  (S-O-F-C)

-          ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2551  รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว  แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ  KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

  ระดับ  5 : การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร     (Value Creation)

1.  มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 4

 

2. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของ           การพิจารณาผลตอบแทน และ/หรือความดีความชอบ  

2.1     แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร

2.2     มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคลหรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคลหรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

2.3     มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงานเพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง 

 

       3.   การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี  ดังต่อไปนี้

3.1      คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจาก  การลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น

3.2      คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้  เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

4.   มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation)  ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

นอกจากนี้ยังรวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ”  การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์  “SWOT”  ขององค์กร

หรือการที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท

การวิเคราะห์ความเสี่ยง (Risk Analysis) หลังจากระบุปัจจัยเสี่ยงแล้ว ขั้นต่อไปคือการวิเคราะห์ความเสี่ยงหรือผลกระทบของความเสี่ยงต่อองค์กร เทคนิคการวิเคราะห์ความเสี่ยงมีหลายวิธี เพราะการวัดความเสี่ยงเป็นตัวเลขว่ามีผลกระทบต่อองค์กรเท่าไรนั้นเป็นสิ่งที่ทำได้ยาก โดยทั่วไปจะวิเคราะห์ความเสี่ยงโดยประเมินนัยสำคัญหรือผลกระทบของความเสี่ยง (Materiality) และความถี่ที่จะเกิดหรือโอกาสที่จะเกิดความเสี่ยง (Frequency) โดยการใช้วิธีการให้คะแนน ดังนี้

 

 

โอกาสที่จะเกิดความเสี่ยง

 

โอกาสจะเกิดความเสี่ยง

ความถี่โดยเฉลี่ย

คะแนน

สูงมาก

1 เดือนต่อครั้งหรือมากกว่า

5

สูง

1-6 เดือนต่อครั้งแต่ไม่เกิน 5 ครั้ง

4

ปานกลาง

1 ปีต่อครั้ง

3

น้อย

2-3 ปีต่อครั้ง

2

น้อยมาก

5 ปีต่อครั้ง

1

 

ระดับของความรุนแรง (ผลกระทบของความเสี่ยงต่อองค์กร)

 

ระดับของความรุนแรง

มูลค่าความเสียหาย

คะแนน

สูงมาก

> 10 ล้านบาท

5

สูง

> 2.5 แสนบาท  -  10 ล้านบาท

4

ปานกลาง

> 50,000  -  2.5 แสนบาท

3

น้อย

> 10,000  -  50,000 บาท

2

น้อยมาก

ไม่เกิน 10,000 บาท

1

        หมายเหตุ : มูลค่าความเสียหาย และความถี่เป็นเพียงตัวอย่างการนำไปใช้ ควรมีการกำหนดให้เหมาะสมกับ

           ขนาดภารกิจและลักษณะการดำเนินงานขององค์กร

ระดับของความรุนแรง (ผลกระทบของความเสี่ยงต่อชื่อเสียงขององค์กร)

 

ระดับของความรุนแรง

ผลกระทบของความเสียหาย

คะแนน

สูงมาก

มีการพาดหัวข่าวทั้งจากสื่อภายในและต่างประเทศ

5

สูง

มีการเผยแพร่ข่าวในวงกว้างสำหรับสื่อภายในประเทศและมีการเผยแพร่ข่าวในวงจำกัดของสื่อต่างประเทศ

4

ปานกลาง

มีการเผยแพร่ข่าวในหนังสือพิมพ์ภายในประเทศหลายฉบับ (2-5 วัน)

3

น้อย

มีการเผยแพร่ข่าวในวงจำกัดภายในประเทศ (1  วัน)

2

น้อยมาก

ไม่มีการเผยแพร่ข่าว

1

        หมายเหตุ : ผลกระทบของความเสียหาย เป็นเพียงตัวอย่างการนำไปใช้ ควรมีการกำหนดให้เหมาะสมกับ

           ขนาดภารกิจและลักษณะการดำเนินงานขององค์กร

ระดับของความรุนแรง (ผลกระทบของความเสี่ยงต่อระบบเทคโนโลยีและสารสนเทศ)

 

ระดับของความรุนแรง

ผลกระทบของความเสียหาย

คะแนน

สูงมาก

เกิดความสูญเสียต่อระบบ IT ที่สำคัญทั้งหมด และเกิดความเสียหายอย่างมากต่อความปลอดภัยของข้อมูลลูกค้าหรือข้อมูลธุรกิจ

5

สูง

เกิดปัญหากับระบบ IT ที่สำคัญ และระบบความปลอดภัยซึ่งส่งผลต่อความถูกต้องของข้อมูลบางส่วน

4

ปานกลาง

ระบบมีปัญหาและมีความสูญเสียไม่มาก

3

น้อย

เกิดเหตุร้ายเล็กน้อยที่แก้ไขได้

2

น้อยมาก

เกิดเหตุร้ายที่ไม่มีความสำคัญ

1

        หมายเหตุ : ผลกระทบของความเสียหาย เป็นเพียงตัวอย่างการนำไปใช้ ควรมีการกำหนดให้เหมาะสมกับ

           ขนาดภารกิจและลักษณะการดำเนินงานขององค์กร

 

ระดับของความรุนแรง (ผลกระทบของความเสี่ยงต่อการต่อเนื่องของการดำเนินธุรกิจ)

 

ระดับของความรุนแรง

มูลค่าความเสียหาย

คะแนน

สูงมาก

การหยุดดำเนินการของธุรกิจและกระบวนการ    เป็นเวลา 2 เดือน

5

สูง

มีผลกระทบต่อกระบวนการและการดำเนินงานทางธุรกิจอย่างรุณแรง เช่น การหยุดดำเนินงาน         1 เดือน

4

ปานกลาง

มีการชะงักงันอย่างมีนัยสำคัญของกระบวนการและการดำเนินงานทางธุรกิจ

3

น้อย

มีผลกระทบเล็กน้อยต่อกระบวนการและการดำเนินงานทางธุรกิจ

2

น้อยมาก

ไม่มีการชะงักงันของกระบวนการและการดำเนินงานทางธุรกิจ

1

หมายเหตุ : ผลกระทบของความเสียหาย เป็นเพียงตัวอย่างการนำไปใช้ ควรมีการกำหนดให้เหมาะสมกับ

              ขนาดภารกิจและลักษณะการดำเนินงานขององค์กร

 

ผู้บริหารความให้ความสำคัญต่อความเสี่ยงที่มีระดับสูงและมีโอกาสเกิดขึ้นสูงแต่อาจลดความสนใจต่อ      ความเสี่ยงที่มีระดับต่ำและโอกาสจะเกิดความเสี่ยงมีน้อย การวิเคราะห์ความเสี่ยงของ 2 จุดนี้ ต้องใช้วิจารณญาณอย่างมากว่าควรอยู่ในระดับใด เพราะการวัดผลความเสี่ยงทำได้ยาก โดยอาจพิจารณาจากความสัมพันธ์ระหว่างโอกาสที่จะเกิดความเสี่ยง และผลกระทบของความเสี่ยงต่อองค์กรว่าก่อให้เกิดระดับของความเสี่ยงในระดับใด  ซึ่งอาจแสดงได้ดังนี้

 

ระดับของความเสียหาย (Degree of Risks)

 

ผลกระทบของ      ความเสี่ยง

5

 

 

 

 

 

4

 

 

 

 

 

3

 

 

 

 

 

2

 

 

 

 

 

1

 

 

 

 

 

 

1

2

3

4

5

โอกาสที่จะเกิดความเสี่ยง

 

 

                                    มีความเสี่ยงสูงมาก

 

                                    มีความเสี่ยงสูง

 

                                    มีความเสี่ยงปานกลาง

 

                                    มีความเสี่ยงต่ำ

 

การควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

กรณีเป็นความเสี่ยงเกี่ยวกับการควบคุมภายใน ซึ่งเกิดจากปัจจัยภายในซึ่งอยู่ภายใต้การควบคุมของฝ่ายบริหาร การป้องกันหรือลดความเสี่ยงกระทำได้โดยจัดให้มีกิจกรรมการควบคุมอย่างเพียงพอและเหมาะสม อาทิ ความเสี่ยงจากการจัดซื้อพัสดุในราคาแพงแต่คุณภาพต่ำ อาจจัดให้มีกิจกรรมควบคุมเกี่ยวกับการจัดซื้อให้รัดกุมมากขึ้น เช่น การกำหนดนโยบายการคัดเลือกผู้ขายที่ดีที่สุดทั้งในเรื่องคุณภาพและราคาการกำหนดวงเงินการอนุมัติจัดซื้อให้เหมาะสม การจัดทำทะเบียนประวัติผู้ขาย รวมทั้งสถิติราคาและปริมาณการจัดซื้อการแบ่งแยกหน้าที่ตามหลักการควบคุมภายในที่ดี                การกำหนดให้มีการสับเปลี่ยนหมุนเวียนเจ้าหน้าที่จัดซื้อ   เป็นต้น

 

 

บทบาทและความรับผิดชอบหลักของผู้ที่เกี่ยวข้องโดยตรงกับการบริหารความเสี่ยง[1]

 

ผู้เกี่ยวข้อง

บทบาทและความรับผิดชอบหลัก

คณะกรรมการ

·        มีความเข้าใจถึงความเสี่ยงที่อาจมีผลกระทบร้ายแรงต่อองค์กร และทำให้มั่นใจว่า

มีการดำเนินการที่เหมาะสมเพื่อจัดการความเสี่ยงนั้น ๆ

คณะกรรมการตรวจสอบ

·        ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงทั่วทั้งองค์กร

·        กำกับดูแลและติดตามการบริหารความเสี่ยงอย่างเป็นอิสระ

·        ติดตามประสิทธิภาพการทำงานของหน่วยงานตรวจสอบภายใน

·        รายงานต่อคณะกรรมการและผู้ถือหุ้นเกี่ยวกับประสิทธิภาพและประสิทธิผลของการควบคุมภายใน

·        สื่อสารกับคณะกรรมการบริหารความเสี่ยง เพื่อให้เข้าใจความเสี่ยงที่สำคัญ และเชื่อมโยงกับระบบการควบคุมภายใน

คณะกรรมการบริหารความเสี่ยง

·        พิจารณา และอนุมัตินโยบายและกรอบการบริหารความเสี่ยง

·        ติดตามการพัฒนากรอบการบริหารความเสี่ยง

·        ติดตามกระบวนการบ่งชี้และประเมินความเสี่ยง

·        ประเมินและอนุมัติแผนการจัดการความเสี่ยง

·        รายงานต่อคณะกรรมการเกี่ยวกับความเสี่ยง และการจัดการความเสี่ยง

·        สื่อสารกับคณะกรรมการตรวจสอบ เกี่ยวกับความเสี่ยงที่สำคัญ

กรรมการผู้จัดการ

·        ติดตามความเสี่ยงที่สำคัญทั้งองค์กร และทำให้มั่นใจได้ว่ามีแผนการจัดการที่เหมาะสม

·        ส่งเสริมนโยบายการบริหารความเสี่ยง และทำให้มั่นใจว่ากระบวนการบริหารความเสี่ยง       ได้รับการปฏิบัติทั่วทั้งองค์กร

รองกรรมการผู้จัดการ

·        ติดตามความเสี่ยงทางกลยุทธ์และความเสี่ยงด้านการปฏิบัติการที่สำคัญ  และทำให้มั่นใจ    ได้ว่ามีแผนการจัดการความเสี่ยงที่เหมาะสม

·        ส่งเสริมวัฒนธรรมการบริหารความเสี่ยง และทำให้มั่นใจได้ว่า ผู้อำนวยการฝ่ายให้ความสำคัญกับการบริหารความเสี่ยงในฝ่ายของตน

ผู้อำนวยการฝ่าย

·        ทำให้มั่นใจว่าการปฏิบัติงานรายวันมีการประเมิน จัดการและรายงานความเสี่ยงอย่างเพียงพอ

·        ส่งเสริมพนักงานในฝ่ายงานให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

 

 

ผู้เกี่ยวข้อง

บทบาทและความรับผิดชอบหลัก

ผู้อำนวยการฝ่าย

·        ทำให้มั่นใจว่าการปฏิบัติงานรายวันมีการประเมิน จัดการและรายงานความเสี่ยงอย่างเพียงพอ

·        ส่งเสริมพนักงานในฝ่ายงานให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

หัวหน้างานหรือพนักงาน

·        ระบุและรายงานความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานต่อผู้อำนวยการฝ่าย และเข้าร่วมในการจัดทำแผนจัดการความเสี่ยง และนำแผนไปปฏิบัติ

หน่วยงานหรือผู้รับผิดชอบ        การบริหารความเสี่ยง

·        ปฏิบัติหน้าที่ประจำวันแทนคณะกรรมการบริหารความเสี่ยง

·        จัดทำนโยบายความเสี่ยง กรอบ และกระบวนการให้กับหน่วยธุรกิจและเสนอคณะกรรมการบริหารความเสี่ยงเพื่ออนุมัติ

·        ให้การสนับสนุนและแนะนำกระบวนการบริหารความเสี่ยงแก่หน่วยงานต่างๆ ภายในองค์กรตามที่มีการร้องขอ

ผู้ตรวจสอบภายใน

·        ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมต่อการจัดการความเสี่ยง และการควบคุมเหล่านั้นได้รับการปฏิบัติตามภายในองค์กร

·        ทำให้มั่นใจว่าได้มีการนำระบบการบริหารความเสี่ยงมาปรับใช้อย่างเหมาะสมและมีการปฏิบัติตามทั่วทั้งองค์กร

·        สอบทานการปฏิบัติงานของหน่วยงานการบริหารความเสี่ยง

·        สื่อสารกับหน่วยงานการบริหารความเสี่ยงเพื่อทำความเข้าใจเกี่ยวกับความเสี่ยงและดำเนินการตรวจสอบภายในตามแนวความเสี่ยง (Risk based auditing)

 

ความหมายของ IT Governance

 

          IT Governance คือหน้าที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางด้านเทคโนโลยีสารสนเทศควบคู่กันไปกับความสามารถด้านอื่นๆ ของคณะกรรมการและผู้บริหารระดับสูงที่ใช้เป็นกรอบ และองค์ประกอบของกระบวนการบริหารงานใน        การปฏิบัติตามนโยบาย กลยุทธ์เพื่อสร้างศักยภาพและคุณค่าเพิ่ม  และการเติบโตอย่างยั่งยืน  อย่างรู้คุณค่าให้กับองค์กร  ควบคู่กันไปกับหลักการกำกับดูแลกิจการที่ดีที่แยกกันไม่ได้  ในกระบวนการบริหารความเสี่ยงตามองค์ประกอบของการจัดการ ตั้งแต่การวางแผน การจัดองค์กร การพนักงาน การดำเนินการและการควบคุม

 

อธิบายเพิ่มเติม

            IT Governance  ทำให้เกิดการบริหารและการบูรณาการที่เป็นระบบ ระเบียบ เป็นขั้นตอน ลดความซ้ำซ้อน  ลดความเสี่ยง เพิ่มศักยภาพโดยทำงานข้ามสายงานได้ และประสานงานระหว่างองค์กรได้อย่างรวดเร็ว ทันเวลา มีประสิทธิภาพ สอดประสานกับ     การดำเนินงานระดับต่างๆ จากการใช้ความสามารถและศักยภาพของเทคโนโลยีสารสนเทศ และทรัพยากรต่างๆ เพื่อการผลักดันความสำเร็จ ของการจัดการทั่วทั้งองค์กรอย่างเป็นกระบวนการ

            เทคโนโลยีสารสนเทศ สร้างความเสี่ยงใหม่ๆ รวมทั้งการสูญเสียโอกาสที่มีผลต่อประสิทธิภาพ ประสิทธิผลในการดำเนินการ การปฏิบัติตามนโยบาย กฎหมาย ระเบียบ ประกาศ คำสั่ง ฯลฯ และผลกระทบต่อความน่าเชื่อถือและความถูกต้องของการตรวจสอบและการจัดทำรายงาน ซึ่งเป็นหัวใจของการบริหารและการควบคุมภายในอย่างคาดไม่ถึงในการบริหารงานระดับต่างๆ ขององค์กรควบคู่กันไปด้วย ดังนั้น การผสมผสานความสามารถด้านต่างๆ ขององค์กรกับศักยภาพของระบบงานและการจัดการเทคโนโลยีสารสนเทศที่ดี จึงเป็นทั้งหน้าที่ความรับผิดชอบที่ไม่อาจหลีกเลี่ยงได้ ของคณะกรรมการและผู้บริหารระดับสูงขององค์กรในปัจจุบัน

 

การกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง

โดยทั่วไปวัตถุประสงค์ของการบริหารความเสี่ยงอาจแบ่งออกได้เป็น 2 ระดับ คือ

  • วัตถุประสงค์ในระดับองค์กร (Entity-Level Objectives) เป็นวัตถุประสงค์ของการดำเนินงานในภาพรวมขององค์กร โดยทั่วไปวัตถุประสงค์ในระดับองค์กรจะระบุไว้ในแผนกลยุทธ์ และแผนการปฏิบัติงานประจำปีขององค์กรเช่นเดียวกับภารกิจ (Mission) และกลยุทธ์ในภาพรวมขององค์กร
  • วัตถุประสงค์ในระดับกิจกรรม (Activity - Level Objectives) เป็นวัตถุประสงค์ของการดำเนินงานที่เฉพาะเจาะจงลงไปสำหรับแต่ละกิจกรรมที่องค์กรกำหนดเพื่อให้บรรลุวัตถุประสงค์ขององค์กร             ซึ่งวัตถุประสงค์ของแต่ละกิจกรรมจะต้องสนับสนุนและสอดคล้องกับวัตถุประสงค์ในระดับองค์กร

การกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง ควรมีลำดับขั้นตอน ดังนี้

  1. กำหนดภารกิจขององค์กร
  2. กำหนดวัตถุประสงค์ในระดับองค์กรให้สอดคล้องกับภารกิจที่กำหนดไว้
  3. กำหนดกิจกรรมที่ทำให้บรรลุวัตถุประสงค์ในระดับองค์กร
  4. กำหนดวัตถุประสงค์ในระดับกิจกรรม

วัตถุประสงค์ที่กำหนดขึ้นในแต่ละระดับ ควรมีการกำหนดเป้าหมายและตัวชี้วัดความสำเร็จที่ชัดเจนและสามารถวัดผลได้

 

การระบุความเสี่ยง (Risk Identification)

ความเสี่ยงมีสาเหตุมาจากปัจจัยทั้งภายในและภายนอก ปัจจัยเหล่านี้มีผลกระทบต่อวัตถุประสงค์และเป้าหมายขององค์กรหรือผลการปฏิบัติงานทั้งในระดับองค์กรและระดับกิจกรรม ในการระบุปัจจัยเสี่ยงฝ่ายบริหารจำเป็นต้อง                ตั้งคำถามว่ามีเหตุการณ์ใด หรือกิจกรรมใดของกระบวนการปฏิบัติงานที่อาจเกิดความผิดพลาด  ความเสียหาย และ               การไม่บรรลุวัตถุประสงค์ที่กำหนด รวมทั้งมีทรัพย์สินใดที่จำเป็นจะต้องได้รับการดูแลป้องกันรักษา เช่น ความเสี่ยงจาก        การจัดซื้อจัดจ้างในราคาแพง ความเสี่ยงจากการจัดซื้อพัสดุที่มีคุณภาพต่ำกว่าข้อกำหนด เป็นต้น

 

การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท

การวิเคราะห์ความเสี่ยง (Risk Analysis) หลังจากระบุปัจจัยเสี่ยงแล้ว ขั้นต่อไปคือการวิเคราะห์ความเสี่ยงหรือผลกระทบของความเสี่ยงต่อองค์กร เทคนิคการวิเคราะห์ความเสี่ยงมีหลายวิธี เพราะการวัดความเสี่ยงเป็นตัวเลขว่ามีผลกระทบต่อองค์กรเท่าไรนั้นเป็นสิ่งที่ทำได้ยาก โดยทั่วไปจะวิเคราะห์ความเสี่ยงโดยประเมินนัยสำคัญหรือผลกระทบของความเสี่ยง (Materiality) และความถี่ที่จะเกิดหรือโอกาสที่จะเกิดความเสี่ยง (Frequency) โดยการใช้วิธีการให้คะแนน ดังนี้

 

[1] แนวทางการบริหารความเสี่ยงของตลาดหลักทรัพย์แห่งประเทศไทย 


 

แก้ไขล่าสุด ใน วันอังคารที่ 31 พฤษภาคม 2011 เวลา 16:35 น.