การบริหารความเสี่ยง เป็นเครื่องมือในการบริหารจัดการที่สำคัญ ช่วยในการเพิ่่มมูลค่า (Value Enhancement) ให้กับองค์กร และผู้มีส่วนได้ส่วนเสียต่าง ๆ อย่างยั่นยืน
บทความเกี่ยวกับ Risk Management อื่น ๆ
- ความหมายของการจัดการความเสี่ยง
- องค์ประกอบของการบริหารความเสี่ยง
- นิยามของความเสี่ยง (Risk Definition)
ความหมายและคําจํากัดความของการบริหารความเสี่ยง
1. ความเสี่ยง (Risk) หมายถึง เหตุการณ์ที่มีความไม่แน่นอน ซึ่งมีโอกาสที่จะเกิดขึ้น
ในอนาคต และมีผลกระทบ ทั้งทางบวกและทางลบ หากเป็นทางลบจะก่อให้เกิดความผิดพลาด
ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ที่ไม่พึงประสงค์ ทําให้การดําเนินงานของ
องค์กรไม่ประสบความสําเร็จตามวัตถุประสงค์ที่กําหนดไว้ จึงจําเป็นต้องพิจารณาโอกาสที่จะเกิด
(Likelihood) ของเหตุการณ์และผลกระทบ (Impact) ที่จะได้รับ
ความเสี่ยงตามแนว COSO จําแนกได้เป็น 4 ลักษณะ ดังนี้
- ด้านกลยุทธ์ (Strategic Risk) คือ ความเสี่ยงที่เกิดจากการกําหนดแผนกลยุทธ์ แผนดําเนินงาน
ที่นําไปปฏิบัติไม่เหมาะสมหรือไม่สอดคล้องกับปัจจัยภายในและสภาพแวดล้อมภายนอก อันส่งผล
กระทบต่อการบรรลุวิสัยทัศน์ พันธกิจ หรือสถานะขององค์กร
- ความเสี่ยงด้านการดําเนินงาน (Operational Risk) คือ ความเสี่ยงที่เกิดจากการปฏิบัติงาน
ทุก ๆ ขั้นตอนโดยครอบคลุมถึงปัจจัยที่เกี่ยวข้องกับ กระบวนการ อุปกรณ์ เทคโนโลยีสารสนเทศ
บุคลากรในการปฏิบัติงาน เป็นต้น
- ความเสี่ยงด้านการเงิน (Financial Risk) คือ ความเสี่ยงที่เกิดจากการเบิกจ่ายงบประมาณ
ไม่เป็นไปตามแผน งบประมาณถูกตัด งบประมาณที่ได้รับไม่สอดคล้องกับสถานการณ์ของภารกิจ
ที่เปลี่ยนแปลงไปทําให้การจัดสรรไม่เพียงพอ
- ความเสี่ยงด้านกฎระเบียบ หรือกฎหมายที่เกี่ยวข้อง (Compliance Risk) หรือ (Event
Risk) คือ ความเสี่ยงที่เกิดจากการไม่สามารถปฏิบัติตามกฎระเบียบ หรือ กฎหมายที่เกี่ยวข้องได้ หรือ
กฎหมายที่มีอยู่ไม่เหมาะสม หรือเป็นอุปสรรคต่อการปฏิบัติงาน
2. ปัจจัยเสี่ยง (Risk Factor) หมายถึง ต้นเหตุหรือสาเหตุของความเสี่ยง ที่จะทําให้ไม่บรรลุ
วัตถุประสงค์ตามขั้นตอนการดําเนินงานที่กําหนดไว้ ทั้งปัจจัยภายในและภายนอก ซึ่งองค์กรควรระบุ
สาเหตุที่แท้จริง เพื่อจะได้วิเคราะห์และกําหนดกลยุทธ์/มาตรการ/แนวทางในการลดความเสี่ยงได้
อย่างถูกต้อง เหมาะสมกับสถานการณ์ และบริบทขององค์กร
ปัจจัยภายนอก หมายถึง ปัจจัยภายนอกองค์กรที่มีอิทธิพลต่อความสําเร็จของ
วัตถุประสงค์ เป็นปัจจัยที่ผู้บริหารควบคุมโอกาสที่จะเกิดไม่ได้ แต่อาจลดผลกระทบ เช่น การติดตาม
ศึกษาเพื่อหาแนวโน้มที่จะเกิดและวิธีที่ควรปฏิบัติไว้ล่วงหน้า เพื่อเปลี่ยนวิกฤตเป็นโอกาส หรือเพื่อ
ลดผลเสียหาย ที่จะเกิดขึ้น ตัวอย่างปัจจัยภายนอก เช่น
1. ภัยธรรมชาติและสิ่งแวดล้อม (Natural Environment) การเกิดน้ําท่วม ไฟไหม้
แผ่นดินไหว คลื่นยักษ์สินามิ โรคระบาด ที่ทําความเสียหายต่ออาคาร ทรัพย์สินแหล่งวัตถุดิบ แรงงาน
2. ภาวะเศรษฐกิจ (Economic) ภาวะเงินเฟ้อ เงินฝืด อัตราดอกเบี้ย อัตราแลกเปลี่ยน
สกุลเงิน และเหตุการณ์ที่เกี่ยวข้องกับการเคลื่อนไหวของราคา แหล่งเงินทุน ภาวการณ์แข่งขัน
3. ภาวะการเมือง (Political) เหตุการณ์ที่เกี่ยวกับการประกาศใช้กฎหมาย ระเบียบและ
เหตุการณ์ที่เปิดหรือจํากัดโอกาสเข้าสู่ตลาดต่างประเทศ การเปลี่ยนแปลงอัตราภาษี
4. สังคม (Social) เหตุการณ์ที่เกี่ยวกับการเปลี่ยนแปลงของประชากร การย้ายแหล่ง
ที่อยู่โครงสร้างครอบครัว มาตรฐานและรสนิยมของสังคม การก่อการร้าย
5. เทคโนโลยีสารสนเทศ (Technological) เหตุการณ์ที่เกี่ยวกับแนวโน้มการเปลี่ยนแปลง
เทคโนโลยีคอมพิวเตอร์ เช่น อีคอมเมิซ ซึ่งมีผลต่อการใช้สารสนเทศในการบริหาร การลดโครงสร้าง
ต้นทุน หรือความต้องการด้านเทคโนโลยี
ปัจจัยภายใน หมายถึง ปัจจัยภายในองค์กรที่มีอิทธิพลต่อความสําเร็จของวัตถุประสงค์
เป็นปัจจัยที่ผู้บริหารสามารถจัดการควบคุมได้ ตัวอย่างเช่น
1. โครงสร้างพื้นฐาน (Infrastructure) เหตุการณ์ที่เกี่ยวกับความต้องการเงินทุนเพื่อ
ขยายหรือรักษาโครงสร้างพื้นฐาน การลดเวลาที่เครื่องจักรเสีย และการเพิ่มความพึงพอใจของลูกค้า
2. พนักงาน (Personnel) เหตุการณ์ที่เกี่ยวกับอุบัติเหตุ การทุจริต การหมดอายุสัญญาจ้าง
การสูญเสียพนักงานสําคัญ ที่ส่งผลต่อความเสียหายทางการเงินและชื่อเสียงและการหยุดผลิต
3. กระบวนการ (Process) เหตุการณ์ที่เกี่ยวกับขั้นตอนการปฏิบัติงานสําคัญ การเปลี่ยนแปลง
กฎเกณฑ์ ความผิดพลาดในกระบวนการ การส่งมอบสินค้า การควบคุมที่ไม่เพียงพอ ที่ส่งผลต่อ
ความไม่มีประสิทธิภาพ ความไม่พอใจของลูกค้า การเสียส่วนแบ่งการตลาด และการเสียชื่อเสียง
4. เทคโนโลยี (Technology) เหตุการณ์ที่เกี่ยวกับระบบไอทีและสารสนเทศภายใน
องค์กร ความถูกต้องครบถ้วนของสารสนเทศ ความมั่นคงปลอดภัย การทุจริตการเลือกระบบที่จะใช้
การพัฒนาและบํารุงรักษาระบบ การหยุดชะงักของระบบ และความไม่สามารถปฏิบัติงานต่อเนื่อง
3. การประเมินความเสี่ยง (Risk Assessment) หมายถึง กระบวนการระบุความเสี่ยง และ
การวิเคราะห์เพื่อจัดลําดับความเสี่ยงที่จะมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร โดยการ
ประเมินจากโอกาสที่จะเกิดเหตุการณ์ (Likelihood) และผลกระทบ (Impact) จากเหตุการณ์ความเสี่ยง
- โอกาสที่จะเกิดเหตุการณ์ (Likelihood) หมายถึง ความถี่หรือโอกาสที่จะเกิดเหตุการณ์
ความเสี่ยง
- ผลกระทบ (Impact) หมายถึง ปริมาณของความรุนแรงความเสียหายที่จะเกิดขึ้นจาก
เกิดเหตุการณ์หรือความเสี่ยง
- ระดับของความเสี่ยง (Degree of Risk) หมายถึง สถานะของความเสี่ยงที่ได้จากการประเมิน
โอกาส และผลกระทบของแต่ละปัจจัยเสี่ยง แบ่งออกเป็น 4 ระดับคือ ความเสี่ยงสูงมาก ความเสี่ยงสูง
ความเสี่ยงปานกลาง และความเสี่ยงน้อย
4. การจัดการความเสี่ยงหรือการบริหารความเสี่ยง (Risk Management) คือ การกําหนด
แนวทางและกระบวนการในการระบุ ประเมิน จัดการ และติดตามความเสี่ยงที่เกี่ยวข้องกับกิจกรรม
หน่วยงาน หรือการดําเนินงานขององค์กร รวมทั้งการกําหนดวิธีการในการบริหารและการควบคุม
ความเสี่ยงให้อยู่ในระดับที่ผู้บริหารระดับสูงยอมรับได้ ซึ่งสามารถมองได้เป็น 2 มุมมอง คือ
4.1 การกําจัดหรือลดปัจจัยต่าง ๆ ที่จะขัดขวางไม่ให้องค์กรบรรลุวัตถุประสงค์ นั่นคือ
การปกป้องมูลค่าที่องค์กรมีอยู่ไม่ให้ถูกทําลายไป
4.2 มองหาโอกาสที่จะสร้างความได้เปรียบในการดําเนินธุรกิจ คือ การสร้างมูลค่าให้กับ
องค์กร โดยการบริหารความเสี่ยง จะอาศัยการจัดลําดับความสําคัญหรือความรุนแรงของความเสี่ยงนั้น
เพื่อที่จะได้ใช้ทรัพยากรที่มีอยู่อย่างจํากัดในการบริหารจัดการกับสิ่งที่มีความสําคัญมากก่อน และ
มีการคํานึงถึงต้นทุนที่ต้องเสียไปกับผลประโยชน์ที่จะได้รับกลับมาด้วย (Trade-off between Cost
and Benefit)
5. การบริหารความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management) หมายถึง
กระบวนการที่ปฏิบัติโดยคณะกรรมการ ผู้บริหารและบุคลากรทุกคนในองค์กรเพื่อช่วยในการกําหนด
กลยุทธ์และดําเนินงาน ซึ่งกระบวนการบริหารความเสี่ยงได้รับการออกแบบไว้ให้สามารถบ่งชี้เหตุการณ์
ที่อาจเกิดขึ้นและมีผลกระทบต่อองค์กร และสามารถจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับ
เพื่อให้ได้รับความมั่นใจอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์ที่องค์กรกําหนดไว้
6. การควบคุม (Control) คือ นโยบายและวิธีปฏิบัติที่จะช่วยให้มั่นใจว่า ได้มีการดําเนินการ
ตามแนวทางการตอบสนองต่อความเสี่ยงที่วางไว้ กิจกรรมการควบคุมเกิดขึ้นในทุกระดับ ทุกหน้าที่งาน
และทั่วทั้งองค์กร ประกอบด้วยกิจกรรมที่แตกต่างกัน เช่น การอนุมัติ การมอบหมายอํานาจหน้าที่
การยืนยันความถูกต้อง การกระทบยอด การแบ่งแยกหน้าที่ และการสอบทานผลการปฏิบัติงาน
แบ่งได้ 4 ประเภท คือ
6.1 การควบคุมแบบป้องกัน (Preventive Control) เป็นการควบคุมเพื่อป้องกันหรือ
ลดความเสี่ยง จากความผิดพลาด ความเสียหาย เช่น การแบ่งแยกหน้าที่การงาน การควบคุมการเข้าถึง
ทรัพย์สิน เป็นต้น
6.2 การควบคุมแบบค้นพบ (Detective Control) เป็นการควบคุมเพื่อค้นพบ
ความเสียหายหรือความผิดพลาดที่เกิดขึ้นแล้ว เช่น การสอบทาน การสอบยันยอด การตรวจนับพัสดุ
เป็นต้น
6.3 การควบคุมแบบส่งเสริม (Directive Control) เป็นวิธีการควบคุมที่ส่งเสริมหรือ
กระตุ้น ให้เกิดความสําเร็จตามวัตถุประสงค์ที่ต้องการ เช่น การให้รางวัลแก่ผู้มีผลงานดี
6.4 การควบคุมแบบแก้ไข (Corrective Control) เป็นวิธีการควบคุมเพื่อค้นพบ
ความเสียหายหรือความผิดพลาดที่เกิดขึ้นให้ถูกต้อง หรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ําอีก
ไม่มีความคิดเห็น:
แสดงความคิดเห็น