การจัดอบรมในครั้งนี้มีหัวข้อการอบรมที่เป็นหลักพื้นฐานของความเสี่ยง ความหมายของความเสี่ยง ความสำคัญของความเสี่ยงและการบริหารความเสี่ยง กระบวนการในการบริหารความเสี่ยงตามมาตรฐานด้านการบริหารความเสี่ยง ประกอบด้วย
ขั้นตอนที่ 1 Identify เป็นการระบุความเสี่ยงและผลกระทบทั้งทางตรงและทางอ้อมที่ผลกระทบต่อเป้าหมายที่ได้กำหนดไว้
ขั้นตอนที่ 2 Analyze เป็นการวิเคราะห์ ประเมินถึงโอกาสที่จะเกิดขึ้นของความเสี่ยงและความรุนแรงของผลกระทบ
ขั้นตอนที่ 3 Plan เป็นการวางแผนโดยกำหนดกลยุทธ์เพื่อควบคุมผลกระทบของความเสี่ยง ทั้งนี้ เพื่อให้สามารถบรรลุเป้าหมายหรือใกล้เคียงกับเป้าหมายที่กำหนดไว้
ขั้นตอนที่ 4 Track เป็นการติดตามข้อมูลเพื่อทราบร่องรอยของความเสี่ยง
ขั้นตอนที่ 5 Control การติดตาม กำกับ และตรวจสอบ การปฏิบัติการควบคุม ความเสี่ยง
องค์ประกอบของการบริหารความเสี่ยง
ตามแนวคิดของโคโซ่ฉบับใหม่
COSO ERM 2017
เป็นกรอบแนวทางที่องค์กรควรกำหนดให้มีและเป็นแนวปฏิบัติในการออกแบบและนำการบริหารความเสี่ยงไปใช้เพื่อให้บรรลุกลยุทธ์และวัตถุประสงค์ทางธุรกิจ
มี 20 องค์ประกอบ ดังนี้
1. จัดตั้งคณะกรรมการดูแลความเสี่ยง (Exercises Board Risk Oversight) คณะกรรมการบริษัทมีหน้าที่กำกับดูแลการดำเนินงานตามกลยุทธ์ต่าง ๆ รวมถึงกำกับดูแลกิจการ เช่น คณะกรรมการควรมีการกำหนดหน้าที่ความรับผิดชอบด้านการบริหารความเสี่ยง คณะกรรมการควรมีความรู้และความเชี่ยวชาญในการกำกับการบริหารความเสี่ยงนอกจากนี้ คณะกรรมการควรมีความเป็นอิสระ หลีกเลี่ยงความขัดแย้งทางผลประโยชน์ที่อาจเกิดขึ้น
2. จัดตั้งโครงสร้างการดำเนินงาน
(Establishes
Operating Structures) องค์กรควรจัดตั้งโครงสร้างการดำเนินงานที่สอดคล้องกับกลยุทธ์และวัตถุประสงค์ทางธุรกิจ
เช่น มีการกำหนดโครงสร้างการดำเนินงานและสายบังคับบัญชาที่เหมาะสม
มีโครงสร้างในการบริหารความเสี่ยง มีการกำหนดอำนาจ หน้าที่
และความรับผิดชอบให้สอดคล้องกับกลยุทธ์
3. ระบุวัฒนธรรมองค์กรที่ต้องการ (Defines Desired Culture) องค์กรควรระบุพฤติกรรมที่พึงประสงค์ ซึ่งแสดงถึงวัฒนธรรมองค์กรที่ต้องการ คณะกรรมการบริหารและฝ่ายบริหารเป็นผู้กำหนดวัฒนธรรมองค์กรทั้งสำหรับองค์กรในภาพรวมและสำหรับบุคลากร ภายใต้วัฒนธรรมองค์กรที่ให้ความสำคัญกับความเสี่ยง วัฒนธรรมองค์กรเกิดขึ้นจากหลายปัจจัย ปัจจัยภายในที่สำคัญ ได้แก่ ระดับการใช้วิจารณญาณ ความเป็นอิสระในการตัดสินใจของพนักงานการสื่อสารระหว่างพนักงานและผู้จัดการ มาตรฐานและกฎเกณฑ์ต่างๆ แผนผังทางกายภาพของสถานที่ปฏิบัติงานและระบบค่าตอบแทน ปัจจัยภายนอก ได้แก่ ข้อกำหนดด้านกฎหมาย ความคาดหวังของลูกค้า นักลงทุน และองค์ประกอบอื่น ๆ
4. แสดงความมุ่งมั่นในค่านิยมหลัก (Demonstrates Commitment to Core Values) องค์กรควรแสดงให้เห็นถึงความมุ่งมั่นที่จะปฏิบัติตามค่านิยมหลักขององค์กรเช่น
ยึดถือการบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมองค์กร
การปฏิบัติตามภาระรับผิดชอบอย่างเคร่งครัด การสร้างความรับผิดชอบต่อตนเอง
การกำหนดให้มีการสื่อสารที่เหมาะสม
5. จูงใจ พัฒนา
และรักษาบุคลากรที่มีความสามารถ (Attracts, Develops, and Retains
Capable Individuals) องค์กรควรมุ่งมั่นในการสนับสนุนการสร้างทรัพยากรบุคคลควบคู่ไปกับกลยุทธ์และวัตถุประสงค์ทางธุรกิจ
เช่น ฝึกอบรมบุคลากรในด้านการบริหารความเสี่ยง ส่งเสริมความสามารถของพนักงาน
สร้างแรงจูงใจและผลตอบแทนอื่น ๆ อย่างเหมาะสมสำหรับตำแหน่งงานในทุกระดับ
6. วิเคราะห์ธุรกิจ (Analyzes Business Context) องค์กรควรพิจารณาถึงผลกระทบจากบริบททางธุรกิจที่อาจเกิดขึ้นและส่งผลต่อระดับความเสี่ยงในภาพรวมขององค์กร
เช่น การเข้าใจบริบททางธุรกิจ
การคำนึงถึงสภาพแวดล้อมภายนอกและผู้มีส่วนได้ส่วนเสีย
7. ระบุความเสี่ยงที่ยอมรับได้ (Defines Risk Appetite) องค์กรควรระบุความเสี่ยงที่ยอมรับได้
เพื่อสร้าง รักษา และส่งเสริมความตระหนักถึงค่านิยม เช่น มีการกำหนดระดับความเสี่ยงที่ยอมรับได้และสื่อสารความเสี่ยงที่ยอมรับได้ให้ชัดเจน
ความเสี่ยงที่ยอมรับได้ไม่มีการกำหนดรูปแบบที่ตายตัว
หรือเป็นมาตรฐานที่จะใช้ได้กับทุกองค์กร
ผู้บริหารเป็นผู้เลือกความเสี่ยงที่ยอมรับได้ภายใต้บริบททางธุรกิจที่ต่างกันในแต่ละองค์กร
8. ประเมินกลยุทธ์ทางเลือก (Evaluates Alternative Strategies) องค์กรควรประเมินเพื่อค้นหากลยุทธ์ทางเลือกและผลกระทบที่อาจเกิดขึ้นต่อโปรไฟล์ความเสี่ยงขององค์กร
เช่น การวิเคราะห์ SWOT การประเมินมูลค่า การคาดการณ์รายได้
การวิเคราะห์คู่แข่ง และการวิเคราะห์สถานการณ์
กลยุทธ์ต้องสนับสนุนพันธกิจและวิสัยทัศน์
รวมถึงสอดคล้องกับค่านิยมหลักและความเสี่ยงที่ยอมรับได้
9. กำหนดวัตถุประสงค์ทางธุรกิจ (Formulates Business Objectives) ในการกำหนดวัตถุประสงค์ทางธุรกิจ
องค์กรควรพิจารณาความเสี่ยงในระดับต่าง ๆ ซึ่งสอดคล้องและสนับสนุน
กลยุทธ์ควบคู่ไปด้วย เช่น การกำหนดค่าความเบี่ยงเบนของความเสี่ยงจากผลการดำเนินงาน
ซึ่งยังคงอยู่ในช่วงความเสี่ยงที่ยอมรับได้
10. ระบุความเสี่ยง (Identifies Risk) องค์กรควรระบุความเสี่ยงที่ส่งผลต่อกลยุทธ์และวัตถุประสงค์ทางธุรกิจ
เช่น ความเสี่ยงด้านลูกค้า ความเสี่ยงด้านการปฏิบัติงาน ความเสี่ยงด้านการเงิน
และความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ
ความเสี่ยงทั้งหมดจะเก็บไว้ในโปรไฟล์ความเสี่ยงเพื่อนำไปจัดการความเสี่ยงเหล่านี้ต่อไป
11. ประเมินความรุนแรงของความเสี่ยง (Assesses Severity of Risk) องค์กรควรประเมินความรุนแรงของความเสี่ยง
โดยประเมินว่าแต่ละปัจจัยเสี่ยงนั้นมีโอกาสที่จะเกิดมากน้อยเพียงใด
และหากเกิดขึ้นแล้วจะส่งผลกระทบต่อองค์กรรุนแรงเพียงใด
12. จัดลำดับความสำคัญของความเสี่ยง (Prioritizes Risks) องค์กรควรคำนวณระดับความเสี่ยง
(Risk Exposure) จัดลำดับความสำคัญของความเสี่ยง
เพื่อเป็นพื้นฐานในการพิจารณาคัดเลือกวิธีตอบสนองต่อความเสี่ยงต่างๆ
การคำนวณระดับความเสี่ยงเท่ากับผลคูณของคะแนนระหว่างโอกาสที่จะเกิดกับความเสียหายเพื่อจัดลำดับความสำคัญและใช้ในการตัดสินใจว่าความเสี่ยงใดควรเร่งจัดการก่อน
13. ดำเนินการตอบสนองต่อความเสี่ยง (Implements Risk Responses) องค์กรควรระบุและคัดเลือกวิธีการตอบสนองต่อความเสี่ยงต่างๆ
เช่น การยอบรับความเสี่ยงการลด การโอน หรือการหลีกเลี่ยง โดยศึกษาผลดีผลเสียความเป็นไปได้และค่าใช้จ่ายของแต่ละทางเลือก
14. พัฒนากรอบความเสี่ยงในภาพรวม (Develops Portfolio View) องค์กรควรพัฒนาและประเมินความเสี่ยงในภาพรวมของทั้งองค์กร
เครื่องมือที่นิยมใช้แสดงความเสี่ยงมีชื่อเรียกหลายชื่อ ได้แก่ Risk Map หรือ Risk Matrix
15. ประเมินการเปลี่ยนแปลงที่สำคัญ (Assesses Substantial Change) องค์กรควรระบุและประเมินการเปลี่ยนแปลงต่างๆ
ทั้งภายในกิจการและภายนอกกิจการที่อาจส่งผลกระทบต่อกลยุทธ์และวัตถุประสงค์ทางธุรกิจที่สำคัญ
เช่น ผู้บริหารระดับสูงลาออกจากตำแหน่ง การควบรวมกิจการ
การเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยีหรือกฎ ระเบียบ ข้อบังคับต่าง ๆ
16. ทบทวนความเสี่ยงและผลการดำเนินงาน (Reviews Risk and Performance) องค์กรควรทบทวนผลการดำเนินงานขององค์กร
รวมถึงพิจารณาทบทวนความเสี่ยงต่าง ๆ ที่เกี่ยวข้อง เช่น องค์กรมีผลการดำเนินงานตามเป้าหมายแล้วหรือไม่
องค์กรประเมินความเสี่ยงได้แม่นยำหรือไม่
องค์กรพิจารณาระดับความเสี่ยงได้เหมาะสมกับเป้าหมายหรือไม่
หรือมีความเสี่ยงอื่นใดที่กำลังเกิดขึ้นและอาจส่งผลกระทบต่อองค์กร
17. มุ่งมั่นปรับปรุงการบริหารความเสี่ยงองค์กร (Pursues Improvement in Enterprise Risk Management) องค์กรควรปรับปรุงการบริหารความเสี่ยงองค์กรอยู่สม่ำเสมอ
โดยเฉพาะช่วงเวลาการเปลี่ยนแปลงที่สำคัญ เช่น การปรับโครงสร้างองค์กร
หลังการประเมินผลการดำเนินงาน หรือการเปลี่ยนแปลงจากสภาพแวดล้อมภายนอกต่างๆ
ที่ส่งผลกระทบต่อระบบการบริหารความเสี่ยง
18. ยกระดับระบบสารสนเทศ (Leverages Information Systems) องค์กรควรจัดให้มีสารสนเทศอย่างเพียงพอ
เหมาะสมและทันต่อเวลา องค์กรอาจใช้กระบวนการวิเคราะห์กลุ่มข้อมูลขนาดใหญ่ (Big
Data Analytics) เพื่อค้นหารูปแบบความสัมพันธ์ของสิ่งเชื่อมโยงข้อมูลเข้าไว้ด้วยกันนำไปสู่การระบุและจัดการความเสี่ยงได้ดีขึ้น
19. สื่อสารข้อมูลความเสี่ยง (Communicates Risk Information) องค์กรควรสื่อสารข้อมูลการบริหารความเสี่ยงองค์กรผ่านช่องทางการติดต่อต่างๆ
ข้อมูลการสื่อสารทั้งระดับบนลงล่าง (Top-down Approach) และระดับล่างขึ้นบน
(Bottom-up Approach) การสื่อสารข้อมูลความเสี่ยงควรมีให้เพียงพอทั้งภายในและภายนอกองค์กร
20. รายงานผลความเสี่ยง
วัฒนธรรม และผลการดำเนินงาน (Reports on Risk,
Culture, and Performance) องค์กรควรรายงานความเสี่ยง
วัฒนธรรมองค์กร และผลการดำเนินงานในทุกระดับให้ครอบคลุมทั่วทั้งองค์กร
แม้จะมีการมอบหมายหน้าที่ด้านการรายงานผลให้หน่วยงานหรือบุคคลใดแล้วก็ตาม
ผู้บริหารก็ยังต้องมีหน้าที่กำกับดูแลด้วย
สำหรับกรอบการบริหารความเสี่ยงองค์กรตามกรอบของ
COSO ERM 2017 สามารถสรุปเป็นแนวทางดำเนินงานได้ดังตารางนี้
