มาตรฐานการปฏิบัติงาน (COSO-ERM)

 

          คณะฯได้ดำเนินการบริหารความเสี่ยง โดยยึดหลักการบริหารความเสี่ยงตามแนวทางของ The Committee of Sponsoring Organizations of the Treadway Commission - Enterprise risk management  ( COSO-ERM ) ซึ่งการบริหารความเสี่ยงตามแนว ทางนี้ประกอบด้วยองค์ประกอบ 8 ประการซึ่งสัมพันธ์กับการดำเนินการธุรกิจและกระบวนการบริหารงาน มีดังนี้
 
 
จากภาพลูกเต๋าข้างต้น สามารถอธิบายแต่ละหัวข้อได้ดังนี้
 
  • สภาพแวดล้อมภายในองค์กร (Internal Environment)
       เป็นพื้นฐานที่สำคัญสำหรับกรอบการบริหารความเสี่ยง สภาพแวดล้อมนี้มีอิทธิพลต่อการกำหนดกลยุทธ์และเป้าหมายขององค์กรการกำหนดกิจกรรม การบ่งชี้ประเมินและการจัดการความเสี่ยง สภาพแวดล้อมภายในองค์กรประกอบด้วยหลายปัจจัยเช่น จริยธรรมวิธีการทำงานของผู้บริหารและบุคลากร รวมถึงปรัชญาและวัฒนธรรมในการบริหารความเสี่ยง
     ความเสี่ยงที่ยอมรับได้ (Risk Appetite) เป็นส่วนที่สำคัญอย่างหนึ่งของสภาพแวดล้อมภายในองค์กร และมีผลต่อการกำหนดกลยุทธ์เพื่อนำไปดำเนินการให้องค์กรบรรลุเป้าหมายทั้งด้านผลตอบแทนและการเติบโต กลยุทธ์แต่ละแบบนั้นมีความเสี่ยงที่เกี่ยวข้องแตกต่างกัน  
 
           ดังนั้นการบริหารความเสี่ยงจึงช่วยผู้บริหารกำหนดกลยุทธ์ที่มีความเสี่ยงที่องค์กรยอมรับได้
 
 
กระบวนการบริหารความเสี่ยง (Risk Management Process) 
 
        องค์กรที่นำกรอบการบริหารความเสี่ยงไปปฏิบัติได้อย่างประสบผลสำเร็จมีขั้นตอนที่สำคัญของการบริหารความเสี่ยงดังนี้
 
1. การกำหนดวัตถุประสงค์ (Objective Setting) การกำหนดวัตถุประสงค์ที่ชัดเจนคือ ขั้นตอนแรกสำหรับกระบวนการบริหารความเสี่ยง องค์กรควรมั่นใจว่าวัตถุประสงค์ที่กำหนดขึ้นมีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้ โดยทั่วไปวัตถุประสงค์และกลยุทธ์ควรได้รับการบันทึกเป็นลายลักษณ์อักษรและสามารถพิจารณาได้ในด้านต่างๆดังนี้  
 
​ด้านกลยุทธ์ เกี่ยวข้องกับเป้าหมายและพันธกิในภาพรวมขององค์กร
 
ด้านปฏิบัติงาน เกี่ยวข้องกับประสิทธิภาพผลการปฏิบัติงานและความสามารถในการทำกำไร
 
ด้านการรายงาน เกี่ยวข้องกับการรายงานทั้งภายในและภายนอกองค์กร
 
ด้านการปฏิบัติตามกฏ ระเบียบ เกี่ยวข้องกับการปฏิบัติตามกฏหมายและกฏระเบียบต่างๆ
 
2. การบ่งชี้เหตุการณ์ (Event Identification) การทำธุรกิจมักมีความไม่แน่นอนเกิดขึ้นตามมา องค์กรไม่สามารถมั่นใจได้ว่าเหตุการณ์ใดเหตุการณ์หนึ่งจะเกิดขึ้นหรือไม่หรือผลลัพธ์ที่เกิดขึ้นจะเป็นอย่างไร ในกระบวนการบ่งชี้เหตุการณ์ผู้บริหารควรต้องพิจารณาสิ่งต่อไปนี้
       ปัจจัยความเสี่ยงทุกด้านที่อาจเกิดขึ้น เช่น ความเสี่ยงด้านกลยุทธ์ การเงิน บุคลากรทการปฏิบัติงาน กฏหมาย ภาษีอากร ระบบงานและสิ่งแวดล้อม แหล่งความเสี่ยงทั้งจากภายในและภายนอกองค์กร ความสัมพันธ์ระหว่างเหตุการณ์ทีเกิดขึ้น
 
     ในบางกรณีควรมีการจัดกลุ่มเหตุการณ์ที่อาจเกิดขึ้นโดยแบ่งตามประเภทของเหตุการณ์ และรวบรวมเหตุการณ์ทั้งหมดในองค์กรที่เกิดขึ้นระหว่างหน่วยงาน เพื่อช่วยให้ผู้บริหารสามารถเข้าใจความสัมพันธ์ระหว่างเหตุกาณ์และมีข้อมูลที่เพียงพอเพื่อเป็นพื้นฐานสำหรับการประเมินความเสี่ยง
 
3. การประเมินความเสี่ยง (Risk Assessment) ขั้นตอนนี้เน้นการประเมินโอกาสเกิดและผลกระทบของเหตุการณ์ที่อาจเกิดขึ้นต่อวัตถุประสงค์ขณะที่เกิดเหตุกรณ์ใดเหตุการณ์หนึ่งอาจส่งผลกระทบในระดับต่ำ เหตุการณ์ที่เกิดขึ้นอย่างต่อเนื่องอาจมีผลกระทบในระดับสูงต่อวัตถุประสงค์ โดยทั่วไปการประเมินความเสี่ยงประกอบด้วย 2 มิติ ดังนี้
 
      โอกาสที่อาจเกิดขึ้น (Likelihood) เหตุการณ์มีโอกาสเกิดขึ้นมาก น้อยเพียงใด
 
      ผลกระทบ (Impact) หากมีเหตุการณ์เกิดขึ้นองค์กรจะได้รับผละกระทบมากน้อยเพียงใด
 
​    การประเมินความเสี่ยงสามารถทำได้ท้ังการประเมินเชิงคุณภาพและเชิงปริมาณ โดยพิจารณาทั้งเหตุการณ์ที่เกิดขึ้นจากภายนอกและภายในองค์กร นอกจากนี้การประเมินความเสี่ยงควรดำเนินการทั้งก่อนการจัดการความเสี่ยง (Inherent Risk)และหลังจากที่มีการจัดการความเสี่ยงแล้ว เช่น การปฏิบัติงานของผู้บริหารและพนักงาน กระบวนการปฏิบัติงาน
กิจกรรมการควบคุมภายใน โครงสร้างและกระบวนการรายงาน การวัดผลการปฏิบัติงานและการติดตามผล วิธีการติดต่อสื่อสาร ทัศนคติและแนวทางของผู้บริหารเกี่ยวกับความเสี่ยง
พฤติกรรมขององค์กรที่คาดว่าจะมีและที่มีอยู่ในปัจจุบัน สัญญาและพันธมิตรในปัจจุบัน
 
4. การตอบสนองความเสี่ยง (Risk Response) หรือการจัดการความเสี่ยง เมื่อความเสี่ยงได้รับการบ่งชี้และประเมินความสำคัญแล้วผู้บริหารต้องประเมินวิธีการจัดการความเสี่ยงที่สามารถนำไปปฏิบัติได้และผลของการจัดการความเสี่ยงเหล่านั้น การพิจารณาทางเลือกในการดำเนินการจะต้องคำนึงถึงความเสี่ยงที่ยอมรับได้และต้นทุนที่เกิดขึ้นเปรียบเทียบกับผลประโยชน์ที่จะได้รับเพื่อให้การบริหารความเสี่ยงมีประสิทธิผล ผู้บริหารอาจต้องเลือกวิธีการจัดการความเสี่ยงอย่างใดอย่างหนึ่ง หรือหลายวิธีรวมกัน เพื่อลดระดับโอกาสที่อาจเกิดขึ้นและผลกระทบของเหตุการณ์ให้อยู่ในช่วงที่องค์กรสามารถยอมรับได้ 
 
หลักการตอบสนองความเสี่ยงมี 4 ประการคือ

1. ​การหลีกเลี่ยง (Avoid) การดำเนินการเพื่อหลีกเลี่ยงเหตุการณืที่ก่อให้เกิดความเสี่ยง

2. การร่วมจัดการ (Share) การร่วมหรือแบ่งความรับผิดชอบกับผู้อื่นในการจัดการความเสี่ยง

3. การลด (Reduce) การดำเนินการเพิ่มเติมเพื่อลดโอกาสที่อาจเกิดขึ้นหรือผลกระทบของความเสี่ยงให้อยู่ในระดับที่ ยอมรับได้

4. การยอมรับ (Accept) ความเสี่ยงที่เหลือในปัจจุบันอยู่ภายในระดับที่ต้องการและยอมรับได้แล้ว โดยไม่มีการดำเนิน การเพิ่มเติมเพื่อลดโอกาสหรือผลกระทบที่อาจเกิดขึ้นอีก

 
       ​ผู้บริหารควรพิจารณาจัดการความเสี่ยงตามประเภทของการตอบสนองข้างต้นและควรดำเนินการประเมินความเสี่ยงที่เหลืออยู่อีกครั้งหนึ่งหลังจากที่ได้มีการจัดการความเสี่ยงแล้วในช่วงเวลาที่เหมาะสม
 
5. กิจกรรมการควบคุม (Control Activities) กิจกรรมการควบคุมคือนโยบายและกระบวนการปฏิบัติงาน เพื่อให้มั่นใจว่าได้มีการจัดการความเสี่ยง  เนื่องจากแต่ละองค์กรมีการกำหนดวัตถุประสงค์และเทคนิคการนำไปปฏิบัติเป็นเฉพาะขององค์กร
 
      ดังนั้นกิจกรรมการควบคุมจึงมีความแตกต่างกัน  การควบคุมเป็นการสะท้อนถึงสภาพแวดล้อมภายในองค์กร  ลักษณะธุรกิจโครงสร้างและวัฒนธรรมขององค์กร     
 
    กิจกรรมการควบคุมสำหรับระบบเทคโนโลยีสารสนเทศสามารถจัดกลุ่มได้เป็น 2 ประเภท ได้แก่ การควบคุมทั่วไปและการควบคุมเฉพาะระบบงาน ซึ่งการควบคุมทั่วไปครอบคลุมถึงโครงสร้างพื้นฐานและการบริหารเทคโนโลยีสารสนเทศ การบริหารความปลอดภัย การจัดซื้อโปรแกรมสำเร็จรูป การพัฒนาโปรแกรม และการบำรุงรักษา ส่วนการควบคุมเฉพาะ
ระบบงานได้รับการออกแบบเพื่อให้มั่นใจได้ว่าข้อมูลที่ได้รับการบันทึกและประมวลผลมีความครบถ้วน ถูกต้อง มีอยู่จริง
 
     สิ่งที่สำคัญประการหนึ่งต่อกิจกรรมการควบคุมคือการกำหนดบุคลากรภายในองค์กรเพื่อรับผิดชอบการควบคุมนั้น บุคลากรแต่ละคนที่ได้รับมอบหมายกิจกรรมการควบคุมควรมีความรับผิดชอบดังนี้
 
     พิจารณาประสิทธิผลของการจัดการความเสี่ยงที่ได้ดำเนินการอยู่ในปัจจุบัน
 
     พิจารณาการปฏิบัติเพิ่มเติมที่จำเป็น เพื่อเพิ่มประสิทธิผลของการจัดการความเสี่ยง
 
     ​นอกจากนี้การปฏิบัติเพื่อลดความเสี่ยงขององค์กรควรจะต้องมีการกำหนดวันแล้วเสร็จให้ชัดเจน
 
6. การติดตามผล (Monitoring) ประเด็นที่สำคัญของการติดตามผลได้แก่ ​การติดตามผลเพื่อให้มั่นใจได้ว่าการจัดการความเสี่ยงมีคุณภาพและความเหมาะสมและการบริหารความเสี่ยงได้นำไปประยุกต์ใช้ในทุกระดับขององค์กร ความเสี่ยงทั้งหมดที่มีผลกระทบสำคัญต่อการบรรลุวัตถุประสงค์ขององค์กรได้รับการรายงานต่อผู้บริหารที่รับผิดชอบการติดตาม
 
      การบริหารความเสี่ยงสามารถติดตามได้ 2 ลักษณะคือ การติดตามอย่างต่อเนื่องหรือการติดตามเป็นรายครั้งการติดตามอย่างต่อเนื่องเป็นการดำเนินการอย่างสม่ำเสมอ เพื่อให้สามารถตอบสนองต่อการเปลี่ยนแปลงอย่างทันท่วงทีและถือเป็นส่วนหนึ่งของการปฏิบัติงาน ส่วนการติดตามรายครั้งเป็นการดำเนินงานภายหลังจากเกิดเหตุการณ์
 
     ดังนั้นปัญหาที่เกิดขึ้นจะได้รับการแก้ไขอย่างรวดเร็ว หากองค์กรมีการติดตามอย่างต่อเนื่อง นอกจากนี้องค์กรควรมีการจัดทำรายงานความเสี่ยงเพื่อให้การติดตามการบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล ซึ่งรายงานความเสี่ยงสามารถจัดทำได้หลายรูปแบบ ​สารสนเทศและการสื่อสาร (Information & Communication)สารสนเทศเป็นสิ่งจำเป็นสำหรับองค์กรในการบ่งชี้ ประเมิน และจัดการความเสี่ยง ข้อมูลสารสนเทศที่เกี่ยวข้องกับองค์กร ทั้งจากแหล่งภายนอกและภายในควรต้องได้รับการบันทึกและสื่อสารอย่างเหมาะสมทั้งในรูปแบบ และเวลาเพื่อช่วยให้บุคลากรที่เกี่ยวข้องสามารถตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ
 
     การบริหารความเสี่ยงที่มีประสิทธิผลควรใช้ข้อมูลทั้งในอดีตและปัจจุบัน ข้อมูลในอดีตเป็นการแสดงผลการปฏิบติงานที่เกิดขึ้นจริงเปรียบเทียบกับเป้าหมาย แสดงแนวโน้มของเหตุการณ์และช่วยคาดการณ์การปฏิบัติงานในอนาคต ข้อมูลในอดีตสามารถให้สัญญาณเตือนล่วหน้าเกี่ยวกับเหตุการณ์ความเสี่ยงที่อาจเกิดขึ้น ส่วนข้อมูลในปัจจุบันมีประโยชน์ต่อผู้บริหารในการพิจารณาความเสี่ยงที่เกิดขึ้นในกระบวนการสายงาน หรือหน่วยงานซึ่งช่วยให้องค์กรสามารถปรับเปลี่ยนกิจกรรมการควบคุมตามความจำเป็นเพื่อให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้
 
 
      การบริหารความเสี่ยงขององค์กรเป็นกระบวนการที่ต้องสอบทานตลอดเวลา เพื่อให้การนำไปปฏิบัติมรีประสิทธิผล องค์กรควรมีองค์ประกอบ  8 ประการและนำไปปฏิบัติ อย่างไรก็ตามข้อจำกัดของการบริหารความเสี่ยงคือการไม่สามารถรับประกันผลลัพธ์ที่จะเกิดขึ้นได้ หากแต่กรอบการบริหารความเสี่ยงที่มีประสิทธิผลจะช่วยเพิ่มความเชื่อมั่นให้กับคณะกรรมการและผู้บริหารต่อการบรรลุวัตถุประสงค์ขององค์กร