คณะฯได้ดำเนินการบริหารความเสี่ยง โดยยึดหลักการบริหารความเสี่ยงตามแนวทางของ The Committee of Sponsoring Organizations of the Treadway Commission - Enterprise risk management ( COSO-ERM ) ซึ่งการบริหารความเสี่ยงตามแนว ทางนี้ประกอบด้วยองค์ประกอบ 8 ประการซึ่งสัมพันธ์กับการดำเนินการธุรกิจและกระบวนการบริหารงาน มีดังนี้
จากภาพลูกเต๋าข้างต้น สามารถอธิบายแต่ละหัวข้อได้ดังนี้
- สภาพแวดล้อมภายในองค์กร (Internal Environment)
เป็นพื้นฐานที่สำคัญสำหรับกรอบการบริหารความเสี่ยง สภาพแวดล้อมนี้มีอิทธิพลต่อการกำหนดกลยุทธ์และเป้าหมายขององค์กรการกำหนดกิจกรรม การบ่งชี้ประเมินและการจัดการความเสี่ยง สภาพแวดล้อมภายในองค์กรประกอบด้วยหลายปัจจัยเช่น จริยธรรมวิธีการทำงานของผู้บริหารและบุคลากร รวมถึงปรัชญาและวัฒนธรรมในการบริหารความเสี่ยง
ความเสี่ยงที่ยอมรับได้ (Risk Appetite) เป็นส่วนที่สำคัญอย่างหนึ่งของสภาพแวดล้อมภายในองค์กร และมีผลต่อการกำหนดกลยุทธ์เพื่อนำไปดำเนินการให้องค์กรบรรลุเป้าหมายทั้งด้านผลตอบแทนและการเติบโต กลยุทธ์แต่ละแบบนั้นมีความเสี่ยงที่เกี่ยวข้องแตกต่างกัน
ดังนั้นการบริหารความเสี่ยงจึงช่วยผู้บริหารกำหนดกลยุทธ์ที่มีความเสี่ยงที่องค์กรยอมรับได้
กระบวนการบริหารความเสี่ยง (Risk Management Process)
องค์กรที่นำกรอบการบริหารความเสี่ยงไปปฏิบัติได้อย่างประสบผลสำเร็จมีขั้นตอนที่สำคัญของการบริหารความเสี่ยงดังนี้
1. การกำหนดวัตถุประสงค์ (Objective Setting) การกำหนดวัตถุประสงค์ที่ชัดเจนคือ ขั้นตอนแรกสำหรับกระบวนการบริหารความเสี่ยง องค์กรควรมั่นใจว่าวัตถุประสงค์ที่กำหนดขึ้นมีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้ โดยทั่วไปวัตถุประสงค์และกลยุทธ์ควรได้รับการบันทึกเป็นลายลักษณ์อักษรและสามารถพิจารณาได้ในด้านต่างๆดังนี้
ด้านกลยุทธ์ เกี่ยวข้องกับเป้าหมายและพันธกิในภาพรวมขององค์กร
ด้านปฏิบัติงาน เกี่ยวข้องกับประสิทธิภาพผลการปฏิบัติงานและความสามารถในการทำกำไร
ด้านการรายงาน เกี่ยวข้องกับการรายงานทั้งภายในและภายนอกองค์กร
ด้านการปฏิบัติตามกฏ ระเบียบ เกี่ยวข้องกับการปฏิบัติตามกฏหมายและกฏระเบียบต่างๆ
2. การบ่งชี้เหตุการณ์ (Event Identification) การทำธุรกิจมักมีความไม่แน่นอนเกิดขึ้นตามมา องค์กรไม่สามารถมั่นใจได้ว่าเหตุการณ์ใดเหตุการณ์หนึ่งจะเกิดขึ้นหรือไม่หรือผลลัพธ์ที่เกิดขึ้นจะเป็นอย่างไร ในกระบวนการบ่งชี้เหตุการณ์ผู้บริหารควรต้องพิจารณาสิ่งต่อไปนี้
ปัจจัยความเสี่ยงทุกด้านที่อาจเกิดขึ้น เช่น ความเสี่ยงด้านกลยุทธ์ การเงิน บุคลากรทการปฏิบัติงาน กฏหมาย ภาษีอากร ระบบงานและสิ่งแวดล้อม แหล่งความเสี่ยงทั้งจากภายในและภายนอกองค์กร ความสัมพันธ์ระหว่างเหตุการณ์ทีเกิดขึ้น
ในบางกรณีควรมีการจัดกลุ่มเหตุการณ์ที่อาจเกิดขึ้นโดยแบ่งตามประเภทของเหตุการณ์ และรวบรวมเหตุการณ์ทั้งหมดในองค์กรที่เกิดขึ้นระหว่างหน่วยงาน เพื่อช่วยให้ผู้บริหารสามารถเข้าใจความสัมพันธ์ระหว่างเหตุกาณ์และมีข้อมูลที่เพียงพอเพื่อเป็นพื้นฐานสำหรับการประเมินความเสี่ยง
3. การประเมินความเสี่ยง (Risk Assessment) ขั้นตอนนี้เน้นการประเมินโอกาสเกิดและผลกระทบของเหตุการณ์ที่อาจเกิดขึ้นต่อวัตถุประสงค์ขณะที่เกิดเหตุกรณ์ใดเหตุการณ์หนึ่งอาจส่งผลกระทบในระดับต่ำ เหตุการณ์ที่เกิดขึ้นอย่างต่อเนื่องอาจมีผลกระทบในระดับสูงต่อวัตถุประสงค์ โดยทั่วไปการประเมินความเสี่ยงประกอบด้วย 2 มิติ ดังนี้
โอกาสที่อาจเกิดขึ้น (Likelihood) เหตุการณ์มีโอกาสเกิดขึ้นมาก น้อยเพียงใด
ผลกระทบ (Impact) หากมีเหตุการณ์เกิดขึ้นองค์กรจะได้รับผละกระทบมากน้อยเพียงใด
การประเมินความเสี่ยงสามารถทำได้ท้ังการประเมินเชิงคุณภาพและเชิงปริมาณ โดยพิจารณาทั้งเหตุการณ์ที่เกิดขึ้นจากภายนอกและภายในองค์กร นอกจากนี้การประเมินความเสี่ยงควรดำเนินการทั้งก่อนการจัดการความเสี่ยง (Inherent Risk)และหลังจากที่มีการจัดการความเสี่ยงแล้ว เช่น การปฏิบัติงานของผู้บริหารและพนักงาน กระบวนการปฏิบัติงาน
กิจกรรมการควบคุมภายใน โครงสร้างและกระบวนการรายงาน การวัดผลการปฏิบัติงานและการติดตามผล วิธีการติดต่อสื่อสาร ทัศนคติและแนวทางของผู้บริหารเกี่ยวกับความเสี่ยง
พฤติกรรมขององค์กรที่คาดว่าจะมีและที่มีอยู่ในปัจจุบัน สัญญาและพันธมิตรในปัจจุบัน
4. การตอบสนองความเสี่ยง (Risk Response) หรือการจัดการความเสี่ยง เมื่อความเสี่ยงได้รับการบ่งชี้และประเมินความสำคัญแล้วผู้บริหารต้องประเมินวิธีการจัดการความเสี่ยงที่สามารถนำไปปฏิบัติได้และผลของการจัดการความเสี่ยงเหล่านั้น การพิจารณาทางเลือกในการดำเนินการจะต้องคำนึงถึงความเสี่ยงที่ยอมรับได้และต้นทุนที่เกิดขึ้นเปรียบเทียบกับผลประโยชน์ที่จะได้รับเพื่อให้การบริหารความเสี่ยงมีประสิทธิผล ผู้บริหารอาจต้องเลือกวิธีการจัดการความเสี่ยงอย่างใดอย่างหนึ่ง หรือหลายวิธีรวมกัน เพื่อลดระดับโอกาสที่อาจเกิดขึ้นและผลกระทบของเหตุการณ์ให้อยู่ในช่วงที่องค์กรสามารถยอมรับได้
หลักการตอบสนองความเสี่ยงมี 4 ประการคือ
1. การหลีกเลี่ยง (Avoid) การดำเนินการเพื่อหลีกเลี่ยงเหตุการณืที่ก่อให้เกิดความเสี่ยง
2. การร่วมจัดการ (Share) การร่วมหรือแบ่งความรับผิดชอบกับผู้อื่นในการจัดการความเสี่ยง
3. การลด (Reduce) การดำเนินการเพิ่มเติมเพื่อลดโอกาสที่อาจเกิดขึ้นหรือผลกระทบของความเสี่ยงให้อยู่ในระดับที่ ยอมรับได้
4. การยอมรับ (Accept) ความเสี่ยงที่เหลือในปัจจุบันอยู่ภายในระดับที่ต้องการและยอมรับได้แล้ว โดยไม่มีการดำเนิน การเพิ่มเติมเพื่อลดโอกาสหรือผลกระทบที่อาจเกิดขึ้นอีก
ผู้บริหารควรพิจารณาจัดการความเสี่ยงตามประเภทของการตอบสนองข้างต้นและควรดำเนินการประเมินความเสี่ยงที่เหลืออยู่อีกครั้งหนึ่งหลังจากที่ได้มีการจัดการความเสี่ยงแล้วในช่วงเวลาที่เหมาะสม
5. กิจกรรมการควบคุม (Control Activities) กิจกรรมการควบคุมคือนโยบายและกระบวนการปฏิบัติงาน เพื่อให้มั่นใจว่าได้มีการจัดการความเสี่ยง เนื่องจากแต่ละองค์กรมีการกำหนดวัตถุประสงค์และเทคนิคการนำไปปฏิบัติเป็นเฉพาะขององค์กร
ดังนั้นกิจกรรมการควบคุมจึงมีความแตกต่างกัน การควบคุมเป็นการสะท้อนถึงสภาพแวดล้อมภายในองค์กร ลักษณะธุรกิจโครงสร้างและวัฒนธรรมขององค์กร
กิจกรรมการควบคุมสำหรับระบบเทคโนโลยีสารสนเทศสามารถจัดกลุ่มได้เป็น 2 ประเภท ได้แก่ การควบคุมทั่วไปและการควบคุมเฉพาะระบบงาน ซึ่งการควบคุมทั่วไปครอบคลุมถึงโครงสร้างพื้นฐานและการบริหารเทคโนโลยีสารสนเทศ การบริหารความปลอดภัย การจัดซื้อโปรแกรมสำเร็จรูป การพัฒนาโปรแกรม และการบำรุงรักษา ส่วนการควบคุมเฉพาะ
ระบบงานได้รับการออกแบบเพื่อให้มั่นใจได้ว่าข้อมูลที่ได้รับการบันทึกและประมวลผลมีความครบถ้วน ถูกต้อง มีอยู่จริง
สิ่งที่สำคัญประการหนึ่งต่อกิจกรรมการควบคุมคือการกำหนดบุคลากรภายในองค์กรเพื่อรับผิดชอบการควบคุมนั้น บุคลากรแต่ละคนที่ได้รับมอบหมายกิจกรรมการควบคุมควรมีความรับผิดชอบดังนี้
พิจารณาประสิทธิผลของการจัดการความเสี่ยงที่ได้ดำเนินการอยู่ในปัจจุบัน
พิจารณาการปฏิบัติเพิ่มเติมที่จำเป็น เพื่อเพิ่มประสิทธิผลของการจัดการความเสี่ยง
นอกจากนี้การปฏิบัติเพื่อลดความเสี่ยงขององค์กรควรจะต้องมีการกำหนดวันแล้วเสร็จให้ชัดเจน
6. การติดตามผล (Monitoring) ประเด็นที่สำคัญของการติดตามผลได้แก่ การติดตามผลเพื่อให้มั่นใจได้ว่าการจัดการความเสี่ยงมีคุณภาพและความเหมาะสมและการบริหารความเสี่ยงได้นำไปประยุกต์ใช้ในทุกระดับขององค์กร ความเสี่ยงทั้งหมดที่มีผลกระทบสำคัญต่อการบรรลุวัตถุประสงค์ขององค์กรได้รับการรายงานต่อผู้บริหารที่รับผิดชอบการติดตาม
การบริหารความเสี่ยงสามารถติดตามได้ 2 ลักษณะคือ การติดตามอย่างต่อเนื่องหรือการติดตามเป็นรายครั้งการติดตามอย่างต่อเนื่องเป็นการดำเนินการอย่างสม่ำเสมอ เพื่อให้สามารถตอบสนองต่อการเปลี่ยนแปลงอย่างทันท่วงทีและถือเป็นส่วนหนึ่งของการปฏิบัติงาน ส่วนการติดตามรายครั้งเป็นการดำเนินงานภายหลังจากเกิดเหตุการณ์
ดังนั้นปัญหาที่เกิดขึ้นจะได้รับการแก้ไขอย่างรวดเร็ว หากองค์กรมีการติดตามอย่างต่อเนื่อง นอกจากนี้องค์กรควรมีการจัดทำรายงานความเสี่ยงเพื่อให้การติดตามการบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล ซึ่งรายงานความเสี่ยงสามารถจัดทำได้หลายรูปแบบ สารสนเทศและการสื่อสาร (Information & Communication)สารสนเทศเป็นสิ่งจำเป็นสำหรับองค์กรในการบ่งชี้ ประเมิน และจัดการความเสี่ยง ข้อมูลสารสนเทศที่เกี่ยวข้องกับองค์กร ทั้งจากแหล่งภายนอกและภายในควรต้องได้รับการบันทึกและสื่อสารอย่างเหมาะสมทั้งในรูปแบบ และเวลาเพื่อช่วยให้บุคลากรที่เกี่ยวข้องสามารถตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ
การบริหารความเสี่ยงที่มีประสิทธิผลควรใช้ข้อมูลทั้งในอดีตและปัจจุบัน ข้อมูลในอดีตเป็นการแสดงผลการปฏิบติงานที่เกิดขึ้นจริงเปรียบเทียบกับเป้าหมาย แสดงแนวโน้มของเหตุการณ์และช่วยคาดการณ์การปฏิบัติงานในอนาคต ข้อมูลในอดีตสามารถให้สัญญาณเตือนล่วหน้าเกี่ยวกับเหตุการณ์ความเสี่ยงที่อาจเกิดขึ้น ส่วนข้อมูลในปัจจุบันมีประโยชน์ต่อผู้บริหารในการพิจารณาความเสี่ยงที่เกิดขึ้นในกระบวนการสายงาน หรือหน่วยงานซึ่งช่วยให้องค์กรสามารถปรับเปลี่ยนกิจกรรมการควบคุมตามความจำเป็นเพื่อให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้
การบริหารความเสี่ยงขององค์กรเป็นกระบวนการที่ต้องสอบทานตลอดเวลา เพื่อให้การนำไปปฏิบัติมรีประสิทธิผล องค์กรควรมีองค์ประกอบ 8 ประการและนำไปปฏิบัติ อย่างไรก็ตามข้อจำกัดของการบริหารความเสี่ยงคือการไม่สามารถรับประกันผลลัพธ์ที่จะเกิดขึ้นได้ หากแต่กรอบการบริหารความเสี่ยงที่มีประสิทธิผลจะช่วยเพิ่มความเชื่อมั่นให้กับคณะกรรมการและผู้บริหารต่อการบรรลุวัตถุประสงค์ขององค์กร