กลุ่มงานบริหารความเสี่ยง สำนักงานตรวจสอบภายใน

การบริหารความเสี่ยง

การบริหารความเสี่ยง (Risk Management) เป็นหนึ่งในเทคนิคและวิธีการการบริหารองค์กรสมัยใหม่ที่สำนักงานคณะกรรมการพัฒนาระบบราชการ (ก.พ.ร.) และทุกส่วนงานให้ความสำคัญ เป็นเครื่องมือช่วยเพิ่มประสิทธิภาพในการตัดสินใจ วางแผนและพิจารณาหาแนวทางในการป้องกันหรือจัดการกับความเสี่ยงของผู้บริหารที่มีความสำคัญต่อการบริหารเชิงกลยุทธ์ สร้างภูมิคุ้มกันและความมั่นคงให้กับมหาวิทยาลัย เป็นการบริหารจัดการภาครัฐแนวใหม่ตามแนวทางของพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. ๒๕๔๖ ที่มุ่งเน้นให้พัฒนาระบบราชการไทยให้มีประสิทธิภาพเทียบเท่ามาตรฐานสากล

แนวคิดในการบริหารความเสี่ยง

             COSO (Committee of Sponsoring Organization of the Tread way Commission) ให้นิยาม ความเสี่ยง ว่า “Risk is the possibility that an even will occur and adversely affect the achievement of an objective”

            ความเสี่ยง  หมายถึง  โอกาสที่จะเกิดความผิดพลาด  ความเสียหาย  การรั่วไหล       ความสูญเปล่า  หรือเหตุการณ์ซึ่งไม่พึงประสงค์ ที่ทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนด (ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการกำหนดมาตรฐาน      การควบคุมภายใน พ.ศ. ๒๕๕๔)

กรอบงานการบริหารความเสี่ยง

[1] COSO ได้ประกาศใช้กรอบงานการบริหารความเสี่ยงระดับองค์กร (Enterprise Risk Management-Integrated Framework: COSO-ERM) โดยกำหนดองค์ประกอบ ๘ ด้าน

๑) สภาพแวดล้อมภายใน (Internal Environment) เป็นแนวคิด นโยบายและบรรยากาศในการบริหารระดับสูง ซึ่งมีอิทธิพลต่อสภาพแวดล้อมภายในองค์การ ประกอบด้วย ความซื่อสัตย์และจริยธรรม  การพัฒนาความรู้ ความสามารถของบุคลากร คณะกรรมการบริหารและคณะกรรมการตรวจสอบ ปรัชญาและรูปแบบการบริหารของผู้บริหาร โครงสร้างองค์กร การมอบอำนาจและหน้าที่ความรับผิดชอบ นโยบายและวิธีบริหารงานบุคคล เป็นต้น

๒) การกำหนดวัตถุประสงค์ (Objective Setting) เป็นสิ่งที่ต้องการทำให้สำเร็จหรือผลลัพธ์ของการดำเนินการ โดยแสดงความเชื่อมโยงของวัตถุประสงค์ กลยุทธ์และแผนงานที่เกี่ยวข้อง มีการกำหนดความสำเร็จของวัตถุประสงค์ด้วยตัวชี้วัดและค่าเป้าหมายที่ชัดเจน มองเห็นได้ทั้งในเชิงปริมาณ/เชิงคุณภาพ ท้าทายความสามารถ เชื่อถือได้และกำหนดระยะเวลาที่ต้องการ รวมทั้งกำหนดระดับความเสี่ยงและความคลาดเคลื่อนที่ยอมรับได้

๓) การระบุเหตุการณ์ (Event Identification) เป็นการระบุเหตุการณ์จากปัจจัยทั้งภายในและภายนอกองค์กร ที่หากเกิดขึ้นจะมีผลกระทบต่อความสำเร็จของกลยุทธ์และวัตถุประสงค์      โดยแยกเหตุการณ์ที่เป็นโอกาสออกจากความเสี่ยง เพื่อนำไปกำหนดเป็นกลยุทธ์ขององค์กร โดยเลือกเหตุการณ์ที่สังเกตเห็นได้และเกี่ยวข้องกับวัตถุประสงค์ จากแหล่งข้อมูลที่เชื่อถือได้ โดยที่ปัจจัยภายนอก ได้แก่                ภัยธรรมชาติและสิ่งแวดล้อม ภาวะเศรษฐกิจ ภาวะการเมือง สังคม เทคโนโลยีสารสนเทศ เป็นต้น ส่วนปัจจัยภายใน ได้แก่ โครงสร้างพื้นฐาน พนักงาน กระบวนการ และเทคโนโลยี เป็นต้น เทคนิคในการระบุเหตุการณ์ อาจใช้วิธีการประชุม สัมภาษณ์ แบบสอบถาม การวิเคราะห์ SWOT Analysis การวิเคราะห์ Flowchart Analysis หรือ การวิเคราะห์ Fishbone Analysis    เป็นต้น จากนั้นนำเหตุการณ์มาจัดประเภท อาจจัดตามวัตถุประสงค์ ๔ ด้านของ COSO ก็ได้ (strategic, operations, reporting and compliance) และดำเนินการแยกโอกาสออกจากความเสี่ยง เพื่อนำไปกำหนดเป็นกลยุทธ์ใหม่ขององค์กร

๔) การประเมินความเสี่ยง (Risk Assessment)  เป็นการวิเคราะห์และจัดระดับความเสี่ยงที่มีผลกระทบต่อกิจการ โดยประเมินจากสองมิติ คือ (๑) ระดับความน่าจะเกิดเหตุการณ์/โอกาสในการเกิดเหตุการณ์ (Likelihood or Probability) และ (๒) ระดับผลกระทบ (Impact or Consequence or Exposure) เพื่อช่วยให้องค์กรทราบระดับความเสี่ยงก่อนการจัดการซึ่งเป็นความเสี่ยงสืบเนื่อง (Inherent Risk) และหาวิธีตอบสนองความเสี่ยงเพื่อให้ระดับความเสี่ยงหลังการจัดการ (Residual Risk) อยู่ในระดับที่ยอมรับได้

๕) การจัดการตอบสนองความเสี่ยง (Risk Responses)  เป็นวิธีการที่ฝ่ายบริหารเลือกใช้ในการจัดการกับความเสี่ยงโดยพิจารณาจากระดับความน่าจะเกิดและระดับผลกระทบ ความคุ้มค่าและระดับความเสี่ยงที่ยอมรับได้ขององค์กร วิธีการจัดการตอบสนองความเสี่ยง มี ๔ ประเภทหลัก คือ (๑) การยอมรับความเสี่ยง (Take or Acceptance) (๒) การเลิกการหลีกเลี่ยง (Terminate or Avoidance) (๓) การโอนหรือกระจายความเสี่ยง (Transfer or Sharing or Diversify) และ (๔)  การแก้ไข (Treat or control or Mitigate)

๖) กิจกรรมควบคุม (Control Activities) เป็นนโยบาย วิธีการ และการกระทำที่     กำหนดขึ้น เพื่อสร้างความมั่นใจว่ามีการปฏิบัติตามวิธีจัดการตอบสนองความเสี่ยงที่กำหนดขึ้น       ทำให้ความเสี่ยงอยู่ในระดับยอมรับได้อย่างมีประสิทธิภาพในระยะเวลาที่กำหนด โดยการควบคุมอาจแบ่งออกเป็น ๔ ประเภทตามหน้าที่และวัตถุประสงค์ของการควบคุม คือ (๑) การควบคุมแบบป้องกัน (Preventive Control) (๒) การควบคุมแบบค้นพบ (Detective Control) (๓) การควบคุมแบบส่งเสริม (Directive Control) และ (๔) การควบคุมแบบใหม่เพื่อแก้ไขและชดเชย (Corrective or Automated or Mitigating Control) โดยที่การควบคุมไม่ควรเป็นกิจกรรมที่สร้างพิเศษ แต่ควรเป็นกิจกรรมปกติที่แทรกหรือบูรณาการอยู่ในกระบวนการปฏิบัติงาน เช่น การสอบทานโดยผู้บริหารทุกระดับ การควบคุมความปลอดภัยทางกายภาพของทรัพย์สิน การแบ่งแยกหน้าที่ การใช้ตัววัดผลการดำเนินงาน การควบคุมการประมวลผลสารสนเทศทั้งการควบคุมทั่วไปและควบคุมระบบงาน  เป็นต้น

๗) สารสนเทศและการสื่อสาร (Information and Communication) เป็นการกำหนดให้ระบบสารสนเทศเกี่ยวกับความเสี่ยง ควรได้รับการระบุ บันทึก มีการเผยแพร่ในรูปแบบและภายในเวลาที่เหมาะสม โดยมุ่งที่ความทันเวลา และความสะดวกในการเข้าถึงและมีการสื่อสารโดยใช้แหล่งข้อมูลทั้งภายในและภายนอกองค์กร และควรแทรกอยู่ในระบบสารสนเทศและการสื่อสารในการบริหารการปฏิบัติงาน

๘) การติดตามผล (Monitoring) เป็นการติดตามผลเพื่อปรับปรุงแก้ไขการบริหาร ความเสี่ยงตามความจำเป็น ด้วยการติดตามผลของผู้บริหาร การประเมินผลอิสระ และการประเมินตนเอง โดยการติดตามผล มีการดำเนินได้ ๓ รูปแบบ คือ (๑) การติดตามผลระหว่างการปฏิบัติงาน (๒) การประเมินผลเป็นรายครั้ง และ (๓) การรายงานข้อบกพร่องและการสั่งการแก้ไข

[1] COSO. Enterprise Risk Management-Integrated Framework: Executive Summary. September 2004. หน้า 5. สืบค้นออนไลน์ เมื่อ 22 มีนาคม 2558   http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf

มหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย