ขั้นตอนในการบริหารจัดการกับความเสี่ยง ซึ่งไม่ว่าจะเป็นแนวทางในการบริหารความเสี่ยงตามหลักการของ COSO: The Committee of Sponsoring Organizations of the Treadway Commission หรือการบริหารจัดการความเสี่ยงตามวิธีการอื่น ๆ ก็จะมีแนววิธีการคล้าย ๆ กัน แต่จำนวนของขั้นตอนในการบริหารความเสี่ยงนั้นจะแตกต่างกันออกไป ซึ่งสามารถสรุปถึงขั้นตอนในการบริหารจัดการความเสี่ยงได้ 4 ขั้นตอน ดังนี้

1. การระบุถึงความเสี่ยงที่อาจจะเกิดขึ้น (Risk Identification)

2. การประเมินถึงความเสี่ยง ทั้งเชิงคุณภาพและเชิงปริมาณ (Quantitative and Qualitative Assessment of the Risks)

3. การจัดระดับความสำคัญของความเสี่ยง และวางแผนแก้ไขและป้องกันความเสี่ยง (Risk Prioritization and Response Planning)

4. การติดตามผลการป้องกันความเสี่ยง (Risk Monitoring)

                ในขั้นตอนแรก การระบุถึงความเสี่ยงที่อาจจะเกิดขึ้น (Risk Identification) เป็นการที่ผู้บริหารบริษัทจะต้องทำการระบุถึงความเสี่ยงต่าง ๆ ที่อาจจะเกิดขึ้นกับบริษัท และเกิดผลกระทบต่อวัตถุประสงค์หรือความสำเร็จขององค์กร ซึ่งความเสี่ยงที่อาจจะเกิดขึ้นนั้นอาจมีความรุนแรงได้ตั้งแต่ขนาดเล็ก ๆ สำหรับหน่วยงานของธุรกิจ ในหน่วยต่าง ๆ ไปจนถึงความเสี่ยงที่มีขนาดใหญ่ ซึ่งจะส่งผลกระทบต่อองค์กรโดยรวม

                กิจกรรมการระบุถึงความเสี่ยงที่อาจจะเกิดขึ้นนี้ ควรกระทำในทุก ๆ ระดับขององค์กร วิธีการที่ดีที่สุดในการระบุถึงความเสี่ยงนั้นควรเริ่มจาก หน่วยงานที่อยู่สูงสุดในผังขององค์กร หรือฝ่ายบริหาร และกระทำไปจนถึงในระดับการปฏิบัติงาน เพราะในบางครั้งความเสี่ยงอย่างเดียวกันอาจเกิดผลกระทบตั้งแต่ฝ่ายบริหารลงมาถึงฝ่ายปฏิบัติการ เช่น ความเสี่ยงที่บริษัทต้องรับผิดชอบต่อสินค้าและบริการที่ได้จำหน่ายออกไป (Liability Risk) นั้นอาจจะเกิดได้ตั้งแต่ฝ่ายบริหาร คือ ฝ่ายบริหารต้องเผชิญกับความเสียหายถ้าหากลูกค้าเกิดการฟ้องร้องดำเนินคดีกับบริษัท และในฝ่ายปฏิบัติการก็ต้องพึงระวังไม่ให้การผลิตสินค้าเกิดการชำรุดก่อนส่งออกไปจำหน่าย เป็นต้น

                กรอบความเสี่ยงของธุรกิจ (Business Risk Model Framework) นั้นจะช่วยให้หน่วยงานทุกระดับภายในบริษัทสามารถระบุถึงความเสี่ยงได้ง่ายขึ้น โดยความเสี่ยงที่อาจจะเกิดขึ้นกับบริษัทนั้นอาจแบ่งได้เป็น 4 ประเภท คือ

1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)

2. ความเสี่ยงด้านปฏิบัติการ (Operational Risk)

3. ความเสี่ยงด้านการเงิน (Financial Risk)

4. ความเสี่ยงด้านสารสนเทศ (Information Risk)

                ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เป็นความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงานและการนำไปปฏิบัติไม่เหมาะสม หรือไม่สอดคล้องกับปัจจัยต่าง ๆ ซึ่งสามารถแบ่งออกได้เป็น 2 ประเภท คือ ความเสี่ยงจากปัจจัยภายนอก (External Factor Risks) และความเสี่ยงจากปัจจัยภายใน (Internal Factor Risks)

                ความเสี่ยงจากปัจจัยภายนอก เป็นความเสี่ยงที่เกิดขึ้นกับธุรกิจจากปัจจัยภายนอก ธุรกิจไม่สามารถควบคุมได้ เช่น ความเสี่ยงอันเนื่องมาจากอุตสาหกรรม (Industry Risk) ความเสี่ยงทางเศรษฐกิจ (Economy Risk) ความเสี่ยงจากคู่แข่งขัน (Competitor Risk) ความเสี่ยงจากการเปลี่ยนแปลงกฎหมาย ระเบียบ ข้อบังคับต่าง ๆ (Legal and Regulatory Change Risk) และ ความเสี่ยงจากความต้องการของลูกค้าเปลี่ยนแปลง (Customer Needs and Wants Risk)

                ความเสี่ยงจากปัจจัยภายใน เป็นความเสี่ยงที่เกิดขึ้นจากภายในธุรกิจเอง เช่น  ความเสี่ยงเกี่ยวกับชื่อเสียงของบริษัท (Reputation Risk) ความเสี่ยงจากการดำเนินกลยุทธ์ผิดพลาด (Strategy Risk) ความเสี่ยงจากการช่วยเหลือของบริษัทแม่ (Parent Company Support Risk) และความเสี่ยงจากการป้องกันสิทธิบัตร และลิขสิทธิ์ (Patent Trademark Protection Risk)

ความเสี่ยงด้านปฏิบัติการ (Operational Risk) เป็นความเสี่ยงที่ทุกธุรกิจจะต้องเผชิญอย่างหลีกเลี่ยงไม่ได้ เพราะเป็นความเสี่ยงที่เกิดขึ้นในการดำเนินงานของธุรกิจตามปกติ แต่ธุรกิจจะต้องหาวิธีการในการจัดการป้องกันไม่ให้ความเสี่ยงเหล่านี้เกิดขึ้น ถ้าหากธุรกิจปล่อยให้มีความเสี่ยงในด้านปฏิบัติการเกิดขึ้นมาก ผลการดำเนินงานของธุรกิจอาจไม่เป็นไปตามที่คาดการณ์ไว้ ซึ่งจะส่งผลให้ผลตอบแทนของผู้ถือหุ้นของบริษัทลดลงด้วย

ความเสี่ยงด้านการปฏิบัติการนี้ ประกอบด้วยความเสี่ยง 3 ประเภท คือ ความเสี่ยงในกระบวนการปฏิบัติงาน (Process Risk) ความเสี่ยงในการถูกดำเนินคดีตามกฎหมาย (Legal & Compliance Risk) และความเสี่ยงจากบุคลากร (People Risk)

ความเสี่ยงในกระบวนการปฏิบัติงานนั้น อาจเกิดขึ้นในหลายสาเหตุอันสืบเนื่องมาจากกระบวนการปฏิบัติงานในด้านต่าง ๆ ของบริษัทไม่เป็นไปตามที่ได้วางแผนไว้ เช่น บริษัทใช้เวลาในการผลิตสินค้ามากเกินความจำเป็น หรือใช้วัตถุดิบในการผลิตสินค้ามากจนเกินไป การให้บริการแก่ลูกค้าไม่ได้รับความพึงพอใจมากเท่าที่ควร เป็นต้น ตัวอย่างของความเสี่ยงในกระบวนการปฏิบัติงานมีดังนี้ ความเสี่ยงของโซ่อุปทาน (Supply Chain Risk) ความเสี่ยงจากความไม่พึงพอใจของลูกค้า (Customer Satisfaction Risk) ความเสี่ยงในการใช้เวลาในการผลิตสินค้า (Cycle-Time Risk) และความเสี่ยงในการปฏิบัติให้เสร็จสิ้นตามกระบวนการ (Process Execution Risk)

ความเสี่ยงในการถูกดำเนินคดีตามกฎหมาย เป็นความเสี่ยงที่บริษัทอาจถูกฟ้องร้องดำเนินคดี ด้วยอาจจะมาจากสาเหตุในการไม่รับผิดชอบต่อสภาพแวดล้อมและสังคม หรืออาจทำให้ลูกค้าหรือผู้บริโภคเกิดความเสียหาย เป็นต้น ความเสี่ยงในการถูกดำเนินคดีตามกฎหมาย นั้นมีตัวอย่างดังนี้ ความเสี่ยงจากการทำลายสภาพแวดล้อม (Environmental Risk) ความเสี่ยงจากการปฏิบัติไม่ถูกต้องตามกฎเกณฑ์ ระเบียบ และข้อบังคับ (Regulation Risk) ความเสี่ยงจากการดำเนินการตามนโยบาย (Policy and Procedure Risk) และความเสี่ยงจากการถูกฟ้องร้องดำเนินคดี (Litigation Risk)

ความเสี่ยงจากบุคลากร เป็นอีกความเสี่ยงหนึ่งที่มีความสำคัญไม่น้อยไปกว่าความเสี่ยงอื่น ๆ เพราะบุคลากรเป็นผู้ที่ปฏิบัติงานอยู่ในองค์กร ความเสี่ยงในด้านนี้อาจเกิดจากปัญหาของการเปลี่ยนแปลงบุคลากรบ่อยครั้ง ความไม่เข้าใจในกระบวนการปฏิบัติงานขององค์กร ตัวอย่างเช่น ความเสี่ยงจากการบริหารทรัพยากรมนุษย์ (Human Resources Risk) ความเสี่ยงจากการสมัครเข้าและลาออกของพนักงาน (Employee Turnover Risk) ความเสี่ยงจากการให้ผลตอบแทนต่อพนักงาน (Performance Incentive Risk) และความเสี่ยงในการฝึกอบรมพนักงาน (Training Risk)

ความเสี่ยงด้านการเงิน (Financial Risk) เป็นอีกประเภทของความเสี่ยงที่มีความสำคัญต่อบริษัทและองค์กรทั่วไป ความเสี่ยงด้านการเงินนี้ประกอบด้วยความเสี่ยงในการบริหารเงิน (Treasury Risks) ความเสี่ยงด้านเครดิต (Credit Risks) และ ความเสี่ยงในการซื้อขายตราสารการเงิน (Trading Risks)

ควาเสี่ยงในการบริหารเงิน (Treasury Risks) เป็นความเสี่ยงของฝ่ายบริหารเงินของบริษัทที่จะต้องเผชิญกับปัญหาต่าง ๆ ที่จะเกิดขึ้น ไม่ว่าจะเป็นความเสี่ยงจากการปรับตัวของอัตราดอกเบี้ย (Interest Rate Risk) ที่อาจมีการปรับตัวเพิ่มขึ้นของอัตราดอกเบี้ย หรือลดลงของอัตราดอกเบี้ย ซึ่งจะส่งกระทบกับทั้งบริษัทที่มีการกู้ยืมเงินในระยะสั้นและระยะยาวแตกต่างกันไป ความเสี่ยงจากการเปลี่ยนแปลงของอัตราแลกเปลี่ยน (Foreign Exchange Risk) เมื่ออัตราแลกเปลี่ยนเกิดการเปลี่ยนแปลง ว่าจะเป็นในด้านการแข็งค่าของค่าเงินสกุลในประเทศ หรือการอ่อนค่าลงของเงินสกุลในประเทศ ก็จะมีผลกระทบโดยตรงกับผู้นำเข้าสินค้าจากต่างประเทศ และผู้ส่งออกสินค้าไปยังต่างประเทศ รวมไปถึงความเสี่ยงในด้านการจัดหาเงินทุน (Capital Availability Risk) เป็นความเสี่ยงที่จะเกิดขึ้นในการบริหารจัดการเงินทุนของบริษัท เมื่อบริษัทต้องการที่จะลงทุนในโครงการใดโครงการหนึ่ง บริษัทจะสามารถจัดหาเงินมาลงทุนได้ตามที่ต้องการหรือไม่

ความเสี่ยงด้านเครดิต (Credit Risks) เป็นความเสี่ยงที่เกิดขึ้นจากการทำธุรกรรมต่าง ๆ ของบริษัท และส่งผลกระทบต่อการบริหารจัดการระบบสินเชื่อทางการค้าของบริษัท เช่น ความเสี่ยงในความสามารถในการชำระเงิน (Capacity Risk) เป็นความเสี่ยงที่จะเกิดขึ้นกับบริษัท เมื่อลูกค้า หรือลูกหนี้ไม่สามารถจ่ายชำระหนี้ได้ตามกำหนด ความเสี่ยงด้านหลักประกัน (Collateral Risk) เป็นความเสี่ยงในการรียกหลักประกันจากลูกหนี้ แต่เมื่อเกิดการผิดนัดชำระ หลักประกันนั้นอาจไม่มีมูลค่าตามที่ได้ประเมินไว้ตั้งแต่แรก ความเสี่ยงในการเน้นกิจกรรมใดกิจกรรมหนึ่งเป็นพิเศษ (Concentration Risk) เป็นความเสี่ยงที่เกิดขึ้นสำหรับการปล่อยกู้หรือให้สินเชื่อทางการค้าแก่ลูกค้ารายใดรายหนึ่งจำนวนมากเป็นพิเศษ เมื่อลูกค้าไม่สามารถชำระหนี้ได้ตามกำหนด ผุ้ให้สินเชื่ออาจเกิดปัญหาด้านสภาพคล่องทันที ความเสี่ยงในการชำระดอกเบี้ยและเงินต้น (Default Risk)  เป็นความเสี่ยงที่ลูกหนี้ไม่สามารถชำระหนี้ได้ตรงตามกำหนดที่ได้กำหนดไว้

ความเสี่ยงในการซื้อขายตราสารการเงิน (Trading Risks) เป็นความเสี่ยงที่เกิดขึ้นจากการซื้อหรือขายตราสารทางการเงิน รวมถึงตราสารอนุพันธ์ และตราสารหนี้ โดยจะมีความเสี่ยงที่เกี่ยวข้องดังนี้ ความเสี่ยงจากการเปลี่ยนแปลงของราคาผลิตภัณฑ์เกษตร (Commodity Price Risk) ความเสียงจากระยะเวลาการลงทุนในตราสารหนี้ (Duration Risk) และความเสี่ยงในการวัดและประเมินมูลค่า (Measurement Risk)

ความเสี่ยงในด้านสุดท้าย คือ ความเสี่ยงด้านสารสนเทศ (Information Risks) เป็นความเสี่ยงที่จะเกิดขึ้นในด้านสารสนเทศหรือข้อมูลทางบัญชี งบการเงิน การรายงานต่าง ๆ ทางการเงิน ความเสี่ยงด้านภาษี รวมไปถึงความเสี่ยงในด้านเทคโนโลยีอื่น ๆ ซึ่งความเสี่ยงด้านสารสนเทศนี้สามารถแบ่งความเสี่ยงออกเป็น 3 ประเภท คือ

ความเสี่ยงด้านการเงิน (Financial Risks)

ความเสี่ยงจากการดำเนินงาน (Operational Risks)

และ ความเสี่ยงด้านเทคโนโลยี (Technological Risks)

ความเสี่ยงด้านการเงิน (Financial Risks) นั้นเป็นความเสี่ยงในด้านของการรายงานทางการเงิน เพื่อเป็นการเผยแพร่ข้อมูลต่าง ๆ ทางการเงินต่อสาธารณะ ซึ่งอาจจะมีความผิดพลาดในการรายงาน เช่น ความเสี่ยงต่อมาตรฐานการบัญชี (Accounting Standard Risk) เป็นความเสี่ยงที่บริษัทอาจจะต้องประสบ เนื่องจากการทำบัญชีของบริษัทเกิดความผิดพลาดไม่สอดคล้องกับมาตรฐานการบัญชี ความเสี่ยงในด้านงบประมาณ (budgeting Risk) เป็นความเสี่ยงที่บริษัทจะเผชิญ ด้วยสาเหตุที่บริษัทหรือหน่วยงานที่เกี่ยวข้องจัดทำงบประมาณไว้ไม่เพียงพอต่อการใช้จ่าย ด้วยสาเหตุของการบกพร่องของข้อมูลที่ถูกต้อง ความเสี่ยงจากการรายงานทางการเงิน (Financial Reporting Risk) เป็นความเสี่ยงที่บริษัทอาจทำการรายงานงบการเงินไม่ถูกต้อง ซึ่งอาจทำให้ผุ้ลงทุนหรือผู้ที่เกี่ยวข้องเกิดความเข้าใจผิดพลาด ความเสี่ยงด้านภาษี (Taxation Risk) เป็นความเสี่ยงอันอาจจะมีสาเหตุมาจากการประเมินภาษีไม่ถูกต้อง เพราะบริษัทอาจมีข้อมูลไม่เพียงพอในการประเมินภาษีประจำปี จึงทำให้บริษัทไม่มีเงินสดเพียงพอในการชำระภาษีที่เกิดขึ้น และความเสี่ยงในการรายงานทางการเงินที่ผิดต่อกฎระเบียบ (Regulatory Reporting Risk) เป็นความเสี่ยงที่บริษัทอาจจะต้องเสียค่าปรับเนื่องจากการรายงานนั้นขัดต่อกฎระเบียบต่าง ๆ

ความเสี่ยงด้านการดำเนินงาน (Operational Risks) เป็ความเสี่ยงที่เกิดขึ้นในกระบวนการทำงานของบริษัท เช่น ความเสี่งที่เกิดขึ้นจากการประเมินราคาผิดพลาด (Pricing Risk) ทำให้ราคาของสินค้านั้นต่ำกว่าต้นทุนในการผลิต จึงก่อให้เกิดผลการดำเนินงานที่ขาดทุน ความเสี่ยงที่เกิดขึ้นจากการประเมินผลการดำเนินงานผิดพลาด (Performance Measurement Risk) หรือความเสี่ยงที่เกิดขึ้นจากความไม่ปลอดภัยในการทำงานของพนักงาน (Employee Safety Risk) ซึ่งหากเกิดความไม่ปลอดภัยในสถานที่ทำงานแล้ว อาจเกิดอันตรายจากการดำเนินงานต่อพนักงานหรือเจ้าหน้าที่ที่เกี่ยวข้อง ซึ่งจะเกิดการสูยเสียบุคลากรที่มีความสามารถ และเกิดผลเสียต่อความน่าเชื่อถือของบริษัท

ความเสี่ยงด้านเทคโนโลยี (Technological Risks) เป็นความเสี่ยงที่เกิดขึ้นกับทุกองค์กรในปัจจุบัน ความเสี่ยงด้านเทคโนโลยีนี้ประกอบด้วย ความเสี่ยงในการเข้าถึงข้อมูลสารสนเทศ (Information Access Risk) เป็นความเสี่ยงที่อาจเกิดขึ้นโดยพนักงานทั่วไปอาจเข้าสู่ระบบสารสนเทศ และใช้ข้อมูลต่าง ๆ ของบริษัทเกินกว่าอำนาจของตนเองที่มีอยู่ ความเสี่ยงในความต่อเนื่องของการดำเนินธุรกิจ (Business Continuity Risk) เป็นความเสี่ยงที่เกิดขึ้นเมื่อเทคโนโลยีเกิดการขัดข้อง อาจทำให้ธุรกิจนั้นไม่สามารถดำเนินธุรกรรมต่าง ๆ ต่อไปได้ ความเสี่ยงในโครงสร้างทางเทคโนโลยี (Infrastructure Risk) อาจเกิดขึ้นในกรณีที่บริษัทมีการเลือกซื้ออุปกรณ์ทางเทคโนโลยีไม่เหมาะสมกับลักษณะงานของบริษัท และความเสี่ยงในความสะดวกในการใช้เทคโนโลยี (Availability Risk) เป็นความเสี่ยงที่พนักงงานหรือผู้บริหารไม่สามารถเข้าใช้ข้อมูลต่าง ๆ ตามที่ตนเองนั้นมีขอบข่ายการรับผิดชอบตามหน้าที่

อ้างอิง

• ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2548 - 2550. บทความจากหนังสือพิมพ์บิสิเนสไทย คอลัมน์ส่องธุรกิจ
• ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2554. การจัดการความเสี่ยงและตราสารอนุพันธ์เบื้องต้น พิมพ์ครั้งที่ 4 สำนักพิมพ์เพียร์สัน เอ็ดดูเคชั่น
• ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2550 - 2555. บทความจากนิตยสาร Make Money คอลัมน์ Finance & Investment
• ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2551 - 2555. บทความจากหนังสือพิมพ์ ASTV ผู้จัดการรายวัน คอลัมน์ Road to Investment
• ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2554 ลงทุนเป็น เห็นความสำเร็จ สำนักพิมพ์ แมคกรอฮิล