สัปดาห์นี้ผู้เขียนจะนำท่านผู้อ่านไปรู้จักกับกระบวนการในการบริหารจัดการกับความเสี่ยง ซึ่งหลายองค์กร ไม่ว่าจะเป็นบริษัทที่จดทะเบียนในตลาดหลักทรัพย์แห่งประเทศไทย หรือแม้กระทั่งหน่วยงานของราชการ และรัฐวิสาหกิจ กำลังในความสำคัญในการจัดทำกันอยู่ในปัจจุบันโดยส่วนใหญ่แนวทางในการบริหารจัดการกับความเสี่ยงที่องค์กรในประเทศไทยได้เลือกใช้นั้นเป็นแนวทางการบริหารจัดการความเสี่ยงตามแนวทางของ COSO
The Committee of Sponsoring Organization (COSO) เป็นหน่วยงานที่ได้เผยแพร่วิธีการและกรอบแนวคิดของการควบคุมภายในขององค์กร (Internal Control Framework) อย่างเป็นระบบ เมื่อช่วงต้นทศวรรษของ ปี ค.ศ. 1990 จนกระทั่งเป็นที่รู้จักและมีความนิยมอย่างแพร่หลาย หลังจากที่วิธีการและการดำเนินการควบคุมภายใน (Internal Control) นั้นเป็นที่ถกเถียงกันมาเป็นเวลานาน
โดยแนวคิดในการจัดการความเสี่ยง (Risk Management) นั้นเป็นเรื่องที่ทุกคนมีความเห็นอย่างตรงกันว่า การจัดการความเสี่ยงเป็นเรื่องที่จำเป็นและเราต้งมีวิธีในการจัดการกับความเสี่ยงที่ดี แต่การจัดการความเสี่ยงนั้นก็ประสบกับปัญหาเดียวกับการเริ่มทำการควบคุมภายในในช่วงแรก ๆ เพราะการจัดการความเสี่ยงนั้นยังไม่สามารถที่จะกำหนดคำนิยามได้อย่างชัดเจน
องค์กรของการประกันภัย ก็มีการกำหนดคำนิยามของการจัดการความเสี่ยงไว้แบบหนึ่ง แต่องค์กรที่ให้บริการสินเชื่อก็กำหนดคำนิยามและวิธีการของการจัดการความเสี่ยงไว้อีกแบบหนึ่งอย่างแตกต่างกัน จนทำให้หน่วยงานหลายหน่วยงานไม่ว่าจะเป็นองค์กรที่แสวงหาผลกำไร หรือองค์กรที่ไม่แสวงหาผลกำไรต่างก็พยายามที่จะกำหนด คำนิยามและความหมายของการจัดการความเสี่ยง ตลอดจนพยายามคิดถึงโครงสร้างของการจัดการกับความเสี่ยงต่าง ๆ เหล่านั้น
หลังการจากพยายามหาข้อสรุปถึงคำนิยาม ความหมาย วิธีการในการจัดการความเสี่ยง และการจัดทำโครงสร้างในการบริหารความเสี่ยงมานาน COSO จึงพยายามที่จะกำนหด และกำหนดคำนิยามและรูปแบบต่าง ๆ ในการจัดการกับความเสี่ยง โดยได้กำหนดออกมาเป็น COSO ERM (COSO Enterprise Risk Management) ซึ่ง COSO ได้กำหนดโครงสร้างและความหมายในการจัดการกับความเสี่ยง และนำเสนอต่อสาธารณะในปลายปี ค.ศ. 2004 โดยให้บริษัทในทุกขนาด ไม่ว่าจะเป็นบริษัทขนาดใหญ่ หรือบริษัท SMEs สามารถนำเอาแนวทางในการบริหารจัดการกับความเสี่ยงไปใช้ได้
COSO Internal Control Framework เป็นกระบวนการ ที่ออกแบบให้ กรรมการบริหาร ผู้บริหาร บุคลากรต่าง ๆ ของหน่วยงาน ต้องมีความรับผิดชอบ และพยายามที่จะให้หน่วยงานประสบความสำเร็จ โดยมีวัตถุประงค์ดังนี้
1. ให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพ
2. มีการรายงานทางการเงินที่น่าเชื่อถือ และ
3. การปฏิบัติตามข้อกำหนด กฏ และระเบียบต่าง ๆ
COSO Internal Control Framework (COSO 1) จะมีลักษณะที่เชื่อมโยงต่อ COSO Enterprise Risk management (COSO 2) ดังนั้นการเข้าใจใน COSO Internal Control Framework จึงเป็นการช่วยให้เข้าใจใน COSO ERM มากขึ้น
สภาพแวดล้อมของการควบคุม (Control Environment) เป็นขั้นตอนแรกของกระบวนการในการควบคุมภายในของกระบวนการ COSO Internal Control เป็นการระบุถึงกิจกรรมต่าง ๆ ของธุรกิจ ความเสี่ยงต่าง ๆ ที่อาจเกิดขึ้นกับธุรกิจ ซึ่งขั้นตอนนี้จะเป็นขั้นตอนที่สะท้อนให้เห็นถึง ทัศนคติ การยอมรับ และการปฏิบัติการของ คณะกรรมการบริหารบริษัท ผู้บริหาร และผู้ที่มีความรับผิดชอบเกี่ยวกับหน่วยงานควบคุมภายในขององค์กร
การประเมินความเสี่ยง (Risk Assessment) เป็นขั้นตอนที่สองในกระบวนการ COSO Internal Control คือการทำการประเมินถึงความเสี่ยงต่าง ๆ ที่อาจจะเกิดขึ้นกับบริษัท โดยความเสี่ยงต่าง ๆ เหล่านั้นอาจเป็นไปได้ทั้งความเสี่ยงที่เกิดขึ้นเองภายในบริษัท หรือความเสี่ยงที่เกิดขึ้นภายนอกบริษัท การประเมินความเสี่ยงนั้นอาจจะมีทั้งวิธีที่มีการประเมินอย่างเป็นรูปแบบในการประเมินเป็นเชิงปริมาณ และวิธีการประเมินที่ไม่ต้องมีรูปแบบ เพียงแต่ให้สามารถสื่อสารให้เข้าใจถึงความเสี่ยงที่เกิดขึ้นก็เป็นการเพียงพอ
การประเมินความเสี่ยงนี้ควรเป็นกระบวนการที่ประเมินอนาคตของบริษัทที่อาจจะเกิดขึ้น และควรจะต้องมีการทำการประเมินความเสี่ยงในทุกระดับชั้นการปฏิบัติงานของบริษัท ทั้งนี้กระบวนการประเมินความเสี่ยงสามารถกำหนดเป็นขั้นตอนได้ดังนี้
1. ประมาณการความสำคัญของความเสี่ยงที่จะเกิดขึ้น ว่าความเสี่ยงต่าง ๆ ที่จะเกิดขึ้นนั้นมีความสำคัญที่จะต้องดำเนินการบริหารจัดการหรือไม่
2. ประเมินถึงโอกาสหรือความถี่ของเหตุการณ์ความเสี่ยงที่จะเกิดขึ้น เพื่อเป็นการพิจารณาถึงความบ่อยครั้งของการเกิดความเสี่ยงดังกล่าว
3. พิจารณาว่าความเสี่ยงที่อาจจะเกิดขึ้นนั้นควรที่จะมีการบริหารจัดการ และจะใช้วิธีการใดในการลดความเสี่ยงดังกล่าว หรือความเสี่ยงที่เกิดขึ้นนั้นไม่ควรจะต้องมีการบริหารจัดการ อาจเป็นด้วยเพราะโอกาสที่จะเกิดความเสี่ยงนั้นต่ำมาก และเมื่อเกิดขึ้นแล้วมีผลกระทบต่อการดำเนินงานของบริษัทน้อยมาก จึงอาจไม่คุ้มค่ากับการบริหารจัดการกับความเสี่ยงดังกล่าว
กิจกรรมการควบคุม (Control Activities) เป็นกิจกรรมการตรวจสอบว่าการบริหารจัดการความเสี่ยงที่ได้ดำเนินการไปแล้วนั้นเกิดผลอย่างไร การตรวจสอบดังกล่าวควรมีการจัดทำอย่างสม่ำเสมอ เพื่อศึกษาถึงผลลัพธ์ที่ได้จากการบริหารจัดการกับความเสี่ยง กิจกรรมนี้จัดทำขึ้นเพื่อ ให้เกิดความมั่นใจได้ว่าการจัดการความเสี่ยงนั้นได้เกิดการปฏิบัติอย่างดีและถูกต้อง
การติดต่อสื่อสารและสารสนเทศ (Information and Communication) เป็นการให้ข้อมูล และเชื่อมต่อของข้อมูลให้กับทุกคนในองค์กร เพื่อนำข้อมูลเหล่านั้นไปปฏิบัติ และเป็นการรายงานการบริหารจัดการกับความเสี่ยง เพื่อให้ทุกคนในองค์กรได้รับทราบถึงความเสี่ยงที่เกิดขึ้น และผลของการบริหารจัดการความเสี่ยงเหล่านั้น
การติดตามและประเมินผล (Monitoring) เป็นกิจกรรมการติดตามตรวจสอบถึงผลการดำเนินการของกระบวนการ COSO ทั่วทั้งองค์กร
หลังจากปี ค.ศ. 1990 ที่ COSO ได้กำหนดให้มีการใช้แนวทางในการบริการจัดการกับความเสี่ยง โดยถือหลักของ Internal Control Framework ที่ที่เรามักจะได้ยินกันอย่างติดหูในปัจจุบันว่า COSO 1 นั้นเป็นแนวทางที่ได้ถูกนำมาใช้เป็นระยะเวลา 14 ปี ต่อมาใน ปี ค.ศ. 2004 COSO ได้กำหนดโครงสร้างและความหมายในการจัดการกับความเสี่ยง และนำเสนอต่อสาธารณะCOSO ERM (COSO Enterprise Risk Management) ซึ่งทำให้บริษัทต่าง ๆ สามารถนำเอาแนวทางในการบริหารจัดการกับความเสี่ยงไปใช้ได้
การบริหารความเสี่ยงโดยองค์รวม (Enterprise Risk Management: ERM) หมายถึง การบริหารปัจจัยและควบคุมกิจกรรมต่าง ๆ ขององค์กร รวมถึงกระบวนการในการปฏิบัติงานด้านต่าง ๆ โดยต้องพยายามที่จะลดสาเหตุของความเสี่ยงในแต่ละโอกาสที่เกิดขึ้นแล้วจะทำให้องค์กรเกิดความเสียหาย การโดยทำให้ระดับความเสี่ยงและขนาดของความเสียหายที่จะเกิดขึ้นทั้งในปัจจุบันและอนาคตให้อยู่ในระดับที่ สามารถยอมรับได้ ประเมินได้ ควบคุมได้ และตรวจสอบได้อย่างมีระบบ โดยคำนึงถึงการบรรลุวัตถุประสงค์ขององค์กรเป็นสำคัญ
กระบวนการในการดำเนินการบริหารจัดการความเสี่ยงตามแนวทางของ COSO ERM สามารถแบ่งออกได้เป็น 8 ขั้นตอน คือ
1. Internal Environment เป็นกระบวนการแรกในขั้นตอนการดำเนินการวิเคราะห์และการดำเนินการป้องกันความเสี่ยง เป็นการระบุถึงปัจจัยแวดล้อมในด้านต่าง ๆ ของบริษัท โดยระบุถึง นโยบายและวิธีการในการดำเนินการป้องกันความเสี่ยง ปรัชญาและปณิธานในการบริหารความเสี่ยงโครงสร้างขององค์กรในเรื่องของกระบวนการในการจัดการความเสี่ยง
2. Objective Setting หรือ การกำหนดวัตถุประสงค์ เป็นขั้นตอนที่สองของกระบวนการในการบริหารความเสี่ยง เพราะเป็นปัจจัยที่ผู้ทำหน้าที่ในการบริหารความเสี่ยงของบริษัท จะต้องทำการกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง โดยกำหนดถึงความต้องการในการบริหารความเสี่ยง และกำหนดเป้าหมายที่ต้องการให้เกิดการบรรลุในการบริหารความเสี่ยง
ตัวอย่างเช่น บริษัทอาจกำหนดวัตถุประสงค์ในการบริหารความเสี่ยงของบริษัท คือ การแก้ไขความเสี่ยงอันจะเกิดขึ้นจาก ความผันผวนของอัตราแลกเปลี่ยน การเปลี่ยนแปลงของราคาวัตถุดิบ การปรับตัวของอัตราดอกเบี้ย ฯลฯ พร้อมทั้งระบุด้วยว่าบริษัทหรือองค์กรต้องการที่จะบริหารความเสี่ยงดังกล่าวนั้นจำนวนเท่าใด พร้อมทั้งกำหนดเป้าหมายที่จะต้องการบรรลุของบริษัท
สิ่งที่สำคัญสำหรับขั้นตอนนี้คือ การกำหนดวัตถุประสงค์ในการบริการความเสี่ยงนี้ ไม่ใช่วัตถุประสงค์ของบริษัทในการดำเนินธุรกิจ
3. Event Identification หรือ การระบุความเสี่ยง เป็นขั้นตอนที่ทำหน้าที่ในการระบุถึงปัจจัยเสี่ยงต่าง ๆ ที่อาจเกิดขึ้นต่อองค์กรหรือบริษัท โดยการระบุถึงปัจจัยเสี่ยงนี้บริษัทอาจทำการระบุปัจจัยเสี่ยงตาม KPI (Key Performance Indicators) ขององค์กร เพื่อทำให้การระบุความเสี่ยงนั้นมีความสะดวกมากขึ้น
ตัอวย่างเช่น องค์กรที่ส่งออกสินค้าไปยังต่างประเทศ จะมีปัจจัยเสี่ยง คือ อัตราแลกเปลี่ยนเงินตราต่างประเทศที่ไม่แน่นอน การขนส่งสินค้าอาจเกิดอัตราย ลูกค้าในต่างประเทศอาจผิดนัดชำระ ฯลฯ ซึ่งปัจจัยเสี่ยงของแต่ละองค์กรก็จะเกิดความแตกต่างกันออกไป ทั้งนี้ขึ้นอยู่กับประเภทขององค์กร และขนาดขององค์กร เพราะประเภทขององค์กรที่แตกต่างกันจะมีความเสี่ยงในลักษณะที่แตกต่างกัน เช่น ธุรกิจผู้ผลิตสินค้า ก็จะมีความเสี่ยงแบบหนึ่ง แต่ถ้าเป็นธุรกิจบริการ รหือธุรกิจซื้อมาขายไป ก็จะมีความเสี่ยงที่แตกต่างกันออกไป
4. Risk Assessment หรือ การประเมินความเสี่ยง เป็นขั้นตอนหนึ่งที่สำคัญ เพราะการที่บริษัทหรือองค์กรใด ๆ จะเลือกวิธีใดในการป้องกันความเสี่ยง บริษัทนั้นจะต้องทราบถึงความเสี่ยงที่จะเกิดขึ้นว่าจะมีโอกาสในการเกิดขึ้นมากน้อยเท่าใด เพื่อที่จะได้เลือกใช้เครื่องมือในการป้องกันความเสี่ยงได้อย่างถูกต้อง เพราะวิธีการแต่ละวิธีในการป้องกันความเสี่ยงนั้น มีต้นทุนและวิธีการที่แตกต่างกัน การเลือกวิธีการหรือแนวทางในการป้องกันความเสี่ยงที่ถูกต้องจะทำให้บริษัทเกิดความสมดุลย์มากขึ้น
การประเมินความเสี่ยงขององค์กรว่ามีความรุนแรงมากน้อยเท่าใด และมีความเสี่ยงใดต้องรีบดำเนินการแก้ไข องค์กรจะต้องศึกษาถึงผลกระทบ โดยการศึกษาถึงผลกระทบนั้นเป็นขั้นตอนที่ยากและสำคัญที่สุดของการบริหารความเสี่ยง เพราะบริษัทจะต้องทำการประเมินปัจจัยเสี่ยงทีละปัจจัย ว่าปัจจัยใดจะมีผลกระทบมากน้อยต่อองค์กรเพียงใด ปัจจัยที่มีผลกระทบมากจะได้รับการแก้ไขอย่างเร่งด่วน แต่ปัจจัยที่มีผลกระทบน้อย นั้นก็ไม่สามารถละเลยได้เช่นกัน แต่การศึกษาถึงผลกระทบนี้จะทำให้ธุรกิจทราบว่าแต่ละปัจจัยเสี่ยงจะมีผลกระทบต่อองค์กรร้ายแรงเพียงใด ผู้บริหารจะนำขั้นตอนนี้ไปใช้ในการประกอบการตัดสินใจ เพราะการบริหารความเสี่ยงนั้นบางครั้งมีต้นทุนที่สูง ถ้าหากนำมาใช้กับความเสี่ยงที่มีผลกระทบต่อธุรกิจน้อย อาจเกิดความไม่คุ้มค่ากับการลงมือบริหารความเสี่ยงดังกล่าว
ซึ่งการประเมินถึงโอกาสที่จะเกิดขึ้นของความเสี่ยง และการศึกษาถึงผลกระทบนั้นจะทำให้องค์กรได้ทราบถึงลำดับความสำคัญของความเสี่ยงที่จะเกิดขึ้น
ขั้นตอนการบริหารความเสี่ยงโดยองค์รวม (Enterprise Risk Management: ERM) ตามแนวทางของ COSO ในขั้นตอนที่ 5 คือการตอบสนองต่อความเสี่ยง (Risk Response) โดยการจัดทำแผนการบริหารความเสี่ยง และการลงมือปฏิบัติในการบริหารความเสี่ยงอย่างแท้จริง เพื่อการบริหารความเสี่ยงอย่างเป็นขั้นตอน ธุรกิจจะต้องมีการวางแผนการบริหารความเสี่ยงอย่างเป็นระบบ โดยมีการกำหนดถึงแผนการบริหารความเสี่ยงอย่างเป็นขั้นตอน ว่าความเสี่ยงใดจะต้องทำการบริหารจัดการก่อนหรือหลัง
แต่การบริหารความเสี่ยงนั้นจะไม่สามารถกระทำแต่เพียงอย่างเดียวโดยลำพัง หรือการบริหารความเสี่ยงนั้นไม่สามารถมองปัญหาเพียงแต่ปัญหาเดียวได้ (Silo View) ซึ่งธุรกิจหรือองค์กรโดยทั่วไปมักจะบริหารจัดการกับความเสี่ยงแต่เพียงด้านเดียว ซึ่งการบริหารความเสี่ยงที่ดีนั้นจะต้องมองภาพรวมขององค์กร (Portfolio View) และลงมือแก้ไขอย่างพร้อมเพียงกัน แต่อาจกำหนดเป็นขั้นตอนก่อนหลังได้
แนวทางในการบริการจัดการกับความเสี่ยงหรือการตอบสนองต่อความเสี่ยงนั้นจะถือหลักตามแนวทางของ 4T’s คือ
ขั้นตอนที่ 6 กิจกรรมการควบคุม (Control Activities) คือ นโยบายขององค์กรหรือกระบวนการในการปฏิบัติงาน เพื่อให้องค์กรเกิดความมั่นใจได้ว่า องค์กรนั้นได้มีการดำเนินการจัดการกับความเสี่ยงแล้ว โดยขั้นตอนนี้เป็นขั้นตอนที่กำหนดให้บุคลากรภายในองค์กรรับผิดชอบในการพิจารณาประสิทธิผลของการจัดการความเสี่ยงที่ได้ดำเนินการอยู่แล้ว และพิจารณาการเพิ่มเติมกิจกรรมต่าง ๆ ตามที่จำเป็นในการจัดการกับความเสี่ยง
ขั้นตอนที่ 7 สารสนเทศและการสื่อสาร (Information and Communication) เป็นขั้นตอนของการแจ้งข้อมูลข่าวสาร และให้ความรู้แก่คนในองค์กรในเรื่องของแนวทางปฏิบัติทางด้านการจัดการความเสี่ยงขององค์กร ซึ่งอาจจัดทำได้หลากหลายรูปแบบ เช่น
ขั้นตอนที่ 8 การติดตามผล (Monitoring) โดยการติดตามผลเป็นขั้นตอนสุดท้ายแต่มีความสำคัญที่จะทำให้ผู้บริหารมั่นใจว่าการบริหารความเสี่ยงทั่วทั้งองค์กรเป็นไปอย่างมีประสิทธิภาพ สามารถตอบสนองต่อการเปลี่ยนแปลงได้ดี โดยการติดตามประสิทธิผลของการบริหารความเสี่ยงที่กำหนดไว้อย่างต่อเนื่องและสม่ำเสมอ เช่น
1. การติดตามผลเป็นรายครั้ง (Separate Monitoring) เป็นการติดตามประสิทธิผลเป็นครั้งคราวตามระยะเวลาที่กำหนด ซึ่งการตรวจสอบการบริหารความเสี่ยงโดยฝ่ายตรวจสอบภายในขององค์กร
2. การติดตามผลในระหว่างการปฏิบัติงาน (Ongoing Monitoring) เป็นการติดตามที่รวมอยู่ในการดำเนินงานต่างๆ ตามปกติ เช่น มีการติดตามผลในระหว่างการประชุมคณะกรรมการบริหารความเสี่ยง เป็นต้น
ขั้นตอนทั้ง 8 ขั้นนี้เป็นแนวทางในการบริหารจัดการกับความเสี่ยงขององค์กร ซึ่งกำลังได้รับความนิยมเป็นอย่างมากในปัจจุบัน
อ้างอิง
ไม่มีความเห็น