ISO 31010 เทคนิควิเคราะห์ความเสี่ยงแนวใหม่ของกิจการ


อาจารย์จิรพร สุเมธีประสิทธิ์

sumetheeprasit@hotmail.com

หลังจากที่มาตรฐาน ISO 31000:2009 ได้รับการตอบรับอย่างดีจากกิจการตางๆ ทั่วโลก และผลการสำรวจครั้งแรกเกี่ยวกับความเห็นของผู้ใช้หลักการบริหารความเสี่ยงบน ISO 31000 เมื่อเดือนตุลาคม 2011 ออกมาน่าพอใจ ISO
ได้รุกคืบหน้าในด้านการขยายกรอบแนวทางด้านการบริการความเสี่ยงต่อไป  ด้วยการออกร่างฉบับสุดท้ายของ ISO 31010
: Risk Management-Risk Assessment Techniques

การดำเนินกิจกรรมต่างๆ ภายในกิจการ นับจากการริเริ่มแผนกลยุทธ์ ไปถึงการดำเนินธุรกิจกระบวนการและงานโครงการ ล้วนแต่มีโอกาสเผชิญหน้ากับความเสี่ยง ที่ควรจะเกิดการบริหารจัดการกับปัจจัยความเสี่ยงอย่างเพียงพอ

กล่าวอีกนัยหนึ่ง คือ กระบวนการบริหารความเสี่ยงจะช่วยด้านการตัดสินใจด้วยการนำเอาประเด็นด้านความไม่แน่นอน และความน่าจะเป็นที่จะเกิดเหตุการณ์ในอนาคต ที่ส่งผลต่อการบรรลุความสำเร็จของกิจการ

แนวคิดเบื้องต้นเกี่ยวกับ การบริหารความเสี่ยงที่นำไปสู่การพัฒนามาตรฐานใหม่ในด้านเทคนิคของการเข้าให้ถึงความเสี่ยงตามร่าง ISO 31010 ได้แก่

ประการที่ 1

: การบริการความเสี่ยงรวมความถึงการกำหนดและออกแบบวิธีการเชิงตรรกะและเชิงระบบในการที่กิจการจะ

(1)  ทำการสื่อสารและให้คำหรือความช่วยเหลือผู้ที่เกี่ยวข้องกับกระบวนการบริหารความเสี่ยงแต่ละขั้นตอน

(2)  วางบริบทขอบเขตในการค้นหา ระบุ วิเคราะห์และประเมิน จัดการกับความเสี่ยงที่ส่งผลกระทบต่อกิจกรรม  กระบวนการ ภาระงานหรือสายธุรกิจ หรือผลิตภัณฑ์บางส่วนของกิจการ

(3) วางกลไกการกำกับติดตาม และทบทวนความคืบหน้าผลการดำเนินงานด้านการบริหารความเสี่ยงและการเคลื่อนที่ของความเสี่ยง และสถานะความเสี่ยงหลังการจัดการความเสี่ยง

(4) มีรูปแบบของรายงานและการบันทึกผลการดำเนินงานด้านการบริหารความเสี่ยงอย่างเหมาะสม
ประการที่ 2
: การเข้าให้ถึงความเสี่ยง (Risk Assessment) เป็นส่วนหนึ่งของการบริหารความเสี่ยงที่ประกอบด้วยกระบวนการที่จัดทำเป็นระบบ มีโครงสร้างที่ชัดเจนในการ

(1)  ระบุว่าวัตถุประสงค์ของกิจการและเป้าหมายส่วนใดบ้างที่อาจจะมีความเสี่ยงเข้ามามีผลจนไม่อาจจะบรรลุผลสำเร็จได้
(2)  วิเคราะห์ความเสี่ยงในมิติของ

ก. ผลกระทบที่เกิดว่ารุนแรงมากน้อยแค่ไหน

ข. ความเป็นไปได้ที่เหตุการณ์ความเสี่ยงจะมีผลต่อการไม่บรรลุวัตถุประสงค์และสร้างความล้มเหลวแก่กิจการ

โดยการวิเคราะห์ความเสี่ยงนี้จะเป็นการเตรียมข้อมูลความเสี่ยงที่จะนำไปสู่กาประเมินความเสี่ยงและเรียงลำดับความเสี่ยงตามความสำคัญหรือความจำเป็น ก่อนที่จะเข้าสู่กระบวนการจัดการกับความเสี่ยงด้วย แนวทางใดแนวหนึ่งต่อไป

ประการที่ 3

: การเข้าให้ถึงความเสี่ยงเป็นการพยายามจะตอบประเด็นของคำถามหลักและคำถามพื้นฐานของกิจการ เกี่ยวกับเรื่องสำคัญอย่างน้อย 5 ประการ คือ

คำถามที่ 1 : มีเหตุการณ์ความเสี่ยงใดที่อาจจะกระทบต่อการดำเนินงานของกิจการบ้างและสาเหตุที่เกิดเหตุการณ์ความเสี่ยงนั้นๆ คืออะไร

คำถามที่ 2 : เมื่อเกิดเหตุการณ์ความเสี่ยงแล้ว จะเกิดผลต่อการดำเนินงานของกิจการและการไม่บรรลุผลสำเร็จทางธุรกิจอย่างไร

คำถามที่ 3 : ความน่าจะเป็นที่จะเกิดเหตุการณ์ความเสี่ยงที่ส่งผลต่อการดำเนินงานของกิจการมีมากน้อยเพียงใด
เพราะเหตุใด

คำถามที่ 4 : มีปัจจัยความเสี่ยง (สาเหตุความเสี่ยง) ได้ที่กิจการสามารถบรรเทาผลกระทบที่จะเกิดกับกิจการ หรือ
หลีกเลี่ยงการเปิดได้บ้าง

คำถามที่ 5 : มีบรรทัดฐานใดที่จะใช้ในการวิเคราะห์และประเมินความเสี่ยงว่า อยู่ในเกณฑ์ที่ยอมรับได้ หรือค่าเบี่ยงเบนที่ยอมรับได้แล้ว หรือไม่

ร่างมาตรฐาน ISO 31010 มีเป้าประสงค์สำคัญที่จะเสนอวิธีปฏิบัติที่ดีในการเลือกเทคนิคของการเข้าให้ถึงความเสี่ยง และวิธีการนำเอาเทคนิคที่มีอยู่มาใช้ประโยชน์  เพื่อเป็นทางเลือกของกิจการต่างๆ แทนที่จะใช้ดุลยพินิจของบุคคลเพียงไม่กี่คนในการเข้าให้ถึงความเสี่ยง

การร่างมาตรฐาน ISO 31010 นี้มีลักษณะเช่นเดียวกับมาตรฐาน ISO 31000 คือ ต้องการให้แนวทางในลักษณะทั่วไป เพื่อให้สามารถใช้ประยุกต์ในกิจการได้หลากหลายประเภท ซึ่งกิจการในแต่ละประเภทอาจจะต้องมีมาตรฐานหรือบรรทัดฐานเพิ่มเติมตามความจำเป็น

จากร่างมาตรฐาน ISO 31010 มีประเด็นที่จะเป็นประโยชน์ต่อการเข้าให้ถึงความเสี่ยงของแต่ละกิจการในระยะต่อไปหลายประการ ซึ่งกิจการต่างๆ ควรจะพิจารณาว่าควรจะนำไปเพิ่มเติม หรือเติมเต็มกระบวนการบริหารความเสี่ยงของกิจการ เพื่อให้เกิดประสิทธิผลและคุณค่าของการบริหารความเสี่ยงต่อกิจการตามที่ผู้บริหารกิจการคาดหวังเอาไว้ ประเด็นที่สำคัญจากร่างมาตรฐาน ISO 31010 ได้แก่

ประเด็นที่ 1

ร่างมาตรฐาน ISO 31010 เป็นมาตรฐานที่ช่วยสนับสนุนมาตรฐาน ISO 31000 ที่ออกประกาศใช้ไปแล้วตั้งแต่ปี 2009 เพื่อให้แต่ละกิจการมีแนวพึงปฏิบัติในการเลือกใช้เทคนิคของการเข้าถึงความเสี่ยง (Risk Assessment) และเมื่อกิจการสามารถใช้เทคนิคการเข้าให้ถึงต่อไปด้วย เพราะมาตรฐาน ISO 31010 ให้รายละเอียดเกี่ยวกับวิธีการและเทคนิคที่ชัดเจนขึ้น

ประเด็นที่ 2

ร่างมาตรฐาน ISO 31010 เป็นแนวทางพึงปฏิบัติอย่างเดียว ไม่ได้มีกระบวนการตรวจสอบเพื่อออกใบรับรอง
หรือกฎหมายที่เป็นภาคบังคับจึงขึ้นอยู่กับความสมัครใจของแต่ละกิจการเองเป็นหลัก

ประเด็นที่ 3

วัตถุประสงค์และประโยชน์ของ Risk Assessment ตามร่างมาตรฐาน ISO 31010 คือ การใช้กระบวนการ Risk
Assessment ในการจัดทำข้อมูลความเสี่ยงที่เชื่อถือได้ มีหลักฐานประกอบ และมีการวิเคราะห์และประเมินความเสี่ยงอย่างสมเหตุสมผล ก่อนที่ข้อมูลความเสี่ยงเหล่านี้จะนำไปประกอบการตัดสินใจว่ากิจการควรจะจัดการ (Treat)
กับความเสี่ยงอย่างไร และแนวทางในการเลือกว่าจะใช้ทางเลือกใด ในกรณีที่มีทางเลือกหลายทางเลือก

ประเด็นที่ 4

สิ่งที่กิจการควรจะได้หลังจากการใช้กระบวนการ Risk Assessment ควรจะประกอบด้วย

(1)  การเพิ่มความเข้าใจและการรับรู้ความเสี่ยงและลักษณะความเสี่ยงส่งผลต่อการดำเนินงานของกิจการจนไม่สามารถบรรลุตามวัตถุประสงค์ได้
(2)  การมีทะเบียนความเสี่ยงที่มีรายละเอียด คำอธิบายและผลการวิเคราะห์ที่สามารถใช้ประกอบการตัดสินใจได้

(3)  การใช้ข้อมูลความเสี่ยงช่วยให้กิจการมีศักยภาพและความสามารถเพิ่มขึ้นในการเลือกว่าควรจะจัดการกับความเสี่ยงอย่างไร
(4)  การระบุจุดอ่อนของการควบคุมภายใน และการบริหารจัดการกับความเสี่ยงที่ผ่านมาและระดับความเสี่ยง
และสถานะความเสี่ยงที่หลงเหลือ และความจำเป็นในการที่จะต้องจัดการกับความเสี่ยงเพิ่มเติม

(5)  การเปรียบเทียบข้อมูลความเสี่ยงที่ได้มาจากระบบเทคโนโลยีและแนวคิดว่ามีความสอดคล้องต่างกัน
หรือแตกต่างกัน หากแตกต่างกัน จะเลือกใช้ข้อมูลความเสี่ยงใดเพื่อส่งไปสู่ขั้นตอนของการจัดการกับความเสี่ยงต่อไป

(6)  การใช้ข้อมูลความเสี่ยงที่ได้ในการสื่อสาร (ก) ความเสี่ยง (ข) ความไม่แน่นอน แก่บุคลากรภายในองค์กรได้

(7)  การวางแนวทางการป้องกันอุบัติการณ์ในอนาคตโดยใช้ฐานข้อมูลจากการตรวจสอบและสำรวจอุบัติการณ์ที่เคยเกิดขึ้นมาแล้วในอดีตเป็นบทเรียนในการเรียนรู้
ประเด็นที่ 5

Risk Assessment ความมาตรฐาน ISO 31010 กำหนดขึ้นภายใต้กรอบและหลักการใหญ่จากมาตรฐาน
ISO 31000 กล่าวคือ กรอบแนวทางการบริหารความเสี่ยงจะปรากฏอยู่ในนโยบาย ขั้นตอนการปฏิบัติ การจัดวางโครงสร้างองค์กร การแบ่งบทบาทและความรับผิดชอบแต่ละสายงาน/ฝ่ายงาน โดยจะต้องมั่นใจว่ามีรายละเอียดมากเพียงพอที่จะก่อให้เกิดการบริหารความเสี่ยงทั่วทั้งองค์กรและทุกระดับ  ซึ่งหนึ่งในเนื้อหาสาระของเอกสารที่เป็นลายลักษณ์อักษรจะต้องระบุว่า

(1)  เมื่อใดที่จะถึงเวลาที่กิจการจะทำการ Risk Assessment

(2)  วิธีการรูปแบบในการดำเนินการ Risk Assessment

ประเด็นที่ 6

ก่อนที่จะเริ่มดำเนินการ Risk Assessment กิจการควรจะมีความชัดเจนเกี่ยวกับ

(1)  บริบทและวัตถุประสงค์ขององค์กร ซึ่งถือว่าเป็นคุณค่าของกิจการ

(2)  การกำหนดเกณฑ์นิยามความเสี่ยงที่ยอมรับได้ และความเสี่ยงที่ยอมรับไม่ได้ หากมีผลต่อการดำเนินธุรกิจมิให้บรรลุความสำเร็จตามวัตถุประสงค์

(3)  การแทรกกระบวนการ Risk Assessment ในการกระบวนการดำเนินธุรกิจของกิจการ

(4)  วิธีการและเทคนิคที่จะใช้ในการกระบวนการ Risk Assessment และผลลัพธ์ ที่ส่งผลต่อกระบวนการบริหารความเสี่ยงต่อๆไป

(5)  ความรับผิดชอบ บทบาท อำนาจที่มอบหมายแก่บุคลากรในการดำเนินกระบวนการ Risk Assessment

(6)  ทรัพยากรจำเป็นต่อกระบวนการ Risk Assessment

(7)  กระบวนการในการายงานผลลัพธ์และข้อมูลการวิเคราะห์ความเสี่ยงจาก Risk Assessment และการทบทวนกระบวนการ Risk Assessment

 

หมายเลขบันทึก: 537148เขียนเมื่อ 26 พฤษภาคม 2013 11:52 น. ()แก้ไขเมื่อ 26 พฤษภาคม 2013 11:52 น. ()สัญญาอนุญาต: ครีเอทีฟคอมมอนส์แบบ แสดงที่มา-ไม่ใช้เพื่อการค้า-ไม่ดัดแปลง


ความเห็น (0)

ไม่มีความเห็น

พบปัญหาการใช้งานกรุณาแจ้ง LINE ID @gotoknow
ขอแนะนำ ClassStart
ระบบจัดการการเรียนการสอนผ่านอินเทอร์เน็ต
ทั้งเว็บทั้งแอปใช้งานฟรี