อาจารย์จิรพร สุเมธีประสิทธิ์
หลังจากที่มาตรฐาน ISO 31000:2009 ได้รับการตอบรับอย่างดีจากกิจการตางๆ ทั่วโลก และผลการสำรวจครั้งแรกเกี่ยวกับความเห็นของผู้ใช้หลักการบริหารความเสี่ยงบน ISO 31000 เมื่อเดือนตุลาคม 2011 ออกมาน่าพอใจ ISO
ได้รุกคืบหน้าในด้านการขยายกรอบแนวทางด้านการบริการความเสี่ยงต่อไป ด้วยการออกร่างฉบับสุดท้ายของ ISO 31010 : Risk Management-Risk Assessment Techniques
การดำเนินกิจกรรมต่างๆ ภายในกิจการ นับจากการริเริ่มแผนกลยุทธ์ ไปถึงการดำเนินธุรกิจกระบวนการและงานโครงการ ล้วนแต่มีโอกาสเผชิญหน้ากับความเสี่ยง ที่ควรจะเกิดการบริหารจัดการกับปัจจัยความเสี่ยงอย่างเพียงพอ
กล่าวอีกนัยหนึ่ง คือ กระบวนการบริหารความเสี่ยงจะช่วยด้านการตัดสินใจด้วยการนำเอาประเด็นด้านความไม่แน่นอน และความน่าจะเป็นที่จะเกิดเหตุการณ์ในอนาคต ที่ส่งผลต่อการบรรลุความสำเร็จของกิจการ
แนวคิดเบื้องต้นเกี่ยวกับ การบริหารความเสี่ยงที่นำไปสู่การพัฒนามาตรฐานใหม่ในด้านเทคนิคของการเข้าให้ถึงความเสี่ยงตามร่าง ISO 31010 ได้แก่
ประการที่ 1
: การบริการความเสี่ยงรวมความถึงการกำหนดและออกแบบวิธีการเชิงตรรกะและเชิงระบบในการที่กิจการจะ
(1) ทำการสื่อสารและให้คำหรือความช่วยเหลือผู้ที่เกี่ยวข้องกับกระบวนการบริหารความเสี่ยงแต่ละขั้นตอน
(2) วางบริบทขอบเขตในการค้นหา ระบุ วิเคราะห์และประเมิน จัดการกับความเสี่ยงที่ส่งผลกระทบต่อกิจกรรม กระบวนการ ภาระงานหรือสายธุรกิจ หรือผลิตภัณฑ์บางส่วนของกิจการ
(3) วางกลไกการกำกับติดตาม และทบทวนความคืบหน้าผลการดำเนินงานด้านการบริหารความเสี่ยงและการเคลื่อนที่ของความเสี่ยง และสถานะความเสี่ยงหลังการจัดการความเสี่ยง
(4) มีรูปแบบของรายงานและการบันทึกผลการดำเนินงานด้านการบริหารความเสี่ยงอย่างเหมาะสม
ประการที่ 2
: การเข้าให้ถึงความเสี่ยง (Risk Assessment) เป็นส่วนหนึ่งของการบริหารความเสี่ยงที่ประกอบด้วยกระบวนการที่จัดทำเป็นระบบ มีโครงสร้างที่ชัดเจนในการ
(1) ระบุว่าวัตถุประสงค์ของกิจการและเป้าหมายส่วนใดบ้างที่อาจจะมีความเสี่ยงเข้ามามีผลจนไม่อาจจะบรรลุผลสำเร็จได้
(2) วิเคราะห์ความเสี่ยงในมิติของ
ก.ผลกระทบที่เกิดว่ารุนแรงมากน้อยแค่ไหน
ข. ความเป็นไปได้ที่เหตุการณ์ความเสี่ยงจะมีผลต่อการไม่บรรลุวัตถุประสงค์และสร้างความล้มเหลวแก่กิจการ
โดยการวิเคราะห์ความเสี่ยงนี้จะเป็นการเตรียมข้อมูลความเสี่ยงที่จะนำไปสู่กาประเมินความเสี่ยงและเรียงลำดับความเสี่ยงตามความสำคัญหรือความจำเป็น ก่อนที่จะเข้าสู่กระบวนการจัดการกับความเสี่ยงด้วย แนวทางใดแนวหนึ่งต่อไป
ประการที่ 3
: การเข้าให้ถึงความเสี่ยงเป็นการพยายามจะตอบประเด็นของคำถามหลักและคำถามพื้นฐานของกิจการ เกี่ยวกับเรื่องสำคัญอย่างน้อย 5 ประการ คือ
คำถามที่ 1 : มีเหตุการณ์ความเสี่ยงใดที่อาจจะกระทบต่อการดำเนินงานของกิจการบ้างและสาเหตุที่เกิดเหตุการณ์ความเสี่ยงนั้นๆ คืออะไร
คำถามที่ 2 : เมื่อเกิดเหตุการณ์ความเสี่ยงแล้ว จะเกิดผลต่อการดำเนินงานของกิจการและการไม่บรรลุผลสำเร็จทางธุรกิจอย่างไร
คำถามที่ 3 : ความน่าจะเป็นที่จะเกิดเหตุการณ์ความเสี่ยงที่ส่งผลต่อการดำเนินงานของกิจการมีมากน้อยเพียงใด
เพราะเหตุใด
คำถามที่ 4 : มีปัจจัยความเสี่ยง (สาเหตุความเสี่ยง) ได้ที่กิจการสามารถบรรเทาผลกระทบที่จะเกิดกับกิจการ หรือ
หลีกเลี่ยงการเปิดได้บ้าง
คำถามที่ 5 : มีบรรทัดฐานใดที่จะใช้ในการวิเคราะห์และประเมินความเสี่ยงว่า อยู่ในเกณฑ์ที่ยอมรับได้ หรือค่าเบี่ยงเบนที่ยอมรับได้แล้ว หรือไม่
ร่างมาตรฐาน ISO 31010 มีเป้าประสงค์สำคัญที่จะเสนอวิธีปฏิบัติที่ดีในการเลือกเทคนิคของการเข้าให้ถึงความเสี่ยง และวิธีการนำเอาเทคนิคที่มีอยู่มาใช้ประโยชน์ เพื่อเป็นทางเลือกของกิจการต่างๆ แทนที่จะใช้ดุลยพินิจของบุคคลเพียงไม่กี่คนในการเข้าให้ถึงความเสี่ยง
การร่างมาตรฐาน ISO 31010 นี้มีลักษณะเช่นเดียวกับมาตรฐาน ISO 31000 คือ ต้องการให้แนวทางในลักษณะทั่วไป เพื่อให้สามารถใช้ประยุกต์ในกิจการได้หลากหลายประเภท ซึ่งกิจการในแต่ละประเภทอาจจะต้องมีมาตรฐานหรือบรรทัดฐานเพิ่มเติมตามความจำเป็น
จากร่างมาตรฐาน ISO 31010 มีประเด็นที่จะเป็นประโยชน์ต่อการเข้าให้ถึงความเสี่ยงของแต่ละกิจการในระยะต่อไปหลายประการ ซึ่งกิจการต่างๆ ควรจะพิจารณาว่าควรจะนำไปเพิ่มเติม หรือเติมเต็มกระบวนการบริหารความเสี่ยงของกิจการ เพื่อให้เกิดประสิทธิผลและคุณค่าของการบริหารความเสี่ยงต่อกิจการตามที่ผู้บริหารกิจการคาดหวังเอาไว้ ประเด็นที่สำคัญจากร่างมาตรฐาน ISO 31010 ได้แก่
ประเด็นที่ 1
ร่างมาตรฐาน ISO 31010 เป็นมาตรฐานที่ช่วยสนับสนุนมาตรฐาน ISO 31000 ที่ออกประกาศใช้ไปแล้วตั้งแต่ปี 2009 เพื่อให้แต่ละกิจการมีแนวพึงปฏิบัติในการเลือกใช้เทคนิคของการเข้าถึงความเสี่ยง (Risk Assessment) และเมื่อกิจการสามารถใช้เทคนิคการเข้าให้ถึงต่อไปด้วย เพราะมาตรฐาน ISO 31010 ให้รายละเอียดเกี่ยวกับวิธีการและเทคนิคที่ชัดเจนขึ้น
ประเด็นที่ 2
ร่างมาตรฐาน ISO 31010 เป็นแนวทางพึงปฏิบัติอย่างเดียว ไม่ได้มีกระบวนการตรวจสอบเพื่อออกใบรับรอง
หรือกฎหมายที่เป็นภาคบังคับจึงขึ้นอยู่กับความสมัครใจของแต่ละกิจการเองเป็นหลัก
ประเด็นที่ 3
วัตถุประสงค์และประโยชน์ของ Risk Assessment ตามร่างมาตรฐาน ISO 31010 คือ การใช้กระบวนการ Risk
Assessment ในการจัดทำข้อมูลความเสี่ยงที่เชื่อถือได้ มีหลักฐานประกอบ และมีการวิเคราะห์และประเมินความเสี่ยงอย่างสมเหตุสมผล ก่อนที่ข้อมูลความเสี่ยงเหล่านี้จะนำไปประกอบการตัดสินใจว่ากิจการควรจะจัดการ (Treat)
กับความเสี่ยงอย่างไร และแนวทางในการเลือกว่าจะใช้ทางเลือกใด ในกรณีที่มีทางเลือกหลายทางเลือก
ประเด็นที่ 4
สิ่งที่กิจการควรจะได้หลังจากการใช้กระบวนการ Risk Assessment ควรจะประกอบด้วย
(1) การเพิ่มความเข้าใจและการรับรู้ความเสี่ยงและลักษณะความเสี่ยงส่งผลต่อการดำเนินงานของกิจการจนไม่สามารถบรรลุตามวัตถุประสงค์ได้
(2) การมีทะเบียนความเสี่ยงที่มีรายละเอียด คำอธิบายและผลการวิเคราะห์ที่สามารถใช้ประกอบการตัดสินใจได้
(3) การใช้ข้อมูลความเสี่ยงช่วยให้กิจการมีศักยภาพและความสามารถเพิ่มขึ้นในการเลือกว่าควรจะจัดการกับความเสี่ยงอย่างไร
(4) การระบุจุดอ่อนของการควบคุมภายใน และการบริหารจัดการกับความเสี่ยงที่ผ่านมาและระดับความเสี่ยง
และสถานะความเสี่ยงที่หลงเหลือ และความจำเป็นในการที่จะต้องจัดการกับความเสี่ยงเพิ่มเติม
(5) การเปรียบเทียบข้อมูลความเสี่ยงที่ได้มาจากระบบเทคโนโลยีและแนวคิดว่ามีความสอดคล้องต่างกัน
หรือแตกต่างกัน หากแตกต่างกัน จะเลือกใช้ข้อมูลความเสี่ยงใดเพื่อส่งไปสู่ขั้นตอนของการจัดการกับความเสี่ยงต่อไป
(6) การใช้ข้อมูลความเสี่ยงที่ได้ในการสื่อสาร (ก) ความเสี่ยง (ข) ความไม่แน่นอน แก่บุคลากรภายในองค์กรได้
(7) การวางแนวทางการป้องกันอุบัติการณ์ในอนาคตโดยใช้ฐานข้อมูลจากการตรวจสอบและสำรวจอุบัติการณ์ที่เคยเกิดขึ้นมาแล้วในอดีตเป็นบทเรียนในการเรียนรู้
ประเด็นที่ 5
Risk Assessment ความมาตรฐาน ISO 31010 กำหนดขึ้นภายใต้กรอบและหลักการใหญ่จากมาตรฐาน
ISO 31000 กล่าวคือ กรอบแนวทางการบริหารความเสี่ยงจะปรากฏอยู่ในนโยบาย ขั้นตอนการปฏิบัติ การจัดวางโครงสร้างองค์กร การแบ่งบทบาทและความรับผิดชอบแต่ละสายงาน/ฝ่ายงาน โดยจะต้องมั่นใจว่ามีรายละเอียดมากเพียงพอที่จะก่อให้เกิดการบริหารความเสี่ยงทั่วทั้งองค์กรและทุกระดับ ซึ่งหนึ่งในเนื้อหาสาระของเอกสารที่เป็นลายลักษณ์อักษรจะต้องระบุว่า
(1) เมื่อใดที่จะถึงเวลาที่กิจการจะทำการ Risk Assessment
(2) วิธีการรูปแบบในการดำเนินการ Risk Assessment
ประเด็นที่ 6
ก่อนที่จะเริ่มดำเนินการ Risk Assessment กิจการควรจะมีความชัดเจนเกี่ยวกับ
(1) บริบทและวัตถุประสงค์ขององค์กร ซึ่งถือว่าเป็นคุณค่าของกิจการ
(2) การกำหนดเกณฑ์นิยามความเสี่ยงที่ยอมรับได้ และความเสี่ยงที่ยอมรับไม่ได้ หากมีผลต่อการดำเนินธุรกิจมิให้บรรลุความสำเร็จตามวัตถุประสงค์
(3) การแทรกกระบวนการ Risk Assessment ในการกระบวนการดำเนินธุรกิจของกิจการ
(4) วิธีการและเทคนิคที่จะใช้ในการกระบวนการ Risk Assessment และผลลัพธ์ ที่ส่งผลต่อกระบวนการบริหารความเสี่ยงต่อๆไป
(5) ความรับผิดชอบ บทบาท อำนาจที่มอบหมายแก่บุคลากรในการดำเนินกระบวนการ Risk Assessment
(6) ทรัพยากรจำเป็นต่อกระบวนการ Risk Assessment
(7) กระบวนการในการายงานผลลัพธ์และข้อมูลการวิเคราะห์ความเสี่ยงจาก Risk Assessment และการทบทวนกระบวนการ Risk Assessment
