อาจารย์ จิรพรสุเมธีประสิทธิ์
นอกจากรูปแบบและลักษณะการดำเนินงานของกิจการต่าง ๆ จะมีความแตกต่างกันแล้วแต่ละกิจการยังอาจจะมีทัศนะต่อความเสี่ยง การรับรู้ความเสี่ยง โครงสร้างองค์กรในการจัดการความเสี่ยงและกระบวนการบริหารความเสี่ยงที่แตกต่างกันออกไป รวมทั้งข้อจำกัดต่างๆที่ส่งผลต่อกระบวนการพัฒนาระบบบริหารความเสี่ยง
เมื่อกิจการมาถึงทางแยกที่มี 2 แพร่งว่าจะมาบริหารความเสี่ยงเพื่อให้ช่วยเพิ่มมูลค่าแก่กิจการ หรือเพียงดำเนินการทั้งหมดทำให้มีสิ่งที่เอาไว้แสดงแก่บุคคลทั่วไปว่ากิจการก็มีการบริหารความเสี่ยงเหมือนกัน
สิ่งที่กิจการจะต้องตระหนักและยอมรับร่วมกันกันที่จะก้าวไปสู่การพัฒนาระบบบริหารความเสี่ยงจึงมีอยู่ด้วยกันหลายประการ
ประการที่ 1
ความเสี่ยงมาจากผลของความเปลี่ยนแปลง จนเกิดความไม่แน่นอน และอาจจะทำให้มีเหตุการณ์ความเสี่ยงที่เป็นภัยคุกคามต่อความสำเร็จของการดำเนินงานของกิจกรรม จึงเป็นความจำเป็นอย่างยิ่งที่กิจการจะต้องทำความเข้าใจเกี่ยวกับข้อมูลความเสี่ยงอย่างเพียงพอเพื่อใช้เป็นข้อมูลในการตัดสินใจบริหารความเสี่ยงสำคัญเหล่านั้น
ประการที่ 2
ผู้มีส่วนได้ส่วนเสียคาดหมายว่ากิจการจะดำเนินงานบรรลุผลตามวัตถุประสงค์ และหากความเสี่ยงเป็นตัวการสำคัญที่ทำให้กิจการอาจจะดำเนินงานไม่ครบและสำเร็จตามวัตถุประสงค์ หน่วยงานภาครัฐที่กำกับกิจการจึงเพิ่มความต้องการที่จะให้กิจการเปิดเผยรายละเอียดความเสี่ยงอย่างโปร่งใสและเพียงพอในการพิจารณาของผู้มีส่วนได้ส่วนเสีย
ประการที่ 3
บทบาทที่สำคัญอยู่ที่ผู้บริหารและคณะกรรมการบริษัท โดยควรจะดำเนินการที่จำเป็นเพื่อตอบโต้กับความเสี่ยง โดย
(1)เริ่มต้นจากการดำเนินการค้นหาและระบุความเสี่ยง วิเคราะห์และประเมิน บริหารจัดการ กำกับติดตามความเสี่ยงเพื่อให้เกิดการพัฒนา การดำเนินการและการติดตามระบบการควบคุมภายในจนมั่นใจว่าจะมีการปฏิบัติจริงตามระบบการควบคุมที่จัดวางไว้
(2)คณะกรรมการบริษัทควรจะทำให้มีความมั่นใจว่ากระบวนการบริหารความเสี่ยงเป็นไปอย่างเหมาะสมและมีประสิทธิผล โดยเฉพาะอย่างยิ่งกระบวนการที่จัดการกับความเสี่ยงจะอยู่ภายในเกณฑ์และระดับความเสี่ยงที่ยอมรับได้ Risk Appetite)
ประการที่ 4
กรอบแนวทางการบริหารความเสี่ยงควรจะครอบคลุมถึง
(1)การเข้าให้ถึงข้อมูลความเสี่ยงสำคัญที่จะส่งผลต่อการดำเนินงานจนไม่บรรลุผลสำเร็จและนำมาใช้ประกอบการพิจารณาและตัดสินใจพัฒนา(ก)ระบบการควบคุมภายในและ(ข)การตอบโต้กับความเสี่ยงด้วยวิธีการอื่นๆทั้งนี้เพื่อให้สามารถลดผลของความเสี่ยงจนต่ำกว่าระดับที่ยอมรับได้
(2)ข้อมูลความเสี่ยงต้องสามารถอธิบายเหตุการณ์ความเสี่ยงที่เพียงพอในการที่จะทำให้กิจการสามารถจัดเรียงลำดับความเสี่ยงตามความสำคัญได้ และกำหนดขอบเขตของความเสี่ยงที่เห็นว่ายอมรับได้ จนสามารถวัดผลได้ว่า สถานะความเสี่ยง ณ ขณะใดขณะหนึ่งอยู่ต่ำกว่าหรือสูงกว่าเกณฑ์ความเสี่ยงที่ยอมรับได้
(3)การกำหนดและมอบหมายความรับผิดชอบอย่างชัดเจนเพื่อให้มีการปฏิบัติงานได้จริงตามกรอบแนวทางการดำเนินงาน โดยต้องครอบคลุมทุกฝ่ายงานที่เกี่ยวข้อง
(4)องค์ประกอบของกรอบการดำเนินงานในกรณีของธุรกิจบางประเภท ถูกกำกับและวางแนวทางพึงปฏิบัติที่ดีจากหน่วยงานภาครัฐที่กำกับกิจการอยู่ ซึ่งอาจจะมีความแตกต่างกันไปตามวัตถุประสงค์ของหน่วยงานภาครัฐที่กำกับกิจการ
(5)ภาระงานเพิ่มเติมจักต้องระบุให้เป็นไปตามความจำเป็นในการสร้างหลักประกันว่ามีความเสี่ยงสำคัญจะมีการรวบรวมมาใช้ในการเรียงลำดับความสำคัญ
(6)เกณฑ์ความเสี่ยงที่ยอมรับได้อาจจะมีความแตกต่างกันในสายธุรกิจที่แตกต่างกันในกิจการ หรือในกลุ่มกิจการในเครือ หรือในกระบวนการดำเนินงานที่มีความแตกต่างกัน
(7)ในเชิงอุดมคติ แต่ละกิจการควรจะมีการระบุข้อมูลความเสี่ยงในทุกระดับของการดำเนินธุรกิจ แต่การดำเนินการจริงอยู่ที่การพิจารณาความจำเป็น ไม่จำเป็นต้องดำเนินการทุกระดับ หากไม่คุ้มค่าสิ้นเปลืองเวลา ทรัพยากรมากเกินไปควรจะให้ความสำคัญกับข้อมูลความเสี่ยงระดับองค์กรเป็นอันดับแรก และการระบุข้อมูลความเสี่ยงไม่ว่าระดับใดก็ตามจะต้องสมบูรณ์ ทำอย่างมีโครงสร้างบนแบบแผนที่ดี จนมั่นใจว่าข้อมูลความเสี่ยงที่นำมาเรียงลำดับจะเป็นประโยชน์ต่อการตัดสินใจเชิงกลยุทธ์ แม้ว่าข้อมูลความเสี่ยงจะต้องประกอบด้วยเหตุการณ์ความเสี่ยงเป็นสิบเป็นร้อยก็ตาม และที่สำคัญข้อมูลความเสี่ยง ณ เวลาใดเวลาหนึ่งจะต้องเป็นปัจจุบัน
ประการที่ 5
กระบวนการดำเนินงานในการบริหารความเสี่ยงไม่ควรเน้นหนักความเสี่ยงที่มีการควบคุมที่ไม่เหมาะสมเท่านั้น หากแต่ควรจะเน้นถึงความเสี่ยงที่มีการควบคุมมากเกินไปและควรปรับลดการควบคุมด้วย และควรจะครอบคลุมความเสี่ยงที่กระทบถึงมวลชนสัมพันธ์ การบริหารห่วงโซ่อุปทานและการบริหารเงิน ซึ่งหากกิจการจำเป็นต้องจัดหาผู้เชี่ยวชาญพิเศษมาช่วยในส่วนขององค์ความรู้เพื่อให้การค้นหาและระบุความเสี่ยงให้เพียงพอที่จะใช้วิเคราะห์และประเมินความเสี่ยง เพื่อวางแนวทางการจัดการกับความเสี่ยงต่อไป
ประการที่ 6
กระบวนการในการกำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้ (Risk Appetite) เป็นเรื่องที่กิจการจะต้องให้ความสำคัญและระมัดระวังมากที่สุดเพราะมีความอ่อนไหวและความซับซ้อนอย่างมาก เพราะ Risk Appetite เป็นเกณฑ์สำคัญที่จะแยกประเด็นความเสี่ยงส่วนที่กิจการจะต้องดำเนินการตอบโต้ก่อนในระดับต้นๆและจะมีความสัมพันธ์กับการที่กิจการจะใช้ในการให้คะแนนความเสี่ยง เช่น คะแนนตั้งแต่ 3 หรือเกินกว่า3 จะเป็นส่วนที่ถือว่าเกินกว่าระดับที่ยอมรับได้
หากกระบวนการกำหนด Risk Appetite ไม่เหมาะสมอาจจะเป็นไปได้ว่าวางเกณฑ์ไว้สูงเกินไป จนปล่อยให้ความเสี่ยงลงมาอยู่ในกลุ่มที่ยอมรับได้ ทั้งที่จริงแล้วยอมรับไม่ได้
นอกจากนั้นบางส่วนของการกำหนด Risk Appetite อาจจะต้องมีความสอดคล้องกับข้อกำหนดทางกฎหมาย หรือแนวทางของหน่วยงานภาครัฐที่กำกับอยู่ ซึ่งกรณีนี้มักจะเป็นประเด็นที่หน่วยงานภาครัฐที่กำกับกิจการต้องการให้มีการควบคุมภายในที่เกิดประสิทธิผล
ประการที่ 7
กรณีที่กิจการค้นพบว่ามีความเสี่ยงหลากหลายประเด็น เพื่อความสะดวกในการแจกแจงและเรียงลำดับความเสี่ยงในขั้นตอนต่อไป ควรจะมีการรวมกลุ่มความเสี่ยงออกเป็นกลุ่มๆเพื่อความสะดวกในการพิจารณา วิเคราะห์และประเมินต่อไป
นอกจากนั้นการจัดประเด็นและข้อมูลความเสี่ยงออกเป็นกลุ่มๆจะทำให้กิจการสามารถสอบทานอีกครั้งมิให้มีการระบุความเสี่ยงที่ซ้ำซ้อนกัน เพราะความเสี่ยงในกลุ่มเดียวกันจะมารวมอยู่ด้วยกันอยู่แล้ว
แนวทางการแบ่งกลุ่มของข้อมูลความเสี่ยงอาจจะพิจารณาได้หลายวิธี ได้แก่
(1)การแบ่งกลุ่มข้อมูลความเสี่ยงตามวัตถุประสงค์ (By objectives) เพราะความเสี่ยงจะส่งผลกระทบต่อการดำเนินงานมิให้บรรลุตามวัตถุประสงค์หนึ่งหรืออาจจะหลายวัตถุประสงค์พร้อมกัน
(2)การแบ่งข้อมูลความเสี่ยงตามเจ้าภาพความเสี่ยง (Risk owner) ซึ่งอาจจะเป็นรายฝ่ายงาน หรือรายพื้นที่
(3)การแบ่งข้อมูลความเสี่ยงตามหน่วยธุรกิจ สายงานที่มีบทบาทหน้าที่ที่แตกต่างกัน(Business unit) และเป็นอิสระต่อกัน และการบริหารจัดการกับความเสี่ยงเสร็จสิ้นภายในหน่วยธุรกิจนั้นๆ
(4)การแบ่งข้อมูลความเสี่ยงตามกระบวนงาน ภาระงานตามห่วงโซ่แห่งมูลค่า เช่นการจัดซื้อ การผลิต การจำหน่าย การเรียกเก็บเงิน การควบคุม
(5)การแบ่งข้อมูลความเสี่ยงตามรูปแบบ เช่น งานการกำกับดูแลกิจการ การบริหารเงิน การปฏิบัติการ การกำกับการปฏิบัติตามกฎเกณฑ์
