องค์ประกอบของกรอบงานการบริหารความเสี่ยงตามแนว COSO มี 8 ด้านที่มีความสัมพันธ์กัน สรุปสาระสําคัญของแต่ละองค์ประกอบ ได้ดังนี้

1. สภาพแวดล้อมภายในองค์กร (Internal Environment) สภาพแวดล้อมขององค์กรเป็นองค์ประกอบที่สําคัญในการกําหนดกรอบการบริหารความเสี่ยง และเป็นพื้นฐานสําคัญในการกําหนดทิศทางของกรอบการบริหารความเสี่ยงขององค์กร ประกอบด้วย ปัจจัยหลายประการ เช่น วัฒนธรรมองค์กร นโยบายของผู้บริหาร แนวทางการปฏิบัติงานของบุคลากร กระบวนการทํางาน ระบบสารสนเทศ เป็นต้น

2. การกําหนดวัตถุประสงค์ (Objective Setting) องค์กรต้องพิจารณากําหนดวัตถุประสงค์ในการบริหารความเสี่ยง ให้มีความสอดคล้องกับ เป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้ เพื่อวางเป้าหมายในการบริหารความเสี่ยงของ องค์กรได้อย่างชัดเจนและเหมาะสม

3. การระบุความเสี่ยง (Risk Identification) เป็นการรวบรวมเหตุการณ์ที่อาจเกิดขึ้นกับหน่วยงาน ทั้งปัจจัยเสี่ยงที่เกิดจากปัจจัยภายใน และปัจจัยภายนอกองค์กรและเมื่อเกิดขึ้นแล้วส่งผลให้องค์กรไม่บรรลุวัตถุประสงค์หรือเป้าหมาย เช่น นโยบายการบริหารงาน บุคลากร การปฏิบัติงานการเงิน ระบบสารสนเทศ ระเบียบข้อบังคับ เป็นต้น ทั้งนี้เพื่อทําความเข้าใจต่อเหตุการณ์และสถานการณ์นั้นๆ และเพื่อให้ผู้บริหารสามารถพิจารณากําหนด แนวทางและนโยบายในการจัดการกับความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดี

4. การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยงเป็นการวัดระดับความรุนแรงของความเสี่ยง เพื่อพิจารณาจัดลําดับ ความสําคัญของความเสี่ยงที่มีอยู่โดยการประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact)

5. การตอบสนองความเสี่ยง (Risk Response) เป็นการดําเนินการหลังจากที่องค์กรสามารถระบุความเสี่ยงขององค์กรและประเมินระดับของ ความเสี่ยงแล้ว โดยจะต้องนําความเสี่ยงไปดําเนินการเพื่อลดโอกาสที่จะเกิดความเสี่ยงและลดระดับ ความรุนแรงของผลกระทบให้อยู่ในระดับที่องค์กรยอมรับได้ด้วยวิธีจัดการความเสี่ยงที่เหมาะสมที่สุด และคุ้มค่ากับการลงทุน

6. กิจกรรมควบคุม (Control Activities) การกําหนดกิจกรรมและการปฏิบัติต่างๆ เพื่อช่วยลดหรือควบคุมความเสี่ยง เพื่อสร้างความ มั่นใจว่าจะสามารถจัดการกับความเสี่ยงนั้นได้อย่างถูกต้อง และทําให้การดําเนินงานบรรลุวัตถุประสงค์ และเป้าหมายขององค์กร ป้องกันและลดระดับความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับ

7. สารสนเทศและการสื่อสาร (Information and Communication) องค์กรจะต้องมีระบบสารสนเทศและการติดต่อสื่อสารที่มีประสิทธิภาพ เพราะเป็นพื้นฐาน สําคัญที่จะนําไปพิจารณาดําเนินการบริหารความเสี่ยงต่อไปตามกรอบและขั้นตอนการปฏิบัติที่องค์กร กําหนด

8. การติดตามประเมินผล (Monitoring) องค์กรจะต้องมีการติดตามผล เพื่อให้ทราบถึงผลการดําเนินงานว่าเหมาะสมและสามารถ จัดการความเสี่ยงได้อย่างมีประสิทธิภาพหรือไม

ที่มา www.udru.ac.th