กระบานการจัดทำแผนบริหารความเสี่ยง...ที่ใช้เวลาน้อย

ความเสี่ยง คือ โอกาสที่จะเกิดเหตุการณ์บางอย่าง อาจเกิดขึ้นและมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร เป็นผลที่เกิดจากการเปลี่ยนแปลงที่กระทบเชิงลบต่อเป้าหมายองค์กร

               Risk = Probable frequency + Probable Magnitude of FUTURE LOSS

          ผลกระทบ (Consequence) คือผลลัพธ์หรือผลกระทบจากเหตุการณ์หนึ่งเป็นไปได้ทั้งในทางบวกหรือลบ (Negative or Positive Impact)

          การบริหารความเสี่ยงของมหาวิทยาลัย คือ กระบวนการที่ปฏิบัติโดยความคณะกรรมการบริหารความเสี่ยง ผู้บริหาร อาจารย์ และบุคลากรสายสนับสนุนในมหาวิทยาลัย โดยการกำหนดกลยุทธ์การ     ดำเนินงานที่สามารถบ่งชี้สาเหตุและผลกระทบของความเสี่ยงที่มีต่อมหาวิทยาลัย และสามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อให้บรรลุวัตถุประสงค์ที่ตั้งไว้

          หลักการบริหารความเสี่ยง ประกอบด้วย

          1. R = Return หมายถึง การกล้าเสี่ยง กล้าเปลี่ยนเพื่อให้บรรลุเป้าหมายขององค์กร ควบคุมระดับการสูญเสียในระดับที่เพียงพอต่อการบรรลุเป้าหมายการดำเนินงาน

          2. I = Immunization หมายถึง การลดความสูญเสียให้ต่ำสุด แนะนำให้คำปรึกษาเพื่อปิดช่องว่าง/ความผิดพลาดในระบบงาน

          3. S = System หมายถึง การแนะนำให้คำปรึกษาเพื่อค้นหาโอกาสในการสร้างมูลค่าเพิ่ม/คุณค่าเพิ่มในทางธุรกิจ

          4. K = Knowledge การมีความรู้ความเข้าใจเพื่อสร้างความตระหนัก ในคุณค่า วัฒนธรรมองค์กร และการทำงานเป็นทีมที่กล้าเสี่ยง กล้าเปลี่ยนแปลง กล้าผิดพลาด ความเพียรพยายามและมุ่งสู่ความสำเร็จและองค์กรแห่งการเรียนรู้

 กระบวนการบริหารความเสี่ยง

          ซึ่งมีขั้นตอนสำคัญ ๖ ขั้นตอน ดังนี้

                   ๑. การกำหนดวัตถุประสงค์ (Objective setting)

                   ๒. การระบุความเสี่ยงสำคัญ (Key Risks)

                   ๓. การประเมินความเสี่ยง (Risk Assessment)

                   ๔. การจัดการความเสี่ยง (Risk Treatment Plans)

๕. การรายงานและติดตามผล (Leading KRIs)

๖. ประเมินผลจัดการและบริหารความเสี่ยง ประสิทธิผลของแผน/Lagging KRIs รับได้

          ๒.๑ สภาพแวดล้อมภายในและภายนอก (Internal – External Environment)

                   สภาพแวดล้อมภายในและภายนอกเป็นพื้นฐานที่สำคัญที่มีอิทธิพลต่อการกำหนดกลยุทธ์และเป้าหมาย Key Risk ประเมินความเสี่ยงก่อนและหลัง การควบคุม/บริหาร Risk Treatment Plans (4T) รายงานและติดตามผล (Leading KRIs) ประเมินผลจัดการและบริหารความเสี่ยง ประสิทธิผลองแผน/Lagging KRIs รับได้ ของมหาวิทยาลัย

                   สภาพแวดล้อมภายใน คือ ๑) ด้านการบริหาร พิจารณาจากมาตรฐานกระบวนการปฏิบัติงาน ระบบการควบคุม ๒) ด้านเทคโนโลยี พิจารณาจากต้นทุน ระบบข้อมูลสารสนเทศ ๓) ด้านการบริหารทรัพยากรมนุษย์ พิจารณาจากทัศนคติของบุคลากร ทักษะความสามารถในการทำงาน ประสบการณ์ จำนวนบุคลากร อัตราการเข้าออกของบุคลากร ขวัญและกำลังใจ ๔) ด้านการผลิต พิจารณาจากความพร้อมของอุปกรณ์ ต้นทุน กระบวนการ คุณภาพ ๕) ด้านการเงิน พิจารณาจากแหล่งที่มาของเงินทุน ปริมาณเงินทุน ระยะเวลาการใช้คืนเงินทุน

                   สภาพแวดล้อมภายนอก พิจารณาจากนโยบายของรัฐบาล อัตราการว่างงาน สภาพปัญหา ระดับการศึกษา โครงสร้างประชากร ลักษณะของชุมชน รายได้ การคมนาคมและติดต่อสื่อสาร การใช้เทคโนโลยีในการสื่อสารและแลกเปลี่ยนความรู้ระหว่างองค์กร

          ๒.๒ การกำหนดวัตถุประสงค์ (Objective setting)

                   มหาวิทยาลัยนราธิวาสราชนครินทร์มีการกำหนดประเด็นความเสี่ยงให้สอดคล้องกับพันธกิจและประเด็นยุทธศาสตร์ ดังนี้ พันธกิจ ๑) ผลิตบัณฑิตทุกระดับที่มีคุณภาพ ๒) ผลิตผลงานทางวิชาการ งานสร้างสรรค์และงานวิจัย ๓) บริการวิชาการและวิชาชีพ เพื่อพัฒนาศักยภาพทุกภาคส่วน ๔) ทำนุบำรุงศาสนาและศิลปวัฒนธรรม ๕) การบริหารและการจัดการ

                   ประเด็นยุทธศาสตร์ ๑) การผลิตบัณฑิตให้มีคุณภาพทางด้านวิชาชีพและนวัตกรรม           ๒) ผลิตผลงานทางวิชาการ การวิจัย และนวัตกรรมที่มีคุณภาพ มุ่งสู่ Thailand ๔.๐ ๓) บริการวิชาการ วิชาชีพที่มีมาตรฐานเพื่อตอบสนองความต้องการของชุมชนและสังคมใน ๓ จังหวัดชายแดนใต้ ๔) อนุรักษ์ ส่งเสริม ทำนุบำรุงศิลปวัฒนธรรมภายใต้สังคมพหุวัฒนธรรม ๕) พัฒนาการบริหารจัดการอย่างมีประสิทธิภาพสู่องค์กรชั้นนำ

          ๒.๓ การระบุความเสี่ยงสำคัญ (Key Risks)

                   การระบุความเสี่ยงสำคัญพิจารณาจากปัจจัยความเสี่ยงทุกด้านที่อาจเกิดขึ้น เช่น ความเสี่ยงด้านยุทธศาสตร์ การเงิน บุคลากร การปฏิบัติงาน กฎหมาย รวมทั้งสภาพแวดล้อมภายในและภายนอก เหตุการณ์ร้ายต่างๆ ที่อาจจะเกิดขึ้น จากการเปลี่ยนแปลงและความไม่แน่นอน (Change and Uncertainty)ที่มีผลกระทบในเชิงลบต่อเป้าหมายของมหาวิทยาลัย ทั้งงานยุทธศาสตร์และงานประจำ  ทั้งนี้มหาวิทยาลัยนราธิวาสราชนครินทร์ได้กำหนดประเภทความเสี่ยงออกเป็น ๔ ประเภท ได้แก่

                             ๑. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) คือ ความเสี่ยงที่เกี่ยวข้องกับการกำหนดแผนกลยุทธ์ และนำแผนดังกล่าวไปปฏิบัติอย่างไม่เหมาะสม รวมถึงการเปลี่ยนแปลงของสภาพแวดล้อมภายในและภายนอกอันส่งผลกระทบต่อกลยุทธ์ และแนวทางการดำเนินงานของมหาวิทยาลัย

                             ๒. ความเสี่ยงด้านปฏิบัติการ (Operational Risk) คือ ความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานของแต่ละกระบวนการหรือกิจกรรมภายในของมหาวิทยาลัย รวมทั้งการบริหารจัดการด้านเทคโนโลยีสารสนเทศ และข้อมูลความรู้ต่างๆ เพื่อให้งานบรรลุเป้าหมายที่กำหนดอันจะส่งผลกระทบต่อประสิทธิภาพของกระบวนการทำงาน พันธกิจ และยุทธศาสตร์ของมหาวิทยาลัยในภาพรวม

                             ๓. ความเสี่ยงด้านการเงิน (Financial Risk) คือ ความเสี่ยงที่เกี่ยวข้องกับการบริหารจัดการทางการเงินหรือจากสภาพแวดล้อมภายนอก ที่ไม่ปฏิบัติตามภาระผูกพันที่ตกลงไว้ตามสัญญาอันจะส่งผลกระทบต่อการคงอยู่ รวมทั้งความเสียหายของมหาวิทยาลัย

                             ๔. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk) คือความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบ ข้อบังคับ ของหน่วยงานที่กำกับดูแล เช่น สำนักงานคณะกรรมการการอุดมศึกษา    เป็นต้น รวมทั้งกฎหมายต่างๆ ที่เกี่ยวข้องกับการดำเนินงานของมหาวิทยาลัยที่อาจส่งผลกระทบต่อชื่อเสียงและภาพลักษณ์ของมหาวิทยาลัยโดยรวม

                    แนวทางการระบุความเสี่ยง

                             1. ระบุกิจกรรม/กระบวนการที่เกี่ยวข้องเพื่อให้บรรลุวัตถุประสงค์

                             2. ระบุความเสี่ยงที่มีผลให้ไม่สามารถดำเนินกิจการ ตามแต่ละกิจกรรม ทั้งปัจจัยภายในและภายนอก

                             3. ระบุความเสี่ยงที่เกิดขึ้น เกิดขึ้นได้อย่างไร ทำไมถึงเกิดขึ้น และเกิดขึ้นที่ไหน

          ๒.๔ การประเมินความเสี่ยง (Risk Assessment)

                   การประเมินความเสี่ยง ประกอบด้วย ๒ กระบวนการหลัก ได้แก่

                   ๒.๔.๑ การวิเคราะห์ความเสี่ยง มหาวิทยาลัยนราธิวาสราชนครินทร์ใช้เครื่องมือ Bow Tie ในการระบุความเสี่ยงดังนี้

                             1) กำหนดประเด็นความเสี่ยง

                             2) สาเหตุความเสี่ยง ประกอบด้วย ปัจจัยภายใน (Internal Risk Factors) และปัจจัยภายนอก (External Risk Factors)

                             3) ผลกระทบของความเสี่ยง (Impact) ประกอบด้วย ผลกระทบทางด้านการเงิน (Financial Impact) และผลกระทบทางด้านอื่นๆ (Non-Financial Impact)

                             4) การบริหารจัดการ (Internal Control) ประกอบด้วย วิธีการควบคุม/จัดการ (ที่มีอยู่เดิม) และมาตรการลดผลกระทบ (ที่มีอยู่เดิม)

                             5) แผนการจัดการความเสี่ยง (Risk Treatment Plan) ประกอบด้วย มาตรการ/แนวทางการป้องกัน (ใหม่) และมาตรการในการลดผลกระทบ (ใหม่)

                             6) สัญญาณเตือน (Key Risk Indicator=KRI) ประกอบด้วย Leading และ Lagging

                   ๒.๔.๒ การประเมินความเสี่ยง เป็นการเปรียบเทียบความเสี่ยงที่ได้จากการวิเคราะห์เทียบกับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ในกรณีที่ระดับความเสี่ยงไม่อยู่ในระดับที่ยอมรับได้ของเกณฑ์        จะได้รับการจัดการความเสี่ยง ซึ่งประกอบด้วย

                             ๑) ผลกระทบ (Impact)

                                      ระดับของผลกระทบที่เกิดเหตุการณ์ความเสี่ยงและระดับของความเสียหาย แบ่งเป็น ๕ ระดับ โดยกำหนดนิยามในแต่ละระดับ ดังนี้

                             ๒) โอกาสที่จะเกิดความเสี่ยง (Likelihood)

                                      ระดับของโอกาสที่เกิดเหตุการณ์ความเสี่ยงและระดับของความเสียหาย แบ่งเป็น ๕ ระดับ โดยกำหนดนิยามในแต่ละระดับ ดังนี้

                   นำผลจากการประเมินผลกระทบและโอกาสที่จะเกิดมากำหนดระดับของความเสี่ยง เพื่อแสดงความสัมพันธ์ระหว่างโอกาสที่จะเกิดความเสี่ยงและผลกระทบความเสี่ยงในแผนภาพความเสี่ยง (Risk Map) โดยประกอบด้วย ๒ แกน ได้แก่ ๑) แกนผลกระทบของความเสี่ยง (Risk Impact) ๒) แกนโอกาสที่จะเกิดความเสี่ยง (Risk Likelihood)

                     ในการจัดลำดับความเสี่ยงจะได้รับการประเมินอยู่ ๔ กลุ่ม คือ ความเสี่ยงสูง (แดง) ค่อนข้างสูง (ส้ม) ปานกลาง (เหลือง) ต่ำ (เขียว)

                     จากนั้นคณะกรรมการบริหารความเสี่ยง นำผลจากการจัดลำดับความสำคัญประเด็น     ความเสี่ยงจัดทำ (ร่าง) แผนบริหารความเสี่ยง ประกอบด้วย ยุทธศาสตร์ วัตถุประสงค์ ขั้นตอน/กระบวนการ ประเภทความเสี่ยง ค่าเป้าหมาย หน่วยงานผู้รับผิดชอบ ความเสี่ยง สาเหตุ/ผลกระทบ (ปัจจัยภายใน, ปัจจัยภายนอก) การควบคุมที่มีอยู่ (การควบคุมที่มีอยู่เดิม, มาตรการลดผลกระทบที่มีอยู่เดิม) ระดับความเสี่ยง แผนการควบคุมเพิ่มเติม (มาตรการ/แนวทางป้องกันใหม่, มาตรการลดผลกระทบใหม่) ตัวชี้วัดความเสี่ยง (ชื่อ KRI, เป้าหมาย (ค่าที่เรานับได้), รอบเวลาติดตาม, เจ้าภาพความเสี่ยง)

          ๒.๕ การจัดการความเสี่ยง (Risk Treatment Plans)

                   คณะกรรมการบริหารความเสี่ยงนำเสนอ (ร่าง) แผนบริหารความเสี่ยงต่อที่ประชุมคณะกรรมการบริหารมหาวิทยาลัย และขออนุมัติการจัดสรรทรัพยากรที่จำเป็นต้องใช้ในการดำเนินงาน (ถ้ามี)  ซึ่งมีแนวทางการจัดการความเสี่ยง ดังนี้

                             - การหลีกเลี่ยง (Avoid) เป็นการดำเนินการเพื่อหลีกเลี่ยงเหตุการณ์ที่ก่อให้เกิดความเสี่ยง มักใช้ในกรณีที่ความเสี่ยงมีความรุนแรงสูง ไม่สามารถหาวิธีลด/จัดการให้อยู่ในระดับที่ยอมรับได้

                             - การร่วมจัดการ (Share) เป็นการร่วมหรือถ่ายโอนความเสี่ยงทั้งหมดหรือบางส่วนไปยังบุคคล/หน่วยงานภายนอกองค์กร ให้ช่วยแบกรับภาระความเสี่ยงแทน เช่น การซื้อกรมธรรม์ประกันภัย

                             - การลด (Reduce) เป็นการจัดหามาตรการจัดการ เพื่อลดโอกาสการเกิดเหตุการณ์ความเสี่ยง หรือผลกระทบที่อาจเกิดขึ้น ให้อยู่ในระดับที่ยอมรับได้ เช่น การเตรียมแผนฉุกเฉิน

                             - การยอมรับ (Accept) ความเสี่ยงที่เหลือในปัจจุบันอยู่ในระดับที่ยอมรับได้ โดยไม่ต้องดำเนินการใดๆ เพื่อลดโอกาสหรือผลกระทบที่อาจเกิดขึ้นอีก มักใช้กับความเสี่ยงที่ต้นทุนของมาตรการจัดการสูงไม่คุ้มกับประโยชน์ที่ได้รับ

         ๒.๖ การรายงานและติดตามผล (Leading KRIs)              

                   คณะกรรมการบริหารความเสี่ยง กำกับ ดูแล ติดตาม บริหารความเสี่ยงเพื่อให้มั่นใจว่า     

 - เจ้าภาพความเสี่ยงมีการติดตาม ประเมินสถานการณ์ วิเคราะห์และบริหารความเสี่ยงที่อยู่ภายใต้ความรับผิดชอบของตนอย่างสม่ำเสมอและเหมาะสม                             

 - ได้รับการรายงานถึงความคืบหน้าในการบริหารความเสี่ยงและแนวโน้มของความเสี่ยงต่อผู้บริหารและคณะกรรมการบริหารความเสี่ยง