การบริหารจัดการความเสี่ยง

งานของเซเรีย ใส่ความเห็น

ภาพโดย engin akyurt จาก Pixabay

ภาพโดย engin akyurt จาก Pixabay

การบริหารจัดการความเสี่ยง (Risk Management)

วันนี้ด้วยความอารมณ์ที่ยังตุ่นๆ อยู่ ก็เลยอยากพูดเรื่องการบริหารความเสี่ยงซักหน่อย ถ้าพูดตามคำนิยามที่ค่อนข้างเป็นวิชาการของการบริหารจัดการความเสี่ยง ที่ประกอบด้วย “ความเสี่ยง” และ “โอกาส” นั่นก็คือ

ความเสี่ยง (Risk) คือ เหตุการณ์หรือสถานการณ์ที่อาจเกิดขึ้นและมีผลกระทบในเชิงลบ (Negative Effect) ซึ่งทำให้องค์กรไม่บรรลุวัตถุประสงค์ และสร้างความเสียหายให้กับองค์กร เช่น สินค้าไม่ได้คุณภาพ ลูกค้าไม่พอใจสินค้าและบริการ พนักงานทุจริต เป็นต้น

โอกาส (Opportunity) คือ เหตุการณ์ หรือสถานการณ์ที่อาจเกิดขึ้น และมีผลกระทบในเชิงบวก (Positive Effect) ซึ่งผู้บริหารควรนำไปพิจารณาในการกำหนดกลยุทธ์ เพื่อนำไปปฏิบัติและให้ผลลัพธ์ตามที่ต้องการ เช่น การผลิตสินค้าที่มีคุณภาพ เป็นต้น

ดังนั้น การบริหารจัดการความเสี่ยง (Risk Management) คือ กระบวนการที่ คณะกรรมการ ผู้บริหาร และบุคลากรขององค์กรได้กำหนดขึ้น เพื่อนำไปใช้ในการกำหนดกลยุทธ์ และการวางแผนขององค์กรในทุกระดับ โดยต้องออกแบบให้สามารถระบุเหตุการณ์ที่มีความเป็นไปได้ที่จะมีผลกระทบต่อองค์กร ทั้งในเชิงบวกและเชิงลบ รวมไปถึงกำหนดวิธีการจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อให้เกิดความมั่นใจว่า องค์กรจะสามารถบรรลุวัตถุประสงค์ขององค์กรโดยรวมได้

วัตถุประสงค์ของการบริหารจัดการความเสี่ยง

ตามแนวคิดของ COSO องค์กรนำการจัดการความเสี่ยงมาใช้ เพื่อให้เกิดความมั่นใจว่า จะบรรลุวัตถุประสงค์ในเรื่องดังนี้

  1. วัตถุประสงค์เชิงกลยุทธ์ (Strategic) เป็นวัตถุประสงค์ระดับสูง และต้องสัมพันธ์กับพันธกิจ (Mission) หรือขอบเขตการดำเนินธุรกิจเพื่อให้ประสบความสำเร็จตามวิสัยทัศน์ (Vision) ที่กำหนดไว้
  2. วัตถุประสงค์การดำเนินการ (Operations) เป็นวัตถุประสงค์ของการใช้ทรัพยากรอย่างมีประสิทธิภาพ ประสิทธิผล และคุ้มค่า (เรียกง่ายๆ ก็วัตถุประสงค์ในการปฏิบัติงานของแต่ละหน่วยงาน)
  3. วัตถุประสงค์การรายงาน (Reporting) เป็นวัตถุประสงค์เพื่อความเชื่อถือได้ของรายงาน
  4. วัตถุประสงค์การปฏิบัติตามกฎระเบียบ (Compliance) เป็นวัตถุประสงค์ที่มุ่งให้มีการปฏิบัติตามกฎหมาย และข้อบังคับที่เกี่ยวข้องกับองค์กร ซึ่งเป็นกฎ ระเบียบข้อบังคับของภายนอกองค์กร ไม่ใช่ภายในองค์กร

กระบวนการของการบริหารจัดการความเสี่ยง

องค์กรควรมีการจัดการความเสี่ยงขององค์กรอย่างเป็นขั้นตอนตามลำดับ รวมทั้งต้องทราบถึงความสัมพันธ์ขององค์ประกอบต่างๆ ของการจัดการความเสี่ยงตามแนว COSO

ขั้นตอนการบริหารความเสี่ยงที่สำคัญประกอบด้วย

  1. การระบุความเสี่ยง
  2. การประเมินความเสี่ยง
  3. การจัดการความเสี่ยง

 

y9942

 

Part เม้ามอยด์

จากการทำงานตรวจสอบภายในมา เซเรียพบว่า ขั้นตอนการระบุความเสี่ยงมักเป็นปัญหาสำหรับ Internal Auditor เสมอ (คนอื่นไม่ทราบ แต่เซเรียเป็นปัญหามาก) เนื่องจากการจะพิจารณาว่า ปัจจัยใดคือความเสี่ยงทิ่อาจจะเกิดขึ้นกับการปฏิบัติงานของหน่วยงานนั้นๆ มันไม่ง่ายเลย เพราะผู้ตรวจสอบคงไม่มีทางรู้ดีกว่าผู้ปฏิบัติงานเป็นแน่ แต่บางครั้งผู้ปฏิบัติงานก็มองไม่เห็นว่า สิ่งที่ปฏิบัติอยู่นั้น เป็นความเสี่ยง

ถึงจะมีคนบอกว่า วิธีที่ดีที่สุดสำหรับการระบุความเสี่ยง ก็คือ ผู้ปฏิบัติงานและผู้ตรวจสอบภายในต้องร่วมกันพิจารณาความเสี่ยงที่อาจจะเกิดขึ้น แต่…ในความเป็นจริงมันไม่ง่ายแบบนั้นเลย (-.-!!)

เพราะว่า ผู้ปฏิบัติงานไม่คิดว่าสิ่งที่ผู้ตรวจสอบระบุว่าเป็นความเสี่ยง คือความเสี่ยงของเขา (เอ๊ะ ยังไง ?)

ยกตัวอย่างง่ายๆ:

แผนกจัดส่งสินค้า

  • ความเสี่ยง คือ การขนส่งสินค้าไปให้กับลูกค้าไม่ทันเวลา แต่…พอคุยกับผู้ปฏิบัติงาน ผู้ปฎิบัติงานบอกว่า มันไม่ใช่ความเสี่ยง เพราะเขาขนสินค้าไปให้ถึงมือลูกค้าตลอด ไม่เคยขาดส่งสักครั้ง เอิ่ม….ละเคสที่ส่งช้ากว่าเวลาที่กำหนดทำให้ลูกค้าร้องเรียนมาล่ะคะ (กว่าจะปรับจูนความเข้าใจตรงกันได้ เสียเวลาไปครึ่งวัน)

แผนกบัญชีลูกหนี้

  • ความเสี่ยง คือ การเก็บชำระหนี้เกินกว่ารอบระยะเวลาที่กำหนด ผู้ปฏิบัติงานก็เถียงหัวชนฝาว่า ไม่จริ๊ง ไม่จริง ฉันเก็บหนี้ได้ครบตลอดเวลานะ (ค่ะ เก็บได้ครบค่ะ แต่มันเกินระยะเวลา Credit term แล้วค่ะ ป้า)

ปัญหาอีกเรื่อง ที่ค่อนข้างยากสำหรับการทำเรื่องบริหารความเสี่ยงก็คือ การประเมินความเสี่ยงค่ะ เหตุผลก็คือ ผู้ปฎิบัติงานมักให้คะแนนความเสี่ยงของแผนกตนเองที่ระดับยอมรับได้ (ต่ำสุด) ไม่ก็คะแนนปานกลาง ประหนึ่งหน่วยงานตนเองมีความเสี่ยงน้อยมากกกกกกก ทำให้บางครั้ง หน่วยงานไม่ต้องจัดทำแผนการจัดการความเสี่ยง ทั้งที่จริงแล้ว มูลค่าความเสียหายที่เกิดขึ้นอาจจะสูงมาก แต่ผู้ปฏิบัติงานมักมองไม่เห็นถึงข้อนี้ หรือพยายามบิดเบือนข้อเท็จจริง เพื่อให้หน่วยงานของตนเองผ่าน KPI ที่ตั้งไว้

เรื่องการบริหารความเสี่ยงไม่ใช่เรื่องยาก เพราะในชีวิตประจำวันของเราก็ใช้กันอยู่แล้ว อย่างเช่น กลัวไปทำงานสาย เราก็ต้องตื่นแต่เช้าเพื่อไปให้ถึงที่ทำงานให้ทันเวลา ความเสี่ยงก็คือ ไปทำงานสาย วิธีจัดการความเสี่ยงก็คือ ตื่นแต่เช้า กิจกรรมการควบคุมความเสี่ยงก็คือ ตั้งนาฬิกาปลุก

ปัญหาอีกเรื่อง ที่ค่อนข้างยากสำหรับการทำเรื่องบริหารความเสี่ยงก็คือ การประเมินความเสี่ยงค่ะ เหตุผลก็คือ ผู้ปฎิบัติงานมักให้คะแนนความเสี่ยงของแผนกตนเองที่ระดับยอมรับได้ (ต่ำสุด) ไม่ก็คะแนนปานกลาง ประหนึ่งหน่วยงานตนเองมีความเสี่ยงน้อยมากกกกกกก ทำให้บางครั้ง หน่วยงานไม่ต้องจัดทำแผนการจัดการความเสี่ยง ทั้งที่จริงแล้ว มูลค่าความเสียหายที่เกิดขึ้นอาจจะสูงมาก แต่ผู้ปฏิบัติงานมักมองไม่เห็นถึงข้อนี้ หรือพยายามบิดเบือนข้อเท็จจริง เพื่อให้หน่วยงานของตนเองผ่าน KPI ที่ตั้งไว้

เรื่องการบริหารความเสี่ยงไม่ใช่เรื่องยาก เพราะในชีวิตประจำวันของเราก็ใช้กันอยู่แล้ว อย่างเช่น กลัวไปทำงานสาย เราก็ต้องตื่นแต่เช้าเพื่อไปให้ถึงที่ทำงานให้ทันเวลา ความเสี่ยงก็คือ ไปทำงานสาย วิธีจัดการความเสี่ยงก็คือ ตื่นแต่เช้า กิจกรรมการควบคุมความเสี่ยงก็คือ ตั้งนาฬิกาปลุก

เห็นมั้ยคะ ?

เรื่องการบริหารจัดการความเสี่ยงเป็นเรื่องที่ง่าย (ถ้าทำคนเดียว) ขอแค่มีความเข้าใจว่า อะไรคือความเสี่ยง อะไรคือการควบคุมความเสี่ยงเพื่อให้ความเสี่ยงลดน้อยลง โดยวิธีที่ใช้ในการจัดการความเสี่ยง ก็มีอยู่ 5 วิธีคือ ยอมรับ, ลด, โอน, หลีกเลี่ยง และคงความเสี่ยงไว้

ซึ่งกรณีความเสี่ยงแบบใด ต้องใช้วิธีการจัดการแบบไหน ก็ต้องพิจารณากันเองนะคะ ว่า วิธีการจัดการความเสี่ยงนั้นๆ เหมาะสม หรือไม่เหมาะสมอย่างไร โดยพิจารณาข้อดีข้อเสียที่จะเกิดขึ้นค่ะ

แต่ตอนนี้เซเรียขอไปบริหารความเสี่ยงของตนเองก่อนนะคะ

ไว้ถ้ามีเวลาว่างจะมาเล่าเรื่องอื่นที่เกี่ยวกับการตรวจสอบให้ฟังอีกค่ะ

By : เซเรีย

May

Psychometerer May

ใส่ความเห็น