Enterprise Risk Management

งานนำเสนอเรื่อง: "Enterprise Risk Management"— ใบสำเนางานนำเสนอ:

1 Enterprise Risk Management
การบริหารจัดการความเสี่ยงองค์กร สถาบันบัณฑิตพัฒนบริหารศาสตร์ National Institute of Development Administration (NIDA) วันศุกร์ที่ 26 กุมภาพันธ์ :00-17:00 น. 09/11/61

2 วัตถุประสงค์การเรียนรู้
เพื่อให้ทราบพัฒนาการกรอบแนวคิดการควบคุมภายในและการบริหารความเสี่ยงของ COSO เพื่อให้มีความรู้ความเข้าใจในหลักการและองค์ประกอบของกรอบการบริหารความเสี่ยงองค์กร COSO Enterprise Risk Management (2004) เพื่อให้เข้าใจกระบวนการและแนวทางเบื้องต้นในการจัดระบบการบริหารความเสี่ยงที่มีประสิทธิภาพในองค์กร 09/11/61

3 แนะนำวิทยากร ไพรัช ศรีวิไลฤทธิ์ CIA CISA CBA CCSA CFSA CISSP CFE
หัวหน้าตรวจสอบภายใน บมจ. ธนาคารทิสโก้ ปริญญาตรีวิศวกรรมศาสตร์ จุฬาฯ (2528) ปริญญาโทบริหารธุรกิจ ธรรมศาสตร์ฯ (2533) IIA’s EIAP รุ่นที่ 7 จุฬาฯ (2546) ประสบการณ์ด้านวิศวกรรม 5 ปี ประสบการณ์ด้านการเงินในทิสโก้ 19 ปี ประธาน ชมรมผู้ตรวจสอบภายในธนาคารและสถาบันการเงิน วิทยากร สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย 09/11/61

4 กรอบแนวคิดการควบคุมภายใน COSO (1992)
09/11/61

5 แนวคิด วัตถุประสงค์ กระบวนการ ความเสี่ยง การควบคุม และ การกำกับดูแล
Governance กระบวนการ Process วัตถุประสงค์ Objective ความเสี่ยง Risk การควบคุม Control 09/11/61

6 วิวัฒนาการ 1977 : Foreign Corrupt Practice Act
1985 : จัดตั้ง National Commission on Fraudulent Financial Reporting 1987 : จัดตั้ง Committee of Sponsoring Organization of the Treadway Commission (COSO) 1992 : COSO เสนอรายงาน Internal Control – Integrated Framework 2004 : COSO เสนอรายงาน Enterprise Risk Management Framework 09/11/61

7 COSO Internal Control – Integrated Framework
สภาพแวดล้อมการควบคุม (Control Environment) การประเมินความเสี่ยง (Risk Assessment) กิจกรรมการควบคุม (Control Activities) สารสนเทศและการสื่อสาร (Information and Communication) การติดตามผล (Monitoring) 09/11/61

8 กรอบแนวคิดการบริหารความเสี่ยงองค์กร COSO ERM (2004)
09/11/61

9 ทำไมต้องมีการบริหารความเสี่ยง
เป็นหนึ่งใน หลักการกำกับดูแลกิจการที่ดี 15 ข้อ ซึ่ง ตลท. กำหนดให้บริษัทจดทะเบียนฯ ปฏิบัติตาม เป็น หน้าที่ของคณะกรรมการบริษัท ที่ต้องจัดให้มีระบบบริหารความเสี่ยงเพื่อสร้าง มูลค่าเพิ่ม ให้กับองค์กรและผู้ถือหุ้นของบริษัทในระยะยาว สาเหตุของ ความล้มเหลว ขององค์กรส่วนหนึ่งมาจากการที่ไม่มีระบบบริหารความเสี่ยง 9 09/11/61 09/11/61

10 Inherent Risk & Residual Risk
10 09/11/61 09/11/61

11 Risk Management Concept
การบริหารเพื่อลดความเสี่ยงลงมาอยู่ในระดับที่ยอมรับได้ต้องพิจารณาความคุ้มค่าระหว่าง ต้นทุนกับประโยชน์ Inherent Risk Effective Control Effective Control Residual Risk Treatment Plan ระดับความเสี่ยง ที่ยอมรับได้ (Risk Appetite) Residual Risk 11 09/11/61 09/11/61 11

12 COSO ERM 2004 เสนอกรอบในการ บริหารจัดการความไม่แน่นอน ทั้งความเสี่ยงและโอกาส ได้อย่างมีประสิทธิผล และช่วยเพิ่มความสามารถแก่ผู้บริหารในการ สร้างคุณค่า ประกอบด้วยหลักการ (Principle) คำศัพท์/คำนิยาม (Common Terminology) และแนวทางการนำระบบการบริหารความเสี่ยงไปปฏิบัติ (Implementation Guidance) 12 09/11/61 09/11/61 12

13 นิยาม COSO Enterprise Risk Management (2004)
"Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise. It is designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives." 13 09/11/61 09/11/61 13

14 แนวคิดหลัก เป็น การปฏิบัติอย่างต่อเนื่อง เสมือนเป็นกิจกรรมการทำงานอย่างหนึ่งขององค์กร ความสำเร็จของการบริหารความเสี่ยงขึ้นกับ คนในองค์กร เป็นส่วนหนึ่งของกระบวนการ กำหนดกลยุทธ์ พิจารณาความเสี่ยงในลักษณะของ Portfolio ทั้งองค์กรตั้งแต่ระดับกิจกรรมจนถึงหน่วยธุรกิจและโครงการ ระบุ ประเมิน และบริหารความเสี่ยง ให้อยู่ในระดับที่องค์กรยอมรับได้ (Risk Appetite) ช่วย เพิ่มความเชื่อมั่น ว่าองค์กรจะสามารถบรรลุวัตถุประสงค์ เป้าหมายที่กำหนด 14 09/11/61 09/11/61 14

15 ERM vs. Control Framework
Enterprise Risk Management Expands on elements Internal environment Objective setting Event identification Risk assessment Risk response Control activities Information & communication Monitoring Internal Control Framework Core elements Control environment Risk assessment Control activities Information & communication Monitoring 09/11/61

16 COSO Frameworks 09/11/61 This text is just greeking.
Global competitive energy company with extensive operations in North America, Europe, and Asia: Leading positions in both power generation and energy risk management and marketing Develops, constructs, owns, and operates power plants Sells wholesale electricity, natural gas, and other energy commodities 09/11/61

17 องค์ประกอบหลักของ ERM
1. Internal Environment สภาพแวดล้อมภายในองค์กร เป็น องค์ประกอบพื้นฐาน ของการบริหารความเสี่ยงองค์กร เป็นตัวกำหนด โครงสร้างและวินัย ในการทำงาน สภาพแวดล้อมภายในองค์กร ส่งผลต่อวิธีการกำหนดกลยุทธ์ และเป้าหมายการดำเนินธุรกิจ วิธีการจัดโครงสร้างของกิจกรรมทางธุรกิจ รวมทั้งวิธีการระบุ ประเมิน และ จัดการกับความเสี่ยง 17 09/11/61 09/11/61

18 สภาพแวดล้อมภายในองค์กร
จิตสำนึกและบรรยากาศของการควบคุมภายในจากผู้บริหารระดับสูง ความซื่อสัตย์สุจริตและความมีจริยธรรม ปรัชญาและรูปแบบการบริหารของฝ่ายบริหาร โครงสร้างขององค์กร การมอบหมายอำนาจและภาระหน้าที่ นโยบายและการปฏิบัติทางด้านทรัพยากรบุคคล ความสามารถในหน้าที่ของบุคลากร 18 09/11/61 09/11/61

19 องค์ประกอบหลักของ ERM
2. Objective Setting กำหนดวัตถุประสงค์ องค์กรต้องกำหนดวัตถุประสงค์ เป้าหมายการดำเนินธุรกิจ ก่อนที่จะระบุเหตุการณ์ความเสี่ยง ที่อาจส่งผลกระทบต่อ ความสำเร็จของวัตถุประสงค์ เป้าหมายนั้น 19 09/11/61 09/11/61

20 ความสัมพันธ์ของวิสัยทัศน์ กลยุทธ์ และวัตถุประสงค์
ความสัมพันธ์ของวิสัยทัศน์ กลยุทธ์ และวัตถุประสงค์ 1. บริหารไม่ให้อัตราการลาออกของพนักงานสาขาเกิน 10% 2. ว่าจ้างพนักงานใหม่ให้ได้อีก 100 อัตราในปี2548 วัตถุประสงค์ของหน่วยงาน HR พัฒนาระบบงานและโครงข่ายรองรับการเปิดสาขาใหม่ 15 สาขา วัตถุประสงค์ของหน่วยงาน IT 1. เปิดสาขาใหม่ให้ได้ 15 สาขาในปี2548 2. บริหารต้นทุนสาขาให้ได้ 3. สรรหาผู้จัดการสาขาอีก 15 คน วัตถุประสงค์ของหน่วยงาน บริหารสาขา 1. รักษาโครงสร้างต้นทุนของการบริหารสาขาให้ได้เท่าเดิม 2. หาลูกค้าใหม่ในพื้นที่ที่ขยายสาขา กลยุทธ์ 1. รักษาอัตราผลตอบแทนจากเงินลงทุนให้ได้อย่างน้อย 15% 2. ขยายฐานลูกค้า 30% ใน 3 ปีโดยขยายสาขาอีก 30% วัตถุประสงค์ เชิงกลยุทธ์ เป็นผู้นำในการให้บริการประกันภัยอย่างครบวงจรในประเทศไทย วิสัยทัศน์ 20 09/11/61 09/11/61 20

21 องค์ประกอบหลักของ ERM
3. Event Identification ระบุเหตุการณ์ความเสี่ยง ระบุเหตุการณ์ความเสี่ยง หรือความไม่แน่นอนที่อาจเกิดขึ้น โดยพิจารณาจากปัจจัยทั้งภายในและภายนอกองค์กร ปัจจัยภายนอก อาทิ สภาวะเศรษฐกิจ การเมือง การเปลี่ยนแปลงทางเทคโนโลยี ภาวะแวดล้อมทางธรรมชาติ ปัจจัยภายใน อาทิ บุคลากร กระบวนการ เทคโนโลยี 21 09/11/61 09/11/61

22 แหล่งที่มาของความเสี่ยง
Commercial and legal relationships Economic circumstances Human behavior Natural events Political circumstances Technology and technical issues Management activities and controls Individual activities. 22 09/11/61 09/11/61

23 วิธีการและเครื่องมือที่ใช้ในการระบุความเสี่ยง
Checklists/Questionnaire/Surveys Judgment base on experience and records Flow charts/Process Flow Analysis Brainstorming System Analysis, Scenario analysis Workshop Audit and other recommendations Loss event data methodologies Event / Risk inventories 23 09/11/61 09/11/61

24 การระบุความเสี่ยง 2. ว่าจ้างพนักงานใหม่ให้ได้อีก 100 อัตราในปี2548
2. ว่าจ้างพนักงานใหม่ให้ได้อีก 100 อัตราในปี2548 วัตถุประสงค์ของหน่วยงานบุคคล 1. ขยายฐานลูกค้าให้ได้อีก 30%ภายใน 3 ปีโดยการขยายสาขาอีก 30% วัตถุประสงค์ เชิงกลยุทธ์ เป็นผู้นำในการให้บริการประกันภัยอย่างครบวงจรในประเทศ วิสัยทัศน์ 1. ภาวะตลาดแรงงานไม่เอื้ออำนวยทำให้อาจไม่สามารถหาพนักงานได้ครบ 2. Needs/Job specification ไม่ชัดเจนทำให้หาพนักงานที่คุณสมบัติไม่ตรงตามความต้องการ ความเสี่ยง ที่อาจเกิดขึ้น 10% จำนวนพนักงานใหม่ที่ว่าจ้าง คน Tolerance จำนวนพนักงาน หน่วยวัด 24 09/11/61 09/11/61 24

25 Example of IT Risks Reliability & Integrity Effectiveness & Efficiency
Confidentiality Availability Poor management (planning & policy) System (H/W & Technology Skills of IT and non-IT Processing management (design & executions) System design (input, process & output) Errors Security management (policy & procedure) System (H/W & Technology & network) User awareness Hackers, Viruses System & network design Hardware fails External sabotage Viruses & Attack No BCP, backup & recovery Compliance Unaware or not understand No monitoring 09/11/61

26 Leading Risk Indicator and Escalation Trigger
Escalation Trigger คืออัตราที่ที่ทำให้ Leading Risk Indicator สูงหรือเกินกว่าระดับที่กำหนดโดยหน่วยงานหรือผู้บริหารซึ่งต้องมีการรายงานเป็น exception report 26 09/11/61 09/11/61 26

27 Leading Risk Indicator and Escalation Trigger
ผลการประเมินความพึงพอใจของพนักงานที่เป็น High Performer ออกมาอยู่ในระดับต่ำ ขวัญและกำลังใจพนักงาน พนักงานที่เป็น High Performer ลาออก อัตราการลาออกไม่เกิน 10% Tolerance 2% อัตราการลาออกของพนักงาน รักษาพนักงานที่มีคุณภาพและผลงานดี(High Performer) Escalation Trigger Leading Indicator ความเสี่ยง Tolerance/Target หน่วยวัด วัตถุประสงค์ของหน่วยงาน 27 09/11/61 09/11/61 27

28 องค์ประกอบหลักของ ERM
4. Risk Assessment การประเมินความเสี่ยง การประเมินความเสี่ยงช่วยให้องค์กรทราบว่า เหตุการณ์ความเสี่ยง/ความไม่แน่นอนนั้นจะส่งผลกระทบต่อการบรรลุเป้าหมายขององค์กรอย่างไร โดยการวิเคราะห์กระทำใน 2 ด้าน คือ โอกาสที่จะเกิด เหตุการณ์ความเสี่ยง (Likelihood) ผลกระทบหากเกิด เหตุการณ์ความเสี่ยง (Impact) 28 09/11/61 09/11/61

29 ความเสี่ยงคืออะไร ความเสี่ยง (Risk) คือ เหตุการณ์หรือการกระทำอย่างใดอย่างหนึ่งที่อาจจะเกิดขึ้น (Potential Event) และมีผลกระทบให้เกิดความเสียหายหรือทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร เราสามารถวัดความเสี่ยงโดยพิจารณาจาก ผลกระทบ (Impact) ต่อเป้าหมาย กลยุทธ์ และวัตถุประสงค์ขององค์กร และ ความน่าจะเป็นไปได้ (Likelihood) ที่จะเกิดขึ้น เหตุการณ์ที่อาจจะเกิดขึ้นแล้วมีผลทำให้เกิดผลดีหรือทำให้องค์กรบรรลุวัตถุประสงค์คือ โอกาส (Opportunity) 29 09/11/61 09/11/61

30 ตัวอย่างการวัดโอกาสที่อาจเกิดขึ้น
โอกาสที่อาคารจะถูกไฟไหม้ โอกาสที่ระบบคอมพิวเตอร์ติดไวรัส โอกาสที่อัตราดอกเบี้ยจะเพิ่ม 1% โอกาสที่จะเกิดแผ่นดินไหว โอกาสที่พนักงานลาออก 10% 1 5 1 5 1 5 1 5 1 5 30 09/11/61 09/11/61

31 ตัวอย่างการวัดผลกระทบ
ผลกระทบที่อาคารถูกไฟไหม้ ผลกระทบจากระบบคอมพิวเตอร์ติดไวรัส ผลกระทบที่อัตราดอกเบี้ยขึ้นอีก 1% ผลกระทบจากแผ่นดินไหว ผลกระทบที่พนักงานลาออก 10% 1 5 1 5 1 5 1 5 1 5 31 09/11/61 09/11/61

32 การวัดผลกระทบที่อาจจะเกิดขึ้น
Assets and resource base of the organization, including personnel Revenue and entitlements Costs of activities, both direct and indirect People Community Performance Timing and schedule of activities The environment Intangibles such as reputation, goodwill, quality of life Organizational behavior 32 09/11/61 09/11/61

33 วัดความเสี่ยงได้อย่างไร
Level of Risk โอกาสที่จะเกิดขึ้น ความรุนแรง ของผลกระทบ 1-เกิด น้อยมาก 2-เกิด ขึ้นน้อย 3-เกิด ขึ้นบ้าง 4-เกิด บ่อยครั้ง 5-เกิด ประจำ มาก น้อย 5 - รุนแรงมาก H E 4 - รุนแรง 3 - ปานกลาง M 2 - น้อย L 1 - น้อยมาก มาก น้อย 33 09/11/61 09/11/61

34 กำหนดนโยบายในการจัดการความเสี่ยง
รหัส ระดับความเสี่ยง มาตรการจัดการ E Extreme กำหนดแผนจัดการโดยเร่งด่วน H High กำหนดผู้บริหารระดับสูงติดตามอย่างใกล้ชิด M Moderate กำหนดผู้บริหารระดับฝ่ายดูแลรับผิดชอบ L Low กำหนดมาตรการควบคุมในกระบวนการปฏิบัติงาน 34 09/11/61 09/11/61

35 องค์ประกอบหลักของ ERM
5. Risk Response ระบุทางเลือกจัดการความเสี่ยง คัดเลือกทางเลือกที่เหมาะสมและนำไปปฏิบัติ โดยถือเป็นส่วนหนึ่งของการบริหารความเสี่ยงองค์กร มี 4 แนวทางหลัก การ หลีกเลี่ยง ความเสี่ยง (Avoidance Response) การ ลด/ควบคุม ความเสี่ยง (Reduction Response) การ หาผู้ร่วมรับผิดชอบ ความเสี่ยง (Sharing Response) การ ยอมรับ ความเสี่ยง (Acceptance Response) 35 09/11/61 09/11/61

36 รักษา สภาพแวดล้อม การควบคุมที่ดี ให้ดำรงไว้
Risk Quadrant Impact vs. Likelihood 100 High ลดความเสียหาย ป้องกัน Mandatory Policies Independent confirmation of compliance Contingency Plans Prompt reporting of breaches and follow up I m p a c t 50 ค้นหา รักษา สภาพแวดล้อม การควบคุมที่ดี ให้ดำรงไว้ Minimum control standards Monitoring for lapses Sanctions Low 100 50 High Likelihood 36 09/11/61 09/11/61 36

37 เทคนิคในการลดผลกระทบ
Contingency planning Contractual arrangements Contract conditions Design features Disaster recovery plans Engineering and structural barriers Fraud control planning Minimizing exposure to resources of risk Portfolio planning Pricing policy and control Separation or relocation of an activity and resources Public relations 37 09/11/61 09/11/61

38 เทคนิคในการลดโอกาสที่จะเกิดขึ้น
Audit and compliance programs Contract conditions Formal reviews of requirements, specifications, design, engineering and operations Inspection and process controls Investment and portfolio management Project management Preventative maintenance Quality assurance, management, and standards Research and development, technological development Structured training and other programs Supervision Testing Organizational arrangement Technical controls 38 09/11/61 09/11/61

39 องค์ประกอบหลักของ ERM
6. Control Activities กิจกรรมควบคุม นโยบายและกระบวนการ ที่จะช่วยให้แน่ใจว่า วิธีจัดการ ความเสี่ยงที่กำหนดในขั้นตอนก่อนหน้านั้น ไดถูกนำไปปฏิบัติอย่างถูกต้อง องค์กรต้องกำหนดกิจกรรมควบคุมนี้ อย่างทั่วถึงทั้งองค์กร ทุกระดับชั้น และทุกงาน (All Functions) 39 09/11/61 09/11/61

40 นิยามการควบคุมภายใน COSO Internal Control – Integrated Framework 1992
"การควบคุมภายใน คือ กระบวนการที่คณะกรรมการ ผู้บริหาร พนักงาน กำหนดขึ้นเพื่อสร้างความเชื่อมั่นอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์เกี่ยวกับ 1. ประสิทธิภาพประสิทธิผลของการดำเนินงาน 2. ความเชื่อถือได้ของรายงานทางการเงิน และ 3. การปฏิบัติตามกฎหมายและกฎระเบียบที่เกี่ยวข้อง" 40 09/11/61 09/11/61 40

41 แนวคิดหลัก เป็น “กระบวนการ” ไม่ใช่เป้าหมาย ทุกคนในองค์กรมีส่วนร่วม
ให้ความเชื่อมั่นอย่างสมเหตุสมผล ไม่มี การควบคุมที่สมบูรณ์แบบ ฝังอยู่ในกระบวนการปฏิบัติงาน ต้นทุน vs ประโยชน์ที่ได้รับ ความเสี่ยงและการควบคุม 41 09/11/61 09/11/61 41

42 วัตถุประสงค์การควบคุม
C ompliance A ccomplishment of Goals & Objectives R eliability & Integrity of Information E conomical & Efficient Use of Resources S afeguarding of Assets 42 09/11/61 09/11/61

43 ประเภทของกิจกรรมการควบคุม
Preventive Controls Detective Controls Directive Controls IT General Controls Preventive, Detective or Directive IT Application Controls 09/11/61

44 ตัวอย่างกิจกรรมควบคุม
การกำหนด นโยบาย และวิธีปฏิบัติงานที่ชัดเจน การ อนุมัติ โดยผู้มีอำนาจก่อนทำรายการ การ บันทึก รายการอย่างถูกต้องแม่นยำ ธุรกรรมได้รับการ รายงาน อย่างเหมาะสม การ สอบทาน โดยผู้บริหารระดับกลาง การควบคุมการ ประมวลผล ข้อมูล การควบคุมความ ปลอดภัย ของทรัพย์สินและข้อมูล การ แบ่งแยกหน้าที่ สำคัญออกจากกัน การใช้ ดัชนีวัดผล การดำเนินงาน การจัดทำ หลักฐานเอกสาร 44 09/11/61 09/11/61

45 การควบคุมที่ดี ไม่เสียค่าใช้จ่ายเกินควร ควบคุมในจุดที่สำคัญ
เหมาะสมและเข้าใจง่าย สอดคล้องกับเป้าหมาย ทันกาล 09/11/61

46 การควบคุมเชิงป้องกัน
ป้องกันสิ่งที่ไม่พึงประสงค์ ข้อผิดพลาด ทุจริต ระบบคอมพิวเตอร์ ตรวจเลขที่บัญชี ที่พนักงานคีย์เข้า ทำลายเอกสาร ที่มีข้อมูลสำคัญเพื่อกันการรั่วไหล พนักงานอ่านและ ทำความเข้าใจ นโยบายและคู่มือ ผู้บริหาร อนุมัติ คำขอจัดซื้อ ระบบ ให้สิทธิ การเข้าถึงข้อมูลเฉพาะผู้มีอำนาจหน้าที่ อาคารและระบบความปลอดภัย จำกัด การเข้าถึงสินทรัพย์ ไม่วาง อาหารและเครื่องดื่มใกล้อุปกรณ์คอมพิวเตอร์ สำรองข้อมูล เป็นระยะตามระดับความสำคัญ เก็บ รหัสผ่าน เป็นความลับ ติดตั้งและใช้งานซอฟแวร์ ป้องกันไวรัส 46 09/11/61 09/11/61

47 องค์ประกอบหลักของ ERM
7. Information and Communication สารสนเทศ ตองระบุ สารสนเทศที่จำเป็น ทั้งจากภายในและภายนอก และมีระบบสื่อสารไปยังบุคลากรในองค์กร เพื่อปฏิบัติ ครอบคลุม การสื่อสาร บน-ล่าง ล่าง-บน และระหว่างหน่วยงาน สำคัญและจำเป็นในทุกระดับชั้นขององค์กร เนื่องจากใช้สารสนเทศระบุ ประเมิน และกำหนดวิธีจัดการกับความเสี่ยง และเพี่อดำเนินงานอื่น ๆ ให้บรรลุเป้าหมาย 47 09/11/61 09/11/61

48 Information Flow Up: Down: Progress reports Goals / objectives Top
Problem identification Improvement suggestions Down: Goals / objectives Directives Policies / procedures Top Management Across: Daily work information —all levels Senior Managers Supervisors Line Staff 48 09/11/61 09/11/61

49 สารสนเทศที่ดี สารสนเทศ (Information) สัญญาณเตือนประกอบการกำกับสั่งการ
- เหมาะสม - ถูกต้องสมบูรณ์ - เป็นปัจจุบัน - ทันเวลา - สะดวกในการเข้าถึง การสื่อสาร (Communication) ควรมีการสื่อสารสองทางเพื่อความเข้าใจระหว่างผู้รับผิดชอบในงานที่เกี่ยวข้องกัน 49 09/11/61 09/11/61

50 องค์ประกอบหลักของ ERM
8. Monitoring ระบบติดตามการบริหารความเสี่ยงองค์กร กระบวนการประเมิน ความมีอยู่และคุณภาพขององค์ประกอบการบริหารความเสี่ยงทั้ง 7 ข้อ ข้างต้น ทำได้ 2 ลักษณะ การ ประเมินแยกต่างหาก (Separate Evaluation) การ ติดตาม/ประเมินต่อเนื่อง (Ongoing Activities) แบบ Real-time และตอบสนองอย่างรวดเร็วต่อการเปลี่ยน แปลงของเงื่อนไข/สภาพแวดล้อม จึงมีประสิทธิภาพกว่าวิธีแรก 50 09/11/61 09/11/61

51 ตัวอย่างกิจกรรมการติดตาม
ระหว่างการดำเนินงาน สังเกต ติดตาม ความคืบหน้า การประเมินผล ตามช่วงเวลา การตรวจสอบโดยผู้ตรวจสอบภายใน การประเมินการควบคุมด้วยตนเอง ประชุมเชิงปฏิบัติการร่วมกันระหว่างผู้บริหาร ผู้ปฏิบัติงาน ผู้มีความรู้ด้านการควบคุม และผู้ที่เกี่ยวข้อง การรายงานข้อบกพร่องและการสั่งการแก้ไข ความแตกต่างระหว่างผลการดำเนินงานจริง กับตัวเลขตามประมาณการ ระบุผู้รับผิดชอบ วิธีการแก้ไข และกำหนดเวลาข้อบกพร่อง 51 09/11/61 09/11/61

52 (Information – Communication
COSO ERM Road Map Environment Objectives Assessment (Identify & Assess) Governance (Monitoring) Respond (Control Activities & Response) Monitor (Information – Communication & Monitoring) 09/11/61

53 ตัวอย่าง Risk Map 09/11/61 LIKELIHOOD Risk Level : T C A P M I / E C N
5 H G I H T C A P M I / E C N 3 E U Q E S N O C W O L 1 3 5 LOW HIGH LIKELIHOOD Risk Level : Extreme High Moderate Low 09/11/61

54 แนวทางในการ จัดระบบการบริหารความเสี่ยง
มีวิธีและแนวทางที่หลากหลาย ขึ้นอยู่กับความพร้อม ขนาดและความซับซ้อนขององค์กร ความ อุตสาหกรรม วัฒนธรรมองค์กร จัดให้มี บรรยากาศและวัฒนธรรม ที่สนับสนุนการบริหารความเสี่ยง เช่น จรรยาบรรณ การสื่อสารสองทางที่มีประสิทธิภาพ ความรับผิดรับชอบ ผู้บริหารรับฟังการท้วงติงถึงความเสี่ยง จัดตั้ง ทีมงานบริหารความเสี่ยง โดยมีตัวแทนของแต่ละฝ่ายเพื่อศึกษา หลักการและแนวทางการบริหารความเสี่ยงให้เข้าใจตรงกันและใช้ภาษาเดียวกัน 54 09/11/61 09/11/61 54

55 แนวทางในการ จัดระบบการบริหารความเสี่ยง
การสนับสนุนจาก คณะกรรมการและผู้บริหารระดับสูง เลือก Project Champion และหัวหน้าคณะทำงาน แผนการพัฒนา ระบบบริหารความเสี่ยง กำหนดนโยบาย โครงสร้าง และความรับผิดชอบ กระบวนการสอดคล้องกับวัฒนธรรมและปรัชญาขององค์กร อบรมสื่อสารให้ทุกคนเข้าใจตรงกัน ดำเนินการประเมินและบริหาร บริหาร ความเสี่ยงที่อยู่ในระดับสูง ก่อนระดับฝ่าย เลือกบริษัทหรือโครงการเป็น Pilot Project 55 09/11/61 09/11/61 55

56 Risk Management Structure
Direction & Strategy Oversight Board of Directors Nomination & Compensation Committee Executive Board Audit Committee Nomination Compensation Business Performance Risk Control Conformity Disclosure Adequacy of Internal Control Strategy Enterprise Risk Specific-Area Risk Internal Audit Management Committee Advisory Committees Planning & Budgeting Business Lines Risk Management Committee Risk Management Function Operation Risk Management Business Lines Credit Committee Problem Loan Committee Compliance Committee Compliance & Internal Control Technology Committee Business Lines Adequacy of Internal Controls Compliance with policies, plans, procedures and business objectives 09/11/61

57 ตัวอย่างการบริหารความเสี่ยง # 1
ความเสี่ยง : นักลงทุนอาจไม่ลงทุนในหุ้นของบริษัทเนื่องจากขาดความเชื่อมั่นในอุตสาหกรรมหรือใน Business Model ของบริษัท มีผลทำให้ราคาหุ้นของบริษัทไม่สะท้อนฐานะที่แท้จริง วิธีการบริหารความเสี่ยง: ปรับกลยุทธ์และแนวทางการดำเนินธุรกิจและสื่อสารให้นักลงทุนรับทราบโดย กระจายการลงทุนไปในธุรกิจใหม่ กำหนดนโยบายให้บริษัทจ่ายปันผล บริหารจัดการ Non-performing Assets บริหาร Performing Assets ให้ดียิ่งขึ้น ปรับปรุงระบบการกำกับดูแลกิจการให้ดียิ่งขึ้น 09/11/61

58 ตัวอย่างการบริหารความเสี่ยง # 2
ความเสี่ยง : บริษัทอาจไม่สามารถหาธุรกิจใหม่เพื่อลงทุนได้ตามเป้าหมาย หรืออาจตัดสินใจลงทุนผิดพลาด วิธีการบริหารความเสี่ยง: ปรับปรุงกระบวนการลงทุนใหม่โดย 1. ปรับโครงสร้างองค์กรโดยจัดตั้งหน่วยงาน New Business และสรรหาบุคลากรที่มีความสามารถรองรับ กำหนดนโยบายการลงทุนที่ชัดเจนว่าจะลงทุนในธุรกิจอะไรบ้าง มีกรอบในการพิจารณาอย่างไร และเสนอให้คณะกรรมการอนุมัติ กำหนดกระบวนการพิจารณาเป็นลายลักษณ์อักษร และวางคณะกรรมการบริหารเป็น Investment Committee ทำหน้าที่พิจารณาอนุมัติการลงทุนภายใต้อำนาจที่ได้รับจากคณะกรรมการ ใช้ผู้เชี่ยวชาญภายนอกหากไม่มีความชำนาญ 09/11/61

59 ตัวอย่างการบริหารความเสี่ยง # 3
ความเสี่ยง : บริษัทอาจสูญเสียผู้บริหารและพนักงานคนสำคัญซึ่งอาจมีผลกระทบทำให้ไม่สามารถดำเนินธุรกิจได้ตามเป้าหมายที่วางไว้ วิธีการบริหารความเสี่ยง: จัดให้มี Employee Stock Option Plan (ESOP) สำหรับผู้บริหารระดับสูงเป็นโครงการต่อเนื่อง 5 โครงการระยะเวลา 8 ปี และให้มีการใช้สิทธิตามระยะเวลาที่กำหนด จัดระบบประเมินผล พัฒนา และเลื่อนตำแหน่งบุคลากรตามศักยภาพ ความสำคัญ และผลงานของพนักงานเป็นรายบุคคล จัดทำ Back Up หรือ Succession Plan ติดตามและเปรียบเทียบอัตราค่าตอบแทนกับอุตสาหกรรมอย่างสม่ำเสมอ 09/11/61

60 ตัวอย่างการบริหารความเสี่ยง # 4
ความเสี่ยง : กำไรหรือส่วนแบ่งรายได้ของบริษัทอาจไม่เป็นไปตามเป้าหมายเนื่องจากผลการดำเนินงานของบริษัทที่ลงทุนอาจไม่เป็นไปตามเป้าหมายที่กำหนด วิธีการบริหารความเสี่ยง: จัดทำระบบจัดชั้นเงินลงทุนเป็นรายบริษัท กำหนดแนวทางการบริหารและจัดการเป็นรายบริษัท เช่น การหาผู้ร่วมทุน เพิ่มทุน ปรับโครงสร้างทางการเงิน จัดกลุ่มธุรกิจใหม่ ควบรวมกิจการ ขายหรือเลิกกิจการ เปลี่ยนวัตถุประสงค์การทำธุรกิจ เป็นต้น 09/11/61

61 ตัวอย่างการบริหารความเสี่ยง # 5
ความเสี่ยง : บริษัทอาจตัดสินใจหรือบริหาร Portfolio ผิดพลาดเนื่องจากไม่มีระบบการวัดผลและข้อมูลเพื่อการตัดสินใจที่พอเพียงและทันเวลา วิธีการบริหารความเสี่ยง: นำระบบ Balanced Scorecard มาใช้ในการวางแผนกลยุทธ์และการวัดผลการดำเนินงาน หน่วยงาน Portfolio Management ติดตามและรายงานผลการบริหารบริษัทในกลุ่มให้คณะกรรมการบริหารของบริษัทพิจารณาตัดสินใจ พัฒนาระบบ Business Warehouse ที่มีข้อมูลที่ทันสมัยให้ผู้บริหารระดับสูงสามารถใช้ประกอบการตัดสินใจได้ตลอดเวลา 09/11/61

62 ตัวอย่างการบริหารความเสี่ยง # 6
ความเสี่ยง : บริษัทอาจไม่ได้เปิดเผยเรื่องการกำกับดูแลกิจการที่ดีอย่างเพียงพอ ซึ่งอาจมีผลกระทบต่อชื่อเสียงของบริษัท และทำให้ราคาหุ้นของบริษัทต่ำกว่าที่ควรจะเป็น วิธีการบริหารความเสี่ยง: Benchmarking การกำกับดูแลกิจการของบริษัทกับมาตรฐานสากลเช่น OECD เสนอแนวทางปรับปรุงให้คณะกรรมการบริษัทพิจารณา ปรับปรุงนโยบายการกำกับดูแลกิจการให้สอดคล้องกับมาตรฐานสากลและวัฒนธรรมองค์กรของบริษัท เปิดเผยและดำเนินการตามนโยบาย สื่อสารให้นักลงทุนรับทราบ 09/11/61

63 ตัวอย่างการบริหารความเสี่ยง # 7
ความเสี่ยง : ธุรกิจอาจหยุดชะงักเนื่องจากระบบงานและโครงสร้างพื้นฐานถูกทำลายจากภัยพิบัติ วิธีการบริหารความเสี่ยง: จัดลำดับความสำคัญของระบบงานและโครงสร้างพื้นฐาน จัดทำ Recovery Plan ทดสอบและ Update Recovery Plan อย่างสม่ำเสมอ 09/11/61

64 สรุป 09/11/61

65 เหตุผลสนับสนุนการบริหารความเสี่ยงองค์กร
ทุกองค์กรดำรงอยู่เพื่อมอบคุณค่าแก่ ผู้มีส่วนได้เสีย ความไม่แน่นอน ทั้งความเสี่ยงและโอกาส ลด/เพิ่ม คุณค่า ทุกองค์กรประสบกับ ความไม่แน่นอน ผู้บริหารมีหน้าที่ Balance ระหว่างความเสี่ยงและโอกาส ERM เสนอกรอบในการ บริหารจัดการความไม่แน่นอน ทั้งความเสี่ยงและโอกาส ได้อย่างมีประสิทธิผล และช่วยเพิ่มความสามารถแก่ผู้บริหารในการสร้างคุณค่า 65 09/11/61 09/11/61 65

66 ประโยชน์ของการบริหารความเสี่ยง ที่มีประสิทธิภาพ
ช่วยใน การวางแผนกลยุทธ์ และควบคุมการดำเนินงาน ตามแผนธุรกิจได้ดีขึ้น การ จัดสรรทรัพยากร สอดคล้องกับความเสี่ยง และสร้างโอกาสทางธุรกิจ คณะกรรมการ คณะกรรมการตรวจสอบ ผู้บริหารมี ความมั่นใจและเข้าใจ การบริหารความเสี่ยงที่สำคัญที่บริษัทเผชิญอยู่ ผลการดำเนินงานทุกด้านเป็นไปตาม วัตถุประสงค์และเป้าหมาย ที่กำหนด ทั้ง ด้านการเงิน ราคาหุ้น นักลงทุน พนักงาน ชื่อเสียงและการดำเนินงานที่ไม่หยุดชะงัก ความเสี่ยงที่เหลืออยู่ อยู่ใน ระดับที่ยอมรับได้ 66 09/11/61 09/11/61 66

67 ข้อจำกัดในการบริหารความเสี่ยงองค์กร
ความเสี่ยงเป็นเรื่องของอนาคต ที่ยังมาไม่ถึงและไม่แน่นอน ERM ในต่างระดับ มีวัตถุประสงค์ต่างกัน (Strategic, Operations, Reporting, Compliance) ERM ไม่สามารถ ให้ความเชื่อมั่นอย่างสิ้นเชิง Judgment Control Breakdowns Management Override Collusion among Employees Cost V.S. Benefit Consideration 67 09/11/61 09/11/61 67

68 Q&A PAIRAT SRIVILAIRIT FSVP Head of Internal Audit
TISCO Bank Public Company Limited Mobile : Office : 09/11/61