วัตถุประสงค์ในการเรียนรู้ เพื่อให้ผู้เรียนทราบถึง : ความหมาย ประเภท กระบวนการบริหารความเสี่ยง สามารถวิเคราะห์ความเสี่ยงในงานของตนได้ สามารถกำหนดแนวทางแก้ไขและป้องกันความเสี่ยงได้ ตระหนักในความสำคัญ และมีทัศนคติที่ดีต่อการ รายงานอุบัติการณ์ Next
ความหมายและแนวคิด เกี่ยวกับความเสี่ยง
ความเสี่ยง หมายถึง โอกาสของการเกิดเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งเมื่อเกิดขึ้นแล้วมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร การวัดค่าความสำคัญของความเสี่ยงจะพิจารณาจากผลกระทบและโอกาสที่อาจเกิดขึ้น
โดยสรุปความเสี่ยง คือ “ โอกาสที่จะประสบกับความ สูญเสียหรือสิ่งไม่พึงประสงค์ ” Next
หรือความเสี่ยงหมายถึงโอกาสพลาด (โอกาสที่แผนงาน/โครงการไม่เป็นไปตามเป้า) ใครจะเป็นคนบอกว่าอะไร คือโอกาสพลาด
ผังภาพแสดงการวัดระดับความสำคัญของความเสี่ยง สูง ปานกลาง ผลกระทบ - ต่ำ/ โอกาส - สูง ต่ำ โอกาส - ต่ำ สูง ผลกระทบ - สูง/ ผล กระทบ ต่ำ โอกาสที่จะเกิด สูง
ความหมายและแนวคิด - ความเสี่ยง ความเสี่ยงตามลักษณะ หรือธรรมชาติ (Inherent Risk) คือความเสี่ยงที่มีอยู่โดยทั่วไป ก่อนที่จะพิจารณาให้มีการบริหารจัดการความเสี่ยง หรือจัดวางระบบการควบคุมภายใน ความเสี่ยงจากการควบคุม (Control Risk) คือความเสี่ยงที่อาจเกิดขึ้น จากความไม่มีประสิทธิผลของระบบการควบคุมภายในที่วางไว้
ความหมายและแนวคิด - ความเสี่ยง ความเสี่ยงจากการตรวจสอบ (Detection Risk) คือความเสี่ยงจากการที่ผู้ตรวจสอบไม่สามารถตรวจพบได้ เนื่องจาก - การเลือกใช้วิธีการตรวจสอบที่ไม่เหมาะสม - การวางแผนการตรวจสอบไม่เหมาะสม - การตีความความ หรือสรุปผลการจากการตรวจผิดพลาด ความสัมพันธ์ระหว่างความเสี่ยง : AR = IR x CR x DR ความเสี่ยงที่เหลืออยู่ (Residual Risk) คือความเสี่ยงที่ยังคงเหลืออยู่ภายหลังจากการที่มีการพิจารณาการบริหารจัดการความเสี่ยง และการจัดวางระบบการควบคุมภายในแล้ว
Inherent risk Inherent risk Control risk Detection risk Internal Control Control risk Audit Technique Detection risk Management’s Acceptance of Risks? Residual Risk Audit Risk = IR x CR x DR
ความหมาย การบริหารความเสี่ยงทั่วทั้งองค์กร เป็นกระบวนการซึ่งร่วมกันทำให้บังเกิดผลโดยคณะ กรรมการ ผู้บริหารและบุคลากรอื่นๆ ขององค์กร นำมาประยุกต์ใช้ในการกำหนดกลยุทธ์และทั่วทั้งองค์กร ถูกกำหนดขึ้นมาเพื่อบ่งชี้เหตุการณ์ที่อาจเป็นไปได้ซึ่งอาจ มีผลกระทบต่อองค์กร และจัดการกับความเสี่ยงให้อยู่ ในระดับที่องค์กรยอมรับได้ เพื่อให้ความเชื่อมั่นอย่าง สมเหตุสมผลเกี่ยวกับการบรรลุวัตถุประสงค์ขององค์กร
แนวคิดพื้นฐาน การบริหารความเสี่ยง เป็น การบริหารความเสี่ยง เป็น กระบวนการ ซึ่งดำเนินไปทั่วทั้งองค์กร และอย่างต่อเนื่อง ก่อให้เกิดผลโดยบุคคลในทุกระดับขององค์กร ประยุกต์ใช้ในการกำหนดกลยุทธ์ ประยุกต์ใช้ทั่วทั้งองค์กร ในทุกระดับและหน่วยงาน และรวมถึงการใช้ผังมุมมองความเสี่ยงระดับองค์กร ถูกกำหนดขึ้นมาเพื่อบ่งชี้เหตุการณ์ที่อาจเป็นไปได้ ซึ่งถ้าเกิดขึ้น จะมีผลกระทบต่อองค์กร และเพื่อจัดการกับความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ สามารถให้ความเชื่อมั่นอย่างสมเหตุสมผลแก่ผู้บริหารและคณะกรรมการขององค์กร สนับสนุนการบรรลุวัตถุประสงค์หนึ่งประการหรือมากกว่าหนึ่งประการที่แยกกันแต่มีความสอดคล้องกัน
ความสำคัญของการบริหารความเสี่ยง องค์กรทั้งหลายเกิดขึ้นและมีอยู่เพื่อสร้างคุณค่าให้แก่ผู้มีส่วนได้เสีย ความไม่แน่นอน แสดงถึงความเสี่ยง (risks) และโอกาส (opportunities) ซึ่งอาจทำลาย และสร้างเสริมคุณค่าขององค์กรนั้น ทุกองค์กรเผชิญกับความไม่แน่นอน – ความท้าท้ายของผู้บริหารคือ “การรักษาระดับความสมดุลระหว่าง risk และ opportunity” การบริหารความเสี่ยง จัดให้มีการบริหารจัดการโดยใช้กรอบโครงสร้าง (Framework) ในการจัดการกับความไม่แน่นอน (ซึ่งมีความเกี่ยวข้องกับ risk และ opportunity) และช่วยเสริมสร้างประสิทธิภาพในการเพิ่มคุณค่า อย่างมีประสิทธิผล
กระบวนการบริหารความเสี่ยง
Risk management process Risk Identification Risk Assessment Action to manage risk Evaluation
ความเสี่ยงกับกระบวนการคุณภาพ DO ปฏิบัติ CHECK PLAN ติดตามระดับการเกิดปัญหา ค้นหาความเสี่ยง แก้ไข/ป้องกัน ACT ปรับปรุงระบบบริหารความเสี่ยงอย่างต่อเนื่อง
กระบวนการบริหารความเสี่ยง Risk Management Process คือ กระบวนการหรือระบบบริหาร ประกอบด้วยขั้นตอน 4 ขั้น ได้แก่ การค้นหาความเสี่ยง การประเมินความเสี่ยง การจัดการกับความเสี่ยง การประเมินผล
1.การค้นหาความเสี่ยง
1. การค้นหาความเสี่ยง ศึกษาความสูญเสียในอดีต 1. การค้นหาความเสี่ยง ศึกษาความสูญเสียในอดีต เรียนรู้จากประสบการณ์ของคนอื่น เช่น เป้าหมายคือ สร้างบัญชีรายการความเสี่ยง เรียนรู้ระหว่างการทำงาน เช่น รายงาน อุบัติการณ์
แหล่งข้อมูลของความเสี่ยง การศึกษาโครงการต่าง ๆ และการขอคำปรึกษาเรื่องต่าง ๆ จากภายนอก ประเด็นข่าวสาร เหตุการณ์ปัจจุบัน นโยบาย และกฎ ระเบียบ เทคโนโลยี การสัมภาษณ์ และการหารือกับผู้บริหาร หรือแบบสอบถามต่าง ๆ การระดมสมอง โดยการจัดการประชุมเชิงปฏิบัติการ รายงานผลการตรวจสอบภายใน
แหล่งข้อมูลของความเสี่ยง บันทึกข้อมูลที่มีอยู่แล้ว ประสบการณ์ของสมาชิกในหน่วยงาน เรียนรู้จากประสบการณ์ของคนอื่น สำรวจสิ่งแวดล้อม การเคลื่อนไหว ปฏิสัมพันธ์ เรียนรู้ระหว่างทำงาน (รายงานอุบัติการณ์) จากการวิเคราะห์กระบวนการหลักในการบริการ
คำถามเพื่อค้นหาความเสี่ยง ที่หน่วยงานของท่าน อะไรคือสิ่งเลวร้ายที่สุดที่อาจเกิดขึ้นได้ ในประสบการณ์ของท่าน มีเหตุการณ์ที่ไม่พึงประสงค์อะไรเกิดขึ้น มีความรุนแรงสูง มีความถี่สูง ในช่วงเวลาหรือสถานการณ์ใดที่ทำให้การทำงานของท่านมีความเสี่ยงสูง มีปัญหาอะไรที่ท่านต้องแก้ไขในกิจกรรมการทำงาน วารสารในวิชาชีพของท่านพูดถึงความเสี่ยงพิเศษอะไรบ้าง
โปรแกรมการบริหารความเสี่ยงตามเกณฑ์ PMQA การวิเคราะห์ความเสี่ยงเชิงยุทธศาสตร์ วิเคราะห์ความเสี่ยงตามหลักธรรมาภิบาล การวิเคราะห์ความเสี่ยงด้านเทคโนโลยี การวิเคราะห์ความเสี่ยงด้านกระบวนการ
กระบวนการหลักของหน่วยงาน เขียนกระบวนการหลักๆ ของการทำงานไว้ตารางข้างบน เขียนกระบวนการย่อยๆ ของการทำงานแต่แต่ละกระบวนการ เขียนเป็น Top down flow chart เขียนจากการแกะรอยกระบวนการ จัดทำคำของบประมาณ จนกระทั้งได้งบประมาณ สำรวจความต้องการ จัดทำแผนการจัดซื้อ จนกระทั้งสิ้นสุดกระบวนการตรวจรับ หอผู้ป่วย ตามผู้ป่วยตั้งแต่แรกรับจนจำหน่าย ยา ตั้งแต่แพทย์สั่งจนผู้ป่วยได้รับยา ชันสูตร ตั้งแต่ได้รับ specimen จนผลตรวจออก
ตัวอย่างการวิเคราะห์ความเสี่ยงจากกระบวนการหลัก งานอนามัยแม่และเด็ก 1.ซักประวัติ 2.คัดกรอง 3.ให้บริการ 4.ให้สุขศึกษาและการนัดบริการครั้งต่อไป 3.1 ตรวจร่างกายทั่วไปและตรวจครรภ์ตามเกณฑ์มาตรฐาน 3.2 ตรวจโลหิต 3.3 ฉีดวัคซีนป้องกันบาดทะยัก 3.4 จ่ายยา 1.1 สอบถามข้อมูลทั่วไป 1.2 สอบถามประวัติสุขภาพ 1.3 สอบถามประวัติทางสูติศาสตร์ 2.1 ชั่งน้ำหนัก 2.2 วัดส่วนสูง 2.3 วัดความดันโลหิต 4.1 ให้คำแนะนำ 4.2 นัดหมาย
การค้นหาความเสี่ยง การซักประวัติ - ผู้ป่วยพูดไม่ตรงความจริงเกี่ยว การซักประวัติ - ผู้ป่วยพูดไม่ตรงความจริงเกี่ยว กับประวัติของตนเอง - เจ้าหน้าที่ซักประวัติไม่ครอบคลุม - เจ้าหน้าที่ไม่มีความรู้ ความ ชำนาญเพียงพอในการซักประวัติ - ผู้มารับบริการรอการตรวจครรภ์ นานเกินไป
2. การประเมินความเสี่ยง 2. การประเมินความเสี่ยง ประเมินช่วงก่อนเกิดเหตุ เพื่อตอบคำถามว่ามีโอกาสเกิดความเสี่ยงมากเพียงใด บ่อยเท่าใด จะก่อให้เกิดความสูญเสียเท่าใด เป็นต้น
ประเมินความเสี่ยงขณะเกิดเหตุ คือการบริหารการเพื่อลดความรุนแรงของผลกระทบ หรือClaim manage เช่น การบันทึกและปรึกษาจะเริ่มทันทีที่ความ เสียหายเกิดขึ้น
สิ่งสำคัญ ในการประเมินคือ พิจารณาให้ ได้ว่าอะไรคือความเสี่ยงสำคัญที่ต้องระวัง และ ไม่ให้ความเสี่ยงที่พบบ่อยมาบดบังความเสี่ยงที่รุนแรง และผลกระทบสูง Risk Profile
3. การจัดการกับความเสี่ยง 3. การจัดการกับความเสี่ยง การเตรียมก่อนเกิดเหตุ ได้แก่ การหลีกเลี่ยง การป้องกัน การถ่ายโอน การแบ่งแยก การลดความสูญเสียหลังจากเกิดเหตุ การจ่ายเงินชดเชย
กลยุทธการจัดการ
การหลีกเลี่ยงความเสี่ยง Avoiding
การผ่องถ่ายความเสี่ยง Sharing
การป้องกันความเสี่ยง Accepting
การ แบ่งแยก ความเสี่ยง Reducing
มาตรการป้องกันและควบคุมความเสี่ยง กำหนดวิธีการเตรียมคน อุปกรณ์ เครื่องมือ ข้อมูลข่าวสารให้พร้อม กำหนดวิธีการปฏิบัติงานที่ชัดเจนและรัดกุม
มาตรการป้องกันและควบคุมความเสี่ยง (ต่อ) กำหนดวิธีการควบคุมกระบวนการทำงานเพื่อป้องกันความเสี่ยง และ กำหนดจุดตรวจสอบ กำหนดแนวทางปฏิบัติที่ชัดเจนเมื่อเกิดปัญหา
4. การประเมินผล เป็นการนำ เหตุการณ์ และ ความสูญเสียที่เกิดขึ้นมาตรวจสอบความเพียงพอของกลวิธีที่เราเลือกใช้ป้องกัน
BREAK
ทบทวน กระบวนทัศน์ของการประเมินความเสี่ยง (รูปแบบอย่างง่าย) วัตถุประสงค์ อะไรที่ท่านต้องการบรรลุความสำเร็จ ความเสี่ยง อะไรที่จะผิดพลาด หรือเป็นอุปสรรคทำให้ไม่สามารถบรรลุวัตถุประสงค์ การควบคุม อะไรที่ท่านสามารถทำ เพื่อช่วยป้องกัน ลด หรือค้นพบ ความเสี่ยงที่มีความสำคัญ ภายในระยะเวลาอันเหมาะสม
กระบวนทัศน์ของการประเมินความเสี่ยง (เต็มรูปแบบ) กำหนดวัตถุ ประสงค์ ระบุปัจจัยเสี่ยง วิเคราะห์สาเหตุและผลกระทบ พิจารณานัยสำคัญและโอกาส ตัดสินใจใช้ วิธีตอบสนองต่อความเสี่ยง ออกแบบระบบการควบคุม
กระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร กำหนด วัตถุประสงค์ ติดตาม และรายงาน ระบุ ปัจจัยเสี่ยง กระบวนการต่อเนื่อง ปฏิบัติการ แก้ไข ประเมิน ความเสี่ยง
8 องค์ประกอบของการบริหารความเสี่ยง 1. สภาพแวดล้อมภายในองค์กร (Internal Environment) 2. การกำหนดวัตถุประสงค์ (Objective Setting) 3. การระบุปัจจัยเสี่ยง (Event Identification) 4. การประเมินความเสี่ยง (Risk Assessment) 5. การตอบสนองต่อความเสี่ยง (Risk Response) 6. กิจกรรมการควบคุม (Control Activities) 7. สารสนเทศ และการสื่อสาร (Information and Communication) 8. การติดตามผล (Monitoring)
ระดับความเสี่ยงที่ยอมรับได้ (risk appetite) 1. สภาพแวดล้อมภายในองค์กร (Internal Environment) องค์กรจัดให้มีสภาพแวดล้อม ที่เอื้ออำนวยต่อการกำหนดหลักการพื้นฐานสำหรับกระบวนการบริหารความเสี่ยง โดยบุคลากรทุกระดับขององค์กร องค์ประกอบที่สำคัญ ประกอบด้วย ปรัชญา และวัฒนธรรมในการบริหารความเสี่ยง (risk management philosophy and culture) ระดับความเสี่ยงที่ยอมรับได้ (risk appetite) บทบาทของคณะกรรมการในการกำกับดูแลการบริหารความเสี่ยง ปรัชญา และรูปแบบการบริหารงานของผู้บริหาร การจัดโครงสร้างองค์กร ความซื่อสัตย์ และคุณค่าจริยธรรม การกำหนดอำนาจหน้าที่และความรับผิดชอบของบุคลากร นโยบายการบริหารทรัพยากรบุคคล
ตัวอย่างนโยบายการบริหารความเสี่ยง การบริหารความเสี่ยงที่ครอบคลุม ความเสี่ยงที่สำคัญจากการดำเนินงานขององค์กรทุกประเภทจะต้องได้รับการบริหารอย่างเป็นระบบและครอบคลุมทั้งในระดับนโยบาย การปฏิบัติ และกระบวนการที่เกี่ยวข้อง นอกจากนี้ต้องคำนึงถึงความสัมพันธ์ของความเสี่ยงแต่ละประเภท การกำหนดหน้าที่รับผิดชอบในการบริหารความเสี่ยงอย่างชัดเจน ไม่เฉพาะแต่หน่วยงานบริหารความเสี่ยงเท่านั้น แต่เป็นความรับผิดชอบของหน่วยงานที่เกี่ยวข้องทุกระดับ การประเมินการบริหารความเสี่ยง และปรับกระบวนการเพื่อรองรับความเสี่ยงในรูปแบบใหม่ที่เกิดขึ้นอย่างสม่ำเสมอ เพื่อให้แนวทางบริหารความเสี่ยงขององค์กรมีความสอดคล้องกับลักษณะการดำเนินงานในแต่ละช่วงเวลา
2. การกำหนดวัตถุประสงค์ (Objective Setting) วัตถุประสงค์จะต้องถูกกำหนดขึ้นมาก่อนที่ผู้บริหารจะสามารถบ่งชี้เหตุการณ์ ที่อาจเป็นไปได้ที่จะกระทบต่อการบรรลุวัตถุประสงค์ การบริหารความเสี่ยง ทำให้มั่นใจได้ว่าผู้บริหารมีกระบวนการที่จะกำหนดวัตถุประสงค์ และวัตถุ ประสงค์ที่เลือกนั้นสนับสนุน และสอดคล้องกับพันธกิจ (Mission) ขององค์กร และระดับความเสี่ยงที่ยอมรับได้ (risk appetite) วัตถุประสงค์มี 4 ประเภท ดังนี้ 1. กลยุทธ์ (Strategic) -วัตถุประสงค์และเป้าหมายระดับสูง สนับสนุนและสอดคล้องกับพันธกิจ (Mission) ขององค์กร 2. การดำเนินงาน (Operations) - ประสิทธิผล และประสิทธิภาพ ในการใช้ทรัพยากรขององค์กร 3. การรายงาน (Reporting) - ความเชื่อถือได้ของการรายงาน 4. การปฏิบัติตามกฎระเบียบ (Compliance) - การปฏิบัติตามกฎหมายและกฎระเบียบที่เหมาะสม
ตัวอย่าง : ความสัมพันธ์ของการกำหนดวิสัยทัศน์ กลยุทธ์ และวัตถุประสงค์ วิสัยทัศน์ : เป็นผู้นำในการผลิตและจำหน่ายเครื่องมือเครื่องใช้ทางเทคโนโลยีที่นำสมัย และมีต้นทุนต่ำของประเทศไทย วัตถุประสงค์ / เป้าหมายเชิงกลยุทธ์ : 1. รักษาอัตราผลตอบแทนต่อเงินลงทุนอย่างน้อย 20% 2. ขยายโรงงานการผลิตและเครือข่ายการขายไปให้ครอบคลุมทุกภาคของประเทศไทย เพื่อขยายฐานลูกค้าอีก 100% ภายใน 3 ปี กลยุทธ์ 1. รักษาโครงสร้างต้นทุนการบริหารสาขาให้เท่าเดิม 2. พัฒนาโครงการการตลาดตามกลุ่มเป้าหมาย และหาลูกค้าใหม่ในพื้นที่ที่ขยายสาขา 3. นำเอาระบบที่มีเทคโนโลยีทันสมัยล่าสุดซึ่งเอื้ออำนวยต่อการบริหารจัดการที่มี ประสิทธิภาพ และการควบคุมต้นทุนมาใช้งานใหม่อีก 3 แห่ง
3. การระบุเหตุการณ์ที่เป็นปัจจัยเสี่ยง (Event Identification) จะต้องมีการระบุเหตุการณ์ที่เป็นปัจจัยเสี่ยงทั้งภายในและภายนอก ซึ่งมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร โดยพิจารณาทั้งความเสี่ยง (risks) และโอกาส (opportunities) โอกาส จะเป็นช่องทางย้อนกลับไปสู่กระบวนการในการกำหนดกลยุทธ์ และวัตถุประสงค์ของฝ่ายบริหาร
ตัวอย่างประเภทความเสี่ยงในการดำเนินธุรกิจ (Business Risk) กลยุทธ์ (Strategic) การเงิน (Financial) การดำเนินงาน (Operations) การปฏิบัติตามกฎหมาย หรือ กฎระเบียบ (Compliance with Laws/Regulations) เทคโนโลยี (Technology) อื่น ๆ ?
การระบุปัจจัยเสี่ยง เข้าใจวัตถุประสงค์ และปัจจัยที่กระทบต่อผลสำเร็จ ความเสี่ยงที่มีอยู่ตามลักษณะหรือธรรมชาติโดยทั่วไปของธุรกิจและกิจกรรมที่เกี่ยวข้อง บ่งชี้ถึงความเสี่ยงที่สำคัญต่อองค์กร มีความหมาย หรือมีน้ำหนักต่อความ สำเร็จ จำนวนปัจจัยเสี่ยงขึ้นกับดุลยพินิจ ไม่มากและไม่น้อยจนเกินไป และไม่ทำให้เกิดความยุ่งยาก และไม่คุ้มค่าต่อการจัดเก็บข้อมูล กระบวนการประเมินและระบุความเสี่ยงต้องมีการเก็บข้อมูล หรืออาจใช้ดุลยพินิจ การจัดกลุ่มความเสี่ยงต้องหลากหลายและสะท้อนความเสี่ยงทุกประเภทที่เกี่ยวข้องทั่วทั้งองค์กร เป็นเหตุเป็นผล อธิบายได้ว่าถ้าเกิดแล้วจะมีผลกระทบอย่างไร
ตัวอย่าง : ธุรกิจให้บริการเทคโนโลยีสารสนเทศ ปัจจัยเสี่ยง การพึ่งพาบุคลากร การพึ่งพาลูกค้ารายใหญ่ การพึ่งพาผู้จัดจำหน่ายหรือผู้ผลิตน้อยราย ความล่าช้าของโครงการ การเปลี่ยนแปลงของเทคโนโลยี ความผันผวนของอัตราแลกเปลี่ยนเงินตราต่างประเทศ การเปลี่ยนแปลงอัตราดอกเบี้ย ด้านสินเชื่อที่เกี่ยวเนื่องกับลูกหนี้
ลักษณะความเสี่ยงในการดำเนินการ (Business Risk) ที่เป็นสากล 10 ประการ ความผิดพลาดของข้อมูล หรือจากการบันทึกรายการ • การใช้นโยบายการบัญชีที่ไม่เป็นที่ยอมรับทั่วไป • การหยุดชะงักทางธุรกิจ • กฎข้อบังคับภาครัฐ / การฟ้องร้องทางกฎหมาย • ต้นทุนสูง • การไม่รับรู้รายได้ / การสูญเสียรายได้ • ผลขาดทุน หรือความเสียหายของทรัพย์สิน • การเสียประโยชน์ในการแข่งขัน และ/หรือความไม่พอใจของ สาธารณชน • การทุจริต (Fraud) หรือ ความขัดแย้งด้านผลประโยชน์ (conflict of interest) • นโยบายการบริหารงาน และ/หรือ กระบวนการตัดสินใจของผู้บริหาร ที่ไม่ เหมาะสม
4. การประเมินความเสี่ยง (Risk Assessment) มีการวิเคราะห์ความเสี่ยง โดยพิจารณาถึงโอกาสความเป็นไปได้ (likelihood) และผลกระทบ (impact) และกำหนดระดับความ สำคัญของความเสี่ยงเป็นคำบรรยาย เช่น สูง (H) ปานลาง (M) ต่ำ (L) หรือ ระดับคะแนน เช่น 3 ระดับ หรือ 5 ระดับ เป็นต้น เพื่อให้ฝ่ายบริหารใช้เป็นพื้นฐานในการตัดสินใจว่าควรจะจัดการกับความเสี่ยงอย่างไร โดยพิจารณาเลือกใช้วิธีการตอบสนองต่อความเสี่ยงที่เหมาะสม ความเสี่ยง ควรถูกประเมินบนหลักเกณฑ์ที่เป็นความเสี่ยงตามลักษณะหรือธรรมชาติ (Inherent Risk) และความเสี่ยงที่เหลืออยู่ (Residual Risk)
ตัวอย่าง - การประเมินความเสี่ยง ผลกระทบ 5 4 3 2 1 โอกาสที่จะเกิด ระดับความเสี่ยง สูงมาก สูง ปานกลาง ต่ำ
ตัวอย่าง : ระดับโอกาสที่จะเกิดเหตุการณ์ที่เป็นปัจจัยเสี่ยง เชิงปริมาณ เชิงคุณภาพ 5 สูงมาก 1 เดือนต่อครั้งหรือมากกว่า มีโอกาสเกิดเกือบทุกครั้ง 4 สูง 1-6 เดือนต่อครั้ง มีโอกาสเกิดบ่อยๆ 3 ปานกลาง 1 ปีต่อครั้ง มีโอกาสเกิดบางครั้ง 2 ต่ำ 2-4 ปีต่อครั้ง อาจมีโอกาสเกิดแต่นานๆ ครั้ง 1 ต่ำมาก 5 ปีต่อครั้ง มีโอกาสเกิดในกรณียกเว้น
ตัวอย่าง : ระดับความรุนแรงของผลกระทบของความเสี่ยง เชิงปริมาณ เชิงคุณภาพ 5 สูงมาก > 5 ล้านบาท มีการสูญเสียทรัพย์สินอย่างมาก มีการเสียชีวิต 4 สูง > 3 แสนบาท - 5 ล้านบาท มีการสูญเสียทรัพย์สินมาก มีการบาดเจ็บสาหัสถึงขั้นพักงาน 3 ปานกลาง > 50,000 บาท - 3 แสนบาท มีการสูญเสียทรัพย์สินค่อนข้างมาก มีการบาดเจ็บรุนแรง 2 ต่ำ > 10,000 – 50,000 บาท มีการสูญเสียทรัพย์สินพอสมควร มีการบาดเจ็บค่อนข้างรุนแรง 1 ต่ำมาก ไม่เกิน 10,000 บาท มีการสูญเสียทรัพย์สินเล็กน้อย ไม่มีการบาดเจ็บรุนแรง
ตัวอย่างผังภาพที่ใช้ในการประเมินความเสี่ยง Call Center Share Reduce Reduce/Avoid Accept High Risk Medium Risk Low Risk Low High PROBABILITY IMPACT Credit risk Customer has a long wait Customer can’t get through Customer can’t get answers Loss of phones Loss of computers Fraud Lost transactions Employee morale Entry errors Equipment obsolescence Repeat calls for same problem
วิเคราะห์ความสำคัญของความเสี่ยง ติด ตาม ผล และ สอบ ทาน ความเสี่ยงอยู่ใน ระดับที่ยอมรับได้ ? ใช่ ยอมรับ ไม่ใช่ ระบุทางเลือกในการจัดการ ลดโอกาส ลดผลกระทบ โอนทั้งหมด หรือบางส่วน หลีกเลี่ยง พิจารณาความเป็นไปได้ ต้นทุน และผลประโยชน์ที่จะได้รับ และระดับความเสี่ยง ประเมินทางเลือกในการจัดการ นำเสนอกลยุทธ์ที่ใช้ในการจัดการ เลือกใช้กลยุทธ์การจัดการ จัดเตรียมแผนการจัดการ เพื่อลด โอน หรือหลีกเลี่ยงความเสี่ยง และพิจารณาผลทางด้านการเงิน ตามความเหมาะสม จัดเตรียมแผนการจัดการ นำแผนการจัดการไปใช้จริง ลดโอกาส ลดผลกระทบ โอนทั้งหมด หรือบางส่วน หลีกเลี่ยง ความเสี่ยงที่เหลืออยู่ อยู่ในระดับที่ยอมรับได้ ? ใช่ รักษาไว้ ไม่ใช่ ผังภาพกระบวนการจัดการความเสี่ยง
ระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) พิจารณาในเชิงปริมาณ และคุณภาพ (เช่น ความเสี่ยงต่อผลกำไร และต่อชื่อเสียง) พิจารณาค่าคลาดเคลื่อนของระดับความเสี่ยงที่ยอมรับได้ (risk tolerance)
ระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) คำถามสำคัญ : อะไรเป็นความเสี่ยงที่องค์กรไม่อาจยอมรับได้ ? (เช่น คุณภาพสินค้า หรือสิ่งแวดล้อม ต่ำกว่าระดับมาตรฐาน) อะไรเป็นความเสี่ยงที่องค์กรอาจจะได้รับกรณีที่มีการริเริ่มดำเนินการใหม่ๆ ? (เช่น สายผลิตภัณฑ์ใหม่) อะไรเป็นความเสี่ยงที่องค์กรจะยอมรับได้ สำหรับวัตถุประสงค์ด้านการแข่งขัน ? (เช่น กำไรขั้นต้น และอัตราส่วนแบ่งตลาด)
ตัวอย่าง การกำหนด Risk Appetite ระดับความเสี่ยงที่ยอมรับจากการลดราคา หรือ อัตรากำไรส่วนเกิน เพื่อขยายฐานลูกค้าเป็น 2 เท่า การกำหนด Risk Tolerances ค่าความคลาดเคลื่อนของจำนวนลูกค้าที่จะขยายฐานได้เพิ่มขึ้น 2 เท่า +/- 5%
5. การตอบสนองต่อความเสี่ยง (Risk Responses) ฝ่ายบริหารเลือกวิธีการตอบสนองต่อความเสี่ยง และพัฒนากลยุทธ์การจัดการ หรือแผนปฏิบัติการ (Action plan) ในการจัดการกับความเสี่ยงที่เหลืออยู่ (Residual Risks) ให้อยู่ในระดับ และเกณฑ์ความคลาดเคลื่อนที่องค์กรยอมรับได้ แนวทางในการตอบสนองต่อความเสี่ยง Avoiding : หลีกเลี่ยงธุรกิจสินค้าหรือบริการที่ไม่ถนัด เพื่อขจัดความเสี่ยงที่ยอมรับไม่ได้ Accepting : ยอมรับความเสี่ยง เนื่องจากองค์กรอาจมีระบบการควบคุมภายในที่มีประสิทธิภาพ หรือมีเงินทุนเพียงพอที่จะรองรับผลกระทบที่อาจเกิดขึ้น รวมทั้งองค์กรมีระบบข้อมูลที่เพียงพอที่จะใช้ในการตัดสินใจและเข้าใจความเสี่ยงเป็นอย่างดี เมื่อมีการยอมรับความเสี่ยงแล้ว ยังคงใช้วิธีการอื่นๆ ที่จะลด โอน หรือใช้ประโยชน์จากความเสี่ยงได้อีก Reducing :ลด/ควบคุมความเสี่ยงจากกระบวนการควบคุมภายในเพื่อลดโอกาสและผลกระทบ Sharing : แบ่งโอนความเสี่ยงไปให้บุคคลที่สามที่มีฐานะทางการเงินที่รองรับความเสี่ยงได้ เช่นการทำประกันภัย
กลยุทธ์การจัดการกับความเสี่ยง ปัจจัยเสี่ยงที่มีโอกาสเกิดสูงและมีผลกระทบสูง ควรมีการควบคุมสูง ฝ่ายบริหารควรมีการติดตามและประเมินอย่างใกล้ชิดสม่ำเสมอ เพื่อให้มั่นใจว่ามีการปฏิบัติตามการควบคุมอย่างเคร่งครัดรวมทั้งควรหาวิธีการเพิ่มเติมที่จะลดโอกาสเกิดและผลกระทบให้อยู่ในระดับที่ยอมรับได้ ปัจจัยเสี่ยงที่มีผลกระทบสูงแต่มีโอกาสเกิดต่ำ ฝ่ายบริหารควรมีการติด ตามและเพิ่มการควบคุมเพื่อให้มั่นใจว่ามีโอกาสเกิดต่ำ และหาวิธีการลดผลกระทบที่สูงนั้น ปัจจัยเสี่ยงที่มีโอกาสเกิดสูงแต่มีผลกระทบต่ำ ฝ่ายบริหารอาจติดตามและจัดให้มีการประเมินเป็นระยะๆ โดยไม่ควรเสียค่าใช้จ่ายในการควบคุมเกินความจำเป็น ปัจจัยเสี่ยงที่มีโอกาสเกิดต่ำและมีผลกระทบต่ำ ฝ่ายบริหารอาจตัดสินใจยอมรับความเสี่ยงและไม่ดำเนินการใดๆ ในกรณีนี้ควรมีการประเมินบ้างเป็นครั้งคราว หากได้พิจารณาถึงผลสะสมของความเสี่ยงว่าอาจจะลุกลามบานปลายได้
ตัวอย่าง : แนวทางการจัดการกับความเสี่ยง - มีนโยบายการบริหารทรัพยากรบุคคลที่ดี โดยมี : การมุ่งเน้นการพัฒนาความสามารถ และความรับผิดชอบของบุคลากร การวางแผนแนวทางอาชีพ (Career Path) ของบุคลากรแต่ละระดับอย่างชัดเจน การเสริมสร้างความสัมพันธ์ที่ดีระหว่างบุคลากรภายในองค์กร การให้ผลตอบแทนที่เหมาะสม และสามารถแข่งขันกับผู้ประกอบการรายอื่นได้ การพัฒนาบุคลากรอื่นให้สามารถทำงานทดแทนกันได้ การสรรหาบุคลากรใหม่ที่มีความสามารถเพื่อทดแทนอย่างต่อเนื่อง
ตัวอย่างกิจกรรมการควบคุม 6. กิจกรรมการควบคุม (Control Activities) นโยบายและระเบียบวิธีปฏิบัติ รวมถึงมาตรการต่างๆ ซึ่งฝ่ายบริหารกำหนดขึ้นและนำมาใช้ เพื่อช่วยเพิ่มความมั่นใจได้ว่าการตอบสนองต่อความเสี่ยง จะบรรลุความสำเร็จอย่างมีประสิทธิผล ตัวอย่างกิจกรรมการควบคุม นโยบาย และระเบียบวิธีปฏิบัติ การสอบทานโดยผู้บริหาร การควบคุมระบบประมวลผลข้อมูล การอนุมัติ การควบคุมทางกายภาพ เช่น การรักษาความปลอดภัยของทรัพย์สิน การแบ่งแยกหน้าที่ ดัชนีวัดผลการดำเนินงาน (Key Performance Indicators-KPI) การจัดทำหลักฐาน
ตัวอย่าง - กิจกรรมการจัดซื้อ วัตถุประสงค์ : ตัวอย่าง - กิจกรรมการจัดซื้อ วัตถุประสงค์ : จัดหาวัตถุดิบหรือสินค้าที่มีคุณลักษณะถูกต้อง และมีประโยชน์ใช้สอย ตรงตามความต้องการในการผลิตหรือการขาย จัดหาวัตถุดิบหรือสินค้าให้เพียงพอต่อการผลิตหรือการขาย ในปริมาณที่ถูกต้อง และทันต่อเวลา จัดหาวัตถุดิบหรือสินค้าด้วยต้นทุนที่เหมาะสม
ตัวอย่างปัจจัยเสี่ยง - กิจกรรมการจัดซื้อ : การทุจริตในการจัดซื้อ การจัดซื้อที่ผิดพลาด (จัดซื้อสินค้าที่ไม่มีความจำเป็น หรือเกินความจำเป็น) สินค้าที่จัดซื้อราคาสูงเกินไป สินค้าที่จัดซื้อด้อยคุณภาพ ได้รับสินค้าล่าช้า สินค้าที่ได้รับไม่มีคุณภาพ หรือไม่ตรงตามวัตถุประสงค์ ได้รับสินค้าในปริมาณที่ไม่ถูกต้องตามที่จัดซื้อ ไม่มีการบันทึกรายการซื้ออย่างถูกต้องครบถ้วน ต้นทุนการจัดซื้อสูงเกินความจำเป็น
ตัวอย่าง - กิจกรรมการจัดซื้อ กิจกรรมการการควบคุม : ตัวอย่าง - กิจกรรมการจัดซื้อ กิจกรรมการการควบคุม : กำหนดนโยบายการจัดซื้ออย่างชัดแจ้ง กำหนดระเบียบการจัดซื้อ และให้มีการหมุนเวียนสับเปลี่ยนเจ้าหน้าที่จัดซื้อ ให้มีการพิจารณากลั่นกรอง และอนุมัติอย่างเหมาะสมในหลักเกณฑ์การจัดซื้อ กำหนดการมอบอำนาจการอนุมัติการจัดซื้อให้เจ้าหน้าที่แต่ละระดับอย่างเหมาะสม กำหนดให้มีการตรวจรับของตามข้อตกลง และมีการทดสอบคุณภาพของที่ตรวจรับทุกครั้ง มีการติดตามผลการจัดซื้อ เพื่อให้แน่ใจว่าการจ่ายเงินค่าซื้อของนั้นเป็นของที่มีการจัดซื้อ และได้มีการตรวจรับแล้ว อย่างถูกต้องทั้งปริมาณ และคุณภาพ ตามเวลา และข้อตกลง มีการจัดทำเอกสารเป็นหลักฐานทุกขั้นตอนของการจัดซื้อ อื่น ๆ
7. สารสนเทศและการสื่อสาร (Information and Communication) มีการระบุสารสนเทศที่เชื่อถือได้ทั้งจากภายใน และภายนอก จัดเก็บ และสื่อสารในรูปแบบ และระยะเวลาที่กำหนดขึ้น เพื่อให้ฝ่ายบริหารและบุคลากรขององค์กรทุกระดับสามารถปฏิบัติหน้าที่ตามความรับผิดชอบได้อย่างมีประสิทธิผล การสื่อสารที่มีประสิทธิผลเกิดขึ้น ในองค์กรอย่างกว้างขวางในหลายทิศทางทั่วทั้งองค์กร
8. การติดตามผล (Monitoring) การบริหารความเสี่ยงขององค์กร จะมีความสมบูรณ์ครบถ้วนได้ จะต้องมีการทบทวน ติดตาม และปรับปรุงแก้ไขการบริหารความเสี่ยง ตามความจำเป็นและเหมาะสม การติดตามผลสามารถจะบรรลุความสำเร็จ ได้โดยอาศัยกิจกรรมการจัดการระหว่างการปฏิบัติงานอย่างต่อเนื่อง (ongoing management activities) และ/หรือ การประเมินผลอย่างอิสระ (separate evaluations)
การจัดระบบบริหารความเสี่ยง
ตัวอย่าง - การจัดระบบบริหารความเสี่ยง สิ่งที่ต้องจัดเตรียม กิจกรรมและขั้นตอน ผลลัพธ์ ขั้นที่ 1 การวางแผนการประชุมเชิงปฏิบัติการ ผลของการประชุมเชิงปฏิบัติการด้านความเสี่ยงครั้งก่อน การค้นคว้าข้อมูลเบื้องต้น วางแผนการประชุม ทำการยืนยันผู้เข้าร่วมประชุม จัดเตรียมบทสรุปเป็นแนวทางสำหรับผู้เข้าร่วมประชุม5 แผนการประชุม รายชื่อผู้เข้าร่วมประชุม เอกสารที่จัดเตรียมล่วงหน้า ขั้นที่ 2 การดำเนินการประชุมเชิงปฏิบัติการ การหารือของผู้บริหาร (กลยุทธ์องค์กร แผนงานหน่วยธุรกิจ แผนงานโครงการ) ทำการยืนยันวัตถุประสงค์องค์กร ทำความเข้าใจกับการระดมสมองของผู้บริหาร การระบุและหารือความเสี่ยง รายการความเสี่ยง การลงคะแนนเสียงของผู้บริหารโดยใช้ลำดับความเสี่ยงที่ได้กำหนดไว้แล้ว การจัดลำดับความเสี่ยงตามโอกาสเกิดและผลกระทบ ความเสี่ยงที่ได้ถูกจัดลำดับแล้ว การหารือเพื่อระบุเจ้าของความเสี่ยงและการตอบสนองความเสี่ยง การระบุการตอบสนองความเสี่ยงปัจจุบันและเจ้าของความเสี่ยง แผนผังและตารางความเสี่ยง ขั้นที่ 3 การกำหนดแผนปฏิบัติการ ทำการหารือกับผู้เกี่ยวข้องโดยใช้ตารางความเสี่ยง เจ้าของความเสี่ยงทำการกำหนดแผนปฏิบัติการ ลำดับความสำคัญของแผนการปฏิบัติการตามวันที่ต้องการนำไปดำเนินการจริง ทำการสอบทานความคืบหน้าแผนการปฏิบัติการ รายการความคืบหน้า ขั้นที่ 4 การติดตามผล การจัดลำดับแผนการปฏิบัติการ
ประโยชน์ของการจัดระบบบริหารความเสี่ยงที่มีประสิทธิภาพ ช่วยให้องค์กรสามารถบริหารความเสี่ยง หรือเตรียมแผนจัดการกับเหตุการณ์ที่อาจจะเกิดขึ้นได้อย่างมีประสิทธิภาพ ช่วยให้สามารถกำหนดแผนกลยุทธ์และวัตถุประสงค์ที่สอดคล้องกับระดับความเสี่ยงที่ยอมรับได้ ช่วยให้สามารถตัดสินใจ และเลือกกลยุทธ์ในการบริหารความเสี่ยงที่ดีขึ้น ช่วยให้เกิดการบริหารความเสี่ยงในภาพรวม และทั่วทั้งองค์กร ช่วยให้การดำเนินงานเป็นไปตามกฎระเบียบ และกฎหมาย ช่วยให้มีระบบข้อมูลเพื่อการตัดสินใจที่เชื่อมโยง และเหมาะสมยิ่งขึ้น ช่วยเพิ่มประสิทธิภาพในการวางแผนการตรวจสอบภายใน
แนวทางในการจัดระบบบริหารความเสี่ยง มีวิธีการ และแนวทางที่หลากหลาย ทั้งนี้ขึ้นอยู่กับวัฒนธรรมขององค์กร ความพร้อม ขนาดและความซับซ้อนขององค์กร และลักษณะเฉพาะของอุตสาหกรรม จัดให้มีบรรยากาศ และวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง เช่น จริยธรรม การสื่อสารสองทางที่มีประสิทธิภาพ หน้าที่และความรับผิดชอบ การเปิดโอกาสให้แสดงความคิดเห็น และรับฟังข้อท้วงติงเกี่ยวกับความเสี่ยงของฝ่ายบริหาร จัดตั้งทีมงานบริหารความเสี่ยง โดยมีตัวแทนของแต่ละฝ่าย หรือหน่วยงานต่างๆ เพื่อศึกษาหลักการ และแนวทางการบริหารความเสี่ยง ให้มีความเข้าใจ การสื่อภาษาที่ใช้ ให้เป็นไปในทิศทางเดียวกัน ได้รับความสนับสนุนโดยคณะกรรมการบริษัท คณะกรรมการตรวจสอบ ประธานเจ้าหน้าที่บริหาร และผู้บริหารระดับสูง เพื่อช่วยให้การดำเนิน งานประสบความสำเร็จ
แนวทางในการจัดระบบบริหารความเสี่ยง (ต่อ) ประธานเจ้าหน้าที่บริหารเป็นผู้นำโครงการ และมีหัวหน้าคณะทำงานที่ได้ รับการยอมรับจากคนในองค์กร จัดทำแผนการพัฒนาระบบบริหารความเสี่ยง กำหนดนโยบาย โครงสร้าง หน้าที่และความรับผิดชอบ พัฒนากระบวนการบริหารความเสี่ยงที่ดี และสอดคล้องกับวัฒนธรรมและปรัชญาการบริหารความเสี่ยงขององค์กร พัฒนา และฝึกอบรม สื่อสารให้ทุกคนมีความเข้าใจตรงกัน ดำเนินการติดตามประเมินผล และบริหารจัดการ บริหารความเสี่ยงที่อยู่ในระดับกิจการ (ระดับสูง) ก่อน แล้วค่อยดำเนินการในระดับกิจกรรม อาจพิจารณาเลือกหน่วยงาน กิจกรรม หรือโครงการ เป็นโครงการนำร่องก่อน
ข้อจำกัดของกระบวนการบริหารความเสี่ยง ความเสี่ยงมีความเกี่ยวข้องกับอนาคต ซึ่งมีความไม่แน่นอน การบริหารความเสี่ยงจะต้องมีการปฏิบัติใช้ในหลายระดับที่แตกต่างกัน โดยมีความสอดคล้องกับวัตถุประสงค์ที่แตกต่างกัน (กลยุทธ์ , การดำเนินงาน , การรายงาน และ การปฏิบัติตามกฎ) การบริหารความเสี่ยงไม่สามารถทำให้มั่นใจได้ 100% ว่าองค์กรจะบรรลุวัตถุประสงค์ที่กำหนดไว้ เพราะมีปัจจัยของข้อจำกัด ดังนี้ การใช้ดุลยพินิจในการตัดสินใจ (Judgement) ความล้มเหลวหรือข้อบกพร่องของระบบการควบคุมภายใน อันเกิดจากความประมาท เลินเล่อ และความไม่เข้าใจของบุคลากร (Breakdowns) การแทรกแซงโดยฝ่ายบริหาร (Management Override) การสมรู้ร่วมคิด (Collusion) ความคุ้มค่าของต้นทุน และผลประโยชน์ที่จะได้รับ (Cost & Benefit)
บทบาทหน้าที่และความรับผิดชอบในการบริหารความเสี่ยง ทุกคนในองค์กร มีความรับผิดชอบต่อการบริหารความเสี่ยงองค์กรที่จะกระทบต่อวัตถุประสงค์หรือเป้าหมายที่รับผิดชอบ คณะกรรมการ มีหน้าที่กำกับดูแลให้มีนโยบายและการบริหารความเสี่ยงที่มีประสิทธิผล ประธานเจ้าหน้าที่บริหาร มีความรับผิดชอบสูงสุด และรับบทบาทเป็นเจ้าของ หรือเจ้าภาพที่จะจัดให้มีกระบวนการบริหารความเสี่ยงที่มีประสิทธิภาพ ผู้บริหารอื่นๆ มีหน้าที่สนับสนุนปรัชญาการบริหารความเสี่ยงองค์กร ส่งเสริมความร่วมมือต่อระดับความเสี่ยงที่องค์กรยอมรับได้ และจัดการกับความเสี่ยงภายในขอบเขตความรับผิดชอบของตนที่สอดคล้องกับเกณฑ์ความคลาดเคลื่อนของความเสี่ยงที่องค์กรยอมรับได้ เจ้าหน้าที่ความเสี่ยง มีหน้าที่สนับสนุนกระบวนการบริหารความเสี่ยง ผู้สอบบัญชีภายนอก / หน่วยงาน / บุคคลอื่น ภายนอกองค์กร ไม่มีความรับผิดชอบต่อประสิทธิผลของการบริหารความเสี่ยง ผู้ตรวจสอบภายใน มีหน้าที่สอบทานและประเมินประสิทธิผลของการบริหารความเสี่ยง
โครงสร้างการบริหารความเสี่ยง
ตัวอย่าง : โครงสร้างองค์กรในการบริหารความเสี่ยง Board of Directors Audit Committee Executive team BU 1 BU 2 BU 3 RMC Internal Audit 1st line of defense 3rd line of defense Group Support Functions Group Risk Functions Day to day risk management Specialist Departments Risk oversight 2nd line of defense
ตัวอย่าง : โครงสร้างองค์กรในการบริหารความเสี่ยง คณะกรรมการบริหารสสจ. คณะกรรมการตราวจสอบ ทีมผู้บริหาร ผู้จัดการความเสี่ยง คณะกรรมการบริหาร ความเสี่ยง สำนักงานเลขา ความเสี่ยง ฝ่ายตรวจสอบภาย คณะอนุกรรมการบริหาร ความเสี่ยงหรือคณะทำงาน ด้านต่างๆ หน่วยงานต่างๆ
โครงสร้างการบริหารความเสี่ยง สป. โครงสร้างการบริหารความเสี่ยง สป. คณะกรรมการบริหาร สป. คณะทำงานบริหารความเสี่ยง สำนักงานเลขานุการบริหารความเสี่ยง โปรแกรมความเสี่ยง 1.การบริหารความ เสี่ยงเชิงยุทธ ฯ 2.ธรรมาภิบาล 3.เทคโนโลยี 4.กระบวนการ 5.สิ่งแวดล้อมและ ความปลอดภัย หน่วยงานในสังกัด สป. ส่วนกลาง ผู้รับผิดชอบความเสี่ยง
การบริหารความเสี่ยงของ สำนักงานปลัดกระทรวง จะเริ่มต้นจากที่ไหน? อย่างไร?
วัตถุประสงค์ พัฒนาโครงสร้าง ระบบ กลไก และความเชื่อมโยงการบริหารความเสี่ยง ระดับ สป. ควบคุม กำกับ วางมาตรการป้องกันและเฝ้าระวังความเสี่ยง ระดับ สป. ที่มีต่อสัมฤทธิผลตามเป้าหมายบริการของ สป. รายงานข้อมูลสำคัญที่อาจก่อให้เกิดความเสียหายเชิงยุทธศาสตร์ ระดับ สป. เป็นศูนย์การวิเคราะห์ สังเคราะห์และแปลผลข้อมูลไปสู่การเฝ้าระวังตามระบบบริหารความเสี่ยง ระดับ สป.
วัตถุประสงค์ระดับกลยุทธ์/องค์กร ความสัมพันธ์ของวัตถุประสงค์ระดับองค์กร หน่วยงาน กระบวนการปฏิบัติงาน/โครงการ/กิจกรรม วิสัยทัศน์ พันธกิจ ประเด็นยุทธศาสตร์ วัตถุประสงค์ระดับกลยุทธ์/องค์กร เป้าหมาย/ตัวชี้วัดระดับกลยุทธ์/องค์กร กระบวนการปฏิบัติงาน/ โครงการ/กิจกรรม 1 กระบวนการปฏิบัติงาน/ โครงการ/กิจกรรม 2 กระบวนการปฏิบัติงาน/ โครงการ/กิจกรรม 3 - วัตถุประสงค์ระดับกิจกรรม - เป้าหมาย/ตัวชี้วัดระดับกิจกรรม ขั้นตอน หลักที่ 1 ขั้นตอน หลักที่ 2 ขั้นตอน หลักที่ 3
การระบุกิจกรรมสำคัญ กระบวนการ เช่น การจัดซื้อ การผลิต การบริหารพัสดุ เป็นต้น ระบบฐานข้อมูล กฎหมาย ระเบียบ ข้อบังคับ สายผลิตภัณฑ์หรือบริการ หรือกลุ่มลูกค้า สัญญาหรือโครงการต่าง ๆ แผนงานหลักหรือแผนปฏิบัติงาน อื่น ๆ
ตัวอย่างตารางสรุปความสัมพันธ์ระหว่างหน่วยงานภายในขององค์กรกับกระบวนการในการดำเนินงาน ฝ่ายงาน หน้าที่งาน กระบวนการ ที่ 1 ที่ 2 ที่ 3 1. ………… 2. ............... 3. ................ 1.1 .............. 1.2 .............. 2.1 .............. 2.2 .............. 2.3 .............. 3.1 .............. 3.2 .............. X
Exercise จากโครงสร้างทิศทางองค์กรหรือแผนที่ทางยุทธศาสตร์ ของสำนักงานปลัดกระทรวง…..ถ้าท่านเป็นที่ปรึกษาในการวางแผนบริหารความเสี่ยงให้กับสำนักงานปลัดกระทรวง…..ท่านจะมีแนวทางในการวางแผนอย่างไรโดยใช้แบบฟอร์ม “แบบค้นหาความเสี่ยง” ตามที่กำหนดไว้ ให้ท่านกำหนดวัตถุประสงค์ระดับกลยุทธ์/องค์กร และวัตถุประสงค์ระดับกิจกรรมของกระบวนการปฏิบัติงาน/โครงการ/กิจกรรม ที่เกี่ยวข้อง พร้อมระบุปัจจัยเสี่ยง ประเมินความเสี่ยง และกำหนดวิธีการตอบสนองต่อความเสี่ยงหรือจัดการ กับความเสี่ยง ให้ครอบคลุมความเสี่ยงตามเกณฑ์PMQA
ตัวอย่าง แผนที่กลยุทธ์ของสำนักงานปลัดกระทรวงสาธารณสุข วิสัยทัศน์ “เป็นหน่วยงานหลักในการพัฒนาระบบ กลไกในการบริหารงานให้เอื้อต่อการพัฒนาวิชาการ และการจัดบริการของหน่วยงานในส่วนภูมิภาค เพื่อการบรรลุเป้าหมาย คนไทยแข็งแรง เมืองไทยแข็งแรง” ประเด็นยุทธศาสตร์ที่ 1 ประเด็นยุทธศาสตร์ที่ 2 ประเด็นยุทธศาสตร์ที่ 6 ประเด็นยุทธศาสตร์ที่ 7 ประชาชนได้รับบริการด้านสุขภาพที่มีคุณภาพ การเสริมสร้างพฤตกรรมสุขภาพที่ดีของประชาชน การพัฒนาระบบบริหารงานให้มีความเป็นเลิศ สนับสนุนความมั่นคงของรัฐ ประเด็นยุทธศาสตร์ที่ 4 1. การให้บริการในระบบหลักประกันสุขภาพ 30 ของสถานบริการสังกัด สป.มีคุณภาพและมาตรฐาน 2. ประชาชนและเครือข่ายภาคีด้านสุขภาพได้รับการส่งเสริมให้มีประสิทธิภาพในการมีพฤติกรรมในการดูแลสุขภาพที่เหมาะสม 3. ประชาชนผู้เสพและผู้ติดยาเสพติดในระดับพื้นที่ได้รับการบำบัดรักษา ฟื้นฟู ให้สามารถอยู่ร่วมในสังคมได้ 4. ธุรกิจบริการด้านสุขภาพได้รับการส่งเสริมและสนับสนุนให้มีมาตรฐานเพื่อการแข่งขัน 5. ผลิตภัณฑ์สุขภาพ ชุมชนได้มาตรฐานและแข่งขันได้ การบำบัดรักษา ฟื้นฟูผู้เสพและผู้ติดยาเสพติด ประสิทธิผลตามแผนปฏิบัติราชการ 6. ระบบบริการสุขภาพในเขตจังหวัดชายแดนมีความเหมาะสมกับการแก้ไขปัญหาเฉพาะของพื้นที่และโดยเฉพาะชายแดนภาคใต้ ประเด็นยุทธศาสตร์ที่ 3 7. ระบบบริการทางการแพทย์และสาธารณสุขมีคุณภาพมาตรฐานทั้งการส่งเสริมสุขภาพ เฝ้าระวังควบคุมและภัยสุขภาพ บำบัดรักษาและฟื้นฟูสมรรถภาพ 8. ประชาชนในพื้นที่ได้รับการส่งเสริมให้ใช้องค์ความรู้ด้านการแพทย์แผนไทยการแพทย์พื้นบ้านและสมุนไพรที่เหมาะสม 9. ประชาชนทุกระดับมีความพึงพอใจในคุณภาพการให้บริการและการบริหารจัดการได้รับการพัฒนาระบบ/กลไกให้เอื้อต่อการปฏิบัติงานอย่างมีประสิทธิภาพ ส่งเสริมการพัฒนาการแพทย์แผนไทยและการแผนทางเลือก คุณภาพการให้บริการ ประเด็นยุทธศาสตร์ที่ 5 การบริการสุขภาพและผลิตภัณฑ์สุขภาพได้รับการส่งเสริมและพัฒนาเพื่อแข่งขันได้เชิงธุรกิจระดับประเทศ 10. ระบบบริหารจัดการด้านสุขภาพมีประสิทธิภาพ 11. กฎหมายด้านสาธารณสุขมีการพัฒนาสมบูรณ์ครบถ้วนตามนโยบายรัฐ ประสิทธิภาพของการปฏิบัติราชการ 12. องค์ความรู้ในการบริหารจัดการด้านสุขภาพได้รับการส่งเสริมและสนับสนุนให้มีการศึกษาวิจัยให้เหมาะสมกับสถานการณ์ 13. พัฒนาขีดสมรรถนะของบุคลากรและองค์กรให้อยู่ในระดับเกณฑ์มาตรฐานที่สามารถยอมรับได้ พัฒนาองค์กร
แบบค้นหาความเสี่ยงเชิงยุทธศษสตร์ ประเด็นยุทธศาสตร์.................................................................................................................................................................... เป้าหมายการให้บริการ................................................................................................................................................................ ตัวชี้วัดความสำเร็จของเป้าหมายการให้บริการ.......................................................................................................................... เป้าหมาย/ ตัวชี้วัด (8) กำหนดเสร็จ/ผู้รับผิดชอบ (7) การจัดการกับความเสี่ยง (6) ความเสี่ยงที่เหลืออยู่ (5) ระดับความ สำคัญของความเสี่ยง(พิจาณาโอกาสและผลกระทบ) (4) ปัจจัยเสี่ยง (3) ขั้นตอนสำคัญและวัตถุประสงค์ (2) กระบวนการปฏิบัติ งาน/โครงการ/กิจกรรม และวัตถุประสงค์ (1)
แบบค้นหาความเสี่ยงด้าน.............................. เป้าหมาย......................................................................................................................................................... วัตถุประสงค์.............................................................................................................................................................................. ตัวชี้วัดความสำเร็จ...................................................................................................................................................................... เป้าหมาย/ ตัวชี้วัด (8) กำหนดเสร็จ/ผู้รับผิดชอบ (7) การจัดการกับความเสี่ยง (6) ความเสี่ยงที่เหลืออยู่ (5) ระดับความ สำคัญของความเสี่ยง(พิจาณาโอกาสและผลกระทบ) (4) ปัจจัยเสี่ยง (3) ขั้นตอนสำคัญและวัตถุประสงค์ (2) กระบวนการปฏิบัติ งาน/โครงการ/กิจกรรม และวัตถุประสงค์ (1)
รายงานผลการเฝ้าระวังการดำเนินงานบริหารความเสี่ยงเชิงยุทธศาสตร์ FRM 001 รายงานผลการเฝ้าระวังการดำเนินงานบริหารความเสี่ยงเชิงยุทธศาสตร์ สำนักงานปลัดกระทรวงสาธารณสุข ในปีงบประมาณ 2552 หน่วยงาน .................................................................. สำนักงานปลัดกระทรวงสาธารณสุข เป้าหมายให้บริการตามพันธกิจของหน่วยงาน ตัวชี้วัดสำคัญระดับหน่วยงาน ความเสี่ยง/ปัจจัยเสี่ยงที่ส่งผลต่อความสำเร็จของตัวชี้วัด มาตรการ / กิจกรรมการควบคุมความเสี่ยงที่มีอยู่ ระดับความเสี่ยง ณ ต.ค. 51 มาตรการ / ทางเลือกการจัดการความเสี่ยงที่ปรับปรุง / เพิ่มเติม ผู้รับผิดชอบ / เจ้าของความเสี่ยง ระดับความเสี่ยงที่คาดหวังภายหลังการดำเนินการตามมาตรการใน Col. 6 คำอธิบาย/คำชี้แจง (5) (8) ผลกระทบ(5 - 1) โอกาสเกิด(5 - 2) ผลกระทบ (8 - 1) โอกาสเกิด(8-2) (1) (2) (3) (4) (6) (7) (9) จัดทำโดย......................................................... ทบทวนโดย…………………....................….. อนุมัติโดย ……………………......................... (.......................................................) (.......................................................) (.......................................................) ตำแหน่ง (.......................................................) ตำแหน่ง (.......................................................) ตำแหน่ง (........................................................) วันที่..................../....................../..................... วันที่..................../....................../..................... วันที่..................../....................../.....................
สำนักงานปลัดกระทรวงสาธารณสุข ในปีงบประมาณ 2552 FRM 001 แผนบริหารความเสี่ยง....................................................................................... สำนักงานปลัดกระทรวงสาธารณสุข ในปีงบประมาณ 2552 หน่วยงาน(เจ้าภาพ) .................................................................. สำนักงานปลัดกระทรวงสาธารณสุข เป้าหมายหลัก/รอง ตัวชี้วัดสำคัญของเป้าหมาย ความเสี่ยง ปัจจัยเสี่ยง มาตรการ / กิจกรรมการควบคุมปัจจัยความเสี่ยงที่มีอยู่ ระดับความเสี่ยง ณ ต.ค. 51 มาตรการ / ทางเลือกการจัดการความเสี่ยงที่ปรับปรุง / เพิ่มเติม ผู้รับผิด ชอบ / เจ้าของความเสี่ยง ระดับความเสี่ยงที่คาดหวังภายหลังการดำเนินการตามมาตรการใน Col. 7 คำอธิ บาย/คำชี้แจง (6) (9) ผลกระทบ (6 - 1) โอกาสเกิด(6 - 2) ผลกระทบ (8 - 1) โอกาสเกิด(8-2) (1) (2) (3) (4) (5) (7) (8) (10) จัดทำโดย......................................................... ทบทวนโดย…………………....................….. อนุมัติโดย ……………………......................... (.......................................................) (.......................................................) (.......................................................) ตำแหน่ง (.......................................................) ตำแหน่ง (.......................................................) ตำแหน่ง (........................................................) วันที่..................../....................../..................... วันที่..................../....................../..................... วันที่..................../....................../.....................
แบบติดตามผลการบริหารความเสี่ยงของ............................. ณ วันที่....................... การจัดการ กับ ความเสี่ยง เพิ่มเติม (8) วิธีการ ติดตามผล/ ปัญหาและ อุปสรรค (7) สถานะ การดำเนินการ (6) กำหนดเสร็จ/ผู้รับผิดชอบ (5) การจัดการกับความเสี่ยง (4) ความเสี่ยงที่เหลืออยู่ (3) ขั้นตอนหลักและวัตถุประสงค์ (2) กระบวนการปฏิบัติงาน/โครงการ/กิจกรรมและวัตถุประสงค์ของกระบวนการปฏิบัติงาน/โครงการ/กิจกรรม (1) สถานะการดำเนินการ ดำเนินการแล้วเสร็จตามกำหนด ดำเนินการแล้วเสร็จล่าช้ากว่ากำหนด ยังไม่ได้เริ่มดำเนินการ อยู่ระหว่างดำเนินการ
แผนการปรับปรุงการควบคุมภายในตามฐานความเสี่ยง ชื่อหน่วยงาน....................................... แผนการปรับปรุงการควบคุมภายในตามฐานความเสี่ยง สำหรับระยะเวลาตั้งแต่วันที่.......................สิ้นสุดวันที่...................... ผู้รับผิดชอบ (8) กำหนดเสร็จ (7) การปรับปรุงการควบคุม (6) ความเสี่ยงที่เหลืออยู่ (5) การควบคุมที่มีอยู่แล้ว (4) ระดับความ สำคัญของความเสี่ยง (พิจารณาโอกาสและผลกระทบ) (3) ความเสี่ยง(สาเหตุและผลกระทบ (S-O-F-C) 2) กระบวนการปฏิบัติงาน/โครงการ/กิจกรรม/ด้านของงานที่ประเมินและวัตถุประสงค์ของการควบคุม (1)
แนวทางการดำเนินงาน
ระบบบริหารความเสี่ยง แสดงการยอมรับบทบาทของโปรแกรมที่มีอยู่เดิมและบทบาทของหัวหน้าฝ่ายต่างๆ เป็นหลักประกันว่าหัวหน้าหน่วยงานจะเป็นผู้จัดการความเสี่ยงในโอกาสแรก ส่งเสริมการสื่อสาร ทุกคนเป็นผู้จัดการความเสี่ยง ไม่เพิ่มค่าใช้จ่ายที่ไม่จำเป็น
การบริหารความเสี่ยงระดับหน่วยงาน 1. การค้นหาความเสี่ยง ระบบบันทึกข้อมูลที่มีอยู่แล้ว ประสบการณ์ของบุคคล เรียนรู้จากประสบการณ์ของคนอื่น เรียนรู้ในระหว่างการทำงาน บัญชีรายการความเสี่ยง
การบริหารความเสี่ยงระดับหน่วยงาน 2. การวิเคราะห์ความเสี่ยง risk weight = Frequency X Security
Risk Analysis Grid ความรุนแรง ความถี่ ต่ำ สูง ต่ำ สูง
ผังภาพแสดงการวัดระดับความสำคัญของความเสี่ยง สูง ปานกลาง ผลกระทบ - ต่ำ/ โอกาส - สูง ต่ำ โอกาส - ต่ำ สูง ผลกระทบ - สูง/ ผล กระทบ ต่ำ โอกาสที่จะเกิด สูง
การจัดการความเสี่ยง มาตรการป้องกัน จะเตรียมทรัพยากรเพื่อป้องกันความเสี่ยงอย่างไร วิธีปฏิบัติงานที่รัดกุมควรเป็นอย่างไร จะควบคุมกระบวนการทำงานเพื่อป้องกันความเสี่ยงอย่างไร แนวทางปฏิบัติเมื่อเกิดปัญหา ตรวจพบปัญหาให้เร็วที่สุดอย่างไร โดยใคร เมื่อพบปัญหาแล้วจะดำเนินการโดยเร็วอย่างไร โดยใคร ควรรายสถานการณ์ให้ผู้บริหารทราบขึ้นไปถึงระดับใด
ตัวอย่างการบริหารความเสี่ยงในระดับองค์กร การค้นหาความเสี่ยง การรายงาน – โปรแกรมหรือระบบที่เกี่ยวข้อง - เหตุการณ์ไม่พึงประสงค์ - คำร้องเรียนของผู้รับบริการ การสัมภาษณ์ การสำรวจ แหล่งข้อมูลภายนอก
2. การประเมินความเสี่ยง การประเมินขั้นต้น(Initial Assessment) การบริหารคำเรียกร้องค่าเสียหาย(Claim Management) การประเมินความเสี่ยงในอนาคต -ระบบสารสนเทศเพื่อการบริหารความเสี่ยง -ประสบการณ์ค่าเสียหายของ องค์กร
คณะกรรมการและผู้บริหาร แผนบริหารความเสี่ยงระดับองค์กร 3. การจัดการความเสี่ยง คณะกรรมการและผู้บริหาร แผนบริหารความเสี่ยงระดับองค์กร กลยุทธ์ในการจัดการความเสี่ยง - การควบคุมความเสี่ยง - การบริหารเพื่อชดเชยความสูญเสียของ องค์กร
4. การประเมินผล การประเมินผลประสบการณ์ การประเมินวิธีการแก้ปัญหา การสะท้อนกลับ
การบริหารระบบความเสี่ยงในระดับองค์กร/หน่วยงาน หน้าที่ของผู้บริหาร การจัดให้มีระบบบริหารความเสี่ยง นำกระบวนการบริหารความเสี่ยงทั้ง 4 ขั้นตอนมาปฏิบัติ การจัดระบบฐานข้อมูล การประสานกิจกรรมความเสี่ยงเข้าด้วยกัน ใช้ข้อมูลรายงานสถานการณ์มาศึกษาเชิงลึก บูรณาการบริหารความเสี่ยงกับการประกันคุณภาพเข้าด้วยกัน
การบริหารความเสี่ยงในระดับองค์กร การเริ่มต้นสำหรับองค์กร บริหารโดยผู้บริหารระดับสูง กำหนดแบบรายงานข้อมูลที่จำเป็น มอบหมายผู้รับผิดชอบที่ชัดเจน ทบทวนข้อมูลที่เกี่ยวข้องกับความเสี่ยง สร้างหลักประกันความเสี่ยงที่สำคัญได้มีการจัดการอย่างเหมาะสม
การบริหารความเสี่ยงในระดับองค์กร แผนบริหารความเสี่ยงระดับองค์กร นโยบายขององค์กร สิ่งที่ผู้บริหารระดับสูงทำเพื่อส่งเสริมความปลอดภัยและรายงานที่ต้องการ คำจำกัดความของความเสี่ยงกับการบริหารความเสี่ยง ความรับผิดชอบของหัวหน้างานในหน่วยงาน นโยบายการค้นหาและการรายงาน แผนงานความเสี่ยงในองค์กร
ตัวอย่างความเสี่ยง
การตอบสนองต่อความเสี่ยง แผนปฏิบัติการจัดการกับ ความเสี่ยง กับ การจัดการกับความเสี่ยง ความเสี่ยง ทางธุรกิจ การตอบสนองต่อความเสี่ยง แผนปฏิบัติการจัดการกับ ที่เหลืออยู่ ที่เหลืออยู่ใน ระดับที่ยอมรับได้
การวัดระดับการบริหารความเสี่ยง ระดับที่ 5 มีการบริหารความเสี่ยงเป็นกิจกรรมปกติและเป็นวัฒนธรรม : กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงานและสัมพันธ์กับการประเมินผลและค่าตอบแทนของพนักงาน การบริหารเทคโน โลยีสารสนเทศเพื่อการจัดการที่ดีอยู่ในเกณฑ์ดีถึงดีมาก การวัดระดับการบริหารความเสี่ยง ระดับที่ 4 มีการปรับปรุงระบบบริหารความเสี่ยงเพื่อมูลค่าเพิ่ม : - การวางแผนธุรกิจและการลงทุนเชื่อมโยงกับกลยุทธ์การบริหารความเสี่ยง บริหารและมีการสนับสนุนการบริหารความเสี่ยงเพื่อเพิ่มมูลค่า มีการปรับปรุงการบริหารความเสี่ยงสม่ำเสมอและปฏิบัติตามแผนฯประจำปี การเพิ่มมูลค่าผู้มีผลประโยชน์ร่วม ระดับที่ 3 มีการเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี : เป็นกลยุทธ์ต่อเนื่องและสัมพันธ์กับการเปลี่ยน แปลง มีระบบงานไม่ซ้ำซ้อน กระบวนการทำงานข้ามสายงานได้ และโครงสร้างกะทัดรัด - มีการบริหารความเสี่ยงอย่างบูรณาการและสัมพันธ์กับเทคโนโลยีสารสนเทศที่ดีไม่ต่ำกว่าพอใช้ ระดับที่ 2 มีการบริหารความเสี่ยงเบื้องต้นที่มีระบบ : - เป็นกลยุทธ์ระยะสั้น - ระบุความเสี่ยงที่ชัดเจนจากสาเหตุ - กระบวนการบริหารความเสี่ยงแยกเป็นส่วนๆ -มุ่งเน้นการควบคุมเป็นเรื่องๆ ระดับที่ 1 มีการบริหารความเสี่ยงน้อยมาก : - บริหารเชิงตั้งรับเป็นส่วนใหญ่ - ตั้งกฎเกณฑ์การควบคุมโดยไม่มีฐานจากความเสี่ยง การเจริญเติบโตอย่างยั่งยืน
Thank you