แนวทางและนโยบาย การบริหารความเสี่ยง

การบริหารความเสี่ยง ความเสี่ยงและเหตุการณ์เสี่ยง การจำแนกความเสี่ยง ประเภทความเสี่ยง เกณฑ์การจัดระดับความเสี่ยง (โอกาสที่จะเกิด) กระบวนการบริหารความเสี่ยง ขั้นตอนการประเมินความเสี่ยงในการวางแผนการตรวจ การประเมินการควบคุมด้วยตนเอง

ความเสี่ยง (Risk) ความเสี่ยง หมายถึง โอกาสที่จะเกิด Risk-based Audit ความเสี่ยง (Risk) ความเสี่ยง หมายถึง โอกาสที่จะเกิด ความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ซึ่งไม่พึงประสงค์ ที่ทำให้งานไม่ประสบความสำเร็จ ตามวัตถุประสงค์

ความเสี่ยงและเหตุการณ์เสี่ยง ความเสี่ยง คือโอกาสที่จะเกิดความผิดพลาด/ความไม่แน่นอน/ความเสียหาย ความสูญเปล่า/การรั่วไหล หรือเหตุการณ์ไม่พึงประสงค์ต่อความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนดไว้ เนื่องจากเหตุการณ์เสี่ยงต่าง ๆ เหตุการณ์เสี่ยง(Risk Event) หมายถึง สถานการณ์ความไม่แน่นอน ที่อาจเกิดขึ้นและมีผลต่อความสำเร็จตามวัตถุประสงค์ มี 2 มิติ โอกาสของวิกฤตและความไม่สำเร็จที่ต้องบริหารเพื่อลดผลกระทบและโอกาสเกิด โอกาสของความสำเร็จที่ต้องบริหารเพื่อเพิ่มโอกาสความสำเร็จ

การประเมินความเสี่ยงและกิจกรรมการควบคุม การประเมินความเสี่ยง คือกระบวนการที่ใช้ในการระบุและวิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร รวมทั้งการกำหนดแนวทางที่จำเป็นต้องใช้ในการควบคุมความเสี่ยงหรือการบริหารความเสี่ยง กิจกรรมควบคุม หมายถึง นโบยาย และวิธีการต่าง ๆ ที่ฝ่ายบริหารกำหนดให้บุคลากรขององค์กรปฏิบัติเพื่อลด หรือควบคุมความเสี่ยง และได้รับการสนองตอบโดยมีการปฏิบัติ ตัวอย่างเช่น การสอบทานงาน การดูแลป้องกันทรัพย์สิน การแบ่งแยกหน้าที่ เป็นต้น

ประเภทความเสี่ยง Reputation risk Strategic risk Operational risk คือ ความเสี่ยงจากการสูญเสียความน่าเชื่อถือ คือ ความเสี่ยงเกี่ยวกับการจัดทำแผนกลยุทธ์ รวมถึงการดำเนินงานตามแผน ดังกล่าวไม่เหมาะสม Strategic risk คือ ความเสี่ยงเกี่ยวกับความเสียหายจากการควบคุมไม่เพียงพอ หรือ การขาด การควบคุม ทั้งในเรื่องกระบวนการทำงาน บุคลากร และระบบงานต่างๆ Operational risk คือ ความเสี่ยงเกี่ยวกับผู้กู้หรือผู้ให้กู้อาจไม่สามารถปฏิบัติตามภาระผูกพันได้ หรือไม่สามารถปฏิบัติตามสัญญาได้ Credit risk คือ ความเสี่ยงเกี่ยวกับการสูญเสียจากการเปลี่ยนแปลงของ อัตราดอกเบี้ย อัตราแลกเปลี่ยนและระดับราคา Market risk คือ ความเสี่ยงเกี่ยวกับการเปลี่ยนแปลงด้านกฎหมาย หรือจากผลกระทบของ เหตุการณ์ภายนอกอื่นๆ External risk

Strategic risk Terminology Strategic planning Policy คือ ความเสี่ยงเกี่ยวกับการจัดสรรทรัพยากรไม่เหมาะสม ทำให้ไม่สามารถบรรลุวัตถุประสงค์ขององค์กรได้ Strategic planning คือ ความเสี่ยงเกี่ยวกับการไม่สามารถดำเนินการ ตามนโยบายที่วางไว้ได้ Policy

Operational risk Business Continuity Personnel Information IT คือ ความเสี่ยงเกี่ยวกับการที่บุคลากรและระบบงาน ไม่สามารถดำเนินงาน ต่อไปได้ตามปกติเมื่อเกิดเหตุการณ์ผิดปกติ Business Continuity คือ ความเสี่ยงเกี่ยวกับ พนักงาน และผู้บริหารระดับสูง ขาดความรู้หรือ ประสบการณ์ หรือมีพฤติกรรมที่ไม่เหมาะสม Personnel คือ ความเสี่ยงเกี่ยวกับความน่าเชื่อถือของข้อมูล เนื่องจากความไม่ถูกต้อง และการรั่วไหลของข้อมูลลับ Information คือ ความเสี่ยงเกี่ยวกับความผิดพลาดของระบบ IT ส่งผลให้ในการ ปฏิบัติงานเกิดความผิดพลาดหรือหยุดชงัก IT คือ ความเสี่ยงเกี่ยวกับ การผิดพลาดในการปฏิบัติงาน จากวิธีการทำงาน Operation คือ ความเสี่ยงเกี่ยวกับดำเนินการทาง กม. หรือกฎระเบียบ ข้อบังคับ Legal Fraud คือ ความเสี่ยงเกี่ยวกับการสูญเสีย จากการฉ้อโกงของพนักงาน

External risk Politic Terrorism / Disaster คือ ความเสี่ยงเกี่ยวกับการสูญเสีย จากเหตุการณ์หรือ การดำเนินการจากนโยบายองค์กรไม่เหมาะสม Politic คือ ความเสี่ยงเกี่ยวกับการสูญเสีย จากภัยธรรมชาติ สงคราม หรือ การก่อวินาศกรรม Terrorism / Disaster

กระบวนการบริหารความเสี่ยง การกำหนดวัตถุประสงค์ การระบุเหตุการณ์เสี่ยง การประเมินความเสี่ยง การตอบสนองความเสี่ยง

การบริหารความเสี่ยง การกำหนดวัตถุประสงค์ Vision  Mission  Strategic Planning Action Planning Objective ด้านกลยุทธ์ สนับสนุนวิสัยทัศน์และพันธกิจขององค์การ ด้านการปฏิบัติงาน ประสิทธิภาพและประสิทธิผลการปฏิบัติงาน ด้านรายงาน ความเชื่อถือได้และประโยชน์ของรายงานต่างๆ ด้านการปฏิบัติตามกฎระเบียบ

การบริหารความเสี่ยง การระบุเหตุการณ์เสี่ยง ปัจจัยเสี่ยงภายนอก อาทิ การเปลี่ยนแปลงเทคโนโลยี ลูกค้าเปลี่ยนทัศนคติ การแข่งขัน เศรษฐกิจ ฯลฯ ปัจจัยเสี่ยงภายใน อาทิ ปริมาณความซับซ้อนของลูกค้า ปัญหาและคุณภาพในการประมวลผล การเปลี่ยนแปลง ทางการบริหาร ประสิทธิผลการควบคุม Change Management

การบริหารความเสี่ยง เทคนิคการระบุความเสี่ยง เชิงปริมาณ ชัดเจน พิสูจน์ทางสถิติได้ ใช้กับเหตุการณ์ที่สำคัญและซับซ้อน เชิงคุณภาพ ใช้ดุลยพินิจ เหตุการณ์ในอดีต เหตุการณ์ที่อาจจะเกิด

การบริหารความเสี่ยง การประเมินความเสี่ยง : การวิเคราะห์และจัดระดับความเสี่ยง (Degree of Risk) ความน่าจะเกิด(likelihood) พิจารณาจาก ปริมาณงานมาก-น้อย ความซับซ้อนของงาน อัตราความผิดพลาด ความสามารถของผู้บริหาร ประสิทธิผลการควบคุมภายใน ผลกระทบ(Impact) พิจารณาจาก ความสำคัญทางการเงิน และที่มีต่อการดำเนินงาน เช่น จำนวนเงิน อัตราส่วนทางการเงิน หรือชื่อเสียงองค์กร

เกณฑ์การจัดระดับความเสี่ยง (โอกาสที่จะเกิด) Risk-based audit ระดับ ความหมาย 5 เกิดขึ้นเกือบแน่นอน 76-100% เกิดขึ้นเกือบแน่นอนในสถานการณ์ส่วนใหญ่ เช่น เกิดขึ้นทุกสัปดาห์ 4 เป็นไปได้ที่จะเกิดขึ้น 51-75% อาจจะเกิดขึ้นในสถานะการณ์ส่วนใหญ่ เช่น เกิดขึ้นเดือนละครั้ง 3 ค่อนข้างเป็นไปได้ที่จะเกิดขึ้น 26-50% อาจจะเกิดขึ้นในบางครั้ง – ความเป็นไปได้ระดับกลาง เช่น เกิดขึ้นปีละครั้ง 2 ไม่น่าจะเกิดขึ้น 6-25% ไม่น่าจะเกิดขึ้นในบางครั้ง– ความเป็นไปได้ที่จะเกิดน้อย เช่น 5 ปี ครั้ง 1 ยากที่จะเกิดขึ้น 0-5% อาจจะเกิดขึ้นในสถานการณ์ที่ผิดปกติเท่านั้น เช่น เกิดขึ้น 10 ปี ครั้ง

(Consequence /Impact) ผลกระทบ (Consequence /Impact) ผลกระทบ หมายถึง ผลกระทบของเหตุการณ์หนึ่งเป็นการวัดผลที่เหตุการณ์นั้นจะมีต่อองค์กร โดยทั่วไป แบ่งเป็น 5 ระดับ ต่อไปนี้ ไม่สำคัญ (Insignificant) น้อย (Minor) ปานกลาง (Moderate) มาก (Major) รุนแรงมาก (Catastrophic)

การบริหารความเสี่ยง การตอบสนองความเสี่ยง : การพิจารณาเลือกวิธีที่ควรกระทำ ตามผลการประเมินความเสี่ยง ดูจากผลจากโอกาสจะเกิดและผลกระทบ โดยเปรียบเทียบระหว่างระดับความเสี่ยงที่เกิดกับระดับความเสี่ยงที่ยอมรับได้ และความคุ้มค่าในการบริหารความเสี่ยงที่เหลืออยู่(Residual Risk)

การบริหารความเสี่ยง วิธีการตอบสนองความเสี่ยง การหลีกเลี่ยงความเสี่ยง(Risk Avoidance) การใช้บริการจากบุคคลภายนอก รับเหมาช่วง การลดความเสี่ยง(Risk Reduction) กำหนดแผนฉุกเฉิน เพิ่มการควบคุมภายใน การแบ่งความเสี่ยง(Risk Sharing) การจัดประกันภัย การยอมรับความเสี่ยง(Risk Acceptance) จัดทำรายงานต่อผู้บริหาร

ความเสี่ยงสืบเนื่องหรือความเสี่ยงแฝง (Inherent Risk) เป็นความเสี่ยงที่เกิดผิดพลาดตามลักษณะภารกิจขององค์กรที่มีสาระสำคัญโดยไม่คำนึงว่าการควบคุมภายในมีประสิทธิภาพเพียงใด ควรคำนึงถึง ลักษณะของภารกิจขององค์กร ลักษณะของรายการและความซับซ้อนของงาน/โครงการ ลักษณะของข้อมูล

ความเสี่ยงขององค์กร (Inherent Risk) ควรคำนึงถึงปัจจัยดังนี้ ลักษณะของภารกิจขององค์กร - ประเภทของบริการ - สภาพเศรษฐกิจและแนวโน้ม - นโยบายการเงินการคลัง - การ Reengineer หรือการบูรณาการงานใหม่ ลักษณะของรายการและความซับซ้อนของงาน ลักษณะของข้อมูล - สามารถบันทึกรายการได้หลายลักษณะหรือไม่ - ความซับซ้อนของระบบคอมพิวเตอร์ โปรแกรมที่เกี่ยวข้อง คุณสมบัติ ในการปฏิบัติของเครื่องคอมพิวเตอร์ที่ใช้

ความเสี่ยงจากการควบคุม ( Control risk) เป็นความเสี่ยงจากระบบควบคุมภายในขององค์กรไม่สามารถป้องกันหรือค้นพบความผิดพลาดที่มีสาระสำคัญได้ ระบบการควบคุมภายในที่ดี ควรเป็นระบบที่สามารถป้องกันความเสี่ยงจากการเกิดความผิดพลาดที่มีสาระสำคัญในข้อมูลที่ตรวจพบ (Inherent Risk) ได้ในระดับหนึ่ง

ปัจจัยที่ควรคำนึงในการประเมินความเสี่ยง ความน่าเชื่อถือและความซื่อสัตย์ของผู้บริหาร ประสบการณ์และความรู้ของผู้บริหาร แรงกดดังที่มีต่อผู้บริหาร เช่น ขาดทุนหมุนเวียน ลักษณะของภารกิจของหน่วยงาน ปัจจัยที่มีผลกระทบต่อภารกิจที่หน่วยงานนั้นดำเนินอยู่ เช่น การเปลี่ยนแปลงทาง Technology , การแข่งขัน ,งบประมาณ

ปัจจัยที่ควรคำนึงในการประเมินความเสี่ยง (ต่อ) โอกาสที่แต่ละรายการจะแสดงข้อมูลผิดพลาด ความซับซ้อนของบางภารกิจที่ควรอาศัยผู้เชี่ยวชาญ โอกาสที่ทรัพย์สินจะสูญหายหรือถูกนำไปใช้อย่างไม่เหมาะสม เช่น การนำคอมพิวเตอร์ไปใช้ส่วนตัว ความสมบูรณ์ของข้อมูลที่ผิดปกติหรือซับซ้อน กิจกรรมที่ไม่ได้เกิดจากการดำเนินงานตามปกติขององค์กร

ตัวอย่างความเสี่ยง การไม่สามารถรักษาทรัพย์สินไม่ให้ถูกขโมย การใช้ทรัพย์สินอย่างไม่มีประสิทธิภาพ ความบกพร่องไม่เก็บรักษาข้อมูล และบันทึกรายการผิดพลาด