การบริหารความเสี่ยง ธรรญา สุขสมัย ธรรญา สุขสมัย ที่ปรึกษาการพัฒนาระบบการบริหารความเสี่ยงองค์กร ผู้อำนวยการศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล ที่ปรึกษาชมรมความเสี่ยงรัฐวิสาหกิจแห่งประเทศไทย วิทยากรการบริหารความเสี่ยงองค์กร โครงการพี่เลี้ยง กระทรวงการคลัง วิทยากรการบริหารความเสี่ยงองค์กร สภาอุตสาหกรรมแห่งประเทศไทย วิทยากรรับเชิญ COSO-ERM สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ร่วมกับ PWC

หัวข้อที่นำเสนอ การบริหารความเสี่ยง Enterprise Risk Management – Integrated Framework(COSO-ERM 2004)

พัฒนาการบริหารความเสี่ยง COSO 1992 Internal Control COSO-ERM 2004 COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.

การควบคุมภายในตามความหมายของ COSO การควบคุมภายใน(Internal Control) การควบคุมภายในตามความหมายของ COSO “กระบวนการปฏิบัติงานที่ทุกคนในองค์การ ตั้งแต่ คณะกรรมการบริหาร ผู้บริหารทุกระดับ และพนักงาน ทุกคน ร่วมกันกำหนดให้เกิดขึ้น เพื่อสร้างความมั่นใจใน ระดับที่สมเหตุสมผลในการบรรลุวัตถุประสงค์ ๓ ด้าน” ได้แก่ ๑. ด้านการปฏิบัติการ (O) ๒. ด้านการรายงานทางการเงิน (F) ๓. ด้านการปฏิบัติตามกฎหมาย และกฎระเบียบที่ เกี่ยวข้อง (C)

การควบคุมภายในตามแนวคิด ของคณะกรรมการตรวจเงินแผ่นดิน การควบคุมภายใน(Internal Control) การควบคุมภายในตามแนวคิด ของคณะกรรมการตรวจเงินแผ่นดิน การควบคุมภายในเป็นกระบวนการที่รวมไว้เป็นส่วนหนึ่ง ในการปฏิบัติงานตามปกติ การควบคุมภายในเกิดขึ้นได้โดยบุคลากรขององค์กร การควบคุมภายในให้ความมั่นใจอย่างสมเหตุสมผลว่าการ ปฏิบัติงานจะบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนด

หลักการการบริหารความเสี่ยง COSO-ERM 2004 ประเภทของวัตถุประสงค์ องค์ประกอบของการบริหารความเสี่ยง โครงสร้างขององค์กร

COSO – Enterprise Risk Management การบริหารความเสี่ยงองค์กร คือ กระบวนการที่ได้รับการ ปฏิบัติโดยคณะกรรมการบริษัท ผู้บริหารและบุคลากรเพื่อ นำไปประยุกต์ใช้ในการกำหนดกลยุทธ์และการวางแผน ขององค์กรในทุกระดับ โดยได้รับการออกแบบให้ สามารถบ่งชี้เหตุการณ์ที่อาจเกิดขึ้นและมีผลกระทบต่อ องค์กร และสามารถจัดการความเสี่ยงให้อยู่ในระดับที่ องค์กรยอมรับเพื่อให้ได้รับความมั่นใจอย่างสมเหตุสมผล ในการบรรลุวัตถุประสงค์ Source: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.

ความหมายของความเสี่ยง ความเสี่ยง (Risk) คือ เหตุการณ์ที่มีความไม่แน่นอน ซึ่งหากเกิดขึ้นจะมีผลกระทบในเชิงลบต่อ วัตถุประสงค์หรือเป้าหมายขององค์กร

The ERM Framework วัตถุประสงค์ขององค์กรโดยทั่วไป แบ่งเป็น วัตถุประสงค์เชิงกลยุทธ์ วัตถุประสงค์ด้านการ ดำเนินงาน วัตถุประสงค์ด้านการรายงานทั้งที่เป็นการเงินและไม่ใช่การเงิน วัตถุประสงค์ด้านการปฏิบัติตามกฎ/ระเบียบ Source: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.

The ERM Framework นำไปใช้กับกิจกรรมทุกระดับ ระดับองค์กร ระดับฝ่าย/สายงาน ระดับกิจกรรม Source: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.

The ERM Framework องค์ประกอบของ ERM สภาพแวดล้อมภายใน การกำหนดวัตถุประสงค์ การระบุเหตุการณ์ การประเมินความเสี่ยง การตอบสนองความเสี่ยง กิจกรรมการควบคุม สารสนเทศและการสื่อสาร การติดตามประเมินผล Source: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.

แนวทางการนำ COSO ERM มาใช้ในเชิงปฏิบัติ การกำหนด Risk appetite และ Risk tolerance การให้ความรู้เกี่ยวกับการบริหารความเสี่ยงอย่างต่อเนื่อง สื่อสารการบริหารความเสี่ยงต่อผู้มีส่วนได้เสียภายนอกเพื่อสร้างความเชื่อมั่นต่อองค์กร นำการบริหารความเสี่ยงรวมกับกระบวนการในการประเมินผลการดำเนินงาน (KPI) กลยุทธ์ การบริหาร ความเสี่ยง สอบทานโครงสร้างการบริหารความเสี่ยงรวมทั้งบทบาทและความรับผิดชอบ แนวทางการนำ COSO ERM มาใช้ในเชิงปฏิบัติ โครงสร้าง การบริหาร ความเสี่ยง กรอบ การบริหาร ความเสี่ยง นำกระบวนการบริหารความเสี่ยงไปปฏิบัติอย่างต่อเนื่องทั่วทั้งองค์กร (การควบคุมภายใน และการบริหารความเสี่ยง) ทบทวนและพัฒนากรอบการบริหารความเสี่ยง สนับสนุนให้เกิดกระบวนการตรวจสอบภายในเชิงความเสี่ยง (Risk based internal audit) ปัจจัยพื้นฐาน การบริหาร ความเสี่ยง ศึกษาการจัดทำระบบ Early Warning Indicator เช่น การทำ Risk Dashboard เป็นต้น ศึกษาการนำเอาระบบ Software มาใช้ในการบริหารความเสี่ยง

การบริหารความเสี่ยงมหาวิทยาลัย พระราชบัญญัติการศึกษาแห่งชาติ “ การศึกษา ” กระบวนการเรียนรู้เพื่อความ เจริญงอกงามของบุคคลและสังคม โดยการ ถ่ายทอดความรู้ การฝึก การอบรม การสืบสาน ทางวัฒนธรรม การสร้างสรรค์จรรโลง ความก้าวหน้าทางวิชาการ การสร้างองค์ความรู้ อันเกิดจากการจัดสภาพแวดล้อมสังคม การ เรียนรู้และปัจจัยเกื้อหนุนให้บุคคลเรียนรู้อย่าง ต่อเนื่องตลอดชีวิต 04/04/60

O – Objective (วัตถุประสงค์) C – Control (การควบคุมภายใน) การบริหารความเสี่ยง วิสัยทัศน์ เป็นองค์กรธรรมรัฐ เป็นแหล่งเรียนรู้ เป็นหลักในถิ่น เป็นเลิศสู่สากล พันธกิจ 1. ผลิตและพัฒนากำลังคนระดับสูง ให้มีมาตรฐานที่สอดคล้องกับความต้องการในการพัฒนา เศรษฐกิจและสังคม ภาคใต้และของประเทศ 2. ดำเนินการศึกษา ค้นคว้า วิจัยและพัฒนาองค์ความรู้ใหม่ให้สามารถนำไปใช้ในการผลิตให้มีคุณภาพและ ประสิทธิภาพ เพื่อความสามารถในการพึ่งตนเองและการแข่งขันในระดับนานาชาติ 3. ให้บริการทางวิชาการแก่หน่วยงานต่าง ๆ ทั้งภาครัฐและเอกชนในด้านการให้คำปรึกษา และแนะนำการวิจัย และพัฒนา การทดสอบ การสำรวจ รวมทั้งการฝึกอบรมและพัฒนาอันก่อให้เกิดการถ่ายทอดเทคโนโลยีที่จำเป็น และเหมาะสม เพื่อการพัฒนาเศรษฐกิจและสังคมของภูมิภาคและประเทศชาติ 4. อนุรักษ์และฟื้นฟูศิลปะและวัฒนธรรม อันเป็นจารีตประเพณี รวมทั้งศิลปะบริสุทธิ์และศิลปะ-ประยุกต์ เพื่อให้มหาวิทยาลัยเป็นศูนย์รวมของชุมชนและเป็นแบบอย่างที่ดีของ สังคม O – Objective (วัตถุประสงค์) R – Risk (ความเสี่ยง) C – Control (การควบคุมภายใน) องค์กร หน่วยงาน แผนงาน โครงการ กิจกรรม / กระบวนการ วิสัยทัศน์และพันธกิจ ORC ความสอดคล้องกัน การประเมินความเสี่ยงในระดับ องค์กร การประเมินความเสี่ยงของสายงาน / หน่วยงาน / การประเมินตนเอง (Control Self Assessment) การบริหารความเสี่ยง ระดับองค์กร การควบคุมภายใน

การบริหารความเสี่ยงระดับองค์กร การบริหารความเสี่ยงระดับองค์กร มหาวิทยาลัย สนง.อธิการบดี ERM การบริหารความเสี่ยงระดับองค์กร กอง ศูนย์ โครงการ การควบคุมภายใน คณะ คณะ วิทยาลัย SILO การบริหารความเสี่ยงระดับองค์กร ภาควิชา สนง.คณบดี การควบคุมภายใน 04/04/60

การบริหารความเสี่ยง วัตถุประสงค์ เป้าหมาย Input ปัจจัยภายใน Risk Risk นักเรียน บุคลากร งบประมาณ ทรัพยากร Risk Risk การศึกษา การวิจัย การบริการวิชาการ กฎหมาย พระราชบัญญัติการศึกษา นโยบายทางการศึกษา สภาวะเศรษฐกิจ การเมือง สังคม การแข่งขัน เทคโนโลยี การประกันคุณภาพการศึกษา ฯลฯ Process ปัจจัยภายนอก วางแผน,กฏหมาย, การเงิน, บัญชี, สื่อสาร ประชาสัมพันธ์ ทรัพยากรมนุษย์ ระบบเทคโนโลยีสารสนเทศ จัดซื้อ Output, Outcome คุณลักษณะบัณฑิต งานวิจัย งานบริการวิชาการ วัตถุประสงค์ เป้าหมาย Risk

ตัวอย่างขั้นตอนการบริหารความเสี่ยง เป้าหมายองค์กร วัตถุประสงค์ ประเมินผล มาตรการ ความเสี่ยง Vs ปัญหา การวิเคราะห์สาเหตุ ประเมินผล การจัดการ ระบุเหตุการณ์ ความเสี่ยง ติดตาม เหตุการณ์ ความเสี่ยง ประเมิน เหตุการณ์ ความเสี่ยง ผลกระทบ โอกาสที่จะเกิด เกณฑ์การประเมิน รูปแบบ การติดตาม จัดการ เหตุการณ์ ความเสี่ยง กลยุทธ์ การจัดการ

ตัวอย่างขั้นตอนการบริหารความเสี่ยง วัตถุประสงค์ มหาวิทยาลัย,คณะ ระบุเหตุการณ์ ความเสี่ยง เทคนิคในการระบุความเสี่ยง การสัมภาษณ์ การระดมสมอง การจัดประชุมเชิงปฏิบัติการ เหตุการณ์ทั้งภายในและภายนอกองค์กรที่อาจเกิดขึ้นแล้วส่งผลกระทบต่อการบรรลุวัตถุประสงค์

แหล่งที่มาของความเสี่ยง ตัวอย่างขั้นตอนการบริหารความเสี่ยง แหล่งที่มาของความเสี่ยง ภายในองค์กร เช่น สถานที่ทำงาน ระบบบัญชี วัฒนธรรมองค์กร การฝึกอบรมพนักงาน ภายนอกองค์กร เช่น การเปลี่ยนแปลงในกฎหมาย การเปลี่ยนแปลงทางเศรษฐกิจ กระแสโลกาภิวัฒน์ เสถียรภาพทางการเมือง ความไม่แน่นอนทางเศรษฐกิจ การเปลี่ยนแปลงในพฤติกรรมผู้บริโภค กระแสสังคม สิ่งแวดล้อม การเปลี่ยนแปลงของเทคโนโลยี ระบุเหตุการณ์ ความเสี่ยง

การจัดอันดับ มหาวิทยาลัย สังคม ชุมชน เครือข่าย NGO Risk Map ปัจจัยภายนอก นโยบายภาครัฐ งบประมาณ ประชาคมอาเซียน เศรษฐกิจ โครงสร้างประชากร สิ่งแวดล้อม กฎหมาย การแข่งขัน เทคโนโลยี การเมือง ภาคเอกชน การจัดอันดับ มหาวิทยาลัย สังคม ชุมชน เครือข่าย NGO Globalization สื่อ Climate change ภัยพิบัติ ทรัพย์สินทาง ปัญญา Social Network การก่อการร้าย 04/04/60

การวิเคราะห์ระดับความเสี่ยงจะพิจารณา ถึง โอกาสที่จะเกิด (Likelihood) ผลกระทบ (Impact) ที่จะเกิด เพื่อรู้ถึงระดับความเสี่ยงของแต่ละ ความเสี่ยง ประเมิน เหตุการณ์ ความเสี่ยง Level 5 Almost Certain เกิดขึ้นเป็นประจำ เช่น เดือนละหลาย ๆ ครั้ง Level 4 Likely เกิดขึ้นหลายครั้ง เช่น หลาย ๆ ครั้งต่อปี Level 3 Possible ปานกลาง/เกิดขึ้นทุกปี เช่น ปีละครั้ง Level 2 Rare เกิดขึ้นนาน ๆ ครั้ง เช่น 3 ปีครั้ง Level l Very Rare เกิดขึ้นในกรณียกเว้น/แทบไม่มีโอกาสที่จะเกิด Level 5 Severe/Catastrophic หายนะ/ค่าความเสียหายสูงมาก,ระบบหยุดชะงักนาน,พนักงานหรือประชาชนเสียชีวิต Level 4 Major วิกฤติ/ค่าความเสียหายสูง,ระบบหยุดชะงักเป็นช่วง,พนักงานหรือประชาชนได้รับบาดเจ็บหลายราย Level 3 Moderate ปานกลาง/ค่าความเสียหาย,ระบบหยุดชะงักชั่วขณะ,พนักงานหรือประชาชนได้รับบาดเจ็บ Level 2 Minor ต่ำ/ค่าความเสียหายเล็กน้อย,ระบบหยุดชะงัก,พนักงานหรือประชาชนได้รับบาดเจ็บเล้กน้อย Level l Negligible ต่ำมาก/ไม่มีนัยสำคัญ

ตัวอย่างขั้นตอนการบริหารความเสี่ยง กิจกรรมการควบคุมที่มีอยู่ นโยบายและวิธีปฏิบัติที่ช่วยให้มั่นใจได้ว่าการตอบสนอง ความเสี่ยงสามารถดำเนินไปได้ ทำในทุกๆ ส่วนขององค์กร รวมถึงการควบคุมด้าน IT ทั้งส่วนของ application Control และ general Control

ตัวอย่างขั้นตอนการบริหารความเสี่ยง Impact การร่วมจัดการความเสี่ยง High Impact Low Likelihood ลดความเสี่ยง/ หลีกเลี่ยงความเสี่ยง High Likelihood ยอมรับความเสี่ยง Low Impact Low Impact Risk A Risk C จัดการ เหตุการณ์ ความเสี่ยง Risk B Risk D Likelihood

ตัวอย่างขั้นตอนการบริหารความเสี่ยง การจัดการความเสี่ยงอาจเลือกใช้กลยุทธ์อย่างใดอย่างหนึ่ง หรือผสมผสานกัน: ACCEPT การยอมรับ ยอมรับความเสี่ยงที่เกิดจากการปฏิบัติงานและภายใต้ระดับความเสี่ยงที่องค์กรสามารถยอมรับได้ REDUCE การลด การดำเนินการเพิ่มเติมเพื่อลดโอกาสเกิด หรือผลกระทบของความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ AVOID การหลีกเลี่ยง การดำเนินการเพื่อยกเลิกหรือหลีกเลี่ยงกิจกรรมที่ก่อให้เกิดความเสี่ยง ทั้งนี้หากทำการใช้ กลยุทธ์นี้ อาจต้องทำการพิจารณาวัตถุประสงค์ว่าสามารถบรรลุได้หรือไม่ เพื่อทำการปรับเปลี่ยนต่อไป SHARE การร่วมจัดการ การร่วมจัดการโดยแบ่งความเสี่ยงบางส่วนกับบุคคลหรือองค์กรอื่น

ตัวอย่างขั้นตอนการบริหารความเสี่ยง การควบคุมแบบค้นหาที่ผิด Control Activities กิจกรรมการควบคุม การควบคุม (Control) หมายถึง ขั้นตอน กระบวนการ หรือกลไก ซึ่งองค์กรกำหนดขึ้นเพื่อให้มั่นใจว่ากิจกรรมในการดำเนินธุรกิจจะประสบความสำเร็จ และได้ผลลัพธ์ตามวัตถุประสงค์ที่ได้กำหนด Preventive การควบคุมแบบป้องกัน การดำเนินการ หรือการควบคุมที่จัดไว้ล่วงหน้าเพื่อลดโอกาสเกิดของผลลัพธ์ / ผลกระทบที่ไม่ดี Detective การควบคุมแบบค้นหาที่ผิด การดำเนินการ หรือการควบคุมเพื่อค้นหาสาเหตุเมื่อความผิดพลาด หรือสิ่งผิดปกติได้เกิดขึ้นแล้ว Corrective การควบคุมแบบแก้ไข การดำเนินการ หรือการควบคุมเพื่อแก้ไขความเสียหาย หรือลดความเสียหายที่เกิดจากความผิดพลาด หรือความผิดปกติ

ตัวอย่างขั้นตอนการบริหารความเสี่ยง Ongoing Monitoring - Management Review Report - การสอบทานตัวชี้วัด กระบวนงาน การประเมินผลการบริหารความเสี่ยง ติดตาม เหตุการณ์ ความเสี่ยง ประเมินผล การจัดการ การร่วมจัดการความเสี่ยง High Impact Low Likelihood ลดความเสี่ยง/ หลีกเลี่ยงความเสี่ยง High Likelihood ยอมรับความเสี่ยง Low Impact Low Impact 04/04/60

Tolerances – Acceptable Range การบูรณาการกับแผน Mission เป็นองค์กรชั้นนำในการผลิตสินค้า consumer products ในภูมิภาคเอเชียตะวันออกเฉียงใต้ Strategic Objectives เป็นที่หนึ่งในการขายสินค้าให้กับผู้ค้าปลีก Measures ส่วนแบ่งตลาด Strategy ขยายกำลังการผลิตสำหรับสินค้าขายดี 5 รายการแรก Risk Appetite ยอมรับการจัดหาเงินทุนเพิ่มขึ้น เพื่อใช้สำหรับการลงทุนในสินทรัพย์ใหม่ บุคลากร และกระบวนการ ยอมรับการแข่งขันที่อาจเพิ่มสูงขึ้นเพื่อเพิ่มส่วนแบ่งตลาด ซึ่งอาจส่งผลให้กำไรต่อหน่วยลดลง ไม่ยอมรับต่อการลดลงของคุณภาพของสินค้า Related Objectives เพิ่มกำลังการผลิตสินค้า x 15% ภายใน 12 เดือน เพิ่มพนักงานใหม่ 200 คนสำหรับทุกๆ สายการผลิต รักษาระดับคุณภาพสินค้า Measures จำนวนสินค้าที่ผลิตได้ จำนวนพนักงานใหม่ ร้อยละของสินค้าที่มี Defect Risk Tolerances Measure ส่วนแบ่งตลาด หน่วยผลิต จำนวนพนักงานใหม่ อัตรา Defect ของสินค้า Target ร้อยละ 25 150,000 หน่วย 200 คน ร้อยละ 0.10 Tolerances – Acceptable Range ร้อยละ 23 – 30 +10,000 / - 7,500 + 20 / - 15 ร้อยละ 0.10 – 0.15

ขั้นตอนการเชื่อมโยงความเสี่ยงกับ การวางแผน Stakeholders Strategic Planning Process Risk Management Process Business Environment Risk Appetite การวางแผน การบริหาร ความเสี่ยงองค์กร SWOT Analysis Approach Event Identification Risk Assessment Impact & likelihood Vision Mission and Strategic Objective Setting Risk Response Avoid, Accept, Reduce, Share Define Strategy Financial, Customer, Internal Business Process, Learning&Growth Risk Reporting Month, Quarter, Year

ขั้นตอนการเชื่อมโยงความเสี่ยงกับ การวางแผน Stakeholders Strategic Planning Process Risk Management Process Business Environment Risk Appetite การวางแผน การบริหาร ความเสี่ยงองค์กร SWOT Analysis Approach Event Identification Risk Assessment Impact & likelihood Vision Mission and Strategic Objective Setting Risk Response Avoid, Accept, Reduce, Share Define Strategy Financial, Customer, Internal Business Process, Learning&Growth Risk Reporting Month, Quarter, Year

ขั้นตอนการเชื่อมโยงความเสี่ยงกับ การวางแผน Stakeholders Strategic Planning Process Risk Management Process Risk Appetite การวางแผน การบริหาร ความเสี่ยงองค์กร Event Identification Risk Assessment Impact & likelihood บริหารจัดการคุณภาพ ระบบ........................... ไม่ยอมรับให้ระบบงานบริการลงทะเบียนหยุดชะงัก Risk Response Avoid, Accept, Reduce, Share Risk Reporting Month, Quarter, Year

ขั้นตอนการเชื่อมโยงความเสี่ยงกับ การวางแผน Stakeholders Strategic Planning Process Risk Management Process Risk Appetite การบริหาร ความเสี่ยงองค์กร Event Identification Risk Assessment Impact & likelihood Risk Response Avoid, Accept, Reduce, Share Risk Reporting Month, Quarter, Year

ขอบคุณครับ ธรรญา สุขสมัย tsuksmai@yahoo.com tsuksmai@gmail.com 04/04/60