Risk Management in Siam University

งานนำเสนอเรื่อง: "Risk Management in Siam University"— ใบสำเนางานนำเสนอ:

1 Risk Management in Action @ Siam University
Risk Management by KM… Risk Management in Action @ Siam University เรียบเรียงโดย: ผศ.ดร.เฉลิมเกียรติ วงศ์วนิชทวี ดร.พิเชษฐ์ มุสิกะโปดก

2 OUTLINES Definition of Risk management Problem & Risk
The importance of Risk management Risk management process: COSO, IRM, SET. in Thailand Success Factors/Guideline to Risk Management Tools: Risk identification / Risk Analysis SU ERM.

3 มองโลก มององค์กร มองประเทศ มองตนเอง
Inter/national Politics Economics Social Technology มององค์กร มองประเทศ Customer Competitor มองตนเอง Alliance Stake-holder Supplier Risk Management Tools 3

4 ความเข้าใจผิด 3 ประการ เกี่ยวกับ Risk
1) Risk is always bad. Risk เป็นสิ่งไม่ดี Risk Level Cost 2) Risk must be eliminated at all costs ต้องกำจัด Risk ให้หมดสิ้น 3) Playing it safe is the safest thing to do. ไม่เสี่ยงเลย จะคุ้ม/ปลอดภัย ที่สุด 4

5 การบริหารความเสี่ยง(Risk management)
คือ กระบวนการที่ปฏิบัติโดยคณะกรรมการบริหาร ผู้บริหาร และบุคลากรทุกคนในองค์กรเพื่อช่วยในการกำหนดกลยุทธ์และดำเนินงาน โดยกระบวนการบริหารความเสี่ยงได้รับการออกแบบเพื่อให้สามารถบ่งชี้เหตุการณ์ที่อาจเกิดขึ้น และมีผลกระทบต่อองค์กร และสามารถจัดการความเสี่ยงให้อยู่ในระดับที่ องค์กรยอมรับได้ เพื่อให้ได้รับความมั่นใจอย่างสมเหตุสมผล ในการบรรลุ วัตถุประสงค์ที่องค์กรกำหนดไว้ (ที่มา : กรอบการบริหารความเสี่ยงขององค์กร: Committee of Sponsoring Organizations of The Treadway Commission : COSO)

6 นิยามศัพท์ วิเคราะห์ความเสี่ยง จัดลำดับความเสี่ยง และวางแผน
การบริหารความเสี่ยง = กระบวนการที่เป็นระบบเพื่อค้นหาและระบุความเสี่ยง วิเคราะห์ความเสี่ยง จัดลำดับความเสี่ยง และวางแผน บริหารความเสี่ยง เพื่อบริหารให้ความเสี่ยงลดลงอยู่ใน ระดับที่องค์กรยอมรับได้ และมั่นใจอย่างสมเหตุสมผล ได้ว่าการดำเนินงานขององค์กรจะสามารถบรรลุ วัตถุประสงค์ที่กำหนดไว้ ความเสี่ยง = โอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ที่ไม่พึงประสงค์ ที่อาจจะ เกิดขึ้นได้ในอนาคต และเมื่อเกิดขึ้นแล้วมีผลกระทบหรือ ทำให้การดำเนินงานไม่ประสบความสำเร็จตามวัตถุประสงค์ 6

7 การประเมินความเสี่ยง
นิยามศัพท์ ปัจจัยเสี่ยง = ต้นเหตุ หรือสาเหตุของความเสี่ยง การระบุความเสี่ยง = การค้นหาและระบุความเสี่ยงที่อาจจะมีผลกระทบต่อ วัตถุประสงค์ขององค์กร โดยพิจารณาจากแหล่งที่มาของ ความเสี่ยงทั้งจากปัจจัยภายใน และภายนอกองค์กรทุกด้าน การประเมินความเสี่ยง = การวิเคราะห์ความเสี่ยง โดยประเมินจากโอกาสที่จะเกิด และผลกระทบ และนำความเสี่ยงที่ได้วิเคราะห์แล้วมาจัด ลำดับความเสี่ยง โอกาสที่จะเกิด = ความถี่ หรือโอกาสที่จะเกิดเหตุการณ์ความเสี่ยง ว่ามีโอกาส ที่จะเกิดมากน้อยเพียงใด 7

8 ความเสี่ยงที่ยอมรับได้ ความเสี่ยงที่เหลืออยู่
นิยามศัพท์ ผลกระทบ = ขนาดของความรุนแรงของความเสียหายที่อาจจะเกิดขึ้นหาก เกิดเหตุการณ์ความเสี่ยง โดยความเสียหายหรือผลกระทบ อาจจะเป็นตัวเงินหรือไม่เป็นตัวเงินก็ได้ ระดับของความเสี่ยง = สถานะของความเสี่ยงที่ได้จากการประเมินโอกาสและ ผลกระทบของแต่ละปัจจัยเสี่ยง ความเสี่ยงที่ยอมรับได้ = ประเภทและปัจจัยเสี่ยงที่องค์กรสามารถยอมรับได้โดยไม่ ดำเนินการใดๆ กับความเสี่ยงนั้น ความเสี่ยงที่เหลืออยู่ = ความเสี่ยงที่ยังคงเหลืออยู่ภายหลังจากที่ได้มีการจัดการ ความเสี่ยงหรือจัดวางระบบการควบคุมภายในแล้ว 8

9

10 Ü “ปัญหา” กับ “ความเสี่ยง”
ปัญหา คือ สิ่งที่รู้/เห็นได้ชัดเจนว่าสิ่งที่เกิดขึ้นคืออะไร ไม่ต้องคาดเดาหรือกังวลใจว่าจะเกิดหรือไม่ สาเหตุ คืออะไร จะแก้ไขอย่างไร ความเสี่ยง คือ เรื่องที่ทำให้เกิดความกังวลใจ(Event+Uncertainty+Negative impact) เหตุการณ์ที่ไม่แน่นอนที่อาจเป็นสาเหตุให้การดำเนินงานไม่ลุล่วงหรือไม่บรรลุเป้าหมาย เกิดการเปลี่ยนแปลงของบริบทแวดล้อม มีความเสียหายที่อาจเกิดขึ้น เป็นสิ่งที่ยังไม่พบ ยังไม่เกิดขึ้น ต้องพยากรณ์/คาดเดาว่าจะเกิด ต้องวิเคราะห์ว่าเกิดเมื่อใด จะเป็นอย่างไร แล้วต้องทำอย่างไร

11 แนวทางการพิจารณาว่าเรื่องใดเป็น “ปัญหา” หรือ “ความเสี่ยง”
แนวทางการพิจารณาว่าเรื่องใดเป็น “ปัญหา” หรือ “ความเสี่ยง” นำประเด็นที่ต้องการพิจารณามาตรวจสอบกับ 3 ข้อต่อไปนี้ หากตรงกับข้อใดข้อหนึ่ง ประเด็นดังกล่าวอาจจะเป็นความเสี่ยง แต่ถ้าตรงกับทั้ง 3 ข้อ แสดงว่าเป็นปัญหา ไม่ใช่ความเสี่ยง 1. เป็นสภาพปัญหาที่เกิดจากอดีตและต่อเนื่องมาถึงปัจจุบัน แต่มีแนวโน้มที่จะดีขึ้นในอนาคตด้วยมาตรการที่เตรียมไว้ 2. เป็นประเด็นที่ทราบกรอบผลกระทบชัดเจน มีผู้รับผิดชอบ มีแผนจัดการเป็นรูปธรรม อยู่ระหว่างการดำเนินการ 3. เป็นประเด็นที่เรื้อรังมาระยะหนึ่ง ซึ่งมีมาตรการแก้ไขแล้วแต่ยังไม่เสร็จ และยังคงใช้เฉพาะมาตรการปัจจุบันต่อไป

12 เมื่อพิจารณาเรื่องที่ต้องการจะดำเนินการ แล้วพบว่าเป็น “ปัญหา” ไม่ใช่ “ความเสี่ยง” ยังไม่ควรตัดทิ้ง แต่ให้พิจารณาต่อว่า ปัญหาดังกล่าวนี้สามารถเป็นสาเหตุของการเกิดความเสี่ยงได้หรือไม่ อะไรคือข้อจำกัดที่ทำให้เกิดความเสี่ยง ยุทธศาสตร์ มาจากการเห็นสภาพปัญหา จึงวางแผนยุทธศาสตร์เพื่อแก้ไขปัญหา หากเราหยิบปัญหามาทำเป็นความเสี่ยง โดยอาจจะเปลี่ยนชื่อ มันจะทำให้เกิดความซ้ำซ้อนและเสียเวลาเพราะปัญหาจะมีแนวทางการแก้ไขอยู่แล้ว

13

14 แนวคิดของการจัดการความเสี่ยง
Risk Management Concept มาตรการควบคุม ที่มีประสิทธิผล Effective controls ความเสี่ยงที่เกิดขึ้นจากการดำเนินงานInherent Risk การควบคุมที่มีอยู่ Controls การควบคุมที่มีอยู่ Controls ความเสี่ยงที่ เหลืออยู่ Residual Risk แผนความเสี่ยง Treatment Plans ระดับความเสี่ยงที่ยอมรับได้ Acceptable Residual Risk ระดับความเสี่ยงที่ยอมรับได้ Desired level of residual risk or risk appetite การจัดการความเสี่ยงต้องพิจารณาต้นทุน เปรียบเทียบกับผลประโยชน์ที่จะได้รับ Cost & Benefit of controls must be considered 14 14

15 การบริหารความเสี่ยง(Risk Management)อื่นๆ
เป็นแนวทาง และ เครื่องมือที่ช่วยทำให้องค์กรหรือโครงการได้เห็นภาพ หรือช่วยเตือนสติทีว่าเหตุการณ์ที่มีความไม่แน่นอนและความเสี่ยงมีอะไรบ้าง จะดำเนินการจัดการกับเหตุการณ์นั้นอย่างไร ดังตัวอย่างคำถามต่อไปนี้ มีปัจจัยทั้งภายในและภายนอก(Internal/External Risk Factors)ที่มีผลกระทบทั้งเชิงบวก และเชิงลบ(Positive/Negative Impact) เป็นอย่างไร มีความถี่และความน่าจะเป็นอย่างไร(Frequency and Probability) ของแต่ละส่วนขององค์กร/หน่วย(Department/Party) และในมิติของเวลาและช่วงต่างๆ(Phase/Period) ตลอดอายุของโครงการ(Project Life Cycle) มีลำดับความสำคัญของความเสี่ยง(Risk Ranking/Priority).ในมิติของ การเฝ้าระวัง ติดตาม สื่อสาร และประชาสัมพันธ์ความเสี่ยง มีวิธีการอย่างไรในการตอบสนองต่อความเสี่ยงนั้นๆ (Risk Respond)

16 เหตุแห่งความเสี่ยง มีคำกล่าวว่า มีเส้นบางๆ ระหว่าง ความล้มเหลวกับความสำเร็จ ดังนั้นเหตุการณ์หรือความเปลี่ยนแปลงที่เกิดขึ้น สามารถเกิดจากปัจจัยเหตุ ที่มาจากทั้งปัจจัยภายใน(Internal Factors)และ ปัจจัยภายนอก(External Factors) ซึ่งในแต่ละองค์กรมีธรรมชาติทางธุรกิจที่แตกต่างกันและมีมิติแห่งเวลาที่มีขาขึ้นและขาลงเสมอ(Curve) ความเข้าใจถึงความเปลี่ยนแปลงที่มีอยู่ตลอดเวลามีผลกระทบทั้งทางบวกและลบ กับปัจจัยเหตุแห่งความเสี่ยงมีความสัมพันธ์เชื่อมโยงกันทั้งอย่างที่สามารถทำนายได้แม่นยำจนถึงไม่สามารถพยากรณ์ได้อย่างถูกต้อง ดังนั้นองค์กรจำเป็นต้องตั้งคำถามตนเองเสมอว่า “เราสามารถเข้าใจ เข้าถึง การเปลี่ยนแปลงที่เกิดขึ้นกับการดำเนินธุรกิจและความเสี่ยงที่อาจจะเกิดขึ้นจากการเปลี่ยนแปลงนั้นเพียงใด” และ “องค์กรมีแนวทางปฏิบัติทั้งการควบคุมและการตอบสนองอย่างเพียงพอเหมาะสมต่อการเปลี่ยนแปลงนั้นหรือไม่”

17 Risk Diver แนวทางบริหารความเสี่ยง: ตลาดหลักทรัพย์แห่งประเทศไทย และ Pricewaterhousecoopers,2546

18 IRM: Institute of Risk Management(IRM), UK
Risk Factors Internal Factors External Factors IRM: Institute of Risk Management(IRM), UK

19 The importance of Risk management
แนวทางบริหารความเสี่ยง: ตลาดหลักทรัพย์แห่งประเทศไทย และ Prizewaterhousecoopers,2546

20 Review of Risk Management Institutes
COSO: Committee Of Sponsoring Organization of the Tread way Commission, USA IRM: Institute of Risk Management(IRM), UK ISO 30001 ISO/IEC Guide 73 ค้นหาข้อมูลเพิ่มเติมจาก Link

21 COSO: Committee Of Sponsoring Organization of the Tread way Commission, USA

22

23 องค์ประกอบของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM – Enterprise Risk Management:COSO)
แนวทางการบริหารความเสี่ยงประกอบด้วยส่วนประกอบหลัก ๆ 8 ประการได้แก่ 1. สภาพแวดล้อมภายใน/นอก – ฝ่ายบริหารต้องกำหนดปรัชญาเกี่ยวกับความเสี่ยงและความเสี่ยงที่ยอมรับได้ขึ้นมา สภาพแวดล้อมภายในจะกำหนดพื้นฐานเพื่อใช้ในการวิธีการจัดการความเสี่ยงและควบคุม หลักสำคัญขององค์กรคือบุคลากรและสภาพแวดล้อมการทำงาน เช่น โครงสร้าง วัฒนธรรมการทำงาน เป็นต้น 2. การกำหนดวัตถุประสงค์ – ต้องมีการกำหนดวัตถุประสงค์ก่อน ฝ่ายบริหารจึงจะสามารถระบุสถานการณ์ที่อาจทำให้ไม่บรรลุผลสำเร็จได้ ERM จะสร้างความแน่ใจให้กับฝ่ายบริหารว่ามีกระบวนการกำหนดวัตถุประสงค์และเลือกวัตถุประสงค์ที่สนับสนุนและสอดคล้องกับภารกิจ/วิสัยทัศน์และมีความเสี่ยงในระดับที่องค์กรยอมรับได้ 3. การระบุสถานการณ์ – ปัจจัยในการระบุสถานการณ์ประกอบด้วย ปัจจัยทั้งภายในและภายนอกที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

24 องค์ประกอบของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM – Enterprise Risk Management)
4. การประเมินความเสี่ยง – การระบุความเสี่ยงเป็นพื้นฐานนำมาวิเคราะห์ว่าจะจัดการกับความเสี่ยงอย่างไร 5. การตอบสนองความเสี่ยง – ฝ่ายบริหารต้องเลือกวิธีการจัดการกับความเสี่ยงที่ประเมินได้ให้อยู่ในระดับที่องค์กรยอมรับได้ วิธีการจัดการกับความเสี่ยงประกอบด้วย การหลีกเลี่ยง การยอมรับ การลดและการกระจายความเสี่ยง 6. กิจกรรมการควบคุม – เป็นนโยบายและวิธีการที่สร้างขึ้นมาและใช้ในการช่วยให้ฝ่ายบริหารสามารถจัดการกับความเสี่ยงที่อย่างมั่นใจ 7. ข้อมูลสารสนเทศและการสื่อสาร – มีการระบุ จัดการและสื่อสารข้อมูลที่เกี่ยวข้องในรูปแบบและช่วงเวลาที่สามารถทำให้บุคลากรปฏิบัติหน้าที่ความรับผิดชอบได้ ข้อมูลสารสนเทศเป็นสิ่งจำเป็นในทุกระดับขององค์กรในการระบุ ประเมิน และตอบสนองความเสี่ยง 8. การติดตาม – ต้องมีการติดตามดูแลกระบวนการ ERM ขององค์กร และดัดแปลงเท่าที่จำเป็น การติดตามดูแลต้องทำเป็นกิจกรรมที่ต่อเนื่อง แยกออกมาจากการประเมินผลกระบวนการ ERM หรือผสมผสานทั้งสองอย่างเข้าด้วยกัน

25 ปัจจัยสำคัญต่อความสำเร็จของ การบริหารความเสี่ยง

26 การกำหนดวัตถุประสงค์
กำหนดเป้าหมาย วัตถุประสงค์ กลยุทธ์ขององค์กร/หน่วยงาน หรือ โครงการ ให้ชัดเจน สื่อสารให้ทั่วทั้งผู้เกี่ยวข้องให้ชัดเจน ทั้งมิติของเชิงปริมาณ เชิงคุณภาพ และ เวลา อย่างสอดคล้อง Specific, Measurable, Attainable, Relevant, Timely

27 การบ่งชี้ความเสี่ยง ความเสี่ยงและเหตุแห่งความเสี่ยงที่สำคัญ
Operation/Financial/Strategic/IT/Competitive/Suppiler/Customer/Regulatory/Economic/Political/Social RISK ความเสี่ยงและเหตุแห่งความเสี่ยงที่สำคัญ ความเสี่ยงต่างๆที่มีผลกระทบทางลบ ความไม่แน่นอนที่มีผลต่อการบรรลุวัตถุประสงค์และกลยุทธ์ขององค์กร เหตุการณ์ที่ทำให้องค์กรเสียประโยชน์ กระบวนการบ่งชี้ความเสี่ยงควรพิจารณาครอบคลุมถึง ความเสี่ยงที่อาจเกิดขึ้นทุกประเภท ความเสี่ยงที่เกิดทั้งภายในและภายนอก

28

29 ตย. การหาสาเหตุ/บ่งชี้ความเสี่ยง
Operation Risk

30

31

32 ปัจจัยเสี่ยง (สาเหตุ)
การเรียนการสอน ชื่อเหตุการณ์เสี่ยง ความเสี่ยง ปัจจัยเสี่ยง (สาเหตุ) 1.รับนักศึกษาได้ไม่ตรงตามเป้าหมายที่ตั้งไว้ ด้านกลยุทธ์ การประชาสัมพันธ์ที่ไม่มีประสิทธิภาพ วันรับสมัครนักศึกษาไม่เหมาะสมหรือตรงกับสถาบันการศึกษาคู่แข่ง นักศึกษาที่ผ่านการคัดเลือกสละสิทธิ์ เนื่องจากนักศึกษาได้รับคัดเลือกเข้าศึกษาในสถาบันการศึกษาที่มีชื่อเสียงมากกว่า 2.นักศึกษาที่ได้ไม่มีคุณภาพเท่าที่ควร เกณฑ์การคัดเลือกนักศึกษาไม่ชัดเจนและไม่เป็นมาตรฐานเดียวกัน เช่น รูปแบบการสอบสัมภาษณ์ ข้อสอบคัดเลือกไม่เหมาะสม ไม่สามารถคัดเลือกนักศึกษาที่มีคุณภาพได้ กลุ่มเป้าหมายมีตัวเลือกสถานศึกษาหลากหลาย 3.การเรียนการสอนขาดประสิทธิภาพ อุปกรณ์ เครื่องมือที่เอื้ออำนวยด้านการเรียนการสอนในห้องปฏิบัติการมีไม่เพียงพอ อาจารย์ขาดแคลนเนื่องจากการเกษียณอายุ อาจารย์ใหม่ขาดประสบการณ์ในการสอน อาจารย์มีภารกิจมากจนกระทบกับการเรียนการสอน อาจารย์รับงานจากหน่วยงานภายนอกจนกระทบกับการเรียนการสอน

33 ปัจจัยเสี่ยง (สาเหตุ)
การเรียนการสอน ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 4.สภาพแวดล้อมที่ไม่เหมาะสมกับการเรียนการสอน และการเสริมสร้างคุณภาพชีวิต ด้านสิ่งแวดล้อม สภาพแวดล้อมเสี่ยงต่อการเกิดมลภาวะ นักศึกษาและบุคลากรไม่ให้ความร่วมมือในการรักษาแวดล้อม ชุมชนโดยรอบไม่ให้ความร่วมมือในการเสริมสร้างสภาพแวดล้อม 5.ศักยภาพของบัณฑิตด้านภาษาอังกฤษไม่พร้อมแข่งขันกับชาติอื่นๆ ในอาเซียน ด้านกลยุทธ์ กระบวนเรียนการสอนภาษาอังกฤษยังขาดประสิทธิภาพ ขาดนโยบายการสนับสนุนการศึกษาภาษาอังกฤษที่เป็นรูปธรรม 6.เกิดการกระทำผิดหรือละเลยต่อการปฏิบัติงานตามจรรยาบรรณในวิชาชีพ เช่นการสอน/การควบคุมวิทยานิพนธ์/การวัดประเมินผลการเรียนของนักศึกษา/การบริหารจัดการหลักสูตร ฯลฯ ด้านนโยบาย/กฎหมาย/ระเบียบ/ข้อบังคับ บุคลากรขาดความรู้ในจรรยาบรรณวิชาชีพ ขาดการอบรมให้ความรู้ ไม่มีระบบตรวจสอบ สอบทานที่ดีพอ บุคลากรละเลยต่อการปฏิบัติงานตามจรรยาบรรณในวิชาชีพ

34 ปัจจัยเสี่ยง (สาเหตุ)
การวิจัย ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 1.จำนวนทุนวิจัยจากหน่วยงานภายนอกลดน้อยลง ด้านกลยุทธ์ ผู้ให้ทุนวิจัยขาดความเชื่อมั่นในประสิทธิภาพของการนำทุนไปใช้ให้เกิดประโยชน์สูงสุด นักวิจัยไม่ทราบแหล่งทุน 2.งานวิจัยยังไม่ตอบสนองความต้องการของสังคมและไม่สามารถนำไปใช้ประโยชน์อย่างเต็มที่ ขาดการสำรวจความต้องการของสังคม ขาดการสังเคราะห์งานวิจัยเพื่อนำไปใช้ประโยชน์ ขาดงบประมาณในการนำงานวิจัยไปใช้เกิดประโยชน์ต่อสังคม

35 ปัจจัยเสี่ยง (สาเหตุ)
การวิจัย ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 3.จำนวนผลงานวิจัยที่ได้รับการตีพิมพ์เผยแพร่ในวารสารวิชาการระดับนานาชาติมีน้อย ด้านกลยุทธ์ ผลงานวิจัยที่นำเสนอยังไม่ได้มาตรฐานเพียงพอสำหรับการตีพิมพ์เผยแพร่ คณาจารย์ขาดประสบการณ์เกี่ยวกับการวิจัยเพื่อการตีพิมพ์ในระดับนานาชาติ ไม่มีการถ่ายทอดองค์ความรู้จาก อาจารย์รุ่นเก่า สู่อาจารย์รุ่นใหม่ ในเรื่องการตีพิมพ์ในระดับนานาชาติ ขาดความร่วมมือที่เข้มแข็งในการทำวิจัยร่วมกันในระดับนานาชาติกับมหาวิทยาลัยต่างประเทศ ภาระงานสอนและภาระงานด้านอื่นมากเกินไป 4.บุคลากรสายวิชาการที่มีตำแหน่งทางวิชาการมีจำนวนลดลง คณาจารย์รุ่นใหม่ขาดความรู้ในการขอตำแหน่งทางวิชาการ ขาดอาจารย์รุ่นพี่ที่จะมาคอยให้คำแนะนำในการขอตำแหน่งทางวิชาการ ขาดระบบสนับสนุนที่ดีพอ

36 ปัจจัยเสี่ยง (สาเหตุ)
การบริการวิชาการ ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 1.หลักสูตรการฝึกอบรม/สัมมนา ไม่ได้มาตรฐาน ไม่ทันสมัย ไม่สามารถตอบสนองความต้องการของกลุ่มเป้าหมายและไม่สามารถนำไปใช้ประโยชน์ได้ตรงตามวัตถุประสงค์ ด้านกลยุทธ์ ขาดข้อมูลความต้องการที่แท้จริงของกลุ่มเป้าหมาย ไม่มีผู้รับผิดชอบพัฒนาการฝึกอบรม/สัมมนา ผู้รับผิดชอบหลักสูตรขาดความรู้ความเข้าใจในการจัดทำหลักสูตร ผู้รับผิดชอบหลักสูตรไม่ใส่ใจในการพัฒนาหลักสูตรให้ทันสมัย ขาดผู้เชี่ยวชาญที่มีทักษะและประสบการณ์ในการวิเคราะห์และจัดทำหลักสูตร ไม่นำข้อมูลจากการสำรวจมาวิเคราะห์และประเมินความต้องการของการฝึกอบรม ขาดเป้าหมายและแผนในการจัดทำหลักสูตรที่ชัดเจน ขาดการมีส่วนร่วมของผู้ที่เกี่ยวข้องในการจัดทำหลักสูตร

37 ปัจจัยเสี่ยง (สาเหตุ)
การบริการวิชาการ ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 2.ทรัพยากร (คน/เงิน/เครื่องมือ/อุปกรณ์และสถานที่) ที่ใช้การฝึกอบรม/สัมมนาไม่เพียงพอไม่เหมาะสม ด้านกลยุทธ์ วิทยากรที่เชี่ยวชาญเนื้อหาหลักสูตรโดยเฉพาะมีจำนวนไม่เพียงพอกับความต้องการ ไม่มีฐานข้อมูลวิทยากรที่เชี่ยวชาญแต่ละด้าน อัตรากำลังในหน่วยงานมีน้อยและปฏิบัติงานหลายหน้าที่ เจ้าหน้าที่ผู้รับผิดชอบไม่เตรียมความพร้อมจัดหาเครื่องมือเครื่องใช้ให้พร้อมก่อนการฝึกอบรม/สัมมนา อัตราค่าตอบแทนวิทยากรต่ำ ขาดข้อมูลทรัพยากร (คน/เงิน/ครุภัณฑ์/สถานที่) ที่ถูกต้องและเป็นปัจจุบัน ขาดการวางแผนในการจัดหาทรัพยากรที่เพียงพอและเหมาะสม ขาดการบริหารจัดการการใช้ทรัพยากรร่วมกันภายในมหาวิทยาลัยให้เกิดประโยชน์สูงสุด ขาดการจัดทำรายละเอียดของพัสดุที่จำเป็นในหลักสูตรที่จัดอบรม ขาดการบำรุงรักษาและการทดแทนของครุภัณฑ์ ขาดการบำรุงรักษาอาคารสถานที่

38 ปัจจัยเสี่ยง (สาเหตุ)
การบริการวิชาการ ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 3.ผู้ใช้บริการไม่เกิดความเชื่อมั่นในการบริการวิชาการ การประชาสัมพันธ์ไม่ถึงกลุ่มเป้าหมาย ด้านกลยุทธ์ ชื่อเสียง รวมทั้งวิทยากรและนักวิจัยยังไม่เป็นที่รู้จัก การโฆษณาประชาสัมพันธ์ยังไม่ดีพอ 4.การบริการยังไม่ได้มาตรฐาน ไม่ตอบสนองต่อผู้รับบริการ ด้านการปฏิบัติงาน ผู้ให้บริการบางคนยังขาดทัศนคติที่ดีต่อการบริการ

39 ปัจจัยเสี่ยง (สาเหตุ)
การทำนุบำรุงศิลปวัฒนธรรม ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 1.นักศึกษา บุคลากร ไม่ได้รับการเสริมสร้างเอกลักษณ์วัฒนธรรมโดยใช้ภูมิปัญญาและศิลปวัฒนธรรมที่เน้นด้านวิทยาศาสตร์และเทคโนโลยี ด้านภาพลักษณ์และชื่อเสียง บุคลากรขาดความรู้ ความชำนาญ ในด้านการทำนุบำรุงศิลปวัฒนธรรม นักศึกษาและบุคลากรไม่มีความรู้และไม่เห็นความสำคัญ ขาดงบประมาณ/งบประมาณไม่เพียงพอ ขาดการมีส่วนร่วมของนักศึกษา บุคลากร ในการกำหนดเป้าหมายและทิศทางการดำเนินงาน สถาบันฯ ไม่ได้ถ่ายทอดให้นิสิตและบุคลากรเข้าใจในนโยบายด้านการทำนุบำรุงศิลปวัฒนธรรมอย่างทั่วถึง ชุมชนไม่มีส่วนร่วม

40 ปัจจัยเสี่ยง (สาเหตุ)
ด้านบริหารจัดการและอื่นๆ (ด้านการปฏิบัติงาน) ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 1.คอมพิวเตอร์สำหรับใช้ในเพื่อการปฏิบัติงานหรือเพื่อการเรียนการสอนเสียหายไม่สามารถใช้งานได้ ด้านการปฏิบัติงาน ขาดกระบวนการจัดหาที่เป็นระบบ เจ้าหน้าที่ดูแลบำรุงรักษามีไม่เพียงพอ 2.ขาดบุคลากรที่มีความรู้ ความเชียวชาญเฉพาะด้าน ค่าตอบแทนจากภายนอกสูงกว่า ขาดการสร้างแรงจูงใจในการทำงาน

41 ปัจจัยเสี่ยง (สาเหตุ)
ด้านบริหารจัดการและอื่นๆ (ด้านการปฏิบัติงาน) ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 3.การปฏิบัติงานติดขัดมีปัญหา ไม่สามารถดำเนินการได้จนแล้วเสร็จ หรือดำเนินการแล้วเสร็จล่าช้ากว่าที่กำหนด ด้านการปฏิบัติงาน การสนับสนุนด้านงบประมาณและทรัพยากรไม่เพียงพอต่อการปฏิบัติงานใด้ได้อย่างมีประสิทธิภาพ บุคลากรขาดความรู้ความเข้าใจในการปฏิบัติงานที่ได้รับมอบหมาย จำนวนบุคลากรไม่สอดคล้องกับภาระงาน ระยะเวลาการดำเนินการไม่สอดคล้องกับภาระงาน บุคลากรที่มีประสบการณ์สูงเกษียณอายุ และการขาดการวางแผนด้านบุคลากรที่จะมารับถ่ายทอดองค์ความรู้จากผู้มีประสบการณ์ 4.บุคลากรขาดความกระตือรือร้น ขาดความร่วมมือในการพัฒนาศักยภาพในการทำงาน ขาดความร่วมมือในการเข้าร่วมของกลุ่มเป้าหมาย บุคลากรไม่เห็นประโยชน์ของการฝึกอบรมหรือเข้าร่วมกิจกรรมเพื่อพัฒนาศักยภาพของตนเอง

42 ปัจจัยเสี่ยง (สาเหตุ) ปัจจัยเสี่ยง (สาเหตุ)
ด้านบริหารจัดการและอื่นๆ (ด้านนโยบาย/กฎหมาย/ระเบียบ/ข้อบังคับ) ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 1.บุคลากรและนักศึกษาไม่ทราบหรือไม่เข้าใจในนโยบาย/กฎระเบียบ/ข้อบังคับ ของสถาบัน ด้านนโยบาย/กฎหมาย/ระเบียบ/ข้อบังคับ ช่องทางการเผยแพร่และประชาสัมพันธ์ไม่เพียงพอ ด้านบริหารจัดการและอื่นๆ (ด้านกลยุทธ์) ชื่อเหตุการณ์เสี่ยง ความเสี่ยง(ด้าน) ปัจจัยเสี่ยง (สาเหตุ) 2.บุคลากรที่มีความรู้ความสามารถอยู่ในช่วงที่จะเกษียณอายุราชการมีจำนวนมาก ด้านกลยุทธ์ ไม่มีแผนบริหารกำลังบุคลากร

43 การประเมินความเสี่ยง
เมื่อบ่งชี้ความเสี่ยงแล้ว ควรทำการประเมินความเสี่ยงที่มีอยู่ก่อนทำการควบคุมใดๆ ว่าการปฏิบัติงานในปัจจุบันได้มีวิธีการอย่างไรในการจัดการความเสี่ยง จัดลำดับความสำคัญของความเสี่ยงครอบคลุมทั้งเชิงปริมาณและเชิงคุณภาพ โอกาสที่เกิดขึ้น(Likelyhood) ผลกระทบ(Impact)

44 ตัวอย่างการวัดโอกาสที่อาจเกิดขึ้น
1 5 โอกาสที่ระบบคอมพิวเตอร์จะใช้งานไม่ได้เกินกว่า 24 ชั่วโมงเนื่องจากถูกไฟไหม้ในปี2550 โอกาสที่จะพัฒนาระบบบริหารความเสี่ยงล่าช้ากว่าที่กำหนด โอกาสที่พนักงานคนเก่งลาออก 10% ในปี 2551 โอกาสที่คู่สัญญาจะทำงานล่าช้ากว่าที่กำหนด 3 เดือน 5 1 5 1 1 5

45 ตัวอย่างการวัดผลกระทบที่อาจเกิดขึ้น
ผลกระทบที่ระบบคอมพิวเตอร์จะใช้งานไม่ได้เกินกว่า 24 ชั่วโมงเนื่องจากถูกไฟไหม้ในปี2550 ผลกระทบที่จะพัฒนาระบบบริหารความเสี่ยงล่าช้ากว่าที่กำหนด ผลกระทบที่พนักงานคนเก่งลาออก 10% ในปี 2551 ผลกระทบที่คู่สัญญาจะทำงานล่าช้ากว่าที่กำหนด 3 เดือน 5 1 5 1 5 1 5 1

46 ผลกระทบที่อาจจะเกิดขึ้น ไม่ได้วัดเป็นตัวเงินเพียงอย่างเดียว
ทรัพย์สินและทรัพยากรและบุคลากรขององค์กร รายได้และสิทธิต่างๆที่จะก่อให้เกิดรายได้ ต้นทุน สังคมและประชาชน ผลการปฏิบัติงาน เวลา ความล่าช้าของกิจกรรมต่างๆ สิ่งแวดล้อม ชื่อเสียง ภาพลักษณ์ ค่าความนิยม คุณภาพชีวิต พฤติกรรม

47 ตัวอย่างตารางวัดระดับของโอกาสที่จะเกิดขึ้น
คำอธิบาย ตัวอย่างด้านคอมพิวเตอร์ 5 เกิดขึ้นเป็นประจำ พนักงานใช้คอมพิวเตอร์เพื่อประโยชน์ส่วนตัว 4 เกิดขึ้นบ่อยครั้ง พนักงานใช้ระบบคอมพิวเตอร์ดูข้อมูลที่ไม่เหมาะสมในอินเตอร์เน็ต 3 เกิดขึ้นบ้าง Hackers เจาะระบบการรักษาความปลอดภัย 2 เกิดขึ้นน้อย เกิดภัยธรรมชาติทำให้ต้องใช้แผนฉุกเฉิน 1 เกิดขึ้นน้อยมาก/ไม่เคยเกิดขึ้น ระบบถูกโจมตีจากผู้ก่อการร้ายต้องปิดระบบเป็นเวลานาน ควรใช้ past records หรือสถิติที่เกิดขึ้นจริงวัดในช่วงเวลา 1 ปี

48 ตารางวัดระดับของผลกระทบที่จะเกิดขึ้น
คำอธิบาย ตัวอย่างของ 5 รุนแรงมาก มีพนักงานบาดเจ็บหรือเสียชีวิต/กำไรลดลงมากกว่า 500 ล้านบาท ระบบคอมพิวเตอร์หยุดทำงานทั้งหมดเกิน 24 ชั่วโมง ทำผิดกฎหมายร้ายแรง ถูกปรับจากหน่วยงานกำกับดูแล 4 รุนแรง พนักงานบาดเจ็บแต่ต้องเป็นคนไข้ในบางส่วน/ กำไรลดลง ล้านบาท ระบบคอมพิวเตอร์หยุดทำงานบางระบบงานเกิน 24 ชั่วโมง/ทำผิดกฎหมาย 3 ปานกลาง พนักงานบาดเจ็บแต่เป็นแค่คนไข้นอก /กำไรลดลง ล้านบาท ระบบคอมพิวเตอร์หยุดทำงานบางระบบงานไม่เกิน 12 ชั่วโมง เหตุการขนาดกลางหลายเรื่อง 2 น้อย กำไรลดลง ล้านบาท/พนักงาน ไม่มีการบาดเจ็บ ระบบคอมพิวเตอร์หยุดทำงานบางระบบงานไม่เกิน 1 ชั่วโมง 1 น้อยมาก ไม่มีเหตุการณ์ ไม่กระทบต่อกำไรและไม่มีผู้บาดเจ็บ

49 ตารางการวัดความเสี่ยงอย่างง่าย
มาก 1-เกิดน้อยมาก 3-เกิดขึ้นบ้าง 4-เกิดบ่อยครั้ง 5-เกิดประจำ 5 - รุนแรงมาก H E 4 - รุนแรง 3 - ปานกลาง M 2 - น้อย L 1 - น้อยมาก ความรุนแรงของผลกระทบ โอกาสที่จะเกิดขึ้น 2-เกิดขึ้นน้อย น้ อ ย มาก Source : Standard Australia

50 Risk Policy or Appetite Table
รหัส ระดับความเสี่ยง มาตรการจัดการ E Extreme กำหนดแผนจัดการโดยเร่งด่วน H High กำหนดผู้บริหารระดับสูงติดตามอย่างใกล้ชิด M Moderate กำหนดผู้บริหารดูแลรับผิดชอบ L Low กำหนดมาตรการควบคุมในกระบวนการปฏิบัติงาน

51 Risk Impact:Qualitative
Risk Impact:Quantitative

52 Risk Likelihood:Qualitative
Risk Likelihood:Quantitative

53 การจัดการความเสี่ยง 4T’s Strategies
แนวทางในการจัดการความเสี่ยง Terminate การหลีกเลี่ยง (Risk Avoidance) Transfer โอนย้าย (Risk Sharing/Spreading) Treat ควบคุม(Risk Reduction/Control) Take ยอมรับ(Acceptance) สร้างระบบและกลไก PDCAในการบริหารความเสี่ยง

54 ทางเลือกในการจัดการความเสี่ยง
ทางเลือกหรือกลยุทธ์ในการจัดการความเสียง แบ่งได้ 4 แนวทางหลัก คือ 1. Take - การยอมรับความเสี่ยง (Risk Acceptance) การยอมรับให้มีความเสี่ยง เนื่องจากค่าใช้จ่ายในการจัดการหรือสร้างระบบควบคุมอาจมีมูลค่าสูงกว่าผลลัพธ์ที่ได้ แต่เราก็ควรมีมาตรการติดตามและดูแล เช่น การกำหนดระดับของผลกระทบที่ยอมรับได้, เตรียมแผนการตั้งรับ/จัดการความเสี่ยง เป็นต้น 2. Treat – การลด/ควบคุมความเสี่ยง (Risk Reduction/Control) การออกแบบระบบควบคุม การแก้ไขปรับปรุงการทำงาน เพื่อป้องกันหรือจำกัดผลกระทบ และ โอกาสเกิดความเสียหาย เช่น ติดตั้งอุปกรณ์ความปลอดภัย, ฝึกอบรมเพื่อพัฒนาทักษะ, วางมาตรการเชิงรุก เป็นต้น 3. Transfer – การกระจาย/โอนความเสี่ยง (Risk Sharing/Spreading) การกระจายทรัพย์สิน หรือกระบวนการต่าง ๆ เพื่อลดความเสี่ยงจากการสูญเสีย เช่น การประกันทรัพย์สิน เพื่อโอนความเสี่ยงไปยังบริษัทประกัน, การจ้างบริษัทภายนอกให้ทำงานบางส่วนแทน, การทำสำเนาเอกสารหลาย ๆ ชุด, การกระจายที่เก็บทรัพย์สินมีค่า เป็นต้น 4. Terminate – การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) การหยุด หรือ เปลี่ยนแปลงกิจกรรมที่เป็นความเสี่ยง เช่น งดทำขั้นตอนที่ไม่จำเป็นและจะนำมาซึ่งความเสี่ยง, ปรับเปลี่ยนรูปแบบการทำงาน, ลดขอบเขตการดำเนินการ เป็นต้น

55

56 การบริหารความเสี่ยงกับการควบคุมภายใน
ผลกระทบไม่มาก เลี่ยงไม่ได้ ต้นทุนสูง ยอมรับความเสี่ยง ไม่ต้องดำเนินการใด ๆ ผลกระทบมาก ไม่ชำนาญ เวลาน้อย ถ่ายโอนความเสี่ยง ทำประกันภัย จ้างบุคคลภายนอก ความเสี่ยง อยู่ในวิสัย ควบคุมได้ ลดได้ ลด ความเสี่ยง ปรับปรุงระบบการควบคุมภายใน ผลกระทบมาก ต้นทุนสูง เลี่ยงได้ หลีกเลี่ยงความเสี่ยง หยุด เลิกโครงการ กิจกรรม หรือเปลี่ยนวัตถุประสงค์ 56

57 ตัวอย่าง

58