Data Loading...
ISK MANAGEMENT กําจัดจุดออน สรางเสริมจุดแข็ง อคส รวมแรง อคส. รวมแรง พชตความเสยง พิชต ิ ความเสีย ่ ง สวนงานบริหารความเสี่ยง สํานักแผนยุทธศาสตร กรกฎาคม 2553
คําจํากัดความ (Key Terms) ที่เกี่ยวของกับการบริหารความเสี่ยง
ความเสี่ยง (Risk) หมายถึง ความเปนไปไดของเหตุการณที่อาจจะเกิดขึ้น ที่สงผลกระทบในทางลบตอการบรรลุวัตถุประสงค (COSO : Committee of Sponsoring Organization of the Tread way Commission)
การระบุความเสี่ยง (Risk Identification) หมายถึง การระบุความเสี่ยงที่ องคกรเผชิญอยูหรือแฝงอยูในกระบวนการทํางาน ซึ่งจะตองสามารถอธิบาย ถึงผลกระทบความเสี่ยงหรือลักษณะความเสียหายที่เกิดจากความเสี่ยงได
ปจจัยเสี่ยง (Risk Factor) หมายถึง ตนเหตุหรือสาเหตุที่มาของความเสี่ยง ที่จะทําใหหนวยงาน/องคกรไมบรรลุวัตถุประสงคที่กําหนดไว โดยตองระบุได ดวยวาเหตุการณนั้น จะเกิดที่ไ หน เมื่อใด เกิดขึ้น ไดอยางไร และทําไม ทั้ง นี้ สาเหตุของความเสี่ยงที่ระบุควรเปนสาเหตุที่แทจริง(Root Cause) เพื่อจะได วิเคราะหและกําหนดมาตรการลดความเสี่ยงไดอยางถูกตอง
การประเมินความเสี่ยง (Risk Assessment) หมายถึง การจําแนกและ พิจ ารณาจัด ลํา ดับ ความสํา คัญ ของความเสี่ย งที่มีอ ยู โดยการประเมิน จาก โอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact) - โอกาสที่จะเกิด (Likelihood) เปนการพิจารณาความเปนไปไดที่จะ เกิดเหตุการณความเสี่ยงในชวงเวลาหนึ่ง หรือจะเรียกวา ความถี่หรือ โอกาสที่จะเกิดเหตุการณความเสี่ยงก็ได - ผลกระทบ (Impact) ระดับความรุนแรงของผลเสียหายที่เกิดขึ้น จาก ความเสี่ย งและ มีผ ลกระทบตอ องคก รซึ่ง อาจเปน ไดทั้ง ในดา นบวก และดา นลบ โดยสามารถแบง เปน ผลกระทบทางดา นการเงิน และ ผลกระทบที่ไมใชทางการเงิน
การจัดระดับความเสี่ยง (Risk Rating) คือการนําความเสี่ยงที่ประเมิน ไดมาจัดซึ่ง มีอยู 4 ระดับ คือ ต่ ํา ปานกลาง สูง และสูงมาก เพื่อชวยในการ ตัดสินใจของผูบริหารสําหรับการเลือกจัดการกับความเสี่ยงที่มีระดับความสําคัญกอน ข
เจาของความเสี่ยง (Risk Owner) คือ หนวยงานที่ทําใหเกิดความเสี่ยง หรือหนวยงานที่ไดรับผลกระทบโดยตรงจากความเสี่ยงที่ถูกระบุขึ้น และเปน ผูป ระเมิน ความเสี่ย ง/จัดทํา แผนบริห ารความเสี่ย ง/ใหขอ เสนอแนะ รวมทั้ง ติด ตามประเมิน ผลการบริห ารความเสี ่ย งอยา งสม่ํ า เสมอเพื ่อ ใหผ ลการ บริหารความเสี่ยงบรรลุเปาหมายที่ตั้งไว แผนผั ง ความเสี่ ย ง (Risk Map) คื อ แผนผั ง ที่ แ สดงความสั ม พั น ธ ข อง ความเสี่ย งกับ วัต ถุป ระสงคข ององคก ร ความเสี่ย งกับ ความเสี่ย ง สาเหตุกับ ความเสี ่ย ง สาเหตุก ับ สาเหตุ และระดับ ความรุน แรง/ผลกระทบ เพื ่อ นํ า มา ประกอบการพิจารณาจัดทําแผนบริหารความเสี่ยง ดัชนีชี้วัดความเสี่ยงหลัก (KRI : Key Risk Indicator) คือ มาตรวัดหรือ จุด เตือ นภัย (Trigger Point) ของระดับ หรือ สถานะความเสี่ย ง เพื่อ ใช ประเมิน สถานะของความเสี่ย ง และประสิท ธิผ ลของแผนบริห ารความเสี่ย ง และตองสอดคลองกับ Risk Appetite และ Risk Tolerance คาระดับความเสี่ยงที่องคกรยอมรับได (Risk Appetite) คือ การกําหนด ระดับ ความเสี ่ย งในเชิง ปริม าณหรือ คุณ ภาพที ่อ งคก รจะสามารถยอมรับ ความเสียหาย/สูญเสียจากความเสี่ยงโดยกําหนดใหสอดคลองกับเปาหมาย ในแผนปฏิ บั ติ การประจํ าป หรื อตามตั วชี้ วั ดขององค กร ซึ่ งไม ควรต่ํ ากว าค า “ระดับ 3” ชว งเบี ่ย งเบนของคา ระดับ ความเสี ่ย งที ่อ งคก รยอมรับ ได (Risk Tolerance) คือการกํา หนดคาชว งเบี่ย งเบนของระดับ ความเสี่ย งที่ยังคงอยู ในระดับที่องคกรยังสามารถยอมรับได เชน + 5% หรือ +1 เดือน เปนตน โดยกํา หนดใหส อดคลอ งกับ เปา หมายในแผนปฏิบัติก ารประจําป หรือ ตาม ตัวชี้วัดขององคกร ซึ่งอาจจะเทากับหรือต่ํากวาคา “ระดับ 3” ได ความเสี่ยงขั้นตน (Gross Risk) คือ ระดับความเสี่ยงที่เกิดขึ้น (กอนที่จะมี การควบคุม) ซึ่งจะทําใหการดําเนินงานไมบรรลุวัตถุประสงค ความเสี่ยงคงเหลือ (Residual Risk) คือ ระดับความเสี่ยงที่เหลืออยู หลัง จากใสก ารควบคุมที่มีอยูเ ขา ไปในการบริห ารงานแลว ซึ่ง หากยัง คง เหลือ อยูใ นระดับ สูง -สูง มาก หนว ยงานก็ค วรใหค วามสนใจเปน พิเ ศษและ จัดทําแผนเพื่อลดความเสี่ยงใหอยูในระดับที่เหมาะสมตอไป ค
1
การบริหารความเสี่ยงขององคกร (ENTERPRISE RISK MANAGEMENT)
ความเสี่ยง (Risk) หมายถึง ความเปนไปไดทเี่ หตุการณจะเกิดขึ้น และสงผลกระทบในทาง ลบ ตอการบรรลุวัตถุประสงคขององคกร (อางอิง COSO) การบริหารความเสี่ยงองคกร (Enterprise Risk Management) หมายถึง กระบวนการ (Process) ที่จัดทําขึ้น โดย คณะกรรมการ ผูบริหาร และพนักงาน เพื่อนํามาประยุกตใชในการ จัดทําแผนกลยุทธขององคกร โดยกระบวนการดังกลาวจะตองสามารถระบุเหตุการณที่อาจ เกิดขึ้น และสงผลกระทบกับองคกร มีแนวทางในการจัดการความเสี่ยงใหอยูในระดับที่องคกร ยอมรับไดอยางมั่นใจและสมเหตุสมผล เพื่อใหบรรลุวัตถุประสงคขององคกร มีองคประกอบที่ สําคัญ 4 สวนดังนี้ 1. วัฒนธรรมองคกร 2. โครงสรางการบริหารความเสี่ยง 3. กระบวนการบริหารความเสี่ยง 4. ปจจัยพื้นฐาน
2
แผนภาพที่ 1 กรอบการบริหารความเสี่ยงของ อคส. (Enterprise Risk Management)
วัฒนธรรมองคกร
โครงสรางการบริหาร ความเสี่ยง
การติดตามและ
การกําหนด
- หนวยงาน/คณะทํางาน
รายงานผล
วัตถุประสงค
- วัตถุประสงค
องคประกอบ
บริหารความเสี่ยง/ คณะอนุกรรมการบริหาร
- นโยบาย และกลยุทธ
กระบวนการ
ความเสีย่ ง/
การจัดการ
คณะกรรมการบริหาร
บริหารความเสี่ยง
ความเสี่ยง
ความเสีย่ ง - สายการบังคับบัญชา/ การรายงาน - บทบาทความรับผิดชอบ
การบงชี้ ความเสี่ยง -เปาหมายการดําเนินงาน
การประเมิน
- ความเสีย่ งทีย่ อมรับได
ความเสี่ยง
(Risk Appetite)
- ทักษะ/บุคลากร
ปจจัยพื้นฐาน -โครงสรางและระบบ
- วิธีการและเครื่องมือ - ขอมูลและการสื่อสาร
3
หลักการและความจําเปนของการบริหารความเสี่ยง
• การบริหารความเสี่ยงเปนสวนหนึ่งของการทํางานไมใชงานที่เพิ่มเขามา • ความเสี่ยงเปนความเสี่ยงของ Risk Owner (ผูปฏิบัติ/เจาของความเสี่ยง) ดังนั้น การบริหารจัดการความเสี่ยงจึงเปนของ Risk Owner ไมใชสวนงานบริหารความเสี่ยง สวนงานบริหารความเสี่ยงมีหนาที่ในการประสานงาน ใหคําแนะนําชวยเหลือ Risk Owner เทานั้น • การระบุ/ประเมินความเสี่ยง และจัดทําแผนบริหารความเสี่ยงควรทําพรอม ๆ กันกับ การจัดทําแผนธุรกิจ/แผนปฏิบัติการประจําป/แผนการลงทุน • การบริหารความเสี่ยงตองมีการติดตามอยางตอเนื่องสม่ําเสมอ • แผนการบริหารความเสี่ยงอาจมีการปรับเปลี่ยนไดตามความเหมาะสม • การบริหารความเสี่ยง ทําใหความเสี่ยงอยูในระดับที่เหมาะสม ที่องคกรยอมรับได ไมใชการขจัดความเสี่ยง • การบริหารความเสี่ยง ทําใหมูลคาขององคกรเพิ่มขึ้น สงผลดีตอทุกคนในองคกร
4
นโยบายการบริหารความเสี่ยง อคส. ไดกํา หนดนโยบายการบริห ารความเสี่ย งเพื่อ ใหก ระบวนการ บริห ารความเสี่ย งทั ่ว ทั ้ง องคก รมีค วามเหมาะสม และสอดคลอ งไปในทิศ ทางเดีย วกับ ยุทธศาสตร และภารกิจของ อคส. ดังนี้ 1. เพื่อให อคส. สามารถบริหารความเสี่ยงที่อาจเกิดขึ้นไดอยางมีประสิทธิภาพ 2. มุ ง เนน การบริ ห ารความเสี่ย งในเชิ ง ป องกัน และแก ไ ข ดวยความรวดเร็ ว โปรงใส ถูกตองครบถวนอยางสม่ําเสมอ 3. สงเสริม และผลักดันให อคส. มีการจัดทํากระบวนการบริหารความเสี่ยง แบบบูรณาการอยางมีประสิทธิภาพไดตามมาตรฐานบริหารความเสี่ยง และตามหลักเกณฑ ประเมินผลของกระทรวงการคลัง (สคร.) 4. สงเสริม และพัฒนาใหพนักงานและผูบริหารทุกระดับมีความรูความเขาใจ มีสวนรวมในกระบวนการบริหารความเสี่ยงทั่วทั้งองคกร 5. เพื่ อ ให อคส. มี ร ะบบการติ ด ตาม รายงาน ทบทวน ประเมิ น ผลการ ดําเนินงานอยางตอเนื่องและสม่ําเสมอ 6. จัดทําเอกสาร คูมือ ระเบียบและวิธีปฏิบัติงาน พรอมทั้งควบคุมดูแลใหมี การปฏิบัติอยางจริงจัง
5
ประเภทของความเสี่ยง
อคส.จําแนกความเสี่ยงเปน 4 ประเภทตามหลักเกณฑของกระทรวงการคลัง ดังนี้ 1. ความเสี่ยงดานกลยุทธ (S: Strategic Risk) คือ ความเสีย่ งที่สงผลกระทบตอ วิสัยทัศนและพันธกิจขององคกร และขัดขวางการบรรลุวัตถุประสงคขององคกรในดาน กลยุทธ 2. ความเสี่ยงดานการปฏิบัติงาน (O: Operational Risk) คือ ความเสีย่ งที่เกี่ยวของกับ การปฏิบัติงานและขัดขวางการบรรลุวัตถุประสงคขององคกรดานปฏิบัติงาน 3. ความเสี่ยงดานการเงิน (F: Financial Risk) คือ ความเสี่ยงทีส่ งผลกระทบตอฐานะ การเงิน และขัดขวางการบรรลุวัตถุประสงคขององคกรดานการเงิน 4. ความเสี่ยงดานการปฏิบัติตามกฎระเบียบ/กฎหมาย (C: Compliance Risk) คือ ความเสีย่ งที่เกี่ยวของกับการปฏิบัติตามกฎระเบียบและขอบังคับของกฎหมาย รวมถึง ขอบังคับภายในองคกรดวย (ตัวอยางความเสี่ยงประเภทอื่นๆมีเพิ่มเติมในภาคผนวก B)
6
การบริหารความเสี่ยงของ อคส. โครงสรางหนวยงานบริหารความเสี่ยง อคส. ไดกําหนดใหมีหนวยงาน และผูรับผิดชอบทําหนาที่เกี่ยวของกับงานดานการ บริหารความเสี่ยง ทั้งในระดับนโยบายและระดับผูปฏิบัติงานตามแผนภาพ ดังนี้
แผนภาพที่ 2 : โครงสรางหนวยงานบริหารความเสี่ยง ของ อคส. คณะกรรมการ อคส.
คณะกรรมการบริหารความเสีย่ ง
Audit Committee
(RMC)
ผูอํานวยการ อคส. สํานักตรวจสอบ รองผูอํานวยการ
คณะอนุกรรมการบริหารความเสี่ยง (RMS)
ผูชวยผูอํานวยการ
สํานักแผนยุทธศาสตร
สํานักอื่น ๆ
คณะทํางานบริหารความเสี่ยง (RMT)
สวนงานบริหารความเสี่ยง
สวนงานอื่น ๆ
7
แผนภาพแสดงบทบาท หนาที่ และความรับผิดชอบของคณะกรรมการ ผูบริหารและพนักงานในการบริหารความเสี่ยงของ อคส. แผนภาพที่ 3 คณะกรรมการ อคส. คณะกรรมการตรวจสอบ
ทราบความเสี่ยงที่สําคัญ/
ทราบ/ใหความเห็น การบริหารความเสี่ยง
แผนบริหารความเสี่ยง
(รายไตรมาส)
- พิจารณาและอนุมัติ คณะกรรมการบริหาร ความเสี่ยง (RMC)
พิจารณาและอนุมัติ
ความเสี่ยงระดับองคกร
แผนบริหารความเสี่ยง
- จัดใหมีนโบยายการบริหาร
แกไข/ปรับปรุง
ติดตามผล/ใหขอเสนอแนะ ผลการบริหารความเสี่ยง (รายไตรมาส)
ความเสี่ยง
คณะอนุกรรมการบริหาร ความเสี่ยง (RMS)
คณะทํางานบริหารความ เสี่ยง (RMT)
Risk Owner (หัวหนาสํานัก/
สวนงาน / พนักงาน)
พิจารณากลั่นกรอง/ใหความเห็น ความเสี่ยงระดับองคกร
-รวบรวมและจัดทําความเสี่ยง ระดับองคกร -นําเสนอความเสี่ยงระดับองคกร เพื่อขออนุมัติ
พิจารณาวางกรอบ และแนวทาง บริหารความเสี่ยง
เสนอแนะแนวทาง การจัดทําแผนบริหาร ความเสี่ยง
-พิจารณา/ใหความเห็น พิจารณา/กลั่นกรอง/ ใหความเห็น แผนบริหารความเสี่ยง
รวบรวม/สอบทาน/กลั่นกรอง
ตรวจสอบ/กลั่นกรอง ผลการ
แผนบริหารความเสี่ยง
ติดตาม/ประเมินผลฯ
จัดทํา
ระดับกระบวนการ/กิจกรรม
แผนบริหารความเสี่ยง
ติดตาม / เฝาระวังความเสี่ยง ประสานงาน/
ความเสี่ยง
ใหคําแนะนํากับหนวยงานตาง
แกไขปรับปรุง
(รายไตรมาส)
(รายไตรมาส)
ประเมินและจัดทําความเสี่ยง
สวนงานบริหาร
ผลการติดตาม/ประเมินผล การบริหารความเสี่ยง -สงเสริม/กํากับดูแล การปฏิบัติงาน/การติดตาม/ประเมินผล
-ดําเนินการตามแผนฯ/ปรับแผนฯ -รายงานความกาวหนา/ประเมินผลการ บริหารความเสี่ยง
8
บทบาท หนาที่ และความรับผิดชอบของผูที่เกี่ยวของในการบริหารความเสีย่ ง คณะกรรมการองคการคลังสินคา วางนโยบายและควบคุมดูแลการบริหารความเสีย่ ง และการควบคุมภายในขององคกรใหเพียงพอ เหมาะสมเพื่อสรางความเชือ่ มั่นแกผูมีสว นไดสวนเสียขององคการคลังสินคา คณะกรรมการตรวจสอบ มีหนาที่ดงั นี้ 1. กํากับดูแลใหมีระบบการตรวจสอบที่เหมาะสม เพียงพอ 2. กํากับดูแลใหมีระบบขอมูล ระบบบัญชี และรายงานทางการเงิน รายงานทางการบริหารที่ ถูกตอง เพียงพอและเชื่อถือได 3. กํากับดูแลใหมีการปฏิบัตติ ามกฎ ระเบียบ ขอบังคับ มติคณะรัฐมนตรี และนโยบายที่ คณะกรรมการองคการคลังสินคากําหนด 4. กํากับดูแลไมใหเกิดความขัดแยงทางผลประโยชนและมีการเปดเผยขอมูลรายการที่ เกี่ยวของอยางเพียงพอ 5. กํากับดูแลกิจการ เพื่อใหการดําเนินงานเปนไปอยางมีประสิทธิผล ประสิทธิภาพ และประหยัด คณะกรรมการบริหารความเสีย่ ง (RMC) มีหนาที่ดงั นี้ 1. พิจารณา อนุมัติ นโยบาย กรอบการบริหารความเสีย่ ง แผนแมบท(Road Map) และคูมือการบริหารความเสี่ยง 2. พิจารณาอนุมตั ิความเสี่ยงระดับองคกร Risk Map แผนบริหารความเสี่ยง และเกณฑประเมิน ความเสีย่ ง 3. ติดตามผลการบริหารความเสี่ยงระดับองคกรอยางสม่าํ เสมอ สงเสริมสนับสนุนให คําแนะนําในการทบทวนปรับปรุงมาตรการตางๆ ทีก่ ําหนดในแผนบริหารความเสี่ยง เพื่อให บรรลุผลหรือเปาหมายขององคกร และแกไขปญหาที่เกีย่ วกับการบริหารความเสี่ยง 4. รายงานผลการบริหารความเสี่ยง ตอคณะกรรมการ อคส. และคณะกรรมการตรวจสอบ
9
คณะอนุกรรมการบริหารความเสี่ยง (RMS) มีหนาที่ดังนี้ 1. กํากับดูแลการดําเนินการตามแผนงานเกีย่ วกับการบริหารความเสีย่ งและการควบคุม ภายในของ อคส. 2. กลั่นกรอง นโยบาย กรอบการบริหารความเสี่ยง แผนแมบท (Road Map) คูมือการบริหารความ เสี่ยง ความเสีย่ งระดับองคกร Risk Map แผนบริหารความเสี่ยง เกณฑประเมินความเสี่ยงและ แผนการควบคุมภายใน 3. กําหนดเครื่องมือชี้วัด หลักเกณฑการชี้วัดมาตรฐาน 4. วิเคราะหความเสี่ยงระดับองคกร 5. ติดตามประเมินผลการดําเนินงานเรื่องการบริหารความเสี่ยงและการควบคุมภายในให เปนไปตามเปาหมาย 6. รายงานผลการดําเนินงานตามแผนบริหารความเสีย่ ง และการควบคุมภายในที่มีนยั สําคัญ 7. สงเสริมใหการบริหารความเสี่ยงเปนสวนหนึ่งของการปฏิบัติงานปกติและเปนวัฒนธรรม ของ อคส. ผูอํานวยการองคการคลังสินคา มีหนาที่ดังนี้ 1. ติดตามและใหขอสังเกตในการบริหารความเสี่ยง และการควบคุมภายในขององคการคลังสินคา เพื่อสรางความตระหนักถึงความสําคัญแกบุคลากรทั่วทั้งองคกร 2. สนับสนุน สงเสริมการบริหารความเสี่ยง และการควบคุมภายในใหเปนกระบวนการที่ตอเนื่อง และ เปนวัฒนธรรมขององคกร รอง/ผูชวยผูอ ํานวยการ 1. วางแนวทางและติดตามผลการบริหารความเสี่ยง และการควบคุมภายในขององคกร พรอมกับ มอบหมายผูรับผิดชอบดําเนินการ 2. สนับสนุน สงเสริมการดําเนินการตามแผนการบริหารความเสีย่ ง และการควบคุมภายในของ องคกรใหมีความเชื่อมโยงและบูรณาการทั่วทั้งองคกร
10
หัวหนาสํานัก 1. ระบุ ประเมินความเสีย่ ง รวมทั้งจัดทําแผนบริหารความเสี่ยงและแผนควบคุมภายในที่มนี ัยสําคัญ ตามแนวทางและนโยบายทีผ่ ูบริหารระดับสูงมอบหมาย 2. ประเมิน ติดตามผลการดําเนินงานตามแผนบริหารความเสี่ยง และการควบคุมภายในที่สาํ คัญ ตามกําหนดเวลา 3. สนับสนุน สงเสริมการดําเนินการตามแผนบริหารความเสี่ยง และการควบคุมภายในของ พนักงานในหนวยงาน ใหมปี ระสิทธิภาพ คณะทํางานบริหารความเสี่ยง (RMT) มีหนาที่ดังนี้ 1. ศึกษา ติดตาม รวบรวมขอมูล ปญหาอุปสรรค และวิเคราะหสาเหตุความเสีย่ งเบื้องตน ทีม่ ีผลตอ การปฏิบัติงาน รวมทัง้ ระบบการควบคุมภายใน 2. เสนอแนะแนวทางปรับปรุงแกไขปญหาอุปสรรค จัดทําแผนบริหารความเสี่ยงและการควบคุม ภายใน และเสนอรางบทวิเคราะหความเสีย่ งตอ RMS 3. จัดทํารายงานผลการปฏิบัติงานตามแผนบริหารความเสี่ยงและการควบคุมภายในตอ RMS ทุกไตรมาส หรือตามทีไ่ ดรบั มอบหมาย 4. จัดทํารายงานการควบคุมภายใน ตามที่คณะกรรมการตรวจเงินแผนดินกําหนด หนาสวนงาน พนักงาน และพนักงาน/ลูกจาง 1. ระบุ ประเมินความเสีย่ ง กําหนดมาตรการ/แผนงานในแผนบริหารความเสี่ยง และรับผิดชอบการ นําแผนงานไปปฏิบตั ิตามแนวทางทีก่ ําหนดไดอยางเหมาะสมและมีประสิทธิภาพ 2. ปฏิบัติงาน ดูแลและติดตามงานตาง ๆ ตามกรอบและกระบวนการบริหารความเสีย่ งรวมถึง รายงาน ความเสี่ยงของการปฏิบัติงานรายวันใหผูบริหารหนวยงานทราบอยางสม่าํ เสมอ 3. สงเสริม สนับสนุน ใหความรวมมือ และปฏิบัติตามกรอบการบริหารความเสีย่ งของหนวยงานที่ ปฏิบัติงานอยูในขณะนัน้ เพื่อใหการบริหารความเสี่ยงเปนวัฒนธรรมในการปฏิบัติงานประจํา ตามปกติ
11
สํานักตรวจสอบ 1. ทําใหมั่นใจวามีการควบคุมภายในที่เหมาะสมตอการจัดการความเสีย่ ง และการควบคุมเหลานัน้ ไดรับการปฏิบัติตามภายในองคกร 2. ทําใหมั่นใจวาไดมีการนําระบบการบริหารความเสีย่ งมาปรับใชอยางเหมาะสมและมีการปฏิบัติ ตามทัว่ ทั้งองคกร 3. สอบทานการปฏิบัติงานของหนวยงานการบริหารความเสี่ยง 4. สื่อสารกับหนวยงานการบริหารความเสี่ยงเพื่อทําความเขาใจเกี่ยวกับความเสีย่ งและดําเนินการ ตรวจสอบภายในตามแนวความเสี่ยง (Risk based auditing) สวนงานบริหารความเสี่ยง 1. ทําหนาทีเ่ ปนผูประสานงานระหวางคณะกรรมการบริหารความเสีย่ ง/อนุกรรมการบริหารความ เสี่ยง กับ หนวยงานตาง ๆ ของ อคส. 2. ใหการสนับสนุนและแนะนํากระบวนการบริหารความเสี่ยงและการควบคุมภายในแกหนวยงาน ตาง ๆ ภายในองคกร ใหมกี ารเชื่อมโยง บูรณาการทัว่ ทั้งองคกร 3. จัดทํา /ทบทวน ปรับปรุงรางนโยบาย กรอบการบริหารความเสีย่ ง แผนแมบท (Road Map) คูมือ การ บริหารความเสีย่ ง ทะเบียนความเสี่ยง Risk Map แผนบริหารความเสีย่ ง เกณฑประเมินความ เสี่ยง แผนควบคุมภายในเสนอ RMS และ RMC พิจารณาใหความเห็นชอบ 4. ติดตาม รวบรวม รายงานผลการดําเนินงานตามแผนบริหารความเสี่ยงประจําป และแผนการ ควบคุม ภายใน นําเสนอ RMS และ RMC พิจารณาใหความเห็นชอบ 5. จัดทํารายงานผลการดําเนินงานดานบริหารความเสี่ยง/ควบคุมภายใน ไปยังหนวยงานที่เกี่ยวของ ทัง้ ภายในและภายนอก
12
แผนภาพการบริหารความเสี่ยง อคส. แผนภาพที่ 4 ปจจัยแวดลอม ภายนอกและ ภายใน
ขอคิดเห็นจากคณะกรรมการ อคส. /RMC/RMS
เปาหมายและกลยุทธขององคกร
วิสัยทัศน พันธกิจ
แผนวิสาหกิจ/แผนยุทธศาสตร
(TOP DOWN)
เปาหมายและกลยุทธองคกร
การระบุความเสี่ยง (Bottom Up) RMT สวนงานตางๆ และพนักงาน
Risk Profile- ระดับกระบวนการ
การติดตามและรายงานผลฯ
กระบวนการบริหารความเสี่ยงของ อคส. กระบวนการบริหารความเสี่ยงของ อคส. มี 5 ขั้นตอน ดังนี้ 1. กําหนดวัตถุประสงค (Define Objective) 2. การระบุความเสี่ยง (Risk Identification) 3. การประเมินความเสี่ยง (Risk Assessment) 4. การจัดการความเสียง (Risk Treatment) 5. การติดตามและรายงานผล (Monitoring and Reporting)
13
14
การกําหนดวัตถุประสงค (Define Objective) การกําหนดวัตถุประสงค มี 2 ระดับ 1. ระดับองคกร คือ วัตถุประสงค/เปาหมาย ที่ระบุไวในแผนยุทธศาสตร/แผนวิสาหกิจของ องคกร และถายทอดลงสูระดับสายงานตามภารกิจที่รับผิดชอบ 2. ระดับกิจกรรม (Activity-Level Objective) คือวัตถุประสงค/เปาหมาย ของการดําเนินงานที่ เฉพาะเจาะจงไปในกระบวนการ/กิจกรรมตามภารกิจหลักของระดับงาน/สวนงาน/สํานัก และจะตองสอดคลองกับวัตถุประสงค/เปาหมายระดับองคกร ทั้งนี้การที่เรากําหนดวัตถุประสงคในระดับองคกรและระดับกระบวนการกอนเปนลําดับแรกเพื่อ ชวยใหสามารถระบุความเสี่ยงทีจ่ ะสงผลกระทบตอการบรรลุวัตถุประสงค/เปาหมายทีก่ ําหนด
การกําหนดวัตถุประสงคที่ดีตอง SMART 1. มีความชัดเจน (SPECIFIC) 2. วัดผลได (MEASURABLE) 3. สามารถบรรลุผลได (ACHIEVABLE) 4. มีความสอดคลองกัน (RELEVANT) 5. มีการกําหนดระยะเวลาที่ชัดเจน (TIME BOUND)
15
การระบุความเสี่ยง (Risk Identification)
แหลงที่มาของความเสี่ยงมาจากปจจัยภายในและภายนอก และจะตองครอบคลุม ความเสี่ยงทัง้ 4 ประเภท คือ ความเสีย่ งดานกลยุทธ (S) ความเสี่ยงดานปฏิบัติงาน (O) ความเสี่ยงดานการเงิน (F) และความเสี่ยงดานการปฏิบัติตามกฎระเบียบ/กฎหมาย (C) ตามรายละเอียดที่กลาวมาแลวในขอ 1.5 แผนภาพที่ 5 แหลงที่มาของความเสี่ยงจากปจจัยภายในและภายนอก ประเภทความเสี่ยง
ประเภทความเสี่ยง สิงแวดลอมภายนอก/เหตุการณ ธรรมชาติ
การเมือง/กฎหมาย กลยุทธ (S)
ความเสี่ยงจากปจจัยภายใน กลยุทธ (Strategic) การวางกลยุทธและการสื่อสาร/ระบบการ
ไฟไหม/การเกิดวินาศกรรม
ควบคุม/ความสามารถของพนักงาน/ชองวางของทักษะ/การกํากับ ปฏิบัติงาน (O)
ดูแล/ความสอดคลองของพนักงานกับวิสัยทัศน/ภารกิจขององคกร การปฏิบัติงาน (Operational)
การเงิน (F)
ไมสามารถรายงานไดตามเวลาที่กําหนด/คุณภาพของงาน/ไม สามารถรักษาพนักงานที่มีความสามารถไวได/การทําผิด กฎหมาย/การขาดทักษะ/การฉอฉล
กฎระเบียบ/กฎหมาย(C)
เศรษฐกิจ/ตลาด
เทคโนโลยีลาสมัย/ระบบ IT
ความเสี่ยงจากปจจัยภายนอก
(ตัวอยางความเสี่ยงในรูปแบบอื่น ๆ ตามภาคผนวก B)
เทคโนโลยี
16
เมื่อสามารถระบุถึงเหตุการณหรือปจจัยที่ทําใหเกิดความเสี่ยงนัน้ ไดแลว ก็จะ สามารถระบุไดวาความเสี่ยงนั้น จัดอยูในความเสี่ยงเรื่องใด และเปนความเสี่ยงที่อยูใน กระบวนการปฏิบัติงานใด ตัวอยางการระบุความเสี่ยง และสาเหตุในกระบวนการ ปฏิบัติงานมีดังนี้ ตัวอยาง กระบวนการบริหารทรัพยากรบุคคล ความเสี่ยงที่ถูกระบุ
สาเหตุ
ระบบงานและเครือขาย ไมสามารถใชงานได
1. พึ่งพาเครือขายรวมกับกระทรวงพาณิชย
ตามปกติ
2. เกิดภัยพิบัติ เชน ไฟไหม น้ําทวม 3. บุคลากรดาน IT ขาดความรูความสามารถ 4. ระบบถูกบุกรุก/คุกคามจากภายนอก เชน Virus, Hacker
ทัง้ นี้ สามารถดําเนินการระบุความเสี่ยงและสาเหตุไปไดพรอมๆ กัน เมือ่ รวบรวม ความเสี่ยงและปจจัยเสี่ยง (สาเหตุ) ทัง้ หมดไดแลว ก็จะตองนํามาทบทวนและรวบรวม ใหอยูในกลุมเดียวกัน กอนเขาสูขนั้ ตอน การประเมินความเสีย่ ง (Risk Assessment) ตอไป
17
เทคนิคในการระบุความเสี่ยง 1. การระบุความเสี่ยงโดยการวิเคราะห KSF (KEY SUCCESS FACTOR: ปจจัยแหง ความสําเร็จ) ที่จะทําใหไมบรรลุเปาหมายขององคกร 2. การระบุความเสี่ยงโดยการรวมกลุมระดมสมองเพื่อใหไดความเสี่ยงที่หลากหลาย 3. การระบุความเสี่ยงโดยการใช Check List ในกรณีที่มีขอจํากัดดานงบประมาณและ ทรัพยากร 4. การระบุความเสี่ยงโดยการวิเคราะห จากการตั้งคําถาม “ WHAT – IF “(WHAT-IF ANALYSIS) 5.การระบุความเสี่ยงโดยการวิเคราะหขั้นตอนการปฏิบัติงานในแตละขัน้ ตอนที่สําคัญ คําแนะนําในการคนหาสาเหตุหลัก โดยใชกระบวนการ KAIZEN ปญหา : ความผิดพลาดในการทํางานของบุคลากรเกิดขึ้นมาก “ทําไม”
ครั้งที่ 1
- การควบคุมดูแลพนักงานไมมีประสิทธิภาพ
“ทําไม”
ครั้งที่ 2
- อัตราการลาออกของพนักงานสูง
“ทําไม”
ครั้งที่ 3
- คาตอบแทนพนักงานไมสามารถแขงขันกับบริษัทอื่นได
“ทําไม”
ครั้งที่ 4
- ไมมีการสํารวจเงินเดือนพนักงาน
“ทําไม”
ครั้งที่ 5
- คาตอบแทนพนักงานไมไดรับการติดตาม ประเมินโดย ผูบริหารระดับสูงอยางตอเนื่อง เพื่อทําใหมีความดึงดูดและ สามารถรักษา พนักงานทีม่ ีฝมือไวได (สาเหตุทแี่ ทจริง)
18
ขอควรระวังในการระบุความเสี่ยงและปจจัยเสี่ยง 1. ตองระบุสาเหตุหลักใหได 2. ตองแยกแยะสาเหตุและผลกระทบออกจากกัน 3. ไมควรวกกลับไปที่วัตถุประสงค ตัวอยางเชน วัตถุประสงคของการเก็บรักษาสินคาใน หองเย็น คือการเก็บรักษาใหมีคุณภาพตามชนิดของสินคา ความเสี่ยงในกระบวนการจัดเก็บ สินคาในหองเย็น จึงไมใชการไมสามารถเก็บรักษาสินคาใหมีคุณภาพชนิดของสินคา ความ เสี่ยงที่ควรจะเปนคือ ระบบการทําความเย็นขัดของ สงผลใหไมสามารถควบคุมอุณหภูมิเพื่อ เก็บรักษาสินคาใหมีคุณภาพได สินคาเกิดความเสียหาย 4. ไมนําผลกระทบมาระบุเปนความเสี่ยง ดังตัวอยางขางตน สินคาเสียหาย เปน ผลกระทบ ความเสี่ยงคือระบบการทําความเย็นขัดของ หรือ กรณียอดขายสินคาไมเปนไป ตามเปา เปนผลกระทบไมใชความเสี่ยง ความเสี่ยงในเรื่องนี้นาจะเปนภาวะเศรษฐกิจตกต่ํา เปนตน 5. การควบคุมที่ไมมีประสิทธิผล ไมใชความเสี่ยง ตัวอยางเชน การฝกอบรมที่ไมดีพอ ระบบการควบคุมจัดเก็บเอกสารที่ไมดีพอ เปนตน
19
การประเมินความเสี่ยง (RISK ASSESSMENT PROCESS)
แผนภาพที่ 6 มีขั้นตอนในการดําเนินงาน ดังนี้ การประเมินความเสี่ยง
ประเมิน
ความเสี่ยง
Y การระบุผลกระทบความเสี่ยง (IMPACT)
-ต่ํามาก -ต่ํา -ปานกลาง
Z การระบุโอกาสเกิดขึ้นของความ เสี่ยง (LIKELIHOOD) [ การจัดระดับความเสี่ยงขั้นตน (GROSS RISK)
-สูง -สูงมาก
ควบคุมภายใน
การประเมินความเสี่ยงคงเหลือ (RISIDUAL RISK)
X การกําหนดเกณฑการ การประเมินความเสี่ยงขั้นตน (Gross Risk)
ที่มีอยูในปจจุบัน
\ การระบุการ
ที่ควรเพิ่มเติม
] การประเมินประสิทธิผล ของการควบคุมภายใน ^ การแกไขเปลี่ยนแปลง ระดับของความเสี่ยง _ การระบุระดับความเสี่ยง ที่คงเหลือ
-ต่ํา -ปานกลาง
-ควรปรับปรุง -ปานกลาง -นาพอใจ -ต่ํา -ปานกลาง -สูง -สูงมาก
-สูง -สูงมาก
`
การจัดทํา RISK PROFILE
y การกําหนดวัตถุประสงค (Define Objective) -
ระดับองคกร
- ระดับกระบวนการ/กิจกรรม
y การระบุความเสี่ยง (Risk Identified)
y
การระบุปจจัยเสี่ยง (Risk Causes)
การจัดการ
การจัดทํา
ความเสี่ยง
แผนบริหาร
คงเหลือ
ความเสี่ยง
20
ขั้นตอนที่ 1 การกําหนดเกณฑการประเมินคาความเสี่ยง (Risk Parameters) การกําหนดเกณฑสําหรับการประเมินความเสี่ยง เปนองคประกอบที่สําคัญ สําหรับการ กําหนดระดับโอกาสที่ความเสี่ยงอาจเกิดขึ้น และระดับความรุนแรงของผลกระทบที่เกิดขึ้นจาก ความเสี่ยง แบงออกไดเปน 2 ลักษณะ ไดแก ผลกระทบทีเ่ ปนตัวเงิน (Financial Measure) และผลกระทบที่ไมเปนตัวเงิน (Non- Financial Measure) โดยใชฐานขอมูลในอดีต หรือการ คาดการณในอนาคต เพือ่ ประกอบกับการกําหนดระดับความรุนแรงของโอกาสที่จะเกิดขึ้น (Likelihood) และผลกระทบ (Impact) ของแตละความเสี่ยง - ตัวอยางผลกระทบทีเ่ ปนตัวเงิน ไดแก ผลกระทบตอประมาณการรายไดและคาใชจา ย หรือการลดลงของเปาหมายกําไรของกิจการ - ตัวอยางผลกระทบที่ไมใชตัวเงิน ไดแก ภาพลักษณและชื่อเสียงของกิจการ เกณฑการประเมินคาความเสี่ยง จะขึน้ อยูกับคาระดับความเสีย่ ง ที่องคกรยอมรับได (Risk Appetite) โดยยังคงสามารถบรรลุเปาหมายขององคกร ทั้งนี้คาระดับความเสี่ยงที่องคกร ยอมรับได (Risk Appetite) สามารถแสดงในรูปของคาเบี่ยงเบนของอัตราผลตอบแทน (Variability of Return) ที่องคกรสามารถยอมรับได โดยยังคงสามารถบรรลุเปาหมายตามที่ คาดหวังไว นอกจากนี้ ยังสามารถพิจารณาในแงของความสามารถขององคกรในการยอมรับชวง เบี่ยงเบนของคาระดับความเสี่ยงที่องคกรยอมรับได (Risk Tolerance) ซึ่งหมายถึงระดับความ เสียหายขัน้ สูงสุด ที่องคกรยังสามารถยอมรับ/ดํารงอยูได
21
ขั้นตอนที่ 2 การระบุผลกระทบจากความเสี่ยง (Impact) เปนการระบุรายละเอียดของผลกระทบที่อาจจะเกิดขึ้น เมื่อความเสี่ยงนัน้ ๆเกิดขึ้น
และ
จัดระดับของความรุนแรงของผลกระทบที่อาจเกิดขึน้ ซึ่งโดยปกติแลวจะมีการใหระดับความรุนแรง โดยการระบุถึงผลกระทบทางดานการเงินเปนหลัก แตก็ยังคงพิจารณาถึงผลกระทบที่ไมใชตัวเงิน ดวยเชนกัน (รายละเอียดตามขั้นตอนที่ 1 การกําหนดเกณฑการประเมินคาความเสี่ยง) ขั้นตอนที่ 3 การระบุโอกาสที่เกิดขึ้นของความเสี่ยง (Likelihood) เปนการระบุถึงโอกาสหรือความเปนไปไดที่ความเสี่ยงๆนัน้ จะเกิดขึน้ หรือที่องคกรอาจจะ ตองเผชิญ ซึง่ อาจจะพิจารณาไดจากสิ่งแวดลอมจากการทํางาน การประเมินหรือการคาดการณ จากประสบการณ ทักษะ ความสามารถ และทัศนคติของผูปฏิบัติงานรวมถึงสถิติของเหตุการณใน อดีต เปนตน ขั้นตอนที่ 4 การจัดระดับความเสี่ยงขั้นตน การจัดระดับคาของความเสี่ยงขั้นตนแตละตัว ภายหลังจากพิจารณาถึงการระบุความ รุนแรงของผลกระทบจากความเสี่ยง (ขั้นตอนที่ 5) และการระบุโอกาสทีเ่ กิดขึ้นของความเสี่ยง (ขั้นตอนที่ 6) ปรากฏตามแผนภาพแสดงความสัมพันธ ระหวางความรุนแรงของผลกระทบและ โอกาสที่เกิดขึ้นของความเสี่ยงขางทายนี้ ตารางดังกลาวจะนําไปใชเปนเครื่องมือสําหรับการจัด ระดับความเสี่ยง อยางไรก็ตามความเสี่ยงที่ไดดังกลาวเปนเพียงความเสี่ยงขั้นตน ยังไมคํานึงถึง “กิจกรรมการควบคุมภายในที่มีอยูในปจจุบัน” ขององคกร
22
แผนภาพที่ 7 การจัดระดับความเสี่ยงขั้นตน
หมายเหตุ : ระดับความเสี่ยงที่องคกรยอมรับได คือ ระดับต่ํา (สีเขียวตามตาราง)
จากตารางดานบนแสดงใหเห็นวา มีการกําหนดความสัมพันธระหวางผลกระทบของความเสี่ยง กับโอกาสที่ ความเสี่ยงนัน้ ๆ จะเกิดขึน้ โดยแสดงใหเห็นถึงการจัดวางตําแหนงของความเสี่ยงขั้นตน ตามระดับความสําคัญ ชองขวาบนสุดในตารางแสดงถึงความเสี่ยงที่มีความสําคัญสูงมาก ซึ่งความเสี่ยงเหลานั้นจะถูกระบุขึ้นกอนที่ จะมีการพิจารณาถึงประสิทธิภาพของระบบการควบคุมภายในขององคกร ขั้นตอนที่ 5 การระบุการควบคุมภายใน การระบุการควบคุมภายในที่มีอยู หรือที่ผูบริหารไดกําหนดไวในขั้นตอนการปฏิบัติงานปกติของ องคกร (Existing Controls) นั้น รวมถึงการพิจารณาถึงกิจกรรมและ / หรือระบบการควบคุม ที่ควรจะมี เพิ่มเติม (Additional Controls) เพื่อปองกันผลกระทบและ / หรือโอกาสถาความเสี่ยงเหลานัน้ อาจจะเกิดขึน้ ความเสี่ยงทุกตัวที่ถูกระบุขึ้น จะถูกนํามาพิจารณาเพื่อระบุถึงการควบคุมภายในที่สัมพันธกับความ เสี่ยงนัน้ ๆ ในเบื้องตนกอน โดยขอมูลดังกลาวนีจ้ ะใชเปนขอมูลเพื่อประเมินประสิทธิภาพการควบคุมภายใน ขององคกรในขั้นตอนที่ 9 ตอไป
23
ในขัน้ ตอนนี้ เราจะตองสอบทานและพิจารณาทั้งการควบคุมภายในที่มีอยู และการเพิ่มเติมการ ควบคุมภายในบางขั้นตอนการปฏิบัติงาน เพื่อใชในการระบุถึงระดับความมีประสิทธิภาพของการ ควบคุมภายในตามตัวอยางตอไปนี้
ตัวอยาง : ระบบงานและเครือขายไมสามารถใชงานไดตามปกติ การควบคุมภายในที่มีอยู (Existing controls)
การควบคุมทีค่ วรจะเพิ่มเติม (Additional controls)
1. มีระบบรองรับ Back Up ขอมูลเปนรายวัน/ราย
1.จัดซื้อระบบ Firewall และจัดทําระบบ Log
สัปดาห/รายเดือน ดวย Hard disk และ tape ซึ่งนําไป Management ตาม พรบ. วาดวยการกระทําความผิด เก็บไวนอกสถานที่
เกี่ยวกับคอมพิวเตอร พ.ศ.2550 พรอมทัง้ ปรับปรุง
2. มีระบบไฟสํารอง
ระบบเครือขาย
3. มีเจาหนาทีต่ รวจสอบทางดานกายภาพในการ
2.จัดทําแผนแมบทดาน IT ที่รองรับตอกลยุทธและ
ทํางานของเครื่องแมขาย/อุปกรณเครือขายเบื้องตนที่
ตอบสนองตอความตองการทางธุรกิจอยางเหมาะสม
หอง Data Center อยางนอยสัปดาหละ 2-3 ครั้ง 4. จางผูเชี่ยวชาญภายนอกมาปรับปรุงระบบ เมื่อมี ปญหาขอขัดของ
ขั้นตอนที่ 6 การประเมินประสิทธิผลของการควบคุมภายใน ภายหลังจากที่ไดมีการระบุถึงกิจกรรมและ/หรือระบบการควบคุมภายในแลว (ในขั้นตอนที่ 5) จะดําเนินการประเมินประสิทธิผลของกิจกรรม และ / หรือระบบการควบคุมภายในดังกลาว โดยจะ พิจารณาถึงโอกาสหรือความเปนไปได ที่การควบคุมดังกลาวจะสามารถปองกันความเสี่ยงที่อาจ เกิดขึ้น ซึ่งอาจเปนทั้งการบรรเทาความรุนแรง ของผลกระทบ จากความเสี่ยง หรือการลดโอกาสการ เกิดความเสีย่ งนั้นๆ
24
เมื่อไดมีการระบุวิธีการควบคุมภายในที่มีอยูแลว จึงจะดําเนินการประเมินประสิทธิผล ของ กิจกรรมควบคุมภายใน ในระดับตางๆ ดังนี้ นาพอใจ (3)
หมายถึง กิจกรรมและ / หรือระบบวิธีการควบคุมภายในมีประสิทธิผลและยังดําเนินการ ไดอยางเหมาะสม ซึง่ การควบคุมภายในนี้ใหความมั่นใจไดวาการปฏิบัติงานในขั้นตอนนี้ จะสามารถบรรลุวัตถุประสงคที่ไดกําหนดไว
ปานกลาง (2)
หมายถึง กิจกรรมและ / หรือการควบคุมภายในดังกลาวยังแสดงใหเห็นวายังมีจุดออน หรือการขาดประสิทธิผลเกิดขึ้นบางประการ ในระหวางการปฏิบัตงิ าน ถึงแมวา จุดออนขางตนจะไมแสดงเห็นวา เปนลักษณะของผลกระทบทีม่ ีความรุนแรงก็ตาม แตก็ ควรไดรับการปรับปรุงเพื่อใหมั่นใจวาการปฏิบัติงานในขั้นตอนนี้จะสามารถบรรลุ วัตถุประสงคทกี่ ําหนดไว
ควรปรับปรุง (1)
หมายถึง กิจกรรมและ / หรือระบบการควบคุมภายในดังกลาวไมถกู ตองตาม หลักเกณฑหรือไมไดมาตรฐาน เนื่องจากยังพบวามีจุดออนหรือความไมมีประสิทธิผล บางประการปรากฏอยู นอกจากนี้การควบคุมภายในไมสามารถใหความมั่นใจวาการ ปฏิบัติงานในขั้นตอนนี้จะสามารถบรรลุวตั ถุประสงคทกี่ ําหนดไว
การประเมินประสิทธิผลของการควบคุมภายใน จะพิจารณาในเรื่องความมีประสิทธิผลของ การออกแบบการควบคุมภายใน และภาพรวมของประสิทธิผลของกิจกรรมและ / หรือระบบการควบคุม ภายในนั้นๆ ที่จะสามารถลดโอกาสการเกิดความเสี่ยง และ/หรือการบรรเทาผลกระทบจากความเสีย่ ง มากเพียงไร โดยพิจารณาจากความเสี่ยงขั้นตน (Gross Risk) กับความเสีย่ งที่คงเหลือ (Residual Risk) ภายหลังจากการพิจารณาถึงการควบคุมภายในที่มีอยูในปจจุบนั (ตัวอยางการประเมินความ เสี่ยงขัน้ ตน และความเสีย่ งคงเหลือตาม แผนภาพที่ 8
25
แผนภาพที่ 8 ตัวอยางการประเมินความเสี่ยงขั้นตน และความเสี่ยงคงเหลือของ อคส.ทั้ง 4 ประเภท ระดับความเสี่ยงขั้นตน ความเสี่ยง
การใชประโยชน
S-O-F-C
S
ประสิทธิผล
ระดับความเสี่ยงคงเหลือ
โอกาสที่
ผล
ระดับ
ของการ
โอกาสที่
ผล
ระดับ
จะเกิด
กระทบ
ความเสี่ยง
ควบคุม
จะเกิด
กระทบ
ความเสี่ยง
สูงมาก
สูงมาก
สูงมาก
ควร
สูงมาก
สูงมาก
สูงมาก
สินทรัพยไมเต็ม
ปรับปรุง
ประสิทธิภาพ ระบบงานและ
O
สูง
สูง
สูงมาก
เครือขายไมสามารถ
ควร
ปานกลาง ปานกลาง
สูง
ปรับปรุง
ใชงานไดตามปกติ การปดบัญชีโครงการ
F
สูงมาก
สูงมาก
สูงมาก
ตามนโยบายรัฐลาชา อคส.ฟองรองบุคคล
ควร
สูงมาก
สูง
สูงมาก
สูงมาก
สูง
สูงมาก
ปรับปรุง C
สูงมาก
สูงมาก
สูงมาก
อื่นแลวไมไดรับชําระ
ควร ปรับปรุง
หนี้ตามมูลหนี้
ขั้นตอนที่ 7 การแกไข / เปลี่ยนแปลงระดับของความเสี่ยง ในขั้นตอนนี้เราจะตองพิจารณาสอบทานการจัดระดับของความเสี่ยงอีกครั้ง โดยการหารือกับ ผูบริหารเกี่ยวกับรายละเอียดของความเสี่ยงตางๆ ที่ไดถูกระบุขนึ้ ซึ่งอาจทําใหเกิดการทบทวน / แกไข การจัดระดับของความเสีย่ งได ขั้นตอนที่ 8 การระบุระดับความเสี่ยงคงเหลือ (RESIDUAL RISK) การระบุถึงระดับความเสี่ยงคงเหลือ ภายหลังการพิจารณาและคํานึงกิจกรรมและ/หรือ ระบบ การควบคุมภายในที่มีอยูในองคกรในปจจุบนั ทีส่ ามารถปองกันความเสี่ยงที่อาจเกิดขึน้ และ/หรือ บรรเทาความรุนแรงของผลกระทบ เมื่อความเสี่ยงนั้น ๆ เกิดขึน้ และ/หรือ ลดโอกาสทีจ่ ะเกิดขึน้ ของความ เสี่ยงนัน้ ๆ ซึง่ เปนการพิจารณาความสัมพันธของระดับความเสี่ยงขั้นตน ในขั้นตอนที่ 4 และ ประสิทธิภาพการควบคุมภายใน ในขั้นตอนที่ 5 และ 6
26
ตัวอยางของการระบุระดับความเสี่ยงคงเหลือ กรณีที่องคกรมีการควบคุมภายในที่มีประสิทธิผล ความเสี่ยงขัน้ ตน (Gross Risk) เชน ความเสี่ยง ก ซึ่งเดิมไดเคยถูกประเมินไววามีความเสี่ยงในระดับที่สูง มาก ความเสี่ยงดังกลาวจะสามารถเลื่อนลงมาอยูความเสี่ยงระดับสูงได (ลดโอกาสเกิดและผลกระทบ จาก 4x5 เปน 2x4 ) และความเสี่ยง ข ซึ่งเดิม ถูกประเมินวามี ความเสี่ยงในระดับสูง ความเสี่ยงดังกลาวจะ สามารถเลื่อนมาเปนความเสี่ยงระดับปานกลางได (ลดเฉพาะโอกาสเกิด จาก 3x3 เปน 2x3) และความเสี่ยง ค เดิมถูกประเมินวามีความเสี่ยงระดับต่ํา สามารถเลื่อนมาเปนความเสี่ยงระดับ ต่ํามาก (ลดโอกาสเกิดและ ผลกระทบ จาก 2x2 เปน 1x1) (ปรากฏรายละเอียดตารางดานลาง) แผนภาพที่9
หมายเหตุ : ระดับความเสี่ยงที่องคกรยอมรับได คือ ระดับต่ํา (สีเขียวตามตาราง)
27
ขั้นตอนที่ 9
การจัดเรียงระดับความเสี่ยงคงเหลือ (RISK PROFILE)
เมื่อจัดทําทะเบียนความเสี่ยงและประเมินระดับความเสี่ยงคงเหลือแลว ขัน้ ตอนตอไปคือการนํา ความเสี่ยงคงเหลือมาจัดเรียงลําดับ(Risk Profile) ในการพิจารณาคัดเลือกความเสี่ยงระดับองคกรผูบริหารจะตองพิจารณาระดับความเสี่ยงคงเหลือ วา อยูในระดับที่องคกรยอมรับไดหรือไม โดยตองพิจารณาถึงวัตถุประสงคขององคกร (Entity’s objective) และ ตองระลึกไวดวยวาวัตถุประสงค ของการพิจารณาความเสี่ยงที่เหลืออยูนั้นไมใชการกําจัดความเสี่ยง ที่เหลืออยูทั้งหมด แตเพื่อทําใหมั่นใจวาไดมีการจัดการความเสี่ยงที่คงเหลืออยูใหอยูในระดับที่ องคกรยอมรับได โดยมีตนทุนการจัดการที่มีประสิทธิภาพและประสิทธิผล
การวิเคราะห Risk Map เพื่อใชในการพิจารณาจัดทําแผนบริหารความเสี่ยง Risk Map (ตามคําจํากัดความในหนา ค) จะชวยใหผบู ริหารมองเห็นความสัมพันธของความ เสี่ยงกับความเสี่ยง สาเหตุกับความเสี่ยง สาเหตุกับสาเหตุ และระดั บความรุนแรงของ ผลกระทบในภาพรวมขององคกร กอนนํามาจัดทําแผนบริหารความเสี่ยงภายใตแนวคิดวาทรัพยากร ที่มีอยูจํากัด แผนภาพที่ 10 แนวคิดในการวิเคราะห Risk Map มุงเนนการลดความเสี่ยงที่สําคัญ/มี ผลกระทบตอความเสี่ยงอื่น
ทรัพยากรที่มีอยูจํากัด
Risk Map
มุงเนนการจัดการกับสาเหตุที่สําคัญ/สงผล กระทบตอความเสี่ยงหลายตัว
แผนบริหารความเสี่ยง
28
การจัดการความเสี่ยง (Risk Treatment)
แนวทางในการจัดการความเสี่ยงของผูบริหารมี 4 แนวทางดังนี้ X การยุติความเสี่ยง (TERMINATE) ผูบริหารสามารถเลือกทีจ่ ะยุติความเสี่ยงนั้น ๆ โดยตัดธุรกิจทีก่ อใหเกิดความเสี่ยงนั้น ออกไป หรือเปลี่ยนแปลงธุรกิจนั้น ๆ อยางมีสาระสําคัญ ทั้งนี้ ผูบริหารสามารถเลือกใชวิธีการ ดังกลาวนี้ ในการกําจัดความเสี่ยงทีอ่ าจจะสงผลกระทบในระดับที่สูงมากตอธุรกิจและเมื่อ ตนทุนของการัดการความเสี่ยงดวยวิธีการอื่น ๆ นัน้ อาจไมคุมคากับประโยชนที่จะไดรับอยางมี สาระสําคัญ
o การลดความเสี่ยง (Reduce) ผูบริหารสามารถเลือกทีจ่ ะลดความเสี่ยงที่มีอยู โดยมุงเนนไปที่ y ลดโอกาสที่จะเกิดความเสี่ยง และ y ลดผลกระทบที่เกิดจากความเสี่ยง
pการยอมรับความเสี่ยง (Accept) ผูบริหารสามารถเลือกวิธีที่จะไมจัดการกับความเสี่ยง และยอมรับความเสี่ยงนั้นๆ โดยผูบริหาร เลือกที่จะยอมรับความเสี่ยงใน”ระดับต่ํา” เนื่องจากระดับความเสี่ยงต่ํานั้น อยูในระดับความ เสี่ยงที่องคกรยอมรับได เปนตน
29
ปจจัยประกอบการพิจารณาตัดสินใจวา ระดับความเสี่ยงคงเหลืออยูในระดับองคกรยอมรับได หรือไมไดแก y ความเพียงพอของการควบคุมที่มีอยูในปจจุบัน y คุณภาพและปริมาณขอมูลสําหรับการควบคุมนั้นๆ y โอกาสและผลกระทบที่ความเสี่ยงนั้นๆ จะเกิดขึ้น และ y ตนทุนของการเพิ่มการควบคุม (Additional Controls)
q การสงตอความเสี่ยง (Pass-On) ผูบริหารสามารถเลือกทีจ่ ะสงตอความเสี่ยงทั้งหมด หรือบางสวนใหกับหนวยงานอื่นๆ โดย y สงตอกระบวนการทางธุรกิจทั้งหมดที่กอใหเกิดความเสี่ยง ใหกับหนวยงานอื่น อาทิเชน การรับเหมาชวง (Sub Contracting) และการจางบุคคลภายนอกกระทําการแทน (Outsourcing) เปนตน y รวมกระบวนการทางธุรกิจกับองคกรอื่นๆ เพื่อกระจายความเสี่ยง อาทิเชน หุน สวน (Partnership) และกิจการรวมคา (Joint Venture) เปนตน y คงการดําเนินการในกระบวนการทีก่ อใหเกิดความเสี่ยงตอไป และสงตอความเสี่ยงทาง กฎหมายหรือความเสี่ยงทางการเงินใหกับหนวยงานอื่นๆ เชน การทําประกันภัย และการใช เครื่องมือทางการเงินตางๆ เปนตน เมื่อตกลงเลือกแนวทางในการจัดความเสี่ยงแลว เจาของความเสี่ยง ก็จะตอง ดําเนินการจัดทําแผนบริหารความเสี่ยงตอไป
30
แผนภาพที่ 11 แสดงขั้นตอนและทางเลือกที่ใชในการจัดการความเสี่ยง
RISK PROFILE ยุติ
ลด
บริหาร
ระดับความเสี่ยง ที่ยอมรับได
การจัดทําแผน
ยอมรับ
ความเสี่ยง
สงตอ
วิเคราะห คาใชจายและ ผลประโยชน (Cost-Benefit Analysis)
- กําหนด KRI - Risk Appetite - Risk Tolerance
ให ความสําคัญ กับความเสี่ยง ระดับสูงกอน
31
การตัดสินใจเลือกทางเลือกใดมาจัดการความเสี่ยงจะตองมีการวิเคราะห คาใชจายและผลประโยชนที่ไดของแตละทางเลือก (Cost-Benefit Analysis) มา ประกอบการพิจารณาดวย โดยพิจารณาจาก • ผลได (Benefit) ไดแกผลลัพธที่เกิดขึ้นทันทีที่นํามาตรการนั้นไปใชลด ความเสี่ยง หรือผลประโยชนในระยะยาว รวมไปถึงโอกาสต าง ๆ ทาง ธุรกิจในอนาคต • ผลเสีย (Cost) ไดแก ตนทุน เวลาหรือความสะดวกที่มีโอกาสสูญเสียไป กับความเสี่ยง หรือความเสี่ยงที่อาจจะเกิดขึ้นไดอีกในอนาคตเปนตน (ตัวอยางแบบวิเคราะหคา ใชจายและผลประโยชนที่ไดของแตละทางเลือก อยูในภาคผนวก C)(แบบR1) หลักเกณฑการเขียนกิจกรรมของแผนบริหารความเสี่ยง 1. ควรครอบคลุมสาเหตุหลักของความเสี่ยง รวมทั้งพิจารณาวาจะลดโอกาสหรือ ผลกระทบ หรือลดไดทั้งโอกาสและผลกระทบ 2. ควรเขียนเปน Action ไมใช Consequence (ผลกระทบ) และควรมีรายละเอียดให มากพอสมควรไมกวางจนเกินไป 3. ตองกําหนดตัวผูรับผิดชอบ (เจาของแผน) 4. ตองกําหนดระยะเวลาและเกณฑวัดความสําเร็จของแผน 5. คํานึงถึง Cost & Benefit 6. ตองมีคาระดับความเสีย่ งที่องคกรยอมรับได (Risk Appetite) และชวงเบีย่ งเบนของ คาระดับความเสี่ยงที่องคกรยอมรับได (Risk Tolerance)
32
การติดตามและการรายงานผล วัตถุประสงคหลัก • การติดตามผล และการรายงานผล(รวมถึงการประเมินผลบริหารความเสี่ยง) ควร มีการดําเนินการอยางตอเนื่องและสม่ําเสมอ เพื่อใหมั่นใจวา 1. กิจกรรมการบริหารความเสี่ยงไดดําเนินการไปตามแผนงานที่กําหนดไว 2. การบริ ห ารจั ด การความเสี่ ย งตามแผน ได ผ ลตามเป า หมายที่ ตั้ ง ไว (และอยูในระดับความเสี่ยงที่ยอมรับได) หากพบปญหา จะตองมีการ ปรับแผน/มาตรการเพิ่มเติมเพื่อจัดการกับความเสี่ยงตอไป 3. ความเสี่ยงที่อาจเกิดขึ้น มีการติดตามแนวโนมของความเสี่ยง • ความถี่ในการติดตามประเมินผล อคส.ไดกําหนดความถี่ในการติดตามและ รายงานประเมินผลบริหารความเสี่ยงเปนรายไตรมาส แตทั้งนี้ในกรณีที่ Risk Owner/ คณะกรรมการ/ผูบริหาร/พนักงานเห็นวามีความเสี่ยงใหมเกิดขึ้น ซึ่งเปนความเสี่ยงที่อาจสงผล กระทบรุนแรงตอการดําเนินงานของ อคส. ก็สามารถรายงานความเสี่ยงไดทันที (Ad-Hoc Reporting) และ RMC สามารถดําเนินการหามาตรการแกไขไดอยางทันกาลเพื่อลดความ เสียหายที่อาจเกิดขึ้น รวมทั้งดําเนินการทบทวน/ปรับปรุง/เพิ่มเติมมาตรการในแผนบริหาร ความเสี่ยงเปนรายไตรมาสเพื่อใหมั่นวาจะสามารถบรรลุตามเปาหมายที่กําหนดไวได การติดตามประเมินผล สามารถดําเนินการไดใน 2 สวน คือ การประเมินดวย ตนเอง และประเมินโดยหนวยงาน ตรวจสอบภายในซึ่งเปนหนวยงานอิสระ เพื่อใหงายตอ ความเขาใจ จึงขอแสดงใหเห็นตาม แผนภาพที15และ แผนภาพที16 ในหนาถัดไป
33
แผนภาพที่ 12 แสดงวัตถุประสงคหลักในการติดตามและการประเมินผลการบริหาร ความเสี่ยง ระหวาง Risk Owner /สวนงานบริหารความเสี่ยงและหนวยงานตรวจสอบ Risk Owners การประเมินความเสีย่ งและการควบคุมภายในดวยตัวเอง (Risk and Control Self Assessment-RCSA) • ติ ด ตาม ประเมิ น วิ เ คราะห และบริ ห ารความเสี่ ย งอย า ง สม่ําเสมอ - ความคืบหนาในการดําเนินกิจกรรมตามแผน ฯ - การประเมิ น ผลประสิ ท ธิ ภ าพของการวางแผน ที่ ดํา เนิ นการว าสามารถความเสี่ย งไดต ามเปา หมายที่ กําหนดไวหรือไม
• ปรับแผนบริหารความ เสี่ยง
การเฝาระวังความเสีย่ ง
การรับรอง
(Risk Oversight)
(Assurance)
หนวยงานบริหารความเสี่ยง ติดตามผล/การรายงาน การบริหารจัดการความเสี่ยง
หนวยงานตรวจสอบภายใน เพื่อใหมั่นใจวากิจกรรมควบคุม (Controls) มีประสิทธิผลตามที่มุงหวังไว
34
การติดตามและการประเมินผลโดยหนวยงานที่เกีย่ วของ สามารถดําเนินไดในระดับ ตาง ๆ ดังแผนภาพตอไปนี้ แผนภาพที่ 13 บทบาทของสวนงานบริหารความเสี่ยง สํานักตรวจสอบกับและ หนวยงานเจาของความเสี่ยง สวนงานบริหารความเสี่ยง
ผูรับผิดชอบความเสีย่ ง/กระบวนการ Risk Process Owners
การเฝาระวังความเสีย่ ง
การประเมินความเสีย่ งและ
สํานักตรวจสอบ (ติดตามอยางเปนอิสระ) การรับรอง
การควบคุมดวยตัวเอง (RCSA) ทางเลือกในการจัดการความเสี่ยง
Risk Profile
- แผนบริหารความเสี่ยง
สวนงานบริหารความเสี่ยง
ติดตามผล/การรายงาน การบริหารจัดการความเสี่ยงองคกร ติดตามผลการรายงาน
แผนการตรวจสอบภายใน มาตรฐานความเสี่ยง
เจาของกระบวนการ/ความเสี่ยง Risk Process Owners
สํานักตรวจสอบภายใน
ติดตาม ประเมิน บริหารจัดการ ความเสีย่ งอยางตอเนื่อง/สม่าํ เสมอ
เพื่อใหมนั่ ใจวาการควบคุม ภายในมีประสิทธิภาพตามที่วางไว
• ออกแบบวิธีการตรวจสอบประสิทธิผล • จัดทําแผนบริหารความเสี่ยง ของการควบคุมภายใน • สถานะของแผนบริหารความเสี่ยง(%) และดําเนินการตามแผน ฯ • ประเมินผลการจัดการความเสี่ยงตาม • บริหารจัดการใหมั่นใจวาการ • ใหความมั่นใจแกคณะกรรมการ ตรวจสอบ แผน ฯ ควบคุมภายในมีประสิทธิผล • ใหขอเสนอแนะเพื่อปรับปรุงระบบ • ความเสีย่ งใหมและแนวโนม ควบคุมภายใน
35
ปจจัยแหงความสําเร็จในการบริหารความเสี่ยงของ อคส. Critical Success Factor (CSF) แผนภาพที่ 14 ความเสี่ยงที่ระบุขึ้นสวนใหญเกี่ยวของเฉพาะกับการปฏิบัติงาน ของตน ไมคอยไดมองถึงความเสี่ยงในภาพรวมขององคกร เทาใดนัก
ผูบริหารและพนักงานทุกระดับควร ไดรับการปลูกฝงเขาใจและตระหนัก ถึงความเสี่ยงของ องคกรโดยรวม
หนวยงานตางๆจะคุนเคยกับความเสี่ยงที่ตนประสบใน
ผูบริหารและพนักงานทุกระดับไมควร
สายงาน โดยอาจไมเขาใจวาความเสี่ยงบางประเภท
ทํางานเปนไซโล; ควรพัฒนาการสื่อสาร/
จะตองเปนความรับผิดชอบรวมกันระหวางหลาย
รูปแบบการทํางานแบบ Cross Function
ความเสีย่ งไมใชเกมตัวเลข (ยิ่งมากยิง่ ดี)
บทบาทของคณะกรรมการบริหารความเสี่ยงควร เพิ่มขึ้นในการสนับสนุนการบริหารความเสี่ยงองคกร
พัฒนาเนื้อหาของแตละความ เสี่ยง มิใชจํานวนความเสีย่ ง
RMC ควรใหคําปรึกษา ผลักดัน และติดตาม
ผลการบริหารความเสี่ยงมากยิ่งขึ้น เพื่อให เปนไปตามเปามายการบริหารความเสี่ยง ที่ตั้งไว ตลอดจนจัดทําเอกสารสนับสนุน
36
ควรนําผลที่ไดจากการติดตามผลการ การติดตามความเสี่ยง : ไมควรคิดวาเปนการ
บริหารความเสี่ยง ไปใชในการบริหาร
ติดตามเทานั้น
ความเสีย่ งเพือ่ ใหบรรลุวัตถุประสงค/ เปาหมายขององคกร
ใหการสนับสนุนอยางเปนรูปธรรมใน
กรรมการและผูบริหารระดับสูงเห็นความสําคัญ
การบริหารความเสี่ยงองคกร (Tone From The Top)
เห็นความสําคัญและใชการบริหารความเสี่ยง
พนักงานทุกคน ทุกระดับ ในองคกร มีความ
เพื่อชวยใหองคกรบรรลุวัตถุประสงค/เปาหมาย
ตระหนัก
และเพื่อใหองคกรมีการเติบโตอยางยั่งยืน (Sustainable Growth)
เขากับแผนกลยุทธ/แผนธุรกิจ/แผนปฏิบัติ
มีการเชื่อมโยงการบริหารความเสี่ยง
การประจําป/แผนการลงทุนและมีการ บริหารความเสี่ยง จนกลายเปนสวนหนึ่ง ของวัฒนธรรมองคกร
ภาคผนวก A: ประเภทความเสี่ยง (คําอธิบายเพิ่มเติม)
(คําอธิบายเพิ่มเติม) 1. ความเสี่ยงดานกลยุทธ (Strategic Risk : S) 1.1 Organizational Structure Risk ความเสี่ยงที่เกิดขึ้นจากการปฏิบัติงานอัน เนื่องมาจากโครงสรางองคกร ไมเหมาะสม ซ้ําซอน หรือระบุขอบเขตหนาที่ความ รับผิดชอบไมชัดเจน เปนอุปสรรคตอการดําเนินธุรกิจ 1.2 Operational Strategic Risk ความเสี่ยงจากการดําเนินงานเกิดจากการวางกลยุทธ • Business Risk : ความเสี่ยงที่เกิดจากการวางกลยุทธ (ที่สอดคลองกับสภาพ แวดลอมทางธุรกิจ ณ ขณะนั้น) แตมีปจจัยภายนอกที่เปลี่ยนแปลง ทําใหกลยุทธ หรือการดําเนินธุรกิจในลักษณะดังกลาวไมเหมาะสม ไดแก ปจจัยดานนโยบาย การเงิน การคลัง ภาวะเศรษฐกิจ สถานการณการเมือง คูแขง กฎหมาย ภาษี หรือ การเปลี่ยนแปลงขอกําหนดกฎเกณฑ • Strategic Risk : ความเสี่ยงที่เกิดจากการวางกลยุทธผิดพลาด ไมเหมาะสมกับปจจัย ภายนอกที่ใชพิจารณากําหนด กลยุทธ 2. ความเสี่ยงดานการปฏิบัติงาน ( Operational Risk : O ) ความเสี่ ย งที่ จ ะเกิ ด ความเสี ย หายโดยตรงหรื อ โดยอ อ ม เนื่ อ งจากการขาด ระบบงาน การขาดการควบคุมที่ดี การจัดการภายในลมเหลวจนทําใหเกิดความสูญเสีย และ ความผิดพลาดในการปฏิบัติงาน โดยมีสาเหตุตางๆ ดังนี้ 2.1 People Risk : ความเสี่ยงที่เกิดขึ้นจากการปฏิบัติงานอันเนื่องจากบุคลากร • Incompetence : การขาดความรูความชํานาญในงานที่รับผิดชอบการ ขาดความ สามารถในการทํางานเปนทีม การละเลยไมใหความสําคัญกับกลุมลูกคา การขาด การทํ างานแบบมืออาชีพ รวมทั้งการขาดความสามารถในการวิเ คราะหห รือใช วิจารณญาณในการตัดสินใจ หรือตีความขอมูลที่ใชในการปฏิบัติงานผิดพลาด ซึ่ง ทั้งหมดนี้อาจนําไปสูการปฏิบัติงานที่ผิดพลาด • Fraud : การทุจริตหรือกระทําผิดจรรยาบรรณ หรือใชตําแหนงหนาที่ ของตนเพื่อ ประโยชนสวนตัว • Human Error : ความผิดพลาดของพนักงานในการปฏิบัติงาน โดยมิไดมีเจตนาจะ กระทําผิดหรือทุจริต A-1
• HR Management : การบริหารทรัพยากรบุคคลไมเหมาะสม เชน การมีพนักงาน มากหรือนอยเกินไป การดอยประสิทธิภาพในการสรรหา การมอบหมายไมตรง ความสามารถ การขาดการอบรมให พ นั ก งานมี ค วามเชี่ ย วชาญหรื อ เพิ่ ม ขี ด ความสามารถในการปฏิบัติงาน การขาดเครื่องมือในการสรางแรงจูงใจและคงพนักงาน ที่มีความสามารถใหอยูกับองคกร การประเมินผลงานที่ไมยุติธรรม และคาตอบแทนที่ ไมเหมาะสม การพึ่งพิงกับพนักงานหลัก (Reliance on Key Individuals) • Resource Management : การบริหารทรัพยากรขององคกรไมเหมาะสม เชน ไมมี อุ ปกรณ ที่ ใ ห ค วามสะดวก หรื อ มี ไ ม เ พี ย งพอต อ ความจํ า เป น ในการปฏิ บั ติ ง าน อุ ป กรณ ไ ม อ ยู ใ นสภาพที่ ดี ต อ การใช ง าน รวมทั้ ง การมี โ ครงสร า งพื้ น ฐานทาง เทคโนโลยี (Technology Infrastructure) ที่ไมเหมาะสมกับงานหรือลาสมัย 2.2 Process เกิดจากระบบหรือขั้นตอนการปฏิบัติงาน • Model/Methodology Error : ความผิดพลาดในการพัฒนากําหนดสูตรการคํานวณ ตางๆ เชน อัตราสวนทางการเงิน การประเมินมูลคา หลักทรัพย/ทรัพยสิน/หนี้สิน และการประเมินมู ลคาหลั กประกั น ตลอดจนข อ บกพร อ งของวิธี ก าร/ขั้ น ตอนการ ทํางาน ซึ่งทําใหการปฏิบัติงานไมมีประสิทธิภาพเพียงพอ • Products/Services : การออกแบบ/พัฒนาสินคาและบริหารไมดีพอ สินคา/บริการมี ความซับซอนหรือมีขอบกพรอง ทําใหลูกคาไมพึงพอใจ และอาจนํามาซึ่งตนทุนของ การใหบริการ แกไขปญหาใหแกลูกคา หรือการชดเชยคาเสียหายแกลูกคา • Legal/Regulatory : เกิดจากการกํากับดูแลและกฎระเบียบที่องคกร เผชิญอยู หาก องคกรวางแผนการปฏิบัติตางๆ ไมสอดคลองกับขอกําหนดของทางการ นอกจากนี้ ยังรวมถึงความเสี่ยงจากการตีความขอกฎหมาย และมี/ไมมีกฎหมายที่เอื้ออํานวย ตอการดําเนินธุรกิจขององคกร • Communication : การเขาใจไมตรงกันในการสื่อขอความ ทําใหตีความผิดพลาด การสื่อสารที่ไมทั่วถึง ทุกกลุมงาน หรือขอมูลที่เผยแพรภายนอก ไมถูกตอง ไม สอดคลองกัน กอใหเกิดความไมนาเชื่อถือโดยเฉพาะกรณีที่มีการนําขอมูลไปใช อางอิง • Inadequate systems & control : การขาดมาตรฐาน / คูมือ / รายละเอียดในการ ปฏิ บั ติ ง าน รวมทั้ ง การขาดระบบการตรวจสอบ/การควบคุ ม /การรั ก ษาความ ปลอดภัยที่ดีหรือมีแตไมเพียงพอ A-2
2.3 Technology Risk ความเสี่ยงที่เกิดขึ้นจากการปฏิบัติงานอันเนื่องจากเทคโนโลยี • Security : การขาดระบบรักษาความปลอดภัยของขอมูลหรือระบบคอมพิวเตอร หรือมีแตดอยประสิทธิภาพ • System Error/Failure : ความผิดพลาด/ ความสูญเสียของระบบ เนื่องจากอัคคีภัย ภัยธรรมชาติ ปญหาดานเทคนิค กระแสไฟฟาขัดของ ระบบสูญเสียความสามารถ บางสวน/ทั้งหมดจากการทําลายของไวรัส คอมพิวเตอร • Programming Error : ความผิดพลาด / ไมสมบูรณของโปรแกรมคอมพิวเตอรที่ใช • Telecommunication Error : การขัดของของระบบการสื่อสาร เชน Computer Network, โทรศัพท, โทรสาร เปนตน • Information : ขอมูลสําหรับการปฏิบัติงานมีไมเพียงพอ ไมสมบูรณไมถูกตอง หรือไมมีความสําคัญเกี่ยวของ รวมถึงการมีระบบ ขอมูลไมถกู ตอง ทําใหไมสามารถ นําขอมูลไปใชได หรือการมีหลายระบบที่แสดงขอมูลในลักษณะแตกตางกัน 3. ความเสี่ยงดานการเงิน ( Financial Risk : F ) 3.1 Market Risk ความเสี่ยงอันเกิดจากการเปลี่ยนแปลงมูลคาหลักทรัพยหรือพันธะสัญญาที่ องคกร ทําไว สงผลใหทรัพยสิน หนี้สินหรือสัญญา ทั้งที่ปรากฏในงบดุลหรือนอกงบดุลมีมูลคาสุทธิลดลง หรือสงผลกระทบตอการลงทุน (Investment) ขององคกรปจจัยที่สงผลกระทบตอความเสี่ยง ทางดานตลาด ประกอบดวย - การเปลี่ยนแปลงของอัตราดอกเบี้ย (Interest Rate Risk) - การเปลี่ยนแปลงของอัตราแลกเปลี่ยนเงินตราตางประเทศ (Foreign Exchange Risk) - ความผันผวนของราคาหลักทรัพย (Investment Risk) - ความผันผวนของอันดับความนาเชื่อถือของผูออกหลักทรัพย อันสงผลกระทบตอ ราคาหลักทรัพยที่ลงทุน
A-3
3.2 Credit Risk ความเสี่ยงงดานเครดิต เปนความเสี่ยงที่เกิดจากการที่คูสัญญาไมสามารถทําตาม ขอตกลงที่ไดทําไวกับองคกรได เนื่องจากขาดความสามารถทางดานการเงินซึ่งสงผลเสียตอ องคกรในที่สุด 3.3 Liquidity Risk ความเสี่ยงที่เปนผลมาจากการที่องคกร ไมสามารถเปลี่ยนสินทรัพยเปนเงินสดไดใน ราคาที่เหมาะสมตามเวลาที่ตองการ อาจเนื่องจากมีตลาดรองรับสินทรัพยนั้นไมเพียงพอ หรือ ตลาดกํ า ลั ง ถู ก แทรกแซงจากป จ จั ย อื่ น นอกจากนี้ ยั ง หมายถึ ง ความเสี่ ย งที่ อ งค ก รขาด ความสามารถชั่วคราวในการจัดหาเงินทุนมาชําระใหแกคูสัญญาในวันครบกําหนด 3.4 Budgeting Risk ความเสี่ยงจากความไมเพียงพอของเงินงบประมาณ ฯลฯ 4. ความเสี่ยงดานการปฏิบัติตามกฎระเบียบ/กฎหมาย (Compliance Risk : C) • Legal/Regulatory : เกิดจากการกํากับดูแลและกฎระเบียบที่ องคกรเผชิญอยู หาก อคส.วางแผนการปฏิบัติตางๆ ไมสอดคลองกับขอกําหนดของทางการ นอกจากนี้ยัง รวมถึงความเสี่ยงจากการตีความขอกฎหมาย และมี/ไมมีกฎหมายที่เอื้ออํานวยตอ การดําเนินธุรกิจขององคกร
A-4
ภาคผนวก B: ตัวอยาง ความเสี่ยงประเภทอื่นๆ
ประเภทอื่นๆ สิ่งแวดลอม / กลยุทธ วัฏจักรเศรษฐกิจ โลกาภิวัตน
การแขงขัน พาณิชยอิเล็กทรอนิคส(E-Commerce)
เศรษฐกิจ
ความเสียหายจากมหันตภัย
การเมือง
สังคม
ราคาหุน
ความไมแนนอนเชิงกลยุทธ
การกํากับดูแล
ความซื่อสัตย
การปฏิบัติตามกฎระเบียบ/กฎหมาย
อํานาจหนาที่
การฉอโกงโดยผูบริหาร
ภาษี
ผูนํา
การฉอโกงโดยพนักงาน
สภาวะแวดลอม
คาตอบแทนเพื่อจูงใจ
การกระทําที่ผิดกฎหมาย
สุขภาพและความปลอดภัย
ขอจํากัด
การประพฤติมิชอบตามอํานาจหนาที่
ขอกําหนด/กฎหมายตางๆ
การปฏิบัติการ เทคโนโลยี
คุณภาพ
ความพึงพอใจของลูกคา
เวลาตอรอบ(Cycle Time)
ความลาสมัย
การลดคา
ประสิทธิภาพ
สมรรถภาพ
การหาแหลงวัตถุดิบ
การพัฒนาผลิตภัณฑ
ผลิตภัณฑเสียหาย/ไมสามารถใหบริการได
การหยุดชะงักของธุรกิจ
การบริหารผลงาน
ความสามารถของพนักงาน
แรงจูงใจ
การฝกอบรม
การซอมบํารุง
ระบบความปลอดภัย
การจัดการขอมูล
การจัดการทางการเงิน
ทรัพยากรบุคคล
การจัดการระบบขอมูลสารสนเทศ
การประมาณการและวางแผนกระแสเงินสด
การบริหารทรัพยากรบุคคล
การพึ่งพิง IT
การประเมินผลการลงทุน
ความสามารถ
ความเชื่อถือได
การรายงานขอมูลทางการเงิน
การวาจาง
IT จากภายนอก
เครื่องมือทางการเงิน
การยอมรับผลงาน/การรักษาพนักงาน/ผลตอบแทน
การประเมิน / ความพอเพียง
แหลงเงินลงทุน
การบริหารผลการปฏิบัติงาน
ความสมบูรณ / ความถูกตอง
ขอมูลทางบัญชี
การพัฒนาศักยภาพความเปนผูนํา
ความเกี่ยวของ
B-1
ภาคผนวก C : หลักเกณฑการประเมินความเสี่ยงของ สคร. ป 2553
หลักเกณฑการประเมินความเสี่ยงของ สคร. ป 2553
ระดับที่ 4 - 5
ระดับที่ 3 การบริหารความเสี่ยงในเชิงบูรณาการ :
ระดับที่ 2
ระดับที่ 1 การบริหารความเสี่ยงนอยมาก : - บริหารเชิงรับเปนสวนใหญ - ไมมีคณะทํางานเพื่อจัดการความเสี่ยง ในรูปแบบบูรณาการ - มีองคประกอบในการบริหาร ความเสี่ยงไมครบถวน - ไมมีคูมือการบริหารความเสี่ยง
การบริหารความเสี่ยงเบื้องตนที่มีระบบ : - มีการบริหารเปนกลยุทธระยะสั้น (15%) - มีคณะทํางาน/กอง/งาน/ฝายเพื่อจัดการ ความเสี่ยงในรูปแบบบูรณาการ (10%) - มีองคประกอบในการบริหารความเสี่ยง ที่ดีครบถวน โดยมีการวิเคราะหระดับ ความรุนแรง (I/L) ที่ชัดเจนเปนระบบ (55%) - มีคูมือการบริหารความเสี่ยงตามเกณฑ และเผยแพรใหพนักงานทุกระดับ (20%)
- มีการดําเนินงานครบถวนในระดับที่ 2 - มีการบริหารความเสี่ยงที่เปนกลยุทธหรือ การดําเนินงานที่ตอเนื่องทั้งองคกร (20%) - มีคณะทํางาน/กอง/งาน/ฝายเพื่อจัดการ ความเสี่ยง มีแผนงานที่ชัดเจน รวมถึง สามารถบรรลุเปาหมายในแผนงานได ครบถวน (20%) - มีการกําหนดเกณฑระดับความรุนแรงแยก รายปจจัยเสี่ยง กําหนดเปาหมายในเชิง ระดับความรุนแรงที่คาดหวัง และสามารถ รายงานระดับความรุนแรงของแตละปจจัย เสี่ยงรายไตรมาส (20%) - มีการกําหนด Risk Appetite และ Risk Tolerance ทุกปจจัยเสี่ยง (20%) - มีการบริหารความเสี่ยงแบบบูรณาการ (20%)
- มีการบริหารเทคโนโลยีสารสนเทศที่ดี (20%) - มีกลยุทธการบริหารความเสี่ยงที่เชื่อมโยง กับการกําหนดนโยบาย/กลยุทธ/การ วางแผน/การลงทุน(10%) - มีการทบทวนและปรับปรุงการบริหาร ความเสี่ยงสม่ําเสมอ (5%) - จัดใหมีบรรยากาศและวัฒนธรรมที่ สนับสนุนการบริหารความเสี่ยง (5%) - มีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลคา (30%) - กระบวนการบริหารความเสี่ยงเปนกิจกรรม ประจําวันของทุกหนวยงานและสัมพันธกับ คาตอบแทน (30%) - การบริหารความเสี่ยงเปนการสนับสนุน การบริหาร เพื่อสรางสรรคมูลคาใหกับ องคกร (Value Creation) (30%) - ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง (30%) - Portfolio View of Risk (30%) - Integrated Governance, Risk and Compliance (10%)