การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment (ตอนที่ 1)

มีนาคม 23, 2012

ความเข้าใจในเรื่องการบริหารความเสี่ยง เพื่อการควบคุมดูแล (Monitoring) และเพื่อการตรวจสอบ (Audit) นั้น ต้องการใช้ทรัพยากรนอกสายงานปฏิบัติการ เพื่อประเมินความเสี่ยงและการควบคุมความเสี่ยงว่ามีความเหมาะสมเพียงไรหรือไม่ โดยเฉพาะอย่างยิ่งการประเมินความเสี่ยงที่เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ Business Drivers เป็นกรอบในการประเมินความเสี่ยงและการควบคุม

เมื่อพูดถึง Business Driver ผมขออนุญาตที่จะทบทวนความหมาย เพื่อให้เกิดความเข้าใจที่ตรงกัน เพียงสั้น ๆ ด้วยแผนภาพแทนคำอธิบายด้วยคำพูดดังนี้นะครับ

Business Drivers ประกอบด้วยองค์ประกอบหลัก ๆ 2 ข้อ คือ

1. Performance
2. Conformance

ทั้ง 2 หัวข้อ คณะกรรมการและผู้บริหารระดับสูง จะต้องมีกระบวนการจัดการประเมินความเสี่ยงที่ได้ดุลยภาพ กล่าวคือ Performance จะพิจารณาการบริหารความเสี่ยงที่มุ่งไปสู่ Business Objective ที่มี Business Balanced Scorecard ทั้ง 4 มุมมองเป็นองค์ประกอบหลักที่ต้องการควบคุมความเสี่ยง และกระบวนการจัดการแบบบูรณาการ (Integrated Management) ทั้งด้าน IT และ Non – IT ในขณเะเดียวกันองค์กรก็ต้องดูแลให้มีการปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบ คำสั่ง และมาตรฐานต่าง ๆ ที่เกี่ยวข้อง ทั้งทางด้าน IT และ Non – IT เช่นเดียวกัน

จากแผนภาพ ท่านผู้อ่านจะเข้าใจได้ดียิ่งขึ้น หากอ่านในลักษณะของ Top Down และจากซ้ายไปขวา ในส่วนที่เกี่ยวข้อง และกระบวนการประเมินการควบคุมความเสี่ยงจะต้องอาศัยความเข้าใจ COSO – ERM และ ITG ที่เกี่ยวข้องกับ CobiT และ ITIL+++ ในลักษณะต้องพึ่งพาแต่ละปัจจัยที่เกี่ยวข้องต่อกันโดยใช้หลัก Interdependent เป็นสำคัญ

หากท่านผู้อ่านได้ดูแผนภาพ CSA for Management and Auditing ข้างต้นก็จะเข้าใจอย่างชัดเจนนะครับว่า กระบวนการประเมินตนเองเพื่อควบคุมความเสี่ยงที่จะเกิดขึ้นภายในสายงานของตนนั้น มีความสำคัญยิ่ง และหากดำเนินการได้อย่างมีประสิทธิผลและประสิทธิภาพ ก็จะสามารถช่วยลดภาระกิจของผู้บริหารระดับสูง และสายงานตรวจสอบได้เป็นอย่างดี เพราะกระบวนการควบคุมความเสี่ยง จะดำเนินการโดยสายงานที่เป็นผู้ปฏิบัติงานนั้น ซึ่งโดยหลักการน่าจะมีความเข้าใจงานของตนเองได้ดีกว่าผู้ตรวจสอบ

รายละเอียดเกี่ยวกับเรื่อง CSA บางประการจะได้นำเสนอเป็นตอน ๆ ไปนะครับ


แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 20, 2009

เมื่อท่านผู้บริหาร และท่านผู้อ่านทั้งหลาย ได้ทราบถึงแนวคิดความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ที่จะเกิดขึ้นของปัจจัยหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบต่อความไม่สำเร็จขององค์กร เพื่อจะนำมาประเมินค่าความเสี่ยงและโอกาสที่จะเกิดขึ้น รวมถึงการพิจารณาความเสี่ยงที่มีอยู่และความเสี่ยงส่วนที่เหลือ โดยการใช้ข้อมูลที่สังเกตได้ วิธีการและเทคนิคเชิงปริมาณและคุณภาพไปแล้วนั้น วันนี้ผมจะพาท่านไปสู่ขั้นตอนของการประเมินความเสี่ยงกันครับ

ขั้นตอนการประเมินความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง

จากความเสี่ยงที่ได้ระบุไว้ข้างต้น จะนำรายการความเสี่ยงทั้งหมดมาพิจารณาเพื่อประเมินระดับความเสี่ยง

1. การประเมินระดับความเสี่ยง (Risk Score)
1.1. การประเมินความเป็นไปได้ (Likelihood)
การประเมินความเป็นไปได้ พิจารณาได้ในรูปแบบของความถี่ (Frequency) หรือโอกาสที่จะเกิดความเสี่ยง โดยแบ่งออกเป็น 4 ระดับ ดังนี้

การประเมินค่าความเป็นไปได้

การประเมินค่าความเป็นไปได้

1.2. การประเมินผลกระทบ (Impact)
การประเมินผลกระทบของความเสี่ยง ทั้งที่เป็นตัวเงินและไม่เป็นตัวเงินที่อาจเกิดขึ้นมีดังนี้
ผลกระทบด้านการเงิน เป็นผลกระทบหรือความเสียหายที่เกิดจากความเสี่ยง และสามารถประเมินค่าเป็นตัวเงินได้ ได้แก่
- ผลกระทบจากค่าความเสียหายในด้านต่าง ๆ ต่อทรัพย์สิน
- ผลกระทบจากการลงทุน/การร่วมลงทุน
- ผลกระทบค่าใช้จ่ายการลงทุนหรือการบรรลุวัตถุประสงค์ในระดับต่าง ๆ
- ผลกระทบต่อการเบิกจ่ายงบประมาณ

ผลกระทบต่อการดำเนินธุรกิจและความสามารถการแข่งขันทางธุรกิจหรือการบรรลุพันธกิจและวิสัยทัศน์ขององค์กร เป็นผลกระทบที่มีความเสียหายกับการดำเนินงานขององค์กรในภาพโดยรวม รวมถึงความสามารถในการแข่งขันทางธุรกิจ (ถ้ามี)

อย่างไรก็ดี ผลกระทบตามหัวข้อนี้ โดยทั่วไปจะมีผลต่อระบบการดำเนินงานต่อรูปแบบการดำเนินธุรกิจขององค์กร ได้แก่
- ผลกระทบจากปัจจัยภายนอก นโยบายรัฐบาล และกฎหมาย
- ผลกระทบจากการดำเนินงานตามแผนงาน/โครงการ

ผลกระทบด้านชื่อเสียงขององค์กร เป็นความเสียหายต่อชื่อเสียง ไม่ว่าจะเป็นผลจากการดำเนินงานทั้งทางตรงและทางอ้อม ที่ส่งผลต่อภาพพจน์และความเชื่อถือขององค์กรหรือขององค์กร

การประเมินระดับความเสี่ยง ซึ่งจะแบ่งระดับของความเสี่ยงออกเป็น 5 ระดับ และมีค่าความเสี่ยงรวมเท่ากับ 25 คะแนน (Level of Risk) โดยการนำผลที่ได้จากการประเมินความเป็นไปได้และผลกระทบ มาจัดทำแผนผังประเมินความเสี่ยง (Risk Assessment Matrix) อย่างไรก็ดี ระดับการบริหารความเสี่ยงอาจจะแบ่งออกเป็น 4 ระดับหรือ 3 ระดับก็ได้ ขึ้นอยู่กับการจัดกลุ่มความเสี่ยงตามที่องค์กรเห็นสมควร

Risk Assessment Matrix

Risk Assessment Matrix

จาก Risk Assessment Matrix นำรายการความเสี่ยงของแต่ละระดับความเสี่ยงที่ได้จัดเรียงลำดับไว้ (Risk Ranking) มาวิเคราะห์เปรียบเทียบกับเกณฑ์ความสามารถในการยอมรับความเสี่ยง

เกณฑ์ความสามารถในการยอมรับความเสี่ยง

เกณฑ์ความสามารถในการยอมรับความเสี่ยง

เกณฑ์ความสามารถในการยอมรับความเสี่ยง

* ระดับความเสี่ยงปานกลาง การควบคุมความเสี่ยงต้องมีการติดตามผลและประเมินผลต่อความเสี่ยงที่เกิดขึ้นจริงอย่างมีประสิทธิภาพ/ประสิทธิผล และมีผู้รับผิดชอบโดยตรง เช่น มีแผนปฏิบัติคู่มือปฏิบัติงาน มีการมอบหมายที่ชัดเจน ฯ

2. ความสำคัญของการควบคุมในปัจจุบัน
ในการจัดการความเสี่ยง ผู้รับผิดชอบต้องมีการรวบรวม ประมวลข้อมูล และศึกษาระบบการควบคุมภายใน หรือการบริหารจัดการที่ได้มีการปฏิบัติจริงในปัจจุบัน (ระดับการควบคุม) เพื่อให้การดำเนินงานในขั้นต่อไปเกิดประสิทธิภาพ

การควบคุม พิจารณาได้จาก
- หน้าที่ความรับผิดชอบของคณะกรรมการและหน่วยงานที่เกี่ยวข้อง
- แผนงาน/โครงการ
- แผนปฏิบัติงานประจำ
- งานของคณะกรรมการบริหารของ องค์กร หรือคณะทำงานภายในหน่วยงาน
- ฯลฯ

การพิจารณาการควบคุมมีวัตถุประสงค์เพื่อให้การจัดการความเสี่ยง และการจัดทำแผนบริหารความเสี่ยงในขั้นตอนต่อไปไม่เกิดความซ้ำซ้อน และสร้างมูลค่าเพิ่มในการบรรลุพันธกิจก้าวสู่วิสัยทัศน์ขององค์กร ซึ่งสามารถใช้เป็นข้อมูลประกอบการจัดทำรายละเอียดแผนบริหารความเสี่ยงขององค์กรได้ดี

องค์ประกอบสำคัญของการประเมินความเสี่ยง

องค์ประกอบสำคัญของการประเมินความเสี่ยง


แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 15, 2009

สวัสดีครับ เป็นอย่างไรกันบ้างครับกับแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ตอนนี้ผมได้นำเสนอกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ซึ่งกระบวนการทั้ง 8 ขั้นตอนนี้ถือเป็นหัวใจสำคัญหลักในการบริหารความเสี่ยงเลยก็ว่าได้ และที่กำลังนำเสนออยู่นี้ก็เข้าสู่กระบวนการในขั้นตอนที่ 4 คือ การประเมินความเสี่ยง ที่ได้เล่าสู่กันฟังไปบ้างแล้ว วันนี้ผมมีวิธีการและเทคนิคดี ๆ ในการประเมินความเสี่ยงในเชิงปริมาณและคุณภาพมาเล่าสู่กันฟังต่อจากครั้งที่แล้วครับ

วิธีการและเทคนิคเชิงปริมาณและคุณภาพ
วิธีการประเมินค่าความเสี่ยงขององค์กรประกอบด้วยการรวมตัวกันของเทคนิคเชิงปริมาณและเชิงคุณภาพ ผู้บริหารมักใช้เทคนิคการประเมินเชิงคุณภาพในกรณีที่ความเสี่ยงไม่สามารถใช้กระบวนการเชิงปริมาณได้ หรือเมื่อไม่สามารถหาข้อมูลที่เพียงพอและน่าเชื่อถือสำหรับการประเมินค่าเชิงคุณภาพได้ หรือข้อมูลที่ได้มาหรือนำมาวิเคราะห์ไม่คุ้มค่า เทคนิคเชิงปริมาณนำมาซึ่งความถูกต้องแม่นยำมากกว่า และใช้ในกิจกรรมที่ซับซ้อนกว่าเพื่อเพิ่มเติมเทคนิคเชิงคุณภาพ

เพื่อให้ได้รับความเห็นชอบในความน่าจะเกิดและผลกระทบของการใช้เทคนิคการประเมินค่าเชิงคุณภาพ องค์กรอาจใช้วิธีการเดียวกันกับการแยกแยะเหตุการณ์ ดังเช่น การสัมภาษณ์และการประชุมเชิงปฏิบัติการ กระบวนการประเมินค่าความเสี่ยงด้วยตนเอง จับภาพผู้เข้าร่วมประชุมจากความน่าจะเกิดและผลของเหตุการณ์ในอนาคตโดยใช้ทั้งเครื่องวัดเชิงตัวเลขและการพรรณนา

ความจำเป็นขององค์กรในการใช้เทคนิคการประเมินค่าที่ไม่ธรรมดากับหน่วยธุรกิจต่าง ๆ หรือ ทางเลือกของเทคนิคจะสะท้อนความต้องการความถูกต้องแม่นยำ และวัฒนธรรมของหน่วยธุรกิจ อย่างไรก็ตามวิธีการที่แต่ละธุรกิจนำไปใช้จะช่วยในการประเมินความเสี่ยงในระหว่างองค์กร

ผู้บริหารสามารถสืบค้นมาตรวัดผลกระทบเชิงคุณภาพองค์กรของเหตุการณ์ต่อเมื่อการประเมินความเสี่ยงของเหตุการณ์ได้แสดงออกในเชิงปริมาณ ตัวอย่างเช่น ผลกระทบของผลกำไรสุทธิของการเปลี่ยนแปลงราคาถูกคำนวณระหว่างหน่วยธุรกิจ และกำหนดผลกระทบขององค์กรโดยรวม

การผสมระหว่างการวัดเชิงปริมาณและคุณภาพนั้นผู้บริหารได้พัฒนาการประเมินค่าเชิงคุณภาพในระหว่างการวัดผลทั้งเชิงคุณภาพและปริมาณด้วยผลลัพธ์ ซึ่งประกอบด้วยการประเมินค่าที่อธิบายได้ในเชิงคุณภาพ การสร้างคำศัพท์ของความน่าจะเกิดและผลลัพธ์ขององค์กรและกลุ่มของความเสี่ยงที่ใช้สำหรับการวัดเชิงคุณภาพช่วยอำนวยความสะดวกให้ส่วนประกอบของการประเมินค่าความเสี่ยงต่าง ๆ เหล่านั้น

ความสัมพันธ์กันของเหตุการณ์
ผู้บริหาร องค์กร อาจประเมินว่าเหตุการณ์มีความสัมพันธ์กันอย่างไร ลำดับเหตุการณ์ได้รวมกันและสร้าง Likelihood หรือผลกระทบอย่างมีนัยสำคัญที่ใด ในขณะที่ผลของเหตุการณ์เดียวอาจเบาบาง ลำดับเหตุการณ์อาจมีผลกระทบที่สำคัญมากกว่า อาจใช้การทดสอบที่หนักหน่วงในการประเมินค่าผลกระทบของเหตุการณ์สุดท้ายและใช้การวิเคราะห์ภาพเหตุการณ์ในการประเมินค่าผลกระทบของเหตุการณ์จำนวนมาก หากว่าเหตุการณ์ไม่มีความสัมพันธ์กันโดยตรง

ผู้บริหารต้องประเมินค่าเหตุการณ์แยกกัน ยกตัวอย่าง บริษัทที่มีธุรกิจต่างกัน มีการผันผวนของราคาที่แตกต่างกัน จะประเมินความเสี่ยงซึ่งสัมพันธ์กับตลาดแยกจากกัน ดังเช่น ราคาของเนื้อและราคาพลังงาน ในการประเมินค่าเช่นนี้อาจถูกนำเสนอในรูปกราฟแสดงอัตราความเป็นไปได้และผลกระทบหรือเสนอในรูปแบบอื่น ๆ

ความเสี่ยงซึ่งเกิดขึ้นเหมือน ๆ กันในธุรกิจจำนวนมาก ผู้บริหารอาจประเมินค่าและแยกแยะกลุ่มเหตุการณ์เอาไว้ในกลุ่มเหตุการณ์ทั่วไป ตัวอย่างเช่น การเปลี่ยนแปลงในอัตราดอกเบี้ยของรัฐบาลซึ่งมีผลกระทบกับหน่วยธุรกิจของบริษัทที่ให้บริการด้านการเงิน

ความสัมพันธ์กันระหว่างความเสี่ยงและผลกระทบเป็นความรับผิดชอบที่สำคัญของผู้บริหาร การบริหารความเสี่ยงที่มีประสิทธิภาพต้องการการประเมินค่าความเสี่ยงที่เกี่ยวข้องกับความเสี่ยงธรรมชาติและความเสี่ยงที่ตามมาจากการตอบสนองความเสี่ยง

การประเมินความเสี่ยงจะต้องพิจารณาว่าเหตุการณ์ที่เป็นไปได้ว่าจะเกิดขึ้น เหตุการณ์ไหนมีผลกระทบต่อการบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร โดยฝ่ายบริหารประเมินและวิเคราะห์ความเสี่ยงโดยพิจารณาจาก

1. ความน่าจะเกิด (Likelihood) คือโอกาสความเป็นไปได้ที่เหตุการณ์ที่ความเสี่ยงนั้นจะเกิดหรือความถี่ที่เหตุการณ์จะเกิด
2. ส่วนผลกระทบ (Impact) หมายถึง ความเสียหายที่จะเกิดจากเหตุการณ์ความเสี่ยงนั้น ความน่าจะเกิดบ่งบอกถึงความเป็นไปได้ที่เหตุการณ์นั้นจะเกิดขึ้น สามารถวัดเป็นมูลค่าที่คาดหวังหรือมูลค่าที่เลวร้ายที่สุด หรืออาจแสดงเป็นปริมาณ เช่น สูง (High) กลาง (Medium) และต่ำ (Low) หรือการวัดเป็นเปอร์เซ็นต์ ความถี่ที่จะเกิด เป็นต้น

การประเมินความเสี่ยงเป็นเรื่องที่ยากและท้าทาย ฝ่ายจัดการต้องตระหนักว่าความเสี่ยงที่มีโอกาสเกิดขึ้นต่ำและมีผลกระทบต่อองค์กรต่ำไม่ต้องนำมาพิจารณา ในทางตรงกันข้ามหากความเสี่ยงที่มีความเป็นไปได้ที่จะเกิดสูงและมีผลกระทบอย่างมีนัยสำคัญต่อองค์กร ฝ่ายจัดการต้องนำมาพิจารณาและให้ความสนใจ

การประเมินความเสี่ยง ฝ่ายจัดการต้องพิจารณาผลกระทบทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่คาดไว้ซึ่งมีความเป็นไปได้ที่จะเกิดขึ้น ส่วนใหญ่เหตุการณ์ต่าง ๆ มักเป็นเหตุการณ์ประจำและเกิดขึ้นอีกครั้งและเหตุการณ์ดังกล่าวถูกนำมาอยู่ในโปรแกรมการบริหารจัดการแล้ว

ส่วนเหตุการณ์ที่ไม่คาดไว้ แม้มีความเป็นไปได้ที่จะเกิดต่ำแต่มีผลกระทบที่เป็นนัยสำคัญ เหตุการณ์ดังกล่าวจะถูกตอบสนองเป็นแต่ละเหตุการณ์ไป ทั้งเหตุการณ์ที่คาดไว้และเหตุการณ์ที่ไม่ได้คาดไว้ล้วนมีผลกระทบต่อการดำเนินกลยุทธ์และมีผลต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

การประเมินความเสี่ยงถูกนำมาใช้กับความเสี่ยงพื้นฐานขององค์กรหรือความเสี่ยงจากลักษณะธุรกิจ (Inherent risk) เมื่อการตอบสนองความเสี่ยงถูกพัฒนาขึ้น ฝ่ายจัดการจะใช้เทคนิคการประเมินความเสี่ยงในการจัดการกับความเสี่ยงที่เหลืออยู่ (Residual Risk)


แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 13, 2009

จากการที่ผมได้เล่าถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM มาหลายขั้นตอน มาถึงตอนนี้จะเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ขั้นตอนที่ 4 นั่นก็คือ การประเมินความเสี่ยง (Risk Assessment) การประเมินค่าความเสี่ยงขององค์กรทั่วไป เปิดโอกาสให้องค์กรและผู้ที่เกี่ยวข้องพิจารณาขอบเขตซึ่งเหตุการณ์แฝง อาจส่งผลต่อการบรรลุวัตถุประสงค์ พันธกิจ มุ่งสู่วิสัยทัศน์ขององค์กร ผู้บริหารควรประเมินค่าเหตุการณ์จาก 2 แนวคิด คือ ความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ที่จะเกิดขึ้น

ผมมีคำอธิบายเพื่อการประเมินค่าความเสี่ยงที่นำไปสู่การปฏิบัติ เมื่อปัจจัยภายในและภายนอกส่งผลต่อเหตุการณ์แฝง และบางเหตุการณ์ก็ส่งผลต่อการบรรลุวัตถุประสงค์ขององค์กร แม้ว่าปัจจัยบางอย่างจะเป็นสิ่งปกติในการร่วมอยู่ในอุตสาหกรรม ปัจจัยจำนวนมากมีความเป็นเอกลักษณ์ในองค์กรใดองค์กรหนึ่งโดยเฉพาะ สาเหตุเนื่องจากเป็นสิ่งที่ก่อให้เกิดวัตถุประสงค์และตัวเลือกในอดีต

ในการประเมินค่าความเสี่ยงผู้บริหารได้พิจารณาการผสมผสานของเหตุการณ์แฝงในอนาคตที่สัมพันธ์กับองค์กรและกิจกรรมของเหตุการณ์ สิ่งเหล่านี้นำมาซึ่งการตรวจสอบปัจจัยต่าง ๆ รวมถึงขนาดองค์กร ความซับซ้อนของการปฏิบัติงานและระดับของกฎระเบียบที่ครอบคลุมกิจกรรม เป็นต้น ซึ่งได้ก่อร่างรูปแบบของความเสี่ยงขององค์กรและมีอิทธิพลต่อวิธีการซึ่งใช้ในการประเมินค่าความเสี่ยง

โดยมีหลักการย่อ ๆ ว่า เมื่อเจ้าภาพหรือเจ้าของแผนงานสามารถระบุหรือบ่งชี้ความเสี่ยงตามข้อ 2 ได้แล้วให้ประเมินต่อไปว่า เหตุการณ์ที่อาจมีผลกระทบต่อความสำเร็จของแต่ละกิจกรรมในแต่ละขั้นตอนของแผนงานนั้น ๆ จะสามารถจัดการหรือแก้ไขปัญหาให้ลุล่วงเพื่อผลักดันกิจกรรมขั้นตอนต่อ ๆ ไปให้ประสบความสำเร็จของแผนงานนั้นตามกรอบเวลาได้หรือไม่

ทั้งนี้ เจ้าของแผนงานจะต้องประเมินว่า ปัจจัยหรือเหตุการณ์ต่าง ๆ ที่อาจมีผลกระทบ (Impact) ต่อความไม่สำเร็จนั้น มีมากน้อยเพียงใด และมีโอกาสที่จะเกิดขึ้น (Likelihood) บ่อยเพียงใด ทั้งนี้เพื่อไปจัดลำดับความรุนแรงของความเสี่ยงที่จะมีผลต่อแผนงานและโครงการนั้น ๆ

ความเสี่ยงที่มีอยู่ (Inherent) และความเสี่ยงส่วนที่เหลือ (Residual Risk)
ผู้บริหาร องค์กร ต้องพิจารณาความเสี่ยงที่มีอยู่และความเสี่ยงส่วนที่เหลือ ความเสี่ยงที่มีอยู่เป็นความเสี่ยงขององค์กรที่ไม่ได้ดำเนินการใด ๆ ทั้งสิ้นของผู้บริหาร เพื่อเปลี่ยนแปลงผลกระทบและโอกาสเกิดของความเสี่ยง ความเสี่ยงส่วนที่เหลือคือความเสี่ยงที่ยังคงมีอยู่หลังจากผู้บริหารได้ตอบสนองต่อความเสี่ยงแล้ว

ในการประเมินค่าความเสี่ยง ผู้บริหารจะพิจารณาผลกระทบของเหตุการณ์แฝงที่คาดหวังและไม่ได้คาดหวัง หลาย ๆ เหตุการณ์เกิดเป็นประจำ และเกิดขึ้นอีกบ่อย ๆ และได้ถูกวางไว้ในโปรแกรมการบริหารและงบประมาณด้านปฏิบัติการ หลาย ๆ เหตุการณ์ไม่ได้ถูกคาดหวังไว้ และบ่อยครั้งมีความน่าจะเกิดต่ำ แต่อาจมีผลกระทบแฝงที่สำคัญ เหตุการณ์ที่ไม่ได้คาดไว้อาจถูกตอบสนองแยกต่างหาก

อย่างไรก็ตาม ความไม่แน่นอนยังคงอยู่กับทั้งเหตุการณ์แฝงที่คาดไว้และไม่ได้คาดไว้ และแต่ละเหตุการณ์ได้ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ ผลก็คือผู้บริหารต้องประเมินค่าความเสี่ยงของเหตุการณ์แฝงทั้งหมด ซึ่งเหมือนกันในแง่มีผลกระทบสำคัญต่อองค์กร การประเมินค่าความเสี่ยงได้ถูกประยุกต์ไปสู่ความเสี่ยงที่มีอยู่ ทันทีที่การตอบสนองความเสี่ยงได้ถูกพิจารณา ดังนั้น ผู้บริหารได้ใช้เทคนิคการประเมินค่าความเสี่ยงในการกำหนดความเสี่ยงส่วนที่เหลือ

การประมาณค่าความน่าจะเกิด ( Likelihood) และผลกระทบ (Impact)
ความไม่แน่นอนของเหตุการณ์แฝงถูกประเมินจาก 2 แนวคิด คือความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) ความน่าจะเกิด เปรียบเสมือนความเป็นไปได้ซึ่งเหตุการณ์จะเกิดขึ้น ในขณะที่ผลกระทบเปรียบเสมือนผลที่เกิดขึ้น

ความน่าจะเกิดและผลกระทบเป็นคำศัพท์ที่ใช้กันโดยทั่วไปแม้ว่าบางองค์กรจะใช้คำว่าความเป็นไปได้และความเข้มงวดหรือผลที่เกิดขึ้นก็ตาม บางครั้งคำศัพท์อาจมีความหมายเฉพาะ “ความน่าจะเกิด” แสดงถึงความเป็นไปได้ซึ่งจะทำให้เกิดเหตุการณ์ในเชิงคุณภาพ เช่น สูง กลาง และต่ำ หรือมาตรวัดอื่น ๆ ที่เที่ยงตรง ในขณะที่ความเป็นไปได้อาจถูกใช้ในการอธิบายการวัดเชิงปริมาณ เช่น เปอร์เซ็นต์ ความถี่ของเหตุการณ์ หรือมาตรวัดที่เป็นตัวเลข

ผู้บริหารอาจเลือกอธิบายความน่าจะเกิดและผลกระทบในลักษณะต่าง ๆ เช่น การประมาณค่า หรือขอบเขตหรือการกระจาย ซึ่งอาจอธิบายการแยกแยะหรือการประเมินค่าความเสี่ยงเป็นคำพูดหรือใส่ลงในกราฟ ตัวอย่างหนึ่งคือการทำแผนผังความเสี่ยง ซึ่งเป็นการวาดให้เห็นภาพโดยการแบ่งกลุ่มเหตุการณ์ วัตถุประสงค์องค์กร หรือกลุ่มอื่น ๆ ซึ่งจะช่วยรายงานความเสี่ยงในหลาย ๆ ระดับ รวมถึงระดับองค์กร ระดับธุรกิจ ระดับหน่วยงานหรือระดับกระบวนการ

การกำหนดปริมาณความตั้งใจในการประเมินค่าลำดับของความเสี่ยงที่องค์กรต้องเผชิญนั้นมีความยากและท้าทาย ผู้บริหารต้องระลึกไว้ว่าความเสี่ยงที่มีความน่าจะเกิดของเหตุการณ์ที่จะเกิดต่ำและมีผลกระทบเพียงเล็กน้อย ไม่สามารถรับประกันการพิจารณาอื่น ๆ ได้ ในทางตรงข้ามความเสี่ยงที่มีความน่าจะเกิดของการเกิดเหตุการณ์สูงและมีผลกระทบสำคัญที่ต้องการการพิจารณาอย่างตั้งใจ เหตุการณ์ทั้งสองประเภทต้องการการตัดสินที่ยากเย็น สิ่งสำคัญคือการวิเคราะห์ต้องมีเหตุมีผลและระมัดระวัง

เนื่องจากความเสี่ยงถูกประเมินในส่วนของกลยุทธ์องค์กรและวัตถุประสงค์องค์กร ผู้บริหารจะเฝ้ามุ่งเน้นดูความเสี่ยงด้วยช่วงระยะเวลาสั้นไปจนถึงกลาง อย่างไรก็ตามองค์ประกอบบางอย่างของทิศทางกลยุทธ์และวัตถุประสงค์ได้ขยายตัวเป็นช่วงเวลาที่ยาวนานขึ้น ผลก็คือผู้บริหารต้องมีความรู้ความเข้าใจในกรอบเวลาที่ยาวนาน และไม่เพิกเฉยต่อความเสี่ยงที่อาจหมดไป
ผู้บริหารมักใช้การวัดผลงานในการกำหนดขอบเขตที่ทำให้บรรลุวัตถุประสงค์และใช้หน่วยเดียวกันวัดว่าเมื่อไรจะพิจารณาผลกระทบแฝงของความเสี่ยงในการบรรลุวัตถุประสงค์เฉพาะ ตัวอย่างเช่น

องค์กรซึ่งมีวัตถุประสงค์ในการรักษาระดับของการบริการลูกค้าจะถูกให้คะแนนหรือการวัดแบบอื่น ๆ สำหรับวัตถุประสงค์นั้น ดังเช่น ดัชนีความพึงพอใจของผู้เกี่ยวข้อง จำนวนการร้องเรียน เมื่อการประเมินค่าผลกระทบของความเสี่ยงที่อาจส่งผลต่อการบริการ ดังเช่น ความเป็นไปได้ที่เว็บไซต์อาจใช้ไม่ได้ในช่วงเวลานั้น ผลกระทบเป็นตัวกำหนดที่ดีที่สุดในการใช้

การใช้ข้อมูลที่สังเกตได้
การประมาณค่าความน่าจะเกิดและความถี่ของผลกระทบถูกกำหนดให้ใช้ข้อมูลจากเหตุการณ์ที่สังเกตได้ที่ผ่านมาแล้ว ซึ่งอาจทำให้เกิดวัตถุประสงค์ได้มากกว่าการประมาณโดยการนึกคิด การสร้างข้อมูลที่เกิดจากประสบการณ์ในองค์กรของตนเองอาจสะท้อนความมีอคติของบุคคลได้น้อยกว่าและทำให้เกิดผลลัพธ์ได้ดีกว่าข้อมูลจากแหล่งภายนอก

อย่างไรก็ตามแม้ว่าข้อมูลที่สร้างจากภายในเป็นข้อมูลนำเข้าเบื้องต้น ข้อมูลจากภายนอกสามารถใช้ประโยชน์ในการเป็นที่ตรวจสอบหรือเพื่อช่วยส่งเสริมการวิเคราะห์ ข้อควรระวังเมื่อใช้เหตุการณ์ในอดีตคาดเดาอนาคตนั้นคือ อิทธิพลของปัจจัยอาจทำให้เหตุการณ์เปลี่ยนแปลงไปตามเวลา

สำหรับการประเมินความเสี่ยงนี้ ยังมีวิธีการและเทคนิคเชิงปริมาณและคุณภาพ รวมถึงขั้นตอนการประเมินความเสี่ยงที่เป็นขั้นตอนสำคัญที่ควรต้องติดตามต่อไปในโอกาสหน้านะครับ


ติดตาม

Get every new post delivered to your Inbox.