แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 30, 2009

ในครั้งที่แล้วผมได้กล่าวถึงลักษณะและรูปแบบของการติดตามผลการตรวจสอบ (Monitoring) ว่ามีลักษณะอย่างไร และท่านผู้บริหาร ผู้ตรวจสอบ สามารถที่จะติดตามผลของการตรวจสอบนั้นได้จากทางใดบ้าง สำหรับวันนี้ผมจะกล่าวต่อถึงขอบเขตของความถี่่ในการประเมินผล ซึ่งการประเมินผลในเรื่องการบริหารความเสี่ยงมีความแตกต่างกันในเรื่องขอบเขตและความถี่ ขึ้นอยู่กับความมีนัยสำคัญของความเสี่ยง และความสำคัญของการตอบสนองความเสี่ยงและการควบคุมที่เกี่ยวข้องในเรื่องการจัดการความเสี่ยง

พื้นที่ที่มีความเสี่ยงและการตอบสนองสูงกว่ามีแนวโน้มที่จะถูกประเมินผลบ่อยกว่า การประเมินผลความสมบูรณ์ของการบริหารความเสี่ยง ซึ่งโดยทั่วไปมีความถี่ในความจำเป็นน้อยกว่าการประเมินค่าเฉพาะส่วน อาจถูกกระตุ้นโดยเหตุผลมากมาย กลยุทธ์หลัก หรือการเปลี่ยนแปลงเรื่องการบริหาร การเข้าถือสิทธิ์หรืออำนาจในการควบคุม การเปลี่ยนแปลงทางเศรษฐกิจหรือเงื่อนไขทางการเมือง หรือการเปลี่ยนแปลงในการปฏิบัติการหรือวิธีการในการประมวลผลข้อมูล

เมื่อการตัดสินใจเกิดขึ้น เพื่อใช้เป็นการประเึมินผลที่ครอบคลุมของการบริหารความเสี่ยงขององค์กร ความตั้งใจควรมุ่งในการสร้างวิธีการเพื่อจัดตั้งกลยุทธ์ด้วยกิจกรรมที่สำคัญ ขอบเขตการประเมินผลขึ้นอยู่กับประเภทของวัตถุประสงค์ที่ถูกวางไว้ ว่าเป็นวัตถุประสงค์ประเภทใด รวมถึงมีใครเป็นผู้ประเมินผล บ่อยครั้งการประเมินผลใช้รูปแบบของการประเมินค่าตนเอง บุคคลผู้ซึ่งรับผิดชอบต่อหน่วยเฉพาะหรือหน้าที่กำหนดความมีประสิทธิภาพของการบริหารความเสี่ยงสำหรับกิจกรรมของพวกเขาเหล่านั้น

ผู้ตรวจสอบภายในทำการประเมินผลให้เป็นส่วนหนึ่งของหน้าที่ปกติ หรือเป็นคำขอร้องพิเศษของผู้บริหารอาวุโส กรรมการหรือผู้ช่วยหรือผู้บริหารของฝ่าย เช่นเดียวกันผู้บริหารอาจใช้ประโยชน์ สูงสุดจากผู้ตรวจสอบภายนอกในการพิจารณาความมีประสิทธิภาพของการบริหารความเสี่ยง การรวมกันของความพยายามต่าง ๆ ถูกใช้ในการดำเนินการ อย่างไรก็ตามการบริหารกระบวนการประเมินก็เป็นสิ่งจำเป็น

ขั้นตอนการประเมินผล
การประเมินผลการบริหารความเสี่ยงเป็นขั้นตอนภายในตัวเอง ขณะที่วิธีการหรือเทคนิคมีความแตกต่าง ความมีระเบียบควรนำมาใช้ในขั้นตอน ด้วยพื้นฐานที่มีอยู่อย่างถาวรและไม่แยกจากกัน

ผู้ทำการประเมินต้องเข้าใจในแต่ละกิจกรรมขององค์กรและแต่ละส่วนประกอบของการบริหารความเสี่ยง ซึ่งอาจเป็นประโยชน์ต่อการมุ่งเน้นเป็นอันดับแรกว่าการบริหารความเสี่ยงทำหน้าที่ได้ตามวัตถุประสงค์ได้อย่างไร ซึ่งบางครั้งอาจหมายถึงระบบหรือการออกแบบขั้นตอน

ผู้ทำการประเมินวิเคราะห์การออกแบบขั้นตอนการบริหารความเสี่ยงและผลของการทดสอบการปฏิบัติงาน การวิเคราะห์นี้เป็นการเปรียบเทียบกับการจัดฉากของผู้บริหารสำหรับแต่ละส่วน ประกอบด้วยเป้าหมายสูงสุดของการกำหนดว่ากระบวนการบริหารความเสี่ยงกระทำไปนั้นมั่นใจได้ว่าเข้ากันได้กับวัตถุประสงค์ที่กำหนดขึ้นหรือไม่

กลวิธีในการตรวจสอบ
ความหลากหลายของวิธีการประเมินผลและเครื่องมือสามารถหามาได้ที่ใช้ในการตรวจสอบการบริหารความเสี่ยง จะขึ้นอยู่กับเป้าหมายการตรวจสอบเป็นหลัก อย่างไรก็ดี ประสิทธิภาพและประสิทธิผลของกระบวนการบริหารความเสี่ยงจะต้องถูกประเมินด้วยการทดสอบการปฏิบัติงานจริง ซึ่งอาจจะใช้เทคนิคการประเมินความเสี่ยงตามฐานการตรวจสอบความเสี่ยง Risk Based Internal Audit (RBIA) ที่เน้นทางด้าน Manual หรือเน้นควบคู่กันไปกับการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ Computer Assisted Audit Technic (CAAT) เช่น ใช้ IDEA หรือ ACL และ/หรือเทคนิคการตรวจสอบแบบ Around The Computer หรือ Throgh The Computer เป็นต้น

ในฐานะที่เป็นส่วนหนึ่งของวิธีการประเมินผล บางองค์กรเปรียบเทียบขั้นตอนการบริหารความเสี่ยงกับองค์กรอื่น ๆ เช่น องค์กรหนึ่งอาจวัดผลกระบวนการกับบริษัทอื่นด้วยชื่อเสียงที่ได้จากการบริหารความเสี่ยง การเปรียบเทียบนี้อาจกระทำได้โดยตรงกับบริษัทอื่นหรือธุรกิจอื่น ๆ องค์กรอื่น ๆ อาจให้ข้อมูลเชิงเปรียบเทียบ การระวังเป็นสิ่งจำเป็นเมื่อดำเนินการเปรียบเทียบ ต้องพิจารณาความแตกต่างซึ่งคงอยู่ในวัตถุประสงค์ ข้อเท็จจริงและโอกาส และส่วนประกอบของการบริหารความเสี่ยงทั้ง 8 ประการ เช่นเดียวกับข้อจำกัดที่เป็นธรรมชาติของการบริหารความเสี่ยงจำเป็นต้องนำมาใส่ใจ

การทำเอกสารการรายงานความเสี่ยง
ขอบเขตในเรื่องเอกสารของการบริหารความเสี่ยงแตกต่างไปตามขนาดขององค์กร ความซับซ้อนและปัจจัยที่คล้ายกัน องค์กรที่มีขนาดใหญ่กว่ามักเขียนนโยบายเป็นลายลักษณ์อักษร มีแผนผังของโครงสร้างองค์กร มีการเขียน Job Description คำแนะนำในการปฏิบัติการ แผนผังระบบข้อมูล และอื่น ๆ องค์กรที่มีขนาดเล็กกว่าจะมีความใส่ใจในเรื่องเอกสารน้อยกว่า

การบริหารความเสี่ยงหลาย ๆ ด้าน เป็นสิ่งไม่เป็นทางการและไม่มีเอกสาร แต่มีผลการปฏิบัติงานที่ดีและมีประสิทธิภาพสูง กิจกรรมเหล่านี้อาจถูกทดสอบในแบบเดียวกันจนเหมือนเป็นเอกสาร ข้อเท็จจริงคือส่วนประกอบของการบริหารความเสี่ยงไม่ได้เป็นลายลักษณ์อักษร ไม่ได้หมายความว่าไม่มีประสิทธิภาพหรือไม่สามารถประเมินผลได้ อย่างไรก็ตาม ระดับที่เหมาะสมของเอกสารมักทำให้การตรวจติดตามมีประสิทธิภาพและประสิทธิผล

ผู้ทำการประเมินอาจตัดสินใจทำเอกสารขั้นตอนการประเมินผล ผู้ทำการประเมินจะร่างจากเอกสารของการบริหารความเสี่ยงที่มีอยู่ ซึ่งเป็นส่วนเสริมให้กับเอกสารที่เพิ่มขึ้นพร้อมกันกับอธิบายเรื่องการทดสอบและวิเคราะห์การปฏิบัติงานในขั้นตอนการประเมินผล

ผู้บริหารเจตนาทำประกาศให้ภายนอกทราบเกี่ยวกับความมีประสิทธิภาพของการบริหารความเสี่ยง ซึ่งจะต้องพัฒนาและรักษาเอกสารเพื่อสนับสนุนการประกาศ ดังนั้น เอกสารจึงมีประโยชน์หากประกาศนั้นถูกท้าทายในภายหลัง

การรายงานการบริหารความเสี่ยง
รูปแบบรายงานที่นำเสนอนี้สามารถใช้เพื่ออธิบายความเสี่ยง รายงานควรนำเสนอแนวทางที่ใช้ในการรวบรวมข้อมูลความเสี่ยงและแนวทางการให้คะแนนที่ใช้ในการประเมินความเสี่ยง และควรอธิบายคุณค่าซ่อนเร้นหรือโอกาสที่ถูกบ่งชี้เพื่อช่วยเหลือในการที่ผู้บริหารจะมุ่งเน้นในข้อมูลความเสี่ยงโดยรวม

หลักในการจัดทำรายงานความเสี่ย
1. การจัดทำรายงานต้องทันเวลา กระชับ และอยู่ในรูปแบบที่ช่วยให้การติดตามผลและการควบคุมขององค์กรมีประสิทธิผล
2. รายงานเบื้องต้นควรเน้นที่การแสดงความเสี่ยงในภาพโดยรวม และกิจกรรมเพื่อลดความเสี่ยงในระดับองค์กร กระบวนการและโครงการ รายงานความเสี่ยงที่ทำเป็นปกติควรรายงานความเสี่ยงสำคัญที่เกิดขึ้นเป็นรายเดือน และรายงานสถานะความเสี่ยงในภาพรวมเป็นรายไตรมาส
3. เน้นการติดตามการจัดการความเสี่ยงหลัก ยกเว้น ในกรณีที่สภาพแวดล้อมต่าง ๆ แสดงให้เห็นว่าความเสี่ยงนั้นหมดไปแล้ว

การรายงานผลการบริหารความเสี่ยงและการควบคุม รวมทั้งการปรับปรุงแก้ไข
จุดอ่อนในการบริหารความเสี่ยงอาจครอบครอบคลุมจากหลายแหล่งรวมถึงกระบวนการการตรวจติดตามอย่างต่อเนื่อง การประเมินผลแยกต่างหากและบุคคลภายนอก คำว่า “จุดอ่อน” อาจจะหมายถึง ความบกพร่องที่นำมาสู่ความเสียหายของการบริหารแผนงานและโครงการต่าง ๆ ขององค์กร และยังหมายถึงสภาพภายในกระบวนการบริหารความเสี่ยง ดังนั้น จุดอ่อนที่ผู้ตรวจสอบภายในตรวจพบ อาจหมายถึง ศักยภาพของพนักงานที่อาจต้องมีการปรับปรุงแก้ไข เพื่อลดจุดอ่อน เพื่อช่วยเพิ่มความเป็นไปได้ซึ่งทำให้วัตถุประสงค์ขององค์กรบรรลุผล

แหล่งของข้อมูล
แหล่งที่ดีที่สุดของข้อมูลจากความบกพร่องในการบริหารความเสี่ยง คือ ตัวของการบริหารความเสี่ยงเอง

กิจกรรมการตรวจติดตามอย่างต่อเนื่องขององค์กร รวมถึงกิจกรรมทางการบริหารและการสั่งการผู้ใต้บังคับบัญชาทุก ๆ วัน การสร้างความเข้าใจลึกซึ้งจากผู้ที่เกี่ยวข้องโดยตรงในกิจกรรมขององค์กร ความเข้าใจลึกซึ้งนี้หาได้ในเวลาที่เป็นจริงและสามารถแยกแยะความบกพร่องได้อย่างรวดเร็ว แหล่งอื่นของความบกพร่องคือการประเมินผลที่แยกต่างหากของการบริหารความเสี่ยง การประเมินผลดำเนินการโดยผู้บริหาร ผู้ตรวจสอบภายใน หรือหน่วยงานอื่น ๆ ซึ่งสามารถเน้นพื้นที่ที่จะเป็นต้องปรับปรุง

หน่วยงานภายนอกเป็นผู้ให้ข้อมูลสำคัญบ่อย ๆ จากการทำงานในการบริหารความเสี่ยง ซึ่งรวมถึงลูกค้า คู่ค้า และผู้มีผลประโยชน์ร่วมที่ทำธุรกิจกับองค์กร ผู้ตรวจสอบภายนอกและผู้ดูแลกฎระเบียบ รายงานจากแหล่งภายนอกควรถูกพิจารณาอย่างระมัดระวังในเรื่องการตีความสำหรับการบริหารความเสี่ยงและควรมีการแก้ไขที่เหมาะสม

จากการประเมินและการติดตามผลการบริหารความเสี่ยง ผู้บริหาร ผู้ตรวจสอบต้องทำการรายงานการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยง โดยจะต้องรายงานเรื่องใด และอย่างไรนั้น ผมจะมาพูดคุยกันต่อในครั้งต่อไป โปรดติดตามนะครับ


ติดตาม

Get every new post delivered to your Inbox.