การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (2)

จากการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ที่ผมได้เล่าสู่กันฟังมาหลายตอน และได้กล่าวถึงวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยเน้นในส่วนของ CSA ที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ ในครั้งที่แล้วนั้น แต่เนื่องจากมีรายละเอียดมากพอสมควร ไม่อาจกล่าวได้ครอบคลุมทั้งวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง จึงจำเป็นต้องแยกเป็นหัวข้อที่ย่อยลงไป โดยในครั้งนี้จะขอกล่าวถึงเฉพาะเรื่องของความเสี่ยง สำหรับเรื่องของการควบคุมความเสี่ยง คงจะไว้พูดคุยกันในโอกาสต่อไป แต่อยากจะขอเน้นย้ำอีกสักครั้ง เพื่อให้เข้าใจได้ชัดเจนว่า การประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดหลาย ๆ ส่วนที่เกี่ยวข้องสัมพันธ์ เชื่อมโยงกันกับการบริหารความเสี่ยง ซึ่งหลายอย่างในบางส่วนหรือบางมุมมมองก็ไม่สามารถแยกแยะออกจากกันได้ ขึ้นอยู่การนำไปใช้กับหน้าที่การปฏิบัติงานในระดับต่าง ๆ ของหน่วยงาน/องค์กร

เมื่อพุดถึง ความเสี่ยง (Risk) คำจำกัดความของความเสี่ยงนั้นมีได้หลายมุมมอง แล้วแต่ว่าองค์กรนั้นเป็นองค์กรในลักษณะใด ทำธุรกิจด้านไหน แต่อย่างไรก็ตาม ทุกมุมมองจะมุ่งเน้นไปที่เป้าหมาย แต่ในที่นี้ผมขอให้คำจำกัดความไว้ดังนี้

ความเสี่ยง หมายถึง ภาวะคุกคาม ปัญหา อุปสรรค หรือการสูญเสียโอกาส ซึ่งจะมีผลทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้หรือก่อให้เกิดผลเสียหายต่อองค์กร หรือ…
ความเสี่ยง หมายถึง สาเหตุ มูลเหตุที่จะเกิดปัญหา ความผิดพลาด ความสูญเปล่า การรั่วไหล ความล้มเหลว ความเสียหาย หรือความไม่แน่นอน ซึ่งไม่พึงประสงค์ที่จะทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนดไว้ และ/หรือการไม่เกิดโอกาสหรือความสูญเสียโอกาสดี ๆ ที่จะเป็นประโยชน์ในการสร้างมูลค่าเพิ่มให้กับองค์กร หรือ…
ความเสี่ยง หมายถึง เหตุการณ์หรือการกระทำใด ๆ ที่อาจเกิดขึ้นในอนาคตซึ่งเมื่อเกิดขึ้น ล้วนจะมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร

ความเสี่ยงเป็นสิ่งที่สามารถเกิดขึ้นได้เสมอในทุกองค์กร บางครั้งอาจเป็นเหตุการณ์ที่ทำให้ผลที่องค์กรได้รับจากเหตุการณ์จริงไม่เป็นไปตามที่คาดหวังหรือวางแผนไว้ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น ต้นทุนที่เกิดขึ้นจริงสูงกว่างบประมาณที่กำหนดไว้ เป็นต้น

นอกจากนี้ยังมีความเสี่ยงบางประเภทที่มีความหมายในทางลบ โดยจะมองความเสี่ยงว่าเป็นอันตราย เป็นตัวขัดขวางทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ หรือสร้างความเสียหายต่อองค์กร แต่ในความเป็นจริงแล้วการที่เราสามารถระบุปัจจัยเสี่ยงออกมาได้ ย่อมทำให้เราสามารถที่จะเลือกได้ว่าจะตัดสินใจในการบริหารความเสี่ยง รวมถึงนำไปสู่การประเมินตนเองเพื่อควบคุมความเสี่ยงนั้น ๆ ได้อย่างไร

เราจะมีทางเลือกในการบริหารความเสี่ยงอย่างไรได้บ้าง

1. การหลีกเลี่ยงความเสี่ยง (Avoidance) เป็นการไม่ยอมรับความเสี่ยงนั้นเลย จึงอาจต้องทำให้เปลี่ยนวัตถุประสงค์ ตัวอย่างเช่น เมื่อเราได้พิจารณาแล้วเห็นว่า ประเทศใดกำลังเผชิญกับปัญหาด้านความมีเสถียรภาพทางการเงินและการเมืองสูง ย่อมทำให้เราตัดสินใจไม่เข้าไปลงทุนในประเทศนั้น นั่นคือการที่เราไม่ยอมรับความเสี่ยงที่เกิดขึ้นจากการเข้าไปลงทุนในประเทศนั้น

2. การลดหรือบรรเทาความเสี่ยง (Mitigation), การควบคุม (Control) เป็นการที่บริษัทตัดสินใจที่จะนำการควบคุมภายในมาใช้ในการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นจนทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้

3. การโยกย้าย, โอนย้ายความเสี่ยง (Transferring) เป็นการโอนความเสี่ยงไปให้ผู้อื่นรับผิดชอบ เนื่องจากความเสี่ยงบางอย่างบริษัทสามารถที่จะโยกย้ายความรับผิดชอบนั้นไปให้กับบุคลลที่สามรับผิดชอบแทนได้ เช่นการทำประกันอุบัติเหตุให้กับพนักงาน นั่นคือแทนที่บริษัทจะต้องใช้ทรัพยากรบางส่วนมาลงทุนดูแลงานด้านอุบัติเหตุเองให้กับพนักงานเอง บริษัทก็ไปจ้างบริษัทตัวแทนที่ทำหน้าที่นี้โดยตรง เข้ามารับผิดชอบดูแลแทน โดยยอมเสียค่าเบี้ยประกันจำนวนหนึ่งที่สามารถควบคุมได้แน่นอนให้กับบริษัทตัวแทน เพื่อเป็นการควบคุมความเสี่ยงให้กับบริษัทตน

4. การยอมรับความเสี่ยง (Residual risk) ถ้าความเสี่ยงยังอยู่ในระดับที่ยอมรับได้ บริษัทก็จะยังไม่เข้าไปดำเนินการใด ๆ เป็นพิเศษเพื่อที่จะลด โยกย้าย หรือหลีกเลี่ยงความเสี่ยง

หากเรามีการนำกรอบการกำหนดความเสี่ยงมาใช้ ก็จะช่วยให้สามารถระบุปัจจัยเสี่ยงได้อย่างมีประสิทธิภาพและประสิทธิผลมากขึ้น และจะทำให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ง่ายขึ้นด้วย ซึ่งกรอบการกำหนดความเสี่ยงส่วนใหญ่ของธุรกิจที่สำคัญ เพื่อการบริหารเบื้องต้นที่ผมจะขอกล่าวถึงมี 10 ประการ คือ

1. การบันทึกบัญชีและสารสนเทศไม่ถูกต้อง บิดเบือน/ ไม่ทันเวลา/ ซ้ำซ้อน/ ไม่บูรณาการ ฯลฯ
2. หลักการบัญชี นโยบายการบัญชีที่ไม่อาจยอมรับได้
3. ธุรกิจหยุดชะงัก หรือเสียชื่อเสียง/ความน่าเชื่อถือ IT/Logic/พนักงาน/กฎเกณฑ์ ฯลฯ
4. การถูกรัฐ/รัฐบาลตำหนิหรือการถูกลงโทษจากหน่วยงานรัฐ จากการไม่ปฏิบัติตามนโยบาย หลักการ ระเบียบ คำสั่งฯ ที่กำหนด หรือจากการทำให้ส่วนของความเป็นเจ้าของทุนลดค่า/ด้อยค่าลงหรือความเข้าใจในการตีความ กระบวนการที่ขัดกับเป้าหมายหลักของรัฐโดยรวม
5. ต้นทุนสูง ค่าใช้จ่ายสูง จากนโยบาย/การบริหาร/การจัดการ
6. การไม่รับรู้รายจ่ายหรือผลขาดทุน/ความเสียหาย ที่เกิดจาก
– การถ่ายโอนผลประโยชน์ขององค์กรไปสู้บริษัทร่วมการงานแบบไม่ตั้งใจ/ตั้งใจ
– การบริหาร Value และ Hidden Value อย่างไม่รู้คุณค่าที่แท้จริงหรือรู้ไม่เท่าทัน
– การแก้ไขสัญญาโดยองค์กรเสียเปรียบทั้งทางตรงและทางอ้อมจากคุณค่าซ่อนเร้น
– การเปลี่ยนแปลงสู่กฎเกณฑ์ กฎหมาย การจัดระเบียบ จากการแข่งขัน ฯลฯ
7. การทำให้สินทรัพย์ ส่วนของผู้ลงทุน/เจ้าของสูญเสีย หรือถูกทำลาย หรือลดมูลค่าแบบตั้งใจ หรือคิดไปไม่ถึงทั้งในปัจจุบันและอนาคต รวมทั้งการถูกฟ้องร้องในภายหลัง เช่น การลดสินทรัพย์และส่วนของผู้เป็นเจ้าของโดยไม่จำเป็น และไม่ถูกต้องตามขั้นตอน กฎเกณฑ์ นโยบาย ระเบียบ วิธีปฏิบัติทางบัญชี….ฯลฯ
8. ผู้มีผลประโยชน์ร่วมไม่พอใจและ/หรือเสียเปรียบการแข่งขัน เช่น
– จากการเปลี่ยนแปลงกฎเกณฑ์ ระเบียบ หลักการที่ขัดกับดุลภาพโดยรวมของการจัดการ
– จากพื้นฐานและความพร้อมรวมทั้งสภาพแวดล้อมที่แตกต่างกัน ฯลฯ
9. การทุจริตหรือขัดแย้ง/ทับซ้อน ทางผลประโยชน์ของผู้บริหาร/พนักงาน เช่น
– จากสัญญา/บริษัทร่วมการงาน-ร่วมลงทุน
– จากผลประโยชน์ Hidden Value และความไม่ซื่อสัตย์ต่อตนเองและวิชาชีพ
– จากบริษัทที่ปรึกษาต่าง ๆ ที่ผลงานไม่คุ้มค่าเงินหรือไม่ได้ใช้ผลงานนั้น ฯลฯ
10. คุณภาพการบริหารความเสี่ยง นโยบาย กลยุทธ์ไม่เหมาะสม ไม่เพียงพอและ/หรือกระบวนการตัดสินใจไม่ถูกต้อง เช่น
– จากการเข้าใจกระบวนการบริหารความเสี่ยงที่แตกต่างกัน
– จากกระบวนความคิดที่ไม่เป็นระเบียบ พิจารณาอย่างขาดบูรณาการ
– ข้อมูลข่าวสารไม่ถูกต้อง

แม้ว่าความเสี่ยงดังกล่าวข้างต้นอาจไม่ใช่สิ่งที่ทุกองค์กรต้องเผชิญอยู่ทุกวัน แต่ความเสี่ยงเหล่านี้จะมีลักษณะเป็นสากลอันจะช่วยให้องค์กรสามารถระบุปัจจัยเสี่ยงและจัดการกับความเสี่ยงได้ดียิ่งขึ้น และทำให้การบรรลุวัตถุประสงค์เป็นไปได้มากขึ้นด้วย

กรอบความเสี่ยงเพื่อการบริหารอีกรูปแบบหนึ่งจะพิจารณาใช้ในเรื่องต่าง ๆ ดังนี้
1. ความเสี่ยงภายนอก เช่น ลูกค้า, เทคโนโลยี, กฎหมาย
2. ความเสี่ยงภายใน เช่น การจัดองค์กรใหม่, ทรัพยากรขององค์กร, ทัศนคติของผู้คนในองค์กร
3. ความเสี่ยงพิเศษที่เกี่ยวกับสภาพแวดล้อมที่เปลี่ยนแปลงไป

ผมขอยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการและในบางมุมมอง เพื่อให้เห็นภาพของการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่สามารถนำไปประยุกต์ใช้ในการปฏิบัติงาน ตามแผนภาพด้านล่าง โดยจะขอนำเสนอเพียงบางส่วน เพื่อไม่ให้เป็นการรบกวนพื้นที่ในการพูดคุย (เขียน) มากเกินไป สำหรับตัวอย่างแบบเต็มสามารถกด Download ได้ที่นี่ครับ

ภาพนิ่ง1

ภาพนิ่ง2

ภาพนิ่ง3

ความเสี่ยงที่สำคัญโดยทั่วไปขององค์กร ขึ้นอยู่กับลักษณะธุรกิจ ความเข้าใจในงาน และ Business process ซึ่งความเสี่ยงที่สำคัญ ๆ ขององค์กร คือ
1. บุคลากร ความเป็นผู้นำ/การประสานงาน/ความซื่อสัตย์/จิตสำนึก/ความมุ่งมั่น/ความกล้าหาญ/ความสามารถ
2. สภาพแวดล้อมของธุรกิจ ที่เกี่ยวข้องกับ การแข่งขัน/การให้รางวัล/กฎเกณฑ์/วัฒนธรรม
3. เทคโนโลยี/เทคโนโลยีสารสนเทศ ในเรื่องของรายได้รั่วไหล/ความต่อเนื่อง/ความปลอดภัย/ข้อมูลสารสนเทศ และการบูรณาการ
4. ระบบงาน/โครงสร้างองค์กร (IT Governance)
5. กลยุทธ์ คือการพัฒนากลยุทธ์ ความชัดเจน การนำกลยุทธ์สู่การปฏิบัติ
6. ลูกค้า/ผู้มีประโยชน์ร่วม/ผู้กำกับฯ ในด้าน การจัดหา/ความพึงพอใจ/การบริการ
7. บริษัทร่วมการงาน/บริษัทในเครือ/บริษัทผู้ให้บริการ
8. การติดตาม/การจัดการ
9. การลงทุน/ความคุ้มค่าทางการเงิน/การบริหารรายได้/โครงการที่หมดยุค
10. กฎหมาย/กฎเกณฑ์/นโยบาย ที่เกี่ยวกับการเปลี่ยนแปลงและดุลยภาพ
11. การเงิน/รายได้/รายได้ทางเศรษฐกิจ ในเรื่องของการแข่งขันเสรี/การแปรสัญญา/ภาษี/การจัดการ/บัญชี

ผู้บริหารควรทำความเข้าใจถึงการเปลี่ยนแปลงที่มีผลต่อธุรกิจ และเหตุแห่งความเสี่ยงที่เกิดขึ้นตลอดเวลา โดยการตั้งคำถามตนเองเสมอว่า “สามารถเข้าใจถึงการเปลี่ยนแปลงที่เกิดขึ้นแก่ธุรกิจ หรือความเสี่ยงที่อาจเกิดขึ้นจากการเปลี่ยนแปลงนั้นเพียงใด” และ “องค์กรได้มีแนวปฏิบัติทางธุรกิจ รวมทั้งการควบคุมภายในอย่างเพียงพอเหมาะสมต่อการเปลี่ยนแปลงหรือไม่” เนื่องจากผู้บริหารมีหน้าที่ในการคัดเลือกวิธีที่จะจัดการกับความเสี่ยงในแต่ละประเภทให้เหมาะสม เนื่องจากวิธีการจัดการกับความสี่ยงในแต่ละประเภทนั้นย่อมแตกต่างกัน ไม่ควรเลือกใช้เทคนิคเดิม ๆ มาจัดการกับความเสี่ยงทุกประเภท

การระบุความเสี่ยงจะช่วยให้เราสามารถแยกความแตกต่างระหว่างสาเหตุและผลกระทบของความเสี่ยงได้ ซึ่งการที่เราสามารถแยกสาเหตุและผลกระทบของความเสี่ยงออกมาได้ ย่อมทำให้เราเลือกใช้การควบคุมภายในมาจัดการกับสาเหตุของความเสี่ยงมากกว่าการจัดการกับผลกระทบที่เกิดจากความเสี่ยง
– ผลหรือผลกระทบของความเสี่ยง คือผลลัพธ์สุดท้าย, อันตรายที่เกิดขึ้นจากการสูญเสียโอกาสในการบรรลุวัตถุประสงค์เมื่อเกิดความเสี่ยง
– สาเหตุของความเสี่ยง คือเหตุที่ทำให้เกิดความเสี่ยงขึ้น

ตัวอย่างของความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามกฎ
– ผลกระทบของความเสี่ยง ได้แก่ การถูกทำโทษ การจำคุก การประกาศเมื่อไม่ปฏิบัติตามกฎ
– สาเหตุของความเสี่ยง ได้แก่ พนักงานไม่ทราบกฎระเบียบนั้น พนักงานไม่เห็นว่ากฎนั้นมีความสำคัญ

ถ้าผลกระทบนั้นกระทบต่อการบรรลุผลสำเร็จของเป้าหมายอย่างมีนัยสำคัญ เราอาจต้องพิจารณาจัดให้มีการควบคุมภายใน เข้ามาจัดการกับสาเหตุของความเสี่ยงนั้น แทนที่จะรอจัดการกับผลกระทบของความเสี่ยงที่เกิดขึ้น

ข้อผิดพลาดทั่วไปในการระบุปัจจัยเสี่ยง
1. การอ้างอิงเป็นวงกลม เป็นการระบุปัจจัยเสี่ยงอย่างง่าย ๆ ที่แปรผันกับวัตถุประสงค์ เช่น ถ้ากำหนดให้วัตถุประสงค์คือ “การทำให้แน่ใจว่าต้องมีการอนุมัติใบแจ้งหนี้ก่อนที่จะมีการทำจ่ายเงิน” ดังนั้น เราสามารถระบุความเสี่ยงได้ว่า “มีการทำจ่ายใบเสนอราคาไปก่อนที่จะมีการอนุมัติให้จ่ายเงิน”
2. การระบุผลกระทบที่เกิดขึ้นแทนที่จะระบุถึงสาเหตุ จากวัตถุประสงค์ข้างต้น ความเสี่ยงเรื่องของการสำเนาใบจ่ายเงินอาจไม่ใช่ความเสี่ยงที่แท้จริงแต่เป็นผลกระทบที่เกิดขึ้น ซึ่งอาจนำไปใช้ในค่าใช้จ่ายที่ไม่จำเป็นหรือใช้ในการทุจริตได้
3. การควบคุมที่ไม่เป็นผล การฝึกอบรม การทบทวน การจัดสรรทรัพยากร เป็นว่าเป็นการควบคุมทั้งหมด แต่ถ้าการควบคุมเหล่านี้ทำงานอย่างไม่มีประสิทธิผล เช่น การฝึกอบรมไม่เหมาะสม การไม่ได้รับการทบทวนจากหัวหน้างานที่เพียงพอ และการจัดสรรทรัพยากรน้อยเกินไป การควบคุมเหล่านั้นก็จะสร้างปัจจัยเสี่ยงตัวอื่นขึ้นมาแทน

การให้พนักงานซึ่งเป็นผู้ที่มีส่วนรับผิดชอบในการทำให้วัตถุประสงค์บรรลุผลสำเร็จ เข้ามามีส่วนร่วมในการระบุปัจจัยเสี่ยง และออกแบบการควบคุมความเสี่ยงจะทำให้ได้ประโยชน์มากขึ้น เนื่องจากพนักงานเป็นผู้ที่ใกล้ชิดกับเหตุการณ์จริงมากที่สุด ย่อมรู้รายละเอียดของความเสี่ยงนั้นได้เป็นอย่างดี ทำให้การออกแบบการควบคุมความเสี่ยงนั้น มีความเป็นไปได้มากขึ้น อันจะเป็นหนทางที่จะทำให้องค์กรบรรลุวัตถุประสงค์ที่ต้องการ

การบริหารความเสี่ยง (Risk Management)
การบริหารความเสี่ยง หมายถึง กระบวนการที่ใช้ในการระบุและวิเคราะห์ความเสี่ยง/ความไม่แน่นอนที่จะมีผลกระทบต่อการบรรลุวัตถุประสงค์และเป้าหมายขององค์กร รวมทั้งกำหนดแนวทางการควบคุมหรือการบริหารความเสี่ยงให้คงเหลือ (Residual Risk) ที่องค์กรยอมรับได้ รวมทั้งการสร้างโอกาสที่จะพัฒนาและสร้างมูลค่าเพิ่มให้กับองค์กรตามสภาวะการณ์ที่เกิดขึ้น

การบริหารความเสี่ยง เป็นกลวิธีที่เป็นเหตุผลที่นำมาใช้ในการบ่งชี้ วิเคราะห์ ประเมิน จัดการ ติดตาม และสื่อสารความเสี่ยงที่เกี่ยวข้องกับกิจกรรมหน่วยงาน หรือกระบวนการดำเนินงานขององค์กร เพื่อช่วยให้องค์กรลดความสูญเสียให้เหลือน้อยที่สุด และเพิ่มโอกาสให้แก่ธุรกิจมากที่สุด การบริหารความเสี่ยงยังหมายถึง การประกอบกันอย่างลงตัวของวัฒนธรรมขององค์กร กระบวนการและโครงสร้างองค์กร ซึ่งมีผลโดยตรงต่อประสิทธิภาพการบริหาร และผลได้ผลเสียของธุรกิจ

วัตถุประสงค์ทางธุรกิจและสภาพแวดล้อมที่ดำเนินธุรกิจอยู่มีการพัฒนาตลอดเวลา ทำให้ความเสี่ยงที่เกี่ยวข้องเปลี่ยนแปลงตามไปด้วยอย่างต่อเนื่อง การบริหารความเสี่ยงที่มีประสิทธิภาพคือการบริหารที่เอื้อประโยชน์ต่อธุรกิจในการจัดการและควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ แม้ว่าความเสี่ยงไม่สามารถถูกกำจัดให้หมดไป แต่ก็จะทำให้การจัดการความเสี่ยงอยู่ในระดับที่เหมาะสมกับผลตอบแทนที่ยอมรับได้

สำหรับการควบคุมความเสี่ยงที่เป็นกระบวนการที่สำคัญและจำเป็นต่อ CSA ซึ่งมีผลต่อหน่วยงานและองค์กรนั้น ผมจะมาเล่าสู่กันฟังในครั้งต่อไปนะครับ

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: