การบริหารความเสี่ยง (Risk Management)
โดย ดร. สุรพงษ์ มาลี สำนักงาน ก.พ.
บทบาทของรัฐในการจัดการความเสี่ยง
ความเสี่ยงจากภัยเทคโนโลยีและภัยทางสังคม
ความเสี่ยงจากภัยธรรมชาติ
ความเสี่ยงจากนโยบายและการดำเนินงาน
ความเสี่ยง (Risk) คืออะไร
- ความไม่แน่นอนว่าผลลัพธ์จะเกิดขึ้นตามที่ตั้งเป้าหมายไว้หรือไม่
- การกระทำหรือเหตุการณ์ที่อาจจะมีผลบั่นทอนความสามารถขององค์กรที่จะบรรลุเป้าประสงค์ที่ตั้งไว้
- การกระทำหรือเหตุการณ์ซึ่งอาจเป็นได้ทั้งโอกาส หรือสิ่งคุกคาม
- กินความถึงแนวโน้มหรือโอกาสที่จะเกิดความเสี่ยงและผลกระทบหากเหตุการณ์อุบัติขึ้นจริง
ทำไมต้องบริหารความเสี่ยง
- สอดคล้องกับหลักการบริหารกิจการบ้านเมืองที่ดี
- เป็นส่วนหนึ่งของการบริหารเชิงกลยุทธ์ คำรับรองการปฏิบัติราชการ และมาตรฐานการควบคุมภายใน 2544
- เพิ่มโอกาสและช่วยให้ส่วนราชการบรรลุเป้าประสงค์ และพันธกิจที่ตั้งไว้มากยิ่งขึ้น (ลด Surprises)
- พัฒนาผลงานขององค์กร เช่น การพัฒนาคุณภาพการส่งมอบบริการให้ประชาชน การใช้ทรัพยากรอย่างมีประสิทธิภาพ เป็นต้น
ความสัมพันธ์ของเป้าประสงค์ ความเสี่ยง และการควบคุม
เป้าประสงค์
สิ่งที่ส่วนราชการต้องการบรรลุ
สิ่งที่อาจขัดขวางหรือเป็นอุปสรรค ทำให้ส่วนราชการไม่สามารถบรรลุเป้าประสงค์ที่ตั้งไว้
สิ่งที่จะช่วยให้ส่วนราชการบรรลุเป้าประสงค์ได้ หากมีการบริหารจัดการที่ดี
การวิเคราะห์และการบริหารความเสี่ยง
การวิเคราะห์ความเสี่ยง (Risk Analysis) คือ การรวบรวมและประมวลผลข้อมูลเกี่ยวกับความเสี่ยง ที่องค์กรต้องเผชิญ (exposure to risks) ซึ่งจะช่วยให้องค์กรตัดสินใจกำหนดแนวทางในการบริหารความเสี่ยงได้อย่างเหมาะสม
การบริหารความเสี่ยง (Risk Management) คืออะไร
- กระบวนการระบุหาความเสี่ยงที่สำคัญขององค์กร ประเมินผลกระทบของความเสี่ยง พัฒนาแนวทางการจัดการกับความเสี่ยงและนำไปปฏิบัติอย่างเป็นระบบ โดยมีการบูรณาการและ เน้นความสอดคล้องระหว่างกลยุทธ์ บุคลากร กระบวนงานและเทคโนโลยี เพื่อเพิ่มคุณค่าสูงสุดให้กับองค์การ
- กิจกรรมที่เกี่ยวข้องกับการระบุหาและควบคุมความเสี่ยง ซึ่งมีผลกระทบต่อการบรรลุพันธกิจและเป้าประสงค์ขององค์กร
การบริหารความเสี่ยงเป็นหน้าที่ของใคร
- ทุกคนเกี่ยวข้องกับการบริหารความเสี่ยงในฐานะที่เป็นผู้ระบุว่ามีความเสี่ยงอะไรบ้าง ในหน่วยงาน/โครงการหรืองานของตน
- ฝ่ายบริหารของหน่วยงาน
- เจ้าของหรือเจ้าภาพความเสี่ยง (Risk Owners)
- ผู้บังคับบัญชาของหน่วยงาน
- เจ้าของโครงการ/เจ้าของงาน
- ผู้ที่ไดรับมอบหมายเฉพาะ
- คณะกรรมการบริหารความเสี่ยง (Risk Management and Review Committee)
เจ้าของ/เจ้าภาพความเสี่ยง (Risk Ownership)
- มีการตกลงและมอบหมายการเป็นเจ้าภาพความเสี่ยงอย่างเป็นทางการ
- อาจไม่ใช่คนที่รับผิดชอบการประเมินความเสี่ยงก็ได้ แต่ต้องเป็นคนที่สามารถติดตามดูแลให้มีการบริหารความเสี่ยงอย่างมีประสิทธิภาพ
- ต้องมีความชัดเจนว่าใครทำหน้าที่อะไร
- ใครเป็นผู้กำหนดนโยบายว่าส่วนราชการจะรับความเสี่ยงได้แค่ไหน
- ใครรับผิดชอบการบริหารความเสี่ยงในแต่ละระดับ
- ใครรับผิดชอบแต่ละกระบวนการ/ขั้นตอนของการบริหารความเสี่ยง
- ใครดูแลการนำมาตรการบริหารความเสี่ยงไปปฏิบัติ
- ใครดูแล กรณีที่เป็นความเสี่ยงร่วม (Interdependent risks)
การกำหนดกรอบนโยบายการบริหารความเสี่ยง
- กำหนดกรอบนโยบายการบริหารความเสี่ยง จาก
- ข้อกำหนดทางกฎหมาย ระเบียบ นโยบาย
- ระบุความคาดหวังของผู้มีส่วนได้เสีย
- กำหนดวิสัยทัศน์ของการบริหารความเสี่ยง (Risk Vision Statement)
- มีแนวทางในการระบุ ประเมิน และรายงานด้านความเสี่ยง
- กำหนดเป้าหมาย และระบุอุปสรรคของการบริหารความเสี่ยง
- กำหนดแนวทางการประเมินผลความสำเร็จของการบริหารความเสี่ยง ตามมาตรฐานคุณภาพ
- ระบุเจ้าภาพความเสี่ยง
- สื่อสารกรอบนโยบายที่ชัดเจนให้ทั่วถึงทั้งองค์กร
ประโยชน์ของบริหารความเสี่ยง
- ประโยชน์ด้านยุทธศาสตร์ขององค์กร (Strategic Benefits)
- ประโยชน์ด้านการเงิน (Financial Benefits)
- ประโยชน์ต่อการบริหารแผนงานโครงการ (Programme Benefits)
- ประโยชน์ต่อกระบวนงาน (Business Process Benefits)
- ประโยชน์ต่อการบริหารจัดการโดยรวม (Overall Management Benefits)
ขั้นตอนการบริหารความเสี่ยง
ขั้นตอนที่ 1 การระบุและจำแนกความเสี่ยง (Risk Identification)
การระบุหาและจำแนกความเสี่ยงในองค์กร
- สำรวจว่ามีความเสี่ยงใดที่อาจทำให้การทำงานไม่เป็นไปตามเป้าประสงค์ของส่วนราชการ หรือหน่วยงาน (Risks must be identified relation to strategic objectives)
- จำแนกความเสี่ยงนั้น ๆ ว่าเกิดขึ้นในระดับใด และเป็นความเสี่ยงประเภทใด (อาจใช้ตาราง Matrix)
- จัดทำ/เขียน Risk Statement ซึ่งระบุสาเหตุของความเสี่ยงและผลกระทบที่อาจเกิดขึ้น (What, Why and How Thines can arise)
- การระบุหาและจำแนกความเสี่ยงอาจใช้
- คณะกรรมการบริหารความเสี่ยง
- เจ้าภาพ/เจ้าของความเสี่ยง ประเมินโดยใช้ (Risk Self Assessment)
- การประชุมสัมมนาเชิงปฏิบัติการ
- สร้างความมั่นใจว่าผู้เกี่ยวข้องกับการบริหารความเสี่ยง และข้าราชการทุกคน เข้าใจตรงกันเกี่ยวกับความเสี่ยงที่ระบุ (ไม่ควรใช้การลงคะแนนหากไม่จำเป็น ควรใช้การอภิปรายรับฟังความคิดเห็น)
- เก็บข้อมูลความเสี่ยงอย่างเป็นระบบเพื่อง่ายแก่การทบทวน และการจัดทำ Risk Registers and Risk Profile
ลำดับชั้นของความเสี่ยง ระดับ ยุทธศาสตร์ (Strategic Risk) ระดับแผนงาน/โครงการ (Programme Risk) ระดับกิจกรรมและงานปฏิบัติ (Operational Risk) Strategic decision Decisions transferring Strategy into action Decisions Required for implementation
ขั้นตอนที่ 2 การประเมินความเสี่ยง
การประเมินความเสี่ยง (Risk Assessment/Evaluation)
ขั้นตอนการประเมินความเสี่ยง
ผลผลิต
1. เลือกความเสี่ยงที่ระบุในขั้นตอนการระบุและจำแนกความเสี่ยง มาอภิปรายเพื่อหาสาเหตุ ผลกระทบ การควบคุมในปัจจุบัน และประสิทธิผลของการควบคุมนั้น
มีรูปแบบข้อมูลความเสี่ยงเบื้องต้นของส่วนราชการ (Risk Register2Profile)
2. ดำเนินการประเมินความเสี่ยงโดยวิเคราะห์ทั้งผลกระทบ (Impact) และโอกาส (Likelihood) ที่ความเสี่ยงจะเกิด
มีแผนที่ความเสี่ยง (Risk Map) ที่แสดง “ความเสี่ยงซึ่งวิกฤติ”
3. จัดลำดับความเสี่ยง (Risk Prioritisation) โดยนำผลการวิเคราะห์ในขั้นที่ 2 มาวิเคราะห์ร่วมกับความสามารถ/โอกาสในการปรับปรุงความเสี่ยงและกรอบเวลาดำเนินการ
ได้รายการของความเสี่ยงที่จะนำไปจัดทำแผนบริหารความเสี่ยง (Risk Management/Response Plan)
การวิเคราะห์โอกาสและผลกระทบของความเสี่ยง
ผลหรือระดับของผลกระทบหากความเสี่ยงเกิดขึ้นจริง
(Impacts)
โอกาส/ความน่าจะเป็น/แนวโน้มที่จะเกิดความเสี่ยง (Probabilities/Likelihood)
เชิงกึ่งคุณภาพมีการกำหนดค่าให้กับ Ranking Scale แต่ไม่ใช่ค่าจริงๆ ของความเสี่ยง
ระดับของความเสี่ยง
มีการกำหนดค่าที่เป็นตัวเลขซึ่งสะท้อน
การวิเคราะห์เชิงปริมาณ:
ในส่วนราชการ
เชิงคุณภาพ : ใช้คำพูดอธิบาย
โอกาส และผลกระทบ
การจัดทำ Risk Map : Risk/Tolerance Matrix
ระดับความเสี่ยงที่ยอมรับได้
ผลกระทบ
ความน่าจะเป็น/โอกาส
การจัดลำดับความสำคัญของความเสี่ยง (Risk Prioritisation)
ลำดับความสำคัญของความเสี่ยงในส่วนราชการ
1. การประเมินประสิทธิผลของการควบคุมความเสี่ยงในปัจจุบัน
2. โอกาสและความสามารถที่จะปรับปรุงการบริหารความเสี่ยง
3. ระยะเวลาที่จะสามารถเริ่มลงมือปฏิบัติ
ขั้นตอนที่ 3 การจัดการกับความเสี่ยง (Risk Responses)
หลักการจัดการกับความเสี่ยง (Address Risk Responses)
ลดโอกาสที่จะเกิดความเสี่ยง
แสวงหาประโยชน์จากความเสี่ยง
ลดผลกระทบของความเสี่ยง
หลักการจัดการกับความเสี่ยง (Addressing Risk Responses)
การยอมรับความเสี่ยง (Tolerate)
ยอมรับให้มีความเสี่ยงบ้าง เพราะต้นทุนการจัดการความเสี่ยง
อาจไม่คุ้มกับผลประโยชน์ที่อาจจะเกิดขึ้น
การจัดการควบคุมความเสี่ยง
(Treat and Control)
มิใช่การขจัดความเสี่ยงให้หมดไป (Obviate) แต่ควบคุม (Contain) ทั้งโอกาสและผลกระทบของความเสี่ยงให้อยู่ในระดับที่รับได้
การแบ่ง/ผ่องถ่ายความเสี่ยง (Share/Transfer)
ผ่องถ่ายให้บุคคลที่สามร่วมรับความเสี่ยง เช่น การประกันภัย
การยกเลิก/สิ้นสุดกิจกรรมที่มีความเสี่ยง (Terminate)
ความเสี่ยงบางอย่างอาจควบคุมได้ ด้วยการยกเลิกเป้าหมาย โครงการ งานหรือกิจกรรมที่มีความเสี่ยง
การฉวยโอกาสจากสถานการณ์ที่มีความเสี่ยง (Take the Opportunity)
ความเสี่ยงบางอย่างอาจนำมาซึ่งโอกาสในการบริหารจัดการ
การจัดการความเสี่ยงกับการควบคุมภายใน
- การจัดการความเสี่ยง มีเป้าหมายเพื่อเปลี่ยนความไม่แน่นอน (Uncertainty) ให้เป็นผลประโยชน์ (Benefits) ของส่วนราชการ โดยฉกฉวยโอกาสที่เกิดขึ้น
- มาตรการหรือการกระทำทุกอย่างของส่วนราชการในการจัดการความเสี่ยง ถือเป็นส่วนหนึ่งของการควบคุมภายใน
รูปแบบของการควบคุม
-การกำหนดให้ทำตามหลัก กฎเกณฑ์ และกระบวนการที่กำหนดไว้ เพื่อหลีกเลี่ยงสถานการณ์ที่มีความเสี่ยง เช่น ชุดทำงานในที่อันตราย การฝึกอบรมก่อนทำงาน
-การควบคุมที่มุ่งผลกระทบอันไม่พึงประสงค์ให้เหลือน้อยที่สุด เช่น การเซ็นเช็ค การสั่งจ่าย การให้สัมภาษณ์
การควบคุมที่มุ่งค้นหาว่า ผลลัพธ์ที่ไม่พึงประสงค์นั้น เกิดขึ้นมาได้อย่างไร เพื่อเป็นบทเรียนสำหรับอนาคต เช่น การตรวจนับสินค้า
รูปแบบของการควบคุม รายละเอียดคงคลัง 
-การทบทวนหลังการนำนโยบายบางอย่างไปปฏิบัติ
-การควบคุมที่มุ่งแก้ไขผลลัพธ์ที่ไม่พึงประสงค์ หรือ บรรเทาผลกระทบให้ทุเลาลง เช่น การเขียนเงื่อนไขในสัญญาให้มีการชดใช้ หากมีการจ่ายเงินเกิน หรือการประกันภัย
ขั้นตอนที่ 4 การจัดทำแผนบริหารความเสี่ยง (Risk Management Plan)
องค์ประกอบของแผนบริหารความเสี่ยง
ชื่อความเสี่ยง
เขียนอธิบายสั้น ๆ ว่าประเด็นความเสี่ยงคืออะไร
ลำดับความเสี่ยงเพื่อการปฏิบัติ
ระบุลำดับคะแนน อาจใช้สีไฟจราจร
คะแนนลำดับความสำคัญ
ระบุคะแนนผลกระทบโอกาส การควบคุม การปรับปรุง และระยะเวลา
ประเภทของความเสี่ยง
ระบุว่าเป็นความเสี่ยงประเภทใด
พื้นฐานของความเสี่ยง
ระบุสาเหตุและผลกระทบต่อเป้าประสงค์ใด
การควบคุมความเสี่ยงในปัจจุบัน
ระบุแนวทางดำเนินการในปัจจุบัน
แผนปฏิบัติเพื่อควบคุมความเสี่ยง
ระบุแนวทางดำเนินงาน เป้าหมาย เวลา แผนสำรอง เจ้าภาพผู้รับผิดชอบ ผู้มีส่วนได้เสีย
ตัวชี้วัดความคืนหน้าและความสำเร็จ
ระบุว่าถ้าทำตามตัวชี้วัดแล้ว ความเสี่ยงลดลงหรือไม่
แนวทางการตรวจสอบและรายงาน
ระบุความคืบหน้าในการดำเนินการ (ร้อยละ)
ขั้นตอนที่ 5 การรายงานและทบทวนการบริหารความเสี่ยง (Risk Management Review, Report & Presentation)
- เพื่อติดตามว่ารูปแบบของความเสี่ยง (Risk Profile) เปลี่ยนแปลงหรือไม่
- เพื่อให้มั่นใจว่าการบริหารความเสี่ยงนั้นได้ผลจริง หากพบปัญหาก็จะได้หามาตรการใหม่/ใช้มาตรการสำรองเพื่อจัดการกับความเสี่ยงหากจำเป็น
- เครื่องมือและเทคนิคที่ใช้ในการทบทวน : แนวทางของกระทรวงการคลังอังกฤษ
- Risk Self Assessment (RSA)
- Stewardship Reporting : ผู้บริหารแต่ละระดับรายงานการบริหารความเสี่ยงของตนในสถานการณ์ต่าง ๆ ที่เปลี่ยนแปลงไป ขึ้นไปยังหน่วยเหนือ (Upward Reporting)
- Risk Management Assessment Framework : Statement on Internet Control ซึ่งเป็น Public Statement เกี่ยวกับการทบทวนระบบการควบคุมภายใน
สามารถปฏิบัติตามแผนได้อย่างประสบความสำเร็จ และได้ผลตามที่ตั้งเป้าหมายในการลดความเสี่ยงทุกประการ
ประโยชน์ของการทบทวนการบริหารความเสี่ยง
- ทราบความเสี่ยงที่มีอยู่ในส่วนราชการ (Inherent Risk)
- ทราบความเสี่ยงที่ยังเหลืออยู่ แม้มีการจัดการความเสี่ยงแล้ว (Residual Risk)
- ตัดสินใจได้ว่าจะรับความเสี่ยงได้ในระดับใด (Acceptable Risk)
การสื่อข้อความและการเรียนรู้ (Risk Communication & Learning)
- เกิดขึ้นในทุกกระบวนการของการบริหารความเสี่ยง ไม่ใช่ขั้นตอนที่แยกต่างหาก
- ส่วนราชการต้องสื่อให้สมาชิกทุกคนในองค์กรทราบว่า
- ความเสี่ยงขององค์กรคืออะไร
- กลยุทธ์เกี่ยวกับความเสี่ยง (Risk Strategy) ขององค์กร คืออะไร
- ลำดับความสำคัญของความเสี่ยง (Risk Priority)
- บทบาทของ Risk Owners
- เรียนรู้จากผลการบริหารความเสี่ยงที่เกิดขึ้น
การปรับกระบวนทัศน์ด้านการบริหารความเสี่ยง
กระบวนทัศน์เดิม
กระบวนทัศน์ใหม่
แยกส่วน
บูรณาการ
ทำเป็นครั้งคราว
ทำอย่างต่อเนื่อง
เน้นในมุมแคบ
เน้นในมุมกว้าง
เน้นการควบคุมกระบวนการ
เน้นการบรรลุยุทธศาสตร์
4Cs เพื่อความสำเร็จในการบริหารความเสี่ยง
- เป้าหมาย (Common Goals)
- การติดต่อสื่อสาร (Communications)
- มุ่งมั่น (Commitment)
- การประสานงาน (Co-ordination)
****************************************** 
อ้างอิง
http://www.onab.go.th/e-Books/RegulateExaminer/RegulateExaminer10.pdf


 Technorati icon