การประเมินและบริหารจัดการความเสี่ยงองค์กร มีความสำคัญอย่างไร? ทำไมองค์กรยุคใหม่จึงหันมาจัดทำและให้ความสำคัญกับการวางแผนงานด้านบริหารความเสี่ยงไม่น้อยไปกว่าแผนการบริหารงานด้านอื่นๆ และหากองค์กรคุณยังไม่เริ่มต้นวางแผนตั้งแต่วันนี้ จะส่งผลอย่างไรในอนาคต วันนี้เราจะพาไปหาคำตอบพร้อมๆ กัน
ความหมายของความเสี่ยง
ความเสี่ยง (Risk)
ความเสี่ยง คือ โอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ที่ไม่พึงประสงค์ หรือการกระทำใดๆ ที่อาจเกิดขึ้นภายใต้สถานการณ์ที่ไม่แน่นอน ซึ่งอาจเกิดขึ้นในอนาคต และมีผลกระทบหรือทำให้การดำเนินงานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายขององค์กร ทั้งในด้านยุทธศาสตร์ การปฏิบัติงาน การเงิน และการบริหาร หรือเกิดการทุจริตภายในองค์กรได้
การบริหารความเสี่ยง (Risk management)
การบริหารความเสี่ยง คือ กระบวนการดำเนินงานขององค์กรที่เป็นระบบและต่อเนื่อง เพื่อช่วยให้องค์กรลดมูลเหตุของแต่ละโอกาสที่จะเกิดความเสียหายทั้งจากการกำหนดนโยบาย การปฏิบัติงาน และการทุจริต ให้ระดับของความเสียหายและขนาดของความเสียหายที่จะเกิดขึ้นในอนาคตอยู่ในระดับที่องค์กรประเมินได้ ควบคุมได้ และตรวจสอบได้อย่างมีระบบ โดยคำนึงถึงการบรรลุวัตถุประสงค์หรือเป้าหมายและภาพลักษณ์ขององค์กรเป็นสำคัญ
ปัจจัยความเสี่ยง (Risk Factor)
ปัจจัยความเสี่ยง หมายถึง ต้นเหตุหรือสาเหตุที่มาของความเสี่ยงที่จะทำให้องค์กรไม่บรรลุวัตถุประสงค์ที่กำหนดไว้ โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน กระบวนการใด เมื่อใด จะเกิดขึ้นได้อย่างไร และทำไมถึงเกิด ปัจจัยความเสี่ยงพิจารณาได้จาก
1. ปัจจัยภายนอก เช่น เศรษฐกิจ สังคม การเมือง กฎหมาย ฯลฯ
2. ปัจจัยภายใน เช่น กฎระเบียบ ข้อบังคับภายในองค์กร ประสบการณ์ของเจ้าหน้าที่ ระบบการทำงาน ความโลภและจริยธรรมของแต่ละบุคคล ฯลฯ
การประเมินความเสี่ยง (Risk Assessment)
การประเมินความเสี่ยง หมายถึง กระบวนการระบุความเสี่ยง การวิเคราะห์ความเสี่ยงและจัดลำดับความเสี่ยง โดยการประเมินจากโอกาสที่จะเกิดผลกระทบ และระดับของความเสี่ยงนั้นๆ
1. โอกาสที่จะเกิด หมายถึง ความถี่หรือโอกาสที่จะเกิดเหตุการณ์ความเสี่ยง
2. ผลกระทบ หมายถึง ขนาดความรุนแรงของความเสียหายที่จะเกิดขึ้นหากเกิดเหตุการณ์ความเสี่ยง
3. ระดับของความเสี่ยง (Degree of Risk) หมายถึง โอกาสในการเกิดการทุจริต และความรุนแรงของผลกระทบเมื่อเกิดขึ้น โดยกำหนดเกณฑ์การประเมินมาตรฐาน ได้แก่ ระดับโอกาสที่จะเกิดความเสี่ยง และความรุนแรงของผลกระทบได้ตามเกณฑ์ ดังนี้
เกณฑ์ระดับโอกาสที่จะเกิดความเสี่ยง
ระดับ |
โอกาสที่จะเกิด |
คำอธิบาย |
5 |
สูงมาก |
มีโอกาสเกิดขึ้นเป็นประจำ |
4 |
สูง |
มีโอกาสเกิดขึ้นบ่อยครั้ง |
3 |
ปานกลาง |
มีโอกาสเกิดขึ้นบางครั้ง |
2 |
น้อย |
มีโอกาสเกิดขึ้นน้อยครั้ง |
1 |
น้อยมาก |
มีโอกาสเกิดขึ้นยาก |
เกณฑ์ระดับความรุนแรงของผลกระทบ
ระดับ |
ความรุนแรงของผลกระทบ |
คำอธิบาย |
5 |
สูงมาก |
ก่อให้เกิดความเสียหายอย่างร้ายแรงมาก |
4 |
สูง |
ก่อให้เกิดความเสียหายร้ายแรง |
3 |
ปานกลาง |
ก่อให้เกิดความเสียหายปานกลาง |
2 |
น้อย |
ก่อให้เกิดความเสียหายน้อย |
1 |
น้อยมาก |
ก่อให้เกิดความเสียหายน้อยมากหรืออาจจะไม่เสียหาย |
โดยการคำนวณ (ระดับความเสี่ยง = โอกาสในการเกิดเหตุการณ์ต่าง ๆ x ความรุนแรงของเหตุการณ์นั้น) ซึ่งระดับของความเสี่ยงที่ได้รับนี้จะแสดงถึงระดับความสำคัญในการบริหารความเสี่ยง โดยพิจารณาระดับของความเสี่ยงตามเกณฑ์ที่กำหนดตามตาราง คือ
ลำดับ |
ระดับความเสี่ยง |
ช่วงคะแนน |
1 |
ความเสี่ยงระดับสูงมาก (Extreme Risk : E) |
15 – 25 คะแนน |
2 |
ความเสี่ยงระดับสูง (High Risk : H) |
9 – 14 คะแนน |
3 |
ความเสี่ยงระดับปานกลาง (Moderate Risk : M) |
4 – 8 คะแนน |
4 |
ความเสี่ยงระดับต่ำ (Low Risk : L) |
1 – 3 คะแนน |
การบริหารความเสี่ยง (Risk Management)
การบริหารความเสี่ยง หมายถึง กระบวนการที่ใช้ในการบริหารจัดการให้โอกาสที่จะเกิดเหตุการณ์ความเสี่ยง ลดลง หรือผลกระทบของความเสียหายจากเหตุการณ์ความเสี่ยงลดลง หรืออยู่ในระดับที่องค์กรยอมรับได้ ซึ่งการจัดการความเสี่ยงมีหลายวิธี ดังนี้
- การยอมรับความเสี่ยง (Risk Acceptance) เป็นการยอมรับความเสี่ยงที่เกิดขึ้น เนื่องจากไม่คุ้มค่าในการจัดการควบคุมหรือป้องกันความเสี่ยง
- การลด/การควบคุมความเสี่ยง (Risk Reduction) เป็นการปรับปรุงระบบการทำงานหรือการออกแบบวิธีการทำงานใหม่เพื่อลดโอกาสที่จะเกิด หรือลดผลกระทบให้อยู่ในระดับที่องค์กรยอมรับได้
- การกระจายความเสี่ยง หรือการโอนความเสี่ยง (Risk Sharing) เป็นการกระจายหรือถ่ายโอนความเสี่ยงให้ผู้อื่นช่วยแบ่งความรับผิดชอบไป
- หลีกเลี่ยงความเสี่ยง (Risk Avoidance) เป็นการจัดการความเสี่ยงที่อยู่ในระดับสูงมากและหน่วยงานไม่อาจยอมรับได้ จึงต้องตัดสินใจยกเลิกโครงการ/กิจกรรมนั้น
ความสำคัญของการบริหารความเสี่ยง คือ การนำกระบวนการบริหารความเสี่ยงมาใช้ในองค์กรจะมีการดำเนินการให้บรรลุเป้าหมายที่วางไว้เนื่องจากการบริหารความเสี่ยงเป็นการทำนายอนาคตอย่างมีเหตุผล
ระบบบริหารความเสี่ยงที่ดี
- ควรมีกระบวนการวางแผนและจัดทำเอกสารอย่างเป็นระบบ
- คณะดำเนินงานพร้อมที่จะค้นหาและจัดการกับความเสี่ยงที่พบโดยไม่หลบเลี่ยงปัญหา
- หลังจากการประเมินความเสี่ยงขั้นต้นแล้ว ควรจะมีการทำซ้ำอีกตามระยะเวลาที่กำหนดเพื่อตรวจสอบความเสี่ยงเดิม และค้นหาความเสี่ยงใหม่ ๆ อยู่เสมอ
- ควรมีหลักเกณฑ์ประเมินที่เป็นมาตรฐานครอบคลุมองค์ประกอบทุกส่วน
- ควรมีการจัดทำรายงานผลไว้เป็นลายลักษณ์อักษรและนำเสนอต่อผู้บริหาร
ปัจจัยสำเร็จของการจัดการบริหารความเสี่ยง ประกอบด้วย
- การสนับสนุนอย่างจริงจังและยั่งยืนจากผู้บริหารระดับสูงและพนักงานในองค์กรทุกคน
- การไม่ย่อท้อต่ออุปสรรคในการขับเคลื่อนทั่วทั้งองค์กร
- การเชื่อมโยงการบริหารความเสี่ยงเข้ากับโครงสร้างระบบงานที่ดำเนินการอยู่
- การนำการบริหารความเสี่ยงไปใช้เป็นตัวชี้วัดให้เห็นถึงโอกาสและประโยชน์ที่ได้จากการบริหารจัดการความเสี่ยง
- สร้างตัวชี้วัดที่ชัดเจนและเชื่อมโยงกับกลยุทธ์องค์กร
- การสื่อสารถึงผลสัมฤทธิ์และประสิทธิผลให้ทั่วทั้งองค์กร
ข้อจำกัดขององค์กร อาจส่งผลให้การดำเนินงาน การบริหารความเสี่ยงทั่วทั้งองค์กรไม่บรรลุวัตถุประสงค์ เช่น 1) การไม่ให้ความสำคัญการบริหารจัดการความเสี่ยงของผู้บริหารระดับสูง 2) บุคลากรไม่ปฏิบัติตามระบบการบริหารความเสี่ยงที่ได้กำหนดไว้ 3) เหตุการณ์ที่อยู่นอกเหนือควบคุมอันเนื่องมาจากปัจจัยภายนอกหรือเกิดเหตุการณ์ที่ไม่คาดคิดมาก่อน
เรียบเรียงโดย : นายธนากร ราชซุยแสน (ผู้ตรวจสอบภายในอาวุโส)
อ้างอิงจาก
เผชิญ อุปนันท์. (2560). การบริหารความเสี่ยงองค์กร (Enterprise Risk management). สืบค้นเมื่อ 16พฤษภาคม 2565, จาก https://www.rama.mahidol.ac.th/risk_mgt/th/article/03202017-1523
TCEB. (2561). การบริหารจัดการความเสี่ยง. สืบค้นเมื่อ 16 พฤษภาคม 2565, จากhttps://www.tceb.or.th/files/policy-corporate/
คณะวิทยาศาสตร์ มศว. (2565). การจัดการความเสี่ยง (RM). สืบค้นเมื่อ 16 พฤษภาคม 2565, จากhttps://science.swu.ac.th/Default.aspx?tabid=12468&language=th-TH