“การบริหารจัดการความเสี่ยง” หมายความว่า กระบวนการบริหารจัดการเหตุการณ์ที่อาจเกิดขึ้น และส่งผลกระทบต่อ อพวช. เพื่อให้ อพวช. สามารถดำเนินงานให้บรรลุวัตถุประสงค์ รวมถึงเพื่อเพิ่มศักยภาพ และขีดความสามารถของ อพวช.
“ความเสี่ยง” หมายความว่า ความเป็นไปได้ของเหตุการณ์ที่อาจเกิดขึ้น และเป็นอุปสรรคต่อการบรรลุวัตถุประสงค์ของ อพวช.
“การควบคุมภายใน” หมายความว่า กระบวนการปฏิบัติงานที่ผู้กำกับดูแล หัวหน้า หน่วยงาน ฝ่ายบริหาร และบุคลากรของ อพวช. จัดให้มีขึ้น เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่าการดำเนินงานของ อพวช. จะบรรลุวัตถุประสงค์ของการควบคุมด้านการดำเนินงาน ด้านการรายงาน และด้านการปฏิบัติตามกฎหมาย ระเบียบ และข้อบังคับ
“กฎบัตร” หมายความว่า กฎบัตรของคณะอนุกรรมการบริหารความเสี่ยงและควบคุมภายใน อพวช.
“คณะอนุกรรมการ” หมายความว่า คณะอนุกรรมการบริหารความเสี่ยงและควบคุมภายใน อพวช.
1) | ความเสี่ยงทางด้านกลยุทธ์ (Strategic Risk : SR) |
2) | ความเสี่ยงทางด้านการเงิน (Financial Risk : FR) |
3) | ความเสี่ยงทางด้านการปฏิบัติงาน (Operational Risk : OR) |
4) | ความเสี่ยงทางด้านกฎหมาย และข้อกำหนดผูกพันองค์กร (Compliance Risk : CR) |
ปัจจัยความเสี่ยง (Risk Factor) ต้นเหตุ หรือสาเหตุที่มาของความเสี่ยง ที่จะทำให้ไม่บรรลุวัตถุประสงค์ที่กำหนดไว้ โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใดและจะเกิดขึ้นได้อย่างไรและทำไม ทั้งนี้สาเหตุของความเสี่ยงที่ระบุควรเป็นสาเหตุที่แท้จริง เพื่อจะได้วิเคราะห์และกำหนดมาตรการความเสี่ยง ในภายหลังได้อย่างถูกต้อง
ปัจจัยความเสี่ยงพิจารณาได้จาก
1) | ปัจจัยภายนอก เช่น เศรษฐกิจ สังคม การเมือง กฎหมาย ฯลฯ |
2) | ปัจจัยภายใน เช่น กฎระเบียบ ข้อบังคับภายในองค์กร ประสบการณ์ของเจ้าหน้าที่ ระบบการทำงาน ฯลฯ |
การประเมินความเสี่ยง (Risk Assessment) กระบวนการระบุความเสี่ยง การวิเคราะห์ความเสี่ยงและจัดลำดับความเสี่ยง โดยการประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact)
1) | โอกาสที่จะเกิด (Likelihood) หมายถึง ความถี่หรือโอกาสที่จะเกิดเหตุการณ์ ความเสี่ยง |
2) | ผลกระทบ (Impact) หมายถึง ขนาดความรุนแรงของความเสียหายที่จะเกิดขึ้นหากเกิด เหตุการณ์ความเสี่ยง |
3) | ระดับของความเสี่ยง (Degree of Risk) หมายถึง สถานะของความเสี่ยงที่ได้จากประเมินโอกาสและผลกระทบของแต่ละปัจจัยเสี่ยงแบ่งเป็น 5 ระดับ คือ สูงมาก สูง ปานกลาง น้อย และน้อยมาก |
การบริหารความเสี่ยง (Risk Management) กระบวนการที่ใช้ในการบริหารจัดการให้โอกาสที่จะเกิดเหตุการณ์ความเสี่ยงลดลงหรือผลกระทบของความเสียหายจากเหตุการณ์ความเสี่ยงลดลงอยู่ในระดับที่องค์กรยอมรับได้ ซึ่งการจัดการความเสี่ยงมีหลายวิธีดังนี้
1) | การยอมรับความเสี่ยง (Risk Acceptance) เป็นการยอมรับความเสี่ยงที่เกิดขึ้น เนื่องจากไม่คุ้มค่า ในการจัดการควบคุมหรือป้องกันความเสี่ยง |
2) | การลด/การควบคุมความเสี่ยง (Risk Reduction) เป็นการปรับปรุงระบบการทำงานหรือการออกแบบวิธีการทำงานใหม่เพื่อลดโอกาสที่จะเกิด หรือลดผลกระทบให้อยู่ในระดับที่องค์กรยอมรับได้ |
3) | การกระจายความเสี่ยง หรือการโอนความเสี่ยง (Risk Sharing) เป็นการกระจายหรือถ่ายโอนความเสี่ยงให้ผู้อื่นช่วยแบ่งความรับผิดชอบไป |
4) | เลี่ยงความเสี่ยง (Risk Avoidance) เป็นการจัดการความเสี่ยงที่อยู่ในระดับสูงมากและหน่วยงานไม่อาจยอมรับได้ จึงต้องตัดสินใจยกเลิกโครงการ/กิจกรรมนั้น |
การควบคุม (Control) นโยบาย แนวทาง หรือขั้นตอนปฏิบัติต่าง ๆ ซึ่งกระทำเพื่อลดความเสี่ยง และทำให้การดำเนินบรรลุวัตถุประสงค์ แบ่งได้ 4 ประเภท คือ
1) | การควบคุมเพื่อการป้องกัน (Preventive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อป้องกันไม่ให้เกิดความเสี่ยง และข้อผิดพลาดตั้งแต่แรก |
2) | การควบคุมเพื่อให้ตรวจพบ (Detective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อค้นพบข้อผิดพลาดที่เกิดขึ้นแล้ว |
3) | การควบคุมโดยการชี้แนะ (Directive Control) เป็นวิธีการควบคุมที่ส่งเสริมหรือกระตุ้นให้เกิดความสำเร็จตามวัตถุประสงค์ที่ต้องการ |
4) | การควบคุมเพื่อการแก้ไข (Corrective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้องหรือเพื่อหาวิธีการแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต |
จากวิกิพีเดีย สารานุกรมเสรี
การจัดการความเสี่ยง หรือ การบริหารความเสี่ยง (อังกฤษ: risk managment) คือ การจัดการความเสี่ยง ทั้งในกระบวนการในการระบุ วิเคราะห์(en:risk analysis) ประเมิน(en:risk assessment) ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับ กิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง หรือเรียกว่า อุบัติภัย (Accident )
นิยามของความเสี่ยง[แก้]
ความเสี่ยงมีความหมายในหลากหลายแง่มุม เช่น ความเสี่ยงคือ
- โอกาสที่เกิดขึ้นแล้วธุรกิจจะเกิดความเสียหาย (Chance of Loss)
- ความเป็นไปได้ที่จะเกิดความเสียหายต่อธุรกิจ (Possibility of Loss)
- ความไม่แน่นอนของเหตุการณ์ที่จะเกิดขึ้น (Uncertainty of Event)
- และ การคลาดเคลื่อนของการคาดการณ์ (Dispersion of Actual Result)
ศัพท์ทางเทคนิค[แก้]
- ภัย (Peril) คือ สาเหตุของความเสียหาย ซึ่งภัยสามารถเกิดขึ้นได้จากภัยธรรมชาติ เช่น เกิดพายุ สึนามิ น้ำท่วม แผ่นดินไหว เป็นต้น ภัยนอกจากจะเกิดขึ้นได้จากภัยธรรมชาติแล้ว ภัยนั้นยังเกิดขึ้นจากการกระทำของมนุษย์ เช่น อัคคีภัย จลาจล ฆาตกรรม เป็นต้น สำหรับสาเหตุสุดท้ายที่จะเกิดภัยได้นั้นคือภัยที่เกิดขึ้นจากภาวะเศรษฐกิจ เพราะภัยที่เกิดจากภาวะเศรษฐกิจ เป็นอีกสาเหตุที่สำคัญ เพราะเมื่อเกิดขึ้นแล้วคนทั้งประเทศ หรือทั้งภูมิภาคจะได้รับผลกระทบอย่างกว้างขวาง
- ความเสี่ยง (Risk) คือ ความไม่แน่นอนของเหตุการณ์ ซึ่งไม่สามารถคาดเดาได้ว่าจะเกิดขึ้นเมื่อใด แต่ความเสี่ยงนั้น ๆ จะมีแนวโน้มที่เกิดขึ้นไม่มากก็น้อยในบริษัท
- สภาวะที่จะทำให้เกิดความเสียหาย (Hazard) คือ สภาพเงื่อนไขที่เป็นสาเหตุที่ทำให้ความเสียหายเพิ่มสูงขึ้น โดยสภาวะต่าง ๆ นี้สามารถแบ่งออกได้เป็น สภาวะทางด้านกายภาพ (Physical) คือ สภาวะของโอกาสที่จะเกิดความเสียหาย เช่น ชนิดและทำเลที่ตั้งของสิ่งปลูกสร้าง อาจเอื้อต่อการเกิดเพลิงไหม้ สภาวะทางด้านศีลธรรม (Moral) คือ สภาวะของโอกาสที่จะเกิดขึ้นจากความไม่ซื่อสัตย์ต่อหน้าที่การงาน เช่น การฉ้อโกงของพนักงาน และสภาวะด้านจิตสำนึกในการป้องกันความเสี่ยง (Morale) คือ สภาวะที่ไม่ประมาทและเลินเล่อ หรือการไม่เอาใจใส่ในการป้องกันความเสี่ยง เช่น การที่พนักงานปล่อยให้เครื่องจักรทำงานโดยไม่ควบคุม
องค์ประกอบการบริหารความเสี่ยง[แก้]
- การระบุชี้ว่าองค์กรกำลังมีภัย
เป็นการระบุชี้ว่าองค์กรมีภัยอะไรบ้างที่มาเผชิญอยู่ และอยู่ในลักษณะใดหรือขอบเขตเป็นอย่างไร นับเป็นขั้นตอนแรกของการบริหารความเสี่ยง - การประเมินผลกระทบของภัย
เป็นการประเมินผลกระทบของภัยที่จะมีต่อองค์กรซึ่งอาจเรียกอีกอย่างหนึ่งว่า การประเมินความเสี่ยงที่องค์กรต้องเตรียมตัวเพื่อรับมือกับภัยแต่ละชนิดได้อย่างเหมาะสมมากที่สุด - การจัดทำมาตรการตอบโต้ตอบความเสี่ยงจากภัย
การจัดทำมาตรการตอบโต้ตอบความเสี่ยงเป็นมาตรการที่จัดเรียงลำดับความสำคัญแล้วในการประเมินผลกระทบของภัย มาตรการตอบโต้ที่นิยมใช้เพื่อการรับมือกับภัยแต่ละชนิด อาจจำแนกดังนี้
- มาตรการขจัดหรือลดความรุนแรงของความอันตรายของภัยที่ต้องประสบ
- มาตรการที่ป้องกันผู้รับภัยมิให้ต้องประสบภัยโดยตรง เช่น
- ภัยจากการที่ต้องปีนไปในที่สูงก็มีมาตรการป้องกันโดยต้องติดเข็มขัดนิรภัย กันการพลาดพลั้งตกลงมา
- ภัยจากไอระเหยหรือสารพิษก็ป้องกันโดยออกมาตรการให้สวมหน้ากากป้องกันไอพิษ เป็นต้น
- มาตรการลดความรุนแรงของสถานการณ์ฉุกเฉิน เช่น กรณีเกิดเพลิงไหม้ในอาคาร ได้มีการขจัดและลดความรุนแรง โดยออกแบบตัวอาคารให้มีผนังกันไฟ กันเพลิงไหม้รุนลาม
ไปยังบริเวณใกล้เคียง และมีการติดตั้งระบบสปริงเกอร์ ก็จะช่วยลดหรือหยุดความรุนแรงของอุบัติภัยลงได้ - มาตรการกู้ภัยก็เป็นการลดความสูญเสียโดยตรง ลงได้มาก
- มาตรการกลับคืนสภาพ ก็เป็นอีกมาตรการในการลดความเสียหายต่อเนื่องจากภัยหรืออุบัติภัยแต่ละครั้งลงได้
มาตรการรับมือกับภัย 5 มาตรการ (5R)[แก้]
- R1 Readiness ความเตรียมพร้อม
องค์กรต้องเตรียมความพร้อมระบบการบริหารความเสี่ยงให้มีความพร้อมในการจัดทำมาตรการขจัดหรือควบคุมภัยต่างๆเอาไว้ล่วงหน้า - R2 Response การตอบสนองอย่างฉับไว
เมื่อเกิดอุบัติภัยขึ้นระบบต้องมีสมรรถนะที่ดีพอในการตอบโต้ภัยแต่ละชนิดอย่างได้ผลและทันเวลา - R3 Rescue การช่วยเหลือกู้ภัย
เป็นกระบวนการปกป้องชีวิตและทรัพย์สินขององค์กร ที่ได้ผลและทันเวลา - R4 Rehabilitation การกลับเข้าไปทำงาน
เมื่ออุบัติภัยสิ้นสุดลงแล้วต้องกลับเข้าไปที่เดิมให้เร็วที่สุดเพื่อ การซ่อมแซม การเปลี่ยนใหม่ หรือการสร้างขึ้นใหม่ (Rebuild) เพื่อให้อาคารสถานที่พร้อมที่จะดำเนินกิจการต่อไปได้ อาจรวมไปถึงการประกันภัยด้วย - R5 Resumption การกลับคืนสู่สภาวะปกติ
องค์กรสามารถเปิดทำการ หรือ ดำเนินธุรกิจต่อไปตามปกติได้เสมือนว่าไม่มีอุบัติภัยมาก่อน
Response กับ Rescue อาจจะเหมือนเป็นเรื่องเดียวกัน แต่ความจริงแล้วแตกต่างกัน โดยขอยกตัวอย่าง กรณีเกิดอัคคีภัย อุปกรณ์ดับเพลิงอัตโนมัติ รวมถึง Fire Alarm คือขั้นตอนของ Response แต่ไฟฉุกเฉินและเครื่องช่วยหายใจ เพื่อให้พนักงานสวม เพื่อหนีออกจากอาคาร เป็นขั้นตอนของ Rescue
[แก้]
- The Committee of Sponsoring Organization (COSO) เป็นหน่วยงานที่ได้เผยแพร่วิธีการและกรอบแนวคิดของการควบคุมภายในขององค์กร (Internal Control Framework) อย่างเป็นระบบ เมื่อช่วงต้นทศวรรษของ ปี ค.ศ. 1990 จนกระทั่งเป็นที่รู้จักและมีความนิยมอย่างแพร่หลาย หลังจากที่วิธีการและการดำเนินการควบคุมภายใน (Internal Control) นั้นเป็นที่ถกเถียงกันมาเป็นเวลานาน
- ในการจัดการความเสี่ยง (Risk Management) เป็นเรื่องที่ทุกคนมีความเห็นอย่างตรงกันว่า การจัดการความเสี่ยงเป็นเรื่องที่จำเป็นและเราต้องมีวิธีในการจัดการกับความเสี่ยงที่ดี แต่การจัดการความเสี่ยงนั้นก็ประสบกับปัญหาเดียวกับการเริ่มทำการควบคุมภายในในช่วงแรก ๆ เพราะการจัดการความเสี่ยงนั้นยังไม่สามารถที่จะกำหนดคำนิยามได้อย่างชัดเจน
- องค์กรของการประกันภัย ก็มีการกำหนดคำนิยามของการจัดการความเสี่ยงไว้แบบหนึ่ง แต่องค์กรที่ให้บริการสินเชื่อก็กำหนดคำนิยามและวิธีการของการจัดการความเสี่ยงไว้อีกแบบหนึ่งอย่างแตกต่างกัน จนทำให้หน่วยงานหลายหน่วยงานไม่ว่าจะเป็นองค์กรที่แสวงหาผลกำไร หรือองค์กรที่ไม่แสวงหาผลกำไรต่างก็พยายามที่จะกำหนด คำนิยามและความหมายของการจัดการความเสี่ยง ตลอดจนพยายามคิดถึงโครงสร้างของการจัดการกับความเสี่ยงต่าง ๆ เหล่านั้น
- หลังการจากพยายามหาข้อสรุปถึงคำนิยาม ความหมาย วิธีการในการจัดการความเสี่ยง และการจัดทำโครงสร้างในการบริหารความเสี่ยงมานาน COSO จึงพยายามที่จะกำหนด และกำหนดคำนิยามและรูปแบบต่าง ๆ ในการจัดการกับความเสี่ยง โดยได้กำหนดออกมาเป็น COSO ERM (COSO Enterprise Risk Management) ซึ่ง COSO ได้กำหนดโครงสร้างและความหมายในการจัดการกับความเสี่ยง และนำเสนอต่อสาธารณะในปลายปี ค.ศ. 2004 โดยให้บริษัทในทุกขนาด ไม่ว่าจะเป็นบริษัทขนาดใหญ่ หรือบริษัท SMEs สามารถนำเอาแนวทางในการบริหารจัดการกับความเสี่ยงไปใช้ได้
- COSO Internal Control Framework เป็นกระบวนการ ที่ออกแบบให้ กรรมการบริหาร ผู้บริหาร บุคลากรต่าง ๆ ของหน่วยงาน ต้องมีความรับผิดชอบ และพยายามที่จะให้หน่วยงานประสบความสำเร็จ
โดยมีวัตถุประสงค์ดังนี้ 1. ให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพ 2. มีการรายงานทางการเงินที่น่าเชื่อถือ และ 3. การปฏิบัติตามข้อกำหนดทางกฎหมาย และระเบียบต่าง ๆ
- COSO Internal Control Framework จะมีลักษณะที่เชื่อมโยงต่อ COSO Enterprise Risk management ดังนั้นการเข้าใจใน COSO Internal Control Framework จึงเป็นการช่วยให้เข้าใจใน COSO ERM มากขึ้นนั่นเอง
อ้างอิง[แก้]
- กิตติพันธ์ คงสวัสดิ์เกียรติ และคณะ. 2557. การจัดการความเสี่ยงและตราสารอนุพันธ์ สำนักพิมพ์แมคกรอ ฮิล
- กิตติพันธ์ คงสวัสดิ์เกียรติ และคณะ. 2557. การบริหารความเสี่ยงอย่างมืออาชีพ พิมพ์ครั้งที่ 2 สำนักพิมพ์แมคกรอ ฮิล
- กิตติพันธ์ คงสวัสดิ์เกียรติ. 2548 - 2550. บทความจากหนังสือพิมพ์บิสิเนสไทย คอลัมน์ส่องธุรกิจ
- กิตติพันธ์ คงสวัสดิ์เกียรติ. 2554. การจัดการความเสี่ยงและตราสารอนุพันธ์เบื้องต้น พิมพ์ครั้งที่ 4 สำนักพิมพ์เพียร์สัน เอ็ดดูเคชั่น
- กิตติพันธ์ คงสวัสดิ์เกียรติ. 2550 - 2555. บทความจากนิตยสาร Make Money คอลัมน์ Finance & Investment
- กิตติพันธ์ คงสวัสดิ์เกียรติ. 2551 - 2555. บทความจากหนังสือพิมพ์ ASTV ผู้จัดการรายวัน คอลัมน์ Road to Investment
- กิตติพันธ์ คงสวัสดิ์เกียรติ. 2554 ลงทุนเป็น เห็นความสำเร็จ สำนักพิมพ์ แมคกรอฮิล
ดูเพิ่ม[แก้]
- ความเสี่ยง