ERM เครื่องมือสำคัญ : บริหารความเสี่ยงองค์กร

ในโลกของธุรกิจในปัจจุบัน การบริหารความเสี่ยงนับเป็นเรื่องสำคัญและจำเป็นในลำดับต้นๆ การดำเนินธุรกิจให้ประสบความสำเร็จนับเป็นสิ่งที่ยากขึ้นเรื่อยๆ ผลของการเปลี่ยนแปลงของเศรษฐกิจโลก ความก้าวหน้าทางเทคโนโลยี ตลอดจนการค้าทีไม่มีพรมแดน ทำให้องค์กรต้องปรับตัวและลดความเสี่ยงที่คาดการณ์ว่าจะเกิดขึ้น เพื่อให้การดำเนินงานและผลประกอบการเป็นไปตามเป้าหมาย การประเมินเพื่อลด “ความเสี่ยง” ถือเป็นการสร้างโอกาสให้ธุรกิจเติบโตได้อย่างยั่งยืน

ทำความรู้จักกับความเสี่ยง

ในความจริงแล้ว “ความเสี่ยง” นั้นมีอยู่รอบๆ ตัวเรา ทั้งในชีวิตประจำวัน ชีวิตครอบครัว และชีวิตการทำงาน  ดังนั้นเราจะมีการประเมินความเสี่ยงและดำเนินการลดหรือบริหารความเสี่ยงโดยธรรมชาติอยู่แล้ว เช่น การเดินทางมาทำงานประจำวัน  ก็จะต้องมีการประเมินสถานการณ์การจราจรประจำวัน หากวันนี้เป็นวันจันทร์ การคาดการณ์ว่าการจรารในเช้าวันจันทร์จะหนาแน่นกว่าปกติ ต้องใช้เวลาในการเดินทางมากขึ้น เราก็ต้องมีการวางแผนการบริหารความเสี่ยงโดยการตื่นนอนและออกจากบ้านให้เร็วขึ้นกว่าเดิม หรือการเลือกใช้การเดินทางที่สามารถควบคุมเวลาในการเดินทางได้ เช่น รถไฟฟ้า BTS หรือ MRT เป็นต้น ซึ่งการมี “ความเสี่ยง” น้อยที่สุด ย่อมส่งผลให้ผู้บริหาร พนักงาน ตลอดจนบุคคลทั่วไป ประสบความสำเร็จได้ทั้งในชีวิตส่วนตัวและชีวิตการทำงานนั่นเอง

ดังนั้น  อาจกล่าวได้ว่า ความเสี่ยง (Risk) หมายถึง เหตุการณ์ความไม่แน่นอนที่อาจเกิดขึ้นได้ในอนาคต และส่งผลต่อการบรรลุวัตถุประสงค์หรือภารกิจขององค์กรนั่นเอง โดยทั่วไปแล้วในการดำเนินธุรกิจหนึ่งๆ จะต้องเผชิญกับความเสี่ยงที่อาจเกิดขึ้น เนื่องจากมีการเปลี่ยนแปลงของปัจจัยทางธุรกิจต่างๆ อาทิ การแข่งขันที่เพิ่มมากขึ้น กลุ่มผู้บริโภคหรือผู้รับบริการที่แตกต่างไป ลักษณะของธุรกิจ ประเภทของอุตสาหกรรม นโยบายของรัฐบาล มาตรฐานต่างๆ ภัยธรรมชาติ การก่อการร้าย ระบบเทคโนโลยีสารสนเทศเสียหาย การไม่มีบุคลากรที่มีความรู้หรือประสบการณ์ที่เหมาะสมเพียงพอต่อความต้องการขององค์กร การถูกดำเนินการตามกฎหมาย เป็นต้น สถานการณ์เหล่านี้เป็นสิ่งที่องค์กรไม่ต้องการให้เกิดขึ้น ดังนั้นจึงต้องมีการบริหารความเสี่ยง เพื่อลดมูลเหตุของแต่ละโอกาสที่อาจทำให้องค์กรเกิดความเสียหาย เพื่อให้ระดับและขนาดของความเสียหายที่จะเกิดขึ้นในอนาคตอยู่ในระดับที่องค์กรยอมรับได้ สามารถประเมินได้ ควบคุมและตรวจสอบได้อย่างเป็นระบบ โดยคำนึงถึงการบรรลุเป้าหมายองค์กรเป็นสำคัญ

การบริหารความเสี่ยงเป็นเครื่องมือสำคัญที่ทำให้ผู้บริหารองค์กรเกิดความมั่นใจว่าความเสี่ยงทั้งหมดที่มีและส่งผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรนั้น จะถูกพิจารณาและจัดการให้หมดไปหรือลดน้อยลง ซึ่งทำให้ผลการดำเนินงานมีประสิทธิภาพและประสิทธิผล เป็นไปตามเป้าหมาย ปัจจุบันผู้บริหารองค์กรจะนำหลักการของการบริหารความเสี่ยงเชิงกลยุทธ์ (Strategic Risk Management) มาประยุกต์ใช้ เพื่อให้สามารถระบุและบริหารความเสี่ยงทั่วทั้งองค์กร ซึ่งเป็นแนวทางของการบริหารความเสี่ยงองค์กรโดยรวม (Enterprise Risk Management: ERM) นั่นเอง

การบริหารความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management: ERM) เป็นการบริหารความเสี่ยงโดยมีโครงสร้างองค์กร กระบวนการ และวัฒนธรรมองค์กร ประกอบเข้าด้วยกัน โดย มาตรฐาน COSO:2004 ได้ให้ความหมายว่า ERM เป็นกระบวนการที่จัดทำขึ้นโดยฝ่ายบริหารทั้งหลายขององค์กร เพื่อประยุกต์ใช้ในการจัดทำกลยุทธ์ทั่วทั้งองค์กร โดยออกแบบมาเพื่อให้สามารถระบุเหตุการณ์ที่อาจเกิดขึ้นและอาจส่งผลกระทบต่อองค์กร และการจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ เพื่อให้มั่นใจอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์องค์กร  โดยมีลักษณะสำคัญ  คือ

• มีการพิจารณาความสัมพันธ์และการพึ่งพาอาศัยกันของความเสี่ยงทั้งหลายในองค์กร
• เพิ่มขีดความสามารถในการจัดการความเสี่ยงภายในและให้ทั่วทั้งองค์กร
• เพิ่มความสามารถขององค์กรในการระบุและฉกฉวยโอกาสของเหตุการณ์ในอนาคต
• มีการพิจารณาความเสี่ยงในการวางแผน เป็นส่วนหนึ่งของธุรกิจและเป็นวัฒนธรรมการบริหารความเสี่ยงที่สอดคล้องกับแผนธุรกิจ วัตถุประสงค์การตัดสินใจ และสามารถนำไปใช้กับองค์ประกอบอื่นๆ ในองค์กร
• ประยุกต์ใช้ในการบริหารความเสี่ยงทุกระดับและทุกหน่วยงานในองค์กร
• พิจารณาภาพรวมของความเสี่ยงครอบคลุมทั่วทั้งองค์กรไม่ว่าจะเป็นความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk: O) ความเสี่ยงด้านการเงิน (Financial Risk: F) และความเสี่ยงด้านการปฏิบัติตามกฏระเบียบ (Compliance Risk: C) โดยมีแนวคิดว่าความเสี่ยงด้านใดด้านหนึ่ง อาจมีผลกระทบต่อความเสี่ยงด้านอื่น ทำให้เกิดความเสียหาย เกิดความไม่แน่นอน กระทบต่อวัตถุประสงค์ และความต้องการของผู้มีส่วนได้ส่วนเสีย
• การสนับสนุนและการมีส่วนร่วมจากบุคลากรทุกคนทุกระดับในองค์กร

การบริหารความเสี่ยงให้ได้ผลสำเร็จนั้น ผู้ที่เกี่ยวข้องจะต้องพิจารณาและทบทวนการระบุความเสี่ยงให้ครอบคลุมทั้งเชิงปริมาณและคุณภาพให้สอดคล้องกับสถานการณ์ปัจจุบันอยู่เสมอ รวมไปถึงต้องมีการพิจารณา ทบทวนการกำหนดเกณฑ์การประเมินโอกาสและผลกระทบของความเสี่ยง ทบทวนการจัดลำดับความรุนแรง เพื่อจัดการความเสี่ยงสูงก่อน แต่การบริหารความเสี่ยงทั่วทั้งองค์กรแบบบูรณาการ ต้องให้ความสำคัญในการกำหนดผู้รับผิดชอบกิจกรรมเพิ่มขึ้นอีกด้วย เพื่อเป็นการพิจารณาประสิทธิผลของการจัดการความเสี่ยงที่ได้ดำเนินการอยู่ในปัจจุบัน

กระบวนการบริหารความเสี่ยง

กระบวนการบริหารความเสี่ยงเป็นกิจกรรมที่ต่อเนื่อง เริ่มตั้งแต่การพิจารณาวัตถุประสงค์ การค้นหาหรือการระบุความเสี่ยง การจัดประเภทความเสี่ยง การประเมินโอกาสและผลกระทบที่จะเกิดขึ้น เพื่อพิจารณาระดับความเสี่ยง การเลือกความเสี่ยงที่อยู่ในระดับสูงเพื่อมาพิจารณาแนวทางจัดการความเสี่ยง โดยมีวัตถุประสงค์เพื่อลดระดับความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ นอกจากนี้   ยังต้องมีการทำรายงานความเสี่ยง การติดตามผลและทบทวนความเสี่ยงที่เกิดขึ้น เพราะหากยังไม่สามารถลดระดับความเสี่ยงได้ องค์กรก็จะต้องนำมาประเมินและพิจารณาแผนการจัดการความเสี่ยงอีกครั้ง

กระบวนการบริหารความเสี่ยง 

ขั้นตอนของกระบวนการบริหารความเสี่ยง

องค์กรที่นำกรอบการบริหารความเสี่ยงไปปฏิบัติได้อย่างประสบความสำร็จ มีขั้นตอนของกระบวนการบริหารความเสี่ยงหลัก  ๆ  ดังนี้

1. การกำหนดวัตถุประสงค์ (Objective Setting) เป็นขั้นตอนแรกของกระบวนการบริหารความเสี่ยง องค์กรต้องมั่นใจว่าวัตถุประสงค์ขององค์กรควรมีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์ และความเสี่ยงที่องค์กรยอมรับได้
2. การบ่งชี้เหตุการณ์ (Event Identification) เป็นการบ่งชี้เหตุการณ์ซึ่งอาจะเป็นความเสี่ยงต่อวัตถุประสงค์ขององค์กรที่ตั้งไว้ โดยผู้บริหารจะต้องพิจารณาความเสี่ยงทุกด้านที่อาจเกิดขึ้น แหล่งความเสี่ยงทั้งจากภายในและภายนอกองค์กร ตลอดจนความสัมพันธ์ระหว่างเหตุการณ์ที่อาจเกิดขึ้น
3. การประเมินความเสี่ยง (Risk Assessment) โดยพิจารณาการจัดการความเสี่ยง/การควบคุมที่มี และการประเมินโอกาสและผลกระทบของความเสี่ยงที่เหลืออยู่ เพื่อจัดลำดับความสำคัญของความเสี่ยง
4. การตอบสนองความเสี่ยง (Risk Response) เป็นการกำหนดแผนการจัดการเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ โดยผู้บริหารอาจเลือกใช้วิธีการจัดการความเสี่ยงอย่างใดอย่างหนึ่ง หรืออาจใช้หลายวิธีรวมกัน เพื่อลดระดับโอกาสที่อาจเกิดขึ้นและผลกระทบของเหตุการณ์เพื่อให้อยู่ในช่วงที่องค์กรยอมรับได้ (Risk Tolerance) โดยหลักการตอบสนองความเสี่ยงโดยทั่วไป คือ
   • Terminate /Avoid (การหลีกเลี่ยง) ลดโอกาสที่จะเกิดให้เหลือศูนย์ โดยอาจจะหยุดหรือเปลี่ยนแปลงกิจกรรมที่เป็นความเสี่ยงนั้นๆ
   • Take (เฝ้าระวัง) ยอมรับความเสี่ยงนั้น หากเป็นความเสี่ยงที่องค์กรยอมรับได้ หรือเป็นความเสี่ยงที่หลีกเลี่ยงไม่ได้ เพราะภารกิจขององค์กร
   • Treat (ควบคุม) ลดโอกาสที่จะเกิดให้น้อยลง / ลดปริมาณความเสียหายให้น้อยลง โดยการหากิจกรรมควบคุมมาลดความเสี่ยง การออกแบบระบบการควบคุมภายใน หรือการแก้ไขปรับปรุงงาน เป็นต้น
   • Share/Transfer (กระจาย/ถ่ายโอน) เป็นการโอนความเสี่ยงไปให้องค์กรอื่นหรือหน่วยงานอื่นจัดการแทน ตัวอย่างที่เห็นได้ชัดเจนก็คือการทำประกันภัยนั่นเอง

สิ่งสำคัญประการหนึ่งของกิจกรรมการควบคุม คือ

การกำหนดผู้รับผิดชอบ

5. กิจกรรมการควบคุม (Control Activity) โดยผู้บริหารองค์กรจะเป็นผู้กำหนดมาตรการในการควบคุมความเสี่ยง เป็นนโยบายและกระบวนการปฏิบัติงานเพื่อให้มั่นใจว่าได้มีการจัดการความเสี่ยง กิจกรรมการควบคุมอาจมีความแตกต่างกันขึ้นอยู่กับสภาพแวดล้อมภายในองค์กร ลักษณะธุรกิจ โครงสร้างและวัฒนธรรมองค์กร รวมถึงความเสียหายที่คาดว่าจะเกิดขึ้น สิ่งสำคัญประการหนึ่งต่อกิจกรรมการควบคุม คือ การกำหนดผู้รับผิดชอบในการพิจารณาประสิทธิผลของการจัดการความเสี่ยงที่ได้ดำเนินการอยู่ในปัจจุบัน และพิจารณาการปฏิบัติเพิ่มเติมที่จำเป็น เพื่อเพิ่มประสิทธิผลของการจัดการความเสี่ยง และควรมีการกำหนดวันแล้วเสร็จให้ชัดเจน
6. การติดตามผล (Monitoring) เพื่อให้มั่นใจว่าการจัดการความเสี่ยงมีคุณภาพและมีความเหมาะสม และการบริหารความเสี่ยงได้นำไปประยุกต์ใช้ในทุกระดับขององค์กร ความเสี่ยงทั้งหมดที่มีผลกระทบสำคัญต่อการบรรลุวัตถุประสงค์ขององค์กรได้รับการรายงานต่อผู้บริหารที่รับผิดชอบ ซึ่งการติดตามการบริหารความเสี่ยงสามารถทำได้ 2 ลักษณะ คือ การติดตามอย่างต่อเนื่องหรือการติดตามเป็นรายครั้ง การติดตามอย่างต่อเนื่องเป็นการดำเนินการอย่างสม่ำเสมอ เพื่อให้สามารถตอบสนองต่อการเปลี่ยนแปลงอย่างทันท่วงที และถือเป็นส่วนหนึ่งของการปฏิบัติงาน การติดตามเป็นรายครั้ง เป็นการดำเนินการภายหลังจากเกิดเหตุการณ์ ดังนั้นปัญหาที่เกิดขึ้นจะได้รับการแก้ไขอย่างรวดเร็วหากองค์กรมีการติดตามอย่างต่อเนื่อง นอกจากนี้   องค์กรควรมีการจัดทำรายงานความเสี่ยงเพื่อให้การติดตามการบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล ทั้งนี้ การติดตามที่ดีจะต้องไม่เป็นภาระแก่ผู้ดำเนินงาน รวมทั้งไม่ก่อให้เกิดความเสียหายจนไม่สามารถจัดการความเสี่ยงได้อย่างทันการณ์

ขั้นตอนของกระบวนการบริหารความเสี่ยง

ทำไมต้องมี ERM

– ทุกองค์กรดำรงอยู่เพื่อมอบคุณค่า (Value) ให้แก่ผู้มีส่วนได้เสีย ซึ่งคุณค่า (Value) นั้นจะเกิดขึ้นได้ถ้าหากฝ่ายบริหารได้มีการกำหนดกลยุทธ์ เพื่อให้เกิดความสมดุลที่ดีที่สุด ระหว่างเป้าหมายในเรื่องการเจริญเติบโตและผลตอบแทนขององค์กรกับความเสี่ยงที่เกี่ยวข้อง  รวมทั้งฝ่ายบริหารได้ใช้ทรัพยากรในการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กรอย่างมีประสิทธิภาพและประสิทธิผล

– ทุกองค์กรย่อมประสบกับความไม่แน่นอน (Uncertainty) ที่เกิดขึ้นได้ตลอดเวลา   ผู้บริหารจึงมีหน้าที่ตัดสินใจว่าจะยอมรับความไม่แน่นอนได้มากน้อยเพียงใด  เนื่องจากจะต้องเพิ่มคุณค่าให้แก่ผู้มีส่วนได้เสีย โดยความไม่แน่นอนนั้นก่อให้เกิดได้ทั้งความเสี่ยงและโอกาส ตลอดจนการลด/เพิ่มคุณค่าที่ต้องส่งมอบให้แก่ผู้มีส่วนได้ส่วนเสียขององค์กร

– ERM สามารถช่วยให้ฝ่ายบริหารจัดการความไม่แน่นอนที่มีทั้งความเสี่ยงและโอกาส ได้อย่างมีประสิทธิผล และช่วยเพิ่มความสามารถแก่ผู้บริหารในการสร้างคุณค่าได้ 

อย่างไรก็ตาม    ข้อจำกัดของ ERM คือ การบริหารความเสี่ยงในแต่ละระดับขององค์กร ต่างมีวัตถุประสงค์ต่างกัน ดังนั้น ERM จะช่วยให้คณะกรรมการหรือผู้บริหารทราบได้ในเวลาอันเหมาะสม เพียงแค่ว่าองค์กรกำลังมุ่งสู่ทิศทางใด และเข้าใกล้ความสำเร็จมากน้อยแค่ไหน แต่ไม่สามารถให้ความเชื่อมั่นอย่างเต็มที่ได้ว่าจะสามารถบรรลุวัตถุประสงค์ได้ และในท้ายที่สุดนี้ อย่าลืมว่า “The greatest risk of all is to take no risk at all”

อ้างอิง

จิรพร สุเมธีประสิทธิ์, มัทธนา พิพิธนาวรัตน์ และกิตติพันธ์ คงสวัสดิ์เกียรติ, “การบริหารความเสี่ยงอย่างมืออาชีพ Professional Risk Management”, สำนักพิมพ์แมคกรอ-ฮิล, 2556.
http://www.cimaglobal.com/Documents/ImportedDocuments/Tech_MAG_Reporting_Organisational_Risks_for_Decision_Making_Sept06.pdf
http://www.coso.org/ERM-IntegratedFramework.htm