 |
Title: Enterprise Risk
Management (ERM) |
|
Author: COSO |
My Rating:
 |
|
|
|
|
|
|
|
Preface
|
|
หลัง ๆ ได้เข้ามาคลุกคลีอยู่กับการบริหารความเสี่ยงระดับองค์กร
(Enterprise Risk Management: ERM)
เลยอยากเล่าภาพใหญ่เกี่ยวกับการบริหารความเสี่ยงให้ฟัง
และเพื่อให้สามารถติดตามเนื้อหาได้ง่ายขึ้น ผมเลยแบ่งเป็นตอน ๆ
ครับ |
| |
| I: ความหมายของความเสี่ยง |
Keyword:
ปัจจุบันการนิยามความหมายของความเสี่ยง (Risk)
มีทิศทางไปในแนวทางเดียวกัน ตัวอย่างของ 2
หน่วยงานที่ได้รับการยอมรับเกี่ยวกับมาตรฐาน มีดังนี้
ISO-31000 ให้ความหมายของความเสี่ยงว่า “effect of uncertainty
on objectives” (Risk Management-Guidelines: ISO 31000 Second
Edition 2018-02)
ความเสี่ยงคือ คือ
"ผลกระทบของความไม่แน่นอนที่ส่งผลต่อวัตถุประสงค์"
COSO-2017 ให้ความหมายของความเสี่ยงว่า "The possibility that
events will occur and affect the achievement of strategy and
business objectives"
(COSO Enterprise Risk Management Integrating with Strategy
and Performance, June 2017 Volume I)
ความเสี่ยงคือ คือ
"โอกาสของเหตุการณ์ที่จะเกิดขึ้นและส่งผลกระทบต่อความสำเร็จตามวัตถุประสงค์ของกลยุทธ์และธุรกิจ"
สรุปแล้ว ความเสี่ยงคือ ความไม่แน่นอน (เหตุการณ์) +
ผลกระทบต่อวัตถุประสงค์
ความเสี่ยงจึงมาพร้อมกับวัตถุประสงค์
ถ้าเราทำอะไรแล้วไม่มีวัตถุประสงค์ ความเสี่ยงก็ไม่เกิด
เมื่อไหร่เรามีวัตถุประสงค์หรือเป้าหมาย
เราก็จะมีความเสี่ยงเนื่องจากอาจมีเหตุการณ์ที่เกิดขึ้นแล้วทำให้เราไม่บรรลุตามวัตถุประสงค์นั้น
อีกประเด็นหนึ่งที่ได้รับการการพูดถึงกันบ่อย คือ
ความเสี่ยงสามารถสร้างผลกระทบเชิงลบหรือเชิงบวกก็ได้
อันนี้จะเข้าใจยาก เพราะความเสี่ยงคำมันสะท้อนถึงเชิงลบ
พอระบุว่าเป็นเชิงบวกก็ได้ ก็จะเริ่มงง ๆ
(เวลาพูดบอกว่าเป็นเชิงลบหรือบวกก็ได้
แต่เวลาทำจริงไม่เห็นมีความเสี่ยงที่เป็นเชิงบวกสักอัน)
ถ้าจะอธิบายก็สามารถอธิบายได้เป็น 2 บริบท คือ
1.
บางเหตุการณ์ถ้าเกิดขึ้นก็ทำให้เราบรรลุวัตถุประสงค์ได้เร็วหรือง่ายขึ้น
2. ยิ่งเสี่ยงมากก็ยิ่งได้ผลตอบแทนมาก (High Risk High Return)
ดังนั้น การเลือกทางเลือกที่มีความเสี่ยงสูงขึ้น
อาจทำให้เราบรรลุตามวัตถุประสงค์ได้เร็วขึ้น
|
| |
| II:
ประเภทของการบริหารความเสี่ยง |
การบริหารความเสี่ยงแบ่งได้เป็น 2
ประเภท (อันนี้ผมแบ่งเอง)
1) การบริหารความเสี่ยงระดับองค์กร (Enterprise Risk
Management: ERM) ซึ่งมีองค์กรหรือหน่วยงานที่นำเสนอกรอบ
(Framework) ไว้อย่างหลากหลาย เช่น COSO, ISO 31000, RIMS,
FERMA, AS/NZS 4360 แต่ที่ได้รับความนิยมมากที่สุดคือ COSO
รองลงมาคือ ISO 31000
2) การบริหารความเสี่ยงในประเด็นหรืองานเฉพาะ เช่น
- ESG-Related Risk
- GRC Framework: OCEG
- Cybersecurity Risk: CSF, COBIT
- EHS-Related Risk: IFC Guideline
- HRM: HRSI
- Human Rights Risk Management: UNGP Guideline
- Insurance Companies: Solvency II
- Financial Institutions: Basel Framework (Basel III), IFRS 9
- Project Management: PRINCE2, PMBOK Guide
จะเห็นได้ว่าถ้าเราจะบริหารความเสี่ยงในองค์กร เราต้องบริหารใน
2 ระดับ คือ
ระดับองค์กร และ ระดับหน่วยงานหรือกิจกรรม |
| |
| III: COSO Enterprise Risk
Management Framework |
|
สำหรับเนื้อหาที่จะเล่าให้ฟัง
ผมนำเสนอเฉพาะกรอบการบริหารความเสี่ยงของ COSO (Committee of
Sponsoring Organizations of the Treadway
Commission) ซึ่งถูกอ้างอิงในประเทศไทยมากที่สุด |
| COSO
ได้ออกแนวทางการบริหารความเสี่ยง มาตั้งแต่ปี 1994
และมีการปรับปรุงในปี 2001, 2004 และล่าสุดเป็นปี 2017
สำหรับกรอบการบริหารความเสี่ยงในปี 2004
ถูกนำเสนอในภาพสี่เหลี่ยมลูกบาศก์ ตามภาพด้านล่าง |
| |
 |
|
|
ด้านบนคือ วัตถุประสงค์ 4 ด้าน คือ กลยุทธ์, การดำเนินงาน,
การรายงาน และการปฏิบัติตามกฏหมายหรือกฎระเบียบ
ด้านหน้าคือ องค์ประกอบ คือ สภาพแวดล้อมภายใน
การตั้งวัตถุประสงค์ การระบุเหตุการ (ความเสี่ยง)
การประเมินความเสี่ยง การดำเนินการเกี่ยวกับความเสี่ยงนั้น ๆ
กิจกรรมการควบคุมความเสี่ยง การจัดการข้อมูลและการสื่อสาร
และการติตาม
ด้านข้าง คือ ระดับของการจัดการความเสี่ยง คือ ระดับทั้งองค์กร
ระดับส่วนงาน ระดับหน่วยธุรกิจ และระดับส่วนย่อย ๆ |
|
|
|
ในปี 2013 COSO ได้ออกกรอบการควบคุมภานใน (COSO ICIF
Framework: Internal Control-Integrated Framework)
เพื่อใช้ในการควบคุมภายในองค์กร นำเสนอในภาพสี่เหลี่ยมลูกบาศก์
แบบเดียวกับการบริหารความเสี่ยง ตามภาพด้านล่าง |
|
|
 |
| |
ด้านบนคือ วัตถุประสงค์ 3 ด้าน คือ การดำเนินงาน, การรายงาน
และการปฏิบัติตามกฏหมายหรือกฎระเบียบ (ไม่มีกลยุทธ์)
ด้านหน้าคือ องค์ประกอบ คือ สภาพแวดล้อมภายในด้านการควบคุม
การประเมินความเสี่ยง กิจกรรมการควบคุม
การจัดการข้อมูลและการสื่อสาร และการติตาม
ด้านข้าง คือ ระดับของการจัดการความเสี่ยง คือ ระดับทั้งองค์กร
ระดับส่วนงาน ระดับปฏิบัติการ และหน้าที่ |
| |
|
โดยการประเมินความเสี่ยงก็คือกระบวนการบริหารความเสี่ยงตาม
COSO ปี 2004 (การระบุเหตุการณ์ การประเมินความเสี่ยง
และการดำเนินการต่อความเสี่ยง) |
 |
|
|
IV: COSO Enterprise Risk Management Framework 2017
(Enterprise Risk Management Integrating with
Strategy and Performance) |
|
ในปี
2017 ได้นำเสนอกรอบการบริหารความเสี่ยงระดับองค์กรในรูปแบบใหม่
(ไม่เป็นสี่เหลี่ยมลูกบาศก์)
โดยมีแนวคิดว่าทุกองค์กรดำรงอยู่เพื่อสร้างคุณค่า
การบริหารองค์กรก็คือเพื่อสร้างคุณค่าให้ได้ดีขึ้น มากขึ้น
หรือมีประสิทธิภาพมากขึ้น (ตามภาพด้านล่าง) |
| |
 |
| |
| และจากนิยามของความเสี่ยงที่ระบุว่า
คือ
"โอกาสของเหตุการณ์ที่จะเกิดขึ้นและส่งผลกระทบต่อความสำเร็จตามวัตถุประสงค์ของกลยุทธ์และธุรกิจ"
ดังนั้นการจัดการความเสี่ยงจึงถูกบูรณาการเข้ากับกระบวนการที่องค์กรใช้สร้างคุณค่า
การบริหารความเสี่ยงจึงมีส่วนเกี่ยวข้องในทุกระบวนการ
(แสดงดังภาพด้านล่าง) |
| |
 |
| |
โดย COSO
ได้แบ่งองค์ประกอบที่เกี่ยวพันกับการสร้างคุณค่าเป็น 5
องค์ประกอบ (The Five Interrelated Components) โดยมี 20
หลักการ (20 Principles) ดังนี้
|
องค์ประกอบที่
1: Governance & Culture (การกำกับและวัฒนธรรม)
ประกอบด้วยหลักการดังนี้
1) Exercises Board Risk Oversight:
คณะกรรมการมีบทบาทสำคัญในการกำกับดูแลความเสี่ยงขององค์กร
เพื่อให้สอดคล้องกับเป้าหมายทางธุรกิจและกลยุทธ์
2) Establishes Operating Structures:
องค์กรต้องมีโครงสร้างการดำเนินงานที่ชัดเจนเพื่อสนับสนุนการบริหารความเสี่ยง
3) Defines Desired Culture:
องค์กรควรกำหนดวัฒนธรรมที่ต้องการเพื่อสร้างสภาพแวดล้อมที่ส่งเสริมการจัดการความเสี่ยง
4) Demonstrates Commitment to Core Values:
องค์กรต้องแสดงถึงความมุ่งมั่นในค่านิยมหลัก เช่น
การกำหนดนโยบาย ข้อปฏิบัติตามค่านิยมหลัก
5) Attracts, Develops, and Retains Capable Individuals:
องค์กรต้องสรรหาและพัฒนาบุคลากรที่มีความสามารถในการจัดการความเสี่ยง
รวมถึงการรักษาคนเก่งไว้ในองค์กร |
| |
องค์ประกอบที่ 2: Strategy &
Objective-Setting (การกำหนดกลยุทธ์และวัตถุประสงค์)
ประกอบด้วยหลักการดังนี้
6) Analyzes Business Context:
องค์กรต้องทำความเข้าใจบริบททั้งภายในและภายนอกที่อาจมีผลกระทบต่อความสำเร็จของธุรกิจ
7) Defines Risk Appetite: องค์กรต้องกำหนดระดับความความเสี่ยง
8) Evaluates Alternative Strategies:
องค์กรต้องประเมินกลยุทธ์ทางเลือก โดยประเมินจากข้อดี ข้อเสีย
และความเสี่ยง
9) Formulates Business Objectives:
องค์กรต้องกำหนดวัตถุประสงค์ทางธุรกิจที่ชัดเจนและสอดคล้องกับกลยุทธ์ที่เลือก |
|
|
องค์ประกอบที่ 3: Performance
(การดำเนินการด้านความเสี่ยง) ประกอบด้วยหลักการดังนี้
10) Identifies Risk:
องค์กรต้องระบุความเสี่ยงที่อาจส่งผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร
11) Assesses Severity of Risk:
องค์กรต้องประเมินความรุนแรงของความเสี่ยงในแง่ของผลกระทบและโอกาสที่จะเกิดขึ้น
12) Prioritizes Risk:
องค์กรต้องจัดลำดับความสำคัญของความเสี่ยงตามความรุนแรงและผลกระทบที่อาจเกิดขึ้น
13) Implements Risk Responses:
องค์กรต้องกำหนดวิธีการตอบสนองต่อความเสี่ยง
คือ การยอมรับความเสี่ยง (Accept)การหลีกเลี่ยงความเสี่ยง
(Avoid) การลดความเสี่ยง (Reduce) การโอนความเสี่ยง (Share)
และการเพิ่มระดับความเสี่ยง เพื่อให้ผลตอบแทนที่เพิ่มขึ้น
(Pursue)
14) Develops Portfolio View: สร้างภาพรวมของความเสี่ยง |
|
|
องค์ประกอบที่ 4: Review & Revision
(การทบทวนและปรับปรุงความเสี่ยง) ประกอบด้วยหลักการดังนี้
15) Assesses Substantial Change:
องค์กรต้องมีการประเมินเมื่อมีการเปลี่ยนแปลงที่สำคัญในสภาพแวดล้อมภายนอกหรือภายในซึ่งอาจส่งผลกระทบต่อความเสี่ยงหรือการบรรลุเป้าหมาย
16) Reviews Risk and Performance:
องค์กรต้องมีการทบทวนและประเมินผลการจัดการความเสี่ยง
เพื่อดูว่ายังสอดคล้องกับวัตถุประสงค์และเป้าหมายขององค์กรหรือไม่
17) Pursues Improvement in Enterprise Risk Management:
องค์กรต้องมุ่งปรับปรุงกระบวนการจัดการความเสี่ยงอย่างต่อเนื่อง |
|
|
องค์ประกอบที่ 5: Information, Communication & Reporting
(การใช้ข้อมูล การสื่อสาร และการรายงาน)
ประกอบด้วยหลักการดังนี้
18) Leverages Information and Technology:
องค์กรต้องใช้ข้อมูลและเทคโนโลยีในการรวบรวม วิเคราะห์
และประมวลผลข้อมูลที่เกี่ยวข้องกับความเสี่ยง
โดยข้อมูลที่ได้รับต้องเป็นข้อมูลที่ถูกต้อง ทันสมัย
และสามารถนำไปใช้ในการตัดสินใจได้อย่างรวดเร็ว
19) Communicates Risk Information:
องค์กรต้องมีการสื่อสารข้อมูลความเสี่ยงอย่างชัดเจนและมีประสิทธิภาพในทุกระดับขององค์กร
เช่น
การประชุมระหว่างผู้บริหารและทีมงานทุกเดือนเพื่ออัพเดตข้อมูลความเสี่ยงที่เกิดขึ้นใหม่และแนวทางในการจัดการ
20) Reports on Risk, Culture, and Performance:
องค์กรต้องจัดทำรายงานที่ครอบคลุมทั้งเรื่องความเสี่ยง
วัฒนธรรมองค์กรที่เกี่ยวข้องกับความเสี่ยง
และผลการดำเนินงานที่เกี่ยวกับการจัดการความเสี่ยง |
|
|
|
V: การใช้งาน COSO ERM Framework 2017 |
|
การนำกรอบการบริหารความเสี่ยงที่ถูกนำเสนอโดย COSO ไปใช้งาน
ทาง COSO ได้ทำคำอธิบายเป็น Ebook ออกมา 2 เล่ม (Vol.1 และ
Vol.2) ซึ่งถ้าจะให้ผมเล่าให้ฟังทั้ง 2 เล่ม ก็คงไม่ไหว
เอาเป็นว่าไปดูความคิดเห็นของผมเลยละกันครับ |
| |
|
My Opinion |
การบริหารความเสี่ยงระดับองค์กรตามกรอบของ COSO 2017
มีการเปลี่ยนแปลงไปอย่างชัดเจนเมื่อเทียบกับกรอบการบริหารความเสี่ยงปี
2004
โดยมุ่งไปที่การบูรณาการเข้ากับกระบวนการที่นำไปสู่การสร้างคุณค่าโดยองค์กร
ประเด็นสำคัญที่เป็นความเห็นของผมคือ ถึงแม้ COSO จะมี Ebook 2
เล่ม เพื่ออธิบายรายละเอียดของกรอบการบริหารความเสี่ยง
แต่เป็นเพียงการอธิบายความหมายและให้รายละเอียดเพิ่มเติมเท่านั้น
ไม่ได้ให้ความชัดเจนด้านการนำไปใช้
อาจเป็นเพราะแต่ละองค์กรก็มีลักษณะแตกต่างกัน เช่น
องค์กรของรัฐ องค์กรเอกชน องค์กรขนาดใหญ่ องค์กรขนาดเล็ก
ทำให้การนำการบริหารความเสี่ยงระดับองค์กรตามกรอบของ COSO 2017
ไปใช้ จำเป็นต้องอาศัยทักษะด้านการจัดการเชิงกลยุทธ์
ผมมีคำแนะนำคือ
หากจะนำการบริหารความเสี่ยงระดับองค์กรตามกรอบของ COSO 2017
ไปใช้ ควรอ่านหนังสือชื่อ The Strategy-focused Organization
ที่เขียนโดย Robert S. Kaplan และ David P. Norton
(เป็นหนังสือที่อธิบายการนำ Balanced Scorecard
ไปใช้เพื่อนำกลยุทธ์ไปสู่การปฏิบัติ)
จะทำให้เข้าใจการนำการบริหารความเสี่ยงไปใช้เพื่อสร้างคุณค่าหรือตอบวัตถุประสงค์ได้ดีขึ้นครับ
|
|
|