ดร.กิตติพันธ์ คงสวัสดิ์เกียรติผู้อำนวยการศูนย์ศึกษาสาทรธานี
ผู้อำนวยการฝ่ายธุรกิจไซเบอร์ (RSU Cyber University)
และผู้จัดการโครงการหลักสูตร MBA มหาวิทยาลัยรังสิต
Risk Management Phase (ตอน 1)
ขั้นตอนในการบริหารจัดการกับความเสี่ยง ซึ่งไม่ว่าจะเป็นแนวทางในการบริหารความเสี่ยงตามหลักการของ COSO: The Committee of Sponsoring Organizations of the Treadway Commission หรือการบริหารจัดการความเสี่ยงตามวิธีการอื่น ๆ ก็จะมีแนววิธีการคล้าย ๆ กัน แต่จำนวนของขั้นตอนในการบริหารความเสี่ยงนั้นจะแตกต่างกันออกไป ซึ่งสามารถสรุปถึงขั้นตอนในการบริหารจัดการความเสี่ยงได้ 4 ขั้นตอน ดังนี้
1. การระบุถึงความเสี่ยงที่อาจจะเกิดขึ้น (Risk Identification)
2. การประเมินถึงความเสี่ยง ทั้งเชิงคุณภาพและเชิงปริมาณ (Quantitative and Qualitative Assessment of the Risks)
3. การจัดระดับความสำคัญของความเสี่ยง และวางแผนแก้ไขและป้องกันความเสี่ยง (Risk Prioritization and Response Planning)
4. การติดตามผลการป้องกันความเสี่ยง (Risk Monitoring)
ในขั้นตอนแรก การระบุถึงความเสี่ยงที่อาจจะเกิดขึ้น (Risk Identification) เป็นการที่ผู้บริหารบริษัทจะต้องทำการระบุถึงความเสี่ยงต่าง ๆ ที่อาจจะเกิดขึ้นกับบริษัท และเกิดผลกระทบต่อวัตถุประสงค์หรือความสำเร็จขององค์กร ซึ่งความเสี่ยงที่อาจจะเกิดขึ้นนั้นอาจมีความรุนแรงได้ตั้งแต่ขนาดเล็ก ๆ สำหรับหน่วยงานของธุรกิจ ในหน่วยต่าง ๆ ไปจนถึงความเสี่ยงที่มีขนาดใหญ่ ซึ่งจะส่งผลกระทบต่อองค์กรโดยรวม
กิจกรรมการระบุถึงความเสี่ยงที่อาจจะเกิดขึ้นนี้ ควรกระทำในทุก ๆ ระดับขององค์กร วิธีการที่ดีที่สุดในการระบุถึงความเสี่ยงนั้นควรเริ่มจาก หน่วยงานที่อยู่สูงสุดในผังขององค์กร หรือฝ่ายบริหาร และกระทำไปจนถึงในระดับการปฏิบัติงาน เพราะในบางครั้งความเสี่ยงอย่างเดียวกันอาจเกิดผลกระทบตั้งแต่ฝ่ายบริหารลงมาถึงฝ่ายปฏิบัติการ เช่น ความเสี่ยงที่บริษัทต้องรับผิดชอบต่อสินค้าและบริการที่ได้จำหน่ายออกไป (Liability Risk) นั้นอาจจะเกิดได้ตั้งแต่ฝ่ายบริหาร คือ ฝ่ายบริหารต้องเผชิญกับความเสียหายถ้าหากลูกค้าเกิดการฟ้องร้องดำเนินคดีกับบริษัท และในฝ่ายปฏิบัติการก็ต้องพึงระวังไม่ให้การผลิตสินค้าเกิดการชำรุดก่อนส่งออกไปจำหน่าย เป็นต้น
กรอบความเสี่ยงของธุรกิจ (Business Risk Model Framework) นั้นจะช่วยให้หน่วยงานทุกระดับภายในบริษัทสามารถระบุถึงความเสี่ยงได้ง่ายขึ้น โดยความเสี่ยงที่อาจจะเกิดขึ้นกับบริษัทนั้นอาจแบ่งได้เป็น 4 ประเภท คือ
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านปฏิบัติการ (Operational Risk)
3. ความเสี่ยงด้านการเงิน (Financial Risk)
4. ความเสี่ยงด้านสารสนเทศ (Information Risk)
ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เป็นความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงานและการนำไปปฏิบัติไม่เหมาะสม หรือไม่สอดคล้องกับปัจจัยต่าง ๆ ซึ่งสามารถแบ่งออกได้เป็น 2 ประเภท คือ ความเสี่ยงจากปัจจัยภายนอก (External Factor Risks) และความเสี่ยงจากปัจจัยภายใน (Internal Factor Risks)
ความเสี่ยงจากปัจจัยภายนอก เป็นความเสี่ยงที่เกิดขึ้นกับธุรกิจจากปัจจัยภายนอก ธุรกิจไม่สามารถควบคุมได้ เช่น ความเสี่ยงอันเนื่องมาจากอุตสาหกรรม (Industry Risk) ความเสี่ยงทางเศรษฐกิจ (Economy Risk) ความเสี่ยงจากคู่แข่งขัน (Competitor Risk) ความเสี่ยงจากการเปลี่ยนแปลงกฎหมาย ระเบียบ ข้อบังคับต่าง ๆ (Legal and Regulatory Change Risk) และ ความเสี่ยงจากความต้องการของลูกค้าเปลี่ยนแปลง (Customer Needs and Wants Risk)
ความเสี่ยงจากปัจจัยภายใน เป็นความเสี่ยงที่เกิดขึ้นจากภายในธุรกิจเอง เช่น ความเสี่ยงเกี่ยวกับชื่อเสียงของบริษัท (Reputation Risk) ความเสี่ยงจากการดำเนินกลยุทธ์ผิดพลาด (Strategy Risk) ความเสี่ยงจากการช่วยเหลือของบริษัทแม่ (Parent Company Support Risk) และความเสี่ยงจากการป้องกันสิทธิบัตร และลิขสิทธิ์ (Patent Trademark Protection Risk)
ความเสี่ยงด้านปฏิบัติการ (Operational Risk) เป็นความเสี่ยงที่ทุกธุรกิจจะต้องเผชิญอย่างหลีกเลี่ยงไม่ได้ เพราะเป็นความเสี่ยงที่เกิดขึ้นในการดำเนินงานของธุรกิจตามปกติ แต่ธุรกิจจะต้องหาวิธีการในการจัดการป้องกันไม่ให้ความเสี่ยงเหล่านี้เกิดขึ้น ถ้าหากธุรกิจปล่อยให้มีความเสี่ยงในด้านปฏิบัติการเกิดขึ้นมาก ผลการดำเนินงานของธุรกิจอาจไม่เป็นไปตามที่คาดการณ์ไว้ ซึ่งจะส่งผลให้ผลตอบแทนของผู้ถือหุ้นของบริษัทลดลงด้วย
ความเสี่ยงด้านการปฏิบัติการนี้ ประกอบด้วยความเสี่ยง 3 ประเภท คือ ความเสี่ยงในกระบวนการปฏิบัติงาน (Process Risk) ความเสี่ยงในการถูกดำเนินคดีตามกฎหมาย (Legal & Compliance Risk) และความเสี่ยงจากบุคลากร (People Risk)
ผู้อำนวยการฝ่ายธุรกิจไซเบอร์ (RSU Cyber University)
และผู้จัดการโครงการหลักสูตร MBA มหาวิทยาลัยรังสิต
Risk Management Phase (ตอน 1)
ขั้นตอนในการบริหารจัดการกับความเสี่ยง ซึ่งไม่ว่าจะเป็นแนวทางในการบริหารความเสี่ยงตามหลักการของ COSO: The Committee of Sponsoring Organizations of the Treadway Commission หรือการบริหารจัดการความเสี่ยงตามวิธีการอื่น ๆ ก็จะมีแนววิธีการคล้าย ๆ กัน แต่จำนวนของขั้นตอนในการบริหารความเสี่ยงนั้นจะแตกต่างกันออกไป ซึ่งสามารถสรุปถึงขั้นตอนในการบริหารจัดการความเสี่ยงได้ 4 ขั้นตอน ดังนี้
1. การระบุถึงความเสี่ยงที่อาจจะเกิดขึ้น (Risk Identification)
2. การประเมินถึงความเสี่ยง ทั้งเชิงคุณภาพและเชิงปริมาณ (Quantitative and Qualitative Assessment of the Risks)
3. การจัดระดับความสำคัญของความเสี่ยง และวางแผนแก้ไขและป้องกันความเสี่ยง (Risk Prioritization and Response Planning)
4. การติดตามผลการป้องกันความเสี่ยง (Risk Monitoring)
ในขั้นตอนแรก การระบุถึงความเสี่ยงที่อาจจะเกิดขึ้น (Risk Identification) เป็นการที่ผู้บริหารบริษัทจะต้องทำการระบุถึงความเสี่ยงต่าง ๆ ที่อาจจะเกิดขึ้นกับบริษัท และเกิดผลกระทบต่อวัตถุประสงค์หรือความสำเร็จขององค์กร ซึ่งความเสี่ยงที่อาจจะเกิดขึ้นนั้นอาจมีความรุนแรงได้ตั้งแต่ขนาดเล็ก ๆ สำหรับหน่วยงานของธุรกิจ ในหน่วยต่าง ๆ ไปจนถึงความเสี่ยงที่มีขนาดใหญ่ ซึ่งจะส่งผลกระทบต่อองค์กรโดยรวม
กิจกรรมการระบุถึงความเสี่ยงที่อาจจะเกิดขึ้นนี้ ควรกระทำในทุก ๆ ระดับขององค์กร วิธีการที่ดีที่สุดในการระบุถึงความเสี่ยงนั้นควรเริ่มจาก หน่วยงานที่อยู่สูงสุดในผังขององค์กร หรือฝ่ายบริหาร และกระทำไปจนถึงในระดับการปฏิบัติงาน เพราะในบางครั้งความเสี่ยงอย่างเดียวกันอาจเกิดผลกระทบตั้งแต่ฝ่ายบริหารลงมาถึงฝ่ายปฏิบัติการ เช่น ความเสี่ยงที่บริษัทต้องรับผิดชอบต่อสินค้าและบริการที่ได้จำหน่ายออกไป (Liability Risk) นั้นอาจจะเกิดได้ตั้งแต่ฝ่ายบริหาร คือ ฝ่ายบริหารต้องเผชิญกับความเสียหายถ้าหากลูกค้าเกิดการฟ้องร้องดำเนินคดีกับบริษัท และในฝ่ายปฏิบัติการก็ต้องพึงระวังไม่ให้การผลิตสินค้าเกิดการชำรุดก่อนส่งออกไปจำหน่าย เป็นต้น
กรอบความเสี่ยงของธุรกิจ (Business Risk Model Framework) นั้นจะช่วยให้หน่วยงานทุกระดับภายในบริษัทสามารถระบุถึงความเสี่ยงได้ง่ายขึ้น โดยความเสี่ยงที่อาจจะเกิดขึ้นกับบริษัทนั้นอาจแบ่งได้เป็น 4 ประเภท คือ
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านปฏิบัติการ (Operational Risk)
3. ความเสี่ยงด้านการเงิน (Financial Risk)
4. ความเสี่ยงด้านสารสนเทศ (Information Risk)
ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เป็นความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงานและการนำไปปฏิบัติไม่เหมาะสม หรือไม่สอดคล้องกับปัจจัยต่าง ๆ ซึ่งสามารถแบ่งออกได้เป็น 2 ประเภท คือ ความเสี่ยงจากปัจจัยภายนอก (External Factor Risks) และความเสี่ยงจากปัจจัยภายใน (Internal Factor Risks)
ความเสี่ยงจากปัจจัยภายนอก เป็นความเสี่ยงที่เกิดขึ้นกับธุรกิจจากปัจจัยภายนอก ธุรกิจไม่สามารถควบคุมได้ เช่น ความเสี่ยงอันเนื่องมาจากอุตสาหกรรม (Industry Risk) ความเสี่ยงทางเศรษฐกิจ (Economy Risk) ความเสี่ยงจากคู่แข่งขัน (Competitor Risk) ความเสี่ยงจากการเปลี่ยนแปลงกฎหมาย ระเบียบ ข้อบังคับต่าง ๆ (Legal and Regulatory Change Risk) และ ความเสี่ยงจากความต้องการของลูกค้าเปลี่ยนแปลง (Customer Needs and Wants Risk)
ความเสี่ยงจากปัจจัยภายใน เป็นความเสี่ยงที่เกิดขึ้นจากภายในธุรกิจเอง เช่น ความเสี่ยงเกี่ยวกับชื่อเสียงของบริษัท (Reputation Risk) ความเสี่ยงจากการดำเนินกลยุทธ์ผิดพลาด (Strategy Risk) ความเสี่ยงจากการช่วยเหลือของบริษัทแม่ (Parent Company Support Risk) และความเสี่ยงจากการป้องกันสิทธิบัตร และลิขสิทธิ์ (Patent Trademark Protection Risk)
ความเสี่ยงด้านปฏิบัติการ (Operational Risk) เป็นความเสี่ยงที่ทุกธุรกิจจะต้องเผชิญอย่างหลีกเลี่ยงไม่ได้ เพราะเป็นความเสี่ยงที่เกิดขึ้นในการดำเนินงานของธุรกิจตามปกติ แต่ธุรกิจจะต้องหาวิธีการในการจัดการป้องกันไม่ให้ความเสี่ยงเหล่านี้เกิดขึ้น ถ้าหากธุรกิจปล่อยให้มีความเสี่ยงในด้านปฏิบัติการเกิดขึ้นมาก ผลการดำเนินงานของธุรกิจอาจไม่เป็นไปตามที่คาดการณ์ไว้ ซึ่งจะส่งผลให้ผลตอบแทนของผู้ถือหุ้นของบริษัทลดลงด้วย
ความเสี่ยงด้านการปฏิบัติการนี้ ประกอบด้วยความเสี่ยง 3 ประเภท คือ ความเสี่ยงในกระบวนการปฏิบัติงาน (Process Risk) ความเสี่ยงในการถูกดำเนินคดีตามกฎหมาย (Legal & Compliance Risk) และความเสี่ยงจากบุคลากร (People Risk)
