คอลัมน์ ถนนสู่การลงทุน
ดร.กิตติพันธ์ คงสวัสดิ์เกียรติผู้อำนวยการศูนย์ศึกษาสาทรธานี
ผู้อำนวยการฝ่ายธุรกิจไซเบอร์ (RSU Cyber University)
และผู้จัดการโครงการหลักสูตร MBA มหาวิทยาลัยรังสิต
การบริหารความเสี่ยงโดยองค์รวม (Enterprise Risk Management: ERM) หมายถึง การบริหารปัจจัยและควบคุมกิจกรรมต่าง ๆ ขององค์กร รวมถึงกระบวนการในการปฏิบัติงานด้านต่าง ๆ โดยต้องพยายามที่จะลดสาเหตุของความเสี่ยงในแต่ละโอกาสที่เกิดขึ้นแล้วจะทำให้องค์กรเกิดความเสียหาย การโดยทำให้ระดับความเสี่ยงและขนาดของความเสียหายที่จะเกิดขึ้นทั้งในปัจจุบันและอนาคตให้อยู่ในระดับที่ สามารถยอมรับได้ ประเมินได้ ควบคุมได้ และตรวจสอบได้อย่างมีระบบ โดยคำนึงถึงการบรรลุวัตถุประสงค์ขององค์กรเป็นสำคัญ
กระบวนการในการดำเนินการบริหารจัดการความเสี่ยงตามแนวทางของ COSO ERM สามารถแบ่งออกได้เป็น 8 ขั้นตอน คือ
1. Internal Environment เป็นกระบวนการแรกในขั้นตอนการดำเนินการวิเคราะห์และการดำเนินการป้องกันความเสี่ยง เป็นการระบุถึงปัจจัยแวดล้อมในด้านต่าง ๆ ของบริษัท โดยระบุถึง นโยบายและวิธีการในการดำเนินการป้องกันความเสี่ยง ปรัชญาและปณิธานในการบริหารความเสี่ยงโครงสร้างขององค์กรในเรื่องของกระบวนการในการจัดการความเสี่ยง
2. Objective Setting หรือ การกำหนดวัตถุประสงค์ เป็นขั้นตอนที่สองของกระบวนการในการบริหารความเสี่ยง เพราะเป็นปัจจัยที่ผู้ทำหน้าที่ในการบริหารความเสี่ยงของบริษัท จะต้องทำการกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง โดยกำหนดถึงความต้องการในการบริหารความเสี่ยง และกำหนดเป้าหมายที่ต้องการให้เกิดการบรรลุในการบริหารความเสี่ยง
ตัวอย่างเช่น บริษัทอาจกำหนดวัตถุประสงค์ในการบริหารความเสี่ยงของบริษัท คือ การแก้ไขความเสี่ยงอันจะเกิดขึ้นจาก ความผันผวนของอัตราแลกเปลี่ยน การเปลี่ยนแปลงของราคาวัตถุดิบ การปรับตัวของอัตราดอกเบี้ย ฯลฯ พร้อมทั้งระบุด้วยว่าบริษัทหรือองค์กรต้องการที่จะบริหารความเสี่ยงดังกล่าวนั้นจำนวนเท่าใด พร้อมทั้งกำหนดเป้าหมายที่จะต้องการบรรลุของบริษัท
สิ่งที่สำคัญสำหรับขั้นตอนนี้คือ การกำหนดวัตถุประสงค์ในการบริการความเสี่ยงนี้ ไม่ใช่วัตถุประสงค์ของบริษัทในการดำเนินธุรกิจ
3. Event Identification หรือ การระบุความเสี่ยง เป็นขั้นตอนที่ทำหน้าที่ในการระบุถึงปัจจัยเสี่ยงต่าง ๆ ที่อาจเกิดขึ้นต่อองค์กรหรือบริษัท โดยการระบุถึงปัจจัยเสี่ยงนี้บริษัทอาจทำการระบุปัจจัยเสี่ยงตาม KPI (Key Performance Indicators) ขององค์กร เพื่อทำให้การระบุความเสี่ยงนั้นมีความสะดวกมากขึ้น
ตัวอย่างเช่น องค์กรที่ส่งออกสินค้าไปยังต่างประเทศ จะมีปัจจัยเสี่ยง คือ อัตราแลกเปลี่ยนเงินตราต่างประเทศที่ไม่แน่นอน การขนส่งสินค้าอาจเกิดอัตราย ลูกค้าในต่างประเทศอาจผิดนัดชำระ ฯลฯ ซึ่งปัจจัยเสี่ยงของแต่ละองค์กรก็จะเกิดความแตกต่างกันออกไป ทั้งนี้ขึ้นอยู่กับประเภทขององค์กร และขนาดขององค์กร เพราะประเภทขององค์กรที่แตกต่างกันจะมีความเสี่ยงในลักษณะที่แตกต่างกัน เช่น ธุรกิจผู้ผลิตสินค้า ก็จะมีความเสี่ยงแบบหนึ่ง แต่ถ้าเป็นธุรกิจบริการ รหือธุรกิจซื้อมาขายไป ก็จะมีความเสี่ยงที่แตกต่างกันออกไป
4. Risk Assessment หรือการประเมินความเสี่ยง เป็นขั้นตอนหนึ่งที่สำคัญ เพราะการที่บริษัทหรือองค์กรใด ๆ จะเลือกวิธีใดในการป้องกันความเสี่ยง บริษัทนั้นจะต้องทราบถึงความเสี่ยงที่จะเกิดขึ้นว่าจะมีโอกาสในการเกิดขึ้นมากน้อยเท่าใด เพื่อที่จะได้เลือกใช้เครื่องมือในการป้องกันความเสี่ยงได้อย่างถูกต้อง เพราะวิธีการแต่ละวิธีในการป้องกันความเสี่ยงนั้น มีต้นทุนและวิธีการที่แตกต่างกัน การเลือกวิธีการหรือแนวทางในการป้องกันความเสี่ยงที่ถูกต้องจะทำให้บริษัทเกิดความสมดุลย์มากขึ้น
การประเมินความเสี่ยงขององค์กรว่ามีความรุนแรงมากน้อยเท่าใด และมีความเสี่ยงใดต้องรีบดำเนินการแก้ไข องค์กรจะต้องศึกษาถึงผลกระทบ โดยการศึกษาถึงผลกระทบนั้นเป็นขั้นตอนที่ยากและสำคัญที่สุดของการบริหารความเสี่ยง เพราะบริษัทจะต้องทำการประเมินปัจจัยเสี่ยงทีละปัจจัย ว่าปัจจัยใดจะมีผลกระทบมากน้อยต่อองค์กรเพียงใด ปัจจัยที่มีผลกระทบมากจะได้รับการแก้ไขอย่างเร่งด่วน แต่ปัจจัยที่มีผลกระทบน้อย นั้นก็ไม่สามารถละเลยได้เช่นกัน แต่การศึกษาถึงผลกระทบนี้จะทำให้ธุรกิจทราบว่าแต่ละปัจจัยเสี่ยงจะมีผลกระทบต่อองค์กรร้ายแรงเพียงใด ผู้บริหารจะนำขั้นตอนนี้ไปใช้ในการประกอบการตัดสินใจ เพราะการบริหารความเสี่ยงนั้นบางครั้งมีต้นทุนที่สูง ถ้าหากนำมาใช้กับความเสี่ยงที่มีผลกระทบต่อธุรกิจน้อย อาจเกิดความไม่คุ้มค่ากับการลงมือบริหารความเสี่ยงดังกล่าว
ซึ่งการประเมินถึงโอกาสที่จะเกิดขึ้นของความเสี่ยง และการศึกษาถึงผลกระทบนั้นจะทำให้องค์กรได้ทราบถึงลำดับความสำคัญของความเสี่ยงที่จะเกิดขึ้น ซึ่งอาจศึกษาได้จากตัวอย่างของ Risk Matrix ดังภาพ