คอลัมน์ ถนนสู่การลงทุน
ดร.กิตติพันธ์ คงสวัสดิ์เกียรติผู้อำนวยการศูนย์ศึกษาสาทรธานี
ผู้อำนวยการฝ่ายธุรกิจไซเบอร์ (RSU Cyber University)
และผู้จัดการโครงการหลักสูตร MBA มหาวิทยาลัยรังสิต
การกำหนดสภาพแวดล้อมทั่วไป (Internal Environment) เป็นขั้นตอนแรกของกระบวนการในการจัดการกับความเสี่ยง เป็นการเตรียมการเพื่อตรวจสอบดูว่า องค์กรที่จะมีการบริหารความเสี่ยงนั้นมีความพร้อมมากน้อยเพียงใด มีการเตรียมการในการจัดการกับความเสี่ยงอยู่ในระดับใด เป็นต้น
การกำหนดวัตถุประสงค์ (Objective Setting) เป็นปัจจัยที่ผู้ทำหน้าที่ในการบริหารความเสี่ยงหรือบริษัท จะต้องทำการกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง โดยกำหนดถึงความต้องการในการบริหารความเสี่ยง และกำหนดเป้าหมายที่ต้องการให้เกิดการบรรลุในการบริหารความเสี่ยง เช่น บริษัทอาจกำหนดวัตถุประสงค์ในการบริหารความเสี่ยงของบริษัท คือ การแก้ไขความเสี่ยงอันจะเกิดขึ้นจากอัตราแลกเปลี่ยน การเปลี่ยนแปลงของราคาวัตถุดิบ อัตราดอกเบี้ย ฯลฯ และระบุด้วยว่าต้องการที่จะบริหารความเสี่ยงดังกล่าวนั้นจำนวนเท่าใด พร้อมทั้งกำหนดเป้าหมายที่จะต้องการบรรลุของบริษัท
การระบุความเสี่ยง (Risk Identification) เป็นขั้นตอนที่ทำหน้าที่ในการระบุถึงปัจจัยเสี่ยงต่าง ๆ ที่อาจเกิดขึ้นต่อองค์กรหรือบริษัท เช่น องค์กรที่ส่งออกสินค้าไปยังต่างประเทศ จะมีปัจจัยเสี่ยง คือ อัตราแลกเปลี่ยนเงินตราต่างประเทศที่ไม่แน่นอน การขนส่งสินค้าอาจเกิดอัตราย ลูกค้าในต่างประเทศอาจผิดนัดชำระ ฯลฯ ซึ่งปัจจัยเสี่ยงของแต่ละองค์กรก็จะเกิดความแตกต่างกันออกไป ทั้งนี้ขึ้นอยู่กับประเภทขององค์กร และขนาดขององค์กร เพราะประเภทขององค์กรที่แตกต่างกันจะมีความเสี่ยงในลักษณะที่แตกต่างกัน เช่น ธุรกิจผู้ผลิตสินค้า ก็จะมีความเสี่ยงแบบหนึ่ง แต่ถ้าเป็นธุรกิจบริการ รหือธุรกิจซื้อมาขายไป ก็จะมีความเสี่ยงที่แตกต่างกันออกไป
การประเมินความเสี่ยง (Risk Assessment) ในขั้นตอนนี้เป็นอีกขึ้นตอนหนึ่งที่สำคัญ เพราะการที่บริษัทหรือองค์กรใด ๆ จะเลือกวิธีใดในการป้องกันความเสี่ยง บริษัทนั้นจะต้องทราบถึงความเสี่ยงที่จะเกิดขึ้นว่าจะมีโอกาสในการเกิดขึ้นเท่าใด เพื่อที่จะได้เลือกใช้เครื่องมือในการป้องกันความเสี่ยงได้ถูกต้อง เพราะวิธีการแต่ละวิธีในการป้องกันความเสี่ยงนั้น มีต้นทุนและวิธีการที่แตกต่างกัน การเลือกวิธีการหรือแนวทางในการป้องกันความเสี่ยงที่ถูกต้องจะทำให้บริษัทเกิดความสมดุลย์
การตอบสนองต่อความเสี่ยง (Risk Response) หลังจากที่บริษัททำการประเมินปัจจัยเสี่ยงทีละปัจจัย ว่าปัจจัยใดจะมีผลกระทบมากน้อยต่อองค์กรเพียงใด ปัจจัยที่มีผลกระทบมากจะได้รับการแก้ไขอย่างเร่งด่วน แต่ปัจจัยที่มีผลกระทบน้อย นั้นก็ไม่สามารถละเลยได้เช่นกัน แต่การศึกษาถึงผลกระทบนี้จะทำให้ธุรกิจทราบว่าแต่ละปัจจัยเสี่ยงจะมีผลกระทบต่อองค์กรร้ายแรงเพียงใด ผู้บริหารจะนำขั้นตอนนี้ไปใช้ในการประกอบการตัดสินใจ เพราะการบริหารความเสี่ยงนั้นบางครั้งมีต้นทุนที่สูง ถ้าหากนำมาใช้กับความเสี่ยงที่มีผลกระทบต่อธุรกิจน้อย อาจเกิดความไม่คุ้มค่ากับการลงมือบริหารความเสี่ยงดังกล่าว ดังนั้นการตอบสนองต่อความเสี่ยงจึงจำเป็นจะต้องมีวิธีการในการจตอบสนองต่อความเสี่ยง โดยการตอบสนองต่อความเสี่ยงนั้นอาจมีวิธีการได้หลากหลยวิธี เช่น การจัดการความเสี่ยงตามแนวทางของ 4 T’s คือ
Take เป็นการยอมรับความเสี่ยงที่จะเกิดขึ้นต่อองค์กร เพราะความเสี่ยงเหล่านี้อาจจะมีโอกาสในการเกิดขึ้นน้อย และหากเกิดความเสี่ยงเหล่านี้แล้ว ก็อาจจะมีผลกระทบต่อองค์กรไม่มากนัก ทำให้การบริหารจัดการความเสี่ยงเหล่านี้อาจมีต้นทุนในการจัดการสูงกว่าความเสียหายที่จะเกิดขึ้น ซึ่งทำให้การบริหารจัดการความเสี่ยงนั้นไม่เกิดความคุ้มค่า
Treat เป็นการแก้ไขความเสี่ยงที่เกิดขึ้น โดยองค์กรจะต้องเลือกเอาวิธีการที่เหมาะสมที่สุดเข้ามาช่วยในการบรรเทา หรือลดทอนความเสี่ยงที่คาดว่าจะเกิดขึ้น เช่น การใช้เครื่องมือทางการเงิน ตราสารอนุพันธ์ เป็นต้น
Transfer เป็นการถ่ายโอนความเสี่ยงไปยังบุคคลที่สาม ซึ่งอาจเป็นบริษัทร่วมค้า บริษัทประกันภัยต่าง ๆ เพื่อเป็นการลดทอนความเสี่ยงขององค์กร
Terminate เป็นการยุติการดำเนินกิจกรรมนั้น ๆ ขององค์กร ด้วยกิจกรรมเหล่านั้นอาจเป็นกิจกรรมที่มีความเสี่ยงสูงมาก หากยังคงดำเนินกิจกรรมนั้นต่อไป องค์กรอาจได้รับผลเสียมากกว่าผลดี
กิจกรรมควบคุม (Control Activities) เป็นขั้นตอนของการวางแผนในการบริหารความเสี่ยง และการลงมือปฏิบัติในการบริหารความเสี่ยงอย่างแท้จริง เพื่อการบริหารความเสี่ยงอย่างเป็นขั้นตอน ธุรกิจจะต้องมีการวางแผนการบริหารความเสี่ยงอย่างเป็นระบบ โดยมีการกำหนดถึงแผนการบริหารความเสี่ยงอย่างเป็นขั้นตอน ว่าความเสี่ยงใดจะต้องทำการบริหารก่อนหลัง แต่การบริหารความเสี่ยงนั้นจะไม่สามารถกระทำแต่เพียงอย่างเดียวโดยลำพัง หรือการบริหารความเสี่ยงนั้นไม่สามารถมองปัญหาเพียงแต่ปัญหาเดียวได้ (Silo View) การบริหารความเสี่ยงจะต้องมองภาพรวมขององค์กร และลงมือแก้ไขอย่างพร้อมเพียงกัน แต่อาจกำหนดเป็นขั้นตอนก่อนหลังได้
การรายงานและติดตามผล (Information & Communication) เป็นการสื่อสารให้บุคลากรในองค์กรได้รับทราบถึงแนวทางในการปฏิบัติงาน และการตอบสนองต่อความเสี่ยง รวมถึงศึกษาถึงผลที่เกิดขึ้นจากการแก้ไขและป้องกันความเสี่ยงต่าง ๆ ที่เกิดขึ้นในองค์กร ว่าประสบความสำเร็จในการป้องกันความเสี่ยงเพียงใด และการป้องกันความเสี่ยงนั้นเป็นไปตามแผนหรือไม่
ขั้นตอนสุดท้าย การประเมินผลแผนการบริหารความเสี่ยง และแก้ไขแผนในการป้องกันความเสี่ยง (Monitoring) เป็นขั้นตอนที่ต่อเนื่องจากการรายงานและติดตามผล ว่าแผนที่ได้วางไว้นั้นเป็นไปตามขั้นตอน และประสบความสำเร็จหรือไม่ ถ้าหากการปฏิบัติไม่เป็นไปตามแผนในการป้องกันความเสี่ยง ก็จะต้องมีการปรับแผนใหม่ เพื่อให้รองรับได้กับสถานการณ์จริง โดยการติดตามผลการบริหารความเสี่ยงนั้นอาจทำเป็นรายเดือน รายไตรมาส หรือรายปีก็ได้
ดร.กิตติพันธ์ คงสวัสดิ์เกียรติผู้อำนวยการศูนย์ศึกษาสาทรธานี
ผู้อำนวยการฝ่ายธุรกิจไซเบอร์ (RSU Cyber University)
และผู้จัดการโครงการหลักสูตร MBA มหาวิทยาลัยรังสิต
การกำหนดสภาพแวดล้อมทั่วไป (Internal Environment) เป็นขั้นตอนแรกของกระบวนการในการจัดการกับความเสี่ยง เป็นการเตรียมการเพื่อตรวจสอบดูว่า องค์กรที่จะมีการบริหารความเสี่ยงนั้นมีความพร้อมมากน้อยเพียงใด มีการเตรียมการในการจัดการกับความเสี่ยงอยู่ในระดับใด เป็นต้น
การกำหนดวัตถุประสงค์ (Objective Setting) เป็นปัจจัยที่ผู้ทำหน้าที่ในการบริหารความเสี่ยงหรือบริษัท จะต้องทำการกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง โดยกำหนดถึงความต้องการในการบริหารความเสี่ยง และกำหนดเป้าหมายที่ต้องการให้เกิดการบรรลุในการบริหารความเสี่ยง เช่น บริษัทอาจกำหนดวัตถุประสงค์ในการบริหารความเสี่ยงของบริษัท คือ การแก้ไขความเสี่ยงอันจะเกิดขึ้นจากอัตราแลกเปลี่ยน การเปลี่ยนแปลงของราคาวัตถุดิบ อัตราดอกเบี้ย ฯลฯ และระบุด้วยว่าต้องการที่จะบริหารความเสี่ยงดังกล่าวนั้นจำนวนเท่าใด พร้อมทั้งกำหนดเป้าหมายที่จะต้องการบรรลุของบริษัท
การระบุความเสี่ยง (Risk Identification) เป็นขั้นตอนที่ทำหน้าที่ในการระบุถึงปัจจัยเสี่ยงต่าง ๆ ที่อาจเกิดขึ้นต่อองค์กรหรือบริษัท เช่น องค์กรที่ส่งออกสินค้าไปยังต่างประเทศ จะมีปัจจัยเสี่ยง คือ อัตราแลกเปลี่ยนเงินตราต่างประเทศที่ไม่แน่นอน การขนส่งสินค้าอาจเกิดอัตราย ลูกค้าในต่างประเทศอาจผิดนัดชำระ ฯลฯ ซึ่งปัจจัยเสี่ยงของแต่ละองค์กรก็จะเกิดความแตกต่างกันออกไป ทั้งนี้ขึ้นอยู่กับประเภทขององค์กร และขนาดขององค์กร เพราะประเภทขององค์กรที่แตกต่างกันจะมีความเสี่ยงในลักษณะที่แตกต่างกัน เช่น ธุรกิจผู้ผลิตสินค้า ก็จะมีความเสี่ยงแบบหนึ่ง แต่ถ้าเป็นธุรกิจบริการ รหือธุรกิจซื้อมาขายไป ก็จะมีความเสี่ยงที่แตกต่างกันออกไป
การประเมินความเสี่ยง (Risk Assessment) ในขั้นตอนนี้เป็นอีกขึ้นตอนหนึ่งที่สำคัญ เพราะการที่บริษัทหรือองค์กรใด ๆ จะเลือกวิธีใดในการป้องกันความเสี่ยง บริษัทนั้นจะต้องทราบถึงความเสี่ยงที่จะเกิดขึ้นว่าจะมีโอกาสในการเกิดขึ้นเท่าใด เพื่อที่จะได้เลือกใช้เครื่องมือในการป้องกันความเสี่ยงได้ถูกต้อง เพราะวิธีการแต่ละวิธีในการป้องกันความเสี่ยงนั้น มีต้นทุนและวิธีการที่แตกต่างกัน การเลือกวิธีการหรือแนวทางในการป้องกันความเสี่ยงที่ถูกต้องจะทำให้บริษัทเกิดความสมดุลย์
การตอบสนองต่อความเสี่ยง (Risk Response) หลังจากที่บริษัททำการประเมินปัจจัยเสี่ยงทีละปัจจัย ว่าปัจจัยใดจะมีผลกระทบมากน้อยต่อองค์กรเพียงใด ปัจจัยที่มีผลกระทบมากจะได้รับการแก้ไขอย่างเร่งด่วน แต่ปัจจัยที่มีผลกระทบน้อย นั้นก็ไม่สามารถละเลยได้เช่นกัน แต่การศึกษาถึงผลกระทบนี้จะทำให้ธุรกิจทราบว่าแต่ละปัจจัยเสี่ยงจะมีผลกระทบต่อองค์กรร้ายแรงเพียงใด ผู้บริหารจะนำขั้นตอนนี้ไปใช้ในการประกอบการตัดสินใจ เพราะการบริหารความเสี่ยงนั้นบางครั้งมีต้นทุนที่สูง ถ้าหากนำมาใช้กับความเสี่ยงที่มีผลกระทบต่อธุรกิจน้อย อาจเกิดความไม่คุ้มค่ากับการลงมือบริหารความเสี่ยงดังกล่าว ดังนั้นการตอบสนองต่อความเสี่ยงจึงจำเป็นจะต้องมีวิธีการในการจตอบสนองต่อความเสี่ยง โดยการตอบสนองต่อความเสี่ยงนั้นอาจมีวิธีการได้หลากหลยวิธี เช่น การจัดการความเสี่ยงตามแนวทางของ 4 T’s คือ
Take เป็นการยอมรับความเสี่ยงที่จะเกิดขึ้นต่อองค์กร เพราะความเสี่ยงเหล่านี้อาจจะมีโอกาสในการเกิดขึ้นน้อย และหากเกิดความเสี่ยงเหล่านี้แล้ว ก็อาจจะมีผลกระทบต่อองค์กรไม่มากนัก ทำให้การบริหารจัดการความเสี่ยงเหล่านี้อาจมีต้นทุนในการจัดการสูงกว่าความเสียหายที่จะเกิดขึ้น ซึ่งทำให้การบริหารจัดการความเสี่ยงนั้นไม่เกิดความคุ้มค่า
Treat เป็นการแก้ไขความเสี่ยงที่เกิดขึ้น โดยองค์กรจะต้องเลือกเอาวิธีการที่เหมาะสมที่สุดเข้ามาช่วยในการบรรเทา หรือลดทอนความเสี่ยงที่คาดว่าจะเกิดขึ้น เช่น การใช้เครื่องมือทางการเงิน ตราสารอนุพันธ์ เป็นต้น
Transfer เป็นการถ่ายโอนความเสี่ยงไปยังบุคคลที่สาม ซึ่งอาจเป็นบริษัทร่วมค้า บริษัทประกันภัยต่าง ๆ เพื่อเป็นการลดทอนความเสี่ยงขององค์กร
Terminate เป็นการยุติการดำเนินกิจกรรมนั้น ๆ ขององค์กร ด้วยกิจกรรมเหล่านั้นอาจเป็นกิจกรรมที่มีความเสี่ยงสูงมาก หากยังคงดำเนินกิจกรรมนั้นต่อไป องค์กรอาจได้รับผลเสียมากกว่าผลดี
กิจกรรมควบคุม (Control Activities) เป็นขั้นตอนของการวางแผนในการบริหารความเสี่ยง และการลงมือปฏิบัติในการบริหารความเสี่ยงอย่างแท้จริง เพื่อการบริหารความเสี่ยงอย่างเป็นขั้นตอน ธุรกิจจะต้องมีการวางแผนการบริหารความเสี่ยงอย่างเป็นระบบ โดยมีการกำหนดถึงแผนการบริหารความเสี่ยงอย่างเป็นขั้นตอน ว่าความเสี่ยงใดจะต้องทำการบริหารก่อนหลัง แต่การบริหารความเสี่ยงนั้นจะไม่สามารถกระทำแต่เพียงอย่างเดียวโดยลำพัง หรือการบริหารความเสี่ยงนั้นไม่สามารถมองปัญหาเพียงแต่ปัญหาเดียวได้ (Silo View) การบริหารความเสี่ยงจะต้องมองภาพรวมขององค์กร และลงมือแก้ไขอย่างพร้อมเพียงกัน แต่อาจกำหนดเป็นขั้นตอนก่อนหลังได้
การรายงานและติดตามผล (Information & Communication) เป็นการสื่อสารให้บุคลากรในองค์กรได้รับทราบถึงแนวทางในการปฏิบัติงาน และการตอบสนองต่อความเสี่ยง รวมถึงศึกษาถึงผลที่เกิดขึ้นจากการแก้ไขและป้องกันความเสี่ยงต่าง ๆ ที่เกิดขึ้นในองค์กร ว่าประสบความสำเร็จในการป้องกันความเสี่ยงเพียงใด และการป้องกันความเสี่ยงนั้นเป็นไปตามแผนหรือไม่
ขั้นตอนสุดท้าย การประเมินผลแผนการบริหารความเสี่ยง และแก้ไขแผนในการป้องกันความเสี่ยง (Monitoring) เป็นขั้นตอนที่ต่อเนื่องจากการรายงานและติดตามผล ว่าแผนที่ได้วางไว้นั้นเป็นไปตามขั้นตอน และประสบความสำเร็จหรือไม่ ถ้าหากการปฏิบัติไม่เป็นไปตามแผนในการป้องกันความเสี่ยง ก็จะต้องมีการปรับแผนใหม่ เพื่อให้รองรับได้กับสถานการณ์จริง โดยการติดตามผลการบริหารความเสี่ยงนั้นอาจทำเป็นรายเดือน รายไตรมาส หรือรายปีก็ได้