“การบริหารจัดการความเสี่ยง” หมายความว่า กระบวนการบริหารจัดการเหตุการณ์ที่อาจเกิดขึ้น และส่งผลกระทบต่อ อพวช. เพื่อให้ อพวช. สามารถดำเนินงานให้บรรลุวัตถุประสงค์ รวมถึงเพื่อเพิ่มศักยภาพ และขีดความสามารถของ อพวช.
“ความเสี่ยง” หมายความว่า ความเป็นไปได้ของเหตุการณ์ที่อาจเกิดขึ้น และเป็นอุปสรรคต่อการบรรลุวัตถุประสงค์ของ อพวช.
“การควบคุมภายใน” หมายความว่า กระบวนการปฏิบัติงานที่ผู้กำกับดูแล หัวหน้า หน่วยงาน ฝ่ายบริหาร และบุคลากรของ อพวช. จัดให้มีขึ้น เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่าการดำเนินงานของ อพวช. จะบรรลุวัตถุประสงค์ของการควบคุมด้านการดำเนินงาน ด้านการรายงาน และด้านการปฏิบัติตามกฎหมาย ระเบียบ และข้อบังคับ
“กฎบัตร” หมายความว่า กฎบัตรของคณะอนุกรรมการบริหารความเสี่ยงและควบคุมภายใน อพวช.
“คณะอนุกรรมการ” หมายความว่า คณะอนุกรรมการบริหารความเสี่ยงและควบคุมภายใน อพวช.
ความเสี่ยงจำแนกได้เป็น 4 ลักษณะ ดังนี้1) | ความเสี่ยงทางด้านกลยุทธ์ (Strategic Risk : SR) |
2) | ความเสี่ยงทางด้านการเงิน (Financial Risk : FR) |
3) | ความเสี่ยงทางด้านการปฏิบัติงาน (Operational Risk : OR) |
4) | ความเสี่ยงทางด้านกฎหมาย และข้อกำหนดผูกพันองค์กร (Compliance Risk : CR) |
ปัจจัยความเสี่ยง (Risk Factor) ต้นเหตุ หรือสาเหตุที่มาของความเสี่ยง ที่จะทำให้ไม่บรรลุวัตถุประสงค์ที่กำหนดไว้ โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใดและจะเกิดขึ้นได้อย่างไรและทำไม ทั้งนี้สาเหตุของความเสี่ยงที่ระบุควรเป็นสาเหตุที่แท้จริง เพื่อจะได้วิเคราะห์และกำหนดมาตรการความเสี่ยง ในภายหลังได้อย่างถูกต้อง
ปัจจัยความเสี่ยงพิจารณาได้จาก
1) | ปัจจัยภายนอก เช่น เศรษฐกิจ สังคม การเมือง กฎหมาย ฯลฯ |
2) | ปัจจัยภายใน เช่น กฎระเบียบ ข้อบังคับภายในองค์กร ประสบการณ์ของเจ้าหน้าที่ ระบบการทำงาน ฯลฯ |
การประเมินความเสี่ยง (Risk Assessment) กระบวนการระบุความเสี่ยง การวิเคราะห์ความเสี่ยงและจัดลำดับความเสี่ยง โดยการประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact)
1) | โอกาสที่จะเกิด (Likelihood) หมายถึง ความถี่หรือโอกาสที่จะเกิดเหตุการณ์ ความเสี่ยง |
2) | ผลกระทบ (Impact) หมายถึง ขนาดความรุนแรงของความเสียหายที่จะเกิดขึ้นหากเกิด เหตุการณ์ความเสี่ยง |
3) | ระดับของความเสี่ยง (Degree of Risk) หมายถึง สถานะของความเสี่ยงที่ได้จากประเมินโอกาสและผลกระทบของแต่ละปัจจัยเสี่ยงแบ่งเป็น 5 ระดับ คือ สูงมาก สูง ปานกลาง น้อย และน้อยมาก |
การบริหารความเสี่ยง (Risk Management) กระบวนการที่ใช้ในการบริหารจัดการให้โอกาสที่จะเกิดเหตุการณ์ความเสี่ยงลดลงหรือผลกระทบของความเสียหายจากเหตุการณ์ความเสี่ยงลดลงอยู่ในระดับที่องค์กรยอมรับได้ ซึ่งการจัดการความเสี่ยงมีหลายวิธีดังนี้
1) | การยอมรับความเสี่ยง (Risk Acceptance) เป็นการยอมรับความเสี่ยงที่เกิดขึ้น เนื่องจากไม่คุ้มค่า ในการจัดการควบคุมหรือป้องกันความเสี่ยง |
2) | การลด/การควบคุมความเสี่ยง (Risk Reduction) เป็นการปรับปรุงระบบการทำงานหรือการออกแบบวิธีการทำงานใหม่เพื่อลดโอกาสที่จะเกิด หรือลดผลกระทบให้อยู่ในระดับที่องค์กรยอมรับได้ |
3) | การกระจายความเสี่ยง หรือการโอนความเสี่ยง (Risk Sharing) เป็นการกระจายหรือถ่ายโอนความเสี่ยงให้ผู้อื่นช่วยแบ่งความรับผิดชอบไป |
4) | เลี่ยงความเสี่ยง (Risk Avoidance) เป็นการจัดการความเสี่ยงที่อยู่ในระดับสูงมากและหน่วยงานไม่อาจยอมรับได้ จึงต้องตัดสินใจยกเลิกโครงการ/กิจกรรมนั้น |
การควบคุม (Control) นโยบาย แนวทาง หรือขั้นตอนปฏิบัติต่าง ๆ ซึ่งกระทำเพื่อลดความเสี่ยง และทำให้การดำเนินบรรลุวัตถุประสงค์ แบ่งได้ 4 ประเภท คือ
1) | การควบคุมเพื่อการป้องกัน (Preventive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อป้องกันไม่ให้เกิดความเสี่ยง และข้อผิดพลาดตั้งแต่แรก |
2) | การควบคุมเพื่อให้ตรวจพบ (Detective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อค้นพบข้อผิดพลาดที่เกิดขึ้นแล้ว |
3) | การควบคุมโดยการชี้แนะ (Directive Control) เป็นวิธีการควบคุมที่ส่งเสริมหรือกระตุ้นให้เกิดความสำเร็จตามวัตถุประสงค์ที่ต้องการ |
4) | การควบคุมเพื่อการแก้ไข (Corrective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้องหรือเพื่อหาวิธีการแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต |
FEMA รายงานว่า 40-60% ของธุรกิจขนาดเล็กถูกปิดตัวหลังเกิดภัยธรรมชาติ การสำรวจดัชนี Cyberthreat ของ AppRiver รายงานว่า 48% ของธุรกิจขนาดเล็กถึงขนาดกลางกล่าวว่าการละเมิดข้อมูลครั้งใหญ่มีแนวโน้มที่จะปิดธุรกิจของพวกเขาอย่างถาวร
แต่หากคุณเตรียมพร้อมสำหรับแผนการจัดการความเสี่ยงได้อย่างดีเยี่ยม จะสามารถช่วยให้ธุรกิจของคุณลดและวางแผนสำหรับความเสี่ยงดังกล่าวได้
การจัดการความเสี่ยง อาจมีความซับซ้อนอย่างมาก เช่น การคำนวณผลกระทบขั้นสูงและการวิเคราะห์สาเหตุเชิงลึก หากคุณมีธุรกิจขนาดใหญ่อยู่ในอุตสาหกรรมที่มีความเสี่ยงสูง
เช่น เรื่องการเงิน หรือเป็นบริษัทที่ถือหุ้นสาธารณะ คุณอาจต้องการโซลูชันซอฟต์แวร์ เพื่อจัดการกลยุทธ์การจัดการความเสี่ยงที่ครบถ้วน
- การบริหารความเสี่ยงคืออะไร
- กระบวนการบริหารความเสี่ยง
- ขั้นตอนที่ 1: การระบุความเสี่ยง (Identification)
- ขั้นตอนที่ 2: การประเมินความเสี่ยง (Risk Assessment)
- ขั้นตอนที่ 3: การลดความเสี่ยง (Risk Mitigation)
- ขั้นตอนที่ 4: การตรวจสอบความเสี่ยง (Risk Monitoring)
- ขั้นตอนที่ 5: การรายงานความเสี่ยง (Risk Reporting)
การบริหารความเสี่ยงคืออะไร
การบริหารความเสี่ยงคือ การระบุ, ประเมิน, วางแผน และตอบสนองต่อภัยคุกคามต่อธุรกิจของคุณ เป้าหมายคือ การเตรียมพร้อมสำหรับสิ่งที่อาจเกิดขึ้นและมีแผนในการตอบสนองอย่างเหมาะสม
กระบวนการบริหารความเสี่ยง
ขั้นตอนที่ 1: การระบุความเสี่ยง (Identification)
ในการเริ่มต้นกระบวนการนี้ ให้ระบุเหตุการณ์ที่อาจส่งผลเสียต่อธุรกิจของคุณ คาดว่าจะเพิ่มความเสี่ยงให้กับรายการของคุณในช่วงหลายวันหรืออาจถึงสองสามสัปดาห์ และรู้ว่า คุณจะไม่คิดถึงความเสี่ยงที่เป็นไปได้ทั้งหมด และอย่าลืมขอให้ผู้นำในแผนกอื่นระบุความเสี่ยงด้วย
คำถามที่ควรถามตัวเองเพื่อช่วยระบุความเสี่ยงมีดังนี้
- มีกฎหมายใหม่หรืออัพเดทกฎหมายล่าสุดที่เราต้องเตรียมจัดการหรือไม่?
- ความเสี่ยงนี้มีผลกระทบต่อส่วนอื่นๆของธุรกิจหรือไม่? (ถ้าใช่ อย่าลืมรวมความเสี่ยงไปยังแผนกนั้นด้วย)
- เหตุการณ์ใดที่ทำให้เราไม่ทันระวังในอดีต?
เคล็ดลับ: กำหนดช่วงเวลาในการระบุความเสี่ยงให้ตนเอง ไม่เช่นนั้นคุณจะติดอยู่ในวังวนการวิเคราะห์และไม่สามารถดำเนินการขั้นตอนต่อไป กระบวนการทั้งหมดนี้เป็นกระบวนการต่อเนื่อง ดังนั้นคุณจะต้องเพิ่มความเสี่ยงต่อไป
ขั้นตอนที่ 2: การประเมินความเสี่ยง (Risk Assessment)
เมื่อคุณมีรายชื่อภัยคุกคามและความเสี่ยงที่อาจเกิดขึ้น ก็ได้เวลาประเมินความเป็นไปได้ของเหตุการณ์ที่จะเกิดขึ้นและระดับของผลกระทบ การวิเคราะห์ความเสี่ยงนี้ ช่วยกำหนดระดับความสำคัญของแต่ละความเสี่ยง ดังนั้น คุณจึงไม่ควรจัดสรรทรัพยากรมากหรือน้อยจนเกินไป
การประเมินของคุณสามารถทำได้โดยใช้เมทริกซ์เช่นเดียวกับข้อมูลด้านล่าง สำหรับความเสี่ยงที่ระบุแต่ละครั้งให้พิจารณาทั้งความเป็นไปได้ที่จะเกิดขึ้น และระดับของผลกระทบเชิงลบที่จะมีต่อธุรกิจของคุณ เขียนแต่ละความเสี่ยงในช่องที่เกี่ยวข้อง แบบฝึกหัดนี้ทำได้ดีที่สุดโดยร่วมมือกับผู้นำของแต่ละแผนก
เมทริกซ์การประเมินความเสี่ยง (Risk assessment Matrix)
เคล็ดลับ: เมทริกซ์แรกของคุณควรเป็นเอกสารที่ใช้งานได้ โดยใช้รูปแบบที่ทำให้ง่ายต่อการเคลื่อนย้ายความเสี่ยง เหตุการณ์ความเสี่ยงอาจต้องเคลื่อนไปรอบๆเมทริกซ์ เมื่อคุณเรียนรู้เพิ่มเติมเกี่ยวกับผลกระทบหรือความเป็นไปได้ของสิ่งเหล่านั้น โดยอาศัยความคิดเห็นจากหัวหน้าแผนกอื่น
ขั้นตอนที่ 3: การลดความเสี่ยง (Risk Mitigation)
การลดความเสี่ยงคือ จุดที่คุณจะสร้างและเริ่มดำเนินการตามแผน เพื่อวิธีที่ดีที่สุดในการลดโอกาสหรือผลกระทบของแต่ละความเสี่ยง คุณไม่สามารถกำหนดแผนบรรเทาผลกระทบ สำหรับแต่ละความเสี่ยงได้ แต่สิ่งสำคัญคือ ต้องพยายามระบุว่าการเปลี่ยนแปลงใดในกระบวนการปัจจุบันของคุณที่สามารถปรับเปลี่ยนได้ เพื่อลดความเสี่ยง
เริ่มต้นด้วยความเสี่ยงที่คุณวางไว้ในกล่องสีแดงของเมทริกซ์การประเมินของคุณ จัดทำเอกสารแผนการบรรเทาผลกระทบที่คุณตั้งชื่อเจ้าของ สำหรับแต่ละความเสี่ยงและอธิบายขั้นตอนที่ต้องดำเนินการ เมื่อเกิดเหตุการณ์ความเสี่ยง แนะนำให้ทำสิ่งนี้สำหรับแต่ละความเสี่ยง
คำถามที่ควรพิจารณา เมื่อคุณจัดทำแผนบรรเทาผลกระทบ
- เราจะนำมาตรการบรรเทาผลกระทบไปใช้ในระบบและกระบวนการทางธุรกิจของเราได้อย่างไร?
- แผนดังกล่าวระบุไว้อย่างชัดเจนเพื่อให้ทุกคนในธุรกิจเข้าใจว่าต้องดำเนินการอย่างไรสำหรับเหตุการณ์ความเสี่ยงแต่ละครั้งหรือไม่?
- แผนปฏิบัติการนี้เป็นการตอบสนองในระดับที่เหมาะสมสำหรับความเสี่ยงนี้หรือไม่?
เนื่องจากขั้นตอนนี้ค่อนข้างซับซ้อน สถานพยาบาล จะเป็นตัวอย่างที่ดีในการลดความเสี่ยง
ออกแบบแผนการลดความเสี่ยงของคุณให้เป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติ ในการดำเนินการนี้ให้ร่วมมือกับผู้นำคนอื่น ๆ ในธุรกิจของคุณ
เพื่อการบรรเทาผลกระทบอย่างราบรื่นที่สุดเท่าที่จะเป็นไปได้ในการดำเนินงานและการประชุมการวางแผนเชิงกลยุทธ์
เคล็ดลับ:ง่ายต่อการจัดลำดับความสำคัญของแผนการบรรเทาผลกระทบมากเกินไป จนเกิดความเสียหายต่อการดำเนินธุรกิจในปัจจุบัน คุณจะไม่สามารถใช้ทุกแผนได้ทันที พยายามสร้างความสมดุลระหว่างวิธีการใช้แผนบรรเทาผลกระทบกับการตรวจสอบว่า ภาระในการจัดการความเสี่ยงไม่ส่งผลกระทบต่อการดำเนินงาน
ขั้นตอนที่ 4: การตรวจสอบความเสี่ยง (Risk Monitoring)
เมื่อคุณได้ระบุ, ประเมิน และจัดทำแผนบรรเทาผลกระทบแล้ว คุณจำเป็นต้องตรวจสอบทั้งประสิทธิผลของแผนของคุณและการเกิดเหตุการณ์ความเสี่ยง, การติดตามสถานะของความเสี่ยง,
การตรวจสอบประสิทธิผลของแผนการบรรเทาผลกระทบที่นำไปใช้ และการให้คำปรึกษากับผู้มีส่วนได้ส่วนเสีย การตรวจสอบควรเกิดขึ้นตลอดกระบวนการบริหารความเสี่ยง
คำถามที่ควรถามตัวเองขณะเฝ้าติดตามความเสี่ยงมีดังนี้
- ฉันจะให้หัวหน้าแผนกคนอื่นมีส่วนร่วมในการช่วยตรวจสอบความเสี่ยงได้อย่างไร?
- ฉันจะมอบอำนาจให้ทีมของฉันระบุและส่งต่อเหตุการณ์ความเสี่ยงได้อย่างไร?
- มีการเปลี่ยนแปลงใดๆที่ควรลดความเสี่ยงที่เคยประเมินไว้ว่าเป็นภัยคุกคามระดับสูงให้ต่ำลงหรือในทางกลับกัน?
เคล็ดลับ:อย่า “รอดู” ในการติดตามความเสี่ยง คุณอาจไม่ทราบแน่ชัดว่า เหตุการณ์ความเสี่ยงจะเกิดขึ้นเมื่อใด เช่น การโจมตีทางไซเบอร์และการเปลี่ยนแปลงกฎระเบียบ แม้ว่าจะมีการควบคุมความปลอดภัยและแผนการควบคุมความเสี่ยง
ดังนั้น ควรตรวจสอบให้แน่ใจว่า แผนการจัดการความเสี่ยงของคุณมีการตรวจสอบอย่างต่อเนื่อง เพื่อที่คุณจะได้ไม่ต้องระวังการตรวจสอบที่ล้มเหลว
ขั้นตอนที่ 5: การรายงานความเสี่ยง (Risk Reporting)
คุณต้องจัดทำเอกสาร, วิเคราะห์ และแบ่งปันความคืบหน้าของแผนบริหารความเสี่ยงของคุณ การรายงานเกี่ยวกับความเสี่ยงมีจุดประสงค์หลัก 2 ประการ นั่นคือ ช่วยให้คุณวิเคราะห์และประเมินแผนการจัดการความเสี่ยงของคุณ และช่วยให้ผู้มีส่วนได้ส่วนเสียมีส่วนร่วมในการลดความเสี่ยง โดยการแบ่งปันความคืบหน้า
เมื่อคุณเริ่มต้นครั้งแรก การรายงานสามารถทำได้โดยป้อนสถานะของแต่ละความเสี่ยงด้วยตนเองลงในแผนบรรเทาผลกระทบของคุณเป็นประจำ จากนั้น ส่งรายงานทางอีเมลหรืออย่างน้อยที่สุดก็คือไฮไลต์ไปยังหัวหน้าแผนกอื่นๆ
การรายงานความเสี่ยงคือ ซอฟต์แวร์การจัดการความเสี่ยงที่โดดเด่น เนื่องจากสามารถรวบรวมจุดข้อมูลทั้งหมดและสร้างแดชบอร์ดที่อ่านง่าย หากการรายงานความเสี่ยงเป็นปัจจัยสำคัญในการจัดการความเสี่ยงของคุณ เราขอแนะนำอย่างยิ่งให้พิจารณาลงทุนในซอฟต์แวร์
คำถามที่จะช่วยคุณในการรายงานความเสี่ยงมี ดังนี้
- เมตริกเหล่านี้เป็นเมตริกที่เหมาะสมในการทำความเข้าใจความคืบหน้าของแผนหรือไม่?
- วิธีใดเป็นวิธีที่ดีที่สุดในการเผยแพร่รายงานความเสี่ยงเพื่อให้ผู้มีส่วนได้ส่วนเสียได้รับทราบข้อมูล แต่ไม่ได้รับข้อมูลมากจนล้น?
- ฉันควรแบ่งปันรายงานบ่อยเพียงใด รายไตรมาสหรือเป็นประจำทุกปี
เคล็ดลับ: พยายามเล่าเกี่ยวกับวิธีที่บริษัทบริหารความเสี่ยงใช้ ลองนึกถึงวิธีผสมผสานการรายงานความเสี่ยงกับหน้าที่อื่น ๆ ของธุรกิจ เพื่อบอกเล่าเรื่องราวที่สอดคล้องกัน
การโยนสถิติให้ผู้มีส่วนได้ส่วนเสีย อาจเป็นเรื่องที่น่าหนักใจและน่ากลัว แต่ทุกคนชอบโดยเฉพาะเรื่องที่พวกเขาเป็นส่วนหนึ่ง
การลดความเสี่ยงในการเลือกระบบที่ไม่เหมาะสม
เมื่อคุณทราบ 5 ขั้นตอนของกระบวนการบริหารความเสี่ยงแล้ว (ระบุ, ประเมิน, ลด, ติดตาม และรายงานความเสี่ยง) คุณควรรู้สึกมั่นใจในการจัดทำแผนบริหารความเสี่ยงสำหรับธุรกิจของคุณ
หากคุณพร้อมที่จะใช้แผนจัดการความเสี่ยงและการรายงานในระดับต่อไปก็ถึงเวลาตรวจสอบซอฟต์แวร์การจัดการความเสี่ยงในขั้นตอนต่อไป
Resource: //www.softwareadvice.com
Post Views: 1,696