การบริหารความเสี่ยงขององค์กร Enterprise Risk Management Integrating with Strategy and Performance (COSO ERM 2017)

กระบวนการบริหารความเสี่ยง ถูกกำหนดขึ้นเพื่อระบุและประเมินเหตุการณ์ที่อาจเกิดขึ้นและส่งผลกระทบหรือความเสียหายต่อองค์กร โดยมีการควบคุมปัจจัยเสี่ยงและบริหารจัดการกระบวนงานและกิจกรรมอย่างต่อเนื่อง วัตถุประสงค์เพื่อลดมูลเหตุของแต่ละโอกาสที่องค์กรจะเกิดความเสียหาย พร้อมทั้งลดระดับความเสี่ยงและขนาดของความเสียหายที่จะเกิดขึ้นในอนาคต ให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ โดยมีระบบในการประเมิน ควบคุม และตรวจสอบ อย่างเพียงพอและเหมาะสม 

การบริหารความเสี่ยงเชิงสัมพันธ์ระดับองค์กร (Enterprise Risk Management) ตามแนวคิดของคณะกรรมการ COSO (Committee of Sponsoring Organizations of the Treadway Commission) เป็นกระบวนการที่เป็นผลมาจากคณะกรรมการขององค์กร ฝ่ายบริหาร และบุคลากร สร้างขึ้นเพื่อกำหนดการบริหารความเสี่ยงทั่วทั้งองค์กรที่เชื่อมโยงกับกลยุทธ์และการปฏิบัติงานอย่างมีส่วนร่วม 

กรอบการบริหารความเสี่ยงขององค์กรที่ได้รับการยอมรับว่าเป็นแนวทางในการส่งเสริมการบริหารความเสี่ยงและเป็นหลักปฏิบัติที่เป็นสากลตามแนวคิดของคณะกรรมการ COSO ภายใต้หลักเกณฑ์ Enterprise Risk Management Integrating with Strategy and Performance (COSO ERM 2017) ¹

โดยเป็นการบริหารความเสี่ยงขององค์กรที่บูรณาการร่วมกันกับกลยุทธ์และผลการปฏิบัติงาน เพื่อสร้างความชัดเจนเกี่ยวกับความสำคัญของการบริหารความเสี่ยงขององค์กรในการวางแผนกลยุทธ์ และความสำคัญในการนำการบริหารความเสี่ยงขององค์กรไปใช้ร่วมกับการดำเนินงานตามปกติทั่วทั้งองค์กร ประกอบด้วยองค์ประกอบสำคัญ 5 องค์ประกอบ และ 20 หลักการ ตาม Enterprise Risk Management Framework ดังภาพ

รูปภาพ : องค์ประกอบและหลักการของการบริหารความเสี่ยงขององค์กร COSO ERM 2017 ²

องค์ประกอบและหลักการสำคัญในการบริหารความเสี่ยงขององค์กร COSO ERM 2017 แบ่งออกเป็น 5 องค์ประกอบ และ 20 หลักการ ซึ่งจะทำงานสอดคล้องสัมพันธ์ไปกับลำดับขั้นตอนในการดำเนินงานตามปกติของกิจการ ตั้งแต่พันธกิจ วิสัยทัศน์ คุณค่าหลัก การพัฒนากลยุทธ์ การกำหนดวัตถุประสงค์ การนำไปใช้และผลการปฏิบัติงาน รวมไปถึง คุณค่าที่เพิ่มขึ้น โดยมีรายละเอียดที่สำคัญดังนี้

องค์ประกอบที่ 1 การกำกับดูแลกิจการและวัฒนธรรมองค์กร (Governance and Culture) ถือเป็นรากฐานขององค์ประกอบทั้งหมดที่ทำให้เกิดการบริหารความเสี่ยงในองค์กร เนื่องจากการกำกับดูแลกิจการถือเป็นสิ่งสำคัญในการกำหนดแนวทางขององค์กร เพื่อมุ่งให้ความสำคัญต่อการเสริมสร้างความรับผิดชอบในกระบวนการบริหารความเสี่ยงให้เกิดเป็นวัฒนธรรมองค์กรอย่างเป็นระบบ โดยเชื่อมโยงกับค่านิยมทางจริยธรรม พฤติกรรมที่พึงประสงค์ และความตระหนักรู้เกี่ยวกับความเสี่ยงขององค์กร ซึ่งจะสะท้อนผ่านการตัดสินใจต่าง ๆ ประกอบด้วย 5 หลักการดังนี้

• หลักการที่ 1  การจัดตั้งคณะกรรมการกำกับดูแลความเสี่ยง (Exercise Board Risk Oversight)
• หลักการที่ 2  การจัดตั้งโครงสร้างการดำเนินงาน (Establishes Operating Structure)
• หลักการที่ 3  ระบุวัฒนธรรมองค์กรที่พึงประสงค์ (Defines Desired Culture)
• หลักการที่ 4  แสดงความมุ่งมั่นในค่านิยมองค์กร (Demonstrate Commitment to Core Values)
• หลักการที่ 5  จูงใจ พัฒนา และรักษาไว้ซึ่งบุคลากรที่มีความสามารถ (Attracts, Develops, and Retains Capable Individuals)

องค์ประกอบที่ 2 กลยุทธ์และการกำหนดวัตถุประสงค์ (Strategy and Objective-Setting) องค์กรสามารถบริหารความเสี่ยงโดยบูรณาการเข้ากับแผนยุทธศาสตร์ขององค์กร ผ่านกระบวนการกำหนดกลยุทธ์และวัตถุประสงค์ตามเป้าหมายภารกิจ โดยองค์กรควรกำหนดความเสี่ยงที่ยอมรับได้ให้สอดคล้องกับการกำหนดกลยุทธ์ นอกจากนั้น วัตถุประสงค์ขององค์กรจะเป็นสิ่งที่กำหนดแนวทางปฏิบัติตามกลยุทธ์ รวมไปถึงการดำเนินงานทั่วไป ซึ่งเป็นปัจจัยสำคัญอันเป็นพื้นฐานในการระบุ การประเมิน และการตอบสนองต่อความเสี่ยง ประกอบด้วย 4 หลักการดังนี้

• หลักการที่ 6  วิเคราะห์โครงสร้างและบริบททางธุรกิจ (Analyze Business Context)
• หลักการที่ 7  กำหนดความเสี่ยงที่องค์กรยอมรับได้ (Define Risk Appetite)
• หลักการที่ 8  ประเมินกลยุทธ์ทางเลือก (Evaluate Alternative Strategies)
• หลักการที่ 9  กำหนดวัตถุประสงค์ในการดำเนินธุรกิจ (Formulate Business Objectives)

องค์ประกอบที่ 3 ผลการดำเนินงาน (Performance) เริ่มจากการระบุและประเมินความเสี่ยงที่อาจส่งผลต่อความสามารถในการบรรลุกลยุทธ์และวัตถุประสงค์ตามเป้าหมายภารกิจขององค์กร และนำมาจัดลำดับความสำคัญของความเสี่ยงตามระดับโอกาสและระดับผลกระทบที่อาจเกิดขึ้น ไปสู่การพิจารณาระดับความเสี่ยงที่องค์กรสามารถยอมรับได้ จากนั้นองค์กรก็จะสามารถเลือกดำเนินการตอบสนองต่อความเสี่ยงด้วยวิธีการต่างๆ ควบคู่ไปกับการพิจารณาปริมาณความเสี่ยงในภาพรวม รวมทั้งมีการตรวจสอบผลการดำเนินงานเพื่อปรับปรุง เปลี่ยนแปลง และแก้ไขอย่างเป็นระบบ กระบวนการเหล่านี้จะแสดงให้เห็นถึงมุมมองภาพรวมของปริมาณความเสี่ยงที่สำคัญที่องค์กรอาจเผชิญในการบรรลุเป้าหมายกลยุทธ์และวัตถุประสงค์ตามเป้าหมายภารกิจระดับองค์กร ประกอบด้วย 5 หลักการดังนี้

• หลักการที่ 10  ระบุความเสี่ยง (Identifies Risk)
• หลักการที่ 11  ประเมินความรุนแรงของความเสี่ยง (Assesses Severity of Risk)
• หลักการที่ 12  จัดลำดับความสำคัญของความเสี่ยง (Prioritizes Risks)
• หลักการที่ 13  ดำเนินการตอบสนองต่อความเสี่ยง (Implements Risk Responses)
• หลักการที่ 14  พัฒนากรอบความเสี่ยงในภาพรวม (Develops Portfolio View)

องค์ประกอบที่ 4 การทบทวนและปรับปรุงแก้ไข (Review and Revision) องค์กรควรทบทวนกระบวนการบริหารความเสี่ยงอย่างสม่ำเสมอ โดยตรวจสอบและปรับปรุงพัฒนาแนวทางในการบริหารความเสี่ยงให้เหมาะสม แม้ต้องเผชิญกับความเปลี่ยนแปลงอย่างมีนัยสำคัญต่าง ๆ ทั้งนี้ ผู้บริหารควรพิจารณาถึงความสามารถในการบริหารความเสี่ยงอย่างทั่วถึง เพื่อมุ่งเพิ่มคุณค่าและขีดความสามารถให้กับองค์กรอย่างมีประสิทธิภาพ ประกอบด้วย 3 หลักการดังนี้

• หลักการที่ 15  ประเมินการเปลี่ยนแปลงที่สำคัญ (Assesses Substantial Change)
• หลักการที่ 16  ทบทวนความเสี่ยงและผลการดำเนินงาน (Reviews Risk and Performance)
• หลักการที่ 17  มุ่งมั่นปรับปรุงการบริหารความเสี่ยงองค์กร (Pursues Improvement in Enterprise Risk Management)

องค์ประกอบที่ 5 สารสนเทศ การสื่อสาร และการรายงาน (Information, Communication and Reporting) การสื่อสารเป็นการรวบรวมและแบ่งปันข้อมูลและสารสนเทศที่จำเป็นจากทั่วทั้งองค์กรทั้งจากแหล่งข้อมูลภายในและภายนอกองค์กร ซึ่งผู้บริหารจะใช้ข้อมูลและสารสนเทศที่เกี่ยวข้องทั้งหมดเหล่านี้เพื่อสนับสนุนการบริหารความเสี่ยงขององค์กร ผ่านการรวบรวม ประมวลผล และจัดการข้อมูลและสารสนเทศต่าง ๆ ที่สัมพันธ์กับการบริหารความเสี่ยง เพื่อให้องค์กรสามารถรายงานข้อมูลความเสี่ยง วัฒนธรรมองค์กร และผลการดำเนินการต่อผู้มีส่วนได้ส่วนเสียได้อย่างมีประสิทธิภาพ ถูกต้อง แม่นยำ ประกอบด้วย 3 หลักการดังนี้

• หลักการที่ 18  ยกระดับระบบสารสนเทศ (Leverages Information Systems)
• หลักการที่ 19  สื่อสารข้อมูลความเสี่ยง (Communicates Risk Information)
• หลักการที่ 20  รายงานผลความเสี่ยง วัฒนธรรม และผลการดำเนินงาน (Reports on Risk, Culture, and Performance)

องค์ประกอบและหลักการทั้ง 20 ข้อนี้ สามารถนำไปพิจารณาใช้ในการบริหารความเสี่ยงได้กับองค์กรหรือหน่วยงานทุกประเภท โดยเน้นยํ้าความสำคัญของการบูรณาการการบริหารความเสี่ยงทั่วทั้งองค์กรเข้ากับการตัดสินใจอย่างมีส่วนร่วม อย่างไรก็ตามผู้บริหารและคณะกรรมการอาจให้ความสำคัญกับองค์ประกอบหรือหลักการใดโดยเฉพาะได้ ขึ้นอยู่กับบริบทสภาพแวดล้อม การประยุกต์ใช้ และประโยชน์ที่องค์กรต้องการได้รับจากการบริหารความเสี่ยงให้เกิดประสิทธิภาพ และมีประสิทธิผล 

การบริหารความเสี่ยง เป็นเรื่องที่มีความเกี่ยวข้องกับบุคลากรทุกระดับในองค์กร ผู้บริหารและบุคลากรทุกฝ่าย ต้องร่วมกันพิจารณาและวิเคราะห์เชิงลึก เชิงบูรณาการ เพื่อเชื่อมโยงกระบวนการบริหารความเสี่ยงที่ดีเข้ากับการกำหนดยุทธศาสตร์และกลยุทธ์ นโยบายแผนงาน วัตถุประสงค์และเป้าหมาย รวมไปถึงกิจกรรมการดำเนินงานขององค์กร เพื่อช่วยป้องกันเหตุการณ์ไม่พึงประสงค์และมุ่งขับเคลื่อนองค์กรให้บรรลุเป้าหมายภายใต้เครื่องมือ Enterprise Risk Management

แหล่งที่มา :

• ดร.อวิรุทธ์ ฉัตรมาลาทอง, ที่ปรึกษาและคณะผู้จัดทำ ศูนย์บริหารความเสี่ยง จุฬาลงกรณ์มหาวิทยาลัย, คู่มือการบริหารความเสี่ยง จุฬาลงกรณ์มหาวิทยาลัย, หน้า 12 – 21.
• COSO.(2017). “Enterprise Risk Management Integrating with Strategy and Performance” 2017 [ออนไลน์] เข้าถึงจาก www.coso.org