Area | Red Flag (สัญญาณเตือน) |
Mitigation Measures (มาตรการป้องกัน) |
---|---|---|
Procurement | Sudden vendor onboarding without risk or financial due diligence (เริ่มใช้งานผู้ขายใหม่โดยไม่มีการตรวจสอบความเสี่ยงหรือสถานะการเงิน) |
Enforce vendor onboarding checklist and approval log with digital timestamps (ใช้เช็กลิสต์และบันทึกอนุมัติดิจิทัลในการรับผู้ขายใหม่) |
Approvals | Frequent use of emergency/exception approvals (มีการอนุมัติแบบฉุกเฉินหรือยกเว้นบ่อยครั้ง) |
Cap number of exceptions per department; audit exception justifications monthly (จำกัดจำนวนการอนุมัติแบบยกเว้นต่อแผนก และตรวจสอบเหตุผลรายเดือน) |
Documentation | Missing or backdated risk assessment reports (ไม่มีหรือย้อนไปออกเอกสารประเมินความเสี่ยง) |
Integrate document control systems with version and access history logs (ใช้ระบบควบคุมเอกสารที่มีบันทึกเวอร์ชันและประวัติการเข้าถึง) |
Timeframes | Unusual speed of project approvals or procurement (ระยะเวลาการอนุมัติโครงการหรือจัดซื้อเร็วผิดปกติ) |
Set minimum review times for specified high-risk decisions (กำหนดระยะเวลาการพิจารณาขั้นต่ำสำหรับการตัดสินใจที่มีความเสี่ยงสูง) |
Communication | Risk team not copied on key emails or excluded from meetings (ทีมความเสี่ยงไม่ได้รับอีเมลสำคัญหรือถูกกันออกจากการประชุม) |
Mandate risk representation in key project teams or initiatives (กำหนดให้ทีมความเสี่ยงเข้าร่วมโครงการหรือทีมหลักเสมอ) |
Audit Trails | Gaps in system audit logs for critical workflows (มีช่องว่างในบันทึกตรวจสอบระบบของกระบวนการสำคัญ) |
Regular IT audit to verify completeness of logs and access monitoring (ตรวจสอบระบบ IT อย่างสม่ำเสมอเพื่อความครบถ้วนของบันทึกและการเข้าถึง) |
Finance | Sudden budget approvals above thresholds without backup (มีการอนุมัติงบประมาณเกินเพดานโดยไม่มีข้อมูลสนับสนุน) |
Automate budgetary control limits with auto-escalation features (ใช้ระบบอัตโนมัติควบคุมวงเงินและแจ้งเตือนแบบอัตโนมัติ) |
HR / Staffing | Key hires approved without full background or reference checks (อนุมัติจ้างงานสำคัญโดยไม่ตรวจสอบประวัติหรืออ้างอิงให้ครบถ้วน) |
Make HRIS systems require completion of checks before issuing ID/email (ให้ระบบ HR ต้องตรวจสอบครบก่อนออกบัตรหรืออีเมลให้พนักงาน) |
Project Management | Risk registers not updated during rapid execution phases (ไม่อัปเดตรายการความเสี่ยงระหว่างช่วงดำเนินโครงการเร่งด่วน) |
Create check-in gates at each milestone with mandatory risk update confirmation (ตั้งจุดตรวจสอบทุกระยะพร้อมยืนยันการอัปเดตความเสี่ยง) |
Culture | “We don’t have time for risk steps” becoming a norm (“ไม่มีเวลาทำตามขั้นตอนความเสี่ยง” กลายเป็นเรื่องปกติ) |
Include risk compliance in performance goals for managers and teams (ใส่เป้าหมายด้านการบริหารความเสี่ยงไว้ในเป้าหมายของผู้บริหารและทีมงาน) |
Technology | Access controls overridden to expedite implementation (ข้ามระบบควบคุมการเข้าถึงเพื่อให้ดำเนินการเร็วขึ้น) |
Enforce dual-layer IT access approvals for production environment changes (ใช้ระบบอนุมัติการเข้าถึงแบบสองชั้นสำหรับระบบจริง) |
Legal/Contracts | Contracts signed without legal/risk vetting (มีการลงนามสัญญาโดยไม่ผ่านการตรวจสอบด้านกฎหมายหรือความเสี่ยง) |
Route all contracts above a certain value through DocuSign with legal sign-off only (ให้สัญญาที่มูลค่าสูงผ่านระบบ DocuSign พร้อมเซ็นรับรองโดยฝ่ายกฎหมายเท่านั้น) |
Sales | Discounting or contract clauses outside of standard policy (ลดราคาหรือเงื่อนไขในสัญญาที่ผิดจากนโยบายมาตรฐาน) |
Set approval matrix in CRM for non-standard commercial terms (ตั้งระบบการอนุมัติใน CRM สำหรับเงื่อนไขทางการค้าที่อยู่นอกมาตรฐาน) |
Inventory | Stock write-offs or reclassifications without risk explanation (การตัดจำหน่ายหรือเปลี่ยนประเภทสต็อกโดยไม่มีคำอธิบายความเสี่ยง) |
Review inventory adjustments weekly; require cross-check by finance and operations (ตรวจสอบการปรับปรุงสต็อกทุกสัปดาห์และให้ฝ่ายการเงินกับปฏิบัติการตรวจซ้ำ) |
Whistleblowing | Rise in anonymous concerns about fast decisions or favoritism (มีการแจ้งเบาะแสเพิ่มขึ้นเกี่ยวกับการตัดสินใจเร็วหรือการลำเอียง) |
Activate internal audit sweep and conduct anonymous pulse surveys (เริ่มการตรวจสอบภายในและสำรวจความคิดเห็นแบบไม่ระบุตัวตนเป็นระยะ) |
Thursday, August 7, 2025
RED FLAGS TO DETECT IF RISK PROTOCOLS ARE BEING BYPASSED (สัญญาณเตือนว่ามีการละเลยขั้นตอนการบริหารความเสี่ยง)
Thursday, June 13, 2024
Saturday, May 25, 2024
Thursday, May 23, 2024
การจัดการความเสี่ยง (Risk Management)
การจัดการความเสี่ยง (Risk Management) เป็นหนึ่งในกระบวนการหลักในการกำกับดูแลองค์กร นอกเหนือจากระบบการกำกับดูแลกิจการที่ดี (Good Governance) และระบบควบคุมภายใน (Internal Control) ที่มีประสิทธิผล ในการจัดการความเสี่ยงสรุปเป็น 8 ขั้นตอนดังนี้
1. ระบุความเสี่ยง (Risk Identification):
ซึ่งอาจได้มาจาก
การทบทวนการดำเนินงาน กระบวนการ และทรัพย์สินของบริษัท
การสัมภาษณ์พนักงาน ผู้จัดการ และผู้มีส่วนได้ส่วนเสีย
พิจารณาปัจจัยภายนอก เช่น แนวโน้มของตลาด การพัฒนาอุตสาหกรรม และการเปลี่ยนแปลงด้านกฎระเบียบ
รายงานการตรวจสอบภายใน/ภายนอก และรายงานการตรวจสอบอื่น ๆ เช่น VA/Pentese
จำนวนอุบัติการณ์ที่เคยเกิดขึ้น
อื่น ๆ
2. จัดหมวดหมู่ความเสี่ยง:
นำความเสี่ยงที่ได้จากข้อที่ 1 มาจัดหมวดหมู เพื่อให้ง่ายต่อการจัดการ และทำให้เห็นมุมมองความเสี่ยงในภาพกว้างขององค์กร โดยอาจเเบ่งออกเป็น
ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เช่น การแข่งขันทางการค้า, การเปลี่ยนแปลงของตลาด
ความเสี่ยงในการปฏิบัติงาน (Operational Risk) เช่น ความล้มเหลวของกระบวนการ, ข้อผิดพลาดของมนุษย์
ความเสี่ยงทางการเงิน (Financial Risk) เช่น ความผันผวนของตลาด, ความเสี่ยงด้านเครดิต, กระแสเงินสด, ลูกหนี้ค้างชำระ, หนี้ NPL
ความเสี่ยงในการปฏิบัติตามหฎหมาย/กฎระเบียบ (Compliance Risk) เช่น การไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ความเสี่ยงต่อชื่อเสียง (Reputation Risk) เช่น ความเสียหายต่อแบรนด์ การรับรู้ของสาธารณชน)
3. ประเมินโอกาสและผลกระทบต่อความเสี่ยง (Risk Analysis):
ประเมินโอกาส (ความน่าจะเป็น) และผลกระทบที่อาจเกิดขึ้น (ความรุนแรง) ของแต่ละความเสี่ยง โดยพิจารณาจาก
ข้อมูลในอดีต เกณฑ์มาตรฐานอุตสาหกรรม และความคิดเห็นของผู้เชี่ยวชาญ
มาตรการควบคุมที่มีอยู่ในปัจจุบัน
และกำหนดค่าระดับความเสี่ยงโดยอาศัยข้อมูลจากระดับโอกาสและผลกระทบที่เกิดขึ้น โดยทั่วไปจะคำนวนจาก
ค่าระดับความเสี่ยง = ค่าโอกาส X ค่าผลกระทบที่อาจเกิดขึ้น
ตัวอย่างการกำหนดระดับความเสี่ยงโดยวิเคราะห์จากค่าความเสี่ยง (1-5)
หมายเหตุ: ความเสี่ยงหลาย ๆ ความเสี่ยงมีความเชื่อมโยงระหว่างกันอาจส่งผลกระทบซึ่งกันและกัน โดยผลกระทบนั้นอาจมีลักษนะที่เชื่อมโยงแบบโดมิโน
4. จัดลำดับความสำคัญความเสี่ยง (Risk Evaluation):
นำความเสี่ยงที่วิเคราะห์ได้มาจัดลำดับความสำคัญ โดยพิจารณาเน้นที่ความเสี่ยงที่มีโอกาสเกิดสูง และความเสี่ยงที่มีผลกระทบสูง องค์กรควรพิจารณาในการจัดทำเกณฑ์ หรือระดับการยอมรับความเสี่ยง ซึ่งโดยทั่วไปแล้วความเสี่ยงระดับต่ำ (Low) เป็นความเสี่ยงที่สามารถยอมรับได้ ความเสี่ยงระดับสูงถึงสูงมาก (high-Extreme) เป็นความเสี่ยงที่โดยปกติแล้วไม่ควรยอมรับ นั่นหมายความว่าองค์กรควรต้องหาแนวทางในการจัดการเพื่อลดความเสี่ยงลง ในขณะเดียวกันความเสี่ยงระดับปานกลาง (Medium) เป็นความเสี่ยงที่องค์กรควรพิจารณาถึงความเพียงพอของมาตรการควบคุมที่มีปัจจุบัน ต้นทุนในการลดความเสี่ยงและผลประโยชน์ที่อาจเกิดขึ้น เพื่อพิจารณาดำแนวทางในการดำเนินการต่อไป
โดยทั่วไปแล้วแนวทางในการจัดการความเสี่ยงที่นิยมกันจะมีอยู่ 4 แบบ คือ
ยอมรับความเสี่ยง (Accept)
การหลีกเลี่ยงความเสี่ยง (Avoid)
การกระจาย/โอนความเสี่ยง (Transfer)
การลด/การควบคุมความเสี่ยง (Mitigate)
5. จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง:
เมื่อได้ความเสี่ยงในแต่ละระดับแล้ว และพิจารณาแล้วว่าความเสี่ยงนั้น ๆ จะดำเนินการอย่างไร ก็จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง โดยเจ้าของความเสี่ยง (Risk Owner) แผนการจัดการความเสี่ยงนั้นควรถูกนำเสนอผู้ที่เกี่ยวข้องเพื่อให้ความเห็น และอนุมัติการดำเนินการ
6. ติดตามและทบทวนความเสี่ยง:
ปัญหาสำคัญที่การจัดการความเสี่ยงไม่มีประสิทธิผลคือไม่ระบบติดตามและทบทวนความเสี่ยง ทั้งนี้เพื่อปรับปรุงการประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อสะท้อนถึงการเปลี่ยนแปลงในการดำเนินงาน สภาวะตลาด หรือปัจจัยอื่น ๆ และติดตามประสิทธิภาพ/ประสิทธิผลการลดความเสี่ยงอย่างต่อเนื่อง
7. รายงานและสื่อสารความเสี่ยง:
ผู้บริหารมีส่วนสำคัญอย่างยิ่งในการชี้นำ และตัดสินใจ ดังนั้นนำเสนอการประเมินความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบต่อฝ่ายบริหาร คณะกรรมการ และผู้มีส่วนได้เสีย อย่างสม่ำเสมอ และเมื่อมีการเปลี่ยนแปลงของความเสี่ยงสำคัญจะช่วยให้การจัดการความเสี่ยงมีประสิทธิภาพ
8. การพัฒนาปรับปรุงอย่างต่อเนื่อง:
ไม่มีหลักเกณฑ์/แนวทางไหนใช้ได้ดีไปได้ตลอด ความเสี่ยงระดับต่ำวันนี้อาจเป็นความเสี่ยงระดับสูงในวันพรุ่งนี้ การจัดการความเสี่ยงที่ดีในวันนี้ วันพรุ่งนี้อาจจะใช้ไม่ได้แล้ว การพัฒนาปรับปรุงอย่างต่อเนื่องจะช่วยให้องค์กรสามารถปรับตัวให้ทันต่อความเสี่ยงที่เกิดขึ้น และพร้อมรับความเปลี่ยนแปลง ทำให้องค์กรเกิดการพัฒนา
Tuesday, May 21, 2024
Risk Management -- การจัดการความเสี่ยง
Monday, May 13, 2024
Risk appetite vs Risk tolerance
ระดับเบี่ยงเบนที่ยอมรับได้ (risk tolerance) เป็นช่วงเบี่ยงของระดับความเสี่ยงที่องค์กรยอมรับได้ โดยระดับเบี่ยงเบนที่ยอมรับได้ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ได้ระบุไว้ (ในแผนปฏิบัติงานประจำปี) ถ้าไม่มีการระบุ ควรเป็นค่าที่ได้ผ่านการอนุมัติแล้ว (เช่น ผ่านการอนุมัติจากคณะกรรมการบริหารองค์กร)
Wednesday, September 20, 2023
Risk Management - การจัดการความเสี่ยง ?
มีโอกาสได้เข้ามาดูงานการจัดการความเสี่ยงที่ศิริราช 2 อาทิตย์ ได้ดูสไลด์การจัดการความเสี่ยงของ รศ.พญ.ปรียานุช แย้มวงษ์ แล้วชอบนิยามของการจัดการความเสี่ยงของอาจารย์เป็นพิเศษ เราอาจหานิยามที่มีความเป็นวิชาการได้ แต่ของอาจารย์คือให้ความหมายที่ทำให้มองเห็นภาพ เวลาต้องอธิบาย เลยขอยืมอาจารย์ไปใช้อยู่บ่อย ๆ
"การจัดการความเสี่ยง เป็นศาสตร์และศิลป์ในการสร้างความสมดุล
เพื่อให้การใช้ชีวิต และการดำเนินงานขององค์กรเป็นไปตามทางสายกลาง
ที่เป็นไปอย่างไม่ประมาท แต่ก็ไม่ทุกขเกินเหตุ”
“ ชีวิตคนเรามีความเสี่ยงตลอดเวลา
ตั้งแต่เรื่องเล็ก ๆ จนถึงเสี่ยงต่อชีวิต
ถ้าเรากลัวไปหมดซะทุกอย่าง
ก็จะไม่กล้าทำอะไรใหม่ ๆ เลย
แต่ถ้าไม่สนใจอะไรเลย ก็ประมาท ”
รศ.พญ.ปรียานุช แย้มวงษ์
คณะแพทยศาสตร์ศิริราชพยาบาล