RED FLAGS TO DETECT IF RISK PROTOCOLS ARE BEING BYPASSED (สัญญาณเตือนว่ามีการละเลยขั้นตอนการบริหารความเสี่ยง)

Area	Red Flag (สัญญาณเตือน)	Mitigation Measures (มาตรการป้องกัน)
Procurement	Sudden vendor onboarding without risk or financial due diligence (เริ่มใช้งานผู้ขายใหม่โดยไม่มีการตรวจสอบความเสี่ยงหรือสถานะการเงิน)	Enforce vendor onboarding checklist and approval log with digital timestamps (ใช้เช็กลิสต์และบันทึกอนุมัติดิจิทัลในการรับผู้ขายใหม่)
Approvals	Frequent use of emergency/exception approvals (มีการอนุมัติแบบฉุกเฉินหรือยกเว้นบ่อยครั้ง)	Cap number of exceptions per department; audit exception justifications monthly (จำกัดจำนวนการอนุมัติแบบยกเว้นต่อแผนก และตรวจสอบเหตุผลรายเดือน)
Documentation	Missing or backdated risk assessment reports (ไม่มีหรือย้อนไปออกเอกสารประเมินความเสี่ยง)	Integrate document control systems with version and access history logs (ใช้ระบบควบคุมเอกสารที่มีบันทึกเวอร์ชันและประวัติการเข้าถึง)
Timeframes	Unusual speed of project approvals or procurement (ระยะเวลาการอนุมัติโครงการหรือจัดซื้อเร็วผิดปกติ)	Set minimum review times for specified high-risk decisions (กำหนดระยะเวลาการพิจารณาขั้นต่ำสำหรับการตัดสินใจที่มีความเสี่ยงสูง)
Communication	Risk team not copied on key emails or excluded from meetings (ทีมความเสี่ยงไม่ได้รับอีเมลสำคัญหรือถูกกันออกจากการประชุม)	Mandate risk representation in key project teams or initiatives (กำหนดให้ทีมความเสี่ยงเข้าร่วมโครงการหรือทีมหลักเสมอ)
Audit Trails	Gaps in system audit logs for critical workflows (มีช่องว่างในบันทึกตรวจสอบระบบของกระบวนการสำคัญ)	Regular IT audit to verify completeness of logs and access monitoring (ตรวจสอบระบบ IT อย่างสม่ำเสมอเพื่อความครบถ้วนของบันทึกและการเข้าถึง)
Finance	Sudden budget approvals above thresholds without backup (มีการอนุมัติงบประมาณเกินเพดานโดยไม่มีข้อมูลสนับสนุน)	Automate budgetary control limits with auto-escalation features (ใช้ระบบอัตโนมัติควบคุมวงเงินและแจ้งเตือนแบบอัตโนมัติ)
HR / Staffing	Key hires approved without full background or reference checks (อนุมัติจ้างงานสำคัญโดยไม่ตรวจสอบประวัติหรืออ้างอิงให้ครบถ้วน)	Make HRIS systems require completion of checks before issuing ID/email (ให้ระบบ HR ต้องตรวจสอบครบก่อนออกบัตรหรืออีเมลให้พนักงาน)
Project Management	Risk registers not updated during rapid execution phases (ไม่อัปเดตรายการความเสี่ยงระหว่างช่วงดำเนินโครงการเร่งด่วน)	Create check-in gates at each milestone with mandatory risk update confirmation (ตั้งจุดตรวจสอบทุกระยะพร้อมยืนยันการอัปเดตความเสี่ยง)
Culture	“We don’t have time for risk steps” becoming a norm (“ไม่มีเวลาทำตามขั้นตอนความเสี่ยง” กลายเป็นเรื่องปกติ)	Include risk compliance in performance goals for managers and teams (ใส่เป้าหมายด้านการบริหารความเสี่ยงไว้ในเป้าหมายของผู้บริหารและทีมงาน)
Technology	Access controls overridden to expedite implementation (ข้ามระบบควบคุมการเข้าถึงเพื่อให้ดำเนินการเร็วขึ้น)	Enforce dual-layer IT access approvals for production environment changes (ใช้ระบบอนุมัติการเข้าถึงแบบสองชั้นสำหรับระบบจริง)
Legal/Contracts	Contracts signed without legal/risk vetting (มีการลงนามสัญญาโดยไม่ผ่านการตรวจสอบด้านกฎหมายหรือความเสี่ยง)	Route all contracts above a certain value through DocuSign with legal sign-off only (ให้สัญญาที่มูลค่าสูงผ่านระบบ DocuSign พร้อมเซ็นรับรองโดยฝ่ายกฎหมายเท่านั้น)
Sales	Discounting or contract clauses outside of standard policy (ลดราคาหรือเงื่อนไขในสัญญาที่ผิดจากนโยบายมาตรฐาน)	Set approval matrix in CRM for non-standard commercial terms (ตั้งระบบการอนุมัติใน CRM สำหรับเงื่อนไขทางการค้าที่อยู่นอกมาตรฐาน)
Inventory	Stock write-offs or reclassifications without risk explanation (การตัดจำหน่ายหรือเปลี่ยนประเภทสต็อกโดยไม่มีคำอธิบายความเสี่ยง)	Review inventory adjustments weekly; require cross-check by finance and operations (ตรวจสอบการปรับปรุงสต็อกทุกสัปดาห์และให้ฝ่ายการเงินกับปฏิบัติการตรวจซ้ำ)
Whistleblowing	Rise in anonymous concerns about fast decisions or favoritism (มีการแจ้งเบาะแสเพิ่มขึ้นเกี่ยวกับการตัดสินใจเร็วหรือการลำเอียง)	Activate internal audit sweep and conduct anonymous pulse surveys (เริ่มการตรวจสอบภายในและสำรวจความคิดเห็นแบบไม่ระบุตัวตนเป็นระยะ)

ตัวอย่าง: การประเมินความคุ้มค่าในการดำเนินการเพื่อจัดการความเสี่ยง

 

Effective Enterprise Risk Management -- ตลาดหลักทรัพย์แห่งประเทศไทย

 

  --

• ข้อมูลจาก: ห้องเรียนบริษัทจดทะเบียน ตลาดหลักทรัพย์แห่งประเทศไทย

การจัดการความเสี่ยง (Risk Management)

การจัดการความเสี่ยง (Risk Management) เป็นหนึ่งในกระบวนการหลักในการกำกับดูแลองค์กร นอกเหนือจากระบบการกำกับดูแลกิจการที่ดี (Good Governance) และระบบควบคุมภายใน (Internal Control) ที่มีประสิทธิผล ในการจัดการความเสี่ยงสรุปเป็น 8 ขั้นตอนดังนี้

1. ระบุความเสี่ยง (Risk Identification):

    ซึ่งอาจได้มาจาก

• การทบทวนการดำเนินงาน กระบวนการ และทรัพย์สินของบริษัท

• การสัมภาษณ์พนักงาน ผู้จัดการ และผู้มีส่วนได้ส่วนเสีย

• พิจารณาปัจจัยภายนอก เช่น แนวโน้มของตลาด การพัฒนาอุตสาหกรรม และการเปลี่ยนแปลงด้านกฎระเบียบ

• รายงานการตรวจสอบภายใน/ภายนอก และรายงานการตรวจสอบอื่น ๆ เช่น VA/Pentese

• จำนวนอุบัติการณ์ที่เคยเกิดขึ้น

• อื่น ๆ

2. จัดหมวดหมู่ความเสี่ยง:

     นำความเสี่ยงที่ได้จากข้อที่ 1 มาจัดหมวดหมู เพื่อให้ง่ายต่อการจัดการ และทำให้เห็นมุมมองความเสี่ยงในภาพกว้างขององค์กร โดยอาจเเบ่งออกเป็น

•  ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เช่น การแข่งขันทางการค้า, การเปลี่ยนแปลงของตลาด

•  ความเสี่ยงในการปฏิบัติงาน (Operational Risk) เช่น ความล้มเหลวของกระบวนการ, ข้อผิดพลาดของมนุษย์

• ความเสี่ยงทางการเงิน (Financial Risk) เช่น ความผันผวนของตลาด, ความเสี่ยงด้านเครดิต, กระแสเงินสด, ลูกหนี้ค้างชำระ, หนี้ NPL

• ความเสี่ยงในการปฏิบัติตามหฎหมาย/กฎระเบียบ (Compliance Risk) เช่น การไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

• ความเสี่ยงต่อชื่อเสียง (Reputation Risk) เช่น ความเสียหายต่อแบรนด์ การรับรู้ของสาธารณชน)

3. ประเมินโอกาสและผลกระทบต่อความเสี่ยง (Risk Analysis):

     ประเมินโอกาส (ความน่าจะเป็น) และผลกระทบที่อาจเกิดขึ้น (ความรุนแรง) ของแต่ละความเสี่ยง โดยพิจารณาจาก

• ข้อมูลในอดีต เกณฑ์มาตรฐานอุตสาหกรรม และความคิดเห็นของผู้เชี่ยวชาญ

• มาตรการควบคุมที่มีอยู่ในปัจจุบัน

และกำหนดค่าระดับความเสี่ยงโดยอาศัยข้อมูลจากระดับโอกาสและผลกระทบที่เกิดขึ้น โดยทั่วไปจะคำนวนจาก

ค่าระดับความเสี่ยง = ค่าโอกาส X ค่าผลกระทบที่อาจเกิดขึ้น

ตัวอย่างการกำหนดระดับความเสี่ยงโดยวิเคราะห์จากค่าความเสี่ยง (1-5)

หมายเหตุ: ความเสี่ยงหลาย ๆ ความเสี่ยงมีความเชื่อมโยงระหว่างกันอาจส่งผลกระทบซึ่งกันและกัน โดยผลกระทบนั้นอาจมีลักษนะที่เชื่อมโยงแบบโดมิโน

4. จัดลำดับความสำคัญความเสี่ยง (Risk Evaluation):

    นำความเสี่ยงที่วิเคราะห์ได้มาจัดลำดับความสำคัญ โดยพิจารณาเน้นที่ความเสี่ยงที่มีโอกาสเกิดสูง และความเสี่ยงที่มีผลกระทบสูง องค์กรควรพิจารณาในการจัดทำเกณฑ์ หรือระดับการยอมรับความเสี่ยง ซึ่งโดยทั่วไปแล้วความเสี่ยงระดับต่ำ (Low) เป็นความเสี่ยงที่สามารถยอมรับได้ ความเสี่ยงระดับสูงถึงสูงมาก (high-Extreme) เป็นความเสี่ยงที่โดยปกติแล้วไม่ควรยอมรับ นั่นหมายความว่าองค์กรควรต้องหาแนวทางในการจัดการเพื่อลดความเสี่ยงลง ในขณะเดียวกันความเสี่ยงระดับปานกลาง (Medium) เป็นความเสี่ยงที่องค์กรควรพิจารณาถึงความเพียงพอของมาตรการควบคุมที่มีปัจจุบัน ต้นทุนในการลดความเสี่ยงและผลประโยชน์ที่อาจเกิดขึ้น เพื่อพิจารณาดำแนวทางในการดำเนินการต่อไป

โดยทั่วไปแล้วแนวทางในการจัดการความเสี่ยงที่นิยมกันจะมีอยู่ 4 แบบ คือ

• ยอมรับความเสี่ยง (Accept)

• การหลีกเลี่ยงความเสี่ยง (Avoid)

• การกระจาย/โอนความเสี่ยง (Transfer)

• การลด/การควบคุมความเสี่ยง (Mitigate)

5. จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง:

    เมื่อได้ความเสี่ยงในแต่ละระดับแล้ว และพิจารณาแล้วว่าความเสี่ยงนั้น ๆ จะดำเนินการอย่างไร ก็จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง โดยเจ้าของความเสี่ยง (Risk Owner) แผนการจัดการความเสี่ยงนั้นควรถูกนำเสนอผู้ที่เกี่ยวข้องเพื่อให้ความเห็น และอนุมัติการดำเนินการ

6. ติดตามและทบทวนความเสี่ยง:

    ปัญหาสำคัญที่การจัดการความเสี่ยงไม่มีประสิทธิผลคือไม่ระบบติดตามและทบทวนความเสี่ยง ทั้งนี้เพื่อปรับปรุงการประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อสะท้อนถึงการเปลี่ยนแปลงในการดำเนินงาน สภาวะตลาด หรือปัจจัยอื่น ๆ และติดตามประสิทธิภาพ/ประสิทธิผลการลดความเสี่ยงอย่างต่อเนื่อง

7. รายงานและสื่อสารความเสี่ยง:

    ผู้บริหารมีส่วนสำคัญอย่างยิ่งในการชี้นำ และตัดสินใจ ดังนั้นนำเสนอการประเมินความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบต่อฝ่ายบริหาร คณะกรรมการ และผู้มีส่วนได้เสีย อย่างสม่ำเสมอ และเมื่อมีการเปลี่ยนแปลงของความเสี่ยงสำคัญจะช่วยให้การจัดการความเสี่ยงมีประสิทธิภาพ 

8. การพัฒนาปรับปรุงอย่างต่อเนื่อง:

    ไม่มีหลักเกณฑ์/แนวทางไหนใช้ได้ดีไปได้ตลอด ความเสี่ยงระดับต่ำวันนี้อาจเป็นความเสี่ยงระดับสูงในวันพรุ่งนี้ การจัดการความเสี่ยงที่ดีในวันนี้ วันพรุ่งนี้อาจจะใช้ไม่ได้แล้ว การพัฒนาปรับปรุงอย่างต่อเนื่องจะช่วยให้องค์กรสามารถปรับตัวให้ทันต่อความเสี่ยงที่เกิดขึ้น และพร้อมรับความเปลี่ยนแปลง ทำให้องค์กรเกิดการพัฒนา

Risk Management -- การจัดการความเสี่ยง

การจัดการความเสี่ยงภาพรวมไม่ได้มีอะไรเยอะ มันก็มีประมาณนี้แหละ แต่รายละเอียดจะแตกต่างกันไปตามบริบทของหน่วยงาน และด้านที่กำลังประเมิน

Risk appetite vs Risk tolerance

ระดับความเสี่ยงที่ยอมรับได้ (risk appetite) เป็นความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นค่าเป้าหมาย (ค่าเดียว) หรือช่วงโดยระดับความเสี่ยงที่ยอมรับได้ ต้องสอดคล้องกับเป้าหมายขององค์กร(ประจำปีที่ระบุในแผนปฏิบัติงานประจำปี)

ระดับเบี่ยงเบนที่ยอมรับได้ (risk tolerance) เป็นช่วงเบี่ยงของระดับความเสี่ยงที่องค์กรยอมรับได้ โดยระดับเบี่ยงเบนที่ยอมรับได้ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ได้ระบุไว้ (ในแผนปฏิบัติงานประจำปี) ถ้าไม่มีการระบุ ควรเป็นค่าที่ได้ผ่านการอนุมัติแล้ว (เช่น ผ่านการอนุมัติจากคณะกรรมการบริหารองค์กร)

Risk Management - การจัดการความเสี่ยง ?

 

มีโอกาสได้เข้ามาดูงานการจัดการความเสี่ยงที่ศิริราช 2 อาทิตย์ ได้ดูสไลด์การจัดการความเสี่ยงของ รศ.พญ.ปรียานุช แย้มวงษ์ แล้วชอบนิยามของการจัดการความเสี่ยงของอาจารย์เป็นพิเศษ เราอาจหานิยามที่มีความเป็นวิชาการได้ แต่ของอาจารย์คือให้ความหมายที่ทำให้มองเห็นภาพ เวลาต้องอธิบาย เลยขอยืมอาจารย์ไปใช้อยู่บ่อย ๆ 

 "การจัดการความเสี่ยง เป็นศาสตร์และศิลป์ในการสร้างความสมดุล

เพื่อให้การใช้ชีวิต และการดำเนินงานขององค์กรเป็นไปตามทางสายกลาง

ที่เป็นไปอย่างไม่ประมาท แต่ก็ไม่ทุกขเกินเหตุ”

“ ชีวิตคนเรามีความเสี่ยงตลอดเวลา 

ตั้งแต่เรื่องเล็ก ๆ จนถึงเสี่ยงต่อชีวิต

ถ้าเรากลัวไปหมดซะทุกอย่าง

ก็จะไม่กล้าทำอะไรใหม่ ๆ เลย 

แต่ถ้าไม่สนใจอะไรเลย ก็ประมาท ”

รศ.พญ.ปรียานุช แย้มวงษ์ 

คณะแพทยศาสตร์ศิริราชพยาบาล