Showing posts with label Risk management. Show all posts
Showing posts with label Risk management. Show all posts

Thursday, August 7, 2025

RED FLAGS TO DETECT IF RISK PROTOCOLS ARE BEING BYPASSED (สัญญาณเตือนว่ามีการละเลยขั้นตอนการบริหารความเสี่ยง)

Area Red Flag
(สัญญาณเตือน)
Mitigation Measures
(มาตรการป้องกัน)
Procurement Sudden vendor onboarding without risk or financial due diligence
(เริ่มใช้งานผู้ขายใหม่โดยไม่มีการตรวจสอบความเสี่ยงหรือสถานะการเงิน)
Enforce vendor onboarding checklist and approval log with digital timestamps
(ใช้เช็กลิสต์และบันทึกอนุมัติดิจิทัลในการรับผู้ขายใหม่)
Approvals Frequent use of emergency/exception approvals
(มีการอนุมัติแบบฉุกเฉินหรือยกเว้นบ่อยครั้ง)
Cap number of exceptions per department; audit exception justifications monthly
(จำกัดจำนวนการอนุมัติแบบยกเว้นต่อแผนก และตรวจสอบเหตุผลรายเดือน)
Documentation Missing or backdated risk assessment reports
(ไม่มีหรือย้อนไปออกเอกสารประเมินความเสี่ยง)
Integrate document control systems with version and access history logs
(ใช้ระบบควบคุมเอกสารที่มีบันทึกเวอร์ชันและประวัติการเข้าถึง)
Timeframes Unusual speed of project approvals or procurement
(ระยะเวลาการอนุมัติโครงการหรือจัดซื้อเร็วผิดปกติ)
Set minimum review times for specified high-risk decisions
(กำหนดระยะเวลาการพิจารณาขั้นต่ำสำหรับการตัดสินใจที่มีความเสี่ยงสูง)
Communication Risk team not copied on key emails or excluded from meetings
(ทีมความเสี่ยงไม่ได้รับอีเมลสำคัญหรือถูกกันออกจากการประชุม)
Mandate risk representation in key project teams or initiatives
(กำหนดให้ทีมความเสี่ยงเข้าร่วมโครงการหรือทีมหลักเสมอ)
Audit Trails Gaps in system audit logs for critical workflows
(มีช่องว่างในบันทึกตรวจสอบระบบของกระบวนการสำคัญ)
Regular IT audit to verify completeness of logs and access monitoring
(ตรวจสอบระบบ IT อย่างสม่ำเสมอเพื่อความครบถ้วนของบันทึกและการเข้าถึง)
Finance Sudden budget approvals above thresholds without backup
(มีการอนุมัติงบประมาณเกินเพดานโดยไม่มีข้อมูลสนับสนุน)
Automate budgetary control limits with auto-escalation features
(ใช้ระบบอัตโนมัติควบคุมวงเงินและแจ้งเตือนแบบอัตโนมัติ)
HR / Staffing Key hires approved without full background or reference checks
(อนุมัติจ้างงานสำคัญโดยไม่ตรวจสอบประวัติหรืออ้างอิงให้ครบถ้วน)
Make HRIS systems require completion of checks before issuing ID/email
(ให้ระบบ HR ต้องตรวจสอบครบก่อนออกบัตรหรืออีเมลให้พนักงาน)
Project Management Risk registers not updated during rapid execution phases
(ไม่อัปเดตรายการความเสี่ยงระหว่างช่วงดำเนินโครงการเร่งด่วน)
Create check-in gates at each milestone with mandatory risk update confirmation
(ตั้งจุดตรวจสอบทุกระยะพร้อมยืนยันการอัปเดตความเสี่ยง)
Culture “We don’t have time for risk steps” becoming a norm
(“ไม่มีเวลาทำตามขั้นตอนความเสี่ยง” กลายเป็นเรื่องปกติ)
Include risk compliance in performance goals for managers and teams
(ใส่เป้าหมายด้านการบริหารความเสี่ยงไว้ในเป้าหมายของผู้บริหารและทีมงาน)
Technology Access controls overridden to expedite implementation
(ข้ามระบบควบคุมการเข้าถึงเพื่อให้ดำเนินการเร็วขึ้น)
Enforce dual-layer IT access approvals for production environment changes
(ใช้ระบบอนุมัติการเข้าถึงแบบสองชั้นสำหรับระบบจริง)
Legal/Contracts Contracts signed without legal/risk vetting
(มีการลงนามสัญญาโดยไม่ผ่านการตรวจสอบด้านกฎหมายหรือความเสี่ยง)
Route all contracts above a certain value through DocuSign with legal sign-off only
(ให้สัญญาที่มูลค่าสูงผ่านระบบ DocuSign พร้อมเซ็นรับรองโดยฝ่ายกฎหมายเท่านั้น)
Sales Discounting or contract clauses outside of standard policy
(ลดราคาหรือเงื่อนไขในสัญญาที่ผิดจากนโยบายมาตรฐาน)
Set approval matrix in CRM for non-standard commercial terms
(ตั้งระบบการอนุมัติใน CRM สำหรับเงื่อนไขทางการค้าที่อยู่นอกมาตรฐาน)
Inventory Stock write-offs or reclassifications without risk explanation
(การตัดจำหน่ายหรือเปลี่ยนประเภทสต็อกโดยไม่มีคำอธิบายความเสี่ยง)
Review inventory adjustments weekly; require cross-check by finance and operations
(ตรวจสอบการปรับปรุงสต็อกทุกสัปดาห์และให้ฝ่ายการเงินกับปฏิบัติการตรวจซ้ำ)
Whistleblowing Rise in anonymous concerns about fast decisions or favoritism
(มีการแจ้งเบาะแสเพิ่มขึ้นเกี่ยวกับการตัดสินใจเร็วหรือการลำเอียง)
Activate internal audit sweep and conduct anonymous pulse surveys
(เริ่มการตรวจสอบภายในและสำรวจความคิดเห็นแบบไม่ระบุตัวตนเป็นระยะ)

Saturday, May 25, 2024

Effective Enterprise Risk Management -- ตลาดหลักทรัพย์แห่งประเทศไทย

 

  --

  • ข้อมูลจาก: ห้องเรียนบริษัทจดทะเบียน ตลาดหลักทรัพย์แห่งประเทศไทย

Thursday, May 23, 2024

การจัดการความเสี่ยง (Risk Management)

การจัดการความเสี่ยง (Risk Management) เป็นหนึ่งในกระบวนการหลักในการกำกับดูแลองค์กร นอกเหนือจากระบบการกำกับดูแลกิจการที่ดี (Good Governance) และระบบควบคุมภายใน (Internal Control) ที่มีประสิทธิผล ในการจัดการความเสี่ยงสรุปเป็น 8 ขั้นตอนดังนี้


1. ระบุความเสี่ยง (Risk Identification):

    ซึ่งอาจได้มาจาก

  • การทบทวนการดำเนินงาน กระบวนการ และทรัพย์สินของบริษัท

  • การสัมภาษณ์พนักงาน ผู้จัดการ และผู้มีส่วนได้ส่วนเสีย

  • พิจารณาปัจจัยภายนอก เช่น แนวโน้มของตลาด การพัฒนาอุตสาหกรรม และการเปลี่ยนแปลงด้านกฎระเบียบ

  • รายงานการตรวจสอบภายใน/ภายนอก และรายงานการตรวจสอบอื่น ๆ เช่น VA/Pentese

  • จำนวนอุบัติการณ์ที่เคยเกิดขึ้น

  • อื่น ๆ


2. จัดหมวดหมู่ความเสี่ยง:

     นำความเสี่ยงที่ได้จากข้อที่ 1 มาจัดหมวดหมู เพื่อให้ง่ายต่อการจัดการ และทำให้เห็นมุมมองความเสี่ยงในภาพกว้างขององค์กร โดยอาจเเบ่งออกเป็น

  •  ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เช่น การแข่งขันทางการค้า, การเปลี่ยนแปลงของตลาด

  •  ความเสี่ยงในการปฏิบัติงาน (Operational Risk) เช่น ความล้มเหลวของกระบวนการ, ข้อผิดพลาดของมนุษย์

  • ความเสี่ยงทางการเงิน (Financial Risk) เช่น ความผันผวนของตลาด, ความเสี่ยงด้านเครดิต, กระแสเงินสด, ลูกหนี้ค้างชำระ, หนี้ NPL

  • ความเสี่ยงในการปฏิบัติตามหฎหมาย/กฎระเบียบ (Compliance Risk) เช่น การไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

  • ความเสี่ยงต่อชื่อเสียง (Reputation Risk) เช่น ความเสียหายต่อแบรนด์ การรับรู้ของสาธารณชน)


3. ประเมินโอกาสและผลกระทบต่อความเสี่ยง (Risk Analysis):

     ประเมินโอกาส (ความน่าจะเป็น) และผลกระทบที่อาจเกิดขึ้น (ความรุนแรง) ของแต่ละความเสี่ยง โดยพิจารณาจาก

  • ข้อมูลในอดีต เกณฑ์มาตรฐานอุตสาหกรรม และความคิดเห็นของผู้เชี่ยวชาญ

  • มาตรการควบคุมที่มีอยู่ในปัจจุบัน

และกำหนดค่าระดับความเสี่ยงโดยอาศัยข้อมูลจากระดับโอกาสและผลกระทบที่เกิดขึ้น โดยทั่วไปจะคำนวนจาก



ค่าระดับความเสี่ยง = ค่าโอกาส X ค่าผลกระทบที่อาจเกิดขึ้น




ตัวอย่างการกำหนดระดับความเสี่ยงโดยวิเคราะห์จากค่าความเสี่ยง (1-5)



หมายเหตุ: ความเสี่ยงหลาย ๆ ความเสี่ยงมีความเชื่อมโยงระหว่างกันอาจส่งผลกระทบซึ่งกันและกัน โดยผลกระทบนั้นอาจมีลักษนะที่เชื่อมโยงแบบโดมิโน


4. จัดลำดับความสำคัญความเสี่ยง (Risk Evaluation):

    นำความเสี่ยงที่วิเคราะห์ได้มาจัดลำดับความสำคัญ โดยพิจารณาเน้นที่ความเสี่ยงที่มีโอกาสเกิดสูง และความเสี่ยงที่มีผลกระทบสูง องค์กรควรพิจารณาในการจัดทำเกณฑ์ หรือระดับการยอมรับความเสี่ยง ซึ่งโดยทั่วไปแล้วความเสี่ยงระดับต่ำ (Low) เป็นความเสี่ยงที่สามารถยอมรับได้ ความเสี่ยงระดับสูงถึงสูงมาก (high-Extreme) เป็นความเสี่ยงที่โดยปกติแล้วไม่ควรยอมรับ นั่นหมายความว่าองค์กรควรต้องหาแนวทางในการจัดการเพื่อลดความเสี่ยงลง ในขณะเดียวกันความเสี่ยงระดับปานกลาง (Medium) เป็นความเสี่ยงที่องค์กรควรพิจารณาถึงความเพียงพอของมาตรการควบคุมที่มีปัจจุบัน ต้นทุนในการลดความเสี่ยงและผลประโยชน์ที่อาจเกิดขึ้น เพื่อพิจารณาดำแนวทางในการดำเนินการต่อไป


โดยทั่วไปแล้วแนวทางในการจัดการความเสี่ยงที่นิยมกันจะมีอยู่ 4 แบบ คือ

  • ยอมรับความเสี่ยง (Accept)

  • การหลีกเลี่ยงความเสี่ยง (Avoid)

  • การกระจาย/โอนความเสี่ยง (Transfer)

  • การลด/การควบคุมความเสี่ยง (Mitigate)


5. จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง:

    เมื่อได้ความเสี่ยงในแต่ละระดับแล้ว และพิจารณาแล้วว่าความเสี่ยงนั้น ๆ จะดำเนินการอย่างไร ก็จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง โดยเจ้าของความเสี่ยง (Risk Owner) แผนการจัดการความเสี่ยงนั้นควรถูกนำเสนอผู้ที่เกี่ยวข้องเพื่อให้ความเห็น และอนุมัติการดำเนินการ


6. ติดตามและทบทวนความเสี่ยง:

    ปัญหาสำคัญที่การจัดการความเสี่ยงไม่มีประสิทธิผลคือไม่ระบบติดตามและทบทวนความเสี่ยง ทั้งนี้เพื่อปรับปรุงการประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อสะท้อนถึงการเปลี่ยนแปลงในการดำเนินงาน สภาวะตลาด หรือปัจจัยอื่น ๆ และติดตามประสิทธิภาพ/ประสิทธิผลการลดความเสี่ยงอย่างต่อเนื่อง


7. รายงานและสื่อสารความเสี่ยง:

    ผู้บริหารมีส่วนสำคัญอย่างยิ่งในการชี้นำ และตัดสินใจ ดังนั้นนำเสนอการประเมินความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบต่อฝ่ายบริหาร คณะกรรมการ และผู้มีส่วนได้เสีย อย่างสม่ำเสมอ และเมื่อมีการเปลี่ยนแปลงของความเสี่ยงสำคัญจะช่วยให้การจัดการความเสี่ยงมีประสิทธิภาพ 


8. การพัฒนาปรับปรุงอย่างต่อเนื่อง:

    ไม่มีหลักเกณฑ์/แนวทางไหนใช้ได้ดีไปได้ตลอด ความเสี่ยงระดับต่ำวันนี้อาจเป็นความเสี่ยงระดับสูงในวันพรุ่งนี้ การจัดการความเสี่ยงที่ดีในวันนี้ วันพรุ่งนี้อาจจะใช้ไม่ได้แล้ว การพัฒนาปรับปรุงอย่างต่อเนื่องจะช่วยให้องค์กรสามารถปรับตัวให้ทันต่อความเสี่ยงที่เกิดขึ้น และพร้อมรับความเปลี่ยนแปลง ทำให้องค์กรเกิดการพัฒนา

Tuesday, May 21, 2024

Risk Management -- การจัดการความเสี่ยง

การจัดการความเสี่ยงภาพรวมไม่ได้มีอะไรเยอะ มันก็มีประมาณนี้แหละ แต่รายละเอียดจะแตกต่างกันไปตามบริบทของหน่วยงาน และด้านที่กำลังประเมิน

Monday, May 13, 2024

Risk appetite vs Risk tolerance

ระดับความเสี่ยงที่ยอมรับได้ (risk appetite) เป็นความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นค่าเป้าหมาย (ค่าเดียว) หรือช่วงโดยระดับความเสี่ยงที่ยอมรับได้ ต้องสอดคล้องกับเป้าหมายขององค์กร(ประจำปีที่ระบุในแผนปฏิบัติงานประจำปี)

ระดับเบี่ยงเบนที่ยอมรับได้ (risk tolerance) เป็นช่วงเบี่ยงของระดับความเสี่ยงที่องค์กรยอมรับได้ โดยระดับเบี่ยงเบนที่ยอมรับได้ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ได้ระบุไว้ (ในแผนปฏิบัติงานประจำปี) ถ้าไม่มีการระบุ ควรเป็นค่าที่ได้ผ่านการอนุมัติแล้ว (เช่น ผ่านการอนุมัติจากคณะกรรมการบริหารองค์กร)

Wednesday, September 20, 2023

Risk Management - การจัดการความเสี่ยง ?

 


มีโอกาสได้เข้ามาดูงานการจัดการความเสี่ยงที่ศิริราช 2 อาทิตย์ ได้ดูสไลด์การจัดการความเสี่ยงของ รศ.พญ.ปรียานุช แย้มวงษ์ แล้วชอบนิยามของการจัดการความเสี่ยงของอาจารย์เป็นพิเศษ เราอาจหานิยามที่มีความเป็นวิชาการได้ แต่ของอาจารย์คือให้ความหมายที่ทำให้มองเห็นภาพ เวลาต้องอธิบาย เลยขอยืมอาจารย์ไปใช้อยู่บ่อย ๆ 



 "การจัดการความเสี่ยง เป็นศาสตร์และศิลป์ในการสร้างความสมดุล

เพื่อให้การใช้ชีวิต และการดำเนินงานขององค์กรเป็นไปตามทางสายกลาง

ที่เป็นไปอย่างไม่ประมาท แต่ก็ไม่ทุกขเกินเหตุ”



“ ชีวิตคนเรามีความเสี่ยงตลอดเวลา 

ตั้งแต่เรื่องเล็ก ๆ จนถึงเสี่ยงต่อชีวิต


ถ้าเรากลัวไปหมดซะทุกอย่าง

ก็จะไม่กล้าทำอะไรใหม่ ๆ เลย 

แต่ถ้าไม่สนใจอะไรเลย ก็ประมาท ”





รศ.พญ.ปรียานุช แย้มวงษ์ 

คณะแพทยศาสตร์ศิริราชพยาบาล