การจัดการความเสี่ยง (Risk Management)

การจัดการความเสี่ยง (Risk Management) ซึ่งเป็นหนึ่งในกระบวนการหลักในการกำกับดูแลองค์กร นอกเหนือจากระบบการกำกับดูแลกิจการที่ดี (Good Governance) และระบบควบคุมภายใน (Internal Control) ที่มีประสิทธิผล ในการจัดการความเสี่ยงสรุปเป็น 8 ขั้นตอนดังนี้

1. ระบุความเสี่ยง (Risk Identification):

    ซึ่งอาจได้มาจาก

• การทบทวนการดำเนินงาน กระบวนการ และทรัพย์สินของบริษัท

• การสัมภาษณ์พนักงาน ผู้จัดการ และผู้มีส่วนได้ส่วนเสีย

• พิจารณาปัจจัยภายนอก เช่น แนวโน้มของตลาด การพัฒนาอุตสาหกรรม และการเปลี่ยนแปลงด้านกฎระเบียบ

• รายงานการตรวจสอบภายใน/ภายนอก และรายงานการตรวจสอบอื่น ๆ เช่น VA/Pentese

• จำนวนอุบัติการณ์ที่เคยเกิดขึ้น

• อื่น ๆ

2. จัดหมวดหมู่ความเสี่ยง:

     นำความเสี่ยงที่ได้จากข้อที่ 1 มาจัดหมวดหมู เพื่อให้ง่ายต่อการจัดการ และทำให้เห็นมุมมองความเสี่ยงในภาพกว้างขององค์กร โดยอาจเเบ่งออกเป็น

•  ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เช่น การแข่งขันทางการค้า, การเปลี่ยนแปลงของตลาด

•  ความเสี่ยงในการปฏิบัติงาน (Operational Risk) เช่น ความล้มเหลวของกระบวนการ, ข้อผิดพลาดของมนุษย์

• ความเสี่ยงทางการเงิน (Financial Risk) เช่น ความผันผวนของตลาด, ความเสี่ยงด้านเครดิต, กระแสเงินสด, ลูกหนี้ค้างชำระ, หนี้ NPL

• ความเสี่ยงในการปฏิบัติตามหฎหมาย/กฎระเบียบ (Compliance Risk) เช่น การไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

• ความเสี่ยงต่อชื่อเสียง (Reputation Risk) เช่น ความเสียหายต่อแบรนด์ การรับรู้ของสาธารณชน)

3. ประเมินโอกาสและผลกระทบต่อความเสี่ยง (Risk Analysis):

     ประเมินโอกาส (ความน่าจะเป็น) และผลกระทบที่อาจเกิดขึ้น (ความรุนแรง) ของแต่ละความเสี่ยง โดยพิจารณาจาก

• ข้อมูลในอดีต เกณฑ์มาตรฐานอุตสาหกรรม และความคิดเห็นของผู้เชี่ยวชาญ

• มาตรการควบคุมที่มีอยู่ในปัจจุบัน

และกำหนดค่าระดับความเสี่ยงโดยอาศัยข้อมูลจากระดับโอกาสและผลกระทบที่เกิดขึ้น โดยทั่วไปจะคำนวนจาก

ค่าระดับความเสี่ยง = ค่าโอกาส X ค่าผลกระทบที่อาจเกิดขึ้น

ตัวอย่างการกำหนดระดับความเสี่ยงโดยวิเคราะห์จากค่าความเสี่ยง (1-5)

หมายเหตุ: ความเสี่ยงหลาย ๆ ความเสี่ยงมีความเชื่อมโยงระหว่างกันอาจส่งผลกระทบซึ่งกันและกัน โดยผลกระทบนั้นอาจมีลักษนะที่เชื่อมโยงแบบโดมิโน

4. จัดลำดับความสำคัญความเสี่ยง (Risk Evaluation):

    นำความเสี่ยงที่วิเคราะห์ได้มาจัดลำดับความสำคัญ โดยพิจารณาเน้นที่ความเสี่ยงที่มีโอกาสเกิดสูง และความเสี่ยงที่มีผลกระทบสูง องค์กรควรพิจารณาในการจัดทำเกณฑ์ หรือระดับการยอมรับความเสี่ยง ซึ่งโดยทั่วไปแล้วความเสี่ยงระดับต่ำ (Low) เป็นความเสี่ยงที่สามารถยอมรับได้ ความเสี่ยงระดับสูงถึงสูงมาก (high-Extreme) เป็นความเสี่ยงที่โดยปกติแล้วไม่ควรยอมรับ นั่นหมายความว่าองค์กรควรต้องหาแนวทางในการจัดการเพื่อลดความเสี่ยงลง ในขณะเดียวกันความเสี่ยงระดับปานกลาง (Medium) เป็นความเสี่ยงที่องค์กรควรพิจารณาถึงความเพียงพอของมาตรการควบคุมที่มีปัจจุบัน ต้นทุนในการลดความเสี่ยงและผลประโยชน์ที่อาจเกิดขึ้น เพื่อพิจารณาดำแนวทางในการดำเนินการต่อไป

โดยทั่วไปแล้วแนวทางในการจัดการความเสี่ยงที่นิยมกันจะมีอยู่ 4 แบบ คือ

• ยอมรับความเสี่ยง (Accept)

• การหลีกเลี่ยงความเสี่ยง (Avoid)

• การกระจาย/โอนความเสี่ยง (Transfer)

• การลด/การควบคุมความเสี่ยง (Mitigate)

5. จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง:

    เมื่อได้ความเสี่ยงในแต่ละระดับแล้ว และพิจารณาแล้วว่าความเสี่ยงนั้น ๆ จะดำเนินการอย่างไร ก็จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง โดยเจ้าของความเสี่ยง (Risk Owner) แผนการจัดการความเสี่ยงนั้นควรถูกนำเสนอผู้ที่เกี่ยวข้องเพื่อให้ความเห็น และอนุมัติการดำเนินการ

6. ติดตามและทบทวนความเสี่ยง:

    ปัญหาสำคัญที่การจัดการความเสี่ยงไม่มีประสิทธิผลคือไม่ระบบติดตามและทบทวนความเสี่ยง ทั้งนี้เพื่อปรับปรุงการประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อสะท้อนถึงการเปลี่ยนแปลงในการดำเนินงาน สภาวะตลาด หรือปัจจัยอื่น ๆ และติดตามประสิทธิภาพ/ประสิทธิผลการลดความเสี่ยงอย่างต่อเนื่อง

7. รายงานและสื่อสารความเสี่ยง:

    ผู้บริหารมีส่วนสำคัญอย่างยิ่งในการชี้นำ และตัดสินใจ ดังนั้นนำเสนอการประเมินความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบต่อฝ่ายบริหาร คณะกรรมการ และผู้มีส่วนได้เสีย อย่างสม่ำเสมอ และเมื่อมีการเปลี่ยนแปลงของความเสี่ยงสำคัญจะช่วยให้การจัดการความเสี่ยงมีประสิทธิภาพ 

8. การพัฒนาปรับปรุงอย่างต่อเนื่อง:

    ไม่มีหลักเกณฑ์/แนวทางไหนใช้ได้ดีไปได้ตลอด ความเสี่ยงระดับต่ำวันนี้อาจเป็นความเสี่ยงระดับสูงในวันพรุ่งนี้ การจัดการความเสี่ยงที่ดีในวันนี้ วันพรุ่งนี้อาจจะใช้ไม่ได้แล้ว การพัฒนาปรับปรุงอย่างต่อเนื่องจะช่วยให้องค์กรสามารถปรับตัวให้ทันต่อความเสี่ยงที่เกิดขึ้น และพร้อมรับความเปลี่ยนแปลง ทำให้องค์กรเกิดการพัฒนา

Spend 15 minutes to save 3 months in SAR

เขียนโดยอาจารย์ Anuwat Supachutikul

เมื่อวานเข้าเฟชบุคแล้วเห็นอาจารย์อนุวัฒน์โพสต์ไว้ฯ มีประโยชน์มากสำหรับคนเริ่มเขียน SAR โรงพยาบาลเพื่อขอรับรองมาตรฐาน HA ครับ ขอก็อบไว้ก่อนเดี๋ยวหาไม่เจออีก >>>

"กัลยาณมิตรท่านหนึ่งบอกว่ากำลังเร่งมือทำรายงานการประเมินตนเอง (SAR) ผมก็เลยบอกว่าลองส่งมาให้ดูสักหมวดหนึ่ง เมื่ออ่านแล้วผมก็ให้ข้อคิดเห็นเพื่อให้ทีมงานได้รับประโยชน์เต็มที่จากการใช้มาตรฐานมาประเมินตนเอง แล้วคิดว่า รพ.อื่นๆ ก็น่าจะได้รับประโยชน์ด้วย จึงนำมาแบ่งปันกันครับ

บริบท

เราน่าจะทบทวนว่าเรากำหนดส่วนตลาดเพื่ออะไร และใช้ประโยชน์จากการกำหนดส่วนตลาดนั้นอย่างไร โดยทั่วไป ภาคเอกชนจะใช้การแบ่งส่วนตลาดเพื่อกำหนดวิธีการ marketing หรือเพื่อเปรียบเทียบกับคู่แข่งว่าสามารถขยายส่วนตลาดที่เป็นเป้าหมายได้อย่างไร  

ขณะที่การแบ่งกลุ่มผู้ป่วยมักจะแบ่งกลุ่มตามความต้องการที่มีลักษณะคล้ายกัน เพื่อกำหนดวิธีการรับฟัง กำหนดบริการที่เหมาะสมกับแต่ละกลุ่ม และกำหนดกลุ่มที่จะมุ่งเน้น (ในบริการภาครัฐ คือกลุ่มที่ยังมีปัญหาในการเข้าถึงบริการ ถ้าเป็นเอกชนคือกลุ่มที่จะทำชื่อเสียงหรือทำกำไรให้มากที่สุด)

I-3.1 ก. การรับฟังผู้ป่วยและผู้รับผลงาน

Purpose เป้าหมายควรเป็นเพื่อให้ได้ข้อมูลความต้องการของผู้รับบริการที่นำไปใช้ประโยชน์ได้ (actionable information) วิธีการรับฟังควรสอดคล้องกับกลุ่มผู้ป่วยที่เราจำแนกไว้ เช่น กลุ่มผู้สูงอายุเรารับฟังอย่างไรจึงได้ความต้องการเฉพาะของกลุ่มนี้  หรือว่ากลุ่มผู้ป่วยประกันสังคม กลุ่ม UC กลุ่มที่ต้องการบริการ rehab ต่อเนื่อง เรามีวิธีพิเศษในการรับฟังอย่างไร

Performance ควรประเมินว่าข้อมูลที่ได้มานั้้นเราเอาไปใช้ประโยชน์ได้มากน้อยเพียงใด เช่น เอาไปปรับปรุงอะไรบ้าง หรือว่ามีข้อมูลอะไรที่เราควรได้รับแต่ยังไม่ได้รับจากการรับฟัง  ตรงนี้อาจจะยากนิดหนึ่งว่าจะประเมินอย่างไร

แต่ถ้าเราได้ข้อมูลที่เป็น insight จำนวนมาก ก็ไม่ต้องเป็นห่วงว่าเรายังขาดข้อมูลที่ควรได้ ปัญหาคือเราไม่ได้ให้ความสำคัญกับการรับฟังอย่างจริงจัง ในสิ่งที่ผู้ป่วยไม่ได้พูดออกมาตามระบบการสอบถามปกติ  

Process กระบวนการรับฟังที่ดีควรเป็นการทำ interview หรือ focus group กับแต่ละกลุ่มเป้าหมาย  แต่หากระยะเวลาจำกัด เราอาจจะใช้วิธีลัด คือถามผู้ป่วยในที่จะจำหน่ายทุกราย 2 ข้อ (1) พอใจกับอะไรมากที่สุด (2) อยากให้ปรับปรุงอะไรมากที่สุด เอามาจำแนกตามกลุ่มผู้ป่วยก็ได้ข้อมูลมากมายที่จะนำไปใช้ประโยชน์ ส่วนผู้ป่วยนอกก็สุ่มเท่าที่ทำได้ ไม่ต้องมากเกินไป

I-3.1 ข(1) การกำหนดกลุ่มผู้ป่วย 

Purpose เป้าหมายน่าจะเป็น มีการจำแนกกลุ่มผู้ป่วยอย่างเหมาะสมเพื่อประโยชน์ในการรับฟัง ออกแบบบริการ และกำหนดกลุ่มที่มุ่งเน้น

 Process กระบวนการน่าจะเริ่มด้วยการทดลองจำแนกกลุ่มผู้ป่วยหลายๆ วิธี แล้วเอาข้อมูลต่างๆ มาประกอบเพื่อพิสูจน์สมมติฐานหรือเหตุของของการจำแนกนั้น  เช่น ถ้าเราจำแนกผู้ป่วยเขตเมืองกับชนบท อะไรคือสมมติฐานว่าสองกลุ่มนนี้มีความต้องการต่างกัน หรือมี demand ในการใช้บริการต่างกัน หรือมีความยากในการติดตามการรักษาต่างกัน แล้วเราจะใช้ข้อมูลอะไรมาพิสูจน์สมมติฐานนั้น  ถ้าข้อมูลสนับสนุน เราก็สามารถใช้การจัดกลุ่มนั้นได้  หรือถ้าเราจะบอกว่ากลุ่มไหนเป็นกลุ่มที่เราจะมุ่งเน้น เราต้องใช้ข้อมูลอะไรมายืนยันเหตุผลของการมุ่งเน้นของเรา

I-3.2 ก. การสร้างความสัมพันธ์และจัดการข้อร้องเรียน

Purpose เป้าหมายน่าจะเป็นเพื่อความสัมพันธ์ที่ดีระหว่างบุคลากรและผู้รับบริการ เอื้อต่อการดูแลรักษา ผู้ป่วยมีความเชื่อมั่น และมีความมุ่งมั่นที่จะรับผิดชอบต่อสุขภาพของตนเอง

ในที่นี้ความผูกพันคือการที่ผู้ป่วยมุ่งมั่นที่จะรับผิดขอบต่อสุขภาพของตนเอง

Process วิธีการมีมากมาย ควรทบทวนดูให้ดี (1) การสร้างความสัมพันธ์เมื่อแรกสัมผัสกับผู้รับบริการ ทั้งผู้ป่วยนอกและผู้ป่วยใน (2) การสร้างความสัมพันธ์เมื่อรับไว้เป็นผู้ป่วยใน (3) การสร้างความสัมพันธ์เพื่อการดูแลต่อเนื่อง (4) การให้ข้อมูลผู้ป่วย (5) การให้ผู้ป่วยร่วมตัดสินใจในแผนการดูแล (6) การเสริมพลังให้ผู้ป่วยและครอบครัวดูแลตนเองต่อเนื่อง (7) การสนับสนุนวัสดุอุปกรณ์และติดตามดูแลต่อเนื่อง เป็นต้น

Performance ในเรื่องนี้สามารถประเมินผ่านความพึงพอใจของผู้ป่วยในด้านต่างๆ เช่น เรื่องการได้รับข้อมูล การมีโอกาสร่วมตัดสินใจ ความมั่นใจในการดูแลตนเองต่อเนื่อง รวมไปถึงการวัดด้วย PAM (patient activation measure)

I-3.2 ข. การประเมินความพึงพอใจ 

ผลลัพธ์น่าจะแสดงทั้งใน I-3 และ IV-2 โดยต้องวิเคราะห์ว่าประเด็นที่ผู้ป่วยให้ความสำคัญคืออะไร และควรแสดง trend อย่างน้อย 3 ปีให้เห็นว่าตัวไหนดีขึ้น ตัวไหนแย่ลง มีการลงมือปฏิบัติอะไรที่ทำให้ดีขึ้น หรือเป็นผลมาจากที่แย่ลง  

 ความพึงพอใจโดยรวมไม่ได้บอกอะไร คือไม่ได้ทำให้เรามีโอกาสอธิบายว่าเราเอาผลการประเมินไปทำอะไรบ้าง ควรทำ graph แสดงให้เห็นความพึงพอใจต่อประเด็นที่เรานำไปปรับปรุง เมื่อปรับปรุงแล้วเห็นการเปลี่ยนแปลงที่ดีขึ้น เช่น เรื่องพฤติกรรมบริการ เรื่องอาคารสถานที่ ก็เอาความพึงพอใจของเรื่องนั้นๆ มาทำเป็นกราฟเฉพาะเรื่องนั้นๆ ไปเลย

หวังว่าการใช้เวลา 15 นาที ทำความเข้าใจแนวคิดเหล่านี้ จะทำให้ทีมงานไม่ต้องเสียเวลาโดยเปล่าประโยชน์ไป 3 เดือน (ตัวเลขสมมติ)"

ที่มา;

DPA or DSA or NDA?

คำถามที่มักถูกถามเกี่ยวกับการรักษาความลับของข้อมูลกรณีที่มีการจ้าง Vendor หรือมีการแลกเปลี่ยนข้อมูลกับหน่วยงานภายนอก มันจะต้องทำอะไร  DPA or DSA or NDA?

1. กรณีการให้หน่วยงานภายนอกประมวลข้อมูลประเภทลับขึ้นไป แต่ไม่รวมถึงข้อมูลส่วนบุคคล

> กำหนดการรักษาความลับในเอกสารสัญญา/TOR 

2. กรณีการให้หน่วยงานภายนอกประมวลผลข้อมูลส่วนบุคคล (Controller - Processor)
   > ให้จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) *มาตรา 40 พรบ.คุ้มครองข้อมูลส่วนบุคคล

3. กรณีที่มีการแลกเปลี่ยนการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน (Controller - Controller)
   > ให้จัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (DSA) *** ไม่ได้มีข้อบังคับตามกฎหมาย แต่ทำไว้ก็ดี

4. กรณีบุคคลภายนอกที่มีความเสี่ยงในการเข้าถึงข้อมูลประเภทลับขึ้นไป (นักศึกษาฝึกงาน, จิตอาสา, ผู้เยี่ยมสำรวจ, ฯลฯ)

> ให้ลงนามข้อตกลงไม่เปิดเผยความลับ (Non-Disclosure Agreement) *บุคลากรภายในจะกำหนดเป็นนโยบาย หรือจะให้เซ็นต์แล้วแต่องค์กรพิจารณา

Risk Management -- การจัดการความเสี่ยง

การจัดการความเสี่ยงภาพรวมไม่ได้มีอะไรเยอะ มันก็มีประมาณนี้แหละ แต่รายละเอียดจะแตกต่างกันไปตามบริบทของหน่วยงาน และด้านที่กำลังประเมิน

Password Guideline --- แนวทางการตั้งค่ารหัสผ่าน

Category	Parameter name	Guidelines	Explain
Aging	Minimum password duration	1 Day	The shortest time you must wait before changing your password again. เวลาสั้นที่สุดที่จะต้องรอก่อนเปลี่ยนรหัสผ่านอีกครั้ง ทั้งนี้เพื่อป้องกันผู้ใช้ไม่ให้เปลี่ยนรหัสผ่านหลายครั้งในระยะเวลาอันสั้นเพื่อกลับมาใช้รหัสผ่านที่ชื่นชอบ
	Maximum password duration	90 Day	The longest time you can use the same password before you need to change it. เวลาที่ยาวที่สุดที่คุณสามารถใช้รหัสผ่านเดิมได้ก่อนที่ต้องเปลี่ยนใหม่ ทั้งนี้การเปลี่ยนรหัสผ่านเป็นประจำช่วยจำกัดความเสียหายที่อาจเกิดจากการละเมิดรหัสผ่าน
	Password history	5	The number of previous passwords the system remembers to prevent you from reusing them. จำนวนรหัสผ่านก่อนหน้าที่ระบบจะจำเพื่อป้องกันไม่ให้คุณใช้ซ้ำ ทั้งนี้เพื่อป้องกันไม่ให้ผู้ใช้กลับมาใช้รหัสผ่านเดิมเร็วเกินไป ทำให้เกิดการสร้างรหัสผ่านใหม่และไม่ซ้ำกัน ซึ่งจะทำให้ยากต่อการคาดเดาของผู้ประสงค์ร้าย
	Minimum length	12	The fewest characters your password must have. จำนวนตัวอักษรที่น้อยที่สุดที่รหัสผ่านของคุณต้องมี ทั้งนี้แม้การใช้จำนวนอักษรที่มากจะทำให้เกิดความปลอดภัยแต่ก็แลกมาด้วยความยากในการจดจำรหัสผ่านนั้น ๆ ความยาว 12 ตัวอักษรเป็นสมดุลที่ดีระหว่างความปลอดภัยและความสะดวกของผู้ใช้ ทำให้รหัสผ่านมีความยาวเพียงพอในการต่อต้านการโจมตีแบบ brute-force
Complexity	Complexity	Yes (4 Levels)	Requirements for your password to include a mix of uppercase letters, lowercase letters, numbers, and special characters. ข้อกำหนดให้รหัสผ่านของคุณมีการผสมผสานระหว่างอักษรตัวพิมพ์ใหญ่, อักษรตัวพิมพ์เล็ก, ตัวเลข และอักขระพิเศษ การกำหนดความซับซ้อนทำให้รหัสผ่านยากต่อการคาดเดาหรือแคร็กโดยใช้วิธีการอัตโนมัติ
	Uppercase (A-Z)	Yes
	Lowercase (a-z)	Yes
	Numbers (0-9)	Yes
	Special characters (#, %, etc.)	Yes
Lockout	Logon attempt before lockout	5	The number of times you can try to log in before your account is temporarily locked. จำนวนครั้งที่คุณสามารถพยายามล็อกอินได้ก่อนที่บัญชีของคุณจะถูกล็อกชั่วคราว โดยการลดจำนวนครั้งที่อนุญาตให้ล็อกอินก่อนถูกล็อก ช่วยลดโอกาสที่ผู้โจมตีจะคาดเดารหัสผ่านโดยใช้วิธีการลองผิดลองถูก
	Lockout duration	30 min	The time your account will be locked if you exceed the allowed number of login attempts. เวลาที่บัญชีของคุณจะถูกล็อกหากคุณล็อกอินผิดเกินจำนวนครั้งที่อนุญาต น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป
	Reset logon attempts	30 min	The time after which the count of unsuccessful login attempts is reset. ระยะเวลาที่จำนวนครั้งที่ล็อกอินไม่สำเร็จจะถูกรีเซ็ต น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป
Others	Password change at the first logon	Yes	Requires you to change your password the first time you log in. กำหนดให้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก เป็นการทำให้มั่นใจว่ารหัสผ่านเริ่มต้น (ซึ่งมักตั้งโดยผู้ดูแลระบบ) จะถูกเปลี่ยนทันทีโดยผู้ใช้ให้เป็นสิ่งที่ผู้ใช้รู้เพียงคนเดียว
	Multi Factor Authentication	Required	An additional security step requiring a second form of verification besides your password. ขั้นตอนการยืนยันตัวตนเพิ่มเติมนอกจากรหัสผ่าน โดย  MFA จะช่วยเพิ่มระดับความปลอดภัยเพิ่มเติม ทำให้ผู้โจมตียากขึ้นมากกว่าการเข้าถึงโดยใช้รหัสผ่านเพียงอย่างเดียว