การจัดการความเสี่ยง

การจัดการความเสี่ยง (Risk Management) สำหรับองค์กร

การดำเนินธุรกิจในปัจจุบันมีความยุ่งยากและสลับซับซ้อนขึ้นเรื่อยๆ และก็ยิ่งเป็นการยากสำหรับผู้บริหารที่  จะทราบว่ามีปัญหาอะไรรออยู่ในอนาคตบ้าง ดังนั้นธุรกิจจึงมีความจำเป็นอย่างยิ่งที่จะต้องมีกระบวนการอย่างเป็นระบบเพื่อที่จะให้ทราบว่าธุรกิจจะเผชิญปัญหาอะไรและจะหาทางป้องกันอย่างไรเพื่อให้ความสูญเสียที่อาจจะเกิดขึ้นมี      ผลกระทบต่อธุรกิจน้อยที่สุด ดังนั้นการจัดการความเสี่ยงจึงหมายถึง กระบวนการวางแผนการบริหารและการจัดการความเสี่ยง เพื่อช่วยในการตัดสินใจของบุคคลหรือธุรกิจใดๆในอันที่จะหาวิธีการที่ดีที่สุด เพื่อใช้เป็นแนวทางในการตัดสินใจแก้ไขปัญหาต่างๆที่อาจเกิดขึ้นในอนาคต ทั้งนี้เพื่อลดความเสียหายที่อาจเกิดขึ้นให้น้อยที่สุด โดยมีค่าใช้จ่ายน้อยที่สุด

ความเสี่ยง คือ ความไม่แน่นอนต่อการประสบกับเหตุการณ์ หรือ สภาวะที่เราต้องเผชิญกับสถานการณ์อันไม่พึงประสงค์โดยมีความน่าจะเป็น หรือโอกาสในสิ่งนั้นๆมากกว่าศูนย์

การจัดการความเสี่ยง หรือ การบริหารความเสี่ยง (Risk Management) คือ กระบวนการในการระบุ (Risk Identification) วิเคราะห์ (Risk analysis) ประเมิน (Risk assessment) ดูแลตรวจสอบและควบคุมความเสี่ยง (Risk Control) ที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง

นิยามของความเสี่ยง ความเสี่ยงมีความหมายในหลากหลายแง่มุม เช่น ความเสี่ยงคือ

1. โอกาสที่เกิดขึ้นแล้วธุรกิจจะเกิดความเสียหาย (Chance of Loss)

2. ความเป็นไปได้ที่จะเกิดความเสียหายต่อธุรกิจ (Possibility of Loss)

3. ความไม่แน่นอนของเหตุการณ์ที่จะเกิดขึ้น (Uncertainty of Event)

4. การคลาดเคลื่อนของการคาดการณ์ (Dispersion of Actual Result)

แนวทางในการบริหารความเสี่ยง ซึ่งโดยปกติจะประกอบด้วย

            1. การกำหนดวัตถุประสงค์ของการจัดการความเสี่ยงของบริษัท (Objective) และการประเมินความเสี่ยง (Risk Assessment)

       ถือเป็นสิ่งที่จำเป็นที่สุดที่แต่ละองค์กรจะต้องสามารถวิเคราะห์ (Risk Analysis) และกำหนดให้ได้ว่าองค์กรหรือหน่วยงานใดในองค์กรต้องเผชิญกับความเสี่ยงใดบ้าง (Risk Identification) ซึ่งความเสี่ยงที่เกิดขึ้นอาจมีขนาดและ    ผลกระทบที่แตกต่างกัน (Risk Estimation) โดยที่ความเสี่ยงบางประเภทอาจจะมีโอกาสหรือความเป็นไปได้ที่จะเกิด (Likelihood) ตั้งแต่น้อยมาก (Rare) จนไปถึงมีความเป็นไปได้สูง (Almost Certain) รวมถึงผลกระทบที่ตามมาจากความเสี่ยงที่เกิดขึ้น (Consequence) อาจมีตั้งแต่ระดับน้อยมาก (Insignificant) ในขณะที่ความเสี่ยงบางประเภทอาจมีแนวโน้มที่อาจก่อให้เกิดความเสียหายแก่องค์กรอย่างมหาศาล (Catastrophic) ดังนั้นบุคคลากรในธุรกิจจึงควรที่จะวิเคราะห์และกำหนดความเสี่ยงที่ธุรกิจนั้นเผชิญให้ได้ ยกตัวอย่างเช่นการวิเคราะห์ความเสี่ยงของบริษัทแห่งหนึ่งเกี่ยวกับโอกาสของการเกิดความเสี่ยงจากเหตุการณ์ใดๆและผลกระทบของความเสี่ยงต่อด้านต่างๆ ขององค์กรธุรกิจ ได้แก่ ด้านการเงิน (Financial) ชื่อเสียง (Reputation) การหยุดชะงักขององค์กร (Business Interruption) และบุคลากร (Human) เป็นต้น

ความน่าจะเป็นหรือโอกาสในการเกิดความเสี่ยง (Likelihood)

        ความน่าจะเป็นนี้ขึ้นอยู่กับแต่ละองค์กรณ์ในการกำหนดว่าโอกาสของการเกิดเหตุการณ์นั้นๆต้องมีมากน้อยขนาดไหนถึงจะจัดว่ามีโอกาสน้อยหรือมาก

1.1 ผลกระทบหรือความเสียหายที่เกิดจากความเสี่ยง (Consequence)

ผลกระทบหรือความเสียหายต่อองค์กรที่เกิดจากความเสี่ยงสามารถแบ่งออกเป็นด้านต่างๆ ได้แก่

1.1.1 ความเสียหายด้านทรัพย์สินหรือตัวเงิน (Financial)

1.1.2 ความเสียหายด้านชื่อเสียงขององค์กร (Reputation)

1.1.3 ความเสียหายด้านการหยุดชะงักของการดำเนินการขององค์กร (Business Interuption)

1.1.4 ความเสียหายด้านบุคลากร (Human)

1.2 การประเมินผลกระทบของความเสียหายอาจแบ่งเป็นระดับได้ดังนี้ (Consequence or Impact is measured using the following scale)

1.2.1 Insignificant

1.2.2 Small

1.2.3 Medium

1.2.4 Large

1.2.5 Catastrophic

ความรุนแรงของเสียหายแต่ละระดับ ขึ้นอยู่กับองค์กรจะระบุว่าความเสียหายแต่ละระดับอยู่ที่เหตุการณ์แบบไหนหรือมีมูลค่าเท่าไหร่ หลังจากที่มีการประเมินความน่าจะเป็นหรือโอกาสในการเกิดของความเสี่ยงแต่ละหัวข้อรวมถึงการประมาณการความเสียหายจากความเสี่ยงนั้นๆแล้ว ก็จะนำเอาทั้งสองกรณีมาพิจารณา โดยใช้ตารางประเมิน   ความเสี่ยง (Risk Matrix) เพื่อประเมินว่าความเสี่ยงใดที่ให้ความสำคัญในการบริการจัดการ (Risk Prioritization)    รวมถึงหาวิธีการจัดการที่เหมาะสม

                                                                                       Risk Matrix

Legend for Risk Ratings

E-Extreme Risk ความเสี่ยงระดับสูงสุด ต้องมีแผนการจัดการที่แน่นอนไว้รองรับ

H-High Risk ความเสี่ยงระดับสูง ต้องมีการเตรียมการเตรียมแผนการจัดการไว้รองรับ

M-Moderate Risk ความเสี่ยงระดับกลาง ควรติดตามความเสี่ยงเป็นระยะ เพื่อวางแผนการจัดการ

L-Low Risk ความเสี่ยงระดับต่ำ อาจยอมรับความเสี่ยงไว้ได้ หรือคอยติดตามระบุระดับความเสี่ยงเป็นระยะ เพราะความเสี่ยงระดับต่ำอาจเพิ่มระดับความรุนแรงกลายเป็นความเสี่ยงระดับกลางหรือสูงได้

การประเมินความเสี่ยงดังกล่าวเพื่อเป็นแนวทางในการตัดสินใจถึงความสำคัญของการจัดการความเสี่ยงแต่ละเรื่อง และเพื่อให้ผู้บริหารสามารถจัดลำดับความสำคัญของความเสี่ยง (Prioritization) ที่จำเป็นต้องได้รับการจัดการอย่างเป็นลำดับ รวมไปถึงใช้เป็นแนวทางในการตัดสินใจเลือกวิธีที่เหมาะสมในการจัดการกับความเสี่ยงนั้นๆ

2. การหาวิธีการจัดการกับความเสี่ยง

2.1 การลดความเสี่ยง (Risk Reduction) ความเสี่ยงที่ได้รับอาจลดลงได้ ด้วยวิธีการหาทางป้องกันเพื่อมิให้มีความเสียหายเกิดขึ้น การลดความเสี่ยงนี้มีวัตถุประสงค์เพื่อที่จะลดจำนวนครั้งของความเสียหายลง หรือลดความรุนแรงของเหตุการณ์ที่อาจเกิดขึ้นในอนาคต การวิเคราะห์อาจอาศัยข้อมูลในอดีต ปัจจุบัน ซึ่งรวมถึงข้อมูลการคาดการณ์     ในอนาคตประกอบการตัดสินใจ

2.2 การรับความเสี่ยงไว้เอง (Risk Retention) คือการที่ผู้บริหารขององค์กรนั้นๆ ยินยอมที่จะรับภาระ    ความเสี่ยงหรือความเสียหายที่เกิดขึ้นนั้นไว้เอง เนื่องจากเล็งเห็นว่าโอกาส หรือความน่าจะเป็นที่จะเกิดความเสียหาย  อยู่ในวิสัยที่การทำธุรกิจนั้นยอมรับได้

2.3. การโอนความเสี่ยง (Risk Transfer) เป็นวิธีการจัดการความเสี่ยงอีกรูปแบบหนึ่งที่ธุรกิจจะต้องวิเคราะห์และตัดสินใจที่จะเลือกโอนความเสี่ยงออกไปในรูปแบบใด ทั้งนี้ขึ้นอยู่กับความเหมาะสมของธุรกิจนั้นๆ เช่น การโอนความเสี่ยงไปให้บุคคลอื่นที่มิใช่บริษัทประกันโดยสัญญา หรือการโอนความเสี่ยงไปให้บริษัทประกันภัยตามรูปแบบ    และเงื่อนไขที่ธุรกิจต้องการ

2.4. การหลีกเลี่ยงความเสี่ยง (Risk Aviodance) การหลีกเลี่ยงความเสี่ยงอาจกระทำได้โดยวิธีการง่ายๆ      โดยที่ธุรกิจไม่พยายามเข้าไปยุ่งเกี่ยวกับกิจกรรมที่ก่อให้เกิดความเสี่ยง อย่างไรก็ตามวิธีการหลีกเลี่ยงความเสี่ยงนี้      น่าจะเป็นวิธีสุดท้ายหลังจากที่ได้พิจารณาแล้วเห็นว่าไม่อาจใช้วิธีการอื่นเข้ามาแก้ไขได้เท่านั้น การตัดสินใจในวิธีการนี้ธุรกิจต้องเปรียบเทียบข้อดีและข้อเสียก่อนการตัดสินใจ

3. การคัดเลือกวิธีการที่ดีที่สุด

3.1 การตัดสินใจคัดเลือกวิธีการบริหารความเสี่ยงจะต้องคำนึงถึง

3.1.1 ความรุนแรงที่อาจเกิดขึ้นหากเลือกวิธีการดังกล่าว และการเตรียมแนวทางแก้ไข

3.1.2 ค่าใช้จ่ายที่จะใช้ในการจัดการตามวิธีการที่คัดเลือกมีจำนวนมากน้อยเพียงใด

3.1.3 ผลกระทบต่อฐานะทางการเงินของธุรกิจที่อาจได้รับจากการตัดสินใจเลือกวิธีการดังกล่าว

อย่างไรก็ตาม ภายหลังจากที่ได้ตัดสินใจเลือกวิธีการที่จะใช้ในการจัดการความเสี่ยงด้วยวิธีใดแล้ว สิ่งสำคัญ    ที่ต้องพิจารณาคือ มาตรการที่ได้เลือกใช้นั้นมีความเหมาะสมกับภาวะแวดล้อมในปัจจุบันมากน้อยเพียงใด ทั้งนี้เพื่อให้ธุรกิจสามารถปรับเปลี่ยนรูปแบบการบริหารความเสี่ยงให้สอดคล้องกับสถานการณ์อันจะเป็นประโยชน์ต่อธุรกิจต่อไป

4. รายงานความเสี่ยงที่เหลือ (Residual Risk Reporting)

เมื่อได้ดำเนินการตามแนวทางที่ระบุไว้แล้ว ก็จะทำการรวบรวมความเสี่ยงที่ยังคงเหลือไปนำเสนอผู้ที่มีอำนาจในการตัดสินใจ

5. ติดตามผล และประเมินผล (Monitoring and Evaluation)

เมื่อการดำเนินงานในขั้นต่าง ๆ ได้ดำเนินงานผ่านพ้นไป ขั้นตอนนี้จะเป็นการติดตามผลที่ได้กระทำไป

Rating for effectiveness of Risk Control

Non-existing         No risk mitigation activities are operating or existing.

Poor                   There have been frequent risk mitigation failures (up to 40%) or the risk mitigation is found to be unsatisfactory. They may be effective, but are not continuously applied, well placed, efficient or able to automatically adjust to changes in the environment.

Fair                     Risk mitigations are in place, effective and continuously applied but there may be instances of risk mitigation failures (up to 20%). Some risk mitigations may not be well placed, efficient nor able to automatically adjust to changes in environment.

Good                     Risk mitigations are effective, continuously applied and well placed with some instances of risk mitigation failures (up to 5%). Few risk mitigations are neither efficient nor able to automatically adjust to changes in the environment.

Very Good           All risk mitigations are in place and there have been no instances of risk mitigation failures. Risk mitigations are effective, continuously applied well placed and efficient and are able to automatically adjust to changes in the environment.

อย่างไรก็ตามแม้จะมีการการจัดการกับความเสี่ยงที่ถูกระบุไว้เป็นอย่างดีเรียบร้อยแล้ว  องค์กรไม่ควรอยู่นิ่งหรือหยุดกิจกรรมการจัดการความเสี่ยง เพราะความจริงแล้วความเสี่ยงใหม่ๆเกิดขึ้นได้เสมอ ดังนั้นทุกๆองค์ควรมีกิจกรรมในการประเมินความเสี่ยงใหม่ๆที่อาจเกิดขึ้นในองค์กรตลอดเวลา เพื่อหาทางรับมือและจัดการกับความเสี่ยงที่อาจเกิดขึ้นอย่างเหมาะสมและทันท่วงที

6. มาตรการรับมือกับภัย 5 มาตรการ (5 R)

6.1 R1 Readiness ความเตรียมพร้อม

องค์กรต้องเตรียมความพร้อมระบบการบริหารความเสี่ยงให้มีความพร้อมในการจัดทำมาตรการขจัดหรือควบคุมภัยต่างๆเอาไว้ล่วงหน้า

6.2 R2 Response การตอบสนองอย่างฉับไว

เมื่อเกิดอุบัติภัยขึ้นระบบต้องมีสมรรถนะที่ดีพอในการตอบโต้ภัยแต่ละชนิดอย่างได้ผลและทันเวลา

6.3 R3 Rescue การช่วยเหลือกู้ภัย

เป็นกระบวนการปกป้องชีวิตและทรัพย์สินขององค์กร ที่ได้ผลและทันเวลา

6.4 R4 Rehabilitation การกลับเข้าไปทำงาน

เมื่ออุบัติภัยสิ้นสุดลงแล้วต้องกลับเข้าไปที่เดิมให้เร็วที่สุดเพื่อ การซ่อมแซม การเปลี่ยนใหม่ หรือการสร้างขึ้นใหม่ (Rebuild) เพื่อให้อาคารสถานที่พร้อมที่จะดำเนินกิจการต่อไปได้ อาจรวมไปถึงการประกันภัยด้วย

6.5 R5 Resumption การกลับคืนสู่สภาวะปกติ

องค์กรสามารถเปิดทำการ หรือ ดำเนินธุรกิจต่อไปตามปกติได้เสมือนว่าไม่มีอุบัติภัยมาก่อน Response กับ Rescue อาจจะเหมือนเป็นเรื่องเดียวกัน แต่ความจริงแล้วแตกต่างกัน โดยขอยกตัวอย่าง กรณีเกิดอัคคีภัย อุปกรณ์ดับเพลิงอัตโนมัติ รวมถึง Fire Alarm คือขั้นตอนของ Response แต่ไฟฉุกเฉินและเครื่องช่วยหายใจ เพื่อให้พนักงานสวม เพื่อหนีออกจากอาคาร เป็นขั้นตอนของ Rescue

ขอขอบคุณ       :  https://www.gotoknow.org/posts/364878

สืบค้นเมื่อวันที่   :  6 ธันวาคม พ.ศ.2560