องค์ประกอบที่ 1: สภาพแวดล้อมภายในองค์กร
สภาพแวดล้อมในองค์กรเป็นพื้นฐานที่สำคัญสำหรับการบริหารความเสี่ยง เนื่องจากมีอิทธิพลต่อการกำหนดกลยุทธ์และเป้าหมายขององค์กร โดยสภาพแวดล้อมภายในองค์กรประกอบด้วยหลายปัจจัย เช่น จริยธรรม วิธีการทำงานของผู้บริหารและบุคลากร รวมถึงปรัชญาและวัฒนธรรมในการบริหารความเสี่ยง
องค์ประกอบที่ 2: การกำหนดวัตถุประสงค์
วัตถุประสงค์ที่กำหนดไว้ในระดับกลยุทธ์ เป็นพื้นฐานของการกำหนดวัตถุประสงค์ด้านการปฏิบัติการ การรายงาน และการปฏิบัติตามกฎระเบียบ ทุกองค์กรจะเผชิญกับความเสี่ยงที่หลากหลายทั้งจากปัจจัยภายในและภายนอก การกำหนดวัตถุประสงค์จึงเป็นเงื่อนไขเบื้องต้นที่จะทำให้สามารถระบุเหตุการณ์ ประเมินความเสี่ยง และตอบสนองต่อความเสี่ยงได้อย่างมีประสิทธิผล และสอดคล้องกับระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ขององค์กร
องค์ประกอบที่ 3: การบ่งชี้เหตุการณ์
ฝ่ายบริหารจะระบุเหตุการณ์ที่อาจจะเกิดขึ้นว่า หากเหตุการณ์เหล่านั้นเกิดขึ้นแล้วจะส่งผลกระทบที่เป็นโอกาส หรืออุปสรรคต่อความสามารถในการดำเนินกลยุทธ์ให้สำเร็จและการบรรลุวัตถุประสงค์ขององค์กรหรือไม่ โดยในกระบวนการบ่งชี้เหตุการณ์ผู้บริหารควรต้องพิจารณาสิ่งต่อไปนี้
· ปัจจัยความเสี่ยงทุกด้านที่อาจเกิดขึ้น เช่น ความเสี่ยงด้านกลยุทธ์ การเงิน การปฏิบัติงาน และการปฏิบัติตามกฎระเบียบข้อบังคับ
· แหล่งความเสี่ยงทั้งจากภายในและภายนอกองค์กร
· ความสัมพันธ์ระหว่างเหตุการณ์ที่อาจเกิดขึ้น
องค์ประกอบที่ 4: การประเมินความเสี่ยง
การประเมินความเสี่ยง จะช่วยให้ฝ่ายบริหารพิจารณาถึงเหตุการณ์ที่อาจจะเกิดขึ้นและส่งผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร ฝ่ายบริหารจะประเมินเหตุการณ์จาก 2 มุมมอง ซึ่งได้แก่ ผลกระทบ และ โอกาสที่จะเกิดความเสี่ยง ซึ่งโดยปกติแล้วจะใช้ทั้งวิธีการเชิงคุณภาพและเชิงปริมาณร่วมกัน ฝ่ายบริหารควรพิจารณาผลกระทบทั้งในเชิงบวกและเชิงลบจากเหตุการณ์ที่อาจจะเกิดขึ้น นอกจากนี้ จะต้องมีการประเมินความเสี่ยงบนพื้นฐานของความเสี่ยงที่มีอยู่ตามธรรมชาติ (Inherent Risk) และความเสี่ยงคงเหลือ (Residual Risk)
องค์ประกอบที่ 5: การตอบสนองความเสี่ยง
เมื่อได้ประเมินความเสี่ยงที่เกี่ยวข้องแล้วฝ่ายบริหารจะพิจารณาว่าจะตอบสนองต่อความเสี่ยงอย่างไร โดยวิธีการตอบสนองต่อความเสี่ยง ได้แก่ การหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การหาผู้ร่วมรับความเสี่ยง และการยอมรับความเสี่ยง ในการพิจารณาว่าจะตอบสนองต่อความเสี่ยงอย่างไรนั้น ฝ่ายบริหารจะเลือกวิธีการตอบสนองต่อความเสี่ยงที่ทำให้ความเสี่ยงคงเหลืออยู่ภายในช่วงที่องค์กรสามารถยอมรับได้
องค์ประกอบที่ 6: กิจกรรมควบคุม
กิจกรรมการควบคุม คือ นโยบายและกระบวนการปฏิบัติงานที่ฝ่ายบริหารกำหนดขึ้น เพื่อให้มั่นใจได้ว่ามีการจัดการความเสี่ยงตามที่ระบุไว้ในขั้นตอนก่อนหน้า โดยปกติกิจกรรมการควบคุมจะมีความแตกต่างกันในแต่ละองค์กร ขึ้นอยู่กับสภาพแวดล้อมภายในองค์กร ลักษณะธุรกิจ โครงสร้างองค์กร เป็นต้น และกิจกรรมการควบคุมหนึ่งอาจช่วยให้องค์กรบรรลุวัตถุประสงค์มากกว่าหนึ่งวัตถุประสงค์ก็ได้
องค์ประกอบที่ 7: สารสนเทศและการสื่อสาร
ข้อมูลที่เกี่ยวข้องกับการบริหารความเสี่ยงจะต้องถูกระบุ บันทึก และจัดเก็บไว้ รวมทั้งต้องมีการสื่อสารในรูปแบบและกรอบเวลาที่ช่วยให้บุคลากรที่เกี่ยวข้องสามารถดำเนินการตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ โดยการสื่อสารอย่างมีประสิทธิภาพนั้น ควรมีการแลกเปลี่ยนข้อมูลกับบุคลากรทั้งภายในและภายนอกองค์กร เช่น ลูกค้า ผู้ให้บริการ ผู้กำกับดูแล ผู้ถือหุ้น ซึ่งการบริหารความเสี่ยงที่มีประสิทธิผลควรใช้ทั้งข้อมูลในอดีตเพื่อพยากรณ์แนวโน้มของเหตุการณ์ และข้อมูลปัจจุบันเพื่อเป็นประโยชน์ให้ผู้บริหารใช้พิจารณาความเสี่ยงที่เกิดขึ้นในกระบวนการทำงานในปัจจุบัน
องค์ประกอบที่ 8: การติดตามประเมินผล
เนื่องจากการบริหารความเสี่ยงองค์กรอาจมีการเปลี่ยนแปลงไปตามกาลเวลา ดังนั้นวิธีการตอบสนองต่อความเสี่ยงที่เคยใช้ได้ผลในอดีต อาจไม่สามารถใช้ได้ผลในปัจจุบัน จึงเป็นเหตุให้ต้องมีการติดตามและประเมินผล ซึ่งการติดตามนี้อาจนำเอาตัวชี้วัดความเสี่ยง (Key Risk Indicator: KRI) มาใช้ในการติดตามสถานะความเสี่ยงที่มีในปัจจุบันภายใต้การควบคุมที่กำหนด นอกจากนี้ ระบบการติดตามประเมินผลการบริหารความเสี่ยงองค์กรยังเป็นกลไกสำคัญที่จะช่วยให้ผู้บริหารได้รับข้อมูลที่แม่นยำและเป็นปัจจุบันเพื่อใช้ในการบริหารความเสี่ยงคงเหลือให้อยู่ในระดับที่ยอมรับได้ รวมทั้งสามารถนำผลการประเมินความเสี่ยงมาใช้ในการกำหนดกลยุทธ์และการดำเนินงานให้เหมาะสมยิ่งขึ้น
จากกระบวนการบริหารความเสี่ยงองค์กรข้างต้น สามารถกล่าวได้ว่า กระบวนการบริหารความเสี่ยงองค์กรเป็นกระบวนการที่เป็นผลมาจากคณะกรรมการ ผู้บริหาร และบุคลากรที่เกี่ยวข้องขององค์กรได้ร่วมกันกำหนดขึ้นและใช้ปฏิบัติทั่วทั้งองค์กร ที่จะช่วยให้ผู้บริหารสามารถใช้เป็นเครื่องมือในการบริหารและตัดสินใจในการดำเนินงานด้านต่าง ๆ ได้อย่างเป็นระบบ และเป็นไปในแนวทางเดียวกันทั่วทั้งองค์กร เช่น การวางแผนกลยุทธ์ การควบคุมการปฏิบัติงาน และการวัดผลการปฏิบัติงาน เป็นต้น
โดยหากท่านสนใจในหัวข้อนี้ สามารถอ่านเพิ่มเติมได้จากหนังสือแปลชุด กรอบโครงสร้างการบริหารความเสี่ยงขององค์กรเชิงบูรณาการ (COSO ERM) ของ ต.ล.ท. ซึ่งมีให้บริการอยู่ที่ห้องสมุดมารวย ทั้งในรูปแบบหนังสือ และ e-book ได้นะครับ