Risk based thinking กับ Risk Management ( ตอนที่ 4 ) Writer : Jakkrit Vipatikom วิสามัญสมาชิกเนติบัณฑิตยสภา Editor : P.p2s ; p2spartnershiptosuccess@gmail.com กล่าวโดยสรุป เมื่อ ข้อกำหนด ISO 9001:2015 ( Quality Management System ) ไม่ใช่ ISO 31000 ( Risk Management System ) ไม่ได้กำหนดให้ต้องประเมินความเสี่ยง เพียงใช้หลัก Risk based thinking และนำเสนอได้ ก็เพียงพอ แต่หากองค์กรประสงค์จะนำระบบ Risk Management มาใช้อย่างเต็มรูปแบบ ก็ไม่ผิดข้อกำหนดแต่อย่างใด แต่เมื่อจัดทำเป็นข้อกำหนดขององค์กรซึ่งผูกพันตนเองแล้ว ต้องปฏิบัติให้ได้ตามนั้น ระดับของการพิจารณาเรื่อง Risk นี้จึงควรพิจารณาบริบทขององค์กรร่วมกับหลักคิด Risk based thinking 1 Risk Management เป็นเรื่องที่มีข้อกำหนดขององค์กรหรือผู้มีส่วนได้เสีย ผูกพันให้ต้องปฏิบัติหรือไม่ เช่น องค์กรของท่านเป็นสถาบันการเงิน ต้องปฏิบัติตา ประกาศ ธปท. ที่ สกส. 3/2559 ธรรมาภิบาลของสถาบันการเงินเฉพาะกิจ กำหนดให้มีคณะกรรมการบริหารความเสี่ยง กำหนดนโยบายบริหารความเสี่ยง หรือ หากองค์กรของท่านเป็นองค์กรของรัฐ ผูกพันกับการประเมินผลการปฏิบัติราชการตามคำรับรองการปฏิบัติราชการ โดยสำนักงาน ก.พ.ร. สังกัด สำนักนายกรัฐมนตรี ว่าด้วยการบริหารความเสี่ยงที่ต้องดำเนินการไปตามกรอบการประเมินผลการปฏิบัติราชการตาม คำรับรองการปฏิบัติราชการ
2 หากไม่มีผู้มีส่วนได้ส่วนเสียหรือประเด็นภายในภายนอกใดที่องค์กรของเราผูกพัน ควรใช้หลัก Risk based thinking ในการกำหนดนโยบายเรื่อง Risk ในองค์กรของท่านตั้งแต่การออกแบบระบบการจัดการ 2.1 ถ้าเลือกทำ Formal Risk management ( เช่น ISO 31000, FMEA, HACCP ) เป็นเรื่องบังคับสำหรับธุรกิจของท่านหรือไม่ บุคลากรมีความพร้อมหรือไม่ หากนำมาใช้จะเพิ่มภาระงานเพียงใด ก่อให้เกิดมูลค่าเพิ่มในกระบวนการอย่างไร ก่อให้เกิดผลดีเสียอย่างไรกับขนาดของธุรกิจ 2.2 ถ้าจะเลือกทำ เพียง Risk based thinking แม้ข้อกำหนดระบุให้มี Information แต่ไม่ได้กำหนดให้ต้องทำเป็น Documented Information เราควรต้องให้ทำเป็นหลักฐาน ( Documented information ) ไว้ หรือไม่ โดยคำนึงถึงความสามารถของบุคลากรที่สามารถจะถ่ายทอดความคิดนี้ ( Thinking ) ได้อย่างชัดเจนต่อผู้มาประเมิน
*********ไม่ว่าองค์กรของท่านจะเลือกใช้ Risk Management ที่มีการชี้บ่งประเมินความเสี่ยงอย่างเป็นระบบหรือ Risk based thinking ที่ระบุความเสี่ยงในแต่ละเอกสาร แต่ละกระบวนการ หรือเพียงแค่ตารางแสดงรายการความเสี่ยงแบบพื้นฐานที่รวบรวมหัวข้อความเสี่ยงและโอกาส และวิธีการจัดการความเสี่ยงและโอกาส ก็ตาม สิ่งเหล่านี้ก็สามารถนำมาใช้เป็นหลักฐานในการแสดงต่อผู้ตรวจประเมินได้เช่นเดียวกัน ขึ้นอยู่กับความเหมาะสม ความจำเป็น และผลประโชยน์ มูลค่าที่จะเกิดขึ้นจาก ประยุกต์ใช้แนวคิดนี้ ที่องค์กรของท่านเป็นผู้เลือกและกำหนดเข้าไว้ในระบบการองค์กรของท่าน อย่างไรก็ดี.....ตารางความเสี่ยงของท่านอาจมีมากมายแต่อาจไม่พบความเสี่ยงที่แท้จริงเลยก็เป็นได้.........หากว่าท่านไม่มี Risk based thinking ผลลัพธ์ของความเสี่ยงที่ได้ในรูปแบบเอกสาร ( Documented information ) ที่ยังไม่สามารถชี้ชัดได้ว่า อะไรคือความเสี่ยง อะไรคือแหล่งที่มา อะไรคือปัจจัยของความเสี่ยง ปัจจัยของความเสี่ยงนั้น ๆ มาจากบริบทขององค์รหรือไม่ และมันเป็นปัจจัยหรือประเด็นภายนอก,ภายใน เรื่องใด และอะไรคือ วิธีการในการจัดการ ควบคุม แก้ไข ป้องกัน ความเสี่ยงที่แหล่งความเสี่ยง หรือ ที่ผลของความเสี่ยง อะไรคือสิ่งใหม่ที่องค์กรจะทำ อะไรคือสิ่งที่องค์กรทำอยู่อย่างสม่ำเสมอ สิ่งเหล่านั้นอาจเป็นความเสี่ยงธรรมดา ที่ไม่ใช่ความเสี่ยงที่ก่อให้เกิดมูลค่า เมื่อเวลาผ่านไป ISO 9001:2015 ถูกใช้ไปๆ ทะเบียนความเสี่ยงก็จะกลายเป็นเอกสารอีกฉบับที่ทำกันจนเคยชิน เช่นเดียวกับบันทึกหลายๆ ฉบับที่จัดทำกันในคืนก่อน Auditor มาตรวจเท่านั้น
****เพียงระบุความเสี่ยงให้ชัดเจน ยอมรับมัน แก้ไขถ้าทำได้ ป้องกันถ้าทำได้ ปรับปรุงเมื่อเห็นว่ามันเป็นโอกาส Risk based thinking หรือ Risk Management ก็จะเป็นเรื่องน่าสนุก น่าตื่นเต้น และอาจนำไปสู่การปรับปรุงองค์กรของท่านให้ต่างไปจากการทำเอกสารต่างๆ เพื่อตรวจรับรองอย่างที่ผ่านมา ประโยชน์ที่เกิดขึ้นคงมิใช่เพียงเพี่อใบรับรองเพียงเท่านั้น.....................****
หวังว่าจะเป็นประโยชน์บ้างแม้เพียงเล็กน้อย
| Create Date : 23 มกราคม 2561 |
| Last Update : 23 มกราคม 2561 9:12:28 น. |
|
0 comments
|
| Counter : 646 Pageviews. |
 |
|
