คู่มือความเสี่ยง สจล.
สารบัญ

 

บทที่ 1 บทนำ
  1. หลักการและเหตุผล
  2. วัตถุประสงค์การจัดทำคู่มือบริหารความเสี่ยง
  3. ความรู้เกี่ยวกับการบริหารความเสี่ยง
  4. การบริหารความเสี่ยงตามมาตรฐาน COSO และองค์ประกอบของการบริหารความเสี่ยง ERM (Enterprise Risk Management)
 
บทที่ 2 การบริหารความเสี่ยง (Risk Management)
  1. แนวทางการบริหารความเสี่ยงของสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง
  2. นโยบายการบริหารความเสี่ยง
  3. วัตถุประสงค์ในการบริหารความเสี่ยง
  4. หน้าที่และความรับผิดชอบตามโครงสร้างบริหารความเสี่ยง
  5. นิยามความเสี่ยง
  6. ปัจจัยที่มีผลต่อความเสี่ยง
  7. ระบบบริหารความเสี่ยง
  8. ประโยชน์ที่ได้จากการบริหารความเสี่ยง
  9. ประเภทความเสี่ยง
 
ขั้นตอนกระบวนการบริหารความเสี่ยง

แผนภาพขั้นตอนกระบวนการบริหารความเสี่ยง

ขั้นตอนกระบวนการบริหารความเสี่ยง

  1. การวิเคราะห์สภาพแวดล้อมภายในองค์กร
  2. การกำหนดวัตถุประสงค์
  3. การระบุความเสี่ยง/ปัจจัยเสี่ยง
  4. ประเมินวิเคราะห์ความเสี่ยงและจัดลำดับความเสี่ยง
  5. การตอบสนองความเสี่ยง/ประเมินมาตรการควบคุม
  6. บริหารจัดการความเสี่ยง/กิจกรรมควบคุม
  7. การสื่อสารและระบบสารสนเทศ (การรายงาน แบบ ปย.1,2/แบบ ปอ.1,2,)
  8. การติดตามผลและทบทวน
 

 

 

บทที่ 1 บทนำ

 

1. หลักการและเหตุผล

 

     การบริหารความเสี่ยง เป็นยุทธศาสตร์สำคัญที่มีส่วนช่วยให้การดำเนินงานของสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง มีการพัฒนาและเติบโตอย่างยั่งยืน สถาบันตระหนักถึงความสำคัญของการดำเนินงานที่มีการกำกับดูแลกิจการที่ดี อันเป็นปัจจัยหลักในการเสริมสร้างองค์กรให้มีมาตรฐานการจัดการที่ดี สร้างความเชื่อมั่นให้กับองค์กรภาครัฐและภาคเอกชน คณาจารย์ นิสิต และประชาชนทั่วไป ว่ากระบวนการดำเนินงานของสถาบัน มีประสิทธิภาพและประสิทธิผล สามารถผลิตบุคลากรเพื่อเป็นกำลังสำคัญในการพัฒนาประเทศ ดังนั้นการมีระบบการบริหารจัดการความเสี่ยงที่ดี จึงเป็นส่วนสำคัญที่สามารถนำพาองค์กรบรรลุพันธกิจ และเป้าหมายยุทธศาสตร์ขององค์กร รวมถึงการบรรลุเป้าหมายการมีระบบธรรมาภิบาลที่ดี ซึ่งเป็นส่วนสำคัญที่จะเสริมสร้างให้เกิดการการบริหารจัดการที่ดีของสถาบัน

     ด้วยแนวคิดดังกล่าว สถาบันจึงให้ความสำคัญต่อการดำเนินนโยบายด้านบริหารความเสี่ยงขององค์กรอย่างต่อเนื่อง ทั้งในด้าน การเสริมสร้างความรู้ด้านการบริหารความเสี่ยงให้แก่ผู้บริหารและบุคลากร การดำเนินการตามแผนและติดตามผลการบริหารความเสี่ยง ปัจจัยสำคัญที่จะสร้างความสำเร็จของงานด้านการบริหารความเสี่ยงขององค์กร คือ ความรู้ความเข้าใจและการเล็งเห็นประโยชน์ของงานบริหารความเสี่ยงของผู้บริหาร และบุคลากร

     ดังนั้น สถาบันจึงได้มีแนวคิดจัดทำคู่มือบริหารความเสี่ยง เพื่อเป็นเครื่องมือในการสนับสนุนและ กำหนดแนวทางดำเนินงานด้านบริหารความเสี่ยงให้แก่ทุกส่วนงาน สามารถใช้คู่มือบริหารความเสี่ยงฉบับนี้ เป็นกลไกในการสร้างความรู้ด้านการบริหารความเสี่ยง และแนวทางในการจัดทำรายงานแผนบริหารความเสี่ยง รวมถึงรายงานผลประเมินระบบการควบคุมภายใน โดยสามารถนำไปปฏิบัติและประยุกต์ใช้งานได้จริงทั้งในระดับองค์กรและระดับหน่วยงาน พร้อมทั้งให้ทุกส่วนงานสามารถวางกรอบนโยบายการดำเนินการด้านบริหารความเสี่ยง เพื่อให้มีการพัฒนางานด้านการบริหารความเสี่ยงของสถาบันอย่างยั่งยืน

 

2. วัตถุประสงค์การจัดทำคู่มือการบริหารความเสี่ยง

 

     1. เพื่อเป็นเครื่องมือในการสร้างองค์ความรู้ด้านบริหารความเสี่ยง แก่บุคลากรของสถาบัน

     2. เพื่อให้ฝ่ายบริหาร /ผู้ปฏิบัติงาน เข้าใจหลักการ แนวคิด วิธีการ และกระบวนการบริหาร ความเสี่ยง

     3. เพื่อให้ผู้ปฏิบัติงานรับทราบขั้นตอน กระบวนการ และสามารถวางแผนงานการด้านบริหาร ความเสี่ยงขององค์กร และของแต่ละหน่วยงาน

     4. เพื่อเป็นเครื่องมือในการสื่อสารและสร้างความเข้าใจ ความสัมพันธ์ ตลอดจนเชื่อมโยงการ บริหารความเสี่ยงกับกลยุทธ์ขององค์กร

     5. เพื่อใช้เป็นเครื่องมือในการกำหนดแนวทางบริหารความเสี่ยงและการควบคุมภายใน สำหรับ หน่วยงานทุกระดับของสถาบัน

     6. เพื่อให้มีการปฏิบัติตามกระบวนการบริหารความเสี่ยงและการควบคุมภายในอย่างเป็นระบบ และมีความต่อเนื่อง

     7. เพื่อเป็นเครื่องมือช่วยในการปลูกฝังวัฒนธรรมองค์กรที่มุ่งเน้นการสร้างองค์ความรู้ ด้านการ บริหารความเสี่ยงไปยังผู้บริหารและบุคลากรทุกระดับ

 

3. ความรู้เกี่ยวกับการบริหารความเสี่ยง

 

     เป็นการรวบรวมข้อมูล และรายละเอียดที่เกี่ยวข้องกับการบริหารความเสี่ยง ตามมาตรฐานของ COSO  กระบวนการบริหารความเสี่ยง รวมถึงการจัดทำรายงานด้านการบริหารความเสี่ยง ซึ่งแบ่งออกเป็น 2 ส่วน คือรายงานแผนบริหารความเสี่ยง และรายงานผลประเมินระบบการควบคุมภายใน ซึ่งจะทำให้ผู้ที่ศึกษารายละเอียดในคู่มือบริหารความเสี่ยงฉบับนี้ เข้าใจถึงระบบการบริหารความเสี่ยงตั้งแต่การสร้างพื้นฐานองค์ความรู้ด้านการบริหารความเสี่ยง จนกระทั่งสามารถจัดทำรายงานบริหารความเสี่ยงได้อย่างถูกต้อง ครบถ้วนทั้งนี้ เป้าหมายหลักที่  สถาบันมีความต้องการ คือ เพื่อให้บุคลากรของสถาบัน  มีความรู้ความเข้าใจงานด้านบริหารความเสี่ยง  สามารถเห็นภาพความเชื่อมโยงและสอดคล้องของยุทธศาสตร์ และความเชื่อมโยงของยุทธศาสตร์สถาบันกับยุทธศาสตร์กระทรวงศึกษาธิการ และยุทธศาสตร์ชาติ โดยสามารถเริ่มศึกษาได้จากคู่มือฉบับนี้

 

4. การบริหารความเสี่ยงตามมาตรฐาน COSO

 

     ประวัติความเป็นมาของ COSO

     ที่มาของ COSO เริ่มจากเหตุการณ์วิกฤตทางการเมืองและเศรษฐกิจของสหรัฐอเมริกา ปี 1970 – 1977 สหรัฐอเมริกาได้ประกาศ กฎหมายแนวปฎิบัติเกี่ยวกับความไม่สุจริตในการให้สินบนชาวต่างชาติ (the 1977 Foreign Corrupt Practices Act-FCPA) ซึ่งมีการกำหนดเรื่องการควบคุมภายใน ซึ่งเป็นสาระสำคัญในประกาศดังกล่าว

     ปี 1985 (ตุลาคม) จัดตั้งองค์กรอิสระ คือ คณะกรรมการเพื่อรายงานการทุจริตแห่งชาติ (National Commission on Fraudulent Financial reporting หรือ Tread way)

     ปี 1987 คณะกรรมการเพื่อการรายงานการทุจริตแห่งชาติได้รับการสนับสนุนจากคณะกรรมการวิชาชีพอิสระอื่นๆ จัดตั้ง The Committee of Sponsoring Organization of the Tread way Commission (COSO)

     ปี 2004 COSO ได้พัฒนาแนวทางการบริหารความเสี่ยง ที่มีมาตรฐานสากลมากขึ้นเพื่อให้องค์กรสามารถใช้เป็นแนวปฏิบัติด้านการบริหารความเสี่ยง

การบริหารความเสี่ยงระดับองค์กร

ที่มา : The Committee of Sponsoring Organization of the Tread way Commission (COSO)



กรอบการบริหารความเสี่ยงตามมาตรฐาน COSO : ERM (Enterprise Risk Management)


     การบริหารความเสี่ยงทั่วทั้งองค์กร ERM (Enterprise Risk Management) คือกระบวนการระบุและวิเคราะห์ความเสี่ยงในมุมของภาพที่เป็นองค์รวมแบบบูรณาการ และทั่วทั้งองค์กร ครอบคลุมทุกกิจกรรมที่จะนำไปสู่การบรรลุเป้าหมาย เช่น เป้าหมายตามแผนยุทธศาสตร์ (Strategic) ประสิทธิภาพและประสิทธิผลการปฏิบัติงาน (Operations) การรายงาน (Reporting) และการปฏิบัติตามกฎหมายและระเบียบที่เกี่ยวข้อง (Compliance)

4.1 องค์ประกอบของการบริหารความเสี่ยง ERM (Enterprise Risk Management)

     องค์ประกอบของการบริหารความเสี่ยง ERM (Enterprise Risk Management)  ประกอบด้วยองค์ประกอบ 8  ประการ ซึ่งครอบคลุมแนวทางการกำหนดนโยบายการบริหารงาน การดำเนินงาน และการบริหารความเสี่ยง ดังนี้

     1) สภาพแวดล้อมภายในองค์กร (Internal Environment) เป็นพื้นฐานที่สำคัญสำหรับกรอบการบริหารความเสี่ยง สภาพแวดล้อมนี้มีอิทธิพลต่อการกำหนดกลยุทธ์และเป้าหมายขององค์กร การกำหนดกิจกรรม การบ่งชี้ และจัดการความเสี่ยง สภาพแวดล้อมภายในองค์กรประกอบด้วยหลายปัจจัย เช่น จริยธรรม วิธีการทำงานของผู้บริหารและบุคลากร รวมถึงปรัชญาและวัฒนธรรมในการบริหารความเสี่ยงความเสี่ยงที่ยอมรับได้ (Risk Appetite) เป็นส่วนที่สำคัญอย่างหนึ่งของสภาพแวดล้อมภายในองค์กร และมีผลต่อการกำหนดกลยุทธ์ เพื่อนำไปดำเนินการให้องค์กรบรรลุเป้าหมายทั้งด้านผลตอบแทนและการเติบโต กลยุทธ์แต่ละแบบนั้นมีความเสี่ยงที่เกี่ยวข้องแตกต่างกัน ดังนั้นการบริหารความเสี่ยงจึงช่วยผู้บริหารในการกำหนดกลยุทธ์ที่มีความเสี่ยงที่องค์กรสามารถยอมรับได้

     2) การกำหนดวัตถุประสงค์ (Objective Setting) คือขั้นตอนแรกสำหรับกระบวนการ บริหารความเสี่ยง องค์กรควรมั่นใจว่าวัตถุประสงค์ที่กำหนดขึ้นมีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้ โดยทั่วไปวัตถุประสงค์และกลยุทธ์ควรได้รับการบันทึกเป็นลายลักษณ์อักษรและสามารถพิจารณาได้ในด้านต่าง ๆ ดังนี้

  • วิสัยทัศน์ พันธกิจ เป้าหมาย วัตถุประสงค์ด้านยุทธศาสตร์
  • ด้านปฏิบัติงาน เกี่ยวข้องกับประสิทธิภาพ ผลการปฏิบัติงาน
  • ด้านการรายงาน เกี่ยวข้องกับการรายงานทั้งภายในและภายนอกองค์กร
  • ด้านการปฏิบัติตาม กฎ ระเบียบ ข้อบังคับ ที่เกี่ยวข้องกับการปฏิบัติตามกฎหมายและกฎระเบียบต่าง ๆ

     3) การระบุความเสี่ยง หรือ การบ่งชี้เหตุการณ์ (Event Identification) คือปัจจัยในการระบุสถานการณ์ ซึ่งองค์กรไม่สามารถมั่นใจได้ว่าเหตุการณ์ใดเหตุการณ์หนึ่งจะเกิดขึ้นหรือไม่ หรือมีผลลัพธ์ที่เกิดขึ้นจะเป็นอย่างไร ประกอบด้วย ปัจจัยภายในและภายนอกที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ขององค์กร

     4) การประเมินความเสี่ยง (Risk Assessment) คือการประเมินโอกาสและผลกระทบของ เหตุการณ์ที่อาจเกิดขึ้นต่อวัตถุประสงค์ ขณะที่การเกิดเหตุการณ์ใดเหตุการณ์หนึ่งอาจส่งผลกระทบในระดับต่ำ เหตุการณ์ที่เกิดขึ้นอย่างต่อเนื่องอาจมีผลกระทบในระดับสูงต่อวัตถุประสงค์ การประเมินความเสี่ยงประกอบด้วย 2 มิติ ดังนี้

  • โอกาสที่อาจเกิดขึ้น (Likelihood) เหตุการณ์มีโอกาสเกิดขึ้นมากน้อยเพียงใด
  • ผลกระทบ (Impact) หากมีเหตุการณ์เกิดขึ้นองค์กรจะได้รับผลกระทบมากน้อยเพียงใด

     การประเมินความเสี่ยงสามารถทำได้ทั้งการการประเมินเชิงคุณภาพและเชิงปริมาณ โดยพิจารณาทั้งเหตุการณ์ที่เกิดขึ้นจากภายนอกและภายในองค์กร นอกจากนี้ การประเมินความเสี่ยงควรดำเนินการทั้งก่อนจัดการความเสี่ยง (Inherent Risk) และหลังจากที่มีการจัดการความเสี่ยงแล้ว (Residual Risk) ปัจจัยที่ควรใช้ในการพิจารณาการจัดการความเสี่ยง เช่น

  • การปฏิบัติงานของผู้บริหารและพนักงาน
  • กระบวนการปฏิบัติงาน
  • กิจกรรมการควบคุมภายใน
  • โครงสร้างองค์กร
  • กระบวนการรายงาน / วิธีการติดต่อสื่อสาร
  • ทัศนคติและแนวทางของผู้บริหารเกี่ยวกับความเสี่ยง
  • พฤติกรรมขององค์กรที่คาดว่าจะมีและที่มีอยู่ในปัจจุบัน
  • การวัดผลการปฏิบัติงานและการติดตามผล
  • สัญญาและพันธมิตรในปัจจุบัน

     5) การจัดการความเสี่ยง หรือ การตอบสนองความเสี่ยง (Risk Response) คือ เมื่อ ความเสี่ยงได้รับการบ่งชี้และประเมินความสำคัญแล้ว ผู้บริหารต้องประเมินวิธีการจัดการความเสี่ยงที่สามารถนำไปปฏิบัติได้ โดยการพิจารณาทางเลือกในการดำเนินการจะต้องคำนึงถึงความเสี่ยงที่ยอมรับได้ และต้นทุนที่เกิดขึ้นเปรียบเทียบกับผลประโยชน์ที่จะได้รับเพื่อให้การบริหารความเสี่ยงมีประสิทธิผล ผู้บริหารอาจต้องเลือกวิธีการจัดการความเสี่ยงอย่างใดอย่างหนึ่ง หรือหลายวิธีรวมกัน เพื่อลดระดับโอกาสที่อาจเกิดขึ้นและผลกระทบของเหตุการณ์ให้อยู่ในช่วงที่องค์กรสามารถยอมรับได้ (Risk Tolerance) หลักการตอบสนองความเสี่ยง คือ

  • Avoid (การหลีกเลี่ยง) ลดโอกาสที่จะเกิดให้เหลือศูนย์
  • Take (เฝ้าระวัง) ยอมรับความเสี่ยงนั้น
  • Treat (ควบคุม) ลดโอกาสที่จะเกิดให้น้อยลง / ลดปริมาณความเสียหายให้น้อยลง
  • Share ร่วมรับความเสี่ยงกับองค์กรอื่น หรือคนอื่น
  • Transfer โอนความเสี่ยงไปให้องค์กรอื่น หรือคนอื่น

     6) กิจกรรมควบคุม (Control Activities) คือ นโยบายและกระบวนการปฏิบัติงานเพื่อให้มั่นใจว่าได้มีการจัดการความเสี่ยง กิจกรรมการควบคุมอาจมีความแตกต่างกันขึ้นอยู่กับสภาพแวดล้อมภายในองค์กร ลักษณะธุรกิจ โครงสร้างและวัฒนธรรมองค์กร สิ่งสำคัญประการหนึ่งต่อกิจกรรมการควบคุม คือ การกำหนดบุคลากรภายในองค์กรเพื่อรับผิดชอบในการพิจารณาประสิทธิผลของการจัดการความเสี่ยงที่ได้ดำเนินการอยู่ในปัจจุบัน และพิจารณาการปฏิบัติเพิ่มเติมที่จำเป็น เพื่อเพิ่มประสิทธิผลของการจัดการความเสี่ยง นอกจากนี้การปฏิบัติเพื่อลดความเสี่ยงขององค์กรควรจะต้องมีการกำหนดวันแล้วเสร็จให้ชัดเจน

     7) สารสนเทศและการสื่อสาร (Information & Communication) เป็นสิ่งจำเป็นสำหรับองค์กรในการบ่งชี้ ประเมิน และจัดการความเสี่ยง ข้อมูลสารสนเทศที่เกี่ยวข้องกับองค์กรทั้งจากแหล่ง ภายนอกและภายในควรได้รับการบันทึกและสื่อสารอย่างเหมาะสมทั้งในด้านรูปแบบและเวลา เพื่อช่วยให้บุคลากรที่เกี่ยวข้องสามารถตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ

     8) การติดตามประเมินผล (Monitoring) เพื่อให้มั่นใจว่าการจัดการความเสี่ยงมีคุณภาพและมีความเหมาะสม และการบริหารความเสี่ยงได้นำไปประยุกต์ใช้ในทุกระดับขององค์กร ความเสี่ยงทั้งหมดที่มีผลกระทบสำคัญต่อการบรรลุวัตถุประสงค์ขององค์กรได้รับการรายงานต่อผู้บริหารที่รับผิดชอบ ซึ่งการติดตามการบริหารความเสี่ยงสามารถทำได้ 2 ลักษณะ คือ การติดตามอย่างต่อเนื่องหรือการติดตามเป็นรายครั้ง การติดตามอย่างต่อเนื่องเป็นการดำเนินการอย่างสม่ำเสมอ เพื่อให้สามารถตอบสนองต่อการเปลี่ยนแปลงอย่างทันท่วงที และถือเป็นส่วนหนึ่งของการปฏิบัติงาน การติดตามเป็นรายครั้ง เป็นการดำเนินการภายหลังจากเกิดเหตุการณ์ ดังนั้นปัญหาที่เกิดขึ้นจะได้รับการแก้ไขอย่างรวดเร็วหากองค์กรมีการติดตามอย่างต่อเนื่อง นอกจากนี้องค์กรควรมีการจัดทำรายงานความเสี่ยงเพื่อให้การติดตามการบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล

 

 

บทที่ 2 การบริหารความเสี่ยง (Risk Management)

 

1. แนวทางการบริหารความเสี่ยงของสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง

 

     โครงสร้างการบริหารความเสี่ยง (Risk Management Organization)

     สถาบันกำหนดการบริหารความเสี่ยงไว้ 2 ระดับ คือระดับสถาบันและระดับส่วนงานวิชาการ / ส่วนงานอื่น / สำนักงานสภาสถาบัน / สำนักงานอธิการบดี ดังนี้

     1.1 ระดับสถาบัน รับผิดชอบโดย คณะกรรมการบริหารความเสี่ยงประกอบด้วย อธิการบดีหรือผู้ที่ได้รับมอบหมายเป็นประธานคณะกรรมการ เจ้าหน้าที่ระดับอาวุโสที่ได้รับมอบหมายตามระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยมาตรฐานการควบคุมภายใน พ.ศ. 2544 ผู้แทนของคณะ สำนักและส่วน เป็นกรรมการดำเนินการภายใต้นโยบายและการกำกับดูแลของอธิการบดีและคณะกรรมการตรวจสอบ

     1.2 ระดับส่วนงานวิชาการ / ส่วนงานอื่น / สำนักงานสภาสถาบัน / สำนักงานอธิการบดี รับผิดชอบโดย คณะอนุกรรมการบริหารความเสี่ยง ประกอบด้วยรองอธิการบดี ผู้ช่วยอธิการบดีที่กำกับดูแล คณบดี ผู้อำนวยการ และหัวหน้าสำนักงานสภาสถาบัน เป็นประธาน อนุกรรมการดำเนินการภายใต้การกำกับดูแลของรองอธิการบดีที่กำกับดูแล คณบดีและผู้อำนวยการ


2. นโยบายการบริหารความเสี่ยง

 

     สถาบันได้ดำเนินงานในการบริหารความเสี่ยง เป็นการจัดระบบบริหาร ปัจจัยและควบคุมกิจกรรมการดำเนินงานต่าง ๆ เพื่อลดมูลเหตุที่จะทำให้เกิดความเสียหาย ให้ระดับของความเสี่ยงและผลกระทบที่จะเกิดขึ้นในอนาคตอยู่ในระดับที่สามารถยอมรับได้ ประเมินได้ ควบคุมได้ และตรวจสอบได้อย่างมีระบบ โดยคำนึงถึงการบรรลุวัตถุประสงค์และเป้าหมายของสถาบัน ตามยุทธศาสตร์ เป้าหมายตามแผนปฏิบัติการประจำปีที่สำคัญ จึงกำหนดแนวทางดังนี้

     2.1 ให้มีการบริหารความเสี่ยงทั่วทั้งองค์กรแบบบูรณาการ โดยมีการจัดการอย่างเป็นระบบและต่อเนื่อง ลดความเสี่ยงทุกภารกิจหรือกิจกรรมให้เหลือน้อยที่สุด

     2.2 ให้มีการกำหนดกระบวนการบริหารความเสี่ยงเป็นระบบมาตรฐานเดียวกันทั่วทั้งองค์กร

     2.3 ให้มีการติดตามประเมินผลการบริหารความเสี่ยงที่มีการทบทวนและปรับปรุงอย่างสม่ำเสมอ

     2.4 ให้มีการนำเทคโนโลยีสารสนเทศมาใช้เพื่อการจัดการที่ดี

     2.5 ให้มีการบริหารความเสี่ยงเป็นส่วนหนึ่งของการดำเนินงานตามปกติ

 

3. วัตถุประสงค์ในการบริหารความเสี่ยง

 

     3.1 เพื่อเตรียมความพร้อมของสถาบันในการวางแผนป้องกันความสูญเสียที่จะเกิดขึ้น

     3.2 เพื่อลดความกังวลของบุคลากรและผู้บริหารที่อาจมีผลให้ประสิทธิภาพในการทำงานลดลง

     3.3 เพื่อวางแผนรองรับเหตุการณ์เมื่อเกิดการสูญเสียขึ้น

     3.4 เพื่อรองรับการประเมินคุณภาพการศึกษาทั้งภายในและภายนอก

 

4. หน้าที่และความรับผิดชอบตามโครงสร้างการบริหารความเสี่ยง

 

     หน้าที่และความรับผิดชอบในการบริหารความเสี่ยง ของผู้เกี่ยวข้องในระดับต่าง ๆ มีดังนี้

     4.1 คณะกรรมการสภาสถาบัน

          1) กำกับดูแลการบริหารความเสี่ยง เพื่อให้นโยบายการบริหารความเสี่ยงได้รับการนำไปปฏิบัติอย่างมีประสิทธิภาพและต่อเนื่อง

          2) อนุมัติความเสี่ยงที่ยอมรับได้ (Risk Appetite) และนโยบายการบริหารความเสี่ยง

          3) มีความเข้าใจความเสี่ยงที่สำคัญขององค์กร และดำเนินการให้มั่นใจว่าผู้บริหารสามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

          4) สนับสนุนให้สถาบัน มีวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผล

     4.2 คณะกรรมการตรวจสอบ

          1) สอบทานกรอบการบริหารความเสี่ยงและเสนอแนะวิธีการปรับปรุงในกรณีที่จำเป็น เพื่อให้มั่นใจว่ากรอบการบริหารความเสี่ยงได้รับการปฏิบัติอย่างมีประสิทธิภาพและประสิทธิผล

          2) มีความเข้าใจในความเสี่ยงที่สำคัญของกิจการสถาบัน และมีการสอบทานเพื่อให้มั่นใจว่าผู้บริหารมีกระบวนการจัดการความเสี่ยง

     4.3 อธิการบดี

          1) ติดตามความเสี่ยงที่สำคัญทั้งองค์กรและทำให้มั่นใจได้ว่ามีแผนการจัดการที่เหมาะสม

          2) ส่งเสริมนโยบายการบริหารความเสี่ยง และทำให้มั่นใจว่ากระบวนการบริหารความเสี่ยงได้รับการปฏิบัติทั่วทั้งองค์กร

          3) ติดตามกระบวนการบ่งชี้และประเมินความเสี่ยง

          4) ติดตามการพัฒนากรอบการบริหารความเสี่ยง

          5) สื่อสารกับคณะกรรมการบริหารความเสี่ยงหรือคณะกรรมการตรวจสอบเกี่ยวกับความเสี่ยงที่สำคัญ

          6) ติดตามความเสี่ยงทางกลยุทธ์และความเสี่ยงด้านการปฏิบัติการที่สำคัญและทำให้มั่นใจว่าได้มีแผนการจัดการความเสี่ยงที่เหมาะสม

          7) ส่งเสริมวัฒนธรรมการบริหารความเสี่ยง และทำให้มั่นใจได้ว่าผู้บริหารทุกฝ่ายของสถาบันให้ความสำคัญกับการบริหารความเสี่ยงในส่วนที่ตนเองรับผิดชอบ

          8) นำส่งหนังสือรับรองการประเมินผลการควบคุมภายใน ปอ.1 (ตามระเบียบฯ คตง. ข้อ 6) ต่อคณะกรรมการตรวจเงินแผ่นดิน และสำนักงานคณะกรรมการการอุดมศึกษา ภายใน 90 วันนับจากวันสิ้นปีงบประมาณ

     4.4 คณะกรรมการบริหารความเสี่ยงระดับสถาบัน

          1) กำหนดนโยบาย กลยุทธ์ แนวทางการดำเนินงานบริหารความเสี่ยงและการจัดการควบคุมภายในและกรอบการบริหารความเสี่ยง

          2) จัดทำคู่มือบริหารความเสี่ยง

          3) รวบรวม ระบุ วิเคราะห์ และประเมินความเสี่ยง

          4) จัดทำแผนป้องกันหรือลดความเสี่ยง

          5) เสนอมาตรการการจัดความเสี่ยง และการจัดการควบคุมภายใน

          6) จัดทำรายงานผลการบริหารความเสี่ยง

          7) รายงานการติดตามประเมินผลการควบคุมภายใน (ตามระเบียบ คตง.ข้อ.6)

          8) จัดทำแผนพัฒนาระบบเทคโนโลยีสารสนเทศการบริหารความเสี่ยง

          9) แต่งตั้งคณะทำงาน/บุคคล เพื่อดำเนินงานในส่วนที่เกี่ยวข้อง

     4.5 คณบดี / ผู้อำนวยการ

          1) ส่งเสริมให้มีการบริหารความเสี่ยงและการควบคุมภายในหน่วยงาน

          2) กำหนดแนวทางการดำเนินงานบริหารความเสี่ยง และการควบคุมภายในของหน่วยงาน

          3) ให้ความเห็นชอบแผนการบริหารความเสี่ยงและการควบคุมภายใน

          4) เสนอรายงานผลการบริหารความเสี่ยง ต่อประธานคณะกรรมการบริหารความเสี่ยงสถาบัน ในระหว่างปีและ ทุกสิ้นปีงบประมาณ

          5) เสนอรายงานการติดตามประเมินผลการควบคุมภายใน (ตามระเบียบฯคตง.ข้อ6) ต่ออธิการบดี ทุกสิ้นปีงบประมาณ

     4.6 คณะอนุกรรมการบริหารความเสี่ยง

          1) นำนโยบายการบริหารความเสี่ยง สู่การปฏิบัติ

          2) รวบรวม ระบุ วิเคราะห์ ประเมินความเสี่ยง

          3) จัดทำแผนป้องกันหรือลดความเสี่ยง

          4) เสนอมาตรการจัดการความเสี่ยง และการจัดการควบคุมภายใน

          5) จัดทำรายงานผลการประเมินองค์ประกอบการควบคุมภายใน และรายงานการบริหารความเสี่ยงต่อคณะกรรมการประจำส่วนงานวิชาการ ส่วนงานอื่น สำนักงานสภาสถาบัน สำนักงานอธิการบดี

          6) จัดทำรายงานผลการประเมินองค์ประกอบการควบคุมภายใน และรายงานการบริหารความเสี่ยง เสนอต่อคณบดี/ผู้อำนวยการ

          7) จัดทำรายงานการติดตามประเมินผลการควบคุมภายใน (ตามระเบียบฯ คตง.ข้อ6) เสนอต่อรองอธิการบดีที่กำกับดูแล /คณบดี/ผู้อำนวยการ

     4.7 ส่วนตรวจสอบ

          1) สอบทานและประเมินประสิทธิผลของกระบวนการบริหารความเสี่ยง

          2) จัดทำรายงานผลการสอบทานการประเมินระบบการควบคุมภายใน (แบบ ปส.) เสนอต่ออธิการบดี

     4.8 ส่วนประกันคุณภาพการศึกษา

          1) สอบทานและประเมินประสิทธิผลของกระบวนการบริหารความเสี่ยง

          2) จัดทำรายงานบริหารความเสี่ยงเพื่อใช้สำหรับการประเมินคุณภาพการศึกษาภายในและภายนอก

     การบริหารความเสี่ยงควรเริ่มต้นจากการที่ผู้บริหาร ตลอดจนบุคลากรในองค์กร ได้ทำความเข้าใจให้ตรงกันต่อคำนิยามของความเสี่ยง เพื่อให้ทุกคนสามารถบ่งชี้ความเสี่ยงและโอกาสได้ในทิศทางเดียวกัน ในการดำเนินงานผู้บริหารมักประสบกับเหตุการณ์ที่มีความไม่แน่นอน ตลอดเวลาเหตุการณ์เหล่านั้นอาจมีผลในเชิงลบหรือเชิงบวกต่อการบริหารงานขององค์กร โดยผลในเชิงลบนั้นถือว่าเป็นความเสี่ยง ส่วนผลในเชิงบวกช่วยสร้างโอกาสให้องค์กร ซึ่งการบริหารความเสี่ยงมีความสำคัญดังนี้

     1. สนับสนุนให้องค์กรสามารถพิจารณาระดับความเสี่ยงที่องค์กรยอมรับได้

     2. กำหนดกรอบการดำเนินงานที่มีประสิทธิภาพให้แก่องค์กร เพื่อให้สามารถบริหารจัดการความไม่แน่นอนของความเสี่ยงได้

     3. เป็นส่วนหนึ่งของการกำกับดูแลการดำเนินงานที่ดี

     4. เป็นเครื่องมือที่สำคัญในการบริหารงาน

     5. สะท้อนให้เห็นภาพรวมของความเสี่ยงต่าง ๆ ที่สำคัญ

     6. สร้างฐานข้อมูลที่มีประโยชน์ต่อการบริหารและปฏิบัติงาน

     7. ช่วยให้การพัฒนาองค์กรเป็นไปทิศทางเดียวกัน

     นอกจากความสำคัญดังกล่าว สถาบันต้องมีการบริหารความเสี่ยงเพื่อให้องค์กรมีการดำเนินงานที่มีประสิทธิภาพ ประสิทธิผล สามารถบรรลุวัตถุประสงค์และเป้าหมายที่กำหนด ซึ่งจะนำไปสู่การพัฒนาอย่างยั่งยืนและเป็นการปฏิบัติตามระบบต่าง ๆ ดังนี้

     1. ระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วยการกำหนดมาตรฐานการควบคุมภายใน พ.ศ. 2544 ที่กำหนดให้หน่วยงานของรัฐต้องรายงานผลการประเมินความความเพียงพอและประสิทธิผลของระบบการควบคุมภายในต่อคณะกรรมการตรวจเงินแผ่นดินอย่างน้อยปีละหนึ่งครั้ง

     2. ระบบการประกันคุณภาพการศึกษาภายในประจำปีการศึกษา 2553 องค์ประกอบที่ 7 การบริหารจัดการตัวบ่งชี้ที่ 7.4 ซึ่งเกณฑ์มาตรฐานดังนี้

       2.1 มีการแต่งตั้งคณะกรรมการหรือคณะทำงานบริหารความเสี่ยง โดยมีผู้บริหารระดับสูงและตัวแทนที่รับผิดชอบพันธกิจหลักของสถาบันร่วมเป็นคณะกรรมการหรือคณะทำงาน

       2.2 มีการวิเคราะห์และระบุความเสี่ยง และปัจจัยที่ก่อให้เกิดความเสี่ยงอย่างน้อย 3 ด้าน ตามบริบทของสถาบัน จากตัวอย่างต่อไปนี้

          2.2.1 ความเสี่ยงด้านยุทธศาสตร์ หรือกลยุทธ์ของสถาบัน (ชื่อเสียง / ภาพลักษณ์องค์กร)

          2.2.2 ความเสี่ยงด้านทรัพยากร (การเงิน งบประมาณ ระบบเทคโนโลยีสารสนเทศ อาคารสถานที่ ฯลฯ)

          2.2.3 ความเสี่ยงด้านนโยบาย กฎหมาย ระเบียบ ข้อบังคับ

          2.2.4 ความเสี่ยงด้านการปฏิบัติงาน เช่น ความเสี่ยงของกระบวนการบริหารหลักสูตร การบริหารงานวิจัย ระบบงาน ระบบประกันคุณภาพการศึกษา บุคลากรในหน่วยงาน ความปลอดภัย เทคโนโลยี/นวัตกรรม สิ่งแวดล้อม

          2.2.5 ความเสี่ยงด้านบุคลากรและความเสี่ยงด้านธรรมาภิบาล โดยเฉพาะจรรยาบรรณของอาจารย์และบุคลากร

          2.2.6 ความเสี่ยงอื่น ๆ ตามบริบทของสถาบันและจากเหตุการณ์ภายนอก

     3. มีการประเมินโอกาสและผลกระทบของความเสี่ยงและจัดลำดับความเสี่ยงที่ได้จากการวิเคราะห์ในข้อ 2

     4. มีการจัดทำแผนบริหารความเสี่ยงที่มีระดับความเสี่ยงสูง และดำเนินการตามแผน

     5. มีการติดตาม และประเมินผลการดำเนินงานตามแผน และรายงานต่อสภาสถาบันเพื่อพิจารณาอย่างน้อยปีละ 1 ครั้ง

     6. มีการนำผลการประเมินและข้อเสนอแนะจากสภาสถาบันไปใช้ในการปรับแผนหรือวิเคราะห์ความเสี่ยงในรอบปีถัดไป

 

5. นิยาม : ความเสี่ยง

 

     ความเสี่ยง (Risk) เป็นความไม่แน่นอน (Uncertainly) ของเหตุการณ์ที่ไม่สามารถคาดการณ์ล่วงหน้าได้ จึงทำให้ความเสี่ยงเป็นโอกาส (Opportunity) ของเหตุการณ์ที่อาจเกิดขึ้นได้เสมอในอนาคต ที่จะเกิดความผิดพลาดขึ้น ทำให้เกิดความสูญเสีย ล้มเหลว หรือภยันตรายในหมู่สมาชิกหรือองค์ประกอบของหน่วยงาน ส่งผลกระทบต่ออนาคตทำให้การดำเนินงานไม่ประสบความสำเร็จตามวัตถุประสงค์ (objective) และเป้าหมาย (goal) ขององค์กรทั้งในด้านยุทธศาสตร์ การปฏิบัติงาน การเงินและการบริหาร

     สำนักงานคณะกรรมการการอุดมศึกษา ((2554: 87; 2551: 85; 2549: 2) ได้กำหนดนิยามความเสี่ยงไว้ว่า ความเสี่ยง หมายถึง เหตุการณ์/การกระทำใด ๆ ที่อาจเกิดขึ้นภายใต้สถานการณ์ที่ไม่แน่นอนและจะส่งผลกระทบหรือสร้างความเสียหาย (ทั้งที่เป็นตัวเงินและไม่เป็นตัวเงิน) หรือก่อให้เกิดความล้มเหลวหรือ ลดโอกาสที่จะบรรลุเป้าหมายตามภารกิจหลัก ซึ่งเป็นนิยามความเสี่ยงที่ใกล้เคียงกับนิยามความเสี่ยงของกรอบการบริหารความเสี่ยงขององค์กร : Committee of Sponsoring Organisations of The Treadway Commission : COSO (2004)

     ในขณะที่สำนักงานคณะกรรมการพัฒนาระบบราชการ (ก.พ.ร) (2548) ได้ให้นิยามความเสี่ยงไว้ว่า ความเสี่ยงเป็นเหตุการณ์ที่มีโอกาสเกิดขึ้นได้ในอนาคต และอาจส่งผลในด้านลบที่ไม่ต้องการ และมีผลกระทบให้เกิดความเสียหาย หรือทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร ดังนั้นการตัดสินใจกระทำการใดๆ โดยไม่มีข้อมูล หรือไม่มีการวางแผนใดๆ จึงกล่าวได้ว่าเป็นการเสี่ยงตัดสินใจในสภาวะของความเสี่ยง

     การจัดการความเสี่ยงจึงเป็นการบริหารงานภายในขอบเขตที่ผู้ที่เกี่ยวข้องยอมรับความเสี่ยงได้เท่านั้น มิใช่การบริหารความเสี่ยงเพื่อขจัดความเสี่ยงในการบริหาร

     การบริหารความเสี่ยงจึงเป็นกระบวนการที่มุ่งสู่การตัดสินใจภายใต้สภาวะที่มีความเสี่ยงตามข้อมูลที่ได้รับกับการตัดสินใจภายใต้ภาวะที่มีความไม่แน่นอนของปัจจัยที่ควบคุมได้

 

6. ปัจจัยที่มีผลต่อความเสี่ยง

 

     ปัจจัยที่มีผลต่อโอกาสและความรุนแรงของการเกิดความเสี่ยงพอจะสรุปได้ดังนี้

     6.1 ปัจจัยภายในองค์กร

       1) ขนาดขององค์กร

          องค์กรขนาดใหญ่ที่มีบุคลากร มีงบประมาณ รายรับ รายจ่าย มีผู้เกี่ยวข้องมากย่อมมีความเสี่ยงต่อความเสียหายสูงกว่าองค์กรขนาดเล็ก

       2) ความสลับซับซ้อน

          การบริหารกิจการงานที่มีความละเอียดอ่อน ยุ่งยาก สลับซับซ้อน ย่อมมีโอกาสเกิดความเสี่ยงได้มากกว่าการบริหารกิจการงานที่ไม่ยุ่งยากซับซ้อน โดยเฉพาะในเรื่องระบบเทคโนโลยีสารสนเทศ เรื่องระบบการควบคุม กำกับดูแล สาขาเครือข่าย

       3) คุณภาพของระบบควบคุมภายใน

          ระบบควบคุมภายในที่มีคุณภาพย่อมลดโอกาสและระดับความรุนแรงของความเสี่ยงลงได้และองค์กรที่มีกฎหมายหรือระเบียบข้อบังคับให้องค์กรต้องมีระบบควบคุมภายในที่เข้มงวด เพื่อเป็นหลัก ประกันความมีธรรมาภิบาล (Good Governance) โอกาสที่จะเกิดความเสี่ยงในเรื่องคุณภาพของระบบควบคุมภายในก็จะยิ่งมีมากเท่านั้น

       4) อัตราความเจริญเติบโตขององค์กร

          องค์กรที่ขยายตัวอย่างรวดเร็ว หรือมีอัตราความเจริญก้าวหน้าแบบก้าวกระโดดกระบวนการตัดสินใจในการบริหารงานต้องแข่งกับเวลาโอกาสที่จะเสี่ยงต่อความผิดพลาดย่อมมีสูง

       5) ความสามารถของฝ่ายบริหาร

          กิจกรรมใดมีผู้บริหารที่หย่อนความสามารถ หรือด้อยความสามารถโอกาสที่จะเกิดความเสี่ยงในการบริหารงานก็จะมีมาก

       6) การทุจริตทางการบริหาร

          การทุจริตทางการบริหารเป็นความเสี่ยงที่มีอันตรายอย่างยิ่ง เพราะเกิดขึ้นได้จากการกระทำของผู้บริหารที่ขาดความซื่อตรงต่อหน้าที่และความรับผิดชอบของตน การตรวจสอบทำได้ยากกว่าปกติทำให้มูลค่าความเสียหายมีค่าสูงย่อมส่งผลต่อความอยู่รอดขององค์กร

       7) การเปลี่ยนแปลงของสภาพแวดล้อมการควบคุม

          มีการเปลี่ยนแปลงสภาพแวดล้อมที่ส่งผลกระทบให้เกิดความเสี่ยงที่สำคัญต่อองค์กร เช่น การเปลี่ยนแปลงระบบงาน การเปลี่ยนตัวผู้บริหารทำให้นโยบาย ปรัชญา การทำงานเปลี่ยนไป การเปลี่ยนพนักงานที่สำคัญ การเปลี่ยนสถานที่ทำงาน

       8) พนักงานศีลธรรมเสื่อม

          การรับพนักงานที่ไม่มีความซื่อตรง ขาดศีลธรรมไว้ในองค์กร มีความเสี่ยงต่อความขัดแย้งความแตกแยก ทำให้ขาดความสามัคคี มีการแบ่งพวก แบ่งกลุ่ม สูญเสียการควบคุม นำมาซึ่งความเสื่อมเสียให้กับองค์กร

     6.2 ปัจจัยภายนอกองค์กร

       1) ความเสี่ยงจากภาครัฐ เช่น เสถียรภาพของรัฐบาล การออกกฎหมาย ระเบียบข้อบังคับที่อาจส่งผลกระทบต่อการดำเนินงาน

       2) ความเสี่ยงจากการเปลี่ยนแปลงทางเทคโนโลยี

       3) ความเสี่ยงจากการผลิตบัณฑิต

       4) ฯลฯ

 

7. ระบบบริหารความเสี่ยง

 

     ระบบบริหารความเสี่ยง หมายถึง ระบบบริหารปัจจัยและควบคุมกิจกรรมการดำเนินงานต่างๆ โดยลดมูลเหตุของแต่ละโอกาสที่จะทำให้เกิดความเสียหาย เพื่อให้ระดับของความเสี่ยงและผลกระทบที่จะเกิดขึ้นในอนาคตอยู่ในระดับที่สามารถยอมรับได้ ประเมินได้ ควบคุมได้ และตรวจสอบได้อย่างมีระบบ โดยคำนึงถึงการบรรลุเป้าหมายตามภารกิจหลักตามกฎหมายจัดตั้งองค์กรและเป้าหมายตามแผนปฏิบัติการประจำปีเป็นสำคัญ

 

8. ประโยชน์ที่ได้จากการบริหารความเสี่ยง

 

     8.1 ตระหนักถึงภัยคุกคามที่ยังมาไม่ถึง

     8.2 ปรับปรุงระบบงานและการวางแผน

     8.3 ลดการสูญเสียที่อาจเกิดขึ้นได้

     8.4 สร้างโอกาส

     8.5 สร้างคุณค่าให้การทำงาน

     8.6 สนับสนุนการตัดสินใจของผู้บริหาร

     8.7 สร้างภาพลักษณ์ที่ดีให้องค์กร

     8.8 ปกป้องการปฏิบัติงาน

     8.9 เป็นส่วนหนึ่งของการบริหารงาน

     8.10 มองเป้าหมายในภาพรวม

 

9. ประเภทของความเสี่ยง

 

     เนื่องจากความเสี่ยงมีมากมายหลายเรื่อง หลายแหล่งที่มา แต่ความเสี่ยงที่ได้กำหนดไว้สำหรับสถาบันอุดมศึกษาควรประกอบด้วย ความเสี่ยงที่ครอบคลุมด้านต่าง ๆ ดังนี้

     9.1 ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) คือ ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงานที่นำไปปฏิบัติไม่เหมาะสมหรือไม่สอดคล้องกับปัจจัยภายในและสภาพแวดล้อมภายนอก อันส่งผลกระทบต่อการบรรลุวิสัยทัศน์ พันธกิจ หรือสถานะขององค์กร แหล่งที่มาของความเสี่ยงด้าน กลยุทธ์ สามารถจำแนกได้ 2 ประเภท คือ ปัจจัยความเสี่ยงภายนอก ได้แก่ ภาวการณ์การแข่งขัน การเปลี่ยนแปลงนโยบายของรัฐบาล กระแสสังคม การเปลี่ยนแปลงทางเทคโนโลยี ปัจจัยทางเศรษฐกิจ ปัจจัยทางการเมือง ส่วนปัจจัยความเสี่ยงภายใน ได้แก่ ปัจจัยภายในที่องค์กรสามารถควบคุมได้ แต่ส่งผลกระทบหรือเป็นอุปสรรคต่อการดำเนินการตามแผนกลยุทธ์เพื่อให้บรรลุเป้าหมาย ได้แก่ โครงสร้างองค์กร กระบวนการและวิธีปฏิบัติงาน ความเพียงพอของข้อมูลและเทคโนโลยีสำหรับการให้บริการ เป็นต้น

     9.2 ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk) คือ ความเสี่ยงที่เกิดจากการกำหนดการดำเนินการในการปฏิบัติงานของบุคลากร ซึ่งส่งผลต่อการปฏิบัติงานต่าง ๆ ขององค์กรทำให้ไม่บรรลุวัตถุประสงค์และเป้าหมายที่กำหนด

     9.3 ความเสี่ยงด้านนโยบาย/ กฎหมาย/ระเบียบ/ข้อบังคับ (Policy and Compliance Risk) หมายถึง ความเสี่ยงที่เกิดจากการไม่สามารถปฏิบัติตามนโยบาย กฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้องได้ หรือ นโยบาย กฎหมาย ระเบียบ ข้อบังคับที่มีอยู่ไม่เหมาะสมเป็นอุปสรรคต่อการปฏิบัติงาน

     9.4 ความเสี่ยงด้านการเงิน (Financial Risk) หมายถึง ความเสี่ยงที่เกิดจากการที่การเบิกจ่ายงบประมาณไม่เป็นไปตามแผน งบประมาณถูกตัด งบประมาณที่ได้รับไม่สอดคล้องกับสถานการณ์ของภารกิจที่เปลี่ยนแปลงไปทำให้การจัดสรรไม่พอเพียง

     9.5 ความเสี่ยงด้านสุขภาพ (Healthy Risk) หมายถึง ความเสี่ยงหรือความเสียหายที่ส่งผลต่อชีวิตและความปลอดภัยของอาจารย์ บุคลากร นักศึกษา รวมถึงบุคคลภายนอก

     9.6 ความเสี่ยงด้านสิ่งแวดล้อม (Environment Risk) หมายถึง การดำเนินงานขององค์กรที่มีผลทำให้เกิดผลกระทบหรือเกิดการเปลี่ยนแปลงต่อสภาพแวดล้อมทั้งภายในและภายนอกองค์กร

     9.7 ความเสี่ยงด้านชุมชน (Community Risk) หมายถึง ความเสี่ยงหรือความเสียหายอันเนื่องมาจากการดำเนินงานขององค์กรที่ทำให้เกิดผลกระทบต่อชุมชนโดยรอบทั้งทางตรงและอ้อม

     9.8 ความเสี่ยงด้านภาพลักษณ์และชื่อเสียง (Image and Reputation Risk) หมายถึง ความเสี่ยงหรือความเสียหายที่ส่งผลต่อชื่อเสียงไม่ว่าจะเป็นผลจากการดำเนินงานทั้งทางตรงและทางอ้อม ส่งผลต่อภาพ พจน์และความน่าเชื่อถือขององค์กร

 

 

 

Rounded Rectangle: รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน    ส่วนงานวิชาการ/ส่วนงานอื่น /สำนักงานสภาสถาบัน / สำนักงานอธิการบดี  (แบบ ปย.1)

 

ขั้นตอนกระบวนการบริหารความเสี่ยง ตาม 8 องค์ประกอบของการบริหารความเสี่ยง ERM (Enterprise Risk Management)

 

     1. การวิเคราะห์สภาพแวดล้อมภายในองค์กร

       ถือเป็นรากฐานขององค์ประกอบต่าง ๆ เพราะจะเป็นเรื่องค่านิยม แนวทางการบริหารงานของผู้นำ รวมไปถึงสภาพแวดล้อมภายในที่จะกำหนดพื้นฐานให้บุคลากรในองค์กรควบคุมและดำเนินกิจกรรมให้บรรลุตามหน้าที่และความรับผิดชอบ กล่าวโดยรวมคือ หากองค์กรใดมีวัฒนธรรมที่ให้ความสำคัญในการบริหารความเสี่ยง องค์กรนั้น ๆ จะสามารถบรรลุตามเป้าหมายได้ดีกว่าองค์กรที่ไม่ได้ให้ความสำคัญกับการบริหารความเสี่ยง

     2. การกำหนดวัตถุประสงค์ แบบ SMART ประกอบด้วย

       2.1. Specific มีความเฉพาะเจาะจง สอดรับกับ model ธุรกิจหลัก

       2.2 Measurable สามารถวัดได้ทั้งเชิงปริมาณและคุณภาพ

       2.3 Attainable สามารถปฏิบัติให้บรรลุผลได้

       2.4 Relevant มีความสอดคล้องกับวัตถุประสงค์และเป้าหมายขององค์กร

       2.5 Timely มีกรอบระยะเวลาที่แน่นอน องค์กรควรใช้การกำหนดวัตถุประสงค์แบบ SMART เพื่อเป็นแนวทางในการกำหนดวัตถุประสงค์ ขององค์กร ซึ่งจะทำให้การบริหารงานและการดำเนินงานสอดคล้องกับวิสัยทัศน์องค์กร

     3. การระบุความเสี่ยง / ปัจจัยเสี่ยง (Risk Identification)

         ขั้นตอนการวิเคราะห์และระบุความเสี่ยงเป็นขั้นตอนที่สำคัญมาก เป็นการทำความเข้าใจกับสาเหตุของการเกิดความเสี่ยง ระบุถึงเหตุการณ์หรือกิจกรรมของกระบวนการปฏิบัติงานที่อาจเกิดความผิดพลาดความเสียหายและการไม่บรรลุวัตถุประสงค์ที่กำหนด รวมทั้งการดูแลป้องกันรักษาทรัพย์สินขององค์กรวิธีการระบุความเสี่ยงขององค์กรวิธีหนึ่ง คือ การประชุมร่วมกันของหน่วยงานต่าง ๆ ในองค์กรเพื่อทำการระบุความเสี่ยงร่วมกัน หรืออาจส่งรายละเอียดของขอบเขตงานบริหารความเสี่ยงขององค์กรให้แต่ละหน่วยงานประกอบด้วยแบบฟอร์มการประเมินหน่วยงานด้านความเสี่ยงมาวิเคราะห์ความเสี่ยง การระบุความเสี่ยงควรประกอบด้วยความเสี่ยงที่ครอบคลุมในด้านต่าง ๆ ดังนี้

       3.1 ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)

       3.2 ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk)

       3.3 ความเสี่ยงด้านนโยบาย/กฎหมาย/ระเบียบ/ข้อบังคับ (Policy and Compliance Risk)

       3.4 ความเสี่ยงด้านการเงิน (Financial Risk)

       3.5 ความเสี่ยงด้านสุขภาพ (Healthy Risk)

       3.6 ความเสี่ยงด้านสิ่งแวดล้อม (Environment Risk)

       3.7 ความเสี่ยงด้านชุมชน (Community Risk)

       3.8 ความเสี่ยงด้านภาพลักษณ์และชื่อเสียง (Image and Reputation Risk)

     4. ประเมินวิเคราะห์ความเสี่ยงและจัดลำดับความเสี่ยง

       เป็นการประเมินเพื่อวัดความเป็นไปได้ของโอกาสที่จะเกิด (Likelihood Score) และระดับผลกระทบ (ความรุนแรง) (Impact Score) ของปัจจัยเสี่ยงทั้ง 8 ด้าน โดยนำความเสี่ยงที่ระบุไว้แล้วทั้งหมดมาพิจารณาเพื่อจัดลำดับความเสี่ยงและการประเมินความเสี่ยงมักจะทำ 2 มิติ คือ

       4.1 โอกาส / ความถี่ที่จะเกิด (Likelihood) หมายถึง ความน่าจะเป็นที่จะเกิดเหตุการณ์ที่นำมาพิจารณาเกิดขึ้นมากน้อยเพียงใด ซึ่งจะมีการพิจารณาหาระดับของโอกาสที่จะเกิด ดังนี้

ระดับ โอกาส ความถี่
1 น้อยมาก      5 ปี ต่อครั้ง
2 น้อย      2-4 ปี ต่อครั้ง
3 ปานกลาง      1 ปี ต่อครั้ง
4 มาก      2-6 เดือน ต่อครั้งแต่ไม่เกิน 6 ครั้ง
5 สูงมาก      1 เดือน ต่อครั้ง

       4.2 ระดับผลกระทบ (Impact) (ความรุนแรง) ที่เกิดจากเหตุการณ์ที่เกิดขึ้น หรือคาดคะเนว่าจะเกิดเหตุการณ์นั้น ๆ และเมื่อเกิดขึ้นแล้วจะเกิดผลกระทบ (ความรุนแรง) กับสิ่งต่าง ๆ และความเสียหายที่เกิดขึ้นในด้านกลยุทธ์ (Strategic Risk) ด้านการปฏิบัติงาน (Operational Risk) ด้านนโยบาย/กฎหมาย/ระเบียบ/ข้อบังคับ (Policy and Compliance Risk) ด้านการเงิน (Financial Risk) ด้านสุขภาพ (Healthy Risk) ด้านสิ่งแวดล้อม (Environment Risk) ด้านชุมชน (Community Risk) ด้านภาพลักษณ์และชื่อเสียง (Image and Reputation Risk) แล้วให้พิจารณาความรุนแรงว่าอยู่ในระดับเท่าใด ดังตารางต่อไปนี้

       1. ด้านกลยุทธ์

ระดับ ระดับผลกระทบ รายละเอียด
1 ต่ำมาก      สำเร็จตามแผน 91 - 100  %
2 ต่ำ      สำเร็จตามแผน 81 -  90 %
3 ปานกลาง      สำเร็จตามแผน 71 - 80 %
4 สูง      สำเร็จตามแผน  61 - 70 %
5 สูงมาก      สำเร็จตามแผน  1- 60 %

       2. ด้านการปฏิบัติงาน

ระดับ ระดับผลกระทบ รายละเอียด
1 ต่ำมาก      สำเร็จตามแผน 91 - 100 %
2 ต่ำ      สำเร็จตามแผน 81 - 90 %
3 ปานกลาง      สำเร็จตามแผน 71 - 80 %
4 สูง      สำเร็จตามแผน 61 - 70 %
5 สูงมาก      สำเร็จตามแผน    1- 60 %

       3. ด้านนโยบาย / กฎหมาย / ระเบียบ / ข้อบังคับ

ระดับ ระดับผลกระทบ รายละเอียด
1 ต่ำมาก      การไม่ปฏิบัติตามกฎ  ระเบียบข้อบังคับที่ไม่มีนัยสำคัญ
2 ต่ำ      การละเมิดข้อกฎหมายที่ไม่มีนัยสำคัญ
3 ปานกลาง      การฝ่าฝืนกฎข้อกฎหมายที่สำคัญ ที่มีการสอบสวนหรือรายงาน ไปยังหน่วยงานที่เกี่ยวข้อง  รวมทั้งการดำเนินคดีและ/หรือเรียกร้องค่าเสียหายหากเป็นไปได้
4 สูง      การละเมิดข้อกฎหมายที่สำคัญ
5 สูงมาก      การฟ้องร้องดำเนินคดี และ เรียกร้องค่าเสียหายที่สำคัญ  ซึ่งเป็นคดีที่สำคัญมาก รวมถึงการฟ้องร้องที่เกิดจากการรวมตัวกันของผู้ที่ได้รับความเสียหาย

        4. ด้านการเงิน

ระดับ ระดับผลกระทบ รายละเอียด
1 ต่ำมาก      ไม่เกิน 10,000 บาท
2 ต่ำ      10,001 – 50,000 บาท
3 ปานกลาง      50,001 – 250,000 บาท
4 สูง      250,001 – 10,000,000 บาท
5 สูงมาก      มากกว่า   10,000,000 บาท

      5. ด้านสุขภาพ

ระดับ ระดับผลกระทบ รายละเอียด
1 ต่ำมาก      มีการบาดเจ็บเล็กน้อยไม่ถึงระดับปฐมพยาบาล
2 ต่ำ      มีการบาดเจ็บเล็กน้อยในระดับปฐมพยาบาล
3 ปานกลาง      มีการบาดเจ็บที่ต้องได้รับการรักษาทางการแพทย์
4 สูง      มีการบาดเจ็บหรือเจ็บป่วยสาหัส ต้องพักรักษาตัวในโรงพยาบาล
5 สูงมาก      ทุพพลภาพหรือเสียชีวิต

      6. ด้านสิ่งแวดล้อม

ระดับ ระดับผลกระทบ รายละเอียด
1 ต่ำมาก      มีผลกระทบต่อสิ่งแวดล้อม เล็กน้อย สามารถแก้ไขหรือควบคุมได้
2 ต่ำ      มีผลกระทบต่อสิ่งแวดล้อมน้อยต้องใช้เวลาในการแก้ไขในระยะเวลาไม่เกิน 1 สัปดาห์ 
3 ปานกลาง      มีผลกระทบต่อสิ่งแวดล้อมปานกลางต้องใช้เวลาในการแก้ไข ระหว่าง 1 สัปดาห์ – 1 เดือน
4 สูง      มีผลกระทบต่อสิ่งแวดล้อม รุนแรง  ต้องใช้เวลาในการแก้ไข  ระหว่าง  1 – 6  เดือน
5 สูงมาก      มีผลกระทบต่อสิ่งแวดล้อม รุนแรงมาก ต้องใช้ทรัพยากรและเวลานานในการแก้ไข  มากกว่า  6  เดือน

       7. ด้านชุมชน

ระดับ ระดับผลกระทบ รายละเอียด
1 ต่ำมาก ไม่มีผลกระทบต่อชุมชนรอบที่ทำการ
2 ต่ำ มีผลกระทบบางส่วนต่อชุมชนรอบที่ทำการ
3 ปานกลาง มีผลกระทบต่อชุมชนรอบที่ทำการและแก้ไขได้ในระยะอันสั้น
4 สูง มีผลกระทบต่อชุมชนรอบที่ทำการและต้องใช้เวลาในการแก้ไข
5 สูงมาก มีผลกระทบรุนแรงต่อชุมชนเป็นบริเวณกว้างหรือหน่วยงานของรัฐต้องเข้าดำเนินการแก้ไข

       8. ด้านภาพลักษณ์ / ชื่อเสียง

ระดับ ระดับผลกระทบ รายละเอียด
1 ต่ำมาก      มีผลกระทบเล็กน้อยและในระยะเวลาสั้น ๆ  ต่อชื่อเสียงน้อยกว่า 1 สัปดาห์
2 ต่ำ      มีผลกระทบน้อย และในระยะเวลาสั้น ๆ  ต่อชื่อเสียงระหว่าง 1 สัปดาห์ - 1 เดือน
3 ปานกลาง      มีผลกระทบ ปานกลาง และในระยะเวลาสั้น ๆ ต่อชื่อเสียง ระหว่าง  1 – 6  เดือน
4 สูง      มีผลกระทบอย่างมากและในระยะเวลาสั้น ๆ  /  ปานกลาง ต่อชื่อเสียง ระหว่าง  6 - 12  เดือน
5 สูงมาก มีผลกระทบอย่างมากและในระยะเวลานานต่อชื่อเสียง มากกว่า 1 ปี

     4.3 การพิจารณาความเสี่ยง หลังจากประเมินความเป็นไปได้ของโอกาสที่จะเกิด (Likelihood Score) และผลกระทบ (ความรุนแรง) (Impact Score) ของปัจจัยเสี่ยงต่าง ๆ โดยนำความเสี่ยงที่ระบุไว้แล้วทั้งหมดมาพิจารณาความเสี่ยงดังนี้

     4.4 จัดลำดับความเสี่ยง (Degree of Risk) ระดับความเสี่ยงที่เกิดจากความสัมพันธ์ระหว่างระดับความรุนแรงกับระดับโอกาสที่จะเกิด ซึ่งมีตัวเลขระดับของความเสี่ยงอยู่ที่ 5 ระดับ โดยแต่ละระดับจะมีความหมายของความเสี่ยงและการปฏิบัติเพื่อใช้ในการบริหารความเสี่ยงต่อไป

     เมื่อหน่วยงานมีผลสรุปจำนวนกิจกรรมความเสี่ยงในแต่ละระดับแล้ว หน่วยงานจะต้องทำการควบคุมกิจกรรมที่มีความเสี่ยงสูงระดับ 5 และระดับ 4 ซึ่งถือว่ามีนัยสำคัญให้วางแผนการควบคุมและนำเสนอต่อคณะกรรมการเพื่อพิจารณาในภาพรวมต่อไป สำหรับกิจกรรมที่มีความเสี่ยงที่ระดับ 1-3 เมื่อพิจารณาจากระดับความเสี่ยงแล้วเห็นว่าหน่วยงานสามารถดำเนินการได้ด้วยตนเองจึงไม่ต้องรายงานแต่ต้องมีการควบคุมเพื่อป้องกันไม่ให้ความเสี่ยงเคลื่อนย้ายไปยังระดับที่ยอมรับไม่ได้ ความเสี่ยงในระดับ 5 และ 4 หน่วยงานจะต้องจัดทำแผนดำเนินการควบคุมอย่างเป็นทางการและต้องรายงานผลการดำเนินการต่อคณะกรรมการบริหารความเสี่ยง

     5. การตอบสนองความเสี่ยง / ประเมินมาตรการควบคุม

       กิจกรรมควบคุมความเสี่ยง เป็นกระบวนการปฏิบัติงานที่ทุกคนทุกระดับในองค์กรร่วมกันกำหนดขึ้น เพื่อสร้างความมั่นใจในการดำเนินการอย่างสมเหตุสมผล ในการบรรลุวัตถุประสงค์ขององค์กรหรือหน่วยงาน ซึ่งกิจกรรมควบคุมความเสี่ยงมีการประเมินดังนี้

       5.1 การดำเนินการควบคุมเพื่อป้องกัน เป็นการกำหนดกิจกรรมที่นำมาใช้ในควบคุมความเสี่ยง

       5.2 การควบคุมที่มีอยู่แล้ว เป็นกิจกรรมที่จะนำมาใช้ในควบคุมความเสี่ยง ที่มีอยู่และยังไม่มีหรือมีแต่ยังไม่สมบูรณ์ โดยใช้เครื่องหมาย / หมายถึง มีอยู่แล้ว , X หมายถึง ไม่มี, และ O หมายถึง มีแต่ไม่สมบูรณ์

       5.3 ผลของการควบคุมที่มีอยู่แล้ว เป็นที่ทำกิจกรรมในการควบคุมความเสี่ยง โดยใช้ / เครื่องหมายหมายถึง ได้ผลตามความคาดหมาย, O หมายถึง ได้ผลแต่ยังไม่สมบูรณ์ และ X หมายถึง ไม่ได้ผลตามความคาดหมาย

     6. บริหารจัดการความเสี่ยง (Risk management) / กิจกรรมควบคุม

       เมื่อความเสี่ยงได้รับการประเมินและบ่งชี้ตามระดับความสำคัญแล้ว ต้องมีการประเมินวิธีการจัดการความเสี่ยงที่สามารถนำไปปฏิบัติได้เพื่อให้การบริหารความเสี่ยงมีประสิทธิผล ผู้ประเมินต้องเลือกวิธีการจัดการความเสี่ยงอย่างใดอย่างหนึ่งหรือหลายวิธีรวมกัน เพื่อลดระดับโอกาสที่จะเกิดขึ้นและความรุนแรง (ผลกระทบ) ของเหตุการณ์ให้อยู่ในช่วงที่องค์กรสามารถยอมรับได้ (Risk Tolerance) หลักการตอบสนองความเสี่ยงมี 4 ประการ (4T) คือ

       6.1 การยอมรับ (Take) ความเสี่ยงที่เหลืออยู่ในปัจจุบันอยู่ภายในระดับที่ต้องการและยอมรับได้แล้ว โดยไม่ต้องมีการดำเนินการเพิ่มเติมเพื่อลดโอกาสหรือความรุนแรงที่อาจเกิดขึ้นได้อีก

       6.2 การลดหรือควบคุม (Treat) การดำเนินการเพิ่มเติมเพื่อลดโอกาสที่อาจเกิดขึ้นหรือความรุนแรงของความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

       6.3 การถ่ายโอนหรือกระจาย (Transfer) การโอนหรือการกระจายความรับผิดชอบกับผู้อื่นในการจัดการความเสี่ยง

       6.4 การหยุดหรือการหลีกเลี่ยง (Terminate) การหยุดหรือการดำเนินการเพื่อหลีกเลี่ยงเหตุการณ์ที่ก่อให้เกิดความเสี่ยงผู้บริหารควรจัดการลดระดับความเสี่ยงตามหลักการตอบสนองข้างต้นและดำเนินการประเมินความเสี่ยงอีกครั้งหลังจากที่ได้มีการจัดการความเสี่ยงในช่วงเวลาที่เหมาะสมเพื่อดูว่าการบริหารความเสี่ยงมีประสิทธิผลหรือไม่

     7. การสื่อสารและระบบสารสนเทศ (Communication and Information)

       การสื่อสาร  หมายถึง การรับและส่งข้อมูลระหว่างกัน เพื่อให้เกิดความเข้าใจอันดีระหว่างกัน บุคคลซึ่งมีหน้าที่รับผิดชอบในงานที่สัมพันธ์กัน การสื่อสารจะเกิดได้ทั้งภายในและภายนอกหน่วยงาน

       สารสนเทศ หมายถึง ข้อมูลข่าวสารที่ใช้ในการบริหาร ซึ่งเป็นข้อมูลเกี่ยวกับการเงินและไม่ใช่การเงิน รวมทั้งข้อมูลข่าวสารอื่น ๆ ทั้งจากแหล่งภายในและภายนอก ข้อมูลข่าวสารที่เพียงพอ ถูกต้อง ครบถ้วน เป็นปัจจุบัน

     8. การติดตามผลและทบทวน (Risk monitoring)

       การติดตามผลเพื่อให้เกิดความมั่นใจว่าความเสี่ยงได้มีการควบคุมและจัดการอย่างมีประสิทธิผล จึงต้องมีการติดตามผลประกอบด้วย ความเสี่ยง กิจกรรมที่ควบคุม ผลลัพธ์ของการทำกิจกรรม ระยะเวลาการดำเนินงาน ความคืบหน้า ปัญหาและอุปสรรค ซึ่งมีการติดตามผลดังนี้

       8.1 หน่วยงานที่มีความเสี่ยงติดตามประเมินวิเคราะห์และบริหารความเสี่ยงอย่างสม่ำเสมอ ระบบการควบคุมภายในที่วางไว้เพียงพอเหมาะสม มีประสิทธิภาพมีการปฏิบัติงานจริงและมีประสิทธิผลสามารถป้องกันหรือลดความเสี่ยงที่อาจเกิดขึ้น

       8.2 มีการตรวจสอบเพื่อแนะนำให้ปรับปรุงข้อบกพร่องให้เหมาะสมกับเวลา

       8.3 มีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยง

 

 

 

เอกสารอ้างอิง

 

คณะศึกษาศาสตร์ มหาวิทยาลัยนเรศวร. 2552. คู่มือการบริหารความเสี่ยง .เข้าถึงได้ที่ http://www.osun.org

สำนักงานคณะกรรมการพัฒนาระบบราชการ. 2552. การบริหารความเสี่ยง. กรุงเทพฯ :

สำนักพิมพ์คณะรัฐมนตรีและราชกิจจานุเบกษา

สถาบันพัฒนาครู คณาจารย์ และบุคลากรทางการศึกษา สำนักงานปลัดกระทรวงศึกษาธิการ. 2551.

แผนบริหารความเสี่ยง เข้าได้ที่ http://www.nidtep.go.th/website/files/risk.doc

สำนักงานปลัด กระทรวงการพัฒนาสังคมและความมั่นคงของมนุษย์. 2551. แผนบริหารความเสี่ยง.

เข้าถึงได้ที่ http://blog.m-society.go.th/media/users/audit/Riskplan.doc

สำนักงานการตรวจเงินแผ่นดิน. แนวทาง : การจัดวางระบบการควบคุมภายในและการประเมินผลการ

ควบคุมภายใน. เข้าได้ที่ http://www.oag.go.th

ตลาดหลักทรัพย์แห่งประเทศไทย . ไพร้ซวอเตอร์เฮาส์คูเปอร์ส : แนวทางการบริหารความเสี่ยง

ฉบับปรับปรุง – ตุลาคม 2547 เข้าได้ที่ http://www.pwc.com/thailand