การจัดการความเสี่ยง
การจัดการความเสี่ยง (Risk Management) สำหรับองค์กร
การดำเนินธุรกิจในปัจจุบันมีความยุ่งยากและสลับซับซ้อนขึ้นเรื่อยๆ
และก็ยิ่งเป็นการยากสำหรับผู้บริหารที่จะทราบว่ามีปัญหาอะไรรออยู่ในอนาคตบ้าง
ดังนั้นธุรกิจจึงมีความจำเป็นอย่างยิ่งที่จะต้องมีกระบวนการอย่างเป็นระบบเพื่อที่จะให้ทราบว่าธุรกิจจะเผชิญปัญหาอะไรและจะหาทางป้องกันอย่างไรเพื่อให้ความสูญเสียที่อาจจะเกิดขึ้นมีผลกระทบต่อธุรกิจน้อยที่สุด
ดังนั้นการจัดการความเสี่ยงจึงหมายถึง
กระบวนการวางแผนการบริหารและการจัดการความเสี่ยง
เพื่อช่วยในการตัดสินใจของบุคคลหรือธุรกิจใดๆในอันที่จะหาวิธีการที่ดีที่สุด
เพื่อใช้เป็นแนวทางในการตัดสินใจแก้ไขปัญหาต่างๆที่อาจเกิดขึ้นในอนาคต
ทั้งนี้เพื่อลดความเสียหายที่อาจเกิดขึ้นให้น้อยที่สุด โดยมีค่าใช้จ่ายน้อยที่สุด
ความเสี่ยง
คือ ความไม่แน่นอนต่อการประสบกับเหตุการณ์ หรือ
สภาวะที่เราต้องเผชิญกับสถานการณ์อันไม่พึงประสงค์โดยมีความน่าจะเป็น
หรือโอกาสในสิ่งนั้นๆมากกว่าศูนย์
การจัดการความเสี่ยง
หรือ การบริหารความเสี่ยง (Risk Management)
คือ กระบวนการในการระบุ (Risk Identification) วิเคราะห์ (Risk analysis) ประเมิน (Risk
assessment) ดูแลตรวจสอบและควบคุมความเสี่ยง (Risk Control) ที่สัมพันธ์กับกิจกรรมหน้าที่และกระบวนการทำงาน
เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุดอันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง
นิยามของความเสี่ยง
ความเสี่ยงมีความหมายในหลากหลายแง่มุม
เช่น ความเสี่ยงคือ
- โอกาสที่เกิดขึ้นแล้วธุรกิจจะเกิดความเสียหาย
(Chance of Loss)
- ความเป็นไปได้ที่จะเกิดความเสียหายต่อธุรกิจ
(Possibility of Loss)
- ความไม่แน่นอนของเหตุการณ์ที่จะเกิดขึ้น
(Uncertainty of Event)
- การคลาดเคลื่อนของการคาดการณ์ (Dispersion
of Actual Result)
แนวทางในการบริหารความเสี่ยง ซึ่งโดยปกติจะประกอบด้วย
1. การกำหนดวัตถุประสงค์ของการจัดการความเสี่ยงของบริษัท
(Objective) และ การประเมินความเสี่ยง (Risk
Assessment)
ถือเป็นสิ่งที่จำเป็นที่สุดที่แต่ละองค์กรจะต้องสามารถวิเคราะห์
(Risk Analysis) และกำหนดให้ได้ว่าองค์กรหรือหน่วยงานใดในองค์กรต้องเผชิญกับความเสี่ยงใดบ้าง
(Risk Identification) ซึ่งความเสี่ยงที่เกิดขึ้นอาจมีขนาดและผลกระทบที่แตกต่างกัน
(Risk Estimation) โดยที่ความเสี่ยงบางประเภทอาจจะมีโอกาสหรือความเป็นไปได้ที่จะเกิด
(Likelihood) ตั้งแต่น้อยมาก (Rare) จนไปถึงมีความเป็นไปได้สูง
(Almost Certain) รวมถึงผลกระทบที่ตามมาจากความเสี่ยงที่เกิดขึ้น
(Consequence) อาจมีตั้งแต่ระดับน้อยมาก (Insignificant)
ในขณะที่ความเสี่ยงบางประเภทอาจมีแนวโน้มที่อาจก่อให้เกิดความเสียหายแก่องค์กรอย่างมหาศาล
(Catastrophic) ดังนั้นบุคคลากรในธุรกิจจึงควรที่จะวิเคราะห์และกำหนดความเสี่ยงที่ธุรกิจนั้นเผชิญให้ได้
ยกตัวอย่างเช่นการวิเคราะห์ความเสี่ยงของบริษัทแห่งหนึ่งเกี่ยวกับโอกาสของการเกิดความเสี่ยงจากเหตุการณ์ใดๆและผลกระทบของความเสี่ยงต่อด้านต่างๆ
ขององค์กรธุรกิจ ได้แก่ ด้านการเงิน (Financial) ชื่อเสียง (Reputation) การหยุดชะงักขององค์กร (Business
Interruption) และบุคลากร (Human) เป็นต้น
ความน่าจะเป็นหรือโอกาสในการเกิดความเสี่ยง
(Likelihood)
ความน่าจะเป็นนี้ขึ้นอยู่กับแต่ละองค์กรณ์ในการกำหนดว่าโอกาสของการเกิดเหตุการณ์นั้นๆต้องมีมากน้อยขนาดไหนถึงจะจัดว่ามีโอกาสนอ้ยหรือมาก
ผลกระทบหรือความเสียหายที่เกิดจากความเสี่ยง
(Consequence)
ผลกระทบหรือความเสียหายต่อองค์กรที่เกิดจากความเสี่ยงสามารถแบ่งออกเป็นด้านต่างๆ
ได้แก่
1.ความเสียหายด้านทรัพย์สินหรือตัวเงิน
(Financial)
2.ความเสียหายด้านชื่อเสียงขององค์กร
(Reputation)
3.ความเสียหายด้านการหยุดชะงักของการดำเนินการขององค์กร
(Business Interuption)
4.ความเสียหายด้านบุคลากร (Human)
การประเมินผลกระทบของความเสียหายอาจแบ่งเป็นระดับได้ดังนี้
Consequence or Impact is measured using the
following scale
1.Insignificant
2.Small
3.Medium
4.Large
5.Catastrophic
ความรุนแรงของเสียหายแต่ละระดับ
ขึ้นอยู่กับองค์กรจะระบุว่าความเสียหายแต่ละระดับอยู่ที่เหตุการณ์แบบไหนหรือมีมูลค่าเท่าไหร่
หลังจากที่มีการประเมินความน่าจะเป็นหรือโอกาสในการเกิดของความเสี่ยงแต่ละหัวข้อรวมถึงการประมาณการความเสียหายจากความเสี่ยงนั้นๆแล้ว
ก็จะนำเอาทั้งสองกรณีมาพิจารณา
Legend for Risk Ratings
E-Extreme Risk ความเสี่ยงระดับสูงสุด
ต้องมีแผนการจัดการที่แน่นอนไว้รองรับ
H-High Risk ความเสี่ยงระดับสูง
ต้องมีการเตรียมการเตรียมแผนการจัดการไว้รองรับ
M-Moderate Risk ความเสี่ยงระดับกลาง
ควรติดตามความเสี่ยงเป็นระยะ เพื่อวางแผนการจัดการ
L-Low Risk ความเสี่ยงระดับต่ำ
อาจยอมรับความเสี่ยงไว้ได้ หรือคอยติดตามระบุระดับความเสี่ยงเป็นระยะ
เพราะความเสี่ยงระดับต่ำอาจเพิ่มระดับความรุนแรงกลายเป็นความเสี่ยงระดับกลางหรือสูงได้
การประเมินความเสี่ยงดังกล่าวเพื่อเป็นแนวทางในการตัดสินใจถึงความสำคัญของการจัดการความเสี่ยงแต่ละเรื่อง
และเพื่อให้ผู้บริหารสามารถจัดลำดับความสำคัญของความเสี่ยง (Prioritization) ที่จำเป็นต้องได้รับการจัดการอย่างเป็นลำดับ
รวมไปถึงใช้เป็นแนวทางในการตัดสินใจเลือกวิธีที่เหมาะสมในการจัดการกับความเสี่ยงนั้นๆ
2. การหาวิธีการจัดการกับความเสี่ยง
2.1 การลดความเสี่ยง (Risk Reduction) ความเสี่ยงที่ได้รับอาจลดลงได้
ด้วยวิธีการหาทางป้องกันเพื่อมิให้มีความเสียหายเกิดขึ้น
การลดความเสี่ยงนี้มีวัตถุประสงค์เพื่อที่จะลดจำนวนครั้งของความเสียหายลง
หรือลดความรุนแรงของเหตุการณ์ที่อาจเกิดขึ้นในอนาคต
การวิเคราะห์อาจอาศัยข้อมูลในอดีต ปัจจุบัน
ซึ่งรวมถึงข้อมูลการคาดการณ์ในอนาคตประกอบการตัดสินใจ
2.2 การรับความเสี่ยงไว้เอง (Risk Retention) คือการที่ผู้บริหารขององค์กรนั้นๆ
ยินยอมที่จะรับภาระความเสี่ยงหรือความเสียหายที่เกิดขึ้นนั้นไว้เอง
เนื่องจากเล็งเห็นว่าโอกาส
หรือความน่าจะเป็นที่จะเกิดความเสียหายอยู่ในวิสัยที่การทำธุรกิจนั้นยอมรับได้
2.3. การโอนความเสี่ยง (Risk Transfer) เป็นวิธีการจัดการความเสี่ยงอีกรูปแบบหนึ่งที่ธุรกิจจะต้องวิเคราะห์และตัดสินใจที่จะเลือกโอนความเสี่ยงออกไปในรูปแบบใด
ทั้งนี้ขึ้นอยู่กับความเหมาะสมของธุรกิจนั้นๆ เช่น
การโอนความเสี่ยงไปให้บุคคลอื่นที่มิใช่บริษัทประกันโดยสัญญา
หรือการโอนความเสี่ยงไปให้บริษัทประกันภัยตามรูปแบบและเงื่อนไขที่ธุรกิจต้องการ
2.4. การหลีกเลี่ยงความเสี่ยง (Risk Aviodance) การหลีกเลี่ยงความเสี่ยงอาจกระทำได้โดยวิธีการง่ายๆโดยที่ธุรกิจไม่พยายามเข้าไปยุ่งเกี่ยวกับกิจกรรมที่ก่อให้เกิดความเสี่ยง
อย่างไรก็ตามวิธีการหลีกเลี่ยงความเสี่ยงนี้น่าจะเป็นวิธีสุดท้ายหลังจากที่ได้พิจารณาแล้วเห็นว่าไม่อาจใช้วิธีการอื่นเข้ามาแก้ไขได้เท่านั้น
การตัดสินใจในวิธีการนี้ธุรกิจต้องเปรียบเทียบข้อดีและข้อเสียก่อนการตัดสินใจ
3. การคัดเลือกวิธีการที่ดีที่สุด
การตัดสินใจคัดเลือกวิธีการบริหารความเสี่ยงจะต้องคำนึงถึง
• ความรุนแรงที่อาจเกิดขึ้นหากเลือกวิธีการดังกล่าว
และการเตรียมแนวทางแก้ไข
• ค่าใช้จ่ายที่จะใช้ในการจัดการตามวิธีการที่คัดเลือกมีจำนวนมากน้อยเพียงใด
• ผลกระทบต่อฐานะทางการเงินของธุรกิจที่อาจได้รับจากการตัดสินใจเลือกวิธีการดังกล่าว
อย่างไรก็ตาม
ภายหลังจากที่ได้ตัดสินใจเลือกวิธีการที่จะใช้ในการจัดการความเสี่ยงด้วยวิธีใดแล้ว
สิ่งสำคัญที่ต้องพิจารณาคือ
มาตรการที่ได้เลือกใช้นั้นมีความเหมาะสมกับภาวะแวดล้อมในปัจจุบันมากน้อยเพียงใด
ทั้งนี้เพื่อให้ธุรกิจสามารถปรับเปลี่ยนรูปแบบการบริหารความเสี่ยงให้สอดคล้องกับสถานการณ์อันจะเป็นประโยชน์ต่อธุรกิจต่อไป
4. รายงานความเสี่ยงที่เหลือ (Residual
Risk Reporting)
เมื่อได้ดำเนินการตามแนวทางที่ระบุไว้แล้ว
ก็จะทำการรวบรวมความเสี่ยงที่ยังคงเหลือไปนำเสนอผู้ที่มีอำนาจในการตัดสินใจ
5. ติดตามผล และประเมินผล (Monitoring
and Evaluation)
อย่างไรก็ตามแม้จะมีการการจัดการกับความเสี่ยงที่ถูกระบุไว้เป็นอย่างดีเรียบร้อยแล้ว
องค์กรไม่ควรอยู่นิ่งหรือหยุดกิจกรรมการจัดการความเสี่ยง
เพราะความจริงแล้วความเสี่ยงใหม่ๆเกิดขึ้นได้เสมอ
ดังนั้นทุกๆองค์ควรมีกิจกรรมในการประเมินความเสี่ยงใหม่ๆที่อาจเกิดขึ้นในองค์กรตลอดเวลา
เพื่อหาทางรับมือและจัดการกับความเสี่ยงที่อาจเกิดขึ้นอย่างเหมาะสมและทันท่วงที
มาตรการรับมือกับภัย 5 มาตรการ (5 R)
R1
Readiness ความเตรียมพร้อม
องค์กรต้องเตรียมความพร้อมระบบการบริหารความเสี่ยงให้มีความพร้อมในการจัดทำมาตรการขจัดหรือควบคุมภัยต่างๆเอาไว้ล่วงหน้า
R2
Response การตอบสนองอย่างฉับไว
เมื่อเกิดอุบัติภัยขึ้นระบบต้องมีสมรรถนะที่ดีพอในการตอบโต้ภัยแต่ละชนิดอย่างได้ผลและทันเวลา
R3
Rescue การช่วยเหลือกู้ภัย
เป็นกระบวนการปกป้องชีวิตและทรัพย์สินขององค์กร
ที่ได้ผลและทันเวลา
R4
Rehabilitation การกลับเข้าไปทำงาน
เมื่ออุบัติภัยสิ้นสุดลงแล้วต้องกลับเข้าไปที่เดิมให้เร็วที่สุดเพื่อ
การซ่อมแซม การเปลี่ยนใหม่ หรือการสร้างขึ้นใหม่ (Rebuild)
เพื่อให้อาคารสถานที่พร้อมที่จะดำเนินกิจการต่อไปได้
อาจรวมไปถึงการประกันภัยด้วย
R5
Resumption การกลับคืนสู่สภาวะปกติ
องค์กรสามารถเปิดทำการ
หรือ ดำเนินธุรกิจต่อไปตามปกติได้เสมือนว่าไม่มีอุบัติภัยมาก่อน
Response กับ Rescue อาจจะเหมือนเป็นเรื่องเดียวกัน
แต่ความจริงแล้วแตกต่างกัน โดยขอยกตัวอย่าง กรณีเกิดอัคคีภัย
อุปกรณ์ดับเพลิงอัตโนมัติ รวมถึง Fire Alarm คือขั้นตอนของ Response
แต่ไฟฉุกเฉินและเครื่องช่วยหายใจ เพื่อให้พนักงานสวม
เพื่อหนีออกจากอาคาร เป็นขั้นตอนของ Rescue
วันที่สืบค้น 13 ธันวาคม 2560
ไม่มีความคิดเห็น:
แสดงความคิดเห็น