การจัดการความเสี่ยง (Risk
Management)
สำหรับองค์กรการดำเนินธุรกิจในปัจจุบันมีความยุ่งยากและสลับซับซ้อนขึ้นเรื่อยๆ
และก็ยิ่งเป็นการยากสำหรับผู้บริหารที่จะทราบว่ามีปัญหาอะไรรออยู่ในอนาคตบ้าง
ดังนั้นธุรกิจจึงมีความจำเป็นอย่างยิ่งที่จะต้องมีกระบวนการอย่างเป็นระบบเพื่อที่จะให้ทราบว่าธุรกิจจะเผชิญปัญหาอะไรและจะหาทางป้องกันอย่างไรเพื่อให้ความสูญเสียที่อาจจะเกิดขึ้นมีผลกระทบต่อธุรกิจน้อยที่สุด
ดังนั้นการจัดการความเสี่ยงจึงหมายถึง
กระบวนการวางแผนการบริหารและการจัดการความเสี่ยง
เพื่อช่วยในการตัดสินใจของบุคคลหรือธุรกิจใดๆในอันที่จะหาวิธีการที่ดีที่สุด
เพื่อใช้เป็นแนวทางในการตัดสินใจแก้ไขปัญหาต่างๆที่อาจเกิดขึ้นในอนาคต
ทั้งนี้เพื่อลดความเสียหายที่อาจเกิดขึ้นให้น้อยที่สุด โดยมีค่าใช้จ่ายน้อยที่สุด
ความเสี่ยง คือ
ความไม่แน่นอนต่อการประสบกับเหตุการณ์ หรือ
สภาวะที่เราต้องเผชิญกับสถานการณ์อันไม่พึงประสงค์โดยมีความน่าจะเป็น หรือโอกาสในสิ่งนั้นๆมากกว่าศูนย์
การจัดการความเสี่ยง หรือ การบริหารความเสี่ยง (Risk
Management)
คือ กระบวนการในการระบุ (Risk Identification) วิเคราะห์ (Risk analysis) ประเมิน (Risk
assessment) ดูแลตรวจสอบและควบคุมความเสี่ยง (Risk Control) ที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน
เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด
อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง
นิยามของความเสี่ยง
ความเสี่ยงมีความหมายในหลากหลายแง่มุม
เช่น ความเสี่ยงคือ
-
โอกาสที่เกิดขึ้นแล้วธุรกิจจะเกิดความเสียหาย (Chance of
Loss)
-
ความเป็นไปได้ที่จะเกิดความเสียหายต่อธุรกิจ (Possibility of
Loss)
-
ความไม่แน่นอนของเหตุการณ์ที่จะเกิดขึ้น (Uncertainty of Event)
-
การคลาดเคลื่อนของการคาดการณ์ (Dispersion of Actual Result)
แนวทางในการบริหารความเสี่ยง ซึ่งโดยปกติจะประกอบด้วย
1.
การกำหนดวัตถุประสงค์ของการจัดการความเสี่ยงของบริษัท (Objective) และการประเมินความเสี่ยง (Risk Assessment)
ถือเป็นสิ่งที่จำเป็นที่สุดที่แต่ละองค์กรจะต้องสามารถวิเคราะห์
(Risk
Analysis) และกำหนดให้ได้ว่าองค์กรหรือหน่วยงานใดในองค์กรต้องเผชิญกับความเสี่ยงใดบ้าง
(Risk Identification) ซึ่งความเสี่ยงที่เกิดขึ้นอาจมีขนาดและผลกระทบที่แตกต่างกัน
(Risk Estimation) โดยที่ความเสี่ยงบางประเภทอาจจะมีโอกาสหรือความเป็นไปได้ที่จะเกิด
(Likelihood) ตั้งแต่น้อยมาก (Rare) จนไปถึงมีความเป็นไปได้สูง
(Almost Certain) รวมถึงผลกระทบที่ตามมาจากความเสี่ยงที่เกิดขึ้น
(Consequence) อาจมีตั้งแต่ระดับน้อยมาก (Insignificant)
ในขณะที่ความเสี่ยงบางประเภทอาจมีแนวโน้มที่อาจก่อให้เกิดความเสียหายแก่องค์กรอย่างมหาศาล
(Catastrophic) ดังนั้นบุคคลากรในธุรกิจจึงควรที่จะวิเคราะห์และกำหนดความเสี่ยงที่ธุรกิจนั้นเผชิญให้ได้
ยกตัวอย่าง เช่น การวิเคราะห์ความเสี่ยงของบริษัทแห่งหนึ่งเกี่ยวกับโอกาสของการเกิดความเสี่ยงจากเหตุการณ์ใดๆและผลกระทบของความเสี่ยงต่อด้านต่างๆ
ขององค์กรธุรกิจ ได้แก่ ด้านการเงิน (Financial) ชื่อเสียง (Reputation)
การหยุดชะงักขององค์กร (Business Interruption) และบุคลากร (Human) เป็นต้น
ความน่าจะเป็นหรือโอกาสในการเกิดความเสี่ยง (Likelihood)
ความน่าจะเป็นนี้ขึ้นอยู่กับแต่ละองค์กรณ์ในการกำหนดว่าโอกาสของการเกิดเหตุการณ์นั้นๆต้องมีมากน้อยขนาดไหนถึงจะจัดว่ามีโอกาสนอ้ยหรือมาก
1.Rareโอกาสที่เกิดขึ้นน้อยมาก เช่น มากว่า10
ปีถึงจะเกิดเหตุการร์ขึ้นที
2.Unlikelyโอกาสที่เกิดขึ้นมีน้อย เช่น 5 - 10 ปีจะเกิดขึ้นที
3.Reasonableมีโอกาสที่จะเกิดขึ้นในช่วงทุก 2-5 ปี
4.Likelyโอกาสที่จะเกิดเหตุการณ์ดังกล่าวมีอยู่สูง เช่น เกิดขึ้นทุกๆ 1- 2 ปี
5.Almost
certainโอกาสของเหตุการณ์เกิดขึ้นเป็นประจำทุกปีหรือเกิดขึ้นมากว่า 1
ครั้งภายใน 1 ปี
ผลกระทบหรือความเสียหายที่เกิดจากความเสี่ยง (Consequence)
ผลกระทบหรือความเสียหายต่อองค์กรที่เกิดจากความเสี่ยงสามารถแบ่งออกเป็นด้านต่างๆ
ได้แก่
1.ความเสียหายด้านทรัพย์สินหรือตัวเงิน (Financial)
2.ความเสียหายด้านชื่อเสียงขององค์กร (Reputation)
3.ความเสียหายด้านการหยุดชะงักของการดำเนินการขององค์กร (Business
Interuption)
4.ความเสียหายด้านบุคลากร (Human)
การประเมินผลกระทบของความเสียหายอาจแบ่งเป็นระดับได้ดังนี้
Consequence
or Impact is measured using the following scale
1.Insignificant
2.Small
3.Medium
4.Large
5.Catastrophic
ความรุนแรงของเสียหายแต่ละระดับ
ขึ้นอยู่กับองค์กรจะระบุว่าความเสียหายแต่ละระดับอยู่ที่เหตุการณ์แบบไหนหรือมีมูลค่าเท่าไหร่หลังจากที่มีการประเมินความน่าจะเป็นหรือโอกาสในการเกิดของความเสี่ยงแต่ละหัวข้อรวมถึงการประมาณการความเสียหายจากความเสี่ยงนั้นๆแล้ว
ก็จะนำเอาทั้งสองกรณีมาพิจารณา
โดยใช้ตารางประเมินความเสี่ยง (Risk Matrix) เพื่อประเมินว่าความเสี่ยงใดที่ให้ความสำคัญในการบริการจัดการ (Risk
Prioritization)รวมถึงหาวิธีการจัดการที่เหมาะสม
Legend for Risk Ratings
E-Extreme
Risk ความเสี่ยงระดับสูงสุด ต้องมีแผนการจัดการที่แน่นอนไว้รองรับ
H-High
Risk ความเสี่ยงระดับสูง
ต้องมีการเตรียมการเตรียมแผนการจัดการไว้รองรับ
M-Moderate
Risk ความเสี่ยงระดับกลาง ควรติดตามความเสี่ยงเป็นระยะ
เพื่อวางแผนการจัดการ
L-Low
Risk ความเสี่ยงระดับต่ำ อาจยอมรับความเสี่ยงไว้ได้ หรือคอยติดตามระบุระดับความเสี่ยงเป็นระยะ
เพราะความเสี่ยงระดับต่ำอาจเพิ่มระดับความรุนแรงกลายเป็นความเสี่ยงระดับกลางหรือสูงได้
2.
การหาวิธีการจัดการกับความเสี่ยง
2.1 การลดความเสี่ยง (Risk Reduction) ความเสี่ยงที่ได้รับอาจลดลงได้
ด้วยวิธีการหาทางป้องกันเพื่อมิให้มีความเสียหายเกิดขึ้น
การลดความเสี่ยงนี้มีวัตถุประสงค์เพื่อที่จะลดจำนวนครั้งของความเสียหายลง
หรือลดความรุนแรงของเหตุการณ์ที่อาจเกิดขึ้นในอนาคต การวิเคราะห์อาจอาศัยข้อมูลในอดีต
ปัจจุบัน ซึ่งรวมถึงข้อมูลการคาดการณ์ในอนาคตประกอบการตัดสินใจ
2.2 การรับความเสี่ยงไว้เอง (Risk Retention) คือการที่ผู้บริหารขององค์กรนั้นๆ
ยินยอมที่จะรับภาระความเสี่ยงหรือความเสียหายที่เกิดขึ้นนั้นไว้เอง
เนื่องจากเล็งเห็นว่าโอกาส หรือความน่าจะเป็นที่จะเกิดความเสียหายอยู่ในวิสัยที่การทำธุรกิจนั้นยอมรับได้
2.3. การโอนความเสี่ยง (Risk Transfer) เป็นวิธีการจัดการความเสี่ยงอีกรูปแบบหนึ่งที่ธุรกิจจะต้องวิเคราะห์และตัดสินใจที่จะเลือกโอนความเสี่ยงออกไปในรูปแบบใด
ทั้งนี้ขึ้นอยู่กับความเหมาะสมของธุรกิจนั้นๆ เช่น
การโอนความเสี่ยงไปให้บุคคลอื่นที่มิใช่บริษัทประกันโดยสัญญา
หรือการโอนความเสี่ยงไปให้บริษัทประกันภัยตามรูปแบบและเงื่อนไขที่ธุรกิจต้องการ
2.4. การหลีกเลี่ยงความเสี่ยง (Risk Aviodance) การหลีกเลี่ยงความเสี่ยงอาจกระทำได้โดยวิธีการง่ายๆโดยที่ธุรกิจไม่พยายามเข้าไปยุ่งเกี่ยวกับกิจกรรมที่ก่อให้เกิดความเสี่ยง
อย่างไรก็ตามวิธีการหลีกเลี่ยงความเสี่ยงนี้น่าจะเป็นวิธีสุดท้ายหลังจากที่ได้พิจารณาแล้วเห็นว่าไม่อาจใช้วิธีการอื่นเข้ามาแก้ไขได้เท่านั้น
การตัดสินใจในวิธีการนี้ธุรกิจต้องเปรียบเทียบข้อดีและข้อเสียก่อนการตัดสินใจ
3.
การคัดเลือกวิธีการที่ดีที่สุด
การตัดสินใจคัดเลือกวิธีการบริหารความเสี่ยงจะต้องคำนึงถึง
•
ความรุนแรงที่อาจเกิดขึ้นหากเลือกวิธีการดังกล่าว
และการเตรียมแนวทางแก้ไข
•
ค่าใช้จ่ายที่จะใช้ในการจัดการตามวิธีการที่คัดเลือกมีจำนวนมากน้อยเพียงใด
•
ผลกระทบต่อฐานะทางการเงินของธุรกิจที่อาจได้รับจากการตัดสินใจเลือกวิธีการดังกล่าว
อย่างไรก็ตาม
ภายหลังจากที่ได้ตัดสินใจเลือกวิธีการที่จะใช้ในการจัดการความเสี่ยงด้วยวิธีใดแล้ว
สิ่งสำคัญที่ต้องพิจารณาคือ มาตรการที่ได้เลือกใช้นั้นมีความเหมาะสมกับภาวะแวดล้อมในปัจจุบันมากน้อยเพียงใด
ทั้งนี้เพื่อให้ธุรกิจสามารถปรับเปลี่ยนรูปแบบการบริหารความเสี่ยงให้สอดคล้องกับสถานการณ์อันจะเป็นประโยชน์ต่อธุรกิจต่อไป
4. รายงานความเสี่ยงที่เหลือ (Residual Risk Reporting)
เมื่อได้ดำเนินการตามแนวทางที่ระบุไว้แล้ว
ก็จะทำการรวบรวมความเสี่ยงที่ยังคงเหลือไปนำเสนอผู้ที่มีอำนาจในการตัดสินใจ
5.
ติดตามผล และประเมินผล (Monitoring and Evaluation)
เมื่อการดำเนินงานในขั้นต่าง ๆ ได้ดำเนินงานผ่านพ้นไป
ขั้นตอนนี้จะเป็นการติดตามผลที่ได้กระทำไป
มาตรการรับมือกับภัย
5 มาตรการ (5 R)
R1
Readiness ความเตรียมพร้อม
องค์กรต้องเตรียมความพร้อมระบบการบริหารความเสี่ยงให้มีความพร้อมในการจัดทำมาตรการขจัดหรือควบคุมภัยต่างๆเอาไว้ล่วงหน้า
R2
Response การตอบสนองอย่างฉับไว
เมื่อเกิดอุบัติภัยขึ้นระบบต้องมีสมรรถนะที่ดีพอในการตอบโต้ภัยแต่ละชนิดอย่างได้ผลและทันเวลา
R3
Rescue การช่วยเหลือกู้ภัย
เป็นกระบวนการปกป้องชีวิตและทรัพย์สินขององค์กร
ที่ได้ผลและทันเวลา
R4
Rehabilitation การกลับเข้าไปทำงาน
เมื่ออุบัติภัยสิ้นสุดลงแล้วต้องกลับเข้าไปที่เดิมให้เร็วที่สุดเพื่อ
การซ่อมแซม การเปลี่ยนใหม่ หรือการสร้างขึ้นใหม่ (Rebuild) เพื่อให้อาคารสถานที่พร้อมที่จะดำเนินกิจการต่อไปได้
อาจรวมไปถึงการประกันภัยด้วย
R5
Resumption การกลับคืนสู่สภาวะปกติ
องค์กรสามารถเปิดทำการ หรือ
ดำเนินธุรกิจต่อไปตามปกติได้เสมือนว่าไม่มีอุบัติภัยมาก่อน
Response กับ Rescue
อาจจะเหมือนเป็นเรื่องเดียวกัน แต่ความจริงแล้วแตกต่างกัน
โดยขอยกตัวอย่าง กรณีเกิดอัคคีภัย อุปกรณ์ดับเพลิงอัตโนมัติ รวมถึง Fire
Alarm คือขั้นตอนของ Response แต่ไฟฉุกเฉินและเครื่องช่วยหายใจ
เพื่อให้พนักงานสวม เพื่อหนีออกจากอาคาร เป็นขั้นตอนของ Rescue หวังว่าเนื้อหารวมถึงกรณีศึกษาที่ผมเขียนมาจะมีประโยชน์สำหรับทุกท่านในการนำไปประยุกต์ใช้กับการจัดการความเสี่ยงของหน่วยงานของตนเองได้อย่างเหมาะสม
ไม่มีความคิดเห็น:
แสดงความคิดเห็น