การบริหารความเสี่ยง (risk management)...การบร...
TRANSCRIPT
การบรหารความเสยง (Risk Management)
โดย สมาคมผตรวจสอบภายในแหงประเทศไทย
บรรยายโดย สรพงษ ชรงสฤษฎ CIA, CPIA
การบรหารความเสยง (RISK MANAGEMENT) โดย สมาคมผตรวจสอบภายในแหงประเทศไทย
บรรยายโดย สรพงษ ชรงสฤษฎ CIA, CPIA
วตถประสงค
• เปนกจกรรมหนงในโครงการเผยแพรวชาชพตรวจสอบภายใน ของสมาคมผตรวจสอบภายในแหงประเทศไทย
• เพอใหเขาใจถงความส าคญของการบรหารความเสยง
• เพอใหทราบหลกการ และหลกปฏบตเพอน าไปใชประโยชน ในองคกร
Common Causes of Business Failures
ขาดจรยธรรมและความซอสตย
ปญหาดานสภาพแวดลอมการควบคม
ก าหนดวตถประสงคไมด ไมสามารถปฏบตได
ไมเขาใจความเสยงทมอยของธรกจ (Not understanding the inherent risks of the business)
ปญหาทางดานการสอสาร
ความสามารถในการบรหารการเปลยนแปลง
มมมอง เกยวกบความเสยง
ฝากธนาคารได 3.5% ?
ลงทน
High Risk
High Return
ท าไมตองมการบรหารความเสยง ?
7
Internal Control
Governance
Governance
Risk Management
Risk Management
Internal Audit
Governance – Risk - Control
การบรหาความเสยง - การจดการเชงรก
เปนการก าหนด มาตรการรบมอ หรอ เตรยมพรอมรบมอ กบเหตการณท “อาจเกดขน” สงผลตอความลมเหลว/เสยหาย ไมใชจดการกบ เหตการณ เกดขนแลวแกไข ซงคอ “ปญหา”
ผสามารถคาดการไดแมนย า และจดการเตรยมพรอมอยเสมอ ยอมไดเปรยบกวา มโอกาสสงทจะอยรอดได อยางมนคง
3 สงทมความสมพนธกน
2. ความเสยง
3.การควบคม
1.
วตถประสงค
9
things that help Met an objective by managing the risk
The things an organization wants to
accomplish
“Things that might prevent
accomplishment an objective
06/11/57 สมาคมผตรวจสอบภายในแหงประเทศไย
ท าไม? ถงมความเสยง • เพราะ “มความหวง” หรอ “วตถประสงค”
• ท าธรกจ ตางกหวงวา “จะไดก าไร” จะ “เตบโต” จะ “มนคง”
• บรการภาครฐ กหวงวา “ประชาชนจะไดประโยชน ตามภารกจทม จากการใชเงนของรฐ”
• แตไมแนเสมอไปวา จะไดตามทหวง อาจจะผดหวงได?
• มอะไรตงเยอะแยะทท าใหผดหวงได เชน ผลตภณฑทท า/ทสงมา ขายไมได ขายไดแตไมคมทน ธรกจถกปดเพราะท าผดกฎหมาย ลกจางหยดงาน ไมมแรงงาน สนคาไมไดคณภาพ หรอดอยกวาคแขงขน ทจรต อบตภยในโรงงาน/ส านกงาน ลกหนไมจายหน supplier ไมสงสนคาให เงนสดขาดมอ สงสนคาไมทนตามก าหนด เครองจกรพง น าทวม เปลยนรฐบาลเปลยนนโยบาย เทคโนโลยเปลยน.............................
แนวความคด 1. “ความเสยง” เกดขนไดอยางไร?
o ม “ความไมแนนอน” ซง เปนสงทเกดขนไดเสมอไมสามารถ “หาม” ความไมแนนอนใหเกดขนได
o เปนความไมแนนอนทอาจเกด “เหตไมประสงค” แลวมผล แตกตางไปจากทคาดการณไว
o ผลแตกตางมทงทาง “บวก” และ “ลบ”
o บวกเปนโอกาส ลบเปนความเสยง
2. ความเสยงเปนเรองท “ไมด” เสมอ ใชหรอไม?
o ไมใชเปนเรองทไมดเสมอไป เพราะ เปนชองทางของธรกจท สามารถหาประโยชน
o “เสยงมาก” “ผลตอบแทนสง”
o การก าหนดระดบความเสยง (Risk Appetite) และการบรหารใหอยในระดบทก าหนดไว จงเปนเรองส าคญ
o เพราะเปนระดบทองคกรสามารถรบมอ กบความเสยงได และจะไดประโยชนหรอผลตอบแทน อยางคมคา จากระดบความเสยงนน
12
oภาคธรกจ ตองมการ “ลงทน” จงตองการผลตอบแทนท “คมคา” กบเงนทน จงหวง “สวนเกนหรอสวนทงอกเงย” จากเงนทลงทนไป คอ “ผลก าไรทคมคา” ซงจะท าใหมความมนคงทางการเงน oภาคธรกจตองการความ “ยงยน” เพอเกบเกยวผลประโยชนจากการลงทนไดอยางยาวนาน oภาครฐ มเงนลงทนไดจากภาษ จงไมประสงค “ก าไร” oภาครฐ มหนาทสรางความ “อยด มสข” ใหกบประชาชน oภาครฐ มหนาทใชเงน เพอสรางประโยชนกบประเทศ และความ “อยดมสขใหกบประชาชน” oภาคธรกจ “ตองหาเงนใหคมคากบการลงทน” ภาครฐ “ใชเงนใหคมคากบผลประโยชนของประชาชน” ผ เสยภาษ oดงนนความเสยงส าคญภาคธรกจ.................... ภาครฐ.................................
-ความเสยงภาครฐ และภาคธรกจ
13
ความเสยง • ความไมแนนอน (Uncertainty) มโอกาส (Possibility) ทจะเกดเหตการณไมพงประสงคไดเสมอ รวมถงเหตการณทเปนโอกาส (Opportunity) ใหไดรบประโยชนหรอความส าเรจเพมขน (Upside)
• มผลกระทบ (Impact) ตอการด าเนนกจกรรมหรอแผนการตางๆ ขององคกร ท าใหไมบรรลวตถประสงคหรอเปาหมายทก าหนด
• ความเสยงบางประเภทอาจไมไดกอใหเกดผลเสยหรอความเสยหาย (Downside) เสมอไป ในทางตรงกนขาม อาจมโอกาสทจะท าใหไดรบประโยชน (Upside) เพมขนไดเชนกน
• ความเสยงมลกษณะผนแปรและเปลยนแปลงไปตามระยะเวลา ดงนน องคกรหรอบคคลจงตองประเมนความเสยงอยางตอเนองและเปนระบบ
• การบรหารความเสยงภาครฐ และเอกชน ใชหลกเดยวกน แตเปาหมายตางกน
สรปแนวความคด
14
Monitoring
Information and Communication
Control Activities
Risk Response
Risk Assessment
Event Identification
Objective Setting
Internal Environment
การบรหารความเสยงขององคกร COSO ERM
ระดบองคกร – • การก าหนดกลยทธ โครงสราง
และผ รบผดชอบ • นโยบาย และหลกปฏบต • มาตรฐานทใช • การประเมนความเสยงองคกร • การน าสการปฏบต • การตดตามผล เฝาระวง
COSO- ERM 16
• The Internal Environment:
• เปนองคประกอบพนฐานทมอทธพลตอองคประกอบอน
• มอทธพลตอการก าหนดกลยทธองคกรและวตถประสงค
• ไดรบอทธพลจาก ประวตองคกรและวฒนะธรรมองคกร
Monitoring
Information and Communication
Control Activities
Risk Response
Risk Assessment
Event Identification
Objective Setting
Internal Environment
ERM คอกระบวนการ ทจะเกดผลไดจากการรวมมอกนระหวางกรรมการ คณะผบรหารและบคคลอนๆขององคกร น ามาประยกตใชในการก าหนดกลยทธ และใชทวทงองคกร เพอบงชเหตการณทอาจเปนไปไดซงอาจมผลกระทบตอองคกร และจดการกบความเสยงใหอยในระดบทองคกรยอมรบได เพอใหความเชอมนอยางสมเหตสมผล เกยวกบการบรรลวตถประสงคขององคกร
Strategic Objectives Related Objectives Selected Objectives Risk Appetite Risk Tolerance
2. การวเคราะห และการประเมนความเสยง – บรหารอยางไร? 17
1. รบร
2. วดระดบ
3.ก าหนดวธรบมอ
4.ควบคม
5.เฝาระวง
2. การวเคราะห และการประเมนความเสยง - รบร
18
Monitoring
Information and Communication
Control Activities
Risk Response
Risk Assessment
Event Identification
Objective Setting
Internal Environment
เหตการณ
ปจจยทมผลตอเหตการณ
เทคนคการระบเหตการณ
การจดหมวดหมเหตการณ
คอการระบความเสยง
การวเคราะห และการประเมนความเสยง -ความเสยงเฉพาะ ตามลกษณะกจการ
19
ความเสยงส าคญ เฉพาะกจการดาน “ความอยดมสข” และ “ภยสงคม” ทธรกจอนไมม เชนธรกจธนาคาร การผลต การประกนภยเปนตน เชน
ภยธรรมชาต
ท าลายธรรมชาต –บกรกท าลาย เผาปา
เอาเปรยบสงคมในการใชทรพยากรธรรมชาต – ผ ใชประโยชนตนน ากกเกบน าจากล าธารสาธารณะ เปลยนเสนทางล าน า
โรคระบาด – แหลงเพาะยง ขยะ อาหาร สขอนามย
โจรภย – ยาเสพยตด บอนการพนน ของหนภาษ ลกลอบตดไม ขนไมเถอน
ไมไดรบความเปนธรรม – จากหนวยราชการ บคคลในสงคม
เกดมลพษ – ละออง หมอกควน กลน เสยง เปนตน
ความเสยงอนๆทเกยวของ 20
ดานปฏบตการ ซอของ ( อปกรณ/ทรพยสน)ไมไดคณภาพ
รายงานเสนอผบรหาร ไมตรงขอเทจจรง ลาชา
ดานขอก าหนดของทางการ กฎหมายทเกยวของ กฎกระทรวง หนวยงานผก ากบดแล สตง. ปปช. เปนตน
ดานการเงน
ขาดสภาพคลอง บนทกรายการทางบญชไมถกตองตามมาตรฐาน
น าเงนเขาบญชไมครบถวน
ทจรต
น าเงนสด/ทรพย ของราชการ ไปใชในงานสวนตว เปนของสวนตว
รบประโยชนจากบคคลภายนอกเพอเออประโยชนเรองใดเรองหนง
การระบความเสยง
Effect & Cause
ความผดพลาดทอาจจะเกดขน เชน ผดท ผดวตถประสงค ผดราคา ผดแบบ เปนตน
Effect Cause
เสยชอเปนขาวในทางลบ
งบประมาณสญเปลา
จดซอวสดไมมคณภาพ /ราคาสงกวาตลาด
ระบบทพฒนาใชไมได ไมมคนใช คนใชไมเปน
2. การวเคราะห และการประเมนความเสยง- การวดความเสยง (Risk Assessment)
22
• Impact • Likelihood • Factor
2. การวเคราะห และการประเมนความเสยง -การวดคาความเสยง/กอนการควบคม
5
4 สงมาก
3 สง
2 ปานกลาง
1 นอย
1 2 3 4 5
โอกาสทจะเกดความเสยง
23
ผลกระทบ
3 การวางกลยทธในการบรหารความเสยง -การก าหนดวธการรบมอกบความเสยง
24
Accept = Monitor
Avoid = eliminate ( get out of situation)
Reduce = institute control
Share = partner with someone. ( e.g. insurance outsourcing )
การวางกลยทธในการบรหารความเสยง Impact VS. Likelihood
25
High
High Low
Medium Risk
Low Risk
High Risk
Medium Risk
Share Manage & Control
Accept Control
LIKELIHOOD
I M P A C T
4. กจกรรมการควบคม (Control Activities)
Integration and Risk Response Types of Control Activities Policies and Procedures Controls over Information Systems Entity Specific
26
การวางกลยทธในการบรหารความเสยง- ประเภทของการควบคม
•แบบปองกน (Preventive Control)
•แบบตรวจพบและแกไข (Detective & Corrective Control)
• แบบสงการ ( Directive Control)
•แบบชดเชย/ทดแทน (Compensate Control )เชน ประกนภย BCP เปนตน
การวางกลยทธในการบรหารความเสยง- Information &Communication - Monitoring
28
Information Communication
Ongoing Monitoring Activities
Separate Evaluations
Reporting Deficiencies
การวางกลยทธในการบรหารความเสยง- การจดท าผงความเสยง Risk Map
29
• เปนผงแสดงความเชอมโยง ความเสยงขององคกร (Entity Level) กบ เจาของความเสยง (Risk Owner)
• เสมอน “แบบแปลน/พมพเขยว ” เพอ บรณาการ ( Integrate) ความเสยงของหนวยงานตางๆ กบความเสยงองคกร
• ไดผลมากทสดคอ Top-down Approach
การวางกลยทธในการบรหารความเสยง- High Level Risk Map – Top-down
30
Risk Profile
Strategic Financial Operational Compliance
Risk
Activities
Risk Owners
การวางกลยทธในการบรหารความเสยง Risk Map Detail Level
31
การด าเนนงาน
Risks : OR#1 – ระบบทพฒนา ลาสมย (ไมมคนใช)
Activities
Risk’ Owner
การออกแบบระบบงาน การพฒนา Program การทดสอบและตรวจรบ
หนวยงาน A หนวยงาน A หนวยงาน A-B
- ออกแบบบนเทคโนโลยทอยในชวงขาลง
- ใชเวลานาน
• ใชเวลานาน. • ใชเวลานาน • ไมไดทดสอบเรองทส าคญ
Control Procedure
การวางกลยทธในการบรหารความเสยง- ภาพรวม - ภาคปฏบต
32
Contr
ol Ac
tivitie
s
Risks
Avoid
Reduce
Share
Accept
Risk Appetite
Control
Partner
Monitor
Value
Asse
ssme
nt
Resp
onse
Treat
Take
5. การตดตามเฝาระวงความเสยง 33
ERM is a Continuous Process
Mon
itorin
g a n
d C
onti n
uous
Im
prov
emen
t
Information and
Comm
unicationRisk
Mitig
ation and C
ontrol
Activitie
s
Risk As sessm
ent
and Ev alua tionRisk Identification
ERM PROCESS
Environment and Strategy (Objective Setting)
5. การตดตามเฝาระวง ดวยการก าหนด KRI 34
• ภายใตหลกคดทวา “ความไมแนนอน คอสงทแนนอน” หรอ “ทกสงยอมมการเปลยนแปลงอยเสมอ”
• เปนการระบ ตวบงชทมผลตอระดบความเสยงทองคกรเผชญอย
• แปลวา “เปนการระบสงทเปลยนแปลง ทมผลตอระดบความเสยง”
• หรอก าหนดปจจยเสยง ทเปนตวชน าการเปลยนแปลงของระดบความเสยง
• หรอเปนตวตรวจจบ “ผล” เพอปองกนไมใหลกลาม
• ก าหนดระดบของ Trigger Point และการปฏบตเมอถงระดบทก าหนด
• ตวบงชตาม (Lag Indicator) หมายถง ตวบงชความเสยง ท "ผล” ทเปนตวแสดงใหเหนถง “ผลลพธสดทาย” ของกระบวนการนนๆ วาเปนอยางไร เชน ยอดขาย สวนแบงการตลาด อตราการเกดอบตเหต ฯลฯ (เปนดชนวดผลทเกดขนแลวเชน น าทวมแลว 10 ซม.) ตวบงชน า (Lead Indicator) หมายถง ตวบงชความเสยงชท “การกระท า” ซงอาจจะสงผลไมดถายงไมด าเนนการใดๆ การสามารถน าไป เชน จ านวนครงทเปลยน Requirement งบประมาณคงเหลอ จ านวนครงทตรวจพบ Bug ( เปนตวบงชทสาเหต เชนเหตทท าโครงการไมทนตามก าหนด )
08/08/56 35
ลกษณะ ตวบงชความเสยง (Key Risk Indicator)
ตวอยาง • ก าหนด “KRI” ส าหรบความเสยงแตละตวทระบไว • ก าหนดระดบของ KRI ทยอมรบได • ก าหนดวธการรายงานใหกบศนยกลาง • ก าหนดวธปฏบตเมอ KRI เกนกวาระดบทยอมรบได
Risk ID KRI Trigger Revel วธปฏบตเมอเกนเกณฑ
(Procedure)
R#01
R#05 ทดสอบไมทนก าหนด
ปรมาณฝนทตก
o จ านวนครงททดสอบซ า
..........
2 ครง
............................
ทบทวน สอบทานและรบรองผลกอนสงทดสอบ..............
36
การวางกลยทธในการบรหารความเสยง
37
• นยมใหเจาของความเสยงรบร และประเมนดวยตนเอง (CRSA)
• Top-down Approach
• ประมวลความเสยงส าคญ
• ระบบตดตามผล (KRI)
•การทบทวนความเสยง
• การรายงานความเสยง
การวดความเสยงกอน – หลง การควบคม
5
4 สงมาก
3 สง
2 ปานกลาง
1 นอย
1 2 3 4 5
โอกาสทจะเกดความเสยง
38
ผลกระทบ
IR
RR
การควบคม
Lessons Learned
39
Executive, audit committee and board support
critical to success Ensure there is a clear vision of success Ownership of risks must be clearly defined Need for more clarity around roles Ensure that ERM is perceived as a process and
not just an event in time Focus on action and not just reporting
Loss of Assets
Poor Business Decisions
Non-Compliance
Scandals
Excessive Controls
Excessive Risks
Bureaucracy Complexity Cycle Time Non-Value Activities Production
Risks vs.. Control “Balancing Act”
41
สมาคมผตรวจสอบภายในแหงประเทศไทย