การบริหารความเสี่ยง (risk management)...การบร...

การบรหารความเสยง (Risk Management)

โดย สมาคมผตรวจสอบภายในแหงประเทศไทย

บรรยายโดย สรพงษ ชรงสฤษฎ CIA, CPIA

การบรหารความเสยง (RISK MANAGEMENT) โดย สมาคมผตรวจสอบภายในแหงประเทศไทย

บรรยายโดย สรพงษ ชรงสฤษฎ CIA, CPIA

วตถประสงค

• เปนกจกรรมหนงในโครงการเผยแพรวชาชพตรวจสอบภายใน ของสมาคมผตรวจสอบภายในแหงประเทศไทย

• เพอใหเขาใจถงความส าคญของการบรหารความเสยง

• เพอใหทราบหลกการ และหลกปฏบตเพอน าไปใชประโยชน ในองคกร

Common Causes of Business Failures

ขาดจรยธรรมและความซอสตย

ปญหาดานสภาพแวดลอมการควบคม

ก าหนดวตถประสงคไมด ไมสามารถปฏบตได

ไมเขาใจความเสยงทมอยของธรกจ (Not understanding the inherent risks of the business)

ปญหาทางดานการสอสาร

ความสามารถในการบรหารการเปลยนแปลง

มมมอง เกยวกบความเสยง

ฝากธนาคารได 3.5% ?

ลงทน

High Risk

High Return

ท าไมตองมการบรหารความเสยง ?

7

Internal Control

Governance

Governance

Risk Management

Risk Management

Internal Audit

Governance – Risk - Control

การบรหาความเสยง - การจดการเชงรก

เปนการก าหนด มาตรการรบมอ หรอ เตรยมพรอมรบมอ กบเหตการณท “อาจเกดขน” สงผลตอความลมเหลว/เสยหาย ไมใชจดการกบ เหตการณ เกดขนแลวแกไข ซงคอ “ปญหา”

ผสามารถคาดการไดแมนย า และจดการเตรยมพรอมอยเสมอ ยอมไดเปรยบกวา มโอกาสสงทจะอยรอดได อยางมนคง

3 สงทมความสมพนธกน

2. ความเสยง

3.การควบคม

1.

วตถประสงค

9

things that help Met an objective by managing the risk

The things an organization wants to

accomplish

“Things that might prevent

accomplishment an objective

06/11/57 สมาคมผตรวจสอบภายในแหงประเทศไย

ท าไม? ถงมความเสยง • เพราะ “มความหวง” หรอ “วตถประสงค”

• ท าธรกจ ตางกหวงวา “จะไดก าไร” จะ “เตบโต” จะ “มนคง”

• บรการภาครฐ กหวงวา “ประชาชนจะไดประโยชน ตามภารกจทม จากการใชเงนของรฐ”

• แตไมแนเสมอไปวา จะไดตามทหวง อาจจะผดหวงได?

• มอะไรตงเยอะแยะทท าใหผดหวงได เชน ผลตภณฑทท า/ทสงมา ขายไมได ขายไดแตไมคมทน ธรกจถกปดเพราะท าผดกฎหมาย ลกจางหยดงาน ไมมแรงงาน สนคาไมไดคณภาพ หรอดอยกวาคแขงขน ทจรต อบตภยในโรงงาน/ส านกงาน ลกหนไมจายหน supplier ไมสงสนคาให เงนสดขาดมอ สงสนคาไมทนตามก าหนด เครองจกรพง น าทวม เปลยนรฐบาลเปลยนนโยบาย เทคโนโลยเปลยน.............................

แนวความคด 1. “ความเสยง” เกดขนไดอยางไร?

o ม “ความไมแนนอน” ซง เปนสงทเกดขนไดเสมอไมสามารถ “หาม” ความไมแนนอนใหเกดขนได

o เปนความไมแนนอนทอาจเกด “เหตไมประสงค” แลวมผล แตกตางไปจากทคาดการณไว

o ผลแตกตางมทงทาง “บวก” และ “ลบ”

o บวกเปนโอกาส ลบเปนความเสยง

2. ความเสยงเปนเรองท “ไมด” เสมอ ใชหรอไม?

o ไมใชเปนเรองทไมดเสมอไป เพราะ เปนชองทางของธรกจท สามารถหาประโยชน

o “เสยงมาก” “ผลตอบแทนสง”

o การก าหนดระดบความเสยง (Risk Appetite) และการบรหารใหอยในระดบทก าหนดไว จงเปนเรองส าคญ

o เพราะเปนระดบทองคกรสามารถรบมอ กบความเสยงได และจะไดประโยชนหรอผลตอบแทน อยางคมคา จากระดบความเสยงนน

12

oภาคธรกจ ตองมการ “ลงทน” จงตองการผลตอบแทนท “คมคา” กบเงนทน จงหวง “สวนเกนหรอสวนทงอกเงย” จากเงนทลงทนไป คอ “ผลก าไรทคมคา” ซงจะท าใหมความมนคงทางการเงน oภาคธรกจตองการความ “ยงยน” เพอเกบเกยวผลประโยชนจากการลงทนไดอยางยาวนาน oภาครฐ มเงนลงทนไดจากภาษ จงไมประสงค “ก าไร” oภาครฐ มหนาทสรางความ “อยด มสข” ใหกบประชาชน oภาครฐ มหนาทใชเงน เพอสรางประโยชนกบประเทศ และความ “อยดมสขใหกบประชาชน” oภาคธรกจ “ตองหาเงนใหคมคากบการลงทน” ภาครฐ “ใชเงนใหคมคากบผลประโยชนของประชาชน” ผ เสยภาษ oดงนนความเสยงส าคญภาคธรกจ.................... ภาครฐ.................................

-ความเสยงภาครฐ และภาคธรกจ

13

ความเสยง • ความไมแนนอน (Uncertainty) มโอกาส (Possibility) ทจะเกดเหตการณไมพงประสงคไดเสมอ รวมถงเหตการณทเปนโอกาส (Opportunity) ใหไดรบประโยชนหรอความส าเรจเพมขน (Upside)

• มผลกระทบ (Impact) ตอการด าเนนกจกรรมหรอแผนการตางๆ ขององคกร ท าใหไมบรรลวตถประสงคหรอเปาหมายทก าหนด

• ความเสยงบางประเภทอาจไมไดกอใหเกดผลเสยหรอความเสยหาย (Downside) เสมอไป ในทางตรงกนขาม อาจมโอกาสทจะท าใหไดรบประโยชน (Upside) เพมขนไดเชนกน

• ความเสยงมลกษณะผนแปรและเปลยนแปลงไปตามระยะเวลา ดงนน องคกรหรอบคคลจงตองประเมนความเสยงอยางตอเนองและเปนระบบ

• การบรหารความเสยงภาครฐ และเอกชน ใชหลกเดยวกน แตเปาหมายตางกน

สรปแนวความคด

14

Monitoring

Information and Communication

Control Activities

Risk Response

Risk Assessment

Event Identification

Objective Setting

Internal Environment

การบรหารความเสยงขององคกร COSO ERM

ระดบองคกร – • การก าหนดกลยทธ โครงสราง

และผ รบผดชอบ • นโยบาย และหลกปฏบต • มาตรฐานทใช • การประเมนความเสยงองคกร • การน าสการปฏบต • การตดตามผล เฝาระวง

COSO- ERM 16

• The Internal Environment:

• เปนองคประกอบพนฐานทมอทธพลตอองคประกอบอน

• มอทธพลตอการก าหนดกลยทธองคกรและวตถประสงค

• ไดรบอทธพลจาก ประวตองคกรและวฒนะธรรมองคกร

Monitoring

Information and Communication

Control Activities

Risk Response

Risk Assessment

Event Identification

Objective Setting

Internal Environment

ERM คอกระบวนการ ทจะเกดผลไดจากการรวมมอกนระหวางกรรมการ คณะผบรหารและบคคลอนๆขององคกร น ามาประยกตใชในการก าหนดกลยทธ และใชทวทงองคกร เพอบงชเหตการณทอาจเปนไปไดซงอาจมผลกระทบตอองคกร และจดการกบความเสยงใหอยในระดบทองคกรยอมรบได เพอใหความเชอมนอยางสมเหตสมผล เกยวกบการบรรลวตถประสงคขององคกร

Strategic Objectives Related Objectives Selected Objectives Risk Appetite Risk Tolerance

2. การวเคราะห และการประเมนความเสยง – บรหารอยางไร? 17

1. รบร

2. วดระดบ

3.ก าหนดวธรบมอ

4.ควบคม

5.เฝาระวง

2. การวเคราะห และการประเมนความเสยง - รบร

18

Monitoring

Information and Communication

Control Activities

Risk Response

Risk Assessment

Event Identification

Objective Setting

Internal Environment

เหตการณ

ปจจยทมผลตอเหตการณ

เทคนคการระบเหตการณ

การจดหมวดหมเหตการณ

คอการระบความเสยง

การวเคราะห และการประเมนความเสยง -ความเสยงเฉพาะ ตามลกษณะกจการ

19

ความเสยงส าคญ เฉพาะกจการดาน “ความอยดมสข” และ “ภยสงคม” ทธรกจอนไมม เชนธรกจธนาคาร การผลต การประกนภยเปนตน เชน

ภยธรรมชาต

ท าลายธรรมชาต –บกรกท าลาย เผาปา

เอาเปรยบสงคมในการใชทรพยากรธรรมชาต – ผ ใชประโยชนตนน ากกเกบน าจากล าธารสาธารณะ เปลยนเสนทางล าน า

โรคระบาด – แหลงเพาะยง ขยะ อาหาร สขอนามย

โจรภย – ยาเสพยตด บอนการพนน ของหนภาษ ลกลอบตดไม ขนไมเถอน

ไมไดรบความเปนธรรม – จากหนวยราชการ บคคลในสงคม

เกดมลพษ – ละออง หมอกควน กลน เสยง เปนตน

ความเสยงอนๆทเกยวของ 20

ดานปฏบตการ ซอของ ( อปกรณ/ทรพยสน)ไมไดคณภาพ

รายงานเสนอผบรหาร ไมตรงขอเทจจรง ลาชา

ดานขอก าหนดของทางการ กฎหมายทเกยวของ กฎกระทรวง หนวยงานผก ากบดแล สตง. ปปช. เปนตน

ดานการเงน

ขาดสภาพคลอง บนทกรายการทางบญชไมถกตองตามมาตรฐาน

น าเงนเขาบญชไมครบถวน

ทจรต

น าเงนสด/ทรพย ของราชการ ไปใชในงานสวนตว เปนของสวนตว

รบประโยชนจากบคคลภายนอกเพอเออประโยชนเรองใดเรองหนง

การระบความเสยง

Effect & Cause

ความผดพลาดทอาจจะเกดขน เชน ผดท ผดวตถประสงค ผดราคา ผดแบบ เปนตน

Effect Cause

เสยชอเปนขาวในทางลบ

งบประมาณสญเปลา

จดซอวสดไมมคณภาพ /ราคาสงกวาตลาด

ระบบทพฒนาใชไมได ไมมคนใช คนใชไมเปน

2. การวเคราะห และการประเมนความเสยง- การวดความเสยง (Risk Assessment)

22

• Impact • Likelihood • Factor

2. การวเคราะห และการประเมนความเสยง -การวดคาความเสยง/กอนการควบคม

5

4 สงมาก

3 สง

2 ปานกลาง

1 นอย

1 2 3 4 5

โอกาสทจะเกดความเสยง

23

ผลกระทบ

3 การวางกลยทธในการบรหารความเสยง -การก าหนดวธการรบมอกบความเสยง

24

Accept = Monitor

Avoid = eliminate ( get out of situation)

Reduce = institute control

Share = partner with someone. ( e.g. insurance outsourcing )

การวางกลยทธในการบรหารความเสยง Impact VS. Likelihood

25

High

High Low

Medium Risk

Low Risk

High Risk

Medium Risk

Share Manage & Control

Accept Control

LIKELIHOOD

I M P A C T

4. กจกรรมการควบคม (Control Activities)

Integration and Risk Response Types of Control Activities Policies and Procedures Controls over Information Systems Entity Specific

26

การวางกลยทธในการบรหารความเสยง- ประเภทของการควบคม

•แบบปองกน (Preventive Control)

•แบบตรวจพบและแกไข (Detective & Corrective Control)

• แบบสงการ ( Directive Control)

•แบบชดเชย/ทดแทน (Compensate Control )เชน ประกนภย BCP เปนตน

การวางกลยทธในการบรหารความเสยง- Information &Communication - Monitoring

28

Information Communication

Ongoing Monitoring Activities

Separate Evaluations

Reporting Deficiencies

การวางกลยทธในการบรหารความเสยง- การจดท าผงความเสยง Risk Map

29

• เปนผงแสดงความเชอมโยง ความเสยงขององคกร (Entity Level) กบ เจาของความเสยง (Risk Owner)

• เสมอน “แบบแปลน/พมพเขยว ” เพอ บรณาการ ( Integrate) ความเสยงของหนวยงานตางๆ กบความเสยงองคกร

• ไดผลมากทสดคอ Top-down Approach

การวางกลยทธในการบรหารความเสยง- High Level Risk Map – Top-down

30

Risk Profile

Strategic Financial Operational Compliance

Risk

Activities

Risk Owners

การวางกลยทธในการบรหารความเสยง Risk Map Detail Level

31

การด าเนนงาน

Risks : OR#1 – ระบบทพฒนา ลาสมย (ไมมคนใช)

Activities

Risk’ Owner

การออกแบบระบบงาน การพฒนา Program การทดสอบและตรวจรบ

หนวยงาน A หนวยงาน A หนวยงาน A-B

- ออกแบบบนเทคโนโลยทอยในชวงขาลง

- ใชเวลานาน

• ใชเวลานาน. • ใชเวลานาน • ไมไดทดสอบเรองทส าคญ

Control Procedure

การวางกลยทธในการบรหารความเสยง- ภาพรวม - ภาคปฏบต

32

Contr

ol Ac

tivitie

s

Risks

Avoid

Reduce

Share

Accept

Risk Appetite

Control

Partner

Monitor

Value

Asse

ssme

nt

Resp

onse

Treat

Take

5. การตดตามเฝาระวงความเสยง 33

ERM is a Continuous Process

Mon

itorin

g a n

d C

onti n

uous

Im

prov

emen

t

Information and

Comm

unicationRisk

Mitig

ation and C

ontrol

Activitie

s

Risk As sessm

ent

and Ev alua tionRisk Identification

ERM PROCESS

Environment and Strategy (Objective Setting)

5. การตดตามเฝาระวง ดวยการก าหนด KRI 34

• ภายใตหลกคดทวา “ความไมแนนอน คอสงทแนนอน” หรอ “ทกสงยอมมการเปลยนแปลงอยเสมอ”

• เปนการระบ ตวบงชทมผลตอระดบความเสยงทองคกรเผชญอย

• แปลวา “เปนการระบสงทเปลยนแปลง ทมผลตอระดบความเสยง”

• หรอก าหนดปจจยเสยง ทเปนตวชน าการเปลยนแปลงของระดบความเสยง

• หรอเปนตวตรวจจบ “ผล” เพอปองกนไมใหลกลาม

• ก าหนดระดบของ Trigger Point และการปฏบตเมอถงระดบทก าหนด

• ตวบงชตาม (Lag Indicator) หมายถง ตวบงชความเสยง ท "ผล” ทเปนตวแสดงใหเหนถง “ผลลพธสดทาย” ของกระบวนการนนๆ วาเปนอยางไร เชน ยอดขาย สวนแบงการตลาด อตราการเกดอบตเหต ฯลฯ (เปนดชนวดผลทเกดขนแลวเชน น าทวมแลว 10 ซม.) ตวบงชน า (Lead Indicator) หมายถง ตวบงชความเสยงชท “การกระท า” ซงอาจจะสงผลไมดถายงไมด าเนนการใดๆ การสามารถน าไป เชน จ านวนครงทเปลยน Requirement งบประมาณคงเหลอ จ านวนครงทตรวจพบ Bug ( เปนตวบงชทสาเหต เชนเหตทท าโครงการไมทนตามก าหนด )

08/08/56 35

ลกษณะ ตวบงชความเสยง (Key Risk Indicator)

ตวอยาง • ก าหนด “KRI” ส าหรบความเสยงแตละตวทระบไว • ก าหนดระดบของ KRI ทยอมรบได • ก าหนดวธการรายงานใหกบศนยกลาง • ก าหนดวธปฏบตเมอ KRI เกนกวาระดบทยอมรบได

Risk ID KRI Trigger Revel วธปฏบตเมอเกนเกณฑ

(Procedure)

R#01

R#05 ทดสอบไมทนก าหนด

ปรมาณฝนทตก

o จ านวนครงททดสอบซ า

..........

2 ครง

............................

ทบทวน สอบทานและรบรองผลกอนสงทดสอบ..............

36

การวางกลยทธในการบรหารความเสยง

37

• นยมใหเจาของความเสยงรบร และประเมนดวยตนเอง (CRSA)

• Top-down Approach

• ประมวลความเสยงส าคญ

• ระบบตดตามผล (KRI)

•การทบทวนความเสยง

• การรายงานความเสยง

การวดความเสยงกอน – หลง การควบคม

5

4 สงมาก

3 สง

2 ปานกลาง

1 นอย

1 2 3 4 5

โอกาสทจะเกดความเสยง

38

ผลกระทบ

IR

RR

การควบคม

Lessons Learned

39

Executive, audit committee and board support

critical to success Ensure there is a clear vision of success Ownership of risks must be clearly defined Need for more clarity around roles Ensure that ERM is perceived as a process and

not just an event in time Focus on action and not just reporting

Loss of Assets

Poor Business Decisions

Non-Compliance

Scandals

Excessive Controls

Excessive Risks

Bureaucracy Complexity Cycle Time Non-Value Activities Production

Risks vs.. Control “Balancing Act”

41

สมาคมผตรวจสอบภายในแหงประเทศไทย