ผู้ตรวจสอบภายในทุกท่านคงคุ้นเคยกับคำว่า “ความเสี่ยง” (Risk) กันอยู่แล้ว ซึ่งหากเราย้อนรอยกลับไปดูถึงที่มาของคำว่า ความเสี่ยง จะทำให้ท่านเข้าใจความหมายของความเสี่ยงกันยิ่งขึ้น…
ที่มาของคำว่าความเสี่ยง มาจากศตวรรษที่ 17 จากภาษาอิตาเลี่ยนคำว่า “Risciare” ที่หมายถึง ความกล้า การเผชิญหน้า หรือการเลือกทางเลือกภายใต้สถานการณ์ที่ไม่แน่นอน และแนวคิดของคำว่า “ไม่แน่นอน” (Uncertainty) นี้เอง คือ กุญแจสำคัญในความหมายของคำว่าความเสี่ยงที่มีวิวัฒนาการทางประวัติศาสตร์อย่างยาวนาน
ซึ่งในยุคนั้น ตามทฤษฎีความน่าจะเป็น ความไม่แน่นอน หมายถึง ภาวะความเสี่ยงที่ไม่สามารถแสดงออกมาเป็นปริมาณได้ โดยมีแนวคิดเพิ่มเติมในเรื่องนี้จากวิทยานิพนธ์ชื่อดังของนักเศรษฐศาสตร์ Frank Knight (ช่วง คศ. 1920) แนวคิดนี้ชี้แจงเพิ่มเติมให้เห็นถึงความแตกต่างที่สำคัญระหว่างความเสี่ยง และความไม่แน่นอน นั้น คือ แนวคิดความไม่แน่นอนนั้น อาจกำหนดเป็นเงื่อนไขที่มีอยู่ได้ในขณะที่ความเสี่ยงไม่สามารถระบุได้
ณ วันนี้ The Committee of Sponsoring Organizations of the Treadway Commission กำหนดความหมายของความเสี่ยงว่าเป็นความเป็นไปได้ของเหตุการณ์ที่มีผลกระทบที่สำคัญต่อความสำเร็จของวัตถุประสงค์ขององค์กร
การบริหารความเสี่ยงเป็นกระบวนการที่ทำหน้าที่เป็นองค์ประกอบที่สำคัญของการกำกับดูแลกิจการ ซึ่งมีผลต่อความสำเร็จของวัตถุประสงค์ของธุรกิจ กิจกรรมตรวจสอบภายในจึงมีบทบาทสำคัญโดยเฉพาะอย่างยิ่งในกระบวนการการช่วยให้ผู้จัดการมีความเข้าใจอย่างเพียงพอต่อความเสี่ยงต่างๆ ที่มีผลต่อองค์กร และให้พวกเขาสามารถพิจารณาถึงความเสี่ยงที่ยอมรับได้ในองค์กร
Risk Measurement and Treatments
การวัดและการจัดการความเสี่ยง
ความเสี่ยงมีหลากหลายสายพันธุ์ครับ ความสำคัญก็แตกต่างกันออกไปด้วย ขั้นตอนแรกในกระบวนการบริหารความเสี่ยง เราจึงต้องระบุถึงภัยคุกคามองค์กรที่มีผลกระทบต่อการดำเนินงานให้ได้ก่อน และกำหนดระดับของการสูญเสียที่อาจเกิดขึ้นจากภัยคุกคามเหล่านั้น โดยใช้วิธีการทั้งเชิงคุณภาพ และปริมาณมาช่วย
องค์กรชั้นนำมักเลือกกลยุทธ์หลัก 5 กลยุทธ์ในการบริหารจัดการ หรือเยียวยารักษาความเสี่ยง ซึ่งระบุและกำหนดได้ ดังนี้
- Risk Avoidance การหลีกเลี่ยงความเสี่ยง
เด็ดขาดกันเลยครับ กับกลยุทธ์การขจัดความเสี่ยงโดยการโล๊ะ หรือยกเลิกการปฏิบัติงานแบบเดิมๆ รวมทั้งการตัดงานบริการหรือสินทรัพย์ที่เกี่ยวข้องกับความเสี่ยงนั้นๆ ออกไปจากองค์กร ความเสี่ยงดังกล่าวจะหายไปด้วย
- Risk Reduction: การลดความเสี่ยง
มาเปลี่ยนแปลงเพื่อสิ่งที่ดีกว่ากัน กลยุทธ์นี้เป็นการปรับเปลี่ยนพฤติกรรม หรือกระบวนการทำงาน รวมถึงหาวิธีทางป้องกันไม่ให้ความเสียหายเกิดขึ้น โดยมีจุดมุ่งหมายเพื่อลดความน่าจะเป็นของเหตุการณ์ที่ก่อให้เกิดความสูญเสียในองค์กร
- Risk Acceptance: การยอมรับความเสี่ยง
หากท่านประเมินแล้วว่า ผลที่ตามมาจากความเสี่ยงนั้นไม่ได้ส่งผลกระทบรุนแรง หรือความเสียหายอยู่ในระดับที่ธุรกิจยอมรับได้ ท่านอาจยอมรับความเสี่ยงดังกล่าวนั้นได้
- Risk Transfer: การโอนย้ายความเสี่ยง
วิธีการนี้ใช้แนวคิดของการประกันภัยหรือสัญญาซื้อขายล่วงหน้าในการบริหารความเสี่ยง เป็นกลยุทธ์การลดความเสี่ยงโดยการโอนย้ายความเสี่ยงให้กับองค์กรอื่น เช่น บริษัทประกันภัยตามรูปแบบและเงื่อนไขที่ธุรกิจต้องการ
- Risk Sharing: การแบ่งปันความเสี่ยง
เป็นการประกอบกันระหว่างสมมติฐานความเสี่ยง และการกระจายความเสี่ยง (การตั้งสมมติฐานทางความเสี่ยง) เช่น การทำประกันความเสียหายเพียงบางส่วน หรือการประกอบธุรกิจทางการเงินผ่านการใช้ตราสารอนุพันธุ์
การจัดการป้องกันความเสี่ยง ควรพิจารณาความเหมาะสมของทรัพยากรที่มีอยู่กับความต้องการในการจัดการความเสี่ยง โดยทั่วไปนั้น กลยุทธ์ด้านความเสี่ยงขององค์กรจะเลือกส่วนผสมของวิธีการแก้ปัญหาที่ดีที่สุดที่มุ่งเน้นการบริหารความเสี่ยงที่มีประสิทธิภาพสูงสุด
การบริหารความเสี่ยงขององค์กร Enterprise Risk Management
การจัดการความเสี่ยงที่มีประสิทธิภาพ ส่วนใหญ่จะต้องพิจารณาร่วมกันระหว่างปัจจัยความเสี่ยงกับแนวทางแก้ปัญหา แทนที่จะมุ่งเน้นไปที่ส่วนใดส่วนหนึ่ง และกระบวนการโดยทั่วไปที่ถูกนำมาใช้ คือ การบริหารความเสี่ยงขององค์กร (Enterprise Risk Management – ERM) การใช้วิธีการนี้ องค์กรต้องประเมินความเสี่ยงที่เกี่ยวข้องทั้งหมดตามชนิด และระดับความรุนแรงของความเสี่ยง และกำหนดขั้นตอนการดำเนินงานเพื่อจัดการความเสี่ยงเหล่านั้น
วัตถุประสงค์หลักของ ERM เกี่ยวข้องกับการกำกับดูแลกิจการ การดำเนินงาน และระบบสารสนเทศ โดยเฉพาะกระบวนการทำ ERM จะช่วยให้เกิดความเชื่อมั่นในข้อมูลที่มีความน่าเชื่อถือ และถูกต้องในเรื่องทางการเงิน การดำเนินงาน และการรายงานให้เกิดประสิทธิภาพ และประสิทธิผลของการดำเนินงาน การป้องกันรักษาทรัพย์สินและการปฏิบัติให้เป็นไปตามกฎระเบียบ สัญญา และประมวลจรรยาบรรณขององค์กร
Risk Responsibility and roles
ความรับผิดชอบและบทบาทในการจัดการความเสี่ยง
ตาม Practice Advisory ของ IIA การประเมินการจัดการความเสี่ยงอย่างพอเพียง การบริหารความเสี่ยง และการนำไปปฎิบัติ และกระบวนการควบคุม คือความรับผิดชอบของฝ่ายบริหาร และคณะกรรมการบริษัท
ขอบเขตและวิธีการบริหารความเสี่ยงอาจมีความหลากหลายแตกต่างกันในแต่ละกิจการ บนความหลากหลายของปัจจัย วัฒนธรรมองค์กร ทัศนคติต่อการบริหารความเสี่ยง และขอบเขตการทำงานในแต่ละส่วนงาน
การเข้ามีส่วนร่วมในการประเมินความเสี่ยงของกิจกรรมการตรวจสอบภายในสามารถกระทำได้ตั้งแต่ระดับที่ยังไม่มีบทบาทหน้าที่ชัดเจน จนถึงเข้าไปดำเนินการประเมิน และมีส่วนร่วมให้เกิดความต่อเนื่องในการประเมินความเสี่ยง
โดยเริ่มต้นประเมินระดับความเสี่ยงที่ปกติ หรือเมื่อจำเป็น (ต้องการ) และการประเมินติดตามความเสี่ยงที่เกี่ยวข้องกับตารางกิจกรรมการตรวจสอบปกติ
ผู้บริหารระดับสูง และคณะกรรมการพิจารณาบทบาทในการตรวจสอบภายในในกระบวนการบริหารความเสี่ยง
ถ้าองค์กรยังไม่มีกระบวนการอย่างเป็นทางการ ประธารผู้บริหารงานตรวจสอบ Chief Audit Executive (CAE) ควรเป็นผู้รับผิดชอบในการพูดคุยกับฝ่ายบริหาร และการติดตามประเมินผลความเสี่ยงประเภทต่างๆ รวมทั้ง ดูผลที่เป็นไปได้ของหน่วยงานที่ไม่สามารถทำได้
กระบวนการประเมิน
ตาม Practice Advisory 2120 – I เน้นความสำคัญของการตรวจสอบ / สอบทาน อย่างละเอียดด้วยหลักฐานที่เหมาะสม
นโยบายองค์กร / ขั้นตอนการปฎิบัติงาน / และเอกสารที่เกี่ยวข้องกับองค์กรอื่นๆ จะเป็นข้อมูลส่วนเสริมในการสัมภาษณ์ให้มีความเหมาะสม
เพื่อประเมินประสิทธิภาพของการบริหารความเสี่ยง
นอกจากนี้ ผู้ตรวจสอบภายในควรตระหนักถึงความสำคัญของการวิจัยแนวโน้ม และปัญหาปัจจุบัน วิกฤติการณ์ทางการเงินทั่วโลกในปัจจุบัo ดังตัวอย่าง ของความเสียหายจากความเสี่ยงของการตกต่ำทางเศรษฐกิจ ดังเช่น ความน่าจะเป็นที่ผู้มีส่วนได้เสียจะทำการทุจริตจากปัญหาทางการเงินส่วนบุคคล
Practice Advisory 2120-I การสรุปข้อเสนอแนะ / คำแนะนำ เพื่อหารือเกี่ยวกับภัยคุกคาม / อุปสรรค และช่องโหว่ต่างๆ กับฝ่ายบริหารระดับสูงและคณะกรรมการ เพื่อให้มั่นใจได้ว่า พวกเขาได้กำหนดระดับของความเสี่ยงได้อย่างเหมาะสม เพราะความรับผิดชอบสูงสุดในการบริหารความเสี่ยงเป็นของฝ่ายบริหารระดับสูง กิจกรรมการตรวจสอบภายในช่วยให้ความเชื่อมั่นต่อความเสี่ยงที่อยู่ในระดับที่ยอมรับได้ บนพื้นฐานของข้อเท็จจริงในปัจจุบัน และความถูกต้องและกระบวนการประเมินความเสี่ยงที่เกี่ยวข้องได้
ความท้าทายการบริหารงานความเสี่ยงในปัจจุบัน
ด้วยความก้าวหน้าทางด้านเทคนิต และเครื่องมือการบริหารความเสี่ยง รวมถึงกิจกรรมทางธุรกิจในช่วงทศวรรษที่ผ่านมาได้นำไปสู่ความสนใจในเรื่องของ ERM มากขึ้น ดังนั้น องค์กรหลายแห่งได้แสดงความโน้มเอียงเพิ่มขึ้นต่อการกำจัดการบริหารความเสี่ยงแบบไซโล
แนวโน้มของการตรวจสอบความเสี่ยงต่าง ๆ แบบแยกหน่วยงานการตรวจ
แทนที่การใช้การบูรณาการที่พิจารณาความสัมพันธ์ระหว่างความเสี่ยงองค์กร
นอกจากนี้แล้ว ผู้เชี่ยวชาญด้านงานตรวจสอบภายในต้องเผชิญหน้ากับความกดดันที่เพิ่มขึ้นมากกว่าปีที่ผ่านมา ในความรับผิดขอบเพิ่มขึ้นของการประเมินความเสี่ยงและการวิเคราะห์ความเสี่ยงที่กว้างขึ้น ความเกี่ยวพันของผู้ตรวจสอบภายในที่มีบทบาทมากขึ้น เช่น การประเมินความเสี่ยงของการทำทุจริต รวมทั้งแนวโน้มของความเสี่ยงการถดถอยของธุรกิจ ปัญหาทางด้านแรงงาน และความปลอดภัยของผลิตภัณฑ์
ความท้าทายเพิ่มเติมของผู้ตรวจสอบภายในเกี่ยวกับการวัด หรือให้น้ำหนักของระดับความเสี่ยง ว่าความเสี่ยงใดเป็น ความเสี่ยงแบบ Soft เช่น ความเสี่ยงเกี่ยวกับชื่อเสียง ความเสี่ยงทางด้านวัฒนธรรมองค์กร ความเสี่ยงทานด้านการขัดแย้งผลประโยชน์
กระบวนการประเมินความเสี่ยงในอดีตได้เน้นการประเมินความเสี่ยงเพื่อวัดระดับและจัดลำดับความสำคัญ ดังนั้น ในช่วงการบริหารความเสี่ยง ความเสี่ยงแบบ Soft มักได้รับการพิจารณาน้อย ทำให้ไม่เพียงพอในการประเมินความเสี่ยงโดยรวมจากกิจกรรมการตรวจสอบภายใน แม้ว่าความเสี่ยงแบบ Soft จะยากที่จะวัดและกำหนดปริมาณ พวกเขาจึงมักพิจารณาความเสี่ยงที่มีความจริงจังและวิธีการลดความเสี่ยงนี้มากกว่า
การพยายามอย่างยั่งยืน
A Sustained Effort
การบริหารความเสี่ยงเป็นกระบวนการที่มีวงจรชีวิตไม่สิ้นสุด กิจกรรมการทำงานอย่างต่อเนื่องในเรื่องของการระบุ การตรวจสอบ การจัดลำดับความสำคัญ และการบรรเทาความเสี่ยงตามวัตถุประสงค์ขององค์กร และมาตรฐานที่เกี่ยวข้อง และแม้ว่าผลกระทบจากความเสี่ยงจะเกิดขึ้นทั้งทางตรง หรือทางอ้อมก็ตาม ความเสี่ยงนั้นก็อาจะส่งผลกระทบอย่างรุนแรงต่อชื่อเสียงขององค์กร ค่าความนิยม โอกาสทางธุรกิจในระยะยาว หรือข้อมูลทางด้านสินทรัพย์ การเงิน
ดังนั้น การบริหารความเสี่ยงควรแพร่หลายในกระบวนการทำงาน และทุกส่วนงานของธุรกิจ
จากคำพูดของกูรูนักบริหาร Peter Drucker กล่าวว่า “สิ่งที่อันตรายที่สุดในช่วงเวลาของความวุ่นวาย ก็คือการทำงานไปด้วยรูปแบบเดิมๆ เสมือนว่าไม่มีความวุ่นวายเกิดขึ้น”
การเปลี่ยนแปลงในวงจรธุรกิจนั้นเป็นช่วงเวลาแห่งความปั่นป่วนเช่นกรณีวิกฤตเศรษฐกิจที่เกิดขึ้นในช่วง 2 – 3 ปีที่ผ่านมา
แนวคิดพื้นฐานที่อยู่เบื้องหลังความสำเร็จของการบริหารความเสี่ยง คือการสร้างแผนการที่มีประสิทธิภาพและครอบคลุมในการลดความเสี่ยงต่างๆ ผ่านการทำงานเชิงรุก และวิธีการแจ้งเตือนที่ดี บนพื้นฐานของความเข้าใจถึงภัยคุกคามที่มีผลต่อสภาพแวดล้อมทางธุรกิจในปัจจุบัน
++++++++++++++++++++++++++++
นิตยสาร Internal Auditor, June 2010
Edited by David O’Regan
แปลและเรียบเรียงโดย ศรรณ ทองประเสริฐ, CIA
สนใจบริการงานตรวจสอบภายใน ติดต่อ e-mail: info@risklesssolutions.com