8 January 2005

เมื่อสัปดาห์ที่แล้วผมได้เริ่มฉบับแรกของปี 2548 ไปด้วยเรื่องของการบริหารความเสี่ยง ซึ่งถือเป็นแนวโน้มที่สำคัญทางด้านการจัดการประการหนึ่งในช่วงปีที่ผ่านมา เรื่องของการบริหารความเสี่ยงถือเป็นศาสตร์ที่ใหม่สำหรับทางด้านการจัดการในประเทศไทย แต่ผมก็ไม่คิดว่าจะยากเกินกว่าที่จะทำความเข้าใจ โดยในต่างประเทศได้มีกลุ่มบุคคลหนึ่งเรียกว่า COSO (ย่อมาจาก The Committee of Sponsoring Organizations of the Treadway Commissoin) ได้พยายามที่จะสร้างแนวทางมาตรฐานในการบริหารความเสี่ยงทั่วทั้งองค์กรขึ้นมา ซึ่งเรียกว่า Enterprise Risk Management หรือ ERM โดยในปัจจุบันการบริหารความเสี่ยงไม่ได้อยู่แต่ในด้านของการเงินเพียงอย่างเดียวเท่านั้น แต่เป็นสิ่งที่จะต้องพิจารณาในทุกกระบวนการทั่วทั้งองค์กร เมื่อสัปดาห์ที่แล้วผมเกริ่นเรื่องของการบริหารความเสี่ยงและ ERM ไปบ้าง ในสัปดาห์นี้เรามาดูในนิยามและรายละเอียดของ ERM กันต่อนะครับ

ทาง COSO ได้ให้คำนิยามสำหรับ ERM ไว้ว่าเป็น “is a process, effected by an entitiy’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achivement of entity objectives” ผมต้องขออนุญาตนำคำนิยามที่เป็นภาษาของทาง COSO มาให้ท่านผู้อ่านได้พิจารณากันครับ เนื่องจากกลัวว่าถ้าแปลแล้ว ความหมายจะผิดเพี้ยนหรือไม่ใกล้เคียงกับความเป็นจริง

ถ้าแตกคำนิยามข้างต้นออกเป็นข้อๆ เพื่อความเข้าใจก็พอจะบอกได้ว่าการบริหารความเสี่ยงทั่วทั้งองค์กร หรือ ERM เป็น 1) กระบวนการไม่ใช่ตัวผลลัพธ์ 2) เป็นสิ่งที่ได้รับผลกระทบจากบุคลากรทั่วทั้งองค์กร 3) ใช้ในกรอบการบริหารกลยุทธ์ขององค์กร 4) ใช้ได้ทั่วทั้งองค์กร 5) ระบุหรือคาดการณ์ในสิ่งที่อาจจะเกิดขึ้นในอนาคตที่จะส่งผลกระทบต่อองค์กร 6) บริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ 7) เป็นการสร้างความมั่นใจ และ 8) โดยมีเป้าหมายเพื่อบรรลุวัตถุประสงค์ขององค์กร

ข้างต้นก็เป็นคำนิยามอย่างเป็นทางการนะครับ แต่ถ้าจะใช้ภาษาง่ายตามความเข้าใจของผมแล้ว เจ้า Enterprise Risk Management เป็น “กระบวนการที่บุคลากรทั่วทั้งองค์กรได้มีส่วนร่วมในการคิด วิเคราะห์ และคาดการณ์ถึงเหตุการณ์ หรือความเสี่ยงที่อาจจะเกิดขึ้น รวมทั้งการระบุแนวทางในการจัดการกับความเสี่ยงดังกล่าวให้อยู่ในระดับที่เหมาะสมหรือยอมรับได้ เพื่อช่วยให้องค์กรบรรลุในวัตถุประสงค์ที่ต้องการ” เราลองมานึกภาพกันดูง่ายๆ นะครับ สมมติว่าองค์กรธุรกิจแห่งหนึ่งมีวัตถุประสงค์สองประการสำคัญคือ เพิ่มส่วนแบ่งตลาดให้มากขึ้น และการลดต้นทุนในการดำเนินงาน ระบบบริหารความเสี่ยงทั่วทั้งองค์กรก็จะเป็นกระบวนการที่จะเข้ามาช่วยให้ผู้บริหารและบุคลากรที่เกี่ยวข้องได้ร่วมพิจารณาว่าการที่จะทำให้ส่วนแบ่งตลาดเพิ่มขึ้น และการลดต้นทุนในการดำเนินงาน ให้ได้นั้นจะมีเหตุการณ์หรือความเสี่ยงใดที่จะเกิดขึ้นบ้างในอันที่จะทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ทั้งสองประการได้ และเมื่อระบุถึงความเสี่ยงที่จะเกิดขึ้นแล้ว ทางองค์กรมีแนวทางในการบริหารหรือจัดการอย่างไร ให้ได้รับผลกระทบจากความเสี่ยงดังกล่าวน้อยที่สุด เพื่อสุดท้ายแล้วยังทำให้องค์กรสามารถบรรลุวัตถุประสงค์ทั้งสองประการดังกล่าวได้

ดูๆ แล้วก็ไม่ใช่สิ่งใหม่นะครับ เป็นเหมือนกับการคิดล่วงหน้าถึงปัญหาหรืออุปสรรคที่อาจจะเกิดขึ้นในอนาคต และคิดเผื่อหรือเตรียมพร้อมไว้ล่วงหน้าว่าจะบริหารหรือจัดการกับปัญหาที่อาจจะเกิดขึ้นอย่างไร (หรืออาจจะเป็นการป้องกันไม่ให้ปัญหาเกิดขึ้นได้อย่างไร) เพื่อสุดท้ายทำให้เราสามารถบรรลุเป้าหมายที่เราต้องการ

ผมเองมองว่าการบริหารความเสี่ยงค่อนข้างที่จะผูกกับการบริหารกลยุทธ์เป็นอย่างมากครับ โดยเฉพาะเวลาองค์กรมีการกำหนดหรือจัดทำกลยุทธ์ เริ่มแรกเราก็มักจะกำหนดเป้าหมายทางด้านการเงินก่อน เช่น กำไรมีการเติบโตร้อยละ 20 จากนั้นเราก็มาคิดต่อว่าในการทำให้กำไรเพิ่มขึ้นร้อยละ 20 นั้นเรามีทางเลือกอะไรบ้าง เช่น จะขยายตลาดไปสู่ต่างประเทศดีไหม หรือ จะยังมุ่งเน้นอยู่แต่ในประเทศ หรือ จะมุ่งเน้นในการพัฒนาผลิตภัณฑ์ใหม่ๆ หรือ จะเข้าไปสู้ในสงครามราคา ฯลฯ เมื่อมีทางเลือกทางกลยุทธ์หลายๆ ด้านเช่นนี้ ลองกลับมานั่งคิดพิจารณาดูนะครับว่าในแต่ละทางเลือกมีความเสี่ยงอะไรบ้างที่จะทำให้เราไม่สามารถไปถึงเป้าหมายที่ต้องการ (การเติบโตของกำไรร้อยละ 20) ซึ่งการวิเคราะห์ความเสี่ยงในช่วงของการกำหนดกลยุทธ์นี้อาจจะช่วยทำให้เราสามารถเลือกกลยุทธ์ที่มีความเหมาะสมได้ดียิ่งขึ้น และเมื่อเราเลือกกลยุทธ์ใดแล้ว เราก็จะทราบถึงความเสี่ยงที่มีอยู่สำหรับกลยุทธ์นั้น และองค์กรก็จะสามารถหาแนวทางป้องกันความเสี่ยงที่อาจจะเกิดขึ้น หรือการบริหารจัดการเมื่อความเสี่ยงดังกล่าวได้เกิดขึ้นแล้ว

แนวคิดของ ERM มีองค์ประกอบอยู่ทั้งหมดแปดประการครับ ประกอบด้วย

  1. Internal Environment หรือปัจจัยภายในองค์กรที่ถือเป็นพื้นฐานขององค์ประกอบอื่นๆ ทั้งหมด ไม่ว่าจะเป็นเรื่องของค่านิยม จริยธรรม ความสามารถของบุคลากร แนวทางการบริหารของผู้นำ คณะกรรมการบริษัท องค์ประกอบด้านนี้เป็นตัวที่นำไปสู่องค์ประกอบในด้านอื่นๆ
  2. Objective Setting หรือ การตั้งวัตถุประสงค์ ซึ่งองค์ประกอบนี้ก็เป็นเรื่องของการตั้งวัตถุประสงค์ที่เราคุ้นเคยกันดี โดยจะต้องมีวัตถุประสงค์ทั้งในระดับกลยุทธ์ (Strategic) การดำเนินงาน (Operations) การรายงาน (Reporting) และ การตอบสนองต่อกฎระเบียบต่างๆ (Compliance)
  3. Event Identification หรือ การระบุถึงเหตุการณ์หรือปัญหาที่จะเกิดขึ้น โดยในองค์ประกอบนี้จะต้องพิจารณาทั้งปัจจัยภายนอกและปัจจัยภายในที่จะส่งผลกระทบ ไม่ว่าจะเป็นเรื่องของภาวะเศรษฐกิจ ธรรมชาติ การเมือง สังคม การเปลี่ยนแปลงของเทคโนโลยี โครงสร้างขององค์กร บุคลากรขององค์กร กระบวนการและเทคโนโลยีขององค์กร
  4. Risk Assessment หรือ การประเมินความเสี่ยง ซึ่งจะทำให้เราทราบว่าเหตุการณ์หรือปัญหาที่จะเกิดขึ้น (มาจากองค์ประกอบที่แล้ว) จะส่งผลกระทบอย่างไรต่อการบรรลุวัตถุประสงค์ขององค์กร โดยจะประเมินทั้งในด้านของความเป็นไปได้ที่จะเกิดเหตุการณ์ขึ้น (Liklihood) และผลกระทบ (Impact)
  5. Risk Response หรือ การตอบสนองต่อความเสี่ยง ซึ่งผู้บริหารจะต้องกำหนดว่าจะตอบสนองต่อความเสี่ยงที่จะเกิดขึ้นอย่างไร โดยการตอบสนองความเสี่ยงดังกล่าวอาจจะอยู่ในรูปของ avoidance, reduction, sharing และ acceptance
  6. Control Activities หรือ นโยบายและขั้นตอนที่จะทำให้มั่นใจได้ว่า การตอบสนองความเสี่ยงที่จะทำในขั้นที่แล้ว ได้เกิดการปฏิบัติที่ดี
  7. Information and Communication หรือ การสื่อสารและการส่งข้อมูลที่สำคัญและจำเป็นต่อการบริหารความเสี่ยง
  8. Monitoring หรือการตรวจสอบติดตามการดำเนินงานตามแนวทางของ ERM ทั่วทั้งองค์กร

ขอนำเสนอแนวคิดเบื้องต้นเกี่ยวกับระบบ ERM นะครับ ส่วนรายละเอียดยังมีอีกเยอะมาก ถ้าท่านผู้อ่านสนใจก็ลองหาอ่านได้นะครับ องค์กรส่วนใหญ่เวลาเขานำไปใช้เขาก็ไม่ได้ใช้แบบยกมาทั้งดุ้นนะครับ ส่วนใหญ่ก็มีการปรับเปลี่ยนให้เหมาะสมกับลักษณะขององค์กรนั้นๆ