นโยบายบริหารความเสี่ยง

นโยบายบริหารความเสี่ยง

 

 

นโยบายการบริหารความเสี่ยงของบริษัท และบริษัทย่อย

บริษัท สบาย เทคโนโลยี จำกัด (มหาชน) และบริษัทย่อยตระหนักถึงความสำคัญของการบริหารความเสี่ยง ซึ่งถือเป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดี และเป็นพื้นฐานสำคัญที่ช่วยให้สามารถบรรลุวัตถุประสงค์ของบริษัทฯ ได้ ทั้งนี้การระบุและจัดการความเสี่ยงจะช่วยให้บริษัทฯ มีการตัดสินใจที่ดีขึ้น ทั้งด้านการบริหารจัดการโดยรวม ด้านการบริหารแผนงานโครงการ ด้านการเงิน ด้านกระบวนการทำงาน และช่วยมองเห็นโอกาส ตลอดจนสามารถบรรเทาผลกระทบจากเหตุการณ์สำคัญที่อาจเกิดขึ้นกับผู้ถือหุ้นได้ คณะกรรมการบริหารความเสี่ยงของบริษัทฯ จึงกำหนดนโยบายการบริหารความเสี่ยง ให้ครอบคลุมทั้งองค์กร และกำกับดูแลให้มีระบบ หรือกระบวนการบริหารจัดการความเสี่ยง โดยกำหนดมาตรการในการรองรับความเสี่ยงของบริษัทฯ และบริษัทย่อย ดังนี้

  1. มุ่งเน้นการบริหารความเสี่ยงที่มีผลกระทบต่อวัตถุประสงค์และนโยบาย รวมทั้งชื่อเสียงและภาพลักษณ์ของบริษัทฯ
  2. จัดการบริหารความเสี่ยงให้มีประสิทธิภาพสูงสุดและอยู่ในระดับที่สามารถยอมรับได้ ให้พนักงานทุกคนมีส่วนร่วมในกระบวนการบริหารความเสี่ยง
  3. ส่งเสริมให้พนักงานทั้งองค์กรได้รับรู้และป้องกันความเสี่ยงที่จะเกิดขึ้นทั้งหมด
  4. ตรวจสอบ ติดตาม และประเมินความเสี่ยงที่จะเกิดขึ้นตามสภาพแวดล้อมที่เปลี่ยนไป ทั้งจากปัจจัยภายในและภายนอกองค์กรอย่างต่อเนื่อง
  5. ส่งเสริมให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์ มูลค่าให้แก่องค์กร

โครงสร้างการบริหารความเสี่ยง

ผู้ที่มีหน้าที่เกี่ยวข้องในการบริหารความเสี่ยงของบริษัทฯ ประกอบด้วยเจ้าหน้าที่ในทุกระดับ ตั้งแต่ระดับพนักงานทั่วไปจนถึงระดับคณะกรรมการ ตามโครงสร้างการบริหารงานของบริษัทฯ

องค์ประกอบของการบริหารความเสี่ยง

บริษัทฯ ได้แบ่งการบริหารความเสี่ยงออกเป็น 2 ประเภท คือ การบริหารความเสี่ยงระดับส่วนงาน และการบริหารความเสี่ยงระดับองค์กร

การบริหารความเสี่ยงระดับส่วนงาน

การบริหารความเสี่ยงระดับส่วนงานเป็นการบริหารความเสี่ยงที่อาจจะเกิดขึ้นจากการดำเนินงานของ แต่ละฝ่าย โดยความเสี่ยงที่เกิดขึ้นสามารถบริหารจัดการได้โดยอำนาจหน้าที่ของผู้จัดการฝ่าย หรือเป็นความเสี่ยงที่ไม่เกิดผลกระทบต่อวัตถุประสงค์และเป้าหมายในการดำเนินงาน หรือสามารถควบคุมได้ โดยกระบวนการควบคุมภายใน เช่น ความเสี่ยงจากการจัดซื้อวัตถุดิบ สินค้า ในราคาแพงแต่คุณภาพต่ำจะต้องจัดให้มีกิจกรรมควบคุมเกี่ยวกับการ
จัดซื้อให้รัดกุมมากขึ้น เช่น กำหนดวิธีการคัดเลือกผู้ขาย การจัดทำทะเบียนประวัติผู้ขาย สถิติราคา การแบ่งแยกหน้าที่ตามหลักการควบคุมภายในที่ดีการหมุนเวียน กำหนดให้มีเจ้าหน้าที่จัดซื้อ เป็นต้น

การบริหารความเสี่ยงระดับองค์กร

การบริหารความเสี่ยงระดับองค์กรเป็นการบริหารความเสี่ยงที่มีผลกระทบต่อวิสัยทัศน์วัตถุประสงค์หรือเป้าหมายการดำเนินงาน รวมทั้งมีผลกระทบต่อเป้าหมายการดำเนินงานตามบันทึกข้อตกลงประเมินผลการดำเนินงาน

องค์ประกอบการบริหารความเสี่ยงระดับองค์กร

การบริหารความเสี่ยงระดับองค์กร ดำเนินการตามแนวทางระบบการบริหารความเสี่ยงระดับองค์กรของ The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซึ่งมีองค์ประกอบการบริหารความเสี่ยง ดังนี้

1) สภาพแวดล้อมภายในองค์กร (Internal Environment)

สภาพแวดล้อมภายในองค์กร หมายถึง แนวทางและนโยบายภายในเกี่ยวกับการบริหารความเสี่ยง สภาพแวดล้อมภายในองค์กรเป็นปัจจัยสำคัญที่มีผลต่อกระบวนการบริหารความเสี่ยงองค์ประกอบที่สำคัญของสภาพแวดล้อมภายในองค์กรประกอบด้วย

  • รูปแบบการบริหารองค์กรและวัฒนธรรมในการบริหารความเสี่ยง เป็นปัจจัยสำคัญที่ทำให้การบริหารความเสี่ยงเกิดเป็นวัฒนธรรมขององค์กร
  • บทบาทของคณะกรรมการในการกำกับดูแลการทำงานของผู้บริหารให้มีการดำเนินการบริหาร ความเสี่ยงอย่างเหมาะสมและครอบคลุม
  • การจัดโครงสร้างองค์กรที่เหมาะสม
  • การคัดเลือกและพัฒนาบุคลากรที่มีความรู้ความสามารถและความมุ่งมั่นต่อหน้าที่รับผิดชอบ
  • การส่งเสริมให้พนักงานมีความซื่อสัตย์และมีจริยธรรม
  • การมอบอำนาจหน้าที่และความรับผิดชอบที่เหมาะสมให้พนักงานปฏิบัติงานได้บรรลุเป้าหมายขององค์กร

2) การกำหนดเป้าหมาย (Objective Setting)

 การกำหนดเป้าหมาย หมายถึง การเข้าใจถึงภารกิจ วัตถุประสงค์เป้าหมาย และกลยุทธ์ในการดำเนินงาน ขององค์กร รวมทั้งสภาพแวดล้อมของการดำเนินงาน ซึ่งสิ่งต่าง ๆ เหล่านี้ได้มีการระบุไว้ในแผน ซึ่งรวมถึงเป้าหมายการดำเนินงานตามบันทึกข้อตกลงประเมินผลการดำเนินงานด้วย

ผลของการกำหนดเป้าหมายจะทำให้ทราบปัจจัยความสำเร็จ เหตุการณ์ที่มีผลกระทบต่อความสำเร็จของเป้าหมาย หน่วยวัดความสำเร็จ และระดับความคลาดเคลื่อนจากหน่วยวัดที่ยอมรับได้ ทั้งนี้การกำหนดเป้าหมาย

สำหรับการบริหารความเสี่ยง จะกำหนดจากเป้าหมายการดำเนินงานตามที่กำหนดไว้ในแผนการดำเนินงาน และเป้าหมายอื่น ๆ ตามที่ ผู้บริหารหรือคณะกรรมการบริหารความเสี่ยงกำหนดเพิ่มเติม

3) การระบุความเสี่ยง (Risk Identification)

   การระบุความเสี่ยง คือ การพิจารณาเหตุการณ์ที่นำไปสู่ความเสียหาย ซึ่งก่อนขั้นตอนการระบุความเสี่ยงจะต้องดำเนินการ คือ กำหนดเป้าหมายของการดำเนินงานเสียก่อน จากนั้นจึงทำการวิเคราะห์หาเหตุการณ์ที่จะทำให้ไม่สามารถดำเนินงานได้ตามเป้าหมายที่กำหนดไว้

   การระบุความเสี่ยงจะต้องพิจารณาปัจจัยทั้งจากภายในและภายนอกองค์กร ซึ่งปัจจัยเหล่านี้มีผลกระทบต่อเป้าหมายและผลการปฏิบัติงานขององค์กร โดยปัจจัยภายนอกเป็นสภาพแวดล้อมภายนอกบริษัทฯ ที่ไม่สามารถควบคุมได้ เช่น นโยบายรัฐบาล การเมือง สภาวะเศรษฐกิจ อัตราดอกเบี้ย อัตราแลกเปลี่ยน การดำเนินงานของหน่วยงานที่เกี่ยวข้อง ภัยธรรมชาติ กฎหมาย คู่สัญญา คู่แข่ง และ รูปแบบการใช้ชีวิต (life style) ส่วนปัจจัยภายในเป็นสภาพแวดล้อมภายในองค์กร ซึ่งสามารถควบคุม หรือเปลี่ยนแปลงได้ เช่น นโยบาย กลยุทธ์ระบบการบริหาร โครงสร้างองค์กร กระบวนการทำงาน วัฒนธรรมองค์กร บุคลากร และเทคโนโลยีที่นำมาใช้

   การระบุความเสี่ยงควรเริ่มจากเหตุการณ์ที่มีความชัดเจน หรือมีนัยสำคัญก่อน และจะต้องรวมถึงเหตุการณ์ที่มีโอกาสเกิดขึ้นต่ำแต่มีความเสียหายสูง หรือมีผลกระทบต่อเป้าหมายที่สำคัญด้วย การระบุความเสี่ยงสามารถทำได้หลายแนวทาง ได้แก่ การสัมภาษณ์ (Interviews) การใช้ดุลยพินิจจากประสบการณ์ทำงาน การระดมความคิดจากส่วนงานต่าง ๆ (Brainstorming) การประชุมเชิงปฏิบัติการ (Workshop) การจัดตั้งคณะทำงานที่ประกอบด้วยบุคลากรที่มีความรู้ความสามารถในด้านต่าง ๆ การวิเคราะห์จากข้อมูลในอดีต เป็นต้น นอกจากนี้อาจมีการระบุความเสี่ยงจากภายนอก เช่น การเปรียบเทียบกับเกณฑ์หรือมาตรฐานสากล การใช้ข้อมูลจากธุรกิจลักษณะเดียวกัน และการมีที่ปรึกษาให้คำแนะนำ เป็นต้น

ในการบริหารความเสี่ยงของบริษัทฯ ได้มีการแบ่งความเสี่ยงออกเป็น 6 ประเภท ดังนี้

  1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการกำหนดกลยุทธ์และการตัดสินใจด้านกลยุทธ์ซึ่งรวมถึงความไม่สอดคล้องกันระหว่างนโยบาย เป้าหมาย กลยุทธ์โครงสร้างองค์กร ภาวการณ์แข่งขัน และ สภาพแวดล้อม อันส่งผลกระทบต่อองค์กร ได้แก่ ความเสี่ยงที่เกี่ยวข้องกับนโยบายรัฐบาล ความเสี่ยงเกี่ยวข้องกับสภาพเศรษฐกิจและการเมือง ความเสี่ยงเกี่ยวข้องกับผู้มีส่วนได้ส่วนเสีย ความเสี่ยงเกี่ยวกับการแข่งขันทางธุรกิจ ความเสี่ยงเกี่ยวกับการบริหารจัดการ เป็นต้น

  2. ความเสี่ยงด้านการเงิน (Financial Risk) หมายถึง ความเสี่ยงที่เกิดจากการบริหารจัดการเงินทุน นโยบายและขั้นตอนการบริหารจัดการด้านการเงิน และการลงทุน ได้แก่ ความเสี่ยงเกี่ยวกับโครงสร้างเงินทุน ความเสี่ยงเกี่ยวกับการจัดทำบัญชีและรายงานทางการเงิน การบริหารหนี้ การชำระภาษี รวมถึงความเสี่ยงเกี่ยวกับสภาพคล่องทางการเงิน ความเสี่ยงจากอัตราแลกเปลี่ยน/อัตราดอกเบี้ย/อัตราเงินเฟ้อ เป็นต้น

  3. ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk)หมายถึง ความเสี่ยงที่เกิดจาก การปฏิบัติงานทั้งในส่วนของการบริหารงานบุคลากร และความเสี่ยงจากการให้บริการแก่ลูกค้าของบริษัทฯ ได้แก่ ความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงาน ความเสี่ยงเกี่ยวกับการจัดการทรัพย์สิน ความเสี่ยงเกี่ยวกับการทุจริต ความเสี่ยงเกี่ยวกับบุคลากร เป็นต้น

  4. ความเสี่ยงด้านกฎหมายและการกำกับการปฏิบัติตามกฎเกณฑ์ (Legal and Compliance Risk) หมายถึง ความเสี่ยงอันเนื่องมาจากการไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ หรือข้อบังคับ มาตรฐาน และแนวปฏิบัติที่บังคับใช้กับธุรกรรมต่างๆ รวมทั้งการให้บริการลูกค้าอย่างเป็นธรรม ซึ่งอาจถูกเปรียบเทียบปรับ ลงโทษ หรือได้รับความเสียหายจากการถูกร้องเรียน ฟ้องร้อง หรือถูกดำเนินการตามกฎหมาย

  5. ความเสี่ยงด้านชื่อเสียง (Reputation Risk) หมายถึง ความเสี่ยงจากการกระทำการของบริษัทฯ หรือบุคลากรของบริษัทฯ ที่อาจลดความน่าเชื่อถือของบริษัทฯ ซึ่งส่งผลกระทบต่อโอกาสการขยายธุรกิจ และการคู่ค้าและลูกค้าไม่ใช้บริการบริษัทฯ

  6. ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) หมายถึง ความเสี่ยงที่อาจเกิดขึ้นจากการใช้เทคโนโลยสารสนเทศในการดำเนินธุรกิจ รวมถึงความเสี่ยงที่เกิดจากภัยคุกคามทางไซเบอร์ (Cyber threat) โดยหากเทคโนโลยีสารสนเทศดังกล่าวหยุดชะงักหรือไม่สามารถดำเนินการได้จะส่งผลกระทบต่อระบบหรือการปฏิบัติงาน

บริษัทฯ จัดให้มีเครื่องมือในการบริหารความเสี่ยง ดังนี้

  1. การประเมินความเสี่ยงด้วยตนเอง (Risk and Control Self Assessment : RCSA) เป็นเครื่องมือที่ใช้ในการประเมินความเสี่ยงในระดับฝ่ายงาน หรือกระบวนการ ซึ่งเป็นการประเมินเชิงคุณภาพ เพื่อให้ทราบถึงระดับของความเสี่ยงและการควบคุมที่มีอยู่ในแต่ละกระบวนการทำงาน/ฝ่ายงาน/ผลิตภัณฑ์ หน่วยงานซึ่งเป็นผู้รู้และเข้าใจกระบวนการปฏิบัติงานและความเสี่ยงที่มีอยู่ได้ดีที่สุด จึงต้องมีส่วนร่วมในวิเคราะห์ร่วมกันเพื่อระบุ (Identify) รายการความเสี่ยงที่อาจจะเกิดขึ้นในธุรกรรมหรือแต่ละกระบวนการปฏิบัติงานที่อยู่ภายใต้ความรับผิดชอบของหน่วยงานตน และมีผลกระทบต่อการบรรลุวัตถุประสงค์ทางที่ธุรกิจที่กำหนดไว้ พร้อมทั้งเสนอแนะแนวทางที่จะใช้ในการบริหารจัดการความเสี่ยงนั้น
  2. ดัชนีชี้วัดความเสี่ยง (Key Risk Indicator : KRI) เป็นเครื่องมือที่ใช้ในการติดตามการเปลี่ยนแปลงของระดับความเสี่ยง หรือประสิทธิภาพของการควบคุม อาจเป็นตัวเลข หรือ มาตรวัดที่มีความสัมพันธ์กับปัจจัยเสี่ยง และสาเหตุของความเสี่ยง ซึ่งจะสะท้อนให้เห็นถึงความเสี่ยงที่เกิดขึ้นในอดีตที่ผ่านมา (Lacking Indicator) แล้วยังสามารถบ่งชี้หรือพยากรณ์ให้บริษัทฯ สามารถคาดคะเนถึงความเสี่ยงที่อาจจะเกิดขึ้นในอนาคต (Forward looking Indicator) ด้วย

  3. รายงานเหตุการณ์ความเสียหาย (Loss Data Incident Report) หมายถึง เหตุการณ์ที่เกิดขึ้นแล้วและสร้างความเสียหาย (Loss Event) ที่เป็นตัวเงิน ซึ่งรวมถึงความสูญเสียหรือเสียหายต่อทรัพย์สิน จำนวนเงินที่บริษัทฯ ต้องรับผิดชอบชดใช้ ค่าใช้จ่ายเพื่อดำเนินการให้กลับสู่สภาพเดิม และความเสียหายที่ไม่สามารถเรียกคืนได้ แต่ไม่รวมค่าเสียโอกาส รายได้ที่พลาดโอกาสได้รับ และเงินลงทุนเพื่อพัฒนาระบบและป้องกันความเสียหายในอนาคต
  • การประเมินความเสี่ยง (Risk Assessment)

หลังจากได้ระบุความเสี่ยงที่อาจเกิดขึ้นแล้วในขั้นตอนที่ 3  ขั้นตอนต่อไป คือการประเมินความเสี่ยง ซึ่งเป็นการคาดคะเนโอกาสและผลกระทบที่จะเกิดขึ้นจากความเสี่ยงนั้น ๆ และประเมินว่าความเสี่ยงที่จะเกิดขึ้นนั้นมี ความรุนแรงอยู่ในระดับใด เพื่อจะได้นำมาจัดลำดับความสำคัญ โดยในการประเมินความเสี่ยงจะทำการประเมินระดับความเสี่ยงก่อนการบริหารจัดการความเสี่ยง (Inherent Risk) และประเมินระดับความเสี่ยงที่เปลี่ยนแปลงหลังการควบคุม/การบริหารจัดการที่มีอยู่ (Residual Risk) ซึ่งหากความเสี่ยงยังคงสูงกว่าระดับที่ยอมรับได้ก็จำเป็นจะต้องทำการบริหารจัดการเพิ่มเติม เพื่อให้ลดลงไปอยู่ในระดับที่ยอมรับได้  

4.1) การประเมินระดับความเสี่ยง การประเมินความเสี่ยงจะพิจารณาจากองค์ประกอบ 2 ประการ ได้แก่โอกาสที่จะเกิดความเสี่ยง (Likelihood) และผลกระทบที่เกิดขึ้น (Impact) เมื่อนำเอาองค์ประกอบทั้งสองมาพิจารณาร่วมกันจะทำให้ทราบถึงระดับความเสี่ยง (Level of Risk) ซึ่งใช้เป็นตัวชี้วัดความสำคัญของความเสี่ยงนั้น

1) โอกาสที่จะเกิดความเสี่ยง (Likelihood) หมายถึง ความเป็นไปได้ที่ความเสี่ยงหรือเหตุการณ์นั้นจะเกิดขึ้น ซึ่งในการพิจารณาระดับของโอกาสที่จะเกิดขึ้นมักจะใช้ข้อมูลที่ผ่านมา อย่างไรก็ตามในกรณีที่เป็นเหตุการณ์ที่ไม่เคยมีมาก่อน อาจจะใช้ข้อมูลของเหตุการณ์ในลักษณะเดียวกันที่เคยเกิดขึ้นในหน่วยงานอื่น ข้อมูลที่ได้จากการค้นคว้า หรือประสบการณ์ของผู้ประเมิน เพื่อเป็นเกณฑ์ในการประเมินโอกาสที่จะเกิดความเสี่ยง

2) ผลกระทบที่เกิดขึ้น (Impact) หมายถึง ผลกระทบหรือความเสียหายจากความเสี่ยงที่จะเกิดขึ้น ซึ่งอาจเป็นมูลค่าความเสียหาย ความมีนัยสำคัญต่อเป้าหมาย ความอ่อนไหว (Sensitive) ต่อประชาชน ซึ่งในการพิจารณาผลกระทบที่คาดว่าจะเกิดตามมา จะต้องพิจารณาให้ครอบคลุมผลกระทบ 5 ด้าน ได้แก่

ก) ผลกระทบด้านการเงิน คือ ผลกระทบที่ก่อให้เกิดความเสียหายทางการเงิน หรือเกิดความเสียหายอื่น ๆ ซึ่งสามารถแปลงให้อยู่ในรูปของตัวเงินได้

ข) ผลกระทบด้านกฎหมายหรือข้อบังคับทางการ คือ ผลกระทบที่ก่อให้เกิดความล่าช้าในการดำเนินงานของบริษัทฯจากการไม่สามารถปฏิบัติตามตามกฎหมาย กฎเกณฑ์ของทางการทำให้ไม่สามารถดำเนินธุรกิจได้ 

ค) ผลกระทบด้านชื่อเสียง คือ ผลกระทบที่ก่อให้เกิดความเสียหายต่อชื่อเสียงและ ภาพพจน์ของไม่ว่าจะเป็นผลจากการดำเนินงานทั้งทางตรงและทางอ้อม

ง) ผลกระทบด้านเทคโนโลยีสารสนเทศ คือ ผลกระทบที่ก่อให้เกิดปัญหาหรือความเสียหายต่อระบบสารสนเทศ ระบบงานต่าง ๆ และข้อมูลสารสนเทศ

 จ) ผลกระทบด้านการบริหารจัดการภายในองค์กร คือ ผลกระทบที่ก่อให้เกิดปัญหาหรือความไม่พึงพอใจในการทำงาน

การวัดระดับโอกาสและผลกระทบ สามารถเลือกใช้เทคนิคการวิเคราะห์แบบต่าง ๆ ประกอบกันตามความเหมาะสมของแต่ละความเสี่ยง ได้แก่ การวิเคราะห์เชิงคุณภาพ (ไม่ได้กำหนดเป็นตัวเลข โดยประเมินเป็นเชิงอธิบาย) การวิเคราะห์กึ่งคุณภาพกึ่งปริมาณ (มีการกำหนดตัวเลขแทนข้อมูลเชิงคุณภาพเพื่อขยายความให้กับการอธิบายข้อมูลเชิงคุณภาพ) และการวิเคราะห์เชิงปริมาณ (เป็นการใช้ตัววัดที่เป็นตัวเลข เช่น จำนวนเงินที่สูญเสีย จำนวนข้อร้องเรียน ร้อยละความล่าช้าเทียบกับแผนงาน เป็นต้น) เทคนิคการวิเคราะห์เชิงปริมาณทำได้ยากและต้องอาศัยการเก็บรวบรวมสถิติและข้อมูลที่เกี่ยวข้อง รวมถึงการใช้แบบจำลอง หรือวิธีการทางคณิตศาสตร์ช่วยในการกำหนดค่าตัวเลข โดยจะต้องมีการกำหนดตัวชี้วัดความเสี่ยง ซึ่งเป็นการระบุว่าความเสี่ยงนั้นมีตัวชี้วัดอะไรบ้าง

บริษัทฯ ได้กำหนดหลักเกณฑ์การประเมินระดับโอกาสและผลกระทบไว้ 5 ระดับ อย่างไรก็ตาม อาจมีบางความเสี่ยงที่ไม่เหมาะสมที่จะใช้เกณฑ์ระดับโอกาส และระดับผลกระทบตามที่ได้กำหนดไว้ในการประเมินความเสี่ยงนั้น ๆ ในการนี้คณะกรรมการบริหารความเสี่ยงเป็นผู้พิจารณากำหนด เกณฑ์ประเมินระดับโอกาสและผลกระทบสำหรับความเสี่ยงนั้นๆ โดยเฉพาะต่อไป

4.2) ระดับความเสี่ยง (Level of Risk) คือ ตัวชี้วัดที่ใช้ในการกำหนดความสำคัญของความเสี่ยง โดยค่าระดับความเสี่ยงได้จาก การนําโอกาสที่จะเกิดความเสี่ยงและผลกระทบของความเสี่ยงมาพิจารณาร่วมกัน ดังนี้

ระดับความเสี่ยง (R) = ระดับโอกาสที่จะเกิดความเสี่ยง (L) x ระดับผลกระทบที่เกิดขึ้น (I)

ระดับความเสี่ยงที่ได้จากการคำนวณตามสูตรข้างต้น หากมีค่าต่ำ หมายถึง ความเสี่ยงอยู่ในระดับต่ำ และหากมีค่าสูงขึ้นความเสี่ยงจะมีระดับสูงขึ้น โดยความหมายของแต่ละระดับความเสี่ยงเป็นดังนี้

ผังแสดงระดับความเสี่ยง (Risk Profile)

4.3) กรอบระดับความเสี่ยงที่ยอมรับได้ของบริษัทฯ (Company Risk Appetite)

บริษัทฯ ได้กำหนดระดับความเสี่ยง (Risk Level) ที่ยอมรับได้อยู่ที่ระดับปานกลาง หากความเสี่ยงภายหลังการการควบคุมใด (Residual Risk ) ที่ได้รับการประเมินอยู่เกินกว่าระดับปานกลาง ฝ่ายงานต้องจัดทำแผนจัดการความเสี่ยง (Risk Mitigation Plan) เพื่อจัดการให้ความเสี่ยงลดลงและอยู่ในระดับความเสี่ยงที่บริษัทฯ ยอมรับได้ต่อไป

การบริหารจัดการระดับความเสี่ยงภายหลังการควบคุม (Residual Risk) มีรายละเอียดดังนี้ 

  • ความเสี่ยงต่ำ (1-3 คะแนน)  เป็นระดับความเสี่ยงที่ยอมรับได้ โดยไม่ต้องมีการควบคุมความเสี่ยง ไม่ต้องมีการจัดการเพิ่มเติม
  • ความเสี่ยงปานกลาง (4-9 คะแนน) เป็นระดับความเสี่ยงที่ยอมรับได้ โดยต้องมีการควบคุมเพื่อป้องกันไม่ให้ความเสี่ยงเคลื่อนย้ายไปยังระดับที่ยอมรับไม่ได้
  • ความเสี่ยงระดับสูง (10-16 คะแนน) เป็นระดับความเสี่ยงที่ไม่สามารถยอมรับได้ โดยต้องมีการจัดการความเสี่ยงเพื่อให้อยู่ในระดับที่ยอมรับได้ต่อไป
  • ความเสี่ยงระดับสูงมาก (มากกว่า 16 คะแนนขึ้นไป) เป็นระดับความเสี่ยงที่ไม่สามารถยอมรับได้ จำเป็นต้องเร่งจัดการความเสี่ยงเพื่อให้อยู่ในระดับที่ยอมรับได้ทันที
  • การจัดการความเสี่ยง (Risk Responses)

หลังจากประเมินความเสี่ยงในขั้นตอนที่ 4 และมีการจัดลำดับความสำคัญของความเสี่ยงแล้ว จะมีการพิจารณากำหนดกลยุทธ์ในการจัดการความเสี่ยงโดยจะเลือกใช้กลยุทธ์ใดกลยุทธ์หนึ่ง หรือหลายกลยุทธ์รวมกันก็ได้เพื่อให้ระดับความเสี่ยงลดลงมาอยู่ในระดับที่ยอมรับได้ซึ่งกลยุทธ์ในการจัดการความเสี่ยงได้แก่

5.1) การหลีกเลี่ยงความเสี่ยง (Terminate) เป็นการกำจัดความเสี่ยงออกไปหรือหลีกเลี่ยงความเสี่ยง เนื่องจากมีโอกาสเกิดขึ้นสูง และมีผลกระทบสูง เช่น เปลี่ยนเป้าหมาย การยกเลิกโครงการหรือแผนงาน การเปลี่ยนรูปแบบการดำเนินโครงการ เป็นต้น

5.2) การถ่ายโอนความเสี่ยง (Transfer) เป็นการลดโอกาสที่จะเกิดความเสี่ยง และ/หรือลดผลกระทบที่จะเกิดขึ้นจากความเสี่ยง โดยการถ่ายโอนหรือแบ่งภาระบางส่วนให้ผู้อื่นรับผิดชอบ เช่น การทำประกันภัย การโอนความรับผิดชอบ ไปยังผู้รับเหมา การโอนงานไปยังผู้รับสัมปทาน การจ้างเหมา (Outsourcing) เป็นต้น

5.3) การควบคุมความเสี่ยง (Treat) เป็นการลดโอกาสของการเกิดความเสี่ยงและ/หรือผลกระทบที่จะเกิดขึ้นจากความเสี่ยงโดยปรับเปลี่ยนการทำงานหรือเตรียมแผนการต่าง ๆ รองรับ เช่น การปรับวิธีการทำงาน การกำหนด มาตรการติดตามตรวจสอบ การปรับโครงสร้าง การให้ความรู้แก่พนักงาน เป็นต้น

5.4) การยอมรับความเสี่ยง (Take) เป็นการยอมรับความเสี่ยงที่จะเกิดขึ้น กลยุทธ์นี้จะไม่มีการดำเนินการใด ๆ เพื่อลดโอกาส หรือผลกระทบเนื่องจากระดับความเสี่ยงที่เหลืออยู่อยู่ในระดับต่ำ หรืออยู่ในระดับที่ยอมรับได้หรือมีค่าใช้จ่ายในการบริหารจัดการความเสี่ยงสูงกว่าผลลัพธ์ที่จะได้

การตัดสินใจเลือกกลยุทธ์ในการบริหารจัดการความเสี่ยงจะต้องคำนึงถึงปัจจัยเสี่ยง ซึ่งเป็นต้นเหตุทำให้เกิดความเสี่ยง และต้นทุนหรือทรัพยากรที่ต้องใช้ในทางเลือกนั้น ๆ เปรียบเทียบกับผลลัพธ์ที่ จะได้รับด้วยว่ามีความคุ้มค่าหรือไม่ที่จะเลือกกลยุทธ์นั้น ๆ เมื่อเลือกกลยุทธ์ในการจัดการความเสี่ยงที่เหมาะสมได้แล้ว ส่วนงานที่เกี่ยวข้องกับความเสี่ยงนั้น ๆ จะต้องจัดทำแผนบริหารความเสี่ยง เพื่อให้สามารถติดตามและประเมินผลการจัดการความเสี่ยงได้การเลือกวิธีการบริหารจัดการความเสี่ยง สามารถเลือกวิธีการอย่างใดอย่างหนึ่งหรือหลายวิธีรวมกัน เพื่อให้ความเสี่ยงอยู่ในช่วงเบี่ยงเบนที่ยอมรับได้ (Risk Tolerance) แผนบริหารความเสี่ยงมีองค์ประกอบดังนี้

  1. กลยุทธ์และวิธีดำเนินการ
  2. กำหนดส่วนงานผู้รับผิดชอบแผนบริหารความเสี่ยงนั้น ๆ
  3. กำหนดแล้วเสร็จ
  • กิจกรรมควบคุม (Control Activities)

กิจกรรมควบคุม หมายถึง นโยบายและวิธีการปฏิบัติงานที่กำหนดขึ้นเพื่อช่วยให้ฝ่ายบริหาร มั่นใจว่าได้มีการบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยกิจกรรมการควบคุมมีทั้งการควบคุมแบบป้องกัน ค้นพบและแก้ไขซึ่งรวมถึง

  • การกำหนดนโยบายและวิธีปฏิบัติงาน เช่น การจัดทำคู่มือปฏิบัติงาน
  • การอนุมัติ / รับรอง / ให้ความเห็นชอบงาน
  • การสอบทานผลการปฏิบัติงาน
  • การรักษาความปลอดภัย/การเข้าถึงข้อมูล ระบบเทคโนโลยีสารสนเทศ
  • การแบ่งแยกหน้าที่ความรับผิดชอบงาน/การมอบหมายงาน

บริษัทฯ ได้มีการกำหนดกิจกรรมควบคุมอย่างชัดเจน โดยมีการจัดทำนโยบายและวิธีปฏิบัติงานบริหารความเสี่ยงตามคู่มือบริหารความเสี่ยง กำหนดผู้รับผิดชอบ และฝ่ายงานที่รับผิดชอบดำเนินการตามแผนบริหารความเสี่ยง โดยในการบริหารความเสี่ยงระดับส่วนงาน ผู้จัดการฝ่ายเป็นผู้พิจารณากำหนดผู้รับผิดชอบ ส่วนการบริหารความเสี่ยงในระดับองค์กร คณะกรรมการบริหารความเสี่ยงจะเป็นผู้กำหนดว่าส่วนงานใดควรเป็นผู้รับผิดชอบหลัก มีการกำหนดระยะเวลาดำเนินการแล้วเสร็จ และมีการรายงานผลการปฏิบัติตามแผนบริหารความเสี่ยงเพื่อเป็นการสอบทานเป็นระยะด้วย

  • การติดตามและประเมินผล (Monitoring)

             7.1) การติดตามผลการดำเนินงาน เมื่อมีการเปลี่ยนแปลงสภาพแวดล้อม วิธีการจัดการความเสี่ยงที่กำหนดไว้อาจไม่เหมาะสม กิจกรรมควบคุมอาจมีประสิทธิภาพน้อยลง หรือเป้าหมายการดำเนินงานอาจมีการเปลี่ยนแปลง ดังนั้น จึงต้องมีการติดตามและประเมินผลว่าการบริหารความเสี่ยงในแต่ละขั้นตอนยังคงมีประสิทธิภาพอยู่หรือไม่

             การติดตามและประเมินผล สามารถทำได้ 2 วิธี คือ ติดตามและประเมินผลระหว่างการปฏิบัติงาน (Ongoing Monitoring) และการติดตามและประเมินผลเป็นช่วง ๆ (Separate Evaluation) การติดตามและประเมินผลระหว่างการปฏิบัติงาน เป็นการติดตามอย่างต่อเนื่องในทุกขั้นตอนของการบริหารความเสี่ยง ในขณะที่การติดตามและประเมินผลเป็นช่วง ๆ จะกระทำเป็นครั้ง ๆ ไปตามช่วงเวลาที่กำหนด ดังนั้น การติดตามและประเมินผลน้อยระหว่างการปฏิบัติงานจะมีประสิทธิภาพมากกว่า นอกจากนี้ หากมีการติดตามและประเมินผลระหว่างการปฏิบัติงาน (Ongoing Monitoring) มากเท่าไร การประเมินผลเป็นช่วง ๆ (Separate Evaluation) ก็จะน้อยลงเท่านั้น อาจใช้วิธีอย่างใดอย่างหนึ่งข้างต้น หรือทั้งสองวิธีก็ได้ อย่างไรก็ตาม หากใช้วิธีการประเมินเป็นช่วง ๆ จะต้องทำการประเมินผลการบริหารความเสี่ยงทุก ๆ 6 เดือน เป็นอย่าง

ในการติดตามและประเมินผลจะใช้หลักการประเมินตนเอง (Self – Assessment) โดยส่วนงานหลักที่รับผิดชอบบริหารจัดการความเสี่ยงใด ส่วนงานนั้นจะเป็นผู้รับผิดชอบในการประเมินประสิทธิภาพการบริหารความเสี่ยงของตนเอง อย่างไรก็ตาม ฝ่ายตรวจสอบภายในจะเป็นอีกส่วนงานหนึ่งที่จะทำการติดตามตรวจสอบตามหน้าที่ประจำของส่วนงานหรืออาจจะทำการตรวจสอบตามคำสั่งของคณะกรรมการตรวจสอบหรือคณะกรรมการบริษัทฯ

7.2) การรายงานผล ส่วนงานหลักที่รับผิดชอบบริหารจัดการความเสี่ยงมีหน้าที่รับผิดชอบในการรายงานผลการบริหารความเสี่ยงระดับองค์กรให้คณะกรรมการบริหาร ได้ทราบทุก ๆ 6 เดือน เป็นอย่างน้อย อย่างไรก็ตาม หากมีความเสี่ยงที่มีนัยสำคัญเกิดขึ้น หรือการจัดการความเสี่ยงที่นำมาใช้ไม่มีประสิทธิภาพจะต้องรายงานให้คณะกรรมการบริหารความเสี่ยงทราบในทันที

คณะกรรมการบริหารความเสี่ยงมีหน้าที่รับผิดชอบในการรายงานการบริหารความเสี่ยงในระดับองค์กรให้คณะกรรมการบริษัทฯ ได้ทราบทุก ๆ 6 เดือน เป็นอย่างน้อย หรือเมื่อมีความเสี่ยงที่มีนัยสำคัญเกิดขึ้น

7.3) การประเมินกรอบการบริหารความเสี่ยง (Framework Appraisal)

ขั้นตอนและองค์ประกอบต่าง ๆ ในการบริหารความเสี่ยงดังกล่าวข้างต้น รวมทั้งคู่มือการบริหารความเสี่ยงจะต้องมีการประเมินความเหมาะสมและประสิทธิภาพในการบริหารจัดการความเสี่ยงเป็นระยะ ๆ โดยการประเมินอาจจะดำเนินการในลักษณะของการประเมินตนเอง (Self – Appraisal) หรืออาจให้บุคคลภายนอกเป็นผู้ประเมิน (Independent Appraisal) ก็ได้

  • สารสนเทศและการสื่อสาร (Information and Communication)

สารสนเทศและการสื่อสาร หมายถึง การจัดให้มีการสื่อสารและระบบสารสนเทศความเสี่ยงที่ดีเพื่อให้มั่นใจว่าผู้บริหารและพนักงานทุกคนเข้าใจกระบวนการและบทบาทหน้าที่ความรับผิดชอบของตนเกี่ยวกับการบริหารความเสี่ยง ได้แก่

  • คณะกรรมการและผู้บริหารระดับสูง มีการสื่อสารเกี่ยวกับนโยบายการบริหารความเสี่ยงและสถานะของความเสี่ยงให้พนักงานทุกคนเข้าใจและดำเนินการบริหารความเสี่ยงตามบทบาทหน้าที่
  • จัดให้มีช่องทางในการสื่อสารสองทางที่มีประสิทธิภาพระหว่างผู้บริหารและพนักงาน
  • มีการประสานงานระหว่างงานบริหารความเสี่ยงกับงานตรวจสอบเพื่อที่จะได้เกิดการแลกเปลี่ยนข้อมูลที่เป็นประโยชน์ระหว่างกัน

มีการสื่อสารข้อมูลที่เกี่ยวข้องกับการบริหารความเสี่ยงทั้งจากภายในและภายนอกองค์กรผ่านระบบสารสนเทศและการสื่อสารภายในองค์กร เพื่อให้พนักงานได้รับทราบข้อมูลเกี่ยวกับการบริหารความเสี่ยง ตลอดจนสาระความรู้เกี่ยวกับการบริหารความเสี่ยงอย่างสม่ำเสมอและทันต่อเหตุการณ์