นโยบายบริหารความเสี่ยง

นโยบายการบริหารความเสี่ยง (Risk Management Policy)

เพื่อให้เกิดความชัดเจนในการบริหารความเสี่ยง คณะกรรมการบริหารของบริษัทได้กําหนด กรอบนโยบายในการบริหารความเสี่ยง วิธีการดําเนินงาน และแผนการดําเนินงานการบริหารความเสี่ยง ดังนี้

  1. มุ่งเน้นการบริหารความเสี่ยงที่มีผลกระทบต่อวัตถุประสงค์และนโยบาย รวมทั้งชื่อเสียงและภาพลักษณ์ของบริษัท
  2. จัดการบริหารความเสี่ยงให้มีประสิทธิภาพสูงสุดและอยู่ในระดับที่สามารถยอมรับได้ ให้พนักงานทุกคนมีส่วนร่วมในกระบวนการบริหารความเสี่ยง
  3. ส่งเสริมให้พนักงานทั่วทั้งองค์กรได้รับรู้และป้องกันความเสี่ยงที่จะเกิดขึ้นทั้งหมด
  4. ตรวจสอบ ติดตาม และประเมินความเสี่ยงที่จะเกิดขึ้นตามสภาพแวดล้อมที่เปลี่ยนไป ทั้งจากปัจจัยภายในและภายนอกองค์กรอย่างต่อเนื่อง
  5. ส่งเสริมให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นําไปสู่การสร้างสรรค์ มูลค่าให้แก่องค์กร 
เอกสาร นโยบายบริหารความเสี่ยง

ผู้ที่มีหน้าที่เกี่ยวข้องในการบริหารความเสี่ยงของบริษัท ประกอบด้วยเจ้าหน้าที่ในทุกระดับ ตั้งแต่ระดับพนักงานทั่วไปจนถึงระดับคณะกรรมการ โดยมีโครงสร้างการดำเนินการดังนี้

จากโครงสร้างการบริหารความเสี่ยง ได้กำหนดบทบาทและหน้าที่ของแต่ละส่วนงานไว้ ดังนี้

ส่วนงาน

บทบาทและหน้าที่

คณะกรรมการบริษัท

ให้ความเห็นชอบการบริหารความเสี่ยงของบริษัท รวมทั้งติดตามดูแลให้มีการปฏิบัติตามแผนงานที่กำหนดให้เป็นไปอย่างมีประสิทธิภาพ

คณะกรรมการบริหารความเสี่ยง

  1. กำหนดกลยุทธ์และนโยบายการดำเนินงานขององค์กร และกำกับดูแลให้มีการวิเคราะห์และจัดการความเสี่ยงอย่างต่อเนื่อง
  2. กำกับดูแลและกระตุ้นให้พนักงานทุกระดับมีความตระหนักในเรื่องความเสี่ยง และส่งเสริมให้มีกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กรอย่างต่อเนื่อง จนเกิดเป็นวัฒนธรรมองค์กร
  3. สนับสนุนให้พนักงานได้รับความรู้เกี่ยวกับการบริหารความเสี่ยง
  4. สอบทานรายงานการบริหารความเสี่ยง และดำเนินการเพื่อให้มั่นใจได้ว่าการจัดการความเสี่ยงมีความเพียงพอและเหมาะสม สามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ และการบริหารความเสี่ยงได้ถูกนำไปปฏิบัติอย่างต่อเนื่อง
  5. พัฒนาและทบทวนระบบการจัดการบริหารความเสี่ยงของบริษัทให้มีประสิทธิภาพและประสิทธิผลอย่างต่อเนื่อง โดยมีการประเมินผลและติดตามกระบวนการบริหารความเสี่ยงให้สอดคล้องตามนโยบายที่กำหนดไว้อย่างสม่ำเสมอ
  6. ดำเนินการตัดสินใจและให้คำแนะนำเกี่ยวกับปัญหาสำคัญที่เกิดขึ้นในกระบวนการบริหารความเสี่ยง
  7. นำเสนอรายงานผลการดำเนินงานของคณะกรรมการบริหารความเสี่ยงต่อคณะกรรมการบริษัทเพื่อรับทราบและ/หรือ พิจารณาทุก  6  เดือน

เลขานุการคณะกรรมการบริหารความเสี่ยง

  1. รวบรวมความเสี่ยงและการบริหารความเสี่ยงของแต่ละส่วนงานเสนอคณะกรรมการบริหารความเสี่ยง
  2. จัดทำรายงานการบริหารความเสี่ยงเสนอคณะกรรมการบริหารความเสี่ยง

ฝ่ายบริหารงานคุณภาพ

  1. ประสานงานเพื่อให้มีการวิเคราะห์ประเมิน และจัดการความเสี่ยงตามแนวทางที่กำหนด
  2. ประสานงานให้คำแนะนำ และช่วยเหลือส่วนงานต่างๆ ในการวิเคราะห์ประเมิน และ บริหารความเสี่ยง
  3. ให้ความรู้แก่ส่วนงานต่างๆ เพื่อให้มีความเข้าใจถึงหลักเกณฑ์การวิเคราะห์ประเมิน และบริหารจัดการความเสี่ยง
  4. ติดตามผลการบริหารความเสี่ยงของส่วนงานต่างๆ และแจ้งเตือนให้ส่วนงานเจ้าของความเสี่ยงได้มีการบริหารจัดการ และทบทวนการบริหารความเสี่ยงอย่างต่อเนื่อง

รองกรรมการผู้อำนวยการ

  1. กำกับดูแลให้เจ้าหน้าที่ทำการวิเคราะห์ และประเมินความเสี่ยงในส่วนที่เกี่ยวข้องอย่างสม่ำเสมอ
  2. ให้ความเห็นชอบแนวทางการจัดการความเสี่ยงที่เกี่ยวข้อง

ผู้อำนวยการ / ผู้จัดการฝ่าย

  1. เสนอข้อมูลความเสี่ยงและวิธีการจัดการความเสี่ยงให้คณะกรรมการบริหารความเสี่ยงได้พิจารณาเห็นชอบ
  2. เสนอประเด็นความเสี่ยงที่ไม่สามารถบริหารจัดการให้คณะกรรมการบริหารความเสี่ยงพิจารณากำหนดแนวทางในการบริหารจัดการ
  3. ติดตามประเมินผลการบริหารความเสี่ยง

หัวหน้าแผนกและพนักงานระดับปฎิบัติการ

  • วิเคราะห์ และ ประเมินความเสี่ยงของแต่ละส่วนงาน และรายงานความเสี่ยงให้ผู้บังคับบัญชาอย่างสม่ำเสมอ
  • ศึกษาวิเคราะห์และรายงานความเสี่ยงที่อาจจะเกิดขึ้นให้ผู้บังคับบัญชารับทราบอย่างสม่ำเสมอ
  • รายงานผลการบริหารความเสี่ยง

พนักงานทั่วไป

  1. ดำเนินการตามระบบควบคุมภายใน เพื่อป้องกันความเสี่ยง
  2. ดำเนินการจัดการความเสี่ยงตามแนวทางที่กำหนด

องค์ประกอบของการบริหารความเสี่ยง
     บริษัทได้แบ่งการบริหารความเสี่ยงออกเป็น 2 ประเภท คือ การบริหารความเสี่ยงระดับส่วนงาน และการบริหารความเสี่ยงระดับองค์กร

การบริหารความเสี่ยงระดับส่วนงาน
     เป็นการบริหารความเสี่ยงที่อาจจะเกิดขึ้นจากการดําเนินงานของแต่ละฝ่าย โดย ความเสี่ยงที่เกิดขึ้นสามารถบริหารจัดการได้โดยอํานาจหน้าที่ของผู้จัดการฝ่าย หรือเป็นความเสี่ยงที่ไม่เกิดผลกระทบต่อวัตถุประสงค์และเป้าหมายในการดําเนินงาน หรือสามารถควบคุมได้ โดยกระบวนการควบคุมภายใน เช่น ความเสี่ยงจากการจัดซื้อวัตถุดิบ สินค้า ในราคาแพงแต่คุณภาพตํ่า จะต้องจัด ให้มีกิจกรรมควบคุมเกี่ยวกับการจัดซื้อให้รัดกุมมากขึ้น เช่น กําหนดวิธีการคัดเลือกผู้ขาย การจัดทํา ทะเบียนประวัติผู้ขาย สถิติราคา การแบ่งแยกหน้าที่ตามหลักการควบคุมภายในที่ดีการหมุนเวียน เจ้าหน้าที่จัดซื้อ เป็นต้น

การบริหารความเสี่ยงระดับองค์กร
     เป็นการบริหารความเสี่ยงที่มีผลกระทบต่อวิสัยทัศน์วัตถุประสงค์หรือเป้าหมายการดําเนินงาน รวมทั้งมีผลกระทบต่อเป้าหมายการดําเนินงานตามบันทึกข้อตกลงประเมินผลการดําเนินงาน

องค์ประกอบการบริหารความเสี่ยงระดับองค์กร
     การบริหารความเสี่ยงระดับองค์กร ดําเนินการตามแนวทางระบบการบริหารความเสี่ยงระดับองค์กรของ The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซึ่งมีองค์ประกอบการบริหารความเสี่ยง ดังนี้
     1. สภาพแวดล้อมภายในองค์กร (Internal Environment)
     2. การกําหนดเป้าหมาย (Objective Setting)
     3. การระบุความเสี่ยง (Risk Identification)
     4. การประเมินความเสี่ยง (Risk Assessment)
     5. การจัดการความเสี่ยง (Risk Responses)
     6. กิจกรรมควบคุม (Control Activities)
     7. การติดตามและประเมินผล (Monitoring)
     8. สารสนเทศและการสื่อสาร (Information and Communication)

 

1. สภาพแวดล้อมภายในองค์กร (Internal Environment)

     สภาพแวดล้อมภายในองค์กร หมายถึง แนวทางและนโยบายภายในเกี่ยวกับการบริหารความเสี่ยง สภาพแวดล้อมภายในองค์กรเป็นปัจจัยสําคัญที่มีผลต่อกระบวนการบริหารความเสี่ยงองค์ประกอบที่สําคัญของสภาพแวดล้อมภายในองค์กรประกอบด้วย

  1. รูปแบบการบริหารองค์กรและวัฒนธรรมในการบริหารความเสี่ยง เป็นปัจจัยสําคัญที่ ทําให้การบริหารความเสี่ยงเกิดเป็นวัฒนธรรมขององค์กร
  2. บทบาทของคณะกรรมการในการกํากับดูแลการทํางานของผู้บริหารให้มีการดําเนินการบริหารความเสี่ยงอย่างเหมาะสมและครอบคลุม
  3. การจัดโครงสร้างองค์กรที่เหมาะสม
  4. การคัดเลือกและพัฒนาบุคลากรที่มีความรู้ความสามารถและความมุ่งมั่นต่อหน้าที่ รับผิดชอบ
  5. การส่งเสริมให้พนักงานมีความซื่อสัตย์และมีจริยธรรม
  6. การมอบอํานาจหน้าที่และความรับผิดชอบที่เหมาะสมให้พนักงานปฏิบัติงานได้บรรลุเป้าหมายขององค์กร

 

2. การกําหนดเป้าหมาย (Objective Setting)

     การกําหนดเป้าหมาย หมายถึง การเข้าใจถึงภารกิจ วัตถุประสงค์เป้าหมาย และกลยุทธ์ใน การดําเนินงานขององค์กร รวมทั้งสภาพแวดล้อมของการดําเนินงาน ซึ่งสิ่งต่างๆ เหล่านี้ได้มีการระบุไว้ในแผน ซึ่งรวมถึงเป้าหมายการดําเนินงานตามบันทึกข้อตกลงประเมินผลการดําเนินงานด้วย

     ผลของการกําหนดเป้าหมายจะทําให้ทราบปัจจัยความสําเร็จเหตุการณ์ที่มีผลกระทบต่อความสําเร็จของเป้าหมาย หน่วยวัดความสําเร็จ และระดับความคลาดเคลื่อนจากหน่วยวัดที่ยอมรับได้ ทั้งนี้การกําหนดเป้าหมายสําหรับการบริหารความเสี่ยง จะกําหนดจากเป้าหมายการ ดําเนินงานตามที่กําหนดไว้ในแผนวิสาหกิจ และเป้าหมายอื่นๆ ตามที่ คณะกรรมการบริหารกําหนดเพิ่มเติม

 

3. การระบุความเสี่ยง (Risk Identification)

     การระบุความเสี่ยง คือ การพิจารณาเหตุการณ์ที่นําไปสู่ความเสียหาย ซึ่งก่อนขั้นตอนการระบุ ความเสี่ยงจะต้องดําเนินการ คือกําหนดเป้าหมายของการดําเนินงานเสียก่อน จากนั้นจึง ทําการวิเคราะห์หาเหตุการณ์ที่จะทําให้ไม่สามารถดําเนินงานได้ตามเป้าหมายที่กําหนดไว้

     การระบุความเสี่ยงจะต้องพิจารณาปัจจัยทั้งจากภายในและภายนอกองค์กร ซึ่งปัจจัย เหล่านี้มีผลกระทบต่อเป้าหมายและผลการปฏิบัติงานขององค์กร โดยปัจจัยภายนอกเป็นสภาพแวดล้อม ภายนอกบริษัทที่ไม่สามารถควบคุมได้เช่น นโยบายรัฐบาล การเมือง สภาวะเศรษฐกิจ อัตราดอกเบี้ย อัตราแลกเปลี่ยน การดําเนินงานของหน่วยงานที่เกี่ยวข้อง ภัยธรรมชาติกฎหมาย คู่สัญญา คู่แข่ง และ รูปแบบการใช้ชีวิต (life style) ส่วนปัจจัยภายในเป็นสภาพแวดล้อมภายใน ซึ่งสามารถควบคุมหรือ เปลี่ยนแปลงได้เช่น นโยบาย กลยุทธ์ระบบการบริหาร โครงสร้างองค์กร กระบวนการทํางาน วัฒนธรรม องค์กร บุคลากร และเทคโนโลยีที่นํามาใช้

     การระบุความเสี่ยงควรเริ่มจากเหตุการณ์ที่มีความชัดเจนหรือมีนัยสําคัญก่อน และจะต้อง รวมถึงเหตุการณ์ที่มีโอกาสเกิดขึ้นตํ่าแต่มีความเสียหายสูง หรือมีผลกระทบต่อเป้าหมายที่สําคัญด้วย การระบุความเสี่ยงสามารถทําได้หลายแนวทาง ได้แก่การสัมภาษณ์(Interviews) การใช้ดุลย พินิจจากประสบการณ์ทํางาน การระดมความคิดจากส่วนงานต่างๆ (Brainstorming) การประชุมเชิง ปฏิบัติการ (Workshop) การจัดตั้งคณะทํางานที่ประกอบด้วยบุคลากรที่มีความรู้ความสามารถในด้าน ต่างๆ การวิเคราะห์จากข้อมูลในอดีต เป็นต้น นอกจากนี้อาจมีการระบุความเสี่ยงจากภายนอก เช่น การ เปรียบเทียบกับเกณฑ์หรือมาตรฐานสากล การใช้ข้อมูลจากธุรกิจลักษณะเดียวกัน และการมีที่ปรึกษาให้คําแนะนํา เป็นต้น

ในการบริหารความเสี่ยงของบริษัทได้มีการแบ่งความเสี่ยงออกเป็น 4 ประเภท ดังนี้

  1. ความเสี่ยงด้านกลยุทธ์(Strategic Risk : S) หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการกําหนดกลยุทธ์และการตัดสินใจด้านกลยุทธ์ซึ่ง รวมถึงความไม่สอดคล้องกันระหว่างนโยบาย เป้าหมาย กลยุทธ์โครงสร้างองค์กร ภาวการณ์แขงขัน และ สภาพแวดล้อม อันส่งผลกระทบต่อองค์กร ได้แก่ความเสี่ยงที่เกี่ยวข้องกับนโยบายรัฐบาล ความเสี่ยง เกี่ยวข้องกับสภาพเศรษฐกิจและการเมือง ความเสี่ยงเกี่ยวข้องกับชื่อเสียง ความเสี่ยงเกี่ยวข้องกับผู้มี ส่วนได้ส่วนเสีย ความเสี่ยงเกี่ยวกับการแข่งขันทางธุรกิจ ความเสี่ยงเกี่ยวกับการบริหารจัดการ เป็นต้น
  2. ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk : O)  หมายถึง ความเสี่ยงที่เกิดจากการปฏิบัติงานทั้งในส่วนของการบริหารงานบุคลากร และเทคโนโลยีที่ใช้ในการทํางาน ได้แก่ความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงาน ความเสี่ยงเกี่ยวกับการ จัดการทรัพย์สิน ความเสี่ยงเกี่ยวกับการทุจริต ความเสี่ยงเกี่ยวกับบุคลากร ความเสี่ยงด้านเทคโนโลยี สารสนเทศ เป็นต้น
  3. ความเสี่ยงด้านการเงิน (Financial Risk : F) หมายถึง ความเสี่ยงเกี่ยวกับนโยบายและขั้นตอนการบริหารจัดการด้านการเงินและ การลงทุน ได้แก่ความเสี่ยงเกี่ยวกับโครงสร้างเงินทุน ความเสี่ยงเกี่ยวกับการจัดทําบัญชีและรายงาน ทางการเงิน ความเสี่ยงเกี่ยวกับสภาพคล่องทางการเงิน ความเสี่ยงจากอัตราแลกเปลี่ยน/ อัตราดอกเบี้ย/ อัตราเงินเฟ้อ เป็นต้น
  4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบข้อบังคับ (Compliance Risk : C) หมายถึง ความเสี่ยงจากการฝ่าฝืนหรือไม่สามารถปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับต่างๆ หรือ กฎหมาย/ระเบียบที่มีอยู่ไม่เหมาะสมหรือเป็นอุปสรรคใน การปฏิบัติงาน

 

4. การประเมินความเสี่ยง

     หลังจากได้ระบุความเสี่ยงที่อาจเกิดขึ้นแล้วในขั้นตอนที่ 3 ขั้นตอนต่อไปคือการประเมิน ความเสี่ยง ซึ่งเป็นการคาดคะเนโอกาสและผลกระทบที่จะเกิดขึ้นจากความเสี่ยงนั้นๆ และประเมินว่า ความเสี่ยงที่จะเกิดขึ้นนั้นมีความรุนแรงอยู่ในระดับใด เพื่อจะได้นํามาจัดลําดับความสําคัญ โดยในการ ประเมินความเสี่ยงจะทําการประเมินระดับความเสี่ยงก่อนการบริหารจัดการความเสี่ยง (Inherent Risk) และประเมินระดับความเสี่ยงที่เปลี่ยนแปลงหลังการควบคุม/การบริหารจัดการที่มีอยู่(Residual Risk) ซึ่งหากความเสี่ยงยังคงสูงกว่าระดับที่ยอมรับได้ก็จําเป็นจะต้องทําการบริหารจัดการเพิ่มเติม เพื่อให้ ลดลงไปอยู่ในระดับที่ยอมรับได้

     1. การประเมินระดับความเสี่ยง

     การประเมินความเสี่ยงจะพิจารณาจากองค์ประกอบ 2 ประการ ได้แก่โอกาสที่จะเกิด ความเสี่ยง (Likelihood) และผลกระทบที่เกิดขึ้น (Impact) การนําเอาองค์ประกอบทั้งสองมาพิจารณา ร่วมกันจะทําให้ทราบถึงระดับความเสี่ยง (Level of Risk) ซึ่งใช้เป็นตัวชี้วัดความสําคัญของความเสี่ยงนั้น

          (1)  โอกาสที่จะเกิดความเสี่ยง (Likelihood) หมายถึง ความเป็นไปได้ที่ความเสี่ยงหรือเหตุการณ์นั้นจะเกิดขึ้น ซึ่งในการ พิจารณาระดับของโอกาสที่จะเกิดขึ้นมักจะใช้ข้อมูลที่ผ่านมา อย่างไรก็ตามในกรณีที่เป็นเหตุการณ์ที่ไม่ เคยมีมาก่อน อาจจะใช้ข้อมูลของเหตุการณ์ในลักษณะเดียวกันที่ได้เคยเกิดขึ้นในหน่วยงานอื่น ข้อมูลที่ ได้จากการค้นคว้า หรือประสบการณ์ของผู้ประเมิน โดยเกณฑ์ในการประเมินโอกาสที่จะเกิดความเสี่ยง
          (2)  ผลกระทบที่เกิดขึ้น (Impact) หมายถึง ผลกระทบหรือความเสียหายจากความเสี่ยงที่จะเกิดขึ้น ซึ่งอาจเป็นมูลค่าความเสียหาย ความมีนัยสําคัญต่อเป้าหมาย ความอ่อนไหว (Sensitive) ต่อประชาชน ซึ่งในการ พิจารณาผลกระทบที่คาดว่าจะเกิดตามมา จะต้องพิจารณาให้ครอบคลุมผลกระทบ 5 ด้าน ซึ่งได้แก่
     ก) ผลกระทบด้านการเงิน คือผลกระทบที่ก่อให้เกิดความเสียหายทางการเงิน หรือเกิดความเสียหายอื่นๆ ซึ่งสามารถแปลงให้อยู่ในรูปของตัวเงินได้
     ข)  ผลกระทบด้านการดําเนินงาน คือผลกระทบที่ก่อให้เกิดความล่าช้าในการ ดําเนินงานของบริษัท  ได้แก่ผลกระทบจากการดําเนินการผลิต ดำเนินโครงการต่างๆ และจากการให้บริการฯ
     ค)  ผลกระทบด้านชื่อเสียง คือผลกระทบที่ก่อให้เกิดความเสียหายต่อชื่อเสียงและ ภาพพจน์ของบริษัท เอแอลที เทเลคอม จำกัด (มหาชน) ไม่ว่าจะเป็นผลจากการดําเนินงานทั้งทางตรงและทางอ้อม
     ง)  ผลกระทบด้านเทคโนโลยีสารสนเทศ คือผลกระทบที่ก่อให้เกิดปัญหาหรือความ เสียหายต่อระบบสารสนเทศ ระบบงานต่างๆ และข้อมูลสารสนเทศ
     จ)  ผลกระทบด้านการบริหารจัดการภายในองค์กร คือผลกระทบที่ก่อให้เกิด ปัญหาหรือความไม่พึงพอใจในการทํางาน

     การวัดระดับโอกาสและผลกระทบ สามารถเลือกใช้เทคนิคการวิเคราะห์แบบต่างๆ ประกอบ กันตามความเหมาะสมของแต่ละความเสี่ยง ได้แก่การวิเคราะห์เชิงคุณภาพ (ไม่ได้กําหนดเป็นตัวเลข โดยประเมินเป็นเชิงอธิบาย) การวิเคราะห์กึ่งคุณภาพกึ่งปริมาณ (มีการกําหนดตัวเลขแทนข้อมูลเชิง คุณภาพเพื่อขยายความให้กับการอธิบายข้อมูลเชิงคุณภาพ) และการวิเคราะห์เชิงปริมาณ (เป็นการใช้ตัว วัดที่เป็นตัวเลข เช่น จํานวนเงินที่สูญเสีย จํานวนข้อร้องเรียน ร้อยละความล่าช้าเทียบกับแผนงาน เป็น ต้น) เทคนิคการวิเคราะห์เชิงปริมาณทําได้ยากและต้องอาศัยการเก็บรวบรวมสถิติและข้อมูลที่เกี่ยวข้อง รวมถึงการใช้แบบจําลองหรือวิธีการทางคณิตศาสตร์ช่วยในการกําหนดค่าตัวเลข โดยจะต้องมีการ กําหนดตัวชี้วัดความเสี่ยง ซึ่งเป็นการระบุว่าความเสี่ยงนั้นมีตัวชี้วัดอะไรบ้าง

     บริษัทได้กําหนดหลักเกณฑ์การประเมินระดับโอกาสและผลกระทบไว้ 5 ระดับอย่างไรก็ตามอาจมีบางความเสี่ยงที่ไม่เหมาะสมที่จะใช้เกณฑ์ระดับโอกาส และระดับผลกระทบตามที่ได้กําหนดไว้ในการประเมินความเสี่ยงนั้นๆ ในการนี้คณะ กรรมการบริหารจะเป็นผู้พิจารณากําหนด เกณฑ์ประเมินระดับโอกาสและผลกระทบสําหรับความเสี่ยงนั้นๆ โดยเฉพาะต่อไป

     2. ระดับความเสี่ยง (Level of Risk) คือ ตัวชี้วัดที่ใช้ในการกําหนดความสําคัญของความเสี่ยง โดยค่าระดับความเสี่ยงได้จาก การนําโอกาสที่จะเกิดความเสี่ยงและผลกระทบของความเสี่ยงมาพิจารณาร่วมกัน ดังนี้

ระดับความเสี่ยง (R) = ระดับโอกาสที่จะเกิดความเสี่ยง (L) x ระดับผลกระทบที่เกิดขึน้(I)

     ระดับความเสี่ยงที่ได้จากการคํานวณตามสูตรข้างต้น หากมีค่าตํ่าหมายถึงความเสี่ยงอยู่ ในระดับตํ่า และหากมีค่าสูงขึ้นความเสี่ยงจะมีระดับสูงขึ้น โดยความหมายของแต่ละระดับความเสี่ยง

ความหมายของแต่ละระดับความเสี่ยง

ผังแสดงระดับความเสี่ยง (Risk Profile)

 

5.  การจัดการความเสี่ยง

     หลังจากประเมินความเสี่ยงในขั้นตอนที่4 และมีการจัดลําดับความสําคัญของความ เสี่ยงแล้ว จะมีการพิจารณากําหนดกลยุทธ์ในการจัดการความเสี่ยงโดยจะเลือกใช้กลยุทธ์ใดกลยุทธ์หนึ่ง หรือหลายกลยุทธ์รวมกันก็ได้เพื่อให้ระดับความเสี่ยงลดลงมาอยู่ในระดับที่ยอมรับได้ซึ่งกลยุทธ์ในการจัดการความเสี่ยงได้แก่

  1. การหลีกเลี่ยงความเสี่ยง (Terminate) เป็นการกําจัดความเสี่ยงออกไปหรือหลีกเลี่ยงความเสี่ยง เนื่องจากมีโอกาสเกิดขึ้นสูง และมีผลกระทบสูง เช่น เปลี่ยนเป้าหมาย การยกเลิกโครงการหรือแผนงาน การเปลี่ยนรูปแบบการดําเนิน โครงการ เป็นต้น
  2. การถ่ายโอนความเสี่ยง (Transfer) เป็นการลดโอกาสที่จะเกิดความเสี่ยง และ/หรือลดผลกระทบที่จะเกิดขึ้นจากความเสี่ยง โดยการถ่ายโอนหรือแบ่งภาระบางส่วนให้ผู้อื่นรับผิดชอบ เช่น การทําประกันภัย การโอนความรับผิดชอบ ไปยังผู้รับเหมา การโอนงานไปยังผู้รับสัมปทาน การจ้างเหมา (Outsourcing) เป็นต้น
  3. การควบคุมความเสี่ยง (Treat) เป็นการลดโอกาสของการเกิดความเสี่ยงและ/หรือผลกระทบที่จะเกิดขึ้นจากความเสี่ยงโดยปรับเปลี่ยนการทํางานหรือเตรียมแผนการต่างๆ รองรับ เช่น การปรับวิธีการทํางาน การกําหนด มาตรการติดตามตรวจสอบ การปรับโครงสร้าง การให้ความรู้แก่พนักงาน เป็นต้น
  4. การยอมรับความเสี่ยง (Take) เป็นการยอมรับความเสี่ยงที่จะเกิดขึ้น กลยุทธ์นี้จะไม่มีการดําเนินการใดเพื่อลดโอกาส หรือผลกระทบเนื่องจากระดับความเสี่ยงที่เหลืออยู่อยู่ในระดับตํ่า หรืออยู่ในระดับที่ยอมรับได้หรือมีค่าใช้จ่ายในการบริหารจัดการความเสี่ยงสูงกว่าผลลัพธ์ที่จะได้

     การตัดสินใจเลือกกลยุทธ์ในการบริหารจัดการความเสี่ยงจะต้องคํานึงถึงปัจจัยเสี่ยงซึ่งเป็น ต้นเหตุทําให้เกิดความเสี่ยง และต้นทุนหรือทรัพยากรที่ต้องใช้ในทางเลือกนั้นๆ เปรียบเทียบกับผลลัพธ์ที่ จะได้รับด้วยว่ามีความคุ้มค่าหรือไม่ที่จะเลือกกลยุทธ์นั้นๆเมื่อเลือกกลยุทธ์ในการจัดการความเสี่ยงที่ เหมาะสมได้แล้ว ส่วนงานที่เกี่ยวข้องกับความเสี่ยงนั้นๆ จะต้องจัดทําแผนบริหารความเสี่ยง เพื่อให้ สามารถติดตามและประเมินผลการจัดการความเสี่ยงได้การเลือกวิธีการบริหารจัดการความเสี่ยง สามารถเลือกวิธีการอย่างใดอย่างหนึ่งหรือหลายวิธีรวมกัน เพื่อให้ความเสี่ยงอยู่ในช่วงเบี่ยงเบนที่ยอมรับ ได้(Risk Tolerance) แผนบริหารความเสี่ยงมีองค์ประกอบดังนี้

  1. กลยุทธ์และวิธีดําเนินการ
  2. กําหนดส่วนงานผู้รับผิดชอบแผนบริหารความเสี่ยงนั้นๆ
  3. กำหนดแล้วเสร็จ

 

6.  กิจกรรมควบคุม

     กิจกรรมควบคุม หมายถึง นโยบายและวิธีการปฏิบัติงานที่กําหนดขึ้นเพื่อช่วยให้ฝ่ายบริหาร มั่นใจว่าได้มีการบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยกิจกรรมการควบคุมมีทั้งการควบคุม แบบป้องกัน ค้นพบและแก้ไข ซึ่งรวมถึง

  • การกําหนดนโยบายและวิธีปฏิบัติงาน เช่น การจัดทําคู่มือปฏิบัติงาน
  • การอนุมัติ/รับรอง/ให้ความเห็นชอบงาน
  • การสอบทานผลการปฏิบัติงาน
  • การรักษาความปลอดภัย/การเข้าถึงข้อมูล ระบบเทคโนโลยีสารสนเทศ
  • การแบ่งแยกหน้าที่ความรับผิดชอบงาน/การมอบหมายงาน

     บริษัท ได้มีการกําหนดกิจกรรมควบคุมอย่างชัดเจน โดยมีการจัดทํานโยบายและวิธีปฏิบัติงานบริหารความเสี่ยงตามคู่มือบริหารความเสี่ยง กําหนดผู้รับผิดชอบดําเนินการตามแผนบริหารความเสี่ยง โดยในการบริหารความเสี่ยงระดับปฏิบัติการ ผู้จัดการฝ่ายเป็นผู้พิจารณากําหนดผู้รับผิดชอบ ส่วนการบริหารความเสี่ยงในระดับองค์กร คณะกรรมการบริหารจะเป็นผู้กําหนดว่าส่วนงานใดควรเป็นผู้รับผิดชอบหลัก มีการกําหนดระยะเวลาดําเนินการแล้วเสร็จ และมีการรายงานผลการปฏิบัติตามแผนบริหารความเสี่ยงเพื่อเป็นการสอบทานเป็นระยะด้วย

 

7.   การติดตามและประเมินผล

     1. การติดตามผลการดําเนินงาน

     เมื่อมีการเปลี่ยนแปลงสภาพแวดล้อม วิธีการจัดการความเสี่ยงที่กําหนดไว้อาจจะไม่ เหมาะสม กิจกรรมควบคุมอาจมีประสิทธิภาพน้อยลง หรือเป้าหมายการดําเนินงานอาจมีการเปลี่ยน ดังนั้นจึงต้องมีการติดตามตรวจสอบว่าการบริหารความเสี่ยงในแต่ละขั้นตอนยังคงมีประสิทธิภาพอยู่ หรือไม่
     การติดตามตรวจสอบสามารถทําได้ 2 วิธีคือ ติดตามตรวจสอบระหว่างการปฏิบัติงาน(Ongoing Monitoring) และการประเมินผลเป็นช่วงๆ (Separate Evaluation)
     การติดตามตรวจสอบระหว่างการปฏิบัติงานเป็นการติดตามตรวจสอบอย่างต่อเนื่องในทุก ขั้นตอนของการบริหารความเสี่ยง ในขณะที่การประเมินผลเป็นช่วงๆ จะกระทําเป็นครั้งๆ ไปตามช่วงเวลาที่กําหนด ดังนั้นการติดตามตรวจสอบระหว่างการปฏิบัติงานจะมีประสิทธิภาพมากกว่า นอกจากนี้หากมี การตรวจสอบระหว่างการปฏิบัติงานมากเท่าไร การตรวจสอบในลักษณะการประเมินผลเป็นช่วงๆ ก็จะ น้อยลงเท่านั้น
     การติดตามตรวจสอบอาจใช้วิธีอย่างใดอย่างหนึ่งข้างต้นหรือทั้งสองวิธีก็ได้อย่างไรก็ตาม หากใช้วิธีการประเมินเป็นช่วงๆ จะต้องทําการประเมินผลการบริหารความเสี่ยงทุกๆ 6 เดือน เป็นอย่างน้อย
     ในการติดตามตรวจสอบจะใช้หลักการประเมินตนเอง (Self – Assessment) โดย ส่วนงานหลักที่รับผิดชอบบริหารจัดการความเสี่ยงใดส่วนงานนั้นจะเป็นผู้รับผิดชอบในการประเมินประสิทธิภาพการบริหารความเสี่ยงของตนเอง อย่างไรก็ตามสํานักตรวจสอบจะเป็นอีกส่วนงานหนึ่งที่จะทําการติดตามตรวจสอบตามหน้าที่ประจําของส่วนงานหรืออาจจะทําการตรวจสอบตามคําสั่งของคณะกรรมการตรวจสอบหรือคณะกรรมการบริษัท

     2. การรายงานผล

     ส่วนงานหลักที่รับผิดชอบบริหารจัดการความเสี่ยงมีหน้าที่รับผิดชอบในการรายงานผลการ บริหารความเสี่ยงระดับองค์กรให้คณะกรรมการบริหาร ได้ทราบทุกๆ 6 เดือน เป็นอย่างน้อย อย่างไรก็ตามหากมีความเสี่ยงที่มีนัยสําคัญเกิดขึ้น หรือการจัดการความเสี่ยงที่นํามาใช้ไม่มี ประสทธิภาพจะต้องรายงานให้คณะกรรมการบริหารทราบในทันที
     คณะกรรมการบริหารมีหน้าที่รับผิดชอบในการรายงานการบริหารความเสี่ยงในระดับองค์กรให้คณะกรรมการบริษัทได้ทราบทุกๆ 6 เดือน เป็นอย่างน้อย หรือเมื่อมีความเสี่ยงที่มีนัยสําคัญเกิดขึ้น

     3. การประเมินกรอบการบริหารความเสี่ยง (Framework Appraisal)

     ขั้นตอนและองค์ประกอบต่างๆ ในการบริหารความเสี่ยงดังกล่าวข้างต้น รวมทั้งคู่มือการ บริหารความเสี่ยงนี้จะต้องมีการประเมินความเหมาะสมและประสิทธิภาพในการบริหารจัดการความ เสี่ยงเป็นระยะๆ โดยการประเมินอาจจะดําเนินการในลักษณะของการประเมินตนเอง (Self – Appraisal) หรืออาจให้บุคคลภายนอกเป็นผู้ประเมิน (Independent Appraisal) ก็ได้

 

8.  สารสนเทศและการสื่อสาร (Information and Communication)

     สารสนเทศและการสื่อสาร หมายถึง การจัดให้มีการสื่อสารและระบบสารสนเทศความเสี่ยงที่ดีเพื่อให้มั่นใจว่าผู้บริหารและพนักงานทุกคนเข้าใจกระบวนการและบทบาทหน้าที่ความรับผิดชอบของตนเกี่ยวกับการบริหารความเสี่ยง ได้แก่
     1. คณะกรรมการและผู้บริหารระดับสูง มีการสื่อสารเกี่ยวกับนโยบายการบริหารความเสี่ยงและสถานะของความเสี่ยงให้พนักงานทุกคนเข้าใจและดําเนินการบริหารความเสี่ยงตามบทบาทหน้าที่
     2. จัดให้มีช่องทางในการสื่อสารสองทางที่มีประสิทธิภาพระหว่างผู้บริหารและพนักงาน
     3. มีการประสานงานระหว่างงานบริหารความเสี่ยงกับงานตรวจสอบเพื่อที่จะได้เกิดการแลกเปลี่ยนข้อมูลที่เป็นประโยชน์ระหว่างกัน
     4. มีการสื่อสารข้อมูลที่เกี่ยวข้องกับการบริหารความเสี่ยงทั้งจากภายในและภายนอกองค์กรผ่านระบบสารสนเทศและการสื่อสารภายในองค์กร เพื่อให้พนักงานได้รับทราบข้อมูลเกี่ยวกับการบริหารความเสี่ยง ตลอดจนสาระความรู้เกี่ยวกับการบริหารความเสี่ยงอย่างสมํ่าเสมอและทันต่อเหตุการณ์

     ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่ วันที่ 16 กรกฎาคม 2558 เป็นต้นไป