ระบบ ERM

Enterprise Risk Management Thailand เป็น Blog ที่จัดทำขึ้น เพื่อเผยแพร่ความรู้เกี่ยวกับการบริหารจัดการความเสี่ยงขององค์กร ตามมาตรฐานของ COSO หรือ Committee of Sponsoring Organizations of The Treadway Commission

นอกจากบทความต่างๆที่เกี่ยวกับการบริหารจัดการความเสี่ยง Blog นี้ยังได้เป็นการแสดงตัวอย่างเครื่องมือในการวิเคราะห์ บริหารจัดการและควบคุมความเสี่ยงภายในองค์กร ที่น่าจะเหมาะสมกับองค์กรที่มีขนาดไม่ใหญ่มาก  โดยเครื่องมือนี้เป็นการพ้ฒนาในรูปแบบของเว็ปแอพพลิเคชั่น ที่สะดวกต่อการเข้าใช้งาน และอีกทั้งยังสามารถทำให้ผู้ใช้งานได้รับข้อมูลที่ทันสมัย  ผู้ที่สนใจสามารถติดต่อเพื่อขอชื่อผู้ใช้งาน และรหัสเข้าใช้งานได้จากทางเจ้าหน้าที่ หรืออีเมล์ไปที่ผู้ดูแลระบบ 



การทำงานของระบบ ERM
เนื่องจากระบบนี้ได้ถูกออกแบบตามมาตรฐานการบริหารความเสี่ยง COSO  การทำงานของระบบจึงได้มีขั้นตอนคล้ายกับ 8 ขั้นตอนของ COSO คือ การกำหนดหรือวิเคราะห์สภาพแวดล้อมภายในองค์กร, การกำหนดวัตถุประสงค์, การบ่งชี้เหตุการณ์, การประเมินความเสี่ยง, การตอบสนองความเสี่ยง, การกำหนดกิจกรรมควบคุม, การเผยแพร่รายงาน สารสนเทศและการสื่อสาร และการติดตามประเมินผล  ซึ่งในทุกขั้นตอนนี้ระบบจะกำหนดให้ผู้ใช้งานปฏิบัติตามขั้นตอน  ในแต่ละขั้นจะเป็นการรับข้อมูลจากผู้ปฏิบัติงานในแต่ละหน่วยงาน ให้ระบบนำเข้ามาวิเคราะห์หาผลสรุปเป็นภาพรวมในระดับขององค์กร แล้วใช้เป็นฐานข้อมูลในการสร้างรายงานมาตรฐานให้กับองค์กรนั้นๆ 

ขั้นตอนที่ 1: การกำหนดหรือวิเคราะห์สภาพแวดล้อมภายในองค์กร
เป็นการระบุสภาพแวดล้อมภายในองค์กร ซึ่งในขั้นตอนนี้ระบบจะรับข้อมูลจากการที่ผู้ใช้งานตอบแบบสอบถาม แล้วระบบจะนำมาวิเคราะห์เพื่อแสดงออกเป็นรายงาน


ขั้นตอนที่ 2: การกำหนดวัตถุประสงค์
เป็นขั้นตอนที่ผู้ใช้งานจะต้องบันทึกแผนงาน หรือโครงการของหน่วยงาน และระบุวัตถุประสงค์ของแผนงานหรือโครงการ, ตัวชี้วัดระดับองค์กรที่สอดคล้องกับแผนงานหรือโครงการ, ระบุประเด็นยุทธ์ศาสตร์ที่แผนงานหรือโครงการนั้นๆสนับสนุน, กิจกรรมต่างๆ (เฉพาะกิจกรรมหลัก) ที่มีอยู่ภายใต้แต่ละแผนงานหรือโครงการ และวัตถุประสงค์ของการควบคุม ของแต่ละกิจกรรมหลักนั้นๆ


ขั้นตอนที่ 3: การบ่งชี้เหตุการณ์
เป็นการวิเคราะห์ความเสี่ยงสำหรับแต่ละกิจกรรมหลักที่ได้บันทึกไว้ เพื่อระบุปัจจัยเสี่ยง (Risk Factor), ผลกระทบที่มีนัยสำคัญ, ประเภทของความเสี่ยง และลักษณะความเสี่ยง


ขั้นตอนที่ 4: การประเมินความเสี่ยง
เป็นการระบุการควบคุมที่มีอยู่ แล้วประเมินว่าเพียงพอหรือไม่ เพื่อระบุปัจจัยเสี่ยงที่ยังคงมีอยู่ให้ทำการจัดการ โดยกำหนดค่าระดับของผลกระทบและโอกาสของความเสี่ยงนั้นๆ เพื่อให้ระบบคำนวณระดับความเสี่ยงตามค่ามาตรฐาน (อ้างอิงค่าจาก Risk Profile Matrix 5×5 โดยค่าที่ได้จะเป็นค่าตั้งแต่ 1 ถึง 25 โดยที่เลข 25 จะเป็นระดับความเสี่ยงที่สูงที่สุด)
เมื่อผ่านขั้นตอนที่ 4 นี้ ระบบจะทำการคัดกรองเอาเฉพาะกิจกรรมหลักที่มีระดับความเสี่ยงสูงกว่า “ต่ำ” (ตัวเลขตั้งแต่ 6 ขึ้นไป)  เพื่อนำไปวิเคราะห์ในขั้นตอนต่อๆไป สำหรับความเสี่ยงที่มีระดับความเสี่ยง “ต่ำ” ระบบจะเก็บไว้ แล้วจะแสดงในรายงานสรุปให้กับผู้ใช้งานทราบอีกครั้งหนึ่ง


ขั้นตอนที่ 5: การตอบสนองความเสี่ยง
เป็นขั้นตอนในการระบุวิธีการจัดการความเสี่ยง ซึ่งอ้างถึงมาตรฐานทางเลือกที่มีอยู่ คือ การหลีกเลี่ยง, การควบคุม, การยอมรับ และการถ่ายโอน แล้วทำการเลือกว่าการจัดการความเสี่ยงแบบใดเหมาะสมที่สุด เพื่อกำหนดแผนและผู้รับผิดชอบในการจัดการความเสี่ยง สำหรับกิจกรรมหลักนั้นๆ


ขั้นตอนที่ 6: การบันทึกกิจกรรมควบคุม
เป็นบันทึกรายละเอียดกิจกรรมในการควบคุม ตามหัวข้อที่เป็นมาตรฐานตามแนวทางของคู่มือการควบคุมความเสี่ยงของ สตง. โดยจะประกอบไปด้วย 7 หัวข้อ ดังนี้

  • การกำหนดนโยบายและระเบียบวิธีปฏิบัติงาน
  • การสอบทานโดยผู้บริหาร
  • การควบคุมการประมวลผลข้อมูล
  • การอนุมัติ
  • การดูแลป้องกันทรัพย์สิน
  • การแบ่งแยกหน้าที่
  • การจัดทำเอกสารหลักฐาน

ขั้นตอนที่ 7: การเผยแพร่รายงานผ่านระบบสารสนเทศและการสื่อสาร
เป็นการแสดงรายงานการบริหารจัดการความเสี่ยงของทั้งระดับหน่วยงาน และระดับองค์กร จากข้อมูลที่ระบบได้รับตั้งแต่ขั้นตอนที่ 1 ถึง 6 ซึ่งรายงานจะแบ่งออกได้เป็น 2 ส่วนหลัก คือ

  1. รายงานการควบคุมภายใน ที่ประกอบไปด้วยรายงานแบบปย.1 และ แบบ ปย.2 ตามมาตรฐานของสำนักงานตรวจเงินแผ่นดิน (สตง.) (แบบ ปย. 1:  รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน และ แบบ ปย. 2:  รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน)
  2. รายงานการจัดการความเสี่ยง สรุปความเสี่ยงและการจัดการในระดับของหน่วยงาน (รายงานแผนบริหารความเสี่ยงของหน่วยงานย่อย)

ขั้นตอนที่ 8: การติดตามประเมินผล
เป็นการบันทึกติดตามผล การทำกิจกรรมควบคุมความเสี่ยงที่ได้ทำแผนไว้ในขั้นตอนที่ 5 เพื่อเปรียบเทียบกับตัวชี้วัด โดยใส่รายละเอียดของการติดตามผล แล้วประเมินระดับความเสี่ยงที่คงเหลืออยู่ภายหลังจากที่ได้มีกิจกรรมควบคุม ว่าระดับความเสี่ยงคงเหลืออยู่ในระดับใด  ซึ่งผลที่ได้นี้ สามารถนำไปใช้เป็นข้อมูลพื้นฐานในการวิเคราะห์ในรอบต่อๆไปได้


ประโยชน์ของระบบ ERM
ระบบ ERM (Enterprise Risk Management) เป็นระบบที่ได้ถูกออกแบบตามหลักการ 8 ขั้นตอน ของการจัดการบริหารความเสี่ยงของ COSO  เพื่อให้องค์กรที่นำไปใช้งานได้ประโยชน์ดังนี้

  1. ระบบนี้สามารถเป็นเครื่องมือ เพื่อช่วยผู้บริหารในการประเมินความเพียงพอเหมาะสมของการควบคุม และทำให้มีการแก้ไขปัญหา ปรับปรุงการทำงานให้ดีขึ้น ซึ่งจะส่งผลให้งานของทั้งส่วนงานย่อย ฝ่ายงาน และสายการบังคับบัญชา บรรลุวัตถุประสงค์ได้อย่างมีประสิทธิภาพมากขึ้น
  2. ข้อมูลที่ได้รับจากระบบ เป็นข้อมูลรวมจากระดับปฏิบัติการที่มีอยู่ของหน่วยงานย่อยในองค์กร ซึ่งจะช่วยให้ค้นพบปัญหาที่เกิดขึ้นหรือมีแนวโน้มที่จะเกิดขึ้น ก่อนที่จะเกิดความเสียหาย ทำให้หน่วยงานสามารถวางแผนเพื่อจัดการแก้ไขได้
  3. การใช้งานระบบนี้ เป็นการเปิดโอกาสให้ผู้ปฏิบัติงานในทุกระดับ แสดงความเห็น ข้อเสนอแนะ และร่วมกันกำจัดอุปสรรค และข้อขัดข้องต่างๆ
  4. ขั้นตอนการทำงานของระบบ เป็นการนำเสนอแนวทางปฏิบัติตามกรอบของนโยบายองค์กร ทำให้พนักงานเข้าใจเป้าหมายขององค์กรที่ตนได้มีส่วนร่วม อีกทั้งช่วยสร้างบรรยากาศที่ดีของการทำงาน และการรับผิดชอบร่วมกันต่อผลสำเร็จขององค์กร
  5. ระบบมีแบบแผนขั้นตอนการดำเนินการที่ชัดเจน ในการกำหนดเป้าหมายขององค์กร, ตัวชี้วัดความสำเร็จ, การวิเคราะห์งานเพื่อระบุความเสี่ยง, ประเมินความเสี่ยง, การควบคุมความเสี่ยง และการติดตามความเสี่ยง โดยสามารถนำรายละเอียดดังกล่าวมาสร้างเป็นรายงานต่างๆได้
  6. จากการให้พนักงานมีส่วนร่วมในการให้ข้อมูล จะทำให้เกิดความเข้าใจ และการยอมรับจากผู้ปฏิบัติงานได้ดี มากกว่าการควบคุมสั่งการโดยผู้บริหารแต่ฝ่ายเดียว 

สมัครสมาชิก: บทความ (Atom)