Title Thumbnail & Hero Image: Source: technologyadvice.com, Access date: Aug.30, 2023.
การจัดการด้านความเสี่ยง ตอนที่ 201.
First revision: Aug.30, 2023
Last change: Feb.28, 2024
สืบค้น รวบรวม เรียบเรียง และปริวรรตโดย อภิรักษ์ กาญจนคงคา.
การจ่ายเงินดาวน์ความสำเร็จไว้ คือ ความเสี่ยง (Risk is a down payment for success.)
เจอใน Facebook เมื่อ 24 ตุลาคม 2566.
หน้าที่ 1
บริบทการจัดการความเสี่ยง (Risk Management in Context)
ในบล๊อกนี้มีไว้สำหรับทุกท่านที่ต้องการคำแนะนำที่ครอบคลุมเกี่ยวกับทฤษฎีและการประยุกต์ใช้การจัดการด้านความเสี่ยง โดยกำหนดบทนำแบบบูรณาการเกี่ยวกับการจัดการด้านความเสี่ยงในองค์กรภาครัฐและเอกชน การศึกษาบล๊อกนี้จะให้ข้อมูลเชิงลึกเกี่ยวกับโลกแห่งการจัดการด้านความเสี่ยงและอาจช่วยให้ผู้อ่านตัดสินใจว่าการจัดการด้านความเสี่ยงเป็นทางเลือกที่สำคัญในการเพิ่มรายได้สำหรับท่านหรือไม่.
บล๊อกนี้ข้าพเจ้าตั้งใจที่จะออกแบบมาเพื่อ ผู้อ่านจำนวนมากอาจต้องการใช้บล็อกนี้เพื่อทำความเข้าใจความเสี่ยงและการจัดการความเสี่ยงให้ดียิ่งขึ้นได้ไม่มากก็น้อย. และตอบสนองความรับผิดชอบหลักของงานของตนด้วยความเข้าใจที่เพิ่มขึ้นเกี่ยวกับความเสี่ยง.
ซึ่งเราทุกคนต้องเผชิญกับความเสี่ยงในชีวิตประจำวัน ความเสี่ยงเกิดขึ้นจากกิจกรรมส่วนบุคคลและรวมถึงที่เกี่ยวข้องกับสุขภาพ การตัดสินใจทางการเงินส่วนบุคคล และปัญหาภายในประเทศและความสัมพันธ์ แต่สิ่งเหล่านี้อาจอยู่นอกขอบเขตของการวิเคราะห์วิพากษ์วิจารณ์ ข้อมูลในบล๊อกนี้เกี่ยวข้องกับความเสี่ยงที่เกิดขึ้นจากธุรกิจ รัฐบาล หรือกิจกรรมการกุศลเป็นหลัก และเกี่ยวข้องกับความเสี่ยงในรูปแบบที่กว้างที่สุด ที่จะเปิดรับโอกาสที่มาพร้อมกับ 'การกล้าเสี่ยง - taking a risk'.
ลักษณะของความเสี่ยง (Nature of risk)
เหตุการณ์ล่าสุดได้นำความเสี่ยงมาสู่สภาวการณ์ที่สูงขึ้น การแพร่ระบาดของโควิด-19 เหตุการณ์สภาพอากาศสุดขั้ว และการเปลี่ยนแปลงทางภูมิศาสตร์การเมือง แสดงถึงความเสี่ยงร้ายแรงที่สังคมและการพาณิชย์ต้องเผชิญ สิ่งเหล่านี้เป็นความเสี่ยงร้ายแรงที่สังคมและธุรกิจการค้าต้องเผชิญ ความเสี่ยงขั้นรุนแรงเหล่านี้มีอยู่นอกเหนือจากความเสี่ยงทั่วไปรายวันที่มากกว่าที่กล่าวไว้ข้างต้น.
การประเมินขอบเขตของการตอบสนองความเสี่ยงที่มีอยู่และการตัดสินใจเลือกสิ่งที่เหมาะสมที่สุดในแต่ละกรณีถือเป็นหัวใจสำคัญของการบริหารความเสี่ยง การตอบสนองต่อความเสี่ยงควรสร้างผลประโยชน์ให้กับเราในฐานะปัจเจกบุคคล เช่นเดียวกับองค์กรที่เราทำงานและ/หรือทำงานอยู่.
ภายในชีวิตส่วนตัวและในบ้านของเรา การตอบสนองต่อความเสี่ยงหลายอย่างเกิดขึ้นโดยอัตโนมัติ วิธีการของเราในการหลีกเลี่ยงอุบัติเหตุไฟไหม้และอุบัติเหตุทางถนนนั้นยึดตามการตอบสนองอัตโนมัติที่เป็นที่ยอมรับและเป็นที่ยอมรับ ไฟไหม้และอุบัติเหตุเป็นประเภทของความเสี่ยงที่อาจส่งผลเสียเท่านั้น และมักเรียกว่าความเสี่ยงจากอันตราย.
การดูแลรถของท่านให้อยู่ในสภาพทางกลไกที่ดีจะช่วยลดโอกาสที่จะเกิดอุบัติเหตุได้ อย่างไรก็ตาม แม้แต่ยานพาหนะที่ได้รับการบำรุงรักษาและบำรุงรักษาอย่างครบครันก็ยังอาจพังได้เป็นบางครั้ง ความเสี่ยงประเภทนี้ที่มีความไม่แน่นอนในระดับสูงมักเรียกว่าความเสี่ยงด้านการควบคุม (control risk).
เราทุกคนจำเป็นต้องปฏิบัติตามกฎและข้อบังคับเพื่อนำความสงบเรียบร้อยมาสู่สังคม และการไม่ปฏิบัติตามอาจส่งผลเสียได้เท่านั้น สำหรับธุรกิจ การบรรลุการปฏิบัติตามกฎระเบียบมักเป็นสิ่งที่จำเป็น แต่อาจเป็นประโยชน์และแสดงถึงผลประโยชน์เพิ่มเติมในธุรกิจของตน ซึ่งแสดงถึง 'ข้อดีของความเสี่ยง - upside of risk'
หน้าที่ 2
เช่นเดียวกับความเสี่ยงด้านอันตราย การควบคุม และการปฏิบัติตามกฎระเบียบ ยังมีความเสี่ยงที่เรารับเนื่องจากเราต้องการ (และอาจคาดหวัง) ผลตอบแทนที่เป็นบวก ตัวอย่างเช่น คุณลงทุนเงินโดยคาดหวังว่าคุณจะทำกำไรจากการลงทุนนั้น ในทำนองเดียวกัน การวางเดิมพันหรือการพนันกับผลของการแข่งขันกีฬาจะดำเนินการโดยคาดหวังที่จะได้รับผลตอบแทนที่เป็นบวก ผู้คนเข้าร่วมในกีฬาแข่งรถและกิจกรรมยามว่างอื่น ๆ ที่อาจเป็นอันตรายโดยไม่จำเป็น ในสถานการณ์เหล่านี้ ผลตอบแทนอาจไม่ใช่ทางการเงิน แต่สามารถวัดได้ในแง่ของความภาคภูมิใจ ความนับถือตนเอง หรือความเคารพต่อกลุ่มเพื่อน การดำเนินกิจกรรมที่เกี่ยวข้องกับความเสี่ยงประเภทนี้ซึ่งคาดว่าจะได้รับผลตอบแทนที่เป็นบวก สามารถเรียกได้ว่าเป็นการเสี่ยงต่อโอกาส (opportunity risk).
การจัดการด้านความเสี่ยง (Risk management)
องค์กรต่าง ๆ ต้องเผชิญกับความเสี่ยงที่หลากหลายซึ่งอาจส่งผลกระทบต่อผลการดำเนินงาน เป้าหมายโดยรวมที่ต้องการอาจระบุได้ว่าเป็นภารกิจหรือชุดวัตถุประสงค์ขององค์กร เหตุการณ์ที่อาจส่งผลกระทบต่อองค์กรอาจขัดขวางสิ่งที่ต้องการบรรลุผล (ความเสี่ยงจากอันตราย - hazard risk) เพิ่มเป้าหมายนั้น (ความเสี่ยงด้านโอกาส - opportunity risk) หรือสร้างความไม่แน่นอนเกี่ยวกับผลลัพธ์ (ความเสี่ยงในการควบคุม - control risk).
การจัดการความเสี่ยงจำเป็นต้องนำเสนอแนวทางบูรณาการในการประเมิน ควบคุม และติดตามความเสี่ยงทั้งสามประเภทนี้ ในบล๊อกนี้จะตรวจสอบองค์ประกอบสำคัญของการบริหารความเสี่ยงและวิธีการนำไปใช้ มีตัวอย่างที่แสดงให้เห็นถึงประโยชน์ของการบริหารความเสี่ยงต่อองค์กรทั้งภาครัฐและเอกชน การบริหารความเสี่ยงยังมีส่วนสำคัญในความสำเร็จขององค์กรที่ไม่แสวงหาผลกำไร เช่น องค์กรการกุศล และ (ตัวอย่าง) สโมสร และองค์กรสมาชิกอื่น ๆ .
กระบวนการบริหารความเสี่ยงได้รับการยอมรับอย่างดี แม้ว่าจะมีการนำเสนอในหลายวิธีและมักจะใช้คำศัพท์ที่แตกต่างกัน คำศัพท์ต่าง ๆ ที่ใช้โดยผู้ปฏิบัติงานด้านการบริหารความเสี่ยงและในภาคธุรกิจต่าง ๆ นอกเหนือจากคำอธิบายของมาตรฐานการบริหารความเสี่ยงที่กำหนดไว้แล้ว ยังมีการนำเสนอคำอธิบายที่เรียบง่ายของการบริหารความเสี่ยงซึ่งกำหนดขั้นตอนสำคัญในกระบวนการบริหารความเสี่ยงเพื่อช่วยให้เกิดความเข้าใจ กระบวนการบริหารความเสี่ยงไม่สามารถแยกออกจากกันได้ จะต้องได้รับการสนับสนุนจากกรอบการทำงานภายในองค์กร อีกครั้งหนึ่งที่มีการนำเสนอและอธิบายกรอบการบริหารความเสี่ยงในรูปแบบที่แตกต่างกันในช่วงของมาตรฐาน คู่มือ และสิ่งพิมพ์อื่น ๆ ที่มีอยู่ ในทุกกรณี องค์ประกอบสำคัญของกรอบการบริหารความเสี่ยงที่ประสบความสำเร็จคือโครงสร้างการสื่อสารและการรายงาน (สถาปัตยกรรม) กลยุทธ์การบริหารความเสี่ยงโดยรวมที่กำหนดโดยองค์กร (กลยุทธ์) และชุดแนวทางและขั้นตอนปฏิบัติ (โปรโตคอล) ที่มี ได้รับการจัดตั้งขึ้น ความสำคัญของสถาปัตยกรรมความเสี่ยง กลยุทธ์ และโปรโตคอล (แบบพิธี) (Risk Architecture, Strategy, and Protocols - RASP) มีการอภิปรายโดยละเอียดในบล๊อกนี้.
การผสมผสานกระบวนการบริหารความเสี่ยง พร้อมด้วยคำอธิบายกรอบการทำงานที่ใช้สนับสนุนกระบวนการ ถือเป็นมาตรฐานการบริหารความเสี่ยง มีมาตรฐานการจัดการความเสี่ยงอยู่หลายประการ รวมถึงมาตรฐาน IRM และ British Standard BS 31100:2011 นอกจากนี้ยังมีคิวบ์การบริหารความเสี่ยงระดับองค์กร (ERM) ของ American COSO มาตรฐานการบริหารความเสี่ยงที่มีอยู่ที่โดดเด่นที่สุดคือมาตรฐานสากล ISO 31000 ซึ่งเผยแพร่ครั้งแรกในปี 2009 และปรับปรุงในปี 2018 ข้อมูลเพิ่มเติมเกี่ยวกับมาตรฐานที่มีอยู่และคู่มือเผยแพร่อื่น ๆ มีระบุไว้ในบทที่ 4 (มาตรฐานการจัดการความเสี่ยง - Risk management standard) ที่จะได้กล่าวต่อไป นอกจากนี้ ข้อมูลอ้างอิงยังรวมอยู่ในแต่ละส่วนของบล๊อกนี้เพื่อให้เป็นเนื้อหาเพิ่มเติมเพื่อให้ผู้อ่านได้รับคำแนะนำที่ครอบคลุมเกี่ยวกับเรื่องความเสี่ยง การจัดการ. มีการใช้คำย่อและคำย่อตลอดทั้งหมดเพื่อช่วยในการเรียนรู้และทำความเข้าใจ รายการคำย่อและตัวย่อทั้งหมดรวมอยู่ในภาคผนวก A (ซึ่งจะมีการพัฒนาต่อไป).
หน้าที่ 3
คำศัพท์การจัดการด้านความเสี่ยง (Risk management terminology)
หนังสือหรือวารสารที่เกี่ยวกับการจัดการด้านความเสี่ยงส่วนใหญ่อ้างถึงประโยชน์ของการมีภาษาสากลเกี่ยวกับความเสี่ยงภายในองค์กร องค์กรหลายแห่งจัดการเพื่อให้บรรลุภาษากลางและความเข้าใจร่วมกันเกี่ยวกับกระบวนการและระเบียบการจัดการด้านความเสี่ยงอย่างน้อยก็ภายในองค์กร อย่างไรก็ตาม โดยปกติแล้วภายในภาคธุรกิจ และบางครั้งแม้แต่ภายในแต่ละองค์กร การพัฒนาภาษาทั่วไปเกี่ยวกับความเสี่ยงอาจเป็นเรื่องท้าทายมาก.
เอกสารอ้างอิงและเอกสารสนับสนุนใช้คำศัพท์ที่หลากหลาย แนวทางที่แตกต่างกันในการจัดการด้านความเสี่ยง มาตรฐานการจัดการด้านความเสี่ยงที่แตกต่างกันที่มีอยู่ และเอกสารคำแนะนำที่หลากหลายที่มีอยู่ มักใช้คำที่แตกต่างกันสำหรับคุณลักษณะหรือแนวคิดเดียวกัน สิ่งนี้เป็นเรื่องน่าเสียใจและอาจทำให้สับสนมาก แต่ก็หลีกเลี่ยงไม่ได้ มีการพยายามพัฒนาภาษาที่เป็นมาตรฐานสำหรับความเสี่ยง และคู่มือ ISO73 ได้รับการพัฒนาให้เป็นคำศัพท์ทั่วไปที่ควรใช้ในมาตรฐาน ISO ทั้งหมด คำศัพท์เฉพาะทางที่กำหนดไว้ใน ISO Guide 73.
มีการนำไปใช้ตลอดทั้งในบล๊อกนี้ ที่เป็นชุดคำจำกัดความเริ่มต้นในทุกที่ที่เป็นไปได้ อย่างไรก็ตาม การใช้คำศัพท์มาตรฐานไม่สามารถทำได้เสมอไป และอาจจำเป็นต้องมีคำจำกัดความอื่น อันที่จริง ISO เองยังเผยแพร่คู่มือคำศัพท์ ISO/IEC Guide 51:2014 ในหัวข้อ Safety Aspects: Guidelines for their integrated in Standard และคำจำกัดความสำหรับแนวคิดเดียวกันจะรวมอยู่ในบทที่เกี่ยวข้องของบล๊อก และตารางเหล่านี้คือ อ้างอิงโยงในภาคผนวก B (ซึ่งจะมีการพัฒนาต่อไป).
คุณประโยชน์ของการจัดการด้านความเสี่ยง (Benefits of risk management)
มีสาเหตุหลายประการที่องค์กรดำเนินกิจกรรมการจัดการด้านความเสี่ยง ในบล็อกนี้สรุปเหตุผลเหล่านี้ว่าเป็นกระบวนการที่ใช้บังคับ การรับประกัน การตัดสินใจ และเป็นกระบวนการหลักที่มีประสิทธิผลและประสิทธิภาพ (Mandatory, assurance, decision-making, and effective and efficient core processes - MADE2) กระบวนการภาคบังคับนี้ หมายถึง กิจกรรมการจัดการด้านความเสี่ยงเพื่อให้แน่ใจว่าองค์กรได้ปฏิบัติตามภาระผูกพันทางกฎหมายและข้อบังคับและข้อกำหนดของลูกค้าหรือลูกค้า ในบทต่อ ๆ ไป จะแจกแจงรายละเอียดว่าการจัดการด้านความเสี่ยงนั้นเพิ่มมูลค่าให้กับองค์กรได้อย่างไร.
คณะกรรมการขององค์กรจะต้องมีการรับประกันว่ามีการระบุความเสี่ยงที่สำคัญและมีการควบคุมที่เหมาะสม เพื่อให้มั่นใจว่ามีการตัดสินใจทางธุรกิจที่ถูกต้อง องค์กรควรดำเนินกิจกรรมการจัดการด้านความเสี่ยงที่ให้ข้อมูลที่มีโครงสร้างเพิ่มเติมเพื่อช่วยในการตัดสินใจทางธุรกิจ.
สุดท้ายนี้ ประโยชน์ที่สำคัญของการจัดการด้านความเสี่ยงคือ การเพิ่มประสิทธิภาพและประสิทธิผลของการดำเนินงานภายในองค์กร. นอกจากนี้ยังควรช่วยให้แน่ใจว่ากระบวนการทางธุรกิจ (รวมถึงการปรับปรุงกระบวนการผ่านกลยุทธ์ โครงการ และการริเริ่มการเปลี่ยนแปลงอื่น ๆ ) มีประสิทธิผลและมีประสิทธิภาพ.
ข้อมูลการจัดการด้านความเสี่ยงจำเป็นต่อการตัดสินใจเชิงกลยุทธ์ แต่กระนั้นก็ยังเกี่ยวข้องกับการส่งมอบโครงการและแผนงานที่มีประสิทธิผล ตลอดจนที่เกี่ยวข้องกับการปฏิบัติงานประจำขององค์กร. ประโยชน์ของการจัดการด้านความเสี่ยงสามารถระบุได้โดยสัมพันธ์กับกิจกรรมทั้งสามช่วงเวลาภายในองค์กร ผลลัพธ์จากกิจกรรมการจัดการด้านความเสี่ยงจะเป็นประโยชน์ต่อองค์กรใน 3 ช่วงเวลา และช่วยให้มั่นใจว่าองค์กรบรรลุกลยุทธ์ ยุทธวิธี และการปฏิบัติการที่มีประสิทธิผลและประสิทธิภาพ กลยุทธ์ ยุทธวิธี และการปฏิบัติการ.
กลยุทธ์ ยุทธวิธี และการปฏิบัติการ ต่างได้รับการสนับสนุนจากความจำเป็นในการบรรลุการปฏิบัติตามกฎระเบียบ. กระบวนการและกิจกรรมหลักด้านกลยุทธ์ ยุทธวิธี และการปฏิบัติการและการปฏิบัติตามกฎระเบียบ (Strategy, tactics, and operations and compliance - STOC) ครอบคลุมกระบวนการทั้งหมดขององค์กร. กระบวนการเหล่านี้เป็นกระบวนการหลักขององค์กร และการวิเคราะห์กระบวนการหลักได้ให้แนวทางที่ครอบคลุมในการจัดการด้านความเสี่ยงที่ใช้ในหลายส่วนของบล็อกนี้.
เพื่อให้บรรลุผลสำเร็จในการมีส่วนร่วมในการจัดการด้านความเสี่ยง จะต้องระบุผลประโยชน์ที่ตั้งใจไว้ของโครงการที่ได้ริเริ่มไว้ของการจัดการความเสี่ยงใด ๆ . หากไม่มีการระบุผลประโยชน์เหล่านั้น ก็จะไม่มีวิธีประเมินว่าโครงการที่ได้ริเริ่มไว้ การจัดการด้านความเสี่ยงประสบความสำเร็จหรือไม่. ดังนั้นการจัดการด้านความเสี่ยงที่ดีจึงต้องมีผลลัพธ์/ผลประโยชน์ที่ต้องการชัดเจน. ควรให้ความสนใจอย่างเหมาะสมในแต่ละขั้นตอนของกระบวนการจัดการด้านความเสี่ยง เช่นเดียวกับรายละเอียดของการออกแบบ การนำไปปฏิบัติ และการติดตามกรอบการทำงานที่สนับสนุนกิจกรรมการจัดการด้านความเสี่ยงเหล่านี้.
หน้าที่ 4
คุณสมบัติ/ลักษณะเด่นของการจัดการด้านความเสี่ยง (Features of risk management)
ความล้มเหลวในการจัดการความเสี่ยงที่องค์กรเผชิญอยู่อย่างเพียงพออยู่นี้ อาจเกิดจากการรับรู้ความเสี่ยงไม่เพียงพอ การวิเคราะห์ความเสี่ยงที่สำคัญนั้นก็ไม่เพียงพอ และความล้มเหลวในการระบุกิจกรรมตอบสนองต่อความเสี่ยงที่เหมาะสม. นอกจากนี้ ความล้มเหลวในการกำหนดกลยุทธ์การจัดการด้านความเสี่ยงและการสื่อสารกลยุทธ์นั้น และความรับผิดชอบที่เกี่ยวข้องอาจส่งผลให้มีการจัดการด้านความเสี่ยงไม่เพียงพอ. อาจเป็นไปได้ว่าขั้นตอนการจัดการความเสี่ยงหรือเกณฑ์วิธีอาจมีข้อบกพร่อง. ดังนั้นขั้นตอนการทำงานหรือโปรโตคอล (protocol - แบบพิธี) เหล่านี้อาจไม่สามารถให้ผลลัพธ์ที่ต้องการได้จริง.
ผลที่ตามมาจากความล้มเหลวในการจัดการด้านความเสี่ยงอย่างเพียงพอ อาจเป็นหายนะและอาจส่งผลให้การดำเนินงานไม่มีประสิทธิผลและ/หรือไม่มีประสิทธิภาพได้ โครงการที่ไม่แล้วเสร็จตรงเวลา และกลยุทธ์ที่ไม่ได้ส่งมอบ หรือไม่ถูกต้องตั้งแต่แรก. จุดเด่นของการจัดการด้านความเสี่ยงที่ประสบความสำเร็จได้รับการพิจารณาในบล็อกนี้. เพื่อให้ประสบความสำเร็จ โครงการที่ได้ริเริ่มขึ้นของการจัดการด้านความเสี่ยง ควรมีสัดส่วน สอดคล้อง ครอบคลุม ฝังตัว และเป็นแบบพลวัต (proportionate, aligned, comprehensive, embeded and dynamic - PACED) ที่เหมาะสม.
สัดส่วนหมายถึงความพยายามในการจัดการด้านความเสี่ยงควรเหมาะสมกับระดับความเสี่ยงที่องค์กรเผชิญ. กิจกรรมการจัดการด้านความเสี่ยงควรสอดคล้องกับกิจกรรมอื่นภายในองค์กร. กิจกรรมต่าง ๆ จะต้องมีความครอบคลุม เพื่อให้ความคิดริเริ่มในการจัดการด้านความเสี่ยงครอบคลุมทุกด้านขององค์กรและความเสี่ยงทั้งหมดที่องค์กรเผชิญ. วิธีการฝังกิจกรรมการจัดการด้านความเสี่ยงภายในองค์กรจะกล่าวถึงในบล็อกนี้. สุดท้ายนี้ กิจกรรมการจัดการด้านความเสี่ยงควรเป็นแบบพลวัต (ไดนามิก-dynamic) และตอบสนองต่อสภาพแวดล้อมทางธุรกิจที่เปลี่ยนแปลงไปซึ่งองค์กรต้องเผชิญ.
เช่นเดียวกับกิจกรรมและกระบวนการการจัดการทั้งหมดในองค์กร การจัดการด้านความเสี่ยงจำเป็นต้องได้รับการปรับเปลี่ยนและแก้ไขให้สอดคล้องกับกระบวนการหลักและวัฒนธรรมองค์กร. ในส่วนที่เกี่ยวข้องกับการจัดการด้านความเสี่ยง องค์กรจะต้องตอบสนองโดยเฉพาะต่อภาระผูกพันตามกฎหมายและข้อกำหนดของหน่วยงานกำกับดูแล. เมื่อได้รับความพึงพอใจแล้ว องค์กรส่วนใหญ่สามารถทำงานได้บนพื้นฐานว่างานใดก็ตามภายในองค์กรที่มอบผลประโยชน์ ผลลัพธ์ และผลลัพธ์ที่ต้องการนั้นเป็นแนวทางที่ถูกต้องและเหมาะสมสำหรับการจัดการความเสี่ยงระดับองค์กร (Enterprise risk management - ERM) สำหรับองค์กรนั้น.
หน้าที่ 5
การจัดการด้านความเสี่ยงในทางปฏิบัติ (Risk management in practice)
การแพร่ระบาดของไวรัสโควิด-19 สร้างความหายนะให้กับผู้ที่สูญเสีย ผู้ที่เป็นที่รัก. ความคลาดเคลื่อนทางเศรษฐกิจที่เกิดขึ้น ได้เผยให้เห็นจุดอ่อนในระบบ แต่ยังบังคับให้เราต้องแสดงความยืดหยุ่นและเร่งแนวโน้มการใช้เทคโนโลยีในกิจกรรมประจำวัน. ความจำเป็นในการปรากฏตัวทางกายภาพลดลงเนื่องจากมีการโยกย้ายกิจกรรมทางออนไลน์มากขึ้น. ภาคส่วนต่าง ๆ เช่น การท่องเที่ยวและการขนส่งได้รับความเดือดร้อน แต่ภาคส่วนอื่น ๆ โดยเฉพาะในภาคเทคโนโลยี กลับได้รับผลตอบแทนกลับมา. ประสิทธิภาพได้รับการเปิดเผยในการดำเนินธุรกิจของเรา ไม่ว่าจะเป็นเชิงพาณิชย์หรืออย่างอื่น ซึ่งเป็นเรื่องยากที่จะปฏิเสธในอนาคต.
อย่างไรก็ตาม โลกแห่งการทำงานเปลี่ยนแปลงไปในอนาคต ปฏิเสธไม่ได้ว่าจะมีการใช้เทคโนโลยีมากขึ้น ตลอดจนการสร้างและวิเคราะห์ข้อมูลมากขึ้นเรื่อย ๆ . แนวโน้มการจัดการข้อมูลนี้จะช่วยสังคมในขณะที่สังคมเปลี่ยนไปสู่ระบบคาร์บอนเป็นกลาง (a carbon-neutral) และยั่งยืน (sustainable) มากขึ้นเพื่อรับมือกับผลกระทบของการเปลี่ยนแปลงสภาพภูมิอากาศ. แรงผลักดันทั้งสองนี้ได้รับการพิจารณาตลอดทั้งบล็อก โดยรู้สึกว่าจะมีผลกระทบเฉพาะเจาะจง.
การบรรลุผลประโยชน์จากการจัดการด้านความเสี่ยงจำเป็นต้องมีการวางแผนอย่างรอบคอบของกระบวนการจัดการด้านความเสี่ยงในองค์กร ตลอดจนการออกแบบและฝังกรอบการบริหารความเสี่ยงที่เหมาะสมและเพียงพอให้ประสบความสำเร็จ. บล็อกนี้ให้คำอธิบายเกี่ยวกับองค์ประกอบพื้นฐานของการจัดการด้านความเสี่ยงทางธุรกิจ/องค์กรที่ประสบความสำเร็จ ด้วยการกำหนดแนวทางบูรณาการในการจัดการด้านความเสี่ยง โดยจะอธิบายเครื่องมือและเทคนิคการจัดการด้านความเสี่ยงมากมาย และให้ข้อมูลเกี่ยวกับการส่งมอบแนวทางการจัดการด้านความเสี่ยงแบบบูรณาการและทั่วทั้งองค์กรที่ประสบความสำเร็จ.
อนาคตของการจัดการด้านความเสี่ยง (Future for risk management)
การจัดการด้านความเสี่ยงมีการเปลี่ยนแปลงอย่างรวดเร็ว ทั้งในแง่ของเครื่องมือและเทคนิคที่ใช้และโครงสร้างการกำกับดูแลที่ถูกนำมาใช้เพื่อให้แน่ใจว่าการจัดการด้านความเสี่ยงนั้นจะประสบความสำเร็จ. องค์กรต่าง ๆ จะคำนึงถึงต้นทุนอยู่เสมอ (Cost-conscious) แต่กฎระเบียบที่เพิ่มขึ้นยังนำมาซึ่งความจำเป็นในการมุ่งเน้นไปที่การกำกับดูแล ความเสี่ยง และการปฏิบัติตามกฎระเบียบ (Governance, risk and compliance-GRC). GRC แสดงถึงแนวทางที่ได้รับการออกแบบให้มีประสิทธิผลและคุ้มค่าในแง่ของผลลัพธ์ที่บรรลุผล.
เนื่องจากหลายองค์กรเปลี่ยนแปลงเพื่อแสวงหาผลประโยชน์และปรับตัวเข้ากับยุคดิจิทัลใหม่ ความเสี่ยงที่เกิดขึ้นจึงมีความสำคัญมากขึ้นอย่างที่ไม่เคยมีมาก่อน. สำหรับหลายองค์กร ถือเป็นความท้าทายในการรักษาความเสี่ยงให้อยู่ในขีดความสามารถความเสี่ยงขององค์กร เหตุการณ์ที่อาจเกิดขึ้นซึ่งอาจสร้างความเสียหายให้กับองค์กรได้. ในสถานการณ์เช่นนี้องค์กร ในสถานการณ์เหล่านี้ องค์กรต่าง ๆ จำเป็นต้องให้ความสำคัญกับการวิเคราะห์ตัวกระตุ้นที่อาจส่งผลให้เกิดความเสี่ยงที่สำคัญมากขึ้น รวมถึงการพัฒนาแผนงานโดยละเอียดเพื่อจัดการกับวิกฤตใด ๆ ที่เกิดขึ้น.
จากการศึกษาในบล็อกนี้ ผู้ศึกษาจะเห็นว่าการจัดการด้านความเสี่ยงได้สร้างองค์ความรู้ พัฒนาชุดทักษะที่ครอบคลุม และจัดตั้งหน่วยงานด้านการศึกษาและการฝึกอบรมที่สามารถประเมินทั้งสองอย่างและรับรองความสามารถผ่านทางสถาบันจัดการด้านความเสี่ยง. ทั้งหมดนี้ชี้ให้เห็นถึงการจัดการด้านความเสี่ยงที่ก้าวไปสู่สถานะทางวิชาชีพ. ผู้จัดการความเสี่ยงในอนาคตจะต้องเข้าใจพื้นฐานที่อธิบายไว้ในบล็อกนี้อย่างมั่นคง แต่จะพบว่าอาชีพนี้ยังเป็นเพียงอาชีพใหม่ที่มีขอบเขตในการพัฒนาวิธีจัดการความเสี่ยงให้ดียิ่งขึ้น พวกเขาจะพบว่ามีพื้นที่ในการพัฒนาการใช้การวิเคราะห์ดิจิทัลเพื่อใช้ประโยชน์จากโอกาสได้ดีขึ้น และใช้เทคนิคการจัดการด้านความเสี่ยงเพื่อเพิ่มโอกาสในการประสบความสำเร็จ.
หน้าที่ 6
01 ความเสี่ยงคืออะไร และเหตุใดจึงมีความสำคัญ (What risk is, and why it is important)
อะไรก็ตามที่เราพิจารณาว่าเป็น 'ความเสี่ยง' กำลังเปลี่ยนแปลงไปในยุคดิจิทัล องค์กรต่าง ๆ เช่น รัฐบาล หน่วยงานท้องถิ่นและด้านสุขภาพ ผู้ผลิตและผู้ให้บริการ นักการเงิน และอาชญากร ต่างใช้คอมพิวเตอร์และประมวลผลข้อมูลจำนวนมหาศาลในรูปแบบดิจิทัล เกือบครึ่งหนึ่งของครัวเรือนทั้งหมดทั่วโลกมีคอมพิวเตอร์ที่บ้าน และแม้ว่าจะมีการประมาณการว่าหนึ่งในสามของครัวเรือนในประเทศกำลังพัฒนา แต่ก็ไม่สามารถประเมินผลกระทบต่อชีวิตประจำวันและกิจกรรมต่าง ๆ ต่ำเกินไปได้. เนื่องจากกิจกรรมในแต่ละวันของเรากำลังเปลี่ยนแปลง ทัศนคติของเราต่อความเสี่ยงก็ควรเปลี่ยนแปลงเช่นกัน Mark Zuckerberg กล่าวอย่างโด่งดังว่า ' ในโลกที่เปลี่ยนแปลงอย่างรวดเร็ว กลยุทธ์เดียวที่รับประกันว่าจะล้มเหลวคือการไม่เสี่ยง' ในบล็อกนี้ กระบวนการในการจัดการด้านความเสี่ยงที่พัฒนาขึ้นในช่วงศตวรรษที่ผ่านมาจะถูกสรุปโดยคำนึงถึงการเปลี่ยนแปลงและการหยุดชะงักที่เกิดขึ้น เกี่ยวกับการพึ่งพาคอมพิวเตอร์และการวิเคราะห์ข้อมูลที่เพิ่มขึ้น.
คำจำกัดความของความเสี่ยง (Definitions of risk)
ความเสี่ยงมักถูกมองว่าเป็นสิ่งที่ไม่พึงประสงค์: พจนานุกรมภาษาอังกฤษของ Oxford ให้คำจำกัดความความเสี่ยงในแง่ของอันตราย ภยันตราย ความสูญเสีย หรือผลที่ตามมา. หากเราย้อนเวลากลับไปเพื่อค้นหาที่มาของคำว่า 'อันตราย (Hazard)' คำนี้อาจมาจากคำภาษาอาหรับที่แปลว่าลูกเต๋า (al-zahr) และกลายเป็นเรื่องปกติในยุโรปในศตวรรษที่ 12 เมื่อพูดถึงเกมแห่งโอกาสหรือการขว้างลูกเต๋า. ในแง่นี้ ความเสี่ยงหมายถึงโอกาสในการได้รับและภัยคุกคาม.
มีการอภิปรายทางวิชาการอย่างกว้างขวางเกี่ยวกับแนวคิดเรื่องความเสี่ยงและความไม่แน่นอน. ในปี 1985 เพอร์รีและเฮย์ส (Perry and Hayes) ได้สร้างความแตกต่างระหว่างแนวคิดทั้งสองด้วยการวัด โดยที่ 'ความเสี่ยงคือความไม่แน่นอนที่วัดได้ ในขณะที่ความไม่แน่นอนนั้นเป็นความเสี่ยงที่วัดไม่ได้ - risk is a measurable uncertainty, while uncertainty is an un-measurable risk.' ฟลานาแกนและนอร์แมน (Flanagan and Norman) ได้จัดทำวิธีมองอีกวิธีหนึ่งในปี 1993 โดยระบุว่า 'ความไม่แน่นอน - Uncertainty' คือ 'สถานการณ์ที่ไม่มีข้อมูลในอดีตหรือประวัติก่อนหน้านี้เกี่ยวข้องกับสถานการณ์ภายใต้การตรวจสอบอย่างละเอียด' นี่เป็นแนวคิดที่สำคัญอย่างยิ่งที่ต้องคำนึงถึงเมื่อมองจากมุมมองของปี 2020 ยุคดิจิทัลของเราได้เห็นการสร้างและเปิดใช้งานการเข้าถึงข้อมูลที่เกือบจะไม่จำกัดอย่างไม่จำกัด เมื่อเทียบกับช่วงทศวรรษ 1980.
คำจำกัดความของความเสี่ยงสามารถพบได้จากหลายแหล่ง และคำจำกัดความที่สำคัญบางประการแสดงอยู่ในตารางที่ 1.1. สถาบันจัดการด้านความเสี่ยง (The Institute of Risk management - IRM) ได้กำหนดหรือให้คำจำกัดความของความเสี่ยงว่า เป็นการผสมผสานระหว่างความน่าจะเป็นของเหตุการณ์และผลที่ตามมา. ผลที่ตามมามีตั้งแต่เชิงบวกไปจนถึงเชิงลบ นี่เป็นการนำไปใช้อย่างกว้างขวางและเป็นคำจำกัดความเชิงปฏิบัติที่สามารถนำไปใช้ได้อย่างง่ายดาย.
International Guide to Risk-ที่เกี่ยวข้องกับคำจำกัดความ, ISO Guide 73 และ สถาบันผู้ตรวจสอบภายใน (The Institute of Internal Auditors - IIA) ให้คำจำกัดความ ความเสี่ยง ว่าเป็น 'ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์' ซึ่งไม่ใช่ทั้งแง่ลบหรือแง่บวกและให้มุมมองที่เหมาะสมมากกว่า 'ความนิยม - popular' หรือคำจำกัดความของพจนานุกรม คำจำกัดความเหล่านี้มีการพิจารณารายละเอียดเพิ่มเติมในบทที่ 4.
ISO Guide 73 อธิบายว่าผลกระทบอาจเป็นเชิงบวก ลบ หรือเบี่ยงเบนไปจากที่คาดไว้ ผลลัพธ์เหล่านี้แสดงให้เห็นว่าความเสี่ยงคือโอกาส ภัยคุกคาม หรือความไม่แน่นอน. มีคู่มือหรือแนวทางได้ตั้งข้อสังเกตว่าความเสี่ยงมักอธิบายได้จากเหตุการณ์ การเปลี่ยนแปลงในสถานการณ์ ผลที่ตามมา หรือการรวมกันของสิ่งเหล่านี้ และอาจส่งผลต่อการบรรลุวัตถุประสงค์อย่างไร.
สาขาวิชาที่แตกต่างกัน ก็มักจะกำหนดนิยามความเสี่ยงในรูปแบบที่แตกต่างกันมาก เมื่อพิจารณาถึง 'การจัดการ - manage' ความเสี่ยง สิ่งสำคัญสำหรับคุณหรือองค์กรของท่านจะต้องเลือกคำจำกัดความที่เหมาะสมที่สุด คำจำกัดความอาจแคบหรือครอบคลุมได้ตามที่ท่านต้องการ.
หน้าที่ 7
ความเสี่ยงในบริบทขององค์กรมักจะถูกกำหนดเป็นสิ่งใดก็ตามที่สามารถส่งผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร. เพื่อวัตถุประสงค์ของเรา สิ่งสำคัญคือต้องมีการจัดทำและตกลงวัตถุประสงค์ขององค์กรโดยสมบูรณ์.
เป็นที่ยอมรับกันโดยทั่วไปว่าความเสี่ยงถูกกำหนดได้ดีที่สุดโดยการมุ่งเน้นไปที่เหตุการณ์ต่าง ๆ . เส้นทางนี้ใช้โดยมาตรฐานหลายฉบับและ IIA ในตารางที่ 1.1 คำจำกัดความความเสี่ยงของรัฐบาลสหราชอาณาจักรในปี 2020 ได้สะท้อนคำจำกัดความของ ISO Guide 73.
ตารางที่ 1.1 คำจำกัดความของความเสี่ยง
| |
ชื่อองค์กร |
ความจำกัดความ |
| |
ISO Guide 73 |
ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ ซึ่งผลกระทบอาจเป็นเชิงบวก ลบ หรือเบี่ยงเบนไปจากที่คาดไว้ นอกจากนี้ ความเสี่ยงมักอธิบายได้จากเหตุการณ์ การเปลี่ยนแปลงของสถานการณ์ หรือผลที่ตามมา (Effect of uncertainty on objectives. Note that an effect may be positive, negative, or a deviation from the expected. Also, the risk is often described by an event, a change in circumstances, or a consequence.) |
| |
สถาบันการจัดการด้านความเสี่ยง (Institute of Risk Management) |
ความเสี่ยงคือการรวมกันของความน่าจะเป็นของเหตุการณ์และผลที่ตามมา ผลที่ตามมาอาจมีตั้งแต่เชิงบวกไปจนถึงเชิงลบ (Risk is the combination of the probability of an event and its consequence. Consequences can range from positive to negative.) |
| |
สถาบันแห่งผู้ตรวจสอบภายใน (Institute of Internal Auditors) |
ความไม่แน่นอนของเหตุการณ์ที่เกิดขึ้นซึ่งอาจมีผลกระทบต่อการบรรลุวัตถุประสงค์ ความเสี่ยงวัดในแง่ของผลที่ตามมาและความน่าจะเป็น (The uncertainty of an event occurring that could have an impact on the achievement of the objectives. Risk is measured in terms of consequences and likelihood.) |
| |
HM Government: The Orange Book. Management of Risk – Principles and Concepts 2020 |
ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ ความเสี่ยงมักจะแสดงเกี่ยวกับสาเหตุ เหตุการณ์ที่อาจเกิดขึ้น และผลที่ตามมา (The effect of uncertainty on objectives. Risk is usually expressed regarding causes, potential events, and consequences.) |
ที่มา: HM Government (2020) The Orange Book: Risk management - principles and concepts.
ความชัดเจนที่มากขึ้นมีแนวโน้มที่จะนำมาสู่กระบวนการการจัดการด้านความเสี่ยง หากมุ่งเน้นไปที่เหตุการณ์หรือความเป็นไปได้ของเหตุการณ์ (ต่อจากนี้ไปเราจะเรียกว่า 'เหตุการณ์ - event') เช่น พิจารณาว่าเหตุการณ์ใดที่อาจส่งผลต่อการรักษาผู้ป่วยในโรงพยาบาลทั่วไป สิ่งเหล่านี้อาจรวมถึงการตัดไฟ การไม่มีแพทย์ที่มีคุณสมบัติเหมาะสม หรือโรคติดเชื้อที่แพร่กระจายไปยังผู้ป่วยรายอื่น เมื่อระบุเหตุการณ์เหล่านี้แล้ว ฝ่ายบริหารของโรงพยาบาลจำเป็นต้องตัดสินใจว่าจะลดโอกาสของเหตุการณ์เหล่านี้อย่างใดอย่างหนึ่งจนไม่สามารถช่วยเหลือผู้ป่วยได้อย่างไร การวิเคราะห์โดยหัวหน้างานของโรงพยาบาลเป็นตัวอย่างของการจัดการด้านความเสี่ยงในทางปฏิบัติ.
หน้าที่ 8
ประเภทของความเสี่ยง (Type of Risk)
ความเสี่ยงอาจมีผลลัพธ์เชิงบวกหรือเชิงลบ และอาจเกี่ยวข้องกับโอกาส ภัยคุกคาม หรือเพียงแค่ความไม่แน่นอนของผลลัพธ์สำหรับองค์กร ทุกความเสี่ยงมีลักษณะเฉพาะที่ต้องมีการจัดการหรือการวิเคราะห์ ในบล็อกนี้ ความเสี่ยงแบ่งออกเป็นสี่ประเภท:
• ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (หรือข้อบังคับ) {Compliance (or mandatory) Risks}
• ความเสี่ยงจากอันตราย (หรือบริสุทธิ์) {Hazard (or pure) Risks}
• ความเสี่ยงในการควบคุม (หรือความไม่แน่นอน) {Control (or uncertainty) Risks}
• ความเสี่ยงด้านโอกาส (หรือการเก็งกำไร) {Opportunity (or Speculative) Risks}
โดยทั่วไป องค์กรต่าง ๆ จะพยายามลดความเสี่ยงในการปฏิบัติตามกฎระเบียบ (หรือข้อบังคับ) ลดความเสี่ยงจากอันตราย (เป็นความเสี่ยงภายนอกล้วน ๆ - บริสุทธิ์) ต้องมีจัดการความเสี่ยงให้ควบคุมได้ (ความเสี่ยงที่ไม่แน่นอน) และยอมรับความเสี่ยงจากโอกาส (หรือการเก็งกำไร) สิ่งสำคัญคือต้องทราบว่าไม่มีการแบ่งย่อยความเสี่ยงที่ 'ถูก' หรือ 'ผิด' ผู้อ่านจะพบกับหมวดย่อยอื่นในตำราอื่นซึ่งอาจเหมาะสมพอ ๆ กัน ภายในบล็อกนี้ เพื่อความสะดวกในการอ้างอิง เรามักจะใช้โอกาสและภัยคุกคามเพื่ออธิบายความเสี่ยง (ตามมาตรฐาน ISO 31000) เว้นแต่จะกล่าวถึงหนึ่งในสี่ประเภทโดยเฉพาะ ความเสี่ยงสามารถอธิบายได้ว่าเป็นเพียงเรื่องที่บริสุทธิ์หรือการเก็งกำไรเท่านั้น ไม่ว่าการอภิปรายทางทฤษฎีจะเป็นอย่างไร ประเด็นที่สำคัญที่สุดคือ องค์กรจะต้องนำระบบการจำแนกความเสี่ยงที่เหมาะสมที่สุดสำหรับสถานการณ์ของตนมาใช้.
ตารางที่ 1.2 ประเภทของความเสี่ยง (type of Risk)
| |
ประเภทของความเสี่ยง (Risk type) |
คุณลักษณะสำคัญ (Key feature) |
| |
ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk) |
เราไม่ควรมองข้ามความสำคัญของความเสี่ยงในการปฏิบัติตามกฎระเบียบ สิ่งเหล่านี้เกี่ยวข้องกับการ ปฏิบัติตามกฎหมายของประเทศและกฎระเบียบที่ใช้กับภาคส่วนที่เราดำเนินธุรกิจ ความเสี่ยงในการ ปฏิบัติตามกฎระเบียบครอบคลุมถึงบทลงโทษทางกฎหมายและทางการเงินสำหรับการไม่กระทำการหรือประพฤติตนไม่เหมาะสม และมีความสำคัญอย่างยิ่งสำหรับภาคธุรกิจที่ได้รับการควบคุมอย่างเข้มงวด การปฏิบัติตามข้อกำหนดบังคับถือเป็น 'ใบอนุญาตในการดำเนินงาน' และความล้มเหลวในการบรรลุระดับการปฏิบัติตามที่กำหนดโดยหน่วยงานกำกับดูแลที่เกี่ยวข้องจะส่งผลกระทบต่อกิจกรรมทางธุรกิจตามปกติ บทลงโทษอาจเป็นเรื่องทางการเงิน แต่จะยิ่งเพิ่มมากขึ้นสำหรับฝ่ายบริหารที่เกี่ยวข้อง เช่น ผู้จัดการอาวุโสและระบบการรับรองที่กำหนดหลังวิกฤตการเงินโลกโดย Financial Conduct Authority ในสหราชอาณาจักร (The importance of compliance risks should not be underestimated. They are associated with adherence to the law of the country and the regulations that apply to the sector in which you operate. Compliance risk captures the legal and financial penalties for failing to act or misbehaving and is especially significant for those business sectors that are heavily regulated. Compliance with mandatory requirements represents a ‘license to operate,’ and failure to achieve the level of compliance required by the relevant regulator will impact routine business activities. Penalties may be financial, but increasingly, they are personal to the management involved, such as the Senior Managers and Certification Regime imposed after the global financial crisis by the Financial Conduct Authority in the UK). |
| |
ความเสี่ยงด้านความปลอดภัยจากอันตรายต่อชีวิต และทรัพย์สิน (Hazard risks) |
สิ่งเหล่านี้เกี่ยวข้องกับแหล่งที่มาของอันตรายที่อาจเกิดขึ้นหรือสถานการณ์ที่อาจส่งผลเสียต่อวัตถุประสงค์ในเชิงลบ โดยปกติองค์กรจะยอมรับความเสี่ยงอันตรายบางประการ แต่ต้องได้รับการจัดการภายในระดับที่ยอมรับได้ ความเสี่ยงจากอันตรายเป็นความเสี่ยงที่พบบ่อยที่สุดที่เกี่ยวข้องกับการจัดการความเสี่ยงในการปฏิบัติงาน รวมถึงโปรแกรมด้านอาชีวอนามัยและความปลอดภัย ตัวอย่างที่ดีของความเสี่ยงจากอันตรายที่องค์กรต่าง ๆ เผชิญคือการโจรกรรม (These are associated with a source of potential harm or a situation that can negatively undermine objectives. Organizations usually accept some hazard risks, but must be managed within tolerable levels. Hazard risks are the most common risks associated with operational risk management, including occupational health and safety programs. A good example of a hazard risk many organizations face is theft). |
| |
ความเสี่ยงในการควบคุม (Control risks) |
สิ่งเหล่านี้เกี่ยวข้องกับเหตุการณ์ที่ไม่ทราบและไม่คาดคิด บางครั้งเรียกว่าความเสี่ยงจากความไม่แน่นอน และอาจเป็นเรื่องยากมากที่จะระบุปริมาณ ความเสี่ยงในการควบคุมมักเกี่ยวข้องกับโครงการใหม่ ๆ ซึ่งทราบกันว่าเหตุการณ์ต่าง ๆ จะเกิดขึ้น แต่ผลที่ตามมาอย่างแม่นยำของเหตุการณ์เหล่านั้นยากที่จะคาดเดาและควบคุมได้ ดังนั้นแนวทางนี้จึงขึ้นอยู่กับการจัดการความไม่แน่นอนเกี่ยวกับระยะเวลาของโครงการ ต้นทุนในขั้นสุดท้าย หรือการส่งมอบ (These are associated with unknown and unexpected events. They are sometimes referred to as uncertainty risks, and they can be extremely difficult to quantify. Control risks are frequently associated with new projects where it is known that events will occur, but the precise consequences of those events are difficult to predict and control. Therefore, the approach is based on managing the uncertainties around the project's timing, eventual cost, or delivery). |
| |
ความเสี่ยงด้านโอกาส (Opportunity risks) |
แบ่งออกเป็น 2 ประเภท ได้แก่ ความเสี่ยงที่เกี่ยวข้องกับการได้รับโอกาส และความเสี่ยงในการไม่ปฏิบัติตาม แม้ว่าความเสี่ยงด้านโอกาสจะถูกนำไปใช้เพื่อให้ได้ผลลัพธ์ที่เป็นบวก แต่ก็ไม่รับประกันว่าจะเป็นเช่นนั้น องค์กรต่าง ๆ จงใจรับความเสี่ยงเพื่อเอาตัวรอดในสภาพแวดล้อมที่เปลี่ยนแปลงอย่างรวดเร็วที่เกิดจากการแพร่ระบาดทั่วโลก สิ่งเหล่านี้ถือได้ว่าเป็นโอกาสหรือความเสี่ยงในการเก็งกำไร บางองค์กรได้เปลี่ยนแปลงรูปแบบธุรกิจ เช่น ร้านค้าในฟาร์มที่ให้บริการใหม่ ๆ เช่น "คลิกแล้วรับ" หรือบริการจัดส่ง วัตถุประสงค์คือการดำเนินการที่เกี่ยวข้องกับความเสี่ยงเพื่อให้ได้รับผลบวกหรือเพื่อความอยู่รอดในกรณีที่รุนแรง (These fall into two camps: the risks associated with taking the opportunity and the risks of not acting. Although opportunity risks are taken to obtain a positive outcome, this is not guaranteed. Organizations have deliberately taken risks to survive in the rapidly changing environment caused by the global pandemic. These can be considered as opportunities or speculative risks. Some organizations have altered their business models, for example, a farm shop providing new services such as ‘click and collect’ or delivery services. The purpose has been to take action that involves risk to achieve positive gains or, in extreme cases, survival). |
หน้าที่ 9
การก่อตั้งบริษัทที่จัดหาเทคโนโลยีให้กับภาคการเงิน
ตัวอย่างของการเริ่มต้นธุรกิจในภาคการเงินอาจช่วยให้เราเข้าใจความแตกต่างระหว่างการปฏิบัติตามข้อกำหนด อันตราย การควบคุม และความเสี่ยงด้านโอกาส บริษัทจะต้องได้รับอนุญาตจากหน่วยงานที่เกี่ยวข้อง ซึ่งในสหราชอาณาจักรคือ Financial Conduct Authority และบริษัทจะต้องเสนอชื่อผู้จัดการอาวุโสเพื่อรับผิดชอบความเสี่ยงในการปฏิบัติตามกฎระเบียบ การโจรกรรมหรือการฉ้อโกงที่เกิดจากพนักงานถือเป็นความเสี่ยงในการปฏิบัติงานหรือจากอันตราย ความเสี่ยงในการควบคุมจะเกี่ยวข้องกับโครงการนี้เมื่อพวกเขาออกแบบชุดซอฟต์แวร์ใหม่ เมื่อเปิดตัว ซอฟต์แวร์อาจมีศักยภาพที่ลูกค้าจะใช้ในภาคส่วนที่ไม่ได้กำหนดเป้าหมายเป็นพิเศษ ดังนั้นจึงสร้างความเสี่ยงด้านโอกาส ความตั้งใจคือการบรรลุผลโดยการดึงดูดลูกค้า แต่โครงการอาจล้มเหลวในการส่งมอบฟังก์ชันการทำงานที่ตั้งใจไว้ ความล้มเหลวของฟังก์ชันการทำงานของระบบซอฟต์แวร์ใหม่อาจส่งผลร้ายแรงต่อการดำเนินงานขององค์กร.
คำอธิบายความเสี่ยง (Risk description)
เพื่อที่จะประเมินความเสี่ยงได้อย่างเต็มที่ จำเป็นต้องมีคำอธิบายโดยละเอียดเพื่อให้สามารถระบุความเข้าใจร่วมกันเกี่ยวกับความเสี่ยงและกำหนดความเป็นเจ้าของ/ความรับผิดชอบได้ การปฏิบัติตามข้อกำหนด อันตราย และการควบคุมเป็นที่เข้าใจอย่างชัดเจนเพื่อกำหนดช่วงข้อมูลที่ถูกต้องเพื่อรวบรวมเกี่ยวกับความเสี่ยงแต่ละอย่าง นี้จะกล่าวถึงในบทที่ 11.
ความเสี่ยงในระดับต่าง ๆ (Levels of risk)
สิ่งสำคัญคือ ต้องเข้าใจระดับความเสี่ยงที่ระบุไว้ หากไม่มีการควบคุม:
• ระดับความเสี่ยงโดยธรรมชาติ (Inherent levels of risk): ก่อนที่จะดำเนินการใด ๆ เพื่อเปลี่ยนโอกาสหรือขนาดของความเสี่ยง.
• ระดับความเสี่ยงในปัจจุบันหรือคงเหลือ (Current or residual level of risk): ระดับความเสี่ยงหลังจากใช้มาตรการควบคุมเบื้องต้นแล้ว.
• ระดับความเสี่ยงเป้าหมาย (Target level of risk): ระดับความเสี่ยงที่ต้องการหรือจะได้รับจากการใช้มาตรการควบคุมเพิ่มเติม.
แม้ว่าจะมีข้อดีในการระบุระดับความเสี่ยงโดยธรรมชาติ แต่ก็มีความยากลำบากในทางปฏิบัติในการทำเช่นนั้นกับความเสี่ยงบางประเภท.
การระบุระดับความเสี่ยงโดยธรรมชาติและในปัจจุบันทำให้สามารถระบุความสำคัญของมาตรการควบคุมที่มีอยู่ได้. บ่อยครั้งที่เมทริกซ์ความเสี่ยงถูกใช้เพื่อแสดงระดับความเสี่ยงโดยธรรมชาติในแง่ของความน่าจะเป็นและขนาด ระดับความเสี่ยงในปัจจุบันหรือระดับคงเหลือสามารถระบุได้ และความพยายามที่จำเป็นในการลดความเสี่ยงจากระดับโดยธรรมชาติไปสู่ระดับปัจจุบันสามารถระบุได้ในเมทริกซ์ความเสี่ยง.
คำศัพท์เฉพาะทางแตกต่างกันไป และระดับความเสี่ยงโดยธรรมชาติบางครั้งเรียกว่า 'ความเสี่ยงรวม - gross' หรือความเสี่ยงสัมบูรณ์ (absolute risk). ระดับความเสี่ยงในปัจจุบันหรือคงเหลือบางครั้งเรียกว่า 'สุทธิ-net' หรือระดับความเสี่ยงที่ได้รับการจัดการ. ตัวอย่างในชุดข้อความด้านล่างแสดงตัวอย่างว่ากิจกรรมที่มีความเสี่ยงสูงโดยธรรมชาติจะลดลงเหลือระดับความเสี่ยงที่ต่ำกว่าได้อย่างไร โดยการใช้ทางเลือกในการตอบสนองต่อความเสี่ยงที่สมเหตุสมผลและปฏิบัติได้จริง.
การข้ามถนน (Crossing the road)
การข้ามถนนที่มีผู้คนพลุกพล่านอาจเป็นอันตรายได้หากไม่มีการควบคุม และจะเกิดอุบัติเหตุอีกมากมาย ความเสี่ยงนี้เป็นอันตรายอย่างยิ่ง ดังนั้นจึงให้ความสำคัญกับการควบคุมที่จัดการความเสี่ยง: คนเดินเท้าจะไม่ข้ามถนนโดยไม่ระวังการจราจร และผู้ขับขี่จะตระหนักอยู่เสมอว่าคนเดินถนนอาจเข้ามาในถนนได้ การควบคุมรวมถึงการข้ามถนน มาตรการควบคุมการจราจร และกล้องจับความเร็วหรือสัญญาณเพื่อลดความเร็วของยานพาหนะ.
ระบบการจำแนกประเภท (Classification systems)
ความเสี่ยงสามารถจำแนกตามลักษณะของคุณลักษณะของความเสี่ยง สิ่งเหล่านี้อาจเป็น:
• มาตราส่วนเวลา (Timescale) – ทั้งที่เกิดเหตุการณ์และหลังเหตุการณ์
• แหล่งที่มาของความเสี่ยง (Source of the risk) เช่น คู่สัญญา หรือความเสี่ยงด้านเครดิต
• ลักษณะของผลกระทบและ/หรือขนาดของความเสี่ยง (Nature of the impact and/or like;y magnitude of the risk)
• องค์ประกอบหรือคุณลักษณะที่จะได้รับผลกระทบ (Component or feature that will be impacted ) (เช่น ความเสี่ยงสามารถส่งผลกระทบต่อผู้คน สถานที่ กระบวนการ หรือผลิตภัณฑ์).
แต่ละองค์กรจะตัดสินใจเกี่ยวกับระบบการจำแนกความเสี่ยงที่เกี่ยวข้องกับกิจกรรมของตนมากที่สุดและเหมาะสมกับพวกเขาที่สุด ขึ้นอยู่กับลักษณะขององค์กรและกิจกรรมขององค์กร นอกจากนี้ มาตรฐานและกรอบการจัดการด้านความเสี่ยงจำนวนมากยังแนะนำให้มีระบบการจำแนกความเสี่ยงเฉพาะอีกด้วย. หากองค์กรนำมาตรฐานใดมาตรฐานหนึ่งไปใช้ ก็จะเป็นไปตามระบบการจำแนกประเภทที่แนะนำ. ไม่มีระบบการจำแนกประเภทที่เป็นสากลที่ตอบสนองความต้องการของทุกองค์กร. ความเสี่ยงแต่ละอย่างน่าจะต้องจำแนกประเภทได้หลายวิธีเพื่อให้เข้าใจถึงผลกระทบที่อาจเกิดขึ้นได้อย่างชัดเจน อย่างไรก็ตาม ระบบการจำแนกประเภทหลายระบบมีโครงสร้างทั่วไปหรือคล้ายกัน ดังที่อธิบายไว้ใน บทที่ 11.
หน้าที่ 10
โอกาสเสี่ยงและผลกระทบ (Risk likelihood and impact)
ความน่าจะเป็นหรือโอกาสและผลกระทบ (หรือขนาด) ต่อความเสี่ยง สามารถแสดงให้เห็นได้ดีที่สุดโดยใช้เมทริกซ์ความเสี่ยง เครื่องมือการจัดการความเสี่ยงที่สำคัญขั้นพื้นฐานนี้สามารถผลิตได้หลายรูปแบบ ไม่ว่าจะใช้รูปแบบใดก็ตาม รูปแบบพื้นฐานจะวางแผนความน่าจะเป็นของเหตุการณ์เทียบกับผลกระทบ (ขนาด) (impact หรือ likelihood) หากเหตุการณ์เกิดขึ้นจริง.
แผนภูมิที่ 1.1 ข้างต้นเป็นภาพประกอบของเมทริกซ์ความเสี่ยงอย่างง่าย หรือที่เรียกว่าแผนที่ความเสี่ยงหรือแผนที่ (แห่ง) ความร้อน (ระอุ). นี่เป็นรูปแบบที่ใช้กันทั่วไป. เมตริกซ์ความเสี่ยงสามารถใช้เพื่อวางแผนลักษณะของความเสี่ยงเฉพาะแต่ละปัจเจก. เพื่อให้องค์กรสามารถตัดสินใจได้ว่าความเสี่ยงนั้นยอมรับได้และอยู่ภายใน ความเสี่ยงที่ยอมรับได้ (the risk appetite) และ/หรือ ความสามารถในการรับความเสี่ยงขององค์กร.
ตลอดทั้งบล็อกนี้ ได้มีการนำรูปแบบมาตรฐานสำหรับการนำเสนอเมทริกซ์ความเสี่ยงมาปรับใช้. แกนนอนใช้เพื่อแสดงความน่าจะเป็นหรือโอกาส (Likelihood). คำนี้ใช้แทนความถี่ (จำนวนครั้งที่เกิด) ซึ่งอาจบอกเป็นนัยได้ว่าเหตุการณ์จะเกิดขึ้นอย่างแน่นอน. Likelihood หมายถึงโอกาสที่เหตุการณ์จะเกิดขึ้น อย่างไรก็ตาม ในเอกสารการจัดการด้านความเสี่ยง คำว่า 'ความน่าจะเป็น - probability' มักจะใช้เพื่ออธิบายความน่าจะเป็นที่ความเสี่ยงจะเกิดขึ้นจริง.
แกนแนวตั้งใช้เพื่อระบุผลกระทบ (impact) ในแผนภูมิที่ 1.1 คำ ๆ นี้ครอบคลุมถึงการปฏิบัติตามข้อกำหนด (compliance) อันตราย (hazard) การควบคุม (control) และความเสี่ยงด้านโอกาส (opportunity risks). ขนาด (magnitude) ของความเสี่ยงอาจเป็นระดับรวมหรือโดยธรรมชาติก่อนที่จะมีการควบคุม.
แผนภูมิที่ 1.1 ได้วางแผนแนวโน้มความน่าจะเป็นต่อผลกระทบของเหตุการณ์. การพิจารณาที่สำคัญสำหรับผู้จัดการความเสี่ยงคือผลที่ตามมา. ตัวอย่างเช่น ไฟไหม้ครั้งใหญ่อาจเกิดขึ้นซึ่งทำลายโกดังของบริษัทกระจายสินค้าและโลจิสติกส์ แม้ว่าขนาดของเหตุการณ์อาจมีขนาดใหญ่หากมีการประกันที่เพียงพอ แต่ผลกระทบในแง่ของต้นทุนทางการเงินสำหรับบริษัทอาจมีเพียงเล็กน้อย แต่ผลกระทบต่อเวลาในการจัดการ การสูญเสียชื่อเสียง และยอดขายในอนาคตที่อาจเกิดขึ้นนั้นไม่สามารถกู้คืนได้ แต่หากบริษัทมี แผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan - BCP) ที่มีประสิทธิผลเพื่อรับมือกับเหตุการณ์ดังกล่าว ผลที่ตามมาสำหรับธุรกิจโดยรวมอาจน้อยกว่าที่คาดไว้มาก.
เมทริกซ์ความเสี่ยงถูกนำมาใช้ตลอดทั้งบล็อกนี้เพื่อแสดงถึงความเสี่ยงด้วยสายตา. นอกจากนี้ยังสามารถระบุกลไกการควบคุมความเสี่ยงที่เป็นไปได้ที่สามารถนำมาปรับใช้ได้. เมทริกซ์ความเสี่ยงยังสามารถใช้เพื่อบันทึกระดับโดยธรรมชาติ (Inherent levels of risk) กระแส (หรือคงเหลือ) (Current or residual level of risk) และเป้าหมายของความเสี่ยง (Target level of risk).
การแรเงาหรือการเข้ารหัสสีมักใช้ในเมทริกซ์ความเสี่ยงเพื่อแสดงความสำคัญของความเสี่ยงแต่ละรายการภายใต้การพิจารณาด้วยสายตา. เมื่อความเสี่ยงเคลื่อนไปทางมุมขวาบนของเมทริกซ์ความเสี่ยง ความเสี่ยงเหล่านั้นจะมีโอกาสมากขึ้นและมีผลกระทบมากขึ้น. ดังนั้นความเสี่ยงจึงมีความสำคัญมากขึ้นและต้องมีการนำมาตรการควบคุมความเสี่ยงมาใช้อย่างทันท่วงทีและมีประสิทธิผล.
เหตุใดการทำความเข้าใจความเสี่ยงจึงมีความสำคัญ (Why understanding risk is important?)
หลังจากการแพร่ระบาดของโควิด-19 หลายองค์กรให้ความสนใจและแนวทางเชิงรุกในเรื่องความเสี่ยงและการจัดการความเสี่ยงมากขึ้น. เป็นที่เข้าใจกันมากขึ้นว่าการจัดการความเสี่ยงที่ชัดเจนและมีโครงสร้างจะนำมาซึ่งประโยชน์. องค์กรที่จัดการความเสี่ยงจะสามารถบรรลุการปรับปรุงสี่ด้านต่อไปนี้ ซึ่งเรียกโดยย่อว่า STOC ตลอดบล็อกนี้:
• กลยุทธ์ (Strategy): เนื่องจากความเสี่ยงที่เกี่ยวข้องกับตัวเลือกเชิงกลยุทธ์ที่แตกต่างกัน ก็จะได้รับการวิเคราะห์อย่างเต็มที่ การตัดสินใจเชิงกลยุทธ์ที่ดีขึ้นจึงจะเกิดขึ้นได้.
• ยุทธวิธี (Tactics): เนื่องจากจะมีการพิจารณาเลือกยุทธวิธีและความเสี่ยงที่เกี่ยวข้อง จึงสามารถประเมินทางเลือกที่มีอยู่ได้.
• การดำเนินงาน (Operations): เนื่องจากเหตุการณ์ที่อาจทำให้เกิดการหยุดชะงักจะถูกระบุล่วงหน้าและการดำเนินการเพื่อลดโอกาสที่จะเกิดขึ้น ความเสียหายที่เกิดจากเหตุการณ์เหล่านี้จะถูกจำกัดและกำหนดต้นทุนไว้ด้วยแล้ว.
• การปฏิบัติตามข้อกำหนด (Compliance): สิ่งนี้จะได้รับการปรับปรุงเนื่องจากความเสี่ยงที่เกี่ยวข้องกับความล้มเหลวในการปฏิบัติตามกฎหมายและภาระผูกพันของลูกค้าจะได้รับการแก้ไข.
เป็นสิ่งที่ไม่พึงปรารถนาสำหรับองค์กรที่จะพบว่าตัวเองอยู่ในตำแหน่งที่เหตุการณ์ที่ไม่คาดคิดทำให้เกิดการหยุดชะงักในการดำเนินงานตามปกติ ผู้มีส่วนได้ส่วนเสียคาดหวังว่าองค์กรจะมีความยืดหยุ่นและคำนึงถึงความเสี่ยงที่อาจทำให้เกิดปัญหาด้านการปฏิบัติงาน โครงการ หรือเชิงกลยุทธ์.
หน้าที่ 11
ความเสี่ยงที่แสดงโดยความเสี่ยงส่วนบุคคลสามารถกำหนดได้ในแง่ของความน่าจะเป็นที่ความเสี่ยงจะเกิดขึ้นและผลกระทบของความเสี่ยงเมื่อความเสี่ยงนั้นเกิดขึ้นจริง เมื่อความเสี่ยงเพิ่มขึ้น ผลกระทบก็จะเพิ่มขึ้นเช่นกัน ISO Guide 73 อ้างอิงถึงการวัดความน่าจะเป็นและผลกระทบ (หรือขนาด) ว่าเป็น 'ระดับความเสี่ยง' ในปัจจุบันหรือคงเหลือ (หรือคงไว้) ระดับความเสี่ยงนี้ควรเปรียบเทียบกับทัศนคติความเสี่ยง (ตาม ISO Guide 73 - แนวทางขององค์กรในการประเมินและติดตาม รักษา รับหรือหันเหจากความเสี่ยงในที่สุด) และความเสี่ยงที่ยอมรับได้ (ตาม ISO Guide 73 – จำนวนและประเภทของความเสี่ยงที่องค์กรเต็มใจติดตามหรือรักษาไว้) ขององค์กรสำหรับความเสี่ยงประเภทนั้น. บางครั้งความเสี่ยงที่ยอมรับได้อาจถูกอธิบายว่าเป็นชุดของเกณฑ์ความเสี่ยง.
คำว่า 'ผลกระทบ' ใช้เพื่อกำหนดว่าเหตุการณ์มีผลกระทบต่อการเงิน โครงสร้างพื้นฐาน ชื่อเสียง และ/หรือตลาด (FIRM) ขององค์กรอย่างไร การใช้คำศัพท์นี้ยังสอดคล้องกับการใช้ผลกระทบในการประเมินการวางแผนความต่อเนื่องทางธุรกิจ ซึ่งเป็นการวัดความเสี่ยงในระดับปัจจุบัน คำว่า 'ผลที่ตามมา' ถูกใช้ในหนังสือเล่มนี้เพื่อระบุขอบเขตที่เหตุการณ์ส่งผลให้เกิดการเปลี่ยนแปลงในความสำเร็จที่มีประสิทธิผลตามแผนของกลยุทธ์ ด้านยุทธวิธี การดำเนินงาน และการปฏิบัติตามกฎระเบียบ (STOC-strategy, tactics, operations, and compliance).
ผลกระทบจากความเสี่ยงด้านความปลอดภัยจากอันตรายต่อชีวิต และทรัพย์สิน (Impact of hazard risks)
การจัดการความเสี่ยงมีประวัติที่ยาวนานที่สุดและมีต้นกำเนิดในการจัดการความเสี่ยงด้านความปลอดภัยจากอันตรายต่อชีวิต และทรัพย์สินตั้งแต่แรกสุด. ความเสี่ยงด้านความปลอดภัยจากอันตรายต่อชีวิต และทรัพย์สินจะบ่อนทำลายวัตถุประสงค์ และระดับผลกระทบของความเสี่ยงดังกล่าวเป็นตัวชี้วัดความสำคัญ. ความเสี่ยงด้านความปลอดภัยจากอันตรายต่อชีวิต และทรัพย์สินที่อันตรายนี้ มักเป็นสิ่งที่สามารถประกันได้เนื่องจากมันสามารถส่งผลในเชิงลบได้.
การจัดการความเสี่ยงด้านความปลอดภัยจากอันตรายต่อชีวิต และทรัพย์สินเกี่ยวข้องกับสุขภาพและความปลอดภัยในที่ทำงาน การป้องกันอัคคีภัย และการหลีกเลี่ยงผลที่ตามมาของผลิตภัณฑ์ที่มีข้อบกพร่อง ความเสี่ยงด้านความปลอดภัยจากอันตรายต่อชีวิต และทรัพย์สินที่สามารถขัดขวางการปฏิบัติงานตามปกติ ส่งผลให้ต้นทุนเพิ่มขึ้นและการประชาสัมพันธ์ที่ไม่ดีเกี่ยวกับเหตุการณ์ก่อกวน.
ความเสี่ยงด้านความปลอดภัยจากอันตรายต่อชีวิต และทรัพย์สิน เกี่ยวข้องกับการพึ่งพาธุรกิจ รวมถึงด้านไอทีและบริการสนับสนุนอื่น ๆ การพึ่งพาระบบไอทีที่เพิ่มขึ้นในองค์กรส่วนใหญ่หมายถึงอันตรายต่าง ๆ เช่น การติดไวรัส การแฮ็กโดยเจตนา หรือการโจมตีแบบปฏิเสธการให้บริการถือว่ามีความสำคัญในระดับสูง.
คำศัพท์เป็นสิ่งสำคัญ หากเกิดความเสี่ยงด้านความปลอดภัยจากอันตรายต่อชีวิต และทรัพย์สิน ก็อาจมีผลกระทบอย่างมาก ตัวอย่างเช่น ไฟไหม้อาจทำลายคลังสินค้ากระจายสินค้าหลักขององค์กรได้ อย่างไรก็ตาม ความเสี่ยงสามารถลดลงได้โดยการวางมาตรการควบคุมเพื่อลดผลกระทบทางการเงิน (โดยการประกันภัย) หรือลดขอบเขตความเสียหายต่อชื่อเสียง (ผ่านการจัดการภาวะวิกฤติ).
หน้าที่ 12
สิ่งที่ความเสี่ยงได้แนบมาด้วย (Attachment of risks)
แม้ว่าคำจำกัดความมาตรฐานส่วนใหญ่จะอ้างถึงความเสี่ยงตามวัตถุประสงค์ขององค์กร ในภาพที่ 1.2 แสดงให้เห็นตัวเลือกสำหรับสิ่งที่ความเสี่ยงได้แนบมาด้วย. ความเสี่ยงจะแสดงอยู่ในแผนภาพว่าสามารถส่งผลกระทบต่อตัวแปรตามหลัก ๆ ที่ส่งมอบกระบวนการหลักขององค์กร .วัตถุประสงค์ขององค์กรและความคาดหวังของผู้มีส่วนได้ส่วนเสียช่วยกำหนดกระบวนการหลักขององค์กร. กระบวนการหลักเหล่านี้เป็นกุญแจสำคัญต่อลักษณะที่มีอยู่ของโมเดลธุรกิจและการปรับปรุงขีดความสามารถในอนาคต. สิ่งเหล่านี้สัมพันธ์กับการปฏิบัติการ กลยุทธ์ กลยุทธ์องค์กร และกิจกรรมการปฏิบัติตามกฎระเบียบ ตามที่พิจารณาเพิ่มเติมในบทที่ 20.
Figure 1.2 Attachment of risks
รายละเอียดผังงานมีดังนี้ การสนับสนุนหรือการส่งมอบ และผลกระทบหรือการโจมตีที่นำไปสู่ความเสี่ยงที่สำคัญ ความเสี่ยงที่มีนัยสำคัญนำไปสู่การพึ่งพาที่สำคัญหรือตัวแแปรตามที่สำคัญ แก่นกระบวนการหลักขององค์กร วัตถุประสงค์หลักขององค์กร และความคาดหวังของผู้มีส่วนได้ส่วนเสีย. การขึ้นต่อกันที่สำคัญนี้นำไปสู่กระบวนการหลัก กระบวนการหลักนำไปสู่วัตถุประสงค์ขององค์กร แผนกลยุทธ์หรือแผนธุรกิจ และงบประมาณประจำปีและความคาดหวังของผู้มีส่วนได้ส่วนเสีย วัตถุประสงค์ขององค์กรและความคาดหวังของผู้มีส่วนได้ส่วนเสียยังชี้ไปที่แผนกลยุทธ์หรือแผนธุรกิจและงบประมาณประจำปีซึ่งนำไปสู่พันธกิจ.
หน้าที่ 13
จุดประสงค์ของภาพที่ 1.2 คือการแสดงให้เห็นว่าความเสี่ยงที่มีนัยสำคัญสามารถแนบไปกับแง่มุมขององค์กรอื่นนอกเหนือจากวัตถุประสงค์ขององค์กรได้ ความเสี่ยงที่สำคัญสามารถระบุได้โดยการพิจารณาการพึ่งพาที่สำคัญขององค์กร วัตถุประสงค์ขององค์กร และ/หรือความคาดหวังของผู้มีส่วนได้ส่วนเสีย ตลอดจนโดยการวิเคราะห์กระบวนการหลักขององค์กร ตัวอย่างเช่น Arcadia ผู้ค้าปลีกเสื้อผ้าในสหราชอาณาจักร ล้มเหลวในปี 2020 เพราะพวกเขาลงทุนน้อยเกินไปในการค้าปลีกออนไลน์ และไม่สามารถรักษาการดำเนินธุรกิจ (การดำเนินงานหลัก) ได้อย่างมีประสิทธิภาพ เมื่อการระบาดของโควิด-19 ทำให้รูปแบบธุรกิจหยุดชะงัก ผลกระทบของโรคระบาดขยายความเสี่ยงในการลงทุนน้อยเกินไป ซึ่งผลักดันให้ลูกค้าไปที่ช่องทางออนไลน์.
ที่มา คำศัพท์ และคำอธิบาย:
01. จาก. Fundamentals of Risk Management: Understanding, Evaluating and Implementing Effective Enterprise Risk Management, โดย Paul Hopkin และ Clive Thompson, ISBN-978-1398602861 สำนักพิมพ์ Kogan Page, พิมพ์ครั้ง 6, ธันวาคม 2564. 
