09 มิถุนายน 2565

ISO31000 Risk Management

ISO31000 & 8 Principles of Risk Management

การจัดการความเสี่ยงและ 8 หลักการ

“Principle” หรือ หลักการ คือแนวทาง หลักปฏิบัติ กฎ หรือองค์ประกอบที่สำคัญ ซึ่งความหมายอาจจะแปลเป็นภาษาไทยได้หลากหลาย ขึ้นอยู่กับบริบทที่นำไปใช้   และสำหรับในที่นี่ จะคุยกันในเรื่อง Principle

ของการบริหารความเสี่ยงระบบบริหารคุณภาพ Quality Risk Management

โดยอ้างอิงตามแนวทางหรือ Guidelines ISO31000 แนวทางที่สามารถประยุกต์ได้ทุกอุตสาหกรรมและทุกการบริหารความเสี่ยง

ISO31000 ให้แนวคิดการบริหารควาเสี่ยง (Risk Management concept) โดยแบ่งออกเป็น 3 ขั้นตอนหลัก คือ

• ข้อกำหนดที่ 4 หลักการพื้นฐานในการจัดการความเสี่ยง หรือ Principles of Risk Management ,  
• ข้อกำหนดที่ 5 กรอบการจัดการความเสี่ยง หรือ Framework  
• ข้อกำหนดที่ 6 กระบวนการจัดการความเสี่ยง (Process of Risk Management)  

 

การเชื่อมโยงแนวทาง Risk Management concept ตามภาพข้างล่างนี้

 

ในบทความนี้ขอนำ หลักการพื้นฐานในการจัดการความเสี่ยง หรือ Principles of Risk Management   มีวัตถุประสงค์ของการบริหารความเสี่ยงคือการสร้างและปกป้องคุณค่า ช่วยเพิ่มประสิทธิภาพ  ส่งเสริมนวัตกรรมและสนับสนุนการบรรลุวัตถุประสงค์อธิบายได้คือ

 การสร้างคุณค่า (Creates value) การจัดการความเสี่ยงต้องมีส่วนการสร้างความสำเร็จและคุณค่าองค์การ สอดคล้องกับวัตถุประสงค์และเป้าหมายขององค์กร เช่น ความมีประสิทธิภาพในกระบวนการ การปกป้องภาพลักษณ์ขององค์กรจากสถานการณ์ต่างๆ การดำเนินการตามหลักธรรมาภิบาล การดำเนินการที่สอดคล้องกับข้อกำหนดกฎหมาย การไม่ละเมิดลิขสิทธิ์  การปกป้องสิ่งแวดล้อม และอื่นๆ  

1. การจัดการความเสี่ยงจัดเป็นส่วนหนึ่งของกระบวนการทั้งหมดขององค์กร (Integral part of organization Process ) ในการจัดการความเสี่ยงจำเป็นอย่างที่จะต้องได้รับการสนับสนุนและการมีส่วนร่วมจากฝ่าย และแผนกต่างๆ ตั้งแต่ผู้บริหารระดับสูง กรรมการบริหาร ผู้จัดการ หัวหน้างาน และพนักงาน ทั้งนี้เพราะความเสี่ยงอาจจะเกิดขึ้นในช่วงใดช่วงหนึ่งของกระบวนการ   และเพื่อให้ พันธกิจ วิสัยทัศน์ และนโยบาย ได้บรรลุเป้าหมายและเป็นการส่งเสิรมให้เป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่มูลค่าให้กับองค์กร  
2. การจัดการความเสี่ยงอย่างเป็นระบบ, มีแบบแผนในการดำเนินการ และทันสถานการณ์ เหตุเการณ์ที่เกิดขึ้น (Systematic, structured & compehensive)   การบริหารความเสี่ยงควรดำเนินการอย่างเป็นระบบในฝ่าย หรือแผนก หน่วยงานต่างๆ เพื่อให้การดำเนินการมีประสิทธิภาพมีความสอดคล้องกันและมีความน่าเชื่อถือ
3. การจัดการความเสี่ยงต้องปรับให้เหมาะสม (Customized ) การจัดการความเสี่ยงต้องสอดคล้องไปในทิศทางหรือแนวทางเดียวกันกับบริบทขององค์กร ทั้งบริบทภายนอก (External context) และ บริบทภายใน (Internal Context) และรวมถึงโครงร่างของความเสี่ยง
4. การบริหารความเสี่ยงต้องมีความโปร่งใสและมีส่วนร่วม (Inclusive) การมีส่วนร่วมอย่างเหมาะสมของผู้มีส่วนได้ส่วนเสีย รวมถึงผู้ทำหน้าที่ตัดสินใจในทุกๆ ระดับขององค์กร รวมถึงการสื่อสารส่งต่อให้ผู้มีส่วนได้ส่วนเสีย (Interested Party) ได้รับรู้ข้อมูลอย่างเหมาะสม และนำข้อเสนอ ข้อคิดเห็น มาพิจารณาในการกำหนดเกณฑ์การประเมินและเกณฑ์การยอมรับความเสี่ยงต่อไป
5. การบริหารความเสี่ยงควรต้องมีการดำเนินการอย่างคล่องตัว ทบทวน ทำซ้ำ และตอบสนองต่อการเปลี่ยนเปลงต่างๆ ได้อย่างต่อเนื่อง (Dynamic) เพราะปัจจัยภายนอก และภายในมีการเปลี่ยนแปลงอยู่ตลอดเวลา องค์กรจึงต้องเตรียมความพร้อมที่จะปรับเปลี่ยน ตั้งรับกับการเปลี่ยนแปลงเหล่านั้น
6. การจัดการความเสี่ยง ต้องมีข้อมูลที่ดีที่สุด (Based on the best available information) ทั้งนี้เพราะการจัดการความเสี่ยงจะช่วยให้มีข้อมูลการวิเคราะห์และคาดการณ์สิ่งที่จะเกิดขึ้นในอนาคต ข้อมูลการบริหารความเสี่ยง ช่วยในการลำดับความสำคัญของการปฏิบัติงาน การวางแผนแก้ไขและการป้องกัน ตลอดจนหาแนวทางในการจัดการ และเพิ่มประสิทธิภาพในการพิจารณาตัดสินใจในที่สุด ตัวอย่างข้อมูล เช่น จากประสบการณ์ ความคิดเห็นจากผู้เชี่ยวชาญในสาขาใดสาขาหนึ่ง   การจัดทำแบบจำลองการตัดสินใจ
7. การจัดการความเสี่ยงต้องได้รับการพัฒนาปรับปรุงและส่งเสริมองค์กรอย่างต่อเนื่อง (Human & cultural factors into account) การกำหนดแนวทางการสร้างวัฒนธรรมองค์กรด้านการบริหารความเสี่ยง เพื่อสนับสนุนและส่งเสริมการปฏิบัติงานในทุกหน่วยงาน ทุกฝ่ายและทุกแผนก ได้ตระหนักถึงความเสี่ยงจากการปฏิบัติงานของบทบาทและหน้าที่ของตนเองที่อาจส่งผลกระทบ
8. การบริหารความเสี่ยงต้องง่ายต่อการปรับปรุงและเพิ่มพูนประสิทธิภาพให้กับองค์กรอย่างต่อเนื่อง (Continuous improvement) เมื่อองค์กรจัดการความเสี่ยงในขั้นต้นได้แล้ว ยังคงต้องพัฒนา และมีกลยุทธ์การปรับปรุงความเสี่ยงในทุกๆ ด้านอย่างต่อเนื่อง   ด้วยแนวทางต่างๆ ที่เหมาะสม เช่นการพัฒนาเทคโนโลยี เพื่อปกป้องข้อมูลของลูกค้าที่จะรั่วไหล เผยแพร่แบบไม่ตั้งใจ    

 

นอกจากนี้ การจัดการความเสี่ยงมุ้งเน้นทันเหตุการณ์ที่มีความไม่แน่นอน เพื่อกำหนดแนวทางในการจัดการกับความไม่แน่นอนนั้นๆ   เช่นตัวอย่างที่ผ่านมาที่ทุกบริษัท ได้ดำเนินการกับสถานการณ์การแพร่กระจายของโควิด  เป็นเหตุการณ์ที่คาดไม่ถึงแต่หาก องค์กรมีแผนฉุกเฉินจากการบริหารความเสี่ยง ก็จะสามารถปรับเปลี่ยนการจัดการได้อย่างทันเหตุการณ์

จากหลักการของการบริหารความเสี่ยง องค์กรต้องสร้างแนวทางให้เป็นรูปธรรม ให้ Risk Management เป็นส่วนหนึ่งของทุกการดำเนินการ สร้างเป็นวัฒนธรรม มีความคล่องตัว ทันต่อเหตุการณ์ที่เกิดขึ้นหรือที่จะเกิดขึ้น ให้มีส่วนร่วม การจัดเก็บข้อมูล เพื่อประโยชน์ในการปรับปรุงอย่างต่อเนื่อง  

และหากมีแนวโครงสร้างขั้นต้นตามหลักการบริหารความเสี่ยงแล้วต้องนำเข้าสู่ ขั้นตอนต่อไปคือ การกำหนดกรอบดำเนินการความเสี่ยง หรือ Framework ซึ่งที่ปรึกษาคิวไทม์ ขอนำเรื่อง Framework ไปอธิบายในบทความเรื่องถัดไป    ขอทิ้งท้ายที่ทุกท่านอาจจะเคยได้ยินแล้ว  คือ  “ความเสี่ยงรู้ก่อน จัดการกับความเสี่ยงนั้นก่อน”   

 

ISO31000 Risk Management Training Course 

 

References : 

ISO31000:2018 Risk Management Guidelines