Q&A
กลุ่มงานแผนและการจัดการยุทธศาสตร์
กลุ่มงานงบประมาณและจัดสรรทรัพยากร
กลุ่มงานวิจัยสถาบันและสารสนเทศ
กลุ่มงานบริหารความเสี่ยง
เพื่อสร้างความสามารถในการนำการบริหารความเสี่ยงมาใช้เป็นเครื่องมือในการบริหารงาน สร้างการมีส่วนร่วมในองค์กร และมั่นใจว่ามหาวิทยาลัยสามารถปรับตัวในสถานการณ์ที่เปลี่ยนแปลงได้อย่างต่อเนื่อง
ไม่เหมือนกันเสียทีเดียว ถึงแม้จะใช้คำว่า "ความเสี่ยง" เหมือนกัน แต่ บริบทและวัตถุประสงค์ ต่างกันในแต่ละงาน และควรใช้ให้ถูกบริบทเพื่อการบริหารจัดการที่มีประสิทธิภาพ
ความเสี่ยงที่อาจกระทบต่อ การบรรลุวัตถุประสงค์ระดับองค์กร ทั้งเชิงกลยุทธ์ การดำเนินงาน
การเงิน หรือการปฏิบัติตามกฎระเบียบ
§ ตัวอย่าง:
o ความเสี่ยงจากนโยบายรัฐที่เปลี่ยนแปลง
o ความเสี่ยงจากการเปลี่ยนแปลงเทคโนโลยี
o ความเสี่ยงด้านชื่อเสียงขององค์กร
§ จุดมุ่งหมายหลัก: จัดการความเสี่ยงเชิงรุกและบูรณาการ เพื่อสนับสนุนการตัดสินใจระดับผู้บริหาร
ความเสี่ยงที่เกิดขึ้นจาก กระบวนการทำงานระดับหน่วยงาน ที่อาจทำให้ไม่สามารถบรรลุวัตถุประสงค์ของงานหรือภารกิจนั้นได้
§ ตัวอย่าง:
o ความเสี่ยงจากเอกสารสูญหาย
o ความเสี่ยงจากขั้นตอนอนุมัติล่าช้า
o ความเสี่ยงจากการไม่ปฏิบัติตามระเบียบ
§ จุดมุ่งหมายหลัก:เพื่อระบุจุดอ่อนของระบบควบคุมภายใน และกำหนดแนวทางควบคุมหรือป้องกัน
ความเสี่ยงที่ใช้เป็น เกณฑ์ในการจัดลำดับความสำคัญของหัวข้อที่ควรตรวจสอบ โดยพิจารณาจากผลกระทบและโอกาสเกิด
§ ตัวอย่าง:
o ความเสี่ยงของหน่วยงานที่มีงบประมาณสูง
o ความเสี่ยงจากกระบวนการที่ไม่เคยตรวจสอบเลย
o ความเสี่ยงจากเหตุการณ์ความผิดพลาดที่ผ่านมา
§ จุดมุ่งหมายหลัก: เพื่อกำหนดแผนตรวจสอบภายในที่เน้นพื้นที่เสี่ยงสูง เพื่อใช้ทรัพยากรการตรวจสอบอย่างมีประสิทธิภาพ
เพื่อให้ทุกคนในองค์กรมีความรับผิดชอบร่วมกันในการลดความเสี่ยง และสร้างความมั่นใจว่าองค์กรจะสามารถตอบสนองต่อสถานการณ์ที่ไม่แน่นอนได้อย่างมีประสิทธิภาพ
มี 6 ขั้นตอน ได้แก่
1. จัดสภาพแวดล้อมและบริบทองค์กร (Ex-Internal Environment)
2. การระบุความเสี่ยง (Risk Identification)
3. การประเมินความเสี่ยง (Risk Assessment)
4. การบรรเทาความเสี่ยง (Risk Mitigation)
5. การติดตามและทบทวน (Risk Monitoring)
6. การสื่อสารและรายงาน (Information, Communication, and Reporting)
ตัวอย่างเช่น Root Cause Analysis, Bow-Tie Diagram, Fishbone Diagram และ Failure Mode Effect Analysis (FMEA)
มี 7 ประเภท ได้แก่
- ความเสี่ยงด้านการปฏิบัติตามกฎเกณฑ์ (C - Compliance Risk)
- ด้านปัจจัยภายนอก (E - External Risk)
- ด้านการเงิน (F - Financial Risk)
- ด้านการปฏิบัติการ/การดำเนินงาน (O - Operational Risk)
- ด้านชื่อเสียง (R - Reputational Risk)
- ด้านยุทธศาสตร์/กลยุทธ์ (S - Strategic Risk)
- ด้านเทคโนโลยีสารสนเทศ (T - Information Technology Risk)
ตัวชี้วัดความเสี่ยง (Key Risk Indicators - KRIs) ใช้เป็นดัชนี้เตือนภัยล่วงหน้าเพื่อติดตามความเสี่ยงและช่วยให้สามารถปรับแผนการบริหารความเสี่ยงได้ทันเวลา
มีเกณฑ์ 5 ระดับ ตั้งแต่ "น้อยมาก" ถึง "สูงมาก"
โดยพิจารณาจากผลกระทบต่อ 4 ด้าน คือ ด้านการดำเนินงาน มูลค่าความเสียหายทางการเงิน ความปลอดภัย และชื่อเสียงหรือภาพลักษณ์ขององค์กร
คือค่าระดับความเสี่ยงที่องค์กร/หน่วยงานยอมรับได้ ซึ่งกำหนดขึ้นเพื่อใช้เป็นรายการประกอบเกณฑ์การพิจารณาในขั้นตอนการบริหารและติดตามผลการจัดการความเสี่ยง ทุกไตรมาส
ควรทำทุกไตรมาส และรายงานผลการติดตามต่อผู้บริหารและคณะกรรมการที่เกี่ยวข้องอย่างน้อยปีละ 2 ครั้ง
1. Risk Champion เป็นผู้ประสานงานความเสี่ยงในระดับบริหาร มีบทบาทในการพิจารณาให้ความเห็นแผนบริหารความเสี่ยงของหน่วยงานในภาพรวม และรายงานผลประเด็นความเสี่ยงให้หัวหน้าหน่วยงานรับทราบ เพื่อสื่อสารให้เกิดการมีส่วนร่วม
2. Risk Coordinator เป็นผู้ประสานงานในระดับปฏิบัติการ มีบทบาทในการสนับสนุนข้อมูลการจัดทำแผนบริหารความเสี่ยงของหน่วยงาน และรายงานข้อมูลการบริหารความเสี่ยงของหน่วยงานต่อมหาวิทยาลัย ผ่านระบบบริหารความเสี่ยง (KMUTT Risk Management System, RMS.)
ระบบ RMS ใช้สำหรับการจัดทำแผนบริหารความเสี่ยง การติดตามผล และการรายงานสถานะความเสี่ยงของทุกหน่วยงานในมหาวิทยาลัย
การจัดทำแผนบริหารความเสี่ยงในระบบ RMS ควรดำเนินการใน ไตรมาส 1 (ต.ค. – ธ.ค.) โดย Risk Coordinator จะนำแผนเสนอต่อผู้บริหารเพื่ออนุมัติและติดตามผล
ทบทวนผลการบริหารความเสี่ยงปีที่ผ่านมา กำหนดตัวชี้วัดสำคัญ (Key Risk Indicators, KRIs) จัดทำแผนบริหารความเสี่ยง และนำเข้าระบบ RMS.
ในไตรมาส 2 (ม.ค. – มี.ค.) Risk Coordinator ต้องติดตามผลการดำเนินงานตามแผนความเสี่ยงและปรับปรุงตัวชี้วัดตามความเหมาะสม พร้อมนำข้อมูลเข้าสู่ระบบ RMS.
การประชุมเพื่อติดตามและทบทวนความเสี่ยงของหน่วยงานจะจัดขึ้นในช่วง ไตรมาส 2 (ก.พ. หรือ มี.ค.) และ ไตรมาส 4 (ส.ค. หรือ ก.ย.)
Risk Owner ต้องติดตามผลการดำเนินงานตามตัวชี้วัด KRIs และรายงานสถานะความเสี่ยงในช่วง ไตรมาส 3 (เม.ย. – มิ.ย.)
ไตรมาส 4 (ก.ค. – ก.ย.) เป็นช่วงที่ทบทวนและประเมินความเสี่ยงครอบคลุมทุกหน่วยงานในมหาวิทยาลัย และจัดทำรายงานสรุปผลการบริหารความเสี่ยงประจำปี
การบริหารความเสี่ยงระดับมหาวิทยาลัย ในการประชุมสภามหาวิทยาลัยมีการติดตามความเสี่ยง 2 ครั้งต่อปี ใน ไตรมาส 2 (ก.พ. หรือ มี.ค.) และ ไตรมาส 4 (ส.ค. หรือ ก.ย.)
Risk Champion มีบทบาทสำคัญใน ไตรมาส 2 และ ไตรมาส 4 โดยทำหน้าที่ตรวจสอบความเสี่ยงระดับหน่วยงานและสื่อสารผลการบริหารความเสี่ยง
ผลการบริหารความเสี่ยงประจำปีจะรายงานต่อที่ประชุมผู้บริหารมหาวิทยาลัยในช่วงปลาย ไตรมาส 4 (ส.ค. – ก.ย.)