การทำงานของระบบ ERM
เนื่องจากระบบนี้ได้ถูกออกแบบตามมาตรฐานการบริหารความเสี่ยง COSO การทำงานของระบบจึงได้มีขั้นตอนคล้ายกับ 8 ขั้นตอนของ COSO คือ การกำหนดหรือวิเคราะห์สภาพแวดล้อมภายในองค์กร, การกำหนดวัตถุประสงค์, การบ่งชี้เหตุการณ์, การประเมินความเสี่ยง, การตอบสนองความเสี่ยง, การกำหนดกิจกรรมควบคุม, การเผยแพร่รายงาน สารสนเทศและการสื่อสาร และการติดตามประเมินผล ซึ่งในทุกขั้นตอนนี้ระบบจะกำหนดให้ผู้ใช้งานปฏิบัติตามขั้นตอน ในแต่ละขั้นจะเป็นการรับข้อมูลจากผู้ปฏิบัติงานในแต่ละหน่วยงาน ให้ระบบนำเข้ามาวิเคราะห์หาผลสรุปเป็นภาพรวมในระดับขององค์กร แล้วใช้เป็นฐานข้อมูลในการสร้างรายงานมาตรฐานให้กับองค์กรนั้นๆ
ขั้นตอนที่ 1: การกำหนดหรือวิเคราะห์สภาพแวดล้อมภายในองค์กร
เป็นการระบุสภาพแวดล้อมภายในองค์กร ซึ่งในขั้นตอนนี้ระบบจะรับข้อมูลจากการที่ผู้ใช้งานตอบแบบสอบถาม แล้วระบบจะนำมาวิเคราะห์เพื่อแสดงออกเป็นรายงาน
ขั้นตอนที่ 2: การกำหนดวัตถุประสงค์
เป็นขั้นตอนที่ผู้ใช้งานจะต้องบันทึกแผนงาน หรือโครงการของหน่วยงาน และระบุวัตถุประสงค์ของแผนงานหรือโครงการ, ตัวชี้วัดระดับองค์กรที่สอดคล้องกับแผนงานหรือโครงการ, ระบุประเด็นยุทธ์ศาสตร์ที่แผนงานหรือโครงการนั้นๆสนับสนุน, กิจกรรมต่างๆ (เฉพาะกิจกรรมหลัก) ที่มีอยู่ภายใต้แต่ละแผนงานหรือโครงการ และวัตถุประสงค์ของการควบคุม ของแต่ละกิจกรรมหลักนั้นๆ
ขั้นตอนที่ 3: การบ่งชี้เหตุการณ์
เป็นการวิเคราะห์ความเสี่ยงสำหรับแต่ละกิจกรรมหลักที่ได้บันทึกไว้ เพื่อระบุปัจจัยเสี่ยง (Risk Factor), ผลกระทบที่มีนัยสำคัญ, ประเภทของความเสี่ยง และลักษณะความเสี่ยง
ขั้นตอนที่ 4: การประเมินความเสี่ยง
เป็นการระบุการควบคุมที่มีอยู่ แล้วประเมินว่าเพียงพอหรือไม่ เพื่อระบุปัจจัยเสี่ยงที่ยังคงมีอยู่ให้ทำการจัดการ โดยกำหนดค่าระดับของผลกระทบและโอกาสของความเสี่ยงนั้นๆ เพื่อให้ระบบคำนวณระดับความเสี่ยงตามค่ามาตรฐาน (อ้างอิงค่าจาก Risk Profile Matrix 5×5 โดยค่าที่ได้จะเป็นค่าตั้งแต่ 1 ถึง 25 โดยที่เลข 25 จะเป็นระดับความเสี่ยงที่สูงที่สุด)
เมื่อผ่านขั้นตอนที่ 4 นี้ ระบบจะทำการคัดกรองเอาเฉพาะกิจกรรมหลักที่มีระดับความเสี่ยงสูงกว่า “ต่ำ” (ตัวเลขตั้งแต่ 6 ขึ้นไป) เพื่อนำไปวิเคราะห์ในขั้นตอนต่อๆไป สำหรับความเสี่ยงที่มีระดับความเสี่ยง “ต่ำ” ระบบจะเก็บไว้ แล้วจะแสดงในรายงานสรุปให้กับผู้ใช้งานทราบอีกครั้งหนึ่ง
ขั้นตอนที่ 5: การตอบสนองความเสี่ยง
เป็นขั้นตอนในการระบุวิธีการจัดการความเสี่ยง ซึ่งอ้างถึงมาตรฐานทางเลือกที่มีอยู่ คือ การหลีกเลี่ยง, การควบคุม, การยอมรับ และการถ่ายโอน แล้วทำการเลือกว่าการจัดการความเสี่ยงแบบใดเหมาะสมที่สุด เพื่อกำหนดแผนและผู้รับผิดชอบในการจัดการความเสี่ยง สำหรับกิจกรรมหลักนั้นๆ
ขั้นตอนที่ 6: การบันทึกกิจกรรมควบคุม
เป็นบันทึกรายละเอียดกิจกรรมในการควบคุม ตามหัวข้อที่เป็นมาตรฐานตามแนวทางของคู่มือการควบคุมความเสี่ยงของ สตง. โดยจะประกอบไปด้วย 7 หัวข้อ ดังนี้
- การกำหนดนโยบายและระเบียบวิธีปฏิบัติงาน
- การสอบทานโดยผู้บริหาร
- การควบคุมการประมวลผลข้อมูล
- การอนุมัติ
- การดูแลป้องกันทรัพย์สิน
- การแบ่งแยกหน้าที่
- การจัดทำเอกสารหลักฐาน
ขั้นตอนที่ 7: การเผยแพร่รายงานผ่านระบบสารสนเทศและการสื่อสาร
เป็นการแสดงรายงานการบริหารจัดการความเสี่ยงของทั้งระดับหน่วยงาน และระดับองค์กร จากข้อมูลที่ระบบได้รับตั้งแต่ขั้นตอนที่ 1 ถึง 6 ซึ่งรายงานจะแบ่งออกได้เป็น 2 ส่วนหลัก คือ
- รายงานการควบคุมภายใน ที่ประกอบไปด้วยรายงานแบบปย.1 และ แบบ ปย.2 ตามมาตรฐานของสำนักงานตรวจเงินแผ่นดิน (สตง.) (แบบ ปย. 1: รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน และ แบบ ปย. 2: รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน)
- รายงานการจัดการความเสี่ยง สรุปความเสี่ยงและการจัดการในระดับของหน่วยงาน (รายงานแผนบริหารความเสี่ยงของหน่วยงานย่อย)
ขั้นตอนที่ 8: การติดตามประเมินผล
เป็นการบันทึกติดตามผล การทำกิจกรรมควบคุมความเสี่ยงที่ได้ทำแผนไว้ในขั้นตอนที่ 5 เพื่อเปรียบเทียบกับตัวชี้วัด โดยใส่รายละเอียดของการติดตามผล แล้วประเมินระดับความเสี่ยงที่คงเหลืออยู่ภายหลังจากที่ได้มีกิจกรรมควบคุม ว่าระดับความเสี่ยงคงเหลืออยู่ในระดับใด ซึ่งผลที่ได้นี้ สามารถนำไปใช้เป็นข้อมูลพื้นฐานในการวิเคราะห์ในรอบต่อๆไปได้
ประโยชน์ของระบบ ERM
ระบบ ERM (Enterprise Risk Management) เป็นระบบที่ได้ถูกออกแบบตามหลักการ 8 ขั้นตอน ของการจัดการบริหารความเสี่ยงของ COSO เพื่อให้องค์กรที่นำไปใช้งานได้ประโยชน์ดังนี้
- ระบบนี้สามารถเป็นเครื่องมือ เพื่อช่วยผู้บริหารในการประเมินความเพียงพอเหมาะสมของการควบคุม และทำให้มีการแก้ไขปัญหา ปรับปรุงการทำงานให้ดีขึ้น ซึ่งจะส่งผลให้งานของทั้งส่วนงานย่อย ฝ่ายงาน และสายการบังคับบัญชา บรรลุวัตถุประสงค์ได้อย่างมีประสิทธิภาพมากขึ้น
- ข้อมูลที่ได้รับจากระบบ เป็นข้อมูลรวมจากระดับปฏิบัติการที่มีอยู่ของหน่วยงานย่อยในองค์กร ซึ่งจะช่วยให้ค้นพบปัญหาที่เกิดขึ้นหรือมีแนวโน้มที่จะเกิดขึ้น ก่อนที่จะเกิดความเสียหาย ทำให้หน่วยงานสามารถวางแผนเพื่อจัดการแก้ไขได้
- การใช้งานระบบนี้ เป็นการเปิดโอกาสให้ผู้ปฏิบัติงานในทุกระดับ แสดงความเห็น ข้อเสนอแนะ และร่วมกันกำจัดอุปสรรค และข้อขัดข้องต่างๆ
- ขั้นตอนการทำงานของระบบ เป็นการนำเสนอแนวทางปฏิบัติตามกรอบของนโยบายองค์กร ทำให้พนักงานเข้าใจเป้าหมายขององค์กรที่ตนได้มีส่วนร่วม อีกทั้งช่วยสร้างบรรยากาศที่ดีของการทำงาน และการรับผิดชอบร่วมกันต่อผลสำเร็จขององค์กร
- ระบบมีแบบแผนขั้นตอนการดำเนินการที่ชัดเจน ในการกำหนดเป้าหมายขององค์กร, ตัวชี้วัดความสำเร็จ, การวิเคราะห์งานเพื่อระบุความเสี่ยง, ประเมินความเสี่ยง, การควบคุมความเสี่ยง และการติดตามความเสี่ยง โดยสามารถนำรายละเอียดดังกล่าวมาสร้างเป็นรายงานต่างๆได้
- จากการให้พนักงานมีส่วนร่วมในการให้ข้อมูล จะทำให้เกิดความเข้าใจ และการยอมรับจากผู้ปฏิบัติงานได้ดี มากกว่าการควบคุมสั่งการโดยผู้บริหารแต่ฝ่ายเดียว
ที่มา : http://ermthailand.blogspot.com/p/erm-thailand.html
ความคิดเห็น