Professional Documents
Culture Documents
สาหรับระบบประเมินผลการดาเนินงานรัฐวิสาหกิจ ปี 2563
ประเด็นนาเสนอ
หลักการ/แนวคิดในการพั ฒนา
01 ทฤษฎี แนวความคิด มาตรฐาน และข้อมูลต่าง ๆ ที่นามา
ประยุกต์ใช้ในการพัฒนาเกณฑ์ประเมินผลฯ ด้านบริหาร
ความเสี่ยงและควบคุมภายใน
2
การบริหารความเสี่ยง
และการควบคุมภายใน
3
เกณฑ์การประเมินผลการบริหารความ
เสี่ยงและการควบคุมภายใน พัฒนาตาม
มาตรฐานใด
4
หลักการ/แนวคิด
5
เกณฑ์การประเมินการบริหารความเสี่ยงการควบคุมภายใน COSO 2017 - Enterprise Risk Management integrating with Strategy and Performance
ประยุกต์มาจากเกณฑ์ของ COSO (The Committee of
Sponsoring Organization of Treadway Commission) โดย
พัฒนามาจาก
• COSO 2013- internal Control และ
• COSO 2017 Enterprise Risk Management
integrating with Strategy and Performance
• รวมทั้งการประยุกต์เกณฑ์ที่สอดคล้องตามมาตรฐาน
ISO31000 version 2018
เกณฑ์การประเมินผล COSO 2017 ISO 31000:2018 SEPO COBIT 5 SEPO COSO 2013 SEPO
ERM RM RM Strategic planning IC IC
1. ธรรมาภิบาล และวัฒนธรรมองค์กร -
(Governance & Culture)
2. การกาหนดยุทธศาสตร์และวัตถุประสงค์ -
เชิงยุทธศาสตร์ (Strategy &
Objectives Setting)
3. กระบวนการบริหารความเสี่ยง -
(Performance) -
4. การทบทวนการบริหารความเสี่ยง - -
(Review & Revision)
5. ข้อมูลสารสนเทศ การสื่อสาร และการ -
รายงานผล (Information
Communication & Reporting)
7
ร่างเกณฑ์ประเมินผลการบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control : Risk &IC
5. Information
1. Governance 2. Strategy & 3. Performance 4. Review & Communication &
& Culture Objectives Setting Revision Reporting
8
ร่างเกณฑ์ประเมินผลการบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control : Risk &IC
10
1. Governance and Culture
ธรรมาภิบาลและวัฒนธรรมองค์กร
1. Governance &
Culture
11
กระบวนการสร้างธรรมาภิบาล (Governance)
SIPOC
Process
การกาหนดนโยบายที่บูรณาการในเรื่องกากับดูแลกิจการที่ดีการ
บริหารความเสี่ยง และการควบคุมภายใน (GRC)
การนาไปสู ่การปฏิบต
ั ิ
1) การกาหนดนโยบาย GRC องค์กร โดยคณะกรรมการ
รัฐวิสาหกิจ คณะกรรมการบริหารความเสี่ยงหรือ ฝ่ า ยงานที่ เ กี่ ย วข้ อ งมี ก ารด าเนิ น งานตาม ทบทวนกระบวนการ
คณะกรรมการที่เกี่ยวข้อง แนวทาง G R C ตามแนวทางที่กาหนด
2) การกาหนด Risk Appetite (RA) ระดับองค์กร โดย ครบถ้วน
คณะกรรมการรัฐวิสาหกิจ คณะกรรมการบริหารความเสี่ยง มี ก ารทบทวนโยบายก ากั บ ดู แ ลกิ จ การที่ ดี
หรือคณะกรรมการที่เกี่ยวข้อง การบริ ห ารความเสี่ ย ง และการควบคุ ม
3) นาไปสื่อสารและติดตามผล ภายใน (GRC) เพื่อให้เหมาะสมกับ นโยบาย
อื่นๆที่เกี่ยวข้องขององค์กร
ตัวอย่างองค์ประกอบ GRC
่
เชือมโยง
แผนแม่บท CG
แผนแม่บท HR 12
กระบวนการกาหนดนโยบายและการกากับดูแลด้านการบริหารความเสี่ยงและการ
ควบคุมภายในแบบบูรณาการ (GRC)
1. Governance and Culture การกาหนดโครงร้างและบทบาทหน้าที่ที่เกี่ยวข้องกับการบริหารความเสีย่ งและการ
ควบคุมภายใน การกาหนด RA ระดับองค์กร กระบวนการจัดทาคู่มือและการสื่อสาร
ธรรมาภิบาลและวัฒนธรรมองค์กร คู่มือที่เป็นแนวปฏิบัติทดี่ ีและชัดเจน การสร้างบรรยากาศ วัฒนธรรม
ความตระหนักในการบริหารความเสี่ยง และมีการติดตามประเมินระดับการรับรู้ ความ
เข้าใจ ความตระหนักที่เป็นระบบ รวมทั้งการพัฒนาและสร้างแรงจูงใจในการบริหาร
ความเสี่ยงกับผลการดาเนินงานขององค์กรที่เป็นรูปธรรม
1.1 Exercises Board Risk
Oversight and the development
1) การกาหนดนโยบายที่บูรณาการในเรื่องกากับดูแลกิจการที่ดีการบริหารความเสี่ยง และการ
and performance of Internal control ควบคุมภายใน (GRC) รวมทั้งการกาหนดหลักการในการกาหนด Risk Appetite (RA)
(บทบาทคณะกรรมการในการกากับ ระดั บ องค์ ก ร โดยคณะกรรมการรั ฐ วิ ส าหกิ จ คณะกรรมการบริ ห ารความเสี่ ย งหรื อ
ติดตามการบริหารความเสี่ยงและการ คณะกรรมการที่เกี่ยวข้อง
2) การเผยแพร่นโยบาย กากับดูแลกิจการที่ดี การบริหารความเสี่ยง และการควบคุมภายใน
พัฒนาระบบการควบคุมภายใน) (GRC) แก่พนักงาน และหน่วยงานที่เกี่ยวข้องภายนอกอย่างทั่วถึง
3) นานโยบายที่บูรณาการในเรื่องกากับดูแลกิจการที่ดี การบริหารความเสี่ยง และการควบคุม
ภายใน (GRC) ไปปฏิบัติอย่างเป็นรูปธรรม
4) การทบทวนโยบายก ากับ ดู แ ลกิจ การที่ดี การบริ ห ารความเสี่ ยง และการควบคุ มภายใน
(GRC) เพื่อให้เหมาะสมกับ นโยบายอื่นๆที่เกี่ยวข้องขององค์กร
5) การปรับปรุ งนโยบายการกากับดูแ ลกิจการที่ดี การบริหารความเสี่ยง และการควบคุ ม
ภายใน (GRC) ให้สอดคล้องกับบริบทของรัฐวิสาหกิจและมาตรฐานสากลที่เปลี่ยนแปลงไป
13
GRC
การกาหนดนโยบายทีม่ ี
ความเชื่อมโยงและสอดคล้องใน
นโยบายเดียวกันทีม่ ุ่งเน้น
การบูรณาการทั้ง 3 เรื่อง ทั้ง
Governance Risk Compliance
14
1. Governance and Culture 1) การมี ห น่ ว ยงานเพื่ อ จั ด การความเสี่ ย งและการควบคุ ม ภายในที่ ชั ด เจน โดยก าหนด
โครงสร้าง บทบาทหน้าที่ของมีผู้ที่ที่รับผิดชอบการบริหารจัดการความเสี่ยง และการ
ธรรมาภิบาลและวัฒนธรรมองค์กร ควบคุมภายในที่ชัดเจน
2) การกาหนดและสรรหาบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหาร
ความเสี่ยงและการควบคุมภายใน และมีการทางานที่เป็นรูปธรรมอย่างจริงจัง รวมทั้ง
1.2 Establishes Operating กาหนดบทบาท อานาจหน้าที่ และ กระบวนการในการดาเนินงาน ที่ชัดเจนเป็นรูปธรรม
(มีการกาหนดหน้าที่งาน (Job Description:JD มีโครงสร้างความรับผิดชอบ มีแผนงาน
structures (โครงสร้างและ รองรับ) และการกาหนดแผนงานของการดาเนินงานตามโครงสร้างผู้รับผิดชอบที่ชัดเจน
รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน และกระบวนการจัดทาคู่มือการ
บทบาทหน้าที่) บริหารความเสี่ยงที่มีองค์ประกอบที่ครบถ้วน เพื่อให้สามารถนาไปปฏิบัติได้อย่างชัดเจน
3) โครงสร้างหน่วยงาน/คณะทางานฯ มีการทางานมีการทางานที่เป็นรูปธรรมอย่างจริงจัง
4) โครงสร้างและบทบาทหน้าที่ด้านการบริหารความเสี่ยงและการควบคุมภายใน สอดคล้อง
กับการกาหนดโครงสร้างและบทบาทหน้าที่ของกระวนการทางานอื่นรวมทั้งมีการสื่อสาร
ผู้บริหารมีการติดตามติดตามผลการดาเนินงานของหน่วยงาน/คณะทางนที่รับผิดชอบฯ
โดยสามารถดาเนินงานตามแผนงานของหน่วยงาน และสามารถบรรลุเป้าหมายตาม
แผนการปฏิบัติงานนั้นได้ครบถ้วน และมีกระบวนการในการตรวจสอบถึงความเข้าใจของ
ผู้บริหารและพนักงานในคู่มือดังกล่าว
5) การประเมินประสิทธิผลของการกาหนดโครงสร้างและบทบาทหน้าที่ โดยมีการติดตามผล
การดาเนินงานของหน่วยงาน/คณะทางนที่รับผิดชอบ และนาข้อมูลไปใช้เพื่อปรับปรุง
กระบวนการฯ กาหนดโครงสร้างและบทบาทหน้าที่ รวมทั้งทบวนการจัดทาแผนปฏิบัติ
การของปีต่อไปพื่อให้เกืดกระบวนการจัดการความเสี่ยงที่บูรณาการจากทุกหน่วยงาน
และการทบทวน /ปรับปรุง คู่มือการบริหารความเสี่ยง
15
1. Governance and Culture 1) จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง (Culture)
ธรรมาภิบาลและวัฒนธรรมองค์กร 2) การกาหนดกระบวนการ/ดาเนินการสร้างความตระหนักเกี่ยวกับความสาคัญ
หรื อ ความรู้ ค วามเข้า ใจของการบริ หารความเสี่ยงในองค์ กร ครอบคุ ล มทั้ง
คณะกรรมการ รส. คณะกรรมการบริหารความเสี่ยง ผู้บริหาร และพนักงาน
3) การฝึกอบรม/ชี้แจง/ทาความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยง โดย
1.3 Defines Desired Culture มีการให้ความรู้กับผู้บริหาร (3 อันดับแรก) และพนักงานที่เกี่ยวข้อง (Risk
(บรรยากาศและวัฒนธรรม Owner) และประเมินความรู้ความเข้าใจ
4) กระบวนการ/ดาเนิน การสร้ า งความตระหนักเกี่ ย วกับความส าคั ญ /ความรู้
สนับสนุนการบริหารความเสีย่ ง) ความเข้ า ใจของการบริ ห ารความเสี่ ย งในองค์ ก ร มี ค วามสอดคล้ อ งกั บ
กระบวนการพั ฒ นาบุ ค ลากร และหั ว ข้ อ อื่ น ที่ เ กี่ ย วข้ อ ง เช่ น เช่ น แผน
ยุทธศาสตร์ด้าน HR แผนแม่บทเทคโนโลยีดิจิทัล เป็นต้น
5) การสารวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร และ
สามารถสรุปผลการสารวจเสนอผู้บริหารในสายงานที่เกี่ยวข้อง โดยมีแผนงาน
ในการปรับปรุงจากข้อสังเกตที่ได้จากการสารวจ รวมถึงผลการสารวจต้องดี
ขึ้นจากปีที่ผ่านมา หรือ จากผลการสารวจครั้งก่อน แล้วแต่ว่าครั้งใดเป็นครั้ง
ล่าสุด
16
Governance Operating Structure and Reporting Lines
Enterprise Risk Management Structures
Source: M. Kaptein, Professor Business Ethics at Erasmus University, Feb 10th, 2017
1. Governance and Culture 1) การกาหนดกระบวนการในการสร้างวัฒนธรรมองค์กรด้านความเสี่ยงที่มุ่งตอบสนอง
ธรรมาภิบาลและวัฒนธรรมองค์กร และส่งเสริมค่านิยมองค์กร
2) การทบทวนสถานการณ์ ค วามเสี่ ย งที่ จ ะช่ ว ยให้ ทุ ก คนเข้ า ใจถึ ง ความสั ม พั น ธ์ แ ละ
ผลกระทบของความเสี่ยงก่อนตัดสินใจ ของคณะกรรมการ คณะกรรมการบริหารความ
เสี่ยง ผู้บริหาร และพนักงาน และกระบวนการในการกระตุ้นให้เกิดการรับรู้ถึงความ
1.4 Demonstrates 3)
เสี่ยงในองค์กรและการสร้างบรรยากาศและวัฒนธรรมสนับสนุนการบริหารความเสี่ยง
การพั ฒนาและสร้ า งพฤติ ก รรมในการสร้ างวั ฒนธรรมองค์ ก รด้ านความเสี่ ย งที่ มุ่ ง
Commitment to Core ตอบสนองและส่งเสริมค่านิยมองค์กร ครอบคลุมทั้งคณะกรรมการ รส. คณะกรรมการ
บริหารความเสี่ยง ผู้บริหาร และพนักงาน
Values (ความมุ่งมั่นต่อ 4) ระบวนการ/ดาเนินการสร้างความตระหนักเกี่ยวกับความสาคัญ/ความรู้ความเข้าใจของ
การบริหารความเสี่ยงในองค์กร มีความสอดคล้องกับกระบวนการพัฒนาบุคลากร และ
ค่านิยมองค์กร) หัวข้ออื่นที่เกี่ยวข้อง เช่น แผนยุทธศาสตร์ด้าน HR แผนแม่บทเทคโนโลยีดิจิทัล เป็น
ต้น
5) การสารวจทัศนคติ/พฤติกรรมของพนักงานในเรื่องการส่งเสริมพฤติกรรมในการสร้าง
วัฒนธรรมองค์กรด้านความเสี่ยงทีม่ งุ่ ตอบสนองค่านิยมองค์กร และสามารถสรุปผลการ
สารวจเสนอผู้บริหารในสายงานที่เกี่ยวข้อง โดยมีแผนงานในการปรับปรุงจากข้อสังเกต
ที่ได้จากการสารวจ รวมถึงผลการสารวจต้องดีขึ้นจากปีที่ผ่านมา หรือ จากผลการ
สารวจครั้งก่อน แล้วแต่ว่าครั้งใดเป็นครั้งล่าสุด
19
1. Governance and Culture 1) การกาหนดแผนงานในการเชื่อมโยงผลการประเมินเฉพาะการบริหารความ
ธรรมาภิบาลและวัฒนธรรมองค์กร เสี่ย งกับผลตอบแทน/แรงจูง ใจในการประเมิ น ผู้ บริ ห ารแต่ล ะระดับ อย่ า ง
ชัดเจน (Incentive)
2) ดาเนินการได้จริงในการเชื่อมโยงผลการประเมินเฉพาะการบริหารความเสี่ยง
กับผลตอบแทน/แรงจูงใจในการประเมินผู้บริหารแต่ละระดับอย่างชัดเจน
1.5 Attracts, Develops, 3) การถ่ายทอดตัวชี้วัดระดับองค์กรลงสู่ระดับสายงาน โดยเฉพาะตัวชี้วัดการ
and Retains Capable บริหารความเสี่ยงทั้งในลักษณะของปัจจัยเสี่ยงของสายงาน และกิจกรรมที่
สายงานต้อ งสนับสนุน การบริ หารความเสี่ย ง โดยทุกฝ่า ยงาน/สายงานที่
Individuals องค์กรต้องมีการจัดทา Risk Profile ของแต่ละสายงาน และสามารถผูก
แรงจูงใจในแต่ละขั้นกับ Risk Profile ของฝ่ายงานในแต่ละระดับที่สามารถ
(แรงจูงใจ การพัฒนาและ ลดระดับความรุนแรงลงได้ครบถ้วน
4) กระบวนการเชื่ อ มโยงผลการประเมิ น เฉพาะการบริ ห ารความฯ มี ค วาม
การรักษาบุคลากร) เชื่อมโยงกับกระบวนการบริหารทุนมนุษย์ ในการประเมินผลการดาเนินงาน
และการถ่ า ยทอดความเสี่ ย งระดั บ สายงานสอดคล้ อ งกั บ การวิ เ คราะห์
แผนงานโครงการและการประเมินความเสี่ยงแผนงานของแต่ละสายงาน
5) การทบทวนแนวทางการก าหนดการเชื่ อ มโยงผลการประเมิ น เฉพาะการ
บริหารความเสี่ยงกับผลตอบแทน/แรงจูงใจในการประเมิน
20
Enterprise risk management1 is defined here as:
The culture, capabilities, and practices, integrated with strategy-setting and
performance, that organizations rely on to manage risk in creating, preserving, and
realizing value.
1Souce: Enterprise Risk Management – Integrating with Strategy and Performance COSO2017 , june 2017
21
2. Strategy & Objectives Setting
การกาหนดยุทธศาสตร์และวัตถุประสงค์/
เป้าประสงค์เชิงยุทธศาสตร์
2. Strategy &
Objectives Setting
22
กระบวนการการระบุเป้าหมายการบริหารความเสี่ยง (Risk Appetite :RA))
SIPOC
Process
กระบวนการในการก าหนดความเสี่ ย งที่ อ งค์ ก รยอมรั บ ได้ (Risk
Appetite: RA) ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง
(Risk Appetite) และการกาหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่
องค์กรยอมรับได้นั้น (Risk Tolerance: RT)
การนาไปสู ่การปฏิบต
ั ิ
1) การระบุ Risk Appetite และ Risk Tolerance โดยสามารถแสดงให้
เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ของ การสื่อสารและถ่ายทอด RA RT ต่อผู้มีส่วน ทบทวนกระบวนการ
องค์กรได้อย่างชัดเจน (Business Objective) ได้ส่วนเสียที่เกี่ยวข้อง ที่สอดคล้องตามสาเหตุ
2) คานึงถึงความต้องการของผู้มีส่วนได้เสียทุกกลุ่ม ต้องมีการถ่ายทอด ของแต่ละปัจจัยเสี่ยงที่กาหนด
Risk Appetite/ Risk Tolerance ที่ถ่ายทอดจากวัตถุประสงค์เชิง มีการประเมินประสิทธิผลของการกาหนดค่า
ธุรกิจ Business Objective โดยสามารถระบุได้ว่าเป็น Strategic RA RT ที่สอดคล้องกับเป้าหมายองค์กร
Risk/ Operational Risk/Financial Risk และ Compliance Risk (S- (Business Objective) ที่มีการเปลี่ยนแปลง
O-F-C) หรือประเภทความเสี่ยงตามที่กาหนด ตัวอย่างการกาหนด RA RT ที่เชื่อมโยงกับเป้าหมายองค์กร ระหว่างปีได้ทันกาล และนาข้อมูลไปใช้เพื่อ
ปรับปรุงกระบวนการฯ
่
เชือมโยง
แผนยุทธศาสตร์
แผนแม่บทต่างๆ
23
2.1 Analyzes Business Context 2. Strategy & Objectives Setting
(การวิเคราะห์ธุรกิจ) (ประเมินในหัวข้อการวางแผนเชิงกลยุทธ์
การกาหนดยุทธศาสตร์และวัตถุประสงค์/
-การวิเคราะห์ธรุ กิจการวางแผนเชิงกลยุทธ์ หัวข้อย่อย-การวิเคราะห์สภาพแวดล้อม เป้าประสงค์เชิงยุทธศาสตร์
(Environmental Scanning)
Source: Dr. Larry Rittenberg and Frank Martens . Understanding and Communicating Risk Appetite, Enterprise Risk Management.
Risk Tolerance
Risk tolerance is the risk exposure an
organization determines appropriate to take or
avoid. Clarity enables an organization to know
with certainty what risk exposure it can take
and what risk exposures it must avoid.
Determining risk tolerance involves applying judgment giving careful consideration to five key factors.
Your organization’s attitude toward taking risk.
Your organization’s goals
Your organization’s capability to manage the risk.
Your organization’s capacity to absorb the impact of potential loss related to taking the risk.
The Cost/benefit of managing the risk.
Cascading Risk Appetite
ค่า RA RT มักเป็นค่า
ใดค่าหนึ่งที่จะระบุให้
สอดคล้องตาม KRI
27
การระบุ Risk Appetite และ Risk Tolerance
ระดับความเสี่ยงที่ยอมรับได้ ช่วงเบี่ยนเบนของระดับความเสี่ยงที่ยอมรับได้
ประเภทความเสี่ยง
(Risk Appetite) (Risk Tolerance)
ด้านกลยุทธ์ สอดคล้องตามเป้าประสงค์ในแผนยุทธศาสตร์ ค่าระดับ 3 ตาม BSC (หากเชื่อมโยงกับเกณฑ์ชี้วัด
(Strategic Risk) ใน Balanced Scorecard องค์กร)
ด้านการปฏิบัติ การดาเนินการภายใต้กฎหมายกฎระเบียบและนโยบายของรัฐบาล -
ตามกฎระเบียบที่ หน่วยงานกากับดูแลและหน่วยงานอื่นที่เกี่ยวข้อง
เกี่ยวข้อง
(Compliance
Risk)
28
2.3 Evaluates Alternative Strategies 2. Strategy & Objectives Setting
(การประเมินทางเลือกและกาหนดยุทธศาสตร์) - ประเมินในหัวข้อการวางแผนเชิงกลยุทธ์ หัวข้อย่อย-การ การกาหนดยุทธศาสตร์และวัตถุประสงค์/
กาหนดยุทธศาสตร์ /กลยุทธ์ (Strategic Formulation))
2.4 Formulates Business Objectives เป้าประสงค์เชิงยุทธศาสตร์
(การกาหนดวัตถุประสงค์ในการดาเนินธุรกิจเพื่อสร้างมูลค่าเพิ่มให้กับองค์กร) - ในส่วนการกาหนด
Business Objectives ประเมินในหัวข้อการวางแผนเชิงกลยุทธ์ หัวข้อย่อย - การกาหนดวัตถุประสงค์เชิง
ยุทธศาสตร์ (Strategic Objective)
1) การทา Value Creation และ Value Enhancement เพื่อให้เชื่อมโยงกับวัตถุประสงค์เชิงยุทธศาสตร์ ในการ 2.4 Formulates
นามาบริหารและสร้างมูลค่าเพิ่มให้กับองค์กร ได้
2) การระบุเหตุการณ์ที่เป็นโอกาสของธุรกิจ ซึ่งมีความสัมพันธ์กับการระบุโอกาส (Opportunity)ใน SWOT ของ
Business Objectives
องค์กร และได้มีการวิเคราะห์ถึงปัจจัยเสี่ยงของเหตุการณ์ดังกล่าว และนามาเข้ากระบวนการบริหารความเสี่ยง (การกาหนดวัตถุประสงค์ในการ
จนสามารถทาให้ระดับความรุนแรงของปัจจัยเสี่ยงดังกล่าวลดลง ด้วยการวิเคราะห์สภาพแวดล้อมทั้งภายในและ ดาเนินธุรกิจเพื่อสร้างมูลค่าเพิ่ม
ภายนอกธุรกิจอีกครั้ง หลังจากที่ได้มีการบริหารความเสี่ยงแล้ว รวมถึงเสนอคณะกรรมการ รส. เพื่ออนุมัติ
3) การกาหนดแผนบริหารความเสี่ยงสาหรับความเสี่ยงทีส่งผลในการที่สร้างความมั่นใจถึงการเป็นองค์กรแห่งการ ให้กับองค์กร)
เรียนรู้ (Learning Organization) และได้ดาเนินการตามแผนการบริหารความเสี่ยงดังกล่าวครบถ้วน ระดับความ
รุ น แรงของความเสี่ ย งที ส่ ง ผลในการที่ ส ร้ า งความมั่ น ใจถึ ง การเป็ น องค์ ก รแห่ ง การเรี ย นรู้ (Learning
Organization) ลดลงได้ตามเป้าหมายที่กาหนด
4) กระบวนการ/ดาเนินการการทา Value Creation และ Value Enhancement มีความสอดคล้องกับกระบวนการ
กาหนดตาแหน่ งเชิง ยุทธศาสตร์ วั ตถุประสงค์เ ชิงยุท ธศาสตร์ แผนยุทธศาสตร์อ งค์กร รวมถึงแผนแม่บทที่
เกี่ยวข้อง เช่น แผนงาน KM เป็นต้น
5) มีการประเมินประสิทธิผลของการทา Value Creation และ Value Enhancement เพื่อให้เชื่อมโยงกับ
วัตถุประสงค์เชิงยุทธศาสตร์ ในการนามาบริหารและสร้างมูลค่าเพิ่มให้กับองค์ก ที่สอดคล้องกับเป้าหมายองค์กร
(Business Objective ) รวมทั้งวัตถุประสงค์เชิงยุทธศาสตร์ และยุทธศาสตร์ ที่มีการเปลี่ยนแปลงระหว่างปีได้
ทันกาล และนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
29
3. Performance
(กระบวนการบริหารความเสี่ยง)
3. Performance
** เกณฑ์การประเมินผลมีประเด็นของการพิจารณาเพิ่มเติมจาก 5 องค์ประกอบย่อยข้างต้น
การพิจารณาความเพียงพอของกิจกรรมควบคุม (Design Control Activity)
30
กระบวนการการระบุปัจจัยเสี่ยง
SIPOC
Process
กระบวนการในการระบุความเสี่ยงระดับองค์กรที่สอดคล้องกับประเภท
ความเสี่ยงที่องค์กรกาหนดและการกาหนดประสิทธิผลของความเพียงพอ
ของการควบคุม
การนาไปสู ่การปฏิบต
ั ิ
1) พิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดาเนินกิจการของ
องค์กร โดยต้องมีการพิจารณาที่มาที่ครอบคลุม ทั้งจากปัจจัยภายใน การถ่ายทอดความเสี่ยงระดับองค์กร ให้กับสาย ทบทวนกระบวนการ
ปัจจัยภายนอก ยุทธศาสตร์และเป้าหมายที่สาคัญขององค์กร จุดอ่อน งานที่รับผิดชอบ และมีการระบุความเสี่ยงในระดับ
ความต้องการความคาดหวังของผู้มีส่วนได้ส่วนเสีย ตัวชี้วัดที่สาคัญ สายง าน ที่ ร อง รั บ ความเสี่ ย ง อง ค์ ก ร แ ละ
ขององค์กร (Inherent Risk) เพื่อกาหนด Risk Universe ยุทธศาสตร์องค์กร และแผนงานของสายงาน มีการประเมินประสิทธิผลของการระบุปัจจัย
2) พิจารณาประสิทธิผลของการควบคุมภายใน โดยมีความเชื่อมโยงกับ เสี่ยงระดับองค์กร และระดับสายงาน และ
เป้าหมายประจาปีขององค์กร และสามารถแสดงถึงความเชื่อมโยง นาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
ระหว่างปัจจัยเสี่ยงที่เหลืออยู่ในปีก่อนหน้ากับปีที่ประเมินได้ชัดเจน ตัวอย่างการระบุปัจจัยเสี่ยง (Risk Identification) ที่ครอบคลุม
่
เชือมโยง นโยบาย
ภาครัฐ
ยุทธศาสตร์ นโยบายฺ
Board
แผนยุทธศาสตร์ และแผน ความ
ต่างๆ ที่เกี่ยวข้อง เสี่ยง
ปัจจัยเสี่ยง Supply
เดิม Chain
นโยบาย และสภาพแวดล้อม ตัวชีวัด Corporate Risk
ภายนอก ตาม PA Risk Universe
31
3. Performance
(กระบวนการบริหารความเสี่ยง) 3.1 Identifies Risk (การระบุปัจจัยเสี่ยง)
• การระบุความเสี่ยงระดับองค์กรที่สอดคล้องกับประเภทความเสี่ยงที่องค์กรกาหนด โดยต้อง
พิจารณาว่ามี ความเสี่ยงใดบ้ างที่เกี่ ยวข้องกั บการด าเนินกิจ การขององค์กร โดยต้ องมี การ
พิจารณาที่มาที่ครอบคลุม ทั้งจากปัจจัยภายใน ปัจจัยภายนอก ยุทธศาสตร์และเป้าหมายที่
สาคัญขององค์ก ร จุด อ่อน ความต้อ งการความคาดหวั งของผู้มี ส่วนได้ ส่ว นเสีย ตั วชี้วัด ที่
การระบุขั้นตอนในการระบุความเสี่ยงระดับองค์กรที่สอดคล้อง สาคัญขององค์กร (Inherent Risk) เพื่อกาหนด Risk Universe
กับประเภทความเสี่ยงทีอ่ งค์กรกาหนด โดยต้องพิจารณาว่ามี • กาหนดประสิทธิ ผลของความเพียงพอของการควบคุม รวมทั้งการพิจารณาถึงระดับความ
ความเสี่ยงใดบ้างที่เกี่ยวข้องกับยุทธศาสตร์ ทิศทาง และการ เสี่ยงที่เหลืออยู่ (Residual Risk) หลังจากพิจารณาประสิทธิผลของการควบคุมภายใน โดยมี
ดาเนินกิจการขององค์กร (Risk Universe) การกาหนด/ ความเชื่อมโยงกับเป้าหมายประจาปีขององค์กร และสามารถแสดงถึงความเชื่อมโยงระหว่าง
ปัจจัยเสี่ยงที่เหลืออยู่ในปีก่อนหน้ากับปีที่ประเมินได้ชัดเจน มีการประเมินประสิทธิผลของทุก
ประเมินกิจกรรมการควบคุมภายในที่ครอบคลุมกิจกรรมของ
ขั้นตอน และทุกขั้นตอนได้ประสิทธิผลตามที่กาหนด มีการสื่อสารปัจจัยเสี่ยงที่มีการระบุต่อ
องค์กร การประเมินระดับความรุนแรงของความเสีย่ งโดยการ ผู้รับผิดชอบ (Risk Owner) ที่เกี่ยวข้อง
ใช้ฐานข้อมูลในอดีตในการพิจารณา การจัดลาดับความสาคัญ • กระบวนการในการถ่ายทอดความเสี่ยงระดับองค์กร ให้กับสายงานที่รับผิดชอบ และมีการ
ในการจัดการความเสี่ยงระดับองค์กร จนสามารถนาไปกาหนด ระบุ ค วามเสี่ย งในระดั บสายงาน ที่ร องรับ ความเสี่ย งองค์ก รและยุทธศาสตร์ อ งค์ ก ร และ
แผนในการจัดการ/ตอบสนองความเสี่ยงที่เชื่อมโยงกับกิจกรรม แผนงานของสายงาน นอกจากนี้ กรณีที่ รส. มีบริษัทลูก ต้องมีการกาหนดความเสี่ยงองค์กร
การควบคุมภายในที่มี และสัมพันธ์ตามสาเหตุทไี่ ด้กาหนดใน ที่ครอบคลุม
• การดาเนินการระบุความเสี่ยงองค์กร ที่สอดคล้องกับกระบวนการและกิจกรรมควบคุมภายใน
การจัดทาการบริหารความเสี่ยงเชิงบูรณาการ (Risk
กระบวนการประเมินประสิทธิผลการควบคุมภายใน รวมทั้งการพิจารณาถึงระดับความเสี่ยง
Correlation Map) รวมทั้งการพัฒนาเป็น Portfolio View of ที่เหลืออยู่ (Residual Risk) หลังจากการควบคุมภายใน โดยมีความเชื่อมโยงกับเป้าหมาย
Risk) เพื่อให้รู้จักองค์กรสามารถวิเคราะห์และบริหารความ ประจาปีขององค์กร และสามารถแสดงถึงความเชื่อมโยงระหว่างปัจจัยเสี่ยงที่เหลืออยู่ในปี
เสี่ยงได้ครบกระบวนการที่ดี ที่สามารถสร้างความมั่นใจการ ก่อนหน้ากับปีที่ประเมินได้ชัดเจน
บรรลุเป้าหมายองค์กร • มีการประเมินประสิทธิผลของการระบุความเสี่ยงระดับองค์กร และนาข้อมูลไปใช้เพื่อปรับปรุง
กระบวนการฯ
32
Risk Identification : Tools
1. Documentation reviews
2. Information-gathering techniques
Brainstorming
Delphi technique
Interviewing
Root cause Analysis
3. Checklists
4. Assumptions analysis
5. Diagramming techniques
Cause-and-effect diagrams
Influence diagrams
System or process flow charts
6. Strengths, weaknesses, opportunities and threats (SWOT) analysis
7. Expert judgment
33
ตัวอย่างการระบุปัจจัยเสี่ยง (Risk Identification) ที่ครอบคลุม
34
• การกาหนดและพัฒนากิจกรรมการควบคุม เพื่อควบคุมความเสี่ยงใน
3. Performance แต่ละกิจกรรมขององค์กร
• มี กระบวนการในการประเมิ น ความเพีย งพอของระบบการควบคุ ม
(กระบวนการบริหารความเสี่ยง) ภายใน ประกอบการระบุปัจจัยเสี่ยงระดับองค์กร และทุกสายงานมี
การประเมินกิจกรรมการควบคุม ประกอบการวิเคราะห์ปัจจัยเสี่ย ง
ระดับสายงาน ได้ครบถ้วนทุกสายงาน
3.2 Selects and Develops • ทุกสายงานมีการประเมินกิจกรรมการควบคุมประกอบการวิเคราะห์
ปั จ จั ย เสี่ ย งระดั บ สายงาน ได้ ค รบถ้ ว นทุ ก สายงาน การประเมิ น
Control Activities ประสิ ท ธิ ผ ลของทุ ก ขั้ น ตอน และทุ ก ขั้ น ตอนได้ ป ระสิ ท ธิ ผ ลตามที่
ก าหนด (ความครบถ้ ว นของปั จ จั ย , กระบวนการ , ผลผลิ ต ,
(การกาหนดกิจกรรมการ ระยะเวลาที่แล้วเสร็จ)
• กิจกรรมการควบคุมที่กาหนด มีการบุรณาการกับกระบวนการพัฒนา
ควบคุม เทคโนโลยีดิจิทัลในการนาระบบเทคโนโลยีดิจิทัล มาพัฒนากิจกรรม
การควบคุ ม และกิ จ กรรมการควบคุ ม สอดคล้ อ งกั บ แผนงาน /
แผนปฏิบติการประจาปีที่เกี่ยวข้อง
• มี ก ารทบทวนกิ จ กรรมการควบคุ ม ระหว่ า งปี เพื่ อ ให้ กิ จ กรรมการ
ควบคุ ม เป็ น ส่ว นหนึ่ ง ของแผนงานจั ดการความเสี่ย งที่ ส นับ สนุน ให้
ความเสี่ยงบรรลุตามเป้าหมายที่กาหนด
35
• การกาหนดเกณฑ์ประเมินระดับความรุนแรง ทั้งในเชิงโอกาส และผลกระทบแยกราย
ปัจจัยเสี่ยง
3. Performance • การกาหนดเกณฑ์ประเมินระดับความรุนแรง โดยการใช้ฐานข้อมูลในอดีต หรือ การ
(กระบวนการบริหารความเสี่ยง) คาดการณ์ในอนาคตเพื่อประกอบกับการกาหนดระดับความรุนแรงของแต่ละปัจจัย
เสี่ยง ทั้งนี้การกาหนดระดับความรุนแรง (โอกาส และผลกระทบ) ต้องสัมพันธ์กับ
ขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary) เพื่อจัดลาดับ
ความเสี่ยง และกาหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวังของทุกปัจจัย
3.3 Assesses Severity เสี่ ยงได้ อ ย่ างชั ด เจนการด าเนิ นการประเมิ นระดั บ ความรุ นแรงรายปั จ จั ยเสี่ ยงได้
ครบถ้วนตามกระบวนการที่กาหนด
of Risk • มี ก ารสื่ อ สารเกณฑ์ ก ารประเมิ น ระดั บ ความรุ น แรงของแต่ ล ะปั จ จั ย เสี่ ย ง ต่ อ
ผู้รับผิดชอบ (Risk Owner) ที่เกี่ยวข้อง
(การประเมินระดับความ • การกาหนดระดับความรุนแรง มีความเชื่อมโยงกับฐานข้อมูลองค์กรในการใช้ระบบ
เทคโนโลยีดิจิทัลในการนาระบบเทคโนโลยีดิจิทัล มาพัฒนาการกาหนดเกณฑ์วัด ระดับ
รุนแรงของปัจจัยเสี่ยง) ความรุนแรง เพื่อกาหนดเป็นฐานข้อมูล
• การรายงานผลระดั บ ความรุ น แรงของแต่ ล ะปั จ จั ย เสี่ ย งรายไตรมาส เที ย บกั บ
เป้าหมายที่คาดหวัง พร้อมวิเคราะห์ถึงปัญหา/อุปสรรค และแนวทางที่จะบรรลุถึง
เป้าหมาย และมีการประเมินประสิทธิผลของการกาหนดเกณฑ์ประเมินระดับความ
รุนแรง ทั้งในเชิงโอกาส และผลกระทบและนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
36
1) การกาหนดขอบเขตระดับ ความเสี่ย งที่ อ งค์ ก รสามารถรั บ ได้ (Risk
Boundary) การกาหนดระดับความเสี่ยง (สูง ปานกลาง ต่า) และ
3. Performance การจัดลาดับความเสี่ยง ของแต่ละปัจจัยเสี่ยง และการจัดทาแผนภาพ
(กระบวนการบริหารความเสี่ยง) ความเสี่ยง (Risk Profile)
2) การดาเนินการตามขั้นตอนที่สาคัญครบถ้วน และทุกขั้นตอนสามารถ
เป็นไปตามกระบวนการที่กาหนด
3.4 Prioritizes Risks 3) การแสดงผลการจัดลาดับความเสี่ยง และรายงานผลรายไตรมาส
4) การบูรณาการกาหนดขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้
(การจัดลาดับความเสี่ยง) (Risk Boundary) การกาหนดระดับความเสี่ยง (สูง ปานกลาง ต่า)
กับเป้าประสงค์ และวัตถุประสงค์เชิงยุทธศาสตร์ขององค์กร และค่า
ความเสี่ยงที่ยอมรับได้ (Risk Appetite)
5) การประเมินประสิทธิผลของทุกขั้นตอน และทุกขั้นตอนได้ประสิทธิผล
ตามที่กาหนด (ความครบถ้วนของปัจจัย , กระบวนการ , ผลผลิต ,
ระยะเวลาที่แล้วเสร็จ ) การประเมินประสิทธิผลของการการกาหนด
ขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)
และการจัด ล าดั บความเสี่ ย ง ของแต่ ล ะปั จจั ย เสี่ ย ง และการจั ดท า
แผนภาพความเสี่ยง (Risk Profile) และนาข้อมูลไปใช้เพื่อปรับปรุง
กระบวนการฯ "
37
1) การกาหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยง (Mitigation) ที่ระบุไว้
2) พิจารณาถึงวิธีการ/แผนงานจัดการความเสี่ยงเพื่อลดผลกระทบ หรือลด
3. Performance โอกาสที่จะเกิด รวมทั้งกระบวนการและหลักเกณฑ์ในการประเมินค่าใช้จ่าย
(กระบวนการบริหารความเสี่ยง) และผลประโยชน์ที่ได้ (Cost Benefit) ในการจัดการความเสี่ยงในแต่ละ
ทางเลือก ในทุกความเสี่ยงที่เหลืออยู่ (Residual Risk) ที่ผ่านการจัดลาดับ
ความเสี่ยงในการกาหนดเป็นความเสี่ยงระดับองค์กร และสรุปเป็นแผนงาน
จัดการความเสี่ยงในแต่ละความเสี่ยงระดับองค์กร
3.5 Implements Risk 3) การก าหนดเกณฑ์ ใ นการพิ จ ารณาแผนงาน /กิ จ กรรมการควบคุ ม
(ประสิทธิผลการควบคุมภายใน) ร่วมกับการพิจารณาเพื่อกาหนด/คัดเลือก
Responses วิธีการจัดการความเสี่ยง ในการคัดเลือกวิธีการจัดการความเสี่ยงที่ชัดเจน
4) การบู ร ณาการการ การก าหนด/คั ด เลื อ กวิ ธี ก ารจั ด การต่ อ ความเสี่ ย ง
(การกาหนด/คัดเลือกวิธีการ (Mitigation) กับการวิเคราะห์ความเสี่ยงเชิงบูรณาการ (Risk Correlation Map)
จัดการต่อความเสี่ยงที่ระบุไว้) และกระบวนการอื่น เช่น การกาหนดกิจกรรมการควบคุม แผนปฏิบัติการต่างๆ
ที่เกี่ยวข้อง รวมทั้งการออกแบบระบบงาน (Work System) และกระบวนการ
(Work Process) ในการดาเนินงานขององค์กร เป็นต้น
5) มีการประเมินประสิทธิผลของการกาหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยง
(Mitigation) และนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
38
• การกาหนดกระบวนการในการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่
มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Correlation Map ขององค์กร ที่มี
การกาหนดสาเหตุของความเสี่ยงในทุกปัจจัยเสี่ยง และสามารถกาหนดระดับความ
3. Performance รุนแรงของแต่ละสาเหตุในทุกปัจจัยเสี่ยง การวิเคราะห์ความสัมพันธ์ของปัจจัยเสี่ยง
(กระบวนการบริหารความเสี่ยง) และสาเหตุ การวิเคราะห์ผลกระทบทั้งในเชิงปริมาณและเชิงคุณภาพระหว่างปัจจัย
เสี่ยงและผลกระทบของสาเหตุ และกระบวนการในการแสดงผลดังกล่าวผ่านแผนภาพ
Risk Correlation Map และนาไปกาหนดแผนจัดการความเสี่ยง
• การดาเนินการจัดทา Risk Correlation Map ขององค์กร ได้ตามกระบวนการครบถ้วน
3.6 Develops Portfolio และดาเนินงานร่วมกันเจ้าของความเสี่ยง (Risk Owner)
• การกาหนดกระบวนการในการวิเคราะห์ถึงภาพรวมของความเสี่ยง (Portfolio View of Risk)
View โดยผ่านการวิเคราะห์ถึงในช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Tolerance)
(การบริหารความเสี่ยงแบบ ในแต่ละปัจจัยเสี่ยง กับช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Tolerance) ใน
ระดับองค์กร และการจัดทาแบบจาลองที่เหมาะสม/นาแบบจาลองดังกล่าวไปใช้ในการบริหาร
บูรณาการ (Risk Correlation •
ความเสี่ยงในภาพรวม เพื่อสะท้อนถึงช่วงเบี่ยงเบนที่ยังอยู่ในวิสัยที่องค์กรสามารถจัดการได้
การสื่อสารและสร้างความเข้าใจกับ Risk Owner ในการพิจารณาถึงความสัมพันธ์ของความ
Map) และการจัดทา Portfolio เสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Correlation Map
ขององค์กร
View of Risk ) • มีการประเมินประสิทธิผลของการกาหนดการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและ
ผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Correlation Map และการ
วิเคราะห์ถึงภาพรวมของความเสี่ยง (Portfolio View of Risk) ขององค์กร และนาข้อมูลไป
ใช้เพื่อปรับปรุงกระบวนการฯ
39
ตัวอย่าง Risk Map: Conceptual
40
2. Review & Revision
(การทบทวนการบริหารความเสี่ยง)
41
การกาหนดแนวทางในการปรับปรุงกระบวนการบริหารความเสี่ยง
SIPOC
Process
การกาหนดขั้นตอนในการปรับปรุงกระบวนการบริหาร
ความเสี่ยงองค์กร
การนาไปสู ่การปฏิบต
ั ิ
1) กระบวนการบริหารความเสี่ยงและการสร้างวัฒนธรรม ความ
ตระหนักในองค์กร รวมทั้งศักยภาพบุคลากรในด้านการ การสื่อสารและถ่ายทอด กระบวนการบริหาร ทบทวนกระบวนการ
บริหารความเสี่ยง ความเสี่ยงทั้งระดับองค์กร และสายงาน ต่อผู้
มีส่วนได้ส่วนเสียที่เกี่ยวข้อง ที่สอดคล้องตาม ทบทวนกระบวนการของการกาหนดแนวทาง
แนวทางที่กาหนด ในการปรั บ ปรุ ง กระบวนการบริ ห ารความ
เสี่ ย ง มี ค วามเชื่ อ มโยงกั บ กระบวนการ
ปรั บ เปลี่ ย นแผนงาน วั ต ถุ ป ระสงค์ เ ชิ ง
ตัวอย่างการกาหนดกระบวนการบริหารความเสี่ยง ยุ ท ธศาสตร์ ข ององค์ ก ร วิ สั ย ทั ศ น์ และ
ตัวชี้วัดที่สาคัญ และกระบวนการติดตามผล
Historical New technology การด าเนิ น งานตามแผนงานและตั ว ชี้ วั ด ที่
่
เชือมโยง shortcomings สาคัญขององค์กร
Organizational Peer
แผนดิจิทัล change comparison
43
4. Review & Revision 4.2 Pursues Improvement in Enterprise Risk Management
(การทบทวนการบริหารความเสี่ยง) (การกาหนดแนวทางในการปรับปรุงกระบวนการบริหารความเสี่ยง)
• การก าหนดขั้ น ตอนในการปรั บ ปรุ ง กระบวนการบริ ห ารความเสี่ ย งองค์ ก ร ทั้ ง ในเชิ ง
กระบวนการบริหารความเสี่ยงและการสร้างวัฒนธรรม ความตระหนักในองค์กร รวมทั้ง
ศักยภาพบุคลากรในด้านการบริหารความเสี่ยง
• การด าเนิ นงานปรับ ปรุง และพัฒนากระบวนการบริหารความเสี่ ยงองค์ก ร ตามขั้นตอนที่
กาหนดได้ครบทุกขั้นตอน
• การประเมินประสิทธิผลของทุกขั้นตอน และทุกขั้นตอนได้ประสิทธิผลตามที่กาหนด (ความ
ครบถ้วนของปัจจัย , กระบวนการ , ผลผลิต , ระยะเวลาที่แล้วเสร็จ)
• การทบทวนกระบวนการของการกาหนดแนวทางในการปรับปรุงกระบวนการบริหารความ
เสี่ยง มีความเชื่อมโยงกับกระบวนการปรับเปลี่ยนแผนงาน วัตถุประสงค์เชิงยุทธศาสตร์ของ
องค์ ก ร วิ สั ย ทั ศน์ และตั ว ชี้ วั ด ที่ ส าคั ญ และกระบวนการติ ด ตามผลการด าเนิ นงานตาม
แผนงานและตัวชี้วัดที่สาคัญขององค์กร
• มีการประเมินประสิทธิผลของการกาหนดแนวทางในการปรับปรุงกระบวนการบริหารความ
เสี่ยงและนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
44
ตัวอย่างการกาหนดกระบวนการบริหารความเสี่ยง
5. Information Communication &
Reporting (ข้อมูลสารสนเทศ การ
สื่อสาร และการรายงานผล)
** เกณฑ์การประเมินผลมีประเด็นของการพิจารณาเพิ่มเติมจาก 3 องค์ประกอบย่อยข้างต้น
รวมในส่วนของการรายงานความเสี่ยง (องค์ประกอบที่ 20) ในส่วนของการพิจารณา การ
ประเมินผลการควบคุมภายใน ทั้งการประเมินเป็นรายครั้ง และประเมินแบบต่อเนื่อง
(Control Self Assessment)
46
การติดตาม ประเมินผลและรายงานผลการบริหารความเสี่ยง การควบคุมภายใน
วัฒนธรรม และผลการดาเนินงาน
SIPOC
Process
กระบวนการรายงานผลการบริหารความเสี่ ยง ตามแผนจัด การความ
เสี่ยง Mitigation Plan) และกิจกรรมการควบคุม (Existing Control)
และนาส่งรายงานการประเมินผลการควบคุมภายใน ตามหลักเกณฑ์การ
ปฏิบัติการควบคุมภายในสาหรับหน่วยงานของรัฐ
การนาไปสู ่การปฏิบต
ั ิ
1) โดยรายงานผลต่อผู้บริหารสายงาน คณะกรรมการบริหาร
(Management Committee) และคณะกรรมการบริหารความเสี่ยงเป็น การสื่อสารและถ่ายทอดการรายงานผลการ ทบทวนกระบวนการ
รายไตรมาส บริหารความเสี่ยง และการรควบคุมภายในต่อ
2) นาส่งรายงานการประเมินผลการควบคุมภายใน ตามหลักเกณฑ์การ ผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง ที่สอดคล้องตาม
ปฏิบัติการควบคุมภายในสาหรับหน่วยงานของรัฐ ได้ครบถ้วนและ ระยะเวลาและองค์ประกอบที่กาหนด การรายงานผลการบริ ห ารความเสี่ ย ง
เป็นไปตามระยะเวลาที่กาหนด สามารถเชื่ อ มโยงกั บ การพั ฒ นาระบบ
สารสนเทศ/ระบบดิจิทัลขององค์กรในการ
ตัวอย่างการการติดตาม ประเมินผลและรายงานผลการบริหารความเสี่ยง การ ติดตามและรายงานผลการดาเนินงาน
ควบคุมภายใน วัฒนธรรม และผลการดาเนินงาน
่
เชือมโยง
กระบวนการรายงานผล
การดาเนินงานอื่น 47
5. Information Communication &
5.1 Communicates Risk Information Reporting (ข้อมูลสารสนเทศ การสื่อสาร
(การสื่อสารการบริหารความเสี่ยงองค์กร ) และการรายงานผล)
1) การกาหนดกระบวนการการและช่ องทางในการสื่อ สารการบริ หารความ
เสี่ยงองค์กร ในการสร้างความรู้ความเข้าใจ ความตระหนักเรื่องการบริหาร
ความเสี่ยง รวมทั้ง กระบวนการสารวจระดับ การรับรู้ ความตระหนักและ การสื่อสารการบริหารความเสี่ยงองค์กร
ทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงและการควบคุมภายใน การรายงานผลการบริหารความเสี่ยง
2) การสื่อ สารและสร้ า งความรู้ ค วามเข้า ใจ ความตระหนักเรื่ อ งการบริ หาร และการประเมินผล
ความเสี่ยงและการควบคุมภายในครอบคลุมทุกกลุ่มบุคลากร และหน่วยงาน การควบคุมภายใน ทั้งการประเมินเป็นรายครั้ง
เจ้าของความเสี่ยง (Risk Owner) และผู้บริหารเกิดขึ้นจริง และประเมินแบบต่อเนื่อง โดยมีการวิเคราะห์
3) การสื่อ สารและสร้ า งความรู้ ค วามเข้า ใจ ความตระหนักเรื่ อ งการบริ หาร เพื่อปรับปรุง และทบทวนกระบวนการบริหาร
ความเสี่ยงและการควบคุมภายในฯ มีผลของระดับความรุ้ความเข้าใจและ ความเสี่ยงและการควบคุมภายในองค์กร รวมทั้ง
ความตระหนักเป็นไปตามเป้าหมายที่กาหนด และดีกว่าปีที่ผ่านมา การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการ
4) การทบทวนและปรั บ ปรุ ง ช่ อ งทางในการสื่ อ สาร มี ค วามเชื่ อ มโยงกั บ และการบริหารความเสี่ยงที่ดี
กระบวนการพัฒนาบุคลากร และการพัฒนาเทคโนโลยีดิจิทัล เช่น แผนการ
บริหารทรัพยากรบุคคล แผนแม่บทเทคโนโลยีดิจิทัล เป็นต้น
5) การประเมินประสิทธิผลของทุกขั้นตอน และทุกขั้นตอนได้ประสิทธิผลตามที่
กาหนด (ความครบถ้วนของปัจจัย , กระบวนการ , ผลผลิต , ระยะเวลาที่
แล้วเสร็จ)
48
5. Information Communication &
1) มี กระบวนการรายงานผลการบริ หารความเสี่ย ง ตามแผนจัดการความเสี่ย ง
Reporting (ข้อมูลสารสนเทศ การสื่อสาร
Mitigation Plan) และกิจกรรมการควบคุม (Existing Control) ที่กาหนด
ครบถ้วน โดยรายงานผลต่อผู้บริหารสายงาน คณะกรรมการบริหาร และ และการรายงานผล)
คณะกรรมการบริ ห ารความเสี่ ย งเป็ น รายไตรมาส และน าส่ ง รายงานการ
ประเมิ น ผลการควบคุ ม ภายใน ตามหลั ก เกณฑ์ ก ารปฏิ บั ติ ก ารควบคุ ม ภายใน
สาหรับหน่วยงานของรัฐ ได้ครบถ้วนและเป็นไปตามระยะเวลาที่กาหนด
2) แนวทางแก้ ไ ขเพื่ อ ให้มั่ น ใจว่ า จะบรรลุ เ ป้ า หมายการบริ หารความเสี่ย งได้ต าม
5.2 Reports on Risk, Internal
แผนงานที่กาหนด โดยรายงานผลต่อคณะกรรมการบริหารความเสี่ยงเป็นราย Control, Culture, and
ไตรมาส ครบทุกไตรมาส
3) กระบวนการรายงานผลการบริหารความเสี่ยงสามารถเชื่อมโยงกับการพัฒนา
Performance (การติดตาม
ระบบสารสนเทศ/ระบบดิ จิทั ล ขององค์ ก รในการติ ด ตามและรายงานผลการ ประเมินผลและรายงานผล
ดาเนินงาน
4) การรายงานผลการบริหารความเสี่ย งมี อ งค์ประกอบที่ค รบถ้วน และรายงาน
การบริหารความเสี่ยง การ
ผลได้ครบทุกไตรมาส โดยมีความเชื่อมโยงและสอดคล้องกับความคืบหน้าของการ ควบคุมภายใน วัฒนธรรม
ติดตามผลตามแผนปฏิ บัติ ก ารประจาปีที่เ กี่ ย วข้อง และรายงานผลพร้ อ มการ
รายงานผลการดาเนินงานขององค์กร (Performance) และเชื่อมโยงกับการ
และผลการดาเนินงาน)
พัฒ นาระบบเทคโนโลยี ดิจิทั ล ที่ส นับสนุน กระบวนการบริ หารความเสี่ย ง และ
ระบบเตือนภัยล่วงหน้า (Early Warning System : EWS)
5) มีการทบทวน/ปรับปรุง กระบวนการรายงานผลการบริหารความเสี่ยง
49
5. Information Communication &
Reporting (ข้อมูลสารสนเทศ การสื่อสาร
1) การกาหนดกระบวนการพัฒนาระบบเทคโนโลยีดิจิทัล ที่สนับสนุนกระบวนการบริหาร
ความเสี่ยง และกระบวนการพัฒนาระบบเตือนภัยล่วงหน้า (Early Warning System
และการรายงานผล)
: EWS) ที่เชื่อมโยงกับเป้าหมายองค์กร
2) ดาเนิ นการพัฒนากระบบเทคโนโลยีสารสนเทศที่ สนั บสนุ นการเก็ บรวบรวมข้อมูล การ
รายงานและวิเคราะห์ระดับความรุนแรง และระบบ Early Warning System รวมทั้ง 5.3 Leverages Information
กระบวนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management
:BCM) และใช้งานระบบได้จริง รวมทั้งข้อมูลมีความทันกาล and Technology
3) พัฒนาระบบเทคโนโลยีสารสนเทศที่สนับสนุนการเก็ บรวบรวมข้อมูล การรายงานและ
วิเคราะห์ระดับความรุนแรง และระบบ Early Warning System รวมทั้งกระบวนการ (ข้อมูลและเทคโนโลยีในการ
บริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management :BCM) และใช้
งานระบบได้จริง รวมทั้งข้อมูลมีความทันกาล และมีการสื่อสารให้หน่วยงานที่เกี่ยวข้องใช้ สนับสนุนการบริหารความ
งานระบบได้อย่างครบถ้วน
4) การพัฒนากระบบเทคโนโลยีสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูล การรายงาน
เสี่ยง )
และวิเคราะห์ระดับความรุนแรง และระบบ Early Warning System รวมทั้ง
กระบวนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management
:BCM) มี ค วามเชื่ อมโยงและสอดคล้องกั บ แผนปฏิบั ติก ารดิจิทั ล รวมทั้ ง การน า
เทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (Digital Transformation)
5) มีการประเมินประสิทธิผลของ การกาหนดกระบวนการพัฒนาระบบเทคโนโลยีดิจิทัล ที่
สนับสนุนกระบวนการบริหารความเสี่ยง และนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
50
การติดตามและการรายงานผล (Monitoring and Reporting)
องค์ประกอบการรายงานและติดตามผลการบริหารความเสี่ยง
1. รายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส เทียบกับเป้าหมายที่คาดหวัง
2. การรายงานความคืบหน้าการดาเนินงานตามมาตรการบริหารความเสี่ยงที่กาหนด
3. การวิเคราะห์ถึงปัญหา/อุปสรรค และแนวทางที่จะบรรลุถึงเป้าหมาย
ระดับความรุนแรงปั จจุบนั
ระดับความรุนแรงทีค่ าดหวัง
51
From manual works to IT
dashboard
52
KRI Program Determined by risk owners
Determined by experts
1
2
3
1 2 3
53
KRI and Risk Profile
54
KRI and Risk Profile
55
KRI and Risk Profile
56
KRI Dashboard vs Risk Profile
KRI
Dashboard
result result result result result result
Impact
5 1
4 2
Risk Profile 3 3 Depends on Likelihood
2
1
57
1 2 3 4 5 Likelihood
Tips & Trick
ความเชื่อมโยงของเกณฑ์การบริหารความ
เสี่ยงและการควบคุมภายใน กับเกณฑ์ อีก
7 หัวข้อ
59
เกณฑ์การบริหารความเสี่ยงและการควบคุมภายใน
1. Governance &
Culture
3. Performance
5. Information
Communication &
Reporting
60
เกณฑ์ที่เพิ่มขึ้นจากข้อ 3 (การบริหาร
ความเสี่ยง) เดิม
61
เกณฑ์การบริหารความเสี่ยงและการควบคุมภายใน (ใหม่)
การบริหารความเสี่ยง (ข้อ3) เดิม
เกณฑ์ที่มีการเปลี่ยนแปลง
1. การกาหนดนโยบาย 4. การพิจารณาความ 6. การสื่อสารการบริหารความเสี่ยง
GRC 3. การเชื่อมโยงกระบวนการ องค์กร
บริหารความเสี่ยงและกลยุทธ์ เพียงพอของกิจกรรม
5. การวิเคราะห์
การบริหารความเสี่ยง กับนโยบาย ควบคุม ประเมินระดับ
ประเด็นที่อาจเกิดขึ้น
วัตถุประสงค์เชิงยุทธศาสตร์ ความเสี่ยงการจัดลาดับ
2. จัดให้มีบรรยากาศ ใหม่ การเปลี่ยนแปลง
ยุทธศาสตร์ แผนงาน ความสาคัญ และการ ที่สาคัญ
และวัฒนธรรมที่ 7. การใช้เทคโนโลยีสารสนเทศเพื่อ
โครงการ ประเมินความเสี่ยงสาย
สนับสนุนการบริหาร สนับสนุนการบริหารความเสี่ยงที่ดี
งาน
ความเสี่ยง
62
Q&A