เกณฑ์ประเมินผล Enabler ด้านการบริหารความเสี่ยงและการควบคุมภายใน

(Risk Management & Internal Control: RM&IC)

สาหรับระบบประเมินผลการดาเนินงานรัฐวิสาหกิจ ปี 2563
ประเด็นนาเสนอ

หลักการ/แนวคิดในการพั ฒนา
01 ทฤษฎี แนวความคิด มาตรฐาน และข้อมูลต่าง ๆ ที่นามา
ประยุกต์ใช้ในการพัฒนาเกณฑ์ประเมินผลฯ ด้านบริหาร
ความเสี่ยงและควบคุมภายใน

เกณฑ์ประเมินผลฯ ด้าน Risk & IC

02
รายละเอียดเกณฑ์ประเมินผลฯ ด้านด้านการบริหารความเสี่ยง
และการควบคุมภายใน (Risk Management & Internal
Control: RM&IC)) ทั้งด้าน ธรรมาภิบาลและวัฒนธรรมองค์กร
การกาหนดยุทธศาสตร์และวัตถุประสงค์/เป้าประสงค์เชิง
ยุทธศาสตร์ กระบวนการบริหารความเสี่ยง การทบทวนการ
บริหารความเสี่ยง รวมที้งสารสนเทศ และการรายงานผล

2
การบริหารความเสี่ยง
และการควบคุมภายใน

3
เกณฑ์การประเมินผลการบริหารความ
เสี่ยงและการควบคุมภายใน พัฒนาตาม
มาตรฐานใด

4
 หลักการ/แนวคิด

COSO 2017 ISO 31000: 2018 COSO 2013

Risk Management Internal Control SEPA-หมวด 2

5
 เกณฑ์การประเมินการบริหารความเสี่ยงการควบคุมภายใน COSO 2017 - Enterprise Risk Management integrating with Strategy and Performance
ประยุกต์มาจากเกณฑ์ของ COSO (The Committee of
Sponsoring Organization of Treadway Commission) โดย
พัฒนามาจาก
• COSO 2013- internal Control และ
• COSO 2017 Enterprise Risk Management
integrating with Strategy and Performance
• รวมทั้งการประยุกต์เกณฑ์ที่สอดคล้องตามมาตรฐาน
ISO31000 version 2018

ทั้งนี้เกณฑ์ประเมินผลระบบใหม่ ใช้พื้นฐานตามกรอบแนวคิดของ COSO 2017 ซึ่งให้

ความสาคัญกับการมุ่งสร้างมูลค่าเพิ่มให้กับองค์กร และการดาเนินงานที่สอดคล้องไปกับ
กระบวนการจัดทายุทธศาสตร์ และการควบคุมภายในไปพร้อมๆกัน โดยการเริ่มตั้งแต่
คณะกรรมการ /ผู้บริหาร คือ การมีธรรมาภิบาล และการสร้างวัฒนธรรมองค์กร ให้
เห็นถึงความสาคัญของการบริหารความเสี่ยง ว่าความเสี่ยงไม่ใช่จุดด้อย /จุดอ่อนของ
องค์กร แต่เป็นการสร้างความมั่นใจ หรือการประกันผลการดาเนินงานในระดับหนึ่งว่า
เป้าหมายองค์กรตามยุทธศาสตร์ที่กาหนดไว้ จะสามารถบรรลุกได้อย่างชัดเจน ไป
จนถึงการเชื่อมโยงการทาแผนยุทธศาสตร์องค์กร ที่ไปในทิศทางเดียวกับกระบวนการ
บริ ห ารความเสี่ ย ง และการก าหนดระดั บ ความเสี่ ย ง/เป้ า หมายความเสี่ ย งที่ เ ป็ น
รูปธรรม มีแผนงานที่ชัดเจน สามารถปรับเปลี่ยนแปลงได้ทันท่วงที จนถึงการมีระบบใน
การเตือนภัยล่วงหน้า ว่าองค์กรมีแนวโน้มการบรรลุเป้าหมาย ได้ตามที่กาหนดไว้หรือไม่
ISO 31000: 2018 – Risk Management
6
 การเปรียบเทียบองค์ประกอบภาพรวมด้านการบริหารความเสี่ยงและ
การควบคุมภายในที่ดีของหลักการที่เป็นที่ยอมรับทั้งในและต่างประเทศ

เกณฑ์การประเมินผล COSO 2017 ISO 31000:2018 SEPO COBIT 5 SEPO COSO 2013 SEPO
ERM RM RM Strategic planning IC IC
1. ธรรมาภิบาล และวัฒนธรรมองค์กร     -  
(Governance & Culture)

2. การกาหนดยุทธศาสตร์และวัตถุประสงค์       -
เชิงยุทธศาสตร์ (Strategy &
Objectives Setting)

3. กระบวนการบริหารความเสี่ยง     -  
(Performance) -
4. การทบทวนการบริหารความเสี่ยง      - -
(Review & Revision)
5. ข้อมูลสารสนเทศ การสื่อสาร และการ     -  
รายงานผล (Information
Communication & Reporting)

7

COSO 2017
1. Governance
& Culture
1. บทบาทหน้าที่คณะกรรมการใน
การบริ ห ารความเสี่ ย งและการ
ควบคุมภายในการกาหนดนโยบาย
GRC โครงสร้ า ง บทบาทหน้ า ที่
การกาหนด RA ระดับองค์กร จัด
ให้ มีบ รรยากาศและวั ฒนธรรมที่
สนั บ สนุ นการบริ ห ารความเสี่ ย ง
และการควบคุ มภายใน (Culture)
รวมถึ งการกาหนดแรงจูงใจส าหรั บ
การบริหารความเสี่ยง
ร่างเกณฑ์ประเมินผลการบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control : Risk &IC
2. Strategy &
Objectives Setting
2 . ก า ร วิ เ ค ร า ะ ห์ แ ล ะ เ ชื่ อ ม โ ย ง
กระบวนการบริหารความเสี่ยงและกล
ยุ ทธ์ การบริ หารความเสี่ ยง กั บนโยบาย
วั ต ถุ ป ร ะ ส ง ค์ เ ชิ ง ยุ ท ธ ศ า ส ต ร์
ยุ ท ธศาสตร์ แผนงานโครงการ และ
แ ผ นก าร ลง ทุ น กา ร ก าห นด Risk
Appetite/Risk Tolerance และการบริหาร
ความเสี่ยงเป็นการสนับสนุนการบริหาร
เพื่ อ สร้ า งสรรค์ มู ล ค่ า ให้ กั บ องค์ ก ร
(Value Creation) - การสนับสนุนการ
บ ริ ห า ร ฯ เ พื่ อ เ พิ่ ม มู ล ค่ า ( Value
Enhancement)
ISO 31000: 2018
3. Performance
3. องค์ประกอบการบริหารความเสี่ยงที่
ครบถ้ ว นตั้ ง แต่ ก ารระบุ ค วามเสี่ ย งที่
ครอบคลุ ม ตามวั ตถุ ป ระสงค์ แ ล ะ
เป้ า หมายองค์ ก ร การพิ จ ารณาความ
เพี ย งพอของกิ จกรรมควบคุ ม ประเมิ น
ร ะ ดั บ ค ว า ม เ สี่ ย ง ก า ร จั ด ล า ดั บ
ความส าคั ญ การก าหนดแผนจั ด การ
ค ว า ม เ สี่ ย ง โ ด ย มี ก ร ะ บ ว น ก า ร
วิเคราะห์ Cost Benefit ที่ชัดเจนในแต่ละ
ทางเลือก การจัดทา Risk correlation
map และ Portfolio view of risk
COSO 2013
4. Review &
Revision
4. การรายงานผลการ
บ ริ ห า ร ค ว า ม เ สี่ ย ง ที่
สอดคล้องพร้อมรายงานผล
ก า ร ด า เ นิ น ง า น อ ง ค์ ก ร
เพื่ อ ให้ ส ามารถวิ เ คราะห์
ประเด็ น ที่ อ าจเกิ ด ขึ้ น ใหม่
การเปลี่ ย นแปลงที่ ส าคั ญ
ร ว ม ทั้ ง ก า ร ท บ ท ว น แ ล ะ
ปรั บ ปรุ ง การบริ ห ารความ
เสี่ ย งสม่ าเสมอและท าการ
ปรับปรุงเมื่อจาเป็น
5. Information
Communication &
Reporting
5. การสื่ อ สารการบริ ห ารความ
เสี่ ย งองค์ กร การรายงานผลการ
บ ริ ห า ร ค ว า ม เ สี่ ย ง แ ล ะ ก า ร
ประเมินผลการควบคุมภายใน ทั้ ง
การประเมิ น เป็ น รายครั้ ง และ
ประเมิ น แบบต่อ เนื่ อง โดยมี ก าร
วิเคราะห์เพื่อปรับปรุง และทบทวน
กระบวนการบริหารความเสี่ยงและ
การควบคุ มภายในองค์กร รวมทั้ ง
การใช้ เ ทคโนโลยี ส ารสนเทศเพื่ อ
สนับสนุนการบริหารความเสี่ยงที่ดี
8
 ร่างเกณฑ์ประเมินผลการบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control : Risk &IC

Exercises Board Risk & internal 1.3 Defines Desired Culture

1. 1.1
Governance Control Oversight 1.4 Demonstrates Commitment to Core Values
& Culture 1.2
Establishes Operating Attracts, Develops, and Retains
1.5
structures Capable Individuals
2.1 Analyzes Business 2.3 Evaluates Alternative
2. Strategy & Strategies
Context
Objectives Setting 2.2
Defines Risk Appetite 2.4 Formulates Business Objectives

3.1 Identifies Risk 3.4 Prioritizes Risks

3.
Performance 3.2 selects and develops control 3.5 Implements Risk Responses
activities
3.6
Develops Portfolio View- Risk Correlation Map
3.3 Assesses Severity of Risk & Portfolio view of Risk
4.1 Reviews Risk and Performance
4. Review &
Revision Pursues Improvement in Enterprise Risk 4.3 Assesses Substantial Change
4.2
Management
5. Information 5.1 Communicates Risk Information Leverages Information and
Communication 5.3
5.2
Technology and Early warning
& Reporting
system 9
 what’s important: Enterprise risk management is as much about
understanding the implications from the strategy and the
possibility of strategy not aligning as it is about managing risks
to set objectives. The figure below illustrates these considerations
in the context of mission, vision, core values, and as a driver of
an entity’s overall direction and performance.
Enterprise risk management enhances strategy
selection. Choosing a strategy calls for structured
decision-making that analyzes risk and aligns
resources with the mission and vision of the
organization.
Enterprise Risk Management—Integrating with Strategy and
Performance clarifies the importance of enterprise risk
management in strategic planning and embedding it throughout
an organization—because risk influences and aligns strategy and
performance across all departments and functions

10
1. Governance and Culture
ธรรมาภิบาลและวัฒนธรรมองค์กร

1. Governance &
Culture

11
 กระบวนการสร้างธรรมาภิบาล (Governance)
SIPOC

Process
การกาหนดนโยบายที่บูรณาการในเรื่องกากับดูแลกิจการที่ดีการ
บริหารความเสี่ยง และการควบคุมภายใน (GRC)

การนาไปสู ่การปฏิบต
ั ิ
1) การกาหนดนโยบาย GRC องค์กร โดยคณะกรรมการ
รัฐวิสาหกิจ คณะกรรมการบริหารความเสี่ยงหรือ ฝ่ า ยงานที่ เ กี่ ย วข้ อ งมี ก ารด าเนิ น งานตาม ทบทวนกระบวนการ
คณะกรรมการที่เกี่ยวข้อง แนวทาง G R C ตามแนวทางที่กาหนด
2) การกาหนด Risk Appetite (RA) ระดับองค์กร โดย ครบถ้วน
คณะกรรมการรัฐวิสาหกิจ คณะกรรมการบริหารความเสี่ยง มี ก ารทบทวนโยบายก ากั บ ดู แ ลกิ จ การที่ ดี
หรือคณะกรรมการที่เกี่ยวข้อง การบริ ห ารความเสี่ ย ง และการควบคุ ม
3) นาไปสื่อสารและติดตามผล ภายใน (GRC) เพื่อให้เหมาะสมกับ นโยบาย
อื่นๆที่เกี่ยวข้องขององค์กร
ตัวอย่างองค์ประกอบ GRC
่
เชือมโยง

แผนแม่บท CG

แผนแม่บท HR 12
 กระบวนการกาหนดนโยบายและการกากับดูแลด้านการบริหารความเสี่ยงและการ
ควบคุมภายในแบบบูรณาการ (GRC)
1. Governance and Culture การกาหนดโครงร้างและบทบาทหน้าที่ที่เกี่ยวข้องกับการบริหารความเสีย่ งและการ
ควบคุมภายใน การกาหนด RA ระดับองค์กร กระบวนการจัดทาคู่มือและการสื่อสาร
ธรรมาภิบาลและวัฒนธรรมองค์กร คู่มือที่เป็นแนวปฏิบัติทดี่ ีและชัดเจน การสร้างบรรยากาศ วัฒนธรรม
ความตระหนักในการบริหารความเสี่ยง และมีการติดตามประเมินระดับการรับรู้ ความ
เข้าใจ ความตระหนักที่เป็นระบบ รวมทั้งการพัฒนาและสร้างแรงจูงใจในการบริหาร
ความเสี่ยงกับผลการดาเนินงานขององค์กรที่เป็นรูปธรรม
1.1 Exercises Board Risk
Oversight and the development
1) การกาหนดนโยบายที่บูรณาการในเรื่องกากับดูแลกิจการที่ดีการบริหารความเสี่ยง และการ
and performance of Internal control ควบคุมภายใน (GRC) รวมทั้งการกาหนดหลักการในการกาหนด Risk Appetite (RA)
(บทบาทคณะกรรมการในการกากับ ระดั บ องค์ ก ร โดยคณะกรรมการรั ฐ วิ ส าหกิ จ คณะกรรมการบริ ห ารความเสี่ ย งหรื อ
ติดตามการบริหารความเสี่ยงและการ คณะกรรมการที่เกี่ยวข้อง
2) การเผยแพร่นโยบาย กากับดูแลกิจการที่ดี การบริหารความเสี่ยง และการควบคุมภายใน
พัฒนาระบบการควบคุมภายใน) (GRC) แก่พนักงาน และหน่วยงานที่เกี่ยวข้องภายนอกอย่างทั่วถึง
3) นานโยบายที่บูรณาการในเรื่องกากับดูแลกิจการที่ดี การบริหารความเสี่ยง และการควบคุม
ภายใน (GRC) ไปปฏิบัติอย่างเป็นรูปธรรม
4) การทบทวนโยบายก ากับ ดู แ ลกิจ การที่ดี การบริ ห ารความเสี่ ยง และการควบคุ มภายใน
(GRC) เพื่อให้เหมาะสมกับ นโยบายอื่นๆที่เกี่ยวข้องขององค์กร
5) การปรับปรุ งนโยบายการกากับดูแ ลกิจการที่ดี การบริหารความเสี่ยง และการควบคุ ม
ภายใน (GRC) ให้สอดคล้องกับบริบทของรัฐวิสาหกิจและมาตรฐานสากลที่เปลี่ยนแปลงไป

13
GRC
การกาหนดนโยบายทีม่ ี
ความเชื่อมโยงและสอดคล้องใน
นโยบายเดียวกันทีม่ ุ่งเน้น
การบูรณาการทั้ง 3 เรื่อง ทั้ง
Governance Risk Compliance

14
1. Governance and Culture 1) การมี ห น่ ว ยงานเพื่ อ จั ด การความเสี่ ย งและการควบคุ ม ภายในที่ ชั ด เจน โดยก าหนด
โครงสร้าง บทบาทหน้าที่ของมีผู้ที่ที่รับผิดชอบการบริหารจัดการความเสี่ยง และการ
ธรรมาภิบาลและวัฒนธรรมองค์กร ควบคุมภายในที่ชัดเจน
2) การกาหนดและสรรหาบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหาร
ความเสี่ยงและการควบคุมภายใน และมีการทางานที่เป็นรูปธรรมอย่างจริงจัง รวมทั้ง
1.2 Establishes Operating กาหนดบทบาท อานาจหน้าที่ และ กระบวนการในการดาเนินงาน ที่ชัดเจนเป็นรูปธรรม
(มีการกาหนดหน้าที่งาน (Job Description:JD มีโครงสร้างความรับผิดชอบ มีแผนงาน
structures (โครงสร้างและ รองรับ) และการกาหนดแผนงานของการดาเนินงานตามโครงสร้างผู้รับผิดชอบที่ชัดเจน
รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน และกระบวนการจัดทาคู่มือการ
บทบาทหน้าที่) บริหารความเสี่ยงที่มีองค์ประกอบที่ครบถ้วน เพื่อให้สามารถนาไปปฏิบัติได้อย่างชัดเจน
3) โครงสร้างหน่วยงาน/คณะทางานฯ มีการทางานมีการทางานที่เป็นรูปธรรมอย่างจริงจัง
4) โครงสร้างและบทบาทหน้าที่ด้านการบริหารความเสี่ยงและการควบคุมภายใน สอดคล้อง
กับการกาหนดโครงสร้างและบทบาทหน้าที่ของกระวนการทางานอื่นรวมทั้งมีการสื่อสาร
ผู้บริหารมีการติดตามติดตามผลการดาเนินงานของหน่วยงาน/คณะทางนที่รับผิดชอบฯ
โดยสามารถดาเนินงานตามแผนงานของหน่วยงาน และสามารถบรรลุเป้าหมายตาม
แผนการปฏิบัติงานนั้นได้ครบถ้วน และมีกระบวนการในการตรวจสอบถึงความเข้าใจของ
ผู้บริหารและพนักงานในคู่มือดังกล่าว
5) การประเมินประสิทธิผลของการกาหนดโครงสร้างและบทบาทหน้าที่ โดยมีการติดตามผล
การดาเนินงานของหน่วยงาน/คณะทางนที่รับผิดชอบ และนาข้อมูลไปใช้เพื่อปรับปรุง
กระบวนการฯ กาหนดโครงสร้างและบทบาทหน้าที่ รวมทั้งทบวนการจัดทาแผนปฏิบัติ
การของปีต่อไปพื่อให้เกืดกระบวนการจัดการความเสี่ยงที่บูรณาการจากทุกหน่วยงาน
และการทบทวน /ปรับปรุง คู่มือการบริหารความเสี่ยง

15
1. Governance and Culture
ธรรมาภิบาลและวัฒนธรรมองค์กร
1.3 Defines Desired Culture
(บรรยากาศและวัฒนธรรม
สนับสนุนการบริหารความเสีย่ ง)
1) จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง (Culture)
2) การกาหนดกระบวนการ/ดาเนินการสร้างความตระหนักเกี่ยวกับความสาคัญ
หรื อ ความรู้ ค วามเข้า ใจของการบริ หารความเสี่ยงในองค์ กร ครอบคุ ล มทั้ง
คณะกรรมการ รส. คณะกรรมการบริหารความเสี่ยง ผู้บริหาร และพนักงาน
3) การฝึกอบรม/ชี้แจง/ทาความเข้าใจถึงพื้นฐานด้านการบริหารความเสี่ยง โดย
มีการให้ความรู้กับผู้บริหาร (3 อันดับแรก) และพนักงานที่เกี่ยวข้อง (Risk
Owner) และประเมินความรู้ความเข้าใจ
4) กระบวนการ/ดาเนิน การสร้ า งความตระหนักเกี่ ย วกับความส าคั ญ /ความรู้
ความเข้ า ใจของการบริ ห ารความเสี่ ย งในองค์ ก ร มี ค วามสอดคล้ อ งกั บ
กระบวนการพั ฒ นาบุ ค ลากร และหั ว ข้ อ อื่ น ที่ เ กี่ ย วข้ อ ง เช่ น เช่ น แผน
ยุทธศาสตร์ด้าน HR แผนแม่บทเทคโนโลยีดิจิทัล เป็นต้น
5) การสารวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร และ
สามารถสรุปผลการสารวจเสนอผู้บริหารในสายงานที่เกี่ยวข้อง โดยมีแผนงาน
ในการปรับปรุงจากข้อสังเกตที่ได้จากการสารวจ รวมถึงผลการสารวจต้องดี
ขึ้นจากปีที่ผ่านมา หรือ จากผลการสารวจครั้งก่อน แล้วแต่ว่าครั้งใดเป็นครั้ง
ล่าสุด
16
Governance Operating Structure and Reporting Lines
Enterprise Risk Management Structures

Accountability and Responsibility

Skills, Experience, and Business Knowledge
Independence
Suitability of Enterprise Risk Management
17
Organizational Bias
 Risk Culture
Culture
Instilling more transparency and risk awareness into an entity’s culture requires actions such as:
• Implementing forums or other mechanisms for sharing information, making decisions, and
identifying opportunities.
• Encouraging people to escalate issues and concerns without fear of retribution.
• Clarifying and communicating roles and responsibilities for the achievement of strategy
and business objectives, including responsibilities for the management of risk.
• Aligning core values, behaviors, and decision-making with incentives and remuneration
models.
• Developing and sharing a strong understanding of the business context and drivers of
value creation.

Source: M. Kaptein, Professor Business Ethics at Erasmus University, Feb 10th, 2017
1. Governance and Culture
ธรรมาภิบาลและวัฒนธรรมองค์กร
1.4 Demonstrates
Commitment to Core
Values (ความมุ่งมั่นต่อ
ค่านิยมองค์กร)
1) การกาหนดกระบวนการในการสร้างวัฒนธรรมองค์กรด้านความเสี่ยงที่มุ่งตอบสนอง
และส่งเสริมค่านิยมองค์กร
2) การทบทวนสถานการณ์ ค วามเสี่ ย งที่ จ ะช่ ว ยให้ ทุ ก คนเข้ า ใจถึ ง ความสั ม พั น ธ์ แ ละ
ผลกระทบของความเสี่ยงก่อนตัดสินใจ ของคณะกรรมการ คณะกรรมการบริหารความ
เสี่ยง ผู้บริหาร และพนักงาน และกระบวนการในการกระตุ้นให้เกิดการรับรู้ถึงความ
3)
เสี่ยงในองค์กรและการสร้างบรรยากาศและวัฒนธรรมสนับสนุนการบริหารความเสี่ยง
การพั ฒนาและสร้ า งพฤติ ก รรมในการสร้ างวั ฒนธรรมองค์ ก รด้ านความเสี่ ย งที่ มุ่ ง
ตอบสนองและส่งเสริมค่านิยมองค์กร ครอบคลุมทั้งคณะกรรมการ รส. คณะกรรมการ
บริหารความเสี่ยง ผู้บริหาร และพนักงาน
4) ระบวนการ/ดาเนินการสร้างความตระหนักเกี่ยวกับความสาคัญ/ความรู้ความเข้าใจของ
การบริหารความเสี่ยงในองค์กร มีความสอดคล้องกับกระบวนการพัฒนาบุคลากร และ
หัวข้ออื่นที่เกี่ยวข้อง เช่น แผนยุทธศาสตร์ด้าน HR แผนแม่บทเทคโนโลยีดิจิทัล เป็น
ต้น
5) การสารวจทัศนคติ/พฤติกรรมของพนักงานในเรื่องการส่งเสริมพฤติกรรมในการสร้าง
วัฒนธรรมองค์กรด้านความเสี่ยงทีม่ งุ่ ตอบสนองค่านิยมองค์กร และสามารถสรุปผลการ
สารวจเสนอผู้บริหารในสายงานที่เกี่ยวข้อง โดยมีแผนงานในการปรับปรุงจากข้อสังเกต
ที่ได้จากการสารวจ รวมถึงผลการสารวจต้องดีขึ้นจากปีที่ผ่านมา หรือ จากผลการ
สารวจครั้งก่อน แล้วแต่ว่าครั้งใดเป็นครั้งล่าสุด
19
1. Governance and Culture
ธรรมาภิบาลและวัฒนธรรมองค์กร
1.5 Attracts, Develops,
and Retains Capable
Individuals
(แรงจูงใจ การพัฒนาและ
การรักษาบุคลากร)
1) การกาหนดแผนงานในการเชื่อมโยงผลการประเมินเฉพาะการบริหารความ
เสี่ย งกับผลตอบแทน/แรงจูง ใจในการประเมิ น ผู้ บริ ห ารแต่ล ะระดับ อย่ า ง
ชัดเจน (Incentive)
2) ดาเนินการได้จริงในการเชื่อมโยงผลการประเมินเฉพาะการบริหารความเสี่ยง
กับผลตอบแทน/แรงจูงใจในการประเมินผู้บริหารแต่ละระดับอย่างชัดเจน
3) การถ่ายทอดตัวชี้วัดระดับองค์กรลงสู่ระดับสายงาน โดยเฉพาะตัวชี้วัดการ
บริหารความเสี่ยงทั้งในลักษณะของปัจจัยเสี่ยงของสายงาน และกิจกรรมที่
สายงานต้อ งสนับสนุน การบริ หารความเสี่ย ง โดยทุกฝ่า ยงาน/สายงานที่
องค์กรต้องมีการจัดทา Risk Profile ของแต่ละสายงาน และสามารถผูก
แรงจูงใจในแต่ละขั้นกับ Risk Profile ของฝ่ายงานในแต่ละระดับที่สามารถ
ลดระดับความรุนแรงลงได้ครบถ้วน
4) กระบวนการเชื่ อ มโยงผลการประเมิ น เฉพาะการบริ ห ารความฯ มี ค วาม
เชื่อมโยงกับกระบวนการบริหารทุนมนุษย์ ในการประเมินผลการดาเนินงาน
และการถ่ า ยทอดความเสี่ ย งระดั บ สายงานสอดคล้ อ งกั บ การวิ เ คราะห์
แผนงานโครงการและการประเมินความเสี่ยงแผนงานของแต่ละสายงาน
5) การทบทวนแนวทางการก าหนดการเชื่ อ มโยงผลการประเมิ น เฉพาะการ
บริหารความเสี่ยงกับผลตอบแทน/แรงจูงใจในการประเมิน
20
 Enterprise risk management1 is defined here as:
The culture, capabilities, and practices, integrated with strategy-setting and
performance, that organizations rely on to manage risk in creating, preserving, and
realizing value.

1Souce: Enterprise Risk Management – Integrating with Strategy and Performance COSO2017 , june 2017
21
2. Strategy & Objectives Setting
การกาหนดยุทธศาสตร์และวัตถุประสงค์/
เป้าประสงค์เชิงยุทธศาสตร์

2. Strategy &
Objectives Setting

22
 กระบวนการการระบุเป้าหมายการบริหารความเสี่ยง (Risk Appetite :RA))
SIPOC

Process
กระบวนการในการก าหนดความเสี่ ย งที่ อ งค์ ก รยอมรั บ ได้ (Risk
Appetite: RA) ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง
(Risk Appetite) และการกาหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่
องค์กรยอมรับได้นั้น (Risk Tolerance: RT)
1) การระบุ Risk Appetite และ Risk Tolerance โดยสามารถแสดงให้
เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ของ
องค์กรได้อย่างชัดเจน (Business Objective)
2) คานึงถึงความต้องการของผู้มีส่วนได้เสียทุกกลุ่ม ต้องมีการถ่ายทอด
Risk Appetite/ Risk Tolerance ที่ถ่ายทอดจากวัตถุประสงค์เชิง
ธุรกิจ Business Objective โดยสามารถระบุได้ว่าเป็น Strategic
Risk/ Operational Risk/Financial Risk และ Compliance Risk (S-
O-F-C) หรือประเภทความเสี่ยงตามที่กาหนด
การนาไปสู ่การปฏิบต
ั ิ
การสื่อสารและถ่ายทอด RA RT ต่อผู้มีส่วน
ได้ส่วนเสียที่เกี่ยวข้อง ที่สอดคล้องตามสาเหตุ
ของแต่ละปัจจัยเสี่ยงที่กาหนด
ตัวอย่างการกาหนด RA RT ที่เชื่อมโยงกับเป้าหมายองค์กร
ทบทวนกระบวนการ
มีการประเมินประสิทธิผลของการกาหนดค่า
RA RT ที่สอดคล้องกับเป้าหมายองค์กร
(Business Objective) ที่มีการเปลี่ยนแปลง
ระหว่างปีได้ทันกาล และนาข้อมูลไปใช้เพื่อ
ปรับปรุงกระบวนการฯ

่
เชือมโยง

แผนยุทธศาสตร์

แผนแม่บทต่างๆ
23
2.1 Analyzes Business Context 2. Strategy & Objectives Setting
(การวิเคราะห์ธุรกิจ) (ประเมินในหัวข้อการวางแผนเชิงกลยุทธ์
การกาหนดยุทธศาสตร์และวัตถุประสงค์/
-การวิเคราะห์ธรุ กิจการวางแผนเชิงกลยุทธ์ หัวข้อย่อย-การวิเคราะห์สภาพแวดล้อม เป้าประสงค์เชิงยุทธศาสตร์
(Environmental Scanning)

2.2 Defines Risk Appetite กระบวนการในการกาหนดวัตถุประสงค์เชิง

(การระบุเป้าหมายการบริหารความเสี่ยง (Risk Appetite :RA)) ยุทธศาสตร์ และยุทธศาสตร์ การวางแผนการลงทุน
1) กระบวนการในการกาหนดความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite: RA) ในลักษณะของระดับที่ ที่สาคัญ ที่เชื่อมโยง
เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกาหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่ กับการกระบวนการบริหารความเสี่ยงองค์กร รวมทั้ง
องค์กรยอมรับได้นั้น (Risk Tolerance: RT)
2) การระบุ Risk Appetite และ Risk Tolerance โดยสามารถแสดงให้เห็นถึง ความเชื่อมโยง/ความ
การกาหนดเป้าหมายการบริหารความเสี่ยง
สอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน (Business Objective) และคานึงถึง (Risk Appetite)
ความต้องการของผู้มีส่วนได้เสียทุกกลุ่ม ต้องมีการถ่ายทอด Risk Appetite/ Risk Tolerance ที่ ที่สอดคล้องกับเป้าประสงค์/เป้าหมายขององค์กร
ถ่ายทอดจากวัตถุประสงค์เชิงธุรกิจ Business Objective โดยสามารถระบุได้ว่าเป็น Strategic Risk/
Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C) หรือประเภทความเสี่ยง
รวมทั้งการสร้างมูลค่าเพิ่มองค์กรด้วยการบริหาร
ตามที่กาหนด ความเสี่ยง
3) รวมทั้งมีกระบวนการในการสื่อสารและถ่ายทอด RA RT ต่อผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง ที่สอดคล้อง Value Creation และ Value Enhancement เพื่อให้
ตามสาเหตุของแต่ละปัจจัยเสี่ยงที่กาหนด
4) การดาเนินการก าหนด Risk Appetite ต้ อ งสอดคล้อ งกั บ เป้ าหมายขององค์ ก รประจ าปี บั ญ ชี
สามารถตอบสนองและเชื่อมโยงกับวัตถุประสงค์เชิง
(Business Objective) ที่ระบุในแผนยุทธศาสตร์ (แผนระยะยาว) และแผนปฏิบัติการประจาปี และมี ยุทธศาสตร์
การกาหนด Risk Tolerance โดยมีความสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ระบุใน และสร้างมูลค่าเพิ่มให้กับองค์กร ได้
แผนปฏิบัติการประจาปี หรือเป็นค่าที่ผ่านการอนุมัติจากคณะกรรมการ
5) มีการประเมินประสิทธิผลของการกาหนดค่า RA RT ที่สอดคล้องกับเป้าหมายองค์กร (Business
Objective) ที่มีการเปลี่ยนแปลงระหว่างปีได้ทันกาล และนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
24
 Risk Appetite

Factors to consider in setting Risk appetite

Source: Dr. Larry Rittenberg and Frank Martens . Understanding and Communicating Risk Appetite, Enterprise Risk Management.
 Risk Tolerance
Risk tolerance is the risk exposure an
organization determines appropriate to take or
avoid. Clarity enables an organization to know
with certainty what risk exposure it can take
and what risk exposures it must avoid.

Determining risk tolerance involves applying judgment giving careful consideration to five key factors.
 Your organization’s attitude toward taking risk.
 Your organization’s goals
 Your organization’s capability to manage the risk.
 Your organization’s capacity to absorb the impact of potential loss related to taking the risk.
 The Cost/benefit of managing the risk.
Cascading Risk Appetite

ค่า RA RT มักเป็นค่า
ใดค่าหนึ่งที่จะระบุให้
สอดคล้องตาม KRI

27
 การระบุ Risk Appetite และ Risk Tolerance
ระดับความเสี่ยงที่ยอมรับได้ ช่วงเบี่ยนเบนของระดับความเสี่ยงที่ยอมรับได้
ประเภทความเสี่ยง
(Risk Appetite) (Risk Tolerance)
ด้านกลยุทธ์ สอดคล้องตามเป้าประสงค์ในแผนยุทธศาสตร์ ค่าระดับ 3 ตาม BSC (หากเชื่อมโยงกับเกณฑ์ชี้วัด
(Strategic Risk) ใน Balanced Scorecard องค์กร)

ด้านการเงิน สามารถรักษาระดับความสามารถในการสร้างความมั่นคงทางการเงินใน ค่าระดับ 3 ตาม BSC (หากเชื่อมโยงกับเกณฑ์ชี้วัด

(Financial Risk) ระยะยาว (ตามแผนยุทธศาสตร์ ที่ระบุในแต่ละปี) ใน Balanced Scorecard องค์กร)

ด้านการ คุณภาพการให้บริการ ประสิทธิภาพการดาเนินงาน (ตามแผน ค่าระดับ 3 ตาม BSC (หากเชื่อมโยงกับเกณฑ์ชี้วัด

ดาเนินงาน ยุทธศาสตร์ ที่ระบุในแต่ละปี) ใน Balanced Scorecard องค์กร)
(Operation Risk)

ด้านการปฏิบัติ การดาเนินการภายใต้กฎหมายกฎระเบียบและนโยบายของรัฐบาล -
ตามกฎระเบียบที่ หน่วยงานกากับดูแลและหน่วยงานอื่นที่เกี่ยวข้อง
เกี่ยวข้อง
(Compliance
Risk)

28
 2.3 Evaluates Alternative Strategies 2. Strategy & Objectives Setting
(การประเมินทางเลือกและกาหนดยุทธศาสตร์) - ประเมินในหัวข้อการวางแผนเชิงกลยุทธ์ หัวข้อย่อย-การ การกาหนดยุทธศาสตร์และวัตถุประสงค์/
กาหนดยุทธศาสตร์ /กลยุทธ์ (Strategic Formulation))
2.4 Formulates Business Objectives เป้าประสงค์เชิงยุทธศาสตร์
(การกาหนดวัตถุประสงค์ในการดาเนินธุรกิจเพื่อสร้างมูลค่าเพิ่มให้กับองค์กร) - ในส่วนการกาหนด
Business Objectives ประเมินในหัวข้อการวางแผนเชิงกลยุทธ์ หัวข้อย่อย - การกาหนดวัตถุประสงค์เชิง
ยุทธศาสตร์ (Strategic Objective)
1) การทา Value Creation และ Value Enhancement เพื่อให้เชื่อมโยงกับวัตถุประสงค์เชิงยุทธศาสตร์ ในการ 2.4 Formulates
นามาบริหารและสร้างมูลค่าเพิ่มให้กับองค์กร ได้
2) การระบุเหตุการณ์ที่เป็นโอกาสของธุรกิจ ซึ่งมีความสัมพันธ์กับการระบุโอกาส (Opportunity)ใน SWOT ของ
Business Objectives
องค์กร และได้มีการวิเคราะห์ถึงปัจจัยเสี่ยงของเหตุการณ์ดังกล่าว และนามาเข้ากระบวนการบริหารความเสี่ยง (การกาหนดวัตถุประสงค์ในการ
จนสามารถทาให้ระดับความรุนแรงของปัจจัยเสี่ยงดังกล่าวลดลง ด้วยการวิเคราะห์สภาพแวดล้อมทั้งภายในและ ดาเนินธุรกิจเพื่อสร้างมูลค่าเพิ่ม
ภายนอกธุรกิจอีกครั้ง หลังจากที่ได้มีการบริหารความเสี่ยงแล้ว รวมถึงเสนอคณะกรรมการ รส. เพื่ออนุมัติ
3) การกาหนดแผนบริหารความเสี่ยงสาหรับความเสี่ยงทีส่งผลในการที่สร้างความมั่นใจถึงการเป็นองค์กรแห่งการ ให้กับองค์กร)
เรียนรู้ (Learning Organization) และได้ดาเนินการตามแผนการบริหารความเสี่ยงดังกล่าวครบถ้วน ระดับความ
รุ น แรงของความเสี่ ย งที ส่ ง ผลในการที่ ส ร้ า งความมั่ น ใจถึ ง การเป็ น องค์ ก รแห่ ง การเรี ย นรู้ (Learning
Organization) ลดลงได้ตามเป้าหมายที่กาหนด
4) กระบวนการ/ดาเนินการการทา Value Creation และ Value Enhancement มีความสอดคล้องกับกระบวนการ
กาหนดตาแหน่ งเชิง ยุทธศาสตร์ วั ตถุประสงค์เ ชิงยุท ธศาสตร์ แผนยุทธศาสตร์อ งค์กร รวมถึงแผนแม่บทที่
เกี่ยวข้อง เช่น แผนงาน KM เป็นต้น
5) มีการประเมินประสิทธิผลของการทา Value Creation และ Value Enhancement เพื่อให้เชื่อมโยงกับ
วัตถุประสงค์เชิงยุทธศาสตร์ ในการนามาบริหารและสร้างมูลค่าเพิ่มให้กับองค์ก ที่สอดคล้องกับเป้าหมายองค์กร
(Business Objective ) รวมทั้งวัตถุประสงค์เชิงยุทธศาสตร์ และยุทธศาสตร์ ที่มีการเปลี่ยนแปลงระหว่างปีได้
ทันกาล และนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
29
3. Performance
(กระบวนการบริหารความเสี่ยง)

3. Performance

** เกณฑ์การประเมินผลมีประเด็นของการพิจารณาเพิ่มเติมจาก 5 องค์ประกอบย่อยข้างต้น
การพิจารณาความเพียงพอของกิจกรรมควบคุม (Design Control Activity)

30
 กระบวนการการระบุปัจจัยเสี่ยง
SIPOC

Process
กระบวนการในการระบุความเสี่ยงระดับองค์กรที่สอดคล้องกับประเภท
ความเสี่ยงที่องค์กรกาหนดและการกาหนดประสิทธิผลของความเพียงพอ
ของการควบคุม
1) พิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับการดาเนินกิจการของ
องค์กร โดยต้องมีการพิจารณาที่มาที่ครอบคลุม ทั้งจากปัจจัยภายใน
ปัจจัยภายนอก ยุทธศาสตร์และเป้าหมายที่สาคัญขององค์กร จุดอ่อน
ความต้องการความคาดหวังของผู้มีส่วนได้ส่วนเสีย ตัวชี้วัดที่สาคัญ
ขององค์กร (Inherent Risk) เพื่อกาหนด Risk Universe
2) พิจารณาประสิทธิผลของการควบคุมภายใน โดยมีความเชื่อมโยงกับ
เป้าหมายประจาปีขององค์กร และสามารถแสดงถึงความเชื่อมโยง
ระหว่างปัจจัยเสี่ยงที่เหลืออยู่ในปีก่อนหน้ากับปีที่ประเมินได้ชัดเจน
การนาไปสู ่การปฏิบต
ั ิ
การถ่ายทอดความเสี่ยงระดับองค์กร ให้กับสาย ทบทวนกระบวนการ
งานที่รับผิดชอบ และมีการระบุความเสี่ยงในระดับ
สายง าน ที่ ร อง รั บ ความเสี่ ย ง อง ค์ ก ร แ ละ
ยุทธศาสตร์องค์กร และแผนงานของสายงาน มีการประเมินประสิทธิผลของการระบุปัจจัย
เสี่ยงระดับองค์กร และระดับสายงาน และ
นาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
ตัวอย่างการระบุปัจจัยเสี่ยง (Risk Identification) ที่ครอบคลุม

่
เชือมโยง นโยบาย
ภาครัฐ

ยุทธศาสตร์ นโยบายฺ
Board
แผนยุทธศาสตร์ และแผน ความ
ต่างๆ ที่เกี่ยวข้อง เสี่ยง
ปัจจัยเสี่ยง Supply
เดิม Chain
นโยบาย และสภาพแวดล้อม ตัวชีวัด Corporate Risk
ภายนอก ตาม PA Risk Universe
31
3. Performance
(กระบวนการบริหารความเสี่ยง)
การระบุขั้นตอนในการระบุความเสี่ยงระดับองค์กรที่สอดคล้อง
กับประเภทความเสี่ยงทีอ่ งค์กรกาหนด โดยต้องพิจารณาว่ามี
ความเสี่ยงใดบ้างที่เกี่ยวข้องกับยุทธศาสตร์ ทิศทาง และการ
ดาเนินกิจการขององค์กร (Risk Universe) การกาหนด/
ประเมินกิจกรรมการควบคุมภายในที่ครอบคลุมกิจกรรมของ
องค์กร การประเมินระดับความรุนแรงของความเสีย่ งโดยการ
ใช้ฐานข้อมูลในอดีตในการพิจารณา การจัดลาดับความสาคัญ
ในการจัดการความเสี่ยงระดับองค์กร จนสามารถนาไปกาหนด
แผนในการจัดการ/ตอบสนองความเสี่ยงที่เชื่อมโยงกับกิจกรรม
การควบคุมภายในที่มี และสัมพันธ์ตามสาเหตุทไี่ ด้กาหนดใน
การจัดทาการบริหารความเสี่ยงเชิงบูรณาการ (Risk
Correlation Map) รวมทั้งการพัฒนาเป็น Portfolio View of
Risk) เพื่อให้รู้จักองค์กรสามารถวิเคราะห์และบริหารความ
เสี่ยงได้ครบกระบวนการที่ดี ที่สามารถสร้างความมั่นใจการ
บรรลุเป้าหมายองค์กร
3.1 Identifies Risk (การระบุปัจจัยเสี่ยง)
• การระบุความเสี่ยงระดับองค์กรที่สอดคล้องกับประเภทความเสี่ยงที่องค์กรกาหนด โดยต้อง
พิจารณาว่ามี ความเสี่ยงใดบ้ างที่เกี่ ยวข้องกั บการด าเนินกิจ การขององค์กร โดยต้ องมี การ
พิจารณาที่มาที่ครอบคลุม ทั้งจากปัจจัยภายใน ปัจจัยภายนอก ยุทธศาสตร์และเป้าหมายที่
สาคัญขององค์ก ร จุด อ่อน ความต้อ งการความคาดหวั งของผู้มี ส่วนได้ ส่ว นเสีย ตั วชี้วัด ที่
สาคัญขององค์กร (Inherent Risk) เพื่อกาหนด Risk Universe
• กาหนดประสิทธิ ผลของความเพียงพอของการควบคุม รวมทั้งการพิจารณาถึงระดับความ
เสี่ยงที่เหลืออยู่ (Residual Risk) หลังจากพิจารณาประสิทธิผลของการควบคุมภายใน โดยมี
ความเชื่อมโยงกับเป้าหมายประจาปีขององค์กร และสามารถแสดงถึงความเชื่อมโยงระหว่าง
ปัจจัยเสี่ยงที่เหลืออยู่ในปีก่อนหน้ากับปีที่ประเมินได้ชัดเจน มีการประเมินประสิทธิผลของทุก
ขั้นตอน และทุกขั้นตอนได้ประสิทธิผลตามที่กาหนด มีการสื่อสารปัจจัยเสี่ยงที่มีการระบุต่อ
ผู้รับผิดชอบ (Risk Owner) ที่เกี่ยวข้อง
• กระบวนการในการถ่ายทอดความเสี่ยงระดับองค์กร ให้กับสายงานที่รับผิดชอบ และมีการ
ระบุ ค วามเสี่ย งในระดั บสายงาน ที่ร องรับ ความเสี่ย งองค์ก รและยุทธศาสตร์ อ งค์ ก ร และ
แผนงานของสายงาน นอกจากนี้ กรณีที่ รส. มีบริษัทลูก ต้องมีการกาหนดความเสี่ยงองค์กร
ที่ครอบคลุม
• การดาเนินการระบุความเสี่ยงองค์กร ที่สอดคล้องกับกระบวนการและกิจกรรมควบคุมภายใน
กระบวนการประเมินประสิทธิผลการควบคุมภายใน รวมทั้งการพิจารณาถึงระดับความเสี่ยง
ที่เหลืออยู่ (Residual Risk) หลังจากการควบคุมภายใน โดยมีความเชื่อมโยงกับเป้าหมาย
ประจาปีขององค์กร และสามารถแสดงถึงความเชื่อมโยงระหว่างปัจจัยเสี่ยงที่เหลืออยู่ในปี
ก่อนหน้ากับปีที่ประเมินได้ชัดเจน
• มีการประเมินประสิทธิผลของการระบุความเสี่ยงระดับองค์กร และนาข้อมูลไปใช้เพื่อปรับปรุง
กระบวนการฯ
32
 Risk Identification : Tools
1. Documentation reviews
2. Information-gathering techniques „
Brainstorming „
Delphi technique „
Interviewing „
Root cause Analysis „
3. Checklists
4. Assumptions analysis
5. Diagramming techniques „
Cause-and-effect diagrams „
Influence diagrams „
System or process flow charts
6. Strengths, weaknesses, opportunities and threats (SWOT) analysis
7. Expert judgment

33
ตัวอย่างการระบุปัจจัยเสี่ยง (Risk Identification) ที่ครอบคลุม

34

3. Performance
(กระบวนการบริหารความเสี่ยง)
3.2 Selects and Develops
Control Activities
(การกาหนดกิจกรรมการ
ควบคุม
• การกาหนดและพัฒนากิจกรรมการควบคุม เพื่อควบคุมความเสี่ยงใน
แต่ละกิจกรรมขององค์กร
• มี กระบวนการในการประเมิ น ความเพีย งพอของระบบการควบคุ ม
ภายใน ประกอบการระบุปัจจัยเสี่ยงระดับองค์กร และทุกสายงานมี
การประเมินกิจกรรมการควบคุม ประกอบการวิเคราะห์ปัจจัยเสี่ย ง
ระดับสายงาน ได้ครบถ้วนทุกสายงาน
• ทุกสายงานมีการประเมินกิจกรรมการควบคุมประกอบการวิเคราะห์
ปั จ จั ย เสี่ ย งระดั บ สายงาน ได้ ค รบถ้ ว นทุ ก สายงาน การประเมิ น
ประสิ ท ธิ ผ ลของทุ ก ขั้ น ตอน และทุ ก ขั้ น ตอนได้ ป ระสิ ท ธิ ผ ลตามที่
ก าหนด (ความครบถ้ ว นของปั จ จั ย , กระบวนการ , ผลผลิ ต ,
ระยะเวลาที่แล้วเสร็จ)
• กิจกรรมการควบคุมที่กาหนด มีการบุรณาการกับกระบวนการพัฒนา
เทคโนโลยีดิจิทัลในการนาระบบเทคโนโลยีดิจิทัล มาพัฒนากิจกรรม
การควบคุ ม และกิ จ กรรมการควบคุ ม สอดคล้ อ งกั บ แผนงาน /
แผนปฏิบติการประจาปีที่เกี่ยวข้อง
• มี ก ารทบทวนกิ จ กรรมการควบคุ ม ระหว่ า งปี เพื่ อ ให้ กิ จ กรรมการ
ควบคุ ม เป็ น ส่ว นหนึ่ ง ของแผนงานจั ดการความเสี่ย งที่ ส นับ สนุน ให้
ความเสี่ยงบรรลุตามเป้าหมายที่กาหนด
35

3. Performance
(กระบวนการบริหารความเสี่ยง)
3.3 Assesses Severity
of Risk
(การประเมินระดับความ
รุนแรงของปัจจัยเสี่ยง)
• การกาหนดเกณฑ์ประเมินระดับความรุนแรง ทั้งในเชิงโอกาส และผลกระทบแยกราย
ปัจจัยเสี่ยง
• การกาหนดเกณฑ์ประเมินระดับความรุนแรง โดยการใช้ฐานข้อมูลในอดีต หรือ การ
คาดการณ์ในอนาคตเพื่อประกอบกับการกาหนดระดับความรุนแรงของแต่ละปัจจัย
เสี่ยง ทั้งนี้การกาหนดระดับความรุนแรง (โอกาส และผลกระทบ) ต้องสัมพันธ์กับ
ขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary) เพื่อจัดลาดับ
ความเสี่ยง และกาหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวังของทุกปัจจัย
เสี่ ยงได้ อ ย่ างชั ด เจนการด าเนิ นการประเมิ นระดั บ ความรุ นแรงรายปั จ จั ยเสี่ ยงได้
ครบถ้วนตามกระบวนการที่กาหนด
• มี ก ารสื่ อ สารเกณฑ์ ก ารประเมิ น ระดั บ ความรุ น แรงของแต่ ล ะปั จ จั ย เสี่ ย ง ต่ อ
ผู้รับผิดชอบ (Risk Owner) ที่เกี่ยวข้อง
• การกาหนดระดับความรุนแรง มีความเชื่อมโยงกับฐานข้อมูลองค์กรในการใช้ระบบ
เทคโนโลยีดิจิทัลในการนาระบบเทคโนโลยีดิจิทัล มาพัฒนาการกาหนดเกณฑ์วัด ระดับ
ความรุนแรง เพื่อกาหนดเป็นฐานข้อมูล
• การรายงานผลระดั บ ความรุ น แรงของแต่ ล ะปั จ จั ย เสี่ ย งรายไตรมาส เที ย บกั บ
เป้าหมายที่คาดหวัง พร้อมวิเคราะห์ถึงปัญหา/อุปสรรค และแนวทางที่จะบรรลุถึง
เป้าหมาย และมีการประเมินประสิทธิผลของการกาหนดเกณฑ์ประเมินระดับความ
รุนแรง ทั้งในเชิงโอกาส และผลกระทบและนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
36

3. Performance
(กระบวนการบริหารความเสี่ยง)
3.4 Prioritizes Risks
(การจัดลาดับความเสี่ยง)
1) การกาหนดขอบเขตระดับ ความเสี่ย งที่ อ งค์ ก รสามารถรั บ ได้ (Risk
Boundary) การกาหนดระดับความเสี่ยง (สูง ปานกลาง ต่า) และ
การจัดลาดับความเสี่ยง ของแต่ละปัจจัยเสี่ยง และการจัดทาแผนภาพ
ความเสี่ยง (Risk Profile)
2) การดาเนินการตามขั้นตอนที่สาคัญครบถ้วน และทุกขั้นตอนสามารถ
เป็นไปตามกระบวนการที่กาหนด
3) การแสดงผลการจัดลาดับความเสี่ยง และรายงานผลรายไตรมาส
4) การบูรณาการกาหนดขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้
(Risk Boundary) การกาหนดระดับความเสี่ยง (สูง ปานกลาง ต่า)
กับเป้าประสงค์ และวัตถุประสงค์เชิงยุทธศาสตร์ขององค์กร และค่า
ความเสี่ยงที่ยอมรับได้ (Risk Appetite)
5) การประเมินประสิทธิผลของทุกขั้นตอน และทุกขั้นตอนได้ประสิทธิผล
ตามที่กาหนด (ความครบถ้วนของปัจจัย , กระบวนการ , ผลผลิต ,
ระยะเวลาที่แล้วเสร็จ ) การประเมินประสิทธิผลของการการกาหนด
ขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary)
และการจัด ล าดั บความเสี่ ย ง ของแต่ ล ะปั จจั ย เสี่ ย ง และการจั ดท า
แผนภาพความเสี่ยง (Risk Profile) และนาข้อมูลไปใช้เพื่อปรับปรุง
กระบวนการฯ "
37

3. Performance
(กระบวนการบริหารความเสี่ยง)
3.5 Implements Risk
Responses
(การกาหนด/คัดเลือกวิธีการ
จัดการต่อความเสี่ยงที่ระบุไว้)
1) การกาหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยง (Mitigation) ที่ระบุไว้
2) พิจารณาถึงวิธีการ/แผนงานจัดการความเสี่ยงเพื่อลดผลกระทบ หรือลด
โอกาสที่จะเกิด รวมทั้งกระบวนการและหลักเกณฑ์ในการประเมินค่าใช้จ่าย
และผลประโยชน์ที่ได้ (Cost Benefit) ในการจัดการความเสี่ยงในแต่ละ
ทางเลือก ในทุกความเสี่ยงที่เหลืออยู่ (Residual Risk) ที่ผ่านการจัดลาดับ
ความเสี่ยงในการกาหนดเป็นความเสี่ยงระดับองค์กร และสรุปเป็นแผนงาน
จัดการความเสี่ยงในแต่ละความเสี่ยงระดับองค์กร
3) การก าหนดเกณฑ์ ใ นการพิ จ ารณาแผนงาน /กิ จ กรรมการควบคุ ม
(ประสิทธิผลการควบคุมภายใน) ร่วมกับการพิจารณาเพื่อกาหนด/คัดเลือก
วิธีการจัดการความเสี่ยง ในการคัดเลือกวิธีการจัดการความเสี่ยงที่ชัดเจน
4) การบู ร ณาการการ การก าหนด/คั ด เลื อ กวิ ธี ก ารจั ด การต่ อ ความเสี่ ย ง
(Mitigation) กับการวิเคราะห์ความเสี่ยงเชิงบูรณาการ (Risk Correlation Map)
และกระบวนการอื่น เช่น การกาหนดกิจกรรมการควบคุม แผนปฏิบัติการต่างๆ
ที่เกี่ยวข้อง รวมทั้งการออกแบบระบบงาน (Work System) และกระบวนการ
(Work Process) ในการดาเนินงานขององค์กร เป็นต้น
5) มีการประเมินประสิทธิผลของการกาหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยง
(Mitigation) และนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
38

3. Performance
(กระบวนการบริหารความเสี่ยง)
3.6 Develops Portfolio
View
(การบริหารความเสี่ยงแบบ
บูรณาการ (Risk Correlation
Map) และการจัดทา Portfolio
View of Risk )
39
• การกาหนดกระบวนการในการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่
มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Correlation Map ขององค์กร ที่มี
การกาหนดสาเหตุของความเสี่ยงในทุกปัจจัยเสี่ยง และสามารถกาหนดระดับความ
รุนแรงของแต่ละสาเหตุในทุกปัจจัยเสี่ยง การวิเคราะห์ความสัมพันธ์ของปัจจัยเสี่ยง
และสาเหตุ การวิเคราะห์ผลกระทบทั้งในเชิงปริมาณและเชิงคุณภาพระหว่างปัจจัย
เสี่ยงและผลกระทบของสาเหตุ และกระบวนการในการแสดงผลดังกล่าวผ่านแผนภาพ
Risk Correlation Map และนาไปกาหนดแผนจัดการความเสี่ยง
• การดาเนินการจัดทา Risk Correlation Map ขององค์กร ได้ตามกระบวนการครบถ้วน
และดาเนินงานร่วมกันเจ้าของความเสี่ยง (Risk Owner)
• การกาหนดกระบวนการในการวิเคราะห์ถึงภาพรวมของความเสี่ยง (Portfolio View of Risk)
โดยผ่านการวิเคราะห์ถึงในช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Tolerance)
ในแต่ละปัจจัยเสี่ยง กับช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Tolerance) ใน
ระดับองค์กร และการจัดทาแบบจาลองที่เหมาะสม/นาแบบจาลองดังกล่าวไปใช้ในการบริหาร
•
ความเสี่ยงในภาพรวม เพื่อสะท้อนถึงช่วงเบี่ยงเบนที่ยังอยู่ในวิสัยที่องค์กรสามารถจัดการได้
การสื่อสารและสร้างความเข้าใจกับ Risk Owner ในการพิจารณาถึงความสัมพันธ์ของความ
เสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Correlation Map
ขององค์กร
• มีการประเมินประสิทธิผลของการกาหนดการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและ
ผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร โดย Risk Correlation Map และการ
วิเคราะห์ถึงภาพรวมของความเสี่ยง (Portfolio View of Risk) ขององค์กร และนาข้อมูลไป
ใช้เพื่อปรับปรุงกระบวนการฯ
ตัวอย่าง Risk Map: Conceptual

40
2. Review & Revision
(การทบทวนการบริหารความเสี่ยง)

4. Review & Revision

41
 การกาหนดแนวทางในการปรับปรุงกระบวนการบริหารความเสี่ยง
SIPOC

Process
การกาหนดขั้นตอนในการปรับปรุงกระบวนการบริหาร
ความเสี่ยงองค์กร
การนาไปสู ่การปฏิบต
ั ิ
1) กระบวนการบริหารความเสี่ยงและการสร้างวัฒนธรรม ความ
ตระหนักในองค์กร รวมทั้งศักยภาพบุคลากรในด้านการ การสื่อสารและถ่ายทอด กระบวนการบริหาร ทบทวนกระบวนการ
บริหารความเสี่ยง ความเสี่ยงทั้งระดับองค์กร และสายงาน ต่อผู้
มีส่วนได้ส่วนเสียที่เกี่ยวข้อง ที่สอดคล้องตาม ทบทวนกระบวนการของการกาหนดแนวทาง
แนวทางที่กาหนด ในการปรั บ ปรุ ง กระบวนการบริ ห ารความ
เสี่ ย ง มี ค วามเชื่ อ มโยงกั บ กระบวนการ
ปรั บ เปลี่ ย นแผนงาน วั ต ถุ ป ระสงค์ เ ชิ ง
ตัวอย่างการกาหนดกระบวนการบริหารความเสี่ยง ยุ ท ธศาสตร์ ข ององค์ ก ร วิ สั ย ทั ศ น์ และ
ตัวชี้วัดที่สาคัญ และกระบวนการติดตามผล
Historical New technology การด าเนิ น งานตามแผนงานและตั ว ชี้ วั ด ที่
่
เชือมโยง shortcomings สาคัญขององค์กร

Organizational Peer
แผนดิจิทัล change comparison

แผนแม่บทต่างๆ Risk appetite Communications

Risk categories 42
4. Review & Revision
(การทบทวนการบริหารความเสี่ยง)
การรายงานผลการบริหารความเสี่ยง ที่
สอดคล้องพร้อมรายงานผลการดาเนินงาน
องค์กร เพื่อให้สามารถวิเคราะห์
ประเด็นที่อาจเกิดขึ้นใหม่ การเปลี่ยนแปลงที่
สาคัญ รวมทั้งการทบทวนและปรับปรุงการ
บริหารความเสี่ยงสม่าเสมอ
และทาการปรับปรุงเมื่อจาเป็น
4.1 Reviews Risk and Performance (การทบทวนและปรับปรุงผล
การบริหารความเสี่ยง)
• การก าหนดกระบวนการในการทบทวนและปรั บ ปรุ ง ผลความเสี่ ย งสม่ าเสมอ ตาม
สภาพแวดล้อมที่เปลี่ยนแปลงไป โอกาสที่เกิดขึ้น หรือในกรณีที่ผลการบริหารความเสี่ยงไม่
เป็นไปตามเป้าหมายที่กาหนด
• การบริห ารและประเมิ นผลการบริ หารความเสี่ ยงที่ เ กิ ด ขึ้นจริ ง โดยการติ ด ตามผลการ
ดาเนินงานตามตามกิจกรรมในแผนบริหารความเสี่ยง รวมทั้งเป้าหมายการบริหารความ
เสี่ยงทั้งในเชิงของระดับความรุนแรง และค่าเป้าหมาย (Risk Appetite) ที่กาหนด พร้อม
รายงานผลการดาเนินงานขององค์กร (Performance) เพื่อให้สามารถวิเคราะห์ประเด็น
ความเสี่ยงที่อาจเกิดขึ้นใหม่ จากการเปลี่ยนแปลงที่สาคัญ
• การประเมินประสิทธิผลของทุกขั้นตอน และทุกขั้นตอนได้ประสิทธิผลตามที่กาหนด (ความ
ครบถ้วนของปัจจัย , กระบวนการ , ผลผลิต , ระยะเวลาที่แล้วเสร็จ)
• การทบทวนและปรับปรุงผลความเสี่ยง และผลการบริหารความเสี่ยงที่เกิดขึ้นจริง มีความ
เชื่อมโยงกับกระบวนการปรับเปลี่ยนแผนงาน (ตามปกติ และสถานการณ์เปลี่ยนแปลง
อย่างรวดเร็ว) วัตถุประสงค์เชิงยุทธศาสตร์ขององค์กร วิสัยทัศน์ และตัวชี้วัดที่สาคัญ และ
กระบวนการติดตามผลการดาเนินงานตามแผนงานและตัวชี้วัดที่สาคัญขององค์กร เช่น
แผนปฏิบัติการที่สาคัญ แผนการบริหารทรัพยากรบุคคล แผนแม่บทเทคโนโลยีดิจิทัล เป็นต้น
• มีการประเมินประสิทธิผลของการทบทวนและปรับปรุงผลการบริหารความเสี่ยง และนา
ข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ
43
4. Review & Revision 4.2 Pursues Improvement in Enterprise Risk Management
(การทบทวนการบริหารความเสี่ยง) (การกาหนดแนวทางในการปรับปรุงกระบวนการบริหารความเสี่ยง)
• การก าหนดขั้ น ตอนในการปรั บ ปรุ ง กระบวนการบริ ห ารความเสี่ ย งองค์ ก ร ทั้ ง ในเชิ ง
กระบวนการบริหารความเสี่ยงและการสร้างวัฒนธรรม ความตระหนักในองค์กร รวมทั้ง
ศักยภาพบุคลากรในด้านการบริหารความเสี่ยง
• การด าเนิ นงานปรับ ปรุง และพัฒนากระบวนการบริหารความเสี่ ยงองค์ก ร ตามขั้นตอนที่
กาหนดได้ครบทุกขั้นตอน
• การประเมินประสิทธิผลของทุกขั้นตอน และทุกขั้นตอนได้ประสิทธิผลตามที่กาหนด (ความ
ครบถ้วนของปัจจัย , กระบวนการ , ผลผลิต , ระยะเวลาที่แล้วเสร็จ)
• การทบทวนกระบวนการของการกาหนดแนวทางในการปรับปรุงกระบวนการบริหารความ
เสี่ยง มีความเชื่อมโยงกับกระบวนการปรับเปลี่ยนแผนงาน วัตถุประสงค์เชิงยุทธศาสตร์ของ
องค์ ก ร วิ สั ย ทั ศน์ และตั ว ชี้ วั ด ที่ ส าคั ญ และกระบวนการติ ด ตามผลการด าเนิ นงานตาม
แผนงานและตัวชี้วัดที่สาคัญขององค์กร
• มีการประเมินประสิทธิผลของการกาหนดแนวทางในการปรับปรุงกระบวนการบริหารความ
เสี่ยงและนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ

4.3 Assesses Substantial Change

(การประเมินการเปลี่ยนแปลงที่มีนัยสาคัญ)
ประเมินในหัวข้อการวางแผนเชิงกลยุทธ์ หัวข้อย่อย-กระบวนการติดตาม
ผลสาเร็จตามแผนปฏิบัติการ และปรับเปลี่ยนแผนงาน(Monitoring & Review)

44
ตัวอย่างการกาหนดกระบวนการบริหารความเสี่ยง
5. Information Communication &
Reporting (ข้อมูลสารสนเทศ การ
สื่อสาร และการรายงานผล)

5. Information Communication &

Reporting

** เกณฑ์การประเมินผลมีประเด็นของการพิจารณาเพิ่มเติมจาก 3 องค์ประกอบย่อยข้างต้น
รวมในส่วนของการรายงานความเสี่ยง (องค์ประกอบที่ 20) ในส่วนของการพิจารณา การ
ประเมินผลการควบคุมภายใน ทั้งการประเมินเป็นรายครั้ง และประเมินแบบต่อเนื่อง
(Control Self Assessment)
46
 การติดตาม ประเมินผลและรายงานผลการบริหารความเสี่ยง การควบคุมภายใน
วัฒนธรรม และผลการดาเนินงาน
SIPOC

Process
กระบวนการรายงานผลการบริหารความเสี่ ยง ตามแผนจัด การความ
เสี่ยง Mitigation Plan) และกิจกรรมการควบคุม (Existing Control)
และนาส่งรายงานการประเมินผลการควบคุมภายใน ตามหลักเกณฑ์การ
ปฏิบัติการควบคุมภายในสาหรับหน่วยงานของรัฐ
การนาไปสู ่การปฏิบต
ั ิ
1) โดยรายงานผลต่อผู้บริหารสายงาน คณะกรรมการบริหาร
(Management Committee) และคณะกรรมการบริหารความเสี่ยงเป็น การสื่อสารและถ่ายทอดการรายงานผลการ ทบทวนกระบวนการ
รายไตรมาส บริหารความเสี่ยง และการรควบคุมภายในต่อ
2) นาส่งรายงานการประเมินผลการควบคุมภายใน ตามหลักเกณฑ์การ ผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง ที่สอดคล้องตาม
ปฏิบัติการควบคุมภายในสาหรับหน่วยงานของรัฐ ได้ครบถ้วนและ ระยะเวลาและองค์ประกอบที่กาหนด การรายงานผลการบริ ห ารความเสี่ ย ง
เป็นไปตามระยะเวลาที่กาหนด สามารถเชื่ อ มโยงกั บ การพั ฒ นาระบบ
สารสนเทศ/ระบบดิจิทัลขององค์กรในการ
ตัวอย่างการการติดตาม ประเมินผลและรายงานผลการบริหารความเสี่ยง การ ติดตามและรายงานผลการดาเนินงาน
ควบคุมภายใน วัฒนธรรม และผลการดาเนินงาน

่
เชือมโยง

ระบบเตื อ นภั ย ล่ ว งหน้ า (Early

Warning System : EWS)

กระบวนการรายงานผล
การดาเนินงานอื่น 47
 5. Information Communication &
5.1 Communicates Risk Information Reporting (ข้อมูลสารสนเทศ การสื่อสาร
(การสื่อสารการบริหารความเสี่ยงองค์กร ) และการรายงานผล)
1) การกาหนดกระบวนการการและช่ องทางในการสื่อ สารการบริ หารความ
เสี่ยงองค์กร ในการสร้างความรู้ความเข้าใจ ความตระหนักเรื่องการบริหาร
ความเสี่ยง รวมทั้ง กระบวนการสารวจระดับ การรับรู้ ความตระหนักและ การสื่อสารการบริหารความเสี่ยงองค์กร
ทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงและการควบคุมภายใน การรายงานผลการบริหารความเสี่ยง
2) การสื่อ สารและสร้ า งความรู้ ค วามเข้า ใจ ความตระหนักเรื่ อ งการบริ หาร และการประเมินผล
ความเสี่ยงและการควบคุมภายในครอบคลุมทุกกลุ่มบุคลากร และหน่วยงาน การควบคุมภายใน ทั้งการประเมินเป็นรายครั้ง
เจ้าของความเสี่ยง (Risk Owner) และผู้บริหารเกิดขึ้นจริง และประเมินแบบต่อเนื่อง โดยมีการวิเคราะห์
3) การสื่อ สารและสร้ า งความรู้ ค วามเข้า ใจ ความตระหนักเรื่ อ งการบริ หาร เพื่อปรับปรุง และทบทวนกระบวนการบริหาร
ความเสี่ยงและการควบคุมภายในฯ มีผลของระดับความรุ้ความเข้าใจและ ความเสี่ยงและการควบคุมภายในองค์กร รวมทั้ง
ความตระหนักเป็นไปตามเป้าหมายที่กาหนด และดีกว่าปีที่ผ่านมา การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการ
4) การทบทวนและปรั บ ปรุ ง ช่ อ งทางในการสื่ อ สาร มี ค วามเชื่ อ มโยงกั บ และการบริหารความเสี่ยงที่ดี
กระบวนการพัฒนาบุคลากร และการพัฒนาเทคโนโลยีดิจิทัล เช่น แผนการ
บริหารทรัพยากรบุคคล แผนแม่บทเทคโนโลยีดิจิทัล เป็นต้น
5) การประเมินประสิทธิผลของทุกขั้นตอน และทุกขั้นตอนได้ประสิทธิผลตามที่
กาหนด (ความครบถ้วนของปัจจัย , กระบวนการ , ผลผลิต , ระยะเวลาที่
แล้วเสร็จ)
48
 5. Information Communication &
1) มี กระบวนการรายงานผลการบริ หารความเสี่ย ง ตามแผนจัดการความเสี่ย ง
Reporting (ข้อมูลสารสนเทศ การสื่อสาร
Mitigation Plan) และกิจกรรมการควบคุม (Existing Control) ที่กาหนด
ครบถ้วน โดยรายงานผลต่อผู้บริหารสายงาน คณะกรรมการบริหาร และ และการรายงานผล)
คณะกรรมการบริ ห ารความเสี่ ย งเป็ น รายไตรมาส และน าส่ ง รายงานการ
ประเมิ น ผลการควบคุ ม ภายใน ตามหลั ก เกณฑ์ ก ารปฏิ บั ติ ก ารควบคุ ม ภายใน
สาหรับหน่วยงานของรัฐ ได้ครบถ้วนและเป็นไปตามระยะเวลาที่กาหนด
2) แนวทางแก้ ไ ขเพื่ อ ให้มั่ น ใจว่ า จะบรรลุ เ ป้ า หมายการบริ หารความเสี่ย งได้ต าม
5.2 Reports on Risk, Internal
แผนงานที่กาหนด โดยรายงานผลต่อคณะกรรมการบริหารความเสี่ยงเป็นราย Control, Culture, and
ไตรมาส ครบทุกไตรมาส
3) กระบวนการรายงานผลการบริหารความเสี่ยงสามารถเชื่อมโยงกับการพัฒนา
Performance (การติดตาม
ระบบสารสนเทศ/ระบบดิ จิทั ล ขององค์ ก รในการติ ด ตามและรายงานผลการ ประเมินผลและรายงานผล
ดาเนินงาน
4) การรายงานผลการบริหารความเสี่ย งมี อ งค์ประกอบที่ค รบถ้วน และรายงาน
การบริหารความเสี่ยง การ
ผลได้ครบทุกไตรมาส โดยมีความเชื่อมโยงและสอดคล้องกับความคืบหน้าของการ ควบคุมภายใน วัฒนธรรม
ติดตามผลตามแผนปฏิ บัติ ก ารประจาปีที่เ กี่ ย วข้อง และรายงานผลพร้ อ มการ
รายงานผลการดาเนินงานขององค์กร (Performance) และเชื่อมโยงกับการ
และผลการดาเนินงาน)
พัฒ นาระบบเทคโนโลยี ดิจิทั ล ที่ส นับสนุน กระบวนการบริ หารความเสี่ย ง และ
ระบบเตือนภัยล่วงหน้า (Early Warning System : EWS)
5) มีการทบทวน/ปรับปรุง กระบวนการรายงานผลการบริหารความเสี่ยง
49
 5. Information Communication &
Reporting (ข้อมูลสารสนเทศ การสื่อสาร
1) การกาหนดกระบวนการพัฒนาระบบเทคโนโลยีดิจิทัล ที่สนับสนุนกระบวนการบริหาร
ความเสี่ยง และกระบวนการพัฒนาระบบเตือนภัยล่วงหน้า (Early Warning System
และการรายงานผล)
: EWS) ที่เชื่อมโยงกับเป้าหมายองค์กร
2) ดาเนิ นการพัฒนากระบบเทคโนโลยีสารสนเทศที่ สนั บสนุ นการเก็ บรวบรวมข้อมูล การ
รายงานและวิเคราะห์ระดับความรุนแรง และระบบ Early Warning System รวมทั้ง 5.3 Leverages Information
กระบวนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management
:BCM) และใช้งานระบบได้จริง รวมทั้งข้อมูลมีความทันกาล and Technology
3) พัฒนาระบบเทคโนโลยีสารสนเทศที่สนับสนุนการเก็ บรวบรวมข้อมูล การรายงานและ
วิเคราะห์ระดับความรุนแรง และระบบ Early Warning System รวมทั้งกระบวนการ (ข้อมูลและเทคโนโลยีในการ
บริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management :BCM) และใช้
งานระบบได้จริง รวมทั้งข้อมูลมีความทันกาล และมีการสื่อสารให้หน่วยงานที่เกี่ยวข้องใช้ สนับสนุนการบริหารความ
งานระบบได้อย่างครบถ้วน
4) การพัฒนากระบบเทคโนโลยีสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูล การรายงาน
เสี่ยง )
และวิเคราะห์ระดับความรุนแรง และระบบ Early Warning System รวมทั้ง
กระบวนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management
:BCM) มี ค วามเชื่ อมโยงและสอดคล้องกั บ แผนปฏิบั ติก ารดิจิทั ล รวมทั้ ง การน า
เทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (Digital Transformation)
5) มีการประเมินประสิทธิผลของ การกาหนดกระบวนการพัฒนาระบบเทคโนโลยีดิจิทัล ที่
สนับสนุนกระบวนการบริหารความเสี่ยง และนาข้อมูลไปใช้เพื่อปรับปรุงกระบวนการฯ

50
 การติดตามและการรายงานผล (Monitoring and Reporting)
องค์ประกอบการรายงานและติดตามผลการบริหารความเสี่ยง
1. รายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส เทียบกับเป้าหมายที่คาดหวัง
2. การรายงานความคืบหน้าการดาเนินงานตามมาตรการบริหารความเสี่ยงที่กาหนด
3. การวิเคราะห์ถึงปัญหา/อุปสรรค และแนวทางที่จะบรรลุถึงเป้าหมาย

ระดับความรุนแรงปั จจุบนั

ระดับความรุนแรงทีค่ าดหวัง

51
From manual works to IT
dashboard

52
 KRI Program Determined by risk owners
Determined by experts

1
2
3

1 2 3

53
 KRI and Risk Profile

Impact Risk Profile

KRI 5 1 Depends on Likelihood
4
3
2
1
KRI = Impact 1 2 3 4 5 Likelihood

54
 KRI and Risk Profile

Impact Risk Profile

KRI 5
4 2 Depends on Likelihood
3
2
1
KRI = Impact 1 2 3 4 5 Likelihood

55
 KRI and Risk Profile

Impact Risk Profile

KRI 5
4
3 3 Depends on Likelihood
2
1
KRI = Impact 1 2 3 4 5 Likelihood

56
 KRI Dashboard vs Risk Profile

KRI
Dashboard
result result result result result result
Impact
5 1
4 2
Risk Profile 3 3 Depends on Likelihood
2
1
57
1 2 3 4 5 Likelihood
Tips & Trick
ความเชื่อมโยงของเกณฑ์การบริหารความ
เสี่ยงและการควบคุมภายใน กับเกณฑ์ อีก
7 หัวข้อ

59
 เกณฑ์การบริหารความเสี่ยงและการควบคุมภายใน
1. Governance &
Culture

2. Strategy & Objectives

Setting

3. Performance

4. Review & Revision

5. Information
Communication &
Reporting

60
เกณฑ์ที่เพิ่มขึ้นจากข้อ 3 (การบริหาร
ความเสี่ยง) เดิม

61
 เกณฑ์การบริหารความเสี่ยงและการควบคุมภายใน (ใหม่)
การบริหารความเสี่ยง (ข้อ3) เดิม

เกณฑ์ที่มีการเปลี่ยนแปลง
1. การกาหนดนโยบาย 4. การพิจารณาความ 6. การสื่อสารการบริหารความเสี่ยง
GRC 3. การเชื่อมโยงกระบวนการ องค์กร
บริหารความเสี่ยงและกลยุทธ์ เพียงพอของกิจกรรม
5. การวิเคราะห์
การบริหารความเสี่ยง กับนโยบาย ควบคุม ประเมินระดับ
ประเด็นที่อาจเกิดขึ้น
วัตถุประสงค์เชิงยุทธศาสตร์ ความเสี่ยงการจัดลาดับ
2. จัดให้มีบรรยากาศ ใหม่ การเปลี่ยนแปลง
ยุทธศาสตร์ แผนงาน ความสาคัญ และการ ที่สาคัญ
และวัฒนธรรมที่ 7. การใช้เทคโนโลยีสารสนเทศเพื่อ
โครงการ ประเมินความเสี่ยงสาย
สนับสนุนการบริหาร สนับสนุนการบริหารความเสี่ยงที่ดี
งาน
ความเสี่ยง

62
Q&A