เมื่อพูดถึง Enterprise Risk Management (ERM) หลายองค์กรนึกถึงการทำ Risk Register — ตารางที่มีคอลัมน์ความเสี่ยง โอกาสเกิด ผลกระทบ และมาตรการควบคุม แต่ COSO ERM 2017 มองความเสี่ยงในมุมที่ลึกและกว้างกว่านั้นมาก
COSO คือ Committee of Sponsoring Organizations of the Treadway Commission องค์กรที่ออก Framework การบริหารความเสี่ยงและการควบคุมภายในที่ใช้กันแพร่หลายที่สุดในโลก ฉบับปี 2017 ได้รับการปรับปรุงครั้งใหญ่เพื่อเชื่อมโยงการบริหารความเสี่ยงเข้ากับกลยุทธ์และการสร้างมูลค่าองค์กร
COSO ERM 2017: 5 Components หลัก
Governance and Culture (การกำกับดูแลและวัฒนธรรม)
Board และผู้บริหารต้องสร้างวัฒนธรรมที่ตระหนักถึงความเสี่ยง กำหนดโครงสร้างความรับผิดชอบ และกำหนด Risk Appetite ขององค์กร — นี่คือรากฐานของระบบทั้งหมด
Strategy and Objective-Setting (กลยุทธ์และการกำหนดเป้าหมาย)
ERM ต้องเชื่อมกับกระบวนการวางแผนกลยุทธ์ ไม่ใช่ทำแยกกัน ความเสี่ยงต้องถูกพิจารณาในการเลือกกลยุทธ์และการตั้งเป้าหมายธุรกิจ
Performance (ผลการดำเนินงาน)
กระบวนการระบุ ประเมิน จัดลำดับ และตอบสนองต่อความเสี่ยง รวมถึงการบูรณาการ ERM เข้ากับกระบวนการทางธุรกิจในการทำงานประจำวัน
Review and Revision (การทบทวนและปรับปรุง)
องค์กรต้องทบทวนประสิทธิภาพของ ERM อย่างต่อเนื่อง และปรับปรุงให้สอดคล้องกับการเปลี่ยนแปลงของสภาพแวดล้อมธุรกิจ
Information, Communication and Reporting (ข้อมูล การสื่อสาร และการรายงาน)
ข้อมูลความเสี่ยงต้องไหลเวียนถึงคนที่ถูกต้องในเวลาที่ถูกต้อง ทั้งภายในองค์กรและสู่ Stakeholder ภายนอก
COSO ERM vs ISO 31000 — เลือกอันไหนดี?
| มิติ | COSO ERM 2017 | ISO 31000:2018 |
|---|---|---|
| แนวทาง | เชื่อมกับกลยุทธ์และมูลค่าองค์กร | หลักการและแนวปฏิบัติทั่วไป |
| รายละเอียด | ละเอียดกว่า มี Components ชัดเจน | ยืดหยุ่นกว่า ปรับใช้ได้หลากหลาย |
| เหมาะกับ | องค์กรที่ต้องการ ERM แบบครบถ้วน | องค์กรที่เริ่มต้น ERM |
| การรับรอง | ไม่มีการรับรอง (Framework) | ไม่มีการรับรอง (Guideline) |
| ต้นกำเนิด | สหรัฐอเมริกา (COSO) | นานาชาติ (ISO) |
คำแนะนำของผมสำหรับองค์กรไทยขนาดกลางคือ เริ่มด้วย ISO 31000 เพื่อทำความเข้าใจหลักการพื้นฐาน แล้วค่อยนำ COSO ERM มาใช้เป็น Framework เมื่อต้องการความครบถ้วนและเชื่อมโยงกับกลยุทธ์มากขึ้น
ERM ไม่ใช่แค่ Risk Register
ความเข้าใจผิดที่พบบ่อยที่สุดเกี่ยวกับ ERM คือคิดว่ามันเป็นแค่การทำ Risk Register — ตารางรายการความเสี่ยงที่ทำครั้งปีแล้วเก็บไว้ในลิ้นชัก ERM ที่แท้จริงคือวิธีคิดและวัฒนธรรมที่ฝังอยู่ในทุกการตัดสินใจ
ERM ที่ดีทำให้ผู้บริหารถามคำถามว่า "ความเสี่ยงของทางเลือกนี้คืออะไร และเราพร้อมรับความเสี่ยงนั้นไหม?" ก่อนตัดสินใจทุกครั้ง ไม่ใช่ทำเป็นเอกสารแล้วเก็บลิ้นชัก
การเชื่อม ERM กับกลยุทธ์ — สิ่งที่ COSO 2017 เน้น
ความแตกต่างสำคัญที่สุดของ COSO ERM 2017 เทียบกับรุ่นก่อน (2004) คือการเน้นว่า ERM ต้องเป็นส่วนหนึ่งของกระบวนการวางกลยุทธ์ ไม่ใช่กิจกรรมแยกต่างหากที่ทำโดยฝ่าย Risk Management เพียงฝ่ายเดียว
ตัวอย่างเช่น เมื่อองค์กรพิจารณาจะขยายธุรกิจเข้าสู่ตลาดใหม่ การวิเคราะห์ความเสี่ยงต้องเป็นส่วนหนึ่งของการตัดสินใจนั้น ไม่ใช่ทำหลังจากตัดสินใจแล้ว ความเสี่ยงของกลยุทธ์ ความเสี่ยงของการ Execute และความเสี่ยงจากสภาพแวดล้อมภายนอก ล้วนต้องถูกพิจารณาในเวลาเดียวกัน
ขั้นตอนเริ่มต้น ERM สำหรับองค์กรขนาดกลาง
แผน 6 เดือนแรกของ ERM
- เดือน 1: กำหนด Risk Appetite Statement — ผู้บริหารระดับสูงต้องตกลงกันว่าองค์กรยอมรับความเสี่ยงระดับไหนได้
- เดือน 2: ทำ Risk Identification Workshop — ระดมความเสี่ยงจากทุกแผนกและทุกระดับ ไม่ใช่แค่ผู้บริหาร
- เดือน 3: ประเมินและจัดลำดับความเสี่ยง — ใช้ Risk Matrix (โอกาสเกิด × ผลกระทบ) เลือก Top 10 Risk ที่ต้องจัดการก่อน
- เดือน 4: กำหนด Risk Response — สำหรับแต่ละ Top Risk กำหนดว่าจะ Accept, Avoid, Reduce หรือ Transfer
- เดือน 5: กำหนด Risk Owner และ KRI (Key Risk Indicators) — ใครรับผิดชอบแต่ละความเสี่ยง และวัดด้วยอะไร
- เดือน 6: รายงานต่อ Board ครั้งแรก — สร้างนิสัยการรายงาน ERM เป็นประจำทุกไตรมาส
ERM ไม่ใช่สิ่งที่ทำเสร็จแล้วจบ แต่เป็นกระบวนการต่อเนื่องที่ต้องพัฒนาไปพร้อมกับองค์กร ขอให้เริ่มจากสิ่งที่ทำได้จริงก่อน แล้วค่อยๆ ขยายความครอบคลุมและความลึกขึ้นเรื่อยๆ
เขียนโดย พงศ์ภณัฏ เกียรติสี่สกุล — Founder & MD, PS Consultant Co., Ltd. | ประสบการณ์ที่ปรึกษากว่า 25 ปี