enterprise risk management n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Enterprise Risk Management PowerPoint Presentation
Download Presentation
Enterprise Risk Management

Loading in 2 Seconds...

play fullscreen
1 / 68

Enterprise Risk Management - PowerPoint PPT Presentation


  • 264 Views
  • Uploaded on

Enterprise Risk Management. การบริหารจัดการความเสี่ยงองค์กร สถาบันบัณฑิตพัฒนบริหารศาสตร์ National Institute of Development Administration (NIDA) วันศุกร์ที่ 2 6 กุมภาพันธ์ 25 53 1 4 :00- 17 :00 น. วัตถุประสงค์การเรียนรู้.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Enterprise Risk Management' - arella


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
enterprise risk management

Enterprise Risk Management

การบริหารจัดการความเสี่ยงองค์กร

สถาบันบัณฑิตพัฒนบริหารศาสตร์

National Institute of Development Administration (NIDA)

วันศุกร์ที่ 26 กุมภาพันธ์ 255314:00-17:00 น.

slide2
วัตถุประสงค์การเรียนรู้วัตถุประสงค์การเรียนรู้
  • เพื่อให้ทราบพัฒนาการกรอบแนวคิดการควบคุมภายในและการบริหารความเสี่ยงของ COSO
  • เพื่อให้มีความรู้ความเข้าใจในหลักการและองค์ประกอบของกรอบการบริหารความเสี่ยงองค์กร COSO Enterprise Risk Management (2004)
  • เพื่อให้เข้าใจกระบวนการและแนวทางเบื้องต้นในการจัดระบบการบริหารความเสี่ยงที่มีประสิทธิภาพในองค์กร
slide3
แนะนำวิทยากร

ไพรัช ศรีวิไลฤทธิ์

CIA CISA CBA CCSA CFSACISSP CFE

หัวหน้าตรวจสอบภายใน

บมจ. ธนาคารทิสโก้

  • ปริญญาตรีวิศวกรรมศาสตร์ จุฬาฯ (2528)
  • ปริญญาโทบริหารธุรกิจ ธรรมศาสตร์ฯ (2533)
  • IIA’s EIAP รุ่นที่ 7 จุฬาฯ (2546)
  • ประสบการณ์ด้านวิศวกรรม 5 ปี
  • ประสบการณ์ด้านการเงินในทิสโก้ 19 ปี
  • ประธาน ชมรมผู้ตรวจสอบภายในธนาคารและสถาบันการเงิน
  • วิทยากรสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย
slide5
แนวคิด

การกำกับดูแล

Governance

ความเสี่ยง

Risk

การควบคุม

Control

  • วัตถุประสงค์กระบวนการ
  • ความเสี่ยงการควบคุม และ การกำกับดูแล

กระบวนการ Process

วัตถุประสงค์

Objective

slide6
วิวัฒนาการ
  • 1977 : Foreign Corrupt Practice Act
  • 1985 :จัดตั้ง National Commission on Fraudulent Financial Reporting
  • 1987 :จัดตั้ง Committee of Sponsoring Organization of the Treadway Commission (COSO)
  • 1992 :COSO เสนอรายงาน Internal Control –Integrated Framework
  • 2004 :COSO เสนอรายงาน Enterprise Risk Management Framework
coso internal control integrated framework
COSO Internal Control – Integrated Framework
  • สภาพแวดล้อมการควบคุม (Control Environment)
  • การประเมินความเสี่ยง (Risk Assessment)
  • กิจกรรมการควบคุม (Control Activities)
  • สารสนเทศและการสื่อสาร (Information and Communication)
  • การติดตามผล (Monitoring)
slide9
ทำไมต้องมีการบริหารความเสี่ยงทำไมต้องมีการบริหารความเสี่ยง

เป็นหนึ่งใน หลักการกำกับดูแลกิจการที่ดี 15 ข้อ ซึ่ง ตลท.กำหนดให้บริษัทจดทะเบียนฯ ปฏิบัติตาม

เป็น หน้าที่ของคณะกรรมการบริษัท ที่ต้องจัดให้มีระบบบริหารความเสี่ยงเพื่อสร้าง มูลค่าเพิ่ม ให้กับองค์กรและผู้ถือหุ้นของบริษัทในระยะยาว

สาเหตุของ ความล้มเหลว ขององค์กรส่วนหนึ่งมาจากการที่ไม่มีระบบบริหารความเสี่ยง

9

07/06/57

inherent risk residual risk
Inherent Risk & Residual Risk

Inherent Riskคือความเสี่ยงก่อนที่จะมีมาตรการควบคุมหรือการบริหารจัดการ

Residual Riskคือความเสี่ยงที่เหลืออยู่หลังจากมีการควบคุมหรือบริหารจัดการเพื่อลดโอกาสที่จะเกิดและหรือผลกระทบแล้ว

10

07/06/57

risk management concept
Risk Management Concept

Effective Control

Effective Control

Inherent

Risk

Treatment Plan

Residual

Risk

Residual

Risk

  • การบริหารเพื่อลดความเสี่ยงลงมาอยู่ในระดับที่ยอมรับได้ต้องพิจารณาความคุ้มค่าระหว่าง ต้นทุนกับประโยชน์

ระดับความเสี่ยงที่ยอมรับได้

(Risk Appetite)

11

07/06/57

coso erm 2004
COSO ERM 2004

เสนอกรอบในการ บริหารจัดการความไม่แน่นอน ทั้งความเสี่ยงและโอกาส ได้อย่างมีประสิทธิผล และช่วยเพิ่มความสามารถแก่ผู้บริหารในการ สร้างคุณค่า

ประกอบด้วยหลักการ (Principle) คำศัพท์/คำนิยาม (Common Terminology) และแนวทางการนำระบบการบริหารความเสี่ยงไปปฏิบัติ (Implementation Guidance)

12

07/06/57

slide13
นิยาม

COSO Enterprise Risk Management (2004)

"Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise. It is designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives."

13

07/06/57

slide14
แนวคิดหลัก

เป็น การปฏิบัติอย่างต่อเนื่อง เสมือนเป็นกิจกรรมการทำงานอย่างหนึ่งขององค์กร

ความสำเร็จของการบริหารความเสี่ยงขึ้นกับ คนในองค์กร

เป็นส่วนหนึ่งของกระบวนการ กำหนดกลยุทธ์

พิจารณาความเสี่ยงในลักษณะของ Portfolioทั้งองค์กรตั้งแต่ระดับกิจกรรมจนถึงหน่วยธุรกิจและโครงการ

ระบุ ประเมิน และบริหารความเสี่ยง ให้อยู่ในระดับที่องค์กรยอมรับได้ (Risk Appetite)

ช่วย เพิ่มความเชื่อมั่น ว่าองค์กรจะสามารถบรรลุวัตถุประสงค์ เป้าหมายที่กำหนด

14

07/06/57

slide15
Enterprise Risk Management

Expands on elements

Internal environment

Objective setting

Event identification

Risk assessment

Risk response

Control activities

Information & communication

Monitoring

Internal Control Framework

Core elements

Control environment

Risk assessment

Control activities

Information & communication

Monitoring

ERM vs. Control Framework

slide17
องค์ประกอบหลักของ ERM

1. Internal Environmentสภาพแวดล้อมภายในองค์กร

เป็น องค์ประกอบพื้นฐาน ของการบริหารความเสี่ยงองค์กร

เป็นตัวกำหนด โครงสร้างและวินัย ในการทำงาน

สภาพแวดล้อมภายในองค์กร ส่งผลต่อวิธีการกำหนดกลยุทธ์ และเป้าหมายการดำเนินธุรกิจ วิธีการจัดโครงสร้างของกิจกรรมทางธุรกิจ รวมทั้งวิธีการระบุ ประเมิน และ จัดการกับความเสี่ยง

17

07/06/57

slide18
สภาพแวดล้อมภายในองค์กรสภาพแวดล้อมภายในองค์กร

จิตสำนึกและบรรยากาศของการควบคุมภายในจากผู้บริหารระดับสูง

ความซื่อสัตย์สุจริตและความมีจริยธรรม

ปรัชญาและรูปแบบการบริหารของฝ่ายบริหาร

โครงสร้างขององค์กร

การมอบหมายอำนาจและภาระหน้าที่

นโยบายและการปฏิบัติทางด้านทรัพยากรบุคคล

ความสามารถในหน้าที่ของบุคลากร

18

07/06/57

slide19
องค์ประกอบหลักของ ERM

2. Objective Settingกำหนดวัตถุประสงค์

องค์กรต้องกำหนดวัตถุประสงค์ เป้าหมายการดำเนินธุรกิจ ก่อนที่จะระบุเหตุการณ์ความเสี่ยง ที่อาจส่งผลกระทบต่อความสำเร็จของวัตถุประสงค์ เป้าหมายนั้น

19

07/06/57

slide20
ความสัมพันธ์ของวิสัยทัศน์ กลยุทธ์และวัตถุประสงค์

วิสัยทัศน์

เป็นผู้นำในการให้บริการประกันภัยอย่างครบวงจรในประเทศไทย

วัตถุประสงค์เชิงกลยุทธ์

1.รักษาอัตราผลตอบแทนจากเงินลงทุนให้ได้อย่างน้อย 15%

2.ขยายฐานลูกค้า 30%ใน 3 ปีโดยขยายสาขาอีก 30%

กลยุทธ์

1.รักษาโครงสร้างต้นทุนของการบริหารสาขาให้ได้เท่าเดิม

2.หาลูกค้าใหม่ในพื้นที่ที่ขยายสาขา

วัตถุประสงค์ของหน่วยงานบริหารสาขา

1.เปิดสาขาใหม่ให้ได้ 15 สาขาในปี2548

2.บริหารต้นทุนสาขาให้ได้........

3.สรรหาผู้จัดการสาขาอีก 15 คน

วัตถุประสงค์ของหน่วยงาน HR

1.บริหารไม่ให้อัตราการลาออกของพนักงานสาขาเกิน 10%

2.ว่าจ้างพนักงานใหม่ให้ได้อีก 100 อัตราในปี2548

วัตถุประสงค์ของหน่วยงาน IT

พัฒนาระบบงานและโครงข่ายรองรับการเปิดสาขาใหม่ 15 สาขา

20

07/06/57

slide21
องค์ประกอบหลักของ ERM

3. Event Identificationระบุเหตุการณ์ความเสี่ยง

ระบุเหตุการณ์ความเสี่ยง หรือความไม่แน่นอนที่อาจเกิดขึ้น โดยพิจารณาจากปัจจัยทั้งภายในและภายนอกองค์กร

ปัจจัยภายนอก อาทิ สภาวะเศรษฐกิจ การเมือง การเปลี่ยนแปลงทางเทคโนโลยี ภาวะแวดล้อมทางธรรมชาติ

ปัจจัยภายใน อาทิ บุคลากร กระบวนการ เทคโนโลยี

21

07/06/57

slide22
แหล่งที่มาของความเสี่ยง

Commercial and legal relationships

Economic circumstances

Human behavior

Natural events

Political circumstances

Technology and technical issues

Management activities and controls

Individual activities.

22

07/06/57

slide23
วิธีการและเครื่องมือที่ใช้ในการระบุความเสี่ยงวิธีการและเครื่องมือที่ใช้ในการระบุความเสี่ยง

Checklists/Questionnaire/Surveys

Judgment base on experience and records

Flow charts/Process Flow Analysis

Brainstorming

System Analysis, Scenario analysis

Workshop

Audit and other recommendations

Loss event data methodologies

Event / Risk inventories

23

07/06/57

slide24
การระบุความเสี่ยง

วิสัยทัศน์

เป็นผู้นำในการให้บริการประกันภัยอย่างครบวงจรในประเทศ

วัตถุประสงค์เชิงกลยุทธ์

1.ขยายฐานลูกค้าให้ได้อีก 30%ภายใน 3 ปีโดยการขยายสาขาอีก 30%

วัตถุประสงค์ของหน่วยงานบุคคล

2.ว่าจ้างพนักงานใหม่ให้ได้อีก 100 อัตราในปี2548

หน่วยวัด

จำนวนพนักงาน

Tolerance

10% จำนวนพนักงานใหม่ที่ว่าจ้าง 90-110 คน

ความเสี่ยงที่อาจเกิดขึ้น

1.ภาวะตลาดแรงงานไม่เอื้ออำนวยทำให้อาจไม่สามารถหาพนักงานได้ครบ

2. Needs/Job specification ไม่ชัดเจนทำให้หาพนักงานที่คุณสมบัติไม่ตรงตามความต้องการ

24

07/06/57

example of it risks
Example of IT Risks

Reliability &

Integrity

Effectiveness &

Efficiency

Confidentiality

Availability

  • System design (input, process & output)
  • Errors
  • Poor management (planning & policy)
  • System (H/W & Technology
  • Skills of IT and non-IT
  • Processing management (design & executions)
  • Security management (policy & procedure)
  • System (H/W & Technology & network)
  • User awareness
  • Hackers, Viruses
  • System & network design
  • Hardware fails
  • External sabotage
  • Viruses & Attack
  • No BCP, backup & recovery

Compliance

  • Unaware or not understand
  • No monitoring
leading risk indicator and escalation trigger
Leading Risk Indicator and Escalation Trigger

Leading Risk Indicatorคือดัชนีที่ใช้วัดความเสี่ยงที่อาจจะเกิดขึ้น อาจเป็นได้ทั้งเชิงปริมาณและเชิงคุณภาพ เช่น ขวัญและกำลังใจของพนักงาน เป็นต้น ควรมีการรายงานให้ฝ่ายบริหารอย่างสม่ำเสมอ

Escalation Triggerคืออัตราที่ที่ทำให้ Leading Risk Indicator สูงหรือเกินกว่าระดับที่กำหนดโดยหน่วยงานหรือผู้บริหารซึ่งต้องมีการรายงานเป็น exception report

26

07/06/57

leading risk indicator and escalation trigger1
Leading Risk Indicator and Escalation Trigger

วัตถุประสงค์ของหน่วยงาน

หน่วยวัด

Tolerance/Target

ความเสี่ยง

Leading Indicator

Escalation Trigger

รักษาพนักงานที่มีคุณภาพและผลงานดี(High Performer)

อัตราการลาออกของพนักงาน

อัตราการลาออกไม่เกิน 10% Tolerance 2%

พนักงานที่เป็น High Performer ลาออก

ขวัญและกำลังใจพนักงาน

ผลการประเมินความพึงพอใจของพนักงานที่เป็น High Performer ออกมาอยู่ในระดับต่ำ

27

07/06/57

slide28
องค์ประกอบหลักของ ERM

4. Risk Assessmentการประเมินความเสี่ยง

การประเมินความเสี่ยงช่วยให้องค์กรทราบว่า เหตุการณ์ความเสี่ยง/ความไม่แน่นอนนั้นจะส่งผลกระทบต่อการบรรลุเป้าหมายขององค์กรอย่างไร

โดยการวิเคราะห์กระทำใน 2 ด้าน คือ

โอกาสที่จะเกิด เหตุการณ์ความเสี่ยง (Likelihood)

ผลกระทบหากเกิด เหตุการณ์ความเสี่ยง (Impact)

28

07/06/57

slide29
ความเสี่ยงคืออะไร

ความเสี่ยง (Risk)คือ เหตุการณ์หรือการกระทำอย่างใดอย่างหนึ่งที่อาจจะเกิดขึ้น (Potential Event) และมีผลกระทบให้เกิดความเสียหายหรือทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร

เราสามารถวัดความเสี่ยงโดยพิจารณาจาก ผลกระทบ (Impact) ต่อเป้าหมาย กลยุทธ์ และวัตถุประสงค์ขององค์กร และ ความน่าจะเป็นไปได้ (Likelihood)ที่จะเกิดขึ้น

เหตุการณ์ที่อาจจะเกิดขึ้นแล้วมีผลทำให้เกิดผลดีหรือทำให้องค์กรบรรลุวัตถุประสงค์คือ โอกาส (Opportunity)

29

07/06/57

slide30
ตัวอย่างการวัดโอกาสที่อาจเกิดขึ้นตัวอย่างการวัดโอกาสที่อาจเกิดขึ้น

โอกาสที่อาคารจะถูกไฟไหม้

โอกาสที่ระบบคอมพิวเตอร์ติดไวรัส

โอกาสที่อัตราดอกเบี้ยจะเพิ่ม 1%

โอกาสที่จะเกิดแผ่นดินไหว

โอกาสที่พนักงานลาออก 10%

1

1

1

1

1

5

5

5

5

5

30

07/06/57

slide31
ตัวอย่างการวัดผลกระทบตัวอย่างการวัดผลกระทบ

ผลกระทบที่อาคารถูกไฟไหม้

ผลกระทบจากระบบคอมพิวเตอร์ติดไวรัส

ผลกระทบที่อัตราดอกเบี้ยขึ้นอีก 1%

ผลกระทบจากแผ่นดินไหว

ผลกระทบที่พนักงานลาออก 10%

1

1

1

1

1

5

5

5

5

5

31

07/06/57

slide32
การวัดผลกระทบที่อาจจะเกิดขึ้นการวัดผลกระทบที่อาจจะเกิดขึ้น

Assets and resource base of the organization, including personnel

Revenue and entitlements

Costs of activities, both direct and indirect

People

Community

Performance

Timing and schedule of activities

The environment

Intangibles such as reputation, goodwill, quality of life

Organizational behavior

32

07/06/57

slide33
วัดความเสี่ยงได้อย่างไรวัดความเสี่ยงได้อย่างไร

มาก

H

E

E

E

E

H

H

E

E

E

M

M

H

H

E

L

L

M

H

H

L

L

L

M

H

น้อย

น้อย

มาก

Level of Risk

โอกาสที่จะเกิดขึ้น

ความรุนแรงของผลกระทบ

1-เกิดน้อยมาก

2-เกิดขึ้นน้อย

3-เกิดขึ้นบ้าง

4-เกิดบ่อยครั้ง

5-เกิดประจำ

5 - รุนแรงมาก

4 - รุนแรง

3 - ปานกลาง

2 - น้อย

1 - น้อยมาก

33

07/06/57

slide34
กำหนดนโยบายในการจัดการความเสี่ยงกำหนดนโยบายในการจัดการความเสี่ยง

34

07/06/57

slide35
องค์ประกอบหลักของ ERM

5. Risk Responseระบุทางเลือกจัดการความเสี่ยง

คัดเลือกทางเลือกที่เหมาะสมและนำไปปฏิบัติ โดยถือเป็นส่วนหนึ่งของการบริหารความเสี่ยงองค์กร มี 4 แนวทางหลัก

การ หลีกเลี่ยง ความเสี่ยง (Avoidance Response)

การ ลด/ควบคุม ความเสี่ยง (Reduction Response)

การ หาผู้ร่วมรับผิดชอบ ความเสี่ยง (Sharing Response)

การ ยอมรับ ความเสี่ยง (Acceptance Response)

35

07/06/57

slide36

Risk Quadrant

Impact vs. Likelihood

100

High

ลดความเสียหาย

ป้องกัน

  • Mandatory Policies
  • Independentconfirmation of compliance
  • Contingency Plans
  • Prompt reporting of breaches and follow up

I

m

p

a

c

t

50

ค้นหา

  • Minimum control standards
  • Monitoring for lapses
  • Sanctions

รักษาสภาพแวดล้อมการควบคุมที่ดีให้ดำรงไว้

0

Low

100

50

High

Likelihood

36

07/06/57

slide37
เทคนิคในการลดผลกระทบ

Contingency planning

Contractual arrangements

Contract conditions

Design features

Disaster recovery plans

Engineering and structural barriers

Fraud control planning

  • Minimizing exposure to resources of risk
  • Portfolio planning
  • Pricing policy and control
  • Separation or relocation of an activity and resources
  • Public relations

37

07/06/57

slide38
เทคนิคในการลดโอกาสที่จะเกิดขึ้น

Audit and compliance programs

Contract conditions

Formal reviews of requirements, specifications, design, engineering and operations

Inspection and process controls

Investment and portfolio management

Project management

  • Preventative maintenance
  • Quality assurance, management, and standards
  • Research and development, technological development
  • Structured training and other programs
  • Supervision
  • Testing
  • Organizational arrangement
  • Technical controls

38

07/06/57

slide39
องค์ประกอบหลักของ ERM

6. Control Activitiesกิจกรรมควบคุม

นโยบายและกระบวนการ ที่จะช่วยให้แน่ใจว่า วิธีจัดการ ความเสี่ยงที่กำหนดในขั้นตอนก่อนหน้านั้น ไดถูกนำไปปฏิบัติอย่างถูกต้อง

องค์กรต้องกำหนดกิจกรรมควบคุมนี้ อย่างทั่วถึงทั้งองค์กร ทุกระดับชั้น และทุกงาน (All Functions)

39

07/06/57

slide40
นิยามการควบคุมภายใน

COSO Internal Control – Integrated Framework 1992

"การควบคุมภายใน คือ กระบวนการที่คณะกรรมการ ผู้บริหาร พนักงาน กำหนดขึ้นเพื่อสร้างความเชื่อมั่นอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์เกี่ยวกับ

1. ประสิทธิภาพประสิทธิผลของการดำเนินงาน

2. ความเชื่อถือได้ของรายงานทางการเงิน และ

3. การปฏิบัติตามกฎหมายและกฎระเบียบที่เกี่ยวข้อง"

40

07/06/57

slide41
แนวคิดหลัก

เป็น “กระบวนการ” ไม่ใช่เป้าหมาย

ทุกคนในองค์กรมีส่วนร่วม

ให้ความเชื่อมั่นอย่างสมเหตุสมผล

ไม่มีการควบคุมที่สมบูรณ์แบบ

ฝังอยู่ในกระบวนการปฏิบัติงาน

ต้นทุน vs ประโยชน์ที่ได้รับ

ความเสี่ยงและการควบคุม

41

07/06/57

slide42
วัตถุประสงค์การควบคุมวัตถุประสงค์การควบคุม

C ompliance

A ccomplishment of Goals & Objectives

R eliability & Integrity of Information

E conomical & Efficient Use of Resources

S afeguarding of Assets

42

07/06/57

slide43
ประเภทของกิจกรรมการควบคุมประเภทของกิจกรรมการควบคุม
  • Preventive Controls
  • Detective Controls
  • Directive Controls
  • IT General Controls
    • Preventive, Detective or Directive
  • IT Application Controls
    • Preventive, Detective or Directive
slide44
ตัวอย่างกิจกรรมควบคุมตัวอย่างกิจกรรมควบคุม

การกำหนด นโยบาย และวิธีปฏิบัติงานที่ชัดเจน

การ อนุมัติ โดยผู้มีอำนาจก่อนทำรายการ

การ บันทึก รายการอย่างถูกต้องแม่นยำ

ธุรกรรมได้รับการ รายงาน อย่างเหมาะสม

การ สอบทาน โดยผู้บริหารระดับกลาง

การควบคุมการ ประมวลผล ข้อมูล

การควบคุมความ ปลอดภัย ของทรัพย์สินและข้อมูล

การ แบ่งแยกหน้าที่ สำคัญออกจากกัน

การใช้ ดัชนีวัดผล การดำเนินงาน

การจัดทำ หลักฐานเอกสาร

44

07/06/57

slide45
การควบคุมที่ดี
  • ไม่เสียค่าใช้จ่ายเกินควร
  • ควบคุมในจุดที่สำคัญ
  • เหมาะสมและเข้าใจง่าย
  • สอดคล้องกับเป้าหมาย
  • ทันกาล
slide46
การควบคุมเชิงป้องกัน

ป้องกันสิ่งที่ไม่พึงประสงค์ ข้อผิดพลาด ทุจริต

ระบบคอมพิวเตอร์ ตรวจเลขที่บัญชี ที่พนักงานคีย์เข้า

ทำลายเอกสาร ที่มีข้อมูลสำคัญเพื่อกันการรั่วไหล

พนักงานอ่านและ ทำความเข้าใจ นโยบายและคู่มือ

ผู้บริหาร อนุมัติ คำขอจัดซื้อ

ระบบ ให้สิทธิ การเข้าถึงข้อมูลเฉพาะผู้มีอำนาจหน้าที่

อาคารและระบบความปลอดภัย จำกัด การเข้าถึงสินทรัพย์

ไม่วาง อาหารและเครื่องดื่มใกล้อุปกรณ์คอมพิวเตอร์

สำรองข้อมูล เป็นระยะตามระดับความสำคัญ

เก็บ รหัสผ่าน เป็นความลับ

ติดตั้งและใช้งานซอฟแวร์ ป้องกันไวรัส

46

07/06/57

slide47
องค์ประกอบหลักของ ERM

7. Information and Communicationสารสนเทศ

ตองระบุ สารสนเทศที่จำเป็น ทั้งจากภายในและภายนอก และมีระบบสื่อสารไปยังบุคลากรในองค์กร เพื่อปฏิบัติ

ครอบคลุม การสื่อสาร บน-ล่าง ล่าง-บน และระหว่างหน่วยงาน

สำคัญและจำเป็นในทุกระดับชั้นขององค์กร เนื่องจากใช้สารสนเทศระบุ ประเมิน และกำหนดวิธีจัดการกับความเสี่ยง และเพี่อดำเนินงานอื่น ๆ ให้บรรลุเป้าหมาย

47

07/06/57

information flow
Information Flow

Up:

  • Progress reports
  • Problem identification
  • Improvement suggestions

Down:

  • Goals / objectives
  • Directives
  • Policies / procedures

Across:

  • Daily work information —all levels

Top

Management

Senior Managers

Supervisors

Line Staff

48

07/06/57

slide49
สารสนเทศที่ดี

สารสนเทศ (Information) สัญญาณเตือนประกอบการกำกับสั่งการ

- เหมาะสม

- ถูกต้องสมบูรณ์

- เป็นปัจจุบัน

- ทันเวลา

- สะดวกในการเข้าถึง

การสื่อสาร (Communication) ควรมีการสื่อสารสองทางเพื่อความเข้าใจระหว่างผู้รับผิดชอบในงานที่เกี่ยวข้องกัน

49

07/06/57

slide50
องค์ประกอบหลักของ ERM

8. Monitoringระบบติดตามการบริหารความเสี่ยงองค์กร

กระบวนการประเมิน ความมีอยู่และคุณภาพขององค์ประกอบการบริหารความเสี่ยงทั้ง 7 ข้อ ข้างต้น ทำได้ 2 ลักษณะ

การ ประเมินแยกต่างหาก (Separate Evaluation)

การ ติดตาม/ประเมินต่อเนื่อง (Ongoing Activities) แบบ Real-time และตอบสนองอย่างรวดเร็วต่อการเปลี่ยน แปลงของเงื่อนไข/สภาพแวดล้อม จึงมีประสิทธิภาพกว่าวิธีแรก

50

07/06/57

slide51
ตัวอย่างกิจกรรมการติดตามตัวอย่างกิจกรรมการติดตาม

ระหว่างการดำเนินงานสังเกต ติดตาม ความคืบหน้า

การประเมินผลตามช่วงเวลาการตรวจสอบโดยผู้ตรวจสอบภายใน

การประเมินการควบคุมด้วยตนเองประชุมเชิงปฏิบัติการร่วมกันระหว่างผู้บริหาร ผู้ปฏิบัติงาน ผู้มีความรู้ด้านการควบคุม และผู้ที่เกี่ยวข้อง

การรายงานข้อบกพร่องและการสั่งการแก้ไข ความแตกต่างระหว่างผลการดำเนินงานจริง กับตัวเลขตามประมาณการ ระบุผู้รับผิดชอบ วิธีการแก้ไข และกำหนดเวลาข้อบกพร่อง

51

07/06/57

slide52

Assessment

(Identify &

Assess)

Governance

(Monitoring)

Monitor

(Information – Communication

& Monitoring)

Respond

(Control Activities

& Response)

COSO ERM Road Map

Environment

Objectives

risk map
ตัวอย่าง Risk Map

5

H

G

I

H

T

C

A

P

M

I

/

E

C

3

N

E

U

Q

E

S

N

O

C

W

O

L

1

3

5

LOW

HIGH

LIKELIHOOD

Risk Level :

Extreme

High

Moderate

Low

slide54
แนวทางในการจัดระบบการบริหารความเสี่ยงแนวทางในการจัดระบบการบริหารความเสี่ยง

มีวิธีและแนวทางที่หลากหลาย

ขึ้นอยู่กับความพร้อม ขนาดและความซับซ้อนขององค์กร ความ อุตสาหกรรม วัฒนธรรมองค์กร

จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง เช่น จรรยาบรรณ การสื่อสารสองทางที่มีประสิทธิภาพ ความรับผิดรับชอบ ผู้บริหารรับฟังการท้วงติงถึงความเสี่ยง

จัดตั้งทีมงานบริหารความเสี่ยงโดยมีตัวแทนของแต่ละฝ่ายเพื่อศึกษา หลักการและแนวทางการบริหารความเสี่ยงให้เข้าใจตรงกันและใช้ภาษาเดียวกัน

54

07/06/57

slide55
แนวทางในการจัดระบบการบริหารความเสี่ยงแนวทางในการจัดระบบการบริหารความเสี่ยง

การสนับสนุนจาก คณะกรรมการและผู้บริหารระดับสูง

เลือก Project Championและหัวหน้าคณะทำงาน

แผนการพัฒนา ระบบบริหารความเสี่ยง

กำหนดนโยบาย โครงสร้างและความรับผิดชอบ

กระบวนการสอดคล้องกับวัฒนธรรมและปรัชญาขององค์กร

อบรมสื่อสารให้ทุกคนเข้าใจตรงกัน

ดำเนินการประเมินและบริหาร

บริหาร ความเสี่ยงที่อยู่ในระดับสูง ก่อนระดับฝ่าย

เลือกบริษัทหรือโครงการเป็น Pilot Project

55

07/06/57

risk management structure
Risk Management Structure
  • Direction & Strategy
  • Oversight

Board of Directors

Nomination & Compensation Committee

Executive Board

Audit Committee

  • Business Performance
  • Risk Control
  • Conformity
  • Disclosure
  • Adequacy of Internal Control
  • Nomination
  • Compensation

Strategy

Enterprise Risk

Specific-Area Risk

Internal Audit

  • Management Committee
  • Advisory Committees
  • Planning & Budgeting
  • Business Lines
  • Risk Management Committee
  • Risk Management Function
  • Operation Risk Management
  • Business Lines
  • Credit Committee
  • Problem Loan Committee
  • Compliance Committee
  • Compliance & Internal Control
  • Technology Committee
  • Business Lines
  • Adequacy of Internal Controls
  • Compliance with policies, plans, procedures and business objectives
slide65
เหตุผลสนับสนุนการบริหารความเสี่ยงองค์กร

ทุกองค์กรดำรงอยู่เพื่อมอบคุณค่าแก่ผู้มีส่วนได้เสีย

ความไม่แน่นอน ทั้งความเสี่ยงและโอกาส ลด/เพิ่ม คุณค่า

ทุกองค์กรประสบกับความไม่แน่นอน ผู้บริหารมีหน้าที่ Balance ระหว่างความเสี่ยงและโอกาส

ERM เสนอกรอบในการบริหารจัดการความไม่แน่นอน ทั้งความเสี่ยงและโอกาส ได้อย่างมีประสิทธิผล และช่วยเพิ่มความสามารถแก่ผู้บริหารในการสร้างคุณค่า

65

07/06/57

slide66
ประโยชน์ของการบริหารความเสี่ยงที่มีประสิทธิภาพประโยชน์ของการบริหารความเสี่ยงที่มีประสิทธิภาพ

ช่วยใน การวางแผนกลยุทธ์ และควบคุมการดำเนินงาน ตามแผนธุรกิจได้ดีขึ้น

การ จัดสรรทรัพยากร สอดคล้องกับความเสี่ยง และสร้างโอกาสทางธุรกิจ

คณะกรรมการ คณะกรรมการตรวจสอบ ผู้บริหารมี ความมั่นใจและเข้าใจ การบริหารความเสี่ยงที่สำคัญที่บริษัทเผชิญอยู่

ผลการดำเนินงานทุกด้านเป็นไปตาม วัตถุประสงค์และเป้าหมาย ที่กำหนด ทั้งด้านการเงิน ราคาหุ้น นักลงทุน พนักงาน ชื่อเสียงและการดำเนินงานที่ไม่หยุดชะงัก

ความเสี่ยงที่เหลืออยู่ อยู่ใน ระดับที่ยอมรับได้

66

07/06/57

slide67
ข้อจำกัดในการบริหารความเสี่ยงองค์กรข้อจำกัดในการบริหารความเสี่ยงองค์กร

ความเสี่ยงเป็นเรื่องของอนาคตที่ยังมาไม่ถึงและไม่แน่นอน

ERM ในต่างระดับ มีวัตถุประสงค์ต่างกัน (Strategic, Operations,Reporting, Compliance)

ERM ไม่สามารถให้ความเชื่อมั่นอย่างสิ้นเชิง

Judgment

Control Breakdowns

Management Override

Collusion among Employees

Cost V.S. Benefit Consideration

67

07/06/57

slide68

Q&A

PAIRAT SRIVILAIRIT

FSVP Head of Internal Audit

TISCO Bank Public Company Limited

Mobile : +66819031457 Office : +6626337281 Email : pairat@tisco.co.th