3. ประเด็นคำถาม (Q&A) ของหัวข้อการบริหารความเสี่ยง และการควบคุมภายใน (Risk Management & Internal Control : RM&IC)



Q1 แผนยุทธศาสตร์หรือแผนบริหารความเสี่ยง คณะกรรมการรัฐวิสาหกิจ ต้องเป็นผู้เห็นชอบหรือไม่ ?

ตอบ ถึงแม้ว่าในเกณฑ์การประเมินผลฯ จะกำหนดไว้อย่างชัดเจนว่า แผนยุทธศาสตร์หรือแผนบริหาร
ความเสี่ยงจะต้องผ่านความเห็นชอบจากคณะกรรมการรัฐวิสาหกิจ อย่างไรก็ตาม ในทางปฏิบัติ
หากคณะกรรมการรัฐวิสาหกิจมีมติ ที่ชัดเจนในการมอบหมายให้คณะอนุกรรมการฯ ชุดใดชุดหนึ่ง 
ที่เกี่ยวข้องเป็นผู้ให้ความเห็นชอบก็ถือว่าสามารถทดแทนกันได้ ทั้งนี้ ต้องมีการนำเสนอให้
คณะกรรมการรัฐวิสาหกิจได้ทราบ

 

 Q2 การกำหนด Risk Appetite ระดับองค์กร ต้องทำพร้อมกับการกำหนดเป้าหมายระดับองค์กรหรือไม่

ตอบ ที่มาที่ใช้สำหรับกำหนดค่าความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite: RA) 
การกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance: RT) 
ทั้งนี้ RA และ RT    ต้องสอดคล้องกับเป้าหมาย ขององค์กร ทั้งในมุมมองของเป้าประสงค์ 
เป้าหมายตามยุทธศาสตร์ และตัวชี้วัดที่สำคัญขององค์กร ดังนั้น การกำหนด RA และ RT 
ระดับองค์กร ต้องเป็นภาพรวมที่แสดงถึงเป้าหมายที่ยอมรับได้ และต้องสอดคล้องกับเป้าหมายหลัก
ขององค์กร อย่างน้อยที่เป็นค่า Base Case หรือค่าระดับ 3 สำหรับ RA ที่องค์กรยอมรับได้

 

 Q3 การวิเคราะห์และระบุปัจจัยเสี่ยงระดับองค์กรต้องครอบคลุมประเด็นใดบ้าง

ตอบ การระบุปัจจัยเสี่ยงระดับองค์กร  (Identify Risk) พิจารณาควรครอบคลุมทั้งจากปัจจัยภายใน 
ปัจจัยภายนอก ยุทธศาสตร์และเป้าหมายที่สำคัญขององค์กร Strategic Positioning จุดอ่อน  
ความต้องการความคาดหวังของผู้มีส่วนได้ส่วนเสีย ตัวชี้วัดที่สำคัญขององค์กร (Inherent Risk) 
เพื่อกำหนดปัจจัยเสี่ยงที่อาจเกิดขึ้นได้ทั้งหมด (Risk Universe) ซึ่งในการประเมินผลรัฐวิสาหกิจ
ต้องสามารถแสดงถึงความเชื่อมโยง และที่มาของปัจจัยเสี่ยงทั้งหมดได้อย่างครบถ้วน

 

 Q4 การประเมินประสิทธิผลการควบคุมภายใน ร่วมกับการวิเคราะห์ปัจจัยเสี่ยงระดับองค์กร
พิจารณาจากอะไรได้บ้าง

ตอบ ในกระบวนการวิเคราะห์และการระบุปัจจัยเสี่ยงระดับองค์กร (Identify Risk) 
ที่เป็นปัจจัยเสี่ยง ที่อาจเกิดขึ้นได้ทั้งหมด (Risk Universe) นั้น มีจำนวนที่ค่อนข้างมาก
เนื่องจากต้องครอบคลุม ทุกประเด็นสำคัญนั้น เมื่อได้ปัจจัยเสี่ยงดังกล่าวมาแล้ว จำเป็นต้องมี
การวิเคราะห์ร่วมกับหน่วยงานเจ้าของความเสี่ยง (Risk Owner) ว่าแม้จะมีการบริหารจัดการ
ความเสี่ยง แต่รัฐวิสาหกิจจะมีแผนงานปกติ  กระบวนการทำงานปกติ ในการรองรับการดำเนินงาน
ในแต่ละปัจจัยเสี่ยงอย่างไรบ้าง แล้วแผนงานนั้น เพียงพอหรือผลการดำเนินงานตามแผนงานที่ผ่านมา
สามารถดำเนินงานได้ตามแผนงานหรือไม่หรือมีการรายงานความคืบหน้าต่อผู้บริหารหรือไม่ เพราะใน
กระบวนการจัดทำแผนงานประจำปี มีการวิเคราะห์ปัจจัยเสี่ยงของแต่ละแผนงานแล้วหรือไม่ 
โดยต้องมีการกำหนดหลักเกณฑ์ที่ชัดเจนในการประเมินว่า การควบคุมนั้นๆ มีประสิทธิผลเพียงพอได้อย่างไร


 Q5 การประเมินระดับความรุนแรง จำเป็นต้องใช้ฐานข้อมูลในอดีตหรือไม่ แล้วใครจะเป็นคนกำหนด
ให้วิเคราะห์ข้อมูลในอดีต ระหว่างฝ่ายบริหารความเสี่ยงและหน่วยงานเจ้าของความเสี่ยง (Risk Owner)

ตอบ การใช้ฐานข้อมูลในอดีต หรือ การคาดการณ์ในอนาคตเพื่อประกอบกับการกำหนดระดับ
ความรุนแรงของแต่ละปัจจัยเสี่ยง ต้องมีการใช้ประกอบการวิเคราะห์สำหรับปัจจัยเสี่ยง
ที่มีการดำเนินงาน
ผ่านมาแล้ว ซึ่งการใช้ฐานข้อมูลประกอบในการวิเคราะห์ในที่นี้ ต้องพิจารณา
ร่วมกับเป้าหมายในอนาคต/เป้าหมายตามยุทธศาสตร์ ว่าไม่ควรด้อยกว่าเป้าหมาย อย่างไรก็ตาม
สำหรับปัจจัยเสี่ยงที่เป็นประเด็นใหม่ หรือไม่เคยมีการดำเนินการมาก่อน อาจไม่จำเป็น
ต้องใช้ฐานข้อมูลได้
แต่ให้พิจารณาเป้าหมาย หรือทิศทางในอนาคตประกอบ ควรกำหนดโอกาส
และผลกระทบในลักษณะ Lead Lag ให้มากขึ้น รวมทั้งการกำหนดโอกาสเกิดให้เป็น Warning 
System 
ในส่วนการวิเคราะห์และนำฐานข้อมูลนั้น  ข้อมูลควรมาจากหน่วยงานเจ้าของความเสี่ยง 
(Risk Owner) เพื่อทำการพิจารณาร่วมกัน รวมทั้งควรเริ่มมีการนำระบบเทคโนโลยีดิจิทัล 
มาพัฒนาการจัดเก็บฐานข้อมูลเพื่อให้ข้อมูลมีความทันกาล

 

 Q6 การรายงานผลการบริหารความเสี่ยง ต้องมีความถี่มากน้อยแค่ไน แล้วต้องเสนอคณะกรรมการรัฐวิสาหกิจหรือไม่

ตอบ รายงานของการบริหารความเสี่ยงของแต่ละปัจจัยเสี่ยงระดับองค์กรนั้น ต้องมีการรายงาน 
ต่อคณะกรรมการบริหารความเสี่ยงเพื่อพิจารณา อย่างน้อยเป็นรายไตรมาส และเสนอคณะกรรมการ
รัฐวิสาหกิจเพื่อทราบเป็นรายไตรมาส เช่นกัน รายงานผลการบริหารความเสี่ยงควรรายงานครบถ้วน
ทุกปัจจัยเสี่ยง และครอบคลุมทั้งแผนจัดการความเสี่ยง (Mitigation Plan) และกิจกรรมการควบคุม 
(Existing Control) รวมทั้งระดับความรุนแรง ก่อนและหลังการบริหาร นอกจากนี้ ต้องมีการรายงาน 
ค่า RA และ RT และวิเคราะห์ปัญหาอุปสรรค และแนวทางแก้ไขที่ชัดเจน

 

 Q7 การบูรณาการกระบวนการบริหารความเสี่ยง กับการวางแผนเชิงกลยุทธ์ พิจารณาอย่างไร

ตอบ กระบวนการบริหารความเสี่ยงมีการเชื่อมโยงกับกระบวนการจัดทายุทธศาสตร์โดยผลที่ได้
จากกระบวนการบริหารความเสี่ยงซึ่งได้แก่ สรุปผลการบริหารความเสี่ยงในปีที่ผ่านมา 
และสถานะความเสี่ยงในปัจจุบันจะถูกนาไปใช้เป็นปัจจัยนาเข้าในการประกอบการวางแผนกลยุทธ์

 

 Q8 แนวทางการประเมินประสิทธิผลของการควบคุมภายในแต่ละปัจจัยเสี่ยงควรดำเนินการอย่างไร
(ประเด็นที่กปน. ยังดำเนินการไม่สมบูรณ์ หน้า RM & IC - 1)

ตอบ ต้องมีกระบวนการในการทบทวนกระบวนการ การประเมนการควบคุมภายในว่าปัจจุบันมีประเด็น 
หรือผลลัพธ์ที่อะไร ที่จะนำไปสู่การทบทวน ปรับปรุงกระบวนการ การประเมินการควบคุมภายในที่ชัดเจน

 

 Q9 การสำรวจเชิงพฤติกรรมที่สะท้อนความตระหนักและเป็นไปตามการวางแนวทางวัฒนธรรม
ความเสี่ยงควรดำเนินการอย่างไร 

(สรุปประเด็นสำคัญ ข้อ 5. ข้อมูลสารสนเทศ การสื่อสารและ การรายงานผล RM & IC)

ตอบ การสำรวจความตระหนักในเรื่องการบริหารความเสี่ยงตามหลักเกณฑ์/วิธีการในการประเมิน
ความตระหนักที่ดี เนื่องจากสำรวจความตระหนักเป็นการสำรวจเชิงพฤติกรรมในการตอบสนอง
หรือดำเนินการต่อเรื่องที่พึงประสงค์  ซึ่งต้องมีการกำหนดพฤติกรรมที่พึงประสงค์ตั้งแต่ต้นก่อน
เพื่อให้สามารถสำรวจความตระหนักเพื่อให้สะท้อนถึงพฤติกรรมที่พึงประสงค์ตามวัฒนธรรมความเสี่ยง

ที่ต้องการ ซึ่งหากไม่มีการกำหนดพฤติกรรมที่พึงประสงค์ตั้งแต่ต้น จะไม่สามารถสร้างวัฒนธรรมความเสี่ยงได้อย่างชัดเจน

 

 Q10 การระบุเหตุการณ์ในการเข้าถึงโอกาสทางธุรกิจหรือปัจจัยขับเคลื่อนมูลค่าองค์กร เป็นปัจจัยเสี่ยง
ระดับองค์กรนั้น หมายถึงการระบุ Intelligence Risk ใช่หรือไม่ และต้องระบุจาก Opportunity 
(“O”) ที่มาจากการวิเคราะห์ SWOT เท่านั้นหรือระบุจากเหตุการณ์อื่นนอกเหนือจาก “O” ได้หรือไม่

ตอบ การระบุเหตุการณ์ในการเข้าถึงโอกาสทางธุรกิจหรือปัจจัยขับเคลื่อนมูลค่าองค์กรนั้นเป็นปัจจัยเสี่ยง
ที่องค์กรต้องวิเคราะห์และระบุ เพื่อให้เกิดการบริหารความเสี่ยงเพื่อสร้างโอกาส Value Creation 
และการบริหารความเสี่ยงเพื่อสร้างมูลค่าเพิ่ม Value Enhancement สำหรับในการวิเคราะห์
Intelligent Risk นั้น จะเชื่อมโยงกับทิศทางองค์กรที่ต้องการในอนาคต ผ่านการวิเคราะห์ตำแหน่ง
เชิงยุทธศาสตร์ (Strategic Positioning) ว่าการจะมุ่งไปสู่ Strategic Positioning แต่ละระยะ 
จะมีความเสี่ยงอะไรที่เกิดขึ้นได้บ้างที่อาจทำให้ไม่บรรลุตามที่กำหนด

 

 Q11 ขอนิยาม Risk Universe ในความหมายของ สคร.

ตอบ การวิเคราะห์ปัจจัยเสี่ยงทั้งหมดขององค์กรที่อาจเกิดขึ้นได้ทั้งหมด ทั้งจากปัจจัยภายในและปัจจัย
ภายนอก (Inherent Ris) โดยยังไม่ผ่านกระบวนการประเมินประสิทธิผลของการควบคุมภายใน 
โดยเป็นปัจจัยทั้งจากการวิเคราะห์เชิงของการกำหนดโดยผู้บริหาร (Top Down) และหน่วยงาน
ที่วิเคราะห์ขึ้นมา (Bottom up)

 

 Q12 การกำหนดเกณฑ์ โอกาส และ ผลกระทบ ของแต่ละปัจจัยเสี่ยง (ซึ่งมีหลายปัจจัยเสี่ยง) 
นั้น ระดับของโอกาส และผลกระทบ ทั้ง 5 ระดับ จะสามารถเทียบเคียงความรุนแรงในระดับเดียวกัน   
ของทุกปัจจัยเสี่ยงได้อย่างไร ขอคำอธิบาย 

ตอบ การวิเคราห์ความรุนแรง ทั้งในเชิงโอกาสและผลกระทบนั้น เป็นการวิเคราะห์ผ่านการใช้ฐานข้อมูล
ในอดีตของแต่ละปัจจัยเสี่ยง เพื่อให้สะท้อนถึงโอกาสที่ปัจจัยเสี่ยงนั้นๆ จะเกิดขึ้น และหากเกิดขึ้น
จะมีผลกระทบต่อองค์กรในมุมใด และเท่าไหร่ เพื่อให้การวิเคราะห์ระดับความรุนแรงนั้นสะท้อน
ถึงลักษณะของแต่ละปัจจัยเสี่ยงที่มีผลต่อองค์กรโดยตรง และนำไปสู่การกำหนดแผนจัดการ 
ความเสี่ยงเพื่อให้สามารถลดระดับความรุนแรงได้อย่างเป็นรูปธรรม ทั้งนี้ในการประเมินความรุนแรง
ของแต่ละปัจจัยเสี่ยงถือว่าเป็นการวิเคราะห์ผ่านฐานข้อมูลของแต่ละประเด็น จะไม่ได้ทำการเทียบเคียง
ในลักษณะที่ถามมาโดยตรง แต่เป็นการประเมินความรุนแรงเพื่อให้ทำการวิเคราะห์และประเมิน
ความจำเป็นในการจัดทำแผนจัดการความเสี่ยง เพื่อให้สามารถจัดการและลดผลกระทบที่อาจจะเกิดขึ้น
จากปัจจัยเสี่ยงนั้น

 

 Q13 การกำหนดให้ รส.ประเมินความเสี่ยงทุกไตรมาส จะสามารถเพิ่มประสิทธิภาพในการบริหาร
ความเสี่ยงได้จริงหรือไม่ (เดิมประเมินความเสี่ยงอย่างน้อยปีละ 2 ครั้ง คือ ต้นปี กลางปี และเมื่อมี
สถานการณ์เปลี่ยนแปลง) 

ตอบ ในนัยยะของการประเมินความเสี่ยงทุกไตรมาส ที่เกณฑ์การประเมินสผลกำหนดคือ การประเมิน
ระดับความรุนแรงของปัจจัยเสี่ยงระดับองค์กร เป็นรายไตรมาส เพื่อให้สามารถติดตามความคืบหน้าของ
การจัดการความเสี่ยง ว่าสามารถลดระดับความรุนแรงได้ตามที่กำหนดหรือไม่ กรณีที่ยังไม่สามารถลด
ระดับความรุนแรงได้ตามที่กำหนด ต้องทำการวิเคราะห์ถึงสาเหตุที่ยังไม่สามารถลดระดับความรุนแรงได้
ตามเป้าหมาย ซึ่งอาจเกิดได้ทั้งจากแผนจัดการความเสี่ยงที่กำหนดไม่ตรงกับสาเหตุที่ทำให้ปัจจัยเสี่ยง
นั้นๆ เกิดขึ้น หรือแม้แต่การกำหนดระดับ ของโอกาสและผลกระทบแต่ละระดับที่ไม่สะท้อนถึง
ความรุนแรงของปัจจัยเสี่ยงนั้นได้อย่างแท้จริง

 

 Q14 ขอคำแนะนำเกี่ยวกับการจัดทำ Risk Correlation Map การวิเคราะห์ผลกระทบทั้งในเชิงปริมาณและคุณภาพ รวมถึงการกำหนดระดับความรุนแรงของแต่ละสาเหตุ อยากได้คำอธิบายที่เข้าใจง่าย
ยกตัวอย่างอย่างเป็นรูปธรรม และถ้าเป็นไปได้ให้อ้างอิงหรือใกล้เคียงกับบริบทของ กปน. หรือรัฐวิสาหกิจที่ใกล้เคียงกับ กปน. บ้าง

ตอบ การจัดทำ Risk Correlation Map ขององค์กรควรแสดงถึงการนำไปใช้งานได้จริง 
รวมถึงควรเผยแพร่ให้ผู้บริหารและพนักงานได้รับทราบผ่านช่องทางที่องค์กรมีอยู่ โดยต้องวิเคราะห์
ผ่านองค์ประกอบ 5 องค์ประกอบ ได้แก่

1. การกำหนดสาเหตุของความเสี่ยง น้ำหนักของสาเหตุ และระดับความรุนแรงของสาเหตุ

2. การวิเคราะห์ความสัมพันธ์ระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์ของสาเหตุ

3. การวิเคราะห์ผลกระทบระหว่างปัจจัยเสี่ยงในระดับองค์กร และผลกระทบของสาเหตุ

4. การนำ Risk Map ไปใช้ในการกำหนดแผนการบริหารความเสี่ยง

5. การสร้างความเข้าใจในเรื่อง Risk Map ให้กับบุคลากรในองค์กร

 

ตัวอย่าง Risk Map: Conceptual

 

 Q15 ขอคำแนะนำเกี่ยวกับการจัดทำ Portfolio View of Risk จำเป็นหรือไม่ที่ทุกรัฐวิสาหกิจ
จะต้องจัดทำเรื่องดังกล่าว หากไม่ใช่กิจการที่ดำเนินธุรกิจด้านการเงิน หรือธนาคาร ไม่ใช่เรื่องง่าย
ในการวิเคราะห์ผลกระทบทั้งเชิงปริมาณและคุณภาพ ที่ผ่านมา การค้นคว้าในเรื่อง Portfolio View of Risk มีข้อมูลน้อยมากที่สามารถนำมาปรับใช้กับ กปน. ได้จริง ในฐานะที่ทริสเป็นผู้เชี่ยวชาญและดูแล
การประเมินผลงานรัฐวิสาหกิจมาเป็นระยะเวลานาน จึงขอคำแนะนำที่เป็นประโยชน์และใช้งานได้จริงกับ กปน. ด้วย

ตอบ การวิเคราะห์ Portfolio view of Risk รัฐวิสาหกิจทุกแห่งสามารถดำเนินการได้ เนื่องจากแต่ละ
บริบทขององค์กรมีความแตกต่างกัน แต่จำเป็นต้องมีการใช้ฐานข้อมูลในอดีต เพื่อประกอบการวิเคราะห์
เชิงปริมาณ โดยเป็นการต่อยอดของการให้ประโยชน์จาก Risk Correlation Map  เพื่อให้สามารถ
บริหารความเสี่ยงแล้วเห็นภาพรวมทั้งหมดของการบริหารและผลกระทบที่อาจเกิดขึ้นต่อกัน รวมทั้งค่า
เบี่ยงเบนความเสี่ยงที่กำหนดของแต่ละปัจจัยเสี่ยงให้มีความสอดคล้องต่อภาพรวมองค์กร ในกรณี
ทีหากเกิดความเสี่ยงเกิดขึ้นในทุกปัจจัยเสี่ยงแล้วผลที่ได้เบี่ยงเบนตามที่ระดับความเสี่ยงที่ยอมให้
เบี่ยงเบนได้ทุกปัจจัยเสี่ยงแล้วนั้น องค์กรจะยอมรับผลได้จริงหรือไม่ นอกจากนี้ตามแนวมาตรฐานสากล
ที่ดีคือ COSO ที่เป็นเป็นแนวทางหลักสำหรับเกณฑ์ประเมินผล ได้กำหนดเรื่องการวิเคราะห์ Portfolio
ไว้เช่นกัน ซึ่งสะท้อนให้เห็นถึงการให้ความสำคัญของการจัดทำ Portfolio view of Risk

 

 Q16 เมื่อรัฐวิสาหกิจกำหนดนโยบาย GRC ที่สะท้อนการบูรณาการระหว่างธรรมภิบาล การบริหาร
ความเสี่ยง และการปฏิบัติตามกฎ ระเบียบ ข้อบังคับ ที่สอดคล้องในทิศทางเดียวกันแล้ว ยังจำเป็นต้องมี
นโยบายแยกของ G R และ C ด้วยหรือไม่

ตอบ เมื่อกำหนดนโยบาย GRC ในภาพรวมแล้ว ไม่จำเป็นต้องมีการกำหนดนโยบายแยก ทั้งนี้ นโยบาย
GRC ต้องมีความชัดเจนและครอบคลุมการดำเนินงานทั้ง G R และ C เพื่อให้สามารถถ่ายทอดนโยบาย
ไปกำหนดเป็นแนวทางปฏิบัติได้อย่างชัดเจน

 

Q17 หากคณะกรรมการ กปน. ประกอบด้วย ประธาน/อนุกรรมการคณะ CG RM&IC และหน่วยงาน
กฎหมายเมื่อพิจารณาหรือรับทราบ ระเบียบวาระต่าง ๆ จะถือว่าได้บูรณาการร่วมระหว่าง GRC ด้วยหรือไม่

ตอบ ยังไม่ถือว่าบูรณาการ เพราะทุกหน่วยงานมีคณะกรรมการรัฐวิสาหกิจที่มีองค์ประกอบดังกล่าวแล้ว 
ในการพิจารณาการบูรณการ GRC เป็นการพิจารณาในลักษณะของการดำเนินงานจริงที่เกิดขึ้นของ
หน่วยงานที่ต้องร่วมกันทำงาน และมีจุดที่แสดงความเชื่อมโยงของการทำงานร่วมกันที่ชัดเจนมิใช่เพียงแค่การมีคณะกรรมการเท่านั้น

 

Q18 การกำหนด Risk Appetite ระดับองค์กร ต้องกำหนดวัตถุประสงค์เชิงยุทธศาสตร์เสร็จก่อนหรือไม่ หรือต้องจัดทำในขั้นตอนไหน

ตอบ การกำหนดเป้าหมายของ Riak Appetiteระดังองค์กรจะได้หลังจากที่กำหนดเป้าหมายระดับองค์กรตามยุทธศาสตร์แล้ว ซึ่งต้องสอดคล้องกัน ทั้งนี้ สามารถพิจารณาเอกสารประกอบการสัมมนาเพิ่มเติม

 

Q19 Risk Factor กับ Risk Event เหมือนหรือแตกต่างกันครับ

ตอบ Risk Event = Risk Exposure เหตุการณ์ที่คาดว่าจะเกิดความเสี่ยง (ก่อให้เกิดความเสียหาย)
โดยมีสาเหตุมาจาก Risk factors ดังนั้น ถ้าจะพิจารณาจาก Risk factors เราก็ควรต้องพิจารณาถึง 
Event และ Exposure ด้วยเพื่อพิจารณาแผนในส่วนของ existing control ให้ครอบคลุงถึง Event
ที่จะเกิดขึ้น ทั้งนี้ ความเสี่ยง (Risk ) หมายถึง เหตุการณ์ที่มีโอกาสเกิดขึ้นในอนาคตหรือเหตุการณ์
ที่มีความไม่แน่นอน ทําให้องค์กรไม่สามารถบรรลุเป้าหมายที่วางไว้ได้ และปัจจัยความเสี่ยง (Risk 
Factor) คือ ปัจจัยที่จะทำให้เกิดความเสี่ยงที่จะเพิ่มโอกาสของความสูญเสีย หรือส่งผลต่อการไม่บรรลุ
วัตถุประสงค์/เป้าหมาขององค์กร ทั้งปัจจัยจากภายในและปัจจัยจากภายนอก

ยกตัวอย่าง Risk Event คือ การเกิดโรค Corona Virus และ Risk Factor คือ การนำจ่ายพัสดุ
ไม่เป็นไปตามกำหนดระยะเวลา โดยหากเรียงตามลำดับตามเกณฑ์การประเมินจะได้ว่า เหตุการณ์
ความเสี่ยง หรือ ความเสี่ยง (Risk event) -----> ปัจจัยเสี่ยง (Risk factor) ------> สาเหตุ
ความเสี่ยง (Root cause) ซึ่งในระดับปัจจัยเสี่ยงจะต้องมี Impact likelihood รายปัจจัยเสี่ยง 
โดยใช้ฐานข้อมูลจริง มี Mitigation Plan รายปัจจัยเสี่ยง และนำปัจจัยเสี่ยงทั้งหมดขององค์กร (corporate risk) มาแสดงใน risk profile

 

Q20 หากรัฐวิสาหกิจมีหน่วยงานที่รับผิดชอบด้านการกำกับดูแลกิจการที่ดีการบริหารความเสี่ยง 
และการควบคุมภายใน (Governance Risk and Compliance : GRC:) คือ คณะกรรมการกำกับ
ดูแลกิจการที่ดี คณะกรรมการบริหารความเสี่ยง และคณะกรรมการตรวจสอบและฝ่ายกฎหมาย ดังนั้น 
องค์กรต้องตั้งคณะกรรมการ GRC หรือไม่ และหน่วยงานใดทำหน้าที่รับผิดชอบหลักของด้าน GRC

ตอบ รัฐวิสาหกิจไม่จำเป็นต้องตั้งคณะกรรมการ GRC ขึ้นใหม่ แต่ต้องกำหนดและทบทวนบทบาท 
โครงสร้าง กระบวนการทำงานให้ชัดเจนในประเด็นคณะกรรมการชุดใดทำหน้าที่พิจารณาการบูรณาการ
ด้าน GRC และต้องแสดงให้เห็นบทบาทของกรรมการในชุดดังกล่าว เพื่อให้เกิดการบูรณาการที่แท้จริง
ในด้านโครงสร้าง กระบวนการทำงาน การติดตามการบูรณาการ และฐานข้อมูลเชิงบูรณาการ 
โดยหน่วยงานส่วนใหญ่ที่รับผิดชอบด้าน GRC จะเป็นคณะอนุกรรมการกำกับดูแลกิจการที่ดีหรือ
คณะกรรมการบริหารความเสี่ยง ทั้งนี้ ขึ้นอยู่กับการพิจารณาขององค์กรจะมอบหมายให้หน่วยงานใดรับผิดชอบ

 

Q21 หากองค์กรกำหนดนโยบายที่บูรณาการในเรื่องกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง 
และการควบคุมภายใน (Governance Risk and Compliance: GRC) แล้ว ต้องกำหนดหรือทบทวนนโยบายด้านการกำกับดูแลกิจการที่ดี ด้านการบริหารความเสี่ยง และด้านการควบคุมภายในหรือไม่

ตอบ ถ้าองค์กรได้กำหนดนโยบาย GRC ครอบคลุมทั้ง 3 ด้านแล้ว จึงไม่ต้องกำหนดนโยบาย
แยกเป็นรายด้าน เนื่องจากนโยบาย GRC เน้นการบูรณาการทั้ง 3 ด้าน

 

Q22 Value Creation และ Value Enhancement คือกระบวนการอะไร และอยู่ภายใต้
กระบวนการจัดทำแผนยุทธศาสตร์หรือแผนปฏิบัติการประจำปี โดยมีแนวความคิดที่สอดคล้องกับ
ระบบการบริหารจัดการเพื่อสร้างมูลค่า (EVM) ใช่หรือไม่

ตอบ Value Enhancement ได้นำ Value Driver ตามแนวคิดของระบบ EVM ในการวิเคราะห์
ปัจจัยเสี่ยง

ที่เกี่ยวข้อง และดำเนินการตามกระบวนการบริหารความเสี่ยง และในส่วนของ Value Creation 
จะเชื่อมโยงกับกระบวนการจัดทำแผนยุทธศาสตร์ผ่านการใช้โอกาสของ SWOT เป็นกระบวนการ
วิเคราะห์และบริหารความเสี่ยง

 

Q23 ด้านการบริหารความเสี่ยง องค์กรต้องจัดทำระบบเตือนภัยล่วงหน้า (Early Warning System : EWS) ของทุกตัวชี้วัดหรือไม่

ตอบ องค์การต้องจัดทำระบบเตือนภัยล่วงหน้า (Early Warning System : EWS) ในตัวชี้วัด
ที่สำคัญ 
พร้อมเชื่อมโยงกับปัจจัยเสี่ยงระดับองค์กร ซึ่งประเด็นดังกล่าวจะสอดคล้องกับด้านการวางแผนเชิงกลยุทธ์ 

 

Q24 ขอสอบถามด้านการบริหารความเสี่ยง ดังนี้

  1. การประเมินประสิทธิผลของการทบทวนและปรับปรุงผลการบริหารความเสี่ยงจะต้องพิจารณาปัจจัยใด และมีการประเมินอย่างไร
  2. การปรับปรุงกระบวนการบริหารความเสี่ยงมีแนวทางการปรับปรุงอย่างไร
  3. การประเมินประสิทธิผลแนวทางการปรับปรุงกระบวนการบริหารความเสี่ยง จะต้องพิจารณาปัจจัยใด และมีวิธีประเมินอย่างไร

ตอบ ขั้นตอนการกำหนดกระบวนการบริหารความเสี่ยงต้องมีการกำหนดวัตถุประสงค์และผลลัพธ์
ของกระบวนการ และเมื่อดำเนินการตามกระบวนการแล้ว หน่วยงานต้องมีการวิเคราะห์ผลลัพธ์ของกระบวนการ ประเด็นปัญหาและอุปสรรคจากการดำเนินงาน รวมถึงวิธีการการถอดบทเรียน (lesson learn) อย่างไร เพื่อเป็นแนวคิดการปรับปรุงกระบวนการ

       ทั้งนี้ วิธีการปรับปรุงกระบวนการจะขึ้นอยู่กับผลลัพธ์ของแต่ละรัฐวิสาหกิจที่ครบถ้วนกับเป้าหมาย
ที่กำหนด หรือไม่ โดยการประเมินประสิทธิผลแนวทางการปรับปรุงกระบวนการฯ จะพิจารณากระบวนการ
ทำงานทั้งหมด ตั้งแต่การกำหนดนโยบายและการติดตามผลการดำเนินงาน ซึ่งองค์กรต้องวิเคราะห์
และชี้แจง ในประเด็นเหตุผลของการปรับปรุงกระบวนการบริหารความเสี่ยง

 

Q25 แนวทางปฏิบัติการสร้างความตระหนักเกี่ยวกับความสำคัญของการรับรู้ ความเข้าใจในการบริหารความเสี่ยงของคณะกรรมการรัฐวิสาหกิจ มีแนวทางการดำเนินการอย่างไร

ตอบ การสร้างความตระหนักต่อคณะกรรมการที่เกี่ยวข้อง สามารถแบ่งออกเป็น 3 ขั้นตอน ได้แก่ 1) การกำหนดแนวทางของพฤติกรรม /บรรยากาศ วัฒนธรรม การบริหารความเสี่ยงของในรูปแบบที่คาดหวัง
2) การสร้างพฤติกรรมและวัฒนธรรมตามเป้าหมายที่กำหนด 3) การประเมินความตระหนัก
ของคณะกรรมการ สอดคล้องและเป็นไปตามตามแนวทางที่กำหนด หรือไม่ อย่างไร เพื่อนำมาสู่
การพัฒนา หรือยกระดับให้เป็นไปตามพฤติกรรมเเละวัฒนธรรมที่ต้องการ

Q26  เกณฑ์การบริหารความเสี่ยงและการควบคุมภายใน ข้อ 1.2 โครงสร้างและบทบาทหน้าที่ 
ระดับที่ 4 ระบุว่าโครงสร้างและบทบาทหน้าที่ด้านการบริหารความเสี่ยงและการควบคุมภายในให้สอดคล้องกับการกำหนดโครงสร้างและบทบาทหน้าที่ของกระบวนการทำงานอื่นรวมทั้งมีการสื่อสาร
ผู้บริหารมีการติดตามผลการดำเนินงานของหน่วยงาน/คณะทำงานที่รับผิดชอบ โดยสามารถดำเนินงานตามแผนงานของหน่วยงาน และสามารถบรรลุเป้าหมายตามแผนการปฏิบัติงานนั้นได้ครบถ้วน 
และมีกระบวนการในการตรวจสอบถึงความเข้าใจของผู้บริหารและพนักงานในคู่มือดังกล่าวนั้น 
จำเป็นต้องวัดความเข้าใจของพนักงานทั้งองค์กรหรือวัดเฉพาะกลุ่มผู้บริหารและพนักงานที่เกี่ยวข้อง
กับการบริหารความเสี่ยง (Risk Management) โดยตรง และวิธีวัดความเข้าใจสามารถจัดทำ
ในรูปแบบของแบบสอบถาม (Survey) ได้หรือไม่ ทั้งนี้ การตรวจสอบความเข้าใจของผู้บริหาร
และพนักงานในคู่มือการบริหารความเสี่ยง จะวัดความเข้าใจเฉพาะกลุ่มที่เกี่ยวข้องกับ Risk Management โดยตรง หรือพนักงานทั้งองค์กร

ตอบ  สามารถจัดทำในรูปแบบ Survey หรือในรูปแบบอื่นที่สามารถอธิบายได้ว่าเหมาะสมก็ได้ 
และการตรวจสอบถึงความเข้าใจในคู่มือการบริหารความเสี่ยงให้ครอบคลุมถึงผู้บริหารและพนักงาน
ที่เกี่ยวข้องกับการใช้คู่มือหรือที่ได้ระบุไว้ในคู่มือการบริหารความเสี่ยง

 

Q27  คู่มือความเสี่ยงจะต้องให้คณะกรรมการรัฐวิสาหกิจอนุมัติหรือเห็นชอบด้วยหรือไม่

ตอบ  ขึ้นอยู่กับอำนาจหน้าที่ของคณะอนุกรรมการบริหารความเสี่ยงที่ได้กำหนดไว้ หากคณะกรรมการ
รัฐวิสาหกิจมอบอำนาจหน้าที่ไว้แล้วก็สามารถอนุมัติหรือเห็นชอบคู่มือความเสี่ยงได้ อย่างไรก็ตาม 
ภายหลังจากที่คณะอนุกรรมการเห็นชอบแล้ว ให้จัดทำเป็นวาระเพื่อทราบและรายงานต่อคณะกรรมการ
รัฐวิสาหกิจด้วย

 

Q28  ในประเด็น “การบูรณาการกับแผนความเสี่ยงคือ การวิเคราะห์แผนความเสี่ยง ได้นำความเสี่ยง
ระดับโครงการไปวิเคราะห์หรือไม่ ว่าถ้าความเสี่ยงระดับโครงการใดเกินระดับควบคุม จะขึ้นมาเป็น 
Corporate Risk” ซึ่งจากประเด็นนี้ ความเกี่ยวโยงกับเรื่องความเสี่ยงก็คือ ให้มีการวิเคราะห์ความเสี่ยง
ระดับโครงการที่มีแนวโน้มว่าจะเกินค่าควบคุม และอาจมีการยกระดับเป็น Corporate Risk “เท่านั้น” 
ใช่หรือไม่ ซึ่งไม่เกี่ยวกับประเด็นที่ว่าถ้าความเสี่ยงระดับโครงการนั้นๆ ถูกยกขึ้นไปในระดับ Corporate
Risk แล้ว จะต้องมีการจัดสรรทรัพยากรหรือจัดสรรเงินสำรองเพิ่มใช่หรือไม่

ตอบ  ในเกณฑ์การวางแผนเชิงกลยุทธ์ เป็นประเด็นแรก จากความเสี่ยงโครงการ (Project Risk) 
สู่ความเสี่ยงองค์กร (Corporate Risk) ถ้าเกินควบคุม แต่ประเด็นที่สอง เป็นเกณฑ์การบริหาร
ความเสี่ยงที่จะต้องมีการวิเคราะห์ความคุ้มค่า หรือทางเลือกที่เหมาะสมของแนวทางการป้องกัน 
(Mitigation Plan)

 

Q29 ในหัวข้อที่ 4 การทบทวนการบริหารความเสี่ยง หัวข้อย่อยที่ 4.1 ระดับที่ 1 การกำหนดกระบวนการในการทบทวนและปรับปรุงผลความเสี่ยงสม่ำเสมอ ตามสภาพแวดล้อมที่เปลี่ยนแปลงไปโอกาสที่เกิดขึ้น หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนดนั้น 
เป็นเรื่องของขั้นตอนการปฎิบัติงานใช่หรือไม่

ตอบ เป็นการปรับปรุงแผนบริหารความเสี่ยงระหว่างปี ทั้งในเรื่องของปัจจัยเสี่ยง แผนงาน และเป้าหมายการบริหารความเสี่ยง เนื่องจากระหว่างปีอาจมีปัจจัยที่ส่งผลต่อความเสี่ยงที่อาจเพิ่มขึ้น หรือแผนบริหารความเสี่ยงเดิมอาจไม่เพียงพอ

 

Q30 ยกตัวอย่างของค่าความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite : RA) ซึ่งแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน (ฺBusiness Objective) และความเสี่ยงที่องค์กรยอมรับได้ดังกล่าว ควรมีกี่เรื่องจึงจะเหมาะสม รวมถึงกระบวนการในการกำหนดความเสี่ยงที่องค์กรยอมรับได้ ใช้การประชุมระดมสมองของหัวหน้างานอาวุโส (Senior Leading Team) ได้หรือไม่

ตอบ การกำหนดค่าความเสี่ยงที่ยอมรับได้ จะขึ้นกับแต่ละองค์กรในการกำหนด ซึ่งจะไม่มีรูปแบบว่าต้องเป็นตัวเลขเท่าใด แต่จะเป็นไปตามที่อธิบายไว้ตอนชี้แจงผล Baseline ส่วนกระบวนการในการกำหนดนั้น จะใช้วิธีการประชุมร่วมกันก็ได้ แต่ต้องรับรองด้วยข้อมูล/ข้อเท็จจริง เพื่อใช้ในการกำหนดค่า

หน้า 2