การบริหารความเสี่ยงระดับองค์กรของ รฟม. ดำเนินการตามแนวทางระบบการบริหารความเสี่ยงระดับองค์กรของ The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซึ่งมีองค์ประกอบการบริหารความเสี่ยง ดังนี้
1. สภาพแวดล้อมภายในองค์กร (Internal Environment) คือ แนวทางและนโยบายภายในเกี่ยวกับการบริหารความเสี่ยงของ รฟม. สภาพแวดล้อมภายในองค์กรเป็นปัจจัยสำคัญที่มีผลต่อกระบวนการบริหารความเสี่ยง
2. การกำหนดเป้าหมาย (Objective Setting) การกำหนดเป้าหมายสำหรับการบริหารความเสี่ยงของ รฟม. จะกำหนดจากเป้าหมายการดำเนินงานตามที่กำหนดไว้ในแผนวิสาหกิจ และเป้าหมายอื่นๆ ตามข้อสังเกตของคณะกรรมการประเมินผลการดำเนินงานของรัฐวิสาหกิจด้านการบริหารความเสี่ยง คณะอนุกรรมการบริหารความเสี่ยง/คณะทำงานบริหารความเสี่ยงองค์กรที่กำหนดเพิ่มเติม
3. การระบุความเสี่ยง (Risk Identification) คือ การพิจารณาเหตุการณ์ที่นำไปสู่ความเสียหาย โดยการระบุความเสี่ยงจะต้องพิจารณาปัจจัยทั้งจากภายในและภายนอกองค์กร การระบุความเสี่ยงสามารถทำได้หลายแนวทาง ได้แก่ การสัมภาษณ์ (Interviews) การใช้ดุลยพินิจจากประสบการณ์ทำงาน การระดมความคิดจากส่วนงานต่างๆ (Brainstorming) การประชุมเชิงปฏิบัติการ (Workshop) การจัดตั้งคณะทำงานที่ประกอบด้วยบุคลากรที่มีความรู้ความสามารถในด้านต่างๆ การวิเคราะห์จากข้อมูลในอดีต เป็นต้น
ในการบริหารความเสี่ยงของ รฟม. ได้มีการแบ่งความเสี่ยงออกเป็น 4 ประเภท ดังนี้
ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการกำหนดกลยุทธ์และการตัดสินใจด้านกลยุทธ์ ซึ่งรวมถึงความไม่สอดคล้องกันระหว่างนโยบาย เป้าหมาย กลยุทธ์ โครงสร้างองค์กร ภาวการณ์แข่งขัน และสภาพแวดล้อม อันส่งผลกระทบต่อองค์กร
ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk: O) หมายถึง ความเสี่ยงที่เกิดจากการปฏิบัติงานทั้งในส่วนของการบริหารงานบุคลากร และเทคโนโลยีที่ใช้ในการทำงาน
ความเสี่ยงด้านการเงิน (Financial Risk: F) หมายถึง ความเสี่ยงเกี่ยวกับนโยบายและขั้นตอนการบริหารจัดการด้านการเงินและการลงทุน
ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบข้อบังคับ (Compliance Risk: C) หมายถึง ความเสี่ยงจากการฝ่าฝืนหรือไม่สามารถปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ มติคณะรัฐมนตรี มาตรฐานต่างๆ หรือ กฎหมาย/ระเบียบที่มีอยู่ไม่เหมาะสมหรือเป็นอุปสรรคในการปฏิบัติงาน
4. การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยงพิจารณาจากองค์ประกอบ 2 ประการ ได้แก่ โอกาสที่จะเกิดความเสี่ยง (Likelihood) และผลกระทบที่เกิดขึ้น (Impact) จากนั้นจึงนำองค์ประกอบทั้งสองมาพิจารณาร่วมกันเพื่อหาระดับความเสี่ยง (Level of Risk)
โอกาสที่จะเกิดความเสี่ยง (Likelihood) หมายถึง ความเป็นไปได้ที่ความเสี่ยงหรือเหตุการณ์นั้นจะเกิดขึ้นโดยแบ่งออกเป็น 5 ระดับ คือ สูงมาก สูง ปานกลาง น้อย และน้อยมาก
ผลกระทบที่เกิดขึ้น (Impact) หมายถึง ผลกระทบของความเสี่ยงหรือเหตุการณ์ที่จะเกิดขึ้น ซึ่งอาจเป็นมูลค่าความเสียหาย ความมีนัยสำคัญต่อวัตถุประสงค์หรือเป้าหมายความอ่อนไหว (Sensitive) ต่อประชาชน โดยแบ่งออกเป็น 5 ระดับ คือ สูงมาก สูง ปานกลาง น้อย และน้อยมาก
ระดับความเสี่ยง (Level of Risk) หมายถึง ตัวชี้วัดที่ใช้ในการกำหนดความสำคัญของความเสี่ยง โดยค่าระดับความเสี่ยงได้มาจากผลคูณระหว่างโอกาสที่จะเกิดความเสี่ยง (Likelihood) กับผลกระทบของความเสี่ยง (Impact) ซึ่ง รฟม. ได้แบ่งระดับความเสี่ยงออกเป็น 4 ระดับ ได้แก่ สูงมาก สูง ปานกลาง และต่ำ ตามเกณฑ์การแบ่งระดับความเสี่ยง ดังนี้
ระดับความเสี่ยงสูงมาก | ค่าระดับความเสี่ยงมากกว่า 16 |
ระดับความเสี่ยงสูง | ค่าระดับความเสี่ยง 10 - 16 |
ระดับความเสี่ยงปานกลาง | ค่าระดับความเสี่ยง 4 - 9 |
ระดับความเสี่ยงต่ำ | ค่าระดับความเสี่ยง 1 - 3 |
5. การจัดการความเสี่ยง (Risk Responses) การพิจารณากำหนดกลยุทธ์ในการจัดการความเสี่ยงโดยจะเลือกใช้กลยุทธ์ใดกลยุทธ์หนึ่งหรือหลายกลยุทธ์รวมกันก็ได้ เพื่อให้ระดับความเสี่ยงลดลงมาอยู่ในระดับที่ยอมรับได้ ซึ่งกลยุทธ์ในการจัดการความเสี่ยงประกอบด้วย 4 กลยุทธ์ (4T) ได้แก่ การหลีกเลี่ยงความเสี่ยง (Terminate), การถ่ายโอนความเสี่ยง (Transfer), การควบคุมความเสี่ยง (Treat), การยอมรับความเสี่ยง (Take)
6. กิจกรรมควบคุม (Control Activities) คือ นโยบายและวิธีการปฏิบัติงานที่กำหนดขึ้นเพื่อช่วยให้ฝ่ายบริหารมั่นใจว่าได้มีการบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยกิจกรรมการควบคุมมีทั้งการควบคุมแบบป้องกัน ค้นพบและแก้ไข
7. การติดตามและประเมินผล (Monitoring) เมื่อมีการเปลี่ยนแปลงสภาพแวดล้อม วิธีการจัดการความเสี่ยงที่กำหนดไว้อาจจะไม่เหมาะสม กิจกรรมควบคุมอาจมีประสิทธิภาพน้อยลง หรือเป้าหมายการดำเนินงานอาจมีการเปลี่ยน ดังนั้นจึงต้องมีการติดตามตรวจสอบว่าการบริหารความเสี่ยงในแต่ละขั้นตอนยังคงมีประสิทธิภาพอยู่หรือไม่ ในการติดตามตรวจสอบของ รฟม. จะใช้หลักการประเมินตนเอง (Self - Assessment) โดยส่วนงานหลักรับผิดชอบบริหารจัดการความเสี่ยงใด ส่วนงานนั้นจะเป็นผู้รับผิดชอบในการประเมินประสิทธิภาพการบริหารความเสี่ยงของตนเอง ทั้งนี้สำนักตรวจสอบจะเป็นส่วนงานหนึ่งที่จะทำการติดตามตรวจสอบตามหน้าที่ประจำของส่วนงาน หรืออาจจะทำการตรวจสอบตามคำสั่งของคณะกรรมการตรวจสอบ หรือคณะกรรมการ รฟม.
8. สารสนเทศและการสื่อสาร (Information and Communication) คือ การจัดให้มีการสื่อสารและระบบสารสนเทศความเสี่ยงที่ดี เพื่อให้มั่นใจว่าผู้บริหารและพนักงานทุกคนเข้าใจกระบวนการและบทบาทหน้าที่ความรับผิดชอบของตนเกี่ยวกับการบริหารความเสี่ยง
Risk Management & Internal Control Policy