แนวทางและกระบวนการบริหารความเสี่ยงโครงการสำคัญตามมาตรฐาน COSO mens wrist watches
(Committee of Sponsoring Organization of the Tread Way Commission)
 
ปี พ.ศ. 2553 สำนักงานคณะกรรมการพัฒนาระบบราชการ (ก.พ.ร.) ได้กำหนดแนวทางการบริหารความเสี่ยงตามเกณฑ์การพัฒนาคุณภาพการบริหารจัดการภาครัฐ (PMQA) หมวด 2 ส่วนงานราชการจะต้องมีการวิเคราะห์และจัดทำแผนบริหารความเสี่ยงตามมาตรฐาน COSO (Committee of Sponsoring Organization of the Tread Way Commission) เพื่อเตรียมการรองรับการเปลี่ยนแปลงที่อาจเกิดขึ้นจากการดำเนินงานตาม แผนงาน/โครงการ ซึ่งจะต้องมีการวิเคราะห์ และบริหารจัดการความเสี่ยงตามประเด็นยุทธศาสตร์ให้ครบถ้วนทุกประเด็นของส่วนราชการ  เพื่อจัดการกับการเปลี่ยนแปลงที่อาจส่งผลกระทบต่อความสำเร็จหรือการบรรลุเป้าหมายขององค์กร ที่สำคัญต้องครอบคลุมความเสี่ยงตามหลักธรรมาภิบาล
 
 ส่วนราชการต้องมีขั้นตอนการดำเนินการ หลักเกณฑ์ในการวิเคราะห์ ประเมิน และจัดการความเสี่ยงอย่างเหมาะสมตามกระบวนการบริหารความเสี่ยงตามมาตรฐาน COSO (Committee of Sponsoring Organization of the Tread Way Commission) คือ
1. การกำหนดเป้าหมายการบริหารความเสี่ยง (Objective Setting)
2. การระบุความเสี่ยงต่างๆ (Event Identification)
3. การประเมินความเสี่ยง (Risk Assessment)
4. กลยุทธ์ที่ใช้ในการจัดการกับแต่ละความเสี่ยง (Risk Response)
5. กิจกรรมการบริหารความเสี่ยง (Control Activities)
6. ข้อมูลและการสื่อสารด้านบริหารความเสี่ยง (Information and Communication)
7. การติดตามผล และเฝ้าระวังความเสี่ยงต่างๆ (Monitoring)
ซึ่งมีรายละเอียด ดังนี้
ขั้นตอนที่ 1 การกำหนดเป้าหมายการบริหารความเสี่ยง (Objective Setting)
เป็นการกำหนดวัตถุประสงค์ของการบริหารจัดการความเสี่ยง และพิจารณาเลือกประเด็น/แผนงาน/โครงการที่มีความสอดคล้องกับทุกกลยุทธ์ในประเด็นยุทธศาสตร์ และได้รับงบประมาณสูงเป็นอันดับแรก ซึ่งสามารถวิเคราะห์ความเสี่ยงได้ครบถ้วนช่วยเพิ่มประสิทธิภาพของการตัดสินใจ โดยคำนึงถึงปัจจัยเสี่ยง และความเสี่ยงในด้านต่างๆ ที่น่าจะมีผลกระทบกับการดำเนินงาน วัตถุประสงค์ และนโยบายแล้วพิจารณาหาแนวทางในการป้องกัน หรือจัดการกับความเสี่ยงเหล่านั้นก่อนที่จะเริ่มปฏิบัติงาน หรือดำเนินกิจการตามแผนที่กำหนดไว้
 
ขั้นตอนที่ 2 การระบุความเสี่ยงต่างๆ (Event Identification)
การวิเคราะห์ เพื่อระบุความเสี่ยง สำนักงานคณะกรรมการพัฒนาระบบราชการ (ก.พ.ร.) ให้นำ แนวคิดเรื่องธรรมาภิบาลที่เกี่ยวข้องแต่ละด้านมาเป็นปัจจัยในการวิเคราะห์ความเสี่ยงของแต่ละแผนงาน/โครงการ โดยควรคำนึงถึงปัญหา และอุปสรรคของการดำเนินการตามแผนงาน/โครงการ ซึ่งสัญญาณบ่งชี้อันจะนำไปสู่ความเสี่ยงที่แผนงาน/โครงการไม่ประสบความสำเร็จ โดยดูทั้งปัจจัยภายใน และปัจจัยภายนอกเป็นส่วนประกอบในการดำเนินการวิเคราะห์ ดังกล่าว
1. ปัจจัยภายใน หมายถึง ความเสี่ยงที่สามารถควบคุมได้โดยองค์กร เช่น กฎระเบียบ ข้อบังคับของส่วนราชการ วัฒนธรรมองค์กร นโยบายการบริหาร ความรู้/ความสามารถของบุคลากร กระบวนการทำงานข้อมูล/ระบบสารสนเทศ และเครื่องมืออุปกรณ์ เป็นต้น
2. ปัจจัยภายนอก หมายถึง ความเสี่ยงที่ไม่สามารถควบคุมการเกิดได้โดยองค์กร เช่น ภาวะเศรษฐกิจสังคม การเมือง กฎหมาย ผู้รับบริการ เครือข่าย เทคโนโลยี ภัยธรรมชาติ และสิ่งแวดล้อม เป็นต้น  
ในการวิเคราะห์เพื่อระบุความเสี่ยงต่างๆ อาจพิจารณาจากปัจจัยเสี่ยงในหลายด้าน เช่น
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk : S)
เกี่ยวกับการบรรลุเป้าหมาย และพันธกิจในภาพรวม โดยความเสี่ยงที่อาจจะเกิดขึ้นเป็นความเสี่ยงเนื่องจากการเปลี่ยนแปลงของสถานการณ์เหตุการณ์ภายนอกส่งผลต่อกลยุทธ์ที่กำหนดไว้ไม่สอดคล้องกับประเด็นยุทธศาสตร์ วิสัยทัศน์ การกำหนดกลยุทธ์ที่ขาดการมีส่วนร่วมจากภาคประชาชน การร่วมมือกับองค์กรอิสระทำให้โครงการขาดการยอมรับโครงการไม่ได้นำไปสู่การแก้ไข การตอบสนองต่อความต้องการของผู้รับบริการหรือผู้มีส่วนได้ส่วนเสียอย่างแท้จริง หรือเป็นความเสี่ยงที่เกิดขึ้นจากการตัดสินใจผิดพลาดหรือนำการตัดสินใจนั้นมาใช้อย่างไม่ถูกต้อง
2. ความเสี่ยงด้านการดำเนินงาน (Operational Risk : O)
เกี่ยวข้องกับประสิทธิภาพ ประสิทธิผลหรือผลการปฏิบัติงาน โดยความเสี่ยงที่อาจเกิดขึ้นเป็นความเสี่ยงเนื่องจากระบบงานภายในขององค์กรกระบวนการ เทคโนโลยี หรือนวัตกรรมที่ใช้ บุคลากร ความเพียงพอของข้อมูลส่งผลต่อประสิทธิภาพ และประสิทธิผลในการดำเนินโครงการ
3. ความเสี่ยงด้านการเงิน (Financial Risk : F)
เป็นความเสี่ยงเกี่ยวกับการบริหารงบประมาณและการเงิน เช่น การบริหารการเงินไม่ถูกต้อง ไม่ เหมาะสม ทำให้ขาดประสิทธิภาพ และไม่ทันต่อสถานการณ์หรือเป็นความเสี่ยงที่เกี่ยวข้องกับการเงินขององค์กร เช่น การประมาณการงบประมาณไม่เพียงพอ และไม่สอดคล้องกับขั้นตอนการดำเนินการ เป็นต้น
4. ความเสี่ยงด้านการปฏิบัติตามกฎหมาย/กฎระเบียบ (Compliance Risk : C)
เกี่ยวข้องกับการปฏิบัติตามกฎ ระเบียบต่างๆ โดยความเสี่ยงที่อาจเกิดขึ้นเป็นความเสี่ยงเนื่องจากความไม่ชัดเจน ความไม่ทันสมัย หรือความไม่ครอบคลุมของกฎหมาย กฎระเบียบ ข้อบังคับต่างๆ รวมทั้ง การทำนิติกรรมสัญญา การร่างสัญญาที่ไม่ครอบคลุมการดำเนินงานในการวิเคราะห์ความเสี่ยงนั้น นอกจากส่วนราชการจะพิจารณาปัจจัยเสี่ยงจากด้านต่างๆ แล้วจะต้องนำแนวคิดเรื่องธรรมาภิบาลที่เกี่ยวข้องในแต่ละด้านมาเป็นปัจจัยในการวิเคราะห์ความเสี่ยง เช่น
4.1 ด้านกลยุทธ์ โครงการที่คัดเลือกมานั้นอาจมีความเสี่ยงต่อเรื่องประสิทธิผล และการมีส่วนร่วม
4.2 ด้านการดำเนินงาน อาจมีความเสี่ยงต่อเรื่องประสิทธิภาพ และความโปร่งใส
4.3 ด้านการเงิน อาจมีความเสี่ยงต่อเรื่องนิติธรรม และภาระรับผิดชอบ
4.4 ด้านกฎหมาย/กฎระเบียบ อาจมีความเสี่ยงต่อเรื่องนิติธรรม และความเสมอภาค   ทั้งนี้ ความเสี่ยงเรื่องธรรมาภิบาลที่อาจเกิดขึ้นจากการดำเนินแผนงาน/โครงการ เพื่อให้เป็นไปตามหลักธรรมาภิบาล (Good Governance) ได้แก่
1. ประสิทธิผล (Effectiveness)
2. ประสิทธิภาพ (Efficiency)
3. การมีส่วนร่วม (Participation)
4. ความโปร่งใส (Transparency)
5. การตอบสนอง (Responsiveness)
6. ภาระรับผิดขอบ (Accountability)
7. นิติธรรม (Rule of Law)
8. การกระจายอำนาจ (Decentralization)
9. ความเสมอภาค (Equity)
 
องค์ประกอบตามหลักธรรมาภิบาล
1. หลักประสิทธิผล ( Effectiveness ) : ผลการปฏิบัติราชการที่บรรลุวัตถุประสงค์ และเป้าหมายของแผนการปฏิบัติราชการตามที่ได้รับงบประมาณดำเนินการ รวมถึงสามารถเทียบเคียงกับกรมอื่น หรือหน่วยงานที่มีภารกิจคล้ายคลึงกัน และมีผลการปฏิบัติงานในระดับ ชั้นนำของประเทศเพื่อให้เกิดประโยชน์สุขต่อประชาชนโดยการปฏิบัติราชการจะต้องมีทิศทางยุทธศาสตร์ และเป้าประสงค์ที่ชัดเจน มีกระบวนการปฏิบัติงานและระบบงานที่เป็นมาตรฐาน รวมถึงมีการติดตาม ประเมินผล และพัฒนาปรับปรุงอย่างต่อเนื่องและเป็นระบบ
2. หลักประสิทธิภาพ ( Efficiency ) : การบริหารราชการตามแนวทางการกำกับดูแลที่ดี ที่มีการออกแบบกระบวนการปฏิบัติงาน โดยการใช้เทคนิคและเครื่องมือการบริหารจัดการที่เหมาะสม ให้องค์การสามารถใช้ทรัพยากรทั้งด้านต้นทุน แรงงาน และระยะเวลาให้เกิดประโยชน์สูงสุดต่อการพัฒนาขีดความสามารถในการปฏิบัติราชการตามภารกิจ เพื่อตอบสนองความต้องการของประชาชนและผู้มีส่วนได้ส่วนเสียทุกกลุ่ม
3. หลักการมีส่วนร่วม ( Participation ) : กระบวนการที่ข้าราชการ ประชาชน และผู้มีส่วนได้ส่วนเสียทุกกลุ่ม มีโอกาสได้เข้าร่วมในการรับรู้ เรียนรู้ ทำความเข้าใจ ร่วมแสดงทักษะ ร่วมเสนอปัญหา/ประเด็นที่สำคัญที่เกี่ยวข้อง ร่วมคิดแนวทาง ร่วมการแก้ไขปัญหา ร่วมในกระบวนการตัดสินใน และร่วมกระบวนการพัฒนาในฐานะหุ้นส่วนการพัฒนา
4. หลักความโปร่งใส ( Transparency ) : กระบวนการเปิดเผยอย่างตรงไปตรงมา ชี้แจงได้เมื่อมีข้อสงสัย และสามารถเข้าถึงข้อมูลข่าวสารอันไม่ต้องห้ามตามกฎหมายได้อย่างเสรี โดยประชาชนสามารถรู้ทุกขั้นตอนในการดำเนินกิจกรรมหรือกระบวนการต่าง ๆ และสามารถตรวจสอบได้
5. หลักการตอบสนอง ( Responsiveness ) : การให้บริการที่สามารถดำเนินการได้ภายในระยะเวลาที่กำหนด และสร้างความเชื่อมั่น ความไว้วางใจ รวมถึงตอบสนองความคาดหวัง ความต้องการของประชาชนผู้รับบริการและผู้มีส่วนได้ส่วนเสียที่มีความหลากหลายและมีความแตกต่าง
6. หลักภาระรับผิดชอบ ( Accountability ) : การแสดงความรับผิดชอบในการปฏิบัติหน้าที่ และผลงานต่อเป้าหมายที่กำหนดไว้ โดยความรับผิดชอบนั้นควรอยู่ในระดับที่สนองต่อความคาดหวังของสาธารณะ รวมทั้งการแสดงถึงความสำนึกในการรับผิดชอบต่อปัญหาสาธารณะ
7. หลักนิติธรรม ( Rule of Law ) : การใช้อำนาจของกฎหมาย กฎระเบียบ ข้อบังคับ ในการบริหารราชการด้วยความเป็นธรรม ไม่เลือกปฏิบัติและคำนึงถึงสิทธิเสรีภาพของผู้มีส่วนได้          ส่วนเสีย
8. หลักการกระจายอำนาจ ( Decentralization ) : การถ่ายโอนอำนาจการตัดสินในทรัพยากร และภารกิจจากกรมการศาสนา ส่วนกลาง ให้แก่หน่วยการปกครองอื่น (ราชการบริหารส่วนท้องถิ่น) และภาคประชาชนดำเนินการแทน โดยมีอิสระตามสมควร รวมถึงการมอบอำนาจและความรับผิดชอบในการตัดสินใน และการดำเนินการให้แก่บุคลากร โดยมุ่งเน้นการสร้างความพึงพอใจในการให้บริการต่อผู้รับบริการและผู้มีส่วนได้ส่วนเสียการปรับปรุงกระบวนการและเพิ่มผลิตภาพ เพื่อผลการดำเนินงานที่ดีของจังหวัดทั้งนี้ การกระจายอำนาจการตัดสินในที่ดี บุคลากรต้องมีความรู้ความสามารถและข้อมูลสนับสนุนเพื่อให้เกิดการตัดสินในที่เหมาะสม
9. หลักความเสมอภาค ( Equity ) : การได้รับการปฏิบัติและได้รับบริการอย่างเท่าเทียมกันโดยไม่มีการแบ่งแยกด้านชาย/หญิง ถิ่นกำเนิด เชื้อชาติ ภาษา เพศ อายุ ความพิการ สภาพทางกายหรือสุขภาพสถานะของบุคลฐานะทางเศรษฐกิจและสังคม ความเชื่อทางศาสนา การศึกษา การฝึกอบรม และอื่น ๆ
 
ขั้นตอนที่ 3 การประเมินความเสี่ยง (Risk Assessment)
การประเมินความเสี่ยงเป็นการประเมินระดับโอกาสที่จะเกิดและผลกระทบของความเสี่ยงต่างๆ โดยคณะกรรมการบริหารความเสี่ยงต้องกำหนดเกณฑ์การประเมินมาตรฐานเพื่อประเมินโอกาสและผลกระทบของความเสี่ยง และดำเนินการวิเคราะห์และจัดลำดับความเสี่ยง ซึ่งมีขั้นตอน ดังนี้
3.1 การกำหนดเกณฑ์การประเมินมาตรฐาน เป็นการกำหนดเกณฑ์ที่จะใช้ในการประเมินความเสี่ยง ได้แก่ ระดับโอกาสที่จะเกิดความเสี่ยง (Likelihood) ระดับความรุนแรงของผลกระทบ(Impact) และระดับของความเสี่ยง (Degree of Risk) โดยคณะกรรมการบริหารความเสี่ยงจะต้องกำหนดเกณฑ์ของหน่วยงานขึ้น ซึ่งสามารถกำหนดเกณฑ์ได้ทั้งเกณฑ์ในเชิงปริมาณและเชิงคุณภาพ ทั้งนี้ขึ้นอยู่กับข้อมูลสภาพแวดล้อมในหน่วยงานและดุลยพินิจการตัดสินใจของคณะกรรมการบริหารความเสี่ยงฯ และผู้บริหารของหน่วยงาน โดยเกณฑ์ในเชิงปริมาณจะเหมาะกับหน่วยงานที่มีข้อมูลตัวเลข หรือจำนวนเงินมาใช้ในการวิเคราะห์อย่างพอเพียง สำหรับหน่วยงานที่มีข้อมูลเชิงพรรณนาไม่สามารถระบุเป็นตัวเลขหรือจำนวนเงินที่ชัดเจนได้ ก็ให้กำหนดเกณฑ์ในเชิงคุณภาพ หรือกำหนดเป็นเกณฑ์เฉพาะในแต่ละประเภทความเสี่ยง ซึ่งคณะกรรมการบริหารความเสี่ยงฯ ได้กำหนดแนวทางการพิจารณาถึงโอกาสในการเกิดและความรุนแรงของเหตุการณ์ต่างๆ ที่จะเกิดผลกระทบต่อการดำเนินงานขององค์กร ซึ่งมีเกณฑ์ในการให้คะแนนผลกระทบ เป็นดังนี้ 
 
1) ระดับโอกาสในการเกิดเหตุการณ์ต่างๆ (Likelihood) กำหนดเกณฑ์ไว้ 5 ระดับ ดังนี้

ระดับโอกาสในการเกิดเหตุการณ์ต่างๆ (เชิงปริมาณ)
ระดับ โอกาสที่จะเกิด คำอธิบาย
5 สูงมาก 1 เดือนต่อครั้งหรือมากกว่า
4 สูง 1-6 เดือนต่อครั้งแต่ไม่เกิน 5 ครั้ง
3 ปานกลาง 1 ปีต่อครั้ง
2 น้อย 2 - 4 ปีต่อครั้ง
1 น้อยมาก 5 ปีต่อครั้ง
 
ระดับโอกาสในการเกิดเหตุการณ์ต่างๆ (เชิงคุณภาพ)
ระดับ โอกาสที่จะเกิด คำอธิบาย
5 สูงมาก มีโอกาสในการเกิดสูงมาก
4 สูง มีโอกาสในการเกิดค่อนข้างสูงหรือบ่อยๆ
3 ปานกลาง มีโอกาสเกิดบ้างเป็นบางครั้ง
2 น้อย อาจมีโอกาสเกิดแต่นานๆ ครั้ง
1 น้อยมาก แทบไม่มีโอกาสเกิดขึ้นเลย
 
2) ระดับความรุนแรงของผลกระทบของความเสี่ยง (Impact) กำหนดเกณฑ์ไว้ 5 ระดับ ดังนี้
2.1) กรณีเป็นความรุนแรงที่สามารถวัดเป็นตัวเงินได้
ระดับความรุนแรงของผลกระทบของความเสี่ยง (เชิงปริมาณ)
ระดับ ผลกระทบ คำอธิบาย
5 สูงมาก > 1 ล้านบาท
4 สูง > 2.5 แสนบาท – 1 ล้านบาท
3 ปานกลาง > 50,000 – 2.5 แสนบาท
2 น้อย > 10,000 – 50,000 บาท
1 น้อยมาก ไม่เกิน 10,000 บาท
 
2.2) กรณีเป็นความรุนแรงที่ไม่สามารถวัดเป็นตัวเงินได้
ระดับความรุนแรงของผลกระทบของความเสี่ยง (เชิงคุณภาพ)
ระดับ ผลกระทบ คำอธิบาย
5 สูงมาก มีการสูญเสียทรัพย์สินอย่างมหันต์ มีการบาดเจ็บถึงชีวิต
4 สูง มีการสูญเสียทรัพย์สินมาก มีการบาดเจ็บสาหัสถึงขั้นพักงาน
3 ปานกลาง มีการสูญเสียทรัพย์สินมาก มีการบาดเจ็บสาหัสถึงขั้นหยุดงาน
2 น้อย มีการสูญเสียทรัพย์สินพอสมควร มีการบาดเจ็บรุนแรง
1 น้อยมาก มีการสูญเสียทรัพย์สินเล็กน้อย ไม่มีการบาดเจ็บรุนแรง
 
2.3) กรณีเป็นความรุนแรงที่ส่งผลกระทบด้านกลยุทธ์
ระดับความรุนแรงของผลกระทบของความเสี่ยง (ต่อเป้าหมายขององค์กร)
ระดับ ผลกระทบ คำอธิบาย
5 สูงมาก มีผลกระทบต่อเป้าหมายและชื่อเสียงขององค์กรในระดับสูงมาก
4 สูง มีผลกระทบต่อเป้าหมายและชื่อเสียงขององค์กรในระดับสูง
3 ปานกลาง มีผลกระทบต่อเป้าหมายบางอย่างและชื่อเสียงขององค์กรบ้าง
2 น้อย มีผลกระทบต่อเป้าหมายและชื่อเสียงขององค์กรน้อย
1 น้อยมาก แทบไม่มีมีผลกระทบต่อเป้าหมายและชื่อเสียงขององค์กรเลย
 
2.4) กรณีเป็นความรุนแรงที่ส่งผลกระทบด้านการดำเนินงาน (ระบบเทคโนโลยีสารสนเทศ)
ระดับความรุนแรงของผลกระทบของความเสี่ยง (ต่อระบบเทคโนโลยีสารสนเทศ)
ระดับ ผลกระทบ คำอธิบาย
5 สูงมาก เกิดความสูญเสียต่อระบบ IT ที่สำคัญทั้งหมด และเกิดความเสียหายอย่างมากต่อความปลอดภัยของข้อมูลต่างๆ
4 สูง เกิดปัญหากับระบบ IT ที่สำคัญ และระบบความปลอดภัยซึ่งส่งผลต่อความถูกต้องของข้อมูลบางส่วน
3 ปานกลาง ระบบมีปัญหาและมีความสูญเสียไม่มาก
2 น้อย เกิดเหตุที่แก้ไขได้
1 น้อยมาก เกิดเหตุที่ไม่มีความสำคัญ
 
2.5) กรณีเป็นความรุนแรงที่ส่งผลกระทบด้านการดำเนินงาน (บุคลากร)
ระดับความรุนแรงของผลกระทบของความเสี่ยง (ต่อบุคลากร)
ผลกระทบ คำอธิบาย
สูงมาก ถูกเลิกจ้างหรือออกจากงานเนื่องจากเป็นอันตรายต่อร่างกายและชีวิตผู้อื่นโดยตรง
สูง ถูกลงโทษทางวินัย ตัดเงินเดือน ไม่ได้ขึ้นเงินเดือน
ปานกลาง ถูกทำทัณฑ์บน ความรุนแรงส่งผลต่อคุณภาพชีวิตของผู้อื่นและสร้างบรรยากาศการปฏิบัติงานที่ไม่เหมาะสม
น้อย สร้างความไม่สะดวกต่อการปฏิบัติงานบ่อยครั้ง
น้อยมาก สร้างความไม่สะดวกต่อการปฏิบัติงานนานๆ ครั้ง
 
2.6) กรณีเป็นความรุนแรงที่ส่งผลกระทบด้านการดำเนินงาน (กระบวนการ)
ระดับความรุนแรงของผลกระทบของความเสี่ยง (ต่อการดำเนินงาน)
ผลกระทบ คำอธิบาย
สูงมาก มีผลกระทบต่อกระบวนการและการดำเนินงานรุนแรงมากเช่น หยุดดำเนินการมากกว่า 1 เดือน
สูง มีผลกระทบต่อกระบวนการและการดำเนินงานรุนแรง เช่น หยุดดำเนินการ 1 เดือน
ปานกลาง มีการชะงักงันอย่างมีนัยสำคัญของกระบวนการและการดำเนินงาน
น้อย มีผลกระทบเล็กน้อยต่อกระบวนการและการดำเนินงาน
น้อยมาก ไม่มีการชะงักงันของกระบวนการและการดำเนินงาน

 
3) ระดับของความเสี่ยง (Degree of Risk) กำหนดเกณฑ์ไว้ 4 ระดับ ได้แก่ สูงมาก สูง ปานกลาง และต่ำตารางระดับของความเสี่ยง (Degree of Risk)
 
3.2 การประเมินโอกาสและผลกระทบของความเสี่ยง เป็นการนำความเสี่ยงและปัจจัยเสี่ยงแต่ละปัจจัยที่ระบุไว้มาประเมินโอกาสที่จะเกิดเหตุการณ์ความเสี่ยงต่างๆ และประเมินระดับความรุนแรงหรือมูลค่าความเสียหายจากความเสี่ยง เพื่อให้เห็นถึงระดับของความเสี่ยงที่แตกต่างกัน ทำให้สามารถกำหนดการควบคุมความเสี่ยงได้อย่างเหมาะสม ซึ่งจะช่วยให้หน่วยงานสามารถวางแผนและจัดสรรทรัพยากรได้อย่างถูกต้องภายใต้งบประมาณ กำลังคน หรือเวลาที่มีจำกัด โดยอาศัยเกณฑ์มาตรฐานที่กำหนดไว้ข้างต้น ซึ่งมีขั้นตอนดำเนินการ ดังนี้
1) พิจารณาโอกาสและความถี่ในการเกิดเหตุการณ์ต่างๆ ว่ามีโอกาสและความถี่ที่จะเกิดนั้นมากน้อยเพียงใด ตามเกณฑ์มาตรฐานที่กำหนด
2) พิจารณาความรุนแรงของผลกระทบของความเสี่ยงที่มีผลต่อองค์กรหรือหน่วยงานว่ามีระดับความรุนแรง หรือมีความเสียหายเพียงใดตามเกณฑ์มาตรฐานที่กำหนด
3.3 การวิเคราะห์ระดับความเสี่ยง เมื่อพิจารณาโอกาสและความถี่ที่จะเกิดเหตุการณ์และ
ความรุนแรงของผลกระทบของแต่ละปัจจัยเสี่ยงแล้ว ให้นำผลที่ได้มาพิจารณาความสัมพันธ์ระหว่าง
โอกาสที่จะเกิดความเสี่ยง และผลกระทบของความเสี่ยงต่อองค์กรหรือหน่วยงานว่าก่อให้เกิดระดับของ
ความเสี่ยงในระดับใด
3.4 การจัดลำดับความเสี่ยง เมื่อได้ค่าระดับความเสี่ยงแล้ว จะนำมาจัดลำดับความรุนแรงของความเสี่ยงที่มีผลต่อองค์กร เพื่อพิจารณากำหนดกิจกรรมการควบคุมในแต่ละสาเหตุของความเสี่ยงที่สำคัญให้เหมาะสมโดยพิจารณาจากระดับของความเสี่ยงที่เกิดจากความสัมพันธ์ระหว่างโอกาสที่จะเกิดความเสี่ยง และผลกระทบของความเสี่ยงที่ประเมินได้ตามตารางการประเมินความเสี่ยงโดยจัดเรียงตามลำดับ จากระดับสูงมาก สูง ปานกลาง ต่ำ และเลือกความเสี่ยงที่มีระดับสูงมากและสูง มาจัดทำแผนการบริหารความเสี่ยงในขั้นตอนต่อไป
ในการประเมินความเสี่ยงจะต้องมีการกำหนด แผนภูมิความเสี่ยง (Risk Profile) ที่ได้จากการพิจารณาจัดระดับความสำคัญของความเสี่ยงจากโอกาสที่จะเกิดความเสี่ยง (Likelihood) และผลกระทบที่เกิดขึ้น (Impact) และขอบเขตของระดับความเสี่ยงที่สามารถยอมรับได้ (Risk Appetite Boundary) โดยระดับความเสี่ยง = โอกาสในการเกิดเหตุการณ์ต่างๆ x ความรุนแรงของเหตุการณ์ต่างๆ (Likelihood x Impact) ซึ่งจัดแบ่งเป็น 4 ระดับ สามารถแสดงเป็น Risk Profile แบ่งพื้นที่เป็น 4 ส่วน (4 Quadrant) ซึ่งใช้เกณฑ์ในการจัดแบ่ง ดังนี้
(1) ระดับความเสี่ยงต่ำ (Low) คะแนนระดับความเสี่ยง 1 – 4 คะแนน ยอมรับความเสี่ยงกำหนดเป็นสีเขียว ()
(2) ระดับความเสี่ยงปานกลาง (Medium) คะแนนระดับความเสี่ยง 5 – 9 คะแนน ยอมรับความเสี่ยงแต่มีแผนควบคุมความเสี่ยง กำหนดเป็นสีเหลือง ()
(3) ระดับความเสี่ยงสูง (High) คะแนนระดับความเสี่ยง 10 – 15 คะแนน มีแผนลดความเสี่ยง
กำหนดเป็นสีส้ม ()
(4) ระดับความเสี่ยงสูงมาก (Extreme) คะแนนระดับความเสี่ยง 16 – 25 คะแนนมีแผนลดและประเมินซ้ำหรือถ่ายโอนความเสี่ยง กำหนดเป็นสีแดง ()

 
ขั้นตอนที่ 4 แนวทางการตอบสนองความเสี่ยง
การกำหนดแนวทางการตอบสนองความเสี่ยงมุ่งเน้นให้องค์กรสามารถบริหารความเสี่ยงให้
อยู่ในระดับที่ยอมรับได้ โดยการกำหนดแนวทางการตอบสนองความเสี่ยงสามารถทำได้หลายวิธี และ
สามารถปรับเปลี่ยนให้เหมาะสมกับสถานการณ์ ขึ้นอยู่กับดุลยพินิจของผู้รับผิดชอบ แต่อย่างไรก็ตาม
แนวทางการบริหารจัดการความเสี่ยงต้องคุ้มค่ากับการลดระดับผลกระทบความเสี่ยงทางเลือกหรือกล
ยุทธ์ในการจัดการความเสี่ยงแบ่งได้ 4 แนวทางหลัก คือ
4.1 การยอมรับ (Take, Accept) หมายถึง การที่ความเสี่ยงนั้นสามารถยอมรับได้ภายใต้การควบคุมที่มีอยู่ในปัจจุบัน ซึ่งไม่ต้องดำเนินการใดๆ เช่น กรณีที่มีความเสี่ยงในระดับไม่รุนแรงและไม่คุ้มค่าที่จะดำเนินการใดๆ ให้ขออนุมัติหลักการรับความเสี่ยงไว้และไม่ดำเนินการใดๆ
4.2 การลด/ควบคุม (Reduction) หมายถึง เป็นการปรับปรุงระบบการทำงานหรือการออกแบบวิธีการทำงานใหม่ เพื่อลดโอกาสที่จะเกิด หรือลดผลกระทบให้อยู่ในระดับที่องค์กรยอมรับได้
4.3 การยกเลิก (Terminate) หรือ หลีกเลี่ยง (Avoid) คือ ความเสี่ยงที่ไม่สามารถยอมรับและต้องจัดการให้ความเสี่ยงนั้นไปอยู่นอกเงื่อนไขการดำเนินงาน โดยมีวิธีการจัดการความเสี่ยงในกลุ่มนี้ เช่น การหยุดดำเนินงานหรือกิจกรรมที่ก่อให้เกิดความเสี่ยงนั้น การเปลี่ยนแปลงวัตถุประสงค์ในการดำเนินงาน การลดขนาดของงานที่จะดำเนินการหรือกิจกรรมลง เป็นต้น
4.4 การถ่ายโอนความเสี่ยง (Transfer) หรือ แบ่ง (Share) คือ ความเสี่ยงที่สามารถโอนไปให้ผู้อื่นได้ เช่น การทำประกันภัย/ประกันทรัพย์สินกับบริษัทประกัน การจ้างบุคคล ภายนอกหรือการจ้างบริษัทภายนอกมาจัดการในงานบางอย่างแทน เช่น งานรักษาความปลอดภัย เป็นต้น
 
ขั้นตอนที่ 5 กิจกรรมการบริหารความเสี่ยง (Control Activities)
เมื่อได้ประเมินความเสี่ยงและกำหนดกลยุทธ์ในการจัดการความเสี่ยงแล้วจึงดำเนินการกำหนดกิจกรรมหรือมาตรการในการจัดการความเสี่ยงให้หมดไปหรือลดลงในระดับที่ยอมรับกิจกรรมเดิมที่เคยปฏิบัติอยู่แล้ว แต่ไม่สามารถควบคุมความเสี่ยงได้ นอกจากนี้ยังต้องกำหนดระยะเวลาที่ใช้ในการดำเนินการแต่ละกิจกรรมตลอดจนหน่วยงานผู้รับผิดชอบในแผนบริหารความเสี่ยงขององค์กรได้ โดยกิจกรรมที่กำหนด ต้องเป็นกิจกรรมที่หน่วยงานยังไม่เคยปฏิบัติหรือเป็นกิจกรรมที่กำหนดเพิ่มเติม
 
ขั้นตอนที่ 6 ข้อมูลและการสื่อสารด้านบริหารความเสี่ยง (Information and Communication)
การสื่อสารถือได้ว่าเป็นหัวใจของการบริหารความเสี่ยงในทุกๆ ขั้นตอนมีวัตถุประสงค์ เพื่อต้องการให้ทุกฝ่ายที่เกี่ยวข้องได้รับความเข้าใจที่ตรงกันอย่างทั่วถึง โดยมีการเปิดช่องทางการสื่อสารข้อมูลด้านการบริหารความเสี่ยงให้กับผู้บริหาร คณะทำงาน และบุคลากรของหน่วยงานได้เข้าถึง และรับทราบข้อมูลด้านการบริหารความเสี่ยงให้กับผู้บริหาร คณะทำงาน และบุคลากรของหน่วยงานได้เข้าถึง และทราบข้อมูลผ่านช่องทางต่างๆ เช่น ระบบอินทราเน็ต หนังสือเวียน การประชุมชี้แจงโดยผู้บริหาร หรือการฝึกอบรม เป็นต้น
 
 
ขั้นตอนที่ 7 การติดตาม และเผ้าระวังความเสี่ยงต่างๆ (Monitoring i replica

การติดตามและเฝ้าระวังความเสี่ยงโดยการกำหนดให้มีการติดตามและประเมินผลว่าแต่ละหน่วยงานมีการประเมินประสิทธิผลของการจัดการความเสี่ยงที่กำหนดไว้อย่างต่อเนื่อง และสม่ำเสมอ เพื่อให้เกิดความมั่นใจว่ามาตรการในการปรับปรุงความเสี่ยงที่วางไว้เพียงพอเหมาะสมมีประสิทธิภาพประสิทธิผล และมีการปฏิบัติจริง สามารถลด หรือป้องกันความเสี่ยงที่อาจเกิดขึ้น

© Copyright บริษัท สำนักตรวจสอบภายใน และธุรกิจบัญชี จำกัด 2015. All rights reserved.