ISO31000 & 8 Principles of Risk Management
Risk Management การบริหารความเสี่ยง สำหรับระบบบริหารคุณภาพ ISO9001 เป็นกระบวนการที่ต้อง ระบุ/บ่งชี้ วิเคราะห์ ประเมิน และการจัดการความไม่แน่นอนที่อาจเกิดขึ้น ซึ่งจะส่งผลกระทบต่อความสามารถขององค์กรในการจัดการให้บรรลุวัตถุประสงค์ด้านคุณภาพ
วัตถุประสงค์หลักของการบริหารความเสี่ยงสำหรับ ระบบคุณภาพ เพื่อให้เกืดความมั่นใจ ป้องกันและลดผลกระทบที่ไม่พึงประสงค์ สร้างวัฒนธรรมหรือแนวทางการปฎิบัิตเชิงป้องกันมากกว่าการแก้ไข รวมไปถึงการสร้างความพึงพอใจให้กับลูกค้าและผู้มีส่วนได้ส่วนเสียกับองค์กร (Interested Party)
การจัดการความเสี่ยงและ 8 หลักการ
“Principle” หรือ หลักการ คือแนวทาง หลักปฏิบัติ กฎ หรือองค์ประกอบที่สำคัญ ซึ่งความหมายอาจจะแปลเป็นภาษาไทยได้หลากหลาย ขึ้นอยู่กับบริบทที่นำไปใช้ และสำหรับในที่นี่ จะคุยกันในเรื่อง Principle
ของการบริหารความเสี่ยงระบบบริหารคุณภาพ Quality Risk Management
โดยอ้างอิงตามแนวทางหรือ Guidelines ISO31000 แนวทางที่สามารถประยุกต์ได้ทุกอุตสาหกรรมและทุกการบริหารความเสี่ยง
ISO31000 ให้แนวคิดการบริหารควาเสี่ยง (Risk Management concept) โดยแบ่งออกเป็น 3 ขั้นตอนหลัก คือ
- ข้อกำหนดที่ 4 หลักการพื้นฐานในการจัดการความเสี่ยง หรือ Principles of Risk Management ,
- ข้อกำหนดที่ 5 กรอบการจัดการความเสี่ยง หรือ Framework
- ข้อกำหนดที่ 6 กระบวนการจัดการความเสี่ยง (Process of Risk Management)
การเชื่อมโยงแนวทาง Risk Management concept ตามภาพข้างล่างนี้
ในบทความนี้ขอนำ หลักการพื้นฐานในการจัดการความเสี่ยง หรือ Principles of Risk Management มีวัตถุประสงค์ของการบริหารความเสี่ยงคือการสร้างและปกป้องคุณค่า ช่วยเพิ่มประสิทธิภาพ ส่งเสริมนวัตกรรมและสนับสนุนการบรรลุวัตถุประสงค์อธิบายได้คือ
การสร้างคุณค่า (Creates value) การจัดการความเสี่ยงต้องมีส่วนการสร้างความสำเร็จและคุณค่าองค์การ สอดคล้องกับวัตถุประสงค์และเป้าหมายขององค์กร เช่น ความมีประสิทธิภาพในกระบวนการ การปกป้องภาพลักษณ์ขององค์กรจากสถานการณ์ต่างๆ การดำเนินการตามหลักธรรมาภิบาล การดำเนินการที่สอดคล้องกับข้อกำหนดกฎหมาย การไม่ละเมิดลิขสิทธิ์ การปกป้องสิ่งแวดล้อม และอื่นๆ
- การจัดการความเสี่ยงจัดเป็นส่วนหนึ่งของกระบวนการทั้งหมดขององค์กร (Integral part of organization Process ) ในการจัดการความเสี่ยงจำเป็นอย่างที่จะต้องได้รับการสนับสนุนและการมีส่วนร่วมจากฝ่าย และแผนกต่างๆ ตั้งแต่ผู้บริหารระดับสูง กรรมการบริหาร ผู้จัดการ หัวหน้างาน และพนักงาน ทั้งนี้เพราะความเสี่ยงอาจจะเกิดขึ้นในช่วงใดช่วงหนึ่งของกระบวนการ และเพื่อให้ พันธกิจ วิสัยทัศน์ และนโยบาย ได้บรรลุเป้าหมายและเป็นการส่งเสิรมให้เป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่มูลค่าให้กับองค์กร
- การจัดการความเสี่ยงอย่างเป็นระบบ, มีแบบแผนในการดำเนินการ และทันสถานการณ์ เหตุเการณ์ที่เกิดขึ้น (Systematic, structured & compehensive) การบริหารความเสี่ยงควรดำเนินการอย่างเป็นระบบในฝ่าย หรือแผนก หน่วยงานต่างๆ เพื่อให้การดำเนินการมีประสิทธิภาพมีความสอดคล้องกันและมีความน่าเชื่อถือ
- การจัดการความเสี่ยงต้องปรับให้เหมาะสม (Customized ) การจัดการความเสี่ยงต้องสอดคล้องไปในทิศทางหรือแนวทางเดียวกันกับบริบทขององค์กร ทั้งบริบทภายนอก (External context) และ บริบทภายใน (Internal Context) และรวมถึงโครงร่างของความเสี่ยง
- การบริหารความเสี่ยงต้องมีความโปร่งใสและมีส่วนร่วม (Inclusive) การมีส่วนร่วมอย่างเหมาะสมของผู้มีส่วนได้ส่วนเสีย รวมถึงผู้ทำหน้าที่ตัดสินใจในทุกๆ ระดับขององค์กร รวมถึงการสื่อสารส่งต่อให้ผู้มีส่วนได้ส่วนเสีย (Interested Party) ได้รับรู้ข้อมูลอย่างเหมาะสม และนำข้อเสนอ ข้อคิดเห็น มาพิจารณาในการกำหนดเกณฑ์การประเมินและเกณฑ์การยอมรับความเสี่ยงต่อไป
- การบริหารความเสี่ยงควรต้องมีการดำเนินการอย่างคล่องตัว ทบทวน ทำซ้ำ และตอบสนองต่อการเปลี่ยนเปลงต่างๆ ได้อย่างต่อเนื่อง (Dynamic) เพราะปัจจัยภายนอก และภายในมีการเปลี่ยนแปลงอยู่ตลอดเวลา องค์กรจึงต้องเตรียมความพร้อมที่จะปรับเปลี่ยน ตั้งรับกับการเปลี่ยนแปลงเหล่านั้น
- การจัดการความเสี่ยง ต้องมีข้อมูลที่ดีที่สุด (Based on the best available information) ทั้งนี้เพราะการจัดการความเสี่ยงจะช่วยให้มีข้อมูลการวิเคราะห์และคาดการณ์สิ่งที่จะเกิดขึ้นในอนาคต ข้อมูลการบริหารความเสี่ยง ช่วยในการลำดับความสำคัญของการปฏิบัติงาน การวางแผนแก้ไขและการป้องกัน ตลอดจนหาแนวทางในการจัดการ และเพิ่มประสิทธิภาพในการพิจารณาตัดสินใจในที่สุด ตัวอย่างข้อมูล เช่น จากประสบการณ์ ความคิดเห็นจากผู้เชี่ยวชาญในสาขาใดสาขาหนึ่ง การจัดทำแบบจำลองการตัดสินใจ
- การจัดการความเสี่ยงต้องได้รับการพัฒนาปรับปรุงและส่งเสริมองค์กรอย่างต่อเนื่อง (Human & cultural factors into account) การกำหนดแนวทางการสร้างวัฒนธรรมองค์กรด้านการบริหารความเสี่ยง เพื่อสนับสนุนและส่งเสริมการปฏิบัติงานในทุกหน่วยงาน ทุกฝ่ายและทุกแผนก ได้ตระหนักถึงความเสี่ยงจากการปฏิบัติงานของบทบาทและหน้าที่ของตนเองที่อาจส่งผลกระทบ
- การบริหารความเสี่ยงต้องง่ายต่อการปรับปรุงและเพิ่มพูนประสิทธิภาพให้กับองค์กรอย่างต่อเนื่อง (Continuous improvement) เมื่อองค์กรจัดการความเสี่ยงในขั้นต้นได้แล้ว ยังคงต้องพัฒนา และมีกลยุทธ์การปรับปรุงความเสี่ยงในทุกๆ ด้านอย่างต่อเนื่อง ด้วยแนวทางต่างๆ ที่เหมาะสม เช่นการพัฒนาเทคโนโลยี เพื่อปกป้องข้อมูลของลูกค้าที่จะรั่วไหล เผยแพร่แบบไม่ตั้งใจ
นอกจากนี้ การจัดการความเสี่ยงมุ้งเน้นทันเหตุการณ์ที่มีความไม่แน่นอน เพื่อกำหนดแนวทางในการจัดการกับความไม่แน่นอนนั้นๆ เช่นตัวอย่างที่ผ่านมาที่ทุกบริษัท ได้ดำเนินการกับสถานการณ์การแพร่กระจายของโควิด เป็นเหตุการณ์ที่คาดไม่ถึงแต่หาก องค์กรมีแผนฉุกเฉินจากการบริหารความเสี่ยง ก็จะสามารถปรับเปลี่ยนการจัดการได้อย่างทันเหตุการณ์
Risk Treatment การจัดการความเสี่ยง แบ่งเป็น 4 แนวทางหลัก ตามระดับความเสี่ยง
แนวทางที่ 1 Terminate หลีกเลี่ยง
เลิกทำกิจกรรมที่เสี่ยงนั้น เช่น หากผลิตไหมเย็บแผล (Surgical Sutures) มีการเลือกใช้วัสดุหรือวัตถุดิบบางตัวที่มีการปนเปื้อนเชื้อจุลินทรีย์ที่ทนความร้อนสูง การฆ่าเชื้อ (Sterilization) อาจจะทำได้ยากเกิดความเสี่ยง เชื้อหลงเหลือ ควรหลีกเลี่ยงด้วยการยกเลิกใช้วัตถุดิบนั้น และวัตถุดิบอื่น เช่นวัสดุสังเคราะห์ที่ควบคุมความสะอาดจากต้นทางได้ง่ายกว่า ลดความเสี่ยงการติดเชื้อในผู้ป่วยจากประเด็นวัตถุดิบ
Warning การปรับเปลี่ยนหรือกำหนดมาตรฐานควบคุม ลดความเสี่ยง บางครั้งส่งผลกระทบต่อการสูญเสียโอกาสทางธุรกิจ ดังนั้นควรมีหลักเกณฑ์การพิจารณาถึง คุณภาพ ความปลอดภัยและกฎหมายที่เกี่ยวข้อง
แนวทางที่ 2 Treat ลดควบคุม หรือ Reduction Occurrence
หามาตรการป้องกันเพื่อลดโอกาสเกิดหรือลดผลกระทบ เช่นการใช้ POKA YOKE ป้องกันความผิดพลาดด้วยอุปกรณ์ ความเสี่ยงจากพนักงานหยิบผลิตภัณฑ์ผิดรุ่น หรือผิด size ใส่ซองบรรจุ จัดการลดโอกาสเกิดโดย ติดตั้งระบบ Barcode Scanner ที่เครื่องบรรจุ หาก Barcode ไม่ตรงกับที่ตั้งค่าไว้ในระบบ เครื่องจะไม่ทำงานและมีสัญญาณเตือนทันที ตัวอย่างอื่นๆ เช่น การใช้ Checklist, Preventive Maintenance
แนวทางที่ 3 Transfer ถ่ายโอน
ให้คนอื่นช่วยรับความเสี่ยง เช่นการทำประกัน หรือ outsource เช่น การซื้อประกันภัย Product Liability, การจ้างเหมาให้ผู้ผลิตอื่นที่เชี่ยวชาญหรือเฉพาะทางของการผลิตกระบวนการนั้นๆ เช่น การชุบ การขนส่ง การจัดเก็บ (Warehouse) Warning : แต่อย่างไรก็ตามบริษัทหรือแบรนด์ ไม่สามารถถ่ายโอนได้ เจ้าของหรือบริษัทยังคงต้องรับผิดชอบและผลกระทบเป็นอันดับแรกเสมอ
แนวทางที่ 4 Tolerate ยอมรับ
ยอมรับความเสี่ยงนั้นหากคุ้มค่ากับผลประโยชน์ ที่จะได้รับ หรือค่าจัดการสูงเกินไป เช่น ระบบไฟกระชากระหว่างการผลิตเป็นช่วงเวลาสั้น ๆ มีโอกาสเกิดแต่อยู่ในระดับต่ำ มีผลกระทบต่อการผลิตน้อย มีติดตั้ง USP สำหรับเครื่องจักรสำคัญอยู่แล้ว จึงไม่ลงทุนติดตั้งเครื่องปั่นไฟขนาดใหญ่ ที่มีราคาสูง ค่าบำรุงรักษาสูง อาจไม่คุ้มทุน เป็นวิธีการจัดการความเสี่ยงแบบยอมรับความเสี่ยงนี้ การใช้วิธีนี้จัดการนั้นหมายถึง Low impact –Low Probability—High cost
จากหลักการของการบริหารความเสี่ยง องค์กรต้องสร้างแนวทางให้เป็นรูปธรรม ให้ Risk Management เป็นส่วนหนึ่งของทุกการดำเนินการ สร้างเป็นวัฒนธรรม มีความคล่องตัว ทันต่อเหตุการณ์ที่เกิดขึ้นหรือที่จะเกิดขึ้น ให้มีส่วนร่วม การจัดเก็บข้อมูล เพื่อประโยชน์ในการปรับปรุงอย่างต่อเนื่อง
และหากมีแนวโครงสร้างขั้นต้นตามหลักการบริหารความเสี่ยงแล้วต้องนำเข้าสู่ ขั้นตอนต่อไปคือ การกำหนดกรอบดำเนินการความเสี่ยง หรือ Framework ซึ่งที่ปรึกษาคิวไทม์ ขอนำเรื่อง Framework ไปอธิบายในบทความเรื่องถัดไป ขอทิ้งท้ายที่ทุกท่านอาจจะเคยได้ยินแล้ว คือ “ความเสี่ยงรู้ก่อน จัดการกับความเสี่ยงนั้นก่อน”
ISO31000 Risk Management Training Course
References :
ISO31000:2018 Risk Management Guidelines