09 มิถุนายน 2565

ISO31000 Risk Management

ISO31000 & 8 Principles of Risk Management

Risk Management การบริหารความเสี่ยง สำหรับระบบบริหารคุณภาพ  ISO9001  เป็นกระบวนการที่ต้อง ระบุ/บ่งชี้  วิเคราะห์ ประเมิน และการจัดการความไม่แน่นอนที่อาจเกิดขึ้น  ซึ่งจะส่งผลกระทบต่อความสามารถขององค์กรในการจัดการให้บรรลุวัตถุประสงค์ด้านคุณภาพ    

ISO31000 โฟกัสที่  Value Creation and Protection

วัตถุประสงค์หลักของการบริหารความเสี่ยงสำหรับ ระบบคุณภาพ  เพื่อให้เกืดความมั่นใจ  ป้องกันและลดผลกระทบที่ไม่พึงประสงค์  สร้างวัฒนธรรมหรือแนวทางการปฎิบัิตเชิงป้องกันมากกว่าการแก้ไข  รวมไปถึงการสร้างความพึงพอใจให้กับลูกค้าและผู้มีส่วนได้ส่วนเสียกับองค์กร (Interested Party)  

 การจัดการความเสี่ยงและ 8 หลักการ

“Principle” หรือ หลักการ คือแนวทาง หลักปฏิบัติ กฎ หรือองค์ประกอบที่สำคัญ ซึ่งความหมายอาจจะแปลเป็นภาษาไทยได้หลากหลาย ขึ้นอยู่กับบริบทที่นำไปใช้   และสำหรับในที่นี่ จะคุยกันในเรื่อง Principle

ของการบริหารความเสี่ยงระบบบริหารคุณภาพ Quality Risk Management

โดยอ้างอิงตามแนวทางหรือ Guidelines ISO31000 แนวทางที่สามารถประยุกต์ได้ทุกอุตสาหกรรมและทุกการบริหารความเสี่ยง

ISO31000 ให้แนวคิดการบริหารควาเสี่ยง (Risk Management concept) โดยแบ่งออกเป็น 3 ขั้นตอนหลัก คือ

• ข้อกำหนดที่ 4 หลักการพื้นฐานในการจัดการความเสี่ยง หรือ Principles of Risk Management ,  
• ข้อกำหนดที่ 5 กรอบการจัดการความเสี่ยง หรือ Framework  
• ข้อกำหนดที่ 6 กระบวนการจัดการความเสี่ยง (Process of Risk Management)  

 

การเชื่อมโยงแนวทาง Risk Management concept ตามภาพข้างล่างนี้

 

ในบทความนี้ขอนำ หลักการพื้นฐานในการจัดการความเสี่ยง หรือ Principles of Risk Management   มีวัตถุประสงค์ของการบริหารความเสี่ยงคือการสร้างและปกป้องคุณค่า ช่วยเพิ่มประสิทธิภาพ  ส่งเสริมนวัตกรรมและสนับสนุนการบรรลุวัตถุประสงค์อธิบายได้คือ

 การสร้างคุณค่า (Creates value) การจัดการความเสี่ยงต้องมีส่วนการสร้างความสำเร็จและคุณค่าองค์การ สอดคล้องกับวัตถุประสงค์และเป้าหมายขององค์กร เช่น ความมีประสิทธิภาพในกระบวนการ การปกป้องภาพลักษณ์ขององค์กรจากสถานการณ์ต่างๆ การดำเนินการตามหลักธรรมาภิบาล การดำเนินการที่สอดคล้องกับข้อกำหนดกฎหมาย การไม่ละเมิดลิขสิทธิ์  การปกป้องสิ่งแวดล้อม และอื่นๆ  

1. การจัดการความเสี่ยงจัดเป็นส่วนหนึ่งของกระบวนการทั้งหมดขององค์กร (Integral part of organization Process ) ในการจัดการความเสี่ยงจำเป็นอย่างที่จะต้องได้รับการสนับสนุนและการมีส่วนร่วมจากฝ่าย และแผนกต่างๆ ตั้งแต่ผู้บริหารระดับสูง กรรมการบริหาร ผู้จัดการ หัวหน้างาน และพนักงาน ทั้งนี้เพราะความเสี่ยงอาจจะเกิดขึ้นในช่วงใดช่วงหนึ่งของกระบวนการ   และเพื่อให้ พันธกิจ วิสัยทัศน์ และนโยบาย ได้บรรลุเป้าหมายและเป็นการส่งเสิรมให้เป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่มูลค่าให้กับองค์กร  
2. การจัดการความเสี่ยงอย่างเป็นระบบ, มีแบบแผนในการดำเนินการ และทันสถานการณ์ เหตุเการณ์ที่เกิดขึ้น (Systematic, structured & compehensive)   การบริหารความเสี่ยงควรดำเนินการอย่างเป็นระบบในฝ่าย หรือแผนก หน่วยงานต่างๆ เพื่อให้การดำเนินการมีประสิทธิภาพมีความสอดคล้องกันและมีความน่าเชื่อถือ
3. การจัดการความเสี่ยงต้องปรับให้เหมาะสม (Customized ) การจัดการความเสี่ยงต้องสอดคล้องไปในทิศทางหรือแนวทางเดียวกันกับบริบทขององค์กร ทั้งบริบทภายนอก (External context) และ บริบทภายใน (Internal Context) และรวมถึงโครงร่างของความเสี่ยง
4. การบริหารความเสี่ยงต้องมีความโปร่งใสและมีส่วนร่วม (Inclusive) การมีส่วนร่วมอย่างเหมาะสมของผู้มีส่วนได้ส่วนเสีย รวมถึงผู้ทำหน้าที่ตัดสินใจในทุกๆ ระดับขององค์กร รวมถึงการสื่อสารส่งต่อให้ผู้มีส่วนได้ส่วนเสีย (Interested Party) ได้รับรู้ข้อมูลอย่างเหมาะสม และนำข้อเสนอ ข้อคิดเห็น มาพิจารณาในการกำหนดเกณฑ์การประเมินและเกณฑ์การยอมรับความเสี่ยงต่อไป
5. การบริหารความเสี่ยงควรต้องมีการดำเนินการอย่างคล่องตัว ทบทวน ทำซ้ำ และตอบสนองต่อการเปลี่ยนเปลงต่างๆ ได้อย่างต่อเนื่อง (Dynamic) เพราะปัจจัยภายนอก และภายในมีการเปลี่ยนแปลงอยู่ตลอดเวลา องค์กรจึงต้องเตรียมความพร้อมที่จะปรับเปลี่ยน ตั้งรับกับการเปลี่ยนแปลงเหล่านั้น
6. การจัดการความเสี่ยง ต้องมีข้อมูลที่ดีที่สุด (Based on the best available information) ทั้งนี้เพราะการจัดการความเสี่ยงจะช่วยให้มีข้อมูลการวิเคราะห์และคาดการณ์สิ่งที่จะเกิดขึ้นในอนาคต ข้อมูลการบริหารความเสี่ยง ช่วยในการลำดับความสำคัญของการปฏิบัติงาน การวางแผนแก้ไขและการป้องกัน ตลอดจนหาแนวทางในการจัดการ และเพิ่มประสิทธิภาพในการพิจารณาตัดสินใจในที่สุด ตัวอย่างข้อมูล เช่น จากประสบการณ์ ความคิดเห็นจากผู้เชี่ยวชาญในสาขาใดสาขาหนึ่ง   การจัดทำแบบจำลองการตัดสินใจ
7. การจัดการความเสี่ยงต้องได้รับการพัฒนาปรับปรุงและส่งเสริมองค์กรอย่างต่อเนื่อง (Human & cultural factors into account) การกำหนดแนวทางการสร้างวัฒนธรรมองค์กรด้านการบริหารความเสี่ยง เพื่อสนับสนุนและส่งเสริมการปฏิบัติงานในทุกหน่วยงาน ทุกฝ่ายและทุกแผนก ได้ตระหนักถึงความเสี่ยงจากการปฏิบัติงานของบทบาทและหน้าที่ของตนเองที่อาจส่งผลกระทบ
8. การบริหารความเสี่ยงต้องง่ายต่อการปรับปรุงและเพิ่มพูนประสิทธิภาพให้กับองค์กรอย่างต่อเนื่อง (Continuous improvement) เมื่อองค์กรจัดการความเสี่ยงในขั้นต้นได้แล้ว ยังคงต้องพัฒนา และมีกลยุทธ์การปรับปรุงความเสี่ยงในทุกๆ ด้านอย่างต่อเนื่อง   ด้วยแนวทางต่างๆ ที่เหมาะสม เช่นการพัฒนาเทคโนโลยี เพื่อปกป้องข้อมูลของลูกค้าที่จะรั่วไหล เผยแพร่แบบไม่ตั้งใจ    

 

นอกจากนี้ การจัดการความเสี่ยงมุ้งเน้นทันเหตุการณ์ที่มีความไม่แน่นอน เพื่อกำหนดแนวทางในการจัดการกับความไม่แน่นอนนั้นๆ   เช่นตัวอย่างที่ผ่านมาที่ทุกบริษัท ได้ดำเนินการกับสถานการณ์การแพร่กระจายของโควิด  เป็นเหตุการณ์ที่คาดไม่ถึงแต่หาก องค์กรมีแผนฉุกเฉินจากการบริหารความเสี่ยง ก็จะสามารถปรับเปลี่ยนการจัดการได้อย่างทันเหตุการณ์

 

Risk Treatment  การจัดการความเสี่ยง  แบ่งเป็น 4 แนวทางหลัก  ตามระดับความเสี่ยง  

 แนวทางที่ 1  Terminate หลีกเลี่ยง 

เลิกทำกิจกรรมที่เสี่ยงนั้น  เช่น หากผลิตไหมเย็บแผล (Surgical Sutures)  มีการเลือกใช้วัสดุหรือวัตถุดิบบางตัวที่มีการปนเปื้อนเชื้อจุลินทรีย์ที่ทนความร้อนสูง การฆ่าเชื้อ (Sterilization) อาจจะทำได้ยากเกิดความเสี่ยง เชื้อหลงเหลือ  ควรหลีกเลี่ยงด้วยการยกเลิกใช้วัตถุดิบนั้น และวัตถุดิบอื่น เช่นวัสดุสังเคราะห์ที่ควบคุมความสะอาดจากต้นทางได้ง่ายกว่า  ลดความเสี่ยงการติดเชื้อในผู้ป่วยจากประเด็นวัตถุดิบ  

Warning การปรับเปลี่ยนหรือกำหนดมาตรฐานควบคุม ลดความเสี่ยง บางครั้งส่งผลกระทบต่อการสูญเสียโอกาสทางธุรกิจ  ดังนั้นควรมีหลักเกณฑ์การพิจารณาถึง คุณภาพ ความปลอดภัยและกฎหมายที่เกี่ยวข้อง

แนวทางที่ 2  Treat ลดควบคุม หรือ Reduction Occurrence 

หามาตรการป้องกันเพื่อลดโอกาสเกิดหรือลดผลกระทบ  เช่นการใช้ POKA YOKE  ป้องกันความผิดพลาดด้วยอุปกรณ์   ความเสี่ยงจากพนักงานหยิบผลิตภัณฑ์ผิดรุ่น หรือผิด size ใส่ซองบรรจุ  จัดการลดโอกาสเกิดโดย ติดตั้งระบบ Barcode Scanner  ที่เครื่องบรรจุ หาก Barcode ไม่ตรงกับที่ตั้งค่าไว้ในระบบ เครื่องจะไม่ทำงานและมีสัญญาณเตือนทันที    ตัวอย่างอื่นๆ เช่น การใช้ Checklist,  Preventive Maintenance

แนวทางที่ 3  Transfer ถ่ายโอน 

ให้คนอื่นช่วยรับความเสี่ยง เช่นการทำประกัน หรือ outsource  เช่น การซื้อประกันภัย  Product Liability,  การจ้างเหมาให้ผู้ผลิตอื่นที่เชี่ยวชาญหรือเฉพาะทางของการผลิตกระบวนการนั้นๆ เช่น การชุบ การขนส่ง การจัดเก็บ (Warehouse)    Warning :  แต่อย่างไรก็ตามบริษัทหรือแบรนด์ ไม่สามารถถ่ายโอนได้  เจ้าของหรือบริษัทยังคงต้องรับผิดชอบและผลกระทบเป็นอันดับแรกเสมอ

แนวทางที่ 4  Tolerate ยอมรับ

ยอมรับความเสี่ยงนั้นหากคุ้มค่ากับผลประโยชน์ ที่จะได้รับ หรือค่าจัดการสูงเกินไป  เช่น ระบบไฟกระชากระหว่างการผลิตเป็นช่วงเวลาสั้น ๆ  มีโอกาสเกิดแต่อยู่ในระดับต่ำ มีผลกระทบต่อการผลิตน้อย  มีติดตั้ง USP สำหรับเครื่องจักรสำคัญอยู่แล้ว  จึงไม่ลงทุนติดตั้งเครื่องปั่นไฟขนาดใหญ่ ที่มีราคาสูง ค่าบำรุงรักษาสูง อาจไม่คุ้มทุน  เป็นวิธีการจัดการความเสี่ยงแบบยอมรับความเสี่ยงนี้    การใช้วิธีนี้จัดการนั้นหมายถึง Low impact –Low Probability—High cost

 

 จากหลักการของการบริหารความเสี่ยง องค์กรต้องสร้างแนวทางให้เป็นรูปธรรม ให้ Risk Management เป็นส่วนหนึ่งของทุกการดำเนินการ สร้างเป็นวัฒนธรรม มีความคล่องตัว ทันต่อเหตุการณ์ที่เกิดขึ้นหรือที่จะเกิดขึ้น ให้มีส่วนร่วม การจัดเก็บข้อมูล เพื่อประโยชน์ในการปรับปรุงอย่างต่อเนื่อง  

และหากมีแนวโครงสร้างขั้นต้นตามหลักการบริหารความเสี่ยงแล้วต้องนำเข้าสู่ ขั้นตอนต่อไปคือ การกำหนดกรอบดำเนินการความเสี่ยง หรือ Framework ซึ่งที่ปรึกษาคิวไทม์ ขอนำเรื่อง Framework ไปอธิบายในบทความเรื่องถัดไป    ขอทิ้งท้ายที่ทุกท่านอาจจะเคยได้ยินแล้ว  คือ  “ความเสี่ยงรู้ก่อน จัดการกับความเสี่ยงนั้นก่อน”   

ISO31000 Risk Management Training Course 

 ------------------------

Risk Management กัยสภาวะโลกวิกฤต  นำไอเดียและแนวทางมาแชร์กัน 

การบริหารความเสี่ยง  "ไม่ใช่การสั่งให้พายุหยุด"   แต่คือการ เช็กสภาพหลังคาบ้าน อาคารสถานที่ เตรียมเสบียง และมีแผนสำรองว่าถ้าบ้านพังจะไปอยู่ที่ไหน" เพื่อให้เรายังคงยืนหยัดอยู่ได้หลังจากพายุผ่านไป

ซึ่งในสภาวะที่ยุ่งยาก  การบริหารความเสี่ยงจึงเปรียบเสมือนพยายามทำให้เรา  เจ็บตัวน้อยที่สุด และ ฟื้นตัวได้ไวที่สุด เมื่อเรื่องวิกฤตมาถึง เหมือนเช่นทุกวันนี้ 

ขอแชร์ไอเดีย จากประสบการณ์คอนซัล ตามมาตรฐานผู้ผลิตประยุกต์ใช้มาตรฐาน ISO31000 / ISO9001  ใช้หลักการนั้นแล้ว ลองพิจารณาประยุกต์ใช้กับสถานการณ์ปัจจุบัน เช่น 

เมื่อสถานการณ์ที่แย่ ๆ มาถึง

ไอเดีย 1  เปลี่ยนจาก   ตื่นตระหนก --- การเตรียมตัว  คือ แทนที่จะ Panic  การบริหารความเสี่ยงจะเปลี่ยนเป็นการ Preparedness หรือเตรียมการ  เช่น  การจัด Route และการจัดช่วงเวลาแบบ Scheduling)ไม่ใช่แค่เรื่องของการส่งของให้ถึงมือลูกค้าเท่านั้น แต่มันคือการบริหาร "ความผันผวนของต้นทุนพลังงาน" และ "ความเสี่ยงบนท้องถนน"ด้วย แบบ Dynamic Routing.

ไอเดีย 2 ต้องหาทางกระจายความเสี่ยง หรือ Diversification  เราอาจจะได้ยินบ่อยๆ “ ไม่ใส่ไข่ทุกใบไว้ในตะกร้าเดียว”  และอยากให้ลองตั้งคำถามก่อนว่า ถ้าสิ่งนี้หายไป เราจะอยู่รอดไหม ???  ถ้าไม่น่าจะรอดก็ต้อง หาทางกระจายความเสี่ยง  เช่น Supplier เจ้าเดียว  การใช้รถน้ำมันขนส่งเพียงอย่างเดียว   การมีสินค้าเพียงหมวดเดียว   มีพนักงานเพียงทักษะเดียว   ก็ต้องเพิ่มให้มีคำหลายเจ้า หลายทักษะ มากขึ้น    

ไอเดีย 3   Risk -Opportunity การมองเห็น "โอกาส" ในวิกฤต มาตรฐาน ISO ก็คาดหวังไว้เช่นนั้น เพราะ Risk ไม่ได้มองแค่ด้านลบอย่างเดียว  แต่ช่วยให้เราเห็นจังหวะที่คนอื่นมองไม่เห็นด้วย ....ในขณะที่ทุกคนกำลังกลัวจนไม่กล้าขยับ คนที่มีการบริหารความเสี่ยงที่ดีจะมี 'กระสุน" หรือเงินสดหรือทรัพยากร พร้อมที่จะคว้าโอกาสในราคาที่ถูกลง   ลูกค้าน้อยลงสั่งสินค้าชิ้นใหญ่ไม่ไหว เปลี่ยนเป็นชิ้นเล็กลงด้วยการออกแบบใหม่   

ไอเดีย 4   Continuity & Survivor ความต่อเนื่องและการมีชีวิตอยู่ของธุรกิจ  โดยตั้งคำถามว่า  ถ้าซัพพลายเชนขาดตอนเพราะสงคราม เรามีแหล่งสำรองไหม?  ผลิตภัณฑ์ที่มีอยู่ยังคงความต้องการของลูกค้าอยู่หรือเปล่า ? เพื่อให้ดำเนินการต่อได้ต้องหาวัตถุดิบอื่นทดแทน หรือหา supplier แหล่งอื่นๆ 

 

เป็นไอเดียเล็กๆ น้อยๆ  สุดท้าย Risk ไม่ได้หมายถึงอันตรายเพียงอย่างเดียวยังหมายถึง ความไม่แน่นอน หรือ การบริหารความไม่แน่นอน  รู้ก่อน จัดการก่อน 

 

References : 

ISO31000:2018 Risk Management Guidelines