Presented at the Faculty of Medicine Ramathibodi Hospital, Mahidol University on February 9, 2022

1. การบริหารความเสี่ยง
นพ.นวนรรน ธีระอัมพรพันธุ์
รองคณบดีฝ่ายปฏิบัติการ
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
9 กุมภาพันธ์ 2565

2. 1. เพื่อให้ผู้ประสานงานด้านความเสี่ยงทราบนโยบาย ทิศทาง และ
แนวทางการบริหารความเสี่ยงของคณะฯ
2. เพื่อให้ผู้ประสานงานด้านความเสี่ยงเข้าใจและสามารถบริหาร
จัดการความเสี่ยงในบริบทของตนเองได้อย่างถูกต้องเหมาะสม
3. เพื่อให้การบริหารความเสี่ยงด้านต่าง ๆ ของคณะฯ เป็นไปอย่างมี
ประสิทธิผลและประสิทธิภาพ ทาให้คณะฯ ประสบความสาเร็จใน
การบริหารและดาเนินงานด้านต่าง ๆ อย่างยั่งยืน
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 2
วัตถุประสงค์

3. • ความเป็นไปได้ที่จะเกิดเหตุการณ์บางอย่างขึ้น
• “Risk is the possibility of something bad
happening.” (Wikipedia)
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 3
ความเสี่ยง (Risk) คืออะไร
ความเสี่ยง
(Risk)
สาเหตุ
(Cause)
ผลกระทบ
(Consequence)

4. • ความเสี่ยง คือสิ่งที่ยังไม่เกิด แต่ถ้าเกิดอาจส่งผลกระทบ
บางอย่างกับองค์กร จึงต้อง “บริหารจัดการ”
• ปัญหา คือสิ่งที่เกิดขึ้นแล้ว และจะส่งผลกระทบต่อองค์กร
จึงต้อง “แก้ไข”
• ความเสี่ยง (Risk) ≠ ปัญหา (Problem)
• การบริหารความเสี่ยง (Risk Management) ≠ การจัดการ
แก้ไขปัญหา (Problem Solving)
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 4
ความเสี่ยง (Risk) vs. ปัญหา (Problem)

5. • ความเสี่ยง (ที่อาจเกิดขึ้น) อาจมาพร้อมโอกาสที่จะได้
ผลตอบแทนที่ดี (positive benefits/returns) (ที่อาจมา
ควบคู่กัน)
• “การลงทุนมีความเสี่ยง”
• ถ้าไม่อยากเสี่ยง ก็ไม่ต้องลงทุน
• แต่ถ้าไม่ลงทุน ก็จะไม่มีโอกาสได้กาไรเป็นกอบเป็นกา
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 5
มอง “ความเสี่ยง” อย่างเข้าใจ

6. • ความเสี่ยง จึงไม่ใช่สิ่งที่แย่เสมอไป
• การ “กาจัดความเสี่ยง” ให้หมดไป ไม่ใช่สิ่งที่ดีเสมอไป
• การกาจัดความเสี่ยงให้หมดไป อาจต้องใช้ทรัพยากรและ
พลังงานมหาศาล
• การกาจัดความเสี่ยงให้หมดไป อาจนาไปสู่การเสียโอกาส
บางอย่าง
• เราอาจไม่สามารถกาจัดความเสี่ยงบางอย่างให้หมดไปได้
หากเรายังคงดาเนินงานในพันธกิจต่างๆ ขององค์กรอยู่
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 6
มอง “ความเสี่ยง” อย่างเข้าใจ

7. • ระดับความเสี่ยงที่องค์กรยอมรับได้ ในการดาเนินงานหนึ่ง ๆ
ก่อนที่องค์กรจะเห็นว่าจาเป็นต้องลดความเสี่ยง
• Risk Appetite ขององค์กร จะเป็นตัวกาหนดว่าองค์กรจะ
สามารถแสวงหาโอกาสได้รับผลตอบแทน (ที่มาพร้อมกับ
ความเสี่ยง) โดยยอมรับผลกระทบที่อาจเกิดขึ้นจากความ
เสี่ยงนั้น ๆ ได้มากน้อยเพียงใด
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 7
รู้จัก “Risk Appetite”

8. • Strategic Risk (ความเสี่ยงด้านกลยุทธ์)
• ความเสี่ยงจากการกาหนดแผนกลยุทธ์และแผนการดาเนินงานไม่
เหมาะสม หรือการนาแผนไปปฏิบัติไม่เหมาะสมหรือไม่มีประสิทธิภาพ
• Operational Risk (ความเสี่ยงด้านการดาเนินงาน)
• ความเสี่ยงที่อาจเกิดขึ้นจากกระบวนการทางานปกติ (operations)
ขององค์กร
• Financial Risk (ความเสี่ยงด้านการเงิน)
• Compliance Risk (ความเสี่ยงด้านการปฏิบัติตาม
กฎระเบียบ)
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 8
ประเภทของความเสี่ยง (Types of Risk)

9. การบริหารความเสี่ยงคณะฯ
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 9
COSO ERM 2004
COSO ERM 2017
กระบวนการบริหารความเสี่ยง
Risk
Identification Risk
Assessment
Risk
Management
Risk
Monitoring &
Evaluation

10. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 10
ประกอบด้วย 5 องค์ประกอบ 20 หลักการ
มาตรฐานสากล
COSO - Enterprise Risk Management Integrating
with Strategy and Performance (2017)
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

11. ขั้นตอนการบริหารความเสี่ยง
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 11
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

12. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 12
การระบุความเสี่ยง
(Identification Risk)
Who is involved ?
ผู้ปฏิบัติงาน หัวหน้างาน ผู้บริหารส่วนงาน
ประชุมร่วมทุกกลุ่มงาน/คณะทางาน
ระบุความเสี่ยง (O,F,C)
ระบุความเสี่ยง (S)
และพิจารณา O,F,C
ในงานที่รับผิดชอบ
พิจารณา (S,O,F,C)
ทุกพันธกิจ/งาน
พิจารณา S,O,F,C
และระบุความเสี่ยง (S)
ในภาพของส่วนงาน
เครือข่ายการบริหารความเสี่ยง
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

13. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 13
 พิจารณาวิเคราะห์ความเสี่ยงจากพันธกิจหลัก และพันธกิจสนับสนุนของส่วนงาน /หน่วยงาน ที่สอดคล้องกับยุทธศาสตร์
ของมหาวิทยาลัย ยุทธศาสตร์ของคณะฯ โดยคานึงถึงการเปลี่ยนแปลงของสภาพแวดล้อมภายนอก และภายในร่วมด้วย
พ.ร.บ.การอุดมศึกษา
พ.ศ. 2562
พ.ร.บ.คุ้มครองข้อมูล
ส่วนบุคคล พ.ศ. 2562
นโยบายและยุทธศาสตร์
การวิจัยของชาติ
กลุ่มประชากร
Changes in consumer
ทักษะแรงงาน
Post COVID-19
New Normal
ตัวอย่าง External Factors ที่เกี่ยวข้อง
การระบุความเสี่ยง
(Identification Risk)
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

14. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 14
 วิเคราะห์ความเสี่ยงให้ครอบคลุมทั้ง 4 ประเภทความเสี่ยง ประกอบด้วย ด้านกลยุทธ์ (Strategic Risk) ด้านการดาเนินงาน
(Operational Risk) ด้านการเงิน (Financial Risk) และด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
ประเภทของความเสี่ยง
ความเสี่ยงด้านกลยุทธ์
(Strategic Risk)
ยุทธศาสตร์/พันธกิจหลักขององค์กร (Core Activity) ได้แก่
การศึกษา
การวิจัย (Research Projects)
การบริการวิชาการ
การบริการสุขภาพ
ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ
(Compliance Risk)
กฎหมาย/กฎระเบียบ/ข้อบังคับที่เกี่ยวข้องกับ
การดาเนินงานในพันธกิจต่างๆ ของส่วนงาน
หากไม่ปฏิบัติตามอาจส่งผลกระทบในระดับรุนแรง และกระทบต่อ
ชื่อเสียงภาพลักษณ์ของส่วนงานและมหาวิทยาลัย
ความเสี่ยงด้านการดาเนินงาน
(Operational Risk)
Work Flow/Process
ระบบปฏิบัติการหลักขององค์กร
ระบบงานสนับสนุน เช่น งานทรัพยากรบุคคล
งานการเงิน/บัญชี/พัสดุ เป็นต้น
ความเสี่ยงด้านการเงิน
(Financial Risk)
ให้มองในมิติที่เป็น Strategic โดยพิจารณาจากยุทธศาสตร์ของ
องค์กรที่เกี่ยวข้องกับ
สภาพคล่องทางการเงิน
ความมั่นคงทางการเงิน
ความอยู่รอดขององค์กร
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

15. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 15
 การวิเคราะห์และประเมินความเสี่ยงของการดาเนินงานที่อาจก่อให้เกิดการทุจริต (Fraud) หรือก่อให้เกิดการขัดกันระหว่าง
ผลประโยชน์ส่วนตนกับผลประโยชน์ส่วนรวม (Conflict of Interest) ตามแนวทางการประเมินคุณธรรม
และความโปร่งใสในการดาเนินงานของหน่วยงานภาครัฐ (ITA)
ระเบียบหรือแนวปฏิบัติเรื่อง “ธรรมาภิบาล”ของมหาวิทยาลัยมหิดล
 ประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายต่อต้านคอร์รัปัั่น (Anti - corruption Policy)
พ.ศ. 2559
 ประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายคุณธรรมและความโปร่งใสในการดาเนินงานของ
มหาวิทยาลัยมหิดล
 นโยบายความขัดแย้งทางผลประโยัน์ของมหาวิทยาลัยมหิดล
 มาตรการป้องกันการรับสินบน และการขัดกันระหว่างผลประโยัน์ส่วนตนกับผลประโยัน์
ส่วนรวม พ.ศ. 2562
 มาตรการลดการใั้ดุลยพินิจในการปฏิบัติหน้าที่ พ.ศ. 2562
 มาตรการส่งเสริมการมีส่วนร่วมของผู้มีส่วนได้ส่วนเสีย พ.ศ. 2562
 มาตรการเผยแพร่ข้อมูลต่อสาธารณะเพื่อส่งเสริมความโปร่งใสในการจัดซื้อจัดจ้าง พ.ศ. 2562
คู่มือธรรมาภิบาลมหาวิทยาลัยมหิดล
การเปิดเผยข้อมูลตามแนวทางการประเมินคุณธรรมและความโปร่งใส
ในการดาเนินงานของหน่วยงานภาครัฐ (ITA)
https://op.mahidol.ac.th/rm/risk_management/fraud_risk
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

16. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 16
 กาหนดให้หน่วยงานนาเหตุการณ์ความเสี่ยงที่อยู่ในระดับความเสี่ยงสูง (โซนสีส้ม) และระดับความเสี่ยงสูงมาก (โซนสีแดง)
มาจัดทาแผนบริหารจัดการความเสี่ยงเพื่อกาหนดแนวทางการจัดการความเสี่ยงที่เหมาะสม และรายงานผล
การบริหารจัดการความเสี่ยงตามแผนฯ ต่อคณะฯ ทุก 6 เดือน
ความถี่ของการเกิดเหตุการณ์ความเสี่ยง
ในอดีต และโอกาสที่จะเกิดขึ้นในอนาคต
ความรุนแรงของเหตุการณ์ความเสี่ยง
ที่หากเกิดขึ้นแล้วจะส่งผลกระทบในด้านต่างๆ
โอกาสเกิด (Likelihood)
ผลกระทบ (Impact)
การประเมิน...ระดับความเสี่ยง
ให้พิจารณาใน 2 มิติ
การวิเคราะห์และการประเมินความเสี่ยง
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

17. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 17
เกณฑ์การประเมินโอกาสเกิด (Likelihood)
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

18. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 18
เกณฑ์การวัดผลกระทบ (Impact) 4 ด้าน
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

19. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 19
ตารางแสดงระดับความเสี่ยง
ตารางแนวทาง
การบริหารจัดการความเสี่ยง
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

20. • เลือกกลยุทธ์ในการจัดการความเสี่ยง (risk management
strategy) ที่เหมาะสมกับ risk appetite ขององค์กร
• ระบุ Existing Controls ที่มีอยู่ ที่ใั้จัดการความเสี่ยงนั้น
• ประเมินระดับความเสี่ยงที่เหลืออยู่ (Residual Risk)
• หากระดับความเสี่ยงสูงเกินระดับที่ยอมรับได้ หรือสูงกว่า
risk appetite ให้ระบุ Control Activities ที่จะทาเพิ่มใน
แผนการจัดการความเสี่ยง
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 20
แผนการจัดการความเสี่ยง (Risk Management Plan)

21. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 21
Inherent Risk vs. Residual Risk
Residual Risk = (Inherent Risk) – (Risk Reduction due to Existing Controls)
Background vector created by upklyak - www.freepik.com
Risk of Fall = Likelihood x Impact
Inherent Risk of Fall = Likelihood x Impact without any existing controls
Residual Risk of Fall = Likelihood x Impact with existing controls

22. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 22
Inherent Risk vs. Residual Risk
Residual Risk = (Inherent Risk) – (Risk Reduction due to Existing Controls)
Inherent Risk
Residual Risk
Control Activities
Risk Appetite
Expected Residual
Risk after Control
Activities
Existing Controls

23. • เราใั้ KRIs ในการติดตาม (monitor) และประเมินผล
(evaluate) ประสิทธิผลของการจัดการความเสี่ยง
• ควรมี leading indicator ที่ส่งสัญญาณให้เห็นแนวโน้มของ
ประสิทธิผลของการจัดการความเสี่ยงล่วงหน้าได้ทันการ
• ไม่ควรมีแต่ lagging indicator ที่แสดงถึง “ผล” ที่เกิดขึ้น
หลังจากเวลาผ่านไปนานพอสมควร
• KRI ที่ดี จะส่งสัญญาณล่วงหน้าว่าการจัดการความเสี่ยงทาได้ดี
หรือไม่ดี และั่วยให้เราปรับแผนการจัดการความเสี่ยงได้ทันการ
• มี burden ในการเก็บข้อมูลไม่มากนัก
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 23
Key Risk Indicator (KRI) ที่ดี

24. Risk Monitoring Process
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 24
Process Output
Input
ความเสี่ยง
และแผนการจัดการความเสี่ยงคณะฯ
ผลการจัดการความเสี่ยง
ครั้งที่ 1 ต.ค.-มี.ค.
ครั้งที่ 2 เม.ย.-ก.ย.
Risk Management
Report
RM ติดตาม
ผลการ
จัดการฯ
RC จัดทาตาม
แผนฯ
ความเสี่ยง
รองคณบดีที่
รับผิดชอบ
พิจารณา/
อนุมัติ
นาเสนอ
RMC + คกก.
ประจาคณะฯ
① ② ③ ④
การติดตามผลการจัดการการความเสี่ยง

25. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 25
ประโยชน์จากการบริหารความเสี่ยง
การบริหารความเสี่ยงทั่วทั้งองค์กรตามกรอบ COSO - ERM version 2017 ไม่ใช่เป็นเครื่องมือการจัดการเพื่อสนับสนุน
ให้การดาเนินงานบรรลุวัตถุประสงค์และเป้าหมายเท่านั้น แต่ยังช่วยให้เกิดประโยชน์ต่อองค์กร....ดังนี้
ที่มา: Committee of Sponsoring Organizations of the Treadway Commission(COSO).2017. Enterprise Risk Management Integrating with Strategy and Performance Executive Summary.
retrieve from https://www.coso.org/Pages/default.aspx. 10/5/2017 (คัดลอกและตัดบางส่วน
เพิ่มการไขว่คว้าโอกาส เพื่อสร้างคุณค่าให้เพิ่มขึ้นในองค์กร
โดยจะพิจารณามุมมองเชิงบวกและลบอย่างสมเหตุสมผล
ทาให้เกิดความมั่นใจเพื่อตัดสินใจเชิงรุกเพื่อออกผลิตภัณฑ์
บริการแก่ลูกค้าได้ก่อนคู่แข่ง
ช่วยลดผลกระทบเชิงลบจากเหตุการณ์ไม่คาดหวัง ลดค่าใช้จ่ายที่ไม่จาเป็น
ในการควบคุมกิจกรรมที่ไม่ควรจะควบคุม และเพิ่มกาไรจากการมีมาตรการ
เชิงรุกหรือออกผลิตภัณฑ์ใหม่เสนอลูกค้าจากการไขว่คว้าโอกาสต่าง ๆ
ช่วยลดการดาเนินงานที่จะเบี่ยงเบนจากเป้าหมาย โดยไม่จาเป็น
ต้องขจัดปัจจัยเสี่ยงให้หมดไป แต่จะควบคุมความเสี่ยงให้อยู่ในระดับ
ที่ยอมรับได้ ขณะเดียวกันจะแสวงหาโอกาสทางธุรกิจให้มากที่สุด
ทาให้องค์กรมีความยืดหยุ่นในการปรับตัว โดยเฉพาะการปรับตัว
ในระยะยาว และไม่เพียงแต่เพื่อให้องค์กรอยู่รอดเท่านั้น ยังช่วยให้
รอดพ้นจากวิกฤติที่ภัยคุกคามสาคัญ (crisis) ด้วย
ภาพ/เนื้อหาจากศูนย์บริหารจัดการความเสี่ยง มหาวิทยาลัยมหิดล

26. Workshop
งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 26
(สาหรับ Online) จัดกลุ่ม Breakout Room จานวน 7 กลุ่ม
ผู้เข้าร่วมอบรมจะถูกเชิญเข้ากลุ่มโดยการตั้งกลุ่มไว้ล่วงหน้าแล้ว
เมื่อได้รับการเชิญขอให้ทุกท่านกด Join เพื่อเข้ากลุ่ม
(สาหรับ On-site) จัดกลุ่มย่อย จานวน 2 กลุ่ม
ผู้เข้าร่วมอบรมสามารถกรอกข้อมูลสาหรับทา Workshop
ที่กาหนดไว้ให้ได้เลย

27. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 27
ตัวอย่างเอกสารใน
Workshop
ขอให้ผู้เข้าอบรมที่เข้ากลุ่มย่อยแล้ว
กดเปิด Link เอกสารสาหรับการทา Workshop
ที่นักบริหารความเสี่ยงประจากลุ่มส่งให้
ในั่องแัทของแต่ละกลุ่มย่อยค่ะ

28. ขั้นตอนการทา Workshop
1. กาหนดความเสี่ยงและกิจกรรมควบคุมที่มีอยู่ในปัจจุบันไว้ให้แล้ว ในเอกสาร
Workshop
2. วิเคราะห์ Root Cause, กาหนด KRI (Leading หรือ Lagging KRI)
3. วิเคราะห์โอกาส ผลกระทบ และพิจารณาว่าควรจัดการความเสี่ยงเพิ่มเติม
หรือไม่? อย่างไร?
4. ทุกคนสามารถกรอกในเอกสารสาหรับทา Workshop พร้อมกันได้เลย

29. งานบริหารความเสี่ยง คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 29