Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

คู่มือบริหารความเสี่ยง สวทช.

924 views

Published on

Enterprise Risk Management 2558
คู่มือบริหารความเสี่ยงของ สวทช. ประจำปี 2558 ตามกรอบมาตรฐานบริหารความเสี่ยง ISO 31000:2009 ผ่านการเห็นชอบจากคณะกรรมการพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (กวทช.) 19 มกราคม พ.ศ. 2558

Published in: Science
  • Be the first to comment

คู่มือบริหารความเสี่ยง สวทช.

  1. 1. ตามกรอบมาตรฐานบริหารความเสี่ยง ISO 31000:2009 version 4.0 ผ่านการเห็นชอบจากคณะกรรมการพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (กวทช.) 19 มกราคม พ.ศ. 2558 Disclaimer: เอกสารนี้ใช้เป็นแนวทางบริหารความเสี่ยงภายใน สวทช. และมีวัตถุประสงค์เพื่อสร้างความเข้าใจในหลักการ และบริบทที่เกี่ยวข้อง ของ สวทช. เนื้อหาในคู่มือจะมีการพัฒนาและปรับปรุงให้สมบูรณ์และทันสมัยตามแนวทางการพัฒนาระบบบริหารความเสี่ยงของ สวทช. แบบ วิวัฒนาการ (Evolutionary approach) เอกสารฉบับนี้เป็นการปรับปรุงเพิ่มเติมจากคู่มือบริหารความเสี่ยง version 3.0 คู่มือบริหารความเสี่ยง สวทช.
  2. 2. นโยบาย คณะกรรมการพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ เรื่อง การบริหารความเสี่ยงขององค์กร คณะกรรมการพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (กวทช.) ให้ ความสาคัญต่อการกากับดูแลที่ดี และเห็นว่าระบบบริหารความเสี่ยงขององค์กร (Enterprise Risk Management) ที่มีประสิทธิภาพและประสิทธิผล เป็นปัจจัยที่ สาคัญที่จะสามารถลดความเสี่ยงอันจะส่งผลกระทบต่อการบรรลุวัตถุประสงค์การ ดาเนินงานของ สวทช. จึงได้แต่งตั้งคณะอนุกรรมการบริหารความเสี่ยง เพื่อกากับ ดูแลการดาเนินงานบริหารจัดการความเสี่ยงของ สวทช. ให้เป็นไปตามนโยบายที่ กาหนด และ กวทช. คาดหวังให้ สวทช. บูรณาการเรื่องการบริหารจัดการความเสี่ยง เข้ากับกระบวนการหลักได้อย่างช้าภายในปีงบประมาณ 2559 มติที่ประชุม กวทช. เมื่อวันที่ 7 เมษายน พ.ศ. 2554
  3. 3. คำนำ สำนักงำนพัฒนำวิทยำศำสตร์และเทคโนโลยีแห่งชำติ (สวทช.) เห็นควำมสำคัญของนำระบบบริหำร ควำมเสี่ยงมำใช้เป็นเครื่องมือในกำรบริหำรจัดกำร เพรำะระบบบริหำรควำมเสี่ยงที่มีประสิทธิภำพและ ประสิทธิผลเป็นปัจจัยที่สำคัญที่จะสำมำรถลดควำมเสี่ยงอันจะส่งผลกระทบต่อกำรบรรลุวัตถุประสงค์กำร ดำเนินงำนของสวทช. ดังนั้นเพื่อให้กำรดำเนินงำนบริหำรควำมเสี่ยงของสวทช. เป็นไปตำมนโยบำยกวทช. กำหนด โดย คำดหวังให้สวทช. บูรณำกำรเรื่องกำรบริหำรจัดกำรควำมเสี่ยงเข้ำกับกระบวนกำรหลักได้อย่ำงช้ำภำยใน ปีงบประมำณ 2559 สวทช.จึงดำเนินงำนบริหำรควำมเสี่ยของตำมแผนดำเนินงำนเชิงวิวัฒนำกำร (Evolutionary Approach) ทั้งนี้เพื่อขับเคลื่อนกำรบริหำรควำมเสี่ยงให้เป็นส่วนหนึ่งของกำรบริหำร ภำยในสวทช. รวมถึงเพื่อให้สอดคล้องกับเกณฑ์กำรประเมินผลกำรดำเนินงำนของกรมบัญชีกลำง คณะกรรมกำรจัดกำรควำมเสี่ยงของสวทช. จึงได้ปรับปรุงคู่มือบริหำรควำมเสี่ยงสวทช. ปี 2558 เพื่อใช้เป็น แนวทำงกำรบริหำรควำมเสี่ยงระดับองค์กร ระดับศูนย์แห่งชำติ/หน่วยงำนหลัก และระดับโปรแกรม/ กระบวนกำรหลัก คู่มือบริหำรควำมเสี่ยงฉบับนี้จัดทำขึ้นเพื่อเป็นเครื่องมือในกำรสื่อสำรและสร้ำงควำมเข้ำใจในกำรบริหำร ควำมเสี่ยงแก่ผู้บริหำร พนักงำนและผู้เกี่ยวข้องของสวทช. คณะผู้จัดทำหวังเป็นอย่ำงยิ่งว่ำคู่มือนี้จะเป็นส่วนหนึ่งในกำรสนับสนุนให้มีกำรนำระบบบริหำรควำม เสี่ยงไปปฏิบัติจนเป็นส่วนหนึ่งของกำรดำเนินงำนตำมภำรกิจปกติจนเกิดเป็นวัฒนธรรมองค์กรในที่สุด คณะกรรมกำรจัดกำรควำมเสี่ยงของ สวทช. วันที่ 11 พฤศจิกำยน พ.ศ. 2557
  4. 4. บทสรุปผู้บริหาร สำนักงำนพัฒนำวิทยำศำสตร์และเทคโนโลยีแห่งชำติ (สวทช.) กำหนดแนวทำงกำรบริหำรควำมเสี่ยง ให้สอดคล้องกับกรอบกำรบริหำรควำมเสี่ยง (Framework) ตำมมำตรฐำน ISO 31000:2009 และเริ่ม ดำเนินกำรรอบแรกในปีงบประมำณ 2555 โดยมีขอบเขตกำรดำเนินงำนเริ่มจำกควำมเสี่ยงระดับองค์กร (ERM) ในปีที่ 1 และขยำยไปสู่ระดับศูนย์แห่งชำติ/หน่วยงำนหลักในปีที่ 2 โปรแกรม/กระบวนกำรหลักที่สำคัญใน ปีที่ 3 โดยมีเป้ำหมำย เพื่อให้มีกำรนำระบบบริหำรควำมเสี่ยงไปปฏิบัติจนเป็นส่วนหนึ่งของกำรดำเนินงำนตำม ภำรกิจปกติจนเกิดเป็นวัฒนธรรมองค์กรในที่สุด ในกำรดำเนินงำน มีคณะอนุกรรมกำบริหำรควำมเสี่ยงของ สวทช. ภำยใต้คณะกรรมกำรพัฒนำ วิทยำศำสตร์และเทคโนโลยีแห่งชำติ (กวทช.) รับผิดชอบในกำรเสนอแนะนโยบำย กำกับดูแลกำรบริหำร ควำมเสี่ยงทั่วทั้งองค์กร รวมถึงรำยงำนผลกำรบริหำรจัดกำรควำมเสี่ยงต่อ กวทช. อย่ำงต่อเนื่อง โดยในช่วง ก่อตั้งระบบบริหำรควำมเสี่ยงคณะอนุกรรมกำรบริหำรควำมเสี่ยงฯ ได้แต่งตั้งคณะทำงำนพัฒนำระบบบริหำร ควำมเสี่ยงของสวทช. ขึ้นเพื่อทำหน้ำที่พัฒนำนโยบำย แผนงำน และรำยงำนผลกำรบริหำรจัดกำรควำมเสี่ยง ของ สวทช. ต่อคณะอนุกรรมกำรบริหำรควำมเสี่ยงอย่ำงสม่ำเสมอ นอกจำกนี้ ได้มีกำรจัดตั้งคณะกรรมกำร จัดกำรควำมเสี่ยงของสวทช. ซึ่งมีผู้อำนวยกำร สวทช. เป็นประธำน รับผิดชอบในกำรกำหนดนโยบำย จัดกำร ให้ควำมเสี่ยงต่ำงๆ อยู่ในวิสัย และขอบเขตที่พึงประสงค์ โดยจัดให้มีกำรประเมินและทบทวนควำมเสี่ยงด้วย ควำมถี่ที่เหมำะสม ประมวลวิเครำะห์ควำมก้ำวหน้ำในกำรดำเนินงำน และจัดทำรำยงำนกำรติดตำมประเมินผล กำรบริหำรควำมเสี่ยง รวมทั้งส่งเสริม สื่อสำร พัฒนำควำมรู้ควำมเข้ำใจในเรื่องกำรบริหำรควำมเสี่ยงให้กับ บุคลำกรทุกระดับ ในกำรประเมิน วิเครำะห์ และจัดกำรควำมเสี่ยง สวทช. ได้ศึกษำแนวทำงกำรบริหำรควำมเสี่ยง ขององค์กรวิจัย และพัฒนำทำงด้ำนวิทยำศำสตร์ และเทคโนโลยีทั้งในประเทศ และต่ำงประเทศที่มีลักษณะ และพันธกิจใกล้เคียงกับ สวทช. พบว่ำ ในกำรบริหำรจัดกำรควำมเสี่ยงจะต้องมี Framework ในกำรวิเครำะห์ สำเหตุ ผลกระทบ เพื่อพิจำรณำสิ่งที่พึงกระทำและจุดอ่อนที่ต้องดำเนินกำรแก้ไขเพื่อประเมินโอกำสที่จะเกิด ควำมเสี่ยง และผลกระทบทั้งก่อน และหลังดำเนินกำร และได้พบว่ำ CSIRO (Commonwealth Scientific and Industrial Research Organization) ซึ่งเป็นหนึ่งในองค์กรวิจัยที่ใหญ่ที่สุด ในประเทศออสเตรเลีย โดยมี สำขำมำกกว่ำ 50 แห่งทั่วโลก และเป็นองค์กรที่มีพันธกิจใกล้เคียงกับ สวทช. รวมถึง CSIRO ยังเป็นองค์กร สำคัญที่มีส่วนร่วมในกำรออกแบบมำตรฐำน ISO 31000:2009 ซึ่งได้ใช้แผนภำพแสดงควำมเชื่อมโยง องค์ประกอบสำคัญในกำรบริหำรจัดกำรควำมเสี่ยงหรือ Bow Tie Diagram เป็นเครื่องมือในกำรจัดกำร ควำมเสี่ยงขององค์กร ซึ่งแผนภำพนี้สำมำรถสรุปสำเหตุ ผลกระทบ และมำตรกำรในกำรควบคุม/ลดควำมเสี่ยง ที่ใช้สื่อสำรทำควำมเข้ำใจได้ง่ำยและมีประสิทธิภำพ ดังนั้น สวทช. จึงนำเครื่องมือดังกล่ำวมำประยุกต์ใช้ในกำรวิเครำะห์สำเหตุ ผลกระทบ พิจำรณำ ทำงเลือก และกำหนดแนวทำงตอบสนองควำมเสี่ยง รวมถึงใช้ในกำรประชุม รำยงำนผล ปรึกษำหำรือ สื่อสำร ร่วมกับคณะกรรมกำรจัดกำรควำมเสี่ยง และผู้มีส่วนได้ส่วนเสียอื่นๆ ด้วย
  5. 5. ผลกำรดำเนินงำนในรอบที่ 2 (ปีงบประมำณ 2557) พบว่ำ ในระดับองค์กร (ERM) มีกำรระบุควำมเสี่ยง (Risk identification) 13 รำยกำร ครอบคลุมควำมเสี่ยง 4 ประเภท ประกอบด้วย ควำมเสี่ยงด้ำนด้ำนกลยุทธ์ (S: Strategic) ด้ำนปฎิบัติกำร (O: Operational) ด้ำนกำรเงิน (F: Finance) และด้ำนกำรปฏิบัติตำม กฎระเบียบ (C: Compliance) โดยมีประเด็นควำมเสี่ยงระดับสูง (12-16 คะแนน) จำนวน 4 รำยกำร และ ควำมเสี่ยงระดับปำนกลำง (6-8-9 คะแนน) จำนวน 9 รำยกำร โดยประเด็นควำมเสี่ยงทั้ง 13 รำยกำร มีกำร จัดกำรควำมเสี่ยง (Risk treatment) ด้วยกำรจัดทำแผนบริหำรจัดกำรควำมเสี่ยง และติดตำมผลกำร ดำเนินงำนรำยไตรมำส และใช้ที่ประชุมคณะกรรมกำรจัดกำรควำมเสี่ยงของสวทช. ในกำรติดตำมตรวจสอบ และทบทวนผลกำรดำเนินงำน ผลกำรจัดกำรควำมเสี่ยง 13 รำยกำร พบว่ำ หลังจำกดำเนินกำรตำมแผนจัดกำรควำมเสี่ยง ผลกำร ประเมินคะแนนควำมเสี่ยงลดลงได้ตำมเป้ำหมำย/มำกกว่ำเป้ำหมำยที่กำหนดไว้ 7 รำยกำร ได้แก่ 1) REF-1 เกิดวิกฤตด้ำนงบประมำณจนไม่สำมำรถปฏิบัติงำนได้ตำมแผนกลยุทธ์ 2) REO-1 พนักงำนสำยวิจัยและพัฒนำ ที่มีประสบกำรณ์และควำมเชี่ยวชำญสูงออกจำก สวทช. กระทันหันจำนวนมำก 3) REO-5 ระบบ ICT ไม่สำมำรถให้บริกำรได้อย่ำงมีประสิทธิภำพ 4) RES-2 กำรใช้ประโยชน์ของผลงำนวิจัยมีน้อย 5) REO-2 ผู้บริหำรสำคัญออกจำก สวทช.กระทันหันจำนวนมำก 6) REC-1 เสียชื่อเสียงจำกกำรบริหำรจัดกำรหรือกำกับ ดูแลกิจกำร และ 7) REO-3 ไม่สำมำรถรักษำระดับขีดควำมสำมำรถของบุคลำกร ส่วนอีก 6 รำยกำร ยังดำเนินกำรได้ต่ำกว่ำเป้ำหมำยที่กำหนดไว้ ได้แก่ 1) RES-1 ผลผลิตวิจัยและ พัฒนำสร้ำงผลกระทบต่ำกว่ำเป้ำหมำยที่กำหนด 2) RES-3 ไม่สำมำรถรับมือกับพิบัติภัยธรรมชำติและอุบัติภัย ขนำดใหญ่ 3) REO-6 ไม่สำมำรถใช้ทรัพยำกรหรือทรัพย์สินที่มีอยู่ให้เกิดประโยชน์อย่ำงคุ้มค่ำ 4) REC-2 เสียชื่อเสียงจำกพฤติกรรมของพนักงำน 5) REO-4 ไม่สำมำรถบริหำรงำนได้อย่ำงคล่องตัวตำมเจตนำรมณ์ของ พรบ. พัฒนำวิทยำศำสตร์และเทคโนโลยี พ.ศ. 2534 และ 6) REC-3 เสียชื่อเสียงจำกกำรใช้ประโยชน์ ผลงำนวิจัย จำกผลกำรบริหำรจัดกำรควำมเสี่ยงดังกล่ำว กำรประชุมคณะกรรมกำรจัดกำรควำมเสี่ยง สวทช. ครั้งที่ 7/2557 เมื่อวันที่ 9 กันยำยน 2557 ที่ประชุมได้พิจำรณำทบทวนผลกำรดำเนินงำนตำมแผน ปัจจัย ภำยในและภำยนอก จึงมีมติให้นำประเด็นควำมเสี่ยงของ ปีงบประมำณ 2557 จำนวน 12 รำยกำร กำหนด เป็นประเด็นควำมเสี่ยงปีงบประมำณ 2558 ทั้งนี้ เพื่อดำเนินกำรบริหำรจัดกำรควำมเสี่ยงให้มีประสิทธิภำพ มำกยิ่งขึ้น ในปีงบประมำณ 2558 เป็นกำรดำเนินกำรตำมมำตรฐำน ISO 31000:2009 รอบที่ 3 คณะกรรมกำร จัดกำรควำมเสี่ยงของสวทช. จึงพัฒนำและปรับปรุงแนวทำงกำรดำเนินงำนบริหำรควำมเสี่ยงให้สอดคล้อง กับปฎิทินของกำรบริหำรภำยในองค์กร ดังนั้นเพื่อให้คู่มือบริหำรควำมเสี่ยงของสวทช. ประจำปี 2558 สอดคล้องกับแนวทำงกำรดำเนินงำน ข้ำงต้น สวทช. จึงได้ดำเนินกำรปรับปรุงคู่มือบริหำรจัดกำรควำมเสี่ยง จำกฉบับปี 2557 ที่เคยใช้ โดยมี วัตถุประสงค์เพื่อให้ผู้บริหำร และพนักงำนที่มีส่วนเกี่ยวข้องกับกำรบริหำรควำมเสี่ยงได้ใช้เป็นแนวทำงปฏิบัติ ให้มีควำมสอดคล้องกันทั่วทั้งองค์กร
  6. 6. คู่มือบริหารความเสี่ยง สวทช. ( version 4.0) ปรับปรุงล่าสุด 11 พฤศจิกายน พ.ศ. 2557 สารบัญ หน้า นโยบาย กวทช. เรื่องการบริหารความเสี่ยง คานา บทสรุปผู้บริหาร สารบัญ บทที่ 1 กรอบกระบวนการบริหารความเสี่ยงของ สวทช. 1 1.1 ความเป็นมาการบริหารความเสี่ยงของ สวทช. 1 1.2 วัตถุประสงค์ของคู่มือ 2 1.3 คาจากัดความที่สาคัญ 2 1.4 ขอบเขตการดาเนินงาน 3 1.5 กรอบการบริหารความเสี่ยงตามมาตรฐาน ISO 31000:2009 5 1.6 กระบวนการบริหารความเสี่ยง (Process) 9 บทที่ 2 ระบบบริหารความเสี่ยงของ สวทช. 2.1 นโยบาย วัตถุประสงค์การบริหารความเสี่ยง สวทช. 13 2.2 ความสัมพันธ์ของการบริหารความเสี่ยงและการบริหารภายใน สวทช. 14 2.3 แนวทางการบริหารความเสี่ยง สวทช. 15 2.4 โครงสร้างและบทบาทหน้าที่ในการบริหารความเสี่ยง สวทช. 16 2.5 การระบุความเสี่ยง (Risk Identification) 17 2.6 การวิเคราะห์ความเสี่ยง (Risk Analysis) 19 2.7 การใช้แผนภาพแสดงความเชื่อมโยงองค์ประกอบสาคัญการบริหารจัดการ 19 ความเสี่ยงหรือ Bow Tie Diagram 2.8 แผนภาพแสดงความเชื่อมโยงองค์ประกอบการบริหารจัดการความเสี่ยง 19 หรือ Bow Tie diagram 2.9 การประเมินความเสี่ยง (Risk Assessment) 25 - หลักการและวิธีการประเมินความเสี่ยง - การแสดงผลการประเมินความเสี่ยง 2.10 การจัดการความเสี่ยง 32 2.11 การวิเคราะห์ประโยชน์ที่จะได้รับเทียบกับค่าใช้จ่าย (Cost-Benefit analysis) 33 2.12 การจัดทาแผนบริหารจัดการความเสี่ยง 37 2.13 การติดตามและรายงานผล 37
  7. 7. คู่มือบริหารความเสี่ยง สวทช. ( version 4.0) ปรับปรุงล่าสุด 11 พฤศจิกายน พ.ศ. 2557 ภาคผนวก 40 ภาคผนวก ก นโยบายบริหารจัดการความเสี่ยงของ สวทช. ภาคผนวก ข คาสั่งแต่งตั้งคณะอนุกรรมการบริหารความเสี่ยง สวทช. ภาคผนวก ค คาสั่งแต่งตั้งคณะกรรมการจัดการความเสี่ยงของ สวทช. ภาคผนวก ง คาสั่งแต่งตั้งคณะทางานพัฒนาระบบบริหารความเสี่ยง สวทช. ภาคผนวก จ แบบการวิเคราะห์ประโยชน์ที่จะได้รับเทียบกับค่าใช้จ่าย (Cost-Benefit analysis) ภาคผนวก ฉ ฟอร์มแผนบริหารจัดการความเสี่ยง ....... ปีงบประมาณ …………………… ภาคผนวก ช แบบรายงานผลการจัดการความเสี่ยง ภาคผนวก ซ แบบรายงานการติดตามและประเมินผลความเสี่ยง
  8. 8. 1คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 กรอบกระบวนการบริหารความเสี่ยงของ สวทช. 1.1 ความเป็นมาการบริหารความเสี่ยงของ สวทช. สภาพการเปลี่ยนแปลงทางด้านวิทยาศาสตร์และเทคโนโลยี ด้านเศรษฐกิจ สังคม การเมืองตลอดจน นวัตกรรมที่เกิดขึ้นมากมาย ส่งผลให้องค์กรต่างๆ ไม่ว่าจะเป็นองค์กรของรัฐ เอกชน ต้องเผชิญกับความไม่ แน่นอนกับการเปลี่ยนแปลงที่เกิดขึ้น ทาให้องค์กรส่วนใหญ่ต้องมีการปรับตัวรับมือกับการเปลี่ยนแปลงอยู่เสมอ และตลอดเวลาเพื่อที่จะให้องค์กรดาเนินการตามวิสัยทัศน์ นโยบาย แผนยุทธศาสตร์ กลยุทธ์ ได้ตาม วัตถุประสงค์ที่ได้กาหนดไว้ การบริหารความเสี่ยงเป็นกระบวนการบริหารจัดการที่ทาให้องค์กรมีการวางแผนป้องกันและรองรับ ผลกระทบที่อาจเกิดขึ้นในอนาคต เพื่อลดความเสียหายที่อาจเกิดขึ้น คณะกรรมการพัฒนาวิทยาศาสตร์ และเทคโนโลยีแห่งชาติ (กวทช.) ซึ่งมีหน้าที่กากับดูแลการดาเนินงานของ สวทช. จึงเห็นความสาคัญของ การนาระบบการบริหารความเสี่ยงมาใช้เป็นเครื่องมือในการบริหารจัดการ เพื่อให้ สวทช. สามารถดาเนินการได้ ตามวัตถุประสงค์ที่กาหนดไว้ และมีภูมิต้านทานต่อสภาพแวดล้อมทั้งภายใน และภายนอกที่อาจมีการ เปลี่ยนแปลงได้อย่างเหมาะสม เพราะระบบการบริหารความเสี่ยงจะช่วยในเรื่องของการวิเคราะห์ และคาดการณ์สิ่งที่จะเกิดขึ้นในอนาคต และส่งผลให้สวทช. มีการจัดลาดับความสาคัญของการดาเนินงาน การวางแผนป้องกัน ตลอดจนหาแนวทางในการบริหารจัดการ เพื่อเพิ่มประสิทธิภาพกระบวนการตัดสินใจ ซึ่งส่งผลให้ผลลัพธ์ในการปฏิบัติงานดีขึ้น กวทช. ได้จัดตั้งคณะอนุกรรมการบริหารความเสี่ยงขึ้น เพื่อกากับดูแลการดาเนินงานด้านการบริหาร จัดการความเสี่ยงของ สวทช. ส่วนในการบริหารจัดการภายใน สวทช. ได้มอบหมายให้ฝ่ายประเมินผลองค์กร สานักงานกลาง รับผิดชอบในฐานะเป็นฝ่ายเลขานุการคณะอนุกรรมการฯ และเป็นหน่วยงานประสานงานหลัก ในการขับเคลื่อนงานด้านการบริหารจัดการความเสี่ยงของ สวทช. ในช่วงก่อตั้งระบบบริหารความเสี่ยง คณะอนุกรรมการบริหารความเสี่ยงได้แต่งตั้งคณะทางานพัฒนาระบบบริหารความเสี่ยงของ สวทช. ขึ้นเพื่อทา หน้าที่พัฒนานโยบาย แผนงาน และรายงานผลการบริหารจัดการความเสี่ยงของ สวทช. ต่อคณะอนุกรรมการ บริหารความเสี่ยงอย่างสม่าเสมอ นอกจากนี้ ได้มีการจัดตั้งคณะกรรมการจัดการความเสี่ยงของสวทช. ซึ่งมี ผู้อานวยการ สวทช. เป็นประธาน รับผิดชอบในการกาหนดนโยบาย จัดการให้ความเสี่ยงต่างๆ อยู่ในวิสัย และขอบเขตที่พึงประสงค์ โดยจัดให้มีการประเมินและทบทวนความเสี่ยงด้วยความถี่ที่เหมาะสม ประมวล วิเคราะห์ความก้าวหน้าในการดาเนินงาน และจัดทารายงานการติดตามประเมินผลการบริหารความเสี่ยง รวมทั้ง ส่งเสริม สื่อสาร พัฒนาความรู้ความเข้าใจในเรื่องการบริหารความเสี่ยงให้กับบุคลากรทุกระดับ ในการดาเนินงาน เพื่อจัดให้มีระบบบริหารความเสี่ยงภายใน สวทช. ฝ่ายประเมินผลองค์กร สานักงานกลาง สวทช. ได้ศึกษาแนวทางการพัฒนา และจัดตั้งระบบบริหารความเสี่ยงขององค์กรวิจัย และพัฒนาทางด้านวิทยาศาสตร์ และเทคโนโลยี ทั้งในประเทศ และต่างประเทศที่มีลักษณะ และพันธกิจ ใกล้เคียงกับ สวทช. รวมทั้งศึกษามาตรฐานระดับสากลที่ใช้ในการบริหารความเสี่ยง ผลจากการศึกษา พบว่า
  9. 9. 2คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 มาตรฐาน ISO 31000:2009 ซึ่งเป็นมาตรฐานการบริหารความเสี่ยงสากลระดับนานาชาติ (International Organization of Standrd: ISO) มีชื่อเต็มว่า Risk Management-Guidelines on Principles and Implementation of Risk Management เป็นระบบบริหารความเสี่ยงองค์กรที่มีแนวปฏิบัติในการบริหาร ความเสี่ยงที่มีหลักการ และกรอบแนวทางการดาเนินงานที่ชัดเจน และหลายองค์กรได้ยึดถือเป็นกรอบในการ ดาเนินงานด้านการบริหารความเสี่ยงในองค์กร จึงได้เสนอต่อ กวทช. ในการประชุม ครั้งที่ 2/2554 เมื่อวันที่ 9 มีนาคม พ.ศ. 2554 ให้ สวทช. ใช้แนวทางการพัฒนา และจัดตั้งระบบบริหารความเสี่ยงตามมาตรฐาน ISO 31000:2009 ซึ่งที่ประชุม กวทช. มีมติเห็นชอบในหลักการ และแนวทางการจัดตั้งระบบบริหารความเสี่ยง ตามที่เสนอ รายละเอียดของระบบการบริหารความเสี่ยงของ สวทช. ได้ระบุไว้ในคู่มือบริหารความเสี่ยงฉบับนี้ สวทช. ได้ดาเนินการดาเนินการบริหารความเสี่ยงตามมาตรฐาน ISO 31000:2009 รอบที่ 1 ในช่วง ปีงบประมาณ 2555-2556 รอบที่ 2 ในปีงบประมาณ 2557 โดยได้จัดทาคู่มือการบริหารความเสี่ยงขึ้น เพื่อให้ ผู้ปฏิบัติใช้เป็นแนวทางในการบริหาร และจัดการความเสี่ยง ซึ่ง คู่มือฯ ดังกล่าว ได้รับการเห็นชอบจากในที่ ประชุม กวทช. ครั้งที่ 3/2557 เมื่อวันที่ 21 เมษายน พ.ศ. 2557 จากผลของการดาเนินการในรอบที่ 1และรอบที่ 2 ดังกล่าว สวทช ได้เรียนรู้ประสบการณ์ และได้ ปรับปรุงคู่มือการบริหารความเสี่ยง ให้มีความชัดเจนและครบถ้วนมากขึ้น เพื่อใช้เป็นแนวทางในการดาเนินงาน สาหรับปี 2558 ต่อไป 1.2 วัตถุประสงค์ของคู่มือการบริหารความเสี่ยง คู่มือฉบับนี้ มีวัตถุประสงค์เพื่อใช้เป็นแนวทางในการดาเนินงานการบริหารความเสี่ยงของสวทช. เพื่อให้ ผู้บริหารและพนักงานของสวทช. ในทุกระดับที่มีส่วนเกี่ยวข้องกับการบริหารและจัดการความเสี่ยงได้ใช้เป็น แนวทางปฏิบัติให้มีความสอดคล้องกันทั่วทั้งองค์กร 1.3 คาจากัดความที่สาคัญ เพื่อให้พนักงานสวทช. ทุกระดับมีความเข้าใจที่ตรงกันเกี่ยวกับการบริหารความเสี่ยงสวทช. จึงได้ กาหนดคานิยาม/คาอธิบายความหมายของคาที่เกี่ยวข้อง ไว้ดังนี้ ความเสี่ยง (Risk) ตามคาจากัดความของมาตรฐาน ISO 31000:2009 ได้ระบุว่า “effect of uncertainty on objectives” คือ ผลกระทบของความไม่แน่นอนต่อการบรรลุวัตถุประสงค์ที่ตั้งไว้ โดยผลกระทบที่ว่าอาจจะเป็นบวก ลบ หรือทั้งบวก และทั้งลบจากความคาดหมาย โดยความเสี่ยงอาจจะอธิบาย ด้วยสถานการณ์ อุบัติการณ์ เหตุการณ์ การเปลี่ยนแปลงของสถานการณ์หรือผลของเหตุการณ์ (อ้างอิงจาก มาตรฐานการบริหารความเสี่ยง ISO 31000:2009) ระบบบริหารความเสี่ยง หมายถึง ระบบการบริหารปัจจัยและควบคุมกิจกรรมทั้งกระบวนการ ดาเนินการต่างๆ โดยลดโอกาสที่จะทาให้เกิดความเสียหายหรือความล้มเหลว เพื่อให้ระดับของความเสี่ยง และผลกระทบที่จะเกิดขึ้นในอนาคตอยู่ในระดับที่สามารถรับได้ ประเมินได้ ควบคุมได้ และตรวจสอบได้อย่างมี
  10. 10. 3คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 ระบบ โดยคานึงถึงการบรรลุเป้าหมายตามภารกิจหลัก และเป้าหมายตามแผนปฏิบัติราชการ ประจาปี งบประมาณของส่วนราชการเป็นสาคัญ (อ้างอิงจากแนวทางการจัดทาระบบบริหาความเสี่ยง : สานักงาน กพร.) การบริหารความเสี่ยง หมายถึง กระบวนการที่เป็นระบบในการบริหารปัจจัยและควบคุมกิจกรรม รวมทั้งกระบวนการการดาเนินการต่างๆ เพื่อลดมูลเหตุของโอกาสที่จะทาให้เกิดความเสียหายจากการดาเนินการ ที่ไม่เป็นไปตามแผน เพื่อให้ระดับของความเสี่ยงและผลกระทบที่จะเกิดขึ้นในอนาคตอยู่ในระดับที่สามารถ ยอมรับได้ ควบคุมได้ และตรวจสอบได้อย่างเป็นระบบ โดยในการดาเนินการบริหารความเสี่ยงนั้น มุ่งเน้น แผนงาน/โครงการที่สาคัญ ซึ่งผลสาเร็จของแผนงาน/โครงการมีผลกระทบสูงต่อการบรรลุความสาเร็จตาม ประเด็นยุทธศาสตร์ (อ้างอิงจาก การดาเนินการบริหารจัดการความเสี่ยงตามเกณฑ์คุณภาพการบริหารจัดการ ภาครัฐระดับพื้นฐาน: สานักงาน กพร.) ปัจจัยความเสี่ยง (Risk Factor) คือ สาเหตุที่ทา ให้เกิดความเสี่ยง ที่จะทา ให้ไม่บรรลุวัตถุประสงค์ที่ กาหนดไว้ ซึ่งสาเหตุนั้นอาจมาจากปัจจัยภายใน และภายนอกองค์กร โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิด ที่ไหน เมื่อใด เกิดขึ้นได้อย่างไร และทาไม การประเมินความเสี่ยง (Risk Assessment) คือ กระบวนการระบุรายการหรือประเด็นความเสี่ยง วิเคราะห์หาเหตุการณ์หรือปัจจัยที่อาจนามาซึ่งอุปสรรคของการบรรลุผลตามวัตถุประสงค์ของแผนกลยุทธ์ของ แต่ละความเสี่ยงแต่ละรายการ และจัดลาดับความเสี่ยง โดยการประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact) หรือขนาดความรุนแรงของความเสียหายที่จะเกิดขึ้นหากเกิดเหตุการณ์ความเสี่ยงนั้นๆ การบริหารความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management) หมายถึง การบริหารปัจจัย และการควบคุมกิจกรรม รวมทั้งการดาเนินงานด้านต่างๆ เพื่อลดมูลเหตุของแต่ละโอกาสที่องค์กรจะเกิดความ เสียหาย ให้ระดับของความเสี่ยง และผลกระทบที่จะเกิดขึ้นในอนาคตอยู่ในระดับที่องค์กรยอมรับได้ ประเมินได้ ควบคุมได้ และตรวจสอบได้อย่างมีระบบ โดยคานึงถึงการบรรลุเป้าหมาย ทั้งในด้านกลยุทธ์ กระบวนการ ดาเนินงาน การเงิน และทางด้านการปฏิบัติตามกฎระเบียบ โดยได้รับการสนับสนุนและการมีส่วนร่วมในการ บริหารความเสี่ยงจากหน่วยงานทุกระดับทั่วทั้งองค์กร การควบคุม (Control) หมายถึงนโยบาย แนวทาง หรือขั้นตอนปฏิบัติต่างๆ ซึ่งกระทาเพื่อลดความ เสี่ยงและทาให้การดาเนินงานบรรลุวัตถุประสงค์ 1.4 ขอบเขตการดาเนินงาน สวทช. บริหารความเสี่ยงขององค์กร โดยแบ่งแผนและแนวทางการบริหารเป็น 3 ระดับ ประกอบด้วย 1) ระดับองค์กร (Enterprise Risk Management) 2) ระดับศูนย์แห่งชาติ/หน่วยงานหลัก (Strategic Business Unit และ 3) ระดับโปรแกรม/กระบวนการหลัก (Major Program and Project) โดยทุกระดับดาเนินการตาม กรอบกระบวนการบริหารความเสี่ยงของ สวทช. เหมือนกัน แต่จะมีขอบเขตการดาเนินงานที่แตกต่างกันตาม บทบาทหน้าที่ โดยมีรายละเอียด ดังนี้
  11. 11. 4คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 ERM SBU MPP SBU 1 SBU 2 SBU 3 SBU 4 SBU 5 SBU 6 แผนภาพที่ 1.1 ขอบเขตการดาเนินงานบริหารความเสี่ยงของสวทช. 3 ระดับ ระดับองค์กร (Enterprise Risk Management: ERM) การบริหารความเสี่ยงในระดับนี้เป็นการ ดาเนินงานทั่วทั้งองค์กร โดยมีคณะกรรมการจัดการความเสี่ยงของสวทช. ซึ่งผู้อานวยการสวทช. เป็นประธาน และมีรองผู้อานวยการสานักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (รอง ผพว.) ผู้อานวยการศูนย์ เทคโนโลยีโลหะและวัสดุแห่งชาติ (ผศว.) ผู้อานวยการศูนย์พันธุวิศวกรรมและเทคโนโลยีชีวภาพแห่งชาติ (ผศช.) ผู้อานวยการศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (ผศอ.) ผู้อานวยการศูนย์นาโนเทคโนโลยี แห่งชาติ (ผศน.) ผู้อานวยการศูนย์บริหารจัดการเทคโนโลยี (ผศจ.) เป็นกรรมการ โดยคณะกรรมการฯ ชุดนี้ทาหน้าที่เป็นผู้ดูแลรับผิดชอบบริหารจัดการความเสี่ยง ระดับองค์กร จัดการ ให้ความเสี่ยงต่างๆ อยู่ในวิสัยและขอบเขตที่พึงประสงค์ โดยจัดให้มีการทบทวนและประเมินความเสี่ยงด้วย ความถี่ที่เหมาะสม ประมวลวิเคราะห์ความก้าวหน้าในการดาเนินงานและจัดทารายงานการติดตามประเมินผล การบริหารความเสี่ยง รวมทั้งส่งเสริม สื่อสาร พัฒนาความรู้ความเข้าใจในเรื่องการบริหารความเสี่ยงให้กับ บุคลากรทุกระดับ ระดับศูนย์แห่งชาติ/หน่วยงานหลัก (Strategic Business Unit: SBU) การบริหารความเสี่ยงใน ระดับนี้เป็นบทบาทของศูนย์แห่งชาติ/หน่วยงานหลักซึ่งตามโครงสร้างการบริหารงานของสวทช. ประกอบด้วย สานักงานกลาง 1 หน่วย และศูนย์ 5 ศูนย์ จึงกาหนดขอบเขตการดาเนินงานบริหารความเสี่ยงระดับนี้เป็น 6 SBU ประกอบด้วย 1) SBU-1 สานักงานกลาง 2) SBU-2 ศูนย์พันธุวิศวกรรมและเทคโนโลยีชีวภาพแห่งชาติ (ศช.) 3) SBU-3 ศูนย์เทคโนโลยีโลหะและวัสดุแห่งชาติ (ศว.) 4) SBU- 4 ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และ คอมพิวเตอร์แห่งชาติ (ศอ.) 5) SBU-5 ศูนย์บริหารจัดการเทคโนโลยี (ศจ.) 6) SBU-6 ศูนย์นาโนเทคโนโลยี แห่งชาติ (ศน.) โดยแต่ละ SBU จะมีการแต่งตั้งคณะกรรมการจัดการความเสี่ยงของ SBU มีรองผู้อานวยการสานักงาน พัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (รอง ผพว.) และผู้อานวยการศูนย์ฯ เป็นประธาน โดยคณะกรรมการฯ ทาหน้าที่เป็นผู้ดูแลรับผิดชอบบริหารจัดการความเสี่ยง ระดับ SBU ตามกรอบกระบวนการ บริหารความเสี่ยงของ สวทช.
  12. 12. 5คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 ระดับโปรแกรมหลัก/กระบวนการ (Major Program And Project: MPP) การบริหารความเสี่ยงใน ระดับ MPP จะดาเนินการเฉพาะโปรแกรมขนาดใหญ่ที่มีความสาคัญมาก เช่น การบริหารจัดการคลัสเตอร์ โปรแกรมพัฒนากาลังคนและสร้างความตระหนักด้าน ว และ ท ฯลฯ โดยการกากับดูแลการบริหารความเสี่ยง ระดับนี้ดาเนินการโดยคณะกรรมการจัดการความเสี่ยงของระดับ SBU เช่นเดียวกับระดับศูนย์แห่งชาติ/ หน่วยงานหลัก คณะกรรมการฯ ชุดนี้จะทาหน้าที่คัดเลือกและกาหนดโปรแกรม/กระบวนการหลักมาดาเนินการ ทบทวน ประเมินและวิเคราะห์บริหารจัดการความเสี่ยงตามกรอบกระบวนการบริหารความเสี่ยงของ สวทช. 1.5 กรอบการบริหารความเสี่ยงตามมาตรฐาน ISO 31000:2009 สวทช. กาหนดกรอบการบริหารความเสี่ยงตามมาตรฐาน ISO 31000:2009 ดังแผนภาพที่ 1.2 แผนภาพที่1.2 กรอบดาเนินการบริหารความเสี่ยง (อ้างอิงจากเอกสาร ISO 31000:2009) จากแผนภาพที่ 1.2 แสดงความสัมพันธ์ระหว่างองค์ประกอบของการบริหารความเสี่ยง ซึ่งแนวทางการ บริหารความเสี่ยงของมาตรฐาน ISO 31000:2009 แบ่งออกเป็น 3 ส่วนหลักๆ ประกอบด้วย หลักการพื้นฐานใน การบริหารความเสี่ยง (Principles) กรอบการบริหารความเสี่ยง (Framework) และกระบวนการในการบริหาร ความเสี่ยง (Process) เพื่อให้คู่มือฉบับนี้เป็นประโยชน์ต่อการพัฒนาและจัดทาระบบบริหารความเสี่ยงระดับ องค์กร สวทช./ศูนย์แห่งชาติ/ฝ่าย/หน่วยวิจัย/ห้องปฏิบัติการ รวมทั้งโปรแกรมและกระบวนการหลัก การอธิบาย a) Creates value b) Integral part of organizational processes c) Part of decision making d) Explicitly addresses uncertainty e) Systematic, structured and timely f) Based on the best available information g) Tailored h) Takes human and cultural factors into account i) Transparent and inclusive j) Dynamic. Iterative and responsive to change k) Facilitates continual improvement of the organization Framework Clause 4 Mandate and commitment (4.2) Design of framework for managing risk (4.3) Implementing risk management (4.4) Continual improvement of the framework (4.6) Monitoring and review of the framework (4.5) Establishing the context (5.3) Risk identification (5.4.2) Risk assessment (5.4) Risk analysis (5.4.3) Risk evaluation (5.4.4) Risk treatment (5.5) Communicationandconsultation(5.2) Monitoringandreview(5.6) Process Clause 5 Principles Clause 3 a) Creates value b) Integral part of organizational processes c) Part of decision making d) Explicitly addresses uncertainty e) Systematic, structured and timely f) Based on the best available information g) Tailored h) Takes human and cultural factors into account i) Transparent and inclusive j) Dynamic. Iterative and responsive to change k) Facilitates continual improvement of the organization Framework Clause 4 Mandate and commitment (4.2) Design of framework for managing risk (4.3) Implementing risk management (4.4) Continual improvement of the framework (4.6) Monitoring and review of the framework (4.5) Mandate and commitment (4.2) Design of framework for managing risk (4.3) Implementing risk management (4.4) Continual improvement of the framework (4.6) Monitoring and review of the framework (4.5) Establishing the context (5.3) Risk identification (5.4.2) Risk assessment (5.4) Risk analysis (5.4.3) Risk evaluation (5.4.4) Risk treatment (5.5) Communicationandconsultation(5.2) Monitoringandreview(5.6) Process Clause 5 Principles Clause 3
  13. 13. 6คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 เนื้อหาในส่วนต่อไป จะระบุสาระสาคัญของสิ่งที่ต้องดาเนินการตามกรอบการบริหารความเสี่ยงตามมาตรฐาน ISO 31000:2009 ทั้งนี้เพื่อเป็นแนวทางในการพัฒนาและจัดทาระบบบริหารความเสี่ยงในระดับต่างๆ ต่อไป สวทช. นาหลักการพื้นฐานในการบริหารความเสี่ยง (Principles) มาใช้และกาหนดกรอบการบริหาร ความเสี่ยง (Framework for Managing Risk) ตามมาตรฐานการบริหารความเสี่ยงสากล ISO 31000:2009 ซึ่งแบ่งออกเป็น 4 ส่วน โดยขับเคลื่อนผ่านวงจร PDCA ประกอบด้วย 1. การวางแผน (Plan) 2. การลงมือทา (Do) 3. การตรวจสอบ (Check) 4. การปรับปรุงแก้ไข (Act) โดยมีสาระสาคัญของสิ่งที่ต้องดาเนินการตาม มาตรฐาน ISO 31000:2009 ในแต่ละหัวข้อ ดังนี้ แผนภาพที่ 1.3 Framework การบริหารจัดการความเสี่ยง (อ้างอิงจากเอกสาร ISO 31000:2009) ความมุ่งมั่นของผู้บริหาร (Mandate and Commitment) สาระสาคัญ : ในการบริหารความเสี่ยงอย่างมีประสิทธิผลต้องการความมุ่งมั่นและการสนับสนุนจาก ผู้บริหารระดับสูงขององค์กร โดยสิ่งที่ผู้บริหารจะต้องให้ความสาคัญ ประกอบด้วย  ประกาศ และให้การรับรองต่อนโยบายการบริหารความเสี่ยง (Risk Management Policy)  สื่อสารถึงประโยชน์ที่จะได้จากการบริหารความเสี่ยงไปยังผู้มีส่วนได้ส่วนเสียทั้งหมด  กาหนดบทบาทและหน้าที่ความรับผิดชอบ (Accountability) ที่เหมาะสม  กาหนดดัชนีวัดผลการดาเนินงานบริหารความเสี่ยง ที่สอดคล้องกับผลการดาเนินงาน  ดูแลให้วัตถุประสงค์การบริหารความเสี่ยงสอดคล้องกันกับวัตถุประสงค์และกลยุทธ์ขององค์กร Framework Mandate and commitment (4.2) Design of framework for managing risk (4.3) Implementing risk management (4.4) Continual improvement of the framework (4.6) Monitoring and review of the framework (4.5) (Plan) (Do) (Check) (Act) Framework Mandate and commitment (4.2) Design of framework for managing risk (4.3) Implementing risk management (4.4) Continual improvement of the framework (4.6) Monitoring and review of the framework (4.5) (Plan) (Do) (Check) (Act)
  14. 14. 7คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557  ดูแลความสอดคล้องตามข้อกฎหมาย และระเบียบข้อบังคับ  ดูแลให้มีการจัดสรรทรัพยากรที่จาเป็นเพื่อการบริหารความเสี่ยงอย่างเพียงพอ  ดูแลความเหมาะสมของกรอบการบริหารความเสี่ยงอย่างต่อเนื่อง  ติดตามการดาเนินงานตามแผนการบริหารความเสี่ยงขององค์กรอย่างต่อเนื่อง การออกแบบกรอบเพื่อการบริหารความเสี่ยง (Design of Framework for Managing Risk) สาระสาคัญ : ในขั้นตอนของการวางแผน (Plan) หรือการออกแบบกรอบการบริหารความเสี่ยงของ องค์กรจะต้องเริ่มจากการทาความเข้าใจในสภาพแวดล้อมทั้งภายในและภายนอกขององค์กร การกาหนด นโยบายการบริหารความเสี่ยง การบูรณาการระบบบริหารความเสี่ยงเข้ากับกระบวนการขององค์การ การ กาหนดหน้าที่ความรับผิดชอบ การกาหนดกลไกในการสื่อสารและรายงานภายในและภายนอกองค์กร การทาความเข้าใจในสภาพแวดล้อมทั้งภายในและภายนอกขององค์กร มีสาระสาคัญของสิ่งที่ต้อง ดาเนินการตามแนวทางมาตรฐาน ISO 31000:2009 ดังนี้ สภาพแวดล้อมภายนอกขององค์กรที่ต้องได้รับการพิจารณา ประกอบด้วย  วัฒนธรรม การเมือง กฎหมาย ข้อบังคับ การเงิน เศรษฐกิจ และสภาพแวดล้อมในการแข่งขัน ทั้งในระดับประเทศ และระดับภูมิภาค  ปัจจัยขับเคลื่อนที่สาคัญ และแนวโน้มที่ส่งผลกระทบต่อวัตถุประสงค์ขององค์กร การรับรู้ และการให้ความสาคัญของผู้มีส่วนได้ส่วนเสียภายนอกองค์กร สภาพแวดล้อมภายในองค์กรที่ต้องได้รับการพิจารณา ประกอบด้วย  โครงสร้าง เช่น การควบคุม บทบาทหน้าที่ และความรับผิดชอบ  ขีดความสามารถ ความเข้าใจในรูปของทรัพยากรและความรู้ เช่น งบประมาณ บุคลากร ความสามารถ กระบวนการทางาน และเทคโนโลยี  การไหลของข้อมูล และกระบวนการตัดสินใจ  ผู้มีส่วนได้เสียภายในองค์กร  นโยบาย วัตถุประสงค์ และกลยุทธ์ เพื่อให้ประสบความสาเร็จ  การรับรู้ การให้ความสาคัญ และวัฒนธรรมองค์กร  มาตรฐาน หรือรูปแบบที่ใช้ในการอ้างอิง
  15. 15. 8คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 การดาเนินการบริหารความเสี่ยง (Implementing Risk Management) สาระสาคัญ : ในขั้นตอนของการดาเนินการ (Do) การบริหารความเสี่ยง องค์กรจะต้อง  กาหนดช่วงเวลาและกลยุทธ์ที่เหมาะสมสาหรับการดาเนินการตามกรอบการบริหารความเสี่ยง  กาหนดนโยบายและนากระบวนการบริหารความเสี่ยงมาใช้กับกระบวนการต่างๆ ขององค์กร  ดาเนินการให้สอดคล้องกับข้อกฎหมาย และระเบียบข้อบังคับต่างๆ  จัดทาเอกสารอธิบายถึงการตัดสินใจ รวมถึงการจัดทาวัตถุประสงค์  จัดให้มีข้อมูลสารสนเทศ และการฝึกอบรม  สื่อสารและให้คาปรึกษากับผู้มีส่วนได้เสีย เพื่อให้มั่นใจว่ากระบวนการบริหารความเสี่ยงต่างๆ ได้รับ การนาไปปฏิบัติในทุกระดับและหน้าที่งานที่เกี่ยวข้องในองค์กร โดยเป็นส่วนหนึ่งของการปฎิบัติงานขององค์กร และกระบวนการทางธุรกิจ การติดตามและรายงานผล (Monitoring and Review of the Framework) สาระสาคัญ : ในการติดตามและการทบทวนกรอบการบริหาร ซึ่งตรงกับขั้นตอนการตรวจสอบ (Check) สิ่งที่ต้องดาเนินการเพื่อให้ระบบบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิผลอย่างต่อเนื่อง องค์กร จะต้องดาเนินการ ดังนี้  กาหนดการวัดผลการดาเนินงาน  ทาการวัดความก้าวหน้าเทียบกับแผนการบริหารความเสี่ยงเป็นระยะๆ  ทาการทบทวนถึงกรอบการบริหารความเสี่ยง นโยบาย และแผนงานอย่างสม่าเสมอ  จัดทารายงานถึงความเสี่ยง ความก้าวหน้าของแผนการบริหารความเสี่ยง และการดาเนินการ สอดคล้องกับนโยบายการบริหารความเสี่ยง  ทบทวนถึงความมีประสิทธิผลของกระบวนการบริหารความเสี่ยง การปรับปรุงกรอบการบริหารงานอย่างต่อเนื่อง (Continual Improvement of the Framework) สาระสาคัญ : เมื่อองค์กรได้รับการทบทวนระบบแล้ว ผลของการทบทวนจะนาไปสู่การตัดสินใจถึง แนวทางในการปรับปรุงกรอบการบริหารความเสี่ยง นโยบาย และแผนงาน ซึ่งการตัดสินใจนี้จะช่วยในการ ปรับปรุงการบริหารความเสี่ยง และวัฒนธรรมการบริหารงานขององค์กร รวมถึงช่วยปรัปปรุงความคล่องตัว การควบคุม และความรับผิดชอบที่มีต่อเป้าหมายองค์กรด้วย
  16. 16. 9คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 1.6 กระบวนการบริหารความเสี่ยง (Process) สาหรับกระบวนการในการบริหารความเสี่ยง (Process) ตามมาตรฐาน ISO 31000:2009 มีขั้นตอนที่ สาคัญของการบริหารความเสี่ยง ดังนี้ 1. การสื่อสารและการให้คาปรึกษา (Communication and Consultation) 2. การกาหนดวัตถุประสงค์ ขอบเขตและสภาพแวดล้อม (Establish the Context) 3. การประเมินความเสี่ยง (Risk Assessment) 3.1 การระบุความเสี่ยง (Risk Identification) 3.2 การวิเคราะห์ความเสี่ยง (Risk Analysis) 3.3 การประเมินความเสี่ยง (Risk Evaluation) 4. การจัดการความเสี่ยง (Risk Treatment) 5. การติดตามตรวจสอบและการทบทวนความเสี่ยง (Monitoring and Review) แผนภาพที่ 1.4 Process การบริหารความเสี่ยง (อ้างอิงจากเอกสาร ISO 31000:2009) ขั้นตอนที่ 1 การสื่อสารและการให้คาปรึกษา (Communication and Consultation) สาระสาคัญ : การสื่อสารเกี่ยวกับการบริหารความเสี่ยงเป็นการบอกกล่าวให้แก่ผู้ที่มีส่วนเกี่ยวข้อง ทั้งภายใน และภายนอกองค์กร รวมถึงการให้คาแนะนาเกี่ยวกับขั้นตอน และการบริหารความเสี่ยง เพื่อให้เกิด ความเข้าใจในการตัดสินใจดาเนินการบริหารความเสี่ยง ทราบถึงความจาเป็น ขอบเขตการดาเนินงาน โดยมีการ สื่อสารแลกเปลี่ยนข้อมูลระหว่างผู้ที่เกี่ยวข้องเพื่อให้เกิดความเข้าใจในแนวคิด หลักการและวิธีปฏิบัติที่ตรงกัน ตลอดจนสามารถวิเคราะห์และจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ Establishing the context (5.3) Risk identification (5.4.2) Risk analysis (5.4.3) Risk evaluation (5.4.4) Risk treatment (5.5) Communicationandconsultation(5.2) Monitoringandreview(5.6) Process Risk assessment (5.4) Establishing the context (5.3) Risk identification (5.4.2) Risk analysis (5.4.3) Risk evaluation (5.4.4) Risk treatment (5.5) Communicationandconsultation(5.2) Monitoringandreview(5.6) Process Risk assessment (5.4)
  17. 17. 10คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 ขั้นตอนที่ 2 การกาหนดสภาพแวดล้อม (Establish the Context) สาระสาคัญ : การกาหนดสภาพแวดล้อมขององค์กร เป็นการระบุสภาพแวดล้อมทั้งภายนอกและภายใน ขององค์กรที่มีความสัมพันธ์และเกี่ยวข้องกับองค์กร ทาให้เกิดผลกระทบต่อองค์กร จึงนาไปสู่กระบวนการบริหาร ความเสี่ยง การกาหนดสภาพแวดล้อมภายนอก หมายถึง องค์ประกอบต่างๆ ที่อยู่ภายนอกองค์กรที่มีอิทธิพลต่อ ความสาเร็จในวัตถุประสงค์ขององค์กร ซึ่งการทาความเข้าใจในสภาพแวดล้อมภายนอกองค์กรจะช่วยสร้างความ มั่นใจได้ว่าผู้มีส่วนได้ส่วนเสียขององค์กร รวมถึงวัตถุประสงค์ของผู้ที่มีส่วนได้ส่วนเสียนั้นๆ ได้รับการนามา พิจารณาเพื่อกาหนดเกณฑ์ความเสี่ยง สภาพแวดล้อมภายนอกองค์กร ประกอบด้วยเศรษฐกิจ การเมือง วัฒนธรรม กฎหมาย ข้อบังคับ การเงิน สภาพแวดล้อมในการแข่งขันทั้งภายในประเทศและต่างประเทศ รวมถึง การยอมรับของผู้มีส่วนได้ส่วนเสียภายนอก การกาหนดสภาพแวดล้อมภายใน หมายถึง สิ่งที่อยู่ภายในองค์กรซึ่งมีอิทธิพลต่อความสาเร็จของ วัตถุประสงค์ขององค์กร โดยกระบวนการบริหารความเสี่ยง จะต้องสอดคล้องในทิศทางเดียวกันกับวัฒนธรรม กระบวนการ และโครงสร้างขององค์กร โดยสภาพแวดล้อมภายในองค์กรประกอบด้วย นโยบาย วัตถุประสงค์ วิสัยทัศน์ พันธกิจ และกลยุทธ์ที่จะต้องประสบความสาเร็จ ขีดความสามารถขององค์กรในรูปของทรัพยากร ความรู้ ความสามารถ ระบบสารสนเทศ ผู้มีส่วนได้ส่วนเสียภายในองค์กร วัฒนธรรมองค์กร โครงสร้าง ระบบการ จัดการบทบาทหน้าที่ และความรับผิดชอบ ขั้นตอนที่ 3 การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยงประกอบด้วยกระบวนการหลัก 3 กระบวนการ ดังต่อไปนี้ 3.1 การระบุความเสี่ยง (Risk Identification) สาระสาคัญ : องค์กรจะต้องทาการระบุถึงแหล่งที่มาของความเสี่ยง และระบุปัจจัยเสี่ยง ตลอดจนพื้นที่ ที่ได้รับผลกระทบ เหตุการณ์ และสาเหตุรวมถึงผลที่จะตามมา เป้าหมายของขั้นตอนนี้จะเป็นการจัดทารายการ ความเสี่ยง จากเหตุการณ์ที่อาจทาให้ความสาเร็จของวัตถุประสงค์เปลี่ยนแปลงไป เช่น เกิดความล้มเหลวหรือลด ระดับความสาเร็จลง หรือทาให้ความสาเร็จเกิดการล่าช้า 3.2 การวิเคราะห์ความเสี่ยง (Risk Analysis) สาระสาคัญ : การวิเคราะห์ความเสี่ยงจะเป็นข้อมูลเพื่อใช้ในการประเมินความเสี่ยง และการตัดสินใจใน การจัดการกับความเสี่ยง โดยการพิจารณาถึงผลกระทบ (Impact) และโอกาสในการเกิด (Likelihood) ความ
  18. 18. 11คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 เสี่ยง การวิเคราะห์อาจจะเป็นได้ทั้งการวิเคราะห์เชิงคุณภาพ (Qualitative) กึ่งปริมาณ (Semi-quantitative) หรือเชิงปริมาณ (Quantitative) หรือผสมผสานกันไป 3.3 การประเมินความเสี่ยง (Risk Evaluation) สาระสาคัญ : เป้าหมายของการประเมินความเสี่ยงจะบ่งบอกถึงระดับความสาคัญ (Degree of risk) ของความเสี่ยง ซึ่งเป็นสถานะของความเสี่ยงที่ได้จากการวิเคราะห์ผลกระทบและโอกาสของแต่ละปัยจัยเสี่ยง ซึ่งแบ่งเป็นระดับ เช่น สูง ปานกลาง ต่า องค์กรจะเป็นผู้พิจารณาระดับความสาคัญของความเสี่ยงเพื่อนามา ดาเนินการจัดการความเสี่ยง ขั้นตอนที่ 4 การจัดการความเสี่ยง (Risk Treatment) สาระสาคัญ : แนวทางในการจัดการความเสี่ยง ประกอบด้วย  การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) การหลีกเลี่ยงความเสี่ยงเป็นการเลี่ยงกิจกรรมที่เป็น สาเหตุนามาซึ่งความเสี่ยง โดยการตัดสินใจที่จะไม่เริ่มต้น หรือดาเนินการต่อในกิจกรรมที่เกิดความเสี่ยงขึ้น ซึ่งจะ มีผลกระทบต่อองค์กร เช่น การหยุดดาเนินการ การยกเลิกโครงการ หรือการมอบให้ผู้บริการภายนอกเป็น ผู้ดาเนินการแทน  การลดความเสี่ยง (Risk Reduction) เป็นการลดความถี่หรือโอกาสที่จะเกิด (Likelihood) ความ เสี่ยง หรือการลดผลกระทบ (Impact) หรือความเสียหายที่จะเกิดขึ้น โดยการควบคุมภายใน หรือปรับปรุง เปลี่ยนแปลงการดาเนินงานเพื่อช่วยลดโอกาสที่จะเกิดความเสียหาย ลดความเสียหายหรือทั้งสองอย่าง เช่น การ ฝึกอบรมให้กับพนักงาน การจัดทาคู่มือการปฏิบัติงาน การจัดทาแผนสารองเพื่อรับมือไว้ล่วงหน้าก่อนที่ความ สูญเสียจะเกิดขึ้นจริง ซึ่งจะช่วยให้เกิดการตระหนักถึงความเสี่ยงและช่วยให้ลดระดับความรุนแรงของความ สูญเสียลง  การแบ่งปันความเสี่ยง (Risk Sharing) เป็นการกระจายหรือถ่ายโอนความเสี่ยงให้หน่วยงานอื่นทั้ง ภายในและภายนอกองค์กร เพื่อช่วยลดโอกาสที่จะเกิดความเสี่ยงหรือระดับความรุนแรงของความเสียหายจาก ความเสี่ยงหนึ่งๆ ตัวอย่างเช่น การทาประกันภัยในรูปแบบต่างๆ การจัดหาผู้เชี่ยวชาญจากบุคคลภายนอกมา ดาเนินการแทนในกรณีที่บุคลากรภายนอก มีทักษะหรือความชานาญมากกว่า เป็นต้น  การยอมรับความเสี่ยง (Risk Acceptance) เป็นความเสี่ยงที่หน่วยงานสามารถยอมรับได้ เนื่อง จากเป็นภารกิจหลักของหน่วยงานที่ต้องปฏิบัติ หรือความเสี่ยงนั้นมีโอกาสเกิดขึ้นน้อยและผลกระทบจากความ เสี่ยงไม่มาก
  19. 19. 12คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557  ต้นทุนในการจัดการความเสี่ยง การจัดการความเสี่ยงจะต้องเปรียบเทียบต้นทุนค่าใช้จ่ายในการ จัดการกับผลที่คาดว่าจะได้รับว่าคุ้มค่าหรือไม่ ทั้งนี้ต้นทุนค่าใช้จ่ายในการจัดการความเสี่ยงต้องไม่สูงกว่าผลที่จะ ได้รับ ขั้นตอนที่ 5 การติดตามตรวจสอบและการทบทวนความเสี่ยง (Monitor and Review) สาระสาคัญ : องค์กรจะต้องจัดให้มีการเฝ้าติดตามตรวจสอบและทบทวนไว้เป็นหนึ่งในกระบวนการ บริหารความเสี่ยง โดยจะต้องมีการกาหนดผู้รับผิดชอบและกรอบเวลาในการดาเนินการไว้อย่างชัดเจน ทั้งนี้การ เฝ้าติดตามตรวจสอบและทบทวน จะต้องครอบคลุมในทุกๆ ส่วนของกระบวนการบริหารความเสี่ยง
  20. 20. 13คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 บทที่ 2 ระบบบริหารความเสี่ยงของ สวทช. 2.1 นโยบาย วัตถุประสงค์การบริหารความเสี่ยง สวทช. นโยบายบริหารจัดการความเสี่ยงของ สวทช. ซึ่งผ่านความเห็นชอบจากคณะอนุกรรมการบริหารความ เสี่ยง และ กวทช. พร้อมกับจัดทาเป็นประกาศของ สวทช. ในวันที่ 31 ตุลาคม พ.ศ. 2554 มีเนื้อหาดังต่อไปนี้ 1. สานักงานฯ จะใช้กรอบแนวทางการบริหารความเสี่ยงตามมาตรฐาน ISO 31000:2009 โดยการ ดาเนินงานบริหารความเสี่ยงจะต้องดาเนินการในทุกระดับ ตั้งแต่ระดับสานักงานฯ ศูนย์แห่งชาติ ฝ่าย/หน่วยวิจัย ห้องปฏิบัติการ รวมทั้งโปรแกรมและกระบวนการหลัก โดยครอบคลุมทั้งความเสี่ยง ที่เกิดจากปัจจัยภายในและภายนอกองค์กร เพื่อให้สานักงานสามารถดาเนินงานตามวัตถุประสงค์ได้ อย่างมีประสิทธิภาพและเกิดประสิทธิผล 2. สานักงานฯ จะจัดให้มีระบบและกระบวนการบริหารความเสี่ยง โดยจะมีคู่มือการดาเนินงาน และ ตัวอย่างในการวิเคราะห์ และการบริหารจัดการความเสี่ยง เผยแพร่ให้ทุกหน่วยงานได้รับทราบและ ปฏิบัติในแนวทางเดียวกัน โดยให้นาระบบบริหารความเสี่ยงไปปฏิบัติเป็นส่วนหนึ่งของการ ดาเนินงานตามภารกิจปกติจนเกิดเป็นวัฒนธรรมองค์กรในที่สุด 3. สานักงานฯ จะจัดตั้งคณะกรรมการจัดการความเสี่ยงของสานักงานฯ เป็นผู้ดูแลรับผิดชอบจัดการ ความเสี่ยง ป้องกันและแก้ไขข้อขัดแย้งที่อาจเกิดจากความเสี่ยงเหล่านั้น รวมถึงจัดให้มีการประเมิน ทบทวนความเสี่ยงด้วยความถี่ที่เหมาะสมและตามความจาเป็น โดยมีฝ่ายประเมินผลองค์กร สานักงานกลาง ทาหน้าที่เป็นฝ่ายเลขานุการของคณะกรรมการจัดการความเสี่ยงของสานักงานฯ และเป็นหน่วยงานประสานงานกลางในเรื่องการบริหารความเสี่ยงของสานักงานฯ 4. คณะกรรมการจัดการความเสี่ยงของสานักงานฯ จะประมวลวิเคราะห์ความก้าวหน้าในการ ดาเนินงานและจัดทารายงานการติดตามประเมินผลการบริหารความเสี่ยง นาเสนอต่อ คณะอนุกรรมการบริหารความเสี่ยงของสานักงานฯ และคณะกรรมการพัฒนาวิทยาศาสตร์และ เทคโนโลยีแห่งชาติ ตามลาดับในทุก 6 เดือน เพื่อทราบและ/หรือพิจารณาทบทวนและปรับปรุง แผนการบริหารความเสี่ยงตามความเหมาะสม 5. ให้มีการนาเทคโนโลยีสารสนเทศมาใช้ในการบริหารจัดการความเสี่ยงอย่างเหมาะสม เพื่อให้ สามารถดาเนินงานได้อย่างมีประสิทธิภาพ และเอกภาพ 6. สานักงานฯ จะจัดสรรทรัพยากรอย่างเพียงพอ เพื่อบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ พร้อมทั้งส่งเสริม สื่อสาร พัฒนาความรู้ความเข้าใจในเรื่องการบริหารความเสี่ยงให้กับบุคลากรทุก ระดับ และเสริมสร้างความตระหนักถึงประโยชน์ในการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร (เอกสารประกาศสานักงานฯ เรื่องนโยบายบริหารจัดการความเสี่ยงของ สวทช. ปรากฏในภาคผนวก ก)
  21. 21. 14คู่มือบริหารความเสี่ยง สวทช. (version 4.0) ปรับปรุงล่าสุด วันที่ 11 พฤศจิกายน พ.ศ. 2557 2.2 ความสัมพันธ์ของการบริหารความเสี่ยงและการบริหารภายใน สวทช. จากปฎิทินการบริหารภายใน พบว่า สวทช.จะดาเนินการกระบวนการทบทวนกลยุทธ์เป็นประจาทุกปี (rolling strategic plan) เพื่อปรับเปลี่ยนกลยุทธ์ขององค์กรให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป โดยการดาเนินการดังกล่าว จะมีการทบทวนผลการดาเนินงานปีที่ผ่านมาเทียบกับแผน 5 ปี พิจารณาผล การวิเคราะห์สภาพแวดล้อมที่มีผลกระทบต่อการดาเนินงาน ทบทวนวิสัยทัศน์ แผนที่กลยุทธ์ วัตถุประสงค์ เชิงกลยุทธ์ ตัวชี้วัด และกาหนดแผนกลยุทธ์ประจาปี ดังนั้นเพื่อให้การดาเนินงานบริหารความเสี่ยงบูรณาการเข้ากับกระบวนการภายในของ สวทช. คณะกรรมการจัดการความเสี่ยง สวทช. จึงได้กาหนดปฎิทินการบริหารความเสี่ยงให้สอดคล้องกับการบริหาร ภายใน สวทช. โดยคณะกรรมการจัดการความเสี่ยงของ สวทช. จะดาเนินการทบทวนประเด็นความเสี่ยงด้วยการ วิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ตามแผนกลยุทธ์ขององค์กรควบคู่ไปกับกระบวนการ ทบทวนกลยุทธ์ประจาปี โดยกาหนดให้ดาเนินการจัดทาแผนบริหารจัดการความเสี่ยง ระดับองค์กร ระดับ SBU ให้แล้วเสร็จภายในเดือน ตุลาคม-พฤศจิกายน ทั้งนี้ เพื่อให้การดาเนินงานบริหารความเสี่ยงเป็นไปอย่างมี ประสิทธิภาพ (รายละเอียดตามแผนภาพที่ 2.1) แผนภาพที่ 2.1 ความสัมพันธ์ของการบริหารความเสี่ยงและการบริหารภายใน สวทช. /SWOT 5 IADP ERM ( ISO 31000:2009) 2. S-O-F-C) 3. Bow Tie Diagram) 4. 4*4) 5. Mitigation Action Plan) 1. SBU MPP Risk Management Process SBU Corp. - -

×