สารบัญ
ลองนึกภาพวันที่เถ้าแก่นั่งอยู่หัวโต๊ะ แล้วมีสองสาขาเดินเข้ามาขอเงินลงทุนก้อนใหญ่พร้อมกันในเช้าวันเดียว สาขาหนึ่งจะขยายไปตลาดใหม่ที่ยังไม่เคยเหยียบ อีกสาขาจะอัดโปรโมชันชนคู่แข่งให้แหลก เงินในกระเป๋ามีจำกัด ให้ได้ทางเดียว คำถามคือเถ้าแก่จะตัดสินใจยังไง
เอาตรงๆ สิ่งที่เถ้าแก่ใช้ตัดสินไม่ใช่ “ลางสังหรณ์” แต่มันคือ ภาษา ชุดหนึ่ง ภาษาที่บอกว่าความเสี่ยงก้อนไหนตั้งต้นสูงแค่ไหน ทำอะไรลงไปแล้วเหลือเท่าไหร่ องค์กรนี้ยอมรับความเสี่ยงได้แค่ไหนถึงจะยังนอนหลับ พอมีภาษากลางชุดนี้ปุ๊บ การเถียงกันในห้องประชุมมันเลิกทะเลาะกันว่า “ใครเสียงดังกว่า” กลายเป็นเทียบตัวเลขกันตรงๆ แทน
ตอนนี้ผมเลยขอปูภาษา risk ทั้งชุดในทีเดียว เพราะพอขึ้น Part 1 ของ CIA จริงๆ หัวข้อ Governance, Risk Management, and Control กินสัดส่วนใหญ่มาก แล้วคำพวกนี้มันจะโผล่ซ้ำไปทั้งเล่ม ถ้าจับภาษาไม่แม่นตั้งแต่ตอนนี้ พอไปเจอข้อสอบที่วางกับดักด้วยคำเดียว พลาดแบบไม่รู้ตัวเลยครับ
ตอนที่แล้วเราวางเส้นแบ่ง governance ให้ขาด — board สั่งและกำกับ (strategic direction กับ oversight), senior management บริหารประจำวันและเป็นเจ้าของวัฒนธรรม, risk owners ดูแลความเสี่ยงหน้างาน ส่วน internal audit แค่ประเมิน หนึ่งในของที่ management เป็นเจ้าของก็คือ “ความเสี่ยง” นี่แหละ ตอนนี้เลยขอปูภาษา risk ทั้งชุดให้แม่นก่อนไปต่อ
โครงของบท
- risk management process เดินยังไง: context มาก่อน แล้วค่อย identify → assess → respond → monitor
- inherent vs residual risk: ก่อนทำอะไร กับหลังทำแล้ว ต่างกันตรงไหน และคำว่า “actual” กับ “target” อย่าสลับ
- risk appetite / tolerance / capacity: อยากรับแค่ไหน เบี่ยงได้แค่ไหน รับได้สูงสุดแค่ไหน
- COSO ERM: ภาพใหญ่ ห้าองค์ประกอบ ห้าประเภท risk response และข้อจำกัดที่มันทำไม่ได้
- ISO 31000: สามลิสต์ที่ห้ามสลับช่อง กับ maturity model
- กติกาเหล็ก: management เป็นเจ้าของ risk, board กำกับ, internal audit function แค่ให้ความเชื่อมั่น — ผ่าน Three Lines Model
risk management คืออะไรกันแน่ (และคำนิยามที่ห้ามใส่คำ absolute)
กลับมาที่เถ้าแก่ก่อน สิ่งที่แกทำทั้งวันโดยไม่รู้เลยว่ามันมีชื่อ ก็คือการ ระบุ ประเมิน และจัดการ เรื่องที่อาจทำให้ร้านไปไม่ถึงเป้า สต็อกจะขาดไหม ลูกน้องคนสำคัญจะลาออกไหม กฎใหม่ของรัฐจะกระทบไหม พอเอาเรื่องพวกนี้มาทำเป็นกระบวนการที่มีระบบ นั่นแหละคือ risk management — กระบวนการระบุ ประเมิน จัดการ และควบคุมเหตุการณ์ที่อาจเกิด เพื่อให้เกิด การให้ความเชื่อมั่นอย่างสมเหตุสมผล (reasonable assurance) ว่าองค์กรจะไปถึงเป้าหมายได้
จุดที่ข้อสอบชอบเล่นตรงนี้มีสองจุด แล้วทั้งคู่มาจาก pattern เดียวกันเลยคือ คำที่แรงเกินจริง
จุดแรก คำนิยามต้องครบทั้งชุด คือ ระบุ ประเมิน จัดการ ขาดคำใดคำหนึ่งไปมันกลายเป็นนิยามที่ “จริงบางส่วน” ทันที ตัวเลือกหลอกชอบหยิบมาแค่ชิ้นเดียวมาล่อ เช่น “การประมาณความน่าจะเป็นและมูลค่าความสูญเสียที่คาดไว้” หรือ “การจัดพอร์ตประกันภัยให้เหมาะที่สุด” — สองอันนี้จริงนะ แต่มันเป็นแค่เศษเสี้ยว ไม่ใช่นิยามเต็ม
จุดที่สอง ระดับความเชื่อมั่นต้องเป็น reasonable เท่านั้น ถ้าตัวเลือกไหนบอกว่า risk management ให้ความเชื่อมั่นแบบ absolute (สมบูรณ์แบบ) หรือบอกว่ามันจะ “กำจัดความเสี่ยงทั้งหมด” หรือ “หลีกเลี่ยงความเสี่ยงทุกอย่างด้วยการหยุดดำเนินงาน” — ตัดทิ้งได้เลย ไม่มีระบบไหนกำจัดความเสี่ยงได้หมดหรอก และเป้าหมายมันก็ไม่ใช่การกำจัดด้วย แต่คือลดผลกระทบด้านลบพร้อมกับฉวยโอกาสด้านบวกไปด้วย
แล้วคำว่า risk เองล่ะ นิยามตาม the Standards คือ “ผลกระทบเชิงบวกหรือลบของความไม่แน่นอนที่มีต่อวัตถุประสงค์” (positive or negative effect of uncertainty on objectives) สังเกตคำว่า “เชิงบวกหรือลบ” ให้ดีนะครับ เพราะตัวเลือกหลอกชอบบีบ risk ให้เหลือแค่เรื่องร้ายอย่างเดียว หรือเหลือแค่ “ความน่าจะเป็น” ล้วนๆ ลืมไปว่ามันวัดด้วยทั้ง impact และ likelihood (ผลกระทบและโอกาสเกิด)
มุมเถ้าแก่: ถ้าแกคิดว่า risk management คือ “จ่ายเบี้ยประกันแล้วจบ” แกจะจ่ายเงินเกินจำเป็นในบางเรื่อง และปล่อยรูโหว่ในอีกหลายเรื่องที่ประกันไม่ครอบคลุม
มุมผู้ตรวจ (คนสอบ): เจอ trigger คำว่า “eliminate all”, “avoid all”, “absolute”, “reactive… หลังเกิดแล้วเท่านั้น” ในตัวเลือกไหน ให้เอ๊ะไว้ก่อน คำตอบที่ถูกมักเป็นตัวที่มีครบชุด ระบุ-ประเมิน-จัดการ + significant risks + reasonable assurance
กระบวนการเดินเป็นขั้น — และ context ต้องมาก่อน
ทีนี้พอลงมือทำจริง มันมีลำดับที่ข้อสอบชอบเอามาสลับหลอก จำง่ายๆ ว่า บริบทมาก่อนเสมอ
ขั้นแรกคือ ระบุบริบท (identification of context) ก่อนจะไปไล่หาว่ามีความเสี่ยงอะไรบ้าง ต้องรู้ก่อนว่าเรากำลังมองอยู่ในกรอบไหน กฎหมายและระเบียบ โครงการลงทุน กระบวนการธุรกิจ เทคโนโลยี หรือความเสี่ยงจากตลาด (อย่างอัตราดอกเบี้ย อัตราแลกเปลี่ยน) พวกนี้แหละคือ risk contexts ที่กำหนดขอบเขตให้การมองความเสี่ยงในขั้นถัดไป บริบทระดับทั้งองค์กรบางทีดูจิ๊บจ๊อย แต่พอลงมาที่หน่วยเล็กๆ กลับกลายเป็นเรื่องคอขาดบาดตายได้เลย
เสร็จแล้วถึงเข้าขั้น ระบุความเสี่ยง (risk identification) ทำทุกระดับตั้งแต่ระดับองค์กรลงไปถึงหน่วยธุรกิจ ต้องมองทั้งเรื่องที่เคยเกิดในอดีตและเรื่องที่อาจเกิดในอนาคต เครื่องมือที่ใช้ระบุ เช่น SWOT analysis, workshop, และ scenario analysis
ต่อด้วย ประเมินและจัดลำดับความเสี่ยง (risk assessment and prioritization) ดูความสำคัญของเหตุการณ์ ดูโอกาสเกิด แล้วเอาผลมาจัดลำดับ วิธีประเมินมีทั้งเชิงคุณภาพและเชิงปริมาณ พวก risk ranking, risk map, risk modeling อยู่ในขั้นนี้หมด
แล้วค่อย ตอบสนองความเสี่ยง (risk response) และปิดท้ายด้วย ติดตามความเสี่ยง (risk monitoring) ซึ่งเป็นขั้นสุดท้ายเสมอ
⚠️ กับดัก: ข้อสอบชอบวางกับดักตรงลำดับนี้แบบเนียนมาก แบบแรกคือสลับให้ระบุความเสี่ยงมาก่อนบริบท หรือให้ตอบสนองมาก่อนประเมิน — ผิดลำดับทั้งคู่ แบบที่สองคือถามว่า “assess ความเสี่ยงทุกตัวด้วยความน่าจะเป็นและผลกระทบแล้ว ขั้นถัดไปคืออะไร” ตัวเลือกหลอกจะกระโดดไปหา framework หรืออะไรแปลกๆ ทั้งที่คำตอบจริงคือ จัดลำดับความเสี่ยง แบบที่สามคือเอาเทคนิคมาติดป้ายผิดขั้น: risk map กับ heat map เป็น เครื่องมือประเมิน ไม่ใช่เครื่องมือระบุ ส่วน scenario analysis เป็น เครื่องมือระบุ ไม่ใช่ประเมิน
⚠️ กับดัก: อีกจุดที่ชอบถามคือ “ขั้นไหนที่ประเมินการกระทำที่ลงไปจัดการความเสี่ยงแล้ว” คำตอบคือ risk monitoring เพราะมันคือขั้นที่ย้อนดูว่าแผนตอบสนองที่ทำไปได้ผลไหม และไล่ดู residual risk ที่ยังเหลือ — จำไว้ว่า monitoring อยู่ท้ายสุด
ตั้งต้นเท่าไหร่ เหลือเท่าไหร่ — inherent vs residual
ตรงนี้คือหัวใจของ “ภาษา risk” เลย และเป็นจุดที่ข้อสอบวางกับดักด้วย คำเดียว
ลองคิดดูนะครับ ถ้าเถ้าแก่เปิดหน้าร้านขายทองโดยไม่ทำอะไรเลย ไม่มีตู้เซฟ ไม่มีกล้อง ไม่มียาม ความเสี่ยงโดนปล้นในสภาพดิบๆ แบบนี้ ก่อนที่ฝ่ายบริหารจะลงมือทำอะไร เรียกว่า inherent risk (ความเสี่ยงตั้งต้น ในสภาพที่ยังไม่มีการจัดการ)
พอเถ้าแก่ติดตู้เซฟ ติดกล้อง จ้างยาม พวกนี้คือ controls (การควบคุม การกระทำของฝ่ายบริหารเพื่อจัดการความเสี่ยงและทำให้แผนตอบสนองเกิดจริง) ทีนี้ความเสี่ยงที่ยังเหลืออยู่หลังลงมือทำไปแล้วจริงๆ เรียกว่า actual residual risk (ความเสี่ยงคงเหลือจริง)
แล้วมีอีกคำที่ข้อสอบชอบเอามาสลับ คือ target residual risk (ความเสี่ยงคงเหลือเป้าหมาย) อันนี้คือระดับที่องค์กร อยากจะให้เหลือ หลังลงมือทำ มันคือความมุ่งหวัง ไม่ใช่ของที่เหลือจริงๆ โดยหลักการแล้ว actual residual risk ควรจะเท่ากับหรือน้อยกว่า target residual risk
graph LR I["Inherent Risk<br/>(ตั้งต้น ยังไม่ทำอะไร)"] -->|"apply controls<br/>(ติดตู้เซฟ กล้อง ยาม)"| R["Actual Residual Risk<br/>(เหลือจริงหลังทำ)"] R -->|"compare<br/>(เทียบ)"| A["Risk Appetite / Tolerance<br/>(ยอมรับได้แค่ไหน)"] style I fill:#fcd34d,color:#000 style R fill:#fcd34d,color:#000 style A fill:#a5b4fc,color:#000
⚠️ กับดัก: โจทย์จะเล่าสถานการณ์ว่า “ฝ่ายบริหารลงมือทำไปแล้ว ความเสี่ยงที่ ยังเหลืออยู่ คืออะไร” แล้ววาง target residual เป็นตัวเลือกล่อ — ผิด เพราะคำว่า “เหลืออยู่จริง” ต้องตอบ actual residual ส่วน target คือความอยาก ไม่ใช่ของที่เหลือ นอกจากนี้ยังชอบเอา control risk หรือ detection risk (ศัพท์จากฝั่ง audit risk) มาแอบใส่ในโจทย์ COSO ERM ทั้งที่มันคนละชุดกัน หรือประดิษฐ์คำมั่วๆ อย่าง “responded risk”, “true risk”, “managed risk” ที่ไม่มีอยู่จริง
⚠️ กับดัก: มีมุมกลับด้วย — บางข้อถามว่า “จะประเมินว่า control ได้ผลแค่ไหน ทำยังไง” คำตอบคือวัดความเสี่ยง ก่อนมี control เทียบกับหลังมี control แล้วดูส่วนที่ลดลง ไม่ใช่ดู residual อย่างเดียวลอยๆ
มุมเถ้าแก่: ส่วนต่างระหว่าง inherent กับ residual คือ “เงินที่จ่ายไปกับตู้เซฟและยามซื้อความสบายใจมาได้เท่าไหร่” ถ้าจ่ายเยอะแต่ residual แทบไม่ลด แปลว่าทำผิดที่
มุมผู้ตรวจ (คนสอบ): ถามตัวเองทุกครั้งว่า “ฝ่ายบริหารลงมือหรือยัง และโจทย์เรียก residual ตัวไหน” — ยังไม่ทำ = inherent, ทำแล้วเหลือ = actual residual, อยากให้เหลือ = target residual
อยากรับแค่ไหน เบี่ยงได้แค่ไหน — appetite, tolerance, capacity
สามคำนี้เป็นตระกูลเดียวกันแต่ทำหน้าที่ต่างกัน แล้วข้อสอบก็ชอบเอามาสลับกันอีก
risk appetite (ระดับความเสี่ยงที่ยอมรับได้) คือ ชนิดและปริมาณ ความเสี่ยงที่องค์กรเต็มใจจะรับ เพื่อไล่ตามกลยุทธ์และเป้าหมาย — มันเป็นเรื่องกว้างๆ เชิงกลยุทธ์ เป็นตัวชี้นำการตัดสินใจระดับบน สภาเป็นคนอนุมัติ appetite แล้วฝ่ายบริหารสื่อสารต่อลงไปทั้งองค์กร
risk tolerance (ระดับความเบี่ยงเบนที่ยอมรับได้) คือ ความแปรผันที่ยอมรับได้ รอบๆ เป้าหมายเฉพาะเรื่องหนึ่ง — มันวัดได้ เป็นเรื่องปฏิบัติการ เป็น “พื้นที่ขยับ” ที่ธุรกิจย่อมมีความผันผวนตามธรรมชาติได้โดยไม่ถึงกับวิกฤต
risk capacity (ความสามารถรับความเสี่ยงสูงสุด) คือ เพดานสูงสุด ที่องค์กรจะรับไหว — และกฎเหล็กคือ appetite ต้องน้อยกว่า capacity เสมอ แทบไม่มีองค์กรไหนตั้ง appetite สูงกว่า capacity หรอกครับ เพราะนั่นแปลว่าตั้งใจจะรับเกินกำลังตัวเอง
ลองนึกภาพเป็นวงกลมซ้อนกันนะครับ วงในสุดคือ appetite (จุดที่อยากอยู่) วงกลางที่กว้างกว่าคือ tolerance (ช่วงเบี่ยงที่ยอมได้) วงนอกสุดคือ capacity (เส้นตายที่ห้ามข้าม) การดำเนินงานควรเล็งไปที่ appetite เสมอ แต่ตั้ง tolerance ให้กว้างกว่านิดหน่อยเผื่อความผันผวนปกติ ขอแค่อย่าหลุดออกนอก capacity ก็พอ
แล้วมีอีกคำที่มักมาคู่กัน คือ risk response (การตอบสนองความเสี่ยง) — การกระทำที่ดึงความเสี่ยงให้กลับเข้ามาอยู่ในกรอบ appetite ระวังอย่าเอานิยามของ response ไปตอบแทน appetite นะครับ
⚠️ กับดัก: ข้อสอบชอบอธิบาย tolerance ว่ามาจากภายนอก หรือตายตัว หรืออิงความรู้สึกล้วนๆ — ผิด tolerance ตั้งจากภายใน วัดได้ ผูกกับ appetite และชอบเอา risk capacity (เพดานที่ รับไหว) มาตอบในจุดที่โจทย์ถามถึง ความเต็มใจ ของ appetite ส่วนถ้าถามว่าจะ integrate appetite กับ tolerance ยังไงให้ดี คำตอบคือ จัดให้สอดคล้องกับเป้าหมายเชิงกลยุทธ์ ไม่ใช่ตั้งจากข้อมูลอดีตอย่างเดียวหรือ benchmark ภายนอกอย่างเดียว
มุมเถ้าแก่: กลับไปที่สองสาขาที่ขอเงินตอนต้น — เครื่องมือที่เถ้าแก่ใช้ตัดสินว่า “รับความเสี่ยงก้อนนี้ไหวไหม” ก็คือ appetite กับ tolerance นี่แหละ ถ้าการขยายไปตลาดใหม่มันดันความเสี่ยงหลุดออกนอก tolerance เมื่อไหร่ แปลว่าเกินที่ยอมรับได้แล้ว ต้องคิดใหม่
COSO ERM — ภาพใหญ่ ห้าองค์ประกอบ และสิ่งที่มันทำไม่ได้
COSO ERM (ชื่อเต็ม Enterprise Risk Management – Integrating with Strategy and Performance) เป็น framework ที่เอา risk management ไปผูกกับกลยุทธ์และผลการดำเนินงานขององค์กร ทำให้เห็นภาพความเสี่ยงทั่วทั้งองค์กรในภาพเดียว มันไม่ได้มาแทน internal control framework นะครับ แต่มาเสริมและดึงบางแนวคิดของ internal control มาใช้
นิยามของ ERM คือ “culture, capabilities, และ practices” ที่บูรณาการเข้ากับการตั้งกลยุทธ์และผลการดำเนินงาน เพื่อบริหารความเสี่ยงในการสร้าง รักษา และทำให้เกิดมูลค่า — จำคำสามคำนี้ไว้ให้ดี เพราะ…
⚠️ กับดัก: ข้อสอบชอบเอานิยามของ internal control (“reasonable assurance เรื่อง operations, reporting, compliance”) มาสลับเป็นนิยามของ ERM — สองอันนี้คนละตัว ถ้าถามนิยาม ERM ให้เลือกตัวที่พูดถึง culture, capabilities, and practices และถ้าถามถึงหลักตั้งต้นของ ERM คือ “องค์กรมีอยู่เพื่อสร้างมูลค่าให้ผู้มีส่วนได้เสีย” ไม่ใช่ “เพื่อทำกำไรสูงสุด”
⚠️ กับดัก: อีกกับดักคลาสสิกคือคำ absolute ตัวเลือกที่บอกว่า framework “รับประกัน” (guarantee) ว่าจะบรรลุเป้า, “กำจัด” (eliminate) ความเสี่ยงหรืออคติทั้งหมด, “ป้องกัน” (prevent) การที่ฝ่ายบริหารข้ามระบบ, หรือ “ขจัด” การสมรู้ร่วมคิด — พวกนี้ผิดหมด ERM ทำสิ่งเหล่านี้ไม่ได้ มันแค่ให้ความเชื่อมั่นอย่างสมเหตุสมผลและ ลดความแปรผัน ของผลงานลง และถ้าถามถึงประโยชน์หลักของ COSO ให้เลือก “แนวทางที่มีโครงสร้างสำหรับ risk management และ internal control” ไม่ใช่ “กำจัดอคติ” หรือ “รับประกัน compliance”
⚠️ กับดัก: framework เป็นเรื่อง เชิงรุก ตัวเลือกที่วาดภาพว่ามันเป็นแค่ “บันทึกเหตุการณ์ในอดีต”, “เครื่องมือ compliance อย่างเดียว”, หรือ “ดูแค่ความเสี่ยงทางการเงิน” — ผิดทั้งหมด เพราะแคบหรือย้อนหลังเกินไป framework ที่ดีต้องระบุ ประเมิน จัดการ ติดตาม แบบเชิงรุกและต่อเนื่องทั่วทั้งองค์กร
ห้าองค์ประกอบ กับการจับหลักการใส่บ้านให้ถูกหลัง
COSO ERM มีห้าองค์ประกอบ (components) และมี 20 หลักการ (principles) กระจายอยู่ในนั้น ข้อสอบชอบหยิบหลักการมาโยนแล้วถามว่า “อันนี้มันอยู่บ้านหลังไหน” กับดักคือหลักการที่ มีอยู่จริง แต่โดนจับใส่ผิดองค์ประกอบ
- Governance & Culture (ธรรมาภิบาลและวัฒนธรรม) — วางรากฐาน: การกำกับดูแลของสภา, โครงสร้างการดำเนินงาน, ค่านิยมหลัก, วัฒนธรรมที่พึงประสงค์, และการดึงดูด-รักษาคนเก่ง
- Strategy & Objective-Setting (กลยุทธ์และการตั้งวัตถุประสงค์) — ตั้งทิศทาง: วิเคราะห์บริบทธุรกิจ, นิยาม risk appetite, ประเมินทางเลือกกลยุทธ์
- Performance (ผลการดำเนินงาน) — ทำงานกับความเสี่ยงจริง: ระบุ, ประเมิน severity, จัดลำดับ, ตอบสนอง, และสร้าง portfolio view
- Review & Revision (การทบทวนและปรับปรุง) — ย้อนดูเพื่อพัฒนา: ระบุการเปลี่ยนแปลงที่กระทบกลยุทธ์, ทบทวนผลงาน, ไล่ตาม continuous improvement
- Information, Communication & Reporting (สารสนเทศ การสื่อสาร และการรายงาน) — เคลื่อนข้อมูล: รายงานเรื่องความเสี่ยง วัฒนธรรม ผลงาน และใช้ประโยชน์จากระบบสารสนเทศ
⚠️ กับดัก: จุดที่พลาดกันบ่อยสุดคือ risk appetite — มันถูก นิยาม ในองค์ประกอบ Strategy & Objective-Setting แต่ถูก นำไปใช้ ในองค์ประกอบ Performance ข้อสอบเลยชอบวาง “นิยาม appetite” เป็นตัวล่อในองค์ประกอบ Governance & Culture ทั้งที่ไม่ใช่ อีกกับดักคือเอา “Monitoring” กับ “control environment” ซึ่งเป็นศัพท์ของ COSO internal control framework มาแอบใส่ในลิสต์องค์ประกอบของ ERM (คนละ framework กัน)
ห้าประเภทของ risk response — ดูการกระทำ ไม่ใช่สินทรัพย์
พอถึงขั้นตอบสนอง COSO แบ่ง response เป็นห้าประเภท อันนี้เป็นหัวข้อที่ข้อสอบออกบ่อยมาก เคล็ดลับคือ ดูที่การกระทำ ไม่ใช่ที่ตัวสินทรัพย์หรือความรู้สึก
| ประเภท response | การกระทำ | ตัวอย่าง |
|---|---|---|
| Acceptance (ยอมรับ/retention) | ไม่ทำอะไรกับความรุนแรง เพราะอยู่ในกรอบ appetite แล้ว | ตั้งกองทุนซ่อมเอง (self-insurance), เลือกทำต่อหลังชั่งทางเลือก |
| Avoidance (หลีกเลี่ยง) | เอากิจกรรมนั้นออกทั้งอัน | ขายท่อส่งทิ้งเพื่อเลี่ยงเสี่ยงถูกก่อวินาศกรรม, เลิกกิจการนั้น |
| Reduction (ลด/mitigation) | ลดความรุนแรงลงแต่ยังทำกิจกรรมต่อ | เพิ่มคน, อบรม, ทำ information security, ย้ายฐานผลิตแก้ปัญหาแหล่งวัตถุดิบ |
| Sharing (แบ่งปัน/transfer) | โยนความเสี่ยงบางส่วนให้อีกฝ่าย | ประกันภัย, hedging, joint venture, outsourcing, สัญญากับคู่ค้า |
| Pursuit (ไล่ตาม/exploitation) | จงใจรับเสี่ยงเพิ่มเพื่อผลงานที่ดีขึ้น โดยไม่เกิน tolerance | รับความเสี่ยงการผลิตเพิ่มเพื่อกำลังการผลิตที่สูงขึ้น |
⚠️ กับดัก: ความรู้สึกจะพาหลง — ประกัน, hedging, futures, outsourcing, joint venture ทั้งหมดคือ sharing ถึงแม้ “hedge” จะรู้สึกเหมือนลด และ “outsource” จะรู้สึกเหมือนหลีกเลี่ยง / ตั้งกองทุนซ่อมเอง หรือทำอะไรต่อโดยไม่แตะความรุนแรง คือ acceptance ไม่ใช่ reduction / เลิกกิจกรรมทั้งอัน (ออกจากอุตสาหกรรม, ขายท่อทิ้ง, เลิกค้ากับคู่ค้าต่างชาติ, เลิกใช้เช็คไปเลย) คือ avoidance ไม่ใช่ reduction / ส่วนเพิ่มคน อบรม ทำ bank reconciliation ย้ายฐาน คือ reduction
⚠️ กับดัก: มีมุมกลับที่โหดกว่า — โจทย์แบบ “เปลี่ยน response” จะให้จำแนก สองปลาย แล้วจับคู่ เช่น ซื้อประกันให้ทรัพย์สินที่เดิมไม่ได้ทำประกัน = เปลี่ยนจาก acceptance เป็น sharing / ซื้อ currency futures แล้วต่อมาเลิกค้ากับคู่ค้าต่างชาติ = จาก sharing เป็น avoidance / รับความเสี่ยงการผลิตเพิ่มแล้ว outsource ทิ้ง = จาก pursuit เป็น sharing
portfolio view และการจัดลำดับด้วย impact × likelihood
เมื่อระบุ ประเมิน จัดลำดับ และตอบสนองครบแล้ว จุดสูงสุดคือ portfolio view (มุมมองแบบพอร์ต) — มุมมองความเสี่ยงที่บูรณาการเต็มรูปแบบ ผูกกับกลยุทธ์และเป้าหมายทั้งองค์กร เป็นมุมมองเดียวที่ integrate เต็มที่ ส่วนมุมมองอื่นๆ อย่าง risk profile view (บูรณาการบางส่วน), risk category view (บูรณาการจำกัด), risk view (บูรณาการน้อยสุด) เป็นบันไดที่ต่ำลงมา ไม่ใช่ของแทนกันได้
⚠️ กับดัก: ถ้าถามว่า “มุมมองไหนบูรณาการเต็มที่” คำตอบคือ portfolio view เสมอ อย่างอื่นเป็นขั้นที่ต่ำกว่า และปัจจัยที่ใช้ เลือก risk response คือ severity (ผลรวมของ impact กับ likelihood) ไม่ใช่ตัวหลอกอย่าง velocity หรือ persistence หรือ complexity
การจัดลำดับความเสี่ยงใช้ทั้ง impact และ likelihood เสมอ อันไหนที่ มากกว่าหรือเท่ากันทั้งสองแกน และมากกว่าอย่างน้อยหนึ่งแกน คืออันที่ชนะ ลำดับสูงสุด
⚠️ กับดัก: ตัวหลอกที่โหดสุดคือบังคับให้จัดลำดับระหว่างสองพื้นที่ที่ ต่างก็มีหนึ่งสูงหนึ่งต่ำ โดยไม่ให้ตัวเลขมา — พอไม่มีค่ากำกับ สองอันนี้ exposure เท่ากัน คำตอบคือ “ตัดสินไม่ได้” (cannot be determined) หรือจัดสรรทรัพยากรเท่ากัน แต่ระวัง อย่าใช้ “ตัดสินไม่ได้” พร่ำเพรื่อ ถ้าอันหนึ่ง เหนือกว่าอีกอันทั้งสองแกน (หรือเท่าแกนหนึ่ง สูงกว่าอีกแกน) แบบนี้ตัดสินได้ และอีกจุดที่มักลืม: input สำคัญที่สุดของ risk model คือ ดุลยพินิจเชิงวิชาชีพของผู้ตรวจสอบภายใน ไม่ใช่มาตรฐานหรือผลลัพธ์ครั้งก่อน
ข้อจำกัดของ ERM
อย่าลืมว่า ERM มันมีข้อจำกัด ไม่ได้สมบูรณ์แบบ เพราะยังมีเรื่อง ดุลยพินิจของคนที่ผิดพลาดได้ (faulty human judgment), การชั่งต้นทุน-ประโยชน์, ความผิดพลาดเล็กๆ น้อยๆ ธรรมดา, การสมรู้ร่วมคิด (collusion), และการที่ฝ่ายบริหารข้ามระบบเอง (management override) นี่แหละคือเหตุผลว่าทำไมมันถึงให้ได้แค่ reasonable assurance ไม่ใช่ absolute
ISO 31000 — รู้แซมๆ แต่อย่าสลับช่อง
ISO 31000 เป็นมาตรฐานสากลอีกตัวที่ช่วยองค์กรบริหารความเสี่ยง ต่างจาก COSO ERM ตรงที่มันให้ หลักการและแนวทางกว้างๆ ที่ยืดหยุ่น ใช้ได้กับทุกองค์กรทุกภาคส่วน เน้นการบูรณาการ risk management เข้ากับทุกส่วนของการดำเนินงาน ส่วน COSO ERM จะละเอียดและมีโครงสร้างชัดเจนกว่า เป็นแนวกำหนดตายตัว (prescriptive) องค์กรบางแห่งเลือกอันเดียว บางแห่งก็ใช้ทั้งคู่ผสมกันครับ
สิ่งที่ต้องรู้และเป็นกับดักหลักของ ISO 31000 คือ มันมี สามลิสต์ แล้วข้อสอบชอบเอาศัพท์จริงจากลิสต์หนึ่งไปวางในช่องที่ถามถึงอีกลิสต์
- 8 หลักการ (principles) — รากฐาน: integrated, structured & comprehensive, customized, inclusive, dynamic, best available information, human & cultural factors, continual improvement
- 6 องค์ประกอบของ framework (components) — leadership & commitment, integration, design, implementation, evaluation, improvement
- 6 องค์ประกอบของกระบวนการ (process elements) — communication & consultation; scope, context & criteria; risk assessment; risk treatment; monitoring & review; recording & reporting
⚠️ กับดัก: ตัวหลอกคือศัพท์จริงที่ถูกจับผิดช่อง เช่น “leadership and commitment”, “design”, “implementation” เป็น framework component แต่ถูกวางเมื่อโจทย์ถามหา principle หรือ process element / “human and cultural factors”, “dynamic”, “best available information”, “continual improvement” เป็น principle แต่ถูกวางเมื่อถาม component / “risk treatment”, “communication and consultation”, “monitoring and review” เป็น process element แต่ถูกวางเมื่อถาม component หรือ principle / และมีของปลอมที่ไม่อยู่ในลิสต์ไหนเลย เช่น “risk elimination”, “risk appetite”, “risk capacity”, “delegates accountability” — พวกนี้เป็นตัวลวงล้วนๆ ให้เลือกเฉพาะตอนโจทย์ถามว่า “อันไหน ไม่ใช่”
⚠️ กับดัก: ISO 31000 ยังมีสามแนวทางในการให้ความเชื่อมั่นบนกระบวนการ risk management — key principles approach (ดูว่าหลักการถูกยึดถือไหม), process element approach (ดูว่าองค์ประกอบถูกนำไปปฏิบัติไหม), และ maturity model approach ตัวที่ข้อสอบชอบถาม maturity model ยึดวลีเดียว: “กระบวนการ risk management ที่ดีจะพัฒนาและดีขึ้นตามเวลา โดย เพิ่มมูลค่าในแต่ละขั้นของการเติบโต” ถ้าตัวเลือกไหนพูดว่าความเสี่ยง เพิ่มคุณค่า/ไต่ไปตาม maturity curve ตามเวลา นั่นคือ maturity model ระวังตัวหลอกที่เอา “องค์ประกอบถูกนำไปปฏิบัติ” (นั่นคือ process element) หรือ “หลักการถูกยึดถืออย่างสม่ำเสมอ” (นั่นคือ key principles) มาปลอมเป็น maturity model และระวัง “introduction, growth, maturity, decline” ซึ่งเป็น product life cycle ไม่ใช่ maturity curve
กติกาเหล็ก — ใครเป็นเจ้าของ risk
มาถึงหัวใจของทั้งตอนแล้ว อันนี้เป็นเรื่องที่ข้อสอบ CIA ชอบถามซ้ำแล้วซ้ำอีก ไม่ว่าจะห่อด้วย COSO, ISO, หรือ Three Lines — กติกาคือ จับกริยาให้ตรงกับเจ้าของ
- ฝ่ายบริหาร (management): เป็นเจ้าของ ความเสี่ยง — ตั้ง risk attitude, ระบุและจัดการความเสี่ยง, ตัดสินใจเรื่อง response, ทำให้กระบวนการทำงานได้ ในบริบท ERM ฝ่ายบริหารรับผิดชอบภาพรวมและงานประจำวัน โดย CEO เป็นคน รับผิดชอบสูงสุด (ultimate) คนเดียว
- สภา (board): กำกับดูแล (oversee) — ดูให้แน่ใจว่ากระบวนการ risk management มีอยู่ เพียงพอ และได้ผล สภาอาจมอบหมายต่อให้คณะกรรมการเฉพาะทาง เช่น audit committee หรือ risk committee
- internal audit function (ผู้ตรวจสอบภายใน): ให้ความเชื่อมั่นและให้คำปรึกษา (assurance & advisory) — ประเมิน รายงาน แนะนำการปรับปรุง บนกระบวนการ risk management ทั้งระบบ แต่ ห้ามเป็นเจ้าของ
- risk officer: ประสานงาน (coordinate) — เป็นจุดกลางที่อำนวยให้ risk management เดินทั่วองค์กร ไม่ใช่เจ้าของ
⚠️ กับดัก: ข้อสอบชอบสลับบทบาทกันเนียนๆ — ให้ internal audit ไป “กำกับดูแล” (oversight) หรือ “ทำให้กระบวนการทำงานได้” (ensures functioning) หรือ “ตั้ง risk appetite” หรือ “ออกแบบ control” หรือ “นำ recommendation ไปทำจริง” ทั้งหมดนี้เป็นงานของ management หรือ board ตัดทิ้งได้เลย เพราะมันทำลายความเที่ยงธรรม (objectivity) ของผู้ตรวจ / หรือให้ board ไปทำงาน “ensures functioning” ของ management หรือให้ management ไป “oversight” ของ board (สลับช่องกันทั้งคู่)
⚠️ กับดัก: พอโจทย์ถามว่า “บทบาทที่ผู้ตรวจสอบ ควร รับคืออะไร” คำตอบที่ถูกมักเป็นตัวที่มี กริยานุ่มๆ เสมอ — “แนะนำการปรับปรุง”, “ให้คำปรึกษา”, “ตัดสินว่ากระบวนการได้ผลหรือไม่” ไม่ใช่ตัวที่ดู helpful แต่ล้ำเส้นอย่าง “ตัดสินใจเรื่อง response” หรือ “จัดการความเสี่ยง”
⚠️ กับดัก: กรณีพิเศษ — ถ้าองค์กร ไม่มี กระบวนการ risk management ที่เป็นทางการเลย CAE ไม่ใช่คนไปสร้างให้ แต่ CAE ต้อง หารืออย่างเป็นทางการ (formal discussions) กับฝ่ายบริหารและสภาเรื่องภาระหน้าที่ของพวกเขาในการเข้าใจ จัดการ และติดตามความเสี่ยง จับ trigger คำว่า “no formal RM processes” ให้ได้
Three Lines Model — สายหนึ่งทำ สายสองช่วย สายสามตรวจ
กติกาเดียวกันนี้แหละ IIA เอามาจัดเป็นภาพให้จำง่ายด้วย Three Lines Model
- สายที่หนึ่ง (first line): ฝ่ายบริหารและพนักงานที่ จัดการความเสี่ยงโดยตรง ทำงานประจำวัน ส่งมอบสินค้า/บริการ รวมถึงหน้าที่สนับสนุนอย่าง HR — สายนี้ รับผิดชอบจัดการความเสี่ยงโดยตรง
- สายที่สอง (second line): หน้าที่ที่ ช่วยและกำกับ สายหนึ่ง — ให้ความเชี่ยวชาญ สนับสนุน ติดตาม ท้าทาย เช่น ทีม risk management, compliance, ERM
- สายที่สาม (third line): internal audit ที่ให้ ความเชื่อมั่นอย่างเป็นอิสระ (independent assurance) ว่ากระบวนการ risk management ได้ผล — ตรวจว่าทั้งสายหนึ่งและสายสองทำงานตามที่ควร
- เหนือทั้งสามสายคือ governing body (สภา) ที่ กำกับ และดูให้เป้าหมายสอดคล้องกับผลประโยชน์ผู้มีส่วนได้เสีย
⚠️ กับดัก: ข้อสอบชอบแต่งตัวสายหนึ่งให้ดูเหมือนสายสาม (“day-to-day management of risks”, “support functions” = สายหนึ่ง ไม่ใช่สายสาม) / เอางานสายสอง (“expertise, support, monitoring”, “พัฒนา framework/เครื่องมือ”) มาปลอมเป็นงาน internal audit / เอางานของ governing body (“ทำให้เป้าหมายสอดคล้องกับผู้มีส่วนได้เสีย”) มาปลอมเป็นสายที่มีเลข / และเอา external auditor มาปลอมเป็นสายที่สามหรือสี่ ทั้งที่ external audit อยู่ นอก โมเดลนี้ ถ้าถามว่าใคร รับผิดชอบจัดการความเสี่ยงโดยตรง คำตอบคือสายหนึ่ง ไม่มีทางเป็น internal audit หรือ board
⚠️ กับดัก: อีกจุดที่ผูกกับ Principle 9 (Plan Strategically) — CAE ต้อง เข้าใจ (understand) กระบวนการ governance, risk management, control ขององค์กร รวมถึง risk appetite และความสุกงอม (maturity) ของมัน เพื่อวางแผนกลยุทธ์ของ internal audit ไม่ใช่ไป สร้าง framework เอง, ไม่ใช่ทำ forecast 5 ปี, ไม่ใช่แคบลงเหลือแค่ financial audit หรือ compliance และถ้ามีเรื่องกระทบความเป็นอิสระ ให้สื่อสารกับ สภา ไม่ใช่ CEO
ตารางกับดักรวม
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| นิยาม risk management | ประมาณความน่าจะเป็นของความสูญเสีย / จัดพอร์ตประกัน (จริงบางส่วน) | ระบุ + ประเมิน + จัดการ significant risks เพื่อ reasonable assurance |
| ระดับความเชื่อมั่นที่ RM ให้ | absolute / positive / negative | reasonable |
| ขั้นถัดไปหลังประเมินความเสี่ยงทุกตัว | กระโดดไปหา framework | จัดลำดับความเสี่ยง (prioritize) |
| risk map / heat map เป็นเครื่องมือขั้นไหน | เครื่องมือระบุ (identification) | เครื่องมือประเมิน (assessment) |
| ความเสี่ยงที่เหลือหลังฝ่ายบริหารลงมือแล้ว | target residual risk | actual residual risk |
| ความเสี่ยงในสภาพยังไม่ทำอะไรเลย | residual risk | inherent risk |
| ความเต็มใจรับความเสี่ยง (กว้าง เชิงกลยุทธ์) | risk capacity / risk tolerance | risk appetite |
| ความแปรผันที่ยอมรับได้ (วัดได้ ปฏิบัติการ) | risk appetite | risk tolerance |
| นิยาม ERM | reasonable assurance เรื่อง operations/reporting/compliance (=internal control) | culture, capabilities, and practices |
| ประโยชน์ของ COSO ERM | กำจัดความเสี่ยง / ป้องกัน override / รับประกันเป้า | ลดความแปรผันของผลงาน + แนวทางมีโครงสร้าง |
| ซื้อประกัน / hedge / outsource / JV | reduction / avoidance | sharing |
| ตั้งกองทุนซ่อมเอง (self-insurance) | reduction | acceptance |
| เลิกกิจการ / ขายสินทรัพย์ทิ้ง | reduction | avoidance |
| ”นิยาม risk appetite” อยู่องค์ประกอบไหน | Governance & Culture | Strategy & Objective-Setting |
| มุมมองความเสี่ยงที่บูรณาการเต็มที่ | risk profile view | portfolio view |
| สองพื้นที่ต่างมีหนึ่งสูงหนึ่งต่ำ ไม่มีตัวเลข | ฝืนจัดลำดับ | ตัดสินไม่ได้ (cannot be determined) |
| “human & cultural factors” ใน ISO 31000 | framework component | principle |
| ”risk treatment” ใน ISO 31000 | framework component | process element |
| แนวทางที่อิง “เพิ่มมูลค่าตามการเติบโต” | process element / key principles | maturity model approach |
| องค์กรไม่มี RM ทางการ CAE ควรทำอะไร | สร้างกระบวนการให้ | หารืออย่างเป็นทางการกับฝ่ายบริหารและสภา |
| ใครรับผิดชอบจัดการความเสี่ยงโดยตรง | internal audit / board | สายที่หนึ่ง (operational management) |
| บทบาท internal audit ใน RM | ตั้ง appetite / ออกแบบ control / เป็นเจ้าของ | ให้ความเชื่อมั่นว่ากระบวนการได้ผล |
สิ่งที่จดสำหรับวันสอบ
- ลำดับ RM ท่องได้เลย: บริบท → ระบุ → ประเมิน/จัดลำดับ → ตอบสนอง → ติดตาม (monitoring อยู่ท้ายสุดเสมอ)
- จับกริยาให้ตรงเจ้าของ: owns/ensures/decides/sets appetite = management · oversees = board · evaluates/recommends/assures = internal audit · coordinates = risk officer
- ยังไม่ทำ = inherent · ทำแล้วเหลือจริง = actual residual · อยากให้เหลือ = target residual
- appetite < capacity เสมอ · appetite = กว้าง/กลยุทธ์ · tolerance = วัดได้/ปฏิบัติการ
- response ดูการกระทำ: เลิกทั้งอัน=avoid · โยนให้คนอื่น=share · ลดแต่ทำต่อ=reduce · ไม่ทำอะไร/ประกันตัวเอง=accept · รับเพิ่มเพื่อ upside=pursue
- ISO 31000 สามลิสต์: 8 หลักการ / 6 framework components / 6 process elements — ท่องจำเจตนาของแต่ละช่อง อย่าท่องแค่คำ
- maturity model = เพิ่มมูลค่าเมื่อโตขึ้นตามเวลา (ไม่ใช่ product life cycle)
- คำ absolute (guarantee, eliminate, prevent, all) ในตัวเลือกไหน = เอ๊ะไว้ก่อน มักผิด
- Standard number อย่าง Standard 9.1 อ้างได้ แต่จำ เจตนา (CAE ต้องเข้าใจ RM ขององค์กร) ไม่ต้องท่องเลข
พอรู้จักความเสี่ยงแล้ว คำถามต่อไปคือเราจัดการมันด้วยอะไร คำตอบคือ control — และมันก็มีภาษาของมันเองที่ข้อสอบชอบเอามาสลับคู่ไม่แพ้เรื่อง risk เลย ตอนหน้าลุยตระกูล control ให้ครบ ตอนถัดไป: ภาษา control กับประเภทของมัน ครับ
อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)