ผู้เขียน: นายธีระวัฒน์ ตันเจริญ ทีมความเสี่ยงด้านปฏิบัติการ ฝ่ายนโยบายความเสี่ยง ธปท.
ความเสียหายของภาคธุรกิจจากเหตุการณ์น้ำท่วมครั้งใหญ่และความขัดแย้งทางการเมือง หรือข่าวเกี่ยวกับการปล้นจี้ร้านค้าหรือสาขาธนาคารพาณิชย์ที่เกิดขึ้นบ่อยครั้ง ได้ปลุกให้พวกเราได้ตระหนักถึงความสำคัญของความเสี่ยงด้านปฏิบัติการขึ้นมาอีกครั้ง
มีตำรามากมายพยายามที่จะให้คำจำกัดความของความเสี่ยงด้านปฏิบัติการ ซึ่งต่างมีแนวทางร่วมกันว่า เป็นความเสี่ยงที่เกิดจากความบกพร่องของกระบวนการ บุคลากร ระบบงานภายในองค์กรเอง หรือจากเหตุการณ์ภายนอก หรือพูดง่ายๆ ก็คือ ที่ไหนมีข้อบกพร่อง ก็มีความเสี่ยงด้านปฏิบัติการได้ ด้วยเหตุนี้เองจึงทำให้ความเสี่ยงด้านปฏิบัติการมีความแตกต่างจากความเสี่ยงด้านอื่นๆ ที่เราคุ้นเคยกัน เช่น ความเสี่ยงด้านเครดิต (ความเสี่ยงที่ลูกหนี้จะผิดนัดชำระหนี้) หรือความเสี่ยงด้านตลาด (ความเสี่ยงที่มูลค่าของสิ่งที่เราลงทุนจะผันผวนไปตามสภาวะตลาด) เนื่องจากมีลักษณะพิเศษ คือ ยากที่จะวัดความเสี่ยงเป็นตัวเลขหรือคาดการณ์ได้ สามารถเกิดขึ้นได้กับทุกธุรกรรมและในทุกสถานที่ และผลที่ได้จากการบริหารความเสี่ยงที่ดีเป็นการเพิ่มประสิทธิภาพของการดำเนินงานมากกว่าการสร้างผลกำไรโดยตรงและจากลักษณะพิเศษข้างต้น ความท้าทายในการบริหารความเสี่ยงด้านปฏิบัติการจึงอยู่ที่วิธกี รวัดและบริหารความเสี่ยงด้านปฏิบัติการ บทความนี้จึงจะเน้นไปที่เครื่องมือที่ใช้วัดและรูปแบบองค์กรที่สนับสนุนให้การบริหารความเสี่ยงด้านปฏิบัติการมีประสิทธิภาพ ซึ่งหาก ธพ. รวมทั้งองค์กรอื่นๆ นำไปประยุกต์ใช้แล้ว นอกจากจะช่วยเพิ่มประสิทธิภาพในการดำเนินงาน ยังจะสร้างความเชื่อมั่นให้กับลูกค้าและสร้างมูลค่าเพิ่มให้กับองค์กรได้อีกทางหนึ่งด้วย
เครื่องมือที่ถือว่าเป็นหัวใจของการวัดความเสี่ยงด้านปฏิบัติการ คือ ข้อมูลความเสียหายที่เกิดขึ้นในอดีต (historical loss data) เพราะช่วยบอกเราได้ว่า จากการดำเนินงานที่ผ่านมาเกิดข้อบกพร่องจนนำไปสู่ความเสียหายตรงจุดไหน อย่างไรบ้าง ซึ่งเราสามารถใช้เป็นบทเรียนในการแก้ไขเพื่อป้องกันไม่ให้เกิดความเสียหายดังกล่าวขึ้นอีกในอนาคต เช่น พนักงานทอนเงินหรือใส่ข้อมูลผิดพลาด อาจแก้ไขโดยการจัดทำคู่มือหรือสร้างกระบวนการทำงานที่รัดกุมสำหรับจุดที่เกิดข้อผิดพลาดดังกล่าว อย่างไรก็ตาม ความเสียหายอาจเกิดจากเหตุการณ์ที่ไม่เคยเกิดมาก่อนในองค์กรหรือจากเหตุการณ์ภายนอกที่เราไม่สามารถควบคุมได้ เช่นภัยธรรมชาติ เป็นต้น ดังนั้น การใช้เครื่องมืออื่นๆ ที่ให้มุมมองที่กว้างไกลและมองไปข้างหน้าควบคู่กับสิ่งที่เคยเกิดขึ้นในการวัดและประเมินความเสี่ยงด้านปฏิบัติการจึงเป็นสิ่งที่จำเป็น
โดยผมจะขอยกตัวอย่างครื่องมือที่ว่าเหล่านี้ เริ่มจาก เหตุการณ์ภายนอก (external event) —เป็นการนำเหตุการณ์ความเสียหายที่เกิดขึ้นกับผู้อื่นมาใช้ในการพิจารณากระบวนการบริหารความเสี่ยงของเราเช่น กรณีการโจรกรรมสาขาของ ธพ. อื่น ซึ่งตั้งอยู่ในพื้นที่เดียวกับเรา จะเป็นข้อมูลที่สามารถนำมาใช้ในการวิเคราะห์ว่าระบบการรักษาความปลอดภัยของเรามีประสิทธิภาพเพียงพอรองรับเหตุการณ์ดังกล่าวได้หรือไม่และจะมีแนวทางป้องกันไม่ให้เกิดขึ้นอย่างไร ตัวชี้วัดความเสี่ยง (risk indicator) — อาจทำในรูปแบบง่ายๆ ด้วยสมมติฐานว่า ถ้ามีกระบวนการหรือการทำงานเกิดขึ้นมาก โอกาสที่จะเกิดความเสี่ยงก็จะมากขึ้นตามไปด้วย จึงอาจวัดได้ด้วยตัวเลข เช่น ปริมาณธุรกรรม จำนวนพนักงาน ข้อมูลในงบการเงิน หรือรายได้/กำไรจากการดำเนินงาน ซึ่งหากอยู่ในระดับที่สูงแสดงว่าเรามีปริมาณธุรกิจมากขึ้น โอกาสที่เกิดความผิดพลาดในการทำงานก็จะสูงขึ้นด้วย และการวิเคราะห์จากสถานการณ์จำลอง (scenario) — เป็นการอาศัยประสบการณ์และความเชี่ยวชาญในธุรกิจมาจำลองสถานการณ์ โดยเฉพาะอย่างยิ่งสถานการณ์ในภาวะวิกฤต (stress scenario) ซึ่งแม้จะมีโอกาสเกิดขึ้นน้อยก็ตาม แต่หากเกิดขึ้นแล้วจะก่อให้เกิดความเสียหายอย่างรุนแรง เพื่อใช้ในการประเมินผลกระทบที่มีต่อตัวเราหากเกิดเหตุการณ์ดังกล่าวขึ้น เช่น หากเกิดเหตุการณ์น้ำท่วมใหญ่เช่นในปี 2554 หรือหากเกิดสถานการณ์แผ่นดินไหวซึ่งส่งผลให้ระบบการชำระเงินของประเทศหยุดชะงักจะส่งผล กระทบต่อการดำเนินงานธุรกิจขององค์กรของเราอย่างไร
นอกเหนือจากการวัดความเสี่ยงแล้ว การบริหารความเสี่ยงด้านปฏิบัติการก็เป็นเรื่องที่ยากไม่แพ้กันด้วยเหตุผลที่ว่า การบริหารความเสี่ยงด้านปฏิบัติการไม่ได้สร้างกำไรในระยะสั้น (แต่ให้ผลดีในระยะยาว) และขาดแรงผลักดันเพื่อให้เกิดความร่วมมือ โดยเฉพาะการรายงานข้อมูลความเสียหาย เนื่องจากเป็นเครื่องชี้ว่ามีข้อผิดพลาดบกพร่องเกิดขึ้น ทำให้เกิดการลังเลที่จะรายงานข้อมูลดังกล่าวอย่างตรงไปตรงมา ซึ่งอาจส่งผลเสียต่อการบริหารความเสี่ยงในภาพรวมได้ ในกรณีนี้ ผมเห็นว่า key person ที่จะขจัดข้อจำกัดเหล่านี้ได้ คือ ผู้บริหารขององค์กร ที่จะต้องมีส่วนร่วมอย่างจริงจังในการผลักดันให้เกิดวัฒนธรรมที่ทุกคนในองค์กรตระหนักถึงความสำคัญของความเสี่ยงด้านปฏิบัติการ รวมทั้งจะต้องสร้างกลไกที่จะช่วยให้เครื่องมือที่ใช้ในการวัดและบริหารความเสี่ยงทำงานอย่างเต็มประสิทธิภาพ เช่น การกำหนดให้มีสิ่งจูงใจ (incentive) สำหรับผู้ที่รายงานข้อมูลความเสียหาย เป็นต้น
สำหรับรูปแบบโครงสร้างองค์กรที่เหมาะสมคือรูปแบบที่มีหลักการ check and balance ซึ่งตัวอย่างของการจัดโครงสร้างองค์กรแบบ three lines of defense ที่ใช้กันอยู่ใน ธพ. ก็พัฒนามาจากหลักการนี้ กล่าวคือ first line: ระดับหน่วยงานที่ทำธุรกิจ ซึ่งเป็นผู้ที่เข้าใจในธุรกิจที่ทำและความเสี่ยงที่มาพร้อมกับธุรกิจนั้นไดดี้ที่สุด จึงมีหน้าที่ดูแลและควบคุมความเสี่ยงที่เกิดขึ้นด้วย second line: ระดับหน่วยงานควบคุมดูแล มีหน้าที่ดูแลให้หน่วยงานที่ทำธุรกิจปฏิบัติตามนโยบายและกระบวนการที่กำหนด และ third line: หน่วยงานตรวจสอบภายในหรือภายนอก เนื่องจากมีหน้าทสี่ อบทานการบริหารความเสี่ยงของหน่วยงานใน first และ second line อย่างเป็นอิสระ ซึ่งความสำเร็จของการบริหารความเสี่ยงในลักษณะนี้จีงอยู่ที่การกำหนดบทบาทและหน้าที่อย่างชัดเจน รวมทั้งการประสานงานและร่วมมือกันระหว่าง line of defense ทั้งสาม
ถึงตรงนี้อยากจะขอเน้นย้ำว่าการวัดและการบริหารความเสี่ยงด้านปฏิบัติการที่มีประสิทธิภาพไม่ใช่เป็นสิ่งยืนยันว่าความเสี่ยงจะหมดไปอย่างสิ้นเชิง เพราะคงยากที่จะบอกได้อย่างแม่นยำว่าเหตุจลาจลหรือภัยพิบัติจะเกิดขึ้นที่ไหน? การทุจริตจะมีมูลค่าเท่าไหร?? หรือการโจรกรรมจะมีรูปแบบเปลี่ยนแปลงไปอย่างไร? ดังนั้น ตัวช่วยที่จะบรรเทาความรุนแรงของความเสียหายยังเป็นสิ่งที่ควรนำมาพิจารณา เช่น การทำประกันภัย ซึ่งเครื่องมือที่ใช้วัดความเสี่ยงที่ข้างต้นจะช่วยบอกได้ว่าการทำประกันภัยจำเป็นหรือเกิดประสิทธิภาพสูงสุดที่จุดไหน และโดยมากมักเป็นการทำเพื่อรับเงินชดเชยกรณีที่เกิดเหตุการณ์ที่ควบคุมไม่ได้ เช่น ภัยธรรมชาติ นอกจากนี้ อาจมีการกันเงินสำรอง (provision) เพื่อรองรับความเสียหายที่เกิดขึ้นซ้ำๆ หรือมีมูลค่าใกล้เคียงกันในแต่ละปีจนสามารถคาดการณ์ได้ในระดับหนึ่งว่าจะมีความเสียหายเกิดขึ้นเท่าไร
ในกรณีของ ธพ. ซึ่งเป็นกลไกสำคัญในการขับเคลื่อนเศรษฐกิจ ซึ่งหากเกิดภาวะที่ ธพ. มีความเสี่ยงด้านปฏิบัติการอย่างรุนแรง ก็อาจส่งผลกระทบต่อภาคธุรกิจการเงินของประเทศและต่อเศรษฐกิจในวงกว้างธปท. จึงกำหนดให้ ธพ. ต้องมีแนวทางการบริหารความเสี่ยงที่ดีและดำรงเงินกองทุนสำหรับความเสี่ยงด้านปฏิบัติการที่มากพอที่จะรองรับภาวะดังกล่าวด้วย
จากความท้าทายในการบริหารความเสี่ยงด้านปฏิบัติการทั้งวิธีการวัดและการบริหาร ผมหวังว่าสิ่งที่ได้เล่ามานี้จะเป็นทางเลือกให้ท่านผู้อ่านนำไปปรับใช้ให้เหมาะสมกับองค์กรของท่าน ซึ่งนอกจากจะช่วยเพิ่มประสิทธิภาพในการดำเนินงานแล้ว ยังจะเป็นการเตรียมความพร้อมเพื่อรองรับรูปแบบการทำธุรกิจที่เปลี่ยนแปลงไปอย่างรวดเร็ว จากปัจจัยสนับสนุน เช่น ธุรกรรมที่ซับซ้อนมากขึ้น พัฒนาการทางด้าน IT การค้าระหว่างประเทศตามกรอบ AEC เป็นต้น
ที่มา: ธนาคารแห่งประเทศไทย