คู่มือการบริหารความเสี่ยง กองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์ประจำปีบัญชี 2565

             กองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์เป็นส่วนหนึ่งของการส่งเสริมกิจการฮัจย์ของรัฐบาลไทยที่ได้ทุ่มเทในการที่จะดำเนินการช่วยเหลือ สนับสนุน และส่งเสริมในกิจการใด ๆ ก็ตามที่จะทำให้พี่น้องมุสลิมไทยเดินทางไปประกอบพิธีฮัจย์ได้อย่างสะดวกสบายและถูกต้องตามหลักการศาสนาอิสลาม โดยผู้แสวงบุญชาวไทยได้รับประโยชน์จากกองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์ในแง่การยกระดับคุณภาพที่พักให้ดีขึ้นมีมาตรฐาน และถูกสุขลักษณะตามกฎหมายและข้อกำหนดต่าง ๆ

      เพื่อให้การบริหารกองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์มีประสิทธิภาพ จำเป็นอย่างยิ่งที่ต้อง
มีการทบทวนคู่มือการบริหารจัดการความเสี่ยงเป็นประจำทุกปี ซึ่งคู่มือนี้ได้ถูกจัดทำขึ้นตามแนวทาง
Committee of Sponsoring Organizations of the Tread way Commission (COSO) อันเป็นแนวทาง
ในการจัดการความเสี่ยงที่บุคลากรทั้งระดับผู้บริหารและผู้ปฏิบัติงานต้องรับรู้และปฏิบัติร่วมกันตามบทบาทที่มี เพื่อป้องกันมิให้ความเสี่ยงเหล่านี้เกิดขึ้น หรือหากเกิดขึ้นแล้วจะต้องมีมาตรการที่ช่วยลดผลกระทบให้อยู่ในระดับที่ยอมรับได้ นำไปสู่การบรรลุเป้าหมายตามแผนบริหารความเสี่ยงต่อไป

            คณะผู้จัดทำหวังอย่างยิ่งว่าคู่มือการบริหารจัดการความเสี่ยงที่ได้รับการปรับปรุงแล้วนี้จะเป็นส่วนสำคัญในการสนับสนุนการบริหารความเสี่ยงของกองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์ ซึ่งจะช่วยให้การบริหารกองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์สำเร็จลุล่วงตามเป้าหมายและแผนยุทธศาสตร์ที่วางไว้ต่อไป

 

1        หลักการและเหตุผล

          ด้วยบันทึกข้อตกลงระบบประเมินผลการดำเนินงานของกองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์ ประจำปีบัญชี 2564 ตัวชี้วัดที่ 4.1 การบริหารความเสี่ยงและการควบคุมภายใน ได้กำหนดให้มีการวัดระดับความสำเร็จในการดำเนินงานกองทุนฯ โดยประเมินผลจากการระบุความเสี่ยงระดับองค์กร การประเมินระดับความรุนแรงของความเสี่ยงระดับองค์กร การกำหนดแผนงานการบริหารความเสี่ยงระดับองค์กร และการดำเนินงานตามแผนบริหารความเสี่ยง

          เพื่อให้บรรลุตามบันทึกข้อตกลงข้างต้น กองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์ จึงมีการวิเคราะห์และทบทวนแผนบริหารความเสี่ยงแผนตามมาตรฐาน COSO ERM เพื่อลดโอกาสที่จะเกิดความเสี่ยงต่าง ๆ
หรือหากเกิดขึ้นแล้วจะมีแผนรองรับเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

2        เป้าหมายของการบริหารความเสี่ยง

2.1 เพื่อลดโอกาสเกิดความความเสี่ยงและเพิ่มความสามารถในการตอบสนองต่อความเสี่ยงอย่างถูกต้อง เพื่อความสำเร็จของแผนปฏิบัติการและแผนยุทธศาสตร์ของกองทุนฯ

2.2 เพื่อให้ผู้บริหารและผู้ปฏิบัติงานสามารถจัดการกับความเสี่ยงอย่างเป็นระเบียบแบบแผน

2.3 เพื่อให้การจัดทำแผนต่าง ๆ ของกองทุนสามารถประยุกต์นำแผนความเสี่ยงเข้าเป็นส่วนหนึ่งของแผนได้

2.4 เพื่อให้ผู้ยืมเงินจากกองทุนได้รับการบริการอย่างมีประสิทธิภาพและมีความพึงพอใจต่อการใช้บริการกองทุน

 

3        วัตถุประสงค์ของการบริหารความเสี่ยง

3.1 เพื่อให้ผู้บริหารและผู้ปฏิบัติงาน เข้าใจหลักการ กระบวนการ และขั้นตอนการบริหารความเสี่ยงของกองทุนฯ

3.2 เพื่อใช้เป็นเครื่องมือในการบริหารความเสี่ยงของกองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์

3.3 เพื่อลดโอกาสที่จะเกิดความเสียหายและผลกระทบของความเสี่ยงที่จะเกิดขึ้นกับกองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์

3.4 เพื่อเป็นเครื่องมือในการสื่อสารและสร้างความเข้าใจความสัมพันธ์ตลอดจนเชื่อมโยงระหว่าง การบริหารความเสี่ยงกับแผนยุทธศาสตร์ของกองทุนสำหรับผู้เดินทางไปประกอบพิธีฮัจย์

4     ความหมายและคำจำกัดความของการบริหารความเสี่ยง

4.1 ความเสี่ยง (Risk) หมายถึง ความเป็นไปได้ที่อาจเกิดความผิดพลาด ความเสียหาย หรือเหตุการณ์ไม่พึงประสงค์ต่าง ๆ แล้วส่งผลกระทบต่อประสิทธิภาพและประสิทธิผลของกองทุน ทั้งในเชิงปริมาณและเชิงคุณภาพ โดยวัดจากผลกระทบที่มีต่อแผนยุทธศาสตร์กองทุน แผนปฏิบัติการ และตัวชี้วัดของกองทุน

4.2 ปัจจัยเสี่ยง (Risk Factor) หมายถึงปัจจัยที่ทำให้เกิดความเสี่ยงขึ้น ทั้งปัจจัยภายนอกและปัจจัยภายใน ฉะนั้นต้องระบุปัจจัยเสี่ยงให้ได้ว่าจะเกิดขึ้นเพราะเหตุใด เกิดขึ้นเมื่อใด อย่างไร เพื่อจะวิเคราะห์และหาทางลดปัจจัยเสี่ยงให้เหลือน้อยที่สุด

4.3 ปัจจัยเสี่ยงภายใน หมายถึง ปัจจัยที่องค์กรสามารถควบคุมได้ เช่น ความปลอดภัยในที่ทำงานความถูกต้องของระบบบัญชี วัฒนธรรมองค์กร การฝึกอบรมภายใน และระบบสารสนเทศ 

4.4 ปัจจัยเสี่ยงภายนอก คือปัจจัยที่ไม่สามารถควบคุมได้ เช่น ภาวะเศรษฐกิจ นโยบายรัฐบาลการเปลี่ยนแปลงระเบียบกฎหมาย กระแสสังคม

4.5 การประเมินความเสี่ยง หมายถึง กระบวนการระบุความเสี่ยง และการวิเคราะห์และจัดลำดับความเสี่ยง คือการวิเคราะห์ความเป็นไปได้ของความเสี่ยงที่จะเกิดรวมถึงระดับความรุนแรงของแต่ละความเสี่ยง โดยพิจารณาจาก 1) ระดับความเป็นไปได้ที่ความเสี่ยงจะเกิดขึ้น (Likelihood) โดยแบ่งเป็น 5 ระดับ
2) ระดับความรุนแรงของผลกระทบที่เกิดแก่องค์กร (Impact) โดยจัดระดับความรุนแรงเป็น 5 ระดับเช่นกัน

4.6 การบริหารความเสี่ยง หมายถึง การจัดการเพื่อลดโอกาสในการเกิดความเสี่ยงหรือลดความเสียหายของความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ซึ่งมีวิธีการดังนี้

                    4.6.1 การยอมรับความเสี่ยง (Risk Acceptance) หากกความเสี่ยงนั้นไม่คุ้มค่ากับ การป้องกันหรือการจัดการ เนื่องจากมีต้นทุนมากเกินไป ก็ต้องยอมรับโอกาสที่จะเกิดความเสี่ยงนั้น

1. การลด/การควบคุมความเสี่ยง (Risk Reduction) การปรับปรุงขั้นตอน วิธีการและระบบการทำงานเพื่อลดโอกาสการเกิดความเสี่ยง หรือลดผลกระทบของความเสี่ยงลง
2. การกระจายความเสี่ยง หรือการโอนความเสี่ยง (Risk Sharing) แสวงหาผู้รับผิดชอบ ความเสี่ยงร่วมกัน เพื่อลดโอกาสที่จะเกิดความเสี่ยงลดความเสียหายของความเสี่ยงที่เกิดกับองค์กร
3. เลี่ยงความเสี่ยง (Risk Avoidance) หากความเสี่ยงมีโอกาสเกิดสูงและมีผลกระทบสูงเกินกว่าองค์กรจะยอมรับได้ จึงตัดสินใจยกเลิกงาน โครงการ หรือกิจ ที่มีความเสี่ยงดังกล่าว

5        การบริหารความเสี่ยงโดยองค์รวมและการควบคุมภายในตามแนวทางของ COSO ERM

                 คือการบริหารปัจจัยและควบคุมกิจกรรมต่าง ๆ ขององค์กร รวมถึงกระบวนการในการปฏิบัติงานด้านต่าง ๆ โดยต้องพยายามที่จะลดสาเหตุของความเสี่ยงในแต่ละโอกาสที่เกิดขึ้นแล้วจะทำให้องค์กรเกิดความเสียหาย โดยการทำให้ระดับความเสี่ยงและขนาดของความเสียหายที่จะเกิดขึ้นทั้งในปัจจุบันและอนาคตให้อยู่ในระดับที่สามารถยอมรับได้ ประเมินได้ ควบคุมได้ และตรวจสอบได้อย่างมีระบบ โดยคำนึงถึงการบรรลุวัตถุประสงค์ขององค์กรเป็นสำคัญ กระบวนการในการดำเนินการบริหารจัดการความเสี่ยงตามแนวทางของ COSO ERM สามารถแบ่งออกได้เป็น 8 ขั้นตอน คือ

1.  Internal Environment เป็นกระบวนการแรกในขั้นตอนการดำเนินการวิเคราะห์และการดำเนินการป้องกันความเสี่ยง เป็นการระบุถึงปัจจัยแวดล้อมในด้านต่าง ๆ ขององค์กร โดยระบุถึงนโยบายและวิธีการในการดำเนินการป้องกันความเสี่ยง ปรัชญาและปณิธานในการบริหารความเสี่ยงโครงสร้างขององค์กรในเรื่องของกระบวนการในการจัดการความเสี่ยง
2.  Objective Setting หรือ การกำหนดวัตถุประสงค์ เป็นขั้นตอนที่สองของกระบวนการในการบริหารความเสี่ยง เพราะเป็นปัจจัยที่ผู้ทำหน้าที่ในการบริหารความเสี่ยงขององค์กร จะต้องทำการกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง โดยกำหนดถึงความต้องการในการบริหารความเสี่ยง และกำหนดเป้าหมายที่ต้องการให้เกิดการบรรลุในการบริหารความเสี่ยง
3.  Event Identification หรือ การระบุความเสี่ยง เป็นขั้นตอนที่ทำหน้าที่ในการระบุถึงปัจจัยเสี่ยงต่าง ๆ ที่อาจเกิดขึ้นต่อองค์กร โดยการระบุถึงปัจจัยเสี่ยงนี้องค์กรอาจทำการระบุปัจจัยเสี่ยงตาม KPI (Key Performance Indicators) ขององค์กร เพื่อทำให้การระบุความเสี่ยงนั้นมีความสะดวกมากขึ้น
4.  Risk Assessment หรือ การประเมินความเสี่ยง เป็นขั้นตอนหนึ่งที่สำคัญ เพราะการที่องค์กรใด ๆ จะเลือกวิธีใดในการป้องกันความเสี่ยง องค์กรนั้นจะต้องทราบถึงความเสี่ยงที่จะเกิดขึ้นว่าจะมีโอกาสในการเกิดขึ้นมากน้อยเท่าใด เพื่อที่จะได้เลือกใช้เครื่องมือในการป้องกันความเสี่ยงได้อย่างถูกต้อง เพราะวิธีการแต่ละวิธีในการป้องกันความเสี่ยงนั้น มีต้นทุนและวิธีการที่แตกต่างกัน การเลือกวิธีการหรือแนวทางในการป้องกันความเสี่ยงที่ถูกต้องจะทำให้องค์กรเกิดความสมดุลมากขึ้น
5.  Risk Response หรือ การตอบสนองต่อความเสี่ยง คือการจัดทำแผนการบริหารความเสี่ยง และการลงมือปฏิบัติในการบริหารความเสี่ยงอย่างแท้จริง เพื่อการบริหารความเสี่ยงอย่างเป็นขั้นตอนธุรกิจจะต้องมีการวางแผนการบริหารความเสี่ยงอย่างเป็นระบบ โดยมีการกำหนดถึงแผนการบริหารความเสี่ยงอย่างเป็นขั้นตอน ว่าความเสี่ยงใดจะต้องทำการบริหารจัดการก่อนหรือหลัง แนวทางในการบริการจัดการกับความเสี่ยงหรือการตอบสนองต่อความเสี่ยงนั้นจะถือหลักตามแนวทางของ 4T’s คือ
   1. การยอมรับ (Take) คือความเสี่ยงที่อยู่ในระดับที่สามารถยอมรับได้
      ไม่ต้องมีการดำเนินการใด ๆ เพิ่มเติมเพื่อจะช่วยในการลดโอกาสที่จะเกิดขึ้น หรือ
      ลดความรุนแรงจากผลกระทบที่จะเกิดขึ้นหากเกิดความเสี่ยงนั้น ๆ
   2. การควบคุม หรือการลดความเสี่ยง (Treat) เป็นการดำเนินการเพิ่มเติมจากกิจกรรม
      ที่องค์กรมีอยู่ เพื่อที่จะลดความเสี่ยงขององค์กรให้เหลือน้อยลง ซึ่งอาจจะลดได้
      ทั้งโอกาสและผลกระทบที่เกิดขึ้นก็ได้
   3. การโอน หรือการกระจายความเสี่ยง (Transfer) เป็นการถ่ายโอนความเสี่ยงให้
      แก่องค์กรหรือบุคคลอื่น เช่น การประกันภัยเป็นต้น
   4. การหลีกเลี่ยง หรือหยุดดำเนินกิจกรรมทางธุรกิจ (Terminate) เป็นการหยุดกิจกรรมหรือการดำเนินการใด ๆ ขององค์กรเพื่อหลีกเลี่ยงไม่ให้เกิดความเสี่ยง

          

1.  Control Activities หรือ กิจกรรมการควบคุม คือ นโยบายขององค์กรหรือกระบวนการ
   ในการปฏิบัติงาน เพื่อให้องค์กรเกิดความมั่นใจได้ว่า องค์กรนั้นได้มีการดำเนินการจัดการกับความเสี่ยงแล้ว
   โดยขั้นตอนนี้เป็นขั้นตอนที่กำหนดให้บุคลากรภายในองค์กรรับผิดชอบในการพิจารณาประสิทธิผลของ
   การจัดการความเสี่ยงที่ได้ดำเนินการอยู่แล้ว และพิจารณาการเพิ่มเติมกิจกรรมต่าง ๆ ตามที่จำเป็นในการจัดการกับความเสี่ยง
2.  Information and Communication หรือ สารสนเทศและการสื่อสาร เป็นขั้นตอนของ
   การแจ้งข้อมูลข่าวสาร และให้ความรู้แก่คนในองค์กรในเรื่องของแนวทางปฏิบัติทางด้านการจัดการความเสี่ยงขององค์กร ซึ่งอาจจัดทำได้หลากหลายรูปแบบ เช่น จัดทำคู่มือในการบริหารความเสี่ยง เพื่อแจกจ่ายให้แก่บุคลากรทุกคนในองค์กรทำความเข้าใจและรับทราบถึงแนวทางในการปฏิบัติทางด้านการจัดการความเสี่ยงขององค์กร
3.  Monitoring หรือ การติดตามผล โดยการติดตามผลเป็นขั้นตอนสุดท้ายแต่มีความสำคัญ
   ที่จะทำให้ผู้บริหารมั่นใจว่าการบริหารความเสี่ยงทั่วทั้งองค์กรเป็นไปอย่างมีประสิทธิภาพ สามารถตอบสนอง
   ต่อการเปลี่ยนแปลงได้ดี โดยการติดตามประสิทธิผลของการบริหารความเสี่ยงที่กำหนดไว้อย่างต่อเนื่องและสม่ำเสมอ เช่น การติดตามผลเป็นรายครั้ง และการติดตามผลในระหว่างการปฏิบัติงาน

 

6       ประเภทความเสี่ยง

                   6.1.1  ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการกำหนดกลยุทธ์และการตัดสินใจด้านกลยุทธ์ ซึ่งรวมถึงความไม่สอดคล้องกันระหว่างนโยบาย เป้าหมาย กลยุทธ์ โครงสร้างองค์กร ภาวการณ์แข่งขัน และสภาพแวดล้อม อันส่งผลกระทบต่อองค์กร

           6.1.2 ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk: O) หมายถึง ความเสี่ยงที่เกิดจากการปฏิบัติงานทั้งในส่วนของการบริหารงานบุคลากร และเทคโนโลยีที่ใช้ในการทำงาน

           6.1.3 ความเสี่ยงด้านการเงิน (Financial Risk: F) หมายถึง ความเสี่ยงเกี่ยวกับนโยบายและขั้นตอนการบริหารจัดการด้านการเงินและการลงทุน

           6.1.4 ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบข้อบังคับ (Compliance Risk: C) หมายถึงความเสี่ยงจากการฝ่าฝืนหรือไม่สามารถปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ มติคณะรัฐมนตรี มาตรฐานต่าง ๆ หรือ กฎหมาย/ระเบียบที่มีอยู่ไม่เหมาะสมหรือเป็นอุปสรรค                         ในการปฏิบัติงาน