มหาวิทยาลัยวลัยลักษณ์ดำเนินการตามขั้นตอนการบริหารความเสี่ยง โดยเริ่มจากการกำหนดวัตถุประสงค์และเป้าหมายองค์กร พิจารณาระบุความเสี่ยง ประเมินโอกาสและผลกระทบของแต่ละความเสี่ยง ออกแบบการบริหารจัดการความเสี่ยง ติดตามการดำเนินงาน และประเมินผลการดำเนินงาน
1. การกำหนดวัตถุประสงค์
มหาวิทยาลัยได้พิจารณากำหนดวัตถุประสงค์การบริหารความเสี่ยง โดยคำนึงถึงเป้าหมายการดำเนินงาน ความต่อเนื่องในการดำเนินงานขององค์กรหรือการเจริญเติบโตของมหาวิทยาลัยที่สอดคล้องกับวิสัยทัศน์ พันธกิจและยุทธศาสตร์ของมหาวิทยาลัย
2. การระบุความเสี่ยง
การระบุความเสี่ยง คือ การระบุเหตุการณ์ในอนาคตที่ทำนายไม่ได้ หากเกิดขึ้นจะก่อให้เกิดความเสียหาย/สูญเสีย ล้มเหลว ต่อองค์กร ทำให้เกิดความไม่ต่อเนื่องในการดำเนินงานตามวัตถุประสงค์ ทั้งที่เป็นรูปธรรมและนามธรรม ซึ่งอาจจะเกิดหรือไม่เกิดก็ได้โดยแบ่งการวิเคราะห์ออกเป็น 6 ด้าน ดังนี้
1) ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เป็นความเสี่ยงเกี่ยวข้องกับแผนกลยุทธ์ แผนงานของมหาวิทยาลัย รวมถึงภาพลักษณ์ทางสังคมของมหาวิทยาลัย ที่ความเสี่ยงนั้นอาจจะส่งผลกระทบต่อความต่อเนื่องในการดำเนินงานขององค์กรหรือการเจริญเติบโตของมหาวิทยาลัย
2) ความเสี่ยงด้านการดำเนินงาน (Operation Risk) เป็นความเสี่ยงที่เกี่ยวข้องกับระบบงาน กระบวนการการทำงาน เทคโนโลยี บุคลากร การพัสดุ การจัดหาและการใช้ประโยชน์ทรัพย์สิน รวมถึงระบบสารสนเทศ คอมพิวเตอร์และเทคโนโลยี การจัดการข้อมูล ที่ความเสี่ยงนั้นอาจจะส่งผลกระทบต่อความต่อเนื่องในการดำเนินงานขององค์กรหรือการเจริญเติบโตของมหาวิทยาลัย
3) ความเสี่ยงด้านการเงิน (Financial Risk) เป็นความเสี่ยงที่เกี่ยวข้องกับระบบทางการเงิน งบประมาณ การลงทุน การกู้ยืม การจัดการทางการเงิน ที่ความเสี่ยงนั้นอาจจะส่งผลกระทบต่อความต่อเนื่องในการดำเนินงานขององค์กรหรือการเจริญเติบโตของมหาวิทยาลัย
4) ความเสี่ยงด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบข้อบังคับ (Compliance Risk) เป็นความเสี่ยงที่เกี่ยวข้องกับ กฎหมาย ข้อบังคับ กฎระเบียบภายใน ที่ความเสี่ยงนั้นอาจจะส่งผลกระทบต่อความต่อเนื่องในการดำเนินงานขององค์กรหรือการเจริญเติบโตของมหาวิทยาลัย
5) ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Technology Risks) เป็นความเสี่ยงที่เกิดจากเทคโนโลยีสารสนเทศ
6) ความเสี่ยงด้านความน่าเชื่อถือขององค์กร (Reputational Risks) เป็นความเสี่ยงที่ส่งผลกระทบต่อชื่อเสียง ความเชื่อมั่น และความน่าเชื่อถือขององค์กร
3. การประเมินความเสี่ยง
เป็นวิธีการหาระดับความเสี่ยงโดยพิจารณาจากโอกาสการเกิดเหตุการณ์ความเสี่ยงและระดับผลกระทบที่มหาวิทยาลัยจะได้รับหากเกิดเหตุการณ์นั้นขึ้น
การระบุค่าโอกาสของความเสี่ยง จะระบุ “โอกาส” ที่จะเกิดความเสี่ยง (Likelihood) โดยอาจจะประเมินจากเหตุการณ์ที่เกิดขึ้นในอดีต หรือความน่าจะเป็นที่จะเกิดเหตุการณ์นั้นในอนาคต รวมถึงสภาพแวดล้อมเกี่ยวกับการควบคุมป้องกันในปัจจุบัน โดยมีเกณฑ์การให้คะแนน ดังนี้
การระบุค่าผลกระทบความเสี่ยง จะระบุ “ผลกระทบ” จากความรุนแรงถ้ามีความเสี่ยงดังกล่าวเกิดขึ้น จากเหตุการณ์ความเสี่ยง (Impact) ต่อการบรรลุวัตถุประสงค์หรือเป้าหมายที่ตั้งไว้ โดยมีเกณฑ์การให้คะแนน ดังนี้
จากนั้น ระบุค่าโอกาส (Likelihood) และค่าผลกระทบ (Impact) ที่ระบุขึ้น ในตารางระดับความเสี่ยง (Heat map) ซึ่งจะแยกสีตามระดับความเสี่ยง จำนวน 4 สี คือ
1. สีแดง (Red) ความเสี่ยงสูงมาก ( Extreme Risk)
2. สีส้ม (Orange) ความเสี่ยงสูง (High Risk)
3. สีเหลือง (Yellow) ความเสี่ยงปานกลาง (Medium Risk)
4. สีเขียว (Green) ความเสี่ยงต่ำ (Low Risk)
4. การตอบสนองความเสี่ยง/ระบุมาตรการบริหารความเสี่ยงที่เหมาะสม ขั้นตอนการระบุความเสี่ยงและประเมินความเสี่ยงระบุ ค่าโอกาสที่จะเกิดความเสี่ยง / ค่าผลกระทบความเสี่ยง จะใช้ แบบ RM-01 และจะคัดเลือกความเสี่ยงตั้งแต่ระดับปานกลางขึ้นไป เรียงลำดับและคัดลอกมายังแบบ RM-02 โดย RM-02 จะให้มีการรวบรวมกิจกรรมควบคุมซึ่งได้ดำเนินการในปัจจุบัน และหาความเสี่ยงส่วนที่เหลือก่อนที่จะประเมินความเสี่ยงส่วนที่เหลือต่อไป สำหรับช่อง “ความคิดเห็น” เพื่อให้ผู้ที่ดำเนินการจัดทำได้ทดลองเขียนมาตรการบริหารความเสี่ยง หรือ หมายเหตุความคืบหน้าของการดำเนินการบริหารความเสี่ยงที่เคยปฏิบัติอยู่
หลังจากที่ได้มีการประเมินความเสี่ยงแล้ว จะเป็นกระบวนการของการกำหนดมาตรการบริหารความเสี่ยง โดยการนำความเสี่ยงในระดับ ปานกลาง (M) สูง (H) และสูงมาก (E) มาดำเนินการระบุมาตรการบริหารความเสี่ยงที่เหมาะสม เพื่อจัดการให้ความเสี่ยงอยู่ในระดับที่องค์กรรับได้ และระบุงบประมาณ หน่วยงานที่รับผิดชอบ รวมถึงระยะเวลา ทั้งนี้ มาตรการบริหารความเสี่ยง สามารถกำหนดได้โดยมี 4 แนวทาง ตามความเหมาะสมคือ
1) การหลีกเลี่ยงความเสี่ยง (Terminate): การหลีกเลี่ยงเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น การหยุดดำเนินการ เปลี่ยนแปลงวัตถุประสงค์ หรือ การเปลี่ยนแปลงกิจกรรมที่เป็นความเสี่ยง การปรับเปลี่ยนรูปแบบการทำงาน การลดขนาดงานหรือกิจกรรมที่จะดำเนินการลง หรือเลือกกิจกรรมอื่นที่สามารถยอมรับได้มากกว่า เป็นต้น
2) การกระจาย / โอนความเสี่ยง (Transfer): การกระจายหรือการโอนความเสี่ยงทั้งหมดหรือเพียงบางส่วนไปยังผู้อื่นที่มั่นใจว่าสามารถควบคุมความเสี่ยงนั้นได้เป็นอย่างดี ทั้งนี้ เพื่อลดความสูญเสียที่อาจเกิดขึ้น เช่น การทำประกันภัย การจ้างบุคคลภายนอกดำเนินการแทน เป็นต้น
3) การลด / ควบคุมความเสี่ยง (Treat): การลดโอกาสในการเกิดความเสี่ยง และ/ หรือความรุนแรงของผลกระทบที่เกิดขึ้นโดยหาวิธีการเพิ่มเติมเพื่อการจัดการความเสี่ยง เช่น การออกแบบระบบควบคุมภายใน ปรับปรุงแก้ไขกระบวนการ การตรวจติดตาม การจัดทำแผนฉุกเฉิน การจัดทำมาตรฐานความปลอดภัย การฝึกอบรมเพื่อพัฒนาทักษะ เป็นต้น
4) การยอมรับความเสี่ยง (Take): การยอมรับให้มีความเสี่ยงปรากฎอยู่ เป็นความเสี่ยงที่หน่วยงานสามารถยอมรับได้ เนื่องจากมีกิจกรรมการควบคุมภายในที่ดีอยู่แล้ว และการจัดการความเสี่ยงไม่มีความคุ้มค่าเพียงพอต่อการดำเนินการในปีงบประมาณ
โดยในการระบุมาตรการบริหารความเสี่ยงที่เหมาะสม จะใช้ แบบ RM-03 ข้อมูลจัดทำแผนปฏิบัติการ (Action Plan)
5. การติดตามการดำเนินงาน
การติดตามผลการปฏิบัติตามแผนบริหารความเสี่ยง ดำเนินการเพื่อให้มั่นใจว่าการจัดการความเสี่ยงมีประสิทธิภาพ มีความเหมาะสม หรือควรปรับเปลี่ยนหากแผนนั้นไม่มีประสิทธิภาพเพียงพอ โดยขั้นตอนนี้ มหาวิทยาลัยกำหนดให้มีการการติดตามผลปีละ 2 ครั้ง คือ ในเดือน เมษายน และ กันยายน
6. ประเมินผลมาตรการ
ในแต่ละรอบปีงบประมาณ มหาวิทยาลัยจะดำเนินประเมินผลการดำเนินการจากตัวชี้วัดมาตรการบริหารความเสี่ยงที่กำหนดไว้ เพื่อเป็นการวัดผลว่ามหาวิทยาลัยสามารถบริหารจัดการความเสี่ยงให้ลดลงหรืออยู่ระดับที่ยอมรับได้แล้วหรือไม่