การนำไอทีมาช่วยบริหารความเสี่ยง

การนำไอทีมาช่วยบริหารความเสี่ยง

ดร.สันติพัฒน์ อรุณธารี Chief Technology Officer (CTO)

บริษัท พีทีที ไอซีที โซลูชั่นส์ จ ากัด

บทคัดย่อ

            การบริหารความเสี่ยงเป็นองค์ประกอบสำคัญของหลักการบริหารองค์กรที่ดี ซึ่งช่วยจัดการความไม่แน่นอน
ลดความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นกับธุรกิจได้ และยังช่วยให้องค์กรดำเนินธุรกิจได้อย่างต่อเนื่อง  หลักของการบริหารความเสี่ยงมีกรอบแนวคิดในการจัดการความเสี่ยงที่หลายองค์กรนำไปปรับใช้และเป็นที่รู้จักอย่างแพร่หลายมี 2 แนวคิดได้แก่ กรอบแนวคิด COSO และกรอบมาตรฐาน ISO 31000 กรอบแนวคิด COSO เป็นมุมมองภาพกว้างที่ระบุถึงมิติและองค์ประกอบที่เกี่ยวข้องกับการบริหารความเสี่ยงที่ผู้บริหาร ผู้ตรวจสอบและผู้ปฏิบัติงานตรวจสอบนำไปปรับใช้อย่างกว้างขวาง แต่ผู้ปฏิบัติงานสายงานอื่นๆ อาจทำความเข้าใจยากกว่ากรอบมาตรฐาน ISO 31000 เพราะ ISO 31000 ได้ปรับปรุงกรอบแนวคิดไปสู่วิธีการบริหารความเสี่ยงเพื่อจัดการความเสี่ยงทางธุรกิจได้อย่างเป็นขั้นตอนสามารถนำไปปรับใช้กับองค์กรทั้งขนาดเล็กและขนาดใหญ่ได้ ทุกสายวิชาชีพเข้าใจได้ง่าย ดังนั้นจึงถูกนำมาใช้ในหลากหลายวิชาชีพได้มากขึ้น  เมื่อธุรกิจขยายตัวการกำกับดูแลกิจการและการให้ทุกหน่วยงานจัดการต่อความเสี่ยงที่เกิดขึ้นเป็นเรื่องที่ยาก หลายองค์กรจึงนำซอฟแวร์บริหารความเสี่ยงมาใช้แทนการปฏิบัติงานแบบ Manual ดังนั้นองค์กรจึงต้องมีการออกแบบกระบวนการบริหารความเสี่ยงการออกแบบระบบที่มีความสอดคล้องกับการทำงานปฏิบัติงานให้เกิดประโยชน์สูงสุดกับองค์กร  ในบทความฉบับนี้ผู้เขียนได้นำกระบวนการบริหารความเสี่ยงมาตรฐาน ISO 31000 มาผนวกเข้ากับ Function การทำงานของระบบที่องค์กรจะพัฒนา  เพื่อกำหนดเป็นกรอบหรือวิธีการในบริหารความเสี่ยงทั่วทั้งองค์กร  โดยได้ยกตัวอย่างตั้งแต่ขั้นตอนการริเริ่มโครงการ ขั้นตอนการออกแบบระบบ ขั้นการพัฒนาระบบ ขั้นเตรียมการก่อนขึ้นระบบใหม่และการจัดอบรมตลอดจนนำระบบไปใช้ได้จริง

1.       แนวคิดการบริหารความเสี่ยง

การบริหารความเสี่ยง หมายถึง กรอบการทำงานที่ใช้บ่งชี้ วิเคราะห์ ประเมิน จัดการและติดตามผล ตลอดจนการสื่อความเกี่ยวกับกิจกรรมของการจัดการความเสี่ยง ที่เกิดขึ้นตั้งแต่ระดับโครงการ (Project) ภายในหน่วยงาน (Section and division) ฝ่ายงาน (Department) และระดับองค์กร (Corporate) เพื่อช่วยลดความเสียหายให้เหลือน้อยที่สุด และเพิ่มโอกาสให้แก่ธุรกิจมากที่สุด ทั้งนี้ลักษณะของการบริหารความเสี่ยงที่สำคัญได้แก่

การบริหารความเสี่ยงเป็นหน้าที่และความรับผิดชอบของคณะกรรมการบริหาร ผู้บริหาร และบุคลากรทุกคนจะต้องมีส่วนร่วมในการกำหนดกลยุทธ์และการดำเนินงาน เมื่อการบริหารความเสี่ยงเกิดจากความร่วมมือกันของคนในองค์กรจากหลากหลายหน่วยงาน เมื่อการบริหารความเสี่ยงเกิดจากความร่วมมือกันของคนในองค์กรจากหลากหลายหน่วยงานจึงจำเป็น ต้องมีกรอบในการดำเนินงานร่วมกันทั้งองค์กร ซึ่งปัจจุบันมีกรอบหรือมาตรฐานสากลที่ได้รับการยอมรับและนำมาใช้ 2 แนวคิดได้แก่ 2.1) กรอบในการบริหารความเสี่ยงตามแนวคิด COSO ERM 2.2)       กรอบในการบริหารความเสี่ยงตามมาตรฐาน ISO 31000

1.1.    กรอบในการบริหารความเสี่ยงตามแนวคิด COSO ERM

กระบวนการบริหารความเสี่ยงที่พัฒนาจาก COSO มาจากหลักการควบคุมภายในตามกรอบแนวคิดการบริหารความเสี่ยงทั่วทั้งองค์กร โดยคณะทำงานผู้เชี่ยวชาญทางด้านการบริหารความเสี่ยงที่รู้จักในนาม COSO (The Committee of Sponsoring Organization of Treachery Commission: COSO) ซึ่งหลักของ COSO-ERM มีส่วนประกอบสำคัญ 3 มิติ ได้แก่

1) Risk Objective คือการระบุถึงวัตถุประสงค์ของการดำเนินการที่กำหนดไว้และระบุว่าทำไมองค์กรหรือหน่วยงานต้องบริหารความเสี่ยง

2) Organization Level คือการระบุหน่วยงานที่มีหน้าที่รับผิดชอบในการบริหารความเสี่ยง

                      3) Interrelated components ซึ่งจะระบุไว้ถึงองค์ประกอบของการบริหารความเสี่ยง 8 หัวข้อเป็นสำคัญ ที่องค์กรสามารถนำไปปรับใช้ดังต่อไปนี้

2.2   กรอบในการบริหารความเสี่ยงตามมาตรฐาน ISO 31000

มาตรฐานการบริหารความเสี่ยง ISO 31000 ถูกพัฒนามาจากแนวทางการบริหารความเสี่ยงตามมาตรฐาน AS/NZS 4360 เป็นมาตรฐานการบริหารความเสี่ยงระดับสากล (International Organization of standard: ISO)  เรียกว่า Risk management guidelines on principles and implement of risk management จุดเด่นของมาตรฐาน ISO 31000 มุ่งเน้นการวางแนวปฏิบัติ ให้กับองค์กร โดยองค์กรธุรกิจทั้งขนาดเล็กและใหญ่สามารถนำกระบวนการประเมินความเสี่ยงตาม ISO 31000 ไปปรับใช้เป็นแนวปฏิบัติขององค์กรได้ตาม 5 ขั้นตอนและ 2กิจกรรมสำคัญที่ช่วยให้การบริหารความเสี่ยงมีการดำเนินการอย่างต่อเนื่อง มาตรฐาน ISO 31000:2009 กรอบในการบริหารความเสี่ยงตามมาตรฐาน ISO 31000 มีความสัมพันธ์กันดังนี้

ส่วนที่ 1    หลักการและแนวปฏิบัติ (Principles and Guideline) เป็นส่วนที่อธิบายถึงสภาพแวดล้อมและสิ่งที่ต้องคำนึงถึงตามรายละเอียดที่อธิบายตามภาพ Figure2 (1)  ซึ่งควรจะต้องทำก่อน แล้วจะนำไปสู่ model ของการออกแบบกรอบในการบริหารความเสี่ยงให้กับองค์กร

ส่วนที่ 2    กรอบแนวทางปฏิบัติ (Framework) คือรูปแบบที่กำหนดร่วมกันในการบริหารจัดการความเสี่ยงขององค์กร ซึ่งอาจกำหนดเป็นแผนงานตลอดทั้งปีในการกำกับและดูแลความเสี่ยง โดยรูปแบบดังกล่าวก็คือกรอบตาม Figure 2 ข้อ 2 ที่เชื่อมโยงไปถึงการพัฒนาเป็นกระบวนการและขั้นตอนในการปฏิบัติงานประเมินความเสี่ยงต่อไป

                  ส่วนที่ 3   กระบวนการ (Process) คือขั้นตอนในการบริหารความเสี่ยงกำหนดไว้ 5 ขั้นตอน 2 กิจกรรมต่อเนื่อง ตามภาพ figure2 (3) ซึ่งก่อนจะทำกระบวนการดังกล่าวได้องค์กรจะต้องกำหนดกรอบในการบริหารงานร่วมกันกับทีมงานและผู้บริหารขององค์กรในส่วนที่ 2 เสียก่อน

กระบวนการบริหารเสี่ยงตาม มาตรฐาน ISO 31000: 2009 ที่สำคัญประกอบด้วยขั้นตอนดังต่อไปนี้

1.       การกำหนดสภาพแวดล้อม/วัตถุประสงค์ (Establish the context)

2.       การระบุความเสี่ยง (Risk identification)

3.       การวิเคราะห์ความเสี่ยง (Risk Analysis)

4.       การประเมินความเสี่ยง (Risk Evaluation)

5.       การจัดการความเสี่ยง (Risk Treatment)

Additional activities

6.       การจัดประสานงานติดต่อสื่อสารและการให้คำปรึกษา (Communication and consultant)

การติดตามและตรวจสอบ (Monitoring and review)

หลักการบริหารความเสี่ยงที่องค์กรนำไปปรับใช้และได้รับการยอมรับคือ COSO ERM และ ISO 31000 ซึ่งกรอบการดำเนินงานทั้ง 2 วิธีมีแนวปฏิบัติที่สอดคล้องกันคือการมุ่งเน้นกระบวนการที่จะต้องมีการปรับปรุอย่างต่อเนื่อง ซึ่งจะทำให้ผู้มีส่วนได้เสียขององค์กรมั่นใจได้ว่าองค์กรมีการบริหารจัดการที่ดีและมีประสิทธิภาพจากกระบวนการควบคุมและติดตามผลที่ได้กำหนดไว้ แต่ผู้อ่านสามารถสังเกตจากภาพ Figure 1 และ 2 ดังกล่าวข้างต้นจะเห็นถึงความแตกต่างระหว่าง 2 แนวคิด สามารถสรุปได้ดังนี้

จากตารางเปรียบเทียบด้านบนจะเห็นได้ว่า COSO ERM เป็นองค์ประกอบที่ต้องมองภาพขนาดใหญ่เป็นมิติที่เชื่อมโยงกันทุกส่วนและควรมีการดำเนินงานด้านความเสี่ยงให้ครอบคลุมทุกด้านตามวัตถุประสงค์ที่กำหนด เช่น การประเมินความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านปฏิบัติการ ความเสี่ยงตามระเบียบข้อบังคับ ซึ่ง COSO ERM มุ่งเน้นให้องค์กรทั้งขนาดเล็กและขนาดใหญ่ควรจะบริหารความเสี่ยงทุกด้าน  แต่บ ISO 31000 เป็นมาตรฐานที่องค์กรสามารถนำไปปรับใช้ได้ทั้งองค์กรขนาดเล็กและขนาดใหญ่ เพราะ ISO 31000 ไม่ได้มุ่งเน้นว่าจะต้องทำการประเมินความเสี่ยงในด้านใดบ้าง แต่ระบุว่าจะต้องมีการออกแบบ Risk Management Model ร่วมกันและทำการประเมินความเสี่ยงตามกระบวนการและขั้นตอนที่มีระบบระเบียบไว้อย่างชัดเจน จนทำให้องค์กรที่ปฏิบัติตามมาตรฐาน ISO 31000 สามารถปฏิบัติตามจนผ่านเกณฑ์การการประเมินตามมาตรฐานสากลได้ เป็นเครื่องประกันผลการปฏิบัติงานให้กับองค์กรได้เป็นอย่างดี ทำให้คู่ค้าและลูกค้ามั่นใจได้ว่าหากดำเนินธุรกิจกับองค์กรของเราโอกาสที่จะประสบความสำเร็จก็จะสูงตามไปด้วย   ดังนั้นปัจจุบันองค์กรธุรกิจหรือบริษัทผู้พัฒนาซอฟแวร์ด้านบริหารความเสี่ยงจึงเริ่มพัฒนากระบวนการบริหารความเสี่ยงและออกแบบระบบโดยอ้างอิงการประเมินความเสี่ยงตาม ISO 31000 มากยิ่งขึ้น

การเตรียมความพร้อมก่อนการพัฒนาระบบ

ปัจจุบันการบริหารความเสี่ยงขององค์กรส่วนมากยังใช้วิธีการ เช่น การใช้  2) Product eGRC version 5.2 และ 3)  IBM OpenPages GRC version 6.1 เป็นต้น Source: Gartner (October 2012) ระบบงานเหล่านี้มีจุดเด่นจุดด้อยแตกต่างกันไปขึ้นอยู่กับวัตถุประสงค์ของการนำไปใช้  ซึ่งต้องผ่านกระบวนการคัดเลือกผลิตภัณฑ์ขององค์นั้นๆ จะเป็นอย่างไร ทั้งนี้ต้องพิจารณาความเป็นไปได้และประโยชน์ที่จะได้รับสูงสุดตามวัตถุประสงค์ของการนำไปใช้จริงๆ  และสิ่งคาดหวังว่าจะได้รับ ซึ่งต้องมั่นใจได้ว่าเหมาะกับองค์กรเราจริงๆ จึงจะตัดสินใจนำระบบดังกล่าวมาออกแบบใช้นำกระบวนการบริหารความเสี่ยงของเรา

 1.       ข้อความพิจารณาในการออกแบบระบบให้สอดคล้องกับกระบวนการบริหารความเสี่ยง

องค์กรที่นำระบบมาใช้ จำเป็นต้องดำเนินงานดำเนินแผนงาน ร่วมกับระบบที่กำลังพัฒนานา ต้องออกแบบให้รองรับกระบวนการทำงานอยู่ในปัจจุบัน โดยระบบระบบและกระบวนการเดิมต้องถูก

1.1.     พิจารณาระดับการจัดการภายในองค์กรเพื่อวางกรอบบริหารความเสี่ยง

ตัวอย่างการออกแบบโครงสร้างการบริหารความเสี่ยงที่จะต้องถูกออกแบบไว้ในระบบงาน

จากภาพแสดงระดับภายในองค์กรเพื่อใช้กำหนดรูปแบบการบริหารความเสี่ยง จะช่วยให้การออกรายงานสามารถรวบรวมชุดของระดับความสำคัญของ แบ่งแยกตาม 

          จากภาพการออกแบบโครงสร้าง Organization structure ของการทำ Risk management ขององค์กรธุรกิจ จะเห็นได้ว่ามีการออกแบบตั้งแต่การจัดทำกระบวนการบริหารความเสี่ยงตั้งแต่ระดับโครงการ (Project) ที่สามารถพิจารณาถึงความเสี่ยงของแต่ละโครงการได้ สามารถ consolidate ขึ้นไปในระดับ Business Unit ได้ ซึ่งทั้งสองระดับรวมเรียกว่า Operational risk ตลอดจนระบบสามารถ consolidate ขึ้นไปจนถึง Corporate risk  โดยออกรายงานที่เรียกว่า Corporate risk profile จากตัวอย่างที่ได้กล่าวมาเป็นเพียงการยกตัวอย่างโครงสร้างความเสี่ยงขององค์กรที่ใดที่หนึ่งเท่านั้น ขึ้นอยู่กับองค์กรของท่านว่าจะมองความเสี่ยงและจำลำดับความเสี่ยงขึ้นไปกี่ระดับและจะมีมุมมองของรายงานอย่างไร (ก็จะถูกกำหนดตามโครงสร้างนั้นๆ) 

1.1.     พิจารณาผลกระทบของความเสี่ยงว่าจะกระทบในระดับ Corporate ระดับ Business strategic หรือระดับ Project นั่นหมายความว่าจะส่งผลต่อมุมมองของรายงานที่จะถูกใช้ในแต่ละระดับด้วย

1.2.     การออกแบบระบบจะต้องสามารถ Group  Impact หรือ driver ได้และยังต้องแจกแจงรายละเอียดที่แท้จริงของ impact / driver ได้มากกว่า 1 สาเหตุที่ต้องละเอียดเพราะเมื่อความเสี่ยงเกิดขึ้น driver or impact จะต้องสะท้อนให้ผู้รับผิดชอบรับทราบได้อย่างตรงประเด็น

1.3.     พิจารณาความหมายและนิยามที่ต้องเข้าใจในทิศทางเดียวกันทั้งธุรกิจและผู้พัฒนาระบบ

1.4.     พิจารณาเกี่ยวกับระบบจะต้องเป็นมาตรฐานสากล Project จะต้องมีทั้ง Technical Consultant และ Business consultant ที่มีความเชี่ยวชาญใน Risk Management เพื่อกำหนด to be Process for Risk Management (จะต้องถูกระบุอยู่ใน business blueprint) ที่เชื่อมโยงกับระบบได้

1.5.     ซอฟแวร์ในการบริหารความเสี่ยงจะต้องถูกออกแบบให้รองรับกระบวนการวัดและประเมินผลกระบวนการด้านความเสี่ยงขององค์กรด้วย ในขั้นตอนของการ Identify risk หากองค์กรที่ให้ความสำคัญของการติดตามผลระบบที่นำมาใช้จะต้องนำแนวคิด Key Risk Indicators – KRIs มาปรับใช้ โดยซอฟแวร์จะต้องมีกระบวนการทำงานดังนี้

§  สามารถกำหนดหน้าที่ของสปอนเซอร์หรือผู้สนับสนุนการพัฒนา Key Risk Indicators – KRIs ที่จะต้องถูกกำหนดมาจากฝ่ายบริหารได้

§  สร้างกลไกการสื่อสาร การซักซ้อมความเข้าใจ การมอบหมายกระจายหน้าที่ความรับผิดชอบในการจัดทำข้อมูลสถานะความเสี่ยงตาม Key Risk Indicators – KRIs ที่กำหนดไว้โดยเฉพาะจุดที่กำหนดเป็น Risk Appetite ด้วยตัวระบบได้

§  วางรูปแบบการรายงานทั้งในกรณีของสถานการณ์ปกติ และสถานการณ์ที่พบการเคลื่อนที่ของความเสี่ยงที่สอดคล้องและเป็นไปในทิศทางเดียวกันทั้งองค์กร

§  นำข้อมูลที่ถูกจัดเก็บในระบบมาพัฒนาและปรับปรุงประสิทธิผลของ Key Risk Indicators  KRIs ในการพยากรณ์สถานะความเสี่ยงที่อาจจะเกิดขึ้นไม่ว่าจะระดับไหนขององค์กรได้

§  เปรียบเทียบสถานะความเสี่ยงที่เป็นเกณฑ์ภายในกับเกณฑ์ภายนอกกิจการ เพื่อเป็นแนวทางในการพัฒนาปละปรับปรุง Key Risk Indicators – KRIs ต่อไป

1.6.     กระบวนการทำงานของ Risk Management Process จะต้องถูกกำหนดขึ้นมาใหม่เพราะการทำงานจะต้องถูกแบ่งแยกระหว่าง manual และ Automate โดยจะต้องถูกระบุไว้ใน phase การจัดทำ Business blueprint หรือข้อตกลงการ design ระบบ

1.7.     การกำหนด User ในระบบ เช่น Risk owner , Risk response เป็นต้น ซึ่งชื่อ Role เหล่านี้อาจไม่ตรงกับทีมงานที่ปฏิบัติงานในปัจจุบันก็ได้ จึงต้องมีการปรับจูนและถ่ายทอดให้เข้าใจ

1.8.     การใช้ระบบ Risk Management จำเป็นต้องมีผู้รับผิดชอบ 1 คนเป็น system admin ของระบบ Risk management ขึ้นมาใหม่ เนื่องจากการบริหารความเสี่ยงต้องมีการปรับปรุงกระบวนการอย่างต่อเนื่องรวมถึง framework ทีนำมาใช้งานด้วย ดังนั้นการปรับแก้ไขระบบจึงต้องใช้ผู้มีความรู้ด้าน RM ถึงจะสามารถออกแบบโครงสร้างองค์กรของ RM ได้ถูกต้อง

1.9.     การจัด Train the Trainer อย่างจริงจังเพื่อสอน Risk Management team ให้เข้าใจระบบและถ่ายทอดให้ Risk owner หรือ Risk coordinator ของแต่ละหน่วยงานได้

สรุป

เนื่องด้วยซอฟแวร์ที่ช่วยบริหารความเสี่ยงมีค่าใช้จ่ายในการพัฒนาที่ค่อนข้างสูง เพราะเกี่ยวเนื่องกับทุกหน่วยงานขององค์กร โดยเฉพาะการพัฒนาระบบที่ต้องการวางรากฐานขององค์กรด้วยระบบงาน  GRC  ดังนั้นการตัดสินใจนำระบบงานดังกล่าวมาใช้ต้องเตรียมความพร้อมให้กับองค์กรและเตรียมทีมงานที่เกี่ยวข้องเพื่อช่วยกันออกแบบกระบวนการและประยุกต์ใช้ซอฟแวร์  โดยกำหนดวัตถุประสงค์ของการนำมาใช้ให้ชัดเจนตั้งแต่ริเริ่มโครงการ ซึ่งวัตถุประสงค์ในการดำเนินโครงการดังกล่าวจะต้องคำนึงองค์ประกอบของระบบงานที่ช่วยสนับสนุนกระบวนการบริหารความเสี่ยงดังต่อไปนี้

1.       ระบบจะต้องช่วยจัดเก็บข้อมูลที่เกี่ยวข้องกับความเสี่ยง ตั้งแต่กำหนดความเสี่ยง ผู้รับผิดชอบ วัตถุประสงค์ของหน่วยงานหรือขอบเขตของความเสี่ยงที่เกี่ยวข้อง ตัวอย่างเช่น การกำหนด Project objective , Risk event ความสัมพันธ์ของความเสี่ยงว่ามีปัจจัยขับเคลื่อนอะไร (driver) และผลกระทบคาดว่าจะเกิดขึ้นอย่างไร

2.       ระบบจะต้องช่วยนำข้อมูลจากข้อ 1 มาวิเคราะห์และคาดคะเนว่าความเสี่ยงที่จะเกิดขึ้นอยู่ในระดับใด เมื่อเกิดขึ้นแล้วค่าของผลกระทบที่จะเกิดขึ้นจะส่งผลเป็นตัวเงินหรือแสดงให้เห็นความสัมพันธ์ของผลกระทบว่าจะก่อให้เกิดผลเสียหายกับธุรกิจด้านใดบ้างตามวัตถุประสงค์ของธุรกิจได้

3.       ระบบจะช่วยแสดงเตือนเมื่อเกิดผลกระทบจากปัจจัยเสี่ยงต่างๆ ได้  ระบบต้องช่วยเตือนเมื่อถึงระยะเวลาตามแผนงานที่กำหนดไว้ว่าจะต้องมีการรายงานผลและจัดทำการประเมินความเสี่ยง

4.       ระบบจะต้องช่วย consolidate Risk จากทุกหน่วยงานขององค์กร เพื่อช่วยในการจัดทำ Risk Profile และช่วยให้ผู้บริหารเห็นภาพรวมของความเสี่ยงทั้งองค์กรได้อย่างแท้จริง

5.       ระบบจะต้องช่วยวางรูปแบบการรายงานทั้งในกรณีของสถานการณ์ปกติ และสถานการณ์ที่พบการเคลื่อนที่ของความเสี่ยงที่สอดคล้องและเป็นไปในทิศทางเดียวกันทั้งองค์กร

6.       ระบบจะต้องสามารถปรับใช้ในเรื่อง Key Risk Indicators (KRIs) ขององค์กรได้ ซึ่งแนวคิดที่สำคัญในการกำหนด KRIs องค์กรจะต้องมีการกำหนดหน้าที่ของผู้รับผิดชอบที่จะต้องถูกกำหนดมาตั้งแต่ผู้บริหารระดับสูง แล้วมอบหมายกระจายหน้าที่ความรับผิดชอบมายังผู้ปฏิบัติงานในระดับล่างได้ ดังนั้นซอฟแวร์และกระบวนการจะต้องสอดคล้องกัน เพื่อจัดทำฐานข้อมูลที่มาใช้อ้างอิงหรือเทียบเคียงให้สามารถกำหนดเป็น scenario ทำการประเมินว่าสถานการณ์ที่อาจจะเกิดขึ้นน่าจะมีรายละเอียดของความเสียหายอย่างไรบ้าง และสถานการณ์ที่ถือว่าเลวร้ายที่สุด หรือ Worst case นั้นมีรายละเอียดของความเสียหายอย่างไร เพื่อใช้ในการพิจารณากำหนด Key Risk Indicators – KRIs และ Trigger point ให้กับระบบได้  

ส่วนอ้างอิง

-          การบริหารความเสี่ยงตามมาตรฐาน ISO 31000: 2009, http://www.juliantalbot.com/Downloads.htm,

-          การบริหารความเสี่ยงตาม COSO ERM https://www.coso.org

-          Risk IT’s Domain model source: ISACA’s Risk IT framework ที่มา: (The Risk iT FRamewoRk excerpt)  http://www.isaca.org/knowledge-center/research/documents/RiskIT-FW, page 15, 2552

กรอบการบริหารความเสี่ยงตาม ISO และ COSO ERM อาจารย์ จิรพร  สุเมธีประสิทธิ์http://chirapon.wordpress.com