การบริหารความเสี่ยง (Risk Management)

การบริหารความเสี่ยง (Risk Management) เป็นกลวิธีที่เป็นเหตุเป็นผลที่นำมาใช้ในการบ่งชี้ วิเคราะห์ ประเมิน จัดการ ติดตาม และสื่อสารความเสี่ยงที่เกี่ยวข้องกับกิจกรรมหน่วยงาน/ฝ่ายงาน หรือกระบวนการดำเนินงานขององค์กร เพื่อช่วยลดความสูญเสียในการไม่บรรลุเป้าหมายให้เหลือน้อยที่สุดและเพิ่มโอกาสแก่องค์กรมากที่สุด
การบริหารความเสี่ยงยังหมายความถึง การประกอบกันอย่างลงตัวของวัฒนธรรมองค์กร กระบวนการและโครงสร้างองค์กร ซึ่งมีผลโดยตรงต่อประสิทธิภาพการบริหาร และผลได้ผลเสียขององค์กรอีกด้วย
การบริหารความเสี่ยงขององค์กรโดยรวม (Enterprise Wide Risk Management คือ การบริหารความเสี่ยงโดยมีโครงสร้างองค์กร กระบวนการ และวัฒนธรรมองค์กร ประกอบเข้าด้วยกันและมีลักษณะสำคัญ ดังนี้
- ผสมผสานและเป็นส่วนหนึ่งขององค์กร เพราะเป็นกลไกส่วนหนึ่งของการขับเคลื่อนไปสู่การกำกับดูแลกิจการที่ดี เพื่อบรรลุวัตถุประสงค์และการเติบโตอย่างยั่งยืนขององค์กร และเป็นที่พอใจของผู้มีผลประโยชน์ร่วม
- การบริหารความเสี่ยงควรสอดคล้องกับแผนการดำเนินงานต่างๆ ขององค์กร เพื่อบรรลุวัตถุประสงค์ การตัดสินใจ และสามารถนำไปใช้กับองค์ประกอบอื่นๆ ในการบริหารขององค์กรได้เป็นอย่างดี
- พิจารณาความเสี่ยงทั้งหมด โดยครอบคลุมความเสี่ยงทั่วทั้งองค์กร ไม่ว่าจะเป็นความเสี่ยงเกี่ยวกับกลยุทธ์ การดำเนินงาน การปฏิบัติตามกฎระเบียบ และการเงิน ซึ่งความเสี่ยงเหล่านี้อาจทำให้เกิดความเสียหาย ความไม่แน่นอน และโอกาส รวมถึงการมีผลกระทบต่อวัตถุประสงค์และความต้องการของผู้มีผลประโยชน์ร่วม
ความเสี่ยงโดยรวมของทุกองค์กร ได้แก่
- ความเสี่ยงเกี่ยวกับกลยุทธ์ (Strategic Risk)
- ความเสี่ยงเกี่ยวกับประสิทธิภาพและประสิทธิผลในการดำเนินงาน(Operational Risk)
- ความเสี่ยงเกี่ยวกับการรายงานทุกประเภท รวมทั้งรายงานทางการเงิน (Financial Risk) และ
- ความเสี่ยงทางด้านการปฏิบัติตามกฎหมาย ระเบียบ คำสั่งต่าง ๆ ที่เกี่ยวข้อง (Compliance Risk)
ซึ่งความเสี่ยงเหล่านี้อาจทำให้เกิดความเสียหาย ความไม่แน่นอน และการสูญเสียโอกาสการสร้างคุณค่าเพิ่ม รวมถึงการมีผลกระทบต่อวัตถุประสงค์ และความพึงพอใจของผู้มีส่วนได้เสียอย่างสำคัญ
การบริหารความเสี่ยงมีความคิดแบบมองไปข้างหน้า โดยบ่งชี้ปัจจัยของความเสี่ยงว่าเหตุการณ์ใดที่อาจจะเกิดขึ้นที่มีผลทางลบ และหากเกิดขึ้นจริงจะมีผลกระทบอย่างไรต่อการบรรลุวัตถุประสงค์ขององค์กร เพื่อให้ผู้บริหารที่เกี่ยวข้องจัดให้มีแนวทางป้องกันและการจัดการที่เหมาะสม ก่อนเกิดปัญหาจริงๆ ในภายหน้า
การบริหารความเสี่ยงต้องได้รับการสนับสนุนและมีส่วนร่วม โดยทุกคนในองค์กรตั้งแต่ระดับกรรมการบริหาร ผู้บริหารระดับสูง และพนักงานทุกคนมีส่วนร่วมในการบริหารความเสี่ยง เพื่อความสำเร็จของเป้าประสงค์ พันธกิจ และวิสัยทัศน์ขององค์กร
การบริหารความเสี่ยงเป็นองค์ประกอบสำคัญของการกำกับดูแลกิจการ เพื่อช่วยให้องค์กรทั่วไป บรรลุวัตถุประสงค์หรือกลยุทธ์ทางธุรกิจที่กำหนดไว้ ช่วยให้เกิดผลการดำเนินงานที่ดี และปฏิบัติงานตามกฎระเบียบที่เกี่ยวข้อง
คณะกรรมการบริหาร และผู้บริหารขององค์กรทั่วไป ควรมีความเข้าใจต่อผลลัพธ์ในข้อดี และข้อด้อยของแต่ละเหตุการณ์ที่อาจเกิดขึ้น และจัดให้มีการบริหารความเสี่ยงที่มีประสิทธิภาพ เพื่อช่วยเพิ่มโอกาสแห่งความสำเร็จ ลดโอกาสของการล้มเหลว และลดความไม่แน่นอนในผลการดำเนินงานโดยรวม เพื่อก้าวสู่วิสัยทัศน์ขององค์กรได้อย่างมั่นใจ
ประโยชน์จากการบริหารความเสี่ยง
- เป็นการสร้างฐานข้อมูลความรู้ที่มีประโยชน์ต่อการบริหารและการปฏิบัติงานในองค์กร การบริหารความเสี่ยงจะเป็นแหล่งข้อมูลสำหรับผู้บริหารในการตัดสินใจด้านต่าง ๆ เนื่องจากการบริหารความเสี่ยง เป็นการดำเนินการซึ่งตั้งอยู่บนสมมุติฐานในการตอบสนองต่อเป้าหมายและภารกิจหลักขององค์กร
- ช่วยสะท้อนให้เห็นภาพรวมของความเสี่ยงต่าง ๆ ที่สำคัญได้ทั้งหมด การบริหารความเสี่ยงจะทำให้พนักงานภายในองค์กรมีความเข้าใจถึงเป้าหมายและภารกิจหลักขององค์กร และตระหนักถึงความเสี่ยงสำคัญที่ส่งผลกระทบในเชิงลบต่อองค์กรได้อย่างครบถ้วน ซึ่งครอบคลุมความเสี่ยงที่มีเหตุทั้งจากปัจจัยภายในองค์กร และจากปัจจัยภายนอกองค์กร
- เป็นเครื่องมือสำคัญในการบริหารงาน การบริหารความเสี่ยงเป็นเครื่องมือที่ช่วยให้ผู้บริหารสามารถมั่นใจได้ว่าความเสี่ยงได้รับการจัดการอย่างเหมาะสมและทันเวลา รวมทั้งเป็นเครื่องมือที่สำคัญของผู้บริหารในการบริหารงาน และการตัดสินใจในด้านต่างๆ เช่น การวางแผน การกำหนดกลยุทธ์ การติดตามควบคุมและวัดผลการปฏิบัติงาน ซึ่งจะส่งผลให้การดำเนินงานเป็นไปตามเป้าหมายและสามารถสร้างมูลค่าเพิ่มให้แก่องค์กร
- ช่วยให้การพัฒนาองค์กรเป็นไปในทิศทางเดียวกัน การบริหารความเสี่ยงทำให้รูปแบบการตัดสินใจในการปฏิบัติงานขององค์กรมีการพัฒนาไปในทิศทางเดียวกัน เช่น การตัดสินใจโดยที่ผู้บริหารมีความเข้าใจในกลยุทธ์ วัตถุประสงค์ขององค์กร และระดับความเสี่ยงอย่างชัดเจน
- ช่วยให้การพัฒนาการบริหารและจัดสรรทรัพยากรเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล การจัดสรรทรัพยากรเป็นไปอย่างเหมาะสม โดยพิจารณาถึงระดับความเสี่ยงในแต่ละกิจกรรมและการเลือกใช้มาตรการในการบริหารความเสี่ยง
การนำ การบริหารความเสี่ยง ไปใช้ในองค์การ
ความเสี่ยงจะมีอยู่ในทุก ๆ ระบบขององค์กรและในขณะเดียวกันความเสี่ยงก็จะมีหลายมิติ ดังนั้นการบริหารความเสี่ยงจึงต้องมองในภาพรวมขององค์กร หรือที่เราเรียกว่า “การบริหารความเสี่ยงทั่วทั้งองค์การ หรือ Enterprise Risk Management : ERM” ซึ่งก็จะมีอยู่ 8 องค์ประกอบ
- ปัจจัยภายในองค์กร (Internal Environment) อาจกล่าวได้ว่า “ปัจจัยภายในองค์กร” ถือเป็นรากฐานที่สำคัญขององค์ประกอบต่าง ๆ เพราะจะเป็นเรื่องของค่านิยม แนวทางการบริหารงานของผู้นำ รวมไปถึงบรรยากาศที่จะทำให้บุคลากรในองค์กรควบคุมและดำเนินภารกิจให้บรรลุผลตามหน้าที่และความรับผิดชอบ หรืออาจจะกล่าวโดยรวม ๆ ก็คือวัฒนธรรมองค์กรนั่นเอง เพราะหากองค์กรใดมีวัฒนธรรมที่ให้ความสำคัญในเรื่องการบริหารความเสี่ยงก็จะทำให้องค์กรนั้น ๆ สามารถบรรลุผลตามเป้าหมายได้ดีกว่าองค์กรที่ไม่ได้ให้ความสำคัญกับการบริหารความเสี่ยง
- การตั้งวัตถุประสงค์ (Objective Setting) สำหรับในองค์ประกอบนี้ก็เป็นเรื่องของการกำหนดวัตถุประสงค์ของการบริหารความเสี่ยงในแต่ละระดับ เช่น ระดับองค์กร (Business unit) ระดับกลยุทธ์ (Strategic) หรือ การดำเนินงาน (Operations) เป็นต้น
- การระบุเหตุการณ์หรือปัญหาที่จะเกิดขึ้น (Event Identification) ซึ่งก็หมายถึง การระบุ ความเสี่ยงนั่นเอง สำหรับองค์ประกอบนี้ถือว่ามีความสำคัญเป็นอย่างมาก ก็เหมือนกับการแก้ไขปัญหาทั่ว ๆ ไปนั่น หล่ะครับ ถ้าเราไม่ทราบถึงปัญหาที่แท้จริง หรือแก้ไขปัญหาไม่ถูกจุดก็จะทำให้ปัญหาดังกล่าวไม่คลี่คลาย ในทำนองเดียวกันหากเราไม่สามารถระบุถึงความเสี่ยงที่อาจจะเกิดขึ้นกับองค์กรได้อย่างถูกต้องก็จะส่งผลให้องค์กรยังต้องเผชิญกับความเสี่ยงนั้น ๆ อยู่ หรืออาจทำให้องค์กรไม่สามารถดำเนินงานภายใต้ความเสี่ยงได้อย่างมีประสิทธิภาพ ทั้งนี้ความเสี่ยงอาจแบ่งออกได้ 4 ด้าน ดังนี้ คือ
- ความเสี่ยงในเชิงกลยุทธ์ (Strategic Risk) ซึ่งก็จะมองในเรื่องของการเลือกกลยุทธ์ที่เหมาะสม ที่จะนำมาใช้ในการดำเนินงานขององค์กร
- ความเสี่ยงด้านการเงิน (Financial Risk) อันนี้จะพิจารณาในเรื่องฐานะทางการเงิน
- ความเสี่ยงด้านการดำเนินงาน (Operational Risk) สำหรับความเสี่ยงในด้านนี้จะเป็นเรื่อง ของรายละเอียดเพราะจะมองในมิติของการปฏิบัติงาน เช่น เรื่องของเวลา ความสูญเสียต่าง ๆ หรืออาจกล่าวได้ว่าเป็นความเสี่ยงในการดำเนินงานตามโครงการ
- ความเสี่ยงในการปฏิบัติตามกฎระเบียบข้อบังคับที่เกี่ยวข้อง (Compliance Risk) จะมอง ในเรื่องการปฏิบัติตามกฎหมาย เช่น ความเสี่ยงของหน่วยงานต่อการถูกร้องเรียนจากประชาชน เป็นต้น
โดยการแบ่งความเสี่ยงออกเป็นทั้ง 4 ด้าน ก็จะช่วยในเรื่องของการกำหนดกรอบการพิจารณา ทั้งนี้ ก็เพื่อให้เกิดความครอบคลุมในทุก ๆ ด้านทั้งปัจจัยภายในและปัจจัยภายนอกของความเสี่ยง แต่อย่างไรก็ตามผมมีหลักคิดง่าย ๆ ในการระบุถึงความเสี่ยง ก็คือ การที่รู้ได้ว่าอะไรคือความเสี่ยงของเรา ก็เพียงต้องตอบคำถามให้ได้ว่า มีเหตุการณ์อะไรบ้างที่เกิดขึ้นแล้วหน่วยงานหรือผู้นำขององค์กรจะอยู่นิ่งเฉยไม่ได้ ? เช่น ความเสี่ยงของกลุ่มพัฒนาระบบบริหาร ก็คือ การดำเนินงานตามตัวชี้วัดของกรมการปกครองไม่เป็นไปตามเป้าหมาย ในขณะที่ความเสี่ยงขององค์กรภาคธุรกิจ คือ การประสบภาวะขาดทุน อย่างนี้ก็ถือว่าเป็นความเสี่ยงที่หากเกิดขึ้นแล้วไม่ว่าผู้นำหรือผู้ปฏิบัติงานภายในองค์กรจะไม่สามารถอยู่นิ่งเฉยได้ ดังนั้น จะเห็นได้ว่าความเสี่ยงจะมีความแตกต่างกันตามลักษณะของงานอันเป็นภารกิจหลักของแต่ละหน่วยงานและในขณะเดียวกันความเสี่ยงก็ยังมีระดับที่แตกต่างกันอีกด้วย เช่น ความเสี่ยงขององค์กร กับ ความเสี่ยงของหน่วยงานภายใน ก็จะมีความแตกต่างกันทั้งในเรื่องของวัตถุประสงค์และประเภทของความเสี่ยงเพียงแต่จะมีลักษณะที่ยังเชื่อมโยงซึ่งกันและกันอยู่
- การประเมินความเสี่ยง (Risk Assessment) สำหรับองค์ประกอบนี้มีวัตถุประสงค์อยู่ที่การแปลงข้อมูลดิบ (Data) ที่มีอยู่ให้อยู่ในรูปข้อมูลข่าวสาร (Information) ที่สามารถนำไปใช้ประกอบการตัดสินใจได้ หากยังจำตัวอย่างที่ผมได้กล่าวไว้เมื่อตอนแรกได้ เรื่องของการตัดสินใจนำร่มติดตัวไปทำงานด้วยในช่วงหน้าฝน โดยที่คนหนึ่งตัดสินใจเพราะอาศัยประสบการณ์ของตัวเองโดยเห็นว่าช่วงหน้าฝนก็มีความเป็นไปได้ที่ฝนจะตก ในขณะที่อีกคนตัดสินใจโดยใช้ข้อมูลที่ผ่านการวิเคราะห์มาแล้ว ดังนั้น หากเราตัดสินใจบนพื้นฐานของข้อมูลที่ไม่มีความแน่นอนภายใต้สภาวการณ์ที่ไม่แน่นอน (ฝนจะตกหรือไม่ ?) ก็จะยิ่งทำให้เราต้องเผชิญกับความเสี่ยงมากยิ่งขึ้น ทั้งนี้ หลักในการวิเคราะห์จะมีอยู่ 3 ประเด็น คือ
- การวิเคราะห์ลักษณะของความเสี่ยง ซึ่งก็จะประกอบไปด้วย 3 ประเด็นย่อย คือ
- โอกาสที่ความเสี่ยงจะเกิดขึ้น (Probability) โดยอาจจำแนกเป็นเป็นระดับต่าง ๆ เช่น สูง ปานกลาง หรือ ต่ำ หรืออาจคิดเป็นค่าร้อยละของโอกาสที่ความเสี่ยงนั้น ๆ จะเกิดขึ้น ซึ่งควรวิเคราะห์ทั้งจากข้อมูลในอดีตและข้อมูลภายใต้สถานการณ์ที่เป็นไปได้ทั้งหมด (scenario analysis)
- ผลกระทบ (Impact) หรือลักษณะของความเสียหายที่จะเกิดขึ้นหากมีความเสี่ยงนั้น ๆ ซึ่งผลกระทบก็จะเป็นเครื่องบ่งชี้ว่าความเสี่ยงนั้นๆ มีความรุนแรงมากน้อยเพียงใด ทั้งนี้ ควรจะพิจารณาถึงผลกระทบที่อาจเกิดขึ้นทั้งกับองค์กรและชุมชนที่อยู่รอบข้างด้วย
- ระยะเวลา (Timeframe) หมายถึง ระยะเวลาที่จะต้องดำเนินการสำหรับลดความเสี่ยงนั้น ๆ เช่น ต้องดำเนินการเร่งด่วน หรือ ไม่เร่งด่วน เป็นต้น
- การจำแนกกลุ่ม (Classifying) ของความเสี่ยง หมายถึงความเสี่ยงประเภทต่าง ๆ ตามที่ ได้กล่าวเอาไว้ในข้างต้น คือ ความเสี่ยงในเชิงกลยุทธ์ (Strategic Risk) ความเสี่ยงด้านการเงิน (Financial Risk) ความเสี่ยงด้านการดำเนินงาน (Operational Risk) และ ความเสี่ยงในการปฏิบัติตามกฎระเบียบข้อบังคับที่เกี่ยวข้อง (Compliance Risk)
- การจัดลำดับความสำคัญ (Prioritize) ของความเสี่ยง เพื่อพิจารณาดูว่ามีความเสี่ยงในเรื่องใดบ้างที่จำเป็นต้องให้ความสำคัญอยู่ในลำดับต้น ๆ หรือเป็นความเสี่ยงที่มีผลกระทบต่อการบริหารขององค์กรมากกว่าความเสี่ยงด้านอื่น ๆ
- การวิเคราะห์ลักษณะของความเสี่ยง ซึ่งก็จะประกอบไปด้วย 3 ประเด็นย่อย คือ
- การตอบสนองความเสี่ยง (Risk Response) จะเป็นการระบุถึงวิธีการที่จะใช้ตอบสนองความเสี่ยงที่อาจจะเกิดขึ้น โดยทั่วไปแล้วก็จะประกอบด้วย 4 วิธีการหลัก ๆ คือ
- การหลีกเลี่ยงความเสี่ยง (avoidance) ซึ่งวิธีการนี้ถือได้ว่าเป็นวิธีที่ง่ายที่สุด เพราะเป็นการเลือกที่จะไม่รับความเสี่ยงเอาไว้เลย ยกตัวอย่างเช่น หากท่านผู้อ่านมีความคิดที่จะลงทุนทางการเงินในรูปแบบประเภทต่าง ๆ ท่านผู้อ่านเองก็จำเป็นต้องมีการวิเคราะห์ทั้งในเรื่องต้นทุนกับผลประโยชน์ (cost-benefit analysis) รวมถึงความเสี่ยงว่าควรเลือกลงทุนทางการเงินในรูปแบบใดที่จะมีผลตอบแทนและมีความเสี่ยงอยู่ในระดับที่ยอมรับได้ เช่น หากท่านมีต้นทุนทางการเงินค่อนข้างจำกัดอาจเลือกที่จะลงทุนกับกองทุนรวมต่าง ๆ มากกว่าที่จะเลือกลงทุนโดยการเก็งกำไรจากการซื้อหุ้นในตลาดหลักทรัพย์ซึ่งจะมีความเสี่ยงที่สูงมากกว่า
- การควบคุมความสูญเสีย (reduction) หากท่านผู้อ่านยังจำได้ในตอนต้นที่ผมได้กล่าวถึงความเสี่ยงประเภทหนึ่ง คือ “ความเสี่ยงที่แท้จริง (pure risk)” ว่าเป็นความเสี่ยงที่มีอยู่โดยธรรมชาติ และเราก็ไม่สามารถที่จะหลีกเลี่ยงได้ ดังนั้น การตอบสนองความเสี่ยงในการเลือกใช้วิธีการหลีกเลี่ยงความเสี่ยง (avoidance) ในความเป็นจริงแล้วอาจทำไม่ได้ ดังนั้น จึงต้องมีการควบคุมความสูญเสียที่อาจจะเกิดขึ้น ซึ่งโดยทั่วไปแล้วก็จะมีอยู่ 2 วิธีการในการควบคุมความสูญเสียคือ
- วิธีการแรก คือ “การป้องกันการเกิดความสูญเสีย” เป็นวิธีการลดความถี่ของความเสี่ยงที่อาจจะเกิดขึ้น เช่น การติดตั้งระบบป้องกันไฟฟ้าลัดวงจร หรือ การติดตั้งสายล่อฟ้า เป็นต้น
- วิธีการที่สอง คือ “การควบคุมขนาดของความสูญเสีย” เป็นวิธีการควบคุมความรุนแรงของความสูญเสียที่ได้เกิดขึ้นแล้ว ยกตัวอย่างเช่น กรณีไข้หวัดนกที่เกิดขึ้น วิธีการหนึ่งที่ใช้ตอบสนองความเสี่ยงที่เกิดขึ้น คือ การจำกัดวงของการแพร่ระบาดโดยการกำจัดสัตว์ปีกในพื้นที่ที่มีความเสี่ยงเพื่อป้องกันไม่ให้แพร่ระบาดไปที่ยังพื้นที่อื่น ซึ่งนี่ก็ถือเป็นอีกวิธีการหนึ่งในการควบคุมขนาดของความสูญเสีย
- การถ่ายโอนความเสี่ยง (sharing) สำหรับวิธีการนี้ตัวอย่างที่เรามักจะพบเห็นได้บ่อยที่สุดก็คือ กรณีบริษัทประกันภัย เช่น การทำประกันภัยรถยนต์ก็ถือเป็นการถ่ายโอนความเสี่ยงของเจ้าของรถยนต์ หากมีกรณีเกิดอุบัติเหตุแล้วต้องมีการชำระเสียหายให้กาคู่กรณี โดยถ่ายโอนให้บริษัทประกันภัยเป็นผู้รับความเสี่ยงนี้เอาไว้แทน
- การรับความเสี่ยงไว้เอง (acceptance) เป็นวิธีที่จะใช้เมื่อเราวิเคราะห์ความเสี่ยงนั้นแล้วเห็นว่าไม่มีวิธีการใดเลยที่จะเหมาะสมนอกจากที่จะรับความเสี่ยงนั้นไว้เอง อย่างเช่น หากท่านผู้อ่านเพิ่งซื้อรถยนต์มาใหม่ คิดว่าท่านคงเลือกที่จะทำประกันภัยชั้นหนึ่ง นั่นคือเป็นการถ่ายโอนความเสี่ยงให้กับบริษัทประกันภัย หรือหากในชีวิตประจำวันท่านต้องใช้รถอยู่เป็นประจำในบริเวณเขตเมือง การถ่ายโอนความเสี่ยงก็อาจจะเป็นวิธีการที่เหมาะสมแต่หากท่านรถที่ท่านซื้อมามีอายุการใช้งานที่ค่อนข้างนานแล้วประกอบกับตัวท่านเองอาจจะไม่ค่อยได้ใช้รถคันนั้นสักเท่าไหร่ในชีวิตประจำวัน อย่างนี้ท่านอาจเลือกที่จะรับความเสี่ยงเอาไว้เองเพราะอาจจะไม่คุ้มค่าหากท่านต้องมีค่าใช้จ่ายที่เพิ่มขึ้นจากการประกันภัยรถยนต์ดังกล่าว
- กิจกรรมของการควบคุม (Control Activities) หมายถึง ขั้นตอนหรือนโยบายที่เป็นการควบคุมเพื่อให้เกิดความมั่นใจได้ว่าการตอบสนองความเสี่ยงที่ได้ทำในองค์ประกอบที่แล้วจะยังอยู่ระดับที่สามารถยอมรับได้
- การสื่อสารและการส่งข้อมูลที่สำคัญและจำเป็นต่อการบริหารความเสี่ยง (Information and Communication) สำคัญขั้นตอนนี้ถือว่ามีความสำคัญเพราะจะเป็นส่วนที่จะช่วยสนับสนุนในทุก ๆ องค์ประกอบที่ได้กล่าวมาแล้วข้างต้นโดยเฉพาะอย่างยิ่ง ปัจจัยภายในองค์กร (Internal Environment) อันเป็นรากฐานที่สำคัญขององค์ประกอบอื่น เพราะจะมีส่วนช่วยทำให้บุคลากรในองค์กรได้ทราบถึงทิศทางการดำเนินงานด้านการบริหารความเสี่ยงตลอดจนถึงเป็นการเสริมสร้างวัฒนธรรมที่เกี่ยวกับการบริหารความเสี่ยงขององค์กรอีกทางหนึ่งด้วย
- การตรวจติดตามการดำเนินงาน (Monitoring) จะเป็นการมองในภาพโดยรวมทั้งหมดของทุก ๆ องค์ประกอบที่ได้กล่าวมาแล้วในข้างต้น ทั้งนี้ ก็เพื่อให้มั่นใจได้ว่าการบริหารความเสี่ยงที่องค์กรได้นำมาใช้มีความเหมาะสมกับกลยุทธ์ขององค์กรมากน้อยเพียงใด
และทั้งหมดนี้ก็เป็นหลักการเบื้องต้นของการบริหารความเสี่ยง (Risk Management) สามารถนำมาประยุกต์ใช้กับภารกิจที่ได้รับมอบหมายได้ ซึ่งหากได้มีการนำเทคนิคการบริหารความเสี่ยงมาปฏิบัติอย่างจริงจังและต่อเนื่องจนกลายเป็นวัฒนธรรมขององค์กรแล้ว ก็จะช่วยให้การดำเนินงานขององค์กรสามารถบรรลุผลตามเป้าหมายได้อย่างมีประสิทธิภาพ ต่อไป