การบริหารความเสี่ยงและแผนรับสถานการณ์ฉุกเฉินและภัยภิบัติ

การบริหารความเสย่ี ง
และ

การใช้แผนรับสถานการณฉ์ ุกเฉินและภยั พบิ ตั ิ

วัตถปุ ระสงค์
1.เขา้ ใจแนวคิดการบริการความเสย่ี ง
2.การประเมนิ ผลกระทบและโอกาสความเสี่ยง
3.การใช้การบรหิ ารความเสี่ยงมาประยุกตใ์ ชใ้ นแผนบริหารความตอ่ เน่ือง (BCP)
4.สามารถนาแนวคิดไปจัดทา BCP ของหนว่ ยเพื่อยกระดบั การบรหิ ารจดั การภาครฐั

เกณฑ์ PMQA 62 หมวด 6

ตอบคาถามต่อไปนีใ้ หไ้ ด้
๑. วิเคราะหค์ วามเส่ยี งอย่างไร(เชน่ ใช้ COSO)
๒.ประเดน็ ความเส่ยี งมีอะไรบา้ ง / จดั ลาดบั ความสาคญั
๓.แตล่ ะประเดน็ (๕ ประเดน็ แรกตามขอ้ ๒)จดั การความเส่ยี

หรอื มีแนวทางปอ้ งกนั อยา่ งไร
๔.เม่ือความเส่ยี งเกิดขนึ้ หรอื ภยั พิบตั ิ/ภาวะฉกุ เฉิน ในแตล่ ะประเดน็

จะกคู้ ืนสภาพใหส้ ามารถกลบั มาปฏิบตั งิ านไดต้ ามปกติ
ไดอ้ ยา่ งไร
๕.มีกระบวนการทบทวน เรยี นรู้ อยา่ งไร

๖.มี KPI ท่ีแสดงใหเ้ ห็นวา่ มีการเตรยี มพรอ้ มตอ่ ภาวะฉกุ เฉิน

ตวั อย่าง KPI
-รอ้ ยละกาลงั พลท่ีไดร้ บั การอบรมการเตรยี มพรอ้ มตอ่ ภาวะฉกุ เฉิน
-จานวนครง้ั การซอ้ มการการรบั มือกบั สถานการณฉ์ กุ เฉิน(แตล่ ะประเภท)
-ระยะเวลาการกคู้ ืนสภาพใหก้ ลบั มาปฏบิ ตั ิงานไดต้ ามปกติ(เทียบเวลามาตรฐาน)
-ผลการประเมนิ ความพรอ้ มตอ่ ภาวะฉกุ เฉิน
-ระยะเวลาการกคู้ ืนสภาพ (ตามมาตรฐานของภยั พบิ ตั แิ ต่ละประเภท)

นิยาม : ความเสย่ี งคอื อะไร

ความเส่ียง (Risk) เป็นความไมแ่ นน่ อน (Uncertainly) ของเหตกุ ารณท์ ไ่ี ม่สามารถคาดการณ์
ล่วงหน้าได้ จงึ ให้ความเสยี่ งเปน็ โอกาส (Opportunity) ของเหตุการณ์ทีอ่ าจเกดิ ขนึ้ ได้เสมอ ในอนาคต
ทีจ่ ะเกิดความผดิ พลาด ทาให้เกดิ ความสญู เสยี ล้มเหลว หรือภยั อนั ตรายกบั บุคลากร องค์การ
สง่ ผลกระทบต่อการดาเนินทไ่ี มป่ ระสบความสาเร็จตามวัตถุประสงค(์ objective) และเปา้ หมาย(goal)
ขององค์การ ท้งั ในดา้ นยทุ ธศาสตร์ การปฏบิ ัตงิ าน การเงนิ และการบรหิ าร

การบรหิ ารความเสี่ยงท่วั ท้ังองค์กร: ERM (Enterprise Risk Management)

การระบุแนวทางในการจัดการกับความเสีย่ งดงั กล่าว ใหอ้ ยใู่ นระดับที่เหมาะสมหรอื ยอมรบั ได้
เพือ่ ช่วยใหอ้ งค์กรบรรลุในวตั ถุประสงคท์ ี่ตอ้ งการ ตามกรอบวสิ ยั ทัศน์ และพันธกิจขององค์กร

ท่วั ทัง้ องค์กร คอื ครอบคลมุ ทุกกิจกรรมทีจ่ ะนาไปสกุ่ ารบรรลุเปา้ หมาย เชน่
-แผนยุทธศาสตร์ (Strategic)
-ประสทิ ธภิ าพและประสิทธผิ ลการปฏบิ ัตงิ าน (Operations)
-การรายงาน (Reporting)
-การปฏิบัติตามกฎหมายและระเบียบที่เก่ียวข้อง (Compliance)

การบริหารความเสีย่ งตามมาตรฐาน COSO

-ท่ีมาของ COSO เร่ิมจากเหตกุ ารณว์ กิ ฤตทางการเมอื งและเศรษฐกิจของสหรัฐอเมริกา ปี 1970 –1977
สหรัฐอเมรกิ าได้ระกาศ กฎหมายแนวปฎิบัตเิ ก่ียวกบั ความไมส่ ุจริตในการใหสนิ บนชาวตา่ งชาติ
(the 1977 Foreign Corrupt Practices Act-FCPA) มีการกาหนดเรอ่ื งการควบคุม
-ปี 1985 (ตลุ าคม) จดั ตัง้ องค์กรอสิ ระ คือ คณะกรรมการเพอ่ื รายงานการทุจรติ แห่งชาติ (National
Commission on Fraudulent Financial reporting หรอื Tread way)
-ปี 1987 คณะกรรมการเพ่อื การรายงานการทุจริตแห่งชาติไดรับการสนบัสนุนจากคณะกรรมการ
วชิ าชีพอสิ ระอืน่ ๆ จดั ตัง The Committee of Sponsoring Organization of the
Tread way Commission (COSO)
-ปี 2004 COSO ไดพ้ ฒั นาแนวทางการบรหิ ารความเส่ยี ง ที่มมี าตรฐานสากลมากข้นึ เพอื่ ใหอ้ งคก์ ร
สามารถใช้เป็นแนวปฏิบัติด้านการบริหารความเสี่ยง

การบริหารความเสยี่ งทว่ั ทั้งองคก์ ร: กิจกรรมขององค์กร
ERM ตามแนวทางของ COSO: 3 มติ ิ -แผนยทุ ธศาสตร์ (Strategic)
-ประสทิ ธิภาพและประสิทธิผลการปฏบิ ตั ิงาน (Operations)
องค์ประกอบการบรหิ าร -การรายงาน (Reporting)
-การปฏบิ ตั ติ ามกฎหมายและระเบียบท่เี ก่ยี วข้อง (Compliance)

โครงสรา้ งองคก์ ร

องคป์ ระกอบ ERM: COSO Enterprise Risk Management มีความเสี่ยงอะไรบา้ ง (ภายใน/ภายนอก)

-โอกาสที่อาจเกิดขึ้น (Likelihood) มากนอ้ ยเพยี งใด
-ผลกระทบ (Impact) มากนอ้ ยเพียงใด
-จดั ลาดบั ความสาคัญ

Avoid: หลกี เลย่ี ง/ลดโอกาสให้เหลอื ศูนย์
Take: เฝา้ ระวัง/ยอมรบั ความเสย่ี ง
Treat: ควบคมุ /ลดโอกสใหน้ อ้ ยลง/ลดความเสยี หาย
Share: รว่ มรบั ความเสี่ยงกับองค์กรอื่น หรอื คนอน่ื
Transfer: โอนควมเสี่ยงไปให้องค์กรอืน่ หรือคนอื่น

กาหนดนโยบายกิจกรรม มาตรการ
กระบวนการ เวลา ผู้รบั ผิดชอบ

พจิ ารณาประเดน็ ความเส่ยี งต่อไปนี้ มคี วามเสีย่ งอะไรบ้าง (ภายใน/ภายนอก)

1) การขบั รถไปเชยี งใหม่ -โอกาสทอี่ าจเกดิ ขึ้น (Likelihood) มากน้อยเพยี งใด
2) ออกเรือลาดตระเวน -ผลกระทบ (Impact) มากนอ้ ยเพยี งใด
3) ความเสี่ยงของ นขต.ทร. -จัดลาดบั ความสาคญั

Avoid: หลกี เลย่ี ง/ลดโอกาสใหเ้ หลือศูนย์
Take: เฝา้ ระวัง/ยอมรับความเสยี่ ง
Treat: ควบคุม/ลดโอกสใหน้ ้อยลง/ลดความเสียหาย
Share: รว่ มรับความเสี่ยงกบั องคก์ รอื่น หรอื คนอ่ืน
Transfer: โอนควมเสี่ยงไปให้องค์กรอน่ื หรือคนอ่นื

กระบวนการดาเนินงาน
บรหิ ารความเสย่ี ง

ประเด็นดา้ นความเส่ยี งทเ่ี กยี่ วขอ้ งกบสถานการณ์ฉุกเฉิน

ปจั จยั ทมี่ ีผลต่อความเสยี่ ง ประโยชนก์ ารบรหิ ารความเสี่ยง ประเภทความเสยี่ ง
ปจั จัยภายใน
1)ขนาดองคก์ าร 1)ตระหนักถึงภรั ยคกุ คามทย่ี บั มาไม่ถึง 1)ดา้ นกลยุทธ์ กาหนดไมเ่ หมาะสม/
2)ความซบั ซอ้ น 2)ปรับปรุงระบบงานและการวางแผน ไมส่ อดคล้องกบั สภาพแวดล้อม
3)คณุ ภาพระบบควบคุมภายใน 3) ลดการสญู เสียทอี่ าจเกดิ ข้นึ ได้
4)อตั ราความเจริญเติบโตองคก์ าร 4) สรา้ งโอกาส 2)ดา้ นการปฏบิ ตั งิ านที่ไมบ่ รรลุวตั ถุประสงค์
5)ความสามารถฝ่ายบริหาร 5) สรา้ งคุณคา่ ใหก้ ารทางาน 3)ดา้ นนโยบาย/กฎหมายทีป่ ฏบิ ัติไมไ่ ด้หรือไม่เหมาะสม
6)การทุจรติ ทางการบรหิ าร 6 ) สนบั สนนุ การตดั สินใจของผู้บริหาร 4)ด้านการเงนิ เบิกจา่ งไมเ่ ปน็ ไปตามแผน ถกู ตดั
7)บคุ ลากรศลี ธรรมเส่อื ม 7 ) สรา้ งภาพลกั ษณ์ที่ดใี ห้องคก์ ร
ปจั จยั ภายนอก 8 ) ปกป้องการปฏบิ ตั งิ าน จัดสรรไมเ่ หมาะสม
1)ความเสยี่ งจากภาครฐั 9 ) เป็นสว่ นหนึ่งของการบริหารงาน 5)ดา้ นสขุ ภาพ ทสี่ ง่ ผลต่อชีวิตและความปลอดภัย
-เสถยี รภาพรฐั บาล 10) มองเป้าหมายในภาพรวม 6)ดา้ นส่ิงแวดล้อม ส่งผลต่อการปฏบิ ัตแิ ละเป้าหมาย
-การออกกฎหมาย 7)ด้านชุมชน การดาเนินงานทส่ี ง่ ผลต่อชมุ ชน
-ระเบียบขอ้ บงั คับ 8)ดา้ นภาพลักษณ์
2)การเปลีย่ นแปลงสภาพแวดล้อม
PESTLE หมายเหตุ: เกีย่ วขอ้ งกบั สถานการณฉ์ ุกเฉนิ และภัยพิบตั ิ

เหตุการณท์ ี่เป็นความเสย่ี งและภัยคกุ คาม
1) เหตุการณอ์ ุทกภยั
2) เหตกุ ารณอ์ ัคคีภัย
3) เหตุการณ์ชุมนมุ
4) แผ่นดินไหวรุนแรง
5) โรคระบาด
6) ไฟฟ้าดบั ในวงกว้าง
7) การโจมตที างไซเบอร์ (Cyber attack)

การประเมินวเิ คราะหค์ วามเส่ยี งและจดั ลาดบั ความเส่ยี ง กรณีศกึ ษา BCP ทร.

การประเมนิ /วเิ คราะหร์ ะดบั โอกาส

จงวเิ คราะหร์ ะดับโอกาส

เหตุการณอ์ ุทกภยั
เหตุการณอ์ ัคคภี ัย
เหตุการณช์ ุมนุม
แผ่นดนิ ไหวรุนแรง

โรคระบาด
ไฟฟ้าดบั ในวงกว้าง
การโจมตที างไซเบอร์

การประเมินผลกระทบ (Impact) หรือระดบั ความรนุ แรง 8 ดา้ น

1)ดา้ นกลยทุ ธและ 2) ดา้ นการปฏิบตั ิงาน 3)ดา้ นนโยบาย/กฎหมาย/ระเบียบ/ขอ้ บงั คบั 4) ดา้ นการเงนิ

5) ดา้ นสขุ ภาพ 6) ดา้ นส่ิงแวดลอ้ ม 7) ดา้ นภาพลกั ษณ/์ ช่ือเสียง

8) ดา้ นชมุ ชน หมายเหตุ เลอื กผลกระทบใหส้ อดคลอ้ งกบั แตล่ ะประเดน็ ในการวิเคราะห์

การจดั ลาดบั ความเสี่ยง (Degree of Risk)

Work shop กรณีสถานการณฉ์ กุ เฉินและภยั พิบตั ิ การประเมนิ ผลกระทบดา้ นทเี่ ลอื กจากทงั้ หมด 8 ดา้ น

1)ดา้ นกลยุทธและ 2) ดา้ นการปฏบิ ตั งิ าน

ประเดน็ โอกาส ผลกระทบ คะแนน จัดลาดับ

เหตุการณอ์ ทุ กภยั
เหตกุ ารณ์อัคคีภัย
เหตกุ ารณ์ชมุ นมุ
แผ่นดินไหวรุนแรง
โรคระบาด
ไฟฟา้ ดับในวงกว้าง
การโจมตีทางไซเบอร์

เหตกุ ารณ์ภยั คุกคามและผลกระทบจากเหตการณ์

เหตุการณส์ าคัญ ด้านอาคาร/ ผลกระทบ ดา้ น
สถานที่ ผรู้ ับบรกิ ารก
ตา(มเรบียงรลิบาดทบั คขวอามงสหาคนญั ่ว) ย ปฏบิ ตั งิ านหลกั ด้ า น ยุ ท ด ธ ป ก ร ร์ ด้านเทคโนโลยี ดา้ นบคุ ลากร และผมู้ ีสว่ นได้
อุ ป ก ร ณ์ ท่ี ส า คั ญ / สารสนเทศและ หลัก ส่วนเสีย
1 เหตุการณอ์ ุทกภัย  การจัดหาจัดส่งวัสดุ ข้อมลู สาคญั
2 เหตกุ ารณอ์ ัคคภี ยั  อุปกรณ์ทีส่ าคัญ 
3 ไฟฟ้าดับในวงกว้าง  
4 โจมตีทางไซเบอร์   
5 แผน่ ดนิ ไหวรุนแรง   
6 เหตุการณช์ ุมนุมประท้วง  
7 เหตุการณโ์ รคระบาด   
 



Incident Response การใช้แผนรับสถานการณฉ์ ุกเฉินและภยั พบิ ัติ

Planning Business Continuity
(แผนรบั มือเหตกุ ารณไ์ ม่คาดคิด)
Planning
(แผนดาเนินธรุ กิจอย่างตอ่ เน่ืองในสถานการณค์ บั ขนั
ทาใหม้ ่นั ใจวา่ ปฏิบตั ิหนา้ ท่ีไดแ้ มม้ ีสถานการณค์ บั ขนั )

(มุง่ ปฏบิ ัตงิ านใหส้ าเร็จ)

Disaster Recovery

Planning
(แผนฟื้นฟจู ากความเสียหายใหค้ ือสภาวะปกตโิ ดยเรว็ )

(มุ่งคนื ความพร้อมปกต)ิ

Business Impact

Analysis
(วเิ คราะหผ์ ลกระทบธุรกิจ
และวางแผนท่ีเก่ียวขอ้ ง)

Disaster Recovery
Planning

Business Continuity
Planning

การรับสถานการณฉ์ ุกเฉินและภยั พบิ ตั ิ

Business Impact Incident Response Disaster Recovery Business Continuity
Planning Planning
Analysis Planning
(วิเคราะหผ์ ลกระทบธรุ กิจ) (แผนรบั มือเหตกุ ารณไ์ ม่คาดคดิ ) (แผนฟื้นฟจู ากความเสียหาย (แผนดาเนินธุรกิจอย่างตอ่ เน่ืองในสถานการณค์ บั ขนั
ใหค้ ือสภาวะปกติโดยเรว็ ) ทาใหม้ ่นั ใจวา่ ปฏิบตั หิ นา้ ท่ีไดแ้ มม้ ีสถานการณค์ บั ขนั )
➢ จาแนก/จดั ลาดบั ➢ ตรวจหาเหตกุ ารณ์
ภยั คกุ คาม ไมค่ าดคดิ ➢ ฟื้นฟรู ะบบ ➢ จดั การความต่อเน่ืองตามแผน
จากความเสยี หาย
➢ วิเคราะหอ์ งคก์ าร ➢ รบั มือเหตกุ ารณ์
➢ จดั การความวกิ ฤต
➢ สรา้ งสถานการณภ์ ยั ➢ ฟื้นฟรู ะบบจากเหตกุ ารณ์
และประเมนิ ความเสยี หาย ➢ ดาเนินการฟื้นฟู

➢ จาแนกเหตกุ ารณ์ DRP และ BCP ใชค้ กู่ นั
วางแผนท่ีเก่ียวขอ้ ง

Plan Do
✓ กาหนดขอบเขตของระบบ ✓ จดั ทาแผนการลดความเส่ียง
✓ กาหนดนโยบายของระบบ ✓ นาแผนการลดความเส่ียงไปปฏบิ ตั ิ
✓ กาหนดแนวทางการประเมินความเส่ียง ✓ ใชว้ ิธีการควบคมุ แบบต่าง ๆ
✓ ระบคุ วามเสียง ✓ จดั การฝึกอบรม ใหค้ วามรู้ และสรา้ งความตะหนกั
✓ ประเมนิ ความเส่ียง ✓ จดั การดาเนินงาน
✓ ระบแุ ละประเมนิ วธิ ีการลดความเส่ียง ✓ จดั การทรพั ยากร
✓ เลือกวตั ถปุ ระสงคแ์ ละการควบคมุ ✓ ดาเนนิ ในขน้ั ตอนการตรวจจบั และตอบสนอง
✓ จดั เตรยี มเอกสารมาตรการใชง้ าน
ต่อเหตกุ ารณไ์ ม่คาดคดิ
Act ✓ ดา้ นความม่นั คง
✓ ปรบั ปรุงระบบในส่วนท่ีมีขอ้ บกพรอ่ ง
✓ ดาเนินการแกไ้ ขและปอ้ งกนั Check
✓ นาบทเรยี นหรอื กรณีศกึ ษาท่ีประสบผลสาเรจ็ จากท่ีอ่ืนมาปรบั ใช้ ✓ เขา้ ส่กู ระบวนการติดตามการทางาน
✓ รายงานผลการใชง้ านระบบแก่ทกุ ฝ่ายท่ีม่ีส่วนเก่ียวขอ้ ง ✓ ประเมนิ ประสิทธิภาพของระบบ
✓ สรา้ งความม่นั ใจว่าการปรบั ปรุงตรงตามวตั ถปุ ระสงค์ ✓ ตรวจสอบระดบั ความเส่ียง
✓ จดั ทาการตรวจสอบภายในของระบบ
✓ ประเมินการบรหิ ารจดั การระบบ
✓ บนั ทกึ กิจกรรมและเหตกุ ารณท์ ่ีสง่ ผลกระทบตอ่ ระบบ

ประเมินมาตรการควบคมุ บรหิ ารจดั การความเสีย่ ง(Risk Management)/
กจิ กรรมควบคุม
การควบคมุ ที่มีอยู่แลว้
มอี ยแู่ ล้ว ไม่มี มีแตไ่ ม่สมบรุ ณ์ 1)การยอมรบั (Take) ไม่ตอ้ งดาเนนิ การเพมิ่ เติม
2)การลดหรอื การควบคมุ (Treat) ให้ดาเนินการเพ่ิมเติม ใหย้ อมรับได้
ผลของการควบคมุ ทมี่ ีอย่แุ ลว้ 3)การถ่ายโอนหรอื กระจาย (Transfer) กระจายให้ผอู้ ่ืนร่วมรับความเส่ยี ง
ไดผ้ ลตามคาดหมาย ไมไ่ ดผ้ ลตามคาดหมาย 4)การหยุ่ดหรือหลกี เลี่ยง (Terminate) หยุดหรือหลกี เลีย่ ง/ดาเนนิ การใหม่
ได้ผลแต่ไมส่ มบุรณ์ ในชว่ งท่ีเหมาะสม

ERM-02

ERM-03