Risk Appetite คืออะไร และทำไมคณะกรรมการต้องกำหนด | BCP GURU
Last updated: 17 Apr 2026
53 Views
Risk Appetite — การสนทนาที่คณะกรรมการส่วนใหญ่ยังไม่ได้ทำ
BCP GURU เคยนั่งอยู่ในการประชุมคณะกรรมการเมื่อไตรมาสที่แล้ว กรรมการท่านหนึ่งถามว่า "Risk Appetite ขององค์กรเราคืออะไร?"
ห้องเงียบ
ไม่ใช่เพราะไม่มีใครรู้ว่า Risk Appetite หมายความว่าอะไร แต่เพราะไม่มีใครกำหนดมันอย่างเป็นทางการ องค์กรมี Risk Register, Risk Committee, และรายงานความเสี่ยงรายไตรมาส แต่คำถามพื้นฐาน — "เราเต็มใจรับความเสี่ยงระดับไหนในการบรรลุเป้าหมาย?" — ยังไม่เคยได้รับคำตอบ
BCP GURU ช่วยองค์กรทั่วไทยพัฒนา Risk Appetite Statement ที่ใช้ในการตัดสินใจได้จริง
ความแตกต่างที่สำคัญที่ต้องเข้าใจ:
• Risk Appetite = ระดับความเสี่ยงโดยรวมที่องค์กรยินดีรับในการบรรลุวัตถุประสงค์
• Risk Tolerance = ความผันแปรที่ยอมรับได้รอบๆ วัตถุประสงค์เฉพาะ
• Risk Capacity = ความเสี่ยงสูงสุดที่องค์กรสามารถรับได้ก่อนเกิดภัยคุกคามต่อการดำรงอยู่
เมื่อ BCP GURU จัด Risk Appetite Workshop สิ่งที่ทีมผู้บริหารมักค้นพบ:
1. หน่วยธุรกิจต่างๆ ดำเนินการในระดับความเสี่ยงที่แตกต่างกันอย่างมากโดยไม่มีการประสานงาน
2. ความเสี่ยงที่ประกาศและพฤติกรรมจริงขัดแย้งกัน
3. หากไม่มีการกำหนด Risk Appetite ที่ชัดเจน ผู้บริหารระดับกลางจะตัดสินใจด้านความเสี่ยงตามดุลพินิจส่วนตัว ไม่ใช่กลยุทธ์องค์กร
Risk Appetite Statement ที่ดี ไม่ได้จำกัดการเติบโต — มันเปิดให้การตัดสินใจอย่างมั่นใจในทุกระดับ
คำถามที่พบบ่อย (FAQ)
Q: Risk Appetite Statement ควรรวมอยู่ในเอกสารอะไร?
A: ควรรวมอยู่ใน ERM Policy และนำเสนอต่อคณะกรรมการเพื่ออนุมัติ ตาม COSO ERM 2017 Risk Appetite เป็นส่วนหนึ่งของ Component ที่ 2: กลยุทธ์และการตั้งวัตถุประสงค์
Q: องค์กรควรทบทวน Risk Appetite บ่อยแค่ไหน?
A: BCP GURU แนะนำทบทวนอย่างน้อยปีละครั้ง และเมื่อมีการเปลี่ยนแปลงกลยุทธ์ธุรกิจที่สำคัญ
พัฒนา Risk Appetite Statement กับ BCP GURU → bcpthaiguru.com
BCP GURU เคยนั่งอยู่ในการประชุมคณะกรรมการเมื่อไตรมาสที่แล้ว กรรมการท่านหนึ่งถามว่า "Risk Appetite ขององค์กรเราคืออะไร?"
ห้องเงียบ
ไม่ใช่เพราะไม่มีใครรู้ว่า Risk Appetite หมายความว่าอะไร แต่เพราะไม่มีใครกำหนดมันอย่างเป็นทางการ องค์กรมี Risk Register, Risk Committee, และรายงานความเสี่ยงรายไตรมาส แต่คำถามพื้นฐาน — "เราเต็มใจรับความเสี่ยงระดับไหนในการบรรลุเป้าหมาย?" — ยังไม่เคยได้รับคำตอบ
BCP GURU ช่วยองค์กรทั่วไทยพัฒนา Risk Appetite Statement ที่ใช้ในการตัดสินใจได้จริง
ความแตกต่างที่สำคัญที่ต้องเข้าใจ:
• Risk Appetite = ระดับความเสี่ยงโดยรวมที่องค์กรยินดีรับในการบรรลุวัตถุประสงค์
• Risk Tolerance = ความผันแปรที่ยอมรับได้รอบๆ วัตถุประสงค์เฉพาะ
• Risk Capacity = ความเสี่ยงสูงสุดที่องค์กรสามารถรับได้ก่อนเกิดภัยคุกคามต่อการดำรงอยู่
เมื่อ BCP GURU จัด Risk Appetite Workshop สิ่งที่ทีมผู้บริหารมักค้นพบ:
1. หน่วยธุรกิจต่างๆ ดำเนินการในระดับความเสี่ยงที่แตกต่างกันอย่างมากโดยไม่มีการประสานงาน
2. ความเสี่ยงที่ประกาศและพฤติกรรมจริงขัดแย้งกัน
3. หากไม่มีการกำหนด Risk Appetite ที่ชัดเจน ผู้บริหารระดับกลางจะตัดสินใจด้านความเสี่ยงตามดุลพินิจส่วนตัว ไม่ใช่กลยุทธ์องค์กร
Risk Appetite Statement ที่ดี ไม่ได้จำกัดการเติบโต — มันเปิดให้การตัดสินใจอย่างมั่นใจในทุกระดับ
คำถามที่พบบ่อย (FAQ)
Q: Risk Appetite Statement ควรรวมอยู่ในเอกสารอะไร?
A: ควรรวมอยู่ใน ERM Policy และนำเสนอต่อคณะกรรมการเพื่ออนุมัติ ตาม COSO ERM 2017 Risk Appetite เป็นส่วนหนึ่งของ Component ที่ 2: กลยุทธ์และการตั้งวัตถุประสงค์
Q: องค์กรควรทบทวน Risk Appetite บ่อยแค่ไหน?
A: BCP GURU แนะนำทบทวนอย่างน้อยปีละครั้ง และเมื่อมีการเปลี่ยนแปลงกลยุทธ์ธุรกิจที่สำคัญ
พัฒนา Risk Appetite Statement กับ BCP GURU → bcpthaiguru.com
Related Content
หลายองค์กรไทยเริ่มถามหา Certification ISO 22301 มากขึ้นในช่วงหลัง โดยเฉพาะองค์กรที่ต้องแข่งขันในตลาดสากล หรือต้องส่งข้อมูลให้หน่วยงานกำกับเช่น ก.ล.ต. ธปท. ที่เริ่มบังคับเรื่อง Operational Resilience
แต่ ISO 22301 คืออะไรกันแน่ และทำไมถึงสำคัญในปี 2026?
BCP GURU อธิบายว่า Cyber Incidents กลายเป็นตัวกระตุ้น BCP อันดับ 1 ในประเทศไทย พร้อมแนวทาง Cyber Resilience ที่บูรณาการ ERM และ BCM
หน่วยงานภาครัฐและรัฐวิสาหกิจไทยต้องมี BCP ตามเกณฑ์ของ สำนักนายกรัฐมนตรี และ กพร. ส่วนรัฐวิสาหกิจมี สคร. กำกับเพิ่ม
