SustainabilityEN | TH
การกำกับดูแลองค์กร
การบริหารความเสี่ยง
ระบบบริการสุขภาพทั่วโลกกำลังเผชิญความท้าทายจากการเชื่อมโยงในระดับโลก ความผันผวนทางเศรษฐกิจ การพัฒนาเทคโนโลยีอย่างรวดเร็ว และการเปลี่ยนแปลงของสภาพแวดล้อม ภายใต้บริบทของโลกที่เปลี่ยนแปลงอย่างรวดเร็ว องค์กรด้านการแพทย์และสาธารณสุขต้องรับมือกับความท้าทายที่มีความซับซ้อนและไม่แน่นอนสูง ไม่ว่าจะเป็นความไม่มั่นคงทางภูมิรัฐศาสตร์ ความปั่นป่วนของห่วงโซ่อุปทาน การเร่งตัวของเทคโนโลยีปัญญาประดิษฐ์ การเปลี่ยนผ่านด้านพลังงาน การเคลื่อนย้ายแรงงาน และความคาดหวังของสังคมที่เปลี่ยนแปลงอย่างต่อเนื่อง
ในบริบทดังกล่าว BDMS ได้นำกรอบการบริหารความเสี่ยงองค์กรมาใช้เป็นกลไกสำคัญในการเสริมสร้างความมั่นคงของระบบบริการ และเป็นองค์ประกอบหลักในการขับเคลื่อนยุทธศาสตร์และความยั่งยืนขององค์กรในทุกมิติของ ESG ได้แก่ สิ่งแวดล้อม สังคม และธรรมาภิบาล เพื่อให้สามารถคาดการณ์ความเสี่ยง ลดผลกระทบ รักษาความต่อเนื่องของการให้บริการ และเสริมสร้างความเชื่อมั่นให้แก่นักลงทุนและผู้มีส่วนได้เสียทุกกลุ่ม
การบริหารความเสี่ยงองค์กร
BDMS ได้นำหลักการบริหารความเสี่ยงตามมาตรฐานสากล COSO ERM มาปรับใช้และเสริมความเข้มแข็งให้สอดคล้องกับลักษณะธุรกิจ เพื่อรองรับผลกระทบจากเมกะเทรนด์และภูมิทัศน์ความเสี่ยงด้านสุขภาพ ซึ่งส่งผลต่อการดำเนินงาน การบริการผู้ป่วย ห่วงโซ่อุปทาน เทคโนโลยี การกำกับดูแลด้านข้อมูล และความพร้อมรับมือภาวะฉุกเฉินในทุกมิติ เพื่อให้เกิดความปลอดภัยต่อผู้รับบริการ โดยคำนึงถึงความยั่งยืน ทางสิ่งแวดล้อม สังคม และธรรมาภิบาล โดยให้ความสำคัญ 4 ประการ
การกำกับดูแลความเสี่ยง
บริษัทตระหนักถึงความสำคัญของการบริหารจัดการความเสี่ยงซึ่งเป็นองค์ประกอบสำคัญในการกำกับดูแลกิจการที่ดี จึงได้กำหนดบทบาทและความรับผิดชอบที่ชัดเจนสำหรับการบริหารความเสี่ยงองค์กรทั้งในระดับคณะกรรมการกำกับดูแลและระดับปฏิบัติงาน โดยคณะกรรมการบริษัทมีหน้าที่แต่งตั้งคณะกรรมการบริหารความเสี่ยงเพื่อพิจารณากลั่่นกรองนโยบาย กำหนดแนวทางดำเนินงาน เฝ้าระวังและติดตามการปฏิบัติงานตามนโยบายและขั้นตอนการบริหารความเสี่ยง นอกจากนี้ บริษัทยังนำหลัก Three Lines of Defense มาปรับใช้ในระดับปฎิบัติงาน โดยมีบทบาทและความรับผิดชอบ ดังนี้
กรอบการกำกับดูแลความเสี่ยง | คณะกรรมการที่เกี่ยวข้อง และบทบาทหน้าที่ | บทบาทและความรับผิดชอบ |
| คณะกรรมการกำกับดูแล | คณะกรรมการบริษัท |
|
| คณะกรรมการบริหารความเสี่ยง |
| |
| ผู้รับผิดชอบระดับที่ 1 | หน่วยงานดูแลความเสี่ยง ได้แก่ ผู้จัดการความเสี่ยง และผู้ประสานงานความปลอดภัยของผู้ป่วย
|
|
| ผู้รับผิดชอบระดับที่ 2 | ประธานเจ้าหน้าที่ฝ่ายบริหาร และ คณะกรรมการบริหารความเสี่ยงระดับองค์กร |
|
| ผู้รับผิดชอบระดับที่ 3 | ผู้อำนวยการตรวจสอบภายในและหน่วยงานตรวจสอบภายใน |
|
กลยุทธ์การบริหารความเสี่ยงของ BDMS
BDMS นำข้อมูลสำคัญและประเด็นหลักด้านการบริหารความเสี่ยงองค์กรมาใช้ในการระบุความเสี่ยงทางธุรกิจที่สำคัญ พร้อมประเมินผลกระทบที่อาจเกิดขึ้นทั้งในระยะสั้น ระยะกลาง และระยะยาว
การจัดกลุ่ม 9 ความเสี่ยงหลักของ BDMS
กระบวนการบริหารความเสี่ยง
BDMS ได้จัดทำระบบการประเมินความเสี่ยงของระบบงานหลัก (Core System Risk Assessment) และการวิเคราะห์ความเสี่ยงจากอันตรายและช่องโหว่ (Hazard Vulnerability Analysis) เพื่อใช้เป็นแนวทางในการบริหารความเสี่ยงด้านการรักษาพยาบาล (Clinical Risk) และความเสี่ยงที่เกี่ยวข้องกับระบบงานหลักในโรงพยาบาล กระบวนการบริหารความเสี่ยงมีรายละเอียดโดยสังเขป ดังนี้
1. การระบุความเสี่ยง
หัวหน้าแผนกและคณะกรรมการที่รับผิดชอบต่อระบบงานที่มีความสำคัญ มีหน้าที่ในการทบทวนกระบวนการทำงาน ความเสี่ยง และปัจจัยเสี่ยงจากรายงานเหตุการณ์ที่เกิดขึ้นในช่วงปีที่ผ่านมา รวมถึงการพิจารณาตัวชี้วัดทางสถิติ และบทเรียนจากหน่วยงานภายนอก เพื่อใช้ในการประเมินผลกระทบที่อาจเกิดขึ้น ปัจจัยเสี่ยงจะถูกระบุจากเหตุการณ์ในอดีตทั้งภายในและภายนอก โดยแหล่งข้อมูลประกอบด้วย การปรับปรุงข้อมูลกฎหมายและข้อบังคับ รายงานเหตุการณ์ (Occurrence Report) และการทบทวนโดยผู้เชี่ยวชาญ (Peer Review)
2. การประเมินความเสี่ยง ประกอบด้วยการประเมินความเสี่ยงครอบคลุม 2 ปัจจัย ได้แก่
- ประเมินความน่าจะเป็น (Likelihood Assessment): ประเมินโอกาสและความถี่ของการเกิดผลกระทบ
- การประเมินผลกระทบ (Impact Assessment): ประเมินผลกระทบทั้งในเชิงปริมาณและคุณภาพในหลายด้าน เช่น การปฏิบัติตามกฎหมายและข้อกำหนด ความปลอดภัย ผลกระทบทางการเงิน กลยุทธ์ การดำเนินงาน และภาพลักษณ์ขององค์กร
3. การให้คะแนนความเสี่ยงและการจัดลำดับความสำคัญของความเสี่ยง (Risk Scoring and Risk Prioritization)
การให้คะแนนความเสี่ยงหรือการจัดลำดับความสำคัญของความเสี่ยงจะพิจารณาจากระดับของโอกาสที่จะเกิดขึ้น (Likelihood) และระดับของผลกระทบ (Impact) โดยการให้คะแนนความเสี่ยงสามารถแบ่งออกเป็น 5 ระดับ พร้อมคำจำกัดความของแต่ละระดับ โดยคะแนนความเสี่ยงสูงสุดอยู่ที่ 25 คะแนน
การรายงานเหตุการณ์ใน BDMS Occurrence Reporting
BDMS กำหนดระบบการรายงานเหตุการณ์ อุบัติการณ์ หรือความเสี่ยงที่เกิดขึ้นในพื้นที่ดำเนินการ (Occurrence Reporting) สำหรับบุคลากรและผู้ที่เกี่ยวข้อง ทั้งภายในและภายนอกองค์กร โดยเมื่อเกิดเหตุการณ์ใด ๆ ขึ้นระหว่างการดำเนินธุรกิจหรือปฏิบัติการ บุคลากรทุกคนมีหน้าที่จัดการเหตุการณ์ดังกล่าวโดยทันทีและต้องรายงานเหตุการณ์ตามช่องทางที่กำหนดในรูปแบบออนไลน์หรือรูปแบบปกติภายใน 8 ชั่วโมงหลังเกิดเหตุการณ์เพื่อดำเนินการสืบสวนและวิเคราะห์ข้อมูลเหตุการณ์ที่เกิดขึ้นตามระดับผลกระทบของเหตุการณ์ ซึ่งจำแนกเป็นด้านคลินิกและด้านอื่น ๆ ดังนี้
ระดับ | ผลกระทบด้านคลินิก |
0 | เหตุการณ์ที่สามารถทำให้เกิดความผิดพลาด แต่ยังไม่เกิดขึ้นกับผู้ป่วย (Near Miss) |
1 | เหตุการณ์ผิดพลาดที่เกิดขึ้น แต่ไม่เป็นอันตรายกับผู้ป่วย (No Harm) |
2 | เหตุการณ์ผิดพลาดที่เกิดขึ้นกับผู้ป่วยและต้องติดตามเพื่อยืนยันความปลอดภัย (Mild Adverse Event) |
3 | เหตุอันตรายชั่วคราวต่อผู้ป่วยและต้องได้รับการตรวจวินิจฉัยและรักษาเพิ่มเติม (Moderate Adverse Event) |
4 | เหตุอันตรายชั่วคราวต่อผู้ป่วยและส่งผลให้ผู้ป่วยต้องเข้ารักษาหรือต้องรักษานานขึ้น (Serious Adverse Event) |
5 | เหตุอันตรายถาวรหรือเหตุการณ์ที่ต้องมีการช่วยชีวิตและต้องเฝ้าดูทุกเหตุการณ์ (Adverse Event and Reputation Harm) |
SE | เหตุการณ์พึงสังวร หรือเหตุการณ์ด้านความปลอดภัยของผู้ป่วยที่ไม่เกี่ยวข้องกับธรรมชาติการเจ็บป่วยของผู้ป่วยหรือสภาวะของโรคประจำตัว ซึ่งอาจถึงตัวผู้ป่วยและมีผลลัพธ์ทำให้เสียชีวิต อันตรายถาวร และ/หรือ อันตรายร้ายแรงชั่วคราว (Sentinel Event) |
การรายงานเหตุการณ์ที่ระดับผลกระทบแตกต่างกันจะผ่านกระบวนการสืบสวนภายในที่แตกต่างกันและทำการรายงานให้แก่ผู้บริหารเป็นรายเดือนและรายไตรมาส
ความเสี่ยงในระดับที่ยอมรับได้อยู่ในระดับต่ำถึงปานกลางเท่านั้น (คะแนนความเสี่ยงต่ำกว่าหรือเท่ากับ 0 ให้ถือว่ายอมรับได้และขึ้นอยู่กับความคิดเห็นของแต่ละโรงพยาบาล)
การตรวจสอบกระบวนการบริหารความเสี่ยง
การตรวจสอบภายใน
คณะกรรมการตรวจสอบมีบทบาทและความรับผิดชอบในการกำกับดูแลให้บริษัทบริหารจัดการความเสี่ยงและวางแผนระบบควบคุมที่เหมาะสมครอบคลุมทั้งองค์กร พร้อมเสนอแนวทางการบริหารความเสี่ยงที่เกี่ยวข้องกับการดำเนินงานของบริษัทอย่างเหมาะสมและมีประสิทธิภาพ รวมถึงมีหน้าที่มอบหมายให้ทีมผู้ตรวจสอบภายในวางแผนการตรวจสอบประจำปีของบริษัท ซึ่งกระบวนการตรวจสอบภายในของ BDMS นั้นเป็นไปตามมาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายใน (International Professional Practices Framework: IPPF) จัดทำโดยสมาคมผู้ตรวจสอบภายใน แผนการตรวจสอบภายในครอบคลุมหัวข้อประสิทธิภาพของระบบควบคุม และกระบวนการที่พึ่งพาและไม่พึ่งพาเทคโนโลยีสารสนเทศของโรงพยาบาลในเครือ BDMS และบริษัทย่อย การตรวจสอบภายในของแต่ละโครงการจะทบทวนประสิทธิภาพของกระบวนการบริหารความเสี่ยงเพื่อประเมินประสิทธิภาพการควบคุมและจัดสรรมาตรการลดความเสี่ยง ทั้งนี้เพื่อให้เป็นไปตามข้อกำหนดทางกฎหมายและมาตรฐานสากลที่เกี่ยวข้อง เช่น การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารตามมาตรฐาน ISO 27001 และข้อกำหนดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลปีพ.ศ. 2555
ในปี 2568 หน่วยงานตรวจสอบภายในของ BDMS ในฐานะส่วนหนึ่งของแนวป้องกันชั้นที่สาม ได้ให้ความเชื่อมั่นอย่างเป็นอิสระและเที่ยงธรรม รวมถึงให้ข้อสังเกตและมุมมองเชิงให้คำปรึกษาเกี่ยวกับความเพียงพอและประสิทธิผลของกระบวนการกำกับดูแลกิจการ การบริหารความเสี่ยง และการควบคุมภายในขององค์กร แผนการตรวจสอบภายในประจำปี 2568 ได้จัดทำขึ้นโดยใช้แนวทางการตรวจสอบตามความเสี่ยง โดยสอดคล้องกับวัตถุประสงค์ทางธุรกิจของ BDMS ข้อกำหนดด้านกฎระเบียบ และสภาพแวดล้อมความเสี่ยงที่เปลี่ยนแปลงไป
ขอบเขตการตรวจสอบครอบคลุมกระบวนการสำคัญทั้งด้านการดำเนินงานและด้านเทคโนโลยีสารสนเทศ สำหรับการตรวจสอบด้านการดำเนินงาน มุ่งเน้นกระบวนการจ่ายค่าตอบแทนแพทย์ กระบวนการจัดซื้อจนถึงการชำระเงิน การบริหารทรัพยากรบุคคล และการพัฒนาผลิตภัณฑ์ สำหรับด้านเทคโนโลยีสารสนเทศ การตรวจสอบมุ่งเน้น 2 ประเด็นสำคัญ ได้แก่ แนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และการบริหารจัดการตัวตนและสิทธิ์การเข้าถึงระบบ
งานตรวจสอบดังกล่าวมีวัตถุประสงค์เพื่อประเมินว่าการควบคุมในประเด็นความเสี่ยงสำคัญด้านการดำเนินงานและด้านเทคโนโลยี มีการออกแบบ จัดทำ และดำเนินการอย่างเพียงพอและมีประสิทธิผลหรือไม่ นอกจากนี้ หน่วยงานตรวจสอบภายในยังได้ดำเนินการติดตามแผนการดำเนินการของฝ่ายบริหารที่ได้ตกลงร่วมกัน เพื่อประเมินว่ามีการดำเนินการแก้ไขภายในระยะเวลาที่เหมาะสม ซึ่งช่วยสนับสนุนการยกระดับกระบวนการกำกับดูแลกิจการ การบริหารความเสี่ยง และการควบคุมภายในขององค์กร
กระบวนการตรวจสอบภายในที่ครอบคลุมกระบวนการบริหารความเสี่ยงมีรายละเอียด ดังนี้
