เปรียบเทียบ ระบบควบคุมภายในตามระเบียบ คตง. กับการบริหารความเสี่ยง

เปรียบเทียบ

ระบบควบคุมภายในตามระเบียบ คตง. กับการบริหารความเสี่ยง

การควบคุมภายใน คณะกรรมการตรวจเงินแผ่นดิน (คตง.)	การบริหารความเสี่ยง (ERM)
COSO 1 “ Internal Control-Integrated Framework	COSO 2 “ Enterprise Risk Management Integrated Framework
ความหมาย	ความหมาย
คือ กระบวนการที่ผู้กำกับดูแล ฝ่ายบริหาร และบุคลากรของหน่วยรับตรวจกำหนดให้มีขึ้น เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ดำเนินงานให้บรรลุผลสำเร็จวัตถุประสงค์ตามวัตถุประสงค์	คือ เหตุการณ์หรือสถานการณ์ที่มีความไม่แน่นอน ซึ่งอาจเกิดขึ้นและมีผลทำให้องค์กรเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า ไม่สามารถดำเนินงานให้บรรลุผลสำเร็จตามวัตถุประสงค์หรือเป้าหมายที่ตั้งไว้ได้
วัตถุประสงค์ 3 ด้าน	วัตถุประสงค์ 4 ด้าน
๑. ด้านการปฏิบัติงาน (Operation: O) ๒. ด้านการรายงานทางการเงิน (Financial: F) ๓. ด้านการปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ (Compliance: C)	๑. ด้านกลยุทธ์ (Strategic S) ๒. ด้านการปฏิบัติงาน (Operation: O) ๓. ด้านการรายงาน (Reporting: R) ๔. ด้านการปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ | (Compliance: C)
5 องค์ประกอบ	8 องค์ประกอบ
๑. สภาพแวดล้อมการควบคุม (Control environment) ๒. การประเมินความเสี่ยง (Risk assessment) ๓. กิจกรรมการควบคุม (Conrtolactivities) ๔. สารสนเทศและการสื่อสาร (Information and communication) ๕. การติดตามและประเมินผล (Monitoring activities)	๑. สภาพแวดล้อมในองค์กร (Internal Environment) ๒. การกำหนดวัตถุประสงค์ (Objective Setting) ๓. การระบุเหตุการณ์ (Event Identification) ๔. การประเมินความเสียง (Risk Assessment) ๕. การตอบสนองความเสียง (Risk Response) 5. กิจกรรมการควบคุม (Control Activities) ๗. สารสนเทศและการสื่อสาร (Information & Communication) ๘. การติดตามผล (Monitoring)
เน้นหน่วยงานย่อยหรือในงานประจำ	เน้นมองในภาพรวมทั่วทั้งองค์กรประเด็นยุทธศาสตร์ กลยุทธ์ โครงการ
การเชื่อมโยงกับ PMQA อยู่ในหมวดที่ ๑ LD6	การเชื่อมโยงกับ PMQA อยู่ในหมวดที่ ๒ SP7

การควบคุมภายใน ของ COSO: ความหมาย วัตถุประสงค์ และองค์ประกอบ

โดย จิณห์ระพีร์ พุ่มสงวน

ในปี 2535 คณะกรรมการชุดหนึ่ง ซึ่งเรียกว่า The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซึ่งเป็นคณะกรรมการของสถาบันวิชาชีพ 5 สถาบัน ในสหรัฐอเมริกา อันได้แก่
1. สมาคมผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (The American Institute of Certified Public Accountants หรือ AICPA)
2. สมาคมผู้ตรวจสอบภายใน (The Institute of Internal Auditor หรือ IIA)
3. สมาคมผู้บริหารการเงิน (The Financial Executives Institute หรือ FEI)
4. สมาคมนักบัญชีแห่งสหรัฐอเมริกา (The American Accounting Association หรือ AAA) และ
5. สมาคมนักบัญชีเพื่อการบริหาร (Institute of Management Accountants หรือ IMA)

ทั้ง 5 สถาบันนี้ ได้ร่วมกันศึกษาวิจัยและพัฒนาแนวคิดของการควบคุมภายใน และได้ให้ความหมายของการควบคุมภายในว่า “การควบคุมภายใน คือ กระบวนการปฏิบัติงานที่ถูกกำหนดร่วมกันโดย คณะกรรมการ ผู้บริหารตลอดจนพนักงานขององค์กรทุกระดับชั้น เพื่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า วิธีการหรือการปฏิบัติงานตามที่กำหนดไว้จะทำให้บรรลุวัตถุประสงค์ของการควบคุม”

ระบบการควบคุมภายใน ประกอบด้วย นโยบายและวิธีปฏิบัติงานที่กำหนดขึ้นในองค์กร เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่ากิจการจะบรรลุวัตถุประสงค์และเป้าหมาย ในเรื่องต่อไปนี้
1. ด้านการดำเนินงาน (Operation) โดยมุ่งหมายให้การปฏิบัติงานเกิดประสิทธิภาพ ประสิทธิผล และคุ้มค่า ด้วยการกำกับการใช้ทรัพยากรทุกประเภทให้เป็นไปอย่างมีประสิทธิภาพ บรรลุเป้าหมายที่ผู้บริหารกำหนดไว้ และให้ปลอดจากการกระทำทุจริตของพนักงาน หรือผู้บริหาร และหากมีความเสียหายเกิดขึ้นก็ช่วยให้ทราบถึงความเสียหายนั้นได้โดยเร็วที่สุด      
2. ด้านการรายงานทางการเงิน (Financial Reporting) รายงานทางการเงินหรืองบการเงินไม่ว่าจะเป็นรายงานที่ใช้ภายในหรือภายนอกองค์กร ต่างต้องมีความเชื่อถือได้และทันเวลา มีคุณภาพเหมาะสมสำหรับการนำไปใช้เป็นข้อมูลประกอบการพิจารณา ตัดสินใจทางธุรกิจของนักบริหาร เจ้าหนี้ ผู้ถือหุ้น และผู้ลงทุนทั่วไป
3. ด้านการปฏิบัติให้เป็นไปตาม กฎ ระเบียบ และนโยบาย (Compliance with Application Laws and Regulations) การปฏิบัติงานหรือดำเนินธุรกิจให้สอดคล้อง หรือเป็นไปตามบทบัญญัติ ข้อกำหนดของกฎหมาย นโยบาย ข้อบังคับ ระเบียบที่เกี่ยวข้องกับการปฏิบัติงาน หรือการดำเนินธุรกิจนั้น เพื่อป้องกันมิให้เกิดผลเสียหายใดๆ จากการละเว้นการปฏิบัติให้เป็นไปตามกฎ ระเบียบเหล่านั้น

จากวัตถุประสงค์ที่กล่าวมาแล้วข้างต้น จะเห็นได้ว่าบางครั้งในการจัดการควบคุมภายในสามรถแยกแยะวัตถุประสงค์ได้ชัดเจน แต่บางกรณีก็มีวัตถุประสงค์ที่เกี่ยวข้องกัน ดังนั้น จึงเป็นหน้าที่ของผู้บริหารที่จะต้องตัดสินใจว่า จะกำหนดมาตรการการควบคุมภายในเพื่อวัตถุประสงค์อะไร ต้องการเน้นชัดว่าเพื่อวัตถุประสงค์ใดวัตถุประสงค์หนึ่งเพียงอย่างเดียว หรือต้องการจัดให้มีระบบการควบคุมภายในเพื่อวัตถุประสงค์หลายประการที่สัมพันธ์กัน

ในการทำความเข้าใจเกี่ยวกับแนวคิดของ COSO จะต้องพิจารณาในเนื้อหาอย่างลึกซึ้ง โดยองค์ประกอบทั้ง 5 มีดังนี้
1. สภาพแวดล้อมการควบคุม (Control Environment)
2. การประเมินความเสี่ยง (Risk Assessment)
3. กิจกรรมการควบคุม (Control Activities)
4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication)
5. การติดตามและประเมินผล (Monitoring)
          
1. สภาพแวดล้อมของการควบคุม (Control Environment) กล่าวคือ สภาพแวดล้อมของการควบคุมเป็นองค์ประกอบที่เกี่ยวกับการสร้างจิตสำนึกและบรรยากาศของการควบคุมภายในซึ่งปัจจัยหลายๆ ปัจจัยที่นำมาพิจารณารวมกันส่งผลให้เกิดความมีประสิทธิผลของมาตรการหรือวิธีการควบคุมในองค์กร หรือทำให้มาตรการและวิธีการควบคุมที่ดีขึ้น โดยส่งเสริมให้ทุกคนในองค์กรตระหนักถึงความจำเป็นของระบบการควบคุมภายในและเน้นการสร้างบรรยากาศโดยผู้บริหารระดับสูง เพื่อให้คนขององค์กรเกิดจิตสำนึกที่ดีในการปฏิบัติตามความรับผิดชอบ ดังนั้น สภาพแวดล้อมของการควบคุมที่ดีจะช่วยให้บุคลากรเข้าใจถึงความจำเป็นและความสำคัญของการควบคุมภายใน  ทั้งนี้ ปัจจัยที่แสดงให้เห็นถึงสภาพแวดล้อมของการควบคุมประกอบด้วย

1) ความซื่อสัตย์และจริยธรรม กล่าวคือ ผู้บริหารควรจัดทำข้อกำหนดด้านจริยธรรมเป็นแนวทางการปฏิบัติ หรือมีมาตรฐานการปฏิบัติงาน โดยปัจจัยนี้ผู้ศึกษาเห็นว่า ปัจจุบันองค์กรมักจะจัดทำ Code of Conduct หรือหลักในการปฏิบัติงานที่เปรียบเสมือนกฎระเบียบขององค์กร ดังนั้น หากมีการแทรกข้อกำหนดด้านจริยธรรมอันเป็นแนวทางที่ควรปฏิบัติลงไป ก็จะทำให้เกิดความสมบูรณ์ในการนำมาใช้ในทางปฏิบัติมากขึ้น

ส่วนในด้านของผู้บริหารก็จะต้องปฏิบัติตนให้เป็นแบบอย่างที่ดีอย่างสม่ำเสมอ และลดวิธีการหรือแรงจูงใจที่รุนแรง เช่น การไม่กดดันให้พนักงานต้องปฏิบัติงานตามเป้าหมายที่สูงเกินจริง

2) ความรู้ ทักษะ ความสามารถเชิงแข่งขัน กล่าวคือ องค์กรควรมีการกำหนดระดับความรู้และความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละอย่าง ต้องกำหนดออกมาเป็นข้อกำหนดด้านพื้นความรู้ทางการศึกษา และประสบการณ์ในการปฏิบัติงานโดยผลสำเร็จในการประเมินองค์ประกอบด้านนี้สามารถพิจารณาได้จากการจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เพื่อให้เป็นเกณฑ์ในการพิจารณาบรรจุพนักงานให้เหมาะสมกับหน้าที่และความรับผิดชอบ

3) คณะกรรมการบริษัทหรือคณะกรรมการตรวจสอบ กล่าวคือ ฝ่ายบริหารระดับสูงเป็นผู้มีบทบาทสำคัญในการสร้างบรรยากาศการควบคุมของกิจการ คณะกรรมการบริษัทเป็นเสมือนตัวแทนผู้ถือหุ้นที่จะแต่งตั้งฝ่ายบริหารระดับสูงและกำกับดูแลการปฏิบัติงานให้บรรลุผลประโยชน์สูงสุดขององค์กร คณะกรรมการตรวจสอบเป็นส่วนหนึ่งของคณะกรรมการบริษัทที่ทำหน้าที่ส่งเสริมบรรยากาศของการควบคุม และการตรวจสอบทั้งภายในและการสอบบัญชีให้เป็นไปอย่างอิสระจากฝ่ายบริหาร รวมทั้งความรู้ ประสบการณ์ในการปฏิบัติงาน การตั้งคำถามที่ตรงประเด็นและลึกซึ้งเกี่ยวกับงานของฝ่ายบริหาร และติดตามวิเคราะห์คำตอบที่ได้ความถี่และการมีเวลาในการปฏิบัติหน้าที่และประชุมกับผู้บริหารฝ่ายการเงิน บัญชี ตรวจสอบภายใน และผู้สอบบัญชี ความเพียงพอและทันสมัยของสารสนเทศที่จัดให้คณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่จะติดตามการบรรลุผลของแผนกลยุทธ์ เป้าหมายของฝ่ายบริหารฐานะการเงิน ผลการดำเนินงาน และปฏิบัติตามสัญญาที่สำคัญ ความเพียงพอและทันกาลของสารสนเทศที่คณะกรรมการบริษัทและคณะกรรมการตรวจสอบมีเกี่ยวกับข้อมูลพิเศษ เช่น ค่าใช้จ่ายในการเดินทางของผู้บริหารระดับสูง รายงานการสืบสวนจากสถาบันกำกับดูแล การจ่ายเงินที่ผิดกฎหมาย เป็นต้น

4) ปรัชญาและรูปแบบการทำงานของผู้บริหาร กล่าวคือ องค์ประกอบนี้เป็นสิ่งใหม่ของการบริหาร ซึ่งบางครั้งปรัชญาและสไตล์การทำงานผู้บริหารถูกละทิ้งความสนใจไม่เข้าใจอย่างลึกซึ้ง การทำความเข้าใจแนวโน้มทางความคิดขององค์ประกอบนี้ เช่น เป็นผู้บริหารที่กล้าเสี่ยง หรือชอบความระมัดระวัง ความถี่ในการติดตามงานระหว่างผู้บริหารระดับสูงกับระดับปฏิบัติการ ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ความระมัดระวังในการกำหนดประมาณการทางบัญชี การเปิดเผยข้อมูล และการไม่แสดงข้อมูลที่เป็นเท็จ รวมทั้งการส่งเสริมในงานบัญชี การพัฒนาความรู้ของฝ่ายบัญชี เหล่านี้ล้วนเป็นสิ่งที่ทำให้สามารถทราบทิศทางองค์กรได้ว่าจะถูกวางอยู่ในจุดใดหรือมีความเสี่ยงอย่างไรบ้าง

5) โครงสร้างการจัดองค์กร กล่าวคือ โครงสร้างขององค์กรที่ได้รับการจัดไว้ดีย่อมเป็นพื้นฐานสำคัญที่ทำให้ผู้บริหารสามารถวางแผนงาน สั่งการ และควบคุมการปฏิบัติงานได้อย่างถูกต้อง รวดเร็ว และมีประสิทธิภาพ โดยการจัดโครงสร้างองค์กรให้เหมาะสมกับลักษณะของธุรกิจนั้น

6) การมอบอำนาจและความรับผิดชอบ (Assignment of Authority and responsibility) หมายถึง การมอบอำนาจให้กับผู้ปฏิบัติงานในระดับปฏิบัติการ ควรจะต้องมีการกำหนดอย่างชัดเจน โดยในการประเมินองค์ประกอบด้านนี้จะต้องพิจารณาจาก
(1) ความชัดเจนในการระบุความรับผิดชอบและอำนาจในการอนุมัติให้ผู้ปฏิบัติการฝ่ายต่างๆ ในการปฏิบัติงานให้ได้ตามวัตถุประสงค์
(2) ความเหมาะสมของมาตรฐานการควบคุมและวิธีการควบคุมที่เกี่ยวข้องรวมทั้งเอกสารที่ระบุลักษณะ
ความรับผิดชอบในตำแหน่งงาน
(3) ความเหมาะสมของจำนวนพนักงาน ซึ่งจะต้องมีความรู้และทักษะที่เหมาะสมกับปริมาณงานและ
ความซับซ้อนของกิจกรรม รวมทั้งระบบงานที่เกี่ยวข้อง

7) นโยบายและวิธีบริหารงานด้านทรัพยากรมนุษย์  กล่าวคือ ในการบริหารองค์กรมีปัจจัยหลายอย่างที่เป็นสิ่งสำคัญแก่องค์กรไม่ว่าจะเป็นระบบบริหารเทคโนโลยี สิ่งเหล่านี้ล้วนเป็นสิ่งที่องค์กรจะต้องพัฒนาตามยุคสมัยให้ทันแต่อย่างไรก็ตาม สิ่งที่สำคัญที่สุดขององค์กรที่จะขาดไม่ได้ก็คือ ทรัพยากรมนุษย์ เพราะทรัพยากรมนุษย์ที่ดีเป็นปัจจัยที่ทำให้องค์กรบรรลุเป้าหมายอย่างแท้จริง ดังนั้น ฝ่ายบริหารควรกำหนดนโยบายและวิธีบริหารงานด้านทรัพยากรมนุษย์ เช่น การว่าจ้าง การคัดเลือกบุคลากร และเมื่อได้บุคลากรที่เหมาะสมแล้ว ก็ต้องมีนโยบายในการจูงใจและพัฒนาให้มีความรู้ความสามารถที่ทันสมัยตามทันเทคโนโลยีเปลี่ยนแปลงอยู่ตลอดเวลา การประเมินองค์ประกอบนี้ เช่น นโยบายและวิธีปฏิบัติในส่วนที่เกี่ยวกับการคัดเลือก การฝึกอบรม การเลื่อนตำแหน่ง และการจ่ายผลตอบแทน ความเหมาะสมของวิธีการที่ใช้เมื่อพบความประพฤติที่แตกต่างจากนโยบายและวิธีปฏิบัติที่กำหนด เช่น มีบทลงโทษ ความเหมาะสมในการใช้นโยบายการเลื่อนตำแหน่งและความดีความชอบ

8) การตรวจสอบภายใน กล่าวคือ การตรวจสอบภายในถือเป็นส่วนหนึ่งของการควบคุมภายในและเป็นเครื่องมือทางการบริหารที่ทำให้สภาพแวดล้อมของการควบคุมมีคุณภาพ ผู้ตรวจสอบภายในต้องมีความอิสระเพียงพอที่จะรายงานผลการตรวจสอบและประเมินผลให้แก่ผู้บริหาร และผู้รับผิดชอบการปฏิบัติงานที่ได้รับการตรวจสอบและประเมินผลทั้งนี้ผู้ตรวจสอบภายในควรได้รับการสนับสนุนอย่างเหมาะสมจากผู้บริหาร

2. การประเมินความเสี่ยง(Risk Assessment)  ซึ่งจัดได้ว่าเป็นเครื่องมือในการบริหารอย่างหนึ่งที่ผู้บริหารนิยมใช้ในปัจจุบัน เนื่องจากในปัจจุบันเป็นยุคการค้าที่มีการแข่งขันอย่างเสรี ซึ่งมีคู่แข่งมากมายที่กำลังต่อสู้กับองค์กร ดังนั้น ความเสี่ยงจึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ ซึ่งการประเมินความเสี่ยงนั้น เป็นกระบวนการที่ทำให้กิจการขององค์กรทราบถึงความเสี่ยงที่กำลังจะเผชิญล่วงหน้าได้ เมื่อทราบถึงความเสี่ยงแล้วก็สามารถที่จะบริหารความเสี่ยงเพื่อเปลี่ยนวิกฤติให้เป็นโอกาส และเพื่อลดผลกระทบความเสียหายที่จะเกิดขึ้นได้เนื่องจากเป็นการค้ายุคการแข่งขันเสรีที่มีความเสี่ยงสูง และต้องเตรียมความพร้อมในทุกสภาวการณ์ การประเมินความเสี่ยงจะทำให้ฝ่ายบริหารได้ทราบถึงปัจจัยเสี่ยงทั้งจากปัจจัยภายใน และปัจจัยภายนอกที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์การอย่างเพียงพอและเหมาะสม โดยแบ่งได้เป็น

1) ปัจจัยเสี่ยงระดับกิจการ อาจเกิดจากปัจจัยเสี่ยงต่าง ๆ ทั้งภายนอกและภายในกิจการ โดยปัจจัยเสี่ยงภายนอก เป็นปัจจัยที่เกิดจากภายนอกที่กิจการควบคุมไม่ได้ ซึ่งผู้บริหารต้องติดตามศึกษาเพื่อหาวิธีปฏิบัติในการเปลี่ยนวิกฤตให้เป็นโอกาส หรือลดผลเสียหายที่จะเกิดขึ้น ส่วนปัจจัยเสี่ยงภายใน เป็นปัจจัยที่เกิดจากภายในองค์กรที่ผู้บริหารสามารถจัดการได้ ซึ่งสามารถยกตัวอย่างของปัจจัยภายนอก เช่น การเปลี่ยนแปลงทางเทคโนโลยี ความต้องการและความมุ่งหวังของลูกค้าที่มีต่อสินค้าหรือบริการ กฎหมายและข้อกำหนดต่างๆ ของภาครัฐ และตัวอย่างของปัจจัยภายใน เช่น ความซื่อสัตย์และจริยธรรมของผู้บริหาร ความสลับซับซ้อนของการปฏิบัติงาน ขวัญและกำลังใจของพนักงานในการปฏิบัติงาน ขนาดของหน่วยงาน โดยหน่วยงานใหญ่ย่อมมีโอกาสผิดพลาดสูงกว่าหน่วยงานเล็ก

2) ปัจจัยเสี่ยงระดับกิจกรรม เป็นปัจจัยเสี่ยงที่อาจเกิดในหน่วยงานสาขา แผนงาน โครงการ และกระบวนการปฏิบัติงานที่สำคัญ เช่น การจัดหา การตลาด เป็นต้น

หลังจากระบุปัจจัยเสี่ยงแล้ว ขั้นต่อมาที่สำคัญก็คือ การวิเคราะห์และจัดระดับความเสี่ยง หากปัจจัยเสี่ยงใดสามารถคำนวณจำนวนที่อาจเกิดขึ้นได้โดยตรงในเชิงปริมาณ เช่น การใช้สูตรคำนวณจำนวนค่าความเสียหาย ก็ให้ประเมินและจัดระดับความเสี่ยงไปตามความสำคัญของจำนวนที่คำนวณได้ หากการวิเคราะห์และจัดระดับความเสี่ยงโดยใช้สูตรคำนวณเป็นไปได้ยาก อาจต้องใช้วิธีการให้คะแนนเชิงเปรียบเทียบแทน เช่น การให้ระดับ 1-3 โดย 1 = ไม่พอใจ 2 = ปานกลาง และ 3 = พอใจ เป็นต้น

หลังจากนั้นผู้บริหารควรกำหนดวิธีการบริหารความเสี่ยง และตัดสินใจเกี่ยวกับกิจกรรมควบคุมภายในที่จำเป็นเพื่อลดหรือบรรเทาความเสี่ยงเหล่านั้นและเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ด้านประสิทธิภาพ ประสิทธิผลของการดำเนินงาน รายงานทางการเงินและการดำเนินงานเป็นที่น่าเชื่อถือ และการปฏิบัติที่เป็นไปตามกฎหมาย และระเบียบข้อบังคับ ผู้บริหารระดับส่วนงาน หรือผู้ประเมินควรจะต้องเน้นการให้ความสำคัญเกี่ยวกับกระบวนการบริหาร ในการกำหนดวัตถุประสงค์การระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการบริหารความเสี่ยงในช่วงของการเปลี่ยนแปลง และบางเรื่องมีลักษณะเป็นนามธรรมซึ่งต้องใช้ดุลยพินิจ แต่เรื่องเหล่านี้มีความสำคัญในการใช้ประเมินความเสี่ยงว่าเหมาะสมเพียงพอหรือไม่ ซึ่งการบริหารความเสี่ยงนั้น COSO ได้กำหนดวิธีการตอบสนองความเสี่ยงไว้พอสรุปได้ดังนี้

1)   การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) หมายถึง การเลิกหรือหลีกเลี่ยงการกระทำเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น การกระทำงานที่องค์กรไม่ถนัด อาจหลีกเลี่ยงโดยการไม่กระทำ หรือจ้างบุคคลภายนอก เป็นต้น

2)   การลดความเสี่ยง (Risk Reduction) หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย หรือการลดทั้งสองด้านพร้อมกัน การลดความเสี่ยงที่สำคัญคือ การจัดระบบการควบคุมเพื่อป้องกัน หรือค้นพบความเสี่ยงเฉพาะวัตถุประสงค์นั้นอย่างเหมาะสมทันกาลมากขึ้นรวมถึงการกำหนดแผนสำรองในกรณีมีเหตุการณ์ฉุกเฉิน

3)   การแบ่งความเสี่ยง (Risk Sharing) หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย โดยการแบ่ง การโอน การหาผู้รับผิดชอบร่วมในความเสี่ยง เช่น การจัดประกันภัย

4)   การยอมรับความเสี่ยง (Risk Acceptance) หมายถึง การไม่กระทำการใดๆ เพิ่มเติมกรณีนี้ใช้กับความเสี่ยงที่มีสาระสำคัญน้อย ความเสี่ยงน่าจะเกิดน้อย หรือเห็นว่ามีต้นทุนในการบริหารความเสี่ยงสูงกว่าผลที่ได้รับ

          
3. กิจกรรมการควบคุม (Control Activities) หมายถึง  การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นไปตามนโยบาย วิธีปฏิบัติงาน และคำสั่งต่างๆ ที่ฝ่ายบริหารกำหนด ซึ่งจะต้องเป็นการกระทำที่ถูกต้องและในเวลาที่เหมาะสม จะเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด กิจกรรมการควบคุมภายในสามารถแบ่งออกตามประเภทของการควบคุมได้ดังต่อไปนี้

1) การควบคุมแบบป้องกัน เป็นวิธีการควบคุมที่กำหนดขึ้น เพื่อป้องกันมิให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก

2) การควบคุมแบบค้นพบ เป็นวิธีการควบคุมที่กำหนดขึ้น เพื่อทำการค้นพบข้อผิดพลาดที่เกิดขึ้นมาแล้ว

3) การควบคุมแบบแก้ไข เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้อง หรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต

4) การควบคุมแบบส่งเสริม เป็นวิธีการควบคุมที่ส่งเสริมหรือกระตุ้นให้เกิดความสำเร็จโดยตรงกับวัตถุประสงค์ที่ต้องการ

          
4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication) นี้ ถือเป็นองค์ประกอบสำคัญต่อการควบคุมภายในยุคปัจจุบัน ซึ่งนับได้ว่าเป็นยุคของข้อมูลข่าวสาร และถ้าข้อมูลข่าวสารมีความทันสมัยก็จะทำให้องค์กรรับรู้ข้อมูลได้ทันท่วงที มีความได้เปรียบทางด้านธุรกิจ และสามารถเพิ่มประสิทธิภาพให้กับการบริหารองค์กรได้ดีอีกด้วย แต่อย่างไรก็ตาม ความถูกต้องของข้อมูลข่าวสารก็ถือว่าเป็นสิ่งสำคัญยิ่งไม่แพ้กัน ดังนั้น ควรให้ผู้ปฏิบัติงานที่เกี่ยวข้องได้เข้าถึงหรือรับทราบข้อมูลที่เกี่ยวข้องผ่านเครื่องมือต่างๆ โดยสามารถแบ่งได้ ดังนี้
          
1) ข้อมูลสารสนเทศ (Information)  เป็นข้อมูลที่มีความจำเป็นสำหรับการปฏิบัติงานของบุคลากรทั้งผู้บริหารและผู้ปฏิบัติงานทุกระดับ โดยผู้บริหารต้องใช้ข้อมูลประกอบการพิจารณาสั่งการ ส่วนผู้ปฏิบัติงานมักใช้ข้อมูลสารสนเทศเป็นเครื่องชี้นำทิศทางการปฏิบัติหน้าที่ ข้อมูลสารสนเทศที่ดีที่ควรจัดให้มีในทุก ๆ องค์กรควรมีลักษณะดังนี้

(1)   ความเหมาะสมกับการใช้ หมายถึง สารสนเทศมีเนื้อหาสาระที่จำเป็นต่อการตัดสินใจของผู้ใช้

(2)   ความถูกต้องสมบูรณ์ หมายถึง สารสนเทศที่สามารถสะท้อนผลตามความจำเป็นและให้ข้อมูลที่เป็นจริงและมีรายละเอียดที่จำเป็นครบถ้วน

(3)   ความเป็นปัจจุบัน หมายถึง การให้ตัวเลขและข้อเท็จจริงล่าสุดที่เป็นปัจจุบันสามารถใช้เป็นข้อมูลที่เชื่อถือได้สำหรับประกอบการตัดสินใจได้ทันเวลา

(4)   สะดวกในการเข้าถึง  หมายถึง ความยากง่ายสำหรับผู้ที่มีอำนาจหน้าที่ที่เกี่ยวข้อง  และมีระบบรักษาความปลอดภัย ป้องกันผู้ที่ไม่มีส่วนเกี่ยวข้องให้ไม่สามารถเข้าถึงข้อมูลสารสนเทศที่มีความสำคัญหรือข้อมูลที่เป็นความลับได้

ในการจัดให้มีสารสนเทศที่ดีเป็นหน้าที่ของผู้บริหารที่จะจัดหาบุคลากรที่มีความรู้ ความสามารถ และประสบการณ์ทางวิชาชีพ รวมทั้งการจัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบงานที่ดี และประสบการณ์ทางวิชาชีพ รวมทั้งการจัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบงานที่ดี เพื่อให้มีการปฏิบัติตามระบบงานที่กำหนดไว้อย่างสม่ำเสมอและควบคุมการปฏิบัติให้เป็นไปตามระเบียบที่กำหนดไว้อย่างเคร่งครัด

2) การสื่อสาร (Communication) ที่มีประสิทธิภาพนั้น หมายถึง การจัดระบบการสื่อสารให้ข้อมูลส่งไปถึงผู้ที่ควรได้รับ และระบบการสื่อสารที่ดีนั้น จะต้องประกอบด้วยทั้งระบบการสื่อสารกันภายในองค์กรหรือการสื่อสารที่เกิดขึ้นภายในองค์กรเดียวกันซึ่งควรจัดให้เป็นรูปแบบการสื่อสารสองทาง และอีกระบบคือการสื่อสารภายนอกซึ่งเป็นการสื่อสารกับลูกค้าหรือบุคคลอื่น ๆ นอกองค์กร

          
5. การติดตามและประเมินผล (Monitoring and Evaluation) กล่าวคือ การควบคุมภายในขององค์กรจะสมบูรณ์ไม่ได้หากขาดการติดตามและประเมินผล เพราะเป็นองค์ประกอบสำคัญที่ทำให้ผู้บริหารมั่นใจได้ว่า มาตรการและระบบการควบคุมภายในมีประสิทธิผลและได้รับการปรับปรุงให้ทันสมัยอยู่ตลอดเวลา

1) การติดตามผลระหว่างการดำเนินงาน (On Going Monitoring) หมายถึง การสังเกต การติดตาม ระบบรายงานความคืบหน้าของงาน รวมทั้งการสอบทานหรือการยืนยันผลงานระหว่างการปฏิบัติงาน

2) การประเมินผลอิสระ (Independent Evaluation) เป็นการประเมินผลที่เกิดขึ้นในช่วงเวลาที่แล้วแต่จะกำหนด หรือการประเมินอิสระอาจหมายถึง การประเมินโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดระบบควบคุมภายใน เพื่อให้สามารถแสดงความเห็นได้อย่างเป็นอิสระ เช่น การประเมินจากผู้ตรวจสอบภายใน เป็นต้น

3) การประเมินการควบคุมด้วยตนเอง (Control Self Assessment : CSA) เป็นการจัดประชุมเชิงปฏิบัติร่วมกัน ระหว่างผู้บริหาร ผู้ปฏิบัติงาน ผู้มีความรู้ด้านการควบคุม และผู้อื่นที่มีส่วนเกี่ยวข้อง เพื่อกำหนดกิจกรรมควบคุมและประเมินผลร่วมกัน ในด้านที่ได้รับมอบหมายให้ดำเนินงานนั้น

การรายงานผลการประเมินและการสั่งการแก้ไข ต้องจัดทำรายงานผลการประเมินที่สำคัญเสนอผู้บริหารที่รับผิดชอบ เช่น การจัดทำรายงานแสดงผลความคลาดเคลื่อนของการดำเนินงานเป็นระยะ ๆ

คัดจาก :  จิณห์ระพีร์ พุ่มสงวน ใน https://www.gotoknow.org/posts/447878

การควบคุมภายในตามแนวทาง COSO 2013

การควบคุมภายในตามแนวทางตามแนวทาง COSO 2013 มี 5 องค์ประกอบ 17 หลักการ

องค์ประกอบที่ 1: สภาพแวดล้อมการควบคุม (Control Environment)

หลักการที่ 1 องค์กรยึดหลักความซื่อตรงและจริยธรรม
1.1 แสดงให้เห็นโดยผ่านคำสั่ง การกระทำ พฤติกรรม
1.2 จัดทำมาตรฐานของจรรยาบรรณ
1.3 ประเมินการยึดมั่นในมาตรฐานของจรรยาบรรณ
1.4 รายงานการเบี่ยงเบนในเวลาที่เหมาะสม

หลักการที่ 2 คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำกับดูแล
2.1 กำหนดความรับผิดชอบในการกำกับดูแล
2.2 ฝ่ายบริหารหน่วยงานมีความรู้ความชำนาญที่เกี่ยวข้องกับภารกิจการดำเนินการ
2.3 ดำเนินการอย่างเป็นอิสระจากฝ่ายบริหาร
2.4 กำกับดูแลในเรื่องสภาพแวดล้อมของการควบคุม การประเมินความเสี่ยง กิจกรรมการควบคุม ข้อมูลสารสนเทศและการสื่อสาร และการติดตามประเมินผล     

หลักการที่ 3 คณะกรรมการและฝ่ายบริหาร มีอำนาจการสั่งการชัดเจน
3.1 พิจารณาโครงสร้างทั้งหมดของกิจการ
3.2 กำหนดสายการรายงาน
3.3 กำหนด มอบหมาย และจำกัดขอบเขตของอำนาจหน้าที่และความรับผิดชอบ     

หลักการที่ 4 องค์กร จูงใจ รักษาไว้ และจูงใจพนักงาน
4.1 วางนโยบายและวิธีปฎิบัติเกี่ยวกับการบริหารบุคลากร
4.2 ประเมินความสามารถรายบุคคลและระบุส่วนที่ยังขาดอยู่เพื่อปรับปรุงแก้ไข
4.3 จูงใจ พัฒนาและรักษาบุคคลากร
4.4 วางแผนและเตรียมสรรหาผู้สืบทอดตำแหน่ง (Succession)

หลักการที่ 5 องค์กรผลักดันให้ทุกตำแหน่งรับผิดชอบต่อการควบคุมภายใน
5.1 บังคับให้มีความรับผิดชอบต่อการควบคุมภายในผ่านโครงสร้างองค์กร อำนาจหน้าที่และความรับผิดชอบ
5.2 กำหนดตัวชี้วัดผลการปฏิบัติงาน การสร้างแรงจูงใจและการให้รางวัล
5.3 ประเมินตัวชี้วัดผลการปฏิบัติงาน สิ่งจูงใจ และรางวัลอย่างต่อเนื่อง
5.4 พิจารณาความกดดันในการทำงานที่มากเกินไป
5.5 ประเมินผลกาปฏิบัติงาน การให้รางวัล และการลงโทษพนักงานเป็นรายบุคคล

องค์ประกอบที่ 2: การประเมินความเสี่ยง (Risk Assessment)

หลักการที่ 6 กำหนดเป้าหมายชัดเจน
6.1 องค์กรปฏิบัติตามมาตรฐานบัญชีที่รับรองโดยทั่วไป
6.2 องค์กรกำหนดสาระสำคัญของรายงานทางการเงิน
6.3 รายงานทางการเงินสะท้อนถึงกิจกรรมของหน่วยงาน
6.4 คณะกรรมการอนุมัติและสื่อสารนโยบายบริหารความเสี่ยงให้ผู้บริหารและพนักงานรับทราบ และเป็นส่วนหนึ่งของวัฒนธรรมหน่วยงาน

หลักการที่ 7 ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม
7.1 ระบุความเสี่ยงทุกประเภท ทั้งระดับ องค์กร ฝ่ายงาน
7.2 วิเคราะห์ความเสี่ยงทั้งปัจจัยภายใน/ภายนอก
7.3 ให้ผู้บริหารทุกระดับมีส่วนร่วม
7.4 ประเมินนัยสำคัญของความเสี่ยงที่ระบุ
7.5 กำหนดว่าจะตอบสนองความเสี่ยงอย่างไร

หลักการที่ 8 พิจารณาโอกาสที่จะเกิดการทุจริต
8.1 ประเมินโอกาสที่จะเกิดการทุจริตประเภทต่างๆ
8.2 ทบทวนเป้าหมาย แรงจูงใจและแรงกดดัน
8.3 คณะกรรมการตรวจสอบได้พิจารณาและสอบถามผู้บริหารเกี่ยวกับโอกาสเกิดทุจริต และมาตรการป้องกัน
8.4 หน่วยงานหน่วยงานหน่วยงานได้สื่อสารให้พนักงานปฏิบัติตามนโยบาย

หลักการที่ 9 ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน
9.1 ประเมินการเปลี่ยนแปลงสภาพแวดล้อมภายนอก
9.2 ประเมินการเปลี่ยนแปลงรูปแบบภารกิจการดำเนินการ
9.3 ประเมินการเปลี่ยนแปลงผู้นำหน่วยงาน

องค์ประกอบที่ 3: กิจกรรมการควบคุม (Control  Activities)

หลักการที่ 10 ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
10.1 การควบคุมเหมาะสมกับความเสี่ยง และลักษณะเฉพาะของหน่วยงาน สภาพแวดล้อม ลักษณะของงาน
10.2 มีมาตรการการควบคุมภายในที่กำหนดเป็นลายลักษณ์อักษร เช่น นโยบาย คู่มือ ระเบียบ
10.3 กำหนดกิจกรรมควบคุมให้มีความหลากหลายอย่างเหมาะสมการผสมผสานของกิจกรรมการควบคุมหลายๆประเภท
10.4 กำหนดให้มีการควบคุมทุกระดับของหน่วยงาน
10.5 มีการแบ่งแยกหน้าที่ ผู้อนุมัติ ผู้บันทึก ผู้ดูแลเก็บรักษา

หลักการที่ 11 พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม
11.1 กำหนดความเกี่ยวข้องกันของการใช้ IT ในกระบวนการธุรกิจกับการควบคุมทั่วไปทางด้าน IT ให้เหมาะสม
11.2 กำหนดกิจกรรมการควบคุมด้านโครงสร้างพื้นฐานให้เหมาะสม
11.3 กำหนดกิจกรรมการควบคุมด้านความปลอดภัยให้เหมาะสม
11.4 กำหนดกิจกรรมการควบคุมด้านการจัดหา การพัฒนา และดูแลรักษาระบบ

หลักการที่ 12 ควบคุมให้นโยบายสามารถปฏิบัติได้
12.1 มีนโยบายที่รัดกุมเพื่อติดตามการทำธุรกรรมของผู้ถือหุ้นรายใหญ่ กรรมการ ผู้บริหาร
12.2 มีนโยบายเพื่อให้การอนุมัติการทำธุรกรรมกระทำโดยผู้ที่ไม่มีส่วนได้เสีย
12.3 มีนโยบายเพื่อให้การอนุมัติธุรกรรมคำนึงถึงประโยชน์สูงสุดของหน่วยงาน เสมือนเป็นรายการที่ทำกับบุคคลภายนอก (at arms’ length basis)
12.4 มีกระบวนการติดตามดูแลการดำเนินงานของหน่วยงานย่อย หน่วยงานร่วม
12.5 กำหนดหน้าที่และความรับผิดชอบในการนำนโยบายไปปฏิบัติ
12.6 นโยบายและกระบวนการปฏิบัติได้รับการนำไปใช้ในเวลาที่เหมาะสม
12.7 ทบทวนนโยบายและกระบวนการทำงานให้เหมาะสมอยู่เสมอ

องค์ประกอบที่ 4: สารสนเทศและการสื่อสาร (Information and Communication)

หลักการที่ 13 หน่วยงานมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ
13.1 ระบุสารสนเทศที่ต้องการใช้ในการดำเนินงาน
13.2 พิจารณา ต้นทุน ประโยชน์ รวมทั้งปริมาณและความถูกต้องของข้อมูล
13.3 ดำเนินการเพื่อให้กรรมการมีข้อมูลที่เพียงพอในการตัดสินใจ
13.4 ดำเนินการเพื่อให้กรรมการได้รับหนังสือเชิญประชุมและเอกสารล่วงหน้าก่อนการประชุมตามที่กฎหมายกำหนด
13.5 ดำเนินการเพื่อให้รายงานการประชุมมีรายละเอียดสามารถสอบย้อนได้
13.6 องค์กรมีการดำเนินการดังนี้ เก็บเอกสารเป็นระบบ แก้ไขข้อบกพร่องการควบคุม ตามความเห็นผู้สอบ

หลักการที่ 14 มีการสื่อสารข้อมูลภายในหน่วยงาน ให้การควบคุมภายในดำเนินต่อไปได้
14.1 มีกระบวนการสื่อสารข้อมูลอย่างมีประสิทธิภาพ มีช่องทางที่เหมาะสม
14.2 มีการรายงานข้อมูลที่สำคัญถึงกรรมการอย่างสม่ำเสมอ
14.3 จัดให้มีช่องทางสื่อสารลับเพื่อแจ้งเบาะแสเกี่ยวกับการทุจริต     

หลักการที่ 15 มีการสื่อสารกับหน่วยงานภายนอก ในประเด็นที่อาจกระทบต่อการควบคุมภายใน
15.1 สื่อสารกับผู้มีส่วนได้เสียภายนอกอย่างมีประสิทธิภาพ มีช่องทางที่เหมาะสม
15.2 มีช่องทางสื่อสารลับ สำหรับผู้มีส่วนได้เสียภายนอก แจ้งเบาะแสการทุจริต

องค์ประกอบที่ 5: กิจกรรมการกำกับติดตามและประเมินผล (Monitoring  Activities)

หลักการที่ 16 ติดตามและประเมินผลการควบคุมภายใน
16.1 จัดให้มีการติดตามการปฏิบัติตามจริยธรรมธุรกิจและข้อกำหนด ในลักษณะที่อาจก่อให้เกิดความขัดแย้งทางผลประโยชน์
16.2 จัดให้มีการตรวจสอบการปฏิบัติตามระบบการควบคุมภายในที่วางไว้ โดยการประเมินตนเอง และ/หรือการประเมินโดยผู้ตรวจสอบภายใน
16.3 ความถี่การติดตามและประเมินผล มีความเหมาะสมกับการเปลี่ยนแปลงของหน่วยงาน
16.4 ติดตามและประเมินผลการควบคุมภายใน โดยผู้มีความรู้ความสามารถ
16.5 กำหนดแนวทางการรายงานผลการตรวจสอบภายใน ขึ้นตรงต่อคณะกรรมการตรวจสอบ
16.6 ส่งเสริมให้ผู้ตรวจสอบภายในปฏิบัติหน้าที่ตามมาตรฐานสากล การปฏิบัติงานวิชาชีพการตรวจสอบภายใน

หลักการที่ 17 ประเมินและสื่อสารข้อบกพร่องของการควบคุมภายในทันเวลา และเหมาะสม
17.1 ประเมินผลและสื่อสารข้อบกพร่องของการควบคุมภายใน และดำเนินการแก้ไขอย่างทันท่วงที
17.2 รายงานต่อฝายบริหารหน่วยงานที่สูงขึ้น ทันทีที่เกิดเหตุการณ์ทุจริตร้ายแรง การฝ่าฝืนกฎหมาย หรือการกระทำที่ผิดปกติ ซึ่งกระทบชื่อเสียงและฐานะการเงินของหน่วยงานอย่างมีนัยสำคัญ
17.3 รายงานข้อบกพร่องที่เป็นสาระสำคัญ พร้อมแนวทางแก้ไข ต่อฝ่ายบริหารที่สูงขึ้นของหน่วยงาน /คณะกรรมการตรวจสอบ ในเวลาอันควร

คัดและอ้างอิงจาก:
1.  http://tanya-nps.blogspot.com/2014/09/coso-2013.html
2. https://www.ethicaladvocate.com/404-2

3. https://www.coso.org/Pages/default.aspx

การควบคุมภายใน

ระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วย การกำหนดมาตรฐานการควบคุมภายใน พ.ศ.๒๕๔๔ ระเบียบ ข้อ ๕ กำหนดให้หน่วยรับการควบคุมภายใน โดยใช้มาตรฐานการควบคุมภายในตามระเบียบ และข้อ ๖ ให้ผู้ตรวจรายงานต่อคณะกรรมการตรวจเงินแผ่นดิน ผู้กำกับดูแล และคณะกรรมการตรวจสอบ เกี่ยวกับการควบคุมภายใน อย่างน้อยปีละ ๑ ครั้ง ภายใน ๙๐ วัน นับจากวันสิ้นปีงบประมาณ หรือปีปฏิทิน แล้วแต่กรณี

การควบคุมภายใน คือ กระบวนการที่ผู้กำกับดูแลฝ่ายบริหารและบุคลากรของหน่วยนรับตรวจ กำหนดให้มีขึ้นเพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า การดำเนินงานของหน่วยรับตราจจะบรรลุวัตถุประสงค์

วัตถุประสงค์ของการควบคุมภายใน
๑) เพื่อให้เกิดประสิทธิผลและประสิทธิภาพของการดำเนินงาน (Operation: O)
๒) เพื่อให้เกิดความเชื่อถือได้ของการรายงานทางการเงิน (Financial: F)
๓) เพื่อให้เกิดการปฏิบัติตามกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง (Compliance: C)

แนวคิดเกี่ยวกับการควบคุมภายใน
- เป็น "กระบวนการ" ที่รวมไว้หรือเป็นส่วนหนึ่งในการปฏิบัติงานตามปกติ
- เกิดขึ้นโดย "บุคคล" ในองค์กร
- ทำให้เกิด "ความมั่นใจในระดับที่สมเหตุสมผล" ว่าการปฏิบัติงานจะบรรลุวัตถุประสงค์ที่กำหนด

มาตรฐานการควบคุมภายในตามที่คณะกรรมการตรวจเงินแผนดิน (คตง.) กำหนด มี ๕ องค์ประกอบ (COSO 2013) ดังนี้
๑. สภาพแวดล้อมของการควบคุม (Control environment)
๒. การประเมินความเสี่ยง (Risk assessment)
๓. กิจกรรมการควบคุม (Control activities)
๔. สารสนเทศและการสื่อสาร (Information and communication)
๕. การติดตามและประเมินผล (Monitoring activities)

๑. สภาพแวดล้อมของการควบคุม (Control environment) คือ ปัจจัยต่าง ๆ ซึ่งร่วมกันส่งผลให้มีการควบคุมขึ้นในหน่วยรับตรวจหรือทำให้การควบคุมที่มีอยู่ได้ผลดีขึ้น ในทางตรงกันข้ามสภาพแวดล้อมที่ไม่มีประสิทธิภาพก็อาจทำให้การควบคุมที่มีอยู่มีประสิทธิภาพลดลง

ปัจจัยที่เกี่ยวข้อง
- ปรัชญาและรูปแบบการทำงานของผู้บริหาร
- ความซื่อสัตย์และจริยธรรม
- การพัฒนาความรู้ ความสามารถของบุคลากร
- โครงสร้างการจัดองค์กร
- การมอบอำนาจและหน้าที่ความรับผิดชอบ
- นโยบายและวิธีบริหารบุคลากร

๒. การประเมินความเสี่ยง (Risk assessment)
“ความเสี่ยง” หมายถึง โอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ซึ่งไม่พึงประสงค์ที่ทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนด
“การประเมินความเสี่ยง” หมายถึง กระบวนการที่ใช้ในการระบุและการวิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ของหน่วยรับตรวจ รวมทั้งการกำหนดแนวทางที่จำเป็นต้องใช้ในการควบคุมความเสี่ยง หรือการบริหารความเสี่ยง

ขั้นตอนในการประเมินความเสี่ยง ประกอบด้วย
๑. การระบุปัจจัยความเสี่ยง (Event Identification)
๒. การวิเคราะห์ความเสี่ยง (Risk Analysis)
๓. การจัดการความเสี่ยง (Risk Response)
๓. กิจกรรมการควบคุม (Control activities)

๓. กิจกรรมการควบคุม (Control activities) หมายถึง นโยบายและวิธีการต่าง ๆ  ที่ฝ่ายบริหารกำหนดให้บุคลากรของหน่วยรับตรวจปฏิบัติเพื่อลดหรือควบคุมความเสี่ยง และได้รับการสนองตอบโดยมีการปฏิบัติตาม

การกำหนดกิจกรรมการควบคุม
- ควรแฝงอยู่ในกระบวนการทำงานตามปกติ
- สามารถลดความเสี่ยงให้อยู่ในระดับยอมรับได้
- ต้นทุนคุ้มกับประโยชน์ที่ได้รับ
- เพียงพอเหมาะสมไม่มากหรือน้อยเกินไป

ตัวอย่างกิจกรรมการควบคุม
- การสอบทาน
- การอนุมัติ
- การดูแลป้องกันทรัพย์สิน
- การบริหารทรัพยากรบุคคล
- การแบ่งแยกหน้าที่
- การควบคุมเอกสาร
- การใช้ทะเบียน

๔. สารสนเทศและการสื่อสาร (Information and communication)
“สารสนเทศ” หมายถึง ข้อมูลข่าวสารทางการเงินและข้อมูลข่าวสารอื่น ๆ เกี่ยวกับการดำเนินงานของหน่วยรับตรวจ ไม่ว่าเป็นข้อมูลจากแหล่งภายในหรือภายนอก
“การสื่อสาร” หมายถึง การสื่อสารกับบุคคลหรือหน่วยงานทั้งภายในและภายนอก ซึ่งอาจใช้คนหรือใช้สื่อในการติดต่อสื่อสารก็ได้เพื่อให้บรรลุวัตถุประสงค์ที่ต้องการ

ฝ่ายบริหารต้องจัดให้มีสารสนเทศอย่างยพอเพียงและสื่อสารให้ฝ่ายบริหารและบุคลากรอื่น ๆ ที่เหมาะสม ทั้งภายในและภายนอกหน่วยรับตรวจ ซึ่งจำเป็นต้องใช้สารสนเทศนั้นในรูปแบบที่เหมาะสมแและทันเวลา

๕. การติดตามและประเมินผล (Monitoring activities)
“การติดตามผล” หมายถึง การสอดส่องดูแลกิจกรรมที่อยู่ระหว่างการดำเนินงาน เพื่อให้เกิดความมั่นใจว่า การดำเนินงานเป็นไปตามระบบการควบคุมภายในที่กำหนด
“การประเมินผล” หมายถึง การเปรียบเทียบผลการปฏิบัติงานกับระบบการควบคุมภายในที่กำหนดไว้ว่ามีความสอดคล้องหรือไม่เพียงใด และประเมินระบบการควบคุมภายในที่กำหนดไว้ว่ายังเหมาะสมกับสภาพแวดล้อมในปัจจุบันหรือไม่

ประโยชน์ของการควบคุมภายใน
๑. ช่วยให้การดำเนินงานของหน่วยงานสามารถบรรลุวัตถุประสงค์และมีประสิทธิภาพ
๒. ช่วยป้องกันความสูญเสียของทรัพยากร
๓. ช่วยให้รายงานทางการเงินมีความถูกต้องสมบูรณ์และเชื่อถือได้
๔. ช่วยกำกับให้การปฏิบัติการด้านต่าง ๆ สอดคล้องกับกฎหมายและระเบียบที่ใช้บังคับหน่วยงาน

การจัดทำรายงานการประเมินผลการควบคุม
การรายงานการควบคุมภายในตามระเบียบข้อ ๖ ให้ผู้รับตรวจรายงานต่อคณะกรรมการตรวจเงินแผ่นดิน ผู้กำกับดูแล และคณะกรรมการตรวจสอบ เกี่ยวกับการควบคุมภายในอย่างน้อยปีละ ๑ ครั้ง ภายใน ๙๐ วัน นับจากวันสิ้นปีงบประมาณ หรือปีปฏิทิน แล้วแต่กรณี ซึ่งเป็นการรายงานตามความเห็นว่าระบบการควบคุมภายในของหน่วยรับตรวจ มีมาตรฐานตามระเบียบฯ หรือไม่ อีกทั้งเป็นการรายงานผลการประเมินความเพียงพอ ประสิทธิผล จุดอ่อน และแผนการปรับปรุงระบบการควบคุมภายในตามรูปแบบรายงาน ดังนี้

ระดับส่วนงานย่อย
- รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน (แบบ ปย.๑)
- รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน (แบบ ปย.๒)

ระดับหน่วยรับตรวจ
- หนังสือรับรองการประเมินผลการควบคุมภายใน (แบบ ปอ.๑)
- รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน (แบบ ปอ.๒)
- รายงานแผนการปรับปรุงการควบคุมภายใน (แบบ ปอ.๓)

ผู้ตรวจสอบภายใน
- รายงานผลการสอบทานการประเมินผลการควบคุมภายในของผู้ตรวจสอบภายใน (แบบ ปส.)


คัดจาก: กลุ่มตรวจสอบภายใน ระเบียบควรรู้ คู่การปฏิบัติงาน กรมการพัฒนาชุมชน กระทรวงมหาดไทย หน้า: ๑ - ๕

การบริหารความเสี่ยง

ในภาวะหน่วยงานมีขีดจำกัดและขาดความสมดุลของระบบ คน เงิน งาน และเวลาในการปฏิบัติงานด้วยความเร่งรีบ พึ่งระวังเถิด! ความเสี่ยงของผู้ปฏิบัติงาน ที่ต้องภาวนาไม่ให้เกิดและอย่าประมาทต่อการถูกตรวจสอบ และความจำเป็นที่ต้องมีการควบคุมภายใน

ความเสี่ยง (Risk) หมายถึง เหตุการณ์หรือสถานการณ์ที่มีความไม่แน่นอน ซึ่งอาจเกิดขึ้น และมีผลทำให้องค์กรเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่าไม่สามารถดำเนินงานให้บรรลุผลสำเร็จตามวัตถุประสงค์หรือเป้าหมายที่ตั้งไว้ได้

การบริหารความเสี่ยง (Risk Management) หมายถึง วิธีการบริหารจัดการที่เป็นไปเพื่อการคาดการณ์ และลดผลเสียของความไม่แน่นอนที่จะเกิดขึ้นกับองค์กร ทั้งนี้ เพื่อให้องค์กรสามารถบรรลุวัตถุประสงค์ได้อย่างมีประสิทธิภาพมากขึ้น

ปัญหา หมายถึง สิ่งที่เกิดขึ้นแล้วและมักจะส่งผลในทางลบ เป็นอุปสรรคต่อเป้าหมายการดำเนินการ จำเป็นต้องมีการแก้ไข เพราะมิเช่นนั้น ปัญหาดังกล่าวอาจก่อให้เกิดความเสียหายตามมาได้

ปัจจัยหรือประเภทที่ทำให้เกิดความเสี่ยง (Risk Factors) ตามแนวทางของ COSO (The Committee of Sponsoring Organizations of The Treadway Commission มี ๔ ประการ
๑. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) คือ ความเสี่ยงเนื่องจากกลยุทธ์/การเมืองเศรษฐกิจ/ความเปลี่ยนแปลงของสถานการณ์ ส่งผลต่อความได้เปรียบทางการแข่งขัน/การบริหารสินทรัพย์และการลงทุนหรือเป็นความเสี่ยงที่เกิดขึ้นจากการตัดสินใจผิดพลาดหรือนำการตัดสินใจนั้นมาใช้อย่างไม่ถูกต้อง
๒. ความเสี่ยงด้านการดำเนินงาน (Operational Risk: O) คือ ความเสี่ยงเนื่องจากระบบขององค์กร/กระบวนการ/เทคโนโลยี/บุคลากร/ความเพียงพอของข้อมูลส่งผลต่อประสิทธิภาพและประสิทธิผลในการดำเนินธุรกิจ
๓. ความเสี่ยงด้านการเงิน (Financial Risk) คือ ความเสี่ยงเนื่องจากขาดการจัดหาข้อมูล การวิเคราะห์ การวางแผน การควบคุม และการจัดทำรายงาน เพื่อนำมาใช้ในการบริหารการเงินได้อย่างถูกต้อง เหมาะสม ทำให้ขาดประสิทธิภาพ และไม่ทันต่อสถานการณ์ จึงส่งผลกระทบต่อฐานะการเงินขององค์กร หรือเป็นความเสี่ยงที่เกี่ยวข้องกับการเงินขององค์กร เช่น อัตราแลกเปลี่ยน/อัตราดอกเบี้ย/สภาพคล่อง/งบประมาณ/สินค้า (Commodities)/ความสามารถในการชำระหนี้และความน่าเชื่อถือทางการเงิน (Credit Risk)
๔. ความเสี่ยงด้านการปฏิบัติตามกฎหมาย/กฎระเบียบ (Compliance Risk: C) คือ ความเสี่ยงเนื่องจากการฝ่าฝืนหรือไม่สามารถปฏิบัติตามกฎหมาย กฎระเบียบ ระเบียบข้อบังคับ ข้อกำหนดของทางการ หรือสัญญาที่เกี่ยวข้องกับการดำเนินงาน รวมทั้งไม่สามารถปฏิบัติตามนโยบาย และวิธีการปฏิบัติงานที่องค์กรกำหนดขึ้น

ประโยชน์ของการบริหารความเสี่ยง
- ระบุและบริหารจัดการความเสี่ยงที่สำคัญได้ทันเวลา
- ทำให้การดำเนินงานบรรลุเป้าหมาย
- ทำให้ลดอุปสรรคหรือสิ่งที่ไม่คาดหวัง
- ทำให้การกำหนดแผนกลยุทธ์และวัตถุประสงค์สอดคล้องกับความเสี่ยงที่ยอมรับได้
- ทำให้จัดสรรทรัพยากรได้อย่างมีประสิทธิภาพและประสิทธิผล

การบริหารความเสี่ยงตามมาตรฐาน COSO ประกอบด้วย ๔ วัตถุประสงค์ ๘ องค์ประกอบ ซึ่งครอบคลุมแนวทางการกำหนดนโยบายการบริหารงาน การดำเนินงาน และการบริหารความเสี่ยง ดังนี้

วัตถุประสงค์ของการบริหารความเสี่ยง
๑) ด้านกลยุทธ์ (Strategic: S) เกี่ยวกับการกำหนดเป้าหมายในระดับสูง ซึ่งต้องเป็นแนวทางเดียวกันและต้องสนับสนุนวัตถุประสงค์ขององค์กร
๒) ด้านการดำเนินงาน (Operation: O) การใช้ทรัพยากรขององค์กรอย่างมีประสิทธิผลและประสิทธิภาพ
๓) ด้านการรายงาน (Reporting: R) การรายงานขององค์กรมีความเชื่อถือได้
๔) ด้านการปฏิบัติตามกฎ/ระเบียบ/ข้อบังคับ (Compliance: C) องค์กรได้ปฏิบัติตามข้อกำหนดหรือกฎหมายที่ใช้บังคับองค์กร

องค์ประกอบการบริหารความเสี่ยง

๑. สภาพแวดล้อมภายในองค์กร (Internal Environment) เป็นองค์ประกอบที่สำคัญ ในการกำหนดกรอบบริหารความเสี่ยง เช่น วัฒนธรรมองค์กร นโยบายของผู้บริหาร แนวทางการปฏิบัติงาน บุคลากร กระบวนการทำงาน ระบบสารสนเทศ ระเบียบ เป็นต้น
๒. การกำหนดวัตถุประสงค์ (Objective Setting) ต้องให้มีความสอดคล้องกับกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้ เพื่อวางเป้าหมายในการบริหารความเสี่ยงขององค์กรได้อย่างชัดเจนและเหมาะสม โดยใช้วิธี SMART คือ
- Specific: มีความเฉพาะเจาะจง
- Measurable: สามารถวัดได้ทั้งเชิงปริมาณและคุณภาพ
- Achievable: สามารถปฏิบัติให้บรรลุผลได้
- Relevant: มีความสอดคล้องกับวัตถุประสงค์ขององค์กร
- Timely: มีกรอบระยะเวลาที่แน่นอน

๓. การระบุเหตุการณ์ (Event Identification) เป็นการรวบรวมเหตุการ์ที่อาจเกิดขึ้นกับหน่วยงาน ทั้งในส่วนของ ปัจจัยเสี่ยงที่เกิดจากภายในและภายนอกองค์กร เช่น นโยบายบริหารงาน บุคลากร การปฏิบัติงาน การเงิน ระบบสารสนเทศ ระเบียบ กฎหมาย ระบบบัญชี ภาษีอากร ทั้งนี้ เพื่อทำความเข้าใจต่อเหตุการณ์และสถานการณ์นั้น เพื่อให้ผู้บริหารสามารถพิจารณา กำหนดแนวทาง และนโยบายในการจัดการกับความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดี

๔. การประเมินความเสี่ยง (Risk Assessment) เป็นการจำแนกและพิจารณาจัดลำดับความสำคัญของความเสี่ยงที่มีอยู่ โดยการประเมินจาก
- ระดับโอกาสที่จะเกิดความเสี่ยง (Likelihood Score) โดยพิจารณาถึงความถี่ของการเกิดขึ้นในอดีต และคาดการณ์โอกาสที่จะเกิดในอนาคต
- ระดับผลกระทบของความเสี่ยง (Consequence Score) โดยพิจารณาทั้งผลกระทบทางการเงิน และที่ไม่ใช่ทางการเงิน

๕. การตอบสนองความเสี่ยง (Risk Response) เป็นขั้นตอนกำหนดวิธีการจัดการเพื่อลดความเสี่ยง ซึ่งมีวิธีจัดการความเสี่ยง ประกอบด้วย ๔ กลยุทธ์ หรือกลยุทธ์ 4T (Take, Treat, Transfer,  Termination) เพื่อการบริหารความเสี่ยง
- ยอมรับ (Take) คือ (๑) ยอมรับความเสี่ยง (๒) กำหนดงบประมาณรองรับเหตุการณ์ความสูญเสีย (๓) ดูแลติดตามความเสี่ยงเป็นประจำ
- ลด/บรรเทา (Treat) คือ (๑) กำหนดนโยบายและวิธีการปฏิบัติงานใหม่ (๒) การเพิ่มการควบคุม (๓) การวางระบบงานใหม่ (๔) การฝึกอบรมเพิ่มทักษะเจ้าหน้าที่/พนักงาน (๕) การปรับปรุงกระบวนการปฏิบัติงาน
- โอน/แบ่ง (Transfer) คือ (๑) ทำประกัน (๒) การร่วมทุนหรือหาพันธบัตร (๓) จ้างผู้ให้บริการภายนอกดำเนินการ (๔) การกระจายการลงทุน
- หยุด/หลีกเลี่ยง (Termination) คือ (๑) หยุดกิจกรรมธุรกิจ (๒) ลดสัดส่วนการลงทุน (๓) ปรับเปลี่ยนเป้าหมายทางธุรกิจ (๔) ออกแบบปรับปรุงกระบวนการหรือระบบ (๕) ลดขนาดการลงทุน  

๖. กิจกรรมการควบคุม (Control Activities) การกำหนดกิจกรรมและการปฏิบัติต่าง ๆ ที่กระทำเพื่อลดความเสี่ยง และทำให้การดำเนินงานบรรลุวัตถุประสงค์ และเป้าหมายขององค์กร มี ๕ ขั้นตอน
- การสอบทางงาน (Reconciliation and Review)
- การดูแลป้องกันทรัพย์สิน (Security of Assets)
- การควบคุมระบบสารสนเทศ (IT Control)
- การทำหลักฐานเอกสารอ้างอิง (Documentarian)
- การอนุมัติ (Authorization and Approvals)

๗. สารสนเทศและการสื่อสาร (Information and Communication) คือ องค์กรจะต้องมีระบบสารสนเทศและการติดต่อสื่อสารที่มีประสิทธิรภพี่ เพราะเป็นพื้นฐานสำคัญที่จะนำไปพิจารณาดำเนินการบริหารความเสี่ยงให้เป็นไปตามกรอบ และขั้นตอนการปฏิบัติที่องค์กรกำหนด ได้แก่
- ข้อมูลมีเนื้อหาสาระเหมาะสม
- ข้อมูลเป็นปัจจุบันทันเวลา
- มีความถูกต้องสมบูรณ์
- การจำกัดการเข้าถึงอย่างเหมาะสม
- ข้อมูลมีความน่าเชื่อถือ และตรวจสอบได้
- มีระบบการรักษาความปลอดภัย

๘. การติดตาม (Monitoring) คือ องค์กรจะต้องมีการติดตามผล เพื่อให้ทราบถึง ผลการดำเนินการว่า มีความเหมาะสมและสามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพด้วยการติดตามประเมินผลอย่างต่อเนื่อง (Ongoing Monitoring) และการประเมินผลการปฏิบัติงานเฉพาะ (Separate Evaluation) เพื่อให้
- แผนจัดการความเสี่ยงถูกนำไปใช้อย่างถูกต้องและมีประสิทธิภาพ
- ทราบถึงข้อผิดพลาดที่อาจเกิดขึ้นหลังจากใช้แผนจัดการความเสี่ยง
- สามารถปรับปรุงแก้ไขแผนจัดการความเสี่ยงให้สอดคล้องกับสถานกากรณ์ที่เปลี่ยนแปลงไปหรือกรณีที่แผนเดิมไม่มีประสิทธิภาพ
- มีการรายงานผลต่อผู้บริหารที่ได้รับมอบหมาย

คัดจาก: กลุ่มตรวจสอบภายใน ระเบียบควรรู้ คู่การปฏิบัติงาน กรมการพัฒนาชุมชน กระทรวงมหาดไทย หน้า: ๖ - ๑๓