การควบคุมภายใน

ระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วย การกำหนดมาตรฐานการควบคุมภายใน พ.ศ.๒๕๔๔ ระเบียบ ข้อ ๕ กำหนดให้หน่วยรับการควบคุมภายใน โดยใช้มาตรฐานการควบคุมภายในตามระเบียบ และข้อ ๖ ให้ผู้ตรวจรายงานต่อคณะกรรมการตรวจเงินแผ่นดิน ผู้กำกับดูแล และคณะกรรมการตรวจสอบ เกี่ยวกับการควบคุมภายใน อย่างน้อยปีละ ๑ ครั้ง ภายใน ๙๐ วัน นับจากวันสิ้นปีงบประมาณ หรือปีปฏิทิน แล้วแต่กรณี

การควบคุมภายใน คือ กระบวนการที่ผู้กำกับดูแลฝ่ายบริหารและบุคลากรของหน่วยนรับตรวจ กำหนดให้มีขึ้นเพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า การดำเนินงานของหน่วยรับตราจจะบรรลุวัตถุประสงค์

วัตถุประสงค์ของการควบคุมภายใน
๑) เพื่อให้เกิดประสิทธิผลและประสิทธิภาพของการดำเนินงาน (Operation: O)
๒) เพื่อให้เกิดความเชื่อถือได้ของการรายงานทางการเงิน (Financial: F)
๓) เพื่อให้เกิดการปฏิบัติตามกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง (Compliance: C)

แนวคิดเกี่ยวกับการควบคุมภายใน
- เป็น "กระบวนการ" ที่รวมไว้หรือเป็นส่วนหนึ่งในการปฏิบัติงานตามปกติ
- เกิดขึ้นโดย "บุคคล" ในองค์กร
- ทำให้เกิด "ความมั่นใจในระดับที่สมเหตุสมผล" ว่าการปฏิบัติงานจะบรรลุวัตถุประสงค์ที่กำหนด

มาตรฐานการควบคุมภายในตามที่คณะกรรมการตรวจเงินแผนดิน (คตง.) กำหนด มี ๕ องค์ประกอบ (COSO 2013) ดังนี้
๑. สภาพแวดล้อมของการควบคุม (Control environment)
๒. การประเมินความเสี่ยง (Risk assessment)
๓. กิจกรรมการควบคุม (Control activities)
๔. สารสนเทศและการสื่อสาร (Information and communication)
๕. การติดตามและประเมินผล (Monitoring activities)

๑. สภาพแวดล้อมของการควบคุม (Control environment) คือ ปัจจัยต่าง ๆ ซึ่งร่วมกันส่งผลให้มีการควบคุมขึ้นในหน่วยรับตรวจหรือทำให้การควบคุมที่มีอยู่ได้ผลดีขึ้น ในทางตรงกันข้ามสภาพแวดล้อมที่ไม่มีประสิทธิภาพก็อาจทำให้การควบคุมที่มีอยู่มีประสิทธิภาพลดลง

ปัจจัยที่เกี่ยวข้อง
- ปรัชญาและรูปแบบการทำงานของผู้บริหาร
- ความซื่อสัตย์และจริยธรรม
- การพัฒนาความรู้ ความสามารถของบุคลากร
- โครงสร้างการจัดองค์กร
- การมอบอำนาจและหน้าที่ความรับผิดชอบ
- นโยบายและวิธีบริหารบุคลากร

๒. การประเมินความเสี่ยง (Risk assessment)
“ความเสี่ยง” หมายถึง โอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ซึ่งไม่พึงประสงค์ที่ทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนด
“การประเมินความเสี่ยง” หมายถึง กระบวนการที่ใช้ในการระบุและการวิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ของหน่วยรับตรวจ รวมทั้งการกำหนดแนวทางที่จำเป็นต้องใช้ในการควบคุมความเสี่ยง หรือการบริหารความเสี่ยง

ขั้นตอนในการประเมินความเสี่ยง ประกอบด้วย
๑. การระบุปัจจัยความเสี่ยง (Event Identification)
๒. การวิเคราะห์ความเสี่ยง (Risk Analysis)
๓. การจัดการความเสี่ยง (Risk Response)
๓. กิจกรรมการควบคุม (Control activities)

๓. กิจกรรมการควบคุม (Control activities) หมายถึง นโยบายและวิธีการต่าง ๆ  ที่ฝ่ายบริหารกำหนดให้บุคลากรของหน่วยรับตรวจปฏิบัติเพื่อลดหรือควบคุมความเสี่ยง และได้รับการสนองตอบโดยมีการปฏิบัติตาม

การกำหนดกิจกรรมการควบคุม
- ควรแฝงอยู่ในกระบวนการทำงานตามปกติ
- สามารถลดความเสี่ยงให้อยู่ในระดับยอมรับได้
- ต้นทุนคุ้มกับประโยชน์ที่ได้รับ
- เพียงพอเหมาะสมไม่มากหรือน้อยเกินไป

ตัวอย่างกิจกรรมการควบคุม
- การสอบทาน
- การอนุมัติ
- การดูแลป้องกันทรัพย์สิน
- การบริหารทรัพยากรบุคคล
- การแบ่งแยกหน้าที่
- การควบคุมเอกสาร
- การใช้ทะเบียน

๔. สารสนเทศและการสื่อสาร (Information and communication)
“สารสนเทศ” หมายถึง ข้อมูลข่าวสารทางการเงินและข้อมูลข่าวสารอื่น ๆ เกี่ยวกับการดำเนินงานของหน่วยรับตรวจ ไม่ว่าเป็นข้อมูลจากแหล่งภายในหรือภายนอก
“การสื่อสาร” หมายถึง การสื่อสารกับบุคคลหรือหน่วยงานทั้งภายในและภายนอก ซึ่งอาจใช้คนหรือใช้สื่อในการติดต่อสื่อสารก็ได้เพื่อให้บรรลุวัตถุประสงค์ที่ต้องการ

ฝ่ายบริหารต้องจัดให้มีสารสนเทศอย่างยพอเพียงและสื่อสารให้ฝ่ายบริหารและบุคลากรอื่น ๆ ที่เหมาะสม ทั้งภายในและภายนอกหน่วยรับตรวจ ซึ่งจำเป็นต้องใช้สารสนเทศนั้นในรูปแบบที่เหมาะสมแและทันเวลา

๕. การติดตามและประเมินผล (Monitoring activities)
“การติดตามผล” หมายถึง การสอดส่องดูแลกิจกรรมที่อยู่ระหว่างการดำเนินงาน เพื่อให้เกิดความมั่นใจว่า การดำเนินงานเป็นไปตามระบบการควบคุมภายในที่กำหนด
“การประเมินผล” หมายถึง การเปรียบเทียบผลการปฏิบัติงานกับระบบการควบคุมภายในที่กำหนดไว้ว่ามีความสอดคล้องหรือไม่เพียงใด และประเมินระบบการควบคุมภายในที่กำหนดไว้ว่ายังเหมาะสมกับสภาพแวดล้อมในปัจจุบันหรือไม่

ประโยชน์ของการควบคุมภายใน
๑. ช่วยให้การดำเนินงานของหน่วยงานสามารถบรรลุวัตถุประสงค์และมีประสิทธิภาพ
๒. ช่วยป้องกันความสูญเสียของทรัพยากร
๓. ช่วยให้รายงานทางการเงินมีความถูกต้องสมบูรณ์และเชื่อถือได้
๔. ช่วยกำกับให้การปฏิบัติการด้านต่าง ๆ สอดคล้องกับกฎหมายและระเบียบที่ใช้บังคับหน่วยงาน

การจัดทำรายงานการประเมินผลการควบคุม
การรายงานการควบคุมภายในตามระเบียบข้อ ๖ ให้ผู้รับตรวจรายงานต่อคณะกรรมการตรวจเงินแผ่นดิน ผู้กำกับดูแล และคณะกรรมการตรวจสอบ เกี่ยวกับการควบคุมภายในอย่างน้อยปีละ ๑ ครั้ง ภายใน ๙๐ วัน นับจากวันสิ้นปีงบประมาณ หรือปีปฏิทิน แล้วแต่กรณี ซึ่งเป็นการรายงานตามความเห็นว่าระบบการควบคุมภายในของหน่วยรับตรวจ มีมาตรฐานตามระเบียบฯ หรือไม่ อีกทั้งเป็นการรายงานผลการประเมินความเพียงพอ ประสิทธิผล จุดอ่อน และแผนการปรับปรุงระบบการควบคุมภายในตามรูปแบบรายงาน ดังนี้

ระดับส่วนงานย่อย
- รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน (แบบ ปย.๑)
- รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน (แบบ ปย.๒)

ระดับหน่วยรับตรวจ
- หนังสือรับรองการประเมินผลการควบคุมภายใน (แบบ ปอ.๑)
- รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน (แบบ ปอ.๒)
- รายงานแผนการปรับปรุงการควบคุมภายใน (แบบ ปอ.๓)

ผู้ตรวจสอบภายใน
- รายงานผลการสอบทานการประเมินผลการควบคุมภายในของผู้ตรวจสอบภายใน (แบบ ปส.)


คัดจาก: กลุ่มตรวจสอบภายใน ระเบียบควรรู้ คู่การปฏิบัติงาน กรมการพัฒนาชุมชน กระทรวงมหาดไทย หน้า: ๑ - ๕