โดย จิณห์ระพีร์ พุ่มสงวน
ในปี 2535 คณะกรรมการชุดหนึ่ง ซึ่งเรียกว่า The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซึ่งเป็นคณะกรรมการของสถาบันวิชาชีพ 5 สถาบัน ในสหรัฐอเมริกา อันได้แก่
1. สมาคมผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (The American Institute of Certified Public Accountants หรือ AICPA)
2. สมาคมผู้ตรวจสอบภายใน (The Institute of Internal Auditor หรือ IIA)
3. สมาคมผู้บริหารการเงิน (The Financial Executives Institute หรือ FEI)
4. สมาคมนักบัญชีแห่งสหรัฐอเมริกา (The American Accounting Association หรือ AAA) และ
5. สมาคมนักบัญชีเพื่อการบริหาร (Institute of Management Accountants หรือ IMA)
ทั้ง 5 สถาบันนี้ ได้ร่วมกันศึกษาวิจัยและพัฒนาแนวคิดของการควบคุมภายใน และได้ให้ความหมายของการควบคุมภายในว่า “การควบคุมภายใน คือ กระบวนการปฏิบัติงานที่ถูกกำหนดร่วมกันโดย คณะกรรมการ ผู้บริหารตลอดจนพนักงานขององค์กรทุกระดับชั้น เพื่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า วิธีการหรือการปฏิบัติงานตามที่กำหนดไว้จะทำให้บรรลุวัตถุประสงค์ของการควบคุม”
ระบบการควบคุมภายใน ประกอบด้วย นโยบายและวิธีปฏิบัติงานที่กำหนดขึ้นในองค์กร เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่ากิจการจะบรรลุวัตถุประสงค์และเป้าหมาย ในเรื่องต่อไปนี้
1. ด้านการดำเนินงาน (Operation) โดยมุ่งหมายให้การปฏิบัติงานเกิดประสิทธิภาพ ประสิทธิผล และคุ้มค่า ด้วยการกำกับการใช้ทรัพยากรทุกประเภทให้เป็นไปอย่างมีประสิทธิภาพ บรรลุเป้าหมายที่ผู้บริหารกำหนดไว้ และให้ปลอดจากการกระทำทุจริตของพนักงาน หรือผู้บริหาร และหากมีความเสียหายเกิดขึ้นก็ช่วยให้ทราบถึงความเสียหายนั้นได้โดยเร็วที่สุด
2. ด้านการรายงานทางการเงิน (Financial Reporting) รายงานทางการเงินหรืองบการเงินไม่ว่าจะเป็นรายงานที่ใช้ภายในหรือภายนอกองค์กร ต่างต้องมีความเชื่อถือได้และทันเวลา มีคุณภาพเหมาะสมสำหรับการนำไปใช้เป็นข้อมูลประกอบการพิจารณา ตัดสินใจทางธุรกิจของนักบริหาร เจ้าหนี้ ผู้ถือหุ้น และผู้ลงทุนทั่วไป
3. ด้านการปฏิบัติให้เป็นไปตาม กฎ ระเบียบ และนโยบาย (Compliance with Application Laws and Regulations) การปฏิบัติงานหรือดำเนินธุรกิจให้สอดคล้อง หรือเป็นไปตามบทบัญญัติ ข้อกำหนดของกฎหมาย นโยบาย ข้อบังคับ ระเบียบที่เกี่ยวข้องกับการปฏิบัติงาน หรือการดำเนินธุรกิจนั้น เพื่อป้องกันมิให้เกิดผลเสียหายใดๆ จากการละเว้นการปฏิบัติให้เป็นไปตามกฎ ระเบียบเหล่านั้น
จากวัตถุประสงค์ที่กล่าวมาแล้วข้างต้น จะเห็นได้ว่าบางครั้งในการจัดการควบคุมภายในสามรถแยกแยะวัตถุประสงค์ได้ชัดเจน แต่บางกรณีก็มีวัตถุประสงค์ที่เกี่ยวข้องกัน ดังนั้น จึงเป็นหน้าที่ของผู้บริหารที่จะต้องตัดสินใจว่า จะกำหนดมาตรการการควบคุมภายในเพื่อวัตถุประสงค์อะไร ต้องการเน้นชัดว่าเพื่อวัตถุประสงค์ใดวัตถุประสงค์หนึ่งเพียงอย่างเดียว หรือต้องการจัดให้มีระบบการควบคุมภายในเพื่อวัตถุประสงค์หลายประการที่สัมพันธ์กัน
ในการทำความเข้าใจเกี่ยวกับแนวคิดของ COSO จะต้องพิจารณาในเนื้อหาอย่างลึกซึ้ง โดยองค์ประกอบทั้ง 5 มีดังนี้
1. สภาพแวดล้อมการควบคุม (Control Environment)
2. การประเมินความเสี่ยง (Risk Assessment)
3. กิจกรรมการควบคุม (Control Activities)
4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication)
5. การติดตามและประเมินผล (Monitoring)
1. สภาพแวดล้อมของการควบคุม (Control Environment) กล่าวคือ สภาพแวดล้อมของการควบคุมเป็นองค์ประกอบที่เกี่ยวกับการสร้างจิตสำนึกและบรรยากาศของการควบคุมภายในซึ่งปัจจัยหลายๆ ปัจจัยที่นำมาพิจารณารวมกันส่งผลให้เกิดความมีประสิทธิผลของมาตรการหรือวิธีการควบคุมในองค์กร หรือทำให้มาตรการและวิธีการควบคุมที่ดีขึ้น โดยส่งเสริมให้ทุกคนในองค์กรตระหนักถึงความจำเป็นของระบบการควบคุมภายในและเน้นการสร้างบรรยากาศโดยผู้บริหารระดับสูง เพื่อให้คนขององค์กรเกิดจิตสำนึกที่ดีในการปฏิบัติตามความรับผิดชอบ ดังนั้น สภาพแวดล้อมของการควบคุมที่ดีจะช่วยให้บุคลากรเข้าใจถึงความจำเป็นและความสำคัญของการควบคุมภายใน ทั้งนี้ ปัจจัยที่แสดงให้เห็นถึงสภาพแวดล้อมของการควบคุมประกอบด้วย
ในปี 2535 คณะกรรมการชุดหนึ่ง ซึ่งเรียกว่า The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซึ่งเป็นคณะกรรมการของสถาบันวิชาชีพ 5 สถาบัน ในสหรัฐอเมริกา อันได้แก่
1. สมาคมผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (The American Institute of Certified Public Accountants หรือ AICPA)
2. สมาคมผู้ตรวจสอบภายใน (The Institute of Internal Auditor หรือ IIA)
3. สมาคมผู้บริหารการเงิน (The Financial Executives Institute หรือ FEI)
4. สมาคมนักบัญชีแห่งสหรัฐอเมริกา (The American Accounting Association หรือ AAA) และ
5. สมาคมนักบัญชีเพื่อการบริหาร (Institute of Management Accountants หรือ IMA)
ทั้ง 5 สถาบันนี้ ได้ร่วมกันศึกษาวิจัยและพัฒนาแนวคิดของการควบคุมภายใน และได้ให้ความหมายของการควบคุมภายในว่า “การควบคุมภายใน คือ กระบวนการปฏิบัติงานที่ถูกกำหนดร่วมกันโดย คณะกรรมการ ผู้บริหารตลอดจนพนักงานขององค์กรทุกระดับชั้น เพื่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า วิธีการหรือการปฏิบัติงานตามที่กำหนดไว้จะทำให้บรรลุวัตถุประสงค์ของการควบคุม”
ระบบการควบคุมภายใน ประกอบด้วย นโยบายและวิธีปฏิบัติงานที่กำหนดขึ้นในองค์กร เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่ากิจการจะบรรลุวัตถุประสงค์และเป้าหมาย ในเรื่องต่อไปนี้
1. ด้านการดำเนินงาน (Operation) โดยมุ่งหมายให้การปฏิบัติงานเกิดประสิทธิภาพ ประสิทธิผล และคุ้มค่า ด้วยการกำกับการใช้ทรัพยากรทุกประเภทให้เป็นไปอย่างมีประสิทธิภาพ บรรลุเป้าหมายที่ผู้บริหารกำหนดไว้ และให้ปลอดจากการกระทำทุจริตของพนักงาน หรือผู้บริหาร และหากมีความเสียหายเกิดขึ้นก็ช่วยให้ทราบถึงความเสียหายนั้นได้โดยเร็วที่สุด
2. ด้านการรายงานทางการเงิน (Financial Reporting) รายงานทางการเงินหรืองบการเงินไม่ว่าจะเป็นรายงานที่ใช้ภายในหรือภายนอกองค์กร ต่างต้องมีความเชื่อถือได้และทันเวลา มีคุณภาพเหมาะสมสำหรับการนำไปใช้เป็นข้อมูลประกอบการพิจารณา ตัดสินใจทางธุรกิจของนักบริหาร เจ้าหนี้ ผู้ถือหุ้น และผู้ลงทุนทั่วไป
3. ด้านการปฏิบัติให้เป็นไปตาม กฎ ระเบียบ และนโยบาย (Compliance with Application Laws and Regulations) การปฏิบัติงานหรือดำเนินธุรกิจให้สอดคล้อง หรือเป็นไปตามบทบัญญัติ ข้อกำหนดของกฎหมาย นโยบาย ข้อบังคับ ระเบียบที่เกี่ยวข้องกับการปฏิบัติงาน หรือการดำเนินธุรกิจนั้น เพื่อป้องกันมิให้เกิดผลเสียหายใดๆ จากการละเว้นการปฏิบัติให้เป็นไปตามกฎ ระเบียบเหล่านั้น
จากวัตถุประสงค์ที่กล่าวมาแล้วข้างต้น จะเห็นได้ว่าบางครั้งในการจัดการควบคุมภายในสามรถแยกแยะวัตถุประสงค์ได้ชัดเจน แต่บางกรณีก็มีวัตถุประสงค์ที่เกี่ยวข้องกัน ดังนั้น จึงเป็นหน้าที่ของผู้บริหารที่จะต้องตัดสินใจว่า จะกำหนดมาตรการการควบคุมภายในเพื่อวัตถุประสงค์อะไร ต้องการเน้นชัดว่าเพื่อวัตถุประสงค์ใดวัตถุประสงค์หนึ่งเพียงอย่างเดียว หรือต้องการจัดให้มีระบบการควบคุมภายในเพื่อวัตถุประสงค์หลายประการที่สัมพันธ์กัน
ในการทำความเข้าใจเกี่ยวกับแนวคิดของ COSO จะต้องพิจารณาในเนื้อหาอย่างลึกซึ้ง โดยองค์ประกอบทั้ง 5 มีดังนี้
1. สภาพแวดล้อมการควบคุม (Control Environment)
2. การประเมินความเสี่ยง (Risk Assessment)
3. กิจกรรมการควบคุม (Control Activities)
4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication)
5. การติดตามและประเมินผล (Monitoring)
1. สภาพแวดล้อมของการควบคุม (Control Environment) กล่าวคือ สภาพแวดล้อมของการควบคุมเป็นองค์ประกอบที่เกี่ยวกับการสร้างจิตสำนึกและบรรยากาศของการควบคุมภายในซึ่งปัจจัยหลายๆ ปัจจัยที่นำมาพิจารณารวมกันส่งผลให้เกิดความมีประสิทธิผลของมาตรการหรือวิธีการควบคุมในองค์กร หรือทำให้มาตรการและวิธีการควบคุมที่ดีขึ้น โดยส่งเสริมให้ทุกคนในองค์กรตระหนักถึงความจำเป็นของระบบการควบคุมภายในและเน้นการสร้างบรรยากาศโดยผู้บริหารระดับสูง เพื่อให้คนขององค์กรเกิดจิตสำนึกที่ดีในการปฏิบัติตามความรับผิดชอบ ดังนั้น สภาพแวดล้อมของการควบคุมที่ดีจะช่วยให้บุคลากรเข้าใจถึงความจำเป็นและความสำคัญของการควบคุมภายใน ทั้งนี้ ปัจจัยที่แสดงให้เห็นถึงสภาพแวดล้อมของการควบคุมประกอบด้วย
1) ความซื่อสัตย์และจริยธรรม กล่าวคือ ผู้บริหารควรจัดทำข้อกำหนดด้านจริยธรรมเป็นแนวทางการปฏิบัติ หรือมีมาตรฐานการปฏิบัติงาน โดยปัจจัยนี้ผู้ศึกษาเห็นว่า ปัจจุบันองค์กรมักจะจัดทำ Code of Conduct หรือหลักในการปฏิบัติงานที่เปรียบเสมือนกฎระเบียบขององค์กร ดังนั้น หากมีการแทรกข้อกำหนดด้านจริยธรรมอันเป็นแนวทางที่ควรปฏิบัติลงไป ก็จะทำให้เกิดความสมบูรณ์ในการนำมาใช้ในทางปฏิบัติมากขึ้น
ส่วนในด้านของผู้บริหารก็จะต้องปฏิบัติตนให้เป็นแบบอย่างที่ดีอย่างสม่ำเสมอ และลดวิธีการหรือแรงจูงใจที่รุนแรง เช่น การไม่กดดันให้พนักงานต้องปฏิบัติงานตามเป้าหมายที่สูงเกินจริง
2) ความรู้ ทักษะ ความสามารถเชิงแข่งขัน กล่าวคือ องค์กรควรมีการกำหนดระดับความรู้และความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละอย่าง ต้องกำหนดออกมาเป็นข้อกำหนดด้านพื้นความรู้ทางการศึกษา และประสบการณ์ในการปฏิบัติงานโดยผลสำเร็จในการประเมินองค์ประกอบด้านนี้สามารถพิจารณาได้จากการจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เพื่อให้เป็นเกณฑ์ในการพิจารณาบรรจุพนักงานให้เหมาะสมกับหน้าที่และความรับผิดชอบ
3) คณะกรรมการบริษัทหรือคณะกรรมการตรวจสอบ กล่าวคือ ฝ่ายบริหารระดับสูงเป็นผู้มีบทบาทสำคัญในการสร้างบรรยากาศการควบคุมของกิจการ คณะกรรมการบริษัทเป็นเสมือนตัวแทนผู้ถือหุ้นที่จะแต่งตั้งฝ่ายบริหารระดับสูงและกำกับดูแลการปฏิบัติงานให้บรรลุผลประโยชน์สูงสุดขององค์กร คณะกรรมการตรวจสอบเป็นส่วนหนึ่งของคณะกรรมการบริษัทที่ทำหน้าที่ส่งเสริมบรรยากาศของการควบคุม และการตรวจสอบทั้งภายในและการสอบบัญชีให้เป็นไปอย่างอิสระจากฝ่ายบริหาร รวมทั้งความรู้ ประสบการณ์ในการปฏิบัติงาน การตั้งคำถามที่ตรงประเด็นและลึกซึ้งเกี่ยวกับงานของฝ่ายบริหาร และติดตามวิเคราะห์คำตอบที่ได้ความถี่และการมีเวลาในการปฏิบัติหน้าที่และประชุมกับผู้บริหารฝ่ายการเงิน บัญชี ตรวจสอบภายใน และผู้สอบบัญชี ความเพียงพอและทันสมัยของสารสนเทศที่จัดให้คณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่จะติดตามการบรรลุผลของแผนกลยุทธ์ เป้าหมายของฝ่ายบริหารฐานะการเงิน ผลการดำเนินงาน และปฏิบัติตามสัญญาที่สำคัญ ความเพียงพอและทันกาลของสารสนเทศที่คณะกรรมการบริษัทและคณะกรรมการตรวจสอบมีเกี่ยวกับข้อมูลพิเศษ เช่น ค่าใช้จ่ายในการเดินทางของผู้บริหารระดับสูง รายงานการสืบสวนจากสถาบันกำกับดูแล การจ่ายเงินที่ผิดกฎหมาย เป็นต้น
4) ปรัชญาและรูปแบบการทำงานของผู้บริหาร กล่าวคือ องค์ประกอบนี้เป็นสิ่งใหม่ของการบริหาร ซึ่งบางครั้งปรัชญาและสไตล์การทำงานผู้บริหารถูกละทิ้งความสนใจไม่เข้าใจอย่างลึกซึ้ง การทำความเข้าใจแนวโน้มทางความคิดขององค์ประกอบนี้ เช่น เป็นผู้บริหารที่กล้าเสี่ยง หรือชอบความระมัดระวัง ความถี่ในการติดตามงานระหว่างผู้บริหารระดับสูงกับระดับปฏิบัติการ ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ความระมัดระวังในการกำหนดประมาณการทางบัญชี การเปิดเผยข้อมูล และการไม่แสดงข้อมูลที่เป็นเท็จ รวมทั้งการส่งเสริมในงานบัญชี การพัฒนาความรู้ของฝ่ายบัญชี เหล่านี้ล้วนเป็นสิ่งที่ทำให้สามารถทราบทิศทางองค์กรได้ว่าจะถูกวางอยู่ในจุดใดหรือมีความเสี่ยงอย่างไรบ้าง
5) โครงสร้างการจัดองค์กร กล่าวคือ โครงสร้างขององค์กรที่ได้รับการจัดไว้ดีย่อมเป็นพื้นฐานสำคัญที่ทำให้ผู้บริหารสามารถวางแผนงาน สั่งการ และควบคุมการปฏิบัติงานได้อย่างถูกต้อง รวดเร็ว และมีประสิทธิภาพ โดยการจัดโครงสร้างองค์กรให้เหมาะสมกับลักษณะของธุรกิจนั้น
6) การมอบอำนาจและความรับผิดชอบ (Assignment of Authority and responsibility) หมายถึง การมอบอำนาจให้กับผู้ปฏิบัติงานในระดับปฏิบัติการ ควรจะต้องมีการกำหนดอย่างชัดเจน โดยในการประเมินองค์ประกอบด้านนี้จะต้องพิจารณาจาก
(1) ความชัดเจนในการระบุความรับผิดชอบและอำนาจในการอนุมัติให้ผู้ปฏิบัติการฝ่ายต่างๆ ในการปฏิบัติงานให้ได้ตามวัตถุประสงค์
(2) ความเหมาะสมของมาตรฐานการควบคุมและวิธีการควบคุมที่เกี่ยวข้องรวมทั้งเอกสารที่ระบุลักษณะ
ความรับผิดชอบในตำแหน่งงาน
(3) ความเหมาะสมของจำนวนพนักงาน ซึ่งจะต้องมีความรู้และทักษะที่เหมาะสมกับปริมาณงานและ
ความซับซ้อนของกิจกรรม รวมทั้งระบบงานที่เกี่ยวข้อง
7) นโยบายและวิธีบริหารงานด้านทรัพยากรมนุษย์ กล่าวคือ ในการบริหารองค์กรมีปัจจัยหลายอย่างที่เป็นสิ่งสำคัญแก่องค์กรไม่ว่าจะเป็นระบบบริหารเทคโนโลยี สิ่งเหล่านี้ล้วนเป็นสิ่งที่องค์กรจะต้องพัฒนาตามยุคสมัยให้ทันแต่อย่างไรก็ตาม สิ่งที่สำคัญที่สุดขององค์กรที่จะขาดไม่ได้ก็คือ ทรัพยากรมนุษย์ เพราะทรัพยากรมนุษย์ที่ดีเป็นปัจจัยที่ทำให้องค์กรบรรลุเป้าหมายอย่างแท้จริง ดังนั้น ฝ่ายบริหารควรกำหนดนโยบายและวิธีบริหารงานด้านทรัพยากรมนุษย์ เช่น การว่าจ้าง การคัดเลือกบุคลากร และเมื่อได้บุคลากรที่เหมาะสมแล้ว ก็ต้องมีนโยบายในการจูงใจและพัฒนาให้มีความรู้ความสามารถที่ทันสมัยตามทันเทคโนโลยีเปลี่ยนแปลงอยู่ตลอดเวลา การประเมินองค์ประกอบนี้ เช่น นโยบายและวิธีปฏิบัติในส่วนที่เกี่ยวกับการคัดเลือก การฝึกอบรม การเลื่อนตำแหน่ง และการจ่ายผลตอบแทน ความเหมาะสมของวิธีการที่ใช้เมื่อพบความประพฤติที่แตกต่างจากนโยบายและวิธีปฏิบัติที่กำหนด เช่น มีบทลงโทษ ความเหมาะสมในการใช้นโยบายการเลื่อนตำแหน่งและความดีความชอบ
8) การตรวจสอบภายใน กล่าวคือ การตรวจสอบภายในถือเป็นส่วนหนึ่งของการควบคุมภายในและเป็นเครื่องมือทางการบริหารที่ทำให้สภาพแวดล้อมของการควบคุมมีคุณภาพ ผู้ตรวจสอบภายในต้องมีความอิสระเพียงพอที่จะรายงานผลการตรวจสอบและประเมินผลให้แก่ผู้บริหาร และผู้รับผิดชอบการปฏิบัติงานที่ได้รับการตรวจสอบและประเมินผลทั้งนี้ผู้ตรวจสอบภายในควรได้รับการสนับสนุนอย่างเหมาะสมจากผู้บริหาร
2. การประเมินความเสี่ยง(Risk Assessment) ซึ่งจัดได้ว่าเป็นเครื่องมือในการบริหารอย่างหนึ่งที่ผู้บริหารนิยมใช้ในปัจจุบัน เนื่องจากในปัจจุบันเป็นยุคการค้าที่มีการแข่งขันอย่างเสรี ซึ่งมีคู่แข่งมากมายที่กำลังต่อสู้กับองค์กร ดังนั้น ความเสี่ยงจึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ ซึ่งการประเมินความเสี่ยงนั้น เป็นกระบวนการที่ทำให้กิจการขององค์กรทราบถึงความเสี่ยงที่กำลังจะเผชิญล่วงหน้าได้ เมื่อทราบถึงความเสี่ยงแล้วก็สามารถที่จะบริหารความเสี่ยงเพื่อเปลี่ยนวิกฤติให้เป็นโอกาส และเพื่อลดผลกระทบความเสียหายที่จะเกิดขึ้นได้เนื่องจากเป็นการค้ายุคการแข่งขันเสรีที่มีความเสี่ยงสูง และต้องเตรียมความพร้อมในทุกสภาวการณ์ การประเมินความเสี่ยงจะทำให้ฝ่ายบริหารได้ทราบถึงปัจจัยเสี่ยงทั้งจากปัจจัยภายใน และปัจจัยภายนอกที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์การอย่างเพียงพอและเหมาะสม โดยแบ่งได้เป็น
1) ปัจจัยเสี่ยงระดับกิจการ อาจเกิดจากปัจจัยเสี่ยงต่าง ๆ ทั้งภายนอกและภายในกิจการ โดยปัจจัยเสี่ยงภายนอก เป็นปัจจัยที่เกิดจากภายนอกที่กิจการควบคุมไม่ได้ ซึ่งผู้บริหารต้องติดตามศึกษาเพื่อหาวิธีปฏิบัติในการเปลี่ยนวิกฤตให้เป็นโอกาส หรือลดผลเสียหายที่จะเกิดขึ้น ส่วนปัจจัยเสี่ยงภายใน เป็นปัจจัยที่เกิดจากภายในองค์กรที่ผู้บริหารสามารถจัดการได้ ซึ่งสามารถยกตัวอย่างของปัจจัยภายนอก เช่น การเปลี่ยนแปลงทางเทคโนโลยี ความต้องการและความมุ่งหวังของลูกค้าที่มีต่อสินค้าหรือบริการ กฎหมายและข้อกำหนดต่างๆ ของภาครัฐ และตัวอย่างของปัจจัยภายใน เช่น ความซื่อสัตย์และจริยธรรมของผู้บริหาร ความสลับซับซ้อนของการปฏิบัติงาน ขวัญและกำลังใจของพนักงานในการปฏิบัติงาน ขนาดของหน่วยงาน โดยหน่วยงานใหญ่ย่อมมีโอกาสผิดพลาดสูงกว่าหน่วยงานเล็ก
2) ปัจจัยเสี่ยงระดับกิจกรรม เป็นปัจจัยเสี่ยงที่อาจเกิดในหน่วยงานสาขา แผนงาน โครงการ และกระบวนการปฏิบัติงานที่สำคัญ เช่น การจัดหา การตลาด เป็นต้น
หลังจากระบุปัจจัยเสี่ยงแล้ว ขั้นต่อมาที่สำคัญก็คือ การวิเคราะห์และจัดระดับความเสี่ยง หากปัจจัยเสี่ยงใดสามารถคำนวณจำนวนที่อาจเกิดขึ้นได้โดยตรงในเชิงปริมาณ เช่น การใช้สูตรคำนวณจำนวนค่าความเสียหาย ก็ให้ประเมินและจัดระดับความเสี่ยงไปตามความสำคัญของจำนวนที่คำนวณได้ หากการวิเคราะห์และจัดระดับความเสี่ยงโดยใช้สูตรคำนวณเป็นไปได้ยาก อาจต้องใช้วิธีการให้คะแนนเชิงเปรียบเทียบแทน เช่น การให้ระดับ 1-3 โดย 1 = ไม่พอใจ 2 = ปานกลาง และ 3 = พอใจ เป็นต้น
หลังจากนั้นผู้บริหารควรกำหนดวิธีการบริหารความเสี่ยง และตัดสินใจเกี่ยวกับกิจกรรมควบคุมภายในที่จำเป็นเพื่อลดหรือบรรเทาความเสี่ยงเหล่านั้นและเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ด้านประสิทธิภาพ ประสิทธิผลของการดำเนินงาน รายงานทางการเงินและการดำเนินงานเป็นที่น่าเชื่อถือ และการปฏิบัติที่เป็นไปตามกฎหมาย และระเบียบข้อบังคับ ผู้บริหารระดับส่วนงาน หรือผู้ประเมินควรจะต้องเน้นการให้ความสำคัญเกี่ยวกับกระบวนการบริหาร ในการกำหนดวัตถุประสงค์การระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการบริหารความเสี่ยงในช่วงของการเปลี่ยนแปลง และบางเรื่องมีลักษณะเป็นนามธรรมซึ่งต้องใช้ดุลยพินิจ แต่เรื่องเหล่านี้มีความสำคัญในการใช้ประเมินความเสี่ยงว่าเหมาะสมเพียงพอหรือไม่ ซึ่งการบริหารความเสี่ยงนั้น COSO ได้กำหนดวิธีการตอบสนองความเสี่ยงไว้พอสรุปได้ดังนี้
1) การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) หมายถึง การเลิกหรือหลีกเลี่ยงการกระทำเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น การกระทำงานที่องค์กรไม่ถนัด อาจหลีกเลี่ยงโดยการไม่กระทำ หรือจ้างบุคคลภายนอก เป็นต้น
2) การลดความเสี่ยง (Risk Reduction) หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย หรือการลดทั้งสองด้านพร้อมกัน การลดความเสี่ยงที่สำคัญคือ การจัดระบบการควบคุมเพื่อป้องกัน หรือค้นพบความเสี่ยงเฉพาะวัตถุประสงค์นั้นอย่างเหมาะสมทันกาลมากขึ้นรวมถึงการกำหนดแผนสำรองในกรณีมีเหตุการณ์ฉุกเฉิน
3) การแบ่งความเสี่ยง (Risk Sharing) หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย โดยการแบ่ง การโอน การหาผู้รับผิดชอบร่วมในความเสี่ยง เช่น การจัดประกันภัย
4) การยอมรับความเสี่ยง (Risk Acceptance) หมายถึง การไม่กระทำการใดๆ เพิ่มเติมกรณีนี้ใช้กับความเสี่ยงที่มีสาระสำคัญน้อย ความเสี่ยงน่าจะเกิดน้อย หรือเห็นว่ามีต้นทุนในการบริหารความเสี่ยงสูงกว่าผลที่ได้รับ
3. กิจกรรมการควบคุม (Control Activities) หมายถึง การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นไปตามนโยบาย วิธีปฏิบัติงาน และคำสั่งต่างๆ ที่ฝ่ายบริหารกำหนด ซึ่งจะต้องเป็นการกระทำที่ถูกต้องและในเวลาที่เหมาะสม จะเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด กิจกรรมการควบคุมภายในสามารถแบ่งออกตามประเภทของการควบคุมได้ดังต่อไปนี้
1) การควบคุมแบบป้องกัน เป็นวิธีการควบคุมที่กำหนดขึ้น เพื่อป้องกันมิให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก
2) การควบคุมแบบค้นพบ เป็นวิธีการควบคุมที่กำหนดขึ้น เพื่อทำการค้นพบข้อผิดพลาดที่เกิดขึ้นมาแล้ว
3) การควบคุมแบบแก้ไข เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้อง หรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต
4) การควบคุมแบบส่งเสริม เป็นวิธีการควบคุมที่ส่งเสริมหรือกระตุ้นให้เกิดความสำเร็จโดยตรงกับวัตถุประสงค์ที่ต้องการ
4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication) นี้ ถือเป็นองค์ประกอบสำคัญต่อการควบคุมภายในยุคปัจจุบัน ซึ่งนับได้ว่าเป็นยุคของข้อมูลข่าวสาร และถ้าข้อมูลข่าวสารมีความทันสมัยก็จะทำให้องค์กรรับรู้ข้อมูลได้ทันท่วงที มีความได้เปรียบทางด้านธุรกิจ และสามารถเพิ่มประสิทธิภาพให้กับการบริหารองค์กรได้ดีอีกด้วย แต่อย่างไรก็ตาม ความถูกต้องของข้อมูลข่าวสารก็ถือว่าเป็นสิ่งสำคัญยิ่งไม่แพ้กัน ดังนั้น ควรให้ผู้ปฏิบัติงานที่เกี่ยวข้องได้เข้าถึงหรือรับทราบข้อมูลที่เกี่ยวข้องผ่านเครื่องมือต่างๆ โดยสามารถแบ่งได้ ดังนี้
1) ข้อมูลสารสนเทศ (Information) เป็นข้อมูลที่มีความจำเป็นสำหรับการปฏิบัติงานของบุคลากรทั้งผู้บริหารและผู้ปฏิบัติงานทุกระดับ โดยผู้บริหารต้องใช้ข้อมูลประกอบการพิจารณาสั่งการ ส่วนผู้ปฏิบัติงานมักใช้ข้อมูลสารสนเทศเป็นเครื่องชี้นำทิศทางการปฏิบัติหน้าที่ ข้อมูลสารสนเทศที่ดีที่ควรจัดให้มีในทุก ๆ องค์กรควรมีลักษณะดังนี้
(1) ความเหมาะสมกับการใช้ หมายถึง สารสนเทศมีเนื้อหาสาระที่จำเป็นต่อการตัดสินใจของผู้ใช้
(2) ความถูกต้องสมบูรณ์ หมายถึง สารสนเทศที่สามารถสะท้อนผลตามความจำเป็นและให้ข้อมูลที่เป็นจริงและมีรายละเอียดที่จำเป็นครบถ้วน
(3) ความเป็นปัจจุบัน หมายถึง การให้ตัวเลขและข้อเท็จจริงล่าสุดที่เป็นปัจจุบันสามารถใช้เป็นข้อมูลที่เชื่อถือได้สำหรับประกอบการตัดสินใจได้ทันเวลา
(4) สะดวกในการเข้าถึง หมายถึง ความยากง่ายสำหรับผู้ที่มีอำนาจหน้าที่ที่เกี่ยวข้อง และมีระบบรักษาความปลอดภัย ป้องกันผู้ที่ไม่มีส่วนเกี่ยวข้องให้ไม่สามารถเข้าถึงข้อมูลสารสนเทศที่มีความสำคัญหรือข้อมูลที่เป็นความลับได้
ในการจัดให้มีสารสนเทศที่ดีเป็นหน้าที่ของผู้บริหารที่จะจัดหาบุคลากรที่มีความรู้ ความสามารถ และประสบการณ์ทางวิชาชีพ รวมทั้งการจัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบงานที่ดี และประสบการณ์ทางวิชาชีพ รวมทั้งการจัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบงานที่ดี เพื่อให้มีการปฏิบัติตามระบบงานที่กำหนดไว้อย่างสม่ำเสมอและควบคุมการปฏิบัติให้เป็นไปตามระเบียบที่กำหนดไว้อย่างเคร่งครัด
2) การสื่อสาร (Communication) ที่มีประสิทธิภาพนั้น หมายถึง การจัดระบบการสื่อสารให้ข้อมูลส่งไปถึงผู้ที่ควรได้รับ และระบบการสื่อสารที่ดีนั้น จะต้องประกอบด้วยทั้งระบบการสื่อสารกันภายในองค์กรหรือการสื่อสารที่เกิดขึ้นภายในองค์กรเดียวกันซึ่งควรจัดให้เป็นรูปแบบการสื่อสารสองทาง และอีกระบบคือการสื่อสารภายนอกซึ่งเป็นการสื่อสารกับลูกค้าหรือบุคคลอื่น ๆ นอกองค์กร
5. การติดตามและประเมินผล (Monitoring and Evaluation) กล่าวคือ การควบคุมภายในขององค์กรจะสมบูรณ์ไม่ได้หากขาดการติดตามและประเมินผล เพราะเป็นองค์ประกอบสำคัญที่ทำให้ผู้บริหารมั่นใจได้ว่า มาตรการและระบบการควบคุมภายในมีประสิทธิผลและได้รับการปรับปรุงให้ทันสมัยอยู่ตลอดเวลา
1) การติดตามผลระหว่างการดำเนินงาน (On Going Monitoring) หมายถึง การสังเกต การติดตาม ระบบรายงานความคืบหน้าของงาน รวมทั้งการสอบทานหรือการยืนยันผลงานระหว่างการปฏิบัติงาน
2) การประเมินผลอิสระ (Independent Evaluation) เป็นการประเมินผลที่เกิดขึ้นในช่วงเวลาที่แล้วแต่จะกำหนด หรือการประเมินอิสระอาจหมายถึง การประเมินโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดระบบควบคุมภายใน เพื่อให้สามารถแสดงความเห็นได้อย่างเป็นอิสระ เช่น การประเมินจากผู้ตรวจสอบภายใน เป็นต้น
3) การประเมินการควบคุมด้วยตนเอง (Control Self Assessment : CSA) เป็นการจัดประชุมเชิงปฏิบัติร่วมกัน ระหว่างผู้บริหาร ผู้ปฏิบัติงาน ผู้มีความรู้ด้านการควบคุม และผู้อื่นที่มีส่วนเกี่ยวข้อง เพื่อกำหนดกิจกรรมควบคุมและประเมินผลร่วมกัน ในด้านที่ได้รับมอบหมายให้ดำเนินงานนั้น
การรายงานผลการประเมินและการสั่งการแก้ไข ต้องจัดทำรายงานผลการประเมินที่สำคัญเสนอผู้บริหารที่รับผิดชอบ เช่น การจัดทำรายงานแสดงผลความคลาดเคลื่อนของการดำเนินงานเป็นระยะ ๆ
คัดจาก : จิณห์ระพีร์ พุ่มสงวน ใน https://www.gotoknow.org/posts/447878
ส่วนในด้านของผู้บริหารก็จะต้องปฏิบัติตนให้เป็นแบบอย่างที่ดีอย่างสม่ำเสมอ และลดวิธีการหรือแรงจูงใจที่รุนแรง เช่น การไม่กดดันให้พนักงานต้องปฏิบัติงานตามเป้าหมายที่สูงเกินจริง
2) ความรู้ ทักษะ ความสามารถเชิงแข่งขัน กล่าวคือ องค์กรควรมีการกำหนดระดับความรู้และความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละอย่าง ต้องกำหนดออกมาเป็นข้อกำหนดด้านพื้นความรู้ทางการศึกษา และประสบการณ์ในการปฏิบัติงานโดยผลสำเร็จในการประเมินองค์ประกอบด้านนี้สามารถพิจารณาได้จากการจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เพื่อให้เป็นเกณฑ์ในการพิจารณาบรรจุพนักงานให้เหมาะสมกับหน้าที่และความรับผิดชอบ
3) คณะกรรมการบริษัทหรือคณะกรรมการตรวจสอบ กล่าวคือ ฝ่ายบริหารระดับสูงเป็นผู้มีบทบาทสำคัญในการสร้างบรรยากาศการควบคุมของกิจการ คณะกรรมการบริษัทเป็นเสมือนตัวแทนผู้ถือหุ้นที่จะแต่งตั้งฝ่ายบริหารระดับสูงและกำกับดูแลการปฏิบัติงานให้บรรลุผลประโยชน์สูงสุดขององค์กร คณะกรรมการตรวจสอบเป็นส่วนหนึ่งของคณะกรรมการบริษัทที่ทำหน้าที่ส่งเสริมบรรยากาศของการควบคุม และการตรวจสอบทั้งภายในและการสอบบัญชีให้เป็นไปอย่างอิสระจากฝ่ายบริหาร รวมทั้งความรู้ ประสบการณ์ในการปฏิบัติงาน การตั้งคำถามที่ตรงประเด็นและลึกซึ้งเกี่ยวกับงานของฝ่ายบริหาร และติดตามวิเคราะห์คำตอบที่ได้ความถี่และการมีเวลาในการปฏิบัติหน้าที่และประชุมกับผู้บริหารฝ่ายการเงิน บัญชี ตรวจสอบภายใน และผู้สอบบัญชี ความเพียงพอและทันสมัยของสารสนเทศที่จัดให้คณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่จะติดตามการบรรลุผลของแผนกลยุทธ์ เป้าหมายของฝ่ายบริหารฐานะการเงิน ผลการดำเนินงาน และปฏิบัติตามสัญญาที่สำคัญ ความเพียงพอและทันกาลของสารสนเทศที่คณะกรรมการบริษัทและคณะกรรมการตรวจสอบมีเกี่ยวกับข้อมูลพิเศษ เช่น ค่าใช้จ่ายในการเดินทางของผู้บริหารระดับสูง รายงานการสืบสวนจากสถาบันกำกับดูแล การจ่ายเงินที่ผิดกฎหมาย เป็นต้น
4) ปรัชญาและรูปแบบการทำงานของผู้บริหาร กล่าวคือ องค์ประกอบนี้เป็นสิ่งใหม่ของการบริหาร ซึ่งบางครั้งปรัชญาและสไตล์การทำงานผู้บริหารถูกละทิ้งความสนใจไม่เข้าใจอย่างลึกซึ้ง การทำความเข้าใจแนวโน้มทางความคิดขององค์ประกอบนี้ เช่น เป็นผู้บริหารที่กล้าเสี่ยง หรือชอบความระมัดระวัง ความถี่ในการติดตามงานระหว่างผู้บริหารระดับสูงกับระดับปฏิบัติการ ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ความระมัดระวังในการกำหนดประมาณการทางบัญชี การเปิดเผยข้อมูล และการไม่แสดงข้อมูลที่เป็นเท็จ รวมทั้งการส่งเสริมในงานบัญชี การพัฒนาความรู้ของฝ่ายบัญชี เหล่านี้ล้วนเป็นสิ่งที่ทำให้สามารถทราบทิศทางองค์กรได้ว่าจะถูกวางอยู่ในจุดใดหรือมีความเสี่ยงอย่างไรบ้าง
5) โครงสร้างการจัดองค์กร กล่าวคือ โครงสร้างขององค์กรที่ได้รับการจัดไว้ดีย่อมเป็นพื้นฐานสำคัญที่ทำให้ผู้บริหารสามารถวางแผนงาน สั่งการ และควบคุมการปฏิบัติงานได้อย่างถูกต้อง รวดเร็ว และมีประสิทธิภาพ โดยการจัดโครงสร้างองค์กรให้เหมาะสมกับลักษณะของธุรกิจนั้น
6) การมอบอำนาจและความรับผิดชอบ (Assignment of Authority and responsibility) หมายถึง การมอบอำนาจให้กับผู้ปฏิบัติงานในระดับปฏิบัติการ ควรจะต้องมีการกำหนดอย่างชัดเจน โดยในการประเมินองค์ประกอบด้านนี้จะต้องพิจารณาจาก
(1) ความชัดเจนในการระบุความรับผิดชอบและอำนาจในการอนุมัติให้ผู้ปฏิบัติการฝ่ายต่างๆ ในการปฏิบัติงานให้ได้ตามวัตถุประสงค์
(2) ความเหมาะสมของมาตรฐานการควบคุมและวิธีการควบคุมที่เกี่ยวข้องรวมทั้งเอกสารที่ระบุลักษณะ
ความรับผิดชอบในตำแหน่งงาน
(3) ความเหมาะสมของจำนวนพนักงาน ซึ่งจะต้องมีความรู้และทักษะที่เหมาะสมกับปริมาณงานและ
ความซับซ้อนของกิจกรรม รวมทั้งระบบงานที่เกี่ยวข้อง
7) นโยบายและวิธีบริหารงานด้านทรัพยากรมนุษย์ กล่าวคือ ในการบริหารองค์กรมีปัจจัยหลายอย่างที่เป็นสิ่งสำคัญแก่องค์กรไม่ว่าจะเป็นระบบบริหารเทคโนโลยี สิ่งเหล่านี้ล้วนเป็นสิ่งที่องค์กรจะต้องพัฒนาตามยุคสมัยให้ทันแต่อย่างไรก็ตาม สิ่งที่สำคัญที่สุดขององค์กรที่จะขาดไม่ได้ก็คือ ทรัพยากรมนุษย์ เพราะทรัพยากรมนุษย์ที่ดีเป็นปัจจัยที่ทำให้องค์กรบรรลุเป้าหมายอย่างแท้จริง ดังนั้น ฝ่ายบริหารควรกำหนดนโยบายและวิธีบริหารงานด้านทรัพยากรมนุษย์ เช่น การว่าจ้าง การคัดเลือกบุคลากร และเมื่อได้บุคลากรที่เหมาะสมแล้ว ก็ต้องมีนโยบายในการจูงใจและพัฒนาให้มีความรู้ความสามารถที่ทันสมัยตามทันเทคโนโลยีเปลี่ยนแปลงอยู่ตลอดเวลา การประเมินองค์ประกอบนี้ เช่น นโยบายและวิธีปฏิบัติในส่วนที่เกี่ยวกับการคัดเลือก การฝึกอบรม การเลื่อนตำแหน่ง และการจ่ายผลตอบแทน ความเหมาะสมของวิธีการที่ใช้เมื่อพบความประพฤติที่แตกต่างจากนโยบายและวิธีปฏิบัติที่กำหนด เช่น มีบทลงโทษ ความเหมาะสมในการใช้นโยบายการเลื่อนตำแหน่งและความดีความชอบ
8) การตรวจสอบภายใน กล่าวคือ การตรวจสอบภายในถือเป็นส่วนหนึ่งของการควบคุมภายในและเป็นเครื่องมือทางการบริหารที่ทำให้สภาพแวดล้อมของการควบคุมมีคุณภาพ ผู้ตรวจสอบภายในต้องมีความอิสระเพียงพอที่จะรายงานผลการตรวจสอบและประเมินผลให้แก่ผู้บริหาร และผู้รับผิดชอบการปฏิบัติงานที่ได้รับการตรวจสอบและประเมินผลทั้งนี้ผู้ตรวจสอบภายในควรได้รับการสนับสนุนอย่างเหมาะสมจากผู้บริหาร
2. การประเมินความเสี่ยง(Risk Assessment) ซึ่งจัดได้ว่าเป็นเครื่องมือในการบริหารอย่างหนึ่งที่ผู้บริหารนิยมใช้ในปัจจุบัน เนื่องจากในปัจจุบันเป็นยุคการค้าที่มีการแข่งขันอย่างเสรี ซึ่งมีคู่แข่งมากมายที่กำลังต่อสู้กับองค์กร ดังนั้น ความเสี่ยงจึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ ซึ่งการประเมินความเสี่ยงนั้น เป็นกระบวนการที่ทำให้กิจการขององค์กรทราบถึงความเสี่ยงที่กำลังจะเผชิญล่วงหน้าได้ เมื่อทราบถึงความเสี่ยงแล้วก็สามารถที่จะบริหารความเสี่ยงเพื่อเปลี่ยนวิกฤติให้เป็นโอกาส และเพื่อลดผลกระทบความเสียหายที่จะเกิดขึ้นได้เนื่องจากเป็นการค้ายุคการแข่งขันเสรีที่มีความเสี่ยงสูง และต้องเตรียมความพร้อมในทุกสภาวการณ์ การประเมินความเสี่ยงจะทำให้ฝ่ายบริหารได้ทราบถึงปัจจัยเสี่ยงทั้งจากปัจจัยภายใน และปัจจัยภายนอกที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์การอย่างเพียงพอและเหมาะสม โดยแบ่งได้เป็น
1) ปัจจัยเสี่ยงระดับกิจการ อาจเกิดจากปัจจัยเสี่ยงต่าง ๆ ทั้งภายนอกและภายในกิจการ โดยปัจจัยเสี่ยงภายนอก เป็นปัจจัยที่เกิดจากภายนอกที่กิจการควบคุมไม่ได้ ซึ่งผู้บริหารต้องติดตามศึกษาเพื่อหาวิธีปฏิบัติในการเปลี่ยนวิกฤตให้เป็นโอกาส หรือลดผลเสียหายที่จะเกิดขึ้น ส่วนปัจจัยเสี่ยงภายใน เป็นปัจจัยที่เกิดจากภายในองค์กรที่ผู้บริหารสามารถจัดการได้ ซึ่งสามารถยกตัวอย่างของปัจจัยภายนอก เช่น การเปลี่ยนแปลงทางเทคโนโลยี ความต้องการและความมุ่งหวังของลูกค้าที่มีต่อสินค้าหรือบริการ กฎหมายและข้อกำหนดต่างๆ ของภาครัฐ และตัวอย่างของปัจจัยภายใน เช่น ความซื่อสัตย์และจริยธรรมของผู้บริหาร ความสลับซับซ้อนของการปฏิบัติงาน ขวัญและกำลังใจของพนักงานในการปฏิบัติงาน ขนาดของหน่วยงาน โดยหน่วยงานใหญ่ย่อมมีโอกาสผิดพลาดสูงกว่าหน่วยงานเล็ก
2) ปัจจัยเสี่ยงระดับกิจกรรม เป็นปัจจัยเสี่ยงที่อาจเกิดในหน่วยงานสาขา แผนงาน โครงการ และกระบวนการปฏิบัติงานที่สำคัญ เช่น การจัดหา การตลาด เป็นต้น
หลังจากระบุปัจจัยเสี่ยงแล้ว ขั้นต่อมาที่สำคัญก็คือ การวิเคราะห์และจัดระดับความเสี่ยง หากปัจจัยเสี่ยงใดสามารถคำนวณจำนวนที่อาจเกิดขึ้นได้โดยตรงในเชิงปริมาณ เช่น การใช้สูตรคำนวณจำนวนค่าความเสียหาย ก็ให้ประเมินและจัดระดับความเสี่ยงไปตามความสำคัญของจำนวนที่คำนวณได้ หากการวิเคราะห์และจัดระดับความเสี่ยงโดยใช้สูตรคำนวณเป็นไปได้ยาก อาจต้องใช้วิธีการให้คะแนนเชิงเปรียบเทียบแทน เช่น การให้ระดับ 1-3 โดย 1 = ไม่พอใจ 2 = ปานกลาง และ 3 = พอใจ เป็นต้น
หลังจากนั้นผู้บริหารควรกำหนดวิธีการบริหารความเสี่ยง และตัดสินใจเกี่ยวกับกิจกรรมควบคุมภายในที่จำเป็นเพื่อลดหรือบรรเทาความเสี่ยงเหล่านั้นและเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ด้านประสิทธิภาพ ประสิทธิผลของการดำเนินงาน รายงานทางการเงินและการดำเนินงานเป็นที่น่าเชื่อถือ และการปฏิบัติที่เป็นไปตามกฎหมาย และระเบียบข้อบังคับ ผู้บริหารระดับส่วนงาน หรือผู้ประเมินควรจะต้องเน้นการให้ความสำคัญเกี่ยวกับกระบวนการบริหาร ในการกำหนดวัตถุประสงค์การระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการบริหารความเสี่ยงในช่วงของการเปลี่ยนแปลง และบางเรื่องมีลักษณะเป็นนามธรรมซึ่งต้องใช้ดุลยพินิจ แต่เรื่องเหล่านี้มีความสำคัญในการใช้ประเมินความเสี่ยงว่าเหมาะสมเพียงพอหรือไม่ ซึ่งการบริหารความเสี่ยงนั้น COSO ได้กำหนดวิธีการตอบสนองความเสี่ยงไว้พอสรุปได้ดังนี้
1) การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) หมายถึง การเลิกหรือหลีกเลี่ยงการกระทำเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น การกระทำงานที่องค์กรไม่ถนัด อาจหลีกเลี่ยงโดยการไม่กระทำ หรือจ้างบุคคลภายนอก เป็นต้น
2) การลดความเสี่ยง (Risk Reduction) หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย หรือการลดทั้งสองด้านพร้อมกัน การลดความเสี่ยงที่สำคัญคือ การจัดระบบการควบคุมเพื่อป้องกัน หรือค้นพบความเสี่ยงเฉพาะวัตถุประสงค์นั้นอย่างเหมาะสมทันกาลมากขึ้นรวมถึงการกำหนดแผนสำรองในกรณีมีเหตุการณ์ฉุกเฉิน
3) การแบ่งความเสี่ยง (Risk Sharing) หมายถึง การลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย โดยการแบ่ง การโอน การหาผู้รับผิดชอบร่วมในความเสี่ยง เช่น การจัดประกันภัย
4) การยอมรับความเสี่ยง (Risk Acceptance) หมายถึง การไม่กระทำการใดๆ เพิ่มเติมกรณีนี้ใช้กับความเสี่ยงที่มีสาระสำคัญน้อย ความเสี่ยงน่าจะเกิดน้อย หรือเห็นว่ามีต้นทุนในการบริหารความเสี่ยงสูงกว่าผลที่ได้รับ
3. กิจกรรมการควบคุม (Control Activities) หมายถึง การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นไปตามนโยบาย วิธีปฏิบัติงาน และคำสั่งต่างๆ ที่ฝ่ายบริหารกำหนด ซึ่งจะต้องเป็นการกระทำที่ถูกต้องและในเวลาที่เหมาะสม จะเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด กิจกรรมการควบคุมภายในสามารถแบ่งออกตามประเภทของการควบคุมได้ดังต่อไปนี้
1) การควบคุมแบบป้องกัน เป็นวิธีการควบคุมที่กำหนดขึ้น เพื่อป้องกันมิให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก
2) การควบคุมแบบค้นพบ เป็นวิธีการควบคุมที่กำหนดขึ้น เพื่อทำการค้นพบข้อผิดพลาดที่เกิดขึ้นมาแล้ว
3) การควบคุมแบบแก้ไข เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้อง หรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต
4) การควบคุมแบบส่งเสริม เป็นวิธีการควบคุมที่ส่งเสริมหรือกระตุ้นให้เกิดความสำเร็จโดยตรงกับวัตถุประสงค์ที่ต้องการ
4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication) นี้ ถือเป็นองค์ประกอบสำคัญต่อการควบคุมภายในยุคปัจจุบัน ซึ่งนับได้ว่าเป็นยุคของข้อมูลข่าวสาร และถ้าข้อมูลข่าวสารมีความทันสมัยก็จะทำให้องค์กรรับรู้ข้อมูลได้ทันท่วงที มีความได้เปรียบทางด้านธุรกิจ และสามารถเพิ่มประสิทธิภาพให้กับการบริหารองค์กรได้ดีอีกด้วย แต่อย่างไรก็ตาม ความถูกต้องของข้อมูลข่าวสารก็ถือว่าเป็นสิ่งสำคัญยิ่งไม่แพ้กัน ดังนั้น ควรให้ผู้ปฏิบัติงานที่เกี่ยวข้องได้เข้าถึงหรือรับทราบข้อมูลที่เกี่ยวข้องผ่านเครื่องมือต่างๆ โดยสามารถแบ่งได้ ดังนี้
1) ข้อมูลสารสนเทศ (Information) เป็นข้อมูลที่มีความจำเป็นสำหรับการปฏิบัติงานของบุคลากรทั้งผู้บริหารและผู้ปฏิบัติงานทุกระดับ โดยผู้บริหารต้องใช้ข้อมูลประกอบการพิจารณาสั่งการ ส่วนผู้ปฏิบัติงานมักใช้ข้อมูลสารสนเทศเป็นเครื่องชี้นำทิศทางการปฏิบัติหน้าที่ ข้อมูลสารสนเทศที่ดีที่ควรจัดให้มีในทุก ๆ องค์กรควรมีลักษณะดังนี้
(1) ความเหมาะสมกับการใช้ หมายถึง สารสนเทศมีเนื้อหาสาระที่จำเป็นต่อการตัดสินใจของผู้ใช้
(2) ความถูกต้องสมบูรณ์ หมายถึง สารสนเทศที่สามารถสะท้อนผลตามความจำเป็นและให้ข้อมูลที่เป็นจริงและมีรายละเอียดที่จำเป็นครบถ้วน
(3) ความเป็นปัจจุบัน หมายถึง การให้ตัวเลขและข้อเท็จจริงล่าสุดที่เป็นปัจจุบันสามารถใช้เป็นข้อมูลที่เชื่อถือได้สำหรับประกอบการตัดสินใจได้ทันเวลา
(4) สะดวกในการเข้าถึง หมายถึง ความยากง่ายสำหรับผู้ที่มีอำนาจหน้าที่ที่เกี่ยวข้อง และมีระบบรักษาความปลอดภัย ป้องกันผู้ที่ไม่มีส่วนเกี่ยวข้องให้ไม่สามารถเข้าถึงข้อมูลสารสนเทศที่มีความสำคัญหรือข้อมูลที่เป็นความลับได้
ในการจัดให้มีสารสนเทศที่ดีเป็นหน้าที่ของผู้บริหารที่จะจัดหาบุคลากรที่มีความรู้ ความสามารถ และประสบการณ์ทางวิชาชีพ รวมทั้งการจัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบงานที่ดี และประสบการณ์ทางวิชาชีพ รวมทั้งการจัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบงานที่ดี เพื่อให้มีการปฏิบัติตามระบบงานที่กำหนดไว้อย่างสม่ำเสมอและควบคุมการปฏิบัติให้เป็นไปตามระเบียบที่กำหนดไว้อย่างเคร่งครัด
2) การสื่อสาร (Communication) ที่มีประสิทธิภาพนั้น หมายถึง การจัดระบบการสื่อสารให้ข้อมูลส่งไปถึงผู้ที่ควรได้รับ และระบบการสื่อสารที่ดีนั้น จะต้องประกอบด้วยทั้งระบบการสื่อสารกันภายในองค์กรหรือการสื่อสารที่เกิดขึ้นภายในองค์กรเดียวกันซึ่งควรจัดให้เป็นรูปแบบการสื่อสารสองทาง และอีกระบบคือการสื่อสารภายนอกซึ่งเป็นการสื่อสารกับลูกค้าหรือบุคคลอื่น ๆ นอกองค์กร
5. การติดตามและประเมินผล (Monitoring and Evaluation) กล่าวคือ การควบคุมภายในขององค์กรจะสมบูรณ์ไม่ได้หากขาดการติดตามและประเมินผล เพราะเป็นองค์ประกอบสำคัญที่ทำให้ผู้บริหารมั่นใจได้ว่า มาตรการและระบบการควบคุมภายในมีประสิทธิผลและได้รับการปรับปรุงให้ทันสมัยอยู่ตลอดเวลา
1) การติดตามผลระหว่างการดำเนินงาน (On Going Monitoring) หมายถึง การสังเกต การติดตาม ระบบรายงานความคืบหน้าของงาน รวมทั้งการสอบทานหรือการยืนยันผลงานระหว่างการปฏิบัติงาน
2) การประเมินผลอิสระ (Independent Evaluation) เป็นการประเมินผลที่เกิดขึ้นในช่วงเวลาที่แล้วแต่จะกำหนด หรือการประเมินอิสระอาจหมายถึง การประเมินโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดระบบควบคุมภายใน เพื่อให้สามารถแสดงความเห็นได้อย่างเป็นอิสระ เช่น การประเมินจากผู้ตรวจสอบภายใน เป็นต้น
3) การประเมินการควบคุมด้วยตนเอง (Control Self Assessment : CSA) เป็นการจัดประชุมเชิงปฏิบัติร่วมกัน ระหว่างผู้บริหาร ผู้ปฏิบัติงาน ผู้มีความรู้ด้านการควบคุม และผู้อื่นที่มีส่วนเกี่ยวข้อง เพื่อกำหนดกิจกรรมควบคุมและประเมินผลร่วมกัน ในด้านที่ได้รับมอบหมายให้ดำเนินงานนั้น
การรายงานผลการประเมินและการสั่งการแก้ไข ต้องจัดทำรายงานผลการประเมินที่สำคัญเสนอผู้บริหารที่รับผิดชอบ เช่น การจัดทำรายงานแสดงผลความคลาดเคลื่อนของการดำเนินงานเป็นระยะ ๆ
คัดจาก : จิณห์ระพีร์ พุ่มสงวน ใน https://www.gotoknow.org/posts/447878
No comments:
Post a Comment