การควบคุมภายในตามแนวทางตามแนวทาง COSO 2013 มี 5 องค์ประกอบ 17 หลักการ
องค์ประกอบที่ 1: สภาพแวดล้อมการควบคุม (Control Environment)
หลักการที่ 1 องค์กรยึดหลักความซื่อตรงและจริยธรรม
1.1 แสดงให้เห็นโดยผ่านคำสั่ง การกระทำ พฤติกรรม
1.2 จัดทำมาตรฐานของจรรยาบรรณ
1.3 ประเมินการยึดมั่นในมาตรฐานของจรรยาบรรณ
1.4 รายงานการเบี่ยงเบนในเวลาที่เหมาะสม
หลักการที่ 2 คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำกับดูแล
2.1 กำหนดความรับผิดชอบในการกำกับดูแล
2.2 ฝ่ายบริหารหน่วยงานมีความรู้ความชำนาญที่เกี่ยวข้องกับภารกิจการดำเนินการ
2.3 ดำเนินการอย่างเป็นอิสระจากฝ่ายบริหาร
2.4 กำกับดูแลในเรื่องสภาพแวดล้อมของการควบคุม การประเมินความเสี่ยง กิจกรรมการควบคุม ข้อมูลสารสนเทศและการสื่อสาร และการติดตามประเมินผล
หลักการที่ 3 คณะกรรมการและฝ่ายบริหาร มีอำนาจการสั่งการชัดเจน
3.1 พิจารณาโครงสร้างทั้งหมดของกิจการ
3.2 กำหนดสายการรายงาน
3.3 กำหนด มอบหมาย และจำกัดขอบเขตของอำนาจหน้าที่และความรับผิดชอบ
หลักการที่ 4 องค์กร จูงใจ รักษาไว้ และจูงใจพนักงาน
4.1 วางนโยบายและวิธีปฎิบัติเกี่ยวกับการบริหารบุคลากร
4.2 ประเมินความสามารถรายบุคคลและระบุส่วนที่ยังขาดอยู่เพื่อปรับปรุงแก้ไข
4.3 จูงใจ พัฒนาและรักษาบุคคลากร
4.4 วางแผนและเตรียมสรรหาผู้สืบทอดตำแหน่ง (Succession)
หลักการที่ 5 องค์กรผลักดันให้ทุกตำแหน่งรับผิดชอบต่อการควบคุมภายใน
5.1 บังคับให้มีความรับผิดชอบต่อการควบคุมภายในผ่านโครงสร้างองค์กร อำนาจหน้าที่และความรับผิดชอบ
5.2 กำหนดตัวชี้วัดผลการปฏิบัติงาน การสร้างแรงจูงใจและการให้รางวัล
5.3 ประเมินตัวชี้วัดผลการปฏิบัติงาน สิ่งจูงใจ และรางวัลอย่างต่อเนื่อง
5.4 พิจารณาความกดดันในการทำงานที่มากเกินไป
5.5 ประเมินผลกาปฏิบัติงาน การให้รางวัล และการลงโทษพนักงานเป็นรายบุคคล
องค์ประกอบที่ 2: การประเมินความเสี่ยง (Risk Assessment)
หลักการที่ 6 กำหนดเป้าหมายชัดเจน
6.1 องค์กรปฏิบัติตามมาตรฐานบัญชีที่รับรองโดยทั่วไป
6.2 องค์กรกำหนดสาระสำคัญของรายงานทางการเงิน
6.3 รายงานทางการเงินสะท้อนถึงกิจกรรมของหน่วยงาน
6.4 คณะกรรมการอนุมัติและสื่อสารนโยบายบริหารความเสี่ยงให้ผู้บริหารและพนักงานรับทราบ และเป็นส่วนหนึ่งของวัฒนธรรมหน่วยงาน
หลักการที่ 7 ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม
7.1 ระบุความเสี่ยงทุกประเภท ทั้งระดับ องค์กร ฝ่ายงาน
7.2 วิเคราะห์ความเสี่ยงทั้งปัจจัยภายใน/ภายนอก
7.3 ให้ผู้บริหารทุกระดับมีส่วนร่วม
7.4 ประเมินนัยสำคัญของความเสี่ยงที่ระบุ
7.5 กำหนดว่าจะตอบสนองความเสี่ยงอย่างไร
หลักการที่ 8 พิจารณาโอกาสที่จะเกิดการทุจริต
8.1 ประเมินโอกาสที่จะเกิดการทุจริตประเภทต่างๆ
8.2 ทบทวนเป้าหมาย แรงจูงใจและแรงกดดัน
8.3 คณะกรรมการตรวจสอบได้พิจารณาและสอบถามผู้บริหารเกี่ยวกับโอกาสเกิดทุจริต และมาตรการป้องกัน
8.4 หน่วยงานหน่วยงานหน่วยงานได้สื่อสารให้พนักงานปฏิบัติตามนโยบาย
หลักการที่ 9 ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน
9.1 ประเมินการเปลี่ยนแปลงสภาพแวดล้อมภายนอก
9.2 ประเมินการเปลี่ยนแปลงรูปแบบภารกิจการดำเนินการ
9.3 ประเมินการเปลี่ยนแปลงผู้นำหน่วยงาน
องค์ประกอบที่ 3: กิจกรรมการควบคุม (Control Activities)
หลักการที่ 10 ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
10.1 การควบคุมเหมาะสมกับความเสี่ยง และลักษณะเฉพาะของหน่วยงาน สภาพแวดล้อม ลักษณะของงาน
10.2 มีมาตรการการควบคุมภายในที่กำหนดเป็นลายลักษณ์อักษร เช่น นโยบาย คู่มือ ระเบียบ
10.3 กำหนดกิจกรรมควบคุมให้มีความหลากหลายอย่างเหมาะสมการผสมผสานของกิจกรรมการควบคุมหลายๆประเภท
10.4 กำหนดให้มีการควบคุมทุกระดับของหน่วยงาน
10.5 มีการแบ่งแยกหน้าที่ ผู้อนุมัติ ผู้บันทึก ผู้ดูแลเก็บรักษา
หลักการที่ 11 พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม
11.1 กำหนดความเกี่ยวข้องกันของการใช้ IT ในกระบวนการธุรกิจกับการควบคุมทั่วไปทางด้าน IT ให้เหมาะสม
11.2 กำหนดกิจกรรมการควบคุมด้านโครงสร้างพื้นฐานให้เหมาะสม
11.3 กำหนดกิจกรรมการควบคุมด้านความปลอดภัยให้เหมาะสม
11.4 กำหนดกิจกรรมการควบคุมด้านการจัดหา การพัฒนา และดูแลรักษาระบบ
หลักการที่ 12 ควบคุมให้นโยบายสามารถปฏิบัติได้
12.1 มีนโยบายที่รัดกุมเพื่อติดตามการทำธุรกรรมของผู้ถือหุ้นรายใหญ่ กรรมการ ผู้บริหาร
12.2 มีนโยบายเพื่อให้การอนุมัติการทำธุรกรรมกระทำโดยผู้ที่ไม่มีส่วนได้เสีย
12.3 มีนโยบายเพื่อให้การอนุมัติธุรกรรมคำนึงถึงประโยชน์สูงสุดของหน่วยงาน เสมือนเป็นรายการที่ทำกับบุคคลภายนอก (at arms’ length basis)
12.4 มีกระบวนการติดตามดูแลการดำเนินงานของหน่วยงานย่อย หน่วยงานร่วม
12.5 กำหนดหน้าที่และความรับผิดชอบในการนำนโยบายไปปฏิบัติ
12.6 นโยบายและกระบวนการปฏิบัติได้รับการนำไปใช้ในเวลาที่เหมาะสม
12.7 ทบทวนนโยบายและกระบวนการทำงานให้เหมาะสมอยู่เสมอ
องค์ประกอบที่ 4: สารสนเทศและการสื่อสาร (Information and Communication)
หลักการที่ 13 หน่วยงานมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ
13.1 ระบุสารสนเทศที่ต้องการใช้ในการดำเนินงาน
13.2 พิจารณา ต้นทุน ประโยชน์ รวมทั้งปริมาณและความถูกต้องของข้อมูล
13.3 ดำเนินการเพื่อให้กรรมการมีข้อมูลที่เพียงพอในการตัดสินใจ
13.4 ดำเนินการเพื่อให้กรรมการได้รับหนังสือเชิญประชุมและเอกสารล่วงหน้าก่อนการประชุมตามที่กฎหมายกำหนด
13.5 ดำเนินการเพื่อให้รายงานการประชุมมีรายละเอียดสามารถสอบย้อนได้
13.6 องค์กรมีการดำเนินการดังนี้ เก็บเอกสารเป็นระบบ แก้ไขข้อบกพร่องการควบคุม ตามความเห็นผู้สอบ
หลักการที่ 14 มีการสื่อสารข้อมูลภายในหน่วยงาน ให้การควบคุมภายในดำเนินต่อไปได้
14.1 มีกระบวนการสื่อสารข้อมูลอย่างมีประสิทธิภาพ มีช่องทางที่เหมาะสม
14.2 มีการรายงานข้อมูลที่สำคัญถึงกรรมการอย่างสม่ำเสมอ
14.3 จัดให้มีช่องทางสื่อสารลับเพื่อแจ้งเบาะแสเกี่ยวกับการทุจริต
หลักการที่ 15 มีการสื่อสารกับหน่วยงานภายนอก ในประเด็นที่อาจกระทบต่อการควบคุมภายใน
15.1 สื่อสารกับผู้มีส่วนได้เสียภายนอกอย่างมีประสิทธิภาพ มีช่องทางที่เหมาะสม
15.2 มีช่องทางสื่อสารลับ สำหรับผู้มีส่วนได้เสียภายนอก แจ้งเบาะแสการทุจริต
องค์ประกอบที่ 5: กิจกรรมการกำกับติดตามและประเมินผล (Monitoring Activities)
หลักการที่ 16 ติดตามและประเมินผลการควบคุมภายใน
16.1 จัดให้มีการติดตามการปฏิบัติตามจริยธรรมธุรกิจและข้อกำหนด ในลักษณะที่อาจก่อให้เกิดความขัดแย้งทางผลประโยชน์
16.2 จัดให้มีการตรวจสอบการปฏิบัติตามระบบการควบคุมภายในที่วางไว้ โดยการประเมินตนเอง และ/หรือการประเมินโดยผู้ตรวจสอบภายใน
16.3 ความถี่การติดตามและประเมินผล มีความเหมาะสมกับการเปลี่ยนแปลงของหน่วยงาน
16.4 ติดตามและประเมินผลการควบคุมภายใน โดยผู้มีความรู้ความสามารถ
16.5 กำหนดแนวทางการรายงานผลการตรวจสอบภายใน ขึ้นตรงต่อคณะกรรมการตรวจสอบ
16.6 ส่งเสริมให้ผู้ตรวจสอบภายในปฏิบัติหน้าที่ตามมาตรฐานสากล การปฏิบัติงานวิชาชีพการตรวจสอบภายใน
หลักการที่ 17 ประเมินและสื่อสารข้อบกพร่องของการควบคุมภายในทันเวลา และเหมาะสม
17.1 ประเมินผลและสื่อสารข้อบกพร่องของการควบคุมภายใน และดำเนินการแก้ไขอย่างทันท่วงที
17.2 รายงานต่อฝายบริหารหน่วยงานที่สูงขึ้น ทันทีที่เกิดเหตุการณ์ทุจริตร้ายแรง การฝ่าฝืนกฎหมาย หรือการกระทำที่ผิดปกติ ซึ่งกระทบชื่อเสียงและฐานะการเงินของหน่วยงานอย่างมีนัยสำคัญ
17.3 รายงานข้อบกพร่องที่เป็นสาระสำคัญ พร้อมแนวทางแก้ไข ต่อฝ่ายบริหารที่สูงขึ้นของหน่วยงาน /คณะกรรมการตรวจสอบ ในเวลาอันควร