ความหมายของการควบคุมภายใน การควบคุมภายใน หมายถึง กระบวนการที่ผู้บริหารและบุคลากรขององค์กรจัดให้มีขึ้น เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า การดำเนินงานขององค์กรจะบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้ตามคำจำกัดความของการควบคุมภายใน ได้กล่าวถึงเรื่องวัตถุประสงค์ของการดำเนินงานซึ่งอาจจำแนกวัตถุประสงค์ของการดำเนินงาน เป็น 3 ประเภท คือ 1) ประสิทธิภาพและประสิทธิผลของการดำเนินงาน คือ วัตถุประสงค์พื้นฐานของการดำเนินงานในทุกองค์กร โดยมุ่งเน้นที่ กระบวนการปฏิบัติงานที่มีคุณภาพ และเอื้ออำนวยให้การดำเนินงานเป็นไปตามเป้าหมายที่กำหนดไว้ ในขณะเดียวกัน ผลที่ได้รับจากกระบวนการนั้นต้องคุ้มค่ากับต้นทุนที่ใช้ไป จึงจะทำให้เกิดความมีประสิทธิภาพ
2) ความน่าเชื่อถือของรายงานทางการเงิน คือ การจัดให้มีข้อมูลและรายงานทางการเงินที่ถูกต้อง เพียงพอ และเชื่อถือได้ เพื่อสร้างความมั่นใจให้กับผู้บริหาร บุคลากรในองค์กร และบุคคลภายนอกในการนำข้อมูลดังกล่าวไปใช้ประกอบการพิจารณาตัดสินใจในเรื่องต่างๆ
3) การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง คือ การมุ่งเน้นให้กระบวนการปฏิบัติงานเป็นไปตามกฎหมาย ระเบียบ ข้อบังคับ เงื่อนไขตามสัญญา ข้อตกลง นโยบาย และแนวทางการปฏิบัติงานต่างๆ ที่เกี่ยวข้อง
การกำหนดวัตถุประสงค์ของการดำเนินงานขึ้นมานั้น ผู้บริหารจะต้องกำหนดวิธีการทำงานให้ไปสู่วัตถุประสงค์นั้น และในขณะเดียวกันก็ต้องมีการควบคุมการปฏิบัติงานต่างๆ ในองค์กรให้ดำเนินไปอย่างมีประสิทธิภาพและประสิทธิผลด้วย การควบคุมต่างๆ เหล่านี้ ก็คือ การควบคุมกระบวนการปฏิบัติงานภายในองค์กร หรือเรียกสั้นๆ ว่า การควบคุมภายในนั่นเอง
ความสำคัญของการมีหน่วยงานตรวจสอบ
องค์ประกอบการควบคุมภายใน
การควบคุมภายในและการบริหารความเสี่ยงตามแนวคิดของ COSO ความหมายของการควบคุมภายใน The Committee of Sponsoring Organization of the Treadway Commission : COSO (คณะกรรมการร่วมของสถาบันวิชาชีพที่ให้ความสนับสนุนทางการเงินเพื่อ ศึกษาวิจัยและพัฒนาเกณฑ์ที่เหมาะสมเกี่ยวกับการควบคุมภายใน กระบวนปฏิบัติงานที่ถูกก าหนดร่วมกันโดย คณะกรรมการผู้บริหาร ตลอดจนพนักงานขององค์กรทุกระดับชั้น เพื่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า วิธีการหรือการปฏิบัติงานตามที่ก าหนดไว้จะท าให้บรรลุวัตถุประสงค์ของการควบคุม องค์ประกอบของการควบคุมภายใน 5 ด้านที่มีความสัมพันธ์กัน องค์ประกอบที่ 1 สภาพแวดล้อมของการควบคุม (Control Environment) หมายถึง ปัจจัยต่างๆ ที่ส่งผลต่อทัศนคติและความตระหนักถึงความจำเป็นและความสำคัญของการควบคุมภายในของบุคลากรทุกคนในองค์กร โดยบุคลากรทุกคนเข้าใจความรับผิดชอบและขอบเขตอำนาจหน้าที่ของตนเอง มีความรู้ ความสามารถ และทักษะที่จำเป็นต่อการปฏิบัติงาน รวมถึงการยอมรับและปฏิบัติตามกฎเกณฑ์และวิธีการทำงานต่างๆ ที่องค์กรกำหนดไว้ ปัจจัยต่างๆ ต่อไปนี้เป็นปัจจัยที่ช่วยเสริมสร้างให้มีสภาพแวดล้อมของการควบคุมที่ดี ผู้ประเมินควรประเมินว่าองค์กรของท่านให้ความสำคัญกับปัจจัยเหล่านี้ มากน้อยเพียงใด เช่น • ความซื่อสัตย์และจริยธรรม ซึ่งอาจพิจารณาได้จากการกำหนดแนวทางปฏิบัติในเรื่องต่างๆ ให้ชัดเจน แล้วแจ้งให้ทุกคนที่เกี่ยวข้องทราบ รวมไปถึงการกระทำตนเป็นแบบอย่างให้กับผู้ใต้บังคับบัญชา ทั้งคำพูดและการกระทำ
• รูปแบบและปรัชญาการทำงานของฝ่ายบริหาร โดยพิจารณาจากความรู้ความสามารถ และประสบการณ์ของฝ่ายบริหารที่เป็นประโยชน์ต่อหน้าที่ที่รับผิดชอบ และความสนใจในองค์กรที่ตนเป็นผู้บริหาร
• การจัดโครงสร้างองค์กรและสายการบังคับบัญชาให้เหมาะสมกับขนาดและลักษณะการดำเนินงาน
• การกำหนดลักษณะงานและคุณสมบัติเฉพาะตำแหน่ง (Job Description & Job Specification) สำหรับทุกตำแหน่งงาน อย่างชัดเจน
องค์ประกอบที่ 2 การประเมินความเสี่ยง (Risk Assessment) ความเสี่ยง คือโอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล การสูญเปล่าหรือเหตุการณ์ที่ไม่พึงประสงค์ ที่ทำให้การดำเนินงานไม่บรรลุวัตถุประสงค์หรือเป้าหมายที่กำหนดไว้ ความเสี่ยงเหล่านี้อาจเกิดจากสาเหตุภายนอกหรือภายในองค์กรก็ได้ โดยเฉพาะในการดำเนินงานปัจจุบัน ภายใต้การเปลี่ยนแปลงของนโยบายรัฐบาล สภาพเศรษฐกิจ กฎระเบียบต่างๆ ทำให้แต่ละองค์กรต้องเผชิญกับความเสี่ยงมากขึ้น ถ้าองค์กรสามารถบ่งชี้และประเมินความเสี่ยงได้อย่างเหมาะสม ก็จะช่วยให้สามารถเตรียมการแก้ไขปัญหาเหล่านั้นได้ทันท่วงที ข้อควรพิจารณาในการประเมินความเสี่ยง คือ ความเสี่ยงเป็นตัวถ่วงให้การดำเนินงานไม่สำเร็จตามวัตถุประสงค์ ผู้ประเมินต้องพยายามเปลี่ยนจากวิกฤตที่องค์กรเผชิญอยู่ให้เป็นโอกาสโดยการเตรียมการให้พร้อมในการรับมือกับความเสี่ยงที่อาจจะเกิดขึ้น แต่การเตรียมการดังกล่าวไม่ได้หมายความว่า การควบคุมภายในยิ่งมากยิ่งดี การควบคุมภายในที่มากจนเกินไป อาจจะทำให้งานสะดุด แต่ถ้ามีน้อยจนเกินไป ก็จะทำให้งานไม่สำเร็จ ดังนั้น จึงต้องกำหนดการควบคุมภายในให้พอเหมาะ โดยถือหลักการที่ว่ามีความเสี่ยงมาก ควบคุมมาก มีความเสี่ยงน้อย ควบคุมน้อย การประเมินความเสี่ยงที่มีประสิทธิผลนั้น ผู้ประเมินต้องเข้าใจวัตถุประสงค์ของการดำเนินงานอย่างชัดเจนก่อน หลังจากนั้น จึงพิจารณาว่ามีความเสี่ยงอะไรบ้างในการทำงาน แล้วจึงพิจารณาว่าความเสี่ยงเหล่านั้นเกิดขึ้นบ่อยครั้งหรือไม่ และเมื่อเกิดความเสี่ยงนั้นแล้วจะส่งผลกระทบต่อการดำเนินงานมากน้อยเพียงใด หากผู้ประเมินพิจารณาแล้ว เห็นว่ายังคงมีความเสี่ยงสูงเกินกว่าที่จะยอมรับได้ จะต้องพิจารณาปรับเปลี่ยนการควบคุมภายในให้เพียงพอและเหมาะสมต่อไป
องค์ประกอบที่ 3 กิจกรรมการควบคุม (Control Activities) กิจกรรมการควบคุมเป็นองค์ประกอบที่จะช่วยให้มั่นใจได้ว่า นโยบายและกระบวนการเกี่ยวกับการควบคุมภายในกำหนดขึ้นนั้น ได้มีการนำไปปฏิบัติตามภายในองค์กรอย่างทั่วถึง นอกจากนี้ กิจกรรมการควบคุมยังช่วยสร้างความมั่นใจว่าองค์กรมีกิจกรรมที่เหมาะสมในการป้องกันหรือลดความเสี่ยงที่อาจเกิดขึ้น ดังนั้น กิจกรรมการควบคุมควรกำหนดให้สอดคล้องกับความเสี่ยงที่ประเมินได้ โดยมีข้อควรพิจารณาในการกำหนดกิจกรรมการควบคุม ดังต่อไปนี้ • กิจกรรมการควบคุมควรเป็นส่วนหนึ่งของกระบวนการปฏิบัติงานตามปกติ
• กิจกรรมการควบคุมต้องสามารถป้องกันหรือลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
• ค่าใช้จ่ายในการกำหนดให้กิจกรรมการควบคุมต้องไม่สูงกว่าผลเสียหายที่คาดว่าจะเกิดขึ้น หากไม่กำหนดให้มีกิจกรรมการควบคุมปัญหาที่เกิดขึ้นกับองค์กรส่วนใหญ่ คือ การกำหนดกิจกรรมการควบคุมตามที่มีการปฏิบัติอยู่เดิม โดยมิได้พิจารณาความมีประสิทธิภาพ และความสอดคล้องกับวัตถุประสงค์ ของการดำเนินงาน และความเสี่ยงที่เปลี่ยนไปขององค์กร
องค์ประกอบที่ 4 สารสนเทศและการสื่อสาร (Information and Communication) การควบคุมภายในที่ดีจะเกิดขึ้นได้ เมื่อข้อมูลที่เกี่ยวข้องกับการดำเนินงานนั้นได้มีการบ่งชี้ รวบรวมและชี้แจงให้แก่บุคคลที่ควรทราบ โดยผ่านทางรูปแบบและเวลาการสื่อสารที่เหมาะสมข้อมูลที่มีประโยชน์ต่อการตัดสินใจ การบริหารจัดการ และการปฏิบัติงานนั้น อาจเป็นได้ทั้งข้อมูลที่เกี่ยวกับการดำเนินงาน การเงิน และการปฏิบัติตามกฎระเบียบต่างๆ โดยแหล่งข้อมูลอาจมาจากภายในหรือภายนอกองค์กร องค์ประกอบในเรื่องสารสนเทศและการสื่อสาร อาจพิจารณาประเด็นที่สำคัญได้ดังนี้
• ข้อมูลเพียงพอ ถูกต้อง ภายใต้รูปแบบที่เหมาะสม และทันเวลา เพื่อช่วยสนับสนุนการตัดสินใจ การบริหารจัดการ และการปฏิบัติงานในเรื่องต่างๆ
• การสื่อสารข้อมูลเกิดขึ้นอย่างทั่วถึงทั้งองค์กร จากผู้บริหารถึงพนักงานและในทางกลับกัน ระหว่างหน่วยงานหรือแผนก ระหว่างองค์กรกับบุคคลภายนอกเช่น สื่อมวลชน ผู้ออกกฎระเบียบต่างๆ
• การสื่อสารอย่างชัดเจนให้บุคลากรทราบถึงความสำคัญและความรับผิดชอบต่อการควบคุมภายใน
องค์ประกอบที่ 5 การติดตามประเมินผล (Monitoring) การควบคุมภายในทั้งหลายที่จัดให้มีขึ้นนั้น จำเป็นอย่างยิ่งที่ต้องมีกลไกในการติดตามประเมินผล เพื่อให้มั่นใจว่าได้มีการปฏิบัติการควบคุมภายในนั้นอย่างสม่ำเสมอ และการปฏิบัตินั้นยังมีความเหมาะสมกับลักษณะการดำเนินงานและการเปลี่ยนแปลงที่เกิดขึ้น เพราะอย่าลืมว่า การเปลี่ยนแปลงต่างๆ ที่เกิดขึ้นอาจมีผลกระทบต่อความเสี่ยงในการดำเนินงาน และความเสี่ยงที่เปลี่ยนแปลงไป อาจจำเป็นต้องปรับปรุงการควบคุมภายในให้เหมาะสมด้วย
สาเหตุของความเสี่ยงอาจเกิดจากปัจจัยภายในและภายนอกหน่วยงาน
- ปัจจัยภายใน เช่น นโยบายของผู้บริหาร ความซื่อสัตย์ จริยธรรม คุณภาพของบุคลากร การเปลี่ยนแปลงระบบงาน ความเชื่อถือได้ของระบบสารสนเทศ การเปลี่ยนแปลงผู้บริหารและเจ้าหน้าที่บ่อยครั้ง การควบคุมกำกับดูแลไม่ทั่วถึง และการไม่ปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับของหน่วยงาน เป็นต้น
- ปัจจัยภายนอก เช่น กฎหมาย ระเบียบ ข้อบังคับของทางราชการ การเปลี่ยนแปลงทางเทคโนโลยีหรือสภาพการแข่งขัน สภาวะแวดล้อมทั้งทางเศรษฐกิจและการเมือง เป็นต้น
ข้อจำกัดของระบบการควบคุมภายใน
- ค่าใช่จ่ายในการควบคุมต้องไม่สูงกว่าค่าเสียหายที่อาจเกิดขึ้นจากการไม่ควบคุม
- กาควบคุมส่วนใหญ่มีไว้สำหรับรายการตามปกติทั่วไป
- ความประมาทเลินเล่อ หรือความไม่เข้าใจคำสั่งของบุคคลที่เกี่ยวข้อง
- ผู้ทุจริตอาจร่วมมือกับบุคคลภายนอกหรือบุคคลภายในเพื่อหลีกเลี่ยงการควบคุมที่มีอยู่
- ผู้รับผิดชอบหรือบุคคลอาจไม่ปฏิบัติตามระบบการควบคุมภายใน
วัตถุประสงค์ของการควบคุมภายใน
1. ความเชื่อถือได้และความถูกต้องของข้อมูลและรายงานทางการเงิน และการปฏิบัติงาน : ต้องการให้ระบบสารสนเทศมีความถูกต้องและเชื่อถือได้ เป็นสิ่งสำคัญยิ่งสำหรับกระบวนการตัดสินใจของผู้บริหาร
2. การปฏิบัติตามนโยบาย แผนงาน กระบวนการปฏิบัติงาน กฎหมาย และกฎระเบียบ : เพื่อให้เชื่อมั่นได้ว่าการปฏิบัติงานจะเป็นไปตามที่ได้วางแผนไว้อย่างมีระบบและเป็นระเบียบ การฝ่าฝืนหรือไม่ปฏิบัติตามวิธีกาควบคุมอาจทำให้ไม่สามารถบรรลุวัตถุประสงค์ที่วิธีการควบคุมเหล่านั้นต้องการส่งเสริมได้
3. การดูแลป้องกันสินทรัพย์ : เพื่อดูแลป้องกันและรักษาสินทรัพย์ขององค์กรให้อยู่ในสภาพที่พร้อมใช้สำหรับการนำไปใช้ประโยชน์ และปลอดภัยจากการรั่วไหล สิ้นเปลือง สูญเปล่า หรือการทุจริต
4. การดำเนินงานอย่างประหยัดและมีประสิทธิภาพ : มีการสิ้นเปลืองหรือสูญเปล่าน้อยที่สุด โดยต้องได้ผลที่ดีที่สุดเมื่อเปรียบเทียบกับต้นทุนที่จ่ายไป
5. การบรรลุวัตถุประสงค์ขององค์กร และเป้าหมายของการดำเนินงานหรือโครงการ : จะเกิดขึ้นได้ถ้าผู้บริหารได้จัดการระบบด้วยการวางแผน จัดรูปแบบ และสั่งการ ในลักษณะที่ก่อให้เกิดความมั่นใจอย่าง สมเหตุสมผลว่าการดำเนินงานจะสามารถบรรลุวัตถุประสงค์และเป้าหมายขององค์กรหรือดำเนินงานได้ การจัดการความเสี่ยง การควบคุม และการกำกับดูแล ลักษณะของการควบคุมภายในที่ดีต้องมีการจัดแบ่งงานและหน้าที่อย่างเหมาะสม มีการควบคุมและสอบยันกันได้ มีแนวปฏิบัติที่ดีและมีคนที่เหมาะสมกับหน้าที่และความรับผิดชอบ
บทบาทและหน้าที่ความรับผิดชอบในการควบคุมภายใน
ผู้บริหารระดับสูง กำหนดบทบาทในการปฏิบัติตนให้เป็นตัวอย่างที่ดี สร้างองค์ประกอบอื่น ๆ ที่ทำให้เกิดสภาพแวดล้อมของการควบคุมที่ดีขึ้น
ผู้บริหารระดับกลาง จัดให้มีการควบคุมภายในประเมินผล ปรับปรุงเปลี่ยนแปลงให้มีความรัดกุม และสอบทานให้มีการปฏิบัติตามระบบ
ผู้ตรวจสอบภายในหรือผู้ตรวจกิจการ มีหน้าที่และความรับผิดชอบโดยตรงในเรื่องของการ ควบคุมภายใน ทำหน้าที่ตรวจสอบและประเมินความมีประสิทธิผลของมาตรการควบคุมภายในอื่น ๆ เสนอแนะต่อ ผู้บริหารระดับสูงและระดับกลางให้จัดมาตรการควบคุมภายในขึ้นในองค์กรตรวจสอบการปฏิบัติตามระบบการควบคุมภายในที่จัดไว้ ร่วมมือและประสานกับผู้สอบบัญชีภายนอก
พนักงานระดับปฏิบัติศึกษาให้ทราบว่ามาตรการและระบบการควบคุมภายในในหน่วยงานที่ปฏิบัติหน้าที่อยู่นั้นมีข้อกำหนดไว้อย่างไรบ้าง เอาใจใส่ปฏิบัติตามมาตรการและระบบเหล่านั้น
ประเภทความเสี่ยง
ความเสี่ยง คือเหตุการณ์หรือการกระทำอันทำให้เกิดความเสียหายหรือทำให้เกิดความล้มเหลว หรือลดโอกาสที่จะประสบความสำเร็จตามวัตถุประสงค์หรือเป้าหมายที่ต้องการ
- ความเสี่ยงสืบเนื่อง (Inherent Risk) ความเสี่ยงโดยทั่วไป เกิดจากลักษณะของธุรกิจอุตสาหกรรมหรือนโยบายของรัฐบาล
- ความเสี่ยงจากการควบคุม (Control Risk) ความเสี่ยงที่อาจจะเกิดขึ้นจากการควบคุมภายในที่ไม่มีประสิทธิผล
- ความเสี่ยงจากการตรวจสอบ (Detective Risk) ความเสี่ยงที่ผู้ตรวจสอบไม่สามารถตรวจพบได้ เนื่องจากวางแผนตรวจสอบและวิธีการตรวจสอบไม่เหมาะสม รวมทั้งสรุปผลตรวจผิดพลาด ความเสี่ยงที่ยังเหลืออยู่คือความเสี่ยงที่ยังคงเหลืออยู่ภายหลังจากที่มีการพิจารณาการบริหาร จัดการความเสี่ยง และการจัดการวางระบบการควบคุมภายในแล้ว
แนวคิด ERM Enterprise Risk Management
เป็นกระบวนการที่คณะกรรมการองค์กรธุรกิจ ฝ่ายบริหารและพนักงานนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์และการปฏิบัติงานทั่วทั้งองค์กร เพื่อที่จะระบุเหตุการณ์สำคัญที่อาจเกิดขึ้นและมีผลกระทบต่อองค์กร และเพื่อบริหารจัดการความเสี่ยงต่าง ๆ ให้อยู่ในระดับที่ยอมรับได้ รวมทั้งเพื่อสร้างความมั่นใจอย่างสมเหตุสมผลเกี่ยวกับวัตถุประสงค์ขององค์กร ดังนี้
1. สภาพแวดล้อมภายใน (Internal Environment) ประกอบด้วย วิสัยทัศน์ พันธกิจ ความรู้และ ความสามารถของบุคลากร ความซื่อตรงและจริยธรรม คณะกรรมการมาตรฐานของทรัพยากรบุคคล อำนาจ หน้าที่ความรับผิดชอบ
2. การกำหนดวัตถุประสงค์ (Objective Setting) วัตถุประสงค์ขององค์กรคืออะไร มีความเฉพาะเจาะจง สามารถวัดได้ นำไปปฏิบัติได้ มีความน่าเชื่อถือ มีกรอบระยะเวลาชัดเจน
3. ระบุความเสี่ยง (Risk Identification) เหตุการณ์ = โอกาส + ความเสี่ยง ระบุความเสี่ยงทั้งที่เคยเกิดและอาจเกิด โดยพิจารณาจากปัจจัยทั้งภายในและภายนอก
4. การประเมินความเสี่ยง (Risk Assessment) การกำหนดความน่าจะเกิดและผลกระทบ
5. การจัดการตอบสนองความเสี่ยง (Risk Responses) การยอมรับความเสี่ยง ลดผลกระทบ การลดโอกาสเกิด หาวิธีการใหม่ ๆ
6. Control Activities แบ่งเป็น 4 ประเภท
- การควบคุมแบบป้องกัน การแบ่งแยกหน้าที่ การควบคุมรหัสผ่าน การกำหนดระดับอนุมัติ การเก็บรักษาทรัพย์สินให้ปลอดภัย
- การควบคุมแบบแก้ไข เช่น การกำหนดรูปแบบใหม่ (การควบคุมด้วยระบบแทนคน) การจัดโครงสร้างใหม่ การควบคุมแบบชดเชย
- การควบคุมแบบค้นพบ เช่น การสอบทานรายงาน การรายงานสิ่งผิดปกติ การกระทบยอด การตรวจนับสินค้า
- การควบคุมแบบส่งเสริม การกำหนดนโยบาย การกำหนดแนวทาง คู่มือปฏิบัติงาน แผนการฝึกอบรม มาตรการจูงใจและการให้รางวัล
7. ระบบสารสนเทศและการสื่อสาร (Information and Communication) บูรณาการจัดการ ความเสี่ยงกับการปฏิบัติงาน สื่อสารแผนการจัดการความเสี่ยงและการควบคุมภายในให้ทุกคนในองค์กรทราบ การสื่อสารควรเน้นให้เข้าใจง่ายในเวลาที่ทันกาลและอาจใช้ภาพและสีประกอบเพื่อให้เข้าใจง่าย
8. การติดตามผล (Monitoring) การติดตามผลระหว่างปฏิบัติงาน เช่น ระบบการรายงาน วิเคราะห์เปรียบเทียบ การวิเคราะห์ความแปรปรวน ความคาดเคลื่อน เป็นต้น การประเมินผลเป็นรายครั้ง เช่น การประเมินผลตนเอง การประเมินผลโดยผู้ตรวจสอบกิจการ การสอบบัญชีโดยผู้สอบบัญชีรับอนุญาต การ ประเมินโดยหน่วยงานกำกับ
ข้อควรพิจารณาในการจัดตั้งหน่วยงานตรวจสอบภายใน
ตัวอย่างความเสี่ยงและการควบคุมขององค์กร
อ้างอิง
https://www.excise.go.th/cs/groups/public/documents/.../webportal16200036901.doc
Elegantly made, Vaporesso XROS 4 ensures a consistent and satisfying hit every time.