การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 2

เมื่อกล่าวถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) การประเมินตนเองเพื่อควบคุมความเสี่ยงถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพ ขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น โดยอาจทำออกมาในรูปแบบของการประชุมเชิงปฏิบัติการ หรือการประชุมที่ฝ่ายตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้

การประชุมเชิงปฏิบัติการอาจประยุกต์ออกมาเป็นโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับ ผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์

แต่ก่อนจะลงลึกไปในรายละเอียดของการทำ CSA หรือการประเมินตนเองเพื่อควบคุมความเสี่ยงโดยผู้ตรวจสอบภายใน ผมจะขออธิบายถึงความหมาย หรือคำจำกัดความของ CSA เพื่อความเข้าใจที่ตรงกันในภาพโดยรวมดังนี้ ครับ

ผู้ตรวจสอบภายในเป็นกลุ่มส่วนใหญ่ที่ริเริ่มนำ CSA มาใช้ในองค์กร CSA จึงเป็นเครื่องมือสำหรับองค์กรทั้งหมด องค์กรจะได้รับประโยชน์จาการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองอย่างแพร่หลาย ประกอบกับการยอมรับการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองของแผนกที่มีความเชี่ยวชาญอื่น ๆ เช่น แผนกทรัพยากรมนุษย์ หรือการพัฒนาองค์กรที่ได้มีการจัดการประชุมเพื่ออำนวยความสะดวกขึ้นมา อันจะทำให้ให้สามารถมองเห็นแนวคิด CSA กันมากขึ้น

วัตถุประสงค์ของ CSA คือการช่วยให้องค์กรสามารถประเมินความเป็นไปได้ในการบรรลุวัตถุประสงค์ของ องค์กร โดยจะช่วยในการให้ความรู้แก่ผู้ปฏิบัติงาน ที่มีหน้าที่รับผิดชอบต่อการบรรลุวัตถุประสงค์ขององค์กร CSA เป็นกระบวนการเชิงรุกที่สนับสนุนให้ทีมงานมีการประเมิน และสามารถให้คำแนะนำสำหรับการปรับปรุง เพื่อเพิ่มโอกาสในการบรรลุวัตถุประสงค์ ทีมงานในที่นี้ก็คือกลุ่มของพนักงานที่ทำงานเกี่ยวกับวัตถุประสงค์หรือเป้า หมายโดยทั่วไป

คำจำกัดความของ CSA
ความหมายที่เป็นทางการของ CSA นั้นมีหลายความหมาย สำหรับความหมายที่สถาบันผู้ตรวจสอบภายใน (Institute of Internal Auditors : IIA) ได้พัฒนาขึ้นมาโดยอาศัยความร่วมมือจากองค์กรและที่ปรึกษาที่เกี่ยวข้องกับ CSA นั้นสามารถพิจารณาได้เป็น 2 ความหมายดังนี้

1. ความหมายที่พัฒนาขึ้นในปี 1995 โดย Glenda Jordan
องค์กรที่ใช้การประเมินตนเองเป็นกระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทาง การ ที่ซึ่งผู้บริหาร และ/หรือทีมงานได้เข้ามามีส่วนเกี่ยวข้องโดยตรงกับหน้าที่ทางธุรกิจ ดังนี้

- พิจารณาประสิทธิผลของกระบวนการนำมาใช้แทนที่ และ
– ตัดสินใจในเรื่องที่แน่ใจว่าจะเป็นโอกาสในการบรรลุวัตถุประสงค์ทางธุรกิจบางประการหรือทั้งหมดได้อย่างสมเหตุสมผล

คำบางคำในความหมายดังกล่าวอาจใช้คำอื่นเข้ามาแทนเพื่อให้เกิดความเน้นย้ำ มากขึ้นได้ เช่น คำว่า “พิจารณาประสิทธิผล” อาจแทนด้วยคำว่า “ประเมินประสิทธิผล” เพื่อเป็นการตอกย้ำกระบวนการประเมินผลที่เรียกในชื่อว่าการประเมินตนเอง เพื่อควบคุมความเสี่ยง และคำว่า “กระบวนการแทนที่” อาจใช้คำว่า “การควบคุมภายใน” ดังนั้นการควบคุมจึงเป็นสิ่งที่ต้องปฏิบัติเพื่อให้เกิดการบรรลุวัตถุ ประสงค์องค์กร

ในความหมายนี้ใช้คำว่าผู้บริหาร และ/หรือทีมงาน(ไม่ใช้คำว่าผู้ตรวจสอบภายใน) เป็นผู้ประเมินการควบคุมภายใน นั่นก็คือใช้คำว่า “ตนเอง” ในการประเมินตนเองเพื่อควบคุมความเสี่ยง และทำให้มีการปรับเปลี่ยนบทบาทจากแบบดั้งเดิมที่ผู้ตรวจสอบภายในเป็นผู้ ประเมินประสิทธิผลของการควบคุมแทนเพื่อให้เกิดการบรรลุวัตถุประสงค์ การกล่าวว่า “กระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทางการ” ประกอบด้วยสองกระบวนการหลัก หรือรูปแบบของการประเมินตนเอง อันได้แก่ การประชุมเชิงปฏิบัติการ และการสำรวจ ซึ่งทั้งสองอย่างนี้เป็นการประเมินที่ผู้บริหารและ/หรือทีมงานเข้ามาเกี่ยว ข้องโดยตรงกับการบรรลุวัตถุประสงค์ทางธุรกิจ

2. ความหมายที่ตีพิมพ์ใน IIA ในปี 1998
CSA เป็นกระบวนการที่ใช้ในการตรวจสอบและประเมินผลของฝ่ายตรวจสอบภายในอย่างมี ประสิทธิผล เป็นการทำให้เกิดความแน่ใจว่าได้มีการเตรียมการเพื่อทำให้วัตถุประสงค์ทั้ง หมดนั้นสามารถบรรลุผลสำเร็จได้

ในความหมายที่สองนี้ CSA ยังคงประกอบด้วยขอบเขตที่กว้างขวางเหมือนกับความหมายแรก นั่นคือคำว่า “วัตถุประสงค์ทางธุรกิจทั้งหมด” ซึ่งจะเป็นการเชื่อมโยงระหว่างการควบคุมภายในที่มีประสิทธิผลกับการบรรลุ วัตถุประสงค์

ความหมายทั้งสองอย่างนี้ไม่ได้มีการกล่าวถึงคำว่า “ความเสี่ยง” แม้ว่าการประเมินความเสี่ยงจะเป็นหัวใจสำคัญของการทำ CSA เนื่องจากการรวมคำว่าความเสี่ยงไว้ใน CSA เป็นผลพลอยได้ ถ้ายอมรับแนวคิดเรื่องความสัมพันธ์ของวัตถุประสงค์ ความเสี่ยงและการควบคุมความเสี่ยง ดังนั้น การนำการประเมินการควบคุมความเสี่ยงมาใช้เพื่อให้บรรลุวัตถุประสงค์ จึงเป็นไปไม่ได้ที่จะไม่มีการพิจารณาถึงเรื่องของความเสี่ยงที่อาจเป็นตัว ขัดขวางการบรรลุผลสำเร็จของวัตถุประสงค์

ดังนั้นเมื่อคุณเน้นไปที่เรื่องของความเสี่ยงหรือการควบคุมความเสี่ยง ตั้งแต่แรกในการประเมินกระบวนการแล้ว คุณก็ไม่สามารถที่จะประเมินสิ่งหนึ่งโดยปราศจากความเข้าใจถึงสิ่งอื่น ๆ ได้ ตัวอย่างเช่น เมื่อจะกล่าวถึงแบบจำลองทางธุรกิจพื้นฐานที่ประกอบด้วยความสัมพันธ์ระหว่าง องค์ประกอบต่าง ๆ ทั้งหมด 3 ประการ ในขั้นแรกจะต้องเข้าใจวัตถุประสงค์ เพื่อที่จะประเมินความเสี่ยงของความล้มเหลวในการบรรลุวัตถุประสงค์ ต่อมาก็นำความเสี่ยงมาบริหารให้อยู่ในระดับที่ยอมรับได้ โดยการเพิ่ม การลด หรือการดัดแปลงการควบคุมความเสี่ยงต่าง ๆ ในขณะที่ได้ตัดสินใจให้ผู้หนึ่งเข้ามาเน้นย้ำให้กับคนอื่น เพื่อให้บรรลุความต้องการในระยะสั้นของการประชุมเชิงปฏิบัติการ ควรจะต้องมีการนำผลลัพธ์ที่ได้กลับไปสู่เนื้อหาของแบบจำลองธุรกิจด้วย

แม้ว่าความหมายที่กล่าวมานี้ได้มีการแสดงให้เห็น CSA มากขึ้น แต่ก็ยังยากที่จะนำไปใช้ เมื่อมีคำถามว่า CSA คืออะไร ก็อาจตอบไปว่าเป็นวิธีการที่จะช่วยให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ ที่กำหนดไว้นั่นเอง

สิ่งที่ทำให้ CSA เป็น CSA
CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่นอย่างไร เป็นคำถามที่ผู้ตรวจสอบหรือผู้ที่กำลังเรียนรู้เรื่อง CSA อาจต้องหาคำตอบ สิ่งที่ทำให้ CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่น สามารถพิจารณาได้ดังนี้ บางส่วนอาจมีความขัดแย้งกันเนื่องจาก CSA และการตรวจสอบแบบดั้งเดิมมีความแตกต่างกันจากองค์กรหนึ่งสู่อีกองค์กรหนึ่ง

- พนักงานสายงานหลัก ไม่ใช่ผู้ตรวจสอบภายใน เป็นผู้ประเมินการควบคุมภายใน
– หน่วยงานต่าง ๆ ในองค์กรสามารถทำการประเมินตนเองได้เอง โดยไม่ต้องอาศัยการมีส่วนร่วมของฝ่ายตรวจสอบภายใน
– เครื่องมือที่ช่วยในการประเมินตนเองซึ่งอาจเป็นสิ่งใหม่สำหรับผู้ตรวจสอบภาย ใน เช่น ทักษะการอำนวยความสะดวก การสำรวจ การลงคะแนนแบบไม่ออกนาม หรือหน่วยโครงการอื่น
– การประเมินตนเองเป็นวิธีที่ดีกว่าในการประเมินแบบไม่เป็นทางการ หรือการควบคุมอย่างไม่เป็นทางการที่ต้องอาศัยความร่วมมือ และการมีส่วนร่วมของคณะผู้ตรวจสอบมากกว่าการตรวจสอบแบบดั้งเดิม
– เรื่องเกี่ยวกับทีมงานหรือผู้ถูกตรวจสอบจะปรากฏในรายงาน CSA มากกว่าผู้ตรวจสอบภายใน
– อาจมีการนำการประชุมเชิงปฏิบัติการมาใช้เพื่อสอนการประเมินความเสี่ยง และการออกแบบการควบคุมภายในให้กับทีมงาน
– บทบาทของผู้ตรวจสอบภายในคือเป็นผู้อำนวยความสะดวกและผู้ให้คำแนะนำ ในเรื่องเกี่ยวกับแนวคิดและความคิดด้านความเสี่ยงและการควบคุมความเสี่ยง
– ผู้ถูกตรวจสอบส่วนใหญ่ชอบ CSA มากกว่ากระบวนการตรวจสอบแบบดั้งเดิม
– ผู้บริหารเข้ามามีส่วนร่วมมากกว่าเข้ามาตรวจสอบ
– เป็นวิธีการสร้างความเป็นไปได้ของผลลัพธ์เกี่ยวกับการมีส่วนร่วมและการให้ความร่วมมือของ CSAที่ดีกว่า

ความแตกต่างเหล่านี้ไม่ใช่ลักษณะเฉพาะของ CSA เป็นสิ่งที่เกิดขึ้นในการตรวจสอบแบบดั้งเดิม ส่วนการประเมินความเสี่ยงและการควบคุมความเสี่ยงสิ่งที่ผู้ปฏิบัติงานเป็น ผู้ดำเนินการ และเป็นการประเมินโดยไม่เกี่ยวข้องกับการตรวจสอบภายใน จึงจะเป็นลักษณะเฉพาะของ CSA อย่างไรก็ตาม แม้ว่าสิ่งเหล่านี้จะเป็นเรื่องที่มีความท้าทายแต่การปฏิบัติของผู้ตรวจสอบ บางกลุ่มในประเด็นเหล่านี้ก็ยังมีความแตกต่างกันอยู่ จึงควรที่จะสรุปความแตกต่างของ CSA กับการตรวจสอบแบบดั้งเดิมออกมาให้ชัดเจน

ถ้ามีการตรวจสอบองค์กรที่นำ CSA มาใช้จะพบว่า แต่ว่าละองค์กรมีความแตกต่างหลักในการทำ CSA ผู้ที่เริ่มนำ CSA ไปปฏิบัติในปลายทศวรรษที่ 1980 ก็จะมีมุมมองด้าน CSA ที่แตกต่างออกไป องค์กรที่เริ่มนำ CSA มาใช้ใหม่จะไม่ได้ให้ความสำคัญกับความแตกต่างเหล่านี้ โดยยังดำเนินการแบบที่เรียกว่า “การตรวจสอบแบบดั้งเดิมอยู่” นั่นหมายความว่า ยังคงมีความแตกต่างในแนวทาง ขอบข่าย การทดสอบ และวิธีการรายงานอยู่ ความหลากหลายของแนวทางสะท้อนให้เห็นถึงความแตกต่างในโครงสร้าง ระดับการมอบอำนาจให้พนักงาน รูปแบบการบริหาร และนโยบายที่องค์กรมีอยู่ นั่นแสดงให้เห็นว่า CSA และรูปแบบการประเมินการควบคุมอื่น ๆ เช่น การตรวจสอบภายในแบบดั้งเดิม จำเป็นที่จะต้องมีการเปลี่ยนแปลงไปตามสถานการณ์การเปลี่ยนแปลงในองค์กร ต้องเป็นเครื่องมือที่สามารถประยุกต์ใช้ได้ตามโอกาสที่เหมาะสม แม้ว่าอาจมีบางส่วนจะไม่เห็นด้วยแต่ CSA ก็ไม่ใช่การตรวจสอบภายในเพื่อเปลี่ยนแปลงวัฒนธรรมขององค์กร เนื่องจากกระบวนการเปลี่ยนแปลงนี้เป็นของฝ่ายบริหารไม่ใช่เป็นของผู้ตรวจสอบ CSA เป็นวิธีการประเมินการควบคุมความเสี่ยงในองค์กรที่พร้อมในการมอบอำนาจให้กับ พนักงาน โดย CSA จะช่วยสนับสนุนให้เกิดการเคลื่อนย้ายอำนาจไปยังพนักงานแต่ไม่ได้ขึ้นอยู่กับ ผู้ตรวจสอบในริเริ่มการเปลี่ยนแปลงนั้นขึ้นมา

ฝ่ายตรวจสอบบางแห่งเริ่มนำ CSA ไปปฏิบัติ โดยกังวลว่าองค์กรอาจไม่ได้ต้องการที่จะประเมินความเสี่ยงด้วยตนเอง โดยจะนำ CSA ไปปฏิบัติให้ช้าลงเพราะเกรงว่าฝ่ายบริหารจะไม่ให้การสนับสนุน แม้ว่า CSA จะเป็นเพียงอีกเครื่องมือหนึ่งที่ใช้ในการตรวจสอบในสถานการณ์ที่เหมาะสม แต่ฝ่ายตรวจสอบกลับพบว่าไม่จำเป็นที่จะต้องมีระดับความสนับสนุนและเห็นชอบ อย่างสูงจากองค์กรในการเริ่มนำมาใช้ นั่นทำให้พอสรุปได้ว่า หากมีการทำการประชุมเชิงปฏิบัติการในขั้นเริ่มต้นสำเร็จก็จะทำให้ฝ่ายบริหาร ให้ความสนับสนุนและต้องการให้มีเพิ่มขึ้นอีก

CSA เป็นเรื่องเกี่ยวกับบุคลากรที่ทำงานทางด้านการประเมินความเสี่ยงและการควบ คุมความเสี่ยง สาเหตุที่ต้องมีการทำ CSA เนื่องจาก CSA มีความแตกต่างจากการตรวจสอบแบบดั้งเดิมที่ผู้ตรวจสอบเป็นผู้พิจารณาความ เหมาะสมของการควบคุม ผู้ตรวจสอบจึงมองกลับไปที่ผู้ที่ถูกตรวจสอบหรือลูกค้าในฐานะผู้เชี่ยวชาญที่ มีความรู้เกี่ยวกับสิ่งที่ต้องดำเนินต่อไปในองค์กรมากกว่าผู้ตรวจสอบ หลังจากนั้นผู้ถูกตรวจสอบก็จะเป็นผู้ทำงานร่วมกับวิธีการทำงานเหล่านั้นทุก วัน อันจะทำให้รู้ถึงปัญหา อุปสรรค ความเสี่ยง และการแก้ปัญหา ผู้ตรวจสอบอาจเข้ามาอีกครั้งใน 2-3 ปี และอยู่ในระยะเวลาสั้น ๆ ส่วนคำถามที่ว่า ทำไมจึงไม่มีผู้ที่มีความเชี่ยวชาญอย่างแท้จริงเข้ามาทำหน้าที่ในการประเมิน การควบคุมความเสี่ยง คำตอบที่ว่านี้ก็คือ การใช้ผู้ที่มีความรู้และประสบการณ์เกี่ยวกับงานที่ทำโดยตรง เข้ามาระบุความเสี่ยงและการควบคุมความเสี่ยงเป็นวิธีการที่ดีกว่านั่นเอง

จากการนำ CSA มาใช้ทำให้เกิดการเปลี่ยนแปลงหลายอย่างภายในองค์กร รวมถึงประโยชน์และข้อคำนึงถึงในการทำ CSA ซึ่งในครั้งหน้าผมจะได้นำมาเล่าสู่กันฟังต่อไป

About these ads

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

ติดตาม

Get every new post delivered to your Inbox.

%d bloggers like this: