การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 5 – ข้อขัดแย้งของ CSA

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้ในเป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่าอะไรคือวิธีที่ดีที่สุดในการดำเนินการ ประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลายๆองค์กรจะพบความแตกต่างดังรายการข้างล่างนี้ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ

ความแตกต่างบางประการในการนำไปปฏิบัติมีพอสรุปออกมาเป็นรายการได้ดังนี้

1. รูปแบบ CSA
หลายคนเชื่อว่ารูปแบบของการประชุมเชิงปฏิบัติการ หรืออาจเรียกว่าการประชุมที่อำนวยความสะดวกหรือรูปแบบทีมงานเป็นรูปแบบที่มี ประสิทธิผลสำหรับการทำ CSA ส่วนรูปแบบอื่นที่นิยมกันก็คือการใช้แบบสอบถาม ผู้นำ CSA มาใช้ส่วนใหญ่เลือกใช้รูปแบบการประชุมเชิงปฏิบัติการเพื่อขัดขวางวิธีการใช้ แบบสอบถามหรือการวิเคราะห์CSA ที่ผู้บริหารสร้างขึ้น ในหลายองค์กรอาจใช้การรวมหลาย ๆ วิธีในการทำการประเมินตนเอง ผู้ตรวจสอบกำลังเริ่มลงมือเขียนโปรแกรมการตรวจสอบการประเมินตนเองขึ้นมา โดยสร้างขึ้นจากฝ่ายปฏิบัติการ ในการทำ CSA จะยอมให้ผู้ตรวจสอบเข้ามาเชื่อมโยงฝ่ายต่าง ๆ เพื่อระบุความเสี่ยงและวัตถุประสงค์การควบคุมความเสี่ยง และพัฒนาแบบทดสอบที่จำเป็นต้องนำมาใช้ ผู้ตรวจสอบอาจใช้รูปแบบการประชุมเชิงปฏิบัติการ เพื่อช่วยให้กลุ่มได้ประเมินผลการประเมินด้วยตนเอง และพัฒนาแผนปฏิบัติงานที่ต้องการ หลังจากนั้น ฝ่ายตรวจสอบภายในอาจทำการทดสอบความถูกต้องของผลลัพธ์ด้วย

2. การใช้กรอบควบคุมความเสี่ยง

หลายคนเชื่อว่าการใช้กรอบควบคุมความเสี่ยง เช่น COSO, CoCo หรือ Malcolm Baldrige เป็นสิ่งที่มีความจำเป็นสำหรับการทำ CSA ผู้ใช้ CSA ส่วนใหญ่เลือกใช้กรอบการควบคุมความเสี่ยงเข้ามาช่วยในการระบุและแยกประเภท ความเสี่ยงและการควบคุมความเสี่ยง แต่การใช้กรอบการควบคุมความเสี่ยงนี้ ไม่ได้เป็นการทำให้การทำการประชุมเชิงปฏิบัติการง่ายขึ้น และยังต้องอาศัยทักษะและประสบการณ์ของผู้อำนวยความสะดวกและทีมงาน เพื่อจะได้ทราบว่าการควบคุมความเสี่ยงและความเสี่ยงทั้งหมดนั้นจะมีความคลอ บคลุมครบถ้วน

3. บทบาทการตรวจสอบภายใน
หลายคนเชื่อว่าการตรวจสอบภายในไม่ได้ทำให้เกิดความเป็นเจ้าของสูงสุด ของกระบวนการ CSA และหลายครั้งได้มีการมอบแผนงานในการอำนวยความสะดวกและบทบาทในการรายงานไปให้ ทีมงานทำ ส่วนคนอื่นที่เหลือเชื่อว่าการตรวจสอบภายใน จะช่วยให้เกิดความต่อเนื่องในการอำนวยความสะดวกให้กับการทำการประชุมเชิง ปฏิบัติการ และเป็นจุดรวมสำหรับการวางแผนและการรายงานในการทำ CSA ในทางปฏิบัติฝ่ายตรวจสอบได้มีการมีการโอนความเป็นเจ้าของการประชุมเชิง ปฏิบัติการ ไปให้กับทีมงานน้อยมาก

4. รายงาน CSA
บางคนเชื่อว่าการตรวจสอบภายในควรต้องรายงานผลของ CSA การประชุมเชิงปฏิบัติการให้ผู้บริหารทราบ เช่นเดียวกับการตรวจสอบแบบดั้งเดิม ในขณะที่อีกฝ่ายหนึ่งเชื่อว่าทีมงานในการประชุมเชิงปฏิบัติการควรเป็นผู้ รายงานผล ส่วนมากเมื่อทีมงานได้ทำการรายงานผลจากการทำ CSA การประชุมเชิงปฏิบัติการออกมา รูปแบบของรายงานการตรวจสอบจะเกี่ยวข้องกับเเรื่องการประเมินตนเอง หรือผลจากการทดสอบข้อเท็จจริงหรือการประกันคุณภาพการปฏิบัติงาน

5. การมีส่วนร่วมของฝ่ายบริหาร
หลายคนเชื่อว่าผู้บริหารทีมงานต้องมีส่วนร่วมพร้อมไปกับทีมงานโดยตลอด ขณะที่อีกฝ่ายเชื่อว่าผู้บริหารไม่ต้องเข้ามามีส่วนร่วม ประเด็นที่สำคัญเกี่ยวกับเรื่องนี้คือ เรื่องความสามารถในการได้รับข้อมูลที่เป็นจริงของการประชุมเชิงปฏิบัติการ จากการปฏิบัติงานจริง ซึ่งอาจต้องการการใช้การลงคะแนนแบบไม่ระบุชื่อถ้าผู้บริหารเข้ามามีส่วนร่วม ด้วย

6. การประกันคุณภาพ

หลายคนเชื่อว่าการตรวจสอบภายในต้องดำเนินการตรวจสอบการประกันคุณภาพเพื่อยืน ยันผลการประเมินตนเอง ส่วนอีกฝ่ายเชื่อว่าไม่จำเป็นต้องมีการตรวจสอบ การประกันคุณภาพเป็นเรื่องจำเป็นถ้ามีการนำการประเมินตนเองมาใช้แทนการตรวจ สอบภายใน เพื่อให้ได้มาซึ่งควมคิดเห็นในภาพรวมของการควบคุมภายใน การทดสอบการควบคุมที่ถูกต้องควรกระทำในส่วนใดส่วนหนึ่งของกระบวนการเมื่อนำ CSA มาใช้เป็นการตรวจสอบ

7. ความสัมพันธ์กับการตรวจสอบภายใน
บางคนได้โต้แย้งว่าทั้งผู้ตรวจสอบและผู้อำนวยความสะดวก CSA มีการขัดผลประโยชน์กัน ดังนั้นผู้อำนวยความสะดวก CSA สำหรับบางธุรกิจไม่ควรเป็นผู้ตรวจสอบในธุรกิจนั้น ความหมายใหม่ของการตรวจสอบภายในได้ออกมาในปลายปี 1999 โดยมีขอบเขตของการตรวจสอบภายในที่กว้างขวางชัดเจนขึ้นในการรวมกิจกรรมการให้ คำปรึกษา และพบว่าในทางปฏิบัติการดำเนินงาน CSA ขององค์กรไม่มีประเด็นที่เป็นอิสระไปจากการทำ CSA เลย

บางครั้งจากข้อขัดแย้งดังกล่าวข้างต้น แผนกตรวจสอบจะดำเนินการแตกต่างกันเพียงเล็กน้อยในการนำ CSA มาใช้ และบางครั้งก็อาจเรียกหรือให้ความหมายของ CSA ที่แตกต่างกัน ดังนี้

– การประเมินความเสี่ยงและการควบคุมความเสี่ยงด้วยตนเอง
– การประเมินการเปลี่ยนแปลงด้วยตนเอง
– การประเมินการอำนวยความสะดวกด้วยตัวเอง
– กระบวนการประเมินการบริหาร
– การประเมินการบริหารด้วยตัวเอง
– โปรแกรมการประเมินและตรวจสอบการควบคุม
– โปรแกรมการตรวจสอบการควบคุม
– การประเมินการมีส่วนร่วมของความเสี่ยงและการควบคุมความเสี่ยง
– การประเมินทางธุรกิจด้วยตัวเอง
– การประเมินความเสี่ยงทางธุรกิจ
– การประเมินการเปลี่ยนแปลงของความเสี่ยงและสมรรถภาพ

สถานการณ์ที่ CSA ไม่เหมาะสม
จากประโยชน์ที่ได้กล่าวถึงข้างต้น และการที่ผู้ตรวจสอบได้มีการนำ CSA ไปใช้มากขึ้น แต่กลับไม่ได้มีการนำ CSA ไปใช้ตลอดเวลา เนื่องจากแผนกที่นำ CSA ไปใช้ส่วนใหญ่ใช้พยายามในการทำการตรวจสอบเพียงร้อยละ 30-40 เท่านั้น ดังนั้นจึงเกิดคำถามที่ว่าเมื่อไรที่ CSA ไม่เหมาะสม เมื่อไรที่ CSA ไม่ใช่เครื่องมือตรวจสอบที่ถูกต้อง

กระบวนการ CSA ช่วยในการทำการประชุมเชิงปฏิบัติการ หรือสำรวจผู้มีส่วนร่วมในฐานะผู้เชี่ยวชาญในงานที่ได้ทำหรือการตรวจสอบ สถานการณ์ ถ้าสมมุติฐานไม่ถูกต้องนั่นอาจทำให้ CSA ไม่เหมาะสม ซึ่งจะเกิดขึ้นได้ถ้าทุกคนยังไม่มีประสบการณ์ในการจัดการกับปริมาณการเข้า ออกงานที่เพิ่มขึ้นสูง และการเจริญเติบโตอย่างรวดเร็ว โดยทุกคนจะไม่สามารถตอบได้ว่า จะใช้วิธีใดมาใช้แทนในการทำให้องค์กรบรรลุวัตถุประสงค์ กลุ่มเหล่านี้จะได้รับประโยชน์จากการอภิปรายอำนวยความสะดวกในเรื่องของวัตถุ ประสงค์ วิธีการ เป้าหมาย ฯลฯ แต่จะยังไม่สามารถทำการประเมินความเสี่ยง และการควบคุมความเสี่ยงได้อย่างเหมาะสม เนื่องจากยังไม่มีความรู้ในเรื่องนั้นเลย ถ้าผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้กับการประชุมเชิงปฏิบัติการ หรือการอภิปรายผู้บริหารเข้าเข้ามามีส่วนร่วมในการประชุมเชิงปฏิบัติการด้วย เพื่อช่วยให้วัตถุประสงค์ของทีมงานสอดคล้องกับวัตถุประสงค์โดยรวมขององค์กร

CSA อาจไม่เหมาะสมหรืออาจไม่จำเป็นต้องพิจารณาเป็นพิเศษในสถานการณ์ต่าง ๆ ดังนี้
1. พนักงานไม่ได้เป็นผู้เชี่ยวชาญในสาขาเฉพาะด้านตามที่ได้กล่าวถึงในข้างต้น
2. การคาดคะเนผิดพลาด ซึ่งอาจทำให้ยากตัดสินใจว่าใครควรเป็นผู้ดำเนินการใน การประชุมเชิงปฏิบัติการ
3. การเปลี่ยนแปลงขององค์กรอย่างรวดเร็ว เช่น การรวมกิจการและการเข้าครอบครองกิจการ การลดขนาดองค์กร การ takeovers ซึ่งอาจทำให้พนักงานไม่เข้าใจวัตถุประสงค์หรือการจ้างงานในระยะยาวของเขา อย่างชัดเจน
4. วัฒนธรรมไม่สนับสนุนหรือการสื่อสารอย่างมีประโยชน์ การเปิดเผยข้อมูล และความไว้ใจได้ ดังนั้นจึงทำให้ฝ่ายบริหารไม่สนใจผลที่เกิดขึ้นจาก CSA
5. ผู้บริหารไม่ได้ให้การสนับสนุนพนักงานในเรื่องที่เกี่ยวข้องกับการระบุความเสี่ยงและการควบคุมความเสี่ยงอย่างเพียงพอ
6. สิ่งที่คาดหวังของผู้บริหารคือ การทำให้เกิดการยอมรับคำสั่งของฝ่ายตรวจสอบและ/หรือการตรวจสอบกฎระเบียบ
7. ผู้อำนวยการการตรวจสอบไม่เชื่อว่าพนักงานมีทรัพยากรหรือทักษะที่เพียงพอใน การทำ CSA ซึ่งอาจทำให้ตัดสินใจรอจนกระทั่งมีการพัฒนาทักษะแล้วจึงนำไปปฏิบัติ

เรื่องของ CSA ยังมีรายละเอียดอีกมากมาย ครั้งหน้าผมจะมาเล่าถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (CSA) ต่อนะครับ

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: