การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (3)

สวัสดีครับทุกท่านที่ติดตามสาระ ความรู้จาก itgthailand.wordpress.com แห่งนี้ สำหรับการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือที่เรียกกันว่า CSA – Controls Self Assessment ที่ได้พูดคุยกันมาถึงตอนที่ 7 แล้ว ในครั้งก่อน ผมได้พูดถึง ความเสี่ยง การบริหารความเสี่ยง และทางเลือกในการบริหารความเสี่ยง พร้อมทั้งยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการในบางมุมมอง ซึ่งคาดว่าจะเป็นประโยชน์อย่างมากสำหรับการนำไปประยุกต์ใช้ให้เหมาะสมในแต่ละองค์กร และเมื่อพูดถึงความเสี่ยง การบริหารความเสี่ยงแล้ว แน่นอนว่าจะขาดไม่ได้ที่จะไม่กล่าวถึง การควบคุม (Control) ที่เป็นกระบวนการที่สำคัญและจำเป็นต่อการประเมินตนเองเพื่อการควบคุมความเสี่ยงขององค์กร

การควบคุม (Control) หมายถึง ขั้นตอน กระบวนการ หรือกลไกซึ่งองค์กรกำหนดขึ้นเพื่อให้มั่นใจว่า กิจกรรมในการดำเนินธุรกิจจะประสบความสำเร็จ และได้ผลลัพธ์ตามวัตถุประสงค์ที่ได้กำหนดไว้
การควบคุมเป็นกระบวนการตรวจสอบกิจกรรมเพื่อให้เกิดความมั่นใจว่าสามารถบรรลุวัตถุประสงค์ตามแผนที่กำหนดไว้
การควบคุมเป็นหน้าที่ที่สำคัญอย่างหนึ่งของการบริหาร การควบคุมมีความสัมพันธ์ใกล้ชิดกับการวางแผน เพราะการควบคุมเป็นเครื่องมือสำคัญในการกำหนดแผน การดำเนินการตามแผนและการประเมินผลตอบแทน

รูปแบบของการควบคุม
รูปแบบของการควบคุมจะแสดงให้เห็นถึงวิธีการตอบสนองต่อความเสี่ยง ซึ่งรูปแบบการควบคุมเหล่านี้ได้แก่
1. การป้องกัน (Preventive) คือความพยายามที่จะสกัดไม่ให้เกิดความเสี่ยงขึ้น เป็นการควบคุมล่วงหน้าก่อนที่จะเกิดความเสี่ยงขึ้น เช่น การขออนุมัติใบสั่งซื้อก่อน หรือการใส่รหัสลับในเครื่องคอมพิวเตอร์
2. การตรวจสอบ/ติดตาม(Detective) คือความพยายามในการติดตามความเสี่ยงที่เกิดขึ้นถึงแม้จะมีการควบคุมแบบการป้องกันแล้ว นั่นคือเมื่อมีความเสี่ยงเกิดขึ้น บริษัทจะจัดให้มีระบบการควบคุมความเสี่ยงขึ้นมา ซึ่งการติดตามที่ดีต้องมีระบบการสื่อสารที่ดีด้วย โดยต้องจัดให้มีระบบการสื่อสารที่รวดเร็วและสม่ำเสมอโดยวิธีการที่หลากหลาย
3. การกำกับ (Directive) คือความพยายามหลีกเลี่ยงความเสี่ยงโดยการกำหนดวิธีการเฉพาะที่เหมาะสม เป็นการเสนอให้ทำสิ่งที่ถูกต้อง (เป็นแนวทางหรือการฝึกอบรม)

จากรูปแบบการควบคุมข้างต้น จะเห็นได้ว่า นอกจากการควบคุมจะเป็นการป้องกันไม่ให้เกิดความเสี่ยงขึ้นแล้ว ยังมีรูปแบบอื่นที่สามารถทำได้อีก เช่น การติดตามความเสี่ยงที่อาจเกิดขึ้น หรือการให้คำแนะนำหรือฝึกอบรมพนักงานให้กับพนักงานเพื่อจัดการกับความเสี่ยง

การทำความเข้าใจเป้าหมายที่แท้จริงของระบบการควบคุบภายในจะช่วยให้สามารถบรรลุวัตถุประสงค์ของธุรกิจง่ายขึ้น โดยการประเมินความเสี่ยงเป็นวิธีการที่ง่ายที่สุดในการบรรลุวัตถุประสงค์ และสิ่งที่ต้องทำเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ คือ การระบุ/ บ่งชี้ปัจจัยเสี่ยง โดยการระบุปัจจัยเสี่ยงนี้ จะมีประโยชน์ในการออกแบบระบบการควบคุมความเสี่ยงที่เหมาะสมกับความเสี่ยงนั้น ๆ มีการกำหนดระบบการควบคุมที่มีต้นทุน-ประสิทธิผล ที่เหมาะสมมากที่สุด เพื่อบรรเทาผลกระทบจากความเสี่ยงที่เกิดขึ้น อันจะทำให้เราสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้

นอกจากนี้ยังควรตระหนักถึงความสัมพันธ์ระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงด้วย การควบคุมความเสี่ยงเกือบทั้งหมดจะใช้ในการบรรเทาความเสี่ยงที่เกิดขึ้นอันจะมีผลต่อการบรรลุวัตถุประสงค์ การออกแบบการควบคุมภายในเพียงอย่างเดียว ไม่สามารถนำไปใช้ในการบริหารความเสี่ยงทุกประเภทได้ การออกแบบการควบคุมความเสี่ยงโดยผู้ที่มีความรู้และประสบการณ์ใกล้ชิดกับงานที่ทำ น่าจะสามารถทำได้ดีกว่าการออกแบบการควบคุมที่เกิดขึ้นจากผู้บริหาร ผู้ตรวจสอบภายใน หรือผู้ที่ทำหน้าที่ในการประเมินตนเองเพื่อการควบคุมภายใน

กรอบการควบคุม ในการประเมินตนเองเพื่อควบคุมความเสี่ยง
กรอบการควบคุมความเสี่ยง (แบบจำลองการควบคุมความเสี่ยง) เป็นความหมายและโครงสร้างที่ใช้ในการอธิบายการควบคุมภายใน วิธีการนำเอาแบบจำลองการควบคุมความเสี่ยงไปปฏิบัที่ดีที่สุดคือ เริ่มจากการสัมภาษณ์มุมมองเชิงลึกถึงวิธีการที่องค์กรจะนำเอาแบบจำลองการควบคุมไปใช้ และข้อมูลสารสนเทศเกี่ยวกับวิธีที่ใช้ในการประเมินตนเอง

การนำกรอบการควบคุมความเสี่ยงไปใช้

กรอบความคิดต่าง ๆ จะถูกกำหนดขึ้นมาให้เหมาะกับวัตถุประสงค์เฉพาะของแต่ละคน ตัวอย่างเช่น กรอบความคิดหนึ่งอาจถูกออกแบบมาเพื่อใช้อธิบายความหมายและรายละเอียดของการควบคุมภายใน โดยมีพื้นฐานจากวัตถุประสงค์ขององค์กร ส่วนกรอบอื่น ๆ ที่มีอยู่อาจใช้ในการระบุความเสี่ยง และการให้บริการลูกค้า

ประโยชน์ของการใช้กรอบการควบคุมในการประเมินตนเองเพื่อควบคุมความเสี่ยง
1. แสดงให้เห็นถึงความครอบคลุมทั้งหมดของการควบคุมความเสี่ยง
2. ใช้เป็นเครื่องมือในการติดตามผลเพื่อรวบรวมเป็นชุดของหน่วยงานที่มีลักษณะคล้ายกัน
3. ใช้เป็นคำถามที่มีรูปแบบเพื่อเตรียมไว้สำหรับการจัดโครงสร้างและลักษณะทั่วไปของหน่วยงาน

เรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ยังไม่จบเพียงเท่านี้ ผมยังมีเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจมาเล่าสู่กันฟัง อาทิเช่น COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ส่วนจะมีรายละเอียดเป็นอย่างไรนั้น โปรดติดตามในครั้งต่อไปนะครับ

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: