การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 8 COSO (Committee of Sponsoring Organizations)

สวัสดีครับ ทุกท่านที่ติดตามเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ครั้งก่อนผมได้กล่าวทิ้งท้ายไว้ว่า ยังมีการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจและนำไปประยุกต์ใช้ในการประเมินตนเองได้อย่างมีประสิทธิภาพ อย่าง COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ซึ่งในครั้งนี้ผมจะขอเล่าสู่กันฟังเกี่ยวกับ COSO ก่อนนะครับ โดยจะกล่าวถึงในมุมมองของการควบคุมภายใน และการประเมินตนเองเพื่อควบคุมความเสี่ยงในภาพโดยรวม ส่วนในมุมมองของการบริหารความเสี่ยงและการควบคุมภายในที่นำ COSO ไปประยุกต์ใช้ ผมเคยได้กล่าวไว้ในหัวข้อ ของ แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework แล้ว

COSO_ERM and Internal Control

COSO (Committee of Sponsoring Organizations)
COSO ได้ออกแบบกรอบการควบคุมความเสี่ยงขึ้น เนื่องจากต้องการให้ความหมายการควบคุมภายในที่ชัดเจนตรงกันในองค์กรที่มีความหลากหลาย โดยเรียกแบบจำลองนั้นว่า แบบจำลอง COSO หรือเรียกสั้น ๆ ว่า COSO

ในการพัฒนาแบบจำลองของ COSO ต้องเริ่มจากการทำความเข้าใจความหมายของการวบคุมภายในเสียก่อน การควบคุมภายใน (Internal Control) จึงเป็นวิธีการหนึ่งที่จะช่วยให้องค์กรบรรลุผลสำเร็จ โดยการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นอันจะเป็นการขัดขวางการบรรลุผลสำเร็จขององค์กร และเป็นกระบวนการที่เกิดขึ้นโดยคณะกรรมการบริหาร ผู้บริหาร และทุกคนในองค์กรที่ออกแบบมาเพื่อเป็นการประกันการบรรลุวัตถุประสงค์ขององค์กรในด้านต่าง ๆ ดังนี้
1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน
2. ความน่าเชื่อถือของรายงานทางการเงิน
3. การปฏิบัติตามกฎหมาย กฎระเบียบ

5 องค์ประกอบของการควบคุมภายใน (Components of Internal Control) ของ COSO
การควบคุมภายในประกอบด้วยองค์ประกอบหลายด้านที่ต้องทำการพิจารณา โดยองค์ประกอบของการควบคุมภายในรูปแบบหนึ่ง อาจพิจารณาในเรื่องต่าง ๆ ดังนี้

1. สภาพแวดล้อมของการควบคุม (Control Environment) เมื่อสภาพแวดล้อมการทำงานเป็นสิ่งที่มีความสำคัญในการบริหารธุรกิจ จึงควรที่มีการจัดสภาพแวดล้อมการทำงานให้เหมาะสมกับการปฏิบัติงาน เพื่อให้พนักงานสามารถปฏิบัติงานได้อย่างมีประสิทธิภาพ อันจะช่วยให้การดำเนินธุรกิจเป็นไปอย่างราบรื่น สามารถบรรลุเป้าหมายทางธุรกิจได้ตามที่ต้องการ สภาพแวดล้อมที่สำคัญได้แก่
1.1 ความร่วมมือร่วมใจกันของพนักงาน
1.2 การให้คุณค่าต่อจรรยาบรรณ ความซื่อสัตย์ในการปฏิบัติงาน
1.3 ความสามารถในการทำงานของพนักงานทุกฝ่าย
1.4 ปรัชญาในการดำเนินงานของฝ่ายบริหาร
1.5 รูปแบบการปฏิบัติงาน วิธีการปฏิบัติงานที่ผู้บริหารมอบหมายอำนาจความรับผิดชอบและการจัดการ
1.6 การพัฒนาคนภายในองค์กร
1.7 การควบคุม เอาใจใส่ และการวางแผนจากคณะกรรมการ
1.8 การสื่อสารจากระดับสูง
1.9 การบริหารข้อมูลและข่าวสารร่วมกัน
1.10 ความเข้าใจในระบบการควบคุมภายใน
1.11 โครงสร้างขององค์กร
1.12 วัฒนธรรมขององค์กร
1.13 ความเป็นผู้นำของผู้บริหาร
1.14 อื่น ๆ

2. การประเมินความเสี่ยง (Risk Assessment) เป็นการตระหนักถึง และจัดการกับความเสี่ยงที่องค์กรต้องเผชิญ โดยต้องมีการกำหนดวัตถุประสงค์ที่บูรณาการขององค์กร เช่น การขาย การผลิต การตลาด การเงินกับกิจกรรมอื่น ๆ โดยเน้นให้องค์กรต้องวิเคราะห์/ ประเมินผลและบริหารความเสี่ยงที่เผชิญทั้งปัจจุบันและอนาคตในทุกมุมมอง ทุกระดับ
2.1 การตั้งวัตถุประสงค์ในการดำเนินงานขององค์กรที่เชื่อมโยงระดับต่าง ๆ ฝ่ายต่าง ๆ เข้าด้วยกัน และยึดมั่นแน่นเหนียวภายในองค์กร ซึ่งฝ่ายตรวจสอบภายในจะมีบทบาทในเรื่องนี้มาก
2.2 การประเมินความเสี่ยง คือการค้นหาและวิเคราะห์ความเสี่ยง เพื่อบริหารหรือจัดการให้วัตถุประสงค์ นโยบายขององค์กรที่ตั้งไว้สำเร็จผลอย่างมีประสิทธิภาพและประสิทธิผล
2.3 การเปลี่ยนแปลง คือสิ่งที่ไม่แน่นอน ไม่ว่าในระดับกว้าง ระดับแคบ ทั้งทางด้านเศรษฐกิจการเงิน ลักษณะธุรกิจ เทคนิคข้อบังคับ รวมทั้งเงื่อนไขในการดำเนินงาน จึงจำเป็นต้องมีวิธีการตรวจหาและจัดการกับความเสี่ยงโดยเฉพาะ

3. กิจกรรมการควบคุม (Control Activities) เป็นการพิจารณากำหนดนโยบายและกระบวนการควบคุมให้รอบคอบว่า สิ่งที่กำหนดขึ้นมานั้นสามารถช่วยให้องค์กรบรรลุผลสำเร็จได้อย่างมีประสิทธิผล
การควบคุมก็คือนโยบายและวิธีการต่าง ๆ ที่ทำให้มั่นใจว่าคำสั่งของฝ่ายบริหารได้นำไปปฏิบัติ
3.1 ช่วยให้มั่นใจว่ามีการดำเนินการต่าง ๆ ที่จำเป็นเพื่อบอกถึงความเสี่ยงต่อการทำให้เกิดความสำเร็จตามวัตถุประสงค์ของหน่วยงาน
3.2 ต้องสร้างขั้นตอนการควบคุมความเสี่ยงภายในองค์กรทุกระดับ และทุกแผนก
3.3 การควบคุม รวมทั้งการพิจารณาอนุมัติ การให้อำนาจกระทำการ การตรวจสอบความถูกต้อง การไกล่เกลี่ยความขัดแย้ง การทบทวนผลการดำเนินงาน การรักษาความปลอดภัยของทรัพย์สิน การแบ่งแยกหน้าที่ ฯลฯ เพื่อให้องค์กรบรรลุเป้าหมาย

COSO_CSA_Components of Internal Control

4. ข้อมูลสารสนเทศและการสื่อสาร (Information and Communication) เน้นการส่งข่าว และความเข้าใจร่วมในองค์กรสำหรับกิจกรรม และระเบียบต่าง ๆ ให้เข้าใจตรงกันตามความรับผิดชอบในแต่ละระดับชั้น ในเวลาที่เหมาะสม
การให้ข้อมูลต้องทำอย่างเหมาะสมด้วยสื่อทั้งภายในและภายนอก
4.1 ต้องสื่อสารเป็นวงกว้าง จากระดับบนสู่ล่าง จากซ้ายไปขวา จากขวาไปซ้าย แล้วย้อนล่างไปบน โดยต้องมีการสร้างระบบข้อมูลสารสนเทศและการสื่อสารที่เอื้อต่อการนำไปใช้ และมีการแลกเปลี่ยนกันตามความจำเป็นเพื่อใช้ในการปฏิบัติ การบริหาร และการควบคุมการดำเนินงาน
4.2 พนักงานทุกคนต้องเข้าใจบทบาทตนเองในระบบการควบคุมภายใน ตลอดจนความรู้ว่าการดำเนินงานของแต่ละคนสัมพันธ์กับการทำงานของผู้อื่น/หน่วยงานอื่นอย่างไร
4.3 รูปแบบการสื่อสารในองค์กรสามารถทำได้หลายทาง เช่น การประชุม การจัดทำรายงานประจำเดือน เป็นต้น การมีข้อมูลข่าวสารและระบบการสื่อสารที่ดีย่อมช่วยให้ผู้บริหารได้สอบทานสถานะของความเสี่ยงและแผนการดำเนินงาน สิ่งเหล่านี้จะช่วยให้เกิดการบอกกล่าวข้อมูลที่สำคัญ และทำให้เกิดการตัดสินใจที่มีประสิทธิผลได้อย่างทันเวลา

5. การติดตาม/การสอดส่องดูแล (Monitoring) เนื่องจากสภาพแวดล้อมทางภายในและภายนอกองค์กรมีการเปลี่ยนแปลงตลอดเวลา ระบบการควบคุมจึงต้องมีการติดตามและดัดแปลง รวมทั้งการตรวจสอบให้เหมาะสมเท่าที่จำเป็น สามารถเปลี่ยนแปลงให้เหมาะสมกับเงื่อนไขต่าง ๆ ได้เป็นอย่างดี โดยระบบการควบคุมภายในทุกระดับของฝ่ายในองค์กรจำเป็นต้องมีการสอดส่องดูแลอย่างใกล้ชิด และมีการประเมินคุณภาพการทำงานของระบบเป็นระยะ ทำได้โดยการสอดส่องและประเมินผลตลอดเวลาทุกขั้นตอนการดำเนินงาน

การนำ COSO ไปใช้ใน CSA
สูตรความเสี่ยงพื้นฐานที่ได้อธิบายมาก่อนหน้านี้ (วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง) ที่ถูกนำมาใช้ในกรอบของ COSO คือเรื่องของการประเมินความเสี่ยง และระดับกิจกรรมการควบคุมความเสี่ยง

องค์กรมักนำ COSO มาใช้ใน CSA โดยการออกแบบสอบถามหรือแบบสำรวจทั่วทั้งองค์กรประจำปี เพื่อประเมินสภาพแวดล้อมการควบคุมขององค์กร ซึ่งอาจทำได้โดยการสัมภาษณ์แบบมีโครงสร้างหรืออาจใช้วิธีการลงชื่อลับ

เครื่องมือการประเมินองค์ประกอบ ได้แก่ แบบสอบถาม, Workshop หรือการสัมภาษณ์ รวมทั้งการใช้ข้อมูลสารสนเทศ การสื่อสาร และการติดตามในการประเมินตนเองทั่วทั้งองค์กร

นอกจากนี้บางองค์กรยังนำ COSO มาใช้ใน CSA ในการทำ Workshops ในระดับทีมงาน เพื่อประเมินการควบคุมในระดับกิจกรรม ซึ่งจะเน้นไปที่กระบวนการทางธุรกิจหรือกิจกรรมที่มีโครงสร้างเหมือน Generic Activities เช่น การสั่งซื้อ บัญชีรายรับ บัญชีรายจ่าย ทรัพยากรมนุษย์ ฯลฯ ซึ่งจะทำงานร่วมกันเป็นทีม วัตถุประสงค์ระดับกิจกรรมที่ระบุไว้ใน COSO เรียกว่าวัตถุประสงค์ด้านการควบคุม ซึ่งจะใช้ในการเริ่มกำหนดคำถามด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงเพื่อใช้ในการปฏิบัติงาน

สำหรับ CoCo (Criteria of Control) หากท่านผู้อ่านอยากทราบเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ด้วย CoCo อย่าพลาดติดตามในครั้งหน้านะครับ

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: