Risk Management Forum

ศูนย์ข้อมูลความรู้เกี่ยวกับ การบริหารจัดการความเสี่ยง

การธำรงรักษาระบบและแนวทางการควบคุมภายในที่ดี – เรื่องที่ 395

อาจารย์ จิรพร  สุเมธีประสิทธิ์

sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

การมีระบบการควบคุมภายในที่ดียังไม่ใช่คำตอบสุดท้ายของการกำกับดูแลกิจการที่ดี เพราะความสำคัญยังคงอยู่ที่การธำรงรักษาระบบการควบคุมภายในที่ดีเอาไว้ให้ใช้ปฏิบัติจริง และต่อเนื่องตลอดเวลามากกว่า

ในมุมของกิจการแล้ว เรื่องของการธำรงรักษาระบบการควบคุมภายในเป็นความรับผิดชอบของคณะกรรมการบริษัทที่อยู่ในระดับสูงสุดของการกำกับดูแลกิจการที่ดี ซึ่งก่อนหน้านี้ได้ทำการวางนโยบายให้ฝ่ายบริหารทำการจัดทำระบบการควบคุมภายในที่ดี  และหาทางทำให้เกิดความมั่นใจว่าระบบการควบคุมภายในยังคงอยู่ในเกณฑ์ของการใช้งานที่น่าพอใจ ซึ่งมักจะเป็นการใช้ระบบการตรวจสอบภายในเป็นช่องทางในการดำเนินการจัดทำรายงานผลด้านประสิทธิภาพและประสิทธิผลของระบบการควบคุมภายในของกิจการในรอบปี

โดยทั่วไปแต่ละกิจการจะกำหนดนโยบายด้านการควบคุมภายในแตกต่างกันออกไป โดยพิจารณาจากประเด็นหลายประเด็น ได้แก่

ประการที่  1

ลักษณะ ประเภท และรูปแบบของความเสี่ยงที่กิจการเผชิญหน้าอยู่ ซึ่งแต่ละกิจการย่อมไม่เหมือนกัน

ประการที่ 2

ลักษณะ เงื่อนไขของความเสี่ยงที่กิจการแต่ละกิจการเห็นว่าอยู่ในข่ายที่ยอมรับได้ และที่ยอมรับไม่ได้

ประการที่ 3

ความเป็นไปได้ที่จะเกิดความเสี่ยงและเริ่มมีผลกระทบต่อการดำเนินงานของกิจการ

ประการที่ 4

ความสามารถในการบริหารจัดการที่แต่ละกิจการมีอยู่ ในการบรรเทาผลกระทบและ/หรือโอกาสที่จะเกิดเหตุการณ์ความเสี่ยงนั้น ๆ ขึ้นในกิจการ

ประการที่ 5

ต้นทุนหรือภาระค่าใช้จ่ายที่เกิดกับกิจการในการวางระบบการควบคุมภายใน เทียบกับประโยชน์ที่จะเกิดกับกิจการ หรือความสามารถในการรักษามูลค่าของกิจการที่แตกต่างกันในแต่ละกิจการ

แนวทางการธำรงรักษาระบบการควบคุมภายในที่ดี

ประการที่ 1

ในทางปฏิบัติ แต่ละกิจการจะต้องวางนโยบายระดับองค์กรอย่างกว้าง ๆ เพื่อเป็นกรอบในการจัดทำระบบการควบคุมภายในและการบริหารความเสี่ยง  และกำหนดว่าเป็นหน้าที่ความรับผิดชอบของใครบ้างที่จะต้องเกี่ยวข้องกับระบบการควบคุมภายในและการบริหารความเสี่ยงดังกล่าว

ประการที่ 2

สาระสำคัญของนโยบายการควบคุมภายในจะระบุว่า บุคลากรทุกคนในกิจการจะต้องมีหน้าที่ความรับผิดชอบอย่างใดอย่างหนึ่งที่เกี่ยวข้องกับการควบคุมภายใน เป็นส่วนหนึ่งของความรับผิดรับชอบที่จะต้องดำเนินการให้บรรลุผลตามวัตถุประสงค์ของการควบคุมภายใน

ประการที่ 3

ในการที่จะดำเนินการดังกล่าวได้ บุคลากรทุกคนในองค์กรจะต้องมีองค์ความรู้ในด้านการควบคุมภายใน มีทักษะ มีสารสนเทศและข้อมูลที่จะชี้นำ และมีการกำหนดอำนาจในการออกแบบ สร้าง และทำกิจกรรมการควบคุมภายใน และกำกับตนเองให้การปฏิบัติงานต้องอยู่ภายในกรอบใหญ่ของระบบการควบคุมภายใน

ประการที่ 4

บุคลากรทุกคนในกิจการจึงต้องรับรู้และมีความเข้าใจเกี่ยวกับโครงสร้าง อัตลักษณ์ของกิจการเอง เป้าหมายของการดำเนินงานของกิจการ เพื่อที่จะได้สามารถปฏิบัติตามการควบคุมภายในได้อย่างเหมาะสมและด้วยการเข้าใจในเหตุและผล

ประการที่ 5

กิจการจะต้องทบทวนอยู่เสมอว่ากิจการมีองค์ประกอบของระบบการควบคุมภายในที่ดีอยู่ตลอดเวลาหรือไม่

ประการที่ 6

การที่จะพัฒนาการควบคุมภายในให้ดีขึ้นได้ กิจการจะต้องมีการบันทึก ทำทะเบียนรายการของการควบคุมภายในที่มีอยู่ในกิจการ ทั้งการควบคุมภายในที่เชื่อมโยงและแทรกไว้ในกระบวนการปฏิบัติงาน กระแสการไหลของงาน และกรอบเวลาที่เกี่ยวข้อง หรือมาตรฐานเชิงคุณภาพที่จำเป็น ซึ่งอาจจะมาจาก

ก)  รายงานผลการประเมินตนเอง

ข)  รายงานผลการตรวจสอบภายในด้านระบบการควบคุมภายในหรือหน่วยงานประเมินผล

ค)  รายงานผลการตรวจสอบของผู้ตรวจสอบภายนอก

ง)   รายงานผลการประเมินของผู้ประเมินภายนอกเป็นครั้งคราว

ประการที่ 7

การควบคุมภายในที่สำคัญประการหนึ่งที่ใกล้เคียงกับในแต่ละกิจการ คือ การควบคุมให้มีการปฏิบัติงานอยู่ภายในเงื่อนไขของกฎเกณฑ์ในลักษณะต่าง ๆ ทั้งกฎเกณฑ์ภายในกิจการและกฎเกณฑ์ที่กำหนดมาจากภายนอกกิจการ

ประการที่ 8

ระบบการควบคุมภายในควรจะสะท้อนสภาพแวดล้อมการควบคุมที่กิจการคาดหวังจะให้เป็น และเหมาะสมกับโครงสร้างองค์กร โดยระบบการควบคุมภายในควรครอบคลุมถึง

1)  กิจกรรมการควบคุม

2)  กระบวนการสื่อสารเพื่อชี้แจงและสารสนเทศที่แบ่งปันกัน

3)  กระบวนการในการกำกับติดตามประสิทธิผลของระบบการควบคุมภายในอย่างต่อเนื่อง

ประการที่ 9

ระบบการควบคุมภายในควรจะสร้างขึ้นเพื่อให้หล่อหลอมเป็นส่วนหนึ่งของวัฒนธรรมขององค์กรในระยะยาวว่าบุคลากรทุกคนต้องร่วมกันพัฒนาการควบคุมภายในเพื่อกำกับการปฏิบัติงานภายในองค์กร

ประการที่ 10

ระบบการควบคุมภายในควรจะมีศักยภาพในการตอบสนองต่อความเสี่ยงที่เพิ่มเติมเข้ามาในธุรกิจ ซึ่งอาจจะเป็นความเปลี่ยนแปลงภายในธุรกิจและสภาพแวดล้อมภายนอกธุรกิจ

ประการที่ 11

ระบบการควบคุมภายในจะต้องวางแนวทางปฏิบัติให้มีรายงานผลโดยทันทีได้ เพื่อส่งข้อมูลสู่ระดับผู้บริหารที่เหมาะสม ในกรณีที่เกิดความล้มเหลวหรือจุดอ่อนของการควบคุมภายใน  เพื่อทำให้เกิดการแก้ไขอย่างเหมาะสม

ประการที่ 12

ผลลัพธ์ของระบบการควบคุมภายใน คือ การลดโอกาสที่จะเกิด

1)  การตัดสินใจด้วยดุลยพินิจมากกว่าด้วยเหตุผลและผลที่เหมาะสม

2)  ความผิดพลาด บกพร่องของคน

3)  การละเลย ละเว้นการปฏิบัติตามระบบการควบคุมภายในที่กำหนดไว้

4)  การใช้อำนาจของผู้บริหารในการปรับเปลี่ยนเฉพาะครั้งคราวในลักษณะของการแทรกแซงหรือทำทับอำนาจที่ต่ำกว่า (Override)

ในส่วนของการทบทวนประสิทธิผลของระบบการควบคุมภายใน เพื่อทำการประเมินผลเกี่ยวกับผลการใช้งานระบบการควบคุมภายในที่มีอยู่ในขณะนั้น ๆ มีประเด็นที่ควรพิจารณาหลายประการ เช่น

ประการที่ 1

การทบทวนประสิทธิผลของระบบการควบคุมภายในเป็นส่วนหนึ่งของความรับผิดชอบของคณะกรรมการบริษัท

คณะกรรมการบริษัทจึงควรกำหนดรูปแบบที่จะทบทวนประสิทธิผลการควบคุมภายในให้ชัดเจน รวมทั้งรูปแบบและประเภทของเอกสารหลักฐานและสารสนเทศที่จะนำมาใช้ในการพิจารณา

ประการที่ 2

บทบาทของคณะกรรมการบริษัทในกระบวนการทบทวน รวมถึงการมอบหมายงานแก่คณะกรรมการตรวจสอบ และพิจารณารายงานของคณะกรรมการตรวจสอบ

นอกจากนั้น ยังต้องพิจารณาขนาดของกิจการ การกระจายบทบาทในระหว่างสายงาน ความซับซ้อนของการดำเนินงานของแต่ละสายงาน  ลักษณะของ (เหตุการณ์ และปัจจัย) ความเสี่ยงที่กิจการเผชิญหน้าอยู่

ประการที่ 3

กระบวนการในการทบทวนประสิทธิผลของระบบการควบคุมภายใน อาจจะพิจารณาผ่าน

1)   ระบบการกำกับและติดตามการปฏิบัติตามระบบการควบคุมภายใน

2)   ระบบรายงานผลการประกอบการของกิจการ ที่มีความถี่และรายละเอียดของรายงานอย่างเพียงพอ

ประการที่ 4

สิ่งที่คณะกรรมการบริษัทควรจะพิจารณาในระหว่างกิจกรรมการทบทวน ได้แก่

1)   การระบุ (เหตุการณ์และปัจจัย) ความเสี่ยงสำคัญ และวิธีการในการจัดการกับความเสี่ยงเหล่านั้น

2)   ประสิทธิผลของการบริหารเหตุการณ์และปัจจัยความเสี่ยงสำคัญและที่มีนัยสำคัญนั้น

3)   กิจกรรมที่จำเป็นต่อการดำเนินงานได้มีการดำเนินการเพื่อลดความล้มเหลวหรือจุดอ่อนของการควบคุมภายในหรือไม่

4)   มีความจำเป็นต้องวางแผนออกแบบการควบคุมภายในเพิ่มเติมหรือไม่

สนใจเชิญบรรยายหัวข้อนี้ติดต่อsumetheeprasit@hotmail.com

พฤศจิกายน 23, 2012 Posted by | ควบคุมภายใน | | ใส่ความเห็น

ขั้นตอนการบริหารความเสี่ยงด้านการควบคุมภายใน – เรื่องที่ 387

อาจารย์ จิรพร  สุเมธีประสิทธิ์

Sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

กลยุทธ์การบริหารงานด้านการควบคุมภายในที่มีประสิทธิภาพจะเกิดขึ้นได้ ก็ต่อเมื่อกิจการนั้น ๆ มีกระบวนการและขั้นตอนบริหารความเสี่ยงของการควบคุมภายในเข้าไปช่วยในการวิเคราะห์ระบบการควบคุมภายในอย่างถูกต้อง ครบถ้วน เพียงพอ และเหมาะสม นับตั้งแต่

  1. การค้นหาและระบุความเสี่ยงที่ต้องการปรับลดและควบคุมด้วยระบบการควบคุมภายใน
  2. การวิเคราะห์รายละเอียดของความเสี่ยงด้านการควบคุมภายในนั้น ๆ เพื่อจัดหาแนวทางการออกแบบกิจกรรมใหม่ด้านการควบคุมภายในที่เหมาะสมเพิ่มเติม
  3. การเลือกแนวทางการควบคุมภายในจากแนวทางที่เป็นไปได้ทั้งหลาย
  4. การติดตาม ประเมินผลเป็นระยะ ๆ อย่างสม่ำเสมอว่าระบบการควบคุมภายในนั้น ๆ ยังคงเหมาะสมและทำหน้าที่ในการกำกับการดำเนินงานภายในกิจการได้อย่างมีประสิทธิผลหรือต้องการการปรับปรุง เพิ่มเติม แก้ไขการควบคุมภายในเสียมใหม่

จากแนวทางดังกล่าวข้างต้น การบริหารระบบการควบคุมภายในบนฐานความเสี่ยง (Risk-based Internal Control) จึงใกล้เคียงกับกระบวนการบริหารความเสี่ยงทั่วไป โดยประกอบด้วยขั้นตอนหลัก ดังนี้

ขั้นตอนที่ 1      การกำหนดความชัดเจนเชิงนโยบายระดับองค์กร

ขั้นตอนที่ 2      การค้นหาและระบุความเสี่ยงด้านการควบคุมภายใน

ขั้นตอนที่ 3      การออกแบบและประกาศใช้การควบคุมภายใน

ขั้นตอนที่ 4      การประเมินการใช้งานระบบการควบคุมภายใน

รายละเอียดของการดำเนินงานในแต่ละขั้นตอน เป็นดังนี้

ขั้นตอนที่ 1

การกำหนดความชัดเจนเชิงนโยบายระดับองค์กร

เป็นเรื่องของการพัฒนาสภาพแวดล้อมของการควบคุมภายใน เพื่อให้เป็นส่วนหนึ่งของการบริหารจัดการหรือสไตล์การกำกับดูแลกิจการที่ดีของแต่ละกิจการที่มีความแตกต่างกัน

ขั้นตอนนี้เป็นหน้าที่ความรับผิดชอบที่สำคัญของผู้บริหารระดับสูงของแต่ละกิจการ โดยครอบคลุมตั้งแต่คณะกรรมการบริษัท ผู้บริหารระดับสูง และผู้บริหารระดับสายงานธุรกิจ

ตัวอย่างสิ่งที่เป็นรูปธรรมในเชิงนโยบาย ได้แก่

1.การประกาศนโยบายการควบคุมภายในระดับองค์กร

2.การแสดงปรัชญาทางธุรกิจที่ให้ความสำคัญกับการควบคุมภายใน

3.การประกาศใช้จรรยาบรรณทางธุรกิจที่เน้นการปฏิบัติตามระบบการควบคุมภายใน

เป็นต้น

สิ่งที่เป็นรูปธรรมในเชิงนโยบายเหล่านี้ จะต้องมีการสื่อสารและชี้แจงกลยุทธ์ของการควบคุมภายในให้แก่บุคลากรรับรู้ และสร้างการยอมรับร่วมกัน ให้ทุกคนดำเนินการที่สอดคล้องกับความคาดหวังขององค์กร

หลังจากการสื่อสารและการชี้แจงเพื่อสร้างความเข้าใจ ปละปรับทัศนคติของบุคลากรภายในองค์กรแล้ว  ผู้บริหารยังต้องทำการจัดสรรและอนุมัติทรัพยากร งบประมาณ บุคลากรที่เหมาะสม เพียงพอ ในการสนับสนุนให้เกิดสภาพแวดล้อมการควบคุมตามที่ต้องการ โดยส่วนหนึ่งของการจัดสีนี้ จะต้องรวมถึงการจัดหลักสูตรการอบรมแก่บุคลากรอย่างเพียงพอ และอย่างทั่วถึงทุกคน เพื่อให้มั่นใจว่าจะสามารถปฏิบัติงานตามแนวทางของการควบคุมภายในที่กำหนดได้จริง

ขั้นตอนที่ 2

การค้นหาและระบุความเสี่ยงด้านการควบคุมภายใน

การให้ความสำคัญกับความเสี่ยงเพราะความเสี่ยงมีที่มาจากความไม่แน่นอน หรือมาจากความเปลี่ยนแปลงจนอาจจะส่งผลต่อการบรรลุเป้าหมายขององค์กรจนเกินกว่าระดับที่ยอมรับได้ และทำลายคุณค่าของกิจการ (Corporate Value)

ดังนั้น การค้นหาและระบุความเสี่ยงด้านการควบคุมภายใน จะเกิดขึ้นได้ก็ต่อเมื่อกิจการได้กำหนดวัตถุประสงค์ เป้าหมายของการดำเนินธุรกิจ และสิ่งที่ถือว่าเป็นมูลค่าหรือคุณค่าของกิจการ (Corporate Value) อย่างชัดเจนว่าแบบใดที่ยอมรับได้ (Risk Appetite) เพื่อใช้เป็นตัวเทียบเคียงในระหว่างการค้นและและระบุความเสี่ยง

ตัวอย่างของสิ่งที่เป็นมูลค่าหรือคุณค่าของกิจการ ได้แก่

  1. ส่วนแบ่งทางการตลาด
  2. แบรนด์หรือชื่อเสียงของกิจการ
  3. การประกันด้านคุณภาพ
  4. ระดับความพึงพอใจของกลุ่มลูกค้าเป้าหมาย
  5. กระบวนการนำส่งผลผลิตของกิจการเป็นไปตามเกณฑ์
  6. ผลประกอบการเป็นไปตามความคาดหวังของกลุ่มผู้มีส่วนได้ส่วนเสียหลัก ๆ

ขั้นตอนที่ 3

การออกแบบและประกาศใช้การควบคุมภายใน

หลังจากมีความชัดเจนเรื่องของเหตุการณ์ความเสี่ยงหรือปัจจัยความเสี่ยงสำคัญ ๆ ด้านการควบคุมภายในที่มีโอกาสเกิดภายในกิจการ ระหว่างการดำเนินกระบวนการและการปฏิบัติงาน และถือว่าเป็นความเสี่ยงที่ต้องมีการจัดการด้วยกิจกรรมด้านการควบคุมภายในแล้ว

ในขั้นตอนนี้ เป็นการออกแบบและนำเอากิจกรรมด้านการควบคุมภายในมาใช้ โดยการดำเนินงานเป็นกระบวนการที่เป็นทางการ  มีทั้งเอกสารและการชี้แจงทำความเข้าใจ

นอกจากนั้น ก่อนการประกาศใช้กิจกรรมใหม่ด้านการควบคุมภายใน ควรจะมีการประเมินความคุ้มค่าด้วยการเปรียบเทียบภาวะและต้นทุนของการสร้างการควบคุมภายในใหม่ ๆ กับผลตอบแทนและประโยชน์ที่อาจจะเกิดกับกิจการในการลดระดับความเสี่ยงด้านการควบคุมภายใน

กรณีที่ผลประโยชน์ไม่ใช่ตัวเงิน กิจการจะต้องเพิ่มกิจกรรมหลักอีกประการหนึ่ง คือ การวางเกณฑ์ในการตีค่าผลประโยชน์ในลักษณะต่าง ๆ ให้ชัดเจนและเป็นที่ยอมรับของทุกฝ่ายที่เกี่ยวข้องก่อน

ในกรณีที่กิจกรรมใหม่ด้านการควบคุมภายในเป็นประโยชน์ต่อกิจการอย่างชัดเจนในเชิงประจักษ์ ไม่จำเป็นต้องมีการพิสูจน์ หรือเป็นมาตรฐานการควบคุมภายในที่กำหนดมาจากภายนอกกิจการ ที่กิจการต้องทำให้สอดคล้องกับมาตรฐานนั้น ๆ  กิจการอาจจะต้องเปลี่ยนเทคนิคในการวิเคราะห์ความคุ้มค่าของการออกแบบการควบคุมภายในใหม่ ๆ เป็น Cost Effectiveness หรือการประหยัดทรัพยากรในการใช้การควบคุมภายใน ให้มากที่สุด เพราะการวางระบบการควบคุมภายในเป็นรายนาทีอาจจะลดความเสี่ยงได้ดีที่สุดแต่มีต้นทุนด้านเวลาทำงานของบุคลากรมากเกินไป

ขั้นตอนที่ 4

การประเมินการใช้งานระบบการควบคุมภายใน

หลังจากการนำกิจกรรมใหม่ ๆ ด้านการควบคุมภายในออกใช้กำกับการปฏิบัติงานและดำเนินงานอย่างเป็นทางการแล้ว  กิจกรรมสุดท้ายของกระบวนการบริหารความเสี่ยงในด้านการควบคุมภายใน คือ การติดตามและทำการประเมินผลของการใช้กิจกรรมใหม่ ๆ ด้านการควบคุมภายใน และการควบคุมภายในที่ใช้อยู่แล้วว่ามีประสิทธิผลอย่างต่อเนื่อง และได้ผลลัพธ์ที่สม่ำเสมอตามความคาดหมายหรือไม่

วิธีการที่ดีในการประเมินผลการใช้ระบบการควบคุมภายใน คือ

  1. การตรวจสอบเป็นจุด ๆ แบบสุ่มตรวจบางส่วน
  2. การสรุปผลการการประกอบการและการปฏิบัติงานในภาคปฏิบัติจริง ซึ่งเป็นหลักฐานของระบบการควบคุมภายใน

หลักการสำคัญของการประเมินผลการควบคุมภายใน คือ ต้นทุนหรือค่าใช้จ่ายของกระบวนการในการประเมินผลต้องไม่สูงเกินไป จนทำให้เกิดภาวะสูงกว่าความเสียหายที่เกิดจากความเสี่ยงที่เกี่ยวข้องกับกิจกรรมการควบคุมภายในนั้น ๆ

กิจการมีความจำเป็นและความรับผิดชอบในการจัดวางและธำรงรักษาระบบการควบคุมภายใน ที่มีประสิทธิภาพและประสิทธิผล ซึ่งถือว่าเป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดี ซึ่งระบบการควบคุมภายในปัจจุบันจะต้องดำเนินการโดยใช้ฐานความเสี่ยง (Risk Based) อย่างเพียงพอด้วย

 

สนใจเชิญบรรยายหัวข้อนี้ติดต่อsumetheeprasit@hotmail.com

ตุลาคม 31, 2012 Posted by | ควบคุมภายใน | , , , | ใส่ความเห็น

การบริหารความเสี่ยงด้านการควบคุมภายใน – เรื่องที่ 386

อาจารย์ จิรพร  สุเมธีประสิทธิ์

Sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

การควบคุมภายในเป็นส่วนหนึ่งของนโยบายการกำกับดูแลกิจการ  เพื่อให้การดำเนินธุรกิจเป็นไปด้วยความราบรื่น และสอดคล้องกับการรักษามูลค่าของกิจการ  ตลอดจนทำให้กิจการมีสถานะของการดำเนินงานใกล้เคียงกับความคาดหวังของหน่วยงานที่ทำหน้าที่ในการกำกับการดำเนินงานของกิจการ ซึ่งรวมถึงการเพิ่มเติมเงื่อนไขของการควบคุมภายในของกิจการต่าง ๆ มากขึ้นจากเดิมเพื่อความมั่นใจของหน่วยงานที่กำกับ จนทำให้กิจการต้องออกแบบการควบคุมภายในให้ดี มิฉะนั้นจะเกิดความเสี่ยงจากการใช้ระบบการควบคุมภายในเพิ่มขึ้นจนเกินกว่าที่กิจการยอมรับได้

ลักษณะของความเสี่ยงที่อาจจะเกิดขึ้นกับกระบวนการการควบคุมภายในที่สำคัญ ได้แก่

  ประการที่ 1การออกแบบและจัดวางระบบการควบคุมภายในตั้งแต่แรกไม่เหมาะสมความเสี่ยงที่มักจะเกิดขึ้นในช่วงการดำเนินการริเริ่มใช้
การควบคุมภายใน ได้แก่

  1. ผู้ที่รับผิดชอบในการจัดวางการควบคุมภายในเป็นใคร เชื่อถือได้หรือไม่
  2. ผู้ที่รับผิดชอบในการทบทวนการทำงานของระบบการควบคุมภายในในงานประจำวันมีหรือไม่ และเชื่อถือได้หรือ
    ไม่ว่าจะมีความเหมาะสม

โดยทั่วไป กิจการมักมอบหมายให้ผู้ตรวจสอบภายในหรือฝ่ายบัญชีและการเงิน เป็นหน่วยงานหลักที่ทำหน้าที่กำหนด
กระบวนการควบคุมภายใน

ซึ่งวิธีการนี้เป็นไปโดยไม่ครอบคลุม แม้ว่าอาจจะมองด้วยเหตุด้วยผล แต่อาจจะไม่ได้ดุลยภาพระหว่างการรุกงานใน
เชิงธุรกิจกับการกำกับการปฏิบัติงานให้เหมาะสมกัน

สิ่งที่เกิดขึ้นในตกระบวนการเช่นนี้ ทำให้มีความเสี่ยงได้ 2 ทางคือ

ทางแรก คือ มีการออกแบบและใช้บังคับการควบคุมภายในที่มากเกินไป เข้มงวดเกินไป

ทางที่สอง คือ มีการออกแบบและการใช้บังคับการควบคุมภายในที่น้อยเกินไป หย่อนยานเกินไป เพราะ
มองไม่เห็นประเด็นของปัญหา

แนวทางในการแก้ไขความเสี่ยงในลักษณะนี้คือ การหาที่ปรึกษาหรือผู้เชี่ยวชาญภายนอกมาช่วยวางเกณฑ์
หรือเงื่อนไขในการสอบทานระบบการควบคุมภายในที่ใช้อยู่หรือที่ออกแบบใหม่ รวมทั้งทำการสอบทาน
และทบทวนในขั้นตอนของการออกแบบหรือการปรับปรุงระบบการควบคุมภายใน ก่อนที่จะตัดสินใจ
ประกาศใช้อย่างเป็นทางการ เพื่อไม่ให้ตึงเกินไปหรือหย่อนยานเกินไป

  ประการที่ 2  การทบทวนจากระดับบริหารที่ไม่เพียงพอบทบาทของการทบทวนระบบการควบคุมภายในไม่ใช่บทบาท
ของฝ่ายงานกำกับหรือควบคุม หรือฝ่ายงานตรวจสอบภายในเท่านั้นหากแต่เป็นบทบาทของผู้บริหารระดับ
สูง หลังจากเริ่มนำเอาระบบการควบคุมภายในออกใช้บังคับแล้ว ผู้บริหารกิจการควรจะรับผิดชอบในการ
ทบทวน พิจารณา และประเมินข้อมูลสารสนเทศและรายงานที่เป็นผลการการปฏิบัติงานตามระบบการควบ
คุมภายในที่กำหนดไว้ เพื่อให้มั่นใจว่ายังมีการปฏิบัติงานตามระบบการควบคุมภายในอย่างต่อเนื่องและ
ครบถ้วน โดยไม่เป็นอุปสรรคต่อการดำเนินธุรกิจของกิจการข้อมูลที่ได้จากการประเมินผลระบบการ
ควบคุมภายในควรจะนำไปใช้ประกอบในการตัดสินใจปรับปรุงนโยบายและกรอบแนวทางของระบบการ
ควบคุมภายในในระยะต่อไป

 

ประการที่ 3ระบบการควบคุมภายในไม่ยืดหยุ่น ไม่คล่องตัวเป็นความเสี่ยงที่เกิดจากการวางระบบการควบคุมภายใน
ที่เข้มงวดเกินไป จนอาจจะกลายเป็นข้อจำกัดหรืออุปสรรคที่ขัดขวางการปรับปรุงกระบวนการดำเนิน
งานที่ดีขึ้น  หรือการขยายฐานการดำเนินธุรกิจเพิ่มขึ้นจากเดิม อันเป็นการสร้างมูลค่าเพิ่มแก่กิจการ
การที่ระบบการควบคุมภายในขาดความยืดหยุ่นและไม่คล่องตัวนี้ มักจะมาจาก

  1. ผู้รับผิดชอบในการออกแบบและธำรงรักษาระบบการควบคุมภายในไม่เข้าใจความจำเป็น
    ทางธุรกิจ ไม่มีแนวคิดแบบธุรกิจ คิดแต่จะควบคุม กำกับอย่างเดียว
  2. ผู้รับผิดชอบไม่เปิดรับข้อมูลป้อนกลับจากผู้ที่ปฏิบัติงานอยู่
  3. ผู้รับผิดชอบไม่มีความรู้ ไม่มีหน้าที่ความรับผิดชอบในการค้นหาและเข้าถึงข้อมูลความเสี่ยง
    เกิดใหม่ ที่อาจจะนำมาใช้เป็นตัวขับเคลื่อนความเสี่ยงในทางบวก ในการพิจารณาปรับปรุง
    แก้ไข เปลี่ยนแปลงระบบการควบคุมภายในที่ใช้อยู่ในปัจจุบัน ให้เหมาะสมกับสภาพแวด
    ล้อมทางบวกที่เปลี่ยนแปลงไป
  4. ผู้กำกับระบบการควบคุมภายในพิจารณาเฉพาะโมเดลธุรกิจและสถานการณ์ในปัจจุบัน ไม่มี
    กลไกหรือกระบวนการในการวางแผนเพื่อเตรียมการควบคุมภายในให้พร้อมสำหรับรองรับก
    ารเติบโตหรือการเปลี่ยนแปลงของสภาพแวดล้อมทางบวกที่เพิ่มขึ้นในอนาคต

แนวทางในการแก้ไขความเสี่ยงในลักษณะนี้ คือ การเพิ่มโครงการหรือกิจกรรมการพิจารณา วิเคราะห์
แนวทางการปรับเปลี่ยนระบบการควบคุมภายใน เพื่อรองรับธุรกรรมและสายธุรกิจใหม่ ๆ ภายในกิจการ

ในการดำเนินการดังกล่าว ประเด็นที่ควรได้รับความสนใจเป็นพิเศษ ได้แก่

  1. อุปสรรคของการควบคุมภายในที่ทำให้ต้นทุนการดำเนินงานเพิ่มขึ้น
  2. อุปสรรคของการควบคุมภายในที่ทำให้เสียเวลามากขึ้น สิ้นเปลืองเวลาเทียบกับกิจกรรม
    ที่มีคุณค่ามากกว่า
  3. การลดความเสี่ยงที่กระทบต่อความได้เปรียบด้านการแข่งขันทางธุรกิจ
  4. การทำให้ผู้ปฏิบัติงานขาดทางเลือกที่ดีกว่า หรือเหมาะสมกับบางสถานการณ์มากกว่า จน
    ทำให้ไม่เกิดประสิทธิภาพสูงสุดในการปฏิบัติงาน

สนใจเชิญบรรยายหัวข้อนี้ติดต่อsumetheeprasit@hotmail.com

ตุลาคม 29, 2012 Posted by | ควบคุมภายใน | , , , | ใส่ความเห็น

Risk – Based Internal Control Perspective การควบคุมภายในบนฐานความเสี่ยง-เรื่องที่ 380

อาจารย์ จิรพร  สุเมธีประสิทธิ์

sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

แม้ว่ากิจการจะมีความแตกต่างกันในด้านรูปแบบ สไตล์ของการดำเนินธุรกิจ  การบริหารจัดการธุรกิจและการกำกับดูแลกิจการย่อมจะไม่เหมือนกัน  การวางระบบการควบคุมภายในของแต่ละกิจการจึงขึ้นอยู่กับว่าสถานะความเสี่ยงที่กิจการนั้น ๆ เผชิญหน้าอยู่เป็นอย่างไร

การควบคุมภายในตามฐานความเสี่ยงที่กิจการรับรู้ (Risk-based Internal Control Perspective) จึงเป็นเรื่องของการสร้างความแตกต่างของระบบการกำกับการดำเนินงานที่จะควบคุมให้กิจการประสบกับความสำเร็จตามเป้าหมายที่กำหนดไว้  มีเสถียรภาพของผลการดำเนินงาน ไม่ผันผวนขึ้นลงแบบไร้ทิศทาง ปรับปรุงความรับผิดชอบของบุคลากรทุก ๆ คนให้ดีขึ้น และใช้สามัญสำนึกเยี่ยงผู้ประกอบวิชาชีพพึงปฏิบัติในการดำเนินงานมากขึ้น

ฐานความเสี่ยงเข้าไปเกี่ยวข้องกับการควบคุมภายในเพราะการปฏิบัติงานในแต่ละกิจการมีความไหวตัวต่อความผิดพลาด บกพร่อง ฝ่าฝืน และการทุจริตแตกต่างกัน งานบางงานไม่จำเป็นต้องมีการควบคุมและกำกับแบบเข้มงวดมาก แต่งานบางงานต้องใช้การกำกับและควบคุมแบบเข้มงวดกวดขัน ห้ามฝ่าฝืน ห้ามละเลย เพื่อให้มั่นใจว่าการปฏิบัติงานจะไปตามผลที่คาดหวังไว้ 

ฐานความเสี่ยงที่เกี่ยวข้องกับระบบการควบคุมภายใน ได้แก่

ฐานความเสี่ยงที่ 1 ความเสี่ยงทางธุรกิจ (Business Risk) คือ ความเสี่ยงที่ผลการดำเนินงานจะออกมาในทางลบอันเนื่องมาจากการวางนโยบาย การกำหนดกลยุทธ์ทางธุรกิจและวิธีการดำเนินธุรกิจ ที่มีปัจจัยความเสี่ยงหรือเงื่อนไขจากภายในหรือภายนอกกิจการตัวอย่างของความเสี่ยงทางธุรกิจ ได้แก่ ความเสียหายของสินค้าคงเหลือ หรือคลังสินค้า เนื่องจากอัคคีภัย หรือการโจรกรรม  ความล้มเหลวของการออกผลิตภัณฑ์ใหม่เพื่อขยายตลาดจุดประสงค์ของการวางระบบการควบคุมภายในในส่วนของความเสี่ยงทางธุรกิจ คือ การจัดวางกระบวนการในการกำกับและติดตามการปฏิบัติงานให้เป็นไปอย่างถูกต้อง และแก้ไขประเด็นหรือการกระทำที่ไม่ถูกต้อง 

ตัวอย่างของการควบคุมภายใน ได้แก่

–  การเพิ่มมาตรการการควบคุมคลังสินค้า

–  การทำการสำรวจและวิจัยตลาดก่อนออกสินค้าใหม่

ฐานความเสี่ยงที่ 2 ความเสี่ยงด้านรายงานทางการเงิน (Financial reporting risk) อาจจะมองว่าเป็นส่วนย่อยของความเสี่ยงทางธุรกิจ ที่เกิดจากการที่กิจการจัดทำรายงานทางการเงินที่ไม่ถูกต้อง ไม่เหมาะสม ไม่ครบถ้วน เช่น-  การประเมินการด้อยค่าของสินทรัพย์ไม่เป็นปัจจุบัน-  การตั้งสำรองเผื่อการด้อยค่าไม่ครบถ้วน

–  การใช้ข้อมูลที่ไม่ครบถ้วนหรือไม่ถูกต้องในการบันทึกรายการทางการเงิน

ตัวอย่างของการควบคุมภายในที่นิยมใช้ได้แก่

–  การแยกหน้าที่ความรับผิดชอบในกระบวนการจัดทำรายงานทางการเงินไม่ให้อยู่ที่คนเดียว

–  การวางระบบกระทบยอดเพื่อตรวจสอบความถูกต้องตรงกันของตัวเลขในบัญชีเงินฝากและการเคลื่อนไหวจริงของรายการ

–  การวางระบบการลงลายมือชื่อ 2 คนพร้อมกันเพื่อให้ช่วยกันสอบทานรายการ

–  การแยกหัวบัญชีในการบันทึกรายการที่เหมาะสม

–  การแยกคนทำรายการ คนตรวจสอบ และคนที่อนุมัติให้เป็นต่างคนกัน

ฐานความเสี่ยงที่ 3 ความเสี่ยงจากการทุจริต (Fraud Risk) เป็นความเสี่ยงอันเนื่องมาจากการที่บุคลากรมีการกระทำที่ไม่ชอบ ทุจริตต่อหน้าที่ ทำให้กิจการเกิดความเสี่ยหายทั้งในรูปของตัวเงินและไม่ใช่ตัวเงิน เช่น ชื่อเสียง ภาพลักษณ์ของกิจการตัวอย่างการควบคุมภายในที่ใช้-  การกำหนดจรรยาบรรณในการปฏิบัติงานที่เน้นจริยธรรม

–  การวางระบบการสอบทานการปฏิบัติงานของพนักงานจากคนภายนอกหน่วยงาน เช่น ระบบการตรวจสอบภายใน ระบบการตรวจสอบจากผู้ตรวจสอบภายนอก

ฐานความเสี่ยงที่ 4 ความเสี่ยงอันเนื่องมาจากการจัดโมเดลทางธุรกิจและโครงสร้างทางธุรกิจการควบคุมภายในที่กิจการใช้อยู่ คือ การจัดวางโครงสร้างองค์กร การจัดทำภาระหน้าที่รายฝ่ายงาน การกำหนดคำอธิบายลักษณะงาน (Job Description) รายตำแหน่งงาน และการไหลของงานภายในองค์กร
ฐานความเสี่ยงที่ 5 ความเสี่ยงด้าน IT เป็นความเสี่ยงทางด้านเทคโนโลยี และระบบงานที่กิจการนำมาใช้โดยมีเงื่อนไขการทำงานที่กำหนดไว้แล้วในระบบ และทางเทคนิค และไม่มีบุคลากรอื่นที่เห็นการทำงาน ทำให้มีสภาพเหมือนกับกล่องดำ (Black box) ซึ่งเมื่อเวลาผ่านไป เงื่อนไขและการทำงานของระบบงานอาจจะไม่เหมาะสมกับการดำเนินธุรกิจตัวอย่างของแนวทางการควบคุมภายใน คือ-  การมีระบบการตรวจสอบ IT ที่เข้มแข็ง

–  การมีระบบการประเมินการใช้งานของผู้ใช้

–  การใช้ Log file ในการตรวจสอบความผิดปกติของการทำงานจากระบบงาน

ฐานความเสี่ยงที่ 6 การกำกับการปฏิบัติให้เป็นไปตามกฎหมาย ระเบียบ ข้อบังคับ (Compliance Risk) ที่กำหนดมาจากหน่วยงานที่กำกับกิจการ และที่กิจการกำหนดเป็นเกณฑ์ในระดับองค์กรตัวอย่างเช่น ความเสี่ยงจากการที่หน่วยงานกำกับได้ออกกฎเกณฑ์ใหม่มาใช้ปฏิบัติ และกิจการต้องดำเนินการตามให้ครบถ้วน เช่น การออก พรบ.ความผิดที่เกี่ยวข้องกับการคอมพิวเตอร์ การปรับเปลี่ยนวิธีการคำนวณภาษีของกรมสรรพากร
ฐานความเสี่ยงที่ 7 ความเสี่ยงตามความซับซ้อน ขนาดของกิจกรรม ซึ่งภายในกิจการเดียวกันอาจจะมีความแตกต่างของกิจกรรมในแต่ละสายงาน แต่ละพื้นที่ แต่ละตลาด แต่ละกลุ่มลูกค้าที่แตกต่างกัน ทำให้การควบคุมภายในต้องมีการออกแบบและจัดวางให้เหมาะสมกับฐานความเสี่ยงดังกล่าว
ฐานความเสี่ยงที่ 8 ความเสี่ยงด้านการหยุดชะงักของการดำเนินธุรกิจ และการบริหารความต่อเนื่องทางธุรกิจ เป็นความเสี่ยงที่มาจากการเกิดพิบัติภัยหรืออุบัติการณ์ร้ายแรงภายนอกกิจการ

สนใจเชิญบรรยายหัวข้อนี้ติดต่อ sumetheeprasit@hotmail.com

ตุลาคม 10, 2012 Posted by | ควบคุมภายใน | , , , , , , | ใส่ความเห็น

กำกับการควบคุมภายในจากบทเรียนที่มีตามแนวคิด Governance Risk and Compliance management -เรื่องที่ 362

อาจารย์ จิรพร  สุเมธีประสิทธิ์

sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

ระบบการควบคุมภายในจะสามารถใช้เป็นกลไกและเครื่องมือที่มีประสิทธิภาพในการบริหารจัดการได้จะต้องมาจากการแก้ไขข้อบกพร่องที่ผ่านมาโดยเปรียบเทียบกับ

  1. การเรียนรู้ด้วยบทเรียนประสบการณ์จริงของจุดอ่อนจากการควบคุมภายในที่เกิดแล้วจริง
  2. การเปรียบเทียบแนวพึงปฏิบัติที่ดีกับสถานะปัจจุบันของกิจการ

นอกจากองค์ประกอบสำคัญที่เป็นปัจจัยนำสู่ความสำเร็จในการควบคุมภายใน คือ การชี้นำ การส่งสัญญาณเชิงนโยบายจากระดับบริหาร  หรือ Top Down Tone และการประเมินจุดอ่อนของการควบคุมภายในตามฐานความเสี่ยง (Risk-based Internal Control)  เพื่อให้มั่นใจว่าได้เกิดการมุ่งเน้นประเด็นที่อาจจะเป็นปัจจัยความเสี่ยงที่ก่อให้เกิดเหตุการณ์ความเสี่ยงที่เกินกว่าระดับที่ยอมรับได้

แนวทางปฏิบัติที่ดีที่กิจการต่าง ๆ สามารถพิจารณายึดเป็นแนวทางการนำไปประยุกต์ใช้คือ แนวทางพึงปฏิบัติที่ BIS (Bank For International Settlements) นำไปใช้กับสถาบันการเงินในโลก  ซึ่งถือว่าเป็นการเสนอหลักการควบคุมภายในตามฐานความเสี่ยงที่ประยุกต์ใช้กับกิจการอื่นได้ดี เพราะผ่านการสังเคราะห์มาอย่างดี

หลักการควบคุมภายในของ BIS สรุปเป็นประเด็นสำคัญได้ดังนี้

ประเด็นที่ 1 วัฒนธรรมการควบคุมและกำกับกิจการในระดับบริหาร
  หลักการที่ 1 คณะกรรมการบริษัทควรมีความรับผิดชอบในการ1)      ให้ความเห็นชอบและทบทวนกลยุทธ์การดำเนินธุรกิจโดยรวม และนโยบายสำคัญของกิจการอย่างสม่ำเสมอ

2)      ทำความเข้าใจความเสี่ยงสำคัญที่เกิดกับกิจการ

3)      กำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้

4)      ให้ผู้บริหารกิจการจะต้องดำเนินการอย่างเพียงพอตามความจำเป็นในการค้นหา ระบุ วัด กำกับติดตาม  และควบคุมความเสี่ยง

5)      ให้ความเห็นชอบโครงสร้างองค์กร

6)      มอบหมายให้ผู้บริหารระดับสูงต้องรับผิดชอบในการกำกับ ติดตาม ประสิทธิของระบบการควบคุมภายใน และธำรงรักษาระบบการควบคุมภายในที่มีประสิทธิผลอยู่ตลาดเวลา

  หลักการที่ 2 ผู้บริหารระดับสูงจะต้องมีความรับผิดชอบในการ1)      จัดทำและประกาศใช้กลยุทธ์และนโยบายที่ผ่านความเห็นชอบจากคณะกรรมการบริษัทแล้ว

2)      พัฒนากระบวนการในการค้นหา ระบุ วิเคราะห์และประเมิน กำกับติดตามและควบคุมความเสี่ยงที่อาจจะเกิดขึ้นกับกิจการ

3)      ธำรงรักษาโครงสร้างองค์กรที่มีการกำหนด มอบหมายความรับผิดชอบ อำนาจการอนุมัติ ระบบรายงานอย่างชัดเจน

4)      ติดตามให้มั่นใจว่าการกระจายอำนาจและความรับผิดชอบมีความเหมาะสม ในการควบคุมการปฏิบัติงานตามพันธกิจและโมเดลทางธุรกิจของกิจการ

5)      กำหนดนโยบายการควบคุมภายในที่เหมาะสมและประกาศใช้ในองค์กร

6)      กำกับติดตามความเพียงพอและประสิทธิผลของระบบการควบคุมภายใน

  หลักการที่ 3 คณะกรรมการบริษัทและผู้บริหารระดับสูงมีความรับผิดชอบในการ1)      สนับสนุนและส่งเสริมการใช้มาตรฐานความซื่อสัตย์และจริยธรรมในระดับสูง

2)      ปลูกฝังวัฒนธรรมการควบคุมภายในภายในกิจการที่มุ่งเน้นและส่งสัญญาณให้บุคลากรทุกระดับมีความเข้าใจและยึดมั่นในการปฏิบัติตามระบบการควบคุมภายใน

3)      ทำให้บุคลากรทุกคนมีความเข้าใจว่าตนมีบทบาทในการจัดการการควบคุมภายในตนให้เพียงพอด้วย

ประเด็นที่ 2 การค้นหาและความตระหนักในความเสี่ยงของระบบการควบคุมภายใน
  หลักการที่ 4 ระบบการควบคุมภายในที่มีประสิทธิผลมาจากการประเมินสถานะของความเสี่ยงของกิจการอาจจะส่งผลต่อการไม่บรรลุเป้าหมายของกิจการ ซึ่งต้องมีการสร้างความตระหนักในเรื่องของความเสี่ยงและสามารถค้นหาความเสี่ยงได้อย่างเพียงพอในการค้นหาและระบุความเสี่ยงจะต้องครอบคลุมความเสี่ยงทั้งหมดที่กิจการเผชิญหน้าอยู่  และเป็นการมองในภาพรวมขององค์กร ไม่ใช่เพียงระดับหน่วยงานย่อยหน่วยงานใดหน่วยงานหนึ่งภายในกิจการ  และทำการแยกแยะให้เห็นว่ามีเหตุการณ์ความเสี่ยงและปัจจัยเสี่ยงใดที่ยังไม่ถูกควบคุมอยู่บ้าง หรือมีแต่ยังไม่เพียงพอ
ประเด็นที่ 3 การค้นหาและการสร้างความตระหนักในความเสี่ยงของระบบการควบคุมภายใน
  หลักการที่ 5 กิจกรรมการควบคุมภายในควรจะแทรกเป็นส่วนหนึ่งของการดำเนินงานประจำวันของกิจการ ด้วยการวางโครงสร้างการควบคุมภายในอย่างเหมาะสม เพื่อการควบคุมกิจกรรมในทุกระดับ  โดยประกอบด้วย การทบทวนจากระดับบน การควบคุมกิจกรรมในระดับหน่วยงานย่อย ซึ่งแตกต่างกันตามหน้าที่ความรับผิดชอบของแต่ละฝ่ายงาน ได้แก่1)      การควบคุมทางกายภาพ

2)      การตรวจสอบการปฏิบัติตามกฎเกณฑ์ด้วยเพดานการดำเนินการหรือการอนุมัติ การติดตามผลการปฏิบัติงานในส่วนที่ไม่เกี่ยวข้องกับกฎเกณฑ์

3)      ระบบการอนุมัติและการมอบอำนาจกระทำการ

4)      ระบบการตรวจสอบก่อนดำเนินการ

5)      การกระทบยอดตัวเงินกับรายการบันทึกทางบัญชี

  หลักการที่ 6 ระบบการควบคุมภายในที่มีประสิทธิผลมาจาก1)      การแบ่งแยกหน้าที่ความรับผิดชอบรายบุคคลอย่างชัดเจน 

2)      การป้องกันมิให้เกิดความขัดแย้งกัน และผลประโยชน์ทับซ้อนที่ยอมรับไม่ได้ต้องระบุให้ชัดเจน ลดให้เหลือน้อยที่สุด  

3)      ประเด็นที่ควรระมัดระวัง และต้องการการกำกับติดตาม โดยมีอิสระควรมีความชัดเจน

ประเด็นที่ 4 สารสนเทศและการสื่อสารเพื่อการควบคุมภายใน
  หลักการที่ 7 ระบบการควบคุมภายในที่มีประสิทธิผลมาจากการมีข้อมูลที่เพียงพอและชัดเจนเพื่อกำกับทั้งทางด้านการเงิน การปฏิบัติการ และการปฏิบัติตามกฎเกณฑ์ ควบคู่กับสารสนเทศจากภายนอกที่เกี่ยวกับเหตุการณ์และสถานการณ์ที่จำเป็นก่อนการตัดสินใจโดยสารสนเทศดังกล่าวจะต้องเชื่อถือได้  ได้มาทันเวลาที่ต้องการ และมีรูปแบบและการได้มาที่สอดคล้องกัน
  หลักการที่ 8 ระบบการควบคุมภายในที่มีประสิทธิผลมาจากระบบสารสนเทศที่เชื่อถือได้ ที่ครอบคลุมกิจกรรมสำคัญของกิจการโดยระบบสารสนเทศดังกล่าวหมายถึงส่วนที่จัดเก็บในรูปแบบของอิเล็กทรอนิกส์และเอกสารซึ่งต้องกำหนดวิธีการรักษาความปลอดภัย  การกำกับดูแลที่เป็นอิสระ และการจัดการเพื่อการกอบกู้อย่างเพียงพอให้กับมาใช้งานได้
  หลักการที่ 9 ระบบการควบคุมภายในที่มีประสิทธิผลมาจากการสร้างช่องทางของการสื่อสารที่มีประสิทธิผลเพื่อให้เกิดความมั่นใจว่ายบุคลากรทั้งหมดมีความเข้าใจอย่างครบถ้วน และพร้อมที่จะถ่ายทอดนโยบายและวิธีการปฏิบัติไปใช้ตามหน้าที่และความรับผิดชอบของแต่ละคน  และมีช่องทางที่สารสนเทศจะไปบุคลากรที่เกี่ยวข้องอย่างเหมาะสม
ประเด็นที่ 5 การกำกับติดตามกิจกรรมและแก้ไขสิ่งที่ยังขาดตกบกพร่อง
  หลักการที่ 10 ประสิทธิผลโดยรวมของการควบคุมภายในของกิจการจะถูกกำกับติดตามอย่างต่อเนื่องและสม่ำเสมอ โดยการกำกับและติดตามความเสี่ยงหลัก ๆ ควรจะ

1)      เป็นส่วนหนึ่งของกิจกรรมประจำวันของกิจการ  และ

2)      มีการประเมินเป็นครั้งคราว โดยผู้บริหารสายธุรกิจเองและโดยผู้ตรวจสอบภายใน

  หลักการที่ 11 ควรมีการตรวจสอบภายในที่มีรายละเอียดและประสิทธิผลเกี่ยวกับระบบการควบคุมภายใน โดยผู้ที่ทำการตรวจสอบภายในจะต้องมีสมรรถนะและผ่านการอบรมเพื่อให้มั่นใจว่ามีศักยภาพและความพร้อม รวมทั้งองค์ความรู้ที่เหมาะสมการตรวจสอบภายในที่เป็นส่วนหนึ่งของการกำกับและติดตามระบบการควบคุมภายในของกิจการ ควรจะรายงานผลการตรวจสอบโดยตรงต่อคณะกรรมการบริษัทหรือคณะกรรมการตรวจสอบ และผู้บริหารระดับสูงรับทราบ
  หลักการที่ 12 ประเด็นที่ยังขาดตกบกพร่องด้านการควบคุมภายใน ไม่ว่าจะได้มาจากผู้บริหารสายธุรกิจเองผลการตรวจสอบภายในหรือจุดอื่น ควรจะได้มีการนำส่งรายงานผลภายในเวลาที่เหมาะสมแก่ระดับบริหารที่เกี่ยวข้อง เพื่อให้เกิดการรับรู้อย่างทันท่วงที และประเด็นที่ยังขาดตกบกพร่องที่มีสาระสำคัญ หรือมีนัยสำคัญ ควรจะรายงานถึงผู้บริหารระดับสูงและคณะกรรมการบริษัท
ประเด็นที่ 6 หลักการที่ 13 ผู้ที่กำกับดูแลกิจการควรจะให้กิจการทุกแห่งมีระบบการควบคุมภายในที่มีประสิทธิผลที่มีความเหมาะสมและสอดคล้องกับลักษณะของธุรกิจ ความซับซ้อนของธุรกรรม เหตุการณ์ความเสี่ยงที่มีโอกาสเกิดขึ้น รายการสำคัญในงบการเงินและรายการนอกงบการเงิน  และเป็นระบบการควบคุมภายในที่ตอบสนองและทันกับความเปลี่ยนแปลงของสภาพแวดล้อมและเงื่อนไขภายนอกกิจการ
         

สนใจเชิญบรรยายหัวข้อนี้ติดต่อ sumetheeprasit@hotmail.com

กันยายน 4, 2012 Posted by | ควบคุมภายใน | , , , , , , , , , | ใส่ความเห็น

การออกแบบการควบคุมภายในเพื่อกำกับความเสี่ยง-เรื่องที่ 359

อาจารย์ จิรพร  สุเมธีประสิทธิ์

Sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

ความจำเป็นในการบริหารจัดการกิจการอย่างมีประสิทธิภาพและเกิดการกำกับดูแลกิจการที่ดี ทำให้กิจการทุกกิจการต้องออกแบบระบบการควบคุมภายในของตนเอง และทำการปรับปรุงการออกแบบด้านการควบคุมภายในใหม่ทุกครั้งที่สภาพแวดล้อมภายในและภายนอกองค์กรมีการเปลี่ยนแปลงไปจากเดิม  จนไม่อาจจะมั่นใจได้ว่าระบบการควบคุมภายในที่ใช้อยู่จะมีประสิทธิภาพและประสิทธิผลหรือไม่

ในเบื้องต้น ระบบการควบคุมภายในของแต่ละกิจการควรจะครอบคลุมกระบวนการหรือกลไกสำคัญ ดังนี้

ประการที่ 1 กระบวนการหรือกลไกในการทบทวนแฟ้มข้อมูลความเสี่ยง (Risk Profile) อย่างสม่ำเสมอ
ประการที่ 2 กระบวนการหรือกลไกในการประกันว่าจะมีการปฏิบัติตามกฎเกณฑ์ภายในองค์กรที่เป็น นโยบาย กรอบแนวทางปฏิบัติที่องค์กรวางไว้
ประการที่ 3 กระบวนการหรือกลไกในการประกันว่าจะมีการปฏิบัติตามกฎหมาย และมาตรฐานภายนอกที่เกี่ยวข้องตามความจำเป็นอย่างครบถ้วน
ประการที่ 4 กระบวนการหรือกลไกในการลดโอกาสหรือความน่าจะเป็นที่จะเกิดความผิดพลาด ทุจริต หรือความผิดปกติขึ้นในระหว่างการปฏิบัติงาน
ประการที่ 5 กระบวนการหรือกลไกในการประกันว่าการปฏิบัติงาน การดำเนินธุรกรรม จะสอดคล้องและเป็นไปตามวัตถุประสงค์อย่างครบถ้วน ถูกต้อง และบันทึกผลการปฏิบัติงาน  การดำเนินธุรกรรมไว้ในงบการเงิน  เพื่อจัดทำรายงานทางการเงินและผลประกอบการของกิจการ
ประการที่ 6 กระบวนการหรือกลไกการบริหารทรัพยากรทางการเงิน

ดังนั้น ผู้บริหารของกิจการจึงมีมีพันธกิจที่จะต้องทำให้เกิดความมั่นใจว่ากระบวนการการควบคุมภายในของกิจการจะจัดวางโดยคำนึงถึงการประหยัดต้นทุน และสอดคล้อง สนองรับกับความจำเป็นของกิจการ

ขณะเดียวกัน ระบบการควบคุมภายในได้ตระหนักถึงความคาดหมายภายนอก และความเปลี่ยนแปลงไปของสถานการณ์

การที่ผู้บริหารของกิจการจะสร้างความมั่นใจด้านระบบการควบคุมภายในได้  จะต้อง

ประการที่ 1 มีการว่าจ้างและมอบหมายให้มีบุคคลที่รับผิดชอบในการออกแบบและปรับปรุงระบบการควบคุมภายในให้เป็นไปตามวัตถุประสงค์ดังกล่าว
ประการที่ 2 ให้บุคคลที่ได้รับมอบหมายให้ปฏิบัติงานภายใต้ระบบการควบคุมภายใน ได้รับการอบรม เรียนรู้ มีความเข้าใจ และเกิดศักยภาพและความพร้อมอย่างเพียงพอ

การออกแบบระบบการควบคุมภายในของกิจการต้องมีกระบวนการในการวางแผนเป็นขั้นเป็นตอน และมีความเข้าใจอย่างเพียงพอเกี่ยวกับธุรกรรม โมเดลทางธุรกิจของกิจการโดยละเอียด และตามลำดับก่อน-หลัง 

แม้ว่าระบบการควบคุมภายในจะจัดทำขึ้นด้วยวัตถุประสงค์หลายประการ แต่วัตถุประสงค์หลักประการหนึ่งคือ การสร้างความมั่นใจว่าการปฏิบัติงานภายในกิจการจะเป็นไปตามที่ต้องการ  และสามารถสกัดโอกาสที่จะเกิดการปฏิบัติงานที่ไม่พึงประสงค์ขึ้น  ทั้งที่ส่งผลกระทบต่อตัวเงินและไม่ใช่ตัวเงิน  เพื่อจะให้ผู้บริหารของกิจการมีความวางใจและได้รับรู้ว่าทุกอย่างภายในกิจการกำลังดำเนินไปอย่างเหมาะสม โดยไม่ต้องคอยตรวจตราและจับตาทุกความเคลื่อนไหวในกิจการทุกฝีก้าว

กระบวนการในการวางแผนที่เป็นขั้นเป็นตอนของระบบการควบคุมภายใน จึงประกอบด้วย

ขั้นตอนที่ 1 ทบทวนกระบวนงานหลัก ๆ และที่มีความสำคัญต่อมูลค่าของกิจการ  ไม่ว่าจะเป็นการบริหารกระบวนการผลิต สินค้าคงเหลือ ลูกหนี้การค้า เจ้าหนี้การค้า เจ้าหนี้สถาบันการเงิน การกระทบยอดจำนวนเงินในบัญชีเงินฝากธนาคารกับธุรกรรมที่เกิดขึ้นจริง  และกระบวนงานอื่น ๆ ที่อาจจะเกิดปัญหา ผิดพลาด หรือการทุจริต
ขั้นตอนที่ 2 นำเอากระบวนงานหลัก ๆ ที่เรียงลำดับได้มาใส่ชื่อผู้ปฏิบัติงาน ตำแหน่งงานที่ปฏิบัติ ขอบเขตการปฏิบัติงานจนครบถ้วนทั้งหมดของกิจกรรมในกระบวนงานหลัก เพื่อแยกให้ชัดเจนว่าใครคือผู้ที่จะต้องรับผิดชอบเรื่องใดบ้าง
ขั้นตอนที่ 3 นำเอากระบวนงานหลักที่ยังไม่ได้ข้อมูลครบถ้วน หรือไม่ชัดเจน มารวบรวมและออกภาคสนามหรือเข้าไปสำรวจ สัมภาษณ์จากสภาพการปฏิบัติงานจริง หรือสังเกตการณ์ปฏิบัติงาน หรือออกแบบสอบถามตามความเหมาะสม เพื่อให้สามารถระบุหน้าที่ความรับผิดชอบตามระบบการควบคุมภายในเป็นรายตำแหน่งหรือรายบุคคลได้ชัดเจนและครบถ้วน
ขั้นตอนที่ 4 การค้นหาในแต่ละขั้นตอนของกระบวนงานหลัก เพื่อหาจุดอ่อนด้านระบบการควบคุมภายใน ที่ยังน่าจะเป็นช่องว่างหรือเปิดโอกาสให้เกิดปัญหา ความเสียหาย การทุจริต โดย

(1)   มุ่งเน้นจุดหรือกิจกรรมหรือขั้นตอนที่บุคคลคนเดียวเกี่ยวข้องกับทั้งการบันทึกรายการทางบัญชี และครอบครองหรือดูแลสินทรัพย์ และเงินสดของกิจการ

(2)   มุ่งเน้นจุดหรือกิจกรรมหรือขั้นตอนที่มีโอกาสเกิดความผิดพลาด พลั้งเผลอ หรือหลงลืมได้ หากใช้เฉพาะความจำ ความสามารถเฉพาะตัว ความเที่ยงตรงของการปฏิบัติงานของคนเป็นหลัก

ขั้นตอนที่ 5 การเปลี่ยนแปลงขั้นตอน วิธีการปฏิบัติงานในประเด็นหรือจุดที่พบว่าการควบคุมภายในยังคงอ่อนแอ  โดยเน้นการแยกงานการปฏิบัติการและการออกรายงานผลออกจากกัน เพื่อให้เกิดการสอบทานและตรวจสอบซึ่งกันและกัน

ปัญหาและข้อจำกัดสำคัญของการปรับเปลี่ยนขั้นตอน วิธีปฏิบัติงาน คือ จำนวนและคุณภาพของคนที่มีอยู่ค่อนข้างจำกัด  อาจจะไม่สามารถแยกหน้าที่ของงานได้ตามเกณฑ์ที่ควรจะเป็น  ซึ่งทำให้ระบบการควบคุมภายในยังคงมีความอ่อนแอต่อไป

ทางเลือกหนึ่งที่เป็นไปได้ คือ การกำหนดให้มีการลาหยุดพักผ่อนและใช้บังคับอย่างเข้มงวด เพื่อให้มีคนอื่นมาสอบทานผลงานของผู้ที่ปฏิบัติงานหลัก

สิ่งที่สำคัญคือ ไม่ต้องวิตกว่าพนักงานจะไม่พอใจและหาว่าไม่ไว้วางใจ  เพราะการควบคุมภายในที่มีประสิทธิภาพมีความสำคัญ  และพนักงานที่สุจริตย่อมต้องการทำงานในสภาพแวดล้อมการควบคุมที่ดี

ขั้นตอนที่ 6 การจัดทำเอกสาร คู่มือ  แนวทางปฏิบัติ  เอกสารที่เกี่ยวข้องให้ครบถ้วน เพื่อให้สอดคล้องกับขั้นตอน วิธีการปฏิบัติงานที่มีการเปลี่ยนแปลงไป

นอกจากนั้น ในขั้นตอนนี้จะต้องมีการสอบถามปัญหา อุปสรรคที่เกิดจริงในระหว่างการปฏิบัติงานจากผู้ปฏิบัติ  เพราะอาจจะต้องมีการปรับปรุง แก้ไขข้อความ  หรือขั้นตอนได้เหมาะสม  และไม่สร้างปัญหาใหม่แก่กิจการในระยะต่อไป

การทบทวนขั้นตอน วิธีปฏิบัติที่เกี่ยวข้องกับการควบคุมภายในควรจะมีระยะห่างไม่เกิน 1 ปี หรือถี่กว่านั้นตามความจำเป็น

การควบคุมภายในเป็นขั้นตอนและวิธีปฏิบัติที่กิจการกำหนดขึ้นเพื่อกำกับ ติดตาม และตรวจสอบผลการปฏิบัติงานของบุคลากรภายในองค์กร และทำให้เกิดการสอบทานการถ่วงดุลอำนาจกันและกันในการปฏิบัติงาน และการดำเนินกระบวนงานหลักของกิจการ

ดังนั้น ความคุ้มครองและปกป้องกิจการด้วยการมีระบบการควบคุมภายในที่ดี จึงช่วยกิจการในการดูแลทรัพยากร บุคลากร สินทรัพย์ ชื่อเสียงของกิจการที่สำคัญ ตลอดจนความเสียหายทางการเงิน และที่ไม่เป็นตัวเงินทั้งหลาย พร้อมทั้งเป็นวิธีการกำหนดหน้าที่ความรับผิดชอบของบุคลากรทุกตำแหน่งงานในองค์กรที่ต้องมีการกำกับดูแลตนเองในระดับหนึ่ง

การวางระบบการควบคุมภายในจึงต้องใช้การค้นหาและระบุข้อมูลความเสี่ยงอย่างเหมาะสมและเพียงพอ และทำความเข้าใจในจุดอ่อนของระบบการควบคุมภายในอย่างชัดเจน เพื่อจะได้เพิ่มเติมประเด็นที่เป็นจุดอ่อนให้ลดลง 

ซึ่งนอกจากการปรับปรุงแก้ไขตามกระบวนงานแล้ว อาจจะต้องคำนึงถึงสถานการณ์และสภาพแวดล้อมภายในและภายนอกองค์กร  เพื่อปรับปรุงระบบการควบคุมภายในตามไปด้วย

สนใจเชิญบรรยายหัวข้อนี้ติดต่อ sumetheeprasit@hotmail.com

สิงหาคม 31, 2012 Posted by | ควบคุมภายใน | , , , , , , , , , , , | ใส่ความเห็น

การกำกับตนเองด้านการควบคุมภายในหน่วยงานระดับพื้นที่- เรื่องที่ 358

อาจารย์ จิรพร  สุเมธีประสิทธิ์

Sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

วิธีการหนึ่งที่กิจการในระดับสำนักงานใหญ่หรือส่วนกลางจะช่วยให้หน่วยงานย่อยระดับพื้นที่ในการประเมินตนเองด้านความเพียงพอขงการควบคุมภายใน อาจจะใช้การพัฒนา Checklist เพื่อประเมินกระบวนการ ขั้นตอน วิธีการปฏิบัติงาน เพื่อให้มั่นใจว่าระบบการควบคุมภายในที่ใช้อยู่มีความเพียงพอ

และหากผลการประเมินพลว่ายังไม่เพียงพอ และยังมีความเสี่ยงที่หลงเหลืออยู่เกินกว่าระดับที่ยอมรับได้ หน่วยงานย่อยในพื้นที่จะได้จัดวาง เพิ่มเติมระบบการควบคุมภายในมากขึ้น หรือขออนุมัติใช้ระบบการควบคุมภายในเพิ่มเติมจากสำนักงานใหญ่หรือส่วนกลางก่อนนำออกใช้บังคับกับพื้นที่ที่เกี่ยวข้อง

ประเด็นที่อาจจะอยู่ภายใน Checklist การประเมินตนเองด้านการควบคุมภายในของหน่วยงานระดับพื้นที่ ได้แก่

ประเด็นที่ 1 การควบคุมโดยทั่วไป (General Control)
  1.1 มีการแบ่งแยกหน้าที่ของผู้ที่ดำเนินรายการออกจากผู้ที่ทำหน้าที่เตรียมการ ทำหน้าที่สอบทาน และแบ่งแยกหน้าที่ระหว่างผู้ที่ทำหน้าที่บันทึก/อนุมัติรายการ  กับผู้ที่ทำหน้าที่จ่ายเงินสด-รับเงินสด
  1.2 มีการระบุรายการเอกสารหลักฐานประกอบชัดเจน พร้อมกับมีแบบฟอร์มการอนุมัติที่เป็นมาตรฐานเดียวกัน เพื่อให้ผู้ที่มีอำนาจอนุมัติพิจารณา
  1.3 การอนุมัติเป็นการใช้อำนาจเฉพาะตัว ไม่มีการมอบอำนาจช่วงต่อแก่บุคคลอื่น
  1.4 กรณีที่มีการเปิดให้มอบอำนาจช่วงได้ หรือมีการมอบให้บุคคลอื่นกระทำการแทน ผู้ที่รับมอบอำนาจช่วงได้จัดทำสรุปรายการอนุมัติที่กระทำการภายใต้อำนาจของบุคคลผู้รับมอบอำนาจจริงครบถ้วนทุกรายการอยู่เสมอ

ผู้รับมอบอำนาจที่ดำเนินการอนุมัติเอง มีการสรุปผลการอนุมัติของตนเองครบถ้วนทุกรายการ

  1.5 ผู้รับมอบอำนาจการอนุมัติมีเอกสารหลักฐานที่ระบุขอบเขตของอำนาจหน้าที่อย่างชัดเจน  ไม่มีการตีความที่อาจจะแตกต่างจากวัตถุประสงค์เดิมของการมอบอำนาจ
  1.6 มีการสอบทานรายการอนุมัติทางการเงินทุกสัปดาห์หรือทุกเดือน โดยครอบคลุมรายการทางการเงินทุกรายการ  และการดำเนินการดังกล่าวดำเนินการอย่างสม่ำเสมอ
  1.7 กรณีที่เกิดมีความผิดพลาด  ตัวเลขไม่ตรงกันจากผลการสอบทานรายการ  จะต้องมีการระบุรายละเอียดและแก้ไขให้ถูกต้องภายในกรอบเวลาที่เหมาะสม
  1.8 มีการทำรายงานสรุปผลการใช้จ่ายเงินสดจริงเทียบกับวงเงินงบประมาณที่ได้รับจัดสรร และใช้ข้อมูลจากรายงานสรุปในการกำกับและบริหารจัดการสำนักงานพื้นที่อย่างต่อเนื่องและสม่ำเสมอ
  1.9 รายงานสถานะทางการเงินและผลประกอบการของหน่วยงานระดับพื้นที่มีการตรวจทานและลงนามรับรองจากผู้รับมอบอำนาจ/ผู้บริหารหน่วยงาน ครบถ้วนทุกครั้งและทุกรายงาน
  1.10 มีการกำกับและควบคุมทรัพยากรทุกประเภทที่อยู่ในความดูแลของหน่วยงานระดับพื้นที่ และมอบหมายให้บุคคลทำหน้าที่ดูแลโดยเฉพาะตามความจำเป็น
  1.11 มีการกำกับและควบคุมสินทรัพย์ทุกประเภทของกิจการที่อยู่ในความดูแลของหน่วยงานระดับพื้นที่ และมอบหมายบุคคลทำหน้าที่ดูแลโดยเฉพาะตามความจำเป็น รวมทั้งการทำประกันภัยอย่างต่อเนื่องไม่ขาดสาย
  1.12 มีการสื่อสาร ชี้แจงหน้าที่ความรับผิดชอบ และบทบาทในการกำกับและควบคุมตนเองของบุคลากรทุกคนอย่างเพียงพอ และสม่ำเสมอ
ประเด็นที่ 2 การควบคุมงานไอทีและคอมพิวเตอร์
  2.1 ผู้ใช้งานทุกคนของหน่วยงานผ่านความเห็นชอบตามเกณฑ์การกำหนดสิทธิการใช้งานทุกครั้งก่อนที่จะเข้าถึงฐานข้อมูล ระบบงาน ด้วย password หรือ smartcard ตามกรณี
  2.2 มีการติดตั้งซอฟท์แวร์ Screen saver พร้อมกำหนดเวลาที่จะประหยัดไฟหน้าจอคอมพิวเตอร์ด้วยระบบอัตโนมัติ
  2.3 มีการถือปฏิบัติตามมาตรฐานการกำหนดสิทธิ การเข้าใช้ การถอดถอนสิทธิและ password โดยเคร่งครัด
  2.4 มีการติดตั้งและใช้งานซอฟท์แวร์ในการป้องกันไวรัส และได้รับข้อมูลข่าวสารเกี่ยวกับไวรัสใหม่ ๆ จากส่วนกลาง และนำไปชี้แจงสื่อสารภายในหน่วยงานเป็นประจำทุกครั้ง
  2.5 มีการธำรงรักษา ดูแลสภาพการใช้งาน ทั้งในส่วนของซอฟท์แวร์และฮาร์ดแวร์คอมพิวเตอร์ตามเกณฑ์ที่กำหนด
  2.6 มีการสำรอง (back up) ข้อมูลในส่วนของ data ตามระยะเวลาที่กำหนดอย่างสม่ำเสมอ
  2.7 มีแผนกอบกู้ระบบงานและ data กรณีที่เกิดพิบัติภัยอย่างเหมาะสม
ประเด็นที่ 3 การควบคุมการบริหารงานควบคุมภายในของบุคลากร
  3.1 บุคลากรภายในหน่วยงานได้เข้ารับการอบรมในหลักสูตรที่ต้องการและจำเป็นทุกปี
  3.2 บุคลากรได้รับการชี้แจง ซักซ้อมความเข้าใจเกี่ยวกับแผนการดำเนินงาน หรือโครงการใหม่ก่อนเริ่มดำเนินการทุกครั้ง
  3.3 การจัดเตรียมคู่มือ กรอบแนวทางปฏิบัติ วิธีการปฏิบัติงานแก่บุคลากรมีความเพียงพอ เพื่อให้บุคลากรได้ค้นหา เมื่อต้องการหรือเมื่อมีความจำเป็นได้โดยสะดวก
  3.4 มีการทบทวน ประเมินปัญหา อุปสรรคในการปฏิบัติงานของบุคลากรในหน่วยงานทุก 3 เดือนเป็นอย่างน้อย
  3.5 มีการเข้มงวดในการกำกับ ติดตามการปฏิบัติงานของบุคลากรภายในหน่วยงานอย่างต่อเนื่อง
  3.6 บุคลากรแต่ละตำแหน่งสามารถระบุได้ว่าตนต้องปฏิบัติงานตามระบบการควบคุมภายในในเรื่องใดบ้าง และไม่มีปัญหาการตีความ ความสับสน ความลังเล
ประเด็นที่ 4 การบริหารงานด้านเงินสดย่อย
  4.1 มีการถือปฏิบัติเรื่องเงินสดย่อยให้เป็นไปตามระบบการควบคุมเงินสดย่อยอย่างเข้มงวด
  4.2 มีระบบการจัดเก็บ และการมอบหมายการถือครองเงินสดย่อย โดยมีการตรวจสอบและตรวจนับจำนวนยอดคงเหลือจริงเป้นครั้งคราวอย่างเพียงพอ
  4.3 มีการติดตามใบสำคัญจ่ายหรือใบแทนใบเสร็จรับเงิน หรือเอกสารหลักฐานประกอบการเบิกจ่ายเงินสดย่อยไม่เกินกว่า 7 วันทุกรายการ
ประเด็นที่ 5 การควบคุมภายในตามสถานการณ์ที่เกิดขึ้น
  5.1 มีการเตรียมความพร้อมที่จะปฏิบัติงานในสถานการณ์พิเศษ นโยบายเร่งด่วนที่มอบหมายจากสำนักงานใหญ่หรือส่วนกลางที่อยู่นอกแผนงานปกติอย่างเพียงพอ
  5.2 มีการติดตาม เฝ้าระวังสถานการณ์สำคัญในพื้นที่ที่อาจจะเกิดความเปลี่ยนแปลงและอาจจะกระทบต่อการดำเนินงานของหน่วยงานอย่างสม่ำเสมอ
  5.3 ทุกครั้งที่เกิดความเปลี่ยนแปลงสำคัญของสถานการณ์ในพื้นที่ จะมีการประชุมหารือ ชี้แจง ประเมินสถานการณ์ร่วมกันโดยให้บุคลากรทุกคนในหน่วยงานได้รับทราบทุกครั้ง
  5.4 มีการจัดทำแผนปฏิบัติงานเพิ่มเติม เพื่อรองรับหรือตอบโต้จากการเปลี่ยนแปลงของสถานการณ์ทุกครั้งหรือตามความจำเป็น
  5.5 มีการประเมินผลการปฏิบัติงานจริงเทียบกับแผนงานหรือความคาดหวังหรือเป้าหมาย อันเนื่องมาจากการเปลี่ยนแปลงของสถานการณ์ทุกครั้ง
ประเด็นที่ 6 การควบคุมภายในเชิงป้องกัน
  6.1 มีการประชุมปรึกษา หารือกันภายในหน่วยงานเพื่อประเมินเหตุการณ์ความเสี่ยงและปัจจัยเสี่ยงที่อาจจะเกิดขึ้นในอนาคตเป็นการล่วงหน้า โดยใช้รอบระยะเวลา 3 เดือนหรือ 6 เดือนข้างหน้าเป็นเกณฑ์ประเมิน
  6.2 มีการพิจารณา และมีศักยภาพในการจัดระบบการควบคุมภายในเชิงป้องกันอย่างเพียงพอ ตามความจำเป็น เพื่อหลีกเลี่ยงเหตุการณ์ที่ไม่คาดหมาย
ประเด็นที่ 7 การควบคุมภายในที่เชื่อมโยงกับบุคลากรภายนอก/สำนักงานใหญ่
  7.1 มีการบริหารงานการควบคุมภายในที่ครอบคลุมถึงคู่สัญญา outsourcing อย่างเพียงพอ
  7.2 มีการบริหารงานการควบคุมภายในที่ครอบคลุมถึงผู้รับจ้างงาน ซับพลายเออร์หลักอย่างเพียงพอ
  7.3 มีการบริหารงานการควบคุมภายในที่ครอบคลุมถึง ผู้ขาย (Vendor) ที่เกี่ยวข้องกับระบบงานคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ในระดับพื้นที่อย่างเพียงพอ
  7.4 มีการบริหารงานการควบคุมภายในที่ครอบคลุมถึงการติดตาม เร่งรัด สอบถามความคืบหน้าของการพิจารณา/ดำเนินการในส่วนที่เป็นความรับผิดชอบของสำนักงานใหญ่/ส่วนกลาง ที่กระทบต่อความสำเร็จของการดำเนินงานของหน่วยงานอย่างเพียงพอ
  7.5 มีการเสนอแนะ ชี้แจง ให้ข้อคิดเห็นเพื่อการปรับปรุงหรือเพิ่มเติมระบบการควบคุมภายในแก่หน่วยงานที่เกี่ยวข้องในสำนักงานใหญ่เพื่อประโยชน์และป้องกันความเสียหายของกิจการ
  7.6 มีการนำเอาประเด็นของผู้ตรวจสอบภายใน ผู้ตรวจสอบบัญชี มาใช้ในการพัฒนาและปรับปรุงระบบการควบคุมภายในภายในกรอบเวลาที่กำหนด และผลการดำเนินการเป็นที่พอใจ

 

สนใจเชิญบรรยายหัวข้อนี้ติดต่อ sumetheeprasit@hotmail.com

สิงหาคม 27, 2012 Posted by | ควบคุมภายใน | , , , , , , , , , , , | ใส่ความเห็น

การพัฒนาเครื่องมือในการควบคุมภายในเพื่อรับมือความเสี่ยงยุคใหม่-เรื่องที่ 356

อาจารย์ จิรพร  สุเมธีประสิทธิ์

sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

ผู้บริหารระดับสูงของกิจการต่าง ๆ ต่างปรารถนาที่จะสร้างกลไกการควบคุมการบริหารภายในกิจการที่มีประสิทธิผลขึ้น เพื่อให้เกิดความมั่นใจว่าบุคลากรจะมีความเชื่อฟัง ปฏิบัติตามกฎเกณฑ์และนโยบายต่าง ๆ ที่กิจการกำหนดขึ้นอย่างเพียงพอ

เช่นเดียวกับผู้บริหารระดับสายงานและแผนกงานหรือสายธุรกิจที่มักจะต้องหาเวลาในการทบทวนสภาพแวดล้อมในการควบคุมที่มีอยู่ในระดับหน่วยธุรกิจอย่างสม่ำเสมอ เพื่อระบุความเสี่ยง และกำกับติดตามการเคลื่อนที่ของความเสี่ยงที่อาจจะส่งผลกระทบต่อการดำเนินกิจกรรมของกิจการ  ควบคู่กับการดำเนินกระบวนการจัดทำและรายงานผลการดำเนินงานทางการเงินของกิจการที่จะช่วยในการวัดผลการดำเนินงานของกิจการว่ามีความผิดปกติใดอยู่บ้าง

จะเห็นว่าการทบทวนการควบคุมภายในและการค้นหาความเสี่ยงของกิจการเป็นเรื่องเดียวกันและเกี่ยวข้องสัมพันธ์กัน การจัดทำและพิจารณารายงานในส่วนนี้อย่างสม่ำเสมอจึงช่วยให้ผู้บริหารระดับสูงและระดับกลางมีความคุ้นเคยกับความเสี่ยงสำคัญมากขึ้น

ดังนั้น ในมุมมองของนักวาการจึงคาดหวังว่าผู้บริหารกิจการจะสามารถระบุเครื่องมือในการควบคุมภายใน กระบวนการควบคุมภายใน แนวปฏิบัติของกิจการด้านการควบคุมภายใน และที่สำคัญความเสี่ยงที่เกี่ยวข้อง และอาจจะทำให้การควบคุมภายในที่มีอยู่ไม่เพียงพอ

ในบรรดาเครื่องมือต่าง ๆ ของการควบคุมภายใน กิจกรรมการตรวจสอบภายในถือว่าเป็นเครื่องมือการควบคมการบริหารภายในที่สำคัญ ที่จะช่วยให้ผู้บริหารระดับสูงเข้าถึงความพอเพียงของการควบคุมภายในที่มีอยู่ ตลอดจนความเหมาะสมกระบวนการจัดทำรายงานทางการเงิน และงบการเงินทางบัญชี ตลอดจนระบบการรายงานต่าง ๆ ที่จำเป็น ตลอดจนกลไกในการกำกับระหว่างที่มีการดำเนินงานภายในกิจการ

หากมีการควบคุมภายในที่ดี กิจการจะสามารถหลีกเลี่ยงจากความเสียหาย ความสูญเสีย ความสูญเปล่า ผลการประกอบการที่ไม่ดี ไม่เหมาะสมที่มาจากพนักงานขาดความรัดระวังหรือรอบคอบ หรือความใส่ใจไม่พียงพอ หรือถูกปรับหรือเสื่อมเสียชื่อเสียงจากการละเมิดทางกฎหมาย

อย่างไรก็ดี การพัฒนาการควบคุมภายในที่ดี ควรจะ

ประการแรก โครงสร้างของการควบคุมภายในควรพัฒนาขึ้นมาจากระบบและความชัดเจนของนโยบายและวัฒนธรรมที่ปลูกฝังไว้ในแต่ละกิจการที่ไม่เหมือนกัน

ประการที่สอง การควบคุมภายในของกิจการจะต้องมีความสอดคล้อง ไปในทิศทางเดียวกัน เพื่อให้เกิดความเข้าใจ และสามารถอิงหลักการของเหตุและผลในการประเมิน ก่อนที่จะมีการดำเนินการใด ๆ ได้ล่วงหน้า โดยเฉพาะในกิจการที่มีการกำกับการดำเนินงานด้วยกฎระเบียบมากมายเป็นพิเศษ

เครื่องมือการควบคุมภายในที่ได้รับการพัฒนามายาวนานและได้รับการยอมรับว่าทรงอิทธิพลในทุกกิจการได้แก่

เครื่องมือที่ 1 กิจกรรมการควบคุมด้วยการกำหนดอำนาจการอนุมัติ

กิจการการกำหนดอำนาจการอนุมัติประกอบด้วย ส่วนปะกอบที่สำคัญ 5 ประการคือ

(1)   การเขียนนโยบายและกระบวนการปฏิบัติงานออกมาเป็นลายลักษณ์อักษรอย่างชัดเจน

(2)   การกำหนดขีดจำหัดของการใช้อำนาจที่ได้มีการมอบหมายไว้

(3)   การวางระบบเอกสารในการอนุมัติเพื่อประกบการดำเนินการอนุมัติแต่ละครั้ง

(4)   การตั้งประเด็นและข้อสังเกตในกรณีที่มีราบการผิดปกติ

(5)   การป้องกันการลงนามอนุมัติแบบหลับหูหลับตา

(6)   การละเว้นการลงนามอนุมัติในเอกสารเปล่าที่ยังไม่มีการกรอกข้อความครบถ้วนสมบูรณ์

ในบรรดาเครื่องมือทั้งหลาย กิจกรรมการควบคุมการบริหารภายในด้วยการวางอำนาจการอนุมัติหรือการกำหนดและกระจายอำนาจของบุคคลเป็นเครื่องมือที่มีความสำคัญในลำดับต้น ๆ โดยอาจจะเป็นการให้อำนาจเฉพาะเจาะจงหรืออำนาจเป็นการทั่วไป

การอนุมัติให้ทำธุรกรรมหมายความถึง

ก)     การที่ผู้ได้รับมอบอำนาจได้พิจารณาเอกสารหลักฐาน และข้อมูลที่เกี่ยวข้องจนเป็นที่น่าพอใจแล้ว และเห็นด้วยว่าธุรกรรมที่ขออนุมัตินั้นมีความเหมาะสม  ถูกต้อง และเป็นไปตามกฎเกณฑ์ นโยบาย ขั้นตอนการทำงาน และกฎหมาย

ข)     การอนุมัติการดำเนินการ อาจจะผูกโยงกับจำนวนเงินหรือวงเงินสูงสุดที่จะดำเนินการได้ หากเกินกว่าวงเงินที่กำหนดจะต้องส่งต่อขึ้นไปให้ผู้มีอำนาจการอนุมัติในลำดับต่อไปพิจารณาแทน

ค)     กรณีที่บุคคลใดต้องลงนามอนุมัติในอำนาจของคนอื่น จะต้องระบุให้ชัดเจนว่าเป็นการดำเนินการภายใต้อำนาจของบุคคลใด

ง)     การกำหนดอำนาจการอนุมัติทางอิเล็กทรอนิกส์ในกรณีที่การดำเนินงานอยู่บนระบบงาน จะเน้นเรื่อง

–        การแยกตัวบุคคลที่ดำเนินการในขั้น made out กับขั้นตอนการอนุมัติออกจากกัน ไม่ให้เป็นคนเดียวกันโดยเด็ดขาด

–        การควบคุมการเปิดเผยรหัสผ่านเข้าทำงานบนระบบแก่บุคคลอื่น

–        การอนุมัติในแต่ละระบบงาน ในแต่ละฝ่ายงานหรือหน่วยงานจะต้องมีการวางคู่มือ หรือแนวปฏิบัติกำกับการทำงานของบุคลากรบนระบบงานอย่างเข้มงวด

เครื่องมือที่ 2 การกระทบยอดตัวเลขในเอกสารและตัวเงินให้ถูกต้องตรงกัน

เป็นเครื่องมือควบคุมที่ให้ความสำคัญกับกิจกรรมเพิ่มเติมที่ชัดเจนที่มีเป้าหมายให้ทำการการตรวจสอบ การค้นหาเพื่อให้มั่นใจว่าไม่พบความผิดปกติหรือความไม่ถูกต้อง

วิธีการกระทบยอดคือการเปรียบเทียบแหล่งที่มาของข้อมูลที่แตกต่างกันจาก 2 แหล่งขึ้นไป เพื่อหาว่าจำนวนเงินยังถูกต้องตรงกันหรือไม่ มีความแตกต่างกันอย่างไรในประเด็นใด เพื่อจะนำไปสู่การทำกิจกรรมที่มีการแก้ไขให้ถูกต้องและตามความจำเป็น

โดยส่วนใหญ่การกระทบยอดมักจะใช้กับการตรวจสอบหรือสอบทานรายการในงบการเงิน รายการทางบัญชีที่เป็นกิจกรรมการควบคุมที่ทำทุกสิ้นวัน

กิจกรรมการควบคุมส่วนนี้จะช่วยให้หลักประกันว่าธุรกรรมที่ดำเนินการไปแล้วจะมีความถูกต้อง ครบถ้วน โดยมีเงื่อนไขของการใช้การควบคุมนี้

ก)     ผู้ทำหน้าที่อนุมัติจะต้องไม่ทำหน้าที่ในการกระทบยอดด้วย

ข)     ผู้ที่ทำหน้าที่กระทบยอดจะต้องไม่ใช่ผู้ที่ทำหน้าที่บันทึกรายการนั้น ๆ

ค)     ผู้ที่เก็บรักษาตัวเงินสดจะต้อไม่ทำหน้าที่กระทบยอดรายการที่เกี่ยวข้องกับเงินสดเอง

องค์ประกอบที่ถือเป็นจุดวิกฤติของกระบวนการกระทบยอดคือ การหาทางรู้ว่าความแตกต่างที่เกิดขึ้นมาจากเหตุผลใด ซึ่งในหลายกรณีเป็นเรื่องที่ใช้ทั้งเวลา ความพยายาม ในการหาให้ว่าต้องปรับปรุงส่วนใดเพื่อให้ความแตกต่างนั้นหายไป ทั้งนี้เนื่องจากไม่มีกิจการใดยอมรับรายการที่แตกต่างกันระหว่างข้อมูลจากแหล่งที่มาของรายการ 2  แหล่งได้

นอกจากนั้น ยงอาจจะต้องหาผู้ที่รับผิดชอบในความแตกต่างหรือความผิดพลาดของการดำเนินการ  หรือชดใช้ความเสียหายหากเกิดขึ้น เช่น การจ่ายเงินเกินกว่าที่ต้องจ่าย พร้อมทั้งทำรายงานผลการกระทบยอดให้ชัดเจนด้วย

เครื่องมือที่ 3 การทำกระบวนการทบทวนหรือเปรียบเทียบที่ไม่ใช่การกระทบยอด

กรณีของการควบคุมแบบนี้เป็นเรื่องของ

1.การใช้จ่ายเงินจริงเปรียบเทียบกับวงเงินงบประมาณที่กำหนดให้

2.การเปรียบเทียบปริมาณธุรกรรมในปัจจุบันกับที่เคยเกิดในอดีต

3.การสร้างดัชนีชี้วัดผลการดำเนินงานหรือผลสำเร็จของการปฏิบัติงานเพื่อการกำกับตั้งแต่แรกจนการดำเนินการเสร็จสิ้น

4.การกำกับ ติดตาม สอดล่องเพื่อค้นหาว่ามีผลลัพธ์ไม่พึงประสงค์หรือรายการผิดปกติหรือไม่

การทบทวนเป็นเครื่องมือที่นิยมนำขึ้นมาใช้กับรายงาน สถานะทางการเงิน สิ่งที่ได้จากการกระทบยอด  และข้อมูลอื่น ๆ ได้โดยเป็นการดำเนินการทบทวนจากระดับบริหาร  โดยพิจารณาจากความสอดคล้อง ความสมเหตุสมผล และความน่าเชื่อถือได้ และการเปรียบเทียบกับวงเงินงบประมาณ เป้าหมาย วัตถุประสงค์ พันธกิจ แผนกลยุทธ์ หรือค่าพยากรณ์ที่กำหนดไว้ล่วงหน้า หรือ benchmark อื่น ๆ ที่สามารถวัดเปรียบเทียบข้อมูลได้

เครื่องมือที่ 4 การปกป้องและดูแลความปลอดภัยของสินทรัพย์

เป็นการควบคุมที่เน้นทั้งในเชิงป้องกันและแก้ไขจุดอ่อนที่ยังคงมีอยู่ ที่เกี่ยวข้องกับสินทรัพย์ที่มีตัวตันทางกายภาพและทรัพย์สินทางปัญญาหรือที่ไม่มีตัวตนอื่น ๆ  โดยทั่วไปมักจะประกอบด้วย

1.การวางระบบการรักษาความปลอดภัยของทรัพย์สิน

2.การดูแลให้ทรัพย์สินมีสภาพที่ปลอดภัย

3.การทำการบันทึกความมีอยู่และการบำรุงรักษาให้มีสภาพการใช้งานได้อย่างเหมาะสม

4.การตรวจนับ การจัดระบบทะเบียนควบคุมสินค้าคงคลังตามกรอบเวลาที่ชัดเจน และเปรียบเทียบผลการตรวจนับกับทะเบียนคุม

5.การตรวจสอบแบบไม่แจ้งล่วงหน้า และค้นหาความแตกต่าง

6.กำหนดเกณฑ์ในการควบคุมหรือกำกับการเข้าถึงทรัพย์สินให้เข้มงวด รัดกุม

ทรัพย์สินที่ควรได้รับความสำคัญในการควบคุมมากเป็นพิเศษได้แก่

6.1 ทรัพย์สินที่มีสภาพคล่องสูง ซื้อง่ายายคล่องมีตลาดรองรับที่ชัดเจน

6.2 ทรัพย์สินที่สามารถนำไปใช้ประโยชน์ในกิจการได้หลากหลายประเภทธุรกิจ ไม่ใช่ทรัพย์สินเฉพาะที่ใช้กับกิการประเภทเดียว

6.3  ระบบงานที่วิกฤติและกำกับธุรกรรมหลักของกิจการ

6.4  ข้อมูล สารสนเทศที่มีชั้นความลับในระดับสูง

6.5  คอมพิวเตอร์ ซอฟท์แวร์ ฮาร์ดแวร์ที่ใช้ปฏิบัติงานประจำวัน

6.6  ทรัพย์สินที่อาจจะเป็นอันตรายหากไม่มีการควบคุม

6.7  เอกสารหลักฐานที่ต้องใช้งานอยู่เสมอ

วิธีการควบคุมภายในที่ต้องดำเนินการก่อนอื่นคือ การควบคุมทางกายภาพทุกชนิดที่สามารถทำได้ และการควบคุมการเข้าถึงสิ่งที่ต้องการการคุ้มครอง  ตลอดจนการตรวจสอบ สอบทานทันทีหรือด้วยความถี่ตามความจำเป็น

7.การควบคุมด้วยการพิจารณาจุดที่ควรจะมีการควบคุม ซึ่งประกอบด้วย

7.1  การควบคุม ณ ช่วงเวลาและจุดเตรียมการ จัดหาทรัพยากร ห่อนเริ่มการดำเนินงาน

7.2  การควบคุม ณ ช่วงเวลาและจุดที่อยู่ระหว่างดำเนินการหรือปฏิบัติการ

7.3  การควบคุม ณ ช่วงเวลาและจุดที่ส่งมอบผลผลิตหรือบริการแก่กลุ่มเป้าหมาย ให้ผลผลิตหรือบริการได้ตามเป้าหมายและครบถ้วนสมบูรณ์

8.การควบคุมอาจจะพิจารณาจากลักษณะที่เกิดผลกระทบต่อธุรกิจของกิจการหรือประเภทของวัตถุประสงค์ ซึ่งอาจจะแยกออกเป็น

8.1  วัตถุประสงค์ด้านกลยุทธ์

8.2  วัตถุประสงค์ด้านปฏิบัติการ

8.3  วัตถุประสงค์ด้านการเงิน

8.4  วัตถุประสงค์ด้านการกำกับการปฏิบัติตามกฎเกณฑ์

8.5  วัตถุประสงค์ด้านการบริหารพิบัติภัยจากภายนอก

 

สนใจเชิญบรรยายหัวข้อนี้ติดต่อ sumetheeprasit@hotmail.com

 

สิงหาคม 25, 2012 Posted by | ควบคุมภายใน | , , , , , , , , , , , | ใส่ความเห็น

กิจกรรมการควบคุมภายใน ส่วนที่ต้องทำให้ถูกที่ถูกทาง-เรื่องที่ 346

อาจารย์  จิรพร  สุเมธีประสิทธิ์

sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

ในบรรดาองค์ประกอบของการควบคุมภายในที่ดี กิจกรรมการการควบคุมภายในถือว่ามีความสำคัญที่สุดองค์ประกอบหนึ่ง เพราะหากกิจกรรมที่ดำเนินการไม่เหมาะสม ไม่ถูกทิศถูกทาง ก็ไม่อาจจะทำให้กิจการกำกับหรือควบคุมความเสี่ยงได้อย่างเพียงพอ และเปิดให้ความเสี่ยงเกิดในกิจการจนการดำเนินงานไม่บรรลุผลตามเป้าหมายที่ตั้งไว้

กิจกรรมการควบคุมภายในมักจะประกอบด้วย นโยบาย กรอบแนวทางและวิธีปฏิบัติงาน เทคนิค และกลไกที่ช่วยให้กิจการมีหลักประกันว่าได้เกิดการบริหารจัดการที่จะตอบโต้กับความเสี่ยงสำคัญที่ค้นพบและระบุไว้ เพื่อลดสถานะความเสี่ยงลงไปสู่ระดับที่ยอมรับได้

หรือกล่าวอีกนัยหนึ่ง กิจกรรมการควบคุมภายใน คือกิจกรรมที่ดำเนินการเพื่อลดระดับความเสี่ยงให้เหลือน้อยที่สุด

สิ่งที่ควรจะรู้และพึงระวังในประเด็นที่เกี่ยวกับกิจกรรมการควบคุมภายในมีหลายประการ ได้แก่

ประการแรก

กิจกรรมการควบคุมภายในอาจจะเป็นเรื่องของการป้องกันหรือการตรวจพบเพื่อนำไปสู่แก้ไข

ก) กิจกรรมการป้องกันเป็นกิจกรรมที่ออกแบบมาเพื่อหลีกเลี่ยงการเกิดขึ้นของเหตุการณ์ความเสี่ยงที่ไม่พึงประสงค์

การพัฒนากิจกรรมการควบคุมภายในในลักษณะนี้จะทำได้เมื่อผู้วางกิจกรรมการควบคุมภายในจะต้องมีความสามารถในการพยากรณ์ปัญหาที่คาดว่าจะเกิดขึ้นในอนาคต ก่อนที่เหตุการณ์ความเสี่ยงนั้นจะเกิดขึ้น แล้วจึงจัดทำกิจกรรมการควบคุมภายในเพื่อการกำกับต่อไป

ส่วนการพัฒนากิจกรรมการควบคุมภายในในลักษณะของการตรวจพบและแก้ไข เป็นการออกแบบกิจกรรมการควบคุมภายในที่ระบุเหตุการณ์ความเสี่ยงที่ไม่พึงประสงค์ที่ได้เกิดขึ้นแล้วภายในกิจการ และทำการเตือนหรือรายงานผู้บริหารให้รับทราบเกี่ยวกับสิ่งที่ได้เกิดขึ้น เพื่อที่ผู้บริหารจะได้ตัดสินใจจัดวางกิจกรรมการควบคุมภายในในการแก้ไขอีกทอดหนึ่ง

ประการที่สอง

กิจกรรมการควบคุมภายในสามารถแจกแจงออกเป็นลักษณะต่าง ๆ กัน ได้แก่

ก) นโยบาย

ข) กรอบแนวทางปฏิบัติ

ค) วิธีการปฏิบัติงานหรือคู่มือการปฏิบัติงาน

ง) การกำหนดหน้าที่ ความรับผิดชอบ และอำนาจในการกระทำการ

จ) การควบคุมทางกายภาพหรือการควบคุมกระบวนการ

ประการที่สาม

กิจกรรมการควบคุมภายในจะต้องอยู่ในแผนการควบคุมภายในของกิจการ เพื่อให้เกิดผลในภาคปฏิบัติ

ประการที่สี่

กิจกรรมการควบคุมภายในจะต้องครอบคลุมในทุกระดับของงานและทุกฝ่ายงานของกิจการ โดยในการออกแบบกิจกรรมการควบคุมภายใน ผู้บริหารมักจะคาดหวังว่าจะได้กิจกรรมการควบคุมภายในที่ได้ประโยชน์สูงสุดและต้นทุนต่ำที่สุด โดยพิจารณาจาก

ก) ต้นทุนของกิจกรรมการควบคุมภายในไม่ควรจะเกินกว่าต้นทุนที่อาจจะเกิดขึ้น หากเกิดเหตุการณ์ความเสี่ยงที่ไม่พึงประสงค์

ข) ผู้บริหารควรจะสร้างกิจกรรมการควบคุมภายในที่แทรกเข้าไปในกระบวนการดำเนินงานของกิจการ และแทรกในระบบงานในขั้นตอนที่กิจการได้ทำการออกแบบและจัดวางกระบวนการและระบบงาน ไม่ใช่สร้างกิจกรรมการควบคุมภายในหลังจากนั้น การเพิ่มเติมกิจกรรมการควบคุมภายในหลังจากการพัฒนากระบวนการและระบบงานแล้วอาจจะเกิดค่าใช้จ่ายและต้นทุนที่สูงกว่ามาก และยากที่จะทำการวางกิจกรรมการควบคุมภายในได้อย่างครอบคลุม และผู้ปฏิบัติงานได้เกิดความคุ้นเคยกับการทำงานนั้นไปแล้ว แก้ไจและเปลี่ยนแปลงยาก

ค) การจัดสรรทรัพยากรไปใช้ในระหว่างกิจกรรมการควบคุมภายในทั้งหลาย ควรจะอิงอยู่บนความน่าจะเป็นและระดับความรุนแรงของผลกระทบจากเหตุการณ์ความเสี่ยง

ง) สำหรับเหตุการณ์ความเสี่ยงใด ๆ อาจจะต้องมีกิจกรรมการควบคุมภายในที่หลากหลายและผสมผสานกันเพื่อให้เกิดความเพียงพอ

จ) การที่นำเอากิจกรรมการควบคุมภายในมาใช้มากเกินไป อาจจะเกิดผลในทางตรงข้ามและทำให้ผลิตภาพของการดำเนินงานลดลง แทนที่จะเพิ่มขึ้น

ประการที่ห้า

กิจกรรมการควบคุมภายในที่นิยมนำไปใช้ในกิจการต่าง ๆ ได้แก่

ก) การมอบอำนาจการกระทำการ เป็นกิจกรรมการควบคุมภายในที่ออกแบบมาเพื่อให้หลักประกันว่าธุรกรรมทุกประเภทจะมีขอบเขตจำกัดอย่างชัดเจน และตรงตามนโยบาย หรือการยกเว้นหรือละเว้นกิจกรรมการควบคุมภายในในกรณีที่จำเป็นเป้นของผู้บริหารระดับใด อย่างไร

ข) การสอบทานและการเสนอเพื่ออนุมัติก่อนการดำเนินการ เป็นกิจกรรมการควบคุมภายในที่ออกแบบมาเพื่อให้ธุรกรรมที่เสี่ยงหรือธุรกรรมหลักต้องมีการสอบทานความถูกต้องก่อนชั้นหนึ่ง แล้วจึงนำเสนอให้บุคลากรอีกคนหนึ่งทำการอนุมัติหรือเห็นชอบก่อนที่จะเกิดดำเนินการนั้น ๆ

ค) การพิสูจน์ยอด เป็นกิจกรรมการควบคุมภายในที่ออกแบบเพื่อให้ครอบคลุมหลายลักษณะ เพื่อให้ข้อมูลและสารสนเทศทางการเงินออกมาอย่างถูกต้อง ครบถ้วน สมบูรณ์

ง) การกระทบยอด เป็นกิจกรรมการควบคุมภายในที่ออกแบบมาเพื่อพิสูจน์และสอบยันยอดของข้อมูลทางการเงิน ณ ระยะเวลาใดเวลาหนึ่ง ด้วยการเปรียบเทียบเอกสาร แหล่งที่มาของตัวเลขทางการเงิน ที่ใช้ในการบันทึกรายการทางการเงินและทางบัญชี

จ) การรักษาความปลอดภัยทางกายภาพของสินทรัพย์ เป็นกิจกรรมการควบคุมภายในที่อออกแบบมาเพื่อทำให้มั่นใจว่าจะมีการรักษาความปลอดภัย  และการปกป้องจากความเสียหาย การถูกทำลาย อันเนื่องมาจากอุบัติเหตุ พิบัติภัยทางธรรมชาติ การละเลยไม่ใส่ใจ หรือการกระทำที่เจตนาร้าย การทุจริต การลักขโมย

ฉ) การแบ่งแยกหน้าที่ความรับผิดชอบ เป็นกิจกรรมการควบคุมภายในที่ออกแบบมาเพื่อลดความเสี่ยงจากความผิดพลาด คลาดเคลื่อน หรือการทุจริต ที่อาจจะต้องใช้บุคคลมากกว่า 1 คน ชในการดำเนินการ เพื่อที่จะทำให้เกิดการทำผิดที่สมบูรณ์

ช) การให้การศึกษา การอบรม ระบบพี่เลี้ยง นิเทศงาน เป็นกิจกรรมการควบคุมภายในที่ออกแบบมาเพื่อลดความเสี่ยงจากการผิดพลาด คลาดเคลื่อน และความไร้ประสิทธิภาพของการดำเนินการ ด้วยการทำให้มั่นใจว่าบุคลากรจะได้รับการศึกษา การอบรมให้ปฏิบัติงานได้อย่างมีประสิทธิภาพ ผ่านหลักสูตรที่เหมาะสม และมีการทบทวน ปรับปรุงหลักสูตรอย่างสม่ำเสมอ

ซ) การวางแผนและประเมินผลการดำเนินงานและการปฏิบัติงานที่เป็นรูปธรรมเป็นกิจกรรมการควบคุมภายในที่ทำการสร้างดัชนีชี้วัดผลสำเร็จของการดำเนินงาน และตรวจสอบว่ามีการดำเนินการที่ไม่เป็นไปตามความคาดหมาย หรือแนวโน้มของการดำเนินงานที่ผิดปกติหรือไม่ เพื่อนำไปประเมินว่ามีความจำเป็นในการตรวจสอบเพิ่มเติม และ/หรือกระทำการเพื่อการแก้ไขต่อไป  ซึ่งในส่วนของการประเมินผลการดำเนินงานนั้นแจจะทำกิจกรรมการควบคุมภายในได้หลายลีกษณะ ตั้งแต่การประเมินแผนงานหลักทุกแผน การประเมินกิจกรรมที่มีการริเริ่มใหม่ การประเมินพาหบางฝ่ายงาน หรือการประเมินเฉพาะบางกิจกรรมหรือบางธุรกรรมเท่านั้น

ประการที่หก

ข้อจำกัดที่สำคัญของการพัฒนากิจกรรมการควบคุมภายใน คือ ให้กิจการดำเนินการบางอย่างที่สมเหตุสมผลในการกำกับการดำเนินงานเพื่อให้บรรลุตามเป้าหมายที่วางไว้ แต่ตัวกิจกรรมการควบคุมภายในก็ยังคงมีข้อจำกัดในตัวของระบบเอง ได้แก่

ก) กิจกรรมการควบคุมภายในบางอย่างยังเป็นเรื่องของดุลยพินิจ เพราะมาจากการตัดสินใจของผู้บริหารหรือของบุคคล ที่มีการบริหารจัดการกิจการอยู่ในเวลานั้น ๆ ซึ่งเมื่อเวลาเปลี่ยนแปลงไป ผู้บริหารเปลี่ยนคนไป อาจจะมีแนวคิดและการตัดสินใจที่เปลี่ยนแปลงไปด้วย

ข) แม้ว่ากิจกรรมการควบคุมภายในจะทำการออกแบบมาอย่างดีแล้ว ก็อาจจะไม่มีประสิทธิผลเพราะความไม่เข้าใจหรือความเข้าใจผิด ตีความที่แตกต่างกัน

ค) การละเว้นหรือเลือกปฏิบัติที่แตกต่างจากกิจกรรมการควบคุมภายในที่จัดวางไว้โดยผู้บริหารระดับสูง ในลักษณะ Management Override ซึ่งเรื่องนี้จะต้องไม่สับสนกับการแทรกแซงโดยผู้บริหารตามความจำเป็น และมีเจตนาที่จะแก้ไขปัญหาเฉพาะเรื่อง

ง) เกิดการสมรู้ร่วมคิดกันระหว่างบุคคล ในการปฏิบัติมิชอบ

จ) การเปรียบเทียบต้นทุนและผลประโยชน์ ซึ่งเป็นการยากที่จะหาจุดที่เหมาะสมที่สุดว่าอยู่ที่ระดับใด

ฉ) ความจำกัดของทรัพยากร ทำให้กิจการต้องจัดเรียงลำดับความสำคัญของกิจกรรมการควบคุมภายในว่า หากมีความจำเป็นต้องเลือกจะเลือกใช้ทรัพยากรเพื่อวางกิจกรรมการควบคุมภายใน

ประการที่เจ็ด

ในการจัดวางกิจกรรมการควบคุมภายใน อาจจะจำเป็นต้องมีการกำหนดเอกสาร หลักฐาน ประกอบที่จำเป็นในบางกรณีของกิจกรรมการควบคุมภายใน และอาจจะใช้เป็นข้อมูลที่จำเป็นในการตัดสินใจ ในการพิสูจนเหตุการณ์ ในการสะท้อนธุกรรมที่เกิดจริง

เอกสาร หลักฐาน ที่นิยมนำไปใช้ประกอบกิจกรรมการควบคุมภายใน ได้แก่นโยบายหลัก กรอบแนวปฏิบัติ และกระบวนการดำเนินงาน เป็นต้น

 

สนใจเชิญบรรยายหัวข้อนี้ติดต่อ sumetheeprasit@hotmail.com

 

กรกฎาคม 23, 2012 Posted by | ควบคุมภายใน | , , , , , , , , , | ใส่ความเห็น

การควบคุมภายใน-เลือกเครื่องมือให้เหมาะสมอย่างไร เรื่องที่ 296

อาจารย์ จิรพร  สุเมธีประสิทธิ์

sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

การควบคุมภายในเป็นเครื่องมือในการบริหารจัดการที่นำกิจการสู่แนวทางการกำกับดูแลกิจการที่ดีได้ และใช้เป็นสารสนเทศด้านการบริหารจัดการที่กิจการสามารถสื่อสารกับบุคลากรและหน่วยงานภายนอกได้ดี โดยเฉพาะการเปิดเผยผลการดำเนินงานทางการเงิน และยังมีส่วนช่วยส่งเสริมกิจกรรมการกำกับการปฏิบัติตามกฎเกณฑ์ (Compliance) ให้มีประสิทธิภาพและประสิทธิผลดีขึ้น และยังช่วยในการปรับตัวและปรับโครงสร้างทางธุรกิจตามสถานการณ์ที่เปลี่ยนแปลงได้อย่างมั่นใจมากขึ้น

รูปแบบของเครื่องมือซอฟท์แวร์เพื่อการควบคุมภายในในปัจจุบันมีการพัฒนาและนำออกมาวางจำหน่ายมากมาย ซึ่งอาจจะแบ่งออกเป็น 4 รูปแบบด้วยกัน ได้แก่

1. แอบพลิเคชั่นทั่ว ๆ ไปหรือ generic Applications ที่ช่วยสนับสนุนงานควบคุม

2. การบริหารงานด้านเอกสารและกระบวนการไหลของงาน

3. เหมืองข้อมูล (Data mining) ระบบอัจฉริยะในการบริหารธุรกิจ

4. การบริหารผลดำเนินงานทางธุรกิจ และการกำกับการปฏิบัติตามกฎเกณฑ์แบบ real time

แต่ละกิจการจะต้องค้นหาให้ได้ว่าเครื่องมือการควบคุมภายในรูปแบบใดที่มีความเหมาะสมกับระบบและกระบวนการด้านการควบคุมภายในของกิจการ

ในการตัดสินใจดังกล่าว ผู้บริหารกิจการอาจจะต้องพิจารณาเกี่ยวกับ

1. ความพร้อมและศักยภาพของทรัพยากรในกิจการที่จะนำไปใช้ในการพัฒนาระบบและกระบวนการด้านการควบคุมภายใน ซึ่งรวมถึงบุคลากรและเงินงบประมาณที่เกี่ยวข้องด้วย

2. การเลือกระดับความทันสมัยและก้าวหน้าของเครื่องมือที่มีอยู่กันหลายระดับในบางเครื่องมือ โดยอาจจะคำนึงถึงประสิทธิภาพในการควบคุมในอนาคต

3. ความสามารถของแต่ละเครื่องมือในการกำกับ ติตาม และประเมินผลของประสิทธิภาพและประสิทธิผลในการควบคุมภายในที่อาจจะให้ความสำคัญในส่วนนี้แตกต่างกันออกไป

4. ความครอบคลุมของเครื่องมือที่ไม่ใช่เพียงทำหน้าที่ในการกำกับการปฏิบัติงานเท่านั้น หากแต่ยังสามารถช่วยเป็นตัวกำกับการปฏิบัติตามกฎเกณฑ์ มิให้เกิดการฝ่าฝืนระเบียบและกฎหมายต่าง ๆ ด้วย

5. การทำความเข้าใจเกี่ยวกับ คุณสมบัติของเครื่องมือ และข้อจำกัดของแต่ละเครื่องมือแต่ละเครื่องมือ รวมทั้งการสนับสนุนหลังการขายจากผู้จำหน่ายและตัวแทนขายเครื่องมือเหล่านั้น  ทั้งบริการหลังการขายที่มีอยู่แล้ว และแผนการในอนาคตในการพัฒนาระบบบริการหลังการขาย ตลอดจนเครื่องมือใหม่ ๆ เพิ่มเติมที่กำลังพัฒนาหรือเตรียมนำออกเสนอขายในตลาด

6. เครื่องมือที่มีให้เลือกได้พัฒนาไปสู่การใช้เทคนิคหรือกระบวนการด้านการควบคุมภายในรูปแบบใหม่ ๆ ทดแทนรูปแบบที่ล้าสมัย หรือขาดความเที่ยงตรงเนื่องจากมีการใช้คนกำกับด้วย manual แทนที่จะเป็นการกำกับและการควบคุมภายในด้วยระบบงาน

7. เครื่องมือการควบคุมภายในนั้น ๆ มีส่วนในการลดขั้นตอน กิจกรรมการการควบคุมภายในที่เคยมีอยู่ในกิจการให้มีต้นทุนลดลง และร่นระยะเวลาด้วยหรือไม่

ในการพิจารณาปัจจัยทางเทคนิคของเครื่องมือการควบคุมภายใน ผู้บริหารอาจจะต้องพิจารณาจากปัจจัยต่อไปนี้

1. เครื่องมือการควบคุมภายในนั้นเป็นซอฟท์แวร์ที่รองรับหน้าที่และกิจกรรมด้านการควบคุมภายในที่สำคัญ และมีความจำเป็นต่อการบริหารงานการควบคุมภายในของกิจการ

2. ผู้จำหน่ายหรือตัวแทนขายเป็นกิจการที่มีฐานะทางการเงินมั่นคง และมีแนวโน้มด้านการดำเนินงานที่ยั่งยืน เพื่อสนับสนุนงานบริการหลังการขายได้เป็นเวลายาวนานตามความจำเป็นของกิจการ

3. ตำแหน่งทางการตลาดของเครื่องเครื่องมือการควบคุมภายในที่นำเสนอ เทียบกับสายการผลิตโดยรวมของตลาดเครื่องมือการควบคุมภายในโดยรวมทั้งหมดในตลาด

4. ตัวเครื่องมือการควบคุมภายในไม่มีแนวโน้มที่จะเกิดปัญหาในการทำงานร่วมกับระบบงานอื่นที่กิจการได้ใช้งานอยู่แล้ว

5. เป็นเครื่องมือการควบคุมภายในที่สามารถพัฒนาการทำงานบน Web based interface เพื่อให้ผู้ใช้งานสามารถทำงานผ่านระบบออนไลน์ได้ โดยไม่จำเป็นต้องเข้าไปติดตั้งให้ทำงานบนเครื่องคอมพิวเตอร์พีซีรายเครื่อง

5. กิจการสามารถปรับเปลี่ยน (Customized) เครื่องมืการควบคุมภายในนั้นตามความต้องการ เพื่อให้เหมาะสมกับการดำเนินงานของกิจการได้มากน้อยเพียงใด

6. ผู้จำหน่ายหรือตัวแทนขายมีหลักสูตรการอบรมการใช้งานจากเครื่องมือการควบคุมภายในอย่างเพียงพอ และจัดหลายครั้งเพื่อให้โอกาสพนักงานใหม่ได้เรียนรู้ตามความจำเป็น

7. เครื่องมือสามารถทำงานร่วมกับ database  ที่มีอยู่ หรือสามารถเชื่อมโยงกับโปรแกรมอื่น ๆ ได้ง่ายดายเพียงใด

8. ระดับราคาของเครื่องมือการควบคุมภายในแต่ละเครื่องมือแตกต่างกันมากน้อยเพียงใด

9. การบำรุงรักษา การสนับสนุนให้เครื่องมือทำงานได้อย่างต่อเนื่อง และต้นทุนของการอัพเกรด ทั้งทางตรงและทางอ้อมแตกต่างกันอย่างไรในระหว่างเครื่องมือการควบคุมภายในแต่ละเครื่องมือ

10. มีข้อมูลที่เพียงพอเกี่ยวกับโครงสร้างพื้นฐาน (Infrastructure) และระบบปฏืบัติการที่เกี่ยวข้อง และมีความเสี่ยงที่ประเด็นเหล่านี้จะมีการเปลี่ยนแปลงหรือไม่

ในการเลือกเครื่องมือการบริหารการควบคุมภายใน ยังจะต้องมีการพิจารณาในประเด็นสำคัญอื่น ๆ ประกอบกับการพิจารณาทางเทคนิคดังกล่าวข้างต้น

สิ่งที่อาจจะใช้ประกอบการพิจารณาตัดสินใจเลือกเครื่องมือในการควบคุมภายใน ได้แก่

1. เครื่องมือด้านการควบคุมภายในที่จะในกิจการ ควรจะมุ่งเน้นการกำกับการปฏิบัติงานในระยะสั้นไม่เกิน 1 ปี หรือกำกับการเพิ่มมูลค่ากิจการในระยะยาวเพื่อความยั่งยืนของกิจการมากกว่า

2. กิจการมีความจำเป็นหรือมีทางเลือกอื่น ๆ ในการพัฒนาการควบคุมภายใน เช่น การออกนโยบายใหม่  การวางกรอบแนวทางปฏิบัติใหม่ หลักสูตรการอบรม  และหลักสูตรการส่งเสริมจริยธรรม หรือมีโอกาสในการออกกฎระเบียบหรือกฎหมายใหม่ ๆ เพิ่มเติม เป็นต้น ที่จะทำให้เครื่องมือการควบคุมภายในนั้นมีศักยภาพในการรองรับการเพิ่มเติมสภาพแวดล้อมในการควบคุมภายในใหม่ ๆ ได้อย่างสมบูรณ์มากกว่าเครื่องมืออื่น ๆ

3. หากนำเอาเครื่องมือการควบคุมภายในนั้นมาใช้งานในกิจการแล้ว จะต้องทำการปรับเปลี่ยนกระบวนการดำเนินงานให้สอดคล้องกับเครื่องมือหรือไม่ และการปรับเปลี่ยนกระบวนการดำเนินงานดังกล่าวมีข้อดี-ข้อเสนยอย่างไร และการเปลี่ยนแปลงนั้นมีความคุ้มค่าหรือไม่

4. เครื่องมือการควบคุมภายในนั้น สามารถสอดแทรกและบูรณาการเข้ากับระบบงานอื่น ๆ และรูปแบบของเอกสารหลักฐาน ที่กิจการได้มีการใช้งานทั่วทั้งองค์กรอยู่ก่อนแล้วหรือไม่

5. กิจการได้ทำการทบทวนระบบและกระบวนการด้านเครื่องมือการควบคุมภายในที่ใช้งานอยู่ในปัจจุบัน และลักษณะที่ใช้งานในเครื่องมือการควบคุมภายในอย่างละเอียด  และสามารถแจกแจงกลุ่มของเครื่องมือการควบคุมภายในออกเป้นกลุ่มที่มีความเพียงพอและยังไม่เพียงพอในด้านการใช้งานเพื่อเครื่องมือการควบคุมภายใน ตลอดจนระบุความล้าสมัยของเครื่องมือการควบคุมภายในได้ชัดเจนแล้วหรือไม่

ในการดำเนินการประเมินตนเองเกี่ยวกับโครงสร้างของระบบและกระบวนการด้านเครื่องมือการควบคุมภายใน อาจจะสามารถแบ่งระดับของเครื่องมือการควบคุมภายในออกไปได้เป็นระดับ ดังนี้

ระดับที่ 1 เครื่องมือการควบคุมภายในยังไม่น่าเชื่อถือและไม่มั่นใจมีสภาพแวดล้อมของการควบคุมภายในที่ยังคาดหมายล่วงหน้าไม่ได้แน่นอน

ยังไม่มีการออกแบบและการใช้งานอย่างเป็นระบบในด้านระบบและกระบวนการด้านการควบคุมภายใน

ระดับที่ 2 การควบคุมภายในยังไม่เป็นทางการ และไม่เป็นระบบมีการจัดวางการควบคุมภายในแต่ยังไม่เพียงพอ ไม่เป็นลายลักษณ์อักษร และส่วนใหญ่ขึ้นกับการแทรกแซงด้วยการทำงานด้วย manual

ไม่มีการสื่อสารอย่างเป็นทางการเกี่ยวกับการควบคุมภายใน

ไม่มีหลักสูตรการให้ความรู้ความเข้าใจด้านการควบคุมภายใน

ระดับที่ 3 การควบคุมภายในที่มีมาตรฐานมีการจัดวางการควบคุมภายในอย่างชัดเจน และเป็นลายลักษณ์อักษร

มีการสื่อสารอย่างเป็นทางการแก่บุคลากรเกี่ยวกับการควบคุมภายใน

อาจจะยังมีการความคลาดเคลื่อนที่ระบบการควบคุมภายในตรวจจับไม่พบในกิจการ

ระดับที่ 4 การควบคุมภายในใช้ในการกำกับและการติดตามมีการทบทวน การทดสอบเพื่อประเมินผลการใช้การควบคุมภายในเป็นระยะ ๆ

มีการสื่อสารสิ่งที่ได้จากการประเมินให้พนักงานรับทราบ และปรับปรุงอย่างต่อเนื่อง

มีการใช้การควบคุมภายในที่เป็นระบบอัตโนมัติบางส่วน

ระดับที่ 5 มีการควบคุมภายในที่เหมาะสมให้ประโยชน์สูงสุดแก่กิจการมีกรอบการควบคุมภายในเชิงบูรณาการ  ที่ทำหน้าที่กำกับและติดตามแบบ real-time

มีการใช้งานการควบคุมภายในอย่างต่อเนื่อง และใช้เพื่อการบริหารจัดการในระดับองค์กร

เป็นการควบคุมภายในด้วยระบบอัตโนมัติเกือบทั้งหมด

มีศักยภาพและความพร้อมในการปรับปรุงระบบและกระบวนการด้านการควบคุมภายในได้อย่างทันท่วงทีและตามความจำเป็น

สนใจเชิญบรรยายหัวข้อนี้ติดต่อ sumetheeprasit@hotmail.com

เมษายน 2, 2012 Posted by | ควบคุมภายใน | , , , , , , , , , , | ใส่ความเห็น

ติดตาม

Get every new post delivered to your Inbox.

Join 107 other followers