หลักการควบคุมภายใน COSO 2013

ตอบกลับโพส
siri
โพสต์: 937
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

หลักการควบคุมภายใน COSO 2013

โพสต์ โดย siri » จันทร์ เม.ย. 26, 2021 1:36 pm

Introduction
นับตั้งแต่การเสนอกรอบการควบคุมภายใน COSO ในปี ค.ศ. 1992 COSO 1 กรอบแนวทางการควบคุมภายในตาม COSO ได้กลายเป็นแนวทางปฏิบัติที่เกี่ยวข้องกับระบบการควบคุมภายในที่ได้รับการยอมรับอย่างกว้างขวางมาเป็นเวลากว่า 20 ปี จนกระทั่งมีการปรับปรุงครั้งใหญ่ เมื่อเดือน พฤษภาคม 2013 COSO 2013 โดยได้ถูกปรับปรุงใหม่ให้สอดคล้องกับสภาพแวดล้อมทางธุรกิจที่พัฒนาและเปลี่ยนแปลงไปอย่างรวดเร็ว ซึ่งยังตั้งอยู่บน 5 องค์ประกอบหลักเดิม แต่เพิ่มเติม 17 หลักการย่อย เพื่อทำให้ระบบการควบคุมภายในมีความเข้มแข็งและชัดเจนยิ่งขึ้น

การมีระบบการควบคุมภายในที่ดี มีความสำคัญอย่างยิ่งต่อบริษัทที่จดทะเบียนในตลาดหลักทรัพย์ หรือกำลังจะเข้าตลาดหลักทรัพย์ หรือมีประชาชนเป็นผู้ถือหุ้น ซึ่งการควบคุมภายในจะสามารถช่วยป้องกัน บริหาร จัดการความเสียหายต่างๆ ที่อาจเกิดขึ้นกับบริษัทและผู้มีส่วนได้เสียได้เป็นอย่างดี ทั้งยังก่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุวัตถุประสงค์และเป้าหมาย ทั้งด้านการดำเนินงาน การรายงาน และการปฏิบัติตามกฎระเบียบ อีกทั้งเพื่อให้การจัดทำและอนุมัติแบบประเมินฯ เสร็จสมบูรณ์ ภายในระยะเวลาที่ต้องยื่นแบบ 56-1 และ 69-1

ดังนั้น เป็นหน้าที่ของคณะกรรมการบริษัท ที่จะต้องดำเนินการให้มั่นใจว่า บริษัทมีระบบการควบคุมภายในที่เหมาะสมและเพียงพอ ในการดูแลการดำเนินงานให้เป็นไปตามเป้าหมาย วัตถุประสงค์ กฎหมาย ข้อกำหนดที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ สามารถป้องกันทรัพย์สิน จากการทุจริต และความเสียหาย รวมทั้งมีการจัดทำรายงานทางบัญชีที่ถูกต้อง น่าเชื่อถือ

ทั้งนี้ ฝ่ายตรวจสอบภายใน มีความสำคัญอย่างยิ่ง ที่จะต้องมีความเข้าใจในกรอบการประเมินการควบคุมภายใน เพื่อที่จะทำการสอบทานระบบการควบคุมภายในองค์กรให้เป็นไปอย่างเหมาะสมและเพียงพอ

เกี่ยวกับ COSO
COSO คือ กรอบแนวคิดการควบคุม เพื่อช่วยให้ผู้ปฏิบัติงานบรรลุเป้าหมาย ทั้งเรื่องของการปฏิบัติงานอย่างมีประสิทธิภาพ ประสิทธิผล ความถูกต้องครบถ้วนของรายงาน และการปฏิบัติตามกฎเกณฑ์ที่กำหนด

COSO ย่อมาจาก Committee of Sponsoring of the Treadway Commission เป็นคณะทำงาน ที่ก่อตั้งขึ้น โดยคณะกรรมาธิการของประเทศสหรัฐอเมริกา ที่ชื่อว่า Treadway Commission ในปี 1985 โดยจัดตั้งขึ้น เพื่อศึกษาและพัฒนาแนวทางการบริหารความเสี่ยง รูปแบบการควบคุมภายในที่มีประสิทธิผล และป้องกันการทุจริตของรายงานทางการเงิน

ทั้งนี้ COSO ประกอบด้วย ผู้แทนจากสถาบันวิชาชีพ 5 แห่ง ในประเทศสหรัฐอเมริกา ได้แก่
Ø สถาบันผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา: American Institute of Certified Public Accountants (AICPA)
Ø สถาบันผู้ตรวจสอบภายในสากล: Institute of Internal Auditors (IIA)
Ø สถาบันผู้บริหารการเงิน: Financial Executives Institute (FEI)
Ø สมาคมนักบัญชีแห่งสหรัฐอเมริกา: American Accounting Association (AAA)
Ø สถาบันนักบัญชีเพื่อการบริหาร: Institute of Management Accountants (IMA)

ค.ศ. 1985 มีการจัดตั้งคณะกรรมาธิการของประเทศสหรัฐอเมริกา ที่ชื่อว่า Treadway Commission โดยตั้งขึ้นเพื่อป้องกันการทุจริตของรายงานทางการเงิน

ค.ศ. 1987 Treadway Commission ได้เสนอให้ตั้งคณะทำงาน ในนามว่า Committee of Sponsoring of the Treadway Commission หรือ COSO เพื่อศึกษาและพัฒนารูปแบบการควบคุมภายในที่มีประสิทธิผล

ค.ศ. 1992 COSO ได้เสนอรายงานกรอบการควบคุมภายใน (Internal Control – Integrated Framework) ประกอบด้วยองค์ประกอบของการควบคุมภายใน 5 ด้านที่สัมพันธ์กัน กรอบงานการควบคุมนี้ บางทีเรียกกันว่า COSO 1

ค.ศ. 2004 COSO ได้เสนอกรอบงานการประเมินความเสี่ยงระดับองค์การ (Enterprise Risk Management- Integrated Framework) ประกอบด้วยองค์ประกอบ 8 ด้านที่สัมพันธ์กัน ซึ่งพัฒนาจากกรอบงานการควบคุมภายในที่มีองค์ประกอบ 5 ด้าน และองค์ประกอบเหล่านี้ใช้เป็นเกณฑ์ในการประเมินความเพียงพอของการบริหารความเสี่ยงและการควบคุม กรอบงาน การควบคุมนี้ บางทีเรียกกันว่า COSO 2

ค.ศ. 2006 COSO ได้ประกาศแนวทางการควบคุมภายในด้านการจัดทำงบการเงิน ประกอบด้วย 5 องค์ประกอบ และ 20 หลักการ โดยได้ดัดแปลงกรอบงานการควบคุมภายในเดิม (COSO 1) เพื่อลดต้นทุนในการควบคุมภายในด้านการจัดทำงบการเงินตามกฎหมาย US. Sarbanes – Oxley Act (2002) สำหรับกิจการขนาดเล็ก Internal Control over Financial Report – Guidance for Small Public Companies แนวทางนี้นิยมเรียกกันว่า COSO 3

ค.ศ. 2009 COSO 4 เป็นแนวทางด้านการกำกับติดตาม Guidance on Monitoring of Internal Control

ค.ศ. 2013 COSO ได้ประกาศแนวทางการควบคุมภายในด้านการจัดทำรายงานทางการเงินและรายงานที่ไม่ใช่งบการเงิน ซึ่งยังคงยึดกรอบแนวคิดเดิมของปี ค.ศ.1992 (Internal Control – Integrated Framework) ที่กำหนดให้การควบคุมภายในมีองค์ประกอบหลัก 5 องค์ประกอบ แต่เพิ่มเติมในส่วนอื่น ๆ ให้ชัดเจนขึ้น เรียกกันว่า COSO 2013

รูปภาพ

***************************************************************

การเปลี่ยนแปลงที่สำคัญจาก COSO 1992 (1992 VS. 2013)
Good Governance
IT control
Globalization & Business Model
Internal & External Reporting
Fraud
Financial & Non-financial Internal Control Report
Internal & External Parties
Risk Tolerance/ Risk Appetite
Responsibility & Accountability Of Internal Control
Compliance & Operational Risk and Control
Begin with “verb” in the Point of Focus
Structure: Principle/Point of focus, being close to other Standard but not similar
Apply for big and small , Overall enterprise and business process
Evaluation/Underline “integration” in evaluation

ทั้งนี้ วัตถุประสงค์ของการปรับปรุง COSO 2013

- เพื่อปรับปรุงวัตถุประสงค์ของ COSO ให้สอดคล้องกับการเปลี่ยนแปลงทางธุรกิจ และสภาพแวดล้อมการปฏิบัติงานที่เปลี่ยนแปลงไป

- เพื่อขยายวัตถุประสงค์ของ COSO ในเรื่องของ การปฏิบัติงาน และการปฏิบัติตามกฎเกณฑ์ที่กำหนด มากกว่าเฉพาะด้านการรายงานเพียงอย่างเดียว

- เพื่อให้ความกระจ่างและเป็นแนวทางสำหรับการประเมินการควบคุมภายใน

***************************************************************

องค์ประกอบ การควบคุมภายใน COSO 2013
ประกอบด้วย 5 องค์ประกอบ 17 หลักการ

องค์ประกอบที่ 1: สภาพแวดล้อมการควบคุม (Control Environment)
หลักการที่ 1 - องค์กรยึดหลักความซื่อตรงและจริยธรรม
หลักการที่ 2 - คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำกับดูแล
หลักการที่ 3 - คณะกรรมการและฝ่ายบริหาร มีอำนาจการสั่งการชัดเจน
หลักการที่ 4 - องค์กร จูงใจ รักษาไว้ และจูงใจพนักงาน
หลักการที่ 5 – องค์กรผลักดันให้ทุกตำแหน่งรับผิดชอบต่อการควบคุมภายใน

องค์ประกอบที่ 2: การประเมินความเสี่ยง (Risk Assessment)
หลักการที่ 6 - กำหนดเป้าหมายชัดเจน
หลักการที่ 7 - ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม
หลักการที่ 8 - พิจารณาโอกาสที่จะเกิดการทุจริต
หลักการที่ 9 – ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน

องค์ประกอบที่ 3: กิจกรรมการควบคุม (Control Activities)
หลักการที่ 10 - ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
หลักการที่ 11 - พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม
หลักการที่ 12 – ควบคุมให้นโยบายสามารถปฏิบัติได้

องค์ประกอบที่ 4: สารสนเทศและการสื่อสาร (Information and Communication)
หลักการที่ 13 - องค์กรมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ
หลักการที่14 - มีการสื่อสารข้อมูลภายในองค์กร ให้การควบคุมภายในดำเนินต่อไปได้
หลักการที่ 15 - มีการสื่อสารกับหน่วยงานภายนอก ในประเด็นที่อาจกระทบต่อการควบคุมภายใน

องค์ประกอบที่ 5: กิจกรรมการกำกับติดตามและประเมินผล (Monitoring Activities)
หลักการที่ 16 - ติดตามและประเมินผลการควบคุมภายใน
หลักการที่ 17 - ประเมินและสื่อสารข้อบกพร่องของการควบคุมภายในทันเวลา และเหมาะสม


ทั้งนี้ องค์ประกอบการควบคุมภายในแต่ละองค์ประกอบและหลักการจะต้อง Present & Function (มีอยู่จริง และ นำไปปฏิบัติได้) อีกทั้งทำงานอย่างสอดคล้องและสัมพันธ์กัน จึงจะทำให้การควบคุมภายในมีประสิทธิผล

รูปภาพ


รูปภาพ


Point of Focus ในแต่ละองค์ประกอบ

องค์ประกอบที่ 1: สภาพแวดล้อมการควบคุม (Control Environment)

หลักการที่ 1 – องค์กรยึดหลักความซื่อตรงและจริยธรรม
1.1) แสดงให้เห็นโดยผ่านคำสั่ง การกระทำ พฤติกรรม
1.2) จัดทำมาตรฐานของจรรยาบรรณ
1.3) ประเมินการยึดมั่นในมาตรฐานของจรรยาบรรณ
1.4) รายงานการเบี่ยงเบนในเวลาที่เหมาะสม

หลักการที่ 2 – คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำกับดูแล
2.1) กำหนดความรับผิดชอบในการกำกับดูแล
2.2) กรรมการบริษัทมีความรู้ความชำนาญที่เกี่ยวข้องกับธุรกิจ
2.3) ดำเนินการอย่างเป็นอิสระ จากฝ่ายบริหาร
2.4) กำกับดูแลในเรื่องสภาพแวดล้อมของการควบคุม การประเมินความเสี่ยง กิจกรรมการควบคุม ข้อมูลสารสนเทศและการสื่อสาร และการติดตามประเมินผล

หลักการที่ 3 - คณะกรรมการและฝ่ายบริหาร มีอำนาจการสั่งการชัดเจน
3.1) พิจารณาโครงสร้างทั้งหมดของกิจการ
3.2) กำหนดสายการรายงาน
3.3) กำหนด มอบหมาย และจำกัดขอบเขตของอำนาจหน้าที่และความรับผิดชอบ

หลักการที่ 4 - องค์กร จูงใจ รักษาไว้ และจูงใจพนักงาน
4.1) วางนโยบายและวิธีปฎิบัติเกี่ยวกับการบริหารบุคลากร
4.2) ประเมินความสามารถรายบุคคลและระบุส่วนที่ยังขาดอยู่เพื่อปรับปรุงแก้ไข
4.3) จูงใจ พัฒนาและรักษาบุคคลากร
4.4) วางแผนและเตรียมสรรหาผู้สืบทอดตำแหน่ง (Succession)

หลักการที่ 5 – องค์กรผลักดันให้ทุกตำแหน่งรับผิดชอบต่อการควบคุมภายใน
5.1) บังคับให้มีความรับผิดชอบต่อการควบคุมภายในผ่านโครงสร้างองค์กร อำนาจหน้าที่และความรับผิดชอบ
5.2) กำหนดตัวชี้วัดผลการปฏิบัติงาน การสร้างแรงจูงใจและการให้รางวัล
5.3) ประเมินตัวชี้วัดผลการปฏิบัติงาน สิ่งจูงใจ และรางวัลอย่างต่อเนื่อง
5.4) พิจารณาความกดดันในการทำงานที่มากเกินไป
5.5) ประเมินผลกาปฏิบัติงาน การให้รางวัล และการลงโทษพนักงานเป็นรายบุคคล

องค์ประกอบที่ 2: การประเมินความเสี่ยง (Risk Assessment)

หลักการที่ 6 – กำหนดเป้าหมายชัดเจน
6.1) องค์กรปฏิบัติตามมาตรฐานบัญชีที่รับรองโดยทั่วไป
6.2) องค์กรกำหนดสาระสำคัญของรายงานทางการเงิน
6.3) รายงานทางการเงินสะท้อนถึงกิจกรรมขององค์กร
6.4) คณะกรรมการอนุมัติและสื่อสารนโยบายบริหารความเสี่ยงให้ผู้บริหารและพนักงานรับทราบ และเป็นส่วนหนึ่งของวัฒนธรรมองค์กร

หลักการที่ 7 – ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม
7.1) ระบุความเสี่ยงทุกประเภท ทั้งระดับ องค์กร ฝ่ายงาน
7.2) วิเคราะห์ความเสี่ยงทั้งปัจจัยภายใน/ภายนอก
7.3) ให้ผู้บริหารทุกระดับมีส่วนร่วม
7.4) ประเมินนัยสำคัญของความเสี่ยงที่ระบุ
7.5) กำหนดว่าจะตอบสนองความเสี่ยงอย่างไร

หลักการที่ 8 – พิจารณาโอกาสที่จะเกิดการทุจริต
8.1) ประเมินโอกาสที่จะเกิดการทุจริตประเภทต่างๆ
8.2) ทบทวนเป้าหมาย แรงจูงใจและแรงกดดัน
8.3) คณะกรรมการตรวจสอบได้พิจารณาและสอบถามผู้บริหารเกี่ยวกับโอกาสเกิดทุจริต และมาตรการป้องกัน
8.4) บริษัทได้สื่อสารให้พนักงานปฏิบัติตามนโยบาย

หลักการที่ 9 – ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน
9.1) ประเมินการเปลี่ยนแปลงสภาพแวดล้อมภายนอก
9.2) ประเมินการเปลี่ยนแปลงรูปแบบการทำธุรกิจ
9.3) ประเมินการเปลี่ยนแปลงผู้นำองค์กร

องค์ประกอบที่ 3: กิจกรรมการควบคุม (Control Activities)

หลักการที่ 10 – ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
10.1) การควบคุมเหมาะสมกับความเสี่ยง และลักษณะเฉพาะขององค์กร สภาพแวดล้อม ลักษณะของงาน
10.2) มีมาตรการการควบคุมภายในที่กำหนดเป็นลายลักษณ์อักษร เช่น นโยบาย คู่มือ ระเบียบ
10.3) กำหนดกิจกรรมควบคุมให้มีความหลากหลายอย่างเหมาะสมการผสมผสานของกิจกรรมการควบคุมหลายๆประเภท
10.4) กำหนดให้มีการควบคุมทุกระดับขององค์กร
10.5) มีการแบ่งแยกหน้าที่ ผู้อนุมัติ ผู้บันทึก ผู้ดูแลเก็บรักษา

หลักการที่ 11 – พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม
11.1) กำหนดความเกี่ยวข้องกันของการใช้ IT ในกระบวนการธุรกิจกับการควบคุมทั่วไปทางด้าน ITให้เหมาะสม
11.2) กำหนดกิจกรรมการควบคุมด้านโครงสร้างพื้นฐานให้เหมาะสม
11.3) กำหนดกิจกรรมการควบคุมด้านความปลอดภัยให้เหมาะสม
11.4) กำหนดกิจกรรมการควบคุมด้านการจัดหา การพัฒนา และดูแลรักษาระบบ

หลักการที่ 12 – ควบคุมให้นโยบายสามารถปฏิบัติได้
12.1) มีนโยบายที่รัดกุมเพื่อติดตามการทำธุรกรรมของผู้ถือหุ้นรายใหญ่ กรรมการ ผู้บริหาร
12.2) มีนโยบายเพื่อให้การอนุมัติการทำธุรกรรมกระทำโดยผู้ที่ไม่มีส่วนได้เสีย
12.3) มีนโยบายเพื่อให้การอนุมัติธุรกรรมคำนึงถึงประโยชน์สูงสุดของบริษัท เสมือนเป็นรายการที่ทำกับบุคคลภายนอก(at arms’ length basis)
12.4) มีกระบวนการติดตามดูแลการดำเนินงานของบริษัทย่อย บริษัทร่วม
12.5) กำหนดหน้าที่และความรับผิดชอบในการนำนโยบายไปปฏิบัติ
12.6) นโยบายและกระบวนการปฏิบัติได้รับการนำไปใช้ในเวลาที่เหมาะสม
12.7) ทบทวนนโยบายและกระบวนการทำงานให้เหมาะสมอยู่เสมอ

องค์ประกอบที่ 4: สารสนเทศและการสื่อสาร (Information and Communication)

หลักการที่ 13 – องค์กรมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ
13.1) ระบุสารสนเทศที่ต้องการใช้ในการดำเนินงาน
13.2) พิจารณา ต้นทุน ประโยชน์ รวมทั้งปริมาณและความถูกต้องของข้อมูล
13.3) ดำเนินการเพื่อให้กรรมการมีข้อมูลที่เพียงพอในการตัดสินใจ
13.4) ดำเนินการเพื่อให้กรรมการได้รับหนังสือเชิญประชุมและเอกสารล่วงหน้าก่อนการประชุมตามที่กฎหมายกำหนด
13.5) ดำเนินการเพื่อให้รายงานการประชุมมีรายละเอียดสามารถสอบย้อนได้
13.6) องค์กรมีการดำเนินการดังนี้ เก็บเอกสารเป็นระบบ แก้ไขข้อบกพร่องการควบคุม ตามความเห็นผู้สอบ

หลักการที่14 - มีการสื่อสารข้อมูลภายในองค์กร ให้การควบคุมภายในดำเนินต่อไปได้
14.1) มีกระบวนการสื่อสารข้อมูลอย่างมีประสิทธิภาพ มีช่องทางที่เหมาะสม
14.2) มีการรายงานข้อมูลที่สำคัญถึงกรรมการอย่างสม่ำเสมอ
14.3) จัดให้มีช่องทางสื่อสารลับเพื่อแจ้งเบาะแสเกี่ยวกับการทุจริต

หลักการที่ 15 - มีการสื่อสารกับหน่วยงานภายนอก ในประเด็นที่อาจกระทบต่อการควบคุมภายใน
15.1) สื่อสารกับผู้มีส่วนได้เสียภายนอกอย่างมีประสิทธิภาพ มีช่องทางที่เหมาะสม
15.2) มีช่องทางสื่อสารลับ สำหรับผู้มีส่วนได้เสียภายนอก แจ้งเบาะแสการทุจริต

องค์ประกอบที่ 5: กิจกรรมการกำกับติดตามและประเมินผล (Monitoring Activities)

หลักการที่ 16 - ติดตามและประเมินผลการควบคุมภายใน
16.1) จัดให้มีการติดตามการปฏิบัติตามจริยธรรมธุรกิจและข้อกำหนด ในลักษณะที่อาจก่อให้เกิดความขัดแย้งทางผลประโยชน์
16.2) จัดให้มีการตรวจสอบการปฏิบัติตามระบบการควบคุมภายในที่วางไว้ โดยการประเมินตนเอง และ/หรือการประเมินโดยผู้ตรวจสอบภายใน
16.3) ความถี่การติดตามและประเมินผล มีความเหมาะสมกับการเปลี่ยนแปลงของบริษัท
16.4) ติดตามและประเมินผลการควบคุมภายใน โดยผู้มีความรู้ความสามารถ
16.5) กำหนดแนวทางการรายงานผลการตรวจสอบภายใน ขึ้นตรงต่อคณะกรรมการตรวจสอบ
16.6) ส่งเสริมให้ผู้ตรวจสอบภายในปฏิบัติหน้าที่ตามมาตรฐานสากล การปฏิบัติงานวิชาชีพการตรวจสอบภายใน

หลักการที่ 17 - ประเมินและสื่อสารข้อบกพร่องของการควบคุมภายในทันเวลา และเหมาะสม
17.1) ประเมินผลและสื่อสารข้อบกพร่องของการควบคุมภายใน และดำเนินการแก้ไขอย่างทันท่วงที
17.2) รายงานต่อคณะกรรมการบริษัททันทีที่เกิดเหตุการณ์ทุจริตร้ายแรง การฝ่าฝืนกฎหมาย หรือการกระทำที่ผิดปกติ ซึ่งกระทบชื่อเสียงและฐานะการเงินบริษัทอย่างมีนัยสำคัญ
17.3) รายงานข้อบกพร่องที่เป็นสาระสำคัญ พร้อมแนวทางแก้ไข ต่อคณะกรรมการบริษัท/คณะกรรมการตรวจสอบ ในเวลาอันควร

******************************************

ผู้ที่ต้องปฏิบัติตาม
ผู้ที่ต้องปฏิบัติตาม แนวทางการควบคุมภายในแนวใหม่ COSO 2013

- บริษัทที่จดทะเบียนในตลาดหลักทรัพย์

- บริษัทที่กำลังจะเข้าตลาดหลักทรัพย์

- บริษัทที่มีประชาชนเป็นผู้ถือหุ้น


โดยผู้ที่ต้องปฏิบัติตามแนวทางการควบคุมภายใน COSO 2013 จะมีการเปลี่ยนแปลงที่ต่างจาก COSO 1992 ดังนี้

1) การเปลี่ยนแปลงแบบประเมินความเพียงพอของระบบการควบคุมภายใน จากเดิมที่พัฒนาจาก COSO 1992 เป็นรูปแบบใหม่ที่พัฒนาจาก COSO 2013


2) การเปิดเผยข้อมูลของหัวหน้างานตรวจสอบภายใน (CAE) และผู้ดำรงตำแหน่งหัวหน้างานกำกับดูแลการปฏิบัติงานของบริษัท (Compliance) ในแสดงข้อมูลประจำปี 56-1 และหนังสือชี้ชวน (69-1) โดยคณะกรรมการตรวจสอบ ต้องแสดงความเห็นต่อคุณสมบัติของหัวหน้างานดังกล่าวด้วย

******************************************************************

การควบคุมภายใน และหลักการพื้นฐานของ COSO
การควบคุมภายใน เป็นกระบวนการ ที่ทำให้บังเกิดผลโดยคณะกรรมการ ผู้บริหาร และบุคลากร ออกแบบมาเพื่อให้ความมั่นใจอย่างสมเหตุสมผล ในการบรรลุวัตถุประสงค์ด้านการปฏิบัติงาน การรายงาน และการปฏิบัติตามกฎระเบียบ


วัตถุประสงค์การควบคุมภายใน

1) วัตถุประสงค์ด้านการดำเนินงาน
2) วัตถุประสงค์ด้านการรายงาน
3) วัตถุประสงค์ด้านการปฏิบัติตามกฎระเบียบ

องค์ประกอบทั้ง 5 ของการควบคุมภายใน สนับสนุนวัตถุประสงค์ได้ทั้งสามข้อ ไม่จำเป็นต้องเจาะจงข้อใดข้อหนึ่ง แต่อาจเน้นข้อใดข้อหนึ่งเป็นพิเศษได้
องค์ประกอบทั้ง 5 ต้องครอบคลุมทั่วทั้งองค์กร

รูปภาพ

ประสิทธิผลของการควบคุมภายใน

การควบคุมภายในจะมีประสิทธิผล ต่อเมื่อ

1) องค์ประกอบ (Component) ของหลักการทุกข้อที่สัมพันธ์กับองค์ประกอบ ต้องมีอยู่ (Presenting) และปฏิบัติจริง (Functioning)

2) องค์ประกอบทั้ง 5 ทำงานอย่างสอดคล้องและสัมพันธ์กัน

รูปภาพ


ความสัมพันธ์ระหว่างการควบคุม ประเด็นสำคัญ หลักการ และองค์ประกอบ

siri
โพสต์: 937
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: หลักการควบคุมภายใน COSO 2013

โพสต์ โดย siri » จันทร์ เม.ย. 26, 2021 1:50 pm

คำศัพท์การตรวจสอบภายใน

คำศัพท์ ความหมาย

การเพิ่มคุณค่า – Add Value กิจกรรมการตรวจสอบภายในเพิ่มคุณค่าแก่องค์กร (และผู้มีส่วนได้เสีย) เมื่อกิจกรรมการตรวจสอบดังกล่าวมีความเที่ยงธรรม สามารถให้ความเชื่อมั่นในเรื่องที่เกี่ยวข้อง และมีส่วนสนับสนุนความมีประสิทธิผล และมีประสิทธิภาพของกระบวนการกำกับดูแล การบริหารความเสี่ยง และการควบคุม

การควบคุมอย่างพอเพียง – Adequate Control การที่ฝ่ายบริหารมีการวางแผนและจัดวางระบบภายในองค์กรในลักษณะที่สามารถให้ความเชื่อมั่นอย่างสมเหตุสมผลว่าได้มีการบริหารความเสี่ยงขององค์กรอย่างมีประสิทธิผลและทำให้องค์กรบรรลุเป้าหมายและวัตถุประสงค์อย่างประหยัดและมีประสิทธิภาพ

การบริการให้ความเชื่อมั่น – Assurance Services การตรวจสอบหลักฐานอย่างเที่ยงธรรมเพื่อให้ได้มาซึ่งการประเมินอย่างเป็นอิสระในกระบวนการกำกับดูแล การบริหารความเสี่ยง และการควบคุมขององค์กร เช่น การให้ความเชื่อมั่นทางด้านการเงิน การปฏิบัติงาน การปฏิบัติตามกฎระเบียบ ความมั่นคงปลอดภัยของระบบต่าง ๆ และภารกิจการจัดทำ Due Diligence
การบริการให้ความเชื่อมั่น – Assurance Services มีบุคคล 3 ฝ่ายที่เข้ามาเกี่ยวข้องกับการให้ความเชื่อมั่น:
-บุคคลหรือกลุ่มบุคคลที่เกี่ยวข้องโดยตรงกับกระบวนการ/ขั้นตอนการปฏิบัติงาน ระบบ หรือประเด็นอื่นๆ ที่อยู่ในความสนใจ หรือที่เรียกว่า เจ้าของระบบ (Process Owner)
-บุคคลหรือกลุ่มบุคคลที่ทำการประเมิน ซึ่งก็คือ ผู้ตรวจสอบภายใน
-บุคคลหรือกลุ่มบุคคลที่ใช้ผลจากการประเมิน หรือที่เรียกว่า ผู้ใช้ (User)

คณะกรรมการ – Board คณะบุคคลที่บริหารองค์กรในระดับสูงสุดซึ่งมีหน้าที่ในการสั่งการและ/หรือสอดส่องดูแลกิจกรรมและการบริหารจัดการขององค์กร ในบางครั้งหมายความรวมถึงกลุ่มของกรรมการอิสระ ตัวอย่างเช่น คณะกรรมการองค์กร ( A Board of Directors) คณะกรรมการกำกับดูแล (A Supervisory Board) หรือคณะกรรมการบริหาร (A Board of Governors or Trustees) ถ้าไม่มีกลุ่มคณะกรรมการดังกล่าวนี้ “คณะกรรมการ” อาจหมายถึงหัวหน้าขององค์กรหรืออาจหมายถึงคณะกรรมการตรวจสอบซึ่งคณะบริหารได้มอบหน้าที่เฉพาะด้าน

กฎบัตร – Charter กฎบัตรของงานตรวจสอบภายในคือเอกสารที่เป็นทางการ ซึ่งกำหนดวัตถุประสงค์ อำนาจหน้าที่ และความรับผิดชอบของกิจกรรมการตรวจสอบภายใน กฎบัตรกำหนดสถานะของกิจกรรมการตรวจสอบภายในในองค์กร ให้อำนาจในการเข้าถึงข้อมูลของกิจการ บุคลากร และทรัพย์สินต่างๆที่เกี่ยวข้องกับการปฏิบัติงานตามภารกิจและการกำหนดขอบเขตของกิจกรรมการตรวจสอบภายใน
กฎบัตรของหน่วยงานตรวจสอบภายในมักจะประกอบด้วย

-บทนำ (Introduction)
-อำนาจหน้าที่ (Authority)
-โครงสร้างองค์กรและสายการบังคับบัญชา (Organization and Reporting Structure)
-ความมีอิสระและความเที่ยงธรรม (Independence and Objectivity)
-หน้าที่ความรับผิดชอบ (Responsibilities)
-การประกันคุณภาพและการปรับปรุงงาน (QAIP)
-ลายเซ็น (Signature)

หัวหน้าผู้บริหารงานตรวจสอบ – Chief Audit Executive หัวหน้าผู้บริหารงานตรวจสอบ หมายถึง บุคคลที่มีตำแหน่งงานอาวุโสซึ่งรับผิดชอบการบริหารกิจกรรมการตรวจสอบภายในให้มีประสิทธิผล สอดคล้องกับกฎบัตรงานตรวจสอบภายใน และคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐาน หัวหน้าผู้บริหารงานตรวจสอบหรือบุคคลที่ต้องรายงานต่อหัวหน้าผู้บริหารงานตรวจสอบควรมีประกาศนียบัตรทางวิชาชีพและคุณสมบัติที่เหมาะสม อย่างไรก็ตามชื่อตำแหน่งสำหรับหัวหน้าผู้บริหารงานตรวจสอบอาจแตกต่างกันในแต่ละองค์กร

ประมวลจรรยาบรรณ – Code of Ethics ประมวลจรรยาบรรณของสมาคมผู้ตรวจสอบภายในสากล (The Institute of Internal Auditors หรือ IIA) คือ หลักการ (Principles) ที่เกี่ยวกับวิชาชีพและการปฏิบัติงานตรวจสอบภายใน และหลักปฏิบัติ (Rules of Conduct) ซึ่งบรรยายสิ่งที่ผู้ตรวจสอบภายในพึงประพฤติปฏิบัติ ประมวลจรรยาบรรณสามารถนำไปปฏิบัติได้ทั้งในระดับบุคคลและหน่วยงานที่ให้บริการตรวจสอบภายใน จุดประสงค์ของประมวลจรรยาบรรณคือเพื่อส่งเสริมวัฒนธรรมของจรรยาบรรณในวิชาชีพการตรวจสอบภายใน

การปฏิบัติตามกฎระเบียบ – Compliance การปฏิบัติให้เป็นไปตามนโยบาย แผนงาน วิธีการปฏิบัติงาน กฎหมาย ระเบียบข้อบังคับ สัญญา ตลอดจนข้อกำหนดต่าง ๆ

ความขัดแย้งทางผลประโยชน์ – Conflict of Interest ความสัมพันธ์ใดๆ ที่ทำให้องค์กร ไม่ได้ประโยชน์สูงสุดที่พึงได้รับ ความขัดแย้งทางผลประโยชน์นี้อาจจะทำให้ผู้ปฏิบัติงานเกิดความลำเอียง และไม่สามารถปฏิบัติภาระหน้าที่ได้อย่างเที่ยงธรรม

การบริการให้คำปรึกษา – Consulting Services กิจกรรมการให้คำปรึกษา แนะนำ และบริการที่เกี่ยวเนื่องแก่ผู้รับบริการ โดยลักษณะและขอบเขตของงานจะเป็นไปตามข้อตกลงที่ทำขึ้นร่วมกันกับผู้รับบริการและมีจุดประสงค์เพื่อเพิ่มคุณค่าและปรับปรุงกระบวนการกำกับดูแล การบริหารความเสี่ยง และการควบคุมขององค์กร โดยไม่เข้าไปร่วมรับผิดชอบในฐานะฝ่ายบริหาร ตัวอย่างรวมถึงการให้คำปรึกษา คำแนะนำ การอำนวยความสะดวก และการฝึกอบรม

การควบคุม – Control ความหมายตามมาตรฐานของ IIA:
การกระทำใดๆ โดยฝ่ายบริหาร คณะกรรมการ และกลุ่มบุคคลอื่น ๆ เพื่อบริหารความเสี่ยงและเพิ่มโอกาสให้องค์กรบรรลุวัตถุประสงค์และเป้าหมายที่กำหนดไว้ โดยฝ่ายบริหารมีการวางแผน จัดองค์กร และอำนวยการดาเนินงานอย่างเพียงพอที่จะเกิดความเชื่อมั่นอย่างสมเหตุสมผลว่าองค์กรจะบรรลุวัตถุประสงค์และเป้าหมาย

ความหมายตามกรอบการควบคุมภายใน COSO:

กระบวนการหรือขั้นตอนการทำงานที่เป็นผลมาจากการออกแบบโดยคณะกรรมการ ผู้บริหาร หรือบุคลากรอื่นๆ ขององค์กร เพื่อก่อให้เกิดความมั่นใจได้อย่างสมเหตุสมผลว่า องค์กรจะสามารถบรรลุวัตถุประสงค์ที่เกี่ยวกับการดำเนินงาน (Operations) การรายงาน (Reporting) และการปฏิบัติตามกฎระเบียบ (Compliance)

สภาวะแวดล้อมของการควบคุม – Control Environment ทัศนคติและการกระทำของคณะกรรมการและฝ่ายบริหารในการให้ความสำคัญกับการควบคุมภายในองค์กร สภาพแวดล้อมของการควบคุมนี้เป็นรากฐานที่จะทำให้องค์กรบรรลุวัตถุประสงค์ขั้นต้นของการวางระบบการควบคุมภายใน สภาพแวดล้อมของการควบคุมมีองค์ประกอบดังนี้
- ความซื่อสัตย์สุจริตและความมีจริยธรรม
- ปรัชญาและรูปแบบการบริหารของฝ่ายบริหาร
- โครงสร้างขององค์กร
- การมอบหมายอำนาจและหน้าที่รับผิดชอบ
- นโยบายและการปฏิบัติทางด้านทรัพยากรบุคคล
- ความสามารถในหน้าที่ของบุคลากร

กระบวนการควบคุม – Control Process นโยบาย วิธีการปฏิบัติ (ทั้งคู่มือการปฏิบัติงานและระบบอัตโนมัติ) และกิจกรรมต่างๆ ขององค์กรซึ่งเป็นส่วนหนึ่งของกรอบโครงสร้างการควบคุมที่ออกแบบมาเพื่อให้เกิดความเชื่อมั่นว่าความเสี่ยงถูกจำกัดให้อยู่ในระดับที่ยอมรับได้

ภารกิจ – Engagement งานตรวจสอบภายในหรืองานการสอบทานที่ได้รับมอบหมายให้ทำแต่ละงาน ตัวอย่างเช่น งานการตรวจสอบภายใน งานการสอบทานการประเมิน
การควบคุมด้วยตนเอง (Control Self-Assessment หรือ CSA) การสอบสวนการทุจริต หรืองานบริการให้คำปรึกษา ภารกิจอาจประกอบด้วยหลาย ๆ งานหรือหลาย ๆ กิจกรรมที่ทำควบคู่กันไปเพื่อบรรลุเป้าหมายและวัตถุประสงค์เดียวกัน

ความคิดเห็นเกี่ยวกับภารกิจ – Engagement Opinion การประเมิน (Rating) ข้อสรุป และ/หรือคำบรรยายของผลการตรวจสอบภายในซึ่งเกี่ยวข้องกับวัตถุประสงค์และขอบเขตของการตรวจสอบ

วัตถุประสงค์ของภารกิจ – Engagement Objectives คำชี้แจงอย่างกว้าง ๆ ที่พัฒนาโดย ผู้ตรวจสอบภายใน เพื่อกำหนดเป้าหมายที่คาดหวังว่าภารกิจจะสัมฤทธิ์ผล
แผนการปฏิบัติงานตามภารกิจ – Engagement Work Program เอกสารแสดงรายละเอียดวิธีการปฏิบัติงานตามภารกิจ ซึ่งออกแบบเพื่อเป็นแนวทางที่จะทำให้ภารกิจเป็นไปตามแผนที่วางไว้

ผู้ให้บริการจากภายนอก – External Service Provider บุคคลหรือนิติบุคคลภายนอกองค์กรที่มีความรู้ ทักษะ และประสบการณ์เฉพาะด้าน

การทุจริต – Fraud การกระทำผิดกฎหมายของบุคคลหรือองค์กรในลักษณะของการฉ้อฉลหลอกลวง ปกปิด หรือใช้อำนาจหน้าที่โดยมิชอบ และเป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับจากผู้อื่น เพื่อให้ได้มาซึ่งทรัพย์สินเงินทองหรือบริการ เพื่อเลี่ยงการจ่ายเงินหรือให้บริการ หรือเพื่อรักษาความได้เปรียบส่วนตนหรือความได้เปรียบทางธุรกิจ

การกำกับดูแล – Governance ความหมายตามมาตรฐานของ IIA:
การผสมผสานของกระบวนการและโครงสร้างต่างๆ ที่คณะกรรมการนำมาใช้เพื่อบอกกล่าว สั่งการ บริหาร และติดตาม กิจกรรมต่างๆ ภายในองค์กรเพื่อให้บรรลุตามวัตถุประสงค์ขององค์กร

ความหมายตาม ก.ล.ต.:

ระบบที่จัดให้มีกระบวนการและโครงสร้างของภาวะผู้นำ และการควบคุมของกิจการ ให้มีความรับผิดชอบตามหน้าที่ด้วยความโปร่งใส และสร้างความสามารถในการแข่งขันเพื่อรักษาเงินลงทุน และเพิ่มคุณค่าให้กับผู้ถือหุ้นในระยะยาว ภายในกรอบการมีจริยธรรมที่ดีโดยคำนึงถึงผู้มีส่วนได้ส่วนเสียอื่นและสังคมโดยรวม โดยประกอบด้วยหลักการ 5 ข้อ ดังต่อไปนี้

-สิทธิของผู้ถือหุ้น
-การปฏิบัติต่อผู้ถือหุ้นอย่างเท่าเทียม
-บทบาทของผู้มีส่วนได้เสีย
-การเปิดเผยข้อมูลและความโปร่งใส
-ความรับผิดชอบของคณะกรรมการ

เหตุบั่นทอน – Impairments เหตุการณ์หรือการกระทำที่ส่งผลให้การทำงานของบุคคลหรือของ องค์กรขาดความเที่ยงธรรมและความเป็นอิสระ เหตุการณ์หรือการกระทำดังกล่าวจะรวมถึงการกระทำที่มีการขัดแย้งทางผลประโยชน์ส่วนบุคคล การจำกัดขอบเขต การกีดกันการเข้าถึงข้อมูล บุคลากร และทรัพย์สิน ตลอดจนการถูกจำกัดทรัพยากร (เงินทุนสนับสนุน)

ความเป็นอิสระ – Independence การเป็นอิสระจากสภาวะที่เป็นอุปสรรคต่อความสามารถในการปฏิบัติงานตรวจสอบภายใน เพื่อทำให้การตรวจสอบภายในบรรลุผลโดยปราศจากอคติ

การควบคุมด้านเทคโนโลยีสารสนเทศ – Information Technology Controls การควบคุมที่สนับสนุนการบริหารจัดการและการกากับดูแลธุรกิจ โดยจัดให้มีการควบคุมที่โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ เช่น ระบบงาน ข้อมูล ระบบโครงสร้าง และบุคลากร

การกำกับดูแลด้านเทคโนโลยีสารสนเทศ – Information Technology Governance ประกอบด้วยภาวะความเป็นผู้นำ โครงสร้างขององค์กร และกระบวนการที่สร้างความมั่นใจว่า เทคโนโลยีสารสนเทศขององค์กรสนับสนุนกลยุทธ์และวัตถุประสงค์ขององค์กร

กิจกรรมการตรวจสอบภายใน – Internal Audit Activity แผนก หน่วยงาน คณะที่ปรึกษา หรือ ผู้ปฏิบัติหน้าที่ ที่ให้บริการให้ความเชื่อมั่นและให้คำปรึกษาอย่างเที่ยงธรรมและเป็นอิสระ เพื่อเพิ่มคุณค่าและปรับปรุงการดาเนินงานขององค์กร กิจกรรมการตรวจสอบภายในช่วยให้องค์กรบรรลุเป้าหมายด้วยการประเมินและปรับปรุงประสิทธิผลของกระบวนการกำกับดูแล การบริหารความเสี่ยง และการควบคุม อย่างเป็นระบบและเป็นระเบียบ
กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในระดับสากล – International Professional Practices Framework กรอบงานซึ่งจัดวางแนวทางการปฏิบัติงานที่เผยแพร่โดย สมาคมผู้ตรวจสอบภายในสากล (The IIA) แนวทางการปฏิบัติงานดังกล่าวแบ่งออกเป็น 2 ประเภท ได้แก่ (1) แนวทางที่บังคับใช้งาน (Mandatory) และ (2) แนวทางที่สนับสนุนและแนะนำให้นำไปใช้งาน (Strongly Recommended)

ความเที่ยงธรรม – Objectivity ทัศนคติอันปราศจากความเอนเอียงที่เอื้อให้ผู้ตรวจสอบภายในสามารถปฏิบัติงานตามภารกิจด้วยความเชื่อมั่นในผลงานและไม่มีการลดหย่อนในคุณภาพของงาน ดุลยพินิจของผู้ตรวจสอบภายในในเรื่องที่เกี่ยวข้องกับการตรวจสอบจะต้องไม่อยู่ภายใต้การชักจูงหรือชักนำจากผู้อื่นหรือกิจกรรมอื่น

ความเห็นในภาพรวม – Overall Opinion การประเมิน (Rating) ข้อสรุป และ/หรือคำบรรยายของผลการตรวจสอบที่จัดทำโดยหัวหน้าผู้บริหารงานตรวจสอบ ซึ่งระบุครอบคลุมกระบวนการการกำกับดูแล การบริหารความเสี่ยง และการควบคุมขององค์กร ทั้งนี้ความเห็นในภาพรวมเป็นดุลยพินิจอย่างเป็นมืออาชีพของหัวหน้าผู้บริหารงานตรวจสอบ ซึ่งขึ้นอยู่กับผลการตรวจสอบแต่ละภารกิจจำนวนหนึ่งและกิจกรรมอื่น ๆ ภายในช่วงระยะเวลาที่เฉพาะเจาะจง

ความเสี่ยงคงเหลือ – Residual Risk ความเสี่ยงที่คงเหลืออยู่หลังจากที่ผู้บริหารได้ดำเนินการลดผลกระทบและโอกาสที่จะเกิดเหตุการณ์ไม่พึงประสงค์ รวมถึงความเสี่ยงที่ยังหลงเหลืออยู่หลังจากที่ได้มีกิจกรรมการควบคุมแล้ว

ความเสี่ยง – Risk ความเป็นไปได้ที่จะเกิดเหตุการณ์ที่เป็นอุปสรรคต่อการบรรลุเป้าหมายขององค์กร ความเสี่ยงวัดได้จากผลกระทบที่ได้รับจากเหตุการณ์ และโอกาสที่จะเกิดเหตุการณ์นั้น

ระดับความเสี่ยงที่ยอมรับได้ – Risk Appetite ระดับความเสี่ยงที่องค์กรพร้อมยอมรับให้เกิดขึ้นได้

การบริหารความเสี่ยง – Risk Management กระบวนการในการระบุ ประเมิน บริหาร และควบคุม เหตุการณ์หรือสถานการณ์ไม่พึงประสงค์ที่อาจจะเกิดขึ้น เพื่อให้ความเชื่อมั่นอย่างสมเหตุสมผลว่าองค์กรสามารถบรรลุวัตถุประสงค์ได้

ความสำคัญ – Significance ความสำคัญของประเด็นแวดล้อมที่นำไปพิจารณา รวมถึงตัวแปรทั้งในเชิงคุณภาพและเชิงปริมาณ เช่น ขนาด ลักษณะ ผลกระทบ ความเกี่ยวข้อง และความร้ายแรง การใช้ดุลยพินิจอย่างมืออาชีพช่วยผู้ตรวจสอบในการประเมินความสำคัญของประเด็นแวดล้อมภายใต้วัตถุประสงค์ที่เกี่ยวข้อง

มาตรฐาน – Standard มาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายในที่ทางคณะกรรมการมาตรฐานการตรวจสอบภายในของสมาคมผู้ตรวจสอบภายในสากล (IIA) ได้ประกาศใช้เป็นบรรทัดฐานการดาเนินกิจกรรมการตรวจสอบภายในและการประเมินผลงานการตรวจสอบภายในโดยทั่วไป

เทคนิคการตรวจสอบโดยใช้เทคโนโลยี – Technology-based Audit Techniques เครื่องมือหรือโปรแกรมคอมพิวเตอร์ช่วยตรวจสอบประเภทต่างๆ เช่น โปรแกรม
คอมพิวเตอร์ช่วยตรวจสอบแบบทั่วไป (Generalized Audit Software), โปรแกรมคอมพิวเตอร์ที่ช่วยสร้างข้อมูลเพื่อใช้ตรวจสอบ (Test data generators), โปรแกรมการ
ตรวจสอบแบบ computerized, โปรแกรมคอมพิวเตอร์ช่วยตรวจสอบแบบเฉพาะทาง (Specialized audit utilities) และ CAATs (Computer Assisted Audit Techniques)

siri
โพสต์: 937
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: หลักการควบคุมภายใน COSO 2013

โพสต์ โดย siri » จันทร์ เม.ย. 26, 2021 2:04 pm

COSO ERM VERSION 2017 ใช้รูปแบบที่ใกล้เคียงกับ COSO 2013 การควบคุมภายใน คือใช้องค์ประกอบหลัก 5 องค์ประกอบเป็นองค์ประกอบหลักที่ครบถ้วนและขาดไม่ได้ต้องจัดวางอย่างครอบคลุม และแทรกหลักการ 20 หลักการไว้ในแต่ละองค์ประกอบ เพื่อเป็นแนวทางว่ากิจการต้องจัดทำประเด็นใดบ้าง

องค์ประกอบที่ 1 การกำกับดูแลที่ดีและวัฒนธรรมด้านการบริหารความเสี่ยงทั่วทั้งองค์กร

(ERM Governance and Culture)

ประกอบด้วยหลักการสำคัญ 5 หลักการ ได้แก่หลักการที่ 1-5

หลักการที่ 1 การทำกิจกรรมกำกับความเสี่ยงในภาพองค์รวมของคณะกรรมการ
(Exercise Board Risk Oversight)

(1) คณะกรรมการกำกับภาพรวมของความเสี่ยง คณะผู้บริหารคระดับสูงรับผิดชอบการบริหารจัดการความเสี่ยงประจำวัน

(2) คณะกรรมการต้องมีทักษะ ประสบการณ์ และความรอบรู้ทางธุรกิจเพื่อจะได้ทำกิจกรรมกำกับความเสี่ยงในภาพองค์รวม ด้วยความเชี่ยวชาญ และปรับเปลี่ยนให้สอดคล้องสถานการณ์ทางธุรกิจ

(3) คณะกรรมการต้องมีสถานะที่เป็นอิสระจากผู้บริหารกิจการ โดยเฉพาะในส่วนของ

(3.1) การมีผลประโยชน์ทางการเงินอย่างมีนัยสำคัญ

(3.2) การมีตำแหน่งด้านบริหาร

(3.3) การเป็นที่ปรึกษา

(3.4) การเป็นคู่ค้า คู่สัญญา รับเหมางาน

(3.5) การบริจาคเงินรายใหญ่

(3.6) การมีความสัมพันธ์กับผู้มีส่วนได้ส่วนเสียภาคส่วนสำคัญ

(3.7) การเป็นสมาชิกของคณะกรรมการที่อาจเกิดการขัดกันของผลประโยชน์กับคณะกรรมการของกิจการ

(4) ความเบี่ยงเบนระดับองค์กรที่ต้องมีการบริหารจัดการที่เหมาะสม

หลักการที่ 2 การกำหนดโครงสร้างการดำเนินงานที่สนับสนุนกลยุทธ์และวัตถุประสงค์ทางธุรกิจ
(Establish Operating Structures)

(5) การกำหนดโครงสร้างการดำเนินงานและสายการรายงาน เพื่อรองรับความรับผิดชอบประจำวัน และสอดคล้องกับโครงสร้างทางกฎหมายและการบริหาร โดยพิจารณาจาก

(5.1) กลยุทธ์และวัตถุประสงค์ทางธุรกิจ ตลอดจนความเสี่ยงที่เกี่ยวข้อง

(5.2) ลักษณะงาน ปริมาณงาน และความครอบคลุมเชิงภูมิภาค

(5.3) การกำหนดอำนาจกระทำการ ความรับผิดรับชอบ และหน้าที่ความรับผิดชอบ

(5.4) สายการรายงานและการบังคับบัญชาทั้งทางตรงและทางอ้อม เพื่อใช้สื่อสารติดต่อกัน

(5.5) สายการรายงานต่อหน่วยงานภายนอกตามความจำเป็น ได้แก่ หน่วยงานกำกับตามกำหมาย กรมสรรพากร การายงานสถานะทางการเงิน

(6) การกำหนดโครงสร้างของการบริหารความเสี่ยงทั่วทั้งองค์กร(ERM Structures)

(6.1) คณะกรรมการบริหารความเสี่ยงที่แต่งตั้งจากคณะกรรมการ

(6.2) คณะกรรมการชุดย่อยอื่นตามความจำเป็น เพื่อรองรับการจัดการความเสี่ยง

โดยกำหนดอำนาจหน้าที่ องค์ประกอบของบุคคลในองค์คณะ ความถี่ในการจัดประชุมความรับผิดชอบ และหลักการปฏิบัติงาน

(7) การกำหนดอำนาจหน้าที่และความรับผิดชอบด้านการบริหารความเสี่ยง ด้วยการ

(7.1) กระจายอำนาจการบริหารและความรับผิดชอบเพื่อให้เกิดการบรรลุผลสำเร็จ

(7.2) ระบุธุรกรรมที่มีความจำเป็นต้องทบทวน ตรวจสอบ และอนุมัติก่อนดำเนินการ

(7.3) ระบุ และวิเคราะห์ประมินความเสี่ยงที่เกิดใหม่และไม่คุ้นเคย

หลักการที่ 3 การออกแบบและจัดวางวัฒนธรรมที่พึงประสงค์โดยผู้บริหารและคณะกรรมการ
(Define Desired Culture)

(8) พฤติกรรมพึงประสงค์และวัฒนธรรมที่คาดหวังพิจารณาปัจจัยขับเคลื่อนทั้งภายในและภายนอกกิจการที่มีอิทธิพลต่อวัฒนธรรมระดับองค์กร

(8.1) ปัจจัยภายในได้แก่ การใช้ดุลยพินิจของผู้บริหาร ระดับของการใช้ระบบอัตโนมัติ การทำงานร่วมกันระหว่างบุคลากรระดับปฏิบัติการ และระหว่างบุคลากรระดับปฏิบัติการและผู้บริหาร การจัดวางสภาพทางกายภาพในการทำงาน ระบบการให้รางวัลและแรงจูงใจ

(8.2) ปัจจัยขับเคลื่อนภายนอกได้แก่ เงื่อนไขและกติกาทางกฎหมาย และพันธะผูกพันต่อลูกค้า ความคาดหวังของนักลงทุน

(9) วัฒนธรรมระดับองค์กรด้านความเสี่ยงจะกำหนดระดับความสามารถในการทนทานต่อความเสี่ยง และวัฒนธรรมการตระหนักในความเสี่ยง ซึ่งนำไปสู่การกำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้ และค่าเบี่ยงเบนความเสี่ยงที่ยอมรับได้

(10) หน่วยงานย่อยแต่ละหน่วยงาน อาจจะมีระดับความสามารถทนทานต่อความเสี่ยงที่แตกต่างกันออกไป ภายใต้เกณฑ์ความเสี่ยงที่ยอมรับได้ในภาพรวมของกิจการ

(11) การใช้ดุลยพินิจของผู้บริหาร ต้องกระทำอย่างเหมาะสมด้วยการใช้ข้อมูลประกอบการตัดสินใจอย่างเพียงพอ และในกรณีที่มีทางเลือกที่เป็นไปได้มากกว่าแนวทางเดียว ซึ่งอาจจะถูกสงสัยว่าอาจจะเอนเอียง เบี่ยงเบน จึงต้องมีความรอบคอบ ระมัดระวัง

(12) วัฒนธรรมองค์กรมีอิทธิพลต่อการระบุความเสี่ยง การวิเคราะห์และประเมินความเสี่ยงและกำหนดแนวทางตอบโต้ความเสี่ยง

หลักการที่ 4 การแสดงถึงความมุ่งมั่นและยึดมั่นต่อคุณค่าหลัก
(Demonstrate Commitment to Core Values)

(13) การถ่ายทอดส่งต่อ จนสะท้อนคุณค่าหลักอย่างทั่วถึงในองค์กร ที่ทุกคนพูดเป็นเสียงเดียวกัน ประสานเสียงกัน ไปในทิศทางเดียวกัน

(14) การดำเนินงานใด ๆ ในกิจการแสดงถึงวัฒนธรรมการตื่นตัวในความเสี่ยง Risk-aware Culture และการส่งเสริม สนับสนุนการตื่นตัวในความเสี่ยง

(15) การส่งเสริม และทำให้แต่ละบุคคลมีความรับผิดรับชอบต่อการกระทำของตนเองและได้รับผลการกระทำนั้น ๆ โดยมีนโยบาย ระเบียบปฏิบัติรองรับเป็นลายลักษณ์อักษรจนสามารถสื่อสารให้เกิดความเข้าใจร่วมกันเกี่ยวกับข้อมูลความเสี่ยง

(16) ส่งเสริมการสื่อสารด้านความเสี่ยงให้มีความเปิดกว้างและแลกเปลี่ยนความรู้ความเข้าใจกันอย่างทั่วถึง

(17) การกำหนดแนวทางการจัดการความเสี่ยง ที่ส่งผลกระทบให้เกิดความแปรปรวนในคุณค่าหลักและพฤติกรรมออกจากที่พึงประสงค์

หลักการที่ 5 การสร้างระบบสิทธิประโยชน์ แรงจูงใจ ที่จะช่วยพัฒนาและธำรงรักษาบุคลากรที่มีศักยภาพ (Attract, Develop and Retain Capable Individuals)
เป็นการที่กิจการมีความมุ่งมั่นและยึดมั่นต่อการสร้างสมทุนมนุษย์ ให้มีศักยภาพและสมรรถนะที่เหมาะสมกับกลยุทธ์และวัตถุประสงค์ทางธุรกิจ

(18) ออกแบบ จัดวาง และประเมินสมรรถนะหลักขององค์กร ให้สอดคล้องกับกรอบ Risk Oversight กลยุทธ์และวัตถุประสงค์ธุรกิจของกิจการที่มอบหมายจากคณะกรรมการและผู้บริหารระดับสูง

(19) จัดวางโครงสร้าง ระบบบริหารและพัฒนาหลักสูตร กิจกรรม การสร้างเสริม พัฒนา เติมเต็ม และธำรงรักษาสมรรถนะหลักระดับบุคคล ให้สอดคล้องกับสมรรถนะหลักขององค์กรที่จำเป็นตามกลยุทธ์และวัตถุประสงค์ธุรกิจที่กำหนด

(20) กำหนดระบบให้คุณให้โทษที่เชื่อมโยงกับผลประกอบการที่เกินจริง (Performance) ที่อิงกับค่าเป้าหมายระยะสั้นและระยะยาว โดย

(20.1) มีความสัมพันธ์กับประเด็นความเสี่ยงสำคัญที่เกี่ยวข้อง

(20.2) มีความสัมพันธ์กับแนวทางการตอบโต้กับความเสี่ยง

(21) ระบบแรงจูงใจมีทั้งที่เป็นตัวเงินและไม่ใช่ตัวเงิน

(22) ระบุ และกำหนดสถานะ กดดันของภาระงานให้เหมาะสมกับระบบแรงจูงใจ และรางวัล

(21.1) เงื่อนไข พันธะผูกพันตามสัญญา

(21.2) การเปลี่ยนแปลงที่เกิดจากธุรกิจที่นอกเหนือความคาดหมาย

(21.3) การเปลี่ยนแปลงสภาพแวดล้อมในระหว่างปี

ทำการปรับดุลยภาพและความสมดุลของภาระงาน การจัดสรรทรัพยากรรองรับการปรับค่าเป้าหมายและเกณฑ์ความเสี่ยงที่ยอมรับได้ให้เหมาะสม สอดคล้องกันตลอดจนแผนจัดการความเสี่ยงเพิ่มเติม

siri
โพสต์: 937
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: หลักการควบคุมภายใน COSO 2013

โพสต์ โดย siri » จันทร์ เม.ย. 26, 2021 2:05 pm

COSO ERM 2017 กับแนวทางการกำกับ การบริหารยุค Thailand 4.0
ผมได้ห่างหายในการพูดคุยกับท่านผู้อ่านและเล่าเรื่องราวต่างๆ ในหัวข้ออื่นๆ ที่นอกเหนือจากหัวข้อ CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง จึงขอวกมาคุยและเล่าเรื่องราวต่างๆ ที่เกี่ยวข้องกับการกำกับ การบริหารความเสี่ยงยุคใหม่ ในมุมมองของ COSO ERM 2017 ซึ่งแน่นอนว่าจะแตกต่างจากการบริหารความเสี่ยงในมิติอื่นๆ อยู่บ้าง แต่อย่างไรก็ดี แนวการบริหารความเสี่ยงของ COSO ERM 2017 และมาตรฐานการบริหารความเสี่ยง ตาม ISO31000-2018 และแนวการบริหารความเสี่ยงของ COBIT5 for Risk จะมีจุดเน้น รวมทั้งกรอบแนวคิด กระบวนการจัดการกับการบริหารความเสี่ยงทั่วทั้งองค์กร ที่มีทั้งมุมมองแตกต่างกัน และมีมุมมองที่ใกล้เคียงกัน ซึ่งท่านผู้อ่านควรจะได้ติดตามกระบวนการที่เกี่ยวข้องเพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมต่อไป

ผมจะไม่เน้นการพูดถึงหลักการและทฤษฎีต่างๆ ที่เกี่ยวข้องกับการบริหารความเสี่ยงของแต่ละค่าย/สถาบัน ตามที่กล่าวข้างต้น แต่จะพูดในภาพรวมทางด้านที่สามารถจะนำไปปฏิบัติได้ตามวัตถุประสงค์ กลยุทธ์ วิสัยทัศน์ และเป้าหมายหลักๆ ขององค์กร ที่เกี่ยวข้องกับความเสี่ยงที่ยอมรับได้ ทั้งนี้เพราะ ความเสี่ยงไม่ได้หมายถึงเหตุการณ์ที่จะก่อให้เกิดความเสียหายหรือการไม่บรรลุวัตถุประสงค์เพียงเท่านั้น แต่ยังหมายถึงโอกาสที่จะสร้างคุณค่าเพิ่ม หรือผลประโยชน์ให้กับผู้มีผลประโยชน์ร่วม (Stakesholder) และสร้างโอกาสและศักยภาพในการพัฒนาเศรษฐกิจ สังคม การลงทุน ตามสภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็ว

การกำหนดหลักการบริหารความเสี่ยงเพื่อลดระดับความเสี่ยงที่จะเกิดขึ้นกับระดับประเทศ ระดับองค์กร เพื่อสร้างความน่าเชื่อถือในมิติต่างๆ ซึ่งเป็นเรื่องสำคัญอย่างยิ่งยวดในการพัฒนาประเทศ และองค์กรให้เจริญเติบโตอย่างยั่งยืน โดยการกำหนดระดับความเสี่ยงที่ประเทศและองค์กรยอมรับได้ ในเรื่องต่างๆ ที่เกี่ยวข้องนั้น ผู้บริหารระดับประเทศ ผู้บริหารระดับองค์กร ควรจะเข้าใจถึงองค์ประกอบของกระบวนการบริหารความเสี่ยง ที่ต้องมีกระบวนการจัดการที่ชัดเจน และมีการกำกับแบบบูรณาการระหว่างเทคโนโลยีสารสนเทศ กับเป้าประสงค์ระดับประเทศและเป้าประสงค์ระดับองค์กร ซึ่งจะขอขยายความและพูดคุยกันเป็นตอนๆ ไปนะครับ

ถ้าอย่างนี้ เราลองมาเริ่มต้นพิจารณาถึงการเปลี่ยนแปลงสภาพแวดล้อม เอาแค่ในระดับองค์กรก่อนนะครับ เช่น การปรับเปลี่ยนนโยบาย กลยุทธ์ โครงสร้างองค์กร กระบวนการทำงาน การเปลี่ยนแปลงทรัพยากร ซึ่งหมายถึง Cyber/สารสนเทศ การบริการโครงสร้างพื้นฐานและระบบงาน รวมทั้งบุคลากร ทักษะ และศักยภาพของบุคลากรระดับต่างๆ ที่จะเชื่อมโยงหรืออิงกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จในกระบวนการกำกับ และการบริหารความเสี่ยง คือ ทรัพยากรดังกล่าวต้องเชื่อมโยงกับหลักการ ซึ่งหลักการดังกล่าวในที่นี้ หมายถึงท่านใช้หลักการอะไร มีนโยบายและกรอบการดำเนินการอย่างไร ซึ่งเป็นเรื่องสำคัญมาก เทียบได้กับการติดกระดุมเม็ดแรก และกระดุมเม็ดนี้จะเชื่อมต่อไปยังปัจจัยอื่นๆ ทีก่อให้เกิดความสำเร็จ คือ กระบวนการทำงาน โครงสร้างองค์กร และวัฒนธรรม จริยธรรม และพฤติกรรมของผู้บริหารและผู้ปฏิบัติงานทุกระดับ

นอกจากนี้ รวมทั้งองค์กร/ท่านจะต้องพิจารณาการเปลี่ยนแปลงสภาพแวดล้อมจากปัจจัยภายนอก เช่น กฎหมาย (พรบ. ไซเบอร์ พรบ. ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นเรื่องใหม่ ที่ท้าทายความเข้าใจในการนำไปปฏิบัติงานเป็นอย่างยิ่ง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสที่เหมาะสมต่อไป) มาตรฐาน แนวการปฏิบัติงาน และเรื่องสำคัญก็คือ การเปลี่ยนแปลงทางการเมือง เศรษฐกิจ นโยบายภาครัฐ แน่นอนตามที่ผมได้กล่าวมาแล้วคือ การเปลี่ยนแปลงสภาพแวดล้อมและเทคโนโลยีที่มีนวัตกรรมใหม่ๆ และก้าวหน้าอย่างยิ่ง และอาจส่งผลกระทบต่อการดำเนินงานทั้งมิติของความมั่นคงของประเทศ/องค์กร และการบรรลุเป้าหมาย ฯลฯ ดังกล่าวข้างต้น ซึ่งจะก่อให้เกิดความเสี่ยงต่อประเทศและองค์กรโดยรวม ในการบรรลุวิสัยทัศน์ และพันธกิจของประเทศและองค์กร ซึ่ง COSO ERM 2017 จะได้นำแนวทางการบริหารความเสี่ยงมาประยุกต์ใช้ ให้ความสำคัญในการเลือกกลยุทธ์ที่เหมาะสม (Strategy Selection) ตอบสนองวิสัยทัศน์ พันธกิจ และการดำเนินงานเพื่อให้บรรลุเป้าหมายและวัตถุประสงค์ ให้เป็นไปตามกลยุทธ์ที่เลือกไว้แล้ว (Strategy Implementaion) ในระดับประเทศหรือระดับองค์กร


รูปภาพ
รูปภาพ

ที่มา : http://www.coso.org

การกำกับ (Governance) และการบริหารความเสี่ยง (Risk Management) รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่างๆ (Compliance) เป็น 3 องค์ประกอบที่ต้องเข้าใจในกระบวนการบริหารแบบบูรณาการอย่างแท้จริง มิฉะนั้น ถ้าขาดองค์ประกอบข้อหนึ่งข้อใด การสร้างคุณค่าเพิ่มตามหลักการ Governance ก็ไม่อาจจะเกิดขึ้นได้จากการบริหารความเสี่ยงที่ด้อยคุณภาพ รวมทั้ง ความสามารถในการปฏิบัติตาม Compliance ที่ควรเข้าใจอย่างแท้จริง

การบริหารความเสี่ยงเป็นองค์ประกอบสำคัญยิ่งที่จะสนับสนุนให้ประเทศ/องค์กร สามารถดำเนินงานได้ตามเป้าหมายที่กำหนดไว้แล้ว และยังสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้อีกทางหนึ่ง ซึ่งเป็นแนวคิดที่สำคัญยิ่งที่จะต้องนำไปสู่การปฏิบัติ องค์กรหลายแห่งจึงได้นำกรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการ (Enterprise Risk Management – Intregrated Framework) ตามแนวทาง COSO ERM มาประยุกต์ใช้เป็นกรอบในการพัฒนาระบบการบริหารความเสี่ยง ซึ่งโดยรวมก็คือ การมีวัตถุประสงค์ให้คณะกรรมการ ผู้บริหาร และผู้ที่เกี่ยวข้อง ได้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง และองค์ประกอบที่เกี่ยวข้อง เพื่อสร้างความเข้าใจให้ตรงกันกับคำนิยาม เรื่องเป้าหมายและวัตถุประสงค์ อันจะสร้างความรับผิดชอบอย่างทั่วถึงและเป็นไปในทิศทางเดียวกันทั่วทั้งองค์กรได้อย่างมีประสิทธิภาพ

สรุปความเข้าใจโดยรวมของการบริหารความเสี่ยง ตามแนวทาง COSO ERM 2017 แบบผสมผสานกับหลักการ/มาตรฐานอื่นๆ เบื้องต้น มีดังนี้
สร้างความเข้าใจว่า ERM (Enterprise Risk Management) เป็นส่วนหนึ่งของ Governance และ Compliance และควรเข้าใจว่าหลักการสร้างคุณค่าเพิ่มนั้น หมายถึงการบูรณาการของ G + R + C หรือ GRC ที่มีทั้งเรื่อง Business และ IT
สร้างความเข้าใจว่ากรอบการดำเนินการทางธุรกิจสำหรับการกำกับดูแลและการบริหารจัดการนั้น ควรเข้าใจการกำกับและการบริหาร IT ระดับองค์กรเสมอ
เพื่อให้คณะกรรมการและผู้บริหาร รวมทั้งบุคลากรขององค์กร ได้ตระหนักและเข้าใจถึงเป้าหมายและวัตถุประสงค์ และแนวทางการบริหารความเสี่ยงขององค์กร ใช้เป็นส่วนหนึ่งของกระบวนการพัฒนาความเสี่ยง เพื่อสนับสนุนงานขององค์กรเพื่อให้เป็นไปตามเป้าหมายที่กำหนดไว้ และเป็นไปตามแผนการดำเนินงานและแผนกลยุทธ์ที่เกี่ยวข้อง (ไม่ว่าจะอธิบายในมิติใด หากไม่เข้าใจหรือไม่คำนึงถึง 2 ประเด็นข้างต้นอย่างแท้จริง ประสิทธิภาพและประสิทธิผลของ GRC จะได้ผลลัพธ์อย่างจำกัด จนถึงระดับที่ไม่อาจสามารถสร้างคุณค่าเพิ่มและเติบโตอย่างยั่งยืนได้)
เพื่อการพัฒนาองค์ความรู้ด้านการบริหารความเสี่ยง และสนับสนุนการบริหารความเสี่ยงเป็นวัตนธรรมขององค์กร เพื่อการเติบโตอย่างยั่งยืน
เพื่อให้มีกรอบแนวทางการบริหารความเสี่ยงอย่างเป็นระบบ เข้าใจทิศทางเชิงกลยุทธ์ขององค์กร โดยมีมาตรฐานและการจัดการกับความเสี่ยงที่มีความสำคัญต่อเป้าหมายหลักขององค์กร และป้องกันความเสี่ยงในระยะยาว ที่จะมีผลกระทบต่อการเติบโตอย่างยั่งยืนและประสิทธิภาพขององค์กร
ความเข้าใจในเรื่องการกำหนดกลยุทธ์การบริหารความเสี่ยง การกำกับและการบริหารความเสี่ยง รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามที่กล่าวข้างต้นนั้น เท่าที่ผู้เขียนได้ประสบพบมาปรากฎว่า การกำหนดแนวทางเรื่องกลยุทธ์การบริหารความเสี่ยง มีความเข้าใจแตกต่างอย่างมีนัยสำคัญ ซึ่งมีผลทำให้กระบวนการบริหารความเสี่ยง ซึ่งถูกหยิบยกขึ้นไปสู่ระดับความรับผิดชอบของคณะกรรมการควบคู่กับการสร้างดุลยภาพสู่วิสัยทัศน์ พันธกิจ แผนงาน โครงการต่างๆ ซึ่งในที่สุดแล้ว คณะกรรมการจะต้องประเมินผล และรับผิดชอบในเรื่องที่กล่าวนั้น ยังไม่มีการถ่ายทอดและทำความเข้าใจ รวมทั้งการออกนโยบายการควบคุมการปฏิบัติงาน การตรวจสอบ การรายงาน การติดตามผล อย่างมีนัยสำคัญ

การกำหนดกลยุทธ์การบริหารความเสี่ยง ควรพิจารณาในเรื่องที่น่าสนใจต่อไปนี้

กลยุทธ์ของประเทศหรือองค์กรที่ไม่สอดคล้องกับระดับนโยบาย พันธกิจ วัตถุประสงค์และเป้าหมาย รวมทั้งแผนงานและโครงการ ทั้งในระดับประเทศและระดับองค์กร เป็นความเสี่ยงสูงสุด เพราะเป็นการปักธงนำกระบวนการสร้างคุณค่าเพิ่มโดยรวม
ความสอดคล้องกับแนวทางมาตรฐานของหน่วยงานกำกับดูแล ซึ่งควรจะได้มาตรฐานและแนวปฏิบัติที่ยอมรับกันเป็นสากล รวมทั้งข้อกำหนดของกฎหมาย ระเบียบ หลักเกณฑ์ ประกาศ และแนวทางปฏิบัติที่ดี
การกำหนดขอบเขต และลักษณะการดำเนินงานขององค์กร ให้เหมาะสมกับสภาพแวดล้อมที่เปลี่ยนแปลงไป ซึ่งมีเรื่องและปัจจัยรวมทั้งองค์ประกอบหลากหลายที่ยังไม่ได้กล่าวในรายละเอียดนะครับ ทั้งนี้ จะต้องมีความสอดคล้องกับนโยบาย กลยุทธ์ เป้าหมาย แผนงาน และโครงการต่างๆ ขององค์กร
ควรมีการทบทวนกลยุทธ์การบริหารความเสี่ยงอย่างน้อยปีละครั้ง ให้สอดคล้องกับแผนงานประจำปี หรือทบทวนเมื่อมีเหตุการณ์เปลี่ยนแปลงที่สำคัญ เช่น การปฏิบัติตามพรบ. ไซเบอร์ และพรบ. ความคุ้มครองข้อมูลส่วนบุคคล ที่จะมีการประกาศใช้ในภาคบังคับอีกไม่นานนับจากนี้ ทั้งนี้เพราะ จะได้ลดความเสี่ยงจากการไม่ปฏิบัติตามหลักการ Compliance รวมทั้งเพื่อให้ทราบถึงปัญหาและอุปสรรคในการบรรลุเป้าหมายการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายขององค์กรโดยรวม
ทั้งนี้ กรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการตามแนวทางของ COSO ERM ทำให้มั่นใจได้ว่า กระบวนการทำงานต่างๆ ทั่วทั้งองค์กรได้รับการสนับสนุนจากการบริหารความเสี่ยงอย่างต่อเนื่องและมีประสิทธิภาพ ซึ่งจะมีผลทำให้การบริหารความเสี่ยงมีความสำคัญต่อการบริหารที่สอดคล้องกับกลยุทธ์ การวางแผนงาน รวมทั้งกระบวนการรายงานผลที่สนองตอบต่อนโยบายต่างๆ ในการสร้างคุณค่าเพิ่มและสร้างวัตนธรรมให้กับองค์กร

ผมมีความเห็นส่วนตัวว่า ในกรณีที่ท่านผู้บริหาร รู้สึกสับสนว่าจะใช้กรอบการกำกับการดำเนินงานในระดับประเทศหรือในระดับองค์กรที่เกี่ยวข้องกับกระบวนการบริหารและการจัดการ IT ซึ่งในที่นี้ผมของเน้นในเรื่องของการบรูรณาการ GRC นะครับว่า ท่านควรใช้มาตรฐานที่เกี่ยวข้องในการกำกับและการบริหาร รวมทั้งการปฏิบัติงานที่ดีที่สุดและเป็นสากล โดยเพียงเข้าใจกระบวนการบริหารแบบบูรณาการที่แท้จริงเท่านั้นนะครับ เพราะมาตรฐานต่างๆ ของการบริหารความเสี่ยงตามที่กล่าวข้างต้น เป็นเพียงกรอบแนวคิด ไม่ใช่เป็นเครื่องมือสำเร็จรูปที่แต่ละองค์กรสามารถนำไปใช้ได้ทันที แต่ท่านควรเข้าใจในหลักการเบื้องต้นที่เกี่ยวข้องกับหลายปัจจัยตามที่กล่าวแล้วนะครับ

siri
โพสต์: 937
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: หลักการควบคุมภายใน COSO 2013

โพสต์ โดย siri » จันทร์ เม.ย. 26, 2021 2:09 pm

การบริหารความเสี่ยงเป็นหนึ่งในระบบงานที่สำคัญขององค์กรทุกประเภท โดยเฉพาะอย่างยิ่งโลกยุคแห่งความไม่แน่นอนในปัจจุบัน

องค์กรทั่วโลกส่วนใหญ่ได้ใช้กรอบการบริหารความเสี่ยงตามแนวทางของ COSO หรือ COSO-ERM Framework เหตุผลหนึ่งเนื่องด้วยแนวทางนี้เป็นการต่อยอดต่อเนื่องจากการบริหารความเสี่ยงด้านการปฏิบัติงานตามกรอบการควบคุมภายในหรือ Internal Control ที่มุ่งสร้างความน่าเชื่อถือสนับสนุนรายงานทางการเงินให้กับบริษัทผู้ตรวจสอบบัญชี โดยเป็นข้อมูลสำคัญในกระบวนการตรวจสอบทางการเงินและบัญชีของกิจการต่างๆ ซึ่งกิจการต่างๆ มีความคุ้นเคยกันมาตั้งแต่ช่วงทศวรรษที่ 1990

COSO หรือ The Committee of Sponsoring Organizations of the Treadway Commission เป็นองค์กรที่เกิดจากการรวมตัวของหน่วยงานสำคัญด้านการบัญชีและการตรวจสอบของประเทศสหรัฐอเมริกา ที่ถือเป็นประเทศต้นแบบของระบบการเงินและการบัญชีที่ทั่วโลกใช้อยู่ในปัจจุบัน


COSO’s Mission is “To provide thought leadership through the development of comprehensive frameworks and guidance on enterprise risk management, internal control and fraud deterrence designed to improve organizational performance and governance and to reduce the extent of fraud in organizations.”


การเกิดวิกฤติด้านระบบบัญชีและธรรมาภิบาลในสหรัฐฯ ซึ่งเริ่มจากกรณีของเอ็นรอน (Enron) บริษัทยักษ์ใหญ่ด้านพลังงาน ในช่วงปี 2001-2002 อันเนื่องมาจากการฉ้อฉลของฝ่ายบริหาร และการตกแต่งบัญชีร่วมกับบริษัทผู้ตรวจสอบบัญชีอิสระ อาร์เธอร์ แอนเดอร์สัน (Arthur Andersen) นั้น เป็นปัจจัยสำคัญที่ทำให้สหรัฐฯ ต้องมีการปฏิรูประบบกฎหมาย กฎระเบียบทางการบัญชี รวมทั้งการกำหนดแนวทางการกำกับดูแลกิจการ (Governance) ครั้งใหญ่


การเปลี่ยนแปลงครั้งนั้นนำมาซึ่งความตื่นตัวขององค์กร รวมทั้งแรงกดดันจากผู้มีส่วนได้ส่วนเสียกลุ่มต่างๆ ต่อการบริหารกิจการของฝ่ายบริหารและคณะกรรมการให้มีความมั่นคง รอบคอบ หรือก็คือการตระหนักต่อความเสี่ยงต่างๆ ที่เกี่ยวข้องกับการเติบโตและความยั่งยืนขององค์กรมากขึ้น

กรอบการบริหารความเสี่ยงองค์กร (Enterprise Risk Management, ERM) จึงได้ถูกนำเสนอโดย COSO หลังจากเหตุนั้น ในชื่อของ COSO-ERM Integrated Framework-2004 ซึ่งองค์กรต่างๆ ทั่วโลกนำมาปรับใช้เป็นแนวทางในการบริหารความเสี่ยงองค์กรของตน รวมถึงหน่วยงานรัฐที่มีหน้าที่กำกับดูแลกิจการประเภทต่างๆ ในประเทศของตนด้วย


เหตุผลสำคัญที่ทำให้ COSO-ERM เป็นกรอบการบริหารความเสี่ยงองค์กรที่ได้รับความนิยม คือการแสดงความชัดเจนของวัตถุประสงค์ในการบริหารความเสี่ยงที่เชื่อมโยงกับวัตถุประสงค์ขององค์กร 4 ด้านได้แก่ ด้านกลยุทธ์ ด้านการปฏิบัติงาน ด้านการรายงาน และด้านการปฏิบัติตามกฎระเบียบ ซึ่งช่วยให้องค์กรสามารถพิจารณาวิเคราะห์ระบุความเสี่ยงอย่างรอบด้านมากขึ้น

COSO-ERM ได้แสดงถึงองค์ประกอบของกระบวนการบริหารความเสี่ยงอย่างเป็นระบบ และยังให้ความชัดเจนของการบริหารความเสี่ยงที่ต้องดำเนินการในทุกระดับขององค์กรอย่างสอดคล้องเชื่อมโยงกัน ตั้งแต่ระดับองค์กร สายงาน กลุ่มธุรกิจ และรวมทั้งบริษัทย่อย (ในกรณีที่มีหลายๆ บริษัทในเครือ) ด้วย ซึ่งองค์ประกอบของกรอบการบริหารความเสี่ยงนี้ ได้ถูกนำเสนอผ่านรูปลูกบาศก์ COSO Cube ที่มักเห็นกันอยู่เสมอ


รูปภาพ

กรอบการบริหารความเสี่ยง COSO-ERM นี้ได้ถูกใช้มามากกว่า 10 ปี (ตั้งแต่ปี 2004) ท่ามกลางการใช้อย่างแพร่หลายมากขึ้นเรื่อยๆ และสภาพแวดล้อมทั้งในระดับมหภาค และระดับองค์กรที่เปลี่ยนแปลงไป โดย COSO ได้ดำเนินการทบทวนปรับปรุงใหม่จนแล้วเสร็จ เผยแพร่ในเดือนมิถุนายน ปี 2017 ที่ผ่านมา และใช้ชื่อกรอบการบริหารความเสี่ยงใหม่นี้ว่า Enterprise Risk Management-Integrating with Strategy and Performance


การทบทวนปรับปรุงนี้ เป็นผลมาจากการเปลี่ยนแปลงของสภาพแวดล้อมที่ส่งผลให้มีปัจจัยเสี่ยงใหม่ๆ เกิดขึ้นอย่างมากมาย และรวดเร็วขึ้นกว่าเดิม รวมถึงการเปลี่ยนแปลงพฤติกรรมของลูกค้าและผู้มีส่วนได้ส่วนเสียกับองค์กร ที่ทั้งหมดได้แสดงอิทธิพลอย่างยิ่งต่อดำเนินงานขององค์กรต่างๆ ในปัจจุบัน โดยการบริหารจัดการความเสี่ยงดังกล่าวจะต้องเผชิญกับความท้าทายอย่างรอบด้าน ที่ต้องพิจารณาแนวทางใหม่ๆ ในการจัดการความเสี่ยงที่มีประสิทธิผลและประสิทธิภาพมากขึ้น เพื่อรักษาความสามารถและสร้างความยั่งยืนให้กับองค์กรต่อไปได้


สำหรับการเปลี่ยนแปลงที่สำคัญของ COSO-ERM 2017 นี้ ได้แก่ การเปลี่ยนแปลงองค์ประกอบของกระบวนการใหม่ให้มีความละเอียดชัดเจนขึ้น โดยแบ่งออกเป็น 20 หลักการใน 5 องค์ประกอบ (จากเดิมมีเฉพาะ 8 องค์ประกอบ) คือ 1) Governance and Culture (การกำกับดูแลกิจการและวัฒนธรรมองค์กร) 2) Strategy & Objective Setting (กลยุทธ์และวัตถุประสงค์องค์กร) 3) Performance (เป้าหมายผลการดำเนินงาน) 4) Review & Revision (การทบทวนและปรับปรุง) และ 5) Information, Communication & Reporting (สารสนเทศ การสื่อสาร และการรายงาน)

สิ่งที่ COSO พยายามมุ่งเน้นนำเสนอในการปรับปรุงนี้ คือการแสดงให้เห็นว่าการบริหารความเสี่ยงองค์กรนั้น เกี่ยวข้องเชื่อมโยงกับการสร้างคุณค่าผ่านกลยุทธ์และตัวแบบธุรกิจขององค์กรอย่างแท้จริง

“Good risk management and internal control are necessary for long term success of all organizations.” – COSO

siri
โพสต์: 937
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: หลักการควบคุมภายใน COSO 2013

โพสต์ โดย siri » จันทร์ เม.ย. 26, 2021 2:10 pm

จากที่ได้นำเสนอถึงกรอบการบริหารความเสี่ยงองค์กร COSO-ERM 2017 ไปในฉบับที่แล้ว ซึ่งถือว่าเป็นการเปลี่ยนแปลงครั้งสำคัญหลังจากเวอร์ชั่นแรกในปี 2004 ใช้มาแล้วกว่า 13 ปี โดยในช่วงระหว่างที่ COSO-ERM 2004 แพร่หลายนั้น ก็ได้มีกรอบแนวทางการบริหารความเสี่ยงอื่นๆ พัฒนาขึ้นมาเป็นทางเลือก หนึ่งในกรอบแนวทางที่ได้รับความนิยมรองจากCOSO-ERM ก็คือ ISO 31000 ที่พัฒนาและเผยแพร่ในปี 2009 โดย ISO หรือ International Organization for Standardization องค์กรที่ทำหน้าที่ในการพัฒนามาตรฐานสากลในด้านต่างๆ ดังเช่นที่เรารู้จักกันดีใน ISO 9000 หรือมาตรฐานด้านการบริหารงานคุณภาพ สำหรับ ISO 31000 นั้น ไม่ได้เป็นมาตรฐานที่มีการตรวจรับรอง แต่เป็นเพียงแนวทางการพัฒนาระบบการบริหารความเสี่ยงองค์กรที่ดี ซึ่งถือได้ว่าเป็นการสร้างความชัดเจนให้กับผู้บริหาร และผู้รับผิดชอบในการวางกรอบนโยบาย กลไก กระบวนการ รวมทั้งการจัดการสารสนเทศและวัฒนธรรมความเสี่ยงมากขึ้นกว่า COSO-ERM ทั้งนี้อาจเนื่องด้วยการพัฒนาขึ้นมาในภายหลัง


กลับมาว่ากันต่อที่ COSO-ERM ซึ่งเมื่อครั้งที่จะต้องมีการปรับปรุงในปี 2017 นั้น ได้ขยายขอบเขตแนวทางให้ครอบคลุมในลักษณะเดียวกับ ISO 31000 ดังกล่าวข้างต้นนั้นด้วยส่วนหนึ่ง นอกจากนั้น COSO-ERM 2017 ยังมีการเปลี่ยนแปลงอื่นๆ โดยมี 2 ประเด็นที่น่าสนใจ ประเด็นแรก ในเวอร์ชั่นใหม่นี้ มุ่งชี้ให้เห็นถึงการเชื่อมโยงการทำงานของกลไกการบริหารความเสี่ยงองค์กรเข้ากับกลยุทธ์ และการดำเนินงานขององค์กร ดังสิงที่ต่อท้ายชื่อว่า “COSO Enterprise Risk Management-Integrating with Strategy and Performance” รวมทั้งใช้กราฟฟิกแสดงลักษณะของการทำงานคู่ขนานกันระหว่าง “การจัดการเชิงกลยุทธ์” และ “การบริหารความเสี่ยง” ในแต่ละขั้นตอน ซึ่งทั้งหมดนี้ เป็นการแสดงถึงความสำคัญของการบริหารความเสี่ยงองค์กรกับ “การดำรงอยู่และเติบโต” ขององค์กรตามเป้าหมายกลยุทธ์ ดังนิยามของ ERM ที่กำหนดขึ้นใหม่ว่า “The culture, capabilities and practices integrated with strategy-setting and its execution, that organizations rely on to manage risk in creating, preserving and realizing value.”


ประเด็นที่สอง การจัดกลุ่มองค์ประกอบของกระบวนการบริหารความเสี่ยงองค์กร ให้มีน้อยลงจากเดิม 8 องค์ประกอบเหลือเพียง 5 องค์ประกอบ แต่เพิ่มประเด็นหลักการในแต่ละองค์ประกอบให้ชัดเจนมากขึ้นรวม 20 หลักการ ดังนี้


1) Governance and Culture (การกำกับดูแลกิจการและวัฒนธรรมองค์กร) ประกอบด้วย บทบาทของคณะกรรมการ โครงสร้างการดำเนินงานตามเป้าหมายกลยุทธ์ การกำหนดวัฒนธรรมที่พึงประสงค์ การยึดมั่นต่อค่านิยมองค์กร และการสร้างความเข้มแข็งด้านทุนมนุษย์

2) Strategy & Objective Setting (กลยุทธ์และวัตถุประสงค์องค์กร) ประกอบด้วย การวิเคราะห์บริบทของธุรกิจ การกำหนดระดับความสามารถในการรับความเสี่ยง การประเมินทางเลือกของกลยุทธ์จัดการความเสี่ยงองค์กร และการวางเป้าประสงค์ทางธุรกิจภายใต้ความเสี่ยง

3) Performance (เป้าหมายผลการดำเนินงาน) ประกอบด้วยการระบุความเสี่ยง การประเมินระดับความรุนแรง การจัดลำดับความเสี่ยง การตอบสนองความเสี่ยง และการพิจารณาภาพรวมของความเสี่ยงองค์กรทั้งหมด

4) Review & Revision (การทบทวนและปรับปรุง) ประกอบด้วย การประเมินความเปลี่ยนแปลงที่เกิดขึ้นจากการบริหารความเสี่ยง การทบทวนความสามารถในการจัดการและระดับความเสี่ยง และการปรับปรุงพัฒนาระบบการบริหารความเสี่ยงองค์กร

5) Information, Communication & Reporting (สารสนเทศ การสื่อสาร และการรายงาน) ประกอบด้วย การใช้สารสนเทศสนับสนุนการบริหารความเสี่ยง การใช้ช่องทางการสื่อสารต่างๆ สนับสนุนการบริหารความเสี่ยง และการรายงานความสำเร็จ-การดำเนินการ รวมทั้งวัฒนธรรมความเสี่ยงที่เกิดขึ้น


สำหรับเวอร์ชั่นเดิมใน COSO-ERM 2004 ที่มี 8 องค์ประกอบ ได้แก่ 1) Internal Environment-สภาพแวดล้อมภายใน 2) Objective Setting-การกำหนดวัตถุประสงค์ 3) Event Identification-การระบุเหตุการณ์ที่สร้างกระทบ 4) Risk Assessment-การประเมินความเสี่ยง 5) Risk Response-การตอบสนองต่อความเสี่ยง 6) Control Activities-กิจกรรมควบคุม 7) Information and Communication-สารสนเทศและการสื่อสาร และ 8) Monitoring-การติดตามและปรับปรุง


ทั้งนี้เมื่อนำมาเปรียบเทียบกัน จะเห็นถึงประเด็นที่มีการปรับปรุงเพิ่มเติมชัดเจนที่สุดคือเรื่องของ การกำกับดูแลกิจการและวัฒนธรรมองค์กร ซึ่งเป็นองค์ประกอบในเชิงของค่านิยมและพฤติกรรม และเป็นองค์ประกอบพื้นฐานให้กับองค์ประกอบอื่นๆ ที่เหลือ ที่ COSO ได้พิจารณาแล้วว่าเป็นปัจจัยที่มีบทบาทสำคัญต่อการบริหารความเสี่ยงองค์กรในยุคปัจจุบัน โดยเฉพาะในหลักการที่เกี่ยวข้องกับบทบาทของคณะกรรมการที่ว่า “คณะกรรมการจะมีภาระรับผิดชอบและต้องแสดงความรับผิดชอบต่อการกำกับดูแลต่อความเสี่ยงขององค์กร โดยจะต้องมีทักษะ ประสบการณ์และความรู้ที่เกี่ยวข้องกับธุรกิจ สนับสนุนภาระรับผิดชอบด้านความเสี่ยงดังกล่าว”

นอกจากทั้ง 2 ประเด็นหลักที่นำเสนอมาแล้วนั้น การเปลี่ยนแปลงในเวอร์ชั่น 2017 นี้ ยังมุ่งการนำเสนอกรอบการบริหารความเสี่ยงนี้ว่าเป็น “The Principles-based Approach” ที่ให้ตระหนักว่ากรอบนี้เป็นเพียงแนวทางให้องค์กรต่างๆ สามารถปรับใช้ได้ตามความเหมาะสม ตามความแตกต่างของลักษณะของอุตสาหกรรม กลยุทธ์ โครงสร้างบริหาร วัฒนธรรม ตัวแบบธุรกิจ และสถานะทางการเงินขององค์กร


ทั้งหมดนี้ เราต้องตระหนักเสมอว่า การบริหารความเสี่ยงองค์กรหรือ ERM เป็นการสนับสนุนการสร้าง “คุณค่า” ให้กับองค์กรผ่านการจัดการภายใต้ความเสี่ยงอย่างเหมาะสม ให้เกิดประสิทธิผลต่อการบรรลุเป้าประสงค์ได้ดีขึ้น และสร้าง “ความตระหนักและค่านิยม” ของบุคลากร ต่อความไม่แน่นอนต่างๆ ที่จะเป็นความเสี่ยงต่อองค์กร รวมทั้งอาจสามารถพลิกเป็น “โอกาส” ให้กับองค์กร เมื่อสภาพแวดล้อมและสภาวะการแข่งขันเอื้ออำนวยได้อีกด้วย


“I have learned that nothing is certain except for the need to have strong risk management, a lot of cash, the willingness to invest even when the future is unclear, and great people.” - Jeffrey R. Immelt, former GE CEO

ตอบกลับโพส

ย้อนกลับไปยัง “เศรษฐกิจ การเงิน การตลาด การลงทุน ธุรกิจ และสตาร์ทอัพ”