CHERTER 8 การควบคุมภายในระบบสารสนเทศ (INTRODUCTION TO INTERNAL CONTRON SYSTEMS)
บทที่ 8 การควบคุมภายในระบบสารสนเทศ
(Introduction to Internal Contron Systems)
การควบคุมภายใน หมายถึง กระบวนการที่ผู้บริหารและบุคลากรขององค์กรจัดให้มีขึ้น เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่าการดำเนินงานขององค์กรจะบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้ตามคำจำกัดความของการควบคุมภายใน ได้กล่าวถึงเรื่องวัตถุประสงค์ของการดำเนินงานซึ่งอาจจำแนกวัตถุประสงค์ของการดำเนินงาน เป็น 3 ประเภท คือ
1) ประสิทธิภาพและประสิทธิผลของการดำเนินงาน คือ วัตถุประสงค์พื้นฐานของการดำเนินงานในทุกองค์กร โดยมุ่งเน้นที่กระบวนการปฏิบัติงานที่มีคุณภาพ และเอื้ออำนวยให้การดำเนินงานเป็นไปตามเป้าหมายที่กำหนดไว้ในขณะเดียวกัน ผลที่ได้รับจากกระบวนการนั้นต้องคุ้มค่ากับต้นทุนที่ใช้ไป จึงจะทำให้เกิดความมีประสิทธิภาพ
2) ความน่าเชื่อถือของรายงานทางการเงิน คือ การจัดให้มีข้อมูลและรายงานทางการเงินที่ถูกต้อง เพียงพอ และเชื่อถือได้ เพื่อสร้างความมั่นใจให้กับผู้บริหาร บุคลากรในองค์กร และบุคคลภายนอกในการนำข้อมูลดังกล่าวไปใช้ประกอบการพิจารณาตัดสินใจในเรื่องต่างๆ
3) การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง คือ การมุ่งเน้นให้กระบวนการปฏิบัติงานเป็นไปตามกฎหมาย ระเบียบ ข้อบังคับ เงื่อนไขตามสัญญา ข้อตกลง นโยบาย และแนวทางการปฏิบัติงานต่างๆ ที่เกี่ยวข้อง
(ที่มา : http://www.thai-sciencemuseum.com)
เมื่อทำความเข้าใจคำจำกัดความของการควบคุมภายในแล้ว ต่อไปขอกล่าวถึงองค์ประกอบที่สำคัญของการควบคุมภายใน
คณะกรรมการร่วมของสถาบันวิชาชีพ5สถาบันในสหรัฐอเมริกา ซึ่งเรียกว่าCommittee of Sponsoring Organizations of the Treadway Commission (COSO) ได้กำหนดกรอบแนวคิดการควบคุมภายใน (COSO Framework) ที่ปรับปรุงมาจากแนวคิดพื้นฐานเดิมของ COSO ปี 1992 โดยเพิ่มเติมในส่วนต่างๆ ให้ชัดเจนขึ้น เรียกกันว่า COSO 2013 สำหรับใช้เป็นแนวทางการควบคุมภายในขององค์กรและเพื่อให้สอดคล้องกับสภาพแวดล้อมของธุรกิจในปัจจุบัน
องค์ประกอบการควบคุมภายใน COSO 2013 ประกอบด้วย 5 องค์ประกอบ 17 หลักการ
องค์ประกอบที่ 1: สภาพแวดล้อมการควบคุม (Control Environment)
หลักการที่ 1 – องค์กรยึดหลักความซื่อตรงและจริยธรรม
หลักการที่ 2 – คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำกับดูแล
หลักการที่ 3 – คณะกรรมการและฝ่ายบริหาร มีอำนาจการสั่งการชัดเจน
หลักการที่ 4 – องค์กร พัฒนา รักษาไว้ และจูงใจพนักงาน
หลักการที่ 5 – องค์กรผลักดันให้ทุกตำแหน่งรับผิดชอบต่อการควบคุมภายใน
องค์ประกอบที่ 2: การประเมินความเสี่ยง (Risk Assessment)
หลักการที่ 6 – กำหนดเป้าหมายชัดเจน
หลักการที่ 7 – ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม
หลักการที่ 8 – พิจารณาโอกาสที่จะเกิดการทุจริต
หลักการที่ 9 – ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน
องค์ประกอบที่ 3: กิจกรรมการควบคุม (Control Activities)
หลักการที่ 10 – ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
หลักการที่ 11 – พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม
หลักการที่ 12 – ควบคุมให้นโยบายสามารถปฏิบัติได้
องค์ประกอบที่ 4: สารสนเทศและการสื่อสาร (Information and Communication)
หลักการที่ 13 – องค์กรมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ
หลักการที่ 14 – มีการสื่อสารข้อมูลภายในองค์กร ให้การควบคุมภายในดำเนินต่อไปได้
หลักการที่ 15 – มีการสื่อสารกับหน่วยงานภายนอก ในประเด็นที่อาจกระทบต่อการควบคุมภายใน
องค์ประกอบที่ 5: กิจกรรมการกำกับติดตามและประเมินผล (Monitoring Activities)
หลักการที่ 16 – ติดตามและประเมินผลการควบคุมภายใน
หลักการที่ 17 – ประเมินและสื่อสารข้อบกพร่องของการควบคุมภายในทันเวลา และเหมาะสม
ทั้งนี้ องค์ประกอบการควบคุมภายในแต่ละองค์ประกอบและหลักการจะต้อง Present & Function (มีอยู่จริงและ นำไปปฏิบัติได้) อีกทั้งทำงานอย่างสอดคล้องและสัมพันธ์กัน จึงจะทำให้การควบคุมภายในมีประสิทธิผล
(ที่มา : http://audit.redcross.or.th,2561)
องค์ประกอบที่ 1 สภาพแวดล้อมของการควบคุม (Control Environment)
หมายถึง ปัจจัยต่างๆ ที่ส่งผลต่อทัศนคติและความตระหนักถึงความจำเป็นและความสำคัญของการควบคุมภายในของบุคลากรทุกคนในองค์กร โดยบุคลากรทุกคนเข้าใจความรับผิดชอบและขอบเขตอำนาจหน้าที่ของตนเอง มีความรู้ ความสามารถ และทักษะที่จำเป็นต่อการปฏิบัติงาน รวมถึงการยอมรับและปฏิบัติตามกฎเกณฑ์และวิธีการทำงานต่างๆ ที่องค์กรกำหนดไว้
สภาพแวดล้อมของการควบคุม มีผลกระทบอย่างมากกับกระบวนการปฏิบัติงานทั้งหมดที่เกิดขึ้นในองค์กร จึงเป็นรากฐานที่สำคัญขององค์ประกอบอื่นๆ ของการควบคุมภายใน เพื่อสร้างระเบียบวินัยด้านการควบคุมภายในให้แก่ทุกคนในองค์กร และจัดให้มีโครงสร้างของการควบคุมภายในที่เหมาะสม
ปัจจัยต่างๆ ต่อไปนี้เป็นปัจจัยที่ช่วยเสริมสร้างให้มีสภาพแวดล้อมของการควบคุมที่ดี ผู้ประเมินควรประเมินว่าองค์กรของท่านให้ความสำคัญกับปัจจัยเหล่านี้ มากน้อยเพียงใด
- ความซื่อสัตย์และจริยธรรม ซึ่งอาจพิจารณาได้จากการกำหนดแนวทางปฏิบัติในเรื่องต่างๆ ให้ชัดเจน แล้วแจ้งให้ทุกคนที่เกี่ยวข้องทราบ รวมไปถึงการกระทำตนเป็นแบบอย่างให้กับผู้ใต้บังคับบัญชา ทั้งคำพูดและการกระทำ
- รูปแบบและปรัชญาการทำงานของฝ่ายบริหาร โดยพิจารณาจากความรู้ความสามารและประสบการณ์ของฝ่ายบริหารที่เป็นประโยชน์ต่อหน้าที่ที่รับผิดชอบ และความสนใจในองค์กรที่ตนเป็นผู้บริหาร
- การจัดโครงสร้างองค์กรและสายการบังคับบัญชาให้เหมาะสมกับขนาดและลักษณะการดำเนินงาน
- การกำหนดลักษณะงานและคุณสมบัติเฉพาะตำแหน่ง (Job Description & Job Specification) สำหรับทุกตำแหน่งงาน อย่างชัดเจน
องค์ประกอบที่ 2 การประเมินความเสี่ยง (Risk Assessment)
ความเสี่ยง คือโอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล การสูญเปล่าหรือเหตุการณ์ที่ไม่พึงประสงค์ที่ทำให้การดำเนินงานไม่บรรลุวัตถุประสงค์หรือเป้าหมายที่กำหนดไว้ความเสี่ยงเหล่านี้อาจเกิดจากสาเหตุภายนอกหรือภายในองค์กรก็ได้ โดยเฉพาะในการดำเนินงานปัจจุบัน ภายใต้การเปลี่ยนแปลงของนโยบายรัฐบาล สภาพเศรษฐกิจ กฎระเบียบต่างๆ ทำให้แต่ละองค์กรต้องเผชิญกับความเสี่ยงมากขึ้น ถ้าองค์กรสามารถบ่งชี้และประเมินความเสี่ยงได้อย่างเหมาะสม ก็จะช่วยให้สามารถเตรียมการแก้ไขปัญหาเหล่านั้นได้ทันท่วงที
ข้อควรพิจารณาในการประเมินความเสี่ยง คือ ความเสี่ยงเป็นตัวถ่วงให้การดำเนินงานไม่สำเร็จตามวัตถุประสงค์ ผู้ประเมินต้องพยายามเปลี่ยนจากวิกฤตที่องค์กรเผชิญอยู่ให้เป็นโอกาสโดยการเตรียมการให้พร้อมในการรับมือกับความเสี่ยงที่อาจจะเกิดขึ้น แต่การเตรียมการดังกล่าวไม่ได้หมายความว่า การควบคุมภายในยิ่งมากยิ่งดี การควบคุมภายในที่มากจนเกินไป อาจจะทำให้งานสะดุด แต่ถ้ามีน้อยจนเกินไป ก็จะทำให้งานไม่สำเร็จ ดังนั้น จึงต้องกำหนดการควบคุมภายในให้พอเหมาะ โดยถือหลักการที่ว่ามีความเสี่ยงมาก ควบคุมมาก มีความเสี่ยงน้อย ควบคุมน้อย
การประเมินความเสี่ยงที่มีประสิทธิผลนั้น ผู้ประเมินต้องเข้าใจวัตถุประสงค์ของการดำเนินงานอย่างชัดเจนก่อน หลังจากนั้น จึงพิจารณาว่ามีความเสี่ยงอะไรบ้างในการทำงาน แล้วจึงพิจารณาว่าความเสี่ยงเหล่านั้นเกิดขึ้นบ่อยครั้งหรือไม่ และเมื่อเกิดความเสี่ยงนั้นแล้วจะส่งผลกระทบต่อการดำเนินงานมากน้อยเพียงใด หากผู้ประเมินพิจารณาแล้ว เห็นว่ายังคงมีความเสี่ยงสูงเกินกว่าที่จะยอมรับได้ จะต้องพิจารณาปรับเปลี่ยนการควบคุมภายในให้เพียงพอและเหมาะสมต่อไป
องค์ประกอบที่ 3 กิจกรรมการควบคุม (Control Activities)
กิจกรรมการควบคุมเป็นองค์ประกอบที่จะช่วยให้มั่นใจได้ว่า นโยบายและกระบวนการเกี่ยวกับการควบคุมภายในกำหนดขึ้นนั้น ได้มีการนำไปปฏิบัติตามภายในองค์กรอย่างทั่วถึง นอกจากนี้ กิจกรรมการควบคุมยังช่วยสร้างความมั่นใจว่าองค์กรมีกิจกรรมที่เหมาะสมในการป้องกันหรือลดความเสี่ยงที่อาจเกิดขึ้น ดังนั้น กิจกรรมการควบคุมควรกำหนดให้สอดคล้องกับความเสี่ยงที่ประเมินได้ โดยมีข้อควรพิจารณาในการกำหนดกิจกรรมการควบคุม ดังต่อไปนี้
- กิจกรรมการควบคุมควรเป็นส่วนหนึ่งของกระบวนการปฏิบัติงานตามปกติ
- กิจกรรมการควบคุมต้องสามารถป้องกันหรือลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
- ค่าใช้จ่ายในการกำหนดให้กิจกรรมการควบคุมต้องไม่สูงกว่าผลเสียหายที่คาดว่าจะเกิดขึ้น
องค์ประกอบที่ 4 สารสนเทศและการสื่อสาร (Information and Communication)
การควบคุมภายในที่ดีจะเกิดขึ้นได้ เมื่อข้อมูลที่เกี่ยวข้องกับการดำเนินงานนั้นได้มีการบ่งชี้ รวบรวมและชี้แจงให้แก่บุคคลที่ควรทราบ โดยผ่านทางรูปแบบและเวลาการสื่อสารที่เหมาะสมข้อมูลที่มีประโยชน์ต่อการตัดสินใจ การบริหารจัดการ และการปฏิบัติงานนั้น อาจเป็นได้ทั้งข้อมูลที่เกี่ยวกับการดำเนินงาน การเงิน และการปฏิบัติตามกฎระเบียบต่างๆ โดยแหล่งข้อมูลอาจมาจากภายในหรือภายนอกองค์กร
องค์ประกอบในเรื่องสารสนเทศและการสื่อสาร อาจพิจารณาประเด็นที่สำคัญได้ดังนี้
- ข้อมูลเพียงพอ ถูกต้อง ภายใต้รูปแบบที่เหมาะสม และทันเวลา เพื่อช่วยสนับสนุนการตัดสินใจ การบริหารจัดการ และการปฏิบัติงานในเรื่องต่างๆ
- การสื่อสารข้อมูลเกิดขึ้นอย่างทั่วถึงทั้งองค์กร จากผู้บริหารถึงพนักงานและในทางกลับกัน ระหว่างหน่วยงานหรือแผนก ระหว่างองค์กรกับบุคคลภายนอกเช่น สื่อมวลชน ผู้ออกกฎระเบียบต่างๆ
- การสื่อสารอย่างชัดเจนให้บุคลากรทราบถึงความสำคัญและความรับผิดชอบต่อการควบคุมภายใน
การควบคุมภายในทั้งหลายที่จัดให้มีขึ้นนั้น จำเป็นอย่างยิ่งที่ต้องมีกลไกในการติดตามประเมินผล เพื่อให้มั่นใจว่าได้มีการปฏิบัติการควบคุมภายในนั้นอย่างสม่ำเสมอ และการปฏิบัตินั้นยังมีความเหมาะสมกับลักษณะการดำเนินงานและการเปลี่ยนแปลงที่เกิดขึ้น เพราะอย่าลืมว่า การเปลี่ยนแปลงต่างๆ ที่เกิดขึ้นอาจมีผลกระทบต่อความเสี่ยงในการดำเนินงาน และความเสี่ยงที่เปลี่ยนแปลงไป อาจจำเป็นต้องปรับปรุงการควบคุมภายในให้เหมาะสมด้วย
การติดตามผล นั้นสามารถทำได้โดยรวมอยู่ในกระบวนการปฏิบัติงานนั้นๆ เช่น การที่ผู้บังคับบัญชาคอยติดตามถามไถ่ปัญหาในการทำงาน ก็ถือว่าเป็นการติดตามผลอย่างหนึ่ง
การประเมินผล คือ การประเมินผลการดำเนินงานเป็นระยะหรือเป็นครั้งคราว เช่น การตรวจสอบโดยหน่วยตรวจสอบภายใน ซึ่งอาจจะเป็นบุคคลในองค์กรนั้นเอง หรือการมอบหมายให้บุคคลภายนอกมาทำหน้าที่เป็นผู้ตรวจสอบภายในหากองค์กรมีหน่วยตรวจสอบภายในก็ต้องส่งเสริมและพัฒนาหน่วยงานนี้ให้สามารถทำงานได้อย่างมีประสิทธิภาพและประสิทธิผลจริงๆ ดังคำกล่าวในปัจจุบันที่ว่า ผู้ตรวจสอบภายในคือที่ปรึกษาอันมีค่ายิ่งต่อผู้บริหาร วิชาชีพตรวจสอบภายในก้าวหน้าไปอย่างรวดเร็วมาก พร้อมๆ กับความสำคัญของการควบคุมภายในดังนั้น ผู้บริหารจึงควรอย่างยิ่งที่จะต้องพัฒนาสองเรื่องนี้ไปพร้อมๆ กัน
การประเมินการควบคุมภายในอีกลักษณะหนึ่งที่กำลังมาแรงในปัจจุบัน คือการสร้างความรับผิดชอบในการควบคุมภายใน ให้แก่ทุกคนที่เป็นเจ้าของงานนั้น ถ้าสร้างความรับผิดชอบแบบนี้ขึ้นมาได้ ผู้บริหารก็จะบริหารงานได้อย่างเบาใจ เพราะทุกคนจะสอดส่องดูแลอย่างสม่ำเสมอให้งานที่ตนต้องรับผิดชอบนั้น สามารถบรรลุวัตถุประสงค์ได้อย่างจริงจัง การปฏิบัติแบบนี้เรียกว่า การประเมินการควบคุมด้วยตนเอง (Control Self Assessment)
(ที่มา : http://www.thai-sciencemuseum.com,2562)
การควบคุมในระบบสารสนเทศ
การควบคุมระบบสารสนเทศอาจจัดเป็นประเภทต่าง ๆ ได้หลายวิธี วิธีที่เป็นที่นิยม เช่น การจำแนกประเภทการควบคุมตามลักษณะ (Classification by setting)และการจำแนกประเภทการควบคุมตามระดับความเสี่ยง (Classification by risk aversion) การจำแนกประเภทการควบคุมตามลักษณะของการควบคุม สามารถจำแนกเป็น 2 ประเภท ได้แก่
1. การควบคุมทั่วไป
2. การควบคุมระบบงาน การจำแนกประเภทการควบคุมตามระดับความเสี่ยงอาจแบ่งได้เป็น 3 ประเภท ได้แก่
1) การควบคุมเชิงป้องกัน (Preventive control) เป็นการดำเนินการล่วงหน้าเพื่อป้องกันไม่ให้เกิด ข้อผิดพลาดหรือความเสียหายขึ้น ตัวอย่างเช่น การจัดให้มีคู่มือปฏิบัติงานเพื่อป้องกันความผิดพลาดที่เกิดขึ้นในการปฏิบัติงาน เป็นต้น
2) การควบคุมเชิงตรวจพบ (Detective control) เป็นการดำเนินการเพื่อให้สามารถตรวจพบภัยคุกคามหรือข้อผิดพลาดที่เกิดขึ้น ตัวอย่างเช่น การสอบทานความถูกต้องของข้อมูลที่ได้มีการบันทึกในระบบคอมพิวเตอร์ก่อนการประมวลผล เป็นต้น
3) การควบคุมเชิงแก้ไข (Corrective control) เป็นการดำเนินการเพื่อแก้ไขข้อผิดพลาดหรือความเสียหายที่ตรวจพบ เช่น การปรับปรุงรายการเพื่อแก้ไขข้อผิดพลาดทางการบัญชี เมื่อตรวจพบข้อผิดพลาด จากการตรวจสอบงบทดลอง เป็นต้น
(ที่มา : http://elearning.psru.ac.th,2557)
ความคิดเห็น
แสดงความคิดเห็น