Archive for พฤษภาคม, 2012

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 3 – การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้

ในครั้งที่แล้วผมได้พูดถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) ซึ่งถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น การทำ CSA อาจทำออกมาในรูปแบบของโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์ หากองค์กรใดมีการจัดทำ CSA หรือนำ CSA มาประยุกต์ใช้ อาจทำให้เกิดการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร โดยเฉพาะอย่างยิ่งการเปลี่ยนแปลงหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับการควบคุมภายใน ในวิธีการแบบดั้งเดิม และแบบวิธีการ CSA ซึ่งผมจะขอนำเสนอเป็นแผนภาพตาราง พร้อมอธิบายควบคู่กันไปดังนี้นะครับ

จากตารางข้างต้น หน้าที่ความรับผิดชอบของการควบคุมภายใน รวมทั้งการกำหนดวัตถุประสงค์และการประเมินความเสี่ยงและการควบคุมความเสี่ยงที่เกี่ยวข้อง ไม่ใช่การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้ นั่นคือยังคงเป็นหน้าที่ของฝ่ายบริหารอยู่ ความหมายของการประเมินการควบคุมภายในนั้น รวมถึงการประเมินความเสี่ยงด้วย จะเห็นได้ว่าการประเมินและการควบคุมความเสี่ยงได้มีการเปลี่ยนแปลงไปจากการนำ CSA มาใช้ นั่นคือเปลี่ยนจากความรับผิดชอบที่เป็นของผู้ตรวจสอบมาเป็นความรับผิดชอบของทีมงาน ซึ่งนับว่าเป็นการเปลี่ยนแปลงอย่างยิ่งใหญ่ที่ต่างไปจากแนวทางการตรวจสอบแบบดั้งเดิม

ผู้ตรวจสอบทั้งหมดเห็นด้วยว่า ผู้บริหารต้องมีหน้าที่ในการควบคุมภายในด้วย แต่บางคนได้โต้แย้งว่าการให้ผู้ตรวจสอบภายในประเมินประสิทธิผลของการควบคุมเองนั้น ทำให้เกิดความสับสนขึ้นมาได้ เนื่องจากผู้บริหารอ้างว่า เมื่อเขามีหน้าที่ในการควบคุมภายในด้วย ทำใมจึงต้องให้บุคคลภายนอก(ผู้ตรวจสอบ) เป็นผู้ประเมินผลการควบคุม จึงก่อใก้เกิดการเปลี่ยนแปลงขึ้น โดยผู้บริหารจะเป็นผู้ประเมินความเหมาะสมของประสิทธิผลของหน้าที่ความรับผิดชอบหรืองานที่เป็นของเขาเอง แต่แนวทางการควบคุมภายในทำให้การควบคุมนั้นมีความแตกต่างหรือมีลักษณะพิเศษ ทำให้ผู้บริหารต้องสละความรับผิดชอบด้านการควบคุมนี้ ไปให้กับผู้ที่มีความเชี่ยวชาญเป็นพิเศษ นั่นคือผู้ตรวจสอบที่จะเป็นผู้ประเมินความเหมาะสมในทุก ๆ เรื่อง

การประเมินตนเองเป็นเรื่องของความพยายามในการเปลี่ยนแปลง โดยการสอบถามผู้บริหารถึงเรื่องหน้าที่ความรับผิดชอบสำหรับการควบคุม และสอบถามทีมงานในเรื่องเกี่ยวกับความรู้ที่มีเกี่ยวกับรายละเอียดของธุรกิจ เพื่อประเมินความเหมาะสมของการควบคุม ผู้ตรวจสอบภายในจึงเป็นผู้อำนวยความสะดวก มีหน้าที่ในการให้แนวทางแก่ผู้บริหารและพนักงาน ในกระบวนการประเมินโดยอาศัยความเชี่ยวชาญและประสบการณ์ที่มีอยู่

เมื่อย้อนกลับไปดูที่ตารางข้างต้นอีกครั้งจะเห็นได้ว่า การรายงานการควบคุมเป็นสิ่งที่ต้องมีในรายงานของผู้ตรวจสอบในแนวทางแบบดั้งเดิม ส่วนใน CSA อาจต้องมีการทำรายงานขึ้นมาจากการประชุมเชิงปฏิบัติการที่จะนำไปสู่ผู้บริหารระดับถัดไปในเรื่องการประเมินการควบคุม รายงานที่ทีมงานสร้างขึ้นจากการทำการประชุมเชิงปฏิบัติการ จะไม่ใช่รายงานของผู้ตรวจสอบ แม้ว่าอาจจะมีข้อเสนอแนะของฝ่ายตรวจสอบด้วย แนวทางของหน้าที่ความรับผิดชอบ การประเมินและการรายงานที่ร่วมกันสร้างขึ้นมา จะช่วยเพิ่มระดับความผูกพันในการควบคุมและประเมินความเสี่ยงในองค์กร มากกว่าหน้าที่ความรับผิดชอบและรายงานที่พวกเข้าไม่ได้มีส่วนร่วมหรือเป็นเจ้าของ ในการทำ CSA เมื่อทีมงานสร้างรายงานเสร็จแล้ว ทีมงานและผู้บริหารจะเกิดความเข้าใจเรื่องการควบคุมมากขึ้น ในเรื่องของวัตถุประสงค์ เป้าหมายและหน้าที่ความรับผิดชอบอื่น ๆ ที่เป็นของพวกเขาเอง ซึ่งหลังจากขั้นตอนดังกล่าว การควบคุมก็จะเป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้นั่นเอง

ผู้ที่จะสามารถบอกได้ว่าการประเมินความเสี่ยง และการควบคุมความเสี่ยงนั้น ถูกต้องหรือไม่ในแนวทางแบบดั้งเดิมคือผู้ตรวจสอบ โดยอาศัยความเห็นในเรื่องความเหมาะสมของการควบคุมของผู้ตรวจสอบเอง ความช่วยเหลือของผู้บริหารฝ่ายตรวจสอบ โดยการตรวจสอบและสั่งงานผู้ตรวจสอบ ผู้บริหารตามสายงานก็อาจมีส่วนช่วยด้วย โดยการตรวจสอบผลของการตรวจสอบนั้น และผู้ตรวจสอบภายนอกก็อาจช่วยได้ด้วยเช่นกัน โดยการตรวจสอบรายงานทางการเงิน

ในการนำ CSA มาใช้ ทำให้การอธิบายหน้าที่ความรับผิดชอบในการตรวจสอบความถูกต้องของการประเมินความเสี่ยง และการควบคุมความเสี่ยงมีความชัดเจนมากขึ้น โดยผู้ตรวจสอบภายในจะแสดงบทบาทในการประกันคุณภาพ อันเป็นผลจากการนำการทดสอบการควบคุมมาใช้ การทดสอบที่เคยทำในการตรวจสอบแบบดั้งเดิมในการนำ CSA มาใช้ก็ยังคงมีอยู่ แต่อาจจะเน้นไปที่ความสำคัญของการควบคุมที่ทีมงานได้กำหนดไว้ในการประเมินตนเอง กระบวนการประกันคุณภาพ ไม่ใช่เรื่องที่จะทำการทดสอบกันได้ง่าย ๆ เป็นแนวทางที่มีขั้นตอนซับซ้อน ที่ต้องเริ่มจากการวางแผนการประเมินตนเองและผลลัพธ์ ร่วมกับการทดสอบในการตรวจสอบพิเศษ หรือการตรวจสอบแบบดั้งเดิม ทีมงานอาจต้องตรวจสอบความถูกต้องร่วมกับผู้ตรวจสอบโดยการสุ่มตรวจความถูกต้อง

CSA มักสร้างกลไกที่นำวัตถุประสงค์ไปใช้ในกระบวนการประเมินตนเอง การออกแบบการตรวจสอบแบบดั้งเดิม มักออกแบบมาให้สอดคล้องกับวัตถุประสงค์ในการควบคุม เช่น วัตถุประสงค์ ความเสี่ยง และจุดเน้นในระดับปฏิบัติการที่ถูกนำมาใช้เป็นเครื่องมือในการประเมินของ COSO การแยกวัตถุประสงค์ของการควบคุมเป็นแนวทางออกไปจากวัตถุประสงค์ของผู้บริหารหรือของธุรกิจ CSA จะช่วยผู้บริหารในการระบุและ/หรือการตรวจสอบเรื่องที่เกี่ยวข้องที่จะกระทบวัตถุประสงค์หลักทางธุรกิจ เช่น การปรับปรุงผลิตภัณฑ์ จริยธรรมที่ดีขึ้น ระยะเวลาที่รวดเร็วขึ้น ความถูกต้องของการออกแบบระบบ กระบวนการ CSA มักเริ่มต้นจากวัตถุประสงค์ทางธุรกิจของผู้บริหาร มากกว่าวัตถุประสงค์ในการควบคุมความเสี่ยง ที่ผู้ตรวจสอบภายในกำหนดขึ้น นั่นหมายถึง ผู้บริหารและทีมงานล้วนสนใจผลที่เกิดจาก CSA ดังนั้น การประเมินตนเอง จึงเน้นไปที่วัตถุประสงค์ของพวกเขาเอง ไม่ใช่วัตถุประสงค์ที่ผู้ตรวจสอบแนะนำ

ในการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กรแล้ว นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กรดังที่ได้กล่าวมาแล้วในข้างต้น ยังมีประโยชน์และข้อควรคำนึงถึงในการทำ CSA ด้วย ซึ่งผมขอนำเสนอในโอกาสต่อไปนะครับ