Archive for the "Non – IT Audit / การตรวจสอบโดยทั่วไป" Category

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 8 COSO (Committee of Sponsoring Organizations)

สวัสดีครับ ทุกท่านที่ติดตามเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ครั้งก่อนผมได้กล่าวทิ้งท้ายไว้ว่า ยังมีการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจและนำไปประยุกต์ใช้ในการประเมินตนเองได้อย่างมีประสิทธิภาพ อย่าง COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ซึ่งในครั้งนี้ผมจะขอเล่าสู่กันฟังเกี่ยวกับ COSO ก่อนนะครับ โดยจะกล่าวถึงในมุมมองของการควบคุมภายใน และการประเมินตนเองเพื่อควบคุมความเสี่ยงในภาพโดยรวม ตามหลักการของ COSO นี้ จะมี 5 องค์ประกอบที่สำคัญ ส่วนในมุมมองของการบริหารความเสี่ยงและการควบคุมภายในที่นำ COSO ไปประยุกต์ใช้ ได้มีการปรับปรุงเป็น 8 องค์ประกอบ ซึ่งผมเคยได้กล่าวไว้ในหัวข้อ ของ แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework แล้ว

COSO (Committee of Sponsoring Organizations)
COSO ได้ออกแบบกรอบการควบคุมความเสี่ยงขึ้น เนื่องจากต้องการให้ความหมายการควบคุมภายในที่ชัดเจนตรงกันในองค์กรที่มีความหลากหลาย โดยเรียกแบบจำลองนั้นว่า แบบจำลอง COSO หรือเรียกสั้น ๆ ว่า COSO

ในการพัฒนาแบบจำลองของ COSO ต้องเริ่มจากการทำความเข้าใจความหมายของการวบคุมภายในเสียก่อน การควบคุมภายใน (Internal Control) จึงเป็นวิธีการหนึ่งที่จะช่วยให้องค์กรบรรลุผลสำเร็จ โดยการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นอันจะเป็นการขัดขวางการบรรลุผลสำเร็จขององค์กร และเป็นกระบวนการที่เกิดขึ้นโดยคณะกรรมการบริหาร ผู้บริหาร และทุกคนในองค์กรที่ออกแบบมาเพื่อเป็นการประกันการบรรลุวัตถุประสงค์ขององค์กรในด้านต่าง ๆ ดังนี้
1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน
2. ความน่าเชื่อถือของรายงานทางการเงิน
3. การปฏิบัติตามกฎหมาย กฎระเบียบ

5 องค์ประกอบของการควบคุมภายใน (Components of Internal Control) ของ COSO
การควบคุมภายในประกอบด้วยองค์ประกอบหลายด้านที่ต้องทำการพิจารณา โดยองค์ประกอบของการควบคุมภายในรูปแบบหนึ่ง อาจพิจารณาในเรื่องต่าง ๆ ดังนี้

1. สภาพแวดล้อมของการควบคุม (Control Environment) เมื่อสภาพแวดล้อมการทำงานเป็นสิ่งที่มีความสำคัญในการบริหารธุรกิจ จึงควรที่มีการจัดสภาพแวดล้อมการทำงานให้เหมาะสมกับการปฏิบัติงาน เพื่อให้พนักงานสามารถปฏิบัติงานได้อย่างมีประสิทธิภาพ อันจะช่วยให้การดำเนินธุรกิจเป็นไปอย่างราบรื่น สามารถบรรลุเป้าหมายทางธุรกิจได้ตามที่ต้องการ สภาพแวดล้อมที่สำคัญได้แก่
1.1 ความร่วมมือร่วมใจกันของพนักงาน
1.2 การให้คุณค่าต่อจรรยาบรรณ ความซื่อสัตย์ในการปฏิบัติงาน
1.3 ความสามารถในการทำงานของพนักงานทุกฝ่าย
1.4 ปรัชญาในการดำเนินงานของฝ่ายบริหาร
1.5 รูปแบบการปฏิบัติงาน วิธีการปฏิบัติงานที่ผู้บริหารมอบหมายอำนาจความรับผิดชอบและการจัดการ
1.6 การพัฒนาคนภายในองค์กร
1.7 การควบคุม เอาใจใส่ และการวางแผนจากคณะกรรมการ
1.8 การสื่อสารจากระดับสูง
1.9 การบริหารข้อมูลและข่าวสารร่วมกัน
1.10 ความเข้าใจในระบบการควบคุมภายใน
1.11 โครงสร้างขององค์กร
1.12 วัฒนธรรมขององค์กร
1.13 ความเป็นผู้นำของผู้บริหาร
1.14 อื่น ๆ

2. การประเมินความเสี่ยง (Risk Assessment) เป็นการตระหนักถึง และจัดการกับความเสี่ยงที่องค์กรต้องเผชิญ โดยต้องมีการกำหนดวัตถุประสงค์ที่บูรณาการขององค์กร เช่น การขาย การผลิต การตลาด การเงินกับกิจกรรมอื่น ๆ โดยเน้นให้องค์กรต้องวิเคราะห์/ ประเมินผลและบริหารความเสี่ยงที่เผชิญทั้งปัจจุบันและอนาคตในทุกมุมมอง ทุกระดับ
2.1 การตั้งวัตถุประสงค์ในการดำเนินงานขององค์กรที่เชื่อมโยงระดับต่าง ๆ ฝ่ายต่าง ๆ เข้าด้วยกัน และยึดมั่นแน่นเหนียวภายในองค์กร ซึ่งฝ่ายตรวจสอบภายในจะมีบทบาทในเรื่องนี้มาก
2.2 การประเมินความเสี่ยง คือการค้นหาและวิเคราะห์ความเสี่ยง เพื่อบริหารหรือจัดการให้วัตถุประสงค์ นโยบายขององค์กรที่ตั้งไว้สำเร็จผลอย่างมีประสิทธิภาพและประสิทธิผล
2.3 การเปลี่ยนแปลง คือสิ่งที่ไม่แน่นอน ไม่ว่าในระดับกว้าง ระดับแคบ ทั้งทางด้านเศรษฐกิจการเงิน ลักษณะธุรกิจ เทคนิคข้อบังคับ รวมทั้งเงื่อนไขในการดำเนินงาน จึงจำเป็นต้องมีวิธีการตรวจหาและจัดการกับความเสี่ยงโดยเฉพาะ

3. กิจกรรมการควบคุม (Control Activities) เป็นการพิจารณากำหนดนโยบายและกระบวนการควบคุมให้รอบคอบว่า สิ่งที่กำหนดขึ้นมานั้นสามารถช่วยให้องค์กรบรรลุผลสำเร็จได้อย่างมีประสิทธิผล
การควบคุมก็คือนโยบายและวิธีการต่าง ๆ ที่ทำให้มั่นใจว่าคำสั่งของฝ่ายบริหารได้นำไปปฏิบัติ
3.1 ช่วยให้มั่นใจว่ามีการดำเนินการต่าง ๆ ที่จำเป็นเพื่อบอกถึงความเสี่ยงต่อการทำให้เกิดความสำเร็จตามวัตถุประสงค์ของหน่วยงาน
3.2 ต้องสร้างขั้นตอนการควบคุมความเสี่ยงภายในองค์กรทุกระดับ และทุกแผนก
3.3 การควบคุม รวมทั้งการพิจารณาอนุมัติ การให้อำนาจกระทำการ การตรวจสอบความถูกต้อง การไกล่เกลี่ยความขัดแย้ง การทบทวนผลการดำเนินงาน การรักษาความปลอดภัยของทรัพย์สิน การแบ่งแยกหน้าที่ ฯลฯ เพื่อให้องค์กรบรรลุเป้าหมาย

4. ข้อมูลสารสนเทศและการสื่อสาร (Information and Communication) เน้นการส่งข่าว และความเข้าใจร่วมในองค์กรสำหรับกิจกรรม และระเบียบต่าง ๆ ให้เข้าใจตรงกันตามความรับผิดชอบในแต่ละระดับชั้น ในเวลาที่เหมาะสม
การให้ข้อมูลต้องทำอย่างเหมาะสมด้วยสื่อทั้งภายในและภายนอก
4.1 ต้องสื่อสารเป็นวงกว้าง จากระดับบนสู่ล่าง จากซ้ายไปขวา จากขวาไปซ้าย แล้วย้อนล่างไปบน โดยต้องมีการสร้างระบบข้อมูลสารสนเทศและการสื่อสารที่เอื้อต่อการนำไปใช้ และมีการแลกเปลี่ยนกันตามความจำเป็นเพื่อใช้ในการปฏิบัติ การบริหาร และการควบคุมการดำเนินงาน
4.2 พนักงานทุกคนต้องเข้าใจบทบาทตนเองในระบบการควบคุมภายใน ตลอดจนความรู้ว่าการดำเนินงานของแต่ละคนสัมพันธ์กับการทำงานของผู้อื่น/หน่วยงานอื่นอย่างไร
4.3 รูปแบบการสื่อสารในองค์กรสามารถทำได้หลายทาง เช่น การประชุม การจัดทำรายงานประจำเดือน เป็นต้น การมีข้อมูลข่าวสารและระบบการสื่อสารที่ดีย่อมช่วยให้ผู้บริหารได้สอบทานสถานะของความเสี่ยงและแผนการดำเนินงาน สิ่งเหล่านี้จะช่วยให้เกิดการบอกกล่าวข้อมูลที่สำคัญ และทำให้เกิดการตัดสินใจที่มีประสิทธิผลได้อย่างทันเวลา

5. การติดตาม/การสอดส่องดูแล (Monitoring) เนื่องจากสภาพแวดล้อมทางภายในและภายนอกองค์กรมีการเปลี่ยนแปลงตลอดเวลา ระบบการควบคุมจึงต้องมีการติดตามและดัดแปลง รวมทั้งการตรวจสอบให้เหมาะสมเท่าที่จำเป็น สามารถเปลี่ยนแปลงให้เหมาะสมกับเงื่อนไขต่าง ๆ ได้เป็นอย่างดี โดยระบบการควบคุมภายในทุกระดับของฝ่ายในองค์กรจำเป็นต้องมีการสอดส่องดูแลอย่างใกล้ชิด และมีการประเมินคุณภาพการทำงานของระบบเป็นระยะ ทำได้โดยการสอดส่องและประเมินผลตลอดเวลาทุกขั้นตอนการดำเนินงาน

การนำ COSO ไปใช้ใน CSA
สูตรความเสี่ยงพื้นฐานที่ได้อธิบายมาก่อนหน้านี้ (วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง) ที่ถูกนำมาใช้ในกรอบของ COSO คือเรื่องของการประเมินความเสี่ยง และระดับกิจกรรมการควบคุมความเสี่ยง

องค์กรมักนำ COSO มาใช้ใน CSA โดยการออกแบบสอบถามหรือแบบสำรวจทั่วทั้งองค์กรประจำปี เพื่อประเมินสภาพแวดล้อมการควบคุมขององค์กร ซึ่งอาจทำได้โดยการสัมภาษณ์แบบมีโครงสร้างหรืออาจใช้วิธีการลงชื่อลับ

เครื่องมือการประเมินองค์ประกอบ ได้แก่ แบบสอบถาม, Workshop หรือการสัมภาษณ์ รวมทั้งการใช้ข้อมูลสารสนเทศ การสื่อสาร และการติดตามในการประเมินตนเองทั่วทั้งองค์กร

นอกจากนี้บางองค์กรยังนำ COSO มาใช้ใน CSA ในการทำ Workshops ในระดับทีมงาน เพื่อประเมินการควบคุมในระดับกิจกรรม ซึ่งจะเน้นไปที่กระบวนการทางธุรกิจหรือกิจกรรมที่มีโครงสร้างเหมือน Generic Activities เช่น การสั่งซื้อ บัญชีรายรับ บัญชีรายจ่าย ทรัพยากรมนุษย์ ฯลฯ ซึ่งจะทำงานร่วมกันเป็นทีม วัตถุประสงค์ระดับกิจกรรมที่ระบุไว้ใน COSO เรียกว่าวัตถุประสงค์ด้านการควบคุม ซึ่งจะใช้ในการเริ่มกำหนดคำถามด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงเพื่อใช้ในการปฏิบัติงาน

สำหรับ CoCo (Criteria of Control) หากท่านผู้อ่านอยากทราบเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ด้วย CoCo อย่าพลาดติดตามในครั้งหน้านะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (3)

สวัสดีครับทุกท่านที่ติดตามสาระ ความรู้จาก itgthailand.com แห่งนี้ สำหรับการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือที่เรียกกันว่า CSA – Controls Self Assessment ที่ได้พูดคุยกันมาถึงตอนที่ 7 แล้ว ในครั้งก่อน ผมได้พูดถึง ความเสี่ยง การบริหารความเสี่ยง และทางเลือกในการบริหารความเสี่ยง พร้อมทั้งยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการในบางมุมมอง ซึ่งคาดว่าจะเป็นประโยชน์อย่างมากสำหรับการนำไปประยุกต์ใช้ให้เหมาะสมในแต่ละองค์กร และเมื่อพูดถึงความเสี่ยง การบริหารความเสี่ยงแล้ว แน่นอนว่าจะขาดไม่ได้ที่จะไม่กล่าวถึง การควบคุม (Control) ที่เป็นกระบวนการที่สำคัญและจำเป็นต่อการประเมินตนเองเพื่อการควบคุมความเสี่ยงขององค์กร

การควบคุม (Control) หมายถึง ขั้นตอน กระบวนการ หรือกลไกซึ่งองค์กรกำหนดขึ้นเพื่อให้มั่นใจว่า กิจกรรมในการดำเนินธุรกิจจะประสบความสำเร็จ และได้ผลลัพธ์ตามวัตถุประสงค์ที่ได้กำหนดไว้
การควบคุมเป็นกระบวนการตรวจสอบกิจกรรมเพื่อให้เกิดความมั่นใจว่าสามารถบรรลุวัตถุประสงค์ตามแผนที่กำหนดไว้
การควบคุมเป็นหน้าที่ที่สำคัญอย่างหนึ่งของการบริหาร การควบคุมมีความสัมพันธ์ใกล้ชิดกับการวางแผน เพราะการควบคุมเป็นเครื่องมือสำคัญในการกำหนดแผน การดำเนินการตามแผนและการประเมินผลตอบแทน

รูปแบบของการควบคุม
รูปแบบของการควบคุมจะแสดงให้เห็นถึงวิธีการตอบสนองต่อความเสี่ยง ซึ่งรูปแบบการควบคุมเหล่านี้ได้แก่
1. การป้องกัน (Preventive) คือความพยายามที่จะสกัดไม่ให้เกิดความเสี่ยงขึ้น เป็นการควบคุมล่วงหน้าก่อนที่จะเกิดความเสี่ยงขึ้น เช่น การขออนุมัติใบสั่งซื้อก่อน หรือการใส่รหัสลับในเครื่องคอมพิวเตอร์
2. การตรวจสอบ/ติดตาม(Detective) คือความพยายามในการติดตามความเสี่ยงที่เกิดขึ้นถึงแม้จะมีการควบคุมแบบการป้องกันแล้ว นั่นคือเมื่อมีความเสี่ยงเกิดขึ้น บริษัทจะจัดให้มีระบบการควบคุมความเสี่ยงขึ้นมา ซึ่งการติดตามที่ดีต้องมีระบบการสื่อสารที่ดีด้วย โดยต้องจัดให้มีระบบการสื่อสารที่รวดเร็วและสม่ำเสมอโดยวิธีการที่หลากหลาย
3. การกำกับ (Directive) คือความพยายามหลีกเลี่ยงความเสี่ยงโดยการกำหนดวิธีการเฉพาะที่เหมาะสม เป็นการเสนอให้ทำสิ่งที่ถูกต้อง (เป็นแนวทางหรือการฝึกอบรม)

จากรูปแบบการควบคุมข้างต้น จะเห็นได้ว่า นอกจากการควบคุมจะเป็นการป้องกันไม่ให้เกิดความเสี่ยงขึ้นแล้ว ยังมีรูปแบบอื่นที่สามารถทำได้อีก เช่น การติดตามความเสี่ยงที่อาจเกิดขึ้น หรือการให้คำแนะนำหรือฝึกอบรมพนักงานให้กับพนักงานเพื่อจัดการกับความเสี่ยง

การทำความเข้าใจเป้าหมายที่แท้จริงของระบบการควบคุบภายในจะช่วยให้สามารถบรรลุวัตถุประสงค์ของธุรกิจง่ายขึ้น โดยการประเมินความเสี่ยงเป็นวิธีการที่ง่ายที่สุดในการบรรลุวัตถุประสงค์ และสิ่งที่ต้องทำเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ คือ การระบุ/ บ่งชี้ปัจจัยเสี่ยง โดยการระบุปัจจัยเสี่ยงนี้ จะมีประโยชน์ในการออกแบบระบบการควบคุมความเสี่ยงที่เหมาะสมกับความเสี่ยงนั้น ๆ มีการกำหนดระบบการควบคุมที่มีต้นทุน-ประสิทธิผล ที่เหมาะสมมากที่สุด เพื่อบรรเทาผลกระทบจากความเสี่ยงที่เกิดขึ้น อันจะทำให้เราสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้

นอกจากนี้ยังควรตระหนักถึงความสัมพันธ์ระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงด้วย การควบคุมความเสี่ยงเกือบทั้งหมดจะใช้ในการบรรเทาความเสี่ยงที่เกิดขึ้นอันจะมีผลต่อการบรรลุวัตถุประสงค์ การออกแบบการควบคุมภายในเพียงอย่างเดียว ไม่สามารถนำไปใช้ในการบริหารความเสี่ยงทุกประเภทได้ การออกแบบการควบคุมความเสี่ยงโดยผู้ที่มีความรู้และประสบการณ์ใกล้ชิดกับงานที่ทำ น่าจะสามารถทำได้ดีกว่าการออกแบบการควบคุมที่เกิดขึ้นจากผู้บริหาร ผู้ตรวจสอบภายใน หรือผู้ที่ทำหน้าที่ในการประเมินตนเองเพื่อการควบคุมภายใน

กรอบการควบคุม ในการประเมินตนเองเพื่อควบคุมความเสี่ยง
กรอบการควบคุมความเสี่ยง (แบบจำลองการควบคุมความเสี่ยง) เป็นความหมายและโครงสร้างที่ใช้ในการอธิบายการควบคุมภายใน วิธีการนำเอาแบบจำลองการควบคุมความเสี่ยงไปปฏิบัที่ดีที่สุดคือ เริ่มจากการสัมภาษณ์มุมมองเชิงลึกถึงวิธีการที่องค์กรจะนำเอาแบบจำลองการควบคุมไปใช้ และข้อมูลสารสนเทศเกี่ยวกับวิธีที่ใช้ในการประเมินตนเอง

กรอบความคิดต่าง ๆ จะถูกกำหนดขึ้นมาให้เหมาะกับวัตถุประสงค์เฉพาะของแต่ละคน ตัวอย่างเช่น กรอบความคิดหนึ่งอาจถูกออกแบบมาเพื่อใช้อธิบายความหมายและรายละเอียดของการควบคุมภายใน โดยมีพื้นฐานจากวัตถุประสงค์ขององค์กร ส่วนกรอบอื่น ๆ ที่มีอยู่อาจใช้ในการระบุความเสี่ยง และการให้บริการลูกค้า

ประโยชน์ของการใช้กรอบการควบคุมในการประเมินตนเองเพื่อควบคุมความเสี่ยง
1. แสดงให้เห็นถึงความครอบคลุมทั้งหมดของการควบคุมความเสี่ยง
2. ใช้เป็นเครื่องมือในการติดตามผลเพื่อรวบรวมเป็นชุดของหน่วยงานที่มีลักษณะคล้ายกัน
3. ใช้เป็นคำถามที่มีรูปแบบเพื่อเตรียมไว้สำหรับการจัดโครงสร้างและลักษณะทั่วไปของหน่วยงาน

เรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ยังไม่จบเพียงเท่านี้ ผมยังมีเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจมาเล่าสู่กันฟัง อาทิเช่น COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ส่วนจะมีรายละเอียดเป็นอย่างไรนั้น โปรดติดตามในครั้งต่อไปนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (2)

จากการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ที่ผมได้เล่าสู่กันฟังมาหลายตอน และได้กล่าวถึงวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยเน้นในส่วนของ CSA ที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ ในครั้งที่แล้วนั้น แต่เนื่องจากมีรายละเอียดมากพอสมควร ไม่อาจกล่าวได้ครอบคลุมทั้งวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง จึงจำเป็นต้องแยกเป็นหัวข้อที่ย่อยลงไป โดยในครั้งนี้จะขอกล่าวถึงเฉพาะเรื่องของความเสี่ยง สำหรับเรื่องของการควบคุมความเสี่ยง คงจะไว้พูดคุยกันในโอกาสต่อไป แต่อยากจะขอเน้นย้ำอีกสักครั้ง เพื่อให้เข้าใจได้ชัดเจนว่า การประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดหลาย ๆ ส่วนที่เกี่ยวข้องสัมพันธ์ เชื่อมโยงกันกับการบริหารความเสี่ยง ซึ่งหลายอย่างในบางส่วนหรือบางมุมมมองก็ไม่สามารถแยกแยะออกจากกันได้ ขึ้นอยู่การนำไปใช้กับหน้าที่การปฏิบัติงานในระดับต่าง ๆ ของหน่วยงาน/องค์กร

เมื่อพุดถึง ความเสี่ยง (Risk) คำจำกัดความของความเสี่ยงนั้นมีได้หลายมุมมอง แล้วแต่ว่าองค์กรนั้นเป็นองค์กรในลักษณะใด ทำธุรกิจด้านไหน แต่อย่างไรก็ตาม ทุกมุมมองจะมุ่งเน้นไปที่เป้าหมาย แต่ในที่นี้ผมขอให้คำจำกัดความไว้ดังนี้

ความเสี่ยง หมายถึง ภาวะคุกคาม ปัญหา อุปสรรค หรือการสูญเสียโอกาส ซึ่งจะมีผลทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้หรือก่อให้เกิดผลเสียหายต่อองค์กร หรือ…
ความเสี่ยง หมายถึง สาเหตุ มูลเหตุที่จะเกิดปัญหา ความผิดพลาด ความสูญเปล่า การรั่วไหล ความล้มเหลว ความเสียหาย หรือความไม่แน่นอน ซึ่งไม่พึงประสงค์ที่จะทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนดไว้ และ/หรือการไม่เกิดโอกาสหรือความสูญเสียโอกาสดี ๆ ที่จะเป็นประโยชน์ในการสร้างมูลค่าเพิ่มให้กับองค์กร หรือ…
ความเสี่ยง หมายถึง เหตุการณ์หรือการกระทำใด ๆ ที่อาจเกิดขึ้นในอนาคตซึ่งเมื่อเกิดขึ้น ล้วนจะมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร

ความเสี่ยงเป็นสิ่งที่สามารถเกิดขึ้นได้เสมอในทุกองค์กร บางครั้งอาจเป็นเหตุการณ์ที่ทำให้ผลที่องค์กรได้รับจากเหตุการณ์จริงไม่เป็นไปตามที่คาดหวังหรือวางแผนไว้ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น ต้นทุนที่เกิดขึ้นจริงสูงกว่างบประมาณที่กำหนดไว้ เป็นต้น

นอกจากนี้ยังมีความเสี่ยงบางประเภทที่มีความหมายในทางลบ โดยจะมองความเสี่ยงว่าเป็นอันตราย เป็นตัวขัดขวางทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ หรือสร้างความเสียหายต่อองค์กร แต่ในความเป็นจริงแล้วการที่เราสามารถระบุปัจจัยเสี่ยงออกมาได้ ย่อมทำให้เราสามารถที่จะเลือกได้ว่าจะตัดสินใจในการบริหารความเสี่ยง รวมถึงนำไปสู่การประเมินตนเองเพื่อควบคุมความเสี่ยงนั้น ๆ ได้อย่างไร

เราจะมีทางเลือกในการบริหารความเสี่ยงอย่างไรได้บ้าง

1. การหลีกเลี่ยงความเสี่ยง (Avoidance) เป็นการไม่ยอมรับความเสี่ยงนั้นเลย จึงอาจต้องทำให้เปลี่ยนวัตถุประสงค์ ตัวอย่างเช่น เมื่อเราได้พิจารณาแล้วเห็นว่า ประเทศใดกำลังเผชิญกับปัญหาด้านความมีเสถียรภาพทางการเงินและการเมืองสูง ย่อมทำให้เราตัดสินใจไม่เข้าไปลงทุนในประเทศนั้น นั่นคือการที่เราไม่ยอมรับความเสี่ยงที่เกิดขึ้นจากการเข้าไปลงทุนในประเทศนั้น

2. การลดหรือบรรเทาความเสี่ยง (Mitigation), การควบคุม (Control) เป็นการที่บริษัทตัดสินใจที่จะนำการควบคุมภายในมาใช้ในการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นจนทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้

3. การโยกย้าย, โอนย้ายความเสี่ยง (Transferring) เป็นการโอนความเสี่ยงไปให้ผู้อื่นรับผิดชอบ เนื่องจากความเสี่ยงบางอย่างบริษัทสามารถที่จะโยกย้ายความรับผิดชอบนั้นไปให้กับบุคลลที่สามรับผิดชอบแทนได้ เช่นการทำประกันอุบัติเหตุให้กับพนักงาน นั่นคือแทนที่บริษัทจะต้องใช้ทรัพยากรบางส่วนมาลงทุนดูแลงานด้านอุบัติเหตุเองให้กับพนักงานเอง บริษัทก็ไปจ้างบริษัทตัวแทนที่ทำหน้าที่นี้โดยตรง เข้ามารับผิดชอบดูแลแทน โดยยอมเสียค่าเบี้ยประกันจำนวนหนึ่งที่สามารถควบคุมได้แน่นอนให้กับบริษัทตัวแทน เพื่อเป็นการควบคุมความเสี่ยงให้กับบริษัทตน

4. การยอมรับความเสี่ยง (Residual risk) ถ้าความเสี่ยงยังอยู่ในระดับที่ยอมรับได้ บริษัทก็จะยังไม่เข้าไปดำเนินการใด ๆ เป็นพิเศษเพื่อที่จะลด โยกย้าย หรือหลีกเลี่ยงความเสี่ยง

หากเรามีการนำกรอบการกำหนดความเสี่ยงมาใช้ ก็จะช่วยให้สามารถระบุปัจจัยเสี่ยงได้อย่างมีประสิทธิภาพและประสิทธิผลมากขึ้น และจะทำให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ง่ายขึ้นด้วย ซึ่งกรอบการกำหนดความเสี่ยงส่วนใหญ่ของธุรกิจที่สำคัญ เพื่อการบริหารเบื้องต้นที่ผมจะขอกล่าวถึงมี 10 ประการ คือ

1. การบันทึกบัญชีและสารสนเทศไม่ถูกต้อง บิดเบือน/ ไม่ทันเวลา/ ซ้ำซ้อน/ ไม่บูรณาการ ฯลฯ
2. หลักการบัญชี นโยบายการบัญชีที่ไม่อาจยอมรับได้
3. ธุรกิจหยุดชะงัก หรือเสียชื่อเสียง/ความน่าเชื่อถือ IT/Logic/พนักงาน/กฎเกณฑ์ ฯลฯ
4. การถูกรัฐ/รัฐบาลตำหนิหรือการถูกลงโทษจากหน่วยงานรัฐ จากการไม่ปฏิบัติตามนโยบาย หลักการ ระเบียบ คำสั่งฯ ที่กำหนด หรือจากการทำให้ส่วนของความเป็นเจ้าของทุนลดค่า/ด้อยค่าลงหรือความเข้าใจในการตีความ กระบวนการที่ขัดกับเป้าหมายหลักของรัฐโดยรวม
5. ต้นทุนสูง ค่าใช้จ่ายสูง จากนโยบาย/การบริหาร/การจัดการ
6. การไม่รับรู้รายจ่ายหรือผลขาดทุน/ความเสียหาย ที่เกิดจาก
– การถ่ายโอนผลประโยชน์ขององค์กรไปสู้บริษัทร่วมการงานแบบไม่ตั้งใจ/ตั้งใจ
– การบริหาร Value และ Hidden Value อย่างไม่รู้คุณค่าที่แท้จริงหรือรู้ไม่เท่าทัน
– การแก้ไขสัญญาโดยองค์กรเสียเปรียบทั้งทางตรงและทางอ้อมจากคุณค่าซ่อนเร้น
– การเปลี่ยนแปลงสู่กฎเกณฑ์ กฎหมาย การจัดระเบียบ จากการแข่งขัน ฯลฯ
7. การทำให้สินทรัพย์ ส่วนของผู้ลงทุน/เจ้าของสูญเสีย หรือถูกทำลาย หรือลดมูลค่าแบบตั้งใจ หรือคิดไปไม่ถึงทั้งในปัจจุบันและอนาคต รวมทั้งการถูกฟ้องร้องในภายหลัง เช่น การลดสินทรัพย์และส่วนของผู้เป็นเจ้าของโดยไม่จำเป็น และไม่ถูกต้องตามขั้นตอน กฎเกณฑ์ นโยบาย ระเบียบ วิธีปฏิบัติทางบัญชี….ฯลฯ
8. ผู้มีผลประโยชน์ร่วมไม่พอใจและ/หรือเสียเปรียบการแข่งขัน เช่น
– จากการเปลี่ยนแปลงกฎเกณฑ์ ระเบียบ หลักการที่ขัดกับดุลภาพโดยรวมของการจัดการ
– จากพื้นฐานและความพร้อมรวมทั้งสภาพแวดล้อมที่แตกต่างกัน ฯลฯ
9. การทุจริตหรือขัดแย้ง/ทับซ้อน ทางผลประโยชน์ของผู้บริหาร/พนักงาน เช่น
– จากสัญญา/บริษัทร่วมการงาน-ร่วมลงทุน
– จากผลประโยชน์ Hidden Value และความไม่ซื่อสัตย์ต่อตนเองและวิชาชีพ
– จากบริษัทที่ปรึกษาต่าง ๆ ที่ผลงานไม่คุ้มค่าเงินหรือไม่ได้ใช้ผลงานนั้น ฯลฯ
10. คุณภาพการบริหารความเสี่ยง นโยบาย กลยุทธ์ไม่เหมาะสม ไม่เพียงพอและ/หรือกระบวนการตัดสินใจไม่ถูกต้อง เช่น
– จากการเข้าใจกระบวนการบริหารความเสี่ยงที่แตกต่างกัน
– จากกระบวนความคิดที่ไม่เป็นระเบียบ พิจารณาอย่างขาดบูรณาการ
– ข้อมูลข่าวสารไม่ถูกต้อง

แม้ว่าความเสี่ยงดังกล่าวข้างต้นอาจไม่ใช่สิ่งที่ทุกองค์กรต้องเผชิญอยู่ทุกวัน แต่ความเสี่ยงเหล่านี้จะมีลักษณะเป็นสากลอันจะช่วยให้องค์กรสามารถระบุปัจจัยเสี่ยงและจัดการกับความเสี่ยงได้ดียิ่งขึ้น และทำให้การบรรลุวัตถุประสงค์เป็นไปได้มากขึ้นด้วย

กรอบความเสี่ยงเพื่อการบริหารอีกรูปแบบหนึ่งจะพิจารณาใช้ในเรื่องต่าง ๆ ดังนี้
1. ความเสี่ยงภายนอก เช่น ลูกค้า, เทคโนโลยี, กฎหมาย
2. ความเสี่ยงภายใน เช่น การจัดองค์กรใหม่, ทรัพยากรขององค์กร, ทัศนคติของผู้คนในองค์กร
3. ความเสี่ยงพิเศษที่เกี่ยวกับสภาพแวดล้อมที่เปลี่ยนแปลงไป

ผมขอยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการและในบางมุมมอง เพื่อให้เห็นภาพของการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่สามารถนำไปประยุกต์ใช้ในการปฏิบัติงาน ตามแผนภาพด้านล่าง โดยจะขอนำเสนอเพียงบางส่วน เพื่อไม่ให้เป็นการรบกวนพื้นที่ในการพูดคุย (เขียน) มากเกินไป สำหรับตัวอย่างแบบเต็มสามารถกด Download ได้ที่นี่ครับ

ความเสี่ยงที่สำคัญโดยทั่วไปขององค์กร ขึ้นอยู่กับลักษณะธุรกิจ ความเข้าใจในงาน และ Business process ซึ่งความเสี่ยงที่สำคัญ ๆ ขององค์กร คือ
1. บุคลากร ความเป็นผู้นำ/การประสานงาน/ความซื่อสัตย์/จิตสำนึก/ความมุ่งมั่น/ความกล้าหาญ/ความสามารถ
2. สภาพแวดล้อมของธุรกิจ ที่เกี่ยวข้องกับ การแข่งขัน/การให้รางวัล/กฎเกณฑ์/วัฒนธรรม
3. เทคโนโลยี/เทคโนโลยีสารสนเทศ ในเรื่องของรายได้รั่วไหล/ความต่อเนื่อง/ความปลอดภัย/ข้อมูลสารสนเทศ และการบูรณาการ
4. ระบบงาน/โครงสร้างองค์กร (IT Governance)
5. กลยุทธ์ คือการพัฒนากลยุทธ์ ความชัดเจน การนำกลยุทธ์สู่การปฏิบัติ
6. ลูกค้า/ผู้มีประโยชน์ร่วม/ผู้กำกับฯ ในด้าน การจัดหา/ความพึงพอใจ/การบริการ
7. บริษัทร่วมการงาน/บริษัทในเครือ/บริษัทผู้ให้บริการ
8. การติดตาม/การจัดการ
9. การลงทุน/ความคุ้มค่าทางการเงิน/การบริหารรายได้/โครงการที่หมดยุค
10. กฎหมาย/กฎเกณฑ์/นโยบาย ที่เกี่ยวกับการเปลี่ยนแปลงและดุลยภาพ
11. การเงิน/รายได้/รายได้ทางเศรษฐกิจ ในเรื่องของการแข่งขันเสรี/การแปรสัญญา/ภาษี/การจัดการ/บัญชี

ผู้บริหารควรทำความเข้าใจถึงการเปลี่ยนแปลงที่มีผลต่อธุรกิจ และเหตุแห่งความเสี่ยงที่เกิดขึ้นตลอดเวลา โดยการตั้งคำถามตนเองเสมอว่า “สามารถเข้าใจถึงการเปลี่ยนแปลงที่เกิดขึ้นแก่ธุรกิจ หรือความเสี่ยงที่อาจเกิดขึ้นจากการเปลี่ยนแปลงนั้นเพียงใด” และ “องค์กรได้มีแนวปฏิบัติทางธุรกิจ รวมทั้งการควบคุมภายในอย่างเพียงพอเหมาะสมต่อการเปลี่ยนแปลงหรือไม่” เนื่องจากผู้บริหารมีหน้าที่ในการคัดเลือกวิธีที่จะจัดการกับความเสี่ยงในแต่ละประเภทให้เหมาะสม เนื่องจากวิธีการจัดการกับความสี่ยงในแต่ละประเภทนั้นย่อมแตกต่างกัน ไม่ควรเลือกใช้เทคนิคเดิม ๆ มาจัดการกับความเสี่ยงทุกประเภท

การระบุความเสี่ยงจะช่วยให้เราสามารถแยกความแตกต่างระหว่างสาเหตุและผลกระทบของความเสี่ยงได้ ซึ่งการที่เราสามารถแยกสาเหตุและผลกระทบของความเสี่ยงออกมาได้ ย่อมทำให้เราเลือกใช้การควบคุมภายในมาจัดการกับสาเหตุของความเสี่ยงมากกว่าการจัดการกับผลกระทบที่เกิดจากความเสี่ยง
– ผลหรือผลกระทบของความเสี่ยง คือผลลัพธ์สุดท้าย, อันตรายที่เกิดขึ้นจากการสูญเสียโอกาสในการบรรลุวัตถุประสงค์เมื่อเกิดความเสี่ยง
– สาเหตุของความเสี่ยง คือเหตุที่ทำให้เกิดความเสี่ยงขึ้น

ตัวอย่างของความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามกฎ
– ผลกระทบของความเสี่ยง ได้แก่ การถูกทำโทษ การจำคุก การประกาศเมื่อไม่ปฏิบัติตามกฎ
– สาเหตุของความเสี่ยง ได้แก่ พนักงานไม่ทราบกฎระเบียบนั้น พนักงานไม่เห็นว่ากฎนั้นมีความสำคัญ

ถ้าผลกระทบนั้นกระทบต่อการบรรลุผลสำเร็จของเป้าหมายอย่างมีนัยสำคัญ เราอาจต้องพิจารณาจัดให้มีการควบคุมภายใน เข้ามาจัดการกับสาเหตุของความเสี่ยงนั้น แทนที่จะรอจัดการกับผลกระทบของความเสี่ยงที่เกิดขึ้น

ข้อผิดพลาดทั่วไปในการระบุปัจจัยเสี่ยง
1. การอ้างอิงเป็นวงกลม เป็นการระบุปัจจัยเสี่ยงอย่างง่าย ๆ ที่แปรผันกับวัตถุประสงค์ เช่น ถ้ากำหนดให้วัตถุประสงค์คือ “การทำให้แน่ใจว่าต้องมีการอนุมัติใบแจ้งหนี้ก่อนที่จะมีการทำจ่ายเงิน” ดังนั้น เราสามารถระบุความเสี่ยงได้ว่า “มีการทำจ่ายใบเสนอราคาไปก่อนที่จะมีการอนุมัติให้จ่ายเงิน”
2. การระบุผลกระทบที่เกิดขึ้นแทนที่จะระบุถึงสาเหตุ จากวัตถุประสงค์ข้างต้น ความเสี่ยงเรื่องของการสำเนาใบจ่ายเงินอาจไม่ใช่ความเสี่ยงที่แท้จริงแต่เป็นผลกระทบที่เกิดขึ้น ซึ่งอาจนำไปใช้ในค่าใช้จ่ายที่ไม่จำเป็นหรือใช้ในการทุจริตได้
3. การควบคุมที่ไม่เป็นผล การฝึกอบรม การทบทวน การจัดสรรทรัพยากร เป็นว่าเป็นการควบคุมทั้งหมด แต่ถ้าการควบคุมเหล่านี้ทำงานอย่างไม่มีประสิทธิผล เช่น การฝึกอบรมไม่เหมาะสม การไม่ได้รับการทบทวนจากหัวหน้างานที่เพียงพอ และการจัดสรรทรัพยากรน้อยเกินไป การควบคุมเหล่านั้นก็จะสร้างปัจจัยเสี่ยงตัวอื่นขึ้นมาแทน

การให้พนักงานซึ่งเป็นผู้ที่มีส่วนรับผิดชอบในการทำให้วัตถุประสงค์บรรลุผลสำเร็จ เข้ามามีส่วนร่วมในการระบุปัจจัยเสี่ยง และออกแบบการควบคุมความเสี่ยงจะทำให้ได้ประโยชน์มากขึ้น เนื่องจากพนักงานเป็นผู้ที่ใกล้ชิดกับเหตุการณ์จริงมากที่สุด ย่อมรู้รายละเอียดของความเสี่ยงนั้นได้เป็นอย่างดี ทำให้การออกแบบการควบคุมความเสี่ยงนั้น มีความเป็นไปได้มากขึ้น อันจะเป็นหนทางที่จะทำให้องค์กรบรรลุวัตถุประสงค์ที่ต้องการ

การบริหารความเสี่ยง (Risk Management)
การบริหารความเสี่ยง หมายถึง กระบวนการที่ใช้ในการระบุและวิเคราะห์ความเสี่ยง/ความไม่แน่นอนที่จะมีผลกระทบต่อการบรรลุวัตถุประสงค์และเป้าหมายขององค์กร รวมทั้งกำหนดแนวทางการควบคุมหรือการบริหารความเสี่ยงให้คงเหลือ (Residual Risk) ที่องค์กรยอมรับได้ รวมทั้งการสร้างโอกาสที่จะพัฒนาและสร้างมูลค่าเพิ่มให้กับองค์กรตามสภาวะการณ์ที่เกิดขึ้น

การบริหารความเสี่ยง เป็นกลวิธีที่เป็นเหตุผลที่นำมาใช้ในการบ่งชี้ วิเคราะห์ ประเมิน จัดการ ติดตาม และสื่อสารความเสี่ยงที่เกี่ยวข้องกับกิจกรรมหน่วยงาน หรือกระบวนการดำเนินงานขององค์กร เพื่อช่วยให้องค์กรลดความสูญเสียให้เหลือน้อยที่สุด และเพิ่มโอกาสให้แก่ธุรกิจมากที่สุด การบริหารความเสี่ยงยังหมายถึง การประกอบกันอย่างลงตัวของวัฒนธรรมขององค์กร กระบวนการและโครงสร้างองค์กร ซึ่งมีผลโดยตรงต่อประสิทธิภาพการบริหาร และผลได้ผลเสียของธุรกิจ

วัตถุประสงค์ทางธุรกิจและสภาพแวดล้อมที่ดำเนินธุรกิจอยู่มีการพัฒนาตลอดเวลา ทำให้ความเสี่ยงที่เกี่ยวข้องเปลี่ยนแปลงตามไปด้วยอย่างต่อเนื่อง การบริหารความเสี่ยงที่มีประสิทธิภาพคือการบริหารที่เอื้อประโยชน์ต่อธุรกิจในการจัดการและควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ แม้ว่าความเสี่ยงไม่สามารถถูกกำจัดให้หมดไป แต่ก็จะทำให้การจัดการความเสี่ยงอยู่ในระดับที่เหมาะสมกับผลตอบแทนที่ยอมรับได้

สำหรับการควบคุมความเสี่ยงที่เป็นกระบวนการที่สำคัญและจำเป็นต่อ CSA ซึ่งมีผลต่อหน่วยงานและองค์กรนั้น ผมจะมาเล่าสู่กันฟังในครั้งต่อไปนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (1)

สวัสดีครับทุกท่าน หลังจากที่ห่างหายจากการเล่าสู่กันฟังในเรื่องราวหรือหมวดหมู่ของ IT Audit และ Non-IT Audit กันมาพอสมควร ผมจำได้ว่ายังมีเรื่องราวต่าง ๆ อีกมากมายที่จะแบ่งปันประสบการณ์ความรู้ ในมุมองของการการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือ CSA / Controls Self Assessment ซึ่งได้คุยกันก่อนหน้านี้มาบ้างแล้ว โดยได้แบ่งเป็นตอน ๆ เพื่อให้ผู้สนใจและติดตามเรื่องราวของ CSA ได้เข้าใจและไม่เกิดความสับสนเกี่ยวกับการประเมินตนเองเพื่อควบคุมความเสี่ยง ทั้งนี้เพราะการประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดในหลาย ๆ ส่วนที่อาจกล่าวได้ว่าเกี่ยวข้องสัมพันธ์ เชื่อมโยง เหมือนหรือคล้ายคลึงกันกับการบริหารความเสี่ยงจนไม่สามารถแยกแยะออกจากกันได้ ซึ่งขึ้นอยู่การนำไปประยุกต์ใช้กับหน้าที่การปฏิบัติงาน หน่วยงาน/องค์กร หรือขึ้นอยู่กับมุมมองของระดับการบริหารส่วนไหน ระดับใด ที่ต้องการควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appitite) แต่ในหมวดหมู่นี้ผมจะขอกล่าวเน้นถึง CSA ในส่วนที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ มากกว่าในส่วนของการบริหารความเสี่ยงขององค์กรทั่วไปโดยรวม ซึ่งผมได้เล่าสู่กันฟังในหมวดหมู่ของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework หรือสามารถติดตามจากเอกสารที่ให้ Download นี้ครับ

การตรวจสอบภายในเป็นเรื่องราวของความสัมพันธ์กันระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยมีหลักพื้นฐานว่า “การประเมินความเสี่ยงเป็นหัวใจสำคัญของวิธีการประเมินตนเองทุกประเภท” การประเมินตนเองจึงมุ่งเน้นด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง อันจะช่วยให้เกิดความเข้าใจในความหมายของแนวคิดเหล่านี้ได้ง่ายและเร็วยิ่งขึ้น

CSA-Control Self Assessment ได้ให้ความหมายของวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงไว้ดังนี้
– วัตถุประสงค์ เป็นสิ่งที่องค์กรต้องการทำให้สำเร็จ (เป็นผลสำเร็จที่องค์กรต้องการ)
– ความเสี่ยง เป็นอุปสรรค/สิ่งกีดขวางทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้ได้
– การควบคุมความเสี่ยง เป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้โดยการบริหารจัดการกับความเสี่ยงเหล่านั้น

แม้ว่าความหมายข้างต้นจะนิยมใช้กันอย่างกว้างขวาง แต่ความหมายเหล่านี้ก็ยังขาดความเป็นทางการในกรอบการควบคุมความเสี่ยงอยู่ การเข้าใจความหมายของแนวคิดเรื่องการควบคุม อาจศึกษาได้จากกระบวนการประเมินการควบคุมอันประกอบด้วยขั้นตอนต่าง ๆ ดังนี้
1. กำหนดวัตถุประสงค์ ควรกำหนดให้มีความชัดเจน สามารถทำความเข้าใจความหมาย ที่มาและคุณค่าได้ไม่ยากนัก เมื่อสามารถกำหนดวัตถุประสงค์ได้แล้วจึงนำไปสื่อสารให้แก่หน่วยงานต่างๆ ที่เกี่ยวข้องในองค์กรทราบ เพื่อให้มีความเข้าใจตรงกัน
2. การบ่งชี้ความเสี่ยง การระบุปัจจัยเสี่ยงที่อาจเป็นตัวขัดขวาง/อุปสรรคต่อการบรรลุวัตถุประสงค์
3. ระบุวิธีการควบคุมความเสี่ยงที่จะสามารถบรรเทาความเสี่ยงลงได้
จากขั้นตอนต่าง ๆ ข้างต้น เราอาจอธิบายง่าย ๆ ได้ว่า การควบคุมเริ่มจากการกำหนดวัตถุประสงค์ โดยระดมผู้มีส่วนร่วมมาช่วยกันวิเคราะห์และหาข้อสรุปออกมา เมื่อกำหนดวัตถุประสงค์ออกมาได้แล้ว ขั้นตอนต่อไปก็นำมาบ่งชี้ความเสี่ยงและระบุวิธีการควบคุมความเสี่ยงเหล่านั้นต่อไป

วัตถุประสงค์
ความหมายของคำว่า “วัตถุประสงค์” สามารถมองได้เป็นหลายมุมมอง เช่น
– เป็นผลลัพธ์ (Outcome) ที่องค์กรต้องการบรรลุผลสำเร็จในการดำเนินงาน
– เป็นก้าวแรกของการบริหารความเสี่ยง
– มิได้เป็นวิธีการ กระบวนการ หรือการดำเนินงานในเรื่องใดเรื่องหนึ่ง

วัตถุประสงค์เป็นหลักยึดสำหรับการวางแผน การจัดองค์กร การกำหนดวิธีการปฏิบัติงานและการควบคุมการดำเนินงาน ถ้าขาดวัตถุประสงค์ที่ชัดเจนและขาดการสื่อสารอย่างทั่วถึงย่อมจะสร้างความสับสนในการทำงานของบุคลากรทุกระดับ ดังนั้นผู้บริหารจึงควรใช้วัตถุประสงค์ให้เป็นประโยชน์ดังนี้
1. เป็นแนวทางการตัดสินใจ
2. เป็นแนวทางในการเพิ่มพูนประสิทธิภาพขององค์กร
3. เป็นแนวทางในการประเมินผลการปฏิบัติงาน

การเข้าใจความหมายของวัตถุประสงค์ย่อมช่วยให้สามารถบรรลุผลสำเร็จตามที่กำหนดไว้ได้ง่ายกว่าการเน้นที่วิธีการในการบรรลุวัตถุประสงค์ การกำหนดวัตถุประสงค์ไว้สูงเกินไปจะทำให้บรรลุวัตถุประสงค์ได้ยาก และยังเกิดความเสียเวลาในการทำความเข้าใจความหมาย ที่มา และคุณค่าของวัตถุประสงค์ ซึ่งอาจทำให้เราไม่สามารถบรรลุวัตถุประสงค์ที่ต้องการได้เลย เมื่อวัตถุประสงค์เป็นผลลัพธ์ที่องค์กรต้องการบรรลุผลสำเร็จ เปรียบเสมือนเส้นชัยขององค์กรที่ทุกฝ่ายต้องร่วมมือกันฟันฝ่าไปให้ถึง ดังนั้นทุกฝ่ายในองค์กรจึงต้องทำความเข้าใจถึงความหมาย ที่มา ของวัตถุประสงค์ให้ชัดเจนว่าวัตถุประสงค์เหล่านี้ถูกกำหนดมาขึ้นมาอย่างไร

ในองค์กรธุรกิจที่มีทีมงานที่มีกระบวนการกำหนดวัตประสงค์ที่ดี และเห็นว่าวัตถุประสงค์มีส่วนสำคัญที่จะช่วยในการดำเนินธุรกิจ ย่อมเป็นองค์กรที่มีความเหมาะสมในการนำการประเมินตนเองเพื่อการควบคุมความเสี่ยงไปใช้ปฏิบัติ ในการกำหนดวัตถุประสงค์ที่ดีควรต้องมีการพิจารณาให้รอบคอบและมีความเหมาะสมกับองค์กรในขณะนั้น โดยต้องระดมความคิดเห็นของบุคลากรหลาย ๆ ฝ่ายเพื่อช่วยในการกำหนดวัตถุประสงค์ วัตถุประสงค์จึงเป็นผลลัพธ์ที่องค์กรต้องการไม่ใช่วิธีการในการทำให้ผลลัพธ์นั้นบรรลุผลสำเร็จ ซึ่งได้มีการแยกความแตกต่างระหว่างวัตถุประสงค์และวิธีการบรรลุวัตถุประสงค์ออกมาให้เห็นภาพชัดเจนขึ้น ดังนี้

คำถามที่ใช้ในการแยกวัตถุประสงค์ออกจากวิธีการบรรลุวัตถุประสงค์ ได้แก่
1. เป็นผลลัพธ์สุดท้ายที่ต้องการหรือไม่
2. เป็นหนทางในการบรรลุวัตถุประสงค์หรือเป็นวัตถุประสงค์จริง
3. เป็นวิธีการหรือผลลัพธ์
4. ทำไมต้องทำสิ่งนั้น

ข้อผิดพลาดทั่วไปในการระบุวัตถุประสงค์
1. ระบุวิธีการ (งบประมาณหรือการอนุมัติ) เป็นผลลัพธ์
2. ผิดพลาดในการพิจารณารูปแบบของวัตถุประสงค์ทั้งหมด
3. ผิดพลาดในการพิจารณาความสัมพันธ์ระหว่างวัตถุประสงค์ซึ่งอาจไม่เกี่ยวข้องสัมพันธ์กัน หรือมีความขัดแย้งกัน

วัตถุประสงค์ระดับสูงขององค์กรโดยรวมบางข้ออาจไม่สามารถประยุกต์ใช้ได้เท่าเทียมกันในทุกแผนก ตัวอย่างเช่น
– วัตถุประสงค์ด้านการเพิ่มรายได้ต้องประยุกต์ใช้กับหน่วยงานที่รับผิดชอบงานด้านการขาย
– วัตถุประสงค์ด้านการลดค่าใช้จ่ายต้องประยุกต์ใช้กับหน่วยงานที่ต้องดูแลด้านค่าใช้จ่ายจำนวนมาก

ลำดับขั้นของวัตถุประสงค์
การกำหนดวัตถุประสงค์อาจไม่จำเป็นต้องกำหนดไว้เพียงขั้นเดียว อาจสามารถกำหนดไว้เป็นลำดับขั้นเพื่อให้เหมาะสมกับผู้ที่เกี่ยวข้องหรือผู้ที่รับผิดชอบดังนี้
1. วัตถุประสงค์ขององค์กรโดยรวม ถือเป็นวัตถุประสงค์หลักที่ผู้บริหารระดับสูงได้ตัดสินใจกำหนดขึ้น อันจะมีผลบังคับใช้ทั่วทั้งองค์กร เป็นวัตถุประสงค์สูงสุดที่แสดงจุดมุ่งหมายอันเป็นผลลัพธ์ขั้นสุดท้าย ที่ถือเป็นวัตถุประสงค์ร่วมของทุกหน่วยงาน
2. วัตถุประสงค์ของหน่วยงานระดับฝ่าย ถือเป็นวัตถุประสงค์เฉพาะด้านที่ผู้บริหารระดับกลางโดยคำปรึกษา (แนะนำ หรือชี้นำ สุดแล้วแต่กรณี) ของผู้บริหารระดับสูงจะตัดสินใจกำหนดขึ้น เพื่อใช้เป็นเป้าหมายในการดำเนินงานของแผนกต่าง ๆ ในหน่วยงาน หากทุกหน่วยงานสามารถทำงานให้บรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนด ก็จะทำให้กิจการโดยรวมบรรลุวัตถุประสงค์ไปด้วย
3. วัตถุประสงค์ย่อย เป็นการกำหนดวัตถุประสงค์ของงานประจำหรืองานเฉพาะโครงการ ที่สอดรับกับวัตถุประสงค์หลักและวัตถุประสงค์เฉพาะระดับฝ่ายงานดังที่กล่าวแล้ว การตัดสินใจที่จะกำหนดวัตถุประสงค์ระดับนี้ เป็นความรับผิดชอบของนักบริหารระดับกลาง ร่วมกับนักบริหารระดับต้นโดยความเห็นชอบ หรือการรับรู้ของนักบริหารระดับสูง

ลักษณะของวัตถุประสงค์ที่ดี (SMART principle)
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้นำไปปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน ต้องไม่ทำให้ผู้ปฏิบัติตีความหมายของวัตถุประสงค์ได้หลายทาง เพราะจะทำให้เกิดความสับสนเพราะถ้าแต่ละคนตีความหมายออกมาไม่เหมือนกัน การนำไปปฏิบัติอาจไม่สอดคล้องไปในแนวทางเดียวกัน จึงอาจเกิดความขัดแย้งกันจนทำให้ไม่สามารถบรรลุวัตถุประสงค์ได้
2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือ ในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย เพราะถ้าเรากำหนดวัตถุประสงค์ไว้โดยไม่สามารถวัดผลได้ เราย่อมไม่สามารถรู้ได้แน่ชัดว่าเราได้ดำเนินการมาถึงขั้นใดแล้ว และเมื่อใดจึงจะเรียกว่าบรรลุผลสำเร็จ
3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ นั่นคือ ในการกำหนดวัตถุประสงค์นั้น ไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ เพราะจะทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะไม่ว่าจะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรม เพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกัน คือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้
4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความเป็นเหตุเป็นผล และมีความเป็นจริง
5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

กรอบของวัตถุประสงค์หลักขององค์กรโดยทั่วไป
1. เพื่อให้เกิดประสิทธิผลและประสิทธิภาพในการทำงาน
– สร้างผลิตภัณฑ์และให้บริการที่เป็นเลิศ
– สร้างผลกำไรสูงสุด และมีต้นทุนต่ำที่สุด เพื่อเพิ่มคุณค่าทางเศรษฐศาสตร์ต่อผู้มีผลประโยชน์ร่วม
– จัดให้มีกระบวนการทำงานแบบสอดประสานทั่วทั้งองค์กรภายใต้ระบบเทคโนโลยีที่ดี คุ้มค่าเงินตามโครงสร้างที่สัมพันธ์กับระบบงานอย่างแท้จริง
– การรักษาและสร้างคุณภาพ คุณค่าเพิ่มจากสินทรัพย์ที่มีตัวตนและไม่มีตัวตนอย่างรู้คุณค่าของ Value และ Hidden Value (จากลักษณะธุรกิจ พนักงานและสารสนเทศ)
– เสริมสร้างและมีส่วนช่วยให้องค์กรบรรลุภารกิจและวิสัยทัศน์ตามที่กำหนด
– จัดให้มีสภาวะแวดล้อมที่เหมาะสมต่อพนักงานและผู้มีผลประโยชน์ร่วม
2. ความน่าเชื่อถือของระบบรายงาน
– รายงานที่ใช้ภายในองค์กรประเภทต่าง ๆ ที่ใช้ในการตัดสินใจ
– รายงานที่ใช้ภายนอกองค์กรเพื่อผู้ถือหุ้น ผู้กำกับดูแล และผู้มีผลประโยชน์ร่วม
– รายงานเกี่ยวกับการบริหารและการดำเนินงาน
3. การปฏิบัติตามกฎต่าง ๆ
– ตามกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบการปฏิบัติ ฯลฯ จากภายนอก
– ตามนโยบาย ระเบียบ คำสั่ง ข้อบังคับ ขั้นตอนการปฏิบัติงานภายในองค์กร

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (4)

จากรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบต่าง ๆ นั้น ดังที่ผมได้กล่าวไปแล้วว่า การทำ CSA ส่วนใหญ่จะใช้วิธีการประชุมเชิงปฏิบัติการในการทำ CSA แต่ก็ยังมีวิธีการสำรวจและวิธีการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมด้วยเช่นกัน มาติดตามกันว่า 2 วิธีดังกล่าวนี้มีรายละเอียดอย่างไรบ้างกันดีกว่าครับ

วิธีการสำรวจ

แบบสอบถามหรือการทำสำรวจเพื่อ CSA ใช้แบบฟอร์มการสำรวจ ในการเสนอโอกาสเพื่อคำตอบง่าย ๆ ว่า “ใช่/ไม่ใช่” หรือ “มี/ไม่มี” เจ้าของกระบวนการใช้ผลของการสำรวจในการประเมินโครงสร้างการควบคุม

ผู้ตรวจสอบได้มีการใช้แบบสอบถามมาเป็นเวลาหลายปีและนำมาใช้ในการทำ CSA ซึ่งไม่มีความแตกต่างกันมากนัก สิ่งหนึ่งที่แตกต่างระหว่างแบบสอบถามที่ใช้ในการตรวจสอบ และแบบสอบถามที่ใช้ในการทำ CSA คือแบบสอบถามเพื่อใช้ใน CSA จำเป็นต้องเขียนตามภาษาของผู้รับ ไม่ใช้ของผู้ตรวจสอบ เนื่องจากไม่มีผู้รับผิดชอบในการตีความหรือไขข้อสงสัยของคำถามให้ผู้รับ ดังนั้นพวกเขาจะตอบคำถามตามที่เขาตีความหรือข้ามไปหากไม่เข้าใจ

แบบสอบถามถูกใช้บ่อยเมื่อวัฒนธรรมองค์กรไม่ยอมรับหรือสนับสนุนให้มีส่วนร่วมในการตอบในการประชุมเชิงปฏิบัติการ (เมื่อผู้เข้าร่วมไม่อภิปรายอย่างเปิดเผยตรงไปตรงมา) ที่เป็นเช่นนี้เพราะกลัวการโต้ตอบจากผู้บริหาร กลัวการสนับสนุนของกลุ่มเพื่อน หรือปัจจัยอื่น ๆ

การสำรวจสามารถใช้เพื่อขยายขอบเขตที่ครอบคลุมของการประเมินตนเองได้ โดยสามารถส่งแบบสอบถามให้กับคนเป็นจำนวนมากได้ในครั้งเดียว แต่อาจต้องใช้เวลาและความร่วมมืออย่างมากในการรวมคนกลุ่มเดียวกันให้เข้ามาร่วมประชุมเชิงปฏิบัติการ

การตอบสนองของการสำรวจอาจไม่มีการระบุชื่อหรือผู้ตอบอาจถูกขอร้องให้เปิดเผยชื่อ ซึ่งจะส่งผลว่าการมองการตอบนั้น ตอบอย่างซื่อสัตย์และถูกต้องได้อย่างไร ผู้ใช้การสำรวจเกือบทั้งหมดเห็นด้วยว่าการใช้การสำรวจโดยไม่มีการติดตามผลหรือการตรวจสอบการตอบทำให้ไม่ได้ผลลัพธ์ที่ถูกต้อง หากผู้ตอบรู้ว่าไม่มีใครติดตามการตอบของพวกเขา ก็จะมีแนวโน้มการตอบแบบสำรวจในลักษณะที่จะทำให้มีจำนวนงานที่ติดตามน้อยที่สุด ผู้ตอบจำนวนมากกล่าวได้ว่าทุกสิ่งทุกอย่างลงตัว แม้ว่าไม่เป็นความจริง ถ้าพวกเขารู้ว่าไม่มีใครอาจจับเขาได้

การสำรวจสามารถเป็นที่ชื่นชอบในการประชุมเชิงปฏิบัติการบนพื้นฐาน CSA ภายในสภาพแวดล้อมดังต่อไปนี้
• วัฒนธรรมองค์กรไม่พร้อมที่จะแบ่งปันข่าวสารข้อมูลที่ละเอียดอ่อนต่อการควบคุมในการประชุมเชิงปฏิบัติการแบบเปิดเผย
• ผู้บริหารมีความกังวลอย่างมากเกี่ยวกับเวลาที่ต้องการให้ลูกจ้างเข้าร่วมการประชุม
• ผู้ตรวจสอบมองหาหนทางลดค่าใช้จ่ายเพื่อให้ได้มาซึ่งข้อมูลเกี่ยวกับความเสี่ยงเพื่อใช้ในการเตรียมแผนการ ตรวจสอบประจำปี
• ไม่ได้แสดงทักษะในการตรวจสอบในการประชุมเพื่ออำนวยความสะดวก
• ขอบเขตของการประเมินตนเองคือความกว้างขวางขององค์กรและความต้องการข้อมูลข่าวสารอย่างรวดเร็ว

เทคนิคของการสำรวจที่ประสบความสำเร็จ
แม้ว่าจะมีการกล่าวไว้อย่างมากว่า การทำการสำรวจง่ายกว่าการวางแผนและการอำนวยความสะดวกในการประชุม CSA แต่ยังคงใช้ทักษะของตนเองอยู่ด้วย สิ่งที่ดีที่สุดคือการเตรียมการประชุมโดยการฝึกฝน แต่นั่นหมายความว่าจะต้องเกิดการผิดพลาดก่อน การใช้งานใครบางคนให้เกิดประโยชน์สูงสุดด้วยการนำประสบการณ์มาใช้ในการเขียนแบบสำรวจเป็นสิ่งสำคัญ หากส่วนงานเลือกวิธีการสำรวจในการทำ CSA ส่วนงานบริหารทรัพยากรมนุษย์สามารถช่วยได้โดยใช้เทคนิคการสำรวจ

การแนะนำที่เป็นประโยชน์ในการเตรียมแบบสอบถามประกอบด้วย
• ใช้ภาษาของผู้รับ
• ใช้หนึ่งคำถามต่อหนึ่งหัวข้อ
• ใช้คำศัพท์ที่มีความหมายชัดเจน
• ถามคำถามที่ง่ายต่อการตอบในครั้งแรก
• ทำแบบสอบถามให้สั้นและง่าย
• เขียนแบบสอบถามในลักษณะของผู้ปฏิบัติเอง
• แจกและเก็บคืนแบบสอบถามด้วยตนเอง
• ใช้แบบสอบถามให้เป็นเครื่องมือการสนทนาในการสัมภาษณ์

การใช้คำถามต้องการเพียงคำตอบว่า “ใช่” หรือ “ไม่ใช่” ทำให้การสำรวจง่ายในการรวบรวมมากกว่าการใช้คำถามแบบเปิด แต่อาจจะไม่ให้ผลเป็นประโยชน์ต่อการประเมินเพื่อการควบคุม ยกตัวอย่าง มีความแตกต่างมากถึงวิธีที่ผู้จัดการใช้ตอบคำถามสำหรับหน่วยงานของตนเอง
• พนักงานกังวัลในเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (ใช่)
• จะแน่ใจได้อย่างไรว่าพนักงานให้ความสนใจเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)
• พนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (เห็นด้วย)
• จะทราบได้อย่างไรว่าพนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)

ดังนั้นการสอบถามจากบุคคลแต่ละโดยตรงจะได้คำตอบที่แตกต่างกว่าหากผู้จัดการแผนกได้ถามคำถามเดียวกันให้กับแผนก

ผลดีและผลเสียของการสำรวจ

การศึกษาวิจัย IIA เรื่อง การนำรูปแบบการควบคุมไปปฏิบัติบัติ: วิธีปฏิบัติที่ดีที่สุด ประกอบด้วยข้อมูลเกี่ยวกับการสำรวจและแบบสอบถามพร้อมด้วยตัวอย่างของการสำรวจ วัตถุประสงค์ของบทนี้เราจะสิ้นสุดเรื่องหัวข้อการสำรวจด้วยการมองผลดีและผลเสียเพื่อใช้เปรียบเทียบการประชุมเชิงปฏิบัติการ

ตามประสบการณ์ของผม การสำรวจหรือแบบสำรวจถูกใช้ประมาณ 30 เปอร์เซ็นต์ของความพยายามในการทำ CSA และมักติดตามด้วยการประชุมเชิงปฏิบัติการหรือการสัมภาษณ์ผลลัพธ์ที่เกิดขึ้น

การวิเคราะห์ที่ทำโดยผู้บริหาร

การวิเคราะห์นี้รวมถึงวิธีทางต่าง ๆ ที่อาจสร้างข้อมูลเกี่ยวกับการควบคุมสำหรับผู้บริหาร การประชุมเชิงปฏิบัติการและการสำรวจเป็นรูปแบบที่นิยมมากสำหรับการทำ CSA

ตัวอย่างบางส่วนของการวิเคราะห์ที่ทำโดยผู้บริหารได้แก่
• แบบสำรวจที่ได้รับการพัฒนาและจัดการโดยผู้บริหารในการสนับสนุนความคิดเห็นเกี่ยวกับการควบคุมภายในที่กฎหมายและกฎระเบียบต้องการ ดังเช่น พระราชบัญญัติการปรับปรุง FDIC
• การอภิปรายท่ามกล่างผู้บริหารการเงินอาวุโสในการสนับสนุนหนังสือนำเสนอประจำปีซึ่งนักบัญชีภายนอกต้องการ
• การสอบสวนหาเหตุผลว่าทำไมการควบคุมเฉพาะเจาะจงถึงล่มสลายหรือล้มเหลว
• การตรวจสอบการนำการควบคุมภายในไปปฏิบัติของระบบใหม่ที่ได้รับพัฒนาหรือการรวมหน่วยทางธุรกิจ

ธรรมชาติและรูปแบบของประเภทของการประเมินตนเองมีความหลากหลาย รูปแบบที่เป็นที่นิยมมากในการทำ CSA และสิ่งที่คนทั่วไปมีแนวโน้มจะคิดถึงเมื่อกล่าวถึง CSA คือการประชุมเชิงปฏิบัติการและการสำรวจ

ตามที่ได้รับทราบไปแล้ว CSA ได้ถูกปฏิบัติอย่างแตกต่างโดยผู้ปฏิบัติทั้งหมด การทำ CSA ที่แตกต่างนั้น ไม่ได้หมายความว่าคนใดคนหนึ่งทำผิด หากการอำนวยความสะดวกในการประชุม, การสำรวจ, หรือการวิเคราะห์อื่น ๆ ช่วยให้องค์กรบรรลุวัตถุประสงค์แล้วสิ่งนั้นย่อมเป็นจุดสำคัญในทางใดทางหนึ่ง

สำหรับครั้งหน้าผมจะมาเล่าให้ฟังว่าทำไมการทำ CSA-Control Self Assessment ถึงต้องกำหนดวัตถุประสงค์ของความเสี่ยงและการควบคุมความเสี่ยง อย่าลืมติดตามนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (3)

จากครั้งที่แล้ว ผมได้เล่าสู่กันฟังในเรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยใช้วิธีการประชุมเชิงปฏิบัติการ ซึ่งเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA และมีการประเมินในรูปแบบต่าง ๆ ดังที่ผมได้กล่าวถึงรูปแบบและวิธีการในภาพรวมไปแล้ว สำหรับวันนี้ผมจะขอเล่าต่อถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบต่าง ๆ เป็นหัวข้อ ๆ เพื่อความชัดเจนยิ่งขึ้น

ลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการแบบต่าง ๆ

แบบฐานจากวัตถุประสงค์
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• องค์กรจะทำการทบทวนการลงทุน (หากองค์กรปฏิบัติผ่านการจำแนกความเสี่ยงและออกแบบการควบคุมความเสี่ยงโดยการนำ COSOไปปฏิบัติ) โดยใช้เป็นจุดเริ่มต้น
• เริ่มต้นด้วยสมมติฐานที่ว่ามีการออกแบบการควบคุมความเสี่ยงที่ทันสมัยและดี

แบบฐานจากความเสี่ยง
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• ผู้บริหารมักจะให้ความสนใจในการจำแนกความเสี่ยง ดังนั้นพวกเขาจึงชอบวิธีการนี้
• เตรียมการจำแนกความเสี่ยงและการควบคุมโดยตลอด เนื่องจากต้องเริ่มต้นด้วยการจำแนกความเสี่ยงทั้งหมด
• สร้างความแข็งแรงและเสริมสร้างกระบวนการจำแนกความเสี่ยงเพื่อใช้ใน COSO และ กรอบการควบคุมอื่นๆ โดยเสริมสร้างทีมงานให้เข้ามาร่วมในการจำแนกความเสี่ยงมากขึ้น
• การละทิ้งบทบาทดั้งเดิมของผู้ตรวจสอบ (เพื่อประเมินการควบคุม) ในบางองค์กร เป็นเรื่องยากที่จะทำให้ผู้บริหารเชื่อ

แบบฐานจากการควบคุม
• ขั้นตอนของการประชุม คือ ข้อตกลงเรื่องการประเมินความเสี่ยงและการควบคุมความเสี่ยง
• การประชุมกระชับขึ้นเนื่องจากได้มีการจำแนกการควบคุมก่อนเริ่มประชุม
• ผู้อำนวยความสะดวกที่ได้รับปฏิกิริยาโต้ตอบน้อยในระหว่างการประชุมจะทำให้การประชุมดำเนินไปโดยง่าย
• ควรมีการเตรียมการก่อนการประชุมให้มากขึ้นเพื่อจำแนกการควบคุมที่มีอยู่
• อย่าแน่ใจว่ามีการระบุการควบคุมครบถ้วนแล้วอันเนื่องจากการที่ผู้ตรวจสอบได้ทำงานเบื้องต้นทำเสร็จแล้ว
• อย่าให้ผู้เข้าร่วมนำการควบคุมไปใช้หากยังไม่ได้มีการจำแนกการควบคุมความเสี่ยงด้วยตนเอง

แบบฐานจากกระบวนการ
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ของกระบวนการ – วัตถุประสงค์ระดับของกิจกรรม
• หัวข้อของการประชุม (กระบวนการทางธุรกิจ) คล้ายคลึงกับวิธีการตรวจสอบอื่นๆ เนื้อหาอาจคุ้นเคยและสะดวกสบายสำหรับผู้ตรวจสอบและผู้บริหารบางคนมากกว่า
• การจัดทำแผนกระบวนการในระดับสูงจะเพิ่มความเข้าใจของผู้เข้าร่วมและกระจายไปสู่การประชุมเชิงปฏิบัติการ
• เช่นเดียวกับการตรวจสอบวิธีการแบบฐานจากกระบวนการ เจ้าของกระบวนการอาจจำแนกได้ยากมีข้อจำกัดในการกระทำใดๆก็ตามอันเนื่องจากความเป็นเจ้าของ
• อาจต้องมีการประชุมเพิ่มขึ้นเพื่อให้ครอบคลุมขอบเขตเดียวกันกับการตรวจสอบแบบฐานจากกระบวนการ ด้วยเหตุนี้จึงดูเหมือนว่าต้องการทรัพยากรมากขึ้น
• การประชุมจะเป็นการรวมผู้เข้าร่วมซึ่งปกติแล้วไม่ได้ทำงานด้วยกัน ซึ่งอาจต้องการทักษะในส่วนของผู้อำนวยความสะดวกเพื่อให้ผู้เข้าร่วมเปิดใจกัน
• ต้องมีการจำแนกวัตถุประสงค์ของแต่ละขั้นตอนหลักของกระบวนการซึ่งมักทำโดยฝ่ายตรวจสอบภายใน เนื่องจากผู้เข้าร่วมและผู้บริหารอาจจะทำได้ด้อยกว่า
• หากกระบวนการมีขอบเขตกว้าง (การขยายองค์กร) ผู้เข้าร่วมอาจจำเป็นต้องเดินทางไปประชุม ดังนั้นจึงมีค่าใช้จ่ายเพิ่มขึ้น

แบบตามสถานการณ์
• ขั้นตอนของการประชุม คือ การทำให้ง่ายขึ้น – อุปสรรค – อภิปรายแก้ไขปัญหาที่เป็นอุปสรรค
• ง่ายต่อการอำนวยความสะดวกและการบันทึกข้อมูล
• อาจไม่ได้ใส่ในวัตถุประสงค์เฉพาะ (ไม่ได้อยู่ที่ระดับที่สูงกว่า โดยมองไปทั่วทั้งส่วนงาน)
• ไม่ได้รวมการประเมินค่าของการควบคุมซึ่งเกี่ยวข้องกับแต่ละวัตถุประสงค์
• ผู้อำนวยความสะดวกใช้เวลาในการเตรียมตัวน้อยเนื่องจากไม่ต้องจำแนกวัตถุประสงค์เฉพาะออกมา

คุณลักษณะอื่น ๆ ของวิธีการประชุมเชิงปฏิบัติการในรูปแบบต่าง ๆ เหล่านี้
• ผู้บริหารโดยทั่วไปชอบวิธีการที่มุ่งเน้นวัตถุประสงค์เฉพาะอย่าง เช่น วัตถุประสงค์, ความเสี่ยง และพื้นฐานการควบคุม วิธีการเหล่านี้ช่วยให้ความกระจ่างกับองค์กรในเรื่องวัตถุประสงค์
• แผนกตรวจสอบอาจเชื่อมโยงวัตถุประสงค์เพื่อใช้ในการตรวจสอบแบบดั้งเดิมเข้ากับวัตถุประสงค์ของผู้บริหารซึ่งมีไว้สำหรับองค์กรได้ยาก ดังนั้น CSA ที่มีพื้นฐานจากวัตถุประสงค์ทางธุรกิจที่สามารถเปลี่ยนแปลงได้เพื่อผู้ตรวจสอบ
• ผู้บริหารการตรวจสอบภายนอกบางคนจะมองเห็นการเชื่อมโยงระหว่างวัตถุประสงค์เพื่อองค์กรและวัตถุประสงค์ของการตรวจสอบภายในได้ยาก ดังนั้นผู้บริหารอาจคัดค้านผู้ตรวจสอบในการมองส่วนที่ไม่เกี่ยวกับการเงิน, วัตถุประสงค์ที่ไม่เข้ากัน

จากพื้นฐานของรูปแบบวิธีการที่ใช้ใน CSA ที่กล่าวถึงก่อนหน้านี้ยังมีวิธีการอื่น ๆในการทำ CSA อีกซึ่งไม่ได้อธิบายไว้ในที่นี้ วิธีการทั้ง 5 แบบเกี่ยวข้องกับการอำนวยความสะดวกในการประชุมเชิงปฏิบัติการ แต่ในหลายองค์กรประสบความสำเร็จใช้การประเมินตนเองด้วยวิธีการที่หลากหลาย หรือใช้หลายวิธีร่วมกัน บางวิธีการซึ่งไม่ได้ถูกกล่าวถึงนั้น ไม่ได้หมายความว่าจะเป็นวิธีการที่ไม่ดี หากวิธีการใดประสบความสำเร็จในการปรับปรุงความสามารถขององค์กรให้สามารถบรรลุวัตถุประสงค์ วิธีการนั้นเป็นสิ่งที่ดีสำหรับองค์กรนั้น ๆ วิธีการประชุมเชิงปฏิบัติการที่ได้อธิบายข้างต้นตามแนวคิดเรื่องการประเมินตนเองเพื่อการควบคุมความเสี่ยง และแนวทางเฉพาะส่วนงานที่ได้กล่าวถึงก่อนหน้านี้เป็นวิธีที่ได้รับความนิยมมากที่สุดในการทำ CSA รูปแบบการประเมินตนเองที่ได้รับความนิยมในการทำ CSA ส่วนใหญ่ 70 เปอร์เซ็นต์เลือกใช้การประชุมเชิงปฏิบัติการในการทำ CSA ส่วนอีก 2 วิธี ได้แก่ การสำรวจและการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมถัดมา

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (2)

วันนี้ผมจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยวิธีการประชุมเชิงปฏิบัติการ ซึ่งจะกล่าวโดยละเอียด จากที่ได้เล่าสู่กันฟังในครั้งก่อน ๆ มาบ้างแล้ว ทำไมถึงต้องใช้วิธีการประชุมเชิงปฏิบัติการ เพราะวิธีการประชุมเชิงปฏิบัติการเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA การประชุมเชิงปฏิบัติการนี้คือ การประชุมที่ช่วยอำนวยความสะดวกโดยผู้ตรวจสอบภายใน และถูกออกแบบให้ประเมินและการควบคุมความเสี่ยง เพื่อให้ได้วัตถุประสงค์หรือกระบวนการออกมา

ตามกฎหัวแม่มือ การประชุมเชิงปฏิบัติการจะมีรวมผู้เข้าร่วม 6-15 คน และ ผู้ตรวจสอบ 2 คน (คนหนึ่งทำหน้าที่อำนวยความสะดวกและอีกคนเป็นผู้บันทึก) และใช้เวลา 2-4 ชม. การประชุมเชิงปฏิบัติการมีการอำนวยความสะดวกและจดบันทึกหลายขนาด หลายรูปแบบ และมีความยาวที่แตกต่างกัน แต่จำนวนเหล่านี้ก็เป็นแบบฉบับแบบหนึ่งที่แสดงให้เห็นได้

แนวการทำ CSA ครอบคลุมรูปแบบหลักของการประชุมเชิงปฏิบัติการของ CSA 4 รูปแบบ คือ
• แบบฐานจากวัตถุประสงค์
• แบบฐานจากความเสี่ยง
• แบบฐานจากการควบคุม
• แบบฐานจากกระบวนการ

ผมขออธิบายรายละเอียดในแต่ละรูปแบบดังนี้นะครับ

การประชุมเชิงปฏิบัติการที่มีรูปแบบฐานจากวัตถุประสงค์

มุ่งเน้นการบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่ม โดยการระบุการควบคุมที่เหมาะสมกับวัตถุประสงค์ ดังนั้นความเสี่ยงที่ยังมีอยู่จะถูกจำแนกออกมา วัตถุประสงค์ของการประชุมคือการระบุว่า เทคนิคการควบคุมมีประสิทธิผลหรือไม่ และผลลัพธ์ที่ได้มีความเสี่ยงที่เหลืออยู่ในระดับที่ยอมรับได้หรือไม่ (ความเสี่ยงส่วนที่เหลือไม่ทำให้การควบคุมลดน้อยลง)

วิธีการนี้กล่าวได้ว่าเป็นการระบุความเสี่ยงในเบื้องต้น และมีการออกแบบการควบคุมเพื่อวัตถุประสงค์ได้ดำเนินการแล้ว และหลังจากการทบทวนการควบคุมที่คงอยู่ในการประชุมเชิงปฏิบัติการ ก็จะมีการสื่อสารความเสี่ยงที่คงอยู่หรือเหลืออยู่ออกไป สิ่งนี้คือกรณีที่องค์กรได้นำกรอบการควบคุมความเสี่ยงเช่น COSO ไปปฏิบัติจนสำเร็จลุล่วงแล้ว และการควบคุมถูกมองว่ารวมอยู่ในงานประจำวันของพนักงานแล้ว ในระหว่างการทำ COSO แต่ละส่วนควรจะประเมินความเสี่ยง และออกแบบการควบคุมความเสี่ยงด้วยตนเอง เพื่อลดความเสี่ยงได้ระบุได้ เนื่องจากผู้บริหารซึ่งเป็นเจ้าของกระบวนการประเมินความเสี่ยงและมีการนำ COSO มาใช้เพื่อช่วยเหลือผู้บริหาร โดยมีสมมติฐานคือผู้บริหารได้ระบุการควบคุมความเสี่ยงที่สมเหตุสมผล ในรูปแบบฐานจากวัตถุประสงค์นี้ CSA เริ่มด้วยการระบุและประเมินการออกแบบการควบคุมความเสี่ยงที่มีอยู่ก่อน

ในบางองค์กรสมมติฐานของการประเมินความเสี่ยงไม่สามารถเป็นจริงได้ ในความเป็นจริงแล้วการประเมินความเสี่ยงอาจเป็นสิ่งที่ CSA ตั้งใจวางไว้อยู่แล้ว การใช้วิธีการแบบฐานจากวัตถุประสงค์ไม่ใช่วิธีที่ดีที่สุดสำหรับองค์กรเหล่านั้น ควรเลือกวิธีการแบบฐานจากความเสี่ยงแทน

การประชุมเชิงปฏิบัติการแบบฐานจากความเสี่ยง

มุ่งเน้นการจำแนกความเสี่ยงเพื่อนำไปสู่การบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่มด้วยการจำแนกแยกแยะอุปสรรค สิ่งขัดขวาง (เรียกว่าความเสี่ยงที่มีมาแต่ต้น) ซึ่งเป็นสิ่งขัดขวางการบรรลุวัตถุประสงค์ และจากนั้นจึงจำแนกกิจกรรมการควบคุม เพื่อให้แน่ใจว่าเพียงพอที่จะจัดการกับความเสี่ยงที่เป็นสำคัญ ในท้ายที่สุดความเสี่ยงสำคัญที่ยังเหลืออยู่จะถูกจำแนกออกมา การประชุมเชิงปฏิบัติการที่มีฐานจากความเสี่ยงนี้นำทีมงานเข้ามามีส่วนร่วมโดยใช้กฎเกณฑ์เรื่องวัตถุประสงค์ ความเสี่ยง การควบคุมความเสี่ยงในระหว่างการประชุมเชิงปฏิบัติการ

เช่นเดียวกับวิธีการแบบฐานจากวัตถุประสงค์ คือเกิดขึ้นโดยมีวัตถุประสงค์เป็นพื้นฐาน วิธีการแบบฐานจากความเสี่ยง ตรวจสอบความเสี่ยงเป็นอันดับแรก หลังจากนั้นจึงมองที่การควบคุมก่อนในการประชุม ในขณะที่วิธีการเน้นวัตถุประสงค์มองที่การควบคุมแล้วจึงมองที่ความเสี่ยงที่ยังเหลืออยู่ วิธีการแบบฐานจากความเสี่ยงอาจส่งผลในการประชุมเชิงปฏิบัติการเรื่องการประเมินตนเองมากกว่าวิธีการอื่น ๆ เนื่องจากมีการระบุความเสี่ยงที่เป็นไปได้จากการประชุมเชิงปฏิบัติการ การระบุและอภิปรายรายละเอียดความเสี่ยง ซึ่งมีพื้นฐานบนกรอบแนวคิดเรื่องความเสี่ยงอาจเกิดขึ้นในรูปแบบเช่นนี้

องค์กรที่ได้นำ COSO มาปฏิบัติจะใช้การจำแนกความเสี่ยง และการออกแบบควบคุมเป็นวัตถุประสงค์หลัก ซึ่งถ้าเป็นเช่นนั้น การกลับไปสู่การระบุความเสี่ยงในการประชุมเชิงปฏิบัติการ CSA อาจถูกมองเป็นการคัดลอกงานโดยทีมงาน เมื่อเกิดกรณีนี้ขึ้นรูปแบบฐานจากการควบคุม หรือฐานจากวัตถุประสงค์อาจเป็นประโยชน์มากกว่า

การประชุมเชิงปฏิบัติการแบบฐานจากการควบคุม

มุ่งเน้นว่าทำอย่างไรให้การควบคุมเป็นไปด้วยดี แต่มีความแตกต่างจากสองวิธีการแรก เนื่องจากผู้ตรวจสอบหรืออำนวยความสะดวก ระบุความเสี่ยงที่เป็นปัจจัยและการควบคุมก่อนการประชุมในระหว่างกระบวนการวางแผนทำ CSA เป็นเสมือนการตรวจสอบแบบดั้งเดิมมากกว่า การจำแนกอาจทำโดยการสัมภาษณ์พร้อมกับผู้บริหารและพนักงาน การแสดงแผนภูมิ เป็นต้น ทางที่ดีข้อมูลควรได้รับโดยตรงจากเอกสารซึ่งดูแลรักษาโดยสมาชิกของทีมงานเอง เนื่องจากเป็นส่วนหนึ่งของความรับผิดชอบของทีมงาน

ในระหว่างการประชุมเชิงปฏิบัติการ ทีมงานจะประเมินว่าทำอย่างไรให้การควบคุมได้ผลในการลดความเสี่ยงและบรรลุวัตถุประสงค์ วิธีการนี้จะทำให้เกิดการวิเคราะห์ความแตกต่างระหว่างวิธีการที่การควบคุมทำงาน และวิธีการที่ผู้บริหารตั้งใจทำ เพื่อการควบคุมอันจะทำให้การประชุมเชิงปฏิบัติการใช้เวลาสั้นลง เนื่องจากความเสี่ยงและการควบคุมถูกจำแนกแยกแยะก่อนการประชุมจะเริ่มขึ้น วิธีการนี้จะได้รับความเห็นชอบหากผู้บริหารต้องการการประชุมที่กระชับและเชื่อว่ามีการควบคุมเพียงพอ

การประชุมเชิงปฏิบัติการแบบฐานจากกระบวนการ

เป็นการตรวจสอบกระบวนการโดยรวบรวมทั้งกิจกรรมที่ปฏิบัติภายในนั้น เป้าหมายของการประชุมคือการประเมิน การทำข้อมูลให้ทันสมัย การตรวจสอบและการปรับปรุงกระบวนการที่เลือกแล้ว คำว่า “กระบวนการ” ในบริบทนี้หมายถึงการมองไปที่ชุดของกิจกรรมที่ต่อเนื่องจากเป้าหมายไปสู่เป้าหมาย ดังเช่นกระบวนการจัดซื้อ การพัฒนาผลิตภัณฑ์ การเตรียมสัญญา กระบวนการด้านภาษี เป็นต้น

วิธีการนี้มักรวมถึงการจำแนกแยกแยะวัตถุประสงค์ของทั้งกระบวนการทั้งหมด (เช่น ระดับการบริการหรือผลผลิตที่เกิดขึ้น) และขั้นตอนที่หลากหลายของกระบวนการ บางกลุ่มเรียกวัตถุประสงค์ของขั้นตอนที่หลากหลายของกระบวนการว่า “วัตถุประสงค์การควบคุม” หรือ “วัตถุประสงค์ระดับกิจกรรม” ผู้บริหารเห็นด้วยก่อนการอำนวยความสะดวกในการประชุม ในระหว่างการประชุมเชิงปฏิบัติการผู้เข้าร่วมจำแนกความเสี่ยงและการควบคุมจะช่วยให้บรรลุแต่ละวัตถุประสงค์ได้ง่ายขึ้น

วิธีการแบบฐานจากกระบวนการ อาจมีการวิเคราะห์อย่างกว้างมากกว่ารูปแบบฐานจากการควบคุม ซึ่งครอบคลุมวัตถุประสงค์อันหลากหลายในกิจกรรมของกระบวนการ วิธีการนี้อาจถูกใช้เชื่อมโยงความพยายามในการปฏิรูปองค์กร หรือความคิดริเริ่มเกี่ยวกับคุณภาพในการปฏิบัติเป็นทีม หรือโดยฝ่ายตรวจสอบนิยมใช้วิธีการแบบฐานจากระบวนการเพื่อการตรวจสอบแบบดั้งเดิม

การประชุมเชิงปฏิบัติการเรื่องกระบวนการอาจรวมถึงการปฏิรูปองค์กร (ตัวอย่างเช่น การลดค่าใช้จ่ายในการผลิตโดยรวม 10%) หรือกรอบการทำงานภายในซึ่งมีความเสี่ยงเฉพาะและการควบคุมอยู่ด้วย (ตัวอย่างเช่น การผลิตชิ้นส่วนเครื่องจักรก็มีความเสี่ยงเพราะอัตราการปฏิเสธมีเกินกว่า 2%) ข้อเสนอในการเปลี่ยนแปลงแสดงเนิ้อหาด้านความเสี่ยงและการควบคุมความเสี่ยงที่มีความเฉพาะเจาะจง

แต่ผลลัพธ์ยังคงเน้นที่กระบวนการทางธุรกิจโดยรวม สิ่งนี้ทำให้แน่ใจได้ว่าการรับรองเกี่ยวเนื่องและมุ่งเน้นธุรกิจภายใต้การตรวจสอบ บางกลุ่มเริ่มจากการมองภาพรวม วัตถุประสงค์กระบวนการแม้ว่าจุดเน้นจะอยู่บนความเสี่ยงและหรือการควบคุมภายในกระบวนการเพื่อการเตรียม วิธีการที่เน้นธุรกิจ

อีกรูปแบบหนึ่งของการประชุมเชิงปฏิบัติการ CSA ที่เรียกว่าวิธีการเชิงส่วนงานหรือสถานการณ์ ก็เป็นที่นิยมด้วยเช่นกัน วิธีการนี้มุ่งเน้นส่วนงานทั้งหมดไม่เพียงแต่มุ่งเน้นวัตถุประสงค์หรือกระบวนการเพียงอย่างเดียว การประชุมเชิงปฏิบัติการในขั้นพื้นฐานประกอบด้วยการสอบถามทีมงานหรือส่วนงาน 2 คำถาม คือ 1) สิ่งใดจะช่วยทำให้ส่วนงานบรรลุวัตถุประสงค์ และ 2) สิ่งใดขัดขวางการบรรลุวัตถุประสงค์ มีการนำวิธีการที่หลากหลายมาใช้ในการรวบรวมข้อมูล แต่การใช้กระดาษโน้ตกาวติดบนกำแพง เพื่อให้ทุกคนสามารถเห็นคำตอบได้ง่าย เป็นวิธีการรวบรวมข้อมูลโดยเทคโนโลยีระดับล่าง ผู้เข้าร่วมการประชุมตอบคำถาม 1 คำถาม ต่อกระดาษโน้ต 1 แผ่น การสรุปปัจจัยจะเป็นการช่วยหรือขัดขวางแนวคิดของพวกเขา ผลลัพธ์จะถูกจัดกลุ่มและบ่อยครั้งที่กลุ่มจะร่วมกันอภิปรายแก้ปัญหาที่อุปสรรคอันดับต้นๆอย่างมีศักยภาพ

วิธีการทำ CSA แบบนี้สามารถทำให้ง่ายขึ้น โดยมีผู้อำนวยความสะดวกหรือผู้บันทึกข้อมูล เพราะทีมงานจะเข้ามามีส่วนร่วมในการสร้างและการจัดเรียงข้อมูลดิบมากขึ้น การประชุมไม่มีการติดขัดเป็นคอขวดในกระบวนการบันทึกข้อมูล ผลลัพธ์เป็นภาพรวมอย่างกว้างพร้อมทั้งเนื้อหาเฉพาะของสถานการณ์ปัจจุบันในส่วนงาน

สำหรับครั้งหน้าผมจะยังคงเล่าสู่กันฟังต่อในรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยงด้วยวิธีการประชุมเชิงปฏิบัติการ แต่จะเน้นให้เห็นถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบต่าง ๆ ที่ได้กล่าวมาข้างต้น อย่าลืมติดตามนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (1)

ผมได้กล่าวถึงมุมมองของการทำ CSA ในเบื้องต้นมาพอสมควร วันนี้ผมจะมาเล่าในรายละเอียดที่ลึกลงไป โดยจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง สำหรับการทำ CSA จำแนกได้ 3 วิธีการ ได้แก่ การประชุมเพื่ออำนวยความสะดวก(หรือที่รู้จักกันดีว่าการประชุมเชิงปฏิบัติการ), การทำแบบสอบถามหรือแบบสำรวจ และการวิเคราะห์โดยผู้บริหาร ถึงแม้ว่าจะมีการอธิบายแนวทางพื้นฐานทั้ง 3 วิธีอย่างชัดเจนก็ตาม แต่ในองค์กรต่างๆ ก็นิยมใช้การประเมินมากกว่า 1 วิธีในกระบวนการประเมินตนเอง แนวทางต่าง ๆ ที่ใช้ในการประเมิน CSA มีดังต่อไปนี้

ตัวอย่างของการใช้การประเมินตนเองเพื่อควบคุมความเสี่ยง

• ใช้การประชุมเชิงปฏิบัติการกับการออกเสียงแบบไม่ออกนามเพื่อประเมินความเสี่ยง เป็นเสมือนปัจจัยในการพัฒนาแผนการตรวจสอบประจำปี วิธีการนี้จะช่วยจัดการความเสี่ยงรวมถึงการเตรียมการวางแผนได้
• ใช้การประชุมเชิงปฏิบัติการเพื่อการดำเนินธุรกิจหลักระหว่างแผนกต่าง ๆ
• ส่งแบบสอบถามให้กับระดับบริหาร เพื่อให้ประเมินรายการมาตรฐานของการควบคุมวัตถุประสงค์ภายในแผนกของตนเอง รวมทั้งเลือกการตรวจสอบไปปฏิบัติโดยอยู่บนพื้นฐานของการตอบสนอง
• ใช้ขั้นตอนการสัมภาษณ์ในการเริ่มต้นการตรวจสอบ เพื่อเก็บข้อมูลและจัดขอบเขตของการตรวจสอบ
• สลับสับเปลี่ยน CSA และ การตรวจสอบแบบเดิม ดำเนินการตรวจสอบแบบเดิมหนึ่งปี และใช้การประชุมเชิงปฏิบัติการในปีถัดไป
• ใช้ CSA เป็นเสมือนเครื่องมือตรวจสอบเชิงป้องกัน ซึ่งเป็นการปรึกษานอกเหนือความเห็นประจำปีในเรื่องของการควบคุม
• ส่วนงานอื่นนอกเหนือจากหน่วยตรวจสอบภายในใช้ การประชุมเชิงปฏิบัติการ CSA ในการช่วยให้พนักงานเข้าใจวัตถุประสงค์, ความเสี่ยง และการควบคุม
• ส่งแบบสอบถามประจำปีให้กับผู้บริหาร ซึ่งจะช่วยสนับสนุนความคิดเห็นประจำปี ในเรื่องการควบคุมที่ของผู้ตรวจสอบภายนอกต้องการ
• ใช้วิธีการ “เขียนบนกำแพง” เพื่อให้ผู้เข้าร่วมตอบคำถาม 2 คำถาม คือ “ปัจจัยใดบ้างที่ช่วยให้บรรลุวัตถุประสงค์ขององค์กร” และ “ปัจจัยใดบ้างที่เป็นอุปสรรคต่อบรรลุวัตถุประสงค์ขององค์กร”
• ใช้การประชุมเชิงปฏิบัติการในการประเมินการควบคุมสภาพแวดล้อมโดยรวมขององค์กร
• ใช้แบบสอบถามแบบตัวต่อตัวกับผู้บริหารเพื่อแยกแยะความเสี่ยงขององค์กร

การเลือกวิธีการที่ถูกต้องในการทำ CSA
วิธีการของ CSA มีความแตกต่างกัน องค์กรและส่วนงานตรวจสอบจะเลือกวิธีการที่ถูกต้องได้อย่างไร หรือใช้เพียงวิธีเดียวได้ วิธีการทำ CSA ซึ่งใช้การประชุมเชิงปฏิบัติการกับผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกนั้น เป็นวิธีที่องค์กรชื่นชอบ IIA เสนอให้ใช้วิธีการนี้เมื่อวัฒนธรรมสนับสนุนการแสดงออกของผู้เข้าร่วมในการประชุมเชิงปฏิบัติการ แต่ในกรณีที่วัฒนธรรมองค์กรไม่สนับสนุนวิธีการทำ CSA แบบมีส่วนร่วมเหมือนการประชุมเชิงปฏิบัติการ ก็อาจใช้แบบสอบถามและการวิเคราะห์การควบคุมโดยผู้บริหารแทนได้ ปัจจัยอื่น ๆ ในการเลือกวิธีการทำ CSA นอกเหนือจากวัฒนธรรมมีดังนี้

• ธรรมชาติของอุตสาหกรรม เช่น การมีกฎระเบียบที่เข็มงวด การเงิน การผลิต หรือการทำการกุศล
• เนื้อหาความชำนาญและประสบการณ์ของส่วนงานตรวจสอบภายใน เป็นสิ่งใดดีที่สุดสำหรับการริเริ่มการทำ CSA (และเติบโตไปสู่วิธีการอื่นต่อไป)
• ทัศนคติและการสนับสนุนของผู้บริหาร โดยเฉพาะฝ่ายปฏิบัติการ เนื่องจากพวกเขาจะถูกขอร้องให้ส่งพนักงานเข้าประชุมเชิงปฏิบัติการ
• ต้นทุน – การใช้การออกเสียงแบบไม่ระบุนามมีค่าใช้จ่ายสูงและต้องมีการฝึกอบรม
• ความสะดวกสบายของเจ้าหน้าที่ตรวจสอบ โดยเฉพาะการให้ความสะดวก เจ้าหน้าที่ตรวจสอบเชื่อหรือไม่ว่าการทำ CSA ได้ผล และรู้สึกได้รับความสะดวกสบายจากการเป็นผู้นำการประชุมเชิงปฏิบัติการหรือไม่ (การต่อต้านภายในอาจกลายเป็นกลุ่มใหญ่หรือรุนแรง)
• ทรัพยากรของสถานที่ตรวจสอบ สามารถทำ CSA และดูแลโดยใช้แผนตรวจสอบได้หรือไม่
• ทัศนคติของคณะกรรมการตรวจสอบ พวกเขาเชื่อหรือไม่ว่าวิธีการนี้จะได้ผล

ปัจจัยที่มีอิทธิพลเบื้องต้นในการเลือกคือความเป็นมาของการตรวจสอบภายในขององค์กร หากการตรวจสอบในปัจจุบันแสดงออกเพียงความร่วมมือ หรือการตรวจสอบทางการเงิน และถูกมองเป็นการสืบทอดเป็นดั้งเดิม ดังนั้นวิธีการทำ CSA ในขั้นเริ่มต้นอยู่ซึ่งบนการสำรวจอย่างสั้น อาจเป็นหนทางที่ง่ายในการเริ่มทำ CSA ในทางตรงข้าม หากการตรวจสอบตามที่เคยปฏิบัติ เป็นการทบทวนเนิ้อหาการปฏิบัติการนั้นมุ่งเน้นวัตถุประสงค์ของธุรกิจ และมีสมาชิกซึ่งมีทักษะในการให้ความช่วยเหลือ ก็อาจเริ่มต้นการปฏิบัติิงานด้วยวิธีการนำการประชุมเชิงปฏิบัติการมาใช้ในการทำ CSA ก็ได้

อีกปัจจัยหนึ่งคือความง่ายของการแนะนำ หรือการเสนอเครื่องมือให้กับผู้บริหาร หากส่วนงานตรวจสอบกำลังแนะนำ CSA และมีการตรวจสอบกระบวนการธุรกิจอยู่แล้ว วิธีการทำ CSA ที่อยู่บนพื้นฐานของกระบวนการก็อาจให้ประโยชน์บางประการได้ ตัวอย่างเช่น การตรวจสอบความคุ้นเคยกับกระบวนการ และอาจได้รับความสะดวกจากการใช้เครื่องมือใหม่ในสภาพแวดล้อมเช่นนั้นมากขึ้น ผู้บริหารอาจมองการใช้ CSA ว่าเป็นการขยายตัวตามธรรมชาติของการตรวจสอบแบบดั้งเดิม และเป็นการขัดขวางการแยกออกจากบรรทัดฐานที่มีอยู่ สิ่งนี้เป็นเพียงจุดเริ่มต้น ทีมงานตรวจสอบการทำ CSA จะเพิ่มวิธีการที่แตกต่างอย่างรวดเร็วให้กับรายการเครื่องมือและเทคนิคที่มีอยู่ และประยุกต์ใช้สิ่งที่เหมาะสมตามสถานการณ์

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 5 – ข้อขัดแย้งของ CSA

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้ในเป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่าอะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลายๆองค์กรจะพบความแตกต่างดังรายการข้างล่างนี้ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ

ความแตกต่างบางประการในการนำไปปฏิบัติมีพอสรุปออกมาเป็นรายการได้ดังนี้

1. รูปแบบ CSA
หลายคนเชื่อว่ารูปแบบของการประชุมเชิงปฏิบัติการ หรืออาจเรียกว่าการประชุมที่อำนวยความสะดวกหรือรูปแบบทีมงานเป็นรูปแบบที่มีประสิทธิผลสำหรับการทำ CSA ส่วนรูปแบบอื่นที่นิยมกันก็คือการใช้แบบสอบถาม ผู้นำ CSA มาใช้ส่วนใหญ่เลือกใช้รูปแบบการประชุมเชิงปฏิบัติการเพื่อขัดขวางวิธีการใช้แบบสอบถามหรือการวิเคราะห์CSA ที่ผู้บริหารสร้างขึ้น ในหลายองค์กรอาจใช้การรวมหลาย ๆ วิธีในการทำการประเมินตนเอง ผู้ตรวจสอบกำลังเริ่มลงมือเขียนโปรแกรมการตรวจสอบการประเมินตนเองขึ้นมา โดยสร้างขึ้นจากฝ่ายปฏิบัติการ ในการทำ CSA จะยอมให้ผู้ตรวจสอบเข้ามาเชื่อมโยงฝ่ายต่าง ๆ เพื่อระบุความเสี่ยงและวัตถุประสงค์การควบคุมความเสี่ยง และพัฒนาแบบทดสอบที่จำเป็นต้องนำมาใช้ ผู้ตรวจสอบอาจใช้รูปแบบการประชุมเชิงปฏิบัติการ เพื่อช่วยให้กลุ่มได้ประเมินผลการประเมินด้วยตนเอง และพัฒนาแผนปฏิบัติงานที่ต้องการ หลังจากนั้น ฝ่ายตรวจสอบภายในอาจทำการทดสอบความถูกต้องของผลลัพธ์ด้วย

2. การใช้กรอบควบคุมความเสี่ยง

หลายคนเชื่อว่าการใช้กรอบควบคุมความเสี่ยง เช่น COSO, CoCo หรือ Malcolm Baldrige เป็นสิ่งที่มีความจำเป็นสำหรับการทำ CSA ผู้ใช้ CSA ส่วนใหญ่เลือกใช้กรอบการควบคุมความเสี่ยงเข้ามาช่วยในการระบุและแยกประเภทความเสี่ยงและการควบคุมความเสี่ยง แต่การใช้กรอบการควบคุมความเสี่ยงนี้ ไม่ได้เป็นการทำให้การทำการประชุมเชิงปฏิบัติการง่ายขึ้น และยังต้องอาศัยทักษะและประสบการณ์ของผู้อำนวยความสะดวกและทีมงาน เพื่อจะได้ทราบว่าการควบคุมความเสี่ยงและความเสี่ยงทั้งหมดนั้นจะมีความคลอบคลุมครบถ้วน

3. บทบาทการตรวจสอบภายใน
หลายคนเชื่อว่าการตรวจสอบภายในไม่ได้ทำให้เกิดความเป็นเจ้าของสูงสุดของกระบวนการ CSA และหลายครั้งได้มีการมอบแผนงานในการอำนวยความสะดวกและบทบาทในการรายงานไปให้ทีมงานทำ ส่วนคนอื่นที่เหลือเชื่อว่าการตรวจสอบภายใน จะช่วยให้เกิดความต่อเนื่องในการอำนวยความสะดวกให้กับการทำการประชุมเชิงปฏิบัติการ และเป็นจุดรวมสำหรับการวางแผนและการรายงานในการทำ CSA ในทางปฏิบัติฝ่ายตรวจสอบได้มีการมีการโอนความเป็นเจ้าของการประชุมเชิงปฏิบัติการ ไปให้กับทีมงานน้อยมาก

4. รายงาน CSA
บางคนเชื่อว่าการตรวจสอบภายในควรต้องรายงานผลของ CSA การประชุมเชิงปฏิบัติการให้ผู้บริหารทราบ เช่นเดียวกับการตรวจสอบแบบดั้งเดิม ในขณะที่อีกฝ่ายหนึ่งเชื่อว่าทีมงานในการประชุมเชิงปฏิบัติการควรเป็นผู้รายงานผล ส่วนมากเมื่อทีมงานได้ทำการรายงานผลจากการทำ CSA การประชุมเชิงปฏิบัติการออกมา รูปแบบของรายงานการตรวจสอบจะเกี่ยวข้องกับเเรื่องการประเมินตนเอง หรือผลจากการทดสอบข้อเท็จจริงหรือการประกันคุณภาพการปฏิบัติงาน

5. การมีส่วนร่วมของฝ่ายบริหาร
หลายคนเชื่อว่าผู้บริหารทีมงานต้องมีส่วนร่วมพร้อมไปกับทีมงานโดยตลอด ขณะที่อีกฝ่ายเชื่อว่าผู้บริหารไม่ต้องเข้ามามีส่วนร่วม ประเด็นที่สำคัญเกี่ยวกับเรื่องนี้คือ เรื่องความสามารถในการได้รับข้อมูลที่เป็นจริงของการประชุมเชิงปฏิบัติการจากการปฏิบัติงานจริง ซึ่งอาจต้องการการใช้การลงคะแนนแบบไม่ระบุชื่อถ้าผู้บริหารเข้ามามีส่วนร่วมด้วย

6. การประกันคุณภาพ

หลายคนเชื่อว่าการตรวจสอบภายในต้องดำเนินการตรวจสอบการประกันคุณภาพเพื่อยืนยันผลการประเมินตนเอง ส่วนอีกฝ่ายเชื่อว่าไม่จำเป็นต้องมีการตรวจสอบ การประกันคุณภาพเป็นเรื่องจำเป็นถ้ามีการนำการประเมินตนเองมาใช้แทนการตรวจสอบภายใน เพื่อให้ได้มาซึ่งควมคิดเห็นในภาพรวมของการควบคุมภายใน การทดสอบการควบคุมที่ถูกต้องควรกระทำในส่วนใดส่วนหนึ่งของกระบวนการเมื่อนำ CSA มาใช้เป็นการตรวจสอบ

7. ความสัมพันธ์กับการตรวจสอบภายใน
บางคนได้โต้แย้งว่าทั้งผู้ตรวจสอบและผู้อำนวยความสะดวก CSA มีการขัดผลประโยชน์กัน ดังนั้นผู้อำนวยความสะดวก CSA สำหรับบางธุรกิจไม่ควรเป็นผู้ตรวจสอบในธุรกิจนั้น ความหมายใหม่ของการตรวจสอบภายในได้ออกมาในปลายปี 1999 โดยมีขอบเขตของการตรวจสอบภายในที่กว้างขวางชัดเจนขึ้นในการรวมกิจกรรมการให้คำปรึกษา และพบว่าในทางปฏิบัติการดำเนินงาน CSA ขององค์กรไม่มีประเด็นที่เป็นอิสระไปจากการทำ CSA เลย

บางครั้งจากข้อขัดแย้งดังกล่าวข้างต้น แผนกตรวจสอบจะดำเนินการแตกต่างกันเพียงเล็กน้อยในการนำ CSA มาใช้ และบางครั้งก็อาจเรียกหรือให้ความหมายของ CSA ที่แตกต่างกัน ดังนี้

– การประเมินความเสี่ยงและการควบคุมความเสี่ยงด้วยตนเอง
– การประเมินการเปลี่ยนแปลงด้วยตนเอง
– การประเมินการอำนวยความสะดวกด้วยตัวเอง
– กระบวนการประเมินการบริหาร
– การประเมินการบริหารด้วยตัวเอง
– โปรแกรมการประเมินและตรวจสอบการควบคุม
– โปรแกรมการตรวจสอบการควบคุม
– การประเมินการมีส่วนร่วมของความเสี่ยงและการควบคุมความเสี่ยง
– การประเมินทางธุรกิจด้วยตัวเอง
– การประเมินความเสี่ยงทางธุรกิจ
– การประเมินการเปลี่ยนแปลงของความเสี่ยงและสมรรถภาพ

สถานการณ์ที่ CSA ไม่เหมาะสม
จากประโยชน์ที่ได้กล่าวถึงข้างต้น และการที่ผู้ตรวจสอบได้มีการนำ CSA ไปใช้มากขึ้น แต่กลับไม่ได้มีการนำ CSA ไปใช้ตลอดเวลา เนื่องจากแผนกที่นำ CSA ไปใช้ส่วนใหญ่ใช้พยายามในการทำการตรวจสอบเพียงร้อยละ 30-40 เท่านั้น ดังนั้นจึงเกิดคำถามที่ว่าเมื่อไรที่ CSA ไม่เหมาะสม เมื่อไรที่ CSA ไม่ใช่เครื่องมือตรวจสอบที่ถูกต้อง

กระบวนการ CSA ช่วยในการทำการประชุมเชิงปฏิบัติการ หรือสำรวจผู้มีส่วนร่วมในฐานะผู้เชี่ยวชาญในงานที่ได้ทำหรือการตรวจสอบสถานการณ์ ถ้าสมมุติฐานไม่ถูกต้องนั่นอาจทำให้ CSA ไม่เหมาะสม ซึ่งจะเกิดขึ้นได้ถ้าทุกคนยังไม่มีประสบการณ์ในการจัดการกับปริมาณการเข้าออกงานที่เพิ่มขึ้นสูง และการเจริญเติบโตอย่างรวดเร็ว โดยทุกคนจะไม่สามารถตอบได้ว่า จะใช้วิธีใดมาใช้แทนในการทำให้องค์กรบรรลุวัตถุประสงค์ กลุ่มเหล่านี้จะได้รับประโยชน์จากการอภิปรายอำนวยความสะดวกในเรื่องของวัตถุประสงค์ วิธีการ เป้าหมาย ฯลฯ แต่จะยังไม่สามารถทำการประเมินความเสี่ยง และการควบคุมความเสี่ยงได้อย่างเหมาะสม เนื่องจากยังไม่มีความรู้ในเรื่องนั้นเลย ถ้าผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้กับการประชุมเชิงปฏิบัติการ หรือการอภิปรายผู้บริหารเข้าเข้ามามีส่วนร่วมในการประชุมเชิงปฏิบัติการด้วย เพื่อช่วยให้วัตถุประสงค์ของทีมงานสอดคล้องกับวัตถุประสงค์โดยรวมขององค์กร

CSA อาจไม่เหมาะสมหรืออาจไม่จำเป็นต้องพิจารณาเป็นพิเศษในสถานการณ์ต่าง ๆ ดังนี้
1. พนักงานไม่ได้เป็นผู้เชี่ยวชาญในสาขาเฉพาะด้านตามที่ได้กล่าวถึงในข้างต้น
2. การคาดคะเนผิดพลาด ซึ่งอาจทำให้ยากตัดสินใจว่าใครควรเป็นผู้ดำเนินการใน การประชุมเชิงปฏิบัติการ
3. การเปลี่ยนแปลงขององค์กรอย่างรวดเร็ว เช่น การรวมกิจการและการเข้าครอบครองกิจการ การลดขนาดองค์กร การ takeovers ซึ่งอาจทำให้พนักงานไม่เข้าใจวัตถุประสงค์หรือการจ้างงานในระยะยาวของเขาอย่างชัดเจน
4. วัฒนธรรมไม่สนับสนุนหรือการสื่อสารอย่างมีประโยชน์ การเปิดเผยข้อมูล และความไว้ใจได้ ดังนั้นจึงทำให้ฝ่ายบริหารไม่สนใจผลที่เกิดขึ้นจาก CSA
5. ผู้บริหารไม่ได้ให้การสนับสนุนพนักงานในเรื่องที่เกี่ยวข้องกับการระบุความเสี่ยงและการควบคุมความเสี่ยงอย่างเพียงพอ
6. สิ่งที่คาดหวังของผู้บริหารคือ การทำให้เกิดการยอมรับคำสั่งของฝ่ายตรวจสอบและ/หรือการตรวจสอบกฎระเบียบ
7. ผู้อำนวยการการตรวจสอบไม่เชื่อว่าพนักงานมีทรัพยากรหรือทักษะที่เพียงพอในการทำ CSA ซึ่งอาจทำให้ตัดสินใจรอจนกระทั่งมีการพัฒนาทักษะแล้วจึงนำไปปฏิบัติ

เรื่องของ CSA ยังมีรายละเอียดอีกมากมาย ครั้งหน้าผมจะมาเล่าถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (CSA) ต่อนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 4 – ประโยชน์ของ CSA และข้อควรคำนึงถึง

เมื่อมีการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กร นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร ดังที่ได้กล่าวถึงในครั้งที่แล้ว การเปลี่ยนแปลงจากการนำ CSA มาใช้ และการเคลื่อนไหวของ CSA โดยทั่วไป จะก่อให้เกิดประโยชน์และข้อควรคำนึงถึงเป็นจำนวนมาก ประโยชน์และสิ่งที่ควรคำนึงถึงนี้อาจมองได้หลายมุมมอง เช่น ประโยชน์ต่อองค์กรการตรวจสอบภายใน ประโยชน์ต่อกระบวนการทางธุรกิจ อุปสรรคจากการนำ CSA มาปรับใช้ เป็นต้น ซึ่งผมจะขอกล่าวถึงประโยชน์ของ CSA โดยหลัก ๆ ดังนี้

1. CSA ช่วยให้พนักงานสายงานหลักในทุกระดับมีความเข้าใจและคาดการณ์ถึงหน้าที่ความรับผิดชอบ และสามารถตรวจสอบประสิทธิผลของการควบคุมความเสี่ยงและการบริหารความเสี่ยงได้อย่างถูกต้องมากขึ้น CSA ประกอบด้วยส่วนประกอบด้านการศึกษาที่สำคัญ ที่ช่วยให้พนักงานสายงานหลักเกิดความเข้าใจเรื่องความเสี่ยงและการบริหารความเสี่ยงได้ดีขึ้น ในฐานะที่เป็นผู้ที่เกี่ยวข้องโดยตรงต่อการปฏิบัติงานโดยผู้อำนวยความสะดวก ตัวอย่างเช่น การสื่อสารที่มีประสิทธิภาพและโอกาสในการสอนงาน ในท้ายที่สุด ผู้ตรวจสอบจะเปลี่ยนแปลงทัศนคติและความเข้าใจของทีม เรื่องการควบคุมความเสี่ยงและความเสี่ยงที่อาจเป็นประโยชน์อย่างมากในการทำ CSA

2. เกิดการการปฏิบัติที่ถูกต้องมากขึ้น เนื่องจากผู้มีส่วนร่วมในการทำ CSA เกิดความเป็นเจ้าของในผลลัพธ์ที่เกิดขึ้น การประชุมเชิงปฏิบัติการ และการตรวจสอบแบบดั้งเดิมที่ล้มเหลวในด้านการสร้างความเข้าใจ หรือการกล่าวถึงสิ่งที่ต้องคำนึงถึงในการบริหาร จะนำไปสู่ข้อเสนอแนะที่ไม่สามารถนำไปปฏิบัติได้ ซึ่งจะสร้างผลลัพธ์ในทางลบให้กับ CSA การนำไปสู่ความสับสน และเกิดความขัดแย้งระหว่างพนักงานสายงานหลักและผู้บริหาร

3. CSA จะจัดเตรียมประเด็นที่สำคัญที่ครอบคลุมกว้างขวางเนื่องจากผู้เชี่ยวชาญ ทีมงานสามารถเน้นไปยังความเสี่ยงและการควบคุมความเสี่ยงได้อย่างรวดเร็ว

4. CSA ช่วยปรับปรุงการสื่อสารในทุกระดับเนื่องจาก การประชุมเชิงปฏิบัติการ ประกอบด้วยหลาย ๆ องค์ประกอบ เช่น ที่ตั้ง แผนก หน้าที่ และบุคลากรทุกระดับ

5. CSA สอนให้ผู้มีส่วนร่วมทราบถึงวิธีการวิเคราะห์และรายงานการควบคุมภายใน ดังนั้นจึงช่วยเพิ่มความตื่นตัวเรื่องการควบคุมให้เกิดขึ้นทั่วทั้งองค์กร ซึ่ง CSA จะช่วยในการปรับปรุงสภาพแวดล้อมทางการควบคุมขององค์กร โดยช่วยเพิ่มความตระหนักถึงวัตถุประสงค์ขององค์กรและบทบาทของการควบคุมภายใน อันจะทำให้เกิดผลสำเร็จตามเป้าหมายและวัตถุประสงค์ รวมถึงการจูงใจให้บุคลากรทำการออกแบบหรือนำกระบวนการควบคุมไปปฏิบัติอย่างระมัดระวัง และมีการปรับปรุงกระบวนการดำเนินการควบคุมอย่างต่อเนื่อง

นอกจากนี้ CSA ยังมีประโยขน์ในด้านอื่น ๆ คือ ช่วยให้ผู้ตรวจสอบเน้นไปยังเนื้อหาความเสี่ยงในระดับสูงเท่านั้น และยังมุ่งความสนใจไปยังความพยายามในการตรวจสอบแบบดั้งเดิมในเรื่องดังกล่าวด้วย อีกทั้งการประชุมเชิงปฏิบัติการด้าน CSA จะช่วยให้เกิดการเตรียมตัวอย่างไม่เป็นทางการ หรือการควบคุมร่วมกันที่ยากต่อการประเมินด้วยการตรวจสอบแบบดั้งเดิม

นอกเหนือจากประโยชน์ในการทำ CSA แล้ว ยังมีข้อควรคำนึงถึงหรืออุปสรรคในการบรรลุผลสำเร็จ ดังนี้

1. บุคลากรจะต่อต้านการเปลี่ยนแปลงแ ละการนำ CSA มาใช้นั้นได้แสดงให้เห็นว่า เป็นการเปลี่ยนแปลงสำหรับทั้งผู้ตรวจสอบและผู้ถูกตรวจสอบ หลายองค์กรจึงอาจค่อย ๆ ยอมรับวิธีการใหม่นี้อย่างช้า ๆ

2. ฝ่ายบริหารอาจไม่เชื่อว่าพนักงานสายงานหลักจะสามารถรับผิดชอบงานด้านการควบคุม และการบริหารความเสี่ยงได้อย่างมีประสิทธิผล โดยอาจมองว่า CSA เป็นเพียงการเปลี่ยนของงาน (วิธีการที่ผู้ตรวจสอบภายในมอบให้พนักงานสายงานหลักเข้ามาทำงานด้านการตรวจสอบเอง) ในกรณีนี้ผู้บริหารจะส่งเสริมให้กลุ่มใดกลุ่มหนึ่ง นั่นก็คือผู้ตรวจสอบภายใน เป็นผู้มีหน้าที่ความรับผิดชอบเรื่องความเสี่ยงและการควบคุมความเสี่ยง และไม่ได้มอบหน้าที่ความรับผิดชอบให้กับตัวพนักงานสายงานหลักเหล่านั้นเอง

3. การอภิปรายอย่างเปิดเผยอาจเป็นการเปิดองค์กรให้เกิดความเสี่ยงทางกฎหมาย ถ้าการอภิปรายนั้นได้เปิดเผยถึงการกระทำที่ไม่ถูกกฎหมาย ความรุนแรงของนโยบายด้านจริยธรรม หรือประเด็นอื่น ๆ ผู้อำนวยความสะดวกอาจจำเป็นที่จะต้องตัดสินใจว่า การประชุมเชิงปฏิบัติการต้องหยุดลงหรือดำเนินการต่อไป หรือวิธีที่จะกระจายผลลัพธ์นั้นออกไป

4. ผลของ CSA อาจไม่ถูกต้องเนื่องจากผู้มีส่วนร่วมไม่มีความรู้ที่ดีพอหรือไม่เปิดเผย หรือผู้อำนวยความสะดวกไม่ได้รับสาเหตุที่เป็นรากเหง้าของประเด็นนั้นอย่างแท้จริง

5. ในหลายวัฒนธรรมไม่เป็นวัฒนธรรมเปิดและไม่มีการเปิดเผย และการอภิปรายอย่างเปิดเผยทำให้การประชุมเชิงปฏิบัติการไม่ได้รับปัจจัยนำเข้าที่เชื่อถือได้

6. ความสามารถในการควบคุมและการบริหารความเสี่ยง จะเกี่ยวข้องกับการผึกอบรมเพิ่มเติมให้กับพนักงาน และการเพิ่มความผูกพันในการรักษากระบวนการ CSA ให้ทำหน้าที่อย่างมีประสิทธิผลและทันเวลา

7. ในกรณีศึกษาส่วนใหญ่ เจ้าหน้าที่ตรวจสอบภายในไม่มีทักษะทางด้านการเป็นผู้อำนวยความสะดวกและการเป็นผู้สอน

8. การเปลี่ยนแปลงอย่างมีคุณภาพโดยรวม การพัฒนาองค์กร และบุคลากรที่นำการประชุมเชิงปฏิบัติการมาใช้อำนวยความสะดวกในการทำงาน โดยอาจมอง CSA ว่าเป็นการบังคับ เนื่องจากมีการใช้เครื่องมือที่มีลักษณะเหมือนกันหลาย ๆ เครื่องมือ

9. ท้ายที่สุดแล้วจะเกิดคำถามว่าผู้ตรวจสอบภายใน หรือผู้ถูกตรวจสอบเป็นเจ้าของ CSA ผู้อำนวยการการตรวจสอบจะทำการตลาด และบูรณาการ CSA มาใช้ในองค์กรได้อย่างไร ถ้าไม่มีการบริหารจัดการที่ดี

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้เป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่า อะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลาย ๆ องค์กร จะพบความแตกต่างหลายประการ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ ซึ่งผมจะนำมาเล่าสู่กันฟังในครั้งหน้านะครับ

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/