Posts Tagged "การประเมินตนเองเพื่อควบคุมความเสี่ยง"

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 9 CoCo (Criteria of Control)

สวัสดีครับ เราได้พูดคุยกันถึงเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงมาถึงตอนที่ 9 แล้วนะครับ และผมจะขอกล่าวถึง CoCo (Criteria of Control) ซึ่งได้เคยเอ่ยถึงในตอนที่ผ่านมาแล้วว่า เป็น CSA อีกรูปแบบหนึ่งที่สามารถนำมาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยง โดย CICA – Canadian Institute of Chartered Accountants ซึ่งเป็นสถาบันหรือองค์กรไม่แสวงหาผลกำไร ที่จัดตั้งขึ้นตามพระราชบัญญัติพิเศษจากรัฐสภาแคนาดาในปี 1902 ได้เสนอแบบจำลองการควบคุมออกมาโดยเรียกว่า เกณฑ์การควบคุม หรือแบบจำลอง CoCo โดยในการศึกษาแบบจำลองนี้ ควรเริ่มจากการให้ความหมายของการควบคุมภายในเสียก่อน ซึ่งการควบคุมภายในประกอบด้วยองค์ประกอบหลายอย่างในองค์กร เช่น ทรัพยากร ระบบ กระบวนการ วัฒนธรรม โครงสร้างและงานต่าง ๆ อันจะช่วยในการสนับสนุนการปฏิบัติงานของบุคลากร ให้สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่องค์กรต้องการโดยมุ่งเน้นไปที่

1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน

2. ความน่าเชื่อถือของรายงานทางการเงินและการบริหาร

3. การปฏิบัติตามกฎหมาย กฎระเบียบ และนโยบายภายใน

องค์ประกอบการควบคุมภายในของ CoCo

กรอบแนวทางการควบคุมกลุ่ม ประกอบด้วย

1. เป้าหมาย (Purpose) เป็นเกณฑ์กลุ่มที่เป็นทิศทางขององค์กร เปรียบเสมือนหลักชัยขององค์กรที่ต้องดำเนินการไปให้ถึง (สิ่งที่องค์กรต้องทำ) พิจารณาได้ดังนี้

  1. จัดตั้งวัตถุประสงค์และมีการสื่อสารให้รับรู้
  2. ความเสี่ยงทั้งภายในและภายนอกที่องค์กรต้องเผชิญมีนัยสำคัญต่อความสำเร็จของวัตถุประสงค์ ควรจะระบุและมีการติดตามประเมินผล
  3. ออกแบบนโยบายเพื่อสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร และการจัดการความเสี่ยงที่ควรได้รับการยอมรับ มีแนวทางปฏิบัติและสื่อสารเพื่อให้ผู้คนเข้าใจสิ่งที่เป็นที่คาดหวังขององค์กร และขอบเขตของหน้าที่ที่จะต้องทำ
  4. การวางแผนที่เป็นแนวทางในการบรรลุวัตถุประสงค์ขององค์กร ควรได้รับการยอมรับและมีการสื่อสารให้เข้าใจ
  5. วัตถุประสงค์และแผนงานที่เกี่ยวข้อง ควรจะรวมถึงเป้าหมายในการวัดประสิทธิภาพและตัวชี้วัด

2. ความผูกพัน (Commitment) เป็นเกณฑ์กลุ่มที่แสดงความเป็นเอกลักษณ์และค่านิยม (ความต้องการทำสิ่งนั้น) พิจารณาได้ดังนี้

  1. จริยธรรมค่านิยมที่ใช้ร่วมกัน รวมทั้งความสมบูรณ์ ควรได้รับการจัดตั้ง มีการสื่อสารและการปฏิบัติทั่วทั้งองค์กร
  2. นโยบายการพัฒนาทรัพยากรมนุษย์และการปฏิบัติที่ควรจะสอดคล้องกับค่านิยมทางจริยธรรมขององค์กรและความสำเร็จของวัตถุประสงค์
  3. ผู้มีอำนาจ ผู้มีหน้าที่ปฏิบัติ และผู้ที่มีหน้าที่รับผิดรับชอบ ควรจะกำหนดพันธกิจ และแผนงานไว้อย่างชัดเจนและสอดคล้องกับวัตถุประสงค์ขององค์กร เพื่อนำไปใช้ในการตัดสินและปฏิบัติโดยบุคคลที่เหมาะสม
  4. มีบรรยากาศของความไว้วางใจซึ่งกันและกัน เพื่อเป็นการส่งเสริม สนับสนุนการใช้งานข้อมูลระหว่างหน่วยงานต่าง ๆ เพื่อผลการดำเนินงานที่มีประสิทธิภาพที่มีต่อการบรรลุวัตถุประสงค์ขององค์กร

3. ความสามารถ (Capability) เป็นเกณฑ์กลุ่มที่เป็นความสามารถขององค์กร (เครื่องมือในการทำสิ่งนั้น) พิจารณาได้ดังนี้

  1. ทุกคนควรจะมีทักษะที่จำเป็นความรู้และเครื่องมือที่จะสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร
  2. กระบวนการการสื่อสารควรจะสนับสนุนค่านิยมขององค์กรและความสำเร็จของวัตถุประสงค์
  3. ข้อมูลที่เพียงพอและมีความเกี่ยวข้อง ควรจะระบุและมีการสื่อสารในเวลาที่ เหมาะสม เพื่อให้ผู้ปฏิบัติหน้าที่สามารถดำเนินการตามที่ได้รับมอบหมาย
  4. ควรมีการประสานงานในการตัดสินใจและการปฏิบัติงานในส่วนงานที่แตกต่างกันขององค์กร
  5. กิจกรรมการควบคุมควรจะออกแบบเป็นส่วนหนึ่งขององค์กรที่คำนึงถึงวัตถุประสงค์ของความเสี่ยง เพื่อความสำเร็จขององค์กรและ interrelatedness ขององค์ประกอบการควบคุม

4. การติดตามและการเรียนรู้ (Monitoring and Learning) เป็นเกณฑ์กลุ่มที่แสดงพัฒนาการขององค์กร (ดูว่าเราได้ทำสิ่งนั้นหรือยัง) (พิจารณาได้ดังนี้

  1. สภาพแวดล้อมภายนอกและภายใน ควรจะตรวจสอบเพื่อให้ได้ข้อมูลที่อาจส่งสัญญาณความต้องการที่จะประเมินอีกครั้งวัตถุประสงค์ขององค์กรหรือการควบคุม
  2. ผลการปฏิบัติงานควรจะตรวจสอบกับเป้าหมาย และตัวชี้วัดที่ระบุไว้ในวัตถุประสงค์ขององค์กรและแผนงาน
  3. สมมติฐานที่อยู่เบื้องหลังวัตถุประสงค์ขององค์กรควรจะท้าทายเป็นระยะ ๆ
  4. ความต้องการของระบบสารสนเทศและข้อมูลที่เกี่ยวข้องควรจะคล้อยตามการเปลี่ยนแปลงวัตถุประสงค์หรือเป็นข้อบกพร่องการรายงานจะมีการระบุ
  5. ควรมีขั้นตอนของกระบวนการติดตาม เพื่อให้แน่ใจถึงการปฏิบัติงานที่เกิดขึ้นและการเปลี่ยนแปลงที่เหมาะสม
  6. ควรมีการจัดการประเมินความมีประสิทธิผลของการควบคุมในองค์กรเป็นระยะ ๆ และแจ้งผลให้กับผู้รับผิดชอบ

การนำ CoCo ไปใช้ใน CSA

ผู้ปฏิบัติงานด้าน CSA หลายท่านพบว่า CoCo เป็นวิธีการบริหารที่สัมพันธ์กับการควบคุมภายใน และการอธิบายอย่างง่าย ๆ ในการกำหนด Workshop CoCo เป็นวิธีการในขั้นที่สูงกว่า COSO เพราะจะเน้นที่การประเมินความเสี่ยงของแต่ละคน และกิจกรรมการควบคุมความเสี่ยง อีกทั้งใช้เป็นพื้นฐาน individual objective-by-objective และใช้เป็นพื้นฐานของแผนกด้วย

ในการทำ Workshop ผู้ประสานงานควรพัฒนาคำถามที่ใช้เป็นเกณฑ์ของ CoCo และดำเนินการ Workshop นั้น โดยการถามคำถามเหล่านั้น หรือผู้ประสานงานควรวางคำถามไว้ให้มีลักษณะทั่วไปมากที่สุด เช่น อะไรคือสิ่งที่ช่วยให้คุณบรรลุวัตถุประสงค์ของแผนก และแจกแจงการตอบสนองนั้นไปสู่เกณฑ์ของ CoCo จากนั้นผู้ประสานงาน ควรถามคำถามเฉพาะเกี่ยวกับเกณฑ์อื่น ๆ ของCoCo ที่ไม่ได้ทำการควบคุมในขณะนั้น

ต่อไปนี้คือ ตัวอย่างคำถามเพื่อประเมินประสิทธิผลของการควบคุมตามเกณฑ์ CoCo

เป้าหมาย (Purpose)

  • เราเข้าใจภารกิจและวิสัยทัศน์ขององค์กรหรือไม่
  • เราไม่เข้าใจวัตถุประสงค์ของเราเป็นกลุ่มและวิธีการที่พวกเขาพอดีกับวัตถุประสงค์อื่น ๆ ในองค์กรหรือไม่
  • ข้อมูลที่มีอยู่ในปัจจุบันช่วยให้เราสามารถระบุความเสี่ยงและการประเมินความเสี่ยงได้หรือไม่
  • เราเข้าใจความเสี่ยงที่เราจำเป็นต้องควบคุม และระดับของความเสี่ยงที่ยอมรับได้ เพื่อความรับผิดชอบต่อการควบคุมหรือไม่
  • เราไม่เข้าใจนโยบายที่ส่งผลกระทบต่อการดำเนินการของเราหรือไม่
  • แผนงานของเราคือการตอบสนองและความเพียงพอที่จะบรรลุการควบคุมใช่หรือไม่
  • เรามีเป้าหมายในการจัดการประสิทธิภาพการทำงานหรือไม่

ความผูกพัน (Commitment)

  • เราได้รับการฝึกฝนหลักการของความซื่อสัตย์และจริยธรรมค่านิยมร่วมกันหรือไม่
  • มีผู้ได้รับผลตอบแทนอย่างเป็นธรรมตามวัตถุประสงค์ขององค์กรและค่านิยมหรือไม่
  • เราไม่เข้าใจสิ่งที่เรารับผิดชอบและเราไม่มีคำนิยามที่ชัดเจนต่อความรับผิดชอบของเราใช่หรือไม่
  • การตัดสินใจที่สำคัญ ๆ ถูกกระทำโดยผู้เชี่ยวชาญและมีอำนาจหน้าที่รับผิดชอบใช่หรือไม่
  • ระดับของความไว้วางใจซึ่งกันและกันในแต่ละหน่วยงานเพียงพอที่จะสนับสนุนข้อมูลและประสิทธิภาพการทำงานอย่างไร

ความสามารถ (Capability)

  • เรามีบุคลากรที่มีความรู้ความสามารถ เครื่องมือ และทรัพยากรที่เหมาะสมหรือไม่
  • มีการรายงานความผิดพลาดอย่างรวดเร็ว ข่าวร้าย และข้อมูลอื่น ๆ ให้กับผู้บริหาร โดยปราศจากความกลัวและการแก้แค้นหรือไม่
  • มีข้อมูลเพียงพอที่จะช่วยในการดำเนินงานหรือไม่ อย่างไร
  • มีการประสานงานระหว่างผู้ปฏิบัติงานกับหน่วยงานอื่น ๆ ที่เกี่ยวข้องขององค์กรหรือไม่
  • มีขั้นตอนและกระบวนการที่จะช่วยให้บรรลุวัตถุประสงค์ขององค์กรหรือไม่

การติดตามและการเรียนรู้ (Monitoring and Learning)

  • มีการทบทวนสภาพแวดล้อมภายในและภายนอกเพื่อการเปลี่ยนแปลงและกำหนดให้มีวัตถุประสงค์หรือการควบคุมหรือไม่
  • เราจะตรวจสอบประสิทธิภาพกับเป้าหมายและตัวชี้วัดที่เกี่ยวข้องอย่างไร
  • เราตั้งสมมติฐานที่ท้าทายที่อยู่เบื้องหลังวัตถุประสงค์ของเราหรือไม่
  • เราได้รับและให้ข้อมูลที่จำเป็นและเกี่ยวข้องกับการตัดสินใจหรือไม่
  • ระบบข้อมูลของเรามีการปรับปรุงให้เป็นปัจจุบันอยู่เสมอหรือไม่
  • มีการเรียนรู้จากผลการตรวจสอบและปรับปรุงอย่างต่อเนื่องเพื่อการควบคุมที่ดีหรือไม่
  • มีการกำหนดระยะเวลาการประเมินประสิทธิภาพของการควบคุมหรือไม่

แนวการประเมินตนเองโดยการตั้งคำถามแบบกว้าง ๆ ตามตัวอย่างที่กล่าวข้างต้นในบางเรื่องและบางมุมมองนั้น ไม่เพียงพอที่จะทำการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ดั้งนั้น ผู้อำนวยความสะดวก หรือ Facilitator ซึ่งปกติจะเป็นผู้ตรวจสอบภายใน ซึ่งได้รับการคาดหมายว่าเป็นผู้เชี่ยวชาญในการบริหารความเสี่ยงในระดับองค์กร รวมทั้งการควบคุมความเสี่ยงระดับองค์กร ซึ่งปกติจะต้องเริ่มจากการประเมินความเสี่ยงของสายงานต่าง ๆ ภายในองค์กรนั้น ๆ ก่อนที่จะนำมาสรุปเป็นภาพรวมของการบริหารความเสี่ยงระดับองค์กร ภายใต้ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่ต้องผ่านการอนุมัติจากคณะกรรมการ ที่ควรจะครอบคลุมความเสี่ยงแบบสมดุลจากหลักการ Besiness Balanced Scorecard ที่จะเชื่อมโยง สัมพันธ์ เกี่ยวเนื่องกับความเสี่ยงทางด้าน IT Balanced Scorecard ที่เกี่ยวข้องกับวัตถุประสงค์หลัก 17 ข้อด้วยกัน ทั้ง 17 ข้อนี้อยู่ภายใต้ร่มของกลยุทธ์ที่เชื่อมโยงมายังวัตถุประสงค์ทั้ง 4 ด้านตามหลักการ Besiness Balanced Scorecard และในขณะเดียวกันวัตถุวัตถุประสงค์หลัก 17 ข้อ ของ Besiness Balanced Scorecard นั้น ก็ยังต้องสัมพันธ์กับวัตถุประสงค์หลักของ IT Related Goals ทั้ง 17 ข้อ ที่เชื่อมโยง (mapping) ได้อย่างลงตัว

มาถึงตอนนี้ ท่านผู้บริหาร ผู้อำนวยความสะดวกในการทำ CSA และผู้มีหน้าที่ปฏิบัติงานของแต่ละฝ่ายหรือสายงานต่าง ๆ อาจจะรู้สึกสับสนได้บ้าง ทั้งนี้เพราะผมกำลังพาท่านผู้อ่านไปสู่ยุคใหม่ของการบริหารธุรกิจ / องค์กรแบบบูรณาการ (Integrated Single Framework) หรือ Integrated Management ที่ไม่สามารถแยกการบริหาร Enterprise Goals กับ IT Related Goals ออกจากกันได้ในลักษณะ SILO สมัยเดิมได้อีกแล้ว นั่นคือ CIO ยุคใหม่ และในอนาคตจะต้องทำงานในลักษณะการบริหารองค์กรหรือการบริหารธุรกิจควบคุมกันไปกับ CEO และในขณะเดียวกัน CEO ก็ต้องมีความรู้เกี่ยวข้องกับผลกระทบของ IT Risk ที่มีผลต่อวัตถุประสงค์หลักทั้ง 17 ข้อ

ในการทำ CSA ในยุคปัจจุบันและในอนาคต การประเมินความเสี่ยงและการควบคุมภายใน และ/หรือการประเมินการควบคุมภายในที่มีอยู่ว่าเพียงพอที่จะลดความเสี่ยงต่าง ๆ ทั้งในระดับ Strategic Risk ที่มีผลเชื่อมโยงไปยัง Enterprise / Business Risk ที่เกี่ยวข้องกับความเสี่ยงตามมุมมองของ Business Balanced Scroecard ทั้ง 4 ด้าน ซึ่งเป็นภาพใหญ่นั้น จำเป็นที่ผู้อำนวยความสะดวก (Facilitator – ผู้ตรวจสอบภายใน) จะต้องเข้าใจหลักการบริหารและการจัดการแบบบูรณาการ เพื่อประเมินความเสี่ยงและผลกระทบที่เกี่ยวข้องว่ามีการควบคุมที่ต้นเหตุ (Root Cause) ที่แท้จริงหรือไม่ ทั้งนี้ก็เพราะกระบวนการควบคุมที่ปลายเหตุจะไม่มีประสิทธิภาพและประสิทธิผลใด ๆ ในการทำ CSA เลยแม้แต่น้อย

CSA and CIA_Facilitator

ท่านผู้อ่านครับ CSA หรือการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่กล่าวมาตั้งแต่ต้นนั้น สรุปได้ว่า คณะกรรมการและผู้บริหาร และผู้ปฏิบัติงาน ควรจะมีการสื่อสารให้เข้าใจตรงกันว่า การบริหารเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้สำหรับยุคใหม่นั้น จะต้องพิจารณาความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ซึ่งจะเป็นผู้ผลักดันและขับเคลื่อนความต้องการบรรลุวัตถุประสงค์ที่แท้จริงของธุรกิจ/องค์กร ภายใต้สภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงตลอดเวลา

ดังนั้น การหาจุดพอดี หรือดุลยภาพของความต้องการของ Stakeholders ที่แตกต่างกันนั้น จึงเป็นเรื่องที่สำคัญมาก ๆ เพราะหากไม่เกิดดุลยภาพในขั้นตอนแรกนี้ จะมีปัญหากระทบต่อ Governance ที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม (Value Creation) ที่ลงตัวและจะไม่เกิดความยั่งยืน (Sustainable) ซึ่งพิจารณาได้ว่าเป็นกระดุมเม็ดแรกของการขับเคลื่อน Value Creation ให้กับธุรกิจและองค์กรในระยะยาว ทั้งนี้ Value Creation มีหลักการและแนวความคิดที่ว่า Stakeholders ต้องการผลตอบแทนที่เหมาะสมที่ต้องสัมพันธ์กับดุลยภาพการบริหารความเสี่ยงที่พอเหมาะ และการบริหารจัดการทรัพยากรที่เหมาะสมควบคู่กันไปอย่างแยกกันไม่ได้

ขอสรุปเป็นครั้งสุดท้ายในเรื่อง CSA ว่า จากวรรคที่กล่าวข้างต้นจะนำไปสู่การกำหนด Enterprise Goals และเชื่อมโยงไปยัง IT Related Goals และเชื่อมโยงต่อไปยัง Process Goals และ Enabler Goals ที่ต้องการความเข้าใจในทุกขั้นตอนและในทุกกระบวนการบริหารอย่างแท้จริงว่า หากจะมีการดำเนินการจัดทำ CSA ผู้อำนวยความสะดวกและผู้บริหารที่เกี่ยวข้องควรจะเข้าใจในหลักการบริหารแบบบูรณาการที่เหมาะสมและพอเพียงเพียงใด

G (Governance) + R (Risk Management) + C (Compliance) ไม่เท่ากับ Integrated GRC หรือการบริหารแบบบูรณาการ

หิน + ปูน + ทราย ไม่เท่ากับ ซีเมนต์ หากขาดน้ำ

“น้ำ” ในที่นี้หมายถึง ความเข้าใจในกระบวนการบริหารและการจัดการแบบบูรณาการ ครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 8 COSO (Committee of Sponsoring Organizations)

สวัสดีครับ ทุกท่านที่ติดตามเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ครั้งก่อนผมได้กล่าวทิ้งท้ายไว้ว่า ยังมีการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจและนำไปประยุกต์ใช้ในการประเมินตนเองได้อย่างมีประสิทธิภาพ อย่าง COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ซึ่งในครั้งนี้ผมจะขอเล่าสู่กันฟังเกี่ยวกับ COSO ก่อนนะครับ โดยจะกล่าวถึงในมุมมองของการควบคุมภายใน และการประเมินตนเองเพื่อควบคุมความเสี่ยงในภาพโดยรวม ตามหลักการของ COSO นี้ จะมี 5 องค์ประกอบที่สำคัญ ส่วนในมุมมองของการบริหารความเสี่ยงและการควบคุมภายในที่นำ COSO ไปประยุกต์ใช้ ได้มีการปรับปรุงเป็น 8 องค์ประกอบ ซึ่งผมเคยได้กล่าวไว้ในหัวข้อ ของ แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework แล้ว

COSO (Committee of Sponsoring Organizations)
COSO ได้ออกแบบกรอบการควบคุมความเสี่ยงขึ้น เนื่องจากต้องการให้ความหมายการควบคุมภายในที่ชัดเจนตรงกันในองค์กรที่มีความหลากหลาย โดยเรียกแบบจำลองนั้นว่า แบบจำลอง COSO หรือเรียกสั้น ๆ ว่า COSO

ในการพัฒนาแบบจำลองของ COSO ต้องเริ่มจากการทำความเข้าใจความหมายของการวบคุมภายในเสียก่อน การควบคุมภายใน (Internal Control) จึงเป็นวิธีการหนึ่งที่จะช่วยให้องค์กรบรรลุผลสำเร็จ โดยการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นอันจะเป็นการขัดขวางการบรรลุผลสำเร็จขององค์กร และเป็นกระบวนการที่เกิดขึ้นโดยคณะกรรมการบริหาร ผู้บริหาร และทุกคนในองค์กรที่ออกแบบมาเพื่อเป็นการประกันการบรรลุวัตถุประสงค์ขององค์กรในด้านต่าง ๆ ดังนี้
1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน
2. ความน่าเชื่อถือของรายงานทางการเงิน
3. การปฏิบัติตามกฎหมาย กฎระเบียบ

5 องค์ประกอบของการควบคุมภายใน (Components of Internal Control) ของ COSO
การควบคุมภายในประกอบด้วยองค์ประกอบหลายด้านที่ต้องทำการพิจารณา โดยองค์ประกอบของการควบคุมภายในรูปแบบหนึ่ง อาจพิจารณาในเรื่องต่าง ๆ ดังนี้

1. สภาพแวดล้อมของการควบคุม (Control Environment) เมื่อสภาพแวดล้อมการทำงานเป็นสิ่งที่มีความสำคัญในการบริหารธุรกิจ จึงควรที่มีการจัดสภาพแวดล้อมการทำงานให้เหมาะสมกับการปฏิบัติงาน เพื่อให้พนักงานสามารถปฏิบัติงานได้อย่างมีประสิทธิภาพ อันจะช่วยให้การดำเนินธุรกิจเป็นไปอย่างราบรื่น สามารถบรรลุเป้าหมายทางธุรกิจได้ตามที่ต้องการ สภาพแวดล้อมที่สำคัญได้แก่
1.1 ความร่วมมือร่วมใจกันของพนักงาน
1.2 การให้คุณค่าต่อจรรยาบรรณ ความซื่อสัตย์ในการปฏิบัติงาน
1.3 ความสามารถในการทำงานของพนักงานทุกฝ่าย
1.4 ปรัชญาในการดำเนินงานของฝ่ายบริหาร
1.5 รูปแบบการปฏิบัติงาน วิธีการปฏิบัติงานที่ผู้บริหารมอบหมายอำนาจความรับผิดชอบและการจัดการ
1.6 การพัฒนาคนภายในองค์กร
1.7 การควบคุม เอาใจใส่ และการวางแผนจากคณะกรรมการ
1.8 การสื่อสารจากระดับสูง
1.9 การบริหารข้อมูลและข่าวสารร่วมกัน
1.10 ความเข้าใจในระบบการควบคุมภายใน
1.11 โครงสร้างขององค์กร
1.12 วัฒนธรรมขององค์กร
1.13 ความเป็นผู้นำของผู้บริหาร
1.14 อื่น ๆ

2. การประเมินความเสี่ยง (Risk Assessment) เป็นการตระหนักถึง และจัดการกับความเสี่ยงที่องค์กรต้องเผชิญ โดยต้องมีการกำหนดวัตถุประสงค์ที่บูรณาการขององค์กร เช่น การขาย การผลิต การตลาด การเงินกับกิจกรรมอื่น ๆ โดยเน้นให้องค์กรต้องวิเคราะห์/ ประเมินผลและบริหารความเสี่ยงที่เผชิญทั้งปัจจุบันและอนาคตในทุกมุมมอง ทุกระดับ
2.1 การตั้งวัตถุประสงค์ในการดำเนินงานขององค์กรที่เชื่อมโยงระดับต่าง ๆ ฝ่ายต่าง ๆ เข้าด้วยกัน และยึดมั่นแน่นเหนียวภายในองค์กร ซึ่งฝ่ายตรวจสอบภายในจะมีบทบาทในเรื่องนี้มาก
2.2 การประเมินความเสี่ยง คือการค้นหาและวิเคราะห์ความเสี่ยง เพื่อบริหารหรือจัดการให้วัตถุประสงค์ นโยบายขององค์กรที่ตั้งไว้สำเร็จผลอย่างมีประสิทธิภาพและประสิทธิผล
2.3 การเปลี่ยนแปลง คือสิ่งที่ไม่แน่นอน ไม่ว่าในระดับกว้าง ระดับแคบ ทั้งทางด้านเศรษฐกิจการเงิน ลักษณะธุรกิจ เทคนิคข้อบังคับ รวมทั้งเงื่อนไขในการดำเนินงาน จึงจำเป็นต้องมีวิธีการตรวจหาและจัดการกับความเสี่ยงโดยเฉพาะ

3. กิจกรรมการควบคุม (Control Activities) เป็นการพิจารณากำหนดนโยบายและกระบวนการควบคุมให้รอบคอบว่า สิ่งที่กำหนดขึ้นมานั้นสามารถช่วยให้องค์กรบรรลุผลสำเร็จได้อย่างมีประสิทธิผล
การควบคุมก็คือนโยบายและวิธีการต่าง ๆ ที่ทำให้มั่นใจว่าคำสั่งของฝ่ายบริหารได้นำไปปฏิบัติ
3.1 ช่วยให้มั่นใจว่ามีการดำเนินการต่าง ๆ ที่จำเป็นเพื่อบอกถึงความเสี่ยงต่อการทำให้เกิดความสำเร็จตามวัตถุประสงค์ของหน่วยงาน
3.2 ต้องสร้างขั้นตอนการควบคุมความเสี่ยงภายในองค์กรทุกระดับ และทุกแผนก
3.3 การควบคุม รวมทั้งการพิจารณาอนุมัติ การให้อำนาจกระทำการ การตรวจสอบความถูกต้อง การไกล่เกลี่ยความขัดแย้ง การทบทวนผลการดำเนินงาน การรักษาความปลอดภัยของทรัพย์สิน การแบ่งแยกหน้าที่ ฯลฯ เพื่อให้องค์กรบรรลุเป้าหมาย

4. ข้อมูลสารสนเทศและการสื่อสาร (Information and Communication) เน้นการส่งข่าว และความเข้าใจร่วมในองค์กรสำหรับกิจกรรม และระเบียบต่าง ๆ ให้เข้าใจตรงกันตามความรับผิดชอบในแต่ละระดับชั้น ในเวลาที่เหมาะสม
การให้ข้อมูลต้องทำอย่างเหมาะสมด้วยสื่อทั้งภายในและภายนอก
4.1 ต้องสื่อสารเป็นวงกว้าง จากระดับบนสู่ล่าง จากซ้ายไปขวา จากขวาไปซ้าย แล้วย้อนล่างไปบน โดยต้องมีการสร้างระบบข้อมูลสารสนเทศและการสื่อสารที่เอื้อต่อการนำไปใช้ และมีการแลกเปลี่ยนกันตามความจำเป็นเพื่อใช้ในการปฏิบัติ การบริหาร และการควบคุมการดำเนินงาน
4.2 พนักงานทุกคนต้องเข้าใจบทบาทตนเองในระบบการควบคุมภายใน ตลอดจนความรู้ว่าการดำเนินงานของแต่ละคนสัมพันธ์กับการทำงานของผู้อื่น/หน่วยงานอื่นอย่างไร
4.3 รูปแบบการสื่อสารในองค์กรสามารถทำได้หลายทาง เช่น การประชุม การจัดทำรายงานประจำเดือน เป็นต้น การมีข้อมูลข่าวสารและระบบการสื่อสารที่ดีย่อมช่วยให้ผู้บริหารได้สอบทานสถานะของความเสี่ยงและแผนการดำเนินงาน สิ่งเหล่านี้จะช่วยให้เกิดการบอกกล่าวข้อมูลที่สำคัญ และทำให้เกิดการตัดสินใจที่มีประสิทธิผลได้อย่างทันเวลา

5. การติดตาม/การสอดส่องดูแล (Monitoring) เนื่องจากสภาพแวดล้อมทางภายในและภายนอกองค์กรมีการเปลี่ยนแปลงตลอดเวลา ระบบการควบคุมจึงต้องมีการติดตามและดัดแปลง รวมทั้งการตรวจสอบให้เหมาะสมเท่าที่จำเป็น สามารถเปลี่ยนแปลงให้เหมาะสมกับเงื่อนไขต่าง ๆ ได้เป็นอย่างดี โดยระบบการควบคุมภายในทุกระดับของฝ่ายในองค์กรจำเป็นต้องมีการสอดส่องดูแลอย่างใกล้ชิด และมีการประเมินคุณภาพการทำงานของระบบเป็นระยะ ทำได้โดยการสอดส่องและประเมินผลตลอดเวลาทุกขั้นตอนการดำเนินงาน

การนำ COSO ไปใช้ใน CSA
สูตรความเสี่ยงพื้นฐานที่ได้อธิบายมาก่อนหน้านี้ (วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง) ที่ถูกนำมาใช้ในกรอบของ COSO คือเรื่องของการประเมินความเสี่ยง และระดับกิจกรรมการควบคุมความเสี่ยง

องค์กรมักนำ COSO มาใช้ใน CSA โดยการออกแบบสอบถามหรือแบบสำรวจทั่วทั้งองค์กรประจำปี เพื่อประเมินสภาพแวดล้อมการควบคุมขององค์กร ซึ่งอาจทำได้โดยการสัมภาษณ์แบบมีโครงสร้างหรืออาจใช้วิธีการลงชื่อลับ

เครื่องมือการประเมินองค์ประกอบ ได้แก่ แบบสอบถาม, Workshop หรือการสัมภาษณ์ รวมทั้งการใช้ข้อมูลสารสนเทศ การสื่อสาร และการติดตามในการประเมินตนเองทั่วทั้งองค์กร

นอกจากนี้บางองค์กรยังนำ COSO มาใช้ใน CSA ในการทำ Workshops ในระดับทีมงาน เพื่อประเมินการควบคุมในระดับกิจกรรม ซึ่งจะเน้นไปที่กระบวนการทางธุรกิจหรือกิจกรรมที่มีโครงสร้างเหมือน Generic Activities เช่น การสั่งซื้อ บัญชีรายรับ บัญชีรายจ่าย ทรัพยากรมนุษย์ ฯลฯ ซึ่งจะทำงานร่วมกันเป็นทีม วัตถุประสงค์ระดับกิจกรรมที่ระบุไว้ใน COSO เรียกว่าวัตถุประสงค์ด้านการควบคุม ซึ่งจะใช้ในการเริ่มกำหนดคำถามด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงเพื่อใช้ในการปฏิบัติงาน

สำหรับ CoCo (Criteria of Control) หากท่านผู้อ่านอยากทราบเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ด้วย CoCo อย่าพลาดติดตามในครั้งหน้านะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (3)

สวัสดีครับทุกท่านที่ติดตามสาระ ความรู้จาก itgthailand.com แห่งนี้ สำหรับการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือที่เรียกกันว่า CSA – Controls Self Assessment ที่ได้พูดคุยกันมาถึงตอนที่ 7 แล้ว ในครั้งก่อน ผมได้พูดถึง ความเสี่ยง การบริหารความเสี่ยง และทางเลือกในการบริหารความเสี่ยง พร้อมทั้งยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการในบางมุมมอง ซึ่งคาดว่าจะเป็นประโยชน์อย่างมากสำหรับการนำไปประยุกต์ใช้ให้เหมาะสมในแต่ละองค์กร และเมื่อพูดถึงความเสี่ยง การบริหารความเสี่ยงแล้ว แน่นอนว่าจะขาดไม่ได้ที่จะไม่กล่าวถึง การควบคุม (Control) ที่เป็นกระบวนการที่สำคัญและจำเป็นต่อการประเมินตนเองเพื่อการควบคุมความเสี่ยงขององค์กร

การควบคุม (Control) หมายถึง ขั้นตอน กระบวนการ หรือกลไกซึ่งองค์กรกำหนดขึ้นเพื่อให้มั่นใจว่า กิจกรรมในการดำเนินธุรกิจจะประสบความสำเร็จ และได้ผลลัพธ์ตามวัตถุประสงค์ที่ได้กำหนดไว้
การควบคุมเป็นกระบวนการตรวจสอบกิจกรรมเพื่อให้เกิดความมั่นใจว่าสามารถบรรลุวัตถุประสงค์ตามแผนที่กำหนดไว้
การควบคุมเป็นหน้าที่ที่สำคัญอย่างหนึ่งของการบริหาร การควบคุมมีความสัมพันธ์ใกล้ชิดกับการวางแผน เพราะการควบคุมเป็นเครื่องมือสำคัญในการกำหนดแผน การดำเนินการตามแผนและการประเมินผลตอบแทน

รูปแบบของการควบคุม
รูปแบบของการควบคุมจะแสดงให้เห็นถึงวิธีการตอบสนองต่อความเสี่ยง ซึ่งรูปแบบการควบคุมเหล่านี้ได้แก่
1. การป้องกัน (Preventive) คือความพยายามที่จะสกัดไม่ให้เกิดความเสี่ยงขึ้น เป็นการควบคุมล่วงหน้าก่อนที่จะเกิดความเสี่ยงขึ้น เช่น การขออนุมัติใบสั่งซื้อก่อน หรือการใส่รหัสลับในเครื่องคอมพิวเตอร์
2. การตรวจสอบ/ติดตาม(Detective) คือความพยายามในการติดตามความเสี่ยงที่เกิดขึ้นถึงแม้จะมีการควบคุมแบบการป้องกันแล้ว นั่นคือเมื่อมีความเสี่ยงเกิดขึ้น บริษัทจะจัดให้มีระบบการควบคุมความเสี่ยงขึ้นมา ซึ่งการติดตามที่ดีต้องมีระบบการสื่อสารที่ดีด้วย โดยต้องจัดให้มีระบบการสื่อสารที่รวดเร็วและสม่ำเสมอโดยวิธีการที่หลากหลาย
3. การกำกับ (Directive) คือความพยายามหลีกเลี่ยงความเสี่ยงโดยการกำหนดวิธีการเฉพาะที่เหมาะสม เป็นการเสนอให้ทำสิ่งที่ถูกต้อง (เป็นแนวทางหรือการฝึกอบรม)

จากรูปแบบการควบคุมข้างต้น จะเห็นได้ว่า นอกจากการควบคุมจะเป็นการป้องกันไม่ให้เกิดความเสี่ยงขึ้นแล้ว ยังมีรูปแบบอื่นที่สามารถทำได้อีก เช่น การติดตามความเสี่ยงที่อาจเกิดขึ้น หรือการให้คำแนะนำหรือฝึกอบรมพนักงานให้กับพนักงานเพื่อจัดการกับความเสี่ยง

การทำความเข้าใจเป้าหมายที่แท้จริงของระบบการควบคุบภายในจะช่วยให้สามารถบรรลุวัตถุประสงค์ของธุรกิจง่ายขึ้น โดยการประเมินความเสี่ยงเป็นวิธีการที่ง่ายที่สุดในการบรรลุวัตถุประสงค์ และสิ่งที่ต้องทำเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ คือ การระบุ/ บ่งชี้ปัจจัยเสี่ยง โดยการระบุปัจจัยเสี่ยงนี้ จะมีประโยชน์ในการออกแบบระบบการควบคุมความเสี่ยงที่เหมาะสมกับความเสี่ยงนั้น ๆ มีการกำหนดระบบการควบคุมที่มีต้นทุน-ประสิทธิผล ที่เหมาะสมมากที่สุด เพื่อบรรเทาผลกระทบจากความเสี่ยงที่เกิดขึ้น อันจะทำให้เราสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้

นอกจากนี้ยังควรตระหนักถึงความสัมพันธ์ระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงด้วย การควบคุมความเสี่ยงเกือบทั้งหมดจะใช้ในการบรรเทาความเสี่ยงที่เกิดขึ้นอันจะมีผลต่อการบรรลุวัตถุประสงค์ การออกแบบการควบคุมภายในเพียงอย่างเดียว ไม่สามารถนำไปใช้ในการบริหารความเสี่ยงทุกประเภทได้ การออกแบบการควบคุมความเสี่ยงโดยผู้ที่มีความรู้และประสบการณ์ใกล้ชิดกับงานที่ทำ น่าจะสามารถทำได้ดีกว่าการออกแบบการควบคุมที่เกิดขึ้นจากผู้บริหาร ผู้ตรวจสอบภายใน หรือผู้ที่ทำหน้าที่ในการประเมินตนเองเพื่อการควบคุมภายใน

กรอบการควบคุม ในการประเมินตนเองเพื่อควบคุมความเสี่ยง
กรอบการควบคุมความเสี่ยง (แบบจำลองการควบคุมความเสี่ยง) เป็นความหมายและโครงสร้างที่ใช้ในการอธิบายการควบคุมภายใน วิธีการนำเอาแบบจำลองการควบคุมความเสี่ยงไปปฏิบัที่ดีที่สุดคือ เริ่มจากการสัมภาษณ์มุมมองเชิงลึกถึงวิธีการที่องค์กรจะนำเอาแบบจำลองการควบคุมไปใช้ และข้อมูลสารสนเทศเกี่ยวกับวิธีที่ใช้ในการประเมินตนเอง

กรอบความคิดต่าง ๆ จะถูกกำหนดขึ้นมาให้เหมาะกับวัตถุประสงค์เฉพาะของแต่ละคน ตัวอย่างเช่น กรอบความคิดหนึ่งอาจถูกออกแบบมาเพื่อใช้อธิบายความหมายและรายละเอียดของการควบคุมภายใน โดยมีพื้นฐานจากวัตถุประสงค์ขององค์กร ส่วนกรอบอื่น ๆ ที่มีอยู่อาจใช้ในการระบุความเสี่ยง และการให้บริการลูกค้า

ประโยชน์ของการใช้กรอบการควบคุมในการประเมินตนเองเพื่อควบคุมความเสี่ยง
1. แสดงให้เห็นถึงความครอบคลุมทั้งหมดของการควบคุมความเสี่ยง
2. ใช้เป็นเครื่องมือในการติดตามผลเพื่อรวบรวมเป็นชุดของหน่วยงานที่มีลักษณะคล้ายกัน
3. ใช้เป็นคำถามที่มีรูปแบบเพื่อเตรียมไว้สำหรับการจัดโครงสร้างและลักษณะทั่วไปของหน่วยงาน

เรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ยังไม่จบเพียงเท่านี้ ผมยังมีเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจมาเล่าสู่กันฟัง อาทิเช่น COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ส่วนจะมีรายละเอียดเป็นอย่างไรนั้น โปรดติดตามในครั้งต่อไปนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (2)

จากการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ที่ผมได้เล่าสู่กันฟังมาหลายตอน และได้กล่าวถึงวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยเน้นในส่วนของ CSA ที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ ในครั้งที่แล้วนั้น แต่เนื่องจากมีรายละเอียดมากพอสมควร ไม่อาจกล่าวได้ครอบคลุมทั้งวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง จึงจำเป็นต้องแยกเป็นหัวข้อที่ย่อยลงไป โดยในครั้งนี้จะขอกล่าวถึงเฉพาะเรื่องของความเสี่ยง สำหรับเรื่องของการควบคุมความเสี่ยง คงจะไว้พูดคุยกันในโอกาสต่อไป แต่อยากจะขอเน้นย้ำอีกสักครั้ง เพื่อให้เข้าใจได้ชัดเจนว่า การประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดหลาย ๆ ส่วนที่เกี่ยวข้องสัมพันธ์ เชื่อมโยงกันกับการบริหารความเสี่ยง ซึ่งหลายอย่างในบางส่วนหรือบางมุมมมองก็ไม่สามารถแยกแยะออกจากกันได้ ขึ้นอยู่การนำไปใช้กับหน้าที่การปฏิบัติงานในระดับต่าง ๆ ของหน่วยงาน/องค์กร

เมื่อพุดถึง ความเสี่ยง (Risk) คำจำกัดความของความเสี่ยงนั้นมีได้หลายมุมมอง แล้วแต่ว่าองค์กรนั้นเป็นองค์กรในลักษณะใด ทำธุรกิจด้านไหน แต่อย่างไรก็ตาม ทุกมุมมองจะมุ่งเน้นไปที่เป้าหมาย แต่ในที่นี้ผมขอให้คำจำกัดความไว้ดังนี้

ความเสี่ยง หมายถึง ภาวะคุกคาม ปัญหา อุปสรรค หรือการสูญเสียโอกาส ซึ่งจะมีผลทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้หรือก่อให้เกิดผลเสียหายต่อองค์กร หรือ…
ความเสี่ยง หมายถึง สาเหตุ มูลเหตุที่จะเกิดปัญหา ความผิดพลาด ความสูญเปล่า การรั่วไหล ความล้มเหลว ความเสียหาย หรือความไม่แน่นอน ซึ่งไม่พึงประสงค์ที่จะทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนดไว้ และ/หรือการไม่เกิดโอกาสหรือความสูญเสียโอกาสดี ๆ ที่จะเป็นประโยชน์ในการสร้างมูลค่าเพิ่มให้กับองค์กร หรือ…
ความเสี่ยง หมายถึง เหตุการณ์หรือการกระทำใด ๆ ที่อาจเกิดขึ้นในอนาคตซึ่งเมื่อเกิดขึ้น ล้วนจะมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร

ความเสี่ยงเป็นสิ่งที่สามารถเกิดขึ้นได้เสมอในทุกองค์กร บางครั้งอาจเป็นเหตุการณ์ที่ทำให้ผลที่องค์กรได้รับจากเหตุการณ์จริงไม่เป็นไปตามที่คาดหวังหรือวางแผนไว้ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น ต้นทุนที่เกิดขึ้นจริงสูงกว่างบประมาณที่กำหนดไว้ เป็นต้น

นอกจากนี้ยังมีความเสี่ยงบางประเภทที่มีความหมายในทางลบ โดยจะมองความเสี่ยงว่าเป็นอันตราย เป็นตัวขัดขวางทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ หรือสร้างความเสียหายต่อองค์กร แต่ในความเป็นจริงแล้วการที่เราสามารถระบุปัจจัยเสี่ยงออกมาได้ ย่อมทำให้เราสามารถที่จะเลือกได้ว่าจะตัดสินใจในการบริหารความเสี่ยง รวมถึงนำไปสู่การประเมินตนเองเพื่อควบคุมความเสี่ยงนั้น ๆ ได้อย่างไร

เราจะมีทางเลือกในการบริหารความเสี่ยงอย่างไรได้บ้าง

1. การหลีกเลี่ยงความเสี่ยง (Avoidance) เป็นการไม่ยอมรับความเสี่ยงนั้นเลย จึงอาจต้องทำให้เปลี่ยนวัตถุประสงค์ ตัวอย่างเช่น เมื่อเราได้พิจารณาแล้วเห็นว่า ประเทศใดกำลังเผชิญกับปัญหาด้านความมีเสถียรภาพทางการเงินและการเมืองสูง ย่อมทำให้เราตัดสินใจไม่เข้าไปลงทุนในประเทศนั้น นั่นคือการที่เราไม่ยอมรับความเสี่ยงที่เกิดขึ้นจากการเข้าไปลงทุนในประเทศนั้น

2. การลดหรือบรรเทาความเสี่ยง (Mitigation), การควบคุม (Control) เป็นการที่บริษัทตัดสินใจที่จะนำการควบคุมภายในมาใช้ในการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นจนทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้

3. การโยกย้าย, โอนย้ายความเสี่ยง (Transferring) เป็นการโอนความเสี่ยงไปให้ผู้อื่นรับผิดชอบ เนื่องจากความเสี่ยงบางอย่างบริษัทสามารถที่จะโยกย้ายความรับผิดชอบนั้นไปให้กับบุคลลที่สามรับผิดชอบแทนได้ เช่นการทำประกันอุบัติเหตุให้กับพนักงาน นั่นคือแทนที่บริษัทจะต้องใช้ทรัพยากรบางส่วนมาลงทุนดูแลงานด้านอุบัติเหตุเองให้กับพนักงานเอง บริษัทก็ไปจ้างบริษัทตัวแทนที่ทำหน้าที่นี้โดยตรง เข้ามารับผิดชอบดูแลแทน โดยยอมเสียค่าเบี้ยประกันจำนวนหนึ่งที่สามารถควบคุมได้แน่นอนให้กับบริษัทตัวแทน เพื่อเป็นการควบคุมความเสี่ยงให้กับบริษัทตน

4. การยอมรับความเสี่ยง (Residual risk) ถ้าความเสี่ยงยังอยู่ในระดับที่ยอมรับได้ บริษัทก็จะยังไม่เข้าไปดำเนินการใด ๆ เป็นพิเศษเพื่อที่จะลด โยกย้าย หรือหลีกเลี่ยงความเสี่ยง

หากเรามีการนำกรอบการกำหนดความเสี่ยงมาใช้ ก็จะช่วยให้สามารถระบุปัจจัยเสี่ยงได้อย่างมีประสิทธิภาพและประสิทธิผลมากขึ้น และจะทำให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ง่ายขึ้นด้วย ซึ่งกรอบการกำหนดความเสี่ยงส่วนใหญ่ของธุรกิจที่สำคัญ เพื่อการบริหารเบื้องต้นที่ผมจะขอกล่าวถึงมี 10 ประการ คือ

1. การบันทึกบัญชีและสารสนเทศไม่ถูกต้อง บิดเบือน/ ไม่ทันเวลา/ ซ้ำซ้อน/ ไม่บูรณาการ ฯลฯ
2. หลักการบัญชี นโยบายการบัญชีที่ไม่อาจยอมรับได้
3. ธุรกิจหยุดชะงัก หรือเสียชื่อเสียง/ความน่าเชื่อถือ IT/Logic/พนักงาน/กฎเกณฑ์ ฯลฯ
4. การถูกรัฐ/รัฐบาลตำหนิหรือการถูกลงโทษจากหน่วยงานรัฐ จากการไม่ปฏิบัติตามนโยบาย หลักการ ระเบียบ คำสั่งฯ ที่กำหนด หรือจากการทำให้ส่วนของความเป็นเจ้าของทุนลดค่า/ด้อยค่าลงหรือความเข้าใจในการตีความ กระบวนการที่ขัดกับเป้าหมายหลักของรัฐโดยรวม
5. ต้นทุนสูง ค่าใช้จ่ายสูง จากนโยบาย/การบริหาร/การจัดการ
6. การไม่รับรู้รายจ่ายหรือผลขาดทุน/ความเสียหาย ที่เกิดจาก
– การถ่ายโอนผลประโยชน์ขององค์กรไปสู้บริษัทร่วมการงานแบบไม่ตั้งใจ/ตั้งใจ
– การบริหาร Value และ Hidden Value อย่างไม่รู้คุณค่าที่แท้จริงหรือรู้ไม่เท่าทัน
– การแก้ไขสัญญาโดยองค์กรเสียเปรียบทั้งทางตรงและทางอ้อมจากคุณค่าซ่อนเร้น
– การเปลี่ยนแปลงสู่กฎเกณฑ์ กฎหมาย การจัดระเบียบ จากการแข่งขัน ฯลฯ
7. การทำให้สินทรัพย์ ส่วนของผู้ลงทุน/เจ้าของสูญเสีย หรือถูกทำลาย หรือลดมูลค่าแบบตั้งใจ หรือคิดไปไม่ถึงทั้งในปัจจุบันและอนาคต รวมทั้งการถูกฟ้องร้องในภายหลัง เช่น การลดสินทรัพย์และส่วนของผู้เป็นเจ้าของโดยไม่จำเป็น และไม่ถูกต้องตามขั้นตอน กฎเกณฑ์ นโยบาย ระเบียบ วิธีปฏิบัติทางบัญชี….ฯลฯ
8. ผู้มีผลประโยชน์ร่วมไม่พอใจและ/หรือเสียเปรียบการแข่งขัน เช่น
– จากการเปลี่ยนแปลงกฎเกณฑ์ ระเบียบ หลักการที่ขัดกับดุลภาพโดยรวมของการจัดการ
– จากพื้นฐานและความพร้อมรวมทั้งสภาพแวดล้อมที่แตกต่างกัน ฯลฯ
9. การทุจริตหรือขัดแย้ง/ทับซ้อน ทางผลประโยชน์ของผู้บริหาร/พนักงาน เช่น
– จากสัญญา/บริษัทร่วมการงาน-ร่วมลงทุน
– จากผลประโยชน์ Hidden Value และความไม่ซื่อสัตย์ต่อตนเองและวิชาชีพ
– จากบริษัทที่ปรึกษาต่าง ๆ ที่ผลงานไม่คุ้มค่าเงินหรือไม่ได้ใช้ผลงานนั้น ฯลฯ
10. คุณภาพการบริหารความเสี่ยง นโยบาย กลยุทธ์ไม่เหมาะสม ไม่เพียงพอและ/หรือกระบวนการตัดสินใจไม่ถูกต้อง เช่น
– จากการเข้าใจกระบวนการบริหารความเสี่ยงที่แตกต่างกัน
– จากกระบวนความคิดที่ไม่เป็นระเบียบ พิจารณาอย่างขาดบูรณาการ
– ข้อมูลข่าวสารไม่ถูกต้อง

แม้ว่าความเสี่ยงดังกล่าวข้างต้นอาจไม่ใช่สิ่งที่ทุกองค์กรต้องเผชิญอยู่ทุกวัน แต่ความเสี่ยงเหล่านี้จะมีลักษณะเป็นสากลอันจะช่วยให้องค์กรสามารถระบุปัจจัยเสี่ยงและจัดการกับความเสี่ยงได้ดียิ่งขึ้น และทำให้การบรรลุวัตถุประสงค์เป็นไปได้มากขึ้นด้วย

กรอบความเสี่ยงเพื่อการบริหารอีกรูปแบบหนึ่งจะพิจารณาใช้ในเรื่องต่าง ๆ ดังนี้
1. ความเสี่ยงภายนอก เช่น ลูกค้า, เทคโนโลยี, กฎหมาย
2. ความเสี่ยงภายใน เช่น การจัดองค์กรใหม่, ทรัพยากรขององค์กร, ทัศนคติของผู้คนในองค์กร
3. ความเสี่ยงพิเศษที่เกี่ยวกับสภาพแวดล้อมที่เปลี่ยนแปลงไป

ผมขอยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการและในบางมุมมอง เพื่อให้เห็นภาพของการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่สามารถนำไปประยุกต์ใช้ในการปฏิบัติงาน ตามแผนภาพด้านล่าง โดยจะขอนำเสนอเพียงบางส่วน เพื่อไม่ให้เป็นการรบกวนพื้นที่ในการพูดคุย (เขียน) มากเกินไป สำหรับตัวอย่างแบบเต็มสามารถกด Download ได้ที่นี่ครับ

ความเสี่ยงที่สำคัญโดยทั่วไปขององค์กร ขึ้นอยู่กับลักษณะธุรกิจ ความเข้าใจในงาน และ Business process ซึ่งความเสี่ยงที่สำคัญ ๆ ขององค์กร คือ
1. บุคลากร ความเป็นผู้นำ/การประสานงาน/ความซื่อสัตย์/จิตสำนึก/ความมุ่งมั่น/ความกล้าหาญ/ความสามารถ
2. สภาพแวดล้อมของธุรกิจ ที่เกี่ยวข้องกับ การแข่งขัน/การให้รางวัล/กฎเกณฑ์/วัฒนธรรม
3. เทคโนโลยี/เทคโนโลยีสารสนเทศ ในเรื่องของรายได้รั่วไหล/ความต่อเนื่อง/ความปลอดภัย/ข้อมูลสารสนเทศ และการบูรณาการ
4. ระบบงาน/โครงสร้างองค์กร (IT Governance)
5. กลยุทธ์ คือการพัฒนากลยุทธ์ ความชัดเจน การนำกลยุทธ์สู่การปฏิบัติ
6. ลูกค้า/ผู้มีประโยชน์ร่วม/ผู้กำกับฯ ในด้าน การจัดหา/ความพึงพอใจ/การบริการ
7. บริษัทร่วมการงาน/บริษัทในเครือ/บริษัทผู้ให้บริการ
8. การติดตาม/การจัดการ
9. การลงทุน/ความคุ้มค่าทางการเงิน/การบริหารรายได้/โครงการที่หมดยุค
10. กฎหมาย/กฎเกณฑ์/นโยบาย ที่เกี่ยวกับการเปลี่ยนแปลงและดุลยภาพ
11. การเงิน/รายได้/รายได้ทางเศรษฐกิจ ในเรื่องของการแข่งขันเสรี/การแปรสัญญา/ภาษี/การจัดการ/บัญชี

ผู้บริหารควรทำความเข้าใจถึงการเปลี่ยนแปลงที่มีผลต่อธุรกิจ และเหตุแห่งความเสี่ยงที่เกิดขึ้นตลอดเวลา โดยการตั้งคำถามตนเองเสมอว่า “สามารถเข้าใจถึงการเปลี่ยนแปลงที่เกิดขึ้นแก่ธุรกิจ หรือความเสี่ยงที่อาจเกิดขึ้นจากการเปลี่ยนแปลงนั้นเพียงใด” และ “องค์กรได้มีแนวปฏิบัติทางธุรกิจ รวมทั้งการควบคุมภายในอย่างเพียงพอเหมาะสมต่อการเปลี่ยนแปลงหรือไม่” เนื่องจากผู้บริหารมีหน้าที่ในการคัดเลือกวิธีที่จะจัดการกับความเสี่ยงในแต่ละประเภทให้เหมาะสม เนื่องจากวิธีการจัดการกับความสี่ยงในแต่ละประเภทนั้นย่อมแตกต่างกัน ไม่ควรเลือกใช้เทคนิคเดิม ๆ มาจัดการกับความเสี่ยงทุกประเภท

การระบุความเสี่ยงจะช่วยให้เราสามารถแยกความแตกต่างระหว่างสาเหตุและผลกระทบของความเสี่ยงได้ ซึ่งการที่เราสามารถแยกสาเหตุและผลกระทบของความเสี่ยงออกมาได้ ย่อมทำให้เราเลือกใช้การควบคุมภายในมาจัดการกับสาเหตุของความเสี่ยงมากกว่าการจัดการกับผลกระทบที่เกิดจากความเสี่ยง
– ผลหรือผลกระทบของความเสี่ยง คือผลลัพธ์สุดท้าย, อันตรายที่เกิดขึ้นจากการสูญเสียโอกาสในการบรรลุวัตถุประสงค์เมื่อเกิดความเสี่ยง
– สาเหตุของความเสี่ยง คือเหตุที่ทำให้เกิดความเสี่ยงขึ้น

ตัวอย่างของความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามกฎ
– ผลกระทบของความเสี่ยง ได้แก่ การถูกทำโทษ การจำคุก การประกาศเมื่อไม่ปฏิบัติตามกฎ
– สาเหตุของความเสี่ยง ได้แก่ พนักงานไม่ทราบกฎระเบียบนั้น พนักงานไม่เห็นว่ากฎนั้นมีความสำคัญ

ถ้าผลกระทบนั้นกระทบต่อการบรรลุผลสำเร็จของเป้าหมายอย่างมีนัยสำคัญ เราอาจต้องพิจารณาจัดให้มีการควบคุมภายใน เข้ามาจัดการกับสาเหตุของความเสี่ยงนั้น แทนที่จะรอจัดการกับผลกระทบของความเสี่ยงที่เกิดขึ้น

ข้อผิดพลาดทั่วไปในการระบุปัจจัยเสี่ยง
1. การอ้างอิงเป็นวงกลม เป็นการระบุปัจจัยเสี่ยงอย่างง่าย ๆ ที่แปรผันกับวัตถุประสงค์ เช่น ถ้ากำหนดให้วัตถุประสงค์คือ “การทำให้แน่ใจว่าต้องมีการอนุมัติใบแจ้งหนี้ก่อนที่จะมีการทำจ่ายเงิน” ดังนั้น เราสามารถระบุความเสี่ยงได้ว่า “มีการทำจ่ายใบเสนอราคาไปก่อนที่จะมีการอนุมัติให้จ่ายเงิน”
2. การระบุผลกระทบที่เกิดขึ้นแทนที่จะระบุถึงสาเหตุ จากวัตถุประสงค์ข้างต้น ความเสี่ยงเรื่องของการสำเนาใบจ่ายเงินอาจไม่ใช่ความเสี่ยงที่แท้จริงแต่เป็นผลกระทบที่เกิดขึ้น ซึ่งอาจนำไปใช้ในค่าใช้จ่ายที่ไม่จำเป็นหรือใช้ในการทุจริตได้
3. การควบคุมที่ไม่เป็นผล การฝึกอบรม การทบทวน การจัดสรรทรัพยากร เป็นว่าเป็นการควบคุมทั้งหมด แต่ถ้าการควบคุมเหล่านี้ทำงานอย่างไม่มีประสิทธิผล เช่น การฝึกอบรมไม่เหมาะสม การไม่ได้รับการทบทวนจากหัวหน้างานที่เพียงพอ และการจัดสรรทรัพยากรน้อยเกินไป การควบคุมเหล่านั้นก็จะสร้างปัจจัยเสี่ยงตัวอื่นขึ้นมาแทน

การให้พนักงานซึ่งเป็นผู้ที่มีส่วนรับผิดชอบในการทำให้วัตถุประสงค์บรรลุผลสำเร็จ เข้ามามีส่วนร่วมในการระบุปัจจัยเสี่ยง และออกแบบการควบคุมความเสี่ยงจะทำให้ได้ประโยชน์มากขึ้น เนื่องจากพนักงานเป็นผู้ที่ใกล้ชิดกับเหตุการณ์จริงมากที่สุด ย่อมรู้รายละเอียดของความเสี่ยงนั้นได้เป็นอย่างดี ทำให้การออกแบบการควบคุมความเสี่ยงนั้น มีความเป็นไปได้มากขึ้น อันจะเป็นหนทางที่จะทำให้องค์กรบรรลุวัตถุประสงค์ที่ต้องการ

การบริหารความเสี่ยง (Risk Management)
การบริหารความเสี่ยง หมายถึง กระบวนการที่ใช้ในการระบุและวิเคราะห์ความเสี่ยง/ความไม่แน่นอนที่จะมีผลกระทบต่อการบรรลุวัตถุประสงค์และเป้าหมายขององค์กร รวมทั้งกำหนดแนวทางการควบคุมหรือการบริหารความเสี่ยงให้คงเหลือ (Residual Risk) ที่องค์กรยอมรับได้ รวมทั้งการสร้างโอกาสที่จะพัฒนาและสร้างมูลค่าเพิ่มให้กับองค์กรตามสภาวะการณ์ที่เกิดขึ้น

การบริหารความเสี่ยง เป็นกลวิธีที่เป็นเหตุผลที่นำมาใช้ในการบ่งชี้ วิเคราะห์ ประเมิน จัดการ ติดตาม และสื่อสารความเสี่ยงที่เกี่ยวข้องกับกิจกรรมหน่วยงาน หรือกระบวนการดำเนินงานขององค์กร เพื่อช่วยให้องค์กรลดความสูญเสียให้เหลือน้อยที่สุด และเพิ่มโอกาสให้แก่ธุรกิจมากที่สุด การบริหารความเสี่ยงยังหมายถึง การประกอบกันอย่างลงตัวของวัฒนธรรมขององค์กร กระบวนการและโครงสร้างองค์กร ซึ่งมีผลโดยตรงต่อประสิทธิภาพการบริหาร และผลได้ผลเสียของธุรกิจ

วัตถุประสงค์ทางธุรกิจและสภาพแวดล้อมที่ดำเนินธุรกิจอยู่มีการพัฒนาตลอดเวลา ทำให้ความเสี่ยงที่เกี่ยวข้องเปลี่ยนแปลงตามไปด้วยอย่างต่อเนื่อง การบริหารความเสี่ยงที่มีประสิทธิภาพคือการบริหารที่เอื้อประโยชน์ต่อธุรกิจในการจัดการและควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ แม้ว่าความเสี่ยงไม่สามารถถูกกำจัดให้หมดไป แต่ก็จะทำให้การจัดการความเสี่ยงอยู่ในระดับที่เหมาะสมกับผลตอบแทนที่ยอมรับได้

สำหรับการควบคุมความเสี่ยงที่เป็นกระบวนการที่สำคัญและจำเป็นต่อ CSA ซึ่งมีผลต่อหน่วยงานและองค์กรนั้น ผมจะมาเล่าสู่กันฟังในครั้งต่อไปนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (1)

สวัสดีครับทุกท่าน หลังจากที่ห่างหายจากการเล่าสู่กันฟังในเรื่องราวหรือหมวดหมู่ของ IT Audit และ Non-IT Audit กันมาพอสมควร ผมจำได้ว่ายังมีเรื่องราวต่าง ๆ อีกมากมายที่จะแบ่งปันประสบการณ์ความรู้ ในมุมองของการการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือ CSA / Controls Self Assessment ซึ่งได้คุยกันก่อนหน้านี้มาบ้างแล้ว โดยได้แบ่งเป็นตอน ๆ เพื่อให้ผู้สนใจและติดตามเรื่องราวของ CSA ได้เข้าใจและไม่เกิดความสับสนเกี่ยวกับการประเมินตนเองเพื่อควบคุมความเสี่ยง ทั้งนี้เพราะการประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดในหลาย ๆ ส่วนที่อาจกล่าวได้ว่าเกี่ยวข้องสัมพันธ์ เชื่อมโยง เหมือนหรือคล้ายคลึงกันกับการบริหารความเสี่ยงจนไม่สามารถแยกแยะออกจากกันได้ ซึ่งขึ้นอยู่การนำไปประยุกต์ใช้กับหน้าที่การปฏิบัติงาน หน่วยงาน/องค์กร หรือขึ้นอยู่กับมุมมองของระดับการบริหารส่วนไหน ระดับใด ที่ต้องการควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appitite) แต่ในหมวดหมู่นี้ผมจะขอกล่าวเน้นถึง CSA ในส่วนที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ มากกว่าในส่วนของการบริหารความเสี่ยงขององค์กรทั่วไปโดยรวม ซึ่งผมได้เล่าสู่กันฟังในหมวดหมู่ของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework หรือสามารถติดตามจากเอกสารที่ให้ Download นี้ครับ

การตรวจสอบภายในเป็นเรื่องราวของความสัมพันธ์กันระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยมีหลักพื้นฐานว่า “การประเมินความเสี่ยงเป็นหัวใจสำคัญของวิธีการประเมินตนเองทุกประเภท” การประเมินตนเองจึงมุ่งเน้นด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง อันจะช่วยให้เกิดความเข้าใจในความหมายของแนวคิดเหล่านี้ได้ง่ายและเร็วยิ่งขึ้น

CSA-Control Self Assessment ได้ให้ความหมายของวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงไว้ดังนี้
– วัตถุประสงค์ เป็นสิ่งที่องค์กรต้องการทำให้สำเร็จ (เป็นผลสำเร็จที่องค์กรต้องการ)
– ความเสี่ยง เป็นอุปสรรค/สิ่งกีดขวางทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้ได้
– การควบคุมความเสี่ยง เป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้โดยการบริหารจัดการกับความเสี่ยงเหล่านั้น

แม้ว่าความหมายข้างต้นจะนิยมใช้กันอย่างกว้างขวาง แต่ความหมายเหล่านี้ก็ยังขาดความเป็นทางการในกรอบการควบคุมความเสี่ยงอยู่ การเข้าใจความหมายของแนวคิดเรื่องการควบคุม อาจศึกษาได้จากกระบวนการประเมินการควบคุมอันประกอบด้วยขั้นตอนต่าง ๆ ดังนี้
1. กำหนดวัตถุประสงค์ ควรกำหนดให้มีความชัดเจน สามารถทำความเข้าใจความหมาย ที่มาและคุณค่าได้ไม่ยากนัก เมื่อสามารถกำหนดวัตถุประสงค์ได้แล้วจึงนำไปสื่อสารให้แก่หน่วยงานต่างๆ ที่เกี่ยวข้องในองค์กรทราบ เพื่อให้มีความเข้าใจตรงกัน
2. การบ่งชี้ความเสี่ยง การระบุปัจจัยเสี่ยงที่อาจเป็นตัวขัดขวาง/อุปสรรคต่อการบรรลุวัตถุประสงค์
3. ระบุวิธีการควบคุมความเสี่ยงที่จะสามารถบรรเทาความเสี่ยงลงได้
จากขั้นตอนต่าง ๆ ข้างต้น เราอาจอธิบายง่าย ๆ ได้ว่า การควบคุมเริ่มจากการกำหนดวัตถุประสงค์ โดยระดมผู้มีส่วนร่วมมาช่วยกันวิเคราะห์และหาข้อสรุปออกมา เมื่อกำหนดวัตถุประสงค์ออกมาได้แล้ว ขั้นตอนต่อไปก็นำมาบ่งชี้ความเสี่ยงและระบุวิธีการควบคุมความเสี่ยงเหล่านั้นต่อไป

วัตถุประสงค์
ความหมายของคำว่า “วัตถุประสงค์” สามารถมองได้เป็นหลายมุมมอง เช่น
– เป็นผลลัพธ์ (Outcome) ที่องค์กรต้องการบรรลุผลสำเร็จในการดำเนินงาน
– เป็นก้าวแรกของการบริหารความเสี่ยง
– มิได้เป็นวิธีการ กระบวนการ หรือการดำเนินงานในเรื่องใดเรื่องหนึ่ง

วัตถุประสงค์เป็นหลักยึดสำหรับการวางแผน การจัดองค์กร การกำหนดวิธีการปฏิบัติงานและการควบคุมการดำเนินงาน ถ้าขาดวัตถุประสงค์ที่ชัดเจนและขาดการสื่อสารอย่างทั่วถึงย่อมจะสร้างความสับสนในการทำงานของบุคลากรทุกระดับ ดังนั้นผู้บริหารจึงควรใช้วัตถุประสงค์ให้เป็นประโยชน์ดังนี้
1. เป็นแนวทางการตัดสินใจ
2. เป็นแนวทางในการเพิ่มพูนประสิทธิภาพขององค์กร
3. เป็นแนวทางในการประเมินผลการปฏิบัติงาน

การเข้าใจความหมายของวัตถุประสงค์ย่อมช่วยให้สามารถบรรลุผลสำเร็จตามที่กำหนดไว้ได้ง่ายกว่าการเน้นที่วิธีการในการบรรลุวัตถุประสงค์ การกำหนดวัตถุประสงค์ไว้สูงเกินไปจะทำให้บรรลุวัตถุประสงค์ได้ยาก และยังเกิดความเสียเวลาในการทำความเข้าใจความหมาย ที่มา และคุณค่าของวัตถุประสงค์ ซึ่งอาจทำให้เราไม่สามารถบรรลุวัตถุประสงค์ที่ต้องการได้เลย เมื่อวัตถุประสงค์เป็นผลลัพธ์ที่องค์กรต้องการบรรลุผลสำเร็จ เปรียบเสมือนเส้นชัยขององค์กรที่ทุกฝ่ายต้องร่วมมือกันฟันฝ่าไปให้ถึง ดังนั้นทุกฝ่ายในองค์กรจึงต้องทำความเข้าใจถึงความหมาย ที่มา ของวัตถุประสงค์ให้ชัดเจนว่าวัตถุประสงค์เหล่านี้ถูกกำหนดมาขึ้นมาอย่างไร

ในองค์กรธุรกิจที่มีทีมงานที่มีกระบวนการกำหนดวัตประสงค์ที่ดี และเห็นว่าวัตถุประสงค์มีส่วนสำคัญที่จะช่วยในการดำเนินธุรกิจ ย่อมเป็นองค์กรที่มีความเหมาะสมในการนำการประเมินตนเองเพื่อการควบคุมความเสี่ยงไปใช้ปฏิบัติ ในการกำหนดวัตถุประสงค์ที่ดีควรต้องมีการพิจารณาให้รอบคอบและมีความเหมาะสมกับองค์กรในขณะนั้น โดยต้องระดมความคิดเห็นของบุคลากรหลาย ๆ ฝ่ายเพื่อช่วยในการกำหนดวัตถุประสงค์ วัตถุประสงค์จึงเป็นผลลัพธ์ที่องค์กรต้องการไม่ใช่วิธีการในการทำให้ผลลัพธ์นั้นบรรลุผลสำเร็จ ซึ่งได้มีการแยกความแตกต่างระหว่างวัตถุประสงค์และวิธีการบรรลุวัตถุประสงค์ออกมาให้เห็นภาพชัดเจนขึ้น ดังนี้

คำถามที่ใช้ในการแยกวัตถุประสงค์ออกจากวิธีการบรรลุวัตถุประสงค์ ได้แก่
1. เป็นผลลัพธ์สุดท้ายที่ต้องการหรือไม่
2. เป็นหนทางในการบรรลุวัตถุประสงค์หรือเป็นวัตถุประสงค์จริง
3. เป็นวิธีการหรือผลลัพธ์
4. ทำไมต้องทำสิ่งนั้น

ข้อผิดพลาดทั่วไปในการระบุวัตถุประสงค์
1. ระบุวิธีการ (งบประมาณหรือการอนุมัติ) เป็นผลลัพธ์
2. ผิดพลาดในการพิจารณารูปแบบของวัตถุประสงค์ทั้งหมด
3. ผิดพลาดในการพิจารณาความสัมพันธ์ระหว่างวัตถุประสงค์ซึ่งอาจไม่เกี่ยวข้องสัมพันธ์กัน หรือมีความขัดแย้งกัน

วัตถุประสงค์ระดับสูงขององค์กรโดยรวมบางข้ออาจไม่สามารถประยุกต์ใช้ได้เท่าเทียมกันในทุกแผนก ตัวอย่างเช่น
– วัตถุประสงค์ด้านการเพิ่มรายได้ต้องประยุกต์ใช้กับหน่วยงานที่รับผิดชอบงานด้านการขาย
– วัตถุประสงค์ด้านการลดค่าใช้จ่ายต้องประยุกต์ใช้กับหน่วยงานที่ต้องดูแลด้านค่าใช้จ่ายจำนวนมาก

ลำดับขั้นของวัตถุประสงค์
การกำหนดวัตถุประสงค์อาจไม่จำเป็นต้องกำหนดไว้เพียงขั้นเดียว อาจสามารถกำหนดไว้เป็นลำดับขั้นเพื่อให้เหมาะสมกับผู้ที่เกี่ยวข้องหรือผู้ที่รับผิดชอบดังนี้
1. วัตถุประสงค์ขององค์กรโดยรวม ถือเป็นวัตถุประสงค์หลักที่ผู้บริหารระดับสูงได้ตัดสินใจกำหนดขึ้น อันจะมีผลบังคับใช้ทั่วทั้งองค์กร เป็นวัตถุประสงค์สูงสุดที่แสดงจุดมุ่งหมายอันเป็นผลลัพธ์ขั้นสุดท้าย ที่ถือเป็นวัตถุประสงค์ร่วมของทุกหน่วยงาน
2. วัตถุประสงค์ของหน่วยงานระดับฝ่าย ถือเป็นวัตถุประสงค์เฉพาะด้านที่ผู้บริหารระดับกลางโดยคำปรึกษา (แนะนำ หรือชี้นำ สุดแล้วแต่กรณี) ของผู้บริหารระดับสูงจะตัดสินใจกำหนดขึ้น เพื่อใช้เป็นเป้าหมายในการดำเนินงานของแผนกต่าง ๆ ในหน่วยงาน หากทุกหน่วยงานสามารถทำงานให้บรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนด ก็จะทำให้กิจการโดยรวมบรรลุวัตถุประสงค์ไปด้วย
3. วัตถุประสงค์ย่อย เป็นการกำหนดวัตถุประสงค์ของงานประจำหรืองานเฉพาะโครงการ ที่สอดรับกับวัตถุประสงค์หลักและวัตถุประสงค์เฉพาะระดับฝ่ายงานดังที่กล่าวแล้ว การตัดสินใจที่จะกำหนดวัตถุประสงค์ระดับนี้ เป็นความรับผิดชอบของนักบริหารระดับกลาง ร่วมกับนักบริหารระดับต้นโดยความเห็นชอบ หรือการรับรู้ของนักบริหารระดับสูง

ลักษณะของวัตถุประสงค์ที่ดี (SMART principle)
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้นำไปปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน ต้องไม่ทำให้ผู้ปฏิบัติตีความหมายของวัตถุประสงค์ได้หลายทาง เพราะจะทำให้เกิดความสับสนเพราะถ้าแต่ละคนตีความหมายออกมาไม่เหมือนกัน การนำไปปฏิบัติอาจไม่สอดคล้องไปในแนวทางเดียวกัน จึงอาจเกิดความขัดแย้งกันจนทำให้ไม่สามารถบรรลุวัตถุประสงค์ได้
2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือ ในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย เพราะถ้าเรากำหนดวัตถุประสงค์ไว้โดยไม่สามารถวัดผลได้ เราย่อมไม่สามารถรู้ได้แน่ชัดว่าเราได้ดำเนินการมาถึงขั้นใดแล้ว และเมื่อใดจึงจะเรียกว่าบรรลุผลสำเร็จ
3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ นั่นคือ ในการกำหนดวัตถุประสงค์นั้น ไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ เพราะจะทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะไม่ว่าจะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรม เพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกัน คือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้
4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความเป็นเหตุเป็นผล และมีความเป็นจริง
5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

กรอบของวัตถุประสงค์หลักขององค์กรโดยทั่วไป
1. เพื่อให้เกิดประสิทธิผลและประสิทธิภาพในการทำงาน
– สร้างผลิตภัณฑ์และให้บริการที่เป็นเลิศ
– สร้างผลกำไรสูงสุด และมีต้นทุนต่ำที่สุด เพื่อเพิ่มคุณค่าทางเศรษฐศาสตร์ต่อผู้มีผลประโยชน์ร่วม
– จัดให้มีกระบวนการทำงานแบบสอดประสานทั่วทั้งองค์กรภายใต้ระบบเทคโนโลยีที่ดี คุ้มค่าเงินตามโครงสร้างที่สัมพันธ์กับระบบงานอย่างแท้จริง
– การรักษาและสร้างคุณภาพ คุณค่าเพิ่มจากสินทรัพย์ที่มีตัวตนและไม่มีตัวตนอย่างรู้คุณค่าของ Value และ Hidden Value (จากลักษณะธุรกิจ พนักงานและสารสนเทศ)
– เสริมสร้างและมีส่วนช่วยให้องค์กรบรรลุภารกิจและวิสัยทัศน์ตามที่กำหนด
– จัดให้มีสภาวะแวดล้อมที่เหมาะสมต่อพนักงานและผู้มีผลประโยชน์ร่วม
2. ความน่าเชื่อถือของระบบรายงาน
– รายงานที่ใช้ภายในองค์กรประเภทต่าง ๆ ที่ใช้ในการตัดสินใจ
– รายงานที่ใช้ภายนอกองค์กรเพื่อผู้ถือหุ้น ผู้กำกับดูแล และผู้มีผลประโยชน์ร่วม
– รายงานเกี่ยวกับการบริหารและการดำเนินงาน
3. การปฏิบัติตามกฎต่าง ๆ
– ตามกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบการปฏิบัติ ฯลฯ จากภายนอก
– ตามนโยบาย ระเบียบ คำสั่ง ข้อบังคับ ขั้นตอนการปฏิบัติงานภายในองค์กร

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (4)

จากรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบต่าง ๆ นั้น ดังที่ผมได้กล่าวไปแล้วว่า การทำ CSA ส่วนใหญ่จะใช้วิธีการประชุมเชิงปฏิบัติการในการทำ CSA แต่ก็ยังมีวิธีการสำรวจและวิธีการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมด้วยเช่นกัน มาติดตามกันว่า 2 วิธีดังกล่าวนี้มีรายละเอียดอย่างไรบ้างกันดีกว่าครับ

วิธีการสำรวจ

แบบสอบถามหรือการทำสำรวจเพื่อ CSA ใช้แบบฟอร์มการสำรวจ ในการเสนอโอกาสเพื่อคำตอบง่าย ๆ ว่า “ใช่/ไม่ใช่” หรือ “มี/ไม่มี” เจ้าของกระบวนการใช้ผลของการสำรวจในการประเมินโครงสร้างการควบคุม

ผู้ตรวจสอบได้มีการใช้แบบสอบถามมาเป็นเวลาหลายปีและนำมาใช้ในการทำ CSA ซึ่งไม่มีความแตกต่างกันมากนัก สิ่งหนึ่งที่แตกต่างระหว่างแบบสอบถามที่ใช้ในการตรวจสอบ และแบบสอบถามที่ใช้ในการทำ CSA คือแบบสอบถามเพื่อใช้ใน CSA จำเป็นต้องเขียนตามภาษาของผู้รับ ไม่ใช้ของผู้ตรวจสอบ เนื่องจากไม่มีผู้รับผิดชอบในการตีความหรือไขข้อสงสัยของคำถามให้ผู้รับ ดังนั้นพวกเขาจะตอบคำถามตามที่เขาตีความหรือข้ามไปหากไม่เข้าใจ

แบบสอบถามถูกใช้บ่อยเมื่อวัฒนธรรมองค์กรไม่ยอมรับหรือสนับสนุนให้มีส่วนร่วมในการตอบในการประชุมเชิงปฏิบัติการ (เมื่อผู้เข้าร่วมไม่อภิปรายอย่างเปิดเผยตรงไปตรงมา) ที่เป็นเช่นนี้เพราะกลัวการโต้ตอบจากผู้บริหาร กลัวการสนับสนุนของกลุ่มเพื่อน หรือปัจจัยอื่น ๆ

การสำรวจสามารถใช้เพื่อขยายขอบเขตที่ครอบคลุมของการประเมินตนเองได้ โดยสามารถส่งแบบสอบถามให้กับคนเป็นจำนวนมากได้ในครั้งเดียว แต่อาจต้องใช้เวลาและความร่วมมืออย่างมากในการรวมคนกลุ่มเดียวกันให้เข้ามาร่วมประชุมเชิงปฏิบัติการ

การตอบสนองของการสำรวจอาจไม่มีการระบุชื่อหรือผู้ตอบอาจถูกขอร้องให้เปิดเผยชื่อ ซึ่งจะส่งผลว่าการมองการตอบนั้น ตอบอย่างซื่อสัตย์และถูกต้องได้อย่างไร ผู้ใช้การสำรวจเกือบทั้งหมดเห็นด้วยว่าการใช้การสำรวจโดยไม่มีการติดตามผลหรือการตรวจสอบการตอบทำให้ไม่ได้ผลลัพธ์ที่ถูกต้อง หากผู้ตอบรู้ว่าไม่มีใครติดตามการตอบของพวกเขา ก็จะมีแนวโน้มการตอบแบบสำรวจในลักษณะที่จะทำให้มีจำนวนงานที่ติดตามน้อยที่สุด ผู้ตอบจำนวนมากกล่าวได้ว่าทุกสิ่งทุกอย่างลงตัว แม้ว่าไม่เป็นความจริง ถ้าพวกเขารู้ว่าไม่มีใครอาจจับเขาได้

การสำรวจสามารถเป็นที่ชื่นชอบในการประชุมเชิงปฏิบัติการบนพื้นฐาน CSA ภายในสภาพแวดล้อมดังต่อไปนี้
• วัฒนธรรมองค์กรไม่พร้อมที่จะแบ่งปันข่าวสารข้อมูลที่ละเอียดอ่อนต่อการควบคุมในการประชุมเชิงปฏิบัติการแบบเปิดเผย
• ผู้บริหารมีความกังวลอย่างมากเกี่ยวกับเวลาที่ต้องการให้ลูกจ้างเข้าร่วมการประชุม
• ผู้ตรวจสอบมองหาหนทางลดค่าใช้จ่ายเพื่อให้ได้มาซึ่งข้อมูลเกี่ยวกับความเสี่ยงเพื่อใช้ในการเตรียมแผนการ ตรวจสอบประจำปี
• ไม่ได้แสดงทักษะในการตรวจสอบในการประชุมเพื่ออำนวยความสะดวก
• ขอบเขตของการประเมินตนเองคือความกว้างขวางขององค์กรและความต้องการข้อมูลข่าวสารอย่างรวดเร็ว

เทคนิคของการสำรวจที่ประสบความสำเร็จ
แม้ว่าจะมีการกล่าวไว้อย่างมากว่า การทำการสำรวจง่ายกว่าการวางแผนและการอำนวยความสะดวกในการประชุม CSA แต่ยังคงใช้ทักษะของตนเองอยู่ด้วย สิ่งที่ดีที่สุดคือการเตรียมการประชุมโดยการฝึกฝน แต่นั่นหมายความว่าจะต้องเกิดการผิดพลาดก่อน การใช้งานใครบางคนให้เกิดประโยชน์สูงสุดด้วยการนำประสบการณ์มาใช้ในการเขียนแบบสำรวจเป็นสิ่งสำคัญ หากส่วนงานเลือกวิธีการสำรวจในการทำ CSA ส่วนงานบริหารทรัพยากรมนุษย์สามารถช่วยได้โดยใช้เทคนิคการสำรวจ

การแนะนำที่เป็นประโยชน์ในการเตรียมแบบสอบถามประกอบด้วย
• ใช้ภาษาของผู้รับ
• ใช้หนึ่งคำถามต่อหนึ่งหัวข้อ
• ใช้คำศัพท์ที่มีความหมายชัดเจน
• ถามคำถามที่ง่ายต่อการตอบในครั้งแรก
• ทำแบบสอบถามให้สั้นและง่าย
• เขียนแบบสอบถามในลักษณะของผู้ปฏิบัติเอง
• แจกและเก็บคืนแบบสอบถามด้วยตนเอง
• ใช้แบบสอบถามให้เป็นเครื่องมือการสนทนาในการสัมภาษณ์

การใช้คำถามต้องการเพียงคำตอบว่า “ใช่” หรือ “ไม่ใช่” ทำให้การสำรวจง่ายในการรวบรวมมากกว่าการใช้คำถามแบบเปิด แต่อาจจะไม่ให้ผลเป็นประโยชน์ต่อการประเมินเพื่อการควบคุม ยกตัวอย่าง มีความแตกต่างมากถึงวิธีที่ผู้จัดการใช้ตอบคำถามสำหรับหน่วยงานของตนเอง
• พนักงานกังวัลในเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (ใช่)
• จะแน่ใจได้อย่างไรว่าพนักงานให้ความสนใจเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)
• พนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (เห็นด้วย)
• จะทราบได้อย่างไรว่าพนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)

ดังนั้นการสอบถามจากบุคคลแต่ละโดยตรงจะได้คำตอบที่แตกต่างกว่าหากผู้จัดการแผนกได้ถามคำถามเดียวกันให้กับแผนก

ผลดีและผลเสียของการสำรวจ

การศึกษาวิจัย IIA เรื่อง การนำรูปแบบการควบคุมไปปฏิบัติบัติ: วิธีปฏิบัติที่ดีที่สุด ประกอบด้วยข้อมูลเกี่ยวกับการสำรวจและแบบสอบถามพร้อมด้วยตัวอย่างของการสำรวจ วัตถุประสงค์ของบทนี้เราจะสิ้นสุดเรื่องหัวข้อการสำรวจด้วยการมองผลดีและผลเสียเพื่อใช้เปรียบเทียบการประชุมเชิงปฏิบัติการ

ตามประสบการณ์ของผม การสำรวจหรือแบบสำรวจถูกใช้ประมาณ 30 เปอร์เซ็นต์ของความพยายามในการทำ CSA และมักติดตามด้วยการประชุมเชิงปฏิบัติการหรือการสัมภาษณ์ผลลัพธ์ที่เกิดขึ้น

การวิเคราะห์ที่ทำโดยผู้บริหาร

การวิเคราะห์นี้รวมถึงวิธีทางต่าง ๆ ที่อาจสร้างข้อมูลเกี่ยวกับการควบคุมสำหรับผู้บริหาร การประชุมเชิงปฏิบัติการและการสำรวจเป็นรูปแบบที่นิยมมากสำหรับการทำ CSA

ตัวอย่างบางส่วนของการวิเคราะห์ที่ทำโดยผู้บริหารได้แก่
• แบบสำรวจที่ได้รับการพัฒนาและจัดการโดยผู้บริหารในการสนับสนุนความคิดเห็นเกี่ยวกับการควบคุมภายในที่กฎหมายและกฎระเบียบต้องการ ดังเช่น พระราชบัญญัติการปรับปรุง FDIC
• การอภิปรายท่ามกล่างผู้บริหารการเงินอาวุโสในการสนับสนุนหนังสือนำเสนอประจำปีซึ่งนักบัญชีภายนอกต้องการ
• การสอบสวนหาเหตุผลว่าทำไมการควบคุมเฉพาะเจาะจงถึงล่มสลายหรือล้มเหลว
• การตรวจสอบการนำการควบคุมภายในไปปฏิบัติของระบบใหม่ที่ได้รับพัฒนาหรือการรวมหน่วยทางธุรกิจ

ธรรมชาติและรูปแบบของประเภทของการประเมินตนเองมีความหลากหลาย รูปแบบที่เป็นที่นิยมมากในการทำ CSA และสิ่งที่คนทั่วไปมีแนวโน้มจะคิดถึงเมื่อกล่าวถึง CSA คือการประชุมเชิงปฏิบัติการและการสำรวจ

ตามที่ได้รับทราบไปแล้ว CSA ได้ถูกปฏิบัติอย่างแตกต่างโดยผู้ปฏิบัติทั้งหมด การทำ CSA ที่แตกต่างนั้น ไม่ได้หมายความว่าคนใดคนหนึ่งทำผิด หากการอำนวยความสะดวกในการประชุม, การสำรวจ, หรือการวิเคราะห์อื่น ๆ ช่วยให้องค์กรบรรลุวัตถุประสงค์แล้วสิ่งนั้นย่อมเป็นจุดสำคัญในทางใดทางหนึ่ง

สำหรับครั้งหน้าผมจะมาเล่าให้ฟังว่าทำไมการทำ CSA-Control Self Assessment ถึงต้องกำหนดวัตถุประสงค์ของความเสี่ยงและการควบคุมความเสี่ยง อย่าลืมติดตามนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 5 – ข้อขัดแย้งของ CSA

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้ในเป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่าอะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลายๆองค์กรจะพบความแตกต่างดังรายการข้างล่างนี้ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ

ความแตกต่างบางประการในการนำไปปฏิบัติมีพอสรุปออกมาเป็นรายการได้ดังนี้

1. รูปแบบ CSA
หลายคนเชื่อว่ารูปแบบของการประชุมเชิงปฏิบัติการ หรืออาจเรียกว่าการประชุมที่อำนวยความสะดวกหรือรูปแบบทีมงานเป็นรูปแบบที่มีประสิทธิผลสำหรับการทำ CSA ส่วนรูปแบบอื่นที่นิยมกันก็คือการใช้แบบสอบถาม ผู้นำ CSA มาใช้ส่วนใหญ่เลือกใช้รูปแบบการประชุมเชิงปฏิบัติการเพื่อขัดขวางวิธีการใช้แบบสอบถามหรือการวิเคราะห์CSA ที่ผู้บริหารสร้างขึ้น ในหลายองค์กรอาจใช้การรวมหลาย ๆ วิธีในการทำการประเมินตนเอง ผู้ตรวจสอบกำลังเริ่มลงมือเขียนโปรแกรมการตรวจสอบการประเมินตนเองขึ้นมา โดยสร้างขึ้นจากฝ่ายปฏิบัติการ ในการทำ CSA จะยอมให้ผู้ตรวจสอบเข้ามาเชื่อมโยงฝ่ายต่าง ๆ เพื่อระบุความเสี่ยงและวัตถุประสงค์การควบคุมความเสี่ยง และพัฒนาแบบทดสอบที่จำเป็นต้องนำมาใช้ ผู้ตรวจสอบอาจใช้รูปแบบการประชุมเชิงปฏิบัติการ เพื่อช่วยให้กลุ่มได้ประเมินผลการประเมินด้วยตนเอง และพัฒนาแผนปฏิบัติงานที่ต้องการ หลังจากนั้น ฝ่ายตรวจสอบภายในอาจทำการทดสอบความถูกต้องของผลลัพธ์ด้วย

2. การใช้กรอบควบคุมความเสี่ยง

หลายคนเชื่อว่าการใช้กรอบควบคุมความเสี่ยง เช่น COSO, CoCo หรือ Malcolm Baldrige เป็นสิ่งที่มีความจำเป็นสำหรับการทำ CSA ผู้ใช้ CSA ส่วนใหญ่เลือกใช้กรอบการควบคุมความเสี่ยงเข้ามาช่วยในการระบุและแยกประเภทความเสี่ยงและการควบคุมความเสี่ยง แต่การใช้กรอบการควบคุมความเสี่ยงนี้ ไม่ได้เป็นการทำให้การทำการประชุมเชิงปฏิบัติการง่ายขึ้น และยังต้องอาศัยทักษะและประสบการณ์ของผู้อำนวยความสะดวกและทีมงาน เพื่อจะได้ทราบว่าการควบคุมความเสี่ยงและความเสี่ยงทั้งหมดนั้นจะมีความคลอบคลุมครบถ้วน

3. บทบาทการตรวจสอบภายใน
หลายคนเชื่อว่าการตรวจสอบภายในไม่ได้ทำให้เกิดความเป็นเจ้าของสูงสุดของกระบวนการ CSA และหลายครั้งได้มีการมอบแผนงานในการอำนวยความสะดวกและบทบาทในการรายงานไปให้ทีมงานทำ ส่วนคนอื่นที่เหลือเชื่อว่าการตรวจสอบภายใน จะช่วยให้เกิดความต่อเนื่องในการอำนวยความสะดวกให้กับการทำการประชุมเชิงปฏิบัติการ และเป็นจุดรวมสำหรับการวางแผนและการรายงานในการทำ CSA ในทางปฏิบัติฝ่ายตรวจสอบได้มีการมีการโอนความเป็นเจ้าของการประชุมเชิงปฏิบัติการ ไปให้กับทีมงานน้อยมาก

4. รายงาน CSA
บางคนเชื่อว่าการตรวจสอบภายในควรต้องรายงานผลของ CSA การประชุมเชิงปฏิบัติการให้ผู้บริหารทราบ เช่นเดียวกับการตรวจสอบแบบดั้งเดิม ในขณะที่อีกฝ่ายหนึ่งเชื่อว่าทีมงานในการประชุมเชิงปฏิบัติการควรเป็นผู้รายงานผล ส่วนมากเมื่อทีมงานได้ทำการรายงานผลจากการทำ CSA การประชุมเชิงปฏิบัติการออกมา รูปแบบของรายงานการตรวจสอบจะเกี่ยวข้องกับเเรื่องการประเมินตนเอง หรือผลจากการทดสอบข้อเท็จจริงหรือการประกันคุณภาพการปฏิบัติงาน

5. การมีส่วนร่วมของฝ่ายบริหาร
หลายคนเชื่อว่าผู้บริหารทีมงานต้องมีส่วนร่วมพร้อมไปกับทีมงานโดยตลอด ขณะที่อีกฝ่ายเชื่อว่าผู้บริหารไม่ต้องเข้ามามีส่วนร่วม ประเด็นที่สำคัญเกี่ยวกับเรื่องนี้คือ เรื่องความสามารถในการได้รับข้อมูลที่เป็นจริงของการประชุมเชิงปฏิบัติการจากการปฏิบัติงานจริง ซึ่งอาจต้องการการใช้การลงคะแนนแบบไม่ระบุชื่อถ้าผู้บริหารเข้ามามีส่วนร่วมด้วย

6. การประกันคุณภาพ

หลายคนเชื่อว่าการตรวจสอบภายในต้องดำเนินการตรวจสอบการประกันคุณภาพเพื่อยืนยันผลการประเมินตนเอง ส่วนอีกฝ่ายเชื่อว่าไม่จำเป็นต้องมีการตรวจสอบ การประกันคุณภาพเป็นเรื่องจำเป็นถ้ามีการนำการประเมินตนเองมาใช้แทนการตรวจสอบภายใน เพื่อให้ได้มาซึ่งควมคิดเห็นในภาพรวมของการควบคุมภายใน การทดสอบการควบคุมที่ถูกต้องควรกระทำในส่วนใดส่วนหนึ่งของกระบวนการเมื่อนำ CSA มาใช้เป็นการตรวจสอบ

7. ความสัมพันธ์กับการตรวจสอบภายใน
บางคนได้โต้แย้งว่าทั้งผู้ตรวจสอบและผู้อำนวยความสะดวก CSA มีการขัดผลประโยชน์กัน ดังนั้นผู้อำนวยความสะดวก CSA สำหรับบางธุรกิจไม่ควรเป็นผู้ตรวจสอบในธุรกิจนั้น ความหมายใหม่ของการตรวจสอบภายในได้ออกมาในปลายปี 1999 โดยมีขอบเขตของการตรวจสอบภายในที่กว้างขวางชัดเจนขึ้นในการรวมกิจกรรมการให้คำปรึกษา และพบว่าในทางปฏิบัติการดำเนินงาน CSA ขององค์กรไม่มีประเด็นที่เป็นอิสระไปจากการทำ CSA เลย

บางครั้งจากข้อขัดแย้งดังกล่าวข้างต้น แผนกตรวจสอบจะดำเนินการแตกต่างกันเพียงเล็กน้อยในการนำ CSA มาใช้ และบางครั้งก็อาจเรียกหรือให้ความหมายของ CSA ที่แตกต่างกัน ดังนี้

– การประเมินความเสี่ยงและการควบคุมความเสี่ยงด้วยตนเอง
– การประเมินการเปลี่ยนแปลงด้วยตนเอง
– การประเมินการอำนวยความสะดวกด้วยตัวเอง
– กระบวนการประเมินการบริหาร
– การประเมินการบริหารด้วยตัวเอง
– โปรแกรมการประเมินและตรวจสอบการควบคุม
– โปรแกรมการตรวจสอบการควบคุม
– การประเมินการมีส่วนร่วมของความเสี่ยงและการควบคุมความเสี่ยง
– การประเมินทางธุรกิจด้วยตัวเอง
– การประเมินความเสี่ยงทางธุรกิจ
– การประเมินการเปลี่ยนแปลงของความเสี่ยงและสมรรถภาพ

สถานการณ์ที่ CSA ไม่เหมาะสม
จากประโยชน์ที่ได้กล่าวถึงข้างต้น และการที่ผู้ตรวจสอบได้มีการนำ CSA ไปใช้มากขึ้น แต่กลับไม่ได้มีการนำ CSA ไปใช้ตลอดเวลา เนื่องจากแผนกที่นำ CSA ไปใช้ส่วนใหญ่ใช้พยายามในการทำการตรวจสอบเพียงร้อยละ 30-40 เท่านั้น ดังนั้นจึงเกิดคำถามที่ว่าเมื่อไรที่ CSA ไม่เหมาะสม เมื่อไรที่ CSA ไม่ใช่เครื่องมือตรวจสอบที่ถูกต้อง

กระบวนการ CSA ช่วยในการทำการประชุมเชิงปฏิบัติการ หรือสำรวจผู้มีส่วนร่วมในฐานะผู้เชี่ยวชาญในงานที่ได้ทำหรือการตรวจสอบสถานการณ์ ถ้าสมมุติฐานไม่ถูกต้องนั่นอาจทำให้ CSA ไม่เหมาะสม ซึ่งจะเกิดขึ้นได้ถ้าทุกคนยังไม่มีประสบการณ์ในการจัดการกับปริมาณการเข้าออกงานที่เพิ่มขึ้นสูง และการเจริญเติบโตอย่างรวดเร็ว โดยทุกคนจะไม่สามารถตอบได้ว่า จะใช้วิธีใดมาใช้แทนในการทำให้องค์กรบรรลุวัตถุประสงค์ กลุ่มเหล่านี้จะได้รับประโยชน์จากการอภิปรายอำนวยความสะดวกในเรื่องของวัตถุประสงค์ วิธีการ เป้าหมาย ฯลฯ แต่จะยังไม่สามารถทำการประเมินความเสี่ยง และการควบคุมความเสี่ยงได้อย่างเหมาะสม เนื่องจากยังไม่มีความรู้ในเรื่องนั้นเลย ถ้าผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้กับการประชุมเชิงปฏิบัติการ หรือการอภิปรายผู้บริหารเข้าเข้ามามีส่วนร่วมในการประชุมเชิงปฏิบัติการด้วย เพื่อช่วยให้วัตถุประสงค์ของทีมงานสอดคล้องกับวัตถุประสงค์โดยรวมขององค์กร

CSA อาจไม่เหมาะสมหรืออาจไม่จำเป็นต้องพิจารณาเป็นพิเศษในสถานการณ์ต่าง ๆ ดังนี้
1. พนักงานไม่ได้เป็นผู้เชี่ยวชาญในสาขาเฉพาะด้านตามที่ได้กล่าวถึงในข้างต้น
2. การคาดคะเนผิดพลาด ซึ่งอาจทำให้ยากตัดสินใจว่าใครควรเป็นผู้ดำเนินการใน การประชุมเชิงปฏิบัติการ
3. การเปลี่ยนแปลงขององค์กรอย่างรวดเร็ว เช่น การรวมกิจการและการเข้าครอบครองกิจการ การลดขนาดองค์กร การ takeovers ซึ่งอาจทำให้พนักงานไม่เข้าใจวัตถุประสงค์หรือการจ้างงานในระยะยาวของเขาอย่างชัดเจน
4. วัฒนธรรมไม่สนับสนุนหรือการสื่อสารอย่างมีประโยชน์ การเปิดเผยข้อมูล และความไว้ใจได้ ดังนั้นจึงทำให้ฝ่ายบริหารไม่สนใจผลที่เกิดขึ้นจาก CSA
5. ผู้บริหารไม่ได้ให้การสนับสนุนพนักงานในเรื่องที่เกี่ยวข้องกับการระบุความเสี่ยงและการควบคุมความเสี่ยงอย่างเพียงพอ
6. สิ่งที่คาดหวังของผู้บริหารคือ การทำให้เกิดการยอมรับคำสั่งของฝ่ายตรวจสอบและ/หรือการตรวจสอบกฎระเบียบ
7. ผู้อำนวยการการตรวจสอบไม่เชื่อว่าพนักงานมีทรัพยากรหรือทักษะที่เพียงพอในการทำ CSA ซึ่งอาจทำให้ตัดสินใจรอจนกระทั่งมีการพัฒนาทักษะแล้วจึงนำไปปฏิบัติ

เรื่องของ CSA ยังมีรายละเอียดอีกมากมาย ครั้งหน้าผมจะมาเล่าถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (CSA) ต่อนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 4 – ประโยชน์ของ CSA และข้อควรคำนึงถึง

เมื่อมีการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กร นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร ดังที่ได้กล่าวถึงในครั้งที่แล้ว การเปลี่ยนแปลงจากการนำ CSA มาใช้ และการเคลื่อนไหวของ CSA โดยทั่วไป จะก่อให้เกิดประโยชน์และข้อควรคำนึงถึงเป็นจำนวนมาก ประโยชน์และสิ่งที่ควรคำนึงถึงนี้อาจมองได้หลายมุมมอง เช่น ประโยชน์ต่อองค์กรการตรวจสอบภายใน ประโยชน์ต่อกระบวนการทางธุรกิจ อุปสรรคจากการนำ CSA มาปรับใช้ เป็นต้น ซึ่งผมจะขอกล่าวถึงประโยชน์ของ CSA โดยหลัก ๆ ดังนี้

1. CSA ช่วยให้พนักงานสายงานหลักในทุกระดับมีความเข้าใจและคาดการณ์ถึงหน้าที่ความรับผิดชอบ และสามารถตรวจสอบประสิทธิผลของการควบคุมความเสี่ยงและการบริหารความเสี่ยงได้อย่างถูกต้องมากขึ้น CSA ประกอบด้วยส่วนประกอบด้านการศึกษาที่สำคัญ ที่ช่วยให้พนักงานสายงานหลักเกิดความเข้าใจเรื่องความเสี่ยงและการบริหารความเสี่ยงได้ดีขึ้น ในฐานะที่เป็นผู้ที่เกี่ยวข้องโดยตรงต่อการปฏิบัติงานโดยผู้อำนวยความสะดวก ตัวอย่างเช่น การสื่อสารที่มีประสิทธิภาพและโอกาสในการสอนงาน ในท้ายที่สุด ผู้ตรวจสอบจะเปลี่ยนแปลงทัศนคติและความเข้าใจของทีม เรื่องการควบคุมความเสี่ยงและความเสี่ยงที่อาจเป็นประโยชน์อย่างมากในการทำ CSA

2. เกิดการการปฏิบัติที่ถูกต้องมากขึ้น เนื่องจากผู้มีส่วนร่วมในการทำ CSA เกิดความเป็นเจ้าของในผลลัพธ์ที่เกิดขึ้น การประชุมเชิงปฏิบัติการ และการตรวจสอบแบบดั้งเดิมที่ล้มเหลวในด้านการสร้างความเข้าใจ หรือการกล่าวถึงสิ่งที่ต้องคำนึงถึงในการบริหาร จะนำไปสู่ข้อเสนอแนะที่ไม่สามารถนำไปปฏิบัติได้ ซึ่งจะสร้างผลลัพธ์ในทางลบให้กับ CSA การนำไปสู่ความสับสน และเกิดความขัดแย้งระหว่างพนักงานสายงานหลักและผู้บริหาร

3. CSA จะจัดเตรียมประเด็นที่สำคัญที่ครอบคลุมกว้างขวางเนื่องจากผู้เชี่ยวชาญ ทีมงานสามารถเน้นไปยังความเสี่ยงและการควบคุมความเสี่ยงได้อย่างรวดเร็ว

4. CSA ช่วยปรับปรุงการสื่อสารในทุกระดับเนื่องจาก การประชุมเชิงปฏิบัติการ ประกอบด้วยหลาย ๆ องค์ประกอบ เช่น ที่ตั้ง แผนก หน้าที่ และบุคลากรทุกระดับ

5. CSA สอนให้ผู้มีส่วนร่วมทราบถึงวิธีการวิเคราะห์และรายงานการควบคุมภายใน ดังนั้นจึงช่วยเพิ่มความตื่นตัวเรื่องการควบคุมให้เกิดขึ้นทั่วทั้งองค์กร ซึ่ง CSA จะช่วยในการปรับปรุงสภาพแวดล้อมทางการควบคุมขององค์กร โดยช่วยเพิ่มความตระหนักถึงวัตถุประสงค์ขององค์กรและบทบาทของการควบคุมภายใน อันจะทำให้เกิดผลสำเร็จตามเป้าหมายและวัตถุประสงค์ รวมถึงการจูงใจให้บุคลากรทำการออกแบบหรือนำกระบวนการควบคุมไปปฏิบัติอย่างระมัดระวัง และมีการปรับปรุงกระบวนการดำเนินการควบคุมอย่างต่อเนื่อง

นอกจากนี้ CSA ยังมีประโยขน์ในด้านอื่น ๆ คือ ช่วยให้ผู้ตรวจสอบเน้นไปยังเนื้อหาความเสี่ยงในระดับสูงเท่านั้น และยังมุ่งความสนใจไปยังความพยายามในการตรวจสอบแบบดั้งเดิมในเรื่องดังกล่าวด้วย อีกทั้งการประชุมเชิงปฏิบัติการด้าน CSA จะช่วยให้เกิดการเตรียมตัวอย่างไม่เป็นทางการ หรือการควบคุมร่วมกันที่ยากต่อการประเมินด้วยการตรวจสอบแบบดั้งเดิม

นอกเหนือจากประโยชน์ในการทำ CSA แล้ว ยังมีข้อควรคำนึงถึงหรืออุปสรรคในการบรรลุผลสำเร็จ ดังนี้

1. บุคลากรจะต่อต้านการเปลี่ยนแปลงแ ละการนำ CSA มาใช้นั้นได้แสดงให้เห็นว่า เป็นการเปลี่ยนแปลงสำหรับทั้งผู้ตรวจสอบและผู้ถูกตรวจสอบ หลายองค์กรจึงอาจค่อย ๆ ยอมรับวิธีการใหม่นี้อย่างช้า ๆ

2. ฝ่ายบริหารอาจไม่เชื่อว่าพนักงานสายงานหลักจะสามารถรับผิดชอบงานด้านการควบคุม และการบริหารความเสี่ยงได้อย่างมีประสิทธิผล โดยอาจมองว่า CSA เป็นเพียงการเปลี่ยนของงาน (วิธีการที่ผู้ตรวจสอบภายในมอบให้พนักงานสายงานหลักเข้ามาทำงานด้านการตรวจสอบเอง) ในกรณีนี้ผู้บริหารจะส่งเสริมให้กลุ่มใดกลุ่มหนึ่ง นั่นก็คือผู้ตรวจสอบภายใน เป็นผู้มีหน้าที่ความรับผิดชอบเรื่องความเสี่ยงและการควบคุมความเสี่ยง และไม่ได้มอบหน้าที่ความรับผิดชอบให้กับตัวพนักงานสายงานหลักเหล่านั้นเอง

3. การอภิปรายอย่างเปิดเผยอาจเป็นการเปิดองค์กรให้เกิดความเสี่ยงทางกฎหมาย ถ้าการอภิปรายนั้นได้เปิดเผยถึงการกระทำที่ไม่ถูกกฎหมาย ความรุนแรงของนโยบายด้านจริยธรรม หรือประเด็นอื่น ๆ ผู้อำนวยความสะดวกอาจจำเป็นที่จะต้องตัดสินใจว่า การประชุมเชิงปฏิบัติการต้องหยุดลงหรือดำเนินการต่อไป หรือวิธีที่จะกระจายผลลัพธ์นั้นออกไป

4. ผลของ CSA อาจไม่ถูกต้องเนื่องจากผู้มีส่วนร่วมไม่มีความรู้ที่ดีพอหรือไม่เปิดเผย หรือผู้อำนวยความสะดวกไม่ได้รับสาเหตุที่เป็นรากเหง้าของประเด็นนั้นอย่างแท้จริง

5. ในหลายวัฒนธรรมไม่เป็นวัฒนธรรมเปิดและไม่มีการเปิดเผย และการอภิปรายอย่างเปิดเผยทำให้การประชุมเชิงปฏิบัติการไม่ได้รับปัจจัยนำเข้าที่เชื่อถือได้

6. ความสามารถในการควบคุมและการบริหารความเสี่ยง จะเกี่ยวข้องกับการผึกอบรมเพิ่มเติมให้กับพนักงาน และการเพิ่มความผูกพันในการรักษากระบวนการ CSA ให้ทำหน้าที่อย่างมีประสิทธิผลและทันเวลา

7. ในกรณีศึกษาส่วนใหญ่ เจ้าหน้าที่ตรวจสอบภายในไม่มีทักษะทางด้านการเป็นผู้อำนวยความสะดวกและการเป็นผู้สอน

8. การเปลี่ยนแปลงอย่างมีคุณภาพโดยรวม การพัฒนาองค์กร และบุคลากรที่นำการประชุมเชิงปฏิบัติการมาใช้อำนวยความสะดวกในการทำงาน โดยอาจมอง CSA ว่าเป็นการบังคับ เนื่องจากมีการใช้เครื่องมือที่มีลักษณะเหมือนกันหลาย ๆ เครื่องมือ

9. ท้ายที่สุดแล้วจะเกิดคำถามว่าผู้ตรวจสอบภายใน หรือผู้ถูกตรวจสอบเป็นเจ้าของ CSA ผู้อำนวยการการตรวจสอบจะทำการตลาด และบูรณาการ CSA มาใช้ในองค์กรได้อย่างไร ถ้าไม่มีการบริหารจัดการที่ดี

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้เป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่า อะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลาย ๆ องค์กร จะพบความแตกต่างหลายประการ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ ซึ่งผมจะนำมาเล่าสู่กันฟังในครั้งหน้านะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 3 – การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้

ในครั้งที่แล้วผมได้พูดถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) ซึ่งถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น การทำ CSA อาจทำออกมาในรูปแบบของโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์ หากองค์กรใดมีการจัดทำ CSA หรือนำ CSA มาประยุกต์ใช้ อาจทำให้เกิดการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร โดยเฉพาะอย่างยิ่งการเปลี่ยนแปลงหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับการควบคุมภายใน ในวิธีการแบบดั้งเดิม และแบบวิธีการ CSA ซึ่งผมจะขอนำเสนอเป็นแผนภาพตาราง พร้อมอธิบายควบคู่กันไปดังนี้นะครับ

จากตารางข้างต้น หน้าที่ความรับผิดชอบของการควบคุมภายใน รวมทั้งการกำหนดวัตถุประสงค์และการประเมินความเสี่ยงและการควบคุมความเสี่ยงที่เกี่ยวข้อง ไม่ใช่การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้ นั่นคือยังคงเป็นหน้าที่ของฝ่ายบริหารอยู่ ความหมายของการประเมินการควบคุมภายในนั้น รวมถึงการประเมินความเสี่ยงด้วย จะเห็นได้ว่าการประเมินและการควบคุมความเสี่ยงได้มีการเปลี่ยนแปลงไปจากการนำ CSA มาใช้ นั่นคือเปลี่ยนจากความรับผิดชอบที่เป็นของผู้ตรวจสอบมาเป็นความรับผิดชอบของทีมงาน ซึ่งนับว่าเป็นการเปลี่ยนแปลงอย่างยิ่งใหญ่ที่ต่างไปจากแนวทางการตรวจสอบแบบดั้งเดิม

ผู้ตรวจสอบทั้งหมดเห็นด้วยว่า ผู้บริหารต้องมีหน้าที่ในการควบคุมภายในด้วย แต่บางคนได้โต้แย้งว่าการให้ผู้ตรวจสอบภายในประเมินประสิทธิผลของการควบคุมเองนั้น ทำให้เกิดความสับสนขึ้นมาได้ เนื่องจากผู้บริหารอ้างว่า เมื่อเขามีหน้าที่ในการควบคุมภายในด้วย ทำใมจึงต้องให้บุคคลภายนอก(ผู้ตรวจสอบ) เป็นผู้ประเมินผลการควบคุม จึงก่อใก้เกิดการเปลี่ยนแปลงขึ้น โดยผู้บริหารจะเป็นผู้ประเมินความเหมาะสมของประสิทธิผลของหน้าที่ความรับผิดชอบหรืองานที่เป็นของเขาเอง แต่แนวทางการควบคุมภายในทำให้การควบคุมนั้นมีความแตกต่างหรือมีลักษณะพิเศษ ทำให้ผู้บริหารต้องสละความรับผิดชอบด้านการควบคุมนี้ ไปให้กับผู้ที่มีความเชี่ยวชาญเป็นพิเศษ นั่นคือผู้ตรวจสอบที่จะเป็นผู้ประเมินความเหมาะสมในทุก ๆ เรื่อง

การประเมินตนเองเป็นเรื่องของความพยายามในการเปลี่ยนแปลง โดยการสอบถามผู้บริหารถึงเรื่องหน้าที่ความรับผิดชอบสำหรับการควบคุม และสอบถามทีมงานในเรื่องเกี่ยวกับความรู้ที่มีเกี่ยวกับรายละเอียดของธุรกิจ เพื่อประเมินความเหมาะสมของการควบคุม ผู้ตรวจสอบภายในจึงเป็นผู้อำนวยความสะดวก มีหน้าที่ในการให้แนวทางแก่ผู้บริหารและพนักงาน ในกระบวนการประเมินโดยอาศัยความเชี่ยวชาญและประสบการณ์ที่มีอยู่

เมื่อย้อนกลับไปดูที่ตารางข้างต้นอีกครั้งจะเห็นได้ว่า การรายงานการควบคุมเป็นสิ่งที่ต้องมีในรายงานของผู้ตรวจสอบในแนวทางแบบดั้งเดิม ส่วนใน CSA อาจต้องมีการทำรายงานขึ้นมาจากการประชุมเชิงปฏิบัติการที่จะนำไปสู่ผู้บริหารระดับถัดไปในเรื่องการประเมินการควบคุม รายงานที่ทีมงานสร้างขึ้นจากการทำการประชุมเชิงปฏิบัติการ จะไม่ใช่รายงานของผู้ตรวจสอบ แม้ว่าอาจจะมีข้อเสนอแนะของฝ่ายตรวจสอบด้วย แนวทางของหน้าที่ความรับผิดชอบ การประเมินและการรายงานที่ร่วมกันสร้างขึ้นมา จะช่วยเพิ่มระดับความผูกพันในการควบคุมและประเมินความเสี่ยงในองค์กร มากกว่าหน้าที่ความรับผิดชอบและรายงานที่พวกเข้าไม่ได้มีส่วนร่วมหรือเป็นเจ้าของ ในการทำ CSA เมื่อทีมงานสร้างรายงานเสร็จแล้ว ทีมงานและผู้บริหารจะเกิดความเข้าใจเรื่องการควบคุมมากขึ้น ในเรื่องของวัตถุประสงค์ เป้าหมายและหน้าที่ความรับผิดชอบอื่น ๆ ที่เป็นของพวกเขาเอง ซึ่งหลังจากขั้นตอนดังกล่าว การควบคุมก็จะเป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้นั่นเอง

ผู้ที่จะสามารถบอกได้ว่าการประเมินความเสี่ยง และการควบคุมความเสี่ยงนั้น ถูกต้องหรือไม่ในแนวทางแบบดั้งเดิมคือผู้ตรวจสอบ โดยอาศัยความเห็นในเรื่องความเหมาะสมของการควบคุมของผู้ตรวจสอบเอง ความช่วยเหลือของผู้บริหารฝ่ายตรวจสอบ โดยการตรวจสอบและสั่งงานผู้ตรวจสอบ ผู้บริหารตามสายงานก็อาจมีส่วนช่วยด้วย โดยการตรวจสอบผลของการตรวจสอบนั้น และผู้ตรวจสอบภายนอกก็อาจช่วยได้ด้วยเช่นกัน โดยการตรวจสอบรายงานทางการเงิน

ในการนำ CSA มาใช้ ทำให้การอธิบายหน้าที่ความรับผิดชอบในการตรวจสอบความถูกต้องของการประเมินความเสี่ยง และการควบคุมความเสี่ยงมีความชัดเจนมากขึ้น โดยผู้ตรวจสอบภายในจะแสดงบทบาทในการประกันคุณภาพ อันเป็นผลจากการนำการทดสอบการควบคุมมาใช้ การทดสอบที่เคยทำในการตรวจสอบแบบดั้งเดิมในการนำ CSA มาใช้ก็ยังคงมีอยู่ แต่อาจจะเน้นไปที่ความสำคัญของการควบคุมที่ทีมงานได้กำหนดไว้ในการประเมินตนเอง กระบวนการประกันคุณภาพ ไม่ใช่เรื่องที่จะทำการทดสอบกันได้ง่าย ๆ เป็นแนวทางที่มีขั้นตอนซับซ้อน ที่ต้องเริ่มจากการวางแผนการประเมินตนเองและผลลัพธ์ ร่วมกับการทดสอบในการตรวจสอบพิเศษ หรือการตรวจสอบแบบดั้งเดิม ทีมงานอาจต้องตรวจสอบความถูกต้องร่วมกับผู้ตรวจสอบโดยการสุ่มตรวจความถูกต้อง

CSA มักสร้างกลไกที่นำวัตถุประสงค์ไปใช้ในกระบวนการประเมินตนเอง การออกแบบการตรวจสอบแบบดั้งเดิม มักออกแบบมาให้สอดคล้องกับวัตถุประสงค์ในการควบคุม เช่น วัตถุประสงค์ ความเสี่ยง และจุดเน้นในระดับปฏิบัติการที่ถูกนำมาใช้เป็นเครื่องมือในการประเมินของ COSO การแยกวัตถุประสงค์ของการควบคุมเป็นแนวทางออกไปจากวัตถุประสงค์ของผู้บริหารหรือของธุรกิจ CSA จะช่วยผู้บริหารในการระบุและ/หรือการตรวจสอบเรื่องที่เกี่ยวข้องที่จะกระทบวัตถุประสงค์หลักทางธุรกิจ เช่น การปรับปรุงผลิตภัณฑ์ จริยธรรมที่ดีขึ้น ระยะเวลาที่รวดเร็วขึ้น ความถูกต้องของการออกแบบระบบ กระบวนการ CSA มักเริ่มต้นจากวัตถุประสงค์ทางธุรกิจของผู้บริหาร มากกว่าวัตถุประสงค์ในการควบคุมความเสี่ยง ที่ผู้ตรวจสอบภายในกำหนดขึ้น นั่นหมายถึง ผู้บริหารและทีมงานล้วนสนใจผลที่เกิดจาก CSA ดังนั้น การประเมินตนเอง จึงเน้นไปที่วัตถุประสงค์ของพวกเขาเอง ไม่ใช่วัตถุประสงค์ที่ผู้ตรวจสอบแนะนำ

ในการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กรแล้ว นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กรดังที่ได้กล่าวมาแล้วในข้างต้น ยังมีประโยชน์และข้อควรคำนึงถึงในการทำ CSA ด้วย ซึ่งผมขอนำเสนอในโอกาสต่อไปนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 2

เมื่อกล่าวถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) การประเมินตนเองเพื่อควบคุมความเสี่ยงถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น โดยอาจทำออกมาในรูปแบบของการประชุมเชิงปฏิบัติการ หรือการประชุมที่ฝ่ายตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้

การประชุมเชิงปฏิบัติการอาจประยุกต์ออกมาเป็นโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์

แต่ก่อนจะลงลึกไปในรายละเอียดของการทำ CSA หรือการประเมินตนเองเพื่อควบคุมความเสี่ยงโดยผู้ตรวจสอบภายใน ผมจะขออธิบายถึงความหมาย หรือคำจำกัดความของ CSA เพื่อความเข้าใจที่ตรงกันในภาพโดยรวมดังนี้ ครับ

ผู้ตรวจสอบภายในเป็นกลุ่มส่วนใหญ่ที่ริเริ่มนำ CSA มาใช้ในองค์กร CSA จึงเป็นเครื่องมือสำหรับองค์กรทั้งหมด องค์กรจะได้รับประโยชน์จาการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองอย่างแพร่หลาย ประกอบกับการยอมรับการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองของแผนกที่มีความเชี่ยวชาญอื่น ๆ เช่น แผนกทรัพยากรมนุษย์ หรือการพัฒนาองค์กรที่ได้มีการจัดการประชุมเพื่ออำนวยความสะดวกขึ้นมา อันจะทำให้ให้สามารถมองเห็นแนวคิด CSA กันมากขึ้น

วัตถุประสงค์ของ CSA คือการช่วยให้องค์กรสามารถประเมินความเป็นไปได้ในการบรรลุวัตถุประสงค์ขององค์กร โดยจะช่วยในการให้ความรู้แก่ผู้ปฏิบัติงาน ที่มีหน้าที่รับผิดชอบต่อการบรรลุวัตถุประสงค์ขององค์กร CSA เป็นกระบวนการเชิงรุกที่สนับสนุนให้ทีมงานมีการประเมิน และสามารถให้คำแนะนำสำหรับการปรับปรุง เพื่อเพิ่มโอกาสในการบรรลุวัตถุประสงค์ ทีมงานในที่นี้ก็คือกลุ่มของพนักงานที่ทำงานเกี่ยวกับวัตถุประสงค์หรือเป้าหมายโดยทั่วไป

คำจำกัดความของ CSA
ความหมายที่เป็นทางการของ CSA นั้นมีหลายความหมาย สำหรับความหมายที่สถาบันผู้ตรวจสอบภายใน (Institute of Internal Auditors : IIA) ได้พัฒนาขึ้นมาโดยอาศัยความร่วมมือจากองค์กรและที่ปรึกษาที่เกี่ยวข้องกับ CSA นั้นสามารถพิจารณาได้เป็น 2 ความหมายดังนี้

1. ความหมายที่พัฒนาขึ้นในปี 1995 โดย Glenda Jordan
องค์กรที่ใช้การประเมินตนเองเป็นกระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทางการ ที่ซึ่งผู้บริหาร และ/หรือทีมงานได้เข้ามามีส่วนเกี่ยวข้องโดยตรงกับหน้าที่ทางธุรกิจ ดังนี้

– พิจารณาประสิทธิผลของกระบวนการนำมาใช้แทนที่ และ
– ตัดสินใจในเรื่องที่แน่ใจว่าจะเป็นโอกาสในการบรรลุวัตถุประสงค์ทางธุรกิจบางประการหรือทั้งหมดได้อย่างสมเหตุสมผล

คำบางคำในความหมายดังกล่าวอาจใช้คำอื่นเข้ามาแทนเพื่อให้เกิดความเน้นย้ำมากขึ้นได้ เช่น คำว่า “พิจารณาประสิทธิผล” อาจแทนด้วยคำว่า “ประเมินประสิทธิผล” เพื่อเป็นการตอกย้ำกระบวนการประเมินผลที่เรียกในชื่อว่าการประเมินตนเองเพื่อควบคุมความเสี่ยง และคำว่า “กระบวนการแทนที่” อาจใช้คำว่า “การควบคุมภายใน” ดังนั้นการควบคุมจึงเป็นสิ่งที่ต้องปฏิบัติเพื่อให้เกิดการบรรลุวัตถุประสงค์องค์กร

ในความหมายนี้ใช้คำว่าผู้บริหาร และ/หรือทีมงาน(ไม่ใช้คำว่าผู้ตรวจสอบภายใน) เป็นผู้ประเมินการควบคุมภายใน นั่นก็คือใช้คำว่า “ตนเอง” ในการประเมินตนเองเพื่อควบคุมความเสี่ยง และทำให้มีการปรับเปลี่ยนบทบาทจากแบบดั้งเดิมที่ผู้ตรวจสอบภายในเป็นผู้ประเมินประสิทธิผลของการควบคุมแทนเพื่อให้เกิดการบรรลุวัตถุประสงค์ การกล่าวว่า “กระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทางการ” ประกอบด้วยสองกระบวนการหลัก หรือรูปแบบของการประเมินตนเอง อันได้แก่ การประชุมเชิงปฏิบัติการ และการสำรวจ ซึ่งทั้งสองอย่างนี้เป็นการประเมินที่ผู้บริหารและ/หรือทีมงานเข้ามาเกี่ยวข้องโดยตรงกับการบรรลุวัตถุประสงค์ทางธุรกิจ

2. ความหมายที่ตีพิมพ์ใน IIA ในปี 1998
CSA เป็นกระบวนการที่ใช้ในการตรวจสอบและประเมินผลของฝ่ายตรวจสอบภายในอย่างมีประสิทธิผล เป็นการทำให้เกิดความแน่ใจว่าได้มีการเตรียมการเพื่อทำให้วัตถุประสงค์ทั้งหมดนั้นสามารถบรรลุผลสำเร็จได้

ในความหมายที่สองนี้ CSA ยังคงประกอบด้วยขอบเขตที่กว้างขวางเหมือนกับความหมายแรก นั่นคือคำว่า “วัตถุประสงค์ทางธุรกิจทั้งหมด” ซึ่งจะเป็นการเชื่อมโยงระหว่างการควบคุมภายในที่มีประสิทธิผลกับการบรรลุวัตถุประสงค์

ความหมายทั้งสองอย่างนี้ไม่ได้มีการกล่าวถึงคำว่า “ความเสี่ยง” แม้ว่าการประเมินความเสี่ยงจะเป็นหัวใจสำคัญของการทำ CSA เนื่องจากการรวมคำว่าความเสี่ยงไว้ใน CSA เป็นผลพลอยได้ ถ้ายอมรับแนวคิดเรื่องความสัมพันธ์ของวัตถุประสงค์ ความเสี่ยงและการควบคุมความเสี่ยง ดังนั้น การนำการประเมินการควบคุมความเสี่ยงมาใช้เพื่อให้บรรลุวัตถุประสงค์ จึงเป็นไปไม่ได้ที่จะไม่มีการพิจารณาถึงเรื่องของความเสี่ยงที่อาจเป็นตัวขัดขวางการบรรลุผลสำเร็จของวัตถุประสงค์

ดังนั้นเมื่อคุณเน้นไปที่เรื่องของความเสี่ยงหรือการควบคุมความเสี่ยงตั้งแต่แรกในการประเมินกระบวนการแล้ว คุณก็ไม่สามารถที่จะประเมินสิ่งหนึ่งโดยปราศจากความเข้าใจถึงสิ่งอื่น ๆ ได้ ตัวอย่างเช่น เมื่อจะกล่าวถึงแบบจำลองทางธุรกิจพื้นฐานที่ประกอบด้วยความสัมพันธ์ระหว่างองค์ประกอบต่าง ๆ ทั้งหมด 3 ประการ ในขั้นแรกจะต้องเข้าใจวัตถุประสงค์ เพื่อที่จะประเมินความเสี่ยงของความล้มเหลวในการบรรลุวัตถุประสงค์ ต่อมาก็นำความเสี่ยงมาบริหารให้อยู่ในระดับที่ยอมรับได้ โดยการเพิ่ม การลด หรือการดัดแปลงการควบคุมความเสี่ยงต่าง ๆ ในขณะที่ได้ตัดสินใจให้ผู้หนึ่งเข้ามาเน้นย้ำให้กับคนอื่น เพื่อให้บรรลุความต้องการในระยะสั้นของการประชุมเชิงปฏิบัติการ ควรจะต้องมีการนำผลลัพธ์ที่ได้กลับไปสู่เนื้อหาของแบบจำลองธุรกิจด้วย

แม้ว่าความหมายที่กล่าวมานี้ได้มีการแสดงให้เห็น CSA มากขึ้น แต่ก็ยังยากที่จะนำไปใช้ เมื่อมีคำถามว่า CSA คืออะไร ก็อาจตอบไปว่าเป็นวิธีการที่จะช่วยให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้นั่นเอง

สิ่งที่ทำให้ CSA เป็น CSA
CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่นอย่างไร เป็นคำถามที่ผู้ตรวจสอบหรือผู้ที่กำลังเรียนรู้เรื่อง CSA อาจต้องหาคำตอบ สิ่งที่ทำให้ CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่น สามารถพิจารณาได้ดังนี้ บางส่วนอาจมีความขัดแย้งกันเนื่องจาก CSA และการตรวจสอบแบบดั้งเดิมมีความแตกต่างกันจากองค์กรหนึ่งสู่อีกองค์กรหนึ่ง

– พนักงานสายงานหลัก ไม่ใช่ผู้ตรวจสอบภายใน เป็นผู้ประเมินการควบคุมภายใน
– หน่วยงานต่าง ๆ ในองค์กรสามารถทำการประเมินตนเองได้เอง โดยไม่ต้องอาศัยการมีส่วนร่วมของฝ่ายตรวจสอบภายใน
– เครื่องมือที่ช่วยในการประเมินตนเองซึ่งอาจเป็นสิ่งใหม่สำหรับผู้ตรวจสอบภายใน เช่น ทักษะการอำนวยความสะดวก การสำรวจ การลงคะแนนแบบไม่ออกนาม หรือหน่วยโครงการอื่น
– การประเมินตนเองเป็นวิธีที่ดีกว่าในการประเมินแบบไม่เป็นทางการ หรือการควบคุมอย่างไม่เป็นทางการที่ต้องอาศัยความร่วมมือ และการมีส่วนร่วมของคณะผู้ตรวจสอบมากกว่าการตรวจสอบแบบดั้งเดิม
– เรื่องเกี่ยวกับทีมงานหรือผู้ถูกตรวจสอบจะปรากฏในรายงาน CSA มากกว่าผู้ตรวจสอบภายใน
– อาจมีการนำการประชุมเชิงปฏิบัติการมาใช้เพื่อสอนการประเมินความเสี่ยง และการออกแบบการควบคุมภายในให้กับทีมงาน
– บทบาทของผู้ตรวจสอบภายในคือเป็นผู้อำนวยความสะดวกและผู้ให้คำแนะนำ ในเรื่องเกี่ยวกับแนวคิดและความคิดด้านความเสี่ยงและการควบคุมความเสี่ยง
– ผู้ถูกตรวจสอบส่วนใหญ่ชอบ CSA มากกว่ากระบวนการตรวจสอบแบบดั้งเดิม
– ผู้บริหารเข้ามามีส่วนร่วมมากกว่าเข้ามาตรวจสอบ
– เป็นวิธีการสร้างความเป็นไปได้ของผลลัพธ์เกี่ยวกับการมีส่วนร่วมและการให้ความร่วมมือของ CSAที่ดีกว่า

ความแตกต่างเหล่านี้ไม่ใช่ลักษณะเฉพาะของ CSA เป็นสิ่งที่เกิดขึ้นในการตรวจสอบแบบดั้งเดิม ส่วนการประเมินความเสี่ยงและการควบคุมความเสี่ยงสิ่งที่ผู้ปฏิบัติงานเป็นผู้ดำเนินการ และเป็นการประเมินโดยไม่เกี่ยวข้องกับการตรวจสอบภายใน จึงจะเป็นลักษณะเฉพาะของ CSA อย่างไรก็ตาม แม้ว่าสิ่งเหล่านี้จะเป็นเรื่องที่มีความท้าทายแต่การปฏิบัติของผู้ตรวจสอบบางกลุ่มในประเด็นเหล่านี้ก็ยังมีความแตกต่างกันอยู่ จึงควรที่จะสรุปความแตกต่างของ CSA กับการตรวจสอบแบบดั้งเดิมออกมาให้ชัดเจน

ถ้ามีการตรวจสอบองค์กรที่นำ CSA มาใช้จะพบว่า แต่ว่าละองค์กรมีความแตกต่างหลักในการทำ CSA ผู้ที่เริ่มนำ CSA ไปปฏิบัติในปลายทศวรรษที่ 1980 ก็จะมีมุมมองด้าน CSA ที่แตกต่างออกไป องค์กรที่เริ่มนำ CSA มาใช้ใหม่จะไม่ได้ให้ความสำคัญกับความแตกต่างเหล่านี้ โดยยังดำเนินการแบบที่เรียกว่า “การตรวจสอบแบบดั้งเดิมอยู่” นั่นหมายความว่า ยังคงมีความแตกต่างในแนวทาง ขอบข่าย การทดสอบ และวิธีการรายงานอยู่ ความหลากหลายของแนวทางสะท้อนให้เห็นถึงความแตกต่างในโครงสร้าง ระดับการมอบอำนาจให้พนักงาน รูปแบบการบริหาร และนโยบายที่องค์กรมีอยู่ นั่นแสดงให้เห็นว่า CSA และรูปแบบการประเมินการควบคุมอื่น ๆ เช่น การตรวจสอบภายในแบบดั้งเดิม จำเป็นที่จะต้องมีการเปลี่ยนแปลงไปตามสถานการณ์การเปลี่ยนแปลงในองค์กร ต้องเป็นเครื่องมือที่สามารถประยุกต์ใช้ได้ตามโอกาสที่เหมาะสม แม้ว่าอาจมีบางส่วนจะไม่เห็นด้วยแต่ CSA ก็ไม่ใช่การตรวจสอบภายในเพื่อเปลี่ยนแปลงวัฒนธรรมขององค์กร เนื่องจากกระบวนการเปลี่ยนแปลงนี้เป็นของฝ่ายบริหารไม่ใช่เป็นของผู้ตรวจสอบ CSA เป็นวิธีการประเมินการควบคุมความเสี่ยงในองค์กรที่พร้อมในการมอบอำนาจให้กับพนักงาน โดย CSA จะช่วยสนับสนุนให้เกิดการเคลื่อนย้ายอำนาจไปยังพนักงานแต่ไม่ได้ขึ้นอยู่กับผู้ตรวจสอบในริเริ่มการเปลี่ยนแปลงนั้นขึ้นมา

ฝ่ายตรวจสอบบางแห่งเริ่มนำ CSA ไปปฏิบัติ โดยกังวลว่าองค์กรอาจไม่ได้ต้องการที่จะประเมินความเสี่ยงด้วยตนเอง โดยจะนำ CSA ไปปฏิบัติให้ช้าลงเพราะเกรงว่าฝ่ายบริหารจะไม่ให้การสนับสนุน แม้ว่า CSA จะเป็นเพียงอีกเครื่องมือหนึ่งที่ใช้ในการตรวจสอบในสถานการณ์ที่เหมาะสม แต่ฝ่ายตรวจสอบกลับพบว่าไม่จำเป็นที่จะต้องมีระดับความสนับสนุนและเห็นชอบอย่างสูงจากองค์กรในการเริ่มนำมาใช้ นั่นทำให้พอสรุปได้ว่า หากมีการทำการประชุมเชิงปฏิบัติการในขั้นเริ่มต้นสำเร็จก็จะทำให้ฝ่ายบริหารให้ความสนับสนุนและต้องการให้มีเพิ่มขึ้นอีก

CSA เป็นเรื่องเกี่ยวกับบุคลากรที่ทำงานทางด้านการประเมินความเสี่ยงและการควบคุมความเสี่ยง สาเหตุที่ต้องมีการทำ CSA เนื่องจาก CSA มีความแตกต่างจากการตรวจสอบแบบดั้งเดิมที่ผู้ตรวจสอบเป็นผู้พิจารณาความเหมาะสมของการควบคุม ผู้ตรวจสอบจึงมองกลับไปที่ผู้ที่ถูกตรวจสอบหรือลูกค้าในฐานะผู้เชี่ยวชาญที่มีความรู้เกี่ยวกับสิ่งที่ต้องดำเนินต่อไปในองค์กรมากกว่าผู้ตรวจสอบ หลังจากนั้นผู้ถูกตรวจสอบก็จะเป็นผู้ทำงานร่วมกับวิธีการทำงานเหล่านั้นทุกวัน อันจะทำให้รู้ถึงปัญหา อุปสรรค ความเสี่ยง และการแก้ปัญหา ผู้ตรวจสอบอาจเข้ามาอีกครั้งใน 2-3 ปี และอยู่ในระยะเวลาสั้น ๆ ส่วนคำถามที่ว่า ทำไมจึงไม่มีผู้ที่มีความเชี่ยวชาญอย่างแท้จริงเข้ามาทำหน้าที่ในการประเมินการควบคุมความเสี่ยง คำตอบที่ว่านี้ก็คือ การใช้ผู้ที่มีความรู้และประสบการณ์เกี่ยวกับงานที่ทำโดยตรง เข้ามาระบุความเสี่ยงและการควบคุมความเสี่ยงเป็นวิธีการที่ดีกว่านั่นเอง

จากการนำ CSA มาใช้ทำให้เกิดการเปลี่ยนแปลงหลายอย่างภายในองค์กร รวมถึงประโยชน์และข้อคำนึงถึงในการทำ CSA ซึ่งในครั้งหน้าผมจะได้นำมาเล่าสู่กันฟังต่อไป