Posts Tagged "รูปแบบของ CSA"

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (4)

จากรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบต่าง ๆ นั้น ดังที่ผมได้กล่าวไปแล้วว่า การทำ CSA ส่วนใหญ่จะใช้วิธีการประชุมเชิงปฏิบัติการในการทำ CSA แต่ก็ยังมีวิธีการสำรวจและวิธีการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมด้วยเช่นกัน มาติดตามกันว่า 2 วิธีดังกล่าวนี้มีรายละเอียดอย่างไรบ้างกันดีกว่าครับ

วิธีการสำรวจ

แบบสอบถามหรือการทำสำรวจเพื่อ CSA ใช้แบบฟอร์มการสำรวจ ในการเสนอโอกาสเพื่อคำตอบง่าย ๆ ว่า “ใช่/ไม่ใช่” หรือ “มี/ไม่มี” เจ้าของกระบวนการใช้ผลของการสำรวจในการประเมินโครงสร้างการควบคุม

ผู้ตรวจสอบได้มีการใช้แบบสอบถามมาเป็นเวลาหลายปีและนำมาใช้ในการทำ CSA ซึ่งไม่มีความแตกต่างกันมากนัก สิ่งหนึ่งที่แตกต่างระหว่างแบบสอบถามที่ใช้ในการตรวจสอบ และแบบสอบถามที่ใช้ในการทำ CSA คือแบบสอบถามเพื่อใช้ใน CSA จำเป็นต้องเขียนตามภาษาของผู้รับ ไม่ใช้ของผู้ตรวจสอบ เนื่องจากไม่มีผู้รับผิดชอบในการตีความหรือไขข้อสงสัยของคำถามให้ผู้รับ ดังนั้นพวกเขาจะตอบคำถามตามที่เขาตีความหรือข้ามไปหากไม่เข้าใจ

แบบสอบถามถูกใช้บ่อยเมื่อวัฒนธรรมองค์กรไม่ยอมรับหรือสนับสนุนให้มีส่วนร่วมในการตอบในการประชุมเชิงปฏิบัติการ (เมื่อผู้เข้าร่วมไม่อภิปรายอย่างเปิดเผยตรงไปตรงมา) ที่เป็นเช่นนี้เพราะกลัวการโต้ตอบจากผู้บริหาร กลัวการสนับสนุนของกลุ่มเพื่อน หรือปัจจัยอื่น ๆ

การสำรวจสามารถใช้เพื่อขยายขอบเขตที่ครอบคลุมของการประเมินตนเองได้ โดยสามารถส่งแบบสอบถามให้กับคนเป็นจำนวนมากได้ในครั้งเดียว แต่อาจต้องใช้เวลาและความร่วมมืออย่างมากในการรวมคนกลุ่มเดียวกันให้เข้ามาร่วมประชุมเชิงปฏิบัติการ

การตอบสนองของการสำรวจอาจไม่มีการระบุชื่อหรือผู้ตอบอาจถูกขอร้องให้เปิดเผยชื่อ ซึ่งจะส่งผลว่าการมองการตอบนั้น ตอบอย่างซื่อสัตย์และถูกต้องได้อย่างไร ผู้ใช้การสำรวจเกือบทั้งหมดเห็นด้วยว่าการใช้การสำรวจโดยไม่มีการติดตามผลหรือการตรวจสอบการตอบทำให้ไม่ได้ผลลัพธ์ที่ถูกต้อง หากผู้ตอบรู้ว่าไม่มีใครติดตามการตอบของพวกเขา ก็จะมีแนวโน้มการตอบแบบสำรวจในลักษณะที่จะทำให้มีจำนวนงานที่ติดตามน้อยที่สุด ผู้ตอบจำนวนมากกล่าวได้ว่าทุกสิ่งทุกอย่างลงตัว แม้ว่าไม่เป็นความจริง ถ้าพวกเขารู้ว่าไม่มีใครอาจจับเขาได้

การสำรวจสามารถเป็นที่ชื่นชอบในการประชุมเชิงปฏิบัติการบนพื้นฐาน CSA ภายในสภาพแวดล้อมดังต่อไปนี้
• วัฒนธรรมองค์กรไม่พร้อมที่จะแบ่งปันข่าวสารข้อมูลที่ละเอียดอ่อนต่อการควบคุมในการประชุมเชิงปฏิบัติการแบบเปิดเผย
• ผู้บริหารมีความกังวลอย่างมากเกี่ยวกับเวลาที่ต้องการให้ลูกจ้างเข้าร่วมการประชุม
• ผู้ตรวจสอบมองหาหนทางลดค่าใช้จ่ายเพื่อให้ได้มาซึ่งข้อมูลเกี่ยวกับความเสี่ยงเพื่อใช้ในการเตรียมแผนการ ตรวจสอบประจำปี
• ไม่ได้แสดงทักษะในการตรวจสอบในการประชุมเพื่ออำนวยความสะดวก
• ขอบเขตของการประเมินตนเองคือความกว้างขวางขององค์กรและความต้องการข้อมูลข่าวสารอย่างรวดเร็ว

เทคนิคของการสำรวจที่ประสบความสำเร็จ
แม้ว่าจะมีการกล่าวไว้อย่างมากว่า การทำการสำรวจง่ายกว่าการวางแผนและการอำนวยความสะดวกในการประชุม CSA แต่ยังคงใช้ทักษะของตนเองอยู่ด้วย สิ่งที่ดีที่สุดคือการเตรียมการประชุมโดยการฝึกฝน แต่นั่นหมายความว่าจะต้องเกิดการผิดพลาดก่อน การใช้งานใครบางคนให้เกิดประโยชน์สูงสุดด้วยการนำประสบการณ์มาใช้ในการเขียนแบบสำรวจเป็นสิ่งสำคัญ หากส่วนงานเลือกวิธีการสำรวจในการทำ CSA ส่วนงานบริหารทรัพยากรมนุษย์สามารถช่วยได้โดยใช้เทคนิคการสำรวจ

การแนะนำที่เป็นประโยชน์ในการเตรียมแบบสอบถามประกอบด้วย
• ใช้ภาษาของผู้รับ
• ใช้หนึ่งคำถามต่อหนึ่งหัวข้อ
• ใช้คำศัพท์ที่มีความหมายชัดเจน
• ถามคำถามที่ง่ายต่อการตอบในครั้งแรก
• ทำแบบสอบถามให้สั้นและง่าย
• เขียนแบบสอบถามในลักษณะของผู้ปฏิบัติเอง
• แจกและเก็บคืนแบบสอบถามด้วยตนเอง
• ใช้แบบสอบถามให้เป็นเครื่องมือการสนทนาในการสัมภาษณ์

การใช้คำถามต้องการเพียงคำตอบว่า “ใช่” หรือ “ไม่ใช่” ทำให้การสำรวจง่ายในการรวบรวมมากกว่าการใช้คำถามแบบเปิด แต่อาจจะไม่ให้ผลเป็นประโยชน์ต่อการประเมินเพื่อการควบคุม ยกตัวอย่าง มีความแตกต่างมากถึงวิธีที่ผู้จัดการใช้ตอบคำถามสำหรับหน่วยงานของตนเอง
• พนักงานกังวัลในเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (ใช่)
• จะแน่ใจได้อย่างไรว่าพนักงานให้ความสนใจเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)
• พนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (เห็นด้วย)
• จะทราบได้อย่างไรว่าพนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)

ดังนั้นการสอบถามจากบุคคลแต่ละโดยตรงจะได้คำตอบที่แตกต่างกว่าหากผู้จัดการแผนกได้ถามคำถามเดียวกันให้กับแผนก

ผลดีและผลเสียของการสำรวจ

การศึกษาวิจัย IIA เรื่อง การนำรูปแบบการควบคุมไปปฏิบัติบัติ: วิธีปฏิบัติที่ดีที่สุด ประกอบด้วยข้อมูลเกี่ยวกับการสำรวจและแบบสอบถามพร้อมด้วยตัวอย่างของการสำรวจ วัตถุประสงค์ของบทนี้เราจะสิ้นสุดเรื่องหัวข้อการสำรวจด้วยการมองผลดีและผลเสียเพื่อใช้เปรียบเทียบการประชุมเชิงปฏิบัติการ

ตามประสบการณ์ของผม การสำรวจหรือแบบสำรวจถูกใช้ประมาณ 30 เปอร์เซ็นต์ของความพยายามในการทำ CSA และมักติดตามด้วยการประชุมเชิงปฏิบัติการหรือการสัมภาษณ์ผลลัพธ์ที่เกิดขึ้น

การวิเคราะห์ที่ทำโดยผู้บริหาร

การวิเคราะห์นี้รวมถึงวิธีทางต่าง ๆ ที่อาจสร้างข้อมูลเกี่ยวกับการควบคุมสำหรับผู้บริหาร การประชุมเชิงปฏิบัติการและการสำรวจเป็นรูปแบบที่นิยมมากสำหรับการทำ CSA

ตัวอย่างบางส่วนของการวิเคราะห์ที่ทำโดยผู้บริหารได้แก่
• แบบสำรวจที่ได้รับการพัฒนาและจัดการโดยผู้บริหารในการสนับสนุนความคิดเห็นเกี่ยวกับการควบคุมภายในที่กฎหมายและกฎระเบียบต้องการ ดังเช่น พระราชบัญญัติการปรับปรุง FDIC
• การอภิปรายท่ามกล่างผู้บริหารการเงินอาวุโสในการสนับสนุนหนังสือนำเสนอประจำปีซึ่งนักบัญชีภายนอกต้องการ
• การสอบสวนหาเหตุผลว่าทำไมการควบคุมเฉพาะเจาะจงถึงล่มสลายหรือล้มเหลว
• การตรวจสอบการนำการควบคุมภายในไปปฏิบัติของระบบใหม่ที่ได้รับพัฒนาหรือการรวมหน่วยทางธุรกิจ

ธรรมชาติและรูปแบบของประเภทของการประเมินตนเองมีความหลากหลาย รูปแบบที่เป็นที่นิยมมากในการทำ CSA และสิ่งที่คนทั่วไปมีแนวโน้มจะคิดถึงเมื่อกล่าวถึง CSA คือการประชุมเชิงปฏิบัติการและการสำรวจ

ตามที่ได้รับทราบไปแล้ว CSA ได้ถูกปฏิบัติอย่างแตกต่างโดยผู้ปฏิบัติทั้งหมด การทำ CSA ที่แตกต่างนั้น ไม่ได้หมายความว่าคนใดคนหนึ่งทำผิด หากการอำนวยความสะดวกในการประชุม, การสำรวจ, หรือการวิเคราะห์อื่น ๆ ช่วยให้องค์กรบรรลุวัตถุประสงค์แล้วสิ่งนั้นย่อมเป็นจุดสำคัญในทางใดทางหนึ่ง

สำหรับครั้งหน้าผมจะมาเล่าให้ฟังว่าทำไมการทำ CSA-Control Self Assessment ถึงต้องกำหนดวัตถุประสงค์ของความเสี่ยงและการควบคุมความเสี่ยง อย่าลืมติดตามนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (3)

จากครั้งที่แล้ว ผมได้เล่าสู่กันฟังในเรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยใช้วิธีการประชุมเชิงปฏิบัติการ ซึ่งเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA และมีการประเมินในรูปแบบต่าง ๆ ดังที่ผมได้กล่าวถึงรูปแบบและวิธีการในภาพรวมไปแล้ว สำหรับวันนี้ผมจะขอเล่าต่อถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบต่าง ๆ เป็นหัวข้อ ๆ เพื่อความชัดเจนยิ่งขึ้น

ลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการแบบต่าง ๆ

แบบฐานจากวัตถุประสงค์
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• องค์กรจะทำการทบทวนการลงทุน (หากองค์กรปฏิบัติผ่านการจำแนกความเสี่ยงและออกแบบการควบคุมความเสี่ยงโดยการนำ COSOไปปฏิบัติ) โดยใช้เป็นจุดเริ่มต้น
• เริ่มต้นด้วยสมมติฐานที่ว่ามีการออกแบบการควบคุมความเสี่ยงที่ทันสมัยและดี

แบบฐานจากความเสี่ยง
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• ผู้บริหารมักจะให้ความสนใจในการจำแนกความเสี่ยง ดังนั้นพวกเขาจึงชอบวิธีการนี้
• เตรียมการจำแนกความเสี่ยงและการควบคุมโดยตลอด เนื่องจากต้องเริ่มต้นด้วยการจำแนกความเสี่ยงทั้งหมด
• สร้างความแข็งแรงและเสริมสร้างกระบวนการจำแนกความเสี่ยงเพื่อใช้ใน COSO และ กรอบการควบคุมอื่นๆ โดยเสริมสร้างทีมงานให้เข้ามาร่วมในการจำแนกความเสี่ยงมากขึ้น
• การละทิ้งบทบาทดั้งเดิมของผู้ตรวจสอบ (เพื่อประเมินการควบคุม) ในบางองค์กร เป็นเรื่องยากที่จะทำให้ผู้บริหารเชื่อ

แบบฐานจากการควบคุม
• ขั้นตอนของการประชุม คือ ข้อตกลงเรื่องการประเมินความเสี่ยงและการควบคุมความเสี่ยง
• การประชุมกระชับขึ้นเนื่องจากได้มีการจำแนกการควบคุมก่อนเริ่มประชุม
• ผู้อำนวยความสะดวกที่ได้รับปฏิกิริยาโต้ตอบน้อยในระหว่างการประชุมจะทำให้การประชุมดำเนินไปโดยง่าย
• ควรมีการเตรียมการก่อนการประชุมให้มากขึ้นเพื่อจำแนกการควบคุมที่มีอยู่
• อย่าแน่ใจว่ามีการระบุการควบคุมครบถ้วนแล้วอันเนื่องจากการที่ผู้ตรวจสอบได้ทำงานเบื้องต้นทำเสร็จแล้ว
• อย่าให้ผู้เข้าร่วมนำการควบคุมไปใช้หากยังไม่ได้มีการจำแนกการควบคุมความเสี่ยงด้วยตนเอง

แบบฐานจากกระบวนการ
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ของกระบวนการ – วัตถุประสงค์ระดับของกิจกรรม
• หัวข้อของการประชุม (กระบวนการทางธุรกิจ) คล้ายคลึงกับวิธีการตรวจสอบอื่นๆ เนื้อหาอาจคุ้นเคยและสะดวกสบายสำหรับผู้ตรวจสอบและผู้บริหารบางคนมากกว่า
• การจัดทำแผนกระบวนการในระดับสูงจะเพิ่มความเข้าใจของผู้เข้าร่วมและกระจายไปสู่การประชุมเชิงปฏิบัติการ
• เช่นเดียวกับการตรวจสอบวิธีการแบบฐานจากกระบวนการ เจ้าของกระบวนการอาจจำแนกได้ยากมีข้อจำกัดในการกระทำใดๆก็ตามอันเนื่องจากความเป็นเจ้าของ
• อาจต้องมีการประชุมเพิ่มขึ้นเพื่อให้ครอบคลุมขอบเขตเดียวกันกับการตรวจสอบแบบฐานจากกระบวนการ ด้วยเหตุนี้จึงดูเหมือนว่าต้องการทรัพยากรมากขึ้น
• การประชุมจะเป็นการรวมผู้เข้าร่วมซึ่งปกติแล้วไม่ได้ทำงานด้วยกัน ซึ่งอาจต้องการทักษะในส่วนของผู้อำนวยความสะดวกเพื่อให้ผู้เข้าร่วมเปิดใจกัน
• ต้องมีการจำแนกวัตถุประสงค์ของแต่ละขั้นตอนหลักของกระบวนการซึ่งมักทำโดยฝ่ายตรวจสอบภายใน เนื่องจากผู้เข้าร่วมและผู้บริหารอาจจะทำได้ด้อยกว่า
• หากกระบวนการมีขอบเขตกว้าง (การขยายองค์กร) ผู้เข้าร่วมอาจจำเป็นต้องเดินทางไปประชุม ดังนั้นจึงมีค่าใช้จ่ายเพิ่มขึ้น

แบบตามสถานการณ์
• ขั้นตอนของการประชุม คือ การทำให้ง่ายขึ้น – อุปสรรค – อภิปรายแก้ไขปัญหาที่เป็นอุปสรรค
• ง่ายต่อการอำนวยความสะดวกและการบันทึกข้อมูล
• อาจไม่ได้ใส่ในวัตถุประสงค์เฉพาะ (ไม่ได้อยู่ที่ระดับที่สูงกว่า โดยมองไปทั่วทั้งส่วนงาน)
• ไม่ได้รวมการประเมินค่าของการควบคุมซึ่งเกี่ยวข้องกับแต่ละวัตถุประสงค์
• ผู้อำนวยความสะดวกใช้เวลาในการเตรียมตัวน้อยเนื่องจากไม่ต้องจำแนกวัตถุประสงค์เฉพาะออกมา

คุณลักษณะอื่น ๆ ของวิธีการประชุมเชิงปฏิบัติการในรูปแบบต่าง ๆ เหล่านี้
• ผู้บริหารโดยทั่วไปชอบวิธีการที่มุ่งเน้นวัตถุประสงค์เฉพาะอย่าง เช่น วัตถุประสงค์, ความเสี่ยง และพื้นฐานการควบคุม วิธีการเหล่านี้ช่วยให้ความกระจ่างกับองค์กรในเรื่องวัตถุประสงค์
• แผนกตรวจสอบอาจเชื่อมโยงวัตถุประสงค์เพื่อใช้ในการตรวจสอบแบบดั้งเดิมเข้ากับวัตถุประสงค์ของผู้บริหารซึ่งมีไว้สำหรับองค์กรได้ยาก ดังนั้น CSA ที่มีพื้นฐานจากวัตถุประสงค์ทางธุรกิจที่สามารถเปลี่ยนแปลงได้เพื่อผู้ตรวจสอบ
• ผู้บริหารการตรวจสอบภายนอกบางคนจะมองเห็นการเชื่อมโยงระหว่างวัตถุประสงค์เพื่อองค์กรและวัตถุประสงค์ของการตรวจสอบภายในได้ยาก ดังนั้นผู้บริหารอาจคัดค้านผู้ตรวจสอบในการมองส่วนที่ไม่เกี่ยวกับการเงิน, วัตถุประสงค์ที่ไม่เข้ากัน

จากพื้นฐานของรูปแบบวิธีการที่ใช้ใน CSA ที่กล่าวถึงก่อนหน้านี้ยังมีวิธีการอื่น ๆในการทำ CSA อีกซึ่งไม่ได้อธิบายไว้ในที่นี้ วิธีการทั้ง 5 แบบเกี่ยวข้องกับการอำนวยความสะดวกในการประชุมเชิงปฏิบัติการ แต่ในหลายองค์กรประสบความสำเร็จใช้การประเมินตนเองด้วยวิธีการที่หลากหลาย หรือใช้หลายวิธีร่วมกัน บางวิธีการซึ่งไม่ได้ถูกกล่าวถึงนั้น ไม่ได้หมายความว่าจะเป็นวิธีการที่ไม่ดี หากวิธีการใดประสบความสำเร็จในการปรับปรุงความสามารถขององค์กรให้สามารถบรรลุวัตถุประสงค์ วิธีการนั้นเป็นสิ่งที่ดีสำหรับองค์กรนั้น ๆ วิธีการประชุมเชิงปฏิบัติการที่ได้อธิบายข้างต้นตามแนวคิดเรื่องการประเมินตนเองเพื่อการควบคุมความเสี่ยง และแนวทางเฉพาะส่วนงานที่ได้กล่าวถึงก่อนหน้านี้เป็นวิธีที่ได้รับความนิยมมากที่สุดในการทำ CSA รูปแบบการประเมินตนเองที่ได้รับความนิยมในการทำ CSA ส่วนใหญ่ 70 เปอร์เซ็นต์เลือกใช้การประชุมเชิงปฏิบัติการในการทำ CSA ส่วนอีก 2 วิธี ได้แก่ การสำรวจและการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมถัดมา

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (2)

วันนี้ผมจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยวิธีการประชุมเชิงปฏิบัติการ ซึ่งจะกล่าวโดยละเอียด จากที่ได้เล่าสู่กันฟังในครั้งก่อน ๆ มาบ้างแล้ว ทำไมถึงต้องใช้วิธีการประชุมเชิงปฏิบัติการ เพราะวิธีการประชุมเชิงปฏิบัติการเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA การประชุมเชิงปฏิบัติการนี้คือ การประชุมที่ช่วยอำนวยความสะดวกโดยผู้ตรวจสอบภายใน และถูกออกแบบให้ประเมินและการควบคุมความเสี่ยง เพื่อให้ได้วัตถุประสงค์หรือกระบวนการออกมา

ตามกฎหัวแม่มือ การประชุมเชิงปฏิบัติการจะมีรวมผู้เข้าร่วม 6-15 คน และ ผู้ตรวจสอบ 2 คน (คนหนึ่งทำหน้าที่อำนวยความสะดวกและอีกคนเป็นผู้บันทึก) และใช้เวลา 2-4 ชม. การประชุมเชิงปฏิบัติการมีการอำนวยความสะดวกและจดบันทึกหลายขนาด หลายรูปแบบ และมีความยาวที่แตกต่างกัน แต่จำนวนเหล่านี้ก็เป็นแบบฉบับแบบหนึ่งที่แสดงให้เห็นได้

แนวการทำ CSA ครอบคลุมรูปแบบหลักของการประชุมเชิงปฏิบัติการของ CSA 4 รูปแบบ คือ
• แบบฐานจากวัตถุประสงค์
• แบบฐานจากความเสี่ยง
• แบบฐานจากการควบคุม
• แบบฐานจากกระบวนการ

ผมขออธิบายรายละเอียดในแต่ละรูปแบบดังนี้นะครับ

การประชุมเชิงปฏิบัติการที่มีรูปแบบฐานจากวัตถุประสงค์

มุ่งเน้นการบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่ม โดยการระบุการควบคุมที่เหมาะสมกับวัตถุประสงค์ ดังนั้นความเสี่ยงที่ยังมีอยู่จะถูกจำแนกออกมา วัตถุประสงค์ของการประชุมคือการระบุว่า เทคนิคการควบคุมมีประสิทธิผลหรือไม่ และผลลัพธ์ที่ได้มีความเสี่ยงที่เหลืออยู่ในระดับที่ยอมรับได้หรือไม่ (ความเสี่ยงส่วนที่เหลือไม่ทำให้การควบคุมลดน้อยลง)

วิธีการนี้กล่าวได้ว่าเป็นการระบุความเสี่ยงในเบื้องต้น และมีการออกแบบการควบคุมเพื่อวัตถุประสงค์ได้ดำเนินการแล้ว และหลังจากการทบทวนการควบคุมที่คงอยู่ในการประชุมเชิงปฏิบัติการ ก็จะมีการสื่อสารความเสี่ยงที่คงอยู่หรือเหลืออยู่ออกไป สิ่งนี้คือกรณีที่องค์กรได้นำกรอบการควบคุมความเสี่ยงเช่น COSO ไปปฏิบัติจนสำเร็จลุล่วงแล้ว และการควบคุมถูกมองว่ารวมอยู่ในงานประจำวันของพนักงานแล้ว ในระหว่างการทำ COSO แต่ละส่วนควรจะประเมินความเสี่ยง และออกแบบการควบคุมความเสี่ยงด้วยตนเอง เพื่อลดความเสี่ยงได้ระบุได้ เนื่องจากผู้บริหารซึ่งเป็นเจ้าของกระบวนการประเมินความเสี่ยงและมีการนำ COSO มาใช้เพื่อช่วยเหลือผู้บริหาร โดยมีสมมติฐานคือผู้บริหารได้ระบุการควบคุมความเสี่ยงที่สมเหตุสมผล ในรูปแบบฐานจากวัตถุประสงค์นี้ CSA เริ่มด้วยการระบุและประเมินการออกแบบการควบคุมความเสี่ยงที่มีอยู่ก่อน

ในบางองค์กรสมมติฐานของการประเมินความเสี่ยงไม่สามารถเป็นจริงได้ ในความเป็นจริงแล้วการประเมินความเสี่ยงอาจเป็นสิ่งที่ CSA ตั้งใจวางไว้อยู่แล้ว การใช้วิธีการแบบฐานจากวัตถุประสงค์ไม่ใช่วิธีที่ดีที่สุดสำหรับองค์กรเหล่านั้น ควรเลือกวิธีการแบบฐานจากความเสี่ยงแทน

การประชุมเชิงปฏิบัติการแบบฐานจากความเสี่ยง

มุ่งเน้นการจำแนกความเสี่ยงเพื่อนำไปสู่การบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่มด้วยการจำแนกแยกแยะอุปสรรค สิ่งขัดขวาง (เรียกว่าความเสี่ยงที่มีมาแต่ต้น) ซึ่งเป็นสิ่งขัดขวางการบรรลุวัตถุประสงค์ และจากนั้นจึงจำแนกกิจกรรมการควบคุม เพื่อให้แน่ใจว่าเพียงพอที่จะจัดการกับความเสี่ยงที่เป็นสำคัญ ในท้ายที่สุดความเสี่ยงสำคัญที่ยังเหลืออยู่จะถูกจำแนกออกมา การประชุมเชิงปฏิบัติการที่มีฐานจากความเสี่ยงนี้นำทีมงานเข้ามามีส่วนร่วมโดยใช้กฎเกณฑ์เรื่องวัตถุประสงค์ ความเสี่ยง การควบคุมความเสี่ยงในระหว่างการประชุมเชิงปฏิบัติการ

เช่นเดียวกับวิธีการแบบฐานจากวัตถุประสงค์ คือเกิดขึ้นโดยมีวัตถุประสงค์เป็นพื้นฐาน วิธีการแบบฐานจากความเสี่ยง ตรวจสอบความเสี่ยงเป็นอันดับแรก หลังจากนั้นจึงมองที่การควบคุมก่อนในการประชุม ในขณะที่วิธีการเน้นวัตถุประสงค์มองที่การควบคุมแล้วจึงมองที่ความเสี่ยงที่ยังเหลืออยู่ วิธีการแบบฐานจากความเสี่ยงอาจส่งผลในการประชุมเชิงปฏิบัติการเรื่องการประเมินตนเองมากกว่าวิธีการอื่น ๆ เนื่องจากมีการระบุความเสี่ยงที่เป็นไปได้จากการประชุมเชิงปฏิบัติการ การระบุและอภิปรายรายละเอียดความเสี่ยง ซึ่งมีพื้นฐานบนกรอบแนวคิดเรื่องความเสี่ยงอาจเกิดขึ้นในรูปแบบเช่นนี้

องค์กรที่ได้นำ COSO มาปฏิบัติจะใช้การจำแนกความเสี่ยง และการออกแบบควบคุมเป็นวัตถุประสงค์หลัก ซึ่งถ้าเป็นเช่นนั้น การกลับไปสู่การระบุความเสี่ยงในการประชุมเชิงปฏิบัติการ CSA อาจถูกมองเป็นการคัดลอกงานโดยทีมงาน เมื่อเกิดกรณีนี้ขึ้นรูปแบบฐานจากการควบคุม หรือฐานจากวัตถุประสงค์อาจเป็นประโยชน์มากกว่า

การประชุมเชิงปฏิบัติการแบบฐานจากการควบคุม

มุ่งเน้นว่าทำอย่างไรให้การควบคุมเป็นไปด้วยดี แต่มีความแตกต่างจากสองวิธีการแรก เนื่องจากผู้ตรวจสอบหรืออำนวยความสะดวก ระบุความเสี่ยงที่เป็นปัจจัยและการควบคุมก่อนการประชุมในระหว่างกระบวนการวางแผนทำ CSA เป็นเสมือนการตรวจสอบแบบดั้งเดิมมากกว่า การจำแนกอาจทำโดยการสัมภาษณ์พร้อมกับผู้บริหารและพนักงาน การแสดงแผนภูมิ เป็นต้น ทางที่ดีข้อมูลควรได้รับโดยตรงจากเอกสารซึ่งดูแลรักษาโดยสมาชิกของทีมงานเอง เนื่องจากเป็นส่วนหนึ่งของความรับผิดชอบของทีมงาน

ในระหว่างการประชุมเชิงปฏิบัติการ ทีมงานจะประเมินว่าทำอย่างไรให้การควบคุมได้ผลในการลดความเสี่ยงและบรรลุวัตถุประสงค์ วิธีการนี้จะทำให้เกิดการวิเคราะห์ความแตกต่างระหว่างวิธีการที่การควบคุมทำงาน และวิธีการที่ผู้บริหารตั้งใจทำ เพื่อการควบคุมอันจะทำให้การประชุมเชิงปฏิบัติการใช้เวลาสั้นลง เนื่องจากความเสี่ยงและการควบคุมถูกจำแนกแยกแยะก่อนการประชุมจะเริ่มขึ้น วิธีการนี้จะได้รับความเห็นชอบหากผู้บริหารต้องการการประชุมที่กระชับและเชื่อว่ามีการควบคุมเพียงพอ

การประชุมเชิงปฏิบัติการแบบฐานจากกระบวนการ

เป็นการตรวจสอบกระบวนการโดยรวบรวมทั้งกิจกรรมที่ปฏิบัติภายในนั้น เป้าหมายของการประชุมคือการประเมิน การทำข้อมูลให้ทันสมัย การตรวจสอบและการปรับปรุงกระบวนการที่เลือกแล้ว คำว่า “กระบวนการ” ในบริบทนี้หมายถึงการมองไปที่ชุดของกิจกรรมที่ต่อเนื่องจากเป้าหมายไปสู่เป้าหมาย ดังเช่นกระบวนการจัดซื้อ การพัฒนาผลิตภัณฑ์ การเตรียมสัญญา กระบวนการด้านภาษี เป็นต้น

วิธีการนี้มักรวมถึงการจำแนกแยกแยะวัตถุประสงค์ของทั้งกระบวนการทั้งหมด (เช่น ระดับการบริการหรือผลผลิตที่เกิดขึ้น) และขั้นตอนที่หลากหลายของกระบวนการ บางกลุ่มเรียกวัตถุประสงค์ของขั้นตอนที่หลากหลายของกระบวนการว่า “วัตถุประสงค์การควบคุม” หรือ “วัตถุประสงค์ระดับกิจกรรม” ผู้บริหารเห็นด้วยก่อนการอำนวยความสะดวกในการประชุม ในระหว่างการประชุมเชิงปฏิบัติการผู้เข้าร่วมจำแนกความเสี่ยงและการควบคุมจะช่วยให้บรรลุแต่ละวัตถุประสงค์ได้ง่ายขึ้น

วิธีการแบบฐานจากกระบวนการ อาจมีการวิเคราะห์อย่างกว้างมากกว่ารูปแบบฐานจากการควบคุม ซึ่งครอบคลุมวัตถุประสงค์อันหลากหลายในกิจกรรมของกระบวนการ วิธีการนี้อาจถูกใช้เชื่อมโยงความพยายามในการปฏิรูปองค์กร หรือความคิดริเริ่มเกี่ยวกับคุณภาพในการปฏิบัติเป็นทีม หรือโดยฝ่ายตรวจสอบนิยมใช้วิธีการแบบฐานจากระบวนการเพื่อการตรวจสอบแบบดั้งเดิม

การประชุมเชิงปฏิบัติการเรื่องกระบวนการอาจรวมถึงการปฏิรูปองค์กร (ตัวอย่างเช่น การลดค่าใช้จ่ายในการผลิตโดยรวม 10%) หรือกรอบการทำงานภายในซึ่งมีความเสี่ยงเฉพาะและการควบคุมอยู่ด้วย (ตัวอย่างเช่น การผลิตชิ้นส่วนเครื่องจักรก็มีความเสี่ยงเพราะอัตราการปฏิเสธมีเกินกว่า 2%) ข้อเสนอในการเปลี่ยนแปลงแสดงเนิ้อหาด้านความเสี่ยงและการควบคุมความเสี่ยงที่มีความเฉพาะเจาะจง

แต่ผลลัพธ์ยังคงเน้นที่กระบวนการทางธุรกิจโดยรวม สิ่งนี้ทำให้แน่ใจได้ว่าการรับรองเกี่ยวเนื่องและมุ่งเน้นธุรกิจภายใต้การตรวจสอบ บางกลุ่มเริ่มจากการมองภาพรวม วัตถุประสงค์กระบวนการแม้ว่าจุดเน้นจะอยู่บนความเสี่ยงและหรือการควบคุมภายในกระบวนการเพื่อการเตรียม วิธีการที่เน้นธุรกิจ

อีกรูปแบบหนึ่งของการประชุมเชิงปฏิบัติการ CSA ที่เรียกว่าวิธีการเชิงส่วนงานหรือสถานการณ์ ก็เป็นที่นิยมด้วยเช่นกัน วิธีการนี้มุ่งเน้นส่วนงานทั้งหมดไม่เพียงแต่มุ่งเน้นวัตถุประสงค์หรือกระบวนการเพียงอย่างเดียว การประชุมเชิงปฏิบัติการในขั้นพื้นฐานประกอบด้วยการสอบถามทีมงานหรือส่วนงาน 2 คำถาม คือ 1) สิ่งใดจะช่วยทำให้ส่วนงานบรรลุวัตถุประสงค์ และ 2) สิ่งใดขัดขวางการบรรลุวัตถุประสงค์ มีการนำวิธีการที่หลากหลายมาใช้ในการรวบรวมข้อมูล แต่การใช้กระดาษโน้ตกาวติดบนกำแพง เพื่อให้ทุกคนสามารถเห็นคำตอบได้ง่าย เป็นวิธีการรวบรวมข้อมูลโดยเทคโนโลยีระดับล่าง ผู้เข้าร่วมการประชุมตอบคำถาม 1 คำถาม ต่อกระดาษโน้ต 1 แผ่น การสรุปปัจจัยจะเป็นการช่วยหรือขัดขวางแนวคิดของพวกเขา ผลลัพธ์จะถูกจัดกลุ่มและบ่อยครั้งที่กลุ่มจะร่วมกันอภิปรายแก้ปัญหาที่อุปสรรคอันดับต้นๆอย่างมีศักยภาพ

วิธีการทำ CSA แบบนี้สามารถทำให้ง่ายขึ้น โดยมีผู้อำนวยความสะดวกหรือผู้บันทึกข้อมูล เพราะทีมงานจะเข้ามามีส่วนร่วมในการสร้างและการจัดเรียงข้อมูลดิบมากขึ้น การประชุมไม่มีการติดขัดเป็นคอขวดในกระบวนการบันทึกข้อมูล ผลลัพธ์เป็นภาพรวมอย่างกว้างพร้อมทั้งเนื้อหาเฉพาะของสถานการณ์ปัจจุบันในส่วนงาน

สำหรับครั้งหน้าผมจะยังคงเล่าสู่กันฟังต่อในรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยงด้วยวิธีการประชุมเชิงปฏิบัติการ แต่จะเน้นให้เห็นถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบต่าง ๆ ที่ได้กล่าวมาข้างต้น อย่าลืมติดตามนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (1)

ผมได้กล่าวถึงมุมมองของการทำ CSA ในเบื้องต้นมาพอสมควร วันนี้ผมจะมาเล่าในรายละเอียดที่ลึกลงไป โดยจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง สำหรับการทำ CSA จำแนกได้ 3 วิธีการ ได้แก่ การประชุมเพื่ออำนวยความสะดวก(หรือที่รู้จักกันดีว่าการประชุมเชิงปฏิบัติการ), การทำแบบสอบถามหรือแบบสำรวจ และการวิเคราะห์โดยผู้บริหาร ถึงแม้ว่าจะมีการอธิบายแนวทางพื้นฐานทั้ง 3 วิธีอย่างชัดเจนก็ตาม แต่ในองค์กรต่างๆ ก็นิยมใช้การประเมินมากกว่า 1 วิธีในกระบวนการประเมินตนเอง แนวทางต่าง ๆ ที่ใช้ในการประเมิน CSA มีดังต่อไปนี้

ตัวอย่างของการใช้การประเมินตนเองเพื่อควบคุมความเสี่ยง

• ใช้การประชุมเชิงปฏิบัติการกับการออกเสียงแบบไม่ออกนามเพื่อประเมินความเสี่ยง เป็นเสมือนปัจจัยในการพัฒนาแผนการตรวจสอบประจำปี วิธีการนี้จะช่วยจัดการความเสี่ยงรวมถึงการเตรียมการวางแผนได้
• ใช้การประชุมเชิงปฏิบัติการเพื่อการดำเนินธุรกิจหลักระหว่างแผนกต่าง ๆ
• ส่งแบบสอบถามให้กับระดับบริหาร เพื่อให้ประเมินรายการมาตรฐานของการควบคุมวัตถุประสงค์ภายในแผนกของตนเอง รวมทั้งเลือกการตรวจสอบไปปฏิบัติโดยอยู่บนพื้นฐานของการตอบสนอง
• ใช้ขั้นตอนการสัมภาษณ์ในการเริ่มต้นการตรวจสอบ เพื่อเก็บข้อมูลและจัดขอบเขตของการตรวจสอบ
• สลับสับเปลี่ยน CSA และ การตรวจสอบแบบเดิม ดำเนินการตรวจสอบแบบเดิมหนึ่งปี และใช้การประชุมเชิงปฏิบัติการในปีถัดไป
• ใช้ CSA เป็นเสมือนเครื่องมือตรวจสอบเชิงป้องกัน ซึ่งเป็นการปรึกษานอกเหนือความเห็นประจำปีในเรื่องของการควบคุม
• ส่วนงานอื่นนอกเหนือจากหน่วยตรวจสอบภายในใช้ การประชุมเชิงปฏิบัติการ CSA ในการช่วยให้พนักงานเข้าใจวัตถุประสงค์, ความเสี่ยง และการควบคุม
• ส่งแบบสอบถามประจำปีให้กับผู้บริหาร ซึ่งจะช่วยสนับสนุนความคิดเห็นประจำปี ในเรื่องการควบคุมที่ของผู้ตรวจสอบภายนอกต้องการ
• ใช้วิธีการ “เขียนบนกำแพง” เพื่อให้ผู้เข้าร่วมตอบคำถาม 2 คำถาม คือ “ปัจจัยใดบ้างที่ช่วยให้บรรลุวัตถุประสงค์ขององค์กร” และ “ปัจจัยใดบ้างที่เป็นอุปสรรคต่อบรรลุวัตถุประสงค์ขององค์กร”
• ใช้การประชุมเชิงปฏิบัติการในการประเมินการควบคุมสภาพแวดล้อมโดยรวมขององค์กร
• ใช้แบบสอบถามแบบตัวต่อตัวกับผู้บริหารเพื่อแยกแยะความเสี่ยงขององค์กร

การเลือกวิธีการที่ถูกต้องในการทำ CSA
วิธีการของ CSA มีความแตกต่างกัน องค์กรและส่วนงานตรวจสอบจะเลือกวิธีการที่ถูกต้องได้อย่างไร หรือใช้เพียงวิธีเดียวได้ วิธีการทำ CSA ซึ่งใช้การประชุมเชิงปฏิบัติการกับผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกนั้น เป็นวิธีที่องค์กรชื่นชอบ IIA เสนอให้ใช้วิธีการนี้เมื่อวัฒนธรรมสนับสนุนการแสดงออกของผู้เข้าร่วมในการประชุมเชิงปฏิบัติการ แต่ในกรณีที่วัฒนธรรมองค์กรไม่สนับสนุนวิธีการทำ CSA แบบมีส่วนร่วมเหมือนการประชุมเชิงปฏิบัติการ ก็อาจใช้แบบสอบถามและการวิเคราะห์การควบคุมโดยผู้บริหารแทนได้ ปัจจัยอื่น ๆ ในการเลือกวิธีการทำ CSA นอกเหนือจากวัฒนธรรมมีดังนี้

• ธรรมชาติของอุตสาหกรรม เช่น การมีกฎระเบียบที่เข็มงวด การเงิน การผลิต หรือการทำการกุศล
• เนื้อหาความชำนาญและประสบการณ์ของส่วนงานตรวจสอบภายใน เป็นสิ่งใดดีที่สุดสำหรับการริเริ่มการทำ CSA (และเติบโตไปสู่วิธีการอื่นต่อไป)
• ทัศนคติและการสนับสนุนของผู้บริหาร โดยเฉพาะฝ่ายปฏิบัติการ เนื่องจากพวกเขาจะถูกขอร้องให้ส่งพนักงานเข้าประชุมเชิงปฏิบัติการ
• ต้นทุน – การใช้การออกเสียงแบบไม่ระบุนามมีค่าใช้จ่ายสูงและต้องมีการฝึกอบรม
• ความสะดวกสบายของเจ้าหน้าที่ตรวจสอบ โดยเฉพาะการให้ความสะดวก เจ้าหน้าที่ตรวจสอบเชื่อหรือไม่ว่าการทำ CSA ได้ผล และรู้สึกได้รับความสะดวกสบายจากการเป็นผู้นำการประชุมเชิงปฏิบัติการหรือไม่ (การต่อต้านภายในอาจกลายเป็นกลุ่มใหญ่หรือรุนแรง)
• ทรัพยากรของสถานที่ตรวจสอบ สามารถทำ CSA และดูแลโดยใช้แผนตรวจสอบได้หรือไม่
• ทัศนคติของคณะกรรมการตรวจสอบ พวกเขาเชื่อหรือไม่ว่าวิธีการนี้จะได้ผล

ปัจจัยที่มีอิทธิพลเบื้องต้นในการเลือกคือความเป็นมาของการตรวจสอบภายในขององค์กร หากการตรวจสอบในปัจจุบันแสดงออกเพียงความร่วมมือ หรือการตรวจสอบทางการเงิน และถูกมองเป็นการสืบทอดเป็นดั้งเดิม ดังนั้นวิธีการทำ CSA ในขั้นเริ่มต้นอยู่ซึ่งบนการสำรวจอย่างสั้น อาจเป็นหนทางที่ง่ายในการเริ่มทำ CSA ในทางตรงข้าม หากการตรวจสอบตามที่เคยปฏิบัติ เป็นการทบทวนเนิ้อหาการปฏิบัติการนั้นมุ่งเน้นวัตถุประสงค์ของธุรกิจ และมีสมาชิกซึ่งมีทักษะในการให้ความช่วยเหลือ ก็อาจเริ่มต้นการปฏิบัติิงานด้วยวิธีการนำการประชุมเชิงปฏิบัติการมาใช้ในการทำ CSA ก็ได้

อีกปัจจัยหนึ่งคือความง่ายของการแนะนำ หรือการเสนอเครื่องมือให้กับผู้บริหาร หากส่วนงานตรวจสอบกำลังแนะนำ CSA และมีการตรวจสอบกระบวนการธุรกิจอยู่แล้ว วิธีการทำ CSA ที่อยู่บนพื้นฐานของกระบวนการก็อาจให้ประโยชน์บางประการได้ ตัวอย่างเช่น การตรวจสอบความคุ้นเคยกับกระบวนการ และอาจได้รับความสะดวกจากการใช้เครื่องมือใหม่ในสภาพแวดล้อมเช่นนั้นมากขึ้น ผู้บริหารอาจมองการใช้ CSA ว่าเป็นการขยายตัวตามธรรมชาติของการตรวจสอบแบบดั้งเดิม และเป็นการขัดขวางการแยกออกจากบรรทัดฐานที่มีอยู่ สิ่งนี้เป็นเพียงจุดเริ่มต้น ทีมงานตรวจสอบการทำ CSA จะเพิ่มวิธีการที่แตกต่างอย่างรวดเร็วให้กับรายการเครื่องมือและเทคนิคที่มีอยู่ และประยุกต์ใช้สิ่งที่เหมาะสมตามสถานการณ์