Posts Tagged "Control Activities"

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ครั้งที่แล้วผมได้เกริ่นถึงกิจกรรมควบคุมกันไปบ้างแล้วในบางส่วน คราวนี้เรามาต่อในเรื่องของประเภทของกิจกรรมควบคุมกัน

ประเภทของกิจกรรมควบคุม
คำอธิบายที่แตกต่างมากมายของประเภทกิจกรรมควบคุมถูกนำออกมาใช้รวมถึงการควบคุมเชิงป้องกัน การควบคุมเชิงสืบสวน คู่มือการควบคุม การควบคุมเชิงคอมพิวเตอร์ และการควบคุมเชิงบริหาร กิจกรรมควบคุมถูกแบ่งตามวัตถุประสงค์เฉพาะของการควบคุม เช่น ความมั่นใจในความสมบูรณ์และความถูกต้องของการประมวลผลข้อมูล

ประเภทของการควบคุม แบ่งเป็น 4 ประเภท ดังนี้
1. การควบคุมแบบป้องกัน (Preventive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อป้องกันไม่ให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก เช่นการอนุมัติ การจัดโครงสร้างองค์กร การแบ่งแยกหน้าที่ การใช้พนักงานที่มีความรู้และจริยธรรม

2. การควบคุมแบบค้นพบ (Detective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อค้นพบข้อผิดพลาดที่เกิดขึ้นแล้ว เช่น การสอบทาน การวิเคราะห์ การยืนยันยอด การตรวจนับและการรายงานข้อบกพร่อง การตรวจสอบ ฯลฯ

3. การควบคุมแบบแก้ไข (Corrective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้องหรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต

4. การควบคุมแบบส่งเสริม (Directive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อส่งเสริมหรือกระตุ้นให้เกิดผลสำเร็จโดยตรงกับวัตถุประสงค์ที่ต้องการ

กิจกรรมควบคุมจะเกิดขึ้นตลอดองค์กรในทุกระดับชั้นและในทุกหน้าที่ กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการซึ่งองค์กรต้องการจะประสบความสำเร็จในเป้าหมายทางธุรกิจ โดยทั่วไปแล้วเกี่ยวข้องกับองค์ประกอบสองอย่างคือ นโยบายที่จัดตั้งขึ้น คือสิ่งที่ควรจะทำและกระบวนการที่รองรับนโยบาย

นโยบายและขั้นตอนปฏิบัติเกี่ยวกับการควบคุม
กิจกรรมควบคุมมักรวมถึงส่วนประกอบ 2 ส่วน คือ นโยบายที่สร้างขึ้นว่าอะไรควรทำและขั้นตอนปฏิบัติให้บรรลุนโยบาย ตัวอย่างเช่น นโยบายจำเป็นต้องทบทวนกิจกรรมทางการค้าของลูกค้าโดยผู้จัดการสาขาตัวแทนจำหน่ายรายย่อย ขั้นตอนปฏิบัติเป็นการทบทวนตนเอง ปฏิบัติในเวลาที่สมควรและด้วยความเอาใจใส่ต่อปัจจัยที่ตั้งขึ้นเพื่อนโยบาย เช่น ภาวะและปริมาณของความปลอดภัยทางการค้าและความสัมพันธ์ต่อลูกค้า

ในหลาย ๆ ครั้งพบว่านโยบายมักสื่อสารกันโดยวาจา นโยบายที่ไม่เป็นลายลักษณ์อักษรสามารถบรรลุผลทางนโยบาย ยืนระยะได้นานและปฏิบัติด้วยความเข้าใจดี และในองค์กรขนาดเล็กซึ่งช่องทางการติดต่อสื่อสารเกี่ยวข้องเฉพาะขึ้นการบริหารที่จำกัด และมีความสัมพันธ์ใกล้ชิดกับการบริหารงานบุคคล แต่การไม่คำนึงถึงว่ามีนโยบายเป็นลายลักษณ์อักษรหรือไม่นั้น นโยบายถูกนำไปปฏิบัติโดยตลอดอย่างถูกต้องและยั่งยืน

ขั้นตอนการปฏิบัติจะไม่เกิดประโยชน์หากปฏิบัติเป็นเครื่องจักรและปราศจากความชัดเจน ความต่อเนื่องในการมุ่งเน้นไปยังเงื่อนไขที่มุ่งสู่นโยบาย ยิ่งกว่านั้นเป็นสิ่งจำเป็นที่เงื่อนไขที่เป็นผลลัพธ์ของขั้นตอนการปฏิบัติได้ถูกตรวจสอบและแก้ไขให้ถูกต้อง

การติดตามการปฏิบัติขึ้นอยู่กับขนาดโครงสร้างองค์กร ซึ่งอาจวัดได้จากกระบวนการการรายงานผลอย่างเป็นทางการ ในบริษัทขนาดใหญ่เจ้าของธุรกิจได้บอกว่าทำไมบริษัทจึงไม่บรรลุเป้าหมายและจะทำอย่างไรเพื่อไม่ให้เกิดเหตุการณ์เช่นนี้อีก ในบริษัทขนาดเล็กเจ้าของจะพูดกับผู้จัดการด้านการผลิตเกี่ยวกับสิ่งที่ทำผิดและจะต้องดำเนินการอย่างไร

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

ครั้งหน้าไปต่อกันในเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สวัสดีครับ ท่านผู้บริหารและผู้ติดตามเรื่องราวของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร หรือ COSO – ERM Framework อยู่ในขณะนี้ สำหรับเรื่องของกระบวนการบริหารความเสี่ยงเราก็ได้พูดคุยกันมาถึงกิจกรรมควบคุม (Control Activities) ซึ่งเป็นกระบวนการบริหารความเสี่ยงในขั้นตอนที่ 6 จากหลักการของ COSO – ERM ทั้ง 8 ประการ ที่ผมจะได้นำเสนอกับทุกท่านในวันนี้

หากจะกล่าวถึงกิจกรรมควบคุมในกระบวนการบริหารความเสี่ยง นั่นก็คือ นโยบายและกระบวนปฏิบัติที่จะช่วยให้แน่ใจได้ว่าการตอบสนองความเสี่ยงนั้นถูกจัดการอย่างเหมาะสม

นอกจากนี้กิจกรรมการควบคุมยังหมายถึง การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นนโยบาย วิธีปฏิบัติและคำสั่งต่าง ๆ ที่ฝ่ายบริหารกำหนด เพื่อเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด

กิจกรรมการควบคุมยังรวมถึง กิจกรรมที่กำหนดขึ้นเพื่อป้องกัน ค้นพบ หรือลดความเสี่ยงที่จะเกิดขึ้นได้ตามผลการประเมินความเสี่ยงอย่างเหมาะสมและทันกาล

แม้ว่ากิจกรรมควบคุมบางอย่างเกี่ยวกับพื้นที่เดียวแต่ก็มีความซ้ำซ้อน กิจกรรมควบคุมเฉพาะเจาะจงสามารถช่วยให้พึงพอใจวัตถุประสงค์มากกว่า 1 ประเภทขององค์กรได้โดยขึ้นอยู่กับโอกาส การควบคุมการปฏิบัติการสามารถช่วยให้เกิดความมั่นใจในการรายงานผลที่เชื่อถือได้ การรายงานผลกิจกรรมควบคุมสามารถช่วยบรรเทาผลที่เกิดขึ้นได้

การบูรณาการด้วยการตอบสนองความเสี่ยง
การตอบสนองความเสี่ยงมุ่งเอาใจใส่ในกิจกรรมควบคุม ซึ่งจำเป็นในการช่วยสร้างความมั่นใจว่าได้ดำเนินการตอบสนองความเสี่ยงอย่างถูกต้องและถูกเวลา กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการที่องค์กรพยายามที่จะบรรลุวัตถุประสงค์ของธุรกิจตนเอง

ในการเลือกกิจกรรมควบคุม ผู้บริหารเป็นผู้พิจารณาว่ามีความสัมพันธ์กันอย่างไร อาจใช้กิจกรรมควบคุมเดียวเพื่อใช้ในการตอบสนองความเสี่ยงจำนวนมาก ตัวอย่างเช่น ตัวบ่งชี้ผลงานซึ่งวัดการเข้าออกงานของพนักงาน เป็นสิ่งแสดงถึงประสิทธิภาพการตอบสนองของผู้บริหารต่อคู่แข่งในการเลือกคนและการขาดประสิทธิภาพในค่าตอบแทนพนักงาน การฝึกอบรมรวมถึงโปรแกรมการพัฒนา

เมื่อสร้างการตอบสนองความเสี่ยงใหม่ขึ้นผู้บริหารพิจารณากิจกรรมควบคุมที่มีอยู่ ซึ่งอาจมีเพียงพอที่จะทำให้มั่นใจว่าการตอบสนองใหม่นี้จะดำเนินไปอย่างมีประสิทธิภาพ ในทางตรงข้ามอาจมีความจำเป็นที่จะต้องพิจารณากิจกรรมควบคุมหลาย ๆ อย่างที่สัมพันธ์กับการตอบสนองความเสี่ยง

กิจกรรมควบคุมเป็นส่วนสำคัญของกระบวนการ ซึ่งทำให้องค์กรได้บรรลุถึงวัตถุประสงค์ของธุรกิจ กิจกรรมควบคุมไม่ได้ทำให้ง่ายสำหรับผลประโยชน์ของตนเอง หรือเพราะว่าเป็นเหมือนการทำสิ่งที่ถูกต้องหรือเหมาะสม ผู้บริหารจำเป็นต้องทำเพื่อให้แน่ใจว่าได้บรรลุเป้าหมาย กิจกรรมควบคุมเป็นเหมือนกลไกสำหรับการบริหารความสำเร็จของวัตถุประสงค์และถูกสร้างในกระบวนการบริหารโดยตรง

ในเรื่องของกิจกรรมการควบคุมครั้งนี้ ผมขอเกริ่นไว้เพียงเท่านี้ก่อนครับ แล้วเราจะไปพูดคุยต่อถึงประเภทของกิจกรรมการควบคุมในครั้งหน้ากันครับ