Posts Tagged "CSA"

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 9 CoCo (Criteria of Control)

สวัสดีครับ เราได้พูดคุยกันถึงเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงมาถึงตอนที่ 9 แล้วนะครับ และผมจะขอกล่าวถึง CoCo (Criteria of Control) ซึ่งได้เคยเอ่ยถึงในตอนที่ผ่านมาแล้วว่า เป็น CSA อีกรูปแบบหนึ่งที่สามารถนำมาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยง โดย CICA – Canadian Institute of Chartered Accountants ซึ่งเป็นสถาบันหรือองค์กรไม่แสวงหาผลกำไร ที่จัดตั้งขึ้นตามพระราชบัญญัติพิเศษจากรัฐสภาแคนาดาในปี 1902 ได้เสนอแบบจำลองการควบคุมออกมาโดยเรียกว่า เกณฑ์การควบคุม หรือแบบจำลอง CoCo โดยในการศึกษาแบบจำลองนี้ ควรเริ่มจากการให้ความหมายของการควบคุมภายในเสียก่อน ซึ่งการควบคุมภายในประกอบด้วยองค์ประกอบหลายอย่างในองค์กร เช่น ทรัพยากร ระบบ กระบวนการ วัฒนธรรม โครงสร้างและงานต่าง ๆ อันจะช่วยในการสนับสนุนการปฏิบัติงานของบุคลากร ให้สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่องค์กรต้องการโดยมุ่งเน้นไปที่

1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน

2. ความน่าเชื่อถือของรายงานทางการเงินและการบริหาร

3. การปฏิบัติตามกฎหมาย กฎระเบียบ และนโยบายภายใน

องค์ประกอบการควบคุมภายในของ CoCo

กรอบแนวทางการควบคุมกลุ่ม ประกอบด้วย

1. เป้าหมาย (Purpose) เป็นเกณฑ์กลุ่มที่เป็นทิศทางขององค์กร เปรียบเสมือนหลักชัยขององค์กรที่ต้องดำเนินการไปให้ถึง (สิ่งที่องค์กรต้องทำ) พิจารณาได้ดังนี้

  1. จัดตั้งวัตถุประสงค์และมีการสื่อสารให้รับรู้
  2. ความเสี่ยงทั้งภายในและภายนอกที่องค์กรต้องเผชิญมีนัยสำคัญต่อความสำเร็จของวัตถุประสงค์ ควรจะระบุและมีการติดตามประเมินผล
  3. ออกแบบนโยบายเพื่อสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร และการจัดการความเสี่ยงที่ควรได้รับการยอมรับ มีแนวทางปฏิบัติและสื่อสารเพื่อให้ผู้คนเข้าใจสิ่งที่เป็นที่คาดหวังขององค์กร และขอบเขตของหน้าที่ที่จะต้องทำ
  4. การวางแผนที่เป็นแนวทางในการบรรลุวัตถุประสงค์ขององค์กร ควรได้รับการยอมรับและมีการสื่อสารให้เข้าใจ
  5. วัตถุประสงค์และแผนงานที่เกี่ยวข้อง ควรจะรวมถึงเป้าหมายในการวัดประสิทธิภาพและตัวชี้วัด

2. ความผูกพัน (Commitment) เป็นเกณฑ์กลุ่มที่แสดงความเป็นเอกลักษณ์และค่านิยม (ความต้องการทำสิ่งนั้น) พิจารณาได้ดังนี้

  1. จริยธรรมค่านิยมที่ใช้ร่วมกัน รวมทั้งความสมบูรณ์ ควรได้รับการจัดตั้ง มีการสื่อสารและการปฏิบัติทั่วทั้งองค์กร
  2. นโยบายการพัฒนาทรัพยากรมนุษย์และการปฏิบัติที่ควรจะสอดคล้องกับค่านิยมทางจริยธรรมขององค์กรและความสำเร็จของวัตถุประสงค์
  3. ผู้มีอำนาจ ผู้มีหน้าที่ปฏิบัติ และผู้ที่มีหน้าที่รับผิดรับชอบ ควรจะกำหนดพันธกิจ และแผนงานไว้อย่างชัดเจนและสอดคล้องกับวัตถุประสงค์ขององค์กร เพื่อนำไปใช้ในการตัดสินและปฏิบัติโดยบุคคลที่เหมาะสม
  4. มีบรรยากาศของความไว้วางใจซึ่งกันและกัน เพื่อเป็นการส่งเสริม สนับสนุนการใช้งานข้อมูลระหว่างหน่วยงานต่าง ๆ เพื่อผลการดำเนินงานที่มีประสิทธิภาพที่มีต่อการบรรลุวัตถุประสงค์ขององค์กร

3. ความสามารถ (Capability) เป็นเกณฑ์กลุ่มที่เป็นความสามารถขององค์กร (เครื่องมือในการทำสิ่งนั้น) พิจารณาได้ดังนี้

  1. ทุกคนควรจะมีทักษะที่จำเป็นความรู้และเครื่องมือที่จะสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร
  2. กระบวนการการสื่อสารควรจะสนับสนุนค่านิยมขององค์กรและความสำเร็จของวัตถุประสงค์
  3. ข้อมูลที่เพียงพอและมีความเกี่ยวข้อง ควรจะระบุและมีการสื่อสารในเวลาที่ เหมาะสม เพื่อให้ผู้ปฏิบัติหน้าที่สามารถดำเนินการตามที่ได้รับมอบหมาย
  4. ควรมีการประสานงานในการตัดสินใจและการปฏิบัติงานในส่วนงานที่แตกต่างกันขององค์กร
  5. กิจกรรมการควบคุมควรจะออกแบบเป็นส่วนหนึ่งขององค์กรที่คำนึงถึงวัตถุประสงค์ของความเสี่ยง เพื่อความสำเร็จขององค์กรและ interrelatedness ขององค์ประกอบการควบคุม

4. การติดตามและการเรียนรู้ (Monitoring and Learning) เป็นเกณฑ์กลุ่มที่แสดงพัฒนาการขององค์กร (ดูว่าเราได้ทำสิ่งนั้นหรือยัง) (พิจารณาได้ดังนี้

  1. สภาพแวดล้อมภายนอกและภายใน ควรจะตรวจสอบเพื่อให้ได้ข้อมูลที่อาจส่งสัญญาณความต้องการที่จะประเมินอีกครั้งวัตถุประสงค์ขององค์กรหรือการควบคุม
  2. ผลการปฏิบัติงานควรจะตรวจสอบกับเป้าหมาย และตัวชี้วัดที่ระบุไว้ในวัตถุประสงค์ขององค์กรและแผนงาน
  3. สมมติฐานที่อยู่เบื้องหลังวัตถุประสงค์ขององค์กรควรจะท้าทายเป็นระยะ ๆ
  4. ความต้องการของระบบสารสนเทศและข้อมูลที่เกี่ยวข้องควรจะคล้อยตามการเปลี่ยนแปลงวัตถุประสงค์หรือเป็นข้อบกพร่องการรายงานจะมีการระบุ
  5. ควรมีขั้นตอนของกระบวนการติดตาม เพื่อให้แน่ใจถึงการปฏิบัติงานที่เกิดขึ้นและการเปลี่ยนแปลงที่เหมาะสม
  6. ควรมีการจัดการประเมินความมีประสิทธิผลของการควบคุมในองค์กรเป็นระยะ ๆ และแจ้งผลให้กับผู้รับผิดชอบ

การนำ CoCo ไปใช้ใน CSA

ผู้ปฏิบัติงานด้าน CSA หลายท่านพบว่า CoCo เป็นวิธีการบริหารที่สัมพันธ์กับการควบคุมภายใน และการอธิบายอย่างง่าย ๆ ในการกำหนด Workshop CoCo เป็นวิธีการในขั้นที่สูงกว่า COSO เพราะจะเน้นที่การประเมินความเสี่ยงของแต่ละคน และกิจกรรมการควบคุมความเสี่ยง อีกทั้งใช้เป็นพื้นฐาน individual objective-by-objective และใช้เป็นพื้นฐานของแผนกด้วย

ในการทำ Workshop ผู้ประสานงานควรพัฒนาคำถามที่ใช้เป็นเกณฑ์ของ CoCo และดำเนินการ Workshop นั้น โดยการถามคำถามเหล่านั้น หรือผู้ประสานงานควรวางคำถามไว้ให้มีลักษณะทั่วไปมากที่สุด เช่น อะไรคือสิ่งที่ช่วยให้คุณบรรลุวัตถุประสงค์ของแผนก และแจกแจงการตอบสนองนั้นไปสู่เกณฑ์ของ CoCo จากนั้นผู้ประสานงาน ควรถามคำถามเฉพาะเกี่ยวกับเกณฑ์อื่น ๆ ของCoCo ที่ไม่ได้ทำการควบคุมในขณะนั้น

ต่อไปนี้คือ ตัวอย่างคำถามเพื่อประเมินประสิทธิผลของการควบคุมตามเกณฑ์ CoCo

เป้าหมาย (Purpose)

  • เราเข้าใจภารกิจและวิสัยทัศน์ขององค์กรหรือไม่
  • เราไม่เข้าใจวัตถุประสงค์ของเราเป็นกลุ่มและวิธีการที่พวกเขาพอดีกับวัตถุประสงค์อื่น ๆ ในองค์กรหรือไม่
  • ข้อมูลที่มีอยู่ในปัจจุบันช่วยให้เราสามารถระบุความเสี่ยงและการประเมินความเสี่ยงได้หรือไม่
  • เราเข้าใจความเสี่ยงที่เราจำเป็นต้องควบคุม และระดับของความเสี่ยงที่ยอมรับได้ เพื่อความรับผิดชอบต่อการควบคุมหรือไม่
  • เราไม่เข้าใจนโยบายที่ส่งผลกระทบต่อการดำเนินการของเราหรือไม่
  • แผนงานของเราคือการตอบสนองและความเพียงพอที่จะบรรลุการควบคุมใช่หรือไม่
  • เรามีเป้าหมายในการจัดการประสิทธิภาพการทำงานหรือไม่

ความผูกพัน (Commitment)

  • เราได้รับการฝึกฝนหลักการของความซื่อสัตย์และจริยธรรมค่านิยมร่วมกันหรือไม่
  • มีผู้ได้รับผลตอบแทนอย่างเป็นธรรมตามวัตถุประสงค์ขององค์กรและค่านิยมหรือไม่
  • เราไม่เข้าใจสิ่งที่เรารับผิดชอบและเราไม่มีคำนิยามที่ชัดเจนต่อความรับผิดชอบของเราใช่หรือไม่
  • การตัดสินใจที่สำคัญ ๆ ถูกกระทำโดยผู้เชี่ยวชาญและมีอำนาจหน้าที่รับผิดชอบใช่หรือไม่
  • ระดับของความไว้วางใจซึ่งกันและกันในแต่ละหน่วยงานเพียงพอที่จะสนับสนุนข้อมูลและประสิทธิภาพการทำงานอย่างไร

ความสามารถ (Capability)

  • เรามีบุคลากรที่มีความรู้ความสามารถ เครื่องมือ และทรัพยากรที่เหมาะสมหรือไม่
  • มีการรายงานความผิดพลาดอย่างรวดเร็ว ข่าวร้าย และข้อมูลอื่น ๆ ให้กับผู้บริหาร โดยปราศจากความกลัวและการแก้แค้นหรือไม่
  • มีข้อมูลเพียงพอที่จะช่วยในการดำเนินงานหรือไม่ อย่างไร
  • มีการประสานงานระหว่างผู้ปฏิบัติงานกับหน่วยงานอื่น ๆ ที่เกี่ยวข้องขององค์กรหรือไม่
  • มีขั้นตอนและกระบวนการที่จะช่วยให้บรรลุวัตถุประสงค์ขององค์กรหรือไม่

การติดตามและการเรียนรู้ (Monitoring and Learning)

  • มีการทบทวนสภาพแวดล้อมภายในและภายนอกเพื่อการเปลี่ยนแปลงและกำหนดให้มีวัตถุประสงค์หรือการควบคุมหรือไม่
  • เราจะตรวจสอบประสิทธิภาพกับเป้าหมายและตัวชี้วัดที่เกี่ยวข้องอย่างไร
  • เราตั้งสมมติฐานที่ท้าทายที่อยู่เบื้องหลังวัตถุประสงค์ของเราหรือไม่
  • เราได้รับและให้ข้อมูลที่จำเป็นและเกี่ยวข้องกับการตัดสินใจหรือไม่
  • ระบบข้อมูลของเรามีการปรับปรุงให้เป็นปัจจุบันอยู่เสมอหรือไม่
  • มีการเรียนรู้จากผลการตรวจสอบและปรับปรุงอย่างต่อเนื่องเพื่อการควบคุมที่ดีหรือไม่
  • มีการกำหนดระยะเวลาการประเมินประสิทธิภาพของการควบคุมหรือไม่

แนวการประเมินตนเองโดยการตั้งคำถามแบบกว้าง ๆ ตามตัวอย่างที่กล่าวข้างต้นในบางเรื่องและบางมุมมองนั้น ไม่เพียงพอที่จะทำการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ดั้งนั้น ผู้อำนวยความสะดวก หรือ Facilitator ซึ่งปกติจะเป็นผู้ตรวจสอบภายใน ซึ่งได้รับการคาดหมายว่าเป็นผู้เชี่ยวชาญในการบริหารความเสี่ยงในระดับองค์กร รวมทั้งการควบคุมความเสี่ยงระดับองค์กร ซึ่งปกติจะต้องเริ่มจากการประเมินความเสี่ยงของสายงานต่าง ๆ ภายในองค์กรนั้น ๆ ก่อนที่จะนำมาสรุปเป็นภาพรวมของการบริหารความเสี่ยงระดับองค์กร ภายใต้ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่ต้องผ่านการอนุมัติจากคณะกรรมการ ที่ควรจะครอบคลุมความเสี่ยงแบบสมดุลจากหลักการ Besiness Balanced Scorecard ที่จะเชื่อมโยง สัมพันธ์ เกี่ยวเนื่องกับความเสี่ยงทางด้าน IT Balanced Scorecard ที่เกี่ยวข้องกับวัตถุประสงค์หลัก 17 ข้อด้วยกัน ทั้ง 17 ข้อนี้อยู่ภายใต้ร่มของกลยุทธ์ที่เชื่อมโยงมายังวัตถุประสงค์ทั้ง 4 ด้านตามหลักการ Besiness Balanced Scorecard และในขณะเดียวกันวัตถุวัตถุประสงค์หลัก 17 ข้อ ของ Besiness Balanced Scorecard นั้น ก็ยังต้องสัมพันธ์กับวัตถุประสงค์หลักของ IT Related Goals ทั้ง 17 ข้อ ที่เชื่อมโยง (mapping) ได้อย่างลงตัว

มาถึงตอนนี้ ท่านผู้บริหาร ผู้อำนวยความสะดวกในการทำ CSA และผู้มีหน้าที่ปฏิบัติงานของแต่ละฝ่ายหรือสายงานต่าง ๆ อาจจะรู้สึกสับสนได้บ้าง ทั้งนี้เพราะผมกำลังพาท่านผู้อ่านไปสู่ยุคใหม่ของการบริหารธุรกิจ / องค์กรแบบบูรณาการ (Integrated Single Framework) หรือ Integrated Management ที่ไม่สามารถแยกการบริหาร Enterprise Goals กับ IT Related Goals ออกจากกันได้ในลักษณะ SILO สมัยเดิมได้อีกแล้ว นั่นคือ CIO ยุคใหม่ และในอนาคตจะต้องทำงานในลักษณะการบริหารองค์กรหรือการบริหารธุรกิจควบคุมกันไปกับ CEO และในขณะเดียวกัน CEO ก็ต้องมีความรู้เกี่ยวข้องกับผลกระทบของ IT Risk ที่มีผลต่อวัตถุประสงค์หลักทั้ง 17 ข้อ

ในการทำ CSA ในยุคปัจจุบันและในอนาคต การประเมินความเสี่ยงและการควบคุมภายใน และ/หรือการประเมินการควบคุมภายในที่มีอยู่ว่าเพียงพอที่จะลดความเสี่ยงต่าง ๆ ทั้งในระดับ Strategic Risk ที่มีผลเชื่อมโยงไปยัง Enterprise / Business Risk ที่เกี่ยวข้องกับความเสี่ยงตามมุมมองของ Business Balanced Scroecard ทั้ง 4 ด้าน ซึ่งเป็นภาพใหญ่นั้น จำเป็นที่ผู้อำนวยความสะดวก (Facilitator – ผู้ตรวจสอบภายใน) จะต้องเข้าใจหลักการบริหารและการจัดการแบบบูรณาการ เพื่อประเมินความเสี่ยงและผลกระทบที่เกี่ยวข้องว่ามีการควบคุมที่ต้นเหตุ (Root Cause) ที่แท้จริงหรือไม่ ทั้งนี้ก็เพราะกระบวนการควบคุมที่ปลายเหตุจะไม่มีประสิทธิภาพและประสิทธิผลใด ๆ ในการทำ CSA เลยแม้แต่น้อย

CSA and CIA_Facilitator

ท่านผู้อ่านครับ CSA หรือการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่กล่าวมาตั้งแต่ต้นนั้น สรุปได้ว่า คณะกรรมการและผู้บริหาร และผู้ปฏิบัติงาน ควรจะมีการสื่อสารให้เข้าใจตรงกันว่า การบริหารเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้สำหรับยุคใหม่นั้น จะต้องพิจารณาความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ซึ่งจะเป็นผู้ผลักดันและขับเคลื่อนความต้องการบรรลุวัตถุประสงค์ที่แท้จริงของธุรกิจ/องค์กร ภายใต้สภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงตลอดเวลา

ดังนั้น การหาจุดพอดี หรือดุลยภาพของความต้องการของ Stakeholders ที่แตกต่างกันนั้น จึงเป็นเรื่องที่สำคัญมาก ๆ เพราะหากไม่เกิดดุลยภาพในขั้นตอนแรกนี้ จะมีปัญหากระทบต่อ Governance ที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม (Value Creation) ที่ลงตัวและจะไม่เกิดความยั่งยืน (Sustainable) ซึ่งพิจารณาได้ว่าเป็นกระดุมเม็ดแรกของการขับเคลื่อน Value Creation ให้กับธุรกิจและองค์กรในระยะยาว ทั้งนี้ Value Creation มีหลักการและแนวความคิดที่ว่า Stakeholders ต้องการผลตอบแทนที่เหมาะสมที่ต้องสัมพันธ์กับดุลยภาพการบริหารความเสี่ยงที่พอเหมาะ และการบริหารจัดการทรัพยากรที่เหมาะสมควบคู่กันไปอย่างแยกกันไม่ได้

ขอสรุปเป็นครั้งสุดท้ายในเรื่อง CSA ว่า จากวรรคที่กล่าวข้างต้นจะนำไปสู่การกำหนด Enterprise Goals และเชื่อมโยงไปยัง IT Related Goals และเชื่อมโยงต่อไปยัง Process Goals และ Enabler Goals ที่ต้องการความเข้าใจในทุกขั้นตอนและในทุกกระบวนการบริหารอย่างแท้จริงว่า หากจะมีการดำเนินการจัดทำ CSA ผู้อำนวยความสะดวกและผู้บริหารที่เกี่ยวข้องควรจะเข้าใจในหลักการบริหารแบบบูรณาการที่เหมาะสมและพอเพียงเพียงใด

G (Governance) + R (Risk Management) + C (Compliance) ไม่เท่ากับ Integrated GRC หรือการบริหารแบบบูรณาการ

หิน + ปูน + ทราย ไม่เท่ากับ ซีเมนต์ หากขาดน้ำ

“น้ำ” ในที่นี้หมายถึง ความเข้าใจในกระบวนการบริหารและการจัดการแบบบูรณาการ ครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 8 COSO (Committee of Sponsoring Organizations)

สวัสดีครับ ทุกท่านที่ติดตามเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ครั้งก่อนผมได้กล่าวทิ้งท้ายไว้ว่า ยังมีการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจและนำไปประยุกต์ใช้ในการประเมินตนเองได้อย่างมีประสิทธิภาพ อย่าง COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ซึ่งในครั้งนี้ผมจะขอเล่าสู่กันฟังเกี่ยวกับ COSO ก่อนนะครับ โดยจะกล่าวถึงในมุมมองของการควบคุมภายใน และการประเมินตนเองเพื่อควบคุมความเสี่ยงในภาพโดยรวม ตามหลักการของ COSO นี้ จะมี 5 องค์ประกอบที่สำคัญ ส่วนในมุมมองของการบริหารความเสี่ยงและการควบคุมภายในที่นำ COSO ไปประยุกต์ใช้ ได้มีการปรับปรุงเป็น 8 องค์ประกอบ ซึ่งผมเคยได้กล่าวไว้ในหัวข้อ ของ แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework แล้ว

COSO (Committee of Sponsoring Organizations)
COSO ได้ออกแบบกรอบการควบคุมความเสี่ยงขึ้น เนื่องจากต้องการให้ความหมายการควบคุมภายในที่ชัดเจนตรงกันในองค์กรที่มีความหลากหลาย โดยเรียกแบบจำลองนั้นว่า แบบจำลอง COSO หรือเรียกสั้น ๆ ว่า COSO

ในการพัฒนาแบบจำลองของ COSO ต้องเริ่มจากการทำความเข้าใจความหมายของการวบคุมภายในเสียก่อน การควบคุมภายใน (Internal Control) จึงเป็นวิธีการหนึ่งที่จะช่วยให้องค์กรบรรลุผลสำเร็จ โดยการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นอันจะเป็นการขัดขวางการบรรลุผลสำเร็จขององค์กร และเป็นกระบวนการที่เกิดขึ้นโดยคณะกรรมการบริหาร ผู้บริหาร และทุกคนในองค์กรที่ออกแบบมาเพื่อเป็นการประกันการบรรลุวัตถุประสงค์ขององค์กรในด้านต่าง ๆ ดังนี้
1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน
2. ความน่าเชื่อถือของรายงานทางการเงิน
3. การปฏิบัติตามกฎหมาย กฎระเบียบ

5 องค์ประกอบของการควบคุมภายใน (Components of Internal Control) ของ COSO
การควบคุมภายในประกอบด้วยองค์ประกอบหลายด้านที่ต้องทำการพิจารณา โดยองค์ประกอบของการควบคุมภายในรูปแบบหนึ่ง อาจพิจารณาในเรื่องต่าง ๆ ดังนี้

1. สภาพแวดล้อมของการควบคุม (Control Environment) เมื่อสภาพแวดล้อมการทำงานเป็นสิ่งที่มีความสำคัญในการบริหารธุรกิจ จึงควรที่มีการจัดสภาพแวดล้อมการทำงานให้เหมาะสมกับการปฏิบัติงาน เพื่อให้พนักงานสามารถปฏิบัติงานได้อย่างมีประสิทธิภาพ อันจะช่วยให้การดำเนินธุรกิจเป็นไปอย่างราบรื่น สามารถบรรลุเป้าหมายทางธุรกิจได้ตามที่ต้องการ สภาพแวดล้อมที่สำคัญได้แก่
1.1 ความร่วมมือร่วมใจกันของพนักงาน
1.2 การให้คุณค่าต่อจรรยาบรรณ ความซื่อสัตย์ในการปฏิบัติงาน
1.3 ความสามารถในการทำงานของพนักงานทุกฝ่าย
1.4 ปรัชญาในการดำเนินงานของฝ่ายบริหาร
1.5 รูปแบบการปฏิบัติงาน วิธีการปฏิบัติงานที่ผู้บริหารมอบหมายอำนาจความรับผิดชอบและการจัดการ
1.6 การพัฒนาคนภายในองค์กร
1.7 การควบคุม เอาใจใส่ และการวางแผนจากคณะกรรมการ
1.8 การสื่อสารจากระดับสูง
1.9 การบริหารข้อมูลและข่าวสารร่วมกัน
1.10 ความเข้าใจในระบบการควบคุมภายใน
1.11 โครงสร้างขององค์กร
1.12 วัฒนธรรมขององค์กร
1.13 ความเป็นผู้นำของผู้บริหาร
1.14 อื่น ๆ

2. การประเมินความเสี่ยง (Risk Assessment) เป็นการตระหนักถึง และจัดการกับความเสี่ยงที่องค์กรต้องเผชิญ โดยต้องมีการกำหนดวัตถุประสงค์ที่บูรณาการขององค์กร เช่น การขาย การผลิต การตลาด การเงินกับกิจกรรมอื่น ๆ โดยเน้นให้องค์กรต้องวิเคราะห์/ ประเมินผลและบริหารความเสี่ยงที่เผชิญทั้งปัจจุบันและอนาคตในทุกมุมมอง ทุกระดับ
2.1 การตั้งวัตถุประสงค์ในการดำเนินงานขององค์กรที่เชื่อมโยงระดับต่าง ๆ ฝ่ายต่าง ๆ เข้าด้วยกัน และยึดมั่นแน่นเหนียวภายในองค์กร ซึ่งฝ่ายตรวจสอบภายในจะมีบทบาทในเรื่องนี้มาก
2.2 การประเมินความเสี่ยง คือการค้นหาและวิเคราะห์ความเสี่ยง เพื่อบริหารหรือจัดการให้วัตถุประสงค์ นโยบายขององค์กรที่ตั้งไว้สำเร็จผลอย่างมีประสิทธิภาพและประสิทธิผล
2.3 การเปลี่ยนแปลง คือสิ่งที่ไม่แน่นอน ไม่ว่าในระดับกว้าง ระดับแคบ ทั้งทางด้านเศรษฐกิจการเงิน ลักษณะธุรกิจ เทคนิคข้อบังคับ รวมทั้งเงื่อนไขในการดำเนินงาน จึงจำเป็นต้องมีวิธีการตรวจหาและจัดการกับความเสี่ยงโดยเฉพาะ

3. กิจกรรมการควบคุม (Control Activities) เป็นการพิจารณากำหนดนโยบายและกระบวนการควบคุมให้รอบคอบว่า สิ่งที่กำหนดขึ้นมานั้นสามารถช่วยให้องค์กรบรรลุผลสำเร็จได้อย่างมีประสิทธิผล
การควบคุมก็คือนโยบายและวิธีการต่าง ๆ ที่ทำให้มั่นใจว่าคำสั่งของฝ่ายบริหารได้นำไปปฏิบัติ
3.1 ช่วยให้มั่นใจว่ามีการดำเนินการต่าง ๆ ที่จำเป็นเพื่อบอกถึงความเสี่ยงต่อการทำให้เกิดความสำเร็จตามวัตถุประสงค์ของหน่วยงาน
3.2 ต้องสร้างขั้นตอนการควบคุมความเสี่ยงภายในองค์กรทุกระดับ และทุกแผนก
3.3 การควบคุม รวมทั้งการพิจารณาอนุมัติ การให้อำนาจกระทำการ การตรวจสอบความถูกต้อง การไกล่เกลี่ยความขัดแย้ง การทบทวนผลการดำเนินงาน การรักษาความปลอดภัยของทรัพย์สิน การแบ่งแยกหน้าที่ ฯลฯ เพื่อให้องค์กรบรรลุเป้าหมาย

4. ข้อมูลสารสนเทศและการสื่อสาร (Information and Communication) เน้นการส่งข่าว และความเข้าใจร่วมในองค์กรสำหรับกิจกรรม และระเบียบต่าง ๆ ให้เข้าใจตรงกันตามความรับผิดชอบในแต่ละระดับชั้น ในเวลาที่เหมาะสม
การให้ข้อมูลต้องทำอย่างเหมาะสมด้วยสื่อทั้งภายในและภายนอก
4.1 ต้องสื่อสารเป็นวงกว้าง จากระดับบนสู่ล่าง จากซ้ายไปขวา จากขวาไปซ้าย แล้วย้อนล่างไปบน โดยต้องมีการสร้างระบบข้อมูลสารสนเทศและการสื่อสารที่เอื้อต่อการนำไปใช้ และมีการแลกเปลี่ยนกันตามความจำเป็นเพื่อใช้ในการปฏิบัติ การบริหาร และการควบคุมการดำเนินงาน
4.2 พนักงานทุกคนต้องเข้าใจบทบาทตนเองในระบบการควบคุมภายใน ตลอดจนความรู้ว่าการดำเนินงานของแต่ละคนสัมพันธ์กับการทำงานของผู้อื่น/หน่วยงานอื่นอย่างไร
4.3 รูปแบบการสื่อสารในองค์กรสามารถทำได้หลายทาง เช่น การประชุม การจัดทำรายงานประจำเดือน เป็นต้น การมีข้อมูลข่าวสารและระบบการสื่อสารที่ดีย่อมช่วยให้ผู้บริหารได้สอบทานสถานะของความเสี่ยงและแผนการดำเนินงาน สิ่งเหล่านี้จะช่วยให้เกิดการบอกกล่าวข้อมูลที่สำคัญ และทำให้เกิดการตัดสินใจที่มีประสิทธิผลได้อย่างทันเวลา

5. การติดตาม/การสอดส่องดูแล (Monitoring) เนื่องจากสภาพแวดล้อมทางภายในและภายนอกองค์กรมีการเปลี่ยนแปลงตลอดเวลา ระบบการควบคุมจึงต้องมีการติดตามและดัดแปลง รวมทั้งการตรวจสอบให้เหมาะสมเท่าที่จำเป็น สามารถเปลี่ยนแปลงให้เหมาะสมกับเงื่อนไขต่าง ๆ ได้เป็นอย่างดี โดยระบบการควบคุมภายในทุกระดับของฝ่ายในองค์กรจำเป็นต้องมีการสอดส่องดูแลอย่างใกล้ชิด และมีการประเมินคุณภาพการทำงานของระบบเป็นระยะ ทำได้โดยการสอดส่องและประเมินผลตลอดเวลาทุกขั้นตอนการดำเนินงาน

การนำ COSO ไปใช้ใน CSA
สูตรความเสี่ยงพื้นฐานที่ได้อธิบายมาก่อนหน้านี้ (วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง) ที่ถูกนำมาใช้ในกรอบของ COSO คือเรื่องของการประเมินความเสี่ยง และระดับกิจกรรมการควบคุมความเสี่ยง

องค์กรมักนำ COSO มาใช้ใน CSA โดยการออกแบบสอบถามหรือแบบสำรวจทั่วทั้งองค์กรประจำปี เพื่อประเมินสภาพแวดล้อมการควบคุมขององค์กร ซึ่งอาจทำได้โดยการสัมภาษณ์แบบมีโครงสร้างหรืออาจใช้วิธีการลงชื่อลับ

เครื่องมือการประเมินองค์ประกอบ ได้แก่ แบบสอบถาม, Workshop หรือการสัมภาษณ์ รวมทั้งการใช้ข้อมูลสารสนเทศ การสื่อสาร และการติดตามในการประเมินตนเองทั่วทั้งองค์กร

นอกจากนี้บางองค์กรยังนำ COSO มาใช้ใน CSA ในการทำ Workshops ในระดับทีมงาน เพื่อประเมินการควบคุมในระดับกิจกรรม ซึ่งจะเน้นไปที่กระบวนการทางธุรกิจหรือกิจกรรมที่มีโครงสร้างเหมือน Generic Activities เช่น การสั่งซื้อ บัญชีรายรับ บัญชีรายจ่าย ทรัพยากรมนุษย์ ฯลฯ ซึ่งจะทำงานร่วมกันเป็นทีม วัตถุประสงค์ระดับกิจกรรมที่ระบุไว้ใน COSO เรียกว่าวัตถุประสงค์ด้านการควบคุม ซึ่งจะใช้ในการเริ่มกำหนดคำถามด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงเพื่อใช้ในการปฏิบัติงาน

สำหรับ CoCo (Criteria of Control) หากท่านผู้อ่านอยากทราบเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ด้วย CoCo อย่าพลาดติดตามในครั้งหน้านะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (3)

สวัสดีครับทุกท่านที่ติดตามสาระ ความรู้จาก itgthailand.com แห่งนี้ สำหรับการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือที่เรียกกันว่า CSA – Controls Self Assessment ที่ได้พูดคุยกันมาถึงตอนที่ 7 แล้ว ในครั้งก่อน ผมได้พูดถึง ความเสี่ยง การบริหารความเสี่ยง และทางเลือกในการบริหารความเสี่ยง พร้อมทั้งยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการในบางมุมมอง ซึ่งคาดว่าจะเป็นประโยชน์อย่างมากสำหรับการนำไปประยุกต์ใช้ให้เหมาะสมในแต่ละองค์กร และเมื่อพูดถึงความเสี่ยง การบริหารความเสี่ยงแล้ว แน่นอนว่าจะขาดไม่ได้ที่จะไม่กล่าวถึง การควบคุม (Control) ที่เป็นกระบวนการที่สำคัญและจำเป็นต่อการประเมินตนเองเพื่อการควบคุมความเสี่ยงขององค์กร

การควบคุม (Control) หมายถึง ขั้นตอน กระบวนการ หรือกลไกซึ่งองค์กรกำหนดขึ้นเพื่อให้มั่นใจว่า กิจกรรมในการดำเนินธุรกิจจะประสบความสำเร็จ และได้ผลลัพธ์ตามวัตถุประสงค์ที่ได้กำหนดไว้
การควบคุมเป็นกระบวนการตรวจสอบกิจกรรมเพื่อให้เกิดความมั่นใจว่าสามารถบรรลุวัตถุประสงค์ตามแผนที่กำหนดไว้
การควบคุมเป็นหน้าที่ที่สำคัญอย่างหนึ่งของการบริหาร การควบคุมมีความสัมพันธ์ใกล้ชิดกับการวางแผน เพราะการควบคุมเป็นเครื่องมือสำคัญในการกำหนดแผน การดำเนินการตามแผนและการประเมินผลตอบแทน

รูปแบบของการควบคุม
รูปแบบของการควบคุมจะแสดงให้เห็นถึงวิธีการตอบสนองต่อความเสี่ยง ซึ่งรูปแบบการควบคุมเหล่านี้ได้แก่
1. การป้องกัน (Preventive) คือความพยายามที่จะสกัดไม่ให้เกิดความเสี่ยงขึ้น เป็นการควบคุมล่วงหน้าก่อนที่จะเกิดความเสี่ยงขึ้น เช่น การขออนุมัติใบสั่งซื้อก่อน หรือการใส่รหัสลับในเครื่องคอมพิวเตอร์
2. การตรวจสอบ/ติดตาม(Detective) คือความพยายามในการติดตามความเสี่ยงที่เกิดขึ้นถึงแม้จะมีการควบคุมแบบการป้องกันแล้ว นั่นคือเมื่อมีความเสี่ยงเกิดขึ้น บริษัทจะจัดให้มีระบบการควบคุมความเสี่ยงขึ้นมา ซึ่งการติดตามที่ดีต้องมีระบบการสื่อสารที่ดีด้วย โดยต้องจัดให้มีระบบการสื่อสารที่รวดเร็วและสม่ำเสมอโดยวิธีการที่หลากหลาย
3. การกำกับ (Directive) คือความพยายามหลีกเลี่ยงความเสี่ยงโดยการกำหนดวิธีการเฉพาะที่เหมาะสม เป็นการเสนอให้ทำสิ่งที่ถูกต้อง (เป็นแนวทางหรือการฝึกอบรม)

จากรูปแบบการควบคุมข้างต้น จะเห็นได้ว่า นอกจากการควบคุมจะเป็นการป้องกันไม่ให้เกิดความเสี่ยงขึ้นแล้ว ยังมีรูปแบบอื่นที่สามารถทำได้อีก เช่น การติดตามความเสี่ยงที่อาจเกิดขึ้น หรือการให้คำแนะนำหรือฝึกอบรมพนักงานให้กับพนักงานเพื่อจัดการกับความเสี่ยง

การทำความเข้าใจเป้าหมายที่แท้จริงของระบบการควบคุบภายในจะช่วยให้สามารถบรรลุวัตถุประสงค์ของธุรกิจง่ายขึ้น โดยการประเมินความเสี่ยงเป็นวิธีการที่ง่ายที่สุดในการบรรลุวัตถุประสงค์ และสิ่งที่ต้องทำเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ คือ การระบุ/ บ่งชี้ปัจจัยเสี่ยง โดยการระบุปัจจัยเสี่ยงนี้ จะมีประโยชน์ในการออกแบบระบบการควบคุมความเสี่ยงที่เหมาะสมกับความเสี่ยงนั้น ๆ มีการกำหนดระบบการควบคุมที่มีต้นทุน-ประสิทธิผล ที่เหมาะสมมากที่สุด เพื่อบรรเทาผลกระทบจากความเสี่ยงที่เกิดขึ้น อันจะทำให้เราสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้

นอกจากนี้ยังควรตระหนักถึงความสัมพันธ์ระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงด้วย การควบคุมความเสี่ยงเกือบทั้งหมดจะใช้ในการบรรเทาความเสี่ยงที่เกิดขึ้นอันจะมีผลต่อการบรรลุวัตถุประสงค์ การออกแบบการควบคุมภายในเพียงอย่างเดียว ไม่สามารถนำไปใช้ในการบริหารความเสี่ยงทุกประเภทได้ การออกแบบการควบคุมความเสี่ยงโดยผู้ที่มีความรู้และประสบการณ์ใกล้ชิดกับงานที่ทำ น่าจะสามารถทำได้ดีกว่าการออกแบบการควบคุมที่เกิดขึ้นจากผู้บริหาร ผู้ตรวจสอบภายใน หรือผู้ที่ทำหน้าที่ในการประเมินตนเองเพื่อการควบคุมภายใน

กรอบการควบคุม ในการประเมินตนเองเพื่อควบคุมความเสี่ยง
กรอบการควบคุมความเสี่ยง (แบบจำลองการควบคุมความเสี่ยง) เป็นความหมายและโครงสร้างที่ใช้ในการอธิบายการควบคุมภายใน วิธีการนำเอาแบบจำลองการควบคุมความเสี่ยงไปปฏิบัที่ดีที่สุดคือ เริ่มจากการสัมภาษณ์มุมมองเชิงลึกถึงวิธีการที่องค์กรจะนำเอาแบบจำลองการควบคุมไปใช้ และข้อมูลสารสนเทศเกี่ยวกับวิธีที่ใช้ในการประเมินตนเอง

กรอบความคิดต่าง ๆ จะถูกกำหนดขึ้นมาให้เหมาะกับวัตถุประสงค์เฉพาะของแต่ละคน ตัวอย่างเช่น กรอบความคิดหนึ่งอาจถูกออกแบบมาเพื่อใช้อธิบายความหมายและรายละเอียดของการควบคุมภายใน โดยมีพื้นฐานจากวัตถุประสงค์ขององค์กร ส่วนกรอบอื่น ๆ ที่มีอยู่อาจใช้ในการระบุความเสี่ยง และการให้บริการลูกค้า

ประโยชน์ของการใช้กรอบการควบคุมในการประเมินตนเองเพื่อควบคุมความเสี่ยง
1. แสดงให้เห็นถึงความครอบคลุมทั้งหมดของการควบคุมความเสี่ยง
2. ใช้เป็นเครื่องมือในการติดตามผลเพื่อรวบรวมเป็นชุดของหน่วยงานที่มีลักษณะคล้ายกัน
3. ใช้เป็นคำถามที่มีรูปแบบเพื่อเตรียมไว้สำหรับการจัดโครงสร้างและลักษณะทั่วไปของหน่วยงาน

เรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ยังไม่จบเพียงเท่านี้ ผมยังมีเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจมาเล่าสู่กันฟัง อาทิเช่น COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ส่วนจะมีรายละเอียดเป็นอย่างไรนั้น โปรดติดตามในครั้งต่อไปนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (1)

สวัสดีครับทุกท่าน หลังจากที่ห่างหายจากการเล่าสู่กันฟังในเรื่องราวหรือหมวดหมู่ของ IT Audit และ Non-IT Audit กันมาพอสมควร ผมจำได้ว่ายังมีเรื่องราวต่าง ๆ อีกมากมายที่จะแบ่งปันประสบการณ์ความรู้ ในมุมองของการการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือ CSA / Controls Self Assessment ซึ่งได้คุยกันก่อนหน้านี้มาบ้างแล้ว โดยได้แบ่งเป็นตอน ๆ เพื่อให้ผู้สนใจและติดตามเรื่องราวของ CSA ได้เข้าใจและไม่เกิดความสับสนเกี่ยวกับการประเมินตนเองเพื่อควบคุมความเสี่ยง ทั้งนี้เพราะการประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดในหลาย ๆ ส่วนที่อาจกล่าวได้ว่าเกี่ยวข้องสัมพันธ์ เชื่อมโยง เหมือนหรือคล้ายคลึงกันกับการบริหารความเสี่ยงจนไม่สามารถแยกแยะออกจากกันได้ ซึ่งขึ้นอยู่การนำไปประยุกต์ใช้กับหน้าที่การปฏิบัติงาน หน่วยงาน/องค์กร หรือขึ้นอยู่กับมุมมองของระดับการบริหารส่วนไหน ระดับใด ที่ต้องการควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appitite) แต่ในหมวดหมู่นี้ผมจะขอกล่าวเน้นถึง CSA ในส่วนที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ มากกว่าในส่วนของการบริหารความเสี่ยงขององค์กรทั่วไปโดยรวม ซึ่งผมได้เล่าสู่กันฟังในหมวดหมู่ของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework หรือสามารถติดตามจากเอกสารที่ให้ Download นี้ครับ

การตรวจสอบภายในเป็นเรื่องราวของความสัมพันธ์กันระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยมีหลักพื้นฐานว่า “การประเมินความเสี่ยงเป็นหัวใจสำคัญของวิธีการประเมินตนเองทุกประเภท” การประเมินตนเองจึงมุ่งเน้นด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง อันจะช่วยให้เกิดความเข้าใจในความหมายของแนวคิดเหล่านี้ได้ง่ายและเร็วยิ่งขึ้น

CSA-Control Self Assessment ได้ให้ความหมายของวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงไว้ดังนี้
– วัตถุประสงค์ เป็นสิ่งที่องค์กรต้องการทำให้สำเร็จ (เป็นผลสำเร็จที่องค์กรต้องการ)
– ความเสี่ยง เป็นอุปสรรค/สิ่งกีดขวางทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้ได้
– การควบคุมความเสี่ยง เป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้โดยการบริหารจัดการกับความเสี่ยงเหล่านั้น

แม้ว่าความหมายข้างต้นจะนิยมใช้กันอย่างกว้างขวาง แต่ความหมายเหล่านี้ก็ยังขาดความเป็นทางการในกรอบการควบคุมความเสี่ยงอยู่ การเข้าใจความหมายของแนวคิดเรื่องการควบคุม อาจศึกษาได้จากกระบวนการประเมินการควบคุมอันประกอบด้วยขั้นตอนต่าง ๆ ดังนี้
1. กำหนดวัตถุประสงค์ ควรกำหนดให้มีความชัดเจน สามารถทำความเข้าใจความหมาย ที่มาและคุณค่าได้ไม่ยากนัก เมื่อสามารถกำหนดวัตถุประสงค์ได้แล้วจึงนำไปสื่อสารให้แก่หน่วยงานต่างๆ ที่เกี่ยวข้องในองค์กรทราบ เพื่อให้มีความเข้าใจตรงกัน
2. การบ่งชี้ความเสี่ยง การระบุปัจจัยเสี่ยงที่อาจเป็นตัวขัดขวาง/อุปสรรคต่อการบรรลุวัตถุประสงค์
3. ระบุวิธีการควบคุมความเสี่ยงที่จะสามารถบรรเทาความเสี่ยงลงได้
จากขั้นตอนต่าง ๆ ข้างต้น เราอาจอธิบายง่าย ๆ ได้ว่า การควบคุมเริ่มจากการกำหนดวัตถุประสงค์ โดยระดมผู้มีส่วนร่วมมาช่วยกันวิเคราะห์และหาข้อสรุปออกมา เมื่อกำหนดวัตถุประสงค์ออกมาได้แล้ว ขั้นตอนต่อไปก็นำมาบ่งชี้ความเสี่ยงและระบุวิธีการควบคุมความเสี่ยงเหล่านั้นต่อไป

วัตถุประสงค์
ความหมายของคำว่า “วัตถุประสงค์” สามารถมองได้เป็นหลายมุมมอง เช่น
– เป็นผลลัพธ์ (Outcome) ที่องค์กรต้องการบรรลุผลสำเร็จในการดำเนินงาน
– เป็นก้าวแรกของการบริหารความเสี่ยง
– มิได้เป็นวิธีการ กระบวนการ หรือการดำเนินงานในเรื่องใดเรื่องหนึ่ง

วัตถุประสงค์เป็นหลักยึดสำหรับการวางแผน การจัดองค์กร การกำหนดวิธีการปฏิบัติงานและการควบคุมการดำเนินงาน ถ้าขาดวัตถุประสงค์ที่ชัดเจนและขาดการสื่อสารอย่างทั่วถึงย่อมจะสร้างความสับสนในการทำงานของบุคลากรทุกระดับ ดังนั้นผู้บริหารจึงควรใช้วัตถุประสงค์ให้เป็นประโยชน์ดังนี้
1. เป็นแนวทางการตัดสินใจ
2. เป็นแนวทางในการเพิ่มพูนประสิทธิภาพขององค์กร
3. เป็นแนวทางในการประเมินผลการปฏิบัติงาน

การเข้าใจความหมายของวัตถุประสงค์ย่อมช่วยให้สามารถบรรลุผลสำเร็จตามที่กำหนดไว้ได้ง่ายกว่าการเน้นที่วิธีการในการบรรลุวัตถุประสงค์ การกำหนดวัตถุประสงค์ไว้สูงเกินไปจะทำให้บรรลุวัตถุประสงค์ได้ยาก และยังเกิดความเสียเวลาในการทำความเข้าใจความหมาย ที่มา และคุณค่าของวัตถุประสงค์ ซึ่งอาจทำให้เราไม่สามารถบรรลุวัตถุประสงค์ที่ต้องการได้เลย เมื่อวัตถุประสงค์เป็นผลลัพธ์ที่องค์กรต้องการบรรลุผลสำเร็จ เปรียบเสมือนเส้นชัยขององค์กรที่ทุกฝ่ายต้องร่วมมือกันฟันฝ่าไปให้ถึง ดังนั้นทุกฝ่ายในองค์กรจึงต้องทำความเข้าใจถึงความหมาย ที่มา ของวัตถุประสงค์ให้ชัดเจนว่าวัตถุประสงค์เหล่านี้ถูกกำหนดมาขึ้นมาอย่างไร

ในองค์กรธุรกิจที่มีทีมงานที่มีกระบวนการกำหนดวัตประสงค์ที่ดี และเห็นว่าวัตถุประสงค์มีส่วนสำคัญที่จะช่วยในการดำเนินธุรกิจ ย่อมเป็นองค์กรที่มีความเหมาะสมในการนำการประเมินตนเองเพื่อการควบคุมความเสี่ยงไปใช้ปฏิบัติ ในการกำหนดวัตถุประสงค์ที่ดีควรต้องมีการพิจารณาให้รอบคอบและมีความเหมาะสมกับองค์กรในขณะนั้น โดยต้องระดมความคิดเห็นของบุคลากรหลาย ๆ ฝ่ายเพื่อช่วยในการกำหนดวัตถุประสงค์ วัตถุประสงค์จึงเป็นผลลัพธ์ที่องค์กรต้องการไม่ใช่วิธีการในการทำให้ผลลัพธ์นั้นบรรลุผลสำเร็จ ซึ่งได้มีการแยกความแตกต่างระหว่างวัตถุประสงค์และวิธีการบรรลุวัตถุประสงค์ออกมาให้เห็นภาพชัดเจนขึ้น ดังนี้

คำถามที่ใช้ในการแยกวัตถุประสงค์ออกจากวิธีการบรรลุวัตถุประสงค์ ได้แก่
1. เป็นผลลัพธ์สุดท้ายที่ต้องการหรือไม่
2. เป็นหนทางในการบรรลุวัตถุประสงค์หรือเป็นวัตถุประสงค์จริง
3. เป็นวิธีการหรือผลลัพธ์
4. ทำไมต้องทำสิ่งนั้น

ข้อผิดพลาดทั่วไปในการระบุวัตถุประสงค์
1. ระบุวิธีการ (งบประมาณหรือการอนุมัติ) เป็นผลลัพธ์
2. ผิดพลาดในการพิจารณารูปแบบของวัตถุประสงค์ทั้งหมด
3. ผิดพลาดในการพิจารณาความสัมพันธ์ระหว่างวัตถุประสงค์ซึ่งอาจไม่เกี่ยวข้องสัมพันธ์กัน หรือมีความขัดแย้งกัน

วัตถุประสงค์ระดับสูงขององค์กรโดยรวมบางข้ออาจไม่สามารถประยุกต์ใช้ได้เท่าเทียมกันในทุกแผนก ตัวอย่างเช่น
– วัตถุประสงค์ด้านการเพิ่มรายได้ต้องประยุกต์ใช้กับหน่วยงานที่รับผิดชอบงานด้านการขาย
– วัตถุประสงค์ด้านการลดค่าใช้จ่ายต้องประยุกต์ใช้กับหน่วยงานที่ต้องดูแลด้านค่าใช้จ่ายจำนวนมาก

ลำดับขั้นของวัตถุประสงค์
การกำหนดวัตถุประสงค์อาจไม่จำเป็นต้องกำหนดไว้เพียงขั้นเดียว อาจสามารถกำหนดไว้เป็นลำดับขั้นเพื่อให้เหมาะสมกับผู้ที่เกี่ยวข้องหรือผู้ที่รับผิดชอบดังนี้
1. วัตถุประสงค์ขององค์กรโดยรวม ถือเป็นวัตถุประสงค์หลักที่ผู้บริหารระดับสูงได้ตัดสินใจกำหนดขึ้น อันจะมีผลบังคับใช้ทั่วทั้งองค์กร เป็นวัตถุประสงค์สูงสุดที่แสดงจุดมุ่งหมายอันเป็นผลลัพธ์ขั้นสุดท้าย ที่ถือเป็นวัตถุประสงค์ร่วมของทุกหน่วยงาน
2. วัตถุประสงค์ของหน่วยงานระดับฝ่าย ถือเป็นวัตถุประสงค์เฉพาะด้านที่ผู้บริหารระดับกลางโดยคำปรึกษา (แนะนำ หรือชี้นำ สุดแล้วแต่กรณี) ของผู้บริหารระดับสูงจะตัดสินใจกำหนดขึ้น เพื่อใช้เป็นเป้าหมายในการดำเนินงานของแผนกต่าง ๆ ในหน่วยงาน หากทุกหน่วยงานสามารถทำงานให้บรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนด ก็จะทำให้กิจการโดยรวมบรรลุวัตถุประสงค์ไปด้วย
3. วัตถุประสงค์ย่อย เป็นการกำหนดวัตถุประสงค์ของงานประจำหรืองานเฉพาะโครงการ ที่สอดรับกับวัตถุประสงค์หลักและวัตถุประสงค์เฉพาะระดับฝ่ายงานดังที่กล่าวแล้ว การตัดสินใจที่จะกำหนดวัตถุประสงค์ระดับนี้ เป็นความรับผิดชอบของนักบริหารระดับกลาง ร่วมกับนักบริหารระดับต้นโดยความเห็นชอบ หรือการรับรู้ของนักบริหารระดับสูง

ลักษณะของวัตถุประสงค์ที่ดี (SMART principle)
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้นำไปปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน ต้องไม่ทำให้ผู้ปฏิบัติตีความหมายของวัตถุประสงค์ได้หลายทาง เพราะจะทำให้เกิดความสับสนเพราะถ้าแต่ละคนตีความหมายออกมาไม่เหมือนกัน การนำไปปฏิบัติอาจไม่สอดคล้องไปในแนวทางเดียวกัน จึงอาจเกิดความขัดแย้งกันจนทำให้ไม่สามารถบรรลุวัตถุประสงค์ได้
2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือ ในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย เพราะถ้าเรากำหนดวัตถุประสงค์ไว้โดยไม่สามารถวัดผลได้ เราย่อมไม่สามารถรู้ได้แน่ชัดว่าเราได้ดำเนินการมาถึงขั้นใดแล้ว และเมื่อใดจึงจะเรียกว่าบรรลุผลสำเร็จ
3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ นั่นคือ ในการกำหนดวัตถุประสงค์นั้น ไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ เพราะจะทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะไม่ว่าจะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรม เพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกัน คือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้
4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความเป็นเหตุเป็นผล และมีความเป็นจริง
5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

กรอบของวัตถุประสงค์หลักขององค์กรโดยทั่วไป
1. เพื่อให้เกิดประสิทธิผลและประสิทธิภาพในการทำงาน
– สร้างผลิตภัณฑ์และให้บริการที่เป็นเลิศ
– สร้างผลกำไรสูงสุด และมีต้นทุนต่ำที่สุด เพื่อเพิ่มคุณค่าทางเศรษฐศาสตร์ต่อผู้มีผลประโยชน์ร่วม
– จัดให้มีกระบวนการทำงานแบบสอดประสานทั่วทั้งองค์กรภายใต้ระบบเทคโนโลยีที่ดี คุ้มค่าเงินตามโครงสร้างที่สัมพันธ์กับระบบงานอย่างแท้จริง
– การรักษาและสร้างคุณภาพ คุณค่าเพิ่มจากสินทรัพย์ที่มีตัวตนและไม่มีตัวตนอย่างรู้คุณค่าของ Value และ Hidden Value (จากลักษณะธุรกิจ พนักงานและสารสนเทศ)
– เสริมสร้างและมีส่วนช่วยให้องค์กรบรรลุภารกิจและวิสัยทัศน์ตามที่กำหนด
– จัดให้มีสภาวะแวดล้อมที่เหมาะสมต่อพนักงานและผู้มีผลประโยชน์ร่วม
2. ความน่าเชื่อถือของระบบรายงาน
– รายงานที่ใช้ภายในองค์กรประเภทต่าง ๆ ที่ใช้ในการตัดสินใจ
– รายงานที่ใช้ภายนอกองค์กรเพื่อผู้ถือหุ้น ผู้กำกับดูแล และผู้มีผลประโยชน์ร่วม
– รายงานเกี่ยวกับการบริหารและการดำเนินงาน
3. การปฏิบัติตามกฎต่าง ๆ
– ตามกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบการปฏิบัติ ฯลฯ จากภายนอก
– ตามนโยบาย ระเบียบ คำสั่ง ข้อบังคับ ขั้นตอนการปฏิบัติงานภายในองค์กร

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (4)

จากรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบต่าง ๆ นั้น ดังที่ผมได้กล่าวไปแล้วว่า การทำ CSA ส่วนใหญ่จะใช้วิธีการประชุมเชิงปฏิบัติการในการทำ CSA แต่ก็ยังมีวิธีการสำรวจและวิธีการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมด้วยเช่นกัน มาติดตามกันว่า 2 วิธีดังกล่าวนี้มีรายละเอียดอย่างไรบ้างกันดีกว่าครับ

วิธีการสำรวจ

แบบสอบถามหรือการทำสำรวจเพื่อ CSA ใช้แบบฟอร์มการสำรวจ ในการเสนอโอกาสเพื่อคำตอบง่าย ๆ ว่า “ใช่/ไม่ใช่” หรือ “มี/ไม่มี” เจ้าของกระบวนการใช้ผลของการสำรวจในการประเมินโครงสร้างการควบคุม

ผู้ตรวจสอบได้มีการใช้แบบสอบถามมาเป็นเวลาหลายปีและนำมาใช้ในการทำ CSA ซึ่งไม่มีความแตกต่างกันมากนัก สิ่งหนึ่งที่แตกต่างระหว่างแบบสอบถามที่ใช้ในการตรวจสอบ และแบบสอบถามที่ใช้ในการทำ CSA คือแบบสอบถามเพื่อใช้ใน CSA จำเป็นต้องเขียนตามภาษาของผู้รับ ไม่ใช้ของผู้ตรวจสอบ เนื่องจากไม่มีผู้รับผิดชอบในการตีความหรือไขข้อสงสัยของคำถามให้ผู้รับ ดังนั้นพวกเขาจะตอบคำถามตามที่เขาตีความหรือข้ามไปหากไม่เข้าใจ

แบบสอบถามถูกใช้บ่อยเมื่อวัฒนธรรมองค์กรไม่ยอมรับหรือสนับสนุนให้มีส่วนร่วมในการตอบในการประชุมเชิงปฏิบัติการ (เมื่อผู้เข้าร่วมไม่อภิปรายอย่างเปิดเผยตรงไปตรงมา) ที่เป็นเช่นนี้เพราะกลัวการโต้ตอบจากผู้บริหาร กลัวการสนับสนุนของกลุ่มเพื่อน หรือปัจจัยอื่น ๆ

การสำรวจสามารถใช้เพื่อขยายขอบเขตที่ครอบคลุมของการประเมินตนเองได้ โดยสามารถส่งแบบสอบถามให้กับคนเป็นจำนวนมากได้ในครั้งเดียว แต่อาจต้องใช้เวลาและความร่วมมืออย่างมากในการรวมคนกลุ่มเดียวกันให้เข้ามาร่วมประชุมเชิงปฏิบัติการ

การตอบสนองของการสำรวจอาจไม่มีการระบุชื่อหรือผู้ตอบอาจถูกขอร้องให้เปิดเผยชื่อ ซึ่งจะส่งผลว่าการมองการตอบนั้น ตอบอย่างซื่อสัตย์และถูกต้องได้อย่างไร ผู้ใช้การสำรวจเกือบทั้งหมดเห็นด้วยว่าการใช้การสำรวจโดยไม่มีการติดตามผลหรือการตรวจสอบการตอบทำให้ไม่ได้ผลลัพธ์ที่ถูกต้อง หากผู้ตอบรู้ว่าไม่มีใครติดตามการตอบของพวกเขา ก็จะมีแนวโน้มการตอบแบบสำรวจในลักษณะที่จะทำให้มีจำนวนงานที่ติดตามน้อยที่สุด ผู้ตอบจำนวนมากกล่าวได้ว่าทุกสิ่งทุกอย่างลงตัว แม้ว่าไม่เป็นความจริง ถ้าพวกเขารู้ว่าไม่มีใครอาจจับเขาได้

การสำรวจสามารถเป็นที่ชื่นชอบในการประชุมเชิงปฏิบัติการบนพื้นฐาน CSA ภายในสภาพแวดล้อมดังต่อไปนี้
• วัฒนธรรมองค์กรไม่พร้อมที่จะแบ่งปันข่าวสารข้อมูลที่ละเอียดอ่อนต่อการควบคุมในการประชุมเชิงปฏิบัติการแบบเปิดเผย
• ผู้บริหารมีความกังวลอย่างมากเกี่ยวกับเวลาที่ต้องการให้ลูกจ้างเข้าร่วมการประชุม
• ผู้ตรวจสอบมองหาหนทางลดค่าใช้จ่ายเพื่อให้ได้มาซึ่งข้อมูลเกี่ยวกับความเสี่ยงเพื่อใช้ในการเตรียมแผนการ ตรวจสอบประจำปี
• ไม่ได้แสดงทักษะในการตรวจสอบในการประชุมเพื่ออำนวยความสะดวก
• ขอบเขตของการประเมินตนเองคือความกว้างขวางขององค์กรและความต้องการข้อมูลข่าวสารอย่างรวดเร็ว

เทคนิคของการสำรวจที่ประสบความสำเร็จ
แม้ว่าจะมีการกล่าวไว้อย่างมากว่า การทำการสำรวจง่ายกว่าการวางแผนและการอำนวยความสะดวกในการประชุม CSA แต่ยังคงใช้ทักษะของตนเองอยู่ด้วย สิ่งที่ดีที่สุดคือการเตรียมการประชุมโดยการฝึกฝน แต่นั่นหมายความว่าจะต้องเกิดการผิดพลาดก่อน การใช้งานใครบางคนให้เกิดประโยชน์สูงสุดด้วยการนำประสบการณ์มาใช้ในการเขียนแบบสำรวจเป็นสิ่งสำคัญ หากส่วนงานเลือกวิธีการสำรวจในการทำ CSA ส่วนงานบริหารทรัพยากรมนุษย์สามารถช่วยได้โดยใช้เทคนิคการสำรวจ

การแนะนำที่เป็นประโยชน์ในการเตรียมแบบสอบถามประกอบด้วย
• ใช้ภาษาของผู้รับ
• ใช้หนึ่งคำถามต่อหนึ่งหัวข้อ
• ใช้คำศัพท์ที่มีความหมายชัดเจน
• ถามคำถามที่ง่ายต่อการตอบในครั้งแรก
• ทำแบบสอบถามให้สั้นและง่าย
• เขียนแบบสอบถามในลักษณะของผู้ปฏิบัติเอง
• แจกและเก็บคืนแบบสอบถามด้วยตนเอง
• ใช้แบบสอบถามให้เป็นเครื่องมือการสนทนาในการสัมภาษณ์

การใช้คำถามต้องการเพียงคำตอบว่า “ใช่” หรือ “ไม่ใช่” ทำให้การสำรวจง่ายในการรวบรวมมากกว่าการใช้คำถามแบบเปิด แต่อาจจะไม่ให้ผลเป็นประโยชน์ต่อการประเมินเพื่อการควบคุม ยกตัวอย่าง มีความแตกต่างมากถึงวิธีที่ผู้จัดการใช้ตอบคำถามสำหรับหน่วยงานของตนเอง
• พนักงานกังวัลในเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (ใช่)
• จะแน่ใจได้อย่างไรว่าพนักงานให้ความสนใจเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)
• พนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (เห็นด้วย)
• จะทราบได้อย่างไรว่าพนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)

ดังนั้นการสอบถามจากบุคคลแต่ละโดยตรงจะได้คำตอบที่แตกต่างกว่าหากผู้จัดการแผนกได้ถามคำถามเดียวกันให้กับแผนก

ผลดีและผลเสียของการสำรวจ

การศึกษาวิจัย IIA เรื่อง การนำรูปแบบการควบคุมไปปฏิบัติบัติ: วิธีปฏิบัติที่ดีที่สุด ประกอบด้วยข้อมูลเกี่ยวกับการสำรวจและแบบสอบถามพร้อมด้วยตัวอย่างของการสำรวจ วัตถุประสงค์ของบทนี้เราจะสิ้นสุดเรื่องหัวข้อการสำรวจด้วยการมองผลดีและผลเสียเพื่อใช้เปรียบเทียบการประชุมเชิงปฏิบัติการ

ตามประสบการณ์ของผม การสำรวจหรือแบบสำรวจถูกใช้ประมาณ 30 เปอร์เซ็นต์ของความพยายามในการทำ CSA และมักติดตามด้วยการประชุมเชิงปฏิบัติการหรือการสัมภาษณ์ผลลัพธ์ที่เกิดขึ้น

การวิเคราะห์ที่ทำโดยผู้บริหาร

การวิเคราะห์นี้รวมถึงวิธีทางต่าง ๆ ที่อาจสร้างข้อมูลเกี่ยวกับการควบคุมสำหรับผู้บริหาร การประชุมเชิงปฏิบัติการและการสำรวจเป็นรูปแบบที่นิยมมากสำหรับการทำ CSA

ตัวอย่างบางส่วนของการวิเคราะห์ที่ทำโดยผู้บริหารได้แก่
• แบบสำรวจที่ได้รับการพัฒนาและจัดการโดยผู้บริหารในการสนับสนุนความคิดเห็นเกี่ยวกับการควบคุมภายในที่กฎหมายและกฎระเบียบต้องการ ดังเช่น พระราชบัญญัติการปรับปรุง FDIC
• การอภิปรายท่ามกล่างผู้บริหารการเงินอาวุโสในการสนับสนุนหนังสือนำเสนอประจำปีซึ่งนักบัญชีภายนอกต้องการ
• การสอบสวนหาเหตุผลว่าทำไมการควบคุมเฉพาะเจาะจงถึงล่มสลายหรือล้มเหลว
• การตรวจสอบการนำการควบคุมภายในไปปฏิบัติของระบบใหม่ที่ได้รับพัฒนาหรือการรวมหน่วยทางธุรกิจ

ธรรมชาติและรูปแบบของประเภทของการประเมินตนเองมีความหลากหลาย รูปแบบที่เป็นที่นิยมมากในการทำ CSA และสิ่งที่คนทั่วไปมีแนวโน้มจะคิดถึงเมื่อกล่าวถึง CSA คือการประชุมเชิงปฏิบัติการและการสำรวจ

ตามที่ได้รับทราบไปแล้ว CSA ได้ถูกปฏิบัติอย่างแตกต่างโดยผู้ปฏิบัติทั้งหมด การทำ CSA ที่แตกต่างนั้น ไม่ได้หมายความว่าคนใดคนหนึ่งทำผิด หากการอำนวยความสะดวกในการประชุม, การสำรวจ, หรือการวิเคราะห์อื่น ๆ ช่วยให้องค์กรบรรลุวัตถุประสงค์แล้วสิ่งนั้นย่อมเป็นจุดสำคัญในทางใดทางหนึ่ง

สำหรับครั้งหน้าผมจะมาเล่าให้ฟังว่าทำไมการทำ CSA-Control Self Assessment ถึงต้องกำหนดวัตถุประสงค์ของความเสี่ยงและการควบคุมความเสี่ยง อย่าลืมติดตามนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (3)

จากครั้งที่แล้ว ผมได้เล่าสู่กันฟังในเรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยใช้วิธีการประชุมเชิงปฏิบัติการ ซึ่งเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA และมีการประเมินในรูปแบบต่าง ๆ ดังที่ผมได้กล่าวถึงรูปแบบและวิธีการในภาพรวมไปแล้ว สำหรับวันนี้ผมจะขอเล่าต่อถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบต่าง ๆ เป็นหัวข้อ ๆ เพื่อความชัดเจนยิ่งขึ้น

ลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการแบบต่าง ๆ

แบบฐานจากวัตถุประสงค์
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• องค์กรจะทำการทบทวนการลงทุน (หากองค์กรปฏิบัติผ่านการจำแนกความเสี่ยงและออกแบบการควบคุมความเสี่ยงโดยการนำ COSOไปปฏิบัติ) โดยใช้เป็นจุดเริ่มต้น
• เริ่มต้นด้วยสมมติฐานที่ว่ามีการออกแบบการควบคุมความเสี่ยงที่ทันสมัยและดี

แบบฐานจากความเสี่ยง
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• ผู้บริหารมักจะให้ความสนใจในการจำแนกความเสี่ยง ดังนั้นพวกเขาจึงชอบวิธีการนี้
• เตรียมการจำแนกความเสี่ยงและการควบคุมโดยตลอด เนื่องจากต้องเริ่มต้นด้วยการจำแนกความเสี่ยงทั้งหมด
• สร้างความแข็งแรงและเสริมสร้างกระบวนการจำแนกความเสี่ยงเพื่อใช้ใน COSO และ กรอบการควบคุมอื่นๆ โดยเสริมสร้างทีมงานให้เข้ามาร่วมในการจำแนกความเสี่ยงมากขึ้น
• การละทิ้งบทบาทดั้งเดิมของผู้ตรวจสอบ (เพื่อประเมินการควบคุม) ในบางองค์กร เป็นเรื่องยากที่จะทำให้ผู้บริหารเชื่อ

แบบฐานจากการควบคุม
• ขั้นตอนของการประชุม คือ ข้อตกลงเรื่องการประเมินความเสี่ยงและการควบคุมความเสี่ยง
• การประชุมกระชับขึ้นเนื่องจากได้มีการจำแนกการควบคุมก่อนเริ่มประชุม
• ผู้อำนวยความสะดวกที่ได้รับปฏิกิริยาโต้ตอบน้อยในระหว่างการประชุมจะทำให้การประชุมดำเนินไปโดยง่าย
• ควรมีการเตรียมการก่อนการประชุมให้มากขึ้นเพื่อจำแนกการควบคุมที่มีอยู่
• อย่าแน่ใจว่ามีการระบุการควบคุมครบถ้วนแล้วอันเนื่องจากการที่ผู้ตรวจสอบได้ทำงานเบื้องต้นทำเสร็จแล้ว
• อย่าให้ผู้เข้าร่วมนำการควบคุมไปใช้หากยังไม่ได้มีการจำแนกการควบคุมความเสี่ยงด้วยตนเอง

แบบฐานจากกระบวนการ
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ของกระบวนการ – วัตถุประสงค์ระดับของกิจกรรม
• หัวข้อของการประชุม (กระบวนการทางธุรกิจ) คล้ายคลึงกับวิธีการตรวจสอบอื่นๆ เนื้อหาอาจคุ้นเคยและสะดวกสบายสำหรับผู้ตรวจสอบและผู้บริหารบางคนมากกว่า
• การจัดทำแผนกระบวนการในระดับสูงจะเพิ่มความเข้าใจของผู้เข้าร่วมและกระจายไปสู่การประชุมเชิงปฏิบัติการ
• เช่นเดียวกับการตรวจสอบวิธีการแบบฐานจากกระบวนการ เจ้าของกระบวนการอาจจำแนกได้ยากมีข้อจำกัดในการกระทำใดๆก็ตามอันเนื่องจากความเป็นเจ้าของ
• อาจต้องมีการประชุมเพิ่มขึ้นเพื่อให้ครอบคลุมขอบเขตเดียวกันกับการตรวจสอบแบบฐานจากกระบวนการ ด้วยเหตุนี้จึงดูเหมือนว่าต้องการทรัพยากรมากขึ้น
• การประชุมจะเป็นการรวมผู้เข้าร่วมซึ่งปกติแล้วไม่ได้ทำงานด้วยกัน ซึ่งอาจต้องการทักษะในส่วนของผู้อำนวยความสะดวกเพื่อให้ผู้เข้าร่วมเปิดใจกัน
• ต้องมีการจำแนกวัตถุประสงค์ของแต่ละขั้นตอนหลักของกระบวนการซึ่งมักทำโดยฝ่ายตรวจสอบภายใน เนื่องจากผู้เข้าร่วมและผู้บริหารอาจจะทำได้ด้อยกว่า
• หากกระบวนการมีขอบเขตกว้าง (การขยายองค์กร) ผู้เข้าร่วมอาจจำเป็นต้องเดินทางไปประชุม ดังนั้นจึงมีค่าใช้จ่ายเพิ่มขึ้น

แบบตามสถานการณ์
• ขั้นตอนของการประชุม คือ การทำให้ง่ายขึ้น – อุปสรรค – อภิปรายแก้ไขปัญหาที่เป็นอุปสรรค
• ง่ายต่อการอำนวยความสะดวกและการบันทึกข้อมูล
• อาจไม่ได้ใส่ในวัตถุประสงค์เฉพาะ (ไม่ได้อยู่ที่ระดับที่สูงกว่า โดยมองไปทั่วทั้งส่วนงาน)
• ไม่ได้รวมการประเมินค่าของการควบคุมซึ่งเกี่ยวข้องกับแต่ละวัตถุประสงค์
• ผู้อำนวยความสะดวกใช้เวลาในการเตรียมตัวน้อยเนื่องจากไม่ต้องจำแนกวัตถุประสงค์เฉพาะออกมา

คุณลักษณะอื่น ๆ ของวิธีการประชุมเชิงปฏิบัติการในรูปแบบต่าง ๆ เหล่านี้
• ผู้บริหารโดยทั่วไปชอบวิธีการที่มุ่งเน้นวัตถุประสงค์เฉพาะอย่าง เช่น วัตถุประสงค์, ความเสี่ยง และพื้นฐานการควบคุม วิธีการเหล่านี้ช่วยให้ความกระจ่างกับองค์กรในเรื่องวัตถุประสงค์
• แผนกตรวจสอบอาจเชื่อมโยงวัตถุประสงค์เพื่อใช้ในการตรวจสอบแบบดั้งเดิมเข้ากับวัตถุประสงค์ของผู้บริหารซึ่งมีไว้สำหรับองค์กรได้ยาก ดังนั้น CSA ที่มีพื้นฐานจากวัตถุประสงค์ทางธุรกิจที่สามารถเปลี่ยนแปลงได้เพื่อผู้ตรวจสอบ
• ผู้บริหารการตรวจสอบภายนอกบางคนจะมองเห็นการเชื่อมโยงระหว่างวัตถุประสงค์เพื่อองค์กรและวัตถุประสงค์ของการตรวจสอบภายในได้ยาก ดังนั้นผู้บริหารอาจคัดค้านผู้ตรวจสอบในการมองส่วนที่ไม่เกี่ยวกับการเงิน, วัตถุประสงค์ที่ไม่เข้ากัน

จากพื้นฐานของรูปแบบวิธีการที่ใช้ใน CSA ที่กล่าวถึงก่อนหน้านี้ยังมีวิธีการอื่น ๆในการทำ CSA อีกซึ่งไม่ได้อธิบายไว้ในที่นี้ วิธีการทั้ง 5 แบบเกี่ยวข้องกับการอำนวยความสะดวกในการประชุมเชิงปฏิบัติการ แต่ในหลายองค์กรประสบความสำเร็จใช้การประเมินตนเองด้วยวิธีการที่หลากหลาย หรือใช้หลายวิธีร่วมกัน บางวิธีการซึ่งไม่ได้ถูกกล่าวถึงนั้น ไม่ได้หมายความว่าจะเป็นวิธีการที่ไม่ดี หากวิธีการใดประสบความสำเร็จในการปรับปรุงความสามารถขององค์กรให้สามารถบรรลุวัตถุประสงค์ วิธีการนั้นเป็นสิ่งที่ดีสำหรับองค์กรนั้น ๆ วิธีการประชุมเชิงปฏิบัติการที่ได้อธิบายข้างต้นตามแนวคิดเรื่องการประเมินตนเองเพื่อการควบคุมความเสี่ยง และแนวทางเฉพาะส่วนงานที่ได้กล่าวถึงก่อนหน้านี้เป็นวิธีที่ได้รับความนิยมมากที่สุดในการทำ CSA รูปแบบการประเมินตนเองที่ได้รับความนิยมในการทำ CSA ส่วนใหญ่ 70 เปอร์เซ็นต์เลือกใช้การประชุมเชิงปฏิบัติการในการทำ CSA ส่วนอีก 2 วิธี ได้แก่ การสำรวจและการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมถัดมา

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (2)

วันนี้ผมจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยวิธีการประชุมเชิงปฏิบัติการ ซึ่งจะกล่าวโดยละเอียด จากที่ได้เล่าสู่กันฟังในครั้งก่อน ๆ มาบ้างแล้ว ทำไมถึงต้องใช้วิธีการประชุมเชิงปฏิบัติการ เพราะวิธีการประชุมเชิงปฏิบัติการเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA การประชุมเชิงปฏิบัติการนี้คือ การประชุมที่ช่วยอำนวยความสะดวกโดยผู้ตรวจสอบภายใน และถูกออกแบบให้ประเมินและการควบคุมความเสี่ยง เพื่อให้ได้วัตถุประสงค์หรือกระบวนการออกมา

ตามกฎหัวแม่มือ การประชุมเชิงปฏิบัติการจะมีรวมผู้เข้าร่วม 6-15 คน และ ผู้ตรวจสอบ 2 คน (คนหนึ่งทำหน้าที่อำนวยความสะดวกและอีกคนเป็นผู้บันทึก) และใช้เวลา 2-4 ชม. การประชุมเชิงปฏิบัติการมีการอำนวยความสะดวกและจดบันทึกหลายขนาด หลายรูปแบบ และมีความยาวที่แตกต่างกัน แต่จำนวนเหล่านี้ก็เป็นแบบฉบับแบบหนึ่งที่แสดงให้เห็นได้

แนวการทำ CSA ครอบคลุมรูปแบบหลักของการประชุมเชิงปฏิบัติการของ CSA 4 รูปแบบ คือ
• แบบฐานจากวัตถุประสงค์
• แบบฐานจากความเสี่ยง
• แบบฐานจากการควบคุม
• แบบฐานจากกระบวนการ

ผมขออธิบายรายละเอียดในแต่ละรูปแบบดังนี้นะครับ

การประชุมเชิงปฏิบัติการที่มีรูปแบบฐานจากวัตถุประสงค์

มุ่งเน้นการบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่ม โดยการระบุการควบคุมที่เหมาะสมกับวัตถุประสงค์ ดังนั้นความเสี่ยงที่ยังมีอยู่จะถูกจำแนกออกมา วัตถุประสงค์ของการประชุมคือการระบุว่า เทคนิคการควบคุมมีประสิทธิผลหรือไม่ และผลลัพธ์ที่ได้มีความเสี่ยงที่เหลืออยู่ในระดับที่ยอมรับได้หรือไม่ (ความเสี่ยงส่วนที่เหลือไม่ทำให้การควบคุมลดน้อยลง)

วิธีการนี้กล่าวได้ว่าเป็นการระบุความเสี่ยงในเบื้องต้น และมีการออกแบบการควบคุมเพื่อวัตถุประสงค์ได้ดำเนินการแล้ว และหลังจากการทบทวนการควบคุมที่คงอยู่ในการประชุมเชิงปฏิบัติการ ก็จะมีการสื่อสารความเสี่ยงที่คงอยู่หรือเหลืออยู่ออกไป สิ่งนี้คือกรณีที่องค์กรได้นำกรอบการควบคุมความเสี่ยงเช่น COSO ไปปฏิบัติจนสำเร็จลุล่วงแล้ว และการควบคุมถูกมองว่ารวมอยู่ในงานประจำวันของพนักงานแล้ว ในระหว่างการทำ COSO แต่ละส่วนควรจะประเมินความเสี่ยง และออกแบบการควบคุมความเสี่ยงด้วยตนเอง เพื่อลดความเสี่ยงได้ระบุได้ เนื่องจากผู้บริหารซึ่งเป็นเจ้าของกระบวนการประเมินความเสี่ยงและมีการนำ COSO มาใช้เพื่อช่วยเหลือผู้บริหาร โดยมีสมมติฐานคือผู้บริหารได้ระบุการควบคุมความเสี่ยงที่สมเหตุสมผล ในรูปแบบฐานจากวัตถุประสงค์นี้ CSA เริ่มด้วยการระบุและประเมินการออกแบบการควบคุมความเสี่ยงที่มีอยู่ก่อน

ในบางองค์กรสมมติฐานของการประเมินความเสี่ยงไม่สามารถเป็นจริงได้ ในความเป็นจริงแล้วการประเมินความเสี่ยงอาจเป็นสิ่งที่ CSA ตั้งใจวางไว้อยู่แล้ว การใช้วิธีการแบบฐานจากวัตถุประสงค์ไม่ใช่วิธีที่ดีที่สุดสำหรับองค์กรเหล่านั้น ควรเลือกวิธีการแบบฐานจากความเสี่ยงแทน

การประชุมเชิงปฏิบัติการแบบฐานจากความเสี่ยง

มุ่งเน้นการจำแนกความเสี่ยงเพื่อนำไปสู่การบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่มด้วยการจำแนกแยกแยะอุปสรรค สิ่งขัดขวาง (เรียกว่าความเสี่ยงที่มีมาแต่ต้น) ซึ่งเป็นสิ่งขัดขวางการบรรลุวัตถุประสงค์ และจากนั้นจึงจำแนกกิจกรรมการควบคุม เพื่อให้แน่ใจว่าเพียงพอที่จะจัดการกับความเสี่ยงที่เป็นสำคัญ ในท้ายที่สุดความเสี่ยงสำคัญที่ยังเหลืออยู่จะถูกจำแนกออกมา การประชุมเชิงปฏิบัติการที่มีฐานจากความเสี่ยงนี้นำทีมงานเข้ามามีส่วนร่วมโดยใช้กฎเกณฑ์เรื่องวัตถุประสงค์ ความเสี่ยง การควบคุมความเสี่ยงในระหว่างการประชุมเชิงปฏิบัติการ

เช่นเดียวกับวิธีการแบบฐานจากวัตถุประสงค์ คือเกิดขึ้นโดยมีวัตถุประสงค์เป็นพื้นฐาน วิธีการแบบฐานจากความเสี่ยง ตรวจสอบความเสี่ยงเป็นอันดับแรก หลังจากนั้นจึงมองที่การควบคุมก่อนในการประชุม ในขณะที่วิธีการเน้นวัตถุประสงค์มองที่การควบคุมแล้วจึงมองที่ความเสี่ยงที่ยังเหลืออยู่ วิธีการแบบฐานจากความเสี่ยงอาจส่งผลในการประชุมเชิงปฏิบัติการเรื่องการประเมินตนเองมากกว่าวิธีการอื่น ๆ เนื่องจากมีการระบุความเสี่ยงที่เป็นไปได้จากการประชุมเชิงปฏิบัติการ การระบุและอภิปรายรายละเอียดความเสี่ยง ซึ่งมีพื้นฐานบนกรอบแนวคิดเรื่องความเสี่ยงอาจเกิดขึ้นในรูปแบบเช่นนี้

องค์กรที่ได้นำ COSO มาปฏิบัติจะใช้การจำแนกความเสี่ยง และการออกแบบควบคุมเป็นวัตถุประสงค์หลัก ซึ่งถ้าเป็นเช่นนั้น การกลับไปสู่การระบุความเสี่ยงในการประชุมเชิงปฏิบัติการ CSA อาจถูกมองเป็นการคัดลอกงานโดยทีมงาน เมื่อเกิดกรณีนี้ขึ้นรูปแบบฐานจากการควบคุม หรือฐานจากวัตถุประสงค์อาจเป็นประโยชน์มากกว่า

การประชุมเชิงปฏิบัติการแบบฐานจากการควบคุม

มุ่งเน้นว่าทำอย่างไรให้การควบคุมเป็นไปด้วยดี แต่มีความแตกต่างจากสองวิธีการแรก เนื่องจากผู้ตรวจสอบหรืออำนวยความสะดวก ระบุความเสี่ยงที่เป็นปัจจัยและการควบคุมก่อนการประชุมในระหว่างกระบวนการวางแผนทำ CSA เป็นเสมือนการตรวจสอบแบบดั้งเดิมมากกว่า การจำแนกอาจทำโดยการสัมภาษณ์พร้อมกับผู้บริหารและพนักงาน การแสดงแผนภูมิ เป็นต้น ทางที่ดีข้อมูลควรได้รับโดยตรงจากเอกสารซึ่งดูแลรักษาโดยสมาชิกของทีมงานเอง เนื่องจากเป็นส่วนหนึ่งของความรับผิดชอบของทีมงาน

ในระหว่างการประชุมเชิงปฏิบัติการ ทีมงานจะประเมินว่าทำอย่างไรให้การควบคุมได้ผลในการลดความเสี่ยงและบรรลุวัตถุประสงค์ วิธีการนี้จะทำให้เกิดการวิเคราะห์ความแตกต่างระหว่างวิธีการที่การควบคุมทำงาน และวิธีการที่ผู้บริหารตั้งใจทำ เพื่อการควบคุมอันจะทำให้การประชุมเชิงปฏิบัติการใช้เวลาสั้นลง เนื่องจากความเสี่ยงและการควบคุมถูกจำแนกแยกแยะก่อนการประชุมจะเริ่มขึ้น วิธีการนี้จะได้รับความเห็นชอบหากผู้บริหารต้องการการประชุมที่กระชับและเชื่อว่ามีการควบคุมเพียงพอ

การประชุมเชิงปฏิบัติการแบบฐานจากกระบวนการ

เป็นการตรวจสอบกระบวนการโดยรวบรวมทั้งกิจกรรมที่ปฏิบัติภายในนั้น เป้าหมายของการประชุมคือการประเมิน การทำข้อมูลให้ทันสมัย การตรวจสอบและการปรับปรุงกระบวนการที่เลือกแล้ว คำว่า “กระบวนการ” ในบริบทนี้หมายถึงการมองไปที่ชุดของกิจกรรมที่ต่อเนื่องจากเป้าหมายไปสู่เป้าหมาย ดังเช่นกระบวนการจัดซื้อ การพัฒนาผลิตภัณฑ์ การเตรียมสัญญา กระบวนการด้านภาษี เป็นต้น

วิธีการนี้มักรวมถึงการจำแนกแยกแยะวัตถุประสงค์ของทั้งกระบวนการทั้งหมด (เช่น ระดับการบริการหรือผลผลิตที่เกิดขึ้น) และขั้นตอนที่หลากหลายของกระบวนการ บางกลุ่มเรียกวัตถุประสงค์ของขั้นตอนที่หลากหลายของกระบวนการว่า “วัตถุประสงค์การควบคุม” หรือ “วัตถุประสงค์ระดับกิจกรรม” ผู้บริหารเห็นด้วยก่อนการอำนวยความสะดวกในการประชุม ในระหว่างการประชุมเชิงปฏิบัติการผู้เข้าร่วมจำแนกความเสี่ยงและการควบคุมจะช่วยให้บรรลุแต่ละวัตถุประสงค์ได้ง่ายขึ้น

วิธีการแบบฐานจากกระบวนการ อาจมีการวิเคราะห์อย่างกว้างมากกว่ารูปแบบฐานจากการควบคุม ซึ่งครอบคลุมวัตถุประสงค์อันหลากหลายในกิจกรรมของกระบวนการ วิธีการนี้อาจถูกใช้เชื่อมโยงความพยายามในการปฏิรูปองค์กร หรือความคิดริเริ่มเกี่ยวกับคุณภาพในการปฏิบัติเป็นทีม หรือโดยฝ่ายตรวจสอบนิยมใช้วิธีการแบบฐานจากระบวนการเพื่อการตรวจสอบแบบดั้งเดิม

การประชุมเชิงปฏิบัติการเรื่องกระบวนการอาจรวมถึงการปฏิรูปองค์กร (ตัวอย่างเช่น การลดค่าใช้จ่ายในการผลิตโดยรวม 10%) หรือกรอบการทำงานภายในซึ่งมีความเสี่ยงเฉพาะและการควบคุมอยู่ด้วย (ตัวอย่างเช่น การผลิตชิ้นส่วนเครื่องจักรก็มีความเสี่ยงเพราะอัตราการปฏิเสธมีเกินกว่า 2%) ข้อเสนอในการเปลี่ยนแปลงแสดงเนิ้อหาด้านความเสี่ยงและการควบคุมความเสี่ยงที่มีความเฉพาะเจาะจง

แต่ผลลัพธ์ยังคงเน้นที่กระบวนการทางธุรกิจโดยรวม สิ่งนี้ทำให้แน่ใจได้ว่าการรับรองเกี่ยวเนื่องและมุ่งเน้นธุรกิจภายใต้การตรวจสอบ บางกลุ่มเริ่มจากการมองภาพรวม วัตถุประสงค์กระบวนการแม้ว่าจุดเน้นจะอยู่บนความเสี่ยงและหรือการควบคุมภายในกระบวนการเพื่อการเตรียม วิธีการที่เน้นธุรกิจ

อีกรูปแบบหนึ่งของการประชุมเชิงปฏิบัติการ CSA ที่เรียกว่าวิธีการเชิงส่วนงานหรือสถานการณ์ ก็เป็นที่นิยมด้วยเช่นกัน วิธีการนี้มุ่งเน้นส่วนงานทั้งหมดไม่เพียงแต่มุ่งเน้นวัตถุประสงค์หรือกระบวนการเพียงอย่างเดียว การประชุมเชิงปฏิบัติการในขั้นพื้นฐานประกอบด้วยการสอบถามทีมงานหรือส่วนงาน 2 คำถาม คือ 1) สิ่งใดจะช่วยทำให้ส่วนงานบรรลุวัตถุประสงค์ และ 2) สิ่งใดขัดขวางการบรรลุวัตถุประสงค์ มีการนำวิธีการที่หลากหลายมาใช้ในการรวบรวมข้อมูล แต่การใช้กระดาษโน้ตกาวติดบนกำแพง เพื่อให้ทุกคนสามารถเห็นคำตอบได้ง่าย เป็นวิธีการรวบรวมข้อมูลโดยเทคโนโลยีระดับล่าง ผู้เข้าร่วมการประชุมตอบคำถาม 1 คำถาม ต่อกระดาษโน้ต 1 แผ่น การสรุปปัจจัยจะเป็นการช่วยหรือขัดขวางแนวคิดของพวกเขา ผลลัพธ์จะถูกจัดกลุ่มและบ่อยครั้งที่กลุ่มจะร่วมกันอภิปรายแก้ปัญหาที่อุปสรรคอันดับต้นๆอย่างมีศักยภาพ

วิธีการทำ CSA แบบนี้สามารถทำให้ง่ายขึ้น โดยมีผู้อำนวยความสะดวกหรือผู้บันทึกข้อมูล เพราะทีมงานจะเข้ามามีส่วนร่วมในการสร้างและการจัดเรียงข้อมูลดิบมากขึ้น การประชุมไม่มีการติดขัดเป็นคอขวดในกระบวนการบันทึกข้อมูล ผลลัพธ์เป็นภาพรวมอย่างกว้างพร้อมทั้งเนื้อหาเฉพาะของสถานการณ์ปัจจุบันในส่วนงาน

สำหรับครั้งหน้าผมจะยังคงเล่าสู่กันฟังต่อในรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยงด้วยวิธีการประชุมเชิงปฏิบัติการ แต่จะเน้นให้เห็นถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบต่าง ๆ ที่ได้กล่าวมาข้างต้น อย่าลืมติดตามนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (1)

ผมได้กล่าวถึงมุมมองของการทำ CSA ในเบื้องต้นมาพอสมควร วันนี้ผมจะมาเล่าในรายละเอียดที่ลึกลงไป โดยจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง สำหรับการทำ CSA จำแนกได้ 3 วิธีการ ได้แก่ การประชุมเพื่ออำนวยความสะดวก(หรือที่รู้จักกันดีว่าการประชุมเชิงปฏิบัติการ), การทำแบบสอบถามหรือแบบสำรวจ และการวิเคราะห์โดยผู้บริหาร ถึงแม้ว่าจะมีการอธิบายแนวทางพื้นฐานทั้ง 3 วิธีอย่างชัดเจนก็ตาม แต่ในองค์กรต่างๆ ก็นิยมใช้การประเมินมากกว่า 1 วิธีในกระบวนการประเมินตนเอง แนวทางต่าง ๆ ที่ใช้ในการประเมิน CSA มีดังต่อไปนี้

ตัวอย่างของการใช้การประเมินตนเองเพื่อควบคุมความเสี่ยง

• ใช้การประชุมเชิงปฏิบัติการกับการออกเสียงแบบไม่ออกนามเพื่อประเมินความเสี่ยง เป็นเสมือนปัจจัยในการพัฒนาแผนการตรวจสอบประจำปี วิธีการนี้จะช่วยจัดการความเสี่ยงรวมถึงการเตรียมการวางแผนได้
• ใช้การประชุมเชิงปฏิบัติการเพื่อการดำเนินธุรกิจหลักระหว่างแผนกต่าง ๆ
• ส่งแบบสอบถามให้กับระดับบริหาร เพื่อให้ประเมินรายการมาตรฐานของการควบคุมวัตถุประสงค์ภายในแผนกของตนเอง รวมทั้งเลือกการตรวจสอบไปปฏิบัติโดยอยู่บนพื้นฐานของการตอบสนอง
• ใช้ขั้นตอนการสัมภาษณ์ในการเริ่มต้นการตรวจสอบ เพื่อเก็บข้อมูลและจัดขอบเขตของการตรวจสอบ
• สลับสับเปลี่ยน CSA และ การตรวจสอบแบบเดิม ดำเนินการตรวจสอบแบบเดิมหนึ่งปี และใช้การประชุมเชิงปฏิบัติการในปีถัดไป
• ใช้ CSA เป็นเสมือนเครื่องมือตรวจสอบเชิงป้องกัน ซึ่งเป็นการปรึกษานอกเหนือความเห็นประจำปีในเรื่องของการควบคุม
• ส่วนงานอื่นนอกเหนือจากหน่วยตรวจสอบภายในใช้ การประชุมเชิงปฏิบัติการ CSA ในการช่วยให้พนักงานเข้าใจวัตถุประสงค์, ความเสี่ยง และการควบคุม
• ส่งแบบสอบถามประจำปีให้กับผู้บริหาร ซึ่งจะช่วยสนับสนุนความคิดเห็นประจำปี ในเรื่องการควบคุมที่ของผู้ตรวจสอบภายนอกต้องการ
• ใช้วิธีการ “เขียนบนกำแพง” เพื่อให้ผู้เข้าร่วมตอบคำถาม 2 คำถาม คือ “ปัจจัยใดบ้างที่ช่วยให้บรรลุวัตถุประสงค์ขององค์กร” และ “ปัจจัยใดบ้างที่เป็นอุปสรรคต่อบรรลุวัตถุประสงค์ขององค์กร”
• ใช้การประชุมเชิงปฏิบัติการในการประเมินการควบคุมสภาพแวดล้อมโดยรวมขององค์กร
• ใช้แบบสอบถามแบบตัวต่อตัวกับผู้บริหารเพื่อแยกแยะความเสี่ยงขององค์กร

การเลือกวิธีการที่ถูกต้องในการทำ CSA
วิธีการของ CSA มีความแตกต่างกัน องค์กรและส่วนงานตรวจสอบจะเลือกวิธีการที่ถูกต้องได้อย่างไร หรือใช้เพียงวิธีเดียวได้ วิธีการทำ CSA ซึ่งใช้การประชุมเชิงปฏิบัติการกับผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกนั้น เป็นวิธีที่องค์กรชื่นชอบ IIA เสนอให้ใช้วิธีการนี้เมื่อวัฒนธรรมสนับสนุนการแสดงออกของผู้เข้าร่วมในการประชุมเชิงปฏิบัติการ แต่ในกรณีที่วัฒนธรรมองค์กรไม่สนับสนุนวิธีการทำ CSA แบบมีส่วนร่วมเหมือนการประชุมเชิงปฏิบัติการ ก็อาจใช้แบบสอบถามและการวิเคราะห์การควบคุมโดยผู้บริหารแทนได้ ปัจจัยอื่น ๆ ในการเลือกวิธีการทำ CSA นอกเหนือจากวัฒนธรรมมีดังนี้

• ธรรมชาติของอุตสาหกรรม เช่น การมีกฎระเบียบที่เข็มงวด การเงิน การผลิต หรือการทำการกุศล
• เนื้อหาความชำนาญและประสบการณ์ของส่วนงานตรวจสอบภายใน เป็นสิ่งใดดีที่สุดสำหรับการริเริ่มการทำ CSA (และเติบโตไปสู่วิธีการอื่นต่อไป)
• ทัศนคติและการสนับสนุนของผู้บริหาร โดยเฉพาะฝ่ายปฏิบัติการ เนื่องจากพวกเขาจะถูกขอร้องให้ส่งพนักงานเข้าประชุมเชิงปฏิบัติการ
• ต้นทุน – การใช้การออกเสียงแบบไม่ระบุนามมีค่าใช้จ่ายสูงและต้องมีการฝึกอบรม
• ความสะดวกสบายของเจ้าหน้าที่ตรวจสอบ โดยเฉพาะการให้ความสะดวก เจ้าหน้าที่ตรวจสอบเชื่อหรือไม่ว่าการทำ CSA ได้ผล และรู้สึกได้รับความสะดวกสบายจากการเป็นผู้นำการประชุมเชิงปฏิบัติการหรือไม่ (การต่อต้านภายในอาจกลายเป็นกลุ่มใหญ่หรือรุนแรง)
• ทรัพยากรของสถานที่ตรวจสอบ สามารถทำ CSA และดูแลโดยใช้แผนตรวจสอบได้หรือไม่
• ทัศนคติของคณะกรรมการตรวจสอบ พวกเขาเชื่อหรือไม่ว่าวิธีการนี้จะได้ผล

ปัจจัยที่มีอิทธิพลเบื้องต้นในการเลือกคือความเป็นมาของการตรวจสอบภายในขององค์กร หากการตรวจสอบในปัจจุบันแสดงออกเพียงความร่วมมือ หรือการตรวจสอบทางการเงิน และถูกมองเป็นการสืบทอดเป็นดั้งเดิม ดังนั้นวิธีการทำ CSA ในขั้นเริ่มต้นอยู่ซึ่งบนการสำรวจอย่างสั้น อาจเป็นหนทางที่ง่ายในการเริ่มทำ CSA ในทางตรงข้าม หากการตรวจสอบตามที่เคยปฏิบัติ เป็นการทบทวนเนิ้อหาการปฏิบัติการนั้นมุ่งเน้นวัตถุประสงค์ของธุรกิจ และมีสมาชิกซึ่งมีทักษะในการให้ความช่วยเหลือ ก็อาจเริ่มต้นการปฏิบัติิงานด้วยวิธีการนำการประชุมเชิงปฏิบัติการมาใช้ในการทำ CSA ก็ได้

อีกปัจจัยหนึ่งคือความง่ายของการแนะนำ หรือการเสนอเครื่องมือให้กับผู้บริหาร หากส่วนงานตรวจสอบกำลังแนะนำ CSA และมีการตรวจสอบกระบวนการธุรกิจอยู่แล้ว วิธีการทำ CSA ที่อยู่บนพื้นฐานของกระบวนการก็อาจให้ประโยชน์บางประการได้ ตัวอย่างเช่น การตรวจสอบความคุ้นเคยกับกระบวนการ และอาจได้รับความสะดวกจากการใช้เครื่องมือใหม่ในสภาพแวดล้อมเช่นนั้นมากขึ้น ผู้บริหารอาจมองการใช้ CSA ว่าเป็นการขยายตัวตามธรรมชาติของการตรวจสอบแบบดั้งเดิม และเป็นการขัดขวางการแยกออกจากบรรทัดฐานที่มีอยู่ สิ่งนี้เป็นเพียงจุดเริ่มต้น ทีมงานตรวจสอบการทำ CSA จะเพิ่มวิธีการที่แตกต่างอย่างรวดเร็วให้กับรายการเครื่องมือและเทคนิคที่มีอยู่ และประยุกต์ใช้สิ่งที่เหมาะสมตามสถานการณ์

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 5 – ข้อขัดแย้งของ CSA

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้ในเป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่าอะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลายๆองค์กรจะพบความแตกต่างดังรายการข้างล่างนี้ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ

ความแตกต่างบางประการในการนำไปปฏิบัติมีพอสรุปออกมาเป็นรายการได้ดังนี้

1. รูปแบบ CSA
หลายคนเชื่อว่ารูปแบบของการประชุมเชิงปฏิบัติการ หรืออาจเรียกว่าการประชุมที่อำนวยความสะดวกหรือรูปแบบทีมงานเป็นรูปแบบที่มีประสิทธิผลสำหรับการทำ CSA ส่วนรูปแบบอื่นที่นิยมกันก็คือการใช้แบบสอบถาม ผู้นำ CSA มาใช้ส่วนใหญ่เลือกใช้รูปแบบการประชุมเชิงปฏิบัติการเพื่อขัดขวางวิธีการใช้แบบสอบถามหรือการวิเคราะห์CSA ที่ผู้บริหารสร้างขึ้น ในหลายองค์กรอาจใช้การรวมหลาย ๆ วิธีในการทำการประเมินตนเอง ผู้ตรวจสอบกำลังเริ่มลงมือเขียนโปรแกรมการตรวจสอบการประเมินตนเองขึ้นมา โดยสร้างขึ้นจากฝ่ายปฏิบัติการ ในการทำ CSA จะยอมให้ผู้ตรวจสอบเข้ามาเชื่อมโยงฝ่ายต่าง ๆ เพื่อระบุความเสี่ยงและวัตถุประสงค์การควบคุมความเสี่ยง และพัฒนาแบบทดสอบที่จำเป็นต้องนำมาใช้ ผู้ตรวจสอบอาจใช้รูปแบบการประชุมเชิงปฏิบัติการ เพื่อช่วยให้กลุ่มได้ประเมินผลการประเมินด้วยตนเอง และพัฒนาแผนปฏิบัติงานที่ต้องการ หลังจากนั้น ฝ่ายตรวจสอบภายในอาจทำการทดสอบความถูกต้องของผลลัพธ์ด้วย

2. การใช้กรอบควบคุมความเสี่ยง

หลายคนเชื่อว่าการใช้กรอบควบคุมความเสี่ยง เช่น COSO, CoCo หรือ Malcolm Baldrige เป็นสิ่งที่มีความจำเป็นสำหรับการทำ CSA ผู้ใช้ CSA ส่วนใหญ่เลือกใช้กรอบการควบคุมความเสี่ยงเข้ามาช่วยในการระบุและแยกประเภทความเสี่ยงและการควบคุมความเสี่ยง แต่การใช้กรอบการควบคุมความเสี่ยงนี้ ไม่ได้เป็นการทำให้การทำการประชุมเชิงปฏิบัติการง่ายขึ้น และยังต้องอาศัยทักษะและประสบการณ์ของผู้อำนวยความสะดวกและทีมงาน เพื่อจะได้ทราบว่าการควบคุมความเสี่ยงและความเสี่ยงทั้งหมดนั้นจะมีความคลอบคลุมครบถ้วน

3. บทบาทการตรวจสอบภายใน
หลายคนเชื่อว่าการตรวจสอบภายในไม่ได้ทำให้เกิดความเป็นเจ้าของสูงสุดของกระบวนการ CSA และหลายครั้งได้มีการมอบแผนงานในการอำนวยความสะดวกและบทบาทในการรายงานไปให้ทีมงานทำ ส่วนคนอื่นที่เหลือเชื่อว่าการตรวจสอบภายใน จะช่วยให้เกิดความต่อเนื่องในการอำนวยความสะดวกให้กับการทำการประชุมเชิงปฏิบัติการ และเป็นจุดรวมสำหรับการวางแผนและการรายงานในการทำ CSA ในทางปฏิบัติฝ่ายตรวจสอบได้มีการมีการโอนความเป็นเจ้าของการประชุมเชิงปฏิบัติการ ไปให้กับทีมงานน้อยมาก

4. รายงาน CSA
บางคนเชื่อว่าการตรวจสอบภายในควรต้องรายงานผลของ CSA การประชุมเชิงปฏิบัติการให้ผู้บริหารทราบ เช่นเดียวกับการตรวจสอบแบบดั้งเดิม ในขณะที่อีกฝ่ายหนึ่งเชื่อว่าทีมงานในการประชุมเชิงปฏิบัติการควรเป็นผู้รายงานผล ส่วนมากเมื่อทีมงานได้ทำการรายงานผลจากการทำ CSA การประชุมเชิงปฏิบัติการออกมา รูปแบบของรายงานการตรวจสอบจะเกี่ยวข้องกับเเรื่องการประเมินตนเอง หรือผลจากการทดสอบข้อเท็จจริงหรือการประกันคุณภาพการปฏิบัติงาน

5. การมีส่วนร่วมของฝ่ายบริหาร
หลายคนเชื่อว่าผู้บริหารทีมงานต้องมีส่วนร่วมพร้อมไปกับทีมงานโดยตลอด ขณะที่อีกฝ่ายเชื่อว่าผู้บริหารไม่ต้องเข้ามามีส่วนร่วม ประเด็นที่สำคัญเกี่ยวกับเรื่องนี้คือ เรื่องความสามารถในการได้รับข้อมูลที่เป็นจริงของการประชุมเชิงปฏิบัติการจากการปฏิบัติงานจริง ซึ่งอาจต้องการการใช้การลงคะแนนแบบไม่ระบุชื่อถ้าผู้บริหารเข้ามามีส่วนร่วมด้วย

6. การประกันคุณภาพ

หลายคนเชื่อว่าการตรวจสอบภายในต้องดำเนินการตรวจสอบการประกันคุณภาพเพื่อยืนยันผลการประเมินตนเอง ส่วนอีกฝ่ายเชื่อว่าไม่จำเป็นต้องมีการตรวจสอบ การประกันคุณภาพเป็นเรื่องจำเป็นถ้ามีการนำการประเมินตนเองมาใช้แทนการตรวจสอบภายใน เพื่อให้ได้มาซึ่งควมคิดเห็นในภาพรวมของการควบคุมภายใน การทดสอบการควบคุมที่ถูกต้องควรกระทำในส่วนใดส่วนหนึ่งของกระบวนการเมื่อนำ CSA มาใช้เป็นการตรวจสอบ

7. ความสัมพันธ์กับการตรวจสอบภายใน
บางคนได้โต้แย้งว่าทั้งผู้ตรวจสอบและผู้อำนวยความสะดวก CSA มีการขัดผลประโยชน์กัน ดังนั้นผู้อำนวยความสะดวก CSA สำหรับบางธุรกิจไม่ควรเป็นผู้ตรวจสอบในธุรกิจนั้น ความหมายใหม่ของการตรวจสอบภายในได้ออกมาในปลายปี 1999 โดยมีขอบเขตของการตรวจสอบภายในที่กว้างขวางชัดเจนขึ้นในการรวมกิจกรรมการให้คำปรึกษา และพบว่าในทางปฏิบัติการดำเนินงาน CSA ขององค์กรไม่มีประเด็นที่เป็นอิสระไปจากการทำ CSA เลย

บางครั้งจากข้อขัดแย้งดังกล่าวข้างต้น แผนกตรวจสอบจะดำเนินการแตกต่างกันเพียงเล็กน้อยในการนำ CSA มาใช้ และบางครั้งก็อาจเรียกหรือให้ความหมายของ CSA ที่แตกต่างกัน ดังนี้

– การประเมินความเสี่ยงและการควบคุมความเสี่ยงด้วยตนเอง
– การประเมินการเปลี่ยนแปลงด้วยตนเอง
– การประเมินการอำนวยความสะดวกด้วยตัวเอง
– กระบวนการประเมินการบริหาร
– การประเมินการบริหารด้วยตัวเอง
– โปรแกรมการประเมินและตรวจสอบการควบคุม
– โปรแกรมการตรวจสอบการควบคุม
– การประเมินการมีส่วนร่วมของความเสี่ยงและการควบคุมความเสี่ยง
– การประเมินทางธุรกิจด้วยตัวเอง
– การประเมินความเสี่ยงทางธุรกิจ
– การประเมินการเปลี่ยนแปลงของความเสี่ยงและสมรรถภาพ

สถานการณ์ที่ CSA ไม่เหมาะสม
จากประโยชน์ที่ได้กล่าวถึงข้างต้น และการที่ผู้ตรวจสอบได้มีการนำ CSA ไปใช้มากขึ้น แต่กลับไม่ได้มีการนำ CSA ไปใช้ตลอดเวลา เนื่องจากแผนกที่นำ CSA ไปใช้ส่วนใหญ่ใช้พยายามในการทำการตรวจสอบเพียงร้อยละ 30-40 เท่านั้น ดังนั้นจึงเกิดคำถามที่ว่าเมื่อไรที่ CSA ไม่เหมาะสม เมื่อไรที่ CSA ไม่ใช่เครื่องมือตรวจสอบที่ถูกต้อง

กระบวนการ CSA ช่วยในการทำการประชุมเชิงปฏิบัติการ หรือสำรวจผู้มีส่วนร่วมในฐานะผู้เชี่ยวชาญในงานที่ได้ทำหรือการตรวจสอบสถานการณ์ ถ้าสมมุติฐานไม่ถูกต้องนั่นอาจทำให้ CSA ไม่เหมาะสม ซึ่งจะเกิดขึ้นได้ถ้าทุกคนยังไม่มีประสบการณ์ในการจัดการกับปริมาณการเข้าออกงานที่เพิ่มขึ้นสูง และการเจริญเติบโตอย่างรวดเร็ว โดยทุกคนจะไม่สามารถตอบได้ว่า จะใช้วิธีใดมาใช้แทนในการทำให้องค์กรบรรลุวัตถุประสงค์ กลุ่มเหล่านี้จะได้รับประโยชน์จากการอภิปรายอำนวยความสะดวกในเรื่องของวัตถุประสงค์ วิธีการ เป้าหมาย ฯลฯ แต่จะยังไม่สามารถทำการประเมินความเสี่ยง และการควบคุมความเสี่ยงได้อย่างเหมาะสม เนื่องจากยังไม่มีความรู้ในเรื่องนั้นเลย ถ้าผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้กับการประชุมเชิงปฏิบัติการ หรือการอภิปรายผู้บริหารเข้าเข้ามามีส่วนร่วมในการประชุมเชิงปฏิบัติการด้วย เพื่อช่วยให้วัตถุประสงค์ของทีมงานสอดคล้องกับวัตถุประสงค์โดยรวมขององค์กร

CSA อาจไม่เหมาะสมหรืออาจไม่จำเป็นต้องพิจารณาเป็นพิเศษในสถานการณ์ต่าง ๆ ดังนี้
1. พนักงานไม่ได้เป็นผู้เชี่ยวชาญในสาขาเฉพาะด้านตามที่ได้กล่าวถึงในข้างต้น
2. การคาดคะเนผิดพลาด ซึ่งอาจทำให้ยากตัดสินใจว่าใครควรเป็นผู้ดำเนินการใน การประชุมเชิงปฏิบัติการ
3. การเปลี่ยนแปลงขององค์กรอย่างรวดเร็ว เช่น การรวมกิจการและการเข้าครอบครองกิจการ การลดขนาดองค์กร การ takeovers ซึ่งอาจทำให้พนักงานไม่เข้าใจวัตถุประสงค์หรือการจ้างงานในระยะยาวของเขาอย่างชัดเจน
4. วัฒนธรรมไม่สนับสนุนหรือการสื่อสารอย่างมีประโยชน์ การเปิดเผยข้อมูล และความไว้ใจได้ ดังนั้นจึงทำให้ฝ่ายบริหารไม่สนใจผลที่เกิดขึ้นจาก CSA
5. ผู้บริหารไม่ได้ให้การสนับสนุนพนักงานในเรื่องที่เกี่ยวข้องกับการระบุความเสี่ยงและการควบคุมความเสี่ยงอย่างเพียงพอ
6. สิ่งที่คาดหวังของผู้บริหารคือ การทำให้เกิดการยอมรับคำสั่งของฝ่ายตรวจสอบและ/หรือการตรวจสอบกฎระเบียบ
7. ผู้อำนวยการการตรวจสอบไม่เชื่อว่าพนักงานมีทรัพยากรหรือทักษะที่เพียงพอในการทำ CSA ซึ่งอาจทำให้ตัดสินใจรอจนกระทั่งมีการพัฒนาทักษะแล้วจึงนำไปปฏิบัติ

เรื่องของ CSA ยังมีรายละเอียดอีกมากมาย ครั้งหน้าผมจะมาเล่าถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (CSA) ต่อนะครับ

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 4 – ประโยชน์ของ CSA และข้อควรคำนึงถึง

เมื่อมีการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กร นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร ดังที่ได้กล่าวถึงในครั้งที่แล้ว การเปลี่ยนแปลงจากการนำ CSA มาใช้ และการเคลื่อนไหวของ CSA โดยทั่วไป จะก่อให้เกิดประโยชน์และข้อควรคำนึงถึงเป็นจำนวนมาก ประโยชน์และสิ่งที่ควรคำนึงถึงนี้อาจมองได้หลายมุมมอง เช่น ประโยชน์ต่อองค์กรการตรวจสอบภายใน ประโยชน์ต่อกระบวนการทางธุรกิจ อุปสรรคจากการนำ CSA มาปรับใช้ เป็นต้น ซึ่งผมจะขอกล่าวถึงประโยชน์ของ CSA โดยหลัก ๆ ดังนี้

1. CSA ช่วยให้พนักงานสายงานหลักในทุกระดับมีความเข้าใจและคาดการณ์ถึงหน้าที่ความรับผิดชอบ และสามารถตรวจสอบประสิทธิผลของการควบคุมความเสี่ยงและการบริหารความเสี่ยงได้อย่างถูกต้องมากขึ้น CSA ประกอบด้วยส่วนประกอบด้านการศึกษาที่สำคัญ ที่ช่วยให้พนักงานสายงานหลักเกิดความเข้าใจเรื่องความเสี่ยงและการบริหารความเสี่ยงได้ดีขึ้น ในฐานะที่เป็นผู้ที่เกี่ยวข้องโดยตรงต่อการปฏิบัติงานโดยผู้อำนวยความสะดวก ตัวอย่างเช่น การสื่อสารที่มีประสิทธิภาพและโอกาสในการสอนงาน ในท้ายที่สุด ผู้ตรวจสอบจะเปลี่ยนแปลงทัศนคติและความเข้าใจของทีม เรื่องการควบคุมความเสี่ยงและความเสี่ยงที่อาจเป็นประโยชน์อย่างมากในการทำ CSA

2. เกิดการการปฏิบัติที่ถูกต้องมากขึ้น เนื่องจากผู้มีส่วนร่วมในการทำ CSA เกิดความเป็นเจ้าของในผลลัพธ์ที่เกิดขึ้น การประชุมเชิงปฏิบัติการ และการตรวจสอบแบบดั้งเดิมที่ล้มเหลวในด้านการสร้างความเข้าใจ หรือการกล่าวถึงสิ่งที่ต้องคำนึงถึงในการบริหาร จะนำไปสู่ข้อเสนอแนะที่ไม่สามารถนำไปปฏิบัติได้ ซึ่งจะสร้างผลลัพธ์ในทางลบให้กับ CSA การนำไปสู่ความสับสน และเกิดความขัดแย้งระหว่างพนักงานสายงานหลักและผู้บริหาร

3. CSA จะจัดเตรียมประเด็นที่สำคัญที่ครอบคลุมกว้างขวางเนื่องจากผู้เชี่ยวชาญ ทีมงานสามารถเน้นไปยังความเสี่ยงและการควบคุมความเสี่ยงได้อย่างรวดเร็ว

4. CSA ช่วยปรับปรุงการสื่อสารในทุกระดับเนื่องจาก การประชุมเชิงปฏิบัติการ ประกอบด้วยหลาย ๆ องค์ประกอบ เช่น ที่ตั้ง แผนก หน้าที่ และบุคลากรทุกระดับ

5. CSA สอนให้ผู้มีส่วนร่วมทราบถึงวิธีการวิเคราะห์และรายงานการควบคุมภายใน ดังนั้นจึงช่วยเพิ่มความตื่นตัวเรื่องการควบคุมให้เกิดขึ้นทั่วทั้งองค์กร ซึ่ง CSA จะช่วยในการปรับปรุงสภาพแวดล้อมทางการควบคุมขององค์กร โดยช่วยเพิ่มความตระหนักถึงวัตถุประสงค์ขององค์กรและบทบาทของการควบคุมภายใน อันจะทำให้เกิดผลสำเร็จตามเป้าหมายและวัตถุประสงค์ รวมถึงการจูงใจให้บุคลากรทำการออกแบบหรือนำกระบวนการควบคุมไปปฏิบัติอย่างระมัดระวัง และมีการปรับปรุงกระบวนการดำเนินการควบคุมอย่างต่อเนื่อง

นอกจากนี้ CSA ยังมีประโยขน์ในด้านอื่น ๆ คือ ช่วยให้ผู้ตรวจสอบเน้นไปยังเนื้อหาความเสี่ยงในระดับสูงเท่านั้น และยังมุ่งความสนใจไปยังความพยายามในการตรวจสอบแบบดั้งเดิมในเรื่องดังกล่าวด้วย อีกทั้งการประชุมเชิงปฏิบัติการด้าน CSA จะช่วยให้เกิดการเตรียมตัวอย่างไม่เป็นทางการ หรือการควบคุมร่วมกันที่ยากต่อการประเมินด้วยการตรวจสอบแบบดั้งเดิม

นอกเหนือจากประโยชน์ในการทำ CSA แล้ว ยังมีข้อควรคำนึงถึงหรืออุปสรรคในการบรรลุผลสำเร็จ ดังนี้

1. บุคลากรจะต่อต้านการเปลี่ยนแปลงแ ละการนำ CSA มาใช้นั้นได้แสดงให้เห็นว่า เป็นการเปลี่ยนแปลงสำหรับทั้งผู้ตรวจสอบและผู้ถูกตรวจสอบ หลายองค์กรจึงอาจค่อย ๆ ยอมรับวิธีการใหม่นี้อย่างช้า ๆ

2. ฝ่ายบริหารอาจไม่เชื่อว่าพนักงานสายงานหลักจะสามารถรับผิดชอบงานด้านการควบคุม และการบริหารความเสี่ยงได้อย่างมีประสิทธิผล โดยอาจมองว่า CSA เป็นเพียงการเปลี่ยนของงาน (วิธีการที่ผู้ตรวจสอบภายในมอบให้พนักงานสายงานหลักเข้ามาทำงานด้านการตรวจสอบเอง) ในกรณีนี้ผู้บริหารจะส่งเสริมให้กลุ่มใดกลุ่มหนึ่ง นั่นก็คือผู้ตรวจสอบภายใน เป็นผู้มีหน้าที่ความรับผิดชอบเรื่องความเสี่ยงและการควบคุมความเสี่ยง และไม่ได้มอบหน้าที่ความรับผิดชอบให้กับตัวพนักงานสายงานหลักเหล่านั้นเอง

3. การอภิปรายอย่างเปิดเผยอาจเป็นการเปิดองค์กรให้เกิดความเสี่ยงทางกฎหมาย ถ้าการอภิปรายนั้นได้เปิดเผยถึงการกระทำที่ไม่ถูกกฎหมาย ความรุนแรงของนโยบายด้านจริยธรรม หรือประเด็นอื่น ๆ ผู้อำนวยความสะดวกอาจจำเป็นที่จะต้องตัดสินใจว่า การประชุมเชิงปฏิบัติการต้องหยุดลงหรือดำเนินการต่อไป หรือวิธีที่จะกระจายผลลัพธ์นั้นออกไป

4. ผลของ CSA อาจไม่ถูกต้องเนื่องจากผู้มีส่วนร่วมไม่มีความรู้ที่ดีพอหรือไม่เปิดเผย หรือผู้อำนวยความสะดวกไม่ได้รับสาเหตุที่เป็นรากเหง้าของประเด็นนั้นอย่างแท้จริง

5. ในหลายวัฒนธรรมไม่เป็นวัฒนธรรมเปิดและไม่มีการเปิดเผย และการอภิปรายอย่างเปิดเผยทำให้การประชุมเชิงปฏิบัติการไม่ได้รับปัจจัยนำเข้าที่เชื่อถือได้

6. ความสามารถในการควบคุมและการบริหารความเสี่ยง จะเกี่ยวข้องกับการผึกอบรมเพิ่มเติมให้กับพนักงาน และการเพิ่มความผูกพันในการรักษากระบวนการ CSA ให้ทำหน้าที่อย่างมีประสิทธิผลและทันเวลา

7. ในกรณีศึกษาส่วนใหญ่ เจ้าหน้าที่ตรวจสอบภายในไม่มีทักษะทางด้านการเป็นผู้อำนวยความสะดวกและการเป็นผู้สอน

8. การเปลี่ยนแปลงอย่างมีคุณภาพโดยรวม การพัฒนาองค์กร และบุคลากรที่นำการประชุมเชิงปฏิบัติการมาใช้อำนวยความสะดวกในการทำงาน โดยอาจมอง CSA ว่าเป็นการบังคับ เนื่องจากมีการใช้เครื่องมือที่มีลักษณะเหมือนกันหลาย ๆ เครื่องมือ

9. ท้ายที่สุดแล้วจะเกิดคำถามว่าผู้ตรวจสอบภายใน หรือผู้ถูกตรวจสอบเป็นเจ้าของ CSA ผู้อำนวยการการตรวจสอบจะทำการตลาด และบูรณาการ CSA มาใช้ในองค์กรได้อย่างไร ถ้าไม่มีการบริหารจัดการที่ดี

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้เป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่า อะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลาย ๆ องค์กร จะพบความแตกต่างหลายประการ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ ซึ่งผมจะนำมาเล่าสู่กันฟังในครั้งหน้านะครับ