การควบคุมภายใน
หมายถึง   กระบวนการที่ผู้กำกับดูแล ฝ่ายบริหารและบุคลากรของหน่วยรับตรวจ
กำหนดให้มีขึ้นเพื่อให้เกิดความมั่นใจอย่างสมเหตุผลว่าการดำเนินงานของหน่วย
รับตรวจจะบรรลุวัตถุประสงค์

 

 

วัตถุประสงค์

1.   เพื่อให้การปฏิบัติงานเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล  ทำให้การใช้ทรัพยากรเป็นไปอย่างประหยัดและคุ้มค่า    โดยลดขั้นตอนการปฏิบัติงานที่ซ้ำซ้อนหรือไม่จำเป็น   ลดความเสี่ยงหรือผลเสียหายด้านการเงินหรือด้านอื่น ๆ ที่อาจมีขึ้นในหน่วยงาน   ซึ่งจะช่วยลดต้นทุนการดำเนินงานแก่หน่วยงานในที่สุด

2.   เพื่อให้มีข้อมูลและรายงานทางการเงินที่ถูกต้องครบถ้วนและเชื่อถือได้      สร้างความมั่นใจแก่ผู้บริหารในการตัดสินใจเกี่ยวกับการบริหารและการปฏิบัติงาน และบุคคลภายนอกที่เกี่ยวข้อง

3.   เพื่อให้บุคลากรมีการปฏิบัติตามนโยบาย  กฎหมาย  เงื่อนไขสัญญา  ข้อตกลง  ระเบียบข้อบังคับต่าง ๆ ของหน่วยงานอย่างถูกต้องและครบถ้วน

องค์ประกอบการควบคุมภายใน

 

การควบคุมภายใน    มีองค์ประกอบ  5  ส่วน     ดังนี้

1. สภาพแวดล้อมการควบคุม  ( Control  Environment )
2. การประเมินความเสี่ยง  ( Risk  Assessment )
3. กิจกรรมการควบคุม  ( Control  Activities )
4. สารสนเทศและการสื่อสาร  ( Information  and  Communication )
5. การติดตามและประเมินผล  ( Monitoring and Evaluation )

 

1.  สภาพแวดล้อมการควบคุม

สภาพแวดล้อมการควบคุม หมายถึง  สภาวการณ์หรือปัจจัยต่าง ๆ ที่ส่งผลให้เกิดระบบการควบคุมในหน่วยงาน   ในการดำเนินงานจะมีหลายปัจจัยที่ส่งผลให้เกิดมาตรการการควบคุมภายในขึ้นในหน่วยงาน    ซึ่งฝ่ายบริหารจะมีอิทธิพลสำคัญต่อการสร้างบรรยากาศและสภาพแวดล้อมการควบคุมภายในในหน่วยงาน     เช่น    จริยธรรมของการทำงาน    ความซื่อสัตย์  ความไว้ใจได้  ความโปร่งใส  และการมีภาวะผู้นำที่ดี   ซึ่งรวมทั้งการกำหนดนโยบาย  โครงสร้าง  และระเบียบวิธีปฏิบัติที่เหมาะสม   สำหรับตัวอย่างสภาพแวดล้อมการควบคุมในหน่วยงาน    เช่น

1.1   ปรัชญาและลักษณะการทำงานของผู้บริหาร

ปรัชญาและลักษณะการทำงานของผู้บริหารแต่ละบุคคลย่อมแตกต่างกัน   และจะเป็นปัจจัยที่ส่งผลถึงการกำหนดระบบการควบคุมภายในของหน่วยงาน  เพราะผู้บริหารมีหน้าที่ในการกำหนดนโยบาย    มาตรการ    และระบบการควบคุมภายใน   แต่อย่างไรก็ตาม      ผู้บริหารต้องรับผิดชอบในการเลือกปรัชญาและวิธีการทำงานที่เหมาะสมกับสถานการณ์ รวมทั้งรับผิดชอบต่อผลที่เกิดขึ้น    ผู้บริหารสามารถส่งเสริมและสนับสนุนให้เกิดสภาพแวดล้อมการควบคุมที่ดี    โดยดำเนินการ   ดังนี้

7

(1)    กำหนดนโยบายและกลยุทธ์การดำเนินงาน  มาตรฐาน  และแนวทางการปฏิบัติงานเป็นลายลักษณ์อักษรให้ชัดเจน  และแจ้งให้บุคลากรทุกคนในหน่วยงานทราบ

(2)    กำหนดโครงสร้างการจัดหน่วยงานให้เหมาะสม  มีสายการ   บังคับบัญชา    และความสัมพันธ์ระหว่างหน่วยงานภายในที่ชัดเจน   รวมทั้งมอบหมายอำนาจหน้าที่และความรับผิดชอบให้แก่บุคลากรในแต่ละตำแหน่งอย่างเหมาะสม

(3)    กำหนดคุณลักษณะงานเฉพาะตำแหน่ง  ( Job  Description ) ของบุคลากรทุกตำแหน่งหน้าที่   และระดับของความรู้   ความสามารถ    และทักษะที่จำเป็นต้องใช้ในแต่ละงานอย่างชัดเจน

(4)    กำหนดให้มีนโยบายและแนวทางการปฏิบัติงานด้านการบริหารบุคลากร    ตลอดจนการประเมินผลการปฏิบัติงานของบุคลากรอย่างชัดเจน    และเป็นธรรม      รวมทั้งกำหนดบทลงโทษทางวินัยให้ชัดเจน

(5)    กำหนดให้มีคณะกรรมการบริหาร  คณะกรรมการตรวจสอบ           ( Audit  Committee )   และหน่วยตรวจสอบภายใน

1.2   ความซื่อสัตย์และจริยธรรมในการบริหารและการปฏิบัติงาน

การบริหารและการปฏิบัติงานด้วยความซื่อสัตย์และมีจริยธรรม    เป็นสิ่งที่มีความสำคัญอย่างยิ่ง   ทั้งสองประการนี้   เป็นสิ่งที่ต้องสนับสนุนส่งเสริมให้เกิดขึ้น  โดยการประชาสัมพันธ์    ฝึกอบรม    หรือกำหนดสิ่งจูงใจ    และผู้บริหารต้องเป็นตัวอย่างของเจ้าหน้าที่ในหน่วยงาน    ทั้งนี้  ผู้บริหารต้องมีการสื่อสารให้เจ้าหน้าที่ทุกคนในหน่วยงานรับทราบ  และตระหนักถึงคุณค่าในการปฏิบัติหน้าที่ด้วยความซื่อสัตย์และมีจริยธรรม  จนเป็นบรรทัดฐานหรือข้อตกลงร่วมกันที่ให้หน่วยงานถือปฏิบัติ    เพราะความซื่อสัตย์และจริยธรรมเป็นปัจจัยพื้นฐานสำคัญของสภาพแวดล้อมการควบคุม  โดยผู้บริหารควรดำเนินการ     ดังนี้

(1)    กำหนดนโยบาย   มาตรฐานการปฏิบัติงานให้ชัดเจน   และ    ทำตัวให้เป็นตัวอย่างอย่างสม่ำเสมอ    ทั้งโดยคำพูดและการกระทำ

(2)    สื่อสารและแจ้งให้เจ้าหน้าที่ทุกคนได้รับทราบ   ตลอดจนเข้าใจในหลักการของจริยธรรมดังกล่าว

(3)    จัดทำข้อกำหนดจริยธรรมหรือแนวทางที่พึงปฏิบัติของหน่วยงานไว้ให้ชัดเจน    โดยรวมถึงกรณีต่าง ๆ ที่เกี่ยวข้องกับความขัดแย้งทางผลประโยชน์ด้วย

(4)    ลดวิธีการหรือโอกาสที่จะจูงใจให้เกิดการกระทำผิด

ความซื่อสัตย์และจริยธรรมเป็นปัจจัยเบื้องต้นที่สำคัญ   ซึ่งจะส่งผลถึงการจัดโครงสร้างของหน่วยงาน การจัดการและการติดตามประเมินผลองค์ประกอบของระบบการควบคุมภายในอื่น ๆ ด้วย

1.3   โครงสร้างของหน่วยงาน

โครงสร้างของหน่วยงานที่ได้รับการจัดไว้เป็นอย่างดี     จะเป็นพื้นฐานสำคัญที่ทำให้ผู้บริหารสามารถวางแผนงาน   สั่งการ  และควบคุมการปฏิบัติงานได้ถูกต้อง รวดเร็ว  และมีประสิทธิภาพ  โดยการจัดโครงสร้างของหน่วยงานให้เหมาะสมกับลักษณะของกิจกรรมของหน่วยงานนั้น ๆ   เช่น

(1)การรวมศูนย์อำนาจหรือกระจายศูนย์อำนาจการตัดสินใจในระดับต่าง ๆ  หากกิจการเลือกใช้การรวมศูนย์อำนาจในการตัดสินใจ   คุณสมบัติเฉพาะตัวของผู้ได้รับอำนาจย่อมมีความสำคัญ      กรณีวิธีกระจายศูนย์อำนาจการตัดสินใจ    ระบบและขั้นตอนการทำงาน  รวมถึงกระบวนการในการติดตามผล  ก็จะมีความสำคัญมากกว่าคุณสมบัติของตัวบุคคล

(2)การจัดโครงสร้างของหน่วยงานที่มีการผลิตโดยเครื่องจักร   อาจใช้โครงสร้างและการควบคุมที่เป็นระเบียบแบบแผนแน่นอน   แต่โครงสร้างที่มีรูปแบบแน่นอน  อาจไม่เหมาะสมกับกิจกรรมการบริการหรืองานที่เกี่ยวกับการค้นคว้าวิจัยทางวิชาการ     เป็นต้น

(3)การมอบอำนาจต้องให้เหมาะสมกับหน้าที่ความรับผิดชอบในการปฏิบัติงาน   และต้องชัดเจน

1.4   นโยบายการบริหารและการพัฒนาด้านบุคลากร

ปัจจัยสำคัญที่ช่วยให้ระบบการควบคุมภายในมีประสิทธิภาพ  คือบุคลากรในหน่วยงานนั่นเองที่เป็นตัวจักรสำคัญ   ดังนั้น  การมีนโยบายและระบบการบริหารบุคลากรที่ชัดเจนและเหมาะสม    จะช่วยให้ระบบการควบคุมภายในมีประสิทธิภาพและประสิทธิผลยิ่งขึ้น      เช่น

(1)    กำหนดหลักเกณฑ์ที่ชัดเจนเกี่ยวกับการว่าจ้าง   การพัฒนา  การประเมินผลการปฏิบัติงาน     การเลื่อนขั้น    เลื่อนตำแหน่ง    รวมทั้งการจ่ายค่าตอบแทนและผลประโยชน์อื่น

(2)    กำหนดคุณสมบัติและลักษณะงาน ( Job  Description )  ของเจ้าหน้าที่ในแต่ละตำแหน่งให้ชัดเจน        เพื่อใช้เป็นแนวทางสำหรับการปฏิบัติงาน

(3)    กำหนดมาตรการเกี่ยวกับการประกันความซื่อสัตย์ของพนักงาน

(4)    มีระบบการฝึกอบรมอย่างต่อเนื่อง และติดตามผลการปฏิบัติงาน  อย่างเป็นระบบและสม่ำเสมอ

(5)    กำหนดแนวปฏิบัติกรณีที่มีการขัดแย้งของผลประโยชน์ ( Conflict  of  Interest ) ต่อหน่วยงาน

1.5   การกำหนดอำนาจหน้าที่ความรับผิดชอบ

การกำหนดอำนาจหน้าที่ความรับผิดชอบของบุคลากรในหน่วยงาน   เป็นปัจจัยสำคัญที่ส่งผลต่อประสิทธิภาพของการควบคุมภายใน    ดังนั้น   ผู้บริหารควรกำหนดอำนาจหน้าที่ความรับผิดชอบของบุคลากรแต่ละตำแหน่งให้ชัดเจน    ดังนี้

(1)    กำหนดหน้าที่ความรับผิดชอบในแต่ละตำแหน่งให้ชัดเจน   โดยคำนึงถึงการกระจายอำนาจและระบบการสอบยันความถูกต้องระหว่างกัน

(2)    กำหนดคู่มือปฏิบัติงานตามหน้าที่ความรับผิดชอบ

(3)    กำหนดระบบการติดตามประเมินผล   ซึ่งรวมถึงการจัดทำแผนงาน     และระบบการรายงานผลงานอย่างสม่ำเสมอ

1.6   คณะกรรมการตรวจสอบและการตรวจสอบภายใน

คณะกรรมการตรวจสอบและการตรวจสอบภายในเป็นกลไกและ      เครื่องมือชนิดหนึ่งในการช่วยตรวจสอบและสอบทานงานให้เป็นไปตามแผนงานที่ฝ่ายบริหารวางไว้  คณะกรรมการตรวจสอบที่มีความรู้ความสามารถและมีความเป็นอิสระในการทำงาน    จะช่วยส่งเสริมและสนับสนุนสภาพแวดล้อมการควบคุมภายในหน่วยงานให้ดียิ่งขึ้น

สภาพแวดล้อมการควบคุม   เป็นองค์ประกอบเกี่ยวกับการสร้างบรรยากาศในหน่วยงาน    เพื่อให้บุคลากรในหน่วยงานเกิดจิตสำนึกที่ดีในการปฏิบัติงานตามความรับผิดชอบให้บรรลุวัตถุประสงค์   ซึ่งเป็นองค์ประกอบพื้นฐานที่จะไปเสริมองค์ประกอบการควบคุมอื่น ๆ ต่อไป

1. 2. การประเมินความเสี่ยง

ความเสี่ยง หมายถึง   เหตุการณ์ที่ไม่พึงประสงค์หรือการกระทำใด ๆ อันจะก่อให้เกิดผลลัพธ์ในด้านลบหรือเป็นผลลัพธ์ที่ไม่ต้องการ   ทำให้งานไม่ประสบความสำเร็จตามเป้าหมายที่กำหนด

ความเสี่ยงอาจเกิดจากลักษณะงานหรือกิจกรรมของหน่วยงาน  การควบคุมภายใน  การที่หน่วยงานตรวจไม่พบข้อผิดพลาด  ฯลฯ

(1) ความเสี่ยงจากลักษณะงานหรือกิจกรรมของหน่วยงาน

ความเสี่ยงลักษณะนี้  เป็นความเสี่ยงที่มีอยู่โดยธรรมชาติในงานนั้น ๆ เองเมื่อใดก็ตามที่ตัดสินใจที่จะทำงานหรือกิจกรรม  ก็ย่อมจะมีความเสี่ยงเกิดขึ้น  เช่น  การทำธุรกิจการค้าขายกับต่างประเทศหรือการสั่งซื้อของจากต่างประเทศของทางราชการ        ความเสี่ยงก็คืออัตราแลกเปลี่ยนที่อาจเปลี่ยนแปลงไป  ฯลฯ

(2) ความเสี่ยงจากการควบคุมภายใน

ความเสี่ยงจากการควบคุมภายใน  เป็นความเสี่ยงที่ระบบการควบคุมภายในของหน่วยงานไม่ครอบคลุม     และไม่สามารถป้องกันข้อผิดพลาดจากการดำเนินงานของหน่วยงานได้    อาจเป็นเพราะหน่วยงานไม่มีระบบการควบคุมภายในที่ครอบคลุมเพียงพอที่จะลดความเสี่ยงในการดำเนินงาน  หรือหน่วยงานนั้นไม่มีการปฏิบัติตามระบบการควบคุมภายในที่ได้จัดไว้   เป็นต้น

(3)    ความเสี่ยงจากการตรวจไม่พบข้อผิดพลาด

ความเสี่ยงลักษณะนี้    เป็นความเสี่ยงที่การตรวจสอบไม่สามารถค้นพบความผิดพลาดของรายการที่มีอยู่   เนื่องจากผู้ตรวจสอบไม่สามารถตรวจสอบทุกกิจกรรมใน หน่วยงานนี้ได้     และจำเป็นต้องใช้ระบบการตรวจสอบโดยเลือกสุ่มตัวอย่างหรืออาจเนื่องจากผู้ตรวจสอบไม่มีความอิสระเพียงพอหรือไม่อยู่ในวิสัยที่จะเข้าไปตรวจสอบได้

สาเหตุของความเสี่ยงอาจเกิดจากปัจจัยภายในและภายนอกหน่วยงาน

- ปัจจัยภายใน เช่น   นโยบายของผู้บริหาร   ความซื่อสัตย์  จริยธรรม  คุณภาพของบุคลากร   การเปลี่ยนแปลงระบบงาน  ความเชื่อถือได้ของระบบสารสนเทศ   การเปลี่ยนแปลงผู้บริหารและเจ้าหน้าที่บ่อยครั้ง  การควบคุมกำกับดูแลไม่ทั่วถึง  และการไม่ปฏิบัติตามกฎหมาย   ระเบียบ  หรือข้อบังคับของหน่วยงาน   เป็นต้น

- ปัจจัยภายนอก เช่น   กฎหมาย  ระเบียบ  ข้อบังคับของทางราชการ  การเปลี่ยนแปลงทางเทคโนโลยีหรือสภาพการแข่งขัน  สภาวะแวดล้อมทั้งทางเศรษฐกิจและการเมือง     เป็นต้น

การประเมินความเสี่ยง หมายถึง  กระบวนการที่ใช้ในการระบุความเสี่ยง   การวิเคราะห์ความเสี่ยง   และการกำหนดแนวทางการควบคุม  เพื่อป้องกันหรือลดความเสี่ยง

การประเมินความเสี่ยงในหน่วยงาน จะเป็นการประเมินการปฏิบัติงานในภาพรวมของหน่วยงาน    เพื่อให้ทราบเหตุการณ์ของความเสี่ยงและหาทางแก้ไขและควบคุมให้ความเสี่ยงอยู่ในระดับที่เกิดความเสียหายน้อยที่สุด

กระบวนการในการประเมินความเสี่ยง

การประเมินความเสี่ยงและการควบคุมความเสี่ยงให้อยู่ในระดับที่หน่วยงานยอมรับได้  สามารถดำเนินการเป็น  4  ขั้นตอน    ดังนี้

1. ศึกษาวัตถุประสงค์และเป้าหมายของหน่วยงาน

วัตถุประสงค์และเป้าหมายของหน่วยงาน    จะต้องสอดคล้องกับภารกิจ          ( Mission )  ของหน่วยงานนั้น ๆ    ซึ่งโดยทั่วไปวัตถุประสงค์ของหน่วยงานจะแบ่งออกเป็น  2   ระดับ     คือ

1.1   วัตถุประสงค์ในระดับหน่วยงาน  ( Entity – Level  objectives )  เป็นวัตถุประสงค์ของการดำเนินงานในภาพรวมของหน่วยงาน  โดยทั่วไปจะระบุไว้ในแผนกลยุทธ์   และแผนการปฏิบัติงานประจำปีของหน่วยงาน  เช่นเดียวกับภารกิจ ( Mission )  และกลยุทธ์ในภาพรวมของหน่วยงาน    เช่น    ภารกิจหลักของหน่วยงาน    โครงสร้างของหน่วยงาน   แนวโน้มการดำเนินงานของหน่วยงานในอนาคต      นโยบายการบริหารงานหรือนโยบายการเงินการคลัง       เป็นต้น

1.2   วัตถุประสงค์ในระดับกิจกรรม  ( Activity – Level objectives )  เป็นวัตถุประสงค์ของการดำเนินงานที่เฉพาะเจาะจงสำหรับแต่ละกิจกรรมที่หน่วยงานกำหนด   เพื่อให้บรรลุวัตถุประสงค์ของหน่วยงาน ซึ่งวัตถุประสงค์ของแต่ละกิจกรรมจะต้องสนับสนุน และสอดคล้องกับวัตถุประสงค์ในระดับหน่วยงาน   เช่น  ระบบการประมวลข้อมูลทางการเงินและบัญชี      เป็นต้น

2. ระบุปัจจัยเสี่ยง

ปัจจัยเสี่ยงของหน่วยงานสามารถเกิดขึ้นได้ทั้งจากปัจจัยภายในและปัจจัยภายนอก   ซึ่งปัจจัยเหล่านี้จะส่งผลกระทบถึงวัตถุประสงค์  เป้าหมาย หรือผลการดำเนินงานในหน่วยงาน    เช่น   การเปลี่ยนตัวผู้บริหารและผู้ปฏิบัติงานในตำแหน่งที่สำคัญ ๆ บ่อยครั้ง   การเปลี่ยนแปลงกฎหมายใหม่ ๆ  ของรัฐบาลที่เกี่ยวข้องกับการปฏิบัติงานของหน่วยงาน    เป็นต้น

เนื่องจากปัจจัยเสี่ยงแต่ละชนิดมีผลกระทบต่อการดำเนินงานและการบรรลุวัตถุประสงค์ของหน่วยงานไม่เท่ากัน   บางชนิดมีผลกระทบทันที   บางชนิดมีผลกระทบในระยะยาว    ดังนั้น   ผู้บริหารต้องติดตามพิจารณา  และระบุปัจจัยความเสี่ยงที่เกิดขึ้นให้ครอบคลุมทุกประเด็นปัญหาที่คาดว่าจะเกิด      ซึ่งควรครอบคลุมถึง

(1)    ผลกระทบจากปัจจัยทางด้านเศรษฐกิจ  สังคม  การเมือง  อุตสาหกรรม     และสิ่งแวดล้อมต่อการดำเนินงานของหน่วยงาน

(2)    ปัจจัยความเสี่ยงที่ได้ระบุไว้ในการวางแผน  และการประมาณการของหน่วยงาน

(3)    ข้อตรวจพบที่ได้รับจากการตรวจสอบ  การสอบทาน  การติดตาม  และประเมินผล

(4)    ปัจจัยอื่น ๆ ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ของหน่วยงาน  เช่น  ปัจจัยที่ทำให้การดำเนินงานในอดีตที่ผ่านมาไม่บรรลุตามวัตถุประสงค์  คุณภาพของบุคลากร  การเปลี่ยนแปลงบุคลากรที่รับผิดชอบในการบริหารหรือปฏิบัติงาน  การเปลี่ยนแปลงที่เกิดจากเงื่อนไขตามกฎหมาย  ระเบียบ  และข้อกำหนดต่าง ๆ ที่มีผลกระทบต่อการดำเนินงานของหน่วยงาน   ฯลฯ

3. การวิเคราะห์และจัดระดับความเสี่ยง

การวิเคราะห์ถึงผลกระทบของปัจจัยเสี่ยงที่มีต่อหน่วยงาน   ซึ่งโดยปกติปัจจัยเสี่ยงแต่ละปัจจัยมีผลกระทบต่อหน่วยงานมากน้อยไม่เท่ากัน  การวิเคราะห์ปัจจัยเสี่ยงมีหลายวิธีแตกต่างกัน  ผู้บริหารควรให้ความสำคัญกับความเสี่ยงที่มีนัยสำคัญ   และมีโอกาสเกิดขึ้นบ่อย ๆ จึงควรพิจารณาเลือกใช้วิธีการหรือเทคนิคที่ใช้วิเคราะห์ให้เหมาะสมกับขนาด   ลักษณะการดำเนินงาน เพื่อให้สามารถประเมินระดับความสำคัญของความเสี่ยงได้ทั้งในเชิงปริมาณและคุณภาพ  รวมทั้งผลเสียหายที่อาจเกิดจากความเสี่ยงนั้น    โดยทั่วไปขั้นตอนการวิเคราะห์ปัจจัยเสี่ยง     จะเป็นดังนี้

3.1   ประเมินระดับความสำคัญของปัจจัยเสี่ยง    คือ   การนำปัจจัยเสี่ยงแต่ละปัจจัยมาพิจารณาถึงความสำคัญว่า หากเกิดขึ้นแล้วมีผลกระทบต่อหน่วยงานมากน้อยแค่ไหน   โดยอาจวัดเป็นระดับน้อย     ปานกลาง     สูง

3.2   ประเมินความถี่ที่ปัจจัยเสี่ยงจะเกิดขึ้น   คือ   การพิจารณาว่าปัจจัยเสี่ยงที่ได้เรียงลำดับความสำคัญไว้แล้ว   มีโอกาสที่จะเกิดปัจจัยเสี่ยงนั้น   ในระดับน้อยมาก   น้อย   ปานกลาง   สูง

การวิเคราะห์โดยการประเมินความสำคัญและการประเมินความถี่ที่ปัจจัยเสี่ยงจะเกิดขึ้น   อาจใช้ผสมผสานกัน   เช่น    ปัจจัยเสี่ยงบางอย่างมีอัตราความถี่สูง     เมื่อเกิดขึ้นแต่ละครั้งสูญเสียเงินน้อย  แต่ถ้าเกิดบ่อย ๆ เข้า  โดยรวมอาจมีจำนวนเงินสูงก็จะทำให้เกิดความสำคัญได้

3.3   เลือกใช้เทคนิคการวิเคราะห์ความเสี่ยงที่เหมาะสม   โดยบางครั้งอาจไม่จำเป็นต้องวิเคราะห์ในรูปตัวเลข   แต่อาจวิเคราะห์ออกมาเป็นระดับต่าง ๆ   เช่น    สำคัญมาก    ปานกลาง    หรือน้อย    เป็นต้น

4. กำหนดวิธีการควบคุมความเสี่ยง

เมื่อหน่วยงานสามารถวิเคราะห์และจัดลำดับความเสี่ยงแล้ว ฝ่ายบริหารควรพิจารณาหาวิธี  เพื่อป้องกันความเสี่ยงนั้น ๆ   โดยต้องคำนึงถึงค่าใช้จ่ายที่ต้องใช้ว่าคุ้มกับประโยชน์ที่จะได้รับหรือไม่   ซึ่งในการกำหนดแนวทางในการป้องกันหรือลดความเสี่ยง

ผู้บริหารควรพิจารณาว่าความเสี่ยงที่เกิดขึ้นนั้นเป็นความเสี่ยงในลักษณะใด   เช่น

4.1   กรณีที่เป็นความเสี่ยงเกี่ยวกับหน่วยงานโดยรวม   ซึ่งเป็นความเสี่ยงที่เกิดจากปัจจัยภายนอกที่มิได้อยู่ภายใต้การควบคุมของผู้บริหาร   การป้องกันหรือลดความเสี่ยงกระทำได้โดยการบริหารความเสี่ยง    ซึ่งมีกลยุทธ์    ดังนี้

(1)    กำหนดโครงสร้างพื้นฐานของการบริหารความเสี่ยง        กำหนดผู้รับผิดชอบกระบวนการบริหารความเสี่ยง   และกำหนดความสัมพันธ์ระหว่างหน้าที่การบริหารความเสี่ยงกับหน้าที่การประเมินความเสี่ยง   การบริหารความเสี่ยงที่มีประสิทธิภาพจะเริ่มต้นด้วยการกำหนดวัตถุประสงค์  ซึ่งสัมพันธ์กับกลยุทธ์และโอกาสที่จะเกิดความเสี่ยงที่มีนัยสำคัญ  เราจะประเมินความเสี่ยงด้วยการระบุผลกระทบที่อาจเกิดขึ้น  การจัดลำดับความสำคัญ  และการวัดผลกระทบของความเสี่ยงเหล่านั้นที่อาจเกิดขึ้นต่อหน่วยงาน

(2)    ประเมินความเสี่ยงของหน่วยงาน  กำหนดกรอบแนวคิด   ซึ่งจะใช้ระบุความเสี่ยงทั้งหมดที่เป็นไปได้   เพื่อใช้เป็นจุดเริ่มต้นในการประเมินความเสี่ยง  มองภาพรวมของความเสี่ยงที่มีความสำคัญที่สุดก่อน    และจัดสรรทรัพยากรให้อย่างเหมาะสม

(3)    พัฒนากลยุทธ์การบริหารความเสี่ยง  กลยุทธ์การบริหารความเสี่ยงที่จะประสบความสำเร็จ  ต้องมีความเกี่ยวเนื่องหรือสอดคล้องกับกลยุทธ์ของหน่วยงานโดยตรง   กลยุทธ์การบริหารความเสี่ยง  ต้องได้รับการพัฒนาให้เหมาะสมกับความเสี่ยงแต่ละประเภท     เช่น     กลยุทธ์การหลีกเลี่ยงความเสี่ยง    การลดความเสี่ยง  การกระจายความเสี่ยง      และการถ่ายโอนความเสี่ยง      เป็นต้น

(4)    พัฒนาและปรับปรุงประสิทธิภาพการบริหารความเสี่ยง หน่วยงานต้องพัฒนาเทคนิคการบริหารความเสี่ยงอย่างสม่ำเสมอ  เพื่อใช้เป็นแนวปฏิบัติของหน่ายงาน   โดยเฉพาะการบริหารความเสี่ยงในกิจกรรมที่มีความเสี่ยงเฉพาะเรื่อง

(5)    การติดตามประเมินผลกระบวนการบริหารความเสี่ยง     เป็นขั้นตอนของหน่วยงาน      ต้องอาศัยงานด้านตรวจสอบภายใน      โดยในขั้นตอนนี้รวมถึงการติดตามการปฏิบัติงานในหน้าที่อื่น ๆ   เช่น  การปฏิบัติตามกฎหรือระเบียบ   และการให้ความสำคัญต่อสภาพแวดล้อมและความปลอดภัย     อย่างไรก็ตาม    การบริหารความเสี่ยงที่สัมฤทธิ์ผล     หมายรวมถึง      การเสาะแสวงหาความเสี่ยงที่อาจเกิดขึ้น        การเชื่อมโยงการประเมินผลตอบแทนที่เพิ่มค่าให้แก่ผู้ถือหุ้น ( สำหรับธุรกิจ )  และหน่วยงาน       หน้าที่การติดตามประเมินผลจะมีความสัมพันธ์ใกล้ชิดกับการประเมินความเสี่ยงของหน่วยงานใน    ข้อ (2)   ดังกล่าว

(6)    การพัฒนาหรือปรับปรุงกระบวนการบริหารความเสี่ยง การปรับปรุง   และพัฒนาการบริหารความเสี่ยงอย่างต่อเนื่อง   มีความสำคัญอย่างยิ่งต่อการประสบความสำเร็จของหน่วยงานในที่สุด  แหล่งข้อมูลที่สามารถนำมาใช้ในการปรับปรุงการบริหารความเสี่ยงนั้น  รวมถึงข้อมูลสารสนเทศที่ถูกต้องเชื่อถือได้และข้อมูลที่เกิดจากการสะท้อนความเสี่ยงของหน่วยงาน  การปรับปรุงต้องรวมถึงระบบการวัดเป็นจำนวนหน่วยที่ใช้ได้ในระยะยาว  เช่น  จำนวน  และผลกระทบจากความเสี่ยงที่ได้รับการจัดการภายในกระบวนการ ฯลฯ  ในการปรับปรุงพัฒนาการบริหารความเสี่ยงนั้น  ระบบการวัดผลที่เชื่อถือได้จึงเป็นสิ่งจำเป็น     และจะทำให้หน่วยงานสามารถทราบขนาดความเสี่ยง     และผลกระทบ  ที่หน่วยงานจะสามารถรับได้หรือไม่เพียงใด

4.2   กรณีที่เป็นความเสี่ยงเกี่ยวกับการควบคุมภายใน    ซี่งเป็นความเสี่ยงที่เกิดจากปัจจัยภายในและอยู่ภายใต้การควบคุมของผู้บริหาร  การป้องกันหรือลดความเสี่ยงกระทำได้โดยจัดให้มีกิจกรรมการควบคุมอย่างเพียงพอและเหมาะสม

การกำหนดวิธีการควบคุมเพื่อจัดการให้ความเสี่ยงอยู่ในสภาพที่เป็นผลดีกับหน่วยงานนั้น    จะมีลักษณะการจัดการได้   5   ลักษณะ     คือ

(1)    การจัดการในลักษณะที่ยอมรับในความเสี่ยงนั้น

(2)    การจัดการในลักษณะที่ทำให้ลดความเสี่ยงจากระดับความเสี่ยงสูงไปสู่ระดับความเสี่ยงต่ำ

(3)    การจัดการในลักษณะที่เป็นการกระจายความเสี่ยง

(4)    การจัดการในลักษณะที่เป็นการถ่ายโอนความเสี่ยงหรือโยกย้ายความเสี่ยง

(5)    การจัดการในลักษณะที่เป็นการหลีกเลี่ยงความเสี่ยง

การจะใช้วิธีการใดในการจัดการความเสี่ยงดังกล่าวข้างต้น  ขึ้นอยู่กับสภาพแวดล้อมและความเหมาะสมของการดำเนินงานในหน่วยงานนั้น ๆ ด้วย   ทั้งนี้        การจัดการความเสี่ยงจะต้องคำนึงถึงเรื่องดังต่อไปนี้

(1)    ต้องกำหนดวัตถุประสงค์ให้ชัดเจนว่าจะทำอะไร   ณ  จุดใด

(2)    ต้องปรับเปลี่ยนระบบการบริหารและระบบปฏิบัติงานในหน่วยงานหรือไม่   อย่างไร  ณ  จุดใด

(3)    กระบวนการจัดการความเสี่ยงเป็นอย่างไร   ต้องดำเนินการให้เกิดความชัดเจน    และต้องสื่อสารให้ผู้ที่เกี่ยวข้องในหน่วยงานทราบด้วย

(4)    ต้องมีการรายงานผล   เมื่อดำเนินการเสร็จสิ้นแล้ว

หน่วยงานจึงต้องจัดให้มีการประเมินความเสี่ยงอยู่เสมอ และสร้างกลไกช่วยบริหารความเสี่ยงให้อยู่ในระดับที่สามารถยอมรับได้ หรือกำหนดมาตรการการควบคุมที่เหมาะสมต่อไป

3.  กิจกรรมการควบคุม

กิจกรรมการควบคุม เป็นองค์ประกอบหนึ่งของระบบการควบคุมภายในที่หน่วยงานต้องจัดให้มีขึ้นเพื่อลดความเสี่ยงและทำให้เกิดความคุ้มค่า  ตลอดจนให้ฝ่ายบริหารเกิดความมั่นใจในประสิทธิผลของระบบการควบคุมภายในที่มีอยู่

17

ประเภทการควบคุม กิจกรรมการควบคุมอาจแยกตามความจำเป็นและลักษณะของการควบคุม   ทั้งนี้   ขึ้นอยู่กับความเหมาะสมในการดำเนินงานของหน่วยงานนั้น ๆ   เช่น

(1)    การควบคุมในลักษณะการป้องกันการผิดพลาดที่อาจเกิดขึ้นในทางปฏิบัติ        ( Preventive  Control )   เป็นวิธีการควบคุมที่กำหนดขึ้น    เพื่อป้องกันมิให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก   โดยเหตุการณ์ที่ก่อให้เกิดความเสี่ยงยังไม่เกิดขึ้น   เช่น   การแบ่งแยกหน้าที่ผู้รับเงิน    ผู้จ่ายเงิน   และผู้บันทึกบัญชี   การกำหนดวงเงินสำหรับผู้มีอำนาจอนุมัติเงินในแต่ละระดับชั้น   เป็นต้น

(2)    การควบคุมในลักษณะของการค้นพบข้อผิดพลาด ( Detective Control )   เป็นการควบคุมที่กำหนดขึ้น เพื่อค้นพบข้อผิดพลาดที่อาจเกิดขึ้นในการปฏิบัติงาน เช่น     การทำงบกระทบยอดเงินฝากธนาคาร   การตรวจนับพัสดุประจำปี   การทบทวนการปฏิบัติงานของหน่วยงานในภาพรวม   เป็นต้น

(3)    การควบคุมในลักษณะการเสนอแนะ ( Suggestive  Control )   เป็นการควบคุมที่กำหนดขึ้น  เพื่อเสนอแนะ  ปรับปรุง  และพัฒนาระบบการดำเนินงานและระบบการควบคุมภายในให้เหมาะสมกับสถานการณ์

(4)    อื่น ๆ ตามความจำเป็นและเหมาะสมในการดำเนินงานของหน่วยงาน

ตัวอย่างกิจกรรมการควบคุมที่ควรจัดให้มีขึ้นในขั้นตอนของการปฏิบัติงานต่าง ๆ ได้แก่

3.1   นโยบายและวิธีปฏิบัติ

ผู้บริหารทุกระดับมีบทบาทในการกำหนดนโยบาย  แผนปฏิบัติงาน แผนงบประมาณ    แนวทางการปฏิบัติงาน  อำนาจในการอนุมัติ  ฯลฯ    ซึ่งสิ่งต่าง ๆ เหล่านี้เป็นปัจจัยที่ก่อให้เกิดการควบคุม เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นและควรระบุผลลัพธ์และตัวชี้วัดที่คาดหมายไว้อย่างชัดเจน   เพื่อสามารถใช้ในการติดตามประเมินผลต่อไป

3.2   การกระจายอำนาจความรับผิดชอบและการแบ่งแยกหน้าที่

ผู้บริหารควรจัดให้มีการกระจายอำนาจและแบ่งแยกหน้าที่ความรับผิดชอบระหว่างหน่วยต่าง ๆ หรือบุคคลให้ชัดเจน   เพื่อให้เกิดความคล่องตัวและชัดเจนในการปฏิบัติงาน   สามารถสอบยันกันได้  เช่น  อำนาจในการอนุมัติ  การกำหนดขอบเขตของงาน      เพราะเมื่อผู้บริหารได้กระจายอำนาจไปแล้วก็จำต้องสร้างวิธีการควบคุมเพื่อให้การ       ปฏิบัติงานเป็นไปตามนโยบายและวัตถุประสงค์ที่วางไว้

3.3 การสอบยันและการกระทบยอด

ผู้บริหารในแต่ละระดับ ควรจัดให้มีการสอบยันการปฏิบัติงานของเจ้าหน้าที่ในระดับต่าง ๆ เพื่อให้ทราบปัญหาในการปฏิบัติงานและหาแนวทางในการแก้ไข   ซึ่งในแต่ละระดับอาจกำหนดวิธีการสอบยันและกระทบยอดได้หลายวิธี   ดังนี้

(1)    ผู้บริหารระดับสูงอาจสอบยันการปฏิบัติงาน โดยการวิเคราะห์เปรียบเทียบเป้าหมาย  แผน และผลการดำเนินงาน ในภาพรวมกับข้อมูลในอดีตที่ผ่านมา  เพื่อให้สามารถทราบปัญหาและหาแนวทางการแก้ไข  และเตรียมรับสถานการณ์ในอนาคตต่อไป

(2)    ผู้บริหารระดับกลางอาจสอบยันและกระทบยอดการปฏิบัติงานเฉพาะด้าน   จากรายงานผลการปฏิบัติงานจริงกับเป้าหมายที่กำหนด  รวมทั้งการปฏิบัติตามกฎหรือระเบียบที่วางไว้   โดยอาจทำการสอบยันและหรือกระทบยอดบ่อยครั้งตามลักษณะงาน    และความเสี่ยงที่คาดว่าจะเกิดขึ้น

3.4   การควบคุมระบบสารสนเทศและการประมวลผล

การจัดให้มีกระบวนการประมวลผลข้อมูลอย่างเป็นระบบ  ซึ่งจะทำให้ผู้บริหารได้ข้อมูลข่าวสารที่ถูกต้องสมบูรณ์   ทันเวลา    และเชื่อถือได้   สามารถนำไปใช้ในการตัดสินใจในการบริหารงานได้ทันต่อเหตุการณ์และมีประสิทธิภาพ   นอกจากนี้  การจัดให้มีระบบการควบคุมระบบสารสนเทศที่มีประสิทธิภาพ จะเป็นการป้องกันการเข้าถึงข้อมูล     และป้องกันความเสียหายที่อาจเกิดขึ้นในการนำข้อมูลไปใช้ในทางที่ไม่สมควร

3.5   การควบคุมทรัพย์สินที่มีตัวตนและเอกสารหลักฐาน

ทรัพย์สินที่มีตัวตนและเอกสารหลักฐาน  เช่น  เครื่องใช้สำนักงาน  วัสดุอุปกรณ์   ครุภัณฑ์  เงินสดและเอกสารสิทธิต่าง ๆ ฯลฯ   ควรจัดให้มีการควบคุม  เช่น       การกำหนดสถานที่เก็บรักษา การเข้าถึงทรัพย์สินนั้น ๆ และการจัดให้ทำทะเบียนคุม  และการตรวจนับอย่างเป็นระบบ  เป็นต้น

3.6   กำหนดดัชนีวัดผลการดำเนินงาน

ดัชนีวัดผลการดำเนินงาน เป็นเครื่องมือชนิดหนึ่งที่ผู้บริหารสามารถใช้ในการติดตามผลการปฏิบัติ  เพื่อให้ทราบว่าการปฏิบัติงานบรรลุตามเป้าหมายที่วางไว้อย่างมีประสิทธิภาพเพียงใด

นอกจากตัวอย่างกิจกรรมการควบคุมที่กล่าวแล้วข้างต้น   ยังมีกิจกรรม  การควบคุมด้านการบริหารและการปฏิบัติงานอีกหลายกิจกรรม ซึ่งผู้บริหารต้องเข้าใจถึงลักษณะงาน  ความสัมพันธ์ระหว่างความเสี่ยงและการควบคุม   และต้องคำนึงว่ากิจกรรม การควบคุมที่จัดให้มีขึ้นนั้น สามารถครอบคลุมความเสี่ยงที่อาจก่อให้เกิดความผิดพลาด    เสียหายได้หรือไม่     และคุ้มค่ากับค่าใช้จ่ายที่ต้องเสียไปเพียงใด

กิจกรรมการควบคุม   ต้องทำอย่างสม่ำเสมอตลอดไป โดยเฉพาะอย่างยิ่งต้องสอดคล้องกับนโยบายและสภาพแวดล้อมที่เปลี่ยนไป เพื่อให้มั่นใจว่าระบบการควบคุม    ภายในของหน่วยงานเป็นไปอย่างเหมาะสมและเพียงพอ การจะใช้การควบคุมลักษณะใดลักษณะหนึ่งหรือหลายลักษณะรวมกัน   ขึ้นอยู่กับดุลพินิจในการพิจารณาความเหมาะสมและความซับซ้อนของงานในแต่ละหน่วยงานนั้น ๆ  ซึ่งรายละเอียดของกิจกรรมการควบคุมจะปรากฏในตัวอย่างกิจกรรมการควบคุมในส่วนที่  2    ต่อไป

4.  สารสนเทศและการสื่อสาร

สารสนเทศ หมายถึง   ข้อมูลข่าวสารที่ใช้ในการบริหาร   ซึ่งเป็นข้อมูลเกี่ยวกับการเงินและไม่ใช่การเงินรวมทั้งข้อมูลข่าวสารอื่น ๆ ทั้งจากแหล่งภายในและภายนอก

การสื่อสาร หมายถึง   การรับและส่งข่าวสารระหว่างกัน   เพื่อให้เกิดความเข้าใจอันดีระหว่างบุคคลที่มีหน้าที่ความรับผิดชอบในงานที่สัมพันธ์กัน  การสื่อสารจะเกิดได้ทั้งภายในและภายนอกหน่วยงาน   ระบบการสื่อสารที่ดีและมีประสิทธิภาพ    ควรเป็นการสื่อสารแบบสองทาง     และติดต่อระหว่างหน่วยงานอย่างทั่วถึงครบถ้วน

หน่วยงานควรจัดให้มีระบบสารสนเทศที่สามารถสนองความต้องการของ     ผู้ใช้ข้อมูลอย่างเพียงพอ   และเหมาะสมทันต่อการปฏิบัติงาน   ตลอดจนการติดต่อสื่อสารที่มีประสิทธิภาพ  ข่าวสารที่ถูกต้อง  เชื่อถือได้  ทันเหตุการณ์  และสะดวกในการเข้าถึง         และปลอดภัย  รวมทั้งมีการจัดลำดับความสำคัญ  และมีระบบการสื่อสารที่ดีจะส่งผลถึงการ

20

บริหารงานของผู้บริหาร โดยเฉพาะข่าวสารที่เป็นสัญญาณบอกเหตุ อันจะทำให้ผู้บริหารสามารถแก้ไขปัญหาได้ทันกาล  และบริหารงานให้บรรลุวัตถุประสงค์ของหน่วยงาน

การสื่อสารจึงเป็นเรื่องสำคัญที่ผู้บริหารต้องจัดให้มีขึ้นและควรเป็นระบบการสื่อสารสองทาง  การสื่อสารภายในหน่วยงานที่ชัดเจน  ไม่ว่าจะเป็นทางการหรือไม่ก็ตาม   จะเป็นผลดีต่อการปฏิบัติงานให้สามารถบรรลุเป้าหมายที่วางไว้ ซึ่งปัจจัยสำคัญที่ทำให้การสื่อสารเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล   คือ

(1)          เจ้าหน้าที่ทุกคน   ต้องได้รับข้อมูลข่าวสารที่เกี่ยวข้องกับการปฏิบัติงานของตนอย่างชัดเจนและทันกาล ทั้งจากภายในหรือภายนอกหน่วยงาน  รวมทั้งข้อมูลข่าวสารที่มีผลต่อความเสี่ยงที่อาจเกิดกับหน่วยงาน   เช่น  นโยบายของรัฐบาล    การเปลี่ยนแปลงด้านกฎหมายใหม่ ๆ   ฯลฯ

(2)          การกำหนดภาระหน้าที่และความรับผิดชอบในแต่ละตำแหน่งงานต้องชัดเจน  เจ้าหน้าที่ทุกคนต้องเข้าใจถึงบทบาทที่เกี่ยวข้องกับงานของตนและของผู้อื่น   รวมทั้งให้ความร่วมมือในการปฏิบัติตามระบบการควบคุมที่กำหนดไว้

(3)          การจัดให้มีช่องทางการสื่อสารข้อมูลที่ดีระหว่างผู้บริหารและผู้ปฏิบัติงาน     ทำให้สามารถทำความเข้าใจ   และประสานงานกันได้เป็นอย่างดี

ในทำนองเดียวกัน ควรให้ความสำคัญกับการสื่อสารภายนอกหน่วยงาน      ซึ่งจะมีผลกระทบต่อการบริหารงานของหน่วยงานด้วย  ดังนั้น  ประเด็นสำคัญที่ควร    ดำเนินการ   คือ

(1)           กำหนดช่องทางการสื่อสารกับบุคคลภายนอกที่เกี่ยวข้องให้ง่ายขึ้น

(2)           เจ้าหน้าที่ที่เกี่ยวข้องกับหน่วยงานภายนอก  ต้องเรียนรู้วัฒนธรรมของหน่วยงานที่เกี่ยวข้องด้วย

(3)           ผู้บริหารควรให้ความสนใจในข้อสังเกตหรือข้อเสนอแนะของผู้ตรวจสอบภายนอก

(4)           การติดต่อสื่อสารกับบุคคลภายนอก   ต้องมีข้อมูลข่าวสารที่เพียงพอและสัมพันธ์กัน  ในอันที่จะทำให้เกิดความเข้าใจอันดีต่อกัน  และเข้าใจถึงสภาพความเสี่ยงที่อาจเกิดขึ้น

สำหรับการควบคุมภายในของระบบสารสนเทศ   โดยทั่วไปมักจะเกี่ยวข้องกับการควบคุมการนำข้อมูลเข้าสู่ระบบ   การแบ่งแยกงาน   การสอบทานความถูกต้องใน การประมวลผล    การควบคุมการรับส่งข้อมูลระหว่างระบบงาน   และการควบคุมทางด้านผลผลิต     เป็นต้น

5.  การติดตามและประเมินผล

การติดตามผล หมายถึง  การสอดส่องดูแลกิจกรรมที่อยู่ระหว่างการดำเนินงาน   เพื่อให้เกิดความมั่นใจว่า    การดำเนินงานเป็นไปตามระบบการควบคุมภายในที่กำหนด

การประเมินผล หมายถึง    การเปรียบเทียบผลการปฏิบัติงานกับระบบการควบคุมภายในที่กำหนดไว้ว่ามีความสอดคล้องหรือไม่  เพียงใด   และประเมินระบบการควบคุมภายในที่มีอยู่ว่ายังมีความเหมาะสมกับสภาพแวดล้อมในปัจจุบันหรือไม่ รวมทั้งการวิเคราะห์  การหาสาเหตุของความแตกต่างระหว่างแผนงานกับผลการดำเนินงาน  สรุปผลและเสนอ   ข้อแนะนำ     เพื่อให้การดำเนินงานมีประสิทธิผลและประสิทธิภาพ

การติดตามและประเมินผล   เป็นกระบวนการประเมินความมีประสิทธิภาพและประสิทธิผลของระบบงานต่าง ๆ ของหน่วยงาน  ซึ่งรวมถึงการปฏิบัติตามกฎหมาย   ระเบียบ  หรือข้อบังคับ  และการปฏิบัติงานตามภาระหน้าที่ความรับผิดชอบของเจ้าหน้าที่ฝ่ายต่าง ๆ ในหน่วยงาน     ทั้งนี้   เนื่องจากมาตรการต่าง ๆ และระบบการควบคุมภายในมีการเปลี่ยนแปลงหรือต้องพัฒนาตลอดเวลา   ผู้บริหารจึงจำเป็นต้องมีการติดตามและประเมินผล เพื่อให้ทราบประสิทธิภาพและประสิทธิผลของระบบการควบคุมภายในว่าอยู่ในระดับที่เหมาะสมสอดคล้องกับสถานการณ์ปัจจุบัน     เพียงใด

สำหรับความถี่ในการติดตามประเมินผลจะมีมากน้อยเพียงใด   ขึ้นกับผลการประเมินความเสี่ยงในเบื้องต้นและผลที่ได้จากการติดตามประเมินผลการดำเนินงานของหน่วยงานนั้นเอง

การติดตามประเมินผลจะได้ผลดี ควรมีการปฏิบัติดังนี้

5.1   มีการสอบทานและรายงานผลเกี่ยวกับประสิทธิผลของแต่ละองค์ประกอบของการควบคุมภายใน ในทุกๆ ด้านอย่างสม่ำเสมอ     ซึ่งเป็นการรายงานจากภายในและจากบุคคลภายนอก    เช่น   ผู้ตรวจสอบ    ผู้ตรวจราชการ   ผู้มาติดต่อ   โดยเปรียบเทียบกับข้อมูลที่ปฏิบัติงานจริง

5.2   จำแนกเรื่องที่จะประเมินผล ซึ่งจะเป็นประโยชน์ต่อการควบคุมภายในเฉพาะจุด   เช่น   การประเมินประสิทธิภาพภายในหน่วยงาน    การประเมินระบบงาน    การประเมินการบรรลุตามวัตถุประสงค์  การประเมินบุคคล  เป็นต้น  ซึ่งการประเมินควรพิจารณาขอบเขตและความถี่ของการประเมินด้วย  เพื่อให้มั่นใจถึงประสิทธิภาพของระบบการควบคุมภายในในเรื่องนั้น  ๆ  ว่า   สามารถป้องกันความเสี่ยงที่อาจเกิดขึ้นได้   โดย  เครื่องมือการประเมินผล รวมถึงการตรวจเช็คการตอบแบบสอบถาม และการวิเคราะห์เชิงปริมาณ  นอกจากนี้  ตัวชี้วัดและการเปรียบเทียบกับผลงานของหน่วยงานอื่น  หรือมาตรฐานที่ยอมรับกันโดยทั่วไป   ก็เป็นเครื่องมือช่วยในการประเมินผลได้เช่นกัน

5.3   รายงานผลตามข้อเท็จจริงอย่างเป็นอิสระ  ไม่ปิดบังสิ่งผิดปกติ

5.4         สั่งการให้มีการแก้ไขและติดตามผลอยู่เสมอ

สำหรับการกำหนดรูปแบบการติดตามประเมินผล  ควรมีอยู่ในทุกขั้นตอนของการปฏิบัติงาน และควรทำอย่างต่อเนื่อง   ทั้งนี้รวมถึงกิจกรรมที่เกี่ยวข้องกับการกำหนด กฎหมาย  ระเบียบ  การบริหารงาน  และที่ปรึกษาต่าง ๆ   โดยมีวิธีการ  เช่น  การเปรียบเทียบผลการดำเนินงาน   การตรวจสอบ    การกระทบยอด ฯลฯ    สำหรับบางโครงการอาจกำหนดรูปแบบการติดตามประเมินผลโดยเฉพาะ  แยกต่างหากจากที่ได้กำหนดการติดตาม     ประเมินผลโดยปกติ   การติดตามประเมินผลโครงการที่เป็นกรณีเฉพาะ  อาจใช้แบบประเมินตนเอง   การออกแบบควบคุมโดยเฉพาะ   การทดสอบ   หรืออาจจ้างผู้เชี่ยวชาญ  หรือ          ผู้ตรวจสอบภายนอกมาดำเนินการได้

การติดตามประเมินผลจะมีประสิทธิภาพมากขึ้น หากมีการสื่อสารกับบุคลากรที่รับผิดชอบงานนั้น ๆ   ในหน่วยงาน       และกรณีมีเรื่องที่สำคัญควรรายงานต่อผู้บังคับบัญชาระดับสูงด้วย  นอกจากนี้การติดตามประเมินผลในระบบการควบคุมภายใน  ควรหมายรวมถึงการประเมินผลนโยบาย   กฎระเบียบ   ระบบงานต่าง ๆ  ของหน่วยงานด้วย  เพื่อให้มั่นใจว่า

(1)

23

ได้มีการกำหนดกรอบระยะเวลาการปฏิบัติงานที่เหมาะสมและถูกต้อง  และเป็นผลดีต่อการบริหารงานของหน่วยงาน

(2)  ได้มีการตรวจสอบและติดตามผล  รวมทั้งรายงานของผู้ตรวจสอบที่ได้สอบทานงาน   และตั้งข้อสังเกตไว้ต่อผู้บริหารของหน่วยงาน   ข้อสังเกตเหล่านั้น ได้มีการแก้ไขปฏิบัติตามในระยะเวลาที่เหมาะสม

(3)    การดำเนินงานต่าง ๆ  สามารถบรรลุวัตถุประสงค์ที่หน่วยงานตั้งไว้

(4)    การจัดทำรายงานทางการเงินเป็นไปอย่างถูกต้องเชื่อถือได้

เมื่อได้ติดตามและประเมินผลแล้ว      ผู้ประเมินผลจะต้องจัดทำรายงานเสนอผู้บริหารที่รับผิดชอบ   โดยการจัดทำรายงานแสดงผลความคลาดเคลื่อนของการดำเนินงานเป็นระยะ ๆ   โดยควรจัดทำคำชี้แจงหรืออธิบายให้ทราบว่าความแตกต่างระหว่างผลการดำเนินงานจริง กับตัวเลขตามประมาณการเกิดขึ้นเพราะเหตุใด   และผู้ใดจะต้องรับผิดหรือชอบกับการที่เกิดผลต่างนั้น    และหาวิธีการแก้ไขที่เหมาะสมต่อไป

การติดตามและประเมินผลอย่างต่อเนื่องและเป็นประจำ    และมีการสั่งการให้แก้ไขข้อผิดพลาดอยู่เสมอ     เป็นหัวใจสำคัญของการควบคุมทางการบริหาร

การติดตามและประเมินผล  ไม่ควรจัดทำเฉพาะกับระบบ หรือมาตรการ    ควบคุมภายในเท่านั้น  แต่ควรจัดให้การติดตามและประเมินผลกับการปฏิบัติงานด้านอื่น ๆ ทุกด้าน  จากผู้รับผิดชอบโดยตรงและอย่างอิสระ   หรือโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดมาตรการหรือออกแบบระบบการควบคุมภายใน  เพื่อให้สามารถแสดงความคิดเห็นได้อย่างเป็นอิสระ เช่น  จากการตรวจสอบภายใน อันเป็นเครื่องมือของฝ่ายบริหารในการประเมินผลและติดตามผลการปฏิบัติงาน  เป็นต้น

ประโยชน์ที่ได้รับ

 

ประโยชน์ที่หน่วยงานจะได้รับ     จากการมีระบบการควบคุมภายในที่ดี

1.   การดำเนินงานของหน่วยงานบรรลุวัตถุประสงค์ที่วางไว้อย่างมีประสิทธิภาพ

2.   การใช้ทรัพยากรเป็นไปอย่างมีประสิทธิภาพ   ประหยัด   และคุ้มค่า

3.   มีข้อมูลและรายงานทางการเงินที่ถูกต้อง  ครบถ้วนและเชื่อถือได้ สามารถนำไปใช้ในการตัดสินใจ

4.   การปฏิบัติในหน่วยงานเป็นไปอย่างมีระบบและอยู่ในกรอบของกฎหมาย ระเบียบ  ข้อบังคับที่วางไว้

5.   เป็นเครื่องมือช่วยผู้บริหารในการกำกับดูแลการปฏิบัติงานได้อย่างดียิ่ง

(จากแนวทางการจัดวางระบบการควบคุมภายในและการประเมินผลการควบคุมภายใน ของสำนักงานการตรวจเงินแผ่นดิน)

การจัดทำรายงานการควบคุมภายใน ของ สบช.

การรายงานตามระเบียบฯ ข้อ 6

1. จัดทำการประเมิน 5 องค์ประกอบ(ส่วนย่อย)ลงใน แบบ ปย. 1

2. ประเมินกระบวนการปฏิบัติงานในแบบ ปย. 2

3. ติดตามการปฏิบัติตามแผนการปรับปรุงการควบคุมภายใน ปีงบประมาณที่ผ่านมา