การควบคุมภายใน หมายถึง กระบวนการที่ผู้กำกับดูแล ฝ่ายบริหาร และบุคลากรของหน่วยงานกำหนดให้มีขึ้น เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า การดำเนินงานของหน่วยรับตรวจจะบรรลุวัตถุประสงค์
องค์ประกอบของมาตรฐานการควบคุมภายใน
มาตรฐานการควบคุมภายในประกอบด้วยองค์ประกอบ 5 ประการ ซึ่งผู้กำกับดูแลและฝ่ายบริหารจะต้องจัดให้มีในการดำเนินงานเพื่อให้บรรลุวัตถุประสงค์ของการควบคุมภายใน
(1) สภาพแวดล้อมของการควบคุม (Control Environment) หมายถึง ปัจจัยต่าง ๆ ซึ่งร่วมกันส่งผลให้มีการควบคุมขึ้นในหน่วยรับตรวจ หรือทำให้การควบคุมที่มีอยู่ได้ผลดีขึ้น ในกรณีตรงข้ามสภาพแวดล้อมอาจทำให้การควบคุม ย่อหย่อนลงได้
ตัวอย่างปัจจัยเกี่ยวกับสภาพแวดล้อมของการควบคุม เช่น ปรัชญาและรูปแบบการทำงานของผู้บริหาร ความซื่อสัตย์และจริยธรรม ความรู้ ทักษะและความสามารถของบุคลากร โครงสร้างการจัดองค์กร การมอบอำนาจและหน้าที่ความรับผิดชอบ นโยบายและวิธีบริหารด้านบุคลากร เป็นต้น
ในการดำเนินการเกี่ยวกับสภาพแวดล้อมของการควบคุม ผู้กำกับดูแล ฝ่ายบริหารและบุคลากรของหน่วยรับตรวจต้องสร้างบรรยากาศของการควบคุมเพื่อให้เกิดทัศนคติที่ดีต่อการควบคุมภายใน โดยส่งเสริมให้บุคลากรทุกคนในหน่วยรับตรวจเกิดจิตสำนึกที่ดีในการ ปฏิบัติงานในความรับผิดชอบและตระหนักถึงความจำเป็นและความสำคัญของการควบคุม ภายใน รวมทั้งดำรงรักษาไว้ซึ่งสภาพแวดล้อมของการควบคุมที่ดี
(2) การประเมินความเสี่ยง (Risk Assessment)
2.1 ความเสี่ยง หมายถึง โอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ซึ่งไม่พึงประสงค์ที่ทำให้งานไม่ประสบความสำเร็จ ตามวัตถุประสงค์และเป้าหมายที่กำหนด
2.2 การประเมินความเสี่ยง หมายถึง กระบวนการที่ใช้ในการระบุและวิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร รวมทั้งการกำหนดแนวทางที่จำเป็นต้องใช้ในการควบคุมความเสี่ยงหรือการบริหารความเสี่ยง
ในการดำเนินการเกี่ยวกับการประเมินความเสี่ยง ฝายบริหารต้องประเมินความเสี่ยงทั้งจากปัจจัยภายในและภายนอกที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ของหน่วยรับตรวจอย่างเพียงพอและเหมาะสม
(3) กิจกรรมควบคุม (Control Activities) หมายถึง นโยบาย และวิธีการต่าง ๆ ที่ฝ่ายบริหารกำหนดให้บุคลากรของหน่วยรับตรวจปฏิบัติ เพื่อลดหรือควบคุมความเสี่ยงและได้รับการสนองตอบ โดยมีการปฏิบัติตาม
การควบคุมสามารถแบ่งเป็น 4 ประเภท คือ
3.1 การควบคุมแบบป้องกัน (Preventive Control) เป็นการควบคุมเพื่อป้องกันหรือลดความเสี่ยงจากความผิดพลาด ความเสียหาย เช่น การแบ่งแยกหน้าที่ การงาน กาควบคุมการเข้าถึงทรัพย์สิน เป็นต้น
3.2 การควบคุมแบบค้นพบ (Detective Control) เป็นการควบคุมเพื่อค้นพบความเสียหายหรือความผิดพลาดที่เกิดขึ้นแล้ว เช่น การสอบทานงาน การสอบ ยักยอก การตรวจนับพัสดุ เป็นต้น
3.3 การควบคุมแบบแก้ไข (Corrective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้อง หรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต
3.4 การควบคุมแบบส่งเสริม (Directive Control) เป็นวิธีการควบคุมที่ส่งเสริมหรือกระตุ้นให้เกิดความสำเร็จตามวัตถุประสงค์ที่ต้องการ เช่น การให้รางวัลแก่ผู้มีผลงานดี เป็นต้น
ในการดำเนินการเกี่ยวกับกิจกรรมการควบคุม ฝ่ายบริหารต้องจัดให้มีกิจกรรมการควบคุมที่มีประสิทธิภาพและประสิทธิผล เพื่อป้องกันหรือลดความเสียหาย ความผิดพลาด ที่อาจเกิดขึ้นและให้สามารถบรรลุผลตามวัตถุประสงค์ของการควบคุมภายใน สำหรับกิจกรรมการควบคุมภายในเบื้องต้นจะต้องแบ่งแยกหน้าที่งานภายในหน่วยรับตรวจอย่างเหมะสม ไม่มอบหมายให้บุคคลใดบุคคลหนึ่งมีหน้าที่เป็นผู้รับผิดชอบปฏิบัติงานที่สำคัญหรืองานที่เสี่ยงต่อความเสียหายตั้งแต่ต้นจนจบ แต่ถ้ามีความจำเป็นให้กำหนดกิจกรรมการควบคุมอื่นที่เหมาะสมทดแทน
(4) สารสนเทศ (Information and Communication) หมายถึง ข้อมูลข่าวสารทางการเงินและข้อมูลข่าวสารอื่น ๆ ที่เกี่ยวกับการดำเนินงานของหน่วยรับตรวจ ไม่ว่าเป็นข้อมูลจากแหล่งภายในหรือภายนอก
ในการดำเนินการเกี่ยวกับสารสนเทศและการสื่อสาร ฝ่ายบริหารต้องจัดให้มีสารสนเทศ อย่างเพียงพอและสื่อสารให้ฝ่ายบริหารและบุคลากรอื่น ๆ ที่เหมาะสมทั้งภายในและภายนอก หน่วยรับตรวจ ซึ่งจำเป็นต้องใช้สารสนเทศนั้นในรูปแบบที่เหมาะสมและทันเวลา
(5) การติดตามประเมินผล (Monitoring) หมายถึงการะบวนการประเมินคุณภาพการปฏิบัติงานและประเมินประสิทธิผลของการควบคุมภายใน ที่วางไว้อย่างต่อเนื่องและสม่ำเสมอ โดยการติดตามผลในระหว่างการปฏิบัติงาน (Ongoing Monitoring) และการประเมินผลเป็นรายครั้ง (Separate Evaluation) ซึ่งแยกเป็นการประเมินการควบคุมด้วยตนเอง (Control Self-Assessment) เช่นการประเมินควบคุมโดยกลุ่มผู้ปฏิบัติงาน ภายในส่วนงานนั้น ๆ และการประเมินการควบคุมอย่างเป็นอิสระ (Independent Assessment) เช่นการประเมินโดยผู้ตรวจสอบภายใน การประเมินการควบคุมภายในโดยผู้ตรวจสอบภายนอก เป็นต้น
ในการดำเนินการเกี่ยวกับการติดตามประเมินผล ฝ่ายบริหารต้องจัดให้มีการติดตามประเมินผลโดยการติดตามผลในระหว่างการปฏิบัติงาน และการประเมินผลเป็นรายครั้ง อย่างต่อเนื่องและสม่ำเสมอ เพื่อให้ความมั่นใจว่า
· ระบบการควบคุมภายในที่วางไว้เพียงพอ เหมาะสม มีประสิทธิภาพ และมีการปฏิบัติจริง
· การควบคุมภายในดำเนินไปอย่างมีประสิทธิผล
· ข้อตรวจพบจากการตรวจสอบและการสอบทานอื่น ๆ ได้รับการปรังปรุงแก้ไขอย่างเหมาะสมและทันเวลา
· การควบคุมภายในได้รับการปรับปรุงแก้ไขให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป
ไม่มีความเห็น