ความหมาย วัตถุประสงค์ และองค์ประกอบของการควบคุมภายใน ของ COSO

          ในปี 2535 คณะกรรมการชุดหนึ่ง ซึ่งเรียกว่า The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซึ่งเป็นคณะกรรมการของสถาบันวิชาชีพ 5 สถาบัน ในสหรัฐอเมริกา อันได้แก่

• สมาคมผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (The American Institute of Certified Public Accountants หรือ AICPA)

• สมาคมผู้ตรวจสอบภายใน (The Institute of Internal Auditor หรือ IIA)

• สมาคมผู้บริหารการเงิน (The Financial Executives Institute หรือ FEI)

• สมาคมนักบัญชีแห่งสหรัฐอเมริกา (The American Accounting Association หรือ AAA) และ

• สมาคมนักบัญชีเพื่อการบริหาร (Institute of Management Accountants หรือ IMA)

ทั้ง 5 สถาบันนี้ได้ร่วมกันศึกษาวิจัย และพัฒนาแนวคิดของการควบคุมภายใน และได้ให้ความหมายของการควบคุมภายในว่า “การควบคุมภายใน คือ กระบวนการปฏิบัติงานที่ถูกกำหนดร่วมกันโดย คณะกรรมการ ผู้บริหารตลอดจนพนักงานขององค์กรทุกระดับชั้น เพื่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า วิธีการหรือการปฏิบัติงานตามที่กำหนดไว้จะทำให้บรรลุวัตถุประสงค์ของการควบคุม”

ระบบการควบคุมภายใน ประกอบด้วยนโยบายและวิธีปฏิบัติงานที่กำหนดขึ้นในองค์กร เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่ากิจการจะบรรลุวัตถุประสงค์และเป้าหมาย ในเรื่องต่อไปนี้

- ด้านการดำเนินงาน (Operation) โดยมุ่งหมายให้การปฏิบัติงานเกิดประสิทธิภาพ ประสิทธิผล และคุ้มค่า ด้วยการกำกับการใช้ทรัพยากรทุกประเภทให้เป็นไปอย่างมีประสิทธิภาพ บรรลุเป้าหมายที่ผู้บริหารกำหนดไว้ และให้ปลอดจากการกระทำทุจริตของพนักงาน หรือผู้บริหาร และหากมีความเสียหายเกิดขึ้นก็ช่วยให้ทราบถึงความเสียหายนั้นได้โดยเร็วที่สุด      

- ด้านการรายงานทางการเงิน (Financial Reporting) รายงานทางการเงินหรืองบการเงินไม่ว่าจะเป็นรายงานที่ใช้ภายในหรือภายนอกองค์กร ต่างต้องมีความเชื่อถือได้และทันเวลา มีคุณภาพเหมาะสมสำหรับการนำไปใช้เป็นข้อมูลประกอบการพิจารณา ตัดสินใจทางธุรกิจของนักบริหาร เจ้าหนี้ ผู้ถือหุ้น และผู้ลงทุนทั่วไป

- ด้านการปฏิบัติให้เป็นไปตาม กฎ ระเบียบ และนโยบาย(Compliance with Application Laws and Regulations) การปฏิบัติงานหรือดำเนินธุรกิจให้สอดคล้อง หรือเป็นไปตามบทบัญญัติ ข้อกำหนดของกฎหมาย นโยบาย ข้อบังคับ ระเบียบที่เกี่ยวข้องกับการปฏิบัติงาน หรือการดำเนินธุรกิจนั้น เพื่อป้องกันมิให้เกิดผลเสียหายใดๆ จากการละเว้นการปฏิบัติให้เป็นไปตามกฎ ระเบียบเหล่านั้น

       จากวัตถุประสงค์ที่กล่าวมาแล้วข้างต้น จะเห็นได้ว่าบางครั้งในการจัดการควบคุมภายในสามรถแยกแยะวัตถุประสงค์ได้ชัดเจน แต่บางกรณีก็มีวัตถุประสงค์ที่เกี่ยวข้องกัน ดังนั้น จึงเป็นหน้าที่ของผู้บริหารที่จะต้องตัดสินใจว่า จะกำหนดมาตรการการควบคุมภายในเพื่อวัตถุประสงค์อะไร ต้องการเน้นชัดว่าเพื่อวัตถุประสงค์ใดวัตถุประสงค์หนึ่งเพียงอย่างเดียว หรือต้องการจัดให้มีระบบการควบคุมภายในเพื่อวัตถุประสงค์หลายประการที่สัมพันธ์กัน

ในการทำความเข้าใจเกี่ยวกับแนวคิดของ COSO จะต้องพิจารณาในเนื้อหาอย่างลึกซึ้ง โดยองค์ประกอบทั้ง 5 มีดังนี้

1. สภาพแวดล้อมการควบคุม (Control Environment)

2. การประเมินความเสี่ยง (Risk Assessment)

3. กิจกรรมการควบคุม (Control Activities)

4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication)

5. การติดตามและประเมินผล (Monitoring)

            1. สภาพแวดล้อมของการควบคุม (Control Environment)

                กล่าวคือ  สภาพแวดล้อมของการควบคุมเป็นองค์ประกอบที่เกี่ยวกับการสร้างจิตสำนึกและบรรยากาศของการควบคุมภายใน ซึ่งปัจจัยหลายๆ ปัจจัยที่นำมาพิจารณารวมกันส่งผลให้เกิดความมีประสิทธิผลของมาตรการหรือวิธีการควบคุมในองค์กร หรือทำให้มาตรการและวิธีการควบคุมที่ดีขึ้น โดยส่งเสริมให้ทุกคนในองค์กรตระหนักถึงความจำเป็นของระบบการควบคุมภายในและเน้นการสร้างบรรยากาศโดยผู้บริหารระดับสูง เพื่อให้คนขององค์กรเกิดจิตสำนึกที่ดีในการปฏิบัติตามความรับผิดชอบ ดังนั้น สภาพแวดล้อมของการควบคุมที่ดีจะช่วยให้บุคลากรเข้าใจถึงความจำเป็นและความสำคัญของการควบคุมภายใน  ทั้งนี้  ปัจจัยที่แสดงให้เห็นถึงสภาพแวดล้อมของการควบคุมประกอบด้วย

            ความซื่อสัตย์และจริยธรรม  กล่าวคือ ผู้บริหารควรจัดทำข้อกำหนดด้านจริยธรรมเป็นแนวทางการปฏิบัติ หรือมีมาตรฐานการปฏิบัติงาน โดยปัจจัยนี้ผู้ศึกษาเห็นว่า ปัจจุบันองค์กรมักจะจัดทำ Code of Conduct หรือหลักในการปฏิบัติงานที่เปรียบเสมือนกฎระเบียบขององค์กร ดังนั้น หากมีการแทรกข้อกำหนดด้านจริยธรรมอันเป็นแนวทางที่ควรปฏิบัติลงไป ก็จะทำให้เกิดความสมบูรณ์ในการนำมาใช้ในทางปฏิบัติมากขึ้น

                ส่วนในด้านของผู้บริหารก็จะต้องปฏิบัติตนให้เป็นแบบอย่างที่ดีอย่างสม่ำเสมอ และลดวิธีการหรือแรงจูงใจที่รุนแรง เช่น การไม่กดดันให้พนักงานต้องปฏิบัติงานตามเป้าหมายที่สูงเกินจริง

            ความรู้ ทักษะ ความสามารถเชิงแข่งขัน กล่าวคือ องค์กรควรมีการกำหนดระดับความรู้และความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละอย่าง ต้องกำหนดออกมาเป็นข้อกำหนดด้านพื้นความรู้ทางการศึกษา และประสบการณ์ในการปฏิบัติงานโดยผลสำเร็จในการประเมินองค์ประกอบด้านนี้สามารถพิจารณาได้จากการจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เพื่อให้เป็นเกณฑ์ในการพิจารณาบรรจุพนักงานให้เหมาะสมกับหน้าที่และความรับผิดชอบ

            คณะกรรมการบริษัทหรือคณะกรรมการตรวจสอบ  กล่าวคือ ฝ่ายบริหารระดับสูงเป็นผู้มีบทบาทสำคัญในการสร้างบรรยากาศการควบคุมของกิจการ คณะกรรมการบริษัทเป็นเสมือนตัวแทนผู้ถือหุ้นที่จะแต่งตั้งฝ่ายบริหารระดับสูงและกำกับดูแลการปฏิบัติงานให้บรรลุผลประโยชน์สูงสุดขององค์กร คณะกรรมการตรวจสอบเป็นส่วนหนึ่งของคณะกรรมการบริษัทที่ทำหน้าที่ส่งเสริมบรรยากาศของการควบคุม และการตรวจสอบทั้งภายในและการสอบบัญชีให้เป็นไปอย่างอิสระจากฝ่ายบริหาร รวมทั้งความรู้ ประสบการณ์ในการปฏิบัติงาน การตั้งคำถามที่ตรงประเด็นและลึกซึ้งเกี่ยวกับงานของฝ่ายบริหาร และติดตามวิเคราะห์คำตอบที่ได้ความถี่และการมีเวลาในการปฏิบัติหน้าที่และประชุม
กับผู้บริหารฝ่ายการเงิน บัญชี ตรวจสอบภายใน และผู้สอบบัญชี ความเพียงพอและทันสมัยของสารสนเทศที่จัดให้คณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่จะติดตามการบรรลุผลของแผนกลยุทธ์ เป้าหมายของฝ่ายบริหารฐานะการเงิน ผลการดำเนินงาน และปฏิบัติตามสัญญาที่สำคัญ ความเพียงพอและทันกาลของสารสนเทศที่คณะกรรมการบริษัทและคณะกรรมการตรวจสอบมีเกี่ยวกับข้อมูลพิเศษ เช่น ค่าใช้จ่ายในการเดินทางของผู้บริหารระดับสูง รายงานการสืบสวนจากสถาบันกำกับดูแล การจ่ายเงินที่ผิดกฎหมาย เป็นต้น

            ปรัชญาและรูปแบบการทำงานของผู้บริหาร  กล่าวคือ องค์ประกอบนี้เป็นสิ่งใหม่ของการบริหาร ซึ่งบางครั้งปรัชญาและสไตล์การทำงานผู้บริหารถูกละทิ้งความสนใจไม่เข้าใจอย่างลึกซึ้ง การทำความเข้าใจแนวโน้มทางความคิดขององค์ประกอบนี้ เช่น เป็นผู้บริหารที่กล้าเสี่ยง หรือชอบความระมัดระวัง ความถี่ในการติดตามงานระหว่างผู้บริหารระดับสูงกับระดับปฏิบัติการ ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ความระมัดระวังในการกำหนดประมาณการทางบัญชี การเปิดเผยข้อมูล และการไม่แสดงข้อมูลที่เป็นเท็จ รวมทั้งการส่งเสริมในงานบัญชี การพัฒนาความรู้ของฝ่ายบัญชี เหล่านี้ล้วนเป็นสิ่งที่ทำให้สามารถทราบทิศทางองค์กรได้ว่าจะถูกวางอยู่ในจุดใดหรือมีความเสี่ยงอย่างไรบ้าง

            โครงสร้างการจัดองค์กร  กล่าวคือ โครงสร้างขององค์กรที่ได้รับการจัดไว้ดีย่อมเป็นพื้นฐานสำคัญที่ทำให้ผู้บริหารสามารถวางแผนงาน สั่งการ และควบคุมการปฏิบัติงานได้อย่างถูกต้อง รวดเร็ว และมีประสิทธิภาพ โดยการจัดโครงสร้างองค์กรให้เหมาะสมกับลักษณะของธุรกิจนั้น

            การมอบอำนาจและความรับผิดชอบ (Assignment of Authority and responsibility) หมายถึง การมอบอำนาจให้กับผู้ปฏิบัติงานในระดับปฏิบัติการ ควรจะต้องมีการกำหนดอย่างชัดเจน โดยในการประเมินองค์ประกอบด้านนี้จะต้องพิจารณาจาก

- ความชัดเจนในการระบุความรับผิดชอบและอำนาจในการอนุมัติให้ผู้ปฏิบัติการฝ่ายต่างๆ ในการปฏิบัติงานให้ได้ตามวัตถุประสงค์

- ความเหมาะสมของมาตรฐานการควบคุมและวิธีการควบคุมที่เกี่ยวข้องรวมทั้งเอกสารที่ระบุลักษณะ
ความรับผิดชอบในตำแหน่งงาน

-  ความเหมาะสมของจำนวนพนักงาน ซึ่งจะต้องมีความรู้และทักษะที่เหมาะสมกับปริมาณงานและ
ความซับซ้อนของกิจกรรม รวมทั้งระบบงานที่เกี่ยวข้อง

            นโยบายและวิธีบริหารงานด้านทรัพยากรมนุษย์  กล่าวคือ ในการบริหารองค์กรมีปัจจัยหลายอย่างที่เป็นสิ่งสำคัญแก่องค์กรไม่ว่าจะเป็นระบบบริหารเทคโนโลยี สิ่งเหล่านี้ล้วนเป็นสิ่งที่องค์กรจะต้องพัฒนาตามยุคสมัยให้ทันแต่อย่างไรก็ตาม สิ่งที่สำคัญที่สุดขององค์กรที่จะขาดไม่ได้ก็คือ ทรัพยากรมนุษย์ เพราะทรัพยากรมนุษย์ที่ดีเป็นปัจจัยที่ทำให้องค์กรบรรลุเป้าหมายอย่างแท้จริง ดังนั้น ฝ่ายบริหารควรกำหนดนโยบายและวิธีบริหารงานด้านทรัพยากรมนุษย์ เช่น การว่าจ้าง การคัดเลือกบุคลากร และเมื่อได้บุคลากรที่เหมาะสมแล้ว ก็ต้องมีนโยบายในการจูงใจและพัฒนาให้มีความรู้ความสามารถที่ทันสมัยตามทันเทคโนโลยีเปลี่ยนแปลงอยู่ตลอดเวลา การประเมินองค์ประกอบนี้ เช่น นโยบายและวิธีปฏิบัติในส่วนที่เกี่ยวกับการคัดเลือก การฝึกอบรม การเลื่อนตำแหน่ง และการจ่ายผลตอบแทน ความเหมาะสมของวิธีการที่ใช้เมื่อพบความประพฤติที่แตกต่างจากนโยบายและวิธีปฏิบัติที่กำหนด เช่น มีบทลงโทษ ความเหมาะสมในการใช้นโยบายการเลื่อนตำแหน่งและความดีความชอบ

            การตรวจสอบภายใน  กล่าวคือ การตรวจสอบภายในถือเป็นส่วนหนึ่งของการควบคุมภายในและเป็นเครื่องมือทางการบริหารที่ทำให้สภาพแวดล้อมของการควบคุมมีคุณภาพ ผู้ตรวจสอบภายในต้องมีความอิสระเพียงพอที่จะรายงานผลการตรวจสอบและประเมินผลให้แก่ผู้บริหาร และผู้รับผิดชอบการปฏิบัติงานที่ได้รับการตรวจสอบและประเมินผลทั้งนี้ผู้ตรวจสอบภายในควรได้รับการสนับสนุนอย่างเหมาะสมจากผู้บริหาร

            2. การประเมินความเสี่ยง (Risk Assessment) 

                การประเมินความเสี่ยงซึ่งจัดได้ว่าเป็นเครื่องมือในการบริหารอย่างหนึ่งที่ผู้บริหารนิยมใช้ในปัจจุบัน เนื่องจากในปัจจุบันเป็นยุคการค้าที่มีการแข่งขันอย่างเสรี ซึ่งมีคู่แข่งมากมายที่กำลังต่อสู้กับองค์กร ดังนั้น ความเสี่ยงจึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ ซึ่งการประเมินความเสี่ยงนั้น เป็นกระบวนการที่ทำให้กิจการขององค์กรทราบถึงความเสี่ยงที่กำลังจะเผชิญล่วงหน้าได้ เมื่อทราบถึงความเสี่ยงแล้วก็สามารถที่จะบริหารความเสี่ยงเพื่อเปลี่ยนวิกฤติให้เป็นโอกาส และเพื่อลดผลกระทบความเสียหายที่จะเกิดขึ้นได้เนื่องจากเป็นการค้ายุคการแข่งขันเสรีที่มีความเสี่ยงสูง และต้องเตรียมความพร้อมในทุกสภาวการณ์ การประเมินความเสี่ยงจะทำให้ฝ่ายบริหารได้ทราบถึงปัจจัยเสี่ยงทั้งจากปัจจัยภายใน และปัจจัยภายนอกที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์การอย่างเพียงพอและเหมาะสม โดยแบ่งได้เป็น

-          ปัจจัยเสี่ยงระดับกิจการอาจเกิดจากปัจจัยเสี่ยงต่างๆ ทั้งภายนอกและภายในกิจการ โดยปัจจัยเสี่ยงภายนอก เป็นปัจจัยที่เกิดจากภายนอกที่กิจการควบคุมไม่ได้ ซึ่งผู้บริหารต้องติดตามศึกษาเพื่อหาวิธีปฏิบัติในการเปลี่ยนวิกฤตให้เป็นโอกาส หรือลดผลเสียหายที่จะเกิดขึ้น ส่วนปัจจัยเสี่ยงภายใน เป็นปัจจัยที่เกิดจากภายในองค์กรที่ผู้บริหารสามารถจัดการได้ ซึ่งสามารถยกตัวอย่างของปัจจัยภายนอก เช่น การเปลี่ยนแปลงทางเทคโนโลยี ความต้องการและความมุ่งหวังของลูกค้าที่มีต่อสินค้าหรือบริการ กฎหมายและข้อกำหนดต่างๆ ของภาครัฐ และตัวอย่างของปัจจัยภายใน เช่น ความซื่อสัตย์และจริยธรรมของผู้บริหาร ความสลับซับซ้อนของการปฏิบัติงาน ขวัญและกำลังใจของพนักงานในการปฏิบัติงาน ขนาดของหน่วยงาน โดยหน่วยงานใหญ่ย่อมมีโอกาสผิดพลาดสูงกว่าหน่วยงานเล็ก

-          ปัจจัยเสี่ยงระดับกิจกรรมเป็นปัจจัยเสี่ยงที่อาจเกิดในหน่วยงานสาขา แผนงาน โครงการ และกระบวนการปฏิบัติงานที่สำคัญ เช่น การจัดหา การตลาด เป็นต้น

     หลังจากระบุปัจจัยเสี่ยงแล้ว ขั้นต่อมาที่สำคัญก็คือ การวิเคราะห์และจัดระดับความเสี่ยง หากปัจจัยเสี่ยงใดสามารถคำนวณจำนวนที่อาจเกิดขึ้นได้โดยตรงในเชิงปริมาณ เช่น การใช้สูตรคำนวณจำนวนค่าความเสียหาย ก็ให้ประเมินและจัดระดับความเสี่ยงไปตามความสำคัญของจำนวนที่คำนวณได้ หากการวิเคราะห์และจัดระดับความเสี่ยงโดยใช้สูตรคำนวณเป็นไปได้ยาก อาจต้องใช้วิธีการให้คะแนนเชิงเปรียบเทียบแทน เช่น การให้ระดับ 1-3 โดย 1 = ไม่พอใจ 2 = ปานกลาง และ 3 = พอใจ เป็นต้น

     หลังจากนั้นผู้บริหารควรกำหนดวิธีการบริหารความเสี่ยง และตัดสินใจเกี่ยวกับกิจกรรม
ควบคุมภายในที่จำเป็นเพื่อลดหรือบรรเทาความเสี่ยงเหล่านั้นและเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ด้านประสิทธิภาพ ประสิทธิผลของการดำเนินงาน รายงานทางการเงินและการดำเนินงานเป็นที่น่าเชื่อถือ และการปฏิบัติที่เป็นไปตามกฎหมาย และระเบียบข้อบังคับ ผู้บริหารระดับส่วนงาน หรือผู้ประเมินควรจะต้องเน้นการให้ความสำคัญเกี่ยวกับกระบวนการบริหาร ในการกำหนดวัตถุประสงค์การระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการบริหารความเสี่ยงในช่วงของการเปลี่ยนแปลง และบางเรื่องมีลักษณะเป็นนามธรรมซึ่งต้องใช้ดุลยพินิจ แต่เรื่องเหล่านี้มีความสำคัญในการใช้ประเมินความเสี่ยงว่าเหมาะสมเพียงพอหรือไม่ ซึ่งการบริหารความเสี่ยงนั้น COSO ได้กำหนดวิธีการตอบสนองความเสี่ยงไว้พอสรุปได้ดังนี้

1)   การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) หมายถึงการเลิกหรือหลีกเลี่ยงการกระทำเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น การกระทำงานที่องค์กรไม่ถนัด อาจหลีกเลี่ยงโดยการไม่กระทำ หรือจ้างบุคคลภายนอก เป็นต้น

2)   การลดความเสี่ยง (Risk Reduction) หมายถึงการลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย หรือการลดทั้งสองด้านพร้อมกัน การลดความเสี่ยงที่สำคัญคือ การจัดระบบการควบคุมเพื่อป้องกัน หรือค้นพบความเสี่ยงเฉพาะวัตถุประสงค์นั้นอย่างเหมาะสมทันกาลมากขึ้นรวมถึงการกำหนดแผนสำรองในกรณีมีเหตุการณ์ฉุกเฉิน

3)   การแบ่งความเสี่ยง (Risk Sharing) หมายถึงการลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย โดยการแบ่ง การโอน การหาผู้รับผิดชอบร่วมในความเสี่ยง เช่น การจัดประกันภัย

4)   การยอมรับความเสี่ยง (Risk Acceptance) หมายถึงการไม่กระทำการใดๆ เพิ่มเติมกรณีนี้ใช้กับความเสี่ยงที่มีสาระสำคัญน้อย ความเสี่ยงน่าจะเกิดน้อย หรือเห็นว่ามีต้นทุนในการบริหารความเสี่ยงสูงกว่าผลที่ได้รับ

            3. กิจกรรมการควบคุม (Control Activities) 

                หมายถึง  การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นไปตามนโยบาย วิธีปฏิบัติงาน และคำสั่งต่างๆ ที่ฝ่ายบริหารกำหนด ซึ่งจะต้องเป็นการกระทำที่ถูกต้องและในเวลาที่เหมาะสม จะเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด กิจกรรมการควบคุมภายในสามารถแบ่งออกตามประเภทของการควบคุมได้ดังต่อไปนี้

                การควบคุมแบบป้องกันเป็นวิธีการควบคุมที่กำหนดขึ้น เพื่อป้องกันมิให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก

                การควบคุมแบบค้นพบ เป็นวิธีการควบคุมที่กำหนดขึ้น เพื่อทำการค้นพบข้อผิดพลาดที่เกิดขึ้นมาแล้ว

                การควบคุมแบบแก้ไข เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้อง หรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต

                การควบคุมแบบส่งเสริม เป็นวิธีการควบคุมที่ส่งเสริมหรือกระตุ้นให้เกิดความสำเร็จโดยตรงกับวัตถุประสงค์ที่ต้องการ

            4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication) 

การสื่อสารและสารสนเทศนี้ ถือเป็นองค์ประกอบสำคัญต่อการควบคุมภายในยุคปัจจุบัน ซึ่งนับได้ว่าเป็นยุคของข้อมูลข่าวสาร และถ้าข้อมูลข่าวสารมีความทันสมัยก็จะทำให้องค์กรรับรู้ข้อมูลได้ทันท่วงที มีความได้เปรียบทางด้านธุรกิจ และสามารถเพิ่มประสิทธิภาพให้กับการบริหารองค์กรได้ดีอีกด้วย แต่อย่างไรก็ตาม ความถูกต้องของข้อมูลข่าวสารก็ถือว่าเป็นสิ่งสำคัญยิ่งไม่แพ้กัน ดังนั้น ควรให้ผู้ปฏิบัติงานที่เกี่ยวข้องได้เข้าถึงหรือรับทราบข้อมูลที่เกี่ยวข้องผ่านเครื่องมือต่างๆ โดยสามารถแบ่งได้ ดังนี้

            ข้อมูลสารสนเทศ (Information)  เป็นข้อมูลที่มีความจำเป็นสำหรับการปฏิบัติงานของบุคลากรทั้งผู้บริหารและผู้ปฏิบัติงานทุกระดับ โดยผู้บริหารต้องใช้ข้อมูลประกอบการพิจารณาสั่งการ ส่วนผู้ปฏิบัติงานมักใช้ข้อมูลสารสนเทศเป็นเครื่องชี้นำทิศทางการปฏิบัติหน้าที่ ข้อมูลสารสนเทศที่ดีที่ควรจัดให้มีในทุกๆ องค์กรควรมีลักษณะดังนี้คือ

1)   ความเหมาะสมกับการใช้ หมายถึง สารสนเทศมีเนื้อหาสาระที่จำเป็นต่อการตัดสินใจของผู้ใช้

2)   ความถูกต้องสมบูรณ์ หมายถึง สารสนเทศที่สามารถสะท้อนผลตามความจำเป็นและให้ข้อมูลที่เป็นจริงและมีรายละเอียดที่จำเป็นครบถ้วน

3)   ความเป็นปัจจุบัน หมายถึง การให้ตัวเลขและข้อเท็จจริงล่าสุดที่เป็นปัจจุบันสามารถใช้เป็นข้อมูลที่เชื่อถือได้สำหรับประกอบการตัดสินใจได้ทันเวลา

4)   สะดวกในการเข้าถึง  หมายถึง  ความยากง่ายสำหรับผู้ที่มีอำนาจหน้าที่ที่เกี่ยวข้อง  และมีระบบรักษาความปลอดภัย ป้องกันผู้ที่ไม่มีส่วนเกี่ยวข้องให้ไม่สามารถเข้าถึงข้อมูลสารสนเทศที่มีความสำคัญหรือข้อมูลที่เป็นความลับได้

ในการจัดให้มีสารสนเทศที่ดีเป็นหน้าที่ของผู้บริหารที่จะจัดหาบุคลากรที่มีความรู้ ความสามารถ และประสบการณ์ทางวิชาชีพ รวมทั้งการจัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบงานที่ดี และประสบการณ์ทางวิชาชีพ รวมทั้งการจัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบงานที่ดี เพื่อให้มีการปฏิบัติตามระบบงานที่กำหนดไว้อย่างสม่ำเสมอและควบคุมการปฏิบัติให้เป็นไปตามระเบียบที่กำหนดไว้อย่างเคร่งครัด

            การสื่อสาร (Communication)  การสื่อสารที่มีประสิทธิภาพนั้น หมายถึง การจัดระบบการสื่อสารให้ข้อมูลส่งไปถึงผู้ที่ควรได้รับ และระบบการสื่อสารที่ดีนั้น จะต้องประกอบด้วยทั้งระบบการสื่อสารกันภายในองค์กรหรือการสื่อสารที่เกิดขึ้นภายในองค์กรเดียวกันซึ่งควรจัดให้เป็นรูปแบบการสื่อสารสองทาง และอีกระบบคือการสื่อสารภายนอกซึ่งเป็นการสื่อสารกับลูกค้าหรือบุคคลอื่นๆ นอกองค์กร

            5. การติดตามและประเมินผล (Monitoring and Evaluation) 

การควบคุมภายในขององค์กรจะสมบูรณ์ไม่ได้หากขาดการติดตามและประเมินผล เพราะเป็นองค์ประกอบสำคัญที่ทำให้ผู้บริหารมั่นใจได้ว่า มาตรการและระบบการควบคุมภายในมีประสิทธิผลและได้รับการปรับปรุงให้ทันสมัยอยู่ตลอดเวลา

-          การติดตามผลระหว่างการดำเนินงาน (On Going Monitoring) หมายถึง การสังเกต การติดตาม ระบบรายงานความคืบหน้าของงาน รวมทั้งการสอบทานหรือการยืนยันผลงานระหว่างการปฏิบัติงาน

-          การประเมินผลอิสระ (Independent Evaluation) เป็นการประเมินผลที่เกิดขึ้นในช่วงเวลาที่แล้วแต่จะกำหนด หรือการประเมินอิสระอาจหมายถึง การประเมินโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดระบบควบคุมภายใน เพื่อให้สามารถแสดงความเห็นได้อย่างเป็นอิสระ เช่น การประเมินจากผู้ตรวจสอบภายใน เป็นต้น

-          การประเมินการควบคุมด้วยตนเอง (Control Self Assessment : CSA) เป็นการจัดประชุมเชิงปฏิบัติร่วมกัน ระหว่างผู้บริหาร ผู้ปฏิบัติงาน ผู้มีความรู้ด้านการควบคุม และผู้อื่นที่มีส่วนเกี่ยวข้อง เพื่อกำหนดกิจกรรมควบคุมและประเมินผลร่วมกัน ในด้านที่ได้รับมอบหมายให้ดำเนินงานนั้น

                การรายงานผลการประเมินและการสั่งการแก้ไข ต้องจัดทำรายงานผลการประเมินที่สำคัญเสนอผู้บริหารที่รับผิดชอบ เช่น การจัดทำรายงานแสดงผลความคลาดเคลื่อนของการดำเนินงานเป็นระยะๆ