อาจารย์จิรพร สุเมธีประสิทธิ์
เมื่อกิจการญี่ปุ่นต้องวางกรอบแนวทางครอบคลุมภายในแนวทางที่นำมาใช้ในการพัฒนาต้องอยู่บนกฎเกณฑ์ที่เรียกขานกันอย่างไม่เป็นทางการว่า J-SOX จะเกิดความยุ่งยากและใช้กระบวนการอย่างไร เพราะแนวคิด J-SOX แตกต่างจากแนวคิดที่กิจการในประเทศทางตะวันตก รวมทั้งกิจการในไทยส่วนใหญ่เคยใช้กันภายใต้กรอบแนวคิดของการควบคุมภายในแบบ COSO
ประเด็นที่กิจการอาจจะนำมาใช้เป็นแนวทางในการพัฒนาการควบคุมภายในตาม J-SOX
ประการที่ 1
ขนาดของกิจการและความซับซ้อนของกิจการ(Scale and Complexity)
ขนาดของกิจการมีความสำคัญและมีผลต่อการออกแบบพัฒนาการควบคุมภายใน โดยคำว่าขนาดพิจารณาจาก
1) จำนวนของฝ่ายงาน เครือข่าย ทำเลที่ตั้ง
2) จำนวนของบุคลากร
3) กระบวนการดำเนินงานทางธุรกิจ
ความซับซ้อนของกิจการ ประกอบด้วยความซับซ้อนของธุรกิจ และสถานะของการดำเนินงานของกิจการในตลาดต่างประเทศ
1) สัดส่วนของรายได้ที่มาจากธุรกิจหลักของกิจการ ซึ่งยิ่งสูงยิ่งซับซ้อนน้อย ไม่กระจายตัวมาก
2) การมีธุรกิจในต่างประเทศ ถือว่ามีความซับซ้อนกว่ากิจการที่มีธุรกิจเฉพาะในตลาดในประเทศ
จากมิติ 2 มิตินี้ จะสามารถแยกกลุ่มกิจการออกเป็น
1) กิจการขนาดใหญ่ แต่ซับซ้อนต่ำ
2) กิจการขนาดใหญ่ และซับซ้อนสูง
3) กิจการขนาดเล็ก
ประการที่ 2
จุดเริ่มต้นของการควบคุมภายใน
ประกอบด้วยนโยบายในระดับองค์กรเกี่ยวกับการออกแบบระบบการควบคุมภายใน และการวางงานจัดวางระบบการควบคุมภายในตั้งแต่ระดับองค์กรถึงระดับกระบวนการ
กิจการควรจะดำเนินการด้วยการ
1) ร่างและประกาศใช้นโยบาย
2) นำนโยบายไปวางกรอบแนวทาง คู่มือ แนวพึงปฏิบัติที่ครอบคลุมตามความจำเป็น
3) มีการทบทวนนโยบาย กรอบแนวทาง คู่มือ แนวพึงปฏิบัติให้เป็นปัจจุบัน
ประการที่ 3
จัดวางระบบการควบคุมในระดับกระบวนการ
ประกอบด้วยการควบคุมความเสี่ยงในระหว่างดำเนินกระบวนการตามภาระงาน ที่จะส่งผลกระทบต่อความสำเร็จของภาระงาน
1) ต้องมีการควบคุมความเสี่ยงที่ชัดเจนและครอบคลุมทั้งกระบวนการ
2) ต้องมีการปรับปรุงการดำเนินงานที่จำเป็นตามเงื่อนไขการควบคุม
3) ต้องมีการปฏิบัติงานตามเงื่อนไขการปรับปรุงในงานการควบคุม
ประการที่ 4
การสื่อสารกับผู้ตรวจสอบ
1) นำเอาข้อมูลที่เป็นความเห็นจากผู้ตรวจสอบมาวางนโยบายหรือปรับปรุงนโยบาย กรอบแนวทาง คู่มือ แนวพึงปฏิบัติ
2) มีการแลกเปลี่ยนความเห็นกับผู้ตรวจสอบ ก่อนนำมาวางนโยบาย กรอบแนวทาง คู่มือ แนวพึงปฏิบัติ
3) มีการทดสอบผลดำเนินงานตามระบบการควบคุมที่วางไว้ว่า ใช้ได้ผล
4) มีการพิจารณามาตรฐาน บรรทัดฐานของการควบคุมภายในที่ผู้ตรวจสอบให้การยอมรับ
ประการที่ 5
กำหนดน้ำหนักของหัวบัญชีที่มีความสำคัญต่อการวางระบบการควบคุม
รายการที่มีความสำคัญได้แก่
1) รายรับ (ยอดขาย)
2) ลูกหนี้การค้า
3) สินค้าคงเหลือ
นอกจากนั้น การควบคุมที่เพียงพออาจจะต้องพิจารณารายการใน Practice Standards ครอบคลุมทั้ง 42 รายการ
ประการที่ 6
กิจกรรมหลักที่เกี่ยวข้องกับการนำเอาระบบการควบคุมภายในมาใช้ในกิจการ
1) การแต่งตั้งหน่วยงานที่มีหน้าที่ในการจัดวางระบบการควบคุม ซึ่งอาจจะเรียกว่า Process Owner
2) การเตรียมแผนงานและรายละเอียดการอบรมการควบคุมภายในอย่างสม่ำเสมอ
3) ทีมบริหารเข้ามาเกี่ยวข้องในเชิงรุก(Proactively involved)
4) การนำเอาระบบการควบคุมภายในเพื่อประกาศใช้เป็นทางการในฐานะเกณฑ์การดำเนินงาน
5) การเตรียมการเกี่ยวกับเอกสาร ลายลักษณ์อักษรที่เป็นองค์ประกอบของการควบคุมภายใน
6) กิจกรรมการส่งเสริมการใช้การควบคุมภายในเป็นเครื่องมือและกระบวนการระหว่างการดำเนินงาน
7) การเชื่อมโยงระบบประเมินผลการปฏิบัติงานรายบุคคลเกี่ยวข้องกับการเพิ่มเติมและธำรงรักษาการควบคุมภายใน
ประการที่ 7
การวางระบบการควบคุมภายใน สำหรับหน่วยธุรกิจในต่างประเทศหรือหน่วยงานที่แยกออกต่างหาก
การควบคุมหน่วยธุรกิจในต่างประเทศหรือหน่วยงานที่แยกออกต่างหากและห่างไกลกันด้วยระยะทาง มักจะประกอบด้วย องค์ประกอบของเกณฑ์การควบคุมหลักของกิจการในระดับองค์กร และเงื่อนไขการควบคุมที่แยกออกต่างหากเพื่อให้สอดคล้องกับสภาพแวดล้อมการดำเนินงานที่แตกต่างกัน
ประการที่ 8
หน่วยงานที่ทำหน้าที่เป็นหน่วยงานหลักในการพัฒนาระบบการควบคุมระดับองค์กร
1) ฝ่ายบัญชีและการเงิน
2) ฝ่ายเทคโนโลยีสารสนเทศ
3) ฝ่ายวางแผนกลยุทธ์
4) ฝ่ายบุคคล
5) ฝ่ายกฎหมาย
6) ฝ่ายกำกับการปฏิบัติงาน
7) ฝ่ายบริหารงานทั่วไป
ประการที่ 9
ประเด็นที่อาจจะเป็นความท้าทายในการออกแบบและจัดวางระบบการควบคุมภายในในระดับองค์กร หรือระดับกระบวนการอาจจะมีหลายประเด็นที่ต้องพิจารณาและคำนึงถึง ได้แก่
1) ขั้นตอนที่เกี่ยวข้องกับการดำเนินงานตั้งแต่การออกแบบและการจัดวางระบบการควบคุมภายในยังไม่ได้ระบุและกำหนดไว้อย่างไม่ชัดเจน
2) นโยบายหรือวิสัยทัศน์จากผู้บริหารที่ใช้เป็นแนวทางในการกำหนดนโยบายและเกณฑ์ที่ยอมรับได้ที่ไม่ชัดเจน
3) ไม่มีทรัพยากร บุคลากร และการให้เวลาที่เพียงพอในการดำเนินการ
4) ยังไม่มีแนวทางในการที่จะประเมินประสิทธิผลของการควบคุมภายใน ในแต่ละสายธุรกิจที่ชัดเจน
5) การเรียงลำดับความจำเป็นก่อน-หลังในการปรับปรุงและยกระดับการควบคุมภายในยังไม่แน่ชัด
6) มีการกำหนดนโยบาย และขอบเขตของการจัดวางงานการควบคุมภายในแล้ว แต่ยังไม่มีการวางขั้นตอนการดำเนินงานที่รองรับและสอดคล้องกัน
7) ขอบเขตของการออกแบบและการจัดวางการควบคุมภายในมีการขยายและเพิ่มเติมออกไปเกินกว่าที่กำหนดไว้แต่แรก หรือเปลี่ยนแปลงไปเรื่อยๆ
8) มีความขัดแย้งกันในด้านความเห็นของทีมที่ดำเนินการกับความเห็นของผู้ตรวจสอบ
ประการที่ 10
ประเด็นที่อาจจะเป็นความท้าทายในส่วนที่เกี่ยวข้องกับตัวระบบการควบคุม อาจจะมีสิ่งที่ต้องพิจารณาและคำนึงถึง ได้แก่
1) ยังขาดทรัพยากร บุคลากร เทคโนโลยี ซอฟแวร์ที่จะใช้ในการพัฒนาขึ้นเป็นระบบงานควบคุมภายในที่แยกออกมาดำเนินการอย่างชัดเจน
2) ยังขาดทักษะ ศักยภาพ และประสบการณ์ในการพัฒนาขึ้นเป็นระบบที่แยกออกมาดำเนินการอย่างชัดเจน
3) ยังไม่สามารถกำหนดงบประมาณ หรือค่าใช้จ่ายในการลงทุนพัฒนาระบบได้ครบถ้วนทุกระยะ
4) การมีส่วนร่วมของผู้ตรวจสอบไม่เพียงพอ
5) การสนับสนุนจากผู้ที่เกี่ยวข้องภายในต่อการพัฒนาระบบยังไม่เพียงพอ
ประการที่ 11
ประเด็นที่อาจจะยังเป็นความท้าทายในการบริหารจัดการงานควบคุมภายใน สำหรับหน่วยงานธุรกิจในต่างประเทศ หรือที่ตั้งที่แยกออกไปจากสำนักงานใหญ่หรือส่วนกลาง
1) อาจจะยังมีทรัพยากรไม่เพียงพอในหน่วยธุรกิจต่างประเทศ หรือหน่วยงานย่อย ไม่เหมือนกับส่วนกลางหรือสำนักงานใหญ่
2) ความตระหนักในความสำคัญของการควบคุมภายในไม่ชัดเจนและลึกเท่ากับส่วนกลางหรือสำนักงานใหญ่
3) การสื่อสาร สร้างการเรียนรู้ การยอมรับ และความเข้าใจระหว่างทีมงานของส่วนกลางหรือสำนักงานใหญ่กับหน่วยธุรกิจต่างประเทศหรือหน่วยงานย่อยยังไม่เพียงพอ
4) การเชื่อมโยงและประสานงานกับผู้ตรวจสอบหน่วยหน่วยธุรกิจต่างประเทศหรือหน่วยงายย่อยไม่เพียงพอ
5) การกำหนดหน้าที่และความรับผิดชอบของการควบคุมภายในไม่ชัดเจนในระดับหน่วยธุรกิจต่างประเทศหรือหน่วยงานย่อย
6) ช่องทางการเข้าถึงประสิทธิผลของการควบคุมภายในในระดับหน่วยธุรกิจต่างประเทศหรือหน่วยงานย่อยยังไม่ชัดเจน
7) ช่องว่างของการสื่อสารด้วยภาษาที่ต่างกัน ทำให้ความเข้าใจไม่ครบถ้วน
แนวทางการพัฒนาระบบการควบคุมภายในให้เกิดประสิทธิผลและเป็นคุณค่า
ขั้นตอนที่ 1
การส่งเสริมให้เกิดการรับรู้และยอมรับในการควบคุมภายใน
1) สร้างนโยบายการควบคุมภายใน
2) ทำแผนการสื่อสาร ชี้แจงให้เกิดความเข้าใจแก่เจ้าของภาระงาน(Process/Task Owner)
3) สร้างการร่วมมือเพื่อวางระบบการควบคุมในลักษณะข้ามฝ่ายงาน
4) สร้างการยอมรับร่วมกัน โดยดึงเอาผู้ตรวจสอบมาร่วมด้วย
ผลงานที่เกิดขึ้นในขั้นตอนนี้
1) ความร่วมมือของผู้ที่เกี่ยวข้อง
2) ความต้องการร่วมกันในการวางการควบคุมเพื่อช่วยกำกับภาระงาน
ขั้นตอนที่ 2
การสร้างมาตรฐานของการดำเนินงานที่มีการกำกับด้วยการควบคุม
การควบคุมภายในไม่ใช่เรื่องของการจำกัดหรือตีกรอบการดำเนินงาน แต่เป็นเรื่องของการเพิ่มประสิทธิภาพของการดำเนินงาน ที่มีความคงเส้นคงวาของคุณภาพ ลดข้อบกพร่องผิดพลาดลง โดยการใช้มาตรฐานของการปฏิบัติ ไม่เกิดการเบี่ยงเบนจากมาตรฐานของงานที่วางไว้ในจุดที่จำเป็นต้องมีการควบคุม
มาตรฐานสำคัญที่ใช้ควบคุมและกำกับการดำเนินงานคือ ERP (Enterprise Resource Planning) ซึ่งให้ความสำคัญกับการกำกับและควบคุมด้วยข้อมูล(Data)
1) การตรวจสอบข้อมูลในแต่ละจุดของปัจจัยนำเข้า(Input)
2) การกำกับระหว่างการดำเนินกระบวนการ
3) การบูรณาการการบริหารข้อมูลให้เป็น MIS ที่ต้องสอดคล้องกันและคบถ้วน
4) การใช้การกำกับด้วยการมอบอำนาจกระทำการ
5) การสอบทานธุรกรรมด้วยภาระงานที่สัมพันธ์กัน(0-3 Matrix)
6) การสอบทานด้วยการบันทึกบัญชี
7) การประเมินจากผลการบันทึกผลงานที่เป็นปีปัจจุบัน(Real Time)
8) การสอบทานข้อมูลกับเอกสารหลักฐานที่เกี่ยวข้อง
9) การแยกรายการที่ดำเนินการด้วยวิธีการที่ยกเว้น (Override/Exemption) จากระบบการควบคุมที่วางไว้
10) การควบคุมด้วยพารามิเตอร์ ตัวแปรความเสี่ยงที่เป็นระบบแจ้งเตือน
11) การจัดเก็บข้อมูลเฉพาะของงานโครงการ
12) การเก็บข้อมูลเรียงตามลำดับการไหลของงานที่ข้ามขั้นตอนไม่ได้
ขั้นตอนที่ 3
การวางระบบการควบคุมผ่าน SOA :Service Oriented Architecture)
SOA เป็นการออกแบบให้กระบวนการเป็นเสมือนห่วงโซ่ของบริการที่ร้อยเรียงกัน และบริการในลักษณะ Re-use ที่ใช้ได้กระบวนการหลากหลาย เพื่อให้เกิดความยืดหยุ่น เนื่องจากมีบางองค์ประกอบที่ร่วมกันอยู่(Common Components)
ซึ่งมักจะเป็นเรื่องของ shared infrastructure ร่วมกันได
ในขณะที่บางสายธุรกิจอาจจะต้องแยกการดำเนินงานออกเพื่อให้เกิด Center of Excellence
ขั้นตอนที่ 4
การวางระบบการบริหารความเสี่ยง
นอกเหนือจากการใช้การควบคุมในลักษณะของการเป็นกฎเกณฑ์ของการกำกับแล้ว กิจการที่จะมีประสิทธิผลของการควบคุมภายในได้ จะต้องใช้ฐานความเสี่ยง(Risk-Based) ในการวางระบบการควบคุมภายในด้วย
ความเสี่ยงในที่นี้ คือ
1) ความเปลี่ยนแปลงที่เกิดขึ้น ซึ่งมักจะมาจากสภาพแวดล้อม ที่อาจจะต้องปรับกระบวนการไม่การติดตรึงด้วยวิธีการเดียวตลอดเวลา
2) ความไม่แน่นอน ที่ทำให้ต้องมีกิจกรรมการเฝ้าระวัง ติดตามเพื่อสังเกตหาความผิดปกติ ที่อาจจะมีผลกระทบต่อความสำเร็จของภาระงานเมื่อใดก็ได้ ซึ่งมักจะเป็นการสร้างตัวชี้วัดความเสี่ยง หรือตัวเฝ้าระวัง
3) การปรับเปลี่ยนเชิงนโยบาย ที่คาดหวังให้เจ้าของภาระงานเกิดการปรับตัวได้ทันท่วงที
4) การเตรียมพร้อมเพื่อรองรับสภาวะวิกฤติ
ขั้นตอนที่ 5
การปรับระบบการกำกับติดตามและประเมินผล
การกำกับและติดตามผลจะมีหลายรูปแบบ
1) การกำกับติดตาม เพื่อประเมินตนเองของเจ้าของภาระงานเพื่อประกันคุณภาพงาน
2) การกำกับติดตาม เพื่อประเมินโดยผู้ประเมินอื่นที่แยกออกต่างหาก
3) การกำกับติดตาม เพื่อสร้างบทเรียนเพื่อการเรียนรุ้จากสิ่งที่เกิดเป็น Bad News หรือ Loss Data ที่เกิดกับอุตสาหกรรม กับกิจการอื่น เพื่อนำมาใช้ปรับปรุงและทบทวนการควบคุมภายในที่มีอยู่
เยี่ยมมากเลยครับท่านอาจารย์ ที่ช่วยเพื่ม mind map ให้กระผม ขอบพระคุณยิ่งครับและขออนุญาตกลับมาอ่านทบทวนเรื่อยๆนะครับ
ท่านอาจารย์ครับ อยาทราบชื่อเต็มของ...
ท่านอาจารย์ครับ อยากทราชื่อเต็มของ J - SOX ครับ....ขอบคุณมากครับ
J-SOX ย่อมาจาก ๋Japanese Sabarnes-Oxley ค่ะ ซึ่งเป็นการเอากฎหมายหลักของสหรัฐชื่อ SOX มาแปลงเป็นแนวคิดแบบญี่ปุ่น