อาจารย์จิรพร สุเมธีประสิทธิ์                 

                                                                                           [email protected]

                                                                                                    

เมื่อกิจการญี่ปุ่นต้องวางกรอบแนวทางครอบคลุมภายในแนวทางที่นำมาใช้ในการพัฒนาต้องอยู่บนกฎเกณฑ์ที่เรียกขานกันอย่างไม่เป็นทางการว่า J-SOX จะเกิดความยุ่งยากและใช้กระบวนการอย่างไร เพราะแนวคิด J-SOX แตกต่างจากแนวคิดที่กิจการในประเทศทางตะวันตก รวมทั้งกิจการในไทยส่วนใหญ่เคยใช้กันภายใต้กรอบแนวคิดของการควบคุมภายในแบบ COSO

ประเด็นที่กิจการอาจจะนำมาใช้เป็นแนวทางในการพัฒนาการควบคุมภายในตาม J-SOX

ประการที่ 1

ขนาดของกิจการและความซับซ้อนของกิจการ(Scale and Complexity)

ขนาดของกิจการมีความสำคัญและมีผลต่อการออกแบบพัฒนาการควบคุมภายใน โดยคำว่าขนาดพิจารณาจาก

1)  จำนวนของฝ่ายงาน เครือข่าย ทำเลที่ตั้ง

2)  จำนวนของบุคลากร

3)  กระบวนการดำเนินงานทางธุรกิจ

ความซับซ้อนของกิจการ ประกอบด้วยความซับซ้อนของธุรกิจ และสถานะของการดำเนินงานของกิจการในตลาดต่างประเทศ

1)  สัดส่วนของรายได้ที่มาจากธุรกิจหลักของกิจการ ซึ่งยิ่งสูงยิ่งซับซ้อนน้อย ไม่กระจายตัวมาก

2)  การมีธุรกิจในต่างประเทศ ถือว่ามีความซับซ้อนกว่ากิจการที่มีธุรกิจเฉพาะในตลาดในประเทศ

จากมิติ 2 มิตินี้ จะสามารถแยกกลุ่มกิจการออกเป็น

1)  กิจการขนาดใหญ่ แต่ซับซ้อนต่ำ

2)  กิจการขนาดใหญ่ และซับซ้อนสูง

3)  กิจการขนาดเล็ก

ประการที่ 2

จุดเริ่มต้นของการควบคุมภายใน

ประกอบด้วยนโยบายในระดับองค์กรเกี่ยวกับการออกแบบระบบการควบคุมภายใน และการวางงานจัดวางระบบการควบคุมภายในตั้งแต่ระดับองค์กรถึงระดับกระบวนการ

กิจการควรจะดำเนินการด้วยการ

1)  ร่างและประกาศใช้นโยบาย

2)  นำนโยบายไปวางกรอบแนวทาง คู่มือ แนวพึงปฏิบัติที่ครอบคลุมตามความจำเป็น

3)  มีการทบทวนนโยบาย กรอบแนวทาง คู่มือ แนวพึงปฏิบัติให้เป็นปัจจุบัน

ประการที่ 3

จัดวางระบบการควบคุมในระดับกระบวนการ

ประกอบด้วยการควบคุมความเสี่ยงในระหว่างดำเนินกระบวนการตามภาระงาน ที่จะส่งผลกระทบต่อความสำเร็จของภาระงาน

1)  ต้องมีการควบคุมความเสี่ยงที่ชัดเจนและครอบคลุมทั้งกระบวนการ

2)  ต้องมีการปรับปรุงการดำเนินงานที่จำเป็นตามเงื่อนไขการควบคุม

3)  ต้องมีการปฏิบัติงานตามเงื่อนไขการปรับปรุงในงานการควบคุม

ประการที่ 4

การสื่อสารกับผู้ตรวจสอบ

1)  นำเอาข้อมูลที่เป็นความเห็นจากผู้ตรวจสอบมาวางนโยบายหรือปรับปรุงนโยบาย กรอบแนวทาง คู่มือ แนวพึงปฏิบัติ

2)  มีการแลกเปลี่ยนความเห็นกับผู้ตรวจสอบ ก่อนนำมาวางนโยบาย กรอบแนวทาง คู่มือ แนวพึงปฏิบัติ

3)  มีการทดสอบผลดำเนินงานตามระบบการควบคุมที่วางไว้ว่า ใช้ได้ผล

4)  มีการพิจารณามาตรฐาน บรรทัดฐานของการควบคุมภายในที่ผู้ตรวจสอบให้การยอมรับ

ประการที่ 5

กำหนดน้ำหนักของหัวบัญชีที่มีความสำคัญต่อการวางระบบการควบคุม

รายการที่มีความสำคัญได้แก่

1)  รายรับ (ยอดขาย)

2)  ลูกหนี้การค้า

3)  สินค้าคงเหลือ

นอกจากนั้น การควบคุมที่เพียงพออาจจะต้องพิจารณารายการใน Practice Standards ครอบคลุมทั้ง 42 รายการ

ประการที่ 6

กิจกรรมหลักที่เกี่ยวข้องกับการนำเอาระบบการควบคุมภายในมาใช้ในกิจการ

1)  การแต่งตั้งหน่วยงานที่มีหน้าที่ในการจัดวางระบบการควบคุม ซึ่งอาจจะเรียกว่า Process Owner

2)  การเตรียมแผนงานและรายละเอียดการอบรมการควบคุมภายในอย่างสม่ำเสมอ

3)  ทีมบริหารเข้ามาเกี่ยวข้องในเชิงรุก(Proactively involved)

4)  การนำเอาระบบการควบคุมภายในเพื่อประกาศใช้เป็นทางการในฐานะเกณฑ์การดำเนินงาน

5)  การเตรียมการเกี่ยวกับเอกสาร ลายลักษณ์อักษรที่เป็นองค์ประกอบของการควบคุมภายใน

6)  กิจกรรมการส่งเสริมการใช้การควบคุมภายในเป็นเครื่องมือและกระบวนการระหว่างการดำเนินงาน

7)  การเชื่อมโยงระบบประเมินผลการปฏิบัติงานรายบุคคลเกี่ยวข้องกับการเพิ่มเติมและธำรงรักษาการควบคุมภายใน

ประการที่ 7

การวางระบบการควบคุมภายใน สำหรับหน่วยธุรกิจในต่างประเทศหรือหน่วยงานที่แยกออกต่างหาก

การควบคุมหน่วยธุรกิจในต่างประเทศหรือหน่วยงานที่แยกออกต่างหากและห่างไกลกันด้วยระยะทาง มักจะประกอบด้วย องค์ประกอบของเกณฑ์การควบคุมหลักของกิจการในระดับองค์กร และเงื่อนไขการควบคุมที่แยกออกต่างหากเพื่อให้สอดคล้องกับสภาพแวดล้อมการดำเนินงานที่แตกต่างกัน

ประการที่ 8

หน่วยงานที่ทำหน้าที่เป็นหน่วยงานหลักในการพัฒนาระบบการควบคุมระดับองค์กร

1)  ฝ่ายบัญชีและการเงิน

2)  ฝ่ายเทคโนโลยีสารสนเทศ

3)  ฝ่ายวางแผนกลยุทธ์

4)  ฝ่ายบุคคล

5)  ฝ่ายกฎหมาย

6)  ฝ่ายกำกับการปฏิบัติงาน

7)  ฝ่ายบริหารงานทั่วไป

ประการที่ 9

ประเด็นที่อาจจะเป็นความท้าทายในการออกแบบและจัดวางระบบการควบคุมภายในในระดับองค์กร หรือระดับกระบวนการอาจจะมีหลายประเด็นที่ต้องพิจารณาและคำนึงถึง ได้แก่

1)  ขั้นตอนที่เกี่ยวข้องกับการดำเนินงานตั้งแต่การออกแบบและการจัดวางระบบการควบคุมภายในยังไม่ได้ระบุและกำหนดไว้อย่างไม่ชัดเจน

2)  นโยบายหรือวิสัยทัศน์จากผู้บริหารที่ใช้เป็นแนวทางในการกำหนดนโยบายและเกณฑ์ที่ยอมรับได้ที่ไม่ชัดเจน

3)  ไม่มีทรัพยากร บุคลากร และการให้เวลาที่เพียงพอในการดำเนินการ

4)  ยังไม่มีแนวทางในการที่จะประเมินประสิทธิผลของการควบคุมภายใน ในแต่ละสายธุรกิจที่ชัดเจน

5)  การเรียงลำดับความจำเป็นก่อน-หลังในการปรับปรุงและยกระดับการควบคุมภายในยังไม่แน่ชัด

6)  มีการกำหนดนโยบาย และขอบเขตของการจัดวางงานการควบคุมภายในแล้ว แต่ยังไม่มีการวางขั้นตอนการดำเนินงานที่รองรับและสอดคล้องกัน

7)  ขอบเขตของการออกแบบและการจัดวางการควบคุมภายในมีการขยายและเพิ่มเติมออกไปเกินกว่าที่กำหนดไว้แต่แรก หรือเปลี่ยนแปลงไปเรื่อยๆ

8)  มีความขัดแย้งกันในด้านความเห็นของทีมที่ดำเนินการกับความเห็นของผู้ตรวจสอบ

ประการที่ 10

ประเด็นที่อาจจะเป็นความท้าทายในส่วนที่เกี่ยวข้องกับตัวระบบการควบคุม อาจจะมีสิ่งที่ต้องพิจารณาและคำนึงถึง ได้แก่

1)  ยังขาดทรัพยากร บุคลากร เทคโนโลยี ซอฟแวร์ที่จะใช้ในการพัฒนาขึ้นเป็นระบบงานควบคุมภายในที่แยกออกมาดำเนินการอย่างชัดเจน

2)  ยังขาดทักษะ ศักยภาพ และประสบการณ์ในการพัฒนาขึ้นเป็นระบบที่แยกออกมาดำเนินการอย่างชัดเจน

3)  ยังไม่สามารถกำหนดงบประมาณ หรือค่าใช้จ่ายในการลงทุนพัฒนาระบบได้ครบถ้วนทุกระยะ

4)  การมีส่วนร่วมของผู้ตรวจสอบไม่เพียงพอ

5)  การสนับสนุนจากผู้ที่เกี่ยวข้องภายในต่อการพัฒนาระบบยังไม่เพียงพอ

ประการที่ 11

ประเด็นที่อาจจะยังเป็นความท้าทายในการบริหารจัดการงานควบคุมภายใน สำหรับหน่วยงานธุรกิจในต่างประเทศ หรือที่ตั้งที่แยกออกไปจากสำนักงานใหญ่หรือส่วนกลาง

1)  อาจจะยังมีทรัพยากรไม่เพียงพอในหน่วยธุรกิจต่างประเทศ หรือหน่วยงานย่อย ไม่เหมือนกับส่วนกลางหรือสำนักงานใหญ่

2)  ความตระหนักในความสำคัญของการควบคุมภายในไม่ชัดเจนและลึกเท่ากับส่วนกลางหรือสำนักงานใหญ่

3)  การสื่อสาร สร้างการเรียนรู้ การยอมรับ และความเข้าใจระหว่างทีมงานของส่วนกลางหรือสำนักงานใหญ่กับหน่วยธุรกิจต่างประเทศหรือหน่วยงานย่อยยังไม่เพียงพอ

4)  การเชื่อมโยงและประสานงานกับผู้ตรวจสอบหน่วยหน่วยธุรกิจต่างประเทศหรือหน่วยงายย่อยไม่เพียงพอ

5)  การกำหนดหน้าที่และความรับผิดชอบของการควบคุมภายในไม่ชัดเจนในระดับหน่วยธุรกิจต่างประเทศหรือหน่วยงานย่อย

6)  ช่องทางการเข้าถึงประสิทธิผลของการควบคุมภายในในระดับหน่วยธุรกิจต่างประเทศหรือหน่วยงานย่อยยังไม่ชัดเจน

7)  ช่องว่างของการสื่อสารด้วยภาษาที่ต่างกัน ทำให้ความเข้าใจไม่ครบถ้วน

แนวทางการพัฒนาระบบการควบคุมภายในให้เกิดประสิทธิผลและเป็นคุณค่า

ขั้นตอนที่ 1

การส่งเสริมให้เกิดการรับรู้และยอมรับในการควบคุมภายใน

1)  สร้างนโยบายการควบคุมภายใน

2)  ทำแผนการสื่อสาร ชี้แจงให้เกิดความเข้าใจแก่เจ้าของภาระงาน(Process/Task Owner)

3)  สร้างการร่วมมือเพื่อวางระบบการควบคุมในลักษณะข้ามฝ่ายงาน

4)  สร้างการยอมรับร่วมกัน โดยดึงเอาผู้ตรวจสอบมาร่วมด้วย

ผลงานที่เกิดขึ้นในขั้นตอนนี้

1)  ความร่วมมือของผู้ที่เกี่ยวข้อง

2)  ความต้องการร่วมกันในการวางการควบคุมเพื่อช่วยกำกับภาระงาน

ขั้นตอนที่ 2

การสร้างมาตรฐานของการดำเนินงานที่มีการกำกับด้วยการควบคุม

การควบคุมภายในไม่ใช่เรื่องของการจำกัดหรือตีกรอบการดำเนินงาน แต่เป็นเรื่องของการเพิ่มประสิทธิภาพของการดำเนินงาน ที่มีความคงเส้นคงวาของคุณภาพ ลดข้อบกพร่องผิดพลาดลง โดยการใช้มาตรฐานของการปฏิบัติ ไม่เกิดการเบี่ยงเบนจากมาตรฐานของงานที่วางไว้ในจุดที่จำเป็นต้องมีการควบคุม

มาตรฐานสำคัญที่ใช้ควบคุมและกำกับการดำเนินงานคือ ERP (Enterprise Resource Planning) ซึ่งให้ความสำคัญกับการกำกับและควบคุมด้วยข้อมูล(Data)

1)   การตรวจสอบข้อมูลในแต่ละจุดของปัจจัยนำเข้า(Input)

2)   การกำกับระหว่างการดำเนินกระบวนการ

3)   การบูรณาการการบริหารข้อมูลให้เป็น MIS ที่ต้องสอดคล้องกันและคบถ้วน

4)   การใช้การกำกับด้วยการมอบอำนาจกระทำการ

5)   การสอบทานธุรกรรมด้วยภาระงานที่สัมพันธ์กัน(0-3 Matrix)

6)   การสอบทานด้วยการบันทึกบัญชี

7)   การประเมินจากผลการบันทึกผลงานที่เป็นปีปัจจุบัน(Real Time)

8)   การสอบทานข้อมูลกับเอกสารหลักฐานที่เกี่ยวข้อง

9)   การแยกรายการที่ดำเนินการด้วยวิธีการที่ยกเว้น (Override/Exemption) จากระบบการควบคุมที่วางไว้

10) การควบคุมด้วยพารามิเตอร์ ตัวแปรความเสี่ยงที่เป็นระบบแจ้งเตือน

11) การจัดเก็บข้อมูลเฉพาะของงานโครงการ

12) การเก็บข้อมูลเรียงตามลำดับการไหลของงานที่ข้ามขั้นตอนไม่ได้

ขั้นตอนที่ 3

การวางระบบการควบคุมผ่าน SOA :Service Oriented Architecture)

SOA เป็นการออกแบบให้กระบวนการเป็นเสมือนห่วงโซ่ของบริการที่ร้อยเรียงกัน และบริการในลักษณะ Re-use ที่ใช้ได้กระบวนการหลากหลาย เพื่อให้เกิดความยืดหยุ่น เนื่องจากมีบางองค์ประกอบที่ร่วมกันอยู่(Common Components)

ซึ่งมักจะเป็นเรื่องของ shared infrastructure ร่วมกันได

ในขณะที่บางสายธุรกิจอาจจะต้องแยกการดำเนินงานออกเพื่อให้เกิด Center of Excellence

ขั้นตอนที่ 4

การวางระบบการบริหารความเสี่ยง

นอกเหนือจากการใช้การควบคุมในลักษณะของการเป็นกฎเกณฑ์ของการกำกับแล้ว กิจการที่จะมีประสิทธิผลของการควบคุมภายในได้ จะต้องใช้ฐานความเสี่ยง(Risk-Based) ในการวางระบบการควบคุมภายในด้วย

ความเสี่ยงในที่นี้ คือ

1) ความเปลี่ยนแปลงที่เกิดขึ้น ซึ่งมักจะมาจากสภาพแวดล้อม ที่อาจจะต้องปรับกระบวนการไม่การติดตรึงด้วยวิธีการเดียวตลอดเวลา

2) ความไม่แน่นอน ที่ทำให้ต้องมีกิจกรรมการเฝ้าระวัง ติดตามเพื่อสังเกตหาความผิดปกติ ที่อาจจะมีผลกระทบต่อความสำเร็จของภาระงานเมื่อใดก็ได้ ซึ่งมักจะเป็นการสร้างตัวชี้วัดความเสี่ยง หรือตัวเฝ้าระวัง

3) การปรับเปลี่ยนเชิงนโยบาย ที่คาดหวังให้เจ้าของภาระงานเกิดการปรับตัวได้ทันท่วงที

4) การเตรียมพร้อมเพื่อรองรับสภาวะวิกฤติ

ขั้นตอนที่ 5

การปรับระบบการกำกับติดตามและประเมินผล

การกำกับและติดตามผลจะมีหลายรูปแบบ

1)     การกำกับติดตาม เพื่อประเมินตนเองของเจ้าของภาระงานเพื่อประกันคุณภาพงาน

2)     การกำกับติดตาม เพื่อประเมินโดยผู้ประเมินอื่นที่แยกออกต่างหาก

3)     การกำกับติดตาม เพื่อสร้างบทเรียนเพื่อการเรียนรุ้จากสิ่งที่เกิดเป็น Bad News หรือ Loss Data ที่เกิดกับอุตสาหกรรม กับกิจการอื่น เพื่อนำมาใช้ปรับปรุงและทบทวนการควบคุมภายในที่มีอยู่