อาจารย์ จิรพรสุเมธีประสิทธิ์<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

[email protected]

COSO ได้ตัดสินใจทบทวนกรอบแนวคิดและมาตรฐานการควบคุมภายในจาก เวอร์ชั่น 1992 เป็น เวอร์ชั่น 2013 หรือ COSO 2013 หลังจากที่พบว่าหน่วยงานกำกับดูแลที่สำคัญของสหรัฐได้ออกกฎหมายใหม่ด้านการกำกับดูแลที่ดี ชื่อ Sarbanes-Oxley 2002 และยังมีการดัดแปลงไปเป็นเวอร์ชั่นญี่ปุ่นในชื่อย่อว่า J-SOX 2008 รวมทั้งการเกิดมาตรฐานใหม่ ISO 21000 ของ ISO ด้านการบริหารความเสี่ยง

COSO 2013 จึงเป็นพัฒนาการที่สำคัญ ที่มุ่งจะอำนวยความสะดวกและปูพื้นฐานให้กิจการต่างๆต้องทำการพัฒนาระบบการบริหารด้วย Cost-effective ด้านการควบคุมภายใน เพื่อนำกิจการสู่การบรรลุผลสำเร็จตามวัตถุประสงค์ และทำให้กิจการสามารถมีผลประกอบการที่ดีขึ้นอย่างยั่งยืน

ขณะเดียวกัน COSO 2013 คาดหวังที่จะให้กิจการต่างๆสามารถปรับระบบการควบคุมภายในได้ตามระดับความซับซ้อนของธุรกิจและการเปลี่ยนแปลงของสภาพแวดล้อมทางธุรกิจ ไม่ใช่ยึดติดกับการควบคุมภายในรูปแบบเดิมๆ และจัดการกับความเสี่ยงให้ลดลงมาอยู่ในระดับที่ยอมรับได้ และเกิดการปรับปรุงความน่าเชื่อถือของข้อมูลความเสี่ยงที่ใช้ประกอบการตัดสินใจ

นอกเหนือจากความพยายามให้ COSO 2013 ตอบโจทย์ของเงื่อนไขตาม SOX ของสหรัฐ และ J-SOX ของญี่ปุ่นแล้ว COSO 2013 ยังพิจารณาเงื่อนไขของการทำให้การควบคุมภายในเป็นองค์ประกอบที่ดีของการกำกับดูแลที่ดี ที่ใช้ได้ในประเทศอื่นๆทั่วโลกด้วย โดยการทบทวน COSO 1992 เริ่มมาตั้งแต่ 2010 และออกมาเป็นเกณฑ์ใหม่ในปี 2013 โดยรวบรวมผลสำรวจ ความคิดเห็นเข้ามาจากกลุ่มต่างๆทั่วโลกหลายองค์กร ควบคู่กับการทำการสำรวจเองทางออนไลน์ เพื่อรวบรวมปฐมภูมิเอง

เหตุผลที่มีการทบทวน COSO 1992

แม้ว่ากรอบแนวคิดและแนวทางการปฏิบัติของ COSO 1992 จะยังคงใช้ได้ ไม่ได้ไร้ประโยชน์เสียทั้งหมดแต่การปรับปรุงกรอบแนวคิดให้ดีขึ้น ก็เป็นสิ่งที่มีความจำเป็น จากความเปลี่ยนแปลงของสภาพการณ์ในช่วงกว่า 20 ปีที่ผ่านมา จากการที่เกิดเรื่องมากมายในสภาพแวดล้อมทางธุรกิจ จนทำให้เครื่องมือการควบคุมภายในเดิมๆ อาจจะใช้ไม่ได้ผล อีกทั้งกรอบแนวคิดของ COSO 2013 เป็นแบบกลางๆรวมๆ ไม่ได้แยกชัดออกมาเป็นหลักการที่มีความชัดเจน จึงควรปรับปรุงข้อความใหม่ให้ชัดเจน

การสำรวจของ COSO พบว่ามีการเปลี่ยนแปลงไปในหลายลักษณะ เช่น

(1) มีความคาดหวังว่า ผู้บริหารและคณะกรรมการบริษัทจะต้องกำกับกิจการในภาพองค์รวม (Oversight) เพิ่มมากขึ้น

(2) มีความสนใจจะตัดสินใจบน Risk-based Approach เพิ่มขึ้น

(3) มีการรวมตัวของโลกด้วยกระแส Globalization ผลกระทบและแนวโน้มจะไปในทิศทางเดียวกัน และส่งผลกระทบถึงกันทั้งโลก เป็น Mega Trend

(4) มีความซับซ้อนของสายธุรกิจที่หลากหลาย และยุ่งยากมากขึ้นในกิจการ

(5) มีการจัดโครงสร้างองค์กรที่มีความซับซ้อนเพิ่มขึ้น ขยาย Outsourcing ออกไปกว้างขวาง

(6) มีความก้าวหน้าทางเทคโนนิค

เหล่านี้ทำให้เกิดความต้องการแนวทางการกำกับกิจการด้วยการควบคุมภายในที่เข้มงวดขึ้น

นอกจากนั้น พฤติกรรมที่เกิดขึ้นจริงในตลาดเป็นพฤติกรรมที่แสดงว่ากิจการหลายกิจการ โดยเฉพาะสถาบันการเงินและนักลงทุนสถาบันยังคงเกิดความเสียหายจากผลการดำเนินงาน ประเด็นของการกำกับดูแลที่ดีและการควบคุมภายในที่ไร้ประสิทธิภาพ โดยเฉพาะในช่วงที่มีการขยายตัวของตลาด Securitization และตราสารอนุพันธ์ทางการเงิน การบริหารเงินทุนระยะยาว ตั้งแต่กรณีเอร่อนมาถึงยุดของ Sub-prime และวิกฤติการณ์หนี้สินในกลุ่มยูโรโซน

COSO มีโอกาสเอาบทเรียนที่เกิดจากวิกฤติการณ์เหล่านี้มาใช้

ในการประมวลผลของ

(1) การใช้อำนาจบริหารละเว้นระบบการควบคุมที่กำหนดไว้

(2) การเบี่ยงเบนที่เกิดจากความขัดแย้งและทับซ้อนกันของผลประโยชน์

(3) การขาดการกำหนดขอบเขตของอำนาจหน้าที่และการแบ่งแยกอำนาจและหน้าที่ให้ชัดเจน

(4) การดำเนินงานที่ขาดหรืออ่อนแอด้านความโปร่งใส

(5) การบริหารความเสี่ยงที่แยกและไม่ก้าวก่ายข้ามสายงานกัน

(6) บทบาทของคณะกรรมการบริษัทที่อ่อนและด้อยในการประมวลภาพและสถานะโดยรวม(Risk Oversight)

(7) การกำหนดโครงสร้างผลตอบแทน และระบบแรงจูงใจที่ไม่เหมาะสม

แม้ว่าโดยลำพังแล้ว การควบคุมภายในเพียงอย่างเดียวอาจจะไม่สามารถตอบโจทย์ และแก้ไขปัญหาเหล่านี้ได้โดยสิ้นเชิง แต่ก็ไม่อาจจะปฏิเสธได้ว่า หลายประเด็นก็สามารถยกมาเป็นประเด็นที่จะปรับปรุงกรอบแนวคิดจาก COSO 1992 ให้ดีขึ้นได้ อย่างน้อยก็ในหลักการสำคัญ ได้แก่

(1) การเพิ่มสมรรถนะเพื่อให้สามารถกำกับและควบคุมความเสี่ยงได้อย่างชาญฉลาดมากขึ้น

(2) การกำหนดให้ชัดเจนเกี่ยวกับความรับผิดชอบของเจ้าของภาระงานทุกระดับในองค์กร

(3) การเพิ่มความเข้มข้นและความพยายามในการป้องกันและตรวจจับให้พบการทุจริต

ประเด็นที่ยังคงยึดหลักการเดิม COSO 1992ไม่เปลี่ยนแปลง

มีหลักการหลายประการที่ผลการทบทวนกรอบแนวคิดของ COSO 2013 แล้วได้พบว่า หลักการแต่แรกที่วางไว้มีความถูกต้องและเหมาะสมดีอยู่แล้วตั้งแต่แรก และเป็นเสมือนสัจจะความจริงที่ยังไม่มีการเปลี่ยนแปลง เช่น

(1) นิยามของคำว่าการควบคุมภายใน

(2) องค์ประกอบ 5 ด้านของการควบคุมภายใน ที่รู้จักนามลูกบาศก์ 3 ด้าน

(3) การใช้ดุลยภาพ

นิยาม

การควบคุมภายใน คือ กระบวนการอย่างหนึ่ง ที่เกิดจากคณะกรรมการบริษัท ผู้บริหาร และบุคลากรทุกระดับภายในองค์กร ที่ร่วมกันในการออกแบบการกำกับและควบคุม ที่จะช่วยให้เกิดหลักประกันอย่างสมเหตุสมผลว่า จะช่วยให้กิจการบรรลุผลตามวัตถุประสงค์ในด้าน

(ก) การดำเนินงาน

(ข) การทำรายงาน

(ค) การกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์

ลูกเต๋า (ลูกบาศก์) 3 ด้าน

ด้านบนสุด	ประกอบด้วยวัตถุประสงค์ของการควบคุม 3 วัตถุประสงค์ คือ บรรลุผลด้านการดำเนินงาน ด้านการทำรายงาน (ทางการเงิน) และด้านการกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์
ด้านหน้า	ประกอบด้วยองค์ประกอบ 5 ด้านของการควบคุมภายใน ได้แก่ (1) สภาพแวดล้อมการควบคุม (2) การค้นหา ระบุ วิเคราะห์ความเสี่ยง (3) กิจกรรมการควบคุม (4) สารสนเทศและการสื่อสาร (5) กิจกรรมการติดตามและประเมินผล
ด้านข้าง	ระดับของวัตถุประสงค์ของการควบคุม มี 4 ระดับ (1) ระดับองค์กร (2) ระดับสายงาน (3) ระดับหน่วยปฏิบัติการ (4) ระดับภาระงาน

นอกจากนั้น เงื่อนไข (Criteria) ที่ใช้ในการค้นหาและระบุประสิทธิผลของระบบการควบคุมยังคงไม่เปลี่ยนแปลงเป็นส่วนใหญ่

การค้นหาและระบุประสิทธิผลของระบบการควบคุมภายใน ใช้

(1) หลักการที่กำหนด

(2) เปรียบเทียบองค์ประกอบทั้ง 5 ด้านว่ามีอยู่และสามารถใช้งาน ทำงานได้จริง รวมกัน ทั้ง 5องค์ประกอบอย่างเหมาะสมหรือไม่

(3) ผลในการกำกับให้การดำเนินงานเป็นไปตามวัตถุประสงค์ทางธุรกิจ

ในส่วนของการใช้ดุลยพินิจนั้น COSO 2013 เน้นความสำคัญของการพิจารณาและตัดสินใจของผู้บริหารในระหว่างที่มีการประเมิน ผลด้านประสิทธิผลของระบบการควบคุมภายใน หลังจากได้ผ่านการค้นหาและระบุประสิทธิผลของระบุการควบคุมภายใน และนำเสนอต่อผู้บริหารตัดสินใจ ซึ่งการตัดสินใจของผู้บริหารถือว่าเป็นการตัดสินใจด้วยดุลยพินิจ โดยเฉพาะในประเด็นว่ามาตรการควบคุมตามระบบการควบคุมนั้น ใช้ได้ผลหรือไม่ และมีสถานะที่จะให้หลักประกันที่สมเหตุสมผลว่าจะบรรลุวัตถุประสงค์หรือไม่

อย่างไรก็ตาม COSO 2013 ได้เพิ่มแนวทางในการแนะนำการใช้ดุลยพินิจของผู้บริหารให้มีความชัดเจนยิ่งขึ้น เพื่อให้ผู้บริหารแต่ละคนไปในทิศทางเดียวกันมากขึ้น

สิ่งที่เปลี่ยนแปลงไปใน COSO 2013

กรอบแนวคิดของ COSO 2013 มีความเปลี่ยนแปลงที่สำคัญหลายประการด้วยกัน ได้แก่

(1) การเพิ่มเติมหลักการเป็นประเด็นย่อยในองค์ประกอบ 5 ด้านของการควบคุมภายใน

หลักการย่อยที่แตกแยกออกมาเป็นเรื่องๆอย่างชัดเจนนี้มี 17 หลักการ เพื่อใช้เป็นรากฐานขององค์ประกอบ แต่ละองค์ประกอบใน 5 องค์ประกอบ ให้ผู้บริหารกิจการมีความเข้าใจดีขึ้น และดำเนินการได้ครบถ้วนทุกประเด็น โดยเป็นกรอบหลักการอย่างกว้าง

แต่ละหลักการที่วางใหม่ จะประกอบด้วย ประเด็นที่มุ่งเน้น (Point of focus) ที่ถือว่าเป็นคุณลักษณะสำคัญในแต่ละประเด็นของหลักการ เพื่อให้ผู้บริหารกิจการสามารถ

(ก) ออกแบบ

(ข) จัดวางให้เกิดการใช้งานการควบคุม

(ค) ดำเนินการควบคุมในงานประจำวัน

จนเกิดความมั่นใจว่าแต่ละหลักการได้มีการดำเนินการจริงและใช้งานได้ผล ผ่านการตรวจสอบ 77 ประเด็นที่มุ่งเน้นว่าได้ดำเนินการเรื่องใดไปแล้ว และประเด็นมุ่งเน้นใดที่สอดคล้องกับลักษณะธุรกิจของกิจการ

(2) การกำหนดอย่างชัดเจนด้านบทบาทของการกำหนดวัตถุประสงค์ด้านการควบคุมภายใน

ตาม COSO 1992 ระบุให้การกำหนดวัตถุประสงค์เป็นกระบวนการของผู้บริหาร และควรจะกำหนดวัตถุประสงค์ให้ชัดเจนก่อนเริ่มวางระบบการควบคุมภายใน

ส่วน COSO 2013 เห็นว่าในส่วนของมุมมองเชิงกระบวนการทัศน์ควรจะเปลี่ยนจากที่อยู่ในช่วงของการค้นหาระบุความเสี่ยง (Risk Assessment) เป็นการแยกวัตถุประสงค์ออกไปและมิได้ถือว่าเป็นส่วนหนึ่งของการควบคุมภายใน

(3) แนวคิดใหม่สะท้อนความสำคัญของเทคโนโลยีมากขึ้น

เนื่องจากปัจจุบันกิจการมีแนซโน้มที่จะพึ่งพาเทคโนโลยีเพิ่มขึ้น และในขอบเขตที่กว้างขวางมากขึ้น ทั้งในส่วนของสภาพแวดล้อม mainframe ที่บันทึกการทำธุรกรรมประจำวัน การกระจายอำนาจจากส่วนกลางการใช้อแบพิเคชั่นโมบาย ทำให้การทำกิจกรรมเป็นแบบ multiple real-time ที่ทำงานได้พร้อมกันหลายระบบ และข้ามองค์กร และข้ามกระบวนการ ซึ่งการมีเทคโนโลยีใหม่ๆที่ทันสมัยนี้ได้มีผลต่อวิธีการที่จะพัฒนาองค์ประกอบ 5 ด้านของการควบคุมภายใน

(4) แนวคิดใหม่เปิดเวทีในการหารือเกี่ยวกับแนวความคิดด้านการกำกับดูแล (Governance Concept)

เวทีส่วนนี้มุ่งที่คณะกรรมการบริษัท และคณะอนุกรรมการของคณะกรรมการบริษัท รวมทั้งคณะกรรมการตรวจสอบ คณะกรรมการกำกับดูแลที่ดี ที่ให้เกิดความเชื่อมโยงมาถึงระบบการควบคุมภายในที่มีประสิทธิผล

(5) แนวคิดใหม่มีการขยายวัตถุประสงค์รายงานออกเป็นหลายประเภท

จากเดิมที่ระบุเพียงรายงานทางการเงิน เป็นรายงานที่ต้องนำเสนอต่อภายนอก ที่นอกเหนือจากรายงานทางการเงิน รวมทั้งเพิ่มเติมส่วนของรายงานเพื่อใช้ภายในกิจการ ทั้งที่เป็นรายงานทางการเงินและไม่ใช่รายงานทางการเงิน

รายงานที่จะต้องวางมาตรการควบคุมจึงแยกเป็น 4 ส่วน

(ก) รายงานทางการเงินเพื่อใช้ภายในกิจการ

(ข) รายงานที่ไม่ใช่การเงินเพื่อใช้ในกิจการ

(ค) รายงานทางการเงินที่นำเสนอภายนอก

(ง) รายงานที่ไม่ใช่การเงินที่นำเสนอภายนอก

(6) แนวคิดใหม่ส่งเสริมให้มีการพิจารณา การคาดหมาย เพื่อต่อต้านการทุจริต

COSO 1992 พิจารณาการทุจริตอยู่แล้ว แม้ว่าจะมีการหารือกันเกี่ยวกับการคาดหมายเพื่อต่อต้านการทุจริต แต่ความสัมพันธ์ระหว่างการทุจริตกับการควบคุมภายในไม่ได้เด่นชัด

ใน COSO 2013 มีการบรรจุประเด็นให้มีการหารือมากขึ้น เกี่ยวกับทุจริต และยังพิจารณาสาเหตุที่เป็นไปได้ของการทุจริต เป็นหลักการแยกต่างหากในการควบคุมภายใน

(7) แนวคิดใหม่เพิ่มการมุ่งเน้นวัตถุประสงค์ของรายงานที่ไม่ใช่การเงิน

COSO 2013 เป็นการขยายและเพิ่มการมุ่งเน้นสู่วัตถุประสงค์ ด้าน (ก) การดำเนินงาน (ข) การกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์ และ (ค) รายงานที่ไม่ใช่ทางการเงิน ที่มีแนวพึงปฏิบัติที่ชัดเจนขึ้น

ประเด็นที่มีความสำคัญและเด่นชัดที่สุดในการเปลี่ยนแปลง

ประเด็นที่ถือว่าเป็นความเปลี่ยนแปลงที่มีนัยสำคัญที่สุดของ COSO 2013 คือ การแจกแจงหลักการ 17 หลักและประเด็นมุ่งเน้น 77 ประการ ที่แทรกเพิ่มเติมในองค์ประกอบแต่ละด้านของการควบคุมภายใน

การใช้หลักการ 17 ประการมิใช่เป็นเพียงการนำไปตรวจรายการหรือ Checklist แต่จะต้องนำไปใช้ในการค้นหาและระบุว่าระบบการควบคุมภายในมีประสิทธิผลหรือไม่ ผู้บริหารและคณะกรรมการจะสามารถพิจารณาได้ว่าหลักการในองค์ประกอบแต่ละด้านของ 5 องค์ประกอบมีอยู่ในกิจการและใช้ได้ผลจริงหรือไม่