อาจารย์ จิรพรสุเมธีประสิทธิ์<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
COSO ได้ตัดสินใจทบทวนกรอบแนวคิดและมาตรฐานการควบคุมภายในจาก เวอร์ชั่น 1992 เป็น เวอร์ชั่น 2013 หรือ COSO 2013 หลังจากที่พบว่าหน่วยงานกำกับดูแลที่สำคัญของสหรัฐได้ออกกฎหมายใหม่ด้านการกำกับดูแลที่ดี ชื่อ Sarbanes-Oxley2002 และยังมีการดัดแปลงไปเป็นเวอร์ชั่นญี่ปุ่นในชื่อย่อว่า J-SOX 2008 รวมทั้งการเกิดมาตรฐานใหม่ ISO 21000 ของ ISO ด้านการบริหารความเสี่ยง
COSO 2013 จึงเป็นพัฒนาการที่สำคัญ ที่มุ่งจะอำนวยความสะดวกและปูพื้นฐานให้กิจการต่างๆต้องทำการพัฒนาระบบการบริหารด้วย Cost-effective ด้านการควบคุมภายใน เพื่อนำกิจการสู่การบรรลุผลสำเร็จตามวัตถุประสงค์ และทำให้กิจการสามารถมีผลประกอบการที่ดีขึ้นอย่างยั่งยืน
ขณะเดียวกัน COSO 2013 คาดหวังที่จะให้กิจการต่างๆสามารถปรับระบบการควบคุมภายในได้ตามระดับความซับซ้อนของธุรกิจและการเปลี่ยนแปลงของสภาพแวดล้อมทางธุรกิจ ไม่ใช่ยึดติดกับการควบคุมภายในรูปแบบเดิมๆ และจัดการกับความเสี่ยงให้ลดลงมาอยู่ในระดับที่ยอมรับได้ และเกิดการปรับปรุงความน่าเชื่อถือของข้อมูลความเสี่ยงที่ใช้ประกอบการตัดสินใจ
นอกเหนือจากความพยายามให้ COSO 2013 ตอบโจทย์ของเงื่อนไขตาม SOX ของสหรัฐ และ J-SOX ของญี่ปุ่นแล้ว COSO 2013 ยังพิจารณาเงื่อนไขของการทำให้การควบคุมภายในเป็นองค์ประกอบที่ดีของการกำกับดูแลที่ดี ที่ใช้ได้ในประเทศอื่นๆทั่วโลกด้วย โดยการทบทวน COSO 1992 เริ่มมาตั้งแต่ 2010 และออกมาเป็นเกณฑ์ใหม่ในปี 2013 โดยรวบรวมผลสำรวจ ความคิดเห็นเข้ามาจากกลุ่มต่างๆทั่วโลกหลายองค์กร ควบคู่กับการทำการสำรวจเองทางออนไลน์ เพื่อรวบรวมปฐมภูมิเอง
เหตุผลที่มีการทบทวน COSO 1992
แม้ว่ากรอบแนวคิดและแนวทางการปฏิบัติของ COSO 1992 จะยังคงใช้ได้ ไม่ได้ไร้ประโยชน์เสียทั้งหมดแต่การปรับปรุงกรอบแนวคิดให้ดีขึ้น ก็เป็นสิ่งที่มีความจำเป็น จากความเปลี่ยนแปลงของสภาพการณ์ในช่วงกว่า 20 ปีที่ผ่านมา จากการที่เกิดเรื่องมากมายในสภาพแวดล้อมทางธุรกิจ จนทำให้เครื่องมือการควบคุมภายในเดิมๆ อาจจะใช้ไม่ได้ผล อีกทั้งกรอบแนวคิดของ COSO 2013 เป็นแบบกลางๆรวมๆ ไม่ได้แยกชัดออกมาเป็นหลักการที่มีความชัดเจน จึงควรปรับปรุงข้อความใหม่ให้ชัดเจน
การสำรวจของ COSO พบว่ามีการเปลี่ยนแปลงไปในหลายลักษณะ เช่น
(1)มีความคาดหวังว่า ผู้บริหารและคณะกรรมการบริษัทจะต้องกำกับกิจการในภาพองค์รวม (Oversight) เพิ่มมากขึ้น
(2)มีความสนใจจะตัดสินใจบน Risk-based Approach เพิ่มขึ้น
(3)มีการรวมตัวของโลกด้วยกระแส Globalization ผลกระทบและแนวโน้มจะไปในทิศทางเดียวกัน และส่งผลกระทบถึงกันทั้งโลก เป็น Mega Trend
(4)มีความซับซ้อนของสายธุรกิจที่หลากหลาย และยุ่งยากมากขึ้นในกิจการ
(5)มีการจัดโครงสร้างองค์กรที่มีความซับซ้อนเพิ่มขึ้น ขยาย Outsourcing ออกไปกว้างขวาง
(6)มีความก้าวหน้าทางเทคโนนิค
เหล่านี้ทำให้เกิดความต้องการแนวทางการกำกับกิจการด้วยการควบคุมภายในที่เข้มงวดขึ้น
นอกจากนั้น พฤติกรรมที่เกิดขึ้นจริงในตลาดเป็นพฤติกรรมที่แสดงว่ากิจการหลายกิจการ โดยเฉพาะสถาบันการเงินและนักลงทุนสถาบันยังคงเกิดความเสียหายจากผลการดำเนินงาน ประเด็นของการกำกับดูแลที่ดีและการควบคุมภายในที่ไร้ประสิทธิภาพ โดยเฉพาะในช่วงที่มีการขยายตัวของตลาด Securitization และตราสารอนุพันธ์ทางการเงิน การบริหารเงินทุนระยะยาว ตั้งแต่กรณีเอร่อนมาถึงยุดของ Sub-prime และวิกฤติการณ์หนี้สินในกลุ่มยูโรโซน
COSO มีโอกาสเอาบทเรียนที่เกิดจากวิกฤติการณ์เหล่านี้มาใช้
ในการประมวลผลของ
(1)การใช้อำนาจบริหารละเว้นระบบการควบคุมที่กำหนดไว้
(2)การเบี่ยงเบนที่เกิดจากความขัดแย้งและทับซ้อนกันของผลประโยชน์
(3)การขาดการกำหนดขอบเขตของอำนาจหน้าที่และการแบ่งแยกอำนาจและหน้าที่ให้ชัดเจน
(4)การดำเนินงานที่ขาดหรืออ่อนแอด้านความโปร่งใส
(5)การบริหารความเสี่ยงที่แยกและไม่ก้าวก่ายข้ามสายงานกัน
(6)บทบาทของคณะกรรมการบริษัทที่อ่อนและด้อยในการประมวลภาพและสถานะโดยรวม(Risk Oversight)
(7)การกำหนดโครงสร้างผลตอบแทน และระบบแรงจูงใจที่ไม่เหมาะสม
แม้ว่าโดยลำพังแล้ว การควบคุมภายในเพียงอย่างเดียวอาจจะไม่สามารถตอบโจทย์ และแก้ไขปัญหาเหล่านี้ได้โดยสิ้นเชิง แต่ก็ไม่อาจจะปฏิเสธได้ว่า หลายประเด็นก็สามารถยกมาเป็นประเด็นที่จะปรับปรุงกรอบแนวคิดจาก COSO 1992 ให้ดีขึ้นได้ อย่างน้อยก็ในหลักการสำคัญ ได้แก่
(1)การเพิ่มสมรรถนะเพื่อให้สามารถกำกับและควบคุมความเสี่ยงได้อย่างชาญฉลาดมากขึ้น
(2)การกำหนดให้ชัดเจนเกี่ยวกับความรับผิดชอบของเจ้าของภาระงานทุกระดับในองค์กร
(3)การเพิ่มความเข้มข้นและความพยายามในการป้องกันและตรวจจับให้พบการทุจริต
ประเด็นที่ยังคงยึดหลักการเดิม COSO 1992ไม่เปลี่ยนแปลง
มีหลักการหลายประการที่ผลการทบทวนกรอบแนวคิดของ COSO 2013 แล้วได้พบว่า หลักการแต่แรกที่วางไว้มีความถูกต้องและเหมาะสมดีอยู่แล้วตั้งแต่แรก และเป็นเสมือนสัจจะความจริงที่ยังไม่มีการเปลี่ยนแปลง เช่น
(1)นิยามของคำว่าการควบคุมภายใน
(2)องค์ประกอบ 5 ด้านของการควบคุมภายใน ที่รู้จักนามลูกบาศก์ 3 ด้าน
(3)การใช้ดุลยภาพ
นิยาม
การควบคุมภายใน คือ กระบวนการอย่างหนึ่ง ที่เกิดจากคณะกรรมการบริษัท ผู้บริหาร และบุคลากรทุกระดับภายในองค์กร ที่ร่วมกันในการออกแบบการกำกับและควบคุม ที่จะช่วยให้เกิดหลักประกันอย่างสมเหตุสมผลว่า จะช่วยให้กิจการบรรลุผลตามวัตถุประสงค์ในด้าน
(ก) การดำเนินงาน
(ข) การทำรายงาน
(ค) การกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์
ลูกเต๋า (ลูกบาศก์) 3 ด้าน
|
ด้านบนสุด |
ประกอบด้วยวัตถุประสงค์ของการควบคุม 3 วัตถุประสงค์ คือ บรรลุผลด้านการดำเนินงาน ด้านการทำรายงาน (ทางการเงิน) และด้านการกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์ |
|
ด้านหน้า |
ประกอบด้วยองค์ประกอบ 5 ด้านของการควบคุมภายใน ได้แก่ (1)สภาพแวดล้อมการควบคุม (2)การค้นหา ระบุ วิเคราะห์ความเสี่ยง (3)กิจกรรมการควบคุม (4)สารสนเทศและการสื่อสาร (5)กิจกรรมการติดตามและประเมินผล |
|
ด้านข้าง |
ระดับของวัตถุประสงค์ของการควบคุม มี 4 ระดับ (1)ระดับองค์กร (2)ระดับสายงาน (3)ระดับหน่วยปฏิบัติการ (4)ระดับภาระงาน |
นอกจากนั้น เงื่อนไข (Criteria) ที่ใช้ในการค้นหาและระบุประสิทธิผลของระบบการควบคุมยังคงไม่เปลี่ยนแปลงเป็นส่วนใหญ่
การค้นหาและระบุประสิทธิผลของระบบการควบคุมภายใน ใช้
(1)หลักการที่กำหนด
(2)เปรียบเทียบองค์ประกอบทั้ง 5 ด้านว่ามีอยู่และสามารถใช้งาน ทำงานได้จริง รวมกัน ทั้ง 5องค์ประกอบอย่างเหมาะสมหรือไม่
(3)ผลในการกำกับให้การดำเนินงานเป็นไปตามวัตถุประสงค์ทางธุรกิจ
ในส่วนของการใช้ดุลยพินิจนั้น COSO 2013 เน้นความสำคัญของการพิจารณาและตัดสินใจของผู้บริหารในระหว่างที่มีการประเมิน ผลด้านประสิทธิผลของระบบการควบคุมภายใน หลังจากได้ผ่านการค้นหาและระบุประสิทธิผลของระบุการควบคุมภายใน และนำเสนอต่อผู้บริหารตัดสินใจ ซึ่งการตัดสินใจของผู้บริหารถือว่าเป็นการตัดสินใจด้วยดุลยพินิจ โดยเฉพาะในประเด็นว่ามาตรการควบคุมตามระบบการควบคุมนั้น ใช้ได้ผลหรือไม่ และมีสถานะที่จะให้หลักประกันที่สมเหตุสมผลว่าจะบรรลุวัตถุประสงค์หรือไม่
อย่างไรก็ตาม COSO 2013 ได้เพิ่มแนวทางในการแนะนำการใช้ดุลยพินิจของผู้บริหารให้มีความชัดเจนยิ่งขึ้น เพื่อให้ผู้บริหารแต่ละคนไปในทิศทางเดียวกันมากขึ้น
สิ่งที่เปลี่ยนแปลงไปใน COSO 2013
กรอบแนวคิดของ COSO 2013 มีความเปลี่ยนแปลงที่สำคัญหลายประการด้วยกัน ได้แก่
(1)การเพิ่มเติมหลักการเป็นประเด็นย่อยในองค์ประกอบ 5 ด้านของการควบคุมภายใน
หลักการย่อยที่แตกแยกออกมาเป็นเรื่องๆอย่างชัดเจนนี้มี 17 หลักการ เพื่อใช้เป็นรากฐานขององค์ประกอบ แต่ละองค์ประกอบใน 5 องค์ประกอบ ให้ผู้บริหารกิจการมีความเข้าใจดีขึ้น และดำเนินการได้ครบถ้วนทุกประเด็น โดยเป็นกรอบหลักการอย่างกว้าง
แต่ละหลักการที่วางใหม่ จะประกอบด้วย ประเด็นที่มุ่งเน้น (Point of focus) ที่ถือว่าเป็นคุณลักษณะสำคัญในแต่ละประเด็นของหลักการ เพื่อให้ผู้บริหารกิจการสามารถ
(ก)ออกแบบ
(ข)จัดวางให้เกิดการใช้งานการควบคุม
(ค)ดำเนินการควบคุมในงานประจำวัน
จนเกิดความมั่นใจว่าแต่ละหลักการได้มีการดำเนินการจริงและใช้งานได้ผล ผ่านการตรวจสอบ 77 ประเด็นที่มุ่งเน้นว่าได้ดำเนินการเรื่องใดไปแล้ว และประเด็นมุ่งเน้นใดที่สอดคล้องกับลักษณะธุรกิจของกิจการ
(2)การกำหนดอย่างชัดเจนด้านบทบาทของการกำหนดวัตถุประสงค์ด้านการควบคุมภายใน
ตาม COSO 1992 ระบุให้การกำหนดวัตถุประสงค์เป็นกระบวนการของผู้บริหาร และควรจะกำหนดวัตถุประสงค์ให้ชัดเจนก่อนเริ่มวางระบบการควบคุมภายใน
ส่วน COSO 2013 เห็นว่าในส่วนของมุมมองเชิงกระบวนการทัศน์ควรจะเปลี่ยนจากที่อยู่ในช่วงของการค้นหาระบุความเสี่ยง (Risk Assessment) เป็นการแยกวัตถุประสงค์ออกไปและมิได้ถือว่าเป็นส่วนหนึ่งของการควบคุมภายใน
(3)แนวคิดใหม่สะท้อนความสำคัญของเทคโนโลยีมากขึ้น
เนื่องจากปัจจุบันกิจการมีแนซโน้มที่จะพึ่งพาเทคโนโลยีเพิ่มขึ้น และในขอบเขตที่กว้างขวางมากขึ้น ทั้งในส่วนของสภาพแวดล้อม mainframe ที่บันทึกการทำธุรกรรมประจำวัน การกระจายอำนาจจากส่วนกลางการใช้อแบพิเคชั่นโมบาย ทำให้การทำกิจกรรมเป็นแบบ multiple real-time ที่ทำงานได้พร้อมกันหลายระบบ และข้ามองค์กร และข้ามกระบวนการ ซึ่งการมีเทคโนโลยีใหม่ๆที่ทันสมัยนี้ได้มีผลต่อวิธีการที่จะพัฒนาองค์ประกอบ 5 ด้านของการควบคุมภายใน
(4)แนวคิดใหม่เปิดเวทีในการหารือเกี่ยวกับแนวความคิดด้านการกำกับดูแล (Governance Concept)
เวทีส่วนนี้มุ่งที่คณะกรรมการบริษัท และคณะอนุกรรมการของคณะกรรมการบริษัท รวมทั้งคณะกรรมการตรวจสอบ คณะกรรมการกำกับดูแลที่ดี ที่ให้เกิดความเชื่อมโยงมาถึงระบบการควบคุมภายในที่มีประสิทธิผล
(5)แนวคิดใหม่มีการขยายวัตถุประสงค์รายงานออกเป็นหลายประเภท
จากเดิมที่ระบุเพียงรายงานทางการเงิน เป็นรายงานที่ต้องนำเสนอต่อภายนอก ที่นอกเหนือจากรายงานทางการเงิน รวมทั้งเพิ่มเติมส่วนของรายงานเพื่อใช้ภายในกิจการ ทั้งที่เป็นรายงานทางการเงินและไม่ใช่รายงานทางการเงิน
รายงานที่จะต้องวางมาตรการควบคุมจึงแยกเป็น 4 ส่วน
(ก)รายงานทางการเงินเพื่อใช้ภายในกิจการ
(ข)รายงานที่ไม่ใช่การเงินเพื่อใช้ในกิจการ
(ค)รายงานทางการเงินที่นำเสนอภายนอก
(ง)รายงานที่ไม่ใช่การเงินที่นำเสนอภายนอก
(6)แนวคิดใหม่ส่งเสริมให้มีการพิจารณา การคาดหมาย เพื่อต่อต้านการทุจริต
COSO 1992 พิจารณาการทุจริตอยู่แล้ว แม้ว่าจะมีการหารือกันเกี่ยวกับการคาดหมายเพื่อต่อต้านการทุจริต แต่ความสัมพันธ์ระหว่างการทุจริตกับการควบคุมภายในไม่ได้เด่นชัด
ใน COSO 2013 มีการบรรจุประเด็นให้มีการหารือมากขึ้น เกี่ยวกับทุจริต และยังพิจารณาสาเหตุที่เป็นไปได้ของการทุจริต เป็นหลักการแยกต่างหากในการควบคุมภายใน
(7)แนวคิดใหม่เพิ่มการมุ่งเน้นวัตถุประสงค์ของรายงานที่ไม่ใช่การเงิน
COSO 2013 เป็นการขยายและเพิ่มการมุ่งเน้นสู่วัตถุประสงค์ ด้าน (ก) การดำเนินงาน (ข) การกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์ และ (ค) รายงานที่ไม่ใช่ทางการเงิน ที่มีแนวพึงปฏิบัติที่ชัดเจนขึ้น
ประเด็นที่มีความสำคัญและเด่นชัดที่สุดในการเปลี่ยนแปลง
ประเด็นที่ถือว่าเป็นความเปลี่ยนแปลงที่มีนัยสำคัญที่สุดของ COSO 2013 คือ การแจกแจงหลักการ 17 หลักและประเด็นมุ่งเน้น 77 ประการ ที่แทรกเพิ่มเติมในองค์ประกอบแต่ละด้านของการควบคุมภายใน
การใช้หลักการ 17 ประการมิใช่เป็นเพียงการนำไปตรวจรายการหรือ Checklist แต่จะต้องนำไปใช้ในการค้นหาและระบุว่าระบบการควบคุมภายในมีประสิทธิผลหรือไม่ ผู้บริหารและคณะกรรมการจะสามารถพิจารณาได้ว่าหลักการในองค์ประกอบแต่ละด้านของ 5 องค์ประกอบมีอยู่ในกิจการและใช้ได้ผลจริงหรือไม่
