แนวปฏิบัติ
ระบบการควบคุมภายในภาคราชการ
โดยสุพจน์ กล้าหาญ
คำนำ
ภายใต้สภาวะแวดล้อมในยุคโลกาภิวัฒน์ การเปลี่ยนแปลงด้านเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็ว ตลอดจนการปฏิรูประบบราชการในปัจจุบัน ทำให้ทุกหน่วยงานทั้งภาคเอกชน ราชการและรัฐวิสาหกิจ ต้องมีการปรับตัวและกำหนดกลยุทธ์ในการทำงานใหม่ รวมทั้งจัดหาเครื่องมือทางด้านการจัดการเข้ามาช่วยในการบริหารงานมากขึ้น ระบบการควบคุมภายใน เป็นเครื่องมือด้านการจัดการประเภทหนึ่งที่ถูกนำมาช่วยในการบริหารงาน และเป็นกลไกพื้นฐานสำคัญของกระบวนการกำกับดูแลการดำเนินกิจกรรมต่าง ๆ ในหน่วยงาน เพื่อให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ เนื่องจากระบบการควบคุมภายในเป็นเครื่องมือที่ช่วยในการป้องกันและรักษาทรัพย์สินของหน่วยงาน ช่วยให้การใช้ทรัพยากรของหน่วยงานเป็นไปอย่างมีประสิทธิภาพ และช่วยให้การปฏิบัติงานในขั้นตอนต่าง ๆ เป็นไปอย่างถูกต้อง เหมาะสม โดยเฉพาะอย่างยิ่งในสถานการณ์ที่เต็มไปด้วยการแข่งขันในปัจจุบัน หากหน่วยงานต่าง ๆ ไม่มีการจัดการที่ดี หรือไม่มีการกำกับดูแลที่ดี ( Good Governance ) ไม่มีระบบการควบคุมภายในที่เหมาะสม โอกาสเสี่ยงที่อาจเกิดความผิดพลาดในการดำเนินงานของหน่วยงานจะมีมาก ดังจะเห็นได้จากสถานการณ์ต่าง ๆ ที่เกิดขึ้น มีหลายกิจการไม่ว่าจะเป็นสถาบันการเงิน สถานประกอบการ และธุรกิจต่าง ๆ หรือแม้รัฐวิสาหกิจบางแห่งเกิดการรั่วไหล หรือเกิดวิกฤตการณ์ทางการเงิน ซึ่งรวมถึงการล้มละลายของกิจการ สาเหตุสำคัญประการหนึ่งก็คือขาดระบบการควบคุมภายในที่ดี ขาดการประเมินความเสี่ยงและจัดกิจกรรมควบคุมความเสี่ยงให้อยู่ในระดับที่เหมาะสม ตลอดจนการไม่สามารถตรวจพบข้อผิดพลาด ซึ่งเหตุการณ์เหล่านั้นล้วนไม่เป็นผลดีต่อหน่วยงาน ดังนั้น ผู้บริหารระดับสูงซึ่งมีหน้าที่รับผิดชอบในการกำหนดนโยบายและมาตรการการควบคุมของหน่วยงาน จึงควรจัดให้มีระบบการควบคุมภายในที่เหมาะสม ตามระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วยการกำหนดมาตรฐานการควบคุมภายใน พ.ศ. 2544 รวมทั้งเจ้าหน้าที่ทุกระดับในหน่วยงาน ควรให้ความร่วมมือและสนับสนุนปฏิบัติตามระบบการควบคุมภายในของหน่วยงานที่กำหนดขึ้น และพัฒนาให้ระบบการควบคุมภายในดังกล่าวทันสมัยอยู่เสมอ
เพื่อให้หน่วยงานของทางราชการมีแนวทางในการกำหนดระบบการควบคุมภายในของตนให้เป็นไปอย่างมีประสิทธิภาพและเหมาะสมกับการปฏิบัติงานในหน่วยงานจึงได้กำหนดแนวปฏิบัติการควบคุมภายในสำหรับภาคราชการขึ้นโดยหวังว่าจะเป็นประโยชน์สำหรับหน่วยงานต่าง ๆ ในการนำไปประยุกต์ใช้ในการจัดวางระบบการควบคุมภายใน อันจะเป็นการช่วยให้การบริหารหรือการจัดการของหน่วยงานเป็นไปอย่างมีประสิทธิภาพและประสิทธิผลยิ่งขึ้น
แนวปฏิบัติระบบการควบคุมภายในภาคราชการนี้ ได้กำหนดขึ้นโดยประยุกต์จากระบบการควบคุมภายในของ The Committee of Sponsoring Organization of the Treadway Commission ( COSO ) ซึ่งเป็นระบบการควบคุมภายในที่ครอบคลุมถึงองค์ประกอบต่าง ๆ ในการบริหารงานและเป็นที่ยอมรับกันโดยทั่วไป รวมทั้งศึกษาแนวคิดจากผู้เชี่ยวชาญและเอกสารทางวิชาการต่าง ๆ ที่เกี่ยวกับการควบคุมภายใน อย่างไรก็ตาม ตัวอย่างกิจกรรมการควบคุมในแนวปฏิบัติที่กำหนดขึ้นเป็นเพียงตัวอย่างกิจกรรมหลัก ๆ ซึ่งไม่ใช่กิจกรรมทั้งหมดที่ภาคราชการมีอยู่ ดังนั้น แต่ละส่วนราชการซึ่งมีกิจกรรมการดำเนินงานหลากหลายแตกต่างกัน สามารถนำไปประยุกต์และกำหนดระบบการควบคุมภายในของหน่วยงานให้เหมาะสมต่อไป
สารบัญ
หน้า
ส่วนที่ 1 ความรู้พื้นฐานเกี่ยวกับระบบการควบคุมภายใน 1
· ความทั่วไป 3
· ความหมาย 4
· วัตถุประสงค์ 5
· องค์ประกอบการควบคุมภายใน 6
1. สภาพแวดล้อมการควบคุม 6
2. การประเมินความเสี่ยง 10
3. กิจกรรมการควบคุม 16
4. สารสนเทศและการสื่อสาร 19
5. การติดตามและประเมินผล 21
· ปัจจัยสำคัญที่ทำให้ระบบการควบคุมภายในของหน่วยงาน
ประสบความสำเร็จ 24
· ประโยชน์ที่ได้รับ 25
· ข้อจำกัดของระบบการควบคุมภายใน 25
ส่วนที่ 2 ตัวอย่างแนวปฏิบัติการจัดระบบการควบคุมภายใน 27
1. การควบคุมภายในด้านการจัดการ 30
2. การควบคุมภายในด้านงบประมาณ 36
3. การควบคุมภายในด้านการบริหารทรัพยากรบุคคล 41
4. การควบคุมภายในด้านทรัพย์สิน 47
5. การควบคุมภายในด้านการผลิตสินค้า 52
6. การควบคุมภายในด้านการขายและบริการ 62
7. การควบคุมภายในด้านการเงิน 67
8. การควบคุมภายในด้านลูกหนี้ 72
9. การควบคุมภายในด้านเจ้าหนี้ 75
หน้า
10. การควบคุมภายในด้านการปฏิบัติตามกฎหมาย
ระเบียบ และข้อบังคับ 78
11. การควบคุมภายในด้านเทคโนโลยีสารสนเทศ ( IT ) 80
บทสรุป 93
ภาคผนวก 95
· ระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วยการกำหนด
มาตรฐานการควบคุมภายใน พ.ศ. 2544 97
· ระเบียบสำนักนายกรัฐมนตรีว่าด้วยการสร้างระบบบริหาร
กิจการบ้านเมือง และสังคมที่ดี พ.ศ. 2542 107
· รายชื่อคณะกรรมการและที่ปรึกษาคณะกรรมการ
ร่างแนวปฏิบัติการควบคุมภายในภาคราชการ 113
บรรณานุกรม 115
ส่วนที่ 1
ความรู้พื้นฐานเกี่ยวกับระบบการควบคุมภายใน
ความทั่วไป
ระบบการควบคุมภายใน เป็นกลไกที่สำคัญและเป็นเครื่องมือในการบริหารงานในหน่วยงาน ไม่ว่าจะเป็นการจัดการในภาครัฐหรือเอกชนทั้งขนาดเล็กและขนาดใหญ่ ระบบการควบคุมภายในจะช่วยควบคุมหรือลดความเสี่ยงของหน่วยงานให้อยู่ในระดับที่ยอมรับได้ ซึ่งจะทำให้การปฏิบัติงานและการจัดการของหน่วยงานบรรลุตามวัตถุประสงค์ในอดีตที่ผ่านมาการบริหารงานของหน่วยงานภาครัฐ ได้มีการควบคุมภายในตามที่กระทรวงการคลังประกาศให้ใช้เป็นเรื่อง ๆ ไป ซึ่งอาจอยู่ในรูปของกฎหมาย ระเบียบ ระบบบัญชี หนังสือสั่งการ และหนังสือตอบข้อหารือต่าง ๆ โดยส่วนใหญ่จะเน้นไปที่การควบคุมด้านการเงินและบัญชี และการปฏิบัติให้ถูกต้องตามระเบียบหรือกฎเกณฑ์ที่ทางราชการกำหนดไว้ ซึ่งไม่ครอบคลุมถึงการจัดการด้านอื่น ๆ นอกเหนือจากด้านการเงินและบัญชีในหน่วยงาน จึงไม่สามารถสะท้อนภาพถึงผลการดำเนินงานในภาพรวมของหน่วยงานได้ ระบบการควบคุมภายในที่ดี ควรเป็นระบบการควบคุมที่ครอบคลุมงานทุกด้านและสามารถสะท้อนภาพให้เห็นเป็นองค์รวมของหน่วยงานนั้น ๆ ว่ามีการดำเนินงานที่มีประสิทธิภาพและประสิทธิผลหรือไม่ เพียงใด การที่ระบบการควบคุมภายในของรัฐยังไม่ครอบคลุม ทุกระบบงาน อาจเป็นช่องทางรั่วไหลทำให้เกิดความเสียหายในหน่วยงาน และการ ดำเนินงานไม่สัมฤทธิ์ผล ทั้งนี้ จากประสบการณ์ในภาครัฐ สาเหตุส่วนหนึ่งเกิดจากการกำหนดหน้าที่และมอบหมายงานในหน่วยงานไม่เหมาะสม การมอบหมายการปฏิบัติงานทั้งกระบวนการให้บุคคลใดบุคคลหนึ่งเพียงคนเดียว การควบคุมสอบทานและการตรวจสอบยังไม่มีประสิทธิภาพเพียงพอ ตลอดจนขาดการประเมินและการบริหารความเสี่ยง
จากเหตุผลและความจำเป็นดังกล่าวข้างต้น ผู้เขียนเองเป็นเจ้าภาพหลักในการดำเนินการจัดทำระบบควบคุมภายประจำส่วนราชการ จึงได้กำหนดแนวปฏิบัติเกี่ยวกับระบบการควบคุมภายในสำหรับหน่วยงานต่าง ๆ ในภาคราชการโดยประยุกต์ตามระบบการควบคุมภายในของ The Committee of Sponsoring Organizations of the Treadway Commission ( COSO ) ซึ่งเห็นว่าจะเอื้อประโยชน์ต่อการบริหารงานในแต่ละหน่วยงาน อันจะเป็นผลให้การใช้ทรัพยากรของรัฐเป็นไปอย่างมีประสิทธิภาพและสมประโยชน์ยิ่งขึ้น
ความหมาย
มีการกำหนดคำนิยามของ “ การควบคุมภายใน ” ไว้หลายแห่ง เช่น
The Committee of Sponsoring Organizations of the Treadway Commission ( COSO ) ให้ความหมายหรือคำนิยาม “ การควบคุมภายใน ” ไว้ดังนี้
“ Internal Control is a process , effected by an entity’s board of directors , management and other personnel , designed to provide reasonable assurance regarding the achievement of objectives in the following categories :
· Effectiveness and efficiency of operations
· Reliability of financial reporting
· Compliance with applicable laws and regulations ”
แปลความได้ว่า
“ การควบคุมภายใน หมายถึง กระบวนการที่คณะผู้บริหารและบุคลากรในองค์กรกำหนดขึ้น ซึ่งเป็นการออกแบบในระดับที่สมเหตุสมผลเพื่อให้เกิดความเชื่อมั่นในการบรรลุวัตถุประสงค์ในเรื่องดังต่อไปนี้
· ความมีประสิทธิภาพและประสิทธิผลของการดำเนินงาน
· ความเชื่อถือได้ของข้อมูลและรายงานทางการเงิน
· การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ ”
The Canadian Institutes of Chartered Accountants ( CICA ) ให้ความหมายหรือคำนิยาม “ การควบคุมภายใน ” ไว้เช่นกันดังนี้ คือ
“ Control comprises those elements of an organization ( including its resources , systems , culture , structure and tasks ) that taken together support people in the achievement of the organizations objectives ”
แปลความได้ว่า
“ การควบคุมภายใน ประกอบด้วย องค์ประกอบต่าง ๆ ขององค์กรรวมกัน ( รวมทั้งทรัพยากร ระบบ วัฒนธรรม โครงสร้าง และงานต่าง ๆ ) ซึ่งสนับสนุนให้บุคลากรสามารถปฏิบัติงานได้สำเร็จบรรลุวัตถุประสงค์ขององค์กรที่กำหนดไว้ ”
มาตรฐานการสอบบัญชีรหัส 400 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย ได้ให้ความหมายหรือคำนิยาม “ ระบบการควบคุมภายใน ” ไว้ดังนี้
“ ระบบการควบคุมภายใน ” หมายถึง “ นโยบายและวิธีการปฏิบัติ (การควบคุมภายใน) ซึ่งผู้บริหารของกิจการกำหนดขึ้น เพื่อช่วยให้บรรลุวัตถุประสงค์ของผู้บริหารที่จะให้เกิดความมั่นใจเท่าที่จะสามารถทำได้ว่าการดำเนินธุรกิจเป็นไปอย่างมีระเบียบและมีประสิทธิภาพ ซึ่งรวมถึงการปฏิบัติตามนโยบายของผู้บริหาร การป้องกันรักษาทรัพย์สิน การป้องกันและการตรวจพบทุจริตและข้อผิดพลาด ความถูกต้องและครบถ้วนของการบันทึกบัญชี และการจัดทำข้อมูลทางการเงินที่เชื่อถือได้อย่างทันเวลา นอกเหนือจากเรื่องที่เกี่ยวข้องโดยตรงกับงานของระบบบัญชีแล้ว ระบบการควบคุมภายในยังครอบคลุมถึง สภาพแวดล้อมของการควบคุม และวิธีการควบคุม ……………..”
สำหรับความหมายของ การควบคุมภายใน ในแนวปฏิบัตินี้ หมายถึง ระบบการควบคุมกระบวนการในการปฏิบัติงานที่คณะผู้บริหารและบุคลากรในหน่วยงานร่วมกันกำหนดขึ้น เพื่อสร้างความมั่นใจในระดับที่สมเหตุสมผลว่าการบริหารและการปฏิบัติงานจะสามารถบรรลุเป้าหมาย และให้เกิดผลลัพธ์ของการดำเนินงานที่มีประสิทธิภาพและประสิทธิผล ซึ่งครอบคลุมถึงกระบวนการในการจัดการ วิธีการ หรือเครื่องมือต่าง ๆ ที่เกี่ยวข้องกับการจัดองค์กร
วัตถุประสงค์
วัตถุประสงค์ของระบบการควบคุมภายใน มีดังนี้
1. เพื่อให้การปฏิบัติงานเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล ทำให้การใช้ทรัพยากรเป็นไปอย่างประหยัดและคุ้มค่า โดยลดขั้นตอนการปฏิบัติงานที่ซ้ำซ้อนหรือไม่จำเป็น ลดความเสี่ยงหรือผลเสียหายด้านการเงินหรือด้านอื่น ๆ ที่อาจมีขึ้นในหน่วยงาน ซึ่งจะช่วยลดต้นทุนการดำเนินงานแก่หน่วยงานในที่สุด
2. เพื่อให้มีข้อมูลและรายงานทางการเงินที่ถูกต้องครบถ้วนและเชื่อถือได้ สร้างความมั่นใจแก่ผู้บริหารในการตัดสินใจเกี่ยวกับการบริหารและการปฏิบัติงาน และบุคคลภายนอกที่เกี่ยวข้อง
3. เพื่อให้บุคลากรมีการปฏิบัติตามนโยบาย กฎหมาย เงื่อนไขสัญญา ข้อตกลง ระเบียบข้อบังคับต่าง ๆ ของหน่วยงานอย่างถูกต้องและครบถ้วน
องค์ประกอบการควบคุมภายใน
การควบคุมภายใน มีองค์ประกอบ 5 ส่วน ดังนี้
1. สภาพแวดล้อมการควบคุม ( Control Environment )
2. การประเมินความเสี่ยง ( Risk Assessment )
3. กิจกรรมการควบคุม ( Control Activities )
4. สารสนเทศและการสื่อสาร ( Information and Communication )
5. การติดตามและประเมินผล ( Monitoring and Evaluation )
1. สภาพแวดล้อมการควบคุม
สภาพแวดล้อมการควบคุม หมายถึง สภาวการณ์หรือปัจจัยต่าง ๆ ที่ส่งผลให้เกิดระบบการควบคุมในหน่วยงาน ในการดำเนินงานจะมีหลายปัจจัยที่ส่งผลให้เกิดมาตรการการควบคุมภายในขึ้นในหน่วยงาน ซึ่งฝ่ายบริหารจะมีอิทธิพลสำคัญต่อการสร้างบรรยากาศและสภาพแวดล้อมการควบคุมภายในในหน่วยงาน เช่น จริยธรรมของการทำงาน ความซื่อสัตย์ ความไว้ใจได้ ความโปร่งใส และการมีภาวะผู้นำที่ดี ซึ่งรวมทั้งการกำหนดนโยบาย โครงสร้าง และระเบียบวิธีปฏิบัติที่เหมาะสม สำหรับตัวอย่างสภาพแวดล้อมการควบคุมในหน่วยงาน เช่น
1.1 ปรัชญาและลักษณะการทำงานของผู้บริหาร
ปรัชญาและลักษณะการทำงานของผู้บริหารแต่ละบุคคลย่อมแตกต่างกัน และจะเป็นปัจจัยที่ส่งผลถึงการกำหนดระบบการควบคุมภายในของหน่วยงาน เพราะผู้บริหารมีหน้าที่ในการกำหนดนโยบาย มาตรการ และระบบการควบคุมภายใน แต่อย่างไรก็ตาม ผู้บริหารต้องรับผิดชอบในการเลือกปรัชญาและวิธีการทำงานที่เหมาะสมกับสถานการณ์รวมทั้งรับผิดชอบต่อผลที่เกิดขึ้น ผู้บริหารสามารถส่งเสริมและสนับสนุนให้เกิดสภาพแวดล้อมการควบคุมที่ดี โดยดำเนินการ ดังนี้
(1) กำหนดนโยบายและกลยุทธ์การดำเนินงาน มาตรฐาน และแนวทางการปฏิบัติงานเป็นลายลักษณ์อักษรให้ชัดเจน และแจ้งให้บุคลากรทุกคนในหน่วยงานทราบ
(2) กำหนดโครงสร้างการจัดหน่วยงานให้เหมาะสม มีสายการ บังคับบัญชา และความสัมพันธ์ระหว่างหน่วยงานภายในที่ชัดเจน รวมทั้งมอบหมายอำนาจหน้าที่และความรับผิดชอบให้แก่บุคลากรในแต่ละตำแหน่งอย่างเหมาะสม
(3) กำหนดคุณลักษณะงานเฉพาะตำแหน่ง ( Job Description ) ของบุคลากรทุกตำแหน่งหน้าที่ และระดับของความรู้ ความสามารถ และทักษะที่จำเป็นต้องใช้ในแต่ละงานอย่างชัดเจน
(4) กำหนดให้มีนโยบายและแนวทางการปฏิบัติงานด้านการบริหารบุคลากร ตลอดจนการประเมินผลการปฏิบัติงานของบุคลากรอย่างชัดเจน และเป็นธรรม รวมทั้งกำหนดบทลงโทษทางวินัยให้ชัดเจน
(5) กำหนดให้มีคณะกรรมการบริหาร คณะกรรมการตรวจสอบ ( Audit Committee ) และหน่วยตรวจสอบภายใน
1.2 ความซื่อสัตย์และจริยธรรมในการบริหารและการปฏิบัติงาน
การบริหารและการปฏิบัติงานด้วยความซื่อสัตย์และมีจริยธรรม เป็นสิ่งที่มีความสำคัญอย่างยิ่ง ทั้งสองประการนี้ เป็นสิ่งที่ต้องสนับสนุนส่งเสริมให้เกิดขึ้น โดยการประชาสัมพันธ์ ฝึกอบรม หรือกำหนดสิ่งจูงใจ และผู้บริหารต้องเป็นตัวอย่างของเจ้าหน้าที่ในหน่วยงาน ทั้งนี้ ผู้บริหารต้องมีการสื่อสารให้เจ้าหน้าที่ทุกคนในหน่วยงานรับทราบ และตระหนักถึงคุณค่าในการปฏิบัติหน้าที่ด้วยความซื่อสัตย์และมีจริยธรรม จนเป็นบรรทัดฐานหรือข้อตกลงร่วมกันที่ให้หน่วยงานถือปฏิบัติ เพราะความซื่อสัตย์และจริยธรรมเป็นปัจจัยพื้นฐานสำคัญของสภาพแวดล้อมการควบคุม โดยผู้บริหารควรดำเนินการ ดังนี้
(1) กำหนดนโยบาย มาตรฐานการปฏิบัติงานให้ชัดเจน และ ทำตัวให้เป็นตัวอย่างอย่างสม่ำเสมอ ทั้งโดยคำพูดและการกระทำ
(2) สื่อสารและแจ้งให้เจ้าหน้าที่ทุกคนได้รับทราบ ตลอดจนเข้าใจในหลักการของจริยธรรมดังกล่าว
(3) จัดทำข้อกำหนดจริยธรรมหรือแนวทางที่พึงปฏิบัติของหน่วยงานไว้ให้ชัดเจน โดยรวมถึงกรณีต่าง ๆ ที่เกี่ยวข้องกับความขัดแย้งทางผลประโยชน์ด้วย
(4) ลดวิธีการหรือโอกาสที่จะจูงใจให้เกิดการกระทำผิด
ความซื่อสัตย์และจริยธรรมเป็นปัจจัยเบื้องต้นที่สำคัญ ซึ่งจะส่งผลถึงการจัดโครงสร้างของหน่วยงาน การจัดการและการติดตามประเมินผลองค์ประกอบของระบบการควบคุมภายในอื่น ๆ ด้วย
1.3 โครงสร้างของหน่วยงาน
โครงสร้างของหน่วยงานที่ได้รับการจัดไว้เป็นอย่างดี จะเป็นพื้นฐานสำคัญที่ทำให้ผู้บริหารสามารถวางแผนงาน สั่งการ และควบคุมการปฏิบัติงานได้ถูกต้อง รวดเร็ว และมีประสิทธิภาพ โดยการจัดโครงสร้างของหน่วยงานให้เหมาะสมกับลักษณะของกิจกรรมของหน่วยงานนั้น ๆ เช่น
(1) การรวมศูนย์อำนาจหรือกระจายศูนย์อำนาจการตัดสินใจในระดับต่าง ๆ หากกิจการเลือกใช้การรวมศูนย์อำนาจในการตัดสินใจ คุณสมบัติเฉพาะตัวของผู้ได้รับอำนาจย่อมมีความสำคัญ กรณีวิธีกระจายศูนย์อำนาจการตัดสินใจ ระบบและขั้นตอนการทำงาน รวมถึงกระบวนการในการติดตามผล ก็จะมีความสำคัญมากกว่าคุณสมบัติของตัวบุคคล
(2) การจัดโครงสร้างของหน่วยงานที่มีการผลิตโดยเครื่องจักร อาจใช้โครงสร้างและการควบคุมที่เป็นระเบียบแบบแผนแน่นอน แต่โครงสร้างที่มีรูปแบบแน่นอน อาจไม่เหมาะสมกับกิจกรรมการบริการหรืองานที่เกี่ยวกับการค้นคว้าวิจัยทางวิชาการ เป็นต้น
(3) การมอบอำนาจต้องให้เหมาะสมกับหน้าที่ความรับผิดชอบในการปฏิบัติงาน และต้องชัดเจน
1.4 นโยบายการบริหารและการพัฒนาด้านบุคลากร
ปัจจัยสำคัญที่ช่วยให้ระบบการควบคุมภายในมีประสิทธิภาพ คือบุคลากรในหน่วยงานนั่นเองที่เป็นตัวจักรสำคัญ ดังนั้น การมีนโยบายและระบบการบริหารบุคลากรที่ชัดเจนและเหมาะสม จะช่วยให้ระบบการควบคุมภายในมีประสิทธิภาพและประสิทธิผลยิ่งขึ้น เช่น
(1) กำหนดหลักเกณฑ์ที่ชัดเจนเกี่ยวกับการว่าจ้าง การพัฒนา การประเมินผลการปฏิบัติงาน การเลื่อนขั้น เลื่อนตำแหน่ง รวมทั้งการจ่ายค่าตอบแทนและผลประโยชน์อื่น
(2) กำหนดคุณสมบัติและลักษณะงาน ( Job Description ) ของเจ้าหน้าที่ในแต่ละตำแหน่งให้ชัดเจน เพื่อใช้เป็นแนวทางสำหรับการปฏิบัติงาน
(3) กำหนดมาตรการเกี่ยวกับการประกันความซื่อสัตย์ของพนักงาน
(4) มีระบบการฝึกอบรมอย่างต่อเนื่อง และติดตามผลการปฏิบัติงาน อย่างเป็นระบบและสม่ำเสมอ
(5) กำหนดแนวปฏิบัติกรณีที่มีการขัดแย้งของผลประโยชน์ ( Conflict of Interest ) ต่อหน่วยงาน
1.5 การกำหนดอำนาจหน้าที่ความรับผิดชอบ
การกำหนดอำนาจหน้าที่ความรับผิดชอบของบุคลากรในหน่วยงาน เป็นปัจจัยสำคัญที่ส่งผลต่อประสิทธิภาพของการควบคุมภายใน ดังนั้น ผู้บริหารควรกำหนดอำนาจหน้าที่ความรับผิดชอบของบุคลากรแต่ละตำแหน่งให้ชัดเจน ดังนี้
(1) กำหนดหน้าที่ความรับผิดชอบในแต่ละตำแหน่งให้ชัดเจน โดยคำนึงถึงการกระจายอำนาจและระบบการสอบยันความถูกต้องระหว่างกัน
(2) กำหนดคู่มือปฏิบัติงานตามหน้าที่ความรับผิดชอบ
(3) กำหนดระบบการติดตามประเมินผล ซึ่งรวมถึงการจัดทำแผนงาน และระบบการรายงานผลงานอย่างสม่ำเสมอ
1.6 คณะกรรมการตรวจสอบและการตรวจสอบภายใน
คณะกรรมการตรวจสอบและการตรวจสอบภายในเป็นกลไกและ เครื่องมือชนิดหนึ่งในการช่วยตรวจสอบและสอบทานงานให้เป็นไปตามแผนงานที่ฝ่ายบริหารวางไว้ คณะกรรมการตรวจสอบที่มีความรู้ความสามารถและมีความเป็นอิสระในการทำงาน จะช่วยส่งเสริมและสนับสนุนสภาพแวดล้อมการควบคุมภายในหน่วยงานให้ดียิ่งขึ้น
สภาพแวดล้อมการควบคุม เป็นองค์ประกอบเกี่ยวกับการสร้างบรรยากาศในหน่วยงาน เพื่อให้บุคลากรในหน่วยงานเกิดจิตสำนึกที่ดีในการปฏิบัติงานตามความรับผิดชอบให้บรรลุวัตถุประสงค์ ซึ่งเป็นองค์ประกอบพื้นฐานที่จะไปเสริมองค์ประกอบการควบคุมอื่น ๆต่อไป
2. การประเมินความเสี่ยง
ความเสี่ยง หมายถึง เหตุการณ์ที่ไม่พึงประสงค์หรือการกระทำใด ๆ อันจะก่อให้เกิดผลลัพธ์ในด้านลบหรือเป็นผลลัพธ์ที่ไม่ต้องการ ทำให้งานไม่ประสบความสำเร็จตามเป้าหมายที่กำหนด
ความเสี่ยงอาจเกิดจากลักษณะงานหรือกิจกรรมของหน่วยงาน การควบคุมภายใน การที่หน่วยงานตรวจไม่พบข้อผิดพลาด ฯลฯ
(1) ความเสี่ยงจากลักษณะงานหรือกิจกรรมของหน่วยงาน
ความเสี่ยงลักษณะนี้ เป็นความเสี่ยงที่มีอยู่โดยธรรมชาติในงานนั้น ๆ เองเมื่อใดก็ตามที่ตัดสินใจที่จะทำงานหรือกิจกรรม ก็ย่อมจะมีความเสี่ยงเกิดขึ้น เช่น การทำธุรกิจการค้าขายกับต่างประเทศหรือการสั่งซื้อของจากต่างประเทศของทางราชการ ความเสี่ยงก็คืออัตราแลกเปลี่ยนที่อาจเปลี่ยนแปลงไป ฯลฯ
(2) ความเสี่ยงจากการควบคุมภายใน
ความเสี่ยงจากการควบคุมภายใน เป็นความเสี่ยงที่ระบบการควบคุมภายในของหน่วยงานไม่ครอบคลุม และไม่สามารถป้องกันข้อผิดพลาดจากการดำเนินงานของหน่วยงานได้ อาจเป็นเพราะหน่วยงานไม่มีระบบการควบคุมภายในที่ครอบคลุมเพียงพอที่จะลดความเสี่ยงในการดำเนินงาน หรือหน่วยงานนั้นไม่มีการปฏิบัติตามระบบการควบคุมภายในที่ได้จัดไว้ เป็นต้น
(3) ความเสี่ยงจากการตรวจไม่พบข้อผิดพลาด
ความเสี่ยงลักษณะนี้ เป็นความเสี่ยงที่การตรวจสอบไม่สามารถค้นพบความผิดพลาดของรายการที่มีอยู่ เนื่องจากผู้ตรวจสอบไม่สามารถตรวจสอบทุกกิจกรรมในหน่วยงานนี้ได้ และจำเป็นต้องใช้ระบบการตรวจสอบโดยเลือกสุ่มตัวอย่างหรืออาจเนื่องจากผู้ตรวจสอบไม่มีความอิสระเพียงพอหรือไม่อยู่ในวิสัยที่จะเข้าไปตรวจสอบได้
สาเหตุของความเสี่ยงอาจเกิดจากปัจจัยภายในและภายนอกหน่วยงาน
- ปัจจัยภายใน เช่น นโยบายของผู้บริหาร ความซื่อสัตย์ จริยธรรม คุณภาพของบุคลากร การเปลี่ยนแปลงระบบงาน ความเชื่อถือได้ของระบบสารสนเทศ การเปลี่ยนแปลงผู้บริหารและเจ้าหน้าที่บ่อยครั้ง การควบคุมกำกับดูแลไม่ทั่วถึง และการไม่ปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับของหน่วยงาน เป็นต้น
- ปัจจัยภายนอก เช่น กฎหมาย ระเบียบ ข้อบังคับของทางราชการ การเปลี่ยนแปลงทางเทคโนโลยีหรือสภาพการแข่งขัน สภาวะแวดล้อมทั้งทางเศรษฐกิจและการเมือง เป็นต้น
การประเมินความเสี่ยง หมายถึง กระบวนการที่ใช้ในการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการกำหนดแนวทางการควบคุม เพื่อป้องกันหรือลดความเสี่ยง
การประเมินความเสี่ยงในหน่วยงาน จะเป็นการประเมินการปฏิบัติงานในภาพรวมของหน่วยงาน เพื่อให้ทราบเหตุการณ์ของความเสี่ยงและหาทางแก้ไขและควบคุมให้ความเสี่ยงอยู่ในระดับที่เกิดความเสียหายน้อยที่สุด
กระบวนการในการประเมินความเสี่ยง
การประเมินความเสี่ยงและการควบคุมความเสี่ยงให้อยู่ในระดับที่หน่วยงานยอมรับได้ สามารถดำเนินการเป็น 4 ขั้นตอน ดังนี้
1. ศึกษาวัตถุประสงค์และเป้าหมายของหน่วยงาน
วัตถุประสงค์และเป้าหมายของหน่วยงาน จะต้องสอดคล้องกับภารกิจ ( Mission ) ของหน่วยงานนั้น ๆ ซึ่งโดยทั่วไปวัตถุประสงค์ของหน่วยงานจะแบ่งออกเป็น 2 ระดับ คือ
1.1 วัตถุประสงค์ในระดับหน่วยงาน ( Entity – Level objectives ) เป็นวัตถุประสงค์ของการดำเนินงานในภาพรวมของหน่วยงาน โดยทั่วไปจะระบุไว้ในแผนกลยุทธ์ และแผนการปฏิบัติงานประจำปีของหน่วยงาน เช่นเดียวกับภารกิจ ( Mission ) และกลยุทธ์ในภาพรวมของหน่วยงาน เช่น ภารกิจหลักของหน่วยงาน โครงสร้างของหน่วยงาน แนวโน้มการดำเนินงานของหน่วยงานในอนาคต นโยบายการบริหารงานหรือนโยบายการเงินการคลัง เป็นต้น
1.2 วัตถุประสงค์ในระดับกิจกรรม ( Activity – Level objectives ) เป็นวัตถุประสงค์ของการดำเนินงานที่เฉพาะเจาะจงสำหรับแต่ละกิจกรรมที่หน่วยงานกำหนด เพื่อให้บรรลุวัตถุประสงค์ของหน่วยงาน ซึ่งวัตถุประสงค์ของแต่ละกิจกรรมจะต้องสนับสนุน และสอดคล้องกับวัตถุประสงค์ในระดับหน่วยงาน เช่น ระบบการประมวลข้อมูลทางการเงินและบัญชี เป็นต้น
2. ระบุปัจจัยเสี่ยง
ปัจจัยเสี่ยงของหน่วยงานสามารถเกิดขึ้นได้ทั้งจากปัจจัยภายในและปัจจัยภายนอก ซึ่งปัจจัยเหล่านี้จะส่งผลกระทบถึงวัตถุประสงค์ เป้าหมายหรือผลการดำเนินงานในหน่วยงาน เช่น การเปลี่ยนตัวผู้บริหารและผู้ปฏิบัติงานในตำแหน่งที่สำคัญๆ บ่อยครั้ง การเปลี่ยนแปลงกฎหมายใหม่ๆ ของรัฐบาลที่เกี่ยวข้องกับการปฏิบัติงานของหน่วยงาน เป็นต้น
เนื่องจากปัจจัยเสี่ยงแต่ละชนิดมีผลกระทบต่อการดำเนินงานและการบรรลุวัตถุประสงค์ของหน่วยงานไม่เท่ากัน บางชนิดมีผลกระทบทันที บางชนิดมีผลกระทบในระยะยาว ดังนั้น ผู้บริหารต้องติดตามพิจารณา และระบุปัจจัยความเสี่ยงที่เกิดขึ้นให้ครอบคลุมทุกประเด็นปัญหาที่คาดว่าจะเกิด ซึ่งควรครอบคลุมถึง
(1) ผลกระทบจากปัจจัยทางด้านเศรษฐกิจ สังคม การเมือง อุตสาหกรรม และสิ่งแวดล้อมต่อการดำเนินงานของหน่วยงาน
(2) ปัจจัยความเสี่ยงที่ได้ระบุไว้ในการวางแผน และการประมาณการของหน่วยงาน
(3) ข้อตรวจพบที่ได้รับจากการตรวจสอบ การสอบทาน การติดตาม และประเมินผล
(4) ปัจจัยอื่น ๆ ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ของหน่วยงาน เช่น ปัจจัยที่ทำให้การดำเนินงานในอดีตที่ผ่านมาไม่บรรลุตามวัตถุประสงค์ คุณภาพของบุคลากร การเปลี่ยนแปลงบุคลากรที่รับผิดชอบในการบริหารหรือปฏิบัติงาน การเปลี่ยนแปลงที่เกิดจากเงื่อนไขตามกฎหมาย ระเบียบ และข้อกำหนดต่าง ๆ ที่มีผลกระทบต่อการดำเนินงานของหน่วยงาน ฯลฯ
3. การวิเคราะห์และจัดระดับความเสี่ยง
การวิเคราะห์ถึงผลกระทบของปัจจัยเสี่ยงที่มีต่อหน่วยงาน ซึ่งโดยปกติปัจจัยเสี่ยงแต่ละปัจจัยมีผลกระทบต่อหน่วยงานมากน้อยไม่เท่ากัน การวิเคราะห์ปัจจัยเสี่ยงมีหลายวิธีแตกต่างกัน ผู้บริหารควรให้ความสำคัญกับความเสี่ยงที่มีนัยสำคัญ และมีโอกาสเกิดขึ้นบ่อย ๆ จึงควรพิจารณาเลือกใช้วิธีการหรือเทคนิคที่ใช้วิเคราะห์ให้เหมาะสมกับขนาด ลักษณะการดำเนินงาน เพื่อให้สามารถประเมินระดับความสำคัญของความเสี่ยงได้ทั้งในเชิงปริมาณและคุณภาพ รวมทั้งผลเสียหายที่อาจเกิดจากความเสี่ยงนั้น โดยทั่วไปขั้นตอนการวิเคราะห์ปัจจัยเสี่ยง จะเป็นดังนี้
3.1 ประเมินระดับความสำคัญของปัจจัยเสี่ยง คือ การนำปัจจัยเสี่ยงแต่ละปัจจัยมาพิจารณาถึงความสำคัญว่า หากเกิดขึ้นแล้วมีผลกระทบต่อหน่วยงานมากน้อยแค่ไหน โดยอาจวัดเป็นระดับน้อย ปานกลาง สูง
3.2 ประเมินความถี่ที่ปัจจัยเสี่ยงจะเกิดขึ้น คือ การพิจารณาว่าปัจจัยเสี่ยงที่ได้เรียงลำดับความสำคัญไว้แล้ว มีโอกาสที่จะเกิดปัจจัยเสี่ยงนั้น ในระดับน้อยมาก น้อย ปานกลาง สูง
การวิเคราะห์โดยการประเมินความสำคัญและการประเมินความถี่ที่ปัจจัยเสี่ยงจะเกิดขึ้น อาจใช้ผสมผสานกัน เช่น ปัจจัยเสี่ยงบางอย่างมีอัตราความถี่สูง เมื่อเกิดขึ้นแต่ละครั้งสูญเสียเงินน้อย แต่ถ้าเกิดบ่อย ๆเข้า โดยรวมอาจมีจำนวนเงินสูงก็จะทำให้เกิดความสำคัญได้
3.3 เลือกใช้เทคนิคการวิเคราะห์ความเสี่ยงที่เหมาะสม โดยบางครั้งอาจไม่จำเป็นต้องวิเคราะห์ในรูปตัวเลข แต่อาจวิเคราะห์ออกมาเป็นระดับต่าง ๆ เช่น สำคัญมาก ปานกลาง หรือน้อย เป็นต้น
4. กำหนดวิธีการควบคุมความเสี่ยง
เมื่อหน่วยงานสามารถวิเคราะห์และจัดลำดับความเสี่ยงแล้ว ฝ่ายบริหารควรพิจารณาหาวิธี เพื่อป้องกันความเสี่ยงนั้น ๆ โดยต้องคำนึงถึงค่าใช้จ่ายที่ต้องใช้ว่าคุ้มกับประโยชน์ที่จะได้รับหรือไม่ ซึ่งในการกำหนดแนวทางในการป้องกันหรือลดความเสี่ยง
ผู้บริหารควรพิจารณาว่าความเสี่ยงที่เกิดขึ้นนั้นเป็นความเสี่ยงในลักษณะใด เช่น
4.1 กรณีที่เป็นความเสี่ยงเกี่ยวกับหน่วยงานโดยรวม ซึ่งเป็นความเสี่ยงที่เกิดจากปัจจัยภายนอกที่มิได้อยู่ภายใต้การควบคุมของผู้บริหาร การป้องกันหรือลดความเสี่ยงกระทำได้โดยการบริหารความเสี่ยง ซึ่งมีกลยุทธ์ ดังนี้
(1) กำหนดโครงสร้างพื้นฐานของการบริหารความเสี่ยง กำหนดผู้รับผิดชอบกระบวนการบริหารความเสี่ยง และกำหนดความสัมพันธ์ระหว่างหน้าที่การบริหารความเสี่ยงกับหน้าที่การประเมินความเสี่ยง การบริหารความเสี่ยงที่มีประสิทธิภาพจะเริ่มต้นด้วยการกำหนดวัตถุประสงค์ ซึ่งสัมพันธ์กับกลยุทธ์และโอกาสที่จะเกิดความเสี่ยงที่มีนัยสำคัญ เราจะประเมินความเสี่ยงด้วยการระบุผลกระทบที่อาจเกิดขึ้น การจัดลำดับความสำคัญ และการวัดผลกระทบของความเสี่ยงเหล่านั้นที่อาจเกิดขึ้นต่อหน่วยงาน
(2) ประเมินความเสี่ยงของหน่วยงาน กำหนดกรอบแนวคิด ซึ่งจะใช้ระบุความเสี่ยงทั้งหมดที่เป็นไปได้ เพื่อใช้เป็นจุดเริ่มต้นในการประเมินความเสี่ยง มองภาพรวมของความเสี่ยงที่มีความสำคัญที่สุดก่อน และจัดสรรทรัพยากรให้อย่างเหมาะสม
(3) พัฒนากลยุทธ์การบริหารความเสี่ยง กลยุทธ์การบริหารความเสี่ยงที่จะประสบความสำเร็จ ต้องมีความเกี่ยวเนื่องหรือสอดคล้องกับกลยุทธ์ของหน่วยงานโดยตรง กลยุทธ์การบริหารความเสี่ยง ต้องได้รับการพัฒนาให้เหมาะสมกับความเสี่ยงแต่ละประเภท เช่น กลยุทธ์การหลีกเลี่ยงความเสี่ยง การลดความเสี่ยง การกระจายความเสี่ยง และการถ่ายโอนความเสี่ยง เป็นต้น
(4) พัฒนาและปรับปรุงประสิทธิภาพการบริหารความเสี่ยง หน่วยงานต้องพัฒนาเทคนิคการบริหารความเสี่ยงอย่างสม่ำเสมอ เพื่อใช้เป็นแนวปฏิบัติของหน่ายงาน โดยเฉพาะการบริหารความเสี่ยงในกิจกรรมที่มีความเสี่ยงเฉพาะเรื่อง
(5) การติดตามประเมินผลกระบวนการบริหารความเสี่ยง เป็นขั้นตอนของหน่วยงาน ต้องอาศัยงานด้านตรวจสอบภายใน โดยในขั้นตอนนี้รวมถึงการติดตามการปฏิบัติงานในหน้าที่อื่น ๆ เช่น การปฏิบัติตามกฎหรือระเบียบ และการให้ความสำคัญต่อสภาพแวดล้อมและความปลอดภัย อย่างไรก็ตาม การบริหารความเสี่ยงที่สัมฤทธิ์ผล หมายรวมถึง การเสาะแสวงหาความเสี่ยงที่อาจเกิดขึ้น การเชื่อมโยงการประเมินผลตอบแทนที่เพิ่มค่าให้แก่ผู้ถือหุ้น ( สำหรับธุรกิจ ) และหน่วยงาน หน้าที่การติดตามประเมินผลจะมีความสัมพันธ์ใกล้ชิดกับการประเมินความเสี่ยงของหน่วยงานใน ข้อ (2) ดังกล่าว
(6) การพัฒนาหรือปรับปรุงกระบวนการบริหารความเสี่ยง การปรับปรุง และพัฒนาการบริหารความเสี่ยงอย่างต่อเนื่อง มีความสำคัญอย่างยิ่งต่อการประสบความสำเร็จของหน่วยงานในที่สุด แหล่งข้อมูลที่สามารถนำมาใช้ในการปรับปรุงการบริหารความเสี่ยงนั้น รวมถึงข้อมูลสารสนเทศที่ถูกต้องเชื่อถือได้และข้อมูลที่เกิดจากการสะท้อนความเสี่ยงของหน่วยงาน การปรับปรุงต้องรวมถึงระบบการวัดเป็นจำนวนหน่วยที่ใช้ได้ในระยะยาว เช่น จำนวน และผลกระทบจากความเสี่ยงที่ได้รับการจัดการภายในกระบวนการฯลฯ ในการปรับปรุงพัฒนาการบริหารความเสี่ยงนั้น ระบบการวัดผลที่เชื่อถือได้จึงเป็นสิ่งจำเป็น และจะทำให้หน่วยงานสามารถทราบขนาดความเสี่ยง และผลกระทบ ที่หน่วยงานจะสามารถรับได้หรือไม่เพียงใด
4.2 กรณีที่เป็นความเสี่ยงเกี่ยวกับการควบคุมภายใน ซี่งเป็นความเสี่ยงที่เกิดจากปัจจัยภายในและอยู่ภายใต้การควบคุมของผู้บริหาร การป้องกันหรือลดความเสี่ยงกระทำได้โดยจัดให้มีกิจกรรมการควบคุมอย่างเพียงพอและเหมาะสม
การกำหนดวิธีการควบคุมเพื่อจัดการให้ความเสี่ยงอยู่ในสภาพที่เป็นผลดีกับหน่วยงานนั้นจะมีลักษณะการจัดการได้ 5 ลักษณะ คือ
(1) การจัดการในลักษณะที่ยอมรับในความเสี่ยงนั้น
(2) การจัดการในลักษณะที่ทำให้ลดความเสี่ยงจากระดับความเสี่ยงสูงไปสู่ระดับความเสี่ยงต่ำ
(3) การจัดการในลักษณะที่เป็นการกระจายความเสี่ยง
(4) การจัดการในลักษณะที่เป็นการถ่ายโอนความเสี่ยงหรือโยกย้ายความเสี่ยง
(5) การจัดการในลักษณะที่เป็นการหลีกเลี่ยงความเสี่ยง
การจะใช้วิธีการใดในการจัดการความเสี่ยงดังกล่าวข้างต้น ขึ้นอยู่กับสภาพแวดล้อมและความเหมาะสมของการดำเนินงานในหน่วยงานนั้น ๆด้วย ทั้งนี้ การจัดการความเสี่ยงจะต้องคำนึงถึงเรื่องดังต่อไปนี้
(1) ต้องกำหนดวัตถุประสงค์ให้ชัดเจนว่าจะทำอะไร ณ จุดใด
(2) ต้องปรับเปลี่ยนระบบการบริหารและระบบปฏิบัติงานในหน่วยงานหรือไม่อย่างไร ณ จุดใด
(3) กระบวนการจัดการความเสี่ยงเป็นอย่างไร ต้องดำเนินการให้เกิดความชัดเจนและต้องสื่อสารให้ผู้ที่เกี่ยวข้องในหน่วยงานทราบด้วย
(4) ต้องมีการรายงานผล เมื่อดำเนินการเสร็จสิ้นแล้ว
หน่วยงานจึงต้องจัดให้มีการประเมินความเสี่ยงอยู่เสมอ และสร้างกลไกช่วยบริหารความเสี่ยงให้อยู่ในระดับที่สามารถยอมรับได้ หรือกำหนดมาตรการการควบคุมที่เหมาะสมต่อไป
3. กิจกรรมการควบคุม
กิจกรรมการควบคุม เป็นองค์ประกอบหนึ่งของระบบการควบคุมภายในที่หน่วยงานต้องจัดให้มีขึ้นเพื่อลดความเสี่ยงและทำให้เกิดความคุ้มค่า ตลอดจนให้ฝ่ายบริหารเกิดความมั่นใจในประสิทธิผลของระบบการควบคุมภายในที่มีอยู่
ประเภทการควบคุม กิจกรรมการควบคุมอาจแยกตามความจำเป็นและลักษณะของการควบคุม ทั้งนี้ ขึ้นอยู่กับความเหมาะสมในการดำเนินงานของหน่วยงานนั้น ๆ เช่น
(1) การควบคุมในลักษณะการป้องกันการผิดพลาดที่อาจเกิดขึ้นในทางปฏิบัติ ( Preventive Control ) เป็นวิธีการควบคุมที่กำหนดขึ้น เพื่อป้องกันมิให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก โดยเหตุการณ์ที่ก่อให้เกิดความเสี่ยงยังไม่เกิดขึ้น เช่น การแบ่งแยกหน้าที่ผู้รับเงิน ผู้จ่ายเงิน และผู้บันทึกบัญชี การกำหนดวงเงินสำหรับผู้มีอำนาจอนุมัติเงินในแต่ละระดับชั้น เป็นต้น
(2) การควบคุมในลักษณะของการค้นพบข้อผิดพลาด (Detective Control) เป็นการควบคุมที่กำหนดขึ้น เพื่อค้นพบข้อผิดพลาดที่อาจเกิดขึ้นในการปฏิบัติงาน เช่น การทำงบกระทบยอดเงินฝากธนาคาร การตรวจนับพัสดุประจำปี การทบทวนการปฏิบัติงานของหน่วยงานในภาพรวม เป็นต้น
(3) การควบคุมในลักษณะการเสนอแนะ (Suggestive Control) เป็นการควบคุมที่กำหนดขึ้น เพื่อเสนอแนะ ปรับปรุง และพัฒนาระบบการดำเนินงานและระบบการควบคุมภายในให้เหมาะสมกับสถานการณ์
(4) อื่น ๆ ตามความจำเป็นและเหมาะสมในการดำเนินงานของหน่วยงาน
ตัวอย่างกิจกรรมการควบคุมที่ควรจัดให้มีขึ้นในขั้นตอนของการปฏิบัติงานต่าง ๆ ได้แก่
3.1 นโยบายและวิธีปฏิบัติ
ผู้บริหารทุกระดับมีบทบาทในการกำหนดนโยบาย แผนปฏิบัติงาน แผนงบประมาณ แนวทางการปฏิบัติงาน อำนาจในการอนุมัติ ฯลฯ ซึ่งสิ่งต่าง ๆ เหล่านี้เป็นปัจจัยที่ก่อให้เกิดการควบคุมเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นและควรระบุผลลัพธ์และตัวชี้วัดที่คาดหมายไว้อย่างชัดเจน เพื่อสามารถใช้ในการติดตามประเมินผลต่อไป
3.2 การกระจายอำนาจความรับผิดชอบและการแบ่งแยกหน้าที่
ผู้บริหารควรจัดให้มีการกระจายอำนาจและแบ่งแยกหน้าที่ความรับผิดชอบระหว่างหน่วยต่าง ๆ หรือบุคคลให้ชัดเจน เพื่อให้เกิดความคล่องตัวและชัดเจนในการปฏิบัติงาน สามารถสอบยันกันได้ เช่น อำนาจในการอนุมัติ การกำหนดขอบเขตของงาน เพราะเมื่อผู้บริหารได้กระจายอำนาจไปแล้วก็จำต้องสร้างวิธีการควบคุมเพื่อให้การ ปฏิบัติงานเป็นไปตามนโยบายและวัตถุประสงค์ที่วางไว้
3.3 การสอบยันและการกระทบยอด
ผู้บริหารในแต่ละระดับควรจัดให้มีการสอบยันการปฏิบัติงานของเจ้าหน้าที่ในระดับต่าง ๆ เพื่อให้ทราบปัญหาในการปฏิบัติงานและหาแนวทางในการแก้ไข ซึ่งในแต่ละระดับอาจกำหนดวิธีการสอบยันและกระทบยอดได้หลายวิธี ดังนี้
(1) ผู้บริหารระดับสูงอาจสอบยันการปฏิบัติงาน โดยการวิเคราะห์เปรียบเทียบเป้าหมาย แผน และผลการดำเนินงาน ในภาพรวมกับข้อมูลในอดีตที่ผ่านมา เพื่อให้สามารถทราบปัญหาและหาแนวทางการแก้ไข และเตรียมรับสถานการณ์ในอนาคตต่อไป
(2) ผู้บริหารระดับกลางอาจสอบยันและกระทบยอดการปฏิบัติงานเฉพาะด้าน จากรายงานผลการปฏิบัติงานจริงกับเป้าหมายที่กำหนด รวมทั้งการปฏิบัติตามกฎหรือระเบียบที่วางไว้ โดยอาจทำการสอบยันและหรือกระทบยอดบ่อยครั้งตามลักษณะงาน และความเสี่ยงที่คาดว่าจะเกิดขึ้น
3.4 การควบคุมระบบสารสนเทศและการประมวลผล
การจัดให้มีกระบวนการประมวลผลข้อมูลอย่างเป็นระบบ ซึ่งจะทำให้ผู้บริหารได้ข้อมูลข่าวสารที่ถูกต้องสมบูรณ์ ทันเวลา และเชื่อถือได้ สามารถนำไปใช้ในการตัดสินใจในการบริหารงานได้ทันต่อเหตุการณ์และมีประสิทธิภาพ นอกจากนี้ การจัดให้มีระบบการควบคุมระบบสารสนเทศที่มีประสิทธิภาพ จะเป็นการป้องกันการเข้าถึงข้อมูล และป้องกันความเสียหายที่อาจเกิดขึ้นในการนำข้อมูลไปใช้ในทางที่ไม่สมควร
3.5 การควบคุมทรัพย์สินที่มีตัวตนและเอกสารหลักฐาน
ทรัพย์สินที่มีตัวตนและเอกสารหลักฐาน เช่น เครื่องใช้สำนักงาน วัสดุอุปกรณ์ ครุภัณฑ์ เงินสดและเอกสารสิทธิต่าง ๆ ฯลฯ ควรจัดให้มีการควบคุม เช่น การกำหนดสถานที่เก็บรักษา การเข้าถึงทรัพย์สินนั้นๆ และการจัดให้ทำทะเบียนคุม และการตรวจนับอย่างเป็นระบบ เป็นต้น
3.6 กำหนดดัชนีวัดผลการดำเนินงาน
ดัชนีวัดผลการดำเนินงาน เป็นเครื่องมือชนิดหนึ่งที่ผู้บริหารสามารถใช้ในการติดตามผลการปฏิบัติ เพื่อให้ทราบว่าการปฏิบัติงานบรรลุตามเป้าหมายที่วางไว้อย่างมีประสิทธิภาพเพียงใด
นอกจากตัวอย่างกิจกรรมการควบคุมที่กล่าวแล้วข้างต้น ยังมีกิจกรรม การควบคุมด้านการบริหารและการปฏิบัติงานอีกหลายกิจกรรมซึ่งผู้บริหารต้องเข้าใจถึงลักษณะงาน ความสัมพันธ์ระหว่างความเสี่ยงและการควบคุม และต้องคำนึงว่ากิจกรรมการควบคุมที่จัดให้มีขึ้นนั้น สามารถครอบคลุมความเสี่ยงที่อาจก่อให้เกิดความผิดพลาด เสียหายได้หรือไม่ และคุ้มค่ากับค่าใช้จ่ายที่ต้องเสียไปเพียงใด
กิจกรรมการควบคุม ต้องทำอย่างสม่ำเสมอตลอดไป โดยเฉพาะอย่างยิ่งต้องสอดคล้องกับนโยบายและสภาพแวดล้อมที่เปลี่ยนไป เพื่อให้มั่นใจว่าระบบการควบคุม ภายในของหน่วยงานเป็นไปอย่างเหมาะสมและเพียงพอ การจะใช้การควบคุมลักษณะใดลักษณะหนึ่งหรือหลายลักษณะรวมกัน ขึ้นอยู่กับดุลพินิจในการพิจารณาความเหมาะสมและความซับซ้อนของงานในแต่ละหน่วยงานนั้น ๆ ซึ่งรายละเอียดของกิจกรรมการควบคุมจะปรากฎในตัวอย่างกิจกรรมการควบคุมในส่วนที่ 2 ต่อไป
4. สารสนเทศและการสื่อสาร
สารสนเทศ หมายถึง ข้อมูลข่าวสารที่ใช้ในการบริหาร ซึ่งเป็นข้อมูลเกี่ยวกับการเงินและไม่ใช่การเงินรวมทั้งข้อมูลข่าวสารอื่น ๆ ทั้งจากแหล่งภายในและภายนอก
การสื่อสาร หมายถึง การรับและส่งข่าวสารระหว่างกัน เพื่อให้เกิดความเข้าใจอันดีระหว่างบุคคลที่มีหน้าที่ความรับผิดชอบในงานที่สัมพันธ์กัน การสื่อสารจะเกิดได้ทั้งภายในและภายนอกหน่วยงาน ระบบการสื่อสารที่ดีและมีประสิทธิภาพ ควรเป็นการสื่อสารแบบสองทาง และติดต่อระหว่างหน่วยงานอย่างทั่วถึงครบถ้วน
หน่วยงานควรจัดให้มีระบบสารสนเทศที่สามารถสนองความต้องการของ ผู้ใช้ข้อมูลอย่างเพียงพอ และเหมาะสมทันต่อการปฏิบัติงาน ตลอดจนการติดต่อสื่อสารที่มีประสิทธิภาพ ข่าวสารที่ถูกต้อง เชื่อถือได้ ทันเหตุการณ์ และสะดวกในการเข้าถึง และปลอดภัย รวมทั้งมีการจัดลำดับความสำคัญ และมีระบบการสื่อสารที่ดีจะส่งผลถึงการ
บริหารงานของผู้บริหารโดยเฉพาะข่าวสารที่เป็นสัญญาณบอกเหตุ อันจะทำให้ผู้บริหารสามารถแก้ไขปัญหาได้ทันกาล และบริหารงานให้บรรลุวัตถุประสงค์ของหน่วยงาน
การสื่อสารจึงเป็นเรื่องสำคัญที่ผู้บริหารต้องจัดให้มีขึ้นและควรเป็นระบบการสื่อสารสองทาง การสื่อสารภายในหน่วยงานที่ชัดเจน ไม่ว่าจะเป็นทางการหรือไม่ก็ตาม จะเป็นผลดีต่อการปฏิบัติงานให้สามารถบรรลุเป้าหมายที่วางไว้ ซึ่งปัจจัยสำคัญที่ทำให้การสื่อสารเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล คือ
(1) เจ้าหน้าที่ทุกคน ต้องได้รับข้อมูลข่าวสารที่เกี่ยวข้องกับการปฏิบัติงานของตนอย่างชัดเจนและทันกาล ทั้งจากภายในหรือภายนอกหน่วยงาน รวมทั้งข้อมูลข่าวสารที่มีผลต่อความเสี่ยงที่อาจเกิดกับหน่วยงาน เช่น นโยบายของรัฐบาล การเปลี่ยนแปลงด้านกฎหมายใหม่ ๆ ฯลฯ
(2) การกำหนดภาระหน้าที่และความรับผิดชอบในแต่ละตำแหน่งงานต้องชัดเจน เจ้าหน้าที่ทุกคนต้องเข้าใจถึงบทบาทที่เกี่ยวข้องกับงานของตนและของผู้อื่น รวมทั้งให้ความร่วมมือในการปฏิบัติตามระบบการควบคุมที่กำหนดไว้
(3) การจัดให้มีช่องทางการสื่อสารข้อมูลที่ดีระหว่างผู้บริหารและผู้ปฏิบัติงาน ทำให้สามารถทำความเข้าใจ และประสานงานกันได้เป็นอย่างดี
ในทำนองเดียวกัน ควรให้ความสำคัญกับการสื่อสารภายนอกหน่วยงาน ซึ่งจะมีผลกระทบต่อการบริหารงานของหน่วยงานด้วย ดังนั้น ประเด็นสำคัญที่ควร ดำเนินการ คือ
(1) กำหนดช่องทางการสื่อสารกับบุคคลภายนอกที่เกี่ยวข้องให้ง่ายขึ้น
(2) เจ้าหน้าที่ที่เกี่ยวข้องกับหน่วยงานภายนอก ต้องเรียนรู้วัฒนธรรมของหน่วยงานที่เกี่ยวข้องด้วย
(3) ผู้บริหารควรให้ความสนใจในข้อสังเกตหรือข้อเสนอแนะของผู้ตรวจสอบภายนอก
(4) การติดต่อสื่อสารกับบุคคลภายนอก ต้องมีข้อมูลข่าวสารที่เพียงพอและสัมพันธ์กัน ในอันที่จะทำให้เกิดความเข้าใจอันดีต่อกัน และเข้าใจถึงสภาพความเสี่ยงที่อาจเกิดขึ้น
สำหรับการควบคุมภายในของระบบสารสนเทศ โดยทั่วไปมักจะเกี่ยวข้องกับการควบคุมการนำข้อมูลเข้าสู่ระบบ การแบ่งแยกงาน การสอบทานความถูกต้องในการประมวลผล การควบคุมการรับส่งข้อมูลระหว่างระบบงาน และการควบคุมทางด้านผลผลิต เป็นต้น
5. การติดตามและประเมินผล
การติดตามผล หมายถึง การสอดส่องดูแลกิจกรรมที่อยู่ระหว่างการดำเนินงาน เพื่อให้เกิดความมั่นใจว่า การดำเนินงานเป็นไปตามระบบการควบคุมภายในที่กำหนด
การประเมินผล หมายถึง การเปรียบเทียบผลการปฏิบัติงานกับระบบการควบคุมภายในที่กำหนดไว้ว่ามีความสอดคล้องหรือไม่ เพียงใด และประเมินระบบการควบคุมภายในที่มีอยู่ว่ายังมีความเหมาะสมกับสภาพแวดล้อมในปัจจุบันหรือไม่ รวมทั้งการวิเคราะห์ การหาสาเหตุของความแตกต่างระหว่างแผนงานกับผลการดำเนินงาน สรุปผลและเสนอ ข้อแนะนำ เพื่อให้การดำเนินงานมีประสิทธิผลและประสิทธิภาพ
การติดตามและประเมินผล เป็นกระบวนการประเมินความมีประสิทธิภาพและประสิทธิผลของระบบงานต่าง ๆ ของหน่วยงาน ซึ่งรวมถึงการปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับ และการปฏิบัติงานตามภาระหน้าที่ความรับผิดชอบของเจ้าหน้าที่ฝ่ายต่าง ๆ ในหน่วยงาน ทั้งนี้ เนื่องจากมาตรการต่างๆและระบบการควบคุมภายในมีการเปลี่ยนแปลงหรือต้องพัฒนาตลอดเวลา ผู้บริหารจึงจำเป็นต้องมีการติดตามและประเมินผล เพื่อให้ทราบประสิทธิภาพและประสิทธิผลของระบบการควบคุมภายในว่าอยู่ในระดับที่เหมาะสมสอดคล้องกับสถานการณ์ปัจจุบัน เพียงใด
สำหรับความถี่ในการติดตามประเมินผลจะมีมากน้อยเพียงใด ขึ้นกับผลการประเมินความเสี่ยงในเบื้องต้นและผลที่ได้จากการติดตามประเมินผลการดำเนินงานของหน่วยงานนั้นเอง
การติดตามประเมินผลจะได้ผลดี ควรมีการปฏิบัติดังนี้
5.1 มีการสอบทานและรายงานผลเกี่ยวกับประสิทธิผลของแต่ละองค์ประกอบของการควบคุมภายใน ในทุกๆ ด้านอย่างสม่ำเสมอ ซึ่งเป็นการรายงานจากภายในและจากบุคคลภายนอก เช่น ผู้ตรวจสอบ ผู้ตรวจราชการ ผู้มาติดต่อ โดยเปรียบเทียบกับข้อมูลที่ปฏิบัติงานจริง
5.2 จำแนกเรื่องที่จะประเมินผล ซึ่งจะเป็นประโยชน์ต่อการควบคุมภายในเฉพาะจุด เช่น การประเมินประสิทธิภาพภายในหน่วยงาน การประเมินระบบงาน การประเมินการบรรลุตามวัตถุประสงค์ การประเมินบุคคล เป็นต้น ซึ่งการประเมินควรพิจารณาขอบเขตและความถี่ของการประเมินด้วย เพื่อให้มั่นใจถึงประสิทธิภาพของระบบการควบคุมภายในในเรื่องนั้น ๆ ว่า สามารถป้องกันความเสี่ยงที่อาจเกิดขึ้นได้ โดย เครื่องมือการประเมินผลรวมถึงการตรวจเช็คการตอบแบบสอบถามและการวิเคราะห์เชิงปริมาณ นอกจากนี้ ตัวชี้วัดและการเปรียบเทียบกับผลงานของหน่วยงานอื่น หรือมาตรฐานที่ยอมรับกันโดยทั่วไป ก็เป็นเครื่องมือช่วยในการประเมินผลได้เช่นกัน
5.3 รายงานผลตามข้อเท็จจริงอย่างเป็นอิสระ ไม่ปิดบังสิ่งผิดปกติ
5.4 สั่งการให้มีการแก้ไขและติดตามผลอยู่เสมอ
สำหรับการกำหนดรูปแบบการติดตามประเมินผล ควรมีอยู่ในทุกขั้นตอนของการปฏิบัติงาน และควรทำอย่างต่อเนื่อง ทั้งนี้รวมถึงกิจกรรมที่เกี่ยวข้องกับการกำหนด กฎหมาย ระเบียบ การบริหารงาน และที่ปรึกษาต่าง ๆ โดยมีวิธีการ เช่น การเปรียบเทียบผลการดำเนินงาน การตรวจสอบ การกระทบยอด ฯลฯ สำหรับบางโครงการอาจกำหนดรูปแบบการติดตามประเมินผลโดยเฉพาะ แยกต่างหากจากที่ได้กำหนดการติดตาม ประเมินผลโดยปกติ การติดตามประเมินผลโครงการที่เป็นกรณีเฉพาะ อาจใช้แบบประเมินตนเอง การออกแบบควบคุมโดยเฉพาะ การทดสอบ หรืออาจจ้างผู้เชี่ยวชาญ หรือ ผู้ตรวจสอบภายนอกมาดำเนินการได้
การติดตามประเมินผลจะมีประสิทธิภาพมากขึ้น หากมีการสื่อสารกับบุคลากรที่รับผิดชอบงานนั้น ๆ ในหน่วยงาน และกรณีมีเรื่องที่สำคัญควรรายงานต่อผู้บังคับบัญชาระดับสูงด้วย นอกจากนี้การติดตามประเมินผลในระบบการควบคุมภายใน ควรหมายรวมถึงการประเมินผลนโยบาย กฎระเบียบ ระบบงานต่าง ๆ ของหน่วยงานด้วย เพื่อให้มั่นใจว่า
(1)
ได้มีการกำหนดกรอบระยะเวลาการปฏิบัติงานที่เหมาะสมและถูกต้อง และเป็นผลดีต่อการบริหารงานของหน่วยงาน
(2) ได้มีการตรวจสอบและติดตามผล รวมทั้งรายงานของผู้ตรวจสอบที่ได้สอบทานงาน และตั้งข้อสังเกตไว้ต่อผู้บริหารของหน่วยงาน ข้อสังเกตเหล่านั้น ได้มีการแก้ไขปฏิบัติตามในระยะเวลาที่เหมาะสม
(3) การดำเนินงานต่าง ๆ สามารถบรรลุวัตถุประสงค์ที่หน่วยงานตั้งไว้
(4) การจัดทำรายงานทางการเงินเป็นไปอย่างถูกต้องเชื่อถือได้
เมื่อได้ติดตามและประเมินผลแล้ว ผู้ประเมินผลจะต้องจัดทำรายงานเสนอผู้บริหารที่รับผิดชอบ โดยการจัดทำรายงานแสดงผลความคลาดเคลื่อนของการดำเนินงานเป็นระยะ ๆ โดยควรจัดทำคำชี้แจงหรืออธิบายให้ทราบว่าความแตกต่างระหว่างผลการดำเนินงานจริง กับตัวเลขตามประมาณการเกิดขึ้นเพราะเหตุใด และผู้ใดจะต้องรับผิดหรือชอบกับการที่เกิดผลต่างนั้น และหาวิธีการแก้ไขที่เหมาะสมต่อไป
การติดตามและประเมินผลอย่างต่อเนื่องและเป็นประจำ และมีการสั่งการให้แก้ไขข้อผิดพลาดอยู่เสมอ เป็นหัวใจสำคัญของการควบคุมทางการบริหาร
การติดตามและประเมินผล ไม่ควรจัดทำเฉพาะกับระบบหรือมาตรการ ควบคุมภายในเท่านั้น แต่ควรจัดให้การติดตามและประเมินผลกับการปฏิบัติงานด้านอื่น ๆ ทุกด้าน จากผู้รับผิดชอบโดยตรงและอย่างอิสระ หรือโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดมาตรการหรือออกแบบระบบการควบคุมภายใน เพื่อให้สามารถแสดงความคิดเห็นได้อย่างเป็นอิสระ เช่น จากการตรวจสอบภายใน อันเป็นเครื่องมือของฝ่ายบริหารในการประเมินผลและติดตามผลการปฏิบัติงาน เป็นต้น
ปัจจัยสำคัญที่ทำให้ระบบการควบคุมภายในของหน่วยงานประสบความสำเร็จ
ระบบการควบคุมภายในของหน่วยงานจะสำเร็จได้ ต้องมีปัจจัยเกื้อหนุนและปัจจัยผลักดัน ดังนี้
1. ปัจจัยเกื้อหนุน
1.1 ผู้บริหารระดับสูงต้องเป็นผู้ริเริ่ม ในการจัดให้มีระบบการควบคุมภายในขึ้นในหน่วยงาน และระบบการควบคุมภายในนั้นต้องได้รับการยอมรับในระดับปฏิบัติ
1.2 มีการประเมินความเสี่ยงและบริหารความเสี่ยงอย่างสม่ำเสมอ
1.3 มีการจัดการเกี่ยวกับทรัพยากรบุคคลอย่างเป็นระบบและเหมาะสม
1.4 ผู้ปฏิบัติงานทุกระดับมีความซื่อสัตย์ รับผิดชอบในหน้าที่การงาน
2. ปัจจัยผลักดัน
ปัจจัยที่เป็นแรงผลักดันให้ระบบการควบคุมภายในเป็นไปอย่างมีประสิทธิภาพยิ่งขึ้น ได้แก่
2.1 วัตถุประสงค์ ( Purpose ) หน่วยงานจะต้องมีวัตถุประสงค์ที่ชัดเจนว่ากำลังจะทำอะไร เพื่อให้สามารถกำหนดทิศทางการทำงานและความก้าวหน้าของหน่วยงานได้
2.2 ข้อตกลงร่วมกัน ( Commitment ) เจ้าหน้าที่ทุกระดับควรมีการตกลงร่วมกันที่จะปฏิบัติงานตามระบบที่วางไว้ เพื่อบรรลุตามวัตถุประสงค์และเพิ่มคุณค่าแก่หน่วยงาน
2.3 ความสามารถในการบริหารงาน ( Capability ) เพื่อให้หน่วยงานมีระบบการควบคุมภายในที่มีประสิทธิภาพ สามารถแข่งขันกับผู้อื่นได้ ผู้บริหารของหน่วยงานควรเพิ่มขีดความสามารถในด้านต่าง ๆ เช่น การบริหารงบประมาณ การจัดการเทคโนโลยีสารสนเทศ การจัดสรรทรัพยากรที่มีอยู่ให้มีการนำไปใช้อย่างมีประสิทธิภาพ เป็นต้น
2.4 ปฏิบัติการ ( Action ) เจ้าหน้าที่ผู้รับผิดชอบต้องลงมือปฏิบัติอย่างจริงจังและสม่ำเสมอ
2.5 การเรียนรู้ต่อเนื่อง ( Learning ) หน่วยงานต้องเสริมสร้างหรือสนับสนุนให้เจ้าหน้าที่ทุกระดับให้มีการศึกษาต่อเนื่อง เพื่อให้มีการเรียนรู้ที่จะพัฒนางานให้ดีขึ้น หรือพัฒนาระบบการควบคุมใหม่ ๆ ให้กับหน่วยงาน ทั้งนี้ เพื่อให้หน่วยงานมีระบบการควบคุมภายในที่เหมาะสมกับสภาพแวดล้อมและปรับเปลี่ยนได้ทันเหตุการณ์
ประโยชน์ที่ได้รับ
ประโยชน์ที่หน่วยงานจะได้รับ จากการมีระบบการควบคุมภายในที่ดี
1. การดำเนินงานของหน่วยงานบรรลุวัตถุประสงค์ที่วางไว้อย่างมีประสิทธิภาพ
2. การใช้ทรัพยากรเป็นไปอย่างมีประสิทธิภาพ ประหยัด และคุ้มค่า
3. มีข้อมูลและรายงานทางการเงินที่ถูกต้อง ครบถ้วนและเชื่อถือได้ สามารถนำไปใช้ในการตัดสินใจ
4. การปฏิบัติในหน่วยงานเป็นไปอย่างมีระบบและอยู่ในกรอบของกฎหมาย ระเบียบ ข้อบังคับที่วางไว้
5. เป็นเครื่องมือช่วยผู้บริหารในการกำกับดูแลการปฏิบัติงานได้อย่างดียิ่ง
ข้อจำกัดของระบบการควบคุมภายใน
1. การตัดสินใจของฝ่ายบริหาร ในบางครั้งแม้ว่ามีระบบการควบคุมภายในที่เหมาะสม แต่หากฝ่ายบริหารตัดสินใจโดยใช้ดุลยพินิจที่ไม่ถูกต้อง อันเนื่องจากระบบข้อมูลที่มีอยู่ในขณะนั้น หรือเหตุจำเป็นที่ไม่สามารถหลีกเลี่ยงได้ ระบบการควบคุมภายในก็ไม่สามารถเป็นเครื่องมือที่จะช่วยได้ในสถานการณ์เช่นนั้น
2. การปฏิบัติงานของบุคลากร การที่บุคลากรละเว้นไม่ปฏิบัติตามวิธีการควบคุมภายในที่วางไว้ ระบบการควบคุมภายในที่มีอยู่ดังกล่าวก็ไม่สามารถเป็นกลไกและเครื่องมือช่วยในการปฏิบัติงานได้
3. เหตุการณ์ที่อยู่นอกเหนือการควบคุม ระบบการควบคุมภายในที่มีอยู่ อาจไม่สามารถรองรับเหตุการณ์ที่อยู่นอกเหนือการควบคุม โดยผลสืบเนื่องมาจากปัจจัยภายนอกหรือบางกรณีเกิดเหตุการณ์พิเศษที่มิได้คาดคิดมาก่อน
4. การทุจริตในหน่วยงาน ในบางกรณีบุคลากรในหน่วยงานร่วมมือทุจริตเพื่อหาประโยชน์ร่วมกันซึ่งจะเป็นการทำลายระบบการควบคุมที่กำหนดไว้ได้
5. ต้นทุนค่าใช้จ่ายเมื่อเทียบกับผลตอบแทนที่ได้ บางครั้งผู้บริหารต้องยอมรับในอัตราความเสี่ยงที่อาจเกิดขึ้นเมื่อพิจารณาเห็นว่าต้นทุนค่าใช้จ่ายที่เสียไปในการป้องกันความเสี่ยงมากกว่าผลตอบแทนที่จะได้รับ
นอกจากนี้ยังมีปัจจัยอีกมากมายที่เป็นข้อจำกัดของระบบการควบคุมภายใน อย่างไรก็ดี ระบบการควบคุมภายใน เป็นเพียงกลไกที่สร้างความมั่นใจแก่ผู้บริหารในการบริหารงานให้บรรลุตามเป้าหมายได้ในระดับหนึ่งเท่านั้น
|
