NEW MANAGEMENT FORUM

Central Knowledge Society

การควบคุมภายใน เป็นส่วนหนึ่งของ การบริหารความเสี่ยง จริงหรือ?


สวัสดีครับ

วันนี้อยากเขียนเรื่องเบาๆ หน่อย เพราะอยู่ระหว่างการเดินทางไปจังหวัดพังงาและสุราษฎ์ธานี อ่านเจอบทความที่ดีเกี่ยวกับการบริหารความเสี่ยงและ ควบคุมภายในว่ามีความสัมพันธ์กันอย่างไร  ก็เลยนึกถึงทุกๆ ท่านก็นำมาเขียนในสไตล์ของเราเอง และให้ทุกๆ ท่านได้อ่านครับ

ความสัมพันธ์ที่ชัดเจนมากระหว่างการควบคุมภายในและการบริหารความเสี่ยง คือ

โดยทั่วไปการควบคุมภายในจะสร้างความเชื่อมั่นอย่างมีเหตุผลว่า สามารถบริหารจัดการความเสี่ยงได้ เพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ขององค์กร  และอยู่ในระดับที่องค์กรยอมรับได้  ซึ่งก็ต้องไปเปรียบเทียบกับตัวชี้วัดของวัตถุประสงค์ขององค์กรด้วย  เพราะการที่จะยอมรับระดับความสำเร็จขององค์กรหรือไม่ ก็ต้องไปดูที่ KPIs ขององค์กรด้วยว่าอยู่ในระดับใด

ดังนั้น ความเสี่ยงแรก : คุณจะต้องจำแนกระดับการยอมรับได้ของการควบคุมภายใน และระดับการบรรลุผลกสำเร็จตามวัตถุประสงค์ให้ได้ก่อน (ระดับองค์กร)  ก่อนที่คุณจะวางแผนการควบคุม หรือ มีมาตรการควบคุมใดๆ

 ในขณะเดียวกัน คุณจะต้องควบคุมการบริหารความเสี่ยงปัจจัยเสี่ยงเหล่านั้น ให้อยู่ในระดับที่ยอมรับได้  ซึ่งทำได้โดยการวัดระดับความเสี่ยงด้วยการพิจารณา โอกาสเกิด (Likelihood)  และ ระดับผลกระทบ (Impact)  และพิจารณาผลคะแนนความเสี่ยงว่าอยู่ในระดับใด  (Risk Ranking)  และก็พิจารณาตามขั้นตอนของการบริหารความเสี่ยงต่อไป  ซึ่งเคยเล่าให้ฟังไปแล้ว

ในกระบวนการของการเริ่มต้นก่อนการบริหารความเสี่ยงนั้น คุณจะต้องกำหนด วัตถุประสงค์ระดับองค์กร ขึ้น มาก่อนว่าองค์กรต้องการอะไร?  มีภาระกิจอะไร?  มีตัวชี้วัดอะไรบ้าง? ฯลฯ   เพราะถ้าคุณกำหนดวัตถุประสงค์ขององค์กร (ไม่ชัดเจน)  (วัดค่าความสำเร็จเป็นรูปธรรมไม่ได้)   การกำหนดค่าส่วนใหญ่เป็นนามธรรม   ปัญหาที่ตามมาคือ องค์กรไม่สามารถส่งมอบคุณค่าที่ดีที่สุดเพื่อผู้มีส่วนได้ส่วนเสีย   ความเสี่ยงที่สำคัญๆ ควรจะมีการระบุและประเมินความสัมพันธ์กับวัตถุประสงค์ระดับองค์กรให้ชัดเจนตั้งแต่ต้น

ดังนั้นก่อนการวิเคราะห์ความเสี่ยงระดับองค์กร จะต้องนำวัตถุประสงค์ขององค์กรเป็นตัวตั้ง และวิเคราะห์ตัวชี้วัดความสำเร็จระดับองค์กร ว่าจะทำได้จริงหรือไม่?  สามารถหาหลักฐานมายืนยันความสำเร็จตามตัวชี้วัดได้หรือไม่?   มีมาตรการมารองรับในกรณีไม่ประสบความสำเร็จของตัวชี้วัดที่มีความสำคัญอย่างไร? เป็นต้น   ถ้าคุณมั่นใจ ว่าองค์กรของคุณจะไม่บรรลุตามวัตถุประสงค์ที่กำหนดตามตัวชี้วัดที่สำคัญๆ แน่นอนแล้ว ก็ขอให้คุณพิจารณาตัวควบคุมที่อยู่ เพราะตัวควบคุมภายในจะเป็นตัวที่กำกับติดตามความก้าวหน้าของโครงการ  กระบวนการทำงาน  ผลการดำเนินงาน ในลักษณะ Monitoring เพื่อให้คุณเข้าใจสถานะปัจจุบันของปัญหาหรืออุปสรรคที่เกิดขึ้น  หลังจากนั้นคุณก็จำเป็นจะต้องเอา จุดอ่อน  ปัญหา  อุปสรรค มาวิเคราะห์ร่วมกับตัวชี้วัด KPIs องค์กร และทำการบริหารจัดการความเสี่ยงระดับองค์กรต่อไป

ในขณะที่ COSO มีระบบการควบคุมภายในระดับองค์กร และกรอบการบริหารความเสี่ยง ด้วยการระบุปัจจัยเสี่ยงที่เกิดขึ้น  รวมทั้งการวิเคราะห์สาเหตุความเสี่ยง และมี Risk Appetite & Risk Tolerance มากำกับตรวจสอบ และมีการวัดค่าความเสี่ยงในรูปแบบ Risk Matrix นอกจากนี้มีการวิเคราะห์ความสัมพันธ์ของปัจจัยเสี่ยงและสาเหตุความเสี่ยงด้วย Risk Map ซึ่งจะเห็นว่ามีความคิดแบบเป็นระบบ และมีความสอดคล้องกันของทุกเครื่องมือ

ดังนั้น เรากลับเข้ามาที่หัวข้อที่ตั้งไว้ “การควบคุมภายในเป็นส่วนหนึ่งของการบริหารความเสี่ยง? ”  (ถ้าพิจารณาระบบการตรวจสอบมาตรฐานระดับโลกที่ใช้เกณฑ์การบริหารความเสี่ยง ISO 31000:2009) ก็ได้มีการพูดถึงเกี่ยวกับการควบคุมภายใน แต่ไม่ได้ให้รายละเอียดเกี่ยวกับการควบคุมภายในว่าจะต้องมีการวัดค่าระดับความเสี่ยงที่ยอมรับได้  หรือการวิเคราะห์ผลกระทบถ้าความเสี่ยงนั้นมีระดับความรุนแรงที่สูงขึ้น  (รวมถึงมีมาตรการควบคุมพิเศษเพิ่มเติมหรือมีการเปลี่ยนแปลงระดับการควบคุม)

กรณีตัวอย่าง : 

เมื่อมีการประเมินการบริหารควาเสี่ยงหรือการควบคุมภายในก็จะมีความผิดพลาด (มุมมองส่วนตัวของเรา) เพราะมีการเพิกเฉยต่อการบริหารจัดการความเสี่ยงและการควบคุมภายในที่เกี่ยวข้องกับการตั้งค่าวัตถุประสงค์ขององค์กรให้ชัดเจนตั้งแต่ต้น เพราะการกำหนดวัตถุประสงค์จะต้องเกิดก่อน  แต่การจัดการความเสี่ยงและการควบคุมภายในที่เกี่ยวข้องกับวัตถุประสงค์ จะมาหลังจากเข้าไปติดตามและประเมินผลวัตถุประสงค์แล้วพบว่ามีอุปสรรค หรือ ปัญหาประการใด ที่ทำให้ไม่สามารถบรรลุตามวัตถุประสงค์ได้

นอกจากนี้ มีความเสี่ยงอย่างหนึ่งที่ถูกมองข้ามอย่างมากต่อการบริหารความเสี่ยงที่มีประสิทธิภาพ  เช่น

  1. ผู้จ้ดการด้านการตลาดคนหนึ่ง พิจารณาความเสี่ยงในฝ่ายงานของตนว่าไม่มีปัญหา เพราะตนมีระบบควบคุมภายใน (ที่องค์กรทุกองค์กรจะต้องกำหนดขึ้นมาเอง) ดีอยู่แล้ว  และตนมีประสบการณ์สูง  เชื่อมั่นตนเอง  ทำให้องค์กรไม่พิจารณาความเสี่ยงที่เกิดจากการตัดสินใจของพวกเขา  ก็คือว่าข้อมูลที่ใช้ในการประเมินความเสี่ยงที่ไม่ถูกต้อง  ควรจะมีระบบการควบคุมความเสี่ยงล่วงหน้าก่อนการเปิดปัญหา
  2. ไม่สามารถรักษาพนักงานที่มีความรู้ความสามารถไว้ภายในบริษัทได้  ทำให้บริษัทมีความเสี่ยงต่อการดำเนินงานของการควบคุมภายใน  สิ่งเหล่านี้อาจจะยังไม่ได้รับการแก้ไข  ซึ่งบริษัท จำเป็นจะต้องมีการมาตรการทางอ้อมในการควบคุมภายในด้วยการถ่ายทอดความรู้ ความสามารถ และทักษะส่วนตัวให้กับหน่วยงาน หรือ บุคลากรที่เป็นทายาททางตำแหน่ง ล่วงหน้า ผ่านระบบเทคโนโลยีสารสนเทศ ต่างๆ

สรุปข้อควรปฎิบัติ

  1. ทำความเข้าใจเกี่ยวกับความสัมพันธ์ระหว่างวัตถุประสงค์การตั้งค่าการจัดการความเสี่ยง เพื่อให้วัตถุประสงค์เหล่านั้นและการควบคุมภายใน อยู่ในระดับความเสี่ยงที่ยอมรับได้
  2. กำหนดผลสำเร็จตามวัตถุประสงค์ในระดับที่องค์กร สามารถปฎิบัติได้จริง  และมีตัวชี้วัดที่เหมาะสมและมีผลในเชิงรูปธรรม
  3. คุณมีระบบติดตามวัดประสิทธิภาพของความสำเร็จ หรือ อุปสรรคของ วัตถุประสงค์ขององค์กรในหว่างการปฎิบัติงาน และการดำเนินการอยู่ และจำเป็นจะต้องมีการปรับเปลี่ยนมาตรการควบคุมภายในขององค์กร ให้สอดคล้องกับสถานการณ์ตลอดเวลา
  4. ทีมงานด้านการวางแผนบริหารความเสี่ยง และทีมงานด้านการวางแผนกลยุทธ์ระดับองค์กร จะต้องมีการพูดคุยกันและมีข้อตกลงร่วมกันในการยอมรับความสำเร็จระดับองค์กร ที่ยอมรับได้ และควบคุมความเสี่ยงได้
  5. ตรวจสอบให้แน่ใจว่าการประเมินความเสี่ยงเมื่อเทียบกับระดับที่ยอมรับได้ตาม KPIs เป็นส่วนหนึ่งของการทำงานในระดับองค์กร และการตัดสินใจทุกวัน 
  6. ตรวจสอบให้แน่ใจว่าคุณมีการผสมผสานกันอย่างลงตัวและมีประสิทธิภาพและประสิทธิผล ของการควบคุมภายใน และการบริหารความเสี่ยง สอดคล้องกับการตั้งค่าวัตถุประสงค์  และมีการประเมินความสำเร็จของวัตถุประสงค์  รวมถึงการทำความเข้าใจและรักษาความจำเป็นในการบริหารความเสี่ยงต่อการดำเนินงานขององค์กร

สุดท้าย เราเชื่อว่าทุกๆ ท่าน เข้าใจเกี่ยวกับความสอดคล้องกัน ของ วัตถุประสงค์องค์กร  การบริหารความเสี่ยง  และการควบคุมภายใน เป็นอย่างดีแล้ว ที่เหลือก็เพียงแต่ลงมือทำการวิเคราะห์และประชุมร่วมกัน เพื่อหาข้อสรุปที่เป็นรูปธรรม เพื่อนำไปสู่กระบวนการปฎิบัติงาน  อย่างไรก็ตามขอให้นำเสนอความเห็นแบบสร้างสรรค์ อย่านำความรู้สึกส่วนตัวเป็นที่ตั้ง และอย่านำตำแหน่งที่ใหญ่กว่ามาเป็นตัวกำหนดเป้าหมายและวัตถุประสงค์องค์กร โดยไม่สอบถามความเห็นจากเจ้าหน้าที่ระดับปฎิบัติการก่อนทุกครั้ง และทำการวางแผนการควบคุมภายใน และการบริหารความเสี่ยงในปัจจัยเสี่ยงที่มีความสำคัญๆ ทันที รวมทั้งจะต้องปรับเปลี่ยนให้สอดคล้องตามสถานการณ์ที่เปลี่ยนแปลงอยู่ตลอดเวลา

ขอให้ทุกๆ ท่าน มีความสุขสดชื่น ในช่วงเวลเข้าพรรษา

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

htt://eiamsri.wordpress.com 

Advertisements

กรกฎาคม 27, 2013 - Posted by | Risk Management |

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: