COSO Frameworks and Control Self-Assessment

งานนำเสนอเรื่อง: "COSO Frameworks and Control Self-Assessment"— ใบสำเนางานนำเสนอ:

1 COSO Frameworks and Control Self-Assessment
GSIA5201 Internal Audit 1: Conceptual and Institutional Framework การตรวจสอบภายใน1: กรอบแนวคิดและโครงสร้างทางสถาบัน หลักสูตรบริหารธุรกิจมหาบัณฑิต สาขาบริหารธุรกิจ สาขาการจัดการตรวจสอบภายใน มหาวิทยาลัยราชภัฏจันทรเกษม วันเสาร์ที่ 23 สิงหาคม :00-19:00น. 16/09/61

2 วัตถุประสงค์การเรียนรู้
กรอบแนวคิดการควบคุมภายใน COSO Internal Control – Integrated Framework (1992) กรอบแนวคิดการบริหารความเสี่ยงองค์กร COSO Enterprise Risk Management (2004) การประเมินการควบคุมด้วยตนเอง (Control Self-Assessment หรือ CSA) 16/09/61

3 แนะนำวิทยากร ไพรัช ศรีวิไลฤทธิ์ CIA CISA CBA CCSA CFSA CISSP
หัวหน้าตรวจสอบภายใน บมจ. ธนาคารทิสโก้ ปริญญาตรีวิศวกรรมศาสตร์ จุฬาฯ (2528) ปริญญาโทบริหารธุรกิจ ธรรมศาสตร์ฯ (2533) IIA’s EIAP รุ่นที่ 7 จุฬาฯ (2546) ประสบการณ์ด้านวิศวกรรม 5 ปี ประสบการณ์ด้านการเงินในทิสโก้ 18 ปี ประธาน ชมรมผู้ตรวจสอบภายในธนาคารและสถาบันการเงิน (2549) กรรมการ สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ - ภาคพื้นกรุงเทพฯ วิทยากรและคณะทำงาน สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย 16/09/61

4 แนวคิด วัตถุประสงค์ กระบวนการ ความเสี่ยง การควบคุม และ การกำกับดูแล
Governance กระบวนการ Process วัตถุประสงค์ Objective ความเสี่ยง Risk การควบคุม Control 16/09/61

5 วิวัฒนาการ 1977 : Foreign Corrupt Practice Act
1985 : จัดตั้ง National Commission on Fraudulent Financial Reporting 1987 : จัดตั้ง Committee of Sponsoring Organization of the Treadway Commission (COSO) 1992 : COSO เสนอรายงาน Internal Control – Integrated Framework 2004 : COSO เสนอรายงาน Enterprise Risk Management Framework 16/09/61

6 กรอบแนวคิดการควบคุมภายใน COSO (1992)
16/09/61

7 นิยาม COSO Internal Control – Integrated Framework 1992
"การควบคุมภายใน คือ กระบวนการที่คณะกรรมการ ผู้บริหาร พนักงาน กำหนดขึ้นเพื่อสร้างความเชื่อมั่นอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์เกี่ยวกับ 1. ประสิทธิภาพประสิทธิผลของการดำเนินงาน 2. ความเชื่อถือได้ของรายงานทางการเงิน และ 3. การปฏิบัติตามกฎหมายและกฎระเบียบที่เกี่ยวข้อง" 7 16/09/61 16/09/61 7

8 แนวคิดหลัก เป็น “กระบวนการ” ไม่ใช่เป้าหมาย ทุกคนในองค์กรมีส่วนร่วม
ให้ความเชื่อมั่นอย่างสมเหตุสมผล ไม่มี การควบคุมที่สมบูรณ์แบบ ฝังอยู่ในกระบวนการปฏิบัติงาน ต้นทุน vs ประโยชน์ที่ได้รับ ความเสี่ยงและการควบคุม 8 16/09/61 16/09/61 8

9 วัตถุประสงค์การควบคุม
Compliance Accomplishment of Goals & Objectives Reliability & Integrity of Information Economical & Efficient Use of Resources Safeguarding of Assets 9 16/09/61 16/09/61

10 COSO Internal Control – Integrated Framework
สภาพแวดล้อมการควบคุม (Control Environment) การประเมินความเสี่ยง (Risk Assessment) กิจกรรมการควบคุม (Control Activities) สารสนเทศและการสื่อสาร (Information and Communication) การติดตามผล (Monitoring) 16/09/61

11 1. Control Environment จิตสำนึกและบรรยากาศของการควบคุมภายในจากผู้บริหารระดับสูง ความซื่อสัตย์สุจริตและความมีจริยธรรม ปรัชญาและรูปแบบการบริหารของฝ่ายบริหาร โครงสร้างขององค์กร การมอบหมายอำนาจและภาระหน้าที่ นโยบายและการปฏิบัติทางด้านทรัพยากรบุคคล ความสามารถในหน้าที่ของบุคลากร 11 16/09/61 16/09/61

12 2. Risk Assessment ทุกองค์กรมี ความเสี่ยง จำเป็นต้องเตรียมพร้อมเพื่อจำกัดผลกระทบอยู่ในระดับที่ยอมรับได้ กำหนดวัตถุประสงค์ และเป้าหมายการปฏิบัติงาน ระบุความเสี่ยง (1) ระดับกิจการ (2) ระดับกิจกรรม วิเคราะห์ความเสี่ยง (1) โอกาสเกิด (2) ผลกระทบ (3) ระดับความเสี่ยง บริหารความเสี่ยง ติดตามประเมินผล 12 16/09/61 16/09/61

13 Risk Map Impact vs. Likelihood High I m p a c t Low High Likelihood
100 High Medium Risk High Risk การซื้อสินค้าไม่ได้ถูกบันทึกรายการ สั่งจ่ายเงินเพื่อสินค้าที่ไม่ได้รับจริง I m p a c t Monitor Mitigate & Control 50 Low Risk Medium-High Risk บันทึกรายการซื้อสินค้าผิดหน่วยงาน สั่งซื้อสินค้าเกินอำนาจอนุมัติ Accept Control Low 100 50 High Likelihood 13 16/09/61 16/09/61 13

14 ประเภทของกิจกรรมการควบคุม
Preventive Controls Detective Controls Directive Controls IT General Controls Preventive, Detective or Directive IT Application Controls 16/09/61

15 ตัวอย่างกิจกรรมควบคุม
การกำหนดนโยบายและวิธีปฏิบัติงานที่ชัดเจน การอนุมัติโดยผู้มีอำนาจก่อนทำรายการ การบันทึกรายการอย่างถูกต้องแม่นยำ ธุรกรรมได้รับการรายงานอย่างเหมาะสม การสอบทานโดยผู้บริหารระดับกลาง การควบคุมการประมวลผลข้อมูล การควบคุมความปลอดภัยของทรัพย์สินและข้อมูล การแบ่งแยกหน้าที่สำคัญออกจากกัน การใช้ดัชนีวัดผลการดำเนินงาน การจัดทำหลักฐานเอกสาร 15 16/09/61 16/09/61

16 การควบคุมที่ดี ไม่เสียค่าใช้จ่ายเกินควร ควบคุมในจุดที่สำคัญ
เหมาะสมและเข้าใจง่าย สอดคล้องกับเป้าหมาย ทันกาล 16/09/61

17 การควบคุมเชิงป้องกัน
ป้องกันสิ่งที่ไม่พึงประสงค์ ข้อผิดพลาด ทุจริต ระบบคอมพิวเตอร์ตรวจเลขที่บัญชีที่พนักงานคีย์เข้า ทำลายเอกสารที่มีข้อมูลสำคัญเพื่อกันการรั่วไหล พนักงานอ่านและทำความเข้าใจนโยบายและคู่มือ ผู้บริหารอนุมัติคำขอจัดซื้อ ระบบให้สิทธิการเข้าถึงข้อมูลเฉพาะผู้มีอำนาจหน้าที่ อาคารและระบบความปลอดภัยจำกัดการเข้าถึงสินทรัพย์ ไม่วางอาหารและเครื่องดื่มใกล้อุปกรณ์คอมพิวเตอร์ สำรองข้อมูลเป็นระยะตามระดับความสำคัญ เก็บรหัสผ่านเป็นความลับ ติดตั้งและใช้งานซอฟแวร์ป้องกันไวรัส 17 16/09/61 16/09/61

18 4. Information and Communication
- เหมาะสม - ถูกต้องสมบูรณ์ - เป็นปัจจุบัน - ทันเวลา - สะดวกในการเข้าถึง การสื่อสาร (Communication) ควรมีการสื่อสารสองทางเพื่อความเข้าใจระหว่างผู้รับผิดชอบในงานที่เกี่ยวข้องกัน 18 16/09/61 16/09/61

19 Information Flow Up: Down: Progress reports Goals / objectives Top
Problem identification Improvement suggestions Down: Goals / objectives Directives Policies / procedures Top Management Across: Daily work information —all levels Senior Managers Supervisors Line Staff 19 16/09/61 16/09/61

20 5. Monitoring ระหว่างการดำเนินงาน สังเกต ติดตาม ความคืบหน้า
การประเมินผล ตามช่วงเวลา การตรวจสอบโดยผู้ตรวจสอบภายใน การประเมินการควบคุมด้วยตนเอง ประชุมเชิงปฏิบัติการร่วมกันระหว่างผู้บริหาร ผู้ปฏิบัติงาน ผู้มีความรู้ด้านการควบคุม และผู้ที่เกี่ยวข้อง การรายงานข้อบกพร่องและการสั่งการแก้ไข ความแตกต่างระหว่างผลการดำเนินงานจริง กับตัวเลขตามประมาณการ ระบุผู้รับผิดชอบ วิธีการแก้ไข และกำหนดเวลาข้อบกพร่อง 20 16/09/61 16/09/61

21 กรอบแนวคิดการบริหารความเสี่ยงองค์กร COSO ERM (2004)
16/09/61

22 Risk Management Concept
การบริหารเพื่อลดความเสี่ยงลงมาอยู่ในระดับที่ยอมรับได้ต้องพิจารณาความคุ้มค่าระหว่างต้นทุนกับประโยชน์ Inherent Risk Effective Control Effective Control Residual Risk Treatment Plan ระดับความเสี่ยง ที่ยอมรับได้ (Risk Appetite) Residual Risk 22 16/09/61 16/09/61 22

23 COSO ERM 2004 เสนอกรอบในการบริหารจัดการความไม่แน่นอน ทั้งความเสี่ยงและโอกาส ได้อย่างมีประสิทธิผล และช่วยเพิ่มความสามารถแก่ผู้บริหารในการสร้างคุณค่า ประกอบด้วยหลักการ (Principle) คำศัพท์/คำนิยาม (Common Terminology) และแนวทางการนำระบบการบริหารความเสี่ยงไปปฏิบัติ (Implementation Guidance) 23 16/09/61 16/09/61 23

24 นิยาม COSO Enterprise Risk Management (2004)
"Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise. It is designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives." 24 16/09/61 16/09/61 24

25 แนวคิดหลัก เป็นการปฏิบัติอย่างต่อเนื่องเสมือนเป็นกิจกรรมการทำงานอย่างหนึ่งขององค์กร ความสำเร็จของการบริหารความเสี่ยงขึ้นกับคนในองค์กร เป็นส่วนหนึ่งของกระบวนการกำหนดกลยุทธ์ พิจารณาความเสี่ยงในลักษณะของ Portfolio ทั้งองค์กรตั้งแต่ระดับกิจกรรมจนถึงหน่วยธุรกิจและโครงการ ระบุ ประเมิน และบริหารความเสี่ยง ให้อยู่ในระดับที่องค์กรยอมรับได้ (Risk Appetite) ช่วยเพิ่มความเชื่อมั่นว่าองค์กรจะสามารถบรรลุวัตถุประสงค์ เป้าหมายที่กำหนด 25 16/09/61 16/09/61 25

26 ERM vs. Control Framework
Enterprise Risk Management Expands on elements Internal environment Objective setting Event identification Risk assessment Risk response Control activities Information & communication Monitoring Internal Control Framework Core elements Control environment Risk assessment Control activities Information & communication Monitoring 16/09/61

27 COSO Frameworks 16/09/61 This text is just greeking.
Global competitive energy company with extensive operations in North America, Europe, and Asia: Leading positions in both power generation and energy risk management and marketing Develops, constructs, owns, and operates power plants Sells wholesale electricity, natural gas, and other energy commodities 16/09/61

28 องค์ประกอบหลักของ ERM
1. Internal Environment สภาพแวดล้อมภายในองค์กร เป็นองค์ประกอบพื้นฐานของการบริหารความเสี่ยงองค์กร เป็นตัวกำหนดโครงสร้างและวินัยในการทำงาน สภาพแวดล้อมภายในองค์กรส่งผลต่อวิธีการกำหนดกลยุทธ์ และเป้าหมายการดำเนินธุรกิจ วิธีการจัดโครงสร้างของกิจกรรมทางธุรกิจ รวมทั้งวิธีการระบุ ประเมิน และ จัดการกับความเสี่ยง 28 16/09/61 16/09/61

29 องค์ประกอบหลักของ ERM
2. Objective Setting กำหนดวัตถุประสงค์ องค์กรต้องกำหนดวัตถุประสงค์ เป้าหมายการดำเนินธุรกิจ ก่อนที่จะระบุเหตุการณ์ความเสี่ยงที่อาจส่งผลกระทบต่อ ความสำเร็จของวัตถุประสงค์ เป้าหมายนั้น 29 16/09/61 16/09/61

30 องค์ประกอบหลักของ ERM
3. Event Identification ระบุเหตุการณ์ความเสี่ยง ระบุเหตุการณ์ความเสี่ยง หรือความไม่แน่นอนที่อาจเกิดขึ้น โดยพิจารณาจากปัจจัยทั้งภายในและภายนอกองค์กร ปัจจัยภายนอก อาทิ สภาวะเศรษฐกิจ การเมือง การเปลี่ยนแปลงทางเทคโนโลยี ภาวะแวดล้อมทางธรรมชาติ ปัจจัยภายใน อาทิ บุคลากร กระบวนการ เทคโนโลยี 30 16/09/61 16/09/61

31 องค์ประกอบหลักของ ERM
4. Risk Assessment การประเมินความเสี่ยง การประเมินความเสี่ยงช่วยให้องค์กรทราบว่า เหตุการณ์ความเสี่ยง/ความไม่แน่นอนนั้นจะส่งผลกระทบต่อการบรรลุเป้าหมายขององค์กรอย่างไร โดยการวิเคราะห์กระทำใน 2 ด้าน คือ โอกาสที่จะเกิดเหตุการณ์ความเสี่ยง (Likelihood) ผลกระทบหากเกิดเหตุการณ์ความเสี่ยง (Impact) 31 16/09/61 16/09/61

32 องค์ประกอบหลักของ ERM
5. Risk Response ระบุทางเลือกจัดการความเสี่ยง คัดเลือกทางเลือกที่เหมาะสมและนำไปปฏิบัติ โดยถือเป็นส่วนหนึ่งของการบริหารความเสี่ยงองค์กร มี 4 แนวทางหลัก การหลีกเลี่ยงความเสี่ยง (Avoidance Response) การลด/ควบคุมความเสี่ยง (Reduction Response) การหาผู้ร่วมรับผิดชอบความเสี่ยง (Sharing Response) การยอมรับความเสี่ยง (Acceptance Response) 32 16/09/61 16/09/61

33 องค์ประกอบหลักของ ERM
6. Control Activities กิจกรรมควบคุม นโยบายและกระบวนการที่จะช่วยให้แน่ใจว่า วิธีจัดการ ความเสี่ยงที่กำหนดในขั้นตอนก่อนหน้านั้น ไดถูกนำไปปฏิบัติอย่างถูกต้อง องค์กรต้องกำหนดกิจกรรมควบคุมนี้ อย่างทั่วถึงทั้งองค์กร ทุกระดับชั้น และทุกงาน (All Functions) 33 16/09/61 16/09/61

34 องค์ประกอบหลักของ ERM
7. Information and Communication สารสนเทศ ตองระบุสารสนเทศที่จำเป็นทั้งจากภายในและภายนอก และมีระบบสื่อสารไปยังบุคลากรในองค์กร เพื่อปฏิบัติ ครอบคลุมการสื่อสาร บน-ล่าง ล่าง-บน และระหว่างหน่วยงาน สำคัญและจำเป็นในทุกระดับชั้นขององค์กร เนื่องจากใช้สารสนเทศระบุ ประเมิน และกำหนดวิธีจัดการกับความเสี่ยง และเพี่อดำเนินงานอื่น ๆ ให้บรรลุเป้าหมาย 34 16/09/61 16/09/61

35 องค์ประกอบหลักของ ERM
8. Monitoring ระบบติดตามการบริหารความเสี่ยงองค์กร กระบวนการประเมิน ความมีอยู่และคุณภาพขององค์ประกอบการบริหารความเสี่ยงทั้ง 7 ข้อ ข้างต้น ทำได้ 2 ลักษณะ การประเมินแยกต่างหาก (Separate Evaluation) การติดตาม/ประเมินต่อเนื่อง (Ongoing Activities) แบบ Real-time และตอบสนองอย่างรวดเร็วต่อการเปลี่ยน แปลงของเงื่อนไข/สภาพแวดล้อม จึงมีประสิทธิภาพกว่าวิธีแรก 35 16/09/61 16/09/61

36 (Information – Communication
COSO ERM Road Map Environment Objectives Assessment (Identify & Assess) Governance (Monitoring) Respond (Control Activities & Response) Monitor (Information – Communication & Monitoring) 16/09/61

37 ตัวอย่าง Risk Map 16/09/61 LIKELIHOOD Risk Level : T C A P M I / E C N
5 H G I H T C A P M I / E C N 3 E U Q E S N O C W O L 1 3 5 LOW HIGH LIKELIHOOD Risk Level : Extreme High Moderate Low 16/09/61

38 โครงสร้างการบริหารความเสี่ยง
16/09/61

39 การประเมินการควบคุมด้วยตนเอง
16/09/61

40 Control Self-Assessment
การประเมินการควบคุมด้วยตนเอง ริเริ่มโดย Gulf Canada ในปี 1987 Facilitated Meeting Control Assessment ทดแทนการหาข้อมูลและตรวจสอบแบบเดิม กระจายอำนาจ (Empowerment) การพัฒนาอย่างต่อเนื่อง (Continuous Improvement) ปรับปรุงการควบคุมภายใน เพิ่มประสิทธิผลและประสิทธิภาพของ กระบวนการบริหารความเสี่ยง จุดเริ่มต้นของการควบคุมภายในโดยการประเมินตนเอง (Control Self-Assessment) จากการทดลองของบริษัท กัฟล์ แคนนาดา Gulf Canada ในปี พ.ศ (ค.ศ. 1987) โดยทางบริษัทเห็นว่าควรจะมีเครื่องมือที่ช่วยเหลีอในเรื่องของการควบคุมภายในที่ดีและมีประสิทธิภาพมากกว่าการจะพึ่งพาแต่แผนกตรวจสอบภายในและผู้บริหารเท่านั้น จึงได้พัฒนาแนวทางที่เรียกว่า การประเมินตนเองโดยใช้การประชุมแบบเกื้อกูลหรือเกื้อหนุน (facilitated meeting control assessment) โดยแนวทางนี้ได้มีการรวมพลระหว่างผู้บริหารและพนักงานเพื่อมาสู่กระบวนการสัมภาษณ์ และหารือในเรื่องของประเด็นเจาะจงหลักๆ และกระบวนการต่างๆในการทำงาน แนวทางนี้เป็นกลไกในการเสาะหาข้อมูลและข้อเท็จจริงเพื่อประเมินการควบคุมที่ไม่เป็นทางการในลักษณะการควบคุมแบบไม่คุมเข้ม (Soft controls) เช่น การคัดสรรบุคลากรให้เหมาะสมกับงาน การสร้างแรงจูงใจให้ปฏิบัติตามกฎ เป็นต้น และแบบคุมเข้ม (Hard controls) เช่น การลงโทษผู้กระทำผิด การห้ามคนที่ไม่เกี่ยวข้องเข้าออกสถานที่สำคัญๆในองค์การ เป็นต้น โดยที่ กัฟล์ แคนนาดา มองเห็นว่า แนวทางการประเมินตนเองนี้มีประสิทธิผลต่อการควบคุมภายในมากกว่าการใช้วิธีหาข้อมูลและตรวจสอบแบบเดิมๆ ที่พึ่งพาการสัมภาษณ์และการหาข้อมูลจากฝ่ายตรวจสอบแต่เพียงข่ายเดียว (One-on-one audit interviews) ในช่วงระยะเวลาเดียวกัน องค์การเอกชนทั่วโลกได้มีการริเริ่มการใช้โปรแกรม CSA อย่างมากมาย และในหลายๆมลรัฐของประเทศสหรัฐอเมริกาได้เริ่มการบังคับให้ทำการประเมินการควบคุมภายในด้วยตนเองมากขึ้น ไม่ว่าจะเป็นมลรัฐนิวยอร์ค มลรัฐเทนเนสซี และมลรัฐเท็กซัส ซึ่งได้มีการออกกฏบังคับในเรื่องของประเมินการควบคุมภายในด้วยตนเอง ในช่วงทศวรรษ 1980 ทั้งสิ้น หน่วยงานของรัฐทางด้านบัญชีและการตรวจสอบต้องปฏิบัติตามกฎเกณฑ์ที่ว่าด้วยกระบวนการประเมินการควบคุมภายในด้วยตนเองไม่ว่าจะเป็นในรูปแบบของแบบสอบถามหรีอ กระบวนการการวิเคราะห์โดยผู้บริหาร องค์การเช่น The Federal Deposit Insurance Corporation (FDIC) และ The Canadian Deposit Insurance Corporation (CDIC) ซึ่งเป็นหน่วยงานของรัฐที่ดำเนินการกำกับดูและสถาบันการเงินต่างๆของประเทศสหร์ฐอเมริกา และประเทศแคนนาดา ยังได้มีการออกกฎให้สถาบันการเงินทุกแห่งในสหรัฐ และแคนนาดา มีการประเมินการควบคุมภายในขององค์การตน โดยที่ CDIC ได้มีการระบุถึงกระทั่งแนวทางของ CSA ที่ต้องมีการปฏิบัติตามอย่างเฉพาะเจาะจงด้วย 16/09/61

41 ความหมาย ตรวจสอบและประเมินประสิทธิผลของการควบคุมภายใน
พนักงานทุกคนในองค์กรมีส่วนร่วมรับผิดชอบต่อกระบวนการ มีรูปแบบชัดเจน (Structured Environment) เป็นทางการ บันทึกและรายงานผลเป็นลายลักษณ์อักษร ก่อให้เกิดการปรับปรุงอย่างต่อเนื่อง ช่วยให้ผู้บริหารและทีมงานที่รับผิดชอบสามารถ ร่วมกันประเมินการควบคุมภายในของตน ประเมินความเสี่ยง กำหนดแผนแก้ไขข้อบกพร่องที่พบ ประเมินความเป็นไปได้ที่จะ บรรลุเป้าหมาย การควบคุมภายในโดยการประเมินตนเอง (Control Self-Assessment) คืออะไร การควบคุมภายในโดยการประเมินตนเอง (Control Self-Assessment) อาจจะนิยามได้ว่าเป็น "กระบวนการที่ความมีประสิทธิผลของการควบคุมภายในได้มีการถูกตรวจสอบและประเมินผล โดยการนั้นมีวัตถุประสงค์เพื่อให้ได้มีการจัดการให้เกิดความเชี่อมั่นอย่างสมเหตุสมผลว่าเป้าหมายต่างๆ ของธุรกิจนั้นๆได้มีการบรรลุได้อย่างเหมาะสม และ โดยที่ความรับผิดชอบต่อกระบวนการต่างๆนั้นได้มีการแบ่งปันกันอย่างสมดุลย์ระหว่างพนักงานทุกๆคนภายในองค์การนั้นๆ" CSA นั้น ควรจะมีการจัดทำภายใต้โครงสร้างที่มีความเป็นรูปแบบที่ชัดเจน (Structured Environment) โดยมีการทำทุกอย่างเป็นลายลักษณ์อักษรให้มากที่สุด เพื่อการปฏิบัติตามกระบวนการแบบเดิมๆซ้ำอีก และการพัฒนาอย่างต่อเนื่องสามารถทำได้ กระบวนการ CSA นั้นช่วยให้ทีมงานและผู้บริหารที่ต้องรับผิดชอบต่อหน้าที่ทางธุรกิจสามารถที่จะมีส่วนร่วมในการประเมินผลการควบคุมภายใน ประเมินความเสี่ยง พัฒนาแนวทางและแผนกิจกรรมที่จะมีขึ้นเพื่อจัดการข้อบกพร่องที่หาพบ ประเมินความเป็นไปได้ที่จะบรรลุเป้าหมายของธุรกิจขององค์การ 16/09/61

42 CSA Process Information Goals & Objectives
Establish Control Environment Information Communication & Goals & Objectives Monitor Performance Perform Risk Assessment Implement Control Activities 16/09/61

43 ประยุกต์กับกระบวนการอื่น
บริหาร ความเสี่ยง ปรับปรุง คุณภาพ วางแผน ธุรกิจ บริหาร จัดการ วางระบบ การควบคุม CSA 16/09/61

44 มุมมองของ IIA CSA ให้ข้อมูลที่เป็นประโยชน์ในการตัดสินคุณภาพของการควบคุมภายใน เสริมสภาพแวดล้อมการควบคุม โดยเพิ่มความเข้าใจและยอมรับเรื่องของการควบคุม (Control Consciousness) ของพนักงาน ผลสำเร็จขึ้นกับการมีส่วนร่วมของผู้เกี่ยวข้อง และวัฒนธรรมองค์กร ตลอดจนทัศนคติของผู้บริหาร อาจ Facilitate โดยกลุ่มใดในองค์กรก็ได้ รวมถึงผู้ตรวจสอบภายใน ทางสมาคมผู้ตรวจสอบภายในของสหรัฐ The Institute of Internal Auditors - IIA มีความเชื่อว่า CSA จะเป็นกระบวนการที่ก่อให้เกิดข้อมูลทางการควบคุมภายในที่จะเป็นประโยชน์ต่อผู้บริหารระดับสูงและผู้ตรวจสอบภายใน ในการตัดสินคุณภาพของการควบคุมภายใน นอกจากนี้ยังเป็นการสร้างผลกระทบในเชิงบวกกับสภาวะแวดล้อมในการควบคุมขององค์การ เมื่อมีพนักงานเข้าใจและยอมรับกระบวนของการควบคุม(โดยตนเอง) มากขึ้น ความตระหนักในเรื่องของการควบคุม (Control Consciousness) ย่อมมีมากขึ้นเป็นเงาตามตัว แม้ IIA จะได้ตระหนักว่า CSA เป็นระเบียบวิธีการที่ค่อนข้างจะยังใหม่อยู่แต่สิ่งนี้ก็ได้รับการยอมรับและเติบโตแพร่หลายอย่างรวดเร็ว ผลสำเร็จของ CSA นั้นจะขึ้นอยู่กับการมีส่วนร่วมอย่างมีประสิทธิผลของผู้ที่เกี่ยวข้องเป็นสำคัญ การตอบสนองและการยอมรับของคนเหล่านั้นเป็นส่วนหนึ่งของวัฒนธรรมขององค์การที่สำคัญอันน่าจะเป็นผลสะท้อนที่มาจากทัศนะคติของผู้บริหารต่อหลักการของ CSA ด้วย การสนับสนุนเกื้อกูล กระบวนการ CSA นั้นสามารถมาจากกลุ่มใดๆในองค์การก็ได้ซึ่งรวมไปถึงคณะผู้ตรวจสอบภายใน แต่ไม่ว่าจะมาจากกลุ่มใดคณะใดในองค์การก็ตาม CSA น่าจะมีส่วนช่วยให้เกิดสิ่งต่อไปนี้ ความตระหนักที่เพิ่มขึ้นของเป้าหมายขององค์การและบทบาทของการควบคุมภายในที่จะเป็นส่วนช่วยให้บรรลุเป้าหมายเหล่านั้น การสร้างแรงจูงใจให้กับบุคลากรในการออกแบบและปฏิบัติตามขั้นตอนของกระบวนการการควบคุม รวมไปถึงการปรับปรุงกระบวนการการควบคุมภายในขององค์การอย่างต่อเนื่องด้วย 16/09/61

45 มาตรฐาน 2120 – การควบคุม ประเมินประสิทธิผลประสิทธิภาพของระบบการควบคุม และปรับปรุงต่อเนื่อง 2120.A1 – ประเมินความเสี่ยง ประเมินความเพียงพอและประสิทธิผลของการควบคุม ครอบคลุมการกำกับดูแล การดำเนินงาน และระบบสารสนเทศ PA 2120.A1-2 – ใช้ CSA ประเมินความเพียงพอ ของกระบวนการควบคุม 2120.A2 – ทราบขอบเขตเป้าหมายและวัตถุประสงค์ 2120.A3 – สอบทานผลการดำเนินงานกับ เป้าหมายและวัตถุประสงค์ 2120.A4 – ควรทราบเกณฑ์ที่ผู้บริหารกำหนด 2120 – การควบคุม กิจกรรมการตรวจสอบภายในควรมีส่วนช่วยให้องค์กรคงไว้ซึ่งการควบคุมที่มีประสิทธิผล โดยการประเมินประสิทธิผลและประสิทธิภาพของระบบการควบคุม และสนับสนุนให้มีการปรับปรุงอย่างต่อเนื่อง 2120.A1 – โดยอาศัยผลของการประเมินความเสี่ยง กิจกรรมการตรวจสอบภายในจะทำการประเมินความเพียงพอและประสิทธิผลของการควบคุม โดยให้ครอบคลุมถึงการกำกับดูแล การดำเนินงาน และระบบสารสนเทศ ทั้งนี้รวมถึงเรื่องต่อไปนี้ • ความถูกต้อง ครบถ้วน และเชื่อถือได้ของข้อมูลทางการเงินและข้อมูลการดำเนินงาน • ประสิทธิผลและประสิทธิภาพของการดำเนินงาน • การดูแลรักษาทรัพย์สิน • การปฏิบัติตามกฎหมาย ระเบียบข้อบังคับ และสัญญา 2120.A2 – ผู้ตรวจสอบภายในควรทราบชัดถึงขอบเขตของเป้าหมายและวัตถุประสงค์ในการปฏิบัติงานตามโครงการซึ่งได้กำหนดขึ้นให้สอดคล้องกับเป้าหมายและวัตถุประสงค์ขององค์กร 2120.A3- ผู้ตรวจสอบภายในควรสอบทานความสอดคล้องของผลการดำเนินงานและ โครงการต่างๆ กับเป้าหมายและวัตถุประสงค์ที่กำหนดไว้ เพื่อให้แน่ใจว่าการดำเนินงานและ โครงการต่างๆ ได้รับการนำไปปฏิบัติจริงและได้ผลดังที่กำหนด 2120.A4 – การประเมินการควบคุมจำเป็นจะต้องมีเกณฑ์วัดที่เหมาะสม ผู้ตรวจสอบควรทราบเกณฑ์ที่ผู้บริหารได้กำหนดไว้เพื่อวัดความสำเร็จตามเป้าหมายและ วัตถุประสงค์และใช้เกณฑ์นั้นในการประเมินการควบคุม หากผู้ตรวจสอบเห็นว่าเกณฑ์ดังกล่าวไม่เหมาะสม ควรร่วมกับผู้บริหารกำหนดเกณฑ์ที่เหมาะสมต่อไป 2120.C1 – ระหว่างการให้บริการให้คำปรึกษา ผู้ตรวจสอบควรระบุการควบคุมที่สอดคล้องกับวัตถุประสงค์ของกิจกรรมตามภารกิจและระมัดระวังถึงการมีอยู่ของจุดอ่อนของการควบคุมที่มีนัยสำคัญ 2120.C2 – ผู้ตรวจสอบภายในควรผสมผสานและนำความรู้ในเรื่องของการควบคุม ที่ได้มาจากการให้บริการให้คำปรึกษาไปใช้ในกระบวนการ กำหนดและการประเมินความเสี่ยงที่มีนัยสำคัญขององค์กร 16/09/61

46 ขั้นตอน CSA ระบุวัตถุประสงค์ ระบุและประเมินความเสี่ยง
Risk and Control Map ระบุและประเมินความเพียงพอ ของการควบคุม ระบุความเสี่ยงคงเหลือ Self Assessment of Control กำหนดแผนงานเพื่อแก้ไข ติดตามประเมินผลโดยฝ่ายตรวจสอบ รายงานเสนอ คณะกรรมการ รายงานผู้บริหารและ คณะกรรมการเป็นระยะ 16/09/61

47 รูปแบบ CSA การประชุม (Facilitated Meeting Control Assessment)
แบบสอบถาม (Questionnaires) การวิเคราะห์โดยผู้บริหาร (Management produced analysis) รูปแบบการควบคุมภายในโดยการประเมินตนเอง (Control Self-Assessment) โดยหลักๆแล้ว มีอยู่ 3 แนวทางในการดำเนินการการควบคุมภายในโดยการประเมินตนเองดังนี้ การประชุมแบบเกื้อกูลหรือเกื้อหนุนเพื่อประเมิน CSA (facilitated meeting control assessment) การใช้แบบสอบถาม (Questionnaires) การใช้ข้อมูลวิเคราะห์ซึ่งจัดทำโดยผู้บริหาร (Management produced analysis) โดยทั่วๆไปแล้วองค์การมักจะใช้แนวทางดังกล่าวข้างต้นในลักษณะที่ผสมกัน ตามที่เห็นเหมาะสมโดยไม่ได้ยึดแนวทางใดแนวทางหนึ่งแต่เพียงอย่างเดียว ทาง IIA นั้นได้มอบงานทำวิจัยชิ้นหนึ่งให้กับหน่วยงานอิสระแห่งหนึ่งในการศึกษาเรื่องของ CSA และพบว่า ทั้งสามแนวทางดังกล่าวข้างต้นนั้น แนวทางแรกที่เป็นลักษณะ CSA Workshop ได้รับความนิยมสูงสุดและเกือบจะทุกองค์การที่สำรวจจะใช้แนวทางนี้ อย่างไรก็ตาม ทาง IIA ก็ยังเสนอแนะว่าหากองค์การยังขาดความพร้อมในแง่ของวัฒนธรรมขององค์การที่ไม่เอื้อต่อการแสดงความคิดเห็นอย่างจริงใจ แนวทางของการใช้แบบสอบถามน่าจะเป็นทางเลือกอันดับต่อไป ซึ่งก็จะสามารถทำให้เกิดการพัฒนาในเรื่องของสภาพแวดล้อมของการควบคุมภายในที่ดีขึ้นได้ ผู้เขียนเองก็ได้เคยสัมผัสแนวทางการทำ CSA ของบริษัทข้ามชาติขนาดใหญ่จากประสบการณ์การทำงานของตนเองในประเทศไทยและพบว่าแนวทางโดยหลักๆของบริษัทเหล่านั้นก็จะใช้แนวทางในแบบ Questionnaire Survey นี้เอง 16/09/61

48 1. Facilitated Meeting ประกอบด้วยตัวแทนจากหลายหน่วยงาน
รวบรวมและทำความเข้าใจข้อมูลการควบคุมภายใน ร่วมหาแนวทางที่เหมาะสมในการแก้ปัญหาการควบคุมภายใน มีผู้ทำหน้าที่ Facilitator ช่วยประสานงานและดำเนินการประชุม คุณสมบัติของ Facilitator ควรได้รับวุฒิบัตร CCSA มีทักษะ และความรู้ความเข้าใจเกี่ยวกับการดำเนินการประชุมในลักษณะ Facilitated Meetings และการควบคุมภายในเป็นอย่างดี ได้รับความนิยมสูงในเกือบทุกองค์กร ที่สำรวจ ในการใช้แนวทางการประชุมแบบเกื้อกูลหรือเกื้อหนุนเพื่อประเมิน CSA (facilitated meeting control assessment) นั้น องค์การจะจัดให้มีขึ้นซึ่งกลุ่มที่ประชุมแบบเกื้อหนุน (Facilitated Team Meetings) ซึ่งจะประกอบไปด้วยทีมงานที่มาจากตัวแทนของหลายๆหน่วยงาน มาประชุมกันเพื่อให้ได้ข้อมูลของการควบคุมภายในในลักษณะต่างๆ เพื่อใช้ข้อมูลเหล่านั้นในการรับรู้ เข้าใจ และหาแนวทางที่เหมาะสมในการแก้ปัญหาข้อบกพร่องของการควบคุมภายในในหน่วยงานต่างๆที่เกี่ยวข้อง ในที่ประชุมนี้จะมีบุคคลที่เป็นผู้ที่ได้รับการฝึกฝนมาอย่างดีในเรื่องของการควบคุมภายในเป็นผู้ประสานงานการประชุมและผู้เกื้อหนุนในที่ประชุม (Facilitators) ซึ่งบุคคลคนนี้ควรจะมีคุณสมบัติเป็น ผู้สอบผ่านวุฒิบัตร CCSA เป็นอย่างน้อยและมีความรู้ความเข้าใจเกี่ยวกับการดำเนินการประชุมในลักษณะ Facilitated Meetings เป็นอย่างดี 16/09/61

49 แนวทางของการทำ CSA Objective-based เน้นดูว่าการควบคุมที่มีช่วยให้บรรลุวัตถุประสงค์ได้ดีเพียงไรและมีความเสี่ยงคงเหลือในระดับที่ยอมรับได้หรือไม่ Risk-based เน้นระบุความเสี่ยงที่ทำให้ไม่บรรลุวัตถุประสงค์และประเมินว่าการควบคุมเพียงพอในการจัดการความเสี่ยงหลักจนความเสี่ยงคงเหลืออยู่ในระดับที่ยอมรับได้หรือไม่ Control-based เน้นดูว่าการควบคุมที่มีทำงานได้ดีเพียงไรเปรียบเทียบกับสิ่งที่ผู้บริหารคาดหวัง Process-based เน้นพิจารณาขั้นตอนย่อยที่เลือกมาจากกระบวนการหลักเพื่อปรับปรุงกระบวนการทั้งหมด 16/09/61

50 CSA Workshop Flow วัตถุประสงค์หลัก Objective 1 Objective 2 Sub-obj 1
วัตถุประสงค์รอง Major Risk 1 Major Risk 2 Assoc. Risk 1 Assoc. Risk 2 Major Inherent Risk(s) Associated Risk(s) Control A Control B Control C การควบคุมที่มีอยู่ Residual Risk A Residual Risk B ความเสี่ยงคงเหลือ Control X Control Y ปรับปรุง/เพิ่ม การควบคุม 16/09/61

51 2. Questionnaires ใช้การสำรวจเป็นเครื่องมือหลัก คำถามลักษณะ ใช่/ไม่ใช่
Process Owners จัดเตรียมและตอบ ทำซ้ำเป็นระยะ วัฒนธรรมองค์กร การทดสอบโดยผู้ตรวจสอบภายใน อีกแนวทางคือแนวทางการใช้แบบสอบถาม (Questionnaire Approach) ซึ่งใช้วิธีการทำการสำรวจเป็นเครื่องมือโดยใช้แบบสอบถามที่มีคำถามที่ให้ตอบในลักษณะ ใช่/ไม่ใช่ มี/ไม่มี เป็นสำคัญ ผู้ที่เป็นผู้รับผิดชอบต่อกระบวนการควบคุมภายในหลักๆ ใดๆ (Process Owners) จะต้องเป็นผู้จัดเตรียม และตอบแบบสอบถามนั้น เป็นระยะๆ ตามช่วงเวลาที่กำหนดว่าเหมาะสมภายในองค์การ เช่น 6 เดือน ครั้ง หรือ ปีละครั้ง 16/09/61

52 CSA Survey Company Culture SA A D SD DK
ผู้บริหารระดับสูงได้แสดงให้เห็นถึงมาตรฐานของจริยธรรมเพื่อนำไปปฏิบัติ ผู้บริหารระดับสูงได้แสดงให้เห็นถึงความพยายามให้มีการปฏิบัติตามกฎหมายและระเบียบต่างๆที่มีผลกระทบต่อกิจการ การให้คำแนะนำคำนึงถึงกฎหมายและระเบียบปฏิบัติ เป้าหมายในการดำเนินงานสอดคล้องกับกับความเป็นจริงและยอมรับได้ มีการปฏิบัติต่อพนักงานอย่างยุติธรรม .... SA A D SD DK SA = Strongly Agree A = Agree D = Disagree SD = Strongly Disagree DK = Don’t Know 16/09/61

53 3. Management Produced Analysis
ฝ่ายบริหารรวบรวมข้อมูลเกี่ยวกับกระบวนการ CSA Specialist (อาจเป็นผู้ตรวจสอบภายใน) รวบรวมข้อมูลที่ได้กับข้อมูลจากแหล่งอื่น ให้กับ Process Owners เพื่อประเมินการควบคุมภายในด้วยตนเอง ส่วนอีกแนวทางก็คือ การใช้ข้อมูลวิเคราะห์ซึ่งจัดทำโดยผู้บริหาร (Management produced analysis) ซึ่งเป็นแนวทางที่ไม่ใช่วิธีการดังกล่าวข้างต้นทั้งสองแบบ แต่เป็นการที่ฝ่ายบริหารได้รวบรวมข้อมูลเกี่ยวกับกระบวนการการควบคุมภายในของธุรกิจมาจากผู้ปฏิบัติงานในองค์การ จากนั้นก็ให้ ผู้เชี่ยวชาญด้าน การประเมินผลการควบคุมด้วยตนเอง (CSA Specialist) ซึ่งหลายๆองค์การก็มักมอบหมายให้ ผู้ตรวจสอบภายใน ทำหน้าในบทบาทนี้ ผู้เชี่ยวชาญนี้จะนำข้อมูลที่ได้มาเอามารวมกับข้อมูลที่ได้มาจากผู้บริหารระดับกลาง และผู้บริหารระดับสูง และหลังจากทำการสังเคราะห์ข้อมูลที่ได้มา ทาง CSA Specialist ก็จะได้พัฒนาแนวทางการวิเคราะห์ระบบและมอบแนวทางการวิเคราะห์ระบบในแต่ละเรื่องให้กับผู้ที่เป็นผู้รับผิดชอบต่อกระบวนการควบคุมภายในหลักๆ (Process Owners) เป็นรายๆไปเพื่อประโยชน์ในการดำเนินการประเมินการควบคุมภายในโดยตนเอง (CSA) 16/09/61

54 ผลกระทบ ผลกระทบของ CSA ต่อบทบาทของผู้ตรวจสอบ ช่วยสร้างแนวร่วมในองค์กร
ให้ข้อมูลเชิงคุณภาพที่เป็นประโยชน์ เลือกพื้นที่ตรวจสอบได้เหมาะสมขึ้น เพิ่มประสิทธิผลของการแก้ไขข้อบกพร่อง ช่วยทรัพยากรของฝ่ายตรวจสอบ ประสิทธิภาพและประสิทธิผลของการตรวจสอบภายใน การควบคุมและการกำกับดูแล ดีขึ้นและยืดหยุ่นสูงกว่าเดิม CSA จะเป็นการเสริมเชิงบวกให้กับอาชีพตรวจสอบภายใน โดยการมี CSA จะทำให้ผู้ตรวจสอบภายในกับพนักงานฝ่ายปฎิบัติการนั้นทำงานร่วมกันเพื่อประเมินองค์การทำให้เกิดการปฏิบัติการเพิ่มคุณค่าเชิงทวีคูณ (Synergy)มากขึ้น เป็นการช่วยให้ผู้ตรวจสอบภายในดูแลงานด้านกำกับดูแล(Oversight) ได้ดีมากขึ้นทั้งในเชิงปริมาณและคุณภาพ เนื่องจากการมีแนวร่วมเพิ่มขึ้น อีกทั้งแนวร่วมที่มีเพิ่มขึ้นยังเป็นผู้ที่เข้าใจในระบบปฏิบัติการของตนอย่างถ่องแท้และลึกซึ้งมากกว่าที่ผู้ตรวจสอบภายในสามารถที่จะพัฒนาได้ในระยะเวลาอันสั้นด้วยตนเองอีกด้วย การมีและใช้ CSA ในองค์การจะมีส่วนช่วยให้ผู้บริหารได้รับข้อมูลที่เป็นลักษณะเชิงคุณภาพมากขึ้นซึ่งโดยทั่วๆไปการตรวจสอบแบบเดิมๆจะไม่ได้ข้อมูลลักษณะดังกล่าวมากนัก เช่นข้อมูลที่บ่งชี้ถึงการยอมรับของพนักงานต่อตัวผู้บริหาร เป็นต้น แม้จะเป็นข้อมูลที่ยากแก่การตรวจสอบเชิงรูปธรรมแต่ก็ต้องยอมรับว่าเป็นข้อมูลที่ก่อให้เกิดประโยชน์และผลกระทบต่อองค์การโดยรวมได้ และอาจจะส่งผลเสียอย่างมากต่อประสิทธิภาพและประสิทธิผลขององค์การหากความเสี่ยงในลักษณะดังกล่าว ไม่ได้รับการแก้ไขอย่างเหมาะสมและจริงจัง ผลของการนำ CSA มาใช้โดยผ่านผู้ตรวจสอบภายในที่เป็นผู้ประสานงานการประชุมและผู้เกื้อหนุนในที่ประชุม (Facilitators) เป็นการเพิ่มค่าให้กับองค์การและผู้ตรวจสอบภายในได้ในเรื่องของ 1. ขอบข่ายการรายงานของการควบคุมภายในที่สามารถจะขยายได้กว้างขึ้นในแต่ละปี เพราะมีแนวร่วมมากขึ้น 2. การที่ผู้ตรวจสอบภายในสามารถจะเจาะจงพื้นที่การตรวจสอบภายในได้เหมาะสมขึ้นโดยอาศัยการสอบทานรายงานของหน่วยงานที่ประเมินตนเองตามแนวทางของ CSA หากพบว่ามีความเสี่ยงสูง หรือว่ามีความผิดปกติค่อนข้างมากในลักษณะใดลักษณะหนึ่ง 3. การเพิ่มประสิทธิผลของการแก้ไขข้อบกพร่องต่างๆของจุดอ่อนในระบบ เพราะมีการโอนย้ายความเป็นเจ้าของของกระบวนการการควบคุมจากผู้ตรวจสอบภายในไปสู่ผู้ปฏิบัติงานเป็นสำคัญ ถึงแม้ว่าองค์การอาจจะเห็นว่าไม่จำเป็นเลยที่จะต้องมีข้อมูลเกี่ยวกับการควบคุมภายในที่ดีขึ้นทั้งในเชิงปริมาณและเชิงคุณภาพไปถึงผู้บริหารก็ตาม แต่อย่างน้อยที่สุด การมี CSA ก็น่าจะมีส่วนช่วยให้ทรัพยากรของฝ่ายตรวจสอบที่ใช้อยู่หรือต้องใช้ในเรื่องการตรวจสอบภายในนั้นมีการใช้น้อยลงหรือถูกนำไปใช้ในส่วนอื่นๆได้มากขึ้น อันจะมีผลทำให้ต้นทุนของการตรวจสอบภายในนั้นน้อยลง ในขณะที่ประสิทธิภาพและประสิทธิผลของการตรวจสอบภายในนั้นเพิ่มขึ้น ซึ่งในปัจจุบันทุกๆองค์การมีความต้องการที่จะได้เครื่องมือที่ช่วยให้เทคนิคการควบคุมภายในและการกำกับดูแลนั้นดีขึ้นและมีความยืดหยุ่นสูงกว่าเดิม 16/09/61

55 ปัจจัยความสำเร็จ ขอบเขตของการทำ CSA เฉพาะบางแผนกหรือทั้งองค์กร
ผลกระทบจากวัฒนธรรมและการยอมรับในองค์กร การนำผลลัพธ์ของ CSA ไปใช้ มีผลต่อความเชื่อมั่นในกระบวนการ CSA ของผู้ที่เกี่ยวข้อง การปรับปรุงตัวกระบวนการ CSA เองให้ดียิ่งขึ้น ทั้งเครื่องมือ เทคนิค Control Framework การบันทึก รูปแบบการเก็บข้อมูล และรายงานผล ตัวหลักในการขับเคลื่อน CSA ควรจะเป็น ผู้ปฏิบัติงานในระดับบริหารหรือ ผู้ตรวจสอบภายใน หลายๆองค์การก็ได้ประสบความล้มเหลวในการนำ CSA ไปประยุกต์ใช้ในองค์การของตน องค์การใดที่ประสงค์จะนำระบบ CSA ไปใช้ให้เกิดประสิทธิผลสูงสุดควรคำนึงถึงประเด็นปัจจัยสำคัญๆ 5 ประการ ดังต่อไปนี้ ขอบข่ายของกระบวนการการทำ CSA ผู้จะใช้ CSA ต้องคำนึงถึงว่าจะใช้ CSA เมื่อใด แค่ไหนหรือระดับใดในองค์การ จะเป็นเฉพาะบางแผนก บางหน่วยงาน หรือทั้งองค์การ และเพื่อวัตถุประสงค์ อะไรในการประเมิน ผลกระทบต่อวัฒนธรรมขององค์การ ผู้จะใช้ CSA ต้องเลือก CSA ที่ใช้ทั้งในแง่รูปแบบ และแนวทางให้เหมาะสมกับวัฒนธรรมขององค์การที่ได้ทำการวิเคราะห์ หากแนวทางของการใช้ CSA แบบมีส่วนร่วมไม่เหมาะสมก็อาจจะจำเป็นต้องเป็นแนวทางของแบบสอบถาม หรือ แบบการวิเคราะห์โดยผู้บริหาร ปัญหาของการยอมรับเป็นสิ่งสำคัญมาก การใช้ผลลัพธ์ของการทำ CSA ผู้ใช้ CSA จะต้องกำหนดว่าจะเอาผลลัพธ์ของการทำ CSA ไปใช้อย่างไร เช่นใช้การประเมินความเสี่ยงจากการทำ CSA เพื่อกำหนดขอบข่ายของการตรวจสอบภายใน หรือใช้กระบวนการตรวจสอบภายในเพื่อทดสอบความน่าเชื่อถือได้ของกระบวนการและผลลัพธ์ของการทำ CSA ความชัดเจนในเรื่องนี้จำเป็นต่อความเชื่อมั่นในกระบวนการ CSA ของผู้ที่เกี่ยวข้อง กระบวนการทำให้ CSA เหมาะสมดียิ่งขึ้น ผู้ใช้ CSA จะต้องกำหนดว่าจะทำให้การทำ CSA ในครั้งนี้และต่อๆไปดีขึ้นได้อย่างไร จะใช้เครื่องมือ เทคนิค กรอบแนวความคิด กลไก การบันทึกเอกสาร รูปแบบการรายงาน ฯลฯ อย่างไรในการเก็บข้อมูล และรายงานผลของ CSA ให้เกิดประโยชน์ต่อการพัฒนาองค์การในเรื่องของการควบคุมภายในอย่างมีประสิทธิผลสูงสุด การมีส่วนร่วมของผู้ตรวจสอบภายใน ผู้ใช้ CSA จะต้องคำนึงว่าจะให้กลุ่มใดเป็นตัวยืนหลักในการทำ CSA ควรจะเป็นผู้ปฏิบัติงานระดับบริหาร หรือ ผู้ตรวจสอบภายใน หลายๆองค์การมีความเห็นว่าผู้ตรวจสอบภายในซึ่งเปรียบเสมือนเป็นหูเป็นตาของผู้ถือหุ้นหรือเจ้าของที่มีบทบาทกำกับดูแลการบริหาร หากมองโดยรวมๆ ก็น่าจะเป็นการเหมาะสมที่ให้แผนกตรวจสอบมีบทบาทสำคัญในการทำ CSA แต่บางองค์การก็เห็นว่าการที่ แผนกตรวจสอบภายในมีบทบาทในเรื่องของ CSA มากเกินไปหรือก้าวล่วงไปในปฏิบัติการมากเกินควรอาจส่งผลให้การมีจิตสำนึกรับผิดชอบ (Accountability) ของผู้บริหารระดับปฏิบัติการในแง่ของความเป็นเจ้าของกระบวนการการปฏิบัติการ (Process Ownership) นั้นไม่มี หรือไม่ได้รับการยอมรับก็เป็นได้ ซึ่งเป็นเรื่องลำบากที่จะขีดเส้นตรงนี้ ความเหมาะสมในเรื่องนี้จึงขึ้นอยู่กับทัศนะคติของผู้บริหารและวัฒนธรรมขององค์การด้วย 16/09/61

56 วุฒิบัตร CCSA CCSA - Certification in Control Self-Assessment
Specialty certification program for CSA practitioners เริ่มจัดสอบโดย IIA ตั้งแต่ 1999 มีผู้ถือวุฒิบัตร CCSA กว่า 2,700 คน * ทั่วโลก สมัครกับ สตท. หรือผ่าน web site IIA สอบ 1 Part (3:15 hr) ข้อสอบปรนัย 125 ข้อ เกณฑ์ผ่าน 75% (600/750) ได้ยกเว้นไม่ต้องสอบ CIA Part IV เก็บ 40 ชม. CPE ทุก 2 ปี (* Information as of Mar 2007) 16/09/61

57 Q&A PAIRAT SRIVILAIRIT SVP Head of Internal Audit
TISCO Bank Public Company Limited Mobile : Office : 16/09/61