ส่วนที่สอง การจัดวางระบบการควบคุมภายใน

 

1. การประเมินความเสี่ยง

2. การออกแบบการควบคุมภายใน

3. การนำเข้าสู่ระบบการควบคุมภายในที่นำไปสู่การปฏิวัติ

4. การประเมินผลการควบคุมภายใน

5. การปรับปรุงการควบคุมภายใน

 

1. การประเมินความเสี่ยง (Assessing Risk)

เพื่อทราบจุดเสี่ยงที่สำคัญที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ เป้าหมาย หรือผลการดำเนินงานฝ่ายบริหารควรทราบถึงปัจจัยเสี่ยงที่มีผลกระทบต่อการดำเนินงาน ปัจจัยเสี่ยงดังกล่าวมี 3 ประเภท คือ

* ปัจจัยที่มีผลกระทบต่อประสิทธิผล ประสิทธิภาพของการดำเนินงาน

* ปัจจัยที่มีผลกระทบต่อการปฏิบัติตามกฎหมาย ระเบียบข้อบังคับ

* ปัจจัยที่มีผลกระทบต่อความน่าเชื่อถือของการรายงานทางการเงิน

 

การประเมินปัจจัยเสี่ยงที่มีผลกระทบต่อความสำเร็จของการดำเนินงาน

ก่อนการประเมินปัจจัยเสี่ยงควรทดสอบทานวัตถุประสงค์ เป้าหมายขององค์กรและส่วนงานในองค์กรหรือวัตถุประสงค์ระดับกิจกรรม และสอบทานสภาพแวดล้อมการควบคุมขององค์กร หลังจากนั้นพิจารณาการปฏิบัติงานที่อาจมีปัญหาที่สำคัญ เช่น การได้รับร้องเรียนมาก เคยมีปัญหาที่สำคัญมาก่อน การเสี่ยงต่อความผิดพลาด ความเสียหาย เป็นต้น แล้วจึงเริ่มด้วย :-

1. ระบุกระบวนการปฏิบัติงานที่สำคัญ และพิจารณาว่าแต่ละขั้นตอนของกระบวนการปฏิบัติงานมีขั้นตอนใด หรือกิจกรรมใดที่เสี่ยงต่อความผิดพลาด ความเสียหาย การสูเสีย การสิ้นเปลือง การทุจริต หรือการไม่บรรลุผลสำเร็จตามวัตถุประสงค์ แล้วระบุความเสี่ยงของแต่ละขั้นตอนดังกล่าว

2. ประเมินโอกาสที่จะเกิดความเสี่ยง และผลกระทบต่อความเสี่ยงที่มีสาระสำคัญต่อองค์กร หรือหน่วยรับตรวจ

3. พิจารณาความเสี่ยงที่มีนัยสำคัญจากโอกาสที่จะเกิดความเสี่ยง และผลกระทบของความเสี่ยงต่อองค์กร เพื่อกำหนดระดับความเสี่ยง

 

หน่วยรับตรวจสามารถประเมินความเสี่ยงใน 2 ระดับ คือ

* การประเมินทั่วไป ได้แก่ การประเมินอย่างรวดเร็วโดยใช้เครื่องมือทั่วไป เช่น แบบสอบถามการควบคุมภายใน (ตามภาคผนวก ข. )

* การประเมินเฉพาะเรื่อง ได้แก่ การประเมินความเสี่ยงเฉพาะเรื่องโดยประเมินในเชิงลึก ( Indept Assessment ) โดยอาจได้รับความช่วยเหลือจากผู้ตรวจสอบภายใน

* การประเมินการควบคุมด้วยตนเอง ( Control Self-Assessment ) อาจประเมินทุกปี ทั้งนี้ขึ้นกับข้อมูลที่มีอยู่ แล้วจึงให้ส่วนงานที่มีความเสี่ยงสูงประเมินการควบคุมด้วยตนเอง ( สรุปกระบวนการประเมินการควบคุมด้วยตนเองปรากฏตาม ภาคผนวก ง-ตัวอย่างการประเมินการควบคุม )

หลังจากประเมินความเสี่ยงแล้ว ขั้นตอนต่อไปคือ การออกแบบการควบคุมเพื่อป้องกันหรือลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

 

2. การออกแบบการควบคุมภายใน (Designing Internal Control)

การนำมาตรฐานการควบคุมภายในไปใช้เป็นแนวทางจัดวางระบบการควบคุมภายในมีหลายวิธี ผู้บริหารควรเลือกใช้วิธีที่เห็นว่าเหมาะสมกับลักษณะขนาดของหน่วยงานในความรับผิดชอบ อย่างไรก็ตามเนื่องจากหน่วยงานภาครัฐต่างๆ ในปัจจุบันส่วนใหญ่มีการควบคุมภายในอยู่แล้ว การจัดวางการควบคุมภายในหรือการออกแบบการควบคุมภายในโดยทั่วไปจะใช้วิธีปรับปรุงการควบคุมที่มีอยู่แล้ว ที่นิยมปฏิบัติทั่วไปในการออกแบบการควบคุมมักจะเริ่มจากการทำความเข้าใจกับภารกิจ วัตถุประสงค์ระดับองค์กรและระดับกิจกรรมมาตรฐานการควบคุมภายใน กฎหมาย คณะมติรัฐมนตรี ระเบียบข้อบังคับที่เกี่ยวข้องกับการควบคุมภายในหลังจากนั้นจึงสอบทานสภาพแวดล้อมการควบคุม แล้วเริ่มด้วยการประเมินความเสี่ยง และกำหนดกิจกรรมการควบคุม หรือออกแบบการควบคุมเพื่อป้องกันหรือลดความเสี่ยงให้อยู่ในระดับที่เหมาะสมหรือที่ยอมรับได้

การออกแบบการควบคุมภายในที่มีประสิทธิผล และประสิทธิภาพ ควรมีขั้นตอนดังนี้ :-

1. ทำความเข้าใจกับความเสี่ยงต่างๆ ที่มีนัยสำคัญ โดยการประเมินความเสี่ยงดังกล่าวใน หัวข้อ 4

2. สอบทานการควบคุมภายในที่มีอยู่แล้ว ว่าสามารถที่จะป้องกันหรือลดความเสี่ยงดังกล่าวหรือไม่ เพื่อพิจารณาว่าจะคงไว้หรือจะปรับปรุงแก้ไข ซึ่งอาจเพิ่มการควบคุมใหม่ๆ หรือรื้อปรับระบบใหม่

3. ระบุกิจกรรมการควบคุมใหม่เพื่อป้องกันความเสี่ยง หรือลดความเสี่ยงดังกล่าวให้อยู่ในระดับที่ยอมรับได้

4. ประมาณการต้นทุนที่จะต้องใช้ในการจัดให้มีและดำรงรักษาไว้ซึ่งกิจกรรมการควบคุม ว่าต้นทุนหรือค่าใช้จ่ายไม่สูงกว่าประโยชน์ที่จะได้รับจากการมีกิจกรรมควบคุม หรือต้นทุนไม่เกินกว่าจำนวนเงินความเสียหายถ้าไม่มีกิจกรรมควบคุม

5. จัดให้มีกิจกรรมนั้นเป็นการควบคุมภายใน โดยออกแบบหรือปรับปรุงการควบคุมภายในตามความเหมาะสม และมีมาตรฐานไม่ต่ำกว่ามาตรฐานการควบคุมภายในที่กำหนด

 

การออกแบบการควบคุมภายใน อาจมาจาก 2 วิธีการ

1. วิธีทั่วไป (General) วิธีการควบคุมที่เหมาะสามารถเลือกจากรายการควบคุมทั่วไป เช่น จากแบบสอบถามการควบคุมภายใน ( ภาคผนวก ข. ) แล้วดัดแปลงแก้ไขตามต้องการ เพื่อนำมาปรับเป็นกิจกรรมการควบคุม

2. วิธีเฉพาะ (Specific) ได้แก่ วิธีการควบคุมจากการออกแบบโดยเฉพาะ ( Custom Designed ) เพื่อป้องกันหรือลดความเสี่ยงเฉพาะตามที่ระบุไว้ในขั้นตอนการประเมินความเสี่ยง หรือพิจารณาจากความเสี่ยงที่มีนัยสำคัญมากำหนดเป็นกิจกรรมควบคุม ผ ตามตัวอย่างภาคผนวก จ.-วิธีการประเมินการควบคุมเฉพาะเรื่อง )

  

3. การนำระบบการควบคุมภายในที่นำไปสู่การปฏิวัติ ( Implementing Internal Control )

เมื่อได้ออกแบบการควบคุมภายในแล้ว ควรนำระบบการควบคุมภายในที่กำหนดไปใช้ปฏิบัติ โดย

1. การสื่อสาร (Communication) ควรจัดทำระบบการควบคุมภายในเป็นเอกสารแล้วสื่อสารให้ฝ่ายบริหารและบุคลากรที่เกี่ยวข้องทราบทั่วกัน โดยปกติหัวหน้าส่วนราชการหรือหัวหน้าหน่วยงานจะมีหนังสือแจ้งเวียนให้บุคลากรทราบถึงระบบการควบคุมภายในที่กำหนดขึ้นใหม่ หรือที่ปรับปรุงครั้งล่าสุด วิธีการปฏิบัติเกี่ยวกับการควบคุมมักรวมอยู่ในระเบียบปฏิบัติ คู่มือการปฏิบัติงาน หรือรวมอยู่ในการปฏิบัติงานปกติ ข้อมูลข่าวสารใดๆ ที่เกี่ยวกับการควบคุมควรสื่อสารให้ทราบทั่วกันเพื่อให้ถือปฏิบัติในส่วนที่เกี่ยวข้อง ระบบการควบคุมภายในที่ล้มเหลวส่วนใหญ่มักมาจากการไม่สื่อสารให้ผู้ทีเกี่ยวข้องทราบ

2. การติดตามประเมินผล (Monitoring) ถ้าไม่มีการดำรงรักษาไว้ซึ่งการปฏิบัติตามระบบการควบคุมภายในอย่างต่อเนื่องและสม่ำเสมอแล้วย่อมทำให้มาตรฐานการควบคุมภายในของหน่วยรับตรวจลดต่ำลง ฝ่ายบริหารจึงควรจัดให้มีการตรวจสอบการปฏิบัติตามระบบการควบคุมภายใน โดยใช้กลไกต่างๆ เช่น :

* การติดตามผลระหว่างการปฏิบัติงานหรือระหว่างการนำระบบการควบคุมภายในที่นำไปสู่การปฏิบัติอย่างต่อเนื่อง ( On Going )

* การตรวจสอบ ( Check-Up ) โครงสร้างการควบคุมภายในเป็นระยะๆ เช่น โดยการประเมินควบคุมด้วยตนเอง ( Control Self-Assessment )

* การสอบทานที่เน้นด้านการดำเนินงานเฉพาะส่วนหรือเฉพาะเรื่อง โดยการตรวจสอบการบริหาร ( Management Audit ) หรือตรวจสอบการดำเนินงาน ( Performance Audit )

 

การเข้าไปมีส่วนเกี่ยวข้องในเรื่องการควบคุมภายในของผู้บริหารระดับสูง มีความจำเป็นอย่างยิ่งต่อความมีประสิทธิผลของการควบคุมภายใน การเข้าไปเกี่ยวข้องกับการสร้างบรรยากาศ ( Tone at the top ) โดยผู้บริหารระดับสูงจะมีอิทธิพลสำคัญยิ่งต่อบรรยากาศ และสภาพแวดล้อมของการควบคุมและติดตามสภาพแวดล้อมการควบคุมว่า มีการปฏิบัติตามหน้าที่การควบคุมที่กำหนดหรือไม่

ข้อมูลหัวข้อ 4. , 5. , และ 6. สามารถนำไปพิจารณาจัดทำรายงานความก้าวหน้าของการจัดวางระบบการควบคุมภายในตามระเบียบคระกรรมการตรวจเงินแผ่นดิน ว่าด้วยการกำหนดมาตรฐานการควบคุมภายใน พ.ศ. 2544 ข้อ 5.

 

4. การประเมินผลการควบคุมภายใน (Evaluating Internal Control)

ระบบการควบคุมภายใน ควรได้รับการประเมินผลอย่างต่อเนื่องและสม่ำเสมอ ว่าการควบคุมภายในเป็นไปตามวัตถุประสงคืของการควบคุมภายในเป้นไปตามวัตถุประสงค์ของการควบคุมที่กำหนดไว้หรือไม่ และยังมีความเหมาะสมกับสภาพแวดล้อมที่เปลี่ยนแปลงหรือไม่ เวลาที่ดีที่สุดในการประเมินการควบคุมภายใน คือ เมื่อทุกสิ่งทุกอย่างเป็นไปได้โดยเรียบร้อยปกติ เวลาที่ไม่เหมาะสมคือช่วงระหว่างหรือหลังวิกฤตการณ์หรือมีเหตุการณ์ผิดปกติ เพราะโดยทั่วไปจะมีผลทำให้การจัดวางระบบการควบคุมภายในไม่มีประสิทธิภาพ

 

การประเมินผลการควบคุมภายในควรประเมินโดยตอบคำถามว่า

1. ความเพียงพอ โครงสร้างและรูปแบบการควบคุมที่กำหนดขึ้นเพียงพอและครอบคลุมทุกเรื่องที่สำคัญ รวมทั้งมีองค์ประกอบของการควบคุมภายในทั้ง 5 หรือไม่ อยู่ในเกณฑ์ที่น่าพอใจหรือไม่ ( การประเมินองค์ประกอบการควบคุมภายในทั่วไปอาจใช้แบบประเมินองค์ประกอบการควบคุมภายในตามภาคผนวก ค. )

2. การควบคุมภายใน การควบคุมกำหนดโดยผู้บริหารอย่างเป็นทางการ หรือถือปฏิบัติตามระเบียบการทางราชการ

3. การมีอยู่จริง การควบคุมภายในที่มีอยู่มีการปฏิบัติงานจริงหรือไม่ และสามารถลดความเสี่ยงตามที่ระบุไว้หรือไม่ กรณีมิได้ปฏิบัติจริงในทางปฏิบัติมีการใช้วิธีการอื่นทดแทนการควบคุมภายในที่กำหนดหรือไม่

4. ประสิทธิผล ถ้ามีการปฏิบัติงานจริง ระบบการควบคุมภายในได้ปฏิบัติหน้าที่ตามที่กำหนดไว้ และได้รับผลสำเร็จตามวัตถุประสงค์หรือไม่

5. ประสิทธิภาพ ประโยชน์ที่ได้รับจากการมีระบบการควบคุม หรือความเสี่ยงที่ลดลงจากการจัดให้มีการควบคุมภายในคุ้มกับต้นทุนหรือค่าใช้จ่ายในการจัดให้มีการควบคุมดังกล่าวหรือไม่

 

คำตอบของคำถามเกี่ยวกับการประเมินการควบคุมภายในข้างต้นพิจารณาจาก

* การตรวจสอบเอกสารหลักฐานที่เกิดขึ้นทั้งในอดีตและปัจจุบัน

* การสังเกตการณ์การปฏิบัติงานของกิจกรรมต่างๆ

* สัมภาษณ์ผู้ที่เกี่ยวข้องหรือมีความรู้ในเรื่องนั้นๆ ซึ่งเป็นผู้ที่เชื่อถือได้

คำตอบที่ได้ในเชิงลบมิได้หมายความว่ากิจกรรมการควบคุมไม่สัมฤทธิผลหรือควรมีการแก้ไขเสมอไปแต่อาจมีปัจจัยอื่นที่ทดแทนการควบคุมก็ได้

 การประเมินผลสามารถประเมินการควบคุมเฉพาะเรื่องของแต่ละการควบคุมสามารถทำได้โดยดูจากตัวอย่างวิธีการประเมินผลจากการควบคุม ( ภาคผนวก จ. ) อนึ่งการประเมินการควบคุมจะรวดเร็วขึ้น ถ้าใช้แบบสอบถามการควบคุมภายใน ( ภาคผนวก ข. )

 

ขอบเขตในการประเมินประสิทธิผลการควบคุมภายในแต่ละครั้งมีหลายประเภท

* การประเมินประสิทธิผลของการควบคุมของแต่ละองค์ประกอบของการควบคุมภายใน คือ สภาพแวดล้อมการควบคุม การประเมินความเสี่ยง กิจกรรมการควบคุม สารสนเทศและการสื่อสาร และการติดตามผล

* การประเมินประสิทธิผลเกี่ยวกับวัตถุประสงค์ของการควบคุมแต่ละด้าน เช่น ความเชื่อถือได้ของรายงานทางการเงิน การปฏิบัติตามกฎระเบียบ ประสิทธิผล และประสิทธิภาพของการปฏิบัติงาน

* การประเมินเกี่ยวกับกิจกรรมการควบคุมเฉพาะด้าน หรือเฉพาะงานใดงานหนึ่งเช่นด้านการรับจ่ายเงินด้านการจัดซื้อจัดจ้าง ฯลฯ

* การประเมินประสิทธิผลของการควบคุมโดยรวมของหน่วยรับตรวจ

หน่วยรับตรวจควรกำหนดขอบเขตการประเมินการควบคุมภายในตามความจำเป็นและความเหมาะสม อย่างไรก็ตามการประเมินผลการควบคุมด้านใดด้านหนึ่งจะต้องพิจารณาว่า งานหรือกิจกรรมที่ได้รับการประเมินนั้นมีความสัมพันธ์หรือได้รับผลกระทบจากระบบการควบคุมทั้งระบบหรือไม่

การประเมินการควบคุมในเรื่องใดเรื่องหนึ่งจะต้องนำองค์ประกอบการควบคุมทั้ง 5 มาพิจารณาด้วย เช่น การประเมินกิจกรรมการควบคุมด้านการจัดซื้อจัดจ้าง จะต้องประเมินสภาพแวดล้อม และองค์ประกอบอื่นที่มีผลต่อการควบคุม ด้านการจัดซื้อจัดจ้าง และวัตถุประสงค์ของการจัดซื้อจัดจ้าง ต้องสอดคล้องกับวัตถุประสงค์ ของการควบคุมโดยรวมของหน่วยรับตรวจด้วย

 

5. การปรับปรุงการควบคุมภายใน (Improving Internal Control)

หลังจากการประเมินผลการควบคุมแล้ว ขั้นตอนต่อไปได้แก่การปรับปรุงการควบคุมภายในจากผลการประเมิน ผลการประเมินที่แสดงถึงความไม่เพียงพอของการควบคุมภายในที่มีนัยสำคัญ และจุดอ่อนที่เสี่ยงต่อความผิดพลาด ความเสียหาย และความสำเร็จของงานสูงกว่าระดับที่ยอมรับได้ ควรได้รับการแก้ไขทันท่วงที และปรับปรุงการควบคุม ใหม่เพิ่มขึ้น และ/หรือลดกิจกรรมการควบคุมที่เกินความจำเป็นและไม่คุ้มค่า

กิจกรรมการควบคุมต่างๆ มักจะเกี่ยวข้องกัน และผลรวมจากประโยชน์ที่ได้รับจากกลุ่มกิจกรรมการควบคุม ( กิจกรรมการควบคุมประกอบด้วยหลายกิจกรรมการควบคุม ) อาจมากกว่าผลที่ได้จากกิจกรรมการควบคุมเดี่ยวๆ ของแต่ละกิจกรรมมาบวกกัน ทั้งนี้เนื่องจากการจัดเป็นกลุ่มกิจกรรมการควบคุมจะเกิดการเสริมซึ่งกันและกันของแต่ละกิจกรรมการควบคุม การปรับปรุงการควบคุมภายในที่เหมาะสมจึงควรพิจารณาจากกลุ่มของการควบคุมมากกว่าจะพิจารณาจากกิจกรรมการควบคุมเดี่ยวๆ ดังนั้นวิธีที่ดีที่สุดในการปรับปรุงการควบคุมภายในหลังจากการประเมินผล คือจากการปรับปรุงการควบคุมภายในโดยรวบรวมการควบคุมใหม่ๆ มาเป็นกลุ่มกิจกรรมการควบคุม

และที่สำคัญการปรับปรุงระบบการควบคุมภายในต้องคำนึงถึงความคุ้มค่าด้วย โดยพิจารณาค่าใช้จ่ายหรือต้นทุนในการจัดให้มีการควบคุมไม่สูงกว่าประโยชน์ที่จะได้รับจากการควบคุมที่เกี่ยวข้อง

 

สารสนเทศและการสื่อสาร (information and Communication)

สารสนเทศ หมายถึง ข้อมูลข่าวสารทางการเงิน และข้อมูลข่าวสารอื่นๆ เกี่ยวกับการดำเนินงานของหน่วยรับตรวจ ไม่ว่าจะเป็นข้อมูลจากแหล่งภายใน หรือภายนอก

ในการดำเนินงานองค์กรจำเป็นต้องมีการสื่อสารข้อมูลเกี่ยวกับเหตุการณ์ต่างๆ ทั้งภายในและภายนอกหน่วยงาน ซึ่งต้องเป็นข้อมูลที่เกี่ยวข้อง น่าเชื่อถือ ทันเวลา และเป็นข้อมูลที่หน่วยงานต้องการเพื่อช่วยให้สามารถบรรลุวัตถุประสงค์ที่กำหนด ผู้บริหารระดับต่างๆ จึงจำเป็นต้องได้รับข้อมูลทั้งด้านการดำเนินงานและด้านการเงินเพื่อพิจารณาว่าการดำเนินงานได้เป้นไปตามแผนกลยุทธ์และแผนการปฏิบัติงานประจำปี และบรรลุวัตถุประสงค์ในการใช้ทรัพยากรอย่างมีประสิทธิผลและประสิทธิภาพหรือไม่ ตัวอย่างเช่น ข้อมูลการดำเนินงานซึ่งต้องนำมาใช้จัดทำรายงานการเงินจะรวมถึงข้อมูลต่างๆ ด้านการจัดซื้อ ค่าใช้จ่ายต่างๆ รายการอื่นๆ เกี่ยวกับทรัพย์สินถาวร สินค้าคงคลังหรือพัสดุคงคลัง และลูกหนี้ นอกจากนี้ยังจำเป็นต้องมีข้อมูลการปฏิบัติงานเพื่อประกอบการพิจารราว่าองค์กรได้ปฏิบัติตามระเบียบ กฎหมาย และข้อบังคับต่างๆ หรือไม่ ข้อมูลด้านการเงินเป็นที่ต้องการของผู้ใช้ทั้งภายในและภายนอก ข้อมูลเหล่านี้เป็นสิ่งจำเป็นเพื่อใช้จัดทำงบการเงินเพื่อรายงานต่อบุคคลภายนอก และเป็นข้อมูลที่จำเป็นต้องใช้จัดทำรายงานประจำวันเพื่อใช้ตัดสินใจในการบริหารงานจึงควรจัดให้มีข้อมูลข่าวสารที่เกี่ยวข้องและแจกจ่ายข้อมูลในรูปแบบที่เหมาะสมและทันเวลาให้ฝ่ายบริหารและบุคลากรซึ่งจำเป็นต้องใช้ข้อมูลข่าวสารนั้นเพื่อช่วยให้ผู้รับสามารถปฏิบัติหน้าที่ของตนได้อย่างมีประสิทธิภาพ

การสื่อสารที่มีประสิทธิผลควรเป็นไปอย่างกว้างขวาง มีการสื่อสารข้อมูลทั้งจากระดับบนลงล่างจากระดับล่างขึ้นบน และในระดับเดียวกันภายในองค์กร นอกเหนือจากการสื่อสารภายในองค์กรแล้วควรมีการสื่อสารที่เพียงพอกับบุคคลอื่นภายนอกองค์กรด้วยเพื่อให้สามารถรับข้อมูลจากผู้มีส่วนเกี่ยวข้องหรือมีส่วนได้ส่วนเสียจากภายนอกเพื่อให้เกิดประโยชน์ต่อหน่วยงาน

 

การติดตามประเมินผล (Monitoring)

มาตรฐาน : ฝ่ายบริหารต้องจัดให้มีการติดตามประเมินผล (Monitoring ) โดยการติดตามผลในระหว่าง

การปฏิบัติงาน (Ongoing Monitoring) และการประเมินผลเป็นรายครั้ง (Separate Evaluation) อย่างต่อเนื่องและสม่ำเสมอ เพื่อให้ความมั่นใจว่า

- ระบบการควบคุมภายในที่วางไว้เพียงพอ เหมาะสม มีประสิทธิภาพ และมีการปฏิบัติจริง

- การควบคุมภายในดำเนินไปอย่างมีประสิทธิผล

- ข้อตรวจพบจากการตรวจสอบและการสอบทานอื่นๆ ได้รับการปรับปรุงแก้ไขอย่างเหมาะสมและทันเวลา

- การควบคุมภายในได้รับการปรับปรุงแก้ไขให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป การติดตามประเมินผล หมายถึง กระบวนการประเมินคุณภาพการปฏิบัติงานและประเมินประสิทธิผลของการควบคุมภายในที่วางไว้อย่างต่อเนื่องและสม่ำเสมอ โดยการติดตามผลในระหว่างการปฏิบัติงาน (Ongoing Monitoring) หรือในระหว่างการออกแบบการควบคุมภายใน และการประเมินผลเป็นรายครั้ง ( Separate Evaluation ) ซึ่งแยกเป็นการประเมินการควบคุมด้วยตนเอง ( Control Self-Assessment ) และการประเมินการควบคุมอย่างเป็นอิสระ ( Independent Assessment )

5.1 การติดตามผลในระหว่างการปฏิบัติงาน (Ongoing Monitoring) โดยทั่วไปการควบคุมภายในจะได้รับการออกแบบเพื่อให้เกิดความมั่นใจว่ามีการติดตามผลอย่างต่อเนื่อง รวมเป็นส่วนเดียวกันและอยู่ในการดำเนินงานด้านต่างๆ ตามปกติขององค์กร การติดตามผลมักอยู่ในรูปกิจกรรมการบริหารและการกำกับดูแลโดยปกติ เช่น การเปรียบเทียบ การสอบยัน และกิจกรรมอันซึ่งเป็นการปฏิบัติงานตามหน้าที่ประจำของบุคลากรในองค์กร

จุดสำคัญที่ควรติดตามผล สภาพแวดล้อมของการควบคุม ฝ่ายบริหารควรติดตามผลเกี่ยวกับสภาพแวดล้อมการควบคุมเพื่อความมั่นใจว่าหัวหน้าส่วนงานทุกระดับได้ดำรงรักษาไว้ซึ่งมาตรฐาน จริยธรรม และส่งเสริมให้เจ้าหน้าที่มีศีลธรรมอันดี หัวหน้าส่วนงานทุกระดับควรติดตามผลเพื่อความมั่นใจว่าเจ้าหน้าที่มีความรู้ ความสามารถ และได้รับการฝึกอบรมที่เพียงพอ ผู้บริหารมีสไตล์และปรัชญาการบริหารที่เหมาะสมกับสภาพแวดล้อมและสถานการณ์ที่จะส่งเสริมให้ภารกิจขององค์กรบรรลุผล

ความเสี่ยงและโอกาสจะเกิดความเสี่ยง หัวหน้าส่วนต่างๆ ในองค์กร ควรติดตามผลเกี่ยวกับสภาพแวดล้อมภายในและภายนอกองค์กร เพื่อให้สามารถระบุการเปลี่ยนแปลงของความเสี่ยงและโอกาสจะเกิดความเสี่ยงใหม่ๆ หากมีการเปลี่ยนแปลงความเสี่ยงควรดำเนินการตามความเหมาะสมกับความเสี่ยงนั้น ถ้าความเสี่ยงนั้นมีสาระสำคัญมากควรรายงานให้ฝ่ายบริหารทราบและฝ่ายบริหารควรรับรู้ว่าการล่าช้าของการตอบสนองเกี่ยวกับการเปลี่ยนแปลงของความเสี่ยงอาจมีผลให้เกิดการเสียหายต่อองค์กรได้

กิจกรรมการควบคุม ควรจัดกิจกรรมการควบคุมขึ้นเพื่อเป็นการป้องกันหรือลดความเสี่ยงจากเหตุการณ์ที่ไม่พึงประสงค์ที่อาจเกิดขึ้น อย่างไรก็ตามกิจกรรมการควบคุมอาจไร้ผล ถ้ามีการสมรู้ร่วมคิดกันตั้งแต่ 2 คนทั่วไปเพื่อการทุกจริต ดังนั้นฝ่ายบริหารจึงควรกำหนดวิธีของการติดตามผลของการปฏิบัติตามกิจกรรมการควบคุมกิจกรรมติดตามผลที่ดีจะทำให้มีอกาสแก้ไขปัญหาที่เกิดขึ้นของกิจกรรมการควบคุม รวมทั้งทำให้มีการควบคุมความเสี่ยงก่อนที่เหตุการณ์ที่ไม่พึงประสงค์นี้เกิดขึ้น

 

สารสนเทศและการสื่อสาร

หัวหน้าหน่วยงานต่างๆ ในองค์กรควรติดตามผลเพื่อความมั่นใจว่า เจ้าหน้าที่ในความรับผิดชอบได้รับข่าวสารข้อมูลเพียงพอ ทันกาลและเหมาะสม

5.2 การประเมินรายครั้ง (Separate Evaluations) มีวัตถุประสงค์มุ่งเน้นไปที่ประสิทธิผลของการควบคุม ณ ช่วงเวลาใดเวลาหนึ่งที่กำหนด โดยขอบเขตเละความถี่ในการประเมินรายครั้งขึ้นอยู่กับการประเมินความเสี่ยงและประสิทธิผลของวิธีการติดตามผลอย่างต่อเนื่องเป็นหลัก การประเมินรายครั้งอาจทำในลักษณะของการประเมินการควบคุมด้วยตนเอง ( Self-Assessment ) ซึ่งกลุ่มผู้ปฏิบัติงานในส่วนงานนั้นๆ เอง และการประเมินการควบคุมอย่างเป็นอิสระ ( Independent Control ) ซึ่งประเมินโดยผู้ไม่มีส่วนเกี่ยวข้องโดยตรงกับการดำเนินงาน เช่น การประเมินผลโดยผู้ตรวจสอบภายในหรือผู้ตรวจสอบภายนอก

5.2.1 การประเมินการควบคุมด้วยตนเอง (Control Self-Assessment) การประเมินการควบคุมด้วยตนเอง เป็นกระบวนการประเมินผลโดยการกำหนดให้กลุ่มผู้ปฏิบัติงานในส่วนงานนั้นเข้ามามีส่วนร่วมในการประเมินการควบคุมภายในของส่วนงานนั้นๆ โดยร่วมกันพิจารณาถึงความมีประสิทธิผลของส่วนงานในด้านการดำเนินงาน การรายงานทางการเงิน และการปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ และมติคณะรัฐมนตรี และการวิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ในด้านต่างๆ เพื่อปรับปรุงกระบวนการและกิจกรรมการควบคุมที่มีอยู่ให้มีประสิทธิภาพและประสิทธิผลมากยิ่งขึ้น และพิจารณาลดกิจกรรมการควบคุมภายในนั้น การประเมินการควบคุมการประเมินด้วยตนเองจะช่วยให้ผู้บริหารค้นพบปัญหาที่เกิดขึ้นจากปัญหาดังกล่าวได้ ดังนั้นฝ่ายบริหารจึงควรกำหนดให้มีการประเมินการควบคุมด้วยตนเองทั่วทั้งองค์กร

5.2.2 การประเมินการควบคุมอย่างเป็นอิสระ (Independent Assessments) การประเมินการควบคุมอย่างเป็นอิสระ เป็นการประเมินผลที่กระทำโดยผู้ที่ไม่มีส่วนเกี่ยวข้องโดยตรงกับการดำเนินงาน เพื่อให้เกิดความมั่นใจว่าการประเมินผลได้เป็นไปอย่างเที่ยงธรรม การประเมินผลเป็นไปอย่างอิสระอาจกระทำโดยผู้ตรวจสอบภายในและผู้ตรวจสอบภายนอก และ/หรือที่ปรึกษาภายนอก ซึ่งผู้บริหารอาจใช้ประโยชน์จากการประสานงานระหว่างหน่วยงานตรวจสอบภายในขององค์กรกับผู้ตรวจสอบภายนอก และ /หรือที่ปรึกษาภายนอก เพื่อให้การวิเคราะห์การดำเนินงานขององค์กรเป็นไปตามเป้าหมายและมีความเที่ยงธรรมมากขึ้น การประเมินการควบคุมอย่างเป็นอิสระไม่ควรเป็นกิจกรรมการควบคุมที่ทดแทนการประเมินการควบคุมด้วยตนเอง แต่ควรจะเป็นกิจกรรมที่ช่วยเสริมและสนับสนุนการประเมินและการควบคุมด้วยตนเอง

5.3 ความรับผิดชอบของผู้บริหารต่อการติดตามประเมินผล ผู้บริหารต้องจัดให้มีการติดตามผล ( หมายถึงการประเมินมาตรการ หรืองานที่อยู่ระหว่างการออกแบบ หรืออยู่ระหว่างการดำเนินงาน ) และการประเมินผล ( หมายถึงการประเมินมาตรการ หรืองานที่ได้ใช้ไปแล้วเป็นระยะเวลาหนึ่งและสมควรได้รับการประเมินว่ายังมีความเหมาะสมกับสิ่งแวดล้อมต่างๆ ที่เปลี่ยนไปอีกหรือไม่ ) โดยกำหนดให้มีการติดตามผลเกี่ยวกับความมีประสิทธิผลของการควบคุมภายในอย่างต่อเนื่อง และกำหนดให้การติดตามผลเป็นส่วนหนึ่งของการปฏิบัติงานประจำวัน นอกจากนี้ต้องจัดให้มีการประเมินผลทั้งการประเมินการควบคุมด้วยตนเอง และการประเมินการควบคุมอย่างเป็นอิสระ โดยบุคลากรที่มีความรู้ ความสามารถ และทักษะอย่างเพียงพอ และกำหนดให้รายงานเกี่ยวกับความไม่มีประสิทธิผลของระบบการควบคุมภายในโดยตรงต่อผู้บริหารและคณะกรรมการตรวจสอบ ( ถ้ามี ) อย่างเพียงพอและทันกาล

จุดอ่อน ข้อบกพร่อง หรือปัญหาที่พบในระหว่างการติดตามผลอย่างต่อเนื่องและการประเมินรายครั้งจะต้องได้รับการสื่อสารไปยังผู้ที่รับผิดชอบหน้าที่นั้นๆ และผู้บังคับบัญชาที่เหนือผู้นั้นขึ้นไปอย่างน้อยหนึ่งระดับข้อตรวจพบที่สำคัญจะต้องรายงานไปยังผู้บริหารในระดับที่มีอำนาจในการตัดสินใจแก้ไขปัญหานั้นได้เมื่อผู้บริหารได้รับรายงานการติดตามและการประเมินผลการดำเนินการดังนี้

(1) ประเมินข้อตรวจพบ ข้อบกพร่อง และข้อเสนอแนะที่ได้จากการตรวจสอบและการสอบทานอื่นๆโดยทันที

(2) กำหนดมาตรการที่เหมาะสมสำหรับการดำเนินงานตามข้อตรวจพบและข้อเสนอแนะที่ได้รับจากการตรวจสอบและตรวจทาน

(3) ดำเนินมาตรการต่างๆ ที่กำหนดขึ้นเพื่อจัดการหรือแก้ไขปัญหาที่ได้รายงานให้ผู้บริหารระดับเหนือกว่าทราบภายในระยะเวลาที่กำหนด กระบวนการแก้ไขปัญหาเริ่มต้นที่การรายงานผลการตรวจสอบหรือผลการสอบทานต่อผู้บริหารในระดับเหนือกว่าและเสร็จสิ้นลงเมื่อมาตรการที่ใช้ก่อให้เกิด

- การแก้ไขข้อบกพร่องที่พบ

- การปรับเปลี่ยนในทางที่ดีขึ้น หรือ

- การชี้แจงหรือเหตุผลที่ไม่จำเป็นต้องดำเนินการใดๆ กับข้อตรวจพบ และข้อเสนอแนะ