COSO (Committee of Sponsoring Organizations) และระบบควบคุมภายใน

• COSO เป็นองค์กรตั้งอยู่ที่สหรัฐอเมริกา มีความเชี่ยวชาญด้านระบบควบคุมภายใน การควบคุมภายใน (Internal Control) เป็นวิธีการหนึ่งที่จะช่วยให้องค์กรบรรลุผลสำเร็จ โดยการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้น อันจะเป็นการขัดขวางการบรรลุผลสำเร็จขององค์กร และเป็นกระบวนการที่เกิดขึ้นโดยคณะกรรมการบริหาร ผู้บริหาร และทุกคนในองค์กรที่ออกแบบมาเพื่อเป็นการประกันการบรรลุวัตถุประสงค์ขององค์กรในด้านต่าง ๆ ดังนี้
• 1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน
• 2. ความน่าเชื่อถือของรายงานทางการเงิน
• 3. การปฏิบัติตามกฎหมาย กฎระเบียบ
• COSO ได้สร้างโมเดลของระบบควบคุมภายใน เรียกง่ายๆ ว่า “COSO” องค์ประกอบของCOSO COSO ประกอบด้วย 5 องค์ประกอบของการควบคุมภายใน (Components of Internal Control) การควบคุมภายในประกอบด้วยองค์ประกอบหลายด้านที่ต้องทำการพิจารณา โดยองค์ประกอบของการควบคุมภายใน รูปแบบหนึ่ง อาจพิจารณาในเรื่องต่าง ๆ ดังนี้
• 
  
• 1. สภาพแวดล้อมของการควบคุม (Control Environment)
• 1. สภาพแวดล้อมของการควบคุม (Control Environment) เมื่อสภาพแวดล้อมการทำงานเป็นสิ่งที่มีความสำคัญในการ บริหารธุรกิจ จึงควรที่มีการจัดสภาพแวดล้อมการทำงานให้เหมาะสมกับการปฏิบัติงาน เพื่อให้พนักงานสามารถ ปฏิบัติงานได้อย่างมีประสิทธิภาพ อันจะช่วยให้การดำเนินธุรกิจเป็นไปอย่างราบรื่น สามารถบรรลุเป้าหมายทางธุรกิจ ได้ตามที่ต้องการ สภาพแวดล้อมที่สำคัญได้แก่
• 1.1 ความร่วมมือร่วมใจกันของพนักงาน
• 1.2 การให้คุณค่าต่อจรรยาบรรณ ความซื่อสัตย์ในการปฏิบัติงาน
• 1.3 ความสามารถในการทำงานของพนักงานทุกฝ่าย
• 1.4 ปรัชญาในการดำเนินงานของฝ่ายบริหาร
• 1.5 รูปแบบการปฏิบัติงาน วิธีการปฏิบัติงานที่ผู้บริหารมอบหมายอำนาจความรับผิดชอบและการจัดการ
• 1.6 การพัฒนาคนภายในองค์กร
• 1.7 การควบคุม เอาใจใส่ และการวางแผนจากคณะกรรมการ
• 1.8 การสื่อสารจากระดับสูง
• 1.9 การบริหารข้อมูลและข่าวสารร่วมกัน
• 1.10 ความเข้าใจในระบบการควบคุมภายใน
• 1.11 โครงสร้างขององค์กร
• 1.12 วัฒนธรรมขององค์กร
• 1.13 ความเป็นผู้นำของผู้บริหาร
• 1.14 อื่น ๆ ที่เกี่ยวข้อง
• 
  
• 2. การประเมินความเสี่ยง (Risk Assessment)
• เป็นการตระหนักถึง และจัดการกับความเสี่ยงที่องค์กรต้องเผชิญ โดยต้องมีการกำหนดวัตถุประสงค์ที่บูรณาการขององค์กร เช่น การขาย การผลิต การตลาด การเงินกับกิจกรรมอื่น ๆ โดยเน้นให้องค์กรต้องวิเคราะห์/ ประเมินผลและบริหารความเสี่ยงที่เผชิญทั้งปัจจุบันและอนาคตในทุกมุมมอง ทุกระดับ
• 2.1 การตั้งวัตถุประสงค์ในการดำเนินงานขององค์กรที่เชื่อมโยงระดับต่าง ๆ ฝ่ายต่าง ๆ เข้าด้วยกัน และยึดมั่นแน่นเหนียว ภายในองค์กร ซึ่งฝ่ายตรวจสอบภายในจะมีบทบาทในเรื่องนี้มาก
• 2.2 การประเมินความเสี่ยง คือการค้นหาและวิเคราะห์ความเสี่ยง เพื่อบริหารหรือจัดการให้วัตถุประสงค์ นโยบายขององค์กร ที่ตั้งไว้สำเร็จผลอย่างมีประสิทธิภาพและประสิทธิผล
• 2.3 การเปลี่ยนแปลง คือสิ่งที่ไม่แน่นอน ไม่ว่าในระดับกว้าง ระดับแคบ ทั้งทางด้านเศรษฐกิจการเงิน ลักษณะธุรกิจ เทคนิค ข้อบังคับ รวมทั้งเงื่อนไขในการดำเนินงาน จึงจำเป็นต้องมีวิธีการตรวจหาและจัดการกับความเสี่ยงโดยเฉพาะ
• 
  
• 3. กิจกรรมการควบคุม (Control Activities)
• เป็นการพิจารณากำหนดนโยบายและกระบวนการควบคุมให้รอบคอบว่า สิ่งที่กำหนดขึ้นมานั้นสามารถช่วยให้องค์กรบรรลุผลสำเร็จได้อย่างมีประสิทธิผล การควบคุมก็คือนโยบายและวิธีการต่าง ๆ ที่ทำให้มั่นใจว่าคำสั่งของฝ่ายบริหารได้นำไปปฏิบัติ
• 3.1 ช่วยให้มั่นใจว่ามีการดำเนินการต่าง ๆ ที่จำเป็นเพื่อบอกถึงความเสี่ยงต่อการทำให้เกิดความสำเร็จตามวัตถุประสงค์ ของหน่วยงาน
• 3.2 ต้องสร้างขั้นตอนการควบคุมความเสี่ยงภายในองค์กรทุกระดับ และทุกแผนก
• 3.3 การควบคุม รวมทั้งการพิจารณาอนุมัติ การให้อำนาจกระทำการ การตรวจสอบความถูกต้อง การไกล่เกลี่ยความขัดแย้ง การทบทวนผลการดำเนินงาน การรักษาความปลอดภัยของทรัพย์สิน การแบ่งแยกหน้าที่ ฯลฯ เพื่อให้องค์กรบรรลุเป้าหมาย
• 
  
• 4. ข้อมูลสารสนเทศและการสื่อสาร (Information and Communication)
• เน้นการส่งข่าว และความเข้าใจร่วมในองค์กร สำหรับกิจกรรม และระเบียบต่าง ๆ ให้เข้าใจตรงกันตามความรับผิดชอบในแต่ละระดับชั้น ในเวลาที่เหมาะสม การให้ข้อมูลต้องทำอย่างเหมาะสมด้วยสื่อทั้งภายในและภายนอก
• 4.1 ต้องสื่อสารเป็นวงกว้าง จากระดับบนสู่ล่าง จากซ้ายไปขวา จากขวาไปซ้าย แล้วย้อนล่างไปบน โดยต้องมีการสร้างระบบข้อมูลสารสนเทศและการสื่อสารที่เอื้อต่อการนำไปใช้ และมีการแลกเปลี่ยนกันตามความจำเป็น เพื่อใช้ในการปฏิบัติ การบริหาร และการควบคุมการดำเนินงาน
• 4.2 พนักงานทุกคนต้องเข้าใจบทบาทตนเองในระบบการควบคุมภายใน ตลอดจนความรู้ว่าการดำเนินงานของแต่ละคนสัมพันธ์กับการทำงานของผู้อื่น/หน่วยงานอื่นอย่างไร
• 4.3 รูปแบบการสื่อสารในองค์กรสามารถทำได้หลายทาง เช่น การประชุม การจัดทำรายงานประจำเดือน เป็นต้น การมีข้อมูลข่าวสารและระบบการสื่อสารที่ดีย่อมช่วยให้ผู้บริหารได้สอบทานสถานะของความเสี่ยงและแผนการดำเนินงาน สิ่งเหล่านี้จะช่วยให้เกิดการบอกกล่าวข้อมูลที่สำคัญ และทำให้เกิดการตัดสินใจที่มีประสิทธิผลได้อย่างทันเวลา
• 
  
• 5. การติดตาม/การสอดส่องดูแล (Monitoring)
• เนื่องจากสภาพแวดล้อมทางภายในและภายนอกองค์กรมีการเปลี่ยนแปลง ตลอดเวลา ระบบการควบคุมจึงต้องมีการติดตามและดัดแปลง รวมทั้งการตรวจสอบให้เหมาะสมเท่าที่จำเป็น สามารถเปลี่ยนแปลงให้เหมาะสมกับเงื่อนไขต่าง ๆ ได้เป็นอย่างดี โดยระบบการควบคุมภายในทุกระดับของฝ่ายในองค์กรจำเป็นต้องมีการสอดส่องดูแลอย่างใกล้ชิด และมีการประเมินคุณภาพการทำงานของระบบเป็นระยะ ทำได้โดยการสอดส่องและประเมินผลตลอดเวลาทุกขั้นตอน การดำเนินงาน