MENU
TH EN

การควบคุมภายในตามแนวทางของ COSO 1

Title Thumbnail & Hero Image: พัฒนาเมื่อ 5 สิงหาคม 2567.
การควบคุมภายในตามแนวทางของ COSO 1
First revision: Aug.5, 2024
Last change: Oct.9, 2024
สืบค้น รวบรวม เรียบเรียง แปล และปริวรรตโดย
อภิรักษ์ กาญจนคงคา.
.
ก.
       การควบคุมภายในเป็นแนวคิดการจัดการพื้นฐานที่ครอบคลุมทุกแง่ทุกมุมของการดำเนินงานขององค์กร ตั้งแต่กระบวนการบัญชีพื้นฐานไปจนถึงการดำเนินงานการผลิต ระบบไอที และอื่น ๆ . อย่างไรก็ตาม ในปีที่ผ่าน ๆ มานั้น การควบคุมภายในเป็นศัพท์สำนวนที่ฟังดูไพเราะซึ่งไม่มีใครให้คำจำกัดความที่สอดคล้องกันว่าการควบคุมภายในที่มีประสิทธิผลหมายถึงอะไร. จากนั้น หลังจากเกิดเรื่องอื้อฉาวทางบัญชีหลายครั้งในช่วงต้นทศวรรษ พ.ศ.2533/ค.ศ.1990 กลุ่มองค์กรบัญชีและการเงินระดับมืออาชีพ รวมถึงสถาบันผู้ตรวจสอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (American Institute of Certified Public Accountants - AICPA) ได้จัดตั้งสิ่งที่กลายมาเป็น คณะกรรมการองค์กรสนับสนุน-โคโซ่ (Committee of Sponsoring Organizations - COSO) ขึ้น เพื่อพัฒนากรอบงานที่สอดคล้องกันในการกำหนดแนวคิดของการควบคุมภายใน.

      หลังจากผ่านการตรวจสอบและแสดงความคิดเห็นเป็นเวลานานในฐานะที่เป็นเอกสารเผยแพร่ต่อสาธารณะ กรอบการควบคุมภายใน COSO ฉบับแรกได้รับการเผยแพร่ในปี พ.ศ.2535/ค.ศ.1992. กรอบการควบคุมภายในนี้ไม่ใช่มาตรฐานอย่างเป็นทางการหรือชุดข้อบังคับของภาครัฐ แต่เป็นกรอบที่ระบุลักษณะและแนวคิดของระบบการควบคุมภายในที่มีประสิทธิภาพสำหรับองค์กรทุกประเภทและทุกขนาด. ในไม่ช้า กรอบการควบคุมภายในก็ได้รับการปรับใช้เป็นข้อกำหนดสำหรับผู้ตรวจสอบภายนอกในการประเมินการควบคุมภายในของงบการเงิน และกลายมาเป็นมาตรการสำคัญในการรับรองรัฐบัญญัติซาร์เบนส์-ออกซเลย์ (Sarbanes-Oxley, SOx).

       แม้ว่ากรอบงานนี้จะไม่มีการเปลี่ยนแปลงและมีผลบังคับใช้ตั้งแต่มีการเปิดตัวในปี พ.ศ.2535/ค.ศ.1992 แต่กรอบงานเดิมนั้นไม่ได้สะท้อนการเปลี่ยนแปลงครั้งใหญ่ในระบบไอทีและธุรกิจอีกต่อไป รวมถึงลักษณะความร่วมมือและความเป็นสากลของธุรกิจในปัจจุบัน และความกังวลที่เพิ่มขึ้นเกี่ยวกับกระบวนการกำกับดูแลองค์กรที่ดีขึ้น ด้วยเหตุนี้ COSO จึงได้แก้ไขกรอบงานการควบคุมภายในโดยเริ่มร่างและเปิดให้แสดงความคิดเห็น และกรอบงานการควบคุมภายในของ COSO ที่แก้ไขใหม่หมดซึ่งได้เผยแพร่ในเดือนพฤษภาคม พ.ศ.2556/ค.ศ.2013.

       ในบล็อกนี้ Human Excellence (www.huexonline.com) จะให้คำอธิบายระดับผู้บริหาร (Executive-level) เกี่ยวกับกรอบการทำงานการควบคุมภายในใหม่ของ COSO ในบทต่อ ๆ ไป บล็อกนี้จะอธิบายส่วนประกอบของกรอบการทำงานใหม่และองค์ประกอบที่มีความสำคัญโดยเฉพาะต่อการดำเนินธุรกิจขององค์กร. นอกจากนี้ ก็จะใช้กรอบการทำงานสามมิติของ COSO และหมุนเวียนไปมาเพื่ออธิบายความสำคัญขององค์ประกอบทั้งหมดในกรอบการทำงานการควบคุมภายในได้ดีขึ้น. ในบทต่าง ๆ ที่จะแสดงต่อไปก็จะพิจารณาเอกสารแนะนำสนับสนุน เช่น COBIT และมาตรฐานการควบคุมภายในและการจัดการด้านความเสี่ยงของ ISO โดยเน้นที่การสร้างและการนำการควบคุมภายในขององค์กรที่มีประสิทธิผลมาใช้.


 
ข.
       วัตถุประสงค์อีกประการหนึ่งของบล็อกนี้ก็คือเพื่อแนะนำและอธิบายกรอบการควบคุมภายในของ COSO ที่แก้ไขใหม่นี้ในลักษณะที่ผู้บริหารองค์กรสามารถใช้เอกสารแนะนำการควบคุมภายในนี้เพื่อทำความเข้าใจและนำกระบวนการควบคุมภายในที่มีประสิทธิผลไปใช้ รวมถึงอธิบายความสำคัญของการควบคุมภายในของ COSO ต่อคณะกรรมการบริษัทและคณะกรรมการตรวจสอบ ต่อสมาชิกอื่น ๆ ของพนักงาน และต่อฝ่ายจัดการด้านไอที ตลอดจนเพื่อให้มีความเข้าใจโดยรวมเกี่ยวกับความสำคัญของการควบคุมภายในของ COSO. นอกจากนี้ บล็อกนี้จะค้นคว้าเสริมเกี่ยวกับกฎการเปลี่ยนผ่านและการนำไปปฏิบัติสำหรับการใช้กรอบการควบคุมภายในของ COSO ที่แก้ไขใหม่นี้เพื่อให้บรรลุตามข้อกำหนดการควบคุมภายในของรัฐบัญญัติซาร์เบนส์-ออกซเลย์.

       เมื่อพิจารณาเผิน ๆ กรอบการควบคุมภายในของ COSO อาจดูซับซ้อนและน่าสับสน แต่ก็ถือเป็นเครื่องมือการจัดการที่สำคัญที่ควรจะอยู่กับเราไปอีกหลายปี. องค์กรต่าง ๆ อาจจะนำกรอบการทำงานใหม่นี้มาใช้ทันทีหรืออาจยังคงใช้กรอบการทำงานเดิมจนถึงวันที่ 15 ธันวาคม พ.ศ.2557/ค.ศ.2014 ซึ่งเป็นจุดที่กรอบการทำงานที่ได้ปรับให้ทันสมัยจะเข้ามาแทนที่กรอบการทำงานเดิม.

.
.
หน้าที่ 1

บทที่ 1
ความสำคัญของกรอบการทำงานการควบคุมภายในของ COSO
(Importance of the COSO Internal Control Frame)

       มันไม่ใช่มาตรฐานหรือข้อกำหนดโดยละเอียด แต่เป็นเพียงกรอบการทำงานเท่านั้น นักบริหารธุรกิจบางท่านอาจถามว่า "COSO คืออะไร" ในโลกธุรกิจของเรานั้นมีกฎเกณฑ์และข้อบังคับมากมายที่จัดทำขึ้นโดยหน่วยงานของภาครัฐและหน่วยงานอื่น ๆ จำนวนมาก ซึ่งมักมีคำย่อจำยาก เราอาจจะมองข้ามหรือเพิกเฉยต่อมาตรฐานชุดใหม่นี้ได้ง่าย. นอกจากนี้ การควบคุมภายในของ COSO (Committee of Sponsoring organizations) เป็นเพียงกรอบรูปแบบที่ระบุแนวทางปฏิบัติทางวิชาชีพในการสร้างระบบและกระบวนการทางธุรกิจที่ต้องการซึ่งส่งเสริมการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผล. นอกจากนี้ "องค์กรที่ให้การสนับสนุน" ที่ออกและเผยแพร่เอกสารนี้ไม่ใช่หน่วยงานของรัฐหรือหน่วยงานกำกับดูแลอื่น ๆ . อย่างไรก็ตาม กรอบการควบคุมภายในของ COSO เป็นชุดหรือรูปแบบที่สำคัญของเอกสารแนวทางที่องค์กรควรปฏิบัติตามเมื่อพัฒนาระบบและขั้นตอนของตน รวมถึงเมื่อได้จัดตั้งการปฏิบัติตามกฎหมายตามรัฐบัญญัติ SOx ขึ้นด้วย.

       กรอบการควบคุมภายในของ COSO นี้เปิดตัวครั้งแรกในสหรัฐอเมริกาเมื่อปี พ.ศ. 2535/ค.ศ.1992 ซึ่งได้ผ่านมานานแล้ว. นับเป็นช่วงเวลาหนึ่งที่มีการปฏิบัติทางธุรกิจที่ฉ้อฉลอย่างเห็นได้ชัดในสหรัฐอเมริกาและที่อื่น ๆ ซึ่งบ่งชี้ถึงความจำเป็นที่ได้รับการยอมรับเป็นอย่างดีในการปรับปรุงกระบวนการและขั้นตอนการควบคุมภายในเพื่อช่วยเหลือแนะนำ กรอบการควบคุมภายในของ COSO ปี พ.ศ.2535/ค.ศ.1992 ได้กลายเป็นองค์ประกอบพื้นฐานของมาตรฐานการตรวจสอบของสถาบันผู้ตรวจสอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (American Institute of Certified Public Accountants - AICPA) ในสหรัฐอเมริกาในไม่ช้า, และในที่สุดก็กลายเป็นมาตรฐานสำหรับผู้ตรวจสอบขององค์กรในการตรวจสอบ, โดยรับรองว่าการควบคุมภายในขององค์กรเป็นไปตามรัฐบัญญัติซาร์เบนส์-ออกซเลย์ (SOx) อย่างเหมาะสม. เนื่องจากลักษณะทั่วไปของกรอบ COSO ที่อธิบายถึงแนวทางปฏิบัติการควบคุมภายในที่ดี จึงไม่เคยได้รับการแก้ไขจนถึงปัจจุบัน.

       นับตั้งแต่มีการเปิดตัวกรอบงาน COSO ดั้งเดิม มีการเปลี่ยนแปลงมากมายสำหรับองค์กรธุรกิจ โดยเฉพาะกระบวนการไอทีในช่วงหลายปีที่ผ่านมา. ตัวอย่างเช่น ระบบคอมพิวเตอร์เมนเฟรมที่มีขั้นตอนประมวลผลแบบแบตช์ (batch-การแบ่งเป็นชุด ๆ ) จำนวนมากนั้นเป็นเรื่องปกติในตอนนั้น แต่ปัจจุบันแทบหายไปหมดแล้ว และถูกแทนที่ด้วยระบบไคลเอนต์-เซิร์ฟเวอร์ (และปัจจุบันก็เป็นระบบคลาวด์) นอกจากนี้ ในขณะที่ World Wide Web เพิ่งเริ่มต้นขึ้น แต่เว็บดังกล่าวยังไม่ได้รับการพัฒนาเท่าในปัจจุบัน เนื่องจากอินเทอร์เน็ต ตลอดจนโครงสร้างองค์กรยังไม่มีความคล่องตัว ยืดหยุ่น และเป็นสากลมากขึ้นนัก. นอกจากนี้ การประมวลผลผ่านเครือข่ายโซเชียล อุปกรณ์มือถือที่มีประสิทธิภาพและการประมวลผลแบบคลาวด์ยังไม่มีอยู่ในสมัยนั้น.

       แม้ว่าบางคนอาจสงสัยว่าทำไม่ถึงใช้เวลานานมากนัก แต่ในปี พ.ศ.2554/ค.ศ.2011 COSO ได้ประกาศว่าจะแก้ไขกรอบการควบคุมภายในด้วยฉบับร่าง ซึ่งเผยแพร่ในช่วงต้นปี พ.ศ.2555/ค.ศ.2012 ร่างการควบคุมภายในของ COSO ดังกล่าวได้รับการเผยแพร่ต่อผู้ตรวจสอบภายในและภายนอก นักวิชาการ และผู้บริหารการเงินขององค์กรเป็นจำนวนมาก และผ่านช่วงรับฟังความคิดเห็นจากสาธารณชนอย่างกว้างขวาง คำอธิบายกรอบการควบคุมภายในฉบับแก้ไขครั้งสุดท้ายของ COSO ได้รับการเผยแพร่ในช่วงกลางเดือนพฤษภาคม พ.ศ.2556/ค.ศ.2013.

.
.
หน้าที่ 2
       บทต่อไปนี้จะอธิบายกรอบการควบคุมภายในของ COSO ที่ปรับปรุงใหม่โดยละเอียด และอธิบายว่าเหตุใดแนวคิดของกรอบการควบคุมภายในจึงมีความสำคัญมากสำหรับการจัดการองค์กรในปัจจุบัน. บทนี้เริ่มต้นด้วยข้อมูลพื้นฐานเกี่ยวกับกรอบการควบคุมภายในของ COSO จากมุมมองของผู้บริหารระดับสูง. กรอบการควบคุมภายในของ COSO จะช่วยวางรากฐานสำหรับการบรรลุความสำเร็จ.

       การปฏิบัติตามมาตรฐาน SOx และจะยังคงมีความสำคัญยิ่งขึ้นด้วยกรอบการควบคุมภายในฉบับปรับปรุงใหม่ บล็อกนี้จะสรุปด้วยแนวทางและกฎเกณฑ์บางประการสำหรับการนำกรอบการควบคุมภายในของ COSO ที่ปรับปรุงใหม่ไปใช้.



 
ความสำคัญของการควบคุมภายในของกิจการ
(THE IMPORTANCE OF ENTERPRISE INTERNAL CONTROLS)

       ระบบการควบคุมภายในที่มีประสิทธิภาพถือเป็นแนวทางป้องกันที่ดีที่สุดอย่างหนึ่งในการต่อต้านความล้มเหลวของธุรกิจ. ระบบการควบคุมภายในถือเป็นปัจจัยสำคัญที่ขับเคลื่อนประสิทธิภาพของธุรกิจ ซึ่งช่วยจัดการความเสี่ยงและช่วยรักษามูลค่าขององค์กร. การควบคุมภายในถือเป็นส่วนสำคัญของระบบการกำกับดูแลขององค์กรและความสามารถในการจัดการความเสี่ยง ซึ่งหน่วยงานกำกับดูแลขององค์กร ผู้บริหาร และบุคลากรอื่น ๆ จะเข้าใจ ดำเนินการ และติดตามอย่างแข็งขันเพื่อใช้ประโยชน์จากโอกาสและต่อต้านภัยคุกคามต่อการบรรลุวัตถุประสงค์ขององค์กร. ในระดับแนวคิดขั้นสูงนั้น แผนภูมิที่ 1.1 แสดงให้เห็นความสัมพันธ์ระหว่างการควบคุมภายในในฐานะส่วนประกอบของกระบวนการจัดการความเสี่ยงและองค์ประกอบสำคัญของการกำกับดูแลกิจการ (ให้มีธรรมาภิบาล).
 
 
แผนภูมิที่ 1.1: ความสัมพันธ์ของการควบคุมภายในของกิจการ (Importance of Enterprise Internal Controls)
 
       การควบคุมภายในถือเป็นองค์ประกอบสำคัญของระบบการกำกับดูแลขององค์กรและความสามารถในการจัดการความเสี่ยง และถือเป็นพื้นฐานในการสนับสนุนการบรรลุวัตถุประสงค์ขององค์กร ตลอดจนการสร้าง ปรับปรุง และปกป้องคุณค่าของผู้มีส่วนได้ส่วนเสีย. ความล้มเหลวขององค์กรที่มีชื่อเสียงมักนำไปสู่การกำหนดกฎเกณฑ์และข้อกำหนดเพิ่มเติม รวมถึงความพยายามในการปฏิบัติตามข้อกำหนดที่ใช้เวลานานและมีค่าใช้จ่ายสูงในภายหลัง. อย่างไรก็ตาม สิ่งนี้ทำให้ลืมไปว่าการควบคุมภายในประเภทที่เหมาะสม ซึ่งช่วยให้องค์กรสามารถใช้ประโยชน์จากโอกาสต่าง ๆ ได้อย่างเต็มที่ ขณะเดียวกันก็ชดเชยภัยคุกคามได้ จะช่วยประหยัดเวลาและเงิน และส่งเสริมการสร้างและรักษามูลค่าได้. การควบคุมภายในที่มีประสิทธิผลยังสร้างความได้เปรียบในการแข่งขัน เนื่องจากองค์กรที่มีการควบคุมที่มีประสิทธิภาพสามารถรับมือกับความเสี่ยงเพิ่มเติมได้.

       การควบคุมภายในได้รับการออกแบบมาเพื่อปกป้ององค์กรและหน่วยธุรกิจที่เกี่ยวข้องจากการสูญเสียหรือการใช้ทรัพย์สินในทางที่ผิด. การควบคุมภายในที่ดีช่วยให้แน่ใจว่าธุรกรรมได้รับอนุมัติอย่างถูกต้อง ระบบไอทีสนับสนุนได้รับการจัดการอย่างดี และข้อมูลที่มีอยู่ในรายงานทางการเงินมีความน่าเชื่อถือ. การควบคุมภายในคือกระบวนการที่องค์กรและหน่วยปฏิบัติการพยายามลดโอกาสที่อาจเกิดข้อผิดพลาด ความผิดปกติ และการกระทำที่ผิดกฎหมายที่เกี่ยวข้องกับการบัญชี การควบคุมภายในช่วยปกป้องเงินทุน จัดการทรัพย์สินอย่างมีประสิทธิภาพและประสิทธิผล และอนุญาตให้มีการบัญชีทางการเงินที่ถูกต้อง. แม้ว่าการควบคุมภายในไม่สามารถขจัดข้อผิดพลาดและความผิดปกติทั้งหมดได้ แต่สามารถเตือนผู้บริหารให้ทราบถึงปัญหาที่อาจเกิดขึ้นได้.
.
.
หน้าที่ 3

การควบคุมภายในของกิจการคืออะไร
(WHAT ARE ENTERPRISE INTERNAL CONTROLS?)

       คำจำกัดความแบบคลาสสิกระบุว่าการควบคุมภายในประกอบด้วย แผนขององค์กร และวิธีการประสานงานทั้งหมดที่นำมาใช้ภายในธุรกิจเพื่อปกป้องทรัพย์สิน ตรวจสอบความถูกต้องและความน่าเชื่อถือของข้อมูลบัญชี ส่งเสริมประสิทธิภาพการดำเนินงาน และสนับสนุนการปฏิบัติตามนโยบายการจัดการที่กำหนดไว้. คำจำกัดความนี้ระบุว่าระบบการควบคุมภายในนั้นครอบคลุมมากกว่าเรื่องที่เกี่ยวข้องกับหน้าที่ของแผนกบัญชีและการเงินโดยตรง. การควบคุมภายในคือแนวทางปฏิบัติ นโยบาย หรือขั้นตอนทางธุรกิจ (A business practice, policy, or procedure) ที่จัดทำขึ้นภายในองค์กรเพื่อสร้างมูลค่าหรือลดความเสี่ยง. แม้ว่าองค์กรจะคิดถึงการควบคุมภายในในแง่ของกระบวนการบัญชีที่ยุติธรรมและแม่นยำและการจัดการการดำเนินงานที่มีประสิทธิผลเป็นอันดับแรก แต่การควบคุมเทคโนโลยีสารสนเทศ (IT) ก็ยังเป็นส่วนย่อยที่สำคัญมากของการควบคุมภายในในปัจจุบันเช่นกัน. การควบคุมดังกล่าวได้รับการออกแบบมาเพื่อให้แน่ใจว่าข้อมูลภายในองค์กรทำงานตามที่ตั้งใจไว้ ข้อมูลมีความน่าเชื่อถือ และองค์กรปฏิบัติตามกฎหมาย ระเบียบและข้อบังคับที่เกี่ยวข้องทั้งหมด.

      เราควรคิดถึงการควบคุมภายในไม่ใช่เพียงกิจกรรมเดี่ยว ๆ แต่เป็นชุดของการดำเนินการภายในที่เกี่ยวข้องกัน ตัวอย่างเช่น ข้อกำหนดที่ระบุว่าใบเสร็จรับเงินจากการขายทั้งหมดต้องถูกต้องและกำหนดให้กับการลงบัญชีในหมวดหรือรหัสที่ถูกต้องอาจเป็นการควบคุมภายในที่สำคัญ แต่ควรมีกระบวนการเพื่อแก้ไขใบเสร็จรับเงินจากการขายที่ไม่สมดุลและทำการปรับเปลี่ยนที่เกี่ยวข้องตามความจำเป็น. ข้อกำหนดและกระบวนการเหล่านี้เมื่อรวมกันแล้วถือเป็นระบบควบคุมภายใน. ระบบควบคุมภายในเหล่านี้มักมีความซับซ้อน และไม่สามารถปฏิบัติได้จริงหรือสร้างผลกำไรที่จะพยายามตรวจสอบธุรกรรมแต่ละรายการด้วยตนเอง. ในทางกลับกัน ฝ่ายบริหารควรตื่นตัวต่อเงื่อนไขที่อาจบ่งชี้ถึงปัญหาที่อาจเกิดขึ้น.

       บุคลากรในองค์กรทุกระดับ และโดยเฉพาะผู้บริหารระดับสูง ควรมีหน้าที่รับผิดชอบในการทำความเข้าใจแนวคิดการควบคุมภายใน และช่วยจัดการและนำระบบการควบคุมภายในที่มีประสิทธิผลมาใช้ในองค์กร. ซึ่งถือเป็นสิ่งสำคัญโดยเฉพาะอย่างยิ่งสำหรับการควบคุมภายในระดับสูงขององค์กร ซึ่งหน่วยธุรกิจและบริษัทสาขาต่าง ๆ จะต้องมีรายการเกี่ยวโยงสัมพันธ์และปฏิสัมพันธ์กัน และระบบไอทีจะต้องเชื่อมต่อกันผ่านการเชื่อมโยงทางธุรกิจและระหว่างประเทศที่มักซับซ้อนอีกด้วย. นอกจากนี้ องค์กรจะต้องกำหนดแนวทางการกำกับดูแลโดยรวมและดำเนินการตามกฎหมาย ระเบียบ ข้อบังคับ และมาตรฐานต่าง ๆ ที่ส่งผลต่อการดำเนินงาน.

       ในการดำเนินธุรกิจ บุคลากรด้านการเงินและการบัญชีมีหน้าที่รับผิดชอบด้านการควบคุมภายในในบางเรื่อง ผู้บริหารฝ่ายจัดซื้อมีหน้าที่รับผิดชอบในอีกด้านหนึ่ง และผู้พัฒนาระบบไอทีมีหน้าที่รับผิดชอบที่แตกต่างกันออกไป แต่ผู้บริหารระดับสูงควรมีความเข้าใจโดยรวมเกี่ยวกับทุกแง่มุมของการควบคุมภายในทั่วทั้งองค์กร รวมถึงแนวคิดการควบคุมภายในระดับสูงสุดที่ส่งผลต่อการดำเนินงานโดยรวมขององค์กรและกระบวนการกำกับดูแล. กรอบการทำงานการควบคุมภายในของ COSO เชื่อมโยงแนวคิดเหล่านี้ทั้งหมดไว้ด้วยกัน และวัตถุประสงค์ของบล็อกนี้คือเพื่อช่วยให้ผู้บริหารระดับสูงเข้าใจแนวคิดการควบคุมภายในเหล่านี้ และอย่างน้อยที่สุดก็ตั้งถามคำถามที่ถูกต้อง.
.
.
หน้าที่ 4

การทำความเข้าใจกับระบบการควบคุมภายในของ COSO
(UNDERSTANDING THE COSO INTERNAL CONTROL FRAMEWORK: HOW TO USE THIS BLOCK)

กรอบการทำงาน: การศึกษาใช้งานในบล็อกนี้
การควบคุมภายในเป็นเครื่องมือและแนวคิดสำคัญขององค์กรในการรับรองการรายงานทางการเงินและการจัดการที่ถูกต้อง. อย่างไรก็ตาม ในปีที่ผ่าน ๆ มา การควบคุมภายในเป็นเพียงคำศัพท์ที่ฟังดูดี ซึ่งผู้เชี่ยวชาญทุกระดับยอมรับว่าการมีการควบคุมภายในที่มีประสิทธิผลนั้นเป็นสิ่งที่สำคัญ. นั่นเป็นเวลานานมาแล้ว และปัญหาได้รับการแก้ไขไปไม่น้อยแล้วด้วยการนำกรอบการทำงานการควบคุมภายในของ COSO มาใช้ในปี พ.ศ.2535/ค.ศ.1992. คู่มือแนวทางปฏิบัติที่ดีที่สุดนั้นผ่านการทดสอบของเวลาจนกระทั่งมีการปรับปรุงเมื่อไม่นานนี้

       บล็อกนี้จะแนะนำกรอบการควบคุมภายใน COSO ฉบับปรับปรุงใหม่จากมุมมองของผู้บริหารระดับสูงขององค์กร บทที่ 2 จะแนะนำกรอบการทำงานดั้งเดิมซึ่งมีความสำคัญต่อการบรรลุการปฏิบัติตามข้อกำหนดการรายงานทางการเงินของ SOx จากนั้น เราจะเริ่มด้วยบทที่ 3 และอธิบายกรอบการทำงานการควบคุมภายใน COSO ฉบับปรับปรุงใหม่ แนวทางนี้จะสรุปและอธิบายแบบจำลองสามมิติที่ดูซับซ้อนของ COSO สำหรับการสร้างและกำหนดการควบคุมภายในขององค์กร บทต่อ ๆ ไปจะใช้กรอบการทำงานสามมิติของ COSO และพิจารณาจากมิติต่าง ๆ เพื่อช่วยให้ผู้บริหารระดับสูงขององค์กรเข้าใจกรอบการทำงานการควบคุมภายในนี้.

       บทอื่น ๆ ครอบคลุมมาตรฐานเสริมหรือกรอบงานที่เกี่ยวข้องอย่างใกล้ชิดกับกรอบงานการควบคุมภายในของ COSO เช่น ความสัมพันธ์อย่างต่อเนื่องของกรอบงานนี้กับข้อกำหนดการควบคุมภายในของ SOx ความสัมพันธ์กับกรอบงาน COBIT และสถานะปัจจุบันของกรอบงานการจัดการความเสี่ยงขององค์กร COSO ที่เกี่ยวข้อง.

       บล็อกนี้จะสรุปด้วยแนวทางสำหรับการนำกรอบงานแก้ไขใหม่นี้ไปใช้ แม้ว่ากรอบงาน COSO ส่วนใหญ่จะอธิบายแนวปฏิบัติทั่วไปที่นำไปปฏิบัติได้ในหลายมิติ แต่ก็มีความแตกต่างเล็กน้อยระหว่างกรอบงานแก้ไขใหม่นี้กับฉบับดั้งเดิม ตามกฎการเปลี่ยนผ่านที่ระบุไว้ในบทที่ 20 องค์กรต้องระบุเวอร์ชันของกรอบงานการควบคุมภายในของ COSO ที่ใช้เมื่อเผยแพร่รายงานทางการเงินของ SOx.

       กรอบงาน COSO ดั้งเดิมอยู่กับเรามาหลายปีแล้ว และเราคาดหวังว่าการแก้ไขเหล่านี้จะยังคงมีผลใช้บังคับต่อไปในอนาคต เป้าหมายของบล็อกนี้คือการให้ข้อมูลสรุปที่เพียงพอเกี่ยวกับกรอบงานการควบคุมภายในของ COSO ที่แก้ไขใหม่ เพื่อให้ผู้บริหารระดับสูงสามารถชี้แจงให้คณะกรรมการตรวจสอบทราบถึงลักษณะของการแก้ไขใหม่นี้ และช่วยให้สมาชิกในทีมผู้บริหารองค์กรเข้าใจและนำการควบคุมภายในขององค์กรที่สอดคล้องกับการแก้ไขใหม่เหล่านี้ไปปฏิบัติได้.

.
.
หน้าที่ 5

บทที่ 2
เรามาถึงจุดนี้ได้อย่างไร: พื้นฐานการควบคุมภายใน
(How We Got Here: Internal Control Background )

แม้ว่าผู้บริหารระดับสูงขององค์กรในปัจจุบันจะเข้าใจแนวคิดเรื่องการควบคุมภายในของระบบธุรกิจและการบัญชีเป็นอย่างดีแล้วก็ตาม แต่ก่อนช่วง พ.ศ.2523 หรือปลายทศวรรษ 1980 แนวคิดนี้ไม่ได้เป็นจริง โดยเฉพาะอย่างยิ่งแม้ว่าเราจะเข้าใจแนวคิดทั่วไปนี้กันดีอยู่แล้ว แต่ผู้ที่สนใจจำนวนมากก็ยังไม่เห็นพ้องต้องกันอย่างสม่ำเสมอว่า "การควบคุมภายในที่ดี" หมายถึงอะไร ไม่ว่าจะในแง่ของกระบวนการทางธุรกิจหรือการบัญชีการเงิน คำจำกัดความในช่วงแรกนั้นมาจากสถาบันผู้ตรวจสอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (American Institute of Certified Public Accountants: AICPA) ก่อน จากนั้นสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์แห่งสหรัฐอเมริกา (U.S. Securities and Exchange Commission: SEC) จึงนำมาใช้สำหรับระเบียบข้อบังคับของพระราชบัญญัติการแลกเปลี่ยนหลักทรัพย์ปี พ.ศ.2477/ค.ศ.1934 และเป็นจุดเริ่มต้นที่ดี แม้ว่าจะมีการเปลี่ยนแปลงเกิดขึ้นตลอดหลายปีที่ผ่านมา แต่มาตรฐานที่รวบรวมเป็นลายลักษณ์อักษรฉบับแรกของ AICPA เรียกว่า Statement on Auditing Standards (SAS No. 1) ได้กำหนดแนวทางปฏิบัติด้านการตรวจสอบงบการเงินภายนอกในสหรัฐอเมริกาเป็นเวลาหลายปี โดยมีคำจำกัดความสำหรับการควบคุมภายในดังต่อไปนี้:

       ประกอบด้วยแผนงานขององค์กรและวิธีการประสานงานและมาตรการทั้งหมดที่นำมาใช้ภายในธุรกิจเพื่อปกป้องทรัพย์สิน ตรวจสอบความถูกต้องและความน่าเชื่อถือของข้อมูลบัญชี ส่งเสริมประสิทธิภาพในการปฏิบัติงาน และสนับสนุนการปฏิบัติตามนโยบายการจัดการที่กำหนดไว้ (Comprises the plan of enterprise and all of the coordinate methods and measures adopted within a business to safeguard its assets, check the accuracy and reliability of its accounting data, promote operational efficiency, and encourage adherence to prescribed managerial policies.)

       ต่อมา AICPA SAS No. 1 ฉบับดั้งเดิมได้รับการแก้ไขในภายหลังเพื่อเพิ่มการควบคุมด้านการบริหารและการบัญชีลงในคำจำกัดความของการควบคุมภายในขั้นพื้นฐาน. การควบคุมการบริหารรวมถึงแต่ไม่จำกัดเพียงแผนขององค์กรและขั้นตอนและบันทึกที่เกี่ยวข้องกับกระบวนการตัดสินใจที่นำไปสู่การอนุมัติธุรกรรมของฝ่ายบริหาร. การอนุมัติดังกล่าวเป็นฟังก์ชันการจัดการที่เกี่ยวข้องโดยตรงกับความรับผิดชอบในการบรรลุวัตถุประสงค์ขององค์กรและเป็นจุดเริ่มต้นสำหรับการกำหนดการควบคุมบัญชีของธุรกรรม.

       การควบคุมการบัญชีประกอบด้วยแผนงานขององค์กรและขั้นตอนและบันทึกที่เกี่ยวข้องกับการปกป้องทรัพย์สินและความน่าเชื่อถือของบันทึกทางการเงิน และด้วยเหตุนี้จึงได้รับการออกแบบมาเพื่อให้มั่นใจได้อย่างสมเหตุสมผลว่า:

          ก. ธุรกรรมต่าง ๆ ดำเนินการตามการอนุญาตทั่วไปหรือเฉพาะของฝ่ายจัดการ
          ข. ธุรกรรมต่าง ๆ จะถูกบันทึกตามความจำเป็น (1) เพื่อให้สามารถจัดทำงบการเงินได้ตามหลักการบัญชีที่ยอมรับโดยทั่วไปหรือเกณฑ์อื่น ๆ ที่ใช้ได้กับงบการเงินดังกล่าว และ (2) เพื่อรักษาความรับผิดชอบต่อทรัพย์สิน
          ค. อนุญาตให้เข้าถึงทรัพย์สินได้เฉพาะตามการอนุญาตของฝ่ายจัดการเท่านั้น
          ง. ความรับผิดชอบที่บันทึกสำหรับทรัพย์สินจะถูกเปรียบเทียบกับทรัพย์สินที่มีอยู่ในช่วงเวลาที่เหมาะสม และจะดำเนินการที่เหมาะสมเกี่ยวกับความแตกต่างใด ๆ .

       ความสัมพันธ์ที่ทับซ้อนกันของการควบคุมภายในทั้งสองประเภทนี้ได้รับการชี้แจงเพิ่มเติมในมาตรฐาน AICPA ก่อนปีพ.ศ.2531/ค.ศ.1988 ดังนี้:

       คำจำกัดความข้างต้นไม่จำเป็นต้องแยกจากกัน เนื่องจากขั้นตอนและบันทึกบางส่วนที่รวมอยู่ในการควบคุมทางบัญชีอาจเกี่ยวข้องกับการควบคุมทางการบริหารด้วย ตัวอย่างเช่น บันทึกการขายและต้นทุนที่จำแนกตามผลิตภัณฑ์อาจใช้เพื่อวัตถุประสงค์ในการควบคุมทางบัญชีและในการตัดสินใจของฝ่ายบริหารเกี่ยวกับราคาต่อหน่วยหรือด้านอื่น ๆ ของการดำเนินงาน. ตัวอย่างเช่น บันทึกการขายและต้นทุนที่จำแนกตามผลิตภัณฑ์พลอยได้อาจใช้เพื่อวัตถุประสงค์ในการควบคุมบัญชีและในการตัดสินใจของฝ่ายบริหารเกี่ยวกับราคาต่อหน่วยหรือด้านอื่น ๆ ของการดำเนินงาน อย่างไรก็ตาม การใช้ขั้นตอนหรือบันทึกหลาย ๆ อย่างนี้ไม่สำคัญสำหรับวัตถุประสงค์ของส่วนนี้ เนื่องจากส่วนนี้เกี่ยวข้องโดยเฉพาะกับการชี้แจงขอบเขตภายนอกของการควบคุมบัญชี. ตัวอย่างของบันทึกที่ใช้เฉพาะเพื่อการควบคุมการบริหาร ได้แก่ บันทึกที่เกี่ยวข้องกับลูกค้าที่พนักงานขายติดต่อ และบันทึกเกี่ยวกับงานที่มีข้อบกพร่องของพนักงานฝ่ายผลิตที่จัดทำขึ้นเพื่อบุคลากรประเมินผลในแต่ละรอบการปฏิบัติงานเท่านั้น. (อ้างอิง: Statement on Auditing Standards No.1, Codification of Auditing Standards and Procedures, AICPA, Professional Standards)

.
.
หน้าที่ 6
       ประเด็นของเราคือ คำจำกัดความของการควบคุมภายใน ซึ่งเดิมกำหนดไว้เมื่อหลายปีก่อนโดย AICPA มีการเปลี่ยนแปลงและตีความใหม่ตลอดหลายปีที่ผ่านมา. อย่างไรก็ตาม มาตรฐาน AICPA ก่อนหน้านี้เน้นย้ำว่าระบบการควบคุมภายในขยายออกไปไกลเกินกว่าเรื่องที่เกี่ยวข้องกับการบัญชีและงบการเงินโดยตรง ซึ่งรวมถึงการควบคุมด้านการบริหาร แต่ไม่รวมการควบคุมที่เกี่ยวข้องกับไอที การดำเนินงาน หรือการกำกับดูแล ในช่วงระหว่างช่วง พ.ศ.2513 หรือทศวรรษ 1970 นี้ ก.ล.ต.(สหรัฐฯ) และ AICPA ได้เผยแพร่คำจำกัดความของการควบคุมภายในหลายฉบับ รวมทั้งการตีความและแนวปฏิบัติมากมายที่พัฒนาโดยบริษัทตรวจสอบบัญชีภายนอกรายใหญ่ในขณะนั้น.

       ในช่วงระหว่างช่วง พ.ศ.2513 หรือทศวรรษที่ 1970 ในสหรัฐอเมริกาและที่อื่น ๆ ทั่วโลก มีการทุจริตทางบัญชีขององค์กรที่สำคัญและความล้มเหลวในการควบคุมภายในขององค์กรเป็นจำนวนมากผิดปกติ เหตุการณ์ชุดเดียวกันนี้เกิดขึ้นซ้ำอีกในช่วงปีต้น ๆ ของศตวรรษนี้. เหตุการณ์ชุดแรกนั้นนำไปสู่การออกกฎหมายป้องกันการปฏิบัติทุจริตในต่างประเทศในสหรัฐอเมริกา (the Foreign Corrupt Practices Act) รวมถึงความพยายามที่จะทำความเข้าใจและกำหนดแนวคิดที่เรียกว่าการควบคุมภายในให้ดีขึ้น ผลลัพธ์ที่ได้คือกรอบการทำงานการควบคุมภายในของ COSO ดั้งเดิมซึ่งแนะนำในบทนี้พร้อมกับเวอร์ชันแก้ไขใหม่ที่อธิบายไว้ในบทต่อไป.

       การฉ้อโกงและความล้มเหลวในการควบคุมภายในของบริษัทชุดที่สอง ซึ่งบริษัทที่ชื่อว่า Enron เป็นตัวอย่างหลัก ส่งผลให้มีการผ่านร่างพระราชบัญญัติ Sarbanes-Oxley (SOx) กฎที่เกี่ยวข้องกับการควบคุมภายในนั้นใช้บังคับครั้งแรกในสหรัฐอเมริกา และปัจจุบันมีความสำคัญทั่วโลก บทนี้จะอธิบายองค์ประกอบสำคัญบางส่วนของ SOx และเหตุใดการปฏิบัติตามจึงมีความสำคัญต่อการสร้างและการนำกระบวนการควบคุมภายในที่มีประสิทธิผลมาใช้ในปัจจุบัน.

.
.
หน้าที่ 7

ที่มา: joinhorizons.com, วันที่เข้าถึง: 26 กันยายน 2567.

คำจำกัดความเบื้องต้นของการควบคุมภายใน: กฎหมายป้องกันการปฏิบัติทุจริตในต่างประเทศ
(EARLY DEFINITIONS OF INTERNAL CONTROLS: FOREIGN CORRUPT PRACTICES ACT OF 1977)

       ในขณะที่เรื่องอื้อฉาวทางบัญชีของบริษัทที่มีชื่อเสียงอย่าง Enron และบริษัทอื่น ๆ นำมาซึ่ง SOx ในช่วงต้นศตวรรษนี้ สหรัฐอเมริกาก็เคยประสบกับสถานการณ์ที่คล้ายกันเมื่อประมาณ 30 ปีก่อน แม้ว่าปัจจุบันจะดูเหมือนนานมาแล้ว แต่ช่วงปี พ.ศ. 2517–2520 เป็นช่วงเวลาแห่งความวุ่นวายทางสังคมและการเมืองอย่างรุนแรงในสหรัฐอเมริกา มีการค้นพบการกระทำผิดกฎหมายหลายกรณีในช่วงการเลือกตั้งประธานาธิบดีในปีพ.ศ. 2515 รวมถึงการโจรกรรมสำนักงานใหญ่ของพรรคเดโมแครตในอาคารที่เรียกว่าวอเตอร์เกต เหตุการณ์ดังกล่าวนำไปสู่การลาออกของประธานาธิบดีในที่สุด และการสอบสวนที่เกี่ยวข้องพบว่ามีการปฏิบัติที่น่าสงสัยอื่น ๆ เกิดขึ้นซึ่งไม่ได้ครอบคลุมอยู่ในกฎหมายที่มีอยู่ ผลที่เกิดขึ้นนี้คล้ายกับการที่ Enron ล้มเหลวและนำมาซึ่ง SOx. ซึ่งผลที่เกิดขึ้นคือการผ่านร่างกฎหมายป้องกันการปฏิบัติทุจริตในต่างประเทศ พ.ศ. 2520 (FOREIGN CORRUPT PRACTICES ACT OF 1977 - FCPA).

       ซึ่ง FCPA ได้ห้ามการให้สินบนแก่เจ้าหน้าที่ต่างชาติที่ไม่ใช่ของสหรัฐฯ และมีบทบัญญัติที่กำหนดให้ต้องจัดทำบัญชี บันทึก และระบบควบคุมบัญชีภายในให้ถูกต้อง โดยมีบทบัญญัติที่บังคับใช้กับบริษัทในสหรัฐฯ แทบทุกแห่งที่มีหลักทรัพย์จดทะเบียนกับ SEC กฎการควบคุมภายในของ FCPA ส่งผลกระทบต่อการจัดการทางการเงินขององค์กรโดยเฉพาะ รวมถึงผู้ตรวจสอบภายในและภายนอก FCPA กำหนดให้บริษัทที่อยู่ภายใต้การกำกับดูแลของ SEC ต้องปฏิบัติตามคำศัพท์ที่นำมาจากกฎหมายโดยตรง.
  • จัดทำและเก็บรักษาหนังสือ บันทึก และบัญชี ซึ่งมีรายละเอียดที่เหมาะสม ถูกต้อง และยุติธรรม. สะท้อนถึงธุรกรรมและการจัดการสินทรัพย์ของผู้ออกหลักทรัพย์.
  • ออกแบบและรักษาระบบควบคุมบัญชีภายในที่เพียงพอเพื่อให้มั่นใจได้อย่างสมเหตุสมผลว่า.
    • ธุรกรรมดำเนินการตามการอนุญาตทั่วไปหรือเฉพาะของฝ่ายบริหาร
    • บันทึกธุรกรรมตามความจำเป็นทั้งเพื่อให้สามารถจัดทำงบการเงินได้ตามหลักการบัญชีที่รับรองโดยทั่วไป (GENERAL ACCEPTED ACCOUNTING PRINCIPLE - GAAP) หรือเกณฑ์อื่นใดที่ใช้ได้กับงบการเงินดังกล่าว และเพื่อรักษาความรับผิดชอบต่อสินทรัพย์.
  • อนุญาตให้เข้าถึงสินทรัพย์ได้เฉพาะตามการอนุญาตทั่วไปหรือเฉพาะของฝ่ายบริหารเท่านั้น และ
  • ความรับผิดชอบที่บันทึกสำหรับสินทรัพย์จะถูกเปรียบเทียบกับสินทรัพย์ที่มีอยู่ในช่วงเวลาที่เหมาะสม และดำเนินการที่เหมาะสมเกี่ยวกับความแตกต่างใด ๆ .
       ในขณะนั้น FCPA มีความสำคัญ เนื่องจากเป็นครั้งแรกที่ฝ่ายบริหารต้องรับผิดชอบในการดูแลรักษาระบบควบคุมบัญชีภายในที่เหมาะสม กฎหมายดังกล่าวกำหนดให้บริษัทต่าง ๆ “จัดทำและเก็บรักษาบัญชี บันทึก และเอกสารต่าง ๆ ที่สะท้อนธุรกรรมและการจำหน่ายสินทรัพย์ของผู้ออกหลักทรัพย์ได้อย่างถูกต้องและเป็นธรรมในรายละเอียดที่เหมาะสม” กฎหมายการบันทึกบัญชีของ FCPA คล้ายกับและครอบคลุมกว่าข้อกำหนด SOx ในปัจจุบัน ซึ่งสรุปไว้ในภายหลังในบทนี้ กฎหมายดังกล่าวบังคับใช้กับบริษัทมหาชนทั้งหมดที่จดทะเบียนกับ กลต. (SEC).

       นอกจากนี้ FCPA ยังกำหนดให้บริษัทต่าง ๆ ต้องเก็บบันทึกที่สะท้อนธุรกรรมของตนได้อย่างถูกต้อง “ในรายละเอียดที่เหมาะสม - in reasonable detail.” แม้ว่าจะไม่มีคำจำกัดความเฉพาะเจาะจงในที่นี้ แต่กฎดังกล่าวมีจุดมุ่งหมายให้บันทึกควรสะท้อนธุรกรรมตามวิธีการที่ยอมรับในการบันทึกเหตุการณ์ทางเศรษฐกิจ ป้องกันการ “ใช้เงินนอกบัญชี - slush funds” และการจ่ายสินบน. FCPA ยังกำหนดให้บริษัทต่าง ๆ ต้องรักษาระบบควบคุมบัญชีภายในที่เพียงพอเพื่อให้มั่นใจได้อย่างสมเหตุสมผลว่าธุรกรรมได้รับอนุญาตและบันทึกไว้เพื่อให้สามารถจัดทำงบการเงินได้ตาม GAAP. นอกจากนี้ กฎของ FCPA ยังระบุว่าต้องรักษาความรับผิดชอบต่อสินทรัพย์ของบริษัท และอนุญาตให้เข้าถึงสินทรัพย์ได้เฉพาะเมื่อได้รับอนุญาตจากการตรวจนับสินค้าคงเหลือเป็นระยะ ๆ เท่านั้น. FCPA ซึ่งผ่านเมื่อประมาณ 40 ปีที่แล้ว เป็นชุดกฎการกำกับดูแลกิจการที่แข็งแกร่ง (robust) และเนื่องมาจาก FCPA คณะกรรมการบริหารและคณะกรรมการตรวจสอบจำนวนมากจึงเริ่มตรวจสอบการควบคุมภายในของบริษัทอย่างจริงจัง.

.
.
หน้าที่ 8
FCPA และการควบคุมภายในในปัจจุบัน
(THE FCDA AND INTERNAL CONTROLS TODAY)

       เมื่อมีการบังคับใช้ FCPA ในสหรัฐอเมริกา ส่งผลให้เกิดความพยายามอย่างมากในการประเมินและบันทึกระบบเอกสารของการควบคุมภายในในบริษัทใหญ่ ๆ ของสหรัฐอเมริกา. บริษัทต่าง ๆ ที่ไม่เคยบันทึกขั้นตอนการควบคุมภายในอย่างเป็นทางการได้เริ่มดำเนินการจัดทำเอกสารอย่างเต็มที่. โดยความรับผิดชอบในการจัดทำเอกสารตาม FCPA มักตกเป็นของแผนกตรวจสอบภายใน จำไว้ว่าในช่วงปลายทศวรรษปี 1970 และต้นทศวรรษปี 1980 ระบบไอทีส่วนใหญ่เป็นกระบวนการแบบแบตช์เมนเฟรม (Mainframe batch-oriented processes) และเครื่องมือจัดทำเอกสารที่มีอยู่มักเป็นเพียงเทมเพลตผังงานพลาสติกและดินสอเบอร์ 2 !!! เท่านั้น คล้ายกับช่วงแรก ๆ ของ SOx ซึ่งจะกล่าวถึงในบทนี้ บริษัทต่าง ๆ ได้ใช้ความพยายามอย่างมากเพื่อให้เป็นไปตาม FCPA ในความพยายามในช่วงแรก บริษัทขนาดใหญ่หลายแห่งได้พัฒนาชุดเอกสารระบบบนกระดาษจำนวนมาก โดยไม่มีข้อกำหนดใด ๆ เมื่อทำเสร็จเรียบร้อยแล้ว เพื่ออัปเดตเป็นประจำ.

       ผู้เชี่ยวชาญทางธุรกิจจำนวนมากในสมัยนั้นคาดการณ์ว่าจะมีกฎระเบียบเพิ่มเติมตามมาหลังจากที่ FCPA มีผลบังคับใช้. อย่างไรก็ตาม กฎหมายดังกล่าวก็ไม่ได้เกิดขึ้น ไม่มีการดำเนินคดีทางกฎหมายที่เกี่ยวข้องกับการควบคุมภายในในช่วงเริ่มต้นของ FCPA และโชคดีที่ไม่มีใครเข้ามาตรวจสอบไฟล์เอกสารที่รวบรวมไว้ซึ่งบังคับใช้ตามกฎหมาย FCPA. ปัจจุบัน FCPA หายไปจากเรดาร์ของเราเกี่ยวกับหัวข้อการจัดการที่ "ร้อนแรง" ในปัจจุบัน แต่ยังคงมีผลบังคับใช้ในฐานะกฎหมายต่อต้านการทุจริตและต่อต้านการติดสินบนที่บังคับใช้อย่างจริงจัง. หากค้นหาทางเว็บในปัจจุบัน จะพบข้อมูลอ้างอิงเพียงเล็กน้อยหรือไม่มีเลยเกี่ยวกับบทบัญญัติการควบคุมภายในของ FCPA แต่ส่วนใหญ่จะเกี่ยวข้องกับการค้าต่างประเทศและการติดสินบน กฎหมายดังกล่าวได้รับการแก้ไขในช่วงทศวรรษ 1990 เพื่อเสริมความแข็งแกร่งและปรับปรุงบทบัญญัติต่อต้านการทุจริต.

       เมื่อมีการประกาศใช้ในปี 1977, FCPA ได้เน้นย้ำถึงความสำคัญของการควบคุมภายในที่มีประสิทธิภาพ แม้ว่าในขณะนั้นจะไม่มีคำจำกัดความของการควบคุมภายในที่สอดคล้องกันก็ตาม, แต่ FCPA ถือเป็นก้าวสำคัญในช่วงเริ่มต้นที่กระตุ้นให้บริษัทต่าง ๆ พิจารณาถึงความจำเป็นของการควบคุมภายในที่มีประสิทธิภาพ แม้ว่าจะไม่มีแนวปฏิบัติหรือมาตรฐานใด ๆ เกี่ยวกับข้อกำหนดการจัดทำเอกสารระบบการควบคุมภายในของ FCPA ก็ตาม. บางทีหากมีการพยายามกำหนดข้อกำหนดการจัดทำเอกสารการปฏิบัติตามการควบคุมภายในของ FCPA มากกว่านี้ เราก็อาจไม่มี SOx เลยก็ได้.


 
เหตุการณ์นำไปสู่คณะกรรมาธิการทรีตเวย์
(EVENTS LEADING UP TO THE TREADWAY COMMISSION)

       แม้จะมีข้อกำหนดของ FCPA สำหรับการบันทึกการควบคุมภายใน แต่ในไม่ช้าก็ชัดเจนสำหรับหลาย ๆ คนว่าเราไม่มีความเข้าใจที่ชัดเจนและสอดคล้องกันว่า "การควบคุมภายในที่ดี" หมายถึงอะไร. ในช่วงปลายทศวรรษปี 1970 ผู้ตรวจสอบภายนอกรายงานเพียงว่างบการเงินขององค์กร "นำเสนออย่างพอควร  ตามที่ควร - Fairly presented" แต่ไม่มีการกล่าวถึงความเพียงพอของขั้นตอนการควบคุมภายในที่รองรับงบการเงินที่ผ่านการตรวจสอบเหล่านั้น.
       (ทรีตเวย์ = ลู่วิ่ง)
       FCPA มีข้อกำหนดให้บริษัทที่รายงานต้องบันทึกการควบคุมภายใน แต่ไม่ได้ขอให้ผู้ตรวจสอบภายนอกรับรองว่าบริษัทปฏิบัติตามข้อกำหนดในการรายงานการควบคุมภายในหรือไม่. จากนั้น SEC จึงเริ่มศึกษาความเพียงพอของการควบคุมภายใน โดยได้ออกรายงานชุดหนึ่งในช่วงเวลาประมาณ 10 ปีข้างหน้า เพื่อกำหนดความหมายของการควบคุมภายในและความรับผิดชอบของผู้ตรวจสอบภายนอกในการรายงานเกี่ยวกับการควบคุมภายในเหล่านั้นให้ดียิ่งขึ้น.

.
.
หน้าที่ 9
       นอกจากนี้ AICPA ยังได้จัดตั้งคณะกรรมาธิการระดับสูงว่าด้วยความรับผิดชอบของผู้ตรวจสอบบัญชีในปี 1974. กลุ่มนี้ซึ่งเรียกอีกอย่างว่าคณะกรรมาธิการโคเฮน (the Cohen Commission) ได้แนะนำไว้ในปี 1978 ว่าควรมีคำชี้แจงเกี่ยวกับเงื่อนไขของการควบคุมภายในขององค์กรเป็นส่วนหนึ่งของงบการเงินที่เผยแพร่. แม้ว่าคำแนะนำของคณะกรรมาธิการโคเฮนจะเกิดขึ้นในเวลาเดียวกับที่เผยแพร่ FCPA แต่ก็ถูกวิพากษ์วิจารณ์อย่างหนัก. โดยเฉพาะอย่างยิ่ง คำแนะนำในรายงานไม่ได้ระบุอย่างชัดเจนว่า "การรายงานเกี่ยวกับการควบคุมภายใน-reporting on internal controls" หมายถึงอะไร และผู้ตรวจสอบบัญชีภายนอกแสดงความกังวลอย่างมากเกี่ยวกับบทบาทของตนในกระบวนการนี้. ผู้ตรวจสอบบัญชีภายนอกกังวลเกี่ยวกับภาระที่อาจเกิดขึ้นหากรายงานเกี่ยวกับการควบคุมภายในของตนส่งสัญญาณที่ไม่สอดคล้องกัน. เนื่องจากขาดความเข้าใจเกี่ยวกับคำจำกัดความของมาตรฐานการควบคุมภายใน-internal control standards. แม้ว่าผู้ตรวจสอบบัญชีจะคุ้นเคยกับการรับรองความถูกต้องตามที่ควรของงบการเงิน แต่รายงานของคณะกรรมาธิการโคเฮนเรียกร้องให้มีการแสดงความคิดเห็นในการตรวจสอบเกี่ยวกับความถูกต้องตามที่ควร (fairness) ของคำยืนยันการควบคุมของฝ่ายจัดการในจดหมายควบคุมภายในของงบการเงินที่เสนอ ในไม่ช้าก็ชัดเจนขึ้นว่าฝ่ายจัดการไม่มีคำจำกัดความของการควบคุมภายในที่สอดคล้องกัน. องค์กรต่าง ๆ อาจใช้คำศัพท์เดียวกันเกี่ยวกับคุณภาพของการควบคุมภายใน โดยแต่ละคำมีความหมายที่แตกต่างกันเล็กน้อย หากองค์กรรายงานว่าการควบคุมของตน "เพียงพอ-adequate" และหากผู้ตรวจสอบยอมรับข้อกล่าวอ้างดังกล่าวในรายงานการควบคุมนั้น ผู้ตรวจสอบภายนอกอาจถูกวิพากษ์วิจารณ์ในภายหลัง หรือแม้แต่ถูกฟ้องร้องหากเกิดปัญหาการควบคุมที่สำคัญในภายหลัง.     
 
       องค์กรวิชาชีพผู้บริหารทางการเงินสากล (Financial Executives International-FEI) มีส่วนเกี่ยวข้องในข้อโต้แย้งเรื่องการรายงานการควบคุมภายในนี้ เช่นเดียวกับที่ AICPA เป็นตัวแทนของผู้สอบบัญชีรับอนุญาตในสหรัฐอเมริกา FEI ก็เป็นตัวแทนของเจ้าหน้าที่การเงินระดับสูงขององค์กร. ในช่วงปลายทศวรรษปี 1970, FEI ได้ให้การรับรองคำแนะนำด้านการควบคุมภายในของคณะกรรมาธิการโคเฮน และเห็นด้วยว่าบริษัทต่าง ๆ ควรรายงานสถานะการควบคุมบัญชีภายในของตน. ด้วยเหตุนี้ บริษัทต่าง ๆ ในสหรัฐฯ หลายแห่งจึงเริ่มหารือเกี่ยวกับความเพียงพอของการควบคุมภายในของตนเป็นส่วนหนึ่งของจดหมายการจัดการรายงานประจำปี. จดหมายควบคุมภายในเหล่านี้เป็นแบบสมัครใจและไม่ปฏิบัติตามรูปแบบมาตรฐาน โดยทั่วไปจะมีข้อคิดเห็นที่ระบุว่าฝ่ายบริหารได้ประเมินคุณภาพการควบคุมภายในขององค์กรเป็นระยะ ๆ ผ่านผู้ตรวจสอบภายใน และรายงานเหล่านี้มีเนื้อหาเป็นความคิดเห็นเกี่ยวกับ "การให้ความมั่นใจเชิงลบ-negative assurance" ซึ่งระบุว่าไม่พบสิ่งใดที่บ่งชี้ว่าอาจมีปัญหาด้านการควบคุมภายในในการดำเนินงาน.
.
.
หน้าที่ 10
       คำว่าการรับประกันเชิงลบ (negative assurance) จะกลับมาอีกครั้งในการอภิปรายของเราเกี่ยวกับการควบคุมภายใน. เนื่องจากผู้ตรวจสอบภายนอกไม่สามารถตรวจจับปัญหาทั้งหมดได้และเผชิญกับความเสี่ยงของการฟ้องร้องที่อาจเกิดขึ้น รายงานของผู้ตรวจสอบภายนอกก่อน (ที่จะมีรัฐบัญญัติ) SOx จึงมักระบุในแง่ของการรับประกันเชิงลบ. กล่าวคือ แทนที่จะบอกว่าพวกเขา "ไม่พบปัญหา" ในพื้นที่ที่อยู่ระหว่างการพิจารณา รายงานของพวกเขาจะระบุว่าพวกเขาไม่พบสิ่งใดที่จะทำให้พวกเขาเชื่อว่ามีปัญหา (They did not find anything that would lead them to believe that there was a problem). นี่เป็นความแตกต่างที่ละเอียดอ่อนแต่สำคัญ เมื่อพิจารณาถึงข้อโต้แย้งเมื่อหลายปีก่อน กลต. (SEC) จึงได้ออกกฎเกณฑ์ที่เสนอขึ้นโดยอิงตามคำแนะนำของคณะกรรมาธิการโคเฮน และ FEI โดยเรียกร้องให้มีรายงานการจัดการภาคบังคับเกี่ยวกับระบบการควบคุมบัญชีภายในของนิติบุคคล กลต. (SEC) ระบุว่าข้อมูลเกี่ยวกับประสิทธิภาพของระบบการควบคุมภายในของนิติบุคคลนั้นจำเป็น เพื่อให้นักลงทุนสามารถประเมินทั้งประสิทธิภาพของฝ่ายจัดการและความสมบูรณ์ของรายงานทางการเงินที่เผยแพร่ได้ดีขึ้น. ข้อเสนอของกลต. (SEC) นี้ได้ก่อให้เกิดความขัดแย้งอีกครั้ง เนื่องจากประธานเจ้าหน้าที่บริหาร (CEO) และประธานเจ้าหน้าที่ฝ่ายการเงิน (CFO) หลายคนรู้สึกว่าเรื่องนี้เป็นภาระมากเกินไป โดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากกฎระเบียบ FCPA ที่เพิ่งออกใหม่ในขณะนั้น.

       คำถามมาจากหลายทิศทางเกี่ยวกับคำจำกัดความของการควบคุมบัญชีภายใน. แม้ว่าบริษัทต่าง ๆ อาจตกลงที่จะรายงานโดยสมัครใจ แต่บริษัทเหล่านั้นไม่ต้องการให้ตนเองต้องรับโทษที่เกี่ยวข้องกับการละเมิดระเบียบข้อบังคับของกลต. (SEC). ในช่วงก่อน SOx. ในไม่ช้า กลต. (SEC) ก็ยกเลิกรายงานการจัดการแยกต่างหากที่เสนอในปี 1979 เกี่ยวกับการควบคุมบัญชีภายในซึ่งเป็นส่วนหนึ่งของรายงานประจำปีที่ส่งถึงผู้ถือหุ้น แต่สัญญาว่าจะออกระเบียบข้อบังคับดังกล่าวอีกครั้งในภายหลัง.

.
.
มาตรฐานการตรวจสอบของ AICPA ก่อนหน้านี้: SAS NO. 55 และ 78
(EARLIER AICPA AUDITING STANDARDS: SAS NOS.55 AND 78)

       ก่อนที่จะมี SOx, AICPA มีหน้าที่รับผิดชอบในการเผยแพร่มาตรฐานการตรวจสอบภายนอกผ่าน Statements on Auditing Standards (SAS) ตามที่ได้กล่าวไว้ก่อนหน้านี้สำหรับ SAS No. 1 มาตรฐานเหล่านี้เป็นพื้นฐานของการตรวจสอบความเพียงพอและความเป็นธรรมของงบการเงินที่เผยแพร่โดยผู้ตรวจสอบภายนอก. แม้ว่าจะมีการเปลี่ยนแปลงเล็กน้อยในช่วงหลายปีที่ผ่านมา แต่ AICPA ก็ถูกวิพากษ์วิจารณ์บ่อยครั้งในช่วงทศวรรษ 1970 และ 1980 ว่ามาตรฐานการตรวจสอบของ AICPA ไม่ได้ให้คำแนะนำที่เพียงพอแก่ผู้ตรวจสอบภายนอกหรือผู้ใช้รายงาน. ปัญหานี้เรียกว่า "ช่องว่างความคาดหวัง - expectations gap" เนื่องจากมาตรฐานการบัญชีสาธารณะที่มีอยู่ไม่ตรงตามความคาดหวังของนักลงทุน.

       เพื่อตอบสนองต่อคำวิจารณ์ดังกล่าว, AICPA ได้เผยแพร่มาตรฐานการตรวจสอบการควบคุมภายในชุดใหม่ SAS ในช่วงปี 1980 ถึง 1985 ซึ่งรวมถึง SAS ฉบับที่ 30 การรายงานการควบคุมการบัญชีภายใน ซึ่งให้คำแนะนำเกี่ยวกับคำศัพท์ที่จะใช้ในรายงานการควบคุมการบัญชีภายใน. อย่างไรก็ตาม SAS ไม่ได้ให้ความช่วยเหลือมากนักในการกำหนดแนวคิดพื้นฐานของการควบคุมภายใน และนักวิจารณ์ในอาชีพการบัญชี (รับอนุญาต) สาธารณะมองว่าน้อยเกินไปและสายเกินไป SAS ฉบับที่ 55 การพิจารณาโครงสร้างการควบคุมภายในในการตรวจสอบงบการเงิน เป็นมาตรฐานฉบับต่อมาที่ให้คำจำกัดความของการควบคุมภายในในแง่ขององค์ประกอบหลักสามประการ ได้แก่

       1. สภาพแวดล้อมการควบคุม (Control environment)
       2. ระบบบัญชี (Accounting system)
       3. ขั้นตอนการควบคุม (Control procedures)

.
.
หน้าที่ 11
       SAS No. 55 นำเสนอแนวทางที่แตกต่างในการทำความเข้าใจการควบคุมภายในมากกว่าที่เคยใช้ในอดีต และได้วางรากฐานสำหรับความเข้าใจอย่างต่อเนื่องของเราเกี่ยวกับการควบคุมภายใน. ก่อนที่จะมี SAS No. 55 นโยบายและขั้นตอนโครงสร้างการควบคุมภายในขององค์กรไม่เกี่ยวข้องโดยตรงกับการตรวจสอบงบการเงิน และมักไม่ได้รับการพิจารณาอย่างเป็นทางการโดยผู้ตรวจสอบภายนอก. ตัวอย่างของกระบวนการควบคุมภายในเหล่านี้ ได้แก่ นโยบายและขั้นตอนที่เกี่ยวข้องกับประสิทธิภาพ ความประหยัด และประสิทธิภาพของกระบวนการตัดสินใจของฝ่ายบริหารหรือขั้นตอนบางอย่างที่ครอบคลุมกิจกรรมการวิจัยและพัฒนา. แม้ว่าข้อกังวลด้านการควบคุมภายในที่เกี่ยวข้องจะมีความสำคัญต่อองค์กรอย่างแน่นอน แต่โดยปกติแล้วจะไม่เกี่ยวข้องกับการตรวจสอบงบการเงินของผู้ตรวจสอบภายนอก.

       มาตรฐาน SAS ฉบับที่ 55 ได้กำหนดขอบเขตการควบคุมภายในให้กว้างขึ้นกว่าที่ผู้ตรวจสอบภายนอกเคยใช้มาโดยตลอด และยังเป็นพื้นฐานสำหรับกรอบการควบคุมภายในของ COSO ฉบับเดิมอีกด้วย. มาตรฐาน SAS ฉบับที่ 55 มีผลบังคับใช้ในปี 1990 และถือเป็นก้าวสำคัญในการให้คำจำกัดความการควบคุมภายในที่เหมาะสมแก่ผู้ตรวจสอบภายนอก. ต่อมา SAS No. 78 ได้เข้ามาแทนที่ ซึ่งได้หยิบยกคำจำกัดความกว้าง ๆ ของการควบคุมภายในจากรายงานของ COSO มาใช้ แต่ SAS No. 78 ก็ถูกยกเลิกไปเมื่อกฎ SOx เพิกถอนอำนาจของ AICPA ในการกำหนดมาตรฐานการตรวจสอบสำหรับบริษัทมหาชน.

1.
2.
รายงานคณะกรรมการ TREADWAY

       ช่วงปลายทศวรรษปี 1970 และต้นทศวรรษปี 1980 เป็นช่วงเวลาอื่น ๆ ที่บริษัทใหญ่ ๆ หลายแห่งในสหรัฐฯ ประสบความล้มเหลวเนื่องมาจากปัจจัยต่าง ๆ เช่น เงินเฟ้อที่สูงและอัตราดอกเบี้ยที่สูง. มีเหตุการณ์หลายครั้งที่บริษัทต่าง ๆ รายงานผลกำไรที่เพียงพอในรายงานทางการเงินที่ผ่านการตรวจสอบ แต่กลับประสบภาวะเศรษฐกิจตกต่ำในเวลาไม่นานหลังจากรายงานทางการเงินที่ผ่านการตรวจสอบที่เอื้ออำนวยเหล่านั้นถูกเผยแพร่. ความล้มเหลวบางส่วนเกิดจากการรายงานทางการเงินที่ฉ้อโกง แม้ว่าความล้มเหลวอื่น ๆ อีกหลายกรณีจะเกิดจากเงินเฟ้อที่สูงหรือปัญหาความไม่มั่นคงอื่น ๆ ของบริษัทก็ตาม. อย่างไรก็ตาม สมาชิกรัฐสภาหลายคนเสนอให้มีการตรากฎหมายเพื่อ "แก้ไข-correct" ความล้มเหลวทางธุรกิจและการตรวจสอบที่อาจเกิดขึ้นเหล่านี้ มีการร่างกฎหมายและมีการไต่สวนของรัฐสภา แต่ไม่มีกฎหมายใดได้รับการผ่าน.

       นอกจากนี้ เพื่อตอบสนองต่อข้อกังวลเหล่านี้และเนื่องจากไม่มีการดำเนินการทางกฎหมาย จึงได้จัดตั้งคณะกรรมาธิการแห่งชาติว่าด้วยการจัดทำรายงานทางการเงินอันเป็นการฉ้อโกงขึ้น. คณะกรรมาธิการดังกล่าวประกอบด้วยตัวแทนจากองค์กรวิชาชีพ 5 แห่ง ได้แก่ สถาบันผู้ตรวจสอบภายใน (The Institute of Internal Auditors - IIA) AICPA และ FEI ซึ่งทั้งหมดได้กล่าวถึงก่อนหน้านี้ รวมทั้งสมาคมการบัญชีอเมริกัน (AAA) และสถาบันนักบัญชีการจัดการ (IMA). AAA เป็นองค์กรวิชาชีพสำหรับนักบัญชีในแวดวงวิชาการ ส่วน IMA เป็นองค์กรวิชาชีพสำหรับนักบัญชีด้านการจัดการหรือนักบัญชีต้นทุน.






[page 11/305, Location 540/7347]

แหล่งอ้างอิง:
01. จาก. Moeller, Robert R., Executive's Guide to COSO Internal Controls: Understanding and Implementing the New Framework (Wiley Corporate F&A Book 639), Wiley, Kindle Edition.
02. จาก. การควบคุมภายในเกี่ยวกับรายงานทางการเงิน: แนวทางการปฏิบัติสำหรับบริษัทมหาชนขนาดย่อม, Internal Control over Financial Reporting - Guidance for Smaller Public Companies, ตลาดหลักทรัพย์แห่งประเทศไทย, สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย, เรียบเรียงโดย รศ.ดร.พรอนงค์ บุษราตระกูล, ISBN 978-616-7227-30-6, พิมพ์ครั้งที่ 1, สำนักพิมพ์อมรินทร์พริ้นติ้ง, สิงหาคม 2554, กรุงเทพฯ.
03. จาก. กรอบการควบคุมภายในแบบบูรณาการ (Internal Control - Integrated Framework), Committee of Sponsoring Organization of the Treadway Commission. ตลาดหลักทรัพย์แห่งประเทศไทย, สภาวิชาชีพบัญชี, ISBN 987-616-92068-4-2, พิมพ์ครั้งที่ 1 กรกฎาคม 2560 สำนักพิมพ์แอคทีฟพริ้นท์.
.
.
.    
info@huexonline.com