1 / 38

การควบคุมภายในตามแนวคิด COSO-ERM

การควบคุมภายในตามแนวคิด COSO-ERM. Lectured by Dr. Siriluck Sutthachai Accounting Department Faculty of Management Science Khon Kaen University Khon Kaen, Thailand. COSO. COSO: Committee of Sponsoring of the Treadway Commission American Institute of Certified Public Accountants (AICPA)

collin
Download Presentation

การควบคุมภายในตามแนวคิด COSO-ERM

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. การควบคุมภายในตามแนวคิดCOSO-ERMการควบคุมภายในตามแนวคิดCOSO-ERM Lectured by Dr. Siriluck Sutthachai Accounting Department Faculty of Management Science Khon Kaen University Khon Kaen, Thailand

  2. COSO • COSO: Committee of Sponsoring of the Treadway Commission • American Institute of Certified Public Accountants (AICPA) • American Accounting Association (AAA) • Financial Executives Institute (FEI) • Institute of Internal Auditors (IIA) • Institute of Management Accountants (IMA)

  3. COSO Definition of Internal Control Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: • Effectiveness and efficiency of operations • Reliability of financial reporting • Compliance with applicable laws and regulations

  4. Key Concepts Of Internal Control • Internal control is a process. It is a means to an end, not an end in itself. • Internal control is effected by people. It’s not merely policy manuals and forms, but people at every level of an organization. • Internal control can be expected to provide only reasonable assurance, not absolute assurance, to an entity’s management and board. • Internal control is geared to the achievement of objectivesin one or more separate but overlapping categories.

  5. COSO Objective • Operation (O) • Efficiency • Effectiveness • Economy • Financial reporting (F) • Accuracy • Timely • Reliable • Decision making • Compliance (C) • Deployment • Regulation • Internal • External

  6. COSO Component • Control Environment สภาพแวดล้อมของการควบคุม • Risk Assessment การประเมินความเสี่ยง • Control Activities กิจกรรมการควบคุม • Information and Communication สารสนเทศและการสื่อสาร • Monitoring การติดตามประเมินผล

  7. สารสนเทศ การประเมินความเสี่ยง สภาพแวดล้อม ของการควบคุม กิจกรรม การควบคุม การติดตาม ประเมินผล และ และ การสื่อสาร ความสัมพันธ์ขององค์ประกอบการควบคุมภายใน

  8. สภาพแวดล้อมของการควบคุมสภาพแวดล้อมของการควบคุม สภาพแวดล้อมของการควบคุมหมายถึงปัจจัยต่างๆซึ่งร่วมกันส่งผลให้มีการควบคุมขึ้นในหน่วยรับตรวจหรือทำให้การควบคุมที่มีอยู่ได้ผลดีขึ้น ในทางตรงกันข้าม ก็อาจทำให้การควบคุมย่อหย่อนลงได้

  9. สภาพแวดล้อมของการควบคุมสภาพแวดล้อมของการควบคุม • ปรัชญาและรูปแบบการทำงานของผู้บริหาร • ความรู้ ทักษะและความสามารถของบุคลากร • ความซื่อสัตย์ และจริยธรรม • โครงสร้างการจัดองค์กร • การมอบอำนาจและหน้าที่ความรับผิดชอบ • นโยบายและวิธีบริหารบุคลากร

  10. สภาพแวดล้อมของการควบคุมสภาพแวดล้อมของการควบคุม • ปรัชญาและรูปแบบการทำงานของผู้บริหาร • เข้าใจลักษณะของความเสี่ยงขององค์กร วิเคราะห์ก่อนตัดสินใจ • ทัศนคติและการกระทำของผู้บริหารที่มีต่อการเลือกนโยบายการบัญชี • ทัศนคติของผู้บริหารต่อการกระจายอำนาจ • จำนวนครั้งในการติดต่อกับฝ่ายปฏิบัติการ • ความสนใจต่อสัญญาณ รายงานการปฏิบัติที่ไม่เหมาะสม • สอบถาม ติดตามรายงานทางการบริหาร

  11. สภาพแวดล้อมของการควบคุมสภาพแวดล้อมของการควบคุม • ความรู้ ทักษะและความสามารถของบุคลากร • มาตรฐานตำแหน่งงานได้กำหนดระดับความรู้ ประสบการณ์ และความสามารถที่จำเป็นไว้ • กำหนดขอบเขตความรับผิดชอบของงานในแต่ละตำแหน่งอย่างเป็นทางการ • การวิเคราะห์ความรู้ ความสามารถ ประสบการณ์ของผู้ปฏิบัติงานในปัจจุบัน • กำหนดขอบเขตอำนาจของตำแหน่งงาน

  12. สภาพแวดล้อมของการควบคุมสภาพแวดล้อมของการควบคุม • ความซื่อสัตย์ และจริยธรรม • การกำหนดจริยธรรมที่ควรปฏิบัติเป็นลายลักษณ์อักษร • ผู้บริหารระดับสูงได้มีการปฏิบัติเป็นตัวอย่าง • คนในองค์กรยอมรับว่าการปฏิบัติอย่างไรจึงเป็นที่ยอมรับของสาธารณชน • มีการรักษากฎ ระเบียบและลงโทษเมื่อกระทำผิด • สื่อสารเรื่องความซื่อสัตย์และจริยธรรมให้ทราบในทุกระดับปฏิบัติงาน

  13. สภาพแวดล้อมของการควบคุมสภาพแวดล้อมของการควบคุม • โครงสร้างการจัดองค์กร • ความเชื่อมโยงและรับส่งข้อมูลที่จำเป็นในการปฏิบัติงานระหว่างหน่วยงานทั้งในแนวตั้งและแนวนอน • กำหนดสายรายงาน สายการติดต่อที่จำเป็น • กำหนดวิธีการรายงานทั้งที่เป็นและไม่เป็นทางการ • กำหนดช่องทางการติดต่อสื่อสารกับผู้บริหารระดับสูงกว่า • มีผู้ปฏิบัติงานและควบคุมงานเพียงพอ

  14. สภาพแวดล้อมของการควบคุมสภาพแวดล้อมของการควบคุม • การมอบอำนาจและหน้าที่ความรับผิดชอบ • มอบอำนาจหน้าที่ที่เกี่ยวข้องกับเป้าหมายและวัตถุประสงค์ และทุกคนในองค์กรทราบ • ระดับความรู้สัมพันธ์กับขนาดของหน่วยงาน ความซับซ้อนของกิจกรรมและระบบงาน • มีการถ่วงดุลอำนาจในระหว่างการปฏิบัติงานระหว่างหน่วยงาน และการป้องกันการก้าวก่ายอำนาจหน้าที่ระหว่างตำแหน่งงาน • มอบหมายให้ผู้ที่ได้รับการประเมินในระดับที่ดีเป็นผู้รับผิดชอบปรับปรุงงาน

  15. สภาพแวดล้อมของการควบคุมสภาพแวดล้อมของการควบคุม • นโยบายและวิธีบริหารบุคลากร • มีนโยบายที่ชัดเจนด้านการสรรหา อบรม ส่งเสริมความก้าวหน้า การบำรุงขวัญ การให้ผลตอบแทนและให้กำลังใจ • มีนโยบายที่ชัดเจนในการลงโทษพนักงานที่ทำผิดต่อระเบียบและจรรยาบรรณ และแน่ใจว่า พนักงานทุกท่านรับทราบในนโยบายนั้น • ผู้ควบคุมงานมีการติดต่อสื่อสารและพบกับผู้ปฏิบัติงานเป็นระยะๆ • มีนโยบายที่ชัดเจนในการประเมินผลงานและพิจารณาความดีความชอบ

  16. การประเมินความเสี่ยง กระบวนการวิเคราะห์โอกาสที่จะเกิดความผิดพลาดความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ซึ่งไม่พึงประสงค์ ที่ทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนด

  17. การประเมินความเสี่ยง • การกำหนดวัตถุประสงค์ • วัตถุประสงค์ระดับองค์กร • ระบุเพียงพอถึงสถานการณ์ที่กิจการต้องการและอย่างชัดเจนพอที่จะกำหนดเป้าหมายและแผนงาน • เผยแพร่และชี้แจงให้พนักงานทุกระดับทราบและเข้าใจตรงกัน • วัตถุประสงค์ระดับกิจกรรม • สอดคล้องและสนับสนุนวัตถุประสงค์ระดับกิจการและแผนกลยุทธ์ • วัตถุประสงค์มีการกำหนดอย่างชัดเจน ปฏิบัติได้ วัดผลได้ • วัตถุประสงค์กำหนดโดยทุกคนที่เกี่ยวข้องหรือเป็นที่ยอมรับของทุกคน

  18. การประเมินความเสี่ยง • ขั้นตอนในการประเมินความเสี่ยง • การระบุความเสี่ยง (Risk Identification) • การวิเคราะห์ความเสี่ยง (Risk Analysis) • การบริหารความเสี่ยง (Risk Management)

  19. การประเมินความเสี่ยง • การระบุความเสี่ยง • ปัจจัยความเสี่ยงภายนอก เช่น เทคโนโลยี ภาวะแข่งขัน ลูกค้า คู่ค้าลักษณะ ประเภทธุรกิจ อุตสาหกรรม การค้าต่าง/ในประเทศ เศรษฐกิจ ดอกเบี้ย เงินเฟ้อ การเมืองและกฎหมาย • ปัจจัยความเสี่ยงภายใน เช่น ผู้บริหาร พนักงาน กระบวนการและการจัดการของฝ่ายปฏิบัติการ กิจกรรมการค้า รายการค้า—ความซับซ้อน จำนวน หน่วยงานย่อย สาขา ประเภทรายได้ ค่าใช้จ่ายหลัก วิธีปฏิบัติทางการบัญชี ระบบบัญชี ระบบสารสนเทศและเทคโนโลยีที่ใช้

  20. ระดับของความเสี่ยง (Degree of Risk) 5 4 3 2 1 มีความเสี่ยงสูงมาก มีความเสี่ยงสูง มีความเสี่ยงปานกลาง ผลกระทบของความเสี่ยง มีความเสี่ยงต่ำ 1 2 3 4 5 โอกาสที่จะเกิดความเสี่ยง การประเมินความเสี่ยง • การวิเคราะห์ความเสี่ยง(Risk Analysis)

  21. การประเมินความเสี่ยง • การบริหารความเสี่ยง ระดับความเสี่ยงที่ยอมรับได้ กลุ่มความเสี่ยง ความเสี่ยงที่ยังหลงเหลืออยู่ ค่าใช้จ่าย/ต้นทุน และประโยชน์ที่จะได้รับ

  22. การประเมินความเสี่ยง • การบริหารความเสี่ยง • การยอมรับความเสี่ยง (Acceptance) • การควบคุมความเสี่ยง (Reduction) • การกระจายถ่ายโอนความเสี่ยง (Sharing) • การหลีกเลี่ยงความเสี่ยง (Avoidance)

  23. กิจกรรมการควบคุมภายในกิจกรรมการควบคุมภายใน นโยบายและวิธีการต่าง ๆที่ฝ่ายบริหารกำหนดให้บุคลากรของหน่วยรับตรวจปฏิบัติเพื่อลดหรือควบคุมความเสี่ยง และได้รับการสนองตอบโดยมีการปฏิบัติ

  24. กิจกรรมการควบคุมภายในกิจกรรมการควบคุมภายใน • ประเภทการควบคุมภายใน • การควบคุมภายในแบบป้องกัน (Preventive control) • การควบคุมภายในแบบค้นพบ (Detective control) • การควบคุมภายในแบบแก้ไข (Corrective control) • การควบคุมภายในแบบส่งเสริม (Directive control)

  25. กิจกรรมการควบคุมภายในกิจกรรมการควบคุมภายใน • ข้อควรพิจารณาของกิจกรรมการควบคุม • แฝงหรือแทรกอยู่ในการทำงานตามปกติขององค์กร • ป้องกันหรือลดความเสี่ยงให้อยู่ในระดับที่สามารถยอมรับได้ • ต้นทุนต้องไม่สูงกว่าผลเสียหายที่คาดว่าจะเกิดขึ้นนั้นหากไม่มีกิจกรรมการควบคุม • เพียงพอและเหมาะสม • การติดตามประเมินผลเป็นระยะ

  26. กิจกรรมการควบคุมภายในกิจกรรมการควบคุมภายใน • การควบคุมด้านองค์กร (Organisation Control) คือ การกำหนดให้มีโครงสร้างโดยรวมในการทำงานเพื่อให้การทำงานของทั้งองค์กรเป็นไปในแนวทางเดียวกัน ประกอบด้วย • วัตถุประสงค์ อำนาจหน้าที่ และความรับผิดชอบ (Purposes, authority and responsibilities) • โครงสร้าง/ผังองค์กร(Organizational structure) • ขอบเขตและอำนาจในการตัดสินใจ(Decision authority) • รายละเอียดลักษณะงาน(Job descriptions)

  27. กิจกรรมการควบคุมภายในกิจกรรมการควบคุมภายใน • การควบคุมการปฏิบัติการ (Operational Control)หมายถึงกิจกรรมที่มีการกำหนดขึ้นเพื่อให้กระบวนการทำงานของแต่ละกิจกรรมสามารถดำเนินและบรรลุวัตถุประสงค์ของกิจกรรมนั้นๆ และบรรลุวัตถุประสงค์องค์กร เช่น การวางแผนระยะสั้นและระยะยาว การตั้งงบประมาณ ระบบสารสนเทศ การจัดทำเอกสาร การอนุมัติในกระบวนการทำงาน นโยบายและขั้นตอนการทำงาน และการจัดลำดับการทำงานทั้งด้านเอกสาร การจัดเก็บและสถานที่

  28. กิจกรรมการควบคุมภายในกิจกรรมการควบคุมภายใน • การควบคุมด้านการเงินและบัญชี (Finance and Accounting Control) เป็นการควบคุมที่เกี่ยวกับแผนการจัดหน่วยงาน วิธีปฏิบัติและบันทึกข้อมูลต่างๆ ที่เกี่ยวกับการปกป้องดูแลทรัพย์สินและความเชื่อถือได้ของข้อมูลทางการเงิน เพื่อให้รายงานทางการเงินมีความถูกต้อง เชื่อถือได้ และทันกาลและเป็นประโยชน์ต่อผู้ใช้รายงานมากที่สุด

  29. กิจกรรมการควบคุมภายในกิจกรรมการควบคุมภายใน • การควบคุมด้านการเงินและบัญชี (Finance and Accounting Control) • การควบคุมขั้นพื้นฐานเพื่อให้แน่ใจว่า รายการบัญชีที่บันทึกไว้มีความถูกต้อง ครบถ้วน เชื่อถือได้ เกิดขึ้นจริงและอนุมัติแล้ว • การควบคุมด้านการสนับสนุน เพื่อให้แน่ใจว่าการควบคุมขั้นพื้นฐานได้มีการถือปฏิบัติอย่างถูกต้องสม่ำเสมอ ช่วยให้พบข้อผิดพลาดได้รวดเร็ว

  30. สารสนเทศและการสื่อสารสารสนเทศและการสื่อสาร • ฝ่ายบริหารต้องจัดให้มีระบบสารสนเทศอย่างเพียงพอและที่ดีทั้งภายในและภายนอก • เหมาะสมกับความต้องการ • ถูกต้องสมบูรณ์ • ปัจจุบัน • ทันเวลา • ความสะดวกและความปลอดภัยในการเข้าถึง • มีการสื่อสารและความเข้าใจระหว่างหน่วยงานและบุคคล

  31. สารสนเทศและการสื่อสารสารสนเทศและการสื่อสาร • สารสนเทศ • ข้อมูลในอดีต • ข้อมูลปัจจุบัน • การสื่อสาร • การสื่อสารภายใน • การสื่อสารภายนอก

  32. การติดตามประเมินผล • ฝ่ายบริหารต้องจัดให้มีการติดตามประเมินผลโดย • การติดตามความก้าวหน้าในการปฏิบัติงานโดยผู้บริหาร • การประเมินผลอิสระ • การรายงานและการแก้ไขข้อบกพร่อง • การติดตามประเมินผล • การประเมินผลระหว่างการปฏิบัติงาน—สร้างให้เกิดระบบการติดตามผลโดยแฝงอยู่ในกระบวนการปฏิบัติงานตามปกติ • การประเมินผลเป็นรายครั้ง • ประเมินการควบคุมด้วยตนเอง(Control Self Assessment) • การประเมินการควบคุมอย่างเป็นอิสระ (Independent Assessment)

  33. การควบคุมที่มองเห็นได้การควบคุมที่มองเห็นได้ (Hard Controls)มีการกำหนดเป็นลายลักษณ์อักษรหรือกำหนดให้มีการกระทำที่ชัดเจน กำหนดโครงสร้างองค์กร นโยบาย ระเบียบวิธีปฏิบัติ เอกสารและคู่มือการปฏิบัติงาน การควบคุมที่มองไม่เห็น (Soft Controls) เป็นการสร้างสภาวะของการควบคุมโดยความสามารถ การรับรู้ และจิตสำนึกของบุคคลากร ความซื่อสัตย์ ความโปร่งใส การมีผู้นำที่ดี ความมีจริยธรรม Hard and Soft Control

  34. COSO-ERM Enterprise Risk Management (ERM) is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives

  35. ERM Objectives • Strategic—high-level goals, aligned with and supporting its mission. • Operation • Reporting • Compliance

  36. ERM Component • Internal environment—สิ่งแวดล้อมภายในซึ่งบ่งบอกถึงลักษณะขององค์กร ลักษณะการพิจารณาและการจัดการความเสี่ยง และสิ่งแวดล้อมในการทำงาน • Objective setting—การตั้งวัตถุประสงค์ ตามแนวคิด COSO-ERM จะต้องให้แน่ใจว่า ผู้บริหารมีการกำหนดวัตถุประสงค์ภายในองค์กรอย่างเป็นระบบและวัตถุประสงค์นั้นๆ สอดคล้องกับวิสัยทัศน์ขององค์กรและความเสี่ยงที่มีอยู่ • Event identification—ระบุเหตุการณ์ทั้งภายในและภายนอกองค์กรที่มีผลต่อการบรรลุวัตถุประสงค์ขององค์กร

  37. ERM Component • Risk assessment—การประเมินความเสี่ยงโดยพิจารณาทั้งความน่าจะเป็นและผลกระทบที่จะเกิดขึ้น เพื่อหาวิธีการจัดการความเสี่ยงนั้นๆ • Risk response—ผู้บริหารเลือกวิธีจัดการความเสี่ยงนั้น • Control activities—กิจกรรมการควบคุมภายในมีการกำหนดขึ้นเพื่อให้แน่ใจว่า มีการปฏิบัติตามวิธีการจัดการความเสี่ยงที่ได้เลือกไว้ • Information and Communication—ข้อมูลที่มีความเกี่ยวข้องได้รับการรวบรวม นำเสนอและสื่อสารให้ผู้เกี่ยวข้องได้ทราบในรูปแบบที่เข้าใจและทันเวลา เพื่อให้เกิดการทำงานที่รวดเร็ว • Monitoring—การติดตามประเมินผลเพื่อให้เกิดการปรับปรุงแก้ไขการทำงานให้ดีขึ้น

  38. Strategic Operations Reporting Compliance Internal Environment Objective Setting Subsidiary Business Unit Event Identification Division Risk Assessment Entity-Level Risk Response Control Activities Information & Communication Monitoring Relationship of Objectives and Components

More Related