ระบบควบคุมภายในแบบบูรณาการของ Coso ปีพ.ศ. มาตรฐาน ฉันจะอ่านมาตรฐานได้ที่ไหน
คณะกรรมการขององค์กรผู้สนับสนุนของคณะกรรมการ treadway (COSO) ได้พัฒนารูปแบบการควบคุมภายในร่วมกัน ซึ่งบริษัทและองค์กรต่างๆ รวมถึงธนาคาร สามารถประเมินระบบการกำกับดูแลของตนเองได้ COSO ก่อตั้งขึ้นในปี 2528 ได้รับการสนับสนุนจาก National Commission on Financial Report Fraud (Treadway Commission)
แบบจำลอง COSO กำหนดการควบคุมภายในขององค์กรเป็นกระบวนการที่ดำเนินการโดยคณะกรรมการบริหาร ผู้บริหารระดับสูง และบุคลากรอื่นๆ ขององค์กร ซึ่งออกแบบมาเพื่อให้ "การรับประกันที่สมเหตุสมผล" เกี่ยวกับการบรรลุวัตถุประสงค์ในประเภทต่อไปนี้:
- ประสิทธิภาพและประสิทธิผลของการปฏิบัติงาน
- ความน่าเชื่อถือของการรายงานทางการเงิน
- การปฏิบัติตามกฎหมายและข้อบังคับ
รูปแบบการควบคุมภายในของ COSO ประกอบด้วยแนวคิดหลักหลายประการ:
การควบคุมภายในเป็นกระบวนการ เป็นวิธีการไปสู่จุดจบ ไม่ใช่จุดจบในตัวเอง
การควบคุมภายในขึ้นอยู่กับคน มันไม่เพียงแสดงถึงนโยบายและรูปแบบความเป็นผู้นำเท่านั้น แต่ยังรวมถึงผู้คนในทุกระดับของบริษัทด้วย
การควบคุมภายในสามารถให้ความมั่นใจเพียงพอแก่ฝ่ายบริหารและคณะกรรมการของบริษัทเท่านั้น แต่ไม่ใช่การรับประกันที่สมบูรณ์
การควบคุมภายในมีจุดมุ่งหมายเพื่อให้บรรลุวัตถุประสงค์ในหมวดใดหมวดหนึ่งหรือหลายหมวดที่แยกจากกันแต่ทับซ้อนกัน
สาระสำคัญของแบบจำลอง COSO สามารถแสดงได้ดังนี้: คุณจัดการเมื่อความเสี่ยงได้รับการประเมินและจัดการ
องค์ประกอบของการควบคุมภายในตามระบบ COSO ประกอบด้วย (ตารางที่ 1)
1) สภาพแวดล้อมการควบคุม
2) การประเมินความเสี่ยง
3) มาตรการควบคุม
4) การรวบรวมและวิเคราะห์ข้อมูลตลอดจนการถ่ายโอนไปยังปลายทาง
5) การตรวจสอบและแก้ไขข้อผิดพลาด
ตารางที่ 1. องค์ประกอบของระบบควบคุมภายใน
ส่วนประกอบ | คำอธิบาย | องค์ประกอบหลัก |
---|---|---|
ควบคุมสภาพแวดล้อม | ความตระหนักและการดำเนินการของตัวแทนเจ้าของและผู้บริหารเกี่ยวกับระบบการควบคุมภายในขององค์กร ตลอดจนความเข้าใจในความสำคัญของระบบดังกล่าวสำหรับกิจกรรมขององค์กรนี้ | - ความน่าเชื่อถือ ความซื่อสัตย์ และคุณธรรม - ความสามารถ; - ปรัชญาและรูปแบบการบริหาร - โครงสร้างองค์กร; - การกระจายสิทธิและหน้าที่; - นโยบายและแนวปฏิบัติของบุคลากร |
การประเมินความเสี่ยง | การระบุและการประเมินความเสี่ยงที่อาจเกิดขึ้นในการจัดทำงบการเงิน | - การเปลี่ยนแปลงกฎหมาย - การเปลี่ยนแปลงของเงื่อนไขทางธุรกิจ - การประเมินผลกระทบ |
ข้อมูลและเครือข่าย | ตรวจสอบให้แน่ใจว่าพนักงานเข้าใจบทบาทของการมีส่วนร่วมในกระบวนการจัดทำงบการเงิน (การบัญชี) | - บันทึก ประมวลผล สรุป และนำเสนอการดำเนินงานขององค์กร - การแบ่งหน้าที่ - ให้ข้อมูลแก่ผู้จัดการระดับต่างๆ |
ขั้นตอนการควบคุม | ให้นโยบายและขั้นตอนที่ช่วยให้มั่นใจว่ามีการปฏิบัติตามคำแนะนำของผู้บริหาร | - ตรวจสอบการดำเนินการตามคำสั่ง (รายงาน) - การประมวลผลข้อมูล - ตรวจสอบการมีอยู่และสภาพของวัตถุ - การแบ่งหน้าที่ |
การตรวจสอบ | ตรวจสอบว่าการควบคุมทำงานอย่างถูกต้องหรือไม่ เป็นกระบวนการประเมินการทำงานที่มีประสิทธิผลของระบบควบคุมภายในเมื่อเวลาผ่านไป | - การตรวจสอบอย่างต่อเนื่อง - การควบคุมเป็นระยะ |
โมเดลประกอบด้วยแปดองค์ประกอบ:
สภาพแวดล้อมภายใน. สภาพแวดล้อมภายในคือบรรยากาศในองค์กรและกำหนดว่าพนักงานขององค์กรรับรู้ความเสี่ยงอย่างไรและตอบสนองอย่างไร สภาพแวดล้อมภายในรวมถึงปรัชญาของการบริหารความเสี่ยงและความเสี่ยงที่ยอมรับได้ ความซื่อสัตย์และค่านิยมทางจริยธรรม ตลอดจนสภาพแวดล้อมที่มีอยู่
ตั้งเป้าหมาย. ต้องกำหนดวัตถุประสงค์ก่อนที่ผู้บริหารจะเริ่มระบุเหตุการณ์ที่อาจส่งผลต่อความสำเร็จ กระบวนการบริหารความเสี่ยงให้การรับประกันที่สมเหตุสมผลว่าฝ่ายบริหารของบริษัทมีกระบวนการที่เป็นระเบียบเรียบร้อยสำหรับการเลือกและกำหนดเป้าหมาย และสอดคล้องกับพันธกิจขององค์กรและระดับความเสี่ยงที่ยอมรับได้
การระบุเหตุการณ์. เหตุการณ์ภายในและภายนอกที่ส่งผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรควรได้รับการพิจารณาโดยคำนึงถึงการแยกออกเป็นความเสี่ยงหรือโอกาส ผู้บริหารควรคำนึงถึงโอกาสในกระบวนการกำหนดกลยุทธ์และกำหนดเป้าหมาย
การประเมินความเสี่ยง. ความเสี่ยงจะถูกวิเคราะห์ในแง่ของโอกาสที่จะเกิดขึ้นและผลกระทบเพื่อกำหนดว่าจะต้องดำเนินการใดที่เกี่ยวข้องกับความเสี่ยงเหล่านั้น ความเสี่ยงได้รับการประเมินในแง่ของความเสี่ยงโดยธรรมชาติและความเสี่ยงที่เหลืออยู่
การตอบสนองความเสี่ยง. ผู้บริหารเลือกวิธีการตอบสนองต่อความเสี่ยง - หลีกเลี่ยงความเสี่ยง ยอมรับ ลดหรือกระจายความเสี่ยง - โดยการพัฒนาชุดของกิจกรรมที่ช่วยให้คุณนำความเสี่ยงที่ระบุให้สอดคล้องกับระดับความเสี่ยงที่ยอมรับได้และความเสี่ยงที่ยอมรับได้ขององค์กร
ควบคุมกิจกรรม. นโยบายและระเบียบปฏิบัติได้รับการออกแบบและกำหนดขึ้นในลักษณะที่ให้ความเชื่อมั่นอย่างสมเหตุสมผลว่าการตอบสนองต่อความเสี่ยงที่เกิดขึ้นนั้นมีประสิทธิภาพและทันท่วงที
ข้อมูลและการสื่อสาร. ข้อมูลที่จำเป็นจะถูกกำหนด บันทึก และส่งผ่านในรูปแบบดังกล่าวและภายในระยะเวลาดังกล่าวเพื่อให้พนักงานสามารถปฏิบัติหน้าที่ตามหน้าที่ของตนได้ นอกจากนี้ยังมีการแลกเปลี่ยนข้อมูลภายในองค์กรอย่างมีประสิทธิภาพทั้งในแนวตั้งจากบนลงล่างและจากล่างขึ้นบนและในแนวนอน
การตรวจสอบ. กระบวนการบริหารความเสี่ยงทั้งหมดขององค์กรได้รับการติดตามและปรับเปลี่ยนตามความจำเป็น การติดตามดำเนินการเป็นส่วนหนึ่งของกิจกรรมการจัดการอย่างต่อเนื่องหรือผ่านการประเมินเป็นระยะ
โดยสรุป เราทราบว่า:
ที่ COSO ความสำคัญอย่างยิ่งติดอยู่กับสภาพแวดล้อมภายใน
COSO เป็นอย่างมาก มูลค่าที่มากขึ้นกำหนดให้มีการติดตามการควบคุมภายในเป็นรูปแบบหนึ่งของการควบคุมติดตามผล การตรวจสอบเป็นหนึ่งในองค์ประกอบหลักของแบบจำลอง COSO
ที่ COSO ให้ความสำคัญกับงานของคณะกรรมการบริษัทเป็นอย่างมาก
วรรณกรรม:
- Kakovkina T.V. ระบบการควบคุมภายในเป็นวิธีการระบุความเสี่ยงขององค์กร // การบัญชีระหว่างประเทศ 2014, №36
- Kalacheva O.N. ปัญหาการควบคุมภายในองค์กรธุรกิจขนาดกลางและขนาดย่อม // ผู้สอบบัญชี 2015, №10
- ไกรโนวา วี.วี. การยืนยันทิศทางการพัฒนาการควบคุมภายในในองค์กรของการขนส่งทางน้ำภายในประเทศ // การบัญชีระหว่างประเทศ 2014, №46
- Koske M.S. , Mishuchkova Yu.G. , Voyutskaya I.V. การควบคุมภายในเป็นหน้าที่ของหัวหน้าฝ่ายบัญชี // การบัญชีระหว่างประเทศ 2558 №6
- Puchkova A.O. ความจำเป็นในการประเมินระบบควบคุมภายในและองค์ประกอบระหว่างการตรวจสอบ // Auditorskie Vedomosti 2555. №1/2
- Pashkov R. การตรวจสอบระบบควบคุมภายใน // การบัญชีและธนาคาร 2015. №1
- ยาโนว่ายา.ยู. แนวคิดของการควบคุมภายในที่มุ่งเน้นความเสี่ยง - อุดมคติในการมุ่งมั่นเพื่อ // การควบคุมภายในในสถาบันสินเชื่อ 2014. №4
- การควบคุมภายใน - กรอบการทำงานแบบบูรณาการ (2556)
ก่อนอื่นต้องบอกว่าแทบไม่มีมาตรฐานรัสเซียสำหรับการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายใน ฉันคิดว่ามันไม่ดีเพราะมีสิ่งที่น่าสนใจมากมาย แต่ค่อนข้างเป็นไปได้ที่จะใช้ชนชั้นกลาง ปัญหาสำคัญประกอบด้วยการตีความที่เสนอโดยผู้เชี่ยวชาญหลายคน: สำหรับการบริหารความเสี่ยง - โดยเน้นที่ความเสี่ยงทางการเงิน สำหรับกรรมการฝ่ายควบคุมภายในและผู้ตรวจสอบภายใน - โดยเน้นที่การรายงาน นั่นคือ คุณต้องจำไว้ว่าแต่ละมาตรฐานประกอบด้วยส่วนประกอบมากมาย และด้วยการจดจำส่วนประกอบเหล่านี้ทั้งหมด คุณจะได้รับประโยชน์มากขึ้น
มาตรฐานที่มีชื่อเสียงที่สุดคือ:
- การจัดการความเสี่ยง: มาตรฐาน FERMA (Federation of European Risk Managers Associations), มาตรฐาน COSO ERM (COSO - คณะกรรมการองค์กรผู้สนับสนุนของ Treadway Commission, ERM - Enterprise Risk Management), GOST ISO31000;
- สำหรับระบบควบคุมภายใน - มาตรฐาน COSO IC IF (Internal Control - Integrated Framework)
- สำหรับการตรวจสอบภายใน - มูลนิธิระหว่างประเทศการประกอบวิชาชีพ (กพร.)
คุณสามารถอ่านมาตรฐานได้ที่ไหน?
ในขั้นต้นมาตรฐานทั้งหมดได้รับการพัฒนาแน่นอน ภาษาอังกฤษ. อย่างไรก็ตาม มีการแปลเป็นภาษารัสเซียอยู่
FERMA - เมื่อมีทั้งเวอร์ชันภาษารัสเซียและภาษาอังกฤษเป็นสาธารณสมบัติ เว็บไซต์ - http://ferma.eu ตอนนี้มันหายไปแล้ว แต่ด้านล่างลิงค์มีลิงค์ล่าสุด
ในระหว่างการสังเกตของฉันมีการแปลหลายฉบับ ฉันชอบเป็นพิเศษในการแปลวลีหนึ่ง
“แม้ว่าการระบุความเสี่ยงอาจดำเนินการโดยที่ปรึกษาอิสระ แต่การประเมินที่ดำเนินการภายในองค์กรโดยมีปฏิสัมพันธ์อย่างใกล้ชิดระหว่างแผนกต่าง ๆ โดยใช้กระบวนการและเครื่องมือที่นำเสนอในลักษณะที่สอดคล้องและประสานกันนั้นน่าจะมีประสิทธิภาพมากกว่า”
ถูกแทนที่ด้วยวลี (ตอนนี้แก้ไขแล้วที่เว็บไซต์ FERMA แต่ยังคงอยู่ที่เว็บไซต์ Rusrisk)
« การระบุความเสี่ยงขององค์กรมักดำเนินการโดยที่ปรึกษาอิสระ. อย่างไรก็ตาม ความเข้าใจและการวิเคราะห์ความเสี่ยง "อย่างเหมาะสม" โดยองค์กรมีความสำคัญอย่างยิ่งสำหรับกระบวนการจัดการความเสี่ยงที่ประสบความสำเร็จ
โดยทั่วไปแล้วผู้คนไม่ได้อาบอบไอน้ำเลย แน่นอนว่าทุกคนหาเงินได้มากที่สุดเท่าที่จะเป็นไปได้ แต่คำแนะนำของการสนับสนุนด้านวัตถุสำหรับคนที่ตนรักอาจดูลึกซึ้งกว่านั้น
GOST ISO31000 นั้นหาง่ายพอๆ กันทั้งใน Google และ Yandex
มาตรฐาน COSO - เฉพาะ "พื้นฐานแนวคิด" ในภาษาอังกฤษและรัสเซียเท่านั้นที่สามารถใช้ได้ฟรี เว็บไซต์ - www. coso.org การแปลอย่างเป็นทางการเผยแพร่เป็นภาษารัสเซียในปี 2558 ขายโดยสถาบันผู้ตรวจสอบภายใน ฉันไม่ได้อ่าน มีราคา 2,000 รูเบิล จาก "แชร์แวร์" มีการแปล "อย่างเป็นทางการ" (โดยวิธีการอ่านค่อนข้างและมีคุณภาพสูง) ของ COSO ERM และส่วน "ไม่เป็นทางการ" ของ COSO IC IF ตั้งอยู่ในส่วนที่ปิดของเว็บไซต์ของสถาบันผู้ตรวจสอบภายในแห่งสหพันธรัฐรัสเซีย เว็บไซต์คือ http://iia-ru.ru เฉพาะสมาชิก IVA เท่านั้นที่สามารถเข้าสู่ส่วนที่ปิดได้
MOPP - มีบางส่วนเป็นสาธารณสมบัติ (แต่ไม่ใช่ทั้งหมด ประโยชน์สำหรับการตั้งค่าเริ่มต้นด้วยคำแนะนำที่ใช้งานได้จริง) ส่วนที่เหลืออยู่ในส่วนปิดของเว็บไซต์ของสถาบันผู้ตรวจสอบภายในแห่งสหพันธรัฐรัสเซีย (http://iia -ru.ru). ฉันทราบว่า MOPP แม้จะมีระดับเสียง แต่การอ่านค่อนข้างเบา (อย่างน้อยสำหรับฉัน) การแปลก็มีคุณภาพสูงมาก
ทั้งหมด: สามารถรับมาตรฐานที่จำเป็นทั้งหมดได้จากผู้ยิ่งใหญ่และทรงพลังในราคา 2,500 รูเบิลเป็นค่าสมาชิกของสถาบันผู้ตรวจสอบภายใน ราคาสมเหตุสมผลนอกจากนี้ยังมีโบนัสในรูปแบบต่างๆ การนำเสนอที่น่าสนใจ. ในการรับชุดภาษารัสเซียที่สมบูรณ์คุณจะต้องซื้อหนังสือด้วยราคาสำหรับสมาชิกของสถาบันคือ 1,800 รูเบิล
ประวัติเล็กน้อย
ครั้งแรกใน โมเดิร์นฟอร์มมาตรฐาน COSO IC IF ปรากฏในปี 1992 มีการเตรียมเวอร์ชันใหม่ในปี 2556
ด้วยเหตุผลบางอย่าง COSO ชื่นชอบลูกบาศก์ทุกประเภท ฉันจะให้ COSO-cube แบบดั้งเดิม ฉันพบรุ่นที่แย่ที่สุดโดยเฉพาะ (กลับหัวกลับหางราวกับว่าเริ่มต้นด้วยการตรวจสอบ)
การเป็นตัวแทนต่อไปนี้สมเหตุสมผลกว่ามาก:
ทำไมถึงสมเหตุสมผล. ประการแรก สภาพแวดล้อมการควบคุมมีความสำคัญสำหรับทั้งองค์กร การตรวจสอบควรครอบคลุมกระบวนการทั้งหมดของการควบคุมภายใน กระบวนการนี้ค่อนข้างซ้ำซากกล่าวคือแสดงถึงความสัมพันธ์ของ "ความเสี่ยง→ขั้นตอนการควบคุม" ด้วยการสนับสนุนข้อมูลที่สอดคล้องกัน ประการที่สอง การตรวจสอบควรครอบคลุมองค์ประกอบอื่นๆ ทั้งหมด
ในปี 2545 มาตรฐาน FERMA ปรากฏขึ้น ฉันชอบมันมากที่สุดเพราะขนาดที่เล็ก แผนภูมิวงจรรวมทำงานตามมาตรฐานนี้ - ในภาพ
นอกจากนี้ยังสามารถสังเกตได้ว่ามาตรฐาน FERMA ไม่ได้รวมการเน้นที่การรายงานขององค์กรเป็นองค์ประกอบหลัก (เช่น ลักษณะของความเสี่ยง) เหตุผลค่อนข้างซ้ำซาก: ผู้จัดการความเสี่ยงในยุโรป (และ FERMA เป็นองค์กรของพวกเขา) ไม่ได้เติบโตจากนักบัญชี แต่มาจากบริษัทประกันและนักการเงิน สำหรับฉันแล้วดูเหมือนว่าต้นกำเนิดจะอธิบายการจำแนกประเภท:
ธนาคารและผู้ประกันตนแยกความเสี่ยงทางการเงินและอันตรายออกเป็นประเภทแยกต่างหาก ทำไม - ฉันคิดว่ามันชัดเจน ส่วนที่เหลือทั้งหมด (ทั้งผู้ตรวจสอบภายในและ COSO) เติบโตมาจากการรายงาน ดังนั้น ทั้งในมาตรฐานการตรวจสอบภายในและในมาตรฐาน COSO จึงมีเป้าหมายบังคับในด้านความน่าเชื่อถือในการรายงานและการปฏิบัติตามกฎหมาย (การปฏิบัติตาม)
เกิดอะไรขึ้นต่อไป (เวอร์ชัน - แค่ความคิดเห็นของฉัน) หลังจากวิเคราะห์มาตรฐานใหม่แล้ว ทีมสร้างสรรค์ของ COSO ก็เกิดความคิดทำนองนี้: ทำไมทุกคนถึงมีกลยุทธ์อยู่แล้ว และเรายังคงเคี้ยวขี้มูก และในเวลาประมาณหนึ่งปีครึ่ง พวกเขาวาดลูกบาศก์อีกลูกหนึ่งโดยเขียนมาตรฐาน COSO ERM (2004):
เพื่อให้ชัดเจนว่าเติบโตมาจากไหน - รูปภาพเพิ่มเติม:
ในความคิดของฉันทุกอย่างชัดเจน คุณยังสามารถเปรียบเทียบส่วนประกอบตามแกนตั้งจากคิวบ์ COSO และลำดับของการกระทำที่อธิบายไว้ใน FERMA
ในห้าปี องค์การระหว่างประเทศมาตรฐาน (ISO) เปิดตัวมาตรฐานการจัดการความเสี่ยง เอกสาร ISO ได้รับการพัฒนาจากมุมมองของธุรกิจ (ไม่ใช่การขายบริการให้คำปรึกษา) ดังนั้นตามความเข้าใจของฉัน ISO31000:2009 จึงเป็นมาตรฐานที่เหมาะสมที่สุดในแง่ของอัตราส่วนปริมาณ/ยูทิลิตี้ แม้ว่าจะต้องมีการแปลจากภาษารัสเซียเป็นภาษารัสเซียก็ตาม อย่างไรก็ตาม ISO ได้นำหลักการบริหารความเสี่ยงเข้าสู่มาตรฐาน ISO9000 ซึ่งเป็นที่รู้จักมากที่สุดในรัสเซีย ซึ่งทำให้เกิดความตื่นตระหนกในหมู่ผู้อำนวยการระบบบริหารคุณภาพ
มาตรฐานการตรวจสอบภายในมีการพัฒนาไปอย่างมากในช่วง 50 ปีที่ผ่านมา ทุกอย่างเริ่มต้นด้วยการบัญชีและการปฏิบัติตาม เวอร์ชันปัจจุบันเป็นการประเมินความเสี่ยงและประสิทธิผลของการควบคุมในแง่ของ:
- ความน่าเชื่อถือและความสมบูรณ์ของข้อมูลทางการเงินและ กิจกรรมทางเศรษฐกิจ;
- ประสิทธิภาพและประสิทธิผลของกิจกรรม
- ความปลอดภัยของทรัพย์สิน
- ปฏิบัติตามข้อกำหนดของกฎหมาย ข้อบังคับ และข้อผูกพันตามสัญญา
อย่างที่คุณเห็น ส่วนประกอบทั้งสามนั้นสอดคล้องกับ COSO IC IF (ฉันบอกไม่ได้ว่าพวกมันปรากฏตัวครั้งแรกที่ไหน ไม่ใช่นักประวัติศาสตร์) และความปลอดภัยของทรัพย์สินดูเหมือนจะเกิดขึ้นตั้งแต่ปี 1957 (หรือตั้งแต่ปี 1947?) ฉันไม่รู้ว่าเหตุใดจึงควรแยกออกจากกัน: ฉันไม่คิดว่ากิจกรรมจะได้รับการยอมรับว่ามีประสิทธิภาพและประสิทธิผลในกรณีที่มีการโจรกรรมหรือทรัพย์สินสูญหายเนื่องจากการจัดเก็บที่ไม่เหมาะสม
ความคิดเห็นสั้น ๆ เกี่ยวกับมาตรฐาน
เป็นที่พึงปรารถนาที่จะอ่านทุกอย่าง มาตรฐานที่ค่อนข้างง่ายในแง่ของความสามารถในการอ่านคือ FERMA, ISO31000 และ MOPP FERMA มีปริมาณน้อย สำหรับ MOPP สามารถจำกัดไว้ที่มาตรฐาน (MPSVA) แนวทางปฏิบัติเป็นเพียงคำแนะนำ (แม้ว่าจะเข้มงวดก็ตาม) อธิบายให้อ่านง่าย: FERMA และ ISO เขียนมาตรฐานสำหรับผู้จัดการความเสี่ยง, สถาบันผู้ตรวจสอบภายใน - สำหรับผู้ตรวจสอบภายใน เป็นที่พึงปรารถนาอย่างยิ่งที่ทั้งคู่จะพูดภาษาเดียวกัน ดังนั้นจึงเป็นการดีกว่าที่จะหลีกเลี่ยงโครงสร้างที่ซับซ้อนและความไม่แน่นอน ซึ่งได้ทำไปแล้ว
COSO เป็นงานพื้นฐานที่มีหลายปริมาณ สำหรับ COSO ERM ขอขอบคุณพันธมิตร PwC มากถึง 30 ราย ในความคิดของฉัน หากมีพาร์ทเนอร์ที่เกี่ยวข้องน้อยลง เอกสารก็จะออกมาดีขึ้น เมื่อเกิดขึ้น "การทำงานร่วมกันแบบย้อนกลับ" ก็เกิดขึ้น คุณสมบัติของมาตรฐาน COSO: ไม่มีอะไรชัดเจนจาก "พื้นฐานแนวคิด" สิ่งที่เข้าใจได้เริ่มต้นในเอกสารสุดท้าย (เช่น COSO ERM - "แอปพลิเคชัน") คุณต้องเข้าใจว่าผู้เขียนเป็นผู้สอบบัญชีและที่ปรึกษา พวกเขาไม่จำเป็นต้องสร้างมาตรฐานที่ชัดเจนว่าทำไมต้องสูญเสียรายได้ ดังนั้นจึงจำเป็นที่ผู้อ่านจะต้อง "ยื่นมือไปรับโทรศัพท์" ของหุ้นส่วนของบริษัทที่ปรึกษาขนาดใหญ่ ในความคิดของฉัน มันได้ผล โปรดทราบว่า ไม่เหมือนไซต์นี้ตรงที่ไม่มีแนวทางแบบ "ต้นทางถึงปลายทาง": ไม่มีตรรกะ "ที่นี่เรารับความเสี่ยงจำนวนหนึ่ง ที่นี่เราประเมินที่นี่ เราจัดการที่นี่ เราสามารถตรวจสอบที่นี่ได้" ชุดตัวอย่างไม่เลวแน่นอน แต่ถ้าคุณพยายามใช้มันกับธุรกิจเดียว ส่วนใหญ่จะไม่ค่อยได้ผล โดยทั่วไปแล้วฉันมีทัศนคติต่อเอกสาร COSO โดยส่วนตัว มีสิ่งที่เป็นประโยชน์ แต่ก็ไม่คุ้มที่จะพูดถึงมาตรฐานเหล่านี้ด้วยลมหายใจเหมือนผู้หญิงบางคนต่อหน้าชาวต่างชาติ
เมื่อตั้งค่าการจัดการความเสี่ยง ฉันแนะนำให้ใช้ FERMA และ ISO31000 ถ้าบางอย่างไม่ได้เขียนไว้ใน FERMA การควบคุมภายในเป็นหัวข้อพิเศษ ตามธรรมเนียมแล้ว COSO IC IF สามารถใช้สร้างเอกสารที่ไม่มีประโยชน์เท่านั้น ปัญหาของ COSO IC IF อยู่ที่การตีความ ซึ่งเป็นปรัชญาเกี่ยวกับสภาพแวดล้อมการควบคุมหรือเกี่ยวกับการรายงาน ซึ่งมีการให้ความเห็นไว้ และการตรวจสอบภายใน - มีมาตรฐานรองรับ ผมลงนามในจรรยาบรรณ (ในฐานะสมาชิกของ IVA) ดังนั้นไม่มีอะไรเหลือนอกจาก MOPP
ทำไมฉันไม่พูดถึง SOX
ฉันได้ยินเกี่ยวกับกฎหมาย Sarbanis-Oxley อย่างไรก็ตาม Sarbanis เป็นภาษากรีก นั่นเป็นเหตุผลว่าทำไมจึงไม่ใช่ Sarbanes ดังนั้น ความเห็นของฉันคือตอนนี้พนักงานขายที่เก่งที่สุดทำงานใน big4
มาจำกันว่า SOX ปรากฏตัวอย่างไร ปรากฏเป็นผลจากการรายงานที่สมมติขึ้นมาจากหลายบริษัท เหตุใดสิ่งนี้จึงเกิดขึ้น ความคิดเห็นของเรากับเพื่อนร่วมงานที่เชี่ยวชาญไม่เห็นด้วย ฉันคิดว่านี่เป็นความไม่เป็นมืออาชีพและความละโมบอย่างแน่นอน: เป็นที่ชัดเจนว่าคนอื่นจาก big5 สามารถรายงานได้ดีควบคู่ไปกับสัญญาที่ปรึกษาด้วยเงินเท่ากัน ใช่และการทำลายเอกสารของผู้สอบบัญชีก็พูดได้มากมาย
เพื่อนร่วมงานชี้ให้เห็นว่ามีข้อบกพร่องเชิงระบบอย่างน้อย 2-3 ประการในการจัดการการตรวจสอบ และสร้างข้อโต้แย้งหลายประการว่าการตรวจสอบบัญชีอาจเกิดขึ้นโดยปราศจากความรู้สึกผิดชอบชั่วดี:
- เวลาสั้น ๆ สำหรับการตรวจสอบ การแลกเปลี่ยนเรียกร้อง "มาเลยมาเลย" หัวข้อด้วยการเร่งปิดงวด - หัวข้อที่น่าสนใจสำหรับการให้คำปรึกษา สำหรับฉันแล้วสิ่งนี้ดูเหมือนจะเป็นอันตรายที่สุดเพราะมันมีส่วนทำให้การรายงานไม่น่าเชื่อถือและไม่ปล่อยให้เวลาสำหรับขั้นตอนการควบคุมตามปกติสำหรับการตรวจสอบเอกสาร ("ด้านล่าง" เอกสารทั้งหมดจะต้องเสร็จสิ้นใน 1-2 วัน) ;
- คุณสมบัติพนักงาน ทุกอย่างได้รับการตรวจสอบโดยผู้ฝึกงานแต่ละคนได้รับมอบหมายให้ไปที่ไซต์ กระแสมีขนาดใหญ่ ธุรกิจที่มีผลการเงินสูงเกินจริงควรถูกจับโดยนิติเวชมากกว่าแค่ผู้ตรวจสอบบัญชี เมื่อพิจารณาจากเวลาที่กำหนดสำหรับการตรวจสอบ มีแนวโน้มว่าข้อความจะได้รับการยืนยันโดยไม่มีเจตนาร้าย และสหายอาวุโสซึ่งควรจะยืนยัน ICS ทำสิ่งนี้ผ่านการทดสอบการปฏิบัติตามอย่างเป็นทางการซึ่งผู้ตรวจสอบทุกคนมีมากมาย ผลลัพธ์ของการควบคุมคุณภาพคือการกรอกเอกสารการทำงาน และเป็นเรื่องดี ไม่มีใครสามารถเข้าไปดำเนินการที่ไม่ได้มาตรฐานได้: ระบบการควบคุมภายในอยู่ในระดับที่สุ่มตัวอย่าง
- ข้อกำหนดของพันธมิตร ใช่ แน่นอนว่ามีข้อผิดพลาดและไม่สอดคล้องกัน เพียงพอหรือไม่ที่จะยอมรับว่ารายงานเป็นเท็จและทะเลาะกับลูกค้า ข้อบกพร่องแต่ละข้อที่ได้รับจากตัวอย่างเล็กน้อยอาจไม่ใช่ และพวกเขาไม่ได้ดูผลรวมทั้งหมด
ผลลัพธ์ที่ได้นั้นน่าทึ่งมาก แทนที่จะเป็น "ไอ้บ้า" ขณะที่ประธานาธิบดีแห่งสาธารณรัฐเบลารุส A.G. Lukashenka เกี่ยวกับรัฐสภาของเขา ชุมชนการตรวจสอบทั้งหมด มีข้อกำหนดเพิ่มเติมที่ไม่ใช่สำหรับผู้ตรวจสอบบัญชีที่ปกปิดการฉ้อโกง แต่สำหรับบริษัทเอง (รวมถึงบริษัทที่ดำเนินชีวิตอย่างซื่อสัตย์) และข้อกำหนดเหล่านี้ถูกกำหนดขึ้นโดยผู้สอบบัญชีเอง เป็นที่ชัดเจนว่าข้อกำหนดถูกกำหนดในลักษณะที่ผู้ตรวจสอบจำเป็นอีกครั้ง (นั่นคือเรียกว่าที่ปรึกษา แต่ตั้งอยู่ในเขตแดนในแผนกที่อยู่ใกล้เคียงกันของบริษัทตรวจสอบบัญชี) นอกจากนี้ทุกอย่างชัดเจน
บรรทัดล่างสุด: นอกเหนือจากการตรวจสอบงบการเงินอย่างเป็นทางการแล้ว บริษัทมหาชนแต่ละแห่งต้องสั่งให้มีการจัดตั้งการควบคุมภายในตาม SOX (หรือจ้างพนักงานซึ่งไม่ถูกเช่นกัน) ในขณะเดียวกัน ค่าใช้จ่ายในการตรวจสอบภายนอกก็เพิ่มขึ้น เนื่องจากชั่วโมงมาตรฐานเพิ่มขึ้นจากการประเมินของ ICS ในการจัดทำรายงาน ในเวลาเดียวกัน เท่าที่ฉันทราบ แม้ว่าระบบการควบคุมภายในเกี่ยวกับการจัดทำรายงานจะได้รับการทดสอบขึ้นและลงโดยการตรวจสอบภายใน แต่ก็ไม่มีการลดลงขั้นพื้นฐานในต้นทุนของบริการตรวจสอบภายนอก
อย่างไรก็ตาม ตอนนี้ Big4 ไม่ได้ให้บริการตรวจสอบและให้คำปรึกษาแก่องค์กรเดียวกัน นั่นคือในความเป็นจริง ต้นทุนบริการให้คำปรึกษาสำหรับธุรกิจเพิ่มขึ้น (ยกเลิกหลักการ "ขายส่งถูกกว่า")
โดยทั่วไป ผลลัพธ์ที่สำคัญของเรื่องอื้อฉาวในการตรวจสอบที่เกิดจากผู้สอบบัญชีคือรายได้ของผู้สอบบัญชีที่เพิ่มขึ้น "มันยอดเยี่ยมใช่มั้ย" (©พี่น้องตระกูล Zaitsev, Comedy Club) ดังนั้นฉันพยายามที่จะไม่ใช้คำว่า SOX
หากคุณพบข้อผิดพลาด โปรดเน้นข้อความและคลิก Ctrl+Enter.
แนวคิดของ COSO “การบริหารความเสี่ยงขององค์กร การผสานรวมกับกลยุทธ์และประสิทธิภาพ” (COSO ERM) 2017 ในภาษารัสเซียวางจำหน่ายในร้านหนังสือออนไลน์ TOTbook.ru มีให้ที่ลิงค์: https://totbook.ru/catalog/345/1136970/
แนวคิด COSO ERM ประกอบด้วยหนังสือ 3 เล่ม:
1. หนังสือหลัก (110 หน้า)
2. ใบสมัคร (30 หน้า)
3. สรุป (10 หน้า)
แนวคิด COSO ERM มีเป้าหมายเพื่อเพิ่มความสัมพันธ์ระหว่างความเสี่ยง กลยุทธ์ และมูลค่าของบริษัท โดยพิจารณาถึงความเสี่ยงในแง่ของบทบาทในการตัดสินใจเชิงกลยุทธ์ที่ส่งผลต่อประสิทธิภาพการทำงานขององค์กรโดยรวมในที่สุด ส่วนแรกของหนังสือหลักจะให้ภาพรวมของแนวคิดและการประยุกต์ใช้การบริหารความเสี่ยงขององค์กรในปัจจุบันและที่กำลังพัฒนา ส่วนที่สองของหนังสือหลัก Conceptual Framework มีห้าองค์ประกอบที่คำนึงถึงมุมมองและโครงสร้างการดำเนินงานที่แตกต่างกัน และช่วยปรับปรุงกลยุทธ์และการตัดสินใจ
สิทธิแต่เพียงผู้เดียวในการจัดพิมพ์และจำหน่าย (พิมพ์เท่านั้น) แนวคิดของ COSOการบริหารความเสี่ยงองค์กร. การบูรณาการกับกลยุทธ์และการปฏิบัติงาน” (COSO ERM) 2017 เป็นของสถาบันผู้ตรวจสอบภายใน การเปิดตัวสิ่งพิมพ์นี้และการแปลข้อความเป็นภาษารัสเซียดำเนินการโดยได้รับการสนับสนุนจาก Deloitte, CIS
สถานะเอกสาร: วัสดุสำหรับการประชุม พคท
องค์กรนักพัฒนา: PJSC โทรโข่ง
คำชี้แจง X/2556
“การจัดระบบการควบคุมภายใน”
1. บทบัญญัติทั่วไป
1.1 นโยบายนี้กำหนดขั้นตอนสำหรับการจัดระเบียบและการทำงานของระบบควบคุมภายใน (ต่อไปนี้จะเรียกว่า ICS) ในบริษัท รวมถึงการอธิบายวัตถุประสงค์และภารกิจของ ICS ตลอดจนบทบาทและความรับผิดชอบของอาสาสมัคร
1.2 นโยบายนี้ได้รับการพัฒนาโดยคำนึงถึงข้อกำหนดและคำแนะนำ:
- กฎหมายปัจจุบัน สหพันธรัฐรัสเซีย(รวมถึงมาตรา 19 ของกฎหมายหมายเลข 402-FZ "เกี่ยวกับการบัญชี");
- เอกสารกำกับดูแลภายในของบริษัท
- หลักจรรยาบรรณของ Federal Financial Market Service ของสหพันธรัฐรัสเซีย;
- ความเป็นผู้นำของคณะกรรมการองค์กรผู้สนับสนุนของคณะกรรมาธิการ Treadway “การควบคุมภายใน แบบบูรณาการ" (2535).
2. ความหมายและวัตถุประสงค์ของการควบคุมภายใน
2.1 การควบคุมภายในเป็นกระบวนการที่ดำเนินการอย่างต่อเนื่องโดยพนักงานทุกคนและผู้บริหารของบริษัททุกระดับชั้น โดยมีเงื่อนไขในการบรรลุเป้าหมายของบริษัทในด้านต่างๆ ดังนี้
- ประสิทธิภาพและประสิทธิผลของกิจกรรมทางการเงินและเศรษฐกิจของบริษัท
- ความปลอดภัยของทรัพย์สิน
- การปฏิบัติตามข้อกำหนดทางกฎหมาย ข้อบังคับ เอกสารภายในของบริษัท และข้อกำหนดที่เกี่ยวข้องอื่น ๆ ของหน่วยงานกำกับดูแล
- ความน่าเชื่อถือของงบการเงิน
2.2 ระบบการควบคุมภายใน(SMC) - ระบบมาตรการองค์กร นโยบาย คำสั่ง ตลอดจนขั้นตอนการควบคุม บรรทัดฐานวัฒนธรรมองค์กร และการดำเนินการที่ดำเนินการโดยคณะกรรมการบริษัท ผู้บริหาร และพนักงานของบริษัท เพื่อให้มั่นใจว่าการดำเนินกิจกรรมทางธุรกิจเป็นไปอย่างเหมาะสม: เพื่อให้แน่ใจว่า ความมั่นคงทางการเงินของบริษัท เพื่อให้เกิดความสมดุลที่เหมาะสมระหว่างต้นทุนการเติบโต ความสามารถในการทำกำไร และความเสี่ยง เพื่อการดำเนินกิจกรรมทางธุรกิจอย่างมีระเบียบและมีประสิทธิภาพ ความปลอดภัยของทรัพย์สิน การระบุ แก้ไข และป้องกันการละเมิด การจัดทำงบการเงินที่เชื่อถือได้ทันเวลา และ จึงเพิ่มความน่าดึงดูดใจในการลงทุน
2.3 การจัดระบบการควบคุมภายในของบริษัทโดยยึดหลักความเสี่ยงเป็นฐาน หมายถึงการบูรณาการอย่างใกล้ชิดของระบบควบคุมภายในกับกระบวนการบริหารความเสี่ยง ซึ่งทำให้มั่นใจถึงวิธีการจัดการความเสี่ยงที่เหมาะสมและมีประสิทธิภาพโดยใช้กลไกที่มีประสิทธิผลของระบบควบคุมภายใน ในเวลาเดียวกัน ฝ่ายบริหารของบริษัทและพนักงานของบริษัทมุ่งความสนใจไปที่การสร้างและปรับปรุงระบบการควบคุมภายใน โดยประการแรก ในส่วนกิจกรรมที่มีความเสี่ยงสูงสุด
2.4 ระบบการควบคุมภายในเกี่ยวกับกระบวนการรายงานทางการเงิน(SVKFO) - ระบบมาตรการองค์กร นโยบาย คำแนะนำ ตลอดจนขั้นตอนการควบคุม บรรทัดฐานวัฒนธรรมองค์กร และการดำเนินการของคณะกรรมการ ผู้บริหาร และพนักงานของบริษัท เพื่อให้บรรลุเป้าหมายในด้านการจัดทำงบการเงินที่เชื่อถือได้
2.5 วัตถุประสงค์ของการทำงานของระบบการควบคุมภายในของบริษัทคือ
- ช่วยเหลือในการปกป้องผลประโยชน์ของผู้ถือหุ้น นักลงทุน และลูกค้า การป้องกันและขจัดความขัดแย้งทางผลประโยชน์ สนับสนุนการจัดการที่มีประสิทธิภาพของบริษัท และบรรลุเป้าหมายเชิงกลยุทธ์อย่างมีประสิทธิภาพสูงสุด
- การสร้างเงื่อนไขเพื่อปกป้องบริษัทจากความเสี่ยงภายในและภายนอกที่เกิดขึ้นระหว่างกิจกรรมของบริษัท ตลอดจนความเสี่ยงในการจัดทำงบการเงินของบริษัท
- การให้ความช่วยเหลือเพื่อให้มั่นใจว่าบริษัทปฏิบัติตามข้อกำหนดของกฎหมายและเอกสารกำกับดูแลของบริษัท
- การสร้างเงื่อนไขสำหรับการจัดเตรียมอย่างทันท่วงทีและการจัดหาการรายงานทางการเงิน การบัญชี สถิติ การจัดการ และอื่นๆ ที่เชื่อถือได้สำหรับผู้ใช้ภายนอกและภายใน
- การให้ความช่วยเหลือในการดูแลความปลอดภัยของทรัพย์สินและการใช้ทรัพยากรและศักยภาพของบริษัทอย่างมีประสิทธิภาพ
3. หลักการทำงานและส่วนประกอบของ ICS
3.1 องค์กรและการทำงานของ ICS ในบริษัทเป็นไปตามหลักการสำคัญดังต่อไปนี้:
- การบูรณาการ- ICS เป็นส่วนสำคัญของการกำกับดูแลกิจการของบริษัท และรวมอยู่ในกระบวนการและการปฏิบัติงานประจำวัน ICS รวมถึงขั้นตอนสำหรับการแจ้งผู้บริหารในระดับที่เหมาะสมของการจัดการของการละเมิดที่สำคัญใด ๆ ของกิจกรรมทางการเงินและเศรษฐกิจ ข้อบกพร่องและ จุดอ่อนการควบคุมที่พบพร้อมการวิเคราะห์สาเหตุรายละเอียดการดำเนินการแก้ไขที่ได้ดำเนินการหรือควรดำเนินการ
- ความต่อเนื่อง- ICS ดำเนินการอย่างต่อเนื่อง ต่อเนื่อง และในทุกระดับของการจัดการ ซึ่งช่วยให้บริษัทสามารถระบุความเบี่ยงเบนในระบบการควบคุมภายในได้ทันท่วงที และป้องกันไม่ให้เกิดขึ้นอีกในอนาคต
- ความสามัคคีของระเบียบวิธี -กระบวนการ ICS ดำเนินการบนพื้นฐานของข้อกำหนดและแนวทางที่เหมือนกันสำหรับทุกแผนกของบริษัท
- ความสมบูรณ์ / ความซับซ้อน- ICS ดำเนินการในทุกระดับและทุกแผนกของบริษัท ครอบคลุมหัวข้อการควบคุมภายในและกิจกรรมทั้งหมด และตามด้วยความเสี่ยงทั้งหมด:
- หน้าที่ในการสร้างและบำรุงรักษา ICS ที่เชื่อถือได้และมีประสิทธิภาพนั้นขึ้นอยู่กับหัวหน้าฝ่ายบริหารของบริษัททุกระดับ
- มีขั้นตอนการควบคุมอยู่ในทุกกระบวนการทางธุรกิจและทุกระดับของการจัดการ
- พนักงานของบริษัทแต่ละคนรู้ เข้าใจ และปฏิบัติหน้าที่ของตนในระบบการควบคุมภายใน
- ความรับผิดชอบ- พนักงานและผู้บริหารทุกคนในทุกระดับของบริษัทมีหน้าที่รับผิดชอบต่อการทำงานของ ICS ภายในอำนาจของตน
- แนวความเสี่ยง- ICS ในบริษัทมีปฏิสัมพันธ์อย่างใกล้ชิดกับระบบการบริหารความเสี่ยง ซึ่งมีส่วนช่วยให้การดำเนินมาตรการเพื่อมีอิทธิพลต่อความเสี่ยงเป็นไปอย่างทันท่วงทีและมีประสิทธิภาพ เมื่อวิเคราะห์ขั้นตอนการควบคุม จำเป็นต้องประเมินขนาดและความเป็นไปได้ของความเสี่ยงที่เกิดขึ้น ระดับของผลกระทบต่อผลลัพธ์ของกิจกรรมทางการเงินและเศรษฐกิจ และการบรรลุเป้าหมายของบริษัท ซึ่งช่วยให้เราสรุปได้ว่าขั้นตอนการควบคุมที่มีอยู่นั้นเพียงพอแล้ว หรือว่าต้องมีการพัฒนาและดำเนินการใหม่
- การเพิ่มประสิทธิภาพ -ปริมาณและความซับซ้อนของขั้นตอนการควบคุมที่ใช้ในบริษัทมีความจำเป็นและเพียงพอสำหรับการบริหารความเสี่ยงที่มีประสิทธิผลและการบรรลุเป้าหมายของบริษัท ทรัพยากรและต้นทุนสำหรับการดำเนินการและการดำเนินการตามขั้นตอนการควบคุมที่ตามมาไม่ควรเกินผลของการรับรู้ความเสี่ยง (อัตราส่วนต้นทุนต่อผลกระทบทางเศรษฐกิจ) และระดับความเสี่ยงที่เหลืออยู่ทั้งหมดควรสอดคล้องกับความเสี่ยงที่ยอมรับได้ของบริษัท
- การแบ่งแยกหน้าที่- บริษัทจำกัดสิทธิและหน้าที่ของผู้อยู่ภายใต้การควบคุมภายในโดยขึ้นอยู่กับทัศนคติของพวกเขาที่มีต่อกระบวนการพัฒนา การอนุมัติ การประยุกต์ใช้ และการตรวจสอบ ICS ไม่อนุญาตให้มอบอำนาจให้พนักงาน/หน่วยงานหนึ่งคนพร้อมๆ กันมีอำนาจ:
- อนุมัติการทำธุรกรรมกับสินทรัพย์
- การดำเนินการกับสินทรัพย์
- การบัญชี / ทะเบียนการดำเนินงาน
- ตรวจสอบความถูกต้อง ครบถ้วน ตามความเป็นจริงของการปฏิบัติงานและดูแลความปลอดภัยของทรัพย์สิน
- พิธีการ- ICS ควรทำให้เป็นทางการ:
- อธิบายถึงความเสี่ยงและการควบคุมสำหรับกระบวนการทางธุรกิจที่สำคัญทั้งหมดที่ส่งผลกระทบต่อการบรรลุเป้าหมายของบริษัท
- ผลลัพธ์ของการดำเนินการตามขั้นตอนการควบคุมได้รับการจัดทำเป็นเอกสารและจัดเก็บ (เอกสารหลัก รายงาน บันทึกการทำธุรกรรม ฯลฯ )
3.2 ความเกี่ยวข้องและการพัฒนา- เอกสารทั้งหมดเกี่ยวกับ ICS (คำอธิบายความเสี่ยง การควบคุม และข้อมูลอื่นๆ) ควรได้รับการปรับปรุงให้ทันท่วงที รวมทั้งปรับปรุงอย่างต่อเนื่องเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง ผู้บริหารระดับสูงกำหนดเงื่อนไขสำหรับการพัฒนาระบบควบคุมภายในอย่างต่อเนื่องโดยคำนึงถึงความจำเป็นในการแก้ปัญหาใหม่ที่เกิดขึ้นจากการเปลี่ยนแปลงสภาพการปฏิบัติงานภายในและภายนอก พื้นฐานสำหรับองค์กรและการทำงานของระบบควบคุมภายในในบริษัทมีองค์ประกอบดังต่อไปนี้:
- สภาพแวดล้อมการควบคุม
- การประเมินความเสี่ยง;
- วิธีการควบคุม
- สารสนเทศและการสื่อสาร
- การตรวจสอบ SVK
คำอธิบายโดยละเอียดเกี่ยวกับส่วนประกอบของ ICS ระบุไว้ในภาคผนวก 1 ของนโยบายนี้
4. วิชาการควบคุมภายในและหน้าที่
4.1 ระบบการควบคุมภายในของบริษัทถูกกำหนดโดยชุดของวัตถุและหัวข้อ เป้าหมายของ ICS คือกิจกรรมทางการเงินและเศรษฐกิจของแผนกต่างๆ ของบริษัท หัวข้อของการควบคุมภายในถูกกำหนดโดยนโยบายนี้และเอกสารกำกับดูแลอื่น ๆ ของบริษัทในด้านการควบคุมภายใน
4.2 มีการกำหนดองค์ประกอบของการควบคุมภายใน โครงสร้างองค์กรสังคมและรวมถึง:
- คณะกรรมการบริษัท
- คณะกรรมการตรวจสอบ
- ผู้อำนวยการทั่วไป;
- ส่วนควบคุมภายใน
- ผู้นำ ฝ่ายโครงสร้างและพนักงานบริษัทฯ
4.3 คณะกรรมการบริษัท- กำหนดทิศทางทั่วไปขององค์กรระบบควบคุมภายในในบริษัท วิเคราะห์ประสิทธิภาพโดยรวมและการปฏิบัติตาม ICS ด้วยลักษณะ ขนาด และเงื่อนไขของกิจกรรมของบริษัทในกรณีที่มีการเปลี่ยนแปลง - พิจารณาผลการประเมินประสิทธิผล ของ ICS ระบุข้อบกพร่องที่สำคัญและคำแนะนำสำหรับการกำจัด อนุมัตินโยบายการควบคุมภายในและการแก้ไขเพิ่มเติม
หน้าที่และภารกิจของคณะกรรมการบริษัทเกี่ยวกับระบบควบคุมภายในได้กำหนดไว้ในข้อบังคับคณะกรรมการบริษัท
4.4 คณะกรรมการตรวจสอบของคณะกรรมการบริษัท- ประเมินการปฏิบัติตามหลักการของการควบคุมภายในและการบริหารความเสี่ยง และประสิทธิผลโดยรวมของ ICS ในบริษัท (รวมถึงบนพื้นฐานของรายงานจากการตรวจสอบภายในและหน่วยงานควบคุมภายใน) ให้คำแนะนำในการปรับปรุง ICS
หน้าที่และภารกิจของคณะกรรมการตรวจสอบของคณะกรรมการบริษัทกำหนดไว้ในระเบียบที่เกี่ยวข้องว่าด้วยคณะกรรมการตรวจสอบของบริษัท
4.5 ผู้อำนวยการทั่วไป- มีหน้าที่รับผิดชอบในการจัดระเบียบและบำรุงรักษาการทำงานของระบบควบคุมภายในที่มีประสิทธิผลในบริษัท และติดตามการทำงานของ ICS รวมถึง:
- กำหนดทิศทางการพัฒนาและปรับปรุง ICS ในบริษัท
- อนุมัติกฎระเบียบเกี่ยวกับระบบควบคุมภายใน กฎระเบียบสำหรับการวินิจฉัยและปรับปรุง ICS และเอกสารกำกับดูแลอื่น ๆ ในด้าน ICS
- พิจารณาผลงานของหน่วยโครงสร้างการควบคุมภายในรวมถึงผลการวินิจฉัย ICS
- กำหนดความรับผิดชอบในการดำเนินการตามการตัดสินใจของผู้บริหารระดับสูงในด้านการควบคุมภายใน
- พิจารณาและอนุมัติแผนปฏิบัติการเพื่อขจัดข้อบกพร่องใน ICS
4.6 กองตรวจสอบภายใน- ดำเนินการประเมินอิสระของประสิทธิผลขององค์ประกอบแต่ละส่วนของ ICS, ICS ของวัตถุที่ได้รับการตรวจสอบและ ICS ของบริษัทโดยรวม และพัฒนาคำแนะนำสำหรับการปรับปรุงความน่าเชื่อถือและประสิทธิภาพ รวมถึง:
- ตรวจสอบการปฏิบัติตามกิจกรรมของแผนกและพนักงานด้วยเอกสารกำกับดูแลที่กำหนดขั้นตอนสำหรับองค์กรและการทำงานของ ICS
- ดำเนินการประเมินการปฏิบัติตามเนื้อหาของเอกสารกำกับดูแลที่ควบคุมองค์กรและการทำงานของ ICS ลักษณะและขอบเขตของกิจกรรมของบริษัท
- ระบุข้อเท็จจริงของการละเมิด วิเคราะห์เหตุผลของการดำเนินการ และพัฒนาคำแนะนำสำหรับการปรับปรุงที่มีอยู่และ / หรือแนะนำขั้นตอนการควบคุมใหม่ ๆ เพื่อป้องกันการเกิดซ้ำของการละเมิด
- ตรวจสอบการกำจัดการละเมิดและข้อบกพร่องที่ระบุอย่างทันท่วงทีและสมบูรณ์
- ดำเนินการควบคุมคุณภาพของกระบวนการวินิจฉัยระบบควบคุมภายในในบริษัท ดำเนินการโดยผู้บริหารและพนักงาน
- ให้คำแนะนำในการปรับปรุงการควบคุมภายใน
4.7 งาน หน่วยควบคุมภายในเป็น:
การประสานงานของกิจกรรมเพื่อสร้างและรักษาความมีประสิทธิผลของระบบควบคุมภายใน
- การสนับสนุนระเบียบวิธีของ ICS;
- องค์กรของกระบวนการวินิจฉัย ICS ในบริษัท:
- การจัดทำแผนพัฒนาและปรับปรุง ICS ในบริษัท
- การบำรุงรักษาและบำรุงรักษาโครงสร้างพื้นฐาน ICS (การลงทะเบียนความเสี่ยง ขั้นตอนการควบคุม และกระบวนการทางธุรกิจ) ให้ทันสมัย
- ติดตามการดำเนินการตามแผนปฏิบัติการเพื่อขจัดข้อบกพร่องและปรับปรุง ICS รวมถึง การควบคุมคุณภาพเพื่อขจัดข้อบกพร่อง
- แจ้งผู้เข้าร่วม ICS ทั้งหมดเกี่ยวกับการเปลี่ยนแปลงแนวทาง เอกสาร และข้อกำหนดอื่นๆ ในด้าน ICS
- การจัดทำโครงการฝึกอบรมบุคลากร เรื่อง การจัดองค์กรและการปรับปรุงระบบควบคุมภายใน
หน้าที่ งาน และอำนาจของส่วนย่อยโครงสร้างสำหรับการประสานงานของ ICS ของบริษัทได้กำหนดไว้ในข้อบังคับที่เกี่ยวข้อง
4.8 หัวหน้าและพนักงานของแผนกโครงสร้างมีหน้าที่รับผิดชอบในการก่อตั้ง การบำรุงรักษา และการตรวจสอบอย่างต่อเนื่องของระบบการควบคุมภายในในสายงานที่เกี่ยวข้องของกิจกรรมของหน่วยต่างๆ ตลอดสายงานการจัดการ และยังดำเนินขั้นตอนการควบคุมตามหน้าที่อย่างเป็นทางการ ซึ่งรวมถึง:
- การระบุและการวิเคราะห์ความเสี่ยงของกิจกรรมทางการเงินและเศรษฐกิจของบริษัทอย่างทันท่วงที;
- การพัฒนา การทำให้เป็นทางการ ตลอดจนการดำเนินการที่ตามมา และการรับรองประสิทธิภาพและความเพียงพอของขั้นตอนการควบคุมภายในกระบวนการทางธุรกิจ
- อัปเดตคำอธิบายของ ICS และแจ้งให้หน่วยควบคุมภายในทราบอย่างทันท่วงทีเกี่ยวกับการเปลี่ยนแปลง
- ตรวจสอบการทำงานของ ICS รวมถึงการประเมินประสิทธิผลของขั้นตอนการควบคุมที่ดำเนินการอย่างเป็นอิสระ
- แจ้งฝ่ายบริหารเกี่ยวกับข้อผิดพลาด/ข้อบกพร่องใดๆ ที่เกิดขึ้นหรือเป็นไปได้ที่นำไปสู่หรืออาจนำไปสู่เหตุการณ์เชิงลบที่อาจเกิดขึ้น
- ผ่านการฝึกอบรมด้านการควบคุมภายในและการบริหารความเสี่ยงตามหลักสูตรการฝึกอบรมที่ได้รับอนุมัติ
4.9 บริษัทรับประกันการสร้างช่องทางที่มีประสิทธิภาพสำหรับการแลกเปลี่ยนข้อมูล รวมถึงการสื่อสารทั้งแนวตั้งและแนวนอน เพื่อสร้างความเข้าใจในทุกหัวข้อของการควบคุมภายในที่นำมาใช้ในเอกสารการกำกับดูแลเกี่ยวกับองค์กรและการทำงานของระบบการควบคุมภายในและ ตรวจสอบการใช้งานของพวกเขา
4.10 ข้อมูลเกี่ยวกับการทำงานของระบบการควบคุมภายใน ข้อบกพร่องที่พบ และเหตุการณ์สำคัญอื่น ๆ ให้กับคณะกรรมการบริษัท คณะกรรมการตรวจสอบของคณะกรรมการบริษัท ถึงซีอีโอคณะกรรมการจัดการหรือหน่วยงานอื่นตามข้อกำหนดที่มีอยู่ของกฎหมายและเอกสารกำกับดูแลของบริษัท
5. บทบาท
5.1 เพื่อให้แน่ใจว่า ICS ทำงานได้อย่างมีประสิทธิผล บทบาทต่อไปนี้จะถูกแจกจ่ายให้กับผู้จัดการและพนักงานคนอื่นๆ ของบริษัท:
- เจ้าของกระบวนการ/ความเสี่ยง
- ผู้ประสานงาน ICS
- ผู้ดำเนินการควบคุม
5.2 เจ้าของกระบวนการ/ความเสี่ยง- หัวหน้าส่วน/หน่วยงานที่รับผิดชอบ:
- เพื่อการทำงานที่มีประสิทธิภาพขององค์ประกอบทั้งหมดของ ICS ( ดูส่วนประกอบ ICS ในภาคผนวก 1) ในแง่ของการครอบคลุมความเสี่ยงทางธุรกิจและการจัดทำงบการเงินซึ่งเป็นส่วนหนึ่งของกระบวนการทางธุรกิจ/ความเสี่ยง;
- สำหรับการแต่งตั้งผู้ดำเนินการควบคุมและกำหนดรายละเอียดงานของพนักงานที่เกี่ยวข้องที่รับผิดชอบในการดำเนินการตามขั้นตอนเหล่านี้
- เพื่อให้มั่นใจถึงการดำเนินการและการจัดทำเอกสารการควบคุมโดยผู้ดำเนินการควบคุมตามเอกสารสำหรับ ICS
- เพื่อระบุการเปลี่ยนแปลงในกระบวนการ ความเสี่ยง หรือการควบคุมที่ต้องมีการเปลี่ยนแปลงในเอกสาร ICS และแจ้งให้พนักงานของหน่วยควบคุมภายใน / ผู้ประสานงาน ICS ในหน่วยงานที่เกี่ยวข้องทราบเกี่ยวกับเรื่องนี้
- สำหรับการอนุมัติเอกสาร ICS อย่างทันท่วงที (คำอธิบายโดยละเอียดของความเสี่ยง การควบคุมแบบรวมและแบบดัดแปลง และข้อมูลอื่นๆ)
- สำหรับการขจัดข้อบกพร่องใน ICS ที่ระบุว่าเป็นผลลัพธ์ของการทดสอบหรือการติดตาม
5.3 ผู้ดำเนินการควบคุม- พนักงานทุกระดับที่รับผิดชอบ:
- สำหรับการดำเนินการตามขั้นตอนการควบคุมอย่างทันท่วงทีและมีคุณภาพสูงตามเอกสารของ ICS
- สำหรับการแจ้ง ถ้าจำเป็น รองผู้ดำเนินการควบคุมและพนักงานของหน่วยควบคุมภายในถึงความจำเป็นในการปฏิบัติตามขั้นตอนการควบคุมที่เกี่ยวข้องแทนผู้ดำเนินการ
- เพื่อการอนุมัติเอกสาร ICS อย่างทันท่วงที (คำอธิบายโดยละเอียดเกี่ยวกับความเสี่ยง การควบคุม และข้อมูลอื่นๆ)
- สำหรับการดำเนินการตามขั้นตอนการประเมินประสิทธิผลของ ICS ด้วยตนเอง
- สำหรับการระบุการเปลี่ยนแปลงในกระบวนการ ความเสี่ยง หรือการควบคุมที่ต้องมีการเปลี่ยนแปลงในเอกสาร ICS และแจ้งให้เจ้าของความเสี่ยง/กระบวนการ ผู้ประสานงาน ICS ในหน่วยงานที่เกี่ยวข้อง และพนักงานของหน่วยงานควบคุมภายในทราบเกี่ยวกับเรื่องนี้
- สำหรับการกำจัดข้อบกพร่องของ ICS ที่ระบุโดยเป็นผลมาจากการทดสอบและติดตาม
5.4 ผู้ประสานงาน ICSพนักงานในแต่ละแผนกที่รับผิดชอบ:
- เพื่อจัดระเบียบและประสานงานกระบวนการทำงานของ ICS ภายในกรอบของหน่วยงานที่เกี่ยวข้อง
- เพื่อติดตามคุณภาพของการนำไปปฏิบัติและจัดทำเอกสารขั้นตอนการควบคุมในแง่ของการควบคุมที่ดำเนินการในหน่วยงานที่เกี่ยวข้อง
- สำหรับความเกี่ยวข้องของเอกสารเกี่ยวกับ ICS ในแง่ของหน่วยโครงสร้างที่เกี่ยวข้อง
- เพื่อแจ้งให้ฝ่ายควบคุมภายในทราบถึงความจำเป็นในการเปลี่ยนแปลงเอกสาร ICS (การเปลี่ยนแปลงกระบวนการ ความเสี่ยง หรือการควบคุม รวมถึงข้อเสนอของถ้อยคำใหม่ในแง่ของความเสี่ยง การควบคุม และข้อมูลอื่นๆ)
6. ข้อกำหนดและความรับผิดชอบในด้านการรับรองประสิทธิภาพของ ICS
6.1 การควบคุมภายในเป็นส่วนสำคัญของการปฏิบัติงานของแผนกใดๆ ของบริษัท
6.2 พนักงานทุกคนมีหน้าที่รับผิดชอบในการทำงานและประสิทธิภาพของ ICS ของบริษัท
6.3 ฝ่ายบริหารของบริษัทต้องสื่อสารให้พนักงานทราบถึงความสำคัญของการมีและรับรองประสิทธิผลของการทำงานของ ICS ตลอดจนบทบาทของพนักงานแต่ละคนในระบบนี้ รวมถึงข้อกำหนดพื้นฐานดังต่อไปนี้:
- ไม่มีพนักงานทั้งทางตรงและทางอ้อมสามารถอนุญาตหรือก่อให้เกิดการปลอมแปลงข้อมูลทางบัญชี การจัดการ หรือการรายงานอื่น ๆ โดยเจตนา
- ไม่สามารถเปลี่ยนแปลงข้อมูลทางบัญชีได้หากทราบว่าการเปลี่ยนแปลงเหล่านี้อาจบิดเบือนสาระสำคัญของการดำเนินงานที่เกี่ยวข้อง
- ไม่มีการซ่อนเงิน/บัญชี/ธุรกรรมจำนวนมากเพื่อจุดประสงค์ในการรายงานที่ไม่สมบูรณ์
- พนักงานทุกคนของบริษัทมีหน้าที่ต้องรักษาทรัพย์สินของบริษัทและใช้งานอย่างมีประสิทธิภาพ
6.4 หากพนักงานของบริษัทมีข้อมูลเกี่ยวกับการขาดหรือไร้ประสิทธิภาพของขั้นตอนการควบคุมภายใน เขาจะต้องแจ้งผู้บังคับบัญชาทันที รวมทั้งหัวหน้าแผนกควบคุมภายในและหน่วยงานตรวจสอบภายในเกี่ยวกับเรื่องนี้
6.5 หากพนักงานจงใจไม่ปฏิบัติตามนโยบายนี้และไม่ปฏิบัติตามขั้นตอนการควบคุมที่ตนรับผิดชอบ พนักงานจะต้องถูกลงโทษทางวินัยจนถึงและรวมถึงการเลิกจ้างตามข้อกำหนดของกฎหมายที่บังคับใช้
7. การตรวจสอบประสิทธิภาพของ ICS
7.1 วัตถุประสงค์ของการติดตามคือเพื่อประเมินความมีประสิทธิผลของระบบควบคุมภายในของบริษัท รวมถึงความสามารถในการรับประกันการบรรลุผลสำเร็จตามเป้าหมายและวัตถุประสงค์ ตลอดจนเพื่อพิจารณาถึงสาระสำคัญของข้อบกพร่องของระบบ
7.2 การติดตามระบบการควบคุมภายในเกี่ยวกับรายงานทางการเงิน ได้แก่
- การดำเนินการโดยการจัดการของหน่วยควบคุมอย่างต่อเนื่องในการปฏิบัติตามขั้นตอนการควบคุมในหน่วยงานที่รับผิดชอบ
- การประเมินระบบการควบคุมภายในของบริษัทด้วยตนเอง
- การดำเนินการตรวจสอบการปฏิบัติตามขั้นตอนการควบคุมเป็นระยะและการตรวจสอบการปฏิบัติตามข้อกำหนดของกฎหมายและข้อกำหนดของเอกสารกำกับดูแลขององค์กรโดยหน่วยตรวจสอบภายใน
- การประเมินประสิทธิผลของระบบควบคุมภายในในกระบวนการจัดทำงบการเงินโดยผู้สอบบัญชีภายนอก
- การสื่อสารข้อมูลอย่างทันท่วงทีเกี่ยวกับข้อบกพร่องที่ระบุของระบบการควบคุมภายในเกี่ยวกับการรายงานทางการเงินแก่ผู้มีส่วนได้ส่วนเสียภายในแนวการจัดการ
7.3 การประเมินประสิทธิภาพของ ICS ด้วยตนเอง (ต่อไปนี้ - การประเมินตนเองของ ICS) ดำเนินการโดยตรงโดยอาสาสมัครของ ICS โดย:
- การกระจายแบบสอบถาม - ใช้เพื่อรวบรวมข้อมูลเกี่ยวกับประสิทธิภาพของการทำงานของ ICS และการเปลี่ยนแปลงในกระบวนการทางธุรกิจจากพนักงานและหัวหน้าแผนกต่างๆ ของบริษัท
- การตรวจสอบสถานะของ ICS เป็นกระบวนการตรวจสอบความสมบูรณ์ ความทันเวลาของการดำเนินการ และความถูกต้องของเอกสารของ CP
- การประเมินประสิทธิผลของขั้นตอนการควบคุม - การวิเคราะห์ประสิทธิผลของคำอธิบายและการดำเนินการควบคุม ตลอดจนการวิเคราะห์ความเพียงพอของขั้นตอนการควบคุม (การประเมินว่าการควบคุมมากน้อยเพียงใด ขึ้นอยู่กับการปฏิบัติที่มีประสิทธิภาพ สามารถลดความเสี่ยงได้อย่างมีประสิทธิภาพ ที่สอดคล้องกัน)
7.4 การประเมิน ICS เป็นประจำจะช่วยปรับปรุงประสิทธิภาพโดย:
- การตรวจจับการเปลี่ยนแปลงในกระบวนการทางธุรกิจ การออกแบบ หรือขั้นตอนของการดำเนินการตามขั้นตอนการควบคุมอย่างทันท่วงที
- เพิ่มแรงจูงใจของผู้ดำเนินการควบคุมและผู้จัดการของพวกเขาผ่านการมีส่วนร่วมโดยตรงในการปรับปรุงระบบควบคุมภายในและการควบคุมคุณภาพของการใช้ CP อย่างต่อเนื่อง
- จัดทำฐานข้อมูลให้กับผู้บริหารของบริษัทเพื่อยืนยันประสิทธิภาพของการทำงานของ ICS
7.5 ผลการประเมิน ICS จะต้องจัดทำเป็นเอกสารและส่งให้ฝ่ายบริหารของบริษัทและคณะกรรมการตรวจสอบของคณะกรรมการบริษัท:
- ฝ่ายตรวจสอบภายในจัดทำรายงานตามผลการประเมิน ICS
- ผู้ตรวจสอบภายนอกจัดทำจดหมายถึงผู้บริหารเกี่ยวกับข้อบกพร่องที่สำคัญซึ่งระบุตามผลการประเมินอิสระภายนอกของ ICS
- ฝ่ายควบคุมภายในจัดทำรายงานตามผลการประเมินตนเองของ ICS ที่จัดทำโดยหน่วยงานโครงสร้างของบริษัท
8. การเพิ่มและเปลี่ยนแปลงนโยบาย
8.1 เมื่อมีการเปลี่ยนแปลงและเพิ่มเติมกฎหมาย ข้อกำหนดของหน่วยงานกำกับดูแลและเอกสารกำกับดูแลของบริษัทที่ควบคุมการทำงานของระบบควบคุมภายใน การเปลี่ยนแปลงและเพิ่มเติมนโยบายนี้สามารถทำได้โดยการตัดสินใจที่ถูกต้องของคณะกรรมการบริษัทเท่านั้น คณะกรรมการบริษัทอาจตัดสินใจอนุมัตินโยบายฉบับใหม่
ภาคผนวก 1. ส่วนประกอบ ICS ตามระเบียบวิธีของ COSO
การควบคุมภายในตามแบบจำลอง COSO "Internal Control-Integrated Framework" ประกอบด้วยห้าองค์ประกอบที่เกี่ยวข้องซึ่งมาจากวิธีการดำเนินธุรกิจและเกี่ยวข้องกับกระบวนการจัดการ ห้าองค์ประกอบประกอบด้วย:
สภาพแวดล้อมการควบคุม:สภาพแวดล้อมการควบคุมสร้างบรรยากาศในองค์กรที่มีอิทธิพลต่อการรับรู้ของบุคลากรเกี่ยวกับความสำคัญของการควบคุม เป็นพื้นฐานสำหรับองค์ประกอบอื่น ๆ ทั้งหมดของการควบคุมภายใน การจัดให้มีระเบียบและระเบียบวินัย ปัจจัยด้านสภาพแวดล้อมของการควบคุม ได้แก่ ความซื่อสัตย์ ค่านิยมทางจริยธรรม รูปแบบการจัดการ ระบบการกระจายอำนาจและความรับผิดชอบ ตลอดจนกระบวนการบริหารและพัฒนาบุคลากรในองค์กร นอกจากนี้ ประสิทธิผลของสภาพแวดล้อมการควบคุมยังขึ้นอยู่กับความเอาใจใส่ต่อประเด็นนี้ในส่วนของคณะกรรมการบริษัท
การประเมินความเสี่ยง:ทุกองค์กรต้องเผชิญกับปัจจัยภายนอกและ ความเสี่ยงภายในที่ต้องได้รับการประเมิน ข้อกำหนดเบื้องต้นสำหรับการประเมินความเสี่ยงคือคำจำกัดความของเป้าหมาย ดังนั้นการประเมินความเสี่ยงจึงเกี่ยวข้องกับการระบุและวิเคราะห์ความเสี่ยงที่เกี่ยวข้องที่เกี่ยวข้องกับการบรรลุเป้าหมายที่กำหนดไว้ การประเมินความเสี่ยงคือ เงื่อนไขที่จำเป็นการบริหารความเสี่ยง
การควบคุม:การควบคุมคือนโยบายและขั้นตอนที่ทำให้มั่นใจว่าการตัดสินใจของฝ่ายบริหารได้รับการบังคับใช้ ช่วยให้มั่นใจว่ามีการดำเนินการที่จำเป็นเกี่ยวกับความเสี่ยงที่อาจทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ได้ มีการใช้การควบคุมทั่วทั้งองค์กร ทุกระดับและในทุกหน้าที่ ซึ่งรวมถึงกิจกรรมต่างๆ เช่น การอนุมัติ การอนุญาต การตรวจสอบ การกระทบยอด รายงานกิจกรรม การเก็บรักษาทรัพย์สิน และการแบ่งแยกหน้าที่
ข้อมูลและการสื่อสาร:ข้อมูลที่จำเป็นทั้งหมดจะต้องได้รับการระบุ กำหนดรูปแบบ และสื่อสารกับพนักงานที่เกี่ยวข้องในเวลาที่เหมาะสม เพื่อให้พวกเขาสามารถปฏิบัติหน้าที่ได้อย่างเต็มที่ ระบบสารสนเทศยังมีบทบาทสำคัญในระบบควบคุมภายใน เนื่องจากประกอบด้วยข้อมูลทางการเงิน ตลอดจนข้อมูลเกี่ยวกับการดำเนินงานและการปฏิบัติตามกฎหมาย ซึ่งช่วยให้คุณสามารถจัดการและควบคุมธุรกิจได้ คำถามนี้ไม่เพียงแต่เกี่ยวกับการเผยแพร่ข้อมูลภายในของบริษัทเท่านั้น แต่ยังเป็นสิ่งสำคัญที่จะต้องแจ้งให้พนักงานทราบเกี่ยวกับเหตุการณ์และกิจกรรมภายนอกที่จำเป็นสำหรับการตัดสินใจต่างๆ การสื่อสารที่มีประสิทธิภาพในความหมายที่กว้างขึ้นควรรับประกันการไหลของข้อมูลขึ้นและลงและระหว่างแผนกต่างๆ ทั่วทั้งองค์กร เป็นสิ่งสำคัญที่บุคลากรของบริษัทจะได้รับตำแหน่งที่ชัดเจนจากผู้บริหารระดับสูงเกี่ยวกับความสำคัญของการปฏิบัติตามความรับผิดชอบในแง่ของการควบคุมภายใน สิ่งสำคัญคือพนักงานแต่ละคนต้องเข้าใจอย่างชัดเจนถึงบทบาทของตนในระบบการควบคุมภายใน และดูว่าผลงานของตนมีความสัมพันธ์กับกิจกรรมของพนักงานคนอื่นอย่างไร บุคลากรจะต้องตระหนักถึงความจำเป็นในการสื่อสารข้อมูลที่สำคัญทั้งหมดให้กับฝ่ายบริหารของบริษัท ต้องมีการสื่อสารที่มีประสิทธิภาพในเรื่องที่เกี่ยวข้องกับผลประโยชน์ของบริษัทกับบุคคลภายนอก เช่น ลูกค้า ซัพพลายเออร์ หน่วยงานกำกับดูแล และผู้ถือหุ้น
การตรวจสอบ:ระบบการควบคุมภายในจำเป็นต้องมีการตรวจสอบ - กระบวนการประเมินคุณภาพงานเป็นระยะ สิ่งนี้ทำได้โดยการตรวจสอบคุณภาพการดำเนินการของการดำเนินการบางอย่างอย่างต่อเนื่อง โดยการตรวจสอบแยกต่างหากเพื่อประเมินประสิทธิผลของกระบวนการเฉพาะ หรือโดยการผสมผสานระหว่างสองตัวเลือกนี้ มีการตรวจสอบอย่างต่อเนื่องทุกวันรวมถึง กิจกรรมสำหรับการจัดการและการจัดการกระบวนการที่เกี่ยวข้องตลอดจนกิจกรรมอื่น ๆ ในกรอบการปฏิบัติงานของเจ้าหน้าที่ ขอบเขตและความถี่ของการตรวจสอบแต่ละรายการขึ้นอยู่กับระดับของการประเมินความเสี่ยงที่เกี่ยวข้อง ตลอดจนผลการติดตามอย่างต่อเนื่องของการดำเนินการเหล่านี้ ข้อบกพร่องของการควบคุมภายในที่ระบุในระหว่างการติดตามควรได้รับการพิจารณาจากฝ่ายบริหาร และควรนำความคิดเห็นที่สำคัญที่สุดเสนอต่อผู้บริหารระดับสูงและคณะกรรมการบริษัท
การเชื่อมต่อระหว่างกันอย่างใกล้ชิดของส่วนประกอบเหล่านี้ช่วยให้มั่นใจถึงการก่อตัวของระบบแบบบูรณาการที่สามารถตอบสนองต่อความท้าทายที่เกิดขึ้นใหม่ได้อย่างรวดเร็ว ระบบการควบคุมภายในเป็นส่วนหนึ่งของกิจกรรมการดำเนินงาน ICS ที่มีประสิทธิภาพที่สุดคือหากการควบคุมถูกสร้างขึ้นในโครงสร้างพื้นฐานขององค์กรและเป็นส่วนหนึ่งของสาระสำคัญ การควบคุมในตัวช่วยเพิ่มคุณภาพและประสิทธิผลของกิจกรรม รวมทั้งช่วยหลีกเลี่ยงค่าใช้จ่ายเพิ่มเติมและช่วยให้ตอบสนองต่อเหตุการณ์บางอย่างได้เร็วขึ้น
“COSO - คณะกรรมการองค์กรผู้สนับสนุนของ Treadway Commission, USA”
คณะกรรมการองค์กรผู้สนับสนุนของ Treadway Commission(ภาษาอังกฤษ) เดอะ คณะกรรมการ ของ ผู้สนับสนุน องค์กร ของ เดอะ ลู่วิ่ง คณะกรรมการ, กกต) - เป็นองค์กรเอกชนตามความสมัครใจที่จัดตั้งขึ้นในสหรัฐอเมริกาและออกแบบมาเพื่อให้คำแนะนำที่เหมาะสมแก่ผู้บริหารองค์กรในด้านที่สำคัญของการกำกับดูแลองค์กร จริยธรรมทางธุรกิจ การรายงานทางการเงิน การควบคุมภายใน การบริหารความเสี่ยงของบริษัท และการป้องกันการฉ้อโกง