xs
xsm
sm
md
lg

COSO ERM (ตอน 2)

เผยแพร่:   โดย: MGR Online


คอลัมน์ ถนนสู่การลงทุน
ดร.กิตติพันธ์ คงสวัสดิ์เกียรติผู้อำนวยการศูนย์ศึกษาสาทรธานี
ผู้อำนวยการฝ่ายธุรกิจไซเบอร์ (RSU Cyber University)
และผู้จัดการโครงการหลักสูตร MBA มหาวิทยาลัยรังสิต

สภาพแวดล้อมของการควบคุม (Control Environment) เป็นขั้นตอนแรกของกระบวนการในการควบคุมภายในของกระบวนการ COSO Internal Control เป็นการระบุถึงกิจกรรมต่าง ๆ ของธุรกิจ ความเสี่ยงต่าง ๆ ที่อาจเกิดขึ้นกับธุรกิจ ซึ่งขั้นตอนนี้จะเป็นขั้นตอนที่สะท้อนให้เห็นถึง ทัศนคติ การยอมรับ และการปฏิบัติการของ คณะกรรมการบริหารบริษัท ผู้บริหาร และผู้ที่มีความรับผิดชอบเกี่ยวกับหน่วยงานควบคุมภายในขององค์กร

การประเมินความเสี่ยง (Risk Assessment) เป็นขั้นตอนที่สองในกระบวนการ COSO Internal Control คือการทำการประเมินถึงความเสี่ยงต่าง ๆ ที่อาจจะเกิดขึ้นกับบริษัท โดยความเสี่ยงต่าง ๆ เหล่านั้นอาจเป็นไปได้ทั้งความเสี่ยงที่เกิดขึ้นเองภายในบริษัท หรือความเสี่ยงที่เกิดขึ้นภายนอกบริษัท การประเมินความเสี่ยงนั้นอาจจะมีทั้งวิธีที่มีการประเมินอย่างเป็นรูปแบบในการประเมินเป็นเชิงปริมาณ และวิธีการประเมินที่ไม่ต้องมีรูปแบบ เพียงแต่ให้สามารถสื่อสารให้เข้าใจถึงความเสี่ยงที่เกิดขึ้นก็เป็นการเพียงพอ

การประเมินความเสี่ยงนี้ควรเป็นกระบวนการที่ประเมินอนาคตของบริษัทที่อาจจะเกิดขึ้น และควรจะต้องมีการทำการประเมินความเสี่ยงในทุกระดับชั้นการปฏิบัติงานของบริษัท ทั้งนี้กระบวนการประเมินความเสี่ยงสามารถกำหนดเป็นขั้นตอนได้ดังนี้

1. ประมาณการความสำคัญของความเสี่ยงที่จะเกิดขึ้น ว่าความเสี่ยงต่าง ๆ ที่จะเกิดขึ้นนั้นมีความสำคัญที่จะต้องดำเนินการบริหารจัดการหรือไม่

2. ประเมินถึงโอกาสหรือความถี่ของเหตุการณ์ความเสี่ยงที่จะเกิดขึ้น เพื่อเป็นการพิจารณาถึงความบ่อยครั้งของการเกิดความเสี่ยงดังกล่าว

3. พิจารณาว่าความเสี่ยงที่อาจจะเกิดขึ้นนั้นควรที่จะมีการบริหารจัดการ และจะใช้วิธีการใดในการลดความเสี่ยงดังกล่าว หรือความเสี่ยงที่เกิดขึ้นนั้นไม่ควรจะต้องมีการบริหารจัดการ อาจเป็นด้วยเพราะโอกาสที่จะเกิดความเสี่ยงนั้นต่ำมาก และเมื่อเกิดขึ้นแล้วมีผลกระทบต่อการดำเนินงานของบริษัทน้อยมาก จึงอาจไม่คุ้มค่ากับการบริหารจัดการกับความเสี่ยงดังกล่าว

กิจกรรมการควบคุม (Control Activities) เป็นกิจกรรมการตรวจสอบว่าการบริหารจัดการความเสี่ยงที่ได้ดำเนินการไปแล้วนั้นเกิดผลอย่างไร การตรวจสอบดังกล่าวควรมีการจัดทำอย่างสม่ำเสมอ เพื่อศึกษาถึงผลลัพธ์ที่ได้จากการบริหารจัดการกับความเสี่ยง กิจกรรมนี้จัดทำขึ้นเพื่อ ให้เกิดความมั่นใจได้ว่าการจัดการความเสี่ยงนั้นได้เกิดการปฏิบัติอย่างดีและถูกต้อง

การติดต่อสื่อสารและสารสนเทศ (Information and Communication) เป็นการให้ข้อมูล และเชื่อมต่อของข้อมูลให้กับทุกคนในองค์กร เพื่อนำข้อมูลเหล่านั้นไปปฏิบัติ และเป็นการรายงานการบริหารจัดการกับความเสี่ยง เพื่อให้ทุกคนในองค์กรได้รับทราบถึงความเสี่ยงที่เกิดขึ้น และผลของการบริหารจัดการความเสี่ยงเหล่านั้น

การติดตามและประเมินผล (Monitoring) เป็นกิจกรรมการติดตามตรวจสอบถึงผลการดำเนินการของกระบวนการ COSO ทั่วทั้งองค์กร

หลังจากปี ค.ศ. 1990 ที่ COSO ได้กำหนดให้มีการใช้แนวทางในการบริการจัดการกับความเสี่ยง โดยถือหลักของ Internal Control Framework ที่ที่เรามักจะได้ยินกันอย่างติดหูในปัจจุบันว่า COSO 1 นั้นเป็นแนวทางที่ได้ถูกนำมาใช้เป็นระยะเวลา 14 ปี ต่อมาใน ปี ค.ศ. 2004 COSO ได้กำหนดโครงสร้างและความหมายในการจัดการกับความเสี่ยง และนำเสนอต่อสาธารณะCOSO ERM (COSO Enterprise Risk Management) ซึ่งทำให้บริษัทต่าง ๆ สามารถนำเอาแนวทางในการบริหารจัดการกับความเสี่ยงไปใช้ได้ โดยที่ COSO ERM นั้นมีรายละเอียดดังภาพ

กำลังโหลดความคิดเห็น