การควบคุมภายใน หมายถึง กระบวนการที่ผู้บริหารและบุคลากรขององค์กรจัดให้มีขึ้น เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า การดำเนินงานขององค์กรจะบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้ตามคำจำกัดความของการควบคุมภายใน ได้กล่าวถึงเรื่องวัตถุประสงค์ของการดำเนินงานซึ่งอาจจำแนกวัตถุประสงค์ของการดำเนินงาน เป็น 3 ประเภท คือ 

1)ประสิทธิภาพและประสิทธิผลของการดำเนินงาน คือ วัตถุประสงค์พื้นฐานของการดำเนินงานในทุกองค์กร โดยมุ่งเน้นที่กระบวนการปฏิบัติงานที่มีคุณภาพ และเอื้ออำนวยให้การดำเนินงานเป็นไปตามเป้าหมายที่กำหนดไว้ ในขณะเดียวกัน ผลที่ได้รับจากกระบวนการนั้น ต้องคุ้มค่ากับต้นทุนที่ใช้ไป จึงจะทำให้เกิดความมีประสิทธิภาพ

2)ความน่าเชื่อถือของรายงานทางการเงิน คือ การจัดให้มีข้อมูลและรายงานทางการเงินที่ถูกต้อง เพียงพอ และเชื่อถือได้ เพื่อสร้างความมั่นใจให้กับผู้บริหาร บุคลากรในองค์กรและบุคคลภายนอกในการนำข้อมูลดังกล่าวไปใช้ประกอบการพิจารณาตัดสินใจในเรื่อต่างๆ

3)การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง คือ การมุ่งเน้นให้กระบวนการปฏิบัติงานเป็นไปตามกฎหมาย ระเบียบ ข้อบังคับ เงื่อนไขตามสัญญา ข้อตกลง นโยบาย และแนวทางการปฏิบัติงานต่างๆ ที่เกี่ยวข้อง การกำหนดวัตถุประสงค์ของการดำเนินงานขึ้นมานั้น ผู้บริหารจะต้องกำหนดวิธีการทำงานให้ไปสู่วัตถุประสงค์นั้น และในขณะเดียวกันก็ต้องมีการควบคุมการปฏิบัติงานต่างๆ ในองค์กรให้ดำเนินไปอย่างมีประสิทธิภาพและประสิทธิผลด้วย การควบคุมต่างๆ เหล่านี้ ก็คือ การควบคุมกระบวนการปฏิบัติงานภายในองค์กร หรือเรียกสั้นๆ ว่า การควบคุมภายในนั่นเอง (ที่มา : องค์การพิพิธภัณฑ์วิทยาศาสตร์แห่งชาติ http://www.thai-sciencemuseum.com,2019)

ดังนั้น การควบคุมภายในจะช่วยให้การดำเนินงานขององค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ จำเป็นต้องมีการปฏิบัติอย่างต่อเนื่อง สม่ำเสมอ ไม่ใช่ทำครั้งเดียวเรื่องเดียวเสร็จ และจำเป็นต้องมีการติดตามประเมินผลการควบคุมภายในอย่างเป็นระบบและมีประสิทธิผลด้วย  

องค์ประกอบการควบคุมภายใน

เมื่อทำความเข้าใจคำจำกัดความของการควบคุมภายในแล้ว ต่อไปขอกล่าวถึงองค์ประกอบที่สำคัญของการควบคุมภายใน ซึ่งจำแนก เป็น 5 องค์ประกอบที่สำคัญ ตามแนวทางของ COSO ซึ่งเป็นแม่แบบสากลของการควบคุมภายใน ประกอบด้วย

องค์ประกอบที่ 1 สภาพแวดล้อมของการควบคุม (Control Environment) หมายถึง ปัจจัยต่างๆ ที่ส่งผลต่อทัศนคติและความตระหนักถึงความจำเป็นและความสำคัญของการควบคุมภายในของบุคลากรทุกคนในองค์กร โดยบุคลากรทุกคนเข้าใจความรับผิดชอบและขอบเขตอำนาจหน้าที่ของตนเอง มีความรู้ ความสามารถ และทักษะที่จำเป็นต่อการปฏิบัติงาน รวมถึงการยอมรับและปฏิบัติตามกฎเกณฑ์และวิธีการทำงานต่างๆ ที่องค์กรกำหนดไว้  สภาพแวดล้อมของการควบคุม มีผลกระทบอย่างมากกับกระบวนการปฏิบัติงานทั้งหมดที่เกิดขึ้นในองค์กร จึงเป็นรากฐานที่สำคัญขององค์ประกอบอื่นๆ ของการควบคุมภายใน เพื่อสร้างระเบียบวินัยด้านการควบคุมภายในให้แก่ทุกคนในองค์กร และจัดให้มีโครงสร้างของการควบคุมภายในที่เหมาะสม ปัจจัยต่างๆ ต่อไปนี้เป็นปัจจัยที่ช่วยเสริมสร้างให้มีสภาพแวดล้อมของการควบคุมที่ดี ผู้ประเมินควรประเมินว่าองค์กรของท่านให้ความสำคัญกับปัจจัยเหล่านี้ มากน้อยเพียงใด •ความซื่อสัตย์และจริยธรรม ซึ่งอาจพิจารณาได้จากการกำหนดแนวทางปฏิบัติในเรื่องต่างๆ

ให้ชัดเจน แล้วแจ้งให้ทุกคนที่เกี่ยวข้องทราบ รวมไปถึงการกระทำตนเป็นแบบอย่างให้กับผู้ใต้บังคับบัญชา ทั้งคำพูดและการกระทำ•รูปแบบและปรัชญาการทำงานของฝ่ายบริหาร โดยพิจารณาจากความรู้ความสามารถ และประสบการณ์ของฝ่ายบริหารที่เป็นประโยชน์ต่อหน้าที่ที่รับผิดชอบ และความสนใจในองค์กรที่ตนเป็นผู้บริหาร•การจัดโครงสร้างองค์กรและสายการบังคับบัญชาให้เหมาะสมกับขนาดและลักษณะการดำเนินงาน•การกำหนดลักษณะงานและคุณสมบัติเฉพาะตำแหน่ง (Job Description & Job Specification) สำหรับทุกตำแหน่งงาน อย่างชัดเจน

องค์ประกอบที่ 2 การประเมินความเสี่ยง (Risk Assessment) ความเสี่ยง คือโอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล การสูญเปล่าหรือเหตุการณ์ที่ไม่พึงประสงค์ ที่ทำให้การดำเนินงานไม่บรรลุวัตถุประสงค์หรือเป้าหมายที่กำหนดไว้ ความเสี่ยงเหล่านี้อาจเกิดจากสาเหตุภายนอกหรือภายในองค์กรก็ได้ โดยเฉพาะในการดำเนินงานปัจจุบัน ภายใต้การเปลี่ยนแปลงของนโยบายรัฐบาล สภาพเศรษฐกิจ กฎระเบียบต่างๆ ทำให้แต่ละองค์กรต้องเผชิญกับความเสี่ยงมากขึ้น ถ้าองค์กรสามารถบ่งชี้และประเมินความเสี่ยงได้อย่างเหมาะสม ก็จะช่วยให้สามารถเตรียมการแก้ไขปัญหาเหล่านั้นได้ทันท่วงทีข้อควรพิจารณาในการประเมินความเสี่ยง คือ ความเสี่ยงเป็นตัวถ่วงให้การดำเนินงานไม่สำเร็จตามวัตถุประสงค์ ผู้ประเมินต้องพยายามเปลี่ยนจากวิกฤตที่องค์กรเผชิญอยู่ให้เป็นโอกาสโดยการเตรียมการให้พร้อมในการรับมือกับความเสี่ยงที่อาจจะเกิดขึ้น แต่การเตรียมการดังกล่าวไม่ได้หมายความว่า การควบคุมภายในยิ่งมากยิ่งดี การควบคุมภายในที่มากจนเกินไป อาจจะทำให้งานสะดุด แต่ถ้ามีน้อยจนเกินไป ก็จะทำให้งานไม่สำเร็จ ดังนั้น จึงต้องกำหนดการควบคุมภายในให้พอเหมาะ โดยถือหลักการที่ว่ามีความเสี่ยงมาก ควบคุมมาก มีความเสี่ยงน้อย ควบคุมน้อยการประเมินความเสี่ยงที่มีประสิทธิผลนั้น ผู้ประเมินต้องเข้าใจวัตถุประสงค์ของการดำเนินงานอย่างชัดเจนก่อน หลังจากนั้น จึงพิจารณาว่ามีความเสี่ยงอะไรบ้างในการทำงาน แล้วจึงพิจารณาว่าความเสี่ยงเหล่านั้นเกิดขึ้นบ่อยครั้งหรือไม่ และเมื่อเกิดความเสี่ยงนั้นแล้วจะส่งผลกระทบต่อการดำเนินงานมากน้อยเพียงใด หากผู้ประเมินพิจารณาแล้ว เห็นว่ายังคงมีความเสี่ยงสูงเกินกว่าที่จะยอมรับได้ จะต้องพิจารณาปรับเปลี่ยนการควบคุมภายในให้เพียงพอและเหมาะสมต่อไป

องค์ประกอบที่ 3 กิจกรรมการควบคุม (Control Activities) กิจกรรมการควบคุมเป็นองค์ประกอบที่จะช่วยให้มั่นใจได้ว่า นโยบายและกระบวนการเกี่ยวกับการควบคุมภายในกำหนดขึ้นนั้น ได้มีการนำไปปฏิบัติตามภายในองค์กรอย่างทั่วถึง นอกจากนี้ กิจกรรมการควบคุมยังช่วยสร้างความมั่นใจว่าองค์กรมีกิจกรรมที่เหมาะสมในการป้องกันหรือลดความเสี่ยงที่อาจเกิดขึ้น ดังนั้น กิจกรรมการควบคุมควรกำหนดให้สอดคล้องกับความเสี่ยงที่ประเมินได้ โดยมีข้อควรพิจารณาในการกำหนดกิจกรรมการควบคุม ดังต่อไปนี้

•กิจกรรมการควบคุมควรเป็นส่วนหนึ่งของกระบวนการปฏิบัติงานตามปกติ•กิจกรรมการควบคุมต้องสามารถป้องกันหรือลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้•ค่าใช้จ่ายในการกำหนดให้กิจกรรมการควบคุมต้องไม่สูงกว่าผลเสียหายที่คาดว่าจะเกิดขึ้น หากไม่กำหนดให้มีกิจกรรมการควบคุมปัญหาที่เกิดขึ้นกับองค์กรส่วนใหญ่ คือ การกำหนดกิจกรรมการควบคุมตามที่มีการปฏิบัติอยู่เดิม โดยมิได้พิจารณาความมีประสิทธิภาพ และความสอดคล้องกับวัตถุประสงค์ ของการดำเนินงาน และความเสี่ยงที่เปลี่ยนไปขององค์กร

องค์ประกอบที่ 4 สารสนเทศและการสื่อสาร (Information and Communication) การควบคุมภายในที่ดีจะเกิดขึ้นได้ เมื่อข้อมูลที่เกี่ยวข้องกับการดำเนินงานนั้นได้มีการบ่งชี้ รวบรวมและชี้แจงให้แก่บุคคลที่ควรทราบ โดยผ่านทางรูปแบบและเวลาการสื่อสารที่เหมาะสมข้อมูลที่มีประโยชน์ต่อการตัดสินใจ การบริหารจัดการ และการปฏิบัติงานนั้น อาจเป็นได้ทั้งข้อมูลที่เกี่ยวกับการดำเนินงาน การเงิน และการปฏิบัติตามกฎระเบียบต่างๆ โดยแหล่งข้อมูลอาจมาจากภายในหรือภายนอกองค์กร องค์ประกอบในเรื่องสารสนเทศและการสื่อสาร อาจพิจารณาประเด็นที่สำคัญได้ดังนี้•ข้อมูลเพียงพอ ถูกต้อง ภายใต้รูปแบบที่เหมาะสม และทันเวลา เพื่อช่วยสนับสนุนการตัดสินใจ การบริหารจัดการ และการปฏิบัติงานในเรื่องต่างๆ•การสื่อสารข้อมูลเกิดขึ้นอย่างทั่วถึงทั้งองค์กร จากผู้บริหารถึงพนักงานและในทางกลับกัน ระหว่างหน่วยงานหรือแผนก ระหว่างองค์กรกับบุคคลภายนอกเช่น สื่อมวลชน ผู้ออกกฎระเบียบต่างๆ•การสื่อสารอย่างชัดเจนให้บุคลากรทราบถึงความสำคัญและความรับผิดชอบต่อการควบคุมภายใน

องค์ประกอบที่ 5 การติดตามประเมินผล (Monitoring) การควบคุมภายในทั้งหลายที่จัดให้มีขึ้นนั้น จำเป็นอย่างยิ่งที่ต้องมีกลไกในการติดตามประเมินผล เพื่อให้มั่นใจว่าได้มีการปฏิบัติการควบคุมภายในนั้นอย่างสม่ำเสมอ และการปฏิบัตินั้นยังมีความเหมาะสมกับลักษณะการดำเนินงานและการเปลี่ยนแปลงที่เกิดขึ้น เพราะอย่าลืมว่า การเปลี่ยนแปลงต่างๆ ที่เกิดขึ้นอาจมีผลกระทบต่อความเสี่ยงในการดำเนินงาน และความเสี่ยงที่เปลี่ยนแปลงไป อาจจำเป็นต้องปรับปรุงการควบคุมภายในให้เหมาะสมด้วยการติดตามผล นั้นสามารถทำได้โดยรวมอยู่ในกระบวนการปฏิบัติงานนั้นๆ เช่น การที่ผู้บังคับบัญชาคอยติดตามถามไถ่ปัญหาในการทำงาน ก็ถือว่าเป็นการติดตามผลอย่างหนึ่งการประเมินผล คือ การประเมินผลการดำเนินงานเป็นระยะหรือเป็นครั้งคราว เช่น การตรวจสอบโดยหน่วยตรวจสอบภายใน ซึ่งอาจจะเป็นบุคคลในองค์กรนั้นเอง หรือการมอบหมายให้บุคคลภายนอกมาทำหน้าที่เป็นผู้ตรวจสอบภายใน หากองค์กรมีหน่วยตรวจสอบภายใน ก็ต้องส่งเสริมและพัฒนาหน่วยงานนี้ให้สามารถทำงานได้อย่างมีประสิทธิภาพและประสิทธิผลจริงๆ ดังคำกล่าวในปัจจุบันที่ว่า ผู้ตรวจสอบภายในคือที่ปรึกษาอันมีค่ายิ่งต่อผู้บริหาร วิชาชีพตรวจสอบภายในก้าวหน้าไปอย่างรวดเร็วมาก พร้อมๆ กับความสำคัญของการควบคุมภายใน การประเมินการควบคุมภายในอีกลักษณะหนึ่งที่กำลังมาแรงในปัจจุบัน คือการสร้างความรับผิดชอบในการควบคุมภายใน ให้แก่ทุกคนที่เป็นเจ้าของงานนั้น ถ้าสร้างความรับผิดชอบแบบนี้ขึ้นมาได้ ผู้บริหารก็จะบริหารงานได้อย่างเบาใจ เพราะทุกคนจะสอดส่องดูแลอย่างสม่ำเสมอให้งานที่ตนต้องรับผิดชอบนั้น สามารถบรรลุวัตถุประสงค์ได้อย่างจริงจัง การปฏิบัติแบบนี้เรียกว่า การประเมินการควบคุมด้วยตนเอง (Control Self Assessment)  

(ที่มา : องค์การพิพิธภัณฑ์วิทยาศาสตร์แห่งชาติ http://www.thai-sciencemuseum.com,2019)

การควบคุมในระบบสารสนเทศ

การควบคุมระบบสารสนเทศอาจจัดเป็นประเภทต่าง ๆ ได้หลายวิธี วิธีที่เป็นที่นิยม เช่น การจำแนกประเภทการควบคุมตามลักษณะ (Classification by setting)และการจำแนกประเภทการควบคุมตามระดับความเสี่ยง (Classification by risk aversion) การจำแนกประเภทการควบคุมตามลักษณะของการควบคุม สามารถจำแนกเป็น 2 ประเภท ได้แก่

1) การควบคุมทั่วไป

2) การควบคุมระบบงาน การจำแนกประเภทการควบคุมตามระดับความเสี่ยงอาจแบ่งได้เป็น 3 ประเภท ได้แก่

1) การควบคุมเชิงป้องกัน (Preventive control) เป็นการดำเนินการล่วงหน้าเพื่อป้องกันไม่ให้เกิด ข้อผิดพลาดหรือความเสียหายขึ้น ตัวอย่างเช่น การจัดให้มีคู่มือปฏิบัติงานเพื่อป้องกันความผิดพลาดที่เกิดขึ้นในการปฏิบัติงาน เป็นต้น

2) การควบคุมเชิงตรวจพบ (Detective control) เป็นการดำเนินการเพื่อให้สามารถตรวจพบภัยคุกคามหรือข้อผิดพลาดที่เกิดขึ้น ตัวอย่างเช่น การสอบทานความถูกต้องของข้อมูลที่ได้มีการบันทึกในระบบคอมพิวเตอร์ก่อนการประมวลผล เป็นต้น

3) การควบคุมเชิงแก้ไข (Corrective control) เป็นการดำเนินการเพื่อแก้ไขข้อผิดพลาดหรือความเสียหายที่ตรวจพบ เช่น การปรับปรุงรายการเพื่อแก้ไขข้อผิดพลาดทางการบัญชี เมื่อตรวจพบข้อผิดพลาด จากการตรวจสอบงบทดลอง เป็นต้น (ที่มา : พลพธู ปียวรรณ และกัญนิภัทธิ์ นิธิโรจน์ธนัท http://elearning.psru.ac.th,2557)

https://www.youtube.com/watch?v=9doHG_yFsng