ความหมาย วัตถุประสงค์ และองค์ประกอบของการควบคุมภายใน ของ COSO เขียนโดย จิณห์ระพีร์ พุ่มสงวน ในปี 2535 คณะกรรมการชุดหนึ่ง ซึ่งเรียกว่า The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซึ่งเป็น คณะกรรมการของสถาบันวิชาชีพ 5 สถาบัน ในสหรัฐอเมริกา อันได้แก่
ทั้ง 5 สถาบันนี้ได้ร่วมกันศึกษาวิจัย และพัฒนาแนวคิดของการควบคุมภายใน และได้ให้ความหมายของการควบคุมภายในว่า “ การควบคุมภายใน คือ กระบวนการปฏิบัติงานที่ถูกกำหนดร่วมกันโดย คณะกรรมการ ผู้บริหารตลอดจนพนักงานขององค์กรทุกระดับชั้น เพื่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า วิธีการหรือการปฏิบัติงานตามที่กำหนดไว้จะทำให้บรรลุวัตถุประสงค์ของการควบคุม ” ระบบการควบคุมภายใน ประกอบด้วยนโยบายและวิธีปฏิบัติงานที่กำหนดขึ้นในองค์กร เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า กิจการจะบรรลุวัตถุประสงค์และเป้าหมาย ในเรื่องต่อไปนี้ - ด้านการดำเนินงาน (Operation) โดยมุ่งหมายให้การปฏิบัติงานเกิดประสิทธิภาพ ประสิทธิผล และคุ้มค่า ด้วยการกำกับการใช้ทรัพยากร ทุกประเภทให้เป็นไปอย่างมีประสิทธิภาพ บรรลุเป้าหมายที่ผู้บริหารกำหนดไว้ และให้ปลอดจากการกระทำทุจริตของพนักงานหรือผู้บริหารและ หากมีความเสียหายเกิดขึ้นก็ช่วยให้ทราบถึงความเสียหายนั้นได้โดยเร็วที่สุด - ด้านการรายงานทางการเงิน(Financial Reporting)รายงานทางการเงินหรืองบการเงินไม่ว่าจะเป็นรายงานที่ใช้ภายในหรือภายนอกองค์กร ต่างต้องมีความเชื่อถือได้และทันเวลา มีคุณภาพเหมาะสมสำหรับการนำไปใช้เป็นข้อมูลประกอบการพิจารณา ตัดสินใจทางธุรกิจของนักบริหาร เจ้าหนี้ ผู้ถือหุ้น และผู้ลงทุนทั่วไป - ด้านการปฏิบัติให้เป็นไปตาม กฎ ระเบียบ และนโยบาย(Compliance with Application Laws and Regulations) การปฏิบัติงานหรือดำเนินธุรกิจ ให้สอดคล้อง หรือเป็นไปตามบทบัญญัติ ข้อกำหนดของกฎหมาย นโยบาย ข้อบังคับ ระเบียบที่เกี่ยวข้องกับการปฏิบัติงานหรือการดำเนินธุรกิจนั้น เพื่อป้องกันมิให้เกิดผลเสียหายใดๆ จากการละเว้นการปฏิบัติให้เป็นไปตามกฎ ระเบียบเหล่านั้น จากวัตถุประสงค์ที่กล่าวมาแล้วข้างต้น จะเห็นได้ว่าบางครั้งในการจัดการควบคุมภายในสามรถแยกแยะวัตถุประสงค์ได้ชัดเจนแต่บาง กรณีก็มีวัตถุประสงค์ที่เกี่ยวข้องกัน ดังนั้น จึงเป็นหน้าที่ของผู้บริหารที่จะต้องตัดสินใจว่าจะกำหนดมาตรการการควบคุมภายในเพื่อวัตถุประสงค์ อะไรต้องการเน้นชัดว่าเพื่อวัตถุประสงค์ใดวัตถุประสงค์หนึ่งเพียงอย่างเดียวหรือต้องการจัดให้มีระบบการควบคุมภายในเพื่อวัตถุประสงค์หลาย ประการที่สัมพันธ์กัน ในการทำความเข้าใจเกี่ยวกับแนวคิดของ COSO จะต้องพิจารณาในเนื้อหาอย่างลึกซึ้ง โดยองค์ประกอบทั้ง 5 มีดังนี้ 1. สภาพแวดล้อมการควบคุม (Control Environment) 2. การประเมินความเสี่ยง (Risk Assessment) 3. กิจกรรมการควบคุม (Control Activities) 4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication) 5. การติดตามและประเมินผล (Monitoring) 1. สภาพแวดล้อมของการควบคุม (Control Environment) กล่าวคือ สภาพแวดล้อมของการควบคุมเป็นองค์ประกอบที่เกี่ยวกับการสร้างจิตสำนึกและบรรยากาศของการควบคุมภายในซึ่งปัจจัย หลายๆ ปัจจัยที่นำมาพิจารณารวมกันส่งผลให้เกิดความมีประสิทธิผลของมาตรการหรือวิธีการควบคุมในองค์กร หรือทำให้มาตรการและวิธีการ ควบคุมที่ดีขึ้น โดยส่งเสริมให้ทุกคนในองค์กรตระหนักถึงความจำเป็นของระบบการควบคุมภายในและเน้นการสร้างบรรยากาศโดยผู้บริหารระดับ สูงเพื่อให้คนขององค์กรเกิดจิตสำนึกที่ดีในการปฏิบัติตามความรับผิดชอบ ดังนั้น สภาพแวดล้อมของการควบคุมที่ดีจะช่วยให้บุคลากรเข้าใจถึง ความจำเป็นและความสำคัญของการควบคุมภายใน ทั้งนี้ ปัจจัยที่แสดงให้เห็นถึงสภาพแวดล้อมของการควบคุมประกอบด้วย ความซื่อสัตย์และจริยธรรม กล่าวคือ ผู้บริหารควรจัดทำข้อกำหนดด้านจริยธรรมเป็นแนวทางการปฏิบัติ หรือมีมาตรฐานการปฏิบัติงาน โดยปัจจัยนี้ผู้ศึกษาเห็นว่า ปัจจุบันองค์กรมักจะจัดทำ Code of Conduct หรือหลักในการปฏิบัติงานที่เปรียบเสมือนกฎระเบียบขององค์กร ดังนั้นหากมีการแทรกข้อกำหนดด้านจริยธรรมอันเป็นแนวทางที่ควรปฏิบัติลงไป ก็จะทำให้เกิดความสมบูรณ์ในการนำมาใช้ในทางปฏิบัติมากขึ้น ส่วนในด้านของผู้บริหารก็จะต้องปฏิบัติตนให้เป็นแบบอย่างที่ดีอย่างสม่ำเสมอ และลดวิธีการหรือแรงจูงใจที่รุนแรง เช่น การไม่กดดัน ให้พนักงานต้องปฏิบัติงานตามเป้าหมายที่สูงเกินจริง ความรู้ ทักษะ ความสามารถเชิงแข่งขัน กล่าวคือ องค์กรควรมีการกำหนดระดับความรู้และความสามารถที่จำเป็นสำหรับการปฏิบัติงาน แต่ละอย่าง ต้องกำหนดออกมาเป็นข้อกำหนดด้านพื้นความรู้ทางการศึกษา และประสบการณ์ในการปฏิบัติงานโดยผลสำเร็จในการประเมิน องค์ประกอบด้านนี้สามารถพิจารณาได้จากการจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เพื่อให้เป็นเกณฑ์ในการพิจารณาบรรจุพนัก งานให้เหมาะสมกับหน้าที่และความรับผิดชอบ คณะกรรมการบริษัทหรือคณะกรรมการตรวจสอบ กล่าวคือ ฝ่ายบริหารระดับสูงเป็นผู้มีบทบาทสำคัญในการสร้างบรรยากาศการควบคุม ของกิจการ คณะกรรมการบริษัทเป็นเสมือนตัวแทนผู้ถือหุ้นที่จะแต่งตั้งฝ่ายบริหารระดับสูงและกำกับดูแลการปฏิบัติงานให้บรรลุผลประโยชน์ สูงสุดขององค์กร คณะกรรมการตรวจสอบเป็นส่วนหนึ่งของคณะกรรมการบริษัทที่ทำหน้าที่ส่งเสริมบรรยากาศของการควบคุมและการตรวจสอบ ทั้งภายในและการสอบบัญชีให้เป็นไปอย่างอิสระจากฝ่ายบริหาร รวมทั้งความรู้ ประสบการณ์ในการปฏิบัติงาน การตั้งคำถามที่ตรงประเด็นและ ลึกซึ้งเกี่ยวกับงานของฝ่ายบริหาร และติดตามวิเคราะห์คำตอบที่ได้ความถี่และการมีเวลาในการปฏิบัติหน้าที่และประชุมกับผู้บริหารฝ่ายการเงิน บัญชีตรวจสอบภายในและผู้สอบบัญชี ความเพียงพอและทันสมัยของสารสนเทศที่จัดให้คณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่ ติดตามการบรรลุผลของแผนกลยุทธ์ เป้าหมายของฝ่ายบริหารฐานะการเงิน ผลการดำเนินงานและปฏิบัติตามสัญญาที่สำคัญ ความเพียงพอ และทันกาลของสารสนเทศที่คณะกรรมการบริษัทและคณะกรรมการตรวจสอบมีเกี่ยวกับข้อมูลพิเศษ เช่น ค่าใช้จ่ายในการเดินทางของผู้บริหาร ระดับสูงรายงานการสืบสวนจากสถาบันกำกับดูแล การจ่ายเงินที่ผิดกฎหมาย เป็นต้น ปรัชญาและรูปแบบการทำงานของผู้บริหาร กล่าวคือ องค์ประกอบนี้เป็นสิ่งใหม่ของการบริหาร ซึ่งบางครั้งปรัชญาและสไตล์การทำงาน ผู้บริหารถูกละทิ้งความสนใจไม่เข้าใจอย่างลึกซึ้ง การทำความเข้าใจแนวโน้มทางความคิดขององค์ประกอบนี้ เช่น เป็นผู้บริหารที่กล้าเสี่ยงหรือ ชอบความระมัดระวัง ความถี่ในการติดตามงานระหว่างผู้บริหารระดับสูงกับระดับปฏิบัติการ ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ความระมัดระวังในการกำหนดประมาณการทางบัญชี การเปิดเผยข้อมูล และการไม่แสดงข้อมูลที่เป็นเท็จ รวมทั้งการส่งเสริมในงานบัญชี การ พัฒนาความรู้ของฝ่ายบัญชีเหล่านี้ล้วนเป็นสิ่งที่ทำให้สามารถทราบทิศทางองค์กรได้ว่าจะถูกวางอยู่ในจุดใดหรือมีความเสี่ยงอย่างไรบ้าง โครงสร้างการจัดองค์กร กล่าวคือ โครงสร้างขององค์กรที่ได้รับการจัดไว้ดีย่อมเป็นพื้นฐานสำคัญที่ทำให้ผู้บริหารสามารถวางแผนงาน สั่งการและควบคุมการปฏิบัติงานได้อย่างถูกต้อง รวดเร็ว และมีประสิทธิภาพ โดยการจัดโครงสร้างองค์กรให้เหมาะสมกับลักษณะของธุรกิจนั้น การมอบอำนาจและความรับผิดชอบ (Assignment of Authority and responsibility) หมายถึง การมอบอำนาจให้กับผู้ปฏิบัติงานในระดับ ปฏิบัติการควรจะต้องมีการกำหนดอย่างชัดเจน โดยในการประเมินองค์ประกอบด้านนี้จะต้องพิจารณาจาก - ความชัดเจนในการระบุความรับผิดชอบและอำนาจในการอนุมัติให้ผู้ปฏิบัติการฝ่ายต่างๆ ในการปฏิบัติงานให้ได้ตามวัตถุประสงค์ - ความเหมาะสมของมาตรฐานการควบคุมและวิธีการควบคุมที่เกี่ยวข้องรวมทั้งเอกสารที่ระบุลักษณะความรับผิดชอบในตำแหน่งงาน - ความเหมาะสมของจำนวนพนักงาน ซึ่งจะต้องมีความรู้และทักษะที่เหมาะสมกับปริมาณงานและความซับซ้อนของกิจกรรม รวม ทั้งระบบงานที่เกี่ยวข้อง นโยบายและวิธีบริหารงานด้านทรัพยากรมนุษย์ กล่าวคือ ในการบริหารองค์กรมีปัจจัยหลายอย่างที่เป็นสิ่งสำคัญแก่องค์กรไม่ว่าจะเป็น ระบบบริหารเทคโนโลยี สิ่งเหล่านี้ล้วนเป็นสิ่งที่องค์กรจะต้องพัฒนาตามยุคสมัยให้ทันแต่อย่างไรก็ตาม สิ่งที่สำคัญที่สุดขององค์กรที่จะขาด ไม่ได้ก็คือ ทรัพยากรมนุษย์ เพราะทรัพยากรมนุษย์ที่ดีเป็นปัจจัยที่ทำให้องค์กรบรรลุเป้าหมายอย่างแท้จริง ดังนั้น ฝ่ายบริหารควรกำหนดนโยบาย และวิธีบริหารงานด้านทรัพยากรมนุษย์ เช่น การว่าจ้าง การคัดเลือกบุคลากร และเมื่อได้บุคลากรที่เหมาะสมแล้ว ก็ต้องมีนโยบายในการจูงใจและ พัฒนาให้มีความรู้ความสามารถที่ทันสมัยตามทันเทคโนโลยีเปลี่ยนแปลงอยู่ตลอดเวลา การประเมินองค์ประกอบนี้ เช่น นโยบายและวิธีปฏิบัติ ในส่วนที่เกี่ยวกับการคัดเลือก การฝึกอบรม การเลื่อนตำแหน่ง และการจ่ายผลตอบแทน ความเหมาะสมของวิธีการที่ใช้เมื่อพบความประ- พฤติที่แตกต่างจากนโยบายและวิธีปฏิบัติที่กำหนด เช่น มีบทลงโทษ ความเหมาะสมในการใช้นโยบายการเลื่อนตำแหน่งและความดีความชอบ การตรวจสอบภายใน กล่าวคือ การตรวจสอบภายในถือเป็นส่วนหนึ่งของการควบคุมภายในและเป็นเครื่องมือทางการบริหารที่ทำให้ สภาพแวดล้อมของการควบคุมมีคุณภาพ ผู้ตรวจสอบภายในต้องมีความอิสระเพียงพอที่จะรายงานผลการตรวจสอบและประเมินผลให้แก่ผู้บริหาร และผู้รับผิดชอบการปฏิบัติงานที่ได้รับการตรวจสอบและประเมินผลทั้งนี้ผู้ตรวจสอบภายในควรได้รับการสนับสนุนอย่างเหมาะสมจากผู้บริหาร 2. การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยงซึ่งจัดได้ว่าเป็นเครื่องมือในการบริหารอย่างหนึ่งที่ผู้บริหารนิยมใช้ในปัจจุบัน เนื่องจากในปัจจุบันเป็นยุคการค้า ที่มีการแข่งขันอย่างเสรี ซึ่งมีคู่แข่งมากมายที่กำลังต่อสู้กับองค์กร ดังนั้น ความเสี่ยงจึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ ซึ่งการประเมินความเสี่ยงนั้น เป็นกระบวนการที่ทำให้กิจการขององค์กรทราบถึงความเสี่ยงที่กำลังจะเผชิญล่วงหน้าได้ เมื่อทราบถึงความเสี่ยงแล้วก็สามารถที่จะบริหารความ เสี่ยงเพื่อเปลี่ยนวิกฤติให้เป็นโอกาส และเพื่อลดผลกระทบความเสียหายที่จะเกิดขึ้นได้เนื่องจากเป็นการค้ายุคการแข่งขันเสรีที่มีความเสี่ยงสูง และต้องเตรียมความพร้อมในทุกสภาวการณ์ การประเมินความเสี่ยงจะทำให้ฝ่ายบริหารได้ทราบถึงปัจจัยเสี่ยงทั้งจากปัจจัยภายใน และปัจจัย ภายนอกที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์การอย่างเพียงพอและเหมาะสมโดยแบ่งได้เป็น - ปัจจัยเสี่ยงระดับกิจการอาจเกิดจากปัจจัยเสี่ยงต่างๆ ทั้งภายนอกและภายในกิจการ โดยปัจจัยเสี่ยงภายนอก เป็นปัจจัยที่เกิดจาก ภายนอกที่กิจการควบคุมไม่ได้ ซึ่งผู้บริหารต้องติดตามศึกษาเพื่อหาวิธีปฏิบัติในการเปลี่ยนวิกฤตให้เป็นโอกาส หรือลดผลเสียหายที่จะ เกิดขึ้นส่วนปัจจัยเสี่ยงภายใน เป็นปัจจัยที่เกิดจากภายในองค์กรที่ผู้บริหารสามารถจัดการได้ ซึ่งสามารถยกตัวอย่างของปัจจัยภายนอก เช่น การเปลี่ยนแปลงทางเทคโนโลยี ความต้องการและความมุ่งหวังของลูกค้าที่มีต่อสินค้าหรือบริการ กฎหมายและข้อกำหนดต่างๆของ ภาครัฐและตัวอย่างของปัจจัยภายใน เช่น ความซื่อสัตย์และจริยธรรมของผู้บริหาร ความสลับซับซ้อนของการปฏิบัติงานขวัญและกำลังใจ ของพนักงานในการปฏิบัติงานขนาดของหน่วยงาน โดยหน่วยงานใหญ่ย่อมมีโอกาสผิดพลาดสูงกว่าหน่วยงานเล็ก - ปัจจัยเสี่ยงระดับกิจกรรมเป็นปัจจัยเสี่ยงที่อาจเกิดในหน่วยงานสาขา แผนงาน โครงการ และกระบวนการปฏิบัติงานที่สำคัญ เช่น การจัดหาการตลาด เป็นต้น หลังจากระบุปัจจัยเสี่ยงแล้ว ขั้นต่อมาที่สำคัญก็คือ การวิเคราะห์และจัดระดับความเสี่ยง หากปัจจัยเสี่ยงใดสามารถคำนวณจำนวน ที่อาจเกิดขึ้นได้โดยตรงในเชิงปริมาณ เช่น การใช้สูตรคำนวณจำนวนค่าความเสียหาย ก็ให้ประเมินและจัดระดับความเสี่ยง ไปตามความสำคัญ ของจำนวนที่คำนวณได้ หากการวิเคราะห์และจัดระดับความเสี่ยงโดยใช้สูตรคำนวณเป็นไปได้ยาก อาจต้องใช้วิธีการให้คะแนนเชิงเปรียบเทียบ แทน เช่น การให้ระดับ 1-3 โดย 1 = ไม่พอใจ 2 = ปานกลาง และ 3 = พอใจ เป็นต้น หลังจากนั้นผู้บริหารควรกำหนดวิธีการบริหารความเสี่ยง และตัดสินใจเกี่ยวกับกิจกรรมควบคุมภายในที่จำเป็นเพื่อลดหรือบรรเทาความ เสี่ยงเหล่านั้นและเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ด้านประสิทธิภาพ ประสิทธิผลของการดำเนินงาน รายงานทางการเงินและการดำเนิน งานเป็นที่น่าเชื่อถือ และการปฏิบัติที่เป็นไปตามกฎหมาย และระเบียบข้อบังคับ ผู้บริหารระดับส่วนงาน หรือผู้ประเมินควรจะต้องเน้นการให้ความ สำคัญเกี่ยวกับกระบวนการบริหาร ในการกำหนดวัตถุประสงค์การระบุความเสี่ยง การวิเคราะห์ความเสี่ยงและการบริหารความเสี่ยง ในช่วงของการเปลี่ยนแปลงและบางเรื่องมีลักษณะเป็นนามธรรมซึ่งต้องใช้ดุลยพินิจ แต่เรื่องเหล่านี้มีความสำคัญในการใช้ประเมิน ความเสี่ยงว่าเหมาะสมเพียงพอหรือไม่ ซึ่งการบริหารความเสี่ยงนั้น COSO ได้กำหนดวิธีการตอบสนองความเสี่ยงไว้พอสรุปได้ดังนี้ 1) การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) หมายถึงการเลิกหรือหลีกเลี่ยงการกระทำเหตุการณ์ที่ก่อให้เกิดความเสี่ยง เช่น การกระทำงานที่องค์กรไม่ถนัด อาจหลีกเลี่ยงโดยการไม่กระทำ หรือจ้างบุคคลภายนอก เป็นต้น 2) การลดความเสี่ยง (Risk Reduction) หมายถึงการลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย หรือการลดทั้งสองด้าน พร้อมกันการลดความเสี่ยงที่สำคัญคือ การจัดระบบการควบคุมเพื่อป้องกัน หรือค้นพบความเสี่ยงเฉพาะวัตถุประสงค์นั้นอย่าง เหมาะสม ทันกาลมากขึ้นรวมถึงการกำหนดแผนสำรองในกรณีมีเหตุการณ์ฉุกเฉิน 3) การแบ่งความเสี่ยง (Risk Sharing) หมายถึงการลดโอกาสความน่าจะเกิดหรือการลดความเสียหาย โดยการแบ่ง การโอนการ หาผู้รับผิดชอบร่วมในความเสี่ยง เช่น การจัดประกันภัย 4) การยอมรับความเสี่ยง (Risk Acceptance) หมายถึงการไม่กระทำการใดๆ เพิ่มเติมกรณีนี้ใช้กับความเสี่ยงที่มีสาระสำคัญน้อย ความเสี่ยงน่าจะเกิดน้อย หรือเห็นว่ามีต้นทุนในการบริหารความเสี่ยงสูงกว่าผลที่ได้รับ 3. กิจกรรมการควบคุม (Control Activities) หมายถึง การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นไปตามนโยบาย วิธีปฏิบัติงาน และคำสั่งต่างๆ ที่ฝ่ายบริหารกำหนด ซึ่งจะต้องเป็นการกระทำที่ถูกต้องและในเวลาที่เหมาะสม จะเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด กิจกรรมการควบคุมภายใน สามารถแบ่งออกตามประเภทของการควบคุมได้ดังต่อไปนี้
พลาดซ้ำอีกในอนาคต
4. ข้อมูลสารสนเทศ และการสื่อสารในองค์กร (Information and Communication) การสื่อสารและสารสนเทศนี้ ถือเป็นองค์ประกอบสำคัญต่อการควบคุมภายในยุคปัจจุบัน ซึ่งนับได้ว่าเป็นยุคของข้อมูลข่าวสารและ ถ้าข้อมูลข่าวสารมีความทันสมัยก็จะทำให้องค์กรรับรู้ข้อมูลได้ทันท่วงที มีความได้เปรียบทางด้านธุรกิจ และสามารถเพิ่มประสิทธิภาพให้กับ การบริหารองค์กรได้ดีอีกด้วย แต่อย่างไรก็ตาม ความถูกต้องของข้อมูลข่าวสารก็ถือว่าเป็นสิ่งสำคัญยิ่งไม่แพ้กัน ดังนั้น ควรให้ผู้ปฏิบัติงานที่ เกี่ยวข้องได้เข้าถึงหรือรับทราบข้อมูลที่เกี่ยวข้องผ่านเครื่องมือต่างๆ โดยสามารถแบ่งได้ ดังนี้ ข้อมูลสารสนเทศ (Information) เป็นข้อมูลที่มีความจำเป็นสำหรับการปฏิบัติงานของบุคลากรทั้งผู้บริหารและผู้ปฏิบัติงานทุกระดับ โดยผู้บริหารต้องใช้ข้อมูลประกอบการพิจารณาสั่งการ ส่วนผู้ปฏิบัติงานมักใช้ข้อมูลสารสนเทศเป็นเครื่องชี้นำทิศทางการปฏิบัติหน้าที่ ข้อมูล สารสนเทศที่ดีที่ควรจัดให้มีในทุกๆ องค์กรควรมีลักษณะดังนี้คือ 1) ความเหมาะสมกับการใช้ หมายถึง สารสนเทศมีเนื้อหาสาระที่จำเป็นต่อการตัดสินใจของผู้ใช้ 2) ความถูกต้องสมบูรณ์ หมายถึง สารสนเทศที่สามารถสะท้อนผลตามความจำเป็นและให้ข้อมูลที่เป็นจริงและมีรายละเอียดที่ จำเป็นครบถ้วน 3) ความเป็นปัจจุบัน หมายถึง การให้ตัวเลขและข้อเท็จจริงล่าสุดที่เป็นปัจจุบันสามารถใช้เป็นข้อมูลที่เชื่อถือได้สำหรับประกอบ การตัดสินใจได้ทันเวลา 4) สะดวกในการเข้าถึง หมายถึง ความยากง่ายสำหรับผู้ที่มีอำนาจหน้าที่ที่เกี่ยวข้อง และมีระบบรักษาความปลอดภัย ป้องกัน ผู้ที่ไม่มีส่วนเกี่ยวข้องให้ไม่สามารถเข้าถึงข้อมูลสารสนเทศที่มีความสำคัญหรือข้อมูลที่เป็นความลับได้ ในการจัดให้มีสารสนเทศที่ดีเป็นหน้าที่ของผู้บริหารที่จะจัดหาบุคลากรที่มีความรู้ ความสามารถ และประสบการณ์ทางวิชาชีพ รวมทั้งการ จัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบงานที่ดี และประสบการณ์ทางวิชาชีพ รวมทั้งการจัดหาเครื่องมือ เครื่องใช้ เทคโนโลยี และระบบ งานที่ดี เพื่อให้มีการปฏิบัติตามระบบงานที่กำหนดไว้อย่างสม่ำเสมอและควบคุมการปฏิบัติให้เป็นไปตามระเบียบที่กำหนดไว้อย่างเคร่งครัด การสื่อสาร (Communication) การสื่อสารที่มีประสิทธิภาพนั้น หมายถึง การจัดระบบการสื่อสารให้ข้อมูลส่งไปถึงผู้ที่ควรได้รับและระบบ การสื่อสารที่ดีนั้น จะต้องประกอบด้วยทั้งระบบการสื่อสารกันภายในองค์กรหรือการสื่อสารที่เกิดขึ้นภายในองค์กรเดียวกันซึ่งควรจัดให้เป็น รูปแบบการสื่อสารสองทาง และอีกระบบคือการสื่อสารภายนอกซึ่งเป็นการสื่อสารกับลูกค้าหรือบุคคลอื่นๆ นอกองค์กร 5. การติดตามและประเมินผล (Monitoring and Evaluation) การควบคุมภายในขององค์กรจะสมบูรณ์ไม่ได้หากขาดการติดตามและประเมินผล เพราะเป็นองค์ประกอบสำคัญที่ทำให้ผู้บริหารมั่นใจ ได้ว่า มาตรการและระบบการควบคุมภายในมีประสิทธิผลและได้รับการปรับปรุงให้ทันสมัยอยู่ตลอดเวลา - การติดตามผลระหว่างการดำเนินงาน (On Going Monitoring) หมายถึง การสังเกต การติดตาม ระบบรายงานความคืบหน้าของงาน รวมทั้งการสอบทานหรือการยืนยันผลงานระหว่างการปฏิบัติงาน - การประเมินผลอิสระ (Independent Evaluation) เป็นการประเมินผลที่เกิดขึ้นในช่วงเวลาที่แล้วแต่จะกำหนด หรือการประเมินอิสระอาจ หมายถึง การประเมินโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดระบบควบคุมภายใน เพื่อให้สามารถแสดงความเห็นได้อย่างเป็นอิสระ เช่น การประเมินจากผู้ตรวจสอบภายใน เป็นต้น - การประเมินการควบคุมด้วยตนเอง (Control Self Assessment : CSA) เป็นการจัดประชุมเชิงปฏิบัติร่วมกัน ระหว่างผู้บริหาร ผู้ปฏิบัติ งานผู้มีความรู้ด้านการควบคุม และผู้อื่นที่มีส่วนเกี่ยวข้อง เพื่อกำหนดกิจกรรมควบคุมและประเมินผลร่วมกัน ในด้านที่ได้รับมอบ หมายให้ดำเนินงานนั้น การรายงานผลการประเมินและการสั่งการแก้ไข ต้องจัดทำรายงานผลการประเมินที่สำคัญเสนอผู้บริหารที่รับผิดชอบ เช่น การจัดทำ รายงานแสดงผลความคลาดเคลื่อนของการดำเนินงานเป็นระยะๆ โดย จิณห์ระพีร์ พุ่มสงวน |