การควบคุมภายใน และหลักการพื้นฐานของ COSO

          การควบคุมภายใน เป็นกระบวนการ ที่ทำให้บังเกิดผลโดยคณะกรรมการ ผู้บริหาร และบุคลากร ออกแบบมาเพื่อให้ความมั่นใจอย่างสมเหตุสมผล ในการบรรลุวัตถุประสงค์ด้านการปฏิบัติงาน การรายงาน และการปฏิบัติตามกฎระเบียบ

วัตถุประสงค์การควบคุมภายใน

1) วัตถุประสงค์ด้านการดำเนินงาน

2) วัตถุประสงค์ด้านการรายงาน

3) วัตถุประสงค์ด้านการปฏิบัติตามกฎระเบียบ

•   องค์ประกอบทั้ง 5 ของการควบคุมภายใน สนับสนุนวัตถุประสงค์ได้ทั้งสามข้อ ไม่จำเป็นต้องเจาะจงข้อใดข้อหนึ่ง แต่อาจเน้นข้อใดข้อหนึ่งเป็นพิเศษได้
•   องค์ประกอบทั้ง 5 ต้องครอบคลุมทั่วทั้งองค์กร

ประสิทธิผลของการควบคุมภายใน    

          การควบคุมภายในจะมีประสิทธิผล ต่อเมื่อ

1) องค์ประกอบ (Component) ของหลักการทุกข้อที่สัมพันธ์กับองค์ประกอบ ต้องมีอยู่ (Presenting) และปฏิบัติจริง (Functioning)

2) องค์ประกอบทั้ง 5 ทำงานอย่างสอดคล้องและสัมพันธ์กัน

ความสัมพันธ์ระหว่างการควบคุม ประเด็นสำคัญ หลักการ และองค์ประกอบ

องค์ประกอบ การควบคุมภายใน COSO 2013

ประกอบด้วย 5 องค์ประกอบ 17 หลักการ

องค์ประกอบที่ 1: สภาพแวดล้อมการควบคุม (Control Environment)

     หลักการที่ 1 - องค์กรยึดหลักความซื่อตรงและจริยธรรม

     หลักการที่ 2 - คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำกับดูแล

     หลักการที่ 3 - คณะกรรมการและฝ่ายบริหาร มีอำนาจการสั่งการชัดเจน

     หลักการที่ 4 - องค์กร จูงใจ รักษาไว้ และจูงใจพนักงาน

     หลักการที่ 5 – องค์กรผลักดันให้ทุกตำแหน่งรับผิดชอบต่อการควบคุมภายใน

องค์ประกอบที่ 2: การประเมินความเสี่ยง (Risk Assessment)

     หลักการที่ 6 - กำหนดเป้าหมายชัดเจน

     หลักการที่ 7 - ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม

     หลักการที่ 8 - พิจารณาโอกาสที่จะเกิดการทุจริต

     หลักการที่ 9 – ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน

องค์ประกอบที่ 3: กิจกรรมการควบคุม (Control   Activities)

     หลักการที่ 10 - ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

     หลักการที่ 11 - พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม

     หลักการที่ 12 – ควบคุมให้นโยบายสามารถปฏิบัติได้

องค์ประกอบที่ 4: สารสนเทศและการสื่อสาร (Information   and Communication)

     หลักการที่ 13 - องค์กรมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ

     หลักการที่14 - มีการสื่อสารข้อมูลภายในองค์กร ให้การควบคุมภายในดำเนินต่อไปได้

     หลักการที่ 15 - มีการสื่อสารกับหน่วยงานภายนอก ในประเด็นที่อาจกระทบต่อการควบคุมภายใน

องค์ประกอบที่ 5: กิจกรรมการกำกับติดตามและประเมินผล   (Monitoring   Activities)

     หลักการที่ 16 - ติดตามและประเมินผลการควบคุมภายใน

     หลักการที่ 17 - ประเมินและสื่อสารข้อบกพร่องของการควบคุมภายในทันเวลา และเหมาะสม

ทั้งนี้ องค์ประกอบการควบคุมภายในแต่ละองค์ประกอบและหลักการจะต้อง Present & Function (มีอยู่จริง และ นำไปปฏิบัติได้) อีกทั้งทำงานอย่างสอดคล้องและสัมพันธ์กัน จึงจะทำให้การควบคุมภายในมีประสิทธิผล

Point of Focus ในแต่ละองค์ประกอบ

องค์ประกอบที่ 1: สภาพแวดล้อมการควบคุม (Control Environment)

     หลักการที่ 1 – องค์กรยึดหลักความซื่อตรงและจริยธรรม

1.1)       แสดงให้เห็นโดยผ่านคำสั่ง การกระทำ พฤติกรรม

1.2)       จัดทำมาตรฐานของจรรยาบรรณ

1.3)       ประเมินการยึดมั่นในมาตรฐานของจรรยาบรรณ

1.4)       รายงานการเบี่ยงเบนในเวลาที่เหมาะสม

     หลักการที่ 2 – คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำกับดูแล

 2.1)    กำหนดความรับผิดชอบในการกำกับดูแล

 2.2)    กรรมการบริษัทมีความรู้ความชำนาญที่เกี่ยวข้องกับธุรกิจ

 2.3)    ดำเนินการอย่างเป็นอิสระ จากฝ่ายบริหาร

 2.4)    กำกับดูแลในเรื่องสภาพแวดล้อมของการควบคุม การประเมินความเสี่ยง กิจกรรมการควบคุม ข้อมูลสารสนเทศและการสื่อสาร และการติดตามประเมินผล

     หลักการที่ 3 - คณะกรรมการและฝ่ายบริหาร มีอำนาจการสั่งการชัดเจน

 3.1)   พิจารณาโครงสร้างทั้งหมดของกิจการ

 3.2)   กำหนดสายการรายงาน

 3.3)   กำหนด มอบหมาย และจำกัดขอบเขตของอำนาจหน้าที่และความรับผิดชอบ

     หลักการที่ 4 - องค์กร จูงใจ รักษาไว้ และจูงใจพนักงาน

 4.1)   วางนโยบายและวิธีปฎิบัติเกี่ยวกับการบริหารบุคลากร

 4.2)   ประเมินความสามารถรายบุคคลและระบุส่วนที่ยังขาดอยู่เพื่อปรับปรุงแก้ไข

 4.3)   จูงใจ พัฒนาและรักษาบุคคลากร

 4.4)   วางแผนและเตรียมสรรหาผู้สืบทอดตำแหน่ง (Succession)

     หลักการที่ 5 – องค์กรผลักดันให้ทุกตำแหน่งรับผิดชอบต่อการควบคุมภายใน

 5.1)   บังคับให้มีความรับผิดชอบต่อการควบคุมภายในผ่านโครงสร้างองค์กร อำนาจหน้าที่และความรับผิดชอบ

 5.2)   กำหนดตัวชี้วัดผลการปฏิบัติงาน การสร้างแรงจูงใจและการให้รางวัล

 5.3)   ประเมินตัวชี้วัดผลการปฏิบัติงาน สิ่งจูงใจ และรางวัลอย่างต่อเนื่อง

 5.4)   พิจารณาความกดดันในการทำงานที่มากเกินไป

 5.5)   ประเมินผลกาปฏิบัติงาน การให้รางวัล และการลงโทษพนักงานเป็นรายบุคคล

องค์ประกอบที่ 2: การประเมินความเสี่ยง (Risk Assessment)

     หลักการที่ 6 – กำหนดเป้าหมายชัดเจน

 6.1)   องค์กรปฏิบัติตามมาตรฐานบัญชีที่รับรองโดยทั่วไป

 6.2)   องค์กรกำหนดสาระสำคัญของรายงานทางการเงิน

 6.3)   รายงานทางการเงินสะท้อนถึงกิจกรรมขององค์กร

 6.4)   คณะกรรมการอนุมัติและสื่อสารนโยบายบริหารความเสี่ยงให้ผู้บริหารและพนักงานรับทราบ และเป็นส่วนหนึ่งของวัฒนธรรมองค์กร

     หลักการที่ 7 – ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม

 7.1)   ระบุความเสี่ยงทุกประเภท ทั้งระดับ องค์กร ฝ่ายงาน

 7.2)   วิเคราะห์ความเสี่ยงทั้งปัจจัยภายใน/ภายนอก

 7.3)  ให้ผู้บริหารทุกระดับมีส่วนร่วม

 7.4)   ประเมินนัยสำคัญของความเสี่ยงที่ระบุ

 7.5)   กำหนดว่าจะตอบสนองความเสี่ยงอย่างไร

     หลักการที่ 8 – พิจารณาโอกาสที่จะเกิดการทุจริต

 8.1)   ประเมินโอกาสที่จะเกิดการทุจริตประเภทต่างๆ

 8.2)   ทบทวนเป้าหมาย แรงจูงใจและแรงกดดัน

 8.3)   คณะกรรมการตรวจสอบได้พิจารณาและสอบถามผู้บริหารเกี่ยวกับโอกาสเกิดทุจริต และมาตรการป้องกัน

 8.4)   บริษัทได้สื่อสารให้พนักงานปฏิบัติตามนโยบาย

     หลักการที่ 9 – ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน

 9.1)   ประเมินการเปลี่ยนแปลงสภาพแวดล้อมภายนอก

 9.2)   ประเมินการเปลี่ยนแปลงรูปแบบการทำธุรกิจ

 9.3)   ประเมินการเปลี่ยนแปลงผู้นำองค์กร

องค์ประกอบที่ 3: กิจกรรมการควบคุม (Control   Activities)

     หลักการที่ 10 – ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

 10.1)  การควบคุมเหมาะสมกับความเสี่ยง และลักษณะเฉพาะขององค์กร สภาพแวดล้อม ลักษณะของงาน

 10.2)  มีมาตรการการควบคุมภายในที่กำหนดเป็นลายลักษณ์อักษร เช่น นโยบาย คู่มือ ระเบียบ

 10.3)  กำหนดกิจกรรมควบคุมให้มีความหลากหลายอย่างเหมาะสมการผสมผสานของกิจกรรมการควบคุมหลายๆประเภท

 10.4)  กำหนดให้มีการควบคุมทุกระดับขององค์กร

 10.5)  มีการแบ่งแยกหน้าที่ ผู้อนุมัติ ผู้บันทึก ผู้ดูแลเก็บรักษา

     หลักการที่ 11 – พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม

 11.1)  กำหนดความเกี่ยวข้องกันของการใช้ IT ในกระบวนการธุรกิจกับการควบคุมทั่วไปทางด้าน ITให้เหมาะสม

 11.2)  กำหนดกิจกรรมการควบคุมด้านโครงสร้างพื้นฐานให้เหมาะสม

 11.3)  กำหนดกิจกรรมการควบคุมด้านความปลอดภัยให้เหมาะสม

 11.4)  กำหนดกิจกรรมการควบคุมด้านการจัดหา การพัฒนา และดูแลรักษาระบบ

     หลักการที่ 12 – ควบคุมให้นโยบายสามารถปฏิบัติได้

 12.1)  มีนโยบายที่รัดกุมเพื่อติดตามการทำธุรกรรมของผู้ถือหุ้นรายใหญ่ กรรมการ ผู้บริหาร

 12.2)  มีนโยบายเพื่อให้การอนุมัติการทำธุรกรรมกระทำโดยผู้ที่ไม่มีส่วนได้เสีย

 12.3)  มีนโยบายเพื่อให้การอนุมัติธุรกรรมคำนึงถึงประโยชน์สูงสุดของบริษัท เสมือนเป็นรายการที่ทำกับบุคคลภายนอก(at arms’ length basis)

 12.4)  มีกระบวนการติดตามดูแลการดำเนินงานของบริษัทย่อย บริษัทร่วม

 12.5)  กำหนดหน้าที่และความรับผิดชอบในการนำนโยบายไปปฏิบัติ

 12.6)  นโยบายและกระบวนการปฏิบัติได้รับการนำไปใช้ในเวลาที่เหมาะสม

 12.7)  ทบทวนนโยบายและกระบวนการทำงานให้เหมาะสมอยู่เสมอ

องค์ประกอบที่ 4: สารสนเทศและการสื่อสาร (Information   and Communication)

     หลักการที่ 13 – องค์กรมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ

 13.1)  ระบุสารสนเทศที่ต้องการใช้ในการดำเนินงาน

 13.2)  พิจารณา ต้นทุน ประโยชน์ รวมทั้งปริมาณและความถูกต้องของข้อมูล

 13.3)  ดำเนินการเพื่อให้กรรมการมีข้อมูลที่เพียงพอในการตัดสินใจ

 13.4)  ดำเนินการเพื่อให้กรรมการได้รับหนังสือเชิญประชุมและเอกสารล่วงหน้าก่อนการประชุมตามที่กฎหมายกำหนด

 13.5)  ดำเนินการเพื่อให้รายงานการประชุมมีรายละเอียดสามารถสอบย้อนได้

 13.6)  องค์กรมีการดำเนินการดังนี้ เก็บเอกสารเป็นระบบ แก้ไขข้อบกพร่องการควบคุม ตามความเห็นผู้สอบ

     หลักการที่14 - มีการสื่อสารข้อมูลภายในองค์กร ให้การควบคุมภายในดำเนินต่อไปได้

 14.1)  มีกระบวนการสื่อสารข้อมูลอย่างมีประสิทธิภาพ มีช่องทางที่เหมาะสม

 14.2)  มีการรายงานข้อมูลที่สำคัญถึงกรรมการอย่างสม่ำเสมอ

 14.3)  จัดให้มีช่องทางสื่อสารลับเพื่อแจ้งเบาะแสเกี่ยวกับการทุจริต

     หลักการที่ 15 - มีการสื่อสารกับหน่วยงานภายนอก ในประเด็นที่อาจกระทบต่อการควบคุมภายใน

 15.1)  สื่อสารกับผู้มีส่วนได้เสียภายนอกอย่างมีประสิทธิภาพ มีช่องทางที่เหมาะสม

 15.2)  มีช่องทางสื่อสารลับ สำหรับผู้มีส่วนได้เสียภายนอก แจ้งเบาะแสการทุจริต

องค์ประกอบที่ 5: กิจกรรมการกำกับติดตามและประเมินผล   (Monitoring   Activities)

     หลักการที่ 16 - ติดตามและประเมินผลการควบคุมภายใน

 16.1)  จัดให้มีการติดตามการปฏิบัติตามจริยธรรมธุรกิจและข้อกำหนด ในลักษณะที่อาจก่อให้เกิดความขัดแย้งทางผลประโยชน์

 16.2)  จัดให้มีการตรวจสอบการปฏิบัติตามระบบการควบคุมภายในที่วางไว้ โดยการประเมินตนเอง และ/หรือการประเมินโดยผู้ตรวจสอบภายใน

 16.3)  ความถี่การติดตามและประเมินผล มีความเหมาะสมกับการเปลี่ยนแปลงของบริษัท

 16.4)  ติดตามและประเมินผลการควบคุมภายใน โดยผู้มีความรู้ความสามารถ

 16.5)  กำหนดแนวทางการรายงานผลการตรวจสอบภายใน ขึ้นตรงต่อคณะกรรมการตรวจสอบ

 16.6)  ส่งเสริมให้ผู้ตรวจสอบภายในปฏิบัติหน้าที่ตามมาตรฐานสากล การปฏิบัติงานวิชาชีพการตรวจสอบภายใน

     หลักการที่ 17 - ประเมินและสื่อสารข้อบกพร่องของการควบคุมภายในทันเวลา และเหมาะสม

 17.1)  ประเมินผลและสื่อสารข้อบกพร่องของการควบคุมภายใน และดำเนินการแก้ไขอย่างทันท่วงที

 17.2)  รายงานต่อคณะกรรมการบริษัททันทีที่เกิดเหตุการณ์ทุจริตร้ายแรง การฝ่าฝืนกฎหมาย หรือการกระทำที่ผิดปกติ ซึ่งกระทบชื่อเสียงและฐานะการเงินบริษัทอย่างมีนัยสำคัญ

 17.3)  รายงานข้อบกพร่องที่เป็นสาระสำคัญ พร้อมแนวทางแก้ไข ต่อคณะกรรมการบริษัท/คณะกรรมการตรวจสอบ ในเวลาอันควร

ผู้ที่ต้องปฏิบัติตาม

ผู้ที่ต้องปฏิบัติตาม แนวทางการควบคุมภายในแนวใหม่ COSO 2013

- บริษัทที่จดทะเบียนในตลาดหลักทรัพย์

- บริษัทที่กำลังจะเข้าตลาดหลักทรัพย์

- บริษัทที่มีประชาชนเป็นผู้ถือหุ้น

โดยผู้ที่ต้องปฏิบัติตามแนวทางการควบคุมภายใน COSO 2013 จะมีการเปลี่ยนแปลงที่ต่างจาก COSO 1992 ดังนี้

     1) การเปลี่ยนแปลงแบบประเมินความเพียงพอของระบบการควบคุมภายใน จากเดิมที่พัฒนาจาก COSO 1992 เป็นรูปแบบใหม่ที่พัฒนาจาก COSO 2013

     2) การเปิดเผยข้อมูลของหัวหน้างานตรวจสอบภายใน (CAE) และผู้ดำรงตำแหน่งหัวหน้างานกำกับดูแลการปฏิบัติงานของบริษัท (Compliance) ในแสดงข้อมูลประจำปี 56-1 และหนังสือชี้ชวน (69-1) โดยคณะกรรมการตรวจสอบ ต้องแสดงความเห็นต่อคุณสมบัติของหัวหน้างานดังกล่าวด้วย

การเปลี่ยนแปลงที่สำคัญจาก COSO 1992 (1992 VS. 2013)

1. Good Governance
2. IT control
3. Globalization & Business Model
4. Internal & External Reporting
5. Fraud
6. Financial & Non-financial Internal Control Report
7. Internal & External Parties
8. Risk Tolerance/ Risk Appetite
9. Responsibility & Accountability Of Internal Control
10. Compliance & Operational Risk and Control
11. Begin with “verb” in the Point of Focus
12. Structure: Principle/Point of focus, being close to other Standard but not similar
13. Apply for big and small , Overall enterprise and business process
14. Evaluation/Underline “integration” in evaluation

ทั้งนี้ วัตถุประสงค์ของการปรับปรุง COSO 2013

- เพื่อปรับปรุงวัตถุประสงค์ของ COSO ให้สอดคล้องกับการเปลี่ยนแปลงทางธุรกิจ และสภาพแวดล้อมการปฏิบัติงานที่เปลี่ยนแปลงไป

- เพื่อขยายวัตถุประสงค์ของ COSO ในเรื่องของ การปฏิบัติงาน และการปฏิบัติตามกฎเกณฑ์ที่กำหนด มากกว่าเฉพาะด้านการรายงานเพียงอย่างเดียว

- เพื่อให้ความกระจ่างและเป็นแนวทางสำหรับการประเมินการควบคุมภายใน

เกี่ยวกับ COSO

COSO  คือ กรอบแนวคิดการควบคุม เพื่อช่วยให้ผู้ปฏิบัติงานบรรลุเป้าหมาย ทั้งเรื่องของการปฏิบัติงานอย่างมีประสิทธิภาพ ประสิทธิผล ความถูกต้องครบถ้วนของรายงาน และการปฏิบัติตามกฎเกณฑ์ที่กำหนด

COSO ย่อมาจาก Committee of Sponsoring of the Treadway Commission เป็นคณะทำงาน ที่ก่อตั้งขึ้น โดยคณะกรรมาธิการของประเทศสหรัฐอเมริกา ที่ชื่อว่า Treadway Commission ในปี 1985 โดยจัดตั้งขึ้น เพื่อศึกษาและพัฒนาแนวทางการบริหารความเสี่ยง รูปแบบการควบคุมภายในที่มีประสิทธิผล และป้องกันการทุจริตของรายงานทางการเงิน

ทั้งนี้ COSO ประกอบด้วย ผู้แทนจากสถาบันวิชาชีพ 5 แห่ง ในประเทศสหรัฐอเมริกา ได้แก่

Ø  สถาบันผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา: American Institute of Certified Public Accountants (AICPA)

Ø  สถาบันผู้ตรวจสอบภายในสากล: Institute of Internal Auditors (IIA)

Ø  สถาบันผู้บริหารการเงิน: Financial Executives Institute (FEI)

Ø  สมาคมนักบัญชีแห่งสหรัฐอเมริกา: American Accounting Association (AAA)

Ø  สถาบันนักบัญชีเพื่อการบริหาร: Institute of Management Accountants (IMA)

ค.ศ. 1985 มีการจัดตั้งคณะกรรมาธิการของประเทศสหรัฐอเมริกา ที่ชื่อว่า Treadway Commission โดยตั้งขึ้นเพื่อป้องกันการทุจริตของรายงานทางการเงิน

ค.ศ. 1987 Treadway Commission ได้เสนอให้ตั้งคณะทำงาน ในนามว่า Committee of Sponsoring of the Treadway Commission หรือ COSO เพื่อศึกษาและพัฒนารูปแบบการควบคุมภายในที่มีประสิทธิผล

ค.ศ. 1992 COSO ได้เสนอรายงานกรอบการควบคุมภายใน (Internal Control – Integrated Framework) ประกอบด้วยองค์ประกอบของการควบคุมภายใน 5 ด้านที่สัมพันธ์กัน กรอบงานการควบคุมนี้ บางทีเรียกกันว่า COSO 1

ค.ศ. 2004 COSO ได้เสนอกรอบงานการประเมินความเสี่ยงระดับองค์การ (Enterprise Risk Management- Integrated Framework) ประกอบด้วยองค์ประกอบ  8  ด้านที่สัมพันธ์กัน ซึ่งพัฒนาจากกรอบงานการควบคุมภายในที่มีองค์ประกอบ 5 ด้าน และองค์ประกอบเหล่านี้ใช้เป็นเกณฑ์ในการประเมินความเพียงพอของการบริหารความเสี่ยงและการควบคุม กรอบงาน การควบคุมนี้ บางทีเรียกกันว่า COSO 2

ค.ศ. 2006 COSO ได้ประกาศแนวทางการควบคุมภายในด้านการจัดทำงบการเงิน ประกอบด้วย 5 องค์ประกอบ และ 20 หลักการ โดยได้ดัดแปลงกรอบงานการควบคุมภายในเดิม (COSO 1) เพื่อลดต้นทุนในการควบคุมภายในด้านการจัดทำงบการเงินตามกฎหมาย US. Sarbanes – Oxley Act (2002) สำหรับกิจการขนาดเล็ก Internal Control over Financial Report – Guidance  for Small Public Companies แนวทางนี้นิยมเรียกกันว่า COSO 3

ค.ศ. 2009 COSO 4 เป็นแนวทางด้านการกำกับติดตาม Guidance on Monitoring of Internal Control

ค.ศ. 2013 COSO ได้ประกาศแนวทางการควบคุมภายในด้านการจัดทำรายงานทางการเงินและรายงานที่ไม่ใช่งบการเงิน  ซึ่งยังคงยึดกรอบแนวคิดเดิมของปี ค.ศ.1992 (Internal Control – Integrated Framework) ที่กำหนดให้การควบคุมภายในมีองค์ประกอบหลัก 5 องค์ประกอบ แต่เพิ่มเติมในส่วนอื่น ๆ ให้ชัดเจนขึ้น เรียกกันว่า COSO 2013

พัฒนาการของ COSO

Introduction

     นับตั้งแต่การเสนอกรอบการควบคุมภายใน COSO ในปี ค.ศ. 1992 COSO 1 กรอบแนวทางการควบคุมภายในตาม COSO ได้กลายเป็นแนวทางปฏิบัติที่เกี่ยวข้องกับระบบการควบคุมภายในที่ได้รับการยอมรับอย่างกว้างขวางมาเป็นเวลากว่า 20 ปี จนกระทั่งมีการปรับปรุงครั้งใหญ่ เมื่อเดือน พฤษภาคม 2013 COSO 2013 โดยได้ถูกปรับปรุงใหม่ให้สอดคล้องกับสภาพแวดล้อมทางธุรกิจที่พัฒนาและเปลี่ยนแปลงไปอย่างรวดเร็ว ซึ่งยังตั้งอยู่บน 5 องค์ประกอบหลักเดิม แต่เพิ่มเติม 17 หลักการย่อย เพื่อทำให้ระบบการควบคุมภายในมีความเข้มแข็งและชัดเจนยิ่งขึ้น 

   

     การมีระบบการควบคุมภายในที่ดี มีความสำคัญอย่างยิ่งต่อบริษัทที่จดทะเบียนในตลาดหลักทรัพย์ หรือกำลังจะเข้าตลาดหลักทรัพย์ หรือมีประชาชนเป็นผู้ถือหุ้น ซึ่งการควบคุมภายในจะสามารถช่วยป้องกัน บริหาร จัดการความเสียหายต่างๆ ที่อาจเกิดขึ้นกับบริษัทและผู้มีส่วนได้เสียได้เป็นอย่างดี ทั้งยังก่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุวัตถุประสงค์และเป้าหมาย ทั้งด้านการดำเนินงาน การรายงาน และการปฏิบัติตามกฎระเบียบ อีกทั้งเพื่อให้การจัดทำและอนุมัติแบบประเมินฯ เสร็จสมบูรณ์ ภายในระยะเวลาที่ต้องยื่นแบบ 56-1 และ 69-1

     ดังนั้น เป็นหน้าที่ของคณะกรรมการบริษัท ที่จะต้องดำเนินการให้มั่นใจว่า บริษัทมีระบบการควบคุมภายในที่เหมาะสมและเพียงพอ ในการดูแลการดำเนินงานให้เป็นไปตามเป้าหมาย วัตถุประสงค์ กฎหมาย ข้อกำหนดที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ สามารถป้องกันทรัพย์สิน จากการทุจริต และความเสียหาย รวมทั้งมีการจัดทำรายงานทางบัญชีที่ถูกต้อง น่าเชื่อถือ

     ทั้งนี้ ฝ่ายตรวจสอบภายใน มีความสำคัญอย่างยิ่ง ที่จะต้องมีความเข้าใจในกรอบการประเมินการควบคุมภายใน เพื่อที่จะทำการสอบทานระบบการควบคุมภายในองค์กรให้เป็นไปอย่างเหมาะสมและเพียงพอ