การควบคุมภายใน คือ กระบวนการที่ผู้มีหน้าที่ในการกำกับดูแล ผู้บริหาร และบุคคลอื่นๆ ได้ออกแบบ และนำไปปฏิบัติให้เหมาะสมอยู่เสมอ เพื่อให้ได้ความเชื่อมั่นอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์ของกิจการ เกี่ยวกับความน่าเชื่อถือได้ของรายงานทางการเงิน ความมีประสิทธิผลและประสิทธิภาพของการดำเนินงาน และการปฏิบัติตามกฎหมายและข้อกำหนดที่เกี่ยวข้อง โดยการควบคุมภายในส่วนใหญ่จะใช้มาตรฐานสากลของ The Committee of Sponsoring Organizations of Treadway Commission : COSO เช่น หน่วยงานรัฐจะใช้ หลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561 ซึ่ง ออกตามความในมาตรา 79 แห่งพระราชบัญญัติวินัยการเงินการคลังของรัฐ พ.ศ. 2561ซึ่งหลักเกณฑ์ดังกล่าวได้จัดทำขึ้นตามมาตรฐานสากลของ COSO 2013

องค์ประกอบของการควบคุมภายใน 5 องค์ประกอบตามมาตรฐาน COSO ได้แก่

1. สภาพแวดล้อมการควบคุม
   1. ความซื่อสัตย์และจริยธรรม
      มีการให้ความสำคัญกับความซื่อสัตย์ จริยธรรม และความโปร่งใสในการดำเนินงาน มีการบริหารจัดการที่สอดคล้องกับหลักธรรมาภิบาล มีการกำหนดแนวทางที่ชัดเจนต่อการปฏิบัติที่ถูกต้องและไม่ถูกต้อง และมีการกำหนดเป้าหมายการดำเนินงานที่เป็นไปได้
   2. ความเป็นอิสระของหน่วยงานที่ทำหน้าที่ในการกำกับดูแล
      มีการกำกับดูแลการปฏิบัติงานให้เป็นไปตามระบบการควบคุมภายในที่กำหนด มีผู้ตรวจสอบภายใน และมีการรายงานผลการตรวจสอบ
   3. การจัดโครงสร้างองค์กร
      มีการกำหนดโครงสร้างองค์กรและสายงานการบังคับบัญชาที่ชัดเจนและเหมาะสม รวมทั้งปรับเปลี่ยนให้สอดคล้องกับสถานการณ์
   4. ความมุ่งมั่นในการสร้างแรงจูงใจ พัฒนา และรักษาบุคลากร
      มีการกำหนดระดับความรู้ ทักษะ และความสามารถที่ต้องการสำหรับการปฏิบัติงานตามตำแหน่งงานต่างๆ รวมทั้งมีแผนฝึกอบรมพนักงานตามความเหมาะสม ตลอดจนมีการประเมินผลการปฏิบัติงาน การเลื่อนตำแหน่งและอัตราเงินเดือนรวมทั้งการโยกย้ายเป็นไปตามผลการปฏิบัติงาน
   5. การกำหนดให้บุคลากรมีความรับผิดชอบต่อผลการปฏิบัติงาน
      มีการมอบหมายอำนาจและหน้าที่ความรับผิดชอบให้กับบุคคลที่เหมาะสม และมีการติดตามผลการดำเนินงานที่มอบหมายมีบทลงโทษเมื่อมีการไม่ปฏิบัติตามนโยบายหรือข้อกำหนด

1. การประเมินความเสี่ยง
   1. การกำหนดวัตถุประสงค์
      มีการกำหนดวัตถุประสงค์และเป้าหมายการดำเนินงานของสถาบันและฝ่ายงานอย่างชัดเจนและวัดผลได้ โดยพนักงานรู้และเข้าใจอย่างทั่วถึง
   2. การระบุปัจจัยเสี่ยงและวิเคราะห์ความเสี่ยง
      ผู้บริหารและพนักงานมีส่วนร่วมในการระบุและประเมินความเสี่ยง ทั้งจากปัจจัยภายในและภายนอกมีการกำหนดเกณฑ์การประเมินความเสี่ยง มีการวิเคราะห์ความเสี่ยงตามระดับโอกาสและผลกระทบของความเสี่ยง
   3. การพิจารณาโอกาสที่จะเกิดการทุจริต
      มีการระบุความเสี่ยง กำหนดวิธีการควบคุมเพื่อป้องกันหรือลดความเสี่ยง จากการทุจริต
   4. การประเมินการเปลี่ยนแปลงที่กระทบกับการควบคุมภายใน
2. กิจกรรมการควบคุม
   1. มีการระบุและพัฒนากิจกรรมการควบคุม เพื่อลดความเสี่ยง
   2. มีการระบุและพัฒนากิจกรรมการควบคุมด้านเทคโนโลยี
   3. มีกิจกรรมการควบคุม โดยกำหนดไว้ในนโยบาย ประกอบด้วยผลสำเร็จที่คาดหวังและขั้นตอนการปฏิบัติงาน
3. สารสนเทศและการสื่อสาร
   1. มีการใช้ระบบสารสนเทศเพื่อสนับสนุนให้มีการปฏิบัติตามการควบคุมภายใน
   2. มีการสื่อสารภายในเกี่ยวกับสารสนเทศ รวมทั้งวัตถุประสงค์และความรับผิดชอบที่มีต่อการควบคุมภายใน
   3. มีการสื่อสารกับบุคลลภายนอก
4. การติดตามประเมินผล
   1. มีการประเมินผลการปฏิบัติงาน
   2. มีการสื่อสารข้อบกพร่อง หรือจุดอ่อนของการควบคุมอย่างทันเวลา

ประโยชน์ของการควบคุมภายใน

• ส่งเสริมให้เกิดกระบวนการกำกับดูแลที่ดี เป็นเครื่องมือช่วยผู้บริหารในการกำกับดูแลการปฏิบัติงาน
• ส่งเสริมประสิทธิภาพในการปฏิบัติงานในขั้นตอนต่าง ๆ ให้เป็นไปอย่างมีระบบ ถูกต้องเหมาะสม และอยู่ในกรอบของกฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง
• ป้องกันความเสี่ยงที่อาจเกิดขึ้นจากความผิดพลาดในการดำเนินงานขององค์กร