Chapter 8

Introduction to Internal Control Systems

ภาพที่ 1 ระบบการควบคุมภายในและการบริหารความเสี่ยง

ที่มา : https://www.google.com/search?biw

ระบบการควบคุมภายในและการบริหารความเสี่ยง

   ระบบการควบคุมภายในและการบริหารความเสี่ยง เป็นกลไกที่สำคัญต่อการบรรลุวัตถุประสงค์และ

ความสำเร็จของบริษัทฯ  ประกอบกับบริษัทฯ มีนโยบายที่จะดำเนินธุรกิจให้เจริญเติบโตอย่างยั่งยืนและเพิ่มมูลค่าให้กับผู้มีส่วนได้เสียบริษัทฯ จึงเล็งเห็นความสำคัญของระบบการควบคุมภายในและการบริหารความเสี่ยงเป็นอย่างยิ่ง โดยมอบหมายให้พนักงานทุกคนของบริษัทฯ  มีบทบาทและหน้าที่ความรับผิดชอบ

ร่วมกันและได้กำหนดอำนาจการดำเนินการในระดับบริหารและระดับปฏิบัติการไว้เป็นลายลักษณ์อักษร

อย่างชัดเจน ครอบคลุมถึง การควบคุมทางการเงิน การดำเนินงาน การบริหาร และการกำกับดูแล

การปฏิบัติงานให้เป็นไปตามกฎหมายและระเบียบที่เกี่ยวข้องทั้งภายในและภายนอก รวมทั้งได้กำหนด

ให้มีการประเมินตนเอง (Control Self Assessment, CSA) โดยให้พนักงานมีความรับผิดชอบใน

การสร้างและพัฒนาระบบการควบคุมภายในของระบบงานที่รับผิดชอบด้วยตนเอง 

และให้มีความรับผิดชอบต่อการประเมินความเสี่ยงอย่างต่อเนื่อง เพื่อสร้างความแข็งแกร่ง

ของระบบการควบคุมภายในและการบริหารความเสี่ยงให้สามารถตอบสนองต่อการเปลี่ยนแปลงและ

ความเสี่ยงอย่างทันท่วงที เพื่อก่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า ผลสำเร็จของงานจะสามารถ

บรรลุวัตถุประสงค์ของบริษัทฯ ดังนี้

1.  กลยุทธ์และเป้าหมาย ได้กำหนดไว้อย่างชัดเจนสามารถนำมาปฏิบัติได้จริง   โดยสอดคล้องและสนับสนุนพันธกิจ (Mission) ของบริษัทฯ

2.  ผลการปฏิบัติงานบรรลุตามวัตถุประสงค์ที่กำหนดไว้อย่างมีประสิทธิผล โดยมีการบริหารทรัพยากรของบริษัทฯ อย่างมีประสิทธิภาพคุ้มค่า

3.   รายงานข้อมูลที่มีสาระสำคัญ ทั้งด้านการเงิน การบริหาร และการดำเนินงาน มีความถูกต้อง 

เชื่อถือได้และสามารถนำไปใช้เพื่อการตัดสินใจได้ทันเวลา

4.   การดำเนินงานและการปฏิบัติงาน เป็นไปตามนโยบาย กฎ ระเบียบและข้อกำหนดที่สอดคล้องกับ

กฎหมายและข้อบังคับอื่นๆที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัทฯ ทั้งภายในและภายนอกบริษัทฯ

5.    มีระบบการป้องกันควบคุมดูแลทรัพย์สิน บุคลากร  รวมทั้งข้อมูลในระบบสารสนเทศอย่างปลอดภัย

เหมาะสม

6.  มีระบบการกำกับดูแลอย่างใกล้ชิดตลอดเวลาและมีระบบการบริหารจัดการที่มีคุณภาพและ

มีประสิทธิผล

7. มีการปรับปรุงคุณภาพการปฏิบัติงานทั้งด้านบุคลากร ทรัพย์สินอุปกรณ์  และระบบปฏิบัติการต่างๆ 

อย่างต่อเนื่อง

8.  มีระบบการประเมินตนเองในการควบคุมของระบบงานที่สำคัญทั่วทั้งองค์กรอย่างเหมาะสม

9.  บริษัทฯ มีระบบการควบคุมภายในและการบริหารความเสี่ยงที่เหมาะสมมีประสิทธิผล โดยปฏิบัติ

ตามกรอบโครงสร้างการควบคุมภายในและการบริหารความเสี่ยง ซึ่งอ้างอิงตามมาตรฐานสากลของ 

The Committee of Sponsoring Organizations of the Treadway Commission -Enterprise

Risk Management (COSO-ERM) ซึ่งสัมพันธ์กับการดำเนินธุรกิจและกระบวนการบริหารงานของ

บริษัทฯ ทั้ง 8 องค์ประกอบ ดังนี้ 

1.   สภาพแวดล้อมภายในองค์กร

บริษัทฯ  สนับสนุนให้มีสภาพแวดล้อมการทำงานที่ดี โดยมีการกำหนดนโยบาย การวางแผน 

การดำเนินการ การควบคุม การติดตามที่เหมาะสม มีการจัดโครงสร้างการบริหารที่ดี  เหมาะสมตาม

ขนาดและการดำเนินธุรกิจของบริษัทฯ มีการปฏิบัติตามนโยบายการกำกับดูแลที่ดี ยึดมั่นในปรัชญา

และจรรยาบรรณธุรกิจ (Code of Business Ethics) ที่มีข้อกำหนดและแนวทางปฏิบัติที่

เป็นลายลักษณ์อักษร มีการแต่งตั้งคณะกรรมการจริยธรรมธุรกิจ โดยมีหัวหน้าคณะเจ้าหน้าที่ผู้บริหาร

เป็นประธาน และผู้บริหารระดับสูงเป็นกรรมการ เพื่อกำกับดูแลกิจการให้บริษัทฯ ดำเนินธุรกิจ

สอดคล้องกับนโยบายการกำกับดูแลกิจการที่ดี และเป็นตัวอย่างที่ดีในเรื่องความซื่อสัตย์และ

จริยธรรม มีการปฏิบัติต่อผู้มีส่วนได้เสียโดยคำนึงถึงความเป็นธรรมต่อทุกฝ่าย มีการกำหนด

อำนาจหน้าที่และความรับผิดชอบในแต่ละระดับอย่างชัดเจน มีการแต่งตั้งคณะกรรมการบริหาร

ความเสี่ยงเป็นลายลักษณ์อักษร และกำหนดบทบาทหน้าที่รวมถึงแนวทางการบริหารความเสี่ยง

และการจัดการความเสี่ยงอย่างเป็นระบบต่อเนื่อง มีการสื่อสารและสร้างความเข้าใจกับพนักงาน

ทุกระดับ ตลอดจนมีการกำหนดระดับของความเสี่ยงที่ยอมรับได้ ที่เชื่อมโยงกับกลยุทธ์ของบริษัทฯ 

เพื่อให้มั่นใจได้ว่า บริษัทฯ มีระบบการควบคุมภายในและระบบการบริหารความเสี่ยงที่ดี 

สามารถป้องกันหรือลดความเสียหายที่อาจจะเกิดขึ้น ส่งผลให้บริษัทฯ จะสามารถบรรลุ

วัตถุประสงค์ที่กำหนดไว้ได้อย่างมีประสิทธิภาพ ประสิทธิผล

     นอกจากนี้ บริษัทฯ ยังให้ความสำคัญในเรื่องบุคลากร ซึ่งถือเป็นทรัพยากรที่สำคัญที่สุด  

โดยกำหนดให้มีวัฒนธรรมองค์กร (Corporate Culture) มาตรฐานการประเมินผล และการให้

ผลตอบแทนที่ชัดเจนเป็นธรรม    พร้อมทั้งจัดให้พนักงานได้รับการพัฒนาฝึกอบรม ความรู้ ทักษะ 

ความสามารถให้เหมาะสมกับงานที่ได้รับมอบหมาย และเตรียมความพร้อมเพื่อรองรับการ

เปลี่ยนแปลงด้านต่างๆ ตามแผนการฝึกอบรมรายบุคคล (Individual Development Plan) 

เพื่อส่งเสริมและพัฒนาศักยภาพบุคลากรของบริษัทฯ สู่ความเป็นเลิศและความเป็นมาตรฐานสากล

อย่างต่อเนื่องสม่ำเสมอ

2.   การกำหนดวัตถุประสงค์

บริษัทฯ มีการกำหนดวัตถุประสงค์หรือเป้าหมายการปฏิบัติงานในแต่ละระดับอย่างชัดเจน 

รวมทั้งด้านกลยุทธ์ ด้านการปฏิบัติงาน ด้านการรายงาน รวมทั้งด้านการปฏิบัติตามนโยบาย กฎ 

ระเบียบ ข้อปฏิบัติต่างๆ ซึ่งบันทึกเป็นลายลักษณ์อักษร โดยสอดคล้องกับเป้าหมายหลักหรือพันธกิจ

ในภาพรวม ตลอดจนระดับความเสี่ยงที่ยอมรับได้ นอกจากนี้บริษัทฯ ยังได้มีการปรับเปลี่ยนแผนงาน 

กลยุทธ์และวัตถุประสงค์ให้สอดคล้องกับสถานการณ์และปัจจัยเสี่ยงที่เปลี่ยนแปลงไปอย่างสม่ำเสมอ

3.   การบ่งชี้เหตุการณ์

บริษัทฯ ได้ระบุตัวบ่งชี้เหตุการณ์หรือปัจจัยเสี่ยงต่างๆ ที่อาจส่งผลเสียหายต่อวัตถุประสงค์ในระดับองค์กร และระดับปฏิบัติการของบริษัทฯ ไว้อย่างเหมาะสมเป็นระบบ รวมทั้งระบุเหตุการณ์ที่อาจจะเกิดขึ้นที่เอื้ออำนวยต่อวัตถุประสงค์ทางด้านบวกไว้ด้วย โดยพิจารณาจากแหล่งความเสี่ยงภายนอกและภายในบริษัทฯ และยังมีการติดตามผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า บริษัทฯ มีการระบุปัจจัยเสี่ยงที่ครอบคลุมต่อการเปลี่ยนแปลงของแต่ละระดับ รวมทั้งมีการรายงานต่อผู้บริหารหรือผู้เกี่ยวข้องให้รับทราบอยู่เสมอ

4.   การประเมินความเสี่ยง

บริษัทฯ มีเครื่องมือและวิธีการประเมินความเสี่ยงอย่างเป็นระบบ อีกทั้งยังมีการจัดทำคู่มือการบริหารความเสี่ยงเพื่อเป็นแนวทางการปฏิบัติไว้อย่างชัดเจน และได้กำหนดหลักเกณฑ์ของการประเมินความเสี่ยงในแต่ละระดับไว้อย่างเหมาะสม ทั้งในระดับองค์กรและระดับปฏิบัติการ ตลอดจนทำการประเมินในเชิงคุณภาพและเชิงปริมาณ โดยพิจารณาจากระดับความเสี่ยงที่ยอมรับได้ขององค์กร  ซึ่งจะทำการประเมินทั้ง 2 ด้าน คือ ผลกระทบต่อความเสียหายที่จะเกิดเหตุการณ์นั้น (Impact) และโอกาสที่จะเกิดเหตุการณ์ความเสี่ยง (Likelihood) เพื่อพิจารณาระดับค่าของความเสี่ยงที่อาจเป็นระดับสูง กลาง หรือต่ำ 

5.   การตอบสนองความเสี่ยงบริษัทฯ มีกระบวนการบริหารความเสี่ยงอย่างเป็นระบบต่อเนื่อง โดยกำหนดกลยุทธ์การตอบสนองต่อความเสี่ยงในแต่ละระดับ และในภาพรวม ซึ่งได้แก่ การหลีกเลี่ยง การลด การโอนให้ผู้อื่นและการยอมรับความเสี่ยงไว้อย่างชัดเจน เพื่อให้มั่นใจได้ว่า บริษัทฯ ได้มีการพิจารณาทางเลือกที่มีความคุ้มค่าที่สุด และมีประสิทธิผลที่สุด โดยเลือกจัดการกับความเสี่ยงระดับสูงเป็นอันดับแรก เพื่อลดโอกาสและผลกระทบในภาพรวมที่จะเกิดเหตุการณ์นั้น รวมทั้งยังมีมาตรการควบคุมภายในที่ดี มีประสิทธิภาพเหมาะสมกับความเสี่ยงที่เปลี่ยนแปลงไป 

6.   กิจกรรมการควบคุม

บริษัทฯ ได้กำหนดนโยบายและวิธีการปฏิบัติงานในแต่ละระดับไว้อย่างชัดเจน ตลอดจนกำหนดกิจกรรมการควบคุมที่มีสาระสำคัญในแต่ละระดับไว้อย่างเหมาะสม โดยเน้นกิจกรรมการควบคุมแบบป้องกันเป็นหลัก รวมทั้งมีการประเมินและรายงานผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า วิธีการจัดการความเสี่ยงหรือกิจกรรมการควบคุมนั้นได้มีการนำไปปฏิบัติจริง สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้ รวมถึงคุณภาพและความรวดเร็วที่ควบคู่กันไปด้วย

นอกจากนี้ผู้บริหารระดับสูง ยังได้มีการทบทวนนโยบายระเบียบปฏิบัติและกิจกรรมการควบคุมเป็นระยะๆ เพื่อให้สอดคล้องกับสถานการณ์หรือความเสี่ยงที่เปลี่ยนแปลงไปอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้

7.   ข้อมูลและการติดต่อสื่อสาร

บริษัทฯ มีระบบสารสนเทศและข้อมูลที่สามารถเชื่อมโยงกันได้อย่างทั่วถึงทั้งองค์กร เพื่อนำไปใช้ในการบริหารความเสี่ยงหรือเพื่อการตัดสินใจได้อย่างถูกต้องทันเวลา และมีระบบรักษาความปลอดภัยของระบบสารสนเทศและข้อมูลที่มีประสิทธิภาพเพียงพอ ตลอดจนมีการกำหนดแผนสำรองฉุกเฉินสำหรับป้องกันในเรื่องความปลอดภัยของระบบสารสนเทศขณะที่มีอุบัติภัยร้ายแรงจนระบบไม่สามารถปฏิบัติงานได้ รวมไปถึงการซักซ้อมแผนสำรองฉุกเฉินไว้เรียบร้อยแล้ว นอกจากนี้บริษัทฯ ยังมีระบบการจัดเก็บข้อมูลที่สามารถตรวจสอบความถูกต้องย้อนหลังได้ (Audit Trail) และมีระบบข้อมูลที่สามารถวิเคราะห์หรือบ่งชี้จุดที่อาจจะเกิดความเสี่ยงในเชิงสถิติได้อย่างเป็นระบบ ซึ่งทำการประเมินและจัดการความเสี่ยงพร้อมทั้งบันทึกหรือรายงานผลไว้อย่างครบถ้วน

    นอกจากนี้บริษัทฯ มีช่องทางการติดต่อสื่อสารที่มีประสิทธิภาพ ประสิทธิผล สามารถติดต่อสื่อสารกันได้ทั่วทั้งองค์กร โดยข้อมูลที่สำคัญ เช่น การกำกับดูแลกิจการ จริยธรรมองค์กร  แนวทางการบริหารความเสี่ยง ระดับความเสี่ยงที่ยอมรับได้ นโยบายและกฎระเบียบต่างๆ บทบาทความรับผิดชอบและการแบ่งแยกหน้าที่  รวมไปถึงขั้นตอนและวิธีการปฏิบัติงาน เป็นต้น จะถูกถ่ายทอดจากผู้บริหารระดับสูงลงสู่พนักงานและจากพนักงานขึ้นตรงสู่ผู้บริหารระดับสูงได้อีกด้วยเช่นกัน อีกทั้งยังมีช่องทางและการติดต่อสื่อสารกับผู้มีส่วนได้เสียอื่นที่มีประสิทธิภาพ ทันเวลา

8.   การติดตามผล

บริษัทฯ มีขั้นตอนการติดตามและการกำกับดูแลการปฏิบัติงานเปรียบเทียบกับเป้าหมายหรือตัวชี้วัด (KPI) ที่กำหนดในแต่ละระดับอย่างเหมาะสมสม่ำเสมอ และมีระบบการวิเคราะห์ประเมินและติดตามผลการดำเนินงานที่ดี เช่น  กำหนดให้พนักงานระดับหัวหน้างานมีการติดตามผลการปฏิบัติงานและการรายงานของผู้ใต้บังคับบัญชาอย่างใกล้ชิดและรายงานต่อหัวหน้างานระดับสูงต่อไป เพื่อให้มั่นใจได้ว่ามาตรการและระบบการควบคุมภายในนั้นมีประสิทธิผลอยู่เสมอ สามารถตอบสนองต่อปัจจัยเสี่ยงและการเปลี่ยนแปลงได้อย่างเหมาะสม ทันเวลา รวมไปถึงให้มีการตรวจประเมินผลการปฏิบัติงาน โดยหน่วยงานตรวจสอบภายใน ซึ่งเป็นหน่วยงานอิสระ ผู้สอบบัญชี และผู้ประเมินอิสระจากภายนอก

  บริษัทฯ มีระบบการติดตามผลการบริหารความเสี่ยงที่ดีและมีการกำหนดสัญญาณเตือนภัย 

เพื่อให้มั่นใจได้ว่า การบริหารและการจัดการความเสี่ยงมีประสิทธิผลเหมาะสมเพียงพอ ซึ่งความเสี่ยงนั้นอยู่ในระดับที่ยอมรับได้ โดยให้มีการรายงานผลต่อหัวหน้างานทุกระดับและต่อผู้บริหารระดับสูงอย่างสม่ำเสมอ และจัดให้มีการประชุมคณะกรรมการบริษัท และมีการประชุมผู้บริหารอย่างสม่ำเสมอ เพื่อพิจารณาและติดตามผลการดำเนินงานของฝ่ายบริหารว่าเป็นไปตามเป้าหมายและภายในระยะเวลาที่กำหนด

    ในปัจจุบันสถานการณ์ต่างๆ ได้มีการเปลี่ยนแปลงไปอย่างมากและรวดเร็ว การบริหารความเสี่ยงจึงเป็นสิ่งที่มีความสำคัญ ช่วยให้บริษัทฯ สามารถบรรลุวัตถุประสงค์เมื่อมีเหตุการณ์ที่ไม่คาดคิดเกิดขึ้น ดังนั้น จึงมีความจำเป็นอย่างยิ่งที่บริษัทฯ จะต้องมีกลไกการบริหารงาน เพื่อสร้างความแข็งแกร่งและการเตรียมความพร้อมไว้อย่างรอบด้านเป็นการล่วงหน้า เพื่อให้บริษัทฯ สามารถบริหารความเสี่ยงและดำรงอยู่ได้อย่างมั่นคงตลอดไป 

บริษัทฯ มุ่งเน้นให้ความสำคัญกับการบริหารความเสี่ยงขององค์กร โดยมีคณะกรรมการบริหารความเสี่ยง ซึ่งมีประธานกรรมการบริหารของบริษัทฯ เป็นประธานคณะกรรมการบริหารความเสี่ยง และหัวหน้าคณะเจ้าหน้าที่ผู้บริหาร และผู้บริหารระดับสูง เป็นกรรมการ รวม 13 ท่าน ซึ่งในปี 2553 คณะกรรมการได้มีการประชุม 3 ครั้ง โดยได้พิจารณาแจกแจงความเสี่ยงครอบคลุมทั้งองค์กร จัดอันดับความเสี่ยง กำหนดแนวทางการบริหารความเสี่ยง มอบหมายผู้รับผิดชอบเพื่อจัดให้มีมาตรการควบคุมและจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อให้บริษัทฯ สามารถบรรลุเป้าหมายและกลยุทธ์ที่กำหนดไว้ และเพื่อสร้างความเชื่อมั่นให้กับผู้ถือหุ้นและผู้มีส่วนได้ส่วนเสีย รวมทั้งได้มีการทบทวนความเสี่ยงของบริษัทฯ อย่างสม่ำเสมอว่า บริษัทฯ มีความเสี่ยงด้านใดบ้างที่เพิ่มขึ้นหรือเปลี่ยนแปลงไป วิกฤตเศรษฐกิจที่เกิดขึ้นได้ส่งผลกระทบอย่างไร ต่อผู้ที่มีส่วนเกี่ยวข้องต่างๆ ของบริษัทฯ

คณะกรรมการบริหารความเสี่ยง มีการติดตามผลสำเร็จของการบริหารความเสี่ยง โดยพิจารณาจากแผนงานของฝ่ายจัดการที่รับผิดชอบในปัจจัยความเสี่ยงต่างๆ และผลของการวัดผลที่เชื่อถือได้ของการปฏิบัติงานตามแผนงาน และในการประชุมทุกครั้ง คณะกรรมการบริหารความเสี่ยงจะกำหนดให้ฝ่ายจัดการที่รับผิดชอบรายงานผลการบริหารความเสี่ยงที่ได้แจกแจงไว้จากรอบการประชุมครั้งก่อน รวมทั้งมีการพิจารณาว่าระดับความเสี่ยงลดลงหรือไม่ ทั้งนี้เพื่อให้การบริหารความเสี่ยงมีประสิทธิผลอย่างแท้จริง

    ในทุกไตรมาส คณะกรรมการบริหารความเสี่ยงได้นำเสนอผลการบริหารความเสี่ยงให้คณะกรรมการตรวจสอบ คณะกรรมการบริษัท และคณะกรรมการบริหารได้รับทราบ เพื่อให้มีการจัดการความเสี่ยงและติดตามอย่างใกล้ชิด และมั่นใจได้ว่าความเสี่ยงอยู่ในระดับที่ยอมรับได้ รวมทั้งบริษัทฯ สามารถบรรลุเป้าหมายที่กำหนดไว้ ซึ่งสรุปปัจจัยความเสี่ยงที่อาจส่งผลกระทบต่อผลการดำเนินงานของบริษัทฯ ไว้ในส่วนของปัจจัยเสี่ยงเรียบร้อยแล้ว

ในการประชุมคณะกรรมการบริษัท ครั้งที่ 1/2554 เมื่อวันที่ 21 มกราคม 2554 โดยมีคณะกรรมการตรวจสอบเข้าร่วมประชุมด้วย คณะกรรมการบริษัทได้ประเมินระบบการควบคุมภายในของบริษัทฯ จากการสอบทานการประเมินประสิทธิผลของระบบการควบคุมภายใน และจากการซักถามข้อมูลจากฝ่ายบริหาร ผลการประเมินจากแบบประเมินความเพียงพอของระบบการควบคุมภายใน สรุปได้ว่า บริษัทฯ มีระบบการควบคุมภายในที่มีประสิทธิผลเหมาะสมเพียงพอ

     นอกจากนี้ ผู้สอบบัญชีของบริษัทฯ คือ บริษัท เคพีเอ็มจี ภูมิไชย สอบบัญชี จำกัด ซึ่งเป็นผู้ตรวจสอบงบการเงินประจำปี 2553 ได้ประเมินประสิทธิผลของระบบการควบคุมภายในของบริษัทฯ ตามที่เห็นว่าจำเป็น โดยพบว่า ไม่มีจุดอ่อนของระบบการควบคุมภายในที่มีสาระสำคัญแต่ประการใด

การตรวจสอบภายใน

   หน่วยงานตรวจสอบภายในมีความเป็นอิสระ รายงานตรงต่อคณะกรรมการตรวจสอบในด้านงานตรวจสอบภายใน และรายงานต่อประธานกรรมการบริหารในด้านงานบริหารหน่วยงาน โดยมีกฎบัตรของหน่วยงาน ซึ่งกำหนดภารกิจ ขอบเขต วัตถุประสงค์และภาระหน้าที่ความรับผิดชอบ รวมถึงสิทธิในการปฏิบัติงานตรวจสอบไว้อย่างชัดเจน และมีการจัดทำคู่มือการปฏิบัติงานตรวจสอบที่ปรับปรุงเปลี่ยนแปลงอยู่เสมอ เพื่อใช้อ้างอิงการปฏิบัติงานให้เป็นทิศทางเดียวกัน 

   หน่วยงานตรวจสอบภายใน ทำหน้าที่ตรวจประเมินประสิทธิผลของระบบการควบคุมภายใน ระบบการบริหารความเสี่ยง การกำกับดูแลกิจการของบริษัทฯ ตามแผนงานการตรวจสอบประจำปี ซึ่งได้พิจารณาจากวัตถุประสงค์ กลยุทธ์ พันธกิจในระดับภาพรวม ตลอดจนพิจารณาจากปัจจัยเสี่ยงที่เกี่ยวข้อง (Risk Based Audit Approach) โดยผ่านการอนุมัติจากคณะกรรมการตรวจสอบ รวมทั้งการให้คำปรึกษาแนะนำในด้านการประเมินตนเองในการควบคุมด้านต่างๆ (Control Self Assessment, CSA) เพื่อให้เกิดความเชื่อมั่นว่า การปฏิบัติงานต่างๆ จะบรรลุผลตามกลยุทธ์และวัตถุประสงค์ที่กำหนดไว้ อีกทั้งยังทำการติดตามประเมินผลอย่างสม่ำเสมอ เพื่อให้เกิดความมั่นใจในระบบที่วางไว้ว่าได้ดำเนินการเป็นไปอย่างต่อเนื่อง และได้รับการแก้ไขปรับปรุงอย่างสม่ำเสมอ

ในปี 2553 บริษัทฯ  ได้อนุมัติงบประมาณในการจัดให้มีการตรวจคุณภาพด้านการตรวจสอบภายใน โดยใช้องค์กรอิสระจากภายนอกเป็นผู้ประเมิน เพื่อเป็นการยกระดับมาตรฐานด้านคุณภาพของหน่วยงานตรวจสอบภายใน โดยจะมีการตรวจประเมินคุณภาพ (Quality Assessment Review, QAR) ในปี 2554 

     ในการตรวจประเมินความมีประสิทธิผลของระบบการบริหารความเสี่ยง หน่วยงานตรวจสอบภายในได้ดำเนินการสอบทานตัวบ่งชี้เหตุการณ์หรือปัจจัยเสี่ยงที่ส่งผลกระทบต่อวัตถุประสงค์ และแนวทางการบริหารความเสี่ยงของผู้ปฏิบัติงาน เพื่อให้มั่นใจว่ามีการระบุและประเมินความเสี่ยงได้อย่างถูกต้องเหมาะสม และมีการบริหารความเสี่ยงที่เป็นระบบสามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ และมีการรายงานอย่างครบถ้วนทันเวลาพร้อมทั้งยังมีการติดตามสอบทานความเสี่ยงอย่างต่อเนื่องสม่ำเสมอ

      ในการตรวจประเมินความมีประสิทธิผลของระบบการควบคุมภายใน หน่วยงานตรวจสอบภายในได้จัดทำแบบประเมินความเพียงพอของระบบการควบคุมภายในของแต่ละระบบงานตามกรอบแนวทาง COSO-ERM รวมทั้งได้ทำการสอบทานผลการปฏิบัติงาน และสนับสนุนให้แต่ละหน่วยงานมีการประเมินตนเองในการควบคุมในแต่ละขั้นตอน เพื่อให้มั่นใจว่า บริษัทฯ จะสามารถบรรลุวัตถุประสงค์ที่ตั้งไว้อย่างมีประสิทธิภาพและประสิทธิผล โดยปฏิบัติตามกฎ ระเบียบ ข้อบังคับต่างๆ อย่างเคร่งครัด และรายงานทางการเงินมีความถูกต้องน่าเชื่อถือ

ในการตรวจประเมินความมีประสิทธิผลของระบบการกำกับดูแลกิจการ หน่วยงานตรวจสอบภายในได้ตรวจประเมินการกำกับดูแลกิจการ ตามหลักการกำกับดูแลกิจการที่ดีขององค์กรเพื่อความร่วมมือและพัฒนาทางเศรษฐกิจ (The Organization for Economic Co-Operation and Development, OECD) และตลาดหลักทรัพย์แห่งประเทศไทยเป็นเกณฑ์ เพื่อให้มั่นใจว่า บริษัทฯ มีโครงสร้างและการสนับสนุนของกระบวนการที่จำเป็นในการนำไปสู่ผลสำเร็จของการกำกับดูแลที่ดีและโปร่งใสและให้ความเป็นธรรมเท่าเทียมกัน ตลอดจนมีการนำทรัพยากรไปใช้อย่างมีประสิทธิภาพ ประสิทธิผล ตรงตามวัตถุประสงค์ เพื่อก่อให้เกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียทุกฝ่าย

       ในการตรวจประเมินความเสี่ยงด้านการทุจริตจากภายนอกและภายในองค์กร หน่วยงานตรวจสอบภายในได้ตรวจประเมินความเสี่ยงด้านการทุจริต เพื่อช่วยบ่งชี้สิ่งบอกเหตุและประเมินความเป็นไปได้ในเรื่องการทุจริตจากภายนอกและภายในองค์กร  และพิจารณามาตรการป้องกันและการควบคุมให้มีประสิทธิภาพสูงสุด เพื่อให้มั่นใจได้ว่า บริษัทฯ จะสามารถป้องกันและควบคุมเพื่อให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้

ในการตรวจประเมินตนเองในการควบคุม (CSA)   หน่วยงานตรวจสอบภายในได้สนับสนุนการตรวจประเมินตนเองในการควบคุมการปฏิบัติงานของแต่ละหน่วยงาน โดยให้คำปรึกษาแนะนำ จัดให้มีการฝึกอบรม การใช้เครื่องมือที่มีประสิทธิผลในการประเมิน จัดให้มีการทำกรณีศึกษา เพื่อให้หน่วยงานต่างๆมีมาตรการควบคุมตนเองที่ดีรวมอยู่ในระบบปฏิบัติงานที่ดี และสามารถบริหารความเสี่ยงที่สำคัญได้อย่างมีประสิทธิภาพ ทันเวลา โดยให้ความเชื่อมั่นว่า การปฏิบัติงานของหน่วยงานต่างๆ จะสามารถบรรลุผลตามกลยุทธ์และวัตถุประสงค์ที่กำหนดไว้ได้ ภายในระยะเวลาที่กำหนด

       นอกจากนี้หัวหน้าหน่วยงานตรวจสอบภายใน ได้ปฏิบัติหน้าที่เป็นเลขานุการของคณะกรรมการตรวจสอบ เพื่อสนับสนุนภาระหน้าที่และความรับผิดชอบทุกหน้าที่ของคณะกรรมการตรวจสอบที่ได้รับมอบหมายมาจากคณะกรรมการบริษัทให้มีประสิทธิผล โดยจัดให้มีการประชุมคณะกรรมการตรวจสอบเดือนละ 1 ครั้ง และยังมีบทบาทในการให้คำปรึกษาแนะนำในด้านต่างๆ โดยร่วมเป็นกรรมการของคณะกรรมการบริหารความเสี่ยง คณะกรรมการด้านความปลอดภัยระบบสารสนเทศของบริษัทฯ เพื่อให้ข้อเสนอแนะที่เป็นประโยชน์ต่อองค์กร

หน่วยงานตรวจสอบภายใน ได้ยึดถือกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (The International Professional Practices Framework: IPPF) และปฏิบัติงานตามมาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (The  International Standards for the Professional Practice of Internal Auditing), COSO-ERM, ISO 31000 ส่วนในด้านระบบสารสนเทศ ได้ปฏิบัติตามแนวทาง CobiT 4.1 IT Governance, ISO 17799 เป็นกรอบการปฏิบัติงานเพิ่มเติม เพื่อให้มั่นใจว่า ระบบสารสนเทศของบริษัทฯ มีความปลอดภัยและมีการกำกับดูแลที่ดี อีกทั้งได้มุ่งเน้นการพัฒนางานตรวจสอบภายในให้มีคุณภาพเทียบเท่ามาตรฐานสากล โดยมีการประเมินคุณภาพภายในอย่างต่อเนื่องด้วยตนเอง ตลอดจนพนักงานตรวจสอบภายในทุกคนมีการปฏิบัติหน้าที่ที่เป็นอิสระ เที่ยงธรรม สอดคล้องตามประมวลจรรยาบรรณของผู้ตรวจสอบภายใน ( Code of Ethics) 

       นอกจากนี้ พนักงานของหน่วยงานตรวจสอบภายในยังได้รับการฝึกอบรมอย่างต่อเนื่องสม่ำเสมอ
ตามแผนการฝึกอบรมแบบรายบุคคล (Individual Development Plan) รวมถึงการพัฒนาสอบ

วุฒิบัตรต่างๆ โดยปัจจุบัน หน่วยงานตรวจสอบภายในมีผู้มีวุฒิบัตร CIA (Certified Internal Auditor) จำนวน 5 ท่าน วุฒิบัตร CISA (Certified Information System Auditor) จำนวน 3 ท่าน วุฒิบัตร CISSP (Certified Information Systems Security Professional) จำนวน 1 ท่าน วุฒิบัตร CPA (Certified Public Accountant) จำนวน 3 ท่าน วุฒิบัตร TA (Tax Auditor) จำนวน 1 ท่าน โดยเจ้าหน้าที่อีกจำนวนหนึ่งอยู่ระหว่างการพัฒนาให้มีวุฒิบัตร CIA, CISA, CCSA (The Certification in Control Self-Assessment) อย่างต่อเนื่อง เพื่อให้มั่นใจว่า การปฏิบัติงานของหน่วยงานตรวจสอบภายใน จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ อีกทั้งยังสามารถสนับสนุนการกำกับดูแลที่ดีและเพิ่มคุณค่าให้แก่บริษัทฯ ได้อย่างมีประสิทธิภาพประสิทธิผล

ที่มา บมจ. แอดวานซ์ อินโฟร์ เซอร์วิส

เขียนโดย  1.นายธันญารัตน์       ทองน้อย            
                 2.นางสาวนภัสวรรณ   ประสารศรี