Chapter 9

Computer Controls for Accounting Information Systems

ภาพที่ 1 ระบบการควบคุมภายในและการบริหารความเสี่ยง

ที่มา : https://www.google.com/search?biw

ระบบการควบคุมภายในและการบริหารความเสี่ยง

ระบบการควบคุมภายในและการบริหารความเสี่ยง เป็นกลไกที่สำคัญต่อการบรรลุวัตถุประสงค์และความ

สำเร็จของบริษัทฯ  ประกอบกับบริษัทฯ มีนโยบายที่จะดำเนินธุรกิจให้เจริญเติบโตอย่างยั่งยืนและ

เพิ่มมูลค่าให้กับผู้มีส่วนได้เสียบริษัทฯ จึงเล็งเห็นความสำคัญของระบบการควบคุมภายในและการบริหาร

ความเสี่ยงเป็นอย่างยิ่ง โดยมอบหมายให้พนักงานทุกคนของบริษัทฯ  มีบทบาทและหน้าที่ความรับผิดชอบ

ร่วมกันและได้กำหนดอำนาจการดำเนินการในระดับบริหารและระดับปฏิบัติการไว้เป็นลายลักษณ์อักษรอย่างชัดเจน ครอบคลุมถึง การควบคุมทางการเงิน การดำเนินงาน การบริหาร และการกำกับดูแล

การปฏิบัติงานให้เป็นไปตามกฎหมายและระเบียบที่เกี่ยวข้องทั้งภายในและภายนอก รวมทั้งได้กำหนดให้มี

การประเมินตนเอง (Control Self Assessment, CSA) โดยให้พนักงานมีความรับผิดชอบในการสร้างและพัฒนาระบบการควบคุมภายในของระบบงานที่รับผิดชอบด้วยตนเอง และให้มีความรับผิดชอบต่อ

การประเมินความเสี่ยงอย่างต่อเนื่อง เพื่อสร้างความแข็งแกร่งของระบบการควบคุมภายในและการบริหารความเสี่ยงให้สามารถตอบสนองต่อ การเปลี่ยนแปลงและความเสี่ยงอย่างทันท่วงที เพื่อก่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า ผลสำเร็จของงานจะสามารถบรรลุวัตถุประสงค์ของบริษัทฯ ดังนี้

    1.กลยุทธ์และเป้าหมาย ได้กำหนดไว้อย่างชัดเจนสามารถนำมาปฏิบัติได้จริงโดยสอดคล้องและสนับสนุนพันธกิจ (Mission) ของบริษัทฯ

    2.ผลการปฏิบัติงานบรรลุตามวัตถุประสงค์ที่กำหนดไว้อย่างมีประสิทธิผลโดยมีการบริหารทรัพยากรของ บริษัทฯ อย่างมีประสิทธิภาพคุ้มค่า

    3.รายงานข้อมูลที่มีสาระสำคัญ ทั้งด้านการเงิน การบริหาร และการดำเนินงาน มีความถูกต้อง เชื่อถือได้และสามารถนำไปใช้เพื่อการตัดสินใจได้ทันเวลา

       4. การดำเนินงานและการปฏิบัติงาน เป็นไปตามนโยบาย กฎ ระเบียบและข้อกำหนดที่สอดคล้องกับกฎหมายและข้อบังคับอื่นๆที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัทฯ ทั้งภายในและภายนอกบริษัทฯ

       5.มีระบบการป้องกันควบคุมดูแลทรัพย์สิน บุคลากร  รวมทั้งข้อมูลในระบบสารสนเทศอย่างปลอดภัยเหมาะสม

       6.มีระบบการกำกับดูแลอย่างใกล้ชิดตลอดเวลาและมีระบบการบริหารจัดการที่มีคุณภาพและ

มีประสิทธิผล

     7.มีการปรับปรุงคุณภาพการปฏิบัติงานทั้งด้านบุคลากร ทรัพย์สินอุปกรณ์  และระบบปฏิบัติการต่างๆ
อย่างต่อเนื่อง

        8. มีระบบการประเมินตนเองในการควบคุมของระบบงานที่สำคัญทั่วทั้งองค์กรอย่างเหมาะสม

  9.บริษัทฯ มีระบบการควบคุมภายในและการบริหารความเสี่ยงที่เหมาะสมมีประสิทธิผล โดยปฏิบัติตามกรอบโครงสร้างการควบคุมภายในและการบริหารความเสี่ยง ซึ่งอ้างอิงตามมาตรฐานสากลของ The Committee of Sponsoring Organizations of the Treadway Commission -Enterprise Risk Management (COSO-ERM) ซึ่งสัมพันธ์กับการดำเนินธุรกิจและกระบวนการบริหารงานของบริษัทฯ ทั้ง 8 องค์ประกอบ ดังนี้   

1.   สภาพแวดล้อมภายในองค์กร

บริษัทฯ  สนับสนุนให้มีสภาพแวดล้อมการทำงานที่ดี โดยมีการกำหนดนโยบาย การวางแผน การดำเนินการ การควบคุม การติดตามที่เหมาะสม มีการจัดโครงสร้างการบริหารที่ดี  เหมาะสมตามขนาดและการดำเนินธุรกิจของบริษัทฯ มีการปฏิบัติตามนโยบายการกำกับดูแลที่ดี ยึดมั่นในปรัชญาและจรรยาบรรณธุรกิจ (Code of Business Ethics) ที่มีข้อกำหนดและแนวทางปฏิบัติที่เป็นลายลักษณ์อักษร มีการแต่งตั้งคณะกรรมการจริยธรรมธุรกิจ โดยมีหัวหน้าคณะเจ้าหน้าที่ผู้บริหารเป็นประธาน และผู้บริหารระดับสูงเป็นกรรมการ เพื่อกำกับดูแลกิจการให้บริษัทฯ ดำเนินธุรกิจสอดคล้องกับนโยบายการกำกับดูแลกิจการที่ดี และเป็นตัวอย่างที่ดีในเรื่องความซื่อสัตย์และจริยธรรม มีการปฏิบัติต่อผู้มีส่วนได้เสียโดยคำนึงถึงความเป็นธรรมต่อทุกฝ่าย มีการกำหนดอำนาจหน้าที่และความรับผิดชอบในแต่ละระดับอย่างชัดเจน มีการแต่งตั้งคณะกรรมการบริหารความเสี่ยงเป็นลายลักษณ์อักษร และกำหนดบทบาทหน้าที่รวมถึงแนวทางการบริหารความเสี่ยงและการจัดการความเสี่ยงอย่างเป็นระบบต่อเนื่อง มีการสื่อสารและสร้างความเข้าใจกับพนักงานทุกระดับ ตลอดจนมีการกำหนดระดับของความเสี่ยงที่ยอมรับได้ ที่เชื่อมโยงกับกลยุทธ์ของบริษัทฯ เพื่อให้มั่นใจได้ว่า บริษัทฯ มีระบบการควบคุมภายในและระบบการบริหารความเสี่ยงที่ดี สามารถป้องกันหรือลดความเสียหายที่อาจจะเกิดขึ้น ส่งผลให้บริษัทฯ จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้อย่างมีประสิทธิภาพ ประสิทธิผล

นอกจากนี้ บริษัทฯ ยังให้ความสำคัญในเรื่องบุคลากร ซึ่งถือเป็นทรัพยากรที่สำคัญที่สุด  โดยกำหนดให้มีวัฒนธรรมองค์กร (Corporate Culture) มาตรฐานการประเมินผล และการให้ผลตอบแทนที่ชัดเจนเป็นธรรม    พร้อมทั้งจัดให้พนักงานได้รับการพัฒนาฝึกอบรม ความรู้ ทักษะ ความสามารถให้เหมาะสมกับงานที่ได้รับมอบหมาย และเตรียมความพร้อมเพื่อรองรับการเปลี่ยนแปลงด้านต่างๆ ตามแผนการฝึกอบรมรายบุคคล (Individual Development Plan) เพื่อส่งเสริมและพัฒนาศักยภาพบุคลากรของบริษัทฯ สู่ความเป็นเลิศและความเป็นมาตรฐานสากลอย่างต่อเนื่องสม่ำเสมอ

2.   การกำหนดวัตถุประสงค์

บริษัทฯ มีการกำหนดวัตถุประสงค์หรือเป้าหมายการปฏิบัติงานในแต่ละระดับอย่างชัดเจน รวมทั้งด้านกลยุทธ์ ด้านการปฏิบัติงาน ด้านการรายงาน รวมทั้งด้านการปฏิบัติตามนโยบาย กฎ ระเบียบ ข้อปฏิบัติต่างๆ ซึ่งบันทึกเป็นลายลักษณ์อักษร โดยสอดคล้องกับเป้าหมายหลักหรือพันธกิจในภาพรวม ตลอดจนระดับความเสี่ยงที่ยอมรับได้ นอกจากนี้บริษัทฯ ยังได้มีการปรับเปลี่ยนแผนงาน กลยุทธ์และวัตถุประสงค์ให้สอดคล้องกับสถานการณ์และปัจจัยเสี่ยงที่เปลี่ยนแปลงไปอย่างสม่ำเสมอ

3.   การบ่งชี้เหตุการณ์

บริษัทฯ ได้ระบุตัวบ่งชี้เหตุการณ์หรือปัจจัยเสี่ยงต่างๆ ที่อาจส่งผลเสียหายต่อวัตถุประสงค์ในระดับองค์กร และระดับปฏิบัติการของบริษัทฯ ไว้อย่างเหมาะสมเป็นระบบ รวมทั้งระบุเหตุการณ์ที่อาจจะเกิดขึ้นที่เอื้ออำนวยต่อวัตถุประสงค์ทางด้านบวกไว้ด้วย โดยพิจารณาจากแหล่งความเสี่ยงภายนอกและภายในบริษัทฯ และยังมีการติดตามผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า บริษัทฯ มีการระบุปัจจัยเสี่ยงที่ครอบคลุมต่อการเปลี่ยนแปลงของแต่ละระดับ รวมทั้งมีการรายงานต่อผู้บริหารหรือผู้เกี่ยวข้องให้รับทราบอยู่เสมอ

4.   การประเมินความเสี่ยง

บริษัทฯ มีเครื่องมือและวิธีการประเมินความเสี่ยงอย่างเป็นระบบ อีกทั้งยังมีการจัดทำคู่มือการบริหารความเสี่ยงเพื่อเป็นแนวทางการปฏิบัติไว้อย่างชัดเจน และได้กำหนดหลักเกณฑ์ของการประเมินความเสี่ยงในแต่ละระดับไว้อย่างเหมาะสม ทั้งในระดับองค์กรและระดับปฏิบัติการ ตลอดจนทำการประเมินในเชิงคุณภาพและเชิงปริมาณ โดยพิจารณาจากระดับความเสี่ยงที่ยอมรับได้ขององค์กร  ซึ่งจะทำการประเมินทั้ง 2 ด้าน คือ ผลกระทบต่อความเสียหายที่จะเกิดเหตุการณ์นั้น (Impact) และโอกาสที่จะเกิดเหตุการณ์ความเสี่ยง (Likelihood) เพื่อพิจารณาระดับค่าของความเสี่ยงที่อาจเป็นระดับสูง กลาง หรือต่ำ 

5.   การตอบสนองความเสี่ยงบริษัทฯ มีกระบวนการบริหารความเสี่ยงอย่างเป็นระบบต่อเนื่อง โดยกำหนดกลยุทธ์การตอบสนองต่อความเสี่ยงในแต่ละระดับ และในภาพรวม ซึ่งได้แก่ การหลีกเลี่ยง การลด การโอนให้ผู้อื่นและการยอมรับความเสี่ยงไว้อย่างชัดเจน เพื่อให้มั่นใจได้ว่า บริษัทฯ ได้มีการพิจารณาทางเลือกที่มีความคุ้มค่าที่สุด และมีประสิทธิผลที่สุด โดยเลือกจัดการกับความเสี่ยงระดับสูงเป็นอันดับแรก เพื่อลดโอกาสและผลกระทบในภาพรวมที่จะเกิดเหตุการณ์นั้น รวมทั้งยังมีมาตรการควบคุมภายในที่ดี มีประสิทธิภาพเหมาะสมกับความเสี่ยงที่เปลี่ยนแปลงไป 

6.   กิจกรรมการควบคุม

บริษัทฯ ได้กำหนดนโยบายและวิธีการปฏิบัติงานในแต่ละระดับไว้อย่างชัดเจน ตลอดจนกำหนดกิจกรรมการควบคุมที่มีสาระสำคัญในแต่ละระดับไว้อย่างเหมาะสม โดยเน้นกิจกรรมการควบคุมแบบป้องกันเป็นหลัก รวมทั้งมีการประเมินและรายงานผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า วิธีการจัดการความเสี่ยงหรือกิจกรรมการควบคุมนั้นได้มีการนำไปปฏิบัติจริง สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้ รวมถึงคุณภาพและความรวดเร็วที่ควบคู่กันไปด้วย

นอกจากนี้ผู้บริหารระดับสูง ยังได้มีการทบทวนนโยบายระเบียบปฏิบัติและกิจกรรมการควบคุมเป็นระยะๆ เพื่อให้สอดคล้องกับสถานการณ์หรือความเสี่ยงที่เปลี่ยนแปลงไปอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้

7.   ข้อมูลและการติดต่อสื่อสาร

บริษัทฯ มีระบบสารสนเทศและข้อมูลที่สามารถเชื่อมโยงกันได้อย่างทั่วถึงทั้งองค์กร เพื่อนำไปใช้ในการบริหารความเสี่ยงหรือเพื่อการตัดสินใจได้อย่างถูกต้องทันเวลา และมีระบบรักษาความปลอดภัยของระบบสารสนเทศและข้อมูลที่มีประสิทธิภาพเพียงพอ ตลอดจนมีการกำหนดแผนสำรองฉุกเฉินสำหรับป้องกันในเรื่องความปลอดภัยของระบบสารสนเทศขณะที่มีอุบัติภัยร้ายแรงจนระบบไม่สามารถปฏิบัติงานได้ รวมไปถึงการซักซ้อมแผนสำรองฉุกเฉินไว้เรียบร้อยแล้ว นอกจากนี้บริษัทฯ ยังมีระบบการจัดเก็บข้อมูลที่สามารถตรวจสอบความถูกต้องย้อนหลังได้ (Audit Trail) และมีระบบข้อมูลที่สามารถวิเคราะห์หรือบ่งชี้จุดที่อาจจะเกิดความเสี่ยงในเชิงสถิติได้อย่างเป็นระบบ ซึ่งทำการประเมินและจัดการความเสี่ยงพร้อมทั้งบันทึกหรือรายงานผลไว้อย่างครบถ้วน

นอกจากนี้บริษัทฯ มีช่องทางการติดต่อสื่อสารที่มีประสิทธิภาพ ประสิทธิผล สามารถติดต่อสื่อสารกันได้ทั่วทั้งองค์กร โดยข้อมูลที่สำคัญ เช่น การกำกับดูแลกิจการ จริยธรรมองค์กร  แนวทางการบริหารความเสี่ยง ระดับความเสี่ยงที่ยอมรับได้ นโยบายและกฎระเบียบต่างๆ บทบาทความรับผิดชอบและการแบ่งแยกหน้าที่  รวมไปถึงขั้นตอนและวิธีการปฏิบัติงาน เป็นต้น จะถูกถ่ายทอดจากผู้บริหารระดับสูงลงสู่พนักงานและจากพนักงานขึ้นตรงสู่ผู้บริหารระดับสูงได้อีกด้วยเช่นกัน อีกทั้งยังมีช่องทางและการติดต่อสื่อสารกับผู้มีส่วนได้เสียอื่นที่มีประสิทธิภาพ ทันเวลา

8.   การติดตามผล

บริษัทฯ มีขั้นตอนการติดตามและการกำกับดูแลการปฏิบัติงานเปรียบเทียบกับเป้าหมายหรือตัวชี้วัด (KPI) ที่กำหนดในแต่ละระดับอย่างเหมาะสมสม่ำเสมอ และมีระบบการวิเคราะห์ประเมินและติดตามผลการดำเนินงานที่ดี เช่น  กำหนดให้พนักงานระดับหัวหน้างานมีการติดตามผลการปฏิบัติงานและการรายงานของผู้ใต้บังคับบัญชาอย่างใกล้ชิดและรายงานต่อหัวหน้างานระดับสูงต่อไป เพื่อให้มั่นใจได้ว่ามาตรการและระบบการควบคุมภายในนั้นมีประสิทธิผลอยู่เสมอ สามารถตอบสนองต่อปัจจัยเสี่ยงและการเปลี่ยนแปลงได้อย่างเหมาะสม ทันเวลา รวมไปถึงให้มีการตรวจประเมินผลการปฏิบัติงาน โดยหน่วยงานตรวจสอบภายใน ซึ่งเป็นหน่วยงานอิสระ ผู้สอบบัญชี และผู้ประเมินอิสระจากภายนอก

บริษัทฯ มีระบบการติดตามผลการบริหารความเสี่ยงที่ดีและมีการกำหนดสัญญาณเตือนภัย เพื่อให้มั่นใจได้ว่า การบริหารและการจัดการความเสี่ยงมีประสิทธิผลเหมาะสมเพียงพอ ซึ่งความเสี่ยงนั้นอยู่ในระดับที่ยอมรับได้ โดยให้มีการรายงานผลต่อหัวหน้างานทุกระดับและต่อผู้บริหารระดับสูงอย่างสม่ำเสมอ และจัดให้มีการประชุมคณะกรรมการบริษัท และมีการประชุมผู้บริหารอย่างสม่ำเสมอ เพื่อพิจารณาและติดตามผลการดำเนินงานของฝ่ายบริหารว่าเป็นไปตามเป้าหมายและภายในระยะเวลาที่กำหนด

ในปัจจุบันสถานการณ์ต่างๆ ได้มีการเปลี่ยนแปลงไปอย่างมากและรวดเร็ว การบริหารความเสี่ยงจึงเป็นสิ่งที่มีความสำคัญ ช่วยให้บริษัทฯ สามารถบรรลุวัตถุประสงค์เมื่อมีเหตุการณ์ที่ไม่คาดคิดเกิดขึ้น ดังนั้น จึงมีความจำเป็นอย่างยิ่งที่บริษัทฯ จะต้องมีกลไกการบริหารงาน เพื่อสร้างความแข็งแกร่งและการเตรียมความพร้อมไว้อย่างรอบด้านเป็นการล่วงหน้า เพื่อให้บริษัทฯ สามารถบริหารความเสี่ยงและดำรงอยู่ได้อย่างมั่นคงตลอดไป 

บริษัทฯ มุ่งเน้นให้ความสำคัญกับการบริหารความเสี่ยงขององค์กร โดยมีคณะกรรมการบริหารความเสี่ยง ซึ่งมีประธานกรรมการบริหารของบริษัทฯ เป็นประธานคณะกรรมการบริหารความเสี่ยง และหัวหน้าคณะเจ้าหน้าที่ผู้บริหาร และผู้บริหารระดับสูง เป็นกรรมการ รวม 13 ท่าน ซึ่งในปี 2553 คณะกรรมการได้มีการประชุม 3 ครั้ง โดยได้พิจารณาแจกแจงความเสี่ยงครอบคลุมทั้งองค์กร จัดอันดับความเสี่ยง กำหนดแนวทางการบริหารความเสี่ยง มอบหมายผู้รับผิดชอบเพื่อจัดให้มีมาตรการควบคุมและจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อให้บริษัทฯ สามารถบรรลุเป้าหมายและกลยุทธ์ที่กำหนดไว้ และเพื่อสร้างความเชื่อมั่นให้กับผู้ถือหุ้นและผู้มีส่วนได้ส่วนเสีย รวมทั้งได้มีการทบทวนความเสี่ยงของบริษัทฯ อย่างสม่ำเสมอว่า บริษัทฯ มีความเสี่ยงด้านใดบ้างที่เพิ่มขึ้นหรือเปลี่ยนแปลงไป วิกฤตเศรษฐกิจที่เกิดขึ้นได้ส่งผลกระทบอย่างไร ต่อผู้ที่มีส่วนเกี่ยวข้องต่างๆ ของบริษัทฯ

คณะกรรมการบริหารความเสี่ยง มีการติดตามผลสำเร็จของการบริหารความเสี่ยง โดยพิจารณาจากแผนงานของฝ่ายจัดการที่รับผิดชอบในปัจจัยความเสี่ยงต่างๆ และผลของการวัดผลที่เชื่อถือได้ของการปฏิบัติงานตามแผนงาน และในการประชุมทุกครั้ง คณะกรรมการบริหารความเสี่ยงจะกำหนดให้ฝ่ายจัดการที่รับผิดชอบรายงานผลการบริหารความเสี่ยงที่ได้แจกแจงไว้จากรอบการประชุมครั้งก่อน รวมทั้งมีการพิจารณาว่าระดับความเสี่ยงลดลงหรือไม่ ทั้งนี้เพื่อให้การบริหารความเสี่ยงมีประสิทธิผลอย่างแท้จริง

ในทุกไตรมาส คณะกรรมการบริหารความเสี่ยงได้นำเสนอผลการบริหารความเสี่ยงให้คณะกรรมการตรวจสอบ คณะกรรมการบริษัท และคณะกรรมการบริหารได้รับทราบ เพื่อให้มีการจัดการความเสี่ยงและติดตามอย่างใกล้ชิด และมั่นใจได้ว่าความเสี่ยงอยู่ในระดับที่ยอมรับได้ รวมทั้งบริษัทฯ สามารถบรรลุเป้าหมายที่กำหนดไว้ ซึ่งสรุปปัจจัยความเสี่ยงที่อาจส่งผลกระทบต่อผลการดำเนินงานของบริษัทฯ ไว้ในส่วนของปัจจัยเสี่ยงเรียบร้อยแล้ว

ในการประชุมคณะกรรมการบริษัท ครั้งที่ 1/2554 เมื่อวันที่ 21 มกราคม 2554 โดยมีคณะกรรมการตรวจสอบเข้าร่วมประชุมด้วย คณะกรรมการบริษัทได้ประเมินระบบการควบคุมภายในของบริษัทฯ จากการสอบทานการประเมินประสิทธิผลของระบบการควบคุมภายใน และจากการซักถามข้อมูลจากฝ่ายบริหาร ผลการประเมินจากแบบประเมินความเพียงพอของระบบการควบคุมภายใน สรุปได้ว่า บริษัทฯ มีระบบการควบคุมภายในที่มีประสิทธิผลเหมาะสมเพียงพอ

นอกจากนี้ ผู้สอบบัญชีของบริษัทฯ คือ บริษัท เคพีเอ็มจี ภูมิไชย สอบบัญชี จำกัด ซึ่งเป็นผู้ตรวจสอบงบการเงินประจำปี 2553 ได้ประเมินประสิทธิผลของระบบการควบคุมภายในของบริษัทฯ ตามที่เห็นว่าจำเป็น โดยพบว่า ไม่มีจุดอ่อนของระบบการควบคุมภายในที่มีสาระสำคัญแต่ประการใด

การตรวจสอบภายใน

หน่วยงานตรวจสอบภายในมีความเป็นอิสระ รายงานตรงต่อคณะกรรมการตรวจสอบในด้านงานตรวจสอบภายใน และรายงานต่อประธานกรรมการบริหารในด้านงานบริหารหน่วยงาน โดยมีกฎบัตรของหน่วยงาน ซึ่งกำหนดภารกิจ ขอบเขต วัตถุประสงค์และภาระหน้าที่ความรับผิดชอบ รวมถึงสิทธิในการปฏิบัติงานตรวจสอบไว้อย่างชัดเจน และมีการจัดทำคู่มือการปฏิบัติงานตรวจสอบที่ปรับปรุงเปลี่ยนแปลงอยู่เสมอ เพื่อใช้อ้างอิงการปฏิบัติงานให้เป็นทิศทางเดียวกัน 

หน่วยงานตรวจสอบภายใน ทำหน้าที่ตรวจประเมินประสิทธิผลของระบบการควบคุมภายใน ระบบการบริหารความเสี่ยง การกำกับดูแลกิจการของบริษัทฯ ตามแผนงานการตรวจสอบประจำปี ซึ่งได้พิจารณาจากวัตถุประสงค์ กลยุทธ์ พันธกิจในระดับภาพรวม ตลอดจนพิจารณาจากปัจจัยเสี่ยงที่เกี่ยวข้อง (Risk Based Audit Approach) โดยผ่านการอนุมัติจากคณะกรรมการตรวจสอบ รวมทั้งการให้คำปรึกษาแนะนำในด้านการประเมินตนเองในการควบคุมด้านต่างๆ (Control Self Assessment, CSA) เพื่อให้เกิดความเชื่อมั่นว่า การปฏิบัติงานต่างๆ จะบรรลุผลตามกลยุทธ์และวัตถุประสงค์ที่กำหนดไว้ อีกทั้งยังทำการติดตามประเมินผลอย่างสม่ำเสมอ เพื่อให้เกิดความมั่นใจในระบบที่วางไว้ว่าได้ดำเนินการเป็นไปอย่างต่อเนื่อง และได้รับการแก้ไขปรับปรุงอย่างสม่ำเสมอ

ในปี 2553 บริษัทฯ  ได้อนุมัติงบประมาณในการจัดให้มีการตรวจคุณภาพด้านการตรวจสอบภายใน โดยใช้องค์กรอิสระจากภายนอกเป็นผู้ประเมิน เพื่อเป็นการยกระดับมาตรฐานด้านคุณภาพของหน่วยงานตรวจสอบภายใน โดยจะมีการตรวจประเมินคุณภาพ (Quality Assessment Review, QAR) ในปี 2554 

ในการตรวจประเมินความมีประสิทธิผลของระบบการบริหารความเสี่ยง หน่วยงานตรวจสอบภายในได้ดำเนินการสอบทานตัวบ่งชี้เหตุการณ์หรือปัจจัยเสี่ยงที่ส่งผลกระทบต่อวัตถุประสงค์ และแนวทางการบริหารความเสี่ยงของผู้ปฏิบัติงาน เพื่อให้มั่นใจว่ามีการระบุและประเมินความเสี่ยงได้อย่างถูกต้องเหมาะสม และมีการบริหารความเสี่ยงที่เป็นระบบสามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ และมีการรายงานอย่างครบถ้วนทันเวลาพร้อมทั้งยังมีการติดตามสอบทานความเสี่ยงอย่างต่อเนื่องสม่ำเสมอ

ในการตรวจประเมินความมีประสิทธิผลของระบบการควบคุมภายในหน่วยงานตรวจสอบภายในได้จัดทำแบบประเมินความเพียงพอของระบบการควบคุมภายในของแต่ละระบบงานตามกรอบแนวทาง COSO-ERM รวมทั้งได้ทำการสอบทานผลการปฏิบัติงาน และสนับสนุนให้แต่ละหน่วยงานมีการประเมินตนเองในการควบคุมในแต่ละขั้นตอน เพื่อให้มั่นใจว่า บริษัทฯ จะสามารถบรรลุวัตถุประสงค์ที่ตั้งไว้อย่างมีประสิทธิภาพและประสิทธิผล โดยปฏิบัติตามกฎ ระเบียบ ข้อบังคับต่างๆ อย่างเคร่งครัด และรายงานทางการเงินมีความถูกต้องน่าเชื่อถือ
ในการตรวจประเมินความมีประสิทธิผลของระบบการกำกับดูแลกิจการหน่วยงานตรวจสอบภายในได้ตรวจประเมินการกำกับดูแลกิจการตามหลักการกำกับดูแลกิจการที่ดีขององค์กรเพื่อความร่วมมือและพัฒนาทางเศรษฐกิจ (The Organization for Economic Co-Operation and Development, OECD) และตลาดหลักทรัพย์แห่งประเทศไทยเป็นเกณฑ์ เพื่อให้มั่นใจว่า บริษัทฯ มีโครงสร้างและการสนับสนุนของกระบวนการที่จำเป็นในการนำไปสู่ผลสำเร็จของการกำกับดูแลที่ดีและโปร่งใสและให้ความเป็นธรรมเท่าเทียมกัน ตลอดจนมีการนำทรัพยากรไปใช้อย่างมีประสิทธิภาพ ประสิทธิผล ตรงตามวัตถุประสงค์ เพื่อก่อให้เกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียทุกฝ่าย

ในการตรวจประเมินความเสี่ยงด้านการทุจริตจากภายนอกและภายในองค์กร หน่วยงานตรวจสอบภายในได้ตรวจประเมินความเสี่ยงด้านการทุจริตเพื่อช่วยบ่งชี้สิ่งบอกเหตุและประเมินความเป็นไปได้ในเรื่องการทุจริตจากภายนอกและภายในองค์กรและพิจารณามาตรการป้องกันและการควบคุมให้มีประสิทธิภาพสูงสุด เพื่อให้มั่นใจได้ว่า บริษัทฯ จะสามารถป้องกันและควบคุมเพื่อให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้

ในการตรวจประเมินตนเองในการควบคุม (CSA)   หน่วยงานตรวจสอบภายในได้สนับสนุนการตรวจประเมินตนเองในการควบคุมการปฏิบัติงานของแต่ละหน่วยงาน โดยให้คำปรึกษาแนะนำ จัดให้มีการฝึกอบรม การใช้เครื่องมือที่มีประสิทธิผลในการประเมิน จัดให้มีการทำกรณีศึกษา เพื่อให้หน่วยงานต่างๆมีมาตรการควบคุมตนเองที่ดีรวมอยู่ในระบบปฏิบัติงานที่ดี และสามารถบริหารความเสี่ยงที่สำคัญได้อย่างมีประสิทธิภาพ ทันเวลา โดยให้ความเชื่อมั่นว่า การปฏิบัติงานของหน่วยงานต่างๆ จะสามารถบรรลุผลตามกลยุทธ์และวัตถุประสงค์ที่กำหนดไว้ได้ ภายในระยะเวลาที่กำหนด

นอกจากนี้หัวหน้าหน่วยงานตรวจสอบภายใน ได้ปฏิบัติหน้าที่เป็นเลขานุการของคณะกรรมการตรวจสอบ เพื่อสนับสนุนภาระหน้าที่และความรับผิดชอบทุกหน้าที่ของคณะกรรมการตรวจสอบที่ได้รับมอบหมายมาจากคณะกรรมการบริษัทให้มีประสิทธิผล โดยจัดให้มีการประชุมคณะกรรมการตรวจสอบเดือนละ 1 ครั้ง และยังมีบทบาทในการให้คำปรึกษาแนะนำในด้านต่างๆ โดยร่วมเป็นกรรมการของคณะกรรมการบริหารความเสี่ยง คณะกรรมการด้านความปลอดภัยระบบสารสนเทศของบริษัทฯ เพื่อให้ข้อเสนอแนะที่เป็นประโยชน์ต่อองค์กร

หน่วยงานตรวจสอบภายใน ได้ยึดถือกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (The International Professional Practices Framework: IPPF) และปฏิบัติงานตามมาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (The  International Standards for the Professional Practice of Internal Auditing), COSO-ERM, ISO 31000 ส่วนในด้านระบบสารสนเทศ ได้ปฏิบัติตามแนวทาง CobiT 4.1 IT Governance, ISO 17799 เป็นกรอบการปฏิบัติงานเพิ่มเติม เพื่อให้มั่นใจว่า ระบบสารสนเทศของบริษัทฯ มีความปลอดภัยและมีการกำกับดูแลที่ดี อีกทั้งได้มุ่งเน้นการพัฒนางานตรวจสอบภายในให้มีคุณภาพเทียบเท่ามาตรฐานสากล โดยมีการประเมินคุณภาพภายในอย่างต่อเนื่องด้วยตนเอง ตลอดจนพนักงานตรวจสอบภายในทุกคนมีการปฏิบัติหน้าที่ที่เป็นอิสระ เที่ยงธรรม สอดคล้องตามประมวลจรรยาบรรณของผู้ตรวจสอบภายใน ( Code of Ethics) 

นอกจากนี้ พนักงานของหน่วยงานตรวจสอบภายในยังได้รับการฝึกอบรมอย่างต่อเนื่องสม่ำเสมอ ตามแผนการฝึกอบรมแบบรายบุคคล (Individual Development Plan) รวมถึงการพัฒนาสอบวุฒิบัตรต่างๆ โดยปัจจุบัน หน่วยงานตรวจสอบภายในมีผู้มีวุฒิบัตร CIA (Certified Internal Auditor) จำนวน 5 ท่าน วุฒิบัตร CISA (Certified Information System Auditor) จำนวน 3 ท่าน วุฒิบัตร CISSP (Certified Information Systems Security Professional) จำนวน 1 ท่าน วุฒิบัตร CPA (Certified Public Accountant) จำนวน 3 ท่าน วุฒิบัตร TA (Tax Auditor) จำนวน 1 ท่าน โดยเจ้าหน้าที่อีกจำนวนหนึ่งอยู่ระหว่างการพัฒนาให้มีวุฒิบัตร CIA, CISA, CCSA (The Certification in Control Self-Assessment) อย่างต่อเนื่อง เพื่อให้มั่นใจว่า การปฏิบัติงานของหน่วยงานตรวจสอบภายใน จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ อีกทั้งยังสามารถสนับสนุนการกำกับดูแลที่ดีและเพิ่มคุณค่าให้แก่บริษัทฯ ได้อย่างมีประสิทธิภาพประสิทธิผล

ที่มา บมจ. แอดวานซ์ อินโฟร์ เซอร์วิส

เขียนโดย  1.นายธันญารัตน์       ทองน้อย            
                 2.นางสาวนภัสวรรณ   ประสารศรี