Computer Controls for Accounting Information Systems
ภาพที่ 1 ระบบการควบคุมภายในและการบริหารความเสี่ยง
ระบบการควบคุมภายในและการบริหารความเสี่ยง
ระบบการควบคุมภายในและการบริหารความเสี่ยง
เป็นกลไกที่สำคัญต่อการบรรลุวัตถุประสงค์และความ
สำเร็จของบริษัทฯ ประกอบกับบริษัทฯ
มีนโยบายที่จะดำเนินธุรกิจให้เจริญเติบโตอย่างยั่งยืนและ
เพิ่มมูลค่าให้กับผู้มีส่วนได้เสียบริษัทฯ
จึงเล็งเห็นความสำคัญของระบบการควบคุมภายในและการบริหาร
ความเสี่ยงเป็นอย่างยิ่ง
โดยมอบหมายให้พนักงานทุกคนของบริษัทฯ
มีบทบาทและหน้าที่ความรับผิดชอบ
ร่วมกันและได้กำหนดอำนาจการดำเนินการในระดับบริหารและระดับปฏิบัติการไว้เป็นลายลักษณ์อักษรอย่างชัดเจน
ครอบคลุมถึง การควบคุมทางการเงิน การดำเนินงาน การบริหาร
และการกำกับดูแล
การปฏิบัติงานให้เป็นไปตามกฎหมายและระเบียบที่เกี่ยวข้องทั้งภายในและภายนอก
รวมทั้งได้กำหนดให้มี
การประเมินตนเอง (Control Self Assessment, CSA) โดยให้พนักงานมีความรับผิดชอบในการสร้างและพัฒนาระบบการควบคุมภายในของระบบงานที่รับผิดชอบด้วยตนเอง
และให้มีความรับผิดชอบต่อ
การประเมินความเสี่ยงอย่างต่อเนื่อง
เพื่อสร้างความแข็งแกร่งของระบบการควบคุมภายในและการบริหารความเสี่ยงให้สามารถตอบสนองต่อ การเปลี่ยนแปลงและความเสี่ยงอย่างทันท่วงที
เพื่อก่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า
ผลสำเร็จของงานจะสามารถบรรลุวัตถุประสงค์ของบริษัทฯ ดังนี้
1.กลยุทธ์และเป้าหมาย ได้กำหนดไว้อย่างชัดเจนสามารถนำมาปฏิบัติได้จริงโดยสอดคล้องและสนับสนุนพันธกิจ (Mission) ของบริษัทฯ
2.ผลการปฏิบัติงานบรรลุตามวัตถุประสงค์ที่กำหนดไว้อย่างมีประสิทธิผลโดยมีการบริหารทรัพยากรของ บริษัทฯ อย่างมีประสิทธิภาพคุ้มค่า
3.รายงานข้อมูลที่มีสาระสำคัญ ทั้งด้านการเงิน การบริหาร และการดำเนินงาน
มีความถูกต้อง เชื่อถือได้และสามารถนำไปใช้เพื่อการตัดสินใจได้ทันเวลา
4. การดำเนินงานและการปฏิบัติงาน เป็นไปตามนโยบาย กฎ ระเบียบและข้อกำหนดที่สอดคล้องกับกฎหมายและข้อบังคับอื่นๆที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัทฯ
ทั้งภายในและภายนอกบริษัทฯ
5.มีระบบการป้องกันควบคุมดูแลทรัพย์สิน บุคลากร
รวมทั้งข้อมูลในระบบสารสนเทศอย่างปลอดภัยเหมาะสม
6.มีระบบการกำกับดูแลอย่างใกล้ชิดตลอดเวลาและมีระบบการบริหารจัดการที่มีคุณภาพและ
มีประสิทธิผล
7.มีการปรับปรุงคุณภาพการปฏิบัติงานทั้งด้านบุคลากร ทรัพย์สินอุปกรณ์ และระบบปฏิบัติการต่างๆ
อย่างต่อเนื่อง
อย่างต่อเนื่อง
8. มีระบบการประเมินตนเองในการควบคุมของระบบงานที่สำคัญทั่วทั้งองค์กรอย่างเหมาะสม
9.บริษัทฯ มีระบบการควบคุมภายในและการบริหารความเสี่ยงที่เหมาะสมมีประสิทธิผล โดยปฏิบัติตามกรอบโครงสร้างการควบคุมภายในและการบริหารความเสี่ยง ซึ่งอ้างอิงตามมาตรฐานสากลของ The Committee of Sponsoring Organizations of the Treadway Commission -Enterprise Risk Management (COSO-ERM) ซึ่งสัมพันธ์กับการดำเนินธุรกิจและกระบวนการบริหารงานของบริษัทฯ ทั้ง 8 องค์ประกอบ ดังนี้
1. สภาพแวดล้อมภายในองค์กร
บริษัทฯ สนับสนุนให้มีสภาพแวดล้อมการทำงานที่ดี
โดยมีการกำหนดนโยบาย การวางแผน การดำเนินการ การควบคุม การติดตามที่เหมาะสม
มีการจัดโครงสร้างการบริหารที่ดี เหมาะสมตามขนาดและการดำเนินธุรกิจของบริษัทฯ
มีการปฏิบัติตามนโยบายการกำกับดูแลที่ดี ยึดมั่นในปรัชญาและจรรยาบรรณธุรกิจ (Code of Business Ethics) ที่มีข้อกำหนดและแนวทางปฏิบัติที่เป็นลายลักษณ์อักษร
มีการแต่งตั้งคณะกรรมการจริยธรรมธุรกิจ โดยมีหัวหน้าคณะเจ้าหน้าที่ผู้บริหารเป็นประธาน
และผู้บริหารระดับสูงเป็นกรรมการ เพื่อกำกับดูแลกิจการให้บริษัทฯ
ดำเนินธุรกิจสอดคล้องกับนโยบายการกำกับดูแลกิจการที่ดี
และเป็นตัวอย่างที่ดีในเรื่องความซื่อสัตย์และจริยธรรม
มีการปฏิบัติต่อผู้มีส่วนได้เสียโดยคำนึงถึงความเป็นธรรมต่อทุกฝ่าย มีการกำหนดอำนาจหน้าที่และความรับผิดชอบในแต่ละระดับอย่างชัดเจน
มีการแต่งตั้งคณะกรรมการบริหารความเสี่ยงเป็นลายลักษณ์อักษร
และกำหนดบทบาทหน้าที่รวมถึงแนวทางการบริหารความเสี่ยงและการจัดการความเสี่ยงอย่างเป็นระบบต่อเนื่อง
มีการสื่อสารและสร้างความเข้าใจกับพนักงานทุกระดับ
ตลอดจนมีการกำหนดระดับของความเสี่ยงที่ยอมรับได้ ที่เชื่อมโยงกับกลยุทธ์ของบริษัทฯ
เพื่อให้มั่นใจได้ว่า บริษัทฯ
มีระบบการควบคุมภายในและระบบการบริหารความเสี่ยงที่ดี
สามารถป้องกันหรือลดความเสียหายที่อาจจะเกิดขึ้น ส่งผลให้บริษัทฯ
จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้อย่างมีประสิทธิภาพ ประสิทธิผล
นอกจากนี้
บริษัทฯ ยังให้ความสำคัญในเรื่องบุคลากร ซึ่งถือเป็นทรัพยากรที่สำคัญที่สุด โดยกำหนดให้มีวัฒนธรรมองค์กร (Corporate Culture) มาตรฐานการประเมินผล
และการให้ผลตอบแทนที่ชัดเจนเป็นธรรม
พร้อมทั้งจัดให้พนักงานได้รับการพัฒนาฝึกอบรม ความรู้ ทักษะ
ความสามารถให้เหมาะสมกับงานที่ได้รับมอบหมาย
และเตรียมความพร้อมเพื่อรองรับการเปลี่ยนแปลงด้านต่างๆ ตามแผนการฝึกอบรมรายบุคคล (Individual
Development Plan) เพื่อส่งเสริมและพัฒนาศักยภาพบุคลากรของบริษัทฯ
สู่ความเป็นเลิศและความเป็นมาตรฐานสากลอย่างต่อเนื่องสม่ำเสมอ
2. การกำหนดวัตถุประสงค์
บริษัทฯ
มีการกำหนดวัตถุประสงค์หรือเป้าหมายการปฏิบัติงานในแต่ละระดับอย่างชัดเจน
รวมทั้งด้านกลยุทธ์ ด้านการปฏิบัติงาน ด้านการรายงาน
รวมทั้งด้านการปฏิบัติตามนโยบาย กฎ ระเบียบ ข้อปฏิบัติต่างๆ ซึ่งบันทึกเป็นลายลักษณ์อักษร
โดยสอดคล้องกับเป้าหมายหลักหรือพันธกิจในภาพรวม ตลอดจนระดับความเสี่ยงที่ยอมรับได้
นอกจากนี้บริษัทฯ ยังได้มีการปรับเปลี่ยนแผนงาน
กลยุทธ์และวัตถุประสงค์ให้สอดคล้องกับสถานการณ์และปัจจัยเสี่ยงที่เปลี่ยนแปลงไปอย่างสม่ำเสมอ
3. การบ่งชี้เหตุการณ์
บริษัทฯ
ได้ระบุตัวบ่งชี้เหตุการณ์หรือปัจจัยเสี่ยงต่างๆ
ที่อาจส่งผลเสียหายต่อวัตถุประสงค์ในระดับองค์กร และระดับปฏิบัติการของบริษัทฯ
ไว้อย่างเหมาะสมเป็นระบบ
รวมทั้งระบุเหตุการณ์ที่อาจจะเกิดขึ้นที่เอื้ออำนวยต่อวัตถุประสงค์ทางด้านบวกไว้ด้วย
โดยพิจารณาจากแหล่งความเสี่ยงภายนอกและภายในบริษัทฯ
และยังมีการติดตามผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า บริษัทฯ
มีการระบุปัจจัยเสี่ยงที่ครอบคลุมต่อการเปลี่ยนแปลงของแต่ละระดับ
รวมทั้งมีการรายงานต่อผู้บริหารหรือผู้เกี่ยวข้องให้รับทราบอยู่เสมอ
4. การประเมินความเสี่ยง
บริษัทฯ
มีเครื่องมือและวิธีการประเมินความเสี่ยงอย่างเป็นระบบ
อีกทั้งยังมีการจัดทำคู่มือการบริหารความเสี่ยงเพื่อเป็นแนวทางการปฏิบัติไว้อย่างชัดเจน
และได้กำหนดหลักเกณฑ์ของการประเมินความเสี่ยงในแต่ละระดับไว้อย่างเหมาะสม
ทั้งในระดับองค์กรและระดับปฏิบัติการ ตลอดจนทำการประเมินในเชิงคุณภาพและเชิงปริมาณ
โดยพิจารณาจากระดับความเสี่ยงที่ยอมรับได้ขององค์กร ซึ่งจะทำการประเมินทั้ง 2 ด้าน คือ
ผลกระทบต่อความเสียหายที่จะเกิดเหตุการณ์นั้น (Impact) และโอกาสที่จะเกิดเหตุการณ์ความเสี่ยง
(Likelihood) เพื่อพิจารณาระดับค่าของความเสี่ยงที่อาจเป็นระดับสูง
กลาง หรือต่ำ
5. การตอบสนองความเสี่ยงบริษัทฯ
มีกระบวนการบริหารความเสี่ยงอย่างเป็นระบบต่อเนื่อง
โดยกำหนดกลยุทธ์การตอบสนองต่อความเสี่ยงในแต่ละระดับ และในภาพรวม ซึ่งได้แก่
การหลีกเลี่ยง การลด การโอนให้ผู้อื่นและการยอมรับความเสี่ยงไว้อย่างชัดเจน
เพื่อให้มั่นใจได้ว่า บริษัทฯ ได้มีการพิจารณาทางเลือกที่มีความคุ้มค่าที่สุด
และมีประสิทธิผลที่สุด โดยเลือกจัดการกับความเสี่ยงระดับสูงเป็นอันดับแรก
เพื่อลดโอกาสและผลกระทบในภาพรวมที่จะเกิดเหตุการณ์นั้น
รวมทั้งยังมีมาตรการควบคุมภายในที่ดี
มีประสิทธิภาพเหมาะสมกับความเสี่ยงที่เปลี่ยนแปลงไป
6. กิจกรรมการควบคุม
บริษัทฯ
ได้กำหนดนโยบายและวิธีการปฏิบัติงานในแต่ละระดับไว้อย่างชัดเจน
ตลอดจนกำหนดกิจกรรมการควบคุมที่มีสาระสำคัญในแต่ละระดับไว้อย่างเหมาะสม
โดยเน้นกิจกรรมการควบคุมแบบป้องกันเป็นหลัก
รวมทั้งมีการประเมินและรายงานผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า
วิธีการจัดการความเสี่ยงหรือกิจกรรมการควบคุมนั้นได้มีการนำไปปฏิบัติจริง
สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้ รวมถึงคุณภาพและความรวดเร็วที่ควบคู่กันไปด้วย
นอกจากนี้ผู้บริหารระดับสูง
ยังได้มีการทบทวนนโยบายระเบียบปฏิบัติและกิจกรรมการควบคุมเป็นระยะๆ เพื่อให้สอดคล้องกับสถานการณ์หรือความเสี่ยงที่เปลี่ยนแปลงไปอย่างสม่ำเสมอ
เพื่อให้มั่นใจได้ว่า จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้
7. ข้อมูลและการติดต่อสื่อสาร
บริษัทฯ
มีระบบสารสนเทศและข้อมูลที่สามารถเชื่อมโยงกันได้อย่างทั่วถึงทั้งองค์กร เพื่อนำไปใช้ในการบริหารความเสี่ยงหรือเพื่อการตัดสินใจได้อย่างถูกต้องทันเวลา
และมีระบบรักษาความปลอดภัยของระบบสารสนเทศและข้อมูลที่มีประสิทธิภาพเพียงพอ
ตลอดจนมีการกำหนดแผนสำรองฉุกเฉินสำหรับป้องกันในเรื่องความปลอดภัยของระบบสารสนเทศขณะที่มีอุบัติภัยร้ายแรงจนระบบไม่สามารถปฏิบัติงานได้
รวมไปถึงการซักซ้อมแผนสำรองฉุกเฉินไว้เรียบร้อยแล้ว นอกจากนี้บริษัทฯ
ยังมีระบบการจัดเก็บข้อมูลที่สามารถตรวจสอบความถูกต้องย้อนหลังได้ (Audit Trail) และมีระบบข้อมูลที่สามารถวิเคราะห์หรือบ่งชี้จุดที่อาจจะเกิดความเสี่ยงในเชิงสถิติได้อย่างเป็นระบบ
ซึ่งทำการประเมินและจัดการความเสี่ยงพร้อมทั้งบันทึกหรือรายงานผลไว้อย่างครบถ้วน
นอกจากนี้บริษัทฯ
มีช่องทางการติดต่อสื่อสารที่มีประสิทธิภาพ ประสิทธิผล
สามารถติดต่อสื่อสารกันได้ทั่วทั้งองค์กร โดยข้อมูลที่สำคัญ เช่น
การกำกับดูแลกิจการ จริยธรรมองค์กร แนวทางการบริหารความเสี่ยง
ระดับความเสี่ยงที่ยอมรับได้ นโยบายและกฎระเบียบต่างๆ
บทบาทความรับผิดชอบและการแบ่งแยกหน้าที่
รวมไปถึงขั้นตอนและวิธีการปฏิบัติงาน เป็นต้น
จะถูกถ่ายทอดจากผู้บริหารระดับสูงลงสู่พนักงานและจากพนักงานขึ้นตรงสู่ผู้บริหารระดับสูงได้อีกด้วยเช่นกัน
อีกทั้งยังมีช่องทางและการติดต่อสื่อสารกับผู้มีส่วนได้เสียอื่นที่มีประสิทธิภาพ
ทันเวลา
8. การติดตามผล
บริษัทฯ
มีขั้นตอนการติดตามและการกำกับดูแลการปฏิบัติงานเปรียบเทียบกับเป้าหมายหรือตัวชี้วัด
(KPI) ที่กำหนดในแต่ละระดับอย่างเหมาะสมสม่ำเสมอ
และมีระบบการวิเคราะห์ประเมินและติดตามผลการดำเนินงานที่ดี เช่น
กำหนดให้พนักงานระดับหัวหน้างานมีการติดตามผลการปฏิบัติงานและการรายงานของผู้ใต้บังคับบัญชาอย่างใกล้ชิดและรายงานต่อหัวหน้างานระดับสูงต่อไป
เพื่อให้มั่นใจได้ว่ามาตรการและระบบการควบคุมภายในนั้นมีประสิทธิผลอยู่เสมอ
สามารถตอบสนองต่อปัจจัยเสี่ยงและการเปลี่ยนแปลงได้อย่างเหมาะสม ทันเวลา
รวมไปถึงให้มีการตรวจประเมินผลการปฏิบัติงาน โดยหน่วยงานตรวจสอบภายใน
ซึ่งเป็นหน่วยงานอิสระ ผู้สอบบัญชี และผู้ประเมินอิสระจากภายนอก
บริษัทฯ
มีระบบการติดตามผลการบริหารความเสี่ยงที่ดีและมีการกำหนดสัญญาณเตือนภัย
เพื่อให้มั่นใจได้ว่า การบริหารและการจัดการความเสี่ยงมีประสิทธิผลเหมาะสมเพียงพอ
ซึ่งความเสี่ยงนั้นอยู่ในระดับที่ยอมรับได้
โดยให้มีการรายงานผลต่อหัวหน้างานทุกระดับและต่อผู้บริหารระดับสูงอย่างสม่ำเสมอ
และจัดให้มีการประชุมคณะกรรมการบริษัท และมีการประชุมผู้บริหารอย่างสม่ำเสมอ
เพื่อพิจารณาและติดตามผลการดำเนินงานของฝ่ายบริหารว่าเป็นไปตามเป้าหมายและภายในระยะเวลาที่กำหนด
ในปัจจุบันสถานการณ์ต่างๆ
ได้มีการเปลี่ยนแปลงไปอย่างมากและรวดเร็ว
การบริหารความเสี่ยงจึงเป็นสิ่งที่มีความสำคัญ ช่วยให้บริษัทฯ
สามารถบรรลุวัตถุประสงค์เมื่อมีเหตุการณ์ที่ไม่คาดคิดเกิดขึ้น ดังนั้น
จึงมีความจำเป็นอย่างยิ่งที่บริษัทฯ จะต้องมีกลไกการบริหารงาน
เพื่อสร้างความแข็งแกร่งและการเตรียมความพร้อมไว้อย่างรอบด้านเป็นการล่วงหน้า
เพื่อให้บริษัทฯ สามารถบริหารความเสี่ยงและดำรงอยู่ได้อย่างมั่นคงตลอดไป
บริษัทฯ
มุ่งเน้นให้ความสำคัญกับการบริหารความเสี่ยงขององค์กร
โดยมีคณะกรรมการบริหารความเสี่ยง ซึ่งมีประธานกรรมการบริหารของบริษัทฯ
เป็นประธานคณะกรรมการบริหารความเสี่ยง และหัวหน้าคณะเจ้าหน้าที่ผู้บริหาร
และผู้บริหารระดับสูง เป็นกรรมการ รวม 13 ท่าน ซึ่งในปี 2553
คณะกรรมการได้มีการประชุม 3 ครั้ง
โดยได้พิจารณาแจกแจงความเสี่ยงครอบคลุมทั้งองค์กร จัดอันดับความเสี่ยง
กำหนดแนวทางการบริหารความเสี่ยง
มอบหมายผู้รับผิดชอบเพื่อจัดให้มีมาตรการควบคุมและจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
เพื่อให้บริษัทฯ สามารถบรรลุเป้าหมายและกลยุทธ์ที่กำหนดไว้
และเพื่อสร้างความเชื่อมั่นให้กับผู้ถือหุ้นและผู้มีส่วนได้ส่วนเสีย
รวมทั้งได้มีการทบทวนความเสี่ยงของบริษัทฯ อย่างสม่ำเสมอว่า บริษัทฯ
มีความเสี่ยงด้านใดบ้างที่เพิ่มขึ้นหรือเปลี่ยนแปลงไป วิกฤตเศรษฐกิจที่เกิดขึ้นได้ส่งผลกระทบอย่างไร
ต่อผู้ที่มีส่วนเกี่ยวข้องต่างๆ ของบริษัทฯ
คณะกรรมการบริหารความเสี่ยง
มีการติดตามผลสำเร็จของการบริหารความเสี่ยง
โดยพิจารณาจากแผนงานของฝ่ายจัดการที่รับผิดชอบในปัจจัยความเสี่ยงต่างๆ
และผลของการวัดผลที่เชื่อถือได้ของการปฏิบัติงานตามแผนงาน และในการประชุมทุกครั้ง
คณะกรรมการบริหารความเสี่ยงจะกำหนดให้ฝ่ายจัดการที่รับผิดชอบรายงานผลการบริหารความเสี่ยงที่ได้แจกแจงไว้จากรอบการประชุมครั้งก่อน
รวมทั้งมีการพิจารณาว่าระดับความเสี่ยงลดลงหรือไม่
ทั้งนี้เพื่อให้การบริหารความเสี่ยงมีประสิทธิผลอย่างแท้จริง
ในทุกไตรมาส
คณะกรรมการบริหารความเสี่ยงได้นำเสนอผลการบริหารความเสี่ยงให้คณะกรรมการตรวจสอบ
คณะกรรมการบริษัท และคณะกรรมการบริหารได้รับทราบ
เพื่อให้มีการจัดการความเสี่ยงและติดตามอย่างใกล้ชิด
และมั่นใจได้ว่าความเสี่ยงอยู่ในระดับที่ยอมรับได้ รวมทั้งบริษัทฯ สามารถบรรลุเป้าหมายที่กำหนดไว้
ซึ่งสรุปปัจจัยความเสี่ยงที่อาจส่งผลกระทบต่อผลการดำเนินงานของบริษัทฯ
ไว้ในส่วนของปัจจัยเสี่ยงเรียบร้อยแล้ว
ในการประชุมคณะกรรมการบริษัท
ครั้งที่ 1/2554 เมื่อวันที่ 21 มกราคม 2554
โดยมีคณะกรรมการตรวจสอบเข้าร่วมประชุมด้วย คณะกรรมการบริษัทได้ประเมินระบบการควบคุมภายในของบริษัทฯ
จากการสอบทานการประเมินประสิทธิผลของระบบการควบคุมภายใน
และจากการซักถามข้อมูลจากฝ่ายบริหาร
ผลการประเมินจากแบบประเมินความเพียงพอของระบบการควบคุมภายใน สรุปได้ว่า บริษัทฯ
มีระบบการควบคุมภายในที่มีประสิทธิผลเหมาะสมเพียงพอ
นอกจากนี้
ผู้สอบบัญชีของบริษัทฯ คือ บริษัท เคพีเอ็มจี ภูมิไชย สอบบัญชี จำกัด
ซึ่งเป็นผู้ตรวจสอบงบการเงินประจำปี 2553
ได้ประเมินประสิทธิผลของระบบการควบคุมภายในของบริษัทฯ ตามที่เห็นว่าจำเป็น
โดยพบว่า ไม่มีจุดอ่อนของระบบการควบคุมภายในที่มีสาระสำคัญแต่ประการใด
การตรวจสอบภายใน
หน่วยงานตรวจสอบภายในมีความเป็นอิสระ
รายงานตรงต่อคณะกรรมการตรวจสอบในด้านงานตรวจสอบภายใน
และรายงานต่อประธานกรรมการบริหารในด้านงานบริหารหน่วยงาน โดยมีกฎบัตรของหน่วยงาน
ซึ่งกำหนดภารกิจ ขอบเขต วัตถุประสงค์และภาระหน้าที่ความรับผิดชอบ รวมถึงสิทธิในการปฏิบัติงานตรวจสอบไว้อย่างชัดเจน
และมีการจัดทำคู่มือการปฏิบัติงานตรวจสอบที่ปรับปรุงเปลี่ยนแปลงอยู่เสมอ
เพื่อใช้อ้างอิงการปฏิบัติงานให้เป็นทิศทางเดียวกัน
หน่วยงานตรวจสอบภายใน
ทำหน้าที่ตรวจประเมินประสิทธิผลของระบบการควบคุมภายใน ระบบการบริหารความเสี่ยง
การกำกับดูแลกิจการของบริษัทฯ ตามแผนงานการตรวจสอบประจำปี
ซึ่งได้พิจารณาจากวัตถุประสงค์ กลยุทธ์ พันธกิจในระดับภาพรวม
ตลอดจนพิจารณาจากปัจจัยเสี่ยงที่เกี่ยวข้อง (Risk Based Audit Approach) โดยผ่านการอนุมัติจากคณะกรรมการตรวจสอบ
รวมทั้งการให้คำปรึกษาแนะนำในด้านการประเมินตนเองในการควบคุมด้านต่างๆ (Control
Self Assessment, CSA) เพื่อให้เกิดความเชื่อมั่นว่า
การปฏิบัติงานต่างๆ จะบรรลุผลตามกลยุทธ์และวัตถุประสงค์ที่กำหนดไว้
อีกทั้งยังทำการติดตามประเมินผลอย่างสม่ำเสมอ
เพื่อให้เกิดความมั่นใจในระบบที่วางไว้ว่าได้ดำเนินการเป็นไปอย่างต่อเนื่อง
และได้รับการแก้ไขปรับปรุงอย่างสม่ำเสมอ
ในปี
2553 บริษัทฯ
ได้อนุมัติงบประมาณในการจัดให้มีการตรวจคุณภาพด้านการตรวจสอบภายใน
โดยใช้องค์กรอิสระจากภายนอกเป็นผู้ประเมิน
เพื่อเป็นการยกระดับมาตรฐานด้านคุณภาพของหน่วยงานตรวจสอบภายใน โดยจะมีการตรวจประเมินคุณภาพ
(Quality Assessment Review, QAR) ในปี 2554
ในการตรวจประเมินความมีประสิทธิผลของระบบการบริหารความเสี่ยง
หน่วยงานตรวจสอบภายในได้ดำเนินการสอบทานตัวบ่งชี้เหตุการณ์หรือปัจจัยเสี่ยงที่ส่งผลกระทบต่อวัตถุประสงค์
และแนวทางการบริหารความเสี่ยงของผู้ปฏิบัติงาน
เพื่อให้มั่นใจว่ามีการระบุและประเมินความเสี่ยงได้อย่างถูกต้องเหมาะสม
และมีการบริหารความเสี่ยงที่เป็นระบบสามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
และมีการรายงานอย่างครบถ้วนทันเวลาพร้อมทั้งยังมีการติดตามสอบทานความเสี่ยงอย่างต่อเนื่องสม่ำเสมอ
ในการตรวจประเมินความมีประสิทธิผลของระบบการควบคุมภายในหน่วยงานตรวจสอบภายในได้จัดทำแบบประเมินความเพียงพอของระบบการควบคุมภายในของแต่ละระบบงานตามกรอบแนวทาง
COSO-ERM รวมทั้งได้ทำการสอบทานผลการปฏิบัติงาน
และสนับสนุนให้แต่ละหน่วยงานมีการประเมินตนเองในการควบคุมในแต่ละขั้นตอน
เพื่อให้มั่นใจว่า บริษัทฯ
จะสามารถบรรลุวัตถุประสงค์ที่ตั้งไว้อย่างมีประสิทธิภาพและประสิทธิผล
โดยปฏิบัติตามกฎ ระเบียบ ข้อบังคับต่างๆ อย่างเคร่งครัด
และรายงานทางการเงินมีความถูกต้องน่าเชื่อถือ
ในการตรวจประเมินความมีประสิทธิผลของระบบการกำกับดูแลกิจการหน่วยงานตรวจสอบภายในได้ตรวจประเมินการกำกับดูแลกิจการตามหลักการกำกับดูแลกิจการที่ดีขององค์กรเพื่อความร่วมมือและพัฒนาทางเศรษฐกิจ (The Organization for Economic Co-Operation and Development, OECD) และตลาดหลักทรัพย์แห่งประเทศไทยเป็นเกณฑ์ เพื่อให้มั่นใจว่า บริษัทฯ มีโครงสร้างและการสนับสนุนของกระบวนการที่จำเป็นในการนำไปสู่ผลสำเร็จของการกำกับดูแลที่ดีและโปร่งใสและให้ความเป็นธรรมเท่าเทียมกัน ตลอดจนมีการนำทรัพยากรไปใช้อย่างมีประสิทธิภาพ ประสิทธิผล ตรงตามวัตถุประสงค์ เพื่อก่อให้เกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียทุกฝ่าย
ในการตรวจประเมินความมีประสิทธิผลของระบบการกำกับดูแลกิจการหน่วยงานตรวจสอบภายในได้ตรวจประเมินการกำกับดูแลกิจการตามหลักการกำกับดูแลกิจการที่ดีขององค์กรเพื่อความร่วมมือและพัฒนาทางเศรษฐกิจ (The Organization for Economic Co-Operation and Development, OECD) และตลาดหลักทรัพย์แห่งประเทศไทยเป็นเกณฑ์ เพื่อให้มั่นใจว่า บริษัทฯ มีโครงสร้างและการสนับสนุนของกระบวนการที่จำเป็นในการนำไปสู่ผลสำเร็จของการกำกับดูแลที่ดีและโปร่งใสและให้ความเป็นธรรมเท่าเทียมกัน ตลอดจนมีการนำทรัพยากรไปใช้อย่างมีประสิทธิภาพ ประสิทธิผล ตรงตามวัตถุประสงค์ เพื่อก่อให้เกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียทุกฝ่าย
ในการตรวจประเมินความเสี่ยงด้านการทุจริตจากภายนอกและภายในองค์กร
หน่วยงานตรวจสอบภายในได้ตรวจประเมินความเสี่ยงด้านการทุจริตเพื่อช่วยบ่งชี้สิ่งบอกเหตุและประเมินความเป็นไปได้ในเรื่องการทุจริตจากภายนอกและภายในองค์กรและพิจารณามาตรการป้องกันและการควบคุมให้มีประสิทธิภาพสูงสุด
เพื่อให้มั่นใจได้ว่า บริษัทฯ
จะสามารถป้องกันและควบคุมเพื่อให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้
ในการตรวจประเมินตนเองในการควบคุม
(CSA) หน่วยงานตรวจสอบภายในได้สนับสนุนการตรวจประเมินตนเองในการควบคุมการปฏิบัติงานของแต่ละหน่วยงาน
โดยให้คำปรึกษาแนะนำ จัดให้มีการฝึกอบรม
การใช้เครื่องมือที่มีประสิทธิผลในการประเมิน จัดให้มีการทำกรณีศึกษา
เพื่อให้หน่วยงานต่างๆมีมาตรการควบคุมตนเองที่ดีรวมอยู่ในระบบปฏิบัติงานที่ดี
และสามารถบริหารความเสี่ยงที่สำคัญได้อย่างมีประสิทธิภาพ ทันเวลา โดยให้ความเชื่อมั่นว่า
การปฏิบัติงานของหน่วยงานต่างๆ
จะสามารถบรรลุผลตามกลยุทธ์และวัตถุประสงค์ที่กำหนดไว้ได้ ภายในระยะเวลาที่กำหนด
นอกจากนี้หัวหน้าหน่วยงานตรวจสอบภายใน
ได้ปฏิบัติหน้าที่เป็นเลขานุการของคณะกรรมการตรวจสอบ
เพื่อสนับสนุนภาระหน้าที่และความรับผิดชอบทุกหน้าที่ของคณะกรรมการตรวจสอบที่ได้รับมอบหมายมาจากคณะกรรมการบริษัทให้มีประสิทธิผล
โดยจัดให้มีการประชุมคณะกรรมการตรวจสอบเดือนละ 1 ครั้ง
และยังมีบทบาทในการให้คำปรึกษาแนะนำในด้านต่างๆ
โดยร่วมเป็นกรรมการของคณะกรรมการบริหารความเสี่ยง
คณะกรรมการด้านความปลอดภัยระบบสารสนเทศของบริษัทฯ
เพื่อให้ข้อเสนอแนะที่เป็นประโยชน์ต่อองค์กร
หน่วยงานตรวจสอบภายใน
ได้ยึดถือกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (The International Professional Practices
Framework: IPPF) และปฏิบัติงานตามมาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน
(The International Standards for
the Professional Practice of Internal Auditing), COSO-ERM, ISO 31000
ส่วนในด้านระบบสารสนเทศ ได้ปฏิบัติตามแนวทาง CobiT 4.1
IT Governance, ISO 17799 เป็นกรอบการปฏิบัติงานเพิ่มเติม
เพื่อให้มั่นใจว่า ระบบสารสนเทศของบริษัทฯ มีความปลอดภัยและมีการกำกับดูแลที่ดี
อีกทั้งได้มุ่งเน้นการพัฒนางานตรวจสอบภายในให้มีคุณภาพเทียบเท่ามาตรฐานสากล โดยมีการประเมินคุณภาพภายในอย่างต่อเนื่องด้วยตนเอง
ตลอดจนพนักงานตรวจสอบภายในทุกคนมีการปฏิบัติหน้าที่ที่เป็นอิสระ เที่ยงธรรม
สอดคล้องตามประมวลจรรยาบรรณของผู้ตรวจสอบภายใน ( Code of Ethics)
นอกจากนี้
พนักงานของหน่วยงานตรวจสอบภายในยังได้รับการฝึกอบรมอย่างต่อเนื่องสม่ำเสมอ
ตามแผนการฝึกอบรมแบบรายบุคคล (Individual
Development Plan) รวมถึงการพัฒนาสอบวุฒิบัตรต่างๆ โดยปัจจุบัน
หน่วยงานตรวจสอบภายในมีผู้มีวุฒิบัตร CIA (Certified Internal Auditor) จำนวน 5 ท่าน วุฒิบัตร CISA (Certified Information System
Auditor) จำนวน 3 ท่าน วุฒิบัตร CISSP (Certified
Information Systems Security Professional) จำนวน 1 ท่าน วุฒิบัตร CPA
(Certified Public Accountant) จำนวน 3 ท่าน วุฒิบัตร TA
(Tax Auditor) จำนวน 1 ท่าน
โดยเจ้าหน้าที่อีกจำนวนหนึ่งอยู่ระหว่างการพัฒนาให้มีวุฒิบัตร CIA, CISA,
CCSA (The Certification in Control Self-Assessment) อย่างต่อเนื่อง
เพื่อให้มั่นใจว่า การปฏิบัติงานของหน่วยงานตรวจสอบภายใน
จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้
อีกทั้งยังสามารถสนับสนุนการกำกับดูแลที่ดีและเพิ่มคุณค่าให้แก่บริษัทฯ
ได้อย่างมีประสิทธิภาพประสิทธิผล
ที่มา
บมจ. แอดวานซ์ อินโฟร์ เซอร์วิส
เขียนโดย 1.นายธันญารัตน์ ทองน้อย
2.นางสาวนภัสวรรณ ประสารศรี
2.นางสาวนภัสวรรณ ประสารศรี
ไม่มีความคิดเห็น:
แสดงความคิดเห็น