4. ความเพียงพอและประสิทธิผลของระบบการบริหารความเสี่ยง (Risk Management System)
4.1 ระบบการบริหารความเสี่ยงเป็นสิ่งจำเป็นอย่างยิ่งของสถาบันการเงิน จากการเพิ่มขึ้นของการแข่งขัน ความซับซ้อนของการปฏิบัติงาน และนวัตกรรมทางการเงิน ฝ่ายบริหารจึงควรพัฒนาระบบบริหารความเสี่ยงเพื่อให้มั่นใจว่า Risk Exposure ได้รับการระบุ วัดค่า ติดตาม (Monitor) และควบคุม (Control) อย่างเพียงพอ ระบบการบริหารความเสี่ยงควรเหมาะสมกับขนาด ขอบเขต และความซับซ้อนของกิจกรรมของสถาบันการเงินและระดับความเสี่ยงที่สถาบันการเงินพร้อมที่จะรับ
4.2 สถาบันการเงินที่ทำธุรกรรมเกี่ยวกับตราสารอนุพันธ์ (Derivative) ควรมีระบบการบริหาร ความเสี่ยงที่ดี กระบวนการบริหารความเสี่ยงสำหรับตราสารอนุพันธ์ควรผนวกเข้ากับระบบการบริหารความเสี่ยงรวมของสถาบันการเงิน เพื่อให้การบริหาร Risk Exposure ของสถาบันการเงิน มีประสิทธิภาพสูงขึ้น
4.3 การตรวจสอบระบบการบริหารความเสี่ยงที่ควรให้ความสนใจเป็นพิเศษอย่างสม่ำเสมอ มีดังนี้
(ก) คณะกรรมการสถาบันการเงินและคณะกรรมการที่สถาบันการเงินจัดตั้งขึ้นเพื่อบริหารความเสี่ยงทำหน้าที่กำกับดูแลการบริหารอย่างมีประสิทธิผล
(ข) ระเบียบปฏิบัติในการระบุ และวัดระดับความเสี่ยงอย่างทันเวลา
(ค) การกำหนดขีดจำกัด (Limit) และการควบคุมอื่นๆเพื่อบริหารความเสี่ยง
(ง) รายงานถึงฝ่ายบริหารแสดงลักษณะและระดับความเสี่ยงของสถาบันการเงินที่แท้จริง รวมทั้งแจ้งการไม่ปฏิบัติตามนโยบายและขีดจำกัดที่วางไว้
(จ) หน้าที่ในการบริหารความเสี่ยงแต่ละอันได้รับการระบุไว้อย่างชัดเจน
(ฉ) ระเบียบปฏิบัติในเรื่องการคำนวณและการจัดสรรเงินทุนต่อความเสี่ยง (Allocation of capital to risks)
4.4 ผู้ตรวจสอบภายในควรจัดทำระเบียบปฏิบัติในการประเมินความถูกต้องของวิธีวัดความเสี่ยง ความเพียงพอของระบบการควบคุมและการรายงาน รวมทั้งการปฏิบัติตามนโยบายและระเบียบปฏิบัติที่ ได้รับการอนุมัติ
5. การใช้ทรัพยากรอย่างมีประสิทธิภาพ ประสิทธิผล และประหยัด
5.1 วัตถุประสงค์หลักอันหนึ่งของสถาบันการเงิน คือ การเพิ่มผลกำไรโดยการใช้ทรัพยากรที่มีอยู่อย่างมีประสิทธิภาพ ประสิทธิผล และประหยัด ผู้บริหารมีหน้าที่รับผิดชอบในการตั้งมาตรฐานในการวัดผล (Measurement Standard) บรรทัดฐาน (Benchmark) หรือดัชนีผลผลิต (Productivity Indices) เพื่อวัดผล ตอบแทนที่ได้รับจากการใช้ทรัพยากรเหล่านั้น มาตรฐานในการวัดผล บรรทัดฐาน หรือดัชนีเหล่านี้ควร ได้รับการอนุมัติจากคณะกรรมการสถาบันการเงิน
5.2 ผู้ตรวจสอบภายในควรมีบทบาทในเชิงรุก (Pro-active) ในการพิจารณาว่าสถาบันการเงินมี การใช้ทรัพยากรที่มีอยู่ให้เกิดประโยชน์สูงสุดเพื่อให้บรรลุวัตถุประสงค์และเป้าหมายขององค์กรหรือไม่ บทบาทดังกล่าวเป็นการให้บริการที่เพิ่มคุณค่าแก่ฝ่ายบริหาร ดังนั้น ผู้ตรวจสอบภายในควรขยายบทบาท จากเดิมให้ครอบคลุมการตรวจสอบการบริหารด้วย
5.3 ในการตรวจสอบการบริหาร ผู้ตรวจสอบภายในควรสอบทานว่า
(ก) ระบบการวางแผน การประเมิน การมอบอำนาจ และการควบคุมการใช้ทรัพยากรที่มีอยู่ มีประสิทธิผลหรือไม่
(ข) มีการตั้งมาตรฐานการปฏิบัติงานเพื่อใช้ในการวัดความประหยัด ประสิทธิภาพ และ ประสิทธิผลของการใช้ทรัพยากร และการปฏิบัติงานเป็นไปตามมาตรฐานเหล่านั้น หรือไม่
(ค) การเบี่ยงเบนจากมาตรฐานการปฏิบัติงานได้รับการระบุ วิเคราะห์ และมีการประสานงานกับผู้ที่รับผิดชอบในการใช้มาตรการแก้ไขทันทีหรือไม่
(ง) มีการนำเอามาตรการแก้ไขมาใช้หรือไม่
5.4 ในการตรวจสอบการบริหาร ผู้ตรวจสอบภายในควรตรวจสอบว่าฝ่ายบริหารมีการใช้ทรัพยากรที่ไม่ก่อให้เกิดประโยชน์สูงสุด งานที่ไม่ก่อให้เกิดรายได้ ระเบียบปฏิบัติที่มีต้นทุนที่ไม่สมเหตุสมผล และมีการใช้บุคลากรมากหรือน้อยเกินไป หรือไม่ ผู้ตรวจสอบภายในควรทำให้แน่ใจว่าผู้บริหารได้จัดทำแผนงาน (Action Plan) เพื่อแก้ไขข้อบกพร่องเหล่านี้ และควรมีการติดตามผลภายหลังการตรวจสอบเพื่อให้มั่นใจว่ามีการนำเอาแผนงานดังกล่าวมาใช้
6. การบรรลุวัตถุประสงค์และเป้าหมายที่วางไว้
6.1 คณะกรรมการสถาบันการเงินเป็นผู้รับผิดชอบในแผนงานธุรกิจ (Business Plan) และกลยุทธ์เพื่อให้บรรลุวัตถุประสงค์และเป้าหมายโดยรวมของสถาบันการเงิน จากวัตถุประสงค์และเป้าหมายที่กำหนดโดยคณะกรรมการสถาบันการเงิน ฝ่ายบริหารมีหน้าที่รับผิดชอบในการจัดตั้งวัตถุประสงค์และ เป้าหมายในการปฏิบัติงาน จัดทำและนำระเบียบปฏิบัติด้านการควบคุมมาใช้ รวมทั้งปฏิบัติงานเพื่อให้ได้ ผลตามที่ต้องการ
6.2 ในการประเมินความสำเร็จตามวัตถุประสงค์และเป้าหมายที่วางไว้ ขอบเขตของงานตรวจสอบภายในควรครอบคลุมการดำเนินงานทั้งหมดเพื่อพิจารณาว่า
(ก) มีการกำหนดวัตถุประสงค์และเป้าหมายอย่างชัดเจน และสามารถวัดได้
(ข) มีการสื่อสารและอธิบายวัตถุประสงค์และเป้าหมายให้บุคลากรทุกคนเข้าใจ และปฏิบัติตามวัตถุประสงค์และเป้าหมายดังกล่าว
(ค) มีการควบคุมที่เพียงพอในการวัดและรายงานความสำเร็จตามวัตถุประสงค์และเป้าหมาย
(ง) มีการนำเอากลไกการควบคุมที่มีประสิทธิผลมาใช้ เพื่อติดตามผลการดำเนินงานที่แท้จริงต่องบประมาณ การเบี่ยงเบนที่สำคัญได้รับการวิเคราะห์ สืบสวน และรายงานต่อฝ่ายบริหารและคณะกรรมการสถาบันการเงินทันที
(จ) ฝ่ายบริหารได้พิจารณาจุดแข็ง (Strengths) จุดอ่อน (Weaknesses) โอกาส (Opportunities) และอุปสรรค (Threats) ในการปฏิบัติงาน
(ฉ) การบรรลุวัตถุประสงค์และเป้าหมายที่วางไว้เป็นไปตามนโยบาย แผนงาน ระเบียบปฏิบัติภายใน รวมทั้งกฎหมายและข้อบังคับ
(ช) สมมุติฐานของฝ่ายบริหารในการจัดทำแผนงานและกลยุทธ์ทางธุรกิจ มีความเหมาะสมและสมเหตุสมผล
บทที่ 4
การรายงานและการจัดทำเอกสาร
1. บทนำ
1.1 รายงานผลการตรวจสอบ (Audit Report) เป็นเครื่องมือในการแสดงผลการตรวจสอบและ ข้อเสนอแนะต่อฝ่ายบริหารและคณะกรรมการตรวจสอบอย่างเป็นทางการ การที่ฝ่ายบริหารยอมรับ ข้อเสนอแนะของผู้ตรวจสอบภายในเกี่ยวกับการลดความเสี่ยง เสริมสร้างความเข้มแข็งของระบบการควบคุมภายใน และแก้ไขข้อผิดพลาด เป็นผลของรายงานผลการตรวจสอบที่พึงปรารถนา
1.2 เมื่อมีการตรวจพบข้อบกพร่องในระบบการควบคุมภายใน ผู้ตรวจสอบภายในควรรายงานต่อฝ่ายบริหารในระดับที่เหมาะสม และหากมีการตรวจพบการทุจริต หรือสิ่งใดซึ่งส่งผลกระทบอย่างร้ายแรงต่อฐานะการเงินหรือการดำเนินงานของสถาบันการเงิน ผู้ตรวจสอบภายในต้องแจ้งคณะกรรมการ ตรวจสอบ และผู้บริหารระดับสูงทันที เพื่อให้มั่นใจว่าจะมีการแก้ไขปรับปรุงอย่างทันท่วงที
2. กระดาษทำการ (Working Papers)
กระดาษทำการ คือ เอกสารที่อยู่ในรูปแบบของกระดาษ หรือสื่ออิเล็กทรอนิคส์อื่นๆ ที่ผู้ตรวจสอบภายในจัดทำขึ้นในระหว่างการตรวจสอบเพื่อบันทึกรายละเอียดการทำงาน ซึ่งประกอบด้วยข้อมูลต่างๆ ที่ใช้ในการตรวจสอบ ขอบเขตการตรวจสอบ วิธีการตรวจสอบ ข้อมูลจากการประเมินและการวิเคราะห์ และ ผลสรุปของการตรวจสอบ เพื่อใช้เป็นแนวทางในการจัดทำรายงาน รวมทั้งเป็นหลักฐานที่แสดงถึงการปฏิบัติงานของผู้ตรวจสอบภายใน เนื้อหาในกระดาษทำการควรมีความสมบูรณ์ มีรายละเอียดเพียงพอที่จะ สอบทานว่าการปฏิบัติงานตรวจสอบนั้นมีความเหมาะสม และถูกต้องตามความเป็นจริงหรือไม่ ข้อความในกระดาษควรมีความชัดเจน เข้าใจง่าย นอกจากนี้ กระดาษทำการควรมีรูปแบบเดียวกันเพื่อความเป็นระเบียบเรียบร้อย
3. รายงานผลการตรวจสอบ
3.1 ภายหลังสิ้นสุดงานตรวจสอบที่ได้รับมอบหมายแต่ละงาน ผู้ตรวจสอบภายในควรออกรายงานผลการตรวจสอบอย่างรวดเร็ว ผู้ตรวจสอบภายในควรปรึกษาหารือถึงผลการตรวจสอบและข้อเสนอแนะ กับผู้บริหารของผู้รับการตรวจ และควรนำความเห็นที่ได้มารวมในรายงานผลการตรวจสอบฉบับสมบูรณ์ด้วย หัวหน้าหน่วยงานตรวจสอบภายในต้องสอบทานและอนุมัติรายงานผลการตรวจสอบฉบับสมบูรณ์ รวมทั้งแจกจ่ายให้กับบุคคลที่เกี่ยวข้องอย่างทันเวลา
3.2 ในกรณีที่งานตรวจสอบเรื่องใดเรื่องหนึ่งยังไม่แล้วเสร็จ แต่มีการตรวจพบข้อบกพร่องหรือการทุจริต โดยมีหลักฐานสนับสนุนเพียงพอและหากปล่อยทิ้งไว้จะมีผลเสียหายต่อองค์กร ผู้ตรวจสอบภายในอาจออกรายงานผลการตรวจสอบระหว่างกาล (Interim Audit Report) เพื่อแจ้งประเด็นที่ฝ่ายบริหารต้องให้ความสนใจและสั่งการแก้ไขปรับปรุงโดยเร่งด่วน คณะกรรมการตรวจสอบ และประธานเจ้าหน้าที่บริหารต้องได้รับแจ้งให้ทราบถึงประเด็นดังกล่าวรวมทั้งความคืบหน้าในการตรวจสอบทันที การใช้ดุลพินิจในการพิจารณาว่าควรมีการจัดทำรายงานผลการตรวจสอบระหว่างกาลหรือไม่นั้นอยู่ที่หัวหน้าหน่วยงาน ตรวจสอบภายใน
3.3 ถึงแม้ว่ารูปแบบและเนื้อหาของรายงานผลการตรวจสอบอาจแตกต่างกันไปตามองค์กรและประเภทของการตรวจสอบ แต่อย่างน้อยควรประกอบไปด้วยวัตถุประสงค์ ขอบเขต ผลการตรวจสอบ และข้อเสนอแนะของผู้ตรวจสอบภายใน
3.4 รายงานผลการตรวจสอบควรมีความถูกต้อง ตรงประเด็น ชัดเจน กระชับ สร้างสรรค์ และ ทันเวลา
3.5 หน่วยงานตรวจสอบภายในควรรายงานคณะกรรมการสถาบันการเงินหรือคณะกรรมการ ตรวจสอบถึงประสิทธิภาพของระบบการควบคุมภายในอย่างสม่ำเสมอ นอกจากนี้ เมื่อสิ้นสุดแต่ละปี หัวหน้าหน่วยงานตรวจสอบภายในควรรายงานผลการดำเนินงานของหน่วยงานตรวจสอบ โดยประเมินว่าเป็นไปตามแผนการตรวจสอบหรือไม่ เพียงใด และควรมีคำอธิบายหากมีความแตกต่าง รวมทั้งรายงานสรุปสิ่งที่ตรวจพบที่สำคัญและข้อเสนอแนะในปีนั้น
4. การปฏิบัติตามข้อเสนอแนะและการติดตามผล (Follow-up)
4.1 ผู้บริหารควรให้ความสนใจกับสิ่งที่ตรวจพบและข้อเสนอแนะ รวมทั้งทำการแก้ไขข้อบกพร่องอย่างรวดเร็ว ผู้ตรวจสอบภายในควรติดตามว่ามีการปฏิบัติตามข้อเสนอแนะในรายงานผลการตรวจสอบหรือไม่ เว้นแต่ผู้บริหารจะเข้าใจและพร้อมที่จะรับความเสี่ยงที่เกิดขึ้น
4.2 ฝ่ายบริหารและผู้รับการตรวจควรตกลงร่วมกันในการจัดทำแผนการแก้ไขปรับปรุงและตารางเวลาในการนำแผนดังกล่าวมาใช้ นอกจากนี้ ควรมีการติดตามและรายงานผลการปฏิบัติตามแผนดังกล่าวต่อคณะกรรมการสถาบันการเงินหรือคณะกรรมการตรวจสอบ
5. การรายงานสิ่งที่ตรวจพบที่สำคัญและการทุจริต
5.1 ผู้ตรวจสอบภายในต้องรายงานคณะกรรมการตรวจสอบ คณะกรรมการสถาบันการเงิน ประธานเจ้าหน้าที่บริหาร และธนาคารแห่งประเทศไทยตามลำดับขั้นที่องค์กรกำหนดทันทีที่ตรวจพบสิ่งซึ่งส่งผลเสียหายอย่างร้ายแรงต่อการดำเนินงานและฐานะการเงินของสถาบันการเงิน เช่น รายการผิดปรกติ การกระทำผิดกฎหมาย ข้อผิดพลาด ความไร้ประสิทธิภาพ การสูญเปล่า เหตุการณ์ขัดแย้งทางผลประโยชน์ รวมทั้งจุดอ่อนพื้นฐานซึ่งอาจทำให้ระบบการควบคุมภายในของสถาบันการเงินล้มเหลว รายงานผลการตรวจสอบที่ออกทันทีนี้ควรสรุปสิ่งที่ตรวจพบเบื้องต้น ผลกระทบที่เกิดขึ้นหรืออาจเกิดขึ้นต่อฐานะการเงินและการดำเนินงานของสถาบันการเงิน รวมทั้งการปฏิบัติงานของผู้ตรวจสอบภายในเพื่อสืบสวนเรื่อง ดังกล่าว
5.2 รายงานที่มีรายละเอียดควรเสนอคณะกรรมการตรวจสอบ คณะกรรมการสถาบันการเงิน ประธานเจ้าหน้าที่บริหาร และธนาคารแห่งประเทศไทยตามลำดับขั้นทันทีที่การสืบสวนสิ้นสุดลง นอกจากนี้ อาจมีการเสนอรายงานความคืบหน้าเกี่ยวกับการกระทำของผู้บริหารเพื่อแก้ไขจุดอ่อนและ ป้องกันการเกิดขึ้นอีกของเหตุการณ์ดังกล่าว
6. การควบคุมและการจัดเก็บรายงานผลการตรวจสอบและกระดาษทำการ
หัวหน้าหน่วยงานตรวจสอบภายใน มีสิทธิที่จะเปิดเผยรายงานผลการตรวจสอบ และกระดาษ ทำการให้กับผู้ตรวจสอบภายนอกหรือธนาคารแห่งประเทศไทยได้ นอกเหนือจากบุคคลทั้งสองกลุ่มนี้แล้ว ให้สถาบันการเงินเก็บรายงานผลการตรวจสอบไว้เป็นความลับ และจะเปิดเผยได้ก็ต่อเมื่อได้รับอนุญาตจากคณะกรรมการสถาบันการเงินหรือคณะกรรมการตรวจสอบเท่านั้น และจากการที่กระดาษ ทำการของงานตรวจสอบภายในมีหลักฐานแสดงขอบเขตของงานตรวจสอบและเอกสารข้อมูลต่างๆที่ใช้ในการตรวจสอบ จึงควรมีระบบการจัดเก็บเอกสารและการเรียกดูรายงานผลการตรวจสอบและกระดาษทำการในอดีต
7. การเก็บรักษารายงานผลการตรวจสอบและกระดาษทำการ
หัวหน้าหน่วยงานตรวจสอบภายในควรกำหนดระเบียบเกี่ยวกับอายุการเก็บรักษาเอกสารให้ชัดเจน และสอดคล้องกับแนวทางขององค์กรและกฎหมายหรือข้อบังคับที่เกี่ยวข้อง เพื่อประโยชน์ในการใช้เป็นหลักฐานอ้างอิงหรือเพื่อการดำเนินคดี
-ยก-