4. ความเพียงพอและประสิทธิผลของระบบการบริหารความเสี่ยง (Risk Management System) 4.1 ระบบการบริหารความเสี่ยงเป็นสิ่งจำเป็นอย่างยิ่งของสถาบันการเงิน จากการเพิ่มขึ้นของการแข่งขัน ความซับซ้อนของการปฏิบัติงาน และนวัตกรรมทางการเงิน ฝ่ายบริหารจึงควรพัฒนาระบบบริหารความเสี่ยงเพื่อให้มั่นใจว่า Risk Exposure ได้รับการระบุ วัดค่า ติดตาม (Monitor) และควบคุม (Control) อย่างเพียงพอ ระบบการบริหารความเสี่ยงควรเหมาะสมกับขนาด ขอบเขต และความซับซ้อนของกิจกรรมของสถาบันการเงินและระดับความเสี่ยงที่สถาบันการเงินพร้อมที่จะรับ 4.2 สถาบันการเงินที่ทำธุรกรรมเกี่ยวกับตราสารอนุพันธ์ (Derivative) ควรมีระบบการบริหาร ความเสี่ยงที่ดี กระบวนการบริหารความเสี่ยงสำหรับตราสารอนุพันธ์ควรผนวกเข้ากับระบบการบริหารความเสี่ยงรวมของสถาบันการเงิน เพื่อให้การบริหาร Risk Exposure ของสถาบันการเงิน มีประสิทธิภาพสูงขึ้น 4.3 การตรวจสอบระบบการบริหารความเสี่ยงที่ควรให้ความสนใจเป็นพิเศษอย่างสม่ำเสมอ มีดังนี้ (ก) คณะกรรมการสถาบันการเงินและคณะกรรมการที่สถาบันการเงินจัดตั้งขึ้นเพื่อบริหารความเสี่ยงทำหน้าที่กำกับดูแลการบริหารอย่างมีประสิทธิผล (ข) ระเบียบปฏิบัติในการระบุ และวัดระดับความเสี่ยงอย่างทันเวลา (ค) การกำหนดขีดจำกัด (Limit) และการควบคุมอื่นๆเพื่อบริหารความเสี่ยง (ง) รายงานถึงฝ่ายบริหารแสดงลักษณะและระดับความเสี่ยงของสถาบันการเงินที่แท้จริง รวมทั้งแจ้งการไม่ปฏิบัติตามนโยบายและขีดจำกัดที่วางไว้ (จ) หน้าที่ในการบริหารความเสี่ยงแต่ละอันได้รับการระบุไว้อย่างชัดเจน (ฉ) ระเบียบปฏิบัติในเรื่องการคำนวณและการจัดสรรเงินทุนต่อความเสี่ยง (Allocation of capital to risks) 4.4 ผู้ตรวจสอบภายในควรจัดทำระเบียบปฏิบัติในการประเมินความถูกต้องของวิธีวัดความเสี่ยง ความเพียงพอของระบบการควบคุมและการรายงาน รวมทั้งการปฏิบัติตามนโยบายและระเบียบปฏิบัติที่ ได้รับการอนุมัติ 5. การใช้ทรัพยากรอย่างมีประสิทธิภาพ ประสิทธิผล และประหยัด 5.1 วัตถุประสงค์หลักอันหนึ่งของสถาบันการเงิน คือ การเพิ่มผลกำไรโดยการใช้ทรัพยากรที่มีอยู่อย่างมีประสิทธิภาพ ประสิทธิผล และประหยัด ผู้บริหารมีหน้าที่รับผิดชอบในการตั้งมาตรฐานในการวัดผล (Measurement Standard) บรรทัดฐาน (Benchmark) หรือดัชนีผลผลิต (Productivity Indices) เพื่อวัดผล ตอบแทนที่ได้รับจากการใช้ทรัพยากรเหล่านั้น มาตรฐานในการวัดผล บรรทัดฐาน หรือดัชนีเหล่านี้ควร ได้รับการอนุมัติจากคณะกรรมการสถาบันการเงิน 5.2 ผู้ตรวจสอบภายในควรมีบทบาทในเชิงรุก (Pro-active) ในการพิจารณาว่าสถาบันการเงินมี การใช้ทรัพยากรที่มีอยู่ให้เกิดประโยชน์สูงสุดเพื่อให้บรรลุวัตถุประสงค์และเป้าหมายขององค์กรหรือไม่ บทบาทดังกล่าวเป็นการให้บริการที่เพิ่มคุณค่าแก่ฝ่ายบริหาร ดังนั้น ผู้ตรวจสอบภายในควรขยายบทบาท จากเดิมให้ครอบคลุมการตรวจสอบการบริหารด้วย 5.3 ในการตรวจสอบการบริหาร ผู้ตรวจสอบภายในควรสอบทานว่า (ก) ระบบการวางแผน การประเมิน การมอบอำนาจ และการควบคุมการใช้ทรัพยากรที่มีอยู่ มีประสิทธิผลหรือไม่ (ข) มีการตั้งมาตรฐานการปฏิบัติงานเพื่อใช้ในการวัดความประหยัด ประสิทธิภาพ และ ประสิทธิผลของการใช้ทรัพยากร และการปฏิบัติงานเป็นไปตามมาตรฐานเหล่านั้น หรือไม่ (ค) การเบี่ยงเบนจากมาตรฐานการปฏิบัติงานได้รับการระบุ วิเคราะห์ และมีการประสานงานกับผู้ที่รับผิดชอบในการใช้มาตรการแก้ไขทันทีหรือไม่ (ง) มีการนำเอามาตรการแก้ไขมาใช้หรือไม่ 5.4 ในการตรวจสอบการบริหาร ผู้ตรวจสอบภายในควรตรวจสอบว่าฝ่ายบริหารมีการใช้ทรัพยากรที่ไม่ก่อให้เกิดประโยชน์สูงสุด งานที่ไม่ก่อให้เกิดรายได้ ระเบียบปฏิบัติที่มีต้นทุนที่ไม่สมเหตุสมผล และมีการใช้บุคลากรมากหรือน้อยเกินไป หรือไม่ ผู้ตรวจสอบภายในควรทำให้แน่ใจว่าผู้บริหารได้จัดทำแผนงาน (Action Plan) เพื่อแก้ไขข้อบกพร่องเหล่านี้ และควรมีการติดตามผลภายหลังการตรวจสอบเพื่อให้มั่นใจว่ามีการนำเอาแผนงานดังกล่าวมาใช้ 6. การบรรลุวัตถุประสงค์และเป้าหมายที่วางไว้ 6.1 คณะกรรมการสถาบันการเงินเป็นผู้รับผิดชอบในแผนงานธุรกิจ (Business Plan) และกลยุทธ์เพื่อให้บรรลุวัตถุประสงค์และเป้าหมายโดยรวมของสถาบันการเงิน จากวัตถุประสงค์และเป้าหมายที่กำหนดโดยคณะกรรมการสถาบันการเงิน ฝ่ายบริหารมีหน้าที่รับผิดชอบในการจัดตั้งวัตถุประสงค์และ เป้าหมายในการปฏิบัติงาน จัดทำและนำระเบียบปฏิบัติด้านการควบคุมมาใช้ รวมทั้งปฏิบัติงานเพื่อให้ได้ ผลตามที่ต้องการ 6.2 ในการประเมินความสำเร็จตามวัตถุประสงค์และเป้าหมายที่วางไว้ ขอบเขตของงานตรวจสอบภายในควรครอบคลุมการดำเนินงานทั้งหมดเพื่อพิจารณาว่า (ก) มีการกำหนดวัตถุประสงค์และเป้าหมายอย่างชัดเจน และสามารถวัดได้ (ข) มีการสื่อสารและอธิบายวัตถุประสงค์และเป้าหมายให้บุคลากรทุกคนเข้าใจ และปฏิบัติตามวัตถุประสงค์และเป้าหมายดังกล่าว (ค) มีการควบคุมที่เพียงพอในการวัดและรายงานความสำเร็จตามวัตถุประสงค์และเป้าหมาย (ง) มีการนำเอากลไกการควบคุมที่มีประสิทธิผลมาใช้ เพื่อติดตามผลการดำเนินงานที่แท้จริงต่องบประมาณ การเบี่ยงเบนที่สำคัญได้รับการวิเคราะห์ สืบสวน และรายงานต่อฝ่ายบริหารและคณะกรรมการสถาบันการเงินทันที (จ) ฝ่ายบริหารได้พิจารณาจุดแข็ง (Strengths) จุดอ่อน (Weaknesses) โอกาส (Opportunities) และอุปสรรค (Threats) ในการปฏิบัติงาน (ฉ) การบรรลุวัตถุประสงค์และเป้าหมายที่วางไว้เป็นไปตามนโยบาย แผนงาน ระเบียบปฏิบัติภายใน รวมทั้งกฎหมายและข้อบังคับ (ช) สมมุติฐานของฝ่ายบริหารในการจัดทำแผนงานและกลยุทธ์ทางธุรกิจ มีความเหมาะสมและสมเหตุสมผล บทที่ 4 การรายงานและการจัดทำเอกสาร 1. บทนำ 1.1 รายงานผลการตรวจสอบ (Audit Report) เป็นเครื่องมือในการแสดงผลการตรวจสอบและ ข้อเสนอแนะต่อฝ่ายบริหารและคณะกรรมการตรวจสอบอย่างเป็นทางการ การที่ฝ่ายบริหารยอมรับ ข้อเสนอแนะของผู้ตรวจสอบภายในเกี่ยวกับการลดความเสี่ยง เสริมสร้างความเข้มแข็งของระบบการควบคุมภายใน และแก้ไขข้อผิดพลาด เป็นผลของรายงานผลการตรวจสอบที่พึงปรารถนา 1.2 เมื่อมีการตรวจพบข้อบกพร่องในระบบการควบคุมภายใน ผู้ตรวจสอบภายในควรรายงานต่อฝ่ายบริหารในระดับที่เหมาะสม และหากมีการตรวจพบการทุจริต หรือสิ่งใดซึ่งส่งผลกระทบอย่างร้ายแรงต่อฐานะการเงินหรือการดำเนินงานของสถาบันการเงิน ผู้ตรวจสอบภายในต้องแจ้งคณะกรรมการ ตรวจสอบ และผู้บริหารระดับสูงทันที เพื่อให้มั่นใจว่าจะมีการแก้ไขปรับปรุงอย่างทันท่วงที 2. กระดาษทำการ (Working Papers) กระดาษทำการ คือ เอกสารที่อยู่ในรูปแบบของกระดาษ หรือสื่ออิเล็กทรอนิคส์อื่นๆ ที่ผู้ตรวจสอบภายในจัดทำขึ้นในระหว่างการตรวจสอบเพื่อบันทึกรายละเอียดการทำงาน ซึ่งประกอบด้วยข้อมูลต่างๆ ที่ใช้ในการตรวจสอบ ขอบเขตการตรวจสอบ วิธีการตรวจสอบ ข้อมูลจากการประเมินและการวิเคราะห์ และ ผลสรุปของการตรวจสอบ เพื่อใช้เป็นแนวทางในการจัดทำรายงาน รวมทั้งเป็นหลักฐานที่แสดงถึงการปฏิบัติงานของผู้ตรวจสอบภายใน เนื้อหาในกระดาษทำการควรมีความสมบูรณ์ มีรายละเอียดเพียงพอที่จะ สอบทานว่าการปฏิบัติงานตรวจสอบนั้นมีความเหมาะสม และถูกต้องตามความเป็นจริงหรือไม่ ข้อความในกระดาษควรมีความชัดเจน เข้าใจง่าย นอกจากนี้ กระดาษทำการควรมีรูปแบบเดียวกันเพื่อความเป็นระเบียบเรียบร้อย 3. รายงานผลการตรวจสอบ 3.1 ภายหลังสิ้นสุดงานตรวจสอบที่ได้รับมอบหมายแต่ละงาน ผู้ตรวจสอบภายในควรออกรายงานผลการตรวจสอบอย่างรวดเร็ว ผู้ตรวจสอบภายในควรปรึกษาหารือถึงผลการตรวจสอบและข้อเสนอแนะ กับผู้บริหารของผู้รับการตรวจ และควรนำความเห็นที่ได้มารวมในรายงานผลการตรวจสอบฉบับสมบูรณ์ด้วย หัวหน้าหน่วยงานตรวจสอบภายในต้องสอบทานและอนุมัติรายงานผลการตรวจสอบฉบับสมบูรณ์ รวมทั้งแจกจ่ายให้กับบุคคลที่เกี่ยวข้องอย่างทันเวลา 3.2 ในกรณีที่งานตรวจสอบเรื่องใดเรื่องหนึ่งยังไม่แล้วเสร็จ แต่มีการตรวจพบข้อบกพร่องหรือการทุจริต โดยมีหลักฐานสนับสนุนเพียงพอและหากปล่อยทิ้งไว้จะมีผลเสียหายต่อองค์กร ผู้ตรวจสอบภายในอาจออกรายงานผลการตรวจสอบระหว่างกาล (Interim Audit Report) เพื่อแจ้งประเด็นที่ฝ่ายบริหารต้องให้ความสนใจและสั่งการแก้ไขปรับปรุงโดยเร่งด่วน คณะกรรมการตรวจสอบ และประธานเจ้าหน้าที่บริหารต้องได้รับแจ้งให้ทราบถึงประเด็นดังกล่าวรวมทั้งความคืบหน้าในการตรวจสอบทันที การใช้ดุลพินิจในการพิจารณาว่าควรมีการจัดทำรายงานผลการตรวจสอบระหว่างกาลหรือไม่นั้นอยู่ที่หัวหน้าหน่วยงาน ตรวจสอบภายใน 3.3 ถึงแม้ว่ารูปแบบและเนื้อหาของรายงานผลการตรวจสอบอาจแตกต่างกันไปตามองค์กรและประเภทของการตรวจสอบ แต่อย่างน้อยควรประกอบไปด้วยวัตถุประสงค์ ขอบเขต ผลการตรวจสอบ และข้อเสนอแนะของผู้ตรวจสอบภายใน 3.4 รายงานผลการตรวจสอบควรมีความถูกต้อง ตรงประเด็น ชัดเจน กระชับ สร้างสรรค์ และ ทันเวลา 3.5 หน่วยงานตรวจสอบภายในควรรายงานคณะกรรมการสถาบันการเงินหรือคณะกรรมการ ตรวจสอบถึงประสิทธิภาพของระบบการควบคุมภายในอย่างสม่ำเสมอ นอกจากนี้ เมื่อสิ้นสุดแต่ละปี หัวหน้าหน่วยงานตรวจสอบภายในควรรายงานผลการดำเนินงานของหน่วยงานตรวจสอบ โดยประเมินว่าเป็นไปตามแผนการตรวจสอบหรือไม่ เพียงใด และควรมีคำอธิบายหากมีความแตกต่าง รวมทั้งรายงานสรุปสิ่งที่ตรวจพบที่สำคัญและข้อเสนอแนะในปีนั้น 4. การปฏิบัติตามข้อเสนอแนะและการติดตามผล (Follow-up) 4.1 ผู้บริหารควรให้ความสนใจกับสิ่งที่ตรวจพบและข้อเสนอแนะ รวมทั้งทำการแก้ไขข้อบกพร่องอย่างรวดเร็ว ผู้ตรวจสอบภายในควรติดตามว่ามีการปฏิบัติตามข้อเสนอแนะในรายงานผลการตรวจสอบหรือไม่ เว้นแต่ผู้บริหารจะเข้าใจและพร้อมที่จะรับความเสี่ยงที่เกิดขึ้น 4.2 ฝ่ายบริหารและผู้รับการตรวจควรตกลงร่วมกันในการจัดทำแผนการแก้ไขปรับปรุงและตารางเวลาในการนำแผนดังกล่าวมาใช้ นอกจากนี้ ควรมีการติดตามและรายงานผลการปฏิบัติตามแผนดังกล่าวต่อคณะกรรมการสถาบันการเงินหรือคณะกรรมการตรวจสอบ 5. การรายงานสิ่งที่ตรวจพบที่สำคัญและการทุจริต 5.1 ผู้ตรวจสอบภายในต้องรายงานคณะกรรมการตรวจสอบ คณะกรรมการสถาบันการเงิน ประธานเจ้าหน้าที่บริหาร และธนาคารแห่งประเทศไทยตามลำดับขั้นที่องค์กรกำหนดทันทีที่ตรวจพบสิ่งซึ่งส่งผลเสียหายอย่างร้ายแรงต่อการดำเนินงานและฐานะการเงินของสถาบันการเงิน เช่น รายการผิดปรกติ การกระทำผิดกฎหมาย ข้อผิดพลาด ความไร้ประสิทธิภาพ การสูญเปล่า เหตุการณ์ขัดแย้งทางผลประโยชน์ รวมทั้งจุดอ่อนพื้นฐานซึ่งอาจทำให้ระบบการควบคุมภายในของสถาบันการเงินล้มเหลว รายงานผลการตรวจสอบที่ออกทันทีนี้ควรสรุปสิ่งที่ตรวจพบเบื้องต้น ผลกระทบที่เกิดขึ้นหรืออาจเกิดขึ้นต่อฐานะการเงินและการดำเนินงานของสถาบันการเงิน รวมทั้งการปฏิบัติงานของผู้ตรวจสอบภายในเพื่อสืบสวนเรื่อง ดังกล่าว 5.2 รายงานที่มีรายละเอียดควรเสนอคณะกรรมการตรวจสอบ คณะกรรมการสถาบันการเงิน ประธานเจ้าหน้าที่บริหาร และธนาคารแห่งประเทศไทยตามลำดับขั้นทันทีที่การสืบสวนสิ้นสุดลง นอกจากนี้ อาจมีการเสนอรายงานความคืบหน้าเกี่ยวกับการกระทำของผู้บริหารเพื่อแก้ไขจุดอ่อนและ ป้องกันการเกิดขึ้นอีกของเหตุการณ์ดังกล่าว 6. การควบคุมและการจัดเก็บรายงานผลการตรวจสอบและกระดาษทำการ หัวหน้าหน่วยงานตรวจสอบภายใน มีสิทธิที่จะเปิดเผยรายงานผลการตรวจสอบ และกระดาษ ทำการให้กับผู้ตรวจสอบภายนอกหรือธนาคารแห่งประเทศไทยได้ นอกเหนือจากบุคคลทั้งสองกลุ่มนี้แล้ว ให้สถาบันการเงินเก็บรายงานผลการตรวจสอบไว้เป็นความลับ และจะเปิดเผยได้ก็ต่อเมื่อได้รับอนุญาตจากคณะกรรมการสถาบันการเงินหรือคณะกรรมการตรวจสอบเท่านั้น และจากการที่กระดาษ ทำการของงานตรวจสอบภายในมีหลักฐานแสดงขอบเขตของงานตรวจสอบและเอกสารข้อมูลต่างๆที่ใช้ในการตรวจสอบ จึงควรมีระบบการจัดเก็บเอกสารและการเรียกดูรายงานผลการตรวจสอบและกระดาษทำการในอดีต 7. การเก็บรักษารายงานผลการตรวจสอบและกระดาษทำการ หัวหน้าหน่วยงานตรวจสอบภายในควรกำหนดระเบียบเกี่ยวกับอายุการเก็บรักษาเอกสารให้ชัดเจน และสอดคล้องกับแนวทางขององค์กรและกฎหมายหรือข้อบังคับที่เกี่ยวข้อง เพื่อประโยชน์ในการใช้เป็นหลักฐานอ้างอิงหรือเพื่อการดำเนินคดี -ยก-