5. ความสัมพันธ์และการติดต่อสื่อสาร (Relationship and Communication)
ผู้ตรวจสอบภายในควรมีความสัมพันธ์ในการทำงานที่สร้างสรรค์กับผู้บริหาร ผู้รับการตรวจ และควรติดต่อประสานงานกับผู้สอบบัญชีภายนอกและธนาคารแห่งประเทศไทยอย่างสม่ำเสมอ
5.1 ผู้บริหาร (Management)
ควรมีความนับถือและความร่วมมือระหว่างผู้บริหารและผู้ตรวจสอบภายใน การปรึกษาหารือกับผู้บริหารอาจนำไปสู่การค้นพบจุดที่น่าเป็นห่วงซึ่งหัวหน้าหน่วยงานตรวจสอบภายในควรให้ความสนใจ ผู้ตรวจสอบภายในควรใช้ความชำนาญพิเศษที่มีในการให้คำปรึกษาที่เพิ่มคุณค่า (Value-added) แก่ผู้บริหาร
5.2 ผู้รับการตรวจ
ผู้ตรวจสอบภายในควรสร้างความสัมพันธ์ที่ดีกับผู้รับการตรวจ เพื่อให้ได้รับความร่วมมือในการตรวจสอบ ซึ่งจะทำให้การตรวจสอบเป็นไปโดยสะดวกราบรื่น อย่างไรก็ตาม ผู้ตรวจสอบภายในก็ยังต้องรักษาความเป็นกลางในระหว่างการตรวจสอบ
5.3 ผู้สอบบัญชีภายนอก (External Auditors)
ผู้ตรวจสอบภายในควรสร้างความสัมพันธ์ในการทำงานที่ดีกับผู้สอบบัญชีภายนอก และควรมีการประชุมร่วมกันเป็นระยะๆ เช่น แผนการตรวจสอบ การจัดลำดับก่อนหลังในการตรวจสอบ การสอบทานการควบคุมภายใน และขอบเขตของงานตรวจสอบ เพื่อหลีกเลี่ยงการทำงานที่ซ้ำซ้อนกัน
5.4 ธนาคารแห่งประเทศไทยและหน่วยงานกำกับดูแลของรัฐ
5.4.1 ผู้ตรวจสอบภายในต้องรายงานต่อคณะกรรมการตรวจสอบ คณะกรรมการของสถาบันการเงิน ประธานเจ้าหน้าที่บริหาร และธนาคารแห่งประเทศไทยตามลำดับขั้นที่องค์กรกำหนดทันทีที่ตรวจพบสิ่งซึ่งส่งผลเสียหายอย่างร้ายแรงต่อการดำเนินงานและฐานะการเงินของสถาบันการเงิน เช่นการกระทำผิดกฎหมาย รายการผิดปกติ ข้อผิดพลาด ความไร้ประสิทธิภาพ การสูญเปล่า การขัดแย้งทางผลประโยชน์ รวมถึงจุดอ่อนพื้นฐานซึ่งอาจทำให้ระบบการควบคุมภายในของสถาบันการเงินล้มเหลวลง
ผู้ตรวจสอบภายในควรติดตามว่าผู้บริหารได้ทำการแก้ไขปรับปรุงสิ่งที่ธนาคารแห่งประเทศไทยตรวจพบหรือไม่ และในกรณีที่ไม่มีการแก้ไขให้รายงานตามลำดับขั้นซึ่งรวมถึงธนาคารแห่งประเทศไทยด้วย
5.4.2 ผู้ตรวจสอบภายในควรให้ความร่วมมืออันดีกับหน่วยงานกำกับดูแลของรัฐอื่นๆที่เกี่ยวข้อง
6. การกำกับดูแลการตรวจสอบ (Audit Governance)หัวหน้าหน่วยงานตรวจสอบภายในควรมั่นใจว่าการปฏิบัติงานของหน่วยงานตรวจสอบภายใน สอดคล้องกับมาตรฐานการตรวจสอบภายในที่ดี (Sound Internal Auditing Standards) เช่น Standards for the Professional Practice of Internal Auditing ของ Institute of Internal Auditors และควรจัดให้มีกฎบัตร(Audit Charter) แผนการตรวจสอบ (Audit Plan) คู่มือการปฏิบัติงานตรวจสอบภายใน (Audit Manual)แนวการตรวจสอบ (Audit Program) และการสอบถามการควบคุมภายใน (Internal Control Questionnaires :ICQ) ถึงแม้ว่าเอกสารเหล่านี้อาจมีชื่อเรียกและรายละเอียดที่ต่างไป ตราบใดที่มีวัตถุประสงค์เหมือนกันก็ถือว่าใช้ได้
6.1 กฎบัตรของหน่วยงานตรวจสอบภายใน (Audit Charter)
กฎบัตรเป็นเอกสารที่เขียนขึ้นอย่างเป็นทางการ โดยระบุวัตถุประสงค์ ขอบเขต อำนาจหน้าที่และความรับผิดชอบ ความเป็นอิสระ และสถานะในองค์กรของหน่วยงานตรวจสอบภายใน รวมทั้งความรับผิดชอบของหัวหน้าหน่วยงานตรวจสอบภายใน หัวหน้าหน่วยงานตรวจสอบภายในมีหน้าที่เสนอกฎบัตรต่อคณะกรรมการตรวจสอบ หรือคณะกรรมการสถาบันการเงินเพื่อพิจารณาให้ความเห็นชอบกฎบัตรควรได้รับการเผยแพร่ให้เป็นที่ทราบกันโดยทั่วไปในองค์กร ซึ่งจะทำให้เจ้าหน้าที่ทุกระดับรับทราบถึงบทบาท หน้าที่ และความรับผิดชอบของผู้ตรวจสอบภายใน และเป็นการรับรองสถานภาพและอำนาจของหน่วยงานตรวจสอบภายใน หัวหน้าหน่วยงานตรวจสอบภายในควรทบทวนกฎบัตรเป็นระยะๆและทำการแก้ไขหากจำเป็น
6.2 แผนการตรวจสอบ (Audit Plan)
6.2.1 การวางแผนการตรวจสอบเป็นสิ่งจำเป็นที่สุดในการตรวจสอบ หัวหน้าหน่วยงานตรวจสอบภายในควรทำแผนการตรวจสอบเพื่อใช้เป็นเครื่องมือในการกำหนดแนวทาง ควบคุมการตรวจสอบและวัดผลงานของหน่วยงานตรวจสอบภายใน ระยะเวลาของแผนขึ้นอยู่กับขนาดและความซับซ้อนของการดำเนินงานของสถาบันการเงิน แผนการตรวจสอบควรแสดงถึงวัตถุประสงค์ของการตรวจสอบ จุดที่ทำการตรวจสอบ ขอบเขต ความถี่ในการตรวจสอบ ทรัพยากรที่ต้องใช้ และระยะเวลาของงานตรวจสอบแต่ละงานการวางแผนการตรวจสอบควรเน้นที่ความเสี่ยง (Risk Oriented) โดยหัวหน้าหน่วยงานตรวจสอบภายในควรประเมินความเสี่ยงของจุดที่จะทำการตรวจสอบเพื่อกำหนดวิธีการตรวจสอบ จัดลำดับก่อนหลัง รวมทั้งความถี่และขอบเขตของงานตรวจสอบ วิธีการประเมินความเสี่ยงที่ใช้ควรมีการบันทึกเป็นเอกสารและทำการสอบทานอย่างสม่ำเสมอ โดยทั่วไป จุดที่ทำการตรวจสอบควรมีวงจรการตรวจสอบ (Audit Cycle) ปีละ1 ครั้ง อย่างไรก็ดี หากสถาบันการเงินมีระบบการประเมินความเสี่ยงที่มีประสิทธิภาพ หัวหน้าหน่วยงาน
ตรวจสอบภายในอาจใช้ดุลพินิจในการกำหนดวงจรการตรวจสอบสำหรับจุดที่ไม่มีความสำคัญมากนักหัวหน้าหน่วยงานตรวจสอบภายในควรรวมเอาการตรวจสอบการบริหาร (Management Audit) เข้าไว้ในแผนการตรวจสอบด้วย
6.2.2 แผนการตรวจสอบและการเปลี่ยนแปลงที่สำคัญควรได้รับความเห็นชอบจากคณะกรรมการตรวจสอบ หรือคณะกรรมการสถาบันการเงิน แผนการตรวจสอบควรมีความยืดหยุ่นเพียงพอที่จะตอบสนองต่อการเปลี่ยนแปลงในลำดับความสำคัญหรือความจำเป็น และควรได้รับการทบทวนอย่างสม่ำเสมอ นอกจากนี้ ควรมีการรายงานความคืบหน้าของแผนการตรวจสอบต่อคณะกรรมการตรวจสอบหรือคณะกรรมการสถาบันการเงินเป็นระยะๆ
6.3 คู่มือการปฏิบัติงานตรวจสอบภายใน (Audit Manual)
คู่มือการปฏิบัติงานตรวจสอบภายในจะเป็นมาตรฐานที่บุคลากรของหน่วยงานตรวจสอบสามารถใช้เป็นแนวทางและอ้างอิงในการปฏิบัติงานและยังเป็นเครื่องมือช่วยในการฝึกพนักงานใหม่ หัวหน้าหน่วยงานตรวจสอบภายในควรเป็นผู้รับผิดชอบให้คู่มือการตรวจสอบมีรายละเอียดชัดเจน และมีสาระสำคัญเพียงพอที่จะครอบคลุมการปฏิบัติงานที่สำคัญของสถาบันการเงิน รวมทั้งทำการปรับปรุงเป็นระยะๆเพื่อให้ทันกับพัฒนาการทางด้านเทคนิคการตรวจสอบใหม่ๆ และเหตุการณ์ที่เปลี่ยนแปลงไป
6.4 แนวการตรวจสอบ (Audit Program) และการสอบถามการควบคุมภายใน (Internal Control Questionnaires: ICQ) งานตรวจสอบทุกชิ้นควรมีการจัดทำแนวการตรวจสอบซึ่งแสดงวัตถุประสงค์และขั้นตอน (Step-by-step) ของงานตรวจสอบ และมักเสริมด้วยการสอบถามการควบคุมภายใน ทั้งแนวการตรวจสอบและการสอบถามการควบคุมภายในควรมีรายละเอียดเพียงพอ มีความยืดหยุ่นในการปรับเปลี่ยนตามสิ่งที่ตรวจพบ และปรับปรุงให้ทันกับพัฒนาการใหม่ๆที่เกิดขึ้นในอุตสาหกรรม (Industry) แนวการตรวจสอบและการสอบถามการควบคุมภายในที่มีการออกแบบที่ดีจะช่วยให้การตรวจสอบเป็นระบบ
6.5 การรับรองคุณภาพงาน
6.5.1 หัวหน้าหน่วยงานตรวจสอบภายในควรจัดให้มีการรับรองคุณภาพงานเพื่อประเมินผลการปฏิบัติงานของหน่วยงานตรวจสอบภายใน ซึ่งจะช่วยให้ผู้ตรวจสอบภายในและผู้ที่เกี่ยวข้องมีความมั่นใจในข้อมูลที่ได้จากการตรวจสอบยิ่งขึ้น
6.5.2 ควรมีโปรแกรมควบคุมคุณภาพงานตรวจสอบ โดยอาจใช้การตรวจสอบคุณภาพงานภายในกันเองระหว่างผู้ร่วมงาน และในทุกๆ 3-5 ปี ควรมีการสอบทานคุณภาพของงานตรวจสอบภายในโดยบุคคลภายนอกที่เป็นอิสระ เช่น ผู้สอบบัญชีภายนอก หรือคณะกรรมการตรวจสอบ
7. การ Outsource หน้าที่การตรวจสอบภายในสถาบันการเงินอาจ Outsource หน้าที่การตรวจสอบภายในบางส่วนหรือทั้งหมดไปบริษัทที่ให้บริการตรวจสอบภายใน เนื่องจากมีต้นทุนที่ต่ำกว่าและ/หรือให้บริการที่ดีกว่า หากบริษัทนั้นมีโครงสร้างการดำเนินงานและการบริหารที่ดี อย่างไรก็ดี ธนาคารแห่งประเทศไทยมีความเป็นห่วงว่าการ Outsource ในบางกรณีอาจส่งผลเสียต่อความมั่นคงของสถาบันการเงินได้ ธนาคารแห่งประเทศไทยจึงกำหนดให้สถาบันการเงินที่ต้องการจะ Outsource หน้าที่การตรวจสอบภายในให้บริษัทที่ให้บริการตรวจสอบภายใน ต้องแจ้งให้ธนาคารแห่งประเทศไทยทราบ โดยบริษัทที่ให้บริการตรวจสอบภายในที่ถูกว่าจ้างต้องไม่มีส่วนเกี่ยวข้องกับผู้บริหารหรือคณะกรรมการสถาบันการเงินและไม่มีผลประโยชน์ในองค์กร เพื่อป้องกัน Conflict of Interests ธนาคารแห่งประเทศไทยคาดหวังว่าสถาบันการเงินได้วิเคราะห์ผลกระทบของการ Outsource ต่อ Overall risk profile รวมทั้งระบบการควบคุมภายในของสถาบันการเงิน คณะกรรมการและฝ่ายบริหารของสถาบันการเงินยังคงเป็นผู้รับผิดชอบต่อประสิทธิภาพและความเพียงพอของระบบการควบคุมภายในและการตรวจสอบภายใน โดยไม่สามารถ โอนความรับผิดชอบนี้ให้บุคคลอื่นได้
ธนาคารแห่งประเทศไทยยังคงสามารถขอรายงานผลการตรวจสอบและกระดาษทำการที่เกี่ยวข้อง ที่บริษัทที่ให้บริการตรวจสอบภายในจัดทำขึ้น สถาบันการเงินต้องแสดงให้ธนาคารแห่งประเทศไทยเห็นว่าบริษัทที่ให้บริการตรวจสอบภายในมีความชำนาญเพียงพอ มีฐานะการเงินมั่นคง เป็นอิสระ และมีใจที่เป็นอิสระจากงานที่ได้รับมอบหมายให้ตรวจสอบ รวมทั้งผู้ที่ทำหน้าที่ตรวจสอบภายในมีความรู้ความสามารถ ประสบการณ์ และมีจำนวนเพียงพอ ขบวนการรายงานระหว่างบริษัทที่ให้บริการและสถาบันการเงินต้องมีความชัดเจน เพื่อให้สามารถสื่อสารปัญหาที่เกี่ยวเนื่องกับการตรวจสอบภายในได้ สถาบันการเงินควรมีกระบวนการติดตามประเมินผลงาน และบริหารความสัมพันธ์กับบริษัทที่ให้บริการอย่างต่อเนื่อง สถาบันการเงินที่ว่าจ้างบริษัทอื่นทำหน้าที่ตรวจสอบภายในจะต้องทำสัญญาเป็นลายลักษณ์อักษร โดยควรมีการกำหนดวัตถุประสงค์และขอบเขตของงาน การเข้าถึงข้อมูล บันทึก บุคลากร และสถานที่รวมทั้งข้อมูลเกี่ยวกับสมมุติฐานและระเบียบปฏิบัติที่ใช้ ความเป็นเจ้าของและการเป็นผู้ดูแลรักษากระดาษทำการ และการเก็บรักษาความลับของข้อมูลที่ได้ระหว่างการปฏิบัติงาน สถาบันการเงินควรจัดทำแผนรองรับ (Contingency Plan) ในกรณีที่บริษัทที่ให้บริการตรวจสอบภายในไม่สามารถให้บริการต่อไปได้ ธนาคารแห่งประเทศไทยไม่อนุญาตให้สถาบันการเงิน Outsource หน้าที่การตรวจสอบภายในให้กับบริษัทที่ทำหน้าที่สอบทานงบการเงินประจำปีให้กับสถาบันการเงินในขณะนั้น เนื่องจากต้องการให้ หน้าที่การตรวจสอบภายในเป็นอิสระจากหน้าที่สอบทานงบการเงิน การที่บริษัทเดียวกันทำหน้าที่ทั้งสอง อย่างในเวลาเดียวกัน จึงไม่เป็นการเหมาะสม
ในกรณีที่สถาบันการเงินมอบหมายหน้าที่การตรวจสอบภายในบางส่วนหรือทั้งหมดให้กับผู้ตรวจสอบภายในของภาคหรือของสำนักงานใหญ่ซึ่งเป็นนิติบุคคลเดียวกันกับสถาบันการเงิน ไม่ถือว่าเป็นการ Outsource หน้าที่การตรวจสอบภายใน
บทที่ 2
หน้าที่และความรับผิดชอบ
1. บทนำ
หน้าที่หลักของหน่วยงานตรวจสอบภายในคือ ประเมินกิจกรรมต่างๆของสถาบันการเงินอย่างเป็นอิสระ การตรวจสอบภายในมีบทบาทที่สำคัญในการช่วยฝ่ายบริหารในการสร้างและรักษาสภาวะแวดล้อมของการควบคุมภายใน (Internal Control Environment) ที่ดีที่สุดเท่าที่จะเป็นไปได้ให้กับสถาบันการเงิน สภาวะแวดล้อมของการควบคุมภายในที่ดีจะช่วยให้มั่นใจได้ว่าสถาบันการเงินปฏิบัติตามกฎหมายและ ข้อบังคับ มีการดูแลป้องกันทรัพย์สิน การเก็บรักษาบันทึกเอกสารที่เพียงพอ มีการป้องกันหรือตรวจพบ การทุจริต ข้อผิดพลาด และรายการผิดปรกติที่สำคัญตั้งแต่แรกเริ่ม รวมทั้งการดำเนินงานที่มีประสิทธิภาพ
ในบทนี้จะกล่าวถึงหน้าที่และความรับผิดชอบหลักของผู้ตรวจสอบภายในซึ่งเป็นสิ่งจำเป็นใน การเสริมสร้างความมั่นคงของระบบสถาบันการเงิน
2. ความเพียงพอและประสิทธิผลของระบบการควบคุมภายใน
ผู้ตรวจสอบภายในมีหน้าที่ในการสอบทานระเบียบปฏิบัติของสถาบันการเงินเพื่อให้มั่นใจว่ามี การควบคุมอย่างเพียงพอ และพิจารณาว่าระบบการควบคุมภายในที่มีอยู่ มีประสิทธิผล ปฏิบัติได้ และมี การปฏิบัติตามหรือไม่ การสอบทานและการทดสอบระบบการควบคุมภายในควรเป็นไปอย่างต่อเนื่องและสม่ำเสมอ เพื่อให้มั่นใจว่าระบบการควบคุมภายในยังคงทำงานอย่างเหมาะสมซึ่งจะช่วยส่งเสริมให้กลยุทธ์ทางธุรกิจของสถาบันการเงินประสบผลสำเร็จ ความเชื่อถือได้และความถูกต้องของข้อมูลทางการเงิน ตลอดจนเครื่องมือที่ใช้ในการระบุ (Identify) วัดค่า (Measure) จัดประเภท (Classify) และรายงาน (Report) ข้อมูลดังกล่าวควรได้รับการประเมินเพื่อให้มั่นใจว่าระบบการบริหารข้อมูลสารสนเทศโดยใช้คอมพิวเตอร์ (MIS) มีประสิทธิภาพ
3. การปฏิบัติตามนโยบาย ระเบียบปฏิบัติ กฎหมายและข้อบังคับ
ในการปฏิบัติงานตรวจสอบ ผู้ตรวจสอบภายในควรประเมินว่าสถาบันการเงินมีการปฏิบัติตามกฎหมาย ข้อบังคับ ประกาศ คำสั่ง และหนังสือเวียนของธนาคารแห่งประเทศไทย และหน่วยงานของรัฐอื่นๆ รวมทั้งข้อกำหนดของสมาคมที่เกี่ยวข้อง หรือไม่ นอกจากนี้ ผู้ตรวจสอบภายในควรสอบทานความสอดคล้องของการปฏิบัติงานกับนโยบายและระเบียบปฏิบัติภายในของสถาบันการเงิน ยกเว้นกรณีที่สถาบันการเงินมีหน่วยงานอื่นทำหน้าที่ประเมินหรือสอบทานการปฏิบัติตามนโยบาย ระเบียบปฏิบัติ
กฎหมาย และข้อบังคับต่างๆ โดยตรง และแยกต่างหากจากฝ่ายตรวจสอบภายใน ให้หน่วยงานนี้มีหน้าที่รับผิดชอบเรื่องดังกล่าว
4. การตรวจสอบการทุจริต (Frauds) ข้อผิดพลาด (Errors) การละเลย (Omissions) และรายการผิดปรกติอื่นๆ (Irregularities)
การป้องกันและการตรวจพบการทุจริต ข้อผิดพลาด การละเลย และรายการผิดปรกติตั้งแต่แรกเริ่มถือเป็นหน้าที่ของฝ่ายบริหาร โดยการนำเอาระบบการควบคุมภายในที่เพียงพอมาใช้อย่างต่อเนื่อง ระบบ ดังกล่าวช่วยลดจำนวนแต่ไม่ได้กำจัดการเกิดการทุจริต ข้อผิดพลาด การละเลย และรายการผิดปรกติให้ หมดสิ้นไป ดังนั้นในการประเมินความมั่นคงและความเพียงพอของระบบการควบคุมภายใน ผู้ตรวจสอบ ภายในควรมีความตื่นตัวโดยเฉพาะในเวลาที่มีการเปลี่ยนแปลงสภาวะแวดล้อมทางการเงิน ซึ่งทำให้การควบคุมภายในที่ถือปฏิบัติไม่มีประสิทธิภาพเท่าที่ควร หรือมีความเสี่ยงที่จะเกิดการทุจริตและข้อผิดพลาดสูง นอกจากนี้ ผู้ตรวจสอบภายในควรมีบทบาทในการเข้าร่วมการพิจารณาความผิดจากการปฏิบัติงานหรือการทุจริต หรือเป็นกรรมการในการพิจารณาวินัย
5. การตรวจสอบการบริหาร (Management Audit)
ผู้ตรวจสอบภายในควรเพิ่มบริการที่มีคุณค่าให้แก่ฝ่ายบริหาร โดยการสอบทานว่าการใช้ทรัพยากรที่มีอยู่เป็นไปอย่างมีประสิทธิภาพ ประสิทธิผล และประหยัดสูงสุดหรือไม่ รวมถึงทำการสอบทานระบบงานและระบบการบริหารทั่วไปด้วย ซึ่งจะเป็นข้อมูลในการประเมินการปฏิบัติงานของฝ่ายบริหารในการดูแลจัดระบบงานและระเบียบปฏิบัติเพื่อให้การดำเนินงานเป็นไปตามวัตถุประสงค์และเป้าหมายของสถาบันการเงิน
6. การประเมินระบบงานสารสนเทศ (Information Systems Audit)
การนำเอาคอมพิวเตอร์มาใช้ในการปฏิบัติงานได้เปลี่ยนวิธีการทำงาน การประมวลผลข้อมูล และการเก็บรักษาข้อมูลของสถาบันการเงิน ในปัจจุบันบางสถาบันการเงินได้มีการให้บริการผ่านทางอิเล็กทรอนิกส์ ดังนั้น ผู้ตรวจสอบภายในจึงควรทำการประเมินระบบงานสารสนเทศเพื่อให้มั่นใจว่ามีการควบคุมภายในที่เพียงพอ มีประสิทธิภาพ และครอบคลุมทุกกิจกรรมที่ใช้คอมพิวเตอร์ อันจะทำให้ข้อมูลมีความน่าเชื่อถือ ระบบข้อมูลมีความปลอดภัย และให้การป้องกันที่จำเป็นต่อความเสี่ยงที่จะเกิดการทุจริตและข้อผิดพลาด นอกจากนี้ ผู้ตรวจสอบภายในควรให้ความสำคัญกับการบริหารความเสี่ยงด้านการบริหารระบบงานสารสนเทศด้วยในการประเมินระบบงานสารสนเทศ ผู้ตรวจสอบควรมีความรู้ในเรื่องดังกล่าวเป็นอย่างดี เพื่อให้สามารถปฏิบัติงานได้อย่างมีประสิทธิภาพ ในทางปฏิบัติบางสถาบันการเงินอาจจ้างผู้ตรวจสอบที่มีความเชี่ยวชาญด้านคอมพิวเตอร์โดยตรงมาทำการประเมิน ผู้ตรวจสอบที่ไม่เคยมีความรู้ความชำนาญมาก่อนต้องใช้เวลาในการเรียนรู้ซึ่งอาจทำให้เกิดความเสียหายแก่องค์กรได้
7. บทบาทในการให้คำปรึกษา (Consultative Role)
เนื่องจากกิจกรรมของสถาบันการเงินมีความหลากหลายและมีความซับซ้อนมากขึ้น ประกอบกับการแข่งขันที่ทวีความรุนแรง ผู้ตรวจสอบภายในอาจถูกร้องขอให้มีส่วนร่วมในการให้คำปรึกษาในเรื่องการออกผลิตภัณฑ์ ระบบงานใหม่ๆ และความเสี่ยงที่เกี่ยวเนื่องกับเรื่องที่กล่าวด้วย เพื่อให้แน่ใจว่ามีการนำเอาการควบคุมที่จำเป็นมาใช้ อย่างไรก็ดี การทำหน้าที่ให้คำปรึกษาของผู้ตรวจสอบภายในควรแจ้งให้ฝ่ายบริหารทราบก่อน เพื่อไม่ให้ถูกมองว่ายอมลดความเป็นอิสระลง
บทที่ 3
ขอบเขตของงานตรวจสอบภายใน
1. บทนำ
1.1 โดยทั่วไป ขอบเขตของงานตรวจสอบภายในต้องครอบคลุมทุกกิจกรรมของสถาบันการเงิน ซึ่งรวมถึงกิจกรรมของสาขา และกิจกรรมที่สถาบันการเงินจ้างบุคคลภายนอกทำการแทน (Outsource)
1.2 ขอบเขตของงานตรวจสอบที่กล่าวถึงในบทนี้จะไม่ลงในรายละเอียด แต่เป็นการให้ขอบเขตของงานตรวจสอบขั้นต่ำที่ผู้ตรวจสอบภายในควรปฏิบัติ หัวหน้าหน่วยงานตรวจสอบภายในควรสอบทานให้ แน่ใจว่างานตรวจสอบแต่ละงานครอบคลุมและมีรายละเอียดเหมาะสมกับปัจจัยเสี่ยง (Risk Factor) ของงานนั้น ภายหลังจากพิจารณาระดับความเสี่ยงของแต่ละจุดที่จะทำการตรวจสอบแล้ว หัวหน้าหน่วยงานตรวจสอบภายในควรตัดสินว่าจะขยายหรือลดขอบเขตของงานตรวจสอบ การตัดสินใจในเรื่องดังกล่าวควรมีการบันทึกเป็นเอกสาร นอกจากนี้ ผู้ตรวจสอบภายในควรพิจารณาระดับของการสุ่มตัวอย่างในการตรวจสอบ ที่เหมาะสม เพื่อให้บรรลุวัตถุประสงค์ของงานตรวจสอบที่วางไว้
2. การประเมินความเพียงพอและประสิทธิผลของระบบการควบคุมภายใน
ผู้บริหารมีหน้าที่รับผิดชอบในการสร้างระบบการควบคุมภายในที่เข้มแข็งเพื่อความมั่นคงของสถาบันการเงิน ระบบการควบคุมภายในที่มีประสิทธิผลจะช่วยลดความเสี่ยงจากการเกิดการทุจริต ข้อผิดพลาด การละเลย และรายการผิดปรกติอื่นๆ ผู้ตรวจสอบภายในควรมีความเข้าใจ ทำการประเมิน และทดสอบระบบการควบคุมภายใน โดยขอบเขตของงานตรวจสอบควรครอบคลุมถึงประสิทธิผลของระบบการควบคุมภายใน ความเชื่อถือได้และความถูกต้องของข้อมูลทางการเงิน การป้องกันหรือการตรวจพบการทุจริต ข้อผิดพลาด การละเลย และรายการผิดปรกติอื่นๆตั้งแต่ระยะแรกเริ่ม รวมทั้งเครื่องมือที่ใช้ในการดูแลป้องกันทรัพย์สิน
2.1 ประสิทธิผลของระบบการควบคุมภายใน
ประสิทธิผลของระบบการควบคุมภายในส่วนหนึ่งขึ้นอยู่กับสภาวะแวดล้อมของการ ควบคุมโดยรวมของสถาบันการเงิน อย่างไรก็ดี สภาวะแวดล้อมของการควบคุมที่ดีเพียงอย่างเดียวไม่ได้ รับประกันว่าระบบการควบคุมภายในจะมีประสิทธิผล ผู้ตรวจสอบภายในควรคำนึงถึงปัจจัยอื่นที่อาจ ส่งผลกระทบต่อสภาวะแวดล้อมของการควบคุมด้วย สำหรับแต่ละจุดที่ตรวจสอบ ขอบเขตและความถี่ในการตรวจสอบขึ้นอยู่กับปัจจัยเสี่ยงของจุดตรวจสอบนั้น ปัจจัยเสี่ยงดังกล่าวได้จากการประเมินความเสี่ยง
ซึ่งกระทำในระหว่างการวางแผนการตรวจสอบ หากความเสี่ยงของจุดที่ทำการตรวจสอบมีระดับสูง ควรมีการขยายขอบเขตของงานตรวจสอบ ผู้ตรวจสอบภายในควรสอบทานจนพอใจว่าระบบการควบคุมภายในโดยรวมมีประสิทธิผล เพียงพอ และเป็นไปตามแผนที่วางไว้
2.2 ความเชื่อถือได้และความถูกต้องของข้อมูล
ผู้ตรวจสอบภายในควรสอบทานความเกี่ยวข้อง (Relevance) ความเชื่อถือได้ และความ ถูกต้องของข้อมูลทางการเงินและการปฏิบัติงาน รวมทั้งเครื่องมือที่ใช้ในการระบุ วัดค่า จัดประเภท และ รายงานข้อมูลเหล่านั้น นอกจากนี้ ผู้ตรวจสอบภายในควรพิจารณาว่ามีการนำเสนอข้อมูลต่อผู้บริหารเพื่อประกอบการตัดสินใจอย่างทันการณ์หรือไม่ สำหรับจุดตรวจสอบที่ควรให้ความสนใจเป็นพิเศษ ผู้ตรวจสอบภายในควรปฏิบัติดังนี้
(ก) ตรวจสอบให้แน่ใจว่าบันทึกและรายงานทางการเงินและการปฏิบัติงานประกอบด้วยข้อมูลที่ถูกต้อง เชื่อถือได้ ทันต่อเหตุการณ์ ครบถ้วน และมีความเกี่ยวข้อง รวมทั้งมีการจัดทำที่เป็นไปตามมาตรฐานการบัญชี
(ข) พิจารณาว่าระเบียบปฏิบัติในการควบคุมการเก็บรักษาบันทึกและการรายงานมีความเพียงพอและมีประสิทธิผลหรือไม่
(ค) ประเมินกระบวนการรวบรวม บันทึก และเก็บรักษาข้อมูล
(ง) ทดสอบว่าการจัดทำรายงานต่อธนาคารแห่งประเทศไทยมีความถูกต้อง เชื่อถือได้ และทันต่อเวลา
(จ) ตรวจสอบความถูกต้องของบันทึกทางบัญชี (Accounting Records) และการกระทบยอด (Reconciliation)
2.3 การดูแลป้องกันทรัพย์สิน (Safeguarding of Assets)
ผู้ตรวจสอบภายในควรสอบทานว่ามีการควบคุมที่เพียงพอในการดูแลป้องกันทรัพย์สินของสถาบันการเงินจากการลักขโมย เพลิงไหม้ และการนำไปใช้โดยไม่ได้รับอนุญาต และในบางกรณี ผู้ตรวจสอบภายในอาจจะต้องตรวจสอบถึงความมีอยู่จริงของทรัพย์สินด้วย ทรัพย์สินในที่นี้ หมายความถึงทรัพย์สินที่สถาบันการเงินเป็นผู้รับผลประโยชน์
2.4 การตรวจสอบการทุจริต ข้อผิดพลาด การละเลย และรายการผิดปรกติอื่นๆ
2.4.1 ระบบการควบคุมภายในที่มีประสิทธิผลจะช่วยลดจำนวน แต่ไม่ได้กำจัดการเกิดขึ้นของการทุจริต ข้อผิดพลาด การละเลย และรายการผิดปรกติอื่นๆให้หมดไป ความเสี่ยงที่การควบคุมภายในไม่เป็นไปตามแผนที่วางไว้จะยังคงมีอยู่เสมอ นอกจากนี้ ระบบการควบคุมภายในอาจไม่มีประสิทธิผลหากการทุจริตเกิดจากการสมรู้ร่วมคิดระหว่างพนักงาน หรือการกระทำของผู้บริหาร ถึงแม้ว่าผู้ตรวจสอบภายในไม่มีส่วนรับผิดชอบต่อการตรวจสอบการทุจริต ข้อผิดพลาด การละเลย และรายการผิดปรกติอื่นๆ ผู้ตรวจสอบภายในควรใช้ความรอบคอบและมีความตื่นตัวในการตรวจสอบงานที่เกี่ยวข้องกับธุรกรรมเงินสดเป็นจำนวนมาก หรือกิจกรรมที่มีความเสี่ยงสูง
2.4.2 ผู้ตรวจสอบภายในควรตัดสินว่าจุดตรวจสอบใดมีความเสี่ยงสูงที่จะเกิดการทุจริต ข้อผิดพลาด การละเลย และรายการผิดปรกติอื่นๆ ในขณะเดียวกัน ควรมีการขยายขอบเขตการตรวจสอบ ให้กว้างขึ้นเพื่อให้ครอบคลุมจุดที่น่าเป็นห่วง
2.4.3 ในระหว่างการตรวจสอบ หากมีการตรวจพบข้อบกพร่องในการควบคุมที่สำคัญ หรือได้รับข้อมูลจากแหล่งภายในหรือภายนอกองค์กรเกี่ยวกับกิจกรรมที่มีเหตุอันควรให้สงสัย ผู้ตรวจสอบภายในควรขยายขอบเขตของงาน เพื่อตรวจสอบว่ามีการทุจริต ข้อผิดพลาด การละเลย และรายการผิดปรกติอื่นๆเกิดขึ้นจริงหรือไม่ หากมีหลักฐานหรือข้อบ่งชี้เพียงพอว่าอาจมีการทุจริตหรือรายการผิดปรกติอย่างมีสาระสำคัญเกิดขึ้น ควรมีการสืบสวนเพิ่มเติม ฝ่ายบริหารของสถาบันการเงินและธนาคารแห่งประเทศไทยต้องได้รับแจ้งให้ทราบถึงผลการสืบสวน นอกจากนี้ ผู้ตรวจสอบภายในควรช่วยฝ่ายบริหารในการทบทวนและปรับปรุงระบบการควบคุม เพื่อป้องกันการเกิดขึ้นอีกของการทุจริตหรือรายการผิดปรกติในทำนองเดียวกันในอนาคต
3. การปฏิบัติตามนโยบาย ระเบียบปฏิบัติ กฎหมายและข้อบังคับ
สถาบันการเงินทุกแห่งควรตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามกฎหมาย ข้อบังคับ ประกาศ รวมทั้งนโยบายและระเบียบปฏิบัติภายใน ขอบเขตการตรวจสอบควรครอบคลุมการปฏิบัติตาม ดังต่อไปนี้
(ก) พระราชบัญญัติการธนาคารพาณิชย์ พ.ศ. 2505 พระราชบัญญัติการประกอบธุรกิจเงินทุน ธุรกิจหลักทรัพย์ และธุรกิจเครดิตฟองซิเอร์ พ.ศ. 2522 พระราชบัญญัติควบคุมการแลกเปลี่ยนเงิน พ.ศ. 2485 ประกาศเจ้าพนักงานควบคุมการแลกเปลี่ยนเงิน กฎกระทรวงและประกาศกระทรวงการคลัง รวมทั้งกฎหมายและข้อบังคับอื่นๆที่เกี่ยวข้อง
(ข) ประกาศ คำสั่ง และหนังสือเวียนของธนาคารแห่งประเทศไทย และข้อกำหนดของสมาคมที่เกี่ยวข้อง
(ค) นโยบายและระเบียบปฏิบัติภายในที่ได้รับการอนุมัติแล้ว
-ยังมีต่อ-
-ยก-