บทที่ 1
โครงสร้างการตรวจสอบภายใน
1. บทนำ
ระบบการควบคุมภายใน (Internal Control Systems) และการตรวจสอบภายใน (Internal Audit) เป็นส่วนสำคัญอย่างยิ่งของกระบวนการกำกับดูแลกิจการที่ดี (Good Corporate Governance) โดยผู้ตรวจสอบภายในมีบทบาทที่สำคัญในการประเมินประสิทธิผลและยกระดับมาตรฐานของระบบการควบคุมภายในของสถาบันการเงิน ซึ่งเป็นสิ่งจำเป็นอย่างยิ่งในการเสริมสร้างความมั่นคงของระบบการเงินโดยรวม ดังนั้นความเหมาะสมของโครงสร้างการตรวจสอบภายในของสถาบันการเงินจึงเป็นสิ่งสำคัญ
ธนาคารแห่งประเทศไทยเห็นว่าสถาบันการเงินควรจัดให้มีหน่วยงานตรวจสอบภายในที่เหมาะสมกับขนาด ลักษณะ และขอบเขตของกิจกรรมของสถาบันการเงิน เพื่อทำหน้าที่สอบทานและทดสอบระบบการควบคุมภายในและระบบการบริหารความเสี่ยง อย่างไรก็ดี จากขนาดขององค์กรและลักษณะการประกอบการ สถาบันการเงินบางแห่งอาจพบว่าการจัดตั้งหน่วยงานตรวจสอบภายในเป็นภาระที่หนักเกินไปด้วยเหตุผลของ Synergy และความประหยัดจากขนาด (Economies of Scale) สถาบันการเงินเหล่านั้นอาจให้ผู้ตรวจสอบภายในของสำนักงานใหญ่หรือของกลุ่ม (Group Internal Auditor) หรือจ้างบริษัทอื่นทำหน้าที่ตรวจสอบภายใน (Outsource) อย่างไรก็ดี การรายงานในกรณีดังกล่าว ควรมีการกำหนดอย่างชัดเจนและควรแจ้งให้ธนาคารแห่งประเทศไทยทราบ สำหรับสถาบันการเงินขนาดเล็กที่มีจำนวนพนักงานน้อย และการดำเนินงานไม่ซับซ้อน ประโยชน์ที่ได้รับจากการมีผู้ตรวจสอบภายในอาจไม่คุ้มกับต้นทุน สถาบันการเงินเหล่านี้อาจใช้ระบบการประเมินการควบคุมภายในที่สำคัญอย่างเป็นอิสระ โดยพนักงานที่ทำหน้าที่สอบทานกิจกรรมใดควรเป็นอิสระจากกิจกรรมนั้น และรายงานสิ่งที่ตรวจพบต่อคณะกรรมการตรวจสอบ หรือคณะกรรมการสถาบันการเงิน (Board of Directors) สำหรับสถาบันการเงินที่มีมาตรฐานการตรวจสอบภายในที่เข้มงวดกว่าที่กล่าวไว้ในแนวทางฉบับนี้ ขอให้ดำเนินการดังเช่นที่เคยปฏิบัติมาในบทแรกนี้จะอธิบายข้อกำหนดที่สถาบันการเงินควรปฏิบัติในแง่ของความเป็นอิสระ (Independence) ความมีใจเป็นอิสระ (Objectivity) ความรอบรู้ในวิชาชีพ (Professional Proficiency) ความสัมพันธ์และการติดต่อสื่อสาร (Relationship and Communication) การกำกับดูแลการตรวจสอบ (Audit Governance) และการว่าจ้างบุคคลภายนอกทำหน้าที่ตรวจสอบภายใน (Outsource)
2. หน้าที่และความรับผิดชอบของฝ่ายบริหาร
ฝ่ายบริหารมีหน้าที่จัดตั้งหน่วยงานตรวจสอบภายในที่เหมาะสมกับขนาด ขอบเขต และลักษณะ การดำเนินงานของสถาบันการเงิน เพื่อติดตามความเพียงพอและประสิทธิผลของระบบการควบคุมภายในและการบริหารความเสี่ยง รวมทั้งกำหนดวัตถุประสงค์ อำนาจ หน้าที่ ความรับผิดชอบของหน่วยงานตรวจสอบภายใน และนโยบายการตรวจสอบที่ชัดเจน โดยผ่านความเห็นชอบของคณะกรรมการตรวจสอบหรือคณะกรรมการสถาบันการเงิน ฝ่ายบริหารควรตระหนักถึงความสำคัญของหน่วยงานตรวจสอบภายใน และถ่ายทอดให้ทั้งองค์กรทราบ รวมทั้งส่งเสริมความเป็นอิสระและสถานภาพของผู้ตรวจสอบ และจัดสรรทรัพยากรและบุคลากรอย่างเพียงพอและเหมาะสมแก่หน่วยงานตรวจสอบภายในเพื่อให้บรรลุวัตถุประสงค์ที่วางไว้
3. ความเป็นอิสระและความมีใจเป็นอิสระ (Independence and Objectivity)
หน่วยงานตรวจสอบภายในต้องเป็นอิสระจากกิจกรรมที่ตรวจสอบ และต้องมีอิสระในการตรวจสอบกิจกรรมต่างๆขององค์กร การรายงานสิ่งที่ตรวจพบ และเสนอข้อเสนอแนะ ความเป็นอิสระและความมีใจเป็นอิสระของผู้ตรวจสอบภายในเป็นสิ่งจำเป็นอย่างยิ่งในการปฏิบัติงานตรวจสอบ เพื่อให้ผู้ตรวจสอบภายในสามารถใช้วิจารณญาณที่เป็นกลางและปราศจากอคติ
3.1 สถานภาพในองค์กร (Organizational Status)
3.1.1 สถานภาพในองค์กรของหน่วยงานตรวจสอบภายในต้องอยู่ในระดับที่สูงพอ และแยกออกต่างหากเพื่อให้ผู้ตรวจสอบภายในสามารถปฏิบัติหน้าที่ได้ตามวัตถุประสงค์ที่วางไว้ โดยได้รับการสนับสนุนจากฝ่ายบริหารเพื่อให้ได้รับความร่วมมือจากผู้รับการตรวจและปฏิบัติงานได้อย่างอิสระปราศจากการแทรกแซง ตำแหน่งหัวหน้าหน่วยงานตรวจสอบภายใน (Chief Internal Auditor: CIA) ต้องมีสถานภาพเทียบเท่ากับหัวหน้าของหน่วยงานสำคัญอื่นๆในองค์กร การแต่งตั้ง การโยกย้าย ค่าตอบแทนการประเมินผลงาน และการถอดถอนหัวหน้าหน่วยงานตรวจสอบภายใน ควรตัดสินโดยคณะกรรมการตรวจสอบ หากไม่มีให้ตัดสินโดยคณะกรรมการสถาบันการเงิน
3.1.2 หัวหน้าหน่วยงานตรวจสอบภายในต้องรายงานตรงต่อคณะกรรมการตรวจสอบหากไม่มีให้รายงานตรงต่อคณะกรรมการสถาบันการเงิน และสามารถขอเข้าพบเพื่อรายงานได้ตลอดเวลาการติดต่อสื่อสารอย่างสม่ำเสมอจะช่วยให้เกิดความมั่นใจในความเป็นอิสระ และเป็นวิธีที่ทำให้คณะกรรมการตรวจสอบ หรือคณะกรรมการสถาบันการเงินได้รับทราบเรื่องที่เกี่ยวข้องกับการตรวจสอบ
3.1.3 หัวหน้าหน่วยงานตรวจสอบภายในควรกำหนดความรับผิดชอบของบุคลากรหรือส่วนงานในหน่วยงานตรวจสอบภายใน และนำเสนอต่อผู้บริหาร และคณะกรรมการตรวจสอบหรือคณะกรรมการสถาบันการเงินเพื่อพิจารณาให้ความเห็นชอบก่อนนำออกใช้ การกำหนดความรับผิดชอบนี้ขึ้นอยู่กับขนาดขององค์กร ลักษณะ และความซับซ้อนของการดำเนินงาน ตลอดจนวัตถุประสงค์และขอบเขตของการตรวจสอบภายใน
3.1.4 ผู้ตรวจสอบภายในต้องไม่มีหน้าที่รับผิดชอบในการปฏิบัติงาน หรือระบบงานใดๆนอกเหนือจากงานตรวจสอบ ตามหลักการแล้ว บุคคลที่ทำงานในหน่วยงานอื่นต้องไม่ได้รับมอบหมายให้ทำงานของหน่วยงานตรวจสอบภายใน อย่างไรก็ดี งานตรวจสอบบางอย่างที่จำเป็นต้องใช้ความสามารถเฉพาะด้าน หน่วยงานตรวจสอบภายในอาจยืมตัวบุคคลจากหน่วยงานอื่นมาทำงานชั่วคราวในฐานะที่ปรึกษาได้ แต่ต้องเป็นกรณีพิเศษเท่านั้น นอกจากนี้ ผู้ตรวจสอบภายในต้องเข้าถึงข้อมูล ทรัพย์สิน บุคลากร และสถานที่ทำการของสถาบันการเงินที่จำเป็นในการปฏิบัติงานตรวจสอบได้อย่างไม่มีข้อจำกัด หากมีข้อจำกัดใดๆ ผู้ตรวจสอบภายในต้องแจ้งเป็นลายลักษณ์อักษรให้คณะกรรมการตรวจสอบ หรือคณะกรรมการสถาบันการเงินทราบทันที เพื่อให้ทำการแก้ไขกับฝ่ายบริหารต่อไป หน่วยงานตรวจสอบภายในต้องได้รับข้อมูล เอกสารที่จำเป็นในการตรวจสอบ คำสั่งและการตัดสินใจของฝ่ายบริหารที่อาจมีความสำคัญทั้งทางตรงและทางอ้อมต่องานตรวจสอบภายใน รวมทั้ง การเปลี่ยนแปลงในระบบการควบคุมภายในที่สำคัญอย่างทันท่วงที นอกจากนี้ ทุกหน่วยงานในองค์กรต้องรายงานหน่วยงานตรวจสอบภายในทันทีที่ตรวจพบข้อบกพร่องร้ายแรง หรือความสูญเสียอย่างมาก หรือมีเหตุอันควรสงสัยว่าจะเกิดความสูญเสียอย่างมากในหน่วยงานของตน
3.2 ความมีใจเป็นอิสระ (Objectivity)
3.2.1 ความมีใจเป็นอิสระ หมายถึง สภาวะทางจิตใจที่เป็นอิสระซึ่งช่วยให้ผู้ตรวจสอบ ภายในสามารถใช้วิจารณญาณ แสดงความคิดเห็น และข้อเสนอแนะได้อย่างเป็นกลาง
3.2.2 ผู้ตรวจสอบภายในควรปฏิบัติดังนี้
(ก) หลีกเลี่ยงเหตุการณ์ขัดแย้งทางผลประโยชน์ (Conflict of Interest) ที่เกิดจากความสัมพันธ์ทั้งเรื่องงานและเรื่องส่วนตัวในองค์กร หรือกิจกรรมที่ตรวจสอบ
(ข) ต้องไม่มีอำนาจหรือหน้าที่รับผิดชอบต่อหน่วยงานหรือกิจกรรมใดๆที่ตรวจสอบ
(ค) ไม่ควรได้รับมอบหมายให้ตรวจสอบการปฏิบัติงานใดๆที่เคยเกี่ยวข้องมาก่อนที่จะเป็นผู้ตรวจสอบภายใน จนกว่าจะมีการตรวจสอบอย่างเป็นอิสระคั่นก่อนหน้า หรือเวลาล่วงมาแล้วไม่ต่ำกว่า 1 ปี
(ง) อาจเป็นผู้เสนอแนะหรือให้ความเห็นเกี่ยวกับการควบคุมระบบงานใหม่ๆ หรือทำการสอบทานระเบียบปฏิบัติต่างๆก่อนที่จะนำมาใช้งาน ตราบใดที่ไม่ทำให้ความเป็นอิสระของหน่วยงานตรวจสอบภายในลดลง
4. ความรอบรู้ในวิชาชีพ (Professional Proficiency)
ประสิทธิผลของการตรวจสอบภายในส่วนใหญ่ขึ้นอยู่กับคุณภาพ และประสบการณ์ของเจ้าหน้าที่ตรวจสอบภายในซึ่งควรมีคุณสมบัติที่เหมาะสมและได้รับการฝึกอบรมที่จำเป็น รวมทั้งการศึกษาในวิชาชีพอย่างต่อเนื่อง เพื่อให้สามารถปรับตัวได้ทันกับพัฒนาการในภาคการเงิน
4.1 ทรัพยากร (Resources)
หน่วยงานตรวจสอบภายในควรได้รับทรัพยากรที่เหมาะสมเพื่อให้สามารถปฏิบัติงานได้อย่างมีประสิทธิภาพ หัวหน้าหน่วยงานตรวจสอบภายในควรประมาณการทรัพยากรที่จำเป็นต้องใช้ โดยคำนึงถึงขนาดและความซับซ้อนของการดำเนินงานของสถาบันการเงิน จำนวนทรัพยากรที่จำเป็นต้องใช้ควรได้รับความเห็นชอบจากคณะกรรมการตรวจสอบ หรือคณะกรรมการสถาบันการเงิน นอกจากนี้ หัวหน้าหน่วยงานตรวจสอบภายในควรจัดทำเกณฑ์ที่เหมาะสมในการคัดเลือกเจ้าหน้าที่ตรวจสอบภายในสำหรับจุดที่มีลักษณะเทคนิคเฉพาะ การปฏิบัติงานตรวจสอบภายในอาจมีประสิทธิภาพมากขึ้นจากการจ้างผู้ชำนาญพิเศษ (Specialist) หรือที่ปรึกษา (Consultant)
4.2 คุณสมบัติ ความรู้ ประสบการณ์ และความชำนาญ
4.2.1 ประวัติทางการศึกษา และความชำนาญที่จำเป็นสำหรับตำแหน่งหัวหน้าหน่วยงานตรวจสอบภายในแตกต่างกัน ทั้งนี้ขึ้นอยู่กับขนาดและความซับซ้อนของการดำเนินงานของสถาบันการเงินหัวหน้าหน่วยงานตรวจสอบภายในควรมีคุณสมบัติทางการศึกษา/อาชีพที่เกี่ยวข้อง เช่น การเงิน การธนาคารการบัญชี การตรวจสอบภายใน เป็นต้น และมีประสบการณ์ในการตรวจสอบที่เพียงพอเพื่อให้เหมาะสมกับตำแหน่ง อย่างไรก็ดี บุคคลที่ไม่มีคุณสมบัติดังกล่าว แต่ผู้บริหารเห็นว่ามีความสามารถเพียงพออาจได้รับการพิจารณา นอกจากนี้ หัวหน้าหน่วยงานตรวจสอบภายในควรมีความรู้เกี่ยวกับธุรกิจ องค์กร การติดต่อสื่อสาร และมีความชำนาญด้านอื่นๆ ที่เกี่ยวข้องอย่างลึกซึ้ง
4.2.2 บุคคลที่ได้รับมอบหมายให้ปฏิบัติงานตรวจสอบภายในควรมีความรู้และประสบการณ์เหมาะสมกับขอบเขตของงานและระดับความรับผิดชอบ ผู้ตรวจสอบภายในควรมีความเข้าใจในจุดที่ทำการตรวจสอบ ระเบียบปฏิบัติภายในล่าสุดของสถาบันการเงิน โครงสร้างองค์กร การดำเนินธุรกิจทั่วไปของสถาบันการเงินนั้นๆ และความเสี่ยงของสถาบันการเงิน รวมทั้งมีความชำนาญในการปรับใช้มาตรฐานการประกอบวิชาชีพการตรวจสอบภายในที่เป็นปัจจุบัน (Up-to-date) นอกจากนี้ หน่วยงาน ตรวจสอบภายในอาจจะแต่งตั้งผู้ที่มีความรู้ทางด้านมาตรฐานการบัญชี กฎหมาย ประกาศ คำสั่งและหนังสือเวียนของธนาคารแห่งประเทศไทย และองค์กรของรัฐอื่นๆ รวมทั้งข้อกำหนดของสมาคมที่เกี่ยวข้องให้ทำหน้าที่เป็นที่ปรึกษา
4.3 การกำกับดูแล (Supervision)
การกำกับดูแลเป็นกระบวนการที่ต่อเนื่องนับตั้งแต่การวางแผนไปจนถึงการสรุปผลการตรวจสอบและการติดตามผลการปรับปรุงแก้ไขตามข้อเสนอแนะ หัวหน้าหน่วยงานตรวจสอบภายในควรแน่ใจว่าวัตถุประสงค์ของการตรวจสอบที่ระบุไว้ในแนวการตรวจสอบ (Audit Program) ที่ได้รับการอนุมัติประสบผลสำเร็จ และจัดทำตารางเวลา (Time Frame) ที่เหมาะสมสำหรับงานตรวจสอบแต่ละงาน โดยพิจารณาจากลักษณะและความซับซ้อนของงาน
4.4 จรรยาบรรณของผู้ประกอบวิชาชีพตรวจสอบภายใน (Code of Ethics)
สถาบันการเงินควรจัดทำจรรยาบรรณของผู้ตรวจสอบภายในเป็นลายลักษณ์อักษร ผู้ตรวจสอบภายในต้องใช้ความระมัดระวังเยี่ยงผู้ประกอบวิชาชีพ (Professional Care) ในการปฏิบัติหน้าที่และความรับผิดชอบ ปฏิบัติงานอย่างเป็นอิสระ มีใจที่เป็นอิสระ และด้วยความสุจริตใจ รวมทั้งดำรงตนให้อยู่ในมาตรฐานจรรยาบรรณสูงสุด หลีกเลี่ยงเหตุการณ์ขัดแย้งทางผลประโยชน์ เก็บรักษาความลับของข้อมูลทุกอย่างที่ได้จากการปฏิบัติงาน และไม่นำข้อมูลเหล่านั้นไปใช้ในทางที่ผิดเพื่อผลประโยชน์ของบุคคลใดๆ นอกจากนี้ ยังควรปฏิบัติตามประกาศ คำสั่ง และหนังสือเวียนของธนาคารแห่งประเทศไทย กฎหมาย ข้อบังคับ และข้อกำหนดของสมาคมวิชาชีพที่เกี่ยวข้อง
4.5 การฝึกอบรม (Training)
คณะกรรมการตรวจสอบ และคณะกรรมการสถาบันการเงินควรกำหนดให้เจ้าหน้าที่ ตรวจสอบภายในได้รับการฝึกอบรมที่จำเป็นต่อการปฏิบัติงาน หน่วยงานตรวจสอบภายในควรจัดทำแผน การศึกษาและการฝึกอบรมที่ต่อเนื่องสำหรับเจ้าหน้าที่ตรวจสอบภายใน เพื่อยกระดับมาตรฐานการตรวจสอบและเพิ่มความชำนาญทางเทคนิค รวมทั้งเพื่อให้ผู้ตรวจสอบภายในสามารถปรับใช้วิธีการตรวจสอบใหม่ๆ ได้ทันกับแนวโน้มและพัฒนาการทางธุรกิจ หัวหน้าหน่วยงานตรวจสอบภายในควรจัดให้พนักงานใหม่ เรียนรู้งานในขณะปฏิบัติงาน (On-the-job Training) ภายใต้การกำกับดูแลของผู้ตรวจสอบภายในที่มีความรู้ความสามารถ และประสบการณ์ หัวหน้าหน่วยงานตรวจสอบภายในควรจัดทำงบประมาณที่จำเป็นสำหรับการฝึกอบรมของหน่วยงานตรวจสอบภายใน โดยปรึกษาหารือกับคณะกรรมการตรวจสอบ หรือคณะกรรมการสถาบันการเงิน และประธานเจ้าหน้าที่บริหาร (CEO) นอกจากการฝึกอบรมที่สถาบันการเงินจัดให้แล้ว ผู้ตรวจสอบภายในควรพยายามหาความรู้เพิ่มเติมด้วยตนเองเพื่อเพิ่มทักษะต่างๆ อยู่ตลอดเวลาด้วย
-ยังมีต่อ-
-ยก-