Topic

CG Today: Global Internal Audit Standards, Domain 3: Governing the Internal Audit Function ฉบับกรรมการตรวจสอบ

 

เข้าใจ ทำเป็น เต็มหน้าที่

 

บทความนี้ต่อเนื่องมาจาก Domain 1 ซึ่งกล่าวถึงความเป็นอิสระและเที่ยงธรรมของผู้ตรวจสอบภายใน และ Domain 2 กล่าวถึงหลักจริยธรรม 5 ประการของผู้ตรวจสอบภายใน สำหรับบทความฉบับนี้เป็น Domain 3 ที่จะกล่าวถึงปัจจัยสนับสนุนที่สำคัญในการกำกับดูแลการปฏิบัติงานตรวจสอบภายในให้มีประสิทธิผล (Governing the Internal Audit Function)

ในโลกปัจจุบันที่คาดการณ์เหตุการณ์ในอนาคตได้ยากมาก ๆ ทำให้องค์กรต้องมีการวางแผนกลยุทธ์ การบริหารความเสี่ยง และการดำเนินงานที่สอดประสานกันอย่างต่อเนื่องเพื่อป้องกันความผิดพลาดหรือล้มเหลวที่อาจนำไปสู่ความเสียหายร้ายแรง ท่ามกลางความยากนี้ หน่วยงานตรวจสอบภายในจึงมีความสำคัญอย่างยิ่งในการให้ความเชื่อมั่นต่อการดำเนินงานขององค์กร อย่างไรก็ตาม หน่วยงานตรวจสอบภายในจะทำงานอย่างมีประสิทธิภาพได้นั้น จำเป็นต้องได้รับการกำกับดูแลที่มีประสิทธิผลจากคณะกรรมการบริษัท หรือหากมีการแต่งตั้งกรรมการตรวจสอบ (Audit Committee: AC) AC ก็จะมีบทบาทนี้ร่วมกับผู้บริหารสูงสุดขององค์กร (Chief Executive Officer: CEO)



Domain 3 นี้ ได้อธิบายให้เห็นถึงการทำงานร่วมกันแบบเชิงรุกระหว่างบุคคลสามฝ่ายคือ คณะกรรมการบริษัทหรือ AC (Board/AC), CEO และหัวหน้าหน่วยตรวจสอบภายใน (Chief Audit Executive: CAE) เพื่อให้การปฏิบัติงานตรวจสอบภายในมีประสิทธิผลตามมาตรฐานสากลของการตรวจสอบภายใน 2024 (Global Internal Audit Standards 2024) เมื่อทั้งสามฝ่ายนี้ร่วมกันกำกับดูแล งานตรวจสอบภายในจะเป็นที่ปรึกษาเชิงกลยุทธ์อันทรงพลัง ในทางกลับกัน หากการกำกับดูแลล้มเหลว หน่วยงานตรวจสอบภายในก็อาจเผชิญกับอุปสรรคในการให้ความเชื่อมั่นหรือให้คำแนะนำในการแก้ไขจุดเปราะบางที่เป็นความเสี่ยงในการบรรลุเป้าหมายขององค์กร

Domain 3 นี้ เปลี่ยนแปลงจากเนื้อหาของมาตรฐานฉบับเดิมอย่างสำคัญ โดยได้กำหนดงานที่เรียกว่า Essential Conditions หรือเงื่อนไขที่สำคัญ ซึ่งหมายถึงงานที่ Board/AC, CEO และ CAE ต้องเน้นการร่วมมือกันทำงานเพื่อให้งานตรวจสอบภายในมีประสิทธิผลสูงสุด โดย Board/AC เป็นผู้รับผิดชอบสูงสุดในการอนุมัติข้อกำหนด กฎบัตร และงานของผู้ตรวจสอบภายใน ส่วน CEO เป็นผู้สนับสนุนตำแหน่งหน้าที่และอำนาจของผู้ตรวจสอบภายใน หากฝ่ายหนึ่งฝ่ายใดไม่เห็นด้วยกับข้อกำหนดใน Domain นี้ CAE จะต้องทำบันทึกเหตุผลของการตัดสินใจและการปฏิบัติเพื่อทดแทนเรื่องที่ไม่เห็นด้วย และ CAE ควรอธิบายให้ Board/AC และ CEO ทราบว่าการไม่ปฏิบัติตามเงื่อนไขที่สำคัญเหล่านี้อาจมีความเสี่ยงต่อการไม่ปฏิบัติตามมาตรฐานการตรวจสอบภายในอย่างครบถ้วน

 

สรุปเงื่อนไขที่สำคัญใน Domain  3 ที่ Board/AC, CEO และ CAE ต้องทำร่วมกัน มีดังต่อไปนี้

  1. การกำหนดพันธกิจ อำนาจหน้าที่ และกฎบัตรงานตรวจสอบภายใน (Mandate & Charter)

    • การกำหนดพันธกิจ อำนาจหน้าที่: CAE ต้องจัดเตรียมข้อมูลที่จำเป็นให้กับ Board/AC และ CEO เพื่อพิจารณากำหนดพันธกิจและอำนาจหน้าที่หน่วยงานตรวจสอบภายในไว้ในกฎบัตรให้ชัดเจน โดยพันธกิจสำคัญของหน่วยงานตรวจสอบภายในคือการตรวจสอบที่ให้ความเชื่อมั่นต่อระบบการควบคุมภายในและการจัดทำรายงานทางการเงิน และมีอำนาจในการเข้าถึงข้อมูลและกิจกรรมทั้งหมดทั่วทั้งองค์กร
    • การกำหนดกฎบัตร (Charter): Board/AC กำหนดและอนุมัติกฎบัตรซึ่งต้องครอบคลุมพันธกิจ ขอบเขตงาน อำนาจหน้าที่ และประเภทของงานตรวจสอบภายใน พร้อมทบทวนกฎบัตรอย่างสม่ำเสมอเพื่อรองรับการเปลี่ยนแปลงที่อาจเกิดขึ้น เช่น การขยายขอบเขตงานตรวจสอบให้ครอบคลุมเทคโนโลยีที่พัฒนาขึ้นใหม่ในองค์กร เช่น AI ในขณะที่ CEO สามารถให้ความเห็นเกี่ยวกับกฎบัตรการตรวจสอบภายในโดยแสดงความคาดหวังต่องานตรวจสอบภายในเพื่อให้ทิศทางการตรวจสอบสอดรับกับเป้าหมายขององค์กร พร้อมทั้งส่งเสริมการตรวจสอบภายในโดยสนับสนุนและผลักดันให้ CAE มีอำนาจและสามารถปฏิบัติงานได้บรรลุตามที่ระบุไว้ในกฎบัตร

  2. การปกป้องความเป็นอิสระและจัดโครงสร้างองค์กร (Independence & Organizational Position)

    • ความเป็นอิสระ: Board/AC ต้องทำงานร่วมกับ CEO เพื่อให้มั่นใจว่างานตรวจสอบภายในเป็นอิสระจากการแทรกแซงทั้งการกำหนดขอบเขต การปฏิบัติงาน และการรายงาน โดย CAE สามารถเข้าถึงข้อมูลอย่างเป็นอิสระ
    • โครงสร้างองค์กร: กำหนดสถานะและระดับการรายงานของ CAE ให้เหมาะสม โดย CAE มีสายการรายงานตรงต่อ Board/AC และรายงานได้ทันทีเมื่อเกิดประเด็นที่มีความเห็นต่างกันอย่างรุนแรงกับ CEO
       
  3. การบริหารทรัพยากร งบประมาณ และบุคลากร (Resource & Budget Management)

    • การสนับสนุนทรัพยากร: Board/AC ต้องร่วมกับ CEO ในการสนับสนุนให้หน่วยงานตรวจสอบภายในมีทรัพยากรที่เพียงพอและเหมาะสมทั้งในแง่จำนวนคนและความสามารถ (Competency) หากพบว่ามีทรัพยากรไม่เพียงพอ ต้องร่วมกันพิจารณาผลกระทบและหาทางแก้ไขทันที
    • การแต่งตั้งและโยกย้าย: Board/AC ร่วมกับ CEO พิจารณาคุณสมบัติ ประสบการณ์ ความสามารถ เพื่อแต่งตั้ง โยกย้าย หรือถอดถอน CAE
    • การประเมินและให้ผลตอบแทน: Board/AC หารือร่วมกับ CEO เพื่อสอบทานผลการปฏิบัติงานและพิจารณาผลตอบแทนของ CAE ให้มีความเหมาะสม

  4. การสื่อสาร การบริหารความเสี่ยง และการประเมินคุณภาพ (Communication, Risk & Quality)

    • การสื่อสาร: Board/AC ควรสื่อสารตรงกับ CAE สม่ำเสมอ และจัดให้มีการประชุมร่วมกันโดยไม่มี CEO เข้าร่วม เพื่อเปิดโอกาสให้ CAE หารือประเด็นที่ละเอียดอ่อน (Sensitive Matters) หรือข้อจำกัดในการตรวจสอบภายใน
    • การทบทวนความเสี่ยงขององค์กร: Board/AC และ CEO ควรสื่อสารมุมมองของคณะกรรมการเกี่ยวกับกลยุทธ์และการประเมินความเสี่ยงเพื่อช่วย CAE จัดลำดับความสำคัญของเรื่องที่ควรทำการตรวจสอบ ตลอดจนหารือเพื่อกำหนดเกณฑ์สำหรับเรื่องที่ต้องรายงาน Board/AC เช่น ความเสี่ยงที่เกิน Risk Appetite
    • การประเมินคุณภาพงานตรวจสอบภายใน (Quality Assurance): Board/AC ควรหารือกับ CEO และ CAE เกี่ยวกับการประเมินประสิทธิภาพงานตรวจสอบภายใน รวมถึงการปรับปรุงงานตรวจสอบภายในตามผลการประเมินคุณภาพ


โดยสรุป การปฏิบัติหน้าที่ร่วมกันของทั้ง Board/AC, CEO และ CAE นี้ เป็นเรื่องจำเป็น Board/AC ต้องเป็นผู้นำในการกำกับดูแลให้ CAE ปฏิบัติงานตรวจสอบภายในได้ตามมาตรฐานนี้ ส่วน CEO ต้องเป็นผู้นำในการสนับสนุนอำนาจหน้าที่ของ CAE ตลอดจนจัดสรรทรัพยากรให้ CAE อย่างเพียงพอต่อการปฏิบัติงาน การไม่สามารถร่วมมือกันปฏิบัติให้สำเร็จตามที่มาตรฐานได้ระบุไว้ อาจถือได้ว่า Board/AC  และ CEO ไม่สามารถกำกับดูแลงานตรวจสอบภายในให้บรรลุตามมาตรฐานสากล ทำให้ผลงานตรวจสอบภายในไม่เป็นที่น่าเชื่อถือ และส่งผลต่อความเชื่อมั่นที่มีต่อองค์กร

 

 

 


 

เขียนโดย
วารุณี ปรีดานนท์
จัดทำโดย
ตลาดหลักทรัพย์แห่งประเทศไทย