Archive for สิงหาคม, 2011

ผู้บริหารกับการบูรณาการ การจัดการ บางมุมมอง

สวัสดีครับทุกท่าน จากการที่ผมได้เล่าสู่กันฟังในเรื่องเกี่ยวกับ Integrated GRC, Integrated Management ซึ่งเป็นเรื่องเกี่ยวกับการบริหารยุคใหม่ที่กำลังเป็นที่สนใจและิติดตามของผู้บริหารหลายหน่วยงาน หลายองค์กร หรือแม้กระทั่งผู้ที่สนใจในเรื่องการบริหารหลาย ๆ ท่าน โดย GRC ในความหมายใหม่ มีนัยทาง Integrated GRC มากกว่า G + R + C ที่มีลักษณะและแนวความคิดแบบ SILO หรือแยกความคิด ความเข้าใจ และการปฏิบัติออกเป็นส่วน ๆ ตาม G + R + C ดังเดิมนั้น

ผมได้กล่าวถึง GRC ในลักษณะของการบริหารยุคใหม่นี้ไว้ในหลายบทความ และหลาย ๆ หมวดหมู่ที่เกี่ยวข้องด้วยกัน ไม่ว่าจะเป็นวิสัยทัศน์ของประเทศหรือขององค์กรกับ GRC เพื่อการเติบโตอย่างยั่งยืน แนวความคิด ความเข้าใจเกี่ยวกับ GRC ในแง่มุมต่าง การก้าวสู่การบริหารองค์กรแบบ Integrated Management รวมทั้งความหมาย ความเข้าใจเรื่อง Integrated Audit and Management และอีกมากมายหลายบทความที่เกี่ยวข้องกับ Integrated GRC และ Integrated Management ซึ่งขณะนี้ผมได้นำบทความที่เคยได้กล่าวถึงเหล่านี้ มารวบรวมและลำดับบทความใหม่ในชื่อ CEO /CIO and Integrated Management เพื่อให้ง่ายต่อความเข้าใจยิ่งขึ้น

ท่านผู้สนใจสามารถติดตามและดาวน์โหลด CEO/CIO and Integrated Mangement นี้ได้ที่หน้า Download ครับ

 

แนวทางการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ตามระเบียบ คตง. กับ GTAG – Global Technology Auditing Guide

เนื่องจากยังมีผู้ตรวจสอบภายใน และผู้กำกับของหน่วยงานที่เกี่ยวข้อง อาจยังมีแนวทางปฏิบัติและการกำกับงานของผู้ตรวจสอบภายใน เพื่อเป็นไปตามพระราชกิจจานุเบกษา ฉบับกฤษฎีกา เล่ม 120 ตอนที่ 25ก วันที่ 24 มีนาคม 2546 แตกต่างกันมากพอสมควร ผมจึงขอนำแนวทางปฏิบัติหน้าที่ของผู้ตรวจสอบภายในตามประกาศฉบับนี้มาเล่าสู่กันฟังดังนี้ครับ

การปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ควรเป็นไปตามมาตรฐานการตรวจสอบภายใน ดังนี้

1. ผู้ตรวจสอบภายในของส่วนราชการ ปฏิบัติตามมาตรฐานการตรวจสอบภายใน และจริยธรรมของผู้ตรวจสอบภายในของส่วนราชการ ที่กำหนดไว้ในระเบียบกระทรวงการคลัง ว่าด้วยการตรวจสอบภายในของส่วนราชการที่ออกโดยกรมบัญชีกลาง

2. ผู้ตรวจสอบภายในของรัฐวิสาหกิจ กระทรวงกลาโหม หน่วยงานของราชการส่วนท้องถิ่น และของหน่วยรับตรวจอื่น ให้ปฏิบัติตามมาตรฐานการตรวจสอบภายใน ตามที่กำหนดไว้ในระเบียบว่าด้วยการตรวจสอบภายใน ที่ออกโดยหน่วยงานเจ้าสังกัด หรือหน่วยงานที่กำกับดูแลในระดับกระทรวงหรือเทียบเท่า

กรณีระเบียบว่าด้วยการตรวจสอบภายในตาม 1. และ 2. มิได้กำหนดให้ปฏิบัติงานตามมาตรฐานการตรวจสอบใด ให้ปฏิบัติตามมาตรฐานการปฏิบัติงานวิชาชีพการตรวจสอบภายใน ที่เผยแพร่โดยสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือ Standards for the Professional Practice of Internal Auditing ที่กำหนดโดย The Institute of Internal Auditors (IIA) ฉบับล่าสุด

ขอบเขตของการตรวจสอบภายใน
แนวทางปฏิบัติที่ 1
ผู้กำกับดูแลมีหน้าที่รับผิดชอบสูงสุดในการทำให้เกิดความมั่นใจว่า ฝ่ายบริหารได้จัดให้มี และดำรงรักษาไว้ซึ่งระบบการควบคุมภายใน ตามมาตรฐานการควบคุมภายในที่กำหนดโดยคณะกรรมการตรวจเงินแผ่นดิน

ฝ่ายบริหารมีหน้าที่รับผิดชอบจัดให้มีและดำรงไว้ซึ่งระบบการควบคุมภายในตามมาตรฐานการควบคุมภายในที่กำหนดโดยคณะกรรมการตรวจเงินแผ่นดิน รวมทั้งพิจารณาวินิจฉัยข้อตรวจพบ และข้อเสนอแนะตามรายงานการตรวจสอบของผู้ตรวจสอบภายใน เพื่อสั่งการให้ผู้รับผิดชอบดำเนินการตามความเหมาะสมและทันเวลา

ทั้งนี้ เพื่อให้การปฏิบัติหน้าที่ของหน่วยตรวจสอบภายในมีประสิทธิผลอย่างมีประสิทธิภาพ

แนวทางปฏิบัติที่ 2
หน่วยตรวจสอบภายในรับผิดชอบในการประเมินการบริหารความเสี่ยง การควบคุม และการกำกับดูแล เพื่อเพิ่มคุณค่าและปรับปรุงการดำเนินงาน และช่วยให้หน่วยรับตรวจสามารถประเมินและปรับปรุงประสิทธิผลของกระบวนการบริหารความเสี่ยง กระบวนการควบคุม และกระบวนการกำกับดูแล เพื่อบรรลุวัตถุประสงค์ที่หน่วยรับตรวจกำหนด

แนวทางปฏิบัติที่ 3
หน่วยตรวจสอบภายใน ควรอยู่ในโครงสร้างการแบ่งส่วนงานของหน่วยรับตรวจอย่างเป็นทางการ และมีสภาพภาพสูงพอที่จะสามารถปฏิบัติงานได้อย่างเต็มที่ โดยให้ขึ้นตรงต่อผู้รับตรวจ หรือมีสายการบังคับบัญชาตามที่กระทรวงการคลัง หรือผู้มีอำนาจตามกฎหมายกำหนด และผู้รับตรวจจะมอบหมายให้ผู้อื่นควบคุมดูแลและปกครองบังคับบัญชาแทนไม่ได้ และจะแต่งตั้งให้หัวหน้าหน่วยตรวจสอบภายในไปรักษาการในตำแหน่งอื่น หรือแต่งตั้งผู้อื่นมารักษาการในตำแหน่งหัวหน้าหน่วยตรวจสอบภายในในขณะเดียวกันไม่ได้ และ

หน่วยรับตรวจควรจัดสรรบุคลากรและทรัพยากรที่เพียงพอต่อการปฏิบัติหน้าที่ของหน่วยตรวจสอบภายในอย่างเหมาะสมกับปริมาณงาน และความซับซ้อนของกิจกรรมด้านต่าง ๆ ของหน่วยรับตรวจ โดยผู้ปฏิบัติหน้าที่ของหน่วยตรวจสอบภายใน ควรปฏิบัติงานเต็มเวลาและไม่ควรไปช่วยปฏิบัติงานอื่นใดที่ไม่ใช่งานที่เกี่ยวกับการตรวจสอบภายใน ซึ่งอาจส่งผลกระทบต่อประสิทธิภาพและประสิทธิผลของงานตรวจสอบภายใน

แนวทางปฏิบัติที่ 4
ผู้ตรวจสอบภายในต้องมีความอิสระจากกิจกรรมที่ตรวจสอบ โดยมีสถานภาพที่่สามารถปฏิบัติงานที่ได้รับมอบหมายอย่างเป็นอิสระ ตามมาตรฐานการตรวจสอบภายใน และให้ข้อเสนอแนะที่เป็นประโยชน์ ปราศจากอคติและมีความเป็นกลาง

แนวทางปฏิบัติที่ 5
ผู้ตรวจสอบภายในมีบทบาทหน้าที่รับผิดชอบในการตรวจสอบ และประเมินความเพียงพอของมาตรการควบคุมภายในที่ฝ่ายบริหารกำหนด เพื่อป้องกันหรือลดโอกาสการเกิดการทุจริต ทั้งนี้ ฝ่ายบริหารของหน่วยรับตรวจเป็นผู้ที่มีหน้าที่รับผิดชอบโดยตรงต่อการบริหารความเสี่ยงเกี่ยวกับการทุจริต

แนวทางปฏิบัติที่ 6
หน่วยรับตรวจที่ใช้เทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการปฏิบัติงานหรือบริหารงาน ควรจัดให้มีผู้ตรวจสอบภายใน ซึ่งมีความรู้ ความสามารถอย่างเพียงพอที่จะตรวจสอบระบบเทคโนโลยีสารสนเทศ เพื่อให้สามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลได้อย่างเหมาะสมและเกิดประโยชน์

ตราชั่ง

การปฏิบัติหน้าที่การตรวจสอบภายใน
แนวทางปฏิบัติที่ 7
ผู้ตรวจสอบภายในควรประพฤติปฏิบัติตนตามหลักปฏิบัติที่กำหนดในจริยธรรมของผู้ตรวจสอบภายใน เกี่ยวกับความมีจุดยืนที่มั่นคง ความเที่ยงธรรม การรักษาความลับ และความสามารถในการปฏิบัติหน้าที่ เพื่อเป็นหลักประกันความมั่นใจในความเที่ยงธรรม และการให้คำแนะนำปรึกษาที่มีคุณภาพ

แนวทางปฏิบัติที่ 8
หน่วยรับตรวจควรจัดให้มีเอกสารที่เขียนขึ้นอย่างเป็นทางการ เพื่อกำหนดวัตถุประสงค์ อำนาจหน้าที่และความรับผิดชอบของงานตรวจสอบภายใน เพื่อให้บุคลากรทุกระดับของหน่วยรับตรวจ มีความเข้าใจอันดีต่อการจัดให้มีหน่วยตรวจสอบภายใน รวมทั้งอำนาจหน้าที่ของหน่วยตรวจสอบภายใน

แนวทางปฏิบัติที่ 9
กระบวนการปฏิบัติงานตรวจสอบภายใน หมายรวมถึงการจัดทำแผนการตรวจสอบ การตรวจสอบ การวิเคราะห์และประเมินข้อมูลที่ได้จากการตรวจสอบ การรายงานผลการตรวจสอบ และการติดตามผลการปฏิบัติตามข้อเสนอแนะของผู้ตรวจสอบภายใน

การประเมินการบริหารความเสี่ยง การควบคุม และการกำกับดูแล อาจกระทำได้ดังนี้

1. การบริหารความเสี่ยง กระทำได้โดยการประเมินการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการจัดการความเสี่ยงที่มีนัยสำคัญ เพื่อให้ข้อเสนอแนะปรับปรุงกระบวนการบริหารความเสี่ยง และการควบคุมภายในให้มีประสิทธิภาพ

2. การควบคุม กระทำได้โดยการประเมินประสิทธิผล และประสิทธิภาพของการควบคุม และส่งเสริมให้มีการปรับปรุงการควบคุมอย่างต่อเนื่อง

3. การกำกับดูแล กระทำได้โดยการประเมินและปรับปรุงกระบวนการกำกับดูแลให้ดีขึ้น โดย
– การกำหนดเป้าหมายของการดำเนินงานของหน่วยรับตรวจ และสื่อสารให้ผู้ที่เกี่ยวข้องทราบ
– การติดตามผลสำเร็จตามเป้าหมายที่กำหนด
– การให้ความมั่นใจว่า บุคลากรของหน่วยรับตรวจมีความรับผิดชอบต่อผลการตัดสินใจ และผลการปฏิบัติหน้าที่ และ
– การรักษาไว้ซึ่งคุณค่า หรือผลประโยชน์ของหน่วยรับตรวจและผู้ที่เกี่ยวข้อง

ในปัจจุบัน ผู้ตรวจสอบในหลายองค์กรมีมาตรฐานการตรวจสอบที่แตกต่างกัน โดยเฉพาะองค์กรขนาดกลางและขนาดเล็ก และเมื่อพูดถึงการตรวจสอบทางด้าน IT Audit หรือ Risk-Based IT Audit ไปจนกระทั่ง Integrated Audit ซึ่งเป็นการบูรณาการการตรวจสอบ ระหว่าง IT Audit กับ Non – IT Audit เข้าด้วยกัน เพื่อสนองความต้องการของคณะกรรมการและผู้บริหารระดับสูงนั้น มีข้อที่ควรจะปรับปรุงได้อีกมาก

ในปี พ.ศ. 2555 แนวการตรวจสอบทางด้าน IT Audit โดยสถาบันผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ซึ่งได้ร่วมมือกับสมาคม ISACA และตลาดหลักทรัพย์แห่งประเทศไทย ได้ร่วมกันแปลเอกสารการตรวจสอบ IT โดยใช้ Best Pratice ของ GTAG – Global Technology Audit Guide แล้วเสร็จ ผู้ตรวจสอบภายในซึ่งต้องปฏิบัติตามมาตรฐานดังกล่าวข้างต้นจะต้องนำแนวทางการตรวจสอบ IT Audit มาใช้ในทางปฏิบัติ อาจก่อให้เกิดความไม่สะดวกในการปฏิบัติตามแนวทางการตรวจสอบดังกล่าว ซึ่งก็อาจพิจารณาได้ว่า ผู้ตรวจสอบภายในไม่ได้ปฏิบัติหน้าที่ตามพระราชกิจจานุเบกษาดังกล่าวข้างต้นได้