สวัสดีครับ ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายในทุกท่าน ในครั้งที่แล้วผมได้นำเสนอถึงกรอบการปฏิบัติงานกรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) ซึ่งเป็นแนวทางสำคัญสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงิน โดย IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) ซึ่งผมได้นำเสนอแนวทางหลักไปในเบื้องต้นแล้ว สำหรับวันนี้ผมจะได้นำเสนอแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อจากครั้งที่แล้วนะครับ

2. แนวทางที่แนะนำให้ใช้ (Strongly Recommended Guidance)
เป็นแนวทางที่ได้รับการรับรองจาก IIA โดยผ่านกระบวนการพิจารณาอนุมัติอย่างเป็นทางการ แนวทางเหล่านี้จะช่วยอธิบายถึงวิธีการปฎิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานฯ ได้อย่างมีประสิทธิภาพ ซึ่งมี 3 ส่วน ดังนี้

ส่วนที่ 1 เอกสารแสดงความคิดเห็น (Position Papers) เป็นเอกสารที่จะช่วยให้ผู้ที่มีความสนใจในงานตรวจสอบภายใน ได้ทำความเข้าใจถึงนัยสำคัญของประเด็นการกำกับดูแลความเสี่ยง การควบคุม รวมถึงความเกี่ยวข้องที่สิ่งเหล่านั้นมีต่อบทบาทหน้าที่รับผิดชอบของผู้ตรวจสอบภายใน ถึงแม้ว่าบุคคลนั้นจะไม่ได้อยู่ในสายวิชาชีพตรวจสอบภายในก็ตาม ปัจจุบัน IIA ได้เผยแพร่เอกสารแสดงความคิดเห็นจำนวน 2 ฉบับ คือ

o The Role of Internal Auditing in Enterprise-wide Risk Management
o The Role of Internal Auditing in Resourcing the Internal Audit Activity

ส่วนที่ 2 ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories) เป็นสิ่งที่ช่วยให้ผู้ตรวจสอบภายใน สามารถปฏิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐาน รวมถึงส่งเสริมและเผยแพร่แนวทางการปฏิบัติที่ดีได้ ซึ่งข้อแนะนำเหล่านี้จะอธิบายถึงวิธีการทำงาน เทคนิค และสิ่งที่ควรพิจารณาในการปฏิบัติงานตรวจสอบภายใน แต่ไม่ใช่ขั้นตอนหรือกระบวนการปฏิบัติงานโดยละเอียด

อย่างไรก็ตาม ข้อแนะนำนี้ได้รวมถึงแนวปฏิบัติที่เกี่ยวข้องกับประเด็นในระดับสากล ระดับประเทศ หรือธุรกิจ และภารกิจเฉพาะ รวมถึงประเด็นทางกฎหมายและข้อบังคับต่าง ๆ ทั้งนี้ IIA ได้ทำการพัฒนาและบูรณาการเนื้อหาของข้อแนะนำฯ จากเดิม 83 ชุด เหลือเพียง 42 ชุด

ส่วนที่ 3 แนวปฏิบัติ (Practice Guides) จะให้แนวทางโดยละเอียดในการปฏิบัติงานตรวจสอบภายในซึ่งประกอบด้วยขั้นตอน และกระบวนการปฏิบัติงานโดยละเอียด เช่น เครื่องมือ เทคนิค โปรแกรม และวิธีการปฏิบัติทีละขั้นตอน รวมไปถึงตัวอย่างในการนำเสนอบริการ เป็นต้น ในปัจจุบัน IIA ได้ออกแนวปฏิบัติจำนวน 3 ประเภทด้วยกัน คือ

o Practice Guides ในหัวข้อต่าง ๆ 8 หัวข้อ เพื่อเป็นแนวปฏิบัติสำหรับผู้ตรวจสอบภายใน ในการจัดทำและแสดงความคิดเห็นทั้งระดับองค์กร และระดับฝ่าย ระดับส่วนงาน หรือระดับบุคคล เกี่ยวกับการกำกับดูแล การบริหารความเสี่ยงและระบบการควบคุมภายในขององค์กร เพื่อนำเสนอต่อผู้มีส่วนได้เสีย

o Global Technology Audit Guide (GTAG) ซึ่งเป็นแนวปฏิบัติเกี่ยวกับการบริหารจัดการ การควบคุม และการรักษาความปลอดภัยของระบบสารสนเทศ

o Guide to the Assessment of IT Risk (GAIT) ซึ่งเป็นแนวปฏิบัติที่อธิบายถึง ความสัมพันธ์ระหว่างความเสี่ยงกับรายงานงบการเงิน การควบคุมหลักภายในกระบวนการทางธุรกิจ การควบคุมโดยอัตโนมัติและการทำงานของสารสนเทศที่สำคัญ และการควบคุมหลักซึ่งอยู่ในการควบคุมทั่วไปของสารสนเทศ

นอกจากนี้ เมื่อท่านมีโอกาสได้อ่านกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่ ผมก็จะได้อธิบายถึงวิธีการนำกรอบ IPPF ที่เชื่อมโยงกับการตรวจสอบทางด้านทั่วไป (Non-IT) และทางด้านเทคโนโลยีสารสนเทศ (IT) ซึ่งรวมไปถึงการก้าวไปสู่การตรวจสอบเชิงบุรณาการของ Non-IT และ IT Audit เข้าด้วยกัน ที่เรียกกันว่า Integrated Audit ซึ่งจะเป็นสะพานเชื่อมโยงเป้าประสงค์หลักที่เกี่ยวข้องกับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ในโอกาสต่อ ๆ ไป

ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายใน หรือแม้กระทั่งการตรวจสอบเพื่อรับรองงบการเงินจากผู้สอบบัญชีภายนอก ซึ่งต้องประเมินกรอบการปฏิบัติงาน และประสิทธิภาพการปฏิบัติงานการตรวจสอบภายใน เพื่อกำหนดขอบเขตการตรวจสอบทางด้าน IT Audit ระดับหนึ่ง ก่อนจะก้าวไปสู่การรับรองงบการเงินตามที่เห็นสมควรนั้น ผู้รับรองงบการเงินจะมีหน้าที่อย่างหนึ่งก็คือ การประเมินการควบคุมความเสี่ยง และผลกระทบความน่าเชื่อถือได้ของข้อมูลทางการเงิน จากระบบเทคโนโลยีสารสนเทศ การควบคุมความเสี่ยง ทั้งทางด้าน IT และ Non-IT และประสิทธิภาพการบริหารความเสี่ยงของผู้บริหาร และผู้ที่เกี่ยวข้องภายในองค์กรนั้น ๆ

กรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) จึงเป็นแนวทางที่สำคัญทั้งสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงินอย่างสำคัญ

โครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายใน มีผลเริ่มใช้ตั้งแต่เดือนมกราคม 2552 เป็นต้นมา ดังนั้น การปรับปรุงกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เดิม เป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) จึงเป็นเรื่องใหม่ ซึ่งทางสมาคมผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย แนะนำให้ท่านได้เห็นความแตกต่างระหว่าง PPF เดิม และรู้จักกับ IPPF ใหม่ เพื่อให้เข้าใจแนวการบริหารงานการตรวจสอบและการปฏิบัติงานตรวจสอบที่ได้มาตรฐาน

แต่ก่อนที่ท่านจะได้รู้จักกับกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่นั้น ผมขอให้ท่านลองติดตามกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เพื่อเป็นการทบทวนก่อนดังนี้ครับ :-

กรอบการปฏิบัติงานวิชาชีพ (Professional Practice Framework –PPF) เดิม
ประกอบ ด้วย 4 ส่วน คือ
1. คำจำกัดความของการตรวจสอบภายใน (Definition of Internal Auditing)
2. ประมวลจรรยาบรรณ (Code of Ethics)
3. มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards for the Professional Practice of Internal Auditing) และ
4. ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories – PA)

IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) โดยได้แบ่งเนื้อหาตามรูปดังนี้

1. แนวทางหลัก (Mandatory Guidance)
ซึ่งเป็นหลักเกณฑ์ที่มีความจำเป็นสำหรับการปฏิบัติงานตรวจสอบภายใน และได้รับการพัฒนาโดยกระบวนการที่ผ่านการกลั่นกรองความถูกต้อง เชื่อถือได้เป็นอย่างดี รวมถึงได้มีการเผยแพร่ร่างกรอบโครงสร้างฯ สู่สาธารณชนเพื่อรับฟังความคิดเห็นจากผู้ประกอบวิชาชีพ และผู้ที่สนใจในช่วงระยะเวลาหนึ่ง ก่อนที่จะนำความเห็นที่ได้รับมาประมวล ปรับปรุงและประกาศใช้จริง ซึ่งแนวทางหลักนี้ประกอบไปด้วย 3 ส่วน คือ

ส่วนที่ 1 คำนิยามของการตรวจสอบภายใน (Definition) ซึ่งระบุถึงวัตถุประสงค์พื้นฐาน ลักษณะงาน และขอบเขตของงานตรวจสอบภายใน

ส่วนที่ 2 ประมวลจรรยาบรรณ (Code of Ethics) ซึ่งระบุถึงหลักการและหลักความประพฤติที่พึงปฏิบัติของผู้ตรวจสอบภายใน และองค์กรที่เกี่ยวข้องกับการปฏิบัติงานตรวจสอบภายใน ประมวลจรรยาบรรณนี้ได้บรรยายถึงแนวทางการปฏิบัติงาน และความประพฤติของผู้ตรวจสอบภายในที่คาดหวังในขั้นพื้นฐาน

ส่วนที่ 3 มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards) ซึ่งเน้นในหลักการและให้แนวทางในการปฏิบัติงาน และส่งเสริมงานตรวจสอบภายใน โดยเนื้อหาประกอบด้วย

1) แถลงการณ์ของความต้องการพื้นฐานสำหรับการปฏิบัติงานวิชาชีพตรวจสอบภายใน และการประเมินความมีประสิทธิผลของการปฏิบัติงานนั้น ๆ ซึ่งเป็นความต้องการในระดับสากล ที่สามารถนำมาปรับใช้ในระดับบุคคลหรือองค์กรได้

2) การตีความ ซึ่งให้คำอธิบายวลี หรือแนวความคิดที่ปรากฎอยู่ในแถลงการณ์นั้น ๆ
ซึ่งทั้ง 2 ส่วนนี้ เป็นสิ่งที่ผู้ประกอบวิชาชีพจำเป็นที่จะต้องให้ความสนใจเพื่อจะได้เข้าใจ และสามารถนำมาตรฐานไปปฏิบัติได้อย่างถูกต้อง นอกจากนี้ มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายในยังมีภาคศัพท์ ซึ่งจะอธิบายความหมายของคำเฉพาะต่าง ๆ ที่ใช้ในมาตรฐานอีกด้วย

สำหรับกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) ที่ทบทวนกันในวันนี้ผมขอนำเสนอเพียงแนวทางหลักก่อนนะครับ ครั้งหน้าผมจะมานำเสนอในแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อไปครับ