การควบคุมภายในและการตรวจสอบภายใน

ภาพตึกอำนวยการโรงงานยาสูบ และโรงพยาบาลโรงงานยาสูบ

การควบคุมภายใน Internal Control

การจัดวางระบบการควบคุมภายในของโรงงานยาสูบ ได้พิจารณาองค์ประกอบที่เกี่ยวโยงกันตามแนวทาง COSO ERM  การควบคุมภายใน เป็นกระบวนการซึ่งได้รับการออกแบบไว้ โดยคณะกรรมการและผู้บริหารของหน่วยงาน โดยมีวัตถุประสงค์หลักเพื่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่าองค์กรจะบรรลุวัตถุประสงค์ด้านกลยุทธ์ (Strategic Objective) กิจกรรมการดำเนินงานมีประสิทธิภาพและประสิทธิผล (Operation Objective) ไม่พบข้อบกพร่องที่มีผลกระทบอย่างมีนัยสำคัญต่อความถูกต้องเชื่อถือได้ของรายงานทางการเงินและมิใช่ทางการเงิน (Reporting Objective) หน่วยงานมีส่วนร่วมในการประเมินการควบคุมตนเองและมีการปฏิบัติตามกฎ ระเบียบ ข้อบังคับและนโยบายที่เกี่ยวข้อง (Compliance Objective) ดังมีองค์ประกอบที่สำคัญ ดังนี้

        1. 1. สภาพแวดล้อมการควบคุมและการกำหนดหน้าที่ผู้รับผิดชอบ (Internal Environment)

โรงงานยาสูบกำหนดสภาพแวดล้อมภายในองค์กร ให้สนับสนุนการบริหารความเสี่ยงทั่วทั้งองค์กร โดยสภาพแวดล้อมภายในองค์กรมีความเหมาะสมกับลักษณะขององค์กรนั้น ๆ ดังนั้น องค์กรมีการกำหนดบทบาทและหน้าที่ของคณะกรรมการฯ คณะทำงานฯ คณะกรรมการตรวจสอบและผู้บริหาร ในการกำกับดูแลและการมีส่วนร่วมในการสอบทานความเพียงพอของระบบการควบคุมภายในร่วมกับผู้ตรวจสอบภายนอก ดังนี้

        • คณะอนุทำงานด้านยุทธศาสตร์และบริหารความเสี่ยงระดับกลุ่มภารกิจ

บทบาทและความรับผิดชอบ : วางแผน จัดทำแผนดำเนินงานระยะสั้น และแผนการดำเนินงานระยะยาวหรือแผนยุทธศาสตร์ แผนบริหารความเสี่ยง และการควบคุมภายใน กำกับ ดูแล ตรวจสอบและติดตามประเมินผล ให้หน่วยงานมีการปฏิบัติตามแผนงานและจัดทำรายงานเสนอคณะทำงานด้านยุทธศาสตร์และบริหารความเสี่ยงระดับองค์กร อย่างน้อยเป็นรายไตรมาส เป็นต้น

        • คณะทำงานด้านยุทธศาสตร์และบริหารความเสี่ยงระดับองค์กร

บทบาทและความรับผิดชอบ : กำกับ ดูแล การจัดทำแผนดำเนินงานระยะสั้น และแผนการดำเนินงานระยะยาวหรือแผนยุทธศาสตร์ ควบคุมให้มีการถ่ายทอดแผนฯ เพื่อนำไปสู่การปฏิบัติทั่วทั้งองค์กร กำกับ ดูแล และควบคุมกระบวนการบริหารความเสี่ยงและการควบคุมภายใน จัดวางระบบการควบคุมภายใน ให้เป็นไปตามระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการกำหนดมาตรฐานการควบคุมภายใน พ.ศ.2544 และจัดทำรายงานเสนอคณะอนุกรรมการกำกับด้านยุทธศาสตร์และบริหารความเสี่ยงของโรงงานยาสูบ เป็นรายไตรมาส เป็นต้น

        • คณะอนุกรรมการกำกับด้านยุทธศาสตร์และบริหารความเสี่ยงของโรงงานยาสูบ

บทบาทและความรับผิดชอบ : พิจารณาแผนการดำเนินงานระยะสั้น และแผนการดำเนินงานระยะยาวหรือแผนยุทธศาสตร์ ก่อนนำเสนอคณะกรรมการอำนวยการโรงงานยาสูบ กำหนดนโยบายและกำกับดูแลในการบริหารความเสี่ยงของโรงงานยาสูบ จัดทำรายงานผลการดำเนินงานนำเสนอต่อคณะกรรมการอำนวยการโรงงานยาสูบ

        • คณะกรรมการตรวจสอบ

บทบาทและความรับผิดชอบ : สอบทานระบบการควบคุมภายในและการตรวจสอบภายในหรือความเข้าใจเกี่ยวกับมาตรฐานการควบคุมภายในตามมาตรฐานสากล การเปิดเผยรายงานกิจกรรมคณะกรรมการตรวจสอบ การติดตามประเมินผลการควบคุมภายในของหน่วยงาน การมอบข้อสังเกต ข้อเสนอแนะ หรือมอบนโยบายอันเป็นประโยชน์ต่อการควบคุมภายใน

        • ผู้ตรวจสอบภายใน

บทบาทและความรับผิดชอบ : ตามระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วย การปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ผู้ตรวจสอบภายในมีบทบาทหน้าที่รับผิดชอบในการตรวจสอบ ประเมินความเพียงพอและความมีประสิทธิผลของมาตรการควบคุมภายในที่ฝ่ายบริหารกำหนด โดยสอบทานการประเมินของฝ่ายบริหารและรายงานผลการประเมินด้วยความระมัดระวังรอบคอบ เพื่อสรุปความเห็นและจัดทำรายงานเสนอต่อหัวหน้าหน่วยรับตรวจ

        1. 2. การกำหนดวัตถุประสงค์ (Objective Setting)

การกำหนดวัตถุประสงค์มีหลายระดับ ตั้งแต่ระดับที่เป็นภาพรวมขององค์กร คือ วิสัยทัศน์ พันธกิจ ซึ่งจะนำไปสู่วัตถุประสงค์หรือเป้าหมายขององค์กร ระดับรองลงมา คือ วัตถุประสงค์หรือเป้าหมายของสายงานหรือฝ่ายงานต่าง ๆ และยังมีระดับย่อยลงไปจนถึงวัตถุประสงค์หรือเป้าหมายของกระบวนการ ทั้งนี้ วัตถุประสงค์ทั้งในระดับเดียวกันและในระดับสูงขึ้นไป ตลอดจนกลยุทธ์และระดับความเสี่ยงที่ยอมรับได้ต้องสอดคล้องกัน เพื่อให้มั่นใจว่า กิจกรรมต่าง ๆ ที่สายงาน/ฝ่ายงาน ผู้บริหาร และพนักงานได้ดำเนินการช่วยสนับสนุนต่อการบรรลุวัตถุประสงค์ขององค์กรในภาพรวม

        1. 3. การระบุเหตุการณ์ (Event Identification)

โรงงานยาสูบสามารถระบุเหตุการณ์ที่อาจเกิดขึ้นและส่งผลกระทบต่อองค์กรทั้งด้านที่เป็นโอกาสและความเสี่ยง และมีความเข้าใจถึงปัจจัยต่าง ๆ ทั้งภายในและภายนอกองค์กร ทั้งเหตุการณ์ที่เคยเกิดขึ้นมาแล้วในอดีต และการคาดการณ์ในอนาคต ในการพิจารณาเพื่อระบุเหตุการณ์ โดยคำนึงถึงความสัมพันธ์และความเชื่อมโยงระหว่างเหตุการณ์ต่าง ๆ เพื่อเป็นส่วนประกอบสำคัญในการประเมินความเสี่ยงและการตอบสนอง
ความเสี่ยง

        1. 4. การประเมินความเสี่ยง (Risk Assessment)

ฝ่ายบริหารได้ประเมินความเสี่ยงทั้งจากปัจจัยภายในและภายนอก ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์องค์กร โดยพิจารณาทั้งด้านโอกาสที่ความเสี่ยงจะเกิดขึ้น และผลกระทบหากความเสี่ยงเกิดขึ้นจริง โดยการประเมินความเสี่ยงได้ประเมินทั้งความเสี่ยงที่มีอยู่ตามธรรมชาติ (Inherent Risk) และความเสี่ยงที่หลงเหลืออยู่หลังการตอบสนองความเสี่ยง (Residual Risk) เมื่อองค์กรได้มีการจัดการความเสี่ยงตามมาตรการควบคุมที่มีอยู่ในปัจจุบัน ได้พิจารณาต่อไปว่ามาตรการจัดการความเสี่ยงที่มีอยู่ในปัจจุบันมีประสิทธิภาพเพียงพอหรือไม่ จากนั้นมีการกำหนดแผนจัดการความเสี่ยงและดำเนินการตามแผนดังกล่าวเพิ่มเติม และเมื่อการดำเนินการมีประสิทธิภาพ จึงสามารถลดระดับความเสี่ยงลงจนไปถึงระดับความเสี่ยงที่ยอมรับได้ขององค์กร

        1. 5. การตอบสนองความเสี่ยง (Risk Response)

ภายหลังการประเมินความเสี่ยง โรงงานยาสูบมีการกำหนดการตอบสนองความเสี่ยงให้เหมาะสม สามารถพิจารณาปฏิบัติได้ 4 ทาง คือ

    • ยอมรับ (Take) คือ การยอมรับความเสี่ยงนั้นโดยไม่จัดการเพิ่มเติม
    • กำหนดมาตรการรองรับ (Treat)  คือ การดำเนินการเพิ่มเติมเพื่อลดโอกาสหรือผลกระทบของความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เช่น การสำรองข้อมูล การจัดทำแผน
    • ถ่ายโอนความเสี่ยง (Transfer) คือ การแบ่งหรือถ่ายโอนความเสี่ยงบางส่วนให้กับบุคคลหรือองค์กรอื่น เช่น การประกันภัย การจ้างบุคคลภายนอกดำเนินการ
    • ยุติหรือปรับเป้าหมาย (Terminate) คือ การดำเนินการเพื่อยกเลิกหรือหลีกเลี่ยงกิจกรรมที่ก่อให้เกิดความเสี่ยง
        1. 6. กิจกรรมการควบคุม (Control Activities)

ในการกำหนดกิจกรรมการควบคุม ได้พิจารณาความเชื่อมโยงและความเหมาะสมของกิจกรรมการควบคุมที่มีต่อการตอบสนองต่อความเสี่ยงและวัตถุประสงค์ที่เกี่ยวข้อง กิจกรรมการควบคุมที่เกิดขึ้นในทุกระดับ ทุกหน้าที่งาน ทั่วทั้งองค์กร ทั้งในด้านการเงิน การดำเนินงาน และการกำกับดูแลการปฏิบัติงาน โดยควบคุมกิจกรรมต่าง ๆ เช่น การอนุมัติ การมอบหมายอำนาจหน้าที่ การยืนยันความถูกต้อง การกระทบยอด การสอบทานผลการปฏิบัติงาน การดูแลรักษาทรัพย์สิน และการแบ่งแยกหน้าที่งาน ผู้บริหารได้มีการพิจารณาให้มีกิจกรรมการควบคุม และจัดตั้งหน่วยงานหรือผู้รับผิดชอบ เพื่อสอบทานการปฏิบัติงาน มีขั้นตอนอนุมัติที่เป็นระบบ ให้มีกิจกรรมการควบคุมที่เหมาะสม และช่วยลดความเสี่ยง  ต่าง ๆ ที่อาจเกิดขึ้นได้

        1. 7. สารสนเทศและการสื่อสาร (Information & Communication)

กำหนดให้มีสารสนเทศและการสื่อสารที่สนับสนุนการบริหารความเสี่ยง ข้อมูลสารสนเทศที่เกี่ยวข้องกับองค์กร ทั้งจากแหล่งข้อมูลภายในองค์กรและภายนอกองค์กร ได้รับการบันทึกและสื่อสารอย่างเหมาะสมและทันกาล โดยเฉพาะข้อมูลสนับสนุนที่มีความสำคัญเกี่ยวกับการบ่งชี้ ประเมิน และการตอบสนองต่อความเสี่ยง เพื่อให้องค์กรสามารถตอบสนองต่อความเสี่ยงได้อย่างรวดเร็วและมีประสิทธิภาพ มีการสื่อสารข้อมูลทั้งจากระดับบนลงล่าง ระดับล่างขึ้นบน และในระดับเดียวกัน เพื่อประโยชน์ในการบริหารงาน เช่น ระบบสารสนเทศและการสื่อสารในการจัดการข้อร้องเรียน เป็นต้น

        1. 8. การติดตามประเมินผล (Monitoring)

ผู้บริหารและหน่วยงานภายในองค์กร ได้จัดให้มีการติดตามและประเมินผลการควบคุมภายในเพื่อประเมินประสิทธิผลของการควบคุมภายในที่วางไว้อย่างต่อเนื่องและสม่ำเสมอ การติดตามประเมินผลการควบคุมภายใน แบ่งได้ 2 ประเภทหลัก คือ   

        • การประเมินผลต่อเนื่อง (Ongoing Monitoring) หรือการประเมินการควบคุมด้วยตนเอง (Control Self Assessment : CSA)
        1. 1. ระดับส่วนงานย่อย ทำการประเมินการควบคุมด้วยตนเอง เป็นรายไตรมาส โดยนำข้อมูลมาสรุปผลและจัดทำรายงานของส่วนงาน วิเคราะห์ความมีอยู่ ความเพียงพอและประสิทธิผลของการควบคุมภายใน ระบุความเสี่ยงที่ยังมีอยู่ และเสนอมาตรการปรับปรุงแก้ไขตามความเหมาะสมและความจำเป็น พร้อมจัดทำรายงานการประเมินผลการควบคุมภายในประจำปี ตามระเบียบ คตง. พ.ศ.2544 นำเสนอหัวหน้าส่วนงานย่อยรับรองรายงาน และนำเสนอคณะอนุทำงานด้านยุทธศาสตร์และบริหารความเสี่ยงระดับกลุ่มภารกิจ ที่กำกับดูแล ให้ความเห็นชอบ
        1. 2. ระดับกลุ่มภารกิจ นำผลสรุปการประเมินผลการควบคุมด้วยตนเอง เป็นรายไตรมาส จากระดับส่วนงานย่อยที่กำกับดูแล มาวิเคราะห์ เปรียบเทียบผลสรุปการประเมินความเสี่ยงที่ยังมีอยู่ มาตรการปรับปรุงการควบคุม ให้ข้อเสนอแนะการปรับปรุงแก้ไข พร้อมจัดทำรายงานการประเมินผลการควบคุมภายในประจำปี ตามระเบียบ คตง. พ.ศ.2544 นำเสนอคณะทำงานด้านยุทธศาสตร์และบริหารความเสี่ยงระดับองค์กร ให้ความเห็นชอบ
        2. 3. ระดับองค์กร นำผลสรุปจากการประเมินผลการควบคุมด้วยตนเอง เป็นรายไตรมาส ที่ได้รับความเห็นชอบจากระดับกลุ่มภารกิจ มาวิเคราะห์ เปรียบเทียบผลสรุปการประเมินความเสี่ยงที่ยังมีอยู่ ให้ข้อเสนอแนะต่อรายงานผลการดำเนินงาน พร้อมจัดทำรายงานการประเมินผลการควบคุมภายในประจำปี ตามระเบียบ คตง. พ.ศ.2544 และนำเสนอคณะอนุกรรมการกำกับด้านยุทธศาสตร์และบริหารความเสี่ยงของโรงงานยาสูบ ให้ความเห็นชอบ ก่อนนำเสนอคณะกรรมการตรวจสอบ และคณะกรรมการอำนวยการโรงงานยาสูบ
        • การประเมินผลแบบรายครั้ง (Separate Evaluations) หรือการประเมินผลการควบคุมอย่างเป็นอิสระ (Independent Assessment : IA) ซึ่งประเมินโดยผู้ไม่มีส่วนเกี่ยวข้องโดยตรงกับการดำเนินงาน เช่น การประเมินผลโดยผู้ตรวจสอบภายใน หรือผู้ตรวจสอบภายนอก