มาตรฐานการปฏิบัติงานตรวจสอบภายใน
มาตรฐานการปฏิบัติงานตรวจสอบภายใน คือ หลักการการปฏิบัติงานตรวจสอบภายในที่ควรจะเป็น เป็นกรอบปฏิบัติงานที่ให้เกิดมูลค่าเพิ่มในการตรวจสอบภายใน เป็นพื้นฐานในการวัดผลการตรวจสอบภายใน และเพื่อ ส่งเสริมการปรับปรุงกระบวนปฏิบัติการขององค์การประกอบด้วยมาตรฐาน 3 ประเภท คือ
1. มาตรฐานคุณลักษณะงาน (Attribute Standards) เป็นมาตรฐานของหน่วยงานและบุคคลที่ปฏิบัติงานตรวจสอบภายใน แบ่งเป็น 4 มาตรฐานย่อย ได้แก่
1.1 วัตถุประสงค์ อำนาจ และความรับผิดชอบ (Purpose Authority and Responsibility) วัตถุประสงค์ อ านาจ และความรับผิดชอบเกี่ยวกับกิจกรรมงานตรวจสอบภายใน ควรระบุอย่างเป็นทางการในกฎบัตรการตรวจสอบภายใน ซึ่งควรสอดคล้องกับที่มาตรฐานก าหนดและได้รับความเห็นชอบจาก คณะกรรมการ
1.2 ความเป็นอิสระและเที่ยงธรรม (Independence and Objectivity) กิจกรรมงานตรวจสอบภายในควรเป็นอิสระ และผู้ตรวจสอบภายในควรปฏิบัติงานอย่างเที่ยงธรรมเป็นกลาง
1.3 ความเชี่ยวชาญและความระมัดระวังทางวิชาชีพ (Proficiency and Due Professional Care) การปฏิบัติงานต้องปฏิบัติด้วยความเชี่ยวชาญและความระมัดระวังทางวิชาชีพ
1.4 การประกันคุณภาพและแผนการปรับปรุง (Quality Assurance and Improvement Program) ผู้บริหารกิจกรรมงานตรวจสอบภายในควรจัดทำและรักษาการประกันคุณภาพงาน รวมทั้งมี แผนการปรับปรุงที่ครอบคลุมกิจกรรมงานตรวจสอบภายในทุกด้าน และมีการติดตามประเมินประสิทธิผลอย่างต่อเนื่อง แผนการดังกล่าวควรก าหนดขึ้นเพื่อช่วยให้กิจกรรมงานตรวจสอบภายในสามารถให้บริการที่เพิ่มคุณค่าและปรับปรุงการปฏิบัติงานขององค์การ และให้ความมั่นใจว่ากิจกรรมงานตรวจสอบภายในเป็นไปตามมาตรฐานการปฏิบัติงานและจริยธรรมทางวิชาชีพ
2. มาตรฐานการปฏิบัติงาน (Performance Standards) เป็นมาตรฐานของกิจกรรมในการปฏิบัติงานและกำหนดเกณฑ์คุณภาพที่สามารถใช้ในการประเมินผลการปฏิบัติงานได้ ได้แก่
2.1 การบริหารกิจกรรมงานตรวจสอบภายใน (Managing the Internal Audit Activity) หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรบริหารกิจกรรมงานตรวจสอบอย่างมีประสิทธิผลเพื่อสร้างความมั่นใจ
ในการเพิ่มคุณค่าหรือเป็นประโยชน์สูงสุดต่อองค์การ 6 ประการ คือ
2.1.1 การวางแผน (Planning) หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรวางแผนงานเพื่อกำหนดลำดับความสำคัญของกิจกรรมงานตรวจสอบภายใน ตามผลประเมินความเสี่ยงและให้สอดคล้องกับเป้าหมายความส าเร็จขององค์การ
– แผนการตรวจสอบควรมาจากผลการประเมินความเสี่ยง ซึ่งควรได้รับการประเมินอย่างน้อยปีละครั้ง โดยข้อมูลและความคิดเห็นจากฝ่ายบริหารระดับสูงและคณะกรรมการควรน ามาใช้ในการพิจารณาในกระบวนการนี้
– หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรรับงานบริการให้ค าปรึกษาโดยพิจารณาจากโอกาสที่จะปรับปรุงการบริหารความเสี่ยง การเพิ่มคุณค่า และการปรับปรุงการปฏิบัติงานขององค์การ การรับงานบริการดังกล่าว ต้องรวมอยู่ใน
แผนกิจกรรมตรวจสอบด้วย
2.1.2 การสื่อสารและการให้ความเห็นชอบ (Communication and Approval) หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรรายงานแผนกิจกรรมงานตรวจสอบและทรัพยากรที่ต้องการ รวมทั้งการเปลี่ยนแปลงแผนในระหว่างปี ต่อฝ่ายบริหารระดับสูงและคณะกรรมการเพื่อสอบทานและให้ความเห็นชอบ นอกจากนี้หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรชี้แจงผลกระทบเกี่ยวกับข้อจำกัดทรัพยากรการตรวจที่มีให้ทราบด้วย
2.1.3 การบริหารทรัพยากร (Resource Management) หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรมั่นใจว่าทรัพยากรตรวจสอบภายในที่ได้รับเหมาะสมเพียงพอ และได้ใช้อย่างมีประสิทธิผลเพื่อความสำเร็จของแผนงาน
2.1.4 นโยบายและวิธีปฏิบัติงาน (Policies and Procedures) หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรก าหนดนโยบายและวิธีการตรวจสอบ เพื่อเป็นแนวทางปฏิบัติงานตรวจสอบ
2.1.5 การประสานงาน (Coordination) หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรแลกเปลี่ยนข้อมูลข่าวสารและประสานงานกับผู้ตรวจสอบภายใน หรือผู้ตรวจสอบภายนอกอื่นที่เกี่ยวข้องเพื่อให้ครอบคลุมกิจกรรมงานอย่างเหมาะสมและลดการปฏิบัติงานที่ซ้ำซ้อน
2.1.6 การรายงานต่อคณะกรรมการ และผู้บริหารระดับสูง (Reporting to the Board and Senior Management) หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรรายงานตามงวดเวลาต่อคณะกรรมการและผู้บริหารระดับสูงเกี่ยวกับ วัตถุประสงค์ อำนาจ ความรับผิดชอบ และผลงานที่เกี่ยวข้องกับ แผนงานตรวจสอบ การรายงานควรรวมถึงประเด็นที่สำคัญเกี่ยวกับโอกาส และผลกระทบของความเสี่ยง การควบคุม การก ากับดูแลกิจการ รวมทั้งเรื่องส าคัญอื่น หรือเรื่องที่คณะกรรมการและ
ผู้บริหารระดับสูงมอบหมายให้ตรวจ
2.2 ลักษณะงาน (Nature of Work) ลักษณะของกิจกรรมงานตรวจสอบภายใน คือ การประเมินและการมีส่วนช่วยองค์การในการปรับปรุงเกี่ยวกับการบริหารความเสี่ยง การควบคุม และระบบกำกับดูแล กิจการ ได้แก่
2.2.1 การบริหารความเสี่ยง (Risk Management) โดยติดตามและประเมินประสิทธิผลของระบบบริหารความเสี่ยงของกิจการ ประเมินผลกระทบความเสี่ยงที่เกี่ยวข้องกับการก ากับดูแลที่ดี การปฏิบัติงานและระบบสารสนเทศ ระบุความเสี่ยงที่เกี่ยวข้องกับวัตถุประสงค์ของงานและต้องระมัดระวังต่อการเกิดขึ้นจริงของความเสี่ยงที่มีนัยส าคัญ ประสานความรู้เกี่ยวกับความเสี่ยงที่ได้รับจากบริการให้คำปรึกษาในกระบวนการประเมินความเสี่ยงขององค์การ
2.2.2 การควบคุม (Control) โดยการประเมินความมีประสิทธิผลและประสิทธิภาพ รวมทั้งส่งเสริมให้มีการปรับปรุงอย่างต่อเนื่อง
2.2.3 การกำกับดูแลองค์การ (Governance) ควรประเมินและให้ข้อเสนอแนะ ในการปรับปรุงกระบวนการก ากับดูแล เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการส่งเสริมให้เกิดการรักษาจริยธรรมและคุณค่าองค์การอย่างเหมาะสม การสร้างความมั่นใจเกี่ยวกับผลการปฏิบัติงานของฝ่ายบริหารและการรายงานตามหน้าที่ ความรับผิดชอบ การสื่อสารอย่างมีประสิทธิผลเกี่ยวกับความเสี่ยงและการควบคุมในองค์การการประสานงานอย่างมีประสิทธิผลระหว่างคณะกรรมการองค์การ ฝ่ายบริหาร ผู้สอบบัญชีและผู้ตรวจสอบภายใน
2.3 การวางแผนงานที่จะปฏิบัติ (Engagement Planning) ผู้ตรวจสอบภายในควรพัฒนาและจัดทำแผนงานที่จะปฏิบัติในแต่ละงานเป็นลายลักษณ์อักษร โดยพิจารณาเรื่องสำคัญต่าง ๆ ดังต่อไปนี้
2.3.1 วัตถุประสงค์และขอบเขตของงานที่จะตรวจ
2.3.2 ความเสี่ยงสำคัญ ทรัพยากร การปฏิบัติงาน วิธีการควบคุมผลกระทบ
2.3.3 ความเพียงพอและประสิทธิผลของการบริหารความเสี่ยงและระบบการควบคุมงานที่จะตรวจเมื่อเปรียบเทียบกับโครงสร้าง หรือรูปแบบการควบคุมที่เหมาะสมที่เกี่ยวข้อง
2.3.4 โอกาสในการปรับปรุงการบริหารความเสี่ยงและระบบการควบคุมในงานนั้น ให้ดีขึ้นอย่างมีนัยสำคัญ
2.4 การปฏิบัติงานตรวจสอบ (Performing the Engagement) ผู้ตรวจสอบภายในควรทำการวิเคราะห์ ประเมิน และบันทึกสารสนเทศอย่างเพียงพอที่จะบรรลุตามวัตถุประสงค์งานตรวจ ได้แก่
2.4.1 การวิเคราะห์และประเมินผล (Analysis and Evaluation) สรุปและแสดงผลการตรวจโดยมีพื้นฐานจากวิธีการวิเคราะห์และประเมินผลที่เหมาะสม
2.4.2 การบันทึกสารสนเทศ (Recording Information) ควรบันทึกสารสนเทศที่เกี่ยวข้องที่ใช้สนับสนุนสรุปผลการตรวจสอบ ได้แก่
– การเข้าถึงข้อมูลที่เกี่ยวข้องกับงานตรวจสอบอย่างเหมาะสม ก่อนที่จะเผยแพร่ข้อมูลเหล่านั้นไปสู่บุคคลภายนอก
– กำหนดเงื่อนไขระยะเวลาในการเก็บข้อมูลการตรวจสอบให้สอดคล้องกับแนวปฏิบัติขององค์กร
– กำหนดนโยบายเกี่ยวกับวิธีการและระยะเวลาในการเก็บข้อมูลงานตรวจสอบ การเผยแพร่ไปสู่บุคคลทั้งภายในและภายนอกให้สอดคล้องกับแนวปฏิบัติขององค์กร
2.4.3 การกำกับควบคุมงานตรวจสอบ (Engagement Supervision) ควรได้รับการควบคุมกำกับอย่างเหมาะสมที่จะสร้างความมั่นใจว่าบรรลุตามวัตถุประสงค์ มีการประกันคุณภาพรวมทั้งมีการพัฒนาพนักงานตรวจสอบ
2.5 การสื่อสารรายงานผลการตรวจสอบ ควรรายงานตั้งแต่วัตถุประสงค์การตรวจ ขอบเขต และข้อสรุป ข้อเสนอแนะ และแผนปฏิบัติการแก้ไขที่จะน ามาปฏิบัติ ในกรณีที่เหมาะสมควรประกอบด้วยความเห็นโดยรวมของผู้ตรวจสอบ แจ้งผลงานที่เป็นที่พอใจด้วย ส าหรับบุคคลภายนอกองค์กรควรสื่อสารข้อจำกัดในการเผยแพร่และการใช้ผลการตรวจสอบนั้นด้วย การสื่อสารผลคืบหน้าและผลของการบริการให้คำปรึกษาอาจจะแตกต่างกันไป ตามแบบฟอร์มและเนื้อหาสาระในแต่ละลักษณะงานที่ตรวจอย่างถูกต้อง ตรงตามวัตถุประสงค์ ชัดเจน กะทัดรัด สร้างสรรค์ สมบูรณ์ และทันกาล หากมีการไม่ปฏิบัติตามมาตรฐานซึ่งมีผลกระทบต่องานตรวจสอบ หัวหน้า ฝ่ายตรวจสอบและประเมินระบบงานควรสื่อสารสารสนเทศที่แก้ไขให้ถูกต้องแล้วไปยังผู้ได้รับการสื่อสารที่ผิดพลาดนั้น ทั้งนี้ การสื่อสารผลการตรวจควรเปิดเผยเกี่ยวกับสิ่งที่ได้รับการปฏิบัติตามอย่างไม่ครบถ้วน พร้อมด้วยเหตุผล และผลกระทบของการไม่ปฏิบัติตามที่มีต่องานตรวจนั้น
2.6 การติดตามผลความก้าวหน้า (Monitoring Progress) หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรกำหนดกระบวนการที่ใช้ในการติดตามผลและสร้างความมั่นใจว่า วิธีการแก้ไขที่ฝ่ายบริหารใช้ปฏิบัติในเรื่องนั้น มีประสิทธิผล หรือฝ่ายบริหารระดับสูงจะยอมรับความเสี่ยงที่เกิดขึ้น โดยไม่แก้ไขใด ๆ รวมทั้งควรติดตามการแก้ไข ผลจากการบริการให้ค าปรึกษา ตามวิธีการที่ตกลงไว้
2.7 การยอมรับความเสี่ยงของฝ่ายบริหาร (Management’s Acceptance of Risks) เมื่อหัวหน้าฝ่ายตรวจสอบและประเมินระบบงานเชื่อว่า ฝ่ายบริหารระดับสูงยอมรับระดับความเสี่ยงที่เหลืออยู่ ในระดับที่ไม่เป็นที่ยอมรับต่อองค์การ หัวหน้าฝ่ายตรวจสอบและประเมินระบบงานควรหารือประเด็นนั้นกับฝ่ายบริหารระดับสูง หากผลการตัดสินใจเกี่ยวกับการยอมรับความเสี่ยงยังไม่เปลี่ยนแปลง ควรรายงานประเด็นดังกล่าวต่อคณะกรรมการตรวจสอบเพื่อขอความเห็นชอบ
3. มาตรฐานการนำไปใช้ (Implementation Standards) เป็นการนำมาตรฐานคุณลักษณะงานและมาตรฐานการปฏิบัติงานไปประยุกต์ใช้ในการตรวจสอบงานประเภทพิเศษ เช่น การตรวจสอบการปฏิบัติตามกฎระเบียบ หรือการประเมินผลตนเอง
ที่มา : dpo.go.th
