ระบบการควบคุมภายในและการบริหารความเสี่ยง เป็นกลไกที่สำคัญต่อการบรรลุวัตถุประสงค์และความสำเร็จของ
บริษัท ประกอบกับบริษัท มีนโยบายที่จะดำเนินธุรกิจให้เจริญเติบโตอย่างยั่งยืนและเพิ่มมูลค่าให้กับผู้มีส่วนได้เสียบริษัท
จึงเล็งเห็นความสำคัญของระบบการควบคุมภายในและการบริหารความเสี่ยงเป็นอย่างยิ่ง โดยมอบหมายให้พนักงานทุกคนของบริษัทมีบทบาทและหน้าที่ความรับผิดชอบร่วมกันและได้กำหนดอำนาจการดำเนินการในระดับบริหารและระดับปฏิบัติการไว้เป็นลายลักษณ์อักษรอย่างชัดเจน ครอบคลุมถึงการควบคุมทางการเงิน การดำเนินงาน การบริหาร และการกำกับดูแลการปฏิบัติงานให้เป็นไปตามกฎหมายและระเบียบที่เกี่ยวข้องทั้งภายในและภายนอก รวมทั้งได้กำหนดให้มีการประเมินตนเอง(Control Self Assessment, CSA) โดยให้พนักงานมีความรับผิดชอบในการสร้างและพัฒนาระบบการควบคุมภายในของระบบงานที่รับผิดชอบด้วยตนเอง และให้มีความรับผิดชอบต่อการประเมินความเสี่ยงอย่างต่อเนื่อง เพื่อสร้างความแข็งแกร่งของระบบการควบคุมภายในและการบริหารความเสี่ยงให้สามารถตอบสนองต่อการเปลี่ยนแปลงและความเสี่ยงอย่างทันท่วงทีเพื่อก่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า ผลสำเร็จของงานจะสามารถบรรลุวัตถุประสงค์ของบริษัท ดังนี้
1. กลยุทธ์และเป้าหมาย ได้กำหนดไว้อย่างชัดเจนสามารถนำมาปฏิบัติได้จริงโดยสอดคล้องและสนับสนุนพันธกิจ (Mission) ของบริษัทฯบริษัท ประกอบกับบริษัท มีนโยบายที่จะดำเนินธุรกิจให้เจริญเติบโตอย่างยั่งยืนและเพิ่มมูลค่าให้กับผู้มีส่วนได้เสียบริษัท
จึงเล็งเห็นความสำคัญของระบบการควบคุมภายในและการบริหารความเสี่ยงเป็นอย่างยิ่ง โดยมอบหมายให้พนักงานทุกคนของบริษัทมีบทบาทและหน้าที่ความรับผิดชอบร่วมกันและได้กำหนดอำนาจการดำเนินการในระดับบริหารและระดับปฏิบัติการไว้เป็นลายลักษณ์อักษรอย่างชัดเจน ครอบคลุมถึงการควบคุมทางการเงิน การดำเนินงาน การบริหาร และการกำกับดูแลการปฏิบัติงานให้เป็นไปตามกฎหมายและระเบียบที่เกี่ยวข้องทั้งภายในและภายนอก รวมทั้งได้กำหนดให้มีการประเมินตนเอง(Control Self Assessment, CSA) โดยให้พนักงานมีความรับผิดชอบในการสร้างและพัฒนาระบบการควบคุมภายในของระบบงานที่รับผิดชอบด้วยตนเอง และให้มีความรับผิดชอบต่อการประเมินความเสี่ยงอย่างต่อเนื่อง เพื่อสร้างความแข็งแกร่งของระบบการควบคุมภายในและการบริหารความเสี่ยงให้สามารถตอบสนองต่อการเปลี่ยนแปลงและความเสี่ยงอย่างทันท่วงทีเพื่อก่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่า ผลสำเร็จของงานจะสามารถบรรลุวัตถุประสงค์ของบริษัท ดังนี้
2. ผลการปฏิบัติงานบรรลุตามวัตถุประสงค์ที่กำหนดไว้อย่างมีประสิทธิผล โดยมีการบริหารทรัพยากรของบริษัท
อย่างมีประสิทธิภาพคุ้มค่า
3. รายงานข้อมูลที่มีสาระสำคัญ ทั้งด้านการเงิน การบริหาร และการดำเนินงาน มีความถูกต้องเชื่อถือได้
และสามารถนำไปใช้เพื่อการตัดสินใจได้ทันเวลา
และสามารถนำไปใช้เพื่อการตัดสินใจได้ทันเวลา
4. การดำเนินงานและการปฏิบัติงาน เป็นไปตามนโยบาย กฎ ระเบียบและข้อกำหนดที่สอดคล้องกับกฎหมาย
และข้อบังคับอื่นๆที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัทฯ ทั้งภายในและภายนอกบริษัท
และข้อบังคับอื่นๆที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัทฯ ทั้งภายในและภายนอกบริษัท
5. มีระบบการป้องกันควบคุมดูแลทรัพย์สิน บุคลากรรวมทั้งข้อมูลในระบบสารสนเทศอย่างปลอดภัยเหมาะสม
6. มีระบบการกำกับดูแลอย่างใกล้ชิดตลอดเวลาและมีระบบการบริหารจัดการที่มีคุณภาพและมีประสิทธิผล
7. มีการปรับปรุงคุณภาพการปฏิบัติงานทั้งด้านบุคลากร ทรัพย์สินอุปกรณ์ และระบบปฏิบัติการต่างๆอย่างต่อเนื่อง
8. มีระบบการประเมินตนเองในการควบคุมของระบบงานที่สำคัญทั่วทั้งองค์กรอย่างเหมาะสม
9. บริษัทมีระบบการควบคุมภายในและการบริหารความเสี่ยงที่เหมาะสมมีประสิทธิผล โดยปฏิบัติตามกรอบโครงสร้างการควบคุมภายในและการบริหารความเสี่ยง ซึ่งอ้างอิงตามมาตรฐานสากลของ The Committee of Sponsoring Organizations of the Treadway Commission -EnterpriseRisk Management (COSO-ERM) ซึ่งสัมพันธ์กับการดำเนินธุรกิจและกระบวนการบริหารงานของ
บริษัทฯ ทั้ง 8 องค์ประกอบ ดังนี้
1. สภาพแวดล้อมภายในองค์กร
บริษัทฯ สนับสนุนให้มีสภาพแวดล้อมการทำงานที่ดีโดยมีการกำหนดนโยบายการวางแผน การดำเนินการ การควบคุม การติดตามที่เหมาะสม มีการจัดโครงสร้างการบริหารที่ดี เหมาะสมตามขนาดและการดำเนินธุรกิจของบริษัท มีการปฏิบัติตามนโยบายการกำกับดูแลที่ดียึดมั่นในปรัชญาและจรรยาบรรณธุรกิจ(Code of Business Ethics)ที่มีข้อกำหนดและแนวทางปฏิบัติที่เป็นลายลักษณ์อักษร มีการแต่งตั้งคณะกรรมการจริยธรรมธุรกิจ โดยมีหัวหน้าคณะเจ้าหน้าที่ผู้บริหาร
บริษัทฯ สนับสนุนให้มีสภาพแวดล้อมการทำงานที่ดีโดยมีการกำหนดนโยบายการวางแผน การดำเนินการ การควบคุม การติดตามที่เหมาะสม มีการจัดโครงสร้างการบริหารที่ดี เหมาะสมตามขนาดและการดำเนินธุรกิจของบริษัท มีการปฏิบัติตามนโยบายการกำกับดูแลที่ดียึดมั่นในปรัชญาและจรรยาบรรณธุรกิจ(Code of Business Ethics)ที่มีข้อกำหนดและแนวทางปฏิบัติที่เป็นลายลักษณ์อักษร มีการแต่งตั้งคณะกรรมการจริยธรรมธุรกิจ โดยมีหัวหน้าคณะเจ้าหน้าที่ผู้บริหาร
เป็นประธาน และผู้บริหารระดับสูงเป็นกรรมการ เพื่อกำกับดูแลกิจการให้บริษัทดำเนินธุรกิจสอดคล้องกับนโยบายการกำกับดูแลกิจการที่ดี และเป็นตัวอย่างที่ดีในเรื่องความซื่อสัตย์และจริยธรรม มีการปฏิบัติต่อผู้มีส่วนได้เสียโดยคำนึงถึงความเป็นธรรมต่อทุกฝ่าย มีการกำหนดอำนาจหน้าที่และความรับผิดชอบในแต่ละระดับอย่างชัดเจน มีการแต่งตั้งคณะกรรมการบริหารความเสี่ยงเป็นลายลักษณ์อักษร และกำหนดบทบาทหน้าที่รวมถึงแนวทางการบริหารความเสี่ยงและการจัดการความเสี่ยงอย่างเป็นระบบต่อเนื่อง มีการสื่อสารและสร้างความเข้าใจกับพนักงานทุกระดับ ตลอดจนมีการกำหนดระดับของความเสี่ยงที่ยอมรับได้ ที่เชื่อมโยงกับกลยุทธ์ของบริษัทเพื่อให้มั่นใจได้ว่า บริษัทมีระบบการควบคุมภายในและระบบการบริหารความเสี่ยงที่ดี สามารถป้องกันหรือลดความเสียหายที่อาจจะเกิดขึ้น ส่งผลให้บริษัทจะสามารถบรรลุ
วัตถุประสงค์ที่กำหนดไว้ได้อย่างมีประสิทธิภาพ ประสิทธิผล
นอกจากนี้ บริษัทฯ ยังให้ความสำคัญในเรื่องบุคลากร ซึ่งถือเป็นทรัพยากรที่สำคัญที่สุดโดยกำหนดให้มีวัฒนธรรมองค์กร(Corporate Culture) มาตรฐานการประเมินผลและการให้ผลตอบแทนที่ชัดเจนเป็นธรรมพร้อมทั้งจัดให้พนักงานได้รับการพัฒนาฝึกอบรม ความรู้ ทักษะความสามารถให้เหมาะสมกับงานที่ได้รับมอบหมาย และเตรียมความพร้อมเพื่อรองรับการเปลี่ยนแปลงด้านต่างๆ ตามแผนการฝึกอบรมรายบุคคล(Individual Development Plan) เพื่อส่งเสริมและพัฒนาศักยภาพบุคลากรของบริษัทฯ สู่ความเป็นเลิศและความเป็นมาตรฐานสากลอย่างต่อเนื่องสม่ำเสมอ
2. การกำหนดวัตถุประสงค์
บริษัทมีการกำหนดวัตถุประสงค์หรือเป้าหมายการปฏิบัติงานในแต่ละระดับอย่างชัดเจนรวมทั้งด้านกลยุทธ์
ด้านการปฏิบัติงาน ด้านการรายงาน รวมทั้งด้านการปฏิบัติตามนโยบาย กฎระเบียบ ข้อปฏิบัติต่างๆ ซึ่งบันทึกเป็นลายลักษณ์อักษร โดยสอดคล้องกับเป้าหมายหลักหรือพันธกิจในภาพรวม ตลอดจนระดับความเสี่ยงที่ยอมรับได้ นอกจากนี้บริษัทฯ ยังได้มีการปรับเปลี่ยนแผนงาน กลยุทธ์และวัตถุประสงค์ให้สอดคล้องกับสถานการณ์และปัจจัยเสี่ยงที่เปลี่ยนแปลงไปอย่างสม่ำเสมอ
ด้านการปฏิบัติงาน ด้านการรายงาน รวมทั้งด้านการปฏิบัติตามนโยบาย กฎระเบียบ ข้อปฏิบัติต่างๆ ซึ่งบันทึกเป็นลายลักษณ์อักษร โดยสอดคล้องกับเป้าหมายหลักหรือพันธกิจในภาพรวม ตลอดจนระดับความเสี่ยงที่ยอมรับได้ นอกจากนี้บริษัทฯ ยังได้มีการปรับเปลี่ยนแผนงาน กลยุทธ์และวัตถุประสงค์ให้สอดคล้องกับสถานการณ์และปัจจัยเสี่ยงที่เปลี่ยนแปลงไปอย่างสม่ำเสมอ
3. การบ่งชี้เหตุการณ์
บริษัทได้ระบุตัวบ่งชี้เหตุการณ์หรือปัจจัยเสี่ยงต่างๆ ที่อาจส่งผลเสียหายต่อวัตถุประสงค์ในระดับองค์กร
และระดับปฏิบัติการของบริษัทฯ ไว้อย่างเหมาะสมเป็นระบบ รวมทั้งระบุเหตุการณ์ที่อาจจะเกิดขึ้นที่เอื้ออำนวย
ต่อวัตถุประสงค์ทางด้านบวกไว้ด้วย โดยพิจารณาจากแหล่งความเสี่ยงภายนอกและภายในบริษัท และยังมีการติดตามผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าบริษัทมีการระบุปัจจัยเสี่ยงที่ครอบคลุมต่อการเปลี่ยนแปลงของแต่ละระดับ รวมทั้งมีการรายงานต่อผู้บริหารหรือผู้เกี่ยวข้องให้รับทราบอยู่เสมอ
และระดับปฏิบัติการของบริษัทฯ ไว้อย่างเหมาะสมเป็นระบบ รวมทั้งระบุเหตุการณ์ที่อาจจะเกิดขึ้นที่เอื้ออำนวย
ต่อวัตถุประสงค์ทางด้านบวกไว้ด้วย โดยพิจารณาจากแหล่งความเสี่ยงภายนอกและภายในบริษัท และยังมีการติดตามผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าบริษัทมีการระบุปัจจัยเสี่ยงที่ครอบคลุมต่อการเปลี่ยนแปลงของแต่ละระดับ รวมทั้งมีการรายงานต่อผู้บริหารหรือผู้เกี่ยวข้องให้รับทราบอยู่เสมอ
4. การประเมินความเสี่ยง
บริษัทฯ มีเครื่องมือและวิธีการประเมินความเสี่ยงอย่างเป็นระบบ อีกทั้งยังมีการจัดทำคู่มือการบริหารความเสี่ยงเพื่อเป็นแนวทางการปฏิบัติไว้อย่างชัดเจน และได้กำหนดหลักเกณฑ์ของการประเมินความเสี่ยงในแต่ละระดับไว้อย่างเหมาะสม ทั้งในระดับองค์กรและระดับปฏิบัติการ ตลอดจนทำการประเมินในเชิงคุณภาพและเชิงปริมาณ โดยพิจารณาจากระดับความเสี่ยงที่ยอมรับได้ขององค์กร ซึ่งจะทำการประเมินทั้ง 2 ด้าน คือ ผลกระทบต่อความเสียหายที่จะเกิดเหตุการณ์นั้น(Impact) และโอกาสที่จะเกิดเหตุการณ์ความเสี่ยง(Likelihood) เพื่อพิจารณาระดับค่าของความเสี่ยงที่อาจเป็นระดับสูง กลาง หรือต่ำ
5. การตอบสนองความเสี่ยงบริษัท
มีกระบวนการบริหารความเสี่ยงอย่างเป็นระบบต่อเนื่อง โดยกำหนดกลยุทธ์การตอบสนองต่อความเสี่ยงในแต่
ละระดับ และในภาพรวม ซึ่งได้แก่ การหลีกเลี่ยง การลด การโอนให้ผู้อื่นและการยอมรับความเสี่ยงไว้อย่างชัดเจน
เพื่อให้มั่นใจได้ว่า บริษัทฯ ได้มีการพิจารณาทางเลือกที่มีความคุ้มค่าที่สุด และมีประสิทธิผลที่สุดโดยเลือกจัดการกับความเสี่ยงระดับสูงเป็นอันดับแรก เพื่อลดโอกาสและผลกระทบในภาพรวมที่จะเกิดเหตุการณ์นั้น รวมทั้งยังมีมาตรการควบคุมภายในที่ดี มีประสิทธิภาพเหมาะสมกับความเสี่ยงที่เปลี่ยนแปลงไป
มีกระบวนการบริหารความเสี่ยงอย่างเป็นระบบต่อเนื่อง โดยกำหนดกลยุทธ์การตอบสนองต่อความเสี่ยงในแต่
ละระดับ และในภาพรวม ซึ่งได้แก่ การหลีกเลี่ยง การลด การโอนให้ผู้อื่นและการยอมรับความเสี่ยงไว้อย่างชัดเจน
เพื่อให้มั่นใจได้ว่า บริษัทฯ ได้มีการพิจารณาทางเลือกที่มีความคุ้มค่าที่สุด และมีประสิทธิผลที่สุดโดยเลือกจัดการกับความเสี่ยงระดับสูงเป็นอันดับแรก เพื่อลดโอกาสและผลกระทบในภาพรวมที่จะเกิดเหตุการณ์นั้น รวมทั้งยังมีมาตรการควบคุมภายในที่ดี มีประสิทธิภาพเหมาะสมกับความเสี่ยงที่เปลี่ยนแปลงไป
6. กิจกรรมการควบคุม
บริษัทได้กำหนดนโยบายและวิธีการปฏิบัติงานในแต่ละระดับไว้อย่างชัดเจน ตลอดจนกำหนดกิจกรรมการควบคุมที่มีสาระสำคัญในแต่ละระดับไว้อย่างเหมาะสม โดยเน้นกิจกรรมการควบคุมแบบป้องกันเป็นหลัก รวมทั้งมีการประเมินและรายงานผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า วิธีการจัดการความเสี่ยงหรือกิจกรรมการควบคุมนั้นได้มีการนำไปปฏิบัติจริง สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้ รวมถึงคุณภาพและความรวดเร็วที่ควบคู่กันไปด้วย
นอกจากนี้ผู้บริหารระดับสูง ยังได้มีการทบทวนนโยบายระเบียบปฏิบัติและกิจกรรมการควบคุมเป็นระยะๆ เพื่อให้สอดคล้องกับสถานการณ์หรือความเสี่ยงที่เปลี่ยนแปลงไปอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้
7. ข้อมูลและการติดต่อสื่อสาร
บริษัทมีระบบสารสนเทศและข้อมูลที่สามารถเชื่อมโยงกันได้อย่างทั่วถึงทั้งองค์กร เพื่อนำไปใช้ในการบริหารความเสี่ยงหรือเพื่อการตัดสินใจได้อย่างถูกต้องทันเวลา และมีระบบรักษาความปลอดภัยของระบบสารสนเทศและข้อมูลที่มีประสิทธิภาพเพียงพอ ตลอดจนมีการกำหนดแผนสำรองฉุกเฉินสำหรับป้องกันในเรื่องความปลอดภัยของระบบสารสนเทศขณะที่มีอุบัติภัยร้ายแรงจนระบบไม่สามารถปฏิบัติงานได้ รวมไปถึงการซักซ้อมแผนสำรองฉุกเฉินไว้เรียบร้อยแล้ว นอกจากนี้บริษัทฯ ยังมีระบบการจัดเก็บข้อมูลที่สามารถตรวจสอบความถูกต้องย้อนหลังได้(Audit Trail)
และมีระบบข้อมูลที่สามารถวิเคราะห์หรือบ่งชี้จุดที่อาจจะเกิดความเสี่ยงในเชิงสถิติได้อย่างเป็นระบบ ซึ่งทำการประเมินและจัดการความเสี่ยงพร้อมทั้งบันทึกหรือรายงานผลไว้อย่างครบถ้วน
และมีระบบข้อมูลที่สามารถวิเคราะห์หรือบ่งชี้จุดที่อาจจะเกิดความเสี่ยงในเชิงสถิติได้อย่างเป็นระบบ ซึ่งทำการประเมินและจัดการความเสี่ยงพร้อมทั้งบันทึกหรือรายงานผลไว้อย่างครบถ้วน
นอกจากนี้บริษัทฯ มีช่องทางการติดต่อสื่อสารที่มีประสิทธิภาพ ประสิทธิผล สามารถติดต่อสื่อสารกันได้ทั่วทั้งองค์กร โดยข้อมูลที่สำคัญ เช่น การกำกับดูแลกิจการ จริยธรรมองค์กร แนวทางการบริหารความเสี่ยง ระดับความเสี่ยงที่ยอมรับได้ นโยบายและกฎระเบียบต่างๆ บทบาทความรับผิดชอบและการแบ่งแยกหน้าที่ รวมไปถึงขั้นตอนและวิธีการปฏิบัติงาน เป็นต้น จะถูกถ่ายทอดจากผู้บริหารระดับสูงลงสู่พนักงานและจากพนักงานขึ้นตรงสู่ผู้บริหารระดับสูงได้อีกด้วยเช่นกัน อีกทั้งยังมีช่องทางและการติดต่อสื่อสารกับผู้มีส่วนได้เสียอื่นที่มีประสิทธิภาพ ทันเวลา
8. การติดตามผล
บริษัทฯ มีขั้นตอนการติดตามและการกำกับดูแลการปฏิบัติงานเปรียบเทียบกับเป้าหมายหรือตัวชี้วัด(KPI)
ที่กำหนดในแต่ละระดับอย่างเหมาะสมสม่ำเสมอ และมีระบบการวิเคราะห์ประเมินและติดตามผลการดำเนินงานที่ดี
เช่น กำหนดให้พนักงานระดับหัวหน้างานมีการติดตามผลการปฏิบัติงานและการรายงานของผู้ใต้บังคับบัญชาอย่างใกล้ชิดและรายงานต่อหัวหน้างานระดับสูงต่อไป เพื่อให้มั่นใจได้ว่ามาตรการและระบบการควบคุมภายในนั้นมีประสิทธิผลอยู่เสมอ สามารถตอบสนองต่อปัจจัยเสี่ยงและการเปลี่ยนแปลงได้อย่างเหมาะสม ทันเวลา รวมไปถึงให้มีการตรวจประเมินผลการปฏิบัติงาน โดยหน่วยงานตรวจสอบภายใน ซึ่งเป็นหน่วยงานอิสระ ผู้สอบบัญชี และผู้ประเมินอิสระจากภายนอกบริษัทมีระบบการติดตามผลการบริหารความเสี่ยงที่ดีและมีการกำหนดสัญญาณเตือนภัย เพื่อให้มั่นใจได้ว่า การบริหารและการจัดการความเสี่ยงมีประสิทธิผลเหมาะสมเพียงพอ ซึ่งความเสี่ยงนั้นอยู่ในระดับที่ยอมรับได้ โดยให้มีการรายงานผลต่อหัวหน้างานทุกระดับและต่อผู้บริหารระดับสูงอย่างสม่ำเสมอ และจัดให้มีการประชุมคณะกรรมการบริษัท และมีการประชุมผู้บริหารอย่างสม่ำเสมอ เพื่อพิจารณาและติดตามผลการดำเนินงานของฝ่ายบริหารว่าเป็นไปตามเป้าหมายและภายใน
ระยะเวลาที่กำหนด
ที่กำหนดในแต่ละระดับอย่างเหมาะสมสม่ำเสมอ และมีระบบการวิเคราะห์ประเมินและติดตามผลการดำเนินงานที่ดี
เช่น กำหนดให้พนักงานระดับหัวหน้างานมีการติดตามผลการปฏิบัติงานและการรายงานของผู้ใต้บังคับบัญชาอย่างใกล้ชิดและรายงานต่อหัวหน้างานระดับสูงต่อไป เพื่อให้มั่นใจได้ว่ามาตรการและระบบการควบคุมภายในนั้นมีประสิทธิผลอยู่เสมอ สามารถตอบสนองต่อปัจจัยเสี่ยงและการเปลี่ยนแปลงได้อย่างเหมาะสม ทันเวลา รวมไปถึงให้มีการตรวจประเมินผลการปฏิบัติงาน โดยหน่วยงานตรวจสอบภายใน ซึ่งเป็นหน่วยงานอิสระ ผู้สอบบัญชี และผู้ประเมินอิสระจากภายนอกบริษัทมีระบบการติดตามผลการบริหารความเสี่ยงที่ดีและมีการกำหนดสัญญาณเตือนภัย เพื่อให้มั่นใจได้ว่า การบริหารและการจัดการความเสี่ยงมีประสิทธิผลเหมาะสมเพียงพอ ซึ่งความเสี่ยงนั้นอยู่ในระดับที่ยอมรับได้ โดยให้มีการรายงานผลต่อหัวหน้างานทุกระดับและต่อผู้บริหารระดับสูงอย่างสม่ำเสมอ และจัดให้มีการประชุมคณะกรรมการบริษัท และมีการประชุมผู้บริหารอย่างสม่ำเสมอ เพื่อพิจารณาและติดตามผลการดำเนินงานของฝ่ายบริหารว่าเป็นไปตามเป้าหมายและภายใน
ระยะเวลาที่กำหนด
ในปัจจุบันสถานการณ์ต่างๆ ได้มีการเปลี่ยนแปลงไปอย่างมากและรวดเร็ว การบริหารความเสี่ยงจึงเป็นสิ่งที่มีความสำคัญ ช่วยให้บริษัทฯ สามารถบรรลุวัตถุประสงค์เมื่อมีเหตุการณ์ที่ไม่คาดคิดเกิดขึ้น ดังนั้น จึงมีความจำเป็นอย่างยิ่งที่บริษัทฯ จะต้องมีกลไกการบริหารงาน เพื่อสร้างความแข็งแกร่งและการเตรียมความพร้อมไว้อย่างรอบด้านเป็นการล่วงหน้า เพื่อให้บริษัทฯ สามารถบริหารความเสี่ยงและดำรงอยู่ได้อย่างมั่นคงตลอดไป
บริษัทฯ มุ่งเน้นให้ความสำคัญกับการบริหารความเสี่ยงขององค์กร โดยมีคณะกรรมการบริหารความเสี่ยง ซึ่งมีประธานกรรมการบริหารของบริษัทฯ เป็นประธานคณะกรรมการบริหารความเสี่ยง และหัวหน้าคณะเจ้าหน้าที่ผู้บริหาร และผู้บริหารระดับสูง เป็นกรรมการ รวม 13 ท่าน ซึ่งในปี 2553 คณะกรรมการได้มีการประชุม 3 ครั้ง โดยได้พิจารณาแจกแจงความเสี่ยงครอบคลุมทั้งองค์กร จัดอันดับความเสี่ยง กำหนดแนวทางการบริหารความเสี่ยง มอบหมายผู้รับผิดชอบเพื่อจัดให้มีมาตรการควบคุมและจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อให้บริษัทฯ สามารถบรรลุเป้าหมายและกลยุทธ์ที่กำหนดไว้ และเพื่อสร้างความเชื่อมั่นให้กับผู้ถือหุ้นและผู้มีส่วนได้ส่วนเสีย รวมทั้งได้มีการทบทวนความเสี่ยงของบริษัทฯ อย่างสม่ำเสมอว่า บริษัทฯ มีความเสี่ยงด้านใดบ้างที่เพิ่มขึ้นหรือเปลี่ยนแปลงไป วิกฤตเศรษฐกิจที่เกิดขึ้นได้ส่งผลกระทบอย่างไร ต่อผู้ที่มีส่วนเกี่ยวข้องต่างๆ ของบริษัทฯ
คณะกรรมการบริหารความเสี่ยง มีการติดตามผลสำเร็จของการบริหารความเสี่ยง โดยพิจารณาจากแผนงานของฝ่ายจัดการที่รับผิดชอบในปัจจัยความเสี่ยงต่างๆ และผลของการวัดผลที่เชื่อถือได้ของการปฏิบัติงานตามแผนงาน และในการประชุมทุกครั้ง คณะกรรมการบริหารความเสี่ยงจะกำหนดให้ฝ่ายจัดการที่รับผิดชอบรายงานผลการบริหารความเสี่ยงที่ได้แจกแจงไว้จากรอบการประชุมครั้งก่อน รวมทั้งมีการพิจารณาว่าระดับความเสี่ยงลดลงหรือไม่ ทั้งนี้เพื่อให้การบริหารความเสี่ยงมีประสิทธิผลอย่างแท้จริง
ในทุกไตรมาส คณะกรรมการบริหารความเสี่ยงได้นำเสนอผลการบริหารความเสี่ยงให้คณะกรรมการตรวจสอบ คณะกรรมการบริษัท และคณะกรรมการบริหารได้รับทราบ เพื่อให้มีการจัดการความเสี่ยงและติดตามอย่างใกล้ชิด และมั่นใจได้ว่าความเสี่ยงอยู่ในระดับที่ยอมรับได้ รวมทั้งบริษัทฯ สามารถบรรลุเป้าหมายที่กำหนดไว้ ซึ่งสรุปปัจจัยความเสี่ยงที่อาจส่งผลกระทบต่อผลการดำเนินงานของบริษัทฯ ไว้ในส่วนของปัจจัยเสี่ยงเรียบร้อยแล้ว
ในการประชุมคณะกรรมการบริษัท ครั้งที่ 1/2554 เมื่อวันที่ 21 มกราคม 2554 โดยมีคณะกรรมการตรวจสอบเข้าร่วมประชุมด้วย คณะกรรมการบริษัทได้ประเมินระบบการควบคุมภายในของบริษัทฯ จากการสอบทานการประเมินประสิทธิผลของระบบการควบคุมภายใน และจากการซักถามข้อมูลจากฝ่ายบริหาร ผลการประเมินจากแบบประเมินความเพียงพอของระบบการควบคุมภายใน สรุปได้ว่า บริษัทฯ มีระบบการควบคุมภายในที่มีประสิทธิผลเหมาะสมเพียงพอ
นอกจากนี้ ผู้สอบบัญชีของบริษัทฯ คือ บริษัท เคพีเอ็มจี ภูมิไชย สอบบัญชี จำกัด ซึ่งเป็นผู้ตรวจสอบงบการเงินประจำปี 2553 ได้ประเมินประสิทธิผลของระบบการควบคุมภายในของบริษัทฯ ตามที่เห็นว่าจำเป็น โดยพบว่า
ไม่มีจุดอ่อนของระบบการควบคุมภายในที่มีสาระสำคัญแต่ประการใด
ไม่มีจุดอ่อนของระบบการควบคุมภายในที่มีสาระสำคัญแต่ประการใด
การตรวจสอบภายใน
หน่วยงานตรวจสอบภายในมีความเป็นอิสระ รายงานตรงต่อคณะกรรมการตรวจสอบในด้านงานตรวจสอบภายใน
และรายงานต่อประธานกรรมการบริหารในด้านงานบริหารหน่วยงาน โดยมีกฎบัตรของหน่วยงาน ซึ่งกำหนดภารกิจ ขอบเขต วัตถุประสงค์และภาระหน้าที่ความรับผิดชอบ รวมถึงสิทธิในการปฏิบัติงานตรวจสอบไว้อย่างชัดเจน และมีการจัดทำคู่มือการปฏิบัติงานตรวจสอบที่ปรับปรุงเปลี่ยนแปลงอยู่เสมอ เพื่อใช้อ้างอิงการปฏิบัติงานให้เป็นทิศทางเดียวกัน
และรายงานต่อประธานกรรมการบริหารในด้านงานบริหารหน่วยงาน โดยมีกฎบัตรของหน่วยงาน ซึ่งกำหนดภารกิจ ขอบเขต วัตถุประสงค์และภาระหน้าที่ความรับผิดชอบ รวมถึงสิทธิในการปฏิบัติงานตรวจสอบไว้อย่างชัดเจน และมีการจัดทำคู่มือการปฏิบัติงานตรวจสอบที่ปรับปรุงเปลี่ยนแปลงอยู่เสมอ เพื่อใช้อ้างอิงการปฏิบัติงานให้เป็นทิศทางเดียวกัน
หน่วยงานตรวจสอบภายใน ทำหน้าที่ตรวจประเมินประสิทธิผลของระบบการควบคุมภายใน ระบบการบริหารความเสี่ยง การกำกับดูแลกิจการของบริษัทฯ ตามแผนงานการตรวจสอบประจำปี ซึ่งได้พิจารณาจากวัตถุประสงค์ กลยุทธ์ พันธกิจในระดับภาพรวม ตลอดจนพิจารณาจากปัจจัยเสี่ยงที่เกี่ยวข้อง (Risk Based Audit Approach)
โดยผ่านการอนุมัติจากคณะกรรมการตรวจสอบ รวมทั้งการให้คำปรึกษาแนะนำในด้านการประเมินตนเองในการควบคุมด้านต่างๆ (Control Self Assessment, CSA) เพื่อให้เกิดความเชื่อมั่นว่า การปฏิบัติงานต่างๆ จะบรรลุผลตามกลยุทธ์และวัตถุประสงค์ที่กำหนดไว้ อีกทั้งยังทำการติดตามประเมินผลอย่างสม่ำเสมอ เพื่อให้เกิดความมั่นใจในระบบที่วางไว้ว่าได้ดำเนินการเป็นไปอย่างต่อเนื่อง และได้รับการแก้ไขปรับปรุงอย่างสม่ำเสมอ
โดยผ่านการอนุมัติจากคณะกรรมการตรวจสอบ รวมทั้งการให้คำปรึกษาแนะนำในด้านการประเมินตนเองในการควบคุมด้านต่างๆ (Control Self Assessment, CSA) เพื่อให้เกิดความเชื่อมั่นว่า การปฏิบัติงานต่างๆ จะบรรลุผลตามกลยุทธ์และวัตถุประสงค์ที่กำหนดไว้ อีกทั้งยังทำการติดตามประเมินผลอย่างสม่ำเสมอ เพื่อให้เกิดความมั่นใจในระบบที่วางไว้ว่าได้ดำเนินการเป็นไปอย่างต่อเนื่อง และได้รับการแก้ไขปรับปรุงอย่างสม่ำเสมอ
ในปี 2553 บริษัทฯ ได้อนุมัติงบประมาณในการจัดให้มีการตรวจคุณภาพด้านการตรวจสอบภายใน โดยใช้องค์กรอิสระจากภายนอกเป็นผู้ประเมิน เพื่อเป็นการยกระดับมาตรฐานด้านคุณภาพของหน่วยงานตรวจสอบภายใน โดยจะมีการตรวจประเมินคุณภาพ (Quality Assessment Review, QAR) ในปี 2554
ในการตรวจประเมินความมีประสิทธิผลของระบบการบริหารความเสี่ยง หน่วยงานตรวจสอบภายในได้ดำเนินการสอบทานตัวบ่งชี้เหตุการณ์หรือปัจจัยเสี่ยงที่ส่งผลกระทบต่อวัตถุประสงค์ และแนวทางการบริหารความเสี่ยงของผู้ปฏิบัติงาน เพื่อให้มั่นใจว่ามีการระบุและประเมินความเสี่ยงได้อย่างถูกต้องเหมาะสม และมีการบริหารความเสี่ยงที่เป็นระบบสามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ และมีการรายงานอย่างครบถ้วนทันเวลาพร้อมทั้งยังมีการติดตามสอบทานความเสี่ยงอย่างต่อเนื่องสม่ำเสมอ
ในการตรวจประเมินความมีประสิทธิผลของระบบการควบคุมภายใน หน่วยงานตรวจสอบภายในได้จัดทำแบบประเมินความเพียงพอของระบบการควบคุมภายในของแต่ละระบบงานตามกรอบแนวทาง COSO-ERM รวมทั้งได้ทำการสอบทานผลการปฏิบัติงาน และสนับสนุนให้แต่ละหน่วยงานมีการประเมินตนเองในการควบคุมในแต่ละขั้นตอน เพื่อให้มั่นใจว่า บริษัทฯ จะสามารถบรรลุวัตถุประสงค์ที่ตั้งไว้อย่างมีประสิทธิภาพและประสิทธิผล โดยปฏิบัติตามกฎ ระเบียบ ข้อบังคับต่างๆ อย่างเคร่งครัด และรายงานทางการเงินมีความถูกต้องน่าเชื่อถือ
ในการตรวจประเมินความมีประสิทธิผลของระบบการกำกับดูแลกิจการ หน่วยงานตรวจสอบภายในได้ตรวจประเมินการกำกับดูแลกิจการ ตามหลักการกำกับดูแลกิจการที่ดีขององค์กรเพื่อความร่วมมือและพัฒนาทางเศรษฐกิจ
(The Organization for Economic Co-Operation and Development OECD)และตลาดหลักทรัพย์แห่งประเทศไทยเป็นเกณฑ์ เพื่อให้มั่นใจว่า บริษัทฯ มีโครงสร้างและการสนับสนุนของกระบวนการที่จำเป็นในการนำไปสู่ผลสำเร็จของการกำกับดูแลที่ดีและโปร่งใสและให้ความเป็นธรรมเท่าเทียมกัน ตลอดจนมีการนำทรัพยากรไปใช้อย่างมีประสิทธิภาพ ประสิทธิผล ตรงตามวัตถุประสงค์ เพื่อก่อให้เกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียทุกฝ่าย
(The Organization for Economic Co-Operation and Development OECD)และตลาดหลักทรัพย์แห่งประเทศไทยเป็นเกณฑ์ เพื่อให้มั่นใจว่า บริษัทฯ มีโครงสร้างและการสนับสนุนของกระบวนการที่จำเป็นในการนำไปสู่ผลสำเร็จของการกำกับดูแลที่ดีและโปร่งใสและให้ความเป็นธรรมเท่าเทียมกัน ตลอดจนมีการนำทรัพยากรไปใช้อย่างมีประสิทธิภาพ ประสิทธิผล ตรงตามวัตถุประสงค์ เพื่อก่อให้เกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียทุกฝ่าย
ในการตรวจประเมินความเสี่ยงด้านการทุจริตจากภายนอกและภายในองค์กร หน่วยงานตรวจสอบภายในได้ตรวจประเมินความเสี่ยงด้านการทุจริต เพื่อช่วยบ่งชี้สิ่งบอกเหตุและประเมินความเป็นไปได้ในเรื่องการทุจริตจากภายนอกและภายในองค์กร และพิจารณามาตรการป้องกันและการควบคุมให้มีประสิทธิภาพสูงสุด เพื่อให้มั่นใจได้ว่าบริษัทจะสามารถป้องกันและควบคุมเพื่อให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้
ในการตรวจประเมินตนเองในการควบคุม (CSA) หน่วยงานตรวจสอบภายในได้สนับสนุนการตรวจประเมินตนเองในการควบคุมการปฏิบัติงานของแต่ละหน่วยงาน โดยให้คำปรึกษาแนะนำ จัดให้มีการฝึกอบรม การใช้เครื่องมือที่มีประสิทธิผลในการประเมิน จัดให้มีการทำกรณีศึกษา เพื่อให้หน่วยงานต่างๆมีมาตรการควบคุมตนเองที่ดีรวมอยู่ในระบบปฏิบัติงานที่ดี และสามารถบริหารความเสี่ยงที่สำคัญได้อย่างมีประสิทธิภาพ ทันเวลา โดยให้ความเชื่อมั่นว่า การปฏิบัติงานของหน่วยงานต่างๆ จะสามารถบรรลุผลตามกลยุทธ์และวัตถุประสงค์ที่กำหนดไว้ได้ ภายในระยะเวลาที่กำหนด
นอกจากนี้หัวหน้าหน่วยงานตรวจสอบภายใน ได้ปฏิบัติหน้าที่เป็นเลขานุการของคณะกรรมการตรวจสอบ
เพื่อสนับสนุนภาระหน้าที่และความรับผิดชอบทุกหน้าที่ของคณะกรรมการตรวจสอบที่ได้รับมอบหมายมาจากคณะกรรมการบริษัทให้มีประสิทธิผล โดยจัดให้มีการประชุมคณะกรรมการตรวจสอบเดือนละ 1 ครั้ง และยังมีบทบาทในการให้คำปรึกษาแนะนำในด้านต่างๆ โดยร่วมเป็นกรรมการของคณะกรรมการบริหารความเสี่ยง คณะกรรมการด้านความปลอดภัยระบบสารสนเทศของบริษัทฯ เพื่อให้ข้อเสนอแนะที่เป็นประโยชน์ต่อองค์กร
เพื่อสนับสนุนภาระหน้าที่และความรับผิดชอบทุกหน้าที่ของคณะกรรมการตรวจสอบที่ได้รับมอบหมายมาจากคณะกรรมการบริษัทให้มีประสิทธิผล โดยจัดให้มีการประชุมคณะกรรมการตรวจสอบเดือนละ 1 ครั้ง และยังมีบทบาทในการให้คำปรึกษาแนะนำในด้านต่างๆ โดยร่วมเป็นกรรมการของคณะกรรมการบริหารความเสี่ยง คณะกรรมการด้านความปลอดภัยระบบสารสนเทศของบริษัทฯ เพื่อให้ข้อเสนอแนะที่เป็นประโยชน์ต่อองค์กร
หน่วยงานตรวจสอบภายใน ได้ยึดถือกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล
(The International Professional Practices Framework: IPPF) และปฏิบัติงานตามมาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (The International Standards for the Professional Practice of Internal Auditing), COSO-ERM, ISO 31000 ส่วนในด้านระบบสารสนเทศ ได้ปฏิบัติตามแนวทาง CobiT 4.1 IT Governance, ISO 17799 เป็นกรอบการปฏิบัติงานเพิ่มเติม เพื่อให้มั่นใจว่า
ระบบสารสนเทศของบริษัทฯ มีความปลอดภัยและมีการกำกับดูแลที่ดี อีกทั้งได้มุ่งเน้นการพัฒนางานตรวจสอบภายในให้มีคุณภาพเทียบเท่ามาตรฐานสากล โดยมีการประเมินคุณภาพภายในอย่างต่อเนื่องด้วยตนเอง ตลอดจนพนักงานตรวจสอบภายในทุกคนมีการปฏิบัติหน้าที่ที่เป็นอิสระ เที่ยงธรรม สอดคล้องตามประมวลจรรยาบรรณของผู้ตรวจสอบภายใน (Code of Ethics)
(The International Professional Practices Framework: IPPF) และปฏิบัติงานตามมาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (The International Standards for the Professional Practice of Internal Auditing), COSO-ERM, ISO 31000 ส่วนในด้านระบบสารสนเทศ ได้ปฏิบัติตามแนวทาง CobiT 4.1 IT Governance, ISO 17799 เป็นกรอบการปฏิบัติงานเพิ่มเติม เพื่อให้มั่นใจว่า
ระบบสารสนเทศของบริษัทฯ มีความปลอดภัยและมีการกำกับดูแลที่ดี อีกทั้งได้มุ่งเน้นการพัฒนางานตรวจสอบภายในให้มีคุณภาพเทียบเท่ามาตรฐานสากล โดยมีการประเมินคุณภาพภายในอย่างต่อเนื่องด้วยตนเอง ตลอดจนพนักงานตรวจสอบภายในทุกคนมีการปฏิบัติหน้าที่ที่เป็นอิสระ เที่ยงธรรม สอดคล้องตามประมวลจรรยาบรรณของผู้ตรวจสอบภายใน (Code of Ethics)
นอกจากนี้ พนักงานของหน่วยงานตรวจสอบภายในยังได้รับการฝึกอบรมอย่างต่อเนื่องสม่ำเสมอ
ตามแผนการฝึกอบรมแบบรายบุคคล (Individual Development Plan) รวมถึงการพัฒนาสอบ
ตามแผนการฝึกอบรมแบบรายบุคคล (Individual Development Plan) รวมถึงการพัฒนาสอบ
วุฒิบัตรต่างๆ โดยปัจจุบัน หน่วยงานตรวจสอบภายในมีผู้มีวุฒิบัตร CIA (Certified Internal Auditor) จำนวน 5 ท่าน วุฒิบัตร CISA (Certified Information System Auditor)จำ 3 ท่าน วุฒิบัตร CISSP (Certified Information Systems Security Professional) จำนวน 1 ท่าน วุฒิบัตร CPA (Certified Public Accountant) จำนวน 3 ท่าน วุฒิบัตร TA (Tax Auditor)
จำนวน 1 ท่าน โดยเจ้าหน้าที่อีกจำนวนหนึ่งอยู่ระหว่างการพัฒนาให้มีวุฒิบัตร CIA, CISA, CCSA
9*(The Certification in Control Self-Assessment) อย่างต่อเนื่อง เพื่อให้มั่นใจว่า การปฏิบัติงานของหน่วยงานตรวจสอบภายใน จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ อีกทั้งยังสามารถสนับสนุนการกำกับดูแลที่ดีและเพิ่มคุณค่าให้แก่บริษัทฯ ได้อย่างมีประสิทธิภาพประสิทธิผล
จำนวน 1 ท่าน โดยเจ้าหน้าที่อีกจำนวนหนึ่งอยู่ระหว่างการพัฒนาให้มีวุฒิบัตร CIA, CISA, CCSA
9*(The Certification in Control Self-Assessment) อย่างต่อเนื่อง เพื่อให้มั่นใจว่า การปฏิบัติงานของหน่วยงานตรวจสอบภายใน จะสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ อีกทั้งยังสามารถสนับสนุนการกำกับดูแลที่ดีและเพิ่มคุณค่าให้แก่บริษัทฯ ได้อย่างมีประสิทธิภาพประสิทธิผล
ที่มา บมจ. แอดวานซ์ อินโฟร์ เซอร์วิส
เขียนโดย น.ส. กัญญาณัฐ มั่นเพ็ชร
น.ส. ชุติมา นากร
ไม่มีความคิดเห็น:
แสดงความคิดเห็น