การตรวจสอบการปฏิบัติตามข้อกำหนด Compliance Audit

การตรวจสอบการปฏิบัติตามข้อกำหนด Compliance Audit

เมื่ออาทิตย์ที่ผ่านมา ผมได้ไปบรรยายหัวข้อเรื่อง การตรวจสอบการปฏิบัติตามข้อกำหนด Compliance Audit หลักสูตร CPIAT ของสมาคมผู้ตรวจสอบภายใน ถือโอกาสนำเนื้อหาที่น่าสนใจมาเรียบเรียงให้เพื่อนๆ ได้ศึกษา หาความรู้ในเรื่องของการตรวจสอบการปฏิบัติตามข้อกำหนด หรือ Compliance Audit กัน

หากพิจารณาง่ายๆ Compliance ก็มาจากคำศัพท์อย่าง Comply หรือ Comply with คือการทำตาม หรือปฏิบัติตามสิ่งใด สิ่งหนึ่ง ซึ่งหากนำมาเทียบเคียงในเชิงของการตรวจสอบภายใน Compliance audit ก็คือ การตรวจสอบการปฏิบัติข้อกำหนด ข้อกำหนดที่ว่าก็อาทิ กฎหมาย ระเบียบข้อบังคับ กฎระเบียบบริษัทฯ รวมถึง การปฏิบัติระเบียบปฏิบัติของบริษัทฯ ขั้นตอนหรือวิธีการทำงาน เป็นต้น

เป็นไงบ้างครับ…เราพอจะทราบถึงแนวคิดในเรื่องของการตรวจสอบการปฏิบัติตามข้อกำหนดแล้วหรือยัง ลองมาขยายความในส่วนนี้กันดูครับ

การกำกับและการตรวจสอบ

หากพิจารณาความแตกต่างระหว่าง การกำกับดูแล และการตรวจสอบ จะจำกัดความง่ายๆ ได้ดังนี้

  • การกำกับดูแล เป็นการกำหนดขอบเขต วิธีการปฎิบัติ ซึ่งจะให้เป็นการปฏิบัติตามสิ่งใด สิ่งหนึ่ง หรือเรื่องใด เรื่องหนึ่ง ทั้งนี้ ต้องทำการติดตามผลว่ามีการปฏิบัติตามขอบเขตที่กำหนดหรือไม่ เป็นไปตามวัตถุประสงค์ที่กำหนดหรือไม่
  • การตรวจสอบ เป็นวิธีการในการพิสูจน์ข้อเท็จจริงที่ต้องมีหลักฐานที่แน่ชัด เพื่อให้ผู้ตรวจสอบสามารถให้ความเห็นในเรื่องนั้นๆ ได้
  • ทั้งนี้ ทั้งการกำกับดูแล และการตรวจสอบ ความปฏิบัติงานตามหลักการประเมินความเสี่ยง (Risk Based Audit: RBA)
ประเภทของการตรวจสอบ ควรตรวจบนพื้นฐานของการประเมินความเสี่ยง
ประเภทของการตรวจสอบ ควรตรวจบนพื้นฐานของการประเมินความเสี่ยง

 พอพูดถึงการตรวจสอบในแบบ Compliance Audit คงจะหนีไม่พ้นด้วยการอธิบายเรื่องของ Three lines of defense model เป็น model ที่พวกเราผู้ตรวจสอบภายในควรเรียนรู้กันไว้นะครับ

Three lines of Defense Model การกำกับดูแลการปฏิบัติงาน Compliance Audit
Three lines of Defense Model การกำกับดูแลการปฏิบัติงาน Compliance Audit

จากภาพข้างต้น เมื่อเปรียบเทียบงานตรวจสอบ Audit และงานกำกับดูแลให้เป็นไปตามข้อกำหนด Compliance เราสามารถแบ่งระดับหรือส่วนงานความแตกต่างได้เป็น 3 ระดับใหญ่ๆ เรียกว่า Three lines of Defense Model อธิบายความสั้นๆ ง่ายๆ ได้แบบนี้ครับ

First line of defense : เป็น User หรือหน่วยงานปฏิบัติงานนั่นแหละครับ เราเรียกคนกลุ่มนี้ว่าเป็น Risk Owner หรือเจ้าของความเสี่ยง

Second line of defense : กลุ่มนี้เป็นคนที่ทำหน้าที่ในกระบวนการบริหารความเสี่ยง ทั้ง Compliance และ Risk Management เป็นผู้ที่จัดให้มีการกำหนดนโยบาย และกระบวนการบริหารจัดการความเสี่ยง

Third line of defense : กลุ่มนี้ก็คือพวกเรา Internal Auditor ผู้ตรวจสอบภายในนี่แหละครับ เป็นผู้ที่ติดตามการดำเนินงาน และผลของกระบวนการบริหารความเสี่ยง

ลองดูภาพ Three lines of Defense Model อธิบายเพิ่มเติมตามนี้ครับ

Three lines of Defense Model การกำกับดูแลการปฏิบัติงาน Compliance Audit
Three lines of Defense Model การกำกับดูแลการปฏิบัติงาน Compliance Audit

การตรวจสอบเชิงกำกับดูแล ต้องพิจารณาองค์ประกอบของโครงสร้าง ดังต่อไปนี้

  1. กลยุทธ์ และวิธีการดำเนินงาน
  2. กระบวนการปฏิบัติงาน
  3. การจัดโครงสร้าง
  4. การใช้ระบบสารสนเทศ
  5. การบริหารบุคคล
  6. กระบวนการติดตามผล

การกำกับการปฏิบัติงาน (Compliance unit) คืออะไร?

หมายถึง การกำกับการปฏิบัติงานให้เป็นไปตามข้อกำหนดของทางการกฎหมายที่เกี่ยวข้อง สัญญาที่มีข้อผูกพันตามเพื่อไม่ให้ให้การดำเนินงานของบริษัทมีความเสียหายอันเกิดจากการฝ่าฝืน

4 ขั้นตอนของการตรวจสอบการปฏิบัติให้เป็นไปตามข้อกำหนด Compliance audit ประกอบด้วยรายละเอียด ดังนี้

1. ประมวลข้อกำหนด Compliance Universe
ผู้ตรวจสอบภายใน ควรจะต้องรู้ว่ามีข้อบังคับอะไรบ้างที่องค์กรต้องปฏิบัติตาม
สิ่งที่สำคัญที่สุด คือความครอบถ้วนของกฎระเบียบ ข้อบังคับ ถ้าเราประมวลไม่ครบถ้วน นั่นหมายความว่าขอบเขตการตรวจสอบอาจไม่ครอบคลุมความเสี่ยงสำคัญที่ควรจะตรวจ กระบวนการนี้เป็นการประมวลข้อกำหนดของทางการที่ใช้บังคับทั้งหมด เกี่ยวกับกิจกรรมที่จะตรวจสอบ หรือใช้ Compliance Risk Profile / Compliance Universe (ถ้ามีอยู่แล้ว – กรณีที่มีหน่วยงานบริหารความเสี่ยง)

  • ตัวอย่าง Compliance Risk Profile
ตัวอย่าง Compliance risk profile
ตัวอย่าง Compliance risk profile

2. วิเคราะห์ข้อกำหนด โดยนำหลักกฎหมาย หรือกฎระเบียบข้อบังคับมาวิเคราะห์ และนำ Compliance risk profile มาวิเคราะห์กับลักษณะธุรกิจขององค์กรของเพื่อนๆ ดังตารางที่มีรายละเอียดที่ผมนำมาแสดงให้เป็นตัวอย่าง ดังนี้

  • ตัวอย่างสรุปรายการข้อกฎหมายที่ต้องปฏิบัติตาม และข้อห้าม

do-donot-risk

Compliance Control
Compliance Control

 

3. จัดให้มีระบบการควบคุมภายใน นั่นคือ จัดให้มี Compliance Control มาดูว่าในแต่ละข้อกำหนด หรือกลุ่มข้อกำหนด หรือกฎระเบียบต่างๆ โดยดูว่ามีระบบการควบคุมภายในอะไรหรือไม่ ถ้ามีก็ควรประเมินว่าเพียงพอหรือไม่ แต่หากไม่มี เพื่อนๆ ในฐานะผู้ตรวจสอบภายในก็ควรกำหนดให้มีระบบการควบคุมภายในที่เหมาะสมขึ้นมา

4. การติดตามและประเมินผล Monitoring แน่นอนครับ ในงานตรวจสอบภายในไม่ว่าจะเป็นงานตรวจสอบประเภทใดก็ตาม ต้องมีการติดตามและประเมินผลเพื่อให้เชื่อมั่นได้ว่า ความเสี่ยง หรือประเด็น หรือข้อกำหนดต่างๆ ทางหน้างานได้ปฏิบัติตามได้อย่างเหมาะสม ไม่เกิดเป็นประเด็น หรือเกิดความผิดพลาดในระดับที่รับได้ ดังนั้น การติดตามและประเมินผลจึงเป็นเรื่องสำคัญในงานตรวจสอบภายใน

ก็เป็นเนื้อหาคร่าวๆ เกี่ยวกับงาน Compliance audit ที่เพื่อนๆ น่าจะได้รับความรู้ นำไปประยุกต์ใช้ต่อได้นะครับ

 สนใจบริการงานตรวจสอบภายใน ติดต่อ e-mail: info@risklesssolutions.com

Comments

comments

(Visited 2,058 times, 1 visits today)

Leave a Reply

Your email address will not be published. Required fields are marked *