การควบคุมภายในทางการเงิน – กลไกสำคัญในการลดความเสี่ยงและสร้างความเชื่อมั่นให้ผู้บริหาร
การควบคุมภายในทางการเงิน (Financial Internal Control) คือระบบของนโยบาย กระบวนการ หน้าที่ความรับผิดชอบ การอนุมัติ การตรวจสอบทาน หลักฐาน และการควบคุมระบบสารสนเทศที่ออกแบบขึ้นเพื่อให้ธุรกรรมทางการเงินขององค์กรถูกบันทึกอย่างถูกต้อง ครบถ้วน ทันเวลา ได้รับอนุมัติโดยผู้มีอำนาจ และสามารถตรวจสอบย้อนกลับได้
ในมุมของผู้บริหาร การควบคุมภายในทางการเงินไม่ใช่งานเอกสารของฝ่ายบัญชี แต่เป็นกลไกกำกับดูแลที่ช่วยปกป้องทรัพย์สิน ลดความเสี่ยงจากการทุจริต เพิ่มความน่าเชื่อถือของรายงานทางการเงิน สนับสนุนการปฏิบัติตามกฎหมายและข้อกำหนด และทำให้คณะกรรมการมีความมั่นใจว่าการตัดสินใจทางธุรกิจตั้งอยู่บนข้อมูลที่เชื่อถือได้
บริบทของปัญหา: ความเสี่ยงทางการเงินมักเริ่มจากจุดเล็กในกระบวนการประจำวัน
ความผิดพลาดทางการเงินจำนวนมากไม่ได้เริ่มจากเหตุการณ์ใหญ่ แต่เกิดจากช่องว่างเล็ก ๆ เช่น อนุมัติรายการโดยไม่มีหลักฐาน แยกหน้าที่ไม่ชัดเจน ผู้ใช้งานมีสิทธิ์ในระบบ ERP มากเกินจำเป็น ไม่มีการกระทบยอดบัญชีอย่างสม่ำเสมอ รายการ Manual Journal ไม่ถูกทบทวน รายงานการเงินดึงข้อมูลจากหลายแหล่งโดยไม่มีเจ้าของข้อมูล หรือกระบวนการปิดบัญชีพึ่งพาบุคคลสำคัญเพียงไม่กี่คน
COSO Internal Control – Integrated Framework เป็นกรอบสากลที่ใช้กันอย่างแพร่หลายในการออกแบบ ประเมิน และปรับปรุงระบบควบคุมภายใน ครอบคลุมวัตถุประสงค์ด้านการดำเนินงาน การรายงาน และการปฏิบัติตามข้อกำหนด โดย COSO ระบุองค์ประกอบสำคัญ 5 ด้าน ได้แก่ Control Environment, Risk Assessment, Control Activities, Information and Communication และ Monitoring Activities
PCAOB AS 2201 อธิบาย Internal Control over Financial Reporting (ICFR) ว่าเป็นกระบวนการที่ออกแบบเพื่อให้ความเชื่อมั่นอย่างสมเหตุสมผลต่อความน่าเชื่อถือของรายงานทางการเงินและการจัดทำงบการเงินตามหลักการบัญชีที่เกี่ยวข้อง ขณะที่ SEC Thailand ระบุบทบาทของคณะกรรมการตรวจสอบในการทบทวนกระบวนการรายงานทางการเงินและดูแลให้บริษัทมีระบบควบคุมภายในที่มีประสิทธิภาพ
สาระสำคัญสำหรับผู้บริหาร: การควบคุมภายในทางการเงินที่ดีไม่ควรทำให้ธุรกิจช้าลง แต่ควรทำให้ผู้บริหารเห็นความเสี่ยงเร็วขึ้น ตัดสินใจมั่นใจขึ้น และลดต้นทุนจากความผิดพลาด การตรวจสอบซ้ำ และการแก้ไขปัญหาหลังเกิดเหตุ
การควบคุมภายในทางการเงินหมายถึงอะไร
การควบคุมภายในทางการเงินหมายถึง Control ที่เกี่ยวข้องกับการรับรู้ วัดมูลค่า บันทึก อนุมัติ สรุป และรายงานธุรกรรมทางการเงินขององค์กร รวมถึงการควบคุมที่ช่วยป้องกันหรือตรวจพบข้อผิดพลาด การทุจริต การใช้ทรัพย์สินโดยไม่ได้รับอนุญาต และการจัดทำรายงานทางการเงินที่ไม่น่าเชื่อถือ
ขอบเขตของ Financial Internal Control จึงครอบคลุมตั้งแต่ Procure-to-Pay, Order-to-Cash, Record-to-Report, Payroll, Inventory, Fixed Assets, Treasury, Tax, Budgeting, Financial Close, Management Reporting และ Board Reporting ไปจนถึงการควบคุมระบบ ERP และระบบสารสนเทศที่สร้างหรือประมวลผลข้อมูลทางการเงิน
ในองค์กรที่มีความซับซ้อน การควบคุมภายในทางการเงินควรถูกออกแบบตามแนวคิด Risk-based Control กล่าวคือไม่ควรควบคุมทุกอย่างด้วยความเข้มเท่ากัน แต่ควรระบุจุดที่มีความเสี่ยงสูง เช่น รายได้ ต้นทุน สินค้าคงเหลือ เงินสด เจ้าหนี้ ลูกหนี้ รายการกับบุคคลที่เกี่ยวข้อง Manual Journal, Management Override, User Access และการเปลี่ยนแปลง Master Data แล้วออกแบบ Key Controls ให้เหมาะสมกับระดับความเสี่ยง
กระบวนการดำเนินงานและมาตรฐานที่องค์กรต้องมี
ระบบควบคุมภายในทางการเงินควรมีทั้ง Preventive Control, Detective Control และ Corrective Control โดยเชื่อมกับเจ้าของงาน หลักฐาน รอบเวลาทบทวน และการติดตามผลการแก้ไขอย่างชัดเจน
| องค์ประกอบการควบคุม | กระบวนการหรือมาตรฐานที่ควรมี | คุณค่าต่อองค์กร |
|---|---|---|
| Control Environment | กำหนด Tone at the Top, Code of Conduct, Delegation of Authority, Financial Policy และความรับผิดชอบของผู้บริหาร | สร้างวัฒนธรรมที่ให้ความสำคัญกับความถูกต้อง ความโปร่งใส และการปฏิบัติตามกฎเกณฑ์ |
| Segregation of Duties (SoD) | แยกหน้าที่ระหว่างผู้ขอรายการ ผู้อนุมัติ ผู้บันทึกบัญชี ผู้จ่ายเงิน ผู้ดูแล Master Data และผู้กระทบยอด | ลดโอกาสที่บุคคลเดียวจะสร้าง อนุมัติ และปกปิดรายการผิดปกติได้โดยลำพัง |
| Approval and Delegation of Authority | กำหนดวงเงินอนุมัติ ประเภทเอกสาร เงื่อนไขอนุมัติ และหลักฐานที่ต้องมีสำหรับธุรกรรมสำคัญ | ทำให้การใช้จ่าย การรับรายได้ และการทำสัญญาเป็นไปตามอำนาจอนุมัติขององค์กร |
| Reconciliation and Review Control | กระทบยอดบัญชีธนาคาร ลูกหนี้ เจ้าหนี้ สินค้าคงเหลือ ภาษี และบัญชีพัก พร้อมหลักฐานการทบทวน | ตรวจพบความคลาดเคลื่อนเร็ว ลดรายการค้างสะสม และเพิ่มความน่าเชื่อถือของยอดบัญชี |
| Journal Entry Control | ควบคุม Manual Journal, Closing Entry, Adjusting Entry, Unusual Entry, Supporting Document และ Review Sign-off | ลดความเสี่ยงจากรายการปรับปรุงที่ไม่มีเหตุผลเพียงพอหรือเกิดจาก Management Override |
| ERP Controls and IT General Controls | ควบคุม User Access, Role Design, Change Management, Interface, Backup, Audit Trail, Report Logic และ Master Data | ทำให้ข้อมูลทางการเงินจากระบบสารสนเทศมีความครบถ้วน ถูกต้อง และป้องกันการแก้ไขโดยไม่ได้รับอนุญาต |
| Monitoring and Remediation | ติดตามผล Control Testing, Exception, Audit Finding, Issue Owner, Due Date และ Root Cause Remediation | ทำให้ปัญหาการควบคุมได้รับการแก้ไขที่สาเหตุ ไม่ใช่แก้เฉพาะรายการผิดพลาดเป็นครั้ง ๆ ไป |
หน่วยงานที่เกี่ยวข้องภายในองค์กร
การควบคุมภายในทางการเงินเป็นความรับผิดชอบร่วมของหลายหน่วยงาน เพราะข้อมูลทางการเงินเกิดจากธุรกรรมของทั้งองค์กร ไม่ได้เกิดขึ้นเฉพาะในฝ่ายบัญชี
- คณะกรรมการบริษัทและคณะกรรมการตรวจสอบ: กำกับดูแลคุณภาพรายงานทางการเงิน ความเพียงพอของระบบควบคุมภายใน และการแก้ไขข้อสังเกตสำคัญ
- ผู้บริหารสูงสุดและผู้บริหารการเงิน: กำหนดนโยบาย วงเงินอนุมัติ ความคาดหวังด้านความโปร่งใส และการใช้ข้อมูลทางการเงินเพื่อบริหารองค์กร
- ฝ่ายบัญชีและการเงิน: ดูแลการบันทึกบัญชี กระทบยอด ปิดบัญชี จัดทำรายงาน ควบคุม Journal Entry และเตรียมหลักฐานตรวจสอบ
- ฝ่ายจัดซื้อ ฝ่ายขาย คลังสินค้า และปฏิบัติการ: เป็นเจ้าของธุรกรรมต้นทางที่มีผลต่อรายได้ ต้นทุน สินค้าคงเหลือ เจ้าหนี้ ลูกหนี้ และค่าใช้จ่าย
- ฝ่ายทรัพยากรบุคคล: ควบคุมข้อมูลเงินเดือน สวัสดิการ ค่าใช้จ่ายพนักงาน และการอนุมัติที่เกี่ยวข้องกับ Payroll
- ฝ่ายเทคโนโลยีสารสนเทศ: ดูแล ERP, Access Control, System Change, Interface, Backup, Logging และความมั่นคงปลอดภัยของข้อมูลการเงิน
- ฝ่ายบริหารความเสี่ยงและ Compliance: เชื่อม Financial Controls กับ Enterprise Risk Management, Regulatory Compliance และ GRC
- ฝ่ายตรวจสอบภายใน: ประเมินประสิทธิผลของ Control ทดสอบหลักฐาน รายงานข้อค้นพบ และติดตามการแก้ไข
- ผู้สอบบัญชีภายนอก: ใช้ความเข้าใจเรื่อง ICFR และ Control Environment เพื่อประเมินความเสี่ยงและกำหนดแนวทางตรวจสอบงบการเงิน
ขอบเขตงานที่ควรครอบคลุม
การประเมินและพัฒนาการควบคุมภายในทางการเงินควรครอบคลุมทั้งระดับนโยบาย กระบวนการ ธุรกรรม ระบบสารสนเทศ และการติดตามผล เพื่อให้เห็นภาพความเสี่ยงตั้งแต่ต้นทางถึงรายงานสุดท้าย
- Financial Control Diagnostic: ประเมินสถานะปัจจุบันของนโยบาย กระบวนการ Control Owner, Evidence, Exception และ Control Gap
- Risk and Control Matrix Development: จัดทำ Risk Control Matrix สำหรับกระบวนการสำคัญ เช่น Revenue, Procurement, Payment, Inventory, Payroll, Fixed Assets และ Financial Close
- Segregation of Duties Review: ตรวจสอบการแยกหน้าที่ในกระบวนการและสิทธิ์ในระบบ ERP เพื่อระบุ Conflict ที่อาจนำไปสู่ความเสี่ยงทุจริตหรือข้อผิดพลาด
- ICFR Assessment: ประเมิน Key Controls ที่มีผลต่อความน่าเชื่อถือของรายงานทางการเงินตามแนวทาง COSO และข้อพิจารณาของผู้สอบบัญชี
- ERP and IT Control Review: ทบทวน User Access, Change Management, Interface Control, Master Data, Audit Trail, Backup และ Report Logic
- Control Testing and Evidence Review: ทดสอบการทำงานของ Control จากหลักฐานจริง เช่น การอนุมัติ การกระทบยอด การทบทวนรายงาน และ Log จากระบบ
- Remediation Roadmap: จัดลำดับความสำคัญของช่องว่าง วางแผนแก้ไข กำหนดเจ้าของงาน ระยะเวลา และตัวชี้วัดการติดตาม
ปัญหา ความเสี่ยง และผลกระทบทางธุรกิจ
เมื่อการควบคุมภายในทางการเงินอ่อนแอ องค์กรอาจไม่เห็นความผิดพลาดจนกระทบงบการเงิน กระแสเงินสด ชื่อเสียง หรือการตัดสินใจของผู้บริหาร
- รายงานทางการเงินผิดพลาด: รายได้ ค่าใช้จ่าย สินทรัพย์ หนี้สิน หรือภาษีอาจถูกบันทึกผิดงวด ผิดประเภท หรือไม่มีหลักฐานเพียงพอ
- ทุจริตและใช้ทรัพย์สินโดยไม่ได้รับอนุญาต: หากไม่มี SoD และ Approval Control ที่ดี อาจเกิดการจ่ายเงินซ้ำ สร้างเจ้าหนี้ปลอม แก้ไขบัญชีธนาคารคู่ค้า หรือยักยอกทรัพย์สิน
- ความเสี่ยงจากระบบ ERP: สิทธิ์ผู้ใช้งานเกินจำเป็น การแก้ Master Data โดยไม่มีการอนุมัติ หรือ Report Logic ไม่ถูกต้องทำให้ข้อมูลการเงินคลาดเคลื่อน
- ข้อสังเกตจากผู้สอบบัญชี: Control ไม่ทำงาน หลักฐานไม่ครบ หรือรายการผิดปกติจำนวนมากอาจนำไปสู่ Audit Finding, Management Letter Issue หรือ Material Weakness
- การตัดสินใจผิด: ผู้บริหารอาจตัดสินใจด้านราคา ต้นทุน เงินสด การลงทุน หรือการขยายธุรกิจจากข้อมูลที่ไม่สะท้อนความจริง
- ต้นทุนการปฏิบัติงานสูง: ทีมงานต้องแก้รายการย้อนหลัง ค้นหาเอกสารซ้ำ และตอบคำถามผู้สอบบัญชีจำนวนมาก
- ความเสี่ยงด้านกฎระเบียบ: การไม่ปฏิบัติตามข้อกำหนดบัญชี ภาษี สัญญาเงินกู้ หรือข้อกำหนดหน่วยงานกำกับอาจนำไปสู่ค่าปรับและความเสียหายด้านชื่อเสียง
แนวทางการให้บริการ: ออกแบบ Control ให้เหมาะกับความเสี่ยงจริงขององค์กร
การให้คำปรึกษาด้านการควบคุมภายในทางการเงินควรเริ่มจากการเข้าใจธุรกิจ กระบวนการ ระบบ และรูปแบบความเสี่ยงขององค์กร ไม่ควรนำแบบฟอร์มมาตรฐานมาใช้โดยไม่ปรับให้เข้ากับบริบท เพราะ Control ที่มากเกินไปจะสร้างภาระ แต่ Control ที่น้อยเกินไปจะเปิดช่องให้เกิดความเสียหาย
| บริการหรือกิจกรรม | แนวทางดำเนินงาน | ผลลัพธ์ที่คาดหวัง |
|---|---|---|
| Financial Internal Control Assessment | ประเมินนโยบาย กระบวนการ Control Owner, Evidence, Exception, Approval และ Monitoring ในกระบวนการการเงินหลัก | เห็นจุดอ่อนของ Control และลำดับความสำคัญของความเสี่ยงที่ต้องแก้ไข |
| Risk Control Matrix and ICFR Design | ออกแบบ Risk Control Matrix, Key Controls, Control Frequency, Evidence, Control Testing และ Remediation Plan | มีโครงสร้าง ICFR ที่ตรวจสอบได้และเชื่อมกับความเสี่ยงทางรายงานการเงิน |
| Segregation of Duties and Access Review | วิเคราะห์บทบาท หน้าที่ และสิทธิ์ในระบบ ERP เพื่อระบุ SoD Conflict และสิทธิ์เกินจำเป็น | ลดโอกาสทุจริตหรือแก้ไขข้อมูลโดยไม่มีการตรวจพบ |
| Financial Close Control Improvement | ปรับปรุง Close Calendar, Reconciliation, Journal Entry, Review Sign-off, Supporting Evidence และ Exception Tracking | ปิดบัญชีได้เร็วขึ้น มีหลักฐานพร้อมขึ้น และลดข้อผิดพลาดช่วงท้ายงวด |
| ERP and IT General Controls Review | ทบทวน Access Control, Change Management, Interface, Backup, Log Monitoring, Report Configuration และ Master Data Control | เพิ่มความน่าเชื่อถือของข้อมูลทางการเงินที่มาจากระบบสารสนเทศ |
| Control Testing and Audit Readiness | ทดสอบ Control จากหลักฐานจริง จัดเตรียม PBC List, Evidence Package และแนวทางตอบข้อสังเกตผู้สอบบัญชี | ลดความเสี่ยงจาก Audit Finding และเพิ่มความพร้อมต่อการตรวจสอบ |
มาตรฐานสากลและกรอบการกำกับดูแลที่เกี่ยวข้อง
การควบคุมภายในทางการเงินควรอ้างอิงมาตรฐานและกรอบการกำกับดูแลที่ได้รับการยอมรับ เพื่อให้ผู้บริหาร คณะกรรมการตรวจสอบ และผู้สอบบัญชีมีภาษาเดียวกันในการประเมินความเสี่ยงและความเพียงพอของ Control
- COSO Internal Control – Integrated Framework: กรอบหลักสำหรับออกแบบและประเมินระบบควบคุมภายใน ครอบคลุมสภาพแวดล้อมการควบคุม การประเมินความเสี่ยง กิจกรรมควบคุม สารสนเทศและการสื่อสาร และการติดตามผล
- PCAOB AS 2201: มาตรฐานที่อธิบายการตรวจสอบ Internal Control over Financial Reporting ที่บูรณาการกับการตรวจสอบงบการเงิน
- IFRS Conceptual Framework: อธิบายคุณลักษณะของข้อมูลทางการเงินที่มีประโยชน์ เช่น Relevance, Faithful Representation, Comparability, Verifiability, Timeliness และ Understandability
- TFRS and IFRS: มาตรฐานการรายงานทางการเงินที่เป็นฐานในการรับรู้ วัดมูลค่า นำเสนอ และเปิดเผยข้อมูลทางการเงิน
- SEC Thailand Audit Committee Guidance: แนวทางบทบาทคณะกรรมการตรวจสอบในการทบทวนกระบวนการรายงานทางการเงินและระบบควบคุมภายใน
- COBIT: กรอบการกำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับ ERP, Data, Access Rights และ IT Controls
- ITIL: แนวปฏิบัติด้าน IT Service Management ที่เกี่ยวข้องกับ Incident, Change, Release และ Service Continuity ของระบบการเงิน
- ISO/IEC 27001 และ NIST Cybersecurity Framework: กรอบด้านความมั่นคงปลอดภัยสารสนเทศที่ช่วยคุ้มครองข้อมูลทางการเงินจากการเข้าถึง แก้ไข หรือเปิดเผยโดยไม่ได้รับอนุญาต
ผลลัพธ์ที่ลูกค้าจะได้รับ
ผลลัพธ์ของงานพัฒนาการควบคุมภายในทางการเงินควรเป็นสิ่งที่ผู้บริหารนำไปใช้บริหารความเสี่ยง ติดตามการแก้ไข และสื่อสารกับคณะกรรมการตรวจสอบได้จริง
- Financial Internal Control Assessment Report: รายงานสถานะปัจจุบัน จุดแข็ง ช่องว่าง ความเสี่ยง และข้อเสนอแนะตามลำดับความสำคัญ
- Risk Control Matrix: ตารางเชื่อมโยงความเสี่ยงทางการเงินกับ Key Controls, Control Owner, Evidence และ Testing Approach
- Segregation of Duties Conflict Report: รายงานความขัดแย้งของหน้าที่และสิทธิ์ในระบบ ERP พร้อมแนวทางลดความเสี่ยง
- ICFR Improvement Roadmap: แผนปรับปรุง Control ตามระดับความเสี่ยง ระยะเวลา เจ้าของงาน และตัวชี้วัดการติดตาม
- ERP and IT Control Findings: ข้อค้นพบเกี่ยวกับ Access, Change, Interface, Master Data, Backup, Audit Trail และ Report Logic
- Control Testing Results: ผลการทดสอบ Control จากหลักฐานจริง พร้อมข้อเสนอแนะในการแก้ไข
- Audit Committee Reporting Pack: ชุดรายงานสำหรับคณะกรรมการตรวจสอบที่สรุปความเสี่ยง ประเด็นสำคัญ สถานะแก้ไข และผลกระทบต่อรายงานทางการเงิน
ตัวชี้วัดที่ผู้บริหารควรติดตาม
ระบบควบคุมภายในทางการเงินที่ดีควรถูกติดตามด้วยตัวชี้วัดที่ชัดเจน เพื่อให้ผู้บริหารเห็นแนวโน้มความเสี่ยงก่อนกลายเป็นปัญหาใหญ่
- Control Testing Pass Rate: สัดส่วน Key Controls ที่ทำงานตามที่ออกแบบและมีหลักฐานครบถ้วน
- High-risk SoD Conflict: จำนวนความขัดแย้งของหน้าที่หรือสิทธิ์ในระบบที่มีความเสี่ยงสูง
- Manual Journal Exception: จำนวนรายการ Manual Journal ที่ผิดปกติ มูลค่าสูง หรือหลักฐานไม่ครบ
- Reconciliation Aging: อายุของรายการค้างกระทบยอดที่ยังไม่ได้แก้ไข
- Post-close Adjustment: จำนวนและมูลค่ารายการปรับปรุงหลังปิดบัญชี
- Access Review Completion: อัตราการทบทวนสิทธิ์ผู้ใช้งานระบบการเงินและ ERP ตามรอบที่กำหนด
- Audit Finding Closure Rate: อัตราการปิดข้อสังเกตจากผู้สอบบัญชี ฝ่ายตรวจสอบภายใน หรือหน่วยงานกำกับ
- Repeat Finding Rate: สัดส่วนข้อค้นพบที่เกิดซ้ำ ซึ่งสะท้อนว่าการแก้ไขยังไม่ถึงสาเหตุราก
คุณค่าที่องค์กรจะได้รับ
ลดความเสี่ยง: Control ที่เหมาะสมช่วยลดความเสี่ยงจากรายงานผิดพลาด ทุจริต การใช้ทรัพย์สินโดยไม่ได้รับอนุญาต และความไม่ครบถ้วนของหลักฐาน
เพิ่มประสิทธิภาพการกำกับดูแล: ผู้บริหารและคณะกรรมการตรวจสอบได้รับข้อมูลที่ชัดเจนเกี่ยวกับความเสี่ยง ประเด็นควบคุม และสถานะแก้ไข
สนับสนุนการปฏิบัติตามข้อกำหนด: องค์กรสามารถแสดงหลักฐานการควบคุมต่อผู้สอบบัญชี หน่วยงานกำกับ ธนาคาร หรือผู้มีส่วนได้เสียได้ดีขึ้น
เพิ่มความน่าเชื่อถือของรายงานทางการเงิน: รายงานที่มาจากกระบวนการและระบบที่ควบคุมได้ช่วยให้ผู้บริหารตัดสินใจด้วยความมั่นใจ
สนับสนุนความต่อเนื่องทางธุรกิจ: เมื่อ Control ไม่พึ่งพาบุคคลใดบุคคลหนึ่งมากเกินไป และมีหลักฐาน Workflow และ Monitoring ที่ชัดเจน องค์กรจะรับมือกับการเปลี่ยนแปลงบุคลากร ระบบ หรือเหตุขัดข้องได้ดีขึ้น
เหตุผลที่องค์กรควรดำเนินการ
องค์กรควรประเมินการควบคุมภายในทางการเงินก่อนเกิดความเสียหายหรือก่อนผู้สอบบัญชีพบประเด็นซ้ำ เพราะการแก้ไขหลังเกิดปัญหามักมีต้นทุนสูง ทั้งในด้านเวลา ค่าใช้จ่าย ความเชื่อมั่น และชื่อเสียง
สัญญาณที่ควรเริ่มดำเนินการ ได้แก่ ปิดบัญชีล่าช้า รายการกระทบยอดค้างนาน Manual Journal จำนวนมาก สิทธิ์ในระบบไม่ชัดเจน พบ Audit Finding ซ้ำ ผู้บริหารไม่มั่นใจตัวเลข มีการเปลี่ยนระบบ ERP เตรียมเข้าตลาดทุน ควบรวมกิจการ หรือขยายสาขาอย่างรวดเร็ว
การพัฒนา Financial Internal Control จึงเป็นการลงทุนด้าน Governance และ Risk Management ที่ช่วยให้องค์กรเติบโตอย่างมีวินัย และทำให้ผู้บริหารสามารถใช้ข้อมูลทางการเงินเป็นฐานตัดสินใจได้อย่างมั่นใจ
คำถามสำคัญสำหรับผู้บริหารและคณะกรรมการตรวจสอบ
- องค์กรมี Risk Control Matrix สำหรับกระบวนการทางการเงินสำคัญครบถ้วนหรือไม่
- Key Controls ที่ผู้บริหารเชื่อว่ามีอยู่ ถูกทดสอบด้วยหลักฐานจริงครั้งล่าสุดเมื่อใด
- มีบุคคลใดสามารถสร้าง แก้ไข อนุมัติ และบันทึกรายการทางการเงินได้โดยไม่มีการตรวจพบหรือไม่
- สิทธิ์ในระบบ ERP และระบบการเงินได้รับการทบทวนอย่างสม่ำเสมอหรือยังคงสะสมสิทธิ์เดิมตามตำแหน่งเก่า
- Manual Journal, Post-close Adjustment และรายการผิดปกติถูกรายงานต่อผู้บริหารหรือคณะกรรมการตรวจสอบหรือไม่
- ข้อสังเกตจากผู้สอบบัญชีหรือฝ่ายตรวจสอบภายในได้รับการแก้ไขที่สาเหตุรากหรือเพียงแก้เฉพาะรายการที่พบ
- คณะกรรมการตรวจสอบได้รับรายงานสถานะ ICFR, Control Gap, SoD Conflict และ Remediation อย่างเป็นระบบหรือไม่
เอกสารอ้างอิงและแหล่งข้อมูลมาตรฐาน
เอกสารและแหล่งข้อมูลต่อไปนี้เป็นฐานอ้างอิงสำหรับการออกแบบและประเมิน Financial Internal Control, ICFR, ERP Controls, Audit Readiness และ Board Assurance
- COSO, Internal Control – Integrated Framework: https://www.coso.org/guidance-on-ic
- COSO, Internal Control overview: https://www.coso.org/internal-control
- PCAOB, AS 2201: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements: https://pcaobus.org/oversight/standards/auditing-standards/details/AS2201
- PCAOB, AS 2110: Identifying and Assessing Risks of Material Misstatement: https://pcaobus.org/oversight/standards/auditing-standards/details/AS2110
- IFRS Foundation, Conceptual Framework for Financial Reporting: https://www.ifrs.org/issued-standards/list-of-standards/conceptual-framework/
- IFRS Accounting Standards Navigator: https://www.ifrs.org/issued-standards/list-of-standards/
- สำนักงาน ก.ล.ต. ประเทศไทย, Audit Committee FAQ: https://www.sec.or.th/cgthailand/EN/Pages/FAQ/ACFAQ.aspx
- ISACA, COBIT: https://www.isaca.org/resources/cobit
- ITIL: https://www.axelos.com/certifications/itil-service-management
- ISO/IEC 27001 Information Security Management: https://www.iso.org/standard/27001
- NIST Cybersecurity Framework 2.0: https://www.nist.gov/cyberframework
บทสรุปสำหรับผู้บริหาร
การควบคุมภายในทางการเงินเป็นกลไกที่ทำให้ผู้บริหารและคณะกรรมการเชื่อมั่นได้ว่าธุรกรรมทางการเงินถูกอนุมัติ บันทึก รายงาน และตรวจสอบอย่างเหมาะสม ภายใต้ระบบที่มีเจ้าของงาน หลักฐาน และการติดตามผลชัดเจน
องค์กรที่ต้องการเติบโตอย่างมั่นคงควรพัฒนา Financial Internal Control, ICFR, Segregation of Duties, ERP Controls, Reconciliation, Journal Entry Control, Financial Close และ Audit Readiness ให้ทำงานร่วมกัน เพราะความแข็งแรงของ Control คือรากฐานของรายงานทางการเงินที่เชื่อถือได้ การลดความเสี่ยง และการตัดสินใจที่มีคุณภาพของผู้บริหาร
ติดต่อเพื่อรับคำปรึกษา
หากท่านต้องการรับคำปรึกษาทางด้านเทคนิคจากผู้เชี่ยวชาญ (Technical Expert Consultation) ในด้าน IT Audit, Cybersecurity, Governance, Risk & Compliance (GRC) หรือประเด็นที่เกี่ยวข้อง
กรุณาติดต่อผ่านช่องทางอย่างเป็นทางการของบริษัท ดังนี้
อีเมล: Support@inventsysgroup.com
โทรศัพท์: 080-935-4426