กับเบื้องหลัง “งานสอบทานระบบควบคุมภายในระดับหน่วยงาน” ของผู้ตรวจสอบภายใน
ลองตั้งคำถามกับตัวเองสักนิดว่า…
ทุกวันนี้ คุณกำลังจัดทำรายงานระบบควบคุมภายในตามแบบ ปค.4-1 และแบบ ปค.5-1 เพียงเพื่อให้ทันกำหนดส่ง หรือกำลังใช้รายงานเหล่านั้น เป็นเครื่องมือในการบริหารความเสี่ยงและพัฒนาหน่วยงานของคุณอย่างแท้จริง?
หลายคนอาจไม่เข้าใจ จนทำให้รู้สึกเบื่อกับการต้องจัดทำรายงานชุดนี้ในทุกปี จนมองว่าเป็นเพียงงานเอกสารอีกชิ้นหนึ่งที่ต้องเร่งทำให้เสร็จตามกำหนด แต่เคยสงสัยกันหรือไม่ว่า เหตุผลที่แท้จริงของการจัดทำรายงานเหล่านี้คืออะไร และเหตุใดผู้ตรวจสอบภายในจึงให้ความสำคัญกับกระบวนการจัดทำรายงานดังกล่าว
วันนี้ ผมอยากชวนทุกท่านมาดูเบื้องหลัง งานสอบทานระบบควบคุมภายในระดับหน่วยงาน ผ่านมุมมองของผู้ตรวจสอบภายใน (ซึ่งจะยกมาเพียงส่วนหนึ่งของกระบวนการทั้งหมด) เพื่อให้เห็นว่า สิ่งที่ผู้ตรวจสอบภายในมองหา ไม่ใช่เพียงความถูกต้องครบถ้วนของเอกสารเท่านั้น แต่รวมถึง ประสิทธิผลของระบบควบคุมภายใน ที่สามารถป้องกันความเสี่ยง ลดความผิดพลาด และสนับสนุนให้หน่วยงานบรรลุวัตถุประสงค์ได้อย่างมีประสิทธิภาพ
หากทุกท่านเข้าใจเจตนาที่แท้จริงของการจัดทำรายงานชุดนี้แล้ว “แผ่นกระดาษ” ที่หลายคนอาจมองว่าเป็นภาระ อาจกลายเป็น “เกราะคุ้มครอง” ที่ช่วยป้องกันปัญหาและสร้างความมั่นใจให้กับหน่วยงานของของท่านได้อย่างแท้จริง
ก่อนจะเล่าเรื่องเบื้องหลังการทำงาน ผมขออนุญาตพาทุกท่านย้อนกลับไปดู ที่มาและเจตนารมณ์ของกฎหมาย กันสักเล็กน้อย เพราะเมื่อเข้าใจจุดเริ่มต้นแล้ว จะทำให้เห็นภาพว่าเหตุใดหน่วยงานของรัฐจึงต้องจัดให้มีระบบการควบคุมภายใน ผมไม่ได้พาไปเปิดตำรากฎหมายแบบจริงจังนะครับ แต่จะสรุปเฉพาะประเด็นสำคัญที่ควรรู้ เพื่อให้เข้าใจภาพรวม ก่อนจะพาไปดูเบื้องหลังงานสอบทานของผู้ตรวจสอบภายในครับ
จุดเริ่มต้นของเรื่องนี้ มาจาก พระราชบัญญัติวินัยการเงินการคลังของรัฐ พ.ศ. 2561มาตรา 79 ซึ่งกำหนดให้หน่วยงานของรัฐต้องจัดให้มี การควบคุมภายใน การตรวจสอบภายใน และการบริหารจัดการความเสี่ยง โดยต้องดำเนินการตามมาตรฐานและหลักเกณฑ์ที่กระทรวงการคลังกำหนดต่อมา กระทรวงการคลังได้ออก หลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561 เพื่อกำหนดแนวทางให้หน่วยงานของรัฐจัดวางระบบการควบคุมภายใน ประเมินผลการควบคุมภายใน และจัดทำรายงานเสนอผู้บริหารและหน่วยงานที่เกี่ยวข้องตามหลักเกณฑ์ที่กำหนด เป็นประจำทุกปี
สำหรับมหาวิทยาลัย การดำเนินงานในเรื่องนี้เริ่มต้นจาก กำหนดให้หน่วยงานย่อยภายในมหาวิทยาลัยทั้งหมด เป็นผู้ประเมินระบบการควบคุมภายในของตนเองและจัดทำรายงานตามแบบที่มหาวิทยาลัยกำหนด ได้แก่ แบบ ปค.4-1 และแบบ ปค.5-1 จากนั้น มหาวิทยาลัยจะรวบรวมข้อมูลจากทุกหน่วยงานมาวิเคราะห์และบูรณาการ เพื่อจัดทำรายงานการประเมินผลการควบคุมภายในในภาพรวมของมหาวิทยาลัย ก่อนเสนอผู้บริหารและหน่วยงานที่เกี่ยวข้องต่อไป
ดังนั้น รายงานที่แต่ละหน่วยงานจัดทำขึ้น จึงไม่ใช่เพียงเอกสารของหน่วยงานนั้นเท่านั้นแต่เป็น “จิ๊กซอว์” ชิ้นสำคัญที่สะท้อนคุณภาพของระบบการควบคุมภายในของมหาวิทยาลัยทั้งองค์กร หากข้อมูลจากหน่วยงานมีความถูกต้อง ครบถ้วน และสะท้อนสภาพการดำเนินงานที่แท้จริง รายงานภาพรวมของมหาวิทยาลัยก็จะมีความน่าเชื่อถือ และสามารถใช้เป็นข้อมูลในการบริหารจัดการและพัฒนาองค์กรได้อย่างมีประสิทธิภาพ
ในส่วนของหน่วยตรวจสอบภายใน มีหน้าที่ สอบทานการประเมินผลการควบคุมภายในในภาพรวมของมหาวิทยาลัย เพื่อประกอบการรับรองรายงานการประเมินผลการควบคุมภายในของมหาวิทยาลัยก่อนเสนอผู้บริหารและหน่วยงานที่เกี่ยวข้องดังนั้น การสอบทานของผู้ตรวจสอบภายในจึงไม่ได้จำกัดอยู่เพียงการตรวจดูเอกสารของหน่วยงานใดหน่วยงานหนึ่ง แต่ต้องพิจารณาภาพรวมของระบบการควบคุมภายในทั้งมหาวิทยาลัย โดยอาศัยข้อมูลจากทุกหน่วยงานที่นำมาบูรณาการเข้าด้วยกัน
อย่างไรก็ตาม เป้าหมายของการสอบทานไม่ใช่การตรวจเพื่อเพียงว่ารายงานผ่านหรือไม่ผ่าน แต่คือการสร้างความเชื่อมั่นว่า ระบบการควบคุมภายในของท่านได้รับการออกแบบและประเมินอย่างเหมาะสม ความเสี่ยงที่สำคัญได้รับการระบุและมีแนวทางจัดการที่เพียงพอ และข้อมูลที่รายงานสะท้อนข้อเท็จจริง สามารถนำไปใช้ในการบริหารจัดการและพัฒนาหน่วยงานของท่านได้จริงเพราะท้ายที่สุดแล้ว สิ่งที่ผู้ตรวจสอบภายในต้องการเห็น ไม่ใช่รายงานที่เขียนได้สวยงาม แต่คือ ระบบการควบคุมภายในที่สามารถนำไปปฏิบัติได้จริง และช่วยป้องกันปัญหาก่อนที่จะเกิดขึ้น นั่นคือ “เกราะคุ้มครอง” ที่แท้จริงของหน่วยงานและของมหาวิทยาลัย
เอาล่ะครับ… เข้าเรื่องกันเลย
งานสอบทานระบบการควบคุมภายในระดับหน่วยงานมีรายละเอียดค่อนข้างมาก และผู้ตรวจสอบภายในต้องพิจารณาหลายประเด็นประกอบกัน อย่างไรก็ตาม ในบทความนี้ผมจะยกตัวอย่างเพียงบางส่วนของกระบวนการสอบทาน เพื่อให้ทุกท่านเห็นว่า ผู้ตรวจสอบภายในมองหาอะไร และเหตุใดประเด็นเหล่านั้นจึงมีความสำคัญต่อการสร้างระบบการควบคุมภายในที่มีประสิทธิผล ดังนี้ครับ
1. แกะรหัส “เจตนา” ของคนทำงาน (มองทะลุความสวยงามของตัวอักษร)
ปัญหาคลาสสิกเวลาหน่วยงานย่อยทำรายงานส่งส่วนกลาง คือ พี่ๆ น้องๆ หน้างานมักจะยุ่งกับงานประจำจนไม่มีเวลามานั่งประดิดประดอยถ้อยคำ หรือบางครั้งเรียบเรียงภาษายังไม่แข็งแรง ทำให้สิ่งที่เขียนลงในรายงานนั้น “เขียนออกมาไม่ค่อยถูกหลักการประเมินเป๊ะๆ” แต่นั่นไม่ใช่ประเด็นที่ผู้ตรวจสอบภายในจะเอามาเป็นข้อติดขัดเลยครับ สิ่งที่เราโฟกัสและหยิบมาทำงานต่อคือ
1.1 วิเคราะห์ลึกถึงเจตนา เราไม่ได้ดูแค่ตัวอักษร แต่เราจะลงพื้นที่ไปนั่งคุยเพื่อวิเคราะห์ลึกเข้าไปถึงเจตนาของคนทำงานว่า “จริงๆ แล้วหน้างานเขากำลังเผชิญกับอะไร และสิ่งที่เขาเขียนนั้นต้องการจะสื่อสารอะไรกันแน่?”
1.2 ตรวจสอบความครบถ้วนกับความเป็นจริง เราเข้าไปรีเช็กว่าสิ่งที่หน่วยงานเขียนอธิบายมานั้น มันสามารถสื่อสารและสะท้อนภาพ “ความเป็นจริงหน้างาน” ได้ครบถ้วนทุกมิติไหม มีช่องว่างตรงไหนที่ในกระดาษเขียนอย่างหนึ่งแต่หน้างานจริงทำอีกอย่างหนึ่งหรือไม่
1.3 ส่งต่อข้อมูลคุณภาพให้มหาวิทยาลัย หน้าที่สำคัญของผู้ตรวจสอบคือ การช่วยเป็นสะพานเชื่อม แปลงเจตนาและข้อเท็จจริงหน้างานของหน่วยงานย่อย ให้กลายเป็นข้อมูลระบบควบคุมที่มีคุณภาพ ที่ “มหาวิทยาลัยสามารถอ่านและเข้าใจเจตนาได้อย่างชัดเจน” เพื่อที่ส่วนกลางจะได้นำข้อมูลดิบเหล่านี้ ไปใช้วางแผนบริหารความเสี่ยงในภาพรวมของมหาวิทยาลัยต่อไปได้จริงๆ
2. สแกนลึกครอบคลุมถึง “ภารกิจพื้นฐาน”
โดยปกติแล้ว มหาวิทยาลัยจะกำหนดให้หน่วยงานย่อยวิเคราะห์และประเมินระบบการควบคุมภายในตาม ภารกิจหลักและภารกิจสำคัญ ของแต่ละหน่วยงาน ซึ่งแน่นอนว่าแต่ละหน่วยงานมีพันธกิจ เป้าหมาย และตัวชี้วัดที่แตกต่างกันไปตามบทบาทที่ได้รับมอบหมายด้วยเหตุนี้ ภารกิจหลักจึงมักได้รับความสนใจเป็นพิเศษ เพราะเป็นงานที่บุคลากรปฏิบัติอยู่ทุกวัน มีตัวชี้วัด มีการติดตามผล และส่วนใหญ่สามารถอธิบายความเสี่ยงและกิจกรรมการควบคุม
ได้ค่อนข้างชัดเจน
แต่จุดเน้นย้ำที่สำคัญไม่แพ้ภารกิจหลักหรือภารกิจสำคัญ ที่ผู้ตรวจสอบต้องเข้าไปชวนดูคือ “ภารกิจพื้นฐานทั่วไป” ซึ่งเป็นงานหลังบ้านที่เรียบง่าย และมีเหมือนกันหมดทุกหน่วยงาน เป็นจุดที่มักเกิดข้อผิดพลาด ความเสียหายหรืออาจเกิดช่องว่างของการทุจริตได้ ยกตัวอย่างเช่น
- – งานจัดซื้อจัดจ้างและการเบิกจ่ายเงิน มีการปฏิบัติถูกต้องตามกฎหมาย ระเบียบ และหลักเกณฑ์ที่เกี่ยวข้องหรือไม่
- – งานตรวจนับพัสดุและการบริหารสินทรัพย์ มีการตรวจนับครบถ้วน ตรงกับทะเบียน และมีการติดตามทรัพย์สินที่สูญหายหรือไม่
- – งานบริหารทรัพยากรบุคคล เมื่อมีบุคลากรย้าย ลาออก หรือเกษียณ มีการส่งมอบงาน ตรวจสอบครุภัณฑ์ และโอนความรับผิดชอบอย่างครบถ้วนหรือไม่
- – การปฏิบัติตามกฎหมาย ระเบียบ และข้อบังคับใหม่ ๆ หน่วยงานมีการติดตาม วิเคราะห์ผลกระทบ และปรับปรุงวิธีปฏิบัติให้สอดคล้องกับข้อกำหนดที่เปลี่ยนแปลงอยู่เสมอหรือไม่
จะเห็นได้ว่า งานเหล่านี้อาจไม่ใช่งานที่สร้างผลงานโดดเด่นหรือสะท้อนตัวชี้วัดเชิงยุทธศาสตร์ของหน่วยงาน แต่หากเกิดความผิดพลาดขึ้น ผลกระทบที่ตามมาอาจรุนแรงไม่แพ้กัน ดังนั้น ในการสอบทานระบบการควบคุมภายใน ผู้ตรวจสอบภายในจึงไม่ได้มองเฉพาะว่า “หน่วยงานทำภารกิจหลักได้ดีหรือไม่” แต่ยังมองลึกลงไปว่า “งานพื้นฐานที่เป็นรากฐานของการบริหารจัดการได้รับการควบคุมอย่างเหมาะสมแล้วหรือยัง” เพราะหลายครั้ง “รอยรั่วเล็ก ๆ” ของงานหลังบ้านอาจกลายเป็น “ความเสียหายใหญ่” ของทั้งหน่วยงานได้
3. สร้างทัศนคติที่ถูกต้องต่อการรายงานข้อเท็จจริง
สิ่งที่ไม่ควรเกิดขึ้นในการประเมินผลการควบคุมภายใน คือการที่หน่วยงานจัดทำรายงานในลักษณะที่สะท้อนเฉพาะด้านที่ดี เพราะกังวลว่าการระบุจุดอ่อนหรือความเสี่ยงอาจนำไปสู่การถูกตำหนิหรือถูกมองว่าเป็นความผิด ซึ่งจะทำให้ข้อมูลที่ผู้บริหารได้รับจะไม่สะท้อนสภาพการดำเนินงาน
ที่แท้จริง และอาจทำให้การตัดสินใจแก้ไขปัญหาคลาดเคลื่อนได้ ผู้ตรวจสอบภายในพยายามสะท้อนให้ หน่วยงานทราบว่า การบอกว่าตัวเองมีความเสี่ยง ไม่ใช่เรื่องที่เสียหาย แต่เป็นการสะท้อนว่าเราให้ความสำคัญ เพื่อให้ทุกฝ่ายร่วมกันหาแนวทางป้องกันและปรับปรุงระบบการควบคุมภายใน
ให้มีประสิทธิภาพยิ่งขึ้น
3.1 ไม่ได้ดูแค่เอกสาร แต่ดูระบบจริง การสอบทานไม่ได้จำกัดอยู่เพียงการตรวจสอบเอกสารหรือหลักฐานประกอบการดำเนินงานเท่านั้น แต่เราไปศึกษากระบวนการปฏิบัติงานจริง เพื่อทำความเข้าใจขั้นตอน วิธีการดำเนินงาน ข้อจำกัด และปัจจัยแวดล้อมที่ส่งผลต่อการควบคุมภายในของหน่วยงานนั้นด้วย
3.2 วิเคราะห์หาสาเหตุที่แท้จริง เวลาเจอช่องโหว่ เราจะไม่จบแค่คำว่า “ระบบไม่เพียงพอ”แต่เราจะเจาะลึกชวนคิดต่อว่า ทำไมถึงไม่เพียงพอ? คนน้อยเกินไป? เครื่องมือไม่เอื้ออำนวย?ระเบียบมันซับซ้อนเกินไปจนทำจริงไม่ได้? หรือสาเหตุที่แท้จริงเกิดจากอะไรแน่
3.3 กำหนดแนวทางปรับปรุงการควบคุมภายใน เมื่อทราบสาเหตุของปัญหาแล้ว ผู้ตรวจสอบภายในจะเสนอแนะให้หน่วยงานพิจารณาแนวทางปรับปรุงกระบวนการทำงาน กำหนดกิจกรรมการควบคุมที่เหมาะสม ที่ช่วยลดความเสี่ยง หรือป้องกันไม่ให้ปัญหาเดิมเกิดขึ้นซ้ำ มุ่งเน้นการแก้ไขที่สาเหตุของปัญหา
4. นิยาม “ความสำเร็จที่แท้จริง” ของผู้ตรวจสอบภายในยุคใหม่
4.1 ตามมาตรฐานการตรวจสอบภายในสำหรับหน่วยงานของรัฐ หนึ่งในภารกิจหลักของเรา
คือ “การให้คำปรึกษา” (Consulting Services) เพื่อเพิ่มคุณค่าและปรับปรุงระบบการทำงานขององค์กรให้ดีขึ้น ดังนั้น ตัวชี้วัดความสำเร็จของผู้ตรวจสอบภายใน จึงมีเป้าหมายคือ
- ความสำเร็จ… ไม่ใช่การตรวจแล้วบอกว่าเขียนรายงาน “ถูกหรือผิด”
- ความสำเร็จ… ไม่ใช่การประเมินว่ามาตรการที่คุณมีมัน “พอหรือไม่พอ” บนหน้ากระดาษ
- ความสำเร็จ… ไม่ใช่การตรวจพบการทุจริตหรือตรวจพบความเสียหายต่อมหาวิทยาลัย
แต่ “เป้าหมายสูงสุดและความสำเร็จที่แท้จริง” ของผม คือทำอย่างไรก็ได้ให้
- – ระบบควบคุมภายในของหน่วยงานย่อยเข้มแข็งอย่างแท้จริง เป็นระบบที่เดินได้จริงทำได้จริงหน้างาน ไม่ใช่ระบบที่อยู่แค่ในแฟ้มเอกสาร
- – บุคลากรทุกระดับเข้าใจอย่างแท้จริง ตั้งแต่หัวหน้าหน่วยงานย่อย, อาจารย์, ไปจนถึงพี่ๆ เจ้าหน้าที่สายสนับสนุนผู้ปฏิบัติงานหน้างาน ทุกคนเข้าใจตรงกันว่าจุดควบคุมนี้สร้างขึ้นมาเพื่ออะไร และมีประโยชน์กับชีวิตการทำงานของพวกเขาอย่างไร
- -การสร้างระบบการควบคุมภายในที่เข้มแข็ง (ถึงแม้การควบคุมภายในดีมากๆ ก็จะยังไม่ได้ทำให้ความเสี่ยงเรื่องทุจริตหมดไป แต่ก็สามารถทำให้ความเสี่ยงลดระดับลงได้)
นั่นคือความสำเร็จที่ผู้ตรวจสอบภายในอยากเห็นมากกว่าการตรวจพบความเสียหายภายหลัง
4.2 ขับเคลื่อนเพื่อลดความเสี่ยงของมหาวิทยาลัยได้อย่างแท้จริง เมื่อสร้างตัวต่อย่อยๆทั้ง 47 หน่วยงานแข็งแรงจากภายใน ข้อมูลสะท้อนความจริง มหาวิทยาลัยในภาพรวมก็จะมีฐานข้อมูลที่เพียงพอ สามารถวางแผนยุทธศาสตร์และลดความเสี่ยงขององค์กรในภาพใหญ่ได้อย่างมีประสิทธิภาพ
4.3 ลดความเสี่ยงของผู้ปฏิบัติงาน ข้อนี้สำคัญที่สุดครับ มาตรการควบคุมภายในที่ดีคือร่มคันใหญ่ที่จะคอย “เซฟ” ตัวคนทำงานทุกคน ป้องกันหรือลดความเสี่ยงในความผิดพลาดจากความไม่ตั้งใจ เพื่อให้คนทำงานทุกคนสามารถทำงานได้อย่างสบายใจ ปลอดภัย และโปร่งใสที่สุด
สุดท้ายแล้ว รายงานการประเมินผลการควบคุมภายในที่มหาวิทยาลัยต้องจัดทำและรายงานตามกฎหมาย จะไม่ใช่เพียงเอกสารที่ทำเพื่อให้ครบขั้นตอนหรือส่งให้ทันกำหนดอีกต่อไปแต่จะกลายเป็น “เข็มทิศ” ที่ช่วยให้ผู้บริหารมองเห็นความเสี่ยง และเป็น “เกราะคุ้มครอง”ที่ช่วยปกป้องทั้งองค์กรและคนทำงาน
ความภูมิใจสูงสุดของผู้ตรวจสอบภายใน จึงไม่ใช่การตรวจพบความผิดหรือชี้ข้อบกพร่องได้แต่คือ…การได้เห็นระบบการควบคุมภายในของมหาวิทยาลัยเข้มแข็งขึ้นทุกปี จนความผิดพลาดความเสียหาย และการทุจริตเกิดขึ้นน้อยลง บุคลากรทุกคนทำงานได้อย่างมั่นใจ เข้าใจเหตุผลของมาตรการควบคุม และสามารถกลับบ้านในแต่ละวันโดยไม่ต้องกังวลว่า “พรุ่งนี้จะมีปัญหาอะไรย้อนกลับมาหาตัวเอง”เพราะเมื่อวันนั้นมาถึง วันที่เป้าหมายของผู้ตรวจสอบภายในสำเร็จ “รายงานควบคุมภายใน”จะไม่ใช่แค่แผ่นกระดาษอีกต่อไป แต่จะเป็น เกราะคุ้มครอง ที่ปกป้องทั้งมหาวิทยาลัยและปกป้องคนทำงานทุกคนที่อยู่เบื้องหลังความสำเร็จของมหาวิทยาลัยทุกคนครับ
อ้างอิง:
พระราชบัญญัติวินัยการเงินการคลังของรัฐ พ.ศ. 2561
หลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561
