การตรวจสอบภายในถือได้ว่าเป็นกระบวนการหนึ่งที่สำคัญในการนำพาองค์กรไปสู่เป้าหมาย ซึ่งมุ่งเน้นการสร้างและรักษาคุณค่าขององค์กรโดยการให้ความเชื่อมั่น คำแนะนำ ความเข้าใจที่เที่ยงธรรมและเป็นไปตามความเสี่ยง ดังนั้นการให้บริการตรวจสอบภายในได้จำแนกประเภทตามลักษณะการให้บริการ ประกอบด้วย 1) การให้บริการความเชื่อมั่น (Assurance Service) และ 2) การให้บริการคำปรึกษา (Consulting Service)
ลักษณะการให้บริการการตรวจสอบภายใน
การบริการของการตรวจสอบภายใน มี 2 ลักษณะคือ การบริการให้ความเชื่อมั่น และการบริการให้คำปรึกษา ซึ่งไม่ว่าจะบริการในรูปแบบใดผู้ตรวจสอบภายในต้องยึดหลักการปฎิบัติงานวิชาชีพตรวจสอบภายใน (Core Principle for Professional Practice of Internal Auditing) นั่นก็คือ การปฎิบัติหน้าที่ทำด้วยความซื่อสัตย์ เที่ยงธรรม เป็นอิสระ มีความสามารถที่เหมาะสมกับงาน ระมัดระวังเยี่ยงวิชาชีพ ให้บริการที่สอดคล้องกับเป้าหมายและความเสี่ยงขององค์กร ซึ่งผลงานต้องแสดงให้เห็นถึงคุณภาพ อีกทั้งผู้ตรวจสอบภายในต้องมีการพัฒนาตนเองอยู่เสมอ มีความลึกซึ้งในเนื้อหางานที่ให้บริการโดยเน้นการมองถึงอนาคตของงานนั้นๆ รวมไปถึงการสื่อสารอย่างมีประสิทธิภาพ ปฎิบัติงานในตำแหน่งที่เหมาะสมโดยใช้ทรัพยากรอย่างมีประสิทธิภาพ เป็นต้น
- การบริการให้ความเชื่อมั่น (Assurance Service)
การบริการให้ความเชื่อมั่น คือการตรวจสอบหลักฐานอย่างเที่ยงธรรม เพื่อได้มาซึ่งการประเมิน
กระบวนการกำกับดูแล การบริหารความเสี่ยง การควบคุมขององค์กรอย่างเป็นอิสระ ทั้งการตรวจสอบด้าน
การเงิน การตรวจสอบผลการปฎิบัติ ผลการตรวจสอบการปฎิบัติตามกฎระเบียบ การตรวจสอบความมั่นคง
ปลอดภัยของระบบต่างๆ การตรวจสอบสถานะกิจการ (Due Diligence Engagement) โดยผู้ตรวจสอบ
ภายในเป็นผู้กำหนดลักษณะและขอบเขตของงานในการตรวจสอบ โดยการทำการประเมินหลักฐานอย่างเที่ยง
ธรรม เพื่อให้ความเห็นหรือทำเป็นข้อสรุปเกี่ยวกับหน่วยงานที่ตรวจสอบ ซึ่งการให้บริการความเชื่อมั่นมีบุคคล
ที่เกี่ยวข้องจำนวน 3 ฝ่าย คือ
- เจ้าของกระบวนการ คือบุคคลหรือกลุ่มบุคคลที่เกี่ยวข้องโดยตรงกับหน่วยงานที่ถูกประเมิน
- ผู้ตรวจสอบภายใน คือบุคคลหรือกลุ่มบุคคลที่ทำการประเมิน
- ผู้ใช้ คือบุคคลหรือกลุ่มบุคคลที่ใช้ผลงานของการประเมิน
งานตรวจสอบภายในควรครอบคลุมปัญหาการจัดการทั้งองค์กร เพื่อช่วยฝ่ายจัดการในเรื่องต่อไปนี้
1) การกำกับดูแลกิจกรรมที่ฝ่ายบริหารระดับสูงไม่สามารถดูแลได้อย่างทั่วถึง ในแต่ละปี ผู้อำนวยการตรวจสอบภายในจะจัดเตรียมตารางของการตรวจสอบ (Scheduled Audits) ซึ่งมักจะเป็นกิจกรรมเฉพาะที่จะต้องกำกับดูแล และเสนอฝ่ายบริหารและคณะกรรมการซึ่งจะเป็นผู้พิจารณาเพื่อให้สามารถสนองความต้องการและความพอใจของผู้รับผิดชอบระดับสูง
2) การพิจารณาความเสี่ยงและลดความเสี่ยง หน่วยงานตรวจสอบภายในจะระบุถึงความเสี่ยงที่สำคัญขององค์กร เพื่อจะได้กำหนดระบบการควบคุมซึ่งเป็นหัวใจสำคัญ เช่น เช็คที่ไม่ได้ลงนาม การหมุนเวียนและการลาหยุดงานของพนักงานที่อยู่ในส่วนงานที่สำคัญ เป็นต้น เรื่องเหล่านี้จะอยู่ในตารางของการตรวจสอบ ผู้บริหารงานตรวจสอบภายในต้องมั่นใจว่าความเสี่ยงและการควบคุมเหล่านั้นได้มีการตรวจสอบ
3) การให้รายงานที่ถูกต้องแก่ฝ่ายบริหารระดับสูง เนื่องจากฝ่ายบริหารระดับสูงจะทำการตัดสินใจบนฐานข้อมูลของรายงานที่ได้รับ ซึ่งโดยทั่วไปมักไม่ได้ตัดสินใจโดยใช้ความรู้ส่วนตัว ความถูกต้อง และความรวดเร็วของรายงานจะเป็นปัจจัยของการตัดสินใจ หน่วยงานตรวจสอบภายในบางแห่งได้กำหนดให้มีการรายงานแก่ฝ่ายบริหารในตารางของการตรวจสอบ โดยผู้ตรวจสอบภายในจะสอบทานความถูกต้อง เวลาที่เหมาะสม และความเหมาะสมของรายงาน ดังนั้น การตัดสินใจของฝ่ายจัดการจึงมีความถูกต้องมากขึ้น
4) การปกป้องฝ่ายจัดการจากข้อจำกัดด้านเทคนิค สืบเนื่องจากความเจริญก้าวหน้าและความซับซ้อนของกิจกรรมทั้งภาคธุรกิจและภาครัฐ ทำให้ฝ่ายจัดการที่ทำหน้าที่ในการตัดสินใจมีข้อจำกัดมากขึ้น ซึ่งผู้ตรวจสอบภายในสามารถช่วยแก้ไข ตัวอย่างเช่น ผู้จัดการด้านงบประมาณของแผนกการเงินได้เสนอโครงการการพัฒนาอัตราค่าใช้จ่ายโรงงานด้วยวิธีการวิเคราะห์การถดถอยเชิงซ้อนหรือเชิงพหุ (Multiple Regression Analysis) โดยใช้โปรแกรมคอมพิวเตอร์ รองประธานฝ่ายการเงินผู้ซึ่งไม่มีความรู้ด้านนี้จึงไม่สามารถทำการตัดสินใจว่าจะอนุมัติดีหรือไม่ จึงเรียกให้ผู้ตรวจสอบภายในผู้ซึ่งได้ทำการคำนวณข้อมูลเปรียบเทียบกับโปรแกรมที่นำเสนอ ปรากฏว่าโครงการของผู้จัดการด้านงบประมาณผ่านการทดสอบ ดังนั้นรองประธานจึงสามารถอนุมัติโครงการด้วยความเชื่อมั่น
5) การให้ข้อมูลเพื่อใช้ในกระบวนการตัดสินใจ เนื่องจากผู้ทำการตัดสินใจในเรื่องการดำเนินงานคือ ผู้จัดการมิใช่ผู้ตรวจสอบภายใน แต่ผู้ตรวจสอบภายในสามารถให้ข้อมูลหรือชี้ถึงความถูกต้องของข้อมูลที่จะนำไปประกอบการตัดสินใจได้ ทั้งยังสามารถประเมินผลกระทบและความเสี่ยงที่เกิดจากการตัดสินใจนั้น เช่น ฝ่ายจัดการของหน่วยงาน ตัดสินใจทำการเปลี่ยนการผลิต ผลิตภัณฑ์ที่สำคัญรายการหนึ่ง ซึ่งส่งผลให้ต้องออกแบบผลิตภัณฑ์ใหม่และซื้อชิ้นส่วนชนิดใหม่แทนชิ้นส่วนชนิดเดิม ผู้ตรวจสอบภายในได้สอบทานผลของการตัดสินใจนี้พบว่า ฝ่ายจัดซื้อได้รับการแจ้งให้ซื้อชิ้นส่วนใหม่แล้ว แต่ไม่ได้รับการแจ้งยกเลิกการจัดซื้อชิ้นส่วนเดิมซึ่งไม่ต้องใช้แล้ว ผู้ตรวจสอบภายในได้รีบแจ้งฝ่ายจัดการซึ่งได้ทำการยกเลิกคำสั่งซื้อชิ้นส่วนเดิมทันที
6) การช่วยผู้จัดการในการจัดการงานด้วยการบ่งชี้ถึงการละเมิดหลักการและวิธีการจัดการ เนื่องจากผู้จัดการที่ไม่มีระบบการควบคุมกิจกรรมของตนเองมักจะสร้างปัญหาขึ้นในองค์กร ผู้ตรวจสอบภายในจะพบปัญหาและให้คำแนะนำเพื่อแก้ไขให้ถูกต้องโดยที่ลักษณะของปัญหาอาจเป็นเรื่องที่มองเห็นทันทีหรือเรื่องที่ต้องเจาะลึกถึงก้นบึ้งของปัญหาก็ได้ เช่น แผนกเรียกร้องความเสียหายไม่สามารถประมาณจำนวนการเรียกร้องในตารางแผนงานประจำปีได้ ถ้าดูอย่างผิวเผินคล้ายกับปัญหานี้เกิดจากสาเหตุพนักงานไม่ทำงานตามหน้าที่ แต่โดยเบื้องลึกของปัญหานี้เป็นเพราะว่าฝ่ายจัดการประสบความล้มเหลวในการสร้างศูนย์กลางของการรวมทะเบียนรายการข้อมูลที่ใช้ในการติดตามการมอบหมายงานต่าง ๆ ในแผนก
การบริการให้คำปรึกษา (Consulting Service)
การบริการให้คำปรึกษา คำแนะนำ มีวัตถุประสงค์หลักคือการสร้างคุณค่าและการพัฒนากระบวนการทำงานของกิจการให้เกิดผลลัพธ์ที่ดีมากยิ่งขึ้น ซึ่งงานลักษณะดังกล่าวเป็นงานที่ผู้รับบริการเป็นผู้กำหนดขอบเขตและลักษณะงานตามข้อตกลงของผู้รับริการต้องการ ตัวอย่างเช่น การให้คำปรึกษาการออกแบบกระบวนการทำงานขององค์กร ดังนั้นการบริการดังกล่าวจะมีกลุ่มบุคคลที่เกี่ยวข้อง 2 ฝ่าย คือ
- ผู้ให้คำปรึกษา คือ ผู้ตรวจสอบภายใน
- ผู้รับบริการ คือ กลุ่มบุคคลที่มึความต้องการในการรับคำปรึกษา
การบริการให้คำปรึกษาของผู้ตรวจสอบภายในมีรายละเอียดเกี่ยวข้องดังนี้
1) การบริการให้คำปรึกษา มีลักษณะเป็นการให้คำแนะนำและโดยทั่วไปจะให้บริการก็ต่อเมื่อได้รับการร้องขอจากผู้รับบริการเป็นการเฉพาะ ดังนั้นลักษณะและขอบเขตของภารกิจการให้คำปรึกษาจะขึ้นอยู่กับข้อตกลงกับผู้รับบริการ ภารกิจการให้คำปรึกษาจะมีผู้ที่เกี่ยวข้อง 2 ฝ่าย ฝ่ายแรกคือ ผู้ตรวจสอบภายใน ได้แก่ บุคคลหรือกลุ่มบุคคลที่เป็นผู้ให้คำปรึกษา และฝ่ายที่ 2 คือ ผู้รับบริการ ได้แก่ บุคคลหรือกลุ่มบุคคลที่ต้องการรับคำปรึกษา ซึ่งควรมีการบันทึกรายละเอียดรายละเอียดข้อตกลงเป็นลายลักอักษร
2) วัตถุประสงค์ของการบริการให้คำปรึกษาจากผู้ตรวจสอบภายใน คือการให้คำปรึกษาแก่ผู้รับบริการเพื่อเพิ่มคุณค่า ปรับปรุงการปฏิบัติงานขององค์กร และเพิ่มประสิทธิภาพการดำเนินงานขององค์กร ด้วยวิธีการ ประสบการณ์ ทักษะการตรวจสอบและทักษะการวิเคราะห์ของผู้ตรวจสอบภายในทำให้ผู้ตรวจสอบภายในมีความเหมาะสมในการดำเนินการตรวจสอบภายในและการให้คำปรึกษาเพื่อมีส่วนช่วยให้องค์กรบรรลุถึงวัตถุประสงค์ที่กำหนดไว้
3) ข้อแนะนำการให้คำปรึกษาควรดำเนินการภายใต้ความเป็นอิสระและคำนึงถึงความขัดแย้งทางผลประโยชน์ โดยนำคำปรึกษาเสนอแก่ผู้บริหารเพื่อดำเนินการตัดสินใจ จึงถือได้ว่าการให้คำปรึกษาเป็นส่วนหนึ่งของการให้คำแนะนำ ไม่ใช่ส่วนหนึ่งของกระบวนการบริหาร ซึ่งผู้มีส่วนร่วมขององค์กรทุกคนควรตระหนักถึงคุณประโยชน์ของการตรวจสอบภายใน รวมถึงผู้มีส่วนร่วมทุกคนควรรับรู้อย่างเหมาะสมต่อผลของการตรวจสอบภายใน เพื่อให้ผู้มีส่วนร่วมทุกระดับตระหนักถึงคุณค่าของการตรวจสอบภายในในฐานะของเครื่องมือในการบริหาร ดังนั้นเมื่อผู้ตรวจสอบภายในต้องดำเนินการให้คำปรึกษา คำปรึกษานั้นควรได้รับการพิจารณาและให้ความสำคัญโดยผู้มีส่วนร่วมทุกระดับ