สืบเนื่องจากกฎ SOX ผู้สอบบัญชีต้องแสดงความเห็นรับรองในรายงานทางการเงินประจำปีด้วยว่าบริษัทมีระบบควบคุมภายในที่มีประสิทธิภาพหรือไม่ ผู้สอบบัญชีจึงนำเสนอแนวทางการจัดระบบการใช้ Excel หรือสเปรดชีต ซึ่งองค์กรควรนำไปดัดแปลงให้เหมาะสมกับกิจการของตน กล่าวคือ

ผู้บริหารระดับสูงและคณะกรรมการบริหารต้องเป็นผู้รับผิดชอบต่อความมีประสิทธิผลของระบบควบคุมภายในเพื่อจัดการกับความเสี่ยงทุกประเภทขององค์กรรวมทั้งความเสี่ยงจากสเปรดชีต โดยต้องเข้าใจในความหมายของความเสี่ยง ตระหนักในความสำคัญและความรุนแรงของความเสี่ยง รับรู้ถึงตัวบุคคลที่กำลังจัดการกับความเสี่ยง และกำหนดวิธีการที่จะจัดการกับความเสี่ยงให้อยู่ในระดับที่พอรับได้ โดยดำเนินการดังนี้

  1. จัดให้มีนโยบายและดำรงไว้ซึ่งระบบการควบคุมภายในที่เพียงพอตลอดรอบระยะเวลาที่ออกรายงานทางการเงิน
  2. จัดให้มีคณะกรรมการตรวจสอบที่เป็นอิสระและมีหน้าที่จัดทำรายงานกำกับดูแลกิจการ โดยเปิดเผยในรายงานประจำปี
  3. ประเมินความมีประสิทธิผลของระบบควบคุมภายในโดยใช้หลักเกณฑ์ที่เหมาะสม
  4. สนับสนุนผลการประเมินด้วยหลักฐานอย่างเพียงพอ
  5. สอบทานการควบคุมภายในและการปฏิบัติตามกฎของบริษัทให้มีประสิทธิผล
  6. ยืนยันประสิทธิผลของระบบการควบคุมภายในอย่างเป็นลายลักษณ์อักษรในการรายงานของผู้สอบบัญชีและหนังสือรับรองของผู้บริหารต่อผู้สอบบัญชี
  7. รายงานจุดอ่อนและการปฏิบัติตามระบบ โดยถือเป็นส่วนหนึ่งของรายงานประจำปี

แม้ฝ่าย IT มีหน้าที่จัดซื้อจัดหาโปรแกรมสเปรดชีตและเตรียมเครื่องมืออื่นเพื่อให้ใช้สเปรดชีตได้ก็ตาม แต่ฝ่าย IT ไม่สามารถรับผิดชอบในการจัดการกับความเสี่ยงของสเปรดชีตที่ใช้อยู่ของพนักงานแต่ละคน เจ้าของแฟ้มสเปรดชีตต้องรับรู้ถึงปัญหาความเสี่ยงของสเปรดชีตที่อาจจะเกิดขึ้นและต้องรับผิดชอบเป็นตัวหลักเพราะตัวเองเป็นผู้ออกแบบ ทดสอบ และนำมาใช้

เมื่อเกิดความเสียหายขึ้น ต้องกำหนดตัวเงินที่ผู้ที่เกี่ยวข้องต้องรับผิดชอบ เช่น ผู้สร้างแฟ้มรับผิดชอบในวงเงินไม่เกินกว่า 100,000 บาท ถ้ามีความเสียหายมากกว่านั้นให้หัวหน้าระดับถัดไปแบ่งความรับผิดชอบ แต่วิธีนี้มักทำให้ผู้สร้างแฟ้มประเมินความเสี่ยงต่ำไว้ก่อนเสมอจึงควรให้ฝ่ายควบคุมภายในร่วมในการประเมินความเสี่ยงและกำหนดวงเงิน

Author: สมเกียรติ ฟุ้งเกียรติEmail: This email address is being protected from spambots. You need JavaScript enabled to view it.

E-Learning

Go to top