การควบคุมภายในและการบริหารจัดการความเสี่ยง

1. สรุปความเห็นของคณะกรรมการบริษัทเกี่ยวกับระบบควบคุมภายในของบริษัท

การควบคุมภายใน

คณะกรรมการบริษัทและผู้บริหารของบริษัท ให้ความสำคัญและตระหนักว่า ระบบการควบคุมภายในเป็นกลไกสำคัญที่จะสร้างความมั่นใจต่อฝ่ายบริหารในการช่วยลดความเสี่ยงทางธุรกิจ ช่วยให้การดำเนินธุรกิจเป็นไปอย่างมีประสิทธิภาพ โดยมีการจัดสรรทรัพยากรอย่างเหมาะสม และบรรลุเป้าหมายตามที่ได้ตั้งไว้

คณะกรรมการบริษัทได้มอบหมายให้คณะกรรมการตรวจสอบ ทำหน้าที่ในการกำกับดูแลให้ระบบการควบคุมภายใน ระบบการบริหารจัดการความเสี่ยงของบริษัท มีความเหมาะสมและมีประสิทธิภาพ รวมถึงการดูแลให้บริษัทมีการปฏิบัติตามข้อกำหนดและกฎหมายที่เกี่ยวข้อง การดูแลมิให้เกิดความขัดแย้งทางผลประโยชน์ การทำรายการเกี่ยวโยงกัน ตลอดจนการติดตามควบคุมดูแลการดำเนินงานของบริษัท การนำทรัพย์สินของบริษัทไปใช้ประโยชน์ในทางมิชอบหรือไม่มีอำนาจ รวมทั้งช่วยปกป้องคุ้มครองทรัพย์สินไม่ให้รั่วไหล สูญหาย หรือจากการทุจริตประพฤติมิชอบ บริษัทได้จัดให้มีกลไกการตรวจสอบและถ่วงดุล โดยมีฝ่ายตรวจสอบภายในซึ่งมีความเป็นอิสระทำหน้าที่ในการตรวจสอบและประเมินประสิทธิภาพ และความเพียงพอของระบบการควบคุมภายใน ระบบการบริหารจัดการความเสี่ยง และระบบการกำกับดูแลกิจการ ในการปฏิบัติงานของทุกหน่วยงานของบริษัท โดยนำกรอบแนวทางของระบบการควบคุมภายในตามมาตรฐานสากลของ COSO (The Committee of Sponsoring Organizations of the Treadway Commission) และกรอบการบริหารความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management) มาประยุกต์ใช้ให้การควบคุมภายใน และการบริหารความเสี่ยงให้มีความสมบูรณ์มากยิ่งขึ้น เพื่อให้การดำเนินงานด้านต่างๆ ของบริษัทมีประสิทธิภาพและประสิทธิผลมากที่สุด ฝ่ายจัดการของบริษัทจะนำผลการตรวจสอบไปพิจารณาดำเนินการปรับปรุงแก้ไขในเรื่องต่างๆ ที่เกี่ยวข้อง เพื่อการพัฒนางานให้มีคุณภาพ และฝ่ายตรวจสอบภายในได้จัดให้มีระบบการติดตามการดำเนินการของบริษัทอย่างสม่ำเสมอ รวมทั้งยังจัดให้มีหน่วยงาน Compliance เพื่อทำหน้าที่ติดตามศึกษากฎหมาย ประกาศ คำสั่งที่เกี่ยวกับการประกอบธุรกิจ เผยแพร่ให้พนักงานทำความเข้าใจ ตลอดจนกำกับดูแลให้บริษัทมีการประกอบธุรกิจและการปฏิบัติงานโดยถูกต้อง

นอกจากนี้ คณะกรรมการตรวจสอบได้มีการประเมินความเพียงพอของระบบการควบคุมภายใน และมีการรายงานต่อคณะกรรมการบริษัทเป็นประจำทุกปีโดยอ้างอิง “แบบประเมินความเพียงพอของระบบการควบคุมภายใน” ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ และได้มีการเปิดเผยผลการประเมินฯ ไว้ใน “รายงานคณะกรรมการตรวจสอบ"

ในปี 2559 บริษัทไม่พบข้อบกพร่องที่มีนัยสำคัญต่อระบบการควบคุมภายในของบริษัท ดังนี้

  • สภาพแวดล้อมการควบคุม บริษัทได้กำหนดให้มีสภาพแวดล้อมของการควบคุมภายในที่ดี โดยจัดโครงสร้างองค์กรและสายงานการบังคับบัญชาที่ชัดเจนเหมาะสม รวมทั้งกำหนดเป้าหมายทางธุรกิจ และดัชนีชี้วัดผลสำเร็จ (Key Performance Indicators : KPI) เพื่อใช้ในการประเมินประสิทธิภาพในการปฏิบัติงานสอดคล้องกับเป้าหมายขององค์กร กำหนดให้มีคู่มือการใช้อำนาจและคู่มือการปฏิบัติงานของทุกระบบอย่างเป็นลายลักษณ์อักษร เพื่อใช้เป็นแนวทางในการปฏิบัติงาน นอกจากนี้บริษัทยังปลูกฝังให้ผู้บริหารและพนักงานทุกคนของบริษัท ตระหนักถึงการกำกับดูแลกิจการที่ดี โดยกำหนดให้มีนโยบายการกำกับดูแลกิจการที่ดี จริยธรรมทางธุรกิจ และจรรยาบรรณของกรรมการ ผู้บริหาร และพนักงานของบริษัท รวมทั้งจัดให้มีกิจกรรมส่งเสริมอย่างต่อเนื่อง โดยการอบรมให้ความรู้แก่พนักงานเป็นประจำทุกปี เพื่อให้การปฏิบัติงานมีความโปร่งใส เป็นธรรม ต่อผู้มีส่วนได้เสียทุกกลุ่ม
  • การประเมินความเสี่ยง นอกจากการประเมินความเพียงพอของระบบการควบคุมภายในโดยอ้างอิง “แบบประเมินความเพียงพอของระบบการควบคุมภายใน” ตามแนว COSO (The Committee of Sponsoring Organizations of the Treadway Commission) Framework ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์แล้ว บริษัทยังได้จัดทำการประเมินความเสี่ยงตนเองประจำปีตามหลักเกณฑ์การกำกับแบบรวมกลุ่มของธนาคารแห่งประเทศไทย ครอบคลุมความเสี่ยงสำคัญ 5 ด้าน ได้แก่ ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านเครดิต ความเสี่ยงด้านตลาด ความเสี่ยงด้านสภาพคล่อง และความเสี่ยงด้านปฏิบัติการ ซึ่งครอบคลุมความเสี่ยงด้านคอร์รัปชั่นด้วย โดยทำการประเมินระดับความเสี่ยง คุณภาพการจัดการความเสี่ยง แนวโน้มความเสี่ยง พร้อมระบุแนวทางการจัดการหรือควบคุมความเสี่ยง ซึ่งผลการประเมินความเสี่ยงตนเองดังกล่าว บริษัทต้องนำส่งต่อ ธนาคารกรุงไทย จำกัด (มหาชน) เพื่อรายงานต่อคณะกรรมการบริหารความเสี่ยงของกลุ่มธุรกิจทางการเงินด้วย
  • การควบคุมการปฏิบัติงานของฝ่ายบริหาร บริษัทได้มีการแบ่งแยกหน้าที่ความรับผิดชอบของแต่ละตำแหน่งงานอย่างชัดเจน มีการทบทวนคู่มืออำนาจดำเนินการและคู่มือ/ขั้นตอนการปฏิบัติงานให้เหมาะสมกับโครงสร้างองค์กรและการปฏิบัติงานในปัจจุบัน รวมทั้งมีการสอบทานผลการปฏิบัติงานให้เป็นไปตามกฎระเบียบ ข้อบังคับ คู่มืออำนาจดำเนินการและคู่มือการปฏิบัติงานต่างๆ อย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการปฏิบัติงานมีระบบการควบคุมภายในที่เพียงพอเหมาะสม และการปฏิบัติงานมีประสิทธิภาพ ในส่วนของการทำรายการกับบุคคลที่เกี่ยวข้อง คณะกรรมการบริษัทได้มีมติอนุมัติหลักการในการทำข้อตกลงทางการค้าที่มีลักษณะเป็นธุรกรรมระหว่างบุคคลที่มีความเกี่ยวข้องกัน เพื่อให้สอดคล้องกับที่กฎหมายบัญญัติดังที่ได้กล่าวถึงข้างต้น โดยให้ฝ่ายจัดการสามารถทำธุรกรรมหรือรายการหรือข้อตกลงทางการค้าที่มีลักษณะเป็นรายการระหว่างบุคคลที่มีความเกี่ยวข้องกันตามความหมายที่กำหนดไว้ในกฎหมายว่าด้วยหลักทรัพย์และตลาดหลักทรัพย์ ทั้งนี้ ธุรกรรมหรือรายการหรือข้อตกลงดังกล่าว ให้เป็นไปในลักษณะเดียวกับที่วิญญูชนจะพึงกระทำกับคู่สัญญาทั่วไปในสถานการณ์เดียวกัน ด้วยอำนาจต่อรองทางการค้าที่ปราศจากอิทธิพลในการที่ตนมีสถานะเป็นกรรมการ ผู้บริหาร หรือบุคคลที่มีความเกี่ยวข้อง (“รายการที่มีข้อตกลงทางการค้าทั่วไป”) รวมทั้งรายการที่มีการดำเนินมาแล้วอย่างต่อเนื่อง และที่อาจจะเกิดขึ้นในอนาคต โดยให้ฝ่ายจัดการสามารถกำหนดกรอบระเบียบเพื่อเป็นแนวทางในการดำเนินงาน และจัดทำรายงานสรุปการทำรายการดังกล่าวให้ที่ประชุมคณะกรรมการตรวจสอบและคณะกรรมการบริษัททราบภายในเวลาอันสมควร หากบริษัทมีการทำรายการระหว่างกันกับบุคคลที่อาจมีความขัดแย้งเกิดขึ้นในอนาคต บริษัทจะจัดให้คณะกรรมการตรวจสอบเป็นผู้พิจารณาเกี่ยวกับความเหมาะสมของรายการดังกล่าว หากคณะกรรมการตรวจสอบไม่มีความชำนาญในการพิจารณารายการระหว่างกันที่เกิดขึ้น บริษัทจะจัดให้มีบุคคลที่มีความรู้ความชำนาญพิเศษ เช่น ผู้สอบบัญชี หรือ ผู้ประเมินราคาทรัพย์สิน หรือสำนักงานกฎหมาย เป็นต้น ที่เป็นอิสระจากบริษัทและบุคคลที่อาจมีความขัดแย้งเป็นผู้ให้ความเห็นเกี่ยวกับรายการระหว่างกันดังกล่าว
  • ระบบสารสนเทศ และการสื่อสารข้อมูลบริษัท บริษัทได้ให้ความสำคัญต่อระบบสารสนเทศและการสื่อสารข้อมูล ส่งเสริมและสนับสนุนให้มีการพัฒนาระบบอย่างต่อเนื่องเพื่อให้ข้อมูลต่างๆ มีความถูกต้องและเป็นปัจจุบัน โดยได้นำระบบเทคโนโลยีสารสนเทศที่ทันสมัยและมีประสิทธิภาพ รวมทั้งมีความปลอดภัยของข้อมูล ตั้งแต่การรวบรวมข้อมูล ประมวลผลข้อมูล จัดเก็บ และติดตามผลข้อมูล เพื่อให้การปฏิบัติงานและการนำข้อมูลที่สำคัญไปใช้ในการบริหารจัดการของผู้บริหาร หรือผู้มีส่วนได้เสียต่างๆ มีความครบถ้วนถูกต้องอย่างเพียงพอ ภายในเวลาที่เหมาะสม เพื่อใช้ในการตัดสินใจทางธุรกิจ รวมทั้งมีการกำหนดนโยบายความปลอดภัยทางเทคโนโลยีสารสนเทศและการใช้ ข้อมูล และจัดให้มีระบบ Intranet เพื่อเป็นช่องทางการสื่อสารภายในองค์กร ในการเผยแพร่นโยบาย กฎระเบียบคำสั่งและคู่มือการปฏิบัติงาน รวมทั้งข่าวสารต่างๆ ได้อย่างทั่วถึงทั้งองค์กร

    นอกจากนี้ได้มอบหมายให้เลขานุการบริษัท ดูแลรับผิดชอบในการจัดเตรียมข้อมูลและเอกสารประกอบการประชุมล่วงหน้า ก่อนการประชุม รวมทั้งบันทึกสรุปความคิดเห็น และมติของที่ประชุมไว้อย่างชัดเจนในรายงานการประชุมของคณะกรรมการบริษัททุกครั้ง สำหรับบุคคลภายนอก บริษัทได้จัดให้มีช่องทางการสื่อสารให้บุคคลภายนอกสามารถแจ้งข้อมูลเกี่ยวกับการร้องเรียน หรือแจ้งเบาะแสการทุจริตผ่านช่องทางที่บริษัทกำหนด

  • ระบบการติดตาม และประเมินผล คณะกรรมการบริษัทได้จัดให้มีระบบการควบคุมภายในที่ครอบคลุมทุกด้าน เช่น ด้านบัญชีและการเงิน การปฏิบัติงาน การปฏิบัติตามกฎหมาย/กฎระเบียบ และการดูแลทรัพย์สิน บริษัทได้มีการติดตามผลการปฏิบัติงานว่าเป็นไปตามเป้าหมายที่วางไว้ โดยมีการประชุมคณะกรรมการบริษัทและมีระบบการติดตามการปฏิบัติงานเป็นลำดับชั้น ตั้งแต่คณะกรรมการบริษัทและคณะผู้บริหาร เพื่อติดตามเป้าหมายและกำกับการดำเนินการตามแผนกลยุทธ์ แผนงาน และโครงการที่ดำเนินงานอยู่ในแผนธุรกิจประจำปีที่ได้รับอนุมัติจากคณะกรรมการบริษัทเป็นประจำ โดยมีการเปรียบเทียบเป้าหมายการดำเนินธุรกิจกับผลการดำเนินงานอย่างสม่ำเสมอ มีการทำรายงานให้คณะกรรมการได้ทราบ

    นอกจากนี้ บริษัทยังได้จัดให้มีการตรวจสอบการปฏิบัติตามระบบการควบคุมภายในอย่างสม่ำเสมอโดยผู้รับผิดชอบในฝ่ายงานรับผิดชอบในการดูแลการปฏิบัติตามระบบการควบคุมภายใน และมีฝ่ายตรวจสอบภายในทำการตรวจสอบการปฏิบัติงาน และรายงานผลอย่างเป็นอิสระต่อคณะกรรมการตรวจสอบ โดยในปี 2558 และปี 2559 คณะกรรมการตรวจสอบมีการประชุมรวม 7 ครั้ง และ 6 ครั้งตามลำดับ

    ในการประชุมคณะกรรมการตรวจสอบครั้งที่ 5/2559 เมื่อวันที่ 10 พฤศจิกายน 2559 คณะกรรมการตรวจสอบได้ประเมินระบบการควบคุมภายในจากรายงานผลการประเมิน แล้วสรุปได้ว่า จากการประเมินระบบการควบคุมภายในด้านต่างๆ 5 องค์ประกอบ คือ การควบคุมภายในองค์กร การประเมินความเสี่ยง การควบคุมการปฏิบัติงาน ระบบสารสนเทศและการสื่อสารข้อมูล และระบบการติดตาม คณะกรรมการตรวจสอบ เห็นว่า บริษัทมีระบบการควบคุมภายในที่เพียงพอ และเหมาะสมกับการดำเนินธุรกิจของบริษัท มีการบริหารความเสี่ยงในระดับที่ยอมรับได้ ระบบบัญชี และรายงานทางการเงินมีความถูกต้อง เชื่อถือได้ รวมทั้งปฏิบัติตามกฎหมาย ระเบียบข้อบังคับที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัท

การบริหารความเสี่ยง

บริษัทให้ความสำคัญอย่างยิ่งกับการบริหารความเสี่ยง จึงได้มีการกำหนดเป็นนโยบายการบริหารความเสี่ยง ซึ่งมุ่งเน้นการพัฒนาระบบบริหารความเสี่ยงตามแนวทางการกำกับดูแลกิจการที่ดี (Good Corporate Governance) และให้มีการบริหารความเสี่ยงที่ครอบคลุมความเสี่ยงทุกด้าน โดยดำเนินการอย่างเป็นระบบและต่อเนื่อง โดยมีคณะอนุกรรมการบริหารความเสี่ยง (Risk Management Committee: RMC) ซึ่งประกอบด้วยผู้บริหารแต่ละสายงาน กำกับดูแลการดำเนินการบริหารความเสี่ยงขององค์กรให้เป็นไปตามเป้าหมาย อยู่ในระดับที่องค์กรยอมรับได้

ในปี 2557 บริษัทได้มีการปรับเปลี่ยนโครงสร้างองค์กร โดยจัดตั้งหน่วยงาน Compliance และปรับหน่วยงานภายใต้การดูแลของ Legal ใหม่ เพื่อให้เกิดความคล่องตัวในการบริหารงานมากยิ่งขึ้น และสอดคล้องกับทิศทางการดำเนินธุรกิจของบริษัท

2.รายงานคณะกรรมการตรวจสอบ

บริษัทได้เปิดเผยรายงานคณะกรรมการตรวจสอบใน “รายงานคณะกรรมการตรวจสอบ” ในแบบแสดงรายการข้อมูลประจำปี 2559 (แบบ 56-1) และรายงานประจำปี

3.หัวหน้างานตรวจสอบภายในและหัวหน้างานกำกับดูแลการปฏิบัติงานของบริษัท

ผู้ดำรงตำแหน่งหัวหน้างานตรวจสอบภายในของบริษัท (Internal Audit) ได้แก่ นายพรชัย วิจิตรบูรพัฒน์ และผู้ดำรงตำแหน่งหัวหน้างานกำกับดูแลการปฏิบัติงานของบริษัท (Compliance) ได้แก่ นายศักดา จันทราสุริยารัตน์

ซึ่งคณะกรรมการตรวจสอบ มีความเห็นว่า คุณสมบัติของผู้ดำรงตำแหน่งหัวหน้างานตรวจสอบภายในและหัวหน้างานกำกับดูแลการปฏิบัติงาน มีความเหมาะสมและปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ
ทั้งนี้ ในการพิจารณาแต่งตั้ง ประเมินผล ถอดถอน โยกย้าย เลิกจ้าง ผู้ดำรงตำแหน่งหัวหน้าหน่วยงานตรวจสอบภายในของบริษัทต้องได้รับความเห็นชอบจากคณะกรรมการตรวจสอบ

หัวหน้างานตรวจสอบภายในของบริษัท (Internal Audit) มีหน้าที่ความรับผิดชอบ ดังนี้

  1. ประเมินความเพียงพอและประสิทธิผลของกระบวนการปฏิบัติงานและระบบสารสนเทศ การควบคุมภายใน และการบริหารความเสี่ยงภายใต้ภารกิจและขอบเขตการปฏิบัติงานตรวจสอบ
  2. รายงานประเด็นสำคัญเกี่ยวกับกระบวนการควบคุมในกิจกรรมต่างๆ ของบริษัท และแนวทางในการปรับปรุงกระบวนการในกิจกรรมนั้นๆ
  3. ให้ข้อเสนอแนะแก่ผู้บริหาร เพื่อให้การปฏิบัติงานเป็นไปอย่างมีประสิทธิภาพ ประสิทธิผล ประหยัด และมีการกำกับดูแลกิจการที่ดี
  4. เสนอข้อมูลเกี่ยวกับความคืบหน้าและผลการปฏิบัติงานตามแผนการตรวจสอบประจำปี และความเพียงพอของทรัพยากรที่จำเป็นในการปฏิบัติงาน
  5. ประสานงาน และกำกับดูแลการติดตามและการควบคุมอื่น เช่น การบริหารความเสี่ยง การปฏิบัติตามกฎระเบียบ ความปลอดภัย หลักจรรยาบรรณ สภาพแวดล้อม และการสอบบัญชี
  6. ปฏิบัติงานอื่นที่เกี่ยวข้องกับการตรวจสอบภายในตามที่ได้รับมอบหมายจากคณะกรรมการตรวจสอบ

หัวหน้างานกำกับดูแลการปฏิบัติงานของบริษัท (Compliance) มีหน้าที่ความรับผิดชอบ ดังนี้

  1. กำกับดูแล สอบทานเพื่อให้มั่นใจได้ว่าบริษัทได้มีการปฏิบัติตามกฎหมาย ¬¬ข้อกำหนดของตลาดหลักทรัพย์หรือกฎระเบียบของหน่วยงานราชการอย่างถูกต้อง
  2. ให้ความเห็นทางกฎหมายแก่คณะกรรมการบริษัทและฝ่ายจัดการเพื่อให้การประกอบธุรกิจ¬ของบริษัทปฏิบัติเป็นไปตามกฎหมาย¬ ข้อกำหนดของตลาดหลักทรัพย์ฯ หรือกฎระเบียบของหน่วยงานราชการ ตลอดจนติดตามฝ่ายจัดการให้ระงับการทำรายการหรือการกระทำใดๆ ที่อาจฝ่าฝืน กฎหมายข้อกำหนด หรือกฎระเบียบดังกล่าว
  3. สอบทานหลักฐาน กรณีมีข้อสงสัยว่ามีรายการหรือการกระทำใดๆ ที่อาจฝ่าฝืนกฎหมาย หรือข้อกำหนดของตลาดหลักทรัพย์ฯ หรือกฎระเบียบของหน่วยงานราชการ ซึ่งมีหรืออาจมีผลกระทบต่อฐานะการเงิน และผลการดำเนินงานของบริษัทอย่างมีนัยสำคัญ
  4. ประสานงานกับหัวหน้างานตรวจสอบภายใน และคณะกรรมการตรวจสอบภายใน เพื่อสอบทานหรือร่วมกันหาแนวทางปฏิบัติให้บริษัทมีระบบการควบคุมภายใน (Internal Control) และระบบการตรวจสอบภายใน (Internal Audit) ที่เหมาะสมและมีประสิทธิภาพ
  5. การเข้าร่วมในการพิจารณากำหนดและให้คำแนะนำเกี่ยวกับความเหมาะสม ในขั้นตอนการปฏิบัติงานของบริษัทเพื่อให้มั่นใจได้ว่าปฏิบัติตามนโยบาย แนวทาง กฎเกณฑ์ หรือข้อพึงปฏิบัติที่กำหนดโดยกฎหมายอย่างถูกต้อง
  6. เป็นศูนย์รวมและเผยแพร่ข้อมูล ตลอดจนให้ความรู้และคำปรึกษาแก่หน่วยงานต่างๆ ภายในบริษัทเกี่ยวกับวิธีปฏิบัติงานเพื่อให้สอดคล้องกับกฎหมาย ระเบียบ และหลักเกณฑ์ที่พึงต้องปฏิบัติต่างๆ