การควบคุมภายในและการบริหารจัดการความเสี่ยง

1. สรุปความเห็นของคณะกรรมการบริษัทเกี่ยวกับระบบควบคุมภายในของบริษัท

การควบคุมภายใน

คณะกรรมการบริษัทและผู้บริหารของบริษัท ให้ความสำคัญและตระหนักว่า ระบบการควบคุมภายในเป็นกลไกสำคัญที่จะสร้างความมั่นใจต่อฝ่ายบริหารในการช่วยลดความเสี่ยงทางธุรกิจ ช่วยให้การดำเนินธุรกิจเป็นไปอย่างมีประสิทธิภาพ โดยมีการจัดสรรทรัพยากรอย่างเหมาะสม และบรรลุเป้าหมายตามที่ได้ตั้งไว้

คณะกรรมการบริษัทได้มอบหมายให้คณะกรรมการตรวจสอบ กำกับดูแลกิจการ ความรับผิดชอบต่อสังคมและสิ่งแวดล้อม (คณะกรรมการตรวจสอบฯ) ทำหน้าที่ในการกำกับดูแลให้ระบบการควบคุมภายใน ระบบการบริหารจัดการความเสี่ยงของบริษัทมีความเหมาะสมและมีประสิทธิภาพ รวมถึงการดูแลให้บริษัทมีการปฏิบัติตามข้อกำหนดและกฎหมายที่เกี่ยวข้อง การดูแลมิให้เกิดความขัดแย้งทางผลประโยชน์ การทำรายการเกี่ยวโยงกัน ตลอดจนการติดตามควบคุมดูแลการดำเนินงานของบริษัท การนำทรัพย์สินของบริษัทไปใช้ประโยชน์ในทางมิชอบหรือไม่มีอำนาจ รวมทั้งช่วยปกป้องคุ้มครองทรัพย์สินไม่ให้รั่วไหล สูญหาย หรือจากการทุจริตประพฤติมิชอบ บริษัทได้จัดให้มีกลไกการตรวจสอบและถ่วงดุล โดยมีฝ่ายตรวจสอบภายในซึ่งมีความเป็นอิสระทำหน้าที่ในการตรวจสอบและประเมินประสิทธิภาพ และความเพียงพอของระบบการควบคุมภายใน ระบบการบริหารจัดการความเสี่ยง และระบบการกำกับดูแลกิจการ ในการปฏิบัติงานของทุกหน่วยงานของบริษัท โดยนำกรอบแนวทางของระบบการควบคุมภายในตามมาตรฐานสากลของ COSO (The Committee of Sponsoring Organizations of the Treadway Commission) และกรอบการบริหารความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management) มาประยุกต์ใช้ให้การควบคุมภายใน และการบริหารความเสี่ยงให้มีความสมบูรณ์มากยิ่งขึ้น เพื่อให้การดำเนินงานด้านต่าง ๆ ของบริษัทมีประสิทธิภาพและประสิทธิผลมากที่สุด ฝ่ายจัดการของบริษัทจะนำผลการตรวจสอบไปพิจารณาดำเนินการปรับปรุงแก้ไขในเรื่องต่าง ๆ ที่เกี่ยวข้อง เพื่อการพัฒนางานให้มีคุณภาพ และฝ่ายตรวจสอบภายในได้จัดให้มีระบบการติดตามการดำเนินการของบริษัทอย่างสม่ำเสมอ รวมทั้งยังจัดให้มีหน่วยงาน Compliance เพื่อทำหน้าที่ติดตามศึกษากฎหมาย ประกาศ และคำสั่งที่เกี่ยวกับการประกอบธุรกิจ เผยแพร่ให้พนักงานทำความเข้าใจ ตลอดจนกำกับดูแลให้บริษัทมีการประกอบธุรกิจและการปฏิบัติงานโดยถูกต้อง

นอกจากนี้ คณะกรรมการตรวจสอบฯ ได้มีการประเมินความเพียงพอของระบบการควบคุมภายใน และมีการรายงานต่อคณะกรรมการบริษัทเป็นประจำทุกปีโดยอ้างอิง “แบบประเมินความเพียงพอของระบบการควบคุมภายใน” ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ และได้มีการเปิดเผยผลการประเมินฯ ไว้ใน “เอกสารแนบ 5 รายงานคณะกรรมการตรวจสอบฯ" ในแบบแสดงรายการข้อมูลประจำปี 2562 (แบบ 56-1) และรายงานคณะกรรมการตรวจสอบฯ ในรายงานประจำปี (แบบ 56-2)

ในปี 2562 บริษัทไม่พบข้อบกพร่องที่มีนัยสำคัญต่อระบบการควบคุมภายในของบริษัท ดังนี้

• สภาพแวดล้อมการควบคุม บริษัทได้กำหนดให้มีสภาพแวดล้อมของการควบคุมภายในที่ดี โดยจัดโครงสร้างองค์กรและสายงานการบังคับบัญชาที่ชัดเจนเหมาะสม รวมทั้งกำหนดเป้าหมายทางธุรกิจและดัชนีชี้วัดผลสำเร็จ (Key Performance Indicators: KPI) เพื่อใช้ในการประเมินประสิทธิภาพในการปฏิบัติงานสอดคล้องกับเป้าหมายขององค์กร กำหนดให้มีคู่มือการใช้อำนาจและคู่มือการปฏิบัติงานของทุกระบบอย่างเป็นลายลักษณ์อักษร เพื่อใช้เป็นแนวทางในการปฏิบัติงาน นอกจากนี้ บริษัทยังปลูกฝังให้ผู้บริหารและพนักงานทุกคนของบริษัท ตระหนักถึงการกำกับดูแลกิจการที่ดี โดยกำหนดให้มีนโยบายการกำกับดูแลกิจการที่ดี จริยธรรมทางธุรกิจ และจรรยาบรรณของกรรมการ ผู้บริหาร และพนักงานของบริษัท รวมทั้งจัดให้มีกิจกรรมส่งเสริมอย่างต่อเนื่อง โดยการส่งเสริมให้ความรู้แก่พนักงานเป็นประจำทุกปี เพื่อให้พนักงานมีความตระหนัก (Awareness) ในการปฏิบัติงานให้มีความโปร่งใส เป็นธรรม และคำนึงถึงผู้มีส่วนได้เสียทุกกลุ่ม
• การประเมินความเสี่ยง นอกจากการประเมินความเพียงพอของระบบการควบคุมภายในโดยอ้างอิง “แบบประเมินความเพียงพอของระบบการควบคุมภายใน” ตามแนว COSO (The Committee of Sponsoring Organizations of the Treadway Commission) Framework ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์แล้ว บริษัทยังได้จัดทำการประเมินความเสี่ยงตนเองประจำปีตามหลักเกณฑ์การกำกับแบบรวมกลุ่มของธนาคารแห่งประเทศไทย ครอบคลุมความเสี่ยงสำคัญ ได้แก่ ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านเครดิต ความเสี่ยงด้านตลาด ความเสี่ยงด้านสภาพคล่อง ความเสี่ยงด้านเทคโนโลยีสารสนเทศ และความเสี่ยงด้านปฏิบัติการ ซึ่งครอบคลุมความเสี่ยงด้านคอร์รัปชันด้วย โดยทำการประเมินระดับความเสี่ยง คุณภาพการจัดการความเสี่ยง แนวโน้มความเสี่ยง พร้อมระบุแนวทางการจัดการหรือควบคุมความเสี่ยง ซึ่งผลการประเมินความเสี่ยงตนเองดังกล่าว บริษัทต้องนำส่งต่อ ธนาคารกรุงไทย จำกัด (มหาชน) เพื่อรายงานต่อคณะกรรมการบริหารความเสี่ยงของกลุ่มธุรกิจทางการเงินด้วย
• การควบคุมการปฏิบัติงานของฝ่ายบริหาร บริษัทได้มีการแบ่งแยกหน้าที่ความรับผิดชอบของแต่ละตำแหน่งงานอย่างชัดเจน มีการทบทวนคู่มืออำนาจดำเนินการและคู่มือ/ ขั้นตอนการปฏิบัติงานให้เหมาะสมกับโครงสร้างองค์กรและการปฏิบัติงานในปัจจุบัน รวมทั้งมีการสอบทานผลการปฏิบัติงานให้เป็นไปตามกฎระเบียบ ข้อบังคับ คู่มืออำนาจดำเนินการและคู่มือการปฏิบัติงานต่าง ๆ อย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการปฏิบัติงานมีระบบการควบคุมภายในที่เพียงพอเหมาะสม และการปฏิบัติงานมีประสิทธิภาพ ในส่วนของการทำรายการกับบุคคลที่เกี่ยวข้อง คณะกรรมการบริษัทได้มีมติอนุมัติหลักการในการทำข้อตกลงทางการค้าที่มีลักษณะเป็นธุรกรรมระหว่างบุคคลที่มีความเกี่ยวข้องกัน เพื่อให้สอดคล้องกับที่กฎหมายบัญญัติดังที่ได้กล่าวถึงข้างต้น โดยให้ฝ่ายจัดการสามารถทำธุรกรรม หรือรายการ หรือข้อตกลงทางการค้าที่มีลักษณะเป็นรายการระหว่างบุคคลที่มีความเกี่ยวข้องกันตามความหมายที่กำหนดไว้ในกฎหมายว่าด้วยหลักทรัพย์และตลาดหลักทรัพย์ ทั้งนี้ ธุรกรรม หรือรายการ หรือข้อตกลงดังกล่าว ให้เป็นไปในลักษณะเดียวกับที่วิญญูชนจะพึงกระทำกับคู่สัญญาทั่วไปในสถานการณ์เดียวกัน ด้วยอำนาจต่อรองทางการค้าที่ปราศจากอิทธิพลในการที่ตนมีสถานะเป็นกรรมการ ผู้บริหาร หรือบุคคลที่มีความเกี่ยวข้อง (รายการที่มีข้อตกลงทางการค้าทั่วไป) รวมทั้งรายการที่มีการดำเนินมาแล้วอย่างต่อเนื่อง และที่อาจจะเกิดขึ้นในอนาคต โดยให้ฝ่ายจัดการสามารถกำหนดกรอบระเบียบเพื่อเป็นแนวทางในการดำเนินงาน และจัดทำรายงานสรุปการทำรายการดังกล่าวให้ที่ประชุมคณะกรรมการตรวจสอบฯ และคณะกรรมการบริษัททราบภายในเวลาอันสมควร หากบริษัทมีการทำรายการระหว่างกันกับบุคคลที่อาจมีความขัดแย้งเกิดขึ้นในอนาคต บริษัทจะจัดให้คณะกรรมการตรวจสอบฯ เป็นผู้พิจารณาเกี่ยวกับความเหมาะสมของรายการดังกล่าว หากคณะกรรมการตรวจสอบฯ ไม่มีความชำนาญในการพิจารณารายการระหว่างกันที่เกิดขึ้น บริษัทจะจัดให้มีบุคคลที่มีความรู้ความชำนาญพิเศษ เช่น ผู้สอบบัญชี หรือผู้ประเมินราคาทรัพย์สิน หรือสำนักงานกฎหมาย เป็นต้น ที่เป็นอิสระจากบริษัทและบุคคลที่อาจมีความขัดแย้งเป็นผู้ให้ความเห็นเกี่ยวกับรายการระหว่างกันดังกล่าว
• ระบบสารสนเทศและการสื่อสารข้อมูลบริษัทได้ให้ความสำคัญต่อระบบสารสนเทศและการสื่อสารข้อมูล ส่งเสริมและสนับสนุนให้มีการพัฒนาระบบอย่างต่อเนื่องเพื่อให้ข้อมูลต่าง ๆ มีความถูกต้องและเป็นปัจจุบัน โดยได้นำระบบเทคโนโลยีสารสนเทศที่ทันสมัยและมีประสิทธิภาพ รวมทั้งมีความปลอดภัยของข้อมูล ตั้งแต่การรวบรวมข้อมูล ประมวลผลข้อมูล จัดเก็บ และติดตามผลข้อมูล เพื่อให้การปฏิบัติงานและการนำข้อมูลที่สำคัญไปใช้ในการบริหารจัดการของผู้บริหาร หรือผู้มีส่วนได้เสียต่าง ๆ มีความครบถ้วนถูกต้องอย่างเพียงพอ ภายในเวลาที่เหมาะสม เพื่อใช้ในการตัดสินใจทางธุรกิจ รวมทั้งมีการกำหนดนโยบายความปลอดภัยทางเทคโนโลยีสารสนเทศและการใช้ข้อมูล และจัดให้มีระบบ Intranet เพื่อเป็นช่องทางการสื่อสารภายในองค์กร ในการเผยแพร่นโยบาย กฎระเบียบคำสั่งและคู่มือการปฏิบัติงาน รวมทั้งข่าวสารต่าง ๆ ได้อย่างทั่วถึงทั้งองค์กร

  นอกจากนี้ ได้มอบหมายให้เลขานุการบริษัทดูแลรับผิดชอบในการจัดเตรียมข้อมูลและเอกสารประกอบการประชุมล่วงหน้าก่อนการประชุม รวมทั้งบันทึกสรุปความคิดเห็น และมติของที่ประชุมไว้อย่างชัดเจนในรายงานการประชุมของคณะกรรมการบริษัททุกครั้งสำหรับบุคคลภายนอก บริษัทได้จัดให้มีช่องทางการสื่อสารให้บุคคลภายนอกสามารถแจ้งข้อมูลเกี่ยวกับการร้องเรียน หรือแจ้งเบาะแสการทุจริตผ่านช่องทางที่บริษัทกำหนด

• ระบบการติดตาม และประเมินผลคณะกรรมการบริษัทได้จัดให้มีระบบการควบคุมภายในที่ครอบคลุมทุกด้าน เช่น ด้านบัญชีและการเงิน การปฏิบัติงาน การปฏิบัติตามกฎหมาย กฎระเบียบ และการดูแลทรัพย์สิน บริษัทได้มีการติดตามผลการปฏิบัติงานว่าเป็นไปตามเป้าหมายที่วางไว้ โดยมีการประชุมคณะกรรมการบริษัทและมีระบบการติดตามการปฏิบัติงานเป็นลำดับชั้น ตั้งแต่คณะกรรมการบริษัทและคณะผู้บริหาร เพื่อติดตามเป้าหมายและกำกับการดำเนินการตามแผนกลยุทธ์ แผนงาน และโครงการที่ดำเนินงานอยู่ในแผนธุรกิจประจำปีที่ได้รับอนุมัติจากคณะกรรมการบริษัทเป็นประจำ โดยมีการเปรียบเทียบเป้าหมายการดำเนินธุรกิจกับผลการดำเนินงานอย่างสม่ำเสมอ มีการทำรายงานให้คณะกรรมการได้ทราบ

  นอกจากนี้ บริษัทยังได้จัดให้มีการตรวจสอบการปฏิบัติตามระบบการควบคุมภายในอย่างสม่ำเสมอโดยผู้รับผิดชอบในฝ่ายงานรับผิดชอบในการดูแลการปฏิบัติตามระบบการควบคุมภายใน และมีฝ่ายตรวจสอบภายในทำการตรวจสอบการปฏิบัติงาน และรายงานผลอย่างเป็นอิสระต่อคณะกรรมการตรวจสอบฯ โดยในปี 2561 และปี 2562 คณะกรรมการตรวจสอบฯ มีการประชุมรวม 12 ครั้ง และ 11 ครั้งตามลำดับ

  ในการประชุมคณะกรรมการตรวจสอบฯ ครั้งที่ 10/2562 เมื่อวันที่ 11 พฤศจิกายน 2562 คณะกรรมการตรวจสอบฯ ได้ประเมินระบบการควบคุมภายในจากรายงานผลการประเมิน แล้วสรุปได้ว่า จากการประเมินระบบการควบคุมภายในด้านต่าง ๆ 5 องค์ประกอบ คือ การควบคุมภายในองค์กร การประเมินความเสี่ยง การควบคุมการปฏิบัติงาน ระบบสารสนเทศและการสื่อสารข้อมูล และระบบการติดตาม คณะกรรมการตรวจสอบฯ เห็นว่า บริษัทมีระบบการควบคุมภายในที่เพียงพอและเหมาะสมกับการดำเนินธุรกิจของบริษัท มีการบริหารความเสี่ยงในระดับที่ยอมรับได้ ระบบบัญชีและรายงานทางการเงินมีความถูกต้อง เชื่อถือได้ รวมทั้งปฏิบัติตามกฏหมาย ระเบียบข้อบังคับที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัท

การบริหารความเสี่ยง

บริษัทให้ความสำคัญอย่างยิ่งกับการบริหารความเสี่ยง จึงได้มีการกำหนดเป็นนโยบายการบริหารความเสี่ยง ซึ่งมุ่งเน้นการพัฒนาระบบบริหารความเสี่ยงตามแนวทางการกำกับดูแลกิจการที่ดี (Good Corporate Governance) และให้มีการบริหารความเสี่ยงที่ครอบคลุมความเสี่ยงทุกด้าน โดยดำเนินการอย่างเป็นระบบและต่อเนื่อง โดยมีคณะอนุกรรมการบริหารความเสี่ยง (Risk Management Committee: RMC) ซึ่งประกอบด้วยผู้บริหารแต่ละสายงาน กำกับดูแลการดำเนินการบริหารความเสี่ยงขององค์กรให้เป็นไปตามเป้าหมาย อยู่ในระดับที่องค์กรยอมรับได้ และได้จัดตั้งหน่วยงาน Compliance เพื่อทำหน้าที่กำกับดูแลการปฏิบัติงานของบริษัทให้เป็นไปตามหลักเกณฑ์ที่หน่วยงานกำกับดูแลกำหนดไว้ และเป็นไปตามแนวทางการกำกับดูแลกิจการที่ดี

(โปรดศึกษารายละเอียดเรื่อง การบริหารความเสี่ยงด้านต่าง ๆ ของบริษัท ได้ที่หัวข้อ “ปัจจัยความเสี่ยง”)

2.รายงานคณะกรรมการตรวจสอบ

บริษัทได้เปิดเผยรายงานคณะกรรมการตรวจสอบฯ ใน “เอกสารแนบ 5 รายงานคณะกรรมการตรวจสอบฯ” ในแบบแสดงรายการข้อมูลประจำปี 2562 (แบบ 56-1) และรายงานคณะกรรมการตรวจสอบฯ ในรายงานประจำปี

3.หัวหน้างานตรวจสอบภายในและหัวหน้างานกำกับดูแลการปฏิบัติงานของบริษัท

ผู้ดำรงตำแหน่งหัวหน้างานตรวจสอบภายในของบริษัท (Internal Audit) ได้แก่ นายพรชัย วิจิตรบูรพัฒน์ และผู้ดำรงตำแหน่งหัวหน้างานกำกับดูแลการปฏิบัติงานของบริษัท (Compliance) ได้แก่ นายศักดา จันทราสุริยารัตน์

(โปรดศึกษารายละเอียดเพิ่มเติมได้ที่ เอกสารแนบ 3 ประวัติหัวหน้างานตรวจสอบภายใน หัวหน้างานกำกับดูแลการปฏิบัติงานของบริษัท (Compliance) และผู้ควบคุมดูแลการทำบัญชี)

ซึ่งคณะกรรมการตรวจสอบฯ มีความเห็นว่า คุณสมบัติของผู้ดำรงตำแหน่งหัวหน้างานตรวจสอบภายในและหัวหน้างานกำกับดูแลการปฏิบัติงาน มีความเหมาะสมและปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ

ทั้งนี้ ในการพิจารณาแต่งตั้ง ประเมินผล ถอดถอน โยกย้าย เลิกจ้าง ผู้ดำรงตำแหน่งหัวหน้าหน่วยงานตรวจสอบภายในของบริษัทต้องได้รับความเห็นชอบจากคณะกรรมการตรวจสอบฯ

หัวหน้างานตรวจสอบภายในของบริษัท (Internal Audit) มีหน้าที่ความรับผิดชอบ ดังนี้

1. ประเมินความเพียงพอและประสิทธิผลของกระบวนการปฏิบัติงานและระบบสารสนเทศ การควบคุมภายใน และการบริหารความเสี่ยงภายใต้ภารกิจและขอบเขตการปฏิบัติงานตรวจสอบ
2. รายงานประเด็นสำคัญเกี่ยวกับกระบวนการควบคุมในกิจกรรมต่าง ๆ ของบริษัท และแนวทางในการปรับปรุงกระบวนการในกิจกรรมนั้น ๆ
3. ให้ข้อเสนอแนะแก่ผู้บริหาร เพื่อให้การปฏิบัติงานเป็นไปอย่างมีประสิทธิภาพ ประสิทธิผล ประหยัด และมีการกำกับดูแลกิจการที่ดี
4. เสนอข้อมูลเกี่ยวกับความคืบหน้าและผลการปฏิบัติงานตามแผนการตรวจสอบประจำปี และความเพียงพอของทรัพยากรที่จำเป็นในการปฏิบัติงาน
5. ประสานงาน กำกับดูแลการติดตาม และการควบคุมอื่น เช่น การบริหารความเสี่ยง การปฏิบัติตามกฎระเบียบ ความปลอดภัย หลักจรรยาบรรณ สภาพแวดล้อม และการสอบบัญชี
6. ปฏิบัติงานอื่นที่เกี่ยวข้องกับการตรวจสอบภายในตามที่ได้รับมอบหมายจากคณะกรรมการตรวจสอบฯ

หัวหน้างานกำกับดูแลการปฏิบัติงานของบริษัท (Compliance) มีหน้าที่ความรับผิดชอบ ดังนี้

1. กำกับดูแล สอบทานเพื่อให้มั่นใจได้ว่าบริษัทได้มีการปฏิบัติตามกฎหมาย ¬¬ข้อกำหนดของตลาดหลักทรัพย์หรือกฎระเบียบของหน่วยงานราชการอย่างถูกต้อง
2. ให้ความเห็นทางกฎหมายแก่คณะกรรมการบริษัทและฝ่ายจัดการเพื่อให้การประกอบธุรกิจ¬ของบริษัทปฏิบัติเป็นไปตามกฎหมาย¬ ข้อกำหนดของตลาดหลักทรัพย์ฯ หรือกฎระเบียบของหน่วยงานราชการ ตลอดจนติดตามฝ่ายจัดการให้ระงับการทำรายการหรือการกระทำใด ๆ ที่อาจฝ่าฝืนกฎหมายข้อกำหนด หรือกฎระเบียบดังกล่าว
3. สอบทานหลักฐาน กรณีมีข้อสงสัยว่ามีรายการหรือการกระทำใด ๆ ที่อาจฝ่าฝืนกฎหมาย หรือข้อกำหนดของตลาดหลักทรัพย์ฯ หรือกฎระเบียบของหน่วยงานราชการ ซึ่งมีหรืออาจมีผลกระทบต่อฐานะการเงิน และผลการดำเนินงานของบริษัทอย่างมีนัยสำคัญ
4. ประสานงานกับหัวหน้างานตรวจสอบภายในและคณะกรรมการตรวจสอบฯ เพื่อสอบทานหรือร่วมกันหาแนวทางปฏิบัติให้บริษัทมีระบบการควบคุมภายใน (Internal Control) และระบบการตรวจสอบภายใน (Internal Audit) ที่เหมาะสมและมีประสิทธิภาพ
5. การเข้าร่วมในการพิจารณากำหนดและให้คำแนะนำเกี่ยวกับความเหมาะสม ในขั้นตอนการปฏิบัติงานของบริษัทเพื่อให้มั่นใจได้ว่าปฏิบัติตามนโยบาย แนวทาง กฎเกณฑ์ หรือข้อพึงปฏิบัติที่กำหนดโดยกฎหมายอย่างถูกต้อง
6. เป็นศูนย์รวมและเผยแพร่ข้อมูล ตลอดจนให้ความรู้และคำปรึกษาแก่หน่วยงานต่าง ๆ ภายในบริษัทเกี่ยวกับวิธีปฏิบัติงานเพื่อให้สอดคล้องกับกฎหมาย ระเบียบ และหลักเกณฑ์ที่พึงต้องปฏิบัติต่าง ๆ