| คำศัพท์ |
ความหมาย |
| การเพิ่มคุณค่า – Add Value |
กิจกรรมการตรวจสอบภายในเพิ่มคุณค่าแก่องค์กร (และผู้มีส่วนได้เสีย) เมื่อกิจกรรมการตรวจสอบดังกล่าวมีความเที่ยงธรรม สามารถให้ความเชื่อมั่นในเรื่องที่เกี่ยวข้อง และมีส่วนสนับสนุนความมีประสิทธิผล และมีประสิทธิภาพของกระบวนการกำกับดูแล การบริหารความเสี่ยง และการควบคุม |
| การควบคุมอย่างพอเพียง – Adequate Control |
การที่ฝ่ายบริหารมีการวางแผนและจัดวางระบบภายในองค์กรในลักษณะที่สามารถให้ความเชื่อมั่นอย่างสมเหตุสมผลว่าได้มีการบริหารความเสี่ยงขององค์กรอย่างมีประสิทธิผลและทำให้องค์กรบรรลุเป้าหมายและวัตถุประสงค์อย่างประหยัดและมีประสิทธิภาพ |
| การบริการให้ความเชื่อมั่น – Assurance Services |
การตรวจสอบหลักฐานอย่างเที่ยงธรรมเพื่อให้ได้มาซึ่งการประเมินอย่างเป็นอิสระในกระบวนการกำกับดูแล การบริหารความเสี่ยง และการควบคุมขององค์กร เช่น การให้ความเชื่อมั่นทางด้านการเงิน การปฏิบัติงาน การปฏิบัติตามกฎระเบียบ ความมั่นคงปลอดภัยของระบบต่าง ๆ และภารกิจการจัดทำ Due Diligence
มีบุคคล 3 ฝ่ายที่เข้ามาเกี่ยวข้องกับการให้ความเชื่อมั่น:
- บุคคลหรือกลุ่มบุคคลที่เกี่ยวข้องโดยตรงกับกระบวนการ/ขั้นตอนการปฏิบัติงาน ระบบ หรือประเด็นอื่นๆ ที่อยู่ในความสนใจ หรือที่เรียกว่า เจ้าของระบบ (Process Owner)
- บุคคลหรือกลุ่มบุคคลที่ทำการประเมิน ซึ่งก็คือ ผู้ตรวจสอบภายใน
- บุคคลหรือกลุ่มบุคคลที่ใช้ผลจากการประเมิน หรือที่เรียกว่า ผู้ใช้ (User)
|
| คณะกรรมการ – Board |
คณะบุคคลที่บริหารองค์กรในระดับสูงสุดซึ่งมีหน้าที่ในการสั่งการและ/หรือสอดส่องดูแลกิจกรรมและการบริหารจัดการขององค์กร ในบางครั้งหมายความรวมถึงกลุ่มของกรรมการอิสระ ตัวอย่างเช่น คณะกรรมการองค์กร ( A Board of Directors) คณะกรรมการกำกับดูแล (A Supervisory Board) หรือคณะกรรมการบริหาร (A Board of Governors or Trustees) ถ้าไม่มีกลุ่มคณะกรรมการดังกล่าวนี้ “คณะกรรมการ” อาจหมายถึงหัวหน้าขององค์กรหรืออาจหมายถึงคณะกรรมการตรวจสอบซึ่งคณะบริหารได้มอบหน้าที่เฉพาะด้าน |
| กฎบัตร – Charter |
กฎบัตรของงานตรวจสอบภายในคือเอกสารที่เป็นทางการ ซึ่งกำหนดวัตถุประสงค์ อำนาจหน้าที่ และความรับผิดชอบของกิจกรรมการตรวจสอบภายใน กฎบัตรกำหนดสถานะของกิจกรรมการตรวจสอบภายในในองค์กร ให้อำนาจในการเข้าถึงข้อมูลของกิจการ บุคลากร และทรัพย์สินต่างๆที่เกี่ยวข้องกับการปฏิบัติงานตามภารกิจและการกำหนดขอบเขตของกิจกรรมการตรวจสอบภายใน
กฎบัตรของหน่วยงานตรวจสอบภายในมักจะประกอบด้วย
- บทนำ (Introduction)
- อำนาจหน้าที่ (Authority)
- โครงสร้างองค์กรและสายการบังคับบัญชา (Organization and Reporting Structure)
- ความมีอิสระและความเที่ยงธรรม (Independence and Objectivity)
- หน้าที่ความรับผิดชอบ (Responsibilities)
- การประกันคุณภาพและการปรับปรุงงาน (QAIP)
- ลายเซ็น (Signature)
|
| หัวหน้าผู้บริหารงานตรวจสอบ – Chief Audit Executive |
หัวหน้าผู้บริหารงานตรวจสอบ หมายถึง บุคคลที่มีตำแหน่งงานอาวุโสซึ่งรับผิดชอบการบริหารกิจกรรมการตรวจสอบภายในให้มีประสิทธิผล สอดคล้องกับกฎบัตรงานตรวจสอบภายใน และคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐาน หัวหน้าผู้บริหารงานตรวจสอบหรือบุคคลที่ต้องรายงานต่อหัวหน้าผู้บริหารงานตรวจสอบควรมีประกาศนียบัตรทางวิชาชีพและคุณสมบัติที่เหมาะสม อย่างไรก็ตามชื่อตำแหน่งสำหรับหัวหน้าผู้บริหารงานตรวจสอบอาจแตกต่างกันในแต่ละองค์กร |
| ประมวลจรรยาบรรณ – Code of Ethics |
ประมวลจรรยาบรรณของสมาคมผู้ตรวจสอบภายในสากล (The Institute of Internal Auditors หรือ IIA) คือ หลักการ (Principles) ที่เกี่ยวกับวิชาชีพและการปฏิบัติงานตรวจสอบภายใน และหลักปฏิบัติ (Rules of Conduct) ซึ่งบรรยายสิ่งที่ผู้ตรวจสอบภายในพึงประพฤติปฏิบัติ ประมวลจรรยาบรรณสามารถนำไปปฏิบัติได้ทั้งในระดับบุคคลและหน่วยงานที่ให้บริการตรวจสอบภายใน จุดประสงค์ของประมวลจรรยาบรรณคือเพื่อส่งเสริมวัฒนธรรมของจรรยาบรรณในวิชาชีพการตรวจสอบภายใน |
| การปฏิบัติตามกฎระเบียบ – Compliance |
การปฏิบัติให้เป็นไปตามนโยบาย แผนงาน วิธีการปฏิบัติงาน กฎหมาย ระเบียบข้อบังคับ สัญญา ตลอดจนข้อกำหนดต่าง ๆ |
| ความขัดแย้งทางผลประโยชน์ – Conflict of Interest |
ความสัมพันธ์ใดๆ ที่ทำให้องค์กร ไม่ได้ประโยชน์สูงสุดที่พึงได้รับ ความขัดแย้งทางผลประโยชน์นี้อาจจะทำให้ผู้ปฏิบัติงานเกิดความลำเอียง และไม่สามารถปฏิบัติภาระหน้าที่ได้อย่างเที่ยงธรรม |
| การบริการให้คำปรึกษา – Consulting Services |
กิจกรรมการให้คำปรึกษา แนะนำ และบริการที่เกี่ยวเนื่องแก่ผู้รับบริการ โดยลักษณะและขอบเขตของงานจะเป็นไปตามข้อตกลงที่ทำขึ้นร่วมกันกับผู้รับบริการและมีจุดประสงค์เพื่อเพิ่มคุณค่าและปรับปรุงกระบวนการกำกับดูแล การบริหารความเสี่ยง และการควบคุมขององค์กร โดยไม่เข้าไปร่วมรับผิดชอบในฐานะฝ่ายบริหาร ตัวอย่างรวมถึงการให้คำปรึกษา คำแนะนำ การอำนวยความสะดวก และการฝึกอบรม |
| การควบคุม – Control |
ความหมายตามมาตรฐานของ IIA:
การกระทำใดๆ โดยฝ่ายบริหาร คณะกรรมการ และกลุ่มบุคคลอื่น ๆ เพื่อบริหารความเสี่ยงและเพิ่มโอกาสให้องค์กรบรรลุวัตถุประสงค์และเป้าหมายที่กำหนดไว้ โดยฝ่ายบริหารมีการวางแผน จัดองค์กร และอำนวยการดาเนินงานอย่างเพียงพอที่จะเกิดความเชื่อมั่นอย่างสมเหตุสมผลว่าองค์กรจะบรรลุวัตถุประสงค์และเป้าหมาย
ความหมายตามกรอบการควบคุมภายใน COSO:
กระบวนการหรือขั้นตอนการทำงานที่เป็นผลมาจากการออกแบบโดยคณะกรรมการ ผู้บริหาร หรือบุคลากรอื่นๆ ขององค์กร เพื่อก่อให้เกิดความมั่นใจได้อย่างสมเหตุสมผลว่า องค์กรจะสามารถบรรลุวัตถุประสงค์ที่เกี่ยวกับการดำเนินงาน (Operations) การรายงาน (Reporting) และการปฏิบัติตามกฎระเบียบ (Compliance) |
| สภาวะแวดล้อมของการควบคุม – Control Environment |
ทัศนคติและการกระทำของคณะกรรมการและฝ่ายบริหารในการให้ความสำคัญกับการควบคุมภายในองค์กร สภาพแวดล้อมของการควบคุมนี้เป็นรากฐานที่จะทำให้องค์กรบรรลุวัตถุประสงค์ขั้นต้นของการวางระบบการควบคุมภายใน สภาพแวดล้อมของการควบคุมมีองค์ประกอบดังนี้
- ความซื่อสัตย์สุจริตและความมีจริยธรรม
- ปรัชญาและรูปแบบการบริหารของฝ่ายบริหาร
- โครงสร้างขององค์กร
- การมอบหมายอำนาจและหน้าที่รับผิดชอบ
- นโยบายและการปฏิบัติทางด้านทรัพยากรบุคคล
- ความสามารถในหน้าที่ของบุคลากร
|
| กระบวนการควบคุม – Control Process |
นโยบาย วิธีการปฏิบัติ (ทั้งคู่มือการปฏิบัติงานและระบบอัตโนมัติ) และกิจกรรมต่างๆ ขององค์กรซึ่งเป็นส่วนหนึ่งของกรอบโครงสร้างการควบคุมที่ออกแบบมาเพื่อให้เกิดความเชื่อมั่นว่าความเสี่ยงถูกจำกัดให้อยู่ในระดับที่ยอมรับได้ |
| ภารกิจ – Engagement |
งานตรวจสอบภายในหรืองานการสอบทานที่ได้รับมอบหมายให้ทำแต่ละงาน ตัวอย่างเช่น งานการตรวจสอบภายใน งานการสอบทานการประเมินการควบคุมด้วยตนเอง (Control Self-Assessment หรือ CSA) การสอบสวนการทุจริต หรืองานบริการให้คำปรึกษา ภารกิจอาจประกอบด้วยหลาย ๆ งานหรือหลาย ๆ กิจกรรมที่ทำควบคู่กันไปเพื่อบรรลุเป้าหมายและวัตถุประสงค์เดียวกัน |
| ความคิดเห็นเกี่ยวกับภารกิจ – Engagement Opinion |
การประเมิน (Rating) ข้อสรุป และ/หรือคำบรรยายของผลการตรวจสอบภายในซึ่งเกี่ยวข้องกับวัตถุประสงค์และขอบเขตของการตรวจสอบ |
| วัตถุประสงค์ของภารกิจ – Engagement Objectives |
คำชี้แจงอย่างกว้าง ๆ ที่พัฒนาโดย ผู้ตรวจสอบภายใน เพื่อกำหนดเป้าหมายที่คาดหวังว่าภารกิจจะสัมฤทธิ์ผล |
| แผนการปฏิบัติงานตามภารกิจ – Engagement Work Program |
เอกสารแสดงรายละเอียดวิธีการปฏิบัติงานตามภารกิจ ซึ่งออกแบบเพื่อเป็นแนวทางที่จะทำให้ภารกิจเป็นไปตามแผนที่วางไว้ |
| ผู้ให้บริการจากภายนอก – External Service Provider |
บุคคลหรือนิติบุคคลภายนอกองค์กรที่มีความรู้ ทักษะ และประสบการณ์เฉพาะด้าน |
| การทุจริต – Fraud |
การกระทำผิดกฎหมายของบุคคลหรือองค์กรในลักษณะของการฉ้อฉลหลอกลวง ปกปิด หรือใช้อำนาจหน้าที่โดยมิชอบ และเป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับจากผู้อื่น เพื่อให้ได้มาซึ่งทรัพย์สินเงินทองหรือบริการ เพื่อเลี่ยงการจ่ายเงินหรือให้บริการ หรือเพื่อรักษาความได้เปรียบส่วนตนหรือความได้เปรียบทางธุรกิจ |
| การกำกับดูแล – Governance |
ความหมายตามมาตรฐานของ IIA:
การผสมผสานของกระบวนการและโครงสร้างต่างๆ ที่คณะกรรมการนำมาใช้เพื่อบอกกล่าว สั่งการ บริหาร และติดตาม กิจกรรมต่างๆ ภายในองค์กรเพื่อให้บรรลุตามวัตถุประสงค์ขององค์กร
ความหมายตาม ก.ล.ต.:
ระบบที่จัดให้มีกระบวนการและโครงสร้างของภาวะผู้นำ และการควบคุมของกิจการ ให้มีความรับผิดชอบตามหน้าที่ด้วยความโปร่งใส และสร้างความสามารถในการแข่งขันเพื่อรักษาเงินลงทุน และเพิ่มคุณค่าให้กับผู้ถือหุ้นในระยะยาว ภายในกรอบการมีจริยธรรมที่ดีโดยคำนึงถึงผู้มีส่วนได้ส่วนเสียอื่นและสังคมโดยรวม โดยประกอบด้วยหลักการ 5 ข้อ ดังต่อไปนี้
- สิทธิของผู้ถือหุ้น
- การปฏิบัติต่อผู้ถือหุ้นอย่างเท่าเทียม
- บทบาทของผู้มีส่วนได้เสีย
- การเปิดเผยข้อมูลและความโปร่งใส
- ความรับผิดชอบของคณะกรรมการ
|
| เหตุบั่นทอน – Impairments |
เหตุการณ์หรือการกระทำที่ส่งผลให้การทำงานของบุคคลหรือของ องค์กรขาดความเที่ยงธรรมและความเป็นอิสระ เหตุการณ์หรือการกระทำดังกล่าวจะรวมถึงการกระทำที่มีการขัดแย้งทางผลประโยชน์ส่วนบุคคล การจำกัดขอบเขต การกีดกันการเข้าถึงข้อมูล บุคลากร และทรัพย์สิน ตลอดจนการถูกจำกัดทรัพยากร (เงินทุนสนับสนุน) |
| ความเป็นอิสระ – Independence |
การเป็นอิสระจากสภาวะที่เป็นอุปสรรคต่อความสามารถในการปฏิบัติงานตรวจสอบภายใน เพื่อทำให้การตรวจสอบภายในบรรลุผลโดยปราศจากอคติ |
| การควบคุมด้านเทคโนโลยีสารสนเทศ – Information Technology Controls |
การควบคุมที่สนับสนุนการบริหารจัดการและการกากับดูแลธุรกิจ โดยจัดให้มีการควบคุมที่โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ เช่น ระบบงาน ข้อมูล ระบบโครงสร้าง และบุคลากร |
| การกำกับดูแลด้านเทคโนโลยีสารสนเทศ – Information Technology Governance |
ประกอบด้วยภาวะความเป็นผู้นำ โครงสร้างขององค์กร และกระบวนการที่สร้างความมั่นใจว่า เทคโนโลยีสารสนเทศขององค์กรสนับสนุนกลยุทธ์และวัตถุประสงค์ขององค์กร |
| กิจกรรมการตรวจสอบภายใน – Internal Audit Activity |
แผนก หน่วยงาน คณะที่ปรึกษา หรือ ผู้ปฏิบัติหน้าที่ ที่ให้บริการให้ความเชื่อมั่นและให้คำปรึกษาอย่างเที่ยงธรรมและเป็นอิสระ เพื่อเพิ่มคุณค่าและปรับปรุงการดาเนินงานขององค์กร กิจกรรมการตรวจสอบภายในช่วยให้องค์กรบรรลุเป้าหมายด้วยการประเมินและปรับปรุงประสิทธิผลของกระบวนการกำกับดูแล การบริหารความเสี่ยง และการควบคุม อย่างเป็นระบบและเป็นระเบียบ |
| กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในระดับสากล – International Professional Practices Framework |
กรอบงานซึ่งจัดวางแนวทางการปฏิบัติงานที่เผยแพร่โดย สมาคมผู้ตรวจสอบภายในสากล (The IIA) แนวทางการปฏิบัติงานดังกล่าวแบ่งออกเป็น 2 ประเภท ได้แก่ (1) แนวทางที่บังคับใช้งาน (Mandatory) และ (2) แนวทางที่สนับสนุนและแนะนำให้นำไปใช้งาน (Strongly Recommended) |
| ความเที่ยงธรรม – Objectivity |
ทัศนคติอันปราศจากความเอนเอียงที่เอื้อให้ผู้ตรวจสอบภายในสามารถปฏิบัติงานตามภารกิจด้วยความเชื่อมั่นในผลงานและไม่มีการลดหย่อนในคุณภาพของงาน ดุลยพินิจของผู้ตรวจสอบภายในในเรื่องที่เกี่ยวข้องกับการตรวจสอบจะต้องไม่อยู่ภายใต้การชักจูงหรือชักนำจากผู้อื่นหรือกิจกรรมอื่น |
| ความเห็นในภาพรวม – Overall Opinion |
การประเมิน (Rating) ข้อสรุป และ/หรือคำบรรยายของผลการตรวจสอบที่จัดทำโดยหัวหน้าผู้บริหารงานตรวจสอบ ซึ่งระบุครอบคลุมกระบวนการการกำกับดูแล การบริหารความเสี่ยง และการควบคุมขององค์กร ทั้งนี้ความเห็นในภาพรวมเป็นดุลยพินิจอย่างเป็นมืออาชีพของหัวหน้าผู้บริหารงานตรวจสอบ ซึ่งขึ้นอยู่กับผลการตรวจสอบแต่ละภารกิจจำนวนหนึ่งและกิจกรรมอื่น ๆ ภายในช่วงระยะเวลาที่เฉพาะเจาะจง |
| ความเสี่ยงคงเหลือ – Residual Risk |
ความเสี่ยงที่คงเหลืออยู่หลังจากที่ผู้บริหารได้ดำเนินการลดผลกระทบและโอกาสที่จะเกิดเหตุการณ์ไม่พึงประสงค์ รวมถึงความเสี่ยงที่ยังหลงเหลืออยู่หลังจากที่ได้มีกิจกรรมการควบคุมแล้ว |
| ความเสี่ยง – Risk |
ความเป็นไปได้ที่จะเกิดเหตุการณ์ที่เป็นอุปสรรคต่อการบรรลุเป้าหมายขององค์กร ความเสี่ยงวัดได้จากผลกระทบที่ได้รับจากเหตุการณ์ และโอกาสที่จะเกิดเหตุการณ์นั้น |
| ระดับความเสี่ยงที่ยอมรับได้ – Risk Appetite |
ระดับความเสี่ยงที่องค์กรพร้อมยอมรับให้เกิดขึ้นได้ |
| การบริหารความเสี่ยง – Risk Management |
กระบวนการในการระบุ ประเมิน บริหาร และควบคุม เหตุการณ์หรือสถานการณ์ไม่พึงประสงค์ที่อาจจะเกิดขึ้น เพื่อให้ความเชื่อมั่นอย่างสมเหตุสมผลว่าองค์กรสามารถบรรลุวัตถุประสงค์ได้ |
| ความสำคัญ – Significance |
ความสำคัญของประเด็นแวดล้อมที่นำไปพิจารณา รวมถึงตัวแปรทั้งในเชิงคุณภาพและเชิงปริมาณ เช่น ขนาด ลักษณะ ผลกระทบ ความเกี่ยวข้อง และความร้ายแรง การใช้ดุลยพินิจอย่างมืออาชีพช่วยผู้ตรวจสอบในการประเมินความสำคัญของประเด็นแวดล้อมภายใต้วัตถุประสงค์ที่เกี่ยวข้อง |
| มาตรฐาน – Standard |
มาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายในที่ทางคณะกรรมการมาตรฐานการตรวจสอบภายในของสมาคมผู้ตรวจสอบภายในสากล (IIA) ได้ประกาศใช้เป็นบรรทัดฐานการดาเนินกิจกรรมการตรวจสอบภายในและการประเมินผลงานการตรวจสอบภายในโดยทั่วไป |
| เทคนิคการตรวจสอบโดยใช้เทคโนโลยี – Technology-based Audit Techniques |
เครื่องมือหรือโปรแกรมคอมพิวเตอร์ช่วยตรวจสอบประเภทต่างๆ เช่น โปรแกรมคอมพิวเตอร์ช่วยตรวจสอบแบบทั่วไป (Generalized Audit Software), โปรแกรมคอมพิวเตอร์ที่ช่วยสร้างข้อมูลเพื่อใช้ตรวจสอบ (Test data generators), โปรแกรมการตรวจสอบแบบ computerized, โปรแกรมคอมพิวเตอร์ช่วยตรวจสอบแบบเฉพาะทาง (Specialized audit utilities) และ CAATs (Computer Assisted Audit Techniques) |
