04 Jul
04Jul

Segregation of Duties means separating key responsibilities in a business process so that one person does not control the entire transaction from beginning to end. In audit practice, this concept is not only an internal control principle. It is one of the key foundations that helps auditors determine whether controls are properly designed, whether they can be tested, and whether the auditor can rely on them.


Under ISA 330, tests of controls are audit procedures performed to evaluate whether controls are operating effectively in preventing, or detecting and correcting, material misstatements at the assertion level. ISA 315 also requires auditors to understand the entity’s system of internal control, including how controls respond to risks of material misstatement. Segregation of Duties is therefore closely linked to both risk assessment and the auditor’s response to assessed risks.


A good Segregation of Duties normally separates four key functions: authorization, recording, custody of assets, and independent review. For example, the person who creates a vendor should not approve payments to that vendor. The person who records sales should not also receive cash from customers. The person who prepares a journal voucher should not be the final approver of that journal entry. If one person can initiate, approve, record, and settle the same transaction, the risk of error, fraud, or management override becomes much higher.


In the purchase cycle, proper segregation means that purchase requisition, purchase approval, goods receipt, invoice recording, vendor master maintenance, and payment approval are performed by different people or different roles. A common good control is a three-way match between purchase order, goods receipt, and supplier invoice before recording the payable or making payment. Related audit working papers may include purchase cycle walkthrough, risk and control matrix, purchase approval testing, three-way match testing, vendor master change testing, payment approval testing, and user access review for purchasing and accounts payable roles.


In the sales cycle, sales order creation, credit approval, delivery, invoice issuance, customer master maintenance, cash receipt recording, and credit note approval should be separated. For example, the sales team may create the order, the credit team approves customer credit limits, warehouse confirms delivery, billing issues the invoice, and finance records collection. Related audit working papers may include sales cycle walkthrough, price master testing, credit approval testing, delivery-to-invoice testing, credit note approval testing, customer master change testing, and revenue cut-off testing.


In the production cycle, production planning, raw material issuance, production recording, inventory custody, inventory adjustment, and cost review should not be controlled by one person. Warehouse staff, for example, should not be able to issue materials, record production output, and approve inventory write-offs without independent review. Related audit working papers may include production cycle walkthrough, bill of materials review, material issuance testing, production output testing, inventory adjustment approval testing, standard cost review, and inventory count control testing.


In the cash receipt cycle, the person receiving money should not be the same person recording receivables, posting receipts, reconciling the bank account, and approving write-offs. For bank transfers, the company should reconcile customer receipts to invoices and bank statements. For cash collections, physical custody of cash should be separated from accounting records, and independent cash counts should be performed. Related audit working papers may include receipt cycle walkthrough, bank reconciliation testing, cash receipt matching, accounts receivable ageing review, write-off approval testing, and cash count working papers.


In the payment cycle, payment preparation and payment approval should be separated. The person preparing the payment file should not be the final bank authorizer. Vendor creation, invoice recording, payment preparation, bank approval, and bank reconciliation should be performed by different roles. Related audit working papers may include payment cycle walkthrough, bank signatory review, payment approval testing, supplier bank account change testing, duplicate payment testing, bank reconciliation review, and system access testing for payment roles.


In the journal voucher cycle, Segregation of Duties is especially important because manual journal entries can override normal business process controls. The person preparing a journal voucher should not approve the same journal entry. High-risk journal entries, such as late entries, round-number entries, entries posted by senior finance staff, entries affecting revenue, provisions, related parties, or suspense accounts, should be reviewed independently. Related audit working papers may include journal entry process walkthrough, journal approval testing, journal entry data analytics, management override testing, manual journal sample testing, and review of post-closing entries.


In the financial closing process, preparer and reviewer roles should be clearly separated. Account reconciliations, accruals, provisions, tax calculations, consolidation adjustments, intercompany eliminations, and financial statement disclosures should be prepared by one person and reviewed by another qualified person. Related audit working papers may include closing process walkthrough, financial close checklist, account reconciliation review, accrual testing, consolidation adjustment testing, disclosure checklist, subsequent review evidence, and management review control testing.


Other important cycles may include payroll, fixed assets, inventory, IT access, and master data. In payroll, HR should approve employee master data, payroll should process salary, and finance should review payment. In fixed assets, the person requesting the purchase should not approve capitalization or asset disposal. In IT access, user creation, role assignment, and periodic access review should be separated from business transaction processing. Related working papers may include payroll walkthrough, employee master change testing, fixed asset addition and disposal testing, user access matrix, segregation of duties conflict report, and IT general control testing.


From a Test of Controls perspective, auditors should not test only whether there is a signature or approval. They should also understand who performed the control, whether that person had conflicting system access, whether the reviewer had sufficient knowledge, whether exceptions were followed up, and whether the control was performed consistently throughout the period. A control may look effective on paper, but if the same user can bypass the process or approve their own transactions, the control may not be reliable.


If Segregation of Duties is weak, auditors may not be able to rely on the control as originally designed. In that case, they may need to identify and test compensating controls, such as independent management review, system-generated exception reports, monthly reconciliations, owner-manager oversight, or detailed analytical review. If compensating controls are not effective, the auditor may need to reduce reliance on controls and increase substantive procedures.


In summary, Segregation of Duties is a foundation of effective internal control and a key consideration in Test of Controls. It helps prevent and detect errors and fraud, strengthens audit evidence, and supports the auditor’s ability to rely on internal controls. A good audit file should clearly document process understanding, risks, control design, segregation of duties, walkthrough results, control testing, exceptions, and the conclusion on whether the control can be relied upon.


Segregation of Duties สำคัญต่อ Test of Controls อย่างไร?


Segregation of Duties หรือ การแบ่งแยกหน้าที่ หมายถึงการแยกหน้าที่สำคัญในกระบวนการทำงาน เพื่อไม่ให้บุคคลเดียวควบคุมรายการตั้งแต่ต้นจนจบ ในงานสอบบัญชี เรื่องนี้ไม่ใช่เพียงหลักการควบคุมภายในทั่วไป แต่เป็นพื้นฐานสำคัญที่ช่วยให้ผู้สอบบัญชีประเมินได้ว่าการควบคุมออกแบบดีหรือไม่ ทดสอบได้หรือไม่ และสามารถพึ่งพาการควบคุมนั้นได้มากน้อยเพียงใด


ตาม ISA 330 การทดสอบการควบคุมเป็นวิธีการสอบบัญชีเพื่อประเมินว่าการควบคุมทำงานอย่างมีประสิทธิผลในการป้องกัน หรือตรวจพบและแก้ไข การแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญในระดับสิ่งที่ผู้บริหารรับรองหรือไม่ ส่วน ISA 315 กำหนดให้ผู้สอบบัญชีทำความเข้าใจระบบการควบคุมภายในของกิจการ รวมถึงการควบคุมที่ตอบสนองต่อความเสี่ยงของการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ ดังนั้น การแบ่งแยกหน้าที่จึงเกี่ยวข้องโดยตรงกับทั้งการประเมินความเสี่ยงและการออกแบบวิธีการตรวจสอบเพื่อตอบสนองต่อความเสี่ยงนั้น


การแบ่งแยกหน้าที่ที่ดีโดยทั่วไปควรแยกหน้าที่สำคัญ 4 เรื่อง ได้แก่ การอนุมัติรายการ การบันทึกบัญชี การถือครองหรือดูแลทรัพย์สิน และการสอบทานอย่างอิสระ ตัวอย่างเช่น ผู้ที่สร้างเจ้าหนี้ไม่ควรเป็นผู้อนุมัติจ่ายเงินให้เจ้าหนี้รายนั้น ผู้ที่บันทึกรายได้ไม่ควรเป็นผู้รับเงินจากลูกค้า และผู้ที่จัดทำใบสำคัญบันทึกบัญชีไม่ควรเป็นผู้อนุมัติรายการนั้นด้วยตนเอง หากบุคคลเดียวสามารถเริ่มรายการ อนุมัติ บันทึก และชำระเงินได้ ความเสี่ยงของข้อผิดพลาด การทุจริต หรือการข้ามระบบควบคุมจะสูงขึ้นมาก


ในวงจรจัดซื้อ การแบ่งแยกหน้าที่ที่เหมาะสมคือ ผู้ขอซื้อ ผู้อนุมัติการซื้อ ผู้รับสินค้า ผู้บันทึกใบแจ้งหนี้ ผู้ดูแลข้อมูลเจ้าหนี้ และผู้อนุมัติจ่ายเงินควรเป็นคนละบทบาทกัน การควบคุมที่ดีมักรวมถึงการจับคู่เอกสาร 3 รายการ ได้แก่ ใบสั่งซื้อ ใบรับสินค้า และใบแจ้งหนี้ ก่อนบันทึกเจ้าหนี้หรือจ่ายเงิน กระดาษทำการที่เกี่ยวข้อง ได้แก่ กระดาษทำการทำความเข้าใจวงจรจัดซื้อ ตารางความเสี่ยงและการควบคุม การทดสอบการอนุมัติใบสั่งซื้อ การทดสอบการจับคู่เอกสาร การทดสอบการเปลี่ยนแปลงข้อมูลเจ้าหนี้ การทดสอบการอนุมัติจ่ายเงิน และการสอบทานสิทธิการเข้าระบบจัดซื้อและเจ้าหนี้


ในวงจรขาย ควรแยกหน้าที่ระหว่างการรับคำสั่งซื้อ การอนุมัติวงเงินลูกค้า การส่งสินค้า การออกใบแจ้งหนี้ การดูแลข้อมูลลูกค้า การบันทึกรับเงิน และการอนุมัติใบลดหนี้ ตัวอย่างเช่น ฝ่ายขายรับคำสั่งซื้อ ฝ่ายเครดิตอนุมัติวงเงิน คลังสินค้ายืนยันการส่งของ ฝ่ายออกบิลออกใบแจ้งหนี้ และฝ่ายการเงินบันทึกการรับชำระเงิน กระดาษทำการที่เกี่ยวข้อง ได้แก่ กระดาษทำการทำความเข้าใจวงจรขาย การทดสอบราคาขาย การทดสอบการอนุมัติวงเงินลูกค้า การทดสอบจากใบส่งของไปยังใบแจ้งหนี้ การทดสอบใบลดหนี้ การทดสอบการเปลี่ยนแปลงข้อมูลลูกค้า และการทดสอบการตัดยอดรายได้


ในวงจรผลิต ควรแยกหน้าที่ระหว่างการวางแผนผลิต การเบิกวัตถุดิบ การบันทึกผลผลิต การดูแลสินค้าคงเหลือ การปรับปรุงยอดสินค้าคงเหลือ และการสอบทานต้นทุน ตัวอย่างเช่น เจ้าหน้าที่คลังสินค้าไม่ควรสามารถเบิกวัตถุดิบ บันทึกผลผลิต และอนุมัติตัดจำหน่ายสินค้าคงเหลือได้เองโดยไม่มีการสอบทาน กระดาษทำการที่เกี่ยวข้อง ได้แก่ กระดาษทำการทำความเข้าใจวงจรผลิต การสอบทานสูตรการผลิต การทดสอบการเบิกวัตถุดิบ การทดสอบการบันทึกผลผลิต การทดสอบการอนุมัติปรับปรุงสินค้าคงเหลือ การสอบทานต้นทุนมาตรฐาน และการทดสอบการควบคุมการตรวจนับสินค้าคงเหลือ


ในวงจรรับเงิน ผู้ที่รับเงินไม่ควรเป็นคนเดียวกับผู้บันทึกลูกหนี้ ผู้ตัดรับชำระ ผู้กระทบยอดธนาคาร และผู้อนุมัติตัดหนี้สูญ หากเป็นเงินโอน ควรกระทบยอดเงินรับกับใบแจ้งหนี้และรายการเดินบัญชีธนาคาร หากเป็นเงินสด ควรแยกผู้ถือเงินสดออกจากผู้บันทึกบัญชี และควรมีการตรวจนับเงินสดโดยบุคคลอิสระ กระดาษทำการที่เกี่ยวข้อง ได้แก่ กระดาษทำการทำความเข้าใจวงจรรับเงิน การทดสอบการกระทบยอดธนาคาร การจับคู่เงินรับกับใบแจ้งหนี้ การสอบทานอายุลูกหนี้ การทดสอบการอนุมัติตัดหนี้สูญ และกระดาษทำการตรวจนับเงินสด

ในวงจรจ่ายเงิน ผู้จัดทำรายการจ่ายเงินและผู้อนุมัติจ่ายเงินควรแยกจากกัน ผู้จัดทำไฟล์จ่ายเงินไม่ควรเป็นผู้อนุมัติขั้นสุดท้ายในระบบธนาคาร การสร้างเจ้าหนี้ การบันทึกใบแจ้งหนี้ การเตรียมจ่ายเงิน การอนุมัติผ่านธนาคาร และการกระทบยอดธนาคารควรเป็นคนละบทบาทกัน กระดาษทำการที่เกี่ยวข้อง ได้แก่ กระดาษทำการทำความเข้าใจวงจรจ่ายเงิน การสอบทานผู้มีอำนาจลงนามธนาคาร การทดสอบการอนุมัติจ่ายเงิน การทดสอบการเปลี่ยนแปลงบัญชีธนาคารของเจ้าหนี้ การทดสอบการจ่ายซ้ำ การสอบทานการกระทบยอดธนาคาร และการทดสอบสิทธิการเข้าระบบจ่ายเงิน


ในวงจรใบสำคัญบันทึกบัญชี การแบ่งแยกหน้าที่มีความสำคัญมาก เพราะรายการบันทึกบัญชีด้วยมือสามารถข้ามการควบคุมตามวงจรปกติได้ ผู้จัดทำใบสำคัญบันทึกบัญชีไม่ควรเป็นผู้อนุมัติรายการเดียวกัน รายการที่มีความเสี่ยงสูง เช่น รายการปลายงวด รายการจำนวนกลม รายการที่บันทึกโดยผู้บริหารฝ่ายการเงิน รายการกระทบรายได้ ประมาณการหนี้สิน รายการกับบุคคลหรือกิจการที่เกี่ยวข้องกัน หรือบัญชีพัก ควรได้รับการสอบทานอย่างเป็นอิสระ กระดาษทำการที่เกี่ยวข้อง ได้แก่ กระดาษทำการทำความเข้าใจกระบวนการบันทึกบัญชี การทดสอบการอนุมัติใบสำคัญ การวิเคราะห์ข้อมูลรายการบันทึกบัญชี การทดสอบการข้ามระบบควบคุมโดยผู้บริหาร การเลือกตัวอย่างรายการบันทึกบัญชี และการสอบทานรายการหลังปิดงวด


ในกระบวนการปิดงบการเงิน ควรแยกบทบาทผู้จัดทำและผู้สอบทานให้ชัดเจน การกระทบยอดบัญชี การตั้งค้างจ่าย การตั้งประมาณการหนี้สิน การคำนวณภาษี การปรับปรุงงบการเงินรวม รายการตัดบัญชีระหว่างกัน และการเปิดเผยข้อมูลในงบการเงิน ควรมีผู้จัดทำและผู้สอบทานที่มีความรู้เพียงพอ กระดาษทำการที่เกี่ยวข้อง ได้แก่ กระดาษทำการทำความเข้าใจกระบวนการปิดงบ รายการตรวจสอบการปิดงบ การสอบทานการกระทบยอดบัญชี การทดสอบรายการค้างจ่าย การทดสอบรายการปรับปรุงงบการเงินรวม รายการตรวจสอบการเปิดเผยข้อมูล และการทดสอบการสอบทานโดยผู้บริหาร


วงจรอื่นที่ควรพิจารณา ได้แก่ เงินเดือน สินทรัพย์ถาวร สินค้าคงเหลือ สิทธิการเข้าระบบ และข้อมูลหลัก ในวงจรเงินเดือน ฝ่ายบุคคลควรเป็นผู้อนุมัติข้อมูลพนักงาน ฝ่ายเงินเดือนเป็นผู้ประมวลผล และฝ่ายการเงินเป็นผู้สอบทานการจ่ายเงิน ในวงจรสินทรัพย์ถาวร ผู้ขอซื้อไม่ควรเป็นผู้อนุมัติการบันทึกเป็นสินทรัพย์หรืออนุมัติจำหน่ายสินทรัพย์ ในระบบเทคโนโลยีสารสนเทศ ผู้สร้างผู้ใช้ ผู้กำหนดสิทธิ และผู้สอบทานสิทธิเป็นระยะควรแยกจากผู้ทำรายการทางธุรกิจ กระดาษทำการที่เกี่ยวข้อง ได้แก่ กระดาษทำการวงจรเงินเดือน การทดสอบการเปลี่ยนแปลงข้อมูลพนักงาน การทดสอบการเพิ่มและจำหน่ายสินทรัพย์ถาวร ตารางสิทธิผู้ใช้งาน รายงานความขัดแย้งของสิทธิ และการทดสอบการควบคุมทั่วไปของระบบสารสนเทศ


จากมุมมองการทดสอบการควบคุม ผู้สอบบัญชีไม่ควรตรวจเพียงว่ามีลายเซ็นอนุมัติหรือไม่ แต่ควรเข้าใจด้วยว่าใครเป็นผู้ทำการควบคุม บุคคลนั้นมีสิทธิในระบบที่ขัดแย้งกันหรือไม่ ผู้สอบทานมีความรู้เพียงพอหรือไม่ มีการติดตามข้อยกเว้นหรือไม่ และการควบคุมถูกปฏิบัติสม่ำเสมอตลอดงวดหรือไม่ การควบคุมอาจดูดีในเอกสาร แต่หากผู้ใช้งานคนเดียวสามารถข้ามขั้นตอนหรืออนุมัติรายการของตนเองได้ การควบคุมนั้นอาจไม่น่าเชื่อถือเพียงพอ


หากการแบ่งแยกหน้าที่อ่อนแอ ผู้สอบบัญชีอาจไม่สามารถพึ่งพาการควบคุมตามที่ออกแบบไว้ได้ ในกรณีดังกล่าว ผู้สอบบัญชีอาจต้องระบุและทดสอบการควบคุมชดเชย เช่น การสอบทานโดยผู้บริหาร รายงานข้อยกเว้นจากระบบ การกระทบยอดรายเดือน การกำกับดูแลโดยเจ้าของกิจการ หรือการวิเคราะห์เปรียบเทียบอย่างละเอียด หากการควบคุมชดเชยไม่มีประสิทธิผล ผู้สอบบัญชีอาจต้องลดการพึ่งพาการควบคุมและเพิ่มการตรวจสอบเนื้อหาสาระแทน


โดยสรุป การแบ่งแยกหน้าที่เป็นพื้นฐานของการควบคุมภายในที่ดี และเป็นประเด็นสำคัญในการทดสอบการควบคุม ช่วยป้องกันและตรวจพบข้อผิดพลาดหรือการทุจริต ทำให้หลักฐานการสอบบัญชีน่าเชื่อถือมากขึ้น และช่วยให้ผู้สอบบัญชีสรุปได้ว่าควรพึ่งพาการควบคุมหรือไม่ กระดาษทำการที่ดีควรเชื่อมโยงให้เห็นตั้งแต่ความเข้าใจกระบวนการ ความเสี่ยง การออกแบบการควบคุม การแบ่งแยกหน้าที่ ผลการทดสอบ ข้อยกเว้น และข้อสรุปว่าการควบคุมนั้นสามารถพึ่งพาได้หรือไม่

External References

  • IAASB — 2025 Handbook of International Quality Management, Auditing, Review, Other Assurance, and Related Services Pronouncements.
  • IAASB — ISA 315 (Revised 2019), Identifying and Assessing the Risks of Material Misstatement.
  • IAASB — ISA 330, The Auditor’s Responses to Assessed Risks.
  • COSO — Internal Control Integrated Framework.
Comments
* The email will not be published on the website.