LAS SHIELD — ตอนที่ 8/10

Compliance 101 — ป้องกันทุจริตในองค์กร

ธันย์ธรณ์เทพ แย้มอุทัย, Ph.D. | Legal Advance Solution Co., Ltd. | อัปเดต 8 เมษายน 2569

สารบัญ (Table of Contents)

ภาพรวม: ทำไม Compliance จึงสำคัญ
กรอบกฎหมายต่อต้านทุจริตในไทย
บทบาทของ ป.ป.ช. (NACC)
ความรับผิดของนิติบุคคล — มาตรา 123/5
Adequate Procedures — มาตรการป้องกันที่เพียงพอ
Internal Controls — ระบบควบคุมภายใน
Corporate Governance และธรรมาภิบาล
SOX-Equivalent มาตรฐานสำหรับบริษัทไทย
Whistleblower — ระบบแจ้งเบาะแส
LAS Risk Assessment — ระดับความเสี่ยง
คู่มือปฏิบัติสำหรับ SME
FAQ — คำถามที่พบบ่อย

กฎหมายหลักที่เกี่ยวข้อง

กฎหมาย	ประเด็นหลัก
พ.ร.บ.ป.ป.ช. 2561	ม.123/5 นิติบุคคล
ป.อาญา 2499	ม.144, 149, 150
พ.ร.บ.มาตรการฯ 2539	ฟอกเงิน/ทุจริต
พ.ร.บ.ปปง. 2542	ป้องกันการฟอกเงิน
CG Code 2560	ธรรมาภิบาลบริษัทจด

ข้อมูล ณ เมษายน 2569

1. ภาพรวม: ทำไม Compliance จึงสำคัญ

บริษัทของคุณอาจต้องรับผิดทางอาญา แม้กรรมการจะไม่รู้เรื่องเลย — นี่ไม่ใช่คำขู่ แต่เป็นกฎหมายที่บังคับใช้จริงในประเทศไทยตั้งแต่ปี 2561 พระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต พ.ศ. 2561 กำหนดให้นิติบุคคลรับผิดได้หากบุคคลที่เกี่ยวข้องกระทำความผิดเพื่อประโยชน์ของนิติบุคคลนั้น

ในมุมมองของ LAS Risk Methodology การทุจริตในองค์กรไม่ใช่เพียงปัญหาจริยธรรม แต่เป็นความเสี่ยงทางกฎหมายและธุรกิจระดับ High Risk ที่ต้องบริหารจัดการอย่างเป็นระบบ ผลกระทบของการถูกดำเนินคดีทุจริตครอบคลุม:

โทษทางอาญา — จำคุก ปรับ ทั้งบุคคลธรรมดาและนิติบุคคล
เพิกถอนสัญญากับภาครัฐ — ห้ามเข้าประมูลงานรัฐ
ความเสียหายต่อชื่อเสียง — สูญเสียลูกค้าและพันธมิตรทางธุรกิจ
ผลกระทบต่อผู้ถือหุ้น — ราคาหุ้นตก นักลงทุนถอนตัว
การสอบสวนจาก ป.ป.ช. DSI และ ปปง. พร้อมกัน

LAS RISK LEVEL: HIGH — ความเสี่ยงสูง
องค์กรที่ไม่มีระบบ Compliance ที่เป็นลายลักษณ์อักษรและบังคับใช้จริง เผชิญความเสี่ยงต่อการถูกดำเนินคดีอาญาในระดับสูง โดยเฉพาะหากมีการติดต่อกับหน่วยงานภาครัฐในธุรกิจประจำวัน

สถิติจาก Transparency International ระบุว่าดัชนีการรับรู้การทุจริต (CPI) ของไทยอยู่ที่ระดับ 35-38 คะแนน (จาก 100) ซึ่งสะท้อนให้เห็นว่าความเสี่ยงด้านการทุจริตในภาคธุรกิจไทยยังอยู่ในระดับที่ต้องระมัดระวังอย่างจริงจัง

2. กรอบกฎหมายต่อต้านทุจริตในไทย

ประเทศไทยมีกรอบกฎหมายต่อต้านทุจริตที่ครอบคลุมหลายระดับ ตั้งแต่รัฐธรรมนูญจนถึงระเบียบบริหารราชการ ดังนี้:

2.1 กฎหมายระดับรัฐธรรมนูญ

รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560 หมวด 16 ว่าด้วยการปฏิรูปประเทศ และหมวดที่เกี่ยวกับองค์กรอิสระ ได้วางรากฐานสำหรับระบบต่อต้านทุจริต โดยกำหนดให้มี ป.ป.ช. เป็นองค์กรอิสระตามรัฐธรรมนูญ และกำหนดมาตรการป้องกันผลประโยชน์ทับซ้อน

2.2 พ.ร.บ.ประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต พ.ศ. 2561

เป็นกฎหมายหลักในการต่อต้านทุจริตภาคเอกชน มีสาระสำคัญดังนี้:

มาตรา 123/5 — ความรับผิดของนิติบุคคล กรณีบุคคลที่เกี่ยวข้องกระทำความผิดเพื่อประโยชน์ขององค์กร
มาตรา 36 — มาตรการคุ้มครองพยานและผู้แจ้งเบาะแส
มาตรา 119 — การให้สินบนเจ้าหน้าที่รัฐต่างประเทศ (สอดคล้อง FCPA/UKBA)
มาตรา 122 — ความผิดฐานให้ เสนอให้ หรือสัญญาว่าจะให้แก่เจ้าพนักงาน

2.3 ประมวลกฎหมายอาญา

มาตรา	ความผิด	โทษสูงสุด
ม.144	ให้สินบนเจ้าพนักงาน	จำคุก 5 ปี ปรับ 10,000 บาท หรือทั้งจำทั้งปรับ
ม.149	รับสินบน (เจ้าพนักงาน)	จำคุกตลอดชีวิต หรือจำคุก 5-20 ปี ปรับ 10,000-40,000 บาท
ม.150	เจ้าพนักงานเรียกรับทรัพย์สิน	จำคุก 5-20 ปี ปรับ 10,000-40,000 บาท
ม.151	เจ้าพนักงานยักยอกทรัพย์	จำคุก 5-20 ปี ปรับ 10,000-40,000 บาท
ม.157	เจ้าพนักงานปฏิบัติหน้าที่โดยมิชอบ	จำคุก 1-10 ปี ปรับ 2,000-20,000 บาท

2.4 พ.ร.บ.ป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542

พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 มีความสำคัญในมิติของการตรวจสอบธุรกรรมทางการเงินที่อาจเชื่อมโยงกับการทุจริต โดยกำหนดให้สถาบันการเงินและผู้ประกอบธุรกิจบางประเภทต้องรายงานธุรกรรมที่น่าสงสัย (Suspicious Transaction Report) และกำหนดให้ทรัพย์สินที่ได้จากการทุจริตตกเป็นของแผ่นดินได้

2.5 กฎหมายระหว่างประเทศที่ส่งผลต่อธุรกิจไทย

แม้บริษัทไทยอาจไม่อยู่ภายใต้ Foreign Corrupt Practices Act (FCPA) ของสหรัฐอเมริกา หรือ UK Bribery Act 2010 (UKBA) โดยตรง แต่หากบริษัทมีธุรกรรมกับคู่ค้าสหรัฐหรืออังกฤษ หรือหลักทรัพย์จดทะเบียนในตลาดต่างประเทศ อาจอยู่ภายใต้ขอบเขตของกฎหมายเหล่านี้ด้วย การมีระบบ Compliance ที่แข็งแกร่งจึงเป็นทั้งข้อกำหนดในประเทศและมาตรฐานสากล

3. บทบาทของ ป.ป.ช. (NACC) — คณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ

คณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ (ป.ป.ช.) หรือ National Anti-Corruption Commission (NACC) เป็นองค์กรอิสระตามรัฐธรรมนูญ มีอำนาจหน้าที่ครอบคลุมทั้งการไต่สวน การดำเนินคดี และการป้องกันการทุจริต

3.1 อำนาจหน้าที่ของ ป.ป.ช.

ไต่สวนข้อเท็จจริง — ไต่สวนเจ้าหน้าที่รัฐและเอกชนที่ถูกกล่าวหาว่าทุจริต
ตรวจสอบทรัพย์สิน — ตรวจสอบบัญชีทรัพย์สินและหนี้สินของผู้ดำรงตำแหน่งทางการเมืองและเจ้าหน้าที่รัฐ
ป้องกันการทุจริต — จัดทำแนวปฏิบัติ ส่งเสริมวัฒนธรรมต่อต้านการทุจริต
ฟ้องร้องคดีอาญา — ส่งฟ้องต่อศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมือง หรือศาลอาญาคดีทุจริตฯ
ยึดทรัพย์ — ยื่นคำร้องขอให้ทรัพย์สินที่ได้จากการทุจริตตกเป็นของแผ่นดิน

3.2 ศาลอาญาคดีทุจริตและประพฤติมิชอบ

ศาลอาญาคดีทุจริตและประพฤติมิชอบ (ศาล อท.) ได้รับการจัดตั้งขึ้นเพื่อพิจารณาคดีทุจริตโดยเฉพาะ มีความเชี่ยวชาญสูงในคดีประเภทนี้ กระบวนพิจารณาคดีมีความรวดเร็วกว่าศาลปกติ และมีบทลงโทษที่เข้มงวด ธุรกิจที่ถูกส่งฟ้องต่อศาล อท. มักเผชิญกับการพิจารณาคดีที่รวดเร็วและโทษที่หนักกว่า

3.3 การแจ้งเบาะแสต่อ ป.ป.ช.

ป.ป.ช. เปิดรับการแจ้งเบาะแสผ่านหลายช่องทาง ได้แก่ เว็บไซต์ nacc.go.th สายด่วน 1205 และการยื่นเรื่องด้วยตนเอง บุคคลที่แจ้งเบาะแสได้รับความคุ้มครองตามพระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต พ.ศ. 2561 มาตรา 36

4. ความรับผิดของนิติบุคคล — มาตรา 123/5

พระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต พ.ศ. 2561 มาตรา 123/5 กำหนดว่า หากบุคคลที่เกี่ยวข้องกับนิติบุคคลให้ เสนอให้ หรือสัญญาว่าจะให้ทรัพย์สินหรือประโยชน์อื่นใดแก่เจ้าหน้าที่ของรัฐ เพื่อจูงใจให้กระทำการ ไม่กระทำการ หรือประวิงการกระทำใด เพื่อประโยชน์ของนิติบุคคลนั้น ให้ถือว่านิติบุคคลมีความผิดด้วย เว้นแต่จะพิสูจน์ได้ว่ามีมาตรการป้องกันที่เหมาะสม

4.1 ใครคือ "บุคคลที่เกี่ยวข้อง" กับนิติบุคคล

ขอบเขตของ "บุคคลที่เกี่ยวข้อง" ตามมาตรา 123/5 กว้างมาก ครอบคลุม:

กรรมการบริษัท (Board of Directors)
ผู้บริหารระดับสูง (Senior Management)
พนักงานทุกระดับ
ตัวแทน (Agent) ที่ได้รับมอบอำนาจ
ที่ปรึกษาหรือผู้รับจ้างที่ทำงานในนามบริษัท
บริษัทย่อยหรือบริษัทในเครือ

4.2 บทลงโทษ

บทลงโทษนิติบุคคล:

ปรับตั้งแต่ 1 เท่า แต่ไม่เกิน 2 เท่า ของค่าเสียหายที่เกิดขึ้น หรือของประโยชน์ที่ได้รับ
ศาลอาจสั่ง ห้ามประกอบกิจการชั่วคราวหรือถาวร
การตีพิมพ์คำพิพากษาในหนังสือพิมพ์ (เสียชื่อเสียงสาธารณะ)
ถูก เพิกถอนสัญญากับรัฐ และห้ามเข้าประมูลงานรัฐในอนาคต

4.3 กรณีที่นิติบุคคลอาจพ้นผิด (Defense)

นิติบุคคลสามารถพ้นผิดได้หากพิสูจน์ว่า:

มีมาตรการป้องกันที่เหมาะสมและเพียงพอ (Adequate Procedures)
ผู้บริหารระดับสูงไม่รู้เห็นหรือยินยอมให้มีการกระทำผิด
บริษัทได้ใช้ความพยายามอย่างสมเหตุสมผลในการป้องกันการทุจริต

นี่คือเหตุผลหลักที่ทำให้ระบบ Compliance Program มีความสำคัญมาก เพราะเป็นหลักฐานสำคัญในการต่อสู้คดี

5. Adequate Procedures — มาตรการป้องกันที่เพียงพอ

แนวคิด Adequate Procedures ในกฎหมายไทยได้รับอิทธิพลจาก UK Bribery Act 2010 Section 7 ซึ่งกำหนดหลัก 6 ประการที่องค์กรต้องพิสูจน์ว่ามีอยู่จริง หลักเกณฑ์ที่ยอมรับโดยทั่วไปสำหรับตลาดไทย ได้แก่:

นโยบายต่อต้านทุจริต (Anti-Corruption Policy) — จัดทำเป็นลายลักษณ์อักษร ได้รับอนุมัติจากคณะกรรมการบริษัท สื่อสารให้ทุกคนในองค์กรรับทราบและเซ็นรับทราบ
การประเมินความเสี่ยง (Risk Assessment) — ประเมินและทบทวนความเสี่ยงด้านการทุจริตเป็นระยะ ระบุกิจกรรมที่มีความเสี่ยงสูง โดยเฉพาะส่วนที่ติดต่อกับหน่วยงานรัฐ
ระบบควบคุมภายใน (Internal Controls) — แบ่งแยกอำนาจหน้าที่ (Segregation of Duties) มีการตรวจสอบและอนุมัติหลายระดับ บันทึกบัญชีที่ถูกต้องและตรวจสอบได้
การอบรม (Training) — อบรมพนักงานทุกระดับเกี่ยวกับนโยบายต่อต้านทุจริตและผลทางกฎหมาย รวมถึงการอบรมพิเศษสำหรับพนักงานที่ทำงานในพื้นที่เสี่ยง
การตรวจสอบคู่ค้า (Third-Party Due Diligence) — ตรวจสอบประวัติตัวแทน ที่ปรึกษา และคู่ค้าที่ทำงานในนามบริษัท โดยเฉพาะผู้ที่มีหน้าที่ติดต่อหน่วยงานรัฐ
ช่องทางร้องเรียน (Whistleblower Channel) — จัดให้มีช่องทางแจ้งเบาะแสภายในที่ปลอดภัย ไม่เปิดเผยตัวตน และมีการติดตามผลอย่างจริงจัง

5.1 Anti-Corruption Policy — เนื้อหาที่ต้องมี

นโยบายต่อต้านทุจริตที่มีประสิทธิภาพควรครอบคลุมหัวข้อดังนี้:

หัวข้อ	เนื้อหาที่ต้องระบุ
ขอบเขตการบังคับใช้	ครอบคลุมกรรมการ ผู้บริหาร พนักงาน ตัวแทน และบริษัทย่อยทั้งหมด
คำจำกัดความ "การทุจริต"	การให้-รับสินบน การอำนวยความสะดวก ของขวัญและการต้อนรับ
กิจกรรมต้องห้าม	รายการกิจกรรมที่ห้ามโดยเด็ดขาดพร้อมตัวอย่างที่ชัดเจน
การบริจาคและการสนับสนุน	ขั้นตอนการขออนุมัติก่อนบริจาคหรือสนับสนุนกิจกรรมใด ๆ
ของขวัญและการต้อนรับ	วงเงินที่ยอมรับได้ กระบวนการบันทึก และการรายงาน
การรายงานและช่องทางร้องเรียน	วิธีการแจ้งเบาะแสและการคุ้มครองผู้แจ้ง
บทลงโทษ	มาตรการทางวินัยสำหรับการละเมิด รวมถึงการเลิกจ้างและการแจ้งความ

5.2 Gift Policy — นโยบายของขวัญและการต้อนรับ

หนึ่งในพื้นที่เสี่ยงที่สำคัญที่สุดในธุรกิจไทยคือการให้-รับของขวัญและการต้อนรับ เพราะวัฒนธรรมธุรกิจไทยมีบรรทัดฐานการให้ของขวัญที่ฝังรากลึก แนวปฏิบัติที่แนะนำ:

กำหนดวงเงินสูงสุดที่ยอมรับได้ เช่น ไม่เกิน 2,000-3,000 บาทต่อครั้ง
ห้ามให้-รับของขวัญเป็นเงินสดหรือเทียบเท่าเงินสด (บัตรของขวัญ คูปอง)
ของขวัญทุกชิ้นต้องบันทึกในทะเบียน Gift Register
การเชิญรับประทานอาหารต้องบันทึกจุดประสงค์ทางธุรกิจที่ชัดเจน
การเดินทางและที่พักที่เจ้าหน้าที่รัฐจ่ายให้ — ห้ามรับโดยเด็ดขาด

6. Internal Controls — ระบบควบคุมภายใน

ระบบควบคุมภายใน (Internal Control System) เป็นหัวใจสำคัญของ Compliance Program ที่ดี โดยอ้างอิงกรอบ COSO (Committee of Sponsoring Organizations) ซึ่งเป็นมาตรฐานสากลที่ได้รับการยอมรับในประเทศไทยด้วย

6.1 องค์ประกอบ 5 ส่วนของ COSO Framework

องค์ประกอบ	คำอธิบาย	ตัวอย่างในธุรกิจไทย
Control Environment	วัฒนธรรมองค์กรและ "Tone at the Top" จากผู้บริหาร	กรรมการบริษัทประกาศนโยบายต่อต้านทุจริตอย่างเป็นทางการ
Risk Assessment	การระบุและประเมินความเสี่ยงที่อาจนำไปสู่การทุจริต	แผนที่ความเสี่ยงสำหรับกระบวนการจัดซื้อจัดจ้าง
Control Activities	มาตรการควบคุมที่บรรเทาความเสี่ยง	Dual-approval สำหรับการอนุมัติการใช้จ่ายเกิน 100,000 บาท
Information & Communication	การสื่อสารนโยบายและการรายงานปัญหา	ระบบ Whistleblower ที่เข้าถึงได้ง่าย
Monitoring Activities	การติดตามและทบทวนประสิทธิภาพของระบบควบคุม	การตรวจสอบภายในรายไตรมาสและรายงานต่อคณะกรรมการ

6.2 มาตรการควบคุมเฉพาะพื้นที่เสี่ยง

จัดซื้อจัดจ้าง (Procurement)

Segregation of Duties — แยกผู้เสนอ ผู้อนุมัติ และผู้รับสินค้า/บริการ
Competitive Bidding — กำหนดเกณฑ์วงเงินที่ต้องเปิดประมูล
Vendor Registration — ตรวจสอบและขึ้นทะเบียนคู่ค้าอย่างเป็นระบบ
หมุนเวียนพนักงานในตำแหน่งที่มีความเสี่ยงสูง

การเงินและบัญชี (Finance & Accounting)

Dual Signature — ลายเซ็นสองรายสำหรับการโอนเงินเกินวงเงินที่กำหนด
Petty Cash Control — ระเบียบการใช้เงินสดย่อยที่เข้มงวด
Expense Report Audit — ตรวจสอบรายงานค่าใช้จ่ายอย่างสม่ำเสมอ
ห้ามบัญชีนอกบัญชี (Off-the-book accounts) โดยเด็ดขาด

การติดต่อกับหน่วยงานรัฐ

บันทึกการประชุมกับเจ้าหน้าที่รัฐทุกครั้ง รวมถึงหัวข้อที่หารือ
ห้ามมอบหมายพนักงานเพียงคนเดียวในการดูแลสัญญารัฐ
ทบทวนสัญญากับหน่วยงานรัฐโดยฝ่ายกฎหมายทุกครั้ง

7. Corporate Governance — ธรรมาภิบาลองค์กร

ธรรมาภิบาล (Corporate Governance) เป็นระบบที่กำกับดูแลการบริหารจัดการองค์กรให้มีความโปร่งใส รับผิดชอบ และเป็นธรรมต่อผู้มีส่วนได้เสียทุกฝ่าย ในประเทศไทย หน่วยงานหลักที่กำหนดมาตรฐาน CG ได้แก่:

7.1 CG Code 2560 ของ ก.ล.ต.

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ได้ออก Corporate Governance Code สำหรับบริษัทจดทะเบียน พ.ศ. 2560 ซึ่งกำหนดหลักการ 8 ประการ (ตรงข้ามกับ "Comply or Explain" แบบเก่า เป็น "Apply or Explain" ที่ยืดหยุ่นกว่า):

ตระหนักถึงบทบาทและความรับผิดชอบของคณะกรรมการ
กำหนดวัตถุประสงค์และเป้าหมายหลักขององค์กร
เสริมสร้างคณะกรรมการที่มีประสิทธิผล
สรรหาและพัฒนาผู้บริหารระดับสูง
ส่งเสริมนวัตกรรมและการประกอบธุรกิจอย่างรับผิดชอบ
ดูแลให้มีระบบการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสม
รักษาความน่าเชื่อถือทางการเงินและการเปิดเผยข้อมูล
สนับสนุนการมีส่วนร่วมและการสื่อสารกับผู้ถือหุ้น

7.2 IOD และ Director Certification Program

สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย (IOD) จัดหลักสูตร Director Certification Program (DCP) ที่เป็นที่ยอมรับในระดับสากล กรรมการบริษัทที่ผ่านการอบรม DCP มีความเข้าใจในหน้าที่และความรับผิดชอบของตนมากขึ้น ซึ่งส่งผลโดยตรงต่อคุณภาพการกำกับดูแลกิจการ

7.3 คณะกรรมการตรวจสอบ (Audit Committee)

สำหรับบริษัทที่มีผู้ถือหุ้นจำนวนมาก หรือบริษัทจดทะเบียน การมีคณะกรรมการตรวจสอบที่เป็นอิสระเป็นสิ่งสำคัญ โดยทำหน้าที่:

กำกับดูแลกระบวนการรายงานทางการเงิน
ตรวจสอบระบบควบคุมภายในและการบริหารความเสี่ยง
รับรายงานจาก Internal Audit และ External Audit
พิจารณาข้อร้องเรียนด้าน Compliance และการทุจริต

8. SOX-Equivalent — มาตรฐาน Sarbanes-Oxley สำหรับบริษัทไทย

Sarbanes-Oxley Act (SOX) ของสหรัฐฯ ปี 2002 ถูกออกแบบมาเพื่อตอบสนองต่อเรื่องอื้อฉาวทางการเงินของ Enron และ WorldCom แม้บริษัทไทยส่วนใหญ่ไม่ได้อยู่ภายใต้ SOX โดยตรง แต่หลักการ SOX ได้รับการยอมรับและปรับใช้ในบริบทไทยผ่านกฎเกณฑ์ของ ก.ล.ต. และ ตลท.

8.1 หลักการ SOX ที่บริษัทไทยควรนำมาใช้

หลักการ SOX	การประยุกต์ใช้ในไทย	ผู้รับผิดชอบ
Section 302 — CEO/CFO Certification	CEO/CFO ลงนามรับรองความถูกต้องของงบการเงิน	CEO, CFO
Section 404 — Internal Control Report	รายงานประเมินประสิทธิภาพ IC รายปี	Management, External Auditor
Section 301 — Audit Committee	คณะกรรมการตรวจสอบที่เป็นอิสระ	Board of Directors
Section 802 — Records Retention	นโยบายเก็บรักษาเอกสารและห้ามทำลาย	CFO, Legal
Whistleblower Protection	ช่องทางแจ้งเบาะแสที่ได้รับการคุ้มครอง	HR, Compliance Officer

8.2 การสร้าง Internal Audit Function ที่มีประสิทธิภาพ

หน่วยตรวจสอบภายใน (Internal Audit) ที่มีประสิทธิภาพควรมีคุณลักษณะดังนี้:

ความเป็นอิสระ — รายงานตรงต่อคณะกรรมการตรวจสอบ ไม่ใช่ CEO
Risk-Based Approach — กำหนดแผนตรวจสอบตามระดับความเสี่ยง
Surprise Audit — การตรวจสอบแบบไม่แจ้งล่วงหน้าในพื้นที่เสี่ยง
Follow-Up — ติดตามการแก้ไขตามข้อเสนอแนะอย่างสม่ำเสมอ
การรายงาน — รายงานผลการตรวจสอบต่อคณะกรรมการบริษัทโดยตรง

9. Whistleblower — ระบบแจ้งเบาะแสที่มีประสิทธิภาพ

ระบบ Whistleblower ที่ดีเป็นเครื่องมือสำคัญในการตรวจจับการทุจริตตั้งแต่ต้น องค์กรที่มีระบบนี้ที่ใช้งานได้จริงสามารถตรวจพบและแก้ไขปัญหาได้เร็วกว่า ลดความเสียหายที่อาจเกิดขึ้นได้อย่างมาก

9.1 การคุ้มครองตามกฎหมายไทย

พระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต พ.ศ. 2561 มาตรา 36 กำหนดมาตรการคุ้มครองผู้แจ้งเบาะแส ดังนี้:

ห้ามเปิดเผยข้อมูลที่อาจระบุตัวผู้แจ้งโดยไม่ได้รับความยินยอม
ห้ามนายจ้างกระทำการที่เป็นการเลือกปฏิบัติต่อพนักงานที่แจ้งเบาะแส
ผู้แจ้งที่แจ้งโดยสุจริตและมีเหตุอันควรเชื่อไม่ต้องรับผิดทางแพ่งหรืออาญา

9.2 องค์ประกอบของระบบ Whistleblower ที่ดี

องค์ประกอบ	รายละเอียด	ความสำคัญ
ช่องทางที่หลากหลาย	Hotline, อีเมล, แบบฟอร์มออนไลน์, กล่องรับเรื่อง	สูง — เพิ่มความสะดวกในการแจ้ง
ความเป็นนิรนาม	สามารถแจ้งโดยไม่เปิดเผยชื่อได้	สูงมาก — ลดความกลัวการถูกตอบโต้
ความรวดเร็วในการตอบสนอง	ยืนยันการรับเรื่องภายใน 5 วันทำการ	กลาง — สร้างความเชื่อมั่น
การสืบสวนอย่างเป็นอิสระ	ผู้สืบสวนไม่มีผลประโยชน์ขัดแย้งกับเรื่องที่แจ้ง	สูงมาก — รับประกันความเป็นธรรม
การป้องกันการตอบโต้	นโยบายห้ามตอบโต้ที่บังคับใช้จริง	สูงมาก — ปกป้องผู้แจ้ง
การติดตามผล	แจ้งผลการสืบสวนให้ผู้แจ้งทราบ (ถ้าเปิดเผยตัว)	กลาง — เพิ่มความไว้วางใจ

9.3 ขั้นตอนการสืบสวน Internal Investigation

รับเรื่องและบันทึก — รับเรื่องร้องเรียนอย่างเป็นระบบ มอบหมายเลขอ้างอิง กำหนด Triage ว่าเรื่องใดต้องสืบสวนด่วน
ประเมินเบื้องต้น — Compliance Officer ประเมินว่าเรื่องมีมูลเพียงพอที่จะสืบสวนหรือไม่ ภายใน 10 วันทำการ
มอบหมายผู้สืบสวน — เลือกผู้สืบสวนที่ไม่มีผลประโยชน์ขัดแย้ง อาจเป็น Internal Audit หรือที่ปรึกษาภายนอก
เก็บรวบรวมหลักฐาน — สัมภาษณ์พยาน ตรวจสอบเอกสาร อีเมล ข้อมูลการเงิน โดยรักษาความลับและห่วงโซ่หลักฐาน
จัดทำรายงาน — รายงานผลการสืบสวนพร้อมข้อเสนอแนะ เสนอต่อคณะกรรมการตรวจสอบ
ดำเนินการ — มาตรการทางวินัย การแจ้งความ การแก้ไขระบบควบคุม
ติดตามผล — ติดตามว่าได้มีการดำเนินการตามที่ตกลงครบถ้วนหรือไม่

10. LAS Risk Assessment — การประเมินความเสี่ยงด้าน Compliance

ตามหลัก LAS Risk Methodology ความเสี่ยงด้าน Anti-Corruption Compliance แบ่งออกเป็น 3 ระดับ:

ระดับความเสี่ยง	ลักษณะธุรกิจ	ตัวอย่าง	มาตรการที่ต้องมี
HIGH — สูง	ติดต่อกับเจ้าหน้าที่รัฐเป็นประจำ มีสัญญากับหน่วยงานรัฐ อุตสาหกรรมที่มีการกำกับดูแลสูง	รับเหมาก่อสร้างรัฐ, ยา, สัมปทาน, อาวุธ	Full Compliance Program + Annual External Audit
MEDIUM — กลาง	มีการติดต่อกับหน่วยงานรัฐเป็นครั้งคราว มีคู่ค้าต่างประเทศบ้าง	โรงงาน, นำเข้า-ส่งออก, อสังหาริมทรัพย์	นโยบาย + Training + Whistleblower + Annual Review
LOW — ต่ำ	ธุรกิจที่ลูกค้าและคู่ค้าเป็นภาคเอกชนทั้งหมด ไม่มีการติดต่อกับหน่วยงานรัฐ	ร้านค้า B2C, e-Commerce, บริการส่วนตัว	นโยบายพื้นฐาน + Code of Conduct

10.1 Red Flags ที่ต้องระวัง

สัญญาณเตือน (Red Flags) ที่บ่งชี้ถึงความเสี่ยงสูง:

คู่ค้าหรือตัวแทนที่ปฏิเสธให้ข้อมูลตัวตนหรือประวัติ
ค่าคอมมิชชั่นหรือค่าที่ปรึกษาสูงผิดปกติโดยไม่มีคำอธิบายชัดเจน
การชำระเงินเป็นเงินสดหรือโอนไปยังบัญชีในประเทศที่สาม
ใบกำกับภาษีหรือสัญญาที่มีรายละเอียดบริการไม่ชัดเจน
ความสัมพันธ์ส่วนตัวของพนักงานกับเจ้าหน้าที่รัฐที่เกี่ยวข้องกับสัญญา
การจ่ายเงินก่อน-หลังการตัดสินใจของเจ้าหน้าที่รัฐ

11. คู่มือปฏิบัติสำหรับ SME

ธุรกิจขนาดกลางและเล็ก (SME) อาจคิดว่า Compliance Program เป็นเรื่องของบริษัทใหญ่เท่านั้น แต่ในความเป็นจริง SME ที่ติดต่อกับหน่วยงานรัฐมีความเสี่ยงเช่นเดียวกัน เพียงแต่ต้องออกแบบระบบให้เหมาะสมกับขนาดองค์กร

11.1 Compliance Program แบบ Minimal Viable สำหรับ SME

สำหรับ SME ที่มีพนักงานน้อยกว่า 50 คน LAS แนะนำ Compliance Package ขั้นต่ำ ดังนี้:

นโยบายต่อต้านทุจริต 1 หน้า — กระชับ ชัดเจน ทุกคนอ่านแล้วเข้าใจ
Code of Conduct — แนวปฏิบัติพฤติกรรมสำหรับพนักงานทุกคน
Gift Register — ทะเบียนบันทึกการให้-รับของขวัญ
ช่องทางแจ้งเบาะแส — อีเมลลับหรือกล่องรับเรื่องแยกต่างหาก
Training ปีละ 1 ครั้ง — อบรมพนักงานเกี่ยวกับนโยบายและกฎหมาย
เอกสารหลักฐาน — เก็บหลักฐานการดำเนินการทุกข้อไว้อ้างอิง

คำเตือน: การมีนโยบายบนกระดาษอย่างเดียวไม่เพียงพอ ต้องพิสูจน์ได้ว่า "บังคับใช้จริง" จึงจะเป็น Adequate Procedures ที่ใช้ปกป้ององค์กรได้ตามกฎหมาย

11.2 Timeline การสร้าง Compliance Program

ระยะเวลา	กิจกรรม	ผู้รับผิดชอบ
เดือน 1	Risk Assessment + จัดทำนโยบาย Anti-Corruption	MD / ที่ปรึกษากฎหมาย
เดือน 2	จัดทำ Code of Conduct + Gift Policy + Whistleblower Channel	HR / Legal
เดือน 3	Training พนักงานทุกคน + เซ็นรับทราบนโยบาย	HR
เดือน 4	ปรับปรุง Internal Controls ตามช่องโหว่ที่พบ	Finance / Operations
เดือน 6	ทบทวนครั้งแรก + แก้ไขจุดที่ต้องปรับปรุง	Compliance Officer
ทุกปี	Annual Review + Update Training + Risk Re-Assessment	Board / Management

12. FAQ — คำถามที่พบบ่อย

Q1: บริษัทเราเป็น SME ไม่มีสัญญารัฐ จำเป็นต้องมี Compliance Program หรือไม่?

ขึ้นอยู่กับลักษณะธุรกิจ หากบริษัทไม่มีการติดต่อกับหน่วยงานรัฐเลย ความเสี่ยงตามมาตรา 123/5 ต่ำ อย่างไรก็ตาม การมี Code of Conduct พื้นฐานยังคงแนะนำ เพราะช่วยสร้างวัฒนธรรมองค์กรที่ดีและลดความเสี่ยงจากการทุจริตภายใน (Internal Fraud) ที่อาจเกิดขึ้นแม้ในธุรกิจ B2C

Q2: กรรมการบริษัทต้องรับผิดส่วนตัวด้วยหรือไม่ แม้ไม่รู้เรื่องการทุจริต?

ในส่วนความรับผิดของนิติบุคคลตามมาตรา 123/5 กรรมการอาจพ้นผิดส่วนตัวได้หากพิสูจน์ว่าไม่รู้เห็นและมีระบบควบคุมที่เหมาะสม แต่ในส่วนความรับผิดทางแพ่งอาจยังมีได้ในบางกรณี โดยเฉพาะหากถูกพิจารณาว่าละเลยหน้าที่กำกับดูแลอย่างร้ายแรง (Gross Negligence)

Q3: การให้ของขวัญเทศกาลเช่นปีใหม่ตรุษจีนถือเป็นการทุจริตหรือไม่?

การให้ของขวัญเทศกาลระหว่างคู่ค้าเอกชนกับเอกชนมีความเสี่ยงต่ำกว่า แต่ต้องระวังหากผู้รับเป็นเจ้าหน้าที่รัฐ มาตรา 103 ของพระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต พ.ศ. 2561 กำหนดว่าเจ้าหน้าที่รัฐรับทรัพย์สินไม่ได้เว้นแต่มูลค่าไม่เกิน 3,000 บาท จากญาติหรือผู้มีความสัมพันธ์กัน แต่ถ้าคู่ค้าที่เกี่ยวกับงานของเจ้าหน้าที่ให้ ถือเป็นความผิดทั้งสองฝ่าย

Q4: Whistleblower ภายในบริษัทได้รับความคุ้มครองอย่างไร หากถูกกลั่นแกล้งจากนายจ้าง?

นอกจากการคุ้มครองตาม พ.ร.บ.ป.ป.ช. 2561 มาตรา 36 แล้ว พระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2541 (ฉบับแก้ไขที่ 9 พ.ศ. 2568) ก็ให้ความคุ้มครองพนักงานจากการเลิกจ้างที่ไม่เป็นธรรมด้วย หากนายจ้างเลิกจ้างเพราะพนักงานแจ้งเบาะแส ถือเป็นการเลิกจ้างที่ไม่เป็นธรรม พนักงานมีสิทธิฟ้องเรียกค่าเสียหายได้ ทั้งนี้แนะนำให้บันทึกหลักฐานทุกการกระทำที่อาจถือเป็นการกลั่นแกล้งไว้ด้วย

Q5: บริษัทที่ถูกสอบสวนแล้วแต่ยังไม่มีคำพิพากษา ควรทำอย่างไร?

แนะนำดำเนินการ 4 ขั้นตอนทันที: (1) แต่งตั้งทนายความและที่ปรึกษา Compliance ที่มีประสบการณ์ด้านคดีทุจริต (2) ห้ามทำลายหรือซุกซ่อนหลักฐานใด ๆ เพราะมีความผิดฐานยุ่งเหยิงพยานหลักฐาน (3) ประเมินว่ามีประโยชน์ในการ Self-Report ต่อ ป.ป.ช. หรือไม่ ซึ่งอาจลดโทษได้ (4) เอกสารและการสื่อสารทุกอย่างที่เกี่ยวกับคดีให้ผ่านทนายความเท่านั้น เพื่อ Legal Privilege

← ตอนที่ 7: Data & IP Protection LAS SHIELD 8/10 ตอนที่ 9: ประกันภัยธุรกิจ →

กฎหมายที่เกี่ยวข้อง

พ.ร.บ.ประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต พ.ศ. 2561 มาตรา 123/5 มาตรา 36 มาตรา 103 ประมวลกฎหมายอาญา มาตรา 144 ประมวลกฎหมายอาญา มาตรา 149 Anti-Corruption NACC / ป.ป.ช. Compliance Adequate Procedures Whistleblower Internal Controls Corporate Governance SOX COSO Framework

Disclaimer: บทความนี้จัดทำเพื่อวัตถุประสงค์ทางวิชาการและให้ความรู้ทั่วไปเท่านั้น ไม่ถือเป็นคำแนะนำทางกฎหมายเฉพาะราย ข้อมูลที่ปรากฏในบทความนี้เป็นข้อมูล ณ วันที่เผยแพร่ และอาจมีการเปลี่ยนแปลงตามพัฒนาการทางกฎหมาย ผู้อ่านควรปรึกษาที่ปรึกษากฎหมายที่มีความเชี่ยวชาญก่อนตัดสินใจดำเนินการใด ๆ / This article is for general information purposes only and does not constitute legal advice. Readers should consult qualified legal counsel before taking any action.