ขั้นตอนการตรวจสอบและประเมินความเสี่ยง : ภาค 3
สวัสดี ครับ
วันนี้ เราจะขอเล่าเรื่องวิธีการใช้งาน Internal Audit Matrix นี้ ซึ่งเราเชื่อว่าจะมีประโยชน์สำหรับกลุ่มผู้ใช้งานด้านการตรวจสอบภายในที่ต้องการเครื่องมือในการวิเคราะห์ความเสี่ยงของโครงการในรูปแบบของ Internal Audit และเราก็เชื่อว่าขั้นตอนเหล่านี้อาจจะพบข้อบกพร่องบางประการที่เราเองยังตรวจสอบได้ไม่ครบถ้วน จึงอยากจะขอความอนุเคราะห์จากทุกๆ ท่านมีความเชี่ยวชาญด้านการตรวจสอบภายใน ให้ความเห็นเพิ่มเติม เพื่อจะได้เป็นประโยชน์กับผู้ใช้งานท่าน อื่นๆ ต่อไปในอนาคต และเป็นประโยชน์กับผู้เขียนในแง่การปรับปรุงให้ดีขึ้นเรื่อยๆ
7. มาตรการวิเคราะห์ผลกระทบ
- ลักษณะของกิจกรรม : การวิเคราะห์วิกฤติของกิจกรรมเป็นส่วนหนึ่งขององค์กร เพราะทุกโครงการจะต้องมีการระบุกิจกรรม ซึ่งโครงการทุกโครงการจะต้องมีปัญหาระหว่างการดำเนินงานกิจกรรมต่างๆ กิจกรรมใดๆ ที่ผิดปกติ หรือ โครงการที่มีแนวโน้มที่จะส่งผลให้เกิดข้อผิดพลาดหรือขาดประสิทธิภาพและเป็นที่สนใจของการตรวจสอบมากขึ้น
- วิเคราะห์สาเหตุของปัญหา/อุปสรรค : ปัจจัยที่เกี่ยวข้องกับมาตรการที่ได้ในกำหนดการวางในตำแหน่ง ในจะต้องมีการสังเกตข้อบกพร่องต่างๆ ซึ่งที่ต้องพิจารณารวมถึงแผนการต่อเนื่องทางธุรกิจ เช่น แผนกู้คืนระบบขั้นตอนที่มีปัญหาหรืออุปสรรคด้วยตนเอง
โดยทั่วไปการแก้ไขปัญหาดังกล่าวจะต้องมีผู้มีความรู้ ความเชี่ยวชาญ และค่าใช้จ่ายในการแก้ไขที่เป็นประโยชน์เพื่อลดความเสี่ยงลงให้ต่ำที่สุด
- ความไวของการตอบสนองการทำงานเพื่อการบริหารจัดการ : ปัจจัยที่เกี่ยวข้องกับวิธีการที่สำคัญในกิจกรรมหรือพื้นที่มีการบริหาร
- ความสำคัญ : แนวคิดเกี่ยวกับความสำคัญของรายการในกิจกรรม ของข้อมูลที่เกี่ยวข้องกับเรื่องที่มีผลต่อด้านลบต่อการทำงานขององค์กร การแสดงออกอย่างมีนัยสำคัญเมื่อเทียบ หรือ ความสำคัญของเรื่องนั้นๆ โดยเฉพาะอย่างยิ่งในบริบทขององค์กรโดยรวม
8. มาตรการของโอกาส
- ขอบเขตของระบบหรือกระบวนการการเปลี่ยนแปลง : สภาพแวดล้อมแบบไดนามิกในแง่ของระบบหรือการเปลี่ยนแปลงกระบวนการเพิ่มเติมโอกาสของความผิดพลาดและทำให้เพิ่มความสนใจการตรวจสอบจำนวนมากของกระบวนการ re-engineering อาจจะเกิดขึ้นการเปลี่ยนแปลงระบบหรือกระบวนการปกติที่เกิดขึ้นเพื่อผลการพัฒนาในระยะยาว แต่มักจะมีการชดเชย ในระยะสั้นที่ต้องตรวจสอบความคุ้มครองที่เพิ่มขึ้น
- ความซับซ้อน : นี้สะท้อนให้เห็นถึงปัจจัยเสี่ยงที่อาจเกิดขึ้นสำหรับข้อผิดพลาด หรือการยักยอกไปตรวจไม่พบเนื่องจากสภาพแวดล้อมที่มีความซับซ้อน คะแนนสำหรับความซับซ้อนจะขึ้นอยู่กับปัจจัยหลายอย่าง ขอบเขตของระบบอัตโนมัติคำนวณที่ซับซ้อนจะขึ้นอยู่กับปัจจัยหลายอย่าง ขอบเขตของระบบอัตโนมัติคำนวณที่ซับซ้อนกิจกรรมสัมพันธ์และพึ่งพาบุคคลที่สามารถความต้องการของลูกค้าเวลาการประมวลผลตามกฎหมาย และระเบียบข้อบังคับและปัจจัยอื่นๆ อีกมากมายบางคนไม่ได้รับการยอมรับส่งผลกระทบต่อการตัดสินใจของเกี่ยวกับความซับซ้อนของการตรวจสอบโดยเฉพาะอย่างยิ่ง
- โครงการการจัดการ : การพิจารณาควรจะได้รับต่อไปนี้เมื่อการบริหารจัดการโครงการจัดอันดับ
- นักพัฒนาภายใน In-house หรือ จ้าง Outsourced
- โครงสร้างของการโครงการ
- ทักษะบุคลากร
- ระยะเวลาโครงการ
9. ความเห็นของผู้ตรวจสอบ
- ความเห็นของผู้ตรวจสอบ ก็เป็นการวิเคราะห์โดยพิจารณาจากเอกสารหลักฐานและการสอบทานข้อมูลทั้งหมดที่มีด้วยความรอบคอบ และประสบการณ์ของผู้ตรวจสอบ
- การให้คะแนนน้ำหนักของผู้ตรวจสอบจะมีผลต่อความเสี่ยง และระดับความสำคัญของโครงการหรือกิจกรรมที่จะทำการตรวจสอบ เพื่อให้การตรวจสอบเป็นไปอย่างคุ้มค่า และเหมาะสมกับการดำเนินงาน
- รวมทั้งพิจารณาข้อมูลที่ได้รับจาก กองบริหารความเสี่ยง หรือ กองควบคุมภายใน มาพิจารณาประกอบ การตัดสินใจทุกครั้ง (ห้ามพิจารณาด้วยการใช้ความรู้สึกแบบไม่มีเอกสารหลักฐานมาพิจารณาประกอบเด็ดขาด)
10. ตารางคะแนนน้ำหนักของ Internal Audit Matrix
- ตารางคะแนนน้ำหนักของ Internal Audit Matrix นี้ เป็นการนำข้อมูลระดับความเสี่ยงด้าน โอกาสเกิด ผลกระทบ และความเห็นของผู้ตรวจสอบ มาพิจารณาร่วมกันในการกำหนดระดับความรุนแรง และความสำคัญของกิจกรรมที่ควรจะเข้าไปตรวจสอบ
- การกำหนดระดับน้ำหนักของคะแนนจะแบ่งออกเป็น 5 ระดับ ซึ่งสามารถใช้ได้กับการระบุน้ำหนักของ โอกาสเกิด หรือ ผลกระทบ หรือ ความเห็นของผู้ตรวจสอบ จะมีระดับคะแนน 5 ระดับ เหมือนกัน ประกอบด้วย
- ระดับต่ำที่สุด = 0.25
- ระดับต่ำ = 0.50
- ระดับปานกลาง = 0.75
- ระดับสูง = 0.85
- ระดับสูงมาก = 0.95
- ผู้ใช้งานจำเป็นจะต้องพิจารณากิจกรรมหลักของโครงการที่จะเข้าไปตรวจสอบ และทำการแยกประเภทของกิจกรรมหลัก และทำการระบุน้ำหนักของ “โอกาสเกิด” “ผลกระทบ” และ “ความเห็นของผู้ตรวจสอบ” แยกรายกิจกรรม
- ผู้ใช้งานไม่จำเป็นจะต้องให้น้ำหนักกิจกรรมเหมือนกับตารางที่เป็ํนตัวอย่างน้ำหนัก ซึ่งขึ้นอยู่กับความเห็นของผู้ตรวจสอบในการระบุน้ำหนักแยกรายกิจกรรม เช่น
- กิจกรรมการจัดซื้ออุปกรณ์สุขภัณฑ์ โอกาสเกิด 0.75 ผลกระทบ 0.85 ความเห็นผู้ตรวจ 0.85
จำนวน 50 รายการ แต่มีข้อสงสัย
บางประการด้วยราคาและคุณภาพ ผลรวมคะแนนความเสี่ยง = 2.45 (0.75+0.85+0.85)
น่าสงสัย - ผู้ใช้งานก็จำเป็นจะต้องนำผลรวมของคะแนนความเสี่ยงไปเปรียบเทียบกับ ตารางคะแนนน้ำหนักของคะแนน Internal Audit Matrix Score ในข้อ 11 ซึ่งอยู่ในพื้นที่ สีแดง จำเป็นจะต้องเข้าไปตรวจสอบ
11. ตารางคะแนนน้ำหนักของคะแนน Internal Audit Matrix Score
- เราได้ทำการสรุปลักษณะของคะแนน แยกตามระดับของความเสี่ยง ด้วยการแบ่งเป็นโทนสี เพื่อให้สะดวกในการจดจำและการวิเคราะห์ระดับความสำคัญของการเข้าไปพิจารณาตรวจสอบ ด้วยการแบ่งออกเป็น 4 ระดับ ด้วยกัน
- ระดับความเสี่ยงที่ ยอมรับได้ อยู่ในโซนพื้นที่ สีเขียว
ในพื้นที่สีเขียว เป็นพื้นที่มีระดับความเสี่ยงต่ำ ไม่จำเป็นจะต้องเข้าไปตรวจสอบในกิจกรรมนั้นๆ
- ระดับความเสี่ยงที่ เฝ้าระวังและติดตาม อยู่ในโซนพิ้นที่ สีเหลือง
ในพื้นที่สีเหลือง เป็นพื้นที่ระดับเฝ้าระวัง และติดตามความก้าวหน้าของโครงการ และจำเป็นจะต้องติดตามขอข้อมูลในกิจกรรมที่น่าสงสัย
- ระดับความเสี่ยงที่ ขอข้อมูลเพิ่มเติมหรือมีหลักฐานเพียงพอก็จะต้องเข้าไปตรวจสอบ อยู่ในโซนพื้้นที่ สีส้ม
ในพื้นที่สีส้ม เป็นพื้นที่ระดับเฝ้าระวัง และมีเอกสารหลักฐานที่เพียงพอที่่สงสัยจะมีการทุจริต หรือมีข้อผิดพลาดเกิดขึ้น ที่มีนัยสำคัญต่อความสำเร็จของโครงการนั้นๆ ทำให้จะต้องเข้าไปตรวจสอบ อย่างใกล้ชิด
- ระดับความเสี่ยงที่ ต้องเข้าไปตรวจสอบเร่งด่วน อยู่ในโซนพื้นที่ สีแดง
ในพื้นที่สีแดง เป็นพื้นที่ระดับที่มีความเสี่ยง แสดงว่าเกิดข้อผิดพลาดขึ้นแล้ว และมีความรุนแรงต่อความสำเร็จของโครงการ และองค์กร อย่างเห็นได้ชัดเจน มีเอกสารหลักฐานที่ชัดเจน มีการสั่งโดยตรงจากผู้บริหารระดับสูง หรือ คณะกรรมการตรวจสอบภายใน ให้เข้าไปตรวจสอบทันที
- เราได้พยามออกแบบตาราง Internal Audit Matrix ให้อยู่ในระดับปานกลางที่มากกว่า โซนอื่นๆ เพราะโครงการต่างๆ หรือ กิจกรรมหลักต่างๆ ส่วนใหญ่จะตกอยู่ในพื้นที่สีเหลือง เพราะยังไม่ข้อมูล หรือ เอกสารหลักฐานที่ชัดเจนจนสามารถระบุได้เลยว่ามีความผิดพลาด หรือมีการทุจริตอย่างชัดเจน
- ในส่วนของพิ้นที่ สีส้ม มีปริมาณตัวเลขระบุน้ำหนักน้อยสุด เพราะยังไม่ชัดเจนว่าผิดจริง เพียงแต่มีข้อมูลจากการบอกกล่าว หรือ โทรศัพท์ หรือ สภาพแวดล้อมผิดปกติ แต่ยังระบุความผิดที่ชัดเจนไม่ได้
12. ตารางผลคะแนนความเสี่ยง Internal Audit Matrix
- ตารางผลคะแนนความเสี่ยง Internal Audit Matrix นี้จะเป็นการแสดงความเสี่ยงแยกตามพิ้นที่ด้วยระดับสีที่แตกต่างกัน
- คะแนนความเสี่ยงที่อยู่ในช่องสี่เหลี่ยมแต่ละช่อง จะต้องมาจากผลรวมของคะแนน “โอกาสเกิด” + “ผลกระทบ” + “ความเห็นของผู้ตรวจสอบ” เมื่อได้ผลรวมคะแนนแล้ว ก็ให้มาวางให้ตรงกับช่องคะแนนที่ระบุในตาราง Internal Audit Matrix ในตารางนี้
- ตารางใน Internal Audit Matrix จะแบ่งเป็น 2 ด้าน โอกาสเกิด (แนวตั้ง) และ ผลกระทบ (แนวนอน)
- การใช้งานตาราง Internal Audit Matrix นี้ สามารถแยกวิเคราะห์รายโครงการก็ได้ หรือ จะพิจารณาในภาพรวมทุกโครงการก่อน เพื่อหาโครงการที่มีความเสี่ยงสูงสุด เพียงพอที่จะเข้าไปตรวจสอบ และทำแผนการตรวจสอบต่อไป
- ถ้าจะวิเคราะห์ภาพรวมทุกโครงการก็ให้ตั้งคำถามที่จะวิเคราะห์ในข้อ 13 เหมือนกันทุกโครงการ แต่จะมีคะแนนระดับความเสี่ยงที่ต่างกัน ตอนผลการวิเคราะห์ก็จะสามารถทราบได้ว่าจะเข้าไปตรวจสอบโครงการใดบ้าง
13. มาตรการเกี่ยวกับการควบคุม Internal Audit Matrix
- เราได้ออกแบบตารางการวิเคราะห์ความเสี่ยงในรูปแบบของ Internal Audit Matrix เพื่อให้ผู้ตรวจสอบสามารถนำไปใช้งานได้ง่ายขึ้น และสามารถระบุข้อมูลรายละเอียดเกี่ยวกับการวิเคราะห์ โอกาสเกิด และ ผลกระทบ ที่คาดว่าจะเกิดขึ้นจากกิจกรรมหลักของโครงการที่ทำการวิเคราะห์ในเวลานั้น
- ในช่องแรกของตาราง “ช่องตัวแปรที่สำคัญ”
- ผู้ใช้งานจะต้องระบุตัวแปรที่จะนำมาวิเคราะห์ เช่น ชื่อกิจกรรมหลัก และประเด็นที่จะวิเคราะห์หาค่าความเสี่ยง
- ผู้ใช้งานจะต้องระบุ ระดับน้ำหนักของความสำคัญในกิจกรรมที่ทำการวิเคราะห์ด้วย เพื่อเป็นการแจ้งว่าเรื่องที่ทำการวิเคราะห์มีความสำคัญระดับใด ในโครงการนั้นๆ หรือ เกี่ยวข้องกับองค์กรในประเด็นใด มีความสำคัญระดับใด มีผลกระทบต่อความสำเร็จขององค์กรในระดับใด เป็นต้น
- ในช่องที่สองของตาราง “อธิบายลักษณะและระดับโอกาสเกิด และผลกระทบ”
- ผู้ใช้งานจะต้องอธิบายเหตุผล ของการตรวจสอบพบ หรือ มีเอกสารอ้างอิงเหตุการณ์นั้นๆ หรือมีประเด็นข้อสงสัยในเรื่องใด ที่ทำให้สามารถวิเคราะห์โอกาสเกิด และผลกระทบ ที่คาดว่าจะเกิดขึ้นจากกิจกรรมหลัก ที่จะส่งผลต่อความสำเร็จของโครงการนั้นๆ หรือ องค์กรในด้านใดบ้าง
- ผู้ใช้งานสามารถอ้างอิง ชื่อเอกสารที่ใช้ประเมิน หรือ ตรวจสอบ หรือ สถานที่ หรือ การสัมภาษณ์บุคคลใด เป็นต้น
- ในช่องที่สาม ถึง ห้า ของตาราง “ระดับโอกาสเกิด” “ระดับผลกระทบ” “ความเห็นผู้ตรวจสอบ”
- ผู้ใช้งานจะต้องระบุคะแนนของระดับโอกาสเกิด ที่แบ่งได้ 5 ระดับ ดังตัวอย่างด้านล่าง
- ผู้ใช้งานจะต้องเลือกระดับคะแนนตามความเห็นการวิเคราะห์ด้านเอกสาร และการตรวจสอบเบื้องต้นที่ได้พบเจอ หรือ ความเห็นจากการประเมินผลการตรวจสอบในอดีตของผู้ตรวจสอบรายก่อนหน้า หรือ ระดับความเสี่ยงที่เกิดขึ้นจากการบริหารความเสี่ยงของโครงการที่ได้รับจาก กองบริหารความเสี่ยง ส่งมาให้พิจารณาประกอบ เป็นต้น
- การระบุคะแนนใน 3 ช่องนี้ จะต้องใส่ข้อมูลด้วยเหตุผล จากการวิเคราะห์เท่านั้น ห้ามใส่คะแนนด้วยความรู้สึกเพียงอย่างเดียว และควรจะมีความเห็นของหัวหน้าผู้ตรวจสอบวิเคราะห์ขั้นสุดท้ายอีกครั้งเพื่อยืนยันระดับคะแนนความเสี่ยงที่เกิดขึ้น
-
- จะมีระดับคะแนน 5 ระดับ เหมือนกัน ประกอบด้วย
- ระดับต่ำที่สุด = 0.25
- ระดับต่ำ = 0.50
- ระดับปานกลาง = 0.75
- ระดับสูง = 0.85
- ระดับสูงมาก = 0.95
- ในช่องที่หก “ระดับความเสี่ยง”
- ผู้ใช้งานต้องรวมคะแนนจาก โอกาสเกิด + ผลกระทบ + ความเห็นของผู้ตรวจสอบ มาเก็บไว้ในช่องนี้ แยกรายประเด็นกิจกรรมหลักที่ได้มีการประเมินความเห็นก่อนการเข้าไปตรวจสอบจริง เพื่อนำผลลัพธ์ที่ได้จากการวิเคราะห์ไปทำแผนการตรวจสอบรายโครงการต่อไป
- ผู้ใช้งานจะต้องทำการวิเคราะห์ประเด็นในช่องแรก ให้ดี และมีความเหมาะสมกับการวิเคราะห์โครงการให้มากที่สุด และจะต้องทำแบบนี้กับโครงการที่มีความสำคัญสูง ใช้งบประมาณมาก เป็นตัวชี้วัดขององค์กร เป็นนโยบายของรัฐบาล เป็นต้น
14. ผู้ใช้งานจะต้องวิเคราะห์ภาพรวมของทุกโครงการที่มีความสำคัญ
- ทำบทสรุปเพื่อนำเสนอผู้บริหารในการจัดทำแผนตรวจสอบภายใน ต่อไป
การทำงานวิเคราะห์ความเสี่ยงด้วย Internal Audit Matrix นี้จะทำให้ผู้ตรวจสอบ มีความมั่นใจในการตรวจสอบมากขึ้น และสามารถนำประเด็นที่ได้มีการวิเคราะห์เหล่านี้ไปใช้ในการทำแผนการตรวจสอบ และประเด็นที่จะใช้ในการตรวจสอบได้อย่างถูกต้อง แม่นยำมากขึ้น เราก็อยากได้ความเห็นจากทุกๆ ท่านเกี่ยวกับวิธีการทำงานของตาราง Internal Audit Matrix นี้มีจุดบกพร่องในด้านใดบ้าง เพื่อนำมาปรับปรุงแก้ไขให้มีความเหมาะสมกับกระบวนการทำงานตรวจสอบภายในให้ดีมากยิ่งๆ ขึ้นไป
สุดท้ายนี้หวังเป็นอย่างสูง ว่าการอธิบายเกี่ยวกับวิธีการใช้ Internal Audit Matrix นี้จะมีประโยชน์สำหรับทุกๆ ท่านที่ทำงานด้านการบริหารความเสี่ยง และ ตรวจสอบภายใน นำไปปรับใช้ในองค์กรของท่านเพื่อให้เกิดประโยชน์สูงสุด และสร้างมูลค่าเพิ่มด้านองค์ความรู้ให้กับเจ้าหน้าที่ ต่อไป
ขอให้ทุกๆ ท่านมีความสุข ไร้โรคภัยไข้เจ็บเถิด สาธุ
เอกกมล เอี่ยมศรี
ผู้เรียบเรียง
ขั้นตอนการตรวจสอบและประเมินความเสี่ยง : ภาค 2
สวัสดี ครับ
วันนี้อยากจะขอเล่าเรื่องเทคนิคการวัดและประเมินความเสี่ยง สำหรับเจ้าหน้าที่ผู้ตรวจสอบภายใน ได้นำไปพิจารณาและลองฝึกปฎิบัติเพื่อใช้ในการตรวจสอบให้มีความถูกต้องและเหมาะสม
4. เทคนิคการวัดและประเมินความเสี่ยง
4.1 ในการพิจารณาว่าพื้นที่ทำงานที่เหมาะสมในการตรวจสอบอาจจะมีความหลากหลายและมีพื้นที่ขนาดใหญ่สำหรับเจ้าหน้าที่ผู้ตรวจสอบ ถ้าเป็นไปได้ในการกำหนดขนาดพื้นที่ที่จะทำการตรวจสอบควรจะมีการประเมินความเสี่ยงในการที่จะสามารถตรวจสอบได้อย่างมีคุณภาพ ซึ่งทั้งหมดขึ้นอยู่กับเครื่องมือที่เจ้าหน้าที่ตรวจสอบสามารถนำมาใช้เพื่อช่วยในการตรวจสอบให้มีความถูกต้อง เหมาะสม และค้นพบข้อเท็จจริงต่างๆ ที่ตรวจสอบ ผู้ตรวจสอบจำเป็นจะต้องประเมิน (Information System : IS)
คำอธิบายเกี่ยวกับ IS สำหรับเจ้าหน้าที่ตรวจสอบ : ระบบคอมพิวเตอร์หลายคนกำลังสงสัยในความสามารถในการทดแทนมนุษย์ เกี่ยวกับการปฎิบัติงานที่ซับซ้อน การใช้งานซอฟต์แวร์ธุรกิจส่วนใหญ่จะเป็นการทำงานในโดเมนของการเงินและการบัญชี ตัวเลขจากงบในกระดาษและใบเสร็จรับเงินถูกป้อนเข้าไปในเครื่องคอมพิวเตอร์ ซึ่งจะใช้ในการคำนวณและสร้างรายงาน โปรแกรมคอมพิวเตอร์ที่ใช้ในการตรวจสอบภายใน ส่วนมากใช้การสุ่มตัวอย่าง ผู้ตรวจสอบจะทำการเก็บสำเนางบการเงินในกระดาษและใบเสร็จรับเงินต้นฉบับด้วยตนเอง และทำการคำนวณตัวเลขที่ใช้ในการสร้างรายงานในแต่ละครั้ง และเปรียบเทียบผลของการคำนวณกับโปรแกรมคอมพิวเตอร์ ผู้ตรวจสอบที่มีความเชี่ยวชาญในบัญชี มักจะพบข้อผิดพลาดการเขียนโปรแกรมและเหล่านี้ในผลลัพธ์ที่เกิดจากโปรแกรมตรวจสอบภายในด้วยคอมพิวเตอร์
การนำข้อมูลที่ได้มีการวิเคราะห์ หรือจัดเก็บไว้อย่างเป็นระบบก็ให้นำมาใช้ เช่นใน Log file ขอให้เลือกดูฐานข้อมูลจาก Log file ที่มีกระบวนการดำเนินงานที่มีความเสี่ยง และสามารถดำเนินการทุจริตได้ หรือ สามารถปรับเปลี่ยนข้อมูลได้ง่ายและมีความสำคัญ หรือ สามารถปลอมแปลงเอกสารได้ง่ายด้วยการเข้าไปแก้ไขข้อมูลในฐานข้อมูลและทำการตรวจสอบได้ยาก ซึ่งขั้นตอนนี้จะไปอยู่ในรูปแบบ IT Audit ซึ่งจะไม่อธิบายในตอนนี้ เพราะจะยาวมากเช่นกัน ดังนั้นเพียงแต่จะบอกว่า อย่าเชื่อ IS ที่ซื้อมาจากต่างประเทศด้วยราคาแสนแพง แบบหลับหูหลับตาเชื่อก็แล้วกัน
การตรวจสอบข้อมูล และเอกสารหลักฐานด้วยตนเองจะช่วยให้ค้นพบการฉ้อโกง กิจกรรมการฉ้อโกงตั้งแต่เจ้าหน้าที่บันทึกข้อมูล และเจ้าหน้าที่เขียนข้อมูลด้านการเงินที่ทำหน้าที่เปลี่ยนแปลงรายงการ ด้วยการให้โปรแกรมเมอร์ทำการเขียนโปรแกรมปัดเศษสตางค์ในลักษณะคำนวณผิดพลาดโดยเจตนา และส่งออกมาเพื่อสะสมเงินสดในบัญชีธนาคารที่มีการซ่อนเร้น เป็นต้น
ผู้ตรวจสอบจำเป็นจะต้องทำการประเมิน IS ในกระบวนการที่เสี่ยงที่เป็นขั้นตอนพื้นฐาน ซึ่งมักจะมีความเสี่ยงสูง ดังนั้นจึงควรตรวจสอบโดยกำหนดกระบวนการคือ
- ระบุพื้นที่่ของกระบวนการเสี่ยง หรือ ขั้นตอนการปฎิบัติงานที่มีความเสี่ยงหลงเหลืออยู่ในระดับสูง และไม่สามารถยอมรับได้
- ระบุระบบการควบคุมที่สำคัญที่มีอยู่และมีความเสี่ยงสูง
- ประเมินความไม่แน่นอนที่มีอยู่ในความสัมพันธ์กับระบบการควบคุมที่สำคัญ ๆ
4.2 การใช้การประเมินความเสี่ยงสำหรับกำหนดเป็นพื้นที่ที่จะตรวจสอบ :
- เพื่อให้สะดวกในการบริหารจัดการให้มีประสิทธิภาพ และจัดสรรทรัพยากร ที่มีอย่างจำกัด ในการตรวจสอบพื้นที่ต่างๆ
- ให้ความเชื่อมั่นอย่างสมเหตุสมผลว่ามีข้อมูลเกี่ยวกับทุกระดับของการปฎิบัติงาน และมีความเชื่อมโยงไปถึงคณะกรรมการบริหาร และผู้บริหารระดับสูง หรือ ระดับกลางในพื้นที่ที่จะตรวจสอบ โดยทั่วไปการรวบรวมข้อมูลในพื้นที่ที่จะทำการตรวจสอบให้มีประสิทธิภาพ ตามภาระหน้าที่ของผู้ตรวจสอบ และให้ความเชื่อมั่นอย่างสมเหตุสมผลว่าเป็นกิจกรรมการตรวจสอบในพื้นที่เสี่ยงสูงในทางธุรกิจ และจะสามารถเพิ่มมูลค่าให้กับการบริหารจัดการองค์กร
- การกำหนดเกณฑ์การมีประสิทธิภาพในการตรวจสอบการบริหารจัดการด้าน IS
- ให้ข้อสรุปของวิธีการเรื่องการทบทวนบุคคลที่เกี่ยวข้องกับการจัดการโดยรวมเช่นเดียวกับแผนธุรกิจ
5. วิธีการวัดประเมินความเสี่ยง
5.1 วิธีการประเมินความเสี่ยงในปัจจุบันมีหลายวิธี ซึ่งวิธีการดังกล่าวจะอธิบายเกี่ยวกับการบริหารความเสี่ยงอย่างเป็นระบบ มีการให้คะแนนระดับความเสี่ยงที่มีความรุนแรง และโอกาสเกิดที่แตกต่างกัน และมีการจัดลำดับความสำคัญของเหตุการณ์ความเสี่ยง ในการพิจารณาด้านการประเมินความเสี่ยงของเหตุการณ์ความเสี่ยงที่พิจารณาเป็นตัวแปร เช่น ความซับซ้อนทางเทคนิคของการบริหารความเสี่ยง และขอบเขตของการพิจารณากระบวนการปฎิบัติงาน และการเปลี่ยนแปลงกระบวนการปฎิบัติงานที่สำคัญๆ ตัวแปรเหล่านี้อาจจะไม่ได้ทำการถ่วงน้ำหนักค่าของความเสี่ยงเมื่อเทียบกับตัวแปรของกระบวนการปฎิบัติงานด้านอื่นๆ ดังนั้นจะต้องมีการจัดทำแผนการตรวจสอบ
(วิธีการถ่วงน้ำหนักด้านการบริหารความเสี่ยง ตามลำดับความสำคัญ และการระบุคะแนนของความเสี่ยงในเชิง Risk Matrix ขอให้อ่านจากบทความการคำนวณความเสี่ยงและการวิเคราะห์ Risk Matrix ในหมวดของ Risk Management)
แผนการตรวจสอบ คือ การเตรียมการโดยแผนการตรวจสอบจะได้รับการอนุมัติโดยคณะกรรมการตรวจสอบ หรือ ประธานเจ้าหน้าที่บริหาร (CEO) ให้ความเห็นต่อแผนการตรวจสอบ ซึ่งรูปแบบของแผนการตรวจสอบจะเป็นการประเมินความเสี่ยงจากการตรวจสอบเอกสารหลักฐาน และข้อมูลที่ได้มีการรวบรวมล่วงหน้า และทำการตัดสินใจบรรจุในแผนการตรวจสอบ
6. การเก็บรวบรวมข้อมูล
6.1 ข้อมูลที่อธิบายนี้จะในแง่ของการดำเนินงานขององค์กรจะใช้ในการกำหนดหน่วยงานตรวจสอบได้ที่หลากหลายและการจำลองความเสี่ยงเป็นธรรมชาติในการดำเนินงานของหน่วย แหล่งที่มาของข้อมูลนี้รวมถึง :
- การสัมภาษณ์ผู้บริหารระดับสูง และผู้บริหารระดับกลาง เกี่ยวกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลสำหรับการพัฒนาของรูปแบบความเสี่ยง
- ผลลัพธ์ของแบบสอบถามที่ได้มีการเก็บรวบรวมข้อมูลเกี่ยวกับกระบวนการปฎิบัติงานและขั้นตอนการทำงานในหน่วยงานที่มีความสำคัญๆ และนำมาประเมินด้านการบริหารความเสี่ยง
- เอกสารรายงาน เมื่อเร็วๆ นี้
- แผนกลยุทธ์ด้าน IT และแผนกลยุทธ์ของสำนัก/ฝ่าย/กอง/แผนก ที่สำคัญเป็น core function ขององค์กร
- หน่วยงานที่มีการใช้งบประมาณสูงๆ และมีการดำเนินงานโครงการขนาดใหญ่
- ความเห็นที่มีข้อสงสัยจากผู้ตรวจสอบบัญชีภายนอก
- การรวบรวมข้อมูลจากความตระหนักและทักษะความรู้ของผู้ตรวจสอบ จากแหล่งต่างๆ
6.2 วิธีการประเมินหลักฐานการตรวจสอบ การตรวจสอบเอกสารหลักฐานที่แสดงความเป็นมืออาชีพของคุณด้านการตรวจสอบ เมื่อดำเนินการตรวจสอบคุณต้องประเมินลักษณะของความสามารถและเพียงพอ และการประเมินผลการตรวจสอบหลักฐานเพื่อตรวจสอบความถูกต้อง หลังจากที่ทุกการตรวจสอบของคุณขึ้นอยู่กับความจริงของหลักฐาน
ธรรมชาติของหลักฐานสำหรับการตรวจสอบ
ธรรมชาติของหลักฐานการตรวจสอบ หมายถึง รูปแบบของหลักฐานที่คุณกำลังมองหาที่ระหว่างการตรวจสอบ ซึ่งควรรวมทั้งหมดทั้ง เอกสารทางบัญชี รายงานการประชุม ข้อร้องเรียน เป็นต้น
เอกสารหลักฐานสำหรับใช้ในการตรวจสอบ
หลักฐานการตรวจสอบมีความเกี่ยวข้องกับงานที่คุณกำลังทำและมีความน่าเชื่อถือ รวมทั้งเกี่ยวข้องกับคุณภาพของเอกสารหลักฐานที่สนับสนุนในการตรวจสอบการดำเนินงาน
- ความเกี่ยวข้อง : ความเกี่ยวข้องของเอกสารหลักฐานโดยการประเมินความสัมพันธ์ระหว่างเอกสารและการจัดการยืนยันข้อมูลที่คุณกำลังทดสอบ
- ความน่าเชื่อถือ : คุณวัดความน่าเชื่อถือด้วยการตัดสินใจว่าหลักฐานมีความน่าเชื่อถือ จะต้องเป็นเอกสารที่มีความสำคัญ และเป็นสิ่งที่่ทุกหน่วยงานยอมรับ เป็นเอกสารที่มาจากกระบวนการปฎิบัติงาน หรือจากบุคคลที่น่าเชื่อถือ เป็นต้น
- เอกสารต้นฉบับมีความน่าเชื่อถือกว่าเล่มที่มีการเปลี่ยนแปลงไปจากเดิม
- การเขียนเอกสารเป็นความน่าเชื่อถือมากกว่าปาก
- ความรู้โดยตรงของกระบวนการมีความน่าเชื่อถือมากกว่าแค่การมีพนักงานมาอธิบายให้คุณฟังเกี่ยวกับกระบวนการทำงาน
- เป็นต้น
สุดท้ายนี้ในบทนี้ เราจะเล่าให้ฟังเพียงเท่านี้ก่อน เพราะในบทที่ 3 ที่จะเล่าตอนต่อไป จะเป็นเรื่องของการคำนวณ และการกำหนดน้ำหนักที่ใช้ในการจัดลำดับความสำคัญของเหตุการณ์ความเสี่ยงที่จะมีการตรวจสอบ และวิธีการที่ใช้ในการกำหนดน้ำหนักในประเด็นต่างๆ มีวิธการอย่างไร วิเคราะห์อย่างไร ขอให้ท่านผู้สนใจกรุณาติดตามในตอนต่อไป
ขอให้ทุกๆ ท่านโชคดี มีความสุขเถิด
เอกกมล เอี่ยมศรี
ผู้เรียบเรียง
ขั้นตอนการตรวจสอบและประเมินความเสี่ยง : ภาค 1
สวัสดีครับ
วันนี่้ได้อ่านบทความเกี่ยวกับการบริหารความเสี่ยงของ ISACA แล้วประทับใจในบทความที่ฝรั่งเขียน ก็เลยจะมาเล่าให้ฟังในสไตล์ของเราเอง เราเชื่อว่าหลายหน่วยงานน่าจะนำไปใช้ประโยชน์ได้จากบทความนี้
1. การเชื่อมโยงกับมาตรฐาน (Linkage to Standards/Guideline)
ผู้ตรวจสอบควรวางแผนก่อนการตรวจสอบด้วยการอิงตามมาตรฐานการตรวจสอบด้านความเสี่ยง ที่ได้อธิบายไปแล้วในบทความที่ผ่านมาอยู่ในหมวดของ Internal Audit และการตรวจสอบจะต้องมีการระบุวัตถุประสงค์ที่ชัดเจน สอดคล้องกับกฎหมายและกฎบัตรมาตรฐานการสอบระดับมืออาชีพ ดังนั้นการตรวจสอบควรจะได้รับเอกสารหลักฐานที่เพียงพอ เชื่อถือได้ และมีความเกี่ยวข้องเพื่อให้บรรลุวัตถุประสงค์การตรวจสอบ และสามารถสรุปผลการตรวจสอบ และข้อสรุปที่ได้รับการสนับสนุนโดยการวิเคราะห์ที่เหมาะสม และการตีความของหลักฐานเหล่านั้น “แนวทางการใช้ประเมินความเสี่ยงในการวางแผนการตรวจสอบ เป็นการให้คำแนะนำ”
1.1 สิ่งที่จำเป็นสำหรับขั้นตอนการตรวจสอบ
- ความหมายของการประเมินความเสี่ยง ให้ยึดหลักตามกฎบัตรการตรวจสอบ มาตรฐานสากล
- ให้คำแนะนำเกี่ยวกับวิธีการที่ใช้ คือ การตรวจสอบด้วยการประเมินความเสี่ยงเฉพาะส่วนที่เป็นกระบวนการทำงานด้านการบริหารความเสี่ยง การรวบรวมเอกสารหลักฐาน
- ให้คำแนะนำเกี่ยวกับการเลือกเกณฑ์การจัดอันดับความเสี่ยงและการใช้น้ำหนักของ การประเมินความเสี่ยง เช่น การใช้คำถาม Checklist ผูกกับน้ำหนักในการตอบแบบสอบถามแต่ละข้อ เพื่อนำมาประมวลผลเป็นความเสี่ยงใน Risk Matrix
2. ความเสี่ยง คือ
2.1 ความเสี่ยงควรจะเป็นการกระทำที่อาจจะเกิดขึ้น หรือ เหตุการณ์ที่มีผลกระทบต่อองค์กร และระบบข้อมูลของ ความเสี่ยงรวมทั้งสามารถมีศักยภาพในการสร้างผลกระทบ และภัยคุกคาม ต่อการใช้สินทรัพย์ หรือ ช่องว่างของการใช้สินทรัพย์ที่ก่อให้เกิดการสูญเสีย หรือ ความเสียหายให้กับสินทรัพย์ และมีหน่วยวัดเป็นระดับคะแนนของโอกาสเกิด x ระดับคะแนนของผลกระทบ
2.2 ความเสี่ยง ควรจะเป็นเหตุการณ์ที่ไม่สามารถควบคุมได้ด้วยเครื่องมือใดๆ เป็นการเฉพาะเจาะจง
2.3 ความเสี่ยงที่หลงเหลือ คือ การที่องค์กร หรือ หน่วยงานได้มีการบริหารจัดการความเสี่ยง ด้วยมาตรการต่างๆ ในระดับหนึ่ง ในระยะหนึ่่งๆ ต่อมาองค์กรได้ทำการประเมินความเสี่ยงเหล่านั้นอีกครั้งและพบว่ายังมีความเสี่ยงอยู่ในระดับที่ยอมรับได้ และไม่จำเป็นจะต้องมีการบริหารจัดการใหม่อีกครั้ง
3. วิธีการตรวจสอบระดับความเสี่ยง (Risk-Based is Audit Approach)
3.1 องค์กรส่วนมาก จะเชื่อถือว่าการนำวิธีการที่ใช้ประเมินระดับความเสี่ยงจะช่วยปรับปรุงและพัฒนากระบวนการตรวจสอบอย่างต่อเนื่อง ซึ่งวิธีการนี้จะถูกนำมาใช้ในการประเมินความเสี่ยงและการให้ความช่วยเหลือด้านการตัดสินใจแก่ผู้ตรวจสอบ ที่จะกระทำการอย่างใดอย่างหนึ่่ง ในการทดสอบวิธีการประเมินระดับความเสี่ยงที่สำคัญๆ นอกจากนี้ผู้ตรวจสอบจะต้องอาศัยข้อมูลจากการควบคุมภายในและการดำเนินงานทั่วไปขององค์กรมาประกอบการตัดสินใจ
3.2 ผู้ตรวจสอบควรจะทำความเข้าใจธรรมชาติของธุรกิจ ความเสี่ยงของธุรกิจ และสามารถระบุ หรือ จัดประเภทของความเสี่ยงที่อาจจะเกิดขึ้นเป็นตัวกำหนด รูปแบบความเสี่ยง หรือ วิธีการที่ใช้ในการดำเนินการทบทวนรูปแบบการประเมินความเสี่ยง สามารถดำเนินการได้ง่าย เช่น การกำหนดน้ำหนักสำหรับประเภทความเสี่ยงในระดับต่างๆ สำหรับโครงการที่มีความเสี่ยง ก็จะมีน้ำหนักที่แตกต่างกันตามระดับระดับความเสี่ยง และความสำคัญของโครงการ
3.3 ผู้ตรวจสอบมีความสนใจในความเสี่ยงที่ไม่สามารถควบคุมได้ และมีความสำคัญ ดังนั้นวิธีการตรวจสอบระดับความเสี่ยง ผู้ตรวจสอบจำเป็นจะต้องใช้ระบบเทคโนโลยีสารสนเทศ มาช่วยในการเก็บข้อมูลและประเมินผลในลักษณะ Scenario Analysis ประกอบการการพิจารณา
3.4 กำหนดแนวการตรวจสอบ Audit Universe ในครั้งแรกของการตรวจสอบและนำมาจัดอันดับความเสี่ยงเพื่อกำหนดแนวทางการตรวจสอบ ซึ่งจะขึ้นอยู่กับกลยุทธ์ที่ใช้ และนโยบายขององค์กร รวมทั้งนำมาพิจารณากำหนดเป็นแผนภูมิองค์กร และฟังก์ชั่นความรับผิดชอบของหน่วยงาน ทั้งหมดทั่วทั้งองค์กร และนำไปหารือกับผู้บริหารที่รับผิดชอบ
3.5 วงจรการวางแผนการตรวจสอบ ควรจะมีความสอดคล้องกับวงจรการวางแผนปกติ บ่อยครั้งที่การตรวจสอบในรอบปีจะมีการวางแผนเป็นอย่างใดอย่างหนึ่ง ซึ่งบางองค์กรจะใช้ปีปฎิทินงบประมาณ ทีมีรอบปีไม่ปกติ จำเป็นจะต้องมีการวางแผนการตรวจสอบเป็นรายไตรมาสแทน เพื่อให้สอดคล้องกันและสามารถนำข้อมูลไปใช้งานในด้านการบริหารได้จริง
3.6 การคัดเลือกโครงการที่จะทำการตรวจสอบจำเป็นจะต้องรวมอยู่ในแผนการตรวจสอบ และเป็นหนึ่งในปัญหาที่สำคัญที่สุดที่จะต้องมีการกระทำร่วมกับการบริหารจัดการด้านการตรวจสอบ ในขั้นตอนวางแผนการตรวจสอบเพื่อให้ปริมาณโครงการที่จะเข้าไปตรวจสอบ เหมาะสมกับปริมาณคนที่มีอยู่ และระยะเวลาที่จะใช้ในการตรวจสอบ เพื่อป้องกันแผนการตรวจสอบล้มเหลว ในการเลือกโครงการที่เหมาะสม
3.7 สมมติฐานพื้นฐานของแผนการตรวจสอบ คือ การประเมินผลการตรวจสอบในอนาคต/ โครงการจะมีประสิทธิภาพมากขึ้นถ้ามีกระบวนการอย่างเป็นทางการเกี่ยวกับการรวบรวมข้อมูลที่จำเป็น เพื่อใช้ประกอบการตัดสินใจ และการเสนอความคิดเห็น
3.8 การพิจารณาเลือกโครงการที่จะตัดสินใจ และการเสนอความคิดเห็น ควรใช้กรอบแนวทางของการบริหารความเสี่ยง และการสร้างตารางการตรวจสอบตามระยะเวลา และจัดเรียงลำดับความสำคัญของความคิดเห็น/ต่อโครงการ โดยการกำหนดเป็นขั้นตอนที่่ชัดเจน
เรื่องนี้ยาวมากครับ และมีความน่าสนใจมากเช่นกัน ต้องขอยอมรับว่า ISACA เขียนบทความชิ้นนี้ได้ดีมากและสามารถนำไปปฎิบัติงานได้จริงครับ ก็เลยอยากให้ทุกๆ ท่าน ที่ทำหน้าที่ Audit คอยติดตามอ่านเรื่องนี้ เพราะเราจะพยามแปลให้ครบทุกตอน แต่หลายตอนหน่อยนะครับ
สุดท้ายนี้ขอให้ทุกๆ ท่านมีความสุข ร่ำรวย สมหวังอย่างที่ต้องการครับ
เอกกมล เอี่ยมศรี
ผู้เรียบเรียง
บทบาทของตรวจสอบภายในร่วมกับการบริหารความเสี่ยง : The Role of Internal Auditing in Enterprise-wide Risk Management
สวัสดี ครับ
วันนี้เราไม่รู้จะไปไหนดี ก็เลยอยู่บ้านทั้งวันและเขียนบทความต่างๆ ให้ทุกๆ ท่านได้อ่านในยามว่าง และหวังว่าจะมีประโยชน์ในการนำไปใช้งานในชีวิตจริงได้ เพราะเราก็ได้สมัครเรียน ด้านตรวจสอบภายในมาและก็เห็นประโยชน์หลายด้าน และก็พบข้อผิดพลาดหลายด้านของเจ้าหน้าที่ตรวจสอบภายใน ขององค์กรต่างๆ ดังนั้น เราและทีมงานก็ทำการพัฒนาโปรแกรมเกี่ยวกับการตรวจสอบภายในขึ้นมา เพื่อใช้เป็นเครื่องมือที่ช่วยสนับสนุนการทำงานของฝ่ายตรวจสอบภายในให้สะดวกขึ้น เพราะเราทำในรูปแบบ Web Based ทำให้ง่ายในการเข้าถึงและการค้นหาข้อมูลทั้งหมดย้อนหลัง องค์กรใดสนใจติดต่อได้ครับ ที่คุณเอกกมล เอี่ยมศรี โทรศัพท์ 081 588 1532 อีเมล์ info@interfinn.com
The Institute of Internal Auditors (IIA) or IIAUK ได้กำหนดบทบาทของการตรวจสอบภายในและการบริหารความเสี่ยงทั่วทั้งองค์กร วัตถุประสงค์เพื่อช่วยหัวหน้างานตรวจสอบ (Chief audit Executives (CAEs) ในการตอบสนองต่อการบริหารความเสี่ยงองค์กร (ERM) ในประเด็นความเสี่ยงขององค์กรตน ซึ่งบทความนี้จะช่วยแนะนำสำหรับผู้ตรวจสอบภายใน สำหรับการรักษาวัตถุประสงค์และความเป็นอิสระตามมาตรฐานสากล IIA เกี่ยวกับการปฎิบัติตามวิชาชีพการตรวจสอบภายใน (ตามมาตรฐาน) การให้คำประกันความเห็นและการให้บริการคำปรึกษา
บทบาทหลักของการตรวจสอบภายในเกี่ยวกับการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM) คือการให้คำรับประกันเกี่ยวกับวัตถุประสงค์ และกิจกรรมของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM) เพื่อให้คณะกรรมการบริหารเกิดความมั่นใจเกี่ยวกับประสิทธิผลของกิจกรรม ERM และสร้างความมั่นใจว่าความเสี่ยงทางธุรกิจขององค์กรถูกจัดการอย่างเหมาะสม และมีระบบควบคุมภายในที่มีการดำเนินการอย่างมีประสิทธิภาพ
ปัจจัยหลัก ที่ CAEs ควรคำนึงถึงในการกำหนดแนวทางการตรวจสอบภายใน ไม่ว่าจะมีบทบาทในกิจกรรมที่เป็นการลดความเสี่ยงจากภัยคุกคามใดๆ ความเป็นอิสระของผู้ตรวจสอบภายใน และวัตถุประสงค์ในการที่จะปรับปรุงกระบวนการบริหารจัดการความเสี่ยงภายในองค์กร การควบคุมและกระบวนการกำกับดูแล เอกสารบทบาทที่ระบุใน IIA เป็นตัวบ่งชี้ว่าบทบาทของตรวจสอบภายในควรจะเข้าไปยุ่งทุกกระบวนการของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM) แต่ตรวจสอบเป็นเรื่องๆ และเป็นส่วนๆ
บทบาทของตรวจสอบภายในเกี่ยวกับการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM)
- การให้การประกันความเชื่อมั่นในกระบวนการบริหารความเสี่ยงตามหลัก ของ COSO
- การให้การประกันความเชื่อมั่นว่ามีการประเมินความเสี่ยงขององค์กรอย่างถูกต้องเหมาะสม
- การประเมินกระบวนการและขั้นตอนการบริหารความเสี่ยงทั่วทั้งองค์กร
- การประเมินรายงานความเสี่ยงที่มีความสำคัญๆ ขององค์กร
- การทบทวนการจัดการด้านความเสี่ยงที่สำคัญขององค์กร
บทบาทที่สำคัญของการตรวจสอบภายในเกี่ยวกับการป้องกันความถูกต้องตามกฎหมาย
- ระบุการอำนวยความสะดวกและการประเมินความเสี่ยง
- การตอบสนองต่อการฝึกอบรมด้านการบริหารความเสี่ยง
- กิจกรรมการประสานงานด้านการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM)
- การรวบรวมรายงานเกี่ยวกับการบริหารความเสี่ยง
- การดูแลรักษาและการพัฒนากรอบแนวทางการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร ERM
- ความเสี่ยงกลยุทธ์การจัดการสำหรับการพัฒนาคณะกรรมการ บริษัท
บทบาทการตรวจสอบภายในที่ไม่ควรทำ
- การตั้งค่าเกณฑ์การบริหารความเสี่ยง
- กำหนดกระบวนการบริหารความเสี่ยง
- การรับประกันการจัดการความเสี่ยงทั่วทั้งองค์กร เปรียบเสมือนจัดทำด้วยตนเอง
- การตัดสินใจเกี่ยวกับการตอบสนองด้านการบริหารความเสี่ยง
- การตอบสนองความเสี่ยงและรับผิดชอบในนามของผู้บริหาร
IIA เน้นว่าองค์กรควรเข้าใจเกี่ยวกับการบริหารจัดการที่รับผิดชอบในการบริหารความเสี่ยง ตรวจสอบภายใน ควรให้คำแนะนำและความท้าทาย หรือ สนับสนุนการตัดสินใจของผู้บริหารเกี่ยวกับความเสี่ยง ในขณะที่เมื่อเทียบกับการตัดสินใจด้านการบริหารความเสี่ยง โดยปกติของความรับผิดชอบต่อการตรวจสอบภายในและควรบันทึกไว้ในกฎบัตรการตรวจสอบภายใน และการอนุมัติจากคณะกรรมการตรวจสอบภายใน
การแนะนำ
ไม่กี่ปีที่ผ่านมา การให้ความสำคัญเกี่ยวกับการกำกับดูแลกิจการที่แข็งแกร่ง จากการบริหารความเสี่ยงและได้รับการยอมรับมากขึ้นเรื่อยๆ ด้วยองค์กรภายใต้ความกดดันที่ระบุธุรกิจที่มีความเสี่ยงที่ตนเผชิญ เช่น สังคม จริยธรรม และสิ่งแวดล้อม เช่นเดียวกับการเงิน และการดำเนินงาน ซึ่งจำเป็นจะต้องอธิบายวิธีการที่พวกเขาจัดการ ในระดับที่ยอมรับได้ ในขณะเดียวกันการใช้กรอบการบริหารความเสี่ยงแบบทั่วทั้งองค์กร
การตรวจสอบภายในและการประกันความเห็น และให้คำปรึกษา และบทบาทของการก่อให้เกิดการจัดการความเสี่ยงในความหลากหลายของวิธี ในปี 2002 สถาบันผู้ตรวจสอบภายใน สหราชอาณาจักร และไอร์แลนด์ออกแถลงการณจุดยืนในบทบาทของการตรวจสอบภายในและการบริหารจัดการความเสี่ยงเพื่อให้คำแนะนำกับสมาชิกเกี่ยวกับบทบาท ที่ได้รับอนุญาตและการป้องกันที่่จำเป็นในการป้องกันเอกราชของการตรวจสอบภายใน และวัตถุประสงค์ของคำสั่งนี้
การบริหารความเสี่ยงทั่วทั้งองค์กร คือ อะไร?
ฝ่ายบริหารความเสี่ยง ระบุแนวทางการประเมินด้านการจัดการ และควบคุมทุกชนิดของกิจกรรม หรือ สถานการณ์ที่มีความเสี่ยงที่รุนแรง เหล่านี้ เช่น ความเสี่ยงด้านการตลาดที่คุกคาม และโอกาสต่างๆ ขององค์กรโดยรวม หลักการที่นำเสนอในตำแหน่งนี้สามารถนำมาใช้เพื่อเป็นแนวทางในการมีส่วนร่วมในการตรวจสอบภายใน ทุกรูปแบบของการบริหารความเสี่ยง แต่ฝ่ายบริหารความเสี่ยง มีความสนใจอย่างยิ่งในการบริหารความเสี่ยงทั่วทั้งองค์กร เพราะเป็นโอกาสที่จะปรับปรุงกระบวนการกำกับดูแลองค์กร
โครงสร้างกระบวนการที่สอดคล้องและต่อเนื่องทั่วทั้งองค์กรในการระบุและประเมินที่จะตัดสินใจในการตอบสนอง ต่อการรายงานเกี่ยวกับโอกาสและภัยคุกคามที่มีผลกระทบต่อความสำเร็จของวัตถุประสงค์
การตอบสนองความเสี่ยง ERM
คณะกรรมการบริหารมีการตอบสนองต่อความเสี่ยง ERM โดยรวมเพื่อให้มั่นใจว่าจะมีการจัดการความเสี่ยง ในทางปฎิบัติคณะกรรมการบริหารจะมอบหมายแนวทางการดำเนินบริหารความเสี่ยง และกรอบการบริหารจัดการกับทีมงานบริหารความเสี่ยงที่จะรับผิดชอบในการกำหนดกิจกรรมการจัดการ แก่ผู้จัดการหน่วยงานหรือผู้รับผิดชอบด้านการบริหารกิจกรรมที่มีความสำคัญด้วยความรู้และทักษะที่มีความเชี่ยวชาญ
ทุกคนในองค์กรมีบทบาทในการทำให้มั่นใจว่าจะประสบความสำเร็จในการบริหารความเสี่ยงทั่วทั้งองค์กร แต่ความรับผิดชอบหลักในการระบุความเสี่ยงและการบริหารจัดการยังเป็นหน้าที่ของผู้นำกลุ่มในการบริหารจัดการ
การให้ความเชื่อมั่นต่อ ERM
หนึ่งในความต้องการที่สำคัญของคณะกรรมการหรือเทียบเท่า คือ การได้รับความมั่นใจว่ากระบวนการบริหารความเสี่ยงมีการทำงานอย่างอย่างมีประสิทธิภาพและความเสี่ยงที่สำคัญที่มีการจัดการในระดับที่ยอมรับได้
แนวโน้มการให้ความเชื่อมั่นหรือการประกัน จะมาจากแหล่งที่แตกต่างกัน ซึ่งการประกันจากการจัดการเป็นพื้นฐานนี้ควรจะสมบูรณ์ตามบทบัญญัติของความเชื่อมั่น ซึ่งการตรวจสอบภายในเป็นแหล่งที่สำคัญ แหล่งที่มาอื่นๆ ได้แก่ การตรวจสอบภายนอก และผู้เชี่ยวชาญอิสระ การตรวจสอบภายในตามปกติจะให้การรับรองใน 3 ประเภท
- กระบวนการบริหารความเสี่ยงทั้งการออกแบบและให้ความเห็นวิธีการทำงานอย่างไรที่ถูกต้องเหมาะสม
- การบริหารความเสี่ยงที่จัดเป็น “key” รวมทั้งประสิทธิผลของการควบคุมและการตอบสนองอื่นๆ ที่จะให้พวกเขาและ
- การประเมินความน่าเชื่อถือและมีความเหมาะสมกับความเสี่ยงและการรายงานความเสี่ยงสถานะการควบคุม
บทบาทของการตรวจสอบภายในต่อ ERM
การตรวจสอบภายในมีความเป็นอิสระ และความเชื่อมั่นและการให้คำปรึกษากิจกรรม บทบาทหลักของตรวจสอบภายในเรื่องเกี่ยวกับ ERM คือ การให้ความเชื่อมั่นกับคณะกรรมการเกี่ยวกับประสิทธิผลของการบริหารความเสี่ยง ที่จริงมีงานวิจัยที่แสดงให้เห็นว่าคณะกรรมการของบริษัทฯ และผู้ตรวจสอบภายในยอมรับว่ามี 2 วิธีที่สำคัญที่สุดที่ตรวจสอบภายใน (1) ให้คุณค่าให้กับองค์กรในการให้ความเชื่อมั่นว่าความเสี่ยงทางธุรกิจที่สำคัญที่มีการจัดการอย่างเหมาะสมและให้ความมั่นใจว่าการบริหารความเสี่ยงและการควบคุมภายใน (2) กรอบการดำเนินงานได้อย่างมีประสิทธิภาพ
การแสดงช่วงของกิจกรรม ERM และชี้ว่าบทบาทที่มีประสิทธิภาพการทำงานตรวจสอบแบบมืออาชีพภายในควรดำเนินการให้ความเห็นของวัตถุประสงค์ และไม่ว่าจะมีโอกาสที่จะปรับปรุงกระบวนการบริหารความเสี่ยงขององค์กรการควบคุมและกำกับดูแล
1. หลักของบทบาทการตรวจสอบภายในส่วนของ ERM
- การรับประกันในกระบวนการบริหารความเสี่ยง
- ให้ความมั่นใจว่าความเสี่ยงมีการประเมินอย่างถูกต้อง
- การประเมินกระบวนการบริหารความเสี่ยง
- การประเมินการรายงานความเสี่ยงที่สำคัญ
- ทบทวนการจัดการความเสี่ยงที่สำคัญ
2. บทบาทของการตรวจสอบภายในที่สามารถปฎิบัติได้ตามที่มีกฎบัตรป้องกัน
- อำนวยความสะดวกในการระบุและการประเมินความเสี่ยง
- การจัดการสอนในการตอบสนองต่อความเสี่ยง
- ประสานงานด้านกิจรรม ERM
- รายงานงบการเงินรวมทั้งเกี่ยวกับความเสี่ยง
- การรักษาและพัฒนากรอบ ERM
- กลยุทธ์การพัฒนาด้าน ERM เพื่อขออนุมัติคณะกรรมการ
3. บทบาทการตรวจสอบภายในไม่ควรทำ
- การตั้งค่าเกณฑ์ความเสี่ยง
- การจัดการด้านกระบวนการบริหารความเสี่ยง
- การประกันการจัดการเกี่ยวกับความเสี่ยง
- การตัดสินใจในการตอบสนองความเสี่ยง
- การดำเนินการตอบสนองความเสี่ยงในนามของผู้บริหาร
- ความรับผิดชอบในการบริหารความเสี่ยง
กิจกรรมในลำดับที่ 1 เป็นการรับประกันเกี่ยวกับวัตถุประสงค์ของการบริหารความเสี่ยง และฟังก์ชั่นการตรวจสอบภายในตามมาตรฐานสากลสำหรับการปฎิบัติงานด้านวิชาชีพเกี่ยวกับการตรวจสอบภายใน สามารถและควรดำเนินการอย่างน้อยบางส่วนของกิจกรรมเหล่านั้น
บทบาทของการให้คำปรึกษาว่าการตรวจสอบภายในอาจจะดำเนินการในส่วนที่เกี่ยวข้องกับ ERM โดยทั่วไปของการตรวจสอบภายในมากขึ้น และมีมาตรการที่ป้องกันและสร้างความมั่นใจว่าเป็นอิสระและความเที่ยงธรรมของการบำรุงรักษา ซึ่งบางส่วนของการให้คำปรึกษาบทบาทการตรวจสอบภายในที่สามารถดำเนินการได้
กิจกรรมในลำดับที่ 2 เป็นการปฎิบัติงานตามบทบาทของการตรวจสอบภายในภายใต้กฎบัตรของการตรวจสอบภายใน ที่มีการกำหนดตามมาตรฐานสากล เพื่อให้เจ้าหน้าที่ทุกคนของทีมงานตรวจสอบภายในปฎิบัติให้ถูกต้องเหมาะสม และมีความเข้าใจถ่องแท้ และมีความชำนาญในสิ่งที่ดำเนินการอย่างมืออาชีพ
กิจกรรมในลำดับที่ 3 เป็นข้อพึงระวังอย่าให้เข้าไปก้าวก่ายในหน่วยงานที่เกินอำนาจหน้าที่ของตน
สุดท้ายนี้ เราขอจบการอธิบายเกี่ยวกับการตรวจสอบภายใน ต่อการบริหารความเสี่ยงทั่วทั้งองค์กร และบทบาทหน้าที่ ซึ่งผู้ตรวจสอบภายในสามารถดำเนินการได้โดยไม่ผิดกฏบัตรและความรับผิดชอบต่อหน้าที่ของผู้ตรวจสอบภายใน
ขอให้ทุกๆ ท่านโชคดี
เอกกมล เอี่ยมศรี
ผู้เรียบเรียง