NEW MANAGEMENT FORUM

Central Knowledge Society

ขั้นตอนการตรวจสอบและประเมินความเสี่ยง : ภาค 1

สวัสดีครับ

วันนี่้ได้อ่านบทความเกี่ยวกับการบริหารความเสี่ยงของ ISACA แล้วประทับใจในบทความที่ฝรั่งเขียน ก็เลยจะมาเล่าให้ฟังในสไตล์ของเราเอง เราเชื่อว่าหลายหน่วยงานน่าจะนำไปใช้ประโยชน์ได้จากบทความนี้

1. การเชื่อมโยงกับมาตรฐาน (Linkage to Standards/Guideline)

     ผู้ตรวจสอบควรวางแผนก่อนการตรวจสอบด้วยการอิงตามมาตรฐานการตรวจสอบด้านความเสี่ยง ที่ได้อธิบายไปแล้วในบทความที่ผ่านมาอยู่ในหมวดของ Internal Audit และการตรวจสอบจะต้องมีการระบุวัตถุประสงค์ที่ชัดเจน สอดคล้องกับกฎหมายและกฎบัตรมาตรฐานการสอบระดับมืออาชีพ  ดังนั้นการตรวจสอบควรจะได้รับเอกสารหลักฐานที่เพียงพอ เชื่อถือได้ และมีความเกี่ยวข้องเพื่อให้บรรลุวัตถุประสงค์การตรวจสอบ  และสามารถสรุปผลการตรวจสอบ และข้อสรุปที่ได้รับการสนับสนุนโดยการวิเคราะห์ที่เหมาะสม และการตีความของหลักฐานเหล่านั้น “แนวทางการใช้ประเมินความเสี่ยงในการวางแผนการตรวจสอบ เป็นการให้คำแนะนำ”

          1.1 สิ่งที่จำเป็นสำหรับขั้นตอนการตรวจสอบ

    • ความหมายของการประเมินความเสี่ยง ให้ยึดหลักตามกฎบัตรการตรวจสอบ มาตรฐานสากล
    • ให้คำแนะนำเกี่ยวกับวิธีการที่ใช้ คือ การตรวจสอบด้วยการประเมินความเสี่ยงเฉพาะส่วนที่เป็นกระบวนการทำงานด้านการบริหารความเสี่ยง  การรวบรวมเอกสารหลักฐาน
    • ให้คำแนะนำเกี่ยวกับการเลือกเกณฑ์การจัดอันดับความเสี่ยงและการใช้น้ำหนักของ การประเมินความเสี่ยง เช่น การใช้คำถาม Checklist ผูกกับน้ำหนักในการตอบแบบสอบถามแต่ละข้อ เพื่อนำมาประมวลผลเป็นความเสี่ยงใน Risk Matrix

2. ความเสี่ยง คือ

               2.1 ความเสี่ยงควรจะเป็นการกระทำที่อาจจะเกิดขึ้น หรือ เหตุการณ์ที่มีผลกระทบต่อองค์กร และระบบข้อมูลของ ความเสี่ยงรวมทั้งสามารถมีศักยภาพในการสร้างผลกระทบ และภัยคุกคาม ต่อการใช้สินทรัพย์ หรือ ช่องว่างของการใช้สินทรัพย์ที่ก่อให้เกิดการสูญเสีย หรือ ความเสียหายให้กับสินทรัพย์  และมีหน่วยวัดเป็นระดับคะแนนของโอกาสเกิด x ระดับคะแนนของผลกระทบ

                  2.2 ความเสี่ยง ควรจะเป็นเหตุการณ์ที่ไม่สามารถควบคุมได้ด้วยเครื่องมือใดๆ เป็นการเฉพาะเจาะจง

                2.3 ความเสี่ยงที่หลงเหลือ คือ การที่องค์กร หรือ หน่วยงานได้มีการบริหารจัดการความเสี่ยง ด้วยมาตรการต่างๆ ในระดับหนึ่ง ในระยะหนึ่่งๆ  ต่อมาองค์กรได้ทำการประเมินความเสี่ยงเหล่านั้นอีกครั้งและพบว่ายังมีความเสี่ยงอยู่ในระดับที่ยอมรับได้ และไม่จำเป็นจะต้องมีการบริหารจัดการใหม่อีกครั้ง

3. วิธีการตรวจสอบระดับความเสี่ยง (Risk-Based is Audit Approach) 

                 3.1 องค์กรส่วนมาก จะเชื่อถือว่าการนำวิธีการที่ใช้ประเมินระดับความเสี่ยงจะช่วยปรับปรุงและพัฒนากระบวนการตรวจสอบอย่างต่อเนื่อง  ซึ่งวิธีการนี้จะถูกนำมาใช้ในการประเมินความเสี่ยงและการให้ความช่วยเหลือด้านการตัดสินใจแก่ผู้ตรวจสอบ ที่จะกระทำการอย่างใดอย่างหนึ่่ง ในการทดสอบวิธีการประเมินระดับความเสี่ยงที่สำคัญๆ  นอกจากนี้ผู้ตรวจสอบจะต้องอาศัยข้อมูลจากการควบคุมภายในและการดำเนินงานทั่วไปขององค์กรมาประกอบการตัดสินใจ

                 3.2 ผู้ตรวจสอบควรจะทำความเข้าใจธรรมชาติของธุรกิจ ความเสี่ยงของธุรกิจ และสามารถระบุ หรือ จัดประเภทของความเสี่ยงที่อาจจะเกิดขึ้นเป็นตัวกำหนด รูปแบบความเสี่ยง หรือ วิธีการที่ใช้ในการดำเนินการทบทวนรูปแบบการประเมินความเสี่ยง สามารถดำเนินการได้ง่าย เช่น การกำหนดน้ำหนักสำหรับประเภทความเสี่ยงในระดับต่างๆ สำหรับโครงการที่มีความเสี่ยง ก็จะมีน้ำหนักที่แตกต่างกันตามระดับระดับความเสี่ยง และความสำคัญของโครงการ

                  3.3 ผู้ตรวจสอบมีความสนใจในความเสี่ยงที่ไม่สามารถควบคุมได้ และมีความสำคัญ  ดังนั้นวิธีการตรวจสอบระดับความเสี่ยง ผู้ตรวจสอบจำเป็นจะต้องใช้ระบบเทคโนโลยีสารสนเทศ มาช่วยในการเก็บข้อมูลและประเมินผลในลักษณะ Scenario Analysis ประกอบการการพิจารณา

                    3.4 กำหนดแนวการตรวจสอบ Audit Universe ในครั้งแรกของการตรวจสอบและนำมาจัดอันดับความเสี่ยงเพื่อกำหนดแนวทางการตรวจสอบ ซึ่งจะขึ้นอยู่กับกลยุทธ์ที่ใช้ และนโยบายขององค์กร  รวมทั้งนำมาพิจารณากำหนดเป็นแผนภูมิองค์กร และฟังก์ชั่นความรับผิดชอบของหน่วยงาน ทั้งหมดทั่วทั้งองค์กร และนำไปหารือกับผู้บริหารที่รับผิดชอบ

                       3.5 วงจรการวางแผนการตรวจสอบ ควรจะมีความสอดคล้องกับวงจรการวางแผนปกติ บ่อยครั้งที่การตรวจสอบในรอบปีจะมีการวางแผนเป็นอย่างใดอย่างหนึ่ง ซึ่งบางองค์กรจะใช้ปีปฎิทินงบประมาณ ทีมีรอบปีไม่ปกติ จำเป็นจะต้องมีการวางแผนการตรวจสอบเป็นรายไตรมาสแทน เพื่อให้สอดคล้องกันและสามารถนำข้อมูลไปใช้งานในด้านการบริหารได้จริง

                        3.6 การคัดเลือกโครงการที่จะทำการตรวจสอบจำเป็นจะต้องรวมอยู่ในแผนการตรวจสอบ และเป็นหนึ่งในปัญหาที่สำคัญที่สุดที่จะต้องมีการกระทำร่วมกับการบริหารจัดการด้านการตรวจสอบ ในขั้นตอนวางแผนการตรวจสอบเพื่อให้ปริมาณโครงการที่จะเข้าไปตรวจสอบ เหมาะสมกับปริมาณคนที่มีอยู่ และระยะเวลาที่จะใช้ในการตรวจสอบ  เพื่อป้องกันแผนการตรวจสอบล้มเหลว ในการเลือกโครงการที่เหมาะสม

                             3.7 สมมติฐานพื้นฐานของแผนการตรวจสอบ คือ การประเมินผลการตรวจสอบในอนาคต/ โครงการจะมีประสิทธิภาพมากขึ้นถ้ามีกระบวนการอย่างเป็นทางการเกี่ยวกับการรวบรวมข้อมูลที่จำเป็น เพื่อใช้ประกอบการตัดสินใจ และการเสนอความคิดเห็น

                                   3.8 การพิจารณาเลือกโครงการที่จะตัดสินใจ และการเสนอความคิดเห็น ควรใช้กรอบแนวทางของการบริหารความเสี่ยง และการสร้างตารางการตรวจสอบตามระยะเวลา และจัดเรียงลำดับความสำคัญของความคิดเห็น/ต่อโครงการ  โดยการกำหนดเป็นขั้นตอนที่่ชัดเจน

เรื่องนี้ยาวมากครับ และมีความน่าสนใจมากเช่นกัน ต้องขอยอมรับว่า ISACA  เขียนบทความชิ้นนี้ได้ดีมากและสามารถนำไปปฎิบัติงานได้จริงครับ ก็เลยอยากให้ทุกๆ ท่าน ที่ทำหน้าที่ Audit คอยติดตามอ่านเรื่องนี้ เพราะเราจะพยามแปลให้ครบทุกตอน แต่หลายตอนหน่อยนะครับ

สุดท้ายนี้ขอให้ทุกๆ ท่านมีความสุข ร่ำรวย สมหวังอย่างที่ต้องการครับ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com

https://eiamsri.wordpress.com 

พฤศจิกายน 14, 2012 - Posted by | Internal Audit, Risk Management |

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: