NEW MANAGEMENT FORUM

Central Knowledge Society

ขั้นตอนการตรวจสอบและประเมินความเสี่ยง : ภาค 3

สวัสดี ครับ

วันนี้ เราจะขอเล่าเรื่องวิธีการใช้งาน Internal Audit Matrix นี้ ซึ่งเราเชื่อว่าจะมีประโยชน์สำหรับกลุ่มผู้ใช้งานด้านการตรวจสอบภายในที่ต้องการเครื่องมือในการวิเคราะห์ความเสี่ยงของโครงการในรูปแบบของ Internal Audit และเราก็เชื่อว่าขั้นตอนเหล่านี้อาจจะพบข้อบกพร่องบางประการที่เราเองยังตรวจสอบได้ไม่ครบถ้วน จึงอยากจะขอความอนุเคราะห์จากทุกๆ ท่านมีความเชี่ยวชาญด้านการตรวจสอบภายใน ให้ความเห็นเพิ่มเติม เพื่อจะได้เป็นประโยชน์กับผู้ใช้งานท่าน อื่นๆ ต่อไปในอนาคต และเป็นประโยชน์กับผู้เขียนในแง่การปรับปรุงให้ดีขึ้นเรื่อยๆ

7. มาตรการวิเคราะห์ผลกระทบ

  • ลักษณะของกิจกรรม  : การวิเคราะห์วิกฤติของกิจกรรมเป็นส่วนหนึ่งขององค์กร เพราะทุกโครงการจะต้องมีการระบุกิจกรรม   ซึ่งโครงการทุกโครงการจะต้องมีปัญหาระหว่างการดำเนินงานกิจกรรมต่างๆ    กิจกรรมใดๆ ที่ผิดปกติ หรือ โครงการที่มีแนวโน้มที่จะส่งผลให้เกิดข้อผิดพลาดหรือขาดประสิทธิภาพและเป็นที่สนใจของการตรวจสอบมากขึ้น
  • วิเคราะห์สาเหตุของปัญหา/อุปสรรค  : ปัจจัยที่เกี่ยวข้องกับมาตรการที่ได้ในกำหนดการวางในตำแหน่ง ในจะต้องมีการสังเกตข้อบกพร่องต่างๆ  ซึ่งที่ต้องพิจารณารวมถึงแผนการต่อเนื่องทางธุรกิจ เช่น แผนกู้คืนระบบขั้นตอนที่มีปัญหาหรืออุปสรรคด้วยตนเอง

โดยทั่วไปการแก้ไขปัญหาดังกล่าวจะต้องมีผู้มีความรู้ ความเชี่ยวชาญ และค่าใช้จ่ายในการแก้ไขที่เป็นประโยชน์เพื่อลดความเสี่ยงลงให้ต่ำที่สุด

  • ความไวของการตอบสนองการทำงานเพื่อการบริหารจัดการ : ปัจจัยที่เกี่ยวข้องกับวิธีการที่สำคัญในกิจกรรมหรือพื้นที่มีการบริหาร
  • ความสำคัญ : แนวคิดเกี่ยวกับความสำคัญของรายการในกิจกรรม ของข้อมูลที่เกี่ยวข้องกับเรื่องที่มีผลต่อด้านลบต่อการทำงานขององค์กร การแสดงออกอย่างมีนัยสำคัญเมื่อเทียบ หรือ ความสำคัญของเรื่องนั้นๆ โดยเฉพาะอย่างยิ่งในบริบทขององค์กรโดยรวม

8. มาตรการของโอกาส

  • ขอบเขตของระบบหรือกระบวนการการเปลี่ยนแปลง : สภาพแวดล้อมแบบไดนามิกในแง่ของระบบหรือการเปลี่ยนแปลงกระบวนการเพิ่มเติมโอกาสของความผิดพลาดและทำให้เพิ่มความสนใจการตรวจสอบจำนวนมากของกระบวนการ re-engineering อาจจะเกิดขึ้นการเปลี่ยนแปลงระบบหรือกระบวนการปกติที่เกิดขึ้นเพื่อผลการพัฒนาในระยะยาว  แต่มักจะมีการชดเชย ในระยะสั้นที่ต้องตรวจสอบความคุ้มครองที่เพิ่มขึ้น
  • ความซับซ้อน : นี้สะท้อนให้เห็นถึงปัจจัยเสี่ยงที่อาจเกิดขึ้นสำหรับข้อผิดพลาด หรือการยักยอกไปตรวจไม่พบเนื่องจากสภาพแวดล้อมที่มีความซับซ้อน คะแนนสำหรับความซับซ้อนจะขึ้นอยู่กับปัจจัยหลายอย่าง ขอบเขตของระบบอัตโนมัติคำนวณที่ซับซ้อนจะขึ้นอยู่กับปัจจัยหลายอย่าง ขอบเขตของระบบอัตโนมัติคำนวณที่ซับซ้อนกิจกรรมสัมพันธ์และพึ่งพาบุคคลที่สามารถความต้องการของลูกค้าเวลาการประมวลผลตามกฎหมาย และระเบียบข้อบังคับและปัจจัยอื่นๆ  อีกมากมายบางคนไม่ได้รับการยอมรับส่งผลกระทบต่อการตัดสินใจของเกี่ยวกับความซับซ้อนของการตรวจสอบโดยเฉพาะอย่างยิ่ง
  • โครงการการจัดการ : การพิจารณาควรจะได้รับต่อไปนี้เมื่อการบริหารจัดการโครงการจัดอันดับ
    • นักพัฒนาภายใน In-house  หรือ จ้าง Outsourced
    • โครงสร้างของการโครงการ
    • ทักษะบุคลากร
    • ระยะเวลาโครงการ

9. ความเห็นของผู้ตรวจสอบ

  • ความเห็นของผู้ตรวจสอบ ก็เป็นการวิเคราะห์โดยพิจารณาจากเอกสารหลักฐานและการสอบทานข้อมูลทั้งหมดที่มีด้วยความรอบคอบ และประสบการณ์ของผู้ตรวจสอบ
  • การให้คะแนนน้ำหนักของผู้ตรวจสอบจะมีผลต่อความเสี่ยง และระดับความสำคัญของโครงการหรือกิจกรรมที่จะทำการตรวจสอบ เพื่อให้การตรวจสอบเป็นไปอย่างคุ้มค่า และเหมาะสมกับการดำเนินงาน
  • รวมทั้งพิจารณาข้อมูลที่ได้รับจาก กองบริหารความเสี่ยง หรือ กองควบคุมภายใน มาพิจารณาประกอบ การตัดสินใจทุกครั้ง (ห้ามพิจารณาด้วยการใช้ความรู้สึกแบบไม่มีเอกสารหลักฐานมาพิจารณาประกอบเด็ดขาด)

10. ตารางคะแนนน้ำหนักของ Internal Audit Matrix 

  • ตารางคะแนนน้ำหนักของ Internal Audit Matrix นี้ เป็นการนำข้อมูลระดับความเสี่ยงด้าน โอกาสเกิด  ผลกระทบ และความเห็นของผู้ตรวจสอบ มาพิจารณาร่วมกันในการกำหนดระดับความรุนแรง และความสำคัญของกิจกรรมที่ควรจะเข้าไปตรวจสอบ
  • การกำหนดระดับน้ำหนักของคะแนนจะแบ่งออกเป็น 5 ระดับ ซึ่งสามารถใช้ได้กับการระบุน้ำหนักของ โอกาสเกิด  หรือ ผลกระทบ  หรือ ความเห็นของผู้ตรวจสอบ จะมีระดับคะแนน 5 ระดับ เหมือนกัน  ประกอบด้วย
    • ระดับต่ำที่สุด = 0.25 
    • ระดับต่ำ = 0.50
    • ระดับปานกลาง = 0.75 
    • ระดับสูง = 0.85 
    • ระดับสูงมาก = 0.95 

internal audit matrix

  • ผู้ใช้งานจำเป็นจะต้องพิจารณากิจกรรมหลักของโครงการที่จะเข้าไปตรวจสอบ และทำการแยกประเภทของกิจกรรมหลัก และทำการระบุน้ำหนักของ “โอกาสเกิด”  “ผลกระทบ”  และ “ความเห็นของผู้ตรวจสอบ” แยกรายกิจกรรม
  • ผู้ใช้งานไม่จำเป็นจะต้องให้น้ำหนักกิจกรรมเหมือนกับตารางที่เป็ํนตัวอย่างน้ำหนัก  ซึ่งขึ้นอยู่กับความเห็นของผู้ตรวจสอบในการระบุน้ำหนักแยกรายกิจกรรม เช่น
    • กิจกรรมการจัดซื้ออุปกรณ์สุขภัณฑ์     โอกาสเกิด   0.75   ผลกระทบ  0.85   ความเห็นผู้ตรวจ 0.85 
      จำนวน 50 รายการ แต่มีข้อสงสัย
      บางประการด้วยราคาและคุณภาพ       ผลรวมคะแนนความเสี่ยง = 2.45 (0.75+0.85+0.85) 
      น่าสงสัย
  • ผู้ใช้งานก็จำเป็นจะต้องนำผลรวมของคะแนนความเสี่ยงไปเปรียบเทียบกับ ตารางคะแนนน้ำหนักของคะแนน Internal Audit Matrix Score ในข้อ 11 ซึ่งอยู่ในพื้นที่ สีแดง จำเป็นจะต้องเข้าไปตรวจสอบ

11. ตารางคะแนนน้ำหนักของคะแนน Internal Audit Matrix Score 

  • เราได้ทำการสรุปลักษณะของคะแนน แยกตามระดับของความเสี่ยง ด้วยการแบ่งเป็นโทนสี เพื่อให้สะดวกในการจดจำและการวิเคราะห์ระดับความสำคัญของการเข้าไปพิจารณาตรวจสอบ ด้วยการแบ่งออกเป็น 4 ระดับ ด้วยกัน
  • ระดับความเสี่ยงที่ ยอมรับได้ อยู่ในโซนพื้นที่ สีเขียว  

ในพื้นที่สีเขียว  เป็นพื้นที่มีระดับความเสี่ยงต่ำ ไม่จำเป็นจะต้องเข้าไปตรวจสอบในกิจกรรมนั้นๆ

  • ระดับความเสี่ยงที่ เฝ้าระวังและติดตาม อยู่ในโซนพิ้นที่ สีเหลือง

ในพื้นที่สีเหลือง เป็นพื้นที่ระดับเฝ้าระวัง และติดตามความก้าวหน้าของโครงการ และจำเป็นจะต้องติดตามขอข้อมูลในกิจกรรมที่น่าสงสัย

  • ระดับความเสี่ยงที่ ขอข้อมูลเพิ่มเติมหรือมีหลักฐานเพียงพอก็จะต้องเข้าไปตรวจสอบ อยู่ในโซนพื้้นที่ สีส้ม

ในพื้นที่สีส้ม  เป็นพื้นที่ระดับเฝ้าระวัง และมีเอกสารหลักฐานที่เพียงพอที่่สงสัยจะมีการทุจริต หรือมีข้อผิดพลาดเกิดขึ้น ที่มีนัยสำคัญต่อความสำเร็จของโครงการนั้นๆ ทำให้จะต้องเข้าไปตรวจสอบ อย่างใกล้ชิด

  • ระดับความเสี่ยงที่ ต้องเข้าไปตรวจสอบเร่งด่วน  อยู่ในโซนพื้นที่ สีแดง

ในพื้นที่สีแดง เป็นพื้นที่ระดับที่มีความเสี่ยง แสดงว่าเกิดข้อผิดพลาดขึ้นแล้ว และมีความรุนแรงต่อความสำเร็จของโครงการ และองค์กร อย่างเห็นได้ชัดเจน มีเอกสารหลักฐานที่ชัดเจน มีการสั่งโดยตรงจากผู้บริหารระดับสูง หรือ คณะกรรมการตรวจสอบภายใน ให้เข้าไปตรวจสอบทันที

internal audit matrix score

  • เราได้พยามออกแบบตาราง Internal Audit Matrix ให้อยู่ในระดับปานกลางที่มากกว่า โซนอื่นๆ เพราะโครงการต่างๆ หรือ กิจกรรมหลักต่างๆ ส่วนใหญ่จะตกอยู่ในพื้นที่สีเหลือง เพราะยังไม่ข้อมูล หรือ เอกสารหลักฐานที่ชัดเจนจนสามารถระบุได้เลยว่ามีความผิดพลาด หรือมีการทุจริตอย่างชัดเจน
  • ในส่วนของพิ้นที่ สีส้ม มีปริมาณตัวเลขระบุน้ำหนักน้อยสุด เพราะยังไม่ชัดเจนว่าผิดจริง เพียงแต่มีข้อมูลจากการบอกกล่าว หรือ โทรศัพท์ หรือ สภาพแวดล้อมผิดปกติ แต่ยังระบุความผิดที่ชัดเจนไม่ได้

12. ตารางผลคะแนนความเสี่ยง Internal Audit Matrix 

  • ตารางผลคะแนนความเสี่ยง Internal Audit Matrix นี้จะเป็นการแสดงความเสี่ยงแยกตามพิ้นที่ด้วยระดับสีที่แตกต่างกัน
  • คะแนนความเสี่ยงที่อยู่ในช่องสี่เหลี่ยมแต่ละช่อง จะต้องมาจากผลรวมของคะแนน “โอกาสเกิด”  + “ผลกระทบ” + “ความเห็นของผู้ตรวจสอบ” เมื่อได้ผลรวมคะแนนแล้ว ก็ให้มาวางให้ตรงกับช่องคะแนนที่ระบุในตาราง Internal Audit Matrix ในตารางนี้
  • ตารางใน Internal Audit Matrix จะแบ่งเป็น 2 ด้าน โอกาสเกิด (แนวตั้ง)   และ ผลกระทบ (แนวนอน)

internal audit matrix_

  • การใช้งานตาราง Internal Audit Matrix นี้  สามารถแยกวิเคราะห์รายโครงการก็ได้ หรือ จะพิจารณาในภาพรวมทุกโครงการก่อน เพื่อหาโครงการที่มีความเสี่ยงสูงสุด เพียงพอที่จะเข้าไปตรวจสอบ และทำแผนการตรวจสอบต่อไป
  • ถ้าจะวิเคราะห์ภาพรวมทุกโครงการก็ให้ตั้งคำถามที่จะวิเคราะห์ในข้อ 13  เหมือนกันทุกโครงการ แต่จะมีคะแนนระดับความเสี่ยงที่ต่างกัน ตอนผลการวิเคราะห์ก็จะสามารถทราบได้ว่าจะเข้าไปตรวจสอบโครงการใดบ้าง

13. มาตรการเกี่ยวกับการควบคุม Internal Audit Matrix  

  •  เราได้ออกแบบตารางการวิเคราะห์ความเสี่ยงในรูปแบบของ Internal Audit Matrix เพื่อให้ผู้ตรวจสอบสามารถนำไปใช้งานได้ง่ายขึ้น และสามารถระบุข้อมูลรายละเอียดเกี่ยวกับการวิเคราะห์ โอกาสเกิด และ ผลกระทบ ที่คาดว่าจะเกิดขึ้นจากกิจกรรมหลักของโครงการที่ทำการวิเคราะห์ในเวลานั้น
  • ในช่องแรกของตาราง “ช่องตัวแปรที่สำคัญ”
    • ผู้ใช้งานจะต้องระบุตัวแปรที่จะนำมาวิเคราะห์ เช่น ชื่อกิจกรรมหลัก และประเด็นที่จะวิเคราะห์หาค่าความเสี่ยง
    • ผู้ใช้งานจะต้องระบุ ระดับน้ำหนักของความสำคัญในกิจกรรมที่ทำการวิเคราะห์ด้วย เพื่อเป็นการแจ้งว่าเรื่องที่ทำการวิเคราะห์มีความสำคัญระดับใด ในโครงการนั้นๆ หรือ เกี่ยวข้องกับองค์กรในประเด็นใด มีความสำคัญระดับใด มีผลกระทบต่อความสำเร็จขององค์กรในระดับใด เป็นต้น
  •  ในช่องที่สองของตาราง “อธิบายลักษณะและระดับโอกาสเกิด และผลกระทบ”
    •  ผู้ใช้งานจะต้องอธิบายเหตุผล ของการตรวจสอบพบ หรือ มีเอกสารอ้างอิงเหตุการณ์นั้นๆ หรือมีประเด็นข้อสงสัยในเรื่องใด ที่ทำให้สามารถวิเคราะห์โอกาสเกิด และผลกระทบ ที่คาดว่าจะเกิดขึ้นจากกิจกรรมหลัก ที่จะส่งผลต่อความสำเร็จของโครงการนั้นๆ  หรือ องค์กรในด้านใดบ้าง
    • ผู้ใช้งานสามารถอ้างอิง ชื่อเอกสารที่ใช้ประเมิน หรือ ตรวจสอบ หรือ สถานที่  หรือ การสัมภาษณ์บุคคลใด เป็นต้น   
  • ในช่องที่สาม ถึง ห้า ของตาราง “ระดับโอกาสเกิด”  “ระดับผลกระทบ”  “ความเห็นผู้ตรวจสอบ” 
    • ผู้ใช้งานจะต้องระบุคะแนนของระดับโอกาสเกิด ที่แบ่งได้ 5 ระดับ ดังตัวอย่างด้านล่าง
    • ผู้ใช้งานจะต้องเลือกระดับคะแนนตามความเห็นการวิเคราะห์ด้านเอกสาร และการตรวจสอบเบื้องต้นที่ได้พบเจอ หรือ ความเห็นจากการประเมินผลการตรวจสอบในอดีตของผู้ตรวจสอบรายก่อนหน้า หรือ ระดับความเสี่ยงที่เกิดขึ้นจากการบริหารความเสี่ยงของโครงการที่ได้รับจาก กองบริหารความเสี่ยง ส่งมาให้พิจารณาประกอบ เป็นต้น
    • การระบุคะแนนใน 3 ช่องนี้ จะต้องใส่ข้อมูลด้วยเหตุผล จากการวิเคราะห์เท่านั้น ห้ามใส่คะแนนด้วยความรู้สึกเพียงอย่างเดียว และควรจะมีความเห็นของหัวหน้าผู้ตรวจสอบวิเคราะห์ขั้นสุดท้ายอีกครั้งเพื่อยืนยันระดับคะแนนความเสี่ยงที่เกิดขึ้น
      • จะมีระดับคะแนน 5 ระดับ เหมือนกัน  ประกอบด้วย
      • ระดับต่ำที่สุด = 0.25 
      • ระดับต่ำ = 0.50
      • ระดับปานกลาง = 0.75 
      • ระดับสูง = 0.85 
      • ระดับสูงมาก = 0.95
  • ในช่องที่หก “ระดับความเสี่ยง”
    • ผู้ใช้งานต้องรวมคะแนนจาก โอกาสเกิด + ผลกระทบ + ความเห็นของผู้ตรวจสอบ มาเก็บไว้ในช่องนี้ แยกรายประเด็นกิจกรรมหลักที่ได้มีการประเมินความเห็นก่อนการเข้าไปตรวจสอบจริง เพื่อนำผลลัพธ์ที่ได้จากการวิเคราะห์ไปทำแผนการตรวจสอบรายโครงการต่อไป
    • ผู้ใช้งานจะต้องทำการวิเคราะห์ประเด็นในช่องแรก ให้ดี และมีความเหมาะสมกับการวิเคราะห์โครงการให้มากที่สุด และจะต้องทำแบบนี้กับโครงการที่มีความสำคัญสูง  ใช้งบประมาณมาก  เป็นตัวชี้วัดขององค์กร  เป็นนโยบายของรัฐบาล เป็นต้น

audit

14.  ผู้ใช้งานจะต้องวิเคราะห์ภาพรวมของทุกโครงการที่มีความสำคัญ

  • ทำบทสรุปเพื่อนำเสนอผู้บริหารในการจัดทำแผนตรวจสอบภายใน ต่อไป

การทำงานวิเคราะห์ความเสี่ยงด้วย Internal Audit Matrix นี้จะทำให้ผู้ตรวจสอบ มีความมั่นใจในการตรวจสอบมากขึ้น และสามารถนำประเด็นที่ได้มีการวิเคราะห์เหล่านี้ไปใช้ในการทำแผนการตรวจสอบ และประเด็นที่จะใช้ในการตรวจสอบได้อย่างถูกต้อง แม่นยำมากขึ้น  เราก็อยากได้ความเห็นจากทุกๆ ท่านเกี่ยวกับวิธีการทำงานของตาราง Internal Audit Matrix นี้มีจุดบกพร่องในด้านใดบ้าง เพื่อนำมาปรับปรุงแก้ไขให้มีความเหมาะสมกับกระบวนการทำงานตรวจสอบภายในให้ดีมากยิ่งๆ ขึ้นไป 

สุดท้ายนี้หวังเป็นอย่างสูง ว่าการอธิบายเกี่ยวกับวิธีการใช้ Internal Audit Matrix นี้จะมีประโยชน์สำหรับทุกๆ ท่านที่ทำงานด้านการบริหารความเสี่ยง และ ตรวจสอบภายใน นำไปปรับใช้ในองค์กรของท่านเพื่อให้เกิดประโยชน์สูงสุด และสร้างมูลค่าเพิ่มด้านองค์ความรู้ให้กับเจ้าหน้าที่ ต่อไป

ขอให้ทุกๆ ท่านมีความสุข ไร้โรคภัยไข้เจ็บเถิด สาธุ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

ธันวาคม 15, 2012 - Posted by | Internal Audit, Risk Management |

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: