NEW MANAGEMENT FORUM

Central Knowledge Society

ขั้นตอนการตรวจสอบและประเมินความเสี่ยง : ภาค 3


สวัสดี ครับ

วันนี้ เราจะขอเล่าเรื่องวิธีการใช้งาน Internal Audit Matrix นี้ ซึ่งเราเชื่อว่าจะมีประโยชน์สำหรับกลุ่มผู้ใช้งานด้านการตรวจสอบภายในที่ต้องการเครื่องมือในการวิเคราะห์ความเสี่ยงของโครงการในรูปแบบของ Internal Audit และเราก็เชื่อว่าขั้นตอนเหล่านี้อาจจะพบข้อบกพร่องบางประการที่เราเองยังตรวจสอบได้ไม่ครบถ้วน จึงอยากจะขอความอนุเคราะห์จากทุกๆ ท่านมีความเชี่ยวชาญด้านการตรวจสอบภายใน ให้ความเห็นเพิ่มเติม เพื่อจะได้เป็นประโยชน์กับผู้ใช้งานท่าน อื่นๆ ต่อไปในอนาคต และเป็นประโยชน์กับผู้เขียนในแง่การปรับปรุงให้ดีขึ้นเรื่อยๆ

7. มาตรการวิเคราะห์ผลกระทบ

  • ลักษณะของกิจกรรม  : การวิเคราะห์วิกฤติของกิจกรรมเป็นส่วนหนึ่งขององค์กร เพราะทุกโครงการจะต้องมีการระบุกิจกรรม   ซึ่งโครงการทุกโครงการจะต้องมีปัญหาระหว่างการดำเนินงานกิจกรรมต่างๆ    กิจกรรมใดๆ ที่ผิดปกติ หรือ โครงการที่มีแนวโน้มที่จะส่งผลให้เกิดข้อผิดพลาดหรือขาดประสิทธิภาพและเป็นที่สนใจของการตรวจสอบมากขึ้น
  • วิเคราะห์สาเหตุของปัญหา/อุปสรรค  : ปัจจัยที่เกี่ยวข้องกับมาตรการที่ได้ในกำหนดการวางในตำแหน่ง ในจะต้องมีการสังเกตข้อบกพร่องต่างๆ  ซึ่งที่ต้องพิจารณารวมถึงแผนการต่อเนื่องทางธุรกิจ เช่น แผนกู้คืนระบบขั้นตอนที่มีปัญหาหรืออุปสรรคด้วยตนเอง

โดยทั่วไปการแก้ไขปัญหาดังกล่าวจะต้องมีผู้มีความรู้ ความเชี่ยวชาญ และค่าใช้จ่ายในการแก้ไขที่เป็นประโยชน์เพื่อลดความเสี่ยงลงให้ต่ำที่สุด

  • ความไวของการตอบสนองการทำงานเพื่อการบริหารจัดการ : ปัจจัยที่เกี่ยวข้องกับวิธีการที่สำคัญในกิจกรรมหรือพื้นที่มีการบริหาร
  • ความสำคัญ : แนวคิดเกี่ยวกับความสำคัญของรายการในกิจกรรม ของข้อมูลที่เกี่ยวข้องกับเรื่องที่มีผลต่อด้านลบต่อการทำงานขององค์กร การแสดงออกอย่างมีนัยสำคัญเมื่อเทียบ หรือ ความสำคัญของเรื่องนั้นๆ โดยเฉพาะอย่างยิ่งในบริบทขององค์กรโดยรวม

8. มาตรการของโอกาส

  • ขอบเขตของระบบหรือกระบวนการการเปลี่ยนแปลง : สภาพแวดล้อมแบบไดนามิกในแง่ของระบบหรือการเปลี่ยนแปลงกระบวนการเพิ่มเติมโอกาสของความผิดพลาดและทำให้เพิ่มความสนใจการตรวจสอบจำนวนมากของกระบวนการ re-engineering อาจจะเกิดขึ้นการเปลี่ยนแปลงระบบหรือกระบวนการปกติที่เกิดขึ้นเพื่อผลการพัฒนาในระยะยาว  แต่มักจะมีการชดเชย ในระยะสั้นที่ต้องตรวจสอบความคุ้มครองที่เพิ่มขึ้น
  • ความซับซ้อน : นี้สะท้อนให้เห็นถึงปัจจัยเสี่ยงที่อาจเกิดขึ้นสำหรับข้อผิดพลาด หรือการยักยอกไปตรวจไม่พบเนื่องจากสภาพแวดล้อมที่มีความซับซ้อน คะแนนสำหรับความซับซ้อนจะขึ้นอยู่กับปัจจัยหลายอย่าง ขอบเขตของระบบอัตโนมัติคำนวณที่ซับซ้อนจะขึ้นอยู่กับปัจจัยหลายอย่าง ขอบเขตของระบบอัตโนมัติคำนวณที่ซับซ้อนกิจกรรมสัมพันธ์และพึ่งพาบุคคลที่สามารถความต้องการของลูกค้าเวลาการประมวลผลตามกฎหมาย และระเบียบข้อบังคับและปัจจัยอื่นๆ  อีกมากมายบางคนไม่ได้รับการยอมรับส่งผลกระทบต่อการตัดสินใจของเกี่ยวกับความซับซ้อนของการตรวจสอบโดยเฉพาะอย่างยิ่ง
  • โครงการการจัดการ : การพิจารณาควรจะได้รับต่อไปนี้เมื่อการบริหารจัดการโครงการจัดอันดับ
    • นักพัฒนาภายใน In-house  หรือ จ้าง Outsourced
    • โครงสร้างของการโครงการ
    • ทักษะบุคลากร
    • ระยะเวลาโครงการ

9. ความเห็นของผู้ตรวจสอบ

  • ความเห็นของผู้ตรวจสอบ ก็เป็นการวิเคราะห์โดยพิจารณาจากเอกสารหลักฐานและการสอบทานข้อมูลทั้งหมดที่มีด้วยความรอบคอบ และประสบการณ์ของผู้ตรวจสอบ
  • การให้คะแนนน้ำหนักของผู้ตรวจสอบจะมีผลต่อความเสี่ยง และระดับความสำคัญของโครงการหรือกิจกรรมที่จะทำการตรวจสอบ เพื่อให้การตรวจสอบเป็นไปอย่างคุ้มค่า และเหมาะสมกับการดำเนินงาน
  • รวมทั้งพิจารณาข้อมูลที่ได้รับจาก กองบริหารความเสี่ยง หรือ กองควบคุมภายใน มาพิจารณาประกอบ การตัดสินใจทุกครั้ง (ห้ามพิจารณาด้วยการใช้ความรู้สึกแบบไม่มีเอกสารหลักฐานมาพิจารณาประกอบเด็ดขาด)

10. ตารางคะแนนน้ำหนักของ Internal Audit Matrix 

  • ตารางคะแนนน้ำหนักของ Internal Audit Matrix นี้ เป็นการนำข้อมูลระดับความเสี่ยงด้าน โอกาสเกิด  ผลกระทบ และความเห็นของผู้ตรวจสอบ มาพิจารณาร่วมกันในการกำหนดระดับความรุนแรง และความสำคัญของกิจกรรมที่ควรจะเข้าไปตรวจสอบ
  • การกำหนดระดับน้ำหนักของคะแนนจะแบ่งออกเป็น 5 ระดับ ซึ่งสามารถใช้ได้กับการระบุน้ำหนักของ โอกาสเกิด  หรือ ผลกระทบ  หรือ ความเห็นของผู้ตรวจสอบ จะมีระดับคะแนน 5 ระดับ เหมือนกัน  ประกอบด้วย
    • ระดับต่ำที่สุด = 0.25 
    • ระดับต่ำ = 0.50
    • ระดับปานกลาง = 0.75 
    • ระดับสูง = 0.85 
    • ระดับสูงมาก = 0.95 

internal audit matrix

  • ผู้ใช้งานจำเป็นจะต้องพิจารณากิจกรรมหลักของโครงการที่จะเข้าไปตรวจสอบ และทำการแยกประเภทของกิจกรรมหลัก และทำการระบุน้ำหนักของ “โอกาสเกิด”  “ผลกระทบ”  และ “ความเห็นของผู้ตรวจสอบ” แยกรายกิจกรรม
  • ผู้ใช้งานไม่จำเป็นจะต้องให้น้ำหนักกิจกรรมเหมือนกับตารางที่เป็ํนตัวอย่างน้ำหนัก  ซึ่งขึ้นอยู่กับความเห็นของผู้ตรวจสอบในการระบุน้ำหนักแยกรายกิจกรรม เช่น
    • กิจกรรมการจัดซื้ออุปกรณ์สุขภัณฑ์     โอกาสเกิด   0.75   ผลกระทบ  0.85   ความเห็นผู้ตรวจ 0.85 
      จำนวน 50 รายการ แต่มีข้อสงสัย
      บางประการด้วยราคาและคุณภาพ       ผลรวมคะแนนความเสี่ยง = 2.45 (0.75+0.85+0.85) 
      น่าสงสัย
  • ผู้ใช้งานก็จำเป็นจะต้องนำผลรวมของคะแนนความเสี่ยงไปเปรียบเทียบกับ ตารางคะแนนน้ำหนักของคะแนน Internal Audit Matrix Score ในข้อ 11 ซึ่งอยู่ในพื้นที่ สีแดง จำเป็นจะต้องเข้าไปตรวจสอบ

11. ตารางคะแนนน้ำหนักของคะแนน Internal Audit Matrix Score 

  • เราได้ทำการสรุปลักษณะของคะแนน แยกตามระดับของความเสี่ยง ด้วยการแบ่งเป็นโทนสี เพื่อให้สะดวกในการจดจำและการวิเคราะห์ระดับความสำคัญของการเข้าไปพิจารณาตรวจสอบ ด้วยการแบ่งออกเป็น 4 ระดับ ด้วยกัน
  • ระดับความเสี่ยงที่ ยอมรับได้ อยู่ในโซนพื้นที่ สีเขียว  

ในพื้นที่สีเขียว  เป็นพื้นที่มีระดับความเสี่ยงต่ำ ไม่จำเป็นจะต้องเข้าไปตรวจสอบในกิจกรรมนั้นๆ

  • ระดับความเสี่ยงที่ เฝ้าระวังและติดตาม อยู่ในโซนพิ้นที่ สีเหลือง

ในพื้นที่สีเหลือง เป็นพื้นที่ระดับเฝ้าระวัง และติดตามความก้าวหน้าของโครงการ และจำเป็นจะต้องติดตามขอข้อมูลในกิจกรรมที่น่าสงสัย

  • ระดับความเสี่ยงที่ ขอข้อมูลเพิ่มเติมหรือมีหลักฐานเพียงพอก็จะต้องเข้าไปตรวจสอบ อยู่ในโซนพื้้นที่ สีส้ม

ในพื้นที่สีส้ม  เป็นพื้นที่ระดับเฝ้าระวัง และมีเอกสารหลักฐานที่เพียงพอที่่สงสัยจะมีการทุจริต หรือมีข้อผิดพลาดเกิดขึ้น ที่มีนัยสำคัญต่อความสำเร็จของโครงการนั้นๆ ทำให้จะต้องเข้าไปตรวจสอบ อย่างใกล้ชิด

  • ระดับความเสี่ยงที่ ต้องเข้าไปตรวจสอบเร่งด่วน  อยู่ในโซนพื้นที่ สีแดง

ในพื้นที่สีแดง เป็นพื้นที่ระดับที่มีความเสี่ยง แสดงว่าเกิดข้อผิดพลาดขึ้นแล้ว และมีความรุนแรงต่อความสำเร็จของโครงการ และองค์กร อย่างเห็นได้ชัดเจน มีเอกสารหลักฐานที่ชัดเจน มีการสั่งโดยตรงจากผู้บริหารระดับสูง หรือ คณะกรรมการตรวจสอบภายใน ให้เข้าไปตรวจสอบทันที

internal audit matrix score

  • เราได้พยามออกแบบตาราง Internal Audit Matrix ให้อยู่ในระดับปานกลางที่มากกว่า โซนอื่นๆ เพราะโครงการต่างๆ หรือ กิจกรรมหลักต่างๆ ส่วนใหญ่จะตกอยู่ในพื้นที่สีเหลือง เพราะยังไม่ข้อมูล หรือ เอกสารหลักฐานที่ชัดเจนจนสามารถระบุได้เลยว่ามีความผิดพลาด หรือมีการทุจริตอย่างชัดเจน
  • ในส่วนของพิ้นที่ สีส้ม มีปริมาณตัวเลขระบุน้ำหนักน้อยสุด เพราะยังไม่ชัดเจนว่าผิดจริง เพียงแต่มีข้อมูลจากการบอกกล่าว หรือ โทรศัพท์ หรือ สภาพแวดล้อมผิดปกติ แต่ยังระบุความผิดที่ชัดเจนไม่ได้

12. ตารางผลคะแนนความเสี่ยง Internal Audit Matrix 

  • ตารางผลคะแนนความเสี่ยง Internal Audit Matrix นี้จะเป็นการแสดงความเสี่ยงแยกตามพิ้นที่ด้วยระดับสีที่แตกต่างกัน
  • คะแนนความเสี่ยงที่อยู่ในช่องสี่เหลี่ยมแต่ละช่อง จะต้องมาจากผลรวมของคะแนน “โอกาสเกิด”  + “ผลกระทบ” + “ความเห็นของผู้ตรวจสอบ” เมื่อได้ผลรวมคะแนนแล้ว ก็ให้มาวางให้ตรงกับช่องคะแนนที่ระบุในตาราง Internal Audit Matrix ในตารางนี้
  • ตารางใน Internal Audit Matrix จะแบ่งเป็น 2 ด้าน โอกาสเกิด (แนวตั้ง)   และ ผลกระทบ (แนวนอน)

internal audit matrix_

  • การใช้งานตาราง Internal Audit Matrix นี้  สามารถแยกวิเคราะห์รายโครงการก็ได้ หรือ จะพิจารณาในภาพรวมทุกโครงการก่อน เพื่อหาโครงการที่มีความเสี่ยงสูงสุด เพียงพอที่จะเข้าไปตรวจสอบ และทำแผนการตรวจสอบต่อไป
  • ถ้าจะวิเคราะห์ภาพรวมทุกโครงการก็ให้ตั้งคำถามที่จะวิเคราะห์ในข้อ 13  เหมือนกันทุกโครงการ แต่จะมีคะแนนระดับความเสี่ยงที่ต่างกัน ตอนผลการวิเคราะห์ก็จะสามารถทราบได้ว่าจะเข้าไปตรวจสอบโครงการใดบ้าง

13. มาตรการเกี่ยวกับการควบคุม Internal Audit Matrix  

  •  เราได้ออกแบบตารางการวิเคราะห์ความเสี่ยงในรูปแบบของ Internal Audit Matrix เพื่อให้ผู้ตรวจสอบสามารถนำไปใช้งานได้ง่ายขึ้น และสามารถระบุข้อมูลรายละเอียดเกี่ยวกับการวิเคราะห์ โอกาสเกิด และ ผลกระทบ ที่คาดว่าจะเกิดขึ้นจากกิจกรรมหลักของโครงการที่ทำการวิเคราะห์ในเวลานั้น
  • ในช่องแรกของตาราง “ช่องตัวแปรที่สำคัญ”
    • ผู้ใช้งานจะต้องระบุตัวแปรที่จะนำมาวิเคราะห์ เช่น ชื่อกิจกรรมหลัก และประเด็นที่จะวิเคราะห์หาค่าความเสี่ยง
    • ผู้ใช้งานจะต้องระบุ ระดับน้ำหนักของความสำคัญในกิจกรรมที่ทำการวิเคราะห์ด้วย เพื่อเป็นการแจ้งว่าเรื่องที่ทำการวิเคราะห์มีความสำคัญระดับใด ในโครงการนั้นๆ หรือ เกี่ยวข้องกับองค์กรในประเด็นใด มีความสำคัญระดับใด มีผลกระทบต่อความสำเร็จขององค์กรในระดับใด เป็นต้น
  •  ในช่องที่สองของตาราง “อธิบายลักษณะและระดับโอกาสเกิด และผลกระทบ”
    •  ผู้ใช้งานจะต้องอธิบายเหตุผล ของการตรวจสอบพบ หรือ มีเอกสารอ้างอิงเหตุการณ์นั้นๆ หรือมีประเด็นข้อสงสัยในเรื่องใด ที่ทำให้สามารถวิเคราะห์โอกาสเกิด และผลกระทบ ที่คาดว่าจะเกิดขึ้นจากกิจกรรมหลัก ที่จะส่งผลต่อความสำเร็จของโครงการนั้นๆ  หรือ องค์กรในด้านใดบ้าง
    • ผู้ใช้งานสามารถอ้างอิง ชื่อเอกสารที่ใช้ประเมิน หรือ ตรวจสอบ หรือ สถานที่  หรือ การสัมภาษณ์บุคคลใด เป็นต้น   
  • ในช่องที่สาม ถึง ห้า ของตาราง “ระดับโอกาสเกิด”  “ระดับผลกระทบ”  “ความเห็นผู้ตรวจสอบ” 
    • ผู้ใช้งานจะต้องระบุคะแนนของระดับโอกาสเกิด ที่แบ่งได้ 5 ระดับ ดังตัวอย่างด้านล่าง
    • ผู้ใช้งานจะต้องเลือกระดับคะแนนตามความเห็นการวิเคราะห์ด้านเอกสาร และการตรวจสอบเบื้องต้นที่ได้พบเจอ หรือ ความเห็นจากการประเมินผลการตรวจสอบในอดีตของผู้ตรวจสอบรายก่อนหน้า หรือ ระดับความเสี่ยงที่เกิดขึ้นจากการบริหารความเสี่ยงของโครงการที่ได้รับจาก กองบริหารความเสี่ยง ส่งมาให้พิจารณาประกอบ เป็นต้น
    • การระบุคะแนนใน 3 ช่องนี้ จะต้องใส่ข้อมูลด้วยเหตุผล จากการวิเคราะห์เท่านั้น ห้ามใส่คะแนนด้วยความรู้สึกเพียงอย่างเดียว และควรจะมีความเห็นของหัวหน้าผู้ตรวจสอบวิเคราะห์ขั้นสุดท้ายอีกครั้งเพื่อยืนยันระดับคะแนนความเสี่ยงที่เกิดขึ้น
      • จะมีระดับคะแนน 5 ระดับ เหมือนกัน  ประกอบด้วย
      • ระดับต่ำที่สุด = 0.25 
      • ระดับต่ำ = 0.50
      • ระดับปานกลาง = 0.75 
      • ระดับสูง = 0.85 
      • ระดับสูงมาก = 0.95
  • ในช่องที่หก “ระดับความเสี่ยง”
    • ผู้ใช้งานต้องรวมคะแนนจาก โอกาสเกิด + ผลกระทบ + ความเห็นของผู้ตรวจสอบ มาเก็บไว้ในช่องนี้ แยกรายประเด็นกิจกรรมหลักที่ได้มีการประเมินความเห็นก่อนการเข้าไปตรวจสอบจริง เพื่อนำผลลัพธ์ที่ได้จากการวิเคราะห์ไปทำแผนการตรวจสอบรายโครงการต่อไป
    • ผู้ใช้งานจะต้องทำการวิเคราะห์ประเด็นในช่องแรก ให้ดี และมีความเหมาะสมกับการวิเคราะห์โครงการให้มากที่สุด และจะต้องทำแบบนี้กับโครงการที่มีความสำคัญสูง  ใช้งบประมาณมาก  เป็นตัวชี้วัดขององค์กร  เป็นนโยบายของรัฐบาล เป็นต้น

audit

14.  ผู้ใช้งานจะต้องวิเคราะห์ภาพรวมของทุกโครงการที่มีความสำคัญ

  • ทำบทสรุปเพื่อนำเสนอผู้บริหารในการจัดทำแผนตรวจสอบภายใน ต่อไป

การทำงานวิเคราะห์ความเสี่ยงด้วย Internal Audit Matrix นี้จะทำให้ผู้ตรวจสอบ มีความมั่นใจในการตรวจสอบมากขึ้น และสามารถนำประเด็นที่ได้มีการวิเคราะห์เหล่านี้ไปใช้ในการทำแผนการตรวจสอบ และประเด็นที่จะใช้ในการตรวจสอบได้อย่างถูกต้อง แม่นยำมากขึ้น  เราก็อยากได้ความเห็นจากทุกๆ ท่านเกี่ยวกับวิธีการทำงานของตาราง Internal Audit Matrix นี้มีจุดบกพร่องในด้านใดบ้าง เพื่อนำมาปรับปรุงแก้ไขให้มีความเหมาะสมกับกระบวนการทำงานตรวจสอบภายในให้ดีมากยิ่งๆ ขึ้นไป 

สุดท้ายนี้หวังเป็นอย่างสูง ว่าการอธิบายเกี่ยวกับวิธีการใช้ Internal Audit Matrix นี้จะมีประโยชน์สำหรับทุกๆ ท่านที่ทำงานด้านการบริหารความเสี่ยง และ ตรวจสอบภายใน นำไปปรับใช้ในองค์กรของท่านเพื่อให้เกิดประโยชน์สูงสุด และสร้างมูลค่าเพิ่มด้านองค์ความรู้ให้กับเจ้าหน้าที่ ต่อไป

ขอให้ทุกๆ ท่านมีความสุข ไร้โรคภัยไข้เจ็บเถิด สาธุ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

ธันวาคม 15, 2012 Posted by | Internal Audit, Risk Management | | ใส่ความเห็น

ขั้นตอนการตรวจสอบและประเมินความเสี่ยง : ภาค 2


สวัสดี ครับ

วันนี้อยากจะขอเล่าเรื่องเทคนิคการวัดและประเมินความเสี่ยง สำหรับเจ้าหน้าที่ผู้ตรวจสอบภายใน ได้นำไปพิจารณาและลองฝึกปฎิบัติเพื่อใช้ในการตรวจสอบให้มีความถูกต้องและเหมาะสม

4. เทคนิคการวัดและประเมินความเสี่ยง

      4.1 ในการพิจารณาว่าพื้นที่ทำงานที่เหมาะสมในการตรวจสอบอาจจะมีความหลากหลายและมีพื้นที่ขนาดใหญ่สำหรับเจ้าหน้าที่ผู้ตรวจสอบ  ถ้าเป็นไปได้ในการกำหนดขนาดพื้นที่ที่จะทำการตรวจสอบควรจะมีการประเมินความเสี่ยงในการที่จะสามารถตรวจสอบได้อย่างมีคุณภาพ  ซึ่งทั้งหมดขึ้นอยู่กับเครื่องมือที่เจ้าหน้าที่ตรวจสอบสามารถนำมาใช้เพื่อช่วยในการตรวจสอบให้มีความถูกต้อง เหมาะสม และค้นพบข้อเท็จจริงต่างๆ ที่ตรวจสอบ  ผู้ตรวจสอบจำเป็นจะต้องประเมิน (Information System : IS)

คำอธิบายเกี่ยวกับ IS สำหรับเจ้าหน้าที่ตรวจสอบ : ระบบคอมพิวเตอร์หลายคนกำลังสงสัยในความสามารถในการทดแทนมนุษย์ เกี่ยวกับการปฎิบัติงานที่ซับซ้อน การใช้งานซอฟต์แวร์ธุรกิจส่วนใหญ่จะเป็นการทำงานในโดเมนของการเงินและการบัญชี ตัวเลขจากงบในกระดาษและใบเสร็จรับเงินถูกป้อนเข้าไปในเครื่องคอมพิวเตอร์ ซึ่งจะใช้ในการคำนวณและสร้างรายงาน  โปรแกรมคอมพิวเตอร์ที่ใช้ในการตรวจสอบภายใน ส่วนมากใช้การสุ่มตัวอย่าง ผู้ตรวจสอบจะทำการเก็บสำเนางบการเงินในกระดาษและใบเสร็จรับเงินต้นฉบับด้วยตนเอง และทำการคำนวณตัวเลขที่ใช้ในการสร้างรายงานในแต่ละครั้ง และเปรียบเทียบผลของการคำนวณกับโปรแกรมคอมพิวเตอร์  ผู้ตรวจสอบที่มีความเชี่ยวชาญในบัญชี มักจะพบข้อผิดพลาดการเขียนโปรแกรมและเหล่านี้ในผลลัพธ์ที่เกิดจากโปรแกรมตรวจสอบภายในด้วยคอมพิวเตอร์

การนำข้อมูลที่ได้มีการวิเคราะห์ หรือจัดเก็บไว้อย่างเป็นระบบก็ให้นำมาใช้ เช่นใน Log file ขอให้เลือกดูฐานข้อมูลจาก Log file ที่มีกระบวนการดำเนินงานที่มีความเสี่ยง และสามารถดำเนินการทุจริตได้ หรือ สามารถปรับเปลี่ยนข้อมูลได้ง่ายและมีความสำคัญ หรือ สามารถปลอมแปลงเอกสารได้ง่ายด้วยการเข้าไปแก้ไขข้อมูลในฐานข้อมูลและทำการตรวจสอบได้ยาก  ซึ่งขั้นตอนนี้จะไปอยู่ในรูปแบบ IT Audit ซึ่งจะไม่อธิบายในตอนนี้ เพราะจะยาวมากเช่นกัน  ดังนั้นเพียงแต่จะบอกว่า อย่าเชื่อ IS ที่ซื้อมาจากต่างประเทศด้วยราคาแสนแพง แบบหลับหูหลับตาเชื่อก็แล้วกัน

การตรวจสอบข้อมูล และเอกสารหลักฐานด้วยตนเองจะช่วยให้ค้นพบการฉ้อโกง กิจกรรมการฉ้อโกงตั้งแต่เจ้าหน้าที่บันทึกข้อมูล และเจ้าหน้าที่เขียนข้อมูลด้านการเงินที่ทำหน้าที่เปลี่ยนแปลงรายงการ ด้วยการให้โปรแกรมเมอร์ทำการเขียนโปรแกรมปัดเศษสตางค์ในลักษณะคำนวณผิดพลาดโดยเจตนา และส่งออกมาเพื่อสะสมเงินสดในบัญชีธนาคารที่มีการซ่อนเร้น เป็นต้น

ผู้ตรวจสอบจำเป็นจะต้องทำการประเมิน IS ในกระบวนการที่เสี่ยงที่เป็นขั้นตอนพื้นฐาน ซึ่งมักจะมีความเสี่ยงสูง ดังนั้นจึงควรตรวจสอบโดยกำหนดกระบวนการคือ

    • ระบุพื้นที่่ของกระบวนการเสี่ยง หรือ ขั้นตอนการปฎิบัติงานที่มีความเสี่ยงหลงเหลืออยู่ในระดับสูง และไม่สามารถยอมรับได้ 
    • ระบุระบบการควบคุมที่สำคัญที่มีอยู่และมีความเสี่ยงสูง
    • ประเมินความไม่แน่นอนที่มีอยู่ในความสัมพันธ์กับระบบการควบคุมที่สำคัญ ๆ

       4.2  การใช้การประเมินความเสี่ยงสำหรับกำหนดเป็นพื้นที่ที่จะตรวจสอบ :

    • เพื่อให้สะดวกในการบริหารจัดการให้มีประสิทธิภาพ และจัดสรรทรัพยากร ที่มีอย่างจำกัด ในการตรวจสอบพื้นที่ต่างๆ 
    • ให้ความเชื่อมั่นอย่างสมเหตุสมผลว่ามีข้อมูลเกี่ยวกับทุกระดับของการปฎิบัติงาน และมีความเชื่อมโยงไปถึงคณะกรรมการบริหาร  และผู้บริหารระดับสูง หรือ ระดับกลางในพื้นที่ที่จะตรวจสอบ   โดยทั่วไปการรวบรวมข้อมูลในพื้นที่ที่จะทำการตรวจสอบให้มีประสิทธิภาพ ตามภาระหน้าที่ของผู้ตรวจสอบ และให้ความเชื่อมั่นอย่างสมเหตุสมผลว่าเป็นกิจกรรมการตรวจสอบในพื้นที่เสี่ยงสูงในทางธุรกิจ และจะสามารถเพิ่มมูลค่าให้กับการบริหารจัดการองค์กร
    • การกำหนดเกณฑ์การมีประสิทธิภาพในการตรวจสอบการบริหารจัดการด้าน IS
    • ให้ข้อสรุปของวิธีการเรื่องการทบทวนบุคคลที่เกี่ยวข้องกับการจัดการโดยรวมเช่นเดียวกับแผนธุรกิจ

5. วิธีการวัดประเมินความเสี่ยง 

         5.1 วิธีการประเมินความเสี่ยงในปัจจุบันมีหลายวิธี  ซึ่งวิธีการดังกล่าวจะอธิบายเกี่ยวกับการบริหารความเสี่ยงอย่างเป็นระบบ มีการให้คะแนนระดับความเสี่ยงที่มีความรุนแรง และโอกาสเกิดที่แตกต่างกัน และมีการจัดลำดับความสำคัญของเหตุการณ์ความเสี่ยง  ในการพิจารณาด้านการประเมินความเสี่ยงของเหตุการณ์ความเสี่ยงที่พิจารณาเป็นตัวแปร เช่น ความซับซ้อนทางเทคนิคของการบริหารความเสี่ยง และขอบเขตของการพิจารณากระบวนการปฎิบัติงาน และการเปลี่ยนแปลงกระบวนการปฎิบัติงานที่สำคัญๆ  ตัวแปรเหล่านี้อาจจะไม่ได้ทำการถ่วงน้ำหนักค่าของความเสี่ยงเมื่อเทียบกับตัวแปรของกระบวนการปฎิบัติงานด้านอื่นๆ  ดังนั้นจะต้องมีการจัดทำแผนการตรวจสอบ

(วิธีการถ่วงน้ำหนักด้านการบริหารความเสี่ยง ตามลำดับความสำคัญ และการระบุคะแนนของความเสี่ยงในเชิง Risk Matrix ขอให้อ่านจากบทความการคำนวณความเสี่ยงและการวิเคราะห์ Risk Matrix ในหมวดของ Risk Management)

แผนการตรวจสอบ คือ การเตรียมการโดยแผนการตรวจสอบจะได้รับการอนุมัติโดยคณะกรรมการตรวจสอบ หรือ ประธานเจ้าหน้าที่บริหาร (CEO) ให้ความเห็นต่อแผนการตรวจสอบ  ซึ่งรูปแบบของแผนการตรวจสอบจะเป็นการประเมินความเสี่ยงจากการตรวจสอบเอกสารหลักฐาน และข้อมูลที่ได้มีการรวบรวมล่วงหน้า และทำการตัดสินใจบรรจุในแผนการตรวจสอบ

6. การเก็บรวบรวมข้อมูล 

       6.1 ข้อมูลที่อธิบายนี้จะในแง่ของการดำเนินงานขององค์กรจะใช้ในการกำหนดหน่วยงานตรวจสอบได้ที่หลากหลายและการจำลองความเสี่ยงเป็นธรรมชาติในการดำเนินงานของหน่วย  แหล่งที่มาของข้อมูลนี้รวมถึง :

    • การสัมภาษณ์ผู้บริหารระดับสูง และผู้บริหารระดับกลาง เกี่ยวกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลสำหรับการพัฒนาของรูปแบบความเสี่ยง 
    • ผลลัพธ์ของแบบสอบถามที่ได้มีการเก็บรวบรวมข้อมูลเกี่ยวกับกระบวนการปฎิบัติงานและขั้นตอนการทำงานในหน่วยงานที่มีความสำคัญๆ และนำมาประเมินด้านการบริหารความเสี่ยง
    • เอกสารรายงาน เมื่อเร็วๆ นี้
    • แผนกลยุทธ์ด้าน IT และแผนกลยุทธ์ของสำนัก/ฝ่าย/กอง/แผนก ที่สำคัญเป็น core function ขององค์กร
    • หน่วยงานที่มีการใช้งบประมาณสูงๆ และมีการดำเนินงานโครงการขนาดใหญ่
    • ความเห็นที่มีข้อสงสัยจากผู้ตรวจสอบบัญชีภายนอก
    • การรวบรวมข้อมูลจากความตระหนักและทักษะความรู้ของผู้ตรวจสอบ จากแหล่งต่างๆ

        6.2 วิธีการประเมินหลักฐานการตรวจสอบ   การตรวจสอบเอกสารหลักฐานที่แสดงความเป็นมืออาชีพของคุณด้านการตรวจสอบ เมื่อดำเนินการตรวจสอบคุณต้องประเมินลักษณะของความสามารถและเพียงพอ และการประเมินผลการตรวจสอบหลักฐานเพื่อตรวจสอบความถูกต้อง หลังจากที่ทุกการตรวจสอบของคุณขึ้นอยู่กับความจริงของหลักฐาน

          ธรรมชาติของหลักฐานสำหรับการตรวจสอบ

          ธรรมชาติของหลักฐานการตรวจสอบ หมายถึง รูปแบบของหลักฐานที่คุณกำลังมองหาที่ระหว่างการตรวจสอบ  ซึ่งควรรวมทั้งหมดทั้ง เอกสารทางบัญชี รายงานการประชุม   ข้อร้องเรียน เป็นต้น

            เอกสารหลักฐานสำหรับใช้ในการตรวจสอบ

                     หลักฐานการตรวจสอบมีความเกี่ยวข้องกับงานที่คุณกำลังทำและมีความน่าเชื่อถือ รวมทั้งเกี่ยวข้องกับคุณภาพของเอกสารหลักฐานที่สนับสนุนในการตรวจสอบการดำเนินงาน

    • ความเกี่ยวข้อง : ความเกี่ยวข้องของเอกสารหลักฐานโดยการประเมินความสัมพันธ์ระหว่างเอกสารและการจัดการยืนยันข้อมูลที่คุณกำลังทดสอบ
    • ความน่าเชื่อถือ : คุณวัดความน่าเชื่อถือด้วยการตัดสินใจว่าหลักฐานมีความน่าเชื่อถือ จะต้องเป็นเอกสารที่มีความสำคัญ และเป็นสิ่งที่่ทุกหน่วยงานยอมรับ  เป็นเอกสารที่มาจากกระบวนการปฎิบัติงาน  หรือจากบุคคลที่น่าเชื่อถือ เป็นต้น   
    • เอกสารต้นฉบับมีความน่าเชื่อถือกว่าเล่มที่มีการเปลี่ยนแปลงไปจากเดิม
    • การเขียนเอกสารเป็นความน่าเชื่อถือมากกว่าปาก
    • ความรู้โดยตรงของกระบวนการมีความน่าเชื่อถือมากกว่าแค่การมีพนักงานมาอธิบายให้คุณฟังเกี่ยวกับกระบวนการทำงาน
    • เป็นต้น

สุดท้ายนี้ในบทนี้ เราจะเล่าให้ฟังเพียงเท่านี้ก่อน เพราะในบทที่ 3 ที่จะเล่าตอนต่อไป จะเป็นเรื่องของการคำนวณ และการกำหนดน้ำหนักที่ใช้ในการจัดลำดับความสำคัญของเหตุการณ์ความเสี่ยงที่จะมีการตรวจสอบ และวิธีการที่ใช้ในการกำหนดน้ำหนักในประเด็นต่างๆ มีวิธการอย่างไร  วิเคราะห์อย่างไร  ขอให้ท่านผู้สนใจกรุณาติดตามในตอนต่อไป

ขอให้ทุกๆ ท่านโชคดี มีความสุขเถิด

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com

https://eiamsri.wordpress.com

ธันวาคม 2, 2012 Posted by | Internal Audit, Risk Management | | ใส่ความเห็น

ขั้นตอนการตรวจสอบและประเมินความเสี่ยง : ภาค 1


สวัสดีครับ

วันนี่้ได้อ่านบทความเกี่ยวกับการบริหารความเสี่ยงของ ISACA แล้วประทับใจในบทความที่ฝรั่งเขียน ก็เลยจะมาเล่าให้ฟังในสไตล์ของเราเอง เราเชื่อว่าหลายหน่วยงานน่าจะนำไปใช้ประโยชน์ได้จากบทความนี้

1. การเชื่อมโยงกับมาตรฐาน (Linkage to Standards/Guideline)

     ผู้ตรวจสอบควรวางแผนก่อนการตรวจสอบด้วยการอิงตามมาตรฐานการตรวจสอบด้านความเสี่ยง ที่ได้อธิบายไปแล้วในบทความที่ผ่านมาอยู่ในหมวดของ Internal Audit และการตรวจสอบจะต้องมีการระบุวัตถุประสงค์ที่ชัดเจน สอดคล้องกับกฎหมายและกฎบัตรมาตรฐานการสอบระดับมืออาชีพ  ดังนั้นการตรวจสอบควรจะได้รับเอกสารหลักฐานที่เพียงพอ เชื่อถือได้ และมีความเกี่ยวข้องเพื่อให้บรรลุวัตถุประสงค์การตรวจสอบ  และสามารถสรุปผลการตรวจสอบ และข้อสรุปที่ได้รับการสนับสนุนโดยการวิเคราะห์ที่เหมาะสม และการตีความของหลักฐานเหล่านั้น “แนวทางการใช้ประเมินความเสี่ยงในการวางแผนการตรวจสอบ เป็นการให้คำแนะนำ”

          1.1 สิ่งที่จำเป็นสำหรับขั้นตอนการตรวจสอบ

    • ความหมายของการประเมินความเสี่ยง ให้ยึดหลักตามกฎบัตรการตรวจสอบ มาตรฐานสากล
    • ให้คำแนะนำเกี่ยวกับวิธีการที่ใช้ คือ การตรวจสอบด้วยการประเมินความเสี่ยงเฉพาะส่วนที่เป็นกระบวนการทำงานด้านการบริหารความเสี่ยง  การรวบรวมเอกสารหลักฐาน
    • ให้คำแนะนำเกี่ยวกับการเลือกเกณฑ์การจัดอันดับความเสี่ยงและการใช้น้ำหนักของ การประเมินความเสี่ยง เช่น การใช้คำถาม Checklist ผูกกับน้ำหนักในการตอบแบบสอบถามแต่ละข้อ เพื่อนำมาประมวลผลเป็นความเสี่ยงใน Risk Matrix

2. ความเสี่ยง คือ

               2.1 ความเสี่ยงควรจะเป็นการกระทำที่อาจจะเกิดขึ้น หรือ เหตุการณ์ที่มีผลกระทบต่อองค์กร และระบบข้อมูลของ ความเสี่ยงรวมทั้งสามารถมีศักยภาพในการสร้างผลกระทบ และภัยคุกคาม ต่อการใช้สินทรัพย์ หรือ ช่องว่างของการใช้สินทรัพย์ที่ก่อให้เกิดการสูญเสีย หรือ ความเสียหายให้กับสินทรัพย์  และมีหน่วยวัดเป็นระดับคะแนนของโอกาสเกิด x ระดับคะแนนของผลกระทบ

                  2.2 ความเสี่ยง ควรจะเป็นเหตุการณ์ที่ไม่สามารถควบคุมได้ด้วยเครื่องมือใดๆ เป็นการเฉพาะเจาะจง

                2.3 ความเสี่ยงที่หลงเหลือ คือ การที่องค์กร หรือ หน่วยงานได้มีการบริหารจัดการความเสี่ยง ด้วยมาตรการต่างๆ ในระดับหนึ่ง ในระยะหนึ่่งๆ  ต่อมาองค์กรได้ทำการประเมินความเสี่ยงเหล่านั้นอีกครั้งและพบว่ายังมีความเสี่ยงอยู่ในระดับที่ยอมรับได้ และไม่จำเป็นจะต้องมีการบริหารจัดการใหม่อีกครั้ง

3. วิธีการตรวจสอบระดับความเสี่ยง (Risk-Based is Audit Approach) 

                 3.1 องค์กรส่วนมาก จะเชื่อถือว่าการนำวิธีการที่ใช้ประเมินระดับความเสี่ยงจะช่วยปรับปรุงและพัฒนากระบวนการตรวจสอบอย่างต่อเนื่อง  ซึ่งวิธีการนี้จะถูกนำมาใช้ในการประเมินความเสี่ยงและการให้ความช่วยเหลือด้านการตัดสินใจแก่ผู้ตรวจสอบ ที่จะกระทำการอย่างใดอย่างหนึ่่ง ในการทดสอบวิธีการประเมินระดับความเสี่ยงที่สำคัญๆ  นอกจากนี้ผู้ตรวจสอบจะต้องอาศัยข้อมูลจากการควบคุมภายในและการดำเนินงานทั่วไปขององค์กรมาประกอบการตัดสินใจ

                 3.2 ผู้ตรวจสอบควรจะทำความเข้าใจธรรมชาติของธุรกิจ ความเสี่ยงของธุรกิจ และสามารถระบุ หรือ จัดประเภทของความเสี่ยงที่อาจจะเกิดขึ้นเป็นตัวกำหนด รูปแบบความเสี่ยง หรือ วิธีการที่ใช้ในการดำเนินการทบทวนรูปแบบการประเมินความเสี่ยง สามารถดำเนินการได้ง่าย เช่น การกำหนดน้ำหนักสำหรับประเภทความเสี่ยงในระดับต่างๆ สำหรับโครงการที่มีความเสี่ยง ก็จะมีน้ำหนักที่แตกต่างกันตามระดับระดับความเสี่ยง และความสำคัญของโครงการ

                  3.3 ผู้ตรวจสอบมีความสนใจในความเสี่ยงที่ไม่สามารถควบคุมได้ และมีความสำคัญ  ดังนั้นวิธีการตรวจสอบระดับความเสี่ยง ผู้ตรวจสอบจำเป็นจะต้องใช้ระบบเทคโนโลยีสารสนเทศ มาช่วยในการเก็บข้อมูลและประเมินผลในลักษณะ Scenario Analysis ประกอบการการพิจารณา

                    3.4 กำหนดแนวการตรวจสอบ Audit Universe ในครั้งแรกของการตรวจสอบและนำมาจัดอันดับความเสี่ยงเพื่อกำหนดแนวทางการตรวจสอบ ซึ่งจะขึ้นอยู่กับกลยุทธ์ที่ใช้ และนโยบายขององค์กร  รวมทั้งนำมาพิจารณากำหนดเป็นแผนภูมิองค์กร และฟังก์ชั่นความรับผิดชอบของหน่วยงาน ทั้งหมดทั่วทั้งองค์กร และนำไปหารือกับผู้บริหารที่รับผิดชอบ

                       3.5 วงจรการวางแผนการตรวจสอบ ควรจะมีความสอดคล้องกับวงจรการวางแผนปกติ บ่อยครั้งที่การตรวจสอบในรอบปีจะมีการวางแผนเป็นอย่างใดอย่างหนึ่ง ซึ่งบางองค์กรจะใช้ปีปฎิทินงบประมาณ ทีมีรอบปีไม่ปกติ จำเป็นจะต้องมีการวางแผนการตรวจสอบเป็นรายไตรมาสแทน เพื่อให้สอดคล้องกันและสามารถนำข้อมูลไปใช้งานในด้านการบริหารได้จริง

                        3.6 การคัดเลือกโครงการที่จะทำการตรวจสอบจำเป็นจะต้องรวมอยู่ในแผนการตรวจสอบ และเป็นหนึ่งในปัญหาที่สำคัญที่สุดที่จะต้องมีการกระทำร่วมกับการบริหารจัดการด้านการตรวจสอบ ในขั้นตอนวางแผนการตรวจสอบเพื่อให้ปริมาณโครงการที่จะเข้าไปตรวจสอบ เหมาะสมกับปริมาณคนที่มีอยู่ และระยะเวลาที่จะใช้ในการตรวจสอบ  เพื่อป้องกันแผนการตรวจสอบล้มเหลว ในการเลือกโครงการที่เหมาะสม

                             3.7 สมมติฐานพื้นฐานของแผนการตรวจสอบ คือ การประเมินผลการตรวจสอบในอนาคต/ โครงการจะมีประสิทธิภาพมากขึ้นถ้ามีกระบวนการอย่างเป็นทางการเกี่ยวกับการรวบรวมข้อมูลที่จำเป็น เพื่อใช้ประกอบการตัดสินใจ และการเสนอความคิดเห็น

                                   3.8 การพิจารณาเลือกโครงการที่จะตัดสินใจ และการเสนอความคิดเห็น ควรใช้กรอบแนวทางของการบริหารความเสี่ยง และการสร้างตารางการตรวจสอบตามระยะเวลา และจัดเรียงลำดับความสำคัญของความคิดเห็น/ต่อโครงการ  โดยการกำหนดเป็นขั้นตอนที่่ชัดเจน

เรื่องนี้ยาวมากครับ และมีความน่าสนใจมากเช่นกัน ต้องขอยอมรับว่า ISACA  เขียนบทความชิ้นนี้ได้ดีมากและสามารถนำไปปฎิบัติงานได้จริงครับ ก็เลยอยากให้ทุกๆ ท่าน ที่ทำหน้าที่ Audit คอยติดตามอ่านเรื่องนี้ เพราะเราจะพยามแปลให้ครบทุกตอน แต่หลายตอนหน่อยนะครับ

สุดท้ายนี้ขอให้ทุกๆ ท่านมีความสุข ร่ำรวย สมหวังอย่างที่ต้องการครับ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com

https://eiamsri.wordpress.com 

พฤศจิกายน 14, 2012 Posted by | Internal Audit, Risk Management | | ใส่ความเห็น

บทบาทของตรวจสอบภายในร่วมกับการบริหารความเสี่ยง : The Role of Internal Auditing in Enterprise-wide Risk Management


สวัสดี ครับ

วันนี้เราไม่รู้จะไปไหนดี ก็เลยอยู่บ้านทั้งวันและเขียนบทความต่างๆ ให้ทุกๆ ท่านได้อ่านในยามว่าง และหวังว่าจะมีประโยชน์ในการนำไปใช้งานในชีวิตจริงได้ เพราะเราก็ได้สมัครเรียน ด้านตรวจสอบภายในมาและก็เห็นประโยชน์หลายด้าน และก็พบข้อผิดพลาดหลายด้านของเจ้าหน้าที่ตรวจสอบภายใน ขององค์กรต่างๆ  ดังนั้น เราและทีมงานก็ทำการพัฒนาโปรแกรมเกี่ยวกับการตรวจสอบภายในขึ้นมา เพื่อใช้เป็นเครื่องมือที่ช่วยสนับสนุนการทำงานของฝ่ายตรวจสอบภายในให้สะดวกขึ้น เพราะเราทำในรูปแบบ Web Based ทำให้ง่ายในการเข้าถึงและการค้นหาข้อมูลทั้งหมดย้อนหลัง องค์กรใดสนใจติดต่อได้ครับ ที่คุณเอกกมล  เอี่ยมศรี โทรศัพท์ 081 588 1532 อีเมล์   info@interfinn.com

The Institute of Internal Auditors (IIA) or IIAUK  ได้กำหนดบทบาทของการตรวจสอบภายในและการบริหารความเสี่ยงทั่วทั้งองค์กร วัตถุประสงค์เพื่อช่วยหัวหน้างานตรวจสอบ (Chief audit Executives (CAEs) ในการตอบสนองต่อการบริหารความเสี่ยงองค์กร (ERM) ในประเด็นความเสี่ยงขององค์กรตน  ซึ่งบทความนี้จะช่วยแนะนำสำหรับผู้ตรวจสอบภายใน สำหรับการรักษาวัตถุประสงค์และความเป็นอิสระตามมาตรฐานสากล IIA เกี่ยวกับการปฎิบัติตามวิชาชีพการตรวจสอบภายใน (ตามมาตรฐาน) การให้คำประกันความเห็นและการให้บริการคำปรึกษา

บทบาทหลักของการตรวจสอบภายในเกี่ยวกับการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM) คือการให้คำรับประกันเกี่ยวกับวัตถุประสงค์ และกิจกรรมของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM) เพื่อให้คณะกรรมการบริหารเกิดความมั่นใจเกี่ยวกับประสิทธิผลของกิจกรรม ERM และสร้างความมั่นใจว่าความเสี่ยงทางธุรกิจขององค์กรถูกจัดการอย่างเหมาะสม และมีระบบควบคุมภายในที่มีการดำเนินการอย่างมีประสิทธิภาพ

ปัจจัยหลัก ที่ CAEs ควรคำนึงถึงในการกำหนดแนวทางการตรวจสอบภายใน ไม่ว่าจะมีบทบาทในกิจกรรมที่เป็นการลดความเสี่ยงจากภัยคุกคามใดๆ ความเป็นอิสระของผู้ตรวจสอบภายใน และวัตถุประสงค์ในการที่จะปรับปรุงกระบวนการบริหารจัดการความเสี่ยงภายในองค์กร  การควบคุมและกระบวนการกำกับดูแล เอกสารบทบาทที่ระบุใน IIA เป็นตัวบ่งชี้ว่าบทบาทของตรวจสอบภายในควรจะเข้าไปยุ่งทุกกระบวนการของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM) แต่ตรวจสอบเป็นเรื่องๆ และเป็นส่วนๆ

บทบาทของตรวจสอบภายในเกี่ยวกับการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM)

  • การให้การประกันความเชื่อมั่นในกระบวนการบริหารความเสี่ยงตามหลัก ของ COSO
  • การให้การประกันความเชื่อมั่นว่ามีการประเมินความเสี่ยงขององค์กรอย่างถูกต้องเหมาะสม
  • การประเมินกระบวนการและขั้นตอนการบริหารความเสี่ยงทั่วทั้งองค์กร
  • การประเมินรายงานความเสี่ยงที่มีความสำคัญๆ ขององค์กร
  • การทบทวนการจัดการด้านความเสี่ยงที่สำคัญขององค์กร

บทบาทที่สำคัญของการตรวจสอบภายในเกี่ยวกับการป้องกันความถูกต้องตามกฎหมาย

  • ระบุการอำนวยความสะดวกและการประเมินความเสี่ยง
  • การตอบสนองต่อการฝึกอบรมด้านการบริหารความเสี่ยง
  • กิจกรรมการประสานงานด้านการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM)
  • การรวบรวมรายงานเกี่ยวกับการบริหารความเสี่ยง
  • การดูแลรักษาและการพัฒนากรอบแนวทางการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร ERM
  • ความเสี่ยงกลยุทธ์การจัดการสำหรับการพัฒนาคณะกรรมการ บริษัท

บทบาทการตรวจสอบภายในที่ไม่ควรทำ

  • การตั้งค่าเกณฑ์การบริหารความเสี่ยง
  • กำหนดกระบวนการบริหารความเสี่ยง
  • การรับประกันการจัดการความเสี่ยงทั่วทั้งองค์กร เปรียบเสมือนจัดทำด้วยตนเอง
  • การตัดสินใจเกี่ยวกับการตอบสนองด้านการบริหารความเสี่ยง
  • การตอบสนองความเสี่ยงและรับผิดชอบในนามของผู้บริหาร

IIA เน้นว่าองค์กรควรเข้าใจเกี่ยวกับการบริหารจัดการที่รับผิดชอบในการบริหารความเสี่ยง ตรวจสอบภายใน ควรให้คำแนะนำและความท้าทาย หรือ สนับสนุนการตัดสินใจของผู้บริหารเกี่ยวกับความเสี่ยง  ในขณะที่เมื่อเทียบกับการตัดสินใจด้านการบริหารความเสี่ยง  โดยปกติของความรับผิดชอบต่อการตรวจสอบภายในและควรบันทึกไว้ในกฎบัตรการตรวจสอบภายใน และการอนุมัติจากคณะกรรมการตรวจสอบภายใน

การแนะนำ

ไม่กี่ปีที่ผ่านมา การให้ความสำคัญเกี่ยวกับการกำกับดูแลกิจการที่แข็งแกร่ง จากการบริหารความเสี่ยงและได้รับการยอมรับมากขึ้นเรื่อยๆ  ด้วยองค์กรภายใต้ความกดดันที่ระบุธุรกิจที่มีความเสี่ยงที่ตนเผชิญ เช่น สังคม จริยธรรม และสิ่งแวดล้อม เช่นเดียวกับการเงิน และการดำเนินงาน  ซึ่งจำเป็นจะต้องอธิบายวิธีการที่พวกเขาจัดการ ในระดับที่ยอมรับได้  ในขณะเดียวกันการใช้กรอบการบริหารความเสี่ยงแบบทั่วทั้งองค์กร

การตรวจสอบภายในและการประกันความเห็น และให้คำปรึกษา และบทบาทของการก่อให้เกิดการจัดการความเสี่ยงในความหลากหลายของวิธี ในปี 2002 สถาบันผู้ตรวจสอบภายใน สหราชอาณาจักร และไอร์แลนด์ออกแถลงการณจุดยืนในบทบาทของการตรวจสอบภายในและการบริหารจัดการความเสี่ยงเพื่อให้คำแนะนำกับสมาชิกเกี่ยวกับบทบาท ที่ได้รับอนุญาตและการป้องกันที่่จำเป็นในการป้องกันเอกราชของการตรวจสอบภายใน และวัตถุประสงค์ของคำสั่งนี้

การบริหารความเสี่ยงทั่วทั้งองค์กร คือ อะไร?

ฝ่ายบริหารความเสี่ยง ระบุแนวทางการประเมินด้านการจัดการ และควบคุมทุกชนิดของกิจกรรม หรือ สถานการณ์ที่มีความเสี่ยงที่รุนแรง เหล่านี้ เช่น ความเสี่ยงด้านการตลาดที่คุกคาม และโอกาสต่างๆ ขององค์กรโดยรวม   หลักการที่นำเสนอในตำแหน่งนี้สามารถนำมาใช้เพื่อเป็นแนวทางในการมีส่วนร่วมในการตรวจสอบภายใน ทุกรูปแบบของการบริหารความเสี่ยง แต่ฝ่ายบริหารความเสี่ยง มีความสนใจอย่างยิ่งในการบริหารความเสี่ยงทั่วทั้งองค์กร เพราะเป็นโอกาสที่จะปรับปรุงกระบวนการกำกับดูแลองค์กร

โครงสร้างกระบวนการที่สอดคล้องและต่อเนื่องทั่วทั้งองค์กรในการระบุและประเมินที่จะตัดสินใจในการตอบสนอง ต่อการรายงานเกี่ยวกับโอกาสและภัยคุกคามที่มีผลกระทบต่อความสำเร็จของวัตถุประสงค์

การตอบสนองความเสี่ยง ERM

คณะกรรมการบริหารมีการตอบสนองต่อความเสี่ยง ERM โดยรวมเพื่อให้มั่นใจว่าจะมีการจัดการความเสี่ยง ในทางปฎิบัติคณะกรรมการบริหารจะมอบหมายแนวทางการดำเนินบริหารความเสี่ยง และกรอบการบริหารจัดการกับทีมงานบริหารความเสี่ยงที่จะรับผิดชอบในการกำหนดกิจกรรมการจัดการ  แก่ผู้จัดการหน่วยงานหรือผู้รับผิดชอบด้านการบริหารกิจกรรมที่มีความสำคัญด้วยความรู้และทักษะที่มีความเชี่ยวชาญ

ทุกคนในองค์กรมีบทบาทในการทำให้มั่นใจว่าจะประสบความสำเร็จในการบริหารความเสี่ยงทั่วทั้งองค์กร แต่ความรับผิดชอบหลักในการระบุความเสี่ยงและการบริหารจัดการยังเป็นหน้าที่ของผู้นำกลุ่มในการบริหารจัดการ

การให้ความเชื่อมั่นต่อ ERM

หนึ่งในความต้องการที่สำคัญของคณะกรรมการหรือเทียบเท่า คือ การได้รับความมั่นใจว่ากระบวนการบริหารความเสี่ยงมีการทำงานอย่างอย่างมีประสิทธิภาพและความเสี่ยงที่สำคัญที่มีการจัดการในระดับที่ยอมรับได้

แนวโน้มการให้ความเชื่อมั่นหรือการประกัน จะมาจากแหล่งที่แตกต่างกัน ซึ่งการประกันจากการจัดการเป็นพื้นฐานนี้ควรจะสมบูรณ์ตามบทบัญญัติของความเชื่อมั่น  ซึ่งการตรวจสอบภายในเป็นแหล่งที่สำคัญ แหล่งที่มาอื่นๆ ได้แก่ การตรวจสอบภายนอก และผู้เชี่ยวชาญอิสระ การตรวจสอบภายในตามปกติจะให้การรับรองใน 3 ประเภท

  • กระบวนการบริหารความเสี่ยงทั้งการออกแบบและให้ความเห็นวิธีการทำงานอย่างไรที่ถูกต้องเหมาะสม
  • การบริหารความเสี่ยงที่จัดเป็น “key” รวมทั้งประสิทธิผลของการควบคุมและการตอบสนองอื่นๆ ที่จะให้พวกเขาและ
  • การประเมินความน่าเชื่อถือและมีความเหมาะสมกับความเสี่ยงและการรายงานความเสี่ยงสถานะการควบคุม

บทบาทของการตรวจสอบภายในต่อ ERM

การตรวจสอบภายในมีความเป็นอิสระ และความเชื่อมั่นและการให้คำปรึกษากิจกรรม บทบาทหลักของตรวจสอบภายในเรื่องเกี่ยวกับ ERM คือ การให้ความเชื่อมั่นกับคณะกรรมการเกี่ยวกับประสิทธิผลของการบริหารความเสี่ยง ที่จริงมีงานวิจัยที่แสดงให้เห็นว่าคณะกรรมการของบริษัทฯ และผู้ตรวจสอบภายในยอมรับว่ามี 2 วิธีที่สำคัญที่สุดที่ตรวจสอบภายใน (1) ให้คุณค่าให้กับองค์กรในการให้ความเชื่อมั่นว่าความเสี่ยงทางธุรกิจที่สำคัญที่มีการจัดการอย่างเหมาะสมและให้ความมั่นใจว่าการบริหารความเสี่ยงและการควบคุมภายใน (2) กรอบการดำเนินงานได้อย่างมีประสิทธิภาพ

การแสดงช่วงของกิจกรรม ERM และชี้ว่าบทบาทที่มีประสิทธิภาพการทำงานตรวจสอบแบบมืออาชีพภายในควรดำเนินการให้ความเห็นของวัตถุประสงค์ และไม่ว่าจะมีโอกาสที่จะปรับปรุงกระบวนการบริหารความเสี่ยงขององค์กรการควบคุมและกำกับดูแล

1. หลักของบทบาทการตรวจสอบภายในส่วนของ ERM

  • การรับประกันในกระบวนการบริหารความเสี่ยง 
  • ให้ความมั่นใจว่าความเสี่ยงมีการประเมินอย่างถูกต้อง 
  • การประเมินกระบวนการบริหารความเสี่ยง
  • การประเมินการรายงานความเสี่ยงที่สำคัญ
  • ทบทวนการจัดการความเสี่ยงที่สำคัญ

2. บทบาทของการตรวจสอบภายในที่สามารถปฎิบัติได้ตามที่มีกฎบัตรป้องกัน 

  • อำนวยความสะดวกในการระบุและการประเมินความเสี่ยง
  • การจัดการสอนในการตอบสนองต่อความเสี่ยง
  • ประสานงานด้านกิจรรม ERM
  • รายงานงบการเงินรวมทั้งเกี่ยวกับความเสี่ยง
  • การรักษาและพัฒนากรอบ ERM
  • กลยุทธ์การพัฒนาด้าน ERM เพื่อขออนุมัติคณะกรรมการ

3. บทบาทการตรวจสอบภายในไม่ควรทำ

  • การตั้งค่าเกณฑ์ความเสี่ยง
  • การจัดการด้านกระบวนการบริหารความเสี่ยง
  • การประกันการจัดการเกี่ยวกับความเสี่ยง
  • การตัดสินใจในการตอบสนองความเสี่ยง
  • การดำเนินการตอบสนองความเสี่ยงในนามของผู้บริหาร
  • ความรับผิดชอบในการบริหารความเสี่ยง

กิจกรรมในลำดับที่ 1 เป็นการรับประกันเกี่ยวกับวัตถุประสงค์ของการบริหารความเสี่ยง และฟังก์ชั่นการตรวจสอบภายในตามมาตรฐานสากลสำหรับการปฎิบัติงานด้านวิชาชีพเกี่ยวกับการตรวจสอบภายใน สามารถและควรดำเนินการอย่างน้อยบางส่วนของกิจกรรมเหล่านั้น

บทบาทของการให้คำปรึกษาว่าการตรวจสอบภายในอาจจะดำเนินการในส่วนที่เกี่ยวข้องกับ ERM โดยทั่วไปของการตรวจสอบภายในมากขึ้น และมีมาตรการที่ป้องกันและสร้างความมั่นใจว่าเป็นอิสระและความเที่ยงธรรมของการบำรุงรักษา ซึ่งบางส่วนของการให้คำปรึกษาบทบาทการตรวจสอบภายในที่สามารถดำเนินการได้

กิจกรรมในลำดับที่ 2 เป็นการปฎิบัติงานตามบทบาทของการตรวจสอบภายในภายใต้กฎบัตรของการตรวจสอบภายใน ที่มีการกำหนดตามมาตรฐานสากล เพื่อให้เจ้าหน้าที่ทุกคนของทีมงานตรวจสอบภายในปฎิบัติให้ถูกต้องเหมาะสม และมีความเข้าใจถ่องแท้  และมีความชำนาญในสิ่งที่ดำเนินการอย่างมืออาชีพ

กิจกรรมในลำดับที่ 3 เป็นข้อพึงระวังอย่าให้เข้าไปก้าวก่ายในหน่วยงานที่เกินอำนาจหน้าที่ของตน

สุดท้ายนี้ เราขอจบการอธิบายเกี่ยวกับการตรวจสอบภายใน ต่อการบริหารความเสี่ยงทั่วทั้งองค์กร และบทบาทหน้าที่ ซึ่งผู้ตรวจสอบภายในสามารถดำเนินการได้โดยไม่ผิดกฏบัตรและความรับผิดชอบต่อหน้าที่ของผู้ตรวจสอบภายใน

ขอให้ทุกๆ ท่านโชคดี

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com

https://eiamsri.wordpress.com

ตุลาคม 27, 2012 Posted by | Internal Audit | | ใส่ความเห็น

   

%d bloggers like this: