1 / 28

การจัดทำรายงานการตรวจสอบ

การจัดทำรายงานการตรวจสอบ. ศิวะรักษ์ พินิจารมณ์ , CIA & CFE. สารบัญ. ลักษณะทั่วไป. มาตรฐาน 2400. ประเภทของรายงาน. จุดประสงค์ของรายงาน. การจัดทำรายงาน. กระบวนการของรายงาน. ส่วนประกอบของ ICES. โครงสร้างของรายงาน. ความเห็นและคำแนะนำ. การสอบทานครั้งสุดท้าย. การส่งมอบรายงาน.

freya-petersen
Download Presentation

การจัดทำรายงานการตรวจสอบ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. การจัดทำรายงานการตรวจสอบการจัดทำรายงานการตรวจสอบ ศิวะรักษ์ พินิจารมณ์ , CIA & CFE

  2. สารบัญ ลักษณะทั่วไป มาตรฐาน 2400 ประเภทของรายงาน จุดประสงค์ของรายงาน การจัดทำรายงาน กระบวนการของรายงาน ส่วนประกอบของ ICES โครงสร้างของรายงาน ความเห็นและคำแนะนำ การสอบทานครั้งสุดท้าย การส่งมอบรายงาน ลักษณะของรายงานที่ดี เทคนิคและข้อควรจำอื่นๆ กรณีศึกษา

  3. มาตรฐาน 2400 การรายงานผลการตรวจสอบ หลักเกณฑ์ 2410 คุณภาพ 2420 นอกมาตรฐาน2430 การเผยแพร่2440 Error & Omission 2421 ความเห็น 2410.A1 ระบุข้อดี 2410.A2 Consultant 2410.C1 Assurance 2440.A1 ID RCG 2440.C2 Consulting 2440.C1 Sources: PA: 2400 to 2440 & Red Book: 430

  4. อธิบายมาตรฐาน 2400: ต้องรายงานผลการตรวจสอบ 2410: ต้องครอบคลุมจุดประสงค์/ขอบเขต/สรุป/แนะนำและแผนแก้ไขปรับปรุง 2410.A1: ต้องมีความเห็นในภาพรวมของผู้ตรวจสอบภายใน 2410.A2: ต้องชมเชยส่วนที่ฝ่ายบริหารปฏิบัติได้ตามมาตรฐานหรือดีกว่า 2410.A3: ต้องจำกัดการส่งมอบรายงานให้กับบุคคลภายนอก 2410.C1: รูปแบบของรายงานที่ปรึกษาอาจต่างออกไปตามความต้องการของผู้รับบริการ 2420: ต้องถูกต้อง-ชัดเจน-กระชับ-สร้างสรรค์-ครบถ้วนและทันเวลา 2421: ต้องแจ้งผู้รับรายงานให้ทราบถ้ารายงานผิดพลาดหรือให้ข้อมูลไม่ครบถ้วน 2430: ต้องมีผลของ QA ยืนยันถ้าจะอ้างว่าการตรวจสอบทำตามมาตรฐาน ISPPPIA 2431: ต้องเปิดเผยข้อมูลถ้าปฏิบัติตามมาตรฐานไม่ได้พร้อมเหตุผลและผลกระทบ

  5. อธิบายมาตรฐาน 2440: ต้องรายงานผลการตรวจสอบกับบุคคลที่เกี่ยวข้องและเหมาะสม 2440.A1: ต้องส่งรายงานให้บุคคลที่มั่นใจได้ว่า ผลการตรวจสอบจะได้รับการพิจารณา 2440.A2: ต้องมีแนวทางการส่งรายงานการตรวจสอบให้กับบุคคลภายนอกองค์กร - ประเมินความเสี่ยงขององค์กร - ปรึกษาผู้บริหารระดับสูงและ / หรือที่ปรึกษาทางกฎหมาย - ควบคุมการนำผลการตรวจสอบไปใช้ประโยชน์โดยไม่ได้รับอนุญาติ 2440.C1: ต้องส่งรายงานให้กับลูกค้าที่รับบริการที่ปรึกษา 2440.C2: ต้องระบุความเสี่ยง การควบคุมและการกำกับดูแลแก่ลูกค้าที่รับบริการที่ปรึกษาด้วย

  6. หลักเกณฑ์ของรายงาน (2410-1) เกณฑ์ขั้นต่ำสำหรับรายงานคือ แสดงจุดประสงค์ ขอบเขตและผลการตรวจสอบ รายงานอาจมีทั้งส่วนที่เป็นรายละเอียดและบทสรุป ส่วนที่เป็นจุดประสงค์ควรบอกผู้อ่านว่าทำไมต้องตรวจสอบและคาดหวังอะไร ส่วนที่เป็นขอบเขตควรบอกช่วงเวลาตรวจสอบและเรื่องที่ยกเว้นไม่สอบทาน ผลการตรวจสอบควรรวมถึงข้อสังเกต ข้อสรุป ข้อแนะนำและแผนการแก้ไขปรับปรุง ข้อสังเกตควรอยู่บนฐานความจริงและใช้สนับสนุนข้อสรุปหรือความเห็น ข้อสังเกตและข้อแนะนำเกิดจากการเปรียบเทียบสิ่งที่เกิดจริงกับสิ่งที่ควรจะเป็น ข้อสรุปคือการประเมินผลกระทบของข้อสังเกตและข้อแนะนำ

  7. หลักเกณฑ์ของรายงาน (ต่อ) ข้อแนะนำเกิดจากข้อสังเกตุและข้อสรุปที่นำไปสู่การแก้ไขปรับปรุง ควรกล่าวถึงความก้าวหน้าในการปรับปรุงแก้ไขจากการตรวจครั้งก่อน บันทึกความเห็นของผู้รับการตรวจในเรื่องข้อแนะนำของผู้ตรวจสอบ บันทึกข้อตกลงระหว่างผู้ตรวจและผู้รับการตรวจ ข้อมูลที่เป็นความลับอาจแยกเปิดเผยในรายงานอีกฉบับ รายงานระหว่างกาลอาจเป็นได้ทั้งการบอกกล่าวหรือลายลักษณ์อักษร รายงานต้องมีลายเซ็นของผู้ตรวจสอบที่ได้รับการอนุมัติจาก CAE CAE: Chief Audit Executive หรือหัวหน้าหน่วยงานตรวจสอบ

  8. คุณภาพของรายงาน (2420-1) ควรถูกต้อง ปราศจากข้อผิดพลาดหรือบิดเบือนและอยู่บนฐานของความจริง ควรตรงจุด ยุติธรรม ไม่มีอคติ ไม่เข้าข้างใคร ไม่อยู่ใต้อิทธิพลใดๆ ควรชัดเจน เข้าใจง่าย มีเหตุมีผลและหลีกเลี่ยงใช้ภาษาเทคนิคโดยไม่จำเป็น ควรอ่านแล้วเข้าใจทันทีโดยหลีกเลี่ยงการใช้คำซ้ำซ้อนหรือวกไปวนมา ควรสร้างสรรค์ มีสาระ มีประโยชน์และช่วยสนับสนุนเป้าหมายขององค์กร ควรมีความครบถ้วนตามที่ผู้รับการตรวจคาดหวัง ควรส่งมอบในเวลาที่เหมาะสม ผู้เกี่ยวข้องสามารถแก้ไขปรับปรุงได้โดยเร็ว

  9. การแจกจ่ายรายงานภายในองค์กร (2440-1) ควรร่วมพิจารณาข้อสรุปและคำแนะนำกับผู้ที่เกี่ยวข้องก่อนส่งรายงาน การส่งร่างรายงานให้ผู้ที่เกี่ยวข้องเป็นอีกเทคนิคหนึ่งที่ลดการขัดแย้ง ผู้เข้าร่วมพิจารณาควรประกอบด้วยผู้ที่รู้รายละเอียดและผู้มีอำนาจอนุมัติแก้ไข ผู้รับรายงานควรประกอบด้วยบุคคลต่อไปนี้ - บุคคลที่สามารถแก้ไขปรับปรุงหรือมีอำนาจสั่งการให้มีการแก้ไขปรับปรุง - บุคคลอื่น กรณีมีการกำหนดไว้ในนโยบายหรือระบุไว้ใน InternalAuditCharter

  10. ประเภทของรายงาน แบ่งตามลักษณะ การบริหารงานตรวจสอบ แบ่งตามลักษณะ การปฏิบัติงานตรวจสอบ รายงาน Prelim รายงานประจำปี รายงานระหว่างกาล รายงานครั้งสุดท้าย รายงานประจำไตรมาส รายงานการตรวจสอบ สรุป รายงานประจำเดือน ทั่วไป โครงการ รายงานการสอบสวน รายงานด้วยปากเปล่า

  11. ลักษณะของรายงานที่สำคัญลักษณะของรายงานที่สำคัญ รายงานการตรวจสอบ - รายงานหนึ่งหน้าถึงผู้บริหารระดับสูง - รายงานการแก้ไขปรับปรุงถึง ผู้บริหารและผู้เกี่ยวข้อง - รายงานเฉพาะเรื่องถึงผู้บริหารระดับสูง รายงานการติดตาม (2500.A1) - ประเด็นการตรวจสอบที่มีสาระสำคัญ - ระดับความพยายามและต้นทุนในการแก้ไข - ผลกระทบถ้าการแก้ไขล้มเหลว - ระดับความซับซ้อนของการแก้ไข - ระยะเวลาในการแก้ไข - กรณี Residual Risk ไม่เป็นที่ยอมรับของผู้ตรวจสอบฯ ให้พิจารณาร่วมกับฝ่ายบริหาร

  12. จุดประสงค์ของรายงาน เพื่อแนะนำการเปลี่ยนแปลงที่ทำให้มีการควบคุมดีขึ้น เพื่อให้ผู้บริหารทราบประเด็นการควบคุมและความเสี่ยง เพื่อเปลี่ยนการเสนอแนะของผู้ตรวจสอบฯให้เป็นการปฏิบัติจริง เพื่อให้ผู้บริหารทราบปัญหาที่เกิดขึ้น เพื่อให้มั่นใจว่าผลการตรวจสอบเป็นลายลักษณ์อักษร เพื่อสร้างความมั่นใจให้ผู้บริหารในการปฏิบัติงาน เพื่อแสดงให้ผู้บริหารเห็นวิธีการแก้ปัญหา เพื่อให้ข้อมูลเกี่ยวกับการบริหารความเสี่ยง เพื่อป้องกันตัวผู้ตรวจสอบภายใน

  13. กระบวนการรายงาน การวางแผนการตรวจเบื้องต้นและการวางแผนการตรวจสอบที่ได้รับการมอบหมาย การวางจุดประสงค์และขอบเขตของการตรวจสอบ การตรวจสอบการทำตามมาตรฐาน ผู้รับการตรวจได้รับข้อมูลอย่างสม่ำเสมอ ร่างรายงานมีความชัดเจน กระบวนการทบทวนมีประสิทธิผล การประชุมปิดการตรวจสอบมีบรรยากาศที่ดี มีการอธิบายเพิ่มเติมในจุดที่ซับซ้อน มีการตกลงร่วมกันในแผนการแก้ไขกับผู้รับการตรวจ การเตรียมการสำหรับรายงานขั้นสุดท้าย การติดตาม รายงานประจำไตรมาส แผนตรวจสอบประจำไตรมาส รายงานประจำปี แผนตรวจสอบประจำปี

  14. ร่างรายงานต้องมีความชัดเจนร่างรายงานต้องมีความชัดเจน ชัดเจน กระชับ เข้าใจง่าย เยิ่นเย้อ / ไม่ชัดเจน ชัดเจน จากความจริงที่ว่า เพราะ พยายาม ทำดีที่สุด ทดสอบ ประเมิน ทำเร็วที่สุด ทันที อำนวยความสะดวก ช่วย ผลสุดท้าย เสร็จ สำหรับช่วงเวลา สำหรับ ด้วยเหตุผลที่ว่า เพราะ ทำให้เกิดขึ้น เกิด ทำให้เกิดผลในทางปฏิบัติ ทำ

  15. การตกลงร่วมกันในการวางแผนแก้ไขปรับปรุงการตกลงร่วมกันในการวางแผนแก้ไขปรับปรุง ชนิดของการเจรจาตกลง Red: ไม่ยินยอมหรือแข็งกร้าว พฤติกรรมเชิงรุก Blue: โอนอ่อนหรือผ่อนปรน พฤติกรรมเชิงรับ Purple: ตรงกลางหรือหาทางออกเพื่อให้ตกลงกันได้บนพื้นฐานของความถูกต้องและยุติธรรม ขั้นตอนของการเจรจาตกลง Prepare: เราต้องการอะไร? เรามีทางเลือกอื่นๆไหม? Debate: เขาต้องการอะไร? การสื่อสารเป็นเรื่องสำคัญ Propose: เราและเขาสามารถแลกเปลี่ยนอะไรกันได้บ้าง? Purple = สมมุติฐานต้องยอมรับทั้งสองฝ่าย Bargain: เราจะแลกเปลี่ยนอะไรกัน? เน้นในสิ่งที่เขาต้องการแลกเปลี่ยน

  16. ส่วนประกอบของ ICES ICES: Internal Control Evaluation Schedule เป็นตารางแสดงการประเมินระบบควบคุมภายในของผู้ตรวจสอบฯที่แสดง รายละเอียดความเข้มแข็งหรืออ่อนแอของส่วนย่อยภายในระบบฯและเป็นเครื่องมือสำคัญที่ใช้ในการร่างรายงานการตรวจสอบ จุดประสงค์และตัววัดการปฏิบัติงาน กระบวนการในการปฏิบัติงาน ความเสี่ยงของการปฏิบัติงาน จุดบกพร่องของการควบคุม สาเหตุของจุดบกพร่อง ผลกระทบของจุดบกพร่อง ความเห็นโดยรวมของผู้ตรวจสอบฯ รวมทั้งข้อดีและข้อเสียของทางเลือกต่างๆ

  17. ขั้นตอนของ ICES การตรวจสอบฯในภาพรวม รายละเอียดของกระดาษทำการ ตารางสรุปของกระดาษทำการแต่ละชิ้น INTERNAL CONTROL EVALUATION SCHEDULE การประชุมปิดการตรวจสอบ ร่างรายงานการตรวจสอบ รายงานการตรวจสอบ

  18. โครงสร้างของรายงาน เรื่องที่ตรวจ ขอบเขต แผนตรวจสอบ ปฏิบัติจริง ประเด็นที่ตรวจพบ สาเหตุ ข้อบกพร่อง ผลกระทบ / ความเสียหาย แนวทางการแก้ไขปรับปรุง สิ่งที่ต้องเปลี่ยนแปลง องค์ประกอบของรายงาน Section Coverage One ส่วนนี้รวมถึงการสรุป (Executive Summary) Two ส่วนนี้แยกเป็นจุดประสงค์ ขอบเขต วิธีการและงานตรวจสอบที่ทำเสร็จ Three ส่วนนี้แสดงรายละเอียดของเรื่องที่ทำการตรวจสอบและผลการตรวจสอบ Appendices ส่วนนี้แสดงหลักฐานและอื่นๆที่สนับสนุนรายงานและควรให้มีน้อยที่สุด

  19. พื้นฐานที่สนับสนุนความเห็นของผู้ตรวจสอบฯพื้นฐานที่สนับสนุนความเห็นของผู้ตรวจสอบฯ ผลการประเมินระบบควบคุม วัฒนธรรมของการสร้างและใช้ระบบควบคุม ความเสี่ยงที่ยังเหลืออยู่ สาเหตุของปัญหาพื้นฐาน การปฏิบัติตามระบบควบคุม ความเสียหายที่เกิดจากความเสี่ยงที่ยังเหลืออยู่ ข้อแนะนำการแก้ไขและปรับปรุงปัญหาที่ทำได้ในทางปฏิบัติ ความพยายามของฝ่ายบริหารในการแก้ไขและปรับปรุง ผลกระทบที่จะเกิดขึ้นกับแผนการปฏิบัติงานในอนาคต ความเห็นโดยรวม กรณีความกระตือรือร้นของฝ่ายบริหารในการลดความเสี่ยง ข้อมูลอื่นๆที่ไม่เป็นทางการหรือไม่มีเอกสารอ้างอิง

  20. พื้นฐานที่สนับสนุนคำแนะนำของผู้ตรวจสอบฯพื้นฐานที่สนับสนุนคำแนะนำของผู้ตรวจสอบฯ พิจารณาร่วมกับฝ่ายบริหารเรื่องทางเลือกในการแก้ไขปรับปรุงแต่ละชนิด ขจัดอุปสรรคที่อาจทำให้การแก้ไขปรับปรุงมีปัญหา ใช้ Creative Thinking ในการสร้างคำแนะนำ มูลค่าเพิ่มที่อยู่ในรูปตัวเงิน ต้นทุนในการแก้ไขปรับปรุง การเลี่ยงเผชิญหน้ากับฝ่ายบริหารเองที่ทำให้ระบบควบคุมอ่อนแอ การแก้ไขปรับปรุงชั่วคราวอาจดีกว่าการรอแก้ไขระยะยาวหรือไม่แก้ไขเลย เปรียบเทียบน้ำหนักของต้นทุนการแก้ไขปรับปรุงกับต้นทุนของการเสี่ยง การแก้ไขปรับปรุงต้องทำได้ในทางปฏิบัติ

  21. การสอบทานครั้งสุดท้ายการสอบทานครั้งสุดท้าย โครงสร้างและส่วนประกอบของรายงานอยู่ในมาตรฐานที่ตั้งไว้ งานตรวจสอบ สิ่งที่พบและคำแนะนำต้องเชื่อมต่อกันอย่างมีเหตุผล การรายงานควรมีสาระไม่ทำให้ผู้อ่านเกิดความเบื่อหน่าย การแสดงประเด็นที่พบในการตรวจสอบต้องไม่ขึ้นกับอารมณ์ความรู้สึก ประเด็นที่พบในการตรวจสอบต้องชัดเจนและสอบทานโดยผู้รับการตรวจ คำศัพท์ที่ใช้ในรายงานต้องไม่ซับซ้อนหรือยากเกินไปสำหรับผู้อ่าน ตัวสะกดและไวยกรณต้องถูกต้อง รูปแบบรายงานต้องทำให้สมาชิกภายในองค์กรรับรู้ได้ในทันที รูปแบบที่ดูแล้วเป็นรายงานของมืออาชีพและเป็นทางการ ผู้รับการตรวจพึงพอใจและยินดีจ่ายค่าทรัพยากรของสำนักตรวจสอบภายใน

  22. การส่งมอบรายงาน Take Action Secure Action Information Review before Release กรรมการตรวจสอบ X X กรรมการผู้อำนวยการ X รองกรรมการผู้อำนวยการ ผู้อำนวยการ X X X ผู้จัดการฝ่าย X X ผู้จัดการแผนก X

  23. ลักษณะของรายงานที่ดี ร่างรายงานควรทำอย่างต่อเนื่องตลอดระยะเวลาที่เข้าตรวจสอบ แสดงการขอบคุณในความร่วมมือของผู้รับการตรวจ พยายามหลีกเลี่ยงการระบุชื่อตัวบุคคลในรายงาน แผนแก้ไขปรับปรุงที่ผู้รับการตรวจเห็นด้วยควรระบุใน Executive Summary สร้างความสมดุลระหว่างสิ่งที่พบในการตรวจสอบทั้งที่ดีและไม่ดี ควรระบุความคิดเห็นของผู้รับการตรวจในรายงานหรือในภาคผนวก ลักษณะของรายงานเพิ่มมูลค่า ไม่ใช่ระบุเฉพาะข้อบกพร่อง อย่าใช้การแสดงหรือคำศัพท์ที่ยากต่อความเข้าใจของผู้อ่าน รูปแบบของรายงานต้องแสดงถึงความเป็นมืออาชีพ

  24. ลักษณะของรายงานที่ดี (ต่อ) ใช้ข้อเท็จจริงที่เข้าใจและติดตามง่าย การอ้างถึงหลักฐานต้องทำอย่างมีระบบและอยู่บนพื้นฐานของความจริง การแสดงความเห็นอาจอยู่ในรูปของสำนักฯ แทนตัวผู้ตรวจสอบภายใน การเสนอแก้ไขปรับปรุงควรจัดลำดับจากที่สำคัญมากไปน้อย รายละเอียดต่างๆควรอยู่ในภาคผนวกที่มีการอ้างอิงอย่างชัดเจน คำศัพท์และโครงสร้างควรใช้อย่างสม่ำเสมอและต่อเนื่องอย่างมีเหตุมีผล การเชื่อมต่อของคำศัพท์ ประโยคและย่อหน้าควรนำไปสู่ภาพสรุป รูปเล่มของรายงานต้องไม่หรูหราเกินไป แต่ต้องดู Professional รูปเล่มควรอยู่ในลักษณะที่ติดตามง่าย แบ่งส่วนต่างๆโดยใช้กระดาษสี

  25. ลักษณะของรายงานที่ดี (ต่อ) รายงานควรเสร็จเร็วและส่งมอบทันเวลาที่ผู้อ่านคาดหวัง ควรระบุและรับรองความกดดันรวมทั้งข้อจำกัดต่างๆของฝ่ายบริหาร แสดงความชัดเจนในเรื่องการบรรลุจุดประสงค์และขอบเขตของการตรวจสอบ แสดงให้เห็นความเสี่ยงขององค์กรและการตรวจสอบที่ตรงประเด็น คำแนะนำที่หวังผลมากเกินไปอาจไม่เหมาะกับสภาพแวดล้อมของผู้รับการตรวจ “รายงานการตรวจสอบที่ดีขึ้นกับคุณภาพที่ได้จากการตรวจสอบและความร่วมมือของฝ่ายบริหาร”

  26. เทคนิคและข้อควรจำอื่นๆเทคนิคและข้อควรจำอื่นๆ ไม่ควรคิดว่าเก่งกว่าผู้บริหารโดยเฉพาะการปฏิบัติงานในฝ่ายของเขา ไม่ควรช่วยฝ่ายบริหารมากเกินไปจนเสียงานตรวจสอบภายใน ไม่ควรยึดติดกับการแก้ปัญหาเล็กๆน้อยๆหรือเป็น Fire Fighter ไม่ควรสงสัยความสามารถของผู้บริหาร ไม่ควรมีความรู้สึกว่าต้องสอนผู้บริหารทำงาน พิจารณาบทบาทที่แท้จริงของผู้ตรวจสอบฯว่าเป็น Assurance หรือ Consultant The One-Minute Manager: ผู้ตรวจสอบฯทุกคนควรคำนึงถึงเมื่อร่างรายงานฯ อะไรคือสาเหตุ อะไรคือปัญหา ผลกระทบรุนแรงแค่ไหน มีทางแก้อะไรบ้าง วิธีแก้ทำอย่างไร ถ้าไม่ทำจะเกิดอะไรขึ้น

  27. กรณีศึกษา แบ่งผู้เข้าอบรมเป็น 8 กลุ่ม ศึกษาการตรวจสอบภายในของบริษัทตัวอย่าง จัดทำบทคัดย่อ (Executive Summary)ตามแบบฟอร์มที่จัดให้ ถ้าเขียนไม่พอให้ขยายเป็นสองหน้า แต่ละกลุ่มมีเวลาในการศึกษาและเขียนรายงาน 90 นาที แต่ละกลุ่มเลือกตัวแทนและมีเวลาในการ Present รายงาน 5 นาที

  28. Questions Please ? Tel: (089) 919-7000 Email: rockyth@cscoms.com

More Related