1 / 44

“ การควบคุมภายในและการจัดทำรายงานภาคปฏิบัติ ”

“ การควบคุมภายในและการจัดทำรายงานภาคปฏิบัติ ”. บรรยายโดย สุรพงษ์ ชูรังสฤษฎิ์ CIA, CPIA กรรมการสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ผจก.ฝ่ายตรวจสอบ ธนาคารนครหลวงไทย กรรมการตรวจสอบ บมจ.ริชเอเชีย สตีล และวิทยาลัยพยาบาลเซนต์หลุยส์. รู้จักกับการควบคุมภายใน แนวความคิด หลักการ และ

herman-frazier
Download Presentation

“ การควบคุมภายในและการจัดทำรายงานภาคปฏิบัติ ”

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. “การควบคุมภายในและการจัดทำรายงานภาคปฏิบัติ”“การควบคุมภายในและการจัดทำรายงานภาคปฏิบัติ” บรรยายโดย สุรพงษ์ ชูรังสฤษฎิ์ CIA, CPIA กรรมการสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ผจก.ฝ่ายตรวจสอบ ธนาคารนครหลวงไทย กรรมการตรวจสอบ บมจ.ริชเอเชีย สตีล และวิทยาลัยพยาบาลเซนต์หลุยส์

  2. รู้จักกับการควบคุมภายในรู้จักกับการควบคุมภายใน • แนวความคิด • หลักการ และ • การประเมิน และทำ • รายงาน • ทำอย่างไร ? การบรรยาย

  3. ทำไม ต้องมีระบบการควบคุม ? การควบคุมภายใน ? • ทำไม? ต้อง Lock ประตูรถ ก่อนขึ้นตึกไปทำงาน • ทำไม่? ต้อง ให้เซ็นสัญญากู้ ก่อนจ่ายเงินกู้ • ทำไม?ต้องใช้แบบฟอร์มให้ผู้สมัครสมาชิกกรอก • ทำไม? ต้องเก็บสัญญากู้ไว้ในตู้เอกสารและ ล๊อคกุญแจตลอดเวลา • ทำไม? ต้องมีคนค้ำประกัน เมื่อสมาชิกขอกู้ • ทำไม? ต้องออกใบรับ เมื่อรับชำระเงินกู้

  4. O RC O RC O RC O RC O RC O RC O RC O RC O RC O RC แนวทางในการ นำสู่การปฏิบัติ Top-Down 1 2 Bottom-up Process

  5. สามสิ่งที่มีความสัมพันธ์กันสามสิ่งที่มีความสัมพันธ์กัน “The things an organization wants to accomplish” 1 Objective 3. Control 2 Risk “things that help Meet an objective by managing the risk.” “Things that might prevent accomplishment an objective” (CSA: A PRACTICAL GUIDE By Larry Hubbard CIA, CPA, CCSA)

  6. อุปสรรคในการนำระบบ การบริหารความเสี่ยงและการควบคุม มาใช้ในองค์กร • คนในองค์กรมีความเข้าใจเกี่ยวกับ “ความเสี่ยง” ไม่ตรงกัน พูดคนละภาษา • คนในองค์มีทัศนคติในทางลบ- ต่อต้าน • คนในองค์กรเห็นด้วย แต่ไม่ให้ความร่วมมือ • คนในองค์กรอยากจะให้มีการบริหารความเสี่ยงในองค์กร แต่ไม่รู้บทบาท และความรับผิดอบที่ชัดเจน • ไม่รู้แนวทาง เป้าหมายและวิธีปฏิบัติที่ชัดเจน

  7. Institute of Management Accountants American Institute of CPA Financial Executive Institute American Accounting Association The Institute of Internal Auditor

  8. ความหมาย ของการควบคุมภายใน คือ กระบวนการที่ออกแบบไว้ โดยคณะกรรมการ ฝ่ายบริหารและทุกคนในองค์กร เพื่อให้เกิดความเชื่อมั่นอย่างสมเหตุสมผล ในการบรรลุวัตถุประสงค์ 3 ประการ • 1. ประสิทธิภาพ และประสิทธิผลในการดำเนินงาน (Effective / Efficient operations) •  ได้ผลตามเป้าหมายที่กำหนดไว้ ทั้งด้านปฏิบัติงานและการทำกำไร  ปราศจากความสูญเสีย หรือความเสียหายที่รุนแรง  ความเชื่อถือได้ของข้อมูลสำหรับการบริหาร 2. ความน่าเชื่อถือได้ของรายงานทางการเงินReliable financial reporting  Protecting creditability, reputation and shareholder value  Safeguarding of resources 3. ปฏิบัติได้ถูกต้องตามกฎหมายและข้อกำหนดของทางการCompliance with laws and regulations

  9. องค์ประกอบของการควบคุมภายในองค์ประกอบของการควบคุมภายใน  CONTROL ENVIRONMENT สภาพแวดล้อมการควบคุม  the tone at the top, the foundation for other components  RISK ASSESSMENT การประเมินความเสี่ยง  significance in monetary terms or in terms of the image or reputation of the entity  possibility of the risk occurring  how to mitigate the impact of the risk and reduce exposures to acceptable levels  CONTROL ACTIVITIES กิจกรรมการควบคุม  including operating controls, financial information controls and compliance controls  INFORMATION AND COMMUNICATION สารสนเทศและการสื่อสาร  both internally and externally  MONITORING การติดตามผล / เฝ้าระวัง  on both an ongoing basis and periodic basis

  10. THE ACCOUNTABILITY PROCESS (= GOVERNANCE) ทุกหย่างจำเป็นต้องกำหนดไว้ มิฉนั้นการดำเนินงานนั้นจะสูญเปล่า ไม่มีความหมาย Monitor Goal To complete the loop, is continuous monitoring สภาพแวดล้อม ความมุ่งหมาย ของแต่ละองค์กรมีความแตกต่างกัน ดังนั้นการยอมรับความเสี่ยงย่อมแตกต่างกัน๖(appetite) เช่น compliance vs profitability Implement Controls Wheel depicts the cycle that controls need to be revised & updated as goals change Risk Assessment Identify Controls After undertaking the risk assessment, then identify & implement controls

  11. COSO CONTROL COMPONENTS  Multi-layered and building block Management’s monitoring of the internal control systems to assess the quality of the systems performance over time. 5 Interrelated Control Components Control activities which are the policies and procedures throughout the organisation to help ensure management directives and risk mitigation strategies are carried out. Management’s identification and assessment of relevant risks from all sources related to the achievement of established objectives. Management may avoid, diversity, control, share, transfer or accept risks. Control environment refers to the foundation for all other components of internal control. Broadly divided into hard controls (organisational structure, assignment of authority and responsibility, and HR policies and practices) and soft controls ( ethics, commitment to competence and management operating style). Information required to run and control the business including those for business decision making and external reporting. Communication includes internal communication throughout the organisation and interactions with all external parties.

  12. CONTROL ENVIRONMENT  Foundation of the internal control component  Need the right environment for people to function  The environment must be addressed before the other four components  A business structure which reflects the existence of proper controls  Integrity and ethical values  Management Philosophy / Operating Style / Operating Environment  Personal Responsibility / Accountability  Corporate Culture  Organisational Structure  Business Code of Conduct  Board of Directors Attention / Direction  Selective Hiring Practices  People Training

  13. Excessive Risks • Loss of Assets • Poor Business Decisions • Non-Compliance •  Scandals • Excessive Controls •  Bureaucracy •  Complexity •  Cycle Time •  Non-Value Added Activities •  Production Risks vs Control “Balancing Act” RISK ASSESSMENT  Risk is a potential problem or loss  Controls are guidelines and actions to cover risk and ensure management’s objectives are achieved.  Everyone is responsible for control ! What is RISK ? The possibility that an organisation will not:  Achieve its goals  Operate effectively and efficiently  Protect itself from loss  Provide reliable financial data  Comply with laws Note the reference to the three objectives of internal control and business objectives

  14. M79 M79 M79 M79 M79 M79 คำนี้หมายถึงอะไร? • ความเสี่ยง (Risk) “ความเป็นไปได้ที่เหตุการณ์ใดเหตุการณ์หนึ่งเกิดขึ้น และเป็นอุปสรรคต่อการบรรลุวัตถุประสงค์ขององค์กร” • Inherent Risk (ความเสี่ยงที่มีอยู่ปกติทั่วไป) • Residual Risk (คว่ามเสี่ยงคงเหลือ) • Risk Management กระบวนการรับรู้และจัดการกับความเสี่ยง ขององค์กร “ความเป็นไปได้ที่จะเกิดเหตุการณ์ที่เป็นอุปสรรคต่อการบรรลุเป้าหมายขององค์กร ความเสี่ยงวัดได้จากผลกระทบที่ได้รับจากเหตุการณ์ และโอกาสที่เกิดเหตุการณ์นั้น” (มาตรฐานวิชาชีพตรวจสอบภายใน IIA) Risk Risk Control Risk Risk Risk Risk Inherent Risk Residua Risk

  15. Identify Analyse Assess Monitor & Review Likelihood Impact Treat RISK ASSESSMENT - RISK METHODOLOGY  The identification & analysis of relevant risks to the achievement of objectives for determining how risks should be managed  Determine what can go wrong ?  Identify risk  Source of risk  Potential problem or loss  Not the absence of control ! (risks exist whether or not controls are present!!)  What is the risk likelihood ?  What is the impact of risk ?  Impact & likelihood must be balanced with “what can go wrong” before controls are implemented !

  16. วัดระดับความเสี่ยง 5 10 15 20 25 R4 5 R1=Risk1 R2=Risk2 R3=Risk3 R4=Risk4 R5=risk5 4 8 12 16 20 R5 4 ความสูญเสีย 3 6 9 12 15 R1 3 4 2 R2 6 8 10 2 Risk Mapping 1 2 3 4 5 R3 1 1 2 3 4 5 R.. โอกาส =ความเสี่ยงที่ระบุมาลำดับที่ จาก คำแนะนำ มาตรฐานการควบคุมภายในภาคปฏิบัติ หน้า 10

  17. Identify Analyse Assess Monitor & Review Likelihood Impact Treat RISK ASSESSMENT - RISK MANAGEMENT TECHNIQUES Common Risk Management Techniques:  Avoid Redesign the process to avoid particular risks with the plan of reducing overall risk  DiversifySpread the risk among numerous assets or processes to reduce the overall risk of loss or impairment  Control Design activities to prevent, detect or contain adverse events or to promote positive outcomes  Share Distribute a portion of the risk through a contract with another party, such as insurance  Transfer Distribute all of the risk through a contract with another party, such as outsourcing  Accept Tolerate minor risks when the cost of managing them is greater than the potential harm

  18. CONTROL ACTIVITIES  Control activities are the guidelines and actions taken to ensure management directives accomplished.  Control activities cover risks  Examples of control activities  Approvals with appropriate authorisation limits / Delegation Of Authorities  Segregation of incompatible duties  Physical and electronic security authentication  Third party internal control / compliance reviews  Corporate strategic objectives  Management / Legal / Finance Contracts review  Reconciliation of accounts between parent and subsidiary systems

  19. CONTROLS  CONTROL is any action taken by management to enhance the likelihood that established objectives and goals will be achieved. Management plans, organises, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved. Thus, control is the result of proper planning, organising, and directing by management.  Preventive Controls are actions taken to deter undesirable events from occurring.  Detective Controls are actions taken to detect and correct undesirable events which have occurred.  Mandatory Controls are automated controls which are coded into hardware or software. These controls are unavoidable.  Discretionary Controls (สุขุม) are people dependent controls which may be automated or manual and are not optional.  Directive Controls are actions taken to cause or encourage a desirable event to occur.  Adequate Control is present if management has planned and organised (designed) in a manner which provides reasonable assurance that the organisation's objectives and goals will be achieved efficiently and economically.  Effective Control is present when management directs systems in such a manner as to provide reasonable assurance that the organisation's objectives and goals will be achieved.

  20. INFORMATION & COMMUNICATION SYSTEMS  Pertinent information must be communicated in a form and timeframe that enables accomplishment of control objectives.  Communication occurs down, across and up the organisation  Enhances reliability of all components of Internal Control  Examples of communication:  Mission, Objectives & Values Posters in Visible Areas  1:1s Staff Meetings  Code of Conduct - Translation  Audit Reporting Activities

  21. MONITORING  Actions taken by management and others to assess the quality of internal control system performance over time. (ie. Measures the control coverage of exposures)  Examples of Monitoring  Management Review of Financial & Operational Reporting  Audit & Finance Committee / Board of Directors Reviews  Internal / External Audits  Customer Satisfaction Surveys  Project Reviews  Reasons for Continuous Monitoring  การหมุนเวียนของผู้บริหาร  New Technology  ข้อกำหนดที่เปลี่ยน/เพิ่ม  ทัศนคติของสังคม  Additional Monitoring Activities  Evaluation of trends  Review of reconciliations  Verify supporting documents  Follow-up on complaints

  22. Monitoring Information Control & Activities Risk Risk Assessment Assessment Communication Control Control Environment Environment COSO –IC IF Soft Control : • ความสามารถ • ความซื่อสัตย์และจริยธรรม • ภาวะผู้นำที่ดี • ความรับผิดชอบร่วม • มีใจกว้างยอมรับความคิดเห็นของผู้อื่น • วินัยในการทำงาน Hard Control : • นโยบายและวิธีการปฏิบัติงาน • โครงสร้างองค์กร • การมอบหมายอำนาจ • การกระทบยอด • การสอบทาน I/O • การตรวจดู O F C Institute of Management Accountants American Institute of CPA American Accounting Association Financial Executive Institute The Institute of Internal Auditor

  23. Challenge what doesn’t make sense & plug the gaps Analyse and identify control gaps Identify and assess existing controls Complete risk assessment  What is the impact ?  What is the likelihood ? Define & document the process flow Identify areas of concern Ask Questions  What can go wrong ? MAKING VALUE ADDED CONTROLS A REALITY  Control process should be about adding value (rule: add control = add value)  Assume ownership: drive change  Act within your sphere of influence  Start by taking a step-by-step approach

  24. IIA DEFINITIONS  Control Environment - refers to the attitude and actions of the board and management regarding the significance of control within the organisation. The control environment provides the discipline and structure for the achievement of the primary objectives of the system of internal control. The control environment includes the following elements:  Integrity and ethical values.  Management’s philosophy and operating style.  Organisational structure.  Assignment of authority and responsibility.  Human resource policies and practices.  Competence of personnel.  Risk Assessment is a systematic process for assessing and integrating professional judgements about probable adverse conditions and/or events. The risk assessment process should provide a means of organising and integrating professional judgements for development of the work schedule.  Monitoring - Actions taken by management and others to assess the quality of internal control system performance over time.

  25. COSO Component Coverage High Level Activity Level

  26. ควบคุม ด้วยอะไร? • ใช้เครื่อง (เช่น Computer) ช่วยคุมคน หรือทำแทนคน • จัดโครงสร้างองค์กร เพื่อให้เกิดการควบคุม “คนคุมคน” ระบบงานคุมคือแบ่งแยกหน้าที่และความรับผิดชอบให้ชัดเจน • จัดขั้นตอนในระบบงาน เพื่อให้เกิดการควบคุม –มีขั้นตอนเพื่อการควบคุม อยู่รวมในขั้นตอนปฏิบัติงาน • จัดเครื่องมือต่าง เช่น ทำแบบฟอร์ม ทะเบียนเพื่อบันทึก ลำดับเลขที่ล่วงหน้า..........

  27. กรอบปฏิบัติ ข้อห้าม (โอกาส/ผลกระทบ) กฎเกณฑ์ 1. • สิ่งที่ต้องการควบคุม? เช่น • ไม่ให้เกินเวลา • ไม่ให้ใช้สิ้นเปลือง • ไม่ให้เกิดทุจริต • ไม่ให้ผิดกฎหมาย • Built-in “Control Step” • Control Tool & Technique : • Pre-number/Form • Review /Re-compute • Approval • Confirmation/Counting • Document Control2Checklist ขั้นตอน 2. ติดตามผล 3. • Management Reporting • Management Control การควบคุมที่ออกแบบไว้ Control Environment การติดตามผล

  28. TOP DOWN (Monitoring) BOTTOM UP (Feedback) Information & Communication คนคุมคน?

  29. COMPLIANCE STRATEGIC REPORTING OPERATIONS 5. Monitoring Internal Environment Objective Setting Information 3.Control SUBSIDIARY Event Identification & Activities BUSINESS UNIT DIVISION Risk Assessment ENTITY - LEVEL 2. Risk Risk Risk Response 4. Communication Assessment Assessment Control Activities Information and Communication Control 1. Control Monitoring Environment Environment ERM IC -IF Risk Risk Risk Risk • Financial Reporting • Compliance • Operations

  30. ERM is a Continuous Process • Organizations must be constantly scanning and monitoring their internal and external environments • Provides a robust foundation for continuous improvement resulting in a repeatable process

  31. KRI ตัวบ่งชี้ความเสี่ยง • คือ “อาการ” ที่บอกว่าอาจเกิดจาก การจัดการความเสี่ยงไม่ได้ผล หรือมีความเสี่ยงเกิดขึ้น เช่น “เป็นไข้ ตัวร้อน” อาจเป็น 2009 “ปริมาณข้อร้องเรียน” อาจเป็น บริการไม่สุภาพ “ปริมาณ Defect” อาจเป็นวัตถุดิบ เครื่อง มีปัญหามีผลให้ต้นทุนสูญเสีย สินค้าไม่ปลอดภัยต่อผู้บริโภค “ จำนวนครั้งที่ถูกเตือน” อาจเป็น ฝ่าฝืนข้อกำหนดของทางการ-ถูกปรับ จับ

  32. FULL ข้อพิจารณาในการกำหนด KRI • มี “นัยสำคัญ” ต่อความเสี่ยงที่ระบุไว้จริงๆ • มีข้อมูลที่สามารถนำมาวัดผลได้อย่างชัดเจน • ผลการประมวลมีความน่าเชื่อถือ

  33. การเฝ้าระวังทำอย่างไร?การเฝ้าระวังทำอย่างไร? • กำหนด “KRI”สำหรับความเสี่ยงแต่ละตัวที่ระบุไว้ • กำหนดระดับของ KRI ที่ยอมรับได้ • กำหนดวิธีการรายงานให้กับศูนย์กลาง • กำหนดวิธีปฏิบัติเมื่อ KRI เกินกว่าระดับที่ยอมรับได้

  34. สภาพแวดล้อมการควบคุม หรือโครงสร้างการควบคุม • การกำหนดเป้าหมาย และวัตถุประสงค์ของหน่วยงาน และงานในหน่วยงาน ชัดเจนและสอดคล้องกัน • การแบ่งแยกหน้าที่ และมอบหมายความรับผิดชอบ ชัดเจนและครอบคลุมทุกกิจกรรมที่มี • เกณฑ์ปฏิบัติ ระเบียบวิธีปฏิบัติงาน นโยบาย คู่มือ แนวทาง ทุกงานที่รับผิดชอบ • คุณสมบัติของบุคลากรและอัตรากำลัง แต่ละตำแหน่งงานถูกกำหนดไว้ และเป็นไปตามที่กำหนด • มีข้อห้ามเกี่ยวกับผลประโยชน์ทับซ้อน

  35. Worksheet#1 Step 1 Step 2 Step 3

  36. ควบคุม ด้วยอะไร? • ใช้เครื่อง (เช่น Computer) ช่วยคุมคน หรือทำแทนคน • จัดโครงสร้างองค์กร เพื่อให้เกิดการควบคุม-แบ่งแยกหน้าที่และความรับผิดชอบให้ชัดเจน • จัดขั้นตอนในระบบงาน เพื่อให้เกิดการควบคุม –มีขั้นตอนเพื่อการควบคุม อยู่รวมในขั้นตอนปฏิบัติงาน • จัดเครื่องมือต่าง เช่น ทำแบบฟอร์ม ทะเบียนเพื่อบันทึก ลำดับเลขที่ล่วงหน้า..........

  37. เกี่ยวกับ “คน” การแบ่งแยกหน้าที่ การสับเปลี่ยนโยกย้าย การบังคับให้ลาพักผ่อน การจำกัดเขตหวงห้าม การกำหนดขอบเขต(Limit) การติดตามพฤติกรรม การกำหนดหลักปฏิบัติตน เกี่ยวกับ “ระบบ” การควบคุมคู่ การทำงานร่วมกัน (Joint Custody) การควบคุมโดยรหัส(Code) การควบคุมโดยหมายเลข แจ้งตัวอย่างลายมือชื่อ ใช้สัญลักษณ์ การรายงาน จัดระบบความปลอดภัย การพิสูจน์ยอดอย่างอิสระ กลไกการควบคุมภายในองค์กร

  38. เครื่องมือการประเมินระบบการควบคุมภายใน(Tradition Tools for Evaluating Control Design) • Narrative – คำอธิบาย ง่ายในการใช้ แต่ถ้าระบบซับซ้อน ไม่ชาญ จะเป็นปัญหา ประเมินด้านสภาพแวดล้อมได้ • “Internal Control Questionnaires (ICQ)” – แบบสอบถามด้านการควบคุม(คำถามถึงผลโดยตรง กับ คำถามเพื่อประเมินผล) เป็นมาตรฐานดี แต่จำกัดความคิดของคนตอบ อาจไม่เข้าใจคำถาม คำตอบ • Flowchart – ผังระบบงาน ง่ายในการพิจารณา แต่ใช้เวลามากและประเมินได้เฉพาะ “Hard Control” (เพราะฉะนั้น ที่ดีต้องประเมินทั้ง Hard & Soft Control) (IIA’s WB Value-add Business)

  39. ผลสรุปจากการประเมิน “ความเพียงพอ” และ “มีประสิทธิผล” • Adequacy: Determine if the process, as designed, provides reasonable assurance • Effectiveness: Determine whether the process is functioning as intended

  40. ประเด็น การประเมิน

  41. 1-3 1-3 1-3 Check จัดสินค้า บันทึกจ่าย ลงนามรับ จ่ายสินค้า Review วิเคราะห์ Workflow เพื่อประเมินระบบการควบคุม

  42. รายงานการติดตามการปฏิบัติตามแผนการปรับปรุงการควบคุมภายในของงวดก่อน-ระดับส่วนงานย่อยรายงานการติดตามการปฏิบัติตามแผนการปรับปรุงการควบคุมภายในของงวดก่อน-ระดับส่วนงานย่อย = ดำเนินการแล้วเสร็จตามกำหนด X = ยังไม่ดำเนินการ O = อยู่ระหว่างดำเนินการ = ดำเนินการแล้วเสร็จล่าช้ากว่ากำหนด

  43. การประเมินการควบคุมภายในการประเมินการควบคุมภายใน การประเมินผล ดี/ไม่ดีอย่างไร? ระดับ ความเสี่ยง วัตถุประสงค์ O,F,C การควบคุมที่มี จุดอ่อน/สาเหตุ ความเสี่ยงที่ยังมีอยู่และสาเหตุ (= IR – EC ) เรื่อง/วัตถุประสงค์การควบคุม การปรับปรุงการควบคุม Activity Level

  44. ขอบคุณครับ Surapong@scib.co.th

More Related