750 likes | 1.62k Views
Professional Standards and Certifications . (Brink's ch.12, 28 & 29) โครงการอบรมเพื่อเตรียมตัวเป็นผู้ตรวจสอบภายในรับอนุญาต รุ่นที่ 1 5 The IIA’s Endorsed Internal Auditing Program ( EIAP ) คณะพาณิชยศาสตร์และการบัญชี จุฬาลงกรณ์มหาวิทยาลัย 1 8 สิงหาคม 25 50 8:30-11:30 น.
E N D
Professional Standards and Certifications (Brink's ch.12, 28 & 29) โครงการอบรมเพื่อเตรียมตัวเป็นผู้ตรวจสอบภายในรับอนุญาต รุ่นที่ 15The IIA’s Endorsed Internal Auditing Program (EIAP) คณะพาณิชยศาสตร์และการบัญชี จุฬาลงกรณ์มหาวิทยาลัย 18 สิงหาคม 25508:30-11:30น.
วัตถุประสงค์การเรียนรู้วัตถุประสงค์การเรียนรู้ • ทำความรู้จักกับวิชาชีพ • ทำความรู้จักกับมาตรฐานงานตรวจสอบภายใน • ทำความรู้จักกับจรรยาบรรณผู้ตรวจสอบภายใน • ทำความรู้จักกับวุฒิบัตรในวิชาชีพงานตรวจสอบภายใน
แนะนำวิทยากร ไพรัช ศรีวิไลฤทธิ์ CIA CISA CBA CCSA CFSA CISSP หัวหน้าตรวจสอบภายใน บมจ. ทิสโก้ไฟแนนเชียลกรุ๊ป • ปริญญาตรีวิศวกรรมศาสตร์ จุฬาฯ (2528) • ปริญญาโทบริหารธุรกิจ ธรรมศาสตร์ฯ (2533) • IIA’s EIAP รุ่นที่ 7 จุฬาฯ (2546) • ประสบการณ์ด้านวิศวกรรม 5 ปี • ประสบการณ์ด้านการเงินในทิสโก้ 18 ปี • ประธาน ชมรมผู้ตรวจสอบภายในธนาคารและสถาบันการเงิน • กรรมการ สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ - ภาคพื้นกรุงเทพฯ • วิทยากรและคณะทำงาน สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย
กิจกรรมการตรวจสอบภายในกิจกรรมการตรวจสอบภายใน • การตรวจสอบภายใน คือ การให้ความเชื่อมั่นและการให้คำปรึกษา อย่างเที่ยงธรรมและเป็นอิสระ เพื่อเพิ่มคุณค่าและปรับปรุงการดำเนินงานขององค์กร การตรวจสอบภายในช่วยให้องค์กรบรรลุเป้าหมาย ด้วยการประเมินและปรับปรุงประสิทธิผลของกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแล อย่างเป็นระบบ และเป็นระเบียบ ตามมาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายใน, 2009, The Institute of Inter Auditors (IIA)
บทบาทหน้าที่ผู้ตรวจสอบภายในบทบาทหน้าที่ผู้ตรวจสอบภายใน คณะกรรมการตรวจสอบ มอบหมาย องค์กร ผู้ถือหุ้น คณะกรรมการ ผู้บริหาร ผู้ตรวจสอบภายใน สื่อสาร ผู้สอบบัญชี หน่วยงานกำกับดูแลของทางการ ผู้มีส่วนได้เสียอื่น มอบหมาย สาธารณชน
ประเภทการตรวจสอบ Financial Compliance Operational ยืนยันความถูกต้องเชื่อถือได้ของรายงานทางการเงิน ระบุการปฏิบัติตามนโยบาย กฎระเบียบ และกฎหมาย ประเมินและปรับปรุงการปฏิบัติงานให้มี ประสิทธิภาพ ประสิทธิผล และประหยัด วัตถุประสงค์ หน่วยงานกำกับดูแลของทางการ ผู้รับรายงาน: ผู้ถือหุ้น ผู้บริหาร ทิศทาง: อดีต อดีต ปัจจุบันและอนาคต วิสัยทัศน์ ภารกิจ และวัตถุประสงค์ขององค์กร และผู้บริหาร วัตถุประสงค์ของรายงานทางการเงินเช่น มาตรฐานบัญชี มาตรฐาน วินัยพนักงาน นโยบายภายใน กฎระเบียบที่เกี่ยวข้อง หลักการที่ใช้อ้างอิง: การตรวจสอบประจำปีโดยผู้สอบบัญชี - อาจสนับสนุนโดยงานตรวจสอบภายใน งานตรวจสอบอื่นๆ ตรวจหน่วยงาน กระบวนการ ระบบสารสนเทศ และการปฏิบัติงานต่างๆ การตรวจการปฏิบัติตามสัญญา การสอบทานมาตรฐานการทำงาน การเข้าตรวจโดยทางการ ตัวอย่าง: 6 3/12/2014
การเตรียมการสำหรับงานตรวจสอบการเตรียมการสำหรับงานตรวจสอบ การรายงานผลการตรวจสอบและการติดตามผล การทดสอบ เพิ่มเติม และเรื่องที่ตรวจพบ การสำรวจเบื้องต้นและการสอบทานระบบการควบคุม การวางแผนการตรวจสอบ กระบวนการตรวจสอบ การประเมินความเสี่ยง แผนระยะยาว แผนประจำปี ผังทางเดินเอกสาร (Document Flowchart) แบบสอบถามการควบคุม (ICQ) แนวการตรวจสอบ (Audit Program) รายงานผลการตรวจสอบ รายงานการติดตามผล หนังสือแจ้งผู้รับตรวจ แผนภารกิจ กระดาษทำการ ประเด็นการตรวจสอบ (อ.1 น.118)
Professional Practices Framework Code of Ethics Attribute Standards • Objectivity & Independence • Professional Proficiency • Compliance with Standards Performance Standards Managing Internal Auditing • Implementation Standards Implementation Standards Processes Assurance Services Internal Auditing Definition Internal Auditing Definition Consulting Services • Assessing Risk, Control, Governance Processes • Planning the Engagement • Testing and Analyzing Data • Evaluating Evidential Matter • Communicating Results of Work Guidance - Practice Advisories Guidance - Other
Professional Practices Framework • Mandatory Guidance Definition of Internal Auditing Code of Ethics Standards • Non-mandatory Guidelines – Practice Advisories • Development and Practice Aids OH 2-5
The Standards มาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายใน (International Standards for the Professional Practice of Internal Auditing) • มาตรฐานด้านคุณสมบัติ (Attribute Standards)(1000-1300) • มาตรฐานการปฏิบัติงาน (Performance Standards)(2000-2600) • มาตรฐานการนำไปปฏิบัติ (Implementation Standards) (e.g. 1000.A1, 1000.C1) OH 2-6
The Standards มาตรฐานด้านคุณสมบัติ (Attribute Standards) 1000 - วัตถุประสงค์ อำนาจหน้าที่ และความรับผิดชอบ 1100 –ความเป็นอิสระและความเที่ยงธรรม 1200 –ความเชี่ยวชาญและความระมัดระวังเยี่ยงวิชาชีพ 1300 –โครงการประกันและปรับปรุงคุณภาพ OH 3-7
The Standards มาตรฐานการปฏิบัติงาน (Performance Standards) 2000 –การจัดการกิจการการตรวจสอบภายใน 2100 –ลักษณะของงาน 2200 –การวางแผนภารกิจ 2300 –การปฏิบัติภารกิจ 2400 –การรายงานผล การปฏิบัติภารกิจ 2500 –การติดตามผลการตรวจสอบ 2600 –ข้อยุติการยอมรับความเสี่ยงของฝ่ายจัดการ OH 3-8
List of Practice Advisories • PA-1000-1 : Internal Audit Charter • PA-1110-1 : Organizational Independence • PA-1111-1 : Board Interaction • PA-1120 : Individual Objectivity • PA-1130 : Impairment to Independence or Objectivity • PA-1130.A1-1 : Assessing Operations for Which Internal Auditors Were Previously Responsible • PA-1130.A2-1 : Internal Audit's Responsibility for Other (Non- audit) Functions • PA-1200-1 : Proficiency and Due Professional Care • PA-1210-1 : Proficiency • PA-1210.A1-1 : Obtaining External Service Providers to Support or Complement the Internal Audit Activity • PA-1220-1 : Due Professional Care • PA-1230-1 : Continuing Professional Development OH 3-9
List of Practice Advisories • PA-1300-1 : Quality Assurance and Improvement Program • PA-1310-1 : Requirements of the Quality Assurance and Improvement Program • PA-1311-1 : Internal Assessments • PA-1312-1 : External Assessments • PA-1312-2 : External Assessments-Self-assessment with Independent Validation • PA-1321-1 : Use of "Conforms with the International Standards for the Professional Practice of Internal Auditing" • PA-2010-1 : Linking the Audit Plan to Risk and Exposures • PA-2020-1 : Communication and Approval • PA-2030-1 : Resource Management • PA-2040-1 : Policies and Procedures • PA-2050-1 : Coordination • PA-2060-1 : Reporting to Senior Management and the Board OH 3-9
List of Practice Advisories • PA-2120-1 : Assessing the Adequacy of Risk Management Processes • PA-2130-1 : Assessing the Adequacy of Control Processes • PA-2130.A1-1 : Information Reliability and Integrity • PA-2130.A1-2 : Evaluating an Organization's Privacy Framework • PA-2200-1 : Engagement Planning • PA-2210-1 : Engagement Objectives • PA-2210.A1-1 : Risk Assessment in Engagement Planning • PA-2230-1 : Engagement Resource Allocation • PA-2240-1 : Engagement Work Program • PA-2330-1 : Documenting Information • PA-2330.A1-1 : Control of Engagement Records • PA-2330.A2-1 : Retention of Records • PA-2340-1 : Engagement Supervision OH 3-9
List of Practice Advisories • PA-2410-1 : Communication Criteria • PA-2420-1 : Quality of Communications • PA-2440-1 : Disseminating Results • PA-2500-1 : Monitoring Progress • PA-2500.A1-1 : Follow-up Process OH 3-9
Global Technology Audit Guide • GTAG-1 : Information Technology Controls • GTAG-2 : Change and Patch Management Controls Critical for Organizational Success • GTAG-3 : Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment • GTAG-4 : Management of IT Auditing • GTAG-5 : Managing and Auditing Privacy Risks • GTAG-6 : Managing and Auditing IT Vulnerabilities • GTAG-7 : Information Technology Outsourcing • GTAG-8 : Auditing Application Controls • GTAG-9 : Identity and Access Management • GTAG-10 : Business Continuity Management • GTAG-11 : Developing the IT Audit Plan OH 3-9
Guide to Assessment of IT Risk Describes the relationships among risk to the financial statements, key controls within business processes, automated controls and other critical IT functionality, and key controls within IT general controls (ITGC). • The GAIT Methodology • GAIT for IT General Control Deficiency Assessment • GAIT for Business and IT Risk OH 3-9
มาตรฐานด้านคุณสมบัติ • 1000 – วัตถุประสงค์ อำนาจหน้าที่ และความรับผิดชอบ ควรกำหนดให้ชัดเจนไว้ในกฎบัตรสอดคล้องกับมาตรฐานและได้รับอนุมัติจากคณะกรรมการ 1000.A1 – การตรวจสอบภายในที่มีลักษณะเป็นงานบริการให้ความเชื่อมั่นควรกำหนดในกฎบัตรและหากมีการให้บริการแก่ภายนอกก็ควรระบุในกฎบัตรเช่นกัน 1000.C1 – การตรวจสอบภายในที่มีลักษณะเป็นงานบริการให้คำปรึกษา ควรระบุไว้ในกฎบัตร • 1010 – กำหนดนิยามของงานตรวจสอบ จรรยาบรรณ และมาตรฐานไว้ในกฎบัตร
มาตรฐานด้านคุณสมบัติ • 1100 – ความเป็นอิสระและความเที่ยงธรรม การปฏิบัติงานตรวจสอบภายในควรมีความเป็นอิสระ และผู้ตรวจสอบภายในควรปฏิบัติงานในหน้าที่ด้วยความเที่ยงธรรม • 1110 – ความเป็นอิสระภายในองค์กร CAE ควรขึ้นตรงต่อผู้บริหารในระดับที่เอื้ออำนวยให้การปฏิบัติงานตรวจสอบภายในสามารถดำเนินไปได้อย่างเต็มที่ 1110.A1 – กิจกรรมการตรวจสอบภายในควรปลอดจากการแทรกแซงใด ๆ • 1120 – ความเที่ยงธรรมของผู้ตรวจสอบ ผู้ตรวจสอบภายในควรมีทัศนคติที่เป็นกลางไม่ลำเอียงและไม่มีอคติ และหลีกเลี่ยงในเรื่องของความขัดแย้งทางผลประโยชน์ (Conflicts of Interest)
มาตรฐานด้านคุณสมบัติ • 1130 – เหตุบั่นทอนความเป็นอิสระหรือความเที่ยงธรรม ควรเปิดเผยรายละเอียดของเหตุบั่นทอนต่อผู้เกี่ยวข้อง 1130.A1 –ควรละเว้นการประเมินงานที่ตนเองเคยรับผิดชอบในรอบปีที่ผ่านมา 1130.A2 – ภารกิจให้ความเชื่อมั่นแก่กิจกรรมที่ CAE รับผิดชอบควรดำเนินการโดยหน่วยงานอื่น 1130.C1 –ให้บริการให้คำปรึกษาในงานที่ตนเองเคย รับผิดชอบมาก่อนได้ 1130.C2 – ควรเปิดเผยเหตุบั่นทอนความเป็นอิสระหรือความเที่ยงธรรมในงานบริการให้คำปรึกษาใดๆ ให้ผู้รับบริการได้รับทราบก่อนรับภารกิจ
มาตรฐานด้านคุณสมบัติ • 1200 – ความเชี่ยวชาญและความระมัดระวังเยี่ยงวิชาชีพ • 1210 – ความเชี่ยวชาญเยี่ยงวิชาชีพ ควรมีความรู้ ทักษะ และความสามารถ ที่จำเป็น 1210.A1 – CAE ควรขอความช่วยเหลือจากภายนอก หากพนักงานขาดความรู้ ทักษะ และความสามารถอื่นที่จำเป็น 1210.A2 –ควรมีความรู้เพียงพอที่สามารถระบุข้อบ่งชี้ของการทุจริต แต่ไม่จำเป็นต้องเชี่ยวชาญเท่าผู้มีหน้าที่โดยตรง 1210.A3 –ควรมีความรู้ทั่วไปเกี่ยวกับความเสี่ยง การควบคุมเกี่ยวกับเทคโนโลยีสารสนเทศ และเทคนิคการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ 1210.C1 –ควรปฏิเสธภารกิจหากพนักงานขาดความรู้ที่จำเป็นต่อการให้บริการให้คำปรึกษา
มาตรฐานด้านคุณสมบัติ • 1220 – ความระมัดระวังเยี่ยงวิชาชีพ 1220.A1 – ผู้ตรวจสอบภายในควรปฏิบัติหน้าที่โดยคำนึงถึงการขยายขอบเขตของงานที่ตรวจสอบ ความซับซ้อน ความมีนัยสำคัญ และความสำคัญของงานความเพียงพอและประสิทธิผลของกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลความเป็นไปได้ที่จะเกิดข้อผิดพลาด ความคุ้มค่าแก่องค์กร 1220.A2 –ควรพิจารณาใช้คอมพิวเตอร์ และเทคนิคการวิเคราะห์ข้อมูลอื่นๆ เป็นเครื่องมือช่วย 1220.A3 –ตระหนักถึงความเสี่ยง 1220.C1 –ควรให้คำปรึกษาด้วยความระมัดระวังเยี่ยงวิชาชีพ • 1230 – การพัฒนาวิชาชีพอย่างต่อเนื่อง
มาตรฐานด้านคุณสมบัติ • 1300 – โครงการประกันและปรับปรุงคุณภาพ เพื่อให้เชื่อมั่นว่างานตรวจสอบปฏิบัติสอดคล้องกับ มาตรฐาน และ ประมวลจรรยาบรรณ • 1310 – การประเมินโครงการประกันและปรับปรุงคุณภาพ ควรกำหนดกระบวนการในการติดตามผลและประเมินประสิทธิผลโดยรวมของโครงการประกันและปรับปรุงคุณภาพ • 1311 – การประเมินภายในองค์กร ประกอบด้วย การสอบทานตามปกติ และการสอบทานเป็นระยะโดยใช้วิธีประเมินตนเอง หรือโดยบุคคลอื่นภายในองค์กร • 1312 – การประเมินจากภายนอกองค์กร เช่น การสอบทาน การประกันคุณภาพ อย่างน้อยทุกห้าปีต่อครั้งโดยผู้ประเมินที่มีคุณสมบัติเหมาะสมและมีความเป็นอิสระ
มาตรฐานด้านคุณสมบัติ • 1320 – การรายงานผลการประเมินโครงการประกันและปรับปรุงคุณภาพ CAE ควรรายงานผลต่อคณะกรรมการ • 1321 – การใช้ข้อความ "ปฏิบัติตามมาตรฐาน" รายงานว่าหน่วยงาน "ปฏิบัติตามมาตรฐาน" ได้ต่อเมื่อผลการประเมินของโครงการปรับปรุงคุณภาพสนับสนุน • 1322 – การเปิดเผยข้อมูลการไม่ปฏิบัติตามมาตรฐาน ควรเปิดเผยให้ผู้บริหารระดับสูงหรือคณะกรรมการทราบ กรณีที่ไม่สามารถปฏิบัติตามมาตรฐานและประมวลจรรยาบรรณได้ และมีผลกระทบต่อขอบเขตหรือการปฏิบัติงานตรวจสอบ
มาตรฐานการปฏิบัติงาน • 2000 – การจัดการกิจการการตรวจสอบภายใน • 2010 – การวางแผน ควรจัดทำแผนงานตรวจสอบตามความเสี่ยง(Risk-based Plan) 2010.A1 –ควรจัดทำแผนภารกิจอย่างน้อยปีละครั้งโดยใช้ข้อมูลจากการประเมินความเสี่ยงและจากผู้บริหารประกอบ 2010.C1 –การรับงานให้คำปรึกษา ควรพิจารณาโอกาสที่จะก่อให้เกิดการปรับปรุงการดำเนินงานขององค์กร และควรบรรจุในแผน • 2020 – การนำเสนอและอนุมัติแผนงานตรวจสอบ CAE ควรนำเสนอแผนและทรัพยากรที่จำเป็นต้องใช้ ตลอดจนการปรับเปลี่ยนแผนที่มีนัยสำคัญต่อผู้บริหารระดับสูงและคณะกรรมการขององค์กรเพื่อสอบทานและอนุมัติ
มาตรฐานการปฏิบัติงาน • 2030 –การจัดการทรัพยากร ควรมั่นใจว่าทรัพยากรเหมาะสม เพียงพอ • 2040- นโยบายและวิธีการปฏิบัติงาน ควรกำหนดนโยบายและวิธีการปฏิบัติงานให้ชัดเจน • 2050 – การประสานงาน ควรแลกเปลี่ยนข้อมูลและประสานงานกับผู้ให้บริการด้านการให้ความเชื่อมั่นและให้คำปรึกษาอื่น • 2060 – การรายงานต่อคณะกรรมการและผู้บริหารระดับสูง ควรรายงานเป็นระยะ เกี่ยวกับวัตถุประสงค์ อำนาจหน้าที่ ความรับผิดชอบ ผลการดำเนินงานตามแผนงาน และควรระบุประเด็นความเสี่ยง การควบคุม การกำกับดูแล ที่พบ
มาตรฐานการปฏิบัติงาน • 2100 – ลักษณะของงาน ควรสามารถประเมินและช่วยสนับสนุนให้ปรับปรุงระบบการบริหารความเสี่ยง การควบคุม และกระบวนการกำกับดูแล
มาตรฐานการปฏิบัติงาน • 2110 – การกำกับดูแล ควรสามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการกำกับดูแลเพื่อ เสริมสร้างจริยธรรมและคุณค่า ให้หลักประกันว่าการบริหารจัดการมีประสิทธิผล ผู้ปฏิบัติงานมีความรับผิดชอบ สื่อสารข้อมูลความเสี่ยงและการควบคุม ประสานงานระหว่างคณะกรรมการ ผู้สอบบัญชี ผู้ตรวจสอบภายใน และผู้บริหาร 2110.A1 –ควรประเมินกิจกรรมเกี่ยวกับจริยธรรมองค์กร 2110.A2 –ควรประเมินการกำกับดูแลทางเทคโนโลยีสารสนเทศ 2110.C1 – วัตถุประสงค์ภารกิจควรสอดคล้องกับคุณค่าและเป้าหมายองค์กร
มาตรฐานการปฏิบัติงาน • 2120 – การบริหารความเสี่ยง ควรช่วยองค์กรโดยบ่งชี้และประเมินความเสี่ยงที่มีนัยสำคัญ และสนับสนุนให้ปรับปรุงระบบบริหารและควบคุมความเสี่ยง 2120.A1 –ควรประเมินความเสี่ยงขององค์กรที่เกี่ยวกับระบบการกำกับดูแล การดำเนินงาน และระบบสารสนเทศ 2120.A2 –ควรประเมินโอกาสของการทุจริตและการจัดการ 2120.C1 –ควรระบุความเสี่ยงที่มีนัยสำคัญระหว่างภารกิจ 2120.C2 –ควรนำความรู้เรื่องความเสี่ยงจากภารกิจไปใช้กำหนดและประเมินความเสี่ยงองค์กร 2120.C3 –ไม่ควรดำเนินการบริหารความเสี่ยงซึ่งเป็นหน้าที่ความรับผิดชอบของผู้บริหาร
มาตรฐานการปฏิบัติงาน • 2130 – การควบคุม ควรช่วยองค์กรคงไว้ซึ่งการควบคุมที่มีประสิทธิผล 2130.A1 –อาศัยผลของการประเมินความเสี่ยง ประเมินความเพียงพอและประสิทธิผลของการควบคุม 2130.A2 –ควรทราบขอบเขตของเป้าหมายและวัตถุประสงค์2130.A3- ควรสอบทานผลการดำเนินงานกับเป้าหมาย 2130.C1 –ควรระบุการควบคุม และจุดอ่อนที่มีนัยสำคัญ 2130.C2 –ควรนำความรู้เรื่องการควบคุมจากภารกิจไปใช้กำหนดและการประเมินความเสี่ยงองค์กร
มาตรฐานการปฏิบัติงาน • 2200 – การวางแผนภารกิจ แผนภารกิจควรแสดงขอบเขต วัตถุประสงค์ เวลา และทรัพยากร • 2201 – ข้อพิจารณาในการวางแผน วัตถุประสงค์ วิธีควบคุม ความเสี่ยง ทรัพยากร การดำเนินงาน ตลอดจนวิธีจัดการความเสี่ยง ความเพียงพอ ประสิทธิผล และโอกาสปรับปรุงการบริหารความเสี่ยงและการควบคุมสำหรับกิจกรรม 2201.A1 –ภารกิจให้บริการแก่องค์กรภายนอก ควรทำความเข้าใจกับผู้รับบริการเป็นลายลักษณ์อักษร 2201.C1 –ควรทำความเข้าใจกับผู้รับบริการเกี่ยวกับวัตถุประสงค์ ขอบเขต ความรับผิดชอบ และความคาดหวัง
มาตรฐานการปฏิบัติงาน • 2210 – วัตถุประสงค์ของภารกิจ 2210.A1 –ควรสอดคล้องกับผลการประเมินความเสี่ยง 2210.A2 –ควรคำนึงถึงความเป็นไปได้ที่จะเกิดข้อผิดพลาด ความผิดปกติ การฝ่าฝืน และความเสี่ยงอื่นๆ ที่มีนัยสำคัญ 2210.A3 –ประเมินเกณฑ์ที่ผู้บริหารวางไว้เพื่อบรรลุวัตถุประสงค์องค์กร และนำมาใช้ในการตรวจสอบ 2210.C1 –ควรระบุความเสี่ยง การควบคุม และกระบวนการกำกับดูแล ภายในขอบเขตที่ตกลงร่วมกับผู้รับบริการ
มาตรฐานการปฏิบัติงาน • 2220 – ขอบเขตของภารกิจ เพียงพอที่จะบรรลุวัตถุประสงค์ที่กำหนด 2220.A1 –ควรครอบคลุมการพิจารณาสิ่งต่างๆ ที่เกี่ยวข้อง 2220.A2 –บริการคำปรึกษาในเรื่องที่มีนัยสำคัญ 2220.C1 –ควรมั่นใจว่าเพียงพอที่จะบรรลุวัตถุประสงค์ที่กำหนดไว้
มาตรฐานการปฏิบัติงาน • 2230 – การจัดสรรทรัพยากรสำหรับภารกิจ กำหนดทรัพยากรให้เหมาะสมเพื่อบรรลุวัตถุประสงค์ภารกิจ • 2240 – แนวทางการปฏิบัติงานตามภารกิจ ควรจัดทำแนวทางการปฏิบัติงานเป็นลายลักษณ์อักษร 2240.A1 –ควรกำหนดวิธีการที่ใช้ในการระบุ วิเคราะห์ ประเมิน และบันทึกข้อมูลระหว่างการปฏิบัติงาน แนวทางการปฏิบัติงานและการเปลี่ยนแปลง ควรได้รับการอนุมัติ ก่อนนำไปปฏิบัติ 2240.C1 – แนวทางการปฏิบัติงานให้คำปรึกษาอาจมีรูปแบบและสาระแตกต่างไปขึ้นกับลักษณะงาน
มาตรฐานการปฏิบัติงาน • 2300 – การปฏิบัติภารกิจ • 2310 – การระบุข้อมูล เพียงพอ น่าเชื่อถือ เกี่ยวข้อง เป็นประโยชน์ • 2320 – การวิเคราะห์และประเมินผล ข้อสรุปควรอยู่บนพื้นฐานของการวิเคราะห์และการประเมินผล • 2330 – การบันทึกข้อมูล ควรบันทึกข้อมูลที่เกี่ยวข้องเพื่อสนับสนุนข้อสรุป 2330.A1 –ควบคุมการเข้าถึงบันทึกและข้อมูล 2330.A2 –กำหนดระยะเวลาในการเก็บรักษาบันทึกและข้อมูล 2330.C1 –กำหนดนโยบายในการเก็บและเผยแพร่ข้อมูล • 2340 – การกำกับการปฏิบัติภารกิจ
มาตรฐานการปฏิบัติงาน • 2400 – การรายงานผล การปฏิบัติภารกิจ ควรรายงานผลโดยไม่ชักช้า • 2410 – เกณฑ์ของการรายงานผลการปฏิบัติภารกิจ การรายงานควรรวมถึงวัตถุประสงค์ขอบเขตของภารกิจ ข้อสรุป ข้อเสนอแนะ และแผนปฏิบัติ 2410.A1 –รายงานสรุปควรมีความเห็นในภาพรวม 2410.A2 –ควรรายงานผลงานที่น่าพอใจของผู้รับตรวจ 2410.A3 –การเผยแพร่ผลการตรวจสอบต่อบุคคลภายนอกควรระบุข้อจำกัดในการเผยแพร่และการนำไปใช้ต่อ 2410.C1 – การรายงานความคืบหน้าและผลงานให้คำปรึกษาอาจมีรูปแบบสาระแตกต่างไปขึ้นกับลักษณะงานและความต้องการของผู้รับคำปรึกษา
มาตรฐานการปฏิบัติงาน • 2420 – คุณภาพของการรายงาน ถูกต้อง เที่ยงธรรม ชัดเจน รัดกุม สร้างสรรค์ ครบถ้วน ทันกาล • 2421 – ข้อผิดพลาดและสิ่งที่ถูกละเลย รายงานมีข้อผิดพลาดในประเด็นสำคัญควรรีบแก้ไขและจัดส่งฉบับแก้ไขให้ผู้ที่เคยได้รับรายงานทุกราย • 2430 – การใช้ข้อความ "ปฏิบัติตามมาตรฐาน" รายงานว่าการตรวจสอบ "ปฏิบัติตามมาตรฐาน" ได้ต่อเมื่อผลการประเมินของโครงการปรับปรุงคุณภาพสนับสนุน • 2431 – การเปิดเผยกรณีไม่ได้ปฏิบัติตามมาตรฐาน ควรเปิดเผยการไม่ปฏิบัติตามมาตรฐาน เหตุผล และผลกระทบต่อภารกิจ ในรายงานการตรวจสอบ
มาตรฐานการปฏิบัติงาน • 2440 – การเผยแพร่ผลงานตรวจสอบ ควรรายงานผลแก่บุคคลที่เกี่ยวข้องตามความเหมาะสม 2440.A1 –เสนอรายงานต่อผู้ที่ทำให้การตรวจสอบได้รับการพิจารณาอย่างเหมาะสม 2440.A2 – ความเสี่ยงจากเสนอผลการตรวจแก่บุคคลภายนอกที่ไม่ใช่โดยกฎหมายหรือคำสั่งทางการ 2440.C1 –การเสนอรายงานการให้บริการให้คำปรึกษา 2440.C2 – หากมีประเด็นการบริหารความเสี่ยง การควบคุม และการกำกับดูแล ที่มีสาระสำคัญ ควรรายงานให้ผู้บริหารและคณะกรรมการทราบ
มาตรฐานการปฏิบัติงาน • 2500 – การติดตามผลการตรวจสอบ 2500.A1 –ควรจัดให้มีกระบวนการติดตามผล เพื่อให้มั่นใจว่าข้อเสนอแนะได้นำไปปฏิบัติ หรือผู้บริหารได้ยอมรับความเสี่ยงจากการไม่ปฏิบัติตาม 2500.C1 –ควรมีการติดตามการไม่ปฏิบัติตามผลของภารกิจการให้คำปรึกษาตามขอบเขตที่ตกลงกับผู้รับบริการ • 2600 – ข้อยุติการยอมรับความเสี่ยงของฝ่ายจัดการ CAE ควรหารือกับผู้บริหารระดับสูง เมื่อเห็นว่าความเสี่ยงที่เหลืออยู่ที่ฝ่ายจัดการยอมรับอาจจะไม่อยู่ในระดับที่องค์กรจะยอมรับได้ หากยังไม่สามารถหาข้อยุติได้ CAE และผู้บริหารควรร่วมกันเสนอต่อคณะกรรมการเพื่อพิจารณาหาข้อยุติ
ภาคศัพท์ (Glossary) • คณะกรรมการ – Board • กฏบัตร – Charter • หัวหน้าผู้บริหารงานตรวจสอบ – Chief Audit Executive • ความขัดแย้งทางผลประโยชน์ – Conflict of Interest • การควบคุม – Control • การกำกับดูแล – Governance • เหตุบั่นทอน – Impairments • ความเป็นอิสระ – Independence • ความเที่ยงธรรม – Objectivity • ความเสี่ยง – Risk • การบริหารความเสี่ยง – Risk Management
ประมวลจรรยาบรรณ หลักการ (Principles) • ความซื่อสัตย์ (Integrity) สร้างความไว้เนื้อเชื่อใจและทำให้วิจารณญาณน่าเชื่อถือ • ความเที่ยงธรรม (Objectivity) เป็นกลางไม่ลำเอียง และไม่ปล่อยให้อคติหรือบุคคลอื่นมีอิทธิพลเหนือการประเมิน • การรักษาความลับ (Confidentiality) เคารพคุณค่าและสิทธิของผู้เป็นเจ้าของข้อมูล • ความสามารถในหน้าที่ (Competency) ใช้ความรู้ ทักษะ และประสบการณ์ที่จำเป็นในการทำงาน
ประมวลจรรยาบรรณ หลักปฏิบัติ (Rules of Conduct) • ความซื่อสัตย์ (Integrity) • ซื่อสัตย์ ขยันหมั่นเพียร และมีสำนึกรับผิดชอบ • ปฏิบัติตามกฎหมายและเปิดเผยข้อมูลตามที่กฎหมายและวิชาชีพกำหนด • ไม่มีส่วนร่วมโดยเจตนาในกิจกรรมที่ขัดต่อกฎหมายหรือการกระทำที่อาจเสื่อมเสียต่อวิชาชีพหรือองค์กร • เคารพและสนับสนุนวัตถุประสงค์ที่ถูกต้องตามกฎหมายและหลักจริยธรรมขององค์กร
ประมวลจรรยาบรรณ หลักปฏิบัติ (Rules of Conduct) • ความเที่ยงธรรม (Objectivity) • ไม่มีส่วนร่วมในกิจกรรมหรือความสัมพันธ์ที่บั่นทอนหรืออาจบั่นทอนการประเมินอย่างเป็นกลาง รวมถึงการกระทำหรือความสัมพันธ์ที่ขัดต่อผลประโยชน์ขององค์กร • ไม่รับสิ่งตอบแทนที่อาจบั่นทอนวิจารณญาณ • เปิดเผยความจริงทั้งหมดที่ทราบ ซึ่งหากไม่เปิดเผยแล้วอาจบิดเบือนรายงานผลการตรวจสอบ
ประมวลจรรยาบรรณ หลักปฏิบัติ (Rules of Conduct) • การรักษาความลับ (Confidentiality) • รอบคอบในการใช้ และปกป้องข้อมูลที่ได้มา • ไม่ใช้ข้อมูลที่ได้มาเพื่อผลประโยชน์ส่วนตนหรือเพื่อการใด ที่ขัดต่อกฎหมายหรือขัดต่อวัตถุประสงค์ที่ถูกต้องตามกฎหมายและหลักจริยธรรมขององค์กร
ประมวลจรรยาบรรณ หลักปฏิบัติ (Rules of Conduct) • ความสามารถในหน้าที่ (Competency) • ปฏิบัติหน้าที่เฉพาะในงานส่วนที่ตนมีความรู้ ทักษะ และประสบการณ์ที่จำเป็นสำหรับงานส่วนนั้นเท่านั้น • ปฏิบัติงานตรวจสอบภายในโดยยึด มาตรฐานสากลการปฏิบัติงานวิชาชีพการตรวจสอบภายในเป็นหลัก • พัฒนาความชำนาญ ประสิทธิผล และคุณภาพของบริการอย่างต่อเนื่อง
Certifications * Only those available in Thailand • The Institute of Internal Auditors (IIA) CIA - The Certified Internal Auditor CCSA - Certification in Control Self-Assessment CFSA - Certified Financial Service Auditor • Association of Certified Fraud Examiners (ACFE) CFE - Certified Fraud Examiners • The Bank Administration Institute (BAI) CBA - Certified Bank Auditor • Information Systems Audit and Control Assoc. (ISACA) CISA - Certified Information Systems Auditor CISM - Certified Information Security Manager • Intl Informatn Systems Security Certificatn Consortm (ISC)2 CISSP - The Certified Information Systems Security Professional
วุฒิบัตร CIA • CIA-The Certified Internal Auditors • เป็นวุฒิบัตรแสดงความรู้ความสามารถในวิชาชีพสำหรับผู้ตรวจสอบภายในเพียงหนึ่งเดียวที่เป็นที่ยอมรับสากล • จัดสอบโดยIIAต่อเนื่องตั้งแต่ August 1974 • มีผู้เข้าสอบมากกว่าปีละ 20,000 คน • มีผู้ถือวุฒิบัตร CIA มากกว่า74,000คน * ทั่วโลก • สมัครกับ สตท. หรือผ่าน web site IIA • สอบ 4 Part (@2:45 hr) • การสอบเป็น Computer-based ตลอดปี • ข้อสอบปรนัย 100ข้อ • เกณฑ์ผ่าน 75% (600/750) โดยประมาณ • เก็บ 80 ชม. CPE ทุก 2 ปี (* Information as of Oct 2008)
Exam Domain Part I- The Internal Audit Activity's Role in Governance, Risk, and Controlบทบาทงานตรวจสอบภายในต่อการกำกับดูแลกิจการ การบริหารความเสี่ยง และการควบคุมภายใน Part II- Conducting the Internal Audit Engagementการปฏิบัติงานตรวจสอบภายใน Part III- Business Analysis and Information Technology การวิเคราะห์เชิงธุรกิจและเทคโนโลยีสารสนเทศ Part IV- Business Management Skillsทักษะการบริหารจัดการธุรกิจ
คุณสมบัติ • จบการศึกษาขั้นต่ำปริญญาตรี • เอกสารรับรองจากผู้ถือวุฒิบัตร CIA • ประสบการณ์งานตรวจสอบ ไม่น้อยกว่า 2 ปี • จบปริญญาโททุกสาขา ใช้เทียบเท่า 1 ปี • สอบผ่านครบทั้ง 4 Part • ไม่มีประสบการณ์ ? นักศึกษา ? • อาจารย์มหาวิทยาลัย ?