Internal Control and Internal Audit

1. Internal Control and Internal Audit  กระบวนการตรวจสอบภายใน การวางแผนการตรวจสอบภายใน  การปฏิบัติงานตรวจสอบภายใน  การรายงานและการติดตามผล  Q&A 

2. กระบวนการตรวจสอบภายในInternal Audit Process Risk – Based Approach I. การวางแผนงานตรวจสอบ - Planning II. การปฏิบัติงานตรวจสอบภาคสนาม - Executing • การรายงานและติดตามผลการตรวจสอบ – Reporting & Follow Up

3. Audit Plan • ประชุมกับผู้บริหาร • สำรวจ / ศึกษา / หาข้อมูล • ประเมินความเสี่ยงและการควบคุมภายใน – Risk-Based Approach • จัดทำแผนการตรวจสอบเพื่อให้ผู้บริหารอนุมัติ • มอบหมายงานไปยังหัวหน้าผู้ตรวจสอบเพื่อจัดทำแผนปฏิ บัติงานการตรวจสอบต่อไป I. การวางแผนงาน AuditProgram Audit Findings II. การปฏิบัติงาน • จัดทำกระดาษทำการ • ใช้เทคนิคการตรวจสอบ • รวบรวมหลักฐานเอกสาร • สรุปผลการตรวจสอบ Audit Working Paper • เสนอผลการตรวจสอบกับผู้รับการตรวจ เพื่อให้มั่นใจว่าผู้รับการตรวจเห็นด้วยกับ Fact Finding, Risk Identified, Action Plan Internal Audit Report III. การรายงานและติดตามผล

4. มาตรฐานฯ ที่เกี่ยวข้องกับการวางแผนการตรวจสอบ 2010 – การวางแผน • หัวหน้าผู้บริหารงานตรวจสอบ ควรจัดทำแผนงานตรวจสอบตามความเสี่ยง (Risk-based Plan) เพื่อกำหนดความสำคัญของแต่ละกิจกรรมที่จะตรวจสอบให้สอดคล้องกับเป้าหมายขององค์กร 2010.A1 – แผนภารกิจของกิจกรรมการตรวจสอบภายใน ควรจัดทำอย่างน้อยปีละครั้ง โดยใช้ข้อมูลจากการประเมินความเสี่ยง และควรนำข้อมูลข่าวสารจากผู้บริหารระดับสูงและคณะ กรรมการขององค์กรมาใช้ประกอบการพิจารณาในการทำแผนด้วย 2020 – การนำเสนอและอนุมัติแผนงานตรวจสอบ • หัวหน้าผู้บริหารงานตรวจสอบ ควรนำเสนอแผนงานตรวจสอบและทรัพยากรที่จำเป็นต้องใช้ ตลอดจนการปรับเปลี่ยนแผนระหว่างกาล ที่มีนัยสำคัญ ต่อผู้บริหารระดับสูงและคณะกรรมการขององค์กรเพื่อสอบทานและอนุมัติ ในกรณีที่มีข้อจำกัดเกี่ยวกับทรัพยากร หัวหน้าผู้บริหารงานตรวจสอบ ควรแจ้งถึงผลกระทบที่จะมีต่อแผนงานด้วย

5. มาตรฐานฯ ที่เกี่ยวข้องกับการวางแผนการตรวจสอบ 2200 – การวางแผนภารกิจ ผู้ตรวจสอบภายในควรจัดทำและบันทึกแผนของแต่ละภารกิจที่รับผิดชอบ โดยแสดงถึงขอบเขต วัตถุประสงค์ เวลา และการใช้ทรัพยากร เพื่อภารกิจนั้นๆ 2201 – ข้อพิจารณาในการวางแผน การวางแผนภารกิจ ผู้ตรวจสอบควรคำนึงถึง • วัตถุประสงค์ของกิจกรรมที่จะสอบทานและวิธีการที่จะใช้ในการควบคุมผลการดำเนินงานของกิจกรรมนั้น • ความเสี่ยงที่มีนัยสำคัญของกิจกรรม วัตถุประสงค์ ทรัพยากร และการดำเนินงาน ตลอดจนวิธีการที่จะใช้ในการจัดการกับผลกระทบที่เกิดจากความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ • ความเพียงพอ และความมีประสิทธิผลของการบริหารความเสี่ยงและการควบคุมของกิจกรรมนั้น เมื่อเปรียบเทียบกับกรอบปฏิบัติหรือแบบจำลองการควบคุม (Control framework and model) ที่เกี่ยวข้อง • โอกาสที่จะปรับปรุงการบริหารความเสี่ยงและการควบคุมสำหรับกิจกรรมนั้น อย่างมีนัยสำคัญ

6. I. การวางแผนการตรวจสอบ • จัดทำแผนการตรวจสอบประจำปี / ระยะยาว • ประชุมกับผู้บริหารระดับสูง • สอบถาม และสำรวจขั้นต้น • ประเมินความเสี่ยงและทบทวนการควบคุมภายใน • สอบทาน Business Plan • จัดทำแผนการตรวจสอบเพื่อให้ผู้บริหารระดับสูงอนุมัติ • ตัวอย่าง แผนการตรวจสอบ

7. I. การวางแผนการตรวจสอบ 2. ทำการสื่อสารกับผู้บริหารของหน่วยงานที่จะถูกตรวจสอบ – ควรทำการนัดหมายล่วงหน้าเพื่อการพูดคุยในเรื่องต่าง ๆ ดังนี้ • แผนการตรวจสอบภายในที่เกี่ยวข้องกับหน่วยงาน • วัตถุประสงค์และขอบเขตการปฏิบัติงานการตรวจสอบ • ขั้นตอนการทำงานและระยะเวลาที่ใช้ในการตรวจสอบ • สอบถามนโยบาย แผนงาน และเป้าหมายของหน่วยงาน • กำหนดบุคคลที่จะมาเป็นผู้ประสานงานกับผู้สอบ (Key Contact Person) 3. ศึกษาทำความเข้าใจหน่วยงานที่จะเข้าตรวจสอบ • เป้าหมายของการตรวจสอบ ขอบเขตของการตรวจสอบ • ข้อมูลทางการเงินเกี่ยวกับหน่วยงานที่ถูกตรวจสอบ • ลักษณะของหน่วยงาน – โครงสร้าง, การควบคุมภายใน • กฏหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง • มาตรฐานการปฏิบัติงานหรือคู่มือที่มี

8. I. การวางแผนการตรวจสอบ 4. ประเมินความเสี่ยงและการสอบทานการควบคุมภายใน • ทำโดยการสอบถามกระบวนการและเอกสารที่เกี่ยวข้อง • บันทึก Business Process Flow และรายละเอียดทางเดินเอกสารที่เกี่ยวข้อง • ชี้ให้เห็นถึงจุดอ่อนและจุดแข็งของการควบคุมภายใน – Risk-Based Approach 5. จัดทำแผนปฏิบัติการตรวจสอบภายใน (Internal Audit Program) • ระบุกระบวนการ (Business Process) และกิจกรรม (Activities) ที่จะตรวจสอบ • กำหนดรายละเอียดวัตถุประสงค์การตรวจสอบ (Audit Objectives) • Identify potential risks and control activities which the company should have. • ตัวอย่างแผนปฏิบัติการตรวจสอบ

9. มาตรฐานฯ ที่เกี่ยวข้องกับการปฏิบัติงานตรวจสอบภาคสนาม 2300 – การปฏิบัติภารกิจ • ผู้ตรวจสอบควรระบุ วิเคราะห์ ประเมิน และบันทึก ข้อมูลให้เพียงพอต่อการปฏิบัติงานให้บรรลุ วัตถุประสงค์ที่กำหนดไว้ 2310 – การระบุข้อมูล • เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ ผู้ตรวจสอบควรระบุและรวบรวมข้อมูลที่ใช้ในการปฏิบัติภารกิจให้เพียงพอ น่าเชื่อถือ มีความเกี่ยวข้อง และเป็นประโยชน์ ต่อการปฏิบัติงาน 2320 – การวิเคราะห์และประเมินผล • ข้อสรุปและผลการปฏิบัติภารกิจของผู้ตรวจสอบ ควรอยู่บนพื้นฐานของการวิเคราะห์และการประเมินผล ที่เหมาะสม 2330 – การบันทึกข้อมูล • ผู้ตรวจสอบภายใน ควรบันทึกข้อมูลที่เกี่ยวข้อง เพื่อสนับสนุนข้อสรุปและผลการปฏิบัติภารกิจ

10. II. การปฏิบัติงานตรวจสอบภาคสนาม Risk – Based Approach ตัวอย่าง GM Audit Control Worksheet Key Activities : • การวางแผนก่อนเริ่มงานตรวจสอบ • การตรวจสอบและจัดทำกระดาษทำการ • เทคนิคและหลักฐานการตรวจสอบ • การปฏิบัติงานเมื่อเสร็จสิ้นงานตรวจสอบ

11. การจัดทำกระดาษทำการ • ไม่มีการกำหนดรูปแบบอย่างเป็นมาตรฐาน • ควรจัดจำอย่างมีแบบแผน และจัดเก็บอย่างเป็นระบบ โดยยึดหลักประโยชน์ใช้สอย • บันทึกข้อมูลที่เป็นประโยชน์ที่ได้จากการตรวจสอบ • เน้นจุดสำคัญให้เด่นชัด • รูปแบบกระดาษทำการควรสอดคล้องกับวัตถุประสงค์ของการตรวจสอบ ตัวอย่างกระดาษทำการ ดูหน้า 11-9 to 11-17

12. หลักการจัดทำกระดาษทำการหลักการจัดทำกระดาษทำการ • ข้อแนะนำ • ควรจัดทำกระดาษทำการทันที • ควรบันทึกข้อมูลเหล่านี้ลงในกระดาษทำการ • ชื่อผู้สอบทานและวันที่สอบทาน • มีคำอธิบาย เครื่องหมายหรือสัญลักษณ์ (Tickmark) ที่ • ใช้ในการตรวจสอบ • มีการระบุสิ่งที่ตรวจพบ ความเสี่ยงและผลกระทบที่ • เกี่ยวข้อง • มีการจัดเก็บกระดาษทำการเข้าแฟ้มอย่างเป็นระเบียบ • ชื่อหน่วยงาน / โครงการที่ตรวจ • ชื่อกระดาษทำการและงวดเวลาที่ตรวจ • วัตถุประสงค์ของการตรวจ • รหัสดัชนีกระดาษทำการ (Index) • แหล่งที่มาของข้อมูล • ชื่อผู้จัดทำและวันที่จัดทำ 1. ความถูกต้องสมบูรณ์ (Accuracy and Completeness) 2. ความประณีต (Neatness) 3. ความชัดเจนเข้าใจง่าย (Clarity and Understandability) 4. ความสัมพันธ์กันหรือความเกี่ยวข้องกับการตัดสินใจ (Relevance)

13. หลักฐานการตรวจสอบ • เป็นข้อเท็จจริงที่ผู้ตรวจสอบภายในรวบรวมขึ้นมา เพื่อใช้เป็นเกณฑ์ในการแสดงความเห็นเกี่ยวกับข้อสรุปและข้อเสนอแนะจากผลการตรวจสอบ • มีความเพียงพอ - หลักฐานแสดงถึงข้อเท็จจริงที่มีปริมาณเพียงพอ และสามารถจูงใจให้บุคคลที่สุขุมรอบคอบให้ความเห็นเช่นเดียวกัน • เชื่อถือได้ – หลักฐานที่ได้มาจากแหล่งที่มาที่เชื่อถือได้ โดยใช้เทคนิคตรวจสอบและวิธีการที่ได้มาซึ่งหลักฐานเหมาะสม • มีความเกี่ยวพันและมีประโยชน์ – สนับสนุนข้อเสนอแนะในการตรวจสอบ สอดคล้องกับวัตถุประสงค์ของการตรวจสอบ หลักฐานต้องเป็นปัจจุบัน และมีสาระสำคัญในการสรุป Note ดูตารางในหนังสือ หน้า 9-8

14. เทคนิคการตรวจสอบ • การตรวจสอบการผ่านรายการ • การหารายการผิดปรกติ • การตรวจทาน • การวิเคราะห์ • การสืบสวน • การประเมินผล • การสังเกตการณ์ • การตรวจนับ • การตรวจสอบเอกสาร • การยืนยัน • การสอบถาม • การคำนวณ • การวิเคราะห์เปรียบเทียบ

15. มาตรฐานฯ ที่เกี่ยวข้องกับการรายงานและการติดตามผลการตรวจสอบภายใน 2400 – การรายงานผล การปฏิบัติภารกิจ • ผู้ตรวจสอบควรรายงานผลการปฏิบัติภารกิจโดยไม่ชักช้า 2410 – เกณฑ์ของการายงานผลการปฏิบัติภารกิจ • การรายงานผลการปฏิบัติภารกิจ ควรรวมถึงวัตถุประสงค์และขอบเขตของภารกิจ ตลอดจนข้อสรุป ข้อเสนอแนะ และแผนเพื่อนำไปปฏิบัติ 2410.A1 – ในรายงานสรุปผลการปฏิบัติภารกิจ ผู้ตรวจสอบควรมีความเห็นและ/หรือข้อสรุปในภาพรวม ตามความเหมาะสม 2410.A2 – ในรายงานสรุปผลการปฏิบัติภารกิจ ผู้ตรวจสอบควรรายงานผลงานที่เป็นที่น่าพอใจของผู้รับการตรวจด้วย 2410.A3 – เมื่อมีการเผยแพร่ผลการตรวจสอบต่อบุคคลภายนอกองค์กร ควรระบุข้อจำกัดในการเผยแพร่และการนำผลการตรวจสอบไปใช้ต่อ

16. มาตรฐานฯ ที่เกี่ยวข้องกับการรายงานและการติดตามผลการตรวจสอบภายใน 2410.C1 – การรายงานความคืบหน้าและผลของงานให้คำปรึกษา อาจมีรูปแบบและสาระแตกต่างกันไป ขึ้นอยู่กับลักษณะของแต่ละงานและความต้องการของผู้รับคำปรึกษา 2420 – คุณภาพของการรายงาน การรายงานผลการปฏิบัติภารกิจควรมีความ ถูกต้อง เที่ยงธรรม ชัดเจน รัดกุม สร้างสรรค์ ครบถ้วน และทันกาล 2440.C1 – หัวหน้าผู้บริหารงานตรวจสอบเป็นผู้รับผิดชอบในการเสนอรายงานสรุปผลการให้บริการให้คำปรึกษาต่อผู้รับบริการ 2500 – การติดตามผลการตรวจสอบ หัวหน้าผู้บริหารงานตรวจสอบ ควรสร้างและรักษาไว้ซึ่งระบบการติดตามการไม่ปฏิบัติตามผลการตรวจสอบที่ได้รายงานต่อฝ่ายจัดการแล้ว 2500.A1 – หัวหน้าผู้บริหารงานตรวจสอบ ควรจัดให้มีกระบวนการติดตามผลการตรวจสอบ เพื่อให้มั่นใจว่า ข้อเสนอแนะเพื่อการปรับปรุงแก้ไขนั้น ฝ่ายจัดการได้นำไปปฏิบัติอย่างมีประสิทธิผล หรือผู้บริหารระดับสูงได้ยอมรับความเสี่ยงจากการไม่ปฏิบัติตาม

17. III. การรายงานและติดตามผล ขั้นตอน • ระหว่างการตรวจสอบพบ Audit Findings – พูดคุยกับ Process Owner • รายงาน Work Progress แก่ผู้บริหารเป็นระยะ (ทุกสัปดาห์) • หลังจาก Process Owner agrees with Findings – ออก Audit Finding Letter for signing off • รวบรวม Audit Findings to issue the audit report ตัวอย่าง : Example of Audit Report and Finding Letter

18. Audit Finding No. # วันที่ : __________________ เสนอ: ____________________ จาก: __________________ เรื่อง:________________ ข้อเท็จจริงที่ตรวจพบและสาเหตุ : ผลกระทบที่อาจจะเกิดขึ้น : ข้อเสนอแนะ : เห็นด้วยโดย ______________________________ ระบุชื่อและตำแหน่ง แนวทางแก้ไข _____________________________ ระบุผู้รับผิดชอบและวันที่คาดว่าจะแก้ไขเสร็จเพื่อการติดตาม

19. Assignment • จัดกลุ่ม ๆ ละ 4 คน • จับฉลากเลือกหัวข้องานการตรวจสอบภายในในกิจกรรมต่าง ๆ ดังนี้ 1. การจัดซื้อ 8. การรับชำระเงินสด 2. การขาย / รายได้ 9. การรับชำระจากลูกหนี้ 3. การจ่ายชำระเงินเจ้าหนี้การค้า 10. การบริหารสินทรัพย์ถาวร 4. การจ่ายชำระเงินเดือนและประโยชน์อื่น 11. การจัดกิจกรรมส่งเสริมการตลาด 5. การรับจ่ายสินค้าสำเร็จรูป 12. การบริการหลังการขาย 6. การรับและเบิกวัตถุดิบ 13. Logistics 7. การบริหารการผลิต 14. การจัดทำบัญชี • วางแผนการตรวจสอบ – จัดทำ Audit Program • ประเมินความเสี่ยง และการควบคุมภายใน – เขียน Flow และรายละเอียด Actual Practice • จัดทำกระดาษทำการให้เหมาะสม • สรุป Audit Finding และจัดทำ Audit Report