การพัฒนางานตรวจสอบบนฐานความเสี่ยงในศตวรรษหน้า

อาจารย์จิรพร สุเมธีประสิทธิ์

[email protected]

ตามนิยามขององค์กรด้านการตรวจสอบที่เรียกว่า Institute of Internal Audit หรือ IIA ได้ระบุความหมายของการตรวจสอบบนฐานความเสี่ยง (Risk - Based Internal Auditing : RBIA) คือ วิธีการที่เชื่อมโยงการตรวจสอบภายในกับกรอบแนวทางการบริหารความเสี่ยงโดยรวมขององค์กร ซึ่งจะทำให้การตรวจสอบภายในสามารถให้ความมั่นใจให้แก่คณะกรรมการได้ว่า กระบวนการบริหารความเสี่ยงของกิจการมีการจัดการอย่างมีประสิทธิผล และไม่เกินกว่าเกณฑ์ความเสี่ยงที่ยอมรับได้ (Risk Appetite)

กระบวนการบริหารความเสี่ยงตามที่ระบุไว้ในนิยามของ IIA ดังกล่าวครอบคลุม

  • การออกแบบงานบริหารความเสี่ยง
  • การบริหารความเสี่ยงหลักให้เป็นไปอย่างมีประสิทธิผล
  • ประสิทธิผลของการควบคุมความเสี่ยงและการตอบโต้ความเสี่ยงด้วยวิธีการอื่น
  • ความครบถ้วน ความถูกต้อง และความเหมาะสมของการแจกแจงความเสี่ยงและรายงานผลการบริหารความเสี่ยง

ประเด็นที่ผู้ตรวจสอบภายในจะต้องคำนึงถึงและจัดให้มีด้วย เพื่อการตรวจสอบภายในบนฐานความเสี่ยง ได้แก่

ประการที่ 1

คณะกรรมการบริษัทและผู้บริหารระดับสูงได้เข้ามามีบทบาทในการค้นหา ระบุ วิเคราะห์และประเมินความเสี่ยงที่คุกคามกิจการ ทั้งในระดับพันธกิจ วัตถุประสงค์ของกิจการ และได้พัฒนาระบบการควบคุมภายในของกิจการ เพื่อบรรเทาภัยคุกคามดังกล่าว ให้ระดับของความเสี่ยงลดลงต่ำกว่าเกินความเสี่ยงที่ยอมรับได้ขององค์กร

ความเห็นของผู้ตรวจสอบภายใน จึงขยายวงออกไปครอบคลุมข้อเสนอแนะต่อคณะกรรมการบริษัทและผู้บริหารระดับสูงต่อบทบาทที่เพียงพอในการกำกับความเสี่ยง

ประการที่ 2

ความเสี่ยงเกิดใหม่ (Inherent risk) ที่กิจการยังปราศจากการควบคุมภายใน อันเนื่องมาจาก

  • ความเปลี่ยนแปลงของสถานการณ์แวดล้อมภายนอกองค์กร
  • ความเปลี่ยนแปลงของสภาพแวดล้อมภายในองค์กร
  • ความเปลี่ยนแปลงของโมเดลธุรกิจ โครงสร้างธุรกิจ หรือบุคลากรในองค์กร

ได้มีการบันทึกเป็นข้อมูลใหม่ในทะเบียนข้อมูลความเสี่ยงอย่างครบถ้วน เพื่อจะได้เข้ามาอยู่ร่วมในเหตุการณ์ความเสี่ยงที่มีการเรียงลำดับความสำคัญกำหนดกฎเกณฑ์ความเสี่ยงที่ยอมรับได้เพิ่มเติม จากที่มีอยู่แล้ว ก่อนนำสู่การจัดการความเสี่ยงจนความเสี่ยงที่หลงเหลือ(Residual Risk) ไม่เกินกว่าเกณฑ์ที่ยอมรับ

ประการที่ 3

การกำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ได้มีการเริ่มต้นจากระดับองค์กร และได้ผ่านความเห็นชอบและรับรู้ของคณะกรรมการบริษัทและผู้บริหารระดับสูง เพื่อใช้เป็นกรอบแนวทางการบริหารจัดการความเสี่ยงในระดับปฏิบัติการให้เป็นแนวทางและบรรทัดฐานเดียวกัน

เกณฑ์ความเสี่ยงที่ยอมรับได้ ดังกล่าว ได้มีการทบทวนเพื่อปรับปรุงและเปลี่ยนแปลงเพื่อให้เหมาะสมและสอดคล้องกับนโยบายและสถานการณ์แวดล้อมเป็นประจำทุกปีหรือไม่

ประการที่ 4

การกำหนดความรับผิดชอบ การมอบหมายเจ้าภาพความเสี่ยงเพื่อให้มั่นใจว่าจะมีการดำเนินการตามกรอบการบริหารความเสี่ยง มีความชัดเจน

การกำหนดความรับผิดชอบในการดำเนินกระบวนการบริหารความเสี่ยง นอกกลุ่มที่เป็นเจ้าภาพความเสี่ยงที่มีความชัดเจน ทั้งส่วนของ

  • ผู้ตรวจสอบภายใน
  • ผู้ตรวจสอบภายนอกหรือผู้ตรวจสอบบัญชี
  • ฝ่ายงานควบคุมภายใน และฝ่ายงานบริหารความเสี่ยง

หากเปรียบเทียบแนวทางการตรวจสอบภายในในรูปแบบดั้งเดิม กับการตรวจสอบภายในบนฐานความเสี่ยงในศตวรรษหน้า จะสามารถสรุปได้ดังนี้

แนวคิดแบบดั้งเดิม

แนวคิดบนฐานความเสี่ยง

1.แผนการตรวจสอบภายในตั้งอยู่บนวงจรของการตรวจสอบ (Audit Cycle) ที่เน้นการใช้กรอบเวลาเป็นตัวจำกัดขอบเขตการตรวจสอบ
1.แผนการตรวจสอบภายในตั้งอยู่บนผลลัพธ์ของการดำเนินงานและผลประกอบการในแต่ละสายธุรกิจที่นำไปประเมินความเสี่ยงที่เกิดใหม่ และความเสี่ยงที่หลงเหลืออยู่ และเลือกทำแผนการตรวจสอบภายในในประเด็นที่มีความเสี่ยงสูงก่อนเป็นอันดับแรก และด้วยความถี่ของการตรวจสอบที่มากกว่าหน่วยรับตรวจอื่น

2.ประเด็นที่มีความเสี่ยงสูงอาจจะไม่ครบถ้วนและครอบคลุมอยู่ในแผนการตรวจสอบภายใน

2. ต้องให้ความมั่นใจได้ว่า ความเสี่ยงสูงและเป็นประเด็นสำคัญจะนำมาสู่กระบวนการตรวจสอบและอยู่ในแผนการตรวจสอบอย่างครบถ้วน

3.มุ่งเน้นในประเด็นที่เชื่อว่ายังมีการควบคุมภายในไม่เพียงพอ และประเด็นที่ฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ (Compliance)

3. มุ่งเน้นที่ประเด็นของความเสี่ยงที่มีความสำคัญว่าจะต้องมีการบริหารจัดการที่เหมาะสม และเพียงพอไม่ได้จำกัดเฉพาะประเด็นของการควบคุมภายใน และการฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์

4.การทำความเข้าใจเกี่ยวกับการปฏิบัติงานของหน่วยธุรกิจ เป็นเรื่องที่ต้องใช้เวลาและผ่านการค้นคว้าด้วยเอกสารและการไหลของงานในแต่ละกระบวนการและแต่ละสายธุรกิจและผู้ตรวจสอบแต่ละคนมีทักษะและความสามารถในส่วนนี้ไม่เท่าเทียมกัน และอาจจะเป็นข้อมูลล้าสมัย ไม่เป็นปัจจุบัน

4. การทำความเข้าใจเกี่ยวกับการปฏิบัติงานของหน่วยธุรกิจจะต้องเป็นเชิงลึก

วิธีการในการทำความเข้าใจต้องใช้กระบวนการค้นหา ระบุ วิเคราะห์ และประเมินความเสี่ยงของผู้ตรวจสอบเอง (Risk Assessment) หรือ การหารือร่วมกับผู้บริหารสายธุรกิจที่เป็นเจ้าภาพความเสี่ยง

5.การจัดสรรทรัพยากรในการตรวจสอบภายในเน้นการครอบคลุมและกระจายให้ทั่วถึง ในหน่วยรับตรวจทุกหน่วย หรือกระจายตามฐานกิจกรรมหลักของกิจการ

5. การจัดสรรทรัพยากร จะต้องมีการถ่วงน้ำหนักความสำคัญของฐานความเสี่ยงที่ประเมินได้ก่อน แล้วจึงจัดสรรทรัพยากรตามฐานความเสี่ยง ตามหน่วยธุรกิจเสี่ยงและตามประเด็นความเสี่ยง

6.ผู้ตรวจสอบกับผู้บริหารหน่วยธุรกิจที่เป็นหน่วยรับตรวจอาจจะมีความเห็นไม่ลงรอยกัน ในด้านความสำคัญของประเด็นที่พบในระหว่างการตรวจสอบ ซึ่งผู้ตรวจสอบจะให้ความเห็นไว้ในสายงานผลการตรวจสอบ

6. ประเด็นความสำคัญของความเสี่ยงได้มีการพิจารณาและหาข้อยุติร่วมกันไปแล้วระหว่าง Risk Assessment จึงไม่เกิดกรณีที่ความเห็นของผู้ตรวจสอบจะไม่ลงรอยกับผู้บริหารหน่วยธุรกิจที่เป็นหน่วยรับตรวจ

7.หากเกิดความเห็นที่แตกต่างกันระหว่างผู้ตรวจสอบภายในกับหน่วยธุรกิจเกี่ยวกับแผนปฏิบัติการ มีผลให้การจัดทำข้อสรุปผลการตรวจสอบมีความล่าช้า

7. เน้นการหารือเพื่อให้ได้ข้อสรุปที่สอดคล้องกัน จนเกิดเป็นแผนปฏิบัติการ ที่จะมีประสิทธิผลในทางปฏิบัติ

บันทึกนี้เขียนที่ GotoKnow โดย  ใน การบริหารความเสี่ยง มูลค่ากิจการ



ความเห็น (0)