อาจารย์จิรพร สุเมธีประสิทธิ์
ตามนิยามขององค์กรด้านการตรวจสอบที่เรียกว่า Institute of Internal Audit หรือ IIA ได้ระบุความหมายของการตรวจสอบบนฐานความเสี่ยง (Risk - Based Internal Auditing : RBIA) คือ วิธีการที่เชื่อมโยงการตรวจสอบภายในกับกรอบแนวทางการบริหารความเสี่ยงโดยรวมขององค์กร ซึ่งจะทำให้การตรวจสอบภายในสามารถให้ความมั่นใจให้แก่คณะกรรมการได้ว่า กระบวนการบริหารความเสี่ยงของกิจการมีการจัดการอย่างมีประสิทธิผล และไม่เกินกว่าเกณฑ์ความเสี่ยงที่ยอมรับได้ (Risk Appetite)
กระบวนการบริหารความเสี่ยงตามที่ระบุไว้ในนิยามของ IIA ดังกล่าวครอบคลุม
- การออกแบบงานบริหารความเสี่ยง
- การบริหารความเสี่ยงหลักให้เป็นไปอย่างมีประสิทธิผล
- ประสิทธิผลของการควบคุมความเสี่ยงและการตอบโต้ความเสี่ยงด้วยวิธีการอื่น
- ความครบถ้วน ความถูกต้อง และความเหมาะสมของการแจกแจงความเสี่ยงและรายงานผลการบริหารความเสี่ยง
ประเด็นที่ผู้ตรวจสอบภายในจะต้องคำนึงถึงและจัดให้มีด้วย เพื่อการตรวจสอบภายในบนฐานความเสี่ยง ได้แก่
ประการที่ 1
คณะกรรมการบริษัทและผู้บริหารระดับสูงได้เข้ามามีบทบาทในการค้นหา ระบุ วิเคราะห์และประเมินความเสี่ยงที่คุกคามกิจการ ทั้งในระดับพันธกิจ วัตถุประสงค์ของกิจการ และได้พัฒนาระบบการควบคุมภายในของกิจการ เพื่อบรรเทาภัยคุกคามดังกล่าว ให้ระดับของความเสี่ยงลดลงต่ำกว่าเกินความเสี่ยงที่ยอมรับได้ขององค์กร
ความเห็นของผู้ตรวจสอบภายใน จึงขยายวงออกไปครอบคลุมข้อเสนอแนะต่อคณะกรรมการบริษัทและผู้บริหารระดับสูงต่อบทบาทที่เพียงพอในการกำกับความเสี่ยง
ประการที่ 2
ความเสี่ยงเกิดใหม่ (Inherent risk) ที่กิจการยังปราศจากการควบคุมภายใน อันเนื่องมาจาก
- ความเปลี่ยนแปลงของสถานการณ์แวดล้อมภายนอกองค์กร
- ความเปลี่ยนแปลงของสภาพแวดล้อมภายในองค์กร
- ความเปลี่ยนแปลงของโมเดลธุรกิจ โครงสร้างธุรกิจ หรือบุคลากรในองค์กร
ได้มีการบันทึกเป็นข้อมูลใหม่ในทะเบียนข้อมูลความเสี่ยงอย่างครบถ้วน เพื่อจะได้เข้ามาอยู่ร่วมในเหตุการณ์ความเสี่ยงที่มีการเรียงลำดับความสำคัญกำหนดกฎเกณฑ์ความเสี่ยงที่ยอมรับได้เพิ่มเติม จากที่มีอยู่แล้ว ก่อนนำสู่การจัดการความเสี่ยงจนความเสี่ยงที่หลงเหลือ(Residual Risk) ไม่เกินกว่าเกณฑ์ที่ยอมรับ
ประการที่ 3
การกำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ได้มีการเริ่มต้นจากระดับองค์กร และได้ผ่านความเห็นชอบและรับรู้ของคณะกรรมการบริษัทและผู้บริหารระดับสูง เพื่อใช้เป็นกรอบแนวทางการบริหารจัดการความเสี่ยงในระดับปฏิบัติการให้เป็นแนวทางและบรรทัดฐานเดียวกัน
เกณฑ์ความเสี่ยงที่ยอมรับได้ ดังกล่าว ได้มีการทบทวนเพื่อปรับปรุงและเปลี่ยนแปลงเพื่อให้เหมาะสมและสอดคล้องกับนโยบายและสถานการณ์แวดล้อมเป็นประจำทุกปีหรือไม่
ประการที่ 4
การกำหนดความรับผิดชอบ การมอบหมายเจ้าภาพความเสี่ยงเพื่อให้มั่นใจว่าจะมีการดำเนินการตามกรอบการบริหารความเสี่ยง มีความชัดเจน
การกำหนดความรับผิดชอบในการดำเนินกระบวนการบริหารความเสี่ยง นอกกลุ่มที่เป็นเจ้าภาพความเสี่ยงที่มีความชัดเจน ทั้งส่วนของ
- ผู้ตรวจสอบภายใน
- ผู้ตรวจสอบภายนอกหรือผู้ตรวจสอบบัญชี
- ฝ่ายงานควบคุมภายใน และฝ่ายงานบริหารความเสี่ยง
หากเปรียบเทียบแนวทางการตรวจสอบภายในในรูปแบบดั้งเดิม กับการตรวจสอบภายในบนฐานความเสี่ยงในศตวรรษหน้า จะสามารถสรุปได้ดังนี้
|
แนวคิดแบบดั้งเดิม |
แนวคิดบนฐานความเสี่ยง |
| 1.แผนการตรวจสอบภายในตั้งอยู่บนวงจรของการตรวจสอบ (Audit Cycle) ที่เน้นการใช้กรอบเวลาเป็นตัวจำกัดขอบเขตการตรวจสอบ |
1.แผนการตรวจสอบภายในตั้งอยู่บนผลลัพธ์ของการดำเนินงานและผลประกอบการในแต่ละสายธุรกิจที่นำไปประเมินความเสี่ยงที่เกิดใหม่ และความเสี่ยงที่หลงเหลืออยู่ และเลือกทำแผนการตรวจสอบภายในในประเด็นที่มีความเสี่ยงสูงก่อนเป็นอันดับแรก และด้วยความถี่ของการตรวจสอบที่มากกว่าหน่วยรับตรวจอื่น |
|
2.ประเด็นที่มีความเสี่ยงสูงอาจจะไม่ครบถ้วนและครอบคลุมอยู่ในแผนการตรวจสอบภายใน |
2. ต้องให้ความมั่นใจได้ว่า ความเสี่ยงสูงและเป็นประเด็นสำคัญจะนำมาสู่กระบวนการตรวจสอบและอยู่ในแผนการตรวจสอบอย่างครบถ้วน |
|
3.มุ่งเน้นในประเด็นที่เชื่อว่ายังมีการควบคุมภายในไม่เพียงพอ และประเด็นที่ฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ (Compliance) |
3. มุ่งเน้นที่ประเด็นของความเสี่ยงที่มีความสำคัญว่าจะต้องมีการบริหารจัดการที่เหมาะสม และเพียงพอไม่ได้จำกัดเฉพาะประเด็นของการควบคุมภายใน และการฝ่าฝืนการกำกับการปฏิบัติตามกฎเกณฑ์ |
|
4.การทำความเข้าใจเกี่ยวกับการปฏิบัติงานของหน่วยธุรกิจ เป็นเรื่องที่ต้องใช้เวลาและผ่านการค้นคว้าด้วยเอกสารและการไหลของงานในแต่ละกระบวนการและแต่ละสายธุรกิจและผู้ตรวจสอบแต่ละคนมีทักษะและความสามารถในส่วนนี้ไม่เท่าเทียมกัน และอาจจะเป็นข้อมูลล้าสมัย ไม่เป็นปัจจุบัน |
4. การทำความเข้าใจเกี่ยวกับการปฏิบัติงานของหน่วยธุรกิจจะต้องเป็นเชิงลึก วิธีการในการทำความเข้าใจต้องใช้กระบวนการค้นหา ระบุ วิเคราะห์ และประเมินความเสี่ยงของผู้ตรวจสอบเอง (Risk Assessment) หรือ การหารือร่วมกับผู้บริหารสายธุรกิจที่เป็นเจ้าภาพความเสี่ยง |
|
5.การจัดสรรทรัพยากรในการตรวจสอบภายในเน้นการครอบคลุมและกระจายให้ทั่วถึง ในหน่วยรับตรวจทุกหน่วย หรือกระจายตามฐานกิจกรรมหลักของกิจการ |
5. การจัดสรรทรัพยากร จะต้องมีการถ่วงน้ำหนักความสำคัญของฐานความเสี่ยงที่ประเมินได้ก่อน แล้วจึงจัดสรรทรัพยากรตามฐานความเสี่ยง ตามหน่วยธุรกิจเสี่ยงและตามประเด็นความเสี่ยง |
|
6.ผู้ตรวจสอบกับผู้บริหารหน่วยธุรกิจที่เป็นหน่วยรับตรวจอาจจะมีความเห็นไม่ลงรอยกัน ในด้านความสำคัญของประเด็นที่พบในระหว่างการตรวจสอบ ซึ่งผู้ตรวจสอบจะให้ความเห็นไว้ในสายงานผลการตรวจสอบ |
6. ประเด็นความสำคัญของความเสี่ยงได้มีการพิจารณาและหาข้อยุติร่วมกันไปแล้วระหว่าง Risk Assessment จึงไม่เกิดกรณีที่ความเห็นของผู้ตรวจสอบจะไม่ลงรอยกับผู้บริหารหน่วยธุรกิจที่เป็นหน่วยรับตรวจ |
|
7.หากเกิดความเห็นที่แตกต่างกันระหว่างผู้ตรวจสอบภายในกับหน่วยธุรกิจเกี่ยวกับแผนปฏิบัติการ มีผลให้การจัดทำข้อสรุปผลการตรวจสอบมีความล่าช้า |
7. เน้นการหารือเพื่อให้ได้ข้อสรุปที่สอดคล้องกัน จนเกิดเป็นแผนปฏิบัติการ ที่จะมีประสิทธิผลในทางปฏิบัติ |
