การบริหารความเสี่ยง และ การควบคุมภายใน

งานนำเสนอเรื่อง: "การบริหารความเสี่ยง และ การควบคุมภายใน"— ใบสำเนางานนำเสนอ:

1 การบริหารความเสี่ยง และ การควบคุมภายใน

2 การบริหารความเสี่ยงและการควบคุมภายใน
 หลักการและแนวคิด  กระบวนการ  การประยุกต์ใช้  การรายงานและการติดตาม

3 สภาพแวดล้อมปัจจุบัน โลกยุคโลกาภิวัตน์ สังคม เศรษฐกิจ
งานของรัฐมากขึ้นและยากขึ้น รัฐต้องเล็กลง ลดเงิน ลดคน ลดอำนาจ ต้องเปิดให้มีส่วนร่วม ต้องโปร่งใส พร้อมถูกตรวจสอบ เศรษฐกิจเสรีไร้พรมแดน การแข่งขันในเวทีโลก กระแสสังคม เช่น ประชาธิปไตย ธรรมาภิบาล สังคม เศรษฐกิจ เป็นยุคแห่งการเรียนรู้ ใครเรียนรู้ไม่ทันโลก ก็จะมีปัญหา

4 Good Governance องค์กร Internal Control Risk Management Internal Audit

5 COSO การบริหารความเสี่ยงองค์กร (Enterprise Risk Management)
การควบคุมภายใน (Internal Control)

6 Enterprise Risk Management
New COSO Framework Enterprise Risk Management Internal Control This text is just greeking. Global competitive energy company with extensive operations in North America, Europe, and Asia: Leading positions in both power generation and energy risk management and marketing Develops, constructs, owns, and operates power plants Sells wholesale electricity, natural gas, and other energy commodities

7 What is COSO ? COSO : The Committee of Sponsoring Organizations of the Treadway Commission is a joint initiative of the five private sector organizations listed on the left and is dedicated to providing thought leadership through the development of frameworks and guidance on enterprise risk management, internal control and fraud deterrence

8  สถาบันผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา
COSO : The Committee of Sponsoring Organizations of the Treadway Commission  สถาบันผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (American Institute of Certified Public Accountants : AICPA) สถาบันนักบัญชีแห่งสหรัฐอเมริกา  สถาบันผู้บริหารการเงิน (American Accounting Association : AAA)  สถาบันผู้ตรวจสอบภายใน (The Institute of Internal Auditors : IIA) (Financial Executives Institute : FEI) (Institute of Management Accountants : IMA)  สถาบันนักบัญชีเพื่อการบริหาร

9 เป้าหมายหลักขององค์กร
 กำไร (Profitability)  มั่นคง (Stability)  เติบโต (Growth)

10 การบริหารความเสี่ยง เพื่อให้ผลการดำเนินงานขององค์กรเป็นไปตามวัตถุประสงค์และเป้าหมายที่วางไว้ เพื่อให้เกิดการรับรู้ ตระหนัก และเข้าใจถึงความเสี่ยงด้านต่างๆ ที่เกิดขึ้นกับองค์กร และหาวิธีจัดการที่เหมาะสมในการลดความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ เพื่อสร้างกรอบและแนวทางการดำเนินงานให้แก่บุคลากรขององค์กรให้สามารถ บริหารจัดการความไม่แน่นอนที่จะเกิดขึ้นกับองค์กรได้อย่างเป็นระบบ และมี ประสิทธิภาพ เพื่อให้มีระบบในการติดตามตรวจสอบผลการดำเนินการบริหารความเสี่ยง และ เฝ้าระวังความเสี่ยงใหม่ๆที่อาจเกิดขึ้นได้ตลอดเวลา เพิ่มมูลค่าให้ผู้มีส่วนได้ส่วนเสียกับองค์กร

11 New COSO-ERM Framework

12 ERM is a process, effected by an entity’s board of director, management and other personnel, apply in strategy setting and across the enterprise, design to identify potential events that may effect the entity, and manage risk to be with in its risk appetite, to provide reasonable assurance regarding the achievement of entity objective กระบวนการที่ได้รับอิทธิพลมาจากคณะกรรมการขององค์กร ผู้บริหารและบุคลากรอื่นๆ เป็นกระบวนการที่จะถูกนำมา ประยุกต์ใช้ในการตั้งกลยุทธ์ทั่วทั้งองค์กร ได้รับการออกแบบ มาเพื่อให้สามารถระบุเหตุการณ์อันอาจเกิดขึ้นและส่งผล กระทบต่อองค์กร และเพื่อจัดการความเสี่ยงให้อยู่ภายในระดับ ความเสี่ยงที่องค์กรยอมรับได้ (risk appetite) ซึ่งจะทำ ให้เกิดความเชื่อมั่นได้อย่างสมเหตุสมผลเกี่ยวกับการบรรลุ วัตถุประสงค์ขององค์กร 12

13 สรุปได้ว่าERM  เป็นกระบวนการ (process)
 ได้รับอิทธิพลจากคน (effected by people)  เป็นกระบวนการที่ใช้ในการกำหนดกลยุทธ์ (applied in strategy setting)  นำไปใช้ปฏิบัติทั่วทั้งองค์กร (applied across the enterprise)  เพื่อระบุเหตุการณ์ที่อาจเกิดซึ่งก่อให้เกิดผลกระทบต่อองค์กร (to identify potential events)

14 สรุปได้ว่าERM  จัดการกับความเสี่ยงให้อยู่ภายในระดับที่องค์กรยอมรับได้ (manage risk to be within its risk appetite)  เพื่อก่อให้เกิดความเชื่อมั่นได้อย่างสมเหตุสมผลว่าสามารถนำทางไปสู่ความสำเร็จตามวัตถุประสงค์ต่างๆ (to provide reasonable assurance regarding the achievement of entity objective)

15 การบริหารความเสี่ยงองค์กร เหตุการณ์ที่อาจเกิดขึ้น
วัตถุประสงค์ เพื่อช่วยบริหารโอกาสและควบคุมความเสี่ยง เชิงบวก โอกาส เชิงลบ ความเสี่ยง เหตุการณ์ที่อาจเกิดขึ้น

16 16

17 การบริหารความเสี่ยงองค์กร
เครื่องมือนำไปสู่การบรรลุวัตถุประสงค์ :- ด้านกลยุทธ์ (Strategic) ด้านการดำเนินงาน (Operation) ด้านการรายงาน (Reporting) ด้านการปฏิบัติตามกฎ/ระเบียบ/ข้อบังคับ (Compliance)

18 ความเสี่ยงและโอกาส ความไม่แน่นอน
การไม่สามารถคาดการณ์ล่วงหน้าได้อย่างแม่นยำถึงโอกาสเกิดของเหตุการณ์ในอนาคตและผลกระทบที่อาจเกิดขึ้น ความเสี่ยง เหตุการณ์ในเชิงลบ หากเกิดขึ้น แล้วอาจสร้างความเสียหาย โอกาส เหตุการณ์ที่มีผลในเชิงบวก ซึ่ง ผู้บริหารควรนำไปพิจารณา กำหนดกลยุทธ์เพื่อนำไปปฏิบัติ ความเสี่ยง หมายถึง เหตุการณ์ที่มีความไม่แน่นอน ซึ่งหากเกิดขึ้นจะมีผลกระทบในเชิงลบต่อวัตถุประสงค์หรือเป้าหมายขององค์กร โอกาส หมายถึง เหตุการณ์ที่มีความไม่แน่นอน ซึ่งหากเกิดขึ้นจะมีผลกระทบในเชิงบวกต่อวัตถุประสงค์หรือเป้าหมายขององค์กร

19 ความไม่แน่นอน (Uncertainty)
อาจเป็นได้ทั้งบั่นทอน และเพิ่มคุณค่า (Risk and Opportunity) ERM เป็นกระบวนการที่มีประสิทธิผลต่อการจัดการ กับความไม่แน่นอน ความสำเร็จในการจัดการกับความ “ไม่แน่นอน” เป็น โอกาสที่บรรลุผลสำเร็จ ทั้งด้านการปฏิบัติ ผลกำไรที่ ต้องการและป้องกันความสูญเสีย 19

20 เหตุการณ์ (Events) อาจเป็นเหตุการณ์ที่ส่งผลทั้งทางดีและร้าย
เหตุการณ์ที่ส่งผลทางร้าย คือ ความเสี่ยง ซึ่งสามารถกันไม่ให้เกิดคุณค่า หรือทำให้คุณค่าที่กิจการมีอยู่อาจเสื่อมได้ เหตุการณ์ที่ส่งผลในทางดี อาจหักกลบกับผลกระทบที่ไม่ดี หรืออาจก่อ “โอกาส” ให้กับกิจการได้วัตถุประสงค์ ซึ่งจะเป็นสิ่งที่ส่งเสริมให้เกิดคุณค่าหรือรักษาไว้ซึ่งคุณค่า

21 What is Risk ? High risk is high returns and requires high controls
Change a crisis to opportunity The biggest risk is not to take risk at all

22 การวิเคราะห์โอกาสและผลกระทบ
ความเสี่ยงปานกลาง ผลกระทบรุนแรงมาก โอกาสเกิดน้อย ความเสี่ยงสูง โอกาสเกิดมาก ความเสี่ยงต่ำ ผลกระทบน้อย ผลกระทบ โอกาสที่จะเกิด

23 ผลกระทบของความเสี่ยง โอกาสที่จะเกิดความเสี่ยง
ระดับของความเสี่ยง สูง 3 กลาง 2 ผลกระทบของความเสี่ยง ต่ำ 1 1 2 3 โอกาสที่จะเกิดความเสี่ยง ระดับสูง มีค่าคะแนนมากกว่า 5 คะแนนขึ้นไป ระดับกลาง มีค่าคะแนนตั้งแต่ คะแนน ระดับต่ำ มีค่าคะแนนน้อยกว่า 2 คะแนนลงมา

24 แผนภูมิความเสี่ยง (Risk Profile) โอกาสที่จะเกิด (likelihood)
5 10 15 20 25 4 8 12 16 3 6 9 2 1 ผลกระทบ (Impact) โอกาสที่จะเกิด (likelihood) Risk Appetite Boundary 24

25 ตัวอย่างโอกาสที่จะเกิดเหตุการณ์ที่เป็นความเสี่ยง
โอกาสที่จะเกิดความเสี่ยง ความถี่ที่เกิดขึ้น (เฉลี่ย) ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก มากกว่า 1 ครั้งต่อเดือน ระหว่าง1-6 เดือนต่อครั้ง ระหว่าง 6-12 เดือนต่อครั้ง มากกว่า 1 ปีต่อครั้ง มากกว่า 5 ปีต่อครั้ง 5 4 3 2 1

26 ตัวอย่างโอกาสที่จะเกิดเหตุการณ์ที่เป็นความเสี่ยง
โอกาสที่จะเกิดความเสี่ยง เปอร์เซ็นต์โอกาส ที่จะเกิดขึ้น ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก มากกว่า 80 % 70-79 % 60-69 % 50-59 % น้อยกว่า 50 % 5 4 3 2 1

27 ตัวอย่างผลกระทบต่อองค์กร (ด้านการเงิน)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก มากกว่า 10 ล้านบาท มากกว่า 5 แสนบาท – 10 ล้านบาท มากกว่า 1 แสนบาท – 5 แสนบาท 1 หมื่นบาท แสนบาท น้อยกว่า 1 หมื่นบาท 5 4 3 2 1

28 ตัวอย่างผลกระทบต่อองค์กร (ด้านเวลา)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก ทำให้เกิดความล่าช้าของโครงการ มากกว่า 6 เดือนขึ้นไป ทำให้เกิดความล่าช้าของโครงการ มากกว่า 4.5 เดือน ถึง 6 เดือน ทำให้เกิดความล่าช้าของโครงการ มากกว่า 3 เดือน ถึง 4.5 เดือน ทำให้เกิดความล่าช้าของโครงการ มากกว่า 1.5 เดือน ถึง 3 เดือน ทำให้เกิดความล่าช้าของโครงการ ไม่เกิน 1.5 เดือน 5 4 3 2 1

29 ตัวอย่างผลกระทบต่อองค์กร (ด้านชื่อเสียง)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก มีการเผยแพร่ข่าวทั้งจากสื่อภายในและต่างประเทศเป็นวงกว้าง มีการเผยแพร่ข่าวเป็นวงกว้างในประเทศและมีการเผยแพร่ข่าว อยู่วงจำกัดในต่างประเทศ มีการลงข่าวในหนังสือพิมพ์ในประเทศหลายฉบับ 2-3 วัน มีการลงข่าวในหนังสือพิมพ์ในประเทศบางฉบับ 1 วัน ไม่มีการเผยแพร่ข่าว 5 4 3 2 1

30 ตัวอย่างผลกระทบต่อองค์กร (ด้านลูกค้า)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก ผู้ใช้บริการลดลงมากกว่า 50 คน ต่อเดือน ผู้ใช้บริการลดลงตั้งแต่ คน ต่อเดือน ผู้ใช้บริการลดลงตั้งแต่ คน ต่อเดือน ผู้ใช้บริการลดลงตั้งแต่ คน ต่อเดือน ผู้ใช้บริการลดลงไม่เกิน 19 คน ต่อเดือน 5 4 3 2 1

31 ตัวอย่างผลกระทบต่อองค์กร (ด้านความสำเร็จ)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก ดำเนินงานสำเร็จตามแผนได้น้อยกว่า 60% ดำเนินงานสำเร็จตามแผนได้ 60-70% ดำเนินงานสำเร็จตามแผนได้ 71-80% ดำเนินงานสำเร็จตามแผนได้ 81-90% ดำเนินงานสำเร็จตามแผนได้มากกว่า 90% 5 4 3 2 1

32 ตัวอย่างผลกระทบต่อองค์กร (ด้านบุคลากร)
ความเสียหาย ระดับ คะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก มีบุคลากรเสียชีวิตมากกว่า 3 คน มีบุคลากรเสียชีวิตไม่เกิน 3 คน มีบุคลากรได้รับบาดเจ็บจนพิการ แต่ไม่มีผู้เสียชีวิต มีบุคลากรได้รับบาดเจ็บจนต้องรักษาตัวที่โรงพยาบาล มีบุคลากรได้รับบาดเจ็บเล็กน้อย 5 4 3 2 1

33 องค์ประกอบการบริหารความเสี่ยง
1. สภาพแวดล้อมในองค์กร (Internal Environment) 2. การกำหนดวัตถุประสงค์ (Objective Setting) 3. การบ่งชี้เหตุการณ์ (Event Identification) 4. การประเมินความเสี่ยง (Risk Assessment) 5. การตอบสนองความเสี่ยง (Risk Response) 6. กิจกรรมการควบคุม (Control Activities) 7. สารสนเทศและการสื่อสาร (Information & Communication) 8. การติดตามผล (Monitoring)

34 สภาพแวดล้อมภายในองค์กร (Internal Environment)
เป็นองค์ประกอบพื้นฐานของการบริหาร ความเสี่ยง ที่ส่งผลต่อวิธีการกำหนดกลยุทธ์และ เป้าหมายของการดำเนินงาน

35 การกำหนดวัตถุประสงค์ (Objective Setting)
องค์กรต้องกำหนดวัตถุประสงค์ / เป้าหมายการดำเนินธุรกิจ ก่อนที่จะระบุเหตุการณ์ที่อาจส่งผลกระทบต่อการบรรลุวัตถุประสงค์ /เป้าหมายนั้นๆ  วัตถุประสงค์ต้องสอดรับกับการยอมรับในความเสี่ยง (Risk Appetite)

36 การกำหนดวัตถุประสงค์ที่ SMART
Specific (เฉพาะเจาะจง) มีความชัดเจนและกำหนดผลตอบแทนหรือ ผลลัพธ์ที่ต้องการที่ทุกคนสามารถเข้าใจได้อย่างชัดเจน Measurable (สามารถวัดได้) สามารถวัดผลการบรรลุวัตถุประสงค์ได้ Achievable (สามารถบรรลุผลได้) มีความเป็นไปได้ที่จะบรรลุ วัตถุประสงค์ภายใต้เงื่อนไขการใช้ทรัพยากรที่มีอยู่ในปัจจุบัน Relevant (มีความเกี่ยวข้อง) มีความสอดคล้องกับกลยุทธ์และ เป้าหมายในการดำเนินงานขององค์กร Timeliness (มีกำหนดเวลา) สามารถกำหนดระยะเวลาที่ต้องการ บรรลุผล

37 การบ่งชี้เหตุการณ์ (Event Identification)
เป็นการระบุเหตุการณ์ความเสี่ยงหรือความไม่แน่นอนที่อาจเกิดขึ้น โดยพิจารณาจากปัจจัยทั้งภายในและภายนอก

38 ตัวอย่างการระบุเหตุการณ์
ประเภทความเสี่ยง เหตุการณ์/กิจกรรม ความเสี่ยงที่อาจเกิดขึ้น ความเสี่ยงด้านกลยุทธ์ การบริหารงาน - กำหนดกลยุทธ์ผิดพลาดไม่สอดคล้องกับวิสัยทัศน์ ขององค์กร การนำกลยุทธ์ไปปฏิบัติ - กิจกรรมตามแผนกลยุทธ์ไม่สามารถนำไปสู่การบรรลุวัตถุประสงค์องค์กรได้ การแข่งขันทางกลยุทธ์ - กลยุทธ์ขององค์กรขาดการพัฒนาให้ทันต่อสถานการณ์จนไม่สามารถแข่งขันกับคู่แข่งได้

39 ตัวอย่างการระบุเหตุการณ์
ประเภทความเสี่ยง เหตุการณ์/กิจกรรม ความเสี่ยงที่อาจเกิดขึ้น ความเสี่ยง ด้านการปฏิบัติงาน บุคลากรในหน่วยงาน - ขาดทักษะ, ความชำนาญและความรู้เฉพาะทาง ความปลอดภัย - เกิดอุบัติเหตุ หรือได้รับอันตรายจากการปฏิบัติงาน เทคโนโลยี/นวัตกรรม - เทคโนโลยีล้าสมัย - ถูกละเมิดลิขสิทธิ์ สิ่งแวดล้อม - สร้างมลพิษแก่ชุมชนรอบข้าง - สร้างความเดือดร้อนแก่ประชาชน

40 ตัวอย่างการระบุเหตุการณ์
ประเภทความเสี่ยง เหตุการณ์/กิจกรรม ความเสี่ยงที่อาจเกิดขึ้น ความเสี่ยงด้านการเงิน งบประมาณ - เบิกจ่ายงบประมาณไม่ทันตามกำหนดเวลา หนี้สิน - องค์กรขาดสภาพคล่องในการชำระหนี้ - เกิดหนี้สูญจากลูกหนี้ ตลาดสินค้าและการเงิน - การเปลี่ยนแปลงของราคาวัตถุดิบ , อัตราแลกเปลี่ยน , ดอกเบี้ย ฯลฯ

41 ตัวอย่างการระบุเหตุการณ์
ประเภทความเสี่ยง กระบวนการ/กิจกรรม ความเสี่ยงที่อาจเกิดขึ้น ความเสี่ยง ด้านการปฏิบัติตาม กฏ/ระเบียบ/ข้อบังคับ การละเมิดสัญญา - ดำเนินงานไม่เสร็จตามกำหนดในสัญญา - กระบวนการดำเนินงานไม่เป็นไปตามข้อตกลง การเปลี่ยนแปลงกฏระเบียบ - ผู้เสียผลประโยชน์หรือบุคลากรในหน่วยงานต่อต้าน กฏระเบียบใหม่ - หน่วยงานได้รับความเสียหายในทางใดทางหนึ่งจาก การเปลี่ยนแปลงกฏหมาย

42 การประเมินความเสี่ยง (Risk Assessment)
การประเมินความเสี่ยงจะช่วยให้องค์กรทราบว่า เหตุการณ์ความเสี่ยง/ความไม่แน่นอนที่เกิดขึ้นส่งผลกระทบต่อการบรรลุเป้าหมายขององค์กรเป็นอย่างไร โดยการวิเคราะห์จากโอกาสที่จะเกิดเหตุการณ์และผลกระทบหากเกิดเหตุการณ์นั้นขึ้น

43 การตอบสนองความเสี่ยง (Risk Response)
การคัดเลือกทางเลือกที่เหมาะสมกับการจัดการความเสี่ยงที่เกิดขึ้น โดยจะต้องเลือกทางเลือกที่คาดว่าจะสามารถทำให้โอกาสและผลกระทบของความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้

44 การตอบสนองความเสี่ยง (การจัดการความเสี่ยง)
1. การหลีกเลี่ยง (Avoidance) 2. การยอมรับ (Acceptance) 3. การลด (Reduction) 4. การโอน/กระจาย (Sharing)

45 การตอบสนอง (การจัดการ) ความเสี่ยง (Risk Response) มี 4 แนวทางหลัก
การหลีกเลี่ยงความเสี่ยง (Avoidance/Terminate) ไม่ทำ /เลิกกิจกรรมนั้น การยอมรับความเสี่ยง (Acceptance /Take) ) อาจเป็นเพราะระดับความเสี่ยงต่ำมากจนไม่คุ้ม หรือสูงเกินไปเสียจนไม่มีหนทางที่จะจัดการกับความเสี่ยงนั้น การลดความเสี่ยง (Reduction/Treat) อาจลดโอกาส หรือผลกระทบ หรือลดทั้ง 2 อย่าง การโอนหรือกระจายความเสี่ยง (Sharing/Transfer) อาจลดโอกาส หรือผลกระทบ โดยการโอนความเสี่ยง (ทำประกัน) หรือแชร์บางส่วนของความเสี่ยง หรือการ Outsourcing

46 กิจกรรมการควบคุม (Control Activities)
นโยบาย มาตรการ และวิธีการต่างๆ ที่ ฝ่ายบริหารกำหนดหรือนำมาใช้ที่ทำให้มั่นใจได้ว่า การจัดการความเสี่ยงที่จะทำขึ้นได้ถูกนำไปปฏิบัติ อย่างทั่วถึงทั้งองค์กรอย่างเหมาะสม

47 ตัวอย่างกิจกรรมการควบคุม
1. การกำหนดระเบียบ ข้อบังคับ วิธีปฏิบัติ 2. การแบ่งแยกหน้าที่ความรับผิดชอบ 3. การควบคุมทางกายภาพ 4. การจัดทำบัญชี ทะเบียน รายงาน 5. การกำหนดขอบเขต อำนาจหน้าที่ความรับผิดชอบ 6. การสับเปลี่ยนหมุนเวียนงาน 7. การควบคุมการประมวลผลข้อมูล 8. การกำหนดดัชนีวัดผลการดำเนินงาน ฯลฯ

48 ตัวอย่างกิจกรรมการควบคุม
เพื่อการป้องกันสิ่งที่ไม่พึงประสงค์ ข้อผิดพลาด ทุจริต ระบบคอมพิวเตอร์ ตรวจเลขที่บัญชี ที่พนักงานคีย์เข้า ทำลายเอกสาร ที่มีข้อมูลสำคัญเพื่อกันการรั่วไหล พนักงานอ่านและ ทำความเข้าใจ นโยบายและคู่มือ ผู้บริหาร อนุมัติ คำขอจัดซื้อ ระบบ ให้สิทธิ การเข้าถึงข้อมูลเฉพาะผู้มีอำนาจหน้าที่ อาคารและระบบความปลอดภัย จำกัด การเข้าถึงสินทรัพย์ ไม่วาง อาหารและเครื่องดื่มใกล้อุปกรณ์คอมพิวเตอร์ สำรองข้อมูล เป็นระยะตามระดับความสำคัญ เก็บ รหัสผ่าน เป็นความลับ ติดตั้งและใช้งานซอฟแวร์ ป้องกันไวรัส

49 สารสนเทศและการสื่อสาร (Information and Communication)
การระบุสารสนเทศที่จำเป็นทั้งจากแหล่งข้อมูลภายในและภายนอกองค์กร และมีระบบการสื่อสารไปถึงบุคลากรในองค์กร เพื่อให้สามารถปฏิบัติงานตามหน้าที่ความรับผิดชอบได้อย่างถูกต้อง

50 การติดตามผล (Monitoring)
การบริหารความเสี่ยงขององค์กร จะมีความสมบูรณ์ครบถ้วนได้ จะต้องมีการทบทวน ติดตาม และปรับปรุงแก้ไขการบริหารความเสี่ยงตามความจำเป็นและเหมาะสม การติดตามผลสามารถจะบรรลุความสำเร็จได้ โดยอาศัยกิจกรรมการจัดการระหว่างการปฏิบัติงานอย่างต่อเนื่อง (ongoing management activities) และ/หรือ การประเมินผลอย่างอิสระ (separate evaluations)

51 ตัวอย่าง - การจัดระบบการบริหารความเสี่ยงขององค์กร สิ่งที่ต้องจัดเตรียม
ขั้นตอนหรือกิจกรรม ผลลัพธ์ ขั้นที่ 1 การวางแผนการ ประชุมเชิงปฏิบัติการ ผลการประชุมเชิงปฏิบัติการ ด้านความเสี่ยงครั้งก่อน การค้นคว้าข้อมูลเบื้องต้น วางแผนการประชุม ทำการยืนยันผู้เข้าร่วมประชุม จัดเตรียมบทสรุปเป็นแนวทาง สำหรับผู้เข้าร่วมประชุม แผนการประชุม รายชื่อผู้เข้าร่วมประชุม เอกสารที่จัดเตรียม ล่วงหน้า ขั้นที่ 2 การดำเนินการ ประชุมเชิงปฏิบัติการ การหารือเกี่ยวกับกลยุทธ์องค์กร แผนงาน /โครงการขององค์กร ทำการยืนยันเป้าหมายหรือวัตถุประสงค์ขององค์กร ทำความเข้าใจกับการระดมสมองของบุคลากรในองค์กร การระบุและหารือความเสี่ยง รายการความเสี่ยง การวิเคราะห์ความเสี่ยง และจัดลำดับความสำคัญความเสี่ยงที่ได้กำหนดไว้แล้ว การจัดลำดับความเสี่ยงตามโอกาสเกิดและผลกระทบ ความเสี่ยงที่ได้ถูกจัดลำดับความสำคัญแล้ว การหารือเพื่อระบุผู้รับผิดชอบความเสี่ยงและการตอบสนองความเสี่ยง การระบุการตอบสนองหรือจัดการความเสี่ยงปัจจุบันและผู้รับผิดชอบความเสี่ยง แผนผังและหรือตาราง การจัดการความเสี่ยง ขั้นที่ 3 การกำหนด แผนปฏิบัติการ ทำการหารือกับผู้เกี่ยวข้องโดยใช้ตารางความเสี่ยง ผู้รับผิดชอบความเสี่ยงทำการกำหนดแผนปฏิบัติการ ลำดับความสำคัญของแผนการปฏิบัติการตามวันที่ต้องการนำไปดำเนินการจริง ขั้นที่ 4 การติดตามผล การจัดลำดับแผนการปฏิบัติการ ทำการสอบทานความคืบหน้าแผนการปฏิบัติการ รายการความคืบหน้า

52 กระบวนการบริหารความเสี่ยง
การกำหนดวัตถุประสงค์ การระบุความเสี่ยง การประเมินความเสี่ยง การเลือกวิธีการจัดการความเสี่ยง การติดตามและประเมินผล

53 แนวทางดำเนินการ  มีวิธีการที่หลากหลาย
 มีวิธีการที่หลากหลาย  ขึ้นอยู่กับความพร้อม ขนาด และความซับซ้อนขององค์กร  จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง

54 เป้าหมาย ความเสี่ยง และการควบคุม
เป้าหมาย ความเสี่ยง และการควบคุม สิ่งที่หน่วยงานต้องการ เป้าหมาย สิ่งที่ทำให้ไม่สามารถ บรรลุเป้าหมาย ความเสี่ยง สิ่งที่ช่วยให้สามารถ บรรลุเป้าหมาย การควบคุม

55 ประสิทธิภาพ / ประสิทธิผล / คุ้มค่า การประเมินผลการควบคุมภายใน
Input Process Output ประสิทธิภาพ / ประสิทธิผล / คุ้มค่า การประเมินผลการควบคุมภายใน

56 การดำเนินงานของแต่ละหน่วยงาน
ลดความเสี่ยง สิ่งที่ต้องการ ระบบ ปฏิบัติงาน ระบบ ควบคุม กระบวนการทำงาน

57 IC is a process, effected by an entity’s board of director, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the follow categories : 1. E&E of operation 2. Reliable of reporting 3. Comply with law and regulations กระบวนการในการปฏิบัติงานที่ผู้กำกับดูแล ฝ่ายบริหาร และบุคลากรของหน่วยงานจัดให้มีขึ้น เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่าการดำเนินงานของหน่วยงานจะบรรลุ วัตถุประสงค์ ดังต่อไปนี้ 1. เพื่อให้เกิดประสิทธิผลและประสิทธิภาพของการดำเนินงาน 2. เพื่อให้เกิดความเชื่อถือได้ของการรายงานทางการเงิน 3. เพื่อให้เกิดการปฏิบัติตามกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง 57

58 สรุปแนวคิดพื้นฐานของการควบคุมภายใน
เป็น “ กระบวนการ ” ที่แทรกอยู่ในการปฏิบัติงานตามปกติ เกิดขึ้นได้จาก “ บุคลากรทุกระดับ ” ในองค์กร ทำให้เกิด “ ความมั่นใจอย่างสมเหตุสมผล ” ว่าการดำเนินงานจะบรรลุผลสำเร็จตามวัตถุประสงค์

59 องค์ประกอบการควบคุมภายใน
การติดตามและประเมินผล สารสนเทศและการสื่อสาร กิจกรรมการควบคุม สารสนเทศและการสื่อสาร การประเมินความเสี่ยง สภาพแวดล้อมการควบคุม

60 วัตถุประสงค์ของการควบคุมภายใน
ความน่าเชื่อถือได้ของข้อมูลรายงานทางการเงิน การปฏิบัติตามกฎ ระเบียบและข้อบังคับ วัตถุประสงค์ของการควบคุมภายใน เพื่อให้การปฏิบัติงานเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล การใช้ทรัพยากรเป็นไปอย่างประหยัดและคุ้มค่า ประสิทธิภาพและประสิทธิผลในการดำเนินงาน คือ วัตถุประสงค์พื้นฐานของ การดำเนินงาน โดยมุ่งเน้นที่กระบวนการที่มีคุณภาพ หรือมีประสิทธิผล ในขณะเดียวกันผลที่ได้รับจากกระบวนการนั้นต้องคุ้มค่ากับต้นทุนที่ใช้ไป จึงจะทำให้เกิดความมีประสิทธิภาพ 2. เพื่อให้มีข้อมูลและรายงานทางการเงินที่ถูกต้อง เพียงพอ และเชื่อถือได้ สร้างความมั่นใจให้กับฝ่ายบริหารและบุคคลภายนอกในการนำข้อมูลดังกล่าว ไปใช้ประกอบการพิจารณาตัดสินใจในเรื่องต่างๆ 3. เพื่อให้ปฏิบัติงานเป็นไปตามกฎหมาย ระเบียบ ข้อบังคับ เงื่อนไขสัญญา ข้อตกลง นโยบายและแนวทางการปฏิบัติงานต่าง ๆ ที่เกี่ยวข้อง ความมีประสิทธิภาพและประสิทธิผลการดำเนินงาน

61 ลักษณะของการควบคุมภายใน
1. Hard Controls 2. Soft Controls

62 ความเสี่ยง การควบคุม การบริหารความเสี่ยง
ความเสี่ยง การควบคุม การบริหารความเสี่ยง เป้าหมาย/วัตถุประสงค์ สอดรับกับภารกิจของหน่วยงาน ระบุปัจจัยเสี่ยง สอบทาน สภาพแวดล้อมการควบคุม วิเคราะห์ ระดับความสำคัญ ไม่มีนัยสำคัญ ยอมรับความเสี่ยง ลด/ป้องกันความเสี่ยง สามารถปฏิบัติได้ หลีกเลี่ยงไม่ทำ -โอน/กระจายความเสี่ยง ทำไปแก้ไขตามสถานการณ์ มีนัยสำคัญ จัดกิจกรรมการควบคุม วิเคราะห์ ความคุ้มค่า ไม่ใช่ กลยุทธ์การบริหารความเสี่ยง ใช่ ระบบการควบคุมภายใน

63 COSO : ERM COSO : IC Strategic Operation Reporting Compliance Operation Financial Reporting Compliance

64 Information & Communication Monitoring Control Environment
COSO : ERM COSO : IC Internal Environment Objective Setting Event Identification Risk Assessment Risk Response Control Activities Information & Communication Monitoring Control Environment Risk Assessment Control Activities Information & Communication Monitoring

65 ERM ขยายและต่อเติมมาจากองค์ประกอบที่กำหนดไว้ใน IC Framework
COSO IC & COSO ERM ERM ขยายและต่อเติมมาจากองค์ประกอบที่กำหนดไว้ใน IC Framework ERM แยกเรื่องของการกำหนดวัตถุประสงค์ออกมาเป็นหนึ่งองค์ประกอบ แต่ใน IC นั้น วัตถุประสงค์เป็นเรื่องที่ต้องมาก่อนเหนือสิ่งอื่นใด ERM ขยายเรื่องการรายงานทางการเงิน (Financial Reporting) และเรื่องการประเมินความเสี่ยง (Risk Assessment) ของ IC Framework ให้กว้างขึ้น Some differences include (note not all as time is limited): The choice made by management and its implementation is part of management’s broader role, and are not part of ERM The Internal Control – Integrated Framework specified the three objective categories of operations, external financial reporting and compliance. Enterprise risk management also specifies three objective categories – operations, reporting, and compliance. The reporting category expands the scope of financial reporting as defined in the Internal Control – Integrated Framework to include a broader array of reporting, Event identification – ERM considers potential events, defining an event as an incident, or series of incidents emanating from internal or external sources that could affect the implementation of strategy and achievement objectives. ERM also considers alternatives in setting strategy, identifies events using a combination of techniques that consider both past and potential future events as well as emerging trends, considers what triggers events and groups potential events into risk categories.

66 COSO : ERM Framework การบริหารความเสี่ยงนั้น องค์กรโดยฝ่ายบริหาร ต้องมองภาพความเสี่ยงทั้งหมด (portfolio view of risk) ซึ่งก็คือ “Big Picture” ในการที่จะเลือกดำเนินการกับความเสี่ยง ฝ่ายบริหารต้องพิจารณาว่าความเสี่ยงแต่ละอย่างมี ความเกี่ยวข้องกันอย่างไร

67 ประโยชน์ของ ERM  จัดให้กลยุทธ์ต่างๆ เข้ากันได้กับ risk appetite
 ช่วยให้การตัดสินใจในเรื่องการโต้ตอบกับความเสี่ยงทำได้ดีขึ้น  ลดสิ่งที่ไม่คาดฝันและความสูญเสียที่จะเกิดในการดำเนินงาน ทำให้การระบุและจัดการความเสี่ยงที่ต่อเนื่องกันอย่างทั่วถึง ทุกระดับ เนื่องมาจากการมองถึงเหตุการณ์ในอนาคตที่อาจเกิดขึ้นได้ ทำให้อาจมองเห็น “โอกาส” และฉวยโอกาสนั้นอย่างเชิงรุกได้

68 การบริหารความเสี่ยงองค์กร
แนวคิดเดิม แนวคิดใหม่ แยกส่วน บูรณาการ ทำเป็นครั้งคราว ทำอย่างต่อเนื่อง เน้นมุมแคบ เน้นมุมกว้าง ควบคุมกระบวนการ บรรลุยุทธศาสตร์

69 ข้อจำกัดของ ERM ความเสี่ยงเป็นเรื่องของอนาคตซึ่งมีความไม่แน่นอน

70 ข้อจำกัดของ ERM ERM ไม่สามารถให้ความเชื่อมั่นอย่างเต็มที่ (Absolute Assurance) เนื่องจากปัจจัยหลายกรณี เช่น ปัจจัยภายใน ได้แก่ management override, judgment (error, wrong decision), breakdowns, collusion, and cost vs. benefit ปัจจัยภายนอก ได้แก่ การเปลี่ยนแปลงในนโยบายของภาครัฐ เศรษฐกิจ การเมือง หรือการดำเนินการจากคู่แข่ง เป็นต้น

71 การควบคุมภายในภาคราชการ
การบริหารราชการให้บรรลุเป้าหมายตามนโยบายรัฐบาล การบริหารความเสี่ยงองค์กร แผนการบริหารราชการแผ่นดิน แผนปฏิบัติราชการ 4 ปี การควบคุมภายใน แผนปฏิบัติราชการประจำปี Input แผนของหน่วยปฏิบัติ งาน/โครงการ Process แผนปฏิบัติราชการ วิสัยทัศน์ พันธกิจ ยุทธศาสตร์ เป้าหมาย แผนปฏิบัติการ Output ประสิทธิภาพ / ประสิทธิผล / คุ้มค่า การประเมินผลการควบคุมภายใน PMQA สำนักกำกับและพัฒนาการตรวจสอบภาครัฐ กรมบัญชีกลาง

72 Strategic Formulation Performance Management
Risk Management/ Internal Control Performance Management Vision & Strategy วิสัยทัศน์ แผนการบริหารความเสี่ยง ความเสี่ยง มาตรการจัดการความเสี่ยง มาตรการจัดการ ความเสี่ยงเพิ่มเติม พันธกิจ ยุทธศาสตร์ เป้าหมาย แผนปฏิบัติการ แผนการควบคุมภายใน ความเสี่ยง มาตรการควบคุม มาตรการควบคุม เพิ่มเติม Process & Activity แผนงาน การดำเนินงาน งาน/โครงการ 2 งาน/โครงการ 3 งาน/โครงการ n หน่วยงาน / ส่วนงานย่อยภายในองค์กร

73 Vision Mission Goal Target Strategy
วิสัยทัศน์ สิ่งที่อยากจะให้หน่วยงานเป็นในอีก 3 – 5 ปีข้างหน้า พันธกิจ กรอบ ขอบเขต การดำเนินงานของหน่วยงาน ประเด็นยุทธศาสตร์ ประเด็นหลักต้องคำนึงถึง ต้องพัฒนา ต้องมุ่งเน้น เป้าประสงค์ อะไรคือสิ่งที่หน่วยงานอยากจะบรรลุ ตัวชี้วัด สิ่งที่จะเป็นตัวบอกว่าหน่วยงานสามารถบรรลุเป้าประสงค์หรือไม่ เป้าหมาย ตัวเลข หรือ ค่า ของตัวชี้วัดที่จะต้องไปให้ถึง Vision Mission Strategic Issues Goal Key Performance Indicators Target Strategy กลยุทธ์ สิ่งที่หน่วยงานจะทำเพื่อให้บรรลุเป้าประสงค์

74 PMQA Model 4. การวัด การวิเคราะห์ และการจัดการความรู้
2. การวางแผน เชิงยุทธศาสตร์ 5. การมุ่งเน้น ทรัพยากรบุคคล 1. การนำองค์กร 7. ผลลัพธ์ การดำเนินการ 3. การให้ความสำคัญ กับผู้รับบริการและ ผู้มีส่วนได้ส่วนเสีย 6. การจัดการ กระบวนการ 4. การวัด การวิเคราะห์ และการจัดการความรู้ 74 74

75 Inherent risk Internal Control Control risk Audit Technique Detection risk Management’s Acceptance of Risks? Residual Risk Audit Risk = IR x CR x DR

76 การควบคุมภายในและการบริหารความเสี่ยง
การตอบสนองความเสี่ยง การระบุวิธีการจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ การประเมินความเสี่ยง ระดับของความเสี่ยง ผลกระทบของความเสี่ยง โอกาสที่จะเกิดความเสี่ยง ความเสี่ยงสูงมาก ความเสี่ยงสูง ความเสี่ยงปานกลาง ความเสี่ยงต่ำ 1 2 3 4 5 ความเสี่ยงก่อนการควบคุม การ ควบคุม การ ควบคุม ความเสี่ยงคงเหลือหลัง มาตรการควบคุม แผนจัดการความเสี่ยงเพิ่มเติม ความเสี่ยงคงเหลือที่ยอมรับได้ * สูงมาก * สูง * ปานกลาง * ต่ำ * หลีกเลี่ยง * กระจาย/โอน * ลด/ควบคุม * ยอมรับ โดยคำนึงถึงต้นทุนและผลประโยชน์ที่จะได้รับ สำนักกำกับและพัฒนาการตรวจสอบภาครัฐ กรมบัญชีกลาง

77 บทบาทหน้าที่และความรับผิดชอบในการบริหารความเสี่ยง
ทุกคนในองค์กร มีความรับผิดชอบต่อการบริหารความเสี่ยงองค์กรที่จะกระทบต่อ วัตถุประสงค์หรือเป้าหมายที่รับผิดชอบ โดยสอดคล้องกับคำสั่งและร่างข้อตกลงที่ได้ กำหนดไว้ คณะกรรมการ มีหน้าที่กำกับดูแลให้มีนโยบายและการบริหารความเสี่ยงที่มี ประสิทธิผล ผู้บริหารสูงสุด มีความรับผิดชอบสูงสุด และรับบทบาทเป็นเจ้าของหรือเจ้าภาพที่จะจัด ให้มีกระบวนการบริหารความเสี่ยงที่มีประสิทธิภาพ ผู้บริหารอื่นๆ มีหน้าที่สนับสนุนปรัชญาการบริหารความเสี่ยงองค์กร ส่งเสริมความ ร่วมมือต่อระดับความเสี่ยงที่องค์กรยอมรับได้ และจัดการกับความเสี่ยงภายในขอบเขต ความรับผิดชอบที่สอดคล้องกับเกณฑ์ความคลาดเคลื่อนของความเสี่ยงที่องค์กร ยอมรับได้ เจ้าหน้าที่ผู้ปฏิบัติงาน มีหน้าที่สนับสนุนกระบวนการบริหารความเสี่ยง ผู้ตรวจสอบภายใน มีหน้าที่สอบทานและประเมินประสิทธิผลของการบริหารความเสี่ยง ผู้สอบบัญชีภายนอก/หน่วยงาน/บุคคลอื่นภายนอกองค์กร ไม่มีความรับผิดชอบต่อ ประสิทธิผลของการบริหารความเสี่ยง

78 การสนับสนุนจากผู้บริหาร การดำเนินการต่อเนื่อง การสื่อสารมีประสิทธิผล
เป้าหมายที่ชัดเจน ความรับผิดชอบ ปัจจัยสู่ความสำเร็จ การดำเนินการต่อเนื่อง การสื่อสารมีประสิทธิผล การวัดและติดตามผล

79 ระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วย
การกำหนดมาตรฐานการควบคุมภายใน พ.ศ. 2544 ให้ หน่วยรับตรวจเป็นผู้จัดวางระบบการควบคุมภายใน และให้มีการรายงานผลการประเมินความเพียงพอและประสิทธิผลของระบบการควบคุมภายใน โดยเสนอรายงานต่อคณะกรรมการตรวจเงินแผ่นดิน ผู้กำกับดูแล และคณะกรรมการตรวจสอบ (ถ้ามี) ภายใน 90 วันนับจากวันสิ้นปีงบประมาณหรือปีปฏิทิน โดยมีรายละเอียดดังนี้ (1) ทำความเห็นว่าระบบการควบคุมภายในของหน่วยรับตรวจที่ใช้อยู่มีมาตรฐานตามระเบียบฯ (2) รายงานผลการประเมินความเพียงพอและประสิทธิผลของระบบการควบคุมภายใน ในการบรรลุวัตถุประสงค์และเป้าหมายที่กำหนด รวมทั้งข้อมูลสรุปผลการประเมิน แต่ละองค์ประกอบของการควบคุมภายใน ประกอบด้วย 5 องค์ประกอบ (3) จุดอ่อนของระบบการควบคุมภายในพร้อมข้อเสนอแนะและแผนการปรับปรุงระบบ การควบคุมภายใน 82 เกศริน ภัทรเปรมเจริญ

80 ข้อกำหนดตามระเบียบฯ คตง.
ฝ่ายบริหารต้องจัดให้มีการติดตามประเมินผลอย่างต่อเนื่องและสม่ำเสมอ โดย  การติดตามผลในระหว่างการปฏิบัติงาน  การประเมินผลเป็นรายครั้ง การประเมินการควบคุมด้วยตนเอง (Control Self Assessment : CSA.) การประเมินการควบคุมอย่างเป็นอิสระ (Independent Assessment)

81 การจัดทำรายงานการควบคุมภายในภาพรวมจังหวัด
รูปแบบการประเมินผลการควบคุมภายใน การประเมินผลการควบคุมด้วยตนเอง (Control Self Assessment) การประเมินผลการควบคุมอย่างเป็นอิสระ (Independent Assessment) เกศริน ภัทรเปรมเจริญ

82 การจัดทำรายงานการควบคุมภายในภาพรวมจังหวัด
รูปแบบการประเมินผลการควบคุมภายใน การประเมินผลการควบคุมด้วยตนเอง (Control Self Assessment) เป็นการประเมินผลในลักษณะความร่วมมือกันระหว่างผู้บริหารกับผู้ปฏิบัติงาน ที่มีส่วนเกี่ยวข้องโดยตรงกับ การปฏิบัติงานตามระบบการควบคุมภายในที่วางไว้ การประเมินผลภายในส่วนราชการ/จังหวัด การประเมินผลการควบคุมภายในของส่วนราชการ/จังหวัด การประเมินผลการควบคุมภายในภาพรวม เกศริน ภัทรเปรมเจริญ 83

83 การจัดทำรายงานการควบคุมภายในภาพรวมจังหวัด
รูปแบบการประเมินผลการควบคุมภายใน การประเมินผลการควบคุมอย่างเป็นอิสระ (Independent Assessment) การประเมินผลภายในส่วนราชการ/จังหวัด การประเมินผลการควบคุมภายในโดยผู้ตรวจสอบภายใน เป็นการประเมินผลโดยผู้ที่ไม่มีที่มีส่วนเกี่ยวข้องโดยตรงกับการกำหนดมาตรการหรือออกแบบระบบการควบคุมภายในของหน่วยงาน เช่น ผู้ตรวจสอบภายใน ผู้ตรวจสอบ/ประเมินภายนอก หน่วยงานที่ทำหน้าที่ประเมินผล เป็นต้น เกศริน ภัทรเปรมเจริญ 84

84 การรายงานตามระเบียบฯ ข้อ 6
การจัดทำรายงานการควบคุมภายในภาพรวมจังหวัด การรายงานตามระเบียบฯ ข้อ 6 ระดับหน่วยงานย่อย - รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน - แบบ ปย. 1 - รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน - แบบ ปย. 2 ระดับองค์การ - หนังสือรับรองการประเมินผลการควบคุมภายใน - แบบ ปอ. 1 - รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน - แบบ ปอ. 2 - รายงานแผนการปรับปรุงการควบคุมภายใน - แบบ ปอ. 3 ผู้ตรวจสอบภายใน - รายงานผลการสอบทานการประเมินการควบคุมภายใน - แบบ ปส. 87 เกศริน ภัทรเปรมเจริญ สำนักกำกับและพัฒนาการตรวจสอบภาครัฐ กรมบัญชีกลาง 85

85 แนวทางการจัดวางระบบการควบคุมภายใน
กำหนดวัตถุประสงค์ ระบุปัจจัยเสี่ยง แผนปฏิบัติงาน / โครงการ ติดตามและประเมินผล ดำเนินการตามระบบ ฯ จัดกิจกรรมการควบคุม จัดทำรายงานการควบคุมภายใน

86 ขั้นตอนการจัดทำรายงานตามแนวทางของ คตง.
ส่วนราชการ / จังหวัด ผู้ตรวจสอบภายใน แบบประเมินองค์ประกอบ ของการควบคุมภายใน ประเมินผลและปรับปรุงการควบคุม ปย.2 งวดก่อน สอบทานและประเมินผล การควบคุมภายใน ปย.1 ปย.2 ปส. ปอ.2 ปอ.3 ปอ.1 ส่ง สตง. ภายใน 30 ธ.ค. ของทุกปี

87 ส่วนราชการ คตง. ส่วนงานย่อย 1 ส่วนงานย่อย 2 ส่วนงานย่อย 3 แบบ ปอ. 1
แบบ ปย. 1 แบบ ปย. 2 ส่วนราชการ ส่วนงานย่อย 2 แบบ ปย. 1 แบบ ปย. 2 ส่วนงานย่อย 3 แบบ ปย. 1 แบบ ปย. 2 แบบ ปอ. 1 แบบ ปอ. 2 แบบ ปอ. 3 คตง. ส่วนงานย่อย 4 แบบ ปย. 1 แบบ ปย. 2

88 หนังสือรับรองการจัดวางระบบการควบคุมภายใน
เรียน คณะกรรมการตรวจเงินแผ่นดิน .....(ชื่อหน่วยงาน)...ขอรับรองว่า ได้จัดวางระบบการควบคุมภายใน และนำมาใช้สำหรับการปฏิบัติงานในปัจจุบัน โดยมีวัตถุประสงค์เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า การดำเนินงานของ.....(ชื่อหน่วยงาน) จะบรรลุวัตถุประสงค์ของการควบคุมภายในด้านประสิทธิผลและประสิทธิภาพของการดำเนินงานและการใช้ทรัพยากร ซึ่งรวมถึงการดูแลรักษาทรัพย์สิน การป้องกันหรือลดความผิดพลาด ความเสียหาย การรั่วไหล การสิ้นเปลืองหรือการทุจริต ด้านความเชื่อถือได้ของรายงานทางการเงิน และด้านการปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ มติคณะรัฐมนตรี และนโยบาย ซึ่งรวมถึงระเบียบปฏิบัติของฝ่ายบริหาร ทั้งนี้ .....(ชื่อหน่วยงาน)... จะกำหนดให้มีการประเมินผลระบบการควบคุมภายในที่นำมาใช้ในปัจจุบัน เพื่อปรับปรุงให้มีประสิทธิผลและเพียงพอ ตามระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วยการกำหนดมาตรฐานการควบคุมภายใน พ.ศ.2544 ข้อ 6 ต่อไป ลายมือชื่อ ( ) ตำแหน่ง ผู้บริหารสูงสุดของหน่วยงาน..... วันที่ เดือน พ.ศ

89 แบบ ปย. 1 ชื่อส่วนงานย่อย รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน ณ วันที่ เดือน พ.ศ องค์ประกอบการควบคุมภายใน ( 1 ) ผลการประเมิน / ข้อสรุป ( 2 ) 1. 2. 3. 4. 5. ผลการประเมินโดยรวม ลายมือชื่อ ตำแหน่ง วันที่ 92

90 รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน
แบบ ปย. 2 ชื่อส่วนงานย่อย รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน ณ วันที่ เดือน พ.ศ กระบวนการปฏิบัติงาน โครงการ/กิจกรรม/ด้าน ของงานที่ประเมินและ วัตถุประสงค์ของ การควบคุม ( 1 ) ที่มีอยู่ ( 2 ) การประเมินผล ( 3 ) ความเสี่ยง ที่ยังมีอยู่ ( 4 ) การปรับปรุง ( 5 ) กำหนดเสร็จ/ผู้รับผิดชอบ ( 6 ) หมายเหตุ ( 7 ) ลายมือชื่อ ตำแหน่ง วันที่

91 หนังสือรับรองการประเมินผลการควบคุมภายใน
แบบ ปอ. 1 หนังสือรับรองการประเมินผลการควบคุมภายใน เรียน คณะกรรมการตรวจเงินแผ่นดิน / ผู้กำกับดูแล / คณะกรรมการตรวจสอบ (ชื่อหน่วยงาน) ได้ประเมินผลการควบคุมภายใน สำหรับปีสิ้นสุดวันที่ เดือน พ.ศ ด้วยวิธีการที่ (ชื่อหน่วยงาน) กำหนด โดยมีวัตถุประสงค์เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า การดำเนินงานจะบรรลุวัตถุประสงค์ของการควบคุมภายใน ด้านประสิทธิผลและประสิทธิภาพของการดำเนินงาน และการใช้ทรัพยากร ซึ่งรวมถึงการดูแลรักษาทรัพย์สิน การป้องกันหรือลดความผิดพลาด ความเสียหาย การรั่วไหล การสิ้นเปลือง หรือการทุจริต ด้านความเชื่อถือได้ของรายงานทางการเงินและการดำเนินงาน และ ด้านการปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ มติคณะรัฐมนตรี และนโยบาย ซึ่งรวมถึงระเบียบปฏิบัติของฝ่ายบริหาร จากผลการประเมินดังกล่าวเห็นว่าการควบคุมภายในของ (ชื่อหน่วยงาน) สำหรับปีสิ้นสุดวันที่ เดือน พ.ศ เป็นไปตามระบบการควบคุมภายในที่กำหนดไว้ มีความเพียงพอและบรรลุวัตถุประสงค์ของการควบคุมภายในตามที่กล่าวไว้ในวรรคแรก ลายมือชื่อ ตำแหน่ง วันที่

92 หนังสือรับรองการประเมินผลการควบคุมภายใน (ต่อ)
แบบ ปอ. 1 หนังสือรับรองการประเมินผลการควบคุมภายใน (ต่อ)  กรณีมีจุดอ่อนของการควบคุมภายในสามารถรายงานจุดอ่อนที่มีนัยสำคัญ จากผลการประเมินดังกล่าวเห็นว่าการควบคุมภายในของ (ชื่อหน่วยงาน) สำหรับปีสิ้นสุดวันที่ เดือน พ.ศ เป็นไปตามระบบการควบคุมภายในที่กำหนดไว้ มีความเพียงพอและบรรลุวัตถุประสงค์ของการควบคุมภายในตามที่กล่าวไว้ในวรรคแรก อนึ่งการควบคุมภายในยังคงมีจุดอ่อนที่มีนัยสำคัญ ดังนี้ ซึ่ง (ชื่อหน่วยงาน) จะดำเนินการปรับปรุงการควบคุมโดยกำหนดไว้ในแผนปฏิบัติงานประจำปีต่อไป ลายมือชื่อ ตำแหน่ง วันที่

93 แบบ ปอ. 2 ชื่อหน่วยงาน รายงานผลการประเมินองค์ประกอบการควบคุมภายใน ณ วันที่ เดือน พ.ศ องค์ประกอบการควบคุมภายใน ( 1 ) ผลการประเมิน / ข้อสรุป ( 2 ) 1. 2. 3. 4. 5. ผลการประเมินโดยรวม ลายมือชื่อ ตำแหน่ง วันที่

94 รายงานแผนการปรับปรุงการควบคุมภายใน
แบบ ปอ. 3 ชื่อหน่วยงาน รายงานแผนการปรับปรุงการควบคุมภายใน ณ วันที่ เดือน พ.ศ กระบวนการปฏิบัติงาน โครงการ/กิจกรรม/ด้าน ของงานที่ประเมินและ วัตถุประสงค์ของ การควบคุม ( 1 ) ความเสี่ยง ที่ยังมีอยู่ ( 2 ) งวด/เวลาที่ พบจุดอ่อน ( 3 ) การปรับปรุงการควบคุม ( 4 ) กำหนดเสร็จ/ ผู้รับผิดชอบ ( 5 ) หมายเหตุ ( 6 ) ลายมือชื่อ ตำแหน่ง วันที่

95 รายงานผลการสอบทานการประเมินผลการควบคุมภายใน
แบบ ปส. รายงานผลการสอบทานการประเมินผลการควบคุมภายใน เรียน ผู้บริหารสูงสุดของหน่วยงาน ข้าพเจ้าได้สอบทานการประเมินระบบการควบคุมภายในของ (ชื่อหน่วยงาน) สำหรับปีสิ้นสุดวันที่ เดือน พ.ศ การสอบทานได้ปฏิบัติอย่างสมเหตุสมผลและระมัดระวังอย่างรอบคอบ ผลการสอบทานพบว่า การประเมินผลการควบคุมภายในเป็นไปตามวิธีการที่กำหนด ระบบการควบคุมภายในมีความเพียงพอและสามารถบรรลุวัตถุประสงค์ของการควบคุมภายใน ลายมือชื่อ ตำแหน่ง หัวหน้าหน่วยตรวจสอบภายใน วันที่

96 รายงานผลการสอบทานการประเมินผลการควบคุมภายใน
แบบ ปส. รายงานผลการสอบทานการประเมินผลการควบคุมภายใน กรณีมีข้อตรวจพบหรือข้อสังเกตที่มีนัยสำคัญ ข้าพเจ้าได้สอบทานการประเมินผลการควบคุมภายในของ (ชื่อหน่วยงาน) สำหรับปีสิ้นสุดวันที่ เดือน พ.ศ การสอบทานได้ปฏิบัติอย่างสมเหตุสมพลและระมัดระวังอย่างรอบคอบผลการสอบทานพบว่าการประเมินผลการควบคุมภายในเป็นไปตามวิธีการที่กำหนด ระบบการควบคุมภายในมีความเพียงพอและสามารถบรรลุวัตถุประสงค์ของการควบคุมภายใน อย่างไรก็ตามมีข้อสังเกตที่มีนัยสำคัญ ดังนี้ ลายมือชื่อ ตำแหน่ง หัวหน้าหน่วยตรวจสอบภายใน วันที่

97 Questions & Answers

98 ตัวอย่างการบริหารความเสี่ยงองค์กร

99 ตัวอย่างการบริหารความเสี่ยง
วัตถุประสงค์ การเพิ่มประสิทธิภาพของผลผลิตหรือการให้บริการ ความเสี่ยง ไม่สามารถเพิ่มประสิทธิภาพของผลผลิตหรือการให้บริการ การระบุเหตุการณ์ การดำเนินงานอาจหยุดชะงัก เนื่องจากระบบงานและโครงสร้างพื้นฐานถูกทำลายจากภัยพิบัติ

100 ตัวอย่างการบริหารความเสี่ยง
วิธีการบริหารความเสี่ยง: จัดลำดับความสำคัญของระบบงานและโครงสร้างพื้นฐาน จัดทำ Recovery Plan ทดสอบและ Update Recovery Plan อย่างสม่ำเสมอ

101 ตัวอย่าง 1. การกำหนดวัตถุประสงค์ 2. ระบุเหตุการณ์
3. การประเมินความเสี่ยง วัตถุประสงค์ ตัวชี้วัด ค่าเป้าหมาย ประเภท ความเสี่ยง ระบุปัจจัยเสี่ยง ผล กระทบ โอกาส คะแนนความเสี่ยง ระดับความเสี่ยง ระดับความเสี่ยงที่ยอมรับ 1. เพื่อวางกรอบให้หน่วยงาน ที่เกี่ยวข้อง ร่วมดำเนินงานตามแนวทาง ที่กำหนดไว้ 1. ร้อยละ การดำเนินงาน ตามแผน 100% กลยุทธ์ การเปลี่ยนแปลงนโยบายรัฐบาล 4 5 20 สูงมาก สูง 2. ดัชนี ความพึงพอใจ ของผู้มีส่วนได้ ส่วนเสีย ระดับ 3 ค่านิยมของ ผู้ใช้บริการไม่ เอื้ออำนวยต่อองค์กร 3 12 ปานกลาง การปฏิบัติงาน ขาดประสิทธิภาพใน การปฏิบัติตาม แผนงาน 15 ขาดการสื่อสาร ภายในองค์กร 2 10 108

102 6. ระดับความเสี่ยงคงเหลือ
4. การตอบสนอง 5. การติดตาม 6. ระดับความเสี่ยงคงเหลือ ปัจจัยเสี่ยง แนวทางตอบสนอง กิจกรรมตอบสนอง การติดตาม ผู้รับผิดชอบ ผลกระทบคงเหลือ โอกาสคงเหลือ คะแนนความเสี่ยง ระดับความเสี่ยง การเปลี่ยนแปลง นโยบายรัฐบาล ลด - ติดตาม อย่างใกล้ชิด รายงานผู้บริหารฝ่ายทุกเดือน กองวางแผน 4 5 20 สูงมาก ค่านิยมของ ผู้ใช้บริการ ไม่เอื้ออำนวย ต่อองค์กร ประชาสัมพันธ์ เชิงกลยุทธ์ถึง กลุ่มเป้าหมาย เพื่อเปลี่ยนค่านิยม รายงานผู้บริหารฝ่ายทุก 3 เดือน ฝ่าย 3 12 สูง ขาดประสิทธิภาพ ในการปฏิบัติตาม แผนงาน สร้างระบบ ติดตามประเมินผล ตามแผนงาน - สื่อสารให้เกิด ความเข้าใจตรงกัน รายงาน ความคืบหน้า ต่อผู้บริหารระดับสูง ทุกเดือน ฝ่ายนโยบายและแผน 15 ขาดการสื่อสาร ภายในองค์กร - พัฒนาช่องทาง การสื่อสารและ จัดอบรมทักษะ การสื่อสารให้พนักงาน ต่อผู้บริหารระดับสูงทุก 3 เดือน ฝ่ายทรัพยากรมนุษษย์ 2 10 109

103 พระราชบัญญัติการศึกษาแห่งชาติ พ.ศ. ๒๕๔๒
แก้ไขเพิ่มเติม (ฉบับที่ ๒) พ.ศ. ๒๕๔๕ และ (ฉบับที่ ๓) พ.ศ. ๒๕๕๓ มาตรา ๔ ในพระราชบัญญัตินี้ “การศึกษา” หมายความว่า กระบวนการเรียนรู้ เพื่อความเจริญงอกงามของบุคคลและสังคมโดยการถ่ายทอดความรู้ การฝึก การอบรม การสืบสานทางวัฒนธรรม การสร้างสรรค์จรรโลง ความก้าวหน้าทางวิชาการ การสร้างองค์ความรู้อันเกิดจากการจัด สภาพแวดล้อม สังคม การเรียนรู้และปัจจัยเกื้อหนุนให้บุคคลเรียนรู้ อย่างต่อเนื่องตลอดชีวิต

104 ปัจจัยความสำเร็จของการศึกษา
ปัจจัยเชิงระบบ Context Input Process Out[ut 103

105 ปัจจัยความสำเร็จของการศึกษา
Context :- - กฎหมาย พระราชบัญญัติการศึกษา นโยบายการศึกษา - สภาวะเศรษฐกิจ การเมือง - สภาวะทางสังคม,การแข่งขัน - การเติบโตและพัฒนาทางเทคโนโลยี - การประกันคุณภาพการศึกษา ฯลฯ 104

106 ปัจจัยความสำเร็จของการศึกษา
Input :- - นโยบาย วัตถุประสงค์ - บุคลากร ผู้บริหาร ครูอาจารย์ นักเรียน - หลักสูตร - สื่อวัสดุอุปกรณ์ - ทรัพยาการ , งบประมาณ ฯลฯ 104

107 ปัจจัยความสำเร็จของการศึกษา
Process :- - การนำนโยบายไปปฏิบัติ การวางแผน - กระบวนการเรียนการสอน - การพัฒนาหลักสูตร , การพัฒนานักศึกษา - ระบบการบริหารงาน คน เงิน การบริการวิชาการ - การทำวิจัยการทำนุบำรุงศิลปวัฒนธรรม - การพัฒนาบุคลากร ฯลฯ 106

108 ปัจจัยความสำเร็จของการศึกษา
Output , Outcome :- - คุณลักษณะบัณฑิตที่พึงประสงค์ - งานวิจัยที่ได้รับการยอมรับ - งานบริการวิชาการที่มีประสิทธิภาพ - งานทำนุบำรุงศิลปวัฒนธรรมท้องถื่น 107

109 สวัสดี