ความเสี่ยงและการควบคุม

งานนำเสนอเรื่อง: "ความเสี่ยงและการควบคุม"— ใบสำเนางานนำเสนอ:

1 ความเสี่ยงและการควบคุม
(Risk and Control) 1 1

2 ขอบเขตวิชา  ความหมายและวัตถุประสงค์  องค์ประกอบการบริหารความเสี่ยง
 ความหมายและวัตถุประสงค์  องค์ประกอบการบริหารความเสี่ยง  ปัจจัยสำคัญต่อความสำเร็จในการบริหารความเสี่ยง  กรอบการควบคุมภายในตามแนวทาง COSO  การออกแบบการควบคุมภายใน 2 2

3 What ? ความเสี่ยง (Risk) การควบคุม (Control)
การบริหารความเสี่ยง (Risk Management)

4 รายงานตามหน้าที่รับผิดชอบ
ผู้บริหาร รายงานผลการตรวจสอบ รายงานตามหน้าที่รับผิดชอบ องค์กร ผู้ปฏิบัติงาน ผู้ตรวจสอบภายใน งานตรวจสอบภายใน 4

5 องค์กร Good Governance Internal Control Risk Management Internal Audit
5

6 2100 – Nature of Work The internal audit activity must evaluate and contribute to the improvement of governance , risk management, and control processes using a systematic and disciplined approach. ๒๑๐๐ ลักษณะของงานตรวจสอบภายใน การปฏิบัติงานตรวจสอบภายในต้องสามารถประเมินและช่วยสนับสนุนให้มีการปรับปรุงกระบวนการกำกับดูแล การบริหารความเสี่ยง และการควบคุมของส่วนราชการ โดยใช้วิธีการที่เป็นระบบและระเบียบ เพื่อให้การดำเนินงานของส่วนราชการเป็นไปอย่างมีประสิทธิภาพและประสิทธิผลยิ่งขึ้น ในอันที่จะช่วยเพิ่มคุณค่าให้กับส่วนราชการ

7 ๒๑๑๐ การกำกับดูแล การปฏิบัติงานตรวจสอบภายในต้องสามารถประเมินและให้คำแนะนำ ที่เหมาะสมในการปรับปรุงกระบวนการกำกับดูแล เพื่อให้บรรลุวัตถุประสงค์ต่างๆ ดังนี้ - เสริมสร้างจริยธรรมและคุณค่าให้เกิดภายในส่วนราชการ - ทำให้มั่นใจว่าการบริหารจัดการของส่วนราชการมีประสิทธิผล และเจ้าหน้าที่ผู้ปฏิบัติงานมีความรับผิดชอบ - มีการสื่อสารข้อมูลความเสี่ยงและการควบคุมภายในครอบคลุมหน่วยงานต่างๆ ภายในส่วนราชการ - มีการประสานงานและสื่อสารข้อมูลระหว่างผู้ตรวจสอบภายนอก ผู้ตรวจสอบภายใน และฝ่ายบริหารของส่วนราชการ

8 2110.A1 – The internal audit activity must evaluate the design, implementation, and effectiveness of the organization’s ethics-related objectives, programs, and activities. ๒๑๑๐.A๑ การปฏิบัติงานตรวจสอบภายในต้องสามารถประเมินการออกแบบ การนำไปสู่การปฏิบัติ และความมีประสิทธิผลของกิจกรรมงานหรือโครงการ รวมทั้งวัตถุประสงค์ที่มีส่วนเกี่ยวข้องกับการสร้างจริยธรรมของส่วนราชการ

9 2110.A2 – The internal audit activity must assess whether the information technology governance of the organization supports the organization’s strategies and objectives. ๒๑๑๐.A๒ การปฏิบัติงานตรวจสอบภายในต้องสามารถประเมินว่า การกำกับดูแลเทคโนโลยีสารสนเทศของส่วนราชการได้มีส่วนสนับสนุนวัตถุประสงค์และยุทธศาสตร์ของส่วนราชการ

10 2120 – Risk Management The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management process. ๒๑๒๐ การบริหารความเสี่ยง การปฏิบัติงานตรวจสอบภายในต้องสามารถประเมินความมีประสิทธิผล และสนับสนุนให้เกิดการปรับปรุงกระบวนการบริหารความเสี่ยง

11 - ความมีประสิทธิผลและประสิทธิภาพของการดำเนินงาน
2120.A1 – The internal audit activity must evaluate risk exposures relating to the organization’s governance, operations, and information systems regarding the: - Reliability and integrity of financial and operational information ; - Effectiveness and efficiency of operations and programs; - Safeguarding of assets; and - Compliance with laws, regulations, policies, procedures, and contracts. ๒๑๒๐.A๑ การปฏิบัติงานตรวจสอบภายในต้องประเมินความเสี่ยงที่เกี่ยวกับการกำกับดูแล การดำเนินงาน และระบบข้อมูลสารสนเทศในเรื่องต่างๆ ดังนี้ - ความถูกต้อง ครบถ้วน และความน่าเชื่อถือของข้อมูลสารสนเทศด้านการเงินและการดำเนินงาน - ความมีประสิทธิผลและประสิทธิภาพของการดำเนินงาน - การดูแลและรักษาทรัพย์สิน และ - การปฏิบัติตามกฎ ระเบียบ ข้อบังคับ นโยบาย วิธีการปฏิบัติงาน และข้อสัญญาต่างๆ

12 2120.A2 – The internal audit activity must evaluate the potential for the occurrence of fraud and how the organization manages fraud risk. ๒๑๒๐.A๒ การปฏิบัติงานตรวจสอบภายในต้องประเมินโอกาสของการเกิดทุจริต และวิธีการบริหารความเสี่ยงในเรื่องที่เกี่ยวข้องกับการทุจริต

13 2120.C1 – During consulting engagements, internal auditors must address risk consistent with the engagement’s objectives and be alert to the existence of other significant risks. ๒๑๒๐.C๑ ในระหว่างการปฏิบัติงานบริการให้คำปรึกษา ผู้ตรวจสอบภายในต้องสามารถระบุถึงความเสี่ยงที่มีผลกระทบต่อการปฏิบัติงาน และระมัดระวังความเสี่ยงอื่นๆ ที่มีนัยสำคัญที่อาจเกิดขึ้นด้วย

14 2120.C2 – Internal auditors must incorporate knowledge of risks gained from consulting engagements into their evaluation of the organization’s risk management processes. ๒๑๒๐.C๒ ผู้ตรวจสอบภายในต้องนำความรู้ในเรื่องของความเสี่ยงที่ได้รับจากการปฏิบัติงานบริการให้คำปรึกษามาใช้ในการประเมินผลกระบวนการบริหารความเสี่ยงของหน่วยงาน

15  2120.C3 – When assisting management in establishing or improving risk management processes, internal auditors must refrain from assuming any management responsibility by actually managing risks. ๒๑๒๐.C๓ การให้ความช่วยเหลือกับฝ่ายบริหารในการจัดให้มีหรือปรับปรุงกระบวนการบริหารความเสี่ยง ผู้ตรวจสอบภายในต้องพึงละเว้นในส่วนของการดำเนินการซึ่งเป็นหน้าที่ความรับผิดชอบของฝ่ายบริหาร

16 2130 – Control The internal audit activity must assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous improvement. ๒๑๓๐ การควบคุม การปฏิบัติงานตรวจสอบภายในต้องมีส่วนสนับสนุน และส่งเสริมให้มีการควบคุมในเรื่องต่างๆ ที่เหมาะสมและเพียงพอ โดยการประเมินประสิทธิผลและประสิทธิภาพของการควบคุม รวมทั้งสนับสนุนให้มีการปรับปรุงอย่างต่อเนื่อง

17 ๒๑๓๐.A๑ การปฏิบัติงานตรวจสอบภายในต้องประเมินถึงความเพียงพอและประสิทธิผลของการควบคุม เพื่อให้การควบคุมที่มีอยู่สามารถตอบสนองความเสี่ยงภายใต้การกำกับดูแล การดำเนินงาน และระบบข้อมูลสารสนเทศ ในเรื่องต่าง ๆ ดังนี้ - ความถูกต้อง ครบถ้วน และความน่าเชื่อถือของข้อมูลสารสนเทศด้านการเงินและการดำเนินงาน - ความมีประสิทธิผลและประสิทธิภาพของการดำเนินงาน - การดูแลและรักษาทรัพย์สิน และ - การปฏิบัติตามกฎ ระเบียบ ข้อบังคับ นโยบาย วิธีการปฏิบัติงาน และข้อสัญญาต่าง ๆ

18   2130.C1 – Internal auditors must incorporate knowledge of controls gained from consulting engagements into evaluation of the organization’s control processes. ๒๑๓๐.C๑ ผู้ตรวจสอบภายในต้องนำความรู้ในเรื่องของการควบคุมที่ได้รับจากการบริการงานให้คำปรึกษา มาใช้ในการประเมินผลการควบคุมของส่วนราชการ

19 Glossary (ภาคศัพท์) Risk : The possibility of an event occurring that will have an impact on the achievement of objectives. Risk is measured in terms of impact and likelihood. ความเสี่ยง ความเป็นไปได้ที่จะเกิดเหตุการณ์ที่เป็นอุปสรรคต่อการบรรลุเป้าหมายของ ส่วนราชการ ความเสี่ยงสามารถวัดได้ในรูปของผลกระทบและโอกาสที่จะเกิดเหตุการณ์นั้น

20 Control : Any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved. การควบคุม : การกระทำใดๆ ก็ตามที่หัวหน้าส่วนราชการ ฝ่ายบริหาร และกลุ่มบุคคลกำหนดให้มีขึ้นในการจัดการความเสี่ยง โดยการวางแผนงาน จัดองค์กร และกำหนดแนวทางในการดำเนินงานที่มีประสิทธิผลเพียงพอ ที่จะทำให้เกิดความเชื่อมั่นอย่างสมเหตุสมผลว่า การดำเนินงานสามารถ บรรลุผลสำเร็จได้ตามเป้าหมายและวัตถุประสงค์ที่กำหนดไว้

21 Risk Management A process to identify, assess, manage, and control potential events or situations to provide reasonable assurance regarding the achievement of the organization’s objectives. การบริหารความเสี่ยง กระบวนการระบุ ประเมิน จัดการ และ ควบคุมเหตุการณ์หรือสถานการณ์ที่ไม่พึงประสงค์ที่อาจเกิดขึ้น เพื่อให้ ความเชื่อมั่นอย่างสมเหตุสมผลว่า ส่วนราชการสามารถบรรลุเป้าหมาย

22 COSO การบริหารความเสี่ยงองค์กร (Enterprise Risk Management)
การควบคุมภายใน (Internal Control)

23 Enterprise Risk Management
COSO Frameworks This text is just greeking. Global competitive energy company with extensive operations in North America, Europe, and Asia: Leading positions in both power generation and energy risk management and marketing Develops, constructs, owns, and operates power plants Sells wholesale electricity, natural gas, and other energy commodities Internal Control Enterprise Risk Management 23

24 COSO = ? (องค์กรพิเศษที่ประกอบด้วยคณะกรรมการจากสมาคมต่างๆ
COSO : The Committee of Sponsoring Organizations of the Treadway Commission (องค์กรพิเศษที่ประกอบด้วยคณะกรรมการจากสมาคมต่างๆ ที่มาร่วมประชุมเป็นคณะทำงานเกี่ยวกับการพัฒนาระบบ การควบคุมภายในของประเทศสหรัฐอเมริกา)

25  สมาคมผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา
COSO : The Committee of Sponsoring Organizations of the Treadway Commission  สมาคมผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา ( American Institute of Certified Public Accountants : AICPA )  สมาคมผู้ตรวจสอบภายในแห่งสหรัฐอเมริกา  สมาคมผู้บริหารการเงิน ( The Institute of Internal Auditors : IIA )  สมาคมนักบัญชีแห่งสหรัฐอเมริกา ( American Accounting Association : AAA ) ( Financial Executives Institute : FEI ) ( Institute of Management Accountants : IMA )  สมาคมนักบัญชีเพื่อการบริหาร

26 ความหมายและวัตถุประสงค์การควบคุมภายใน
กระบวนการในการปฏิบัติงานที่ผู้กำกับดูแล ฝ่ายบริหาร และบุคลากรของหน่วยงานจัดให้มีขึ้น เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่าการดำเนินงานของหน่วยงานจะบรรลุ วัตถุประสงค์ ดังต่อไปนี้ 1. เพื่อให้เกิดประสิทธิผลและประสิทธิภาพของการดำเนินงาน (Operational Objectives) 2. เพื่อให้เกิดความเชื่อถือได้ของการรายงานทางการเงิน (Financial Reporting Objectives) 3. เพื่อให้เกิดการปฏิบัติตามกฎระเบียบข้อบังคับที่เกี่ยวข้อง (Compliance Objectives)

27 แนวคิดพื้นฐานของการควบคุมภายใน
เป็น “กระบวนการ” ที่แทรกอยู่ในการปฏิบัติงานตามปกติ เกิดขึ้นได้จาก “บุคลากรทุกระดับ” ในองค์กร ทำให้เกิด “ความมั่นใจอย่างสมเหตุสมผล” ว่าการดำเนินงานจะบรรลุผลสำเร็จตามวัตถุประสงค์

28 การประเมินผลการควบคุมภายใน
Input Process การควบคุมภายใน Output ประสิทธิภาพ / ประสิทธิผล / คุ้มค่า การประเมินผลการควบคุมภายใน

29 องค์ประกอบการควบคุมภายใน
สภาพแวดล้อมการควบคุม การประเมินความเสี่ยง กิจกรรมการควบคุม สารสนเทศและการสื่อสาร การติดตามและประเมินผล

30 สภาพแวดล้อมการควบคุม (Control Environment)
หมายถึง สภาวการณ์หรือปัจจัยต่างๆ ที่ส่งผลให้เกิดระบบการควบคุมภายใน หน่วยงาน

31 สภาพแวดล้อมการควบคุม
ความซื่อสัตย์และจริยธรรม ปรัชญาและรูปแบบการบริหาร ความรู้ ทักษะ และความสามารถ โครงสร้างการจัดองค์กร การมอบอำนาจและความรับผิดชอบ นโยบายด้านทรัพยากรบุคคล ผู้บริหารหรือคณะกรรมการตรวจสอบ

32 การประเมินความเสี่ยง (Risk Assessment)
หมายถึง กระบวนการระบุปัจจัยเสี่ยง และวิเคราะห์ความเสี่ยงอย่างเป็นระบบ ในการตัดสินใจรวมถึงการจัดลำดับ ความสำคัญว่าเหตุการณ์ใดหรือ เงื่อนไขอย่างใดที่จะมีผลกระทบต่อ การไม่บรรลุวัตถุประสงค์ของ หน่วยงาน

33 การวิเคราะห์โอกาสและผลกระทบ
ความเสี่ยงปานกลาง ผลกระทบรุนแรงมาก โอกาสเกิดน้อย ความเสี่ยงสูง โอกาสเกิดมาก ความเสี่ยงต่ำ ผลกระทบน้อย โอกาสที่จะเกิด

34 ผลกระทบของความเสี่ยง โอกาสที่จะเกิดความเสี่ยง
ระดับของความเสี่ยง สูง 3 กลาง 2 ผลกระทบของความเสี่ยง ต่ำ 1 1 2 3 โอกาสที่จะเกิดความเสี่ยง ระดับสูง มีค่าคะแนนมากกว่า 5 คะแนนขึ้นไป ระดับกลาง มีค่าคะแนนตั้งแต่ คะแนน ระดับต่ำ มีค่าคะแนนน้อยกว่า 2 คะแนนลงมา

35 การวิเคราะห์โอกาสและผลกระทบ
โอกาสที่จะเกิด ระดับความรุนแรงของอันตราย อันตรายเล็กน้อย อันตรายปานกลาง อันตรายร้ายแรง น้อย ความเสี่ยงเล็กน้อย ความเสี่ยงยอมรับได้ ความเสี่ยงปานกลาง ปานกลาง ความเสี่ยงที่ยอมรับได้ ความเสี่ยงสูง มาก ความเสี่ยงที่ ยอมรับไม่ได้

36 แผนภูมิความเสี่ยง 5 4 3 2 1 กลาง ปาน สูง มาก น้อย น้อยมาก
โอกาสที่จะเกิด ผลกระทบ

37 ตัวอย่างโอกาสที่จะเกิดเหตุการณ์ที่เป็นความเสี่ยง
โอกาสที่จะเกิดความเสี่ยง ความถี่ที่เกิดขึ้น (เฉลี่ย) ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก มากกว่า 1 ครั้งต่อเดือน ระหว่าง 1-5 เดือนต่อครั้ง ระหว่าง 6-12 เดือนต่อครั้ง มากกว่า 1 ปีต่อครั้ง มากกว่า 5 ปีต่อครั้ง 5 4 3 2 1

38 ตัวอย่างโอกาสที่จะเกิดเหตุการณ์ที่เป็นความเสี่ยง
โอกาสที่จะเกิดความเสี่ยง เปอร์เซ็นต์โอกาส ที่จะเกิดขึ้น ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก 80 % ขึ้นไป 70-79 % 60-69 % 50-59 % น้อยกว่า 50 % 5 4 3 2 1

39 ตัวอย่างผลกระทบต่อองค์กร (ด้านการเงิน)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก มากกว่า 10 ล้านบาท มากกว่า 5 แสนบาท – 10 ล้านบาท มากกว่า 1 แสนบาท – 5 แสนบาท 1 หมื่นบาท แสนบาท น้อยกว่า 1 หมื่นบาท 5 4 3 2 1

40 ตัวอย่างผลกระทบต่อองค์กร (ด้านเวลา)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก ทำให้เกิดความล่าช้าของงาน มากกว่า 6 เดือนขึ้นไป ทำให้เกิดความล่าช้าของงาน มากกว่า 4.5 เดือน ถึง 6 เดือน ทำให้เกิดความล่าช้าของงาน มากกว่า 3 เดือน ถึง 4.5 เดือน ทำให้เกิดความล่าช้าของงาน มากกว่า 1.5 เดือน ถึง 3 เดือน ทำให้เกิดความล่าช้าของงาน ไม่เกิน 1.5 เดือน 5 4 3 2 1

41 ตัวอย่างผลกระทบต่อองค์กร (ด้านชื่อเสียง)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก มีการเผยแพร่ข่าวทั้งจากสื่อภายในและต่างประเทศเป็นวงกว้าง มีการเผยแพร่ข่าวเป็นวงกว้างในประเทศและมีการเผยแพร่ข่าวอยู่วงจำกัดในต่างประเทศ มีการลงข่าวในหนังสือพิมพ์ในประเทศหลายฉบับ 2-3 วัน มีการลงข่าวในหนังสือพิมพ์ในประเทศบางฉบับ 1 วัน ไม่มีการเผยแพร่ข่าว 5 4 3 2 1

42 ตัวอย่างผลกระทบต่อองค์กร (ด้านลูกค้า)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก ผู้ใช้บริการลดลงมากกว่า 50 คน ต่อเดือน ผู้ใช้บริการลดลงตั้งแต่ คน ต่อเดือน ผู้ใช้บริการลดลงตั้งแต่ คน ต่อเดือน ผู้ใช้บริการลดลงตั้งแต่ คน ต่อเดือน ผู้ใช้บริการลดลงไม่เกิน 19 คน ต่อเดือน 5 4 3 2 1

43 ตัวอย่างผลกระทบต่อองค์กร (ด้านความสำเร็จ)
ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก ดำเนินงานสำเร็จตามแผนได้น้อยกว่า 60% ดำเนินงานสำเร็จตามแผนได้ 60-70% ดำเนินงานสำเร็จตามแผนได้ 71-80% ดำเนินงานสำเร็จตามแผนได้ 81-90% ดำเนินงานสำเร็จตามแผนได้มากกว่า 90% 5 4 3 2 1

44 ตัวอย่างผลกระทบต่อองค์กร (ด้านบุคลากร)
ผลกระทบ ต่อองค์กร ความเสียหาย ระดับคะแนน สูงมาก สูง ปานกลาง น้อย น้อยมาก มีบุคลากรเสียชีวิตมากกว่า 3 คน มีบุคลากรเสียชีวิตไม่เกิน 3 คน มีบุคลากรได้รับบาดเจ็บจนพิการ แต่ไม่มีผู้เสียชีวิต มีบุคลากรได้รับบาดเจ็บจนต้องรักษาตัวที่โรงพยาบาล มีบุคลากรได้รับบาดเจ็บเล็กน้อย 5 4 3 2 1

45 กิจกรรมการควบคุม (Control Activities)
หมายถึง นโยบาย มาตรการ และวิธีการต่างๆ ที่ฝ่ายบริหารกำหนดหรือนำมาใช้ เพื่อลด ความเสี่ยงที่จะเกิดขึ้น และช่วยเพิ่มความมั่นใจ ในความสำเร็จตามวัตถุประสงค์

46 ตัวอย่างกิจกรรมการควบคุม
1. การกำหนดระเบียบ ข้อบังคับ วิธีปฏิบัติ 2. การแบ่งแยกหน้าที่ความรับผิดชอบ 3. การกำหนดขอบเขต อำนาจหน้าที่ความรับผิดชอบ 4. การจัดทำบัญชี ทะเบียน รายงาน 5. การควบคุมทางกายภาพ 6. การสับเปลี่ยนหมุนเวียนงาน 7. การควบคุมการประมวลผลข้อมูล 8. การกำหนดดัชนีวัดผลการดำเนินงาน ฯลฯ

47 ประเภทของการควบคุมภายใน
1. การควบคุมแบบป้องกัน ( Preventive Control ) 2. การควบคุมแบบค้นพบ ( Detective Control )

48 สารสนเทศและการสื่อสาร (Information and Communication)
สารสนเทศ หมายถึง ข้อมูลข่าวสารที่ใช้ในการบริหาร ซึ่งเป็นข้อมูลเกี่ยวกับการเงินและไม่ใช่การเงิน รวมทั้งข้อมูลข่าวสารอื่น ๆ ทั้งจากแหล่งภายในและภายนอก การสื่อสาร หมายถึง การรับและส่งข้อมูลระหว่างกัน เพื่อให้เกิดความเข้าใจอันดีระหว่างบุคคล ซึ่งมีหน้าที่ความรับผิดชอบในงานที่สัมพันธ์กัน การสื่อสารจะเกิดได้ทั้งภายในและภายนอกหน่วยงาน

49 การติดตามและประเมินผล (Monitoring and Evaluation)
การติดตามผล หมายถึง การสอดส่องดูแลกิจกรรมที่อยู่ระหว่างการดำเนินงาน เพื่อให้เกิดความมั่นใจว่า การดำเนินงานเป็นไปตามระบบการควบคุมภายในที่กำหนด การประเมินผล หมายถึง การเปรียบเทียบผลการปฏิบัติงานกับระบบการควบคุมภายในที่กำหนดไว้ว่ามีความสอดคล้องหรือไม่ เพียงใด และสอบทานระบบการควบคุมภายในที่กำหนดไว้ว่ายังเหมาะสมกับสภาพแวดล้อมในปัจจุบันหรือไม่

50 ลักษณะของการควบคุมภายใน
1. การควบคุมในลักษณะของ Hard Controls 2. การควบคุมในลักษณะของ Soft Controls

51 การดำเนินงานของแต่ละหน่วยงาน
ลดความเสี่ยง สิ่งที่ต้องการ ระบบ ปฏิบัติงาน ระบบ ควบคุม กระบวนการทำงาน

52 เป้าหมาย ความเสี่ยง และการควบคุม
เป้าหมาย ความเสี่ยง และการควบคุม สิ่งที่หน่วยงานต้องการ เป้าหมาย สิ่งที่ทำให้ไม่สามารถ บรรลุเป้าหมาย ความเสี่ยง สิ่งที่ช่วยให้สามารถ บรรลุเป้าหมาย การควบคุม

53 ระบบการควบคุมภายในที่ดี
มีความเหมาะสม เพียงพอ และรัดกุม มีความคุ้มค่า สามารถป้องกันความเสียหายหรือความสูญเสีย ปฏิบัติงานได้สะดวก และปลอดภัย เสริมสร้างความพอใจ

54 ระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วย
การกำหนดมาตรฐานการควบคุมภายใน พ.ศ. 2544 กำหนดให้ หน่วยรับตรวจเป็นผู้จัดวางระบบการควบคุมภายใน และให้มีการรายงานผลการประเมินความเพียงพอและประสิทธิผลของระบบการควบคุมภายใน โดยให้เสนอรายงาน ต่อคณะกรรมการตรวจเงินแผ่นดิน ( คตง. ) ผู้กำกับดูแลและคณะกรรมการตรวจสอบ ( ถ้ามี ) ภายใน 90 วันนับจากวันสิ้นปีงบประมาณหรือปีปฏิทิน

55 ข้อกำหนดตามมาตรฐานการควบคุมภายใน
ฝ่ายบริหารต้องจัดให้มีการติดตามประเมินผลอย่างต่อเนื่องและสม่ำเสมอ โดย  การติดตามผลในระหว่างการปฏิบัติงาน  การประเมินผลเป็นรายครั้ง การประเมินการควบคุมด้วยตนเอง (Control Self Assessment : CSA) การประเมินการควบคุมอย่างเป็นอิสระ (Independent Assessment)

56 การรายงานตามระเบียบ ฯ ข้อ 6
การจัดทำรายงานการควบคุมภายในภาพรวมจังหวัด การรายงานตามระเบียบ ฯ ข้อ 6 ระดับหน่วยงานย่อย - รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน - แบบ ปย. 1 - รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน - แบบ ปย. 2 ระดับองค์กร - หนังสือรับรองการประเมินผลการควบคุมภายใน - แบบ ปอ. 1 - รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน - แบบ ปอ. 2 - รายงานแผนการปรับปรุงการควบคุมภายใน - แบบ ปอ. 3 ผู้ตรวจสอบภายใน - รายงานผลการสอบทานการประเมินการควบคุมภายใน - แบบ ปส. สำนักกำกับและพัฒนาการตรวจสอบภาครัฐ กรมบัญชีกลาง 56

57 รายงานผลการสอบทานการประเมินผลการควบคุมภายใน
แบบ ปส. รายงานผลการสอบทานการประเมินผลการควบคุมภายใน เรียน ผู้บริหารสูงสุดของหน่วยงาน ข้าพเจ้าได้สอบทานการประเมินระบบการควบคุมภายในของ ชื่อหน่วยงาน สำหรับปีสิ้นสุดวันที่ เดือน พ.ศ การสอบทานได้ปฏิบัติอย่างสมเหตุสมผลและระมัดระวังอย่างรอบคอบ ผลการสอบทานพบว่า การประเมินผลการควบคุมภายในเป็นไปตามวิธีการที่กำหนด ระบบการควบคุมภายในมีความเพียงพอและสามารถบรรลุวัตถุประสงค์ของการควบคุมภายใน ลายมือชื่อ ตำแหน่ง วันที่ 57

58 รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน
แบบ ปย. 2 ชื่อหน่วยงาน รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน ณ วันที่ เดือน พ.ศ กระบวนการปฏิบัติงาน โครงการ / กิจกรรม / ด้าน ของงานที่ประเมินและ วัตถุประสงค์ของการควบคุม ( 1 ) การควบคุม ที่มีอยู่ ( 2 ) การประเมินผล ( 3 ) ความเสี่ยง ที่ยังมีอยู่ ( 4 ) การปรับปรุง ( 5 ) กำหนดเสร็จ / ผู้รับผิดชอบ ( 6 ) หมายเหตุ ( 7 ) ลายมือชื่อ ตำแหน่ง วันที่ 58

59 การบริหารความเสี่ยงองค์กร(Enterprise Risk Management)
กระบวนการที่ปฏิบัติโดยคณะกรรมการ ผู้บริหาร และบุคลากรทุกคนในองค์กร เพื่อช่วย ในการกำหนดกลยุทธ์และการดำเนินงาน ซึ่งกระบวนการบริหารความเสี่ยงได้รับการออกแบบไว้ให้สามารถบ่งชี้เหตุการณ์ที่อาจเกิดขึ้น เพื่อให้ได้รับความมั่นใจอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์ที่องค์กรกำหนดไว้

60 การบริหารความเสี่ยงองค์กร
วัตถุประสงค์ เพื่อช่วยบริหารโอกาสและควบคุมความเสี่ยง เหตุการณ์ที่อาจเกิดขึ้น เชิงบวก โอกาส เชิงลบ ความเสี่ยง

61 การบริหารความเสี่ยงองค์กร
เครื่องมือนำไปสู่การบรรลุวัตถุประสงค์ :- ด้านกลยุทธ์ (Strategic) ด้านการดำเนินงาน (Operation) ด้านการรายงาน (Reporting) ด้านการปฏิบัติตามกฎ/ระเบียบ/ข้อบังคับ (Compliance)

62 องค์ประกอบการบริหารความเสี่ยง
1. สภาพแวดล้อมในองค์กร (Internal Environment) 2. การกำหนดวัตถุประสงค์ (Objective Setting) 3. การบ่งชี้เหตุการณ์ (Event Identification) 4. การประเมินความเสี่ยง (Risk Assessment) 5. การตอบสนองความเสี่ยง (Risk Response) 6. กิจกรรมการควบคุม (Control Activities) 7. สารสนเทศและการสื่อสาร (Information & Communication) 8. การติดตามผล (Monitoring)

63 การตอบสนองความเสี่ยง ( การจัดการความเสี่ยง )
การหลีกเลี่ยง (Avoidance) การยอมรับ (Acceptance) การลด (Reduction) การโอน/กระจาย (Sharing)

64 ความเสี่ยง การควบคุม การบริหารความเสี่ยง
ความเสี่ยง การควบคุม การบริหารความเสี่ยง เป้าหมาย/วัตถุประสงค์ สอดรับกับภารกิจของหน่วยงาน ระบุปัจจัยเสี่ยง สอบทาน สภาพแวดล้อมการควบคุม วิเคราะห์ ระดับความสำคัญ ไม่มีนัยสำคัญ ยอมรับความเสี่ยง ลด/ป้องกันความเสี่ยง สามารถปฏิบัติได้ หลีกเลี่ยงไม่ทำ -โอน/กระจายความเสี่ยง ทำไปแก้ไขตามสถานการณ์ มีนัยสำคัญ จัดกิจกรรมการควบคุม วิเคราะห์ ความคุ้มค่า ไม่ใช่ กลยุทธ์การบริหารความเสี่ยง ใช่ ระบบการควบคุมภายใน

65 COSO : ERM COSO : IC Strategic Operation Reporting Compliance Operation Financial Reporting Compliance

66 COSO : ERM COSO : IC Internal Environment Objective Setting
Event Identification Risk Assessment Risk Response Control Activities Information&Communication Monitoring Control Environment Risk Assessment Control Activities Information&Communication Monitoring

67 การควบคุมภายในภาคราชการ
การบริหารราชการให้บรรลุเป้าหมายตามนโยบายรัฐบาล การบริหารความเสี่ยงองค์กร แผนการบริหารราชการแผ่นดิน แผนปฏิบัติราชการ 4 ปี การควบคุมภายใน แผนปฏิบัติราชการประจำปี Input แผนของหน่วยปฏิบัติ งาน/โครงการ Process แผนปฏิบัติราชการ วิสัยทัศน์ พันธกิจ ยุทธศาสตร์ เป้าหมาย แผนปฏิบัติการ Output ประสิทธิภาพ / ประสิทธิผล / คุ้มค่า การประเมินผลการควบคุมภายใน PMQA โดย เกศริน ภัทรเปรมเจริญ

68 การสนับสนุนจากผู้บริหาร การดำเนินการต่อเนื่อง การสื่อสารมีประสิทธิผล
เป้าหมายที่ชัดเจน ความรับผิดชอบ ปัจจัยสู่ความสำเร็จ การดำเนินการต่อเนื่อง การสื่อสารมีประสิทธิผล การวัดและติดตามผล

69 สำนักกำกับและพัฒนาการตรวจสอบภาครัฐ
คำถาม - คำตอบ สำนักกำกับและพัฒนาการตรวจสอบภาครัฐ กรมบัญชีกลาง โทร ต่อ 4374 69 โดย เกศริน ภัทรเปรมเจริญ 69 69