การสอบทานระบบควบคุมภายใน โดยใช้กรอบการควบคุมภายในที่เป็นสากล

งานนำเสนอเรื่อง: "การสอบทานระบบควบคุมภายใน โดยใช้กรอบการควบคุมภายในที่เป็นสากล"— ใบสำเนางานนำเสนอ:

1 การสอบทานระบบควบคุมภายใน โดยใช้กรอบการควบคุมภายในที่เป็นสากล
4/10/2019 การสอบทานระบบควบคุมภายใน โดยใช้กรอบการควบคุมภายในที่เป็นสากล The Evaluation of Internal Control System Using Updated COSO Internal Control Framework (2013 edition)

2 แนะนำวิทยากร ชื่อ-นามสกุล สุพิศษา โหมดสกุล
สุพิศษา โหมดสกุล Address: ตำแหน่งงาน นักวิชาการตรวจสอบภายในชำนาญการพิเศษ หัวหน้ากลุ่มตรวจสอบสังคมและสิ่งแวดล้อม องค์กร ส่วนตรวจสอบภายใน 1 สำนักงานตรวจสอบภายใน สำนักปลัดกรุงเทพมหานคร การศึกษา ระดับปริญญาตรี บริหารธุรกิจบัณฑิต (การบัญชี) มหาวทยาลัยศรีนครินทรวิโรฒ ระดับปริญญาโท วิทยาศาสตรมหาบัณฑิต สาขาการกำกับดูแลกิจการที่ดี คณะพาณิชยศาสตร์และการบัญชี จุฬาลงกรณ์มหาวิทยาลัย (รางวัลผลการเรียน ยอดเยี่ยม 3.96) คุณวุฒิวิชาชีพ Certified Internal Auditor (CIA) ประวัติการทำงาน ปี 2545 – ปัจจุบัน เป็นผู้ตรวจสอบภายในของกรุงเทพมหานคร กรรมการของคณะกรรมการประเมินผลการประกันคุณภาพงานตรวจสอบภายในภาครัฐ กรมบัญชีกลาง กระทรวงการคลัง ผู้ร่วมผลิตในคณะกรรมการผลิตและบริหารชุดวิชาการบริหารความเสี่ยงและ การจัดการเชิงกลยุทธ์ สาขาวิชาเศรษฐศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช ความชำนาญ การตรวจสอบภายใน (Internal Audit) การบริหาร/จัดการความเสี่ยง (Risk Management) ติวเตอร์ (Tutor) สำหรับผู้เตรียมตัวสอบวุฒิบัตร CIA

3 หัวข้อ การควบคุมภายในตาม COSO 2013
ขั้นตอนการจัดทำรายงานการควบคุมภายในของกรุงเทพมหานคร

4 การควบคุมภายในตาม COSO2013

5 นิยาม COSO Internal Control – Integrated Framework 2013
"การควบคุมภายใน คือ กระบวนการที่คณะกรรมการ ผู้บริหาร พนักงาน กำหนดขึ้นเพื่อสร้างความเชื่อมั่นอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์เกี่ยวกับ 1. การดำเนินงาน 2. การรายงาน และ 3. การปฏิบัติตามกฎหมายและกฎระเบียบ" 5

6 นิยาม หลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561 "การควบคุมภายใน คือ กระบวนการปฏิบัติงานที่ผู้กำกับดูแล หัวหน้า หน่วยงานของรัฐ ฝ่ายบริหาร และบุคลากรของหน่วยงานของรัฐจัดให้มี ขึ้น เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่าการดำเนินงานของ หน่วยงานของรัฐ จะบรรลุวัตถุประสงค์ด้านการดำเนินงาน ด้านการ รายงาน และด้านการปฏิบัติตามกฎหมาย ระเบียบ และข้อบังคับ" "ความเสี่ยง คือ ความเป็นไปได้ที่เหตุการณ์ใดเหตุการณ์หนึ่งอาจเกิดขึ้น และเป็นอุปสรรคต่อการบรรลุวัตถุประสงค์" 6

7 แนวคิดของการควบคุมภายใน
เป็นกลไกที่ทำให้ บรรลุวัตถุประสงค์การควบคุมภายใน ด้านการ ดำเนินงาน ด้านการรายงาน และ/หรือ ด้านการปฏิบัติตามกฎหมาย ระเบียบ และข้อบังคับ เป็นส่วนประกอบที่ แทรกอยู่ในการปฏิบัติงานตามปกติ ต้องกระทำเป็น ขั้นตอนและต่อเนื่อง มิใช่เป็นผลสุดท้ายของการกระทำ เกิดขึ้นได้โดยบุคลากร ผู้กำกับดูแล ฝ่ายบริหาร ผู้ปฏิบัติงาน และผู้ตรวจ สอบภายใน เป็นผู้มีบทบาทสำคัญทำให้มีการควบคุมภายใน มิใช่เพียง กำหนดนโยบาย ระบบงาน คู่มือการปฏิบัติงานและแบบฟอร์ม ดำเนินงานเท่านั้น หากแต่ต้องมีการปฏิบัติ สามารถ ให้ความเชื่อมั่นอย่างสมเหตุสมผล ว่าจะบรรลุตามวัตถุประสงค์ ควรกำหนดให้ เหมาะสมกับโครงสร้างองค์กรและภารกิจ 7

8 วัตถุประสงค์ของการควบคุมภายใน
ด้านการดำเนินงาน (Operations Objectives) ความมีประสิทธิผลและ ประสิทธิภาพ การบรรลุเป้าหมายด้านการดำเนินงาน ด้านการเงิน ตลอดจนการใช้ทรัพยากร การดูแลรักษาทรัพย์สิน การป้องกันหรือ ลดความผิดพลาด ตลอดจนความเสียหาย รั่วไหล สิ้นเปลือง หรือทุจริต ด้านการรายงาน (Reporting Objectives) การรายงานทางการเงินและ ไม่ใช่การเงินที่ใช้ภายในและภายนอก รวมถึงการรายงานที่เชื่อถือได้ ทันเวลา โปร่งใส หรือตามข้อกำหนดอื่นของทางราชการ ด้านการปฏิบัติตามกฎหมาย ระเบียบและข้อบังคับ (Compliance Objectives) การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับหรือมติ คณะรัฐมนตรีที่เกี่ยวข้องกับการดำเนินงาน รวมทั้งข้อกำหนดอื่น ของทางราชการ 8

9 มิติของ COSO Framework 2013
3 วัตถุประสงค์ ด้านการดำเนินงาน (Operations) ด้านการรายงาน (Reporting) ด้านการปฏิบัติตามกฎหมาย ระเบียบ และข้อบังคับ (Compliance) โครงสร้างองค์กร องค์กร (Entity) ฝ่ายงาน (Division) หน่วยงาน (Operating Unit) หน้าที่งาน (Function) 5 องค์ประกอบ สภาพแวดล้อมการควบคุม (Control Environment) การประเมินความเสี่ยง (Risk Assessment) กิจกรรมการควบคุม (Control Activities) สารสนเทศและการสื่อสาร (Information & Communication) กิจกรรมการติดตามผล (Monitoring Activities) 9

10 5 Components 17 Principles
Control Environment Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability Risk Assessment Specifies suitable objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change Control Activities Selects and develops control activities 11. Selects and develops general controls over technology Deploys through policies and procedures Information & Communication Uses relevant information Communicates internally Communicates externally Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability Specifies suitable objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change Selects and develops control activities 11. Selects and develops general controls over technology Deploys through policies and procedures Uses relevant information Communicates internally Communicates externally Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies Monitoring Activities Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies

11 สภาพแวดล้อมการควบคุม การประเมินความเสี่ยง สารสนเทศและการสื่อสาร
5 องค์ประกอบ 17 หลักการ สภาพแวดล้อมการควบคุม 1. องค์กรยึดหลักความซื่อตรงและจริยธรรม 2. คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำกับดูแล 3. คณะกรรมการและฝ่ายบริหาร มีอำนาจการสั่งการชัดเจน 4. องค์กร รักษาไว้ และจูงใจพนักงาน 5. องค์กรผลักดันให้ทุกตำแหน่งรับผิดชอบต่อการควบคุมภายใน การประเมินความเสี่ยง 6. กำหนดเป้าหมายชัดเจน 7. ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม 8. พิจารณาโอกาสที่จะเกิดการทุจริต 9. ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน กิจกรรมการควบคุม 10. ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ 11. พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม 12. ควบคุมให้นโยบายสามารถปฏิบัติได้ สารสนเทศและการสื่อสาร 13. องค์กรมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ 14. มีการสื่อสารข้อมูลภายในองค์กรให้การควบคุมภายในดำเนินต่อไปได้ 15. สื่อสารกับหน่วยงานภายนอกในประเด็นที่อาจกระทบต่อการควบคุม Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability Specifies suitable objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change Selects and develops control activities 11. Selects and develops general controls over technology Deploys through policies and procedures Uses relevant information Communicates internally Communicates externally Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies กิจกรรมการติดตามผล 16. ติดตามและประเมินผลการควบคุมภายใน 17. ประเมินและสื่อสารข้อบกพร่องการควบคุม ทันเวลาและเหมาะสม

12 81 ประเด็นสำคัญ (Points of Focus)
5 Components 17 Principles 81 Points of Focus ช่วยอธิบายคุณลักษณะของหลักการ อาจไม่เกี่ยวข้องหรือเหมาะสมเสมอไป ช่วยในการออกแบบหรือสร้างการควบคุม ไม่จำเป็นต้องตรวจสอบ/ประเมินความมี อยู่จริงของทุก Point of Focus สภาพแวดล้อมการควบคุม หน่วยงานของรัฐแสดงให้เห็นถึงการยึดมั่น ในคุณค่าของความซื่อตรงและจริยธรรม ประเด็นสำคัญ (Points of Focus) ผู้นำองค์กรปฏิบัติให้เห็นเป็นแบบอย่าง จัดทำข้อกำหนดมาตรฐานจริยธรรม ประเมินการปฏิบัติตามมาตรฐานจริยธรรม ตรวจพบและจัดการการฝ่าฝืนอย่างทันกาล

13 การประเมินผลระบบการควบคุมภายใน
หลักการพื้นฐาน มาตรฐานจริยธรรม เป้าหมายและวัตถุประสงค์ โครงสร้างบังคับบัญชา คุณภาพบุคลากร รับผิดชอบต่อหน้าที่ คำนึงถึงความเสี่ยง แบ่งแยกหน้าที่/สอบทาน นโยบาย/คู่มือ ปรับปรุงคุณภาพ ฯลฯ ระบบการควบคุมภายในที่ดี มีความเหมาะสม เพียงพอ และรัดกุม มีความคุ้มค่า ประหยัด ป้องกันความเสียหาย ทุจริต ปฏิบัติงานได้สะดวก และปลอดภัย เสริมสร้างความพอใจ พัฒนา บรรลุเป้าหมายและวัตถุประสงค์ องค์กรมั่นคง ปรับตัวได้ดี ไม่มีข้อบกพร่องร้ายแรง ไม่มีข้อบกพร่องเกิดซ้ำบ่อยๆ มีผลการตรวจสอบที่ดี 13

14 ตัวอย่างปัญหาการควบคุม
ข้อสังเกตหรือสัญญาณเตือน เบิกจ่ายงบประมาณล่าช้า ข้อร้องเรียน/ทุจริต/ละเมิด/ฟ้องร้อง เปลี่ยนผู้รับจ้างหรือผู้รับจ้างทิ้งงาน บุคลากรหมุนเวียนบ่อย ลงบัญชี/ปิดบัญชีล่าช้า ครุภัณฑ์หาย/ขาดการดูแล ขาดการประเมินผลอย่างจริงจัง ใช้เงินไม่ตรงวัตถุประสงค์ ปฏิเสธความรับผิดชอบ/ไม่ทำงาน ไม่บรรลุเป้าหมายทางยุทธศาสตร์ ทำงานผิดพลาด/ด้อยประสิทธิภาพ การควบคุมที่เป็นปัญหา มาตรฐานจริยธรรม เป้าหมายและวัตถุประสงค์ โครงสร้างบังคับบัญชา คุณภาพบุคลากร รับผิดชอบต่อหน้าที่ คำนึงถึงความเสี่ยง แบ่งแยกหน้าที่/สอบทาน นโยบาย/คู่มือ ปรับปรุงคุณภาพ ฯลฯ 14

15 ประสิทธิผลของการควบคุมภายใน
สร้างความมั่นใจอย่างสมเหตุสมผลในการ บรรลุวัตถุประสงค์ แต่ละองค์ประกอบและหลักการที่เกี่ยวข้อง ปรากฏและทำหน้าที่อยู่ (present and functioning) และทั้ง 5 องค์ประกอบทำงานประสานกัน ปรากฏ (present) คือการออกแบบและนำมาใช้ ส่วนการ ทำหน้าที่อยู่ (functioning) คือประสิทธิผลการดำเนินการ 5 องค์ประกอบทำงานประสานกัน เมื่อทุกองค์ประกอบ ปรากฏและ ทำหน้าที่อยู่ และข้อบกพร่องในแต่ละองค์ประกอบไม่ทำให้เกิด ข้อบกพร่องร้ายแรง ข้อบกพร่องร้ายแรง ลดความเป็นไปได้ที่จะบรรลุวัตถุประสงค์อย่างมาก บุคคล/ผู้ให้บริการภายนอก ไม่ถือว่าเป็นส่วนหนึ่งของระบบการควบคุม 15

16 ประสิทธิผลของการควบคุมภายใน
การบรรลุหลักการหนึ่งอาศัย การควบคุมจากหลายองค์ประกอบ ทำงานร่วมกัน สภาพแวดล้อมการควบคุม องค์ประกอบ หลักการ การควบคุม ที่ฝังอยู่ใน องค์ประกอบอื่น และส่งผลกระทบ ต่อหลักการนี้ 1. หน่วยงานของรัฐแสดงให้เห็นถึงการยึดมั่น ในคุณค่าของความซื่อตรงและจริยธรรม ฝ่ายบุคคลสอบทานเอกสารที่ลงนามโดยพนักงาน เพื่อประเมินความเข้าใจและความยึดมั่นในมาตรฐานจริยธรรม สภาพแวดล้อม การควบคุม ผู้บริหารสอบทานข้อมูลเบาะแสหรือข้อบกพร่อง ที่ได้รับจากช่องทางรับข้อร้องเรียน เพื่อประเมินคุณภาพของข้อมูล สารสนเทศ และการสื่อสาร ฝ่ายตรวจสอบภายในประเมินสภาพแวดล้อมการควบคุม จากพฤติกรรมพนักงานและรายงานจากช่องทางรับข้อร้องเรียน กิจกรรมการติดตามผล 16

17 1. สภาพแวดล้อมการควบคุม
สภาพแวดล้อมการควบคุมเป็นปัจจัยพื้นฐานในการดำเนินงานที่ส่งผลให้มีการนำการควบคุมภายในมาปฏิบัติทั่วทั้งหน่วยงานของรัฐ ผู้กำกับดูแลและฝ่ายบริหารจะต้องสร้างบรรยากาศให้ทุกระดับตระหนักถึงความสำคัญของการควบคุมภายในรวมทั้งการดำเนินงานที่คาดหวังของ ผู้กำกับดูแลและฝ่ายบริหาร ทั้งนี้ สภาพแวดล้อมการควบคุมดังกล่าวเป็นพื้นฐานสำคัญที่จะส่งผลกระทบต่อองค์ประกอบของการควบคุมภายในอื่นๆ หลักการ (1) หน่วยงานของรัฐแสดงให้เห็นถึงการยึดมั่นในคุณค่าของความซื่อตรงและจริยธรรม (2) ผู้กำกับดูแลของหน่วยงานของรัฐแสดงให้เห็นถึงความเป็นอิสระจากฝ่ายบริหารและมีหน้าที่กำกับดูแล ให้มีการพัฒนาหรือปรับปรุงการควบคุมภายใน รวมถึงการดำเนินการเกี่ยวกับการควบคุมภายใน (3) หัวหน้าหน่วยงานของรัฐจัดให้มีโครงสร้างองค์กร สายการบังคับบัญชา อำนาจหน้าที่และความรับผิดชอบ ที่เหมาะสมในการบรรลุวัตถุประสงค์ของหน่วยงานของรัฐภายใต้การกำกับดูแลของผู้กำกับดูแล (4) หน่วยงานของรัฐแสดงให้เห็นถึงความมุ่งมั่นในการสร้างแรงจูงใจ พัฒนาและรักษาบุคลากรที่มีความรู้ความสามารถที่สอดคล้องกับวัตถุประสงค์ของหน่วยงานของรัฐ (5) หน่วยงานของรัฐกำหนดให้บุคลากรมีหน้าที่และความรับผิดชอบต่อผลการปฏิบัติงานตามระบบการควบคุมภายใน เพื่อให้บรรลุวัตถุประสงค์ของหน่วยงานของรัฐ 17

18 2. การประเมินความเสี่ยง
การประเมินความเสี่ยงเป็นกระบวนการที่ดำเนินการอย่างต่อเนื่องและเป็นประจำ เพื่อระบุ และวิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ของหน่วยงานของรัฐ รวมถึงกำหนดวิธีการจัดการความเสี่ยงนั้น ฝ่ายบริหารควรคำนึงถึงการเปลี่ยนแปลงของสภาพแวดล้อมภายนอกและภารกิจภายในทั้งหมดที่มีผลต่อการบรรลุวัตถุประสงค์ของหน่วยงานของรัฐ หลักการ (6) หน่วยงานของรัฐระบุวัตถุประสงค์การควบคุมภายในของการปฏิบัติงานให้สอดคล้องกับวัตถุประสงค์ของ องค์กรไว้อย่างชัดเจนและเพียงพอที่จะสามารถระบุและประเมินความเสี่ยงที่เกี่ยวข้องกับวัตถุประสงค์ (7) หน่วยงานของรัฐระบุความเสี่ยงที่มีผลต่อการบรรลุวัตถุประสงค์การควบคุมภายในอย่างครอบคลุม ทั้งหน่วยงานของรัฐ และวิเคราะห์ความเสี่ยงเพื่อกำหนดวิธีการจัดการความเสี่ยงนั้น (8) หน่วยงานของรัฐพิจารณาโอกาสที่อาจเกิดการทุจริต เพื่อประกอบการประเมินความเสี่ยงที่ส่งผลต่อการบรรลุวัตถุประสงค์ (9) หน่วยงานของรัฐระบุและประเมินการเปลี่ยนแปลงที่อาจมีผลกระทบอย่างมีนัยสำคัญต่อระบบการควบคุมภายใน 18

19 3. กิจกรรมการควบคุม กิจกรรมการควบคุมเป็นการปฏิบัติที่กำหนดไว้ในนโยบายและกระบวนการดำเนินงาน เพื่อให้มั่นใจว่าการปฏิบัติตามการสั่งการของฝ่ายบริหารจะลดหรือควบคุมความเสี่ยงให้สามารถบรรลุวัตถุประสงค์ กิจกรรมการควบคุมควรได้รับการนำไปปฏิบัติทั่วทุกระดับของหน่วยงานของรัฐ ในกระบวนการปฏิบัติงาน ขั้นตอนการดำเนินงานต่างๆ รวมถึงการนำเทคโนโลยีมาใช้ในการดำเนินงาน   หลักการ (10) หน่วยงานของรัฐระบุและพัฒนากิจกรรมการควบคุม เพื่อลดความเสี่ยงในการบรรลุวัตถุประสงค์ให้อยู่ในระดับที่ยอมรับได้ (11) หน่วยงานของรัฐระบุและพัฒนากิจกรรมการควบคุมทั่วไปด้านเทคโนโลยี เพื่อสนับสนุนการบรรลุวัตถุประสงค์ (12) หน่วยงานของรัฐจัดให้มีกิจกรรมการควบคุม โดยกำหนดไว้ในนโยบาย ประกอบด้วยผลสำเร็จที่คาดหวังและขั้นตอนการปฏิบัติงาน เพื่อนำนโยบายไปสู่การปฏิบัติจริง 19

20 4. สารสนเทศและการสื่อสาร
สารสนเทศเป็นสิ่งจำเป็นสำหรับหน่วยงานของรัฐที่จะช่วยให้มีการดำเนินการตามการควบคุมภายในที่กำหนด เพื่อสนับสนุนให้บรรลุวัตถุประสงค์ของหน่วยงานของรัฐ การสื่อสารเกิดขึ้นได้ทั้งจากภายในและภายนอก และเป็นช่องทางเพื่อให้ทราบถึงสารสนเทศที่สำคัญในการควบคุมการดำเนินงานของหน่วยงานของรัฐ การสื่อสารจะช่วยให้บุคลากรในหน่วยงานมีความเข้าใจถึงความรับผิดชอบ และความสำคัญของการควบคุมภายในที่มีต่อการบรรลุวัตถุประสงค์ หลักการ (13) หน่วยงานของรัฐจัดทำหรือจัดหาและใช้สารสนเทศที่เกี่ยวข้องและมีคุณภาพ เพื่อสนับสนุนให้มีการปฏิบัติตามการควบคุมภายในที่กำหนด (14) หน่วยงานของรัฐมีการสื่อสารภายในเกี่ยวกับสารสนเทศ รวมถึงวัตถุประสงค์และความรับผิดชอบที่มีต่อการควบคุมภายในซึ่งมีความจำเป็นในการสนับสนุนให้มีการปฏิบัติตามการควบคุมภายในที่กำหนด (15) หน่วยงานของรัฐมีการสื่อสารกับบุคคลภายนอก เกี่ยวกับเรื่องที่มีผลกระทบต่อการปฏิบัติตามการควบคุมภายในที่กำหนด 20

21 5. กิจกรรมการติดตามผล กิจกรรมการติดตามผลเป็นการประเมินผลระหว่างการปฏิบัติงาน การประเมินผลเป็นรายครั้ง หรือเป็นการประเมินผลทั้งสองวิธีร่วมกัน เพื่อให้เกิดความมั่นใจว่าได้มีการปฏิบัติตามหลักการในแต่ละองค์ประกอบของการควบคุมภายในทั้ง 5 องค์ประกอบ กรณีที่ผลการประเมินการควบคุมภายในจะก่อให้เกิดความเสียหายต่อหน่วยงานของรัฐ ให้รายงานต่อฝ่ายบริหาร และผู้กำกับดูแล อย่างทันเวลา หลักการ (16) หน่วยงานของรัฐระบุ พัฒนา และดำเนินการประเมินผลระหว่างการปฏิบัติงาน และหรือการประเมินผลเป็นรายครั้งตามที่กำหนด เพื่อให้เกิดความมั่นใจว่าได้มีการปฏิบัติตามองค์ประกอบของการควบคุมภายใน (17) หน่วยงานของรัฐประเมินผลและสื่อสารข้อบกพร่อง หรือจุดอ่อนของการควบคุมภายในอย่างทันเวลาต่อฝ่ายบริหารและผู้กำกับดูแล เพื่อให้ผู้รับผิดชอบสามารถสั่งการแก้ไขได้อย่างเหมาะสม 21

22 ข้อจำกัดของ COSO Framework
ให้เพียงความเชื่อมั่น อย่างสมเหตุสมผล เท่านั้น การควบคุมมี ข้อจำกัด ซึ่งอาจเป็นผลจาก วัตถุประสงค์ที่ตั้งไว้ ไม่มีคุณภาพหรือไม่เหมาะสม การตัดสินใจของบุคลากรอาจ ผิดพลาด การพิจารณา ความคุ้มค่า ระหว่างประโยชน์ที่ได้จากการลดความเสี่ยง กับค่าใช้จ่ายที่เสียไปในการวางระบบควบคุมภายใน บุคลากรอาจทำ ผิดพลาดโดยไม่เจตนา การควบคุมอาจถูกละเมิดจาก การสมคบกัน โดยบุคคลสองคนขึ้นไป ผู้บริหารอาจใช้อำนาจ ตัดสินใจละเมิด มาตรการการควบคุมที่วางไว้ 22

23 ประโยชน์ที่ได้จาก COSO Framework
การเปรียบเทียบ องค์ประกอบและหลักการ ของ COSO กับการควบคุมที่มี อยู่โดยพิจารณา ประเด็นสำคัญ (Point of Focus) อาจช่วยระบุ ประเด็นที่ควรพิจารณาในส่วน สภาพแวดล้อมการควบคุม ประเด็นที่ควรหยิบยกหารือเพิ่มใน การประเมินความเสี่ยง และการ จัดทำเอกสารการประเมินความเสี่ยง ประเด็นที่ควรพิจารณาเกี่ยวกับ ความเสี่ยงทุจริต เพิ่ม กิจกรรมการควบคุมและประเมินผล ให้สอดคล้องกับความเสี่ยง ปรับปรุงการควบคุม ผู้ให้บริการภายนอก เพิ่มการพิจารณา ประเด็นด้านไอที มากกว่าเดิม 23

24 สิ่งที่มักพบเสมอในการสอบทาน
ประเด็นที่มักพบจากการสอบทาน/ประเมินโดยเปรียบเทียบ องค์ประกอบ และหลักการ ของ COSO กับการควบคุมที่มีอยู่ มีการควบคุมภายในที่สนับสนุนหลักการ ไม่ครบทั้ง 17 หลักการ มีการควบคุมภายในแต่ ไม่ได้จัดทำเป็นลายลักษณ์อักษร/เป็นทางการ ไม่มีการประเมิน ความเสี่ยงทุจริต/คอร์รัปชั่น ขาดความรู้เกี่ยวกับการควบคุม ผู้ให้บริการภายนอก 24

25 ประเด็นผู้ให้บริการภายนอกใน COSO
สภาพแวดล้อมการควบคุม ควรระบุมาตรฐานการทำงาน ช่วงความเสี่ยงที่ รับได้ ขั้นตอนการปฏิบัติงาน และ ตัวชี้วัดผลงาน การประเมินความเสี่ยง ควรพิจารณาความเสี่ยงคอร์รัปชั่น ทุจริต ประเด็น ด้านไอที และ การเชื่อมโยงอินเตอร์เน็ต กิจกรรมการควบคุม ควรพิจารณา กระบวนการ หน้าที่ และการควบคุม เกี่ยวกับข้อมูลที่ส่งให้ผู้ให้บริการภายนอก สารสนเทศและการสื่อสาร ควรประเมินความเพียงพอและความซับซ้อน ของการรายงาน การสื่อสาร กิจกรรมการติดตามผล ควรรวมถึงกระบวนการประเมินผู้ให้บริการ ภายนอก และการตรวจสอบ/สอบทานอย่างเป็นอิสระ 25

26 ประเด็นด้านไอทีใน COSO
สภาพแวดล้อมการควบคุม ควรประเมินความสามารถด้านไอทีขององค์กร การมอบหมายความรับผิดชอบและการแบ่งแยกหน้าที่ การจัดทำระเบียบ ปฏิบัติและคู่มือ มีบุคลากรที่มีความสามารถ การประเมินความเสี่ยง ควรพิจารณาความเสี่ยงข้อมูลถูกแก้ไขโดยมิชอบ ประสิทธิผลของระบบงาน และ การหมุนเวียนของบุคลากรด้านไอที กิจกรรมการควบคุม ควรพิจารณา สิทธิการเข้าถึง การจัดซื้อจัดจ้าง การ พัฒนาและดูแลระบบ การควบคุมเพื่อรักษาความมั่นคงปลอดภัย สารสนเทศและการสื่อสาร ควรประเมิน การเก็บรักษาข้อมูล หน่วยงาน ภายนอก ตลอดจนความซับซ้อน ปริมาณ วิธีการ และลักษณะของข้อมูล กิจกรรมการติดตามผล ควรพิจารณาใช้ไอทีช่วยในการติดตามผล 26

27 ขั้นตอนการจัดทำรายงานการควบคุมภายใน ของ กรุงเทพมหานคร

28 ขั้นตอนการจัดทำรายงานการควบคุมภายใน ของกรุงเทพมหานคร
ระดับกรุงเทพมหานคร ระดับหน่วยงานและส่วนราชการสังกัดสำนักปลัดกรุงเทพมหานคร

29 ระดับกรุงเทพมหานคร

30 กระบวนการตรวจสอบภายใน
4/10/2019 หลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและเกณฑ์ปฏิบัติ การควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561 พระราชบัญญัติวินัยการเงินการคลังภาครัฐ พ.ศ. 2561 หน่วยงานภาครัฐต้องจัดให้มี “การตรวจสอบภายใน” “การควบคุมภายใน” และ “การบริหารความเสี่ยง” ตามมาตรฐานและหลักเกณฑ์ที่กระทรวงการคลังกำหนด หนังสือกระทรวงการคลัง ที่ กค /ว 105 ลว. 5 ต.ค เรื่อง หลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561

31 กระบวนการตรวจสอบภายใน
4/10/2019

32 กระบวนการตรวจสอบภายใน
4/10/2019

33 ขั้นตอนการจัดทำรายงานการควบคุมภายในของกรุงเทพมหานคร
กระทรวงการคลัง หนังสือรับรองการประเมินผลการควบคุมภายใน (แบบ ปค.3) รายงายผลการประเมินองค์ประกอบของการควบคุมภายใน (แบบ ปค.4) รายงานการประเมินการควบคุมภายใน (แบบ ปค.5) รายงานผลการสอบทานการประเมินผลการควบคุมภายในของ IA (แบบ ปค.6.) ผู้กำกับดูแล คณะกรรมการตรวจสอบ สำนัก.... (แบบ ปค. 4 กทม.และ ปค. 5 กทม สำนักงานเขต... (แบบ ปค. 4 กทม.และปค. 5 กทม ส่วนราชการในสนป.. (แบบ ปค. 4 กทม.และปค. 5 กทม 33

34 กระบวนการตรวจสอบภายใน
4/10/2019 แบบ ปค. ๔ (๑) รายงานการประเมินองค์ประกอบของการควบคุมภายใน สำหรับระยะเวลาดำเนินงานสิ้นสุด (๒) (๓) องค์ประกอบของการควบคุมภายใน (๔) ผลการประเมิน/ข้อสรุป ๑. สภาพแวดล้อมการควบคุม ๒. การประเมินความเสี่ยง ๓. กิจกรรมการควบคุม ๔. สารสนเทศและการสื่อสาร ๕. กิจกรรมการติดตามผล ผลการประเมินโดยรวม (๕) ลายมือชื่อ (๖) ตำแหน่ง (๗) วันที่ ....(๘).... เดือน … พ.ศ

35 กระบวนการตรวจสอบภายใน
4/10/2019 แบบ ปค. ๕ (๑) รายงานการประเมินผลการควบคุมภายใน สำหรับระยะเวลาการดำเนินงานสิ้นสุด (๒) (๓) ภารกิจตามกฎหมายที่จัดตั้งหน่วยงานของรัฐหรือภารกิจตามแผนการดำเนินการหรือภารกิจอื่น ๆ ที่สำคัญของหน่วยงานของรัฐ/วัตถุประสงค์ (๔) ความเสี่ยง (๕) การควบคุมภายในที่มีอยู่ (๖) การประเมินผล การควบคุมภายใน (๗) ที่ยังมีอยู่ (๘) การปรับปรุง (๙) หน่วยงาน ที่รับผิดชอบ/กำหนดเสร็จ ลายมือชื่อ (๑๐) ตำแหน่ง (๑๑) วันที่ ....(๑๒).... เดือน … พ.ศ

36 กระบวนการตรวจสอบภายใน
4/10/2019 แบบ ปค. ๖ รายงานการสอบทานการประเมินผลการควบคุมภายในของผู้ตรวจสอบภายใน เรียน (๑) ผู้ตรวจสอบภายในของ (๒) ได้สอบทานการประเมินผลการควบคุมภายในของหน่วยงาน สำหรับปีสิ้นสุดวันที่ ๓) เดือน พ.ศ ด้วยวิธีการสอบทานตามหลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. ๒๕๖๑ โดยมีวัตถุประสงค์เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ภารกิจของหน่วยงานจะบรรลุวัตถุประสงค์ของการควบคุมภายในด้านการดำเนินงานที่มีประสิทธิผล ประสิทธิภาพ ด้านการรายงานที่เกี่ยวกับการเงิน และไม่ใช่การเงินที่เชื่อถือได้ ทันเวลา และโปร่งใส รวมทั้งด้านการปฏิบัติตามกฎหมาย ระเบียบ และข้อบังคับที่เกี่ยวข้องกับการดำเนินงาน จากผลการสอบทานดังกล่าว ผู้ตรวจสอบภายในเห็นว่า การควบคุมภายในของ (๔) มีความเพียงพอ ปฏิบัติตามอย่างต่อเนื่อง และเป็นไปตามหลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. ๒๕๖๑ ลายมือชื่อ (๕) ตำแหน่ง (๖) วันที่...(๗) เดือน พ.ศ กรณีได้สอบทานการประเมินผลการควบคุมภายในแล้ว มีข้อตรวจพบหรือข้อสังเกตเกี่ยวกับความเสี่ยง และการควบคุมภายในหรือการปรับปรุงการควบคุมภายในสำหรับความเสี่ยงดังกล่าว ให้รายงานข้อตรวจพบหรือข้อสังเกตดังกล่าวในวรรคสาม ดังนี้ อย่างไรก็ดี มีความเสี่ยงและได้กำหนดปรับปรุงการควบคุมภายใน ในปีงบประมาณหรือปีปฏิทินถัดไป สรุปได้ดังนี้ ๑. ความเสี่ยงที่มีอยู่ที่ต้องกำหนดปรับปรุงการควบคุมภายใน (๘) ๑.๑ ๑.๒ ๒. การปรับปรุงการควบคุมภายใน (๙) ๒.๑ ๒.๒

37 กระบวนการตรวจสอบภายใน
4/10/2019

38 กระบวนการตรวจสอบภายใน
4/10/2019

39 กระบวนการตรวจสอบภายใน
4/10/2019

40 กระบวนการตรวจสอบภายใน
4/10/2019

41 กระบวนการตรวจสอบภายใน
4/10/2019

42 กระบวนการตรวจสอบภายใน
4/10/2019

43 กระบวนการตรวจสอบภายใน
4/10/2019

44 กระบวนการตรวจสอบภายใน
4/10/2019 ระดับหน่วยงานและ ส่วนราชการสังกัดสำนักกรุงเทพมหานคร

45 กระบวนการตรวจสอบภายใน
4/10/2019

46 กระบวนการตรวจสอบภายใน
4/10/2019

47 รายงานการควบคุมภายในของ สำนักและส่วนราชการในสำนักปลัดกรุงเทพมหานคร
1. รายงานผลการประเมินองค์ประกอบ แบบ ปค. 4 กทม การควบคุมภายใน 2. รายงานการประเมินผลการควบคุมภายใน แบบ ปค. 5 กทม แหล่งข้อมูล 1. หนังสือกระทรวงการคลัง ที่ กค /ว 105 ลว. 5 ต.ค เรื่อง หลักเกณฑ์ กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติ การควบคุมภายในสำหรับ หน่วยงานของรัฐ พ.ศ. 2561 2. หนังสือกรุงเทพมหานคร ที่ กท 0407/51 ลว. 16 ม.ค เรื่อง แนวทางและรูปแบบ รายงานการควบคุมภายในสำหรับหน่วยงานและ ส่วนราชการสังกัดสำนักปลัด กรุงเทพมหานครตามหลักเกณฑ์กระทรวงการคลัง

48 ขั้นตอนการจัดทำรายงานการควบคุมภายในของ สำนักและส่วนราชการในสำนักปลัดกรุงเทพมหานคร
การประเมินองค์ประกอบของการควบคุมภายใน 5 องค์ประกอบ 17 หลักการ การประเมินความเสี่ยง/จุดอ่อนของการควบคุมภายใน ติดตามประเมินผลการปรับปรุงการควบคุมภายในของงวดก่อน ทะเบียนความเสี่ยงของกรุงเทพมหานคร (Risk Register) รายงานการประเมินผล การควบคุมภายใน (แบบ ปค. 5 กทม) รายงานผลการประเมินองค์ประกอบของ การควบคุมภายใน (แบบ ปค. 4 กทม)

49 กระบวนการตรวจสอบภายใน
4/10/2019

50 กระบวนการตรวจสอบภายใน
4/10/2019

51 กระบวนการตรวจสอบภายใน
4/10/2019

52 กระบวนการตรวจสอบภายใน
4/10/2019

53 Q&A + =