Risk-Based Audit Audit Risk Assessment Model โครงการตรวจสอบภายใน เพื่อเตรียมตัวเป็นผู้ตรวจสอบภายในรับอนุญาตสากล (Pre-CIA) รุ่นที่ 19 คณะพาณิชยศาสตร์และการบัญชี จุฬาลงกรณ์มหาวิทยาลัย ณ ห้อง 319 ชั้น 3 อาคารไชยยศสมบัติ 1 4 กรกฎาคม 2553 8:30-15:30น. 07/12/61

แนะนำวิทยากร ไพรัช ศรีวิไลฤทธิ์ CIA CISA CBA CCSA CFSA CISSP CFE หัวหน้าตรวจสอบภายใน บมจ. ธนาคารทิสโก้ ปริญญาตรีวิศวกรรมศาสตร์ จุฬาฯ (2528) ปริญญาโทบริหารธุรกิจ ธรรมศาสตร์ฯ (2533) IIA’s EIAP รุ่นที่ 7 จุฬาฯ (2546) ประสบการณ์ด้านวิศวกรรม 5 ปี ประสบการณ์ด้านการเงินในทิสโก้ 20 ปี ประธาน ชมรมผู้ตรวจสอบภายในธนาคารและสถาบันการเงิน วิทยากรและคณะทำงาน สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย 07/12/61

วัตถุประสงค์ เพื่อแนะนำโมเดลประเมินความเสี่ยงเพื่อจัดทำแผนการ ตรวจสอบ เพื่อสาธิตตัวอย่างการประเมินความเสี่ยงและจัดทำแผนการ ตรวจสอบด้วยโมเดล เพื่อให้ผู้ตรวจสอบภายในสามารถนำโมเดลไปประยุกต์ในการ วางแผนการตรวจสอบในหน่วยงานของตนอย่างเป็นระบบ 3 12/7/2018 07/12/61

Audit Risk Model โมเดลประเมินความเสี่ยงเพื่อจัดทำแผนการตรวจสอบ เพื่อลำดับความสำคัญและเร่งด่วนของแต่ละกิจกรรมอย่างเป็น ระบบ สำหรับจัดทำแผนการตรวจสอบ มองความเสี่ยงแบบสัมพัทธ์ เปรียบเทียบด้วยการพิจารณา 3 ปัจจัยประกอบกันโดยแต่ละปัจจัยมีน้ำหนักเท่ากัน: ความเสี่ยงพื้นฐาน (IR-Inherent Risk) ความเสี่ยงภายหลังการควบคุม (CR-Control Risk) ความเสี่ยงในการตรวจพบ (DR-Detection Risk) 07/12/61

Risk-Based Planning - Steps แบ่งองค์กรที่รับการตรวจสอบเป็นส่วนๆ เพื่อกำหนดกิจกรรมเพื่อการตรวจสอบ ต้องแน่ใจว่าเกณฑ์แบ่งที่ใช้กิจกรรมสม่ำเสมอ ครอบคลุมขอบเขตที่รับผิดชอบทั้งหมดของงานตรวจสอบ ประเมินความเสี่ยงของแต่ละส่วนจนครบทั้ง universe เพื่อได้ Score ของ IR, CR, และ DR ปัจจัยย่อยใน IR, CR, และ DR จะมีน้ำหนักแตกต่างตามความสำคัญ รวม score ทั้งหมดเป็นคะแนนที่สามารถนำมาจัดลำดับกิจกรรมเพื่อการตรวจสอบทั้งหมด 07/12/61

Risk Factors ความเสี่ยงพื้นฐาน (IR-Inherent Risk) ปัจจัยขนาดของผลกระทบจากความเสี่ยง A ผลรวมมูลค่ารายจ่ายดำเนินงาน (Value of Annual Expenditure or Total Cost of Ownership) B จำนวนพนักงาน (Number of Employees Involved) C ผลกระทบต่อองค์กร ( Impact on the organization) D จำนวนรายการ (Volume of Transactions) 07/12/61

Risk Factors ความเสี่ยงภายหลังการควบคุม (CR-Control Risk) ปัจจัยความเป็นไปได้ที่ความเสี่ยงจะเกิดขึ้น F ผลกระทบจากพนักงานและผู้บริหาร (Impact of Mgt and staff) G ผลกระทบจากหน่วยงานภายนอก (Third Party Sensitivity) H ระดับมาตรฐานการควบคุมภายใน (Standard of Internal Control) J โอกาสเกิดเหตุการณ์เสี่ยง (Likelihood of occurrence) 07/12/61

Risk Factors ความเสี่ยงในการตรวจพบ (DR-Detection Risk) ปัจจัยความเป็นไปได้ที่จะตรวจพบผลกระทบ หากมีความเสี่ยงเกิดขึ้น K ประสิทธิผลของการตรวจสอบ (Likely effectiveness of audit) L เวลาที่ใช้ต่อการตรวจสอบ (Duration of the audit) M เวลานับจากการตรวจครั้งสุดท้าย (Length of time since the last review) N ประสิทธิผลของการตรวจสอบโดยหน่วยงานอื่น (Effectiveness of other assurance providers) 07/12/61

Aggregate Risk Score FORMULA USED FOR CALCULATION OF RISK FACTOR INHERENT CONTROL DETECTION (2A + B + 3C + D) X (2F + G + 3H + 3J) X (K + 2L + 2M+ 2N) 35 45 35 THE RESULT IS MULTIPLIED BY 200 07/12/61

Audit Interval ผลการประเมินความเสี่ยงของกิจกรรมการตรวจสอบ SCORE >80 E - Top Priority 60 - 79 H - Critical topic for review 40 - 59 M - Important to tackle 20 - 39 L - Lower priority but still valid audit topic <19 N - Audit probably unnecessary 07/12/61

Aggregate Risk Factor 07/12/61

Audit Risk Priority 07/12/61

Long-term Audit Plan 07/12/61

Audit Resource Planning 07/12/61

Risk Scoring Sheet 07/12/61

Risk Scoring Sheet 07/12/61

Risk Scoring Sheet 07/12/61

IR - Inherent Risk A - ผลรวมมูลค่ารายจ่ายดำเนินงาน หรือ ต้นทุนการเป็นเจ้าของระบบงาน ไม่เกิน 10 ล้านบาท 10 – 40 ล้านบาท 40 – 200 ล้านบาท 200 – 400 ล้านบาท มากกว่า 400 ล้านบาท 07/12/61

IR - Inherent Risk B - จำนวนพนักงานที่เกี่ยวข้อง หรือผู้ที่สามารถเข้าถึงระบบ ไม่เกิน 10 คน 11 - 30 คน 31 - 50 คน 51 - 100 คน มากกว่า 100 คน 07/12/61

IR - Inherent Risk C - ผลกระทบต่อองค์กร ไม่มีนัยสำคัญความเสียหายที่เป็นตัวเงินต่ำ, ธุรกิจไม่หยุดชะงัก, ไม่กระทบต่อชื่อเสียงองค์กร ผลกระทบน้อยความเสียหายที่เป็นตัวเงินปานกลาง, ธุรกิจหยุดชะงักเล็กน้อย, กระทบต่อชื่อเสียงเล็กน้อย ผลกระทบปานกลางความเสียหายที่เป็นตัวเงินสูง, ธุรกิจหยุดชะงักระยะหนึ่ง, กระทบต่อชื่อเสียงพอสมควร ผลกระทบมากความเสียหายที่เป็นตัวเงินสูง, ธุรกิจหยุดชะงักระยะหนึ่ง, กระทบต่อชื่อเสียงอย่างมาก ผลกระทบรุนแรงความเสียหายที่เป็นตัวเงินสูงจนกระทบต่อเป้าหมาย, ธุรกิจหยุดชะงักอย่างถาวร, มีผลกระทบทำให้ชื่อเสียงเสียหาย 07/12/61

IR - Inherent Risk D - จำนวนรายการหรือกิจกรรมของผู้ใช้งานในระบบต่อเดือน ไม่เกิน 500 501 - 2500 2501 - 5000 5001 - 15,000 มากว่า 15,000 07/12/61

CR - Control Risk F - ผลกระทบจากพนักงานและผู้บริหาร a) คุณภาพของผู้บริหาร b) อัตราการหมุนเวียนพนักงาน c) ระยะเวลานับแต่เริ่มใช้กระบวนการทำงานในธุรกิจ d) ระดับความกังวลของผู้บริหารต่อกระบวนการ e) ผู้บริหารมีทัศนคติชอบเสี่ยงหรือระมัดระวัง f) ขวัญและกำลังใจของพนักงาน 07/12/61

CR - Control Risk F - ผลกระทบจากพนักงานและผู้บริหาร บุคลากรมีคุณภาพดีเลิศ การลาออกหรือหมุนเวียนต่ำ เริ่มใช้กระบวนการทำงานปัจจุบันมานานกว่า 3 ปี และผู้บริหารไม่ได้แสดงความกังวลในประเด็นใด บุคลากรมีคุณภาพสูง บุคลากรมีคุณภาพปานกลาง บุคลากรมีคุณภาพต่ำกว่ามาตรฐาน ขาดบุคลากรที่มีคุณภาพ อัตราการหมุนเวียนสูง กระบวนการทำงานปัจจุบันเพิ่งเริ่มไม่ถึง 3 เดือน และผู้บริหารแสดงความกังวลอย่างชัดเจนต่อกระบวนการทำงาน 07/12/61

CR - Control Risk G - ผลกระทบจากหน่วยงานหรือผู้ให้บริการจากภายนอก a) เกี่ยวข้องกับประเด็นหรือข้อกำหนดทางภาษี b) ระดับของการถูกกำกับควบคุมโดยทางการ c) เสี่ยงต่อการปฏิบัติผิดกฎหมาย / ความลับ / ทุจริต d) กระทบต่อการส่งมอบ หรือทำให้บริการหยุดชะงัก 07/12/61

CR - Control Risk G - ผลกระทบจากหน่วยงานหรือผู้ให้บริการจากภายนอก ไม่มีผลกระทบจากประเด็นทางภาษี กฎหมาย การกำกับโดยทางการ หรือการใช้บริการจากหน่วยงานภายนอก มีผลกระทบต่ำ มีผลกระทบปานกลาง มีผลกระทบสูง มีผลกระทบอย่างมีนัยสำคัญจากหน่วยงานหรือผู้ให้บริการจากภายนอก 07/12/61

CR - Control Risk H - ระดับมาตรฐานการควบคุมภายใน a) การอนุมัติหรือทำรายการ (ไม่มี, คนเดียวทำได้โดยตลอด, คนเดียวโดยมีการสอบทาน, สองคน, กลุ่มบุคคล) b) ระดับความเสียหาย หากการควบคุมสูญเสียประสิทธิผล c) มีโอกาสของการแก้ไขตกแต่งรายการโดยเจตนา d) มีโอกาสในการทำทุจริต e) ระดับความซับซ้อนของระบบงาน f) ใช้ระบบหรือกระบวนการที่เป็นมาตรฐาน g) ระดับการใส่ใจปฏิบัติตามระเบียบ นโยบาย และคู่มือ h) มีการเปลี่ยนแปลงโครงสร้างองค์กรหรือระบบงาน i) มีสัญญาณเตือนถึงสิ่งผิดปกติ ผิดพลาด บกพร่อง ทุจริต j) ความน่าเชื่อถือของผลประเมินการควบคุมภายในล่าสุด k) ระดับความบกพร่องของการควบคุมจากการประเมิน l) ความเชื่อถือได้ของระบบการควบคุมทางการบัญชี m) กระบวนการต่างๆ จัดทำเป็นเอกสารคู่มือเป็นทางการ n) ความน่าเชื่อถือของการควบคุมและความปลอดภัยทางด้านสารสนเทศ 07/12/61

CR - Control Risk H - ระดับมาตรฐานการควบคุมภายใน ดีเลิศ โครงสร้างองค์กรหรือระบบงานไม่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ; ไม่มีช่องทางหรือโอกาสเปิดให้ผู้บริหารสามารถแก้ไขตกแต่งรายการโดยเจตนา ดีกว่าเกณฑ์เฉลี่ยมีการควบคุมภายในที่ได้ระดับมาตรฐานตลอดทุกกระบวนการ มั่นคงการควบคุมภายในมีความมั่นคงพอสมควร อ่อนทราบหรือน่าสงสัยว่าการควบคุมภายในอ่อน ไม่มั่นคงอย่างยิ่งทราบหรือน่าสงสัยว่าการควบคุมภายในไม่มั่นคงอย่างยิ่ง 07/12/61

CR - Control Risk J - โอกาสเกิดเหตุการณ์เสี่ยง ต่ำอย่างมากความเสียหายอาจเกิดในสถานการณ์พิเศษเท่านั้น ( 0% - 3%) เกิดได้ยากความเสี่ยงหรือเสียหายสามารถเกิดได้ในบางโอกาส (3% - 30%) เป็นไปได้ความเสี่ยงหรือเสียหายอาจเกิดได้บางเวลา (30% - 60%) เกิดได้บ่อยความเสี่ยงหรือเสียหายอาจเกิดขึ้นในสถานการณ์ทั่วไป (60 % - 97% ) ค่อนข้างแน่นอนคาดได้ว่าความเสี่ยงเกิดได้ในสถานการณ์ส่วนใหญ่ (> 97% ) 07/12/61

DR - Detection Risk K - ประสิทธิผลของการตรวจสอบ a) ผู้รับการตรวจเต็มใจยอมรับและปฏิบัติตามผลการตรวจสอบ b) หน่วยงานตรวจสอบมีระดับของทักษะพิเศษ ที่จำเป็นต่อการตรวจสอบ c) ความสามารถในการตรวจสอบ d) ความจำเป็นในการตรวจติดตามผล e) คุณภาพเอกสารระบบงานตรวจสอบภายใน f) ความรู้ธุรกิจและประสบการณ์ของผู้ตรวจสอบ g) ผู้บริหารมีส่วนร่วมและใส่ใจสนับสนุนให้การตรวจสอบ มีประสิทธิผล 07/12/61

DR - Detection Risk K - ประสิทธิผลของการตรวจสอบ ไม่มีข้อจำกัดที่มีนัยสำคัญต่อประสิทธิผลการตรวจสอบ เช่น หน่วยงานตรวจสอบมีพนักงานที่มีความรู้ความสามารถ และผู้รับการตรวจให้ความร่วมมือและยอมรับการตรวจสอบเป็นอย่างดี ไม่น่าจะมีข้อจำกัดที่มีผลต่อประสิทธิผลการตรวจสอบ มีข้อจำกัดอยู่บ้างต่อประสิทธิผลการตรวจสอบ เป็นไปได้สูงที่จะมีข้อจำกัดต่อประสิทธิผลการตรวจสอบ มีข้อจำกัดที่มีนัยสำคัญต่อประสิทธิผลการตรวจสอบ เช่น หน่วยงานตรวจสอบมีแต่พนักงานใหม่ ผู้ตรวจสอบที่มีประสบการณ์ลาออกหรือหมุนเวียนบ่อย และผู้รับการตรวจไม่ค่อยให้ความร่วมมือ 07/12/61

DR - Detection Risk L - เวลาที่ใช้ต่อการตรวจสอบแต่ละครั้ง (วัน) เกิน 70 วัน 41 - 70 วัน 21 - 40 วัน 10 - 20 วัน น้อยกว่า 10 วัน 07/12/61

DR - Detection Risk M - เวลานับจากการตรวจครั้งสุดท้าย (เดือน) ไม่เกิน 12 เดือน หรือมีการติดตามอย่างใกล้ชิด 12 - 18 เดือน 18 - 24 เดือน 24 - 36 เดือน เกิน 36 เดือนหรือไม่เคยตรวจสอบเลย 07/12/61

DR - Detection Risk N - ประสิทธิผลของการตรวจสอบโดยหน่วยงานอื่น เช่น หน่วยงานประเมินคุณภาพ, หน่วยงานกำกับของทางการ, ผู้สอบบัญชี, หน่วยงานกำกับและควบคุมภายใน ไม่พบประเด็นสำคัญจากการตรวจสอบเป็นประจำ พบประเด็นสำคัญบ้างจากการตรวจสอบเป็นประจำ ไม่มีการตรวจสอบ พบประเด็นสำคัญจำนวนมากจากการตรวจสอบ พบประเด็นสำคัญเสมอในการตรวจสอบโดยหน่วยงานอื่น 07/12/61

Q&A PAIRAT SRIVILAIRIT FSVP Head of Internal Audit TISCO Financial Group Public Company Limited Mobile : +668 1903 1457 Office : +66 2633 7821 Email : pairat@tisco.co.th 07/12/61