Download - Audit Risk Assessment Model Thai
Risk-Based Audit10/04/23 1
Risk-Based AuditRisk-Based Audit
Audit Risk Assessment Model
สั�มมนาสั�าน�กตรวจสัอบภายใน การจ�ดทำ�าแผนการตรวจสัอบแบบ Risk-based Audit Plan
บร�ษั�ทำ กสัทำ โทำรคมนาคม จ�าก�ด (มหาชน ) (CAT)
26 ก�นยายน 2554 8 :3 0-16 :30น.
Risk-Based Audit10/04/23 2
แนะน��วิ�ทย�กร
ไพร�ช ศร�ว�ไลฤทำธิ์�# CIA CISA CBA CCSA CFSA CISSP CFEห�วหน$าตรวจสัอบภายใน บมจ . ทำ�สัโก$ไฟแนนเช�ยลกร' (ป
ปร�ญญาตร�ว�ศวกรรมศาสัตร+ จ'ฬาฯ (2528) ปร�ญญาโทำบร�หารธิ์'รก�จ ธิ์รรมศาสัตร+ฯ (2533 ) IIA’s EIAP ร' .นทำ�/ 7 จ'ฬาฯ (2546 ) ประสับการณ์+ด$านว�ศวกรรมและแผนงานในการประปาสั.วนภ3ม�ภาค 4 ป4 ประสับการณ์+ด$านการเง�นในทำ�สัโก$ 21 ป4 ว�ทำยากรและคณ์ะทำ�างาน สัมาคมผ3$ตรวจสัอบภายในแห.งประเทำศไทำย คณ์ะกรรมการประเม�นผลการประก�นค'ณ์ภาพงานตรวจสัอบภายในภาคร�ฐ คณ์ะกรรมการพ�ฒนาการตรวจสัอบภายในภาคราชการ คณ์ะกรรมการบร�หารความเสั�/ยงระด�บกร'งเทำพมหานคร
Risk-Based Audit10/04/23 304/10/23 3
วิ�ตถุ�ประสงค์�
เพ7/อแนะน�าโมเดลประเม�นความเสั�/ยงเพ7/อจ�ดทำ�าแผนการตรวจสัอบ
เพ7/อสัาธิ์�ตต�วอย.างการประเม�นความเสั�/ยงและจ�ดทำ�าแผนการตรวจสัอบด$วยโมเดล
เพ7/อให$ผ3$ตรวจสัอบภายในสัามารถน�าโมเดลไปประย'กต+ในการวางแผนการตรวจสัอบในหน.วยงานของตนอย.างเป:นระบบ
Risk-Based Audit10/04/23 4
Audit Risk Model
โมเดลประเม�นความเสั�/ยงเพ7/อจ�ดทำ�าแผนการตรวจสัอบ
เพ7/อล�าด�บความสั�าค�ญและเร.งด.วนของแต.ละก�จกรรมอย.างเป:นระบบ สั�าหร�บจ�ดทำ�าแผนการตรวจสัอบ
มองความเสั�/ยงแบบสั�มพ�ทำธิ์+ เปร�ยบเทำ�ยบด$วยการพ�จารณ์า 3 ป;จจ�ยประกอบก�นโดยแต.ละป;จจ�ยม�น�<าหน�กเทำ.าก�น:
– ความเสั�/ยงพ7<นฐาน (IR-Inherent Risk )– ความเสั�/ยงภายหล�งการควบค'ม (CR-Control Risk )– ความเสั�/ยงในการตรวจพบ (DR-Detection Risk )
Risk-Based Audit10/04/23 5
Risk-Based Planning - Steps
แบ.งองค+กรทำ�/ร �บการตรวจสัอบเป:นสั.วนๆ เพ7/อก�าหนดก�จกรรมเพ7/อการตรวจสัอบ
ต$องแน.ใจว.าเกณ์ฑ์+แบ.งทำ�/ใช$ก�จกรรมสัม�/าเสัมอ ครอบคล'มขอบเขตทำ�/ร �บผ�ดชอบทำ�<งหมดของงานตรวจสัอบ
ประเม�นความเสั�/ยงของแต.ละสั.วนจนครบทำ�<ง universe เพ7/อได$ Score ของ IR, CR, และ DR
ป;จจ�ยย.อยใน IR, CR, และ DR จะม�น�<าหน�กแตกต.างตามความสั�าค�ญ
รวม score ทำ�<งหมดเป:นคะแนนทำ�/สัามารถน�ามาจ�ดล�าด�บก�จกรรมเพ7/อการตรวจสัอบทำ�<งหมด
Risk-Based Audit10/04/23 6
Risk Factors
ความเสั�/ยงพ7<นฐาน (IR-Inherent Risk )ป;จจ�ยขนาดของผลกระทำบจากความเสั�/ยง
A ผลรวมม3ลค.ารายจ.ายด�าเน�นงาน (Value of Annual Expenditure or Total Cost of Ownership)
B จ�านวนพน�กงาน (Number of Employees Involved)
C ผลกระทำบต.อองค+กร ( Impact on the organization)
D จ�านวนรายการ (Volume of Transactions)
Risk-Based Audit10/04/23 7
Risk Factors
ความเสั�/ยงภายหล�งการควบค'ม (CR-Control Risk )ป;จจ�ยความเป:นไปได$ทำ�/ความเสั�/ยงจะเก�ดข?<น
F ผลกระทำบจากพน�กงานและผ3$บร�หาร (Impact of Mgt and staff)
G ผลกระทำบจากหน.วยงานภายนอก (Third Party Sensitivity)
H ระด�บมาตรฐานการควบค'มภายใน (Standard of Internal Control)
J โอกาสัเก�ดเหต'การณ์+เสั�/ยง (Likelihood of occurrence )
Risk-Based Audit10/04/23 8
Risk Factors
ความเสั�/ยงในการตรวจพบ (DR-Detection Risk )ป;จจ�ยความเป:นไปได$ทำ�/จะตรวจพบผลกระทำบ
หากม�ความเสั�/ยงเก�ดข?<น
K ประสั�ทำธิ์�ผลของการตรวจสัอบ (Likely effectiveness of audit)
L เวลาทำ�/ใช$ต.อการตรวจสัอบ (Duration of the audit)M เวลาน�บจากการตรวจคร�<งสั'ดทำ$าย
(Length of time since the last review)N ประสั�ทำธิ์�ผลของการตรวจสัอบโดยหน.วยงานอ7/น
(Effectiveness of other assurance providers)
Risk-Based Audit10/04/23 9
Aggregate Risk Score
FORMULA USED FOR CALCULATION OF RISK FACTOR
INHERENT CONTROL DETECTION
(2A + B + 3C + D) X (2F + G + 3H + 3J) X(K + 2L + 2M+ 2N)
35 45 35
THE RESULT IS MULTIPLIED BY 200
Risk-Based Audit10/04/23 10
Audit Interval
ผลการประเม�นความเสั�/ยงของก�จกรรมการตรวจสัอบ
SCORE>80 E - Top Priority60 - 79 H - Critical topic for review40 - 59 M - Important to tackle20 - 39 L - Lower priority but still valid audit
topic<19 N - Audit probably unnecessary
Risk-Based Audit10/04/23 11
Aggregate Risk Factor
Risk-Based Audit10/04/23 12
Audit Risk Priority
Risk-Based Audit10/04/23 13
Long-term Audit Plan
Risk-Based Audit10/04/23 14
Audit Resource Planning
Risk-Based Audit10/04/23 15
Risk Scoring Sheet
Risk-Based Audit10/04/23 16
Risk Scoring Sheet
Risk-Based Audit10/04/23 17
Risk Scoring Sheet
Risk-Based Audit10/04/23 18
IR - Inherent Risk
A - ผลรวมม3ลค.ารายจ.ายด�าเน�นงาน หร7อ ต$นทำ'นการเป:นเจ$าของระบบงาน
1 . ไม.เก�น 10 ล$านบาทำ2. 10 – 40 ล$านบาทำ 3. 40 – 200 ล$านบาทำ4. 200 – 400 ล$านบาทำ5. มากกว.า 400 ล$านบาทำ
Risk-Based Audit10/04/23 19
IR - Inherent Risk
B - จ�านวนพน�กงานทำ�/เก�/ยวข$อง หร7อผ3$ทำ�/สัามารถเข$าถ?งระบบ
1 . ไม.เก�น 10 คน2. 11 - 30 คน3. 31 - 50 คน4. 51 - 100 คน5 . มากกว.า 100 คน
Risk-Based Audit10/04/23 20
IR - Inherent Risk
C - ผลกระทำบต.อองค+กร
1 . ไม.ม�น�ยสั�าค�ญความเสั�ยหายทำ�/เป:นต�วเง�นต�/า, ธิ์'รก�จไม.หย'ดชะง�ก, ไม.กระทำบต.อช7/อเสั�ยงองค+กร
2. ผลกระทำบน$อยความเสั�ยหายทำ�/เป:นต�วเง�นปานกลาง, ธิ์'รก�จหย'ดชะง�กเล@กน$อย, กระทำบต.อช7/อเสั�ยงเล@กน$อย
3. ผลกระทำบปานกลางความเสั�ยหายทำ�/เป:นต�วเง�นสั3ง, ธิ์'รก�จหย'ดชะง�กระยะหน?/ง, กระทำบต.อช7/อเสั�ยงพอสัมควร
4. ผลกระทำบมากความเสั�ยหายทำ�/เป:นต�วเง�นสั3ง, ธิ์'รก�จหย'ดชะง�กระยะหน?/ง, กระทำบต.อช7/อเสั�ยงอย.างมาก
5 . ผลกระทำบร'นแรงความเสั�ยหายทำ�/เป:นต�วเง�นสั3งจนกระทำบต.อเปAาหมาย, ธิ์'รก�จหย'ดชะง�กอย.างถาวร, ม�ผลกระทำบทำ�าให$ช7/อเสั�ยงเสั�ยหาย
Risk-Based Audit10/04/23 21
IR - Inherent Risk
D - จ�านวนรายการหร7อก�จกรรมของผ3$ใช$งานในระบบต.อเด7อน
1 . ไม.เก�น 500 2. 501 - 25003. 2501 - 50004. 5001 - 15,0005 . มากว.า 15,000
Risk-Based Audit10/04/23 22
CR - Control Risk
F - ผลกระทำบจากพน�กงานและผ3$บร�หาร
a ) ค'ณ์ภาพของผ3$บร�หารb ) อ�ตราการหม'นเว�ยนพน�กงานc ) ระยะเวลาน�บแต.เร�/มใช$กระบวนการทำ�างานในธิ์'รก�จd ) ระด�บความก�งวลของผ3$บร�หารต.อกระบวนการe ) ผ3$บร�หารม�ทำ�ศนคต�ชอบเสั�/ยงหร7อระม�ดระว�งf ) ขว�ญและก�าล�งใจของพน�กงาน
Risk-Based Audit10/04/23 23
CR - Control Risk
F - ผลกระทำบจากพน�กงานและผ3$บร�หาร
1 . บ'คลากรม�ค'ณ์ภาพด�เล�ศ การลาออกหร7อหม'นเว�ยนต�/า เร�/มใช$กระบวนการทำ�างานป;จจ'บ�นมานานกว.า 3 ป4 และผ3$บร�หารไม.ได$แสัดงความก�งวลในประเด@นใด
2 . บ'คลากรม�ค'ณ์ภาพสั3ง3 . บ'คลากรม�ค'ณ์ภาพปานกลาง4 . บ'คลากรม�ค'ณ์ภาพต�/ากว.ามาตรฐาน 5 . ขาดบ'คลากรทำ�/ม�ค'ณ์ภาพ อ�ตราการหม'นเว�ยนสั3ง กระบวนการ
ทำ�างานป;จจ'บ�นเพ�/งเร�/มไม.ถ?ง 3 เด7อน และผ3$บร�หารแสัดงความก�งวลอย.างช�ดเจนต.อกระบวนการทำ�างาน
Risk-Based Audit10/04/23 24
CR - Control Risk
G - ผลกระทำบจากหน.วยงานหร7อผ3$ให$บร�การจากภายนอก a ) เก�/ยวข$องก�บประเด@นหร7อข$อก�าหนดทำางภาษั�b ) ระด�บของการถ3กก�าก�บควบค'มโดยทำางการc ) เสั�/ยงต.อการปฏิ�บ�ต�ผ�ดกฎหมาย / ความล�บ / ทำ'จร�ตd ) กระทำบต.อการสั.งมอบ หร7อทำ�าให$บร�การหย'ดชะง�ก
Risk-Based Audit10/04/23 25
CR - Control Risk
G - ผลกระทำบจากหน.วยงานหร7อผ3$ให$บร�การจากภายนอก
1 . ไม.ม�ผลกระทำบจากประเด@นทำางภาษั� กฎหมาย การก�าก�บโดยทำางการ หร7อการใช$บร�การจากหน.วยงานภายนอก
2 . ม�ผลกระทำบต�/า3 . ม�ผลกระทำบปานกลาง4 . ม�ผลกระทำบสั3ง5 . ม�ผลกระทำบอย.างม�น�ยสั�าค�ญจากหน.วยงานหร7อผ3$ให$บร�การจาก
ภายนอก
Risk-Based Audit10/04/23 26
CR - Control Risk
H - ระด�บมาตรฐานการควบค'มภายใน a ) การอน'ม�ต�หร7อทำ�ารายการ (ไม.ม�, คนเด�ยวทำ�าได$โดยตลอด, คนเด�ยวโดยม�การ
สัอบทำาน, สัองคน, กล'.มบ'คคล)b ) ระด�บความเสั�ยหาย หากการควบค'มสั3ญเสั�ยประสั�ทำธิ์�ผลc ) ม�โอกาสัของการแก$ไขตกแต.งรายการโดยเจตนาd ) ม�โอกาสัในการทำ�าทำ'จร�ตe ) ระด�บความซั�บซั$อนของระบบงานf ) ใช$ระบบหร7อกระบวนการทำ�/เป:นมาตรฐานg ) ระด�บการใสั.ใจปฏิ�บ�ต�ตามระเบ�ยบ นโยบาย และค3.ม7อh ) ม�การเปล�/ยนแปลงโครงสัร$างองค+กรหร7อระบบงานi ) ม�สั�ญญาณ์เต7อนถ?งสั�/งผ�ดปกต� ผ�ดพลาด บกพร.อง ทำ'จร�ตj ) ความน.าเช7/อถ7อของผลประเม�นการควบค'มภายในล.าสั'ดk ) ระด�บความบกพร.องของการควบค'มจากการประเม�นl ) ความเช7/อถ7อได$ของระบบการควบค'มทำางการบ�ญช�m ) กระบวนการต.างๆ จ�ดทำ�าเป:นเอกสัารค3.ม7อเป:นทำางการn ) ความน.าเช7/อถ7อของการควบค'มและความปลอดภ�ยทำางด$านสัารสันเทำศ
Risk-Based Audit10/04/23 27
CR - Control Risk
H - ระด�บมาตรฐานการควบค'มภายใน
1 . ด�เล�ศ โครงสัร$างองค+กรหร7อระบบงานไม.ม�การเปล�/ยนแปลงอย.างม�น�ยสั�าค�ญ; ไม.ม�ช.องทำางหร7อโอกาสัเปEดให$ผ3$บร�หารสัามารถแก$ไขตกแต.งรายการโดยเจตนา
2 . ด�กว.าเกณ์ฑ์+เฉล�/ยม�การควบค'มภายในทำ�/ได$ระด�บมาตรฐานตลอดทำ'กกระบวนการ
3 . ม�/นคงการควบค'มภายในม�ความม�/นคงพอสัมควร4 . อ.อนทำราบหร7อน.าสังสั�ยว.าการควบค'มภายในอ.อน5 . ไม.ม�/นคงอย.างย�/งทำราบหร7อน.าสังสั�ยว.าการควบค'มภายในไม.
ม�/นคงอย.างย�/ง
Risk-Based Audit10/04/23 28
CR - Control Risk
J - โอกาสัเก�ดเหต'การณ์+เสั�/ยง
1 . ต�/าอย.างมากความเสั�ยหายอาจเก�ดในสัถานการณ์+พ�เศษัเทำ.าน�<น (0% - 3%)
2 . เก�ดได$ยากความเสั�/ยงหร7อเสั�ยหายสัามารถเก�ดได$ในบางโอกาสั (3% - 30%)
3 . เป:นไปได$ความเสั�/ยงหร7อเสั�ยหายอาจเก�ดได$บางเวลา(30% - 60%)
4 . เก�ดได$บ.อยความเสั�/ยงหร7อเสั�ยหายอาจเก�ดข?<นในสัถานการณ์+ทำ�/วไป (60 - % 97% )
5 . ค.อนข$างแน.นอนคาดได$ว.าความเสั�/ยงเก�ดได$ในสัถานการณ์+สั.วนใหญ. (> 97% )
Risk-Based Audit10/04/23 29
DR - Detection Risk
K - ประสั�ทำธิ์�ผลของการตรวจสัอบ a ) ผ3$ร �บการตรวจเต@มใจยอมร�บและปฏิ�บ�ต�ตามผลการตรวจ
สัอบb ) หน.วยงานตรวจสัอบม�ระด�บของทำ�กษัะพ�เศษั ทำ�/จ�าเป:นต.อการตรวจสัอบ c ) ความสัามารถในการตรวจสัอบd ) ความจ�าเป:นในการตรวจต�ดตามผลe ) ค'ณ์ภาพเอกสัารระบบงานตรวจสัอบภายในf ) ความร3 $ธิ์'รก�จและประสับการณ์+ของผ3$ตรวจสัอบ g ) ผ3$บร�หารม�สั.วนร.วมและใสั.ใจสัน�บสัน'นให$การตรวจสัอบ ม�ประสั�ทำธิ์�ผล
Risk-Based Audit10/04/23 30
DR - Detection Risk
K - ประสั�ทำธิ์�ผลของการตรวจสัอบ 1 . ไม.ม�ข$อจ�าก�ดทำ�/ม�น�ยสั�าค�ญต.อประสั�ทำธิ์�ผลการตรวจสัอบ เช.น
หน.วยงานตรวจสัอบม�พน�กงานทำ�/ม�ความร3 $ความสัามารถ และผ3$ร �บการตรวจให$ความร.วมม7อและยอมร�บการตรวจสัอบเป:นอย.างด�
2 . ไม.น.าจะม�ข$อจ�าก�ดทำ�/ม�ผลต.อประสั�ทำธิ์�ผลการตรวจสัอบ3 . ม�ข$อจ�าก�ดอย3.บ$างต.อประสั�ทำธิ์�ผลการตรวจสัอบ4 . เป:นไปได$สั3งทำ�/จะม�ข$อจ�าก�ดต.อประสั�ทำธิ์�ผลการตรวจสัอบ5 . ม�ข$อจ�าก�ดทำ�/ม�น�ยสั�าค�ญต.อประสั�ทำธิ์�ผลการตรวจสัอบ เช.น หน.วย
งานตรวจสัอบม�แต.พน�กงานใหม. ผ3$ตรวจสัอบทำ�/ม�ประสับการณ์+ลาออกหร7อหม'นเว�ยนบ.อย และผ3$ร �บการตรวจไม.ค.อยให$ความร.วมม7อ
Risk-Based Audit10/04/23 31
DR - Detection Risk
L - เวลาทำ�/ใช$ต.อการตรวจสัอบแต.ละคร�<ง (ว�น )
1 . เก�น 70 ว�น2. 41 - 70 ว�น3. 21 - 40 ว�น4. 10 - 20 ว�น5 . น$อยกว.า 10 ว�น
Risk-Based Audit10/04/23 32
DR - Detection Risk
M - เวลาน�บจากการตรวจคร�<งสั'ดทำ$าย (เด7อน )
1 . ไม.เก�น 12 เด7อน หร7อม�การต�ดตามอย.างใกล$ช�ด2. 12 - 18 เด7อน3. 18 - 24 เด7อน4. 24 - 36 เด7อน5 . เก�น 36 เด7อนหร7อไม.เคยตรวจสัอบเลย
Risk-Based Audit10/04/23 33
DR - Detection Risk
N - ประสั�ทำธิ์�ผลของการตรวจสัอบโดยหน.วยงานอ7/น เช.น หน.วยงานประเม�นค'ณ์ภาพ, หน.วยงานก�าก�บของทำางการ, ผ3$สัอบบ�ญช�, หน.วยงานก�าก�บและควบค'มภายใน
1 . ไม.พบประเด@นสั�าค�ญจากการตรวจสัอบเป:นประจ�า2 . พบประเด@นสั�าค�ญบ$างจากการตรวจสัอบเป:นประจ�า3 . ไม.ม�การตรวจสัอบ4 . พบประเด@นสั�าค�ญจ�านวนมากจากการตรวจสัอบ5 . พบประเด@นสั�าค�ญเสัมอในการตรวจสัอบโดยหน.วยงานอ7/น
Risk-Based Audit10/04/23 34
Q&A
PAIRAT SRIVILAIRITFSVP Head of Internal Audit
TISCO Financial Group Public Company LimitedMobile : +668 1903 1457Office : +66 2633 7821Email : [email protected]
Microsoft Excel Worksheet