Download - Audit Risk Assessment Model Thai

Risk-Based Audit10/04/23 1

Risk-Based AuditRisk-Based Audit

Audit Risk Assessment Model

สั�มมนาสั�าน�กตรวจสัอบภายใน การจ�ดทำ�าแผนการตรวจสัอบแบบ Risk-based Audit Plan

บร�ษั�ทำ กสัทำ โทำรคมนาคม จ�าก�ด (มหาชน ) (CAT)

26 ก�นยายน 2554 8 :3 0-16 :30น.


แนะน��วิ�ทย�กร

ไพร�ช ศร�ว�ไลฤทำธิ์�# CIA CISA CBA CCSA CFSA CISSP CFEห�วหน$าตรวจสัอบภายใน บมจ . ทำ�สัโก$ไฟแนนเช�ยลกร' (ป

ปร�ญญาตร�ว�ศวกรรมศาสัตร+ จ'ฬาฯ (2528) ปร�ญญาโทำบร�หารธิ์'รก�จ ธิ์รรมศาสัตร+ฯ (2533 ) IIA’s EIAP ร' .นทำ�/ 7 จ'ฬาฯ (2546 ) ประสับการณ์+ด$านว�ศวกรรมและแผนงานในการประปาสั.วนภ3ม�ภาค 4 ป4 ประสับการณ์+ด$านการเง�นในทำ�สัโก$ 21 ป4 ว�ทำยากรและคณ์ะทำ�างาน สัมาคมผ3$ตรวจสัอบภายในแห.งประเทำศไทำย คณ์ะกรรมการประเม�นผลการประก�นค'ณ์ภาพงานตรวจสัอบภายในภาคร�ฐ คณ์ะกรรมการพ�ฒนาการตรวจสัอบภายในภาคราชการ คณ์ะกรรมการบร�หารความเสั�/ยงระด�บกร'งเทำพมหานคร

Risk-Based Audit10/04/23 304/10/23 3

วิ�ตถุ�ประสงค์�

เพ7/อแนะน�าโมเดลประเม�นความเสั�/ยงเพ7/อจ�ดทำ�าแผนการตรวจสัอบ

เพ7/อสัาธิ์�ตต�วอย.างการประเม�นความเสั�/ยงและจ�ดทำ�าแผนการตรวจสัอบด$วยโมเดล

เพ7/อให$ผ3$ตรวจสัอบภายในสัามารถน�าโมเดลไปประย'กต+ในการวางแผนการตรวจสัอบในหน.วยงานของตนอย.างเป:นระบบ


Audit Risk Model

โมเดลประเม�นความเสั�/ยงเพ7/อจ�ดทำ�าแผนการตรวจสัอบ

เพ7/อล�าด�บความสั�าค�ญและเร.งด.วนของแต.ละก�จกรรมอย.างเป:นระบบ สั�าหร�บจ�ดทำ�าแผนการตรวจสัอบ

มองความเสั�/ยงแบบสั�มพ�ทำธิ์+ เปร�ยบเทำ�ยบด$วยการพ�จารณ์า 3 ป;จจ�ยประกอบก�นโดยแต.ละป;จจ�ยม�น�<าหน�กเทำ.าก�น:

– ความเสั�/ยงพ7<นฐาน (IR-Inherent Risk )– ความเสั�/ยงภายหล�งการควบค'ม (CR-Control Risk )– ความเสั�/ยงในการตรวจพบ (DR-Detection Risk )


Risk-Based Planning - Steps

แบ.งองค+กรทำ�/ร �บการตรวจสัอบเป:นสั.วนๆ เพ7/อก�าหนดก�จกรรมเพ7/อการตรวจสัอบ

ต$องแน.ใจว.าเกณ์ฑ์+แบ.งทำ�/ใช$ก�จกรรมสัม�/าเสัมอ ครอบคล'มขอบเขตทำ�/ร �บผ�ดชอบทำ�<งหมดของงานตรวจสัอบ

ประเม�นความเสั�/ยงของแต.ละสั.วนจนครบทำ�<ง universe เพ7/อได$ Score ของ IR, CR, และ DR

ป;จจ�ยย.อยใน IR, CR, และ DR จะม�น�<าหน�กแตกต.างตามความสั�าค�ญ

รวม score ทำ�<งหมดเป:นคะแนนทำ�/สัามารถน�ามาจ�ดล�าด�บก�จกรรมเพ7/อการตรวจสัอบทำ�<งหมด


Risk Factors

ความเสั�/ยงพ7<นฐาน (IR-Inherent Risk )ป;จจ�ยขนาดของผลกระทำบจากความเสั�/ยง

A ผลรวมม3ลค.ารายจ.ายด�าเน�นงาน (Value of Annual Expenditure or Total Cost of Ownership)

B จ�านวนพน�กงาน (Number of Employees Involved)

C ผลกระทำบต.อองค+กร ( Impact on the organization)

D จ�านวนรายการ (Volume of Transactions)


Risk Factors

ความเสั�/ยงภายหล�งการควบค'ม (CR-Control Risk )ป;จจ�ยความเป:นไปได$ทำ�/ความเสั�/ยงจะเก�ดข?<น

F ผลกระทำบจากพน�กงานและผ3$บร�หาร (Impact of Mgt and staff)

G ผลกระทำบจากหน.วยงานภายนอก (Third Party Sensitivity)

H ระด�บมาตรฐานการควบค'มภายใน (Standard of Internal Control)

J โอกาสัเก�ดเหต'การณ์+เสั�/ยง (Likelihood of occurrence )


Risk Factors

ความเสั�/ยงในการตรวจพบ (DR-Detection Risk )ป;จจ�ยความเป:นไปได$ทำ�/จะตรวจพบผลกระทำบ

หากม�ความเสั�/ยงเก�ดข?<น

K ประสั�ทำธิ์�ผลของการตรวจสัอบ (Likely effectiveness of audit)

L เวลาทำ�/ใช$ต.อการตรวจสัอบ (Duration of the audit)M เวลาน�บจากการตรวจคร�<งสั'ดทำ$าย

(Length of time since the last review)N ประสั�ทำธิ์�ผลของการตรวจสัอบโดยหน.วยงานอ7/น

(Effectiveness of other assurance providers)


Aggregate Risk Score

FORMULA USED FOR CALCULATION OF RISK FACTOR

INHERENT CONTROL DETECTION

(2A + B + 3C + D) X (2F + G + 3H + 3J) X(K + 2L + 2M+ 2N)

35 45 35

THE RESULT IS MULTIPLIED BY 200


Audit Interval

ผลการประเม�นความเสั�/ยงของก�จกรรมการตรวจสัอบ

SCORE>80 E - Top Priority60 - 79 H - Critical topic for review40 - 59 M - Important to tackle20 - 39 L - Lower priority but still valid audit

topic<19 N - Audit probably unnecessary


Aggregate Risk Factor


Audit Risk Priority


Long-term Audit Plan


Audit Resource Planning


Risk Scoring Sheet


IR - Inherent Risk

A - ผลรวมม3ลค.ารายจ.ายด�าเน�นงาน หร7อ ต$นทำ'นการเป:นเจ$าของระบบงาน

1 . ไม.เก�น 10 ล$านบาทำ2. 10 – 40 ล$านบาทำ 3. 40 – 200 ล$านบาทำ4. 200 – 400 ล$านบาทำ5. มากกว.า 400 ล$านบาทำ


IR - Inherent Risk

B - จ�านวนพน�กงานทำ�/เก�/ยวข$อง หร7อผ3$ทำ�/สัามารถเข$าถ?งระบบ

1 . ไม.เก�น 10 คน2. 11 - 30 คน3. 31 - 50 คน4. 51 - 100 คน5 . มากกว.า 100 คน


IR - Inherent Risk

C - ผลกระทำบต.อองค+กร

1 . ไม.ม�น�ยสั�าค�ญความเสั�ยหายทำ�/เป:นต�วเง�นต�/า, ธิ์'รก�จไม.หย'ดชะง�ก, ไม.กระทำบต.อช7/อเสั�ยงองค+กร

2. ผลกระทำบน$อยความเสั�ยหายทำ�/เป:นต�วเง�นปานกลาง, ธิ์'รก�จหย'ดชะง�กเล@กน$อย, กระทำบต.อช7/อเสั�ยงเล@กน$อย

3. ผลกระทำบปานกลางความเสั�ยหายทำ�/เป:นต�วเง�นสั3ง, ธิ์'รก�จหย'ดชะง�กระยะหน?/ง, กระทำบต.อช7/อเสั�ยงพอสัมควร

4. ผลกระทำบมากความเสั�ยหายทำ�/เป:นต�วเง�นสั3ง, ธิ์'รก�จหย'ดชะง�กระยะหน?/ง, กระทำบต.อช7/อเสั�ยงอย.างมาก

5 . ผลกระทำบร'นแรงความเสั�ยหายทำ�/เป:นต�วเง�นสั3งจนกระทำบต.อเปAาหมาย, ธิ์'รก�จหย'ดชะง�กอย.างถาวร, ม�ผลกระทำบทำ�าให$ช7/อเสั�ยงเสั�ยหาย


IR - Inherent Risk

D - จ�านวนรายการหร7อก�จกรรมของผ3$ใช$งานในระบบต.อเด7อน

1 . ไม.เก�น 500 2. 501 - 25003. 2501 - 50004. 5001 - 15,0005 . มากว.า 15,000


CR - Control Risk

F - ผลกระทำบจากพน�กงานและผ3$บร�หาร

a ) ค'ณ์ภาพของผ3$บร�หารb ) อ�ตราการหม'นเว�ยนพน�กงานc ) ระยะเวลาน�บแต.เร�/มใช$กระบวนการทำ�างานในธิ์'รก�จd ) ระด�บความก�งวลของผ3$บร�หารต.อกระบวนการe ) ผ3$บร�หารม�ทำ�ศนคต�ชอบเสั�/ยงหร7อระม�ดระว�งf ) ขว�ญและก�าล�งใจของพน�กงาน


CR - Control Risk

F - ผลกระทำบจากพน�กงานและผ3$บร�หาร

1 . บ'คลากรม�ค'ณ์ภาพด�เล�ศ การลาออกหร7อหม'นเว�ยนต�/า เร�/มใช$กระบวนการทำ�างานป;จจ'บ�นมานานกว.า 3 ป4 และผ3$บร�หารไม.ได$แสัดงความก�งวลในประเด@นใด

2 . บ'คลากรม�ค'ณ์ภาพสั3ง3 . บ'คลากรม�ค'ณ์ภาพปานกลาง4 . บ'คลากรม�ค'ณ์ภาพต�/ากว.ามาตรฐาน 5 . ขาดบ'คลากรทำ�/ม�ค'ณ์ภาพ อ�ตราการหม'นเว�ยนสั3ง กระบวนการ

ทำ�างานป;จจ'บ�นเพ�/งเร�/มไม.ถ?ง 3 เด7อน และผ3$บร�หารแสัดงความก�งวลอย.างช�ดเจนต.อกระบวนการทำ�างาน


CR - Control Risk

G - ผลกระทำบจากหน.วยงานหร7อผ3$ให$บร�การจากภายนอก a ) เก�/ยวข$องก�บประเด@นหร7อข$อก�าหนดทำางภาษั�b ) ระด�บของการถ3กก�าก�บควบค'มโดยทำางการc ) เสั�/ยงต.อการปฏิ�บ�ต�ผ�ดกฎหมาย / ความล�บ / ทำ'จร�ตd ) กระทำบต.อการสั.งมอบ หร7อทำ�าให$บร�การหย'ดชะง�ก


CR - Control Risk

G - ผลกระทำบจากหน.วยงานหร7อผ3$ให$บร�การจากภายนอก

1 . ไม.ม�ผลกระทำบจากประเด@นทำางภาษั� กฎหมาย การก�าก�บโดยทำางการ หร7อการใช$บร�การจากหน.วยงานภายนอก

2 . ม�ผลกระทำบต�/า3 . ม�ผลกระทำบปานกลาง4 . ม�ผลกระทำบสั3ง5 . ม�ผลกระทำบอย.างม�น�ยสั�าค�ญจากหน.วยงานหร7อผ3$ให$บร�การจาก

ภายนอก


CR - Control Risk

H - ระด�บมาตรฐานการควบค'มภายใน a ) การอน'ม�ต�หร7อทำ�ารายการ (ไม.ม�, คนเด�ยวทำ�าได$โดยตลอด, คนเด�ยวโดยม�การ

สัอบทำาน, สัองคน, กล'.มบ'คคล)b ) ระด�บความเสั�ยหาย หากการควบค'มสั3ญเสั�ยประสั�ทำธิ์�ผลc ) ม�โอกาสัของการแก$ไขตกแต.งรายการโดยเจตนาd ) ม�โอกาสัในการทำ�าทำ'จร�ตe ) ระด�บความซั�บซั$อนของระบบงานf ) ใช$ระบบหร7อกระบวนการทำ�/เป:นมาตรฐานg ) ระด�บการใสั.ใจปฏิ�บ�ต�ตามระเบ�ยบ นโยบาย และค3.ม7อh ) ม�การเปล�/ยนแปลงโครงสัร$างองค+กรหร7อระบบงานi ) ม�สั�ญญาณ์เต7อนถ?งสั�/งผ�ดปกต� ผ�ดพลาด บกพร.อง ทำ'จร�ตj ) ความน.าเช7/อถ7อของผลประเม�นการควบค'มภายในล.าสั'ดk ) ระด�บความบกพร.องของการควบค'มจากการประเม�นl ) ความเช7/อถ7อได$ของระบบการควบค'มทำางการบ�ญช�m ) กระบวนการต.างๆ จ�ดทำ�าเป:นเอกสัารค3.ม7อเป:นทำางการn ) ความน.าเช7/อถ7อของการควบค'มและความปลอดภ�ยทำางด$านสัารสันเทำศ


CR - Control Risk

H - ระด�บมาตรฐานการควบค'มภายใน

1 . ด�เล�ศ โครงสัร$างองค+กรหร7อระบบงานไม.ม�การเปล�/ยนแปลงอย.างม�น�ยสั�าค�ญ; ไม.ม�ช.องทำางหร7อโอกาสัเปEดให$ผ3$บร�หารสัามารถแก$ไขตกแต.งรายการโดยเจตนา

2 . ด�กว.าเกณ์ฑ์+เฉล�/ยม�การควบค'มภายในทำ�/ได$ระด�บมาตรฐานตลอดทำ'กกระบวนการ

3 . ม�/นคงการควบค'มภายในม�ความม�/นคงพอสัมควร4 . อ.อนทำราบหร7อน.าสังสั�ยว.าการควบค'มภายในอ.อน5 . ไม.ม�/นคงอย.างย�/งทำราบหร7อน.าสังสั�ยว.าการควบค'มภายในไม.

ม�/นคงอย.างย�/ง


CR - Control Risk

J - โอกาสัเก�ดเหต'การณ์+เสั�/ยง

1 . ต�/าอย.างมากความเสั�ยหายอาจเก�ดในสัถานการณ์+พ�เศษัเทำ.าน�<น (0% - 3%)

2 . เก�ดได$ยากความเสั�/ยงหร7อเสั�ยหายสัามารถเก�ดได$ในบางโอกาสั (3% - 30%)

3 . เป:นไปได$ความเสั�/ยงหร7อเสั�ยหายอาจเก�ดได$บางเวลา(30% - 60%)

4 . เก�ดได$บ.อยความเสั�/ยงหร7อเสั�ยหายอาจเก�ดข?<นในสัถานการณ์+ทำ�/วไป (60 - % 97% )

5 . ค.อนข$างแน.นอนคาดได$ว.าความเสั�/ยงเก�ดได$ในสัถานการณ์+สั.วนใหญ. (> 97% )


DR - Detection Risk

K - ประสั�ทำธิ์�ผลของการตรวจสัอบ a ) ผ3$ร �บการตรวจเต@มใจยอมร�บและปฏิ�บ�ต�ตามผลการตรวจ

สัอบb ) หน.วยงานตรวจสัอบม�ระด�บของทำ�กษัะพ�เศษั ทำ�/จ�าเป:นต.อการตรวจสัอบ c ) ความสัามารถในการตรวจสัอบd ) ความจ�าเป:นในการตรวจต�ดตามผลe ) ค'ณ์ภาพเอกสัารระบบงานตรวจสัอบภายในf ) ความร3 $ธิ์'รก�จและประสับการณ์+ของผ3$ตรวจสัอบ g ) ผ3$บร�หารม�สั.วนร.วมและใสั.ใจสัน�บสัน'นให$การตรวจสัอบ ม�ประสั�ทำธิ์�ผล


DR - Detection Risk

K - ประสั�ทำธิ์�ผลของการตรวจสัอบ 1 . ไม.ม�ข$อจ�าก�ดทำ�/ม�น�ยสั�าค�ญต.อประสั�ทำธิ์�ผลการตรวจสัอบ เช.น

หน.วยงานตรวจสัอบม�พน�กงานทำ�/ม�ความร3 $ความสัามารถ และผ3$ร �บการตรวจให$ความร.วมม7อและยอมร�บการตรวจสัอบเป:นอย.างด�

2 . ไม.น.าจะม�ข$อจ�าก�ดทำ�/ม�ผลต.อประสั�ทำธิ์�ผลการตรวจสัอบ3 . ม�ข$อจ�าก�ดอย3.บ$างต.อประสั�ทำธิ์�ผลการตรวจสัอบ4 . เป:นไปได$สั3งทำ�/จะม�ข$อจ�าก�ดต.อประสั�ทำธิ์�ผลการตรวจสัอบ5 . ม�ข$อจ�าก�ดทำ�/ม�น�ยสั�าค�ญต.อประสั�ทำธิ์�ผลการตรวจสัอบ เช.น หน.วย

งานตรวจสัอบม�แต.พน�กงานใหม. ผ3$ตรวจสัอบทำ�/ม�ประสับการณ์+ลาออกหร7อหม'นเว�ยนบ.อย และผ3$ร �บการตรวจไม.ค.อยให$ความร.วมม7อ


DR - Detection Risk

L - เวลาทำ�/ใช$ต.อการตรวจสัอบแต.ละคร�<ง (ว�น )

1 . เก�น 70 ว�น2. 41 - 70 ว�น3. 21 - 40 ว�น4. 10 - 20 ว�น5 . น$อยกว.า 10 ว�น


DR - Detection Risk

M - เวลาน�บจากการตรวจคร�<งสั'ดทำ$าย (เด7อน )

1 . ไม.เก�น 12 เด7อน หร7อม�การต�ดตามอย.างใกล$ช�ด2. 12 - 18 เด7อน3. 18 - 24 เด7อน4. 24 - 36 เด7อน5 . เก�น 36 เด7อนหร7อไม.เคยตรวจสัอบเลย


DR - Detection Risk

N - ประสั�ทำธิ์�ผลของการตรวจสัอบโดยหน.วยงานอ7/น เช.น หน.วยงานประเม�นค'ณ์ภาพ, หน.วยงานก�าก�บของทำางการ, ผ3$สัอบบ�ญช�, หน.วยงานก�าก�บและควบค'มภายใน

1 . ไม.พบประเด@นสั�าค�ญจากการตรวจสัอบเป:นประจ�า2 . พบประเด@นสั�าค�ญบ$างจากการตรวจสัอบเป:นประจ�า3 . ไม.ม�การตรวจสัอบ4 . พบประเด@นสั�าค�ญจ�านวนมากจากการตรวจสัอบ5 . พบประเด@นสั�าค�ญเสัมอในการตรวจสัอบโดยหน.วยงานอ7/น


Q&A

PAIRAT SRIVILAIRITFSVP Head of Internal Audit

TISCO Financial Group Public Company LimitedMobile : +668 1903 1457Office : +66 2633 7821Email : [email protected]

Microsoft Excel Worksheet

Download - Audit Risk Assessment Model Thai

Top Related