Please enable JavaScript.
Coggle requires JavaScript to display documents.
คู่มือการตรวจสอบภายในของ สคร. ปี 2555 - Coggle Diagram
คู่มือการตรวจสอบภายในของ สคร. ปี 2555
กรอบการปฏิบัติงานการตรวจสอบภายใน
1 กรอบ
หน่วยตรวจสอบภายในมีบทบาทหลักในการช่วย AC
ติดตามการควบคุมภา่ยใน
การกำกับดูแลที่ดี
การบริหารความเสี่ยง
การปฏิบัติงานต่างๆ
เป็นกลไก
ตรวสอบด้านการปฏิบัติงาน
รายงานทางการเงิน
การปฏิบัติตามกฎหมาย
ระเบียบและนโยบายต่างๆ ที่เกี่ยวข้อง
ไม่มีหน้าที่ด้านการปฏิบัติงานในการดำเนินธุรกิจ
ต้องเป็นบุคคลที่มีความเป็นอิส่ระจากการบริหาร
6 ข้อ
1 คุณสมบัติของผู้ตรวจสอบภายใน
หัวหน้าหน่วยตรวจสอบภายใน
คุณวุฒิขั้นต่ำ ป.ตรี
มีความรู้ ทักษะ เข้าใจธุรกิจ ประสมบการณ์ในงานตรจสอบ ความรู้เกี่ยวกับความเสี่ยง การควบคุม เทคโนโลยีสารสนเทศ
ผู้ตรวจสอบภายใน
ปฏิบัติหน้าที่ด้วยทัศนคติที่เที่ยงธรรม ไม่อคติ ซื่อสัตย์สุจริต หลีกเลี่ยงความขัดแย้งทางผลประโยชน์ ไม่ควรมีปัจจัยใดๆ มากระทบต่อการใช้วิจารณญาณ
ควรได้รับการฝึกอบรมอย่างเหมาะสม
2 โครงสร้างของหน่วยตรวจสอบภายใน
2.1 หน่วยตรวจสอบภายในต้องมีสถานภาพเทียบเท่าผุ้บริหารของรัฐวิสาหกิจ
รายงานการปฏิบัติงานต่อ AC และ CEO เป็นความเป็นอิสระ และประโยชน์อย่างแท้จริง
CAE ควรหารือกฎบัตรของหน่วยตรวจสอบภายในและแนการตรวจสอบต่อ CEO ก่อนนำเสนอ AC เพื่อเห็นชอบและอนุมัติ
2.2 หน่วยตรวจสอบภายในต้องรายงานการบริหารงานต่อ CEO เพื่อสนับสนุนการปฏิบัติงานด้วยความราบรื่นมีประสิทธิผล เช่น การจัดสรรงบประมาณเพียงพอ
2.3 แต่งตั้ง โยกย้าย ถอดถอน เลื่อนขั้น เลื่อนตำแหน่ง และประเมิน CAE จะไ้ด้รับความเห็นชอบจาก AC และ CEO ก่อนนำเสนอ คกก.รัฐวิสาหกิจ
การแต่งแต่งโยกย้าย ถอดถอน ผู้ตรวจสอบภายใน อยู่ภายใต้การดำเนินการของ CAE โดยหารือกับผู้บริหารระดับสูงสุด ก่อนนำเสนอ AC
2.4 AC และ CEO จะแต่งตั้ง CAE และผู้ตรจสอบภายในไปรักษาการตำแหน่งอื่นหรือปฏิบัติหน้าที่อื่นในขณะเดียวกันไม่ได้ เพื่อความเป็นอิสระ
2.5 ผู้ตรวจสอบภายในต้องมีอิสระจากกิจกรรมที่ตนตรวจสอบ เที่ยงธรรม ปราศจากอคติ ไม่ต้องตรจสอบงานที่ตนเคยทำหน้าที่บริหารหรือปฏิบัติงานภายในระยะเวลา 1 ปี ก่อนทำการตรวจสอบ
2.6 บทบาทและความรับผิดชอบของหน่วยงานตรวจสอบต้องกำหนดไว้เป็นลายลักษณ์อักษรในกฎบัตร
2.7 ผู้บริหารและผู้ที่เกี่ยวข้องทุกฝ่ายควรรับทราบและเข้าใจบทบาทและความรับผิดชอบของหน่วยตรวจสอบภายใน
2.8 หน่วยตรวจสอบภายในควรมีบุคลากรอย่างน้อย 1 คน ที่มีวุฒิบัตรผู้ตรวจสอภายในวิชาชีพรับอนุญาต หรือวุฒิบัตรอื่นที่เกี่ยวข้องกับวิชาชีพการตรวจสอบภายใน
3 ความสัมพันธ์กับฝ่ายบริหาร
ฝ่ายบริหารรับผิดชอบ
ปรับปรุงแก้ไขการควบคุมภายในตามข้อเสนอแนะ
หารือเกี่ยวกับกลยุทธ์ แผนการตรวจ กฎบัตร และรายงานผลการตรวจ
ให้ความเห็นการแต่งตั้ง โยกย้าย ถอดถอน เลื่อนขั้น ตำแหน่ง ประเมินผล CAE ร่วมกับ AC ก่อนเสนอต่อคณะกรรมการรัฐวิสาหกิจ
แต่งตั้ง โยกย้าย ถอดถอน เลื่อนขั้น ตำแหน่ง ประเมินผลงานของผู้ตรวจสอบภายในตามความเห็นของ AC
4 หน้าที่ความรับผิดชอบ
ครอบคลุม
ประสิทธิภาพ ประสิทธิผล ของ C G R
ความถูกต้องเชื่อถือได้ของข้อมูลทางการเงิน และรายงานการดำเนินงาน
การปฏิบัติตามนโยบาย วิธีการปฏิบัติงาน กฎหมาย ระเบียบและข้อบังคับ
การตรวจสอบรายการที่อาจมีความขัดแย้งทางผลประโยชน์
ความเพียงพอและประสิทธิผลของการบริหารความเสี่ยง และการควบคุมภายในเพื่อป้องกันการทุจริตภายในองค์กร
ประสิทธิภาพและประสิทธิผลในการดำเนินงาน และการใช้ทรัพยากร
การดูแลรักษาทรัพย์สิน มิให้เกิดการสูญเสียหรือความเสียหายใดๆ
ควรประสานงานกับผู้บริหารหน่วยรับตรวจ ผู้สอบบัญชี หน่วยงานกำกับดูแล
AC
สอบทานกฎบัตร แผนการตรวจสอบ อนุมัติในกรณีที่ คก.รัฐวิสาหกิจมอบอำนาจให้ดำเนินการได้
พิจารณาแต่งตั้ง โยกย้าย ถอดถอน เลื่อนขั้น ตำแหน่ง ประเมิน CAE โดยพิจารณาร่วมกับ CEO ก่อนนำเสนอ คกก.รัฐวิสาหกิจอนุมัติ
ให้ความเห็นเกี่ยวกับการพิจารณาแต่งตั้ง โยกย้าย ถอดถอน เลื่อนขั้น ประเมินผลงานของผู้ตรวจสอบภายในตามที่ CAE นำเสนอ
พิจารณาประเมินผลการปฏิบัติงานของหน่วยตรวจสอบภายใน
สอบทานและหารือกับ CAE เกี่ยวกับผลการตรวจสอบที่ยังหาข้อยุติกับฝ่ายบริหารไม่ได้ และนำประเด็นสำคัญเสนอต่อ คกก.รัฐวิสาหกิจต่อไป
CAE ในฐานะเลขานุการ ต้องเข้าร่วมประชุม คกก.ตรวจสอบทุกครั้ง ยกเว้นมีเหตุผลอันควรในการไม่ได้รับอนุญาตให้เข้าประชุม
CAE ต้องรายงานวัตถุประสงค์ และผลการดำเนินงานของหน่วยรับตรวจ ต่อ AC อย่างน้อยไตรมาสละ 1 ครั้ง
ผู้ตรวจสอบภายในต้องมีทักษะ คุณสมบัติ ความรู้ที่จำเป็นนำมาใช้ในการปฏิบัติงาน และมีความรับผิดชอบต่องานที่ได้รับมอบหมายเยี่ยงผู้ประกอบวิชาชีพพึงปฏิบัติ
5 การปฏิบัติงานและการรายงาน
การวางแผนการตรวจสอบภายใน
เพื่อให้มั่นใจว่าการปฏิบัติงานตรวจสอบภายในช่วยสนับสนุนการปฏิบัติงานขององค์กร เพื่อให้องค์กรบรรลุเป้าหมายและวัตถุประสงค์ที่กำหนดไว้
ต้องจัดทำแผนตรวจสอบภายในประจำปี และหารือร่วมกับผู้บริหารระดับสูงเพื่อขอความเห็น เพื่อใช้ในการจัดสรรทรัพยากร
CEO ต้องพิจารณาแผนตรวจสอบภายในประจำปีก่อนนำเสนอต่อ AC เพื่ออนุมัติ
การวางแผนการตรวจสอบในรายละเอียดและการปฏิบัติงานตรวจสอบ
ต้องจัดทำแผนรายละเอียด เพื่อใช้ในการปฏิบัติงานตรวจสอบภายใน
หน่วยตรวจสอบภายในปฏิบัติงานตรวจสอบ โดยรวบรวมข้อมูลและเอกสารหลักฐานต่างๆ บันทึกผลการตรวจสอบ สอบทานผลการตรวจสอบ และจัดทำรายงานผลการตรวจสอบ
หน่อยตรวจสอบภายในต้องติดตามการปฏิบัติตามรายงานและข้อเสนอแนะที่ได้รายงานไว้อย่างสม่ำเสมอ และรายงานต่อ AC ในกรณี ผู้บริหารไม่ปฏิบัติตามที่ได้เสนอแนะ
การรายงานและการปิดการตรวจสอบ
เสนอรายงานผลการตรวจสอบที่ชัดเจน ตรงไปตรงมา ภายในเวลาที่เหมาะสม
CAE ต้องเสนอรายงานสรุปประเด็นสำคัญที่พบและข้อเสนอแนะเป็นลายลักษณ์อักษรต่อ AC และผู้บริหารระดับสูงสุด อย่างน้อยไตรมาสละ 1 ครั้ง
CAE ต้องจัดทำรายงานประจำปี เพื่อสรุปผลการดำเนินงานตามแผนงานที่กำหนด R C G
ไม่ควรนำเสนอต่อบุคคลภายนอก โดยไม่ได้รับอนุญาตหรือยินยอมจากผู้บริหารที่เกี่ยวข้อง
6 การรักษาคุณภาพงานของผู้ตรวจสอบภายใน
ควรมีการควบคุมทุกขั้นตอนของการปฏิบัติงานตรวจสอบภายใน เพื่อให้มั่นใจในคุณภาพของงานตรวจสอบภายใน
ควรประเมินตนเองเกี่ยวกับการปฏิบัติงานตรวจสอบภายใน หรือให้หน่วยงานอื่นภายในรัฐวิสาหกิจ ที่มีความรู้เกี่ยวกับการตรวจสอบภายในและมาตรฐาน
บุคคลที่มีความเป็นอิสระจากภายนอกองค์กรทำการประเมินการปฏิบัติงานตรวจสอบภายใน โดยควรกำหนดให้มีขึ้นอย่างน้อยทุก 5 ปี
2 การตรวจสอบภายใน
คือ การให้ความเชื่อมั่นและการให้คำปรึกษาอย่างเที่ยงธรรมและเป็นอิสระ เพื่อเพิ่มคุณค่าและปรับปรุงการดำเนินงานขององค์กร การตรวจสอบภายในช่วนให้องค์กรบรรลุเป้าหมาย ด้วยการประเมินและปรับปรุงประสิทธิผลของกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแล อย่างเป้นระบบและเป็นระเบียบ
หน้าที่
สอบทาน R และ C ระบบสารสนเทศ
ตรวจสอบ ค.ถูกต้องและความเชื่อถือของข้อมูลทางการเงิน กฎหมาย ระเบียบ ข้อบังคับ วิธีปฏิบัติงาน คณะรัฐมนตรี
ตรวจสอบรายการที่ COI โอกาสเกิดทุจริต
ลักษณะของงาน
1 ให้ความเชื่อมั่น (Assurance)
ปรับปรุง R C G
2 ที่ปรึกษา (Consulting)
ให้คำแนะนำ
3 จรรยาบรรณ
1 ความซื่อสัตย์ (Integrity)
2 ความเที่ยงธรรม (Objectivity)
3 การรักษาความลับ (Confidentiality)
4 ความสามารถในหน้าที่ (Competency)
แนวทางปฏิบัติที่ดีเกี่ยวกับคุณสมบัติของผู้ตรวจสอบภายใน
คุณสมบัติ CAE และผู้ตรวจสอบภายใน
คุณวุฒิขั้นต่ำ ป.ตรี มีความรู้ ทักษะ ความสามารถ
ความรู้เกี่ยวกับความเสี่ยง และการควบคุมหลักของ IT
มีความรู้พอที่จะสามารถประเมินความเสี่ยงของการเกิดทุจริต
CAE ต้องกำหนดขนาดหน่วยตรวจสอบภายใน คุณสมบัติ ประสบการณ์
CAE ควรให้คำแนะนำช่วยเหลือในกรณีที่ผู้ตรวจสอบขาดความรู้ ทักษะ เชี่ยวชาญ
CAE ต้องปฏิเสธการปฏิบัติงานให้คำแนะนำปรึกษา หากไม่มีผู้ตรวจสอบภายในที่มีคุณสมบัติที่จำเป็นในการให้คำปรึกษา ไม่ว่าบางส่วนหรือทั้งหมด
ผู้ตรวจสอบภายในอาจขอคำแนะนำและความช่วยเหลือจากหน่วยงานต่างๆ ทั้งภายในและภายนอก
ความเป็นอิสระและความเที่ยงธรรม
ไม่ควรได้รับมอบหมายให้ปฏิบัติงานอื่นที่ไม่ใช่งานที่เกี่ยวกับการตรวจสอบภายใน หรือมอบหมายให้ตรวจสอบเพื่อให้ความเชื่อมั่นในกิจกรรมที่ตนเคยทำหน้าที่บริหารหรือมีส่วนเกี่ยวข้องในระยะเวลา 1 ปี ก่อนการตรวจสอบ แต่สามารถให้คำปรึกษาได้
ควรสับเปลี่ยนผู้ตรวจสอบภายในสม่ำเสมอ อย่างน้อย 3-5 ปี กรณีต้องใช้เวลานานหลายปี หรือการปฏิบัติงานตรวจสอบเป็นประจำทุกงวด
ผู้ตรวจสอบภายในต้องไม่มีอคติกับผู้บริหารหน่วยรับตรวจ
วุฒิบัตรวิชาชีพการตรวจสอบภายใน
หน่วยตรวจสอบภายในควรมีบุคลากรอย่างน้อย 1 คน ได้ระดับวุฒิบัตร CIA หรือวุฒิบุตรอื่นที่เกี่ยวข้อง CCSA CFSA CGAP CPA CFE CBA CISA CISM CISSP
แนวทางปฏิบัติที่ดีเกี่ยวกับโครงสร้างของหน่วยตรวจสอบภายใน
3.1 โครงสร้าง
แนวทางปฏิบัติที่ดี
หน่วยตรวจสอบภายในรายงานต่อ CEO และ AC
การบริหาร
การปฏิบัติงานตรวจสอบ
AC และ CEO จะมอบให้บุคคลอื่นควบคุมดูแลหน่วยตรวจสอบภายในแทน CAE ไม่ได้
CAE เข้าร่วมประชุมกับ AC โดยไม่มีฝ่ายบริหารอย่างน้อยปีละ 1 ครั้ง
สถานภาพ CAE
อิสระ
เทียบเท่ากับผู้บริหาร
AC ให้ความเห็น แต่งตั้ง โยกย้าย ประเมินผล CAE โดยให้ CEO พิจารณา ก่อนเสนอ คกก.รัฐวิสาหกิจ
3.2 กฎบัตร
ลักษณะ
สอดคล้องกับนิยามการตรวจสอบภายใน
แต่งตั้ง CAE และ IA ทีมีทักษะทางวิชาชีพ
กำหนดความรับผิดชอบ วัตถุประสงค์ ชัดเจน
กำหนดความสัมพันธ์ของ CAE AC ฝ่ายบริหารของรัฐวิสาหกิจ
กำหนดความรับผิดชอบของหน่วยตรวจสอบที่มีต่อ AC CEO สายการบังคับบัญชา การรายงาน การประเมิน ความเพียงพอของทรัพยากร
กำหนดขอบเขตการปฏิบัติงาน ครอบคลุมประสิทธิผล GRC
ลักษณะงานเพื่อให้ความเชื่อมั่น (Assurance Services)
]ัลักษณะงานให้คำปรึกษา (Consulting Services)
กำหนดสิทธิของหน่วยตรวจสอบภายในในการเข้าถึงข้อมูล ทรัพย์สิน บุคลากร สถานที่ และอำนาจในการขอข้อมูลที่จำเป็นในการปฏิบัติงาน
CAE เสนอกฎบัตรต่อ AC หรือ คกก.รัฐ อนมุติ และสอบทานกฎบัตรอย่างน้อยปีละ 1 ครั้ง
IA ควรปราศจากการแทรกแซงในการกำหนดขอบเขต การปฏิบัติงาน การรายงานผล หากเกิดการแทรกแซงควรรายงานต่อ AC
แนวทางปฏิบัติที่ดีเกี่ยวกับความสัมพันธ์กับฝ่ายบริหาร ผู้ตรวจสอบอื่น หน่วยงานกำกับดูแล และคณะกรรมการตรวจสอบ
4.1 ฝ่ายบริหาร
ตรวจสอบเพื่อสร้างประโยชน์สูงสุด ไม่ขัดแยังกับการตรวจสอบ
หากฝ่ายบริหารร้องขอ CAE พิจารณาว่าไม่ COI
วางแผนร่วมกับฝ่ายบริหาร
เสนอต่อ CEO
รายงานผลการตรวจ และรายงานประจำปี
กลยุทธ์ แผนการตรวจ กฎบัตร
งบประมาณ
การแต่งตั้ง โยกย้าย ถอดถอน ประเมินผล IA
ข้อสังสัยการทุจริต หากผู้บริหาร ดำเนินการไม่เหมาะสม เสนอ AC และ CEO
4.2 ผู้ตรวจสอบอื่น หน่วยงานกำกับดูแล และ AC
ควรจัดให้มีข้อตกลงร่วมกันในการปฏิบัติงานร่วมกับผู้ตรวจสอบอื่น
สตง. หรือ CPA
ประชุมหารือสม่ำเสมอ เพื่อลดความซ้ำซ้อน และ CPA สามาถใช้งานของ IA ได้
หาก COI กับ CPA เสนอต่อ AC เพื่อหาทางแก้ไข
CAE ควรขอผลการตรวจจากหน่วยงานกำกับดูแล เพื่อช่วยกำหนดและพิจารณาประเด็นที่มีสาระสำคัญ และรายงานต่อ AC ตามความเหมาะสม
ความสัมพันธ์ระหว่าง CAE กับ AC
CAE ควรได้รับสิทธิเข้ากับประธาน AC หารือประเด็นต่างๆ
หาก CEO มีความเห็นไม่สอดคล้อง ให้หารือกับ AC
AC กับ IAU
สอบทานกฎบัตร ขอบเขต ความรับผิดชอบ และอนุมัติ
สอบทานโครงสร้งองค์กรของ IAU
ประเมินประสิทธิผลของกลยุทธ์การตรวจสอบและแผนการตรวจสอบภายในที่กำหนดตามความเสี่ยงขององค์กร
สอบทานรายงานรายไตรมาส
ให้ความเห็นต่อ คกก.รัฐ ในการอนุมัติแต่งแต่งโยกย้าย ถอดถอน ค่าตอบแทน CAE
พิจารณาให้ความเห็นการแต่งตั้ง โยกย้าย ถอดถอน ค่าตอบแทนบุคลากรของ IA อนุมัติงบประมาณต่างๆ
สอบทานทักษะ ประสบการณ์ ความรู้ความสามารถของ CAE
สอบทานแผนกลยุทธ์และแผนปฏิบัติงานของ IA และอนุมัติกรณีได้รับมอบอำนาจจาก คกก.รัฐ
ส่งเสริม ค.สัมพันธ์ระหว่าง IA CPA จาก สตง และที่อื่น รวมทั้งหน่วยงานกำกับดูแล
5.แนวทางปฏิบัติที่ดีเกี่ยวกับหน้าที่ความรับผิดชอบของหน่วยตรวจสอบภายใน
ขอบเขตการปฏิบัติงาน
IA ควรปฏิบัติตามขอบเขตการปฏิบัติงาน ด้วยการสอบทานกระบวนการในการปฏิบัติงานและประเมินความเพียงพอของนโยบาย ระเบียบวิธีปฏิบัติและการปฏิบัติในการบริหารความเสี่ยง การควบคุมภายในและการกำกับดูแล
CAE หรือ AC เห็นว่า IA ปฏิบัติไม่เป็นไปตามมาตรฐาน ให้รายงานต่อ AC ถึงข้อเท็จจริง ผลกระทบ คุณภาพ และบันทึกผลการหารือไว้เป็นลายลักษณ์อักษร
ครอบคลุมถึงการตรวจสอบทุจริต จรรยาบรรณ Risk การตรวจสอบบริษัทในเรือ บริษัทร่วม หรือบริษัทที่เกี่ยวข้องของรัฐวิสาหกิจด้วย
การปฏิบัติงานของ IAU
มีความรับผิดชอบในการทำให้มั่นใจว่าตนเองได้ปฏิบัติงานด้วยความระมัดระวังรอบคอบเยี่ยงผู้ประกอบวิชาชีพพึงปฏิบัติ
การปฏิบัติหน้าที่ด้วยความระมัดระวังรอบคอบ
การจัดการของหน่วยตรวจสอบภายในเกี่ยวกับการปฏิบัติหน้าที่ด้วยความระมัดระวังรอบคอบเยี่ยงผู้ประกอบวิชาชีพพึงปฏิบัติ
การตรวจสอบการบริหารความเสี่ยง
การตรวจสอบจรรยาบรรณสำหรับพนักงานและผู้บริหารของรัฐวิสาหกิจ
การตรวจสอบการทุจริต
ใช้ความรู้ความเชี่ยวชาญพิจารณาความเสี่ยง ปัจจัยที่ทำให้เกิดการทุจริต ผลกระทบ แต่ไม่ได้ประกันว่าจะค้นพบการทุจริต เนื่องจาก IA ไม่มีความรับผิดชอบในการปฏิบัติงานเพื่อค้นหาทุจริต
CAE ควรแจ้ง AC และฝ่ายบริหาร เกี่ยวกับความจำเป็นในการสืบสวนในรายละเอียดและการปรับปรุง Control หากสงสัยหรือพบการทุจริต หรือสิ่งผิดปกติที่มีข้อบกพร่องที่เป็นสาระสำคัญในการควบคุมภายใน
การเปิดเผยความขัดแย้งทางผลประโยชน์
ความรับผิดชอบเกี่ยวกับองค์กรอื่น
กรณีบริษัทในเครือ บริษัทร่วม บริษัทที่เกี่ยวข้อง IA ควรพิจารณาประเมินความเสี่ยงขององค์กรที่มีว่า จะกระทบต่อการบรรลุวัตถุประสงค์ของรัฐวิสาหกิจหรือไม่
ความเป็นอิสระของบุคคลภายนอกที่เข้ามาปฏิบัติหน้าที่ตรวจสอบภายใน
AC พิจารณาการปฏิบัติงานของบุคคลภายนอกมีผลกระทบต่อความเป็นอิสระและเที่ยงธรรมหรือไม่ หากอนุมัติ ให้เปิดเผยรายละเอียดการปฏิบัติงานไว้เป็นลายลักษณ์อักษร
บุคคลภายนอกที่ทำหน้าที่ IA ไม่ควรรับผิดชอบในการบริหารงานของรัฐวิสาหกิจนั้น
การพัฒนาวิชาชีพอย่างต่อเนื่อง
CEO ต้องส่งเสริมและสนับสนุนให้ IA พัฒนาความรู้ ทักษะ และความสามารถของตนเองอย่างต่อเนื่อง
CAE ควรกำหนดแนวทางการพัฒนาความรู้ เป็นลายลักษณ์อักษร และควรติดตามการปฏิบัติามอย่างต่อเนื่อง
7.แนวทางปฏิบัติที่ดีเกี่ยวกับการรักษาคุณภาพงานของผู้ตรวจสอบภายใน
IA ต้องจัดให้มีการประเมินตนเองเป็นประจำทุกปี
แนวทางปฏิบัติที่ดี
CAE ควรจัดให้มีการประเมินคุณภาพ รักษาปรับปรุงคุณภาพอย่างต่อเนื่อง
CAE เป็นผู้รับผิดชอบในการดำเนินการปรับปรุงตามผลของการประเมินคุณภาพ
การบริหารงานตรวจสอบภายใน
CAE ควรจัดให้มีนโยบาย ระเบียบวิธีปฏิบัติงานตรวจสอบ บทบาท ความรับผิดชอบ มาตรฐานการเก็บรวบรวมข้อมูล การรายงาน การฝึกอบรม เกณฑ์วัดผลงาน
การประเมินคุณภาพงานตรวจสอบภายใน
การประเมินคุณภาพภายหลังการปฏิบัติงานตรวจสอบ
CAE ควรรับฟังความเห็นของผู้รับการตรวจเกี่ยวกับผลการปฏิบัติงานภายหลังการตรวจสอบทุกครั้ง โดยใช้แบบสำรวจความเห็น และนำมาเป็นส่วนหนึ่งในการประเมินคุณภาพจากภายในองค์กร
การประเมินตนเอง
IA ประเมินผลการปฏิบัติงานของ IA ตามแนวทางที่กำหนดไว้ในคู่มือการประเมินตนเอง และจัดทำแผนกลยุทธ์เพื่อปรับปรุงการปฏิบัติงานตรวจสอบภายใน
การประเมินคุณภาพจากภายในองค์กร
การประเมินในแต่ละงวดโดยการประเมินตนเองของ IA หรือโดยบุคคอื่นภายในองค์กรที่มีความรู้เกี่ยวกับแนวทางการตรวจสอบและมาตรฐานาการตรวจสอบ
คุณภาพของงานตรวจสอบ
คุณภาพของการควบคุมดูแล
การปฏิบัติตามมาตรฐาน
การปฏิบัติตามคู่มือ
แนวทางที่ IA จะสร้างมูลค่าเพิ่มให้กับรัฐวิสาหกิจ
การดำเนินการเพื่อให้เป็นไปตามมาตรฐานการปฏิบัติงาน คู่มือ
การประเมินคุณภาพจากภายนอกองค์กร
ควรดำเนินการอย่างสม่ำเสมออย่างน้อยทุก 5 ปี โดยผู้เชี่่ยวชาญที่มีคุณสมบัติเหมาะสม และมีความเป็นอิสระจากภายนอกองค์กร
ขอบเขตการปฏิบัติงานของ IA
ความเป็นอิสระเที่ยงธรรม
ประสิทธิภาพและประสิทธิผลในแนวทางการจัดทำแผนกลยุทธ์และแผนการตรวจสอบ
บุคลากร
แนวทางการปฏิบัติงานและการควบคุมดูแล
การสื่อสารและการรายงาน
การปฏิบัติตามมาตรฐานและคู่มือ
การดำเนินการเพื่อให้เป็นไปตามมาตรฐานการปฏิบัติงาน
ภายหลังการประเมินคุณภาพจากภายนอก CAE ควรจัดทำแนวทางการปรับปรุงข้อบกพร่อง และนำเสนอ AC เพื่อขอความเห็นชอบ รวมถึงควรรายงานความคืบหน้าในการดำเนินการปรับปรุงนี้ไว้ในรายงานประจำปี
6.แนวทางปฏิบัติที่ดีเกี่ยวกับการจัดทำแผน การปฏิบัติงาน และการรายงานน
6.1 การจัดทำแผนการตรวจสอบ
แนวทางปฏิบัติที่ดี
CAE ต้องบริหาร IA ให้มั่นใจว่า IA เป็นประโยชน์ต่อรัฐวิสาหกิจ
แผนการตรวจสอบจัดทำขึ้นตามผลการประเมินระดับความเสี่ยงที่เหลือ (Residual Risk)
แผนการตรวจสอบควรได้รับการพิจารณาจาก CEO ก่อนได้รับอนุมัติจาก AC โดยต้องระบุทรัพยากรและเวลาที่ใช้
การเปลี่ยนแปลงแผนการตรวจสอบที่มีสาระสำคัญ ต้องได้รับความเห็นชอบจาก AC และรายงานต่อ คกก.รัฐ
CAE จัดทำแผนตรวจประจำปีถัดไป เสนอ AC คกก.รัฐ ภายในเดือนสุดท้ายของปีบัญชี พร้อมส่งสำเนาให้ กค. และ สตง ภายใน 30 วัน
หากปรับปรุงแผนตรวจ ให้เสนอ AC คกก.รัฐ สำเนา กค สตง ภายใน 30 วัน หลังอนุมัติ
ประเภทการตรวจสอบ
ให้ความเชื่อมั่น
ตรวจสอบระบบเทคโนโลยี
2.1 การควบคุมทั่วไปของระบบเทคโนโลยีสารสนเทศ (IT General Controls)
การจัดหา ดูแลรักษาระบบงาน
การรักษาความปลอดภัยในการเข้าถึงข้อมูล
2.2 การควบคุมเฉพาะระบบงาน (IT Application Controls)
สอบทานการควบคุมที่ออกแบบขึ้นมาเพื่อใช้สำหรับควบคุม การประมวลผลของ IT
ให้มั่นใจว่าข้อมูลที่ผ่านเข้าสู่ระบบงานได้รับการบันทึก ประมวลผล และรายงานอย่างถูกต้องครบถ้วน
การตรวจสอบเป็นกรณีพิเศษ
แตกต่างจากการตรวจสอบทั่วไป แต่เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดขึ้นสำหรับงานนั้นโดยเฉพาะ
การให้คำแนะนำปรึกษา
ขั้นตอนการปฏิบัติงานตรวจสอบภายใน
ขั้นตอนที่ 1 การวางแผนการตรวจสอบเชิงกลยุทธ์และแผนการตรวจสอบประจำปี
1 หารือถึงสิ่งที่ผู้บริหารคาดหวัง
ทำความเข้าใจวัตถุประสงค์รัฐวิสาหกิจ
2 รวบรวมข้อมูลเกี่ยวกับรัฐวิสาหกิจ
ภายใน และภายนอก
3 ประเมินความเสี่ยง
ความเสี่ยงตามลักษณะ (Inherent Risk)
ความเสี่ยงที่เหลือหลังการควบคุม (Residual Risk)
ความเสี่ยง 3 ระดับ
ระดับองค์กร (Enterprise Level)
ระดับหน่วยงาน (Business Unit Level)
ระดับกิจกรรม (Activity Unit Level)
ประเภทความเสี่ยง
1 ความเสี่ยงด้านกลยุทธ์
2 ความเสี่ยงด้านการดำเนินงาน
3 ความเสี่ยงด้านลูกค้า
4 ความเสี่ยงด้านชื่อเสียง
5 ความเสี่ยงด้านการเงิน
6 ความเสี่ยงด้านเทคโนโลยี
7 ความเสี่ยงด้านบุคลากร
8 ความเสี่ยงด้านปฏิบัติตามกฎ ระเบียบ นโยบาย
ปัจจัยการพิจารณา
ผลกระทบ (Impact)
โอกาสเกิด (Likelihood)
4 จัดทำแผนการตรวจสอบ
1 ระยะเวลาและขั้นตอนการดำเนินงาน
2 วัตถุประสงค์ของการปฏิบัติงาน
3 รายชื่อทีมงาน
4 ประมาณระยะเวลาดำเนินการและงบประมาณ
5 กำหนดการวันเริ่มและสิ้นสุดการดำเนินงาน
5 อนุมัติแผนการตรวจสอบ
6 ทบทวนแผนการตรวจสอบ
ขั้นตอนที่ 2 การวางแผนในรายละเอียดและการปฏิบัติงาน
ขั้นตอนที่ 3 การรายงานและการติดตามผลการตรวจสอบ
ขั้นตอนที่ 4 ความมั่นใจในคุณภาพ
6.2 การปฏิบัติงานตรวจสอบ
ขั้นตอนที่ 2 การวางแผนในรายละเอียดและการปฏิบัติงาน
แนวทางปฏิบัติที่ดี
สอดคล้องกับแผนการตรวจสอบเชิงกลยุทธ์ และแผนการตรวจประจำปี
พิจารณา
วัตถุประสงค์ของกิจกรรมที่จะสอบทาน
ความเสี่ยงที่สำคัญ
ความเพียงพอและประสิทธิผล ครอบคลุม
ความครบถ้วน ถูกต้อง และเชื่อถือได้ของข้อมูลทางการเงินและข้อมูลในการดำเนินงาน
ประสิทธิภาพและประสิทธิผลในการดำเนินงาน
การใช้ทรัพยากรอย่างประหยัด
การเก็บรักษาทรัพย์สิน
การปฏิบัติตามกฎหมาย ระเบียบที่เกี่ยวข้อง
วัตถุประสงค์ของการให้คำปรึกษา ระบุถึง R C G
ขั้นตอนในการวางแผนการตรวจสอบ
กำหนดวัตถุประสงค์การตรวจสอบ
ขอบเขต เป้าหมาย
วัตถุประสงค์การตรวจสอบ
ประเภทการตรวจ วิธีการ การสุ่มตัวอย่าง วิธีการทดสอบ
กำหนดเวลา และระยะเวลาในการปฏิบัติงาน
ผู้รับผิดชอบหลัก
การจ้ดสรรทรัพยากรและกำหนดรายชื่อ IA
หารือกับผู้รับผิดชอบหลักของกิจกรรมหรือกระบวนการที่กำหนดไว้ บันทึกเป็นลายลักษณ์อักษร
สอบทานข้อมูลเบื้องต้นกิจกรรมหรือกระบวนการ เช่น นโยบาย ระเบียบวิธีปฏิบัติ ผลการตรวจสอบครั้งก่อน
ประชุมเริ่มปฏิบัติงานตรวจสอบ ควรแจ้งให้ผู้รับผิดชอบหลักในกิจกรรม หารือประเด็นที่มุ่งเน้นเพิ่มเติม
ทดสอบโดยการปฏิบัติตาม เพื่อทำความเข้าใจในกระบวนการนั้นๆ โดยสัมภาษณ์ สังเกตุการณ์ สอบทานเอกสาร วิเคราะห์ข้อมูล Flow Chart
กำหนดขอบเขตการปฏิบัติงานและแนวทางการตรวจสอบ จากผลการทดสอบการปฏิบัติตาม ทำให้ทราบความเสี่ยงและการควบคุมที่มีอยู่
แนวทางการตรวจสอบ
ควรกำหนดวัตถุประสงค์ ประเภทการรวบรวมเอกสารหลักฐาน เช่น การสังเกต สอบถาม การคำนวณ
ระบุขอบเขตในการปฏิบัติงาน เช่น ระบุจำนวนตัวอย่างการรวบรวมเอกสาร
การปฏิบัติงานตรวจสอบเป็นการรวบรวมข้อมูล เอกสารหลักฐานต่างๆ เพื่อใช้ในการแสดงความเห็นในการประเมินประสิทธิผลของการควบคุมภายใน
ขั้นตอนการปฏิบัติงาน การบันทึกและสอบทานผลการตรวจสอบ
ทดสอบการควบคุมที่สำคัญ
การทดสอบการควบคุมในรายละเอียด (Substantive test)
รวบรวมเอกสารหลักฐาน
หลักฐานชั้นต้น เช่น ต้นฉบับ
หลักฐานชั้นรอง เช่น สำเนา
หลักฐานโดยตรง เช่น การยืนยันโดยบุคคล ลงนามรับรอง
หลักฐานแวดล้อม เช่น การจัดทำเอกสาร แต่ไม่มีการลงนาม
หลักฐานสนับสนุน เช่น การหารือกับผู้ที่เกี่ยวข้องสนับสนุน หรือหลักฐานอื่น
การสุ่มตัวอย่าง
บันทึกหลักฐานและผลการตรวจสอบ สอบทานกระดาษทำการ ประชุมร่วมกับผู้บริหารหน่วยรับตรวจที่รับผิดชอบ รายงานความคืบหน้า
การบันทึกและการสอบทานงาน
ระบุ
เรื่องที่ตรวจ
วัตถุประสงค์ ขอบเขต
วิธีการตรวจสอบ
เอกสารหลักฐาน
สรุปผลการตรวจ
ข้อเสนอแนะปรับปรุง
วันที่ปฏิบัติงาน
ชื่อผู้ตรวจสอบภายใน
กำหนดให้ผู้บริหารงานตรวจสอบสอบทานผลการตรวจก่อนเสนอผู้รับรายงาน
CAE ควรกำหนดนโยบายการเก็บดูแลรักษาบันทึกข้อมูลการปฏิบัติงาน และนโบายการเผยแพร่ต่อบุคคลภายนอก ควรได้รับความเห็นชอบจากผู้บริหารระดับสูงหรือที่ปรึกษาทางกฎหมายก่อน
6.3 การรายงานและการติดตามผลการตรวจสอบ
รายงานควรจัดทำและนำเสนอรวดเร็ว ทันเวลา ถูกต้อง เรียบร้อย
CAE ควรกำหนดรูปแบบในการรายงานผล
1 วัตถุประสงค์การตรวจสอบ
2 ขอบเขตการตรวจสอบ
3 บทคัดย่อสำหรับผู้บริหาร
4 ผลงานที่น่าพอใจของหน่วยรับตรวจ
5 รายละเอียดของข้อตรวจพบ
ข้อตรวจพบ ปัญหา ผบกระทบ ความเสี่ยง
ข้อเสนอแนะ
ความเห็นองฝ่ายบริหาร และแผนการปรับปรุง
ประเด็นอื่นที่ควรพิจารณา
การปิดตรวจ ควรประชุมร่วมกับผู้บริหาร
จัดทำรายงานเป็นลายลักษณ์อักษร
ไม่ควรเสนอต่อบุคคลภายนอก โดยไม่ได้รับอนุญาตจากผู้บริหาร
หากรายงานผิดพลาด มีสาระสำคัญควรได้รับการแก้ไข ให้ CAE ทำการแก้ไขและนำเสนอรายงานที่แก้ไขแล้วให้กับบุคคลที่รับรายงานทุกคน
รายงานไตรมาสเสนอต่อ AC อย่างน้อยไตรมาสละ 1 ครั้ง ภายใน 60 วันนับจากสิ้นวันไตรมาส
สรุปผลการตรวจสอบ ผลกระทบ ความเสี่ยงที่สำคัญ
ประเด็นเกี่ยวกับการควบคุมภายใน การกำกับดูแล ประเด็นรายงานครั้งก่อนที่ยังไม่ได้แก้ไข
ความคืบหน้าในการปฏิบัติงานตามแน
ประเด็นอื่นที่จำเป็นและได้รับการร้องขอจาก AC เป็นครั้งคราว
ไตรมาส 4 รายงานภายใน 90 วัน
รายงานประจำปี เสนอต่อ CEO AC คกก.รัฐ ก่อนเสนอต่อ กค.ภายใน 90 วันนับจากสิ้นปี
การติดตามผล
CAE ควรกำหนดและจัดให้มีระบบการติตามผล
เมื่อ CAE พบว่ามีความเสี่งที่อยู่ในระดับที่เกินกว่าที่รัฐวิสาหกิจยอมรับได้ CAE ควรหารือ CEO หากไม่ได้ข้อยุติควรเสนอ AC และ คกก.รัฐ เพื่อพิจารณา
หากการติดตามผล มีการเปลี่ยนแปลงความเห็น จะต้องนำเสนอต่อผุู้ที่เกี่ยวข้องหลักและผู้ที่ได้รับรายงานเดิมทุกคน
การประเมินการควบคุมด้วยตนเอง (Control Self Assessment)