ReadyPlanet.com
dot dot
dot
dot
bulletคณะกรรมการบริหาร
bulletหน้าที่ของ กบร.
bulletนโยบายชมรม
bulletขอบเขตรับผิดชอบอนุกรรมการ
bulletข้อบังคับชมรมฯ
bulletธนาคาร&สถาบันการเงินสมาชิก
bulletแผนการดำเนินงาน
dot
dot
bulletข้อมูล ธปท.สำหรับสถาบันการเงิน
bullet Web App. Security (OWASP Top 10)
bullet Checklist สำหรับบริหารจัดการ Cisco Router
bulletRouter Audit Tool (RAT)
bulletweb application testing
dot
dot
bulletกระทรวงการคลัง
bulletธนาคารแห่งประเทศไทย
bulletสมาคมผู้ตรวจสอบภายในฯ
bulletสมาคมธนาคารไทย
bulletISACA Bangkok
bulletสำนักงานคณะกรรมการ กลต.
bulletInformation Technology Governance (โดย อ.เมธา )
bulletThaiCERT
bulletAudit Net




Audit Technique article

Audit Technique 

 เมื่อกล่าวถึงคำว่า เทคนิค มักหมายถึง วิธีการที่ผู้ทำงานนำมาใช้เพื่อให้งานนั้นได้ผลสำเร็จ
เมื่อนำคำว่าเทคนิคมาใช้กับการตรวจสอบหรือเรียกว่า เทคนิคการตรวจสอบ ก็หมายถึง วิธีการ
ตรวจสอบที่ดีที่ผู้ตรวจสอบนำมาใช้ เพื่อให้งานตรวจสอบนั้นได้ผลสำเร็จ และเป็นที่ยอมรับขอ
ผู้ปฏิบัติงาน ซึ่งเทคนิคการตรวจสอบที่ดีจะประกอบด้วยวิธีการตรวจสอบตามหลักการ และการนำ
หลักมนุษย์สัมพันธ์มาประยุกต์ใช้พร้อมกับวิธีการตรวจสอบตามหลักการนั้น ในทุกระยะขั้นตอนของ
กระบวนการตรวจสอบ

เทคนิคการตรวจสอบ ( Audit Technique )
 - วิธีการตรวจสอบสำคัญที่ผู้ตรวจสอบเลือกใช้ในการรวบรวมข้อมูลหลักฐานต่างๆ
 - เพื่อให้ได้หลักฐานที่ดีและเสียค่าใช้จ่ายน้อยที่สุด
 - โดยการตรวจเป็นไปตามวัตถุประสงค์การตรวจสอบและแผนการตรวจสอบที่กำหนดขึ้น

ประเภทของเทคนิคการตรวจสอบภายใน แบ่งเป็น 2 ประเภท
 1. เทคนิคด้านมนุษย์สัมพันธ์และการสื่อสาร
 2. เทคนิคการรวบรวมหลักฐานการตรวจสอบ

 ปัจจุบันนิยมนำเทคนิคด้านคอมพิวเตอร์มาช่วยในการตรวจสอบด้วย
เทคนิคด้านมนุษย์สัมพันธ์และการสื่อสาร มาตรฐาน การตรวจสอบภายในหมวด 260 เน้นความสำคัญของการมีทักษะในการ
ติดต่อสื่อสารและ มนุษย์สัมพันธ์ เพื่อประโยชน์ในการประสานงานและจูงใจผลงานตรวจสอบ

เทคนิคการสื่อสารสำคัญที่ผู้ตรวจสอบควรฝึกหัด
 1. เทคนิคการสัมภาษณ์
 2. เทคนิคการสอบถาม
 3. เทคนิคการประชุม
 4. เทคนิคการนำเสนอ
 5. เทคนิคการเขียนรายงาน

เทคนิคการสัมภาษณ์ ( Interview )
ลักษณะคำถาม
 1. คำถามเปิด
 2. คำถามที่ให้แสดงความคิดเห็นส่วนตัว
 3. คำถามหนักๆที่ให้สะท้อนภาพเหตุการณ์
 4. คำถามเกี่ยวกับคุณภาพ
 5. คำถามเปิดประเด็น - เป็นคำถามที่นำให้เกิดการวิพากย์วิจารณ์ในเรื่องที่ต้องการ

สิ่งสำคัญที่ทำให้เทคนิคการตรวจสอบประสบความสำเร็จ คือการรู้จักนำเทคนิคด้านมนุษย์สัมพันธ์มาใช้ เช่น
 - การนำใจเขามาใส่ใจเรา
 - การรู้จักให้เกียรติ
 - การรับฟังความคิดเห็น
 - การปฏิบัติงานด้วยความเป็นกลาง ปราศจากอคติลำเอียง ความตั้งใจที่ร่วมกันแก้ไขปัญหา

เทคนิคการรวบรวมหลักฐานการตรวจสอบ
 1. เทคนิคการตรวจสอบทั่วไป
 2. เทคนิคในการประเมินผลการควบคุมภายใน
 3. การวิเคราะห์เปรียบเทียบ
 4. การประเมินความเสี่ยง
เทคนิคการตรวจสอบทั่วไป
 เทคนิคการตรวจสอบที่ใช้กันโดยทั่วไป และทุกระยะในการปฏิบัติงานตรวจสอบ ได้แก่
 1. การตรวจสอบของจริง
 2. การสังเกตการณ์ข้อเท็จจริง
 3. การสอบถาม
 4. การคำนวณ
 5. การสุ่มตัวอย่าง

การตรวจสอบของจริง
 - การตรวจสอบข้อมูล เอกสาร หรือสินทรัพย์ที่มีตัวตน เช่น การตรวจนับ การสอบทาน เอกสาร
 - ให้หลักฐานที่เชื่อถือในเรื่องการเกิดขึ้นจริง แต่ ไม่ให้หลักฐานเกี่ยวกับกรรมสิทธิหรือมูลค่าของสิ่งนั้น
การสังเกตการณ์ข้อเท็จจริง
 - เป็นการสังเกตการดำเนินงานหรือวิธีการปฏิบัติงาน
 - ให้หลักฐานเกี่ยวกับสภาพ วิธีการปฏิบัติงาน ของผู้ปฏิบัติงาน และสภาพแวดล้อม สถานที่ทำงาน รวมถึงข้อมูลทางภาษากายที่แสดงถึงความพอใจหรือไม่พอใจในการปฏิบัติงาน
 ข้อจำกัด คือ ได้ข้อมูลเฉพาะในเวลาที่สังเกตการณ์นั้น ซึ่งอาจตรงหรือไม่ตรงกับการปฏิบัติงานปกติก็ได้

การสอบถาม ( Inquiry )
 - เป็นการหาข้อมูลจากบุคคลที่มีความรู้ทั้งภายในและภายนอก
 - อาจจะเป็นทางการหรือไม่เป็นทางการก็ได้
 - ระดับความน่าเชื่อถือของข้อมูล ขึ้นอยู่กับความรู้ความสามารถ ประสบการณ์ ความเป็นอิสระ และความซื่อสัตย์ของบุคคลนั้นๆ

การคำนวณ ( Computation )
 - เป็นการทดสอบความถูกต้องของการคำนวณตัวเลขในการบันทึกบัญชี

การสุ่มตัวอย่าง ( Sampling )
 - เป็นการเลือกตัวอย่างขึ้นมาเพื่อตรวจแทนการตรวจในรายละเอียดทั้งหมด

เทคนิคในการประเมินผลการควบคุมภายใน
เทคนิคการตรวจสอบที่ใช้ในการประเมินผลการควบคุมภายใน เช่น
 1. การทำแผนภาพระบบงานและจุดควบคุม
 2. การทำแบบสอบถามการควบคุม
 3. การสัมภาษณ์การควบคุมภายใน

การวิเคราะห์เปรียบเทียบ
 เป็นเทคนิคที่สำคัญที่ SIAS ฉบับที่ 8 ได้กำหนดรายละเอียด โดยสรุปสาระสำคัญ ได้ดังนี้
 - เป็นการศึกษาและเปรียบเทียบความสัมพันธข์ องขอ้มูลสถิติที่สำคัญทั้งทางการเงินและผลการดำเนินงาน เพื่อใช้ในการระบุความผิดพลาดที่อาจเกิดขึ้น ความผิดปกติ และการกระทำผิดกฎหมาย
 ข้อดี
  - เป็นวิธีทีให้เบาะแสประเด็นปัญหาสำคัญในการตรวจสอบ
  - ใช้เวลาน้อย
 ข้อจำกัด
  - ความเชื่อถือได้และการได้มาซึ่งข้อมูลที่นำมาวิเคราะห์

การประเมินความเสี่ยง ( Risk Assessment )
 SIAS ฉบับที่ 9 สรุปสาระสำคัญเกี ยวกับการประเมิน ดังนี
 - ผู้ตรวจสอบภายในสามารถใช้กระบวนการประเมินความเสี่ยงเป็นแนวทางในการวางแผนทั้งประจำปี และแต่ละงานที่จะตรวจสอบ
 - เพื่อช่วยให้การกำหนดตารางเวลาการปฏิบัติงานและการจัดสรรทรัพยากรให้เหมาะสมและมีประสิทธิผลยิ่งขึ้น

COSO ให้ความสำคัญการประเมินความเสี่ยง
 1. กำหนดวัตถุประสงค์
 2. การระบุปัจจัยเสี่ยง
 3. การวิเคราะห์ความเสี่ยง และ
 4. การบริหารความเสี่ยง

ความเสี่ยงในการตรวจสอบ ( Audit Risk )
 ความสำคัญ
 - เพื่อลดความเสี่ยงในการตรวจสอบให้อยู่ในระดับที่ผู้ตรวจสอบยอมรับได้
 - ทำให้ผลงานของผู้ตรวจสอบเป็นที่ยอมรับ
 - ช่วยในการจัดสรรเวลาและทรัพยากรในการตรวจในเรื่องที่มีสาระสำคัญ
-  เพื่อค้นพบสัญญาณความเสี่ยงจากการทุจริตหรือข้อผิดพลาดสำคัญที่องค์กรควรทราบและป้องกันไว้ล่วงหน้า

ประเภทของความเสี่ยงในการตรวจสอบ
 1. ปัจจัยความเสี่ยงที่แฝงอยู่ ( Inherent Risk ; IR )
 2. ปัจจัยความเสี่ยงจากการควบคุม ( Control Risk ; CR )
 3. ปัจจัยความเสี่ยงจากวิธีการตรวจสอบ ( Detective Risk ; DR )

ความเสี่ยงที่แฝงอยู่
 เสี่ยงที่แฝงหรืออาจเกิดขึ้นกับกิจการหรือในเรื่องที่จะตรวจสอบ ทำให้การดำเนินงานไม่
เป็นไปตามวัตถุประสงค์ โดยยังไม่คำนึงถึงการควบคุมภายในที่กิจการมี แบ่งเป็น 2 ประเภท
 1. ปัจจัยความเสี่ยงแฝงที่มีลักษณะแพร่กระจาย ( Pervasive Inherent Risk )
 2. ปัจจัยความเสี่ยงที่มีลักษณะแฝงเฉพาะ ( Specific Inherent Risk )

Pervasive Inherent Risk
 - เป็นปัจจัยความเสี่ยงที่อาจเกิดขึ้นได้ทั่วไปในองค์กร ระบบงาน กระบวนการ หรือหน่วยงาน
 - ผลเสียหายที่เกิดขึ้น ได้แก่ ข้อผิดพลาด ความหลงลืม ความล่าช้า และการทุจริตตัวอย่างเช่น : สภาพแวดล้อมภายนอก
ความซับซ้อนของโครงสร้างองค์กร

Specific Inherent Risk
 - เป็นปัจจัยความเสี่ยงที่อาจเกิดขึ้นเฉพาะ ระบบงาน กระบวนการ หรือหน่วยงานใดหน่วยงานหนึ่งโดยเฉพาะ ทำให้ระบบงาน กระบวนการ หรือหน่วยงาน ไม่บรรลุวัตถุประสงค์ ตัวอย่างเช่น : การหาตลาดใหม่ไม่ได้ การผลิตสินค้าไม่ตรงความต้องการของตลาด

Control Risk
 ปัจจัยความเสี่ยงเกี่ยวกับประสิทธิภาพของการควบคุมของกิจการที่ไม่เพียงพอ ทำให้
ไม่อาจป้องกัน ค้นพบหรือแก้ไขความเสียหายที่อาจเกิดขึ้นกับกิจการหรือกับทรัพย์สินที่ควบคุมได้อย่างทันกาล

Detective Risk
ความเสี่ยงที่เกิดจากวิธีการตรวจสอบที่ใช้ :
 - ไม่สามารถค้นพบเหตุการณ์หรือรายการค้าที่ทำให้การบันทึกรายการผิดพลาดที่มีสาระสำคัญ
 - ทำให้สรุปผลผิดพลาด
 - ตรวจในเรื่องนั้นผิดอย่างมีสาระสำคัญ
 - เป็นความเสี่ยงที่ผู้ตรวจสอบควบคุมได้ ตัวอย่างเช่น - การสุ่มตัวอย่างผิด
 - การไม่รายงานหรือรายงานไม่ตรงกับหลักฐานที่พบ

การประเมินความเสี่ยงในการวางแผนการตรวจ แบ่งได้เป็น 2 ระดับ
 1. การวางแผนการตรวจประจำปี
 2. การวางแผนการตรวจเฉพาะงานตรวจแต่ละงาน

ขั้นตอนในการประเมินความเสี่ยง
 1. การกำหนดวัตถุประสงค์และกิจกรรมที่จะตรวจ
 2. การระบุความเสี่ยงซึ่งเกี่ยวข้องกับกิจกรรมที่จะตรวจสอบ
 3. การวิเคราะห์และกำหนดระดับความเสี่ยง
 4. การบริหารหรือนำผลการประเมินความเสี่ยงไปใช้งาน

การกำหนดวัตถุประสงค์และกิจกรรมที่จะตรวจสอบ Auditable Activities

กิจกรรมที่จะตรวจสอบ หมายถึง หน่วยงาน ระบบ กระบวนการปฏิบัติงาน ที่อยู่ในขอบเขต
ความรับผิดชอบ และสามารถตรวจสอบได้ รวมไปทั้งเอกสารที่สำคัญต่างๆ เช่น นโยบาย งบการเงิน
สัญญาและแผนงานสำคัญต่างๆ

การระบุความเสี่ยง Indentification of Risk factors
ปัจจัยความเสี่ยงที่นิยมพิจารณาในการจัดลำดับการตรวจสอบ
 1. วันที่และผลในการตรวจครั้งสุดท้าย
 2. สาระสำคัญหรือผลกระทบทางการเงิน
 3. โอกาสที่จะเกิดความสูญเสียหรือทุจริต
 4. การเปลี่ยนแปลงที่สำคัญในการปฏิบัติงาน หรือโปรแกรมหรือระบบงานหรือระบบควบคุม
 5. การตรวจตามคำสั่งฝ่ายบริหาร
 6. ความสำคัญของเรื่องที่มีต่อการบรรลุวัตถุประสงค์ขององค์กร

Risk Analysis การวิเคราะห์ความเสี่ยง นิยมพิจารณา จาก
 1. การประมาณความมีสาระสำคัญหรือผลกระทบ ( Significant or Impact )
  - พิจารณาผลกระทบทั้งด้านตัวเงินและไม่ใช่ตัวเงิน
  - อาจกำหนดเป็นค่าคะแนน เช่น 3-1 หรือ เป็นอักษร H M L
 2. การประเมินโอกาสที่น่าจะเกิดหรือความถี่ ( Likelihood or Frequency ) พิจารณาจาก
  - ระบบการควบคุมภายใน
  - ความยุ่งยากซับซ้อนของเทคโนโลยีที่นำมาใช้
  - ความสามารถและความน่าเชื่อถือของฝ่ายบริหาร
  - คุณภาพและประสิทธิภาพของบุคลากรที่เกี่ยวข้อง
  - ความผิดพลาดที่พบในการตรวจ
  - ระยะห่างจากการตรวจครั้งก่อน
 ทั้งนี้ อาจกำหนดเป็นค่าคะแนน หรือเป็นอักษรก็ได้

Risk Prioritization
พิจารณาจากภาพรวมของความเสี่ยง เช่น
 - การหาค่าเฉลี่ยทางตรงของปัจจยัเสี่ยงที่เลือกทุกตัว
 - การหาค่าเฉลี่ยถ่วงน้?าหนักของปัจจัยเสี่ยงที่เห็นว่าสำคัญ
 -การจัดลำดับความสัมพันธ์ เช่น การใช้ตารางจัดลำดับที่พิจารณาจากความสัมพันธ์จากผลกระทบและความน่าจะเกิด

Risk Management
จุดใดที่มีความเสี่ยงสูง ผู้บริหารต้องหาวิธีบริหารลดความเสี่ยงลง เพื่อให้ผลเสียหายและผลกระทบที่จะเกิดขึ้นอยู่ในระดับที่ยอมรับได้ เช่น
 - การแบ่งความเสี่ยง
 - การกำหนดแผนสำรองฉุกเฉิน

แหล่งข้อมูลในการประเมินความเสี่ยง
 - การปรึกษากับคณะกรรมการบริษัท ฝ่ายจัดการ ภายในแผนกตรวจสอบ ผู้สอบบัญชี
 - การพิจารณาข้อกำหนดทางกฎหมาย และข้อบังคับต่างๆ
 - การวิเคราะห์ข้อมูลที่ได้จากการดำเนินงานและงบการเงิน
 - การสอบทานผลการตรวจสอบครั้งก่อนๆ

สรุปเทคนิคที่ใช้ในแต่ละขั้นตอนการตรวจสอบ
กระบวนการตรวจสอบทุกงานแบ่งเป็น 4 ขั้นตอน
 1. การวางแผนการตรวจสอบ
 2. การปฏิบัติงานตรวจสอบ
 3. การรายงานผลการตรวจสอบ
 4. การติดตามผลการตรวจสอบ
เทคนิคในการวางแผนการตรวจสอบ
ควรเป็นเทคนิคที่ทำให้สามารถระบุขอบเขตปัญหาหรือได้ข้อมูลที่แสดงเบาะแสและสัญญาณเตือนภัยโดยเร็วที่สุด
 - วิเคราะห์เปรียบเทียบ
 - การประเมินความเสี่ยง
 - การประเมินผลการควบคุมภายใน

เทคนิคในการปฏิบัติงานตรวจสอบในการปฏิบัติงาน
 - เทคนิคด้านการสื่อสารและมนุษย์สัมพันธ์
 - เทคนิคในการตรวจสอบทั่วไป
การสรุปผล
 -ใช้เทคนิคเดียวกับการวางแผน แต่จะเจาะลึกลงไปในรายละเอียดของกิจกรรมที่เป็นประเด็นสำคัญไม่ใช่ภาพรวม

เทคนิคในการรายงานผลการตรวจสอบ
 - เทคนิคในการนำเสนอ
 - เทคนิคในการรับฟังความคิดเห็น
 - เทคนิคการขจัดความขัดแย้งและการแก้ไขปัญหา
 - เทคนิคการเขียน
เทคนิคในการติดตามผล
 - ใช้เทคนิคการตรวจสอบทั่วไป
 - เทคนิคในการรับฟังความคิดเห็น
 - เทคนิคการร่วมกันแก้ไขปัญหาอย่างเป็มทีม
เพื่อให้การแก้ไขปัญหาตรงประเด็น ปฏิบัติได้และมีแผนงาน

สรุป
ความสำเร็จและประสิทธิผลของงานตรวจสอบมักวัดจากความยอมรับข้อเสนอแนะใน
รายงานการตรวจสอบ แต่ความสำเร็จนี้จะเกิดขึ้นได้ต้องอาศัยเทคนิคและทักษะหลายประการ
โดยเฉพาะการสร้างมนุษย์สัมพันธ์ การสื่อสารให้เกิดความเข้าใจและการยอมรับจากผู้ได้รับการตรวจ
รวมทั้งหลักฐานเกี่ยวกับข้อมูลเท็จจริงอื่น
การประเมินความเสี่ยงในการตรวจสอบมีขั้นตอนคล้ายกับการประเมินความเสี่ยงในโคราง
สร้างการควบคุม เพียงแต่ผู้ตรวจสอบควรเลือกปัจจัยความเสี่ยงที่เกี่ยวกับการตรวจสอบให้เหมาะสม
ในแต่ละงานตรวจ ซึ่งนิยมให้มีจำนวน ห้าบวกลบสอง ส่วนการวิเคราะห์และจัดระดับความเสี่ยงอาจ
ใช้วิธีการคำนวณทางสถิติ หรือใช้คอมพิวเตอร์ช่วยในการจัดระดับระดับและการกำหนดเป็นโมเคล
ต่างๆ

     ที่มา: http://coursewares.mju.ac.th/section2/ac321/Documents/doc/ch06.pdf




บทความการตรวจสอบภายใน

การทุจริตบัตรเครดิตโดยการดูดข้อมูลบัตรเครดิตผ่านทางสายโทรศัพท์
7 อันดับภัยอินเทอร์เน็ตในประเทศไทย
วิธีการใช้บัตรเครดิตอย่างปลอดภัย
งานวิจัยบุคคลเรื่องการทุจริตบัตรเครดิต
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
คำทำนายอนาคตทิศทางเทคโนโลยีและภัยด้านความปลอดภัยข้อมูล
การพัฒนา การกำกับดูแลกิจการ ของต่างประเทศ
แนะนำการลงทุนในกองทุนรวมเพื่อการเลี้ยงชีพ (RMF) article
9 คำถาม สำหรับตัดสินใจเลือกลงทุน RMF และ LTF article
นโยบายการตรวจสอบสถาบันการเงิน ปี 49 ของ ธปท. article
เรื่องน่ารู้ "ทรัพย์สิน ของคู่สมรส" article
สตท. กับบริการ Quality Assurance Review article



Copyright © 2012 All Rights Reserved.
ชมรมผู้ตรวจสอบภายในธนาคาร และสถาบันการเงิน (Bank & Financial Institution Internal Auditors Club) ที่ทำการ สมาคมธนาคารไทย เลขที่ 5/13 ชั้น 4 หมู่ 3 ถนนแจ้งวัฒนะ ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัดนนทบุรี 11120 โทร. 0-2264-0883-7 โทรสาร. 0-2264-0888 สถานที่ติดต่อ ประธานและเลขาธิการกรรมการบริหารและคณะกรรมการบริหารชมรมฯ ตามระยะเวลาที่ดำรงตำแหน่งอยู่ โปรดดูรายละเอียดในหัวเรื่องคณะกรรมการ