ReadyPlanet.com
Home เกี่ยวกับชมรมฯ อบรม / สัมมนา เอกสารการอบรม ภาพกิจกรรมชมรมฯ
dot dot
dot
  •  Internal Auditors Club
dot
bulletคณะกรรมการบริหาร
bulletหน้าที่ของ กบร.
bulletนโยบายชมรม
bulletขอบเขตรับผิดชอบอนุกรรมการ
bulletข้อบังคับชมรมฯ
bulletธนาคาร&สถาบันการเงินสมาชิก
bulletแผนการดำเนินงาน
dot
  •  Tools & Guideline
dot
bulletข้อมูล ธปท.สำหรับสถาบันการเงิน
bullet Web App. Security (OWASP Top 10)
bullet Checklist สำหรับบริหารจัดการ Cisco Router
bulletRouter Audit Tool (RAT)
bulletweb application testing
dot
  •  Link ที่เกี่ยวข้อง
dot
bulletกระทรวงการคลัง
bulletธนาคารแห่งประเทศไทย
bulletสมาคมผู้ตรวจสอบภายในฯ
bulletสมาคมธนาคารไทย
bulletISACA Bangkok
bulletสำนักงานคณะกรรมการ กลต.
bulletInformation Technology Governance (โดย อ.เมธา )
bulletThaiCERT
bulletAudit Net
Audit Technique article

Audit Technique 

 เมื่อกล่าวถึงคำว่า เทคนิค มักหมายถึง วิธีการที่ผู้ทำงานนำมาใช้เพื่อให้งานนั้นได้ผลสำเร็จ
เมื่อนำคำว่าเทคนิคมาใช้กับการตรวจสอบหรือเรียกว่า เทคนิคการตรวจสอบ ก็หมายถึง วิธีการ
ตรวจสอบที่ดีที่ผู้ตรวจสอบนำมาใช้ เพื่อให้งานตรวจสอบนั้นได้ผลสำเร็จ และเป็นที่ยอมรับขอ
ผู้ปฏิบัติงาน ซึ่งเทคนิคการตรวจสอบที่ดีจะประกอบด้วยวิธีการตรวจสอบตามหลักการ และการนำ
หลักมนุษย์สัมพันธ์มาประยุกต์ใช้พร้อมกับวิธีการตรวจสอบตามหลักการนั้น ในทุกระยะขั้นตอนของ
กระบวนการตรวจสอบ

เทคนิคการตรวจสอบ ( Audit Technique )
 - วิธีการตรวจสอบสำคัญที่ผู้ตรวจสอบเลือกใช้ในการรวบรวมข้อมูลหลักฐานต่างๆ
 - เพื่อให้ได้หลักฐานที่ดีและเสียค่าใช้จ่ายน้อยที่สุด
 - โดยการตรวจเป็นไปตามวัตถุประสงค์การตรวจสอบและแผนการตรวจสอบที่กำหนดขึ้น

ประเภทของเทคนิคการตรวจสอบภายใน แบ่งเป็น 2 ประเภท
 1. เทคนิคด้านมนุษย์สัมพันธ์และการสื่อสาร
 2. เทคนิคการรวบรวมหลักฐานการตรวจสอบ

 ปัจจุบันนิยมนำเทคนิคด้านคอมพิวเตอร์มาช่วยในการตรวจสอบด้วย
เทคนิคด้านมนุษย์สัมพันธ์และการสื่อสาร มาตรฐาน การตรวจสอบภายในหมวด 260 เน้นความสำคัญของการมีทักษะในการ
ติดต่อสื่อสารและ มนุษย์สัมพันธ์ เพื่อประโยชน์ในการประสานงานและจูงใจผลงานตรวจสอบ

เทคนิคการสื่อสารสำคัญที่ผู้ตรวจสอบควรฝึกหัด
 1. เทคนิคการสัมภาษณ์
 2. เทคนิคการสอบถาม
 3. เทคนิคการประชุม
 4. เทคนิคการนำเสนอ
 5. เทคนิคการเขียนรายงาน

เทคนิคการสัมภาษณ์ ( Interview )
ลักษณะคำถาม
 1. คำถามเปิด
 2. คำถามที่ให้แสดงความคิดเห็นส่วนตัว
 3. คำถามหนักๆที่ให้สะท้อนภาพเหตุการณ์
 4. คำถามเกี่ยวกับคุณภาพ
 5. คำถามเปิดประเด็น - เป็นคำถามที่นำให้เกิดการวิพากย์วิจารณ์ในเรื่องที่ต้องการ

สิ่งสำคัญที่ทำให้เทคนิคการตรวจสอบประสบความสำเร็จ คือการรู้จักนำเทคนิคด้านมนุษย์สัมพันธ์มาใช้ เช่น
 - การนำใจเขามาใส่ใจเรา
 - การรู้จักให้เกียรติ
 - การรับฟังความคิดเห็น
 - การปฏิบัติงานด้วยความเป็นกลาง ปราศจากอคติลำเอียง ความตั้งใจที่ร่วมกันแก้ไขปัญหา

เทคนิคการรวบรวมหลักฐานการตรวจสอบ
 1. เทคนิคการตรวจสอบทั่วไป
 2. เทคนิคในการประเมินผลการควบคุมภายใน
 3. การวิเคราะห์เปรียบเทียบ
 4. การประเมินความเสี่ยง
เทคนิคการตรวจสอบทั่วไป
 เทคนิคการตรวจสอบที่ใช้กันโดยทั่วไป และทุกระยะในการปฏิบัติงานตรวจสอบ ได้แก่
 1. การตรวจสอบของจริง
 2. การสังเกตการณ์ข้อเท็จจริง
 3. การสอบถาม
 4. การคำนวณ
 5. การสุ่มตัวอย่าง

การตรวจสอบของจริง
 - การตรวจสอบข้อมูล เอกสาร หรือสินทรัพย์ที่มีตัวตน เช่น การตรวจนับ การสอบทาน เอกสาร
 - ให้หลักฐานที่เชื่อถือในเรื่องการเกิดขึ้นจริง แต่ ไม่ให้หลักฐานเกี่ยวกับกรรมสิทธิหรือมูลค่าของสิ่งนั้น
การสังเกตการณ์ข้อเท็จจริง
 - เป็นการสังเกตการดำเนินงานหรือวิธีการปฏิบัติงาน
 - ให้หลักฐานเกี่ยวกับสภาพ วิธีการปฏิบัติงาน ของผู้ปฏิบัติงาน และสภาพแวดล้อม สถานที่ทำงาน รวมถึงข้อมูลทางภาษากายที่แสดงถึงความพอใจหรือไม่พอใจในการปฏิบัติงาน
 ข้อจำกัด คือ ได้ข้อมูลเฉพาะในเวลาที่สังเกตการณ์นั้น ซึ่งอาจตรงหรือไม่ตรงกับการปฏิบัติงานปกติก็ได้

การสอบถาม ( Inquiry )
 - เป็นการหาข้อมูลจากบุคคลที่มีความรู้ทั้งภายในและภายนอก
 - อาจจะเป็นทางการหรือไม่เป็นทางการก็ได้
 - ระดับความน่าเชื่อถือของข้อมูล ขึ้นอยู่กับความรู้ความสามารถ ประสบการณ์ ความเป็นอิสระ และความซื่อสัตย์ของบุคคลนั้นๆ

การคำนวณ ( Computation )
 - เป็นการทดสอบความถูกต้องของการคำนวณตัวเลขในการบันทึกบัญชี

การสุ่มตัวอย่าง ( Sampling )
 - เป็นการเลือกตัวอย่างขึ้นมาเพื่อตรวจแทนการตรวจในรายละเอียดทั้งหมด

เทคนิคในการประเมินผลการควบคุมภายใน
เทคนิคการตรวจสอบที่ใช้ในการประเมินผลการควบคุมภายใน เช่น
 1. การทำแผนภาพระบบงานและจุดควบคุม
 2. การทำแบบสอบถามการควบคุม
 3. การสัมภาษณ์การควบคุมภายใน

การวิเคราะห์เปรียบเทียบ
 เป็นเทคนิคที่สำคัญที่ SIAS ฉบับที่ 8 ได้กำหนดรายละเอียด โดยสรุปสาระสำคัญ ได้ดังนี้
 - เป็นการศึกษาและเปรียบเทียบความสัมพันธข์ องขอ้มูลสถิติที่สำคัญทั้งทางการเงินและผลการดำเนินงาน เพื่อใช้ในการระบุความผิดพลาดที่อาจเกิดขึ้น ความผิดปกติ และการกระทำผิดกฎหมาย
 ข้อดี
  - เป็นวิธีทีให้เบาะแสประเด็นปัญหาสำคัญในการตรวจสอบ
  - ใช้เวลาน้อย
 ข้อจำกัด
  - ความเชื่อถือได้และการได้มาซึ่งข้อมูลที่นำมาวิเคราะห์

การประเมินความเสี่ยง ( Risk Assessment )
 SIAS ฉบับที่ 9 สรุปสาระสำคัญเกี ยวกับการประเมิน ดังนี
 - ผู้ตรวจสอบภายในสามารถใช้กระบวนการประเมินความเสี่ยงเป็นแนวทางในการวางแผนทั้งประจำปี และแต่ละงานที่จะตรวจสอบ
 - เพื่อช่วยให้การกำหนดตารางเวลาการปฏิบัติงานและการจัดสรรทรัพยากรให้เหมาะสมและมีประสิทธิผลยิ่งขึ้น

COSO ให้ความสำคัญการประเมินความเสี่ยง
 1. กำหนดวัตถุประสงค์
 2. การระบุปัจจัยเสี่ยง
 3. การวิเคราะห์ความเสี่ยง และ
 4. การบริหารความเสี่ยง

ความเสี่ยงในการตรวจสอบ ( Audit Risk )
 ความสำคัญ
 - เพื่อลดความเสี่ยงในการตรวจสอบให้อยู่ในระดับที่ผู้ตรวจสอบยอมรับได้
 - ทำให้ผลงานของผู้ตรวจสอบเป็นที่ยอมรับ
 - ช่วยในการจัดสรรเวลาและทรัพยากรในการตรวจในเรื่องที่มีสาระสำคัญ
-  เพื่อค้นพบสัญญาณความเสี่ยงจากการทุจริตหรือข้อผิดพลาดสำคัญที่องค์กรควรทราบและป้องกันไว้ล่วงหน้า

ประเภทของความเสี่ยงในการตรวจสอบ
 1. ปัจจัยความเสี่ยงที่แฝงอยู่ ( Inherent Risk ; IR )
 2. ปัจจัยความเสี่ยงจากการควบคุม ( Control Risk ; CR )
 3. ปัจจัยความเสี่ยงจากวิธีการตรวจสอบ ( Detective Risk ; DR )

ความเสี่ยงที่แฝงอยู่
 เสี่ยงที่แฝงหรืออาจเกิดขึ้นกับกิจการหรือในเรื่องที่จะตรวจสอบ ทำให้การดำเนินงานไม่
เป็นไปตามวัตถุประสงค์ โดยยังไม่คำนึงถึงการควบคุมภายในที่กิจการมี แบ่งเป็น 2 ประเภท
 1. ปัจจัยความเสี่ยงแฝงที่มีลักษณะแพร่กระจาย ( Pervasive Inherent Risk )
 2. ปัจจัยความเสี่ยงที่มีลักษณะแฝงเฉพาะ ( Specific Inherent Risk )

Pervasive Inherent Risk
 - เป็นปัจจัยความเสี่ยงที่อาจเกิดขึ้นได้ทั่วไปในองค์กร ระบบงาน กระบวนการ หรือหน่วยงาน
 - ผลเสียหายที่เกิดขึ้น ได้แก่ ข้อผิดพลาด ความหลงลืม ความล่าช้า และการทุจริตตัวอย่างเช่น : สภาพแวดล้อมภายนอก
ความซับซ้อนของโครงสร้างองค์กร

Specific Inherent Risk
 - เป็นปัจจัยความเสี่ยงที่อาจเกิดขึ้นเฉพาะ ระบบงาน กระบวนการ หรือหน่วยงานใดหน่วยงานหนึ่งโดยเฉพาะ ทำให้ระบบงาน กระบวนการ หรือหน่วยงาน ไม่บรรลุวัตถุประสงค์ ตัวอย่างเช่น : การหาตลาดใหม่ไม่ได้ การผลิตสินค้าไม่ตรงความต้องการของตลาด

Control Risk
 ปัจจัยความเสี่ยงเกี่ยวกับประสิทธิภาพของการควบคุมของกิจการที่ไม่เพียงพอ ทำให้
ไม่อาจป้องกัน ค้นพบหรือแก้ไขความเสียหายที่อาจเกิดขึ้นกับกิจการหรือกับทรัพย์สินที่ควบคุมได้อย่างทันกาล

Detective Risk
ความเสี่ยงที่เกิดจากวิธีการตรวจสอบที่ใช้ :
 - ไม่สามารถค้นพบเหตุการณ์หรือรายการค้าที่ทำให้การบันทึกรายการผิดพลาดที่มีสาระสำคัญ
 - ทำให้สรุปผลผิดพลาด
 - ตรวจในเรื่องนั้นผิดอย่างมีสาระสำคัญ
 - เป็นความเสี่ยงที่ผู้ตรวจสอบควบคุมได้ ตัวอย่างเช่น - การสุ่มตัวอย่างผิด
 - การไม่รายงานหรือรายงานไม่ตรงกับหลักฐานที่พบ

การประเมินความเสี่ยงในการวางแผนการตรวจ แบ่งได้เป็น 2 ระดับ
 1. การวางแผนการตรวจประจำปี
 2. การวางแผนการตรวจเฉพาะงานตรวจแต่ละงาน

ขั้นตอนในการประเมินความเสี่ยง
 1. การกำหนดวัตถุประสงค์และกิจกรรมที่จะตรวจ
 2. การระบุความเสี่ยงซึ่งเกี่ยวข้องกับกิจกรรมที่จะตรวจสอบ
 3. การวิเคราะห์และกำหนดระดับความเสี่ยง
 4. การบริหารหรือนำผลการประเมินความเสี่ยงไปใช้งาน

การกำหนดวัตถุประสงค์และกิจกรรมที่จะตรวจสอบ Auditable Activities

กิจกรรมที่จะตรวจสอบ หมายถึง หน่วยงาน ระบบ กระบวนการปฏิบัติงาน ที่อยู่ในขอบเขต
ความรับผิดชอบ และสามารถตรวจสอบได้ รวมไปทั้งเอกสารที่สำคัญต่างๆ เช่น นโยบาย งบการเงิน
สัญญาและแผนงานสำคัญต่างๆ

การระบุความเสี่ยง Indentification of Risk factors
ปัจจัยความเสี่ยงที่นิยมพิจารณาในการจัดลำดับการตรวจสอบ
 1. วันที่และผลในการตรวจครั้งสุดท้าย
 2. สาระสำคัญหรือผลกระทบทางการเงิน
 3. โอกาสที่จะเกิดความสูญเสียหรือทุจริต
 4. การเปลี่ยนแปลงที่สำคัญในการปฏิบัติงาน หรือโปรแกรมหรือระบบงานหรือระบบควบคุม
 5. การตรวจตามคำสั่งฝ่ายบริหาร
 6. ความสำคัญของเรื่องที่มีต่อการบรรลุวัตถุประสงค์ขององค์กร

Risk Analysis การวิเคราะห์ความเสี่ยง นิยมพิจารณา จาก
 1. การประมาณความมีสาระสำคัญหรือผลกระทบ ( Significant or Impact )
  - พิจารณาผลกระทบทั้งด้านตัวเงินและไม่ใช่ตัวเงิน
  - อาจกำหนดเป็นค่าคะแนน เช่น 3-1 หรือ เป็นอักษร H M L
 2. การประเมินโอกาสที่น่าจะเกิดหรือความถี่ ( Likelihood or Frequency ) พิจารณาจาก
  - ระบบการควบคุมภายใน
  - ความยุ่งยากซับซ้อนของเทคโนโลยีที่นำมาใช้
  - ความสามารถและความน่าเชื่อถือของฝ่ายบริหาร
  - คุณภาพและประสิทธิภาพของบุคลากรที่เกี่ยวข้อง
  - ความผิดพลาดที่พบในการตรวจ
  - ระยะห่างจากการตรวจครั้งก่อน
 ทั้งนี้ อาจกำหนดเป็นค่าคะแนน หรือเป็นอักษรก็ได้

Risk Prioritization
พิจารณาจากภาพรวมของความเสี่ยง เช่น
 - การหาค่าเฉลี่ยทางตรงของปัจจยัเสี่ยงที่เลือกทุกตัว
 - การหาค่าเฉลี่ยถ่วงน้?าหนักของปัจจัยเสี่ยงที่เห็นว่าสำคัญ
 -การจัดลำดับความสัมพันธ์ เช่น การใช้ตารางจัดลำดับที่พิจารณาจากความสัมพันธ์จากผลกระทบและความน่าจะเกิด

Risk Management
จุดใดที่มีความเสี่ยงสูง ผู้บริหารต้องหาวิธีบริหารลดความเสี่ยงลง เพื่อให้ผลเสียหายและผลกระทบที่จะเกิดขึ้นอยู่ในระดับที่ยอมรับได้ เช่น
 - การแบ่งความเสี่ยง
 - การกำหนดแผนสำรองฉุกเฉิน

แหล่งข้อมูลในการประเมินความเสี่ยง
 - การปรึกษากับคณะกรรมการบริษัท ฝ่ายจัดการ ภายในแผนกตรวจสอบ ผู้สอบบัญชี
 - การพิจารณาข้อกำหนดทางกฎหมาย และข้อบังคับต่างๆ
 - การวิเคราะห์ข้อมูลที่ได้จากการดำเนินงานและงบการเงิน
 - การสอบทานผลการตรวจสอบครั้งก่อนๆ

สรุปเทคนิคที่ใช้ในแต่ละขั้นตอนการตรวจสอบ
กระบวนการตรวจสอบทุกงานแบ่งเป็น 4 ขั้นตอน
 1. การวางแผนการตรวจสอบ
 2. การปฏิบัติงานตรวจสอบ
 3. การรายงานผลการตรวจสอบ
 4. การติดตามผลการตรวจสอบ
เทคนิคในการวางแผนการตรวจสอบ
ควรเป็นเทคนิคที่ทำให้สามารถระบุขอบเขตปัญหาหรือได้ข้อมูลที่แสดงเบาะแสและสัญญาณเตือนภัยโดยเร็วที่สุด
 - วิเคราะห์เปรียบเทียบ
 - การประเมินความเสี่ยง
 - การประเมินผลการควบคุมภายใน

เทคนิคในการปฏิบัติงานตรวจสอบในการปฏิบัติงาน
 - เทคนิคด้านการสื่อสารและมนุษย์สัมพันธ์
 - เทคนิคในการตรวจสอบทั่วไป
การสรุปผล
 -ใช้เทคนิคเดียวกับการวางแผน แต่จะเจาะลึกลงไปในรายละเอียดของกิจกรรมที่เป็นประเด็นสำคัญไม่ใช่ภาพรวม

เทคนิคในการรายงานผลการตรวจสอบ
 - เทคนิคในการนำเสนอ
 - เทคนิคในการรับฟังความคิดเห็น
 - เทคนิคการขจัดความขัดแย้งและการแก้ไขปัญหา
 - เทคนิคการเขียน
เทคนิคในการติดตามผล
 - ใช้เทคนิคการตรวจสอบทั่วไป
 - เทคนิคในการรับฟังความคิดเห็น
 - เทคนิคการร่วมกันแก้ไขปัญหาอย่างเป็มทีม
เพื่อให้การแก้ไขปัญหาตรงประเด็น ปฏิบัติได้และมีแผนงาน

สรุป
ความสำเร็จและประสิทธิผลของงานตรวจสอบมักวัดจากความยอมรับข้อเสนอแนะใน
รายงานการตรวจสอบ แต่ความสำเร็จนี้จะเกิดขึ้นได้ต้องอาศัยเทคนิคและทักษะหลายประการ
โดยเฉพาะการสร้างมนุษย์สัมพันธ์ การสื่อสารให้เกิดความเข้าใจและการยอมรับจากผู้ได้รับการตรวจ
รวมทั้งหลักฐานเกี่ยวกับข้อมูลเท็จจริงอื่น
การประเมินความเสี่ยงในการตรวจสอบมีขั้นตอนคล้ายกับการประเมินความเสี่ยงในโคราง
สร้างการควบคุม เพียงแต่ผู้ตรวจสอบควรเลือกปัจจัยความเสี่ยงที่เกี่ยวกับการตรวจสอบให้เหมาะสม
ในแต่ละงานตรวจ ซึ่งนิยมให้มีจำนวน ห้าบวกลบสอง ส่วนการวิเคราะห์และจัดระดับความเสี่ยงอาจ
ใช้วิธีการคำนวณทางสถิติ หรือใช้คอมพิวเตอร์ช่วยในการจัดระดับระดับและการกำหนดเป็นโมเคล
ต่างๆ

     ที่มา: http://coursewares.mju.ac.th/section2/ac321/Documents/doc/ch06.pdf



« Back


บทความการตรวจสอบภายใน

การทุจริตบัตรเครดิตโดยการดูดข้อมูลบัตรเครดิตผ่านทางสายโทรศัพท์
7 อันดับภัยอินเทอร์เน็ตในประเทศไทย
วิธีการใช้บัตรเครดิตอย่างปลอดภัย
งานวิจัยบุคคลเรื่องการทุจริตบัตรเครดิต
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
คำทำนายอนาคตทิศทางเทคโนโลยีและภัยด้านความปลอดภัยข้อมูล
การพัฒนา การกำกับดูแลกิจการ ของต่างประเทศ
แนะนำการลงทุนในกองทุนรวมเพื่อการเลี้ยงชีพ (RMF) article
9 คำถาม สำหรับตัดสินใจเลือกลงทุน RMF และ LTF article
นโยบายการตรวจสอบสถาบันการเงิน ปี 49 ของ ธปท. article
เรื่องน่ารู้ "ทรัพย์สิน ของคู่สมรส" article
สตท. กับบริการ Quality Assurance Review article
Copyright © 2012 All Rights Reserved.
ชมรมผู้ตรวจสอบภายในธนาคาร และสถาบันการเงิน (Bank & Financial Institution Internal Auditors Club) ที่ทำการ สมาคมธนาคารไทย เลขที่ 5/13 ชั้น 4 หมู่ 3 ถนนแจ้งวัฒนะ ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัดนนทบุรี 11120 โทร. 0-2264-0883-7 โทรสาร. 0-2264-0888 สถานที่ติดต่อ ประธานและเลขาธิการกรรมการบริหารและคณะกรรมการบริหารชมรมฯ ตามระยะเวลาที่ดำรงตำแหน่งอยู่ โปรดดูรายละเอียดในหัวเรื่องคณะกรรมการ