สวัสดี ครับ

วันนี้อยากจะขอเล่าเรื่องเทคนิคการวัดและประเมินความเสี่ยง สำหรับเจ้าหน้าที่ผู้ตรวจสอบภายใน ได้นำไปพิจารณาและลองฝึกปฎิบัติเพื่อใช้ในการตรวจสอบให้มีความถูกต้องและเหมาะสม

4. เทคนิคการวัดและประเมินความเสี่ยง

      4.1 ในการพิจารณาว่าพื้นที่ทำงานที่เหมาะสมในการตรวจสอบอาจจะมีความหลากหลายและมีพื้นที่ขนาดใหญ่สำหรับเจ้าหน้าที่ผู้ตรวจสอบ  ถ้าเป็นไปได้ในการกำหนดขนาดพื้นที่ที่จะทำการตรวจสอบควรจะมีการประเมินความเสี่ยงในการที่จะสามารถตรวจสอบได้อย่างมีคุณภาพ  ซึ่งทั้งหมดขึ้นอยู่กับเครื่องมือที่เจ้าหน้าที่ตรวจสอบสามารถนำมาใช้เพื่อช่วยในการตรวจสอบให้มีความถูกต้อง เหมาะสม และค้นพบข้อเท็จจริงต่างๆ ที่ตรวจสอบ  ผู้ตรวจสอบจำเป็นจะต้องประเมิน (Information System : IS)

คำอธิบายเกี่ยวกับ IS สำหรับเจ้าหน้าที่ตรวจสอบ : ระบบคอมพิวเตอร์หลายคนกำลังสงสัยในความสามารถในการทดแทนมนุษย์ เกี่ยวกับการปฎิบัติงานที่ซับซ้อน การใช้งานซอฟต์แวร์ธุรกิจส่วนใหญ่จะเป็นการทำงานในโดเมนของการเงินและการบัญชี ตัวเลขจากงบในกระดาษและใบเสร็จรับเงินถูกป้อนเข้าไปในเครื่องคอมพิวเตอร์ ซึ่งจะใช้ในการคำนวณและสร้างรายงาน  โปรแกรมคอมพิวเตอร์ที่ใช้ในการตรวจสอบภายใน ส่วนมากใช้การสุ่มตัวอย่าง ผู้ตรวจสอบจะทำการเก็บสำเนางบการเงินในกระดาษและใบเสร็จรับเงินต้นฉบับด้วยตนเอง และทำการคำนวณตัวเลขที่ใช้ในการสร้างรายงานในแต่ละครั้ง และเปรียบเทียบผลของการคำนวณกับโปรแกรมคอมพิวเตอร์  ผู้ตรวจสอบที่มีความเชี่ยวชาญในบัญชี มักจะพบข้อผิดพลาดการเขียนโปรแกรมและเหล่านี้ในผลลัพธ์ที่เกิดจากโปรแกรมตรวจสอบภายในด้วยคอมพิวเตอร์

การนำข้อมูลที่ได้มีการวิเคราะห์ หรือจัดเก็บไว้อย่างเป็นระบบก็ให้นำมาใช้ เช่นใน Log file ขอให้เลือกดูฐานข้อมูลจาก Log file ที่มีกระบวนการดำเนินงานที่มีความเสี่ยง และสามารถดำเนินการทุจริตได้ หรือ สามารถปรับเปลี่ยนข้อมูลได้ง่ายและมีความสำคัญ หรือ สามารถปลอมแปลงเอกสารได้ง่ายด้วยการเข้าไปแก้ไขข้อมูลในฐานข้อมูลและทำการตรวจสอบได้ยาก  ซึ่งขั้นตอนนี้จะไปอยู่ในรูปแบบ IT Audit ซึ่งจะไม่อธิบายในตอนนี้ เพราะจะยาวมากเช่นกัน  ดังนั้นเพียงแต่จะบอกว่า อย่าเชื่อ IS ที่ซื้อมาจากต่างประเทศด้วยราคาแสนแพง แบบหลับหูหลับตาเชื่อก็แล้วกัน

การตรวจสอบข้อมูล และเอกสารหลักฐานด้วยตนเองจะช่วยให้ค้นพบการฉ้อโกง กิจกรรมการฉ้อโกงตั้งแต่เจ้าหน้าที่บันทึกข้อมูล และเจ้าหน้าที่เขียนข้อมูลด้านการเงินที่ทำหน้าที่เปลี่ยนแปลงรายงการ ด้วยการให้โปรแกรมเมอร์ทำการเขียนโปรแกรมปัดเศษสตางค์ในลักษณะคำนวณผิดพลาดโดยเจตนา และส่งออกมาเพื่อสะสมเงินสดในบัญชีธนาคารที่มีการซ่อนเร้น เป็นต้น

ผู้ตรวจสอบจำเป็นจะต้องทำการประเมิน IS ในกระบวนการที่เสี่ยงที่เป็นขั้นตอนพื้นฐาน ซึ่งมักจะมีความเสี่ยงสูง ดังนั้นจึงควรตรวจสอบโดยกำหนดกระบวนการคือ

• ระบุพื้นที่่ของกระบวนการเสี่ยง หรือ ขั้นตอนการปฎิบัติงานที่มีความเสี่ยงหลงเหลืออยู่ในระดับสูง และไม่สามารถยอมรับได้ 
• ระบุระบบการควบคุมที่สำคัญที่มีอยู่และมีความเสี่ยงสูง
• ประเมินความไม่แน่นอนที่มีอยู่ในความสัมพันธ์กับระบบการควบคุมที่สำคัญ ๆ

       4.2  การใช้การประเมินความเสี่ยงสำหรับกำหนดเป็นพื้นที่ที่จะตรวจสอบ :

• เพื่อให้สะดวกในการบริหารจัดการให้มีประสิทธิภาพ และจัดสรรทรัพยากร ที่มีอย่างจำกัด ในการตรวจสอบพื้นที่ต่างๆ 
• ให้ความเชื่อมั่นอย่างสมเหตุสมผลว่ามีข้อมูลเกี่ยวกับทุกระดับของการปฎิบัติงาน และมีความเชื่อมโยงไปถึงคณะกรรมการบริหาร  และผู้บริหารระดับสูง หรือ ระดับกลางในพื้นที่ที่จะตรวจสอบ   โดยทั่วไปการรวบรวมข้อมูลในพื้นที่ที่จะทำการตรวจสอบให้มีประสิทธิภาพ ตามภาระหน้าที่ของผู้ตรวจสอบ และให้ความเชื่อมั่นอย่างสมเหตุสมผลว่าเป็นกิจกรรมการตรวจสอบในพื้นที่เสี่ยงสูงในทางธุรกิจ และจะสามารถเพิ่มมูลค่าให้กับการบริหารจัดการองค์กร
• การกำหนดเกณฑ์การมีประสิทธิภาพในการตรวจสอบการบริหารจัดการด้าน IS
• ให้ข้อสรุปของวิธีการเรื่องการทบทวนบุคคลที่เกี่ยวข้องกับการจัดการโดยรวมเช่นเดียวกับแผนธุรกิจ

5. วิธีการวัดประเมินความเสี่ยง 

         5.1 วิธีการประเมินความเสี่ยงในปัจจุบันมีหลายวิธี  ซึ่งวิธีการดังกล่าวจะอธิบายเกี่ยวกับการบริหารความเสี่ยงอย่างเป็นระบบ มีการให้คะแนนระดับความเสี่ยงที่มีความรุนแรง และโอกาสเกิดที่แตกต่างกัน และมีการจัดลำดับความสำคัญของเหตุการณ์ความเสี่ยง  ในการพิจารณาด้านการประเมินความเสี่ยงของเหตุการณ์ความเสี่ยงที่พิจารณาเป็นตัวแปร เช่น ความซับซ้อนทางเทคนิคของการบริหารความเสี่ยง และขอบเขตของการพิจารณากระบวนการปฎิบัติงาน และการเปลี่ยนแปลงกระบวนการปฎิบัติงานที่สำคัญๆ  ตัวแปรเหล่านี้อาจจะไม่ได้ทำการถ่วงน้ำหนักค่าของความเสี่ยงเมื่อเทียบกับตัวแปรของกระบวนการปฎิบัติงานด้านอื่นๆ  ดังนั้นจะต้องมีการจัดทำแผนการตรวจสอบ

(วิธีการถ่วงน้ำหนักด้านการบริหารความเสี่ยง ตามลำดับความสำคัญ และการระบุคะแนนของความเสี่ยงในเชิง Risk Matrix ขอให้อ่านจากบทความการคำนวณความเสี่ยงและการวิเคราะห์ Risk Matrix ในหมวดของ Risk Management)

แผนการตรวจสอบ คือ การเตรียมการโดยแผนการตรวจสอบจะได้รับการอนุมัติโดยคณะกรรมการตรวจสอบ หรือ ประธานเจ้าหน้าที่บริหาร (CEO) ให้ความเห็นต่อแผนการตรวจสอบ  ซึ่งรูปแบบของแผนการตรวจสอบจะเป็นการประเมินความเสี่ยงจากการตรวจสอบเอกสารหลักฐาน และข้อมูลที่ได้มีการรวบรวมล่วงหน้า และทำการตัดสินใจบรรจุในแผนการตรวจสอบ

6. การเก็บรวบรวมข้อมูล 

       6.1 ข้อมูลที่อธิบายนี้จะในแง่ของการดำเนินงานขององค์กรจะใช้ในการกำหนดหน่วยงานตรวจสอบได้ที่หลากหลายและการจำลองความเสี่ยงเป็นธรรมชาติในการดำเนินงานของหน่วย  แหล่งที่มาของข้อมูลนี้รวมถึง :

• การสัมภาษณ์ผู้บริหารระดับสูง และผู้บริหารระดับกลาง เกี่ยวกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลสำหรับการพัฒนาของรูปแบบความเสี่ยง 
• ผลลัพธ์ของแบบสอบถามที่ได้มีการเก็บรวบรวมข้อมูลเกี่ยวกับกระบวนการปฎิบัติงานและขั้นตอนการทำงานในหน่วยงานที่มีความสำคัญๆ และนำมาประเมินด้านการบริหารความเสี่ยง
• เอกสารรายงาน เมื่อเร็วๆ นี้
• แผนกลยุทธ์ด้าน IT และแผนกลยุทธ์ของสำนัก/ฝ่าย/กอง/แผนก ที่สำคัญเป็น core function ขององค์กร
• หน่วยงานที่มีการใช้งบประมาณสูงๆ และมีการดำเนินงานโครงการขนาดใหญ่
• ความเห็นที่มีข้อสงสัยจากผู้ตรวจสอบบัญชีภายนอก
• การรวบรวมข้อมูลจากความตระหนักและทักษะความรู้ของผู้ตรวจสอบ จากแหล่งต่างๆ

        6.2 วิธีการประเมินหลักฐานการตรวจสอบ   การตรวจสอบเอกสารหลักฐานที่แสดงความเป็นมืออาชีพของคุณด้านการตรวจสอบ เมื่อดำเนินการตรวจสอบคุณต้องประเมินลักษณะของความสามารถและเพียงพอ และการประเมินผลการตรวจสอบหลักฐานเพื่อตรวจสอบความถูกต้อง หลังจากที่ทุกการตรวจสอบของคุณขึ้นอยู่กับความจริงของหลักฐาน

          ธรรมชาติของหลักฐานสำหรับการตรวจสอบ

          ธรรมชาติของหลักฐานการตรวจสอบ หมายถึง รูปแบบของหลักฐานที่คุณกำลังมองหาที่ระหว่างการตรวจสอบ  ซึ่งควรรวมทั้งหมดทั้ง เอกสารทางบัญชี รายงานการประชุม   ข้อร้องเรียน เป็นต้น

            เอกสารหลักฐานสำหรับใช้ในการตรวจสอบ

                     หลักฐานการตรวจสอบมีความเกี่ยวข้องกับงานที่คุณกำลังทำและมีความน่าเชื่อถือ รวมทั้งเกี่ยวข้องกับคุณภาพของเอกสารหลักฐานที่สนับสนุนในการตรวจสอบการดำเนินงาน

• ความเกี่ยวข้อง : ความเกี่ยวข้องของเอกสารหลักฐานโดยการประเมินความสัมพันธ์ระหว่างเอกสารและการจัดการยืนยันข้อมูลที่คุณกำลังทดสอบ
• ความน่าเชื่อถือ : คุณวัดความน่าเชื่อถือด้วยการตัดสินใจว่าหลักฐานมีความน่าเชื่อถือ จะต้องเป็นเอกสารที่มีความสำคัญ และเป็นสิ่งที่่ทุกหน่วยงานยอมรับ  เป็นเอกสารที่มาจากกระบวนการปฎิบัติงาน  หรือจากบุคคลที่น่าเชื่อถือ เป็นต้น   
• เอกสารต้นฉบับมีความน่าเชื่อถือกว่าเล่มที่มีการเปลี่ยนแปลงไปจากเดิม
• การเขียนเอกสารเป็นความน่าเชื่อถือมากกว่าปาก
• ความรู้โดยตรงของกระบวนการมีความน่าเชื่อถือมากกว่าแค่การมีพนักงานมาอธิบายให้คุณฟังเกี่ยวกับกระบวนการทำงาน
• เป็นต้น

สุดท้ายนี้ในบทนี้ เราจะเล่าให้ฟังเพียงเท่านี้ก่อน เพราะในบทที่ 3 ที่จะเล่าตอนต่อไป จะเป็นเรื่องของการคำนวณ และการกำหนดน้ำหนักที่ใช้ในการจัดลำดับความสำคัญของเหตุการณ์ความเสี่ยงที่จะมีการตรวจสอบ และวิธีการที่ใช้ในการกำหนดน้ำหนักในประเด็นต่างๆ มีวิธการอย่างไร  วิเคราะห์อย่างไร  ขอให้ท่านผู้สนใจกรุณาติดตามในตอนต่อไป

ขอให้ทุกๆ ท่านโชคดี มีความสุขเถิด

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com

http://eiamsri.wordpress.com