Archive for มิถุนายน, 2011

กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล – IPPF

ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายใน หรือแม้กระทั่งการตรวจสอบเพื่อรับรองงบการเงินจากผู้สอบบัญชีภายนอก ซึ่งต้องประเมินกรอบการปฏิบัติงาน และประสิทธิภาพการปฏิบัติงานการตรวจสอบภายใน เพื่อกำหนดขอบเขตการตรวจสอบทางด้าน IT Audit ระดับหนึ่ง ก่อนจะก้าวไปสู่การรับรองงบการเงินตามที่เห็นสมควรนั้น ผู้รับรองงบการเงินจะมีหน้าที่อย่างหนึ่งก็คือ การประเมินการควบคุมความเสี่ยง และผลกระทบความน่าเชื่อถือได้ของข้อมูลทางการเงิน จากระบบเทคโนโลยีสารสนเทศ การควบคุมความเสี่ยง ทั้งทางด้าน IT และ Non-IT และประสิทธิภาพการบริหารความเสี่ยงของผู้บริหาร และผู้ที่เกี่ยวข้องภายในองค์กรนั้น ๆ

กรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) จึงเป็นแนวทางที่สำคัญทั้งสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงินอย่างสำคัญ

โครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายใน มีผลเริ่มใช้ตั้งแต่เดือนมกราคม 2552 เป็นต้นมา ดังนั้น การปรับปรุงกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เดิม เป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) จึงเป็นเรื่องใหม่ ซึ่งทางสมาคมผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย แนะนำให้ท่านได้เห็นความแตกต่างระหว่าง PPF เดิม และรู้จักกับ IPPF ใหม่ เพื่อให้เข้าใจแนวการบริหารงานการตรวจสอบและการปฏิบัติงานตรวจสอบที่ได้มาตรฐาน

แต่ก่อนที่ท่านจะได้รู้จักกับกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่นั้น ผมขอให้ท่านลองติดตามกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เพื่อเป็นการทบทวนก่อนดังนี้ครับ :-

กรอบการปฏิบัติงานวิชาชีพ (Professional Practice Framework –PPF) เดิม
ประกอบ ด้วย 4 ส่วน คือ
1. คำจำกัดความของการตรวจสอบภายใน (Definition of Internal Auditing)
2. ประมวลจรรยาบรรณ (Code of Ethics)
3. มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards for the Professional Practice of Internal Auditing) และ
4. ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories – PA)

IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) โดยได้แบ่งเนื้อหาตามรูปดังนี้

iia-ippf-schematic_alltwentyfive

1. แนวทางหลัก (Mandatory Guidance)
ซึ่งเป็นหลักเกณฑ์ที่มีความจำเป็นสำหรับการปฏิบัติงานตรวจสอบภายใน และได้รับการพัฒนาโดยกระบวนการที่ผ่านการกลั่นกรองความถูกต้อง เชื่อถือได้เป็นอย่างดี รวมถึงได้มีการเผยแพร่ร่างกรอบโครงสร้างฯ สู่สาธารณชนเพื่อรับฟังความคิดเห็นจากผู้ประกอบวิชาชีพ และผู้ที่สนใจในช่วงระยะเวลาหนึ่ง ก่อนที่จะนำความเห็นที่ได้รับมาประมวล ปรับปรุงและประกาศใช้จริง ซึ่งแนวทางหลักนี้ประกอบไปด้วย 3 ส่วน คือ

ส่วนที่ 1 คำนิยามของการตรวจสอบภายใน (Definition) ซึ่งระบุถึงวัตถุประสงค์พื้นฐาน ลักษณะงาน และขอบเขตของงานตรวจสอบภายใน

ส่วนที่ 2 ประมวลจรรยาบรรณ (Code of Ethics) ซึ่งระบุถึงหลักการและหลักความประพฤติที่พึงปฏิบัติของผู้ตรวจสอบภายใน และองค์กรที่เกี่ยวข้องกับการปฏิบัติงานตรวจสอบภายใน ประมวลจรรยาบรรณนี้ได้บรรยายถึงแนวทางการปฏิบัติงาน และความประพฤติของผู้ตรวจสอบภายในที่คาดหวังในขั้นพื้นฐาน

ส่วนที่ 3 มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards) ซึ่งเน้นในหลักการและให้แนวทางในการปฏิบัติงาน และส่งเสริมงานตรวจสอบภายใน โดยเนื้อหาประกอบด้วย

1) แถลงการณ์ของความต้องการพื้นฐานสำหรับการปฏิบัติงานวิชาชีพตรวจสอบภายใน และการประเมินความมีประสิทธิผลของการปฏิบัติงานนั้น ๆ ซึ่งเป็นความต้องการในระดับสากล ที่สามารถนำมาปรับใช้ในระดับบุคคลหรือองค์กรได้

2) การตีความ ซึ่งให้คำอธิบายวลี หรือแนวความคิดที่ปรากฎอยู่ในแถลงการณ์นั้น ๆ
ซึ่งทั้ง 2 ส่วนนี้ เป็นสิ่งที่ผู้ประกอบวิชาชีพจำเป็นที่จะต้องให้ความสนใจเพื่อจะได้เข้าใจ และสามารถนำมาตรฐานไปปฏิบัติได้อย่างถูกต้อง นอกจากนี้ มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายในยังมีภาคศัพท์ ซึ่งจะอธิบายความหมายของคำเฉพาะต่าง ๆ ที่ใช้ในมาตรฐานอีกด้วย

สำหรับกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) ที่ทบทวนกันในวันนี้ผมขอนำเสนอเพียงแนวทางหลักก่อนนะครับ ครั้งหน้าผมจะมานำเสนอในแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อไปครับ

 

วิสัยทัศน์ มาก่อน นโยบายและกลยุทธ์เสมอ…

vision

หากประเทศ หรือองค์กรใด ขาดวิสัยทัศน์ที่มีลักษณะเป็นเข็มทิศ นำนาวาของประเทศและขององค์กรไปสู่เป้าประสงค์ในระยะยาว เช่น “ในปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” แต่ไปกำหนดนโยบายที่ตามด้วยกลยุทธ์ รวมทั้งแผนงานและโครงการต่าง ๆ ถึงจะมี KPI และ KRI เป็นตัวกำกับและตัวชี้วัดผลการปฎิบัติงานที่ดูเหมือนจะดี และเป็นไปตามกระบวนการบริหารจัดการที่ดีนั้น น่าจะมีปัญหาการบูรณาการของการหล่อหลอมนโยบาย กลยุทธ์ แผนงานและโครงการต่าง ๆ ที่ดีและเหมาะสม และมีคุณภาพ โดยการใช้ทรัพยากรของประเทศและองค์กรอย่างมีคุณค่าที่แท้จริง

ทั้งนี้ก็เพราะประเทศหรือองค์กรนั้น ยังขาดวิสัยทัศน์ ซึ่งเป็นธงหลักและจำเป็นอย่างยิ่งที่นาวาของรัฐ และองค์กรที่มีประชาชน หรือผู้ที่อยู่นาวาลำนั้น ต้องช่วยกันขับเคลื่อนเป้าประสงค์ต่าง ๆ ไปในทิศทางเดียวกัน สิ่งนั้นคือ “วิสัยทัศน์”

ในการบริหารจัดการองค์กรโดยทั่วไป มีการกล่าวกันไว้ว่า หากขาดวิสัยทัศน์และพันธกิจที่ชัดเจน ประเทศหรือองค์กรก็ไม่น่าจะบริหารงานที่มีประสิทธิภาพ ประสิทธิผลที่ดีได้ ตามหลักการบริหารจัดการที่ดี ทั้งในมุมมองของ CG และ ITG ที่ก้าวไปสู่ GRC ซึ่งเป็นการบริหารแบบบูรณาการ ในลักษณะที่เรียกว่า Integrity – Driven Performance ซึ่งผมเคยอธิบายไปแล้ว และหากมีโอกาสผมจะได้มาแบ่งปันข้อมูลในมุมมองอื่น ๆ ต่อไปนะครับ

 

Integrated Audit and Management in practices ตอน 2

ท่านผู้อ่านครับ ใน www.itgthailand.com ผมมีเรื่องที่ตั้งเป็นหมวดหมู่ไว้แลกเปลี่ยนสารสนเทศกับผู้อ่าน รวม 8 หมวดหมู่ด้วยกันนั้น ในที่สุดหมวดหมู่เรื่องต่าง ๆ ตามที่ผมได้แบ่งเอาไว้ให้ท่านผู้อ่านสามารถเลือกติดตามได้ตามที่ท่านสนใจนั้น เมื่อท่านได้อ่านมาถึงในช่วงเวลานี้ ก็จะเริ่มมีข้อสังเกตว่า หมวดหมู่ต่าง ๆ ในแต่ละหัวข้อเริ่มมีความสัมพันธ์และเกี่ยวเนื่องกันมากยิ่งขึ้น +++

อย่างเช่น เรื่องที่เกี่ยวกับ IT Audit และ Non IT Audit เรื่องทั้ง 2 ได้แยกออกเป็น 2 หมวดหมู่อย่างชัดเจนตั้งแต่แรกนั้น แต่ก็ยังไม่ปรากฎว่าผมได้อธิบายแ่ต่ละหมวดหมู่ดังกล่าวที่เกี่ยวข้องกับการตรวจสอบภายในออกจากกันเลยดังที่ตั้งใจไว้แต่ต้น…

ทั้งนี้เพราะผมต้องการให้ท่านเห็นภาพการตรวจสอบภายในที่มีวัตถุประสงค์หลัก ๆ 2 ประการด้วยกันคือ การตรวจสอบเพื่อสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) และให้คำปรึกษา (Consultant) ที่เกี่ยวข้องกับความน่าเชื่อถือได้ของงบการเงิน และรายงานต่าง ๆ รวมทั้งการบริหารความเสี่ยง และการควบคุมภายในเกี่ยวกับความน่าเชื่อถือได้ต่อกระบวนการบริหารและการดำเนินงานขององค์กรว่า รายงานทางการเงินและรายงานที่มิใช่การเงิน มีความถูกต้อง และหากกระบวนการบริหารซึ่งส่วนใหญ่เกี่ยวข้องกับการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ซึ่งมีผลกระทบต่อธุรกิจ และเป้าหมายต่าง ๆ ขององค์กร ผู้ตรวจสอบภายในก็จะให้คำแนะนำ และให้คำปรึกษาต่อผู้มีผลประโยชน์ร่วมที่เกี่ยวข้อง

นอกจากนี้ ผู้ตรวจสอบภายในจะต้องปฏิบัติงานวิชาชีพการตรวจสอบภายในให้เป็นไปตามมาตรฐานสากลตามที่ปรากฎใน International Standards for The Professional Practice of Internal Auditing ซึ่งมีการปรับปรุงเพิ่มเติมและแก้ไขโดยคณะกรรมการวิชาการและวิจัยในระดับสากล ซึ่งประเทศไทยก็ได้ประยุกต์ในการนำหลักการดังกล่าวมาใช้เป็นมาตรฐานการตรวจสอบของผู้ตรวจสอบภายใน ซึ่้งสอดคล้องกับแนวทางการกำกับของสำนักงานคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ซึ่งท่านสามารถติดตามรายละเอียดได้จาก ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546

จากแผนภาพ Control Framework ครั้งที่แล้ว ท่านผู้อ่านจะได้เห็นภาพที่มาของงบการเงิน และรายการทางบัญชีที่สำคัญที่ต้องผ่านกระบวนการปฏิบัติการของระบบงานต่าง ๆ อย่างเป็นลำดับ และผสมผสานกัน ซึ่งจะเกี่ยวข้องกับระบบการประมวลผลทางด้านเทคโนโลยีสารสนเทศ หรืออาจจะกล่าวได้อีกมุมหนึ่งว่า เกี่ยวข้องกับระบบข้อมูลและสารสนเทศที่ผ่านกระบวนการควบคุมในลักษณะอัตโนมัติ (Automated Application Controls) ซึ่งเกี่ยวข้องกับระบบงานต่าง ๆ ทางด้านความมั่นคงปลอดภัยของสารสนเทศอย่างเป็นกระบวนการ ตั้งแต่ Input – Process – Output Control รวมทั้งผลกระทบของการเชื่อมโยงของการประมวลผลดังกล่าวข้างต้น ที่เชื่อมโยงข้ามระบบงานและข้ามสายงานทั่วทั้งองค์กร รวมทั้งบางส่วนจะเกี่ยวข้องกับการควบคุม โดยระบบ Manual หรือด้วยบุคคล (People) ซึ่งเชื่อมโยงและโยงใยไปยังขั้นตอนการประมวลผล ในการประมวลงานทางด้าน Input – Process – Output ในแต่ละระบงานทั่วทั้งองค์กร (Interface Controls)

Risk Map ด้าน Control and Integrated Audit

นอกจากนั้น การควบคุมระบบงานดังกล่าว ยังเชื่อมโยงและเกี่ยวข้องกับระบบ Infrastructure ด้านสารสนเทศ ที่เกี่ยวข้องกับ Database, Platform, Operating System และ Network (โปรดดูแผนภาพที่แสดงในข้อเขียนครั้งที่แล้วอีกครั้ง) ซึ่งในเรื่องนี้จะเกี่ยวข้องกับ IT General Controls โดยอธิบายสั้น ๆ ได้ว่า เป็นการติดตามและตรวจสอบการควบคุมทางด้าน Change Development Security, Computer Operations และ IT Governance +++

ท่านผู้บริหารและผู้ตรวจสอบครับ เมื่อท่านได้อ่านมาถึงช่วงนี้ และได้ดูภาพประกอบจากครั้งที่แล้ว ท่านคงจะเห็นด้วยกับผมนะครับว่า การตรวจสอบความน่าเชื่อถือของงบทางการเิงิน และรายงานทางการเงิน และรายงานอื่น ๆ ที่เกี่ยวข้องกับการบริหารธุรกิจและการจัดการองค์กรนั้น เป็นไปไม่ได้เลยที่ผู้ตรวจสอบภายในจะปฏิบัติงานตรวจสอบทั่วไป โดยไม่คำนึงถึงผลกระทบของความเสี่ยงทางด้าน IT Risk ที่ีมีต่อ Business Process ที่นำผลกระทบไปสู่ Business Objective ในทุกมุมมองของการบริหารจัดการ ตามหลักการของ Business Balance Score Card และ Information Balance Score Card

Slide1

หากท่านพิจารณาว่า การตรวจสอบในลักษณะดั้งเดิม (Conventional Audit) เป็นการตรวจสอบในลักษณะ SILO – Based โดยการแยกการตรวจสอบด้าน IT และการตรวจสอบด้าน Non – IT โดยขาดความเข้าใจในความเสี่ยงโดยรวม โดยเฉพาะทางด้าน IT Risk ที่มีผลต่อ Financial Risk และ Business Risk นั้นจะเป็นการเหมาะสม

นั่นคือ การก้าวไปสู่การตรวจสอบในลักษณะ Integrated Audit และ Integrated Management ตามที่ได้กล่าวไว้ในข้อเขียนครั้งที่แล้ว ซึ่งผมจะอธิบายและขยายความในรายละเอียดต่อ ๆ ไป ในช่วงเวลานี้ อาจจะมีท่านผู้ตรวจสอบ และท่านผู้บริหารบางท่าน อาจมีมุมมองที่แตกต่างกันอย่างมีนัยสำคัญได้นั้น คงต้องขอความกรุณาได้โปรดติดตามข้อเขียนเกี่ยวกับเรื่องนี้ที่จะอธิบายรายละเอียดในหลายมุมมองต่อไปครับ

Integrated Audit และ Integrated Management เป็นส่วนหนึ่งของ Integrated GRC ครับ +++