ตรวจสอบภายใน

จากวิกิพีเดีย สารานุกรมเสรี
ข้ามไปที่การนำทาง ข้ามไปที่การค้นหา

การตรวจสอบภายใน เป็นกิจกรรมการ ให้คำปรึกษาและการรับรองตามวัตถุประสงค์ที่เป็นอิสระออกแบบมาเพื่อเพิ่มมูลค่าและปรับปรุงการดำเนินงานขององค์กร อาจช่วยให้องค์กรบรรลุวัตถุประสงค์โดยนำแนวทางที่เป็นระบบและมีระเบียบวินัยมาใช้เพื่อประเมินและปรับปรุงประสิทธิภาพของกระบวนการบริหารความเสี่ยง การควบคุมและการกำกับดูแล [1]การตรวจสอบภายในอาจบรรลุเป้าหมายนี้โดยการให้ข้อมูลเชิงลึกและคำแนะนำตามการวิเคราะห์และการประเมินข้อมูลและกระบวนการทาง ธุรกิจ [2]ด้วยความมุ่งมั่นในความซื่อสัตย์และ ความ รับผิดชอบการตรวจสอบภายในให้คุณค่าแก่หน่วยงานกำกับดูแลและผู้บริหารระดับสูงในฐานะที่เป็นแหล่งคำแนะนำที่เป็นอิสระ องค์กร จ้าง ผู้เชี่ยวชาญที่เรียกว่าผู้ตรวจสอบ ภายในเพื่อดำเนินกิจกรรมการตรวจสอบภายใน

ขอบเขตของการตรวจสอบภายในภายในองค์กรอาจกว้างและอาจเกี่ยวข้องกับหัวข้อต่างๆ เช่น การกำกับดูแลองค์กร การบริหารความเสี่ยง และการควบคุมการจัดการ: ประสิทธิภาพ/ประสิทธิผลของการดำเนินงาน (รวมถึงการปกป้องทรัพย์สิน) ความน่าเชื่อถือของการรายงานทางการเงินและการจัดการ[3 ] [4]และ การ ปฏิบัติตามกฎหมายและระเบียบข้อบังคับ การตรวจสอบภายในอาจเกี่ยวข้องกับการดำเนินการตรวจสอบการฉ้อโกงเชิงรุกเพื่อระบุการกระทำที่อาจเป็นการฉ้อโกง มีส่วนร่วมในการตรวจสอบการฉ้อโกงภายใต้การดูแลของผู้เชี่ยวชาญด้านการสอบสวนการฉ้อโกง และการดำเนินการตรวจสอบภายหลังการตรวจสอบการฉ้อโกงเพื่อระบุความล้มเหลวของการควบคุมและสร้างความสูญเสียทางการเงิน

ผู้ตรวจสอบภายในจะไม่รับผิดชอบต่อการดำเนินกิจกรรมของบริษัท พวกเขาแนะนำผู้บริหารและคณะกรรมการ (หรือ หน่วยงาน กำกับดูแล ที่คล้ายกัน ) เกี่ยวกับวิธีการดำเนินการตามความรับผิดชอบ ของพวกเขาให้ดี ขึ้น อันเป็นผลมาจากขอบเขตการมีส่วนร่วมที่กว้างขวาง ผู้ตรวจสอบภายในอาจมีภูมิหลังทางการศึกษาและวิชาชีพที่สูงขึ้น

สถาบัน ผู้ตรวจสอบภายใน ( IIA ) เป็นหน่วยงานกำหนดมาตรฐานสากลสำหรับวิชาชีพตรวจสอบภายใน และมอบรางวัลผู้ตรวจสอบภายในที่ผ่านการรับรองในระดับสากลผ่านการสอบข้อเขียนที่เข้มงวด การกำหนดอื่น ๆ มีให้บริการในบางประเทศ [5]ในสหรัฐอเมริกา มาตรฐานวิชาชีพของสถาบันผู้ตรวจสอบภายในได้รับการประมวลผลในกฎเกณฑ์ของรัฐต่างๆ ที่เกี่ยวข้องกับการปฏิบัติงานตรวจสอบภายในของรัฐบาล (รัฐนิวยอร์ก เท็กซัส และฟลอริดาเป็นสามตัวอย่าง) นอกจากนี้ยังมีหน่วยงานกำหนดมาตรฐานสากลอื่นๆ อีกจำนวนหนึ่ง

ผู้ตรวจสอบภายในทำงานให้กับหน่วยงานของรัฐ (รัฐบาลกลาง รัฐ และท้องถิ่น) สำหรับบริษัทที่ซื้อขายในตลาดหลักทรัพย์ และสำหรับบริษัทที่ไม่แสวงหาผลกำไรในทุกอุตสาหกรรม แผนกตรวจสอบภายในนำโดยหัวหน้าผู้บริหารผู้ตรวจสอบบัญชี ("CAE") ซึ่งโดยทั่วไปจะรายงานต่อคณะกรรมการตรวจสอบของคณะกรรมการบริษัทโดยมีการรายงานด้านการบริหารต่อประธานเจ้าหน้าที่บริหาร (ในสหรัฐอเมริกา กฎหมายกำหนดให้มีการรายงานความสัมพันธ์นี้ต่อสาธารณะ บริษัทการค้า)

ประวัติการตรวจสอบภายใน

วิชาชีพตรวจสอบภายในมีวิวัฒนาการอย่างต่อเนื่องตามความก้าวหน้าของวิทยาการจัดการหลังสงครามโลกครั้งที่สอง มีแนวคิดที่คล้ายคลึงกันในหลาย ๆ ด้านสำหรับการตรวจสอบทางการเงินโดย สำนักงาน บัญชีสาธารณะการประกันคุณภาพและกิจกรรมการปฏิบัติตามข้อกำหนดด้านการธนาคาร แม้ว่าเทคนิคการตรวจสอบที่อยู่ภายใต้การตรวจสอบภายในบางส่วนมาจากการให้คำปรึกษาด้านการจัดการและวิชาชีพบัญชีสาธารณะ ทฤษฎีการตรวจสอบภายในมีแนวคิดหลักโดย Lawrence Sawyer (1911–2002) ซึ่งมักเรียกกันว่า "บิดาแห่งการตรวจสอบภายในสมัยใหม่"; [6]และปรัชญา ทฤษฎี และแนวปฏิบัติในปัจจุบันของการตรวจสอบภายในสมัยใหม่ตามที่กำหนดโดย International Professional Practices Framework (IPPF) ของ Institute of Internal Auditors เป็นหนี้วิสัยทัศน์ของ Sawyer เป็นอย่างมาก

ด้วยการดำเนินการในสหรัฐอเมริกาตาม พระราชบัญญัติซาร์บาเน ส-อ็อกซ์ลีย์ พ.ศ. 2545 การเปิดเผยและมูลค่าของวิชาชีพ ได้ รับการปรับปรุง เนื่องจาก ผู้ตรวจสอบภายในจำนวนมากมีทักษะที่จำเป็นในการช่วยให้บริษัทปฏิบัติตามข้อกำหนดของกฎหมาย อย่างไรก็ตาม การมุ่งเน้นโดยฝ่ายตรวจสอบภายในของบริษัทที่ซื้อขายในตลาดหลักทรัพย์เกี่ยวกับนโยบายและขั้นตอนทางการเงินที่เกี่ยวข้องกับ SOX ทำให้ความคืบหน้าของวิชาชีพนี้หยุดชะงักในปลายศตวรรษที่ 20 ที่มีต่อวิสัยทัศน์ของ Larry Sawyer สำหรับการตรวจสอบภายใน เริ่มต้นในราวปี 2010 IIA ได้เริ่มสนับสนุนอีกครั้งสำหรับบทบาทที่กว้างกว่าการตรวจสอบภายในควรมีบทบาทในเวทีขององค์กร โดยสอดคล้องกับปรัชญาของ IPPF [7]

ความเป็นอิสระขององค์กร

แม้ว่าบริษัทจะจ้างผู้ตรวจสอบภายในโดยตรง แต่ก็สามารถบรรลุความเป็นอิสระผ่านความสัมพันธ์ในการรายงาน ความเป็นอิสระและความเป็นกลางเป็นรากฐานที่สำคัญของมาตรฐานวิชาชีพของ IIA; และมีการหารือกันอย่างยาวเหยียดในมาตรฐานและแนวทางปฏิบัติที่สนับสนุนและคำแนะนำในการปฏิบัติงาน ผู้ตรวจสอบภายในมืออาชีพได้รับคำสั่งจากมาตรฐาน IIA ให้เป็นอิสระจากกิจกรรมทางธุรกิจที่พวกเขาตรวจสอบ ความเป็นอิสระและความเที่ยงธรรมนี้เกิดขึ้นได้จากการจัดวางองค์กรและสายการรายงานของแผนกตรวจสอบภายใน ผู้ตรวจสอบภายในของบริษัทที่ซื้อขายในตลาดหลักทรัพย์ในสหรัฐอเมริกาต้องรายงานตามหน้าที่ต่อคณะกรรมการบริษัทโดยตรง หรือคณะอนุกรรมการของคณะกรรมการบริษัท (โดยทั่วไปคือคณะกรรมการตรวจสอบ) และไม่ต้องรายงานให้ฝ่ายจัดการ ยกเว้นเพื่อวัตถุประสงค์ในการบริหาร

ความ เป็นอิสระขององค์กรที่จำเป็นจากฝ่ายบริหารช่วยให้สามารถประเมินกิจกรรมการจัดการและบุคลากรได้ไม่จำกัด และช่วยให้ผู้ตรวจสอบ ภายใน สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิผล แม้ว่าผู้ตรวจสอบภายในจะเป็นส่วนหนึ่งของการจัดการของบริษัทและจ่ายโดยบริษัท แต่ลูกค้าหลักของ กิจกรรมการ ตรวจสอบ ภายใน คือหน่วยงานที่มีหน้าที่กำกับดูแลกิจกรรมของฝ่ายจัดการ โดยทั่วไปจะเป็นคณะกรรมการตรวจสอบ คณะอนุกรรมการของคณะกรรมการบริษัท. ความเป็นอิสระขององค์กรจะเกิดขึ้นอย่างมีประสิทธิภาพเมื่อหัวหน้าฝ่ายตรวจสอบผู้บริหารรายงานต่อคณะกรรมการตามหน้าที่ ตัวอย่างการรายงานการปฏิบัติงานต่อคณะกรรมการที่เกี่ยวข้องกับคณะกรรมการ: [8] การอนุมัติกฎบัตรการตรวจสอบภายใน; การอนุมัติแผนการตรวจสอบภายในตามความเสี่ยง อนุมัติงบประมาณการตรวจสอบภายในและแผนทรัพยากร การรับการสื่อสารจากหัวหน้าผู้ตรวจสอบบัญชีเกี่ยวกับผลการปฏิบัติงานของกิจกรรมการตรวจสอบภายในที่สัมพันธ์กับแผนงานและเรื่องอื่นๆ อนุมัติการตัดสินใจเกี่ยวกับการแต่งตั้งและถอดถอนหัวหน้าผู้ตรวจสอบบัญชี อนุมัติค่าตอบแทนของหัวหน้าฝ่ายตรวจสอบ และการสอบถามผู้บริหารและหัวหน้าฝ่ายตรวจสอบที่เหมาะสมเพื่อพิจารณาว่ามีขอบเขตหรือข้อจำกัดด้านทรัพยากรที่ไม่เหมาะสมหรือไม่

บทบาทการควบคุมภายใน

กิจกรรมการตรวจสอบภายในมุ่งเป้าไปที่การประเมินการควบคุมภายใน เป็น หลัก ภายใต้ กรอบแนวคิดของ COSOการควบคุมภายในถูกกำหนดอย่างกว้างๆ เป็นกระบวนการ ซึ่งได้รับผลกระทบจากคณะกรรมการ ผู้บริหาร และบุคลากรอื่นๆ ของกิจการ ซึ่งได้รับการออกแบบมาเพื่อให้การรับรองตามสมควรเกี่ยวกับการบรรลุวัตถุประสงค์หลักต่อไปนี้ซึ่งธุรกิจทั้งหมดพยายาม:

  • ประสิทธิผลและประสิทธิภาพของการดำเนินงาน
  • ความน่าเชื่อถือของการรายงานทางการเงินและการจัดการ
  • การปฏิบัติตามกฎหมายและข้อบังคับ
  • การปกป้องทรัพย์สิน

ฝ่ายบริหารมีหน้าที่รับผิดชอบในการควบคุมภายใน ซึ่งประกอบด้วยห้าองค์ประกอบที่สำคัญ ได้แก่ สภาพแวดล้อมการควบคุม การประเมินความเสี่ยง; กิจกรรมการควบคุมที่เน้นความเสี่ยง ข้อมูลและการสื่อสาร และติดตามกิจกรรม ผู้จัดการกำหนดนโยบาย กระบวนการ และแนวทางปฏิบัติในองค์ประกอบทั้งห้าของการควบคุมการจัดการเพื่อช่วยให้องค์กรบรรลุวัตถุประสงค์เฉพาะสี่ประการที่ระบุไว้ข้างต้น ผู้ตรวจสอบภายในดำเนินการตรวจสอบเพื่อประเมินว่าองค์ประกอบทั้งห้าของการควบคุมการจัดการมีอยู่หรือไม่และดำเนินการอย่างมีประสิทธิภาพหรือไม่ และหากไม่มี ให้ให้คำแนะนำสำหรับการปรับปรุง

ในสหรัฐอเมริกา หน่วยงานตรวจสอบภายในจะทดสอบการยืนยันการควบคุมของฝ่ายบริหารและรายงานต่อคณะกรรมการตรวจสอบของบริษัทในคณะกรรมการบริษัทอย่างอิสระ

บทบาทในการบริหารความเสี่ยง

มาตรฐานวิชาชีพตรวจสอบภายในกำหนดให้มีหน้าที่ในการประเมินประสิทธิผลของกิจกรรมการบริหารความเสี่ยง ขององค์กร การจัดการความเสี่ยงเป็นกระบวนการที่องค์กรระบุ วิเคราะห์ ตอบสนอง รวบรวมข้อมูลและติดตามความเสี่ยงเชิงกลยุทธ์ที่อาจส่งผลกระทบจริงหรืออาจส่งผลกระทบต่อความสามารถขององค์กรในการบรรลุภารกิจและวัตถุประสงค์

ภายใต้กรอบการจัดการความเสี่ยงขององค์กร (ERM) ขององค์กรCOSO วัตถุประสงค์ของกลยุทธ์ การดำเนินงาน การรายงาน และการปฏิบัติตามข้อกำหนดทั้งหมดมีความเสี่ยงทางธุรกิจเชิงกลยุทธ์ที่เกี่ยวข้อง ซึ่งเป็นผลลัพธ์เชิงลบที่เกิดจากเหตุการณ์ภายในและภายนอกที่ขัดขวางความสามารถขององค์กรในการบรรลุวัตถุประสงค์ ฝ่ายบริหารประเมินความเสี่ยงโดยเป็นส่วนหนึ่งของกิจกรรมทางธุรกิจตามปกติ เช่น การวางแผนเชิงกลยุทธ์ การวางแผนการตลาด การวางแผนเงินทุน การจัดทำงบประมาณ การป้องกันความเสี่ยง โครงสร้างการจ่ายเงินจูงใจ แนวทางปฏิบัติด้านสินเชื่อ/การให้กู้ยืม การควบรวมกิจการ หุ้นส่วนเชิงกลยุทธ์ การเปลี่ยนแปลงทางกฎหมาย การดำเนินธุรกิจในต่างประเทศ เป็นต้น Sarbanes–Oxleyข้อบังคับกำหนดให้มีการประเมินความเสี่ยงอย่างครอบคลุมของกระบวนการรายงานทางการเงิน ที่ปรึกษากฎหมายขององค์กรมักจะเตรียมการประเมินที่ครอบคลุมเกี่ยวกับการดำเนินคดีในปัจจุบันและที่อาจเกิดขึ้นที่บริษัทต้องเผชิญ ผู้ตรวจสอบภายในอาจประเมินแต่ละกิจกรรมเหล่านี้ หรือมุ่งเน้นที่กระบวนการที่ครอบคลุมซึ่งใช้เพื่อจัดการความเสี่ยงทั่วทั้งองค์กร ตัวอย่างเช่น ผู้ตรวจสอบภายในสามารถแนะนำผู้บริหารเกี่ยวกับการรายงานมาตรการปฏิบัติการเชิงคาดการณ์ล่วงหน้าต่อคณะกรรมการ เพื่อช่วยระบุความเสี่ยงที่เกิดขึ้นใหม่ หรือผู้ตรวจสอบภายในสามารถประเมินและรายงานว่าคณะกรรมการและผู้มีส่วนได้ส่วนเสียอื่นๆ สามารถให้ความมั่นใจตามสมควรได้หรือไม่ว่าทีมผู้บริหารขององค์กรได้ดำเนินการตามแผนการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผล

ในองค์กรขนาดใหญ่ มีการริเริ่มเชิงกลยุทธ์ที่สำคัญเพื่อให้บรรลุวัตถุประสงค์และขับเคลื่อนการเปลี่ยนแปลง ในฐานะสมาชิกของผู้บริหารระดับสูง หัวหน้าผู้ตรวจสอบบัญชี (CAE) อาจมีส่วนร่วมในการอัปเดตสถานะเกี่ยวกับความคิดริเริ่มที่สำคัญเหล่านี้ สิ่งนี้ทำให้ CAE อยู่ในฐานะที่จะรายงานความเสี่ยงที่สำคัญหลายประการที่องค์กรต้องเผชิญต่อคณะกรรมการตรวจสอบ หรือทำให้แน่ใจว่าการรายงานของฝ่ายบริหารมีประสิทธิผลสำหรับวัตถุประสงค์นั้น

หน่วยงานตรวจสอบภายในอาจช่วยองค์กรในการจัดการความเสี่ยงจากการฉ้อโกงผ่านการประเมินความเสี่ยงจากการทุจริต โดยใช้หลักการของการป้องปรามการทุจริต ผู้ตรวจสอบภายในอาจช่วยบริษัทต่างๆ ในการสร้างและรักษากระบวนการบริหารความเสี่ยงขององค์กร [9]กระบวนการนี้มีมูลค่าอย่างสูงจากธุรกิจจำนวนมากในการจัดตั้งและดำเนินการระบบการจัดการที่มีประสิทธิภาพและรับประกันคุณภาพและการรักษามาตรฐานอย่างมืออาชีพ[10] ผู้ตรวจสอบภายในยังมีบทบาทสำคัญในการช่วยให้บริษัทต่างๆ ดำเนินการประเมินความเสี่ยงจากบนลงล่าง SOX 404 . ในสองประเด็นหลังนี้ ผู้ตรวจสอบภายในมักจะเป็นส่วนหนึ่งของทีมประเมินความเสี่ยงในบทบาทที่ปรึกษา

บทบาทในการกำกับดูแลกิจการ

กิจกรรมการตรวจสอบภายในที่เกี่ยวข้องกับการกำกับดูแลกิจการในอดีตมักเป็นไปอย่างไม่เป็นทางการ โดยส่วนใหญ่แล้วจะสำเร็จได้จากการมีส่วนร่วมในการประชุมและหารือกับสมาชิกคณะกรรมการบริษัท ตามกรอบงาน ERM ของ COSO ธรรมาภิบาลคือนโยบาย กระบวนการ และโครงสร้างที่ผู้นำขององค์กรใช้ในการกำกับดูแลกิจกรรม บรรลุวัตถุประสงค์ และปกป้องผลประโยชน์ของกลุ่มผู้มีส่วนได้ส่วนเสียที่หลากหลายในลักษณะที่สอดคล้องกับมาตรฐานทางจริยธรรม ผู้ตรวจสอบภายในมักถูกมองว่าเป็นหนึ่งใน "สี่เสาหลัก" ของการกำกับดูแลกิจการ เสาหลักอื่นๆ ได้แก่ คณะกรรมการบริษัท ฝ่ายจัดการ และผู้ตรวจสอบภายนอก (11)

จุดเน้นหลักของการตรวจสอบภายในที่เกี่ยวข้องกับการกำกับดูแลกิจการคือการช่วยให้คณะกรรมการตรวจสอบของคณะกรรมการ (หรือเทียบเท่า) ปฏิบัติหน้าที่อย่างมีประสิทธิภาพ ซึ่งอาจรวมถึงการรายงานปัญหาการควบคุมการจัดการที่สำคัญ การเสนอคำถามหรือหัวข้อสำหรับวาระการประชุมของคณะกรรมการตรวจสอบ และการประสานงานกับผู้ตรวจสอบภายนอกและฝ่ายจัดการเพื่อให้มั่นใจว่าคณะกรรมการจะได้รับข้อมูลที่มีประสิทธิผล ในช่วงไม่กี่ปีที่ผ่านมา IIA ได้สนับสนุนการประเมินการกำกับดูแลกิจการที่เป็นทางการมากขึ้น โดยเฉพาะอย่างยิ่งในด้านของการกำกับดูแลความเสี่ยงขององค์กร จริยธรรมขององค์กร และการฉ้อโกง

ตรวจสอบการเลือกโครงการหรือ "แผนการตรวจสอบประจำปี"

จากการประเมินความเสี่ยงขององค์กร ผู้ตรวจสอบภายใน ฝ่ายบริหาร และคณะกรรมการกำกับดูแลจะกำหนดจุดที่จะเน้นความพยายามในการตรวจสอบภายใน การมุ่งเน้นหรือการจัดลำดับความสำคัญนี้เป็นส่วนหนึ่งของแผนการตรวจสอบประจำปี /หลายปีหลายปี โดย ทั่วไป แผนการตรวจสอบจะเสนอโดย CAE (บางครั้งอาจมีทางเลือกหรือทางเลือกหลายทาง) สำหรับการทบทวนและอนุมัติของคณะกรรมการตรวจสอบหรือคณะกรรมการบริษัท โดยทั่วไปแล้ว กิจกรรมการตรวจสอบภายในจะดำเนินการโดยมอบหมายงานที่ไม่ต่อเนื่องกันตั้งแต่หนึ่งงานขึ้นไป

ควรปรับให้เข้ากับวัตถุประสงค์เฉพาะของการตรวจสอบ และการเลือกวิธีการตรวจสอบต้องปรับให้เข้ากับวัตถุประสงค์เฉพาะ มิฉะนั้นจะเบี่ยงเบนไปจากวัตถุประสงค์ของการตรวจสอบ (12)

การดำเนินการตรวจสอบภายใน

งานตรวจสอบภายในทั่วไป[13]ประกอบด้วยขั้นตอนต่อไปนี้:

  1. กำหนดและสื่อสารขอบเขตและวัตถุประสงค์ของการตรวจสอบแก่สมาชิกฝ่ายบริหารที่เหมาะสม
  2. การพัฒนาความเข้าใจในส่วนธุรกิจที่อยู่ระหว่างการตรวจสอบ ซึ่งรวมถึงวัตถุประสงค์ การวัดผล และประเภทธุรกรรมหลัก และเกี่ยวข้องกับการสัมภาษณ์และการทบทวนเอกสาร อาจสร้างผังงานและการเล่าเรื่องได้ หากจำเป็น
  3. อธิบายความเสี่ยงที่สำคัญที่เผชิญกับกิจกรรมทางธุรกิจภายในขอบเขตของการตรวจสอบ
  4. การระบุวิธีปฏิบัติในการจัดการในห้าองค์ประกอบของการควบคุมที่ใช้เพื่อให้มั่นใจว่าความเสี่ยงที่สำคัญแต่ละรายการได้รับการควบคุมและติดตามอย่างเหมาะสม รายการตรวจสอบการตรวจสอบภายใน[14]สามารถเป็นเครื่องมือที่เป็นประโยชน์ในการระบุความเสี่ยงทั่วไปและการควบคุมที่ต้องการในกระบวนการเฉพาะหรืออุตสาหกรรมเฉพาะที่กำลังตรวจสอบ
  5. พัฒนาและดำเนินการสุ่มตัวอย่างตามความเสี่ยงและแนวทางการทดสอบเพื่อพิจารณาว่าการควบคุมการจัดการที่สำคัญที่สุดนั้นเป็นไปตามที่ตั้งใจไว้หรือไม่
  6. การรายงานปัญหาและความท้าทายที่ระบุและการเจรจาแผนปฏิบัติการกับฝ่ายจัดการเพื่อแก้ไขปัญหาเหล่านี้
  7. ติดตามผลการรายงานผลเป็นระยะที่เหมาะสม ฝ่ายตรวจสอบภายในจะรักษาฐานข้อมูลติดตามผลเพื่อการนี้

ระยะเวลาการมอบหมายการตรวจสอบจะแตกต่างกันไปตามความซับซ้อนของกิจกรรมที่กำลังตรวจสอบและทรัพยากรการตรวจสอบภายในที่มีอยู่ หลายขั้นตอนข้างต้นเป็นการทำซ้ำและอาจไม่ทั้งหมดเกิดขึ้นในลำดับที่ระบุ

นอกเหนือจากการประเมินกระบวนการทางธุรกิจ ผู้เชี่ยวชาญที่เรียกว่าผู้ตรวจสอบเทคโนโลยีสารสนเทศ (IT) จะตรวจสอบ การควบคุมเทคโนโลยีสารสนเทศ

รายงานการตรวจสอบภายใน

ผู้ตรวจสอบภายในมักออกรายงานเมื่อสิ้นสุดการตรวจสอบแต่ละครั้ง โดยสรุปสิ่งที่พบ คำแนะนำ และคำตอบหรือแผนปฏิบัติการจากฝ่ายบริหาร รายงานการตรวจสอบอาจมีบทสรุปสำหรับผู้บริหาร—หน่วยงานที่รวมประเด็นหรือข้อค้นพบที่ระบุและคำแนะนำที่เกี่ยวข้องหรือแผนปฏิบัติการ และข้อมูลภาคผนวก เช่น กราฟและแผนภูมิโดยละเอียดหรือข้อมูลกระบวนการ การตรวจสอบแต่ละรายการภายในเนื้อหาของรายงานอาจมีห้าองค์ประกอบ ซึ่งบางครั้งเรียกว่า "5 C":

  1. เงื่อนไข: อะไรคือปัญหาที่ระบุ?
  2. เกณฑ์: มาตรฐานที่ไม่เป็นไปตามมาตรฐานคืออะไร? มาตรฐานอาจเป็นนโยบายของบริษัทหรือเกณฑ์มาตรฐานอื่นๆ
  3. สาเหตุ: เหตุใดจึงเกิดปัญหาขึ้น
  4. ผลที่ตามมา: อะไรคือความเสี่ยง/ผลลัพธ์เชิงลบ (หรือโอกาสที่หายไป) เนื่องจากการค้นพบนี้?
  5. การดำเนินการแก้ไข: ผู้บริหารควรทำอย่างไรกับการค้นพบนี้ พวกเขาตกลงที่จะทำอะไรและเมื่อไหร่?

ข้อเสนอแนะในรายงานการตรวจสอบภายในได้รับการออกแบบมาเพื่อช่วยให้องค์กรบรรลุผลการกำกับดูแล ความเสี่ยง และกระบวนการควบคุมที่เกี่ยวข้องกับวัตถุประสงค์ในการดำเนินงาน วัตถุประสงค์การรายงานทางการเงินและการจัดการ และวัตถุประสงค์ในการปฏิบัติตามกฎหมาย/ระเบียบข้อบังคับ

ผลการตรวจสอบและคำแนะนำอาจเกี่ยวข้องกับการยืนยันเฉพาะเกี่ยวกับธุรกรรม เช่น ธุรกรรมที่ตรวจสอบถูกต้องหรือได้รับอนุญาต ประมวลผลอย่างสมบูรณ์ ประเมินมูลค่าอย่างถูกต้อง ดำเนินการในระยะเวลาที่ถูกต้อง และเปิดเผยอย่างเหมาะสมในการรายงานทางการเงินหรือการปฏิบัติงาน รวมถึงองค์ประกอบอื่นๆ

ภายใต้มาตรฐาน IIA องค์ประกอบที่สำคัญของกระบวนการตรวจสอบคือการจัดทำรายงานที่สมดุลซึ่งเปิดโอกาสให้ผู้บริหารและคณะกรรมการประเมินและชั่งน้ำหนักประเด็นที่จะรายงานในบริบทและมุมมองที่เหมาะสม ในการให้มุมมอง การวิเคราะห์ และคำแนะนำที่ใช้การได้สำหรับการปรับปรุงธุรกิจในด้านที่สำคัญ ผู้ตรวจสอบช่วยให้องค์กรบรรลุวัตถุประสงค์

รายงานคุณภาพการตรวจสอบภายใน[15]

  • ความเที่ยงธรรม –ความคิดเห็นและความคิดเห็นที่แสดงในรายงานควรมีวัตถุประสงค์และเป็นกลาง
  • ความชัดเจน –ภาษาที่ใช้ควรเรียบง่ายและตรงไปตรงมา
  • ความถูกต้อง –ข้อมูลในรายงานควรถูกต้อง
  • ความ กะทัดรัด –รายงานควรกระชับ
  • ความทัน เวลา –ควรเผยแพร่รายงานทันทีหลังจากสรุปการตรวจสอบภายในหนึ่งเดือน

กลยุทธ์

หน่วยงานตรวจสอบภายในอาจพัฒนากลยุทธ์การ ทำงานตามที่ อธิบายไว้ในแผนกลยุทธ์หลายปี คำแนะนำอย่างมืออาชีพในการสร้างแผนกลยุทธ์การตรวจสอบภายในออกโดยสถาบันผู้ตรวจสอบภายในในเดือนกรกฎาคม 2555 ผ่านแนวปฏิบัติที่เรียกว่าการพัฒนาแผนกลยุทธ์การตรวจสอบภายใน [16] ลักษณะสำคัญของการพัฒนากลยุทธ์ IA คือการทำความเข้าใจความคาดหวังของผู้มีส่วนได้ส่วนเสีย เช่น คณะกรรมการตรวจสอบและผู้บริหารระดับสูง ซึ่งจะช่วยชี้นำการทำงานของ IA ในภารกิจในการช่วยองค์กรจัดการกับความเสี่ยงที่เผชิญอยู่ หัวข้อเฉพาะที่พิจารณาในการวางแผนเชิงกลยุทธ์ของ IA ได้แก่:

  • ขอบเขตและความสำคัญ: หน่วยงาน IA อาจเกี่ยวข้องกับการจัดการความเสี่ยงที่เกี่ยวข้องกับการรายงานทางการเงิน การดำเนินงาน การปฏิบัติตามกฎหมายและระเบียบข้อบังคับ และกลยุทธ์ของบริษัท อาจมีหัวข้อพิเศษที่น่าสนใจสำหรับผู้มีส่วนได้ส่วนเสียที่เปลี่ยนแปลงไปอย่างมากทุกปี
  • ผลงานบริการ: หน่วยงาน IA อาจให้การรับรองการตรวจสอบแบบดั้งเดิมในสเปกตรัมความเสี่ยงตลอดจนการสนับสนุนโครงการให้คำปรึกษาในด้านต่างๆ เช่น การจัดการโครงการ การวิเคราะห์ข้อมูล และการตรวจสอบความคิดริเริ่มของบริษัทรายใหญ่ หน้าที่การตรวจสอบที่ใหญ่ขึ้นอาจสร้างพื้นที่พิเศษเพื่อจัดการกับพอร์ตบริการของพวกเขา
  • การพัฒนาความสามารถ: ความคาดหวังของผู้มีส่วนได้ส่วนเสียเกี่ยวกับขอบเขตและพอร์ตบริการจะเป็นตัวกำหนดความสามารถที่หน่วยงานต้องการ ซึ่งจะเป็นตัวขับเคลื่อนการตัดสินใจเกี่ยวกับการจ้างทักษะเฉพาะและโปรแกรมการฝึกอบรม หน่วยงานตรวจสอบภายในมักใช้เป็น "พื้นที่ฝึกอบรมด้านการจัดการ" เพื่อให้พนักงานมีความรู้เชิงลึกเกี่ยวกับการดำเนินงานของบริษัทก่อนที่จะหมุนเวียนเข้าสู่ตำแหน่งผู้บริหาร [17]
  • เทคโนโลยี: ฟังก์ชัน IA ใช้เครื่องมือ/ซอฟต์แวร์เทคโนโลยีที่หลากหลายเพื่อสนับสนุนเวิร์กโฟลว์กระบวนการตรวจสอบ การวิเคราะห์ทางสถิติ และการรับข้อมูลจากระบบ

การสร้างกลยุทธ์ IA อาจเกี่ยวข้องกับ แนวคิดและกรอบ การจัดการเชิงกลยุทธ์ ที่หลากหลาย เช่นการวางแผนเชิงกลยุทธ์ การคิดเชิงกลยุทธ์และการวิเคราะห์ SWOT [16]

หัวข้ออื่นๆ

การวัดฟังก์ชันการตรวจสอบภายใน

การวัดผลการทำงานของการตรวจสอบภายในอาจเกี่ยวข้องกับวิธีการ จัดทำ ดัชนีชี้วัดที่สมดุล [18]หน่วยงานตรวจสอบภายในจะได้รับการประเมินโดยพิจารณาจากคุณภาพของที่ปรึกษาและข้อมูลที่ให้กับคณะกรรมการตรวจสอบและผู้บริหารระดับสูง อย่างไรก็ตาม นี่เป็นคุณภาพในเบื้องต้น ดังนั้นจึงวัดได้ยาก "แบบสำรวจลูกค้า" ที่ส่งไปยังผู้จัดการหลักหลังจากงานตรวจสอบหรือรายงานแต่ละครั้งสามารถใช้เพื่อวัดผลการปฏิบัติงานโดยมีการสำรวจประจำปีต่อคณะกรรมการตรวจสอบ การให้คะแนนในมิติต่างๆ เช่น ความเป็นมืออาชีพ คุณภาพของที่ปรึกษา ความตรงต่อเวลาของผลิตภัณฑ์ ประโยชน์ของการประชุม และคุณภาพของการอัปเดตสถานะเป็นเรื่องปกติสำหรับแบบสำรวจดังกล่าว การทำความเข้าใจความคาดหวังของผู้บริหารระดับสูงและคณะกรรมการตรวจสอบถือเป็นขั้นตอนสำคัญในการพัฒนากระบวนการวัดผลการปฏิบัติงาน ตลอดจนวิธีที่มาตรการดังกล่าวช่วยจัดตำแหน่งหน้าที่การตรวจสอบให้สอดคล้องกับลำดับความสำคัญขององค์กร [19] [20] การทบทวนโดยอิสระเป็นส่วนหนึ่งของกระบวนการประกันคุณภาพสำหรับกลุ่มผู้ตรวจสอบภายในหลายกลุ่ม เนื่องจากมักเป็นข้อกำหนดของมาตรฐาน [21]ผลลัพธ์ของรายงานการตรวจสอบโดยเพื่อนจะเผยแพร่ต่อคณะกรรมการตรวจสอบ

รายงานการค้นพบที่สำคัญ

หัวหน้าฝ่ายตรวจสอบบัญชี ( CAE) มักจะรายงานประเด็นที่สำคัญที่สุดต่อคณะกรรมการตรวจสอบทุกไตรมาส พร้อมกับความคืบหน้าของฝ่ายบริหารในการแก้ไขปัญหา ปัญหาที่สำคัญมักมีแนวโน้มที่สมเหตุสมผลที่จะก่อให้เกิดความเสียหายทางการเงินหรือชื่อเสียงแก่บริษัท สำหรับปัญหาที่ซับซ้อนโดยเฉพาะ ผู้จัดการที่รับผิดชอบอาจเข้าร่วมในการอภิปราย การรายงานดังกล่าวมีความสำคัญอย่างยิ่งเพื่อให้แน่ใจว่ามีการเคารพหน้าที่การทำงาน มี " น้ำเสียงที่ด้านบน " ที่เหมาะสมอยู่ในองค์กร และเพื่อเร่งแก้ไขปัญหาดังกล่าว ต้องใช้ดุลยพินิจอย่างมากในการเลือกประเด็นที่เหมาะสมเพื่อให้คณะกรรมการตรวจสอบพิจารณาและอธิบายในบริบทที่เหมาะสม

ปรัชญาการตรวจสอบ

ปรัชญาและแนวทางการตรวจสอบภายในบางส่วนมาจากผลงานของ Lawrence Sawyer ปรัชญาและแนวทางของเขาเกี่ยวกับบทบาทของการตรวจสอบภายในคือบรรพบุรุษของคำจำกัดความปัจจุบันของการตรวจสอบภายใน โดยเน้นที่การช่วยเหลือผู้บริหารและคณะกรรมการในการบรรลุวัตถุประสงค์ขององค์กรผ่านการตรวจสอบ การประเมิน และการวิเคราะห์พื้นที่ปฏิบัติงานที่มีเหตุมีผล เขาสนับสนุนให้ผู้ตรวจสอบภายในสมัยใหม่ทำหน้าที่เป็นที่ปรึกษาฝ่ายบริหารมากกว่าที่จะเป็นปฏิปักษ์ ซอว์เยอร์มองว่าผู้ตรวจสอบบัญชีเป็นผู้เล่นที่มีส่วนร่วมซึ่งมีอิทธิพลต่อเหตุการณ์ในธุรกิจมากกว่าการวิพากษ์วิจารณ์ข้อผิดพลาดและข้อผิดพลาดทุกระดับ นอกจากนี้ เขายังมองเห็นอนาคตของผู้ตรวจสอบบัญชีที่เป็นที่ต้องการมากขึ้น ซึ่งเกี่ยวข้องกับความสัมพันธ์ที่แน่นแฟ้นยิ่งขึ้นกับสมาชิกของคณะกรรมการตรวจสอบและคณะกรรมการ และการหย่าร้างจากการรายงานโดยตรงต่อประธานเจ้าหน้าที่ฝ่ายการเงิน[22]

ซอว์เยอร์มักพูดถึง "การจับผู้จัดการทำสิ่งที่ถูกต้อง" และให้การยอมรับและการสนับสนุนในเชิงบวก การเขียนข้อสังเกตเชิงบวกในรายงานการตรวจสอบนั้นแทบจะไม่ได้ทำจนกว่าซอว์เยอร์จะเริ่มพูดถึงแนวคิดนี้ เขาเข้าใจและคาดการณ์ถึงประโยชน์ของการรายงานที่สมดุลมากขึ้น ในขณะเดียวกันก็สร้างความสัมพันธ์ที่ดีขึ้นไปพร้อม ๆ กัน ซอว์เยอร์เข้าใจจิตวิทยาของพลวัตระหว่างบุคคลและความจำเป็นที่ทุกคนจะได้รับการตอบรับและการตรวจสอบความถูกต้องสำหรับความสัมพันธ์ที่จะเจริญรุ่งเรือง [22]

ซอว์เยอร์ช่วยทำให้การตรวจสอบภายในมีความเกี่ยวข้องและน่าสนใจยิ่งขึ้นผ่านการมุ่งเน้นที่การตรวจสอบการปฏิบัติงานหรือการปฏิบัติงาน เขาสนับสนุนอย่างยิ่งให้มองข้ามงบการเงินและการตรวจสอบที่เกี่ยวข้องกับการเงินในด้านต่างๆ เช่น การจัดซื้อ การจัดเก็บและการจัดจำหน่าย ทรัพยากรบุคคล เทคโนโลยีสารสนเทศ การจัดการสิ่งอำนวยความสะดวก การบริการลูกค้า การปฏิบัติงานภาคสนาม และการจัดการโปรแกรม แนวทางนี้ช่วยให้หัวหน้าผู้ตรวจสอบบัญชีได้รับบทบาทเป็นที่ปรึกษาที่มีความรู้และเคารพนับถือ ซึ่งคิดว่ามีเหตุผล มีเหตุผล และมีความกังวลเกี่ยวกับการช่วยให้องค์กรบรรลุเป้าหมายตามที่ระบุไว้ [22]

ดูเพิ่มเติม

อ้างอิง

  1. ^ คำจำกัดความของการตรวจสอบของ IIA
  2. ^ Wood, David A. (พฤษภาคม 2012). "ความเชื่อมั่นของผู้จัดการองค์กรตามข้อเสนอแนะของผู้ตรวจสอบภายใน". การตรวจสอบ: วารสารปฏิบัติและทฤษฎี . 31 (2): 151–166. ดอย : 10.2308/ajpt-10234 .
  3. ^ วูด เดวิด เอ. (กรกฎาคม 2552). "การตรวจสอบคุณภาพภายในและการจัดการรายได้". สอบบัญชี . 84 (4): 1255–1280. ดอย : 10.2308/accr.2009.84.4.1255 . S2CID 154999202 . 
  4. ^ Wood, David A. (กันยายน 2013). "การศึกษาเชิงพรรณนาของปัจจัยที่เกี่ยวข้องกับนโยบายหน่วยงานตรวจสอบภายในที่มีผลกระทบ: การเปรียบเทียบระหว่างองค์กรในประเทศที่พัฒนาแล้วและเศรษฐกิจเกิดใหม่" ตุรกีศึกษา . 14 (3): 581–606. ดอย : 10.1080/14683849.2013.833019 . S2CID 145381015 . 
  5. ^ "ใบรับรองของสหราชอาณาจักรและไอร์แลนด์" . Eciia.eu 2013-06-25. เก็บถาวรจากต้นฉบับเมื่อ 2013-08-20 . สืบค้นเมื่อ2013-09-04 .
  6. ^ "ประวัติ IIA และวิวัฒนาการของการตรวจสอบภายใน" (PDF ) สืบค้นเมื่อ2013-09-04 .
  7. ^ "นิตยสารผู้ตรวจสอบภายใน" . na.theiia.org. 2000-01-01 . สืบค้นเมื่อ2013-09-04 .
  8. ^ "หน้า – มาตรฐาน" . theiia.org .
  9. ^ "บทบาทของการตรวจสอบภายในใน ERM" . เก็บถาวรจากต้นฉบับเมื่อ 2013-09-05 . สืบค้นเมื่อ2013-09-04 .
  10. ^ "การรับรองและการฝึกอบรม ECAAS" . สืบค้นเมื่อ2015-06-16 .
  11. ^ "บทความ IIA "ลุกขึ้นยืน"" . Findarticles.com . สืบค้นเมื่อ2013-09-04 .
  12. ^ "การจัดการการตรวจสอบภายใน" , คู่มือการตรวจสอบภายใน , เบอร์ลิน, ไฮเดลเบิร์ก: สปริงเกอร์ เบอร์ลิน ไฮเดลเบิร์ก, pp. 547–552, 2008, ดอย : 10.1007/978-3-540-70887-2_35 , ISBN 978-3-540-70886-5, เรียกข้อมูลเมื่อ 2020-11-14
  13. เดวิด กริฟฟิธส์. "การตรวจสอบภายใน – ตามความเสี่ยง – บทนำ" . internalaudit.biz _
  14. ^ "รายการตรวจสอบการตรวจสอบภายในของกระบวนการต่างๆ" . ผู้เชี่ยวชาญด้านการตรวจสอบภายใน internalauditextert.in. เก็บถาวรจากต้นฉบับเมื่อ 13 ธันวาคม 2556 . สืบค้นเมื่อ12 ธันวาคม 2556 .
  15. ^ "รูปแบบรายงานการตรวจสอบภายใน" . internalauditextert.in . เก็บถาวรจากต้นฉบับเมื่อ 7 ธันวาคม 2556 . สืบค้นเมื่อ3 ธันวาคม 2556 .
  16. ^ a b "หน้า – การพัฒนาคู่มือการปฏิบัติงานแผนยุทธศาสตร์การตรวจสอบภายใน " theiia.org .
  17. ^ Wood, David A. (พฤศจิกายน 2011). "ผลของการใช้หน่วยงานตรวจสอบภายในเป็นพื้นที่ฝึกอบรมการจัดการต่อการตัดสินใจพึ่งพาของผู้ตรวจสอบภายนอก" สอบบัญชี . 86 (6): 2131–2154. ดอย : 10.2308/accr-10136 .
  18. Frigo, Mark L. A Balanced Scorecard Framework สำหรับแผนกตรวจสอบภายใน มูลนิธิวิจัยไอไอเอ. Altamonte Springs, FL.: 2002
  19. ^ "รายงานการศึกษา-ความรู้ IIA-GAIN—การวัดผลการปฏิบัติงานตรวจสอบภายใน—กันยายน 2552 " ทีไอเอ.org 2000-01-01. เก็บถาวรจากต้นฉบับเมื่อ 2012-03-08 . สืบค้นเมื่อ2013-09-04 .
  20. ^ "PWC-2012 State of the Internal Audit Profession Survey-มีนาคม 2555" . Pwc.com. 2012-03-20 . สืบค้นเมื่อ2013-09-04 .
  21. ^ "Peer Review: IIA, GAGAS และ ISSAI" . projectauditors.com. 2012-01-01 . สืบค้นเมื่อ2014-03-26 .
  22. อรรถเป็น c ซอว์เยอร์ ลอว์เรนซ์ (2003) การตรวจสอบภายในของซอว์เยอร์ ฉบับที่ 5 สถาบันผู้ตรวจสอบภายใน. ISBN 978-0894135095.