“การควบคุมภายในและการจัดทารายงาน
ภาคปฏิบตั ”ิ
บรรยายโดย สุรพงษ์ ชูรงั สฤษฎ์ ิ CIA, CPIA
•กรรมการสมาคมผูต้ รวจสอบภายในแห่งประเทศไทย
•ผจก.ฝ่ ายตรวจสอบ ธนาคารนครหลวงไทย
•กรรมการตรวจสอบ บมจ.ริชเอเชีย สตีล และวิทยาลัยพยาบาลเซนต์หลุยส์
การบรรยาย
รู ้จกั กับการควบคุมภายใน
• แนวความคิด
• หลักการ และ
• การประเมิน และทา
รายงาน
• ทาอย่างไร ?
2
กำรควบคุมภำยใน ?
ทาไม ต้องมีระบบการควบคุม ?






ทำไม? ต้ อง Lock ประตูรถ ก่อนขึ้นตึกไปทำงำน
ทำไม่? ต้ อง ให้ เซ็นสัญญำกู้ ก่อนจ่ำยเงินกู้
ทำไม?ต้ องใช้ แบบฟอร์มให้ ผ้ ูสมัครสมำชิกกรอก
ทำไม? ต้ องเก็บสัญญำกู้ไว้ ในตู้เอกสำรและ ล๊อคกุญแจตลอดเวลำ
ทำไม? ต้ องมีคนคำ้ ประกัน เมื่อสมำชิกขอกู้
ทำไม? ต้ องออกใบรับ เมื่อรับชำระเงินกู้
3
แนวทางในการ นาสู่การปฏิบตั ิ
Top-Down
O
RC
1
O
RC
Bottom-up
O
RC
O
RC
2
O
RC
O
RC
O
RC
O
RC
O
RC
O
RC
Process
4
สามสิง่ ที่มีความสัมพันธ์กนั
“The things an organization
wants to accomplish”
1
Objective
3.
Control
2
Risk
“things that help
Meet an objective by
managing the risk.”
“Things that might prevent
accomplishment an objective”
(CSA: A PRACTICAL GUIDE By Larry Hubbard CIA, CPA, CCSA)
5
อุปสรรคในการนาระบบ การบริ หารความเสี่ ยงและการ
ควบคุม มาใช้ในองค์กร





คนในองค์กรมีความเข้าใจเกี่ยวกับ “ความเสี่ ยง” ไม่ตรงกัน พูดคนละภาษา
คนในองค์มีทศั นคติในทางลบ- ต่อต้าน
คนในองค์กรเห็นด้วย แต่ไม่ให้ความร่ วมมือ
คนในองค์กรอยากจะให้มีการบริ หารความเสี่ ยงในองค์กร แต่ไม่รู้บทบาท
และความรับผิดอบที่ชดั เจน
ไม่รู้แนวทาง เป้ าหมายและวิธีปฏิบตั ิที่ชดั เจน
6
Institute of Management
Accountants
American Institute of CPA
Financial Executive Institute
American Accounting Association
The Institute of Internal Auditor
7
ความหมาย ของการควบคุมภายใน
คือ กระบวนการที่ออกแบบไว้ โดยคณะกรรมการ ฝ่ ายบริหารและทุกคนในองค์กร เพื่อให้เกิด
ความเชื่อมั ่นอย่างสมเหตุสมผล ในการบรรลุวตั ถุประสงค์ 3 ประการ
1. ประสิ ทธิภาพ และประสิ ทธิผลในการดาเนินงาน (Effective / Efficient operations)


ได้ผลตามเป้ าหมายที่กาหนดไว้ ทั้งด้านปฏิบตั ิงานและการทากาไร

ปราศจากความสูญเสี ย หรื อความเสี ยหายที่รุนแรง

ความเชื่อถือได้ของข้อมูลสาหรับการบริ หาร
2. ความน่ าเชื่อถือได้ ของรายงานทางการเงิน Reliable financial reporting


Protecting creditability, reputation and shareholder value
Safeguarding of resources
3. ปฏิบต
ั ิได้ ถูกต้ องตามกฎหมายและข้ อกาหนดของทางการ Compliance with laws and
regulations
8
องค์ ประกอบของการควบคุมภายใน

CONTROL ENVIRONMENT สภาพแวดล้ อมการควบคุม


RISK ASSESSMENT การประเมินความเสี่ ยง




including operating controls, financial information controls and
compliance controls
INFORMATION AND COMMUNICATION สารสนเทศและการสื่ อสาร


significance in monetary terms or in terms of the image or reputation of
the entity
possibility of the risk occurring
how to mitigate the impact of the risk and reduce exposures to
acceptable levels
CONTROL ACTIVITIES กิจกรรมการควบคุม


the tone at the top, the foundation for other components
both internally and externally
MONITORING การติดตามผล / เฝ้ าระวัง

on both an ongoing basis and periodic basis
9
THE ACCOUNTABILITY PROCESS (= GOVERNANCE)
ทุกหย่ างจาเป็ นต้ อง
กาหนดไว้ มิฉนั้นการ
ดาเนินงานนั้นจะสู ญ
เปล่า ไม่ มีความหมาย
Monitor
Goal
To complete the
loop, is
continuous
monitoring
Wheel depicts
the cycle that
controls need
to be revised &
updated as
goals change
Implement
Controls
Risk
Assessment
Identify
Controls
สภาพแวดล้ อม ความมุ่ง
หมาย ของแต่ ละองค์ กรมี
ความแตกต่ างกัน ดังนั้นการ
ยอมรับความเสี่ ยงย่ อม
แตกต่ างกัน๖(appetite)
เช่น compliance vs
profitability
After undertaking the risk assessment,
then identify & implement controls
10
COSO CONTROL COMPONENTS

Multi-layered and building block
Management’s monitoring of the internal control systems to
assess the quality of the systems performance over time.
5 Interrelated
Control Components
Control activities which are the policies and procedures
throughout the organisation to help ensure management
directives and risk mitigation strategies are carried out.
Management’s identification and assessment of relevant risks
from all sources related to the achievement of established
objectives. Management may avoid, diversity, control, share,
transfer or accept risks.
on
ati
ati
n ic
mu
om
dC
on
Control
Environment
nic
ati
mu
o rm
om
In f
dC
Risk
Assessment
an
an
on
ati
Control
Activity
o rm
In f
on
Monitoring
Control environment refers to the foundation for all other
components of internal control. Broadly divided into hard
controls (organisational structure, assignment of authority and
responsibility, and HR policies and practices) and soft controls (
ethics, commitment to competence and management operating
style).
Information required to run and control the business including
those for business decision making and external reporting.
Communication includes internal communication throughout
the organisation and interactions with all external parties.
11
CONTROL ENVIRONMENT

Foundation of the internal control component
 Need the right environment for people to function
 The environment must be addressed before the other four components

A business structure which reflects the existence of proper controls
 Integrity and ethical values
 Management Philosophy / Operating Style / Operating Environment
 Personal Responsibility / Accountability
 Corporate Culture
 Organisational Structure
 Business Code of Conduct
 Board of Directors Attention / Direction
 Selective Hiring Practices
 People Training
12
RISK ASSESSMENT



Risk is a potential problem or loss
Controls are guidelines and actions to cover risk and ensure management’s
objectives are achieved.
Everyone is responsible for control !
What is RISK ? The possibility that an organisation will not:
 Achieve its goals
 Operate effectively and efficiently
 Protect itself from loss
 Provide reliable financial data
 Comply with laws
Note the reference to the three objectives of internal control and business objectives
Excessive Risks
• Loss of Assets
• Poor Business Decisions
• Non-Compliance
•  Scandals
Risks vs Control
“Balancing Act”
Excessive Controls
•  Bureaucracy
•  Complexity
•  Cycle Time
•  Non-Value Added Activities
•  Production
13
คานี้หมายถึงอะไร?
ความเสี่ ยง (Risk)
“ความเป็ นไปได้ ที่เหตุการณ์ ใดเหตุการณ์ หนึ่งเกิดขึน้ และเป็ นอุปสรรคต่ อการบรรลุวตั ถุประสงค์ขององค์กร”

“ควำมเป็ นไปได้ ท่จี ะเกิดเหตุการณ์ที่เป็ นอุปสรรคต่อการบรรลุเป้าหมายขององค์กร ควำมเสี่ยงวัดได้ จำก
ผลกระทบที่ได้ รับจำกเหตุกำรณ์ และโอกำสที่เกิดเหตุกำรณ์น้นั ” (มาตรฐานวิชาชีพตรวจสอบภายใน IIA)
Inherent Risk (ความเสี่ ยงที่มีอยูป่ กติทวั่ ไป)
 Residual Risk (คว่ามเสี่ ยงคงเหลือ)
 Risk Management
กระบวนการรับรู้และจัดการกับความเสี่ ยง
ขององค์กร

Risk
Control
M79
Inherent Risk
Risk
M79
M79
Risk
M79
M79
M79
Risk
Risk
Risk
Residua Risk
14
RISK ASSESSMENT - RISK METHODOLOGY

The identification & analysis of relevant risks to the
achievement of objectives for determining how risks
should be managed
Identify


What is the impact of risk ?
 Impact & likelihood must be balanced with
“what can go wrong” before controls are
implemented !
Analyse
Monitor & Review
Determine what can go wrong ?
 Identify risk
 Source of risk
 Potential problem or loss
 Not the absence of control !
(risks exist whether or not controls are
present!!)
 What is the risk likelihood ?
Assess
Likelihood
Impact
Treat
15
วัดระดับความเสีย่ ง
ความสู ญเสี ย
5
5
15
20
R4
25
4
4
8
12
16
20R5
3
3
6
R19
12
15
2
2R2
4
6
8
10
1
1
1
R..
10
2
2
4 R3
3
3
4
5
R1=Risk1
R2=Risk2
R3=Risk3
R4=Risk4
R5=risk5
Risk Mapping
5
โอกาส
=ความเสี่ ยงทีร่ ะบุมาลาดับที่
จาก คาแนะนา มาตรฐานการควบคุมภายในภาคปฏิบตั ิ หน้า 10
16
RISK ASSESSMENT - RISK MANAGEMENT TECHNIQUES
Common Risk Management Techniques:
 Diversify
 Control
 Share
 Transfer
 Accept
Redesign the process to avoid particular
risks with the plan of reducing overall risk
Spread the risk among numerous assets or
processes to reduce the overall risk of loss
or impairment
Design activities to prevent, detect or
contain adverse events or to promote
positive outcomes
Distribute a portion of the risk through a
contract with another party, such as
insurance
Distribute all of the risk through a
contract with another party, such as
outsourcing
Tolerate minor risks when the cost of
managing them is greater than the
potential harm
Analyse
Monitor & Review
 Avoid
Identify
Assess
Likelihood
Impact
Treat
17
CONTROL ACTIVITIES

Control activities are the guidelines and actions taken to ensure management
directives accomplished.

Control activities cover risks

Examples of control activities
 Approvals with appropriate authorisation limits / Delegation Of Authorities
 Segregation of incompatible duties
 Physical and electronic security authentication
 Third party internal control / compliance reviews
 Corporate strategic objectives
 Management / Legal / Finance Contracts review
 Reconciliation of accounts between parent and subsidiary systems
18
CONTROLS

CONTROL is any action taken by management to enhance the likelihood that
established objectives and goals will be achieved. Management plans, organises,
and directs the performance of sufficient actions to provide reasonable assurance
that objectives and goals will be achieved. Thus, control is the result of proper
planning, organising, and directing by management.


Preventive Controls are actions taken to deter undesirable events from occurring.
Detective Controls are actions taken to detect and correct undesirable events which
have occurred.

Mandatory Controls are automated controls which are coded into hardware or
software. These controls are unavoidable.

Discretionary Controls (สุ ขมุ ) are people dependent controls which may be automated
or manual and are not optional.

Directive Controls are actions taken to cause or encourage a desirable event to occur.

Adequate Control is present if management has planned and organised
(designed) in a manner which provides reasonable assurance that the
organisation's objectives and goals will be achieved efficiently and economically.

Effective Control is present when management directs systems in such a manner
as to provide reasonable assurance that the organisation's objectives and goals will
be achieved.
19
INFORMATION & COMMUNICATION SYSTEMS


Pertinent information must be communicated in a form and timeframe that
enables accomplishment of control objectives.

Communication occurs down, across and up the organisation

Enhances reliability of all components of Internal Control
Examples of communication:

Mission, Objectives & Values Posters in Visible Areas

1:1s Staff Meetings

Code of Conduct - Translation

Audit Reporting Activities
20
MONITORING

Actions taken by management and others to assess the quality of internal control system
performance over time. (ie. Measures the control coverage of exposures)

Examples of Monitoring
 Management Review of Financial & Operational Reporting
 Audit & Finance Committee / Board of Directors Reviews
 Internal / External Audits
 Customer Satisfaction Surveys
 Project Reviews

Reasons for Continuous
Monitoring
 การหมุนเวียนของผูบ้ ริหาร
 New Technology
 ข้อกาหนดทีเ่ ปลีย่ น/เพิม่
 ทัศนคติของสังคม

Additional Monitoring Activities
 Evaluation of trends
 Review of reconciliations
 Verify supporting documents
 Follow-up on complaints
21
COSO –IC IF
Monitoring
Control
Activities
Risk
Assessment
Control
Environment
Hard Control :
 นโยบายและวิธีการปฏิบัตงิ าน
 โครงสร้ างองค์ กร
 การมอบหมายอานาจ
 การกระทบยอด
 การสอบทาน I/O
 การตรวจดู
Soft Control :
 ความสามารถ
 ความซื่อสั ตย์ และจริยธรรม
 ภาวะผู้นาที่ดี
 ความรับผิดชอบร่ วม
 มีใจกว้ างยอมรับความคิดเห็นของผู้อนื่
 วินัยในการทางาน
OFC
American Institute of CPA
American Accounting Association
Financial Executive Institute
The Institute of Internal Auditor
Institute of Management
Accountants
22
MAKING VALUE ADDED CONTROLS A REALITY




Control process should be about adding value
(rule: add control = add value)
Assume ownership: drive change
Act within your sphere of influence
Start by taking a step-by-step approach
Challenge what
doesn’t make sense
& plug the gaps
Analyse and identify
control gaps
Identify and assess
existing controls
Complete risk
assessment
 What is the impact ?
 What is the likelihood ?
Define & document
the process flow
Identify areas
of concern
Ask Questions
 What can go wrong ?
23
IIA DEFINITIONS

Control Environment - refers to the attitude and actions of the board and
management regarding the significance of control within the organisation. The
control environment provides the discipline and structure for the achievement of
the primary objectives of the system of internal control. The control environment
includes the following elements:
 Integrity and ethical values.
 Management’s philosophy and operating style.
 Organisational structure.
 Assignment of authority and responsibility.
 Human resource policies and practices.
 Competence of personnel.

Risk Assessment is a systematic process for assessing and integrating
professional judgements about probable adverse conditions and/or events. The
risk assessment process should provide a means of organising and integrating
professional judgements for development of the work schedule.

Monitoring - Actions taken by management and others to assess the quality of
internal control system performance over time.
24
COSO Component Coverage
Entity-Wide(กิจการ):
Overall
Environment
(สภาพโดยรวม)
Activity-Level
(กิจกรรม):
Processes &
Functions
(กระบวนการ/งาน)
1.Control
Environment
2.Risk Assessment
90%
10%
20%
80%
3.Control Activities
10%
90%
4.Information &
Communication
5.Monitoring
20%
80%
50%
50%
High Level
Activity Level
25
ควบคุม ด้วยอะไร?
I.
II.
III.
IV.
ใช้เครื่ อง (เช่น Computer) ช่วยคุมคน หรื อทาแทนคน
จัดโครงสร้างองค์กร เพื่อให้เกิดการควบคุม “คนคุมคน” ระบบงานคุม
คือแบ่งแยกหน้าที่และความรับผิดชอบให้ชดั เจน
จัดขั้นตอนในระบบงาน เพื่อให้เกิดการควบคุม –มีข้นั ตอนเพื่อการ
ควบคุม อยูร่ วมในขั้นตอนปฏิบตั ิงาน
จัดเครื่ องมือต่าง เช่น ทาแบบฟอร์ม ทะเบียนเพื่อบันทึก ลาดับเลขที่
ล่วงหน้า..........
26
การควบคุมที่ออกแบบไว้
สิง่ ที่ตอ้ งการควบคุม? เช่น
• ไม่ให้เกินเวลา
• ไม่ให้ใช้สนเปลื
ิ้
อง
• ไม่ให้เกิดทุจริต
• ไม่ให้ผดิ กฎหมาย
1.
2.
3.
กฎเกณฑ์
ขั้นตอน
ติดตามผล
Control Environment
การติดตามผล
กรอบปฏิบตั ิ ข้อห้าม
(โอกาส/ผลกระทบ)
Built-in “Control Step”
Control Tool & Technique :
• Pre-number/Form
• Review /Re-compute
• Approval
• Confirmation/Counting
• Document Control2Checklist
•Management Reporting
•Management Control
27
คนคุมคน?
TOP DOWN
(Monitoring)
BOTTOM UP
(Feedback)
Information & Communication
28
IC -IF
1.
2.
3.
Financial Reporting
Compliance
Operations
ERM
Risk
Risk
Risk
Risk
5. Monitoring
Internal Environment
3.Control
Activities
Objective Setting
Event Identification
Risk Assessment
2. Risk
Risk
Assessment
1. Control
Control
Environment
Risk Response
Control Activities
Information and Communication
Monitoring
29
ERM is a Continuous Process
Environment and Strategy (Objective Setting)

scanning and monitoring their
R isk Identification
internal and external environments
ERM PROCESS
d
an n
n io
io at
at ic
rm un
fo m
In om
C
Ri
sk
ent
essm on
Ass
ti
Risk Evalua
and
Mo
ni to
Con ri ng a
n
Imp tin uou d
rove s
me
nt
Organizations must be constantly
Co
d
n
a
ion ities
t
a v
tig c ti
Mi A
ol
nt r

Provides a robust foundation for
continuous improvement resulting
in a repeatable process
30
KRI ตัวบ่งชี้ความเสี่ ยง

คือ “อาการ” ที่บอกว่าอาจเกิดจาก การจัดการความเสี่ ยงไม่ได้ผล
หรื อมีความเสี่ ยงเกิดขึ้น เช่น
“เป็ นไข้ ตัวร้อน” อาจเป็ น 2009
“ปริ มาณข้อร้องเรี ยน” อาจเป็ น บริ การไม่สุภาพ
“ปริ มาณ Defect” อาจเป็ นวัตถุดิบ เครื่ อง มีปัญหามีผลให้
ต้นทุนสู ญเสี ย สิ นค้าไม่ปลอดภัยต่อผูบ้ ริ โภค
“ จานวนครั้งที่ถูกเตือน” อาจเป็ น ฝ่ าฝืนข้อกาหนดของทางการ-ถูก
ปรับ จับ
31
ข้อพิจารณาในการกาหนด KRI



มี “นัยสาคัญ” ต่อความเสี่ ยงที่ระบุไว้จริ งๆ
มีขอ้ มูลที่สามารถนามาวัดผลได้อย่างชัดเจน
ผลการประมวลมีความน่าเชื่อถือ
32
การเฝ้ าระวังทาอย่างไร?




Risk ID
CR#01
FR#05
กำหนด “KRI” สำหรับควำมเสี่ยงแต่ละตัวที่ระบุไว้
กำหนดระดับของ KRI ที่ยอมรับได้
กำหนดวิธกี ำรรำยงำนให้ กบั ศูนย์กลำง
กำหนดวิธปี ฏิบัติเมื่อ KRI เกินกว่ำระดับที่ยอมรับได้
KRI
จำนวนครั้งที่เกิดอุบัติเหตุ
ขณะทำงำน ในโรงงำน
 จำนวนสินค้ ำไม่ผ่ำน
QC
ระดับบอกเหตุ
(Trigger
Point)
วิธปี ฏิบัติเมื่อเกินเกณฑ์
(Procedure)
1 ครั้งต่อ 2เดือน

สอบทำนกำรตรวจ........(ที่เป็ นสำเหตุ)
0.5%

ทบทวน สอบทำน..............
33
สภาพแวดล้อมการควบคุม หรื อโครงสร้างการควบคุม
 กำรกำหนดเป้ ำหมำย และวัตถุประสงค์ของหน่วยงำน และงำนในหน่วยงำน
ชัดเจนและสอดคล้ องกัน
 กำรแบ่งแยกหน้ ำที่ และมอบหมำยควำมรับผิดชอบ ชัดเจนและครอบคลุมทุก
กิจกรรมที่มี
 เกณฑ์ปฏิบัติ ระเบียบวิธปี ฏิบัติงำน นโยบำย คู่มอื แนวทำง ทุกงำนที่
รับผิดชอบ
 คุณสมบัติของบุคลำกรและอัตรำกำลัง แต่ละตำแหน่งงำนถูกกำหนดไว้ และ
เป็ นไปตำมที่กำหนด
 มีข้อห้ ำมเกี่ยวกับผลประโยชน์ทบั ซ้ อน
34
Worksheet #1
Inherent Risk
Risk ID
Control
L
Step
1
I
Risk
Level
Residual Risk
Procedure
Step
2
L
Risk
Level
I
Step
3
35
ควบคุม ด้วยอะไร?
I.
II.
III.
IV.
ใช้เครื่ อง (เช่น Computer) ช่วยคุมคน หรื อทาแทนคน
จัดโครงสร้างองค์กร เพื่อให้เกิดการควบคุม-แบ่งแยกหน้าที่และความ
รับผิดชอบให้ชดั เจน
จัดขั้นตอนในระบบงาน เพื่อให้เกิดการควบคุม –มีข้นั ตอนเพื่อการ
ควบคุม อยูร่ วมในขั้นตอนปฏิบตั ิงาน
จัดเครื่ องมือต่าง เช่น ทาแบบฟอร์ม ทะเบียนเพื่อบันทึก ลาดับเลขที่
ล่วงหน้า..........
36
กลไกการควบคุมภายในองค์ กร
เกีย่ วกับ “คน”
1. การแบ่งแยกหน้าที่
2. การสับเปลีย
่ นโยกย้าย
3. การบังคับให้ลาพักผ่อน
4. การจากัดเขตหวงห้าม
5. การกาหนดขอบเขต(Limit)
6. การติดตามพฤติกรรม
7. การกาหนดหลักปฏิบต
ั ติ น
เกีย่ วกับ “ระบบ”
1.
การควบคุมคู่
2.
การทางานร่วมกัน (Joint Custody)
3.
การควบคุมโดยรหัส(Code)
4.
การควบคุมโดยหมายเลข
5.
แจ้งตัวอย่างลายมือชือ่
6.
ใช้สญ
ั ลักษณ์
7.
การรายงาน
8.
จัดระบบความปลอดภัย
9.
การพิสจู น์ยอดอย่างอิสระ
37
เครือ่ งมือการประเมินระบบการควบคุมภายใน
(Tradition Tools for Evaluating Control Design)
Narrative – คาอธิบาย
ง่ายในการใช้ แต่ถา้ ระบบซับซ้อน ไม่ชาญ จะเป็ นปญั หา ประเมินด้านสภาพแวดล้อมได้
 “Internal Control Questionnaires (ICQ)” – แบบสอบถามด้านการควบคุม(คาถามถึงผล
โดยตรง กับ คาถามเพือ่ ประเมินผล)
เป็ นมาตรฐานดี แต่จากัดความคิดของคนตอบ อาจไม่เข้าใจคาถาม คาตอบ
 Flowchart – ผังระบบงาน
ง่ายในการพิจารณา แต่ใช้เวลามากและประเมินได้เฉพาะ “Hard Control”
(เพราะฉะนัน้ ทีด่ ตี อ้ งประเมินทัง้ Hard & Soft Control)

(IIA’s WB Value-add Business)
38
ผลสรุปจากการประเมิน
“ความเพียงพอ” และ “มีประสิ ทธิผล”


Adequacy: Determine if the
process, as designed, provides
reasonable assurance
Effectiveness: Determine
whether the process is
functioning as intended
39
ประเด็น การประเมิน
จัดโครงสร้าง แบ่งแยกอานาจหน้าทีไ่ ว้ชดั เจน
 บุคคลกรมีคุณสมบัตต
ิ ามทีก่ าหนดไว้ทุกตาแหน่งงาน
Control
Environment

Risk Assessment

Control Activities
กิจกรรมสาคัญ
Information
&Communication
มีการประชุมสือ
่ สารภายใน
Monitoring
ผูบ
้ ริหารติดตามผลงานอย่างจริงจังและต่อเนื่อง
ระบุความเสีย่ งในกิจกรรมทีส่ าคัญไว้ครบถ้วน
 วัดความเสีย
่ งทีป่ ระเมินไว้ ครบถ้วน
มีระเบียบ วิธปี ฏิบตั ิ หรือคูม่ อื ชัดเจน
ปฏิบต
ั ไิ ด้ตามทีร่ ะเบียบกาหนดไว้
และกับภายนอกอย่างสม่าเสมอ
ข้อมูลทีส
่ าคัญต่อการปฏิบตั งิ านมีพร้อม และทันสมัย
มีการตรวจสอบจากผูต
้ รวจสอบ
เป็ นประจา
40
วิเคราะห์ Workflow เพือ่ ประเมินระบบการควบคุม
ขาย
ออกใบเบิก
Pre-number
ควบคุมสิ นค้ า
1-3
1-3
Check
Paid
จัดสิ นค้า
บันทึกจ่าย
ลงนามรับ
บัญชี/การเงิน
จ่ายสิ นค้า
Paid
1-3
(บันทึกรายการเข้าเครื่ อง Ref
Inv. Number และออก
ใบเสร็จ)
Review
41
รายงานการติดตามการปฏิบตั ิ ตามแผนการปรับปรุงการควบคุม
ภายในของงวดก่อน-ระดับส่วนงานย่อย
วัตถุประสง จุดอ่อน/
ค์การ
ความเสี่ยง
ควบคุม
ที่ ยังมี อยู่
?
?
งวด/
เวลา
ที่พบ
จุดอ่อน
?
การปรับปรุง
กาหนดเสร็จ
ผูร้ บั ผิดชอบ
สถานะก วิธีการ
ารดา
ติดตามและ
เนินงาน สรุปผลการ
ประเมิน
?
= ดาเนินการแล้วเสร็ จตามกาหนด
X = ยังไม่ดาเนินการ
= ดาเนินการแล้วเสร็ จล่าช้ากว่ากาหนด O = อยูร่ ะหว่างดาเนินการ
42
การประเมินการควบคุมภายใน
ระดับ ความเสีย่ ง
วัตถุประสงค์ O,F,C
1
2
การประเมินผล
ดี/ไม่ดอี ย่างไร?
การควบคุม ที่มี
3
4
5
ความเสี่ยงที่ยงั มีอยู่และสาเหตุ
เรือ่ ง/วัตถุประสงค์การควบคุม
(= IR – EC )
6
7
8
จุดอ่อน/สาเหตุ
การปรับปรุงการควบคุม
Activity Level
43
Surapong@scib.co.th
44