6.3 Interviewing (Continued) - สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย
advertisement
Road to… CIA โครงการติว CIA Part 1 (Unit 6) ห้ องประชุม 6-1 ตึกอธิการบดี มหาวิทยาลัยธุรกิจบัณฑิตย์ วันเสาร์ ท่ ี 25 มกราคม 2557 เวลา 9.00 – 16.00 น. โดย “สมาคมผู้ตรวจสอบภายในแห่ งประเทศไทย” สุดฤดี เลิศเกษม 1 ข้ อมูลเกี่ยวกับวิทยากร นางสาวสุดฤดี เลิศเกษม (42 ปี ) ผู้จัดการฝ่ ายตรวจสอบภายใน บมจ.ผลิตไฟฟ้า คุณวุฒทิ างการศึกษา • บริหารธุรกิจมหาบัณฑิต มหาวิทยาลัยธรรมศาสตร์ • บัญชีบัณฑิต (เกียรตินิยม) มหาวิทยาลัยธรรมศาสตร์ • ผู้ตรวจสอบภายในรั บอนุญาต (CIA) • ผู้สอบบัญชีรับอนุญาตแห่ งประเทศไทย (CPA Thailand) • วุฒบิ ัตรผู้ตรวจสอบภายในวิชาชีพ ของสมาคมผู้ตรวจสอบภายใน แห่ งประเทศไทย (CPIAT) 2 Data Gathering 1. Review previous audit reports and other relevant documentation as part of a preliminary survey of the engagement area. 2. Develop checklists/internal control questionnaires as part of a preliminary survey of the engagement area. 3. Conduct interviews as part of a preliminary survey of the engagement area. 4. Use observation to gather data. 5. Conduct engagement to assure identification of key risks and controls. 3 Planning ในการวางแผน IA จะต้ องมีการพิจารณาเรื่อง ต่ างๆ ในการวางแผน และต้ องจัดทาเป็ นลาย ลักษณ์ อักษร โดยแสดง วัตถุประสงค์ ขอบเขต การจัดสรรทรัพยากรการตรวจ 4 Planning (Continued) Performance Standard 2210 Engagement objectives must be established for each engagement. ในการปฏิบัติภารกิจงานตรวจสอบแต่ ละงาน ต้ องมีการวางแผนภารกิจงานตรวจสอบ 5 Planning (Continued) ตามมาตรฐานรหัส 2201 กาหนดว่ า ผู้ตรวจสอบภายในต้ อง พิจารณาถึง - วัตถุประสงค์ ของกิจกรรมที่จะสอบทานและวิธีการที่ใช้ ควบคุมผลการดาเนินงานของ กิจกรรมนัน้ - ความเสี่ยงที่มีนัยสาคัญต่ อกิจกรรม วัตถุประสงค์ ทรัพยากรและการปฏิบตั งิ าน และ วิธีการจัดการความเสี่ยงให้ อยู่ในระดับที่ยอมรั บได้ - ความพอเพียงและประสิทธิผลของกระบวนการบริหารความเสี่ยงและการควบคุมเมื่อ เปรียบเทียบกับกรอบงานที่เกี่ยวข้ อง - โอกาสที่จะปรับปรุ งกระบวนการบริหารความเสี่ยงและการควบคุมภายในกิจกรรมนัน้ ที่ มีนัยสาคัญ ** การพิจารณาการวางแผน จะทาในขัน้ ตอนการสารวจข้ อมูล*** 6 Planning (Continued) Define initial engagement objective Define initial scope, assign internal audit personnel Data Gathering **Prelim survey, Observation, Identification of key risks and controls** Engagement Objective Scope and Work Program Scheduling and Time estimated Field Work, Examination & Evaluation of evidence, Conclusion 7 Unit 6 : Data Gathering 6.1 Preliminary Survey 6.2 Questionnaires 6.3 Interviewing 6.4 Other Data-Gathering Techniques 6.5 Identification of Key Risks and Controls 8 6.1 Preliminary Survey 1. Reason for a Preliminary Survey. 2. Components of a Preliminary Survey. 3. Input form the Engagement Client. 4. Analytical Procedure. Interview (6.3) 5. Prior Audit Reports and Other Relevant Documentation. 6. Process Mapping. 7. Checklists. 8. Documentation and Communication of Results. 9 Reasons for a Preliminary Survey 1. Become familiar with activities, risks, and controls to identify areas for engagement emphasis 2. Invite comments and suggestions from engagement clients. **A survey is not sufficient for evaluating the adequacy and effectiveness of controls** 10 6.1 Preliminary Survey : การสารวจข้ อมูล การสารวจข้ อมูลหมายถึงกระบวนการทาความเข้ าใจกิจกรรมที่จะตรวจนัน้ เป็ นขัน้ ตอนการเริ่มต้ นในการเริ่มต้ นวางแผนงานตรวจ เพราะการที่จะปฏิบัติ ภาระกิจงานตรวจสอบที่ดีได้ IA จะต้ องเข้ าใจงานที่ตนจะตรวจนัน้ การสารวจ ข้ อมูลเป็ นกระบวนการที่เกี่ยวข้ องกับการรวบรวมเอกสารและทาความเข้ าใจ เบือ้ งต้ นเกี่ยวกับงานที่จะตรวจ เช่ น ความเป็ นมา วัตถุประสงค์ เป้าหมาย ผลลัพธ์ ผู้รับผิดชอบ กระบวนการปฏิบัตงิ านที่เกี่ยวข้ อง ปั ญหาที่อาจเกิด โดย ยังไม่ จาเป็ นต้ องมีหลักฐานพิสูจน์ ความถูกต้ องที่เชื่อถือได้ การสารวจข้ อมูลขัน้ ต้ น ผู้ตรวจสอบภายในควรเริ่มทาตัง้ แต่ อยู่ สานักงานตรวจสอบภายใน ยังไม่ ได้ ไปปฏิบัตงิ านที่หน่ วยรั บตรวจ ส่ วนการ สารวจข้ อมูลขัน้ สุดท้ าย อาจเริ่มเมื่อ IA ไปปฏิบัตงิ านตรวจที่หน่ วยรั บตรวจ แล้ ว 11 6.1 Preliminary Survey : การสารวจข้ อมูล 12 6.1 Preliminary Survey : การสารวจข้ อมูล วิธีการสารวจ เช่ น - การสอบถาม การศึกษาเอกสาร การสังเกตการณ์ ปฏิบัตงิ าน การถ่ ายภาพ ฯลฯ 13 6.1 Preliminary Survey : การสารวจข้ อมูล เทคนิคในการสารวจข้ อมูล รวมถึงวิธีการดังต่ อไปนี ้ - การประชุมปรึกษากับผู้บริหารที่เกี่ยวข้ อง การสัมภาษณ์ พนักงานหรือบุคคลที่เกี่ยวข้ อง การสังเกตการณ์ สภาพการปฏิบัตงิ านจริง การบันทึกกิจกรรมการทางานที่สาคัญ การสอบทานเอกสารทางการบริหาร การวิเคราะห์ เปรียบเทียบ 14 6.1 Preliminary Survey : การสารวจข้ อมูล เทคนิคในการสารวจข้ อมูล รวมถึงวิธีการดังต่ อไปนี ้ (ต่ อ) - การติดตามร่ องรอยการปฏิบัตงิ านและการควบคุมตัง้ แต่ เริ่มต้ นจนจบ (Walk Through) - การประเมินความเสี่ยงขัน้ ต้ น - การจัดทาผังภาพ การควบคุมภายใน (Process Mapping) - การถ่ ายภาพสาคัญ 15 6.1 Preliminary Survey : การสารวจข้ อมูล วัตถุประสงค์ ของการสารวจข้ อมูล ..เพื่อให้ IA - เข้ าใจกิจกรรมที่จะตรวจ เกี่ยวกับ วัตถุประสงค์ เป้าหมาย ตัววัดที่ ผู้บริหารกาหนด และเกณฑ์ การตรวจที่จะใช้ - ระบุความเสี่ยงที่อาจเกิดขึน้ ขัน้ ต้ นและการควบคุมที่มี กาหนด วัตถุประสงค์ การตรวจสอบ ขอบเขตและการจัดสรรทรัพยากร - ตัดสินใจว่ าประเด็นใดควรยุตหิ รือควรตรวจสอบต่ อ พร้ อมเหตุผล สาหรับประเด็นที่ควรตรวจต่ อในรายละเอียด ได้ รวบรวมข้ อมูล และทราบแหล่ งข้ อมูลที่จะใช้ 16 6.1 Preliminary Survey : การสารวจข้ อมูล Prior Audit Reports and Other Relevant Documentation a. Prior audit reports may be another source of information. This is especially true of prior working papers. The issues and the process by which they were resolved may provide insights into the client's particular circumstances. 1) However, the auditor must use such documentation for informational purposes only, not as a basis for objectives or conclusions. 17 6.1 Preliminary Survey : การสารวจข้ อมูล Process Mapping (หนังสือหน้ า 148-149) 18 6.1 Preliminary Survey : การสารวจข้ อมูล Checklists a. During the preliminary survey, checklists (reminder lists) ensure that the auditor has completed all the necessary administrative tasks related to the engagement. They include receipt of requested documentation and updates of the continuing audit file. Sample Checklist : Add to permanent audit file - Amortization schedule for new bond issues - Plan for disposal of assets of discontinued operation - Most recent forms filed with regulators 19 - Most recent client-prepared process control maps 6.1 Preliminary Survey : การสารวจข้ อมูล Documentation and Communication of Results The results of the survey are documented and, if appropriate, communicated to management in an oral presentation. 20 6.2 Questionnaires แบบสอบถามการควบคุมภายใน Internal Control Questionnaire-ICQ *อยู่ในส่ วนของการประเมินผลการบริหารความเสี่ยงและการควบคุมภายใน** โดยมีการเตรี ยมคาถามที่แสดงถึงการควบคุมภายในที่ดีและจาเป็ น สาหรั บการประเมิน โดยมีเนื อ้ ที่ว่างให้ ตอบคาถามว่ า ใช่ หรื อไม่ ใช่ หรือมีหรือไม่ มี คาตอบว่ าไม่ ใช่ หรือไม่ มี แสดงถึงจุดอ่ อนในระบบการ ควบคุมที่ผ้ ูประเมินจะต้ องทดสอบ และศึกษาเพิ่มเติมว่ าเกิดเพราะ เหตุใด และหน่ วยรับตรวจมีวิธีการควบคุมอื่นที่ได้ ชดเชยหรือทดแทน หรือไม่ และผลกระทบคืออะไร 21 6.2 Questionnaires (Continued) ICQ (Continued) ข้ อดีของการใช้ แบบสอบถาม คือใช้ สอบถามได้ จานวนมาก หรื อใช้ ในองค์ ก รที่ ผ้ ู ป ฏิ บั ติ ง านไม่ นิ ย มแสดงความเห็น อย่ า งเปิ ดเผย ซึ่ ง ผู้ ตอบแบบสอบถามควรมี ห ลายกลุ่ ม แต่ ข้ อจ ากั ด ของการใช้ แบบสอบถามคือ คาถามต้ องชัดเจน หรือผู้ประเมินควรมีโอกาสชีแ้ จง แบบสอบถาม ควรมีเนื อ้ ที่ให้ ผ้ ูตอบอธิบายหรื อระบุหลักฐานแหล่ ง อ้ า งอิ ง และที่ส าคั ญ คื อ ค าตอบที่ไ ด้ รั บ อาจไม่ ต รงกั บ ข้ อ เท็จ จริ ง ผู้ประเมินต้ องประเมินความเชื่ อถือได้ และตรวจหลั กฐาน เพื่อให้ แน่ ใจในคาตอบ 22 6.2 Questionnaires (Continued) วิธีการจัดทาแบบสอบถาม Internal Control Questionnaire-ICQ โดยหลักการทั่วไปทุกคาถามในแบบสอบถามจะต้ องเขียนขึน้ ในรูปแบบเดียวกัน คือหากคาตอบเป็ นเชิงบวกหรื อใช่ จะ บอกถึงระดับความมีประสิทธิภาพการควบคุมภายในที่ดี แต่ หากคาตอบเป็ นเชิงลบ ปฏิเสธ หรือไม่ ใช่ จะมีความหมาย ในทางตรงกันข้ าม 23 6.2 Questionnaires (Continued) ตัวอย่ างแบบสอบถามการควบคุมภายในด้ านสารสนเทศ 24 6.2 Questionnaires (Continued) Disadvantages of these questionnaires are that 1)They are difficult to prepare. 2)They are time-consuming to administer. 3)Engagement clients may anticipate the preferred responses and therefore may lie or give insufficient consideration to the task. 4)Not all circumstances can be addressed. 5)They are less effective than interviewing. 25 6.2 Questionnaires (Continued) Pre-Interview Questionnaires Questionnaires are also an efficient way of preparing for an interview if they are properly designed and transmitted in advance. A formal questionnaire 1) Involves the engagement client's supervisors and employees in the engagement and minimizes their anxiety. 2) Provides an opportunity for engagement client self-evaluation 3) May result in a more economical engagement because the information it generates is prepared by those most familiar with it. a) The internal auditor must still ask clarifying questions and verify responses. However, only those answers that appear inappropriate should be pursued by asking for clarification or explanation. b) In this way, problems may be isolated and either compensating controls identified or extensions to the engagement procedures planned. 26 6.2 Questionnaires (Continued) Sequence and Format a. The sequence and format of questions have many known effects. 1) For example, questions should be in a logical order, and personal questions should be asked last because of possible emotional responses. b. One method of reducing these effects is to use questionnaire variations that cause these biases to average out across the sample. · 1) Many types of questions may be used, e g, multiple-choice, checklists, fill-inthe blank, essay, or options indicating levels of agreement or disagreement. 2) Questions must be reliably worded so that they measure what was intended to be measured. 3) The questionnaire should be short to increase the response rate. 27 6.2 Questionnaires (Continued) Q : The auditor used a questionnaire during interviews to gather information about the nature of claims processing. Unfortunately, the questionnaire did not cover a number of items of information offered by the person being interviewed. Consequently, the auditor did not document the potential problems for further audit investigation. The primary deficiency in this process is that A. A questionnaire was used in a situation in which a structured interview should have been used. B. Questionnaires do not allow for opportunities to document other information C. The auditor failed to consider the importance of the information offered. D. All of the answers are correct. 28 6.3 Interviewing ในการสัมภาษณ์ หรือการสอบถามผู้บริหาร ผู้ตรวจสอบควรใช้ คาถาม ปลายเปิ ดที่เปิ ดโอกาสให้ ผ้ ูตอบ แสดงทัศนคติและความรู้สึก ลักษณะ คาถามดังกล่ าว เช่ น คาถามปลายเปิ ด ผู้ตรวจสอบภายในต้ องมีการวางแผน การเตรียมการ การวิเคราะห์ ผู้รับการตรวจ สิ่งสาคัญที่ทาให้ เทคนิคการตรวจสอบประสบ ผลสาเร็จ คือการรู้จักนาเทคนิคด้ านมนุษยสัมพันธ์ การเอาใจเขามา ใส่ ใจเรา การรู้จักให้ เกียรติ การรับฟั งความคิดเห็น รวมทัง้ การ ปฏิบัตงิ านด้ วยความเป็ นกลาง ปราศจากอคติลาเอียง และแสดง ความตัง้ ใจที่จะร่ วมกันแก้ ไขปั ญหาต่ างๆ ที่เกิดขึน้ อย่ างสร้ างสรรค์ ใน การสื่อสาร 29 6.3 Interviewing (Continued) Use a. Interviewing and other data-gathering activities are usually performed during the preliminary survey phase of an audit engagement. 1) Interviews obtain testimonial evidence from engagement clients, other members of the organization who have contact with them, and independent parties b. An interview allows auditors to ask questions clarifying initial testimony. Thus, auditors may deepen their understanding of operations and seek reasons for unexpected results and unusual events and circumstances. 1) An interview is a secure and personal form of communication compared with, for example, email or paper-based documents. 2) People tend to be less careful in their responses if the interview is one-toone. c. The main purpose of interviews is to gather facts related to the audit 30 engagement 6.3 Interviewing (Continued) Dislike of Evaluation a. One fundamental human relations problem faced by the internal auditor-interviewer is that people dislike being evaluated. b. Consequently, the internal auditor must gain the confidence of clients by demonstrating self-assurance (ความ มั่นใจในตัวอง) , persuasiveness (ความน่ าเชื่อถือ), fairness (ความสุภาพ), empathy, and competence. 31 6.3 Interviewing (Continued) Four Types of Interviews. 1. A Preliminary interview . 1) 2) 3) 4) Promote the value of internal auditing, Understand the interviewee, Gather general information, and· Serve as a basis for planning future interview strategies. 2. A fact-gathering interview 3. A follow-up interview 4. An exit interview 32 6.3 Interviewing (Continued) Planning an Interview a. The auditor should prepare by reading operations manuals, organizational charts, prior engagement communications, results of questionnaires, etc. 1) The auditor should understand not only the engagement client's functions, procedures, and terminology but also the psychological traits of auditee managers. b. The auditor should design basic questions 1) An auditor may use a directive approach emphasizing narrowly focused questions. 2) An alternative is a nondirective approach using broad questions that are more likely to provide clarification and to result in unexpected observations 3) A combination of these approaches is often recommended 33 6.3 Interviewing (Continued) Scheduling Issues. a. Except when surprise is needed (e.g., in a review of cash or a fraud engagement), an appointment should be made well in advance for a specific time and place. b. The meeting should be in the engagement client's office, if feasible. c. The interview's duration should be set in advance. d. People tend to respond more freely if the interview is one-to-one. e. Except in fraud engagements, the purpose should be explained to the client f. If possible, interviews should not be scheduled very late in the day, just before or after a vacation, or just before or after a meal. 34 6.3 Interviewing (Continued) Opening the Interview a. The auditor should be on time, and prompt notice should be given if delay is unavoidable. b. Engaging in initial, brief pleasantries may put the engagement client at ease. c. The purpose of the interview should be explained. d. The auditor should be polite, helpful, and nonthreatening. e. Confidentiality should be assured if feasible. 35 6.3 Interviewing (Continued) Conduct the Interview a. Interviewing requires an understanding of basic communications theory. 36 Basic Communication Theory Encoded to Message - Oral Statement - Writing - Body Language -Air -Paper, Email, Note - Gesture Message - Oral Statement - Writing - Body Language Decoded to Idea Medium -Take action -Respond to message Barrier Feed back Sender Receiver 37 6.3 Interviewing (Continued) Conduct the Interview (Continued) b. The interviewer should be tactful (ไหวพริบดี), objective (มี หลักการ), reasonable, and interested. c. The interview should follow the agenda developed in the planning phase. d. Active (effective) listening includes observing interviewee behavior (body language, such as eye contact), reserving judgment about what is said, asking clarifying questions, and allowing for periods of silence. 38 6.3 Interviewing (Continued) Conduct the Interview (Continued) e. Anticipation (realizing in advance ฟั งและคิดตามไปด้ วย) is one approach the interviewer can use to maintain focus during a farranging discussion. It assumes that the interviewer has done some preparation and is ready to listen intelligently. f. Leading questions (questions suggesting the answer) should be avoided. g. Loaded questions (questions with self-incriminating (กล่ าวโทษ ปรักปรา) answers) also should be avoided. 39 6.3 Interviewing (Continued) Conduct the Interview (Continued) h. Questions requiring an explanatory response are usually preferable to those with binary (yes/no) responses. i. An interviewer should be suspicious of answers that (1) are too smoothly stated, (2) fit too neatly (เหมือนเป๊ะๆ) with the interviewer's own preconceptions (ความคิดที่มีอยู่ก่อน), (3) consist of generalization, or (4) contain unfamiliar technical terminology (คาศัพท์ เฉพาะ). 1) Thus, the interviewer must ask for greater specificity or other clarifications. 40 6.3 Interviewing (Continued) Conduct the Interview (Continued) J. Care should be taken to differentiate statements of fact from statements of opinion. k. The interviewer should understand what the interviewee regards as important. I. Debate and disagreement with the interviewee should be avoided (ควรหลีกเลี่ยงการโต้ เถียง). 41 6.3 Interviewing (Continued) Q: Internal auditors should be active listeners to gain the most information in an interview. Which of the following best describes how an active listener behaves in an interview? The listener A. Judges and evaluates the information as it is presented. B. Avoids looking directly at the speaker and interrupting his/her train of thought. C. Formulates arguments and conclusions as pieces of the speaker's information fit together. D. Listens with acceptance, empathy, and intensity. 42 6.3 Interviewing (Continued) Documentation a. Good note taking during the interview is essential. b. The notes and the memorandum prepared with their help are part of the working papers and therefore the documentation of the engagement used to prepare communications. · 43 6.3 Interviewing (Continued) Evaluation a. This step is especially important if a follow-up interview is considered, but it is useful as a means of internal auditor selfimprovement. b. The internal auditor should consider whether objectives were appropriate, whether they were attained, and, if not, why not. c. The internal auditor also should consider whether the planning was efficient, the interviewee was cooperative, and the interviewer made errors. 44 6.4 Other Data-Gathering Techniques. 1. Observation 2. Checklists. 3. Internal Surveys. 4. External Data Sources. 45 6.4 Other Data-Gathering Techniques (Continued) Observation การสังเกตการณ์ ได้ แก่ 1) การไปสังเกตการณ์ (observe) วิธีปฏิบัตงิ าน เพื่อให้ ได้ หลักฐานเกี่ยวกับ สภาพ การจัดสถานที่ ความเหมาะสมกับสิ่งอานวย ความสะดวก ลักษณะการเคลื่อนไหว และอากัปกิริยาของ ผู้ปฏิบัตงิ าน เช่ นการสังเกตการณ์ ตรวจนับสินค้ า 2) การเยี่ยมชมการ ปฏิบัตงิ าน (Site Visit) การทาความรู้จัก สนทนา สอบถาม ผู้ปฏิบัตงิ านระหว่ างการปฏิบัตงิ านเพื่อให้ เกิดความคุ้นเคยโดยรวม และ 3)การ Walkthrough ตามขัน้ ตอนการปฏิบัตงิ าน ตัง้ แต่ ต้นจนจบ กระบวกวนการ เพื่อให้ ทราบว่ าทาตามวิธีการที่กาหนดไว้ หรือไม่ 46 6.4 Other Data-Gathering Techniques (Continued) Observation การสังเกตการณ์ (ต่ อ) ข้ อดี : ทาให้ เห็นสภาพ เข้ าใจขัน้ ตอนการ ปฏิบัตงิ าน และสังเกตเห็นความผิดปกติได้ โดยเร็ว ข้ อจากัด : เป็ นหลักฐานเบือ้ งต้ นที่ต้องใช้ วิธีการ ตรวจสอบอื่นเพิ่ม และได้ ข้อมูลจากัดเฉพาะในเวลาที่ สังเกตการณ์ เท่ านัน้ ซึ่งอาจตรงหรื อไม่ ตรงกับการ ปฏิบัตงิ านตามปกติกไ็ ด้ 47 6.4 Other Data-Gathering Techniques (Continued) Observation a. By watching the physical activities of employees to see how they perform their duties, the auditor can determine whether written policies have been implemented. b. Observation is limited because employees who know they are being observed may behave differently while being observed. Accordingly, unobtrusive measures may be preferable. c. Observation is most persuasive for the existence or occurrence assertion (whether assets or liabilities exist and whether transactions have occurred). d. Lack of experimental control and measurement precision are other 48 weaknesses of observational research. 6.4 Other Data-Gathering Techniques (Continued) Checklists a. Checklists increase the uniformity of data acquisition. They ensure that a standard approach is taken and minimize the possibility of omitting factors that can be anticipated. b. Disadvantages of checklists include the following: 1) Providing a false sense of security that all relevant factors are addressed 2) Inappropriately implying that equal weight is given to each item 3) The difficulty of translating the observation represented by each item 4) Treating a checklist as a rote (ทาโดยไม่ เข้ าใจความหมาย) exercise -rather than part of a thoughtful understanding of the unique aspects of the audit c. Checklists may be used to control administrative details involved in performing the engagement, to prepare for opening and closing conferences, etc. · 49 6.4 Other Data-Gathering Techniques (Continued) Internal Surveys a. Mail questionnaires are relatively cheap, eliminate interviewer bias, and gather large amounts of data. However, they tend to be inflexible, have a slow response time, and have nonresponse bias. 1) The sample will not be truly random if respondents as a group differ from correspondents. Thus, people may choose not to respond for reasons related to the purpose of the questionnaire. b. Telephone interviews are a flexible means of obtaining data rapidly and controlling the sample. However, they introduce interviewer bias, are more costly, and gather less data than mail surveys. c. Rating scales are used to allow people to rate such things as service. The scale represents a continuum of responses. 50 6.4 Other Data-Gathering Techniques (Continued) External Data Sources a. Many external data sources are available that provide useful information for performing the engagement These sources include the following: 1) Online sources such as Lexis-Nexis or the National Automated Accounting Research System (NAARS) 2) Authoritative and technical literature relevant to the issue being researched 51 6.5 Identification of key risks and controls. 1. Risk 2. Preliminary Risk Assessment Example from CIA Exam 52 6.5 Identification of Key Risks and Controls Risk Risk is the possibility that an event will occur having an impact on the achievement of objectives. It is measured in terms of impact and likelihood . 53 6.5 Identification of Key Risks and Controls 2210 : วัตถุประสงค์ ของภาระกิจ Engagement Objectives ต้ องกาหนดวัตถุประสงค์ สาหรั บแต่ ละ ภารกิจงานที่จะปฏิบัติ 2210.A1 –ผู้ตรวจสอบภายในต้ องประเมินเบือ้ งต้ น เกี่ยวกับความเสี่ยงของกิจกรรมที่จะสอบทาน วัตถุประสงค์ ของภารกิจต้ องสอดคล้ องถึงผลการ ประเมินความเสี่ยง 54 6.5 Identification of Key Risks and Controls (Continued) a. After completing the preliminary survey, the internal auditor performs a preliminary risk assessment 55 6.5 Identification of Key Risks and Controls (Continued) b. Relevant guidance is in Practice Advisory 2210.A1-1, Risk Assessment in Engagement Planning: 1) "Internal auditors consider management's assessment of risks relevant to the activity under review. 2) "If appropriate, internal auditors conduct a survey to become familiar with the activities, risks, and controls to identify areas for engagement emphasis, and to invite comments and suggestions from engagement clients" 3) "Internal auditors summarize the results from the reviews of management's assessment of risk: the background information, and any 56 survey work" 6.5 Identification of Key Risks and Controls (Continued) Q : Which of the following activities represents the greatest risk to a post-"merger manufacturing organization and is therefore most likely to be the subject of an internal audit engagement? A Combining impress funds B Combining purchasing functions C Combining legal functions. D Combining marketing functions 57 Data Analysis and Interpretation 1. Use computerized audit tools and techniques (e.g., data mining and extraction, continuous monitoring , automated work papers, embedded audit modules). 2. Conduct spreadsheet analysis 3. Use analytical review techniques (e.g., ratio estimation, variance analysis, budget vs. actual, trend analysis, other reasonableness tests) 4. Conduct benchmarking. 5. Draw conclusions 58 Unit 6 : Data Analysis 6.6 Computerized Audit Tools and Techniques. 6.7 Analytical Review Techniques. 6.8 Benchmarking. 6.9 Analytical Procedures – Interpreting Results. 6.10 Drawing Conclusions. 59 6.6 Computerized Audit Tools and Techniques 1. Overview : Computer-assisted audit techniques (CAATs) คือเทคนิคการตรวจสอบโดยใช้ คอมพิวเตอร์ ช่วย 2. Generalized Audit Software (GAS) คือ การใช้ โปรแกรมตรวจสอบสาเร็จรู ป เช่ น ACL หรื อ IDEA 3. Test Data คือการทาข้ อมูลทดสอบ (เช่ นการ ทดสอบการควบคุมภายในบันทึกการนาเข้ าและ ประมวลผลข้ อมูล) (สร้ างข้ อมูลทัง้ ถูกและผิด) 60 6.6 Computerized Audit Tools and Techniques 4. Parallel Simulation Parallel simulation allows an auditor to determine whether the data are subjected to the processes that the client claims the application performs. 5. Data Mining and Extraction Techniques The oldest form of data extraction is the manual copying of client records. Until the widespread use of photocopy machines, it was the only method.(ต้ องคุมยอดรวมของข้ อมูลให้ ถูกต้ อง) 61 6.6 Computerized Audit Tools and Techniques 6. Integrated Test Facility (ITF) In this approach, the auditor creates a fictitious entity (a department, vendor, employee, or product) on the client's live production system.**ต้ องระวังไม่ ให้ ข้อมูลหลอกปนกับของจริง** 7. Embedded Audit Module (การฝั งคาสั่งตรวจสอบไว้ในโปรแกรมระบบงาน) An embedded audit module is an integral part of an application system. It is designed to identify and report actual transactions and other information that meet criteria having audit significance. 62 6.6 Computerized Audit Tools and Techniques 8. Application Tracing and System Mapping (ค่อนข้างtechnique) a. Application tracing uses a feature of the programming language in which the application was written. b. System mapping is similar to application tracing. But mapping is performed by another computer program instead of by the auditor. 63 6.6 Computerized Audit Tools and Techniques 9. Computerized Working Papers The use of electronic working papers offers the following advantages: 1) Uniformity of format 2) Ease of storage 3) Search ability and automated cross-indexing 4) Backup and recovery functions 5) Built-in audit methodologies, such as sampling routines 10. Spreadsheet Analysis (พวก excel) 64 6.7 Analytical Review Techniques Performance Standard 2320 Analysis and Evaluation Internal auditors must base conclusions and engagement results on appropriate analyses and evaluations. ผู้ตรวจสอบภายในต้ องสรุ ปผลการตรวจสอบตามภารกิจ โดยมี พืน้ ฐานจากการวิเคราะห์ และประเมินผลที่เหมาะสม เทคนิคการระบุ และรวบรวมหลักฐานแบ่ งเป็ น 1) การวิเคราะห์ เปรียบเทียบ และ 2) วิธีการตรวจสอบในรายละเอียด (ข้ อ 2 จะยังไม่ กล่ าว ณ.จุดนี)้ 65 6.7 Analytical Review Techniques การวิเคราะห์ เปรียบเทียบ Analytical Review หมายถึงการวิเคราะห์ เปรียบเทียบความสัมพันธ์ และความ เปลี่ยนแปลงของข้ อมูล อัตราส่ วนทางการเงิน และสถิตขิ อง ผลการดาเนินงานว่ าเป็ นไปตามที่คาดหมายหรือไม่ เพื่อให้ พบความแตกต่ าง ความผิดพลาด ความผิดปกติ และการ กระทาที่ผิดกฎหมาย 66 6.7 Analytical Review Techniques การวิเคราะห์ เปรียบเทียบ Analytical Review วิธีการวิเคราะห์ เปรียบเทียบอาจเป็ นวิธีท่ ใี ห้ เบาะแส และ ค้ นพบประเด็นปั ญหาสาคัญในการตรวจสอบอย่ างรวดเร็ว แต่ ข้อจากัดจะขึน้ อยู่กับความเชื่อถือได้ และความหาได้ ของ ข้ อมูลที่จะนามาวิเคราะห์ เปรียบเทียบ 67 6.7 Analytical Review Techniques ประเภทของการวิเคราะห์ เปรียบเทียบ เช่ น 1. 2. 3. 4. 5. เปรี ยบเทียบข้ อมูลของงวดกับงวดก่ อน หรื องบประมาณ เช่ น การ วิเคราะห์ อัตราส่ วนจากงบการเงิน ศึกษาความสัมพันธ์ ของข้ อมูลทัง้ ที่เป็ นตัวเงินและไม่ เป็ นตัวเงิน เช่ น ค่ าใช้ จ่ายเงินเดือนเปรี ยบเทียบกับจานวนพนักงาน การวิเคราะห์ ความสัมพันธ์ ของรายการบัญชีท่ เี กี่ยวข้ องกัน เช่ นเงินกู้กับ ดอกเบีย้ จ่ าย ทรั พย์ สินกับค่ าเสื่อมราคา การวิเคราะห์ แนวโน้ มและการพยากรณ์ เช่ น ส่ วนแบ่ งการตลาด ยอดขาย ค่ าใช้ จ่าย เป็ นต้ น การเปรี ยบเทียบกิจการกับผู้นา (Best Practice/ Benchmarking) 68 6.7 Analytical Review Techniques Ratio Analysis A. Liquidity (ยิ่งสูงยิ่งแสดงว่ ามีสภาพคล่ อง) Current asset 1. Current ratio = Current liability 2. Account receivable turnover ratio = 3. net credit sales Average balance in receivables Inventory turnover ratio = cost of goods sold Average balance in inventory 69 6.7 Analytical Review Techniques Ratio Analysis B. Profitability gross margin 4. Gross profit margin = sales Gross margin คือ ขาย-ต้ นทุนขาย 5. Operating profit margin = operating profit sales =Gross margin - Administrative expenses 6. Net profit margin = net profit sales 70 6.7 Analytical Review Techniques Ratio Analysis (Continued) C. Sometimes ratio analysis is used to relate a financial statement item to nonfinancial data. An example is average sales per retail location. 71 6.7 Analytical Review Techniques Ratio Comparison (หนังสือหน้ า 162 ย่ อหน้ าสุดท้ าย) 1. Trend 2. Period-to-period 3. Industry 72 6.7 Analytical Review Techniques Other Analytical Procedures (หนังสือหน้ า 163) 1. Regression analysis 2. Variance analysis 73 6.8 Benchmarking Benchmarking compares some aspect of an organization's performance with best in-class performance. Thus, it may be used to develop expectations for analytical procedures. 1) The process should be continuous, and what is best-in-class should be evaluated frequently. 74 6.8 Benchmarking (Continued) การบริหารงานในยุคใหม่ ผู้บริหารควรใช้ การ เปรียบเทียบกับกิจการที่เป็ นผู้นาในธุรกิจ แทน การเปรียบเทียบกับตนเอง หรือเปรียบเทียบกับ ค่ าเฉลี่ยของข้ อมูลในอดีต เพราะอาจไม่ เพียงพอ ในการดาเนินธุรกิจภายใต้ ภาวะการแข่ งขัน 75 6.8 Benchmarking (Continued) Benchmarking is a continuous evaluation of the practices of the best organizations in their class and the adaptation of processes to reflect the best of these practices. It involves (1) analyzing and measuring key outputs against those of the best organizations and (2) identifying the underlying key actions and causes that contribute to the performance difference. 1) Best practices are recognized by authorities in the field and by customers for generating outstanding results. They are generally innovative technically or in their management of human resources. 2) Benchmarking is an ongoing process that involves quantitative and qualitative· measurement of the difference between the organization's performance of an activity and the performance by the benchmark organization. 76 Benchmarking : เครื่ องมือพัฒนาองค์กรตามแนวทางการจัดการสมัยใหม่ 1 2 เราอยู่ท่ ไี หน? ประเมินตนเอง ดูตัวชีว้ ัด เทียบสมรรถนะ หาค่ า Benchmark รู้ เรา รู้ เขา เทียบ ใหม่ 4 3 ทาอย่ างไรให้ ดีกว่ าเขา? ประยุกต์ ส่ ูการปรับปรุ ง Action Plan ใครเก่ งที่สุด? ปรั บใช้ เขาทาได้ อย่ างไร? ศึกษาวิธีปฏิบตั ทิ ่ เี ป็ นเลิศ Best Practice 6.8 Benchmarking (Continued) The following are kinds of benchmarking: 1) Competitive benchmarking studies an organization in the same industry. 2) Process (function) benchmarking studies operations of organizations with similar processes regardless of industry. Thus. the benchmark need not be a competitor or even a similar organization a) This method may introduce new ideas that provide a significant competitive advantage. 3) Strategic benchmarking IS a search for successful competitive strategies. 4) Internal benchmarking is the application of best practices in one part of the organization to its other parts. 78 6.8 Benchmarking (Continued) Benchmarking may be either internal (comparison with the performance of another unit within the organization) or external (comparison with the performance of another organization)- It also may be either financial or nonfinancial. 79 6.8 Benchmarking (Continued) The following are examples of benchmarks: 1) Internal financial- Return on investment for most successful division 2) Internal nonfinancial- Average time from initiation of customer service request to final resolution of problem for division that reports highest overall customer satisfaction 3) External financial - Return on investment for biggest competitor 4) External nonfinancial - Number of unique website hits for biggest competitor 80 6.8 Benchmarking (Continued) The first phase in the benchmarking process is to select and prioritize benchmarking projects. 1) An organization must understand its critical success factors and business environment to identify key business processes and drivers and to develop parameters defining what processes to benchmarking. The criteria for selecting what to benchmark are based mostly on satisfaction of customer needs. 81 6.8 Benchmarking (Continued) The next phase is to organize benchmarking teams. A team organization is appropriate because it permits (1) a fair division of labor, (2) -participation by those responsible for implementing changes, and (3) inclusion of a variety of functional expertise and work experience. 1) The benchmarking team must thoroughly investigate and document the organization's internal processes. a) The team must develop a family of measures that are true indicators of process performance. b) The development of key indicators for performance measurement in a benchmarking context is an extension of the basic 82 evaluative function of Internal auditors. 6.8 Benchmarking (Continued) Researching and identifying best-in-class performance is often the most difficult phase. The critical steps are. 1) Setting up databases, 2) Choosing information-gathering methods (internal sources, external public domain sources, and original research), 3) Formatting questionnaires (lists of questions prepared in advance), and 4) Selecting benchmarking partners. 83 6.8 Benchmarking (Continued) • Data analysis involves (1) identifying performance gaps, (2) understanding the reasons. and (3) prioritizing the key activities that will facilitate the behavioral and process changes needed to implement recommendations. • Leadership is most important in the implementation phase because the team must justify its recommendations. Moreover, the process improvement teams must manage the implementation of approved changes. 84 6.8 Benchmarking (Continued) สรุ ป ขัน้ ตอนการทา Benchmarking : 1. Select and prioritize benchmarking projects. 2. Organize benchmarking team. 3. Researching and identifying best-in-class performance. 4. Data analysis. 5. Implement. 85 6.8 Benchmarking (Continued) Q : Which of the following is true of benchmarking? A. Benchmarking is typically accomplished by comparing an organization's performance with the performance of its closest competitors. B. Benchmarking can be performed using either qualitative or quantitative comparisons. C. Benchmarking is normally limited to manufacturing operations and production processes. D. Benchmarking is accomplished by comparing an organization's performance to that of the best-performing organizations. 86 6.8 Benchmarking (Continued) สรุ ป Benchmarking : 1. Helping organizations with productivity management and business process review. 2. A source of consulting engagement for internal auditors. 3. Continuous evaluation of the practices of the best organizations in their class and the adaption of processes to reflect the best of these practices. 4. Ongoing process that entails quantitative and qualitative measurement. 5. The benchmark organization need not be a competitor. 87 6.9 Analytical Procedures-Interpreting Results Practice Advisory 2320-1, Analytical Procedures: 1) "When analytical audit procedures identify unexpected results or relationships, the internal auditor evaluates such results or relationships. This evaluation includes determining whether the difference from expectations could be a result of fraud, error, or a change in conditions. The ·auditor may ask management about the reasons for the difference and would corroborate management's explanation, for example, by modifying expectations and recalculating the difference or by applying other audit procedures. In particular, the internal auditor needs to be satisfied that the explanation considers both the direction of the change (e.g., sales decreased) and the amount of the difference (e.g., sales decreased by 10 percent). Unexplained results or relationships from applying analytical procedures may be indicative of a significant problem (e.g., a potential error. fraud, or illegal act). Results or relationships that are not adequately explained may indicate a situation to be communicated to senior management and the board in accordance with Standard 2060. Depending on the circumstances, the internal auditor may recommend appropriate action (อาจยังไม่ เพียง พอที่จะใช้ ผลจาก analytical review รายงานผู้บริหารระดับสูงหรือ Board ผู้ตรวจสอบฯ ต้ องใช้ วจิ ารณญาณ)" 88 6.9 Analytical Procedures-Interpreting Results Q: The following represents accounts receivable information for a corporation for a 3-year period : Year1 Year2 Year3 Net accounts receivable as a percentage of total assets Accounts receivable turnover ratio 23.4% 27.3% 30.8% 6.98 6.05 5.21 All of the following are plausible explanations for these changes except A. Fictitious sales may have been recorded. B. Credit and collection procedures have become ineffective. C. Allowance for bad debts is understated. D. Sales returns for credit have been overstated. 89 6.9 Analytical Procedures-Interpreting Results Root Cause Analysis When reporting a condition or observation. internal auditors might be tempted to accept a description of the immediate problem rather than to search for the underlying problem. The IlA issued PA 2320-2, Root Cause Analysis, to encourage auditors to probe more deeply for the fundamental causes of identified problems. **หาสาเหตุท่ แี ท้ จริงของปั ญหา ไม่ ใช่ บอกเพียงสิ่งที่พบ** 90 6.9 Analytical Procedures-Interpreting Results Root Cause Analysis 1) "Root cause analysis is defined as the identification of why an issue Occurred (versus only identifying or reporting on the issue itself). In this context, an issue is defined as a problem, error, instance of noncompliance, or missed opportunity" (para. 1). 2) "Auditors whose reporting only recommends that management fix the issue ·and not the underlying reason that caused the issue- are failing to add insights that improve the longer-term effectiveness and efficiency of business processes and thus, the overall governance. risk, and control environment" (para 2). 91 6.9 Analytical Procedures-Interpreting Results Root Cause Analysis • "Internal audit can be the ideal group to analyze issues and identify the root cause(s) given their independence and objectivity. This perspective helps ensure biases are minimized, assumptions are challenged, and evidence is fully evaluated" (para. 3). • "Root cause analysis benefits the organization by identifying the underlying cause(s) of an issue. This approach provides a long-term perspective for the improvement of business processes. Without the performance of an effective root cause analysis and the appropriate remediation activities, an issue may have a higher probability to reoccur" (para. 4). (ถ้ าไม่ ทราบสาเหตุของปั ญหาที่แท้ จริง ต่ อไปก็จะเกิดปั ญหานัน้ ซา้ อีก) 92 6.9 Analytical Procedures-Interpreting Results Root Cause Analysis "The resources spent on root cause analysis should be commensurate with the impact of the issue or potential future issues and risks. In certain circumstances, root cause analysis may be as simple as asking 'five whys.' For example: The worker fell Why? Because of oil on the floor. Why? Because of a broken part . Why? Because the part keeps failing. Why? Because of-changes in procurement practices. By the fifth 'why, the internal auditor should have identified or be close to identifying the root cause. More complex issues, however, may require a greater investment of resources and more rigorous analysis" (para. 5). 93 6.9 Analytical Procedures-Interpreting Results Root Cause Analysis "Prior to performing root cause analysis, internal auditors should anticipate potential barriers that could impede the effort and proactively develop an approach for handling those circumstances. a) "Business management may be reluctant to support internal audit's role in root cause analysis. The CAE and auditors may need to work with management to explain and demonstrate the audit activity's role and capabilities b) "Business management may resist conducting a root cause analysis due to the necessary time and resource commitment from their staff. Management may be focused on a short-term fix to Immediately maintain compliance or return the business process or transaction to its corrected state. c) "Determining true root cause may be difficult and subjective even when significant quantitative and qualitative data is available. Auditors should strongly consider including the input from multiple stakeholders of the business process in the design, analysis, and evaluation of data. Multiple errors with varying degrees of influence may be the root cause of an issue" . 94 6.9 Analytical Procedures-Interpreting Results Root Cause Analysis • "Root cause analysis that stops at the identification of physical and process components as the root cause (e.g., technology systems, policies, components, training ในการดู root cause ต้ องคานึงถึงสิ่งนีด้ ้ วย) may not be complete. A true root cause analysis will seek to understand why good people make bad or inadequate decisions (e.g., Why did the person who made the decision think it was the right thing to do at the time?). In these cases, auditors are searching for situational awareness and trying to understand all the circumstances those executing the process faced that led them to make their decisions" 95 6.10 Drawing Conclusions Guidance The internal auditor draws conclusions about the data (s)he has gathered in the course of engagement work. 1) Practice Advisory 2410-1 states, "Conclusions and opinions are the internal auditor's evaluations of the effects of the observations and recommendations on the activities reviewed. They usually put the observations and recommendations in perspective based upon their overall implications and clearly identify any engagement conclusions in the engagement report" a) The terms "conclusion" and "opinion" are interchangeable. 2) Practice Advisory 2410-1 also states, "Conclusions may encompass the entire scope of an engagement or specific aspects" . In other words, the internal auditor may draw conclusions based on the results of a single procedure, of a group of-procedures, or for the engagement as a whole. a) The internal auditor performs engagement procedures and drafts findings (observations) based on the results. The auditor then draws conclusions. 96 6.10 Drawing Conclusions Examples Below is an example of the process of moving from a finding to a conclusion for a specific engagement objective: 1) The engagement work program called for the auditor to examine all purchase orders exceeding $100,000 to determine whether they were approved by the appropriate division vice president. The results of the procedure are stated as a finding: Of 38 purchase orders over $100,000 examined, 3 lacked required vice presidential approval; an exception rate of 7. 9%. a) The finding is an objective statement of fact about the results of 97 audit work without interpretation or commentary. 6.10 Drawing Conclusions Examples 2) From the finding, the internal auditor can draw a conclusion that informs the reader of the implications of the finding for one or more engagement objectives: The system of internal controls over purchases of material dollar amounts in the Eastern Division is not functioning as designed. 3) The relationship of a finding and a conclusion need not be one-to-one. If the auditor finds it useful, multiple findings can be used to support a single conclusion: Of 38 purchase orders over $100,000 examined, 31acked required vice presidential approval, an exception rate of 7.9%. Of 115 purchase orders less than $100,000 randomly selected and examined, 12 lacked required approvals, an exception rate of 10.4%. Given these findings, the system of internal controls over ail purchases in the Eastern Division is not functioning as designed. 98 6.10 Drawing Conclusions Examples Auditor judgment is the essential element in moving from a finding to a conclusion. No formula can tell an auditor whether a certain exception rate is indicative of a working or failing control. 1) Depending on context, decisions about materiality, and knowledge of the audittee, the findings in the examples above could have resulted in positive, not negative, conclusions 99 6.10 Drawing Conclusions สรุ ปเรื่อง Drawing Conclusion 1. คาว่ า Conclusion และ Opinion ใช้ แทนกันได้ 2. Finding หรือ Observation คือบอกสิ่งที่เจอโดยไม่ ต้องตีความหรือ ให้ ความเห็น 3. Conclusion จะเกี่ยวกับการใช้ Judgment 100
