การควบคมภายในและการจ ดทำรายงานภาคปฏบต บรรยายโดยสรพงษ ชรงสฤษฎ CIA CPIA

“การควบคมภายในและการจ ดทำรายงานภาคปฏบต ” บรรยายโดยสรพงษ ชรงสฤษฎ CIA, CPIA • กรรมการสมาคมผตรวจสอบภายในแหงประเทศไทย • ผจก. ฝายตรวจสอบ ธนาคารนครหลวงไทย • กรรมการตรวจสอบ บมจ. รชเอเชย สตล และวทยาลยพยาบาลเซนตหลยส

การบรรยาย รจกกบการควบ คมภายใน • แนวความคด • หลกการ และ • การประเมน และทำ รายงา น • ทำอยางไร ? 2

การควบคมภายใน? ทำไม ตองมระบบการควบคม ? n n ทำไม ? ตอง Lock ประตรถ กอนขนตกไปทำงาน ทำไม ? ตอง ใหเซนสญญาก กอนจายเงนก ทำไม ? ตองใชแบบฟอรมใหผสมครสมาชก กรอก ทำไม ? ตองเกบสญญากไวในตเอกสารและ ลอคกญแจตลอดเวลา 3

แนวทางในการ นำสการปฏบต Top-Down O RC 1 O RC Bottom-up O RC 2 O RC O RC O Process RC 4

สามสงทมความสมพ นธกน “The things an organization wants to accomplish” 1 Objective 3. Control “things that help Meet an objective by managing the risk. ” 2 Risk “Things that might prevent accomplishment an objective” (CSA: A PRACTICAL GUIDE By Larry Hubbard CIA, CPA, CCSA) 5

อปสรรคในการนำระบบ การบรหารความเสยงและการควบค n คนในองคกรมความเขาใจเกยวกบ ม มาใชในองคกร n n “ความเสยง ” ไมตรงกน พดคนละภาษา คนในองคมทศนคตในทางลบ - ตอตาน คนในองคกรเหนดวย แตไมใหความรวมมอ คนในองคกรอยากจะใหมการบรหารความเส ยงในองคกร แตไมรบทบาท และความรบผดอบทชดเจน ไมรแนวทาง เปาหมายและวธปฏบตทชดเจน 6

Institute of Management Accountants American Institute of CPA Financial Executive Institute American Accounting Association The Institute of Internal Auditor 7

ความหมาย ของการควบคมภายใน คอ กระบวนการทออกแบบไว โดยคณะกรรมการ ฝายบรหารและทกคนในองคกร เพอใหเกดความเชอมนอยางสมเหตสมผล ในการบรรลวตถประสงค 3 ประการ . 1ประสทธภาพ และประสทธผลในการดำเนนงาน (Effective / Efficient operations) ไดผลตามเปาหมายทกำหนดไว ทงดานปฏบตงานและการทำกำไร ปราศจากความสญเสย หรอความเสยหายทรนแรง ความเชอถอไดของขอมลสำหรบการบรหาร 2. ความนาเชอถอไดของรายงานทางการเงน Reliable financial reporting Protecting creditability, reputation and shareholder value 8

องคประกอบของการควบคมภายใน CONTROL ENVIRONMENT สภาพแวดลอมการควบคม RISK ASSESSMENT การประเมนความเสยง the tone at the top, the foundation for other components significance in monetary terms or in terms of the image or reputation of the entity possibility of the risk occurring how to mitigate the impact of the risk and reduce exposures to acceptable levels CONTROL ACTIVITIES กจกรรมการควบคม including operating controls, financial information controls and compliance controls INFORMATION AND COMMUNICATION สารสนเทศและการสอสาร both internally and externally MONITORING การตดตามผล / เฝาระวง on both an ongoing basis and periodic basis 9

THE ACCOUNTABILITY PROCESS (= GOVERNANCE) Monitor Goal To complete the loop, is continuous monitoring Wheel depicts the cycle that controls need to be revised & updated as goals change Implement Controls Risk Assessment ทกหยางจำเ ปนตองกำห นดไว มฉนนการ ดำเนนงานน นจะสญเปล า สภาพแวดลอม ไมมความหม ความมงหมาย าย ของแตละองคกร มความแตกตางก น ดงนนการยอม Identify รบความเสยงย Controls อมแตกตางกน After undertaking the risk assessment, เชน ๖)appetite) then identify & implement controls compliance vs profitability 10

COSO CONTROL COMPONENTS Multi-layered and building block 5 Interrelated Control Components Management’s monitoring of the internal control systems to assess the quality of the systems performance over time. are the policies and Control activities which procedures throughout the organisation to help ensure management directives and risk mitigation strategies are carried out. and assessment of Management’s identification relevant risks from all sources related to the achievement of established objectives. Management may avoid, diversity, control, share, transfer environment refers to the foundation for all Control or accept risks. other components of internal control. Broadly divided into hard controls (organisational structure, assignment of authority and responsibility, and HR policies and practices) and soft controls ( ethics, commitment to competence and management Information required to run and control the business operating those for business decision making and including style). external reporting. Communication includes internal communication throughout the organisation and interactions with all external parties. 11

CONTROL ENVIRONMENT Foundation of the internal control component Need the right environment for people to function The environment must be addressed before the other four components A business structure which reflects the existence of proper controls Integrity and ethical values Management Philosophy / Operating Style / Operating Environment Personal Responsibility / Accountability Corporate Culture Organisational Structure Business Code of Conduct Board of Directors Attention / Direction Selective Hiring Practices People Training 12

RISK ASSESSMENT Risk is a potential problem or loss Controls are guidelines and actions to cover risk and ensure management’s objectives are achieved. Everyone is responsible for control ! What is RISK ? The possibility that an organisation will not: Achieve its goals Operate effectively and efficiently Protect itself from loss Provide reliable financial data Comply with laws Note the reference to the three objectives of internal control and business objectives Excessive Risks • Loss of Assets • Poor Business Decisions • Non-Compliance • Scandals Risks vs Control “Balancing Act” Excessive Controls • Bureaucracy • Complexity • Cycle Time • Non-Value Added Activities • Production 13

คำนหมายถงอะไร ? ความเสยง (Risk) “ความเปนไปไดทเหตการณใดเหตการณหนงเกดขน และเปนอปสรรคตอการบรรลวตถประสงคขององคกร n ” Inherent Risk M 79 M 79 “ความเปนไปไดทจะเกด เหตการณทเปนอปสรรคตอการบรรล เปาหมายขององคกร ความเสยงวดไดจากผลกระทบทไดรบจากเหตการณ และโอกาสทเกดเหตการณนน ” (มาตรฐานวชาชพตรวจสอบภายใน n Inherent Risk (ความเสยงทมอยปกตทวไป ) IIA)Residual Risk (ความเสยงคงเหลอ n ) n Risk Management Risk กระบวนการรบรและจดการกบความเสยง Control ขององคกร Risk Residua Risk 14

RISK ASSESSMENT - RISK METHODOLOGY The identification & analysis of relevant risks to the achievement of objectives for determining how risks should be managed Determine what can go wrong ? Identify risk Source of risk Potential problem or loss Not the absence of control ! (risks exist whether or not controls are present!!) What is the risk likelihood ? What is the impact of risk ? Impact & likelihood must be balanced with “what can go wrong” before controls are implemented ! Identify Analyse Monitor & Review Assess Likelihood Impact Treat 15

วดระดบความเสยง R 4 25 5 10 15 20 4 4 8 12 R 5 16 20 3 3 6 R 1 9 12 15 2 ความสญเสย 5 R 2 2 4 6 8 10 1 1 5 2 4 3 3 4 R 3 5 R 1=Risk 1 R 2=Risk 2 R 3=Risk 3 R 4=Risk 4 R 5=risk 5 Risk Mapping 2 1 โอกา R. . =ความเสยงทระบมาลำดบท จากคำแนะนำ มาตรฐานการควบคมภายในภาค ส 16

RISK ASSESSMENT - RISK MANAGEMENT TECHNIQUES Common Risk Management Techniques: Diversify Control Share Transfer Accept Redesign the process to avoid particular risks with the plan of reducing overall risk Spread the risk among numerous assets or processes to reduce the overall risk of loss or impairment Design activities to prevent, detect or contain adverse events or to promote positive outcomes Distribute a portion of the risk through a contract with another party, such as insurance Distribute all of the risk through a contract with another party, such as outsourcing Tolerate minor risks when the cost of managing them is greater than the potential harm Analyse Monitor & Review Avoid Identify Assess Likelihood Impact Treat 17

CONTROL ACTIVITIES Control activities are the guidelines and actions taken to ensure management directives accomplished. Control activities cover risks Examples of control activities Approvals with appropriate authorisation limits / Delegation Of Authorities Segregation of incompatible duties Physical and electronic security authentication Third party internal control / compliance reviews Corporate strategic objectives Management / Legal / Finance Contracts review Reconciliation of accounts between parent and subsidiary systems 18

CONTROLS CONTROL is any action taken by management to enhance the likelihood that established objectives and goals will be achieved. Management plans, organises, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved. Thus, control is the result of proper planning, organising, and directing by management. Preventive Controls are actions taken to deter undesirable events from occurring. Detective Controls are actions taken to detect and correct undesirable events which have occurred. Mandatory Controls are automated controls which are coded into hardware or software. These controls are unavoidable. Discretionary Controls (สขม ) are people dependent controls which may be automated or manual and are not optional. Directive Controls are actions taken to cause or encourage a desirable event to occur. Adequate Control is present if management has planned and organised (designed) in a manner which provides reasonable assurance that the organisation's objectives and goals will be achieved efficiently and economically. Effective Control is present when management directs systems in such a manner as to provide reasonable assurance that the organisation's objectives and goals will be achieved. 19

INFORMATION & COMMUNICATION SYSTEMS Pertinent information must be communicated in a form and timeframe that enables accomplishment of control objectives. Communication occurs down, across and up the organisation Enhances reliability of all components of Internal Control Examples of communication: Mission, Objectives & Values Posters in Visible Areas 1: 1 s Staff Meetings Code of Conduct - Translation Audit Reporting Activities 20

MONITORING Actions taken by management and others to assess the quality of internal control system performance over time. (ie. Measures the control coverage of exposures) Examples of Monitoring Management Review of Financial & Operational Reporting Audit & Finance Committee / Board of Directors Reviews Internal / External Audits Customer Satisfaction Surveys Project Reviews Reasons for Continuous Monitoring การหมนเวยนของ ผบรหาร New Technology ขอกำหนดทเป Additional Monitoring Activities Evaluation of trends Review of reconciliations Verify supporting documents Follow-up on complaints 21

COSO –IC IF Com mu nic a&In tio fo n rm a tion Hard Control : Monitoring n นโยบายและวธการ ปฏบตงาน Control n โครงสรางองคกร Activities n การมอบหมายอำนาจ Risk n การกระทบยอด Assessment n การสอบทานI/O Control n การตรวจด Environment OFC American Institute of CPA American Accounting Association Soft Control : § ความสามารถ § ความซอสตยและจร ยธรรม § ภาวะผนำทด § ความรบผดชอบรวม § มใจกวางยอมรบความ คดเหนของผอน § วนยในการทำงาน Institute of Manageme Financial Executive Institute The Institute of Internal Auditor Accountants 22

MAKING VALUE ADDED CONTROLS A REALITY Control process should be about adding value (rule: add control = add value) Assume ownership: drive change Act within your sphere of influence Start by taking a step-by-step approach Challenge what doesn’t make sense & plug the gaps Analyse and identify control gaps Identify and assess existing controls Complete risk assessment What is the impact ? What is the likelihood ? Define & document the process flow Identify areas of concern Ask Questions What can go wrong ? 23

IIA DEFINITIONS Control Environment - refers to the attitude and actions of the board and management regarding the significance of control within the organisation. The control environment provides the discipline and structure for the achievement of the primary objectives of the system of internal control. The control environment includes the following elements: Integrity and ethical values. Management’s philosophy and operating style. Organisational structure. Assignment of authority and responsibility. Human resource policies and practices. Competence of personnel. Risk Assessment is a systematic process for assessing and integrating professional judgements about probable adverse conditions and/or events. The risk assessment process should provide a means of organising and integrating professional judgements for development of the work schedule. Monitoring - Actions taken by management and others to assess the quality of internal control system performance over time. 24

COSO Component Coverage High Level ctivity Level A 25

ควบคม ดวยอะไร ? I. III. ใชเครอง (เชน Computer) ชวยคมคน หรอทำแทนคน จดโครงสรางองคกร เพอใหเกดการควบคม “คนคมคน ” ระบบงานคมคอแบงแยกหนาทและความ รบผดชอบใหชดเจน จดขนตอนในระบบงาน เพอใหเกดการควบคม – มขนตอนเพอการควบคม อยรวมในขนตอนปฏบตงาน 26

การควบคมทออกแบบไว สงทตองการควบคม • ไมใหเกนเวลา • ไมใหใชสนเปลอง • ไมใหเกดทจรต • ไมใหผดกฎหมาย . 1 . 2 . 3 ? เชน กฎเกณฑ ขนตอน ตดตามผล Control Environment การตดตามผล กรอบปฏบต ขอหาม )โอกาส/ผลกระทบ( Built-in “Control Step” Control Tool & Technique : • Pre-number/Form • Review /Re-compute • Approval • Confirmation/Counting • Document Control 2 Checklist • Management Reporting • Management Control 27

คนคมคน ? TOP DOWN (Monitoring) BOTTOM UP (Feedback) Information & Communication 28

Risk E IA IN PL RT M G TE R A NC G IC n tio un ica mm O Internal Environment 3. Control Activities Objective Setting Event Identification Risk Assessment 2. Risk Assessment 1. Control Environment Risk Response Control Activities SUBSIDIARY Co A R PE BUSINESS UNIT DIVISION 4. S N O TI Risk ENTITY - LEVEL & Informa tion ST 5. Monitoring Risk CO Financial Reporting Compliance Operations O 1. 2. 3. ERM RE P IC -IF Information and Communication Monitoring 29

ERM is a Continuous Process § Organizations must be constantly scanning and monitoring their internal and external environments § Provides a robust foundation for continuous improvement resulting in a repeatable process 30

KRI ตวบงชความเสยง คอ “อาการ ทบอกวาอาจเกดจาก ” การจดการความเสยงไมไดผล หรอมความเสยงเกดขน เชน “ เปนไข ตวรอน ” อาจเปน 2009 “ ปรมาณขอรองเรยน ” อาจเปน บรการไมสภาพ “ ปรมาณ Defect” อาจเปนวตถดบ เครอง มปญหามผลใหตนทนสญเสย สนคาไมปลอดภยตอผบรโภค “ จำนวนครงทถกเตอน ” อาจเปน ฝาฝนขอกำหนดของทางการ -ถกปรบ n 31

n n n ม “นยสำคญ ” ตอความเสยงทระบไวจรงๆ มขอมลทสามารถนำมาวดผลไดอยางช ดเจน ผลการประมวลมความนาเชอถอ KRI FULL ขอพจารณาในการกำหนด 32

การเฝาระวงทำอยางไร n n Risk ID CR#01 FR#05 ? กำหนด “KRI” สำหรบความเสยงแตละตวทระบไว กำหนดระดบของ KRI ทยอมรบได กำหนดวธการรายงานใหกบศนยกลาง กำหนดวธปฏบตเมอ KRI เกนกวาระดบทยอมรบได KRI ระดบบอกเห ต )Trigger Point) nจำนวนครงท เกดอบตเ หตขณะทำงาน ในโรงงาน n จำนวนสนค าไมผาน QC 1ครงตอ 2เดอน 0. 5% วธปฏบตเมอเกนเกณฑ (Procedure) สอบทานการตรวจ. . . . (ทเ ปนสาเหต ( n n ทบทวนสอบทาน. . . 33

สภาพแวดลอมการควบคม หรอโครงสรางการควบคม n n n การกำหนดเปาหมาย และวตถประสงคของหนวยงาน และงานในหนวยงาน ชดเจนและสอดคลองกน การแบงแยกหนาท และมอบหมายความรบผดชอบ ชดเจนและครอบคลมทกกจกรรมทม เกณฑปฏบต ระเบยบวธปฏบตงาน นโยบายคมอ แนวทางทกงานทรบผดชอบ คณสมบตของบคลากรและอตรากำลง แตละตำแหนงงานถกกำหนดไว และเปนไปตามทกำหนด มขอหามเกยวกบผลประโยชนทบซอน 34

Worksheet #1 Inherent Risk ID Control L Step 1 I Risk Level Residual Risk Procedure Step 2 L Risk Level I Step 3 35

ควบคม ดวยอะไร ? I. III. ใชเครอง (เชน Computer) ชวยคมคน หรอทำแทนคน จดโครงสรางองคกร เพอใหเกดการควบคม แบงแยกหนาทและความรบผดชอบใหช ดเจน จดขนตอนในระบบงาน เพอใหเกดการควบคม – มขนตอนเพอการควบคม อยรวมในขนตอนปฏบตงาน 36

กลไกการควบคมภายในองคกร เกยวกบ “คน” 1. การแบงแยกหนา ท 2. การสบเปลยนโ ยกยาย 3. การบงคบใหลา พกผอน 4. การจำกดเขตหวง หาม 5. การกำหนดขอบเข ต(Limit) เกยวกบ “ระบบ” 1. การควบคมค 2. การทำงานรวมกน (Joint Custody) 3. การควบคมโดยรหส (Code) 4. การควบคมโดยหมายเลข 5. แจงตวอยางลายมอชอ 6. ใชสญลกษณ 7. การรายงาน 8. จดระบบความปลอดภย 9. การพสจนยอดอยางอสร ะ 37

เครองมอการประเมนระบบการควบค มภายใน (Tradition Tools n Narrative – คำอธบาย for Evaluating Control งายในการใช Design) แตถาระบบซบซอน ไมชาญ จะเปนปญหา ประเมนดานสภาพแวดลอมได n “Internal Control Questionnaires (ICQ)” – แบบสอบถามดานการควบคม (คำถามถงผลโดยตรง กบ คำถามเพอประเมนผล ) เปนมาตรฐานด แตจำกดความคดของคนตอบ อาจไมเขาใจคำถาม คำตอบ n Flowchart – ผงระบบงาน งายในการพจารณา แตใชเวลามากและประเมนไดเฉพาะ )IIA’s WB Value-add Business) “Hard Control” 38 (เพราะฉะนน ทดตองประเมนทง Hard & Soft

ผลสรปจากการประเมน “ความเพยงพอ ” และ “มประสทธผล ” Adequacy: Determine if the process, as designed, provides reasonable assurance n Effectiveness: Determine whether the process is functioning as intended n 39

ประเดน การประเมน จดโครงสราง แบงแยกอำนาจหนาทไวชดเจน n บคคลกรมคณสมบตตามทกำหนดไวทก ตำแหนงงาน Control Environment n Risk Assessment n Control Activities nกจกรรมสำคญ Information &Communication nมการประชมสอสารภายใน Monitoring nผบรหารตดตามผลงานอยางจรงจงและตอเน ระบความเสยงในกจกรรมทสำคญไวครบถ วน n วดความเสยงทประเมนไว ครบถวน มระเบยบ วธปฏบต หรอคมอชดเจน nปฏบตไดตามทระเบยบกำหนดไว และกบภายนอกอยางสมำเสมอ nขอมลทสำคญตอการปฏบตงานมพรอ ม และทนสมย 40

วเคราะห Workflow เพอประเมนระบบการควบคม ขาย ควบคมสนคา ออกใบเบก 1 -3 Pre-number 1 -3 Check จดสนคา Paid บนทกจาย ลงนามรบ บญช จายสนคา Paid /การเงน 1 -3 (บนทกรายการเข าเครอง Ref Inv. Number และออกใบเสรจ ) Review 41

รายงานการตดตามการปฏบตตามแผนการปร บปรงการควบคมภายในของงวดกอน ระดบสวนงานยอย วตถป ระสงค การ ควบคม ? จดออ น/ ความเส ยงท ยงม อย ? งวด/เว การปรบป ลา รง ทพ บจด ออน ? กำหนดเสร จ ผรบผ ดชอบ สถานะ การด ำ เนนง าน วธการ ตดตามแ ละสรปผ ลการประเ มน ? = ดำเนนการแลวเสรจตามกำหนด X = ยงไมดำเนนการ = ดำเนนการแลวเสรจลาชากวากำหนด O = อยระหวางดำเนนการ 42

การประเมนการควบคมภายใน วตถประสงค 1 เรอง 2 การประเมนผล ระดบ ความเสยง ด /ไมดอยางไร O, F, C การควบค ม ทม 3 4 5 ความเสยงทยงม /วตถประสงคการควบคม อยและสาเหต (= IR – EC ) 6 7 ? 8 จดออน /สาเหต การปรบปรงการควบ Activity Level 43

Surapong@scib. co. th 44