Risk Based Audit Planning

มันคงเป็นการดีถ้าเราสามารถตรวจสอบทุกอย่างในองค์กรได้อย่างละเอียดและครบถ้วน แต่อย่างที่ทุกคนรู้กัน ทรัพยากรในโลกนี้มีอยู่อย่างจำกัด ทรัพยากรในองค์กรก็เช่นเดียวกัน เราไม่สามารถทำเช่นนั้นได้ เพื่อที่เราจะใช้ทรัพยากรได้เกิดประโยชน์สูงสุด จึงเกิด Risk Based Audit Planning ขึ้นมา

Risk Based Audit Planning คือ การวางแผนทรัพยากรในองค์กร เช่น เวลา อุปกรณ์ พนักงาน ตามระดับความเสี่ยง โดยผู้วางแผนจะต้องประเมินภาพกว้างขององค์กรดังต่อไปนี้ก่อน

  • ปัจจัยภายนอกและภายในขององค์กร
  • นโยบายและขั้นตอนปฏิบัติขององค์กร
  • เป้าหมายและกลยุทธ์ขององค์กร
  • ความสามารถในการวัดผลและสอบทานขององค์กร

Risk Based Audit Planning จะต้องมีการประเมินความเสี่ยง เพื่อเป็นตัวช่วยในการตัดสินใจในการเลือกวิธีการตรวจสอบ (Audit Testing) และเพื่อให้การตรวจสอบได้ประสิทธิภาพสูงสุดจะต้องทำการประเมินลักษณะ (Nature) ขององค์กรด้วยว่าองค์กรมีความเสี่ยงด้านใดบ้าง ซึ่งอาจจะเป็น ด้านการเงิน ด้านกฎหมาย ด้านการดำเนินงาน ยกตัวอย่างเช่น บริษัทสายการบิน ที่จะต้องปฏิบัติตามกฎระเบียบและกฎหมายเพื่อความปลอดภัยในการบิน และการเปลี่ยนแปลงทางด้านเศรษฐกิจ ซึ่งส่งผลต่อความต่อเนื่องของธุรกิจ ดังนั้น ความต่อเนื่องและความน่าเชื่อถือของระบบ IT คือสิ่งที่ต้องโฟกัส

ความเสี่ยงในการตรวจสอบ

1. Inherent Risk คือ ความเสี่ยงที่องค์กรมีอยู่แล้วก่อนที่จะมีการควบคุมภายใน เป็นความเสี่ยงที่เกิดโดยธรรมชาติตามลักษณะของธุรกิจ ดังนั้น เพื่อที่จะลดระดับความเสี่ยงของ Inherent Risk เราจึงต้องจัดให้มีการควบคุมภายในขึ้นมา

2. Control Risk คือ ความเสี่ยงที่เกิดขึ้นหลังจากทำการควบคุมภายในแล้ว แต่ยังไม่สามารถป้องกัน หรือตรวจพบความผิดปกติได้ อาจเกิดขึ้นได้จากสาเหตุ ดังต่อไปนี้

  • วิธีการควบคุมภายในดำเนินการอย่างไม่มีประสิทธิภาพ
  • ทรัพยากรขององค์กรไม่เพียงพอ
  • องค์กรขาดความรู้ความเข้าใจในการดำเนินการ

3. Detective Risk คือ ความเสี่ยงที่การตรวจสอบจากผู้ตรวจสอบภายในไม่สามารถตรวจพบได้ อาจเกิดขึ้นได้จากสาเหตุ ดังต่อไปนี้

  • การเลือกตัวอย่างที่ไม่ครอบคลุมทุกประชากร
  • วิธีการตรวจสอบไม่มีประสิทธิภาพ
  • ผู้ตรวจสอบไม่มีความสามารถในการปฏิบัติงานตรวจสอบ หรือให้ความเห็น

4. Audit Risk คือ ความเสี่ยงที่ผู้ตรวจสอบแสดงความเห็นไม่เหมาะสมตามสิ่งที่เกิดขึ้นจริง ๆ

ดังนั้น แต่ในละการจัดการขององค์กร เช่น การจัดให้มีการควบคุมภายใน การจัดให้มีการตรวจสอบ เป็นต้น จะสามารถลดระดับความเสี่ยงขององค์กรลงได้ให้อยู่ในระดับที่สามารถยอมรับได้

Risk Assessment

ขั้นตอนการประเมินความเสี่ยงสามารถแสดงเป็นขั้นตอนได้ดังรูปภาพด้านล่าง

1. Identify Threat Sourced and Events และ Identify Vulnerabilities and Predisposing Conditions

ก่อนที่เราจะทำการตรวจสอบแบบ Risk-Based Approach เราควรที่จะทำการระบุความเสี่ยงก่อน ซึ่งเราจะพิจารณาความเสี่ยงจาก 2 องค์ประกอบ ดังนี้

1.1 ) Threat คือ ภัยคุกคาม หรือ ปัจจัยภายนอกที่เข้ามาก่อให้เกิดความเสียหายต่อองค์กร ยกตัวอย่างเช่น

  • การฉ้อโกง
  • การทำงานผิดพลาด
  • การถูกเจาะระบบ
  • การโจรกรรม
  • การก่อวินาศกรรม
  • ภัยธรรมชาติ เช่น ไฟไหม้ น้ำท่วม แผ่นดินไหว
  • สภาพแวดล้อมที่ไม่เหมาะสม เช่น ฝุ่นละออง สารเคมี

1.2) Vulnerability คือ จุดอ่อน หรือปัจจัยภายในที่อาจก่อให้เกิดความเสียหายขององค์กร ยกตัวอย่างเช่น

  • การไม่ติดตั้งโปรแกรม Anti-virus หรือ Anti-malware ที่เครื่องคอมพิวเตอร์
  • การไม่ปรับปรุงระบบให้เป็นปัจจุบัน
  • การไม่เพิกถอนสิทธิเข้าถึงระบบสำหรับพนักงานลาออก
  • การที่พนักงาน 1 คนมีสิทธิที่จะปฏิบัติงานที่สำคัญ ๆ หลายงาน

โดยขอบเขตของความเสี่ยงที่ต้องการประเมินสามารถทำการประเมินได้ทั้งองค์กร บางส่วนขององค์กร เฉพาะระบบสารสนเทศหรือบางแผนกก็ได้

Example of Vulnerabilities and Threats | Source: ISO/IEC 27005:2018 Information Security Risk Management

2. Determine Likelihood of Occurrence และ Determine Magnitude of Impact

เราจะต้องทำการกำหนดเกณฑ์การประเมินความเสี่ยงขึ้นก่อน เพื่อทำการประเมินว่าหากความเสี่ยงเกิดขึ้นแล้วนั้นจะกระทบความเสียหายด้านใดบ้าง เช่น เกณฑ์ด้านการงานขององค์การ เกณฑ์ชื่อเสียงขององค์กร เกณฑ์ด้านการดำเนินธุรกิจขององค์กร เป็นต้น

หลังจากนั้น เราจึงกำหนดเกณฑ์ความถี่หรือโอกาสที่ความเสี่ยงนั้นอาจเกิดขึ้น และกำหนดเกณฑ์ความรุนแรงของความเสียหายที่จะเกิดขึ้น หากเกิดเหตุการณ์ความเสี่ยง

3. Determine Risk

จากเราจะทำการประเมินความเสี่ยงเป็นระดับต่าง ๆ ทั้งด้านเกณฑ์ความถี่หรือโอกาสที่ความเสี่ยงนั้นอาจเกิดขึ้น และเกณฑ์ความรุนแรงของความเสียหายที่จะเกิดขึ้น เช่น ระดับต่ำมาก ระดับต่ำ ระดับกลาง ระดับสูง ระดับสูงมาก ทั้งนี้ การตั้งระดับขึ้นอยู่กับความเหมาะสมขององค์กร อาจเป็นได้ทั้ง 3 ระดับ 5 ระดับ หรือ 7 ระดับก็ได้

เมื่อเราทำการประเมินความเสี่ยงตามตัวอย่างตารางด้านบนแล้ว เราจะต้องทำการเลือกว่าเราจะจัดการความเสี่ยงนั้นอย่างไร ดังนี้

1) Risk Mitigation คือ การจัดให้มีการควบคุมภายในองค์กรขึ้น เพื่อลดระดับความเสี่ยงลงมา เช่น ลดจากระดับสูงมาก ให้อยู่ให้ระดับกลาง

2) Risk Acceptance คือ การยอมรับความเสี่ยงนั้นให้เกิดขึ้นได้ โดยไม่มีการดำเนินการอะไร โดยที่องค์กรจะต้องกำหนดระดับที่ยอมรับความเสี่ยงได้ก่อน มักใช้กับความเสี่ยงที่อยู่ในระดับต่ำมากและต่ำ แต่อย่างไรก็ตาม ยังคงต้องมีการติดตามและทำการประเมินอย่างสม่ำเสมอ เพื่อไม่ให้ความเสี่ยงนั้นเพิ่มระดับขึ้นไปจากระดับที่เรายอมรับใด้

3) Risk Avoidance คือ การหลีกเลี่ยงการกระทำ หรือการดำเนินงานใด ๆ ที่อาจทำให้ความเสี่ยงนั้นเกิดขึ้น

4) Risk Transfer คือ การย้ายความเสี่ยงนั้นไปยังหน่วยงานอื่น เช่น บริษัทประกันภัย บริษัท Supplier

เมื่อเราทำการประเมินความเสี่ยงมาถึงขั้นนี้แล้ว เราจะทราบได้ว่าส่วนงานไหนขององค์กรที่มีความเสี่ยงสูง ส่วนงานไหนขององค์กรที่มีความเสี่ยงต่ำ ดังนั้น เราสามารถที่จะวางแผนได้ว่าตรงไหนที่เราควรจะให้ทรัพยากรขององค์กรมาก ตรงไหนที่เราควรจะให้ทรัพยากรขององค์กรน้อย ตามระดับความเสี่ยงที่เราประเมินนั่นเอง อีกทั้งเรายังเลือกวิธีการตรวจสอบที่เหมาะสมได้อีกด้วย

--

--

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store