IA Quick Wins : แนวทางพัฒนาหน่วยงาน IA แบบเห็นผลทันตา


By Kandit Advisory Services

หน่วยงานตรวจสอบภายใน เป็นหน่วยงานที่ต้องปรับปรุงและพัฒนาตนเองให้ดีขึ้นอยู่เสมอ โดยเฉพาะอย่างยิ่งในยุคที่เกิด Technology disruption จนหน่วยงานตรวจสอบภายในหลายแห่งต้องปรับตัวอย่างจริงจัง แนวโน้มการตรวจสอบสมัยใหม่แบบ Continuous audit การตรวจสอบแบบบูรณาการ (Integrated audit) ซึ่งผู้ตรวจสอบจะต้องมี multi skill หรือมีความรู้ด้าน IT มากขึ้น มีการนำเทคโนโลยีเช่น Data analytic tool เข้ามาใช้ เป็นเรื่องที่ฟังดูแล้วน่าปวดหัว แถมอาจจะต้องเสียเงินเพื่อจ้างผู้เชี่ยวชาญภายนอกมาช่วยเพื่อปรับปรุงงาน IA ให้ทันสมัยขึ้น

แท้ที่จริงแล้วมีหลายวิธีที่หน่วยงานตรวจสอบภายใน สามารถเริ่มปรับปรุงตนเองให้เป็นหน่วยงาน IA สมัยใหม่ได้ทันที ด้วยวิธีการที่ไม่ต้องลงทุนอะไรมากมาย และได้เห็นผลชัดเจนในเวลาอันสั้น ซึ่งบทความนี้จะขอยกตัวอย่าง แนวทางที่เชื่อว่าหากแต่ละหน่วยงานได้ลองปฏิบัติดู จะเห็นผลได้ภายในเวลาไม่เกิน 3 เดือน ผู้บริหาร ผู้ใช้รายงาน และตัวหน่วยงานเองจะรู้สึกได้ถึงความแตกต่างและคุณภาพงานที่ดีขึ้น

1. ทำบทสรุปสำหรับผู้บริหารให้สั้น กระชับ เห็นภาพ
โดยทั่วไป ผู้บริหารระดับสูง และคณะกรรมการ มักจะไม่ค่อยมีเวลาสำหรับการอ่านรายงานตรวจสอบภายในอย่างละเอียด การเขียนรายงานตรวจสอบแบบหนา เขียนสรุปผลโดยยึดติดกับ Pattern เดิม เขียนบทสรุปผู้บริหารหลายหน้า มีแต่จะทำให้ผู้อ่านรู้สึกเบื่อ และไม่สนใจอ่านรายงานตรวจสอบภายในอีก

เทคนิคง่ายๆ คือ บทสรุปผู้บริหาร ควรเป็นการสรุปเฉพาะภาพรวม วัตถุประสงค์ และประเด็นสำคัญ แล้วนำเสนอโดยอาศัยการใช้รูปภาพ หรือกราฟ ที่เข้าใจได้ง่าย ในขณะที่ร่างบทสรุปผู้บริหารนั้น ผู้ตรวจสอบอาจลองประเมินดูก็ได้ว่า หากต้องนำเสนอบทสรุปผู้บริหารนั้นต่อผู้อ่านภายในเวลาเพียงห้าถึงสิบนาที จะสามารถทำได้หรือไม่ หากคิดว่าไม่สามารถทำได้ แสดงว่าบทสรุปผู้บริหารนั้น ยังยาวจนเกินไปอยู่

       2. เข้าพบผู้บริหารระดับสูงให้บ่อยขึ้น และขอเข้าสังเกตการณ์ในที่ประชุมสำคัญ
จากประสบการณ์ที่ผู้เขียนได้ประเมินคุณภาพงานตรวจสอบภายใน ให้กับหน่วยงานตรวจสอบภายในหลายแห่ง พบว่าหลายหน่วยงาน แทบจะไม่เคยได้มีโอกาสพบผู้บริหารระดับสูงเลย การสื่อสารในเรื่องความคาดหวัง ประเด็นที่ผู้บริหารสนใจ การรายงานผลการตรวจ ถูกจัดการให้จบไปในระดับผู้บริหารระดับกลางโดยไม่รู้สาเหตุ บางทีอาจเป็นเรื่องของธรรมเนียมปฏิบัติ การไม่ได้รับความร่วมมือจากฝ่ายบริหาร หรือแม้แต่การที่ฝ่ายตรวจสอบเองคิดว่า ในเมื่อตกลงกับผู้บริหารเจ้าของกระบวนการได้แล้ว ก็ไม่อยากไปยุ่งกับผู้บริหารระดับสูงจะดีกว่า ยังไงเสียเราก็ส่งรายงานให้ท่านๆได้อ่านอยู่แล้วนี่

แต่เมื่อผู้เขียนได้สัมภาษณ์ผู้บริหารระดับสูง ต่างพูดเป็นเสียงเดียวกันว่า พวกเขายินดีที่จะได้พบกับหน่วยงานตรวจสอบภายใน เพื่อหารือ แลกเปลี่ยน เกี่ยวกับประเด็นความเสี่ยงและการควบคุมภายใน ตลอดจนความคาดหวังต่างๆ มากกว่าการส่งรายงานที่พวกเขาก็แทบจะไม่มีเวลาได้อ่าน (หรืออาจจะอ่านไม่รู้เรื่อง)

สิ่งที่หน่วยงานตรวจสอบภายในควรทำคือ ก่อนการวางแผนงานประจำปี ควรจะขอเข้าพบผู้บริหารระดับสูงเป็นรายบุคคลเพื่อนำความคิดเห็นของท่านมาประกอบการประเมินความเสี่ยง และทุกไตรมาส ควรได้เข้าไปสื่อสาร รายงานผลการตรวจ และประเด็นที่น่าสนใจให้กับท่านทั้งหลายได้ฟัง เมื่อความสัมพันธ์ระหว่างหน่วยงานตรวจสอบภายในกับผู้บริหารดีขึ้น ย่อมส่งผลต่อบรรยากาศ และคุณภาพการทำงานไม่มากก็น้อยแน่นอน

       3. แบ่งงานเป็นชิ้นเล็ก แทนการทำงานชิ้นใหญ่
ท่านผู้อ่านเคยได้ยินหลักการ Agile Programming หรือไม่  Agile Programing เป็นการซอยโครงการพัฒนาโปรแกรมขนาดใหญ่ โดยแบ่งซอยงานออกเป็นเฟสต่างๆ จัดลำดับตามความสำคัญ และพัฒนาให้แต่ละส่วนสามารถนำมาใช้งานได้จริง โดยไม่จำเป็นต้องรอพัฒนาให้เสร็จทั้งระบบ

หลักการนี้สามารถนำมาประยุกต์ใช้กับงานตรวจสอบภายในได้เช่นเดียวกัน โดยเฉพาะการตรวจสอบโครงการขนาดใหญ่ เช่น โครงการก่อสร้าง โครงการพัฒนาระบบ IT หรือการตรวจสอบสาขาหลายแห่งภายใต้วัตถุประสงค์และขอบเขตเดียวกัน ซึ่งผู้ตรวจสอบอาจแบ่งงานออกเป็นส่วนๆ เช่น การตรวจสอบการวางแผนโครงการ ตรวจสอบการดำเนินโครงการแต่ละระยะ การติดตามผลการตรวจสอบอย่างสม่ำเสมอ และทยอยตรวจสอบและรายงานผลต่อผู้บริหารและคณะกรรมการ แทนการเข้าตรวจและรายงานผลในคราวเดียว ซึ่งอาจทำให้ขาดความต่อเนื่อง ไม่ทันต่อความต้องการใช้รายงาน และประเด็นข้อตรวจพบอาจไม่ได้รับการแก้ไขอย่างทันท่วงที

       4.  สร้างทีมตรวจสอบแบบบูรณาการ (Integrated Audit team)
การแยกตรวจสอบด้าน Operation Finance และ IT ออกจากกันกลายเป็นเรื่องล้าสมัยและหน่วยงานผู้รับตรวจมักจะไม่ค่อยชอบ เพราะหน่วยงานหนึ่งหน่วยอาจถูกทีม Audit ตรวจถึงสามสี่ทีม และยิ่งกว่านั้นคือ ผู้ตรวจสอบแต่ละทีมไม่ได้ประสานงานกัน ทำให้เกิดความซ้ำซ้อนในการปฏิบัติงานและไม่สามารถมองความเสี่ยงในภาพใหญ่ได้

หน่วยตรวจสอบภายใน ควรวางแผนการตรวจสอบแบบบูรณาการ หรือ Integrated audit ที่สร้างทีมตรวจสอบให้ประกอบไปด้วยสมาชิกในทีมที่ครอบคลุมทั้งผู้ตรวจสอบด้าน Operation Financial และ IT ทำให้สามารถมองความเสี่ยงได้ครอบคลุม ลดการทำงานซ้ำซ้อนและผู้รับตรวจไม่ต้องคอยประสานงาน เตรียมเอกสาร ให้กับผู้ตรวจสอบหลายทีมทำให้เสียเวลาโดยใช่เหตุ

     5. กำหนด Subject Matter Expert ในแต่ละด้าน
การศึกษาในปัจจุบันไม่ได้จำกัดอยู่ที่การฝึกอบรมแบบ Face to Face training อีกต่อไป สื่อการเรียนการสอนมีจำนวนมาก ไม่ว่าจะเป็น Website หรือ Youtube ต่างๆ แต่ปัญหาคือ (1) ผู้ตรวจสอบไม่มีแรงจูงใจที่จะขวนขวายหาความรู้ (2) ไม่มีใครสามารถเรียนรู้ทุกอย่างได้ด้วยตัวคนเดียว และ (3) ไม่สามารถบริหารเวลาได้

การกำหนด Subject Matter Expert หรือ SME โดยกำหนดให้ผู้ตรวจสอบแต่ละคน มีความรู้ความเชี่ยวชาญในแต่ละด้าน มีหน้าที่ต้องศึกษาอย่างต่อเนื่องและถ่ายทอดความรู้ต่อให้สมาชิกในทีม จะเป็นการแบ่งเบาภาระของแต่ละคน เกิดบรรยากาศที่แต่ละคนต้องเรียนรู้ไปด้วยกัน บางแห่ง ได้กำหนดให้การทำหน้าที่ SME เป็นปัจจัยหนึ่งที่นำมาใช้ประเมินผลงานของผู้ตรวจสอบในการประเมินผลตอบแทนเช่นกัน วิธีการนี้มีข้อดีคือ ลดค่าใช้จ่ายในการฝึกอบรมให้กับพนักงานทุกคน และเสริมสร้างความเข้มแข็งให้กับทีมตรวจสอบอย่างเห็นได้ชัด

ยังมีวิธีอีกมาก ที่ช่วยพัฒนา IA ได้อย่างทันตาเห็น โดยไม่ต้องลงทุนมากมาย แต่ละท่าน หากมีวิธีอื่นที่น่าสนใจก็สามารถแลกเปลี่ยนกันได้นะครับ

 ธนัท เกิดเจริญ CIA, CISA, CFE, CRMA


ข้อแนะนำติชม หรือปรึกษาหารือในเรื่องต่างๆ ด้าน การควบคุมภายใน การบริหารความเสี่ยง การกำกับดูแล การป้องกันการทุจริต และการตรวจสอบภายใน
E-mail : thanat@kasadvisory.com

Facebook : Kandit Advisory Services หรือ @kanditadvisory

https://www.facebook.com/kanditadvisory

Comments

Post a Comment

Popular posts from this blog

ทุจริต มะเร็งร้ายในองค์กร (ตอนที่ 1)

Image
  Kandit Advisory Services ปัญหาการทุจริตภายในองค์กร เป็นปัญหาที่ไม่มีผู้บริหารหรือเจ้าของกิจการคนไหนอยากให้เกิดขึ้นกับองค์กรของตน เพราะต่างทราบดีว่า การทุจริตนั้นเป็นเรื่องชวนปวดหัว การทุจริตเพียงครั้งเดียว อาจสร้างความเสียหายอย่างรุนแรงต่อองค์กร ทั้งความเสียหายเป็นตัวเงิน ชื่อเสียง หรืออาจทำให้องค์กรกระทำการฝ่าฝืนกฎ ระเบียบหรือข้อกฎหมายสำคัญได้ นอกจากนี้ การทุจริตยังบ่อนทำลายวัฒนธรรมขององค์กรอย่างต่อเนื่อง ในความเห็นของผู้เขียน การทุจริตก็เหมือนกับโรคมะเร็ง องค์กรใดที่ปล่อยปละละเลย ไม่เคยใส่ใจกับมาตรการป้องกันการทุจริต กว่าจะรอจนพบความเสียหายจากการทุจริต ถึงเวลานั้น บางครั้งก็อาจสายเกินไป การทุจริตจากเดิมที่เกิดขึ้นเล็กน้อย อาจจะลามไปทั่วทั้งองค์กรจนเกินเยียวยาก็เป็นได้ Association of Certified Fraud Examiners (ACFE) หรือ สมาคมผู้ตรวจสอบทุจริต ได้สำรวจเหตุการณ์ทุจริตที่เกิดขึ้นในองค์กรต่างๆ กว่า 125 ประเทศทั่วโลก ผลสำรวจแสดงให้เห็นว่า การทุจริตก่อให้เกิดความเสียหายเป็นมูลค่ากว่า 7 พันล้านเหรียญสหรัฐฯ และทั่วโลก กำลังประสบกับปัญหาการทุจริต อันเป็นภัยร้ายที่มีแนวโน้ม...
Read more

รู้จักกับ Benford’s Law

Image
ธนัท เกิดเจริญ CIA, CISA, CFE, CRMA หากเรานำข้อมูลจำนวนประชากรของประเทศต่างๆในโลกมา แล้วนับจำนวน เลขหลักแรกของจำนวนประชากรแต่ละประเทศ เช่น ประเทศ A มีประชากร 35,000,000 คนก็นับเลข 3 ไว้ว่ามีเลขสามหนึ่งครั้ง พอประเทศ B มีประชากร 13,000,000 คนก็นับว่ามีเลขหนึ่ง หนึ่งครั้ง ทำแบบนี้ไปเรื่อยๆจนครบทุกประเทศ คิดว่าตัวเลขใดจะพบว่าเป็นตัวเลขหลักแรกบ่อยที่สุด? คำตอบคือ เลข 1 และตามมาด้วยเลข 2 แล้วถ้าเปลี่ยนเป็นข้อมูลอื่นล่ะ เช่น อัตรา GDP แต่ละประเทศ ความยาวของแม่น้ำในแต่ละประเทศ หรืออัตราผู้เสียชีวิตของแต่ละประเทศ คิดว่าตัวเลขใดจะพบว่าเป็นตัวเลขหลักแรกบ่อยที่สุด คำตอบ ก็ยังคงเหมือนเดิม คือเราจะพบว่า 30% ของชุดข้อมูล จะขึ้นต้นด้วยเลข 1 และตามด้วยเลข 2 ที่ 17% และเลข 3 ตามลำดับ ในขณะที่เลข 9 จะพบแค่ราว 4% ของข้อมูลเท่านั้น นี่ไม่ใช่เรื่องบังเอิญ แต่เป็นทฤษฎีทางคณิตศาสตร์ที่นักฟิสิกส์ชื่อ Frank Benford ค้นพบในปี 1938 ในชื่อว่า “ The Law of Anomalous Numbers” ( อันที่จริง นักคณิตศาสต์อีกคนชื่อ Simon Newcomb เคยกล่าวถึงทฤษฎีนี้ไว้ตั้งแต่ปี 1881 แต่ได้รับการพิสูจน์โดย Benf...
Read more