สารบัญ
ลองนึกถึงหมอที่ต้องตรวจสุขภาพผู้ป่วย 100 คนภายในหนึ่งวัน
เขาไม่สามารถตรวจทุกอย่างกับทุกคนได้ ต้องตัดสินใจว่า “ใครเสี่ยงสูง ต้องตรวจละเอียด” และ “ใครเสี่ยงต่ำ ตรวจเบื้องต้นก็พอ” — แต่นั่นหมายความว่ามีโอกาสที่เขา พลาดบางอย่างไป
และโอกาสพลาดนั้น ขึ้นอยู่กับสองสิ่ง: ผู้ป่วยคนนั้นมีสุขภาพพื้นฐานดีแค่ไหน (inherent condition) และตรวจสอบผ่านระบบตรวจที่ดีแค่ไหน (control)
นั่นคือตรรกะเดียวกับที่ IS auditor ใช้เวลาคิดถึง Audit Risk ครับ
ทำไมต้องมีภาษาของ Risk ใน Audit?
ก่อนจะเริ่ม audit ใดๆ IS auditor ต้องตอบคำถามว่า: “ถ้าตรวจแบบนี้ — โอกาสที่ผมจะพลาด material error คืออะไร?”
คำตอบนั้นไม่ใช่แค่สัญชาตญาณ — ISACA กำหนดให้ IS auditor ต้องเข้าใจ audit risk เป็นกรอบที่มีสามองค์ประกอบ และแต่ละองค์ประกอบบอกคนละเรื่อง
ทำไมสำคัญ? เพราะทรัพยากรในการ audit มีจำกัด ถ้าไม่มีวิธีวิเคราะห์ว่า risk อยู่ที่ไหน — IS auditor จะจัดสรรเวลาและความพยายามผิด บางพื้นที่ที่ควรตรวจละเอียดกลับถูกตรวจผ่านๆ บางพื้นที่ที่ไม่มีความเสี่ยงจริงถูกใช้ทรัพยากรไปมาก
Audit Risk Trinity: สามองค์ประกอบที่ต้องรู้
Inherent Risk — ความเสี่ยงก่อนที่ control จะเข้ามา
Inherent Risk คือระดับความเสี่ยงหรือความเปราะบางของกระบวนการหรือหน่วยงานที่กำลังถูก audit โดยไม่คำนึงถึง controls ที่ management ได้วางไว้
กล่าวอีกแบบ: ถ้าสมมติว่าไม่มี internal control อะไรเลย — กระบวนการนี้มีโอกาสเกิดปัญหาแค่ไหน?
Inherent Risk มีอยู่โดยอิสระจาก audit — มันขึ้นอยู่กับ ธรรมชาติของธุรกิจ นั้นๆ เอง:
- บริษัทที่จัดการเงินสดจำนวนมากมี inherent risk สูงกว่าบริษัทที่ทำซอฟต์แวร์
- ระบบที่ประมวลผลธุรกรรมล้านรายการต่อวันมี inherent risk สูงกว่าระบบที่ใช้งานเดือนละครั้ง
- กระบวนการที่ซับซ้อนและต้องใช้วิจารณญาณของคนมี inherent risk สูงกว่ากระบวนการที่อัตโนมัติและตรงไปตรงมา
สิ่งสำคัญ: IS auditor ไม่สามารถ “ลด” Inherent Risk ได้ มันเป็นลักษณะเฉพาะของกระบวนการทางธุรกิจนั้นๆ สิ่งที่ IS auditor ทำได้คือ รับรู้ ว่ามันสูงหรือต่ำ และปรับความเข้มข้นของการ audit ตามนั้น
Control Risk — ความเสี่ยงที่ internal control จะล้มเหลว
Control Risk คือความเสี่ยงที่ material error จะเกิดขึ้นและ ไม่ถูกป้องกันหรือตรวจจับได้ทันเวลา โดยระบบ internal control ที่มีอยู่
นี่คือความเสี่ยงที่ว่า “controls มีอยู่ แต่ไม่ทำงาน” หรือ “มีช่องโหว่ใน control อยู่”
ตัวอย่างที่ CRM ยกมาน่าสนใจมาก:
- Control risk สูง: การตรวจ computer logs ด้วยมือ — คนตรวจมักพลาดความผิดปกติที่ต้องสืบสวนได้ง่าย
- Control risk ต่ำ: การตรวจสอบข้อมูลแบบอัตโนมัติที่ทำงานสม่ำเสมอ — ถ้าตั้งค่าถูกต้อง ทุกธุรกรรมผ่านการตรวจเหมือนกัน
ความแตกต่างสำคัญ: Control Risk เป็นลักษณะเฉพาะของ control system ที่ management ออกแบบ ไม่ใช่ลักษณะของกระบวนการทางธุรกิจเอง
Overall Audit Risk — ความเสี่ยงที่ auditor จะพลาด material error
Overall Audit Risk คือความเสี่ยงที่ IS auditor จะ ไม่ตรวจจับ material error ในข้อมูลหรือรายงานทางการเงิน
นี่คือ risk ที่ตรงที่สุดสำหรับ IS auditor เพราะมันคือ risk ว่าความเห็นจาก audit ที่ออกไปจะ ผิด
เป้าหมายของแนวทางในการ audit คือจำกัด overall audit risk ให้อยู่ในระดับที่ “ต่ำเพียงพอ” เมื่อ audit เสร็จสิ้น
ความสัมพันธ์ระหว่างสามองค์ประกอบ
| องค์ประกอบ | ขึ้นอยู่กับ | IS Auditor ควบคุมได้? |
|---|---|---|
| Inherent Risk | ธรรมชาติของกระบวนการทางธุรกิจ | ไม่ได้ — รับรู้และตอบสนองเท่านั้น |
| Control Risk | คุณภาพของ internal controls ที่ management วางไว้ | ไม่ได้โดยตรง — แต่ประเมินและรายงาน |
| Overall Audit Risk | ขั้นตอนของ audit ที่ IS auditor เลือกใช้ | ได้ — ผ่านการออกแบบแนวทางในการ audit |
ตรรกะของการใช้สามองค์ประกอบนี้:
- Inherent Risk สูง + Control Risk สูง → ต้องทุ่มความพยายามในการ audit มากกว่า
- Inherent Risk ต่ำ + Control Risk ต่ำ → audit ที่เบากว่าก็สามารถบรรลุ overall audit risk ในระดับที่ยอมรับได้
Materiality: ไม่ใช่ทุก Error ที่ต้องรายงาน
Materiality คือความสำคัญของข้อมูลชิ้นหนึ่งว่ามีผลกระทบต่อการทำงานของหน่วยงานที่ถูก audit ขนาดไหน
เข้าใจง่ายๆ: error บางตัวมีขนาดเล็กมากจนไม่มีผลต่อการตัดสินใจของใครก็ตามที่อ่านรายงาน — นั่นคือ error ที่ไม่ material
แต่ถ้า error นั้นมีขนาดใหญ่พอที่จะเปลี่ยนข้อสรุปของคนที่อ่านรายงาน — นั่นคือ material error ที่ต้องรายงาน
กฎผกผันที่ออกข้อสอบบ่อยมาก
ความสัมพันธ์แบบผกผันระหว่าง Materiality กับ Acceptable Audit Risk:
ยิ่ง Materiality สูง → ยิ่งรับ audit risk ได้น้อย ยิ่ง Materiality ต่ำ → ยิ่งรับ audit risk ได้มากขึ้น
ทำไม? เพราะถ้าพื้นที่ที่กำลัง audit มี materiality สูง — ถ้าพลาดไปผลกระทบจะใหญ่มาก ดังนั้นต้อง audit อย่างระมัดระวังกว่า ลด audit risk ให้ต่ำกว่า
ถ้าพื้นที่นั้นมี materiality ต่ำ — พลาดไปก็ผลกระทบน้อย สามารถรับ audit risk ที่สูงขึ้นและใช้แนวทางในการ audit ที่เบากว่าได้
ผลรวมของจุดอ่อนใน Control
สิ่งที่ IS auditor ต้องระวังเป็นพิเศษ: จุดอ่อนของ internal control บางอย่างที่ดูเหมือนเล็กน้อย อาจรวมกับผลของความเสี่ยงอื่นๆ และกลายเป็น material ต่อระบบโดยรวม
ตัวอย่าง: ระบบอาจไม่จับ error เล็กๆ รายการเดียว แต่ถ้า error นั้นเกิดซ้ำในทุกธุรกรรมของวันหนึ่ง — ผลสะสมอาจ material มาก
Risk Analysis: จากแนวคิดสู่การลงมือทำ
การเข้าใจสามองค์ประกอบของ audit risk นำไปสู่ขั้นตอน Risk Analysis ซึ่งเป็นกระบวนการที่ IS auditor ต้องทำก่อนและระหว่าง audit
ISACA กำหนดว่า IS auditor ต้องเข้าใจว่าองค์กรที่กำลังถูก audit เข้าหา risk assessment ยังไง เพราะนั่นจะบอกว่า:
- องค์กรระบุ risk ได้ครบหรือเปล่า
- Risk ถูกคำนวณและจัดลำดับตามเกณฑ์ที่เหมาะสมหรือเปล่า
- Controls ที่วางไว้นั้นสอดคล้องกับ risk ที่ระบุไว้หรือเปล่า
สิ่งสำคัญ: IT management เป็นผู้รับผิดชอบ risk assessment — ไม่ใช่ IS auditor IS auditor อาจ ช่วย ในกระบวนการนั้น แต่ความรับผิดชอบอยู่ที่ management
ขณะเดียวกัน IS auditor สามารถ ประเมินอย่างเป็นอิสระ ว่า risk assessment ที่ management ทำนั้นเหมาะสม ทันเวลา และครอบคลุมหรือเปล่า
เทคนิค Risk Assessment ที่ IS Auditor ใช้
เมื่อ IS auditor กำหนดว่าพื้นที่งานไหนควรถูก audit — มีหลายวิธีที่ใช้ประเมิน risk:
วิธีเชิงปริมาณ (Quantitative):
- ระบบให้คะแนนที่กำหนดค่าตัวเลขให้กับปัจจัยของ risk เช่น ความซับซ้อนทางเทคนิค ระดับของขั้นตอน control การสูญเสียทางการเงิน/risk
- ตัวแปรอาจถูกถ่วงน้ำหนักแตกต่างกันตามความสำคัญ
- คะแนน risk ถูกเปรียบเทียบกันเพื่อจัดลำดับตารางการ audit
วิธีเชิงคุณภาพ (Subjective):
- อิงจากความรู้ในธุรกิจ คำสั่งของผู้บริหาร มุมมองในอดีต เป้าหมายของธุรกิจ
- ปัจจัยแวดล้อม เช่น การเปลี่ยนแปลงของกฎระเบียบ สภาพตลาด
- ไม่มีสูตรตายตัว แต่ใช้วิจารณญาณเชิงวิชาชีพ
ในทางปฏิบัติ อาจใช้ทั้งสองวิธีร่วมกัน และวิธีการทำ risk assessment ควรพัฒนาไปตามเวลาเพื่อให้เหมาะกับความต้องการขององค์กร
ความเชื่อมโยงกับ Control: Risk กับ Control เป็นความสัมพันธ์สองทาง
เรื่องสุดท้ายใน D1.08 ที่อยากจะเชื่อมไปก่อน: audit risk และ control ไม่ได้เป็นเรื่องแยกขาดกัน — พวกมันมีความสัมพันธ์แบบสองทางที่ IS auditor ต้องเข้าใจ
ทิศทางที่ 1 — Risk เป็นตัวขับการออกแบบ Control:
Control ถูกออกแบบมาเพื่อจัดการ risk ที่ระบุไว้ ถ้า risk assessment บอกว่า unauthorized access เป็นพื้นที่ที่มี inherent risk สูง — controls ที่ออกแบบเพื่อจัดการการเข้าถึงจะถูกลงทุนมากกว่า นั่นคือชุดของ control ขององค์กรควรสะท้อนภาพรวมของ risk ขององค์กรนั้นๆ
ทิศทางที่ 2 — คุณภาพของ Control มีผลต่อ Audit Risk:
เมื่อ IS auditor ประเมินสภาพแวดล้อมของ control — คุณภาพของ controls ที่พบจะมีผลโดยตรงว่า control risk (ส่วนหนึ่งของสามองค์ประกอบของ audit risk) อยู่ที่ระดับไหน
ถ้า IS auditor พบว่า controls แข็งแกร่ง — control risk ต่ำ — overall audit risk ต่ำกว่า ทำให้แนวทางในการ audit สามารถใช้ substantive testing ที่เบากว่าได้ ถ้า IS auditor พบว่า controls อ่อนแอ — control risk สูง — ต้องเพิ่ม substantive testing เพื่อดึง overall audit risk ลงมาสู่ระดับที่ยอมรับได้
นี่คือจุดเชื่อมที่ผูกกรอบ audit risk (D1.08) เข้ากับกรอบการประเมิน control (D1.09 และ D1.10) และกลับมามีอิทธิพลต่อแนวทางการทดสอบ (D1.13)
เมื่อเข้าใจความสัมพันธ์นี้แล้ว IS auditor จะรู้ว่า “การประเมิน controls ไม่ใช่แค่การไล่เช็กลิสต์ แต่เป็นการตัดสินว่ามีหลักฐานมากพอที่จะรองรับข้อสรุปของ audit ได้แค่ไหน”
มุมผู้บริหาร: อย่าสับสนระหว่าง Business Risk กับ Audit Risk
มีความเข้าใจผิดที่เห็นบ่อยมากใน management ระดับต่างๆ คือคิดว่า “audit risk” = “business risk ของบริษัท”
แต่สองอย่างนี้ต่างกันครับ:
- Business risk คือความเสี่ยงที่บริษัทอาจล้มเหลวในการบรรลุเป้าหมายของตัวเอง
- Audit risk คือความเสี่ยงที่ IS auditor จะให้ความเห็นที่ไม่ถูกต้องเพราะพลาด material error
IS audit ที่มี audit risk ต่ำ ไม่ได้แปลว่า business risk บริษัทต่ำ — แต่แปลว่าความเห็นที่ออกมานั้นน่าเชื่อถือขนาดนั้น
Management ที่เข้าใจเรื่องนี้จะใช้ความเห็นจาก IS audit ได้ถูกต้องมากขึ้น แทนที่จะมองว่า “ผ่าน audit = ปลอดภัย 100%”
ความจริงคือ: IS auditor ทำงานภายใต้ความไม่แน่นอนเสมอ สิ่งที่แนวทางเชิงวิชาชีพทำคือบริหารความไม่แน่นอนนั้นให้อยู่ในระดับที่ยอมรับได้ — ไม่ใช่กำจัดมันออกไปทั้งหมด ซึ่งเป็นไปไม่ได้
ตอนนี้เราเข้าใจภาษาของ risk ใน audit แล้ว ขั้นตอนถัดไปคือเข้าใจเครื่องมือที่ใช้จัดการ risk นั้น — นั่นก็คือ controls ที่เราจะเจาะลึกตั้งแต่ D1.09 เป็นต้นไป
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.2 Types of Audits, Assessments and Reviews
