1. โดย
สานักกากับและพัฒนาการตรวจสอบภาครัฐ
กรมบัญชีกลาง
1

2. ขอบเขตวิชา
 การควบคุมภายใน
 การประเมินผลระบบการควบคุมภายใน
 การจัดทารายงานการควบคุมภายใน
2

3. การควบคุมภายใน
Input
Process
Output
ประสิทธิภาพ / ประสิทธิผล / คุ้มค่า
การประเมินผลการควบคุมภายใน
3

4. ความหมาย
ความหมาย ตาม COSO
“Internal Control is a process, effected by an entity’s board of directors,
management and other personnel, designed to provide reasonable assurance
regarding the achievement of objectives in the following categories
- Effectiveness and efficiency of operations
- Reliability of financial reporting
- compliance with applicable laws and regulations”
ความหมาย ตาม คตง.
“การควบคุมภายใน หมายความว่า กระบวนการปฏิบัติงานที่ผู้กากับดูแล ฝ่ายบริหารและบุคลากรของ
หน่วยรับตรวจจัดให้มีขึ้น เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า การดาเนินงานของหน่วยรับตรวจ
จะบรรลุวัตถุประสงค์ของการควบคุมภายในด้ านประสิ ทธิผลและประสิ ทธิภ าพของการดาเนินงาน
ซึ่งรวมถึ งการดู แลรักษาทรัพย์สิ น การป้องกันหรือลดความผิด พลาด ความเสียหาย การรั่วไหล
การสิ้นเปลือง หรือการทุจริตในหน่วยรับตรวจ ด้านความเชื่อถือได้ของรายงานการทางการเงิน และ
ด้านการปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับและมติคณะรัฐมนตรี
4

5. แนวคิดเกี่ยวกับการควบคุมภายใน
 เป็น “ กระบวนการ ” ที่รวมไว้หรือเป็นส่วนหนึ่งใน
ฝ่ายบริหาร –จัดให้มีระบบ
การปฏิบัติงานตามปกติ
และติดตามผล
ผู้ปฏิบัติงาน -ปฏิบัตตามระบบ
ิ
 เกิดขึ้นได้โดย “ บุคลากร” ในองค์กร
 ทาให้เกิด “ ความมั่นใจในระดับที่สมเหตุสมผล ”
เท่านั้น ว่าการปฏิบัติงานจะบรรลุวัตถุประสงค์ที่
กาหนด
5

6. ความรับผิดชอบของฝ่ายบริหาร
การควบคุมภายในเป็นเครื่องมือที่ผู้บริหารนามาใช้เพื่อให้ความมั่นใจอย่าง
สมเหตุสมผลว่าการดาเนินงานจะบรรลุผลสาเร็จตามวัตถุประสงค์ที่กาหนด
 ผู้บริหารระดับสูง มีหน้าที่รับผิดชอบโดยตรงในการ
กาหนดหรือออกแบบและประเมินผลการควบคุมภายใน
 ผู้บริหารระดับรองลงมาทุกระดับ มีหน้าที่กาหนดหรือ
ออกแบบการควบคุมภายในของส่วนงานที่แต่ละคน
รับผิดชอบ
ผู้บริหารควรตระหนักว่าโครงสร้างการควบคุมภายในที่ดีเป็นพื้นฐานที่สาคัญ
ของการควบคุมเพื่อให้การดาเนินงานบรรลุผลสาเร็จตามวัตถุประสงค์ของ
หน่วยรับตรวจ
6

7. องค์ประกอบของการควบคุมภายใน
5. การติดตามประเมินผล
2. การประเมิน
3. กิจกรรม
ความเสี่ยง
การควบคุม
4. สารสนเทศ
นโยบาย/วิธีปฏิบัติ
ระบุปัจจัยเสี่ยง
และการสื่อสาร
การกระจายอานาจ
วิเคราะห์ความเสี่ยง
การจัดการความเสี่ยง
การสอบทาน
ฯลฯ
ปรัชญา
โครงสร้าง
บุคลากร
อานาจหน้าที่
จริยธรรม
การบริหารงานบุคคล
1. สภาพแวดล้อมการควบคุม
7

8. 1. สภาพแวดล้อมของการควบคุม (Control Environment)
หมายถึง ปัจจัยต่างๆซึ่งร่วมกันส่งผลให้มีการควบคุมขึ้นในหน่วย
รับตรวจหรือทาให้การควบคุมที่มีอยู่ได้ผลดีขึ้น ในทางตรงกัน
ข้ามก็อาจทาให้การควบคุมย่อหย่อนลงได้
ปัจจัยเกี่ยวกับสภาพแวดล้อมของการควบคุม
- ปรัชญาและรูปแบบการทางานของผู้บริหาร
- ความซื่อสัตย์และจริยธรรม
- ความรู้ ทักษะและความสามารถของบุคลากร
- โครงสร้างการจัดองค์กร
- การมอบอานาจและหน้าที่ความรับผิดชอบ
- นโยบายและวิธีบริหารบุคลากร
8

9. การสร้างสภาพแวดล้อมการควบคุมที่ดี
การควบคุมที่เป็น
รูปธรรม
(Hard Controls)
กาหนดโครงสร้าง
องค์กร
นโยบาย
ระเบียบวิธีปฏิบัติ
การควบคุมที่เป็นนามธรรม
(Soft Controls)
ความซื่อสัตย์
ความโปร่งใส
ความรับผิดชอบ
ความมีจริยธรรม วัฒนธรรม
ความไว้ใจ เชื่อใจ
9

10. 2. การประเมินความเสี่ยง
หมายถึง การวัดค่าความเสี่ยง เพื่อใช้กาหนด
ลาดับความสาคัญของความเสี่ยง
ฝ่ายบริหารต้องประเมินความเสี่ยงทั้งจาก
ปัจจัยภายในและภายนอกที่มีผลกระทบต่อการบรรลุ
วัตถุประสงค์ของหน่วยรับตรวจอย่างเพียงพอและ
เหมาะสม
10

11. ความเสี่ยง คืออะไร
โอกาสที่จะเกิดความผิดพลาดความเสียหาย
การรั่วไหล ความสูญเปล่า หรือ
เหตุการณ์ซึ่งไม่พึงประสงค์ ที่ทาให้งานไม่ประสบ
ความสาเร็จตามวัตถุประสงค์และเป้าหมายที่กาหนด
11

12. การประเมินความเสียง (Risk Assessment)
่
ประเมินว่าแต่ละปัจจัยเสี่ยงนั้นมีโอกาสที่จะเกิดมากน้อยเพียงใด
และหากเกิดขึ้นแล้วจะส่งผลกระทบต่อองค์กรรุนแรงเพียงใด
และนามาจัดลาดับว่าปัจจัยเสี่ยงใดมีความสาคัญมากน้อยกว่ากัน
เพื่อจะได้กาหนดมาตรการตอบโต้กบปัจจัยเสี่ยงเหล่านั้นได้
ั
อย่างเหมาะสม
ประเมินผลกระทบ (Impact)
ประเมินโอกาสที่จะเกิด (Likelihood)
คานวณระดับความเสี่ยง (Risk Exposure) เพื่อจัดลาดับ
12

13. ขั้นตอนในการประเมิน
กาหนด
ความเสี่ยง
วัตถุประสงค์ระดับ
ใช้ในการประเมินการ
ควบคุมภายในเพื่อ
รายงาน
องค์กร/กิจกรรม
1.การระบุปัจจัยเสี่ยง (Risk Identification)
2.การวิเคราะห์ความเสี่ยง (Risk Analysis)
3.การบริหารความเสี่ยง (Risk Management)
13

14. การระบุปัจจัยเสี่ยง
คาถามที่ใช้ในการระบุปัจจัยเสี่ยง
 อะไรที่จะทาให้การดาเนินกิจกรรมนั้นๆ
ไม่บรรลุผลสาเร็จตามวัตถุประสงค์/เป้าหมาย
 การกระทาหรือเหตุการณ์ใดที่ขัดขวางหรือ
เป็นอุปสรรคในการดาเนินกิจกรรม
ไม่ให้บรรลุผลสาเร็จ
 อะไรที่จะทาให้เกิดความเสียหาย การสูญเปล่า
การรั่วไหล หรือความผิดพลาด
14

15. ตัวอย่างโอกาสที่จะเกิดเหตุการณ์ที่เป็นความเสี่ยง
โอกาสที่จะเกิดความเสี่ยง
ความถี่ที่เกิดขึ้น (เฉลี่ย)
ระดับคะแนน
สูงมาก
มากกว่า 1 ครั้งต่อเดือน
5
สูง
ระหว่าง1-6 เดือนต่อครั้ง
4
ปานกลาง
ระหว่าง 6-12 เดือนต่อครั้ง
3
น้อย
มากกว่า 1 ปีต่อครั้ง
2
น้อยมาก
มากกว่า 5 ปีต่อครั้ง
1
15

16. ตัวอย่างโอกาสที่จะเกิดเหตุการณ์ที่เป็นความเสี่ยง
โอกาสที่จะเกิด
ความเสี่ยง
สูงมาก
สูง
ปานกลาง
น้อย
น้อยมาก
เปอร์เซ็นต์โอกาส
ที่จะเกิดขึ้น
มากกว่า 80%
70-79%
60-69%
50-59%
น้อยกว่า 50%
ระดับคะแนน
5
4
3
2
1
16

17. ตัวอย่างผลกระทบต่อองค์กร (ด้านการเงิน)
ผลกระทบต่อองค์กร
ความเสียหาย
ระดับคะแนน
สูงมาก
สูง
ปานกลาง
น้อย
น้อยมาก
มากกว่า 10 ล้านบาท
5แสนบาท -10 ล้านบาท
1แสนบาท - 5 แสนบาท
1 หมื่นบาท - 1 แสนบาท
น้อยกว่า 1 หมื่นบาท
5
4
3
2
1
17

18. ตัวอย่างผลกระทบต่อองค์กร (ด้านเวลา)
ผลกระทบ
ต่อองค์กร
สูงมาก
สูง
ปานกลาง
น้อย
น้อยมาก
ความเสียหาย
ทาให้เกิดความล่าช้าของโครงการ มากกว่า 6 เดือน
ทาให้เกิดความล่าช้าของโครงการ มากกว่า 4.5 เดือน ถึง 6 เดือน
ทาให้เกิดความล่าช้าของโครงการ มากกว่า 3 เดือน ถึง 4.5 เดือน
ทาให้เกิดความล่าช้าของโครงการ มากกว่า 1.5 เดือน ถึง 3 เดือน
ทาให้เกิดความล่าช้าของโครงการ ไม่เกิน 1.5 เดือน
- ด้านชื่อเสียง
- ด้านลูกค้า
- ดานความสาเร็จ - ด้านบุคลากร
ระดับ
คะแนน
5
4
3
2
1
18

19. เกณฑ์การประเมินระดับของผลกระทบ (ไม่เป็นตัวเงิน)
ระดับ
ผลกระทบ
ผลกระทบต่อ
ทรัพย์สิน
วัตถุประสงค์
องค์กร
๑
น้อยมาก
ไม่มีการสูญเสีย
น้อยมากหรือไม่มี ไม่ส่งผลเลย หรือส่งผลระดับบุคคล
๒
น้อย
สูญเสียเล็กน้อย
ค่อนข้างน้อย
๓
ปานกลาง
สูญเสียปานกลาง บางส่วน
ส่งผลกระทบระดับสานัก/กอง
๔
สูง
ค่อนข้างมาก
ส่งผลกระทบระดับกรม
๕
สูงมาก
สูญเสีย
ค่อนข้างมาก
สูญเสียมาก
มาก
ส่งผลกระทบไปยังภายนอกกรม
ส่งผลหระทบในหน่วยงานภายใต้
สานัก/กอง
19

20. การจัดลาดับความเสี่ยง
 คานวณระดับความเสี่ยง (Risk Exposure) เท่ากับผล
คูณของคะแนนระหว่างโอกาสที่จะเกิดกับความ
เสียหายเพื่อจัดลาดับความสาคัญ และใช้ในการ
ตัดสินใจว่าความเสี่ยงใดควรเร่งจัดการก่อน
 จัดทาแผนภูมิความเสี่ยงเพื่อให้ผู้บริหารและคนใน
องค์กรได้เห็นภาพรวมว่าความเสี่ยงมีการกระจายตัว
อย่างไร
20

21. แผนภูมิความเสี่ยง (Risk Profile)
5
4
ผล
กระ
ทบ
สูง
3
4
5
สูง
2
1
มาก
ปาน
กลาง
2
3
ต่า
1
โอกาสที่จะเกิด
21

22. การประเมินความเสี่ยง (ต่อ)
ตัวอย่างแผนภูมิความเสี่ยง (Risk Profile)
5
4
15
12
20
16
25
20
3
3
6
9
12
15
2
2
4
6
8
10
1
2
3
4
5
1
(Impact)
10
8
1
ผลกระทบ
5
4
2
3
4
5
Risk Appetite
Boundary
โอกาสที่จะเกิด
(likelihood)
22

23. การบริหารความเสี่ยง
การหลีกเลี่ยงความเสี่ยง
การลดหรือควบคุมความเสี่ยง
การยอมรับความเสี่ยง
การแบ่งปันหรือถ่ายโอน
ความเสี่ยง
23

24. การประเมินความเสี่ยง (ต่อ)
การจัดการความเสี่ยง : การหลีกเลี่ยง (Avoiding)
เป็นการหลีกเลี่ยงเหตุการณ์ที่ก่อให้เกิดความเสี่ยง
ปฏิเสธและหลีกเลี่ยงโอกาสที่จะเกิดความเสี่ยง โดยการหยุด ยกเลิก
หรือเปลี่ยนแปลงกิจกรรมหรือโครงการที่จะนาไปสู่เหตุการณ์ที่เป็น
ความเสี่ยง เช่น การเปลี่ยนแผนการสร้างรถไฟฟ้าเป็นรถ BRT ใน
เส้นทางทีไม่คุ้มทุน การยกเลิกโครงการที่สร้างผลกระทบทาง
่
สิ่งแวดล้อมให้ชุมชน
ข้อเสียคือ อาจส่งผลกระทบให้เกิดการเปลี่ยนแปลงในแผนงานของ
องค์กรมากจนเกินไปจนไม่สามารถมุ่งไปสู่เป้าหมายที่วางไว้ได้
24

25. การประเมินความเสี่ยง (ต่อ)
การจัดการความเสี่ยง : การแบ่งปัน (Sharing)
เป็นการแบ่งความรับผิดชอบให้ผู้อนร่วมรับความเสี่ยง
ื่
ยกภาระในการเผชิญหน้ากับเหตุการณ์ที่เป็นความและ
การจัดการกับความเสียงให้ผู้อน
่
ื่
มิได้เป็นการลดความเสียงที่จะเกิดขึ้น แต่เป็นการ
่
รับประกันว่าเมื่อเกิดความเสียหายแล้วองค์กรจะได้รับ
การชดใช้จากผู้อื่น เช่น
- การทาประกัน
- การใช้บริการจากภายนอก
เป็นต้น
25

26. การประเมินความเสี่ยง (ต่อ)
การจัดการความเสี่ยง : การลด (Reducing)
เป็นการลดหรือควบคุมความเสี่ยงโดยใช้กระบวนการควบคุมภายใน
พยายามลดความเสี่ยงโดยการเพิ่มเติม หรือเปลียนแปลง
่
ขั้นตอนบางส่วนของกิจกรรมหรือโครงการที่นาไปสู่
เหตุการณ์ที่เป็นความเสียง
่
ลดความน่าจะเป็นที่เหตุการณ์ที่เป็นความเสี่ยงจะเกิดขึ้น
เช่น การฝึกอบรมบุคลากรให้มีความรู้เพียงพอ การ
กาหนดผู้จัดจ้างและผู้รับมอบงานให้แยกจากกัน
ลดระดับความรุนแรงของผลกระทบเมื่อเหตุการณ์ที่เป็น
ความเสี่ยงเกิดขึ้น เช่น การติดตั้งเครื่องดับเพลิง การ
back up ข้อมูลเป็นระยะๆ การมี server สารอง
26

27. การประเมินความเสี่ยง (ต่อ)
การจัดการความเสี่ยง : การยอมรับ (Accepting)
องค์กรยอมรับความเสี่ยงนัน ในกรณีที่
้
องค์กรมีระบบการควบคุมภายในที่มีประสิทธิภาพ
มีระบบข้อมูลที่เพียงพอที่จะใช้ในการตัดสินใจ
มีความเข้าใจความเสี่ยงเป็นอย่างดี
ต้นทุนการจัดการความเสี่ยงสูงกว่าผลประโยชน์ที่คาดว่า
จะได้รับ
แต่ควรมีมาตรการติดตามอย่างใกล้ชิดเพื่อรองรับผลที่จะ
เกิดขึ้น
27

28. 3. กิจกรรมการควบคุม
หมายถึง นโยบายและวิธีการต่าง ๆที่ฝ่ายบริหารกาหนดให้
บุคลากรของหน่วยรับตรวจปฏิบัติเพื่อลดหรือควบคุมความเสี่ยง
และได้รับการสนองตอบโดยมีการปฏิบัติ
•ควรแฝงอยู่ในกระบวนการทางานตามปกติ
•สามารถลดความเสียงให้อยู่ในระดับยอมรับได้
่
•ต้นทุนคุ้มกับประโยชน์ที่ได้รับ
•เพียงพอเหมาะสมไม่มากหรือน้อยเกินไป
•มีการติดตามประเมินผลเป็นระยะ
28

29. ตัวอย่างกิจกรรมการควบคุม
-การอนุมัติ
-การกระทบยอด
-การสอบทาน
-การแบ่งแยกหน้าที่
-การดูแลปฺองกันทรัพย์สิน -การจัดทาเอกสารหลักฐาน
-การบริหารทรัพยากรบุคคล -การควบคุมเอกสาร
-การบันทึกรายการและ
- การใช้ทะเบียน
เหตุการณ์อย่างถูกต้องและทันเวลา
29

30. 4. สารสนเทศและการสื่อสาร
• สารสนเทศ หมายถึง ข้อมูลข่าวสารทางการเงิน และ
ข้อมูล ข่าวสารอื่น ๆ เกี่ยวกับการ ดาเนินงานของหน่วยรับ
ตรวจ ไม่ว่าเป็นข้อมูลจากแหล่งภายใน หรือภายนอก
• การสื่อสาร หมายถึง การส่งสารสนเทศระหว่างบุคลากร
• ฝ่ายบริหารต้องจัดให้มีสารสนเทศอย่างพอเพียงและ
สื่อสารให้ฝ่ายบริหารและบุคลากรอื่นๆที่เหมาะสมทั้งภายใน
และภายนอกหน่วยรับตรวจ ซึ่งจาเป็นต้องใช้
สารสนเทศนั้นในรูปแบบที่เหมาะสมและทันเวลา
30

31. 5. การติดตามประเมินผล ( Monitoring)
การติดตามผล หมายถึง การสอดส่องดูแลกิจกรรมที่อยู่ระหว่างการดาเนินงาน เพื่อให้
เกิดความมั่นใจว่าการดาเนินงานเป็นไปตามระบบการควบคุมภายในที่กาหนด
การประเมินผล หมายถึง การเปรียบเทียบผลการปฏิบัติงานกับระบบการควบคุมภายใน
ที่กาหนดไว้ว่ามีความสอดคล้องหรือไม่ เพียงใด และประเมินระบบการควบคุมภายในที่
กาหนดไว้ว่ายังเหมาะสมกับสภาพแวดล้อมในปัจจุบันหรือไม่
ภารกิจ
INPUT  PRO²耀SS  OUTPUT
CONTROL
ฝ่ายบริหารต้องจัด
ให้มีการติดตาม
ประเมินผลการ
ควบคุมภายใน
ติดตามระหว่าง
การปฏิบัติงาน
ประเมินผล
* ด้วยตนเอง (CSA)
* อย่างอิสระ (ผู้ตรวจสอบภายใน / อื่นๆ)
ต้องดาเนินการอย่างสม่าเสมอ ต่อเนื่อง
31

32. กระบวนการประเมินผล
และจัดทารายงานการควบคุมภายใน
32

33. 1. กาหนดผู้รับผิดชอบ
2. กาหนดขอบเขตและวัตถุประสงค์ของการประเมิน
3. ศึกษาและทาความเข้าใจโครงสร้างการควบคุมภายใน
4. จัดทาแผนการประเมินผล
5. ดาเนินการประเมินผลการควบคุมภายใน
6. สรุปผลการประเมินและจัดทารายงานการประเมิน
33

34. การกาหนดผู้รับผิดชอบ
ผู้บริหารสูงสุด
พิจารณาผลการประเมินระดับหน่วยรับตรวจ
เจ้าหน้าที่ระดับอาวุโส/
คณะทางาน
ผู้บริหารระดับส่วนงานย่อย
และผู้ปฏิบัติงาน
•อานวยการและประสานงาน
•ประเมินการควบคุม
•จัดทาแผนการประเมินองค์กร
ด้วยตนเอง
•สรุปภาพรวมการประเมินผล
•ติดตามผล
•จัดทารายงานระดับหน่วยรับตรวจ •สรุปผลการประเมิน
•จัดทารายงาน
ผู้ตรวจสอบภายใน
•ประเมินการควบคุม
ด้วยตนเอง
•สอบทานการประเมิน
•สอบทานรายงาน
•จัดทารายงาน
แบบ ปส.
34

35. 2.1 การประเมินผลระบบควบคุมภายในจะดาเนินการ
ทุกระบบทั้งหน่วยงาน หรือ
จะประเมินผลเฉพาะบางส่วนงานที่มีความเสี่ยงสูง
ซึ่งส่งผลกระทบต่อหน่วยงานเป็นอย่างมาก
2.2 กาหนดวัตถุประสงค์ของการประเมินว่า
จะมุ่งประเมินในเรื่องใด
ตามวัตถุประสงค์ของการควบคุมภายใน
(3 วัตถุประสงค์ : O F C)
2.3 คณะผู้ประเมิน
ร่วมประชุม
และนาเสนอ
ผู้บริหาร
ให้ความเห็นชอบ
ก่อนดาเนินการ
ในขั้นตอนต่อไป
35

36. พิจารณาว่าโครงสร้างการควบคุมภายในเป็นไปตามที่
ออกแบบไว้หรือไม่
 ใช้เทคนิคต่าง ๆ เช่น สอบถาม ศึกษาเอกสารต่าง ๆ
ที่เกี่ยวข้อง ฯลฯ

36

37. เรื่องที่จะประเมิน
 วัตถุประสงค์ในการประเมิน
 ขอบเขตการประเมิน
 ผู้ประเมิน
 ระยะเวลาในการประเมิน
 วิธีการประเมิน
 อุปกรณ์และเครื่องมือที่ใช้ในการประเมิน

37

38. ขั้นตอนที่ 1 : จัดประชุมเชิงปฏิบัติการ
 ขั้นตอนที่ 2 : กาหนดงานในความรับผิดชอบของส่วน
งานย่อยออกเป็นกิจกรรม/งาน เพื่อทาความเข้าใจ
วัตถุประสงค์และเป้าหมายหลักของกิจกรรม/งาน
 ขั้นตอนที่ 3 : จัดเตรียมเครื่องมือการประเมิน
 ขั้นตอนที่ 4 : ดาเนินการประเมินผลการควบคุมภายใน
ทั้งระดับส่วนงานย่อยและหน่วยงาน

38

39. ระดับส่วนงานย่อย
แบบ ปย.1
แบบ ปย.2
ระดับหน่วยงาน
แบบ ปอ.1
แบบ ปอ.2
แบบ ปอ.3
ผู้ตรวจสอบภายใน
แบบ ปส.
การรายงานต่อคณะกรรมการตรวจเงินแผ่นดินตามระเบียบฯ ข้อ 6
ให้จัดส่งเฉพาะหนังสือรับรองการประเมินผลการควบคุมภายใน (ปอ.1)
รายงานแบบอืนให้เก็บไว้ที่หน่วยงานเพื่อใช้ประโยชน์ต่อไป
่
39

40. การประเมินรายครั้ง
(Control Self Assessment : CSA)
3
1
การประเมินตามแบบประเมิน
องค์ประกอบของมาตรฐาน
การควบคุมภายใน
2
การประเมินการ
ควบคุมภายใน
ที่มีอยู่ของกิจกรรมต่าง ๆ
วิเคราะห์ความมีอยู่ ความเพียงพอ
ประสิทธิผลของการควบคุม
และเสนอแผนการปรับปรุง
การประเมินความเสี่ยงที่
ยังมีอยู่ที่เกี่ยวข้องกับ
การบรรลุวัตถุประสงค์ของ
กิจกรรมต่าง ๆ
รายงานของ
ส่วนงานย่อย
(ปย.1,ปย.2)
40

41. รายงานส่วนงานย่อย
ชื่อส่วนงานย่อย
รายงานผลการประเมินองค์ประกอบการควบคุมภายใน
ณ วันที่ .......เดือน .........................พ.ศ. ....
องค์ประกอบของการควบคุมภายใน
ผลการประเมิน / ข้อสรุป
1. สภาพแวดล้อมของการควบคุม
1.1 .......................................................
2. การประเมินความเสี่ยง
2.1 ......................................................
3. กิจกรรมการควบคุม
3.1 ......................................................
4. สารสนเทศและการสื่อสาร
4.1 ......................................................
5. การติดตามประเมินผล
5.1 ......................................................
ผลการประเมินโดยรวม
ชื่อผู้รายงาน..........................................
(ชือหัวหน้าส่วนงาน)
่
ตาแหน่ง................................................
วันที่........เดือน.............พ.ศ...........
41

42. รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน
ชื่อส่วนงานย่อย.............................
แบบ ปย. 2
รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน
สาหรับปีสิ้นสุดวันที่ ........ เดือน ..........................พ.ศ. .......
กระบวนการปฏิบัติงาน/
โครงการ/ กิจกรรม/
ด้านของงานที่ประเมิน
และวัตถุประสงค์ของ
การควบคุม
การควบคุม
ที่มีอยู่
การประเมินผล
การควบคุม
ความเสี่ยงที่
ยังมีอยู่
การปรับปรุง
การควบคุม
กาหนดเสร็จ/
ผู้รับผิดขอบ
หมายเหตุ
ปย. 2
ชื่อผู้รายงาน...........................................
(ชื่อหัวหน้าส่วนงานย่อย)
ตาแหน่ง..................................................
วันที..........เดือน.......................พ.ศ........
่
42

43. รายงานระดับหน่วยรับตรวจ
หนังสือรับรองการประเมินผลการควบคุมภายใน (ปอ.1)
เรียน (คณะกรรมการตรวจเงินแผ่นดิน / ผู้กากับดูแล / คณะกรรมการตรวจสอบหรือคณะกรรมการตรวจสอบและประเมินผล
ภาคราชการ)
___(ชื่อหน่วยรับตรวจ) ..... ได้ประเมินผลการควบคุมภายในสาหรับปีสิ้นสุดวันที่ ...... เดือน....................
พ.ศ. ุ... ด้วยวิธีการที่ (ชื่อหน่วยรับตรวจ) กาหนด โดยมีวัตถุประสงค์เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า
การดาเนินงานจะบรรลุวัตถุประสงค์ของการควบคุมภายในด้านประสิทธิผลและประสิทธิภาพของการดาเนินงานและ
การใช้ทรัพยากร ซึ่งรวมถึงการดูแลรักษาทรัพย์สิน การปฺองกันหรือลดความผิดพลาด ความเสียหาย การรั่วไหล การ
สิ้นเปลือง หรือการทุจริต ด้านความเชื่อถือได้ของรายงานทางการเงินและการดาเนินงาน และด้านการปฏิบัติตาม
กฎหมาย ระเบียบ ข้อบังคับ มติคณะรัฐมนตรี และนโยบาย ซึ่งรวมถึงระเบียบปฏิบัติของฝูายบริหาร
จากผลการประเมินดังกล่าวเห็นว่าการควบคุมภายในของ (ชื่อหน่วยรับตรวจ)
สาหรับปีสิ้นสุดวันที่
...... เดือน..................... พ.ศ. ....... เป็นไปตามระบบการควบคุมภายในที่กาหนดไว้ มีความเพียงพอและบรรลุวัตถุประสงค์
ของการควบคุมภายในตามที่กล่าวในวรรคแรก
(อนึ่ง การควบคุมภายในยังคงมีจุดอ่อนที่มีนัยสาคัญ ดังนี้
1.............................................................................................................................................................................
2.......................................................................................................................................................................ุ)
ลายมือชื่อ.......................................................
(ชื่อหัวหน้าหน่วยรับตรวจ)
ตาแหน่ง.......................................................
วันที่........เดือน.......................พ.ศ..............
43

44. รายงานระดับหน่วยรับตรวจ
แบบ
ชื่อหน่วยรับตรวจ
รายงานผลการประเมินองค์ประกอบการควบคุมภายใน
ณ วันที่ .......เดือน .........................พ.ศ. ....
องค์ประกอบของการควบคุมภายใน
ผลการประเมิน / ข้อสรุป
1. สภาพแวดล้อมของการควบคุม
1.1 .......................................................
2. การประเมินความเสี่ยง
2.1 ......................................................
3. กิจกรรมการควบคุม
3.1 ......................................................
4. สารสนเทศและการสื่อสาร
4.1 ......................................................
5. การติดตามประเมินผล
5.1 ......................................................
ผลการประเมินโดยรวม
ชื่อผู้รายงาน..........................................
(ชือหัวหน้าหน่วยรับตรวจ)
่
ตาแหน่ง................................................
วันที่........เดือน.............พ.ศ...........
44

45. รายงานระดับหน่วยรับตรวจ
แบบ ปอ. 3
ชื่อหน่วยรับตรวจ
รายงานแผนการปรับปรุงการควบคุมภายใน
ณ วันที..............เดือน.......................พ.ศ.......
่
กระบวนการปฏิบัติงาน/โครงการ/
กิจกรรม/
ด้านของงานที่
ประเมิน
และวัตถุประสงค์ของ
การควบคุม
ความเสี่ยงที่
ยังมีอยู่
งวด/เวลาที่
พบจุดอ่อน
การปรับปรุง
การควบคุม
กาหนดเสร็จ/
ผู้รับผิดชอบ
หมายเหตุ
ชื่อผู้รายงาน..............................
(ชื่อหัวหน้าหน่วยรับตรวจ)
ตาแหน่ง.......................................
วันที.........เดือน................พ.ศ......
่
45

46. การจัดทารายงานฯ : ส่วนราชการ
ขั้นตอนการจัดทารายงานระดับส่วนงานย่อย
แบบประเมินองค์ประกอบ
การควบคุมภายใน
ภาคผนวก ก
ปย.1
1
จุดอ่อนของ
การควบคุมภายใน
2
ปย.2
ภาคผนวก ข
แบบประเมินเฉพาะด้าน - ด้านการบริหาร
- ด้านการเงิน – ด้านการผลิต – ด้านอื่น ๆ
46

47. ชื่อส่วนงานย่อย
รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน
ณ วันที่..........เดือน.....................พ.ศ............
องค์ประกอบของ
การควบคุมภายใน(1)
สิ่งที่ องค์กรมีและเป็นอยู่
แบบ ปย. 1
ผลการประเมิน/ข้อสรุป
(2)
ประเมินสิ่งที่มีและเป็นอยู่เพียงพอหรือไม่
1. สภาพแวดล้อมการควบคุม
ภาคผนวก ก หน้า 85-96
2. การประเมินความเสี่ยง
3.กิจกรรมการควบคุม
4.สารสนเทศและการสื่อสาร
5.การติดตามประเมินผล
47
47

48. ตัวอย่างแบบประเมินองค์ประกอบของการควบคุมภายใน
องค์ประกอบที่ 1 สภาพแวดล้อมการควบคุม (Control Environment)
48

49. จุดที่ควรประเมิน
ภาคผนวก.ก
หน้า 85-96
1.
2.
3.
4.
5.
สภาพแวดล้อมของการควบคุม
การประเมินความเสียง
่
กิจกรรมการควบคุม
สารสนเทศและการสือสาร
่
การติดตามประเมินผล
องค์ประกอบของการควบคุม
ปย. 1
(หน้า 97)
1.
2.
3.
4.
5.
สภาพแวดล้อมของการควบคุม
การประเมินความเสียง
่
กิจกรรมการควบคุม
สารสนเทศและการสือสาร
่
การติดตามประเมินผล
ความเห็น/คาอธิบาย
สรุปว่าหน่วยงานมีและเป็นอยู่
อย่างไรในจุดทีประเมิน
่
ผลประเมิน/ข้อสรุป
ประเมินที่หน่วยงานมีและเป็นอยู่
เพียงพอหรือไม่
49
49

50. ภาคผนวก ก. ตัวอย่างแบบประเมิน (หน้า 85-96)
จุดที่ควรประเมิน
1. สภาพแวดล้อมของการควบคุม (หน้า 87-89)
1.1 ปรัชญาและรูปแบบการทางานของผู้บริหาร
1.2 ความซื่อสัตย์และจริยธรรม
1.3 ความรู้ ทักษะ ความสามารถ
1.4 โครงสร้างองค์กร
1.5 การมอบอานาจและหน้าที่
1.6 นโยบายวิธีบริหารบุคคล
1.7 กลไกการติดตามการตรวจสอบการปฏิบัติงาน
สรุป/วิธีการที่ควรปฏิบัติ.......................................
.............................................................................
ผู้ประเมิน................ตาแหน่ง...............................
ความเห็น/คาอธิบาย
ผู้บริหารได้สร้างบรรยากาศของการควบคุมให้เกิดทัศนคติ
ที่ดีต่อการควบคุมภายในโดยมีการกาหนดมาตรฐาน
จริยธรรม มีการฝึกอบรมเพื่อให้เกิดทักษะความชานาญใน
การปฏิบัติงานมีการกาหนดขอบเขตอานาจหน้าที่
50
50

51. ชื่อส่วนงานย่อย
รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน
ณ วันที่...........เดือน.................. พ.ศ. ...........
องค์ประกอบการควบคุมภายใน
1. สภาพแวดล้อมการควบคุม
ผู้บริหารได้สร้างบรรยากาศของการควบคุม
ให้เกิดทัศนคติที่ดีต่อการควบคุมภายในโดยมี
การกาหนดมาตรฐานจริยธรรม มีการฝึกอบรม
เพื่อให้เกิดทักษะความชานาญในการปฏิบัติงาน
มีการกาหนดขอบเขตอานาจหน้าที่
แบบ ปย.1
ผลการประเมิน/ ข้อสรุป
สภาพแวดล้อมการควบคุมในภาพรวม
เหมาะสมแต่มีเรื่องที่ต้องปรับปรุงดังนี้
- การฝึกอบรมให้กับพนักงานไม่ตรงกับ
งานที่ปฏิบัติ การจัดอบรมควรสารวจ
ความต้องการและสามารถนาไปใช้ในการ
ปฏิบัติงานได้
-มีการกาหนดมาตรฐานจริยธรรมแต่ไม่
มีการเผยแพร่ให้พนักงานทราบ
51
51

52. จุดที่ควรประเมิน
2. การประเมินความเสี่ยง (หน้า 90-91)
2.1 วัตถุประสงค์ระดับหน่วยรับตรวจ
2.2 วัตถุประสงค์ระดับกิจกรรม
2.3 การระบุปัจจัยเสี่ยง
2.4 การวิเคราะห์ความเสี่ยง
2.5 การกาหนดวิธีการควบคุมเพื่อปฺองกันความเสี่ยง
ความเห็น/คาอธิบาย
มีการกาหนดวัตถุประสงค์และ
เปฺาหมายของหน่วยรับตรวจและ
วัตถุประสงค์และเปฺาหมายระดับ
กิจกรรมชัดเจนสอดคล้องและ
เชื่อมโยง
สรุป/วิธีการที่ควรปฏิบัติ.......................................
..............................................................................
ผู้ประเมิน..................ตาแหน่ง...............................
52
52

53. แบบ ปย.1
ชื่อส่วนงานย่อย
รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน
ณ วันที.่ ..........เดือน.................. พ.ศ. ...........
องค์ประกอบการควบคุมภายใน
2. การประเมินความเสี่ยง
มีการกาหนดวัตถุประสงค์และเปฺาหมาย
ของหน่วยรับตรวจและวัตถุประสงค์และ
เปฺาหมายระดับกิจกรรมชัดเจนสอดคล้อง
และเชื่อมโยง
ผลการประเมิน/ ข้อสรุป
ไม่มีกลไกในการระบุความเสี่ยง
จากปัจจัยภายนอกและภายใน
อาจส่งผลให้องค์กรได้รับความเสียหาย
ทาให้การปฏิบัติงานไม่บรรลุ
วัตถุประสงค์
53
53

54. จุดที่ควรประเมิน
3. กิจกรรมการควบคุม (หน้า 92)
3.1 กาหนดขึ้นตามผลการประเมินความเสียง
่
3.2 บุคลากรทราบและเข้าใจกิจกรรมการควบคุม
3.3 ขอบเขตอานาจหน้าที่ชัดเจน
3.4 การวิเคราะห์ความเสียง
่
3.5 มาตรการปฺองกันดูแลทรัพย์สินรัดกุมเพียงพอ
3.6 กาหนดบทลงโทษกรณีฝูาฝืน
ความเห็น/คาอธิบาย
มีนโยบายและวิธีปฏิบัติงานที่ให้ความ
มั่นใจว่ามีการควบคุมที่ดีในภาพรวม
กิจกรรมการควบคุมมีการกาหนดเป็น
คาสั่งชัดเจน
3.7 มีมาตรการติดตามตรวจสอบการปฏิบัติตาม
กฎหมาย ระเบียบ ข้อบังคับ ฯลฯ
สรุป/วิธีการที่ควรปฏิบัติ.......................................
..............................................................................
ผู้ประเมิน..................ตาแหน่ง...............................
54
54

55. ชื่อส่วนงานย่อย
รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน
ณ วันที่...........เดือน.................. พ.ศ. ...........
แบบ ปย.1
องค์ประกอบการควบคุมภายใน
ผลการประเมิน/ ข้อสรุป
3. กิจกรรมการควบคุม
กิจกรรมการควบคุมมีการกาหนดเป็น
มีนโยบายและวิธีปฏิบัติงานที่ให้ความมั่นใจว่า คาสั่งชัดเจนแต่ไม่มีการตรวจสอบว่ามี
มีการควบคุมที่ดีในภาพรวมกิจกรรมการ
การปฏิบัติตามระบบหรือไม่
ควบคุมมีการกาหนดเป็นคาสั่งชัดเจน
ทาให้ความเสี่ยงยังคงมีอยู่และส่งผลให้
การปฏิบัติงานไม่บรรลุวัตถุประสงค์
และเกิดผลเสียหายต่อองค์กร
55
55

56. จุดที่ควรประเมิน
4. สารสนเทศและการสื่อสาร (หน้า 93-94)
4.1 มีระบบสารสนเทศช่วยในการตัดสินใจ
4.2 มีการรวบรวมข้อมูลการดาเนินงาน เป็นปัจจุบัน
4.3 จัดเก็บข้อมูลเป็นหมวดหมู่ครบถ้วนสมบูรณ์
4.4 มีการรายงานข้อมูลที่จาเป็นทั้งในและนอก
4.5 ระบบติดต่อสื่อสารเชื่อถือได้ทันกาล
4.6 มีการสื่อสารพนักงานทุกคนชัดเจน
ความเห็น/คาอธิบาย
มีระบบข้อมูลสารสนเทศที่เกี่ยวเนื่อง
กับการปฏิบัติงานเหมาะสมต่อความ
ต้องการของผู้ใช้และมีการสื่อสารไป
ยังฝูายบริหารและผู้ที่เกี่ยวข้อง
4.7 มีกลไกการติดตามประเมินผล
สรุป/วิธีการที่ควรปฏิบัติ.......................................
..............................................................................
ผู้ประเมิน..................ตาแหน่ง...............................
56
56

57. ชื่อส่วนงานย่อย
รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน
ณ วันที่...........เดือน.................. พ.ศ. ...........
องค์ประกอบการควบคุมภายใน
4. สารสนเทศและการสื่อสาร
มีระบบข้อมูลสารสนเทศที่เกี่ยวเนื่องกับการ
ปฏิบัติงานเหมาะสมต่อความต้องการของผู้ใช้
และมีการสื่อสารไปยังฝูายบริหารและผู้ที่
เกี่ยวข้อง
แบบ ปย.1
ผลการประเมิน/ ข้อสรุป
ข้อมูลสารสนเทศและการสื่อสารมี
ความเหมาะสมมีระบบสารสนเทศที่
สามารถใช้งานได้ครอบคลุม รวมทั้ง
จัดหารูปแบบการสื่อสารที่ชัดเจน
57
57

58. จุดที่ควรประเมิน
5. การติดตามประเมินผล (หน้า 95-96)
5.1 มีการเปรียบเทียบแผนและผลและรายงานผล
5.2 ผลการดาเนินงานไม่ได้ตามแผนแก้ไขได้ทัน
5.3 จัดเก็บข้อมูลเป็นหมวดหมู่ครบถ้วนสมบูรณ์
5.4 กาหนดการติดตามระหว่างปฏิบัติงาน
5.5 มีการติดตามตรวจสอบอย่างต่อเนื่องและสม่าเสมอ
5.6 การประเมินผลเพียงพอ
5.7 ติดตามการแก้ไขข้อบกพร่อง
สรุป/วิธีการที่ควรปฏิบัติ.......................................
..............................................................................
ผู้ประเมิน..................ตาแหน่ง...............................
ความเห็น/คาอธิบาย
มีการติดตามประเมินผลการควบคุม
ภายในและประเมินคุณภาพการ
ปฏิบัติงานเพื่อติดตามการปฏิบัติตาม
ระบบการควบคุมภายในอย่าง
ต่อเนื่อง
58
58

59. ชื่อส่วนงานย่อย
รายงานผลการประเมินองค์ประกอบของการควบคุมภายใน
ณ วันที่...........เดือน.................. พ.ศ. ...........
แบบ ปย.1
องค์ประกอบการควบคุมภายใน
ผลการประเมิน/ ข้อสรุป
5. การติดตามประเมินผล
มีการติดตามประเมินผลอย่าง
มีการติดตามประเมินผลการควบคุม
ต่อเนื่องและมีการตรวจสอบโดยผู้
ภายในและประเมินคุณภาพการปฏิบัติงาน ตรวจสอบภายใน
เพื่อติดตามการปฏิบัติตามระบบการ
ควบคุมภายในอย่างต่อเนื่อง
59
59

60. ผลการประเมินโดยรวม
มีโครงสร้างการควบคุมภายในครบ 5 องค์ประกอบ มีประสิทธิผลและเพียง
พอที่จะทาให้การปฏิบัติงานประสบผลสาเร็จตามวัตถุประสงค์แต่อย่างไรก็
ตามมีบางองค์ประกอบที่ต้องปรับปรุงคือ
การฝึกอบรม/มาตรฐานจริยธรรม ให้อธิบายว่าจะแก้ไขอย่างไร
การระบุความเสี่ยงจากปัจจัยภายนอกและภายในให้อธิบายว่าจะแก้ไขอย่างไร
ไม่มีการตรวจสอบว่ามีการปฏิบัตตามระบบให้อธิบายว่าจะแก้ไขอย่างไร
ิ
ลายมือชื่อ............................................
(.......................................)
ตาแหน่ง................ส่วนงานย่อย..........
วันที.่ ..........เดือน.............................พ.ศ........
60
60

61. การประเมินการควบคุมที่มีอยู่
และความเสี่ยงที่มีอยู่
61

62. ชื่อส่วนงานย่อย............................................
รายงานการประเมินผลและการปรับปรุงการควบคุมภายใน
สาหรับปีสิ้นสุดวันที่ ............ เดือน ................ พ.ศ. ........
แบบ ปย.2
กระบวนการ
ปฏิบัติงาน/โครงการ/
กิจกรรม/ ด้านของ
งานที่ประเมิน
และวัตถุประสงค์ของ
การควบคุม
การควบคุมที่
มีอยู่
การ
ประเมินผล
การควบคุม
ความเสี่ยงที่
ยัง
มีอยู่
การปรับปรุง
การควบคุม
กาหนด
เสร็จ/
ผู้รับผิดชอบ
หมายเหตุ
-ระบุวัตถุประสงค์
ของกิจกรรมหรือ
ด้านของงาน
-ระบุขั้นตอน
-วัตถุประสงค์ของ
แต่ละขั้นตอน
สรุป
ขั้นตอน/วิธี
ปฏิบัติงาน/
นโยบาย/
กฎเกณฑ์
เพียงพอ
และมี
ประสิทธิผล
หรือไม่
ระบุความ
เสี่ยงที่ยังมี
อยู่ที่มี
ผลกระทบ
ต่อ
ความสาเร็จ
เสนอแนะ
ระบุ
การ
ผู้รับผิดชอบ
ปรับปรุง
เพื่อป้องกัน
หรือลด
ความเสี่ยง
ระบุข้อมูล
อื่นที่ต้อง
แจ้งให้
ทราบ เช่น
วิธีดาเนิน
การ
ชื่อผู้รายงาน...........................................
(หัวหน้าส่วนงานย่อย)
ตาแหน่ง..................................................
วันที่ ......... เดือน ..............พ.ศ............
62

63. กรณีประเมินการควบคุมของ งาน
สนับสนุนอาจใช้แบบสอบถาม /
คู่มือการปฏิบัติงาน
63

64. 
มีการกาหนดหน้าทีความ
่
รับผิดชอบตามคาอธิบาย
ตาแหน่งงาน
เป็นลายลักษณ์อักษร
นาไปประเมินความเพียงพอ
ของการควบคุมภายในของ
กิจกรรมนี้
x
64

65. 65

66. การประเมินผลระดับหน่วยรับตรวจ
รายงานของส่วนงานย่อย
(ปย.1,ปย.2)
ประเมินกิจกรรมหลัก
ของหน่วยงาน
ประเมินองค์ประกอบ
ของมาตรฐานการควบคุม
ภายใน
รวมผลสรุปส่วนงานย่อยและผลการประเมินของ
ผู้ตรวจสอบภายใน นามาวิเคราะห์
เจ้าหน้าที่
เปรียบเทียบ สรุปภาพรวม
ระดับอาวุโส/คณะทางาน
ร่างรายงานของหน่วยงาน
(ปอ.1,ปอ.2, ปอ.3) ที่ผ่านการสรุปภาพรวม
รายงานของ
ผู้ตรวจสอบภายใน
หัวหน้าหน่วยงาน
ให้ความเห็นชอบและ
ลงนามใน แบบ ปอ.1
66

67. ข้อพิจารณาเกี่ยวกับข้อบกพร่องหรือจุดอ่อนทีมีนัยสาคัญ
่
การดาเนินการกรณีได้รับรายงานจุดอ่อนของการควบคุมภายใน
* เรื่องที่ควรรายงานภายในหน่วยรับตรวจ
เป็นเรื่องที่ผู้บริหารระดับสูงให้ความสนใจ และใช้ดุลยพินิจ
แล้วเห็นว่าควรสื่อสารให้ทราบภายในหน่วยรับตรวจเท่านั้น ให้สั่ง
การตามควรแก่กรณีให้ถือเป็นเรื่องรายงานภายใน
* เรื่องเกี่ยวกับจุดอ่อนหรือข้อบกพร่องที่มีนยสาคัญ
ั
- เป็นเรื่องเกี่ยวกับระบบการควบคุมภายในทีมีอยูไม่
่ ่
สามารถลดความเสี่ยงจากข้อผิดพลาด
- หรือความเสียหายในระดับที่ยอมรับได้
- รวมทั้งฝ่ายบริหารไม่สามารถตรวจพบข้อผิดพลาด
ความผิดปกติ หรือความเสียหายได้ทันกับสถานการณ์
- โอกาสที่จะเกิดการทุจริต
67

68. ขั้นตอนที่ 3 หนังสือรับรองการประเมินผลการควบคุมภายใน
หนังสือรับรองการประเมินผลการควบคุมภายใน (ปอ.1)
เรียน (คณะกรรมการตรวจเงินแผ่นดิน / ผู้กากับดูแล / คณะกรรมการตรวจสอบหรือคณะกรรมการตรวจสอบและประเมินผล
ภาคราชการ)
___(ชื่อหน่วยรับตรวจ) ..... ได้ประเมินผลการควบคุมภายในสาหรับปีสิ้นสุดวันที่ ...... เดือน....................
พ.ศ. ุ... ด้วยวิธีการที่ (ชื่อหน่วยรับตรวจ) กาหนด โดยมีวัตถุประสงค์เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า
การดาเนินงานจะบรรลุวัตถุประสงค์ของการควบคุมภายในด้านประสิทธิผลและประสิทธิภาพของการดาเนินงานและ
การใช้ทรัพยากร ซึ่งรวมถึงการดูแลรักษาทรัพย์สิน การปฺองกันหรือลดความผิดพลาด ความเสียหาย การรั่วไหล การ
สิ้นเปลือง หรือการทุจริต ด้านความเชื่อถือได้ของรายงานทางการเงินและการดาเนินงาน และด้านการปฏิบัติตาม
กฎหมาย ระเบียบ ข้อบังคับ มติคณะรัฐมนตรี และนโยบาย ซึ่งรวมถึงระเบียบปฏิบัติของฝูายบริหาร
จากผลการประเมินดังกล่าวเห็นว่าการควบคุมภายในของ (ชื่อหน่วยรับตรวจ)
สาหรับปีสิ้นสุดวันที่
...... เดือน..................... พ.ศ. ....... เป็นไปตามระบบการควบคุมภายในที่กาหนดไว้ มีความเพียงพอและบรรลุวัตถุประสงค์
ของการควบคุมภายในตามที่กล่าวในวรรคแรก
(อนึ่ง การควบคุมภายในยังคงมีจุดอ่อนที่มีนัยสาคัญ ดังนี้
1.............................................................................................................................................................................
จุดอ่อนที่มีนัยสาคัญ มาจากการพิจารณาข้อมูลในแบบประเมินผลการควบคุมภายในทั้งหมด
2.......................................................................................................................................................................ุ)
ลายมือชื่อ.......................................................
(ชื่อหัวหน้าหน่วยรับตรวจ)
ตาแหน่ง.......................................................
วันที่........เดือน.......................พ.ศ..............
68

69. รายงานของผู้ตรวจสอบภายใน
รายงานผลการสอบทานการประเมินการควบคุมภายใน
ของผู้ตรวจสอบภายใน (ปส.)
เรียน
(หัวหน้าหน่วยรับตรวจ / ผู้บริหารสูงสุดของหน่วยรับตรวจ)
ข้าพเจ้าได้สอบทานการประเมินระบบการควบคุมภายในของ (ชื่อหน่วยรับตรวจ) สาหรับปี
สิ้นสุดวันที่ ..... เดือน.................. พ.ศ. .... การสอบทานได้ปฏิบัติอย่างสมเหตุสมผลและระมัดระวัง
อย่างรอบคอบ
ผลการสอบทานพบว่าการประเมินผลการควบคุมภายในเป็นไปตามวิธีการที่กาหนด
ระบบการควบคุมภายในมีความเพียงพอและสามารถบรรลุวัตถุประสงค์ของการควบคุมภายใน
กรณีไม่มีข้อตรวจพบหรือข้อสังเกต
อย่างไรก็ตาม มีข้อสังเกตที่มีนัยสาคัญดังนี้
.........................................................................................................................................................................................
...............................................................................................................................................................................
...................
กรณีมีข้อตรวจพบหรือข้อสังเกตที่มชืีนัยสายงาน.......................................................
่อผู้ร าคัญ
(ชื่อหัวหน้าหน่วยงานตรวจสอบภายใน)
ตาแหน่ง..............................................................
วันที่............เดือน...........................พ.ศ..............
69

70. แจ้งแผนการปรับปรุงฯ ให้ผู้ที่เกี่ยวข้อง
ทราบและให้ถือปฏิบัติโดยทั่วกัน
ติดตามผลการดาเนินการตามแผนฯ ใน
งวดถัดไป
70

71. การบันทึกการประเมินเป็นลายลักษณ์อักษร
รายงานการประเมินผลระดับหน่วยรับตรวจ ควรประกอบด้วย
ขั้นตอนที่ 3
- ข้อมูลเกี่ยวกับภารกิจและวัตถุประสงค์ของหน่วยรับตรวจ
โดยรวม
จัดเตรียมเครื่อง
มือการประเมิน
- คาอธิบายเกี่ยวกับหน่วยรับตรวจและกิจกรรมต่าง ๆ
1.แบบประเมิน
องค์ประกอบของการ
ของหน่วยรับตรวจ
ควบคุมภายใน
- รายงานการประเมินผลการควบคุมภายในของแต่ละกิจกรรม
(ภาคผนวก ก)
2.แบบสอบถาม
หรือแต่ละส่วนงานย่อยที่ผู้บริหารระดับส่วนงานย่อยต่าง ๆ
การควบคุม
รับผิดชอบ
ภายใน
- เอกสารการมอบหมายความรับผิ(ภาคผนวก ข)
ดชอบในการประเมินผล
ระดับหน่วยรับตรวจโดยรวม
71

72. การบริหารความเสี่ยง
72

73. การบริหารความเสี่ยง
หมายถึง
กระบวนการที่เป็นระบบในการบริหารปัจจัยและควบคุม
กิจกรรมรวมทั้งกระบวนการดาเนินการต่าง ๆ เพื่อลด
มูลเหตุของโอกาสที่จะทาให้เกิดความเสียหายจากการ
ดาเนินการที่ไม่เป็นไปตามแผน เพื่อให้ระดับของความ
เสี่ยงและผลกระทบที่จะเกิพขึ้นในอนาคตอยู่ในระดับที่
ยอมรับได้ ควบคุมได้ และตรวจสอบได้
73

74. แนวคิดพื้นฐานของการบริหารความเสี่ยง
เป็นกระบวนการที่ต้องปรับเปลี่ยนอยู่ตลอดเวลา เพื่อให้
สอดคล้องกับการใช้ทรัพยากรและการปฏิบัติงานของ
องค์กร
เกิดจากการปฏิบัติ โดยบุคลากรทุกระดับขององค์กร
ต้องพิจารณาความเสี่ยงที่เกี่ยวข้องกับกลยุทธ์ต่างๆของ
องค์กร
นาไปใช้ทั่วทั้งองค์กร – ได้รับการปฏิบัติในทุกระดับ
รวมถึงการมองความเสี่ยงในระดับภาพรวมขององค์กร
74

75. แนวคิดพื้นฐานของการบริหารความเสี่ยง
ความเสี่ยงที่ยอมรับได้ – เพื่อความสาเร็จของ
พันธกิจหรือวิสัยทัศน์ขององค์กร
ให้ความมั่นใจอย่างสมเหตุสมผล
เป็นเครื่องมือที่นาไปสู่การบรรลุวัตถุประสงค์
75

76. ประเภทของความเสี่ยง
ความเสี่ยงด้าน
ความเสี่ยงด้าน
ความเสี่ยงด้าน
ความเสี่ยงด้าน การปฏิบัติตาม ความเสี่ยงด้าน
การปฏิบัติงาน
กลยุทธ์
การเงิน
กฏระเบียบ ความปลอดภัย
(Operational
(Strategic Risk)
(Financial Risk) (Compliance (Hazard Risk)
Risk)
Risk)
76

77. ระดับของการบริหารความเสี่ยง
แบ่งออกเป็น 4 ระดับ
1. ความเสี่ยงระดับองค์กร (Enterprise Risk)
2. ความเสี่ยงระดับหน่วยงาน (Business Risk)
3. ความเสี่ยงระดับปฏิบัติการ (Functional Risk)
4. ความเสี่ยงในเหตุการณ์ (Event Risk)
77

78. ระดับของการบริหารความเสี่ยง(ต่อ)
1. ความเสี่ยงระดับองค์กร (Enterprise Risk)
“ความเสี่ยงที่จะทาให้การดาเนินงานโดยภาพรวมของ
องค์กรไม่บรรลุตามวัตถุประสงค์และเป้าหมาย..” เช่น
- ความผิดพลาด เรื่อง การกาหนดนโยบาย
การ
กาหนดโครงสร้างการจัดการ
- การเปลี่ยนแปลงอย่างรวดเร็วทางเทคโนโลยี
- การจัดเก็บรายได้ไม่เป็นไปตามเป้าหมาย
78

79. ระดับของการบริหารความเสี่ยง(ต่อ)
2. ความเสี่ยงระดับหน่วยงาน (Business Risk)
“ความเสี่ยงที่จะทาให้การดาเนินงานในแต่ละ
หน่วยงาน/กลุ่มงานและสายงานไม่บรรลุตาม
วัตถุประสงค์และเป้าหมายของหน่วยงาน” เช่น
- ความเสียงจากการบริหารจัดการในกระบวนการ
่
ทางานต่าง ๆ ที่ไม่มีประสิทธิภาพ
79

80. ระดับของการบริหารความเสี่ยง(ต่อ)
3. ความเสี่ยงในระดับปฏิบัติการ (Functional Risk)
“ความเสี่ยงที่เกิดจากปัจจัยภายในซึ่งอยู่ภายใต้การควบคุมของ
ฝ่ายบริหาร การป้องกัน/ลดความเสี่ยงทาได้โดย จัดให้มี
กิจกรรมการควบคุมอย่างเพียงพอและเหมาะสม...” เช่น
- ไม่มีการควบคุมการจัดทารายงานของเจ้าหน้าทีและไม่จัดส่ง
่
รายงานภายในเวลากาหนด
- แบบรายงานที่จัดทาขาดการควบคุมและติดตามอย่างใกล้ชิด
80

81. ระดับของการบริหารความเสี่ยง(ต่อ)
4. ความเสี่ยงในเหตุการณ์ (Event Risk)
“ความเสี่ยงที่ไม่ได้เกิดเป็นประจาแต่เป็นเหตุการณ์
พิเศษที่เกิดขึ้นได้ในทุกระดับขององค์กร..” เช่น
- กรณีมีภัยธรรมชาติ
81

82. กระบวนการบริหารความเสี่ยง
ตามหลักการของ Committee of Sponsoring Organizations of the
Treadway Commission (COSO)
82

83. สภาพแวดล้อมในองค์กร (Internal Environment)
วัฒนธรรมขององค์กร
จริยธรรมของบุคลากร
สภาพแวดล้อมในการทางาน
มุมมองและทัศนะคติที่มีต่อความเสี่ยง
ปรัชญาในการบริหารความเสี่ยง
ระดับความเสี่ยงที่องค์กรสามารถยอมรับได้ (Risk
Appetite)
83

84. การกาหนดวัตถุประสงค์ (Objective Setting)
ความเสี่ยงเป็นสิ่งที่ส่งผลกระทบต่อการบรรลุ
วัตถุประสงค์ขององค์กร ดังนั้นการกาหนดและทา
ความเข้าใจในวัตถุประสงค์ขององค์กรจึงเป็นขั้นตอน
แรกที่ต้องกระทาเพื่อกาหนดหลักการและทิศทางใน
กระบวนการบริหารความเสี่ยง
84

85. การระบุเหตุการณ์ (Event Identification)
มีเหตุการณ์หรืออุปสรรคใดที่อาจเกิดขึ้นและส่งผล
กระทบต่อการบรรลุวัตถุประสงค์ที่องค์กรได้ตั้งไว้
พิจารณาทั้งปัจจัยภายในและภายนอก และให้ครอบคลุม
ในทุกประเภทของความเสี่ยงเพื่อให้ผู้บริหารได้รับข้อมูล
ที่เพียงพอในการนาไปบริหารจัดการได้
ปัจจัยเสี่ยงที่ไม่ได้ถูกระบุในขั้นตอนนี้จะไม่ถูกนาไป
บริหารจัดการซึ่งอาจก่อให้เกิดความเสียหายแก่องค์กรใน
ภายหลังได้
85

86. แนวทางในการระบุเหตุการณ์
แต่งตั้งคณะทางานตรวจสอบความเสี่ยง (Risk
Review Team) คือการกาหนดตัวคณะทางานไม่ว่าจะ
เป็นบุคลากรในองค์กรหรือจัดจ้างผู้เชี่ยวชาญให้เข้ามา
ทาการศึกษาข้อมูลเอกสาร สัมภาษณ์และระดมสมอง
กับเจ้าหน้าที่ทุกระดับ เพื่อพัฒนาฐานข้อมูลเกี่ยวกับ
ความเสี่ยงที่องค์กรเผชิญอยู่ให้ครอบคลุมทุกภารกิจ
ขององค์กร
86

87. แนวทางในการระบุเหตุการณ์
การประเมินด้วยตนเอง (Risk Self Assessment) เป็น
แนวทางจากด้านล่างสู่ด้านบน (Bottom up
approach) คือการให้เจ้าหน้าที่ทุกระดับได้ทบทวนว่า
กิจกรรมที่ตนเองทาอยู่ทุกวันมีความเสี่ยงอะไรบ้าง
แล้วเสนอต่อผู้บังคับบัญชา ซึ่งแนวทางนี้อาจทาโดยใช้
แบบสอบถาม หรือการจัดสัมมนาเชิงปฏิบัติการเพื่อ
ระบุความเสี่ยงในแต่ละด้าน
87

88. การระบุเหตุการณ์
คาถามที่ใช้ในการระบุเหตุการณ์
 อะไรที่จะทาให้การดาเนินกิจกรรมนั้นๆ
ไม่บรรลุผลสาเร็จตามวัตถุประสงค์/เป้าหมาย
 การกระทาหรือเหตุการณ์ใดที่ขัดขวางหรือ
เป็นอุปสรรคในการดาเนินกิจกรรม
ไม่ให้บรรลุผลสาเร็จ
 อะไรที่จะทาให้เกิดความเสียหาย การสูญเปล่า
การรั่วไหล หรือความผิดพลาด
88

89. การประเมินความเสียง (Risk Assessment)
่
ประเมินว่าแต่ละปัจจัยเสี่ยงนั้นมีโอกาสที่จะเกิดมากน้อยเพียงใด
และหากเกิดขึ้นแล้วจะส่งผลกระทบต่อองค์กรรุนแรงเพียงใด
และนามาจัดลาดับว่าปัจจัยเสี่ยงใดมีความสาคัญมากน้อยกว่ากัน
เพื่อจะได้กาหนดมาตรการตอบโต้กบปัจจัยเสี่ยงเหล่านั้นได้
ั
อย่างเหมาะสม
ประเมินผลกระทบ (Impact)
ประเมินโอกาสที่จะเกิด (Likelihood)
คานวณระดับความเสี่ยง (Risk Exposure) เพื่อจัดลาดับ
89

90. การจัดลาดับความเสี่ยง
 คานวณระดับความเสี่ยง (Risk Exposure) เท่ากับผล
คูณของคะแนนระหว่างโอกาสที่จะเกิดกับความ
เสียหายเพื่อจัดลาดับความสาคัญ และใช้ในการ
ตัดสินใจว่าความเสี่ยงใดควรเร่งจัดการก่อน
 จัดทาแผนภูมิความเสี่ยงเพื่อให้ผู้บริหารและคนใน
องค์กรได้เห็นภาพรวมว่าความเสี่ยงมีการกระจายตัว
อย่างไร
90

91. การตอบสนองความเสี่ยง (Risk Response)
พิจารณาหาแนวทางเพื่อจะจัดการกับความเสี่ยงเพื่อให้
ระดับความเสี่ยงลดลงจนอยู่ในระดับที่สามารถยอมรับ
ได้ (Risk Tolerance)
การเลือกแนวทางที่จะจัดการกับความเสี่ยงนั้นต้องอยู่
บนพื้นฐานของการเปรียบเทียบระหว่างต้นทุนที่จะ
เกิดขึ้นจากแนวทางนั้นๆกับผลประโยชน์ที่องค์กรจะ
ได้รับว่ามีความคุ้มค่าต่อองค์กรหรือไม่
91

92. วิธีตอบสนองต่อความเสี่ยง
แบ่งปันความเสี่ยง
SHARE
หลีกเลี่ยงความเสี่ยง
ยอมรับความเสี่ยง
AVOID
ACCEPT
ลดความเสี่ยง
REDUCE
92

93. การพิจารณาเลือกแผนจัดการความเสี่ยง
 ศึกษาความเป็นไปได้และค่าใช้จ่ายของแต่ละทางเลือก
 วิเคราะห์ถึงผลได้ผลเสียของแต่ละทางเลือก
- ผลได้ คือผลลัพธ์ที่เกิดขึ้นเมื่อนามาตรการนั้นมาใช้ลด
ความเสี่ยง อาจเกิดขึ้นในทันที หรือในระยะยาว
- ผลเสีย ได้แก่ ต้นทุน เวลา หรือความสะดวกที่เสียไป
รวมไปถึงความเสี่ยงที่อาจเกิดขึ้นได้ในอนาคต
93

94. กิจกรรมควบคุม (Control Activities)
ภายใต้แนวทางต่างๆที่เลือกนั้นจะประกอบไปด้วยกิจกรรมต่างๆที่
กาหนดขึนเพื่อที่จะตอบสนองต่อความเสี่ยง
้
กิจกรรมควบคุมในทีนี้ประกอบด้วยความคิดริเริ่มใหม่ๆและกิจกรรมที่
่
ช่วยลดความน่าจะเป็นที่เหตุการณ์ที่เป็นความเสี่ยงจะเกิดขึ้นหรือลด
ความเสียหายเมื่อเหตุการณ์นั้นได้เกิดขึ้น การกาหนดกิจกรรมควบคุม
จึงมีความครอบคลุมมากกว่าการควบคุมภายใน
กาหนดตัวผูรับผิดชอบในแต่ละกิจกรรม ระยะเวลาในการปฏิบัติ การ
้
วิเคราะห์ต้นทุนและผลประโยชน์ของกิจกรรมซึ่งประกอบด้วย
ค่าใช้จ่ายสาหรับกิจกรรม และระดับความเสี่ยงที่คงเหลือจากการ
ปฏิบัติกิจกรรม
94

95. สารสนเทศและการสื่อสาร
( Information and Communication
สารสนเทศ หมายถึง ข้อมูลข่าวสารที่ใช้ในการ
บริหาร ซึ่งเป็นข้อมูลเกี่ยวกับการเงินและไม่ใช่
การเงิน รวมทั้ง ข้อมูลข่าวสารอื่น ๆ ทั้งจากแหล่ง
ภายในและภายนอก
การสื่อสาร หมายถึง การรับและส่งข้อมูลระหว่าง
กัน เพื่อให้เกิดความเข้าใจอันดีระหว่างบุคคล ซึ่งมี
หน้าที่ความรับผิดชอบในงานที่สัมพันธ์กัน การ
สื่อสารจะเกิดได้ทั้งภายในและภายนอกหน่วยงาน
95

96. Sp 7: ส่วนราชการต้องมีการวิเคราะห์และจัดทา
แผนบริหารความเสี่ยงตามมารฐาน COSO
การกาหนดเปฺาหมายการบริหารความเสี่ยง
การระบุความเสี่ยงต่าง ๆ
การประเมินความเสี่ยง
กลยุทธ์ที่ใช้ในการจัดการกับแต่ละความเสี่ยง
กิจกรรมการบริหารความเสี่ยง
ข้อมูลและการสื่อสารด้านบริหารความเสี่ยง
การติดตามผลและเฝฺาระวังความเสี่ยงต่าง ๆ
96

97. ปัจจัยเสี่ยง
การระบุปัจจัยเสี่ยง พิจาณาจากปัจจัยเสี่ยงในหลายด้าน
ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S)
ความเสี่ยงด้านการดาเนินงาน (Operation Risk: O)
ความเสี่ยงด้านการเงิน (Financial Risk: F)
ความเสี่ยงด้านการปฏิบัติตามกฎหมาย/กฎระเบียบ
(Compliance Risk: C)
97

98. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S)
เกี่ยวข้องกับการบรรลุเป้าหมายและพันธกิจในภาพรวม โดยความ
เสี่ยงที่อาจจะเกิดขึ้นเป็นความเสี่ยงเนื่องจากการเปลี่ยนแปลงของ
สถานการณ์และเหตุการณ์ภายนอก ส่งผลต่อกลยุทธ์ทกาหนดไว้ไม่
ี่
สอดคล้องกับประเด็นยุทธศาสตร์/วิสัยทัศน์
หรือเกิด
จากการกาหนดกลยุทธ์ที่ขาดการยอมรับและโครงการไม่ได้นาไปสู่
การแก้ไขปัญหา หรือการตอบสนองต่อความต้องการของ
ผู้รับบริการหรือผู้มีส่วนได้เสีย
98

99. ความเสี่ยงด้านการดาเนินงาน (Operation Risk: O)
เกี่ยวข้องกับประสิทธิภาพ ประสิทธิผลหรือผลการ
ปฏิบัติงาน โดยความเสี่ยงที่อาจเกิดขึ้นเป็นความ
เสี่ยง เนื่องจากระบบงานภายในองค์กร/กระบวนการ/
เทคโนโลยีหรือนวัตกรรมที่ใช้ / บุคลากร/ความ
เพียงพอของข้อมูล ส่งผลต่อประสิทธิภาพ
ประสิทธิผลในการดาเนินโครงการ
99

100. ความเสี่ยงด้านการเงิน (Financial Risk: F)
เป็นความเสี่ยงเกี่ยวกับการบริหารงบประมาณและ
การเงิน เช่น
* การบริหารการเงินไม่ถูกต้อง
* ไม่เหมาะสม ทาให้ทาให้ขาดประสิทธิภาพ
และไม่ทันต่อสถานการณ์
* การประมาณการงบประมาณไม่เพียงพอและไม่
สอดคล้องกับขั้นตอนการดาเนินการ
100