ผลงานทางวิชาการ

   
บทคัดย่อ
          มาตรฐานการสอบบัญชี รหัส 200 เรื่อง วัตถุประสงค์โดยรวมของผู้สอบบัญชีรับอนุญาตและการปฏิบัติงานตรวจสอบตามมาตรฐานการสอบบัญชี ครอบคลุมถึงความรับผิดชอบของผู้สอบบัญชีในการระบุและประเมินความเสี่ยงจากการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญในงบการเงิน โดยการทำความเข้าใจในกิจการและสภาพแวดล้อมของกิจการ รวมถึงการควบคุมภายใน ผู้สอบบัญชีจะใช้ดุลยพินิจเยี่ยงผู้ประกอบวิชาชีพในการประเมินความเสี่ยงในการสอบบัญชี และกำหนดวิธีการตรวจสอบ เพื่อให้แน่ใจว่าความเสี่ยงในการสอบบัญชีจนถึงระดับต่ำพอที่ผู้สอบบัญชีจะยอมรับได้ ผู้สอบบัญชีจะทำความเข้าใจในระบบบัญชีและระบบการควบคุมภายใน ควบคู่ไปกับการประเมินความเสี่ยงสืบเนื่อง และความสี่ยงจากการควบคุม ซึ่งจะช่วยให้ผู้สอบบัญชีสามารถระบุถึงประเภทของข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ   ซึ่งอาจแสดงอยู่ในงบการเงิน
 
คำสำคัญ : สิ่งที่ผู้บริหารให้การรับรองไว้, ความเสี่ยงทางธุรกิจ, การควบคุมภายใน
 
Abstract
          TSA 200, Overall Objectives of the Certified Public Accountant and the Practice of Auditing in accordance with the Auditing Standards. This covers the auditor's responsibility to identify and assess the risks of material misstatement in the financial statements. by understanding the business and its environment including internal control The auditor uses professional judgment in assessing audit risks. and determine how to check to ensure that the audit risk is low enough for the auditor to accept. The auditor will understand the accounting system and the internal control system. along with ongoing risk assessment and the risk of control This enables the auditor to identify types of material misstatements. which may be shown in the financial statements

Keywords : Management Assures, Business Risks, Internal Controls

บทนำ
          การสอบบัญชีเป็นวิชาชีพที่เกิดขึ้นในโลกหลังการปฏิวัติอุตสาหกรรม การสอบบัญชีเป็นเรื่องราวของการตรวจสอบความถูกต้องของการบันทึกรายการทางบัญชี การตรวจสอบเอกสารทางการบัญชี การตรวจสอบความถูกต้องของงบการเงิน ตลอดจนการให้ความเห็นของผู้สอบบัญชีต่องบการเงินต่างๆ การสอบบัญชีได้มีการปรับปรุงและเปลี่ยนแปลงแนวความคิดต่างๆ ตามความเหมาะสบกับสภาพแวดล้อมแต่ละเหตุการณ์ โดยเริ่มต้นในประเทศอังกฤษ ซึ่งถือเป็นแม่แบบของการสอบบัญชีในปัจจุบัน สาเหตุของการสอบบัญชี ในระหว่างที่มีการปฏิวัติอุตสาหกรรมตั้งแต่ศตวรรษที่ 17 เป็นต้นมา แนวความคิดเกี่ยวกับการรวมรวมเงินทุนจากแหล่งเงินทุนเพื่อจัดตั้งกิจการในรูปแบบบริษัท กิจการของบริษัทเหล่านั้น ต้องการขยายกิจการไปยังต่างประเทศจะต้องได้รับพระบรมราชานุญาตจากพระมหากษัตริย์ การแบ่งแยกหน้าที่ของผู้ถือหุ้นและฝ่ายจัดการออกจากกันถือเป็นหลักสำคัญ การบริหารและการจัดการทางด้านอุตสาหกรรม ผู้ถือหุ้นซึ่งประกอบด้วยบุคคลที่นำเงินมาลงทุน ต้องการทราบผลของการดำเนินการอย่างแท้จริง เพื่อประกอบการพิจารณาในการเพิ่มทุนหรือลดทุนวิชาการบัญชีในประเทศเรามีมาตั้งแต่สมัยพระบาทสมเด็จพระจูลจอมเกล้าเจ้าอยู่หัว รัชกาลที่ 5 ทรงมีพระบรมรายโองการโปรดเกล้าฯ ให้บรรจุวิชาการบัญชีเป็นวิชาหนึ่งในแปดวิชาของชั้นประโยคสอง ซึ่งถือเป็นชั้นสูงสุดของโรงเรียนหลวง ต่อมาบาทหลวงชาวฝรั่งเศสได้เปิดสอนวิชาการค้าขึ้น โดยนำเอาวิชาการบัญชีตามหลักบัญชีคู่เข้ามาสอน ซึ่งเป็นผลทำให้วิชาการบัญชีเริ่มแพร่หลายในวงการธุรกิจ ในปี พ.ศ. 2454 ในต้นรัชสมัยพระบาบสมเด็จพระมงกุฎเกล้าเจ้าอยู่หัว รัชกาลที่ 6 ได้มีการจัดตั้งโรงเรียนพณิชยการขึ้น ในเปิดสอนวิชาการค้าและได้มีการสอนวิชาบัญชีคู่ ทำให้เยาวชนไทยได้รู้จักกับวิชาการบัญชีตั้งแต่นั้นเป็นต้นมา
 
วัตถุประสงค์
          1. เพื่อศึกษาความสำคัญของความเสี่ยงในการสอบบัญชีและการควบคุมภายใน
          2. เพื่อให้ทราบถึงความเสี่ยงในการปฏิบัติงานตามวิชาชีพและความเสี่ยงในการสอบบัญชี
          3. เพื่อให้ทราบองค์ประกอบของการควบคุมภายในที่มีผลกระทบต่อการสอบบัญชี 
 
คำสำคัญ
         1) สิ่งที่ผู้บริหารได้ให้การรับรองไว้ หมายถึง การรับรองของผู้บริหารที่มีต่องบการเงินไม่ว่าจะเป็นการแสดงออกอย่างชัดเจนหรือไม่ก็ตามที่ผู้สอบบัญชีใช้ในการพิจารณาประเภทของการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงที่อาจเกิดขึ้น
         2) ความเสี่ยงทางธุรกิจ หมายถึง ความเสี่ยงที่เป็นผลมาจากเงื่อนไข เหตุการณ์ สภาพแวดล้อมการกระทำหรือการละเลยการกระทำที่สำคัญ ซึ่งอาจมีผลกระทบต่อความสามารถของกิจการในการบรรลุวัตถุประสงค์และการดำเนินกลยุทธ์ หรือจากการกำหนดวัตถุประสงค์และกลยุทธ์ที่ไม่เหมาะสม
         3) การควบคุมภายใน หมายถึง กระบวนการที่ผู้มีหน้าที่ในการกำกับดูแล ผู้บริหาร และบุคคลอื่นได้ออกแบบ และนำไปปฏิบัติดูแลให้เหมาะสมอยู่เสมอ เพื่อให้ได้ความเชื่อมั่นอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์ของกิจการเกี่ยวกับความน่าเชื่อถือได้ของการรายงานทางการเงิน ความมีประสิทธิผลและประสิทธิภาพของการดำเนินงาน และการปฏิบัติตามกฎหมายและข้อกำหนดที่เกี่ยวข้อง คำว่า "การควบคุม" หมายถึงองค์ประกอบใดองค์ประกอบหนึ่งหรือหลายองค์ประกอบของการควบคุมภายใน

ความเสี่ยงในการปฏิบัติงานตามวิชาชีพ
          ความเสี่ยงในการปฏิบัติงานตามวิชาชีพ (Professional Exposure Risk) หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงาน การให้บริการลูกค้า ซึ่งอาจเหตุการณ์ที่ส่งผลทำให้ผู้สอบบัญชีเสื่อมเสียชื่อเสียง การเผยแพร่ข่าวสารในเชิงลบหรือถูกฟ้องร้องเรียกค่าเสียหาย อาจเรียกความเสี่ยงนี้ว่า ความเสี่ยงทางธุรกิจของผู้สอบบัญชี ซึ่งจะเกี่ยวข้องกับความเสี่ยงที่บุคคลภายนอกสงสัยในตัวของผู้สอบบัญชี อาทิเช่น เกิดความสงสัยว่าผู้สอบบัญชีได้ปฏิบัติตามมาตรฐานการสอบบัญชีหรือไม่ วิธีการจัดการกับความเสี่ยงทางธุรกิจของผู้สอบบัญชี คือ ผู้สอบบัญชีต้องมีการประเมินความเสี่ยงก่อนรับงานสอบบัญชีทุกครั้ง (สำหรับขั้นตอนในการตกลงรับงานสามารถศึกษาเพิ่มเติมได้จากมาตรฐานการสอบบัญชี รหัส 210 เรื่อง ข้อตกลงในการรับงานสอบบัญชี)

ความเสี่ยงในการสอบบัญชี
          ความเสี่ยงในการสอบบัญชี (Audit Risk : AR) หมายถึง ความเสี่ยงที่ผู้สอบบัญชีแสดงความเห็นที่ไม่เหมาะสม เมื่องบการเงินแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ
การแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ (Material Misstatement) หมายถึง ความแตกต่างระหว่างจำนวนเงิน การจัดประเภทรายการ การแสดงรายการ หรือการเปิดเผยข้อมูลของรายการในงบการเงินเมื่อเปรียบเทียบกับรายการที่ควรจะเป็นตามแม่บทการรายงานทางการเงินที่เกี่ยวข้องนั้น ๆ
ความเสี่ยงในการสอบบัญชี จำแนกได้ 3 ประเภท ดังนี้
1. ความเสี่ยงสืบเนื่อง (Inherent Risk) เป็นความเสี่ยงที่มีอยู่ในสิ่งที่เราต้องการตรวจสอบ เป็นความเสี่ยงตามธรรมชาติของธุรกิจประเภทนั้น ๆ โดยไม่คำนึงถึงการควบคุมภายใน เป็นความเสี่ยงที่ไม่สามารถหลีกเลี่ยงได้ แบ่งความเสี่ยงสืบเนื่องออกเป็น 2 ระดับ ได้แก่
          1) ระดับของงบการเงิน จะพิจารณาว่างบการเงินมีโอกาสที่แสดงข้อมูลที่ขัดต่อข้อเท็จจริงอย่างมีสาระสำคัญหรือไม่
          2) ระดับของสิ่งที่ผู้บริหารได้ให้การรับรองไว้ของประเภทรายการ ยอดคงเหลือของบัญชี และการเปิดเผยข้อมูล เป็นการประเมินในระดับของประเภทรายการ ยอดคงเหลือของบัญชีและการเปิดเผยข้อมูล โดยจะพิจารณารายละเอียดของรายการบัญชีแต่ละบัญชีมีโอกาสแสดงข้อมูลที่ขัดต่อข้อเท็จจริงหรือไม่
2. ความเสี่ยงจากการควบคุม (Control Risk) ความเสี่ยงที่ระบบบัญชี หรือระบมการควบคุมของกิจการไม่สามารถป้องกัน หรือตรวจพบ และแก้ไขการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงที่อาจเกิดอย่างทันเวลา ความเสี่ยงจากการควบคุมเป็นผลมาจากประสิทธิผลของการออกแบบ การนำไปปฏิบัติการดูแลรักษาการควบคุมภายในโดยผู้บริหาร ระบบการควบคุมภายในที่ดีควรเป็นระบบที่สามารถป้องกันผลเสียหายที่อาจเกิดขึ้นจากความเสี่ยงสืบเนื่องได้
3. ความเสี่ยงจากการตรวจสอบ (Detection Risk) ความเสี่ยงที่วิธีการตราจสอบเนื้อหาสาระซึ่งผู้สอบบัญชีจะไม่สามารถตรวจพบการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงที่มีอยู่ในยอดคงเหลือของบัญชี หรือประเภทของรายการ หรือการเปิดเผยข้อมูล ซึ่งอาจเกิดจากสาเหตุดังต่อไปนี้
 
          1) ความเสี่ยงจากการเลือกตัวอย่าง Audit Sampling Risk)ในการตรวจสอบงบการเงิน ผู้สอบบัญชีจะไม่ตรวจสอบหลักฐานทั้งหมดที่มีอยู่ แต่จะใช้การทดสอบตัวอย่าง นั่นคือ ผู้สอบบัญชีอาจมีความเสี่ยงที่ว่าตัวอย่างที่เลือกนั้นไม่ใช่ตัวแทนที่แท้จริงของประซากร ซึ่งทำให้ไม่สามารถตรวจพบการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญได้
          2) วิธีการตรวจสอบที่ใช้ไม่มีประสิทธิภาพ ไม่ตรงประเด็นกับเรื่องที่ตรวจสอบ หรือไม่ตรงกับวัตถุประสงค์ของการตรวจสอบ เช่นผู้สอบบัญชีใช้วิธีการคำนวณรายละเอียดของบัญชีเจ้าหนี้การค้าว่าถูกต้อง โดยไม่ได้พิสูจน์ว่ารายการเจ้าหนี้การค้านั้นว่าถูกต้อง มีตัวตนอยู่จริงหรือไม่ ย่อมส่งผลให้ตรวจไม่พบข้อผิดพลาด อย่างไรก็ตาม ในบางครั้ง วิธีการตรวจสอบที่มีประสิทธิภาพก็ไม่สามารถตรวจพบการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงได้ เนื่องจากการสอบบัญชีมีข้อจำกัดหลายประการและหลักฐานการสอบบัญชีส่วนใหญ่ต้องใช้ดุลยพินิจอย่างมีเหตุผลในการพิจารณาความเชื่อถือได้มากกว่าที่จะเป็นหลักฐานที่ให้ข้อสรุปได้ในตัวเอง
          3) มีข้อบกพร่องในการปฏิบัติงานตรวจสอบ หรือสรุปความเห็นผิดพลาดเกี่ยวกับหลักฐานการสอบบัญชี   จึงเรียกความเสี่ยงนี้ว่า เป็นความเสี่ยงจากการตรวจสอบที่วางแผนไว้ (Planned Detection Risk : PRD)ผู้สอบบัญชีไม่สามารถขจัดความเสี่ยงให้หมดสิ้นไป แต่ผู้สอบบัญชีอาจลดความเสี่ยงในการสอบบัญชีลงจนถึงระดับที่ยอมรับได้ (Acceptable Audit Risk : ARR)
          ความเสี่ยงสืบเนื่องและความเสี่ยงจากการควบคุม เมื่อนำมารวมกัน หมายถึง ความเสี่ยงที่งบการเงินแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอย่างมีสาระสำคัญ ก่อนการตรวจสอบของผู้สอบบัญชี หรือเรียกว่า ความเสี่ยงจากการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ (Risk of Material Misstatement)

สมการความเสี่ยงในการสอบบัญชี
          ความเสี่ยงในการสอบบัญชีที่ยอมรับได้ (AAR)   =   RMM  x  PDR       (โดย RMM = IR x CR)
ผลการวิเคราะห์
          ถ้าค่า RMM สูงแล้ว จะส่งผลให้ PDR ต่ำ แสดงให้เห็นว่า เมื่อระบบการควบคุมภายในไม่มีประสิทธิผล ผู้สอบบัญชีต้องขยายขอบเขตการตรวจสอบออกไป เพื่อลด PRD ให้ต่ำลง ในทางตรงกันข้าม ถ้า RMM มีค่าต่ำ แล้ว PRD มีค่าสูง แสดงให้เห็นว่า เมื่อระบบการควบคุมภายในมีประสิทธิผล ผู้สอบบัญชีสามารถลดการตรวจสอบลงเพื่อเพิ่ม PRD ให้สูงขึ้น
หมายเหตุ PRD ลดลงหมายถึง ผู้สอบบัญชียอมให้มีความเสี่ยงจากการตรวจสอบที่วางแผนไว้เกิดขึ้นน้อยลง นั่นคือผู้สอบบัญชีจะรวบรวมหลักฐานการสอบบัญชีมากขึ้นเพื่อให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้

 การควบคุมภายใน
          การควบคุมภายใน หมายถึง กระบวนการปฏิบัติงานที่บุตลากรในองค์กรโดยคณะกรรมการบริหาร ผู้บริหารทุกระดับ พนักงานทุกคนมีบทบาทในการร่วมกันในการจัดให้มีขึ้น เพื่อสร้างความเชื่อมั่นอย่างสมเหตุผลสมผลว่าการปฏิบัติงานจะบรรลุวัตถุประสงค์ของการควบคุมภายใน (กรมตรวจบัญชีสหกรณ์, ออนไลน์)
          คณะกรรมการร่วมของสถาบันวิชาชีพ 5 สถาบันในสหรัฐอเมริกา ซึ่งเรียกว่า Committee of Sponsoring Organizations of the Treadway Commission (COSO) ได้กำหนดกรอบแนวคิดการควบคุมภายใน (COSO Framework) ที่ปรับปรุงมาจากแนวคิดพื้นฐานเดิมของ COSO ปี 1992 โดยเพิ่มเติมในส่วนต่าง ๆ ให้ชัดเจนขึ้น เรียกกันว่า COSO 2013 ใช้เป็นแนวทางการควบคุมภายในขององค์กรและเพื่อให้สอดคล้องกับสภาพแวดล้อมของธุรกิจในปัจจุบัน ประกอบด้วย 5 องค์ประกอบ 17 หลักการ
องค์ประกอบที่ 1 : สภาพแวดล้อมการควบคุม (Control Environment) การควบคุมภายในจะบรรลุตามวัตถุประสงค์ที่กำหนดไว้เพียงใด ขึ้นอยู่กับประสิทธิภาพของสภาพแวดล้อมการควบคุมเป็นสำคัญ โดยสภาพแวดล้อมการควบคุมเป็นเรื่องของการควบคุมภายในที่กำหนดเป็นโครงสร้าง นโยบาย และระเบียบ วิธีปฏิบัติที่มีผลมาจากทัศนคติของผู้บริหาร รวมถึงสร้างความตระหนักให้บุคลากรเกิดจิตสํานึกที่ดีในการปฏิบัติงานตามความรับผิดชอบ จึงกล่าวได้ว่าสภาพแวดล้อมการควบคุมเป็นฐานรากขององค์ประกอบอื่น ๆ ประกอบด้วย 5 หลักการ ดังนี้
          หลักการที่ 1 – องค์กรยึดหลักความซื่อตรงและจริยธรรม
          หลักการที่ 2 – คณะกรรมการแสดงออกถึงความรับผิดชอบต่อการกำกับดูแล
          หลักการที่ 3 – คณะกรรมการและฝ่ายบริหาร มีอำนาจการสั่งการชัดเจน
          หลักการที่ 4 – องค์กร พัฒนา รักษาไว้ และจูงใจพนักงาน
          หลักการที่ 5 – องค์กรผลักดันให้ทุกตำแหน่งรับผิดชอบต่อการควบคุมภายใน
องค์ประกอบที่ 2 : การประเมินความเสี่ยง (Risk Assessment) เป็นการประเมินเพื่อทราบว่า องค์กรมีความเสี่ยงอย่างไรและความเสี่ยงนั้น ๆ อยู่ในกิจกรรมหรือขั้นตอนใดของงาน มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรมากน้อยเพียงใด เพื่อนํามาพิจารณากำหนดแนวทางที่จำเป็นต้องใช้เพื่อให้เกิดความมั่นใจอย่างสมเหตุสมผลว่าความผิดพลาด เสียหายจะไม่เกิดขึ้น หรือหากเกิดขึ้นก็จะอยู่ในระดับที่ไม่เป็นอันตราย หรือไม่เป็นอุปสรรคต่อความสำเร็จตามวัตถุประสงค์ขององค์กร ประกอบด้วย 4 หลักการ ได้แก่
          หลักการที่ 6 – กำหนดเป้าหมายชัดเจน
          หลักการที่ 7 – ระบุและวิเคราะห์ความเสี่ยงอย่างครอบคลุม
          หลักการที่ 8 – พิจารณาโอกาสที่จะเกิดการทุจริต
          หลักการที่ 9 – ระบุและประเมินความเปลี่ยนแปลงที่จะกระทบต่อการควบคุมภายใน
องค์ประกอบที่ 3 : กิจกรรมการควบคุม (Control Activities) กิจกรรมการควบคุมเป็นนโยบาย มาตรการ และวิธีการดําเนินงานต่าง ๆ ที่ผู้บริหารนำมาใช้เพื่อให้เกิดความมั่นใจว่านโยบายที่กำหนดขึ้นนั้นสามารถลด หรือควบคุมความเสี่ยงและได้รับการตอบสนองปฏิบัติตามในเวลาที่เหมาะสม ประกอบด้วย 3 หลักการย่อย ดังนี้
          หลักการที่ 10 – ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
          หลักการที่ 11 – พัฒนาระบบเทคโนโลยีที่ใช้ในการควบคุม
          หลักการที่ 12 – ควบคุมให้นโยบายสามารถปฏิบัติได้
องค์ประกอบที่ 4 : สารสนเทศและการสื่อสาร (Information and Communication) ข้อมูลสารสนเทศ มีความจำเป็นสำหรับการปฏิบัติงาน ตั้งแต่ผู้บริหารไปจนถึงพนักงานทุกระดับขององค์กร     โดยผู้บริหารใช้ข้อมูลข่าวสารเพื่อประกอบการพิจารณาตัดสินใจ และสั่งการสำหรับผู้ปฏิบัติงานจะใช้ข้อมูลข่าวสารจากผู้บริหารเป็นแนวทางปฏิบัติงานตามหน้าที่และความรับผิดชอบ ประกอบด้วยหลักการย่อยดังนี้
          หลักการที่ 13 – องค์กรมีข้อมูลที่เกี่ยวข้องและมีคุณภาพ
          หลักการที่ 14 – มีการสื่อสารข้อมูลภายในองค์กร ให้การควบคุมภายในดำเนินต่อไปได้
          หลักการที่ 15 – มีการสื่อสารกับหน่วยงานภายนอก ในประเด็นที่อาจกระทบต่อการควบคุมภายใน
องค์ประกอบที่ 5 : กิจกรรมการกำกับติดตามและประเมินผล (Monitoring Activities) การติดตาม เป็นการควบคุม และกำกับดูแลของฝ่ายบริหารเพื่อติดตามตรวจสอบผลความก้าวหน้าของการดําเนินงานว่าเป็นไปอย่างมีประสิทธิภาพหรือไม่ เพียงใด และมีปัญหาอุปสรรคที่ต้องได้รับการปรับปรุงแก้ไขอย่างไร
ส่วนการประเมินผล ระบบการควบคุมภายในที่นําไปใช้ในระยะเวลาที่เหมาะสมแล้วควรจัดให้มีการประเมินผลว่าระบบการควบคุมภายในนั้นยังเหมาะสมที่จะใช้ต่อไปหรือไม่ โดยผู้ประเมินผลต้องไม่มีส่วนเกี่ยวข้องกับการกำหนดระบบการควบคุมภายใน เพื่อมีความอิสระในการรายงานผลการประเมิน และให้จัดทำรายงานเสนอต่อผู้บริหาร โดยชี้แจงให้ทราบถึงข้อบกพร่องที่ค้นพบ หรือสาเหตุของความแตกต่าง
ระหว่างผลการดําเนินงานจริงกับการประมาณการ และผู้ที่ต้องรับผิดชอบ รวมทั้งเสนอให้มีการสั่งการ
เพื่อแก้ไขต่อไป ประกอบด้วย 2 หลักการ ดังนี้
          หลักการที่ 16 – ติดตามและประเมินผลการควบคุมภายใน
          หลักการที่ 17 – ประเมินและสื่อสารข้อบกพร่องของการควบคุมภายในทันเวลา และเหมาะสม

การประเมินความเสี่ยงจากการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ
          การประเมินความเสี่ยงจากการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญผู้สอบบัญชีจะประเมินความเสี่ยงจากการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ (Risk of Material Misstatement : RMM) ไม่ว่าจะเกิดจากการทุจริตหรือข้อผิดพลาด ทั้งระดับงบการเงิน และระดับที่เกี่ยวกับสิ่งที่ผู้บริหารได้ให้การรับรองไว้(เพื่อใช้เป็นเกณฑ์ในการออกแบบวิธีการตรวจสอบ (แผนงานตรวจสอบและวิธีการตรวจสอบ) และนำไปปฏิบัติ (การรวบรวมหลักฐานการสอบบัญชี) เพื่อตอบสนองต่อความเสี่ยงการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญที่ได้ประเมินไว้ เพื่อประเมินความเสี่ยงจากการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ และกำหนดลักษณะ ระยะเวลา และขอบเขตการตรวจสอบอย่างเหมาะสม มีขั้นตอนดังนี้
          1. การทำความเข้าใจในระบบการควบคุมภายใน พิจารณาจากองค์ประกอบของการควบคุมภายใน
                    - สภาพแวดล้อมการควบคุม
                    - กระบวนการประเมินความเสี่ยงของกิจการ
                    - กิจกรรมการควบคุม
                    - ระบบสารสนเทศและการสื่อสาร
                    - การติดตามผล

          กิจการขนาดใหญ่มักกำหนดให้มีระบบการควบคุมภายในที่จำเป็น เพื่อช่วยให้การบริหารงานเป็นไปอย่างมีประสิทธิผล สำหรับกิจการขนาดย่อมอาจมีข้อจำกัดทางด้านการควบคุมภายใน อาจเนื่องจากทุนทรัพย์น้อย ไม่สามารถจ้างบุคลากรได้เป็นจำนวนมาก ด้วยเหตุนี้ ผู้สอบบัญชีจึงประเมินความเสี่ยงจากการควบคุมของธุรกิจขนาดย่อมให้อยู่ในระดับที่สูง
2. การประเมินความเสี่ยงจากการควบคุม ข้อมูลที่รวบรวมจากขั้นตอนการทำความเข้าใจในระบบบัญชีและระบบการควบคุมภายในสามารถช่วยผู้สอบบัญชีในการวางแผนการตรวจสอบบัญชีได้ หากผลการประเมินความเสี่ยงสืบเนื่องและความเสี่ยงจากการควบคุมต่ำ แสดงว่า ระบบการควบคุมภายในมีประสิทธิผล ผู้สอบบัญชีอาจใช้วิธีการทดสอบการควบคุม โดยรวบรวมหลักฐานการสอบบัญชีมาสนับสนุน ในทางตรงกันข้ามหากผลการประเมินความเสี่ยงสืบเนื่องและความเสี่ยงจากการควบคุมสูง แสดงว่า ระบบการควบคุมภายในไม่มีประสิทธิผล ผู้สอบบัญชีย่อมต้องการหลักฐานการสอบบัญชีมากขึ้น และใช้วิธีการตรวจสอบเนื้อหาสาระแทน
3. การทดสอบการควบคุม ผู้สอบบัญชีจะประเมินความเสี่ยงจากการควบคุมให้อยู่ในระดับต่ำ หมายความว่า ผู้สอบบัญชีสามารถระบุถึงการควบคุมภายใน ซึ่งคาดว่าจะป้องกัน ตรวจพบ และแก้ไขการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ ผู้สอบควรรวบรวมหลักฐานการสอบบัญชีให้มากขึ้น เพื่อให้ความแน่ใจว่าการควบคุมภายในมีการออกแบบ และมีการปฏิบัติตาม ก่อให้เกิดประสิทธิผลจริง
วิธีการทดสอบการควบคุม มีดังนี้
          1) ตรวจสอบเอกสารประกอบรายการ
          2) สอบถามบุคลากรเกี่ยวกับระบบการควบคุมภายใน
          3) สังเกตการณ์เกี่ยวกับการควบคุมภายใน
          4) การปฏิบัติซ้ำเกี่ยวกับการควบคุมภายใน
4. การรายงานจุดอ่อนของระบบการควบคุมภายใน จุดอ่อนหรือข้อบกพร่องของระบบการควบคุมภายในที่มีสาระสำคัญ หมายถึง ผู้สอบบัญชีไม่อาจเชื่อถือได้ว่าระบบการควบคุมภายในที่ออกแบบไว้ หรือการนำไปปฏิบัติ จะป้องกัน หรือค้นพบและแก้ไขการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ

สรุป
          ในการวางแผนปฏิบัติงานตรวจสอบ ผู้สอบบัญชีจะใช้ดุลยพินิจเยี่ยงผู้ประกอบวิชาชีพในการประเมินความเสี่ยงในการสอบบัญชี และกำหนดวิธีการตรวจสอบ เพื่อให้แน่ใจว่าความเสี่ยงในการสอบบัญชีจนถึงระดับต่ำพอที่ผู้สอบบัญชีจะยอมรับได้ ผู้สอบบัญชีจะทำความเข้าใจในระบบบัญชีและระบบการควบคุมภายใน ควบคู่ไปกับการประเมินความเสี่ยงสืบเนื่อง และความสี่ยงจากการควบคุม ซึ่งจะช่วยให้ผู้สอบบัญชีสามารถระบุถึงประเภทของข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ ซึ่งอาจแสดงอยู่ในงบการเงิน รวมทั้งพิจารณาปัจจัย ซึ่งมีผลกระทบต่อความเสี่ยงที่อาจมีการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญเพื่อกำหนดวิธีการตรวจสอบที่เหมาะสม ผู้สอบบัญชีควรมีความรู้ความเข้าใจในระบบบัญชีและระบบการควบคุมภายใน เพื่อให้สามารถประเมินผลในขั้นต้นว่า กิจการมีระบการควบคุมภายในที่มีประสิทธิผลและพอเพียงที่จะเชื่อถือได้ และสามารถใช้ประโยชน์ในการปฏิบัติงานสอบบัญชีได้หรือไม่ ผู้สอบบัญชีอาจได้รับความรู้ความเข้าใจโดย (1) การสอบถามผู้บริหาร ผู้ควบคุมงานและบุคลากรอื่น ๆ ในระดับต่าง ๆ ที่เหมาะสมของกิจการ (2) ประสบการณ์การตรวจสอบที่ผ่านมา และ (3) การอ้างอิงเอกสาร เช่น คู่มือการปฏิบัติงาน คำบรรยายลักษณะงาน เทคนิคที่ผู้สอบบัญชีใช้ในการบันทึกข้อมูลที่ได้จากการทำความเข้าใจในระบบบัญชีและระบบการควบคุมภายใน ได้แก่ (1) การบันทึกคำอธิบาย (2) การใช้ผังทางเดินเอกสาร และ (3) การใช้แบบสอบถามหลังจากที่ผู้สอบบัญชีมาจึงความเข้าใจในระบบบัญชี และระบบการควบคุมภายในแล้ว ผู้สอบบัญชีควรประเมินความเสี่ยงจากการควบคุมในเบื้องต้น สำหรับแต่ละยอดคงเหลือหรือแต่ละประเภทของรายการที่มีสาระสำคัญ ผู้สอบบัญชีจะพิจารณาระดับของความเสี่ยงสืบเนื่องและความเสี่ยงจากการควบคุมที่ได้ประเมินไว้ในการกำหนดลักษณะ ระยะเวลาและชอบเขตของวิธีการตรวจสอบเนื้อหาสาระที่จำเป็น เพื่อที่จะลดความเสี่ยงในการสอบบัญชีให้อยู่ในระดับต่ำพอที่จะยอมรับได้ ในกรณีที่ผู้สอบบัญชีประเมินความเสี่ยงจากการควบคุมอยู่ในระดับต่ำ ผู้สอบบัญชีอาจเลือกใช้การทดสอบการควบคุมเพื่อให้ได้มาซึ่งหลักฐานการสอบบัญชีที่ทำให้แน่ใจว่าระบบบัญชีและระบบการควบคุมภายในมีการออกแบบอย่างเหมาะสมและมีการปฏิบัติตามอย่างมีประสิทธิผล
 
ข้อเสนอแนะ
          เนื่องจากบทความฉบับนี้ถูกจัดทำขึ้นด้วยการพิจารณา ไตร่ตรอง และสรุป จากผู้จัดทำซึ่งไม่ใด้นำเนื้อหาของมาตรฐานฯ มาใส่โดยครบถ้วน ซึ่งหากผู้อ่านสนใจที่จะศึกษา มาตรฐานการสอบบัญชีฉบับนี้ หรือฉบับอื่น ๆ สามารถศึกษารายละเอียดได้จากเว็บไซต์ของสภาวิชาชีพบัญชี ในพระบรมราชูปถัมภ์ (www.tfac.or.th)

บรรณานุกรม
กรมตรวจบัญชีสหกรณ์. (2560). การควบคุมภายใน. สืบค้นเมื่อวันที่ 31 กรกฎาคม 2564,
          จากเว็บไซต์ :  https://www.cad.go.th/download/1_3control.pdf
นิพันธ์ เห็นโชคชนะ, ศิลปพร ศรีจั่นเพชร. (2563). การสอบบัญชี. กรุงเทพ : ห้างหุ้นส่วนจำกัด ทีพีเอเพรส. สภาวิชาชีพบัญชี ในพระบรมราชูปถัมภ์. (2555). มาตรฐานการสอบบัญชี รหัส 200 เรื่อง วัตถุประสงค์โดยรวมของผู้สอบบัญชีรับอนุญาต และการปฏิบัติงานตรวจสอบตามมาตรฐานการสอบบัญชี. สืบค้นเมื่อวันที่ 31 กรกฎาคม 2564,
          จากเว็บไชต์ : https://acpro-std.tfac.or.th/uploads/files/TSA/2563_TSA200.pdf