1. เข้าใจว่าการมี Software
ที่ดี เท่ากับมีระบบควบคุมภายในที่ดี
ซึ่งในความเป็นจริงหากกำหนดนโยบาย กระบวนการที่ไม่ครอบคลุม
แบ่งแยกหน้าที่ไม่เพียงพอ หรือแม้แต่การควบคุมทั่วไปในสารสนเทศไม่เพียงพอ
ก็เป็นความเสี่ยงอย่างร้ายแรงของบริษัท
2. เข้าใจว่าการมี Software
ที่ดี เพียงพอแล้ว
ไม่ต้องลงทุนใน IT Infrastructure มากนัก
ทำให้ความมั่นคงปลอดภัย พร้อมใช้ทางด้านสารสนเทศต่ำกว่าที่ควรจะเป็น
3. เข้าใจว่าการมีคู่มือ นโยบาย ที่ดี
(หรือเปล่า) ก็คือมีระบบที่ดีแล้ว หากแต่ในความเป็นจริง
ไม่ได้เป็นไปตามที่กำหนด (ไม่ Present และ Function
หรือขาดอย่างใดอย่างหนึ่ง) หรือกำหนดไม่ครอบคลุม
4. เข้าใจว่าการเข้า IPO
สามารถทำได้อย่างรวดเร็ว ไม่ว่าบริษัทจะเริ่มจากจุดใด
แค่มีผลประกอบการที่ดีก็เพียงพอ ทั้งที่ในความเป็นจริง
เรื่องระบบการควบคุมภายในต้องเพียงพอเหมาะสม เช่น
โครงสร้างองค์กรสอดคล้องบุคลากรที่เพียงพอ
มีความรู้ความเข้าใจในงานที่ทำพร้อมกับมี Mind set ที่สำคัญต่อการควบคุมภายใน หรือ ผู้บริหารระดับสูง (C-Level) แค่ออกคำสั่งก็เพียงพอที่จะสร้าง Tone at the top ในการปรับเปลี่ยนความเข้าใจต่อการควบคุมภายใน
5. เข้าใจว่าการมี ISO
คือการมีระบบควบคุมภายในที่เพียงพอแล้ว
ซึ่งในความเป็นจริงไม่ได้เป็นเช่นนั้นเสมอไป หากเพียงเพราะการตรวจติดตามของ ISO
ครอบคลุมการปฏิบัติตามข้อกำหนด และขั้นตอนการปฏิบัติงานที่กำหนดไว้
แต่งานตรวจสอบภายใน เป็น RBA (Risk Based Audit) จึงสามารถให้ความเชื่อมั่นต่อกระบวนการทางธุรกิจที่มีการปรับเปลี่ยนไปตามสภาพได้ครอบคลุมกว่า
อีกทั้งงานทางด้าน Accounting & Financial หรือ
งานทางด้าน IT หากองค์กรเหล่านั้นไม่ได้ทำ ISO 27001 ด้วยแล้วนั้น จะทำให้ ISO Version อื่นๆ ที่มีไม่ได้ครอบคลุมการควบคุมทางด้าน
IT
6. ความเข้าใจในงานผิด โดยเข้าใจว่าการสอบบัญชี
(External
Audit) ไม่ได้แตกต่างจากงานการตรวจสอบภายใน (Internal Audit)
จึงไม่ได้ให้ความสำคัญต่อผลการตรวจสอบของผู้ตรวจสอบภายในมากนัก
7. การเลือกและพิจารณา
ทีมผู้ตรวจสอบภายใน ไม่ว่าจะ In-house หรือ Out-source พิจารณาจากงบประมาณเป็นหลักใหญ่
โดยไม่ได้ประเมินถึงประสบการณ์ของบุคลากรในทีมงาน ความเข้าใจในธุรกิจ ฯลฯ
เนื่องจากอาจจะเข้าใจว่าไม่แตกต่าง หรือ ไม่สามารถสร้างผลกระทบ
จึงส่งผลให้ระหว่างการเตรียม IPO ต้องเกิดการเปลี่ยนแปลง
8. เข้าใจว่า ผู้ตรวจสอบภายใน
ต้องทำหน้าที่บริหารความเสี่ยง (Risk
Management) ทั้งที่ในความเป็นจริง
ต้องทำหน้าที่เป็นคนติดตามให้มีระบบการบริหารความเสี่ยง
พิจารณาหรือให้ความคิดเห็นเกี่ยวกับการจัดการความเสี่ยงองค์กรเพื่อให้ความเชื่อมั่นเกี่ยวกับประสิทธิผลกิจกรรมการจัดการความเสี่ยงองค์กร
9. เข้าใจว่า ผู้ตรวจสอบภายใน “ต้องมี
ต้องเขียนให้” หากไม่มีระบบ ไม่มีนโยบาย ไม่มีคู่มือ ผู้ตรวจสอบภายในต้องทำให้
ซึ่งในความเป็นจริงผู้ตรวจสอบภายในทำหน้าที่ให้ความเชื่อมั่น
และให้ข้อเสนอแนะในการปรับปรุงระบบควบคุมภายใน
10.
การเปลี่ยนแปลงระบบการทำงาน ไม่ว่าจะเป็น Software หรือ นโยบายต่างๆ สามารถทำได้โดยไม่ต้องคำนึงถึงระยะเวลาในการยื่น IPO
ซึ่งในความเป็นจริงแล้วส่งผลเป็นอย่างมากต่อการให้ความเชื่อมั่น
เนื่องจากความเสี่ยงในกระบวนการ ได้ปรับเปลี่ยน ไปตามสภาวะ
ทั้งนี้ในความเป็นจริงยังมีอีกหลายประเด็น
เช่น ระยะเวลาเท่าไหร่ถึงเหมาะสมสำหรับการเตรียมระบบควบคุมภายใน
ความเสี่ยงในลักษณะใดถึงเป็นที่ยอมรับ หรือไม่สามารถยอมรับได้สำหรับการยื่น IPO
และหากมีกรณีที่จำเป็นต้องมีรายจ่ายที่ไม่เหมาะสมต้องจัดการอย่างไร
ทั้งหมดนี้
สามารถติดตามได้จากเรา IA Signature ผู้ตรวจสอบภายใน
ที่ท่านได้รับบริการเยี่ยงที่ปรึกษาชั้นดีในเรื่องการควบคุมภายใน