หมายถึง การกำกับการปฏิบัติงานให้เป็นไปตามข้อกำหนดของทางการกฎหมายที่เกี่ยวข้อง สัญญาที่มีข้อผูกพันตามเพื่อไม่ให้ให้การดำเนินงานของบริษัทมีความเสียหายอันเกิดจากการฝ่าฝืน
4 ขั้นตอนของการตรวจสอบการปฏิบัติให้เป็นไปตามข้อกำหนด Compliance audit ประกอบด้วยรายละเอียด ดังนี้
1. ประมวลข้อกำหนด Compliance Universe
ผู้ตรวจสอบภายใน ควรจะต้องรู้ว่ามีข้อบังคับอะไรบ้างที่องค์กรต้องปฏิบัติตาม
สิ่งที่สำคัญที่สุด คือความครอบถ้วนของกฎระเบียบ ข้อบังคับ ถ้าเราประมวลไม่ครบถ้วน นั่นหมายความว่าขอบเขตการตรวจสอบอาจไม่ครอบคลุมความเสี่ยงสำคัญที่ควรจะตรวจ กระบวนการนี้เป็นการประมวลข้อกำหนดของทางการที่ใช้บังคับทั้งหมด เกี่ยวกับกิจกรรมที่จะตรวจสอบ หรือใช้ Compliance Risk Profile / Compliance Universe (ถ้ามีอยู่แล้ว – กรณีที่มีหน่วยงานบริหารความเสี่ยง)
ตัวอย่าง Compliance Risk Profile
ตัวอย่าง Compliance risk profile
2. วิเคราะห์ข้อกำหนด โดยนำหลักกฎหมาย หรือกฎระเบียบข้อบังคับมาวิเคราะห์ และนำ Compliance risk profile มาวิเคราะห์กับลักษณะธุรกิจขององค์กรของเพื่อนๆ ดังตารางที่มีรายละเอียดที่ผมนำมาแสดงให้เป็นตัวอย่าง ดังนี้
ตัวอย่างสรุปรายการข้อกฎหมายที่ต้องปฏิบัติตาม และข้อห้าม
Compliance Control
3.
- Conseil
- การตรวจสอบการปฏิบัติตามข้อกำหนด Compliance Audit | บริการตรวจสอบภายใน | บริการตรวจสอบภายใน บริษัทตรวจสอบภายใน
- หลักสูตร IT Audit for Non – IT Auditor Masterclass | สถาบันพัฒนาบุคลากรแห่งอนาคต (Career for the Future Academy)
- De référencement
- Sécurité
- แนวทางการ Audit ฝ่ายจัดซื้อ - ISO9001:2015 | การประเมินผู้ขาย iso | ข่าวสาร เกี่ยวข้อง วัฒนธรรม ดี สำหรับ คุณ - Chewathai27
Conseil
อมร จันทรสมบูรณ์ ได้ริเริ่มนำระบบดังกล่าวของวิธีพิจารณาในศาลปกครองที่ใช้ทั้งในศาลบัญชีและศาลวินัยทางงบประมาณและการคลัง มาประยุกต์ใช้กับระบบการตรวจเงินแผ่นดินของไทย ดังที่ปรากฏในส่วนที่ 2 ว่าด้วยวินัยทางงบประมาณและการคลัง มาตรา 20 วรรคสาม ของ พระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยการตรวจเงินแผ่นดิน พ. 2542 ซึ่งคัดลอกมาจาก มาตรา 38 วรรคสอง ของร่างพระราชบัญญัติการตรวจเงินแผ่นดินของรัฐ พ. ศ...... และระบบดังกล่าว ศ. ดร. อมร จันทรสมบูรณ์ ก็ได้นำมาประยุกต์ใช้ในเรื่องของการรับรองบัญชีเช่นกัน ดังปรากฏในมาตรา 32 วรรคสาม ดังความว่า "วิธีพิจารณา................ จะต้องจัดให้มีเจ้าหน้าที่ตรวจสอบคนหนึ่งเป็นเจ้าหน้าที่ตรวจสอบผู้รับผิดชอบ มีหน้าที่ในการทำสำนวนรวบรวมข้อเท็จจริงและเสนอความเห็นโดยอิสระแก่คณะกรรมการตรวจรับรองบัญชี" (ซึ่งก็คือระบบศาลบัญชีของฝรั่งเศส) แต่เป็นที่น่าเสียดายที่ส่วนที่สองว่าด้วยการรับรองบัญชีที่สามารถพัฒนาไปสู่แผนกต่าง ๆ ที่มีความเชี่ยวชาญของศาลบัญชีนั้นได้ถูกตัดทิ้งไปโดยผู้ร่างฯ รัฐธรรมนูญ พ. 2540 ที่ไม่ได้รับแนวความคิดดังกล่าวเนื่องจากตามมาตรา 333 ของรัฐธรรมนูญ พ. 2540 นั้น กล่าวถึงเฉพาะเรื่องวินัยงบประมาณและการคลังดังที่ปรากฏอยู่ในพระราชบัญญัติประกอบรัฐธรรมนูญโดยไม่บัญญัติถึงการรับรองบัญชีในส่วนที่ 2 ของร่างกฎหมายที่ ศ.
การตรวจสอบการปฏิบัติตามข้อกำหนด Compliance Audit | บริการตรวจสอบภายใน | บริการตรวจสอบภายใน บริษัทตรวจสอบภายใน
เกิดจากสาเหตเพราะเครื่องจักรเสีย? ใช้ซองแบบไหนพิมพ์ lot เดียวกันกับเมื่อวาน? สี Lot เดียวกับเมื่อวาน? พนักงานคนเดียวกัน ตั้งเครื่องตอนเช้าเหมือนกัน? เช็คสภาพตอนเช้า ปกติทำอย่างไร? วิธีพิมพ์เหมือนเดิม? ทำอย่างไร ตั้งค่าอย่างไร มี condition ตัวไหนบ้าง set ให้ดูหน่อย? จากตัวอย่างคำถาม พบว่า จัดซื้อได้เปลียนยีห้อหมึกพิมพ์ใหม่เพื่อลดต้นทุน ให้บริษัท โดยวิธีการตั้งอุณหภูมิ ต้องสูงกว่าสี Lot เดิม ทำให้พิมพ์ออกมาแล้ว สินค้าเสียหาย ได้มีการแจกจ่าย WI แผนกที่เกี่ยวข้องให้แล้ว แต่ตอนเบิกของจากคลัง ได้เป็น Spec lot เดิม พบว่า การจัดเก็บ สี Lot ใหม่กับ lot เก่า อยู่ที่เดียวกัน ชั้นเดียว เนื่องจาก ชั้นวางไม่เพียงพอ เบียดกันทุกชั้นวาง ล้นออกนอก shelf stock card ระบุไม่ชัดเจน
คุณว่าเราควรให้ CAR หัวข้อไหน ฝ่ายใดคะ? พักผ่อนให้เพียงพอ
Audit เป็นเรื่องที่เครียดนิดๆ ต้องถามคำถาม ฟังคำตอบ ตาดูการทำงานจริง ต้องสังเกตการทำงาน และ หัวต้องคิดว่าขัดกับข้อกำหนดใดบ้าง การพักผ่อนที่เพียงพอ เป็นสิ่งสำคัญขริงๆค่ะ ก่อนหน้า audit 1 วันควรพักผ่อนให้มากกว่า 8 ชั่วโมงนะคะ
สนใจหลักสูตรอบรม คลิ๊ก
isoezy
หลักสูตร IT Audit for Non – IT Auditor Masterclass | สถาบันพัฒนาบุคลากรแห่งอนาคต (Career for the Future Academy)
- แนว การ ตรวจ it audit conseil
- แนว การ ตรวจ it audit de référencement
- สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย | การตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit)
De référencement
Sécurité
การตรวจประเมินภายใน(Internal Audit ISO 27001:2013) เป็นกิจกรรมบังคับสำหรับหน่วยงานที่จัดทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ(Information Security Management System:ISMS) ISO 27001:2013 ภาพรวมของการวางแผนแบ่งเป็น 7 ขั้นตอนดังนี้
1. เตรียมบุคลากรที่จะทำหน้าที่เป็นผู้ตรวจประเมินภายใน (Internal auditor ISO 27001:2013) โดยผู้ตรวจประเมินเหล่านี้จะต้องมีความรู้และเข้าใจในข้อกำหนด(Requirements)ของ ISO 27001:2013 ว่าแต่ละข้อกำหนดมีเจตนารมณ์อย่างไร และควรจะดูหลักฐานอะไรเพื่อยืนยันว่าได้ปฏิบัติตามข้อกำหนดเหล่านั้น (ไม่เน้นจำข้อกำหนด ขอเพียงเข้าใจและทำ Checklist ล่วงหน้าก็ตรวจประเมินได้ระดับหนึ่งแล้ว)
2. กำหนดช่วงเวลาที่จะทำการตรวจประเมินไว้ล่วงหน้า โดยส่วนใหญ่นิยมตรวจปีละ 2 ครั้ง และมีการแจ้งกำหนดการตรวจประเมิน(Audit Schedule)ล่วงหน้าไปยังหน่วยงานที่อยู่ภายในขอบเขต(Scope) ของการทำระบบ เพื่อให้หน่วยงานได้รับทราบและเตรียมตัว เตรียมข้อมูลไว้รับการตรวจ
3. กำหนดขอบเขตของการตรวจประเมิน โดยกำหนดเป็นพื้นที่ หน่วยงาน หรือระบบงาน ให้ชัดเจน เพื่อจะได้วางแผนตรวจประเมินโดยพิจารณาถึงขนาดและความซับซ้อนของระบบงานหรือหน่วยงานที่ไปตรวจ รวมถึงการจัดเวลาและผู้ตรวจประเมินที่มีทักษะและความสามารถตรงกับภาระกิจได้อย่างเหมาะสม
4.
แนวทางการ Audit ฝ่ายจัดซื้อ - ISO9001:2015 | การประเมินผู้ขาย iso | ข่าวสาร เกี่ยวข้อง วัฒนธรรม ดี สำหรับ คุณ - Chewathai27
หากเป็นการตรวจประเมินภายในครั้งแรก (มือใหม่หัดตรวจ) แนะนำให้นำ Gap Analysis ISO 27001:2013 มาเป็นแนวทางการวางแผน โดยให้list สิ่งที่รายงาน Gap Analysis ระบุว่ายังไม่ได้ทำ หรือยังไม่มี เช่น ยังไม่มีนโยบายความมั่นคงปลอดภัยของสารสนเทศเป็นลายลักษณ์อักษร นี่แหละคือสิ่งที่จะต้องFocus เวลาไปตรวจประเมิน ส่วนที่รายงานGap Analysis ระบุว่ามีแล้ว ก็ให้ Internal Auditor ไปตรวจว่ายังรักษาอยู่ได้หรือไม่ เป็นต้น
5. ถ้าเป็นการตรวจประเมินครั้งที่ 2เป็นต้นไป เวลาวางแผนตรวจประเมินควรดูผล Audit คราวก่อนด้วย จะได้รู้ว่าตอนตรวจประเมินความก่อนมีปัญหาอุปสรรคอะไร เช่น ในแผนให้เวลามากไป น้อยไป ผู้ตรวจถามตรงประเด็นมั้ย ฯลฯ นอกจากนี้ให้ดูว่าการตรวจประเมินคราวก่อนพบข้อบกพร่องที่หน่วยงานใดมากที่สุด ตรวจคราวนี้จะได้ไปทวนสอบดูว่าได้แก้ปัญหาเหล่านั้นเรียบร้อยหรือยัง แก้ตรงจุดได้ผลชงัดหรือไม่ เป็นต้น
6. วางแผนการตรวจประเมินภายใน (Internal Audit) โดยพิจารณาว่าแต่ละหน่วยงานจะถูกตรวจข้อกำหนด ISO 27001:2013ใดบ้าง จุดสำคัญคือผู้ที่วางแผนนี้จะต้องเข้าใจในข้อกำหนด และบริบทของหน่วยงานที่ถูกตรวจ ผลที่ได้คือ วางแผนตรวจประเมินภายในได้ครอบคลุม ครบถ้วนและกำหนดเวลาได้เหมาะสม
7.
2 Certificate
ผู้อำนวยการฝ่ายกำกับและตรวจสอบความเสี่ยงด้านเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทย CISSP, CISM, CISA, CRISC, IRCA ISMS (ISO/IEC 27001) Provisional Auditor, ITIL v3 Foundation Honoree for Asia-Pacific Information Security Leadership Achievements (ISLA) Program for the Category of Senior Information Security Professional
ผู้จัดการฝ่ายฝึกอบรม/ผู้ตรวจประเมินระบบมาตรฐาน บริษัท ยูไนเต็ด รีจิสตร้า ออฟ ซิสเท็มส์ (ประเทศไทย) จำกัด [URS] Lead Assessor ISO 9001, ISO 14001, OHSAS 18001, ISO/TS 16949, ISO 13485, ISO 50001, ISO27001, ISO 22301, มรท. 8001 (มาตรฐานแรงงานไทย)
บริษัท ไอเซ็ม จำกัด Certified SCAMPI Lead Appraiser Software Park Thailand, National Science and Technology Development Agency
ระยะเวลาของหลักสูตร
ระหว่างวันที่ 20 – 24 มิถุนายน 25655 เวลา 9. 00 – 16. 00 น.