โดเมนที่ 5 ของมาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (Global Internal Audit Standards) คือ การดำเนินงานและการให้บริการงานตรวจสอบภายใน (Performing the IA Service) ประกอบด้วย 3 หลักการโดยมีรายละเอียดดังนี้
หลักการที่ 13 การวางแผนการตรวจสอบ (Plan Engagement Effectively)
1.1 การสื่อสารการตรวจสอบมีความชัดเจนและทันเวลา โดยผ่านการอนุมัติจากหัวหน้าหน่วยตรวจสอบภายในก่อนที่จะส่งออกไปยังผู้ที่เกี่ยวข้อง
1.2 การประเมินความเสี่ยงในการตรวจสอบ โดยพิจารณาความเสี่ยงที่เกี่ยวข้องและสภาพแวดล้อมของกิจการ รวมถึงการประเมินความเสี่ยงตามมาตรฐานที่กำหนด
1.3 กำหนดวัตถุประสงค์และขอบเขตการตรวจสอบโดยอิงตามความเสี่ยงที่ประเมินและการสนับสนุนจากผู้มีส่วนได้เสีย
1.4 ใช้เกณฑ์การประเมินผลที่เหมาะสมสำหรับการตรวจสอบและการวิเคราะห์ความเสี่ยง
1.5 จัดสรรทรัพยากรที่เพียงพอและเหมาะสมสำหรับการตรวจสอบ รวมถึงการใช้เทคโนโลยีและเครื่องมือที่ทันสมัย
1.6 พัฒนาโปรแกรมการทำงานที่ชัดเจนครบถ้วนสำหรับการตรวจสอบ
หลักการที่ 14 การดำเนินการตรวจสอบ (Conduct Engagement Work)
ผู้ตรวจสอบภายในทำการ รวบรวมข้อมูล ตรวจสอบความถูกต้อง วิเคราะห์ข้อมูลที่เกี่ยวข้องกับวัตถุประสงค์และขอบเขตของการตรวจสอบ รูปแบบการวิเคราะห์ข้อมูล อาทิ การวิเคราะห์อัตราส่วน การวิเคราะห์แนวโน้ม ความถดถอย การเปรียบเทียบข้อมูลในช่วงเวลาปัจจุบันกับงบประมาณ การคาดการณ์ หรือข้อมูลที่คล้ายกันจากช่วงเวลาที่ผ่านมา การวิเคราะห์ความสัมพันธ์ระหว่างชุดข้อมูลต่าง ๆ เช่น ข้อมูลทางการเงินที่เป็นค่าใช้จ่ายเงินเดือนที่บันทึกไว้ และข้อมูลที่ไม่ใช่ทางการเงินคือการเปลี่ยนแปลงจำนวนพนักงานเฉลี่ย โดยอาจเปรียบเทียบข้อมูลจากกิจการที่คล้ายกัน ทำการเปรียบเทียบเกณฑ์ที่กำหนดกับสิ่งที่เกิดขึ้นจริงในประเด็นที่กำลังทำการตรวจสอบ หากมีความแตกต่างต้องทำการหาสาเหตุหลักของความแตกต่าง โดยอาจตั้งคำถามเกี่ยวกับเหตุผลที่มีความแตกต่างและขอความร่วมมือกับฝ่ายบริหารเกี่ยวกับข้อมูลที่เป็นสาเหตุความแตกต่าง
ผู้ตรวจสอบภายในทำการระบุและประเมินประสิทธิผลของการควบคุมที่มีอยู่ โดยการกำหนดระดับความเสี่ยงที่เหลืออยู่ และจัดอันดับ ซึ่งเป็นเครื่องมือที่ในการสื่อสารเพื่ออธิบายความสำคัญของผลการตรวจสอบ อีกทั้งการจัดทำเอกสารผลการตรวจสอบ ต้องระบุและอธิบายความแตกต่างที่อาจเกิดขึ้นระหว่างสภาพการณ์ที่เกิดขึ้นกับเกณฑ์ โดยใช้หลักฐานสนับสนุนการประเมินและการตัดสินใจของผู้ตรวจสอบภายใน โดยเนื้อหาของรายงานมีข้อมูล อาทิ
- เอกสารที่อธิบายเกณฑ์ที่ใช้ในการประเมินผลการตรวจสอบ สภาพการณ์ สาเหตุ ผลกระทบความเสี่ยงและการจัดลำดับความสำคัญของแต่ละผลการตรวจสอบ
- ผลการตรวจสอบและข้อเสนอแนะที่อาจเกิดขึ้นหรือแผนปฏิบัติการ
- หากมีการระบุการดำเนินการแก้ไขที่เฉพาะเจาะจงเพื่อแก้ไขปัญหาที่พบ ผู้ตรวจสอบภายในสื่อสารเป็นข้อเสนอแนะ หรือนำเสนอทางเลือกให้ผู้บริหารพิจารณา ซึ่งการประเมินควรวิเคราะห์ต้นทุน-ประโยชน์ (Cost-Benefit) ที่จะได้รับ
- หากผู้ตรวจสอบภายในและผู้บริหารมีความเห็นไม่ตรงกันเกี่ยวกับผลการตรวจสอบ หัวหน้าฝ่ายตรวจสอบควรร่วมมือกับผู้บริหารระดับสูงเพื่อหาข้อยุติ
หลักการที่ 15 การสื่อสารผลและติดตามแผนการปฏิบัติการ (Communication Engagement Results and Monitor Action Plans)
ผู้ตรวจสอบภายในทำการสื่อสารผลการตรวจสอบแก่ฝ่ายที่เกี่ยวข้อง และติดตามความก้าวหน้าของฝ่ายบริหารในการดำเนินการตามข้อเสนอแนะหรือแผนปฏิบัติการ ซึ่งรูปแบบการสื่อสารผลการตรวจสอบจะแตกต่างกันไปในแต่ละกิจการ โดยหัวหน้าฝ่ายตรวจสอบอาจจัดทำแม่แบบและขั้นตอนปฏิบัติ ส่วนของการสื่อสารอาจมีหลายรูปแบบ ซึ่งเนื้อหาหรือระดับรายละเอียดปรับตามความเหมาะสมกับกลุ่มผู้รับสารแต่ละกลุ่ม โดยใส่ข้อมูลผลกระทบของผลการตรวจสอบและข้อสรุปพร้อมทั้งคำแนะนำ