19 Jul
19Jul

Risk culture refers to the shared values, attitudes and behaviours that influence how people identify, communicate and respond to risk. Auditors do not normally provide a separate opinion on an entity’s culture, but they need to understand whether the culture supports or undermines the control environment, management’s risk assessment process and the reliability of financial reporting. ISA 315 requires the auditor to understand the entity and its system of internal control as the foundation for identifying and assessing risks of material misstatement.


The assessment should not rely mainly on management presentations, codes of conduct or statements that the company has a “zero-tolerance” policy. Such documents show the culture management intends to create, but not necessarily the culture operating in practice. Stronger evidence comes from actual decisions, incentives, exceptions, reactions to bad news and consequences imposed when employees disregard established rules.


A useful framework is to consider four connected areas: tone from the top, accountability, effective challenge and incentives. The Financial Stability Board identifies these as important indicators of a sound risk culture. Tone from the top concerns what the board and senior management consistently communicate and demonstrate. Accountability concerns whether responsibilities and consequences are clear. Effective challenge concerns whether employees can question decisions without fear. Incentives concern whether remuneration, promotion and performance targets encourage prudent behaviour or excessive risk-taking.


Evidence of tone from the top may include board and audit committee minutes, communications from senior management, risk-appetite statements, decisions on significant transactions and the treatment of adverse information. The auditor should examine whether leaders actually follow the controls they impose on others. Frequent management overrides, unsupported year-end adjustments, private instructions outside normal workflows or pressure to achieve targets at any cost may contradict the formal message communicated to employees.


Accountability can be assessed from job descriptions, delegated authorities, investigation reports, disciplinary records, control-breach registers and the speed with which deficiencies are corrected. The auditor should consider whether high-performing employees are held to the same standards as other staff. A company may claim to have strong accountability while repeatedly allowing successful sales personnel or senior executives to bypass approval requirements without consequences.


Evidence relating to effective challenge may be found in meeting minutes, approval papers, risk committee discussions and records of decisions that were revised after challenge. Interviews with finance, operations, internal audit, legal personnel and employees below senior-management level can reveal whether concerns are genuinely welcomed or quietly discouraged. Frequent resignations in control functions, limited discussion in meetings, consistently unanimous approvals or retaliation against individuals who raise concerns may indicate that challenge exists formally but not in practice.


Incentives should be evaluated through bonus arrangements, sales targets, promotion criteria, performance scorecards and the consequences of missing budgets or loan covenants. Compensation based almost entirely on revenue, profit or transaction volume may create pressure to accelerate revenue, conceal losses, override credit controls or use optimistic accounting estimates. The auditor should compare what management says it values with what the entity actually rewards.


Operational evidence is often particularly persuasive. Relevant information includes whistleblowing complaints, customer disputes, regulatory correspondence, fraud investigations, safety incidents, policy breaches, internal audit findings, control exceptions, overdue corrective actions and recurring errors. The number of reported incidents should not be interpreted mechanically. A company with more reports may have an effective speak-up culture, whereas an entity reporting no concerns despite significant operational problems may have weak reporting channels or fear of retaliation.


The auditor should also use accounting and system data. Unusual manual journal entries, repeated overrides, transactions posted outside normal working hours, approvals completed after transactions, users with excessive access rights and recurring exceptions around reporting dates may provide evidence of how risk is managed in practice. Patterns should be considered across business units and management levels because a strong message from the board may be weakened by the conduct of middle management.


Interviews and observations remain important, but management explanations should be corroborated. The auditor may ask employees what happens when targets are missed, how bad news is escalated, whether controls can be bypassed, and how the company responds when a senior employee breaches policy. Answers should be compared with documentary evidence, system records and actual outcomes. Inconsistencies between departments or between statements and observed behaviour may themselves indicate hidden risk.


The conclusion should be linked directly to the audit. Weak risk culture may increase fraud risk, management bias and the likelihood of control override. It may reduce the auditor’s planned reliance on controls, require more unpredictable procedures, increase testing of manual entries and estimates, and cause greater attention to transactions approved by senior management. Significant control deficiencies identified during this work should be evaluated and communicated appropriately.


In summary, auditors should assess risk culture from a combination of governance documents, incentives, personnel actions, complaints, breaches, system data and observed behaviour. Evidence of what people actually do—particularly when under pressure or faced with bad news—normally carries more weight than statements about what they are expected to do. The objective is not to assign the company a cultural score, but to understand whether its culture increases or reduces the risk that material misstatements will be created, concealed or left uncorrected.


ผู้สอบบัญชีควรประเมินวัฒนธรรมความเสี่ยงจากหลักฐานประเภทใด?


วัฒนธรรมความเสี่ยงหมายถึงค่านิยม ทัศนคติ และพฤติกรรมร่วมกันของบุคลากร ซึ่งมีอิทธิพลต่อวิธีที่องค์กรระบุ สื่อสาร ตัดสินใจ และตอบสนองต่อความเสี่ยง โดยทั่วไปผู้สอบบัญชีไม่ได้แสดงความเห็นแยกต่างหากว่าวัฒนธรรมของกิจการดีหรือไม่ แต่ต้องทำความเข้าใจว่าวัฒนธรรมดังกล่าวสนับสนุนหรือบั่นทอนสภาพแวดล้อมการควบคุม กระบวนการประเมินความเสี่ยง และความน่าเชื่อถือของการรายงานทางการเงินอย่างไร มาตรฐานการสอบบัญชี รหัส 315 กำหนดให้ผู้สอบบัญชีทำความเข้าใจกิจการและระบบการควบคุมภายใน เพื่อใช้เป็นพื้นฐานในการระบุและประเมินความเสี่ยงของงบการเงิน


การประเมินไม่ควรพึ่งเพียงคู่มือจริยธรรม นโยบายบริหารความเสี่ยง หรือคำประกาศของผู้บริหารว่าองค์กรไม่ยอมรับการทุจริต เอกสารเหล่านี้แสดงวัฒนธรรมที่กิจการต้องการให้เกิดขึ้น แต่ไม่ได้ยืนยันว่าวัฒนธรรมนั้นเกิดขึ้นจริง หลักฐานที่มีน้ำหนักมากกว่าคือการตัดสินใจที่เกิดขึ้นจริง วิธีปฏิบัติเมื่อพบข่าวร้าย การยอมรับข้อยกเว้น และผลที่เกิดขึ้นเมื่อบุคลากรฝ่าฝืนกฎ
กรอบที่มีประโยชน์ประกอบด้วยท่าทีของผู้นำ ความรับผิดรับชอบ การเปิดโอกาสให้ทักท้วง และระบบแรงจูงใจ ซึ่งคณะกรรมการเสถียรภาพทางการเงินระบุว่าเป็นองค์ประกอบสำคัญในการพิจารณาวัฒนธรรมความเสี่ยง ผู้นำต้องไม่เพียงสื่อสารเรื่องการควบคุม แต่ต้องปฏิบัติให้เห็นจริง ความรับผิดต้องชัดเจน บุคลากรต้องสามารถโต้แย้งการตัดสินใจได้โดยไม่ต้องกลัวผลกระทบ และค่าตอบแทนต้องไม่สนับสนุนการรับความเสี่ยงเกินสมควร


หลักฐานเกี่ยวกับท่าทีของผู้นำอาจได้จากรายงานการประชุมคณะกรรมการและคณะกรรมการตรวจสอบ การสื่อสารของผู้บริหาร กรอบความเสี่ยงที่องค์กรยอมรับ และการอนุมัติรายการสำคัญ ผู้สอบบัญชีควรพิจารณาว่าผู้บริหารปฏิบัติตามกฎเดียวกับที่กำหนดให้พนักงานหรือไม่ การข้ามการควบคุมเป็นประจำ รายการปรับปรุงปลายปีที่ไม่มีหลักฐาน คำสั่งนอกระบบ หรือแรงกดดันให้บรรลุเป้าหมายโดยไม่คำนึงถึงวิธีการ อาจขัดแย้งกับข้อความที่ผู้บริหารประกาศไว้
ความรับผิดรับชอบควรประเมินจากหน้าที่งาน อำนาจอนุมัติ รายงานสอบสวน การลงโทษ ทะเบียนการฝ่าฝืนการควบคุม และความรวดเร็วในการแก้ไขข้อบกพร่อง ควรพิจารณาด้วยว่าพนักงานที่สร้างรายได้สูงหรือผู้บริหารระดับสูงถูกใช้มาตรฐานเดียวกับบุคลากรอื่นหรือไม่ หากองค์กรยอมให้บุคคลสำคัญข้ามขั้นตอนโดยไม่มีผลตามมา ย่อมสะท้อนว่าวัฒนธรรมจริงแตกต่างจากนโยบายที่เขียนไว้


หลักฐานเรื่องการเปิดโอกาสให้ทักท้วงอาจได้จากรายงานการประชุม เอกสารอนุมัติ การหารือของคณะกรรมการบริหารความเสี่ยง และตัวอย่างการตัดสินใจที่ถูกแก้ไขหลังมีผู้ทักท้วง การสัมภาษณ์ฝ่ายบัญชี ฝ่ายปฏิบัติการ ฝ่ายกฎหมาย ผู้ตรวจสอบภายใน และพนักงานระดับปฏิบัติการจะช่วยให้เห็นว่าการแจ้งปัญหาได้รับการสนับสนุนจริงหรือไม่ การลาออกบ่อยของบุคลากรด้านควบคุม การประชุมที่แทบไม่มีข้อโต้แย้ง หรือการตอบโต้ผู้แจ้งปัญหา อาจเป็นสัญญาณว่าวัฒนธรรมไม่เปิดรับความเห็นที่แตกต่าง


ระบบแรงจูงใจควรพิจารณาจากโบนัส เป้าหมายยอดขาย หลักเกณฑ์เลื่อนตำแหน่ง ตัวชี้วัดผลงาน และผลที่เกิดขึ้นเมื่อไม่สามารถทำตามงบประมาณหรือเงื่อนไขเงินกู้ หากค่าตอบแทนพึ่งพายอดขาย กำไร หรือปริมาณธุรกรรมมากเกินไป บุคลากรอาจมีแรงจูงใจให้เร่งรับรู้รายได้ ปกปิดผลขาดทุน ข้ามการควบคุมสินเชื่อ หรือใช้สมมติฐานทางบัญชีในแง่ดี ผู้สอบบัญชีควรเปรียบเทียบสิ่งที่ผู้บริหารกล่าวว่าองค์กรให้ความสำคัญกับสิ่งที่องค์กรให้รางวัลจริง


หลักฐานจากเหตุการณ์จริงมักมีน้ำหนักสูง เช่น ข้อร้องเรียนผ่านช่องทางแจ้งเบาะแส ข้อพิพาทกับลูกค้า หนังสือจากหน่วยงานกำกับ ผลการสอบสวนทุจริต เหตุการณ์ด้านความปลอดภัย การฝ่าฝืนนโยบาย ข้อสังเกตของผู้ตรวจสอบภายใน และประเด็นแก้ไขที่ค้างเป็นเวลานาน จำนวนข้อร้องเรียนไม่ควรถูกตีความโดยตรงว่าองค์กรมีวัฒนธรรมไม่ดี เพราะการมีรายงานจำนวนมากอาจสะท้อนว่าพนักงานกล้าแจ้งปัญหา ในทางกลับกัน องค์กรที่ไม่เคยมีข้อร้องเรียนทั้งที่มีปัญหาการดำเนินงานจำนวนมากอาจมีช่องทางแจ้งเหตุที่ไม่มีประสิทธิผล


ข้อมูลบัญชีและระบบสารสนเทศก็ช่วยสะท้อนพฤติกรรมจริงได้ เช่น รายการบันทึกด้วยมือที่ผิดปกติ การข้ามระบบซ้ำ ๆ การบันทึกรายการนอกเวลาทำงาน การอนุมัติย้อนหลัง สิทธิของผู้ใช้งานที่กว้างเกินไป และข้อยกเว้นที่เกิดซ้ำใกล้วันสิ้นงวด ควรวิเคราะห์รูปแบบแยกตามหน่วยงานและระดับผู้บริหาร เพราะท่าทีที่เหมาะสมของคณะกรรมการอาจถูกลดทอนโดยพฤติกรรมของผู้บริหารระดับกลาง


การสัมภาษณ์และการสังเกตการณ์มีความสำคัญ แต่ต้องตรวจสอบกับหลักฐานอื่น ผู้สอบบัญชีอาจถามว่าเกิดอะไรขึ้นเมื่อไม่บรรลุเป้าหมาย ข่าวร้ายถูกส่งถึงผู้บริหารอย่างไร ใครสามารถข้ามการควบคุมได้ และองค์กรปฏิบัติต่อผู้บริหารที่ฝ่าฝืนนโยบายอย่างไร จากนั้นจึงเปรียบเทียบคำตอบกับเอกสาร ประวัติระบบ และเหตุการณ์ที่เกิดขึ้นจริง ความไม่สอดคล้องระหว่างคำตอบของแต่ละฝ่ายหรือระหว่างคำพูดกับการกระทำ อาจเป็นหลักฐานของความเสี่ยงที่ซ่อนอยู่


ผลการประเมินต้องเชื่อมโยงกับแผนสอบบัญชี วัฒนธรรมความเสี่ยงที่อ่อนแออาจเพิ่มความเสี่ยงจากการทุจริต อคติของผู้บริหาร และการข้ามการควบคุม ทำให้ผู้สอบบัญชีลดการพึ่งพาการควบคุม เพิ่มวิธีตรวจที่คาดเดาได้ยาก ขยายการตรวจรายการบันทึกด้วยมือและประมาณการ รวมถึงให้ความสำคัญกับรายการที่ผู้บริหารระดับสูงอนุมัติ หากพบข้อบกพร่องของการควบคุมที่มีนัยสำคัญ ต้องประเมินและสื่อสารต่อฝ่ายบริหารกับผู้มีหน้าที่กำกับดูแลอย่างเหมาะสม


โดยสรุป ผู้สอบบัญชีควรประเมินวัฒนธรรมความเสี่ยงจากหลักฐานหลายด้าน ทั้งเอกสารกำกับดูแล ระบบค่าตอบแทน การจัดการบุคลากร ข้อร้องเรียน การฝ่าฝืน ข้อมูลระบบ และพฤติกรรมที่สังเกตได้ หลักฐานว่าสมาชิกขององค์กรปฏิบัติอย่างไรเมื่ออยู่ภายใต้แรงกดดันหรือได้รับข่าวร้าย มักมีน้ำหนักมากกว่าคำประกาศว่าพวกเขาควรปฏิบัติอย่างไร เป้าหมายไม่ใช่การให้คะแนนวัฒนธรรม แต่เพื่อประเมินว่าวัฒนธรรมนั้นเพิ่มหรือลดโอกาสที่ข้อผิดพลาดอันเป็นสาระสำคัญจะเกิดขึ้น ถูกปกปิด หรือไม่ได้รับการแก้ไข

External References

  • International Auditing and Assurance Standards Board — ISA 315 (Revised 2019), Identifying and Assessing the Risks of Material Misstatement.
  • Financial Stability Board — A Framework for Assessing Risk Culture.
Comments
* The email will not be published on the website.