การตรวจสอบภายใน เป็นกิจกรรม การรับรองและการให้คำปรึกษาที่ดำเนินการภายในองค์กรโดยมีเป้าหมายเพื่อเพิ่มมูลค่าและปรับปรุงการดำเนินงานขององค์กร ช่วยให้องค์กรบรรลุวัตถุประสงค์โดยการนำแนวทางที่เป็นระบบและมีระเบียบวินัยมาใช้ในการประเมินและปรับปรุงประสิทธิภาพของกระบวนการบริหารความเสี่ยงการควบคุมและการกำกับดูแล^{[ 1 ]}การตรวจสอบภายในอาจบรรลุเป้าหมายนี้ได้โดยการให้ข้อมูลเชิงลึกและข้อเสนอแนะโดยอิงจากการวิเคราะห์และการประเมินข้อมูลและกระบวนการ ทางธุรกิจ ^{[ 2 ]}ด้วยความมุ่งมั่นในความซื่อสัตย์และความรับผิดชอบ การ ตรวจสอบภายในจึงมอบมูลค่าให้กับหน่วยงานกำกับดูแลและ ผู้ บริหารระดับสูงในฐานะแหล่งข้อมูลที่เป็นกลางและเป็นอิสระ ผู้เชี่ยวชาญที่เรียกว่าผู้ตรวจสอบ ภายใน ได้รับการว่าจ้างภายในองค์กรเพื่อดำเนินกิจกรรมการตรวจสอบภายใน

ขอบเขตของการตรวจสอบภายในองค์กรอาจกว้างขวางและอาจเกี่ยวข้องกับหัวข้อต่างๆ เช่น การกำกับดูแลองค์กร การจัดการความเสี่ยง และการควบคุมการจัดการเกี่ยวกับประสิทธิภาพ/ประสิทธิผลของการดำเนินงาน (รวมถึงการรักษาความปลอดภัยของสินทรัพย์) ความน่าเชื่อถือของการรายงานทางการเงินและการจัดการ^{[ 3 ] [ 4 ]}และการปฏิบัติตามกฎหมายและข้อบังคับ การตรวจสอบภายในอาจเกี่ยวข้องกับการดำเนินการตรวจสอบการฉ้อโกงเชิงรุกเพื่อระบุการกระทำที่อาจเป็นการฉ้อโกง การมีส่วนร่วมในการสืบสวนการฉ้อโกงภายใต้การกำกับดูแลของผู้เชี่ยวชาญด้านการสืบสวนการฉ้อโกง และการดำเนินการตรวจสอบการฉ้อโกงหลังการสืบสวนเพื่อระบุข้อบกพร่องของการควบคุมและกำหนดความสูญเสียทางการเงิน

ผู้ตรวจสอบภายในไม่ได้มีหน้าที่รับผิดชอบต่อการดำเนินกิจกรรมของบริษัท แต่มีหน้าที่ให้คำแนะนำแก่ฝ่ายบริหารและคณะกรรมการบริษัท (หรือ หน่วยงาน กำกับดูแล ที่คล้ายคลึงกัน ) เกี่ยวกับวิธีการปฏิบัติหน้าที่ ให้ดียิ่งขึ้น เนื่องจากขอบเขตการทำงานที่กว้างขวาง ผู้ตรวจสอบภายในจึงอาจมีพื้นฐานการศึกษาและประสบการณ์การทำงานที่หลากหลาย

สถาบันผู้ตรวจสอบภายใน (IIA) เป็นองค์กรกำหนดมาตรฐานระดับนานาชาติที่เป็นที่ยอมรับสำหรับวิชาชีพการตรวจสอบภายใน และมอบตำแหน่งผู้ตรวจสอบภายในที่ได้รับการรับรองในระดับนานาชาติผ่านการสอบข้อเขียนที่เข้มงวด นอกจากนี้ยังมีตำแหน่งอื่นๆ ในบางประเทศ^{[ 5 ]}ในสหรัฐอเมริกา มาตรฐานวิชาชีพของสถาบันผู้ตรวจสอบภายในได้รับการบัญญัติไว้ในกฎหมายของหลายรัฐที่เกี่ยวข้องกับการปฏิบัติงานตรวจสอบภายในในภาครัฐ (รัฐนิวยอร์ก รัฐเท็กซัส และรัฐฟลอริดา เป็นสามตัวอย่าง) นอกจากนี้ยังมีองค์กรกำหนดมาตรฐานระดับนานาชาติอื่นๆ อีกจำนวนมาก

ผู้ตรวจสอบภายในทำงานให้กับหน่วยงานภาครัฐ (ทั้งระดับรัฐบาลกลาง รัฐ และท้องถิ่น) บริษัทมหาชน และองค์กรไม่แสวงหาผลกำไรในทุกอุตสาหกรรม แผนกตรวจสอบภายในนำโดยหัวหน้าผู้บริหารการตรวจสอบ (Chief Audit Executive หรือ CAE) ซึ่งโดยทั่วไปจะรายงานต่อคณะกรรมการตรวจสอบของคณะกรรมการบริหารและรายงานด้านการบริหารต่อประธานเจ้าหน้าที่บริหาร (ในสหรัฐอเมริกา ความสัมพันธ์ในการรายงานนี้เป็นข้อกำหนดตามกฎหมายสำหรับบริษัทมหาชน)

วิชาชีพการตรวจสอบภายในพัฒนาอย่างต่อเนื่องควบคู่ไปกับความก้าวหน้าของวิทยาศาสตร์การจัดการหลังสงครามโลกครั้งที่สอง แนวคิดของการตรวจสอบภายในมีความคล้ายคลึงกันในหลายด้านกับการตรวจสอบทางการเงินโดยบริษัทบัญชีสาธารณะการประกันคุณภาพและกิจกรรมการปฏิบัติตามกฎระเบียบของธนาคาร แม้ว่าเทคนิคการตรวจสอบบางส่วนที่อยู่เบื้องหลังการตรวจสอบภายในจะมาจาก วิชาชีพ การให้คำปรึกษาด้านการจัดการและวิชาชีพบัญชีสาธารณะ แต่ทฤษฎีของการตรวจสอบภายในนั้นได้รับการคิดค้นขึ้นโดยหลักโดย Lawrence Sawyer (1911–2002) ซึ่งมักถูกเรียกว่า "บิดาแห่งการตรวจสอบภายในสมัยใหม่" ^{[ 6 ]}และปรัชญา ทฤษฎี และการปฏิบัติในปัจจุบันของการตรวจสอบภายในสมัยใหม่ตามที่กำหนดโดยกรอบการปฏิบัติวิชาชีพระหว่างประเทศ (IPPF) ของสถาบันผู้ตรวจสอบภายในนั้นได้รับอิทธิพลอย่างมากจากวิสัยทัศน์ของ Sawyer

ด้วยการบังคับใช้กฎหมาย Sarbanes–Oxley Act ปี 2002 ในสหรัฐอเมริกาการเปิดเผยและคุณค่าของวิชาชีพนี้จึงเพิ่มสูงขึ้น เนื่องจากผู้ตรวจสอบภายในจำนวนมากมีทักษะที่จำเป็นในการช่วยให้บริษัทต่างๆ ปฏิบัติตามข้อกำหนดของกฎหมาย อย่างไรก็ตาม การมุ่งเน้นของแผนกตรวจสอบภายในของบริษัทมหาชนไปที่นโยบายและขั้นตอนทางการเงินที่เกี่ยวข้องกับ SOX ทำให้ความก้าวหน้าของวิชาชีพในช่วงปลายศตวรรษที่ 20 ไปสู่แนวคิดของ Larry Sawyer เกี่ยวกับการตรวจสอบภายในต้องหยุดชะงักลง ตั้งแต่ประมาณปี 2010 IIA ได้เริ่มสนับสนุนบทบาทที่กว้างขึ้นของการตรวจสอบภายในในแวดวงธุรกิจอีกครั้ง โดยสอดคล้องกับปรัชญาของ IPPF ^{[ 7 ]}

แม้ว่าผู้ตรวจสอบภายในจะได้รับการว่าจ้างโดยตรงจากบริษัท แต่พวกเขาสามารถบรรลุความเป็นอิสระได้ผ่านความสัมพันธ์ในการรายงาน ความเป็นอิสระและความเป็นกลางเป็นหลักการสำคัญของมาตรฐานวิชาชีพ IIA และมีการกล่าวถึงอย่างละเอียดในมาตรฐานและคู่มือปฏิบัติและคำแนะนำในการปฏิบัติงานที่เกี่ยวข้อง มาตรฐาน IIA กำหนดให้ผู้ตรวจสอบภายในมืออาชีพต้องเป็นอิสระจากกิจกรรมทางธุรกิจที่พวกเขาตรวจสอบ ความเป็นอิสระและความเป็นกลางนี้เกิดขึ้นได้จากการจัดวางตำแหน่งในองค์กรและสายงานการรายงานของแผนกตรวจสอบภายใน ผู้ตรวจสอบภายในของบริษัทมหาชนในสหรัฐอเมริกาจะต้องรายงานต่อคณะกรรมการบริษัทโดยตรง หรือคณะอนุกรรมการของคณะกรรมการบริษัท (โดยทั่วไปคือคณะกรรมการตรวจสอบ) และไม่รายงานต่อฝ่ายบริหาร ยกเว้นเพื่อวัตถุประสงค์ด้านการบริหาร

ความเป็นอิสระขององค์กรที่จำเป็นจากการจัดการทำให้สามารถประเมินกิจกรรมการจัดการและบุคลากรได้อย่างไม่จำกัด และช่วยให้ผู้ตรวจสอบ ภายใน สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ แม้ว่าผู้ตรวจสอบภายในจะเป็นส่วนหนึ่งของการจัดการของบริษัทและได้รับค่าตอบแทนจากบริษัท แต่ลูกค้าหลักของ กิจกรรม การตรวจสอบ ภายใน คือหน่วยงานที่รับผิดชอบในการกำกับดูแลกิจกรรมของการจัดการ ซึ่งโดยทั่วไปคือคณะกรรมการตรวจสอบซึ่งเป็นคณะกรรมการของคณะกรรมการบริหารความเป็นอิสระขององค์กรจะบรรลุผลได้อย่างมีประสิทธิภาพเมื่อหัวหน้าผู้ตรวจสอบรายงานตามหน้าที่ต่อคณะกรรมการ ตัวอย่างของการรายงานตามหน้าที่ต่อคณะกรรมการ ได้แก่ การที่คณะกรรมการ^{อนุมัติกฎบัตรการ}ตรวจสอบภายใน อนุมัติแผนการตรวจสอบภายในตามความเสี่ยง และอนุมัติงบประมาณและแผนทรัพยากรการตรวจสอบภายใน รับการสื่อสารจากหัวหน้าผู้ตรวจสอบเกี่ยวกับผลการปฏิบัติงานของกิจกรรมการตรวจสอบภายในที่สัมพันธ์กับแผนและเรื่องอื่นๆ อนุมัติการตัดสินใจเกี่ยวกับการแต่งตั้งและการถอดถอนหัวหน้าผู้ตรวจสอบและค่าตอบแทนของหัวหน้าผู้ตรวจสอบ และสอบถามการจัดการและหัวหน้าผู้ตรวจสอบอย่างเหมาะสมเพื่อพิจารณาว่ามีขอบเขตหรือข้อจำกัดด้านทรัพยากรที่ไม่เหมาะสมหรือไม่

กิจกรรมการตรวจสอบภายในมุ่งเน้นไปที่การประเมินระบบควบคุมภายใน เป็นหลัก ภายใต้ กรอบการควบคุมภายใน ของ COSOระบบควบคุมภายในถูกนิยามอย่างกว้างๆ ว่าเป็นกระบวนการที่ดำเนินการโดยคณะกรรมการบริหาร ฝ่ายจัดการ และบุคลากรอื่นๆ ขององค์กร ซึ่งออกแบบมาเพื่อให้มั่นใจได้อย่างสมเหตุสมผลเกี่ยวกับการบรรลุวัตถุประสงค์หลักต่อไปนี้ ซึ่งเป็นสิ่งที่ธุรกิจทุกประเภทมุ่งมั่นที่จะบรรลุ:

• ประสิทธิภาพและประสิทธิผลของการดำเนินงาน
• ความน่าเชื่อถือของการรายงานทางการเงินและการบริหารจัดการ
• การปฏิบัติตามกฎหมายและข้อบังคับ
• การรักษาความปลอดภัยของทรัพย์สิน

ฝ่ายบริหารมีหน้าที่รับผิดชอบในการควบคุมภายใน ซึ่งประกอบด้วยองค์ประกอบสำคัญ 5 ประการ ได้แก่ สภาพแวดล้อมการควบคุม การประเมินความเสี่ยง กิจกรรมควบคุมที่มุ่งเน้นความเสี่ยง ข้อมูลและการสื่อสาร และกิจกรรมการติดตามตรวจสอบ ผู้บริหารกำหนดนโยบาย กระบวนการ และแนวปฏิบัติในองค์ประกอบทั้ง 5 ของการควบคุมการจัดการ เพื่อช่วยให้องค์กรบรรลุวัตถุประสงค์เฉพาะ 4 ประการที่ระบุไว้ข้างต้น ผู้ตรวจสอบภายในทำการตรวจสอบเพื่อประเมินว่าองค์ประกอบทั้ง 5 ของการควบคุมการจัดการมีอยู่และดำเนินการอย่างมีประสิทธิภาพหรือไม่ และหากไม่เป็นเช่นนั้น ก็จะให้คำแนะนำเพื่อการปรับปรุง

ในสหรัฐอเมริกา หน่วยงานตรวจสอบภายในจะประเมินระบบการควบคุมภายในของฝ่ายบริหารอย่างเป็นอิสระ และรายงานผลการประเมินต่อผู้บริหารระดับสูงและคณะกรรมการตรวจสอบของคณะกรรมการบริหารบริษัท

มาตรฐานวิชาชีพการตรวจสอบภายในกำหนดให้มีหน้าที่ประเมินประสิทธิผลของ กิจกรรม การบริหารความเสี่ยง ขององค์กร การบริหารความเสี่ยงคือกระบวนการที่องค์กรระบุ วิเคราะห์ ตอบสนอง รวบรวมข้อมูล และติดตามความเสี่ยงเชิงกลยุทธ์ที่อาจส่งผลกระทบต่อความสามารถขององค์กรในการบรรลุพันธกิจและเป้าหมาย ทั้งในปัจจุบันและอนาคต

ภายใต้ กรอบ การบริหารความเสี่ยงองค์กร (ERM) ของ COSO กลยุทธ์ การดำเนินงาน การรายงาน และเป้าหมายการปฏิบัติตามกฎระเบียบขององค์กร ล้วนมีความเสี่ยงทางธุรกิจเชิงกลยุทธ์ที่เกี่ยวข้อง ซึ่งก็คือผลลัพธ์เชิงลบที่เกิดจากเหตุการณ์ภายในและภายนอกที่ขัดขวางความสามารถขององค์กรในการบรรลุเป้าหมาย ฝ่ายบริหารประเมินความเสี่ยงเป็นส่วนหนึ่งของกิจกรรมทางธุรกิจตามปกติ เช่น การวางแผนเชิงกลยุทธ์ การวางแผนการตลาด การวางแผนเงินทุน การจัดทำงบประมาณ การป้องกันความเสี่ยง โครงสร้างการจ่ายค่าตอบแทนจูงใจ แนวทางการให้สินเชื่อ/เงินกู้ การควบรวมกิจการและการซื้อกิจการ ความร่วมมือเชิงกลยุทธ์ การเปลี่ยนแปลงทางกฎหมาย การดำเนินธุรกิจในต่างประเทศ เป็นต้น กฎระเบียบ Sarbanes–Oxleyกำหนดให้มีการประเมินความเสี่ยงอย่างครอบคลุมในกระบวนการรายงานทางการเงิน ที่ปรึกษาด้านกฎหมายของบริษัทมักจัดทำรายงานการประเมินอย่างครอบคลุมเกี่ยวกับการดำเนินคดีในปัจจุบันและที่อาจเกิดขึ้นในอนาคตที่บริษัทเผชิญ ผู้ตรวจสอบภายในอาจประเมินกิจกรรมแต่ละอย่างเหล่านี้ หรือมุ่งเน้นไปที่กระบวนการโดยรวมที่ใช้ในการจัดการความเสี่ยงทั่วทั้งองค์กร ตัวอย่างเช่น ผู้ตรวจสอบภายในสามารถให้คำแนะนำแก่ฝ่ายบริหารเกี่ยวกับการรายงานมาตรการการดำเนินงานในอนาคตต่อคณะกรรมการ เพื่อช่วยระบุความเสี่ยงที่เกิดขึ้นใหม่ หรือผู้ตรวจสอบภายในสามารถประเมินและรายงานว่าคณะกรรมการและผู้มีส่วนได้ส่วนเสียอื่นๆ สามารถมั่นใจได้อย่างสมเหตุสมผลหรือไม่ว่าทีมผู้บริหารขององค์กรได้ดำเนินการตามโปรแกรมการบริหารความเสี่ยงระดับองค์กรที่มีประสิทธิภาพแล้ว

ในองค์กรขนาดใหญ่ มีการดำเนินงานเชิงกลยุทธ์ที่สำคัญเพื่อบรรลุเป้าหมายและขับเคลื่อนการเปลี่ยนแปลง ในฐานะสมาชิกของฝ่ายบริหารระดับสูง หัวหน้าผู้ตรวจสอบบัญชี (CAE) อาจมีส่วนร่วมในการอัปเดตสถานะของโครงการสำคัญเหล่านี้ ซึ่งทำให้ CAE อยู่ในตำแหน่งที่จะรายงานความเสี่ยงที่สำคัญหลายประการที่องค์กรเผชิญต่อคณะกรรมการตรวจสอบ หรือทำให้มั่นใจได้ว่าการรายงานของฝ่ายบริหารมีประสิทธิภาพเพื่อวัตถุประสงค์ดังกล่าว

หน้าที่การตรวจสอบภายในอาจช่วยให้องค์กรจัดการกับความเสี่ยงจากการฉ้อโกงผ่านการประเมินความเสี่ยงจากการฉ้อโกง โดยใช้หลักการยับยั้งการฉ้อโกงผู้ตรวจสอบภายในอาจช่วยบริษัทต่างๆ สร้างและรักษากระบวนการบริหารความเสี่ยงขององค์กร^{[ 9 ]}กระบวนการนี้ได้รับการยกย่องอย่างสูงจากหลายธุรกิจในการสร้างและนำระบบการจัดการที่มีประสิทธิภาพมาใช้ และเพื่อให้มั่นใจว่าคุณภาพได้รับการรักษาไว้และเป็นไปตามมาตรฐานวิชาชีพ^{[ 10 ]} ผู้ตรวจสอบภายในยังมีบทบาทสำคัญในการช่วยบริษัทต่างๆ ดำเนินการประเมินความเสี่ยงแบบจากบนลงล่างตาม SOX 404ในสองด้านหลังนี้ ผู้ตรวจสอบภายในมักจะเป็นส่วนหนึ่งของทีมประเมินความเสี่ยงในบทบาทที่ปรึกษา

กิจกรรมการตรวจสอบภายในที่เกี่ยวข้องกับการกำกับดูแลกิจการในอดีตโดยทั่วไปมักไม่เป็นทางการ โดยดำเนินการเป็นหลักผ่านการเข้าร่วมการประชุมและการสนทนากับสมาชิกของคณะกรรมการบริหาร ตามกรอบ ERM ของ COSO การกำกับดูแลกิจการคือนโยบาย กระบวนการ และโครงสร้างที่ผู้นำขององค์กรใช้ในการกำกับกิจกรรม บรรลุวัตถุประสงค์ และปกป้องผลประโยชน์ของกลุ่มผู้มีส่วนได้ส่วนเสียที่หลากหลายในลักษณะที่สอดคล้องกับมาตรฐานทางจริยธรรม ผู้ตรวจสอบภายในมักถูกพิจารณาว่าเป็นหนึ่งใน "สี่เสาหลัก" ของการกำกับดูแลกิจการ โดยเสาหลักอื่นๆ ได้แก่ คณะกรรมการบริหาร ฝ่ายบริหาร และผู้ตรวจสอบภายนอก^{[ 11 ]}

ประเด็นสำคัญประการหนึ่งของการตรวจสอบภายในที่เกี่ยวข้องกับการกำกับดูแลกิจการคือ การช่วยเหลือคณะกรรมการตรวจสอบของคณะกรรมการบริหาร (หรือหน่วยงานที่เทียบเท่า) ให้ปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ ซึ่งอาจรวมถึงการรายงานประเด็นสำคัญเกี่ยวกับการควบคุมการจัดการ การเสนอคำถามหรือหัวข้อสำหรับวาระการประชุมของคณะกรรมการตรวจสอบ และการประสานงานกับผู้ตรวจสอบภายนอกและฝ่ายบริหารเพื่อให้มั่นใจว่าคณะกรรมการได้รับข้อมูลที่มีประสิทธิภาพ ในช่วงไม่กี่ปีที่ผ่านมา สถาบันตรวจสอบภายในแห่งสหรัฐอเมริกา (IIA) ได้สนับสนุนการประเมินการกำกับดูแลกิจการอย่างเป็นทางการมากขึ้น โดยเฉพาะอย่างยิ่งในด้านการกำกับดูแลความเสี่ยงขององค์กรโดยคณะกรรมการจริยธรรมขององค์กรและการฉ้อโกง ดูเพิ่มเติมที่หัวข้อ§ สามแนวทางการป้องกันด้านล่าง

จากผลการประเมินความเสี่ยงขององค์กร ผู้ตรวจสอบภายใน ฝ่ายบริหาร และคณะกรรมการกำกับดูแล จะกำหนดว่าควรเน้นการตรวจสอบภายในในด้านใด การเน้นหรือการจัดลำดับความสำคัญนี้เป็นส่วนหนึ่งของแผนการตรวจสอบ ประจำปี/หลายปี แผนการตรวจสอบมักจะถูกเสนอโดยหัวหน้าผู้ตรวจสอบภายใน (บางครั้งอาจมีหลายตัวเลือกหรือทางเลือกอื่น) เพื่อให้คณะกรรมการตรวจสอบหรือคณะกรรมการบริหารพิจารณาและอนุมัติ กิจกรรมการตรวจสอบภายในโดยทั่วไปจะดำเนินการเป็นงานแยกต่างหากหนึ่งงานหรือมากกว่านั้น

ควรปรับให้เข้ากับวัตถุประสงค์เฉพาะของการตรวจสอบ และการเลือกวิธีการตรวจสอบต้องปรับให้เข้ากับวัตถุประสงค์เฉพาะนั้น มิฉะนั้นจะเบี่ยงเบนไปจากวัตถุประสงค์ของการตรวจสอบ^{[ 12 ]}

งานตรวจสอบภายในทั่วไป^{[ 13 ]}ประกอบด้วยขั้นตอนดังต่อไปนี้:

1. การกำหนดและสื่อสารขอบเขตและวัตถุประสงค์ของการตรวจสอบให้แก่ผู้บริหารที่เกี่ยวข้อง
2. การทำความเข้าใจในส่วนงานธุรกิจที่กำลังตรวจสอบนั้น รวมถึงวัตถุประสงค์ การวัดผล และประเภทธุรกรรมหลัก โดยจะมีการสัมภาษณ์และตรวจสอบเอกสารต่างๆ อาจมีการสร้างแผนผังและคำอธิบายประกอบหากจำเป็น
3. อธิบายถึงความเสี่ยงหลักที่ธุรกิจต้องเผชิญภายในขอบเขตของการตรวจสอบ
4. การระบุแนวทางการจัดการในองค์ประกอบทั้งห้าของการควบคุมที่ใช้เพื่อให้แน่ใจว่าความเสี่ยงหลักแต่ละรายการได้รับการควบคุมและตรวจสอบอย่างเหมาะสม รายการตรวจสอบการตรวจสอบภายใน^{[ 14 ]}สามารถเป็นเครื่องมือที่มีประโยชน์ในการระบุความเสี่ยงทั่วไปและการควบคุมที่ต้องการในกระบวนการเฉพาะหรืออุตสาหกรรมเฉพาะที่กำลังตรวจสอบ
5. การพัฒนาและดำเนินการตามแนวทางสุ่มตัวอย่างและการทดสอบตามความเสี่ยง เพื่อตรวจสอบว่าการควบคุมการจัดการที่สำคัญที่สุดทำงานได้ตามที่ตั้งใจไว้หรือไม่
6. รายงานปัญหาและความท้าทายที่พบ และเจรจาแผนปฏิบัติการร่วมกับฝ่ายบริหารเพื่อแก้ไขปัญหาเหล่านั้น
7. ติดตามผลการตรวจสอบที่ได้รับรายงานเป็นระยะๆ หน่วยงานตรวจสอบภายในจะจัดทำฐานข้อมูลการติดตามผลเพื่อจุดประสงค์นี้

ระยะเวลาในการตรวจสอบจะแตกต่างกันไปตามความซับซ้อนของกิจกรรมที่ถูกตรวจสอบและทรัพยากรด้านการตรวจสอบภายในที่มีอยู่ ขั้นตอนข้างต้นหลายขั้นตอนเป็นกระบวนการที่ทำซ้ำได้ และอาจไม่ได้เกิดขึ้นตามลำดับที่ระบุไว้ทั้งหมด

นอกจากการประเมินกระบวนการทางธุรกิจแล้ว ผู้เชี่ยวชาญที่เรียกว่าผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT auditors) ยังตรวจสอบการควบคุมด้านเทคโนโลยีสารสนเทศอีกด้วย

โดยทั่วไป ผู้ตรวจสอบภายในจะออกรายงานเมื่อสิ้นสุดการตรวจสอบแต่ละครั้ง ซึ่งสรุปผลการตรวจสอบ ข้อเสนอแนะ และการตอบสนองหรือแผนปฏิบัติการใดๆ จากฝ่ายบริหาร รายงานการตรวจสอบอาจมีบทสรุปสำหรับผู้บริหาร ซึ่งเป็นส่วนเนื้อหาที่รวมถึงประเด็นหรือผลการตรวจสอบที่ระบุได้อย่างเฉพาะเจาะจงและข้อเสนอแนะหรือแผนปฏิบัติการที่เกี่ยวข้อง และข้อมูลภาคผนวก เช่น กราฟและแผนภูมิโดยละเอียด หรือข้อมูลกระบวนการ ผลการตรวจสอบแต่ละข้อในส่วนเนื้อหาของรายงานอาจประกอบด้วยองค์ประกอบห้าประการ ซึ่งบางครั้งเรียกว่า "5 C's":

1. เงื่อนไข: ปัญหาที่ระบุได้คืออะไร?
2. เกณฑ์: มาตรฐานที่ไม่เป็นไปตามนั้นคืออะไร? มาตรฐานนั้นอาจเป็นนโยบายของบริษัทหรือเกณฑ์มาตรฐานอื่นๆ
3. สาเหตุ: ปัญหาเกิดขึ้นเพราะอะไร?
4. ผลที่ตามมา: ความเสี่ยง/ผลลัพธ์เชิงลบ (หรือโอกาสที่สูญเสียไป) อันเนื่องมาจากการค้นพบนี้คืออะไร?
5. มาตรการแก้ไข: ฝ่ายบริหารควรดำเนินการอย่างไรกับสิ่งที่พบ? พวกเขาตกลงที่จะดำเนินการอะไรบ้าง และจะดำเนินการให้เสร็จสิ้นเมื่อใด?

ข้อเสนอแนะในรายงานการตรวจสอบภายในได้รับการออกแบบมาเพื่อช่วยให้องค์กรบรรลุถึงกระบวนการกำกับดูแล ความเสี่ยง และการควบคุมที่มีประสิทธิผลและประสิทธิภาพ ซึ่งเกี่ยวข้องกับวัตถุประสงค์ด้านการดำเนินงาน วัตถุประสงค์ด้านการรายงานทางการเงินและการจัดการ และวัตถุประสงค์ด้านการปฏิบัติตามกฎหมาย/ข้อบังคับ

ผลการตรวจสอบและข้อเสนอแนะอาจเกี่ยวข้องกับข้อกล่าวอ้างเฉพาะเกี่ยวกับธุรกรรม เช่น ธุรกรรมที่ตรวจสอบนั้นถูกต้องหรือได้รับอนุญาตหรือไม่ ดำเนินการครบถ้วนหรือไม่ ประเมินมูลค่าถูกต้องหรือไม่ ดำเนินการภายในระยะเวลาที่ถูกต้องหรือไม่ และเปิดเผยอย่างเหมาะสมในรายงานทางการเงินหรือรายงานการดำเนินงานหรือไม่ เป็นต้น

ต่อไปนี้คือขั้นตอนเกี่ยวกับวิธีการบรรลุการปรับปรุงอย่างต่อเนื่องโดยอาศัยผลการตรวจสอบ

• พัฒนา CAPA เพื่อแก้ไขปัญหาด้านคุณภาพ
• ฝึกอบรมผู้ใช้งานหรือพนักงานให้พัฒนาขั้นตอนหรือกระบวนการตรวจสอบที่มีประสิทธิภาพ
• รักษาความสัมพันธ์ที่ดีและมั่นคงกับซัพพลายเออร์ ผู้ขาย ผู้ใช้งาน ผู้ตรวจสอบบัญชี และหน่วยงานตรวจสอบบัญชี

ภายใต้มาตรฐานของ IIA องค์ประกอบสำคัญของกระบวนการตรวจสอบบัญชีคือการจัดทำรายงานที่สมดุล ซึ่งเปิดโอกาสให้ผู้บริหารและคณะกรรมการได้ประเมินและพิจารณาประเด็นต่างๆ ที่รายงานในบริบทและมุมมองที่เหมาะสม โดยการให้มุมมอง การวิเคราะห์ และข้อเสนอแนะที่นำไปปฏิบัติได้จริงเพื่อการปรับปรุงธุรกิจในด้านที่สำคัญ ผู้ตรวจสอบบัญชีจะช่วยให้องค์กรบรรลุเป้าหมาย

แหล่งที่มา: ^{[ 15 ]}

• ความเป็นกลาง –ความคิดเห็นและข้อคิดเห็นที่แสดงในรายงานควรมีความเป็นกลางและปราศจากอคติ
• ความชัดเจน –ภาษาที่ใช้ควรเรียบง่ายและตรงไปตรงมา
• ความถูกต้อง –ข้อมูลในรายงานต้องมีความถูกต้องแม่นยำ
• ความกระชับ –รายงานควรมีความกระชับ
• ความทันเวลา –รายงานควรได้รับการเผยแพร่โดยเร็วที่สุดหลังจากเสร็จสิ้นการตรวจสอบ ภายในหนึ่งเดือน

หน้าที่การตรวจสอบภายในอาจพัฒนากลยุทธ์ การทำงาน ที่อธิบายไว้ในแผนกลยุทธ์หลายปี สถาบันผู้ตรวจ สอบภายในได้ออกคำแนะนำเชิงวิชาชีพเกี่ยวกับการสร้าง แผนกลยุทธ์การตรวจสอบภายในในเดือนกรกฎาคม พ.ศ. 2555 ผ่านคู่มือปฏิบัติที่เรียกว่า การพัฒนาแผนกลยุทธ์การตรวจสอบภายใน [ 16 ^{]แง่มุม} สำคัญของการพัฒนากลยุทธ์การตรวจสอบภายในคือการทำความเข้าใจความคาดหวังของผู้มีส่วนได้ส่วนเสีย เช่น คณะกรรมการตรวจสอบและผู้บริหารระดับสูง สิ่งนี้ช่วยชี้นำหน้าที่การตรวจสอบภายในในภารกิจของการช่วยเหลือองค์กรในการจัดการกับความเสี่ยงที่เผชิญ หัวข้อเฉพาะที่พิจารณาในการวางแผนกลยุทธ์การตรวจสอบภายใน ได้แก่:

• ขอบเขตและจุดเน้น: หน้าที่ของฝ่ายตรวจสอบภายในอาจเกี่ยวข้องกับการจัดการความเสี่ยงที่เกี่ยวข้องกับการรายงานทางการเงิน การดำเนินงาน การปฏิบัติตามกฎหมายและข้อบังคับ และกลยุทธ์ของบริษัท นอกจากนี้ อาจมีหัวข้อพิเศษที่น่าสนใจสำหรับผู้มีส่วนได้ส่วนเสียซึ่งเปลี่ยนแปลงไปอย่างมากในแต่ละปี
• ขอบเขตการให้บริการ: หน่วยงานตรวจสอบภายในอาจให้บริการตรวจสอบแบบดั้งเดิมครอบคลุมความเสี่ยงทุกระดับ ตลอดจนการให้คำปรึกษาและสนับสนุนโครงการในหลากหลายด้าน เช่น การบริหารโครงการ การวิเคราะห์ข้อมูล และการติดตามโครงการสำคัญของบริษัท หน่วยงานตรวจสอบขนาดใหญ่อาจจัดตั้งแผนกเฉพาะทางเพื่อรองรับขอบเขตการให้บริการของตนเอง
• การพัฒนาสมรรถนะ: ความคาดหวังของผู้มีส่วนได้ส่วนเสียเกี่ยวกับขอบเขตและพอร์ตโฟลิโอการบริการจะกำหนดสมรรถนะที่ฟังก์ชันต้องการ ซึ่งเป็นแรงผลักดันในการตัดสินใจเกี่ยวกับการจ้างงานทักษะเฉพาะและโปรแกรมการฝึกอบรม ฟังก์ชันการตรวจสอบภายในมักถูกใช้เป็น "สนามฝึกอบรมการจัดการ" เพื่อให้พนักงานมีความรู้เชิงลึกเกี่ยวกับการดำเนินงานของบริษัทก่อนที่จะหมุนเวียนไปดำรงตำแหน่งผู้บริหาร^{[ 17 ]}
• เทคโนโลยี: หน่วยงานตรวจสอบภายในใช้เครื่องมือ/ซอฟต์แวร์เทคโนโลยีหลากหลายประเภทเพื่อสนับสนุนขั้นตอนการทำงานของกระบวนการตรวจสอบ การวิเคราะห์ทางสถิติ และการดึงข้อมูลจากระบบต่างๆ

การสร้างกลยุทธ์ IA อาจเกี่ยวข้องกับแนวคิดและกรอบ การจัดการเชิงกลยุทธ์ที่หลากหลายเช่นการวางแผนเชิงกลยุทธ์การคิดเชิงกลยุทธ์และ การ วิเคราะห์SWOT ^{[ 16 ]}

การวัดผลการดำเนินงานของหน่วยงานตรวจสอบภายในสามารถใช้แนวทางBalanced Scorecard ได้ ^{[ 18 ]}หน่วยงานตรวจสอบภายในส่วนใหญ่จะได้รับการประเมินจากคุณภาพของคำแนะนำและข้อมูลที่ส่งให้กับคณะกรรมการตรวจสอบและผู้บริหารระดับสูง อย่างไรก็ตาม การประเมินนี้เป็นเชิงคุณภาพเป็นหลัก จึงทำให้ยากต่อการวัดผล สามารถใช้แบบสำรวจความคิดเห็นจากลูกค้าที่ส่งไปยังผู้จัดการหลักหลังจากการตรวจสอบหรือรายงานแต่ละครั้งเพื่อวัดผลการดำเนินงาน โดยมีแบบสำรวจประจำปีส่งไปยังคณะกรรมการตรวจสอบ การให้คะแนนในมิติต่างๆ เช่น ความเป็นมืออาชีพ คุณภาพของคำแนะนำ ความตรงต่อเวลาของผลงาน ประโยชน์ของการประชุม และคุณภาพของการอัปเดตสถานะ เป็นเรื่องปกติในแบบสำรวจดังกล่าว การทำความเข้าใจความคาดหวังของผู้บริหารระดับสูงและคณะกรรมการตรวจสอบถือเป็นขั้นตอนสำคัญในการพัฒนากระบวนการวัดผลการดำเนินงาน รวมถึงวิธีการที่มาตรการดังกล่าวช่วยให้หน่วยงานตรวจสอบสอดคล้องกับลำดับความสำคัญขององค์กร^{[ 19 ] [ 20 ]} การตรวจสอบโดยผู้ทรงคุณวุฒิอิสระเป็นส่วนหนึ่งของกระบวนการประกันคุณภาพสำหรับกลุ่มงานตรวจสอบภายในหลายกลุ่ม เนื่องจากมักเป็นข้อกำหนดตามมาตรฐาน^{[ 21 ]}รายงานการตรวจสอบโดยผู้ทรงคุณวุฒิที่ได้จะถูกส่งให้คณะกรรมการตรวจสอบ

โดยทั่วไป หัวหน้าผู้ตรวจสอบบัญชี (CAE) จะรายงานประเด็นสำคัญที่สุดต่อคณะกรรมการตรวจสอบบัญชีทุกไตรมาส พร้อมทั้งความคืบหน้าของฝ่ายบริหารในการแก้ไขปัญหาเหล่านั้น ประเด็นสำคัญมักมีโอกาสสูงที่จะก่อให้เกิดความเสียหายทางการเงินหรือชื่อเสียงอย่างมากต่อบริษัท สำหรับประเด็นที่ซับซ้อนเป็นพิเศษ ผู้จัดการที่รับผิดชอบอาจเข้าร่วมในการอภิปราย การรายงานดังกล่าวมีความสำคัญอย่างยิ่งเพื่อให้มั่นใจว่าหน้าที่นี้ได้รับการเคารพ มี " ทัศนคติที่เหมาะสมจากผู้บริหารระดับสูง " ในองค์กร และเพื่อเร่งการแก้ไขปัญหาดังกล่าว การเลือกประเด็นที่เหมาะสมสำหรับคณะกรรมการตรวจสอบบัญชีและการอธิบายประเด็นเหล่านั้นในบริบทที่ถูกต้องนั้นต้องอาศัยวิจารณญาณอย่างมาก

ปรัชญาและแนวทางการตรวจสอบภายในบางส่วนได้รับมาจากผลงานของ Lawrence Sawyer ปรัชญาและคำแนะนำของเขาเกี่ยวกับบทบาทของการตรวจสอบภายในเป็นต้นแบบของคำจำกัดความของการตรวจสอบภายในในปัจจุบัน โดยเน้นการช่วยเหลือฝ่ายบริหารและคณะกรรมการในการบรรลุวัตถุประสงค์ขององค์กรผ่านการตรวจสอบ การประเมิน และการวิเคราะห์พื้นที่การดำเนินงานอย่างมีเหตุผล เขาสนับสนุนให้ผู้ตรวจสอบภายในสมัยใหม่ทำหน้าที่เป็นที่ปรึกษาให้กับฝ่ายบริหารมากกว่าเป็นศัตรู Sawyer มองว่าผู้ตรวจสอบเป็นผู้เล่นที่กระตือรือร้นในการมีอิทธิพลต่อเหตุการณ์ในธุรกิจมากกว่าการวิพากษ์วิจารณ์ข้อผิดพลาดและความผิดพลาดทุกระดับ เขายังมองเห็นอนาคตของผู้ตรวจสอบที่พึงปรารถนามากขึ้นซึ่งเกี่ยวข้องกับความสัมพันธ์ที่แข็งแกร่งกับสมาชิกของคณะกรรมการตรวจสอบและคณะกรรมการ และการแยกตัวจากการรายงานโดยตรงต่อหัวหน้าเจ้าหน้าที่การเงิน^{[ 22 ]}

ซอว์เยอร์มักพูดถึงเรื่อง "การชมผู้จัดการที่ทำสิ่งที่ถูกต้อง" และการให้การยอมรับและการเสริมแรงเชิงบวก การเขียนเกี่ยวกับข้อสังเกตเชิงบวกในรายงานการตรวจสอบแทบจะไม่เคยทำมาก่อนจนกระทั่งซอว์เยอร์เริ่มพูดถึงแนวคิดนี้ เขาเข้าใจและคาดการณ์ถึงประโยชน์ของการให้รายงานที่สมดุลมากขึ้นในขณะเดียวกันก็สร้างความสัมพันธ์ที่ดีขึ้น ซอว์เยอร์เข้าใจจิตวิทยาของพลวัตระหว่างบุคคลและความจำเป็นที่ทุกคนต้องได้รับการยอมรับและการตรวจสอบเพื่อความสัมพันธ์จะเจริญรุ่งเรือง^{[ 22 ]}

ซอว์เยอร์ช่วยทำให้การตรวจสอบภายในมีความเกี่ยวข้องและน่าสนใจมากขึ้นโดยเน้นไปที่การตรวจสอบการดำเนินงานหรือประสิทธิภาพ เขาสนับสนุนอย่างยิ่งให้มองข้ามงบการเงินและการตรวจสอบที่เกี่ยวข้องกับการเงินไปยังด้านต่างๆ เช่น การจัดซื้อ การจัดเก็บและกระจายสินค้า ทรัพยากรบุคคล เทคโนโลยีสารสนเทศ การจัดการสิ่งอำนวยความสะดวก บริการลูกค้า การดำเนินงานภาคสนาม และการจัดการโครงการ แนวทางนี้ช่วยผลักดันให้หัวหน้าผู้บริหารการตรวจสอบกลายเป็นที่ปรึกษาที่มีความรู้และได้รับความเคารพ ซึ่งได้รับการยกย่องว่ามีความสมเหตุสมผล เป็นกลาง และใส่ใจที่จะช่วยให้องค์กรบรรลุเป้าหมายที่กำหนดไว้^{[ 22 ]}

“โมเดลสามแนวป้องกัน” ^{[ 23 ] [ 24 ] [ 25 ] [ 26 ]} เป็นกรอบการทำงานที่อธิบายความสัมพันธ์ระหว่างฟังก์ชันทางธุรกิจการจัดการความเสี่ยง และการตรวจสอบภายใน โดยกำหนดวิธีการแบ่งความรับผิดชอบ กรอบการทำงานนี้ออกแบบมาเพื่อ “ให้มั่นใจถึงการจัดการความเสี่ยงที่มีประสิทธิภาพและโปร่งใส” โดยทำให้ความรับผิดชอบมีความชัดเจน คำศัพท์นี้ได้รับอิทธิพลมาจาก “ แนวป้องกัน ” ทางทหาร(และแนวคิดเรื่องการป้องกันเชิงลึก )

• ภายใต้แนวป้องกันแรก ความเสี่ยงจะได้รับการจัดการและควบคุมในแต่ละวัน ในส่วนนี้ฝ่ายบริหารปฏิบัติการ ที่ติดต่อกับลูกค้า จะมี "ความเป็นเจ้าของ ความรับผิดชอบ และความรับผิดชอบในการประเมิน ควบคุม และลดความเสี่ยงโดยตรง" ^{[ 24 ]} คุณค่าของมัน^{[ 26 ]}มาจาก "ผู้ที่รู้จักธุรกิจ วัฒนธรรม และความท้าทายในแต่ละวัน" (ดูเพิ่มเติมที่การควบคุมภายใน § พนักงานปฏิบัติการ ) อย่างไรก็ตาม ในขณะเดียวกัน แนวนี้อาจขาดความเป็นอิสระ
• แนวป้องกันที่สองประกอบด้วยหน้าที่อิสระของการบริหารความเสี่ยง การปฏิบัติตามกฎระเบียบและความเสี่ยงในการดำเนินงานแนวป้องกันนี้จะตรวจสอบและอำนวยความสะดวกในการนำแนวป้องกันแรกไปใช้ให้มีประสิทธิภาพ โดยให้ "การกำกับดูแลและตั้งคำถาม" ^{[ 24 ]}และยังช่วย "เจ้าของความเสี่ยง" ในการจัดทำและตีความรายงานที่เกี่ยวข้องกับความเสี่ยงแม้ว่าจะแยกจากผู้รับผิดชอบในการส่งมอบ แต่ก็ไม่ได้เป็นอิสระจากห่วงโซ่การจัดการ^{[ 26 ]} (ดู เรื่องการธนาคารสำนักงานกลาง )
• แนวป้องกันที่สามคือการตรวจสอบภายใน ซึ่งรายงานโดยตรงต่อคณะกรรมการบริหารการตรวจสอบภายในจะตรวจสอบและรายงานทั้งแนวป้องกันแรกและแนวป้องกันที่สอง โดยให้การรับรองที่เป็นกลางและเป็นอิสระ^{[ 26 ]}ตาม§ บทบาทในการกำกับดูแลกิจการข้างต้น

ภายใต้รูปแบบรุ่นต่อมา^{[ 26 ]}การรับรองจาก "หน่วยงานอิสระภายนอก" ถือเป็นแนวป้องกันที่สี่ โดยที่ผู้ตรวจสอบบัญชีภายนอกและบุคคลอื่น ๆจะให้การรับรองและข้อมูลเชิงลึกแก่คณะกรรมการ และ "ได้รับการมองว่าเป็นอิสระอย่างชัดเจน"

“แนวป้องกันสุดท้าย” ^{[ 27 ]}ต่อความเสี่ยงคือเงินทุนเนื่องจากเงินทุนที่เพียงพอ “ทำให้มั่นใจได้ว่าบริษัทสามารถดำเนินกิจการต่อไปได้แม้ว่าจะประสบกับการสูญเสียจำนวนมากและไม่คาดคิดก็ตาม” [ ^{27 ] ดู}เงินทุน เสี่ยงเงินทุนตามกฎระเบียบการจัดการความเสี่ยงทางการเงินและแผนการดำเนินกิจการต่อไปของฝ่ายบริหาร

การตรวจสอบภายในมีบทบาทสำคัญในการรักษาการควบคุมที่มีประสิทธิภาพและลดความเสี่ยงที่เกิดขึ้นใหม่ ธุรกิจจะเพิ่มความเสี่ยงหรือพลาดโอกาสหากผู้ตรวจสอบไม่จัดการกับความเสี่ยงที่เกี่ยวข้องกับการหยุดชะงัก^{[ 28 ]} Michael G. Alles ได้กล่าวถึงว่าBig Dataเป็นนวัตกรรมที่ก่อให้เกิดการเปลี่ยนแปลงอย่างก้าวกระโดดซึ่งผู้ตรวจสอบต้องนำมาใช้ในทางปฏิบัติ^{[ 29 ]}การศึกษาในปี 2019 เรื่อง การตอบสนองของผู้ตรวจสอบภายในต่อนวัตกรรมที่ก่อให้เกิดการ เปลี่ยนแปลงอย่างก้าวกระโดด รายงานเกี่ยวกับวิวัฒนาการของการตรวจสอบภายในเพื่อตอบสนองต่อการเปลี่ยนแปลง การเปลี่ยนแปลงที่ตรวจสอบ ได้แก่ การวิเคราะห์ข้อมูล กระบวนการที่คล่องตัว การประมวลผลบนคลาวด์ ระบบอัตโนมัติของกระบวนการหุ่นยนต์ การตรวจสอบอย่างต่อเนื่อง การเปลี่ยนแปลงกฎระเบียบ และปัญญาประดิษฐ์^{[ 30 ]}

• ผู้ตรวจสอบระบบสารสนเทศที่ได้รับการรับรอง
• สถาบันผู้สอบบัญชีภายในที่ได้รับการรับรอง
• คณะกรรมการองค์กรผู้สนับสนุนของคณะกรรมการเทรดเวย์ (COSO)
• การป้องกันการฉ้อโกง
• สถาบันผู้ตรวจสอบภายใน
• คณะกรรมการมาตรฐานการตรวจสอบและรับรองระหว่างประเทศ
• การตรวจสอบระบบสารสนเทศ
• การตรวจสอบการดำเนินงาน
• การตรวจสอบภายในตามความเสี่ยง