การตรวจสอบองค์กรยุคใหม่ ไม่ว่าเป็นการตรวจสอบประเภทใด ทางด้าน IT และ Non-IT โดยเฉพาะอย่างยิ่งทางด้าน IT ก็อาจจะแบ่งประเภทตรวจสอบได้อีกหลายลักษณะตามความต้องการของผู้บริหารนั้น ผู้ตรวจสอบควรจะได้เข้าใจภาพโดยรวมของการวางแผนการตรวจสอบ ซึ่งในเบื้องต้นจะมีกรอบหลัก ๆ ที่ไม่แตกต่างกันมากนัก แต่เมื่อลงในรายละเอียด โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบทางด้าน IT Audit และการปฏิบัติการตรวจสอบ โดยเฉพาะการรวบรวมหลักฐานการตรวจสอบ (Audit Evidence) จะแตกต่างกันอย่างมาก
ผู้บริหารและผู้ตรวจสอบ ควรติดตามแนวคิดและกระบวนการตรวจสอบให้ทันและเข้ากับกระบวนการบริหารความเสี่ยงที่หลอมรวมความเสี่ยงต่าง ๆ ทั้งทางด้าน IT และ Non-IT อย่างแยกกันไม่ได้นั้น ผู้ตรวจสอบจำเป็นต้องเข้าใจในองค์รวมขององค์กร โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กร และเรื่องอื่น ๆ ที่เกี่ยวข้องกับสภาพแวดล้อมขององค์กร ตามที่กล่าวในปัจจัยแรกขององค์ประกอบของ COSO v.2
นโยบายของคณะกรรมการ หรือถ้าหากเป็นสถาบันการศึกษา ก็ได้แก่ นโยบายของสภามหาวิทยาลัย วิสัยทัศน์ พันธกิจ กลยุทธ์ แผนงาน/โครงการต่าง ๆ ของมหาวิทยาลัยที่ต้องสัมพันธ์กันกับหน่วยงานกำกับที่เกี่ยวข้องหลายแห่ง ซึ่งแต่ละหน่วยงานกำกับก็มีความต้องการที่แตกต่างกัน ทั้ง ๆ ที่ในเนื้อหาหลัก ๆ ของกรอบการกำกับไม่แตกต่างกันมากนัก
ดังนั้น ผมจึงขึ้นรูปแผนการตรวจสอบโดยทั่วไป ซึ่งในที่นี้จะเน้นการตรวจสอบตามฐานความเสี่ยงเป็นหลัก โดยแสดงเป็นแผนภาพได้ดังนี้
Internal Auditing Standards & Practices
วันนี้ ผมจะเริ่มต้นเพียงเท่านี้ก่อนนะครับ แล้วในโอกาสต่อไปผมจะค่อยมาขยายความ โดยเฉพาะอย่างยิ่งจะมากล่าวในมุมมองของการเล่าสู่กันฟังในเรื่องการตรวจสอบที่คิดว่าน่าสนใจและเข้าใจได้ง่าย ๆ กว่าการอ่านตำรา และต่อไปจะได้แยกแยะความแตกต่างของการตรวจสอบด้าน IT Audit กับการตรวจสอบทางด้านทั่วไปในองค์กรที่ใช้คอมพิวเตอร์
Information Technology Governance 