แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

มีนาคม 6, 2010

สวัสดีครับ หัวข้อนี้ก็ยังคงพูดคุยกันอยู่ในเรื่องของแนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งเป็นแนวทางในบางมุมมองของผม และก็เป็นเพียงแนวทางในเบื้องต้นที่ใช้ในการบริหารงานตรวจสอบ โดยในครั้งที่แล้วผมได้พูดถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทันกับการเปลี่ยนแปลงที่เกิดขึ้น และวันนี้ผมก็จะมาพูดถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึงกันครับ

การตรวจสอบของผู้ตรวจสอบเกี่ยวกับการบันทึกรายการบัญชีในระบบเดิม ผู้ตรวจสอบจะต้องคำนึงถึงความไม่แน่นอนในการปฏิบัติงานของพนักงานเป็นหลักในการตรวจสอบ แต่จะนำหลักการนี้มาใช้กับการตรวจสอบระบบบัญชีที่ใช้คอมพิวเตอร์ไม่ได้ เพราะเป็นที่ยอมรับกันโดยทั่วไปแล้วว่า การทำงานของคอมพิวเตอร์นั้นแม่นยำ แน่นอน และสม่ำเสมอ เพราะใช้โปรแกรมชุดเดียวกันในการประมวลผลข้อมูลด้านบัญชีที่เหมือน ๆ กันไปบันทึกบัญชีตามที่กำหนดไว้ด้วยคอมพิวเตอร์ หากเป็นสถาบันการเงินในบางมุมมองก็คือ
– การบันทึกบัญชีเงินฝากรายตัวแต่ละประเภท
– การคำนวณดอกเบี้ยเงินฝากตามประเภทเงินฝาก อัตราดอกเบี้ย และระยะเวลา
– การบันทึกเงินให้สินเชื่อรายตัวแต่ละประเภท
– การควบคุมอำนาจการให้สินเชื่อของผู้มีอำนาจในการปล่อยสินเชื่อ
– การคำนวณดอกเบี้ยส่วนลดเงินให้สินเชื่อตามประเภทเงินให้สินเชื่อ อัตราดอกเบี้ย และระยะเวลา
– การออกรายงานแยกประเภทหลักประกันสินเชื่อ ประเภทสินเชื่อ ธุรกิจที่องค์รกรให้สินเชื่อ
– การแยกประเภทการออกหนังสือค้ำประกันลูกค้า
– การคำนวณค่าเสื่อมราคาทรัพย์สินถาวร
– การบันทึกบัญชีรายได้ รายจ่าย กำไรขาดทุน
– การบันทึกบัญชีทรัพย์สิน หนี้สิน ส่วนของผู้ถือหุ้น
– การบันทึกบัญชีแยกประเภททั่วไป
– การจัดทำงบการเงิน เช่น งบดุล งบกำไรขาดทุน งบกำไรสะสม
– อื่น ๆ

ดังนั้น ผู้ตรวจสอบจึงจำเป็นต้องปรับปรุงวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับวิธีการปฏิบัติงานขององค์กร ที่เปลี่ยนจากระบบ Manual เป็นระบบ Computer ที่ต้องเข้าใจหลักการบริหารความเสี่ยงทั่วทั้งองค์กร และคำนึงถึงเทคนิคการตรวจสอบ เช่น การใช้ TDM – Test Data Method ซึ่งเป็นการตรวจสอบ Through Computer ง่าย ๆ แบบหนึ่ง หรือใช้โปรแกรมอื่น ๆ เข้าช่วยในการตรวจสอบด้วย เป็นต้น

สิ่งที่ผู้ตรวจสอบต้องคำนึงถึง คือ
1. วัตถุประสงค์ในการตรวจสอบ
ผู้ตรวจสอบภายในและผู้สอบบัญชี เป็นกลุ่มบุคคลที่ทำหน้าที่ตรวจสอบการปฏิบัติงานและฐานะการเงินขององค์กร ผู้ตรวจสอบภายในจะเน้นความสำคัญของการตรวจสอบของการปฏิบัติงาน ในขณะที่ผู้สอบบัญชีให้ความสำคัญเกี่ยวกับการตรวจสอบระบบการบัญชีและงบการเงิน แต่อย่างไรก็ตามบุคคลทั้งสองกลุ่มก็มีวัตถุประสงค์ของการตรวจสอบเหมือนกัน คือ

1.1. ตรวจสอบเพื่อให้แน่ใจว่า ในองค์กรนั้นมีและใช้ระบบการควบคุมความเสี่ยงที่เหมาะสม
1.2. ตรวจสอบว่าการใช้ทรัพย์สินมีประสิทธิภาพหรือไม่
1.3. ตรวจสอบว่ามีการป้องกันรักษาทรัพย์สินขององค์กรอย่างเหมาะสมหรือไม่
1.4. ตรวจสอบว่าระบบการบันทึกข้อมูลและการจัดทำงบการเงิน ถูกต้องและเชื่อถือได้หรือไม่
1.5. ตรวจสอบว่าองค์กรนั้น มีระบบ IT Security และการควบคุมที่เกี่ยวข้องอย่างเหมาะสมหรือไม่ โดยเฉพาะอย่างยิ่งการปฏิบัติตาม Compliance ++

ในปัจจุบัน มีการนำคอมพิวเตอร์มาใช้งานด้านบัญชีและการจัดทำงบการเงิน รวมทั้งการบริหารและการวิเคราะห์กันอย่างแพร่หลายแทบทุกเรื่อง ก็มิได้ทำให้วัตถุประสงค์ในการตรวจสอบของผู้ตรวจสอบภายในและผู้สอบบัญชีเปลี่ยนแปลงไป แต่ที่เปลี่ยนแปลงไปอย่างชัดเจนก็คือ วิธีและเทคนิคที่ใช้ในการตรวจสอบ ซึ่งเป็นเรื่องสำคัญมาก

2. สาเหตุที่คอมพิวเตอร์ทำให้ผู้ตรวจสอบต้องเปลี่ยนแปลงวิธีและเทคนิคในการตรวจสอบ
การนำคอมพิวเตอร์มาใช้งานด้านการบัญชีขององค์กร ไม่ทำให้ระบบการบัญชีมาตรฐานที่ผู้ตรวจสอบส่วนใหญ่คุ้นเคยดีอยู่แล้วเปลี่ยนแปลงไป แต่สิ่งที่เปลี่ยนแปลงไปและมีผลต่องานตรวจสอบก็คือ

2.1. ลักษณะภายในและภายนอกของแฟ้มหรือทะเบียนที่ใช้บันทึกข้อมูลทางบัญชี
1) วิธีการนำข้อมูลไปบันทึก
2) วิธีการนำข้อมูลมาใช้
3) วิธีการนำข้อมูลไปประมวลผล

นอกจากนี้ เมื่อข้อมูลที่อยู่ใน File เปลี่ยนแปลง จะไม่มีร่องรอยการเปลี่ยนแปลงให้เห็น ดังเช่น วิธีการบันทึกบัญชีแบบเดิม จึงไม่สามารถตรวจสอบความถูกต้องของข้อมูลใน File ได้ โดยใช้วิธีและเทคนิคการตรวจสอบแบบธรรมดา

2.2. รอยทางสำหรับการตรวจสอบ (Audit Trails) เปลี่ยนแปลงไป ผู้ตรวจสอบไม่สามารถติดตามการเคลื่อนไหวของเอกสาร ตามวิธีการตรวจสอบแบบธรรมดาได้อีกต่อไป เพราะข้อมูลในเอกสารการบัญชีเบื้องต้น จะถูกแปลงสภาพเป็นรหัส หรือสัญญาณที่ผู้ตรวจสอบไม่สามารถอ่านเข้าใจได้ และเก็บไว้ในสื่อที่ไม่สามารถสัมผัส หรือมองเห็นด้วยตาเปล่าได้ ดังนั้น ผู้ตรวจสอบอาจจำเป็นต้องใช้วิธีอื่น และ/หรือโปรแกรมคอมพิวเตอร์ช่วยในการตรวจสอบ

2.3. การเปลี่ยนแปลงที่สำคัญคือ การเปลี่ยนแปลงวิธีปฏิบัติการด้านการบัญชีทั้งหมด ซึ่งแต่เดิมเป็นหน้าที่ของพนักงานบัญชี โดยเปลี่ยนมาใช้โปรแกรมคอมพิวเตอร์ทำหน้าที่แทน ซึ่งจะทำให้ลดขั้นตอนการปฏิบัติงาน และขจัดการควบคุมภายในแบบดั้งเดิมไปหมด ทำให้ผู้ตรวจสอบทางการเงินทั่วไป อาจประสบกับปัญหาที่ไม่อาจประเมินงานควบคุมภายในระบบคอมพิวเตอร์ได้ และทำให้มีปัญหาในการกำหนดขอบเขต และวิธีการตรวจสอบที่เหมาะสม
การมอบหมายให้คอมพิวเตอร์ทำหน้าที่แทนพนักงานบัญชี มีข้อที่ผู้ตรวจสอบควรพิจารณา 2 ประการคือ

1) บุคคลที่ได้รับมอบหมายให้ควบคุมระบบคอมพิวเตอร์ อาจจะมีความรู้ความเข้าใจระบบการบัญชีไม่เพียงพอและ
2) ไม่เข้าใจระบบการควบคุมและตรวจสอบระบบงานด้านคอมพิวเตอร์อย่างถ่องแท้

ปัจจัยทั้งสองประการจะมีผลทำให้ระบบคอมพิวเตอร์มีจุดอ่อนที่ง่ายต่อการผิดพลาด หรือที่ร้ายแรงก็คือ การทุจริต ดังนั้น หน้าที่ประการแรกของผู้ตรวจสอบ เมื่อเข้าไปตรวจสอบระบบคอมพิวเตอร์ คือ การประเมินระบบควบคุมภายในซึ่งเป็นงานสำคัญของ IT Auditor

3. ร่องรอยสำหรับการตรวจสอบในระบบคอมพิวเตอร์
ร่องรอยการตรวจสอบสำหรับระบบการประมวลข้อมูลที่ไม่ได้ใช้คอมพิวเตอร์ ได้แก่
3.1. เอกสารหรือข้อมูลเบื้องต้น เช่น พวก Slip และเอกสารประกอบรายการทางการเงินอื่น ๆ
3.2. สมุดรายวัน การ์ดบัญชี
3.3. สมุดบัญชีแยกประเภททั่วไป และทะเบียนต่าง ๆ
3.4. รายงานงบการเงิน

ร่อยรอยดังกล่าวจะช่วยให้ผู้ตรวจสอบ สามารถตรวจสอบย้อนกลับไปมาระหว่างจุดเริ่มต้นที่เกิดรายการทางการเงิน กับรายการสรุปผลทางการเงิน เพื่อให้แน่ใจว่ารายงานทางการเงินที่ได้นั้น สะท้อนให้เห็นธุรกรรมทางการเงินขององค์กรอย่างแท้จริง

เพื่อไม่ให้เกิดการเข้าใจผิด เราควรจะเรียกร่อยรอยนี้ว่า Management Trail มากกว่าจะเรียกว่า Audit Trail เพราะสิ่งนี้จะเป็นประโยชน์แก่ผู้บริหารงานประจำมากกว่าผู้สอบบัญชี โดยเฉพาะในกรณีที่แหล่งภายนอกต้องการข้อมูลบางอย่างเป็นพิเศษ

4. การกำหนดขอบเขตและวางแผนตรวจสอบและกระบวนการวางแผนโดยแผนภูมิ

ครั้งหน้าเราจะไปต่อกันถึงความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กัน โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม (ต่อ)

มีนาคม 2, 2010

ครั้งที่แล้ว ผมได้เรียนให้ท่านผู้อ่านได้ทราบว่า ผมจะได้นำสรุปเรื่อง CG ซึ่งเป็นภาพใหญ่ เปรียบเทียบได้กับร่มใหญ่ที่สุดในกระบวนการบริหาร และการจัดการของทุกองค์กร ที่ต้องอาศัยจิตวิญญาณ (Spiritual) ซึ่งหมายถึงความมุ่งมั่นจากจิตสำนึก และความรับผิดชอบ เพื่อขับเคลื่อนกระบวนการบริหารและการจัดการที่ดี โดยผู้บริหารระดับสูงเป็นผู้นำ และจัดให้มี Tone at the top ที่ส่งสัญญาณโดยการสื่อข้อความที่ชัดเจนไปยังผู้บริหาร และผู้ที่เกี่ยวข้องทุกระดับทั่วทั้งองค์กร อย่างเป็นกระบวนการ เริ่มตั้งแต่การกำหนดเป็นนโยบายที่ชัดเจนว่า องค์กรจะใช้ CG เป็นหลักในการบริหาร โดยกำหนดกรอบและแนวทางในการจัดการที่ชัดเจน เป็นรูปธรรม ที่ใช้เป็นแนวทางสำหรับการจัดการในองค์ประกอบที่เกี่ยวข้องต่อ ๆ ไป

ต่อจากครั้งที่แล้ว และมาในครั้งนี้ รวมทั้งที่จะกล่าวถึงในครั้งต่อ ๆ ไป ผมจะนำเสนอและอธิบายโดยแผนภาพเป็นสำคัญ ส่วนรายละเอียดท่านสามารถติดตามอ่านได้จากหัวข้อนี้ และหัวข้ออื่น ๆ ที่เกี่ยวข้อง ซึ่งผมเคยได้นำเสนอมาแล้วนะครับ

ท่านผู้อ่านที่ได้ติดตามแผนภาพและได้ใช้ความคิด เพื่อทบทวนเรื่อง CG และสร้างความเข้าใจในภาพโดยรวม โดยใช้แผนภาพเป็นหลักนั้น หากท่านสามารถอธิบายให้ตนเองเข้าใจได้อย่างเป็นขั้นเป็นตอน และอย่างเป็นกระบวนการได้ดี ในแต่ละช่องตามแนวนอน และแนวตั้ง ตามลำดับ โดยพิจารณาถึงกระบวนการบริหารการจัดการแบบบูรณาการ ตามคำอธิบายแต่ละช่องนั้น ๆ ในลักษณะการบริหารแบบบูรณาการเป็นอิสระ ของแต่ละกรอบ แต่ละช่อง ที่สัมพันธ์กับกรอบอื่นและช่องอื่นที่เกี่ยวข้องกันเป็นลำดับ ในลักษณะของการบริหารงานที่ควรเข้าใจตรงกันว่า ทุกช่อง ทุกกรอบ ทั้งแนวนอนและแนวตั้ง มีความเป็นอิสระซึ่งกันและกัน แต่ก็มีความสัมพันธ์กันอย่างใกล้ชิดอย่างแยกกันไม่ได้ (Interdependency)

โดยพิจารณาภาพใหญ่ของการบริหารแนวใหม่ที่ใช้คำว่า GRC – Governance + Risk Management + Compliance ซึ่งจะขับเคลื่อนโดยหลักการ Integrity – Driven Performance เป็นสำคัญ หรืออาจจะใช้ศัพท์ที่แตกต่างกัน แต่มีนัยที่สำคัญลักษณะเดียวกันก็คือ IPM – Integrated Performance Management โดยพยายามคิดเชิงวิเคราะห์ในปัจจัยย่อย ๆ ภายใต้องค์ประกอบในคำอธิบายในแต่ละช่องของแผนภาพที่เกี่ยวข้องและความสัมพันธ์ที่เกี่ยวข้องกันอย่างแยกไม่ได้ด้วย

หากดำเนินการดังกล่าวได้อย่างมั่นใจและเข้าใจโดยไม่สับสนมากนัก ก็อาจพิจารณาได้ว่า ท่านสามารถนำเสนอผู้บริหารระดับสูง และอธิบายให้เพื่อนร่วมงาน รวมทั้งผู้ปฏิบัติงานเข้าใจได้ด้วยตัวท่านเองดีแล้ว

นอกจากนี้ การดำเนินการดังกล่าวข้างต้น ก็อาจเรียกได้ว่า เป็นการประเมินตนเองเพื่อการบริหารจัดการที่ดี ซึ่งจะก้าวไปสู่การประเมินตนเอง เพื่อการบริหารความเสี่ยง และการควบคุมภายในขององค์กรได้เป็นอย่างดี (CSA – Control Self Assessment) ซึ่งเป็นหัวข้อและวิชาหนึ่งที่น่าสนใจยิ่งในกระบวนการบริหารและการจัดการยุคใหม่

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

รายการถัดไป »