หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 2

จากการที่ผมได้เผยแพร่หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ ไปเมื่อครั้งก่อน ซึ่งมีรายละเอียดค่อนข้างมากพอสมควร และได้เผยแพร่ไปเป็นเล่มแรกแล้วนั้น ในครั้งนี้ผมขอเผยแพร่ต่อในเล่มที่ 2 โดยในเล่มนี้เป็นภาคของการตรวจสอบ ที่จะเน้นเรื่องของการตรวจสอบ ไม่ว่าจะเป็นเทคโนโลยีกับการควบคุมและตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ แผนการตรวจสอบ การตรวจสอบภาคสนาม ทั้งจากการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์และไม่ใช้คอมพิวเตอร์ รวมถึงประสบการณ์จากการตรวจสอบ การตรวจสอบภายใน การประเมินการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนการใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ ดังที่จะได้เผยแพร่ต่อไปนี้

การดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 2 ภาคการตรวจสอบ

คำนำ

  1. การจัดทําหนังสือชุดเรื่อง การดําเนินงานและการตรวจสอบสถาบันการเงินด้วยคอมพิวเตอร์ทั้ง 4 เล่ม ครั้งนี้ ผมใคร่ขอเรียนวัตถุประสงค์หลัก ซึ่งเป็นสาระสําคัญของการจัดทําหนังสือชุดนี้ คือ
    1.1. เพื่อให้การศึกษา ค้นคว้า วิจัย งานด้านคอมพิวเตอร์ โดยไม่มีวัตถุประสงค์ในทางการค้า ทั้งในปัจจุบันและในอนาคตแก่ผู้ตรวจสอบในส่วนกํากับสถาบันการเงิน ที่ทําหน้าที่ตรวจสอบ ดูแล ความมั่นคง ของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ และจะใช้ภายในวงการที่ธนาคารแห่งประเทศไทย มีส่วนเกี่ยวข้องเป็นสําคัญ โดยพิจารณาเป็นส่วนหนึ่งของการให้การศึกษา อบรม ทําความเข้าใจกับหน่วยงานที่ธนาคารแห่งประเทศไทยเป็นผู้กํากับและดูแล
    1.2. หนังสือทั้ง 4 เล่มในชุดนี้ เป็นการแนะนํางานที่ได้ศึกษารวบรวมเรียบเรียง รวมทั้ง ดัดแปลงจากเอกสารต่างประเทศ และเขียนเพิ่มเติมจากประสบการณ์ภาคสนามรวม ๆ กันไป จากเอกสารเดิมที่เคยใช้ในการบรรยายให้ความรู้ต่อสถาบันการเงินและมหาวิทยาลัยต่าง ๆ ที่ผ่านมา ทั้งนี้ได้อ้างถึงที่มาของหนังสือที่ได้ค้นคว้าตามท้ายหนังสือแล้ว เพื่อให้ผู้ที่ใช้งานในวงจํากัดเหล่านี้ ได้ทราบถึงที่มาในการใช้หนังสือชุดนี้เพื่อการศึกษา โดยมีข้อผิดตกยกเว้น ดังกล่าว
    1.3. เพื่อให้การทํางานของส่วนกํากับฯ ได้ผลยิ่งขึ้น จึงได้มีการพูดคุยและให้คําแนะนํา การปฏิบัติงาน รวมทั้งการตรวจสอบในที่ประชุมธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ ในภาคอีสาน เช่นเดียวกับที่ผมได้เป็นผู้บรรยายให้แก่สถาบันเหล่านี้ในกรุงเทพฯ และที่อื่น ๆ หนังสือชุดดังกล่าว จึงได้ส่งให้สถาบันการเงินที่ธนาคารแห่งประเทศไทย ภาคตะวันออกเฉียงเหนือดูแล โดยมีวัตถุประสงค์เช่นเดียวกันคือ ให้การศึกษา ค้นคว้า วิจัย โดยถือเสมือนหนึ่งเป็นการป้องกันปัญหา และให้คําชี้นําในการให้การศึกษาเป็นการล่วงหน้าต่อสถาบันการเงินดังกล่าว ตามหน้าที่เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงาน โดยมีเอกสารไว้ใช้ศึกษาดูเมื่อต้องการ ซึ่งจะมีผลต่อความมั่นคงของสถาบันการเงิน ซึ่งเป็นหน้าที่หลักอย่างหนึ่งของธนาคารแห่งประเทศไทยเป็นสําคัญ
    1.4. หนังสือในชุดนี้ทั้งหมด จัดทําขึ้นเพื่อใช้ประโยชน์ในการปฏิบัติงาน และการดําเนินการของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ โดยมิได้เผยแพร่หรือโฆษณาต่อสาธารณชนเป็นการทั่วไป และมิได้มีการจําหน่ายใด ๆ ทั้งสิ้น และใคร่ขอย้ำว่าเป็นการจัดทําเพื่อประโยชน์ในการศึกษา งานค้นคว้า การปฏิบัติงานและการตรวจสอบด้านคอมพิวเตอร์ทุกรูปแบบ ตามภาระและหน้าที่ส่วนหนึ่งในความรับผิดชอบที่ผมปฏิบัติหน้าที่อยู่ทั้งในอดีตและปัจจุบัน
    ดังนั้น การนําข้อความหรือบทความในหนังสือชุดนี้ เพื่อจะทําซ้ำหรือดัดแปลงเพื่อประโยชน์ทางการค้า จึงเป็นสิ่งที่ไม่พึงปฏิบัติ เพราะผิดวัตถุประสงค์ที่สําคัญของการจัดทําหนังสือชุดนี้เป็นอย่างยิ่ง
    1.5. การทําความเข้าใจกับท่านผู้อ่าน และผู้ที่อาจเกี่ยวข้องในหัวข้อนี้ ก็เพื่อสร้างความเข้าใจในการจัดทําหนังสือชุดนี้เป็นสําคัญ ทั้งนี้เป็นการป้องกันปัญหาที่อาจจะเกิดจากความเข้าใจที่ไม่ตรงกัน ในการปฏิบัติหน้าที่ของแต่ละหน่วยงานได้
  2. หนังสือเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ เป็นเล่มที่จะเน้นทําความเข้าใจ และให้รายละเอียดกับผู้ที่สนใจในการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก ทั้งนี้ มีแนวทางทําความเข้าใจง่าย ๆ โดยเริ่มต้นศึกษาจากวงจรทางเทคโนโลยีกับการควบคุมและตรวจสอบ และการดําเนินงานด้านคอมพิวเตอร์ ซึ่งมีรายละเอียดปรากฏอยู่ในเล่ม 1 และได้สรุปเพิ่มเติมในเล่ม 2 โดยเฉพาะอย่างยิ่ง การวางแผนการตรวจสอบ แผนภาพ และข้อควรทราบสําหรับผู้ตรวจสอบโดยทั่วไปก่อนการเข้าตรวจสอบองค์กรที่ใช้คอมพิวเตอร์
  3. การตรวจสอบภาคสนาม (field work) สําหรับผู้ตรวจสอบที่ยังไม่เข้าใจระบบงานที่แท้จริงนั้น จะเริ่มจากการศึกษาและทําความเข้าใจระบบงานขององค์กรโดยภาพรวมก่อน นั่นคือการทําความเข้าใจทั้งในระบบงานในส่วนที่ใช้คอมพิวเตอร์ และในส่วนที่ไม่ใช้คอมพิวเตอร์ แล้วจึงทําการประเมินระบบการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนหาทางใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ
  4. ตั้งแต่บทที่ 16 ถึงบทที่ 26 เหมาะสําหรับการตรวจสอบภายใน (Internal Audit) และผู้ตรวจสอบภายนอกที่ไม่ได้เป็น examiner เพราะได้เน้นการตรวจสอบ “งาน” หรือ Application มากกว่า “องค์กร” อย่างไรก็ดี ผู้ตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ (EDP examiner) จากธนาคารแห่งประเทศไทย ก็สามารถนําไปประยุกต์ใช้ร่วมกับวิธีการ และแนวทางการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ได้
  5. มีองค์กรที่เกี่ยวข้องกับการตรวจสอบ และมีหนังสือที่เกี่ยวข้องกับการตรวจสอบด้านคอมพิวเตอร์มากมาย ตลอดจนนิตยสารและวารสารการตรวจสอบด้านคอมพิวเตอร์ ที่ออกกันมาเป็นรายเดือนหรือรายไตรมาส ติดต่อกันมาเป็นเวลาหลายปีในหลายประเทศทั่วโลก เมื่อกล่าวถึงองค์กรอย่างเช่น Information Systems Audit and Control Association ที่มีสมาชิกมากกว่า 93 ประเทศทั่วโลก ทําหน้าที่ศึกษา ค้นคว้า ให้การอบรม จัดสัมมนา จัดการประชุมงานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit ) กับสมาชิกและออกวารสาร IS Audit and Control เป็นประจํา มีสํานักงานใหญ่อยู่ที่ประเทศสหรัฐอเมริกา ประเทศไทยเราก็เป็นสมาชิกอยู่ในสมาคมผู้ตรวจสอบงานคอมพิวเตอร์นี้ด้วย นอกจากนั้นก็มีสถาบันต่าง ๆ หลายแห่งที่มีสมาชิกจํานวนมาก ทําหน้าที่คล้าย ๆ กันนี้ แต่เน้นหนักทางด้านการค้นคว้าการตรวจสอบด้านคอมพิวเตอร์และผลิตหนังสือต่าง ๆ ออกมามากมาย ดังนั้น หากองค์กรของท่านเป็นองค์กรหนึ่งที่มีหน้าที่ในการตรวจสอบ ไม่ว่าจะเป็นการตรวจสอบภายในองค์กรของท่านเอง หรือทําหน้าที่ตรวจสอบองค์กรอื่นที่ใช้คอมพิวเตอร์ในการ Process งานและการบริหารงาน โดยที่ผู้ตรวจสอบที่ท่านดูแล ยังมิได้ทําการตรวจสอบในลักษณะ IS Audit หรือ Computer Audit เป็นส่วนหนึ่งของ กระบวนการตรวจสอบตามปกติแล้วละก็ ควรจะพิจารณาได้ว่า น่าจะต้องเพิ่มการดําเนินการตรวจสอบในลักษณะ IS Audit ได้แล้ว ทั้งนี้ขอท่านได้โปรดทบทวนและศึกษาจากมาตรฐานการสอบบัญชี ฉบับที่ 28 ฉบับที่ 29 และ ฉบับที่ 36 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย เรื่องการสอบบัญชีในกรณีธุรกิจที่ใช้ คอมพิวเตอร์ (เล่ม 1) ก็จะเป็นประโยชน์ในการพิจารณาของท่านเป็นอย่างยิ่ง
  6. จากข้อ 5. ข้างต้น ผมเองได้ยินเสียงวิจารณ์หรือเสียงบ่น จากการปฏิบัติงานการตรวจสอบของผู้ปฏิบัติงานภาคสนาม หรือผู้ลงมือตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์จริง ๆ จากผู้คุ้นเคยมากรายว่า การตรวจสอบระบบการควบคุมภายในและการบัญชี ตลอดจนการศึกษาทําความเข้าใจระบบงานในองค์กร ที่ได้รับการตรวจสอบที่ใช้คอมพิวเตอร์ เพื่อวางแผนและกําหนดเทคนิคหรือวิธีการตรวจสอบ หรือเพื่อหาหลักฐานและความพอเพียง ในการตรวจสอบตามเป้าหมายการตรวจสอบ โดยใช้วิธีการตรวจสอบตามปกติหรือ Manual นั้น ได้ถูกจํากัดโดยกระบวนการ process งานด้านคอมพิวเตอร์ เพราะขั้นตอนการควบคุมภายในและการบัญชีส่วนใหญ่ ได้ใช้โปรแกรมคอมพิวเตอร์เป็นผู้ควบคุมและดําเนินงานแล้ว ดังนั้น เมื่อไม่มีการตรวจสอบด้านคอมพิวเตอร์หรือ IT Audit เป็นส่วนหนึ่งของ Financial Audit โดยเฉพาะอย่างยิ่งการตรวจสอบการปฏิบัติตามระเบียบกฎเกณฑ์การ ควบคุมภายในของหน่วยงาน (Compliance Audit) แล้ว ก็จะทําให้การปฏิบัติงานตรวจสอบนั้น ต้องข้ามขั้นตอน หรือละเว้นการตรวจสอบที่จําเป็นไปไม่น้อย ทําให้มีปัญหาถึงประสิทธิภาพและประสิทธิผลการปฏิบัติงานการตรวจสอบ อันเกิดจากการละเลยไม่ตรวจสอบงานด้านคอมพิวเตอร์ รวมทั้งไม่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ ตามมาตรฐานที่ควรจะเป็นด้วยท่านเคยได้ยินคําวิจารณ์หรือเสียงบ่นทํานองนี้บ้างหรือไม่ และท่านควรจะทําการแก้ไขปัญหา หรืออุปสรรคตามที่กล่าวนี้อย่างไร หากท่านไม่ได้ยินเรื่องทํานองข้างต้น ท่านเคยคิดและพิจารณาบ้างหรือไม่ว่า เป็นไปได้หรือที่การตรวจสอบยังคงใช้แนวทางการตรวจสอบเดิม ๆ สมัยที่องค์กรยังใช้ระบบ Manual เมื่อองค์กรนั้นนําคอมพิวเตอร์เข้ามาใช้แล้ว
  7. ในการตรวจสอบธนาคารพาณิชย์ และสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งองค์กรอื่นที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบควรพิจารณาถึงความจําเป็น และความแตกต่างในระบบงานของแต่ละองค์กรเป็นกรณีไป โดยควรเน้นและให้ความสําคัญอย่างยิ่งต่อการควบคุมภายในที่มีประสิทธิภาพ
  8. การทําความเข้าใจในเป้าหมาย ขอบเขต กรรมวิธี ในการตรวจสอบงานด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบทางด้านการเงิน (Financial Audit) และจัดทํารายงานการตรวจสอบ ตลอดจนความสัมพันธ์ของงานทั้ง 2 ประเภท นับเป็นสิ่งที่มีความสําคัญยิ่ง ในการปฏิบัติงานการตรวจสอบที่มีประสิทธิภาพสูงสุด เช่น การรู้จักใช้เครื่องมือคอมพิวเตอร์ให้เป็นประโยชน์ในการตรวจสอบ และการทําความเข้าใจในระบบงานด้านคอมพิวเตอร์ เพื่อกําหนดขอบเขตการตรวจสอบให้เหมาะสม เป็นต้น
  9. วิธีการตรวจสอบและเทคนิคการตรวจสอบงานด้านคอมพิวเตอร์ จะต้องพัฒนาให้ทันกับ Technology สมัยใหม่ที่ก้าวหน้าอย่างรวดเร็วและไม่หยุดยั้ง ทั้งทางด้าน Hardware และ Software วิธีการตรวจสอบจึงจําเป็นต้องพัฒนาขึ้น เพื่อช่วยให้ผู้ตรวจสอบมีเครื่องมือ และรู้จักใช้เครื่องมือปฏิบัติงานอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ในการตรวจสอบ อีกทั้งจะช่วยให้ผู้ตรวจสอบมีความมั่นใจในการเสนอความเห็นในรายงานการตรวจสอบอย่างถูกต้องตามความเป็นจริงและมีเหตุมีผล
  10. ผู้ตรวจสอบทางด้านคอมพิวเตอร์ นอกจากจะได้รับมอบหมายให้เป็นผู้ตรวจสอบความถูกต้อง และความน่าเชื่อถือได้ของข้อมูลจากงานที่ประมวลผลด้วยคอมพิวเตอร์แล้ว ยังมีหน้าที่ที่สําคัญมากอีกประการหนึ่งก็คือ การร่วมมือและประสานงานตรวจสอบด้านการเงิน (Financial Audit) โดยแนะนําหรือร่วมปฏิบัติงานทางด้านเทคนิคการตรวจสอบในส่วนที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานตรวจสอบทางด้าน Financial มีปัญหาน้อยที่สุด ดังนั้น การศึกษาเทคนิคใหม่ ๆ ทางด้านคอมพิวเตอร์ เพื่อประโยชน์ในการตรวจสอบจึงเป็นสิ่งที่จําเป็นอย่างยิ่ง และจะต้องดําเนินการควบคู่กันไปกับการปฏิบัติงานตรวจสอบด้วยเสมอ ทั้งนี้เพื่อดํารงไว้ซึ่งประสิทธิภาพของการตรวจสอบโดยรวม
  11. เมื่อผมได้ไปปฏิบัติหน้าที่ในฐานะ Deputy Principal ของหลักสูตร SEACEN (South East Asian Central Banks) หลักสูตร Inspection and Supervision of Financial Institutions ครั้งที่ 12 ที่กรุงจาการ์ตา ประเทศอินโดนีเซีย เมื่อปี ค.ศ. 1988 ผมได้แนะนําให้เพิ่มวิชาที่มีเนื้อหาในด้านที่เกี่ยวกับคอมพิวเตอร์หลายวิชา ในหลักสูตรนี้ ทาง SEACEN ได้เชิญผมไปบรรยายความจําเป็นของวิชาเหล่านี้ให้กับเลขาธิการของ SEACEN ที่ไปดูแลหลักสูตรนี้ที่กรุงจาการ์ตา และผมก็ได้ไปอธิบายเรื่องนี้ ณ ที่ทําการสํานักงานใหญ่ของ SEACEN ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย ในปีเดียวกันนั้น ในเรื่องที่เกี่ยวข้องกับการพัฒนาการกํากับ และการตรวจสอบสถาบันการเงินที่ต้องมีวิชานี้เข้าไปเกี่ยวข้องด้วย เพราะเป็นเรื่องที่แยกกันไม่ได้ในวงการกํากับ และการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และทาง SEACEN ก็ได้บรรจุวิชาต่าง ๆ ที่เกี่ยวกับคอมพิวเตอร์เข้าไปในหลักสูตรนี้นับจากนั้นมาจนกระทั่งปัจจุบัน ซึ่งผมได้มีส่วนช่วยบรรยายหลายวิชาในหลักสูตรนี้ที่จัดขึ้นในประเทศต่าง ๆ ของสมาชิก SEACEN ในเวลาต่อมาด้วย นั่นคือ ถึงแม้เป้าหมายของผู้ตรวจสอบจะเป็นการตรวจสอบฐานะความมั่นคงทางการเงิน หรือเป็นการตรวจสอบเพื่อรับรองงบการเงิน แต่ข้อมูลและการควบคุมภายในส่วนใหญ่ได้ถูกประมวลโดยระบบคอมพิวเตอร์แล้ว ดังนั้น การวางแผนการตรวจสอบก็จะต้องคํานึงถึง และเข้าใจในระบบงานด้านคอมพิวเตอร์พอสมควรด้วยเสมอ
  12. นอกจากที่กล่าวทาง SEACEN ก็ได้จัดหลักสูตรใหม่ขึ้นมาโดยเฉพาะ เรียกว่า Computer Audit (Advanced Level) ขึ้น เป็นหลักสูตรการตรวจสอบคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบในสถาบันการเงินโดยเฉพาะ แยกเป็นอีกหลักสูตรหนึ่ง โดยอบรมให้แก่ผู้ตรวจสอบจากธนาคารกลางประเทศต่าง ๆ ในเอเชีย ทาง SEACEN ได้ให้ผมเป็น Course Director สําหรับหลักสูตรนี้อีกครั้ง เพื่อจัดให้มีการอบรมให้กับประเทศต่าง ๆ ที่กรุงเทพฯ เมื่อปลายปี ค.ศ. 1993 ซึ่งช่วงนั้นผมได้บรรยายวิชา EDP Supervision and Financial Institutions ด้วย โดยกล่าวถึง The Thai experienced ในเรื่อง ตามที่สรุปในภาคผนวกเล่มที่ 1 แล้ว แต่วิชาคอมพิวเตอร์อื่น ๆ ในหลักสูตรนี้ที่ผมได้บรรยายให้ SEACEN ในปีก่อน ๆ หน้านี้ ผมไม่ได้นํามาให้ผู้อ่านได้อ่านด้วย เพราะมีบางส่วนได้กล่าวเป็นภาษาไทยในหนังสือชุดนี้อยู่แล้ว
  13. การตรวจสอบด้านคอมพิวเตอร์ถึงแม้จะมีความจําเป็นเด่นชัด แต่ผู้บริหารในองค์กรต่าง ๆ ให้ความสําคัญกับการตรวจสอบด้านนี้แตกต่างกัน และมีจํานวนไม่น้อยที่มองข้ามประเด็นที่สําคัญนี้ อย่างไรก็ดี สําหรับธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยได้กําหนดให้มีการตรวจสอบคอมพิวเตอร์ เพื่อดูแลเรื่องนี้โดยเฉพาะตั้งแต่ ปี 2528 สําหรับสถาบันการเงินอื่น ๆ ทางธนาคารแห่งประเทศไทยก็ได้สั่งการให้สถาบันการเงินเหล่านั้นได้จัดให้มีการตรวจสอบงานด้านคอมพิวเตอร์แล้วด้วย
  14. งานตรวจสอบด้านคอมพิวเตอร์ (IS Audit หรือ IS Examination) ในด้านของธนาคารแห่งประเทศไทย หรือ FFIEC ของประเทศสหรัฐอเมริกา แล้วมีวัตถุประสงค์อย่างกว้าง ๆ เช่นเดียวกับการตรวจสอบฐานะและความมั่นคงของสถาบันการเงิน นั่นคือ 1.) เพื่อประเมินฐานะความมั่นคงของสถาบันการเงิน 2.) เพื่อประเมินและวัดคุณภาพการจัดการ และการดําเนินงานของผู้บริหารระดับสูง 3.) เพื่อให้คําแนะนํา แก้ไขจุดอ่อนต่าง ๆ ที่อาจก่อให้เกิดปัญหาต่อสถาบันการเงินเป็นการล่วงหน้า เพื่อให้สถาบันการเงินปรับปรุงคุณภาพของการบริหารงาน และการดําเนินงานให้มีความมั่นคง และเป็นไปตามระเบียบ คําสั่ง และกฎหมายที่เกี่ยวข้อง อย่างไรก็ดี วัตถุประสงค์ของการตรวจสอบด้าน IS Audit ของผู้สอบบัญชีรับอนุญาต และผู้สอบ บัญชีภายในจะแตกต่างกันไปตามเป้าหมายหลักของตนเอง
  15. การตรวจสอบด้านคอมพิวเตอร์ที่ปัจจุบันมักนิยมเรียกกันว่า IS Audit ในประเทศสหรัฐอเมริกา และ IT Audit ในประเทศอังกฤษและออสเตรเลีย มากกว่าคําที่ใช้เรียกกันเต็ม ๆ ว่า Computer หรือ EDP Audit นั้น มีเรื่องที่ต้องทําความเข้าใจกันมากพอสมควร ยิ่งผู้สนใจท่านใดอ่านหนังสือประเภทนี้จากผู้แต่งหลาย ๆ คน จากประเทศต่าง ๆ แล้ว ก็อาจจะพบกับความสับสนมากขึ้น ทั้งนี้เพราะผู้แต่งแต่ละท่านก็มีความคิด/จุดยืนและทัศน รวมทั้งการผูกเรื่องให้อ่าน หรือทําความเข้าใจแตกต่างกันนั่นเอง
  16. จุดยืนและความแตกต่างของตําราที่ผู้เขียนเรื่อง การตรวจสอบด้านคอมพิวเตอร์ ก็ขึ้นกับความ ถนัดและประสบการณ์ของผู้เขียนแต่ละท่าน เช่น บางท่านถนัดทางด้านการตรวจสอบระบบงานแต่ละอย่าง (Application Audit) เพราะผู้แต่งหรือผู้เขียนทํางานในด้านนี้ บางท่านทํางานในองค์กรเอกชน หรือตามโรงงานอุตสาหกรรมต่าง ๆ ในขณะที่บางท่านแต่งหรือเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์ในฐานะที่เป็นผู้กํากับและตรวจสอบสถาบันการเงิน จึงมีหน้าที่และบทบาทต่างกันออกไป เช่น ผู้ตรวจสอบของ FDIC, FRB, OCC ซึ่งเรียกรวม ๆ กันว่า Federal Financial Institution Examination Council (FFIEC) ของประเทศสหรัฐอเมริกา ที่เป็นหน่วยงานของรัฐ ซึ่งทําหน้าที่ตรวจสอบทั้งฐานะความมั่นคงและการดําเนินงานโดยทั่วไป ซึ่งเรียกกันว่า Financial Examiner และบางส่วนแบ่งมาทําหน้าที่ตรวจสอบด้านคอมพิวเตอร์ เรียกกันในระยะแรก ๆ ว่า EDP Examiner นั้น ก็มีประสบการณ์การเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์แตกต่างกันไปตามความรับผิดชอบของตน นั่นคือ FFIEC จะเน้นการตรวจสอบทางด้านศูนย์ประมวลข้อมูลของสถาบันการเงิน (Data Center) ซึ่งจะตรวจงานทางด้านการดําเนินงานและการบริหารงานของศูนย์คอมพิวเตอร์เป็นสําคัญ และจะไม่เน้นหรือจะไม่ตรวจสอบทางด้าน Application Audit ซึ่งทาง FFIEC พิจารณาว่าเป็นงานของผู้ตรวจสอบภายนอก (External Auditor) และผู้ตรวจสอบภายในของสถาบันการเงินหรือองค์กรอื่น ๆ ซึ่งผู้ตรวจสอบประเภทหลังนั้น จะตรวจสอบทั้งทางด้าน Data Center หรือตรวจสอบการควบคุมภายในโดยทั่วไป (General Controls) และตรวจสอบการควบคุมภายในเฉพาะระบบงาน หรือ เรียกว่า Application Controls หรือ Application Audit ด้วย
  17. เมื่อมาถึงจุด ๆ นี้ ก็มีคําที่ต้องทําความเข้าใจกันต่อก็คือ การตรวจสอบงานด้านคอมพิวเตอร์ที่เรียกและเข้าใจกันง่าย ๆ Computer Audit นั้น มีการตรวจสอบเป็น 2 ลักษณะ 17.1. การตรวจสอบด้านศูนย์ประมวลข้อมูล (Data Center) หรือเรียกกันว่าเป็นการตรวจสอบการควบคุมโดยทั่วไป (General Controls) หรือเป็นการตรวจสอบ “องค์กร” หรือเป็นการตรวจสอบการดําเนินงานและการบริหารงานด้านคอมพิวเตอร์ขององค์กร 17.2. การตรวจสอบงานใดงานหนึ่งเป็นการเฉพาะ เช่น การตรวจสอบงานด้านเงินฝาก เงินให้กู้ ฯลฯ ก็เรียกกันว่าเป็นการตรวจสอบด้าน Application หรือเป็นการตรวจสอบการควบคุมภายในเฉพาะงาน (Application Controls) หรือทําให้เข้าใจง่ายยิ่งขึ้นก็เรียกว่าการตรวจสอบ “งาน” ภายในองค์กร
  18. การตรวจสอบงานด้านคอมพิวเตอร์ โดยหลักใหญ่ ๆ จึงสรุปได้ว่ามีเพียง 2 ลักษณะ คือ ตรวจสอบ “องค์กร” กับ “งาน” จะเป็นการตรวจสอบด้านใด ก็ขึ้นกับความรับผิดชอบของผู้ตรวจสอบในแต่ละองค์กรว่ายืนอยู่ ณ จุดใด มีความรับผิดชอบด้านใด ท่านต้องการกําหนดขอบเขตการตรวจสอบ (Audit Scope) เพียงใด ดังนั้น ผู้อ่านจึงต้องแยกแยะว่าท่านต้องการเรียนรู้งานการตรวจสอบด้านคอมพิวเตอร์ลักษณะใด แล้วจึงค่อย ๆ ทําความ เข้าใจกับคําอธิบายเฉพาะส่วนนั้น ๆ และความเกี่ยวพันที่เกี่ยวข้อง เช่น ควรเข้าใจว่าหาก General Controls มีปัญหาก็จะกระทบกับการวางแผนและการตรวจสอบด้าน Application Controls เพียงใด และควรมีวิธีการตรวจสอบอย่างไร เป็นต้นอนึ่ง ถึงแม้จะมีตําราการตรวจสอบด้านคอมพิวเตอร์บางเล่ม ได้แยกหัวข้อการตรวจสอบแตกต่างไปจากที่กล่าวข้างต้น เช่น มักจะแยกหัวข้อการตรวจสอบการพัฒนาระบบงานเพิ่มมาอีกก็ตาม ผมก็ยังมีความเห็นว่า น่าจะรวมอยู่ในการตรวจสอบ General Controls จะเหมาะสมกว่า นอกจากนี้แผนภูมิแสดงการตรวจสอบโดยย่อ ที่มีมากกว่า 1 แห่ง ในหนังสือของผมทั้ง 3 หรือ 4 เล่ม ก็อาจมีความแตกต่างกันในรายละเอียดปลีกย่อย ทั้งนี้ ขอให้ผู้อ่านอย่าสับสน เพราะเหตุผลเกิดจากแนวความคิดเบื้องต้นที่อาจแตกต่างกันบ้างของผู้เขียนหนังสือแต่ละคน เช่น บางคนเริ่มจากการวิเคราะห์ความเสี่ยง ซึ่งผมชอบแนวทางนี้ บางคนไม่วิเคราะห์ถึงความเสี่ยงก่อน แต่ให้เริ่มต้นจากการทําความเข้าใจระบบงานก่อน ซึ่งในที่สุด ผู้อ่านจะพบว่าไม่ว่าจะเริ่มแบบใด ในที่สุดแล้วก็จะมาสู่จุดเดียวกันจนได้ หากท่านผู้อ่านเข้าใจได้เช่นนี้ ก็แสดงว่าท่านเข้าใจแนวทางการตรวจสอบอย่างถ่องแท้แล้ว อย่างไรก็ดี หลักการส่วนใหญ่จะไม่แตกต่างกันมาก แต่จะแตกต่างกันในการบรรยายและการทําความเข้าใจ
  19. ผู้อ่านควรทําความเข้าใจในคําต่อไปนี้ คือ EDP examiner, EDP auditor ซึ่งคํา ๆ หลังนี้ยังแยกได้เป็น 2 ส่วน คือ External Auditor และ Internal Auditor สรุปเพียงข้อนี้ก่อนว่า ผู้ตรวจสอบด้าน คอมพิวเตอร์เองก็มี 3 แบบ มีความรับผิดชอบและหน้าที่แตกต่างกัน และผู้ตรวจสอบต้องเข้าใจลักษณะของหน้าที่ และความรับผิดชอบที่แตกต่างกันนั้น ๆ ด้วย เพราะความแตกต่างกันนั้น ยังมีส่วนเหลื่อมที่เป็นความเหมือน หรือความคล้ายกันปะปนกันอยู่ด้วย นั่นคือ การกําหนดขอบเขตและวิธีการตรวจสอบ อาจมีความสัมพันธ์ซึ่งกันและกันตามลักษณะของผู้ตรวจสอบ ทั้ง 3 แบบได้
  20. การให้ถ้อยคําเป็นภาษาไทยที่ถอดความจากภาษาอังกฤษ ในศัพท์คอมพิวเตอร์บางครั้งก็มิใช่ของง่ายเพราะถึงแม้จะมีการแปลศัพท์คอมพิวเตอร์เป็นภาษาไทยกันแล้วหลายเล่ม แต่การใช้ภาษาไทยก็ยังมีการใช้แตกต่างกันอยู่ ซึ่งขึ้นกับความถนัดและความเข้าใจของผู้เรียบเรียงหรือผู้เขียนเป็นสําคัญ ดังนั้น การให้ถ้อยคําในภาษาไทยในแต่ละเรื่อง ถึงแม้มาจากภาษาอังกฤษคํา ๆ เดียวกัน ก็ใช้ถ้อยคําแตกต่างกันที่อาจทําให้ผู้อ่านสับสนได้ อย่างไรก็ดี คําศัพท์ภาษาไทยที่ยังไม่นิยมกัน ผมไม่ได้นํามาใช้ในเอกสารประกอบการบรรยายนี้ และคําศัพท์หลายคําผมได้ให้ความหมายใหม่ตามที่ผมเข้าใจ เช่นคําว่า “default” โดยทั่วไปแปลว่า “โดยปริยาย” ในหลายตอนผมแปลว่า “มาตรฐานของระบบงานที่ได้กําหนดไว้ล่วงหน้า” หรือ “คําสั่งตามเงื่อนไขเบื้องต้นที่กําหนดไว้ในโปรแกรม” นอกจากนี้ หากท่านผู้อ่านพบกับคําว่า เกิด default ก็ขอให้เข้าใจว่า “เกิดข้อคลาดเคลื่อน” หรือ “เกิดการปฏิบัติงานที่ผิดไปจากเงื่อนไขหรือคําสั่งงานที่กําหนดไว้” และในบางกรณีก็หมายถึง “เกิดปัญหาการปฏิบัติงานที่เกิดจากมาตรฐานหรือเงื่อนไขเบื้องต้น” ทั้ง ๆ ที่การเกิด default นี้เป็นไปตามคําสั่งหรือมาตรฐานของระบบงานก็ตาม ซึ่งแสดงถึงจุดอ่อนหรือความเสี่ยงที่เกิดจากการทํา default ในโปรแกรมนั่นเอง อย่างไรก็ดี ความหมายในภาษาไทยที่ใช้และอาจเกิดความสับสนได้นั้น ผมจะวงเล็บภาษาอังกฤษ เพื่อให้เปรียบเทียบประกอบความเข้าใจเป็นส่วนมากไว้ด้วย ดังนั้นหากท่านผู้อ่านจะนําศัพท์ภาษาอังกฤษไปเปรียบเทียบกับ Dictionary ด้านคอมพิวเตอร์ ก็จะพบว่าการให้ความหมายแตกต่างกันไป ซึ่งบางกรณีทําให้เกิดความเข้าใจที่แตกต่างกันด้วย
  21. ถ้อยคําในภาษาไทยที่ใช้ในการบรรยายการตรวจสอบด้านคอมพิวเตอร์ ในบางครั้งที่พบ เช่น การตรวจสอบระบบคอมพิวเตอร์โดยทั่วไป (ซึ่งหมายถึงการตรวจสอบ Data Center หรือ General Controls) กับคําว่า การตรวจสอบคอมพิวเตอร์เฉพาะงาน หรือบางครั้งก็ใช้คําว่า การตรวจสอบระบบงาน (ซึ่งหมายถึง Application Audit หรือ Application Controls) ถ้าผู้อ่านพยายามนึกถึงภาษาอังกฤษประกอบด้วยแล้ว จะทําให้ความสับสนน้อยลงได้ ทั้งนี้มีข้อแนะนําว่า หากรู้สึกสับสนก็ขอให้ถามตนเองว่า ขณะนี้เรากําลังอยู่จุดไหน หรือขั้นตอนใดของงานการตรวจสอบ เรามีเป้าหมายและขอบเขตการตรวจสอบอะไร เพียงใด ก็จะช่วยได้มาก โดยเฉพาะ การให้คําภาษาไทยที่ไม่ได้วงเล็บภาษาอังกฤษไว้ด้วย การที่ผมย้ำจุดนี้หลายครั้งก็เพราะ จากประสบการณ์ที่ผ่านมาในระยะแรก ๆ ทั้งตัวผมเองและผู้ฟังการบรรยาย มักจะพบกับปัญหาการทําความเข้าใจจากจุดนี้เป็นสําคัญ
  22. ถ้อยคําอื่น ๆ ที่มีปัญหาก็อาจเกิดจากเทคนิคทางด้านคอมพิวเตอร์ นอกเหนือจากการใช้ภาษาไทยได้ ตัวอย่างเช่น โปรแกรมระบบงาน (System Program หรือ System Software) และคําว่าโปรแกรมเฉพาะงาน (Application Program หรือ Application Software) โดยมีถ้อยคําภาษาไทยที่คล้ายกันมาก หากไม่วงเล็บภาษาอังกฤษไว้ด้วย จะชวนทําให้สับสนได้ง่ายเช่นกัน หรือการตรวจสอบความถูกต้องของรายการทางการเงิน ก็มีคําภาษาอังกฤษที่ใช้ต่าง ๆ กัน เช่น Validation Procedures หรือ Verification Procedures หรือ Substantive tests เป็นต้น ดังนั้น ผู้ตรวจสอบ จึงควรทําความเข้าใจระบบงานของคอมพิวเตอร์ให้ถ่องแท้ ก่อนการวางแผนและดําเนินการตรวจสอบ
  23. ถึงข้อนี้ ผมจึงขอกล่าวอีกครั้งว่า การตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบจะต้องทําความ เข้าใจกับระบบงานทั้งหมด (Total System Approaches) ในส่วนของงานที่ต้องการตรวจสอบในองค์กร กล่าวคือ ผู้ตรวจสอบต้องทําความเข้าใจ ทั้งในส่วนที่ใช้คอมพิวเตอร์และส่วนที่ไม่ใช้คอมพิวเตอร์ และทั้ง 2 อย่างรวมกัน เพื่อแยกแยะให้ได้ว่า จะเริ่มต้นตรวจอะไรที่จุดใด ใช้เทคนิคแบบไหน จะตรวจสอบเมื่อใด และต้องการรูปแบบ หลักฐานอย่างไร และควรจะจบลงอย่างไรในการตรวจสอบ ฯลฯ ในงานแต่ละเรื่องตามเป้าหมายที่กําหนดไว้ นอกจากนั้น ผู้ตรวจสอบจะต้องเข้าใจความสัมพันธ์ของข้อมูลที่เกี่ยวข้องของ “งาน” (Application) ในแต่ละประเภทภายในองค์กร เพื่อกําหนดจุดตรวจสอบด้วย
  24. จากข้อ 23. หากจะกล่าวให้ถูกต้องยิ่งกว่านี้ ก็ควรกล่าวว่า ผู้ตรวจสอบทุกประเภทควรเข้าใจระบบงานที่ตรวจสอบ ทั้งในส่วนที่ใช้คอมพิวเตอร์และไม่ใช้คอมพิวเตอร์ให้ดี จึงจะสามารถวางแผน กําหนดขั้นตอนและเทคนิคการตรวจสอบที่เหมาะสม และติดตามการตรวจสอบของผู้ร่วมงานได้อย่างมีประสิทธิภาพ เพราะปัจจุบันทางการของไทยก็ได้ออกมาตรฐานการตรวจสอบบัญชีที่ใช้คอมพิวเตอร์ออกมา 3 ฉบับ ด้วยกัน คือ มาตรฐานการสอบบัญชีฉบับที่ 28, 29, 36 ให้ผู้สอบบัญชีโดยทั่วไปถือปฏิบัติอยู่แล้ว และกรมสรรพากรก็ได้ออก กฎเกณฑ์บางประการในการใช้คอมพิวเตอร์มาให้ถือปฏิบัติด้วยเช่นกัน ดังนั้น เมื่อกล่าวถึงการตรวจสอบโดยทั่วไป ผู้ตรวจสอบ จึงไม่อาจหลีกเลี่ยงจากการทําความเข้าใจในระบบงานทั้งหมด ก่อนการตรวจสอบเริ่มขึ้นได้ ยกเว้น การตรวจสอบที่มีเป้าหมายเฉพาะอย่างบางด้าน และผู้ตรวจสอบมีความเข้าใจระบบงานโดยรวมขององค์กรที่จะเข้าตรวจสอบมาก่อน หลังจากองค์กรนําคอมพิวเตอร์มาใช้ในกระบวนการ “process” งานครั้งล่าสุดแล้ว
  25. แม้ว่า ในการนําคอมพิวเตอร์มาใช้จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบ แต่ลักษณะการประเมินการควบคุมภายใน ตลอดจนหลักฐานและวิธีการตรวจสอบ จะเปลี่ยนแปลงไปมาก ในระบบที่ทําด้วยมือนั้น มักเน้นการทํา substantive test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คน หรือระบบ Manual ในการประมวลผลข้อมูล ย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้น การใช้ substantive test จะช่วยลดความเสี่ยงได้มาก แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี โอกาสที่จะเกิดการผิดพลาดเพราะ Human error อันเกิดจากการประมวลข้อมูลนั้น จะมีน้อยหรือไม่มีโอกาสเกิดขึ้นได้ ถ้าระบบงานและขั้นตอนการควบคุมภายในต่าง ๆ ที่ใช้คอมพิวเตอร์ควบคุมนี้ ได้รับการทดสอบเป็นที่แน่ใจแล้วว่า มีประสิทธิภาพยอมรับได้ ดังนั้น การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ จึงควรเปลี่ยนจากการเน้นตรวจ substantive test ไปเป็นการประเมินการควบคุมภายในแทน ด้วยเหตุผล 3 ประการ คือ 25.1. ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ ช่วยให้มั่นใจได้ว่า การประมวลผลจะมีความสม่ำเสมอด้วย 25.2. การตรวจสอบผลที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ ในลักษณะของการทํา substantive test นั้น ทําได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน audit trail ได้เปลี่ยนแปลงไปมาก และหลาย ๆ กรณีก็ไม่อาจกระทําการตรวจสอบแบบ manual ได้ด้วยวิธีการปกติ 25.3 ผู้ตรวจสอบถูกกําหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน ดังนั้น จะเห็นว่าผู้ตรวจสอบจําเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์ เหตุผลข้อ 25. นี้ เป็นการย้ำว่า ในองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบภายในเป็นเรื่องสําคัญลําดับต้น ๆ และการตรวจสอบด้านคอมพิวเตอร์ (IS Audit) ไม่ว่าจะเป็นการตรวจสอบ “องค์กร” (Data Center) หรือตรวจสอบ “งาน” (Application) ก็เน้นการตรวจสอบการควบคุมภายใน คือ General Controls และ Application Controls ด้านคอมพิวเตอร์นั่นเอง เมื่อถึงประเด็นตามวรรคข้างต้น ผมคิดว่าเป็นจุดที่น่าสนใจ หากจะกล่าวต่อไปว่าการตรวจสอบเพื่อรับรองงบการเงินขององค์กร ซึ่งปกติเป็นหน้าที่ของผู้สอบบัญชีรับอนุญาต ซึ่งเป็นผู้สอบบัญชีภายนอกประเภทหนึ่งนั้น มีความสัมพันธ์กันอย่างใกล้ชิดกับการตรวจสอบงานด้านคอมพิวเตอร์ในองค์กรที่ใช้คอมพิวเตอร์ เพราะ IS Audit หรือการตรวจสอบด้านคอมพิวเตอร์ เน้นการตรวจสอบด้านการควบคุมภายในและการดําเนินงาน ซึ่งเป็นขั้นตอนต้น ๆ ที่จําเป็นของการตรวจสอบฐานะการเงิน ดังนั้น การตรวจสอบด้านคอมพิวเตอร์ (IS หรือ IT Audit) จึงมีความสัมพันธ์อย่างใกล้ชิดกับการตรวจสอบงบการเงินและการดําเนินงาน ซึ่งเรียกว่า Financial Audit อย่างสําคัญ และไม่อาจหลีกเลี่ยงได้ในปัจจุบัน อย่างไรก็ดี การตรวจสอบฐานะความมั่นคงของสถาบันการเงินในภาพรวม ก็เป็นหน้าที่ของผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งเรียกรวม ๆ กันว่า Financial examiner จากความสัมพันธ์ดังกล่าว หนังสือเล่มนี้ซึ่งเน้นด้านการตรวจสอบด้านคอมพิวเตอร์ จึงได้กล่าวถึงการ ตรวจสอบทั้งทางด้าน IS Audit และ Manual Audit ซึ่งเป็นการตรวจสอบแบบเดิมไว้ เพื่อการศึกษาเปรียบเทียบ และทําความเข้าใจในความแตกต่างของวิธีการตรวจสอบทั้ง 2 แบบไว้ด้วย
  26. ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายในไม่ว่าจะเป็น Data Center หรือ Application Audit ผู้ตรวจสอบควรมีการกําหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทําการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ดีในการประเมินผลการตรวจสอบได้อีกด้วย
  27. ผู้ตรวจสอบจําเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจ ที่มีการนําเอาคอมพิวเตอร์ เข้ามาใช้ได้อย่างมีประสิทธิภาพ ทักษะทางด้านคอมพิวเตอร์ของผู้ตรวจสอบแต่ละคน อาจแตกต่างกันออกไป แต่สําหรับทั้งทีมงานแล้ว ต้องมีทักษะทางคอมพิวเตอร์โดยรวมที่เหมาะสม และเพียงพอแก่การปฏิบัติหน้าที่ ตามมาตรฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ของทางการ และของสากล
  28. ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบ ต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอระดับหนึ่งแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้ หากการตรวจสอบนั้นเป็นการตรวจสอบด้านคอมพิวเตอร์ หรือมีส่วนที่เกี่ยวข้องกับคอมพิวเตอร์ ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทํางานเหล่านี้ทั้งหมดได้ตามลําพังจากความก้าวหน้าอันรวดเร็วทางเทคโนโลยี จําเป็นต้องให้ผู้บริหาร และผู้ใช้ได้รับการฝึกอบรมทางด้านคอมพิวเตอร์ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย คอมพิวเตอร์เอง ก็ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมภายในด้วย
  29. การทําแผนภูมิหลายแผนในหนังสือเล่มนี้ เป็นการจัดทําขึ้นเพื่อให้ผู้อ่านได้ติดตาม และทําความ เข้าใจเรื่องราวที่เกี่ยวข้องได้ง่ายและสะดวกขึ้น ทั้งนี้หลาย ๆ กรณี เป็นการประยุกต์มาจากความคิดและความเข้าใจของผมเอง เพื่อใช้ในการบรรยายเป็นสําคัญ อย่างไรก็ดี ผมใคร่ขอย้ำว่า ท่านผู้อ่านควรตอบตนเองก่อนว่าขณะนี้ กําลังทําความเข้าใจเรื่องอะไร ขณะนี้กําลังอยู่ในส่วนใดของกระบวนการตรวจสอบ และกําลังมองมุมผู้ตรวจสอบว่า เป็นประการใดจาก 3 ประเภทดังได้กล่าวข้างต้นแล้ว ทั้งนี้ ต้องมีเป้าหมายและขอบเขตที่แน่นอนของตนเองด้วยว่า กําลังตรวจสอบประเภท และเรื่องอะไรอยู่เป็นต้น
  30. เนื่องจากการรวบรวมเอกสารประกอบการบรรยายเรื่อง “การดําเนินงานและการตรวจสอบสถาบัน การเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ ก็เช่นเดียวกับเล่ม 1 และเล่มที่จะพิมพ์ต่อไป ซึ่งเล่ม 3 จะเน้นเรื่อง คอมพิวเตอร์กับการทุจริต และแนวการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือ รวมทั้งการจัดทําแผนฉุกเฉิน หนังสือทั้ง 3 หรือ 4 เล่ม เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไป ในช่วงเวลาตั้งแต่ปี 2524-2536 แก่สถาบันหลายแห่ง และผมมีโอกาสแก้ไขเพิ่มเติมได้ไม่มากนัก เนื่องจากเวลาจํากัดมาก เพราะต้องการพิมพ์ให้เสร็จภายในเดือนกันยายน 2539 ทั้ง 3 เล่ม จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อหารวมทั้งแผนภูมิต่าง ๆ มากกว่าร้อยละ 95 ยังคงใช้ได้ดีจนถึงปัจจุบัน เพราะถึงแม้เทคนิคด้านรายละเอียดทางคอมพิวเตอร์จะพัฒนาไปอีกมาก แต่หลักการส่วนใหญ่ของการประมวลงานและการตรวจสอบก็ยังคงใช้หลักการเดิม ทั้งนี้ สังเกตได้จากการแต่งหนังสือที่มีการพิมพ์ครั้งหลังๆ ของตําราด้านตรวจสอบคอมพิวเตอร์ก็มีการแก้ไขใหม่ไม่มากนัก
  31. สิ่งที่ผมใคร่จะเน้นก็คือ การใช้เทคนิคการตรวจสอบว่าสมควรที่ผู้ตรวจสอบใช้เทคนิคใด
    ซึ่งขึ้นกับความรู้และประสบการณ์ของผู้ตรวจสอบเป็นหลัก และขึ้นกับความจําเป็นตลอดจนสิ่งแวดล้อมและหลักฐานที่ต้องการ ด้วย เช่น จะใช้การตรวจสอบในแบบ Around the Computer หรือที่นิยมเรียกกันใหม่ เพื่อป้องกันความเข้าใจผิดว่า Audit without using the computer เพื่อเน้นว่าไม่ว่าจะเป็นการตรวจสอบแบบใด ผู้ตรวจสอบก็ไม่อาจหลีกเลี่ยงการประเมินประสิทธิภาพการควบคุมภายในได้ หรือใช้วิธีตรวจสอบลึกเข้าไปถึงการทํางานของโปรแกรมคอมพิวเตอร์ (Audit Through The Computer) พอสมควร ส่วนการใช้ Computer เป็นเครื่องมือช่วยในการวางแผนและการตรวจสอบนั้น ปัจจุบันนี้ผู้ตรวจสอบมีโอกาสเลือกน้อยแล้ว กล่าวคือ ผู้ตรวจสอบจําเป็นต้องใช้ Computer ให้มีส่วนช่วยในการตรวจสอบไม่มากก็น้อย ในอดีตผมและคณะผู้ตรวจสอบมักใช้วิธี Test Data ในการทดสอบความน่าเชื่อถือได้ของโปรแกรม ซึ่งเป็นการทดสอบในแบบ Through the Computer แบบหนึ่ง แต่ผมยังมีประสบการณ์น้อยในการใช้โปรแกรมสําเร็จรูปในการตรวจสอบ หนังสือชุดนี้จึงไม่ได้กล่าวถึงเรื่องนี้มากนัก
  32. หนังสือทั้ง 3 เล่มหรืออาจมีถึง 4 เล่ม จากเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการ เงินด้านคอมพิวเตอร์” เป็นการรวบรวมเอกสารประกอบการบรรยายต่าง ๆ ของผมในช่วงระหว่างปี 2524 ถึง 2536 ดังกล่าวแล้ว ในคํานําเล่ม 1 โดยได้เขียนคําอธิบายเพิ่มเติมประกอบเรื่อง และแผนภาพในบางเรื่อง เพื่อความเข้าใจที่กระจ่างขึ้น การเขียนเรื่องเพิ่มเติมและการตรวจทานความถูกต้องจากการพิมพ์ใช้เวลามากพอสมควร เนื้อหาสาระในหนังสือทุกเล่ม ถึงแม้จะพยายามลําดับเรื่องให้ได้ตามความเหมาะสมแล้วก็ตาม แต่ก็ยังมีเรื่องที่เป็นสิ่งละอันพันละน้อยต่าง ๆ ที่ผมได้สรุปไว้ใช้ในการบรรยายในโอกาสต่าง ๆ กันได้ปรากฏอยู่ในเรื่องหรือหัวข้ออื่นอยู่ด้วย เช่น ข้อสรุปที่ผู้ตรวจสอบและผู้บริหารควรทราบในรูปแบบแผนภูมิบ้าง แผนภาพบ้าง และคําบรรยายสรุปผัง เป็นต้น สิ่งเหล่านี้จะเป็นประโยชน์และทําความเข้าใจให้กับผู้ฟังและผู้อ่านมากขึ้น ถ้าผู้อ่านหรือผู้ใช้หนังสือชุดนี้จะหยิบยกเรื่องที่เกี่ยวข้องมาประกอบในเรื่องที่ศึกษาด้วย โดยเฉพาะอย่างยิ่ง การศึกษาเรื่องคอมพิวเตอร์กับการทุจริตและการตรวจสอบ ซึ่งปรากฏในเล่ม 3 โดยสรุปเรื่องตรวจสอบเป็นบทสั้น ๆ เป็นการทบทวนในอีกแนวทางหนึ่งด้วย
  33. การพัฒนางานตรวจสอบทั้งด้าน Computer Audit และ Financial Audit โดยจําลองระบบงานที่สําคัญขององค์กรนั้น ๆ เช่น สถาบันการเงิน โดยเน้นด้านการควบคุมและการตรวจสอบที่เป็นจริงให้ผู้ตรวจสอบติดตามได้ในภาคสนาม (Field work) จริง ๆ ที่เรียกกันว่า Simulation Audit นั้น เป็นเรื่องที่น่าสนใจมาก เพราะจะทําให้ผู้ตรวจสอบได้ฝึกหัดการตรวจสอบ ณ ที่ทําการได้คล้าย ๆ กับการปฏิบัติงานจริงในภาคสนามเลยทีเดียว
  34. หนังสือเล่มแรกของชุดนี้ได้เร่งรีบจัดทํามาก เพื่อให้ทันแจกจ่ายในงานวันธนาคารภาคตะวันออก เฉียงเหนือประจําปี 2539 ที่จังหวัดร้อยเอ็ด จึงได้มีการตรวจทานงานพิมพ์เพียงครั้งเดียว ประกอบกับมีความสับสนในการจัด file ที่แก้ไขแล้วและก่อนแก้ไขในการจัดพิมพ์จริง จึงปรากฏข้อผิดพลาดที่ตรวจพบภายหลังการเย็บเล่มแล้วหลายแห่ง จึงขออภัยท่านผู้อ่านมา ณ ที่นี้ด้วย อย่างไรก็ดี ผมได้แทรกแก้ไขคําผิดไว้ในหน้าหลังของเล่มแรกแล้ว
  35. หนังสือชุดนี้เป็นการให้คําแนะนําล่วงหน้าแก่สถาบันการเงินในด้านการบริหาร การดําเนินงาน
    และการตรวจสอบ รวมทั้งประเด็นปัญหาที่น่าสนใจ เพื่อหาทางป้องกันและ/หรือแก้ไขการทุจริต และการจัดทําแผนฉุกเฉินทางด้านคอมพิวเตอร์ ซึ่งจะปรากฏในเล่มต่อไป ทั้งนี้เป็นการดําเนินงานตาม Action plan ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ เพื่อให้บรรลุผลตามโครงการนี้ ก็น่าจะช่วยลดภาระของธนาคารได้ทั้งในปัจจุบันและอนาคต อย่างไรก็ดี การทําความเข้าใจในหนังสือชุดนี้นั้น ผมได้ตั้งแนวทางว่า ท่านผู้อ่านได้ทราบพื้นฐานทางด้านการประมวลงานด้วยคอมพิวเตอร์พอสมควรแล้ว
  36. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้าน คอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมา ในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

เมธา สุวรรณสาร ผู้อํานวยการ
ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงหนือ
7 กันยายน 2539

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 2” ภาคการตรวจสอบ สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3” และเล่มถัดไป ผมจะเผยแพร่ในโพสต์ต่อ ๆ ไปนะครับ

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 2Download

This entry was posted on วันอังคารที่ 3 ธันวาคม 2024 at 2:14 pm and is filed under CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

ใส่ความเห็น