หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 3

ในยุคที่เทคโนโลยีคอมพิวเตอร์เข้ามามีบทบาทสำคัญในการขับเคลื่อนธุรกิจและองค์กรทั่วโลก ระบบคอมพิวเตอร์ได้กลายเป็นหัวใจหลักของการดำเนินงานในสถาบันการเงิน อย่างไรก็ตาม ความก้าวหน้านี้ยังนำมาซึ่งความเสี่ยงและภัยคุกคามที่เพิ่มมากขึ้น ตั้งแต่การทุจริตในรูปแบบต่าง ๆ ไปจนถึงการโจมตีทางไซเบอร์ หนังสือ “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 3” นำเสนอเนื้อหาครอบคลุมตั้งแต่การวิเคราะห์ความเสี่ยง การควบคุมภายใน การป้องกันและจัดการกับอาชญากรรมทางคอมพิวเตอร์ ไปจนถึงการตรวจสอบเชิงเทคนิคด้วยคอมพิวเตอร์ หนังสือเล่มนี้ยังให้ตัวอย่างรูปแบบการทุจริตที่เกิดขึ้นจริง พร้อมกรณีศึกษาและแนวทางปฏิบัติที่สามารถนำไปใช้ได้ในองค์กร เพื่อให้ผู้อ่านเข้าใจถึงความสำคัญของการบริหารจัดการความเสี่ยงในยุคดิจิทัล และเสริมสร้างความมั่นคงให้กับระบบคอมพิวเตอร์ในองค์กรของตน

หนังสือการดำเนินงานและการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 3 ภาคคอมพิวเตอร์กับการทุจริต

คำนำ

  1. หนังสือชุด “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเดิมผมเคยประมาณไว้ว่าจะมี 3 เล่มด้วยกัน แต่เมื่อได้รวบรวมและเขียนเพิ่มเติมขึ้นมาใหม่ ก็พบว่ามีเรื่องที่เพิ่มเติมได้อีกหลายเรื่อง รวมทั้งการขยายและอธิบายความที่เคยเขียนในอดีตใหม่ ทําให้หนังสือชุดนี้จะมีอย่างน้อย 4 เล่ม โดยเฉพาะหนังสือเล่ม 3 นี้ มีเรื่องที่ได้เขียนเพิ่มเติมอีกจํานวนมาก เพราะมีความสําคัญที่น่าจะศึกษาโดยเฉพาะตัวอย่าง จุดอ่อนที่อาจจะเกิดการทุจริต รวมทั้งการทุจริตที่ได้เกิดขึ้นแล้ว
  2. จุดอ่อนของระบบงานในองค์กรที่ใช้คอมพิวเตอร์มีมากกว่าองค์กรที่ไม่ใช้คอมพิวเตอร์มาก ปัญหาการทุจริตส่วนใหญ่เกิดจากการจัดทําระบบงานที่ขาดความรอบคอบรัดกุม ไม่มีจุดควบคุมและไม่มีผู้ตรวจสอบที่มีประสิทธิภาพเพียงพอ และหรือขาดผู้บริหารที่สนใจด้านนี้
    ความเสียหายซึ่งเกิดขึ้นจากระบบงานมีจุดอ่อน อาจก่อให้เกิดความเสียหายให้กับองค์กรอย่างร้ายแรง และคาดไม่ถึง จนถึงขั้นไม่สามารถดําเนินการต่อไปได้ทีเดียว ทั้ง ๆ ที่องค์กรอาจไม่มีปัญหาด้านสภาพคล่อง ซึ่งเป็นเรื่องน่าพิจารณาเป็นอย่างยิ่ง สําหรับผู้บริหารที่ไม่ต้องการให้เกิดปัญหานี้กับองค์กรของตนเอง
  3. ธนาคารแห่งประเทศไทยมีหน้าที่กํากับและดูแลความมั่นคงของสถาบันการเงิน ซึ่งมีความสัมพันธ์กันอย่างใกล้ชิดกับความมั่นคงและเสถียรภาพทางเศรษฐกิจโดยรวมของประเทศ ดังนั้นการป้องกันปัญหาก่อนที่ปัญหาจะเกิดขึ้นกับสถาบันการเงิน จึงเป็นทั้งหน้าที่และวิธีการที่กล่าวได้ว่าเหมาะสม โดยเฉพาะอย่างยิ่งการให้ความรู้คําแนะนํา
    ในวิธีป้องกันปัญหาล่วงหน้ามากกว่าการให้คําแนะนําให้แก้ไขเมื่อเกิดปัญหาแล้ว
  4. การหาทางปรับปรุงแก้ไขและพัฒนางานให้มีประสิทธิภาพอยู่เสมอ ทั้งของธนาคารแห่งประเทศไทย และองค์กรอื่น ๆ ที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งการพัฒนาคนให้มีความรู้เท่าทันเทคโนโลยีใหม่ ๆ จึงเป็นที่มาของการเขียน รวบรวมและเรียบเรียงหนังสือชุดนี้ของผม โดยมีเป้าหมายที่สําคัญคือเพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย และสถาบันการเงินที่ธนาคารแห่งประเทศไทยเป็นผู้ดูแล โดยให้การศึกษา ค้นคว้า วิจัยงานด้านคอมพิวเตอร์ ซึ่งมีบทบาทสําคัญยิ่งต่อการพัฒนาระบบการบริหารสถาบันการเงินของไทยในปัจจุบันและในอนาคต
    เอกสารชุดนี้ จึงจัดทําขึ้นเพื่อแจกจ่ายให้ผู้ตรวจสอบ ส่วนกํากับสถาบันการเงินของธนาคารแห่งประเทศไทยเป็นหลัก และสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้งนี้เป็นไปตามแผนงานหนึ่งในจํานวน 19 แผนงาน ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
  5. การที่ผมได้รับมอบหมายจากธนาคารแห่งประเทศไทยให้รับผิดชอบและมีหน้าที่ในการศึกษา ค้นคว้า พัฒนางานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit) ในช่วงเวลาที่ผ่านมานั้น ผมได้เสนอและแนะนําให้ธนาคาร พาณิชย์ รวมทั้งผู้ตรวจสอบภายนอกของธนาคารพาณิชย์ให้ปฏิบัติในหลายเรื่อง ตามที่ปรากฏในบทที่ว่าด้วยเรื่อง “บทบาทของธนาคารแห่งประเทศไทยกับคอมพิวเตอร์” และ “Role of the bank of Thailand in Banking Computerization” นั้น ทําให้ผมต้องวางมือจากการเป็นผู้สอบบัญชีรับอนุญาตในทุกองค์กร ตั้งแต่ปี พ.ศ. 2524 จนกระทั่งปัจจุบัน (มกราคม 2540) และเข้าใจว่าจะวางมือจากการดําเนินการเป็นผู้สอบบัญชีรับอนุญาตจนกว่าจะออกจากธนาคารแห่งประเทศไทย ทั้งนี้เพราะการออกกฎเกณฑ์บางอย่างกระทบต่อบทบาท ความรู้ ความสามารถ และการเป็นผู้มีคุณสมบัติในการเป็นผู้สอบบัญชีของธนาคารและสถาบันการเงินนั่นเอง ดังนั้นเพื่อความโปร่งใส……ในเรื่องนี้ ผมจึงต้องทําตัวเป็นกลางดังกล่าว
  6. หนังสือชุดนี้ไม่มีการจําหน่ายในทุกรูปแบบ เพราะจัดทําขึ้นเพื่อให้การศึกษา ค้นคว้า และวิจัยอย่างแท้จริง โดยหนังสือชุดนี้ได้มาจากการศึกษา แปลและเรียบเรียงจากหนังสือของต่างประเทศเป็นส่วนใหญ่ โดยมีผู้ร่วมงานของผมจํานวนหนึ่งเป็นผู้ช่วยเหลือในฐานะที่เป็นผู้ร่วมงาน โดยมีผมเป็นผู้รับผิดชอบในการศึกษาพัฒนาการตรวจ สอบด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (Audit and Control In a Computerized Environment) ตามที่ธนาคารแห่งประเทศไทยได้มอบหมายตั้งแต่แรก
    อย่างไรก็ดีหนังสือเล่ม 3 นี้ มีเรื่องใหม่ ๆ ที่ไม่เคยหยิบยกขึ้นมาบรรยายก่อนหน้านี้จํานวนมาก ที่ได้จัดทําขึ้นใหม่ เพื่อเป็นบทเรียนของผู้ตรวจสอบและสถาบันการเงิน โดยเฉพาะอย่างยิ่งตัวอย่างของจุดอ่อน และการทุจริตที่อาจเกิดขึ้นได้จริง ๆ ถ้าหากไม่มีการป้องกันให้เพียงพอ
  7. หนังสือเล่มนี้ได้เน้นถึงเรื่องคอมพิวเตอร์กับการทุจริต มิได้เป็นการชี้โพรงให้กระรอกแต่อย่างใดทั้งสิ้น แต่หากผู้บริหารงานมีความสนใจเรื่องนี้ และมีความเข้าใจเรื่องนี้น้อยกว่าผู้ต้องการทุจริตที่มีความสามารถ โดยมีความ เข้าใจในจุดอ่อนและมีโอกาสที่จะทุจริตได้แล้ว ผู้บริหารคงต้องทบทวนตนเองด้วยว่าองค์กรควรจะแก้ไขตรงจุดใด
  8. การนําคอมพิวเตอร์เข้ามาช่วยในการปฏิบัติงานและให้บริการแก่ลูกค้าประชาชนอย่างแพร่หลายในปัจจุบัน ซึ่งได้เพิ่มประสิทธิภาพแก่องค์กรเป็นอย่างมาก แต่ก็ได้มีการนําเทคโนโลยีเหล่านี้ไปใช้ในทางที่ไม่สุจริตไม่ใช่น้อย และนับวันจะทวีความซับซ้อนขึ้นทุกขณะ ทําให้องค์กรได้รับผลกระทบและความเสียหายมหาศาลภายในเวลาอันรวดเร็ว ซึ่งความเสียหายบางอย่างไม่สามารถวัดได้ด้วยมูลค่าทางการเงิน ดังตัวอย่างที่ได้เกิดขึ้นแล้วทั้งในและต่างประเทศเป็นจํานวนไม่น้อย แต่มักไม่ถูกเปิดเผยเพราะองค์กรเกรงว่าจะมีผลกระทบต่อชื่อเสียงและความน่าเชื่อถือของตน
    อย่างไรก็ดี ปัจจุบันกรมตํารวจได้ตระหนักถึงปัญหาดังกล่าว และเพื่อเป็นการเตรียมความพร้อมใน การแก้ไขปัญหาอาชญากรรมที่เกี่ยวข้องกับคอมพิวเตอร์และเทคโนโลยีชั้นสูงต่อไป กรมตํารวจจึงได้จัดการฝึกอบรมหลัก สูตร “สภาพปัญหาและแนวโน้มอาชญากรรมคอมพิวเตอร์” (Computer – Related Crime Issues and Trend) ขึ้นระหว่างวันที่ 24 – 29 พฤศจิกายน 2539 ณ โรงแรมแอมบาสซาเดอร์ซิตี้จอมเทียน อ.สัตหีบ จ.ชลบุรี ตาม โครงการความร่วมมือและแลกเปลี่ยนทางวิชาการ ระหว่างกรมตํารวจกับมหาวิทยาลัยมิชิแกนสเตท สหรัฐอเมริกา (Michigan State University School of Criminal Justice) โดยเชิญวิทยากรและผู้เชี่ยวชาญพิเศษมาบรรยาย อาทิ ศาสตราจารย์ที่สอนเกี่ยวกับอาชญากรรมคอมพิวเตอร์ นักสืบตํารวจฟลอริด้า โคลัมบัส และสารวัตรสืบสวนตํารวจ นครบาลกรุงลอนดอน ที่สืบสวนเกี่ยวกับอาชญากรรมคอมพิวเตอร์ และอาชญากรรมข้ามชาติ ทั้งนี้ผู้เข้าร่วมสัมมนาส่วนใหญ่เป็นนายตํารวจชั้นผู้ใหญ่ที่เกี่ยวข้อง นอกจากนี้ยังมีผู้แทนส่วนราชการ เช่น ธนาคารแห่งประเทศไทย ศูนย์เทคโนโลยีอิเลกทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) กรมทรัพย์สินทางปัญญา และสํานักงานกฤษฎีกา เป็นต้น ที่ได้รับเชิญให้เข้าร่วมสัมมนาด้วย เพื่อประโยชน์ในการร่วมมือและประสานงานในการป้องกันและปราบปรามอาชญากรรมคอมพิวเตอร์ในประเทศไทยต่อไป
  9. จากการตื่นตัวของกรมตํารวจในแนวโน้มอาชญากรรมคอมพิวเตอร์โดยการจัดสัมมนาดังกล่าวนั้น นับว่าเป็นเรื่องที่ดีในการเตรียมพร้อมดังกล่าว อย่างไรก็ดี ผมได้มีโอกาสพูดคุยกับนายตํารวจชั้นผู้ใหญ่บางท่าน ก็ได้รับฟังความเห็นและความในใจว่า เรื่องอาชญากรรมคอมพิวเตอร์น่าสนใจมาก แต่น่าเสียดายที่ผู้ที่เกี่ยวข้องจํานวนไม่น้อยไม่มีพื้นฐานทางด้านการบริหารการดําเนินงาน การควบคุมภายใน และระบบงาน ตลอดจนไม่ค่อยเข้าใจถึงจุดอ่อน การวิเคราะห์จุดอ่อนและกระบวนการปฏิบัติงานด้านคอมพิวเตอร์ ที่เป็นพื้นฐานของการทําความเข้าใจเพื่อประโยชน์ต่อการสืบสวน สอบสวน ที่จะสาวไปถึงการทําอาชญากรรมด้านคอมพิวเตอร์ได้ดีเท่าที่ควร
    เรื่องนี้ผมมีความเห็นว่า ทางการน่าจะจัดให้มีการอบรมความรู้เกี่ยวกับคอมพิวเตอร์พื้นฐาน ตลอดจนการควบคุมภายใน การตรวจสอบที่ต้องรู้พื้นฐานของความเสี่ยง จุดอ่อนต่าง ๆ ด้านคอมพิวเตอร์ให้เพียงพอ มิฉะนั้นการสืบสวนสอบสวนอาชญากรรมทางด้านคอมพิวเตอร์ หรือเกี่ยวกับคอมพิวเตอร์จะทําได้ไม่สะดวกเลย
  10. ปัจจุบันมีหลายองค์กรได้จัดให้มีการอบรม หรือการสัมมนาคอมพิวเตอร์กับการทุจริตปีละหลาย ๆ ครั้ง และทุกครั้งมีผู้สนใจเข้าฟังกันเป็นจํานวนมากเสมอ แสดงถึงความตื่นตัวขององค์กรต่าง ๆ ต่อการป้องกันภัยจากคอมพิวเตอร์ที่เหมาะสมได้ประการหนึ่ง
  11. ตัวอย่างหลากหลายที่ท่านจะได้พบจากหนังสือเล่มนี้ ไม่อาจตรวจพบตามปกติได้เป็นส่วนใหญ่ ถ้าไม่
    มีการสร้างเป้าหมาย ขอบเขต กําหนดวิธีการตรวจสอบ ตลอดจนการใช้คอมพิวเตอร์เข้าช่วยตรวจสอบที่เหมาะสมในช่วงเวลาที่สมเหตุสมผล รวมทั้งการใช้บุคลากรที่มีความพร้อมในระดับหนึ่งได้ การศึกษาแนวทางการตรวจสอบด้านคอมพิวเตอร์ หรือการศึกษาแนวทางการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ รวมทั้งการใช้คําถามที่ผู้ตรวจสอบควรทราบอย่างเหมาะสม เช่น การตั้งคําถามว่า “What can go wrong” หรือการคาดคะเนข้อผิดพลาด หรือจุดอ่อน ที่มีนัยสัมพันธ์ที่อาจเกิดขึ้นในแต่ละกระบวนการปฏิบัติงาน ทั้งในแบบ Manual และในแบบ Automated ในส่วนที่เกี่ยวข้องทั้งเรื่อง “องค์กร” (Data Center) และเรื่อง “งาน” (Application) ซึ่งเกิดจากความเข้าใจที่ถ่องแท้ของผู้ตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์แล้ว จะช่วยให้พบจุดอ่อนที่คาดไม่ถึงได้มาก ซึ่งจะเป็นหนทางป้องกันปัญหาต่าง ๆ ได้ก่อนที่ความเสียหายจะเกิดขึ้น
  12. ผมได้เคยบรรยายเรื่อง “คอมพิวเตอร์กับการทุจริต” ให้กับองค์กรต่าง ๆ หลายครั้ง รวมทั้งสถาบันที่จัดให้มีการอบรมเรื่องนี้ โดยเฉพาะอย่างยิ่งได้เคยบรรยายร่วมกับ Mr. August Beguai ผู้แต่งหนังสือเรื่อง Cumputer Crime จากประเทศสหรัฐอเมริกา ทุกครั้งมีผู้สนใจรับฟังมากและเรื่องที่ผู้ฟังสนใจมากที่สุด คือ วิธีทุจริตและตัวอย่างเกี่ยวกับการทุจริตต่าง ๆ ที่ได้เกิดขึ้นจริงทั้งในประเทศและต่างประเทศ ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่ผมดูแลสถาบันการเงินต่าง ๆ ทั้ง 19 จังหวัด ก็มีหลายจังหวัดที่ประสบปัญหาการทุจริตด้านคอมพิวเตอร์ แต่ส่วนใหญ่เป็นการทุจริตในลักษณะการใช้ “Off-line” โดยเปลี่ยนข้อมูลใน Report ต่าง ๆ เมื่อผู้บริหารนําไปใช้ตัดสินใจจึงเกิดความเสียหายขึ้น ซึ่งต่างกับการทุจริตที่กรุงเทพฯ ที่มักทุจริตโดยใช้วิธีการแบบ “On-line” โดยผู้ทุจริตอาศัยความเข้าใจในระบบงานและรู้จุดอ่อนเป็นสําคัญ
  13. การตรวจสอบด้านคอมพิวเตอร์ที่ได้ผล จึงเป็นการตรวจสอบ Before the fact นั่นคือการตรวจสอบ และให้คําแนะนําในเชิงป้องกันก่อนที่ปัญหาจะเกิดขึ้นจริง ๆ ให้ต้องทําการแก้ไข การตรวจสอบลักษณะนี้จะช่วยผู้บริหาร และช่วยให้องค์กรสามารถออกระเบียบ กฎเกณฑ์ต่าง ๆ มาใช้ได้อย่างเหมาะสม และลดการทุจริตได้มาก เพราะการ ทุจริตเกิดจากสาเหตุใหญ่ ๆ 3 ประการ คือ
    13.1 มีผู้ทุจริตหรือผู้ไม่หวังดีต่อองค์กร
    13.2 องค์กรมีจุดอ่อนในระบบงานและการควบคุมภายใน 13.3 ผู้ปฏิบัติงานที่มีความสามารถมีโอกาสที่จะทุจริตได้
    หากจะเพิ่มเหตุผลอีกข้อหนึ่งก็น่าจะไม่ผิด นั่นคือผู้บริหาร ผู้สอบบัญชีทั้ง External Auditor และ Internal Auditor ขาดประสบการณ์ทั้งด้านการบริหาร การตรวจสอบ และไม่อาจให้คําแนะนําในเชิงป้องกันปัญหาที่จะเกิดกับองค์กรได้ล่วงหน้าและมีประสิทธิภาพ ซึ่งส่วนใหญ่เกิดจากผู้ตรวจสอบไม่เข้าใจ “องค์กร” และ “งาน” ที่ตรวจสอบ รวมทั้งความเสี่ยงต่าง ๆ ที่เกี่ยวข้องอย่างเพียงพอ หรือมองข้ามจุดที่ควรมีการควบคุม นั่นก็คือกิจกรรมที่ก่อ ให้เกิดความเสี่ยงได้นั่นเอง
    ถ้าหากผู้บริหารระดับสูงได้เข้าใจ “กิจกรรม” ที่ก่อให้ “ความเสี่ยง” ในองค์กรที่ใช้คอมพิวเตอร์ จะช่วยป้องกันปัญหาจากการทุจริตได้มาก “ความเสี่ยง” ไม่ได้หมายความถึงการทุจริตเท่านั้น แต่มีความหมายอีกหลายอย่างตามที่ได้กล่าวในสองเล่มแรกมาแล้ว
    อย่างไรก็ดี ผู้ที่ทําการทุจริตทุกประเภท ถึงแม้จะประสบความสําเร็จในระยะแรก ๆ ซึ่งอาจซ่อนเร้นความผิดได้หลายปีก็ตาม แต่ในท้ายที่สุดแล้วองค์กรจะจับการทุจริตได้ในที่สุด ดังนั้นจึงขอให้ผู้ที่จะคิดทุจริตโปรดเลิก
    ความคิดและการกระทําดังกล่าวได้
  14. หากท่านผู้อ่านใคร่จะทบทวนแนวคิด ตลอดจนวิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งในความหมายนี้คลุมไปหมดทั้งเรื่อง Financial Audit และ Computer Audit หรือ IS Audit ซึ่งการตรวจสอบทั้ง 2 เรื่อง มีความสัมพันธ์กันอย่างใกล้ชิด เพราะการตรวจสอบ Financial Audit ก็คงต้องพิจารณา Computer Audit ด้วยในฐานะที่องค์กรยุคใหม่ได้นําคอมพิวเตอร์มาใช้ในการปฏิบัติงาน และการควบคุมภายในแล้วทั้งสิ้น ท่านอาจดูข้อสรุปในเล่มนี้ในบทที่เกี่ยวข้องกับการตรวจสอบการทุจริตได้
    นอกจากนี้ในเล่มที่ 4 ของหนังสือชุดนี้ ผมได้จัดทําบทกรณีศึกษาการตรวจสอบทั้งทางด้าน Data Center และ Application ที่น่าสนใจ โดยส่วนใหญ่ได้แนวความคิดและประสบการณ์จากการตรวจสอบด้านภาคปฏิบัติจริง ๆ กรณีศึกษาจะมีบทแนวคําตอบให้ผู้ตรวจสอบได้ติดตามศึกษาด้วย ทั้งนี้เป็นการทบทวนความเข้าใจของผู้ตรวจสอบได้ระดับหนึ่ง อย่างไรก็ดีกรณีศึกษาดังกล่าวจะมีประโยชน์มากยิ่งขึ้น ถ้าหากผู้ตรวจสอบจะพิจารณาหาแนวคําตอบก่อนที่จะได้ดูบทเฉลยที่เป็นแนวคําตอบจริง ๆ ต่อไป
  15. หนังสือชุดนี้ทั้ง 4 เล่ม มีเลขที่ของ ISBN อยู่ด้วย ทั้ง ๆ ที่มีการพิมพ์จํานวนน้อยมาก ทั้งนี้ก็เพื่อใช้ในการศึกษาตามที่เคยกล่าวแล้ว แต่การมีเลขที่ ISBN ด้วยก็เพื่อให้ใช้เป็นที่อ้างอิงสําหรับผู้อ่าน เมื่อหนังสือนี้ อยู่ในห้องสมุดของธนาคารแห่งประเทศไทย ที่มีระบบการอ้างอิงเอกสารที่ทันสมัยแล้วเท่านั้น
  16. การจัดทําหนังสือชุดนี้ ผมคาดการณ์ผิดหลายประการ นั่นคือ ผมใช้เวลามากกว่าที่คาดไว้แต่เดิมมากมาย จากการจัดทําข้อมูลเพิ่มเติมโดยเฉพาะเล่ม 3 และเล่ม 4 และต้องพิสูจน์ตัวอักษรในบางส่วน พร้อมทําความเข้าใจกับเพื่อนร่วมงานที่ทําหน้าที่พิสูจน์ตัวอักษรไปพร้อมกับอธิบายเรื่องที่เกี่ยวข้อง เพราะมีความสับสนในการพิมพ์ด้วย
    อย่างไรก็ดีเวลาส่วนใหญ่หรือแทบทั้งหมดนี้ผมได้ใช้เวลานอกทําการตามปกติของธนาคาร
    ผมบังเอิญได้ไปอ่านศัพท์คอมพิวเตอร์ในห้องสมุดของสาขาภาคฯ ในช่วงเพียงวันหนึ่งได้พบกับศัพท์ที่น่าสนใจมาก และมีความหมายตลอดจนความสําคัญอย่างยิ่งต่อท่านผู้อ่านหรือท่านผู้ตรวจสอบ โดยเฉพาะผู้ที่จะเป็น EDP Auditor หรือ IS Auditor หรือ IS Examiner ก็ตามนั่นคือการแปลคําศัพท์ของคําว่า “Computer audit จากพจนานุกรมศัพท์คอมพิวเตอร์หลายเล่มได้ให้ความหมายต่างกันเช่น :-
    บางเล่มแปลคํานี้ว่า “การตรวจสอบบัญชีด้วยคอมพิวเตอร์” บางเล่มแปลคํานี้ว่า “การตรวจสอบระบบคอมพิวเตอร์” บางเล่มไม่ได้ให้ความหมายของคํา ๆ นี้ไว้
    ผมรู้สึกหนักใจแทนท่านผู้อ่าน และท่านผู้ตรวจสอบที่กําลังทําความเข้าใจในเรื่องการตรวจสอบ Computer Audit หรือ IT, IS Audit เพราะคําว่า Computer Audit นี้ความหมายที่น่าจะถูกต้องและฟังเข้าใจได้ดีกว่า การตรวจสอบด้านคอมพิวเตอร์ ซึ่งแบ่งการตรวจสอบออกเป็น 2 ส่วนใหญ่ ๆ ได้แก่
    ก) การตรวจสอบการบริหารองค์กรทางการด้านคอมพิวเตอร์หรือศูนย์คอมพิวเตอร์ (Data center) ซึ่งเป็นการตรวจสอบ General Controls กับ
    ข) การตรวจสอบ “งาน” หรือ Application audit ซึ่งเป็นการตรวจสอบงานแต่ละประเภทแต่ละหน่วยงานขององค์กร เช่น งานด้านเงินฝาก ส่วนงานด้านเงินกู้ งานด้านสินค้าคงคลัง การซื้อ การขาย ฯลฯ ซึ่ง จะเน้นการตรวจทางด้าน Input, Processing และ Output ของแต่ละงาน (Application) ที่เกี่ยวข้องกับงานการตรวจสอบทั้ง 2 ด้าน ซึ่งเป็นเรื่อง Computer Audit นี้ เป็นงานใหม่เพิ่มเติมจากการตรวจสอบตามปกติ ซึ่งในระบบบัญชีที่ทําด้วย Manual แบบดั้งเดิมไม่มี
    ดังนั้นการแปลคําว่า Computer Audit ตามพจนานุกรมศัพท์คอมพิวเตอร์บางเล่มว่าเป็นการตรวจสอบบัญชีด้วยคอมพิวเตอร์ น่าจะมีความหมายเพียงการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ หรือเป็น Computer Assisted Audit Technique อย่างหนึ่ง มากกว่าเป็นการตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) จริง ๆ แล้ว ในขณะนี้บางเล่มแปลว่าการตรวจสอบระบบคอมพิวเตอร์ ซึ่งการแปลเช่นนี้มีความหมายที่ใกล้เคียงกับความหมายที่ผมคิดว่าน่าจะถูกต้องคือ “การตรวจสอบด้านคอมพิวเตอร์” แต่คําว่าการตรวจสอบระบบคอมพิวเตอร์ อาจทําให้ผู้อ่านเข้าใจผิดว่า เป็นการตรวจสอบทางด้าน System ของคอมพิวเตอร์ หรือเป็นแต่เพียงการตรวจสอบระบบงานใดระบบงานหนึ่ง หรือหลายระบบที่ใช้คอมพิวเตอร์ในการประมวลงาน ซึ่งตรงกับคําภาษาอังกฤษว่า “Application Audit” โดยเป็นส่วนหนึ่งของการตรวจสอบทางด้าน Computer Audit ตามที่กล่าวแล้วเท่านั้น หรืออาจมีผู้อ่านบางท่านเข้าใจไขว้เขวไปได้ว่า “เป็นการตรวจสอบระบบคอมพิวเตอร์” ตามคําแปลล้วน ๆ เพียงอย่างเดียวก็ได้ และเข้าใจเช่นนี้ จะคลาดเคลื่อนจากความหมายของคําว่า Computer Audit ตามที่ผมกล่าวในตอนแรก ๆ แล้วว่า การตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) หรือ IS Audit เป็นการตรวจสอบในลักษณะ Total System Approach นั่นคือการตรวจสอบ การบริหารงานและการประมวลงาน ตั้งแต่การพัฒนาระบบงานการนําข้อมูลเข้า การประมวลผล จนกระทั่งได้ข้อมูลผลลัพธ์ ทั้งในส่วนที่เป็น Manual ส่วนที่เป็น Automated และส่วนผสมของทั้ง 2 แบบ รวมทั้งการใช้ผลลัพธ์จากการประมวลผล ตลอดจนถึงการจัดทําเอกสารประกอบระบบงาน ส่วนกระบวนการตรวจสอบ เทคนิคการตรวจสอบ หลักฐานการตรวจสอบ การจัดดูรายงานจะขึ้นอยู่กับเป้าหมายและขอบเขตการตรวจสอบเป็นสําคัญ ดังนั้นขอได้โปรดศึกษาและทบทวนความหมายและวัตถุประสงค์ในการตรวจสอบ IS Audit ให้ถ่องแท้ก่อนด้วย หวังว่าคําอธิบายในข้อนี้จะช่วยทําความเข้าใจในเรื่องการตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) ได้บ้างส่วนพอสมควร เพราะหากท่านผู้อ่านเกิดความเข้าใจที่คลาดเคลื่อนแล้ว การศึกษาการบริหารงาน และการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จะเกิดความสับสนเป็นอย่างยิ่ง ดังนั้น จึงควรทราบว่า การใช้ภาษาไทยในเรื่องของการตรวจสอบด้านคอมพิวเตอร์ มีคําศัพท์ที่ใช้คล้าย ๆ กันหลายคํา แต่มีความหมายแตกต่างกันอย่างมีนัยสําคัญมาก สําหรับคําว่า “การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ก็มีความหมายหลัก ๆ ได้ 2 อย่างคือ การตรวจสอบด้าน IS Audit และ/หรือ Financial Audit ซึ่งขึ้นอยู่กับวัตถุประสงค์ของการตรวจสอบ อย่างไรก็ดี หากเป็นการตรวจสอบ Financial audit ก็หนีไม่พ้นต้องทําการตรวจสอบทางด้าน IS Audit ซึ่งอยู่ในกระบวนการต้น ๆ ของการตรวจสอบ นั่นคือ การศึกษาและทําความเข้าใจในระบบงานขององค์กรที่ตรวจสอบก่อนเสมอ (โปรดดูหน้า 30)
  17. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตในหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้ง สําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทยสาขาภาคตะวันออกเฉียงเหนือในปัจจุบัน ที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

เมธา สุวรรณสาร
ผู้อํานวยการธนาคารแห่งประเทศ สาขาภาคตะวันออกเฉียงเหนือ
30 มกราคม 2540

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3” ภาคคอมพิวเตอร์กับการทุจริต สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 4” ซึ่งเป็นเล่มสุดท้ายในชุดหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ จะเป็นภาคคอมพิวเตอร์กับแผนฉุกเฉิน ผมจะเผยแพร่ในโพสต์ต่อไปนะครับ

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3Download

This entry was posted on วันอังคารที่ 14 มกราคม 2025 at 4:03 pm and is filed under CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

ใส่ความเห็น