หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 4

มกราคม 27, 2025

หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 4 ภาคคอมพิวเตอร์กับแผนฉุกเฉิน (และกรณีศึกษา)

เทคโนโลยีและระบบคอมพิวเตอร์มีบทบาทสำคัญต่อการดำเนินธุรกิจในปัจจุบัน การจัดการความเสี่ยงและการเตรียมพร้อมรับมือกับเหตุฉุกเฉินกลายเป็นหัวใจสำคัญขององค์กร โดยเฉพาะในสถาบันการเงินที่ความต่อเนื่องในการดำเนินงานมีความสำคัญสูงสุด หนังสือ การดำเนินงานและการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 4 นี้ มุ่งเน้นเรื่อง “คอมพิวเตอร์กับแผนฉุกเฉิน” ซึ่งครอบคลุมเนื้อหาตั้งแต่การวางแผนฉุกเฉิน (Contingency Plan) ไปจนถึงกรณีศึกษาที่สามารถประยุกต์ใช้ได้จริง

ด้วยการผสมผสานประสบการณ์จริงจากภาคสนามและแนวคิดเชิงวิเคราะห์ หนังสือเล่มนี้จึงเหมาะสำหรับทั้งผู้บริหาร ผู้พัฒนาระบบงาน และผู้ตรวจสอบทุกระดับ เพื่อสร้างความเข้าใจในหลักการบริหารความเสี่ยงที่ทันสมัย พร้อมแนวทางการป้องกันปัญหาที่อาจเกิดขึ้น ก่อนที่ปัญหาจะลุกลามจนส่งผลกระทบต่อองค์กร

นอกจากการอธิบายถึงแนวทางการวางแผนฉุกเฉิน เช่น Emergency Plan, Recovery Plan และการสร้างระบบสำรอง (Backup System) แล้ว หนังสือยังได้เน้นถึงความสำคัญของการตรวจสอบและควบคุมความเสี่ยงในระบบคอมพิวเตอร์ ซึ่งเป็นประเด็นที่มีผลกระทบโดยตรงต่อเสถียรภาพทางการเงินและความเชื่อมั่นขององค์กร

หนังสือเล่มนี้จึงไม่ใช่แค่คู่มือ แต่เป็นแหล่งข้อมูลที่สร้างความตระหนักรู้และเป็นแรงบันดาลใจให้กับผู้อ่านทุกคนที่เกี่ยวข้องกับการพัฒนาหรือการตรวจสอบระบบงานคอมพิวเตอร์ เพื่อร่วมกันสร้างมาตรฐานและความมั่นคงให้กับองค์กรในยุคที่เทคโนโลยีเป็นสิ่งขับเคลื่อนสำคัญ

คำนำ

  1. หนังสือเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ทั้ง 4 เล่มนี้จะสมบูรณ์ ไปไม่ได้ ถ้าไม่มีเรื่องแผนปฏิบัติงาน และปรับปรุงแก้ไขเมื่อเกิดเหตุฉุกเฉิน (Contingency Plan) เพราะการดําเนินงาน ขององค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่งสถาบันการเงินต่าง ๆ อาจหยุดชะงักการให้บริการได้ ถ้าไม่มี Contingency Plan ตามที่มีรายละเอียดในหนังสือเล่มนี้
    ตัวอย่างในเรื่องนี้มีมากครั้ง โดยเฉพาะที่เกิดในประเทศไทยของเราเอง แต่ส่วนใหญ่ไม่ได้เป็นข่าวใหญ่มากนัก ทั้ง ๆ ที่การหยุดชะงักการใช้บริการของสถาบันการเงิน มีลักษณะเสมือนหนึ่งสถาบันการเงินขาดสภาพคล่อง ซึ่งเป็นเรื่องที่สําคัญมาก ทั้ง ๆ ที่องค์กรมิได้มีปัญหานี้แต่อย่างใด เมื่อปลายเดือนพฤษภาคม 2540 ก็เกิดปัญหาเครื่องคอมพิวเตอร์ขององค์กรที่สําคัญแห่งหนึ่งที่กรุงเทพฯ เกิดขัดข้องและหยุดการดํานินการเกือบทั้งวัน ทั้ง ๆ ที่องค์กรนั้น มี second site back up ในระดับหนึ่งที่มีความสามารถในการ back up อย่างจํากัด ซึ่งก่อให้เกิดความเดือดร้อนและมีปัญหาตามมาหลายประการต่อประชาชนผู้ที่ต้องใช้บริการจากองค์กรนั้นจํานวนมาก
  2. มีถ้อยคําที่ท่านผู้อ่านควรทําความเข้าใจอยู่ 3 คําด้วยกันคือ แผนปฏิบัติงานและปรับปรุงแก้ไขเมื่อเกิดเหตุฉุกเฉิน (Contingency Plan) หมายถึง แผนงานที่จัดทําไว้เพื่อใช้เป็นแนวทางในการกําหนดมาตรการรักษาความ ปลอดภัย และป้องกันความเสียหายจากเหตุฉุกเฉิน หรือภัยพิบัติต่าง ๆ ที่อาจมีผลกระทบต่อการดําเนินงานและการให้บริการตามปกติขององค์กรที่ใช้คอมพิวเตอร์ รวมทั้งแผนปฏิบัติงานและปรับปรุงแก้ไข หรือกําหนดวิธีการอื่นใดที่จะทดแทนการหยุดทํางานของระบบงานคอมพิวเตอร์ เพื่อให้องค์กรที่ใช้คอมพิวเตอร์สามารถดําเนินการและให้บริการได้อย่างต่อเนื่องตามปกติ ซึ่งประกอบด้วยแผนย่อย ดังนี้
    2.1 แผนปฏิบัติงานเมื่อเกิดเหตุฉุกเฉิน (Emergency Plan)
    หมายถึง แผนการรักษาความปลอดภัยและขั้นตอนปฏิบัติงานเมื่อเกิดเหตุฉุกเฉินหรือภัยพิบัติต่าง ๆ เพื่อป้องกันความเสียหายที่อาจมีผลกระทบต่อการดําเนินงานและการให้บริการด้วยระบบงานคอมพิวเตอร์ตามปกติของสถาบันการเงินหรือองค์กรที่ใช้คอมพิวเตอร์
    2.2 แผนปรับปรุงแก้ไขระบบงานคอมพิวเตอร์ (Recovery and Disaster Plan)
    หมายถึง แผนปฏิบัติงานสําหรับใช้ดําเนินการแก้ไขระบบงานคอมพิวเตอร์ของสถาบันการเงิน หรือองค์กรที่ใช้คอมพิวเตอร์ที่ขัดข้องหรือเสียหายไม่สามารถใช้งานได้ ให้กลับสภาวะปกติในเวลาอันควร รวมทั้งกําหนดวิธีการอันที่ใช้ทดแทนการหยุดทํางานของระบบงานคอมพิวเตอร์
    2.3 ระบบคอมพิวเตอร์สํารอง (Back up)
    หมายถึง การจัด หรือจัดทําระบบสํารองของเครื่องคอมพิวเตอร์อุปกรณ์ประกอบระบบคอมพิวเตอร์ และระบบงานคอมพิวเตอร์ เพื่อใช้ทดแทนการทํางานเมื่อระบบคอมพิวเตอร์ที่ใช้งานตามปกติขัดข้องหรือเสียหายใช้การไม่ได้
  3. การรวบรวมและเรียบเรียงหนังสือทั้ง 4 เล่ม ใช้เวลาไม่น้อย ทั้ง ๆ ที่หนังสือดังกล่าวเกิดจากการรวบรวม เรื่องราวที่ผมได้แจกเป็นเอกสารประกอบการบรรยาย และจากการศึกษาให้กับสถาบันต่าง ๆ ในอดีต ตามที่กล่าวไว้แล้วในเล่มก่อน ๆ อย่างไรก็ดี การพิมพ์ใหม่ทําให้ต้องใช้เวลาตรวจทาน รวมทั้งเขียนเรื่องเพิ่มเติมโดยเฉพาะในเล่มที่ 3 ค่อนข้างมาก และเล่มที่ 4 ซึ่งเป็นเล่มที่ผมพิจารณาว่าน่าจะเป็นประโยชน์ต่อผู้ที่สนใจไม่ว่าจะเป็นผู้บริหาร ผู้พัฒนา ระบบงาน และผู้ตรวจสอบทุกประเภท เพราะส่วนใหญ่ในเรื่องที่เกี่ยวกับตัวอย่างจุดอ่อนในระบบงานด้านคอมพิวเตอร์ ไม่ได้เกิดจากการแปลหรือเรียบเรียงจากหนังสือต่างประเทศตามปกติเท่านั้น แต่ได้ผสมผสานแง่คิดหลาย ๆ ประการ ทั้งในภาคสนามและประสบการณ์ที่ผู้ที่เกี่ยวข้องสามารถประยุกต์ใช้เป็นแนวทางป้องกันจุดอ่อน รวมทั้งการทุจริตได้ล่วงหน้าก่อนปัญหาจะเกิดขึ้นจริง ดังที่เคยกล่าวแล้วว่า “Point to the problem before it points to us” นั่นคือ ผู้บริหารควรเข้าใจและรู้ถึงประเด็นปัญหาที่อาจเกิดขึ้นกับองค์กร แล้วหาทางแก้ไขก่อนที่ปัญหานั้นจะกลับมาทําความเสียหายให้องค์กรของตนเอง
  4. หนังสือเล่มแรก ๆ ที่ได้แจกจ่ายไปนั้นมีผู้สนใจหลายราย ได้อ่านแล้วโทรศัพท์มาสอบถาม และขอแลกเปลี่ยนทัศนะกับผมด้วย รวมทั้งขอให้ผมลงประวัติของตัวเองไว้ให้ผู้อ่านได้ทราบพื้นฐาน เพื่อจะได้ใช้ประโยชน์ใน
    การศึกษาและแลกเปลี่ยนข้อมูลที่น่าสนใจจากการปฏิบัติงานภาคสนาม ซึ่งผมก็ได้ทําตามคําแนะนําของท่านผู้อ่านแล้ว ดังปรากฏข้อมูลในตอนท้ายของเล่มนี้แล้ว
  5. หนังสือเรื่องนี้ทั้ง 4 เล่ม อาจสรุปให้ชัดเจนได้ไม่ง่ายนัก เพราะขึ้นกับว่าท่านอยู่ในฐานะอย่างไรในองค์กร กล่าวคือท่านเป็นผู้บริหาร หรือผู้พัฒนาระบบงานหรือผู้ตรวจสอบ และเป็นผู้ตรวจประเภทใด ดังนั้นพื้นฐานก็คงจะอยู่ กับตัวแปรดังกล่าวเป็นสําคัญ รวมทั้งมาตรฐานขององค์กรที่เกี่ยวข้องด้วย เพราะในทางปฏิบัติมีแนวการพิจารณาในเรื่องนี้แตกต่างกันมาก ในแต่ละองค์กรหรือแม้แต่องค์กรเดียวกัน ในแต่ละหน่วยงานที่เกี่ยวข้อง แต่สิ่งหนึ่งที่ควรจะเหมือนกันหรือคล้ายกันก็คือ ความรู้ ความตั้งใจจริง และความเข้าใจ ในแนวทางปฏิบัติของผู้บริหารในสภาวะแวดล้อมขององค์กรที่ใช้คอมพิวเตอร์ ที่ได้เปลี่ยนแปลงไปมากมาย จากการพัฒนาเทคโนโลยีที่ไม่หยุดยั้ง และมีผลกระทบต่อความเสี่ยง วิธี การควบคุม วิธีการตรวจสอบ และทักษะของผู้ตรวจสอบที่เกี่ยวข้องอยู่ตลอดเวลา และที่สําคัญที่สุดก็คือการที่คอมพิวเตอร์ มีผลกระทบต่อแนวทางการตรวจสอบ หลักฐานการตรวจสอบ ฯลฯ และความน่าเชื่อถือได้ของข้อมูลทางการเงิน ที่ใช้ในการตรวจสอบฐานะที่แท้จริงของสถาบันการเงิน ที่ผู้บริหารในองค์กรที่ใช้คอมพิวเตอร์ทุกแห่งควรให้ความสนใจ
  6. หนังสือชุดนี้เป็นส่วนหนึ่งของการดําเนินงานที่เป็นผลจากการวิเคราะห์จุดอ่อน จุดแข็ง โอกาสและอุปสรรค (SWOT) ของการปฏิบัติงานโดยธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ หนังสือทั้ง 4 เล่ม จึงเป็น Action Plan แผนหนึ่งจาก 19 แผนงานของสาขาภาคฯ ซึ่งเกิดจากการตั้งเป้าหมายที่จะพัฒนาความรู้ใน ด้านการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ให้กับผู้ตรวจสอบของส่วนกํากับสถาบันการเงิน และธนาคาร
    พาณิชย์ รวมทั้งสถาบันการเงินอื่น ๆ ที่อยู่ภายใต้การดูแลของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือโดยรวม และพิจารณาเป็นส่วนหนึ่งของการเสวนาเชิงปฏิบัติการระหว่างหน่วยงานทั้ง 2 ด้วย
    การดําเนินการของธนาคารแห่งประเทศไทยดังกล่าว เป็นการป้องกันปัญหาล่วงหน้าที่อาจเกิดขึ้นกับสถาบันการเงิน ดังรายละเอียดปรากฏในหนังสือชุดนี้แล้ว
  7. จากการที่ผ่านมาผมมีโอกาสเป็นผู้แทนของไทยไปร่วมการประชุมที่องค์กรสหประชาชาติ (UN) ที่ New York ในปี 2532 เรื่อง Draft Model Law on International Credit Transfers ซึ่งเดิมใช้ชื่อว่า Model Rules on Electronic Funds Transfer การเปลี่ยนแปลงชื่อเรื่องดังกล่าวก็เพื่อให้ครอบคลุมร่างกฎหมายการโอนเงินทั้งทาง อิเล็กทรอนิกส์และการโอนเงินแบบธรรมดา (ถ้ามี) ได้ หนังสือเล่ม 4 นี้จึงมีภาคผนวกที่เกี่ยวข้องรวบรวมไว้ให้ท่านผู้อ่านได้อ่านในเรื่องนี้โดยสังเขป
  8. ในภาคผนวกของเล่มนี้ ได้เรียบเรียงความเห็นเกี่ยวกับการร่างแนวทางกฎหมายการโอนเงินทางอิเล็กทรอนิกส์ในช่วงที่ผมและคณะได้ศึกษากันมานานพอสมควร รวมทั้งความเป็นมาของการประชุมร่างกฎหมายดังกล่าว และการศึกษาการหักกลบลบหนี้ (Netting) ระหว่างประเทศ ที่น่าสนใจในยุคปัจจุบันอยู่ด้วย
  9. หนังสือเล่ม 4 นี้ ได้ทํากรณีศึกษาการตรวจสอบ Data Center (General Controls) และการตรวจสอบ “งาน” (Application Controls) เพียงบางกรณี พร้อมแนวคําตอบจากการจัดทํากรณีศึกษาภาคสนามให้ท่านผู้สนใจได้ทบทวนอีกครั้ง โดยเฉพาะอย่างยิ่งผู้ตรวจสอบด้านคอมพิวเตอร์ (IS Auditor) รวมทั้งผู้ตรวจสอบโดยทั่วไป
  10. ในที่สุดหนังสือชุดนี้ก็ได้จัดทํารวมแล้วเป็น 4 เล่ม เพราะเนื้อหามีเรื่องต่าง ๆ ที่อธิบายและบรรยายมีมากกว่าที่ประมาณการไว้มาก และอาจมีถึง 5 เล่ม หากผมมีเวลาพอ โดยเฉพาะตัวอย่างรวมทั้งกรณีสร้าง Test Data
    เพื่อวัดประสิทธิภาพและประสิทธิผลของการควบคุมภายใน และความน่าเชื่อถือของข้อมูลทางการเงิน ที่เป็นรายละเอียดในภาคปฏิบัติ การแยกเล่มเพิ่มเติมก็เพื่อให้การจัดพิมพ์หนังสือแต่ละเล่มมีความหนาและแยกเป็นเรื่องๆ ที่เหมาะสม หนังสือทั้ง 4 เล่ม ได้จัดทําขึ้นโดยมีวัตถุประสงค์เพื่อให้การศึกษาในวงจํากัดต่อผู้ตรวจสอบ ในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศ สาขาภาคตะวันออกเฉียงเหนือ และสถาบันการเงินอื่น ๆ เพื่อการศึกษา การพัฒนา การบริหารงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์หรือองค์กรที่ใช้คอมพิวเตอร์ ซึ่งจะช่วยให้สถาบันการเงินภายใต้การดูแลของธนาคารแห่งประเทศไทยมีความมั่นคงได้อีกทางหนึ่ง และจะเป็นการพัฒนาบุคคลากรที่เกี่ยวข้องเรื่องนี้ ให้ก้าวทันกับเทคโนโลยีทางคอมพิวเตอร์ที่มีผลกระทบต่อความเสี่ยงใหม่ ๆ ซึ่งต้องการการควบคุม รวมทั้งวิธีการตรวจสอบใหม่ ๆ ให้สอดคล้องกับวิธีการประมวลผลโดยใช้คอมพิวเตอร์ที่ทันสมัยเหล่านั้น
  11. มีความเป็นไปได้ที่ธนาคารแห่งประเทศไทยจะให้สถาบันการเงินที่ใช้คอมพิวเตอร์ รวมทั้งผู้สอบบัญชี (External auditor) และผู้สอบบัญชีภายใน (Internal auditor) ของสถาบันการเงินมีความรับผิดชอบในการเป็นผู้ดูแล การบริหารงาน และการตรวจสอบงานด้านคอมพิวเตอร์ แทนการตรวจสอบงานด้านนี้ของธนาคารแห่งประเทศไทยมากขึ้น
    โดยธนาคารแห่งประเทศไทยเองอาจต้องให้ความสําคัญทางด้านฐานะของความมั่นคง การบริหารตลอดจนการจัดการ ความเสี่ยงทางด้าน Liquidity Risk, Market Risk, Credit Risk, Legal Risk, Operational Risk Systemic Risk, Settlement Risk ฯลฯ นอกเหนือจากการตรวจสอบคุณภาพของสินทรัพย์ และการบริหารงานด้านอื่น ๆ ที่เป็นความเสี่ยงในรูปแบบใหม่ ๆ จากนวัตกรรมทางการเงินที่อาจปรากฏได้ทั้งในรูปแบบข้อมูลทางการเงินใน Balance Sheet และ Off-Balance Sheet มากขึ้น ดังนั้นหนังสือเล่มทั้ง 4 เล่มชุดนี้ จึงเป็นแนวทางที่ผู้ตรวจสอบจากธนาคารแห่งประเทศไทยและผู้ตรวจสอบที่เกี่ยวข้องกับสถาบันการเงิน อาจนําไปใช้ศึกษาได้ตามวัตถุประสงค์ของการจัดทําหนังสือชุดนี้ โดยธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
  12. ในปัจจุบันนี้ การบริหารความเสี่ยง (Risk Management) ในสถาบันการเงินมีความหลากหลาย การเข้าใจและวิเคราะห์ความเสี่ยง ตลอดจนการบริหารความเสี่ยงในรูปแบบต่าง ๆ จึงมีความสําคัญมาก ถึงแม้จะมีตราสารอนุพันธ์ ซึ่งเป็นเครื่องมือสําคัญของสถาบันการเงินต่าง ๆ ใช้ในการบริหารความเสี่ยงก็ตาม การลงทุนในสัญญาตราสารอนุพันธ์ก็มีปัญหาเช่นเดียวกับการลงทุนในตราสารการเงิน นั่นคือ ยังมีความเสี่ยงสูงที่ท้าทายผู้บริหารในสถาบันต่างๆ เป็นอย่างยิ่ง และความเข้าใจในเรื่องการบริหารความเสี่ยงในสถาบันต่าง ๆ ก็มีระดับความแตกต่าง กันมาก หน่วยงานที่ทําหน้าที่กํากับดูแลสถาบันการเงิน โดยเฉพาะผู้บริหารและผู้ตรวจสอบ ควรจะให้ความสนใจและพัฒนาความเข้าใจในวิธีการบริหารความเสี่ยงมากขึ้น ผู้ตรวจสอบทุกประเภทจะต้องเข้าใจถึง nature ของ “ความเสี่ยง” การควบคุมความเสี่ยง และวิธีการตรวจสอบที่วัดผลความเสี่ยงด้านต่าง ๆ (Risk Modelling) ได้อย่างเป็นรูปธรรม แล้วพิจารณาหามาตรการการกํากับและดูแลความเสี่ยงที่อาจเกิดขึ้นก่อนที่ความเสียหายจะติดตามมา
  13. การดําเนินงาน การบริหารงานและการตรวจสอบงานด้านคอมพิวเตอร์ก็เป็นอีกรูปแบบหนึ่งของงานที่มีความเสี่ยง ตามที่ผมได้กล่าวไว้แล้วในหนังสือชุดนี้ และเมื่อวันที่ 23 เมษายน 2540 ผมก็ได้รับข่าวสารทาง E-mail จาก Mr.David G. Rowley ซึ่งเป็นทั้งผู้ตรวจสอบและผู้บริหารอาวุโสทางด้าน IS examination จาก Federal Reserve Bank of Minneapolis, Minnesota ประเทศสหรัฐอเมริกา ขอให้จัดส่งแนวทางการจัดการและการบริหารการตรวจสอบ ตลอดจนการควบคุมของทางการ ทางด้านคอมพิวเตอร์ของประเทศไทยในปัจจุบันและในปี ค.ศ. 2000 หรือ IT 2000 ไปให้ทราบ เพื่อใช้ประกอบการบรรยายเรื่องนี้ในประเทศสหรัฐอเมริกาด้วย ในเดือนมิถุนายน 2540 เพราะ Mr.David ได้รับมอบหมายให้บรรยายให้กับผู้บริหารของ FFIEC ซึ่งประกอบไปด้วย FRB, FDIC และ OCC รวมทั้งสมาคม ผู้ตรวจสอบงานคอมพิวเตอร์ (ISACA) ภาคพื้นกรุงเทพฯ ก็จะจัดให้มีการอภิปรายในหัวข้อทํานองเดียวกันนี้ ในวันที่ 27 มิถุนายน 2540 ด้วย ทําให้ผมไม่แน่ใจว่าทางการในประเทศไทย ยังจะควรมีบทบาทในการควบคุม กํากับ ดูแล สถาบันการเงินทางด้านคอมพิวเตอร์มากน้อย หรือควรลดลงอย่างไร เพราะขณะที่ทางการของประเทศสหรัฐอเมริกา และประเทศที่พัฒนาแล้วยังให้ความสนใจในการดําเนินงานด้านคอมพิวเตอร์ของสถาบันการเงินต่าง ๆ แต่สําหรับธนาคารแห่งประเทศไทยอาจมีแนวโน้มที่จะสนใจทางด้านความเสี่ยงใหม่ ๆ ที่มีผลกระทบต่อเสถียรภาพของสถาบันการเงินอย่างอื่นที่มีความสําคัญมากกว่า อย่างไรก็ดี ผู้บริหารองค์กรที่ใช้คอมพิวเตอร์ทุกแห่งก็ควรให้ความสําคัญในเรื่องการควบคุมความเสี่ยง โดยการพัฒนา IS Audit ต่อไปอย่างไม่หยุดยั้ง
  14. จากการที่ได้ใช้เวลาในการจัดทําหนังสือชุดนี้ ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่นเป็นเวลาประมาณ 2 ปี ก่อนที่ผมจะย้ายกลับไปทํางานที่สํานักงานใหญ่กรุงเทพ ในเดือนตุลาคม 2540 นี้ ผมใช้การทํางานนอกเวลาทํางานตามปกติเป็นส่วนมาก ส่วนใหญ่ในหนังสือชุดนี้ทั้ง 4 เล่ม เป็นการรวบรวมโดย เขียนเพิ่มเติมประมาณ 20% จากเอกสารประกอบการบรรยายเรื่อง IS Audit ของผม ในชื่อต่างกันให้กับองค์กร ต่าง ๆ ในอดีต ส่วนที่ได้เพิ่มเติมมาใหม่ ส่วนใหญ่เป็นเรื่องคอมพิวเตอร์กับการทุจริตและภาคผนวกต่าง ๆ และยังมี อีกบางเรื่องที่ผมหาไม่พบจึงไม่มีโอกาสนํามาเผยแพร่ได้
    ผมขออภัยในความผิดพลาดของตัวอักษร ทั้งภาษาไทยและภาษาอังกฤษ ที่ผมมักจะพบในภายหลัง จากการพิมพ์และเย็บเล่มเรียบร้อยแล้ว โดยเฉพาะเล่ม 1 ที่มีคําผิดพลาดในการพิมพ์มาก ซึ่งอาจจะเกิดจากการแก้ไขแล้วไม่ได้ save ข้อมูลหลังจากแก้ไขเสร็จ หรือผู้พิมพ์อาจหยิบแผ่น diskette สับสน ทําให้ผ่านขั้นตอนตรวจทานไปได้ เพราะได้พิสูจน์ตัวอักษรว่าถูกต้องแล้ว แต่เมื่อพิมพ์จริงและเย็บเล่มก็ปรากฏข้อผิดพลาดเดิม ๆ อยู่อีก ซึ่งเมื่อถึงขั้นตอนนี้ก็จะแก้ไขไม่ได้ดีเท่าที่ควร จึงขออภัยท่านผู้อ่านไว้ ณ ที่นี้อีกครั้ง และผมขอเน้นอีกครั้งว่า ความ พยายามทั้งหมดในการจัดทําหนังสือชุดนี้ก็เพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย จากการที่ได้ใช้เวลาในการจัดทําหนังสือชุดนี้ ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่นเป็นเวลาประมาณ 2 ปี ก่อนที่ผมจะย้ายกลับไปทํางานที่สํานักงานใหญ่กรุงเทพ ในเดือนตุลาคม 2540 นี้ ผมใช้การทํางานนอกเวลาทํางานตามปกติเป็นส่วนมาก ส่วนใหญ่ในหนังสือชุดนี้ทั้ง 4 เล่ม เป็นการรวบรวมโดย เขียนเพิ่มเติมประมาณ 20% จากเอกสารประกอบการบรรยายเรื่อง IS Audit ของผม ในชื่อต่างกันให้กับองค์กร ต่าง ๆ ในอดีต ส่วนที่ได้เพิ่มเติมมาใหม่ ส่วนใหญ่เป็นเรื่องคอมพิวเตอร์กับการทุจริตและภาคผนวกต่าง ๆ และยังมี อีกบางเรื่องที่ผมหาไม่พบจึงไม่มีโอกาสนํามาเผยแพร่ได้
    ผมขออภัยในความผิดพลาดของตัวอักษร ทั้งภาษาไทยและภาษาอังกฤษ ที่ผมมักจะพบในภายหลัง จากการพิมพ์และเย็บเล่มเรียบร้อยแล้ว โดยเฉพาะเล่ม 1 ที่มีคําผิดพลาดในการพิมพ์มาก ซึ่งอาจจะเกิดจากการแก้ไขแล้วไม่ได้ save ข้อมูลหลังจากแก้ไขเสร็จ หรือผู้พิมพ์อาจหยิบแผ่น diskette สับสน ทําให้ผ่านขั้นตอนตรวจทานไปได้ เพราะได้พิสูจน์ตัวอักษรว่าถูกต้องแล้ว แต่เมื่อพิมพ์จริงและเย็บเล่มก็ปรากฏข้อผิดพลาดเดิม ๆ อยู่อีก ซึ่งเมื่อถึงขั้นตอนนี้ก็จะแก้ไขไม่ได้ดีเท่าที่ควร จึงขออภัยท่านผู้อ่านไว้ ณ ที่นี้อีกครั้ง และผมขอเน้นอีกครั้งว่า ความ พยายามทั้งหมดในการจัดทําหนังสือชุดนี้ก็เพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทยจากการที่ได้ใช้เวลาในการจัดทําหนังสือชุดนี้ ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่นเป็นเวลาประมาณ 2 ปี ก่อนที่ผมจะย้ายกลับไปทํางานที่สํานักงานใหญ่กรุงเทพ ในเดือนตุลาคม 2540 นี้ ผมใช้การทํางานนอกเวลาทํางานตามปกติเป็นส่วนมาก ส่วนใหญ่ในหนังสือชุดนี้ทั้ง 4 เล่ม เป็นการรวบรวมโดย เขียนเพิ่มเติมประมาณ 20% จากเอกสารประกอบการบรรยายเรื่อง IS Audit ของผม ในชื่อต่างกันให้กับองค์กร ต่าง ๆ ในอดีต ส่วนที่ได้เพิ่มเติมมาใหม่ ส่วนใหญ่เป็นเรื่องคอมพิวเตอร์กับการทุจริตและภาคผนวกต่าง ๆ และยังมี อีกบางเรื่องที่ผมหาไม่พบจึงไม่มีโอกาสนํามาเผยแพร่ได้
    ผมขออภัยในความผิดพลาดของตัวอักษร ทั้งภาษาไทยและภาษาอังกฤษ ที่ผมมักจะพบในภายหลัง จากการพิมพ์และเย็บเล่มเรียบร้อยแล้ว โดยเฉพาะเล่ม 1 ที่มีคําผิดพลาดในการพิมพ์มาก ซึ่งอาจจะเกิดจากการแก้ไขแล้วไม่ได้ save ข้อมูลหลังจากแก้ไขเสร็จ หรือผู้พิมพ์อาจหยิบแผ่น diskette สับสน ทําให้ผ่านขั้นตอนตรวจทานไปได้ เพราะได้พิสูจน์ตัวอักษรว่าถูกต้องแล้ว แต่เมื่อพิมพ์จริงและเย็บเล่มก็ปรากฏข้อผิดพลาดเดิม ๆ อยู่อีก ซึ่งเมื่อถึงขั้นตอนนี้ก็จะแก้ไขไม่ได้ดีเท่าที่ควร จึงขออภัยท่านผู้อ่านไว้ ณ ที่นี้อีกครั้ง และผมขอเน้นอีกครั้งว่า ความ พยายามทั้งหมดในการจัดทําหนังสือชุดนี้ก็เพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ ในการกํากับและดูแลสถาบันการเงินอีกมุมหนึ่งเป็นสําคัญ
  15. สําหรับผู้ตรวจการธนาคารพาณิชย์ ส่วนกํากับสถาบันการเงินธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือรุ่นต่อ ๆ ไป ที่จะนําหนังสือชุดนี้ใช้ในการอบรมหรือพัฒนาผู้ตรวจสอบ โดยเฉพาะอย่างยิ่ง การอบรมการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งการตรวจสอบฐานะการเงิน ความมั่นคงและการดําเนินงานโดยทั่วไป ควรพิจารณาเรื่องที่เกี่ยวเนื่องและสัมพันธ์กันที่อาจปรากฏอยู่ในเล่มต่าง ๆ มาใช้ในคราวเดียวกันด้วย ทั้งนี้ เพราะหนังสือชุดนี้ ได้มีการทบทวนเรื่องที่เกี่ยวข้อง เพื่อให้ผู้ตรวจสอบได้ติดตามในรูปแบบที่ใช้การอธิบายที่แตกต่างกันออกไป แต่โดยรวมเรื่องเหล่านี้จะทําให้ผู้ตรวจสอบเข้าใจงานตรวจสอบทางด้าน IS Audit และ Financial Audit ได้ดีขึ้น
  16. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการ บรรยายในอดีตในหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในหน่วยวิชาการ ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์เล่มนี้
    เมธา สุวรรณสาร ผู้อํานวยการ
    ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
    30 มิถุนายน 2540

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 4” ภาคคอมพิวเตอร์กับแผนฉุกเฉิน (และกรณีศึกษา) สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 4Download

Leave a Comment » | การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์, ผลงานหนังสือของผู้เขียน / ประวัติศาสตร์ด้านการตรวจสอบ, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 3

มกราคม 14, 2025

ในยุคที่เทคโนโลยีคอมพิวเตอร์เข้ามามีบทบาทสำคัญในการขับเคลื่อนธุรกิจและองค์กรทั่วโลก ระบบคอมพิวเตอร์ได้กลายเป็นหัวใจหลักของการดำเนินงานในสถาบันการเงิน อย่างไรก็ตาม ความก้าวหน้านี้ยังนำมาซึ่งความเสี่ยงและภัยคุกคามที่เพิ่มมากขึ้น ตั้งแต่การทุจริตในรูปแบบต่าง ๆ ไปจนถึงการโจมตีทางไซเบอร์ หนังสือ “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 3” นำเสนอเนื้อหาครอบคลุมตั้งแต่การวิเคราะห์ความเสี่ยง การควบคุมภายใน การป้องกันและจัดการกับอาชญากรรมทางคอมพิวเตอร์ ไปจนถึงการตรวจสอบเชิงเทคนิคด้วยคอมพิวเตอร์ หนังสือเล่มนี้ยังให้ตัวอย่างรูปแบบการทุจริตที่เกิดขึ้นจริง พร้อมกรณีศึกษาและแนวทางปฏิบัติที่สามารถนำไปใช้ได้ในองค์กร เพื่อให้ผู้อ่านเข้าใจถึงความสำคัญของการบริหารจัดการความเสี่ยงในยุคดิจิทัล และเสริมสร้างความมั่นคงให้กับระบบคอมพิวเตอร์ในองค์กรของตน

หนังสือการดำเนินงานและการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 3 ภาคคอมพิวเตอร์กับการทุจริต

คำนำ

  1. หนังสือชุด “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเดิมผมเคยประมาณไว้ว่าจะมี 3 เล่มด้วยกัน แต่เมื่อได้รวบรวมและเขียนเพิ่มเติมขึ้นมาใหม่ ก็พบว่ามีเรื่องที่เพิ่มเติมได้อีกหลายเรื่อง รวมทั้งการขยายและอธิบายความที่เคยเขียนในอดีตใหม่ ทําให้หนังสือชุดนี้จะมีอย่างน้อย 4 เล่ม โดยเฉพาะหนังสือเล่ม 3 นี้ มีเรื่องที่ได้เขียนเพิ่มเติมอีกจํานวนมาก เพราะมีความสําคัญที่น่าจะศึกษาโดยเฉพาะตัวอย่าง จุดอ่อนที่อาจจะเกิดการทุจริต รวมทั้งการทุจริตที่ได้เกิดขึ้นแล้ว
  2. จุดอ่อนของระบบงานในองค์กรที่ใช้คอมพิวเตอร์มีมากกว่าองค์กรที่ไม่ใช้คอมพิวเตอร์มาก ปัญหาการทุจริตส่วนใหญ่เกิดจากการจัดทําระบบงานที่ขาดความรอบคอบรัดกุม ไม่มีจุดควบคุมและไม่มีผู้ตรวจสอบที่มีประสิทธิภาพเพียงพอ และหรือขาดผู้บริหารที่สนใจด้านนี้
    ความเสียหายซึ่งเกิดขึ้นจากระบบงานมีจุดอ่อน อาจก่อให้เกิดความเสียหายให้กับองค์กรอย่างร้ายแรง และคาดไม่ถึง จนถึงขั้นไม่สามารถดําเนินการต่อไปได้ทีเดียว ทั้ง ๆ ที่องค์กรอาจไม่มีปัญหาด้านสภาพคล่อง ซึ่งเป็นเรื่องน่าพิจารณาเป็นอย่างยิ่ง สําหรับผู้บริหารที่ไม่ต้องการให้เกิดปัญหานี้กับองค์กรของตนเอง
  3. ธนาคารแห่งประเทศไทยมีหน้าที่กํากับและดูแลความมั่นคงของสถาบันการเงิน ซึ่งมีความสัมพันธ์กันอย่างใกล้ชิดกับความมั่นคงและเสถียรภาพทางเศรษฐกิจโดยรวมของประเทศ ดังนั้นการป้องกันปัญหาก่อนที่ปัญหาจะเกิดขึ้นกับสถาบันการเงิน จึงเป็นทั้งหน้าที่และวิธีการที่กล่าวได้ว่าเหมาะสม โดยเฉพาะอย่างยิ่งการให้ความรู้คําแนะนํา
    ในวิธีป้องกันปัญหาล่วงหน้ามากกว่าการให้คําแนะนําให้แก้ไขเมื่อเกิดปัญหาแล้ว
  4. การหาทางปรับปรุงแก้ไขและพัฒนางานให้มีประสิทธิภาพอยู่เสมอ ทั้งของธนาคารแห่งประเทศไทย และองค์กรอื่น ๆ ที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งการพัฒนาคนให้มีความรู้เท่าทันเทคโนโลยีใหม่ ๆ จึงเป็นที่มาของการเขียน รวบรวมและเรียบเรียงหนังสือชุดนี้ของผม โดยมีเป้าหมายที่สําคัญคือเพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย และสถาบันการเงินที่ธนาคารแห่งประเทศไทยเป็นผู้ดูแล โดยให้การศึกษา ค้นคว้า วิจัยงานด้านคอมพิวเตอร์ ซึ่งมีบทบาทสําคัญยิ่งต่อการพัฒนาระบบการบริหารสถาบันการเงินของไทยในปัจจุบันและในอนาคต
    เอกสารชุดนี้ จึงจัดทําขึ้นเพื่อแจกจ่ายให้ผู้ตรวจสอบ ส่วนกํากับสถาบันการเงินของธนาคารแห่งประเทศไทยเป็นหลัก และสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้งนี้เป็นไปตามแผนงานหนึ่งในจํานวน 19 แผนงาน ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
  5. การที่ผมได้รับมอบหมายจากธนาคารแห่งประเทศไทยให้รับผิดชอบและมีหน้าที่ในการศึกษา ค้นคว้า พัฒนางานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit) ในช่วงเวลาที่ผ่านมานั้น ผมได้เสนอและแนะนําให้ธนาคาร พาณิชย์ รวมทั้งผู้ตรวจสอบภายนอกของธนาคารพาณิชย์ให้ปฏิบัติในหลายเรื่อง ตามที่ปรากฏในบทที่ว่าด้วยเรื่อง “บทบาทของธนาคารแห่งประเทศไทยกับคอมพิวเตอร์” และ “Role of the bank of Thailand in Banking Computerization” นั้น ทําให้ผมต้องวางมือจากการเป็นผู้สอบบัญชีรับอนุญาตในทุกองค์กร ตั้งแต่ปี พ.ศ. 2524 จนกระทั่งปัจจุบัน (มกราคม 2540) และเข้าใจว่าจะวางมือจากการดําเนินการเป็นผู้สอบบัญชีรับอนุญาตจนกว่าจะออกจากธนาคารแห่งประเทศไทย ทั้งนี้เพราะการออกกฎเกณฑ์บางอย่างกระทบต่อบทบาท ความรู้ ความสามารถ และการเป็นผู้มีคุณสมบัติในการเป็นผู้สอบบัญชีของธนาคารและสถาบันการเงินนั่นเอง ดังนั้นเพื่อความโปร่งใส……ในเรื่องนี้ ผมจึงต้องทําตัวเป็นกลางดังกล่าว
  6. หนังสือชุดนี้ไม่มีการจําหน่ายในทุกรูปแบบ เพราะจัดทําขึ้นเพื่อให้การศึกษา ค้นคว้า และวิจัยอย่างแท้จริง โดยหนังสือชุดนี้ได้มาจากการศึกษา แปลและเรียบเรียงจากหนังสือของต่างประเทศเป็นส่วนใหญ่ โดยมีผู้ร่วมงานของผมจํานวนหนึ่งเป็นผู้ช่วยเหลือในฐานะที่เป็นผู้ร่วมงาน โดยมีผมเป็นผู้รับผิดชอบในการศึกษาพัฒนาการตรวจ สอบด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (Audit and Control In a Computerized Environment) ตามที่ธนาคารแห่งประเทศไทยได้มอบหมายตั้งแต่แรก
    อย่างไรก็ดีหนังสือเล่ม 3 นี้ มีเรื่องใหม่ ๆ ที่ไม่เคยหยิบยกขึ้นมาบรรยายก่อนหน้านี้จํานวนมาก ที่ได้จัดทําขึ้นใหม่ เพื่อเป็นบทเรียนของผู้ตรวจสอบและสถาบันการเงิน โดยเฉพาะอย่างยิ่งตัวอย่างของจุดอ่อน และการทุจริตที่อาจเกิดขึ้นได้จริง ๆ ถ้าหากไม่มีการป้องกันให้เพียงพอ
  7. หนังสือเล่มนี้ได้เน้นถึงเรื่องคอมพิวเตอร์กับการทุจริต มิได้เป็นการชี้โพรงให้กระรอกแต่อย่างใดทั้งสิ้น แต่หากผู้บริหารงานมีความสนใจเรื่องนี้ และมีความเข้าใจเรื่องนี้น้อยกว่าผู้ต้องการทุจริตที่มีความสามารถ โดยมีความ เข้าใจในจุดอ่อนและมีโอกาสที่จะทุจริตได้แล้ว ผู้บริหารคงต้องทบทวนตนเองด้วยว่าองค์กรควรจะแก้ไขตรงจุดใด
  8. การนําคอมพิวเตอร์เข้ามาช่วยในการปฏิบัติงานและให้บริการแก่ลูกค้าประชาชนอย่างแพร่หลายในปัจจุบัน ซึ่งได้เพิ่มประสิทธิภาพแก่องค์กรเป็นอย่างมาก แต่ก็ได้มีการนําเทคโนโลยีเหล่านี้ไปใช้ในทางที่ไม่สุจริตไม่ใช่น้อย และนับวันจะทวีความซับซ้อนขึ้นทุกขณะ ทําให้องค์กรได้รับผลกระทบและความเสียหายมหาศาลภายในเวลาอันรวดเร็ว ซึ่งความเสียหายบางอย่างไม่สามารถวัดได้ด้วยมูลค่าทางการเงิน ดังตัวอย่างที่ได้เกิดขึ้นแล้วทั้งในและต่างประเทศเป็นจํานวนไม่น้อย แต่มักไม่ถูกเปิดเผยเพราะองค์กรเกรงว่าจะมีผลกระทบต่อชื่อเสียงและความน่าเชื่อถือของตน
    อย่างไรก็ดี ปัจจุบันกรมตํารวจได้ตระหนักถึงปัญหาดังกล่าว และเพื่อเป็นการเตรียมความพร้อมใน การแก้ไขปัญหาอาชญากรรมที่เกี่ยวข้องกับคอมพิวเตอร์และเทคโนโลยีชั้นสูงต่อไป กรมตํารวจจึงได้จัดการฝึกอบรมหลัก สูตร “สภาพปัญหาและแนวโน้มอาชญากรรมคอมพิวเตอร์” (Computer – Related Crime Issues and Trend) ขึ้นระหว่างวันที่ 24 – 29 พฤศจิกายน 2539 ณ โรงแรมแอมบาสซาเดอร์ซิตี้จอมเทียน อ.สัตหีบ จ.ชลบุรี ตาม โครงการความร่วมมือและแลกเปลี่ยนทางวิชาการ ระหว่างกรมตํารวจกับมหาวิทยาลัยมิชิแกนสเตท สหรัฐอเมริกา (Michigan State University School of Criminal Justice) โดยเชิญวิทยากรและผู้เชี่ยวชาญพิเศษมาบรรยาย อาทิ ศาสตราจารย์ที่สอนเกี่ยวกับอาชญากรรมคอมพิวเตอร์ นักสืบตํารวจฟลอริด้า โคลัมบัส และสารวัตรสืบสวนตํารวจ นครบาลกรุงลอนดอน ที่สืบสวนเกี่ยวกับอาชญากรรมคอมพิวเตอร์ และอาชญากรรมข้ามชาติ ทั้งนี้ผู้เข้าร่วมสัมมนาส่วนใหญ่เป็นนายตํารวจชั้นผู้ใหญ่ที่เกี่ยวข้อง นอกจากนี้ยังมีผู้แทนส่วนราชการ เช่น ธนาคารแห่งประเทศไทย ศูนย์เทคโนโลยีอิเลกทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) กรมทรัพย์สินทางปัญญา และสํานักงานกฤษฎีกา เป็นต้น ที่ได้รับเชิญให้เข้าร่วมสัมมนาด้วย เพื่อประโยชน์ในการร่วมมือและประสานงานในการป้องกันและปราบปรามอาชญากรรมคอมพิวเตอร์ในประเทศไทยต่อไป
  9. จากการตื่นตัวของกรมตํารวจในแนวโน้มอาชญากรรมคอมพิวเตอร์โดยการจัดสัมมนาดังกล่าวนั้น นับว่าเป็นเรื่องที่ดีในการเตรียมพร้อมดังกล่าว อย่างไรก็ดี ผมได้มีโอกาสพูดคุยกับนายตํารวจชั้นผู้ใหญ่บางท่าน ก็ได้รับฟังความเห็นและความในใจว่า เรื่องอาชญากรรมคอมพิวเตอร์น่าสนใจมาก แต่น่าเสียดายที่ผู้ที่เกี่ยวข้องจํานวนไม่น้อยไม่มีพื้นฐานทางด้านการบริหารการดําเนินงาน การควบคุมภายใน และระบบงาน ตลอดจนไม่ค่อยเข้าใจถึงจุดอ่อน การวิเคราะห์จุดอ่อนและกระบวนการปฏิบัติงานด้านคอมพิวเตอร์ ที่เป็นพื้นฐานของการทําความเข้าใจเพื่อประโยชน์ต่อการสืบสวน สอบสวน ที่จะสาวไปถึงการทําอาชญากรรมด้านคอมพิวเตอร์ได้ดีเท่าที่ควร
    เรื่องนี้ผมมีความเห็นว่า ทางการน่าจะจัดให้มีการอบรมความรู้เกี่ยวกับคอมพิวเตอร์พื้นฐาน ตลอดจนการควบคุมภายใน การตรวจสอบที่ต้องรู้พื้นฐานของความเสี่ยง จุดอ่อนต่าง ๆ ด้านคอมพิวเตอร์ให้เพียงพอ มิฉะนั้นการสืบสวนสอบสวนอาชญากรรมทางด้านคอมพิวเตอร์ หรือเกี่ยวกับคอมพิวเตอร์จะทําได้ไม่สะดวกเลย
  10. ปัจจุบันมีหลายองค์กรได้จัดให้มีการอบรม หรือการสัมมนาคอมพิวเตอร์กับการทุจริตปีละหลาย ๆ ครั้ง และทุกครั้งมีผู้สนใจเข้าฟังกันเป็นจํานวนมากเสมอ แสดงถึงความตื่นตัวขององค์กรต่าง ๆ ต่อการป้องกันภัยจากคอมพิวเตอร์ที่เหมาะสมได้ประการหนึ่ง
  11. ตัวอย่างหลากหลายที่ท่านจะได้พบจากหนังสือเล่มนี้ ไม่อาจตรวจพบตามปกติได้เป็นส่วนใหญ่ ถ้าไม่
    มีการสร้างเป้าหมาย ขอบเขต กําหนดวิธีการตรวจสอบ ตลอดจนการใช้คอมพิวเตอร์เข้าช่วยตรวจสอบที่เหมาะสมในช่วงเวลาที่สมเหตุสมผล รวมทั้งการใช้บุคลากรที่มีความพร้อมในระดับหนึ่งได้ การศึกษาแนวทางการตรวจสอบด้านคอมพิวเตอร์ หรือการศึกษาแนวทางการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ รวมทั้งการใช้คําถามที่ผู้ตรวจสอบควรทราบอย่างเหมาะสม เช่น การตั้งคําถามว่า “What can go wrong” หรือการคาดคะเนข้อผิดพลาด หรือจุดอ่อน ที่มีนัยสัมพันธ์ที่อาจเกิดขึ้นในแต่ละกระบวนการปฏิบัติงาน ทั้งในแบบ Manual และในแบบ Automated ในส่วนที่เกี่ยวข้องทั้งเรื่อง “องค์กร” (Data Center) และเรื่อง “งาน” (Application) ซึ่งเกิดจากความเข้าใจที่ถ่องแท้ของผู้ตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์แล้ว จะช่วยให้พบจุดอ่อนที่คาดไม่ถึงได้มาก ซึ่งจะเป็นหนทางป้องกันปัญหาต่าง ๆ ได้ก่อนที่ความเสียหายจะเกิดขึ้น
  12. ผมได้เคยบรรยายเรื่อง “คอมพิวเตอร์กับการทุจริต” ให้กับองค์กรต่าง ๆ หลายครั้ง รวมทั้งสถาบันที่จัดให้มีการอบรมเรื่องนี้ โดยเฉพาะอย่างยิ่งได้เคยบรรยายร่วมกับ Mr. August Beguai ผู้แต่งหนังสือเรื่อง Cumputer Crime จากประเทศสหรัฐอเมริกา ทุกครั้งมีผู้สนใจรับฟังมากและเรื่องที่ผู้ฟังสนใจมากที่สุด คือ วิธีทุจริตและตัวอย่างเกี่ยวกับการทุจริตต่าง ๆ ที่ได้เกิดขึ้นจริงทั้งในประเทศและต่างประเทศ ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่ผมดูแลสถาบันการเงินต่าง ๆ ทั้ง 19 จังหวัด ก็มีหลายจังหวัดที่ประสบปัญหาการทุจริตด้านคอมพิวเตอร์ แต่ส่วนใหญ่เป็นการทุจริตในลักษณะการใช้ “Off-line” โดยเปลี่ยนข้อมูลใน Report ต่าง ๆ เมื่อผู้บริหารนําไปใช้ตัดสินใจจึงเกิดความเสียหายขึ้น ซึ่งต่างกับการทุจริตที่กรุงเทพฯ ที่มักทุจริตโดยใช้วิธีการแบบ “On-line” โดยผู้ทุจริตอาศัยความเข้าใจในระบบงานและรู้จุดอ่อนเป็นสําคัญ
  13. การตรวจสอบด้านคอมพิวเตอร์ที่ได้ผล จึงเป็นการตรวจสอบ Before the fact นั่นคือการตรวจสอบ และให้คําแนะนําในเชิงป้องกันก่อนที่ปัญหาจะเกิดขึ้นจริง ๆ ให้ต้องทําการแก้ไข การตรวจสอบลักษณะนี้จะช่วยผู้บริหาร และช่วยให้องค์กรสามารถออกระเบียบ กฎเกณฑ์ต่าง ๆ มาใช้ได้อย่างเหมาะสม และลดการทุจริตได้มาก เพราะการ ทุจริตเกิดจากสาเหตุใหญ่ ๆ 3 ประการ คือ
    13.1 มีผู้ทุจริตหรือผู้ไม่หวังดีต่อองค์กร
    13.2 องค์กรมีจุดอ่อนในระบบงานและการควบคุมภายใน 13.3 ผู้ปฏิบัติงานที่มีความสามารถมีโอกาสที่จะทุจริตได้
    หากจะเพิ่มเหตุผลอีกข้อหนึ่งก็น่าจะไม่ผิด นั่นคือผู้บริหาร ผู้สอบบัญชีทั้ง External Auditor และ Internal Auditor ขาดประสบการณ์ทั้งด้านการบริหาร การตรวจสอบ และไม่อาจให้คําแนะนําในเชิงป้องกันปัญหาที่จะเกิดกับองค์กรได้ล่วงหน้าและมีประสิทธิภาพ ซึ่งส่วนใหญ่เกิดจากผู้ตรวจสอบไม่เข้าใจ “องค์กร” และ “งาน” ที่ตรวจสอบ รวมทั้งความเสี่ยงต่าง ๆ ที่เกี่ยวข้องอย่างเพียงพอ หรือมองข้ามจุดที่ควรมีการควบคุม นั่นก็คือกิจกรรมที่ก่อ ให้เกิดความเสี่ยงได้นั่นเอง
    ถ้าหากผู้บริหารระดับสูงได้เข้าใจ “กิจกรรม” ที่ก่อให้ “ความเสี่ยง” ในองค์กรที่ใช้คอมพิวเตอร์ จะช่วยป้องกันปัญหาจากการทุจริตได้มาก “ความเสี่ยง” ไม่ได้หมายความถึงการทุจริตเท่านั้น แต่มีความหมายอีกหลายอย่างตามที่ได้กล่าวในสองเล่มแรกมาแล้ว
    อย่างไรก็ดี ผู้ที่ทําการทุจริตทุกประเภท ถึงแม้จะประสบความสําเร็จในระยะแรก ๆ ซึ่งอาจซ่อนเร้นความผิดได้หลายปีก็ตาม แต่ในท้ายที่สุดแล้วองค์กรจะจับการทุจริตได้ในที่สุด ดังนั้นจึงขอให้ผู้ที่จะคิดทุจริตโปรดเลิก
    ความคิดและการกระทําดังกล่าวได้
  14. หากท่านผู้อ่านใคร่จะทบทวนแนวคิด ตลอดจนวิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งในความหมายนี้คลุมไปหมดทั้งเรื่อง Financial Audit และ Computer Audit หรือ IS Audit ซึ่งการตรวจสอบทั้ง 2 เรื่อง มีความสัมพันธ์กันอย่างใกล้ชิด เพราะการตรวจสอบ Financial Audit ก็คงต้องพิจารณา Computer Audit ด้วยในฐานะที่องค์กรยุคใหม่ได้นําคอมพิวเตอร์มาใช้ในการปฏิบัติงาน และการควบคุมภายในแล้วทั้งสิ้น ท่านอาจดูข้อสรุปในเล่มนี้ในบทที่เกี่ยวข้องกับการตรวจสอบการทุจริตได้
    นอกจากนี้ในเล่มที่ 4 ของหนังสือชุดนี้ ผมได้จัดทําบทกรณีศึกษาการตรวจสอบทั้งทางด้าน Data Center และ Application ที่น่าสนใจ โดยส่วนใหญ่ได้แนวความคิดและประสบการณ์จากการตรวจสอบด้านภาคปฏิบัติจริง ๆ กรณีศึกษาจะมีบทแนวคําตอบให้ผู้ตรวจสอบได้ติดตามศึกษาด้วย ทั้งนี้เป็นการทบทวนความเข้าใจของผู้ตรวจสอบได้ระดับหนึ่ง อย่างไรก็ดีกรณีศึกษาดังกล่าวจะมีประโยชน์มากยิ่งขึ้น ถ้าหากผู้ตรวจสอบจะพิจารณาหาแนวคําตอบก่อนที่จะได้ดูบทเฉลยที่เป็นแนวคําตอบจริง ๆ ต่อไป
  15. หนังสือชุดนี้ทั้ง 4 เล่ม มีเลขที่ของ ISBN อยู่ด้วย ทั้ง ๆ ที่มีการพิมพ์จํานวนน้อยมาก ทั้งนี้ก็เพื่อใช้ในการศึกษาตามที่เคยกล่าวแล้ว แต่การมีเลขที่ ISBN ด้วยก็เพื่อให้ใช้เป็นที่อ้างอิงสําหรับผู้อ่าน เมื่อหนังสือนี้ อยู่ในห้องสมุดของธนาคารแห่งประเทศไทย ที่มีระบบการอ้างอิงเอกสารที่ทันสมัยแล้วเท่านั้น
  16. การจัดทําหนังสือชุดนี้ ผมคาดการณ์ผิดหลายประการ นั่นคือ ผมใช้เวลามากกว่าที่คาดไว้แต่เดิมมากมาย จากการจัดทําข้อมูลเพิ่มเติมโดยเฉพาะเล่ม 3 และเล่ม 4 และต้องพิสูจน์ตัวอักษรในบางส่วน พร้อมทําความเข้าใจกับเพื่อนร่วมงานที่ทําหน้าที่พิสูจน์ตัวอักษรไปพร้อมกับอธิบายเรื่องที่เกี่ยวข้อง เพราะมีความสับสนในการพิมพ์ด้วย
    อย่างไรก็ดีเวลาส่วนใหญ่หรือแทบทั้งหมดนี้ผมได้ใช้เวลานอกทําการตามปกติของธนาคาร
    ผมบังเอิญได้ไปอ่านศัพท์คอมพิวเตอร์ในห้องสมุดของสาขาภาคฯ ในช่วงเพียงวันหนึ่งได้พบกับศัพท์ที่น่าสนใจมาก และมีความหมายตลอดจนความสําคัญอย่างยิ่งต่อท่านผู้อ่านหรือท่านผู้ตรวจสอบ โดยเฉพาะผู้ที่จะเป็น EDP Auditor หรือ IS Auditor หรือ IS Examiner ก็ตามนั่นคือการแปลคําศัพท์ของคําว่า “Computer audit จากพจนานุกรมศัพท์คอมพิวเตอร์หลายเล่มได้ให้ความหมายต่างกันเช่น :-
    บางเล่มแปลคํานี้ว่า “การตรวจสอบบัญชีด้วยคอมพิวเตอร์” บางเล่มแปลคํานี้ว่า “การตรวจสอบระบบคอมพิวเตอร์” บางเล่มไม่ได้ให้ความหมายของคํา ๆ นี้ไว้
    ผมรู้สึกหนักใจแทนท่านผู้อ่าน และท่านผู้ตรวจสอบที่กําลังทําความเข้าใจในเรื่องการตรวจสอบ Computer Audit หรือ IT, IS Audit เพราะคําว่า Computer Audit นี้ความหมายที่น่าจะถูกต้องและฟังเข้าใจได้ดีกว่า การตรวจสอบด้านคอมพิวเตอร์ ซึ่งแบ่งการตรวจสอบออกเป็น 2 ส่วนใหญ่ ๆ ได้แก่
    ก) การตรวจสอบการบริหารองค์กรทางการด้านคอมพิวเตอร์หรือศูนย์คอมพิวเตอร์ (Data center) ซึ่งเป็นการตรวจสอบ General Controls กับ
    ข) การตรวจสอบ “งาน” หรือ Application audit ซึ่งเป็นการตรวจสอบงานแต่ละประเภทแต่ละหน่วยงานขององค์กร เช่น งานด้านเงินฝาก ส่วนงานด้านเงินกู้ งานด้านสินค้าคงคลัง การซื้อ การขาย ฯลฯ ซึ่ง จะเน้นการตรวจทางด้าน Input, Processing และ Output ของแต่ละงาน (Application) ที่เกี่ยวข้องกับงานการตรวจสอบทั้ง 2 ด้าน ซึ่งเป็นเรื่อง Computer Audit นี้ เป็นงานใหม่เพิ่มเติมจากการตรวจสอบตามปกติ ซึ่งในระบบบัญชีที่ทําด้วย Manual แบบดั้งเดิมไม่มี
    ดังนั้นการแปลคําว่า Computer Audit ตามพจนานุกรมศัพท์คอมพิวเตอร์บางเล่มว่าเป็นการตรวจสอบบัญชีด้วยคอมพิวเตอร์ น่าจะมีความหมายเพียงการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ หรือเป็น Computer Assisted Audit Technique อย่างหนึ่ง มากกว่าเป็นการตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) จริง ๆ แล้ว ในขณะนี้บางเล่มแปลว่าการตรวจสอบระบบคอมพิวเตอร์ ซึ่งการแปลเช่นนี้มีความหมายที่ใกล้เคียงกับความหมายที่ผมคิดว่าน่าจะถูกต้องคือ “การตรวจสอบด้านคอมพิวเตอร์” แต่คําว่าการตรวจสอบระบบคอมพิวเตอร์ อาจทําให้ผู้อ่านเข้าใจผิดว่า เป็นการตรวจสอบทางด้าน System ของคอมพิวเตอร์ หรือเป็นแต่เพียงการตรวจสอบระบบงานใดระบบงานหนึ่ง หรือหลายระบบที่ใช้คอมพิวเตอร์ในการประมวลงาน ซึ่งตรงกับคําภาษาอังกฤษว่า “Application Audit” โดยเป็นส่วนหนึ่งของการตรวจสอบทางด้าน Computer Audit ตามที่กล่าวแล้วเท่านั้น หรืออาจมีผู้อ่านบางท่านเข้าใจไขว้เขวไปได้ว่า “เป็นการตรวจสอบระบบคอมพิวเตอร์” ตามคําแปลล้วน ๆ เพียงอย่างเดียวก็ได้ และเข้าใจเช่นนี้ จะคลาดเคลื่อนจากความหมายของคําว่า Computer Audit ตามที่ผมกล่าวในตอนแรก ๆ แล้วว่า การตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) หรือ IS Audit เป็นการตรวจสอบในลักษณะ Total System Approach นั่นคือการตรวจสอบ การบริหารงานและการประมวลงาน ตั้งแต่การพัฒนาระบบงานการนําข้อมูลเข้า การประมวลผล จนกระทั่งได้ข้อมูลผลลัพธ์ ทั้งในส่วนที่เป็น Manual ส่วนที่เป็น Automated และส่วนผสมของทั้ง 2 แบบ รวมทั้งการใช้ผลลัพธ์จากการประมวลผล ตลอดจนถึงการจัดทําเอกสารประกอบระบบงาน ส่วนกระบวนการตรวจสอบ เทคนิคการตรวจสอบ หลักฐานการตรวจสอบ การจัดดูรายงานจะขึ้นอยู่กับเป้าหมายและขอบเขตการตรวจสอบเป็นสําคัญ ดังนั้นขอได้โปรดศึกษาและทบทวนความหมายและวัตถุประสงค์ในการตรวจสอบ IS Audit ให้ถ่องแท้ก่อนด้วย หวังว่าคําอธิบายในข้อนี้จะช่วยทําความเข้าใจในเรื่องการตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) ได้บ้างส่วนพอสมควร เพราะหากท่านผู้อ่านเกิดความเข้าใจที่คลาดเคลื่อนแล้ว การศึกษาการบริหารงาน และการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จะเกิดความสับสนเป็นอย่างยิ่ง ดังนั้น จึงควรทราบว่า การใช้ภาษาไทยในเรื่องของการตรวจสอบด้านคอมพิวเตอร์ มีคําศัพท์ที่ใช้คล้าย ๆ กันหลายคํา แต่มีความหมายแตกต่างกันอย่างมีนัยสําคัญมาก สําหรับคําว่า “การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ก็มีความหมายหลัก ๆ ได้ 2 อย่างคือ การตรวจสอบด้าน IS Audit และ/หรือ Financial Audit ซึ่งขึ้นอยู่กับวัตถุประสงค์ของการตรวจสอบ อย่างไรก็ดี หากเป็นการตรวจสอบ Financial audit ก็หนีไม่พ้นต้องทําการตรวจสอบทางด้าน IS Audit ซึ่งอยู่ในกระบวนการต้น ๆ ของการตรวจสอบ นั่นคือ การศึกษาและทําความเข้าใจในระบบงานขององค์กรที่ตรวจสอบก่อนเสมอ (โปรดดูหน้า 30)
  17. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตในหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้ง สําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทยสาขาภาคตะวันออกเฉียงเหนือในปัจจุบัน ที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

เมธา สุวรรณสาร
ผู้อํานวยการธนาคารแห่งประเทศ สาขาภาคตะวันออกเฉียงเหนือ
30 มกราคม 2540

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3” ภาคคอมพิวเตอร์กับการทุจริต สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 4” ซึ่งเป็นเล่มสุดท้ายในชุดหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ จะเป็นภาคคอมพิวเตอร์กับแผนฉุกเฉิน ผมจะเผยแพร่ในโพสต์ต่อไปนะครับ

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3Download

Leave a Comment » | การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์, ผลงานหนังสือของผู้เขียน / ประวัติศาสตร์ด้านการตรวจสอบ, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 2

ธันวาคม 3, 2024

จากการที่ผมได้เผยแพร่หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ ไปเมื่อครั้งก่อน ซึ่งมีรายละเอียดค่อนข้างมากพอสมควร และได้เผยแพร่ไปเป็นเล่มแรกแล้วนั้น ในครั้งนี้ผมขอเผยแพร่ต่อในเล่มที่ 2 โดยในเล่มนี้เป็นภาคของการตรวจสอบ ที่จะเน้นเรื่องของการตรวจสอบ ไม่ว่าจะเป็นเทคโนโลยีกับการควบคุมและตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ แผนการตรวจสอบ การตรวจสอบภาคสนาม ทั้งจากการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์และไม่ใช้คอมพิวเตอร์ รวมถึงประสบการณ์จากการตรวจสอบ การตรวจสอบภายใน การประเมินการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนการใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ ดังที่จะได้เผยแพร่ต่อไปนี้

การดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 2 ภาคการตรวจสอบ

คำนำ

  1. การจัดทําหนังสือชุดเรื่อง การดําเนินงานและการตรวจสอบสถาบันการเงินด้วยคอมพิวเตอร์ทั้ง 4 เล่ม ครั้งนี้ ผมใคร่ขอเรียนวัตถุประสงค์หลัก ซึ่งเป็นสาระสําคัญของการจัดทําหนังสือชุดนี้ คือ
    1.1. เพื่อให้การศึกษา ค้นคว้า วิจัย งานด้านคอมพิวเตอร์ โดยไม่มีวัตถุประสงค์ในทางการค้า ทั้งในปัจจุบันและในอนาคตแก่ผู้ตรวจสอบในส่วนกํากับสถาบันการเงิน ที่ทําหน้าที่ตรวจสอบ ดูแล ความมั่นคง ของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ และจะใช้ภายในวงการที่ธนาคารแห่งประเทศไทย มีส่วนเกี่ยวข้องเป็นสําคัญ โดยพิจารณาเป็นส่วนหนึ่งของการให้การศึกษา อบรม ทําความเข้าใจกับหน่วยงานที่ธนาคารแห่งประเทศไทยเป็นผู้กํากับและดูแล
    1.2. หนังสือทั้ง 4 เล่มในชุดนี้ เป็นการแนะนํางานที่ได้ศึกษารวบรวมเรียบเรียง รวมทั้ง ดัดแปลงจากเอกสารต่างประเทศ และเขียนเพิ่มเติมจากประสบการณ์ภาคสนามรวม ๆ กันไป จากเอกสารเดิมที่เคยใช้ในการบรรยายให้ความรู้ต่อสถาบันการเงินและมหาวิทยาลัยต่าง ๆ ที่ผ่านมา ทั้งนี้ได้อ้างถึงที่มาของหนังสือที่ได้ค้นคว้าตามท้ายหนังสือแล้ว เพื่อให้ผู้ที่ใช้งานในวงจํากัดเหล่านี้ ได้ทราบถึงที่มาในการใช้หนังสือชุดนี้เพื่อการศึกษา โดยมีข้อผิดตกยกเว้น ดังกล่าว
    1.3. เพื่อให้การทํางานของส่วนกํากับฯ ได้ผลยิ่งขึ้น จึงได้มีการพูดคุยและให้คําแนะนํา การปฏิบัติงาน รวมทั้งการตรวจสอบในที่ประชุมธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ ในภาคอีสาน เช่นเดียวกับที่ผมได้เป็นผู้บรรยายให้แก่สถาบันเหล่านี้ในกรุงเทพฯ และที่อื่น ๆ หนังสือชุดดังกล่าว จึงได้ส่งให้สถาบันการเงินที่ธนาคารแห่งประเทศไทย ภาคตะวันออกเฉียงเหนือดูแล โดยมีวัตถุประสงค์เช่นเดียวกันคือ ให้การศึกษา ค้นคว้า วิจัย โดยถือเสมือนหนึ่งเป็นการป้องกันปัญหา และให้คําชี้นําในการให้การศึกษาเป็นการล่วงหน้าต่อสถาบันการเงินดังกล่าว ตามหน้าที่เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงาน โดยมีเอกสารไว้ใช้ศึกษาดูเมื่อต้องการ ซึ่งจะมีผลต่อความมั่นคงของสถาบันการเงิน ซึ่งเป็นหน้าที่หลักอย่างหนึ่งของธนาคารแห่งประเทศไทยเป็นสําคัญ
    1.4. หนังสือในชุดนี้ทั้งหมด จัดทําขึ้นเพื่อใช้ประโยชน์ในการปฏิบัติงาน และการดําเนินการของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ โดยมิได้เผยแพร่หรือโฆษณาต่อสาธารณชนเป็นการทั่วไป และมิได้มีการจําหน่ายใด ๆ ทั้งสิ้น และใคร่ขอย้ำว่าเป็นการจัดทําเพื่อประโยชน์ในการศึกษา งานค้นคว้า การปฏิบัติงานและการตรวจสอบด้านคอมพิวเตอร์ทุกรูปแบบ ตามภาระและหน้าที่ส่วนหนึ่งในความรับผิดชอบที่ผมปฏิบัติหน้าที่อยู่ทั้งในอดีตและปัจจุบัน
    ดังนั้น การนําข้อความหรือบทความในหนังสือชุดนี้ เพื่อจะทําซ้ำหรือดัดแปลงเพื่อประโยชน์ทางการค้า จึงเป็นสิ่งที่ไม่พึงปฏิบัติ เพราะผิดวัตถุประสงค์ที่สําคัญของการจัดทําหนังสือชุดนี้เป็นอย่างยิ่ง
    1.5. การทําความเข้าใจกับท่านผู้อ่าน และผู้ที่อาจเกี่ยวข้องในหัวข้อนี้ ก็เพื่อสร้างความเข้าใจในการจัดทําหนังสือชุดนี้เป็นสําคัญ ทั้งนี้เป็นการป้องกันปัญหาที่อาจจะเกิดจากความเข้าใจที่ไม่ตรงกัน ในการปฏิบัติหน้าที่ของแต่ละหน่วยงานได้
  2. หนังสือเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ เป็นเล่มที่จะเน้นทําความเข้าใจ และให้รายละเอียดกับผู้ที่สนใจในการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก ทั้งนี้ มีแนวทางทําความเข้าใจง่าย ๆ โดยเริ่มต้นศึกษาจากวงจรทางเทคโนโลยีกับการควบคุมและตรวจสอบ และการดําเนินงานด้านคอมพิวเตอร์ ซึ่งมีรายละเอียดปรากฏอยู่ในเล่ม 1 และได้สรุปเพิ่มเติมในเล่ม 2 โดยเฉพาะอย่างยิ่ง การวางแผนการตรวจสอบ แผนภาพ และข้อควรทราบสําหรับผู้ตรวจสอบโดยทั่วไปก่อนการเข้าตรวจสอบองค์กรที่ใช้คอมพิวเตอร์
  3. การตรวจสอบภาคสนาม (field work) สําหรับผู้ตรวจสอบที่ยังไม่เข้าใจระบบงานที่แท้จริงนั้น จะเริ่มจากการศึกษาและทําความเข้าใจระบบงานขององค์กรโดยภาพรวมก่อน นั่นคือการทําความเข้าใจทั้งในระบบงานในส่วนที่ใช้คอมพิวเตอร์ และในส่วนที่ไม่ใช้คอมพิวเตอร์ แล้วจึงทําการประเมินระบบการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนหาทางใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ
  4. ตั้งแต่บทที่ 16 ถึงบทที่ 26 เหมาะสําหรับการตรวจสอบภายใน (Internal Audit) และผู้ตรวจสอบภายนอกที่ไม่ได้เป็น examiner เพราะได้เน้นการตรวจสอบ “งาน” หรือ Application มากกว่า “องค์กร” อย่างไรก็ดี ผู้ตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ (EDP examiner) จากธนาคารแห่งประเทศไทย ก็สามารถนําไปประยุกต์ใช้ร่วมกับวิธีการ และแนวทางการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ได้
  5. มีองค์กรที่เกี่ยวข้องกับการตรวจสอบ และมีหนังสือที่เกี่ยวข้องกับการตรวจสอบด้านคอมพิวเตอร์มากมาย ตลอดจนนิตยสารและวารสารการตรวจสอบด้านคอมพิวเตอร์ ที่ออกกันมาเป็นรายเดือนหรือรายไตรมาส ติดต่อกันมาเป็นเวลาหลายปีในหลายประเทศทั่วโลก เมื่อกล่าวถึงองค์กรอย่างเช่น Information Systems Audit and Control Association ที่มีสมาชิกมากกว่า 93 ประเทศทั่วโลก ทําหน้าที่ศึกษา ค้นคว้า ให้การอบรม จัดสัมมนา จัดการประชุมงานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit ) กับสมาชิกและออกวารสาร IS Audit and Control เป็นประจํา มีสํานักงานใหญ่อยู่ที่ประเทศสหรัฐอเมริกา ประเทศไทยเราก็เป็นสมาชิกอยู่ในสมาคมผู้ตรวจสอบงานคอมพิวเตอร์นี้ด้วย นอกจากนั้นก็มีสถาบันต่าง ๆ หลายแห่งที่มีสมาชิกจํานวนมาก ทําหน้าที่คล้าย ๆ กันนี้ แต่เน้นหนักทางด้านการค้นคว้าการตรวจสอบด้านคอมพิวเตอร์และผลิตหนังสือต่าง ๆ ออกมามากมาย ดังนั้น หากองค์กรของท่านเป็นองค์กรหนึ่งที่มีหน้าที่ในการตรวจสอบ ไม่ว่าจะเป็นการตรวจสอบภายในองค์กรของท่านเอง หรือทําหน้าที่ตรวจสอบองค์กรอื่นที่ใช้คอมพิวเตอร์ในการ Process งานและการบริหารงาน โดยที่ผู้ตรวจสอบที่ท่านดูแล ยังมิได้ทําการตรวจสอบในลักษณะ IS Audit หรือ Computer Audit เป็นส่วนหนึ่งของ กระบวนการตรวจสอบตามปกติแล้วละก็ ควรจะพิจารณาได้ว่า น่าจะต้องเพิ่มการดําเนินการตรวจสอบในลักษณะ IS Audit ได้แล้ว ทั้งนี้ขอท่านได้โปรดทบทวนและศึกษาจากมาตรฐานการสอบบัญชี ฉบับที่ 28 ฉบับที่ 29 และ ฉบับที่ 36 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย เรื่องการสอบบัญชีในกรณีธุรกิจที่ใช้ คอมพิวเตอร์ (เล่ม 1) ก็จะเป็นประโยชน์ในการพิจารณาของท่านเป็นอย่างยิ่ง
  6. จากข้อ 5. ข้างต้น ผมเองได้ยินเสียงวิจารณ์หรือเสียงบ่น จากการปฏิบัติงานการตรวจสอบของผู้ปฏิบัติงานภาคสนาม หรือผู้ลงมือตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์จริง ๆ จากผู้คุ้นเคยมากรายว่า การตรวจสอบระบบการควบคุมภายในและการบัญชี ตลอดจนการศึกษาทําความเข้าใจระบบงานในองค์กร ที่ได้รับการตรวจสอบที่ใช้คอมพิวเตอร์ เพื่อวางแผนและกําหนดเทคนิคหรือวิธีการตรวจสอบ หรือเพื่อหาหลักฐานและความพอเพียง ในการตรวจสอบตามเป้าหมายการตรวจสอบ โดยใช้วิธีการตรวจสอบตามปกติหรือ Manual นั้น ได้ถูกจํากัดโดยกระบวนการ process งานด้านคอมพิวเตอร์ เพราะขั้นตอนการควบคุมภายในและการบัญชีส่วนใหญ่ ได้ใช้โปรแกรมคอมพิวเตอร์เป็นผู้ควบคุมและดําเนินงานแล้ว ดังนั้น เมื่อไม่มีการตรวจสอบด้านคอมพิวเตอร์หรือ IT Audit เป็นส่วนหนึ่งของ Financial Audit โดยเฉพาะอย่างยิ่งการตรวจสอบการปฏิบัติตามระเบียบกฎเกณฑ์การ ควบคุมภายในของหน่วยงาน (Compliance Audit) แล้ว ก็จะทําให้การปฏิบัติงานตรวจสอบนั้น ต้องข้ามขั้นตอน หรือละเว้นการตรวจสอบที่จําเป็นไปไม่น้อย ทําให้มีปัญหาถึงประสิทธิภาพและประสิทธิผลการปฏิบัติงานการตรวจสอบ อันเกิดจากการละเลยไม่ตรวจสอบงานด้านคอมพิวเตอร์ รวมทั้งไม่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ ตามมาตรฐานที่ควรจะเป็นด้วยท่านเคยได้ยินคําวิจารณ์หรือเสียงบ่นทํานองนี้บ้างหรือไม่ และท่านควรจะทําการแก้ไขปัญหา หรืออุปสรรคตามที่กล่าวนี้อย่างไร หากท่านไม่ได้ยินเรื่องทํานองข้างต้น ท่านเคยคิดและพิจารณาบ้างหรือไม่ว่า เป็นไปได้หรือที่การตรวจสอบยังคงใช้แนวทางการตรวจสอบเดิม ๆ สมัยที่องค์กรยังใช้ระบบ Manual เมื่อองค์กรนั้นนําคอมพิวเตอร์เข้ามาใช้แล้ว
  7. ในการตรวจสอบธนาคารพาณิชย์ และสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งองค์กรอื่นที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบควรพิจารณาถึงความจําเป็น และความแตกต่างในระบบงานของแต่ละองค์กรเป็นกรณีไป โดยควรเน้นและให้ความสําคัญอย่างยิ่งต่อการควบคุมภายในที่มีประสิทธิภาพ
  8. การทําความเข้าใจในเป้าหมาย ขอบเขต กรรมวิธี ในการตรวจสอบงานด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบทางด้านการเงิน (Financial Audit) และจัดทํารายงานการตรวจสอบ ตลอดจนความสัมพันธ์ของงานทั้ง 2 ประเภท นับเป็นสิ่งที่มีความสําคัญยิ่ง ในการปฏิบัติงานการตรวจสอบที่มีประสิทธิภาพสูงสุด เช่น การรู้จักใช้เครื่องมือคอมพิวเตอร์ให้เป็นประโยชน์ในการตรวจสอบ และการทําความเข้าใจในระบบงานด้านคอมพิวเตอร์ เพื่อกําหนดขอบเขตการตรวจสอบให้เหมาะสม เป็นต้น
  9. วิธีการตรวจสอบและเทคนิคการตรวจสอบงานด้านคอมพิวเตอร์ จะต้องพัฒนาให้ทันกับ Technology สมัยใหม่ที่ก้าวหน้าอย่างรวดเร็วและไม่หยุดยั้ง ทั้งทางด้าน Hardware และ Software วิธีการตรวจสอบจึงจําเป็นต้องพัฒนาขึ้น เพื่อช่วยให้ผู้ตรวจสอบมีเครื่องมือ และรู้จักใช้เครื่องมือปฏิบัติงานอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ในการตรวจสอบ อีกทั้งจะช่วยให้ผู้ตรวจสอบมีความมั่นใจในการเสนอความเห็นในรายงานการตรวจสอบอย่างถูกต้องตามความเป็นจริงและมีเหตุมีผล
  10. ผู้ตรวจสอบทางด้านคอมพิวเตอร์ นอกจากจะได้รับมอบหมายให้เป็นผู้ตรวจสอบความถูกต้อง และความน่าเชื่อถือได้ของข้อมูลจากงานที่ประมวลผลด้วยคอมพิวเตอร์แล้ว ยังมีหน้าที่ที่สําคัญมากอีกประการหนึ่งก็คือ การร่วมมือและประสานงานตรวจสอบด้านการเงิน (Financial Audit) โดยแนะนําหรือร่วมปฏิบัติงานทางด้านเทคนิคการตรวจสอบในส่วนที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานตรวจสอบทางด้าน Financial มีปัญหาน้อยที่สุด ดังนั้น การศึกษาเทคนิคใหม่ ๆ ทางด้านคอมพิวเตอร์ เพื่อประโยชน์ในการตรวจสอบจึงเป็นสิ่งที่จําเป็นอย่างยิ่ง และจะต้องดําเนินการควบคู่กันไปกับการปฏิบัติงานตรวจสอบด้วยเสมอ ทั้งนี้เพื่อดํารงไว้ซึ่งประสิทธิภาพของการตรวจสอบโดยรวม
  11. เมื่อผมได้ไปปฏิบัติหน้าที่ในฐานะ Deputy Principal ของหลักสูตร SEACEN (South East Asian Central Banks) หลักสูตร Inspection and Supervision of Financial Institutions ครั้งที่ 12 ที่กรุงจาการ์ตา ประเทศอินโดนีเซีย เมื่อปี ค.ศ. 1988 ผมได้แนะนําให้เพิ่มวิชาที่มีเนื้อหาในด้านที่เกี่ยวกับคอมพิวเตอร์หลายวิชา ในหลักสูตรนี้ ทาง SEACEN ได้เชิญผมไปบรรยายความจําเป็นของวิชาเหล่านี้ให้กับเลขาธิการของ SEACEN ที่ไปดูแลหลักสูตรนี้ที่กรุงจาการ์ตา และผมก็ได้ไปอธิบายเรื่องนี้ ณ ที่ทําการสํานักงานใหญ่ของ SEACEN ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย ในปีเดียวกันนั้น ในเรื่องที่เกี่ยวข้องกับการพัฒนาการกํากับ และการตรวจสอบสถาบันการเงินที่ต้องมีวิชานี้เข้าไปเกี่ยวข้องด้วย เพราะเป็นเรื่องที่แยกกันไม่ได้ในวงการกํากับ และการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และทาง SEACEN ก็ได้บรรจุวิชาต่าง ๆ ที่เกี่ยวกับคอมพิวเตอร์เข้าไปในหลักสูตรนี้นับจากนั้นมาจนกระทั่งปัจจุบัน ซึ่งผมได้มีส่วนช่วยบรรยายหลายวิชาในหลักสูตรนี้ที่จัดขึ้นในประเทศต่าง ๆ ของสมาชิก SEACEN ในเวลาต่อมาด้วย นั่นคือ ถึงแม้เป้าหมายของผู้ตรวจสอบจะเป็นการตรวจสอบฐานะความมั่นคงทางการเงิน หรือเป็นการตรวจสอบเพื่อรับรองงบการเงิน แต่ข้อมูลและการควบคุมภายในส่วนใหญ่ได้ถูกประมวลโดยระบบคอมพิวเตอร์แล้ว ดังนั้น การวางแผนการตรวจสอบก็จะต้องคํานึงถึง และเข้าใจในระบบงานด้านคอมพิวเตอร์พอสมควรด้วยเสมอ
  12. นอกจากที่กล่าวทาง SEACEN ก็ได้จัดหลักสูตรใหม่ขึ้นมาโดยเฉพาะ เรียกว่า Computer Audit (Advanced Level) ขึ้น เป็นหลักสูตรการตรวจสอบคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบในสถาบันการเงินโดยเฉพาะ แยกเป็นอีกหลักสูตรหนึ่ง โดยอบรมให้แก่ผู้ตรวจสอบจากธนาคารกลางประเทศต่าง ๆ ในเอเชีย ทาง SEACEN ได้ให้ผมเป็น Course Director สําหรับหลักสูตรนี้อีกครั้ง เพื่อจัดให้มีการอบรมให้กับประเทศต่าง ๆ ที่กรุงเทพฯ เมื่อปลายปี ค.ศ. 1993 ซึ่งช่วงนั้นผมได้บรรยายวิชา EDP Supervision and Financial Institutions ด้วย โดยกล่าวถึง The Thai experienced ในเรื่อง ตามที่สรุปในภาคผนวกเล่มที่ 1 แล้ว แต่วิชาคอมพิวเตอร์อื่น ๆ ในหลักสูตรนี้ที่ผมได้บรรยายให้ SEACEN ในปีก่อน ๆ หน้านี้ ผมไม่ได้นํามาให้ผู้อ่านได้อ่านด้วย เพราะมีบางส่วนได้กล่าวเป็นภาษาไทยในหนังสือชุดนี้อยู่แล้ว
  13. การตรวจสอบด้านคอมพิวเตอร์ถึงแม้จะมีความจําเป็นเด่นชัด แต่ผู้บริหารในองค์กรต่าง ๆ ให้ความสําคัญกับการตรวจสอบด้านนี้แตกต่างกัน และมีจํานวนไม่น้อยที่มองข้ามประเด็นที่สําคัญนี้ อย่างไรก็ดี สําหรับธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยได้กําหนดให้มีการตรวจสอบคอมพิวเตอร์ เพื่อดูแลเรื่องนี้โดยเฉพาะตั้งแต่ ปี 2528 สําหรับสถาบันการเงินอื่น ๆ ทางธนาคารแห่งประเทศไทยก็ได้สั่งการให้สถาบันการเงินเหล่านั้นได้จัดให้มีการตรวจสอบงานด้านคอมพิวเตอร์แล้วด้วย
  14. งานตรวจสอบด้านคอมพิวเตอร์ (IS Audit หรือ IS Examination) ในด้านของธนาคารแห่งประเทศไทย หรือ FFIEC ของประเทศสหรัฐอเมริกา แล้วมีวัตถุประสงค์อย่างกว้าง ๆ เช่นเดียวกับการตรวจสอบฐานะและความมั่นคงของสถาบันการเงิน นั่นคือ 1.) เพื่อประเมินฐานะความมั่นคงของสถาบันการเงิน 2.) เพื่อประเมินและวัดคุณภาพการจัดการ และการดําเนินงานของผู้บริหารระดับสูง 3.) เพื่อให้คําแนะนํา แก้ไขจุดอ่อนต่าง ๆ ที่อาจก่อให้เกิดปัญหาต่อสถาบันการเงินเป็นการล่วงหน้า เพื่อให้สถาบันการเงินปรับปรุงคุณภาพของการบริหารงาน และการดําเนินงานให้มีความมั่นคง และเป็นไปตามระเบียบ คําสั่ง และกฎหมายที่เกี่ยวข้อง อย่างไรก็ดี วัตถุประสงค์ของการตรวจสอบด้าน IS Audit ของผู้สอบบัญชีรับอนุญาต และผู้สอบ บัญชีภายในจะแตกต่างกันไปตามเป้าหมายหลักของตนเอง
  15. การตรวจสอบด้านคอมพิวเตอร์ที่ปัจจุบันมักนิยมเรียกกันว่า IS Audit ในประเทศสหรัฐอเมริกา และ IT Audit ในประเทศอังกฤษและออสเตรเลีย มากกว่าคําที่ใช้เรียกกันเต็ม ๆ ว่า Computer หรือ EDP Audit นั้น มีเรื่องที่ต้องทําความเข้าใจกันมากพอสมควร ยิ่งผู้สนใจท่านใดอ่านหนังสือประเภทนี้จากผู้แต่งหลาย ๆ คน จากประเทศต่าง ๆ แล้ว ก็อาจจะพบกับความสับสนมากขึ้น ทั้งนี้เพราะผู้แต่งแต่ละท่านก็มีความคิด/จุดยืนและทัศน รวมทั้งการผูกเรื่องให้อ่าน หรือทําความเข้าใจแตกต่างกันนั่นเอง
  16. จุดยืนและความแตกต่างของตําราที่ผู้เขียนเรื่อง การตรวจสอบด้านคอมพิวเตอร์ ก็ขึ้นกับความ ถนัดและประสบการณ์ของผู้เขียนแต่ละท่าน เช่น บางท่านถนัดทางด้านการตรวจสอบระบบงานแต่ละอย่าง (Application Audit) เพราะผู้แต่งหรือผู้เขียนทํางานในด้านนี้ บางท่านทํางานในองค์กรเอกชน หรือตามโรงงานอุตสาหกรรมต่าง ๆ ในขณะที่บางท่านแต่งหรือเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์ในฐานะที่เป็นผู้กํากับและตรวจสอบสถาบันการเงิน จึงมีหน้าที่และบทบาทต่างกันออกไป เช่น ผู้ตรวจสอบของ FDIC, FRB, OCC ซึ่งเรียกรวม ๆ กันว่า Federal Financial Institution Examination Council (FFIEC) ของประเทศสหรัฐอเมริกา ที่เป็นหน่วยงานของรัฐ ซึ่งทําหน้าที่ตรวจสอบทั้งฐานะความมั่นคงและการดําเนินงานโดยทั่วไป ซึ่งเรียกกันว่า Financial Examiner และบางส่วนแบ่งมาทําหน้าที่ตรวจสอบด้านคอมพิวเตอร์ เรียกกันในระยะแรก ๆ ว่า EDP Examiner นั้น ก็มีประสบการณ์การเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์แตกต่างกันไปตามความรับผิดชอบของตน นั่นคือ FFIEC จะเน้นการตรวจสอบทางด้านศูนย์ประมวลข้อมูลของสถาบันการเงิน (Data Center) ซึ่งจะตรวจงานทางด้านการดําเนินงานและการบริหารงานของศูนย์คอมพิวเตอร์เป็นสําคัญ และจะไม่เน้นหรือจะไม่ตรวจสอบทางด้าน Application Audit ซึ่งทาง FFIEC พิจารณาว่าเป็นงานของผู้ตรวจสอบภายนอก (External Auditor) และผู้ตรวจสอบภายในของสถาบันการเงินหรือองค์กรอื่น ๆ ซึ่งผู้ตรวจสอบประเภทหลังนั้น จะตรวจสอบทั้งทางด้าน Data Center หรือตรวจสอบการควบคุมภายในโดยทั่วไป (General Controls) และตรวจสอบการควบคุมภายในเฉพาะระบบงาน หรือ เรียกว่า Application Controls หรือ Application Audit ด้วย
  17. เมื่อมาถึงจุด ๆ นี้ ก็มีคําที่ต้องทําความเข้าใจกันต่อก็คือ การตรวจสอบงานด้านคอมพิวเตอร์ที่เรียกและเข้าใจกันง่าย ๆ Computer Audit นั้น มีการตรวจสอบเป็น 2 ลักษณะ 17.1. การตรวจสอบด้านศูนย์ประมวลข้อมูล (Data Center) หรือเรียกกันว่าเป็นการตรวจสอบการควบคุมโดยทั่วไป (General Controls) หรือเป็นการตรวจสอบ “องค์กร” หรือเป็นการตรวจสอบการดําเนินงานและการบริหารงานด้านคอมพิวเตอร์ขององค์กร 17.2. การตรวจสอบงานใดงานหนึ่งเป็นการเฉพาะ เช่น การตรวจสอบงานด้านเงินฝาก เงินให้กู้ ฯลฯ ก็เรียกกันว่าเป็นการตรวจสอบด้าน Application หรือเป็นการตรวจสอบการควบคุมภายในเฉพาะงาน (Application Controls) หรือทําให้เข้าใจง่ายยิ่งขึ้นก็เรียกว่าการตรวจสอบ “งาน” ภายในองค์กร
  18. การตรวจสอบงานด้านคอมพิวเตอร์ โดยหลักใหญ่ ๆ จึงสรุปได้ว่ามีเพียง 2 ลักษณะ คือ ตรวจสอบ “องค์กร” กับ “งาน” จะเป็นการตรวจสอบด้านใด ก็ขึ้นกับความรับผิดชอบของผู้ตรวจสอบในแต่ละองค์กรว่ายืนอยู่ ณ จุดใด มีความรับผิดชอบด้านใด ท่านต้องการกําหนดขอบเขตการตรวจสอบ (Audit Scope) เพียงใด ดังนั้น ผู้อ่านจึงต้องแยกแยะว่าท่านต้องการเรียนรู้งานการตรวจสอบด้านคอมพิวเตอร์ลักษณะใด แล้วจึงค่อย ๆ ทําความ เข้าใจกับคําอธิบายเฉพาะส่วนนั้น ๆ และความเกี่ยวพันที่เกี่ยวข้อง เช่น ควรเข้าใจว่าหาก General Controls มีปัญหาก็จะกระทบกับการวางแผนและการตรวจสอบด้าน Application Controls เพียงใด และควรมีวิธีการตรวจสอบอย่างไร เป็นต้นอนึ่ง ถึงแม้จะมีตําราการตรวจสอบด้านคอมพิวเตอร์บางเล่ม ได้แยกหัวข้อการตรวจสอบแตกต่างไปจากที่กล่าวข้างต้น เช่น มักจะแยกหัวข้อการตรวจสอบการพัฒนาระบบงานเพิ่มมาอีกก็ตาม ผมก็ยังมีความเห็นว่า น่าจะรวมอยู่ในการตรวจสอบ General Controls จะเหมาะสมกว่า นอกจากนี้แผนภูมิแสดงการตรวจสอบโดยย่อ ที่มีมากกว่า 1 แห่ง ในหนังสือของผมทั้ง 3 หรือ 4 เล่ม ก็อาจมีความแตกต่างกันในรายละเอียดปลีกย่อย ทั้งนี้ ขอให้ผู้อ่านอย่าสับสน เพราะเหตุผลเกิดจากแนวความคิดเบื้องต้นที่อาจแตกต่างกันบ้างของผู้เขียนหนังสือแต่ละคน เช่น บางคนเริ่มจากการวิเคราะห์ความเสี่ยง ซึ่งผมชอบแนวทางนี้ บางคนไม่วิเคราะห์ถึงความเสี่ยงก่อน แต่ให้เริ่มต้นจากการทําความเข้าใจระบบงานก่อน ซึ่งในที่สุด ผู้อ่านจะพบว่าไม่ว่าจะเริ่มแบบใด ในที่สุดแล้วก็จะมาสู่จุดเดียวกันจนได้ หากท่านผู้อ่านเข้าใจได้เช่นนี้ ก็แสดงว่าท่านเข้าใจแนวทางการตรวจสอบอย่างถ่องแท้แล้ว อย่างไรก็ดี หลักการส่วนใหญ่จะไม่แตกต่างกันมาก แต่จะแตกต่างกันในการบรรยายและการทําความเข้าใจ
  19. ผู้อ่านควรทําความเข้าใจในคําต่อไปนี้ คือ EDP examiner, EDP auditor ซึ่งคํา ๆ หลังนี้ยังแยกได้เป็น 2 ส่วน คือ External Auditor และ Internal Auditor สรุปเพียงข้อนี้ก่อนว่า ผู้ตรวจสอบด้าน คอมพิวเตอร์เองก็มี 3 แบบ มีความรับผิดชอบและหน้าที่แตกต่างกัน และผู้ตรวจสอบต้องเข้าใจลักษณะของหน้าที่ และความรับผิดชอบที่แตกต่างกันนั้น ๆ ด้วย เพราะความแตกต่างกันนั้น ยังมีส่วนเหลื่อมที่เป็นความเหมือน หรือความคล้ายกันปะปนกันอยู่ด้วย นั่นคือ การกําหนดขอบเขตและวิธีการตรวจสอบ อาจมีความสัมพันธ์ซึ่งกันและกันตามลักษณะของผู้ตรวจสอบ ทั้ง 3 แบบได้
  20. การให้ถ้อยคําเป็นภาษาไทยที่ถอดความจากภาษาอังกฤษ ในศัพท์คอมพิวเตอร์บางครั้งก็มิใช่ของง่ายเพราะถึงแม้จะมีการแปลศัพท์คอมพิวเตอร์เป็นภาษาไทยกันแล้วหลายเล่ม แต่การใช้ภาษาไทยก็ยังมีการใช้แตกต่างกันอยู่ ซึ่งขึ้นกับความถนัดและความเข้าใจของผู้เรียบเรียงหรือผู้เขียนเป็นสําคัญ ดังนั้น การให้ถ้อยคําในภาษาไทยในแต่ละเรื่อง ถึงแม้มาจากภาษาอังกฤษคํา ๆ เดียวกัน ก็ใช้ถ้อยคําแตกต่างกันที่อาจทําให้ผู้อ่านสับสนได้ อย่างไรก็ดี คําศัพท์ภาษาไทยที่ยังไม่นิยมกัน ผมไม่ได้นํามาใช้ในเอกสารประกอบการบรรยายนี้ และคําศัพท์หลายคําผมได้ให้ความหมายใหม่ตามที่ผมเข้าใจ เช่นคําว่า “default” โดยทั่วไปแปลว่า “โดยปริยาย” ในหลายตอนผมแปลว่า “มาตรฐานของระบบงานที่ได้กําหนดไว้ล่วงหน้า” หรือ “คําสั่งตามเงื่อนไขเบื้องต้นที่กําหนดไว้ในโปรแกรม” นอกจากนี้ หากท่านผู้อ่านพบกับคําว่า เกิด default ก็ขอให้เข้าใจว่า “เกิดข้อคลาดเคลื่อน” หรือ “เกิดการปฏิบัติงานที่ผิดไปจากเงื่อนไขหรือคําสั่งงานที่กําหนดไว้” และในบางกรณีก็หมายถึง “เกิดปัญหาการปฏิบัติงานที่เกิดจากมาตรฐานหรือเงื่อนไขเบื้องต้น” ทั้ง ๆ ที่การเกิด default นี้เป็นไปตามคําสั่งหรือมาตรฐานของระบบงานก็ตาม ซึ่งแสดงถึงจุดอ่อนหรือความเสี่ยงที่เกิดจากการทํา default ในโปรแกรมนั่นเอง อย่างไรก็ดี ความหมายในภาษาไทยที่ใช้และอาจเกิดความสับสนได้นั้น ผมจะวงเล็บภาษาอังกฤษ เพื่อให้เปรียบเทียบประกอบความเข้าใจเป็นส่วนมากไว้ด้วย ดังนั้นหากท่านผู้อ่านจะนําศัพท์ภาษาอังกฤษไปเปรียบเทียบกับ Dictionary ด้านคอมพิวเตอร์ ก็จะพบว่าการให้ความหมายแตกต่างกันไป ซึ่งบางกรณีทําให้เกิดความเข้าใจที่แตกต่างกันด้วย
  21. ถ้อยคําในภาษาไทยที่ใช้ในการบรรยายการตรวจสอบด้านคอมพิวเตอร์ ในบางครั้งที่พบ เช่น การตรวจสอบระบบคอมพิวเตอร์โดยทั่วไป (ซึ่งหมายถึงการตรวจสอบ Data Center หรือ General Controls) กับคําว่า การตรวจสอบคอมพิวเตอร์เฉพาะงาน หรือบางครั้งก็ใช้คําว่า การตรวจสอบระบบงาน (ซึ่งหมายถึง Application Audit หรือ Application Controls) ถ้าผู้อ่านพยายามนึกถึงภาษาอังกฤษประกอบด้วยแล้ว จะทําให้ความสับสนน้อยลงได้ ทั้งนี้มีข้อแนะนําว่า หากรู้สึกสับสนก็ขอให้ถามตนเองว่า ขณะนี้เรากําลังอยู่จุดไหน หรือขั้นตอนใดของงานการตรวจสอบ เรามีเป้าหมายและขอบเขตการตรวจสอบอะไร เพียงใด ก็จะช่วยได้มาก โดยเฉพาะ การให้คําภาษาไทยที่ไม่ได้วงเล็บภาษาอังกฤษไว้ด้วย การที่ผมย้ำจุดนี้หลายครั้งก็เพราะ จากประสบการณ์ที่ผ่านมาในระยะแรก ๆ ทั้งตัวผมเองและผู้ฟังการบรรยาย มักจะพบกับปัญหาการทําความเข้าใจจากจุดนี้เป็นสําคัญ
  22. ถ้อยคําอื่น ๆ ที่มีปัญหาก็อาจเกิดจากเทคนิคทางด้านคอมพิวเตอร์ นอกเหนือจากการใช้ภาษาไทยได้ ตัวอย่างเช่น โปรแกรมระบบงาน (System Program หรือ System Software) และคําว่าโปรแกรมเฉพาะงาน (Application Program หรือ Application Software) โดยมีถ้อยคําภาษาไทยที่คล้ายกันมาก หากไม่วงเล็บภาษาอังกฤษไว้ด้วย จะชวนทําให้สับสนได้ง่ายเช่นกัน หรือการตรวจสอบความถูกต้องของรายการทางการเงิน ก็มีคําภาษาอังกฤษที่ใช้ต่าง ๆ กัน เช่น Validation Procedures หรือ Verification Procedures หรือ Substantive tests เป็นต้น ดังนั้น ผู้ตรวจสอบ จึงควรทําความเข้าใจระบบงานของคอมพิวเตอร์ให้ถ่องแท้ ก่อนการวางแผนและดําเนินการตรวจสอบ
  23. ถึงข้อนี้ ผมจึงขอกล่าวอีกครั้งว่า การตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบจะต้องทําความ เข้าใจกับระบบงานทั้งหมด (Total System Approaches) ในส่วนของงานที่ต้องการตรวจสอบในองค์กร กล่าวคือ ผู้ตรวจสอบต้องทําความเข้าใจ ทั้งในส่วนที่ใช้คอมพิวเตอร์และส่วนที่ไม่ใช้คอมพิวเตอร์ และทั้ง 2 อย่างรวมกัน เพื่อแยกแยะให้ได้ว่า จะเริ่มต้นตรวจอะไรที่จุดใด ใช้เทคนิคแบบไหน จะตรวจสอบเมื่อใด และต้องการรูปแบบ หลักฐานอย่างไร และควรจะจบลงอย่างไรในการตรวจสอบ ฯลฯ ในงานแต่ละเรื่องตามเป้าหมายที่กําหนดไว้ นอกจากนั้น ผู้ตรวจสอบจะต้องเข้าใจความสัมพันธ์ของข้อมูลที่เกี่ยวข้องของ “งาน” (Application) ในแต่ละประเภทภายในองค์กร เพื่อกําหนดจุดตรวจสอบด้วย
  24. จากข้อ 23. หากจะกล่าวให้ถูกต้องยิ่งกว่านี้ ก็ควรกล่าวว่า ผู้ตรวจสอบทุกประเภทควรเข้าใจระบบงานที่ตรวจสอบ ทั้งในส่วนที่ใช้คอมพิวเตอร์และไม่ใช้คอมพิวเตอร์ให้ดี จึงจะสามารถวางแผน กําหนดขั้นตอนและเทคนิคการตรวจสอบที่เหมาะสม และติดตามการตรวจสอบของผู้ร่วมงานได้อย่างมีประสิทธิภาพ เพราะปัจจุบันทางการของไทยก็ได้ออกมาตรฐานการตรวจสอบบัญชีที่ใช้คอมพิวเตอร์ออกมา 3 ฉบับ ด้วยกัน คือ มาตรฐานการสอบบัญชีฉบับที่ 28, 29, 36 ให้ผู้สอบบัญชีโดยทั่วไปถือปฏิบัติอยู่แล้ว และกรมสรรพากรก็ได้ออก กฎเกณฑ์บางประการในการใช้คอมพิวเตอร์มาให้ถือปฏิบัติด้วยเช่นกัน ดังนั้น เมื่อกล่าวถึงการตรวจสอบโดยทั่วไป ผู้ตรวจสอบ จึงไม่อาจหลีกเลี่ยงจากการทําความเข้าใจในระบบงานทั้งหมด ก่อนการตรวจสอบเริ่มขึ้นได้ ยกเว้น การตรวจสอบที่มีเป้าหมายเฉพาะอย่างบางด้าน และผู้ตรวจสอบมีความเข้าใจระบบงานโดยรวมขององค์กรที่จะเข้าตรวจสอบมาก่อน หลังจากองค์กรนําคอมพิวเตอร์มาใช้ในกระบวนการ “process” งานครั้งล่าสุดแล้ว
  25. แม้ว่า ในการนําคอมพิวเตอร์มาใช้จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบ แต่ลักษณะการประเมินการควบคุมภายใน ตลอดจนหลักฐานและวิธีการตรวจสอบ จะเปลี่ยนแปลงไปมาก ในระบบที่ทําด้วยมือนั้น มักเน้นการทํา substantive test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คน หรือระบบ Manual ในการประมวลผลข้อมูล ย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้น การใช้ substantive test จะช่วยลดความเสี่ยงได้มาก แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี โอกาสที่จะเกิดการผิดพลาดเพราะ Human error อันเกิดจากการประมวลข้อมูลนั้น จะมีน้อยหรือไม่มีโอกาสเกิดขึ้นได้ ถ้าระบบงานและขั้นตอนการควบคุมภายในต่าง ๆ ที่ใช้คอมพิวเตอร์ควบคุมนี้ ได้รับการทดสอบเป็นที่แน่ใจแล้วว่า มีประสิทธิภาพยอมรับได้ ดังนั้น การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ จึงควรเปลี่ยนจากการเน้นตรวจ substantive test ไปเป็นการประเมินการควบคุมภายในแทน ด้วยเหตุผล 3 ประการ คือ 25.1. ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ ช่วยให้มั่นใจได้ว่า การประมวลผลจะมีความสม่ำเสมอด้วย 25.2. การตรวจสอบผลที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ ในลักษณะของการทํา substantive test นั้น ทําได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน audit trail ได้เปลี่ยนแปลงไปมาก และหลาย ๆ กรณีก็ไม่อาจกระทําการตรวจสอบแบบ manual ได้ด้วยวิธีการปกติ 25.3 ผู้ตรวจสอบถูกกําหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน ดังนั้น จะเห็นว่าผู้ตรวจสอบจําเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์ เหตุผลข้อ 25. นี้ เป็นการย้ำว่า ในองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบภายในเป็นเรื่องสําคัญลําดับต้น ๆ และการตรวจสอบด้านคอมพิวเตอร์ (IS Audit) ไม่ว่าจะเป็นการตรวจสอบ “องค์กร” (Data Center) หรือตรวจสอบ “งาน” (Application) ก็เน้นการตรวจสอบการควบคุมภายใน คือ General Controls และ Application Controls ด้านคอมพิวเตอร์นั่นเอง เมื่อถึงประเด็นตามวรรคข้างต้น ผมคิดว่าเป็นจุดที่น่าสนใจ หากจะกล่าวต่อไปว่าการตรวจสอบเพื่อรับรองงบการเงินขององค์กร ซึ่งปกติเป็นหน้าที่ของผู้สอบบัญชีรับอนุญาต ซึ่งเป็นผู้สอบบัญชีภายนอกประเภทหนึ่งนั้น มีความสัมพันธ์กันอย่างใกล้ชิดกับการตรวจสอบงานด้านคอมพิวเตอร์ในองค์กรที่ใช้คอมพิวเตอร์ เพราะ IS Audit หรือการตรวจสอบด้านคอมพิวเตอร์ เน้นการตรวจสอบด้านการควบคุมภายในและการดําเนินงาน ซึ่งเป็นขั้นตอนต้น ๆ ที่จําเป็นของการตรวจสอบฐานะการเงิน ดังนั้น การตรวจสอบด้านคอมพิวเตอร์ (IS หรือ IT Audit) จึงมีความสัมพันธ์อย่างใกล้ชิดกับการตรวจสอบงบการเงินและการดําเนินงาน ซึ่งเรียกว่า Financial Audit อย่างสําคัญ และไม่อาจหลีกเลี่ยงได้ในปัจจุบัน อย่างไรก็ดี การตรวจสอบฐานะความมั่นคงของสถาบันการเงินในภาพรวม ก็เป็นหน้าที่ของผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งเรียกรวม ๆ กันว่า Financial examiner จากความสัมพันธ์ดังกล่าว หนังสือเล่มนี้ซึ่งเน้นด้านการตรวจสอบด้านคอมพิวเตอร์ จึงได้กล่าวถึงการ ตรวจสอบทั้งทางด้าน IS Audit และ Manual Audit ซึ่งเป็นการตรวจสอบแบบเดิมไว้ เพื่อการศึกษาเปรียบเทียบ และทําความเข้าใจในความแตกต่างของวิธีการตรวจสอบทั้ง 2 แบบไว้ด้วย
  26. ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายในไม่ว่าจะเป็น Data Center หรือ Application Audit ผู้ตรวจสอบควรมีการกําหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทําการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ดีในการประเมินผลการตรวจสอบได้อีกด้วย
  27. ผู้ตรวจสอบจําเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจ ที่มีการนําเอาคอมพิวเตอร์ เข้ามาใช้ได้อย่างมีประสิทธิภาพ ทักษะทางด้านคอมพิวเตอร์ของผู้ตรวจสอบแต่ละคน อาจแตกต่างกันออกไป แต่สําหรับทั้งทีมงานแล้ว ต้องมีทักษะทางคอมพิวเตอร์โดยรวมที่เหมาะสม และเพียงพอแก่การปฏิบัติหน้าที่ ตามมาตรฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ของทางการ และของสากล
  28. ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบ ต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอระดับหนึ่งแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้ หากการตรวจสอบนั้นเป็นการตรวจสอบด้านคอมพิวเตอร์ หรือมีส่วนที่เกี่ยวข้องกับคอมพิวเตอร์ ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทํางานเหล่านี้ทั้งหมดได้ตามลําพังจากความก้าวหน้าอันรวดเร็วทางเทคโนโลยี จําเป็นต้องให้ผู้บริหาร และผู้ใช้ได้รับการฝึกอบรมทางด้านคอมพิวเตอร์ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย คอมพิวเตอร์เอง ก็ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมภายในด้วย
  29. การทําแผนภูมิหลายแผนในหนังสือเล่มนี้ เป็นการจัดทําขึ้นเพื่อให้ผู้อ่านได้ติดตาม และทําความ เข้าใจเรื่องราวที่เกี่ยวข้องได้ง่ายและสะดวกขึ้น ทั้งนี้หลาย ๆ กรณี เป็นการประยุกต์มาจากความคิดและความเข้าใจของผมเอง เพื่อใช้ในการบรรยายเป็นสําคัญ อย่างไรก็ดี ผมใคร่ขอย้ำว่า ท่านผู้อ่านควรตอบตนเองก่อนว่าขณะนี้ กําลังทําความเข้าใจเรื่องอะไร ขณะนี้กําลังอยู่ในส่วนใดของกระบวนการตรวจสอบ และกําลังมองมุมผู้ตรวจสอบว่า เป็นประการใดจาก 3 ประเภทดังได้กล่าวข้างต้นแล้ว ทั้งนี้ ต้องมีเป้าหมายและขอบเขตที่แน่นอนของตนเองด้วยว่า กําลังตรวจสอบประเภท และเรื่องอะไรอยู่เป็นต้น
  30. เนื่องจากการรวบรวมเอกสารประกอบการบรรยายเรื่อง “การดําเนินงานและการตรวจสอบสถาบัน การเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ ก็เช่นเดียวกับเล่ม 1 และเล่มที่จะพิมพ์ต่อไป ซึ่งเล่ม 3 จะเน้นเรื่อง คอมพิวเตอร์กับการทุจริต และแนวการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือ รวมทั้งการจัดทําแผนฉุกเฉิน หนังสือทั้ง 3 หรือ 4 เล่ม เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไป ในช่วงเวลาตั้งแต่ปี 2524-2536 แก่สถาบันหลายแห่ง และผมมีโอกาสแก้ไขเพิ่มเติมได้ไม่มากนัก เนื่องจากเวลาจํากัดมาก เพราะต้องการพิมพ์ให้เสร็จภายในเดือนกันยายน 2539 ทั้ง 3 เล่ม จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อหารวมทั้งแผนภูมิต่าง ๆ มากกว่าร้อยละ 95 ยังคงใช้ได้ดีจนถึงปัจจุบัน เพราะถึงแม้เทคนิคด้านรายละเอียดทางคอมพิวเตอร์จะพัฒนาไปอีกมาก แต่หลักการส่วนใหญ่ของการประมวลงานและการตรวจสอบก็ยังคงใช้หลักการเดิม ทั้งนี้ สังเกตได้จากการแต่งหนังสือที่มีการพิมพ์ครั้งหลังๆ ของตําราด้านตรวจสอบคอมพิวเตอร์ก็มีการแก้ไขใหม่ไม่มากนัก
  31. สิ่งที่ผมใคร่จะเน้นก็คือ การใช้เทคนิคการตรวจสอบว่าสมควรที่ผู้ตรวจสอบใช้เทคนิคใด
    ซึ่งขึ้นกับความรู้และประสบการณ์ของผู้ตรวจสอบเป็นหลัก และขึ้นกับความจําเป็นตลอดจนสิ่งแวดล้อมและหลักฐานที่ต้องการ ด้วย เช่น จะใช้การตรวจสอบในแบบ Around the Computer หรือที่นิยมเรียกกันใหม่ เพื่อป้องกันความเข้าใจผิดว่า Audit without using the computer เพื่อเน้นว่าไม่ว่าจะเป็นการตรวจสอบแบบใด ผู้ตรวจสอบก็ไม่อาจหลีกเลี่ยงการประเมินประสิทธิภาพการควบคุมภายในได้ หรือใช้วิธีตรวจสอบลึกเข้าไปถึงการทํางานของโปรแกรมคอมพิวเตอร์ (Audit Through The Computer) พอสมควร ส่วนการใช้ Computer เป็นเครื่องมือช่วยในการวางแผนและการตรวจสอบนั้น ปัจจุบันนี้ผู้ตรวจสอบมีโอกาสเลือกน้อยแล้ว กล่าวคือ ผู้ตรวจสอบจําเป็นต้องใช้ Computer ให้มีส่วนช่วยในการตรวจสอบไม่มากก็น้อย ในอดีตผมและคณะผู้ตรวจสอบมักใช้วิธี Test Data ในการทดสอบความน่าเชื่อถือได้ของโปรแกรม ซึ่งเป็นการทดสอบในแบบ Through the Computer แบบหนึ่ง แต่ผมยังมีประสบการณ์น้อยในการใช้โปรแกรมสําเร็จรูปในการตรวจสอบ หนังสือชุดนี้จึงไม่ได้กล่าวถึงเรื่องนี้มากนัก
  32. หนังสือทั้ง 3 เล่มหรืออาจมีถึง 4 เล่ม จากเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการ เงินด้านคอมพิวเตอร์” เป็นการรวบรวมเอกสารประกอบการบรรยายต่าง ๆ ของผมในช่วงระหว่างปี 2524 ถึง 2536 ดังกล่าวแล้ว ในคํานําเล่ม 1 โดยได้เขียนคําอธิบายเพิ่มเติมประกอบเรื่อง และแผนภาพในบางเรื่อง เพื่อความเข้าใจที่กระจ่างขึ้น การเขียนเรื่องเพิ่มเติมและการตรวจทานความถูกต้องจากการพิมพ์ใช้เวลามากพอสมควร เนื้อหาสาระในหนังสือทุกเล่ม ถึงแม้จะพยายามลําดับเรื่องให้ได้ตามความเหมาะสมแล้วก็ตาม แต่ก็ยังมีเรื่องที่เป็นสิ่งละอันพันละน้อยต่าง ๆ ที่ผมได้สรุปไว้ใช้ในการบรรยายในโอกาสต่าง ๆ กันได้ปรากฏอยู่ในเรื่องหรือหัวข้ออื่นอยู่ด้วย เช่น ข้อสรุปที่ผู้ตรวจสอบและผู้บริหารควรทราบในรูปแบบแผนภูมิบ้าง แผนภาพบ้าง และคําบรรยายสรุปผัง เป็นต้น สิ่งเหล่านี้จะเป็นประโยชน์และทําความเข้าใจให้กับผู้ฟังและผู้อ่านมากขึ้น ถ้าผู้อ่านหรือผู้ใช้หนังสือชุดนี้จะหยิบยกเรื่องที่เกี่ยวข้องมาประกอบในเรื่องที่ศึกษาด้วย โดยเฉพาะอย่างยิ่ง การศึกษาเรื่องคอมพิวเตอร์กับการทุจริตและการตรวจสอบ ซึ่งปรากฏในเล่ม 3 โดยสรุปเรื่องตรวจสอบเป็นบทสั้น ๆ เป็นการทบทวนในอีกแนวทางหนึ่งด้วย
  33. การพัฒนางานตรวจสอบทั้งด้าน Computer Audit และ Financial Audit โดยจําลองระบบงานที่สําคัญขององค์กรนั้น ๆ เช่น สถาบันการเงิน โดยเน้นด้านการควบคุมและการตรวจสอบที่เป็นจริงให้ผู้ตรวจสอบติดตามได้ในภาคสนาม (Field work) จริง ๆ ที่เรียกกันว่า Simulation Audit นั้น เป็นเรื่องที่น่าสนใจมาก เพราะจะทําให้ผู้ตรวจสอบได้ฝึกหัดการตรวจสอบ ณ ที่ทําการได้คล้าย ๆ กับการปฏิบัติงานจริงในภาคสนามเลยทีเดียว
  34. หนังสือเล่มแรกของชุดนี้ได้เร่งรีบจัดทํามาก เพื่อให้ทันแจกจ่ายในงานวันธนาคารภาคตะวันออก เฉียงเหนือประจําปี 2539 ที่จังหวัดร้อยเอ็ด จึงได้มีการตรวจทานงานพิมพ์เพียงครั้งเดียว ประกอบกับมีความสับสนในการจัด file ที่แก้ไขแล้วและก่อนแก้ไขในการจัดพิมพ์จริง จึงปรากฏข้อผิดพลาดที่ตรวจพบภายหลังการเย็บเล่มแล้วหลายแห่ง จึงขออภัยท่านผู้อ่านมา ณ ที่นี้ด้วย อย่างไรก็ดี ผมได้แทรกแก้ไขคําผิดไว้ในหน้าหลังของเล่มแรกแล้ว
  35. หนังสือชุดนี้เป็นการให้คําแนะนําล่วงหน้าแก่สถาบันการเงินในด้านการบริหาร การดําเนินงาน
    และการตรวจสอบ รวมทั้งประเด็นปัญหาที่น่าสนใจ เพื่อหาทางป้องกันและ/หรือแก้ไขการทุจริต และการจัดทําแผนฉุกเฉินทางด้านคอมพิวเตอร์ ซึ่งจะปรากฏในเล่มต่อไป ทั้งนี้เป็นการดําเนินงานตาม Action plan ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ เพื่อให้บรรลุผลตามโครงการนี้ ก็น่าจะช่วยลดภาระของธนาคารได้ทั้งในปัจจุบันและอนาคต อย่างไรก็ดี การทําความเข้าใจในหนังสือชุดนี้นั้น ผมได้ตั้งแนวทางว่า ท่านผู้อ่านได้ทราบพื้นฐานทางด้านการประมวลงานด้วยคอมพิวเตอร์พอสมควรแล้ว
  36. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้าน คอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมา ในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

เมธา สุวรรณสาร ผู้อํานวยการ
ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงหนือ
7 กันยายน 2539

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 2” ภาคการตรวจสอบ สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3” และเล่มถัดไป ผมจะเผยแพร่ในโพสต์ต่อ ๆ ไปนะครับ

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 2Download

Leave a Comment » | การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์, ผลงานหนังสือของผู้เขียน / ประวัติศาสตร์ด้านการตรวจสอบ, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หนังสือการดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์

พฤศจิกายน 7, 2024

ก่อนที่ผมจะเผยแพร่หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์” ซึ่งเป็นการรวบรวมจากความรู้และเอกสารประกอบการบรรยาย ที่ผมได้ไปบรรยายในสถานที่ต่าง ๆ ไม่ว่าจะเป็นมหาวิทยาลัย ธนาคารพาณิชย์ สถาบันการเงิน รวมถึงสถาบันการฝึกอบรมต่าง ๆ ตามที่จะปรากฎในหนังสือดังกล่าวข้างต้นต่อไปนั้น
ผมมีความเห็นว่า หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์” มีเนื้อหาและข้อมูลที่เกี่ยวกับการดำเนินงาน และการตรวจสอบ กระบวนการตรวจสอบสำคัญต่าง ๆ ที่น่าจะเป็นประโยชน์ต่อผู้ตรวจสอบ ผู้สอบบัญชี รวมถึงผู้ที่เกี่ยวข้อง เป็นอย่างมาก โดยได้รวบรวมเอาไว้ด้วยกันเป็นหนังสือ 4 เล่ม ดังนี้

เล่ม 1 เป็นการบรรยายเน้นหนักในเรื่องที่เกี่ยวข้องกับการดำเนินงานด้านคอมพิวเตอร์ และข้อคิดเห็น ข้อสังเกตในการบริหารงาน รวมทั้งหลักการการตรวจสอบในบางเรื่อง
เล่ม 2 เป็นรายละเอียด และเน้นด้านการควบคุมภายในและการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก
เล่ม 3 จะแสดงตัวอย่างของจุดอ่อนทางคอมพิวเตอร์ต่าง ๆ ที่พบในประเทศไทยและต่างประเทศ โดยเฉพาะอย่างยิ่ง การกล่าวถึงการทุจริตโดยใช้คอมพิวเตอร์เป็นเครื่องมือ และแนวทางการตรวจสอบการทุจริตทางด้านคอมพิวเตอร์ที่น่าสนใจ และสำหรับ
เล่ม 4 เป็นเรื่องของการทำแผนฉุกเฉิน และกรณีศึกษา

จากระยะเวลาที่ได้ดำเนินมา กว่าจะเป็นหนังสือ 4 เล่มนี้ จนถึงปัจจุบัน ทำให้ผมได้เห็นถึงพัฒนาการของการดำเนินงาน การตรวจสอบด้านคอมพิวเตอร์ ซึ่งเป็นไปตามยุคตามสมัย ถึงแม้ว่าเนื้อหาหรือข้อมูลในหนังสือทั้ง 4 เล่มนี้ จะมีบางส่วนที่อาจจะล้าสมัยไปบ้างแล้วก็ตาม แต่ถึงกระนั้นก็ยังมีเนื้อหาส่วนมากที่ยังใช้ได้ในปัจจุบันและยังคงเป็นประโยชน์ต่อผู้ตรวจสอบ ผู้สอบบัญชี รวมถึงผู้ที่เกี่ยวข้อง ผู้ซึ่งจะนำไปใช้หรือนำไปต่อยอดให้เข้ากับยุคสมัยใหม่ที่เปลี่ยนแปลงไปในอนาคตได้ จึงเป็นเหตุผลที่ทำให้ผมตัดสินใจเผยแพร่หนังสือ 4 เล่มนี้ครับ

การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 1

คำนำ

การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มนี้และเล่มต่อ ๆ ไป เป็นการรวบรวมจากเอกสารประกอบการการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไปของผมในช่วงเวลาตั้งแต่ปี พ.ศ. 2524-2536 ให้แก่สถาบันหลายแห่ง เช่น การบรรยายให้นักศึกษาปริญญาโท มหาวิทยาลัยธรรมศาสตร์ AIT (Asian Institue of Technology) กลุ่มธนาคารกลางต่าง ๆ ในประเทศเอเชีย (SEACEN-South East Asian Central Banks) มหาวิทยาลัย ธนาคาร พาณิชย์ สถาบันการเงินหลายแห่ง ธนาคารออมสิน สมาคมนักบัญชี และผู้สอบบัญชีรับ อนุญาตแห่งประเทศไทย สมาคมธนาคารไทย ชมรมผู้สอบบัญชีภายใน หน่วยงานของรัฐ สมาคมตรวจสอบ คอมพิวเตอร์ภาคพื้นกรุงเทพฯ (EDPAA) และสถาบันการฝึกอบรมต่าง ๆ โดยเฉพาะอย่างยิ่งงานบรรยายประจำใน ช่วงดังกล่าวก็คือ การบรรยายให้ผู้ตรวจสอบของฝ่ายกำกับและตรวจสอบสถาบันการเงิน และฝ่ายกำกับและตรวจสอบ ธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยในช่วงนั้น

การที่ผมนำเอกสารบรรยายในอดีตหลายครั้งมาจัดทำเป็นรูปเล่มใหม่นี้ การเรียบเรียงและลำดับเรื่อง อาจมีข้อมูลบางตอนที่คล้ายกันบ้าง และบางตอนก็อาจนำเรื่องที่เคยกล่าวแล้วไปไว้ในเรื่องที่เกี่ยวข้องอีก เพื่อทำความเข้าใจให้ต่อเนื่องกันไป ทั้งนี้เพราะผมมีแนวการบรรยายและการดำเนินเรื่องที่แตกต่างกันไปในแต่ละครั้ง ซึ่งขึ้นกับความเหมาะสมของผู้ฟังแต่ละองค์กรเป็นหลัก

จากหน้าที่หลักที่ผมทำหน้าที่ผู้ตรวจการธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ มานานปี และได้รับมอบหมายจากธนาคารแห่งประเทศไทย ให้ดูแลและรับผิดชอบทางด้านการพัฒนาและการตรวจสอบด้านคอมพิวเตอร์ของสถาบันการเงินในปี 2524 หลังจากที่กลับจากการศึกษา อบรมดูงาน และฝึกงานด้านนี้ครั้งแรก ประมาณ 5 เดือน ที่ประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น และต่อมามีโอกาสไปดูงานที่ประเทศอังกฤษทางด้าน Electronic Banking หลังจากนั้น ผมและเพื่อนร่วมงานได้ศึกษางานตรวจสอบด้านคอมพิวเตอร์เพิ่มเติมอีกมาก เพื่อกำหนดและวางแนวทางการตรวจสอบงานด้านคอมพิวเตอร์ต่อสถาบันการเงินในประเทศไทย

จากการที่ผมทำงานทางด้านกำกับและตรวจสอบธนาคารพาณิชย์ รวมทั้งได้ทำงานทางด้านกำกับและตรวจสอบสถาบันการเงินในช่วงเวลาอันยาวนาน ตลอดเวลาที่ทำงานที่ธนาคารแห่งประเทศไทย เป็นเวลาเกือบ 30 ปี ติดต่อกัน ทำให้พอจะมองเห็นภาพ และปัญหาการดำเนินงานของธนาคารพาณิชย์และสถาบันการเงิน ทั้งทางด้าน Financial และด้าน Computer ได้พอสมควร จึงได้รับเชิญให้เป็นผู้บรรยายงานทั้ง 2 ด้าน โดยเฉพาะในช่วงหลังที่ธนาคารให้ผมมารับผิดชอบงาน ด้านการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ด้วย ผมจึงมีโอกาสได้บรรยายในรูปแบบความสัมพันธ์และความเกี่ยวข้องซึ่งกันและกันของงานทางด้าน Financial และ Computer ซึ่งอย่างหลังนี้มักจะเรียกกันในปัจจุบันว่า IT (Information Technologies) หรือ IS (Information Systems) เพราะมีความหมายกว้างขวางและเหมาะสมกว่า Computer หรือ EDP (Electronic Data Processing) มาก ดังนั้น ถ้าพบคำว่า IT Audit หรือ IS Audit แล้วละก็ คำ ๆ นี้ก็คือ Computer หรือ EDP Audit นั่นเอง

ความหมายของ Computer Audit ในสายงานของผู้กำกับ และผู้ดูแลสถาบันการเงินในความหมายกว้าง ก็คือ การตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ ที่มีผลกระทบต่อความมั่นคงและความสามารถในการดำเนินงานอย่างต่อเนื่อง โดยมีประสิทธิภาพในองค์กรที่ใช้คอมพิวเตอร์ และในความหมายแคบก็คือ การตรวจสอบเพื่อประเมิน การควบคุมความเสี่ยงต่าง ๆ จากการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ ที่มีผลเกี่ยวข้องกับความถูกต้อง ความน่าเชื่อถือได้ของข้อมูลทางการเงิน และการควบคุมภายใน เพื่อให้คำแนะนำในแนวทางป้องกันปัญหาล่วงหน้า ก่อนที่ปัญหาจริงจะเกิดขึ้น อย่างไรก็ดี ขอบเขตของการตรวจสอบด้านคอมพิวเตอร์ จะขึ้นอยู่กับเป้าหมายของการตรวจสอบเป็นสำคัญ

ความเสี่ยง (Risks) ทางด้านคอมพิวเตอร์เป็นความเสี่ยงในรูปแบบใหม่ เพิ่มเติมจากความเสี่ยงในการดำเนินงานตามปกติ ที่อาจมีผลเสียหายต่อฐานะและความมั่นคงของสถาบันการเงินที่สำคัญคือ

1) การหยุดชะงักการให้บริการ ซึ่งเกิดจาก Hardware failure, Software failure หรือปัญหาทางบุคลากรที่ใช้คอมพิวเตอร์อย่างไม่ถูกต้อง ซึ่งเรื่องนี้สถาบันการเงินอาจต้องหยุดการให้บริการ ทั้ง ๆ ที่ไม่มีปัญหาด้านสภาพคล่องได้

2) ความผิดพลาดของข้อมูลทางการเงิน

3) การตัดสินใจที่ผิดพลาดของผู้บริหารอันเกิดจากความผิดพลาดของข้อมูล

4) ข้อมูลทางการเงินและการบัญชีไม่อาจยอมรับได้

5) การทุจริตหรือความเสียหาย ซึ่งบางกรณีเป็นเงินจำนวนมาก

6) ค่าใช้จ่ายส่วนเกินที่เกิดจากการใช้คอมพิวเตอร์อย่างไม่มีประสิทธิภาพ หรือเกิดจากความล้มเหลวของ Hardware หรือ Software หรือบุคลากร ซึ่งบางกรณีกระทบกับความมั่นคงโดยตรงของสถาบันการเงิน

7) เสียเปรียบทางด้านการแข่งขันและการบริการ ซึ่งมีผลต่อชื่อเสียงของสถาบันและส่วนแบ่งด้านการตลาด ความเสี่ยงในแต่ละเรื่องข้างต้น เคยมีตัวอย่างที่ก่อให้เกิดความเสียหายในต่างประเทศและในประเทศเองทุกกรณี และบางกรณีเป็นเรื่องร้ายแรงมาก กรณีของในประเทศมักจะเป็นความลับไม่ได้รับการเปิดเผยทั่วไปส่วนใหญ่ ความเสี่ยงและความเสียหายบางประเภท เช่น การหยุดชะงักการให้บริการเป็นเวลาเกินกว่า 1 วันทำการ เป็นสิ่งที่ทางการจะยอมให้เกิดขึ้นไม่ได้ การตรวจสอบในลักษณะ After the fact สำหรับ Computer Audit จึงไม่ได้ผล การตรวจสอบที่มีประสิทธิภาพ คือการตรวจสอบในลักษณะ Before the fact และให้คำแนะนำที่มีประสิทธิภาพล่วงหน้า ก่อนที่ปัญหาจริง ๆ จะเกิดขึ้น นั่นเอง การดูแลความมั่นคงของสถาบันการเงินของธนาคารแห่งประเทศไทย จึงต้องดูแลในทุกเรื่องที่เกี่ยวข้องกับ เสถียรภาพและประสิทธิภาพในการบริหารงาน เพื่อให้สถาบันการเงินนั้นสามารถดำเนินการได้อย่างต่อเนื่องและมั่นคง ตลอดไป

จากการบรรยาย เรื่อง การตรวจสอบงานด้านคอมพิวเตอร์ ให้ผู้บริหารระดับสูงของธนาคารออมสิน สำนักงานใหญ่ และหน่วยงานต่าง ๆ ของรัฐ ในช่วงท้าย ๆ ก่อนที่ผมจะเดินทางมารับงานในตำแหน่งผู้อำนวยการสาขา ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือจังหวัดขอนแก่น ในปลายปี 2536 ซึ่งผมได้รวบรวมเอกสารเท่าที่รวบรวมได้ในเวลาจำกัด จากการบรรยายที่ผ่านมาให้ผู้เข้ารับฟังการบรรยายนั้น ธนาคารออมสิน สำนักงานใหญ่ ได้รวบรวมและเย็บเข้าเล่มจนเป็นที่สนใจของผู้พบเห็นในโอกาสต่อมา และมีการขอร้องให้รวบรวมจัดทำเป็นเล่มขึ้นใหม่ เพื่อเป็นวิทยาทานต่อไปด้วย

ผมได้มีโอกาสพิจารณาเรื่องนี้อีกครั้ง เมื่อผู้ตรวจสอบงานด้านคอมพิวเตอร์จากธนาคารอาคารสงเคราะห์ สำนักงานใหญ่ ได้นำเอกสารที่ผมใช้ประกอบการบรรยายบางส่วน มาจัดพิมพ์เข้าแผ่น diskette ทำให้ได้ตัวพิมพ์ที่ชัดเจนขึ้นมาก ส่งผลให้ การรวบรวมงานพิมพ์เอกสารประกอบการบรรยาย งานด้านคอมพิวเตอร์ของผมในโอกาสต่อมาทำได้สะดวกขึ้น

เมื่อผมได้ทำหน้าที่ผู้อำนวยการ ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่จังหวัดขอนแก่น เมื่อวันที่ 1 ตุลาคม 2536 เป็นต้นมา ผมก็ยังคงมีหน้าที่หลักประการหนึ่งที่สาขาภาคฯ เช่นเดียวกับที่กรุงเทพฯ นั่นคือการกำกับดูแลฐานะดำเนินงานและความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้ง 19 จังหวัดอยู่ด้วย ประกอบกับผมมีความเชื่อมั่นว่า การกำกับสถาบันการเงินที่ได้ผลจะต้องมาจากการป้องกันปัญหา ก่อนที่จะเกิดปัญหากับสถาบันการเงินเหล่านั้น วิธีการหนึ่งที่จะบรรลุเป้าหมายนี้ก็คือ การให้ผู้บริหารสถาบันการเงินต่าง ๆ มีจรรยาบรรณที่ดี มีความรู้ ความสามารถ รู้จักวิเคราะห์และเข้าใจถึงความเสี่ยง และการป้องกันความเสี่ยงในการบริหารงานของสถาบันการเงินนั้น ๆ ผมจึงได้เผยแพร่แจกจ่ายหนังสือเล่มแรก เรื่อง “การจัดระบบควบคุมภายในของสถาบันการเงิน” ให้กับธนาคารพาณิชย์ และสถาบันการเงินทั่วทั้งภาคอีสาน เมื่อปี 2537-2538 และหนังสือเล่มนี้ได้ใช้ในการบรรยายเรื่องดังกล่าวในโอกาสต่าง ๆ ด้วย

จากการพบปะกับผู้บริหารสถาบันการเงินต่าง ๆ ในภาคอีสาน ผมได้ปรารภและได้พูดถึงบทบาทของคอมพิวเตอร์ในวงการสถาบันการเงินหลายครั้ง เนื่องจากปรากฏว่า มีสาขาธนาคารพาณิชย์บางแห่งในภาคตะวันออก- เฉียงเหนือประสบความเสียหายจากการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือด้วย จึงมีผู้สนใจใคร่จะติดตามเรื่องดังกล่าวมากขึ้น ประกอบกับธนาคารพาณิชย์หลายแห่งได้ให้พนักงานศึกษาเรื่องนี้มากขึ้นเรื่อย ๆ ผมจึงเห็นเป็นโอกาสดีที่จะเผยแพร่หนังสือ เรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเป็นการรวบรวมเรื่องที่น่าสนใจด้านคอมพิวเตอร์ในแง่มุมหลายประการจากเอกสารต่าง ๆ ที่ผมเคยแจกจ่ายให้กับผู้เข้าฟังการสัมมนาและการบรรยายของผมในอดีตที่ผ่านมาในช่วงปี 2524-2536 โดยรวบรวมเรื่องใหม่ จัดเรื่องและเนื้อหาในบางส่วนเพิ่มเติม จากที่มีการรวบรวมไว้แล้วใหม่ โดยเฉพาะอย่างยิ่ง เรื่อง การดำเนินงานด้านคอมพิวเตอร์ ซึ่งได้จัดพิมพ์ใหม่และอาจจะใช้เป็นแนวทางในการปฏิบัติงานด้านคอมพิวเตอร์ในสถาบันการเงินและองค์กรต่าง ๆ ได้ตามสมควร นอกจากนั้น ผมยังได้ค้นหาเอกสารที่ได้จัดทำไว้จำนวนมาก ที่ยังกระจัดกระจายตามหีบห่อเก็บสัมภาระของผม ก่อนย้ายมาประจำที่จังหวัดขอนแก่น ก็ปรากฏว่ามีเรื่องที่น่าสนใจที่ไม่เคยเผยแพร่หลายเรื่องด้วยกัน หากผมต้องรวบรวมจัดพิมพ์ในครั้งเดียวกัน ก็จะต้องใช้เวลานานมากขึ้นและเอกสารก็จะหนามากเกินไป ผมจึงแยกจัดทำเป็นเล่ม 1 เล่ม 2 และอาจมีถึง เล่ม 3

สำหรับเล่ม 1 จะเป็นการบรรยายเน้นหนักในเรื่องที่เกี่ยวข้องกับการดำเนินงานด้านคอมพิวเตอร์ และข้อคิดเห็น รวมทั้งข้อสังเกตในการบริหารงาน รวมทั้งหลักการการตรวจสอบในบางเรื่อง เล่ม 2 จะเป็นรายละเอียด และเน้นด้านการควบคุมภายในและการตรวจสอบด้านคอมพิวเตอร์ รวมทั้งการจัดทำแผนกฉุกเฉินเป็นหลัก สำหรับเล่ม 3 จะแสดงตัวอย่างของจุดอ่อนทางคอมพิวเตอร์ต่าง ๆ ที่พบในประเทศไทยและต่างประเทศ โดยเฉพาะอย่างยิ่ง การกล่าวถึงการทุจริตโดยใช้คอมพิวเตอร์เป็นเครื่องมือ และแนวทางการตรวจสอบการทุจริตทางด้านคอมพิวเตอร์ที่น่าสนใจ โดยผมได้ดัดแปลง เรียบเรียงเพิ่มเติมจากหลักการตรวจสอบงานด้านคอมพิวเตอร์ตามปกติ ให้ไปสู่แนวทางการตรวจสอบการทุจริตด้านคอมพิวเตอร์ หรือโดยใช้คอมพิวเตอร์ รวมทั้งตัวอย่างการตรวจสอบการทุจริตด้านคอมพิวเตอร์ ความร่วมมือระหว่างผู้ตรวจสอบด้านการเงินกับผู้ตรวจสอบด้านคอมพิวเตอร์ เมื่อมีการทุจริตเกิดขึ้น

เอกสารประกอบการบรรยายของผมในหนังสือเล่มนี้ รวมทั้งอีก 2 เล่มที่จะพิมพ์ขึ้นนั้น มีหลายบทที่ใช้คำว่าธนาคารมากกว่าคำว่าสถาบันการเงิน ทั้งนี้เพราะผมได้บรรยายให้กับบุคคลในวงการธนาคารพาณิชย์และธนาคารอื่น ๆ มากกว่าสถาบันการเงินโดยทั่วไป อย่างไรก็ดี ความหมายของคำว่าธนาคารนี้ก็ใช้ได้กับสถาบันการเงินโดยทั่วไป และอาจประยุกต์ใช้กับองค์กรอื่น ๆ ที่ใช้คอมพิวเตอร์ในการประมวลข้อมูลได้ด้วย อย่างไรก็ดี ผมได้แก้ไขถ้อยคำส่วนใหญ่ที่ใช้คำว่า ธนาคารเป็นสถาบันการเงินแล้ว แต่ผมไม่ได้แก้ไขรายการตัวอย่างที่ระบุวันที่ไว้ ทั้งนี้เพื่อที่จะให้ท่านผู้อ่านได้ทราบว่าเป็นการบรรยายในอดีตที่ผ่านมา

เนื่องจากผมไม่มีเวลาแก้ไขเพิ่มเติมข้อมูลจากการบรรยายเรื่องต่าง ๆ ของเอกสารเล่มนี้ ซึ่งส่วนใหญ่เป็นการบรรยายในอดีตตามที่กล่าวถึงข้างต้นแล้ว จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อความมากกว่าร้อยละ 95 ยังคงใช้ได้ดีอยู่จนถึงปัจจุบัน

เอกสารเล่มนี้และเล่มต่อ ๆ ไป ได้จัดทำขึ้นโดยมีวัตถุประสงค์เพื่อแจกจ่ายและเผยแพร่ให้กับพนักงาน ในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทยและสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ เพื่อเป็น ส่วนหนึ่งของการทำความเข้าใจในการบริหารงานและการดำเนินงานด้านคอมพิวเตอร์ รวมทั้งเรื่องการตรวจสอบ ซึ่งนับ วันจะมีบทบาทมากขึ้นในแทบจะทุกธุรกรรมของทุกองค์กรโดยเฉพาะอย่างยิ่งในสถาบันการเงิน และเป็นส่วนหนึ่งของ การป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินในลักษณะที่เรียกว่า Point to the problem before it points to us. นอกจากนี้จะได้เผยแพร่ในวงการศึกษาซึ่งการเรียนการสอนการดำเนินงานด้านคอมพิวเตอร์และการตรวจสอบ ในปัจจุบันยังอยู่ในวงจำกัดค่อนข้างมาก ทั้ง ๆ ที่คอมพิวเตอร์ใต้รับการยอมรับและมีใช้กันโดยทั่วไปในองค์กรต่าง ๆ แล้ว

เอกสารทั้ง 3 เล่ม ไม่มีการจำหน่าย แต่มีไว้เพื่อแจกจ่ายตามวัตถุประสงค์ที่กล่าวข้างต้น การเผยแพร่ข้อมูลจากหนังสือเล่มนี้ต่อไปในรูปอื่นใด ควรจะได้อ้างอิงถึงที่มาของข้อมูลด้วย หนังสือเล่มนี้ไม่ได้กล่าว หรืออธิบายถึงการทำงานของระบบคอมพิวเตอร์โดยทั่วไป ทั้งนี้ผมได้ตั้งแนวทางไว้ว่าผู้อ่านได้ทราบเรื่องดังกล่าวพอสมควรแล้ว

ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะในรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ที่มีส่วนทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน และขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสาร การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ และขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงินธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ ในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้ด้วย

เมธา สุวรรณสาร ผู้อำนวยการ
ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
25 มีนาคม 2539

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 1” สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 2” และเล่มถัดไป ผมจะเผยแพร่ในโพสต์ต่อ ๆ ไปนะครับ

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 1Download

1 ความเห็น | การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์, ผลงานหนังสือของผู้เขียน / ประวัติศาสตร์ด้านการตรวจสอบ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เว็บใหม่ itgthailand.com

กรกฎาคม 21, 2009

เนื่องจาก ผมได้ปรับเปลี่ยนระบบของการเขียนเว็บบล็อก ด้วยการจดทะเบียนเป็นชื่อ itgthailand.com เพื่อให้มีศักยภาพ มีประสิทธิภาพ และมีความสเถียรมากขึ้น

ทุกท่านที่ติดตามเนื้อหา สาระ ข้อมูลความรู้ในหัวข้อต่าง ๆ ของ http://www.itgthailand.wordpress.com แห่งนี้ สามารถเข้าชมและติดตามเนื้อหาตอนต่อ ๆ ไปได้ใน http://www.itgthailand.com หรือคลิก link http://www.itgthailand.com ตั้งแต่วันนี้ (8 กรกฎาคม 2552) เป็นต้นไปครับ

Leave a Comment » | การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

มกราคม 23, 2009


โดย อาจารย์ เมธา สุวรรณสาร

จาก http://www.bkkonline.com

1. การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มนี้และเล่มต่อๆไป เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่างๆ กันไปของผมในช่วงเวลาตั้งแต่ปี พ.ศ. 2524-2536 ให้แก่สถาบันหลายแห่ง เช่น การบรรยายให้นักศึกษาปริญญาโท มหาวิทยาลัยธรรมศาสตร์ AIT (Asian Institue of Technology) กลุ่มธนาคารกลางต่างๆ ในประเทศเอเชีย (SEACEN -South East Asian Central Banks) มหาวิทยาลัย ธนาคารพาณิชย์ สถาบันการเงินหลายแห่ง ธนาคารออมสิน สมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย สมาคมธนาคารไทย ชมรมผู้สอบบัญชีภายใน หน่วยงานของรัฐ สมาคมตรวจสอบคอมพิวเตอร์ภาคพื้นกรุงเทพฯ (EDPAA) และสถาบันการฝึกอบรมต่างๆ โดยเฉพาะอย่างยิ่งงานบรรยายประจำในช่วงดังกล่าวก็คือ การบรรยายให้ผู้ตรวจสอบของฝ่ายกำกับและตรวจสอบสถาบันการเงิน และฝ่ายกำกับและตรวจสอบธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยในช่วงนั้น

อ่านรายละเอียดทั้งหมด >>


Leave a Comment » | การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

มกราคม 23, 2009


โดย อาจารย์ เมธา สุวรรณสาร

จาก http://www.bkkonline.com

1. การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มนี้และเล่มต่อๆไป เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่างๆ กันไปของผมในช่วงเวลาตั้งแต่ปี พ.ศ. 2524-2536 ให้แก่สถาบันหลายแห่ง เช่น การบรรยายให้นักศึกษาปริญญาโท มหาวิทยาลัยธรรมศาสตร์ AIT (Asian Institue of Technology) กลุ่มธนาคารกลางต่างๆ ในประเทศเอเชีย (SEACEN -South East Asian Central Banks) มหาวิทยาลัย ธนาคารพาณิชย์ สถาบันการเงินหลายแห่ง ธนาคารออมสิน สมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย สมาคมธนาคารไทย ชมรมผู้สอบบัญชีภายใน หน่วยงานของรัฐ สมาคมตรวจสอบคอมพิวเตอร์ภาคพื้นกรุงเทพฯ (EDPAA) และสถาบันการฝึกอบรมต่างๆ โดยเฉพาะอย่างยิ่งงานบรรยายประจำในช่วงดังกล่าวก็คือ การบรรยายให้ผู้ตรวจสอบของฝ่ายกำกับและตรวจสอบสถาบันการเงิน และฝ่ายกำกับและตรวจสอบธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยในช่วงนั้น

อ่านรายละเอียดทั้งหมด >>


Leave a Comment » | การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn