Information Technology Governance

ในยุคที่ภัยคุกคามทางไซเบอร์กลายเป็นความเสี่ยงระดับชาติ การรับมือเชิงรับเพียงอย่างเดียวไม่เพียงพออีกต่อไป โดยเฉพาะสำหรับองค์กรภาครัฐและรัฐวิสาหกิจ ซึ่งมีบทบาทสำคัญต่อโครงสร้างพื้นฐานและการให้บริการสาธารณะ สำหรับโพสต์นี้ ผมจึงชวนผู้อ่านมาทำความเข้าใจแนวทางการพัฒนาเชิงรุก (Proactive Development) เพื่อสร้างความสามารถในการฟื้นตัวและยืนหยัด (Cyber Resilience) ให้กับรัฐวิสาหกิจ โดยอิงจากกรอบแนวคิดและ/หรือมาตรฐานต่าง ๆ เพื่อเชื่อมโยง Cybersecurity เข้ากับการบริหารยุทธศาสตร์องค์กรอย่างเป็นระบบ

เชื่อม Cybersecurity กับยุทธศาสตร์องค์กร: เริ่มต้นที่วิสัยทัศน์

Cybersecurity ไม่ใช่เรื่องของฝ่าย IT เท่านั้น แต่ควรเป็นส่วนหนึ่งของกลยุทธ์องค์กรอย่างแท้จริง จุดเริ่มต้นของความมั่นคงที่ยั่งยืน คือการออกแบบ Cybersecurity Strategy ให้สนับสนุนวิสัยทัศน์ พันธกิจ และวัตถุประสงค์ขององค์กรได้อย่างชัดเจน ซึ่งควรถูกฝังอยู่ในแผนยุทธศาสตร์ เช่น Enterprise Risk Management, KPI ระดับองค์กร หรือแผนพัฒนาทรัพยากรบุคคล การมีวิสัยทัศน์ที่เชื่อมโยง Cybersecurity กับเป้าหมายองค์กร จึงเป็นรากฐานของ Resilience ที่แท้จริง

กรอบมาตรฐานช่วยให้มีกลยุทธ์ที่เป็นรูปธรรม

การเลือกกรอบมาตรฐานที่เหมาะสมเป็นหัวใจในการยกระดับการบริหารด้านไซเบอร์ โดยมีกรอบที่ได้รับการยอมรับอย่างแพร่หลาย เช่น:

• NIST Cybersecurity Framework (CSF): โดดเด่นในการเชื่อมความเสี่ยงไซเบอร์กับเป้าหมายเชิงกลยุทธ์ ผ่าน 5 ฟังก์ชันหลัก: Identify, Protect, Detect, Respond, และ Recover
• COBIT: เน้น Governance และการจัดการที่เชื่อมโยงกับกลยุทธ์องค์กรได้ชัดเจน โดยเฉพาะในการบริหาร IT อย่างมีระบบ
• ISO/IEC 27001 และ 27002: เหมาะสำหรับการจัดการความมั่นคงสารสนเทศเป็นระบบ มีบริบทที่เชื่อมโยงกับองค์กรและเป้าหมายทางธุรกิจ
• SE-AM: เป็นกรอบที่พัฒนาโดยหน่วยงานภาครัฐไทย (สรอ.) เมื่อปรับปรุงเรื่อง Cybersecurity Framework แล้วจะช่วยให้องค์กรภาครัฐและรัฐวิสาหกิจสามารถกำหนดแนวทางเชิงยุทธศาสตร์ด้านไซเบอร์ให้สอดคล้องกับ Governance และ PDPA (Personal Data Protection Act)/GDPR (General Data Protection Regulation)  ได้ง่าย

SE-AM: ทางเลือกเชิงยุทธศาสตร์ของรัฐวิสาหกิจไทย

สำหรับรัฐวิสาหกิจไทย กรอบ SE-AM ถือว่าเหมาะสม เพราะออกแบบมาโดยเฉพาะสำหรับบริบทองค์กรภาครัฐ มีจุดแข็งที่สำคัญคือ การเน้นการขับเคลื่อนจากบนลงล่าง (Top-down) ซึ่งสอดคล้องกับโครงสร้างการบริหารภาครัฐ และสามารถผสานเข้ากับกรอบสากลอื่นได้ เช่น นำ NIST CSF มาใช้เป็น baseline และค่อยต่อยอดไปยัง ISO 27001 ตามลำดับความพร้อม

อย่างไรก็ดี Core Business Enablers ในการที่หน่วยงานกำกับใช้เป็นกรอบในการประเมินผลการดำเนินงานรัฐวิสาหกิจนั้น ยังไม่ได้รวมมาตรฐานที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ทั้งภายในประเทศและภายนอกประเทศ ที่มีผลอย่างสำคัญยิ่งต่อรัฐวิสาหกิจที่ควรจะปฏิบัติตาม หลักการ Governance และ Management ที่มีผลไปถึง Performance และ Conformance ของรัฐวิสาหกิจ ที่มีผลสะท้อนไปยังยุทธศาสตร์ชาติ นโยบายรัฐบาล และแผนยุทธศาสตร์ของรัฐวิสาหกิจ ฯลฯ

นอกจากนี้ จะส่งผลกระทบต่อผลการดำเนินงานที่สำคัญ (Key Results) ต่อผลการดำเนินงานตามภารกิจที่สำคัญที่เกี่ยวข้องกับแผนงาน โครงการ ที่สะท้อนประสิทธิภาพ ประสิทธิผล ผลสัมฤทธิ์ ฯลฯ ในแต่ละ Core Business Enablers รวมทั้งการบูรณาการ ในการประเมินประสิทธิภาพ และประสิทธิผล ต่อ Core Business Enablers โดยรวม โดยเฉพาะอย่างยิ่ง ในเรื่องที่เกี่ยวข้องกับการพัฒนาในเชิงรุกเพื่อให้เกิด Resilience ทางด้าน Cybersecurity ฯลฯ ของรัฐวิสาหกิจที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามมาตรฐานและ Best Practice ที่เกี่ยวข้อง ซึ่งมีผลกระทบอย่างสำคัญต่อ GRC และ ESG และ output, outcome ต่อ performance และ conformance รวมทั้ง กระบวนการสร้างคุณค่าเพิ่ม (Value Creation) ในลักษณะ End-to-End ของรัฐวิสาหกิจ/องค์กร และกรอบมาตรฐาน ที่ช่วยให้องค์กรมีกลยุทธ์ที่เป็นรูปธรรม ตามที่ได้กล่าวข้างต้น

ภาพรวม: ใช้ 7S Model เป็นเลนส์ในการพัฒนา Cybersecurity Resilience

Cybersecurity ไม่ใช่เรื่องเทคนิคเท่านั้น แต่ต้อง “ฝังอยู่ในระบบคุณค่า” และ “ถูกขับเคลื่อนร่วมกัน” โดยทุกส่วนงานขององค์กร ดังที่ McKinsey 7S Model แสดงไว้ แบ่งเป็น:

• Hard S (Strategy, Structure, Systems) – สิ่งที่จัดการได้ชัดเจน
• Soft S (Shared Values, Skills, Staff, Style) – สิ่งที่ฝังลึกในวัฒนธรรมองค์กร

แนวทางบูรณาการที่ครอบคลุมเพื่อ Resilience ด้านไซเบอร์:

1. Strategy:

จุดเสี่ยง: ยุทธศาสตร์ที่ยังไม่เชื่อมโยงกับภาครัฐและไม่ตอบโจทย์การเปลี่ยนผ่านสู่ดิจิทัล (Thailand 4.0) และอาจยังไม่เชื่อมโยงกับแนวทางการพัฒนาสู่ AI Transformation ซึ่งจะมีผลกระทบอย่างสำคัญต่อกระบวนการ Governance และ Management ที่สำคัญของทุกองค์กร
แนวทาง:

• ต้องกำหนด Cybersecurity Strategy ให้สอดคล้องกับ Vision และ Strategic Plan ระดับองค์กร
• เสนอให้รวมไซเบอร์เข้าใน KPI ยุทธศาสตร์, แผนบริหารความเสี่ยงองค์กร และ SE-AM Framework

2. Structure:

จุดเสี่ยง: โครงสร้างยังมีความซับซ้อน และขาดความคล่องตัว
แนวทาง:

• ปรับโครงสร้างให้เกิด Cyber Governance Board หรือ CISO ที่รายงานต่อผู้บริหารโดยตรง
• ส่งเสริมโครงสร้างที่เอื้อต่อ cross-functional team ในการบริหารเหตุการณ์ไซเบอร์

3. Systems:

จุดเสี่ยง: ขาดระบบ Centralized, Back/Front office ไม่สอดประสาน, KM ยังไม่ครบ
แนวทาง:

• พัฒนา Cybersecurity Architecture แบบ Zero Trust
• ใช้ระบบ Cyber KM และ Threat Intelligence เป็นระบบประสานร่วม
• เชื่อมโยงกับ GRC Tools และ PDPA Compliance Platform

4. Shared Values:

จุดเสี่ยง: ขาดพลังร่วม (Synergy) ในการขับเคลื่อนเป้าหมายองค์กร
แนวทาง:

• วาง “Cybersecurity เป็นวาระองค์กร”
• สื่อสารคุณค่าเรื่อง “Trust, Integrity, และ Resilience” ผ่าน Internal Branding
• จัดกิจกรรมสร้างวัฒนธรรมไซเบอร์ เช่น Cyber Month หรือ Cyber Ambassadors

5. Staff:

จุดเสี่ยง: หน่วย ICT ยังไม่ทำงานตามมาตรฐาน และไม่มีบทบาทเชิงรุก
แนวทาง:

• ต้องสร้างแผนพัฒนากำลังคนไซเบอร์แบบ Multi-level (ทั้งผู้บริหาร, ผู้ปฏิบัติ, และผู้เชี่ยวชาญ)
• กำหนด JD ด้าน Cybersecurity ให้ชัดเจน และเสริมทักษะให้กับ non-IT units

6. Skills:

จุดเสี่ยง: ขาดทักษะ ICT เชิงลึก ต้องจ้างภายนอก
แนวทาง:

• อบรม Reskill & Upskill ด้าน Cybersecurity ตาม framework เช่น NICE Framework
• ใช้ internal sandbox ในการฝึกซ้อม/เรียนรู้ เช่น CTF, War Room, Incident Drill

7. Style:

จุดเสี่ยง: การบริหารยังเป็นแบบราชการ ไม่คล่องตัว
แนวทาง:

• ต้องปรับ Style การบริหารเป็น Agile + Risk-informed + Evidence-based
• ผู้นำองค์กรต้องแสดง Tone at the Top ด้าน Cybersecurity อย่างจริงจัง

“หาก Cybersecurity คือเส้นเลือดของความมั่นคงในยุคดิจิทัล… Enablers ทั้ง 7S ก็คือโครงสร้างร่างกายของรัฐวิสาหกิจ”

การประเมินผลองค์กรจึงควรใช้ 7S เป็นกรอบการพัฒนาแบบองค์รวม โดยเฉพาะเมื่อนำไปเชื่อมโยงกับโมเดล SE-AM / GRC / Performance Evaluation เพื่อให้เกิด Cybersecurity Resilience ที่ไม่เพียงแค่ป้องกันได้ แต่ฟื้นตัวและเติบโตต่อได้

การบูรณาการไซเบอร์กับกระบวนการบริหารในทุกมิติ

Resilience ทางด้าน Cybersecurity จะเกิดขึ้นได้จริงก็ต่อเมื่อการบริหารจัดการไซเบอร์ไม่ถูกแยกออกจากกระบวนการบริหารหลักขององค์กร แต่ถูก “ฝังตัว” อยู่ในกระบวนการต่าง ๆ เช่น การจัดซื้อจัดจ้าง (procurement), การบริหารบุคลากร (HR), การเงินการบัญชี ฯลฯ และมีโครงการหรือแผนงานที่สอดคล้องกับเป้าหมายเชิงกลยุทธ์ เช่น การฝึกอบรมพนักงาน การทดสอบแผนตอบสนองเหตุการณ์ (incident response) หรือการนำระบบ automation เข้ามาช่วยลดความเสี่ยง

มาตรฐานไม่ได้มีไว้ให้เลือกเพียงหนึ่ง แต่ต้องผสานอย่างมียุทธศาสตร์

การเลือกใช้มาตรฐานควรคำนึงถึงความเหมาะสมกับบริบทขององค์กร ไม่จำเป็นต้องเลือกเพียงหนึ่ง แต่สามารถผสานกันได้ เช่น:

• เริ่มต้นจาก NIST CSF เพื่อความเข้าใจง่ายและเป็น baseline ที่ดี
• ใช้ COBIT สำหรับการจัดการ Governance และการกำหนดทิศทางเชิงกลยุทธ์
• นำ ISO 27002 มาใช้เฉพาะด้านการควบคุมภายในเพื่อไม่ให้ภาระมากเกินไปในช่วงเริ่มต้น

การแยกแยะระหว่าง Governance และ Management ช่วยให้องค์กรวางแผนได้ถูกจุด

ความเข้าใจเรื่อง Governance กับ Management ช่วยให้องค์กรออกแบบบทบาทและหน้าที่ได้เหมาะสม:

• Governance: มองระดับภาพรวม เช่น การกำหนดนโยบาย วิสัยทัศน์ และ oversight โดยคณะกรรมการ
• Management: มองระดับปฏิบัติ เช่น การจัดการ user, patching, หรือ incident response โดยผู้บริหาร

บทบาทของผู้บริหารในแต่ละระดับ: ร่วมขับเคลื่อน Cyber Resilience

การพัฒนา Cybersecurity ที่ยั่งยืน จำเป็นต้องมีการมีส่วนร่วมในทุกระดับ:

• Board of Directors: กำหนดทิศทาง และสร้าง “Tone at the Top”
• C-Level (CEO, CIO, CISO): วางกลยุทธ์ จัดสรรทรัพยากร สร้างความร่วมมือ และวัดผลความเสี่ยง
• ผู้บริหารระดับกลาง/ต้น: ดำเนินการ ประสานงาน และสนับสนุนบุคลากรในหน้างาน

การกำหนดบทบาทที่ชัดเจนเหล่านี้ช่วยให้ทุกคนในองค์กรรู้ว่า “Cybersecurity ไม่ใช่หน้าที่ของใครคนหนึ่ง แต่คือความรับผิดชอบร่วมกัน”

จาก SILO สู่ระบบ – เปลี่ยนความมั่นคงไซเบอร์เป็นวัฒนธรรมองค์กร

Cybersecurity ที่มี Resilience ไม่ได้เกิดขึ้นจากการออกนโยบาย หรือการใช้เครื่องมือที่ล้ำหน้าเพียงอย่างเดียว แต่เกิดจากการเข้าใจ เชื่อมโยง และมีส่วนร่วมของทุกคนในองค์กร รัฐวิสาหกิจ สามารถใช้โอกาสนี้เปลี่ยน “ไซโล” ทางไซเบอร์ให้กลายเป็นระบบที่เชื่อมโยงกับยุทธศาสตร์องค์กร สร้างวัฒนธรรมความมั่นคงที่ยั่งยืน และพร้อมรับมือกับภัยคุกคามในอนาคตอย่างมั่นใจ

การประเมินผลการดำเนินงานรัฐวิสาหกิจควรมีการปรับปรุงโดยผู้กำกับให้รัฐวิสาหกิจมีกรอบและแนวการปฏิบัติที่เหมาะสมกับการเปลี่ยนแปลงของ Digital Transformation ไปสู่ Gen-AI Transformation จึงไม่ใช่แค่แนวคิด แต่คือพลังในการขับเคลื่อนองค์กรให้มีชีวิต มีเป้าหมาย และมีภูมิคุ้มกันทางไซเบอร์ที่แข็งแกร่งในทุกระดับของการบริหารในยุคปัจจุบันและอนาคต

ในโลกที่สถาบันการเงินต้องเผชิญกับความซับซ้อนของธุรกรรม ความเปลี่ยนแปลงของเทคโนโลยี และแรงกระเพื่อมของเศรษฐกิจระดับโลก การบริหารจัดการความเสี่ยงได้กลายมาเป็นเสาหลักสำคัญที่ไม่สามารถมองข้ามได้อีกต่อไป การเปลี่ยนแปลงเหล่านี้ ไม่ได้เพียงเพิ่มความท้าทายในการดำเนินงาน แต่ยังสร้างภารกิจใหม่ให้กับผู้บริหาร ผู้ควบคุมภายใน และผู้ตรวจสอบในการวิเคราะห์จุดเปราะบางขององค์กรก่อนที่ปัญหาจะเกิดขึ้นจริง

สถาบันการเงินจำเป็นต้อง “มองให้ไกล” กว่าปัญหาที่อยู่ตรงหน้า การจัดการความเสี่ยงไม่ใช่แค่การแก้ไขเมื่อปัญหาเกิดขึ้น (after the fact) แต่ต้องรวมถึงการวางแผนล่วงหน้า (before the fact) โดยอาศัยข้อมูล การวิเคราะห์ และระบบควบคุมที่รัดกุมในทุกมิติของธุรกรรม เพื่อป้องกันความเสียหายทั้งในระดับองค์กรและระบบเศรษฐกิจของประเทศ

หนังสือ “การจัดระบบควบคุมความเสี่ยงของสถาบันการเงินเล่มนี้” จึงมุ่งนำเสนอแนวคิด ประสบการณ์ และบทเรียนที่สั่งสมมาจากการปฏิบัติจริงในภาคสนาม ผ่านสายตาของผู้ที่อยู่ในภารกิจการกำกับดูแลสถาบันการเงินโดยตรง เพื่อเป็นแนวทางแก่ผู้บริหาร ผู้ตรวจสอบ และผู้ที่เกี่ยวข้องทุกภาคส่วน ในการวางระบบควบคุมภายในและการบริหารความเสี่ยงอย่างเป็นรูปธรรม

เพราะในท้ายที่สุดแล้ว ความมั่นคงของสถาบันการเงินไม่ได้เกิดจากการหลีกเลี่ยงปัญหา แต่เกิดจากการเผชิญหน้าและเตรียมรับมือกับปัญหานั้นอย่างชาญฉลาดและมีจริยธรรม

ผมจึงได้นำหนังสือ “การจัดระบบควบคุมความเสี่ยงของสถาบันการเงิน” มาเผยแพร่ไว้ ณ ที่นี้ http://www.itgthailand.wordpress.com ถึงแม้จะล่วงเวลามาพอสมควร แต่ผมคิดว่าก็น่าจะเป็นประโยชน์ต่อผู้ที่เกี่ยวข้องบ้าง ไม่มากก็น้อย

การจัดระบบควบคุมความเสี่ยงของสถาบันการเงิน

คํานํา

1. การดําเนินธุรกิจของสถาบันการเงิน เช่น ธนาคารพาณิชย์ บริษัทเงินทุนและบริษัทเครดิต ฟองซิเอร์ ปัจจุบันมีความสลับซับซ้อนมากยิ่งขึ้น ต้องมีการติดตามนวัตกรรมทางการเงินใหม่ ๆ (Financial Innovation) และข้อมูลข่าวสารทางการเงินจากทั่วโลก (Globalization) ดังนั้น สถาบันการเงินต่าง ๆ จึงพยายามแข่งขันกันลงทุนปรับปรุงเทคโนโลยี (Technology) ด้านการเงินให้ทันสมัย ซึ่งทําให้การทําธุรกรรมของสถาบันการเงินมีความยุ่งยากและซับซ้อน ก่อให้เกิดความเสี่ยงซึ่งจะมีผลทําให้เกิดความเสียหายเป็นจํานวนสูงมากยิ่งขึ้น
2. การศึกษาและวิเคราะห์ความเสี่ยงรวมทั้งการบริหารความเสี่ยงในด้านต่าง ๆ หรือการมองปัญหาให้พบและหาหนทางป้องกันก่อนที่ปัญหานั้นจะเกิดขึ้นในองค์กรตามธุรกรรมขององค์กร เป็นการชี้ให้เห็นถึงปัญหาและหาหนทางแก้ไขปัญหาล่วงหน้า ในลักษณะมองประเด็นปัญหาที่จะเกิดกับสถาบันการเงินต่าง ๆ ให้ออก และหาหนทางแก้ไข หรือป้องกันล่วงหน้าก่อนที่ปัญหาเหล่านั้นจะลุกลามให้กลับมาเป็นปัญหาที่องค์กรนั้น หรือทางการต้องหาทางแก้ไขในที่สุด (Point to the problem before it points to us) โดยรวมถึงกิจกรรมที่ทําให้เกิดความเสี่ยง ซึ่งเป็นที่มาของการวางกฎเกณฑ์ การออกระเบียบกับสิ่งที่เกี่ยวข้องกับการควบคุมภายในขององค์กร ดังนั้น การเน้นถึงจุดควบคุม ผู้ปฏิบัติและผู้ตรวจสอบ ตลอดจนถึงผู้บริหาร ระดับสูง ซึ่งควรเข้าใจถึงที่มาของการควบคุม นั้น เพราะการวิเคราะห์ความเสี่ยง เพื่อหาทางป้องกันหรือบรรเทาปัญหาที่อาจเกิดขึ้นต่อองค์กร เป็นการเข้าถึงการควบคุมภายในและการตรวจสอบ ตลอดจนการปฏิบัติงานที่มีประสิทธิภาพยิ่ง ความสําเร็จที่สมบูรณ์ของแนวความคิดนั้น ก็คือ การไม่มีปัญหาต้องแก้ไขในภายหลัง หรือหากจะมีก็ต้องมีให้น้อยที่สุดนั่นเอง
3. การมองภาพปัญหาที่อาจจะเกิดขึ้นได้ในอนาคตทั้งในวงแคบและในวงกว้าง เป็นเรื่องที่ต้องใช้ความสามารถและความเข้าใจ ในเรื่องที่เกี่ยวข้องกับการปฏิบัติงานของสถาบันการเงินในด้านต่าง ๆ ตลอดจนภาวะเศรษฐกิจ การเงิน การคลังและสังคม ทั้งในประเทศและต่างประเทศ นวัตกรรม ทางการเงินใหม่ ๆ รวมทั้งปัจจัยสิ่งแวดล้อมอื่นของสถาบันการเงินที่เปลี่ยนแปลงไป เช่น การพัฒนาการดําเนินงานและการให้บริการไปสู่ระบบ ELECTRONIC BANKING การเข้าไปสู่ยุค PAPERLESS SYSTEM และกลไกการโอนเงินชําระหนี้ระหว่างประเทศที่เปลี่ยนแปลงไปมากเหล่านี้ มีส่วนทําให้ต้องมีการพัฒนาและเปลี่ยนแปลงด้านนโยบายและการปฏิบัติงาน ทั้งของสถาบันการเงินและธนาคารแห่งประเทศไทย ในฐานะเป็นผู้รับผิดชอบในการกํากับดูแลการดําเนินงานของสถาบันการเงินในส่วนที่เกี่ยวข้องด้วย ระเบียบคําสั่งและกฎเกณฑ์ต่าง ๆ ที่ประกาศตามความในพระราชบัญญัติสถาบันการเงินนั้น ก็มุ่งที่จะลดความเสียหายที่อาจเกิดขึ้น และส่งเสริมให้การดําเนินงานของสถาบันการเงินต่าง ๆ ให้มีความมั่นคงเป็นที่เชื่อถือของคนในสังคม ทั้งในและต่างประเทศ รวมทั้งมุ่งหวังให้สถาบันการเงิน มีส่วนร่วมช่วยเหลือเกื้อกูลการพัฒนาสังคมและเศรษฐกิจของประเทศ ตามกําลังและความสามารถที่จะกระทําได้
4. การกํากับและตรวจสอบสถาบันการเงินตลอดจนการให้คําชี้แนะการแก้ไขปัญหาเป็นการล่วงหน้า ทั้ง ๆ ที่ปัญหาหรือความเสียหายยังไม่ทันจะเกิดขึ้นกับสถาบันการเงินที่ธนาคารแห่งประเทศไทยดูแลนั้น ในบางครั้งอาจมีผู้ได้รับคําแนะนํามักจะสงสัยทั้งในหลักการ วิธีการ ตลอดจนแนวการปฏิบัติของผู้ตรวจการฯ จากธนาคารแห่งประเทศไทยอยู่บ้าง เพราะอาจมองเห็นภาพยังไม่ชัดเท่ากับเหตุการณ์ที่เกิดขึ้นแล้ว (after the fact) ดังนั้น ผู้ตรวจการฯ ในปัจจุบันของธนาคารแห่งประเทศไทย จึงได้มองภาพของปัญหา ทั้งในลักษณะ after the fact และ before the fact ควบคู่กันไป ส่วนการจะเน้นในวิธีการใดมากกว่ากัน ก็ขึ้นกับเหตุการณ์เป็นกรณี ๆ ไป เช่น เมื่อมีปัญหาเกิดขึ้นแล้ว ทางเราจะพิจารณาหาทางแก้ไขปัญหาอย่างรีบด่วนก่อน แล้วก็จะมีมาตรการป้องกันปัญหาที่อาจเกิดขึ้นต่อไป และในกรณีที่เหตุการณ์ปกติ ผู้กํากับและผู้ตรวจการฯ ก็จะศึกษาหาทางป้องกันปัญหาที่อาจจะเกิดขึ้น เพื่อลดความเสี่ยงจากการดําเนินงานด้านต่าง ๆ ของสถาบันการเงินด้วย
5. สาระของหนังสือเล่มนี้ได้มุ่งวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นกับธุรกรรมต่าง ๆ ที่สถาบันการเงินให้บริการแก่ลูกค้าของตน ที่อาจก่อให้เกิดความเสียหาย และหาแนวทางป้องกันปัญหาล่วงหน้าที่อาจกระทําได้ เพื่อบรรเทาความเสียหายที่เกิดขึ้น และเป็นแนวทางเบื้องต้นสําหรับผู้บริหารและสําหรับผู้ตรวจสอบ ที่จะใช้เป็นเครื่องมือช่วยในการตรวจสอบ ประเมินประสิทธิภาพของระบบการควบคุมภายในของสถาบันการเงิน ในการควบคุมและป้องกันความเสี่ยงในแต่ละธุรกรรมของตนเอง ในอีกรูปแบบหนึ่งที่เข้าใจได้ง่าย ๆ อย่างไรก็ดี ผมและเพื่อนร่วมงานก็ไม่อาจระบุกิจกรรมที่ก่อให้เกิดความเสี่ยงของธนาคารพาณิชย์ และสถาบันการเงินได้ครบถ้วน ผู้อ่านจึงต้องใช้ดุลยพินิจเพิ่มเติมด้วย
6. หนังสือเล่มนี้ได้พิมพ์เผยแพร่โดยส่วนกํากับสถาบันการเงิน เพื่อเป็นเครื่องเสริมความเข้าใจต่อผู้ตรวจสอบของส่วนกํากับสถาบันการเงินของธนาคารแห่งประเทศไทย และเป็นความร่วมมือระหว่างธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ กับสถาบันการเงินในภูมิภาคฯ เท่าที่ทําได้ เพื่อทําให้สถาบันการเงินมีเสถียรภาพและความมั่นคง โดยการเข้าใจปัญหาที่อาจเกิดกับองค์กรของตน ซึ่งได้จัดพิมพ์เพิ่มเติมและแก้ไขทั้งเนื้อหาสาระที่ไม่ได้พิมพ์มาก่อนหลังจากได้ดําเนินการเผยแพร่ไปแล้ว เมื่อปี พ.ศ. 2537 ในภาคตะวันออกเฉียงเหนือ และผมเองได้ใช้เนื้อหากิจการที่ก่อให้เกิดความเสี่ยงของธนาคารพาณิชย์และสถาบันการเงิน ในการบรรยายให้แก่องค์กรต่าง ๆ ในอดีตหลายแห่ง ตั้งแต่ปี พ.ศ. 2534 ที่กรุงเทพมหานครและต่างจังหวัด ก่อนนํามาเผยแพร่ที่ภาคตะวันออกเฉียงเหนือ ในปี พ.ศ. 2537 ซึ่งผู้อ่านส่วนใหญ่ที่เป็นผู้ตรวจสอบ และผู้ที่อยู่ในวงการสถาบันการเงินได้ให้ความสนใจและเห็นว่าเป็นประโยชน์ต่อสถาบันการเงิน และการทําความเข้าใจในแง่การบริหารความเสี่ยงที่เข้าถึงจุดควบคุมที่เห็นชัดเป็นรูปธรรม และปฏิบัติได้
7. ผมหวังว่าเอกสารฉบับนี้ คงจะเป็นประโยชน์ต่อท่านที่สนใจในเรื่องที่เกี่ยวกับการบริหารสถาบันการเงินตามสมควร การพิมพ์ครั้งนี้ได้แก้ไขและเพิ่มเติมเนื้อหาให้ครอบคลุมบริษัทเงินทุนที่ไม่เคยเผยแพร่มาก่อน และนวัตกรรมทางการเงินใหม่ ๆ เช่น อนุพันธ์ทางการเงิน (Financial Derivative) รวมทั้งเพิ่มภาคผนวกเกี่ยวกับตลาดทางการเงิน (Financial Market) เช่น ตลาดทุน ตลาดเงิน และ ตลาดตราสารอนุพันธ์ พร้อมคําอธิบายผลิตภัณฑ์ทางการเงิน (Financial Product) โดยย่อ เพื่อให้มีเนื้อหาเครื่องมือทางการเงินครบถ้วนสมบูรณ์ยิ่งขึ้น โดยยังคงรักษาลักษณะการวิเคราะห์ความเสี่ยงธุรกรรมการเงินของสถาบันการเงินไว้ในรูปแบบเดิม ทั้งนี้ เพื่อให้ผู้ตรวจสอบในส่วนกํากับสถาบันการเงินและสถาบันการเงิน ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ ดูแลอยู่ได้ใช้เป็นการศึกษาเพื่อเพิ่มประสิทธิภาพในการตรวจสอบเป็นสําคัญ
8. การจัดรูปแบบการอธิบายถึงกิจกรรมที่ทําให้เกิดความเสี่ยง ตัวบ่งชี้ความเสี่ยง และการควบคุมความเสี่ยงที่อธิบายในหนังสือเล่มนี้ เป็นการค้นคว้าของผู้ตรวจสอบในส่วนที่ผมได้ดูแลและรับผิดชอบ ตลอดจนมอบหมายให้ดําเนินการ โดยอาศัยพื้นฐานและประสบการณ์จากแนวความคิดและการศึกษาเรื่องการวิเคราะห์ความเสี่ยงที่ใช้ Concept จากหนังสือของต่างประเทศ มาประยุกต์ใช้อธิบายในรูปแบบที่ผมคิดว่า จะทําให้ผู้ตรวจสอบและผู้บริหารงานที่เกี่ยวข้องได้เข้าใจเรื่องที่ใกล้ตนเองได้ง่ายขึ้น
9. ความเสี่ยงที่น่ากลัวที่สุดในการบริหารสถาบันการเงินก็คือ ผู้บริหารระดับสูงไม่สนใจการควบคุมกิจกรรมที่ก่อให้เกิดความเสี่ยงเท่าที่ควรประการหนึ่ง และที่สําคัญ ซึ่งถือเป็นหัวใจของความสําเร็จหรือความล้มเหลวของการบริหารสถาบันการเงิน ก็คือ ผู้บริหารระดับสูงขาดจรรยาบรรณและขาดคุณธรรม ในการบริหารการเงินในองค์กรของตนนั่นเอง ซึ่งหน่วยงานที่เกี่ยวข้องควรให้ความสนใจความเสี่ยงทางจรรยาบรรณ หรือความเสี่ยงทางบริหาร อันเกิดจากความผิดพลาดของผู้บริหาร รวมทั้งการทุจริตของผู้บริหารให้มากขึ้น โดยการเพิ่มการดูแลระบบการบริหารงานและความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับระบบการบริหาร และการดําเนินงานของสถาบันการเงินให้มากยิ่งขึ้น ก่อนที่จะเกิดปัญหากับสถาบันการเงินตามมา ซึ่งจะมีผลกระทบต่อเศรษฐกิจและระบบการเงินของประเทศได้ในที่สุด
   หนังสือที่ได้ปรับปรุงขึ้นใหม่เล่มนี้ จึงได้นําเรื่องที่ผมคิดว่าน่าสนใจมาก สําหรับผู้บริหารสถาบันการเงินและผู้ตรวจสอบ นั่นคือ เรื่อง “สัญญาณเตือนภัยของการทุจริตและการประพฤติมิชอบของพนักงานธนาคาร” มารวบรวมไว้เป็นบทแรกแทนที่จะอยู่ในภาคผนวก เพราะสิ่งนี้เป็นปัญหาที่ควบคุมได้ยาก ไม่ว่าจะมีวิธีวิเคราะห์ความเสี่ยงดีเลิศประการใดก็ตาม ก็ไม่อาจใช้กับผู้บริหารของสถาบันการเงินที่ขาดจรรยาบรรณและมีพฤติกรรมมิชอบได้
10. ขอขอบคุณเพื่อนร่วมงานในอดีต ที่ช่วยพยายามคิดค้นกิจกรรมที่ก่อให้เกิดความเสี่ยงในสถาบันการเงิน ซึ่งทําให้เข้าถึงการควบคุมที่เหมาะสมได้อย่างมีประสิทธิภาพ ผู้ที่มีส่วนช่วยเหลือในอดีต ก็คือ ผู้ร่วมงานกับผมในช่วงที่ผมอยู่ฝ่ายกํากับและตรวจสอบธนาคารพาณิชย์ และฝ่ายกํากับและตรวจสอบสถาบันการเงินเดิมก่อนแยกหน่วยงานใหม่ ซึ่งผมได้แนวความคิดการเข้าถึงจุดควบคุมต่าง ๆ ในกิจกรรมที่ก่อให้เกิดความเสี่ยง จากการศึกษาและประสบการณ์จากการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ ส่วนงานพิเศษที่ผมรับผิดชอบอยู่ในช่วงนั้น และขออภัยที่ไม่อาจกล่าวนามทั้งหมดได้ เพราะเป็นกิจกรรมที่ได้ดําเนินการมานานก่อนการมารับหน้าที่ใหม่ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่น เมื่อเดือนตุลาคม พ.ศ.2536
    อย่างไรก็ดี ผู้ที่มีส่วนช่วยเหลือเพิ่มเติมในการรวบรวมนวัตกรรมทางการเงินใหม่ ๆ ซึ่งอยู่ในภาคผนวก เพื่อทําให้หนังสือเล่มนี้มีความสมบูรณ์เพิ่มขึ้นก็ได้แก่ เพื่อนร่วมงานในส่วนกํากับสถาบันการเงินจากธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ ซึ่งผมได้แนะนําให้ศึกษาและรวบรวมจากเอกสารที่น่าศึกษา ในบางเรื่องเป็นเรื่องใหม่มากและยังไม่มีความชัดเจนในปัจจุบัน ผมและเพื่อนร่วมงาน ก็ได้ช่วยกันสรุปขึ้นมาจากความเข้าใจในเบื้องต้น เพื่อให้ได้เป็นข้อเขียนที่พอใช้อธิบายเท่าที่ทําได้ ดังนั้น หากท่านผู้อ่านท่านใดพบข้อสรุปหรือคําอธิบายใดที่อาจผิดพลาดหรือไม่ชัดเจน ขอได้โปรดแจ้งให้ผู้เขียนและผู้รวบรวมทราบด้วย เพื่อพิจารณาการปรับปรุงแก้ไขในคราวต่อไป ทั้งนี้ เพราะผมพิจารณาว่าการได้มีโอกาสช่วยกันศึกษาเรื่องใหม่ ๆ ที่มีประโยชน์ต่อผู้ที่เกี่ยวข้องทางการเงิน โดยเฉพาะอย่างยิ่งต่อผู้ตรวจสอบ จะมีส่วนช่วยให้ระบบสถาบันการเงินของประเทศไทยเราโดยส่วนรวมมีความมั่นคงเพิ่มขึ้นได้ทางหนึ่ง
    จึงขอขอบคุณผู้ตรวจสอบส่วนกํากับสถาบันการเงิน ซึ่งประกอบด้วยคุณไตรวุฒิ เรืองจิรารัตน์ คุณชัชวาลย์ ตียะพาณิชย์ คุณกฤษดา พุทธนารัตน์ คุณชนัช เทียมมณีเนตร คุณชุติมา ไชยบุตร คุณก้องเกียรติ วินโกมินทร์ และคุณณัฐพงศ์ ศิริจริยวัตร ที่ได้ช่วยรวบรวมเอกสารอ้างอิงต่าง ๆ และจัดพิมพ์ภายในส่วนงาน จนสําเร็จเป็นรูปเล่ม ตลอดจนพนักงานในหน่วยวิชาการที่ช่วยกันดูโครงสร้างของตลาดการเงินไว้ ณ ที่นี้ด้วย
    
    เมธา สุวรรณสาร ผู้อํานวยการธนาคารแห่งประเทศไทย
    สาขาภาคตะวันออกเฉียงเหนือ
    16 กรกฎาคม 2540

***** สำหรับท่านที่สนใจ หนังสือ “การจัดระบบควบคุมความเสี่ยงของสถาบันการเงิน” สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

Y2K กับผู้สอบบัญชี: บทเรียนจากอดีตและข้อคิดสำหรับอนาคต

ปัญหา Y2K เป็นหนึ่งในเหตุการณ์สำคัญที่ส่งผลกระทบต่อระบบเทคโนโลยีสารสนเทศและการดำเนินงานขององค์กรทั่วโลกในช่วงปลายศตวรรษที่ 20 ความท้าทายนี้ไม่ได้เป็นเพียงปัญหาทางเทคนิคของนักพัฒนาซอฟต์แวร์เท่านั้น แต่ยังส่งผลโดยตรงต่อวิชาชีพบัญชีและการสอบบัญชี ซึ่งต้องเผชิญกับคำถามสำคัญเกี่ยวกับความน่าเชื่อถือของข้อมูลทางการเงิน การประเมินความเสี่ยง และบทบาทของผู้สอบบัญชีในการสร้างความมั่นใจให้กับผู้มีส่วนได้เสีย

หนังสือ “Y2K กับผู้สอบบัญชี” ซึ่งเขียนขึ้นในช่วงเวลาที่ปัญหา Y2K กำลังเป็นประเด็นร้อน ได้นำเสนอแนวคิด ประสบการณ์ และมุมมองของผู้สอบบัญชีที่อยู่ท่ามกลางการเปลี่ยนแปลงครั้งสำคัญนี้ แม้ว่าเวลาจะผ่านไปกว่า 20 ปีแล้ว แต่บทเรียนจาก Y2K ยังคงมีคุณค่า โดยเฉพาะอย่างยิ่งในโลกที่พึ่งพาเทคโนโลยีมากขึ้นเรื่อย ๆ

เนื้อหาในหนังสือเล่มนี้ครอบคลุมทั้ง การวิเคราะห์ปัญหา Y2K, บทบาทของผู้สอบบัญชี, มาตรฐานการสอบบัญชีที่เกี่ยวข้อง, การเปิดเผยข้อมูลทางการเงิน และแนวปฏิบัติขององค์กรต่าง ๆ นอกจากนี้ ยังมีการตั้งคำถามสำคัญว่า ปัญหาในลักษณะเดียวกับ Y2K จะเกิดขึ้นอีกหรือไม่ในอนาคต และองค์กรควรเตรียมพร้อมอย่างไร

การนำหนังสือเล่มนี้มาเผยแพร่อีกครั้ง มีเป้าหมายเพื่อเป็นแหล่งข้อมูลให้แก่ผู้ที่สนใจเรื่อง การจัดการความเสี่ยงด้านเทคโนโลยี การกำกับดูแลด้านไอที และบทบาทของผู้สอบบัญชีในยุคดิจิทัล ไม่ว่าจะเป็นนักบัญชี ผู้ตรวจสอบภายใน ผู้บริหาร หรือผู้ที่ทำงานเกี่ยวข้องกับระบบสารสนเทศ หวังว่าข้อมูลจากอดีตจะช่วยให้เราเข้าใจปัญหาที่อาจเกิดขึ้นในอนาคตและสามารถเตรียมตัวรับมือได้อย่างมีประสิทธิภาพ

ปัญหา Y2K กับผู้สอบบัญชี หรือปัญหาของผู้สอบบัญชีกับปี ค.ศ. 2000?

บทนํา
ผมมีโอกาสได้ร่วมชี้แจงผู้สอบบัญชีรับอนุญาตในการประชุมระหว่างสมาคมธนาคารไทย กับผู้สอบบัญชีจากสํานักงานต่าง ๆ 2-3 ครั้ง หลังจากที่หน่วยงานกํากับดูแล และสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทยได้ออกหนังสือเวียน ลงวันที่ 23 มิถุนายน พ.ศ. 2541 ที่ ธปท.ง (ว) 2390/2541 เรื่อง “การเปิดเผยการดําเนินงานการแก้ไขปัญหาและการปรับปรุงระบบคอมพิวเตอร์ เพื่อความพร้อมสําหรับปี ค.ศ. 2000” และประกาศที่ 006/2540-2542 เรื่อง “แนวปฏิบัติทางการบัญชีและการสอบบัญชีเกี่ยวกับปัญหาปี ค.ศ. 2000 (Y2K)” ลงวันที่ 31 กรกฎาคม 2541 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย สรุปได้ดังนี้

ในการประชุมครั้งแรก ไม่มีผู้สอบบัญชีใดจากสํานักงานสอบบัญชีที่เข้าร่วมประชุมจะยอมรับการสอบบัญชีเกี่ยวกับปัญหาปี ค.ศ. 2000 (Y2K) ด้วยเหตุผลนานาประการ การประชุมครั้งต่อ ๆ มา ก็มีการยอมรับมากขึ้น และดูเหมือนว่าการประชุมครั้งสุดท้ายที่ประชุมร่วมระหว่างธนาคารพาณิชย์ โดยสมาคมธนาคารไทยกับตัวแทนของผู้สอบบัญชีสํานักงานต่าง ๆ รวมทั้งผู้แทนคณะกรรมการกํากับตลาดหลักทรัพย์แห่งประเทศไทย สํานักตรวจเงินแผ่นดิน ฯลฯ มีความเห็นสอดคล้องตรงกันว่า ผู้สอบบัญชีมีหน้าที่โดยตรงประการหนึ่งในการสอบบัญชีเกี่ยวกับปัญหาปี ค.ศ. 2000 (Y2K) ด้วย

อย่างไรก็ดี หลังจากนั้นก็มีผู้สอบบัญชีที่มีหุ้นส่วนกับผู้สอบบัญชีต่างประเทศบางสํานักงานไม่เห็นด้วยอีก ผมรู้สึกเป็นห่วงความเห็นที่แตกต่างกัน และในฐานะที่ผมเป็นผู้สอบบัญชีรับอนุญาตในปัจจุบันด้วยผู้หนึ่ง จึงขอออกความเห็นเป็นลายลักษณ์อักษรตามที่มีผู้สอบบัญชีบางท่านขอมา

ดังนั้น ข้อเขียนต่อไปนี้จึงเป็นความเห็นส่วนตัวของผู้เขียนเท่านั้น ไม่ผูกพันสถาบันที่ผู้เขียนสังกัดแต่อย่างใด

วัตถุประสงค์ในการเขียนเรื่องนี้ก็เพื่อตอบสนองความสับสนของการตรวจสอบเรื่องปี ค.ศ. 2000 กับผู้สอบบัญชีเป็นหลักการเขียนจึงใช้แนวเขียนแบบเรียบง่าย เพื่อให้ข้อคิดกับผู้สอบบัญชีเป็นสําคัญ โดยนํามาตรฐานการสอบบัญชีเฉพาะที่มีผลอย่างสําคัญเท่านั้นมาพิจารณาในการวิเคราะห์ปัญหา ปี ค.ศ. 2000 กับผู้สอบบัญชี เพราะความเห็นในเรื่องนี้มีนานาประการ แต่อย่างน้อยหน่วยงานที่เกี่ยวข้องในประเทศไทยก็มีแนวปฏิบัติในเรื่องนี้ในเวลาอันควรแล้ว

ในอนาคต…..ปัญหาเกี่ยวกับวันที่หรือปีจะเกิดปัญหาเช่นเดียวกับปี ค.ศ. 2000 อีกหรือไม่? และเมื่อใด?

ความเข้าใจในเรื่องนี้มีความสําคัญยิ่งต่อท่าน ต่อองค์กรของท่าน ต่อธุรกิจและต่อประเทศในภาพรวม

ไม่มีใครอยากให้เหตุการณ์แบบปี ค.ศ. 2000 เกิดขึ้นอีกเป็นแน่ แต่ก็ขึ้นกับ “ผู้บริหารกับการจัดการ” ที่แท้จริง ท่านทราบแล้วหรือยังครับว่า องค์กรของท่านได้ใช้เทคนิคอย่างไรในการแก้ไขปัญหาด้านโปรแกรมที่เกี่ยวกับ “ปี” หรือ “Date” ที่หมายถึงปีแล้วแต่จะเรียกกัน!

โปรดสังเกตนะครับว่าผมไม่ได้พูดถึง Hardware และ Operating System หรือ O/S เลย เพราะตั้งใจจะอนุมานว่า บริษัทผู้ผลิตทั้งหลายรู้ซึ้งแก่ใจถึงปัญหาและประสบการณ์ที่ได้รับในปี ค.ศ.2000 แล้ว และจะไม่ยอมให้เกิดข้อผิดพลาดอีกเป็นแน่

ครับ… การแก้ไขโปรแกรมระบบงานต่าง ๆ (Application program) จะเกิดปัญหาเกี่ยวกับ “Date หรือ “Year” อีกหรือไม่ ในแต่ละองค์กรจะขึ้นอยู่กับว่าองค์กรนั้น ๆ ได้แก้ไขปัญหาแบบ “เบ็ดเสร็จ” และ “แน่นอน” มิให้มีปัญหาเกิดขึ้นอีกโดยใช้เทคนิค “Date Expansion” หรือเพียงแก้ให้พ้นจากปัญหาไปสัก 25-40 ปี ข้างหน้า หรือ 100 ปี ข้างหน้า

เมื่อผมกล่าวมาถึงข้อนี้ ท่านที่คลุกคลีกับเทคนิคการแก้ไขปัญหาโปรแกรมคอมพิวเตอร์ ก็จะเข้าใจแล้วนะครับว่า…… หากใช้เทคนิคการแก้ไขแบบ “Fixed หรือ Slide Windowing” …ปัญหา เรื่อง “Date” หรือ “Year” ก็จะเกิดขึ้นให้รุ่นลูกหลานได้แก้ไขปัญหากันอีกจนได้….ค่อย ๆ คิดดูเถอะครับ….. ผมไม่อาจกล่าวรายละเอียดในช่วงนี้อีกเพราะเป็นการให้ข้อคิดเห็นในช่วงสอบทานตัวอักษรก่อนพิมพ์แล้ว…. ท่านผู้บริหาร ท่านผู้เชี่ยวชาญ ท่านผู้สอบบัญชีทุกประเภท หน่วยงานต่าง ๆ ที่ท่านดูแลและกํากับ หน่วยงานอื่น… อาจมีโอกาสได้ใช้ประสบการณ์ในการแก้ไขปัญหาปี ค.ศ. 2000 ครั้งแรกในโลกนี้ให้เป็นประโยชน์ได้ในอนาคต… ปัญหาสําคัญอยู่ที่ว่าเหตุการณ์นี้จะเกิดในเวลาที่ไม่ซ้ำกันเช่นครั้งนี้เท่านั้นล่ะครับ….

ข้อสําคัญก็คือ เหตุการณ์ที่เป็นปัญหาในคาบเวลาช่วง 100 ปีข้างหน้า จะไม่เป็นปัญหาของโลก หรือทุกประเทศอีกต่อไปแล้ว….. เพราะปัญหาจะเกิดเฉพาะบางองค์กร…บางประเทศ….ที่แก้ปัญหาไม่เด็ดขาด… ดังนั้นการช่วยกันเตือนให้รับรู้ปัญหา (Awareness) เช่น ปี ค.ศ. 2000 ก็อาจจะไม่มีอีกเช่นกัน

สิ่งเหล่านี้กลับน่าเป็นห่วงมากกว่าปี ค.ศ. 2000 เสียอีกครับ ผลกระทบจะมากน้อยเพียงใด ก็ขึ้นกับว่าองค์กรนั้น ๆ สําคัญต่อหน่วยงานอื่น ๆ และบุคคลอื่น ๆ ในวงกว้างเพียงใด เพราะเมื่อถึงเวลานั้น ก็เป็นปัญหาของรุ่นลูกหลานจริง ๆ แต่เราก็ยังช่วยกันได้โดยการเตือนภัยล่วงหน้าในวันนี้ไงล่ะครับ

สําคัญอยู่ที่ว่าใครจะจดจําและบันทึกสิ่งที่จะเป็นปัญหาระยะยาวนี้เอาไว้ในปัจจุบัน….. เพื่อแก้ปัญหาในอนาคตที่มีอายุตั้งแต่ 25 ถึง 100 ปีละครับ

ถ้ามีคําถามอีกว่าที่ผมกล่าวมานั้น ทําไมไม่แนะนําให้แก้ไขกันในตอนนี้เสียให้จบเรื่อง… ผมก็พูดได้เพียงว่าปี ค.ศ. 2000 ใกล้มามากจนเกินกว่าจะแก้ไขอะไรที่ได้ดําเนินการไปแล้วได้อีก ขอเพียงให้ ผู้บริหาร ผู้สอบบัญชี ได้คํานึงถึงและบันทึกเรื่องนี้และติดตามให้เป็นเรื่องจริงจังและต่อเนื่องเท่านั้นก็น่าพอใจครับ

ครับ…… จินตทัศน์…… การวิเคราะห์ปัญหาล่วงหน้าและหาทางแก้ไขให้ได้ก่อนเกิดปัญหาในลักษณะ… “ชี้ปัญหาให้ออก บอกปัญหาให้ถูก แก้ปัญหาให้ได้ ก่อนที่ปัญหาจะเกิดขึ้น” ยังเป็นวิธีที่มีประสิทธิภาพยิ่งในทุกองค์กรและสําหรับทุกเหตุการณ์ครับ….

สิ่งที่ผมได้กล่าวถึงข้างต้นยังไม่ปรากฏในเอกสารหรือคําเตือนใด ๆ ในปัจจุบัน แต่ปัญหาโปรแกรมคอมพิวเตอร์ของระบบงานต่าง ๆ ที่เกี่ยวกับ “Year” จะเกิดแน่นอนเช่นเดียวกับปัญหาปี ค.ศ.2000 (Y2K) ที่กําลังแก้ไขกันทุกวันนี้…

ขอสรุปเพียงว่า… เป็นหน้าที่ของผู้บริหารและผู้สอบบัญชีทุกประเภท หรือไม่ที่จะต้องตระหนัก และมีบทบาทในเรื่องนี้ต่อไปอีกยาวนาน…..

ผู้สอบบัญชีรับอนุญาตจะออกความเห็นของผลกระทบจากโปรแกรมระบบงาน (Application Program) ถึงปี 2001 เท่านั้นจะเป็นการพอเพียงหรือครับ !

***** สำหรับท่านที่สนใจ หนังสือ “ปัญหา Y2K กับผู้สอบบัญชี หรือปัญหาของผู้สอบบัญชีกับปี ค.ศ. 2000?” สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 4 ภาคคอมพิวเตอร์กับแผนฉุกเฉิน (และกรณีศึกษา)

เทคโนโลยีและระบบคอมพิวเตอร์มีบทบาทสำคัญต่อการดำเนินธุรกิจในปัจจุบัน การจัดการความเสี่ยงและการเตรียมพร้อมรับมือกับเหตุฉุกเฉินกลายเป็นหัวใจสำคัญขององค์กร โดยเฉพาะในสถาบันการเงินที่ความต่อเนื่องในการดำเนินงานมีความสำคัญสูงสุด หนังสือ การดำเนินงานและการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 4 นี้ มุ่งเน้นเรื่อง “คอมพิวเตอร์กับแผนฉุกเฉิน” ซึ่งครอบคลุมเนื้อหาตั้งแต่การวางแผนฉุกเฉิน (Contingency Plan) ไปจนถึงกรณีศึกษาที่สามารถประยุกต์ใช้ได้จริง

ด้วยการผสมผสานประสบการณ์จริงจากภาคสนามและแนวคิดเชิงวิเคราะห์ หนังสือเล่มนี้จึงเหมาะสำหรับทั้งผู้บริหาร ผู้พัฒนาระบบงาน และผู้ตรวจสอบทุกระดับ เพื่อสร้างความเข้าใจในหลักการบริหารความเสี่ยงที่ทันสมัย พร้อมแนวทางการป้องกันปัญหาที่อาจเกิดขึ้น ก่อนที่ปัญหาจะลุกลามจนส่งผลกระทบต่อองค์กร

นอกจากการอธิบายถึงแนวทางการวางแผนฉุกเฉิน เช่น Emergency Plan, Recovery Plan และการสร้างระบบสำรอง (Backup System) แล้ว หนังสือยังได้เน้นถึงความสำคัญของการตรวจสอบและควบคุมความเสี่ยงในระบบคอมพิวเตอร์ ซึ่งเป็นประเด็นที่มีผลกระทบโดยตรงต่อเสถียรภาพทางการเงินและความเชื่อมั่นขององค์กร

หนังสือเล่มนี้จึงไม่ใช่แค่คู่มือ แต่เป็นแหล่งข้อมูลที่สร้างความตระหนักรู้และเป็นแรงบันดาลใจให้กับผู้อ่านทุกคนที่เกี่ยวข้องกับการพัฒนาหรือการตรวจสอบระบบงานคอมพิวเตอร์ เพื่อร่วมกันสร้างมาตรฐานและความมั่นคงให้กับองค์กรในยุคที่เทคโนโลยีเป็นสิ่งขับเคลื่อนสำคัญ

คำนำ

1. หนังสือเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ทั้ง 4 เล่มนี้จะสมบูรณ์ ไปไม่ได้ ถ้าไม่มีเรื่องแผนปฏิบัติงาน และปรับปรุงแก้ไขเมื่อเกิดเหตุฉุกเฉิน (Contingency Plan) เพราะการดําเนินงาน ขององค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่งสถาบันการเงินต่าง ๆ อาจหยุดชะงักการให้บริการได้ ถ้าไม่มี Contingency Plan ตามที่มีรายละเอียดในหนังสือเล่มนี้
   ตัวอย่างในเรื่องนี้มีมากครั้ง โดยเฉพาะที่เกิดในประเทศไทยของเราเอง แต่ส่วนใหญ่ไม่ได้เป็นข่าวใหญ่มากนัก ทั้ง ๆ ที่การหยุดชะงักการใช้บริการของสถาบันการเงิน มีลักษณะเสมือนหนึ่งสถาบันการเงินขาดสภาพคล่อง ซึ่งเป็นเรื่องที่สําคัญมาก ทั้ง ๆ ที่องค์กรมิได้มีปัญหานี้แต่อย่างใด เมื่อปลายเดือนพฤษภาคม 2540 ก็เกิดปัญหาเครื่องคอมพิวเตอร์ขององค์กรที่สําคัญแห่งหนึ่งที่กรุงเทพฯ เกิดขัดข้องและหยุดการดํานินการเกือบทั้งวัน ทั้ง ๆ ที่องค์กรนั้น มี second site back up ในระดับหนึ่งที่มีความสามารถในการ back up อย่างจํากัด ซึ่งก่อให้เกิดความเดือดร้อนและมีปัญหาตามมาหลายประการต่อประชาชนผู้ที่ต้องใช้บริการจากองค์กรนั้นจํานวนมาก
2. มีถ้อยคําที่ท่านผู้อ่านควรทําความเข้าใจอยู่ 3 คําด้วยกันคือ แผนปฏิบัติงานและปรับปรุงแก้ไขเมื่อเกิดเหตุฉุกเฉิน (Contingency Plan) หมายถึง แผนงานที่จัดทําไว้เพื่อใช้เป็นแนวทางในการกําหนดมาตรการรักษาความ ปลอดภัย และป้องกันความเสียหายจากเหตุฉุกเฉิน หรือภัยพิบัติต่าง ๆ ที่อาจมีผลกระทบต่อการดําเนินงานและการให้บริการตามปกติขององค์กรที่ใช้คอมพิวเตอร์ รวมทั้งแผนปฏิบัติงานและปรับปรุงแก้ไข หรือกําหนดวิธีการอื่นใดที่จะทดแทนการหยุดทํางานของระบบงานคอมพิวเตอร์ เพื่อให้องค์กรที่ใช้คอมพิวเตอร์สามารถดําเนินการและให้บริการได้อย่างต่อเนื่องตามปกติ ซึ่งประกอบด้วยแผนย่อย ดังนี้
   2.1 แผนปฏิบัติงานเมื่อเกิดเหตุฉุกเฉิน (Emergency Plan)
   หมายถึง แผนการรักษาความปลอดภัยและขั้นตอนปฏิบัติงานเมื่อเกิดเหตุฉุกเฉินหรือภัยพิบัติต่าง ๆ เพื่อป้องกันความเสียหายที่อาจมีผลกระทบต่อการดําเนินงานและการให้บริการด้วยระบบงานคอมพิวเตอร์ตามปกติของสถาบันการเงินหรือองค์กรที่ใช้คอมพิวเตอร์
   2.2 แผนปรับปรุงแก้ไขระบบงานคอมพิวเตอร์ (Recovery and Disaster Plan)
   หมายถึง แผนปฏิบัติงานสําหรับใช้ดําเนินการแก้ไขระบบงานคอมพิวเตอร์ของสถาบันการเงิน หรือองค์กรที่ใช้คอมพิวเตอร์ที่ขัดข้องหรือเสียหายไม่สามารถใช้งานได้ ให้กลับสภาวะปกติในเวลาอันควร รวมทั้งกําหนดวิธีการอันที่ใช้ทดแทนการหยุดทํางานของระบบงานคอมพิวเตอร์
   2.3 ระบบคอมพิวเตอร์สํารอง (Back up)
   หมายถึง การจัด หรือจัดทําระบบสํารองของเครื่องคอมพิวเตอร์อุปกรณ์ประกอบระบบคอมพิวเตอร์ และระบบงานคอมพิวเตอร์ เพื่อใช้ทดแทนการทํางานเมื่อระบบคอมพิวเตอร์ที่ใช้งานตามปกติขัดข้องหรือเสียหายใช้การไม่ได้
3. การรวบรวมและเรียบเรียงหนังสือทั้ง 4 เล่ม ใช้เวลาไม่น้อย ทั้ง ๆ ที่หนังสือดังกล่าวเกิดจากการรวบรวม เรื่องราวที่ผมได้แจกเป็นเอกสารประกอบการบรรยาย และจากการศึกษาให้กับสถาบันต่าง ๆ ในอดีต ตามที่กล่าวไว้แล้วในเล่มก่อน ๆ อย่างไรก็ดี การพิมพ์ใหม่ทําให้ต้องใช้เวลาตรวจทาน รวมทั้งเขียนเรื่องเพิ่มเติมโดยเฉพาะในเล่มที่ 3 ค่อนข้างมาก และเล่มที่ 4 ซึ่งเป็นเล่มที่ผมพิจารณาว่าน่าจะเป็นประโยชน์ต่อผู้ที่สนใจไม่ว่าจะเป็นผู้บริหาร ผู้พัฒนา ระบบงาน และผู้ตรวจสอบทุกประเภท เพราะส่วนใหญ่ในเรื่องที่เกี่ยวกับตัวอย่างจุดอ่อนในระบบงานด้านคอมพิวเตอร์ ไม่ได้เกิดจากการแปลหรือเรียบเรียงจากหนังสือต่างประเทศตามปกติเท่านั้น แต่ได้ผสมผสานแง่คิดหลาย ๆ ประการ ทั้งในภาคสนามและประสบการณ์ที่ผู้ที่เกี่ยวข้องสามารถประยุกต์ใช้เป็นแนวทางป้องกันจุดอ่อน รวมทั้งการทุจริตได้ล่วงหน้าก่อนปัญหาจะเกิดขึ้นจริง ดังที่เคยกล่าวแล้วว่า “Point to the problem before it points to us” นั่นคือ ผู้บริหารควรเข้าใจและรู้ถึงประเด็นปัญหาที่อาจเกิดขึ้นกับองค์กร แล้วหาทางแก้ไขก่อนที่ปัญหานั้นจะกลับมาทําความเสียหายให้องค์กรของตนเอง
4. หนังสือเล่มแรก ๆ ที่ได้แจกจ่ายไปนั้นมีผู้สนใจหลายราย ได้อ่านแล้วโทรศัพท์มาสอบถาม และขอแลกเปลี่ยนทัศนะกับผมด้วย รวมทั้งขอให้ผมลงประวัติของตัวเองไว้ให้ผู้อ่านได้ทราบพื้นฐาน เพื่อจะได้ใช้ประโยชน์ใน
   การศึกษาและแลกเปลี่ยนข้อมูลที่น่าสนใจจากการปฏิบัติงานภาคสนาม ซึ่งผมก็ได้ทําตามคําแนะนําของท่านผู้อ่านแล้ว ดังปรากฏข้อมูลในตอนท้ายของเล่มนี้แล้ว
5. หนังสือเรื่องนี้ทั้ง 4 เล่ม อาจสรุปให้ชัดเจนได้ไม่ง่ายนัก เพราะขึ้นกับว่าท่านอยู่ในฐานะอย่างไรในองค์กร กล่าวคือท่านเป็นผู้บริหาร หรือผู้พัฒนาระบบงานหรือผู้ตรวจสอบ และเป็นผู้ตรวจประเภทใด ดังนั้นพื้นฐานก็คงจะอยู่ กับตัวแปรดังกล่าวเป็นสําคัญ รวมทั้งมาตรฐานขององค์กรที่เกี่ยวข้องด้วย เพราะในทางปฏิบัติมีแนวการพิจารณาในเรื่องนี้แตกต่างกันมาก ในแต่ละองค์กรหรือแม้แต่องค์กรเดียวกัน ในแต่ละหน่วยงานที่เกี่ยวข้อง แต่สิ่งหนึ่งที่ควรจะเหมือนกันหรือคล้ายกันก็คือ ความรู้ ความตั้งใจจริง และความเข้าใจ ในแนวทางปฏิบัติของผู้บริหารในสภาวะแวดล้อมขององค์กรที่ใช้คอมพิวเตอร์ ที่ได้เปลี่ยนแปลงไปมากมาย จากการพัฒนาเทคโนโลยีที่ไม่หยุดยั้ง และมีผลกระทบต่อความเสี่ยง วิธี การควบคุม วิธีการตรวจสอบ และทักษะของผู้ตรวจสอบที่เกี่ยวข้องอยู่ตลอดเวลา และที่สําคัญที่สุดก็คือการที่คอมพิวเตอร์ มีผลกระทบต่อแนวทางการตรวจสอบ หลักฐานการตรวจสอบ ฯลฯ และความน่าเชื่อถือได้ของข้อมูลทางการเงิน ที่ใช้ในการตรวจสอบฐานะที่แท้จริงของสถาบันการเงิน ที่ผู้บริหารในองค์กรที่ใช้คอมพิวเตอร์ทุกแห่งควรให้ความสนใจ
6. หนังสือชุดนี้เป็นส่วนหนึ่งของการดําเนินงานที่เป็นผลจากการวิเคราะห์จุดอ่อน จุดแข็ง โอกาสและอุปสรรค (SWOT) ของการปฏิบัติงานโดยธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ หนังสือทั้ง 4 เล่ม จึงเป็น Action Plan แผนหนึ่งจาก 19 แผนงานของสาขาภาคฯ ซึ่งเกิดจากการตั้งเป้าหมายที่จะพัฒนาความรู้ใน ด้านการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ให้กับผู้ตรวจสอบของส่วนกํากับสถาบันการเงิน และธนาคาร
   พาณิชย์ รวมทั้งสถาบันการเงินอื่น ๆ ที่อยู่ภายใต้การดูแลของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือโดยรวม และพิจารณาเป็นส่วนหนึ่งของการเสวนาเชิงปฏิบัติการระหว่างหน่วยงานทั้ง 2 ด้วย
   การดําเนินการของธนาคารแห่งประเทศไทยดังกล่าว เป็นการป้องกันปัญหาล่วงหน้าที่อาจเกิดขึ้นกับสถาบันการเงิน ดังรายละเอียดปรากฏในหนังสือชุดนี้แล้ว
7. จากการที่ผ่านมาผมมีโอกาสเป็นผู้แทนของไทยไปร่วมการประชุมที่องค์กรสหประชาชาติ (UN) ที่ New York ในปี 2532 เรื่อง Draft Model Law on International Credit Transfers ซึ่งเดิมใช้ชื่อว่า Model Rules on Electronic Funds Transfer การเปลี่ยนแปลงชื่อเรื่องดังกล่าวก็เพื่อให้ครอบคลุมร่างกฎหมายการโอนเงินทั้งทาง อิเล็กทรอนิกส์และการโอนเงินแบบธรรมดา (ถ้ามี) ได้ หนังสือเล่ม 4 นี้จึงมีภาคผนวกที่เกี่ยวข้องรวบรวมไว้ให้ท่านผู้อ่านได้อ่านในเรื่องนี้โดยสังเขป
8. ในภาคผนวกของเล่มนี้ ได้เรียบเรียงความเห็นเกี่ยวกับการร่างแนวทางกฎหมายการโอนเงินทางอิเล็กทรอนิกส์ในช่วงที่ผมและคณะได้ศึกษากันมานานพอสมควร รวมทั้งความเป็นมาของการประชุมร่างกฎหมายดังกล่าว และการศึกษาการหักกลบลบหนี้ (Netting) ระหว่างประเทศ ที่น่าสนใจในยุคปัจจุบันอยู่ด้วย
9. หนังสือเล่ม 4 นี้ ได้ทํากรณีศึกษาการตรวจสอบ Data Center (General Controls) และการตรวจสอบ “งาน” (Application Controls) เพียงบางกรณี พร้อมแนวคําตอบจากการจัดทํากรณีศึกษาภาคสนามให้ท่านผู้สนใจได้ทบทวนอีกครั้ง โดยเฉพาะอย่างยิ่งผู้ตรวจสอบด้านคอมพิวเตอร์ (IS Auditor) รวมทั้งผู้ตรวจสอบโดยทั่วไป
10. ในที่สุดหนังสือชุดนี้ก็ได้จัดทํารวมแล้วเป็น 4 เล่ม เพราะเนื้อหามีเรื่องต่าง ๆ ที่อธิบายและบรรยายมีมากกว่าที่ประมาณการไว้มาก และอาจมีถึง 5 เล่ม หากผมมีเวลาพอ โดยเฉพาะตัวอย่างรวมทั้งกรณีสร้าง Test Data
    เพื่อวัดประสิทธิภาพและประสิทธิผลของการควบคุมภายใน และความน่าเชื่อถือของข้อมูลทางการเงิน ที่เป็นรายละเอียดในภาคปฏิบัติ การแยกเล่มเพิ่มเติมก็เพื่อให้การจัดพิมพ์หนังสือแต่ละเล่มมีความหนาและแยกเป็นเรื่องๆ ที่เหมาะสม หนังสือทั้ง 4 เล่ม ได้จัดทําขึ้นโดยมีวัตถุประสงค์เพื่อให้การศึกษาในวงจํากัดต่อผู้ตรวจสอบ ในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศ สาขาภาคตะวันออกเฉียงเหนือ และสถาบันการเงินอื่น ๆ เพื่อการศึกษา การพัฒนา การบริหารงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์หรือองค์กรที่ใช้คอมพิวเตอร์ ซึ่งจะช่วยให้สถาบันการเงินภายใต้การดูแลของธนาคารแห่งประเทศไทยมีความมั่นคงได้อีกทางหนึ่ง และจะเป็นการพัฒนาบุคคลากรที่เกี่ยวข้องเรื่องนี้ ให้ก้าวทันกับเทคโนโลยีทางคอมพิวเตอร์ที่มีผลกระทบต่อความเสี่ยงใหม่ ๆ ซึ่งต้องการการควบคุม รวมทั้งวิธีการตรวจสอบใหม่ ๆ ให้สอดคล้องกับวิธีการประมวลผลโดยใช้คอมพิวเตอร์ที่ทันสมัยเหล่านั้น
11. มีความเป็นไปได้ที่ธนาคารแห่งประเทศไทยจะให้สถาบันการเงินที่ใช้คอมพิวเตอร์ รวมทั้งผู้สอบบัญชี (External auditor) และผู้สอบบัญชีภายใน (Internal auditor) ของสถาบันการเงินมีความรับผิดชอบในการเป็นผู้ดูแล การบริหารงาน และการตรวจสอบงานด้านคอมพิวเตอร์ แทนการตรวจสอบงานด้านนี้ของธนาคารแห่งประเทศไทยมากขึ้น
    โดยธนาคารแห่งประเทศไทยเองอาจต้องให้ความสําคัญทางด้านฐานะของความมั่นคง การบริหารตลอดจนการจัดการ ความเสี่ยงทางด้าน Liquidity Risk, Market Risk, Credit Risk, Legal Risk, Operational Risk Systemic Risk, Settlement Risk ฯลฯ นอกเหนือจากการตรวจสอบคุณภาพของสินทรัพย์ และการบริหารงานด้านอื่น ๆ ที่เป็นความเสี่ยงในรูปแบบใหม่ ๆ จากนวัตกรรมทางการเงินที่อาจปรากฏได้ทั้งในรูปแบบข้อมูลทางการเงินใน Balance Sheet และ Off-Balance Sheet มากขึ้น ดังนั้นหนังสือเล่มทั้ง 4 เล่มชุดนี้ จึงเป็นแนวทางที่ผู้ตรวจสอบจากธนาคารแห่งประเทศไทยและผู้ตรวจสอบที่เกี่ยวข้องกับสถาบันการเงิน อาจนําไปใช้ศึกษาได้ตามวัตถุประสงค์ของการจัดทําหนังสือชุดนี้ โดยธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
12. ในปัจจุบันนี้ การบริหารความเสี่ยง (Risk Management) ในสถาบันการเงินมีความหลากหลาย การเข้าใจและวิเคราะห์ความเสี่ยง ตลอดจนการบริหารความเสี่ยงในรูปแบบต่าง ๆ จึงมีความสําคัญมาก ถึงแม้จะมีตราสารอนุพันธ์ ซึ่งเป็นเครื่องมือสําคัญของสถาบันการเงินต่าง ๆ ใช้ในการบริหารความเสี่ยงก็ตาม การลงทุนในสัญญาตราสารอนุพันธ์ก็มีปัญหาเช่นเดียวกับการลงทุนในตราสารการเงิน นั่นคือ ยังมีความเสี่ยงสูงที่ท้าทายผู้บริหารในสถาบันต่างๆ เป็นอย่างยิ่ง และความเข้าใจในเรื่องการบริหารความเสี่ยงในสถาบันต่าง ๆ ก็มีระดับความแตกต่าง กันมาก หน่วยงานที่ทําหน้าที่กํากับดูแลสถาบันการเงิน โดยเฉพาะผู้บริหารและผู้ตรวจสอบ ควรจะให้ความสนใจและพัฒนาความเข้าใจในวิธีการบริหารความเสี่ยงมากขึ้น ผู้ตรวจสอบทุกประเภทจะต้องเข้าใจถึง nature ของ “ความเสี่ยง” การควบคุมความเสี่ยง และวิธีการตรวจสอบที่วัดผลความเสี่ยงด้านต่าง ๆ (Risk Modelling) ได้อย่างเป็นรูปธรรม แล้วพิจารณาหามาตรการการกํากับและดูแลความเสี่ยงที่อาจเกิดขึ้นก่อนที่ความเสียหายจะติดตามมา
13. การดําเนินงาน การบริหารงานและการตรวจสอบงานด้านคอมพิวเตอร์ก็เป็นอีกรูปแบบหนึ่งของงานที่มีความเสี่ยง ตามที่ผมได้กล่าวไว้แล้วในหนังสือชุดนี้ และเมื่อวันที่ 23 เมษายน 2540 ผมก็ได้รับข่าวสารทาง E-mail จาก Mr.David G. Rowley ซึ่งเป็นทั้งผู้ตรวจสอบและผู้บริหารอาวุโสทางด้าน IS examination จาก Federal Reserve Bank of Minneapolis, Minnesota ประเทศสหรัฐอเมริกา ขอให้จัดส่งแนวทางการจัดการและการบริหารการตรวจสอบ ตลอดจนการควบคุมของทางการ ทางด้านคอมพิวเตอร์ของประเทศไทยในปัจจุบันและในปี ค.ศ. 2000 หรือ IT 2000 ไปให้ทราบ เพื่อใช้ประกอบการบรรยายเรื่องนี้ในประเทศสหรัฐอเมริกาด้วย ในเดือนมิถุนายน 2540 เพราะ Mr.David ได้รับมอบหมายให้บรรยายให้กับผู้บริหารของ FFIEC ซึ่งประกอบไปด้วย FRB, FDIC และ OCC รวมทั้งสมาคม ผู้ตรวจสอบงานคอมพิวเตอร์ (ISACA) ภาคพื้นกรุงเทพฯ ก็จะจัดให้มีการอภิปรายในหัวข้อทํานองเดียวกันนี้ ในวันที่ 27 มิถุนายน 2540 ด้วย ทําให้ผมไม่แน่ใจว่าทางการในประเทศไทย ยังจะควรมีบทบาทในการควบคุม กํากับ ดูแล สถาบันการเงินทางด้านคอมพิวเตอร์มากน้อย หรือควรลดลงอย่างไร เพราะขณะที่ทางการของประเทศสหรัฐอเมริกา และประเทศที่พัฒนาแล้วยังให้ความสนใจในการดําเนินงานด้านคอมพิวเตอร์ของสถาบันการเงินต่าง ๆ แต่สําหรับธนาคารแห่งประเทศไทยอาจมีแนวโน้มที่จะสนใจทางด้านความเสี่ยงใหม่ ๆ ที่มีผลกระทบต่อเสถียรภาพของสถาบันการเงินอย่างอื่นที่มีความสําคัญมากกว่า อย่างไรก็ดี ผู้บริหารองค์กรที่ใช้คอมพิวเตอร์ทุกแห่งก็ควรให้ความสําคัญในเรื่องการควบคุมความเสี่ยง โดยการพัฒนา IS Audit ต่อไปอย่างไม่หยุดยั้ง
14. จากการที่ได้ใช้เวลาในการจัดทําหนังสือชุดนี้ ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่นเป็นเวลาประมาณ 2 ปี ก่อนที่ผมจะย้ายกลับไปทํางานที่สํานักงานใหญ่กรุงเทพ ในเดือนตุลาคม 2540 นี้ ผมใช้การทํางานนอกเวลาทํางานตามปกติเป็นส่วนมาก ส่วนใหญ่ในหนังสือชุดนี้ทั้ง 4 เล่ม เป็นการรวบรวมโดย เขียนเพิ่มเติมประมาณ 20% จากเอกสารประกอบการบรรยายเรื่อง IS Audit ของผม ในชื่อต่างกันให้กับองค์กร ต่าง ๆ ในอดีต ส่วนที่ได้เพิ่มเติมมาใหม่ ส่วนใหญ่เป็นเรื่องคอมพิวเตอร์กับการทุจริตและภาคผนวกต่าง ๆ และยังมี อีกบางเรื่องที่ผมหาไม่พบจึงไม่มีโอกาสนํามาเผยแพร่ได้
    ผมขออภัยในความผิดพลาดของตัวอักษร ทั้งภาษาไทยและภาษาอังกฤษ ที่ผมมักจะพบในภายหลัง จากการพิมพ์และเย็บเล่มเรียบร้อยแล้ว โดยเฉพาะเล่ม 1 ที่มีคําผิดพลาดในการพิมพ์มาก ซึ่งอาจจะเกิดจากการแก้ไขแล้วไม่ได้ save ข้อมูลหลังจากแก้ไขเสร็จ หรือผู้พิมพ์อาจหยิบแผ่น diskette สับสน ทําให้ผ่านขั้นตอนตรวจทานไปได้ เพราะได้พิสูจน์ตัวอักษรว่าถูกต้องแล้ว แต่เมื่อพิมพ์จริงและเย็บเล่มก็ปรากฏข้อผิดพลาดเดิม ๆ อยู่อีก ซึ่งเมื่อถึงขั้นตอนนี้ก็จะแก้ไขไม่ได้ดีเท่าที่ควร จึงขออภัยท่านผู้อ่านไว้ ณ ที่นี้อีกครั้ง และผมขอเน้นอีกครั้งว่า ความ พยายามทั้งหมดในการจัดทําหนังสือชุดนี้ก็เพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย จากการที่ได้ใช้เวลาในการจัดทําหนังสือชุดนี้ ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่นเป็นเวลาประมาณ 2 ปี ก่อนที่ผมจะย้ายกลับไปทํางานที่สํานักงานใหญ่กรุงเทพ ในเดือนตุลาคม 2540 นี้ ผมใช้การทํางานนอกเวลาทํางานตามปกติเป็นส่วนมาก ส่วนใหญ่ในหนังสือชุดนี้ทั้ง 4 เล่ม เป็นการรวบรวมโดย เขียนเพิ่มเติมประมาณ 20% จากเอกสารประกอบการบรรยายเรื่อง IS Audit ของผม ในชื่อต่างกันให้กับองค์กร ต่าง ๆ ในอดีต ส่วนที่ได้เพิ่มเติมมาใหม่ ส่วนใหญ่เป็นเรื่องคอมพิวเตอร์กับการทุจริตและภาคผนวกต่าง ๆ และยังมี อีกบางเรื่องที่ผมหาไม่พบจึงไม่มีโอกาสนํามาเผยแพร่ได้
    ผมขออภัยในความผิดพลาดของตัวอักษร ทั้งภาษาไทยและภาษาอังกฤษ ที่ผมมักจะพบในภายหลัง จากการพิมพ์และเย็บเล่มเรียบร้อยแล้ว โดยเฉพาะเล่ม 1 ที่มีคําผิดพลาดในการพิมพ์มาก ซึ่งอาจจะเกิดจากการแก้ไขแล้วไม่ได้ save ข้อมูลหลังจากแก้ไขเสร็จ หรือผู้พิมพ์อาจหยิบแผ่น diskette สับสน ทําให้ผ่านขั้นตอนตรวจทานไปได้ เพราะได้พิสูจน์ตัวอักษรว่าถูกต้องแล้ว แต่เมื่อพิมพ์จริงและเย็บเล่มก็ปรากฏข้อผิดพลาดเดิม ๆ อยู่อีก ซึ่งเมื่อถึงขั้นตอนนี้ก็จะแก้ไขไม่ได้ดีเท่าที่ควร จึงขออภัยท่านผู้อ่านไว้ ณ ที่นี้อีกครั้ง และผมขอเน้นอีกครั้งว่า ความ พยายามทั้งหมดในการจัดทําหนังสือชุดนี้ก็เพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทยจากการที่ได้ใช้เวลาในการจัดทําหนังสือชุดนี้ ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่นเป็นเวลาประมาณ 2 ปี ก่อนที่ผมจะย้ายกลับไปทํางานที่สํานักงานใหญ่กรุงเทพ ในเดือนตุลาคม 2540 นี้ ผมใช้การทํางานนอกเวลาทํางานตามปกติเป็นส่วนมาก ส่วนใหญ่ในหนังสือชุดนี้ทั้ง 4 เล่ม เป็นการรวบรวมโดย เขียนเพิ่มเติมประมาณ 20% จากเอกสารประกอบการบรรยายเรื่อง IS Audit ของผม ในชื่อต่างกันให้กับองค์กร ต่าง ๆ ในอดีต ส่วนที่ได้เพิ่มเติมมาใหม่ ส่วนใหญ่เป็นเรื่องคอมพิวเตอร์กับการทุจริตและภาคผนวกต่าง ๆ และยังมี อีกบางเรื่องที่ผมหาไม่พบจึงไม่มีโอกาสนํามาเผยแพร่ได้
    ผมขออภัยในความผิดพลาดของตัวอักษร ทั้งภาษาไทยและภาษาอังกฤษ ที่ผมมักจะพบในภายหลัง จากการพิมพ์และเย็บเล่มเรียบร้อยแล้ว โดยเฉพาะเล่ม 1 ที่มีคําผิดพลาดในการพิมพ์มาก ซึ่งอาจจะเกิดจากการแก้ไขแล้วไม่ได้ save ข้อมูลหลังจากแก้ไขเสร็จ หรือผู้พิมพ์อาจหยิบแผ่น diskette สับสน ทําให้ผ่านขั้นตอนตรวจทานไปได้ เพราะได้พิสูจน์ตัวอักษรว่าถูกต้องแล้ว แต่เมื่อพิมพ์จริงและเย็บเล่มก็ปรากฏข้อผิดพลาดเดิม ๆ อยู่อีก ซึ่งเมื่อถึงขั้นตอนนี้ก็จะแก้ไขไม่ได้ดีเท่าที่ควร จึงขออภัยท่านผู้อ่านไว้ ณ ที่นี้อีกครั้ง และผมขอเน้นอีกครั้งว่า ความ พยายามทั้งหมดในการจัดทําหนังสือชุดนี้ก็เพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ ในการกํากับและดูแลสถาบันการเงินอีกมุมหนึ่งเป็นสําคัญ
15. สําหรับผู้ตรวจการธนาคารพาณิชย์ ส่วนกํากับสถาบันการเงินธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือรุ่นต่อ ๆ ไป ที่จะนําหนังสือชุดนี้ใช้ในการอบรมหรือพัฒนาผู้ตรวจสอบ โดยเฉพาะอย่างยิ่ง การอบรมการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งการตรวจสอบฐานะการเงิน ความมั่นคงและการดําเนินงานโดยทั่วไป ควรพิจารณาเรื่องที่เกี่ยวเนื่องและสัมพันธ์กันที่อาจปรากฏอยู่ในเล่มต่าง ๆ มาใช้ในคราวเดียวกันด้วย ทั้งนี้ เพราะหนังสือชุดนี้ ได้มีการทบทวนเรื่องที่เกี่ยวข้อง เพื่อให้ผู้ตรวจสอบได้ติดตามในรูปแบบที่ใช้การอธิบายที่แตกต่างกันออกไป แต่โดยรวมเรื่องเหล่านี้จะทําให้ผู้ตรวจสอบเข้าใจงานตรวจสอบทางด้าน IS Audit และ Financial Audit ได้ดีขึ้น
16. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการ บรรยายในอดีตในหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในหน่วยวิชาการ ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์เล่มนี้
    เมธา สุวรรณสาร ผู้อํานวยการ
    ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
    30 มิถุนายน 2540
    

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 4” ภาคคอมพิวเตอร์กับแผนฉุกเฉิน (และกรณีศึกษา) สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

ในยุคที่เทคโนโลยีคอมพิวเตอร์เข้ามามีบทบาทสำคัญในการขับเคลื่อนธุรกิจและองค์กรทั่วโลก ระบบคอมพิวเตอร์ได้กลายเป็นหัวใจหลักของการดำเนินงานในสถาบันการเงิน อย่างไรก็ตาม ความก้าวหน้านี้ยังนำมาซึ่งความเสี่ยงและภัยคุกคามที่เพิ่มมากขึ้น ตั้งแต่การทุจริตในรูปแบบต่าง ๆ ไปจนถึงการโจมตีทางไซเบอร์ หนังสือ “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 3” นำเสนอเนื้อหาครอบคลุมตั้งแต่การวิเคราะห์ความเสี่ยง การควบคุมภายใน การป้องกันและจัดการกับอาชญากรรมทางคอมพิวเตอร์ ไปจนถึงการตรวจสอบเชิงเทคนิคด้วยคอมพิวเตอร์ หนังสือเล่มนี้ยังให้ตัวอย่างรูปแบบการทุจริตที่เกิดขึ้นจริง พร้อมกรณีศึกษาและแนวทางปฏิบัติที่สามารถนำไปใช้ได้ในองค์กร เพื่อให้ผู้อ่านเข้าใจถึงความสำคัญของการบริหารจัดการความเสี่ยงในยุคดิจิทัล และเสริมสร้างความมั่นคงให้กับระบบคอมพิวเตอร์ในองค์กรของตน

หนังสือการดำเนินงานและการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 3 ภาคคอมพิวเตอร์กับการทุจริต

คำนำ

1. หนังสือชุด “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเดิมผมเคยประมาณไว้ว่าจะมี 3 เล่มด้วยกัน แต่เมื่อได้รวบรวมและเขียนเพิ่มเติมขึ้นมาใหม่ ก็พบว่ามีเรื่องที่เพิ่มเติมได้อีกหลายเรื่อง รวมทั้งการขยายและอธิบายความที่เคยเขียนในอดีตใหม่ ทําให้หนังสือชุดนี้จะมีอย่างน้อย 4 เล่ม โดยเฉพาะหนังสือเล่ม 3 นี้ มีเรื่องที่ได้เขียนเพิ่มเติมอีกจํานวนมาก เพราะมีความสําคัญที่น่าจะศึกษาโดยเฉพาะตัวอย่าง จุดอ่อนที่อาจจะเกิดการทุจริต รวมทั้งการทุจริตที่ได้เกิดขึ้นแล้ว
2. จุดอ่อนของระบบงานในองค์กรที่ใช้คอมพิวเตอร์มีมากกว่าองค์กรที่ไม่ใช้คอมพิวเตอร์มาก ปัญหาการทุจริตส่วนใหญ่เกิดจากการจัดทําระบบงานที่ขาดความรอบคอบรัดกุม ไม่มีจุดควบคุมและไม่มีผู้ตรวจสอบที่มีประสิทธิภาพเพียงพอ และหรือขาดผู้บริหารที่สนใจด้านนี้
   ความเสียหายซึ่งเกิดขึ้นจากระบบงานมีจุดอ่อน อาจก่อให้เกิดความเสียหายให้กับองค์กรอย่างร้ายแรง และคาดไม่ถึง จนถึงขั้นไม่สามารถดําเนินการต่อไปได้ทีเดียว ทั้ง ๆ ที่องค์กรอาจไม่มีปัญหาด้านสภาพคล่อง ซึ่งเป็นเรื่องน่าพิจารณาเป็นอย่างยิ่ง สําหรับผู้บริหารที่ไม่ต้องการให้เกิดปัญหานี้กับองค์กรของตนเอง
3. ธนาคารแห่งประเทศไทยมีหน้าที่กํากับและดูแลความมั่นคงของสถาบันการเงิน ซึ่งมีความสัมพันธ์กันอย่างใกล้ชิดกับความมั่นคงและเสถียรภาพทางเศรษฐกิจโดยรวมของประเทศ ดังนั้นการป้องกันปัญหาก่อนที่ปัญหาจะเกิดขึ้นกับสถาบันการเงิน จึงเป็นทั้งหน้าที่และวิธีการที่กล่าวได้ว่าเหมาะสม โดยเฉพาะอย่างยิ่งการให้ความรู้คําแนะนํา
   ในวิธีป้องกันปัญหาล่วงหน้ามากกว่าการให้คําแนะนําให้แก้ไขเมื่อเกิดปัญหาแล้ว
4. การหาทางปรับปรุงแก้ไขและพัฒนางานให้มีประสิทธิภาพอยู่เสมอ ทั้งของธนาคารแห่งประเทศไทย และองค์กรอื่น ๆ ที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งการพัฒนาคนให้มีความรู้เท่าทันเทคโนโลยีใหม่ ๆ จึงเป็นที่มาของการเขียน รวบรวมและเรียบเรียงหนังสือชุดนี้ของผม โดยมีเป้าหมายที่สําคัญคือเพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย และสถาบันการเงินที่ธนาคารแห่งประเทศไทยเป็นผู้ดูแล โดยให้การศึกษา ค้นคว้า วิจัยงานด้านคอมพิวเตอร์ ซึ่งมีบทบาทสําคัญยิ่งต่อการพัฒนาระบบการบริหารสถาบันการเงินของไทยในปัจจุบันและในอนาคต
   เอกสารชุดนี้ จึงจัดทําขึ้นเพื่อแจกจ่ายให้ผู้ตรวจสอบ ส่วนกํากับสถาบันการเงินของธนาคารแห่งประเทศไทยเป็นหลัก และสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้งนี้เป็นไปตามแผนงานหนึ่งในจํานวน 19 แผนงาน ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
5. การที่ผมได้รับมอบหมายจากธนาคารแห่งประเทศไทยให้รับผิดชอบและมีหน้าที่ในการศึกษา ค้นคว้า พัฒนางานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit) ในช่วงเวลาที่ผ่านมานั้น ผมได้เสนอและแนะนําให้ธนาคาร พาณิชย์ รวมทั้งผู้ตรวจสอบภายนอกของธนาคารพาณิชย์ให้ปฏิบัติในหลายเรื่อง ตามที่ปรากฏในบทที่ว่าด้วยเรื่อง “บทบาทของธนาคารแห่งประเทศไทยกับคอมพิวเตอร์” และ “Role of the bank of Thailand in Banking Computerization” นั้น ทําให้ผมต้องวางมือจากการเป็นผู้สอบบัญชีรับอนุญาตในทุกองค์กร ตั้งแต่ปี พ.ศ. 2524 จนกระทั่งปัจจุบัน (มกราคม 2540) และเข้าใจว่าจะวางมือจากการดําเนินการเป็นผู้สอบบัญชีรับอนุญาตจนกว่าจะออกจากธนาคารแห่งประเทศไทย ทั้งนี้เพราะการออกกฎเกณฑ์บางอย่างกระทบต่อบทบาท ความรู้ ความสามารถ และการเป็นผู้มีคุณสมบัติในการเป็นผู้สอบบัญชีของธนาคารและสถาบันการเงินนั่นเอง ดังนั้นเพื่อความโปร่งใส……ในเรื่องนี้ ผมจึงต้องทําตัวเป็นกลางดังกล่าว
6. หนังสือชุดนี้ไม่มีการจําหน่ายในทุกรูปแบบ เพราะจัดทําขึ้นเพื่อให้การศึกษา ค้นคว้า และวิจัยอย่างแท้จริง โดยหนังสือชุดนี้ได้มาจากการศึกษา แปลและเรียบเรียงจากหนังสือของต่างประเทศเป็นส่วนใหญ่ โดยมีผู้ร่วมงานของผมจํานวนหนึ่งเป็นผู้ช่วยเหลือในฐานะที่เป็นผู้ร่วมงาน โดยมีผมเป็นผู้รับผิดชอบในการศึกษาพัฒนาการตรวจ สอบด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (Audit and Control In a Computerized Environment) ตามที่ธนาคารแห่งประเทศไทยได้มอบหมายตั้งแต่แรก
   อย่างไรก็ดีหนังสือเล่ม 3 นี้ มีเรื่องใหม่ ๆ ที่ไม่เคยหยิบยกขึ้นมาบรรยายก่อนหน้านี้จํานวนมาก ที่ได้จัดทําขึ้นใหม่ เพื่อเป็นบทเรียนของผู้ตรวจสอบและสถาบันการเงิน โดยเฉพาะอย่างยิ่งตัวอย่างของจุดอ่อน และการทุจริตที่อาจเกิดขึ้นได้จริง ๆ ถ้าหากไม่มีการป้องกันให้เพียงพอ
7. หนังสือเล่มนี้ได้เน้นถึงเรื่องคอมพิวเตอร์กับการทุจริต มิได้เป็นการชี้โพรงให้กระรอกแต่อย่างใดทั้งสิ้น แต่หากผู้บริหารงานมีความสนใจเรื่องนี้ และมีความเข้าใจเรื่องนี้น้อยกว่าผู้ต้องการทุจริตที่มีความสามารถ โดยมีความ เข้าใจในจุดอ่อนและมีโอกาสที่จะทุจริตได้แล้ว ผู้บริหารคงต้องทบทวนตนเองด้วยว่าองค์กรควรจะแก้ไขตรงจุดใด
8. การนําคอมพิวเตอร์เข้ามาช่วยในการปฏิบัติงานและให้บริการแก่ลูกค้าประชาชนอย่างแพร่หลายในปัจจุบัน ซึ่งได้เพิ่มประสิทธิภาพแก่องค์กรเป็นอย่างมาก แต่ก็ได้มีการนําเทคโนโลยีเหล่านี้ไปใช้ในทางที่ไม่สุจริตไม่ใช่น้อย และนับวันจะทวีความซับซ้อนขึ้นทุกขณะ ทําให้องค์กรได้รับผลกระทบและความเสียหายมหาศาลภายในเวลาอันรวดเร็ว ซึ่งความเสียหายบางอย่างไม่สามารถวัดได้ด้วยมูลค่าทางการเงิน ดังตัวอย่างที่ได้เกิดขึ้นแล้วทั้งในและต่างประเทศเป็นจํานวนไม่น้อย แต่มักไม่ถูกเปิดเผยเพราะองค์กรเกรงว่าจะมีผลกระทบต่อชื่อเสียงและความน่าเชื่อถือของตน
   อย่างไรก็ดี ปัจจุบันกรมตํารวจได้ตระหนักถึงปัญหาดังกล่าว และเพื่อเป็นการเตรียมความพร้อมใน การแก้ไขปัญหาอาชญากรรมที่เกี่ยวข้องกับคอมพิวเตอร์และเทคโนโลยีชั้นสูงต่อไป กรมตํารวจจึงได้จัดการฝึกอบรมหลัก สูตร “สภาพปัญหาและแนวโน้มอาชญากรรมคอมพิวเตอร์” (Computer – Related Crime Issues and Trend) ขึ้นระหว่างวันที่ 24 – 29 พฤศจิกายน 2539 ณ โรงแรมแอมบาสซาเดอร์ซิตี้จอมเทียน อ.สัตหีบ จ.ชลบุรี ตาม โครงการความร่วมมือและแลกเปลี่ยนทางวิชาการ ระหว่างกรมตํารวจกับมหาวิทยาลัยมิชิแกนสเตท สหรัฐอเมริกา (Michigan State University School of Criminal Justice) โดยเชิญวิทยากรและผู้เชี่ยวชาญพิเศษมาบรรยาย อาทิ ศาสตราจารย์ที่สอนเกี่ยวกับอาชญากรรมคอมพิวเตอร์ นักสืบตํารวจฟลอริด้า โคลัมบัส และสารวัตรสืบสวนตํารวจ นครบาลกรุงลอนดอน ที่สืบสวนเกี่ยวกับอาชญากรรมคอมพิวเตอร์ และอาชญากรรมข้ามชาติ ทั้งนี้ผู้เข้าร่วมสัมมนาส่วนใหญ่เป็นนายตํารวจชั้นผู้ใหญ่ที่เกี่ยวข้อง นอกจากนี้ยังมีผู้แทนส่วนราชการ เช่น ธนาคารแห่งประเทศไทย ศูนย์เทคโนโลยีอิเลกทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) กรมทรัพย์สินทางปัญญา และสํานักงานกฤษฎีกา เป็นต้น ที่ได้รับเชิญให้เข้าร่วมสัมมนาด้วย เพื่อประโยชน์ในการร่วมมือและประสานงานในการป้องกันและปราบปรามอาชญากรรมคอมพิวเตอร์ในประเทศไทยต่อไป
9. จากการตื่นตัวของกรมตํารวจในแนวโน้มอาชญากรรมคอมพิวเตอร์โดยการจัดสัมมนาดังกล่าวนั้น นับว่าเป็นเรื่องที่ดีในการเตรียมพร้อมดังกล่าว อย่างไรก็ดี ผมได้มีโอกาสพูดคุยกับนายตํารวจชั้นผู้ใหญ่บางท่าน ก็ได้รับฟังความเห็นและความในใจว่า เรื่องอาชญากรรมคอมพิวเตอร์น่าสนใจมาก แต่น่าเสียดายที่ผู้ที่เกี่ยวข้องจํานวนไม่น้อยไม่มีพื้นฐานทางด้านการบริหารการดําเนินงาน การควบคุมภายใน และระบบงาน ตลอดจนไม่ค่อยเข้าใจถึงจุดอ่อน การวิเคราะห์จุดอ่อนและกระบวนการปฏิบัติงานด้านคอมพิวเตอร์ ที่เป็นพื้นฐานของการทําความเข้าใจเพื่อประโยชน์ต่อการสืบสวน สอบสวน ที่จะสาวไปถึงการทําอาชญากรรมด้านคอมพิวเตอร์ได้ดีเท่าที่ควร
   เรื่องนี้ผมมีความเห็นว่า ทางการน่าจะจัดให้มีการอบรมความรู้เกี่ยวกับคอมพิวเตอร์พื้นฐาน ตลอดจนการควบคุมภายใน การตรวจสอบที่ต้องรู้พื้นฐานของความเสี่ยง จุดอ่อนต่าง ๆ ด้านคอมพิวเตอร์ให้เพียงพอ มิฉะนั้นการสืบสวนสอบสวนอาชญากรรมทางด้านคอมพิวเตอร์ หรือเกี่ยวกับคอมพิวเตอร์จะทําได้ไม่สะดวกเลย
10. ปัจจุบันมีหลายองค์กรได้จัดให้มีการอบรม หรือการสัมมนาคอมพิวเตอร์กับการทุจริตปีละหลาย ๆ ครั้ง และทุกครั้งมีผู้สนใจเข้าฟังกันเป็นจํานวนมากเสมอ แสดงถึงความตื่นตัวขององค์กรต่าง ๆ ต่อการป้องกันภัยจากคอมพิวเตอร์ที่เหมาะสมได้ประการหนึ่ง
11. ตัวอย่างหลากหลายที่ท่านจะได้พบจากหนังสือเล่มนี้ ไม่อาจตรวจพบตามปกติได้เป็นส่วนใหญ่ ถ้าไม่
    มีการสร้างเป้าหมาย ขอบเขต กําหนดวิธีการตรวจสอบ ตลอดจนการใช้คอมพิวเตอร์เข้าช่วยตรวจสอบที่เหมาะสมในช่วงเวลาที่สมเหตุสมผล รวมทั้งการใช้บุคลากรที่มีความพร้อมในระดับหนึ่งได้ การศึกษาแนวทางการตรวจสอบด้านคอมพิวเตอร์ หรือการศึกษาแนวทางการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ รวมทั้งการใช้คําถามที่ผู้ตรวจสอบควรทราบอย่างเหมาะสม เช่น การตั้งคําถามว่า “What can go wrong” หรือการคาดคะเนข้อผิดพลาด หรือจุดอ่อน ที่มีนัยสัมพันธ์ที่อาจเกิดขึ้นในแต่ละกระบวนการปฏิบัติงาน ทั้งในแบบ Manual และในแบบ Automated ในส่วนที่เกี่ยวข้องทั้งเรื่อง “องค์กร” (Data Center) และเรื่อง “งาน” (Application) ซึ่งเกิดจากความเข้าใจที่ถ่องแท้ของผู้ตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์แล้ว จะช่วยให้พบจุดอ่อนที่คาดไม่ถึงได้มาก ซึ่งจะเป็นหนทางป้องกันปัญหาต่าง ๆ ได้ก่อนที่ความเสียหายจะเกิดขึ้น
12. ผมได้เคยบรรยายเรื่อง “คอมพิวเตอร์กับการทุจริต” ให้กับองค์กรต่าง ๆ หลายครั้ง รวมทั้งสถาบันที่จัดให้มีการอบรมเรื่องนี้ โดยเฉพาะอย่างยิ่งได้เคยบรรยายร่วมกับ Mr. August Beguai ผู้แต่งหนังสือเรื่อง Cumputer Crime จากประเทศสหรัฐอเมริกา ทุกครั้งมีผู้สนใจรับฟังมากและเรื่องที่ผู้ฟังสนใจมากที่สุด คือ วิธีทุจริตและตัวอย่างเกี่ยวกับการทุจริตต่าง ๆ ที่ได้เกิดขึ้นจริงทั้งในประเทศและต่างประเทศ ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่ผมดูแลสถาบันการเงินต่าง ๆ ทั้ง 19 จังหวัด ก็มีหลายจังหวัดที่ประสบปัญหาการทุจริตด้านคอมพิวเตอร์ แต่ส่วนใหญ่เป็นการทุจริตในลักษณะการใช้ “Off-line” โดยเปลี่ยนข้อมูลใน Report ต่าง ๆ เมื่อผู้บริหารนําไปใช้ตัดสินใจจึงเกิดความเสียหายขึ้น ซึ่งต่างกับการทุจริตที่กรุงเทพฯ ที่มักทุจริตโดยใช้วิธีการแบบ “On-line” โดยผู้ทุจริตอาศัยความเข้าใจในระบบงานและรู้จุดอ่อนเป็นสําคัญ
13. การตรวจสอบด้านคอมพิวเตอร์ที่ได้ผล จึงเป็นการตรวจสอบ Before the fact นั่นคือการตรวจสอบ และให้คําแนะนําในเชิงป้องกันก่อนที่ปัญหาจะเกิดขึ้นจริง ๆ ให้ต้องทําการแก้ไข การตรวจสอบลักษณะนี้จะช่วยผู้บริหาร และช่วยให้องค์กรสามารถออกระเบียบ กฎเกณฑ์ต่าง ๆ มาใช้ได้อย่างเหมาะสม และลดการทุจริตได้มาก เพราะการ ทุจริตเกิดจากสาเหตุใหญ่ ๆ 3 ประการ คือ
    13.1 มีผู้ทุจริตหรือผู้ไม่หวังดีต่อองค์กร
    13.2 องค์กรมีจุดอ่อนในระบบงานและการควบคุมภายใน 13.3 ผู้ปฏิบัติงานที่มีความสามารถมีโอกาสที่จะทุจริตได้
    หากจะเพิ่มเหตุผลอีกข้อหนึ่งก็น่าจะไม่ผิด นั่นคือผู้บริหาร ผู้สอบบัญชีทั้ง External Auditor และ Internal Auditor ขาดประสบการณ์ทั้งด้านการบริหาร การตรวจสอบ และไม่อาจให้คําแนะนําในเชิงป้องกันปัญหาที่จะเกิดกับองค์กรได้ล่วงหน้าและมีประสิทธิภาพ ซึ่งส่วนใหญ่เกิดจากผู้ตรวจสอบไม่เข้าใจ “องค์กร” และ “งาน” ที่ตรวจสอบ รวมทั้งความเสี่ยงต่าง ๆ ที่เกี่ยวข้องอย่างเพียงพอ หรือมองข้ามจุดที่ควรมีการควบคุม นั่นก็คือกิจกรรมที่ก่อ ให้เกิดความเสี่ยงได้นั่นเอง
    ถ้าหากผู้บริหารระดับสูงได้เข้าใจ “กิจกรรม” ที่ก่อให้ “ความเสี่ยง” ในองค์กรที่ใช้คอมพิวเตอร์ จะช่วยป้องกันปัญหาจากการทุจริตได้มาก “ความเสี่ยง” ไม่ได้หมายความถึงการทุจริตเท่านั้น แต่มีความหมายอีกหลายอย่างตามที่ได้กล่าวในสองเล่มแรกมาแล้ว
    อย่างไรก็ดี ผู้ที่ทําการทุจริตทุกประเภท ถึงแม้จะประสบความสําเร็จในระยะแรก ๆ ซึ่งอาจซ่อนเร้นความผิดได้หลายปีก็ตาม แต่ในท้ายที่สุดแล้วองค์กรจะจับการทุจริตได้ในที่สุด ดังนั้นจึงขอให้ผู้ที่จะคิดทุจริตโปรดเลิก
    ความคิดและการกระทําดังกล่าวได้
14. หากท่านผู้อ่านใคร่จะทบทวนแนวคิด ตลอดจนวิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งในความหมายนี้คลุมไปหมดทั้งเรื่อง Financial Audit และ Computer Audit หรือ IS Audit ซึ่งการตรวจสอบทั้ง 2 เรื่อง มีความสัมพันธ์กันอย่างใกล้ชิด เพราะการตรวจสอบ Financial Audit ก็คงต้องพิจารณา Computer Audit ด้วยในฐานะที่องค์กรยุคใหม่ได้นําคอมพิวเตอร์มาใช้ในการปฏิบัติงาน และการควบคุมภายในแล้วทั้งสิ้น ท่านอาจดูข้อสรุปในเล่มนี้ในบทที่เกี่ยวข้องกับการตรวจสอบการทุจริตได้
    นอกจากนี้ในเล่มที่ 4 ของหนังสือชุดนี้ ผมได้จัดทําบทกรณีศึกษาการตรวจสอบทั้งทางด้าน Data Center และ Application ที่น่าสนใจ โดยส่วนใหญ่ได้แนวความคิดและประสบการณ์จากการตรวจสอบด้านภาคปฏิบัติจริง ๆ กรณีศึกษาจะมีบทแนวคําตอบให้ผู้ตรวจสอบได้ติดตามศึกษาด้วย ทั้งนี้เป็นการทบทวนความเข้าใจของผู้ตรวจสอบได้ระดับหนึ่ง อย่างไรก็ดีกรณีศึกษาดังกล่าวจะมีประโยชน์มากยิ่งขึ้น ถ้าหากผู้ตรวจสอบจะพิจารณาหาแนวคําตอบก่อนที่จะได้ดูบทเฉลยที่เป็นแนวคําตอบจริง ๆ ต่อไป
15. หนังสือชุดนี้ทั้ง 4 เล่ม มีเลขที่ของ ISBN อยู่ด้วย ทั้ง ๆ ที่มีการพิมพ์จํานวนน้อยมาก ทั้งนี้ก็เพื่อใช้ในการศึกษาตามที่เคยกล่าวแล้ว แต่การมีเลขที่ ISBN ด้วยก็เพื่อให้ใช้เป็นที่อ้างอิงสําหรับผู้อ่าน เมื่อหนังสือนี้ อยู่ในห้องสมุดของธนาคารแห่งประเทศไทย ที่มีระบบการอ้างอิงเอกสารที่ทันสมัยแล้วเท่านั้น
16. การจัดทําหนังสือชุดนี้ ผมคาดการณ์ผิดหลายประการ นั่นคือ ผมใช้เวลามากกว่าที่คาดไว้แต่เดิมมากมาย จากการจัดทําข้อมูลเพิ่มเติมโดยเฉพาะเล่ม 3 และเล่ม 4 และต้องพิสูจน์ตัวอักษรในบางส่วน พร้อมทําความเข้าใจกับเพื่อนร่วมงานที่ทําหน้าที่พิสูจน์ตัวอักษรไปพร้อมกับอธิบายเรื่องที่เกี่ยวข้อง เพราะมีความสับสนในการพิมพ์ด้วย
    อย่างไรก็ดีเวลาส่วนใหญ่หรือแทบทั้งหมดนี้ผมได้ใช้เวลานอกทําการตามปกติของธนาคาร
    ผมบังเอิญได้ไปอ่านศัพท์คอมพิวเตอร์ในห้องสมุดของสาขาภาคฯ ในช่วงเพียงวันหนึ่งได้พบกับศัพท์ที่น่าสนใจมาก และมีความหมายตลอดจนความสําคัญอย่างยิ่งต่อท่านผู้อ่านหรือท่านผู้ตรวจสอบ โดยเฉพาะผู้ที่จะเป็น EDP Auditor หรือ IS Auditor หรือ IS Examiner ก็ตามนั่นคือการแปลคําศัพท์ของคําว่า “Computer audit จากพจนานุกรมศัพท์คอมพิวเตอร์หลายเล่มได้ให้ความหมายต่างกันเช่น :-
    บางเล่มแปลคํานี้ว่า “การตรวจสอบบัญชีด้วยคอมพิวเตอร์” บางเล่มแปลคํานี้ว่า “การตรวจสอบระบบคอมพิวเตอร์” บางเล่มไม่ได้ให้ความหมายของคํา ๆ นี้ไว้
    ผมรู้สึกหนักใจแทนท่านผู้อ่าน และท่านผู้ตรวจสอบที่กําลังทําความเข้าใจในเรื่องการตรวจสอบ Computer Audit หรือ IT, IS Audit เพราะคําว่า Computer Audit นี้ความหมายที่น่าจะถูกต้องและฟังเข้าใจได้ดีกว่า การตรวจสอบด้านคอมพิวเตอร์ ซึ่งแบ่งการตรวจสอบออกเป็น 2 ส่วนใหญ่ ๆ ได้แก่
    ก) การตรวจสอบการบริหารองค์กรทางการด้านคอมพิวเตอร์หรือศูนย์คอมพิวเตอร์ (Data center) ซึ่งเป็นการตรวจสอบ General Controls กับ
    ข) การตรวจสอบ “งาน” หรือ Application audit ซึ่งเป็นการตรวจสอบงานแต่ละประเภทแต่ละหน่วยงานขององค์กร เช่น งานด้านเงินฝาก ส่วนงานด้านเงินกู้ งานด้านสินค้าคงคลัง การซื้อ การขาย ฯลฯ ซึ่ง จะเน้นการตรวจทางด้าน Input, Processing และ Output ของแต่ละงาน (Application) ที่เกี่ยวข้องกับงานการตรวจสอบทั้ง 2 ด้าน ซึ่งเป็นเรื่อง Computer Audit นี้ เป็นงานใหม่เพิ่มเติมจากการตรวจสอบตามปกติ ซึ่งในระบบบัญชีที่ทําด้วย Manual แบบดั้งเดิมไม่มี
    ดังนั้นการแปลคําว่า Computer Audit ตามพจนานุกรมศัพท์คอมพิวเตอร์บางเล่มว่าเป็นการตรวจสอบบัญชีด้วยคอมพิวเตอร์ น่าจะมีความหมายเพียงการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ หรือเป็น Computer Assisted Audit Technique อย่างหนึ่ง มากกว่าเป็นการตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) จริง ๆ แล้ว ในขณะนี้บางเล่มแปลว่าการตรวจสอบระบบคอมพิวเตอร์ ซึ่งการแปลเช่นนี้มีความหมายที่ใกล้เคียงกับความหมายที่ผมคิดว่าน่าจะถูกต้องคือ “การตรวจสอบด้านคอมพิวเตอร์” แต่คําว่าการตรวจสอบระบบคอมพิวเตอร์ อาจทําให้ผู้อ่านเข้าใจผิดว่า เป็นการตรวจสอบทางด้าน System ของคอมพิวเตอร์ หรือเป็นแต่เพียงการตรวจสอบระบบงานใดระบบงานหนึ่ง หรือหลายระบบที่ใช้คอมพิวเตอร์ในการประมวลงาน ซึ่งตรงกับคําภาษาอังกฤษว่า “Application Audit” โดยเป็นส่วนหนึ่งของการตรวจสอบทางด้าน Computer Audit ตามที่กล่าวแล้วเท่านั้น หรืออาจมีผู้อ่านบางท่านเข้าใจไขว้เขวไปได้ว่า “เป็นการตรวจสอบระบบคอมพิวเตอร์” ตามคําแปลล้วน ๆ เพียงอย่างเดียวก็ได้ และเข้าใจเช่นนี้ จะคลาดเคลื่อนจากความหมายของคําว่า Computer Audit ตามที่ผมกล่าวในตอนแรก ๆ แล้วว่า การตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) หรือ IS Audit เป็นการตรวจสอบในลักษณะ Total System Approach นั่นคือการตรวจสอบ การบริหารงานและการประมวลงาน ตั้งแต่การพัฒนาระบบงานการนําข้อมูลเข้า การประมวลผล จนกระทั่งได้ข้อมูลผลลัพธ์ ทั้งในส่วนที่เป็น Manual ส่วนที่เป็น Automated และส่วนผสมของทั้ง 2 แบบ รวมทั้งการใช้ผลลัพธ์จากการประมวลผล ตลอดจนถึงการจัดทําเอกสารประกอบระบบงาน ส่วนกระบวนการตรวจสอบ เทคนิคการตรวจสอบ หลักฐานการตรวจสอบ การจัดดูรายงานจะขึ้นอยู่กับเป้าหมายและขอบเขตการตรวจสอบเป็นสําคัญ ดังนั้นขอได้โปรดศึกษาและทบทวนความหมายและวัตถุประสงค์ในการตรวจสอบ IS Audit ให้ถ่องแท้ก่อนด้วย หวังว่าคําอธิบายในข้อนี้จะช่วยทําความเข้าใจในเรื่องการตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) ได้บ้างส่วนพอสมควร เพราะหากท่านผู้อ่านเกิดความเข้าใจที่คลาดเคลื่อนแล้ว การศึกษาการบริหารงาน และการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จะเกิดความสับสนเป็นอย่างยิ่ง ดังนั้น จึงควรทราบว่า การใช้ภาษาไทยในเรื่องของการตรวจสอบด้านคอมพิวเตอร์ มีคําศัพท์ที่ใช้คล้าย ๆ กันหลายคํา แต่มีความหมายแตกต่างกันอย่างมีนัยสําคัญมาก สําหรับคําว่า “การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ก็มีความหมายหลัก ๆ ได้ 2 อย่างคือ การตรวจสอบด้าน IS Audit และ/หรือ Financial Audit ซึ่งขึ้นอยู่กับวัตถุประสงค์ของการตรวจสอบ อย่างไรก็ดี หากเป็นการตรวจสอบ Financial audit ก็หนีไม่พ้นต้องทําการตรวจสอบทางด้าน IS Audit ซึ่งอยู่ในกระบวนการต้น ๆ ของการตรวจสอบ นั่นคือ การศึกษาและทําความเข้าใจในระบบงานขององค์กรที่ตรวจสอบก่อนเสมอ (โปรดดูหน้า 30)
17. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตในหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้ง สําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทยสาขาภาคตะวันออกเฉียงเหนือในปัจจุบัน ที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้
    

เมธา สุวรรณสาร
ผู้อํานวยการธนาคารแห่งประเทศ สาขาภาคตะวันออกเฉียงเหนือ
30 มกราคม 2540

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3” ภาคคอมพิวเตอร์กับการทุจริต สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 4” ซึ่งเป็นเล่มสุดท้ายในชุดหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ จะเป็นภาคคอมพิวเตอร์กับแผนฉุกเฉิน ผมจะเผยแพร่ในโพสต์ต่อไปนะครับ

จากการที่ผมได้เผยแพร่หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ ไปเมื่อครั้งก่อน ซึ่งมีรายละเอียดค่อนข้างมากพอสมควร และได้เผยแพร่ไปเป็นเล่มแรกแล้วนั้น ในครั้งนี้ผมขอเผยแพร่ต่อในเล่มที่ 2 โดยในเล่มนี้เป็นภาคของการตรวจสอบ ที่จะเน้นเรื่องของการตรวจสอบ ไม่ว่าจะเป็นเทคโนโลยีกับการควบคุมและตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ แผนการตรวจสอบ การตรวจสอบภาคสนาม ทั้งจากการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์และไม่ใช้คอมพิวเตอร์ รวมถึงประสบการณ์จากการตรวจสอบ การตรวจสอบภายใน การประเมินการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนการใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ ดังที่จะได้เผยแพร่ต่อไปนี้

การดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 2 ภาคการตรวจสอบ

คำนำ

1. การจัดทําหนังสือชุดเรื่อง การดําเนินงานและการตรวจสอบสถาบันการเงินด้วยคอมพิวเตอร์ทั้ง 4 เล่ม ครั้งนี้ ผมใคร่ขอเรียนวัตถุประสงค์หลัก ซึ่งเป็นสาระสําคัญของการจัดทําหนังสือชุดนี้ คือ
   1.1. เพื่อให้การศึกษา ค้นคว้า วิจัย งานด้านคอมพิวเตอร์ โดยไม่มีวัตถุประสงค์ในทางการค้า ทั้งในปัจจุบันและในอนาคตแก่ผู้ตรวจสอบในส่วนกํากับสถาบันการเงิน ที่ทําหน้าที่ตรวจสอบ ดูแล ความมั่นคง ของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ และจะใช้ภายในวงการที่ธนาคารแห่งประเทศไทย มีส่วนเกี่ยวข้องเป็นสําคัญ โดยพิจารณาเป็นส่วนหนึ่งของการให้การศึกษา อบรม ทําความเข้าใจกับหน่วยงานที่ธนาคารแห่งประเทศไทยเป็นผู้กํากับและดูแล
   1.2. หนังสือทั้ง 4 เล่มในชุดนี้ เป็นการแนะนํางานที่ได้ศึกษารวบรวมเรียบเรียง รวมทั้ง ดัดแปลงจากเอกสารต่างประเทศ และเขียนเพิ่มเติมจากประสบการณ์ภาคสนามรวม ๆ กันไป จากเอกสารเดิมที่เคยใช้ในการบรรยายให้ความรู้ต่อสถาบันการเงินและมหาวิทยาลัยต่าง ๆ ที่ผ่านมา ทั้งนี้ได้อ้างถึงที่มาของหนังสือที่ได้ค้นคว้าตามท้ายหนังสือแล้ว เพื่อให้ผู้ที่ใช้งานในวงจํากัดเหล่านี้ ได้ทราบถึงที่มาในการใช้หนังสือชุดนี้เพื่อการศึกษา โดยมีข้อผิดตกยกเว้น ดังกล่าว
   1.3. เพื่อให้การทํางานของส่วนกํากับฯ ได้ผลยิ่งขึ้น จึงได้มีการพูดคุยและให้คําแนะนํา การปฏิบัติงาน รวมทั้งการตรวจสอบในที่ประชุมธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ ในภาคอีสาน เช่นเดียวกับที่ผมได้เป็นผู้บรรยายให้แก่สถาบันเหล่านี้ในกรุงเทพฯ และที่อื่น ๆ หนังสือชุดดังกล่าว จึงได้ส่งให้สถาบันการเงินที่ธนาคารแห่งประเทศไทย ภาคตะวันออกเฉียงเหนือดูแล โดยมีวัตถุประสงค์เช่นเดียวกันคือ ให้การศึกษา ค้นคว้า วิจัย โดยถือเสมือนหนึ่งเป็นการป้องกันปัญหา และให้คําชี้นําในการให้การศึกษาเป็นการล่วงหน้าต่อสถาบันการเงินดังกล่าว ตามหน้าที่เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงาน โดยมีเอกสารไว้ใช้ศึกษาดูเมื่อต้องการ ซึ่งจะมีผลต่อความมั่นคงของสถาบันการเงิน ซึ่งเป็นหน้าที่หลักอย่างหนึ่งของธนาคารแห่งประเทศไทยเป็นสําคัญ
   1.4. หนังสือในชุดนี้ทั้งหมด จัดทําขึ้นเพื่อใช้ประโยชน์ในการปฏิบัติงาน และการดําเนินการของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ โดยมิได้เผยแพร่หรือโฆษณาต่อสาธารณชนเป็นการทั่วไป และมิได้มีการจําหน่ายใด ๆ ทั้งสิ้น และใคร่ขอย้ำว่าเป็นการจัดทําเพื่อประโยชน์ในการศึกษา งานค้นคว้า การปฏิบัติงานและการตรวจสอบด้านคอมพิวเตอร์ทุกรูปแบบ ตามภาระและหน้าที่ส่วนหนึ่งในความรับผิดชอบที่ผมปฏิบัติหน้าที่อยู่ทั้งในอดีตและปัจจุบัน
   ดังนั้น การนําข้อความหรือบทความในหนังสือชุดนี้ เพื่อจะทําซ้ำหรือดัดแปลงเพื่อประโยชน์ทางการค้า จึงเป็นสิ่งที่ไม่พึงปฏิบัติ เพราะผิดวัตถุประสงค์ที่สําคัญของการจัดทําหนังสือชุดนี้เป็นอย่างยิ่ง
   1.5. การทําความเข้าใจกับท่านผู้อ่าน และผู้ที่อาจเกี่ยวข้องในหัวข้อนี้ ก็เพื่อสร้างความเข้าใจในการจัดทําหนังสือชุดนี้เป็นสําคัญ ทั้งนี้เป็นการป้องกันปัญหาที่อาจจะเกิดจากความเข้าใจที่ไม่ตรงกัน ในการปฏิบัติหน้าที่ของแต่ละหน่วยงานได้
2. หนังสือเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ เป็นเล่มที่จะเน้นทําความเข้าใจ และให้รายละเอียดกับผู้ที่สนใจในการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก ทั้งนี้ มีแนวทางทําความเข้าใจง่าย ๆ โดยเริ่มต้นศึกษาจากวงจรทางเทคโนโลยีกับการควบคุมและตรวจสอบ และการดําเนินงานด้านคอมพิวเตอร์ ซึ่งมีรายละเอียดปรากฏอยู่ในเล่ม 1 และได้สรุปเพิ่มเติมในเล่ม 2 โดยเฉพาะอย่างยิ่ง การวางแผนการตรวจสอบ แผนภาพ และข้อควรทราบสําหรับผู้ตรวจสอบโดยทั่วไปก่อนการเข้าตรวจสอบองค์กรที่ใช้คอมพิวเตอร์
3. การตรวจสอบภาคสนาม (field work) สําหรับผู้ตรวจสอบที่ยังไม่เข้าใจระบบงานที่แท้จริงนั้น จะเริ่มจากการศึกษาและทําความเข้าใจระบบงานขององค์กรโดยภาพรวมก่อน นั่นคือการทําความเข้าใจทั้งในระบบงานในส่วนที่ใช้คอมพิวเตอร์ และในส่วนที่ไม่ใช้คอมพิวเตอร์ แล้วจึงทําการประเมินระบบการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนหาทางใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ
4. ตั้งแต่บทที่ 16 ถึงบทที่ 26 เหมาะสําหรับการตรวจสอบภายใน (Internal Audit) และผู้ตรวจสอบภายนอกที่ไม่ได้เป็น examiner เพราะได้เน้นการตรวจสอบ “งาน” หรือ Application มากกว่า “องค์กร” อย่างไรก็ดี ผู้ตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ (EDP examiner) จากธนาคารแห่งประเทศไทย ก็สามารถนําไปประยุกต์ใช้ร่วมกับวิธีการ และแนวทางการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ได้
5. มีองค์กรที่เกี่ยวข้องกับการตรวจสอบ และมีหนังสือที่เกี่ยวข้องกับการตรวจสอบด้านคอมพิวเตอร์มากมาย ตลอดจนนิตยสารและวารสารการตรวจสอบด้านคอมพิวเตอร์ ที่ออกกันมาเป็นรายเดือนหรือรายไตรมาส ติดต่อกันมาเป็นเวลาหลายปีในหลายประเทศทั่วโลก เมื่อกล่าวถึงองค์กรอย่างเช่น Information Systems Audit and Control Association ที่มีสมาชิกมากกว่า 93 ประเทศทั่วโลก ทําหน้าที่ศึกษา ค้นคว้า ให้การอบรม จัดสัมมนา จัดการประชุมงานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit ) กับสมาชิกและออกวารสาร IS Audit and Control เป็นประจํา มีสํานักงานใหญ่อยู่ที่ประเทศสหรัฐอเมริกา ประเทศไทยเราก็เป็นสมาชิกอยู่ในสมาคมผู้ตรวจสอบงานคอมพิวเตอร์นี้ด้วย นอกจากนั้นก็มีสถาบันต่าง ๆ หลายแห่งที่มีสมาชิกจํานวนมาก ทําหน้าที่คล้าย ๆ กันนี้ แต่เน้นหนักทางด้านการค้นคว้าการตรวจสอบด้านคอมพิวเตอร์และผลิตหนังสือต่าง ๆ ออกมามากมาย ดังนั้น หากองค์กรของท่านเป็นองค์กรหนึ่งที่มีหน้าที่ในการตรวจสอบ ไม่ว่าจะเป็นการตรวจสอบภายในองค์กรของท่านเอง หรือทําหน้าที่ตรวจสอบองค์กรอื่นที่ใช้คอมพิวเตอร์ในการ Process งานและการบริหารงาน โดยที่ผู้ตรวจสอบที่ท่านดูแล ยังมิได้ทําการตรวจสอบในลักษณะ IS Audit หรือ Computer Audit เป็นส่วนหนึ่งของ กระบวนการตรวจสอบตามปกติแล้วละก็ ควรจะพิจารณาได้ว่า น่าจะต้องเพิ่มการดําเนินการตรวจสอบในลักษณะ IS Audit ได้แล้ว ทั้งนี้ขอท่านได้โปรดทบทวนและศึกษาจากมาตรฐานการสอบบัญชี ฉบับที่ 28 ฉบับที่ 29 และ ฉบับที่ 36 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย เรื่องการสอบบัญชีในกรณีธุรกิจที่ใช้ คอมพิวเตอร์ (เล่ม 1) ก็จะเป็นประโยชน์ในการพิจารณาของท่านเป็นอย่างยิ่ง
6. จากข้อ 5. ข้างต้น ผมเองได้ยินเสียงวิจารณ์หรือเสียงบ่น จากการปฏิบัติงานการตรวจสอบของผู้ปฏิบัติงานภาคสนาม หรือผู้ลงมือตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์จริง ๆ จากผู้คุ้นเคยมากรายว่า การตรวจสอบระบบการควบคุมภายในและการบัญชี ตลอดจนการศึกษาทําความเข้าใจระบบงานในองค์กร ที่ได้รับการตรวจสอบที่ใช้คอมพิวเตอร์ เพื่อวางแผนและกําหนดเทคนิคหรือวิธีการตรวจสอบ หรือเพื่อหาหลักฐานและความพอเพียง ในการตรวจสอบตามเป้าหมายการตรวจสอบ โดยใช้วิธีการตรวจสอบตามปกติหรือ Manual นั้น ได้ถูกจํากัดโดยกระบวนการ process งานด้านคอมพิวเตอร์ เพราะขั้นตอนการควบคุมภายในและการบัญชีส่วนใหญ่ ได้ใช้โปรแกรมคอมพิวเตอร์เป็นผู้ควบคุมและดําเนินงานแล้ว ดังนั้น เมื่อไม่มีการตรวจสอบด้านคอมพิวเตอร์หรือ IT Audit เป็นส่วนหนึ่งของ Financial Audit โดยเฉพาะอย่างยิ่งการตรวจสอบการปฏิบัติตามระเบียบกฎเกณฑ์การ ควบคุมภายในของหน่วยงาน (Compliance Audit) แล้ว ก็จะทําให้การปฏิบัติงานตรวจสอบนั้น ต้องข้ามขั้นตอน หรือละเว้นการตรวจสอบที่จําเป็นไปไม่น้อย ทําให้มีปัญหาถึงประสิทธิภาพและประสิทธิผลการปฏิบัติงานการตรวจสอบ อันเกิดจากการละเลยไม่ตรวจสอบงานด้านคอมพิวเตอร์ รวมทั้งไม่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ ตามมาตรฐานที่ควรจะเป็นด้วยท่านเคยได้ยินคําวิจารณ์หรือเสียงบ่นทํานองนี้บ้างหรือไม่ และท่านควรจะทําการแก้ไขปัญหา หรืออุปสรรคตามที่กล่าวนี้อย่างไร หากท่านไม่ได้ยินเรื่องทํานองข้างต้น ท่านเคยคิดและพิจารณาบ้างหรือไม่ว่า เป็นไปได้หรือที่การตรวจสอบยังคงใช้แนวทางการตรวจสอบเดิม ๆ สมัยที่องค์กรยังใช้ระบบ Manual เมื่อองค์กรนั้นนําคอมพิวเตอร์เข้ามาใช้แล้ว
7. ในการตรวจสอบธนาคารพาณิชย์ และสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งองค์กรอื่นที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบควรพิจารณาถึงความจําเป็น และความแตกต่างในระบบงานของแต่ละองค์กรเป็นกรณีไป โดยควรเน้นและให้ความสําคัญอย่างยิ่งต่อการควบคุมภายในที่มีประสิทธิภาพ
8. การทําความเข้าใจในเป้าหมาย ขอบเขต กรรมวิธี ในการตรวจสอบงานด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบทางด้านการเงิน (Financial Audit) และจัดทํารายงานการตรวจสอบ ตลอดจนความสัมพันธ์ของงานทั้ง 2 ประเภท นับเป็นสิ่งที่มีความสําคัญยิ่ง ในการปฏิบัติงานการตรวจสอบที่มีประสิทธิภาพสูงสุด เช่น การรู้จักใช้เครื่องมือคอมพิวเตอร์ให้เป็นประโยชน์ในการตรวจสอบ และการทําความเข้าใจในระบบงานด้านคอมพิวเตอร์ เพื่อกําหนดขอบเขตการตรวจสอบให้เหมาะสม เป็นต้น
9. วิธีการตรวจสอบและเทคนิคการตรวจสอบงานด้านคอมพิวเตอร์ จะต้องพัฒนาให้ทันกับ Technology สมัยใหม่ที่ก้าวหน้าอย่างรวดเร็วและไม่หยุดยั้ง ทั้งทางด้าน Hardware และ Software วิธีการตรวจสอบจึงจําเป็นต้องพัฒนาขึ้น เพื่อช่วยให้ผู้ตรวจสอบมีเครื่องมือ และรู้จักใช้เครื่องมือปฏิบัติงานอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ในการตรวจสอบ อีกทั้งจะช่วยให้ผู้ตรวจสอบมีความมั่นใจในการเสนอความเห็นในรายงานการตรวจสอบอย่างถูกต้องตามความเป็นจริงและมีเหตุมีผล
10. ผู้ตรวจสอบทางด้านคอมพิวเตอร์ นอกจากจะได้รับมอบหมายให้เป็นผู้ตรวจสอบความถูกต้อง และความน่าเชื่อถือได้ของข้อมูลจากงานที่ประมวลผลด้วยคอมพิวเตอร์แล้ว ยังมีหน้าที่ที่สําคัญมากอีกประการหนึ่งก็คือ การร่วมมือและประสานงานตรวจสอบด้านการเงิน (Financial Audit) โดยแนะนําหรือร่วมปฏิบัติงานทางด้านเทคนิคการตรวจสอบในส่วนที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานตรวจสอบทางด้าน Financial มีปัญหาน้อยที่สุด ดังนั้น การศึกษาเทคนิคใหม่ ๆ ทางด้านคอมพิวเตอร์ เพื่อประโยชน์ในการตรวจสอบจึงเป็นสิ่งที่จําเป็นอย่างยิ่ง และจะต้องดําเนินการควบคู่กันไปกับการปฏิบัติงานตรวจสอบด้วยเสมอ ทั้งนี้เพื่อดํารงไว้ซึ่งประสิทธิภาพของการตรวจสอบโดยรวม
11. เมื่อผมได้ไปปฏิบัติหน้าที่ในฐานะ Deputy Principal ของหลักสูตร SEACEN (South East Asian Central Banks) หลักสูตร Inspection and Supervision of Financial Institutions ครั้งที่ 12 ที่กรุงจาการ์ตา ประเทศอินโดนีเซีย เมื่อปี ค.ศ. 1988 ผมได้แนะนําให้เพิ่มวิชาที่มีเนื้อหาในด้านที่เกี่ยวกับคอมพิวเตอร์หลายวิชา ในหลักสูตรนี้ ทาง SEACEN ได้เชิญผมไปบรรยายความจําเป็นของวิชาเหล่านี้ให้กับเลขาธิการของ SEACEN ที่ไปดูแลหลักสูตรนี้ที่กรุงจาการ์ตา และผมก็ได้ไปอธิบายเรื่องนี้ ณ ที่ทําการสํานักงานใหญ่ของ SEACEN ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย ในปีเดียวกันนั้น ในเรื่องที่เกี่ยวข้องกับการพัฒนาการกํากับ และการตรวจสอบสถาบันการเงินที่ต้องมีวิชานี้เข้าไปเกี่ยวข้องด้วย เพราะเป็นเรื่องที่แยกกันไม่ได้ในวงการกํากับ และการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และทาง SEACEN ก็ได้บรรจุวิชาต่าง ๆ ที่เกี่ยวกับคอมพิวเตอร์เข้าไปในหลักสูตรนี้นับจากนั้นมาจนกระทั่งปัจจุบัน ซึ่งผมได้มีส่วนช่วยบรรยายหลายวิชาในหลักสูตรนี้ที่จัดขึ้นในประเทศต่าง ๆ ของสมาชิก SEACEN ในเวลาต่อมาด้วย นั่นคือ ถึงแม้เป้าหมายของผู้ตรวจสอบจะเป็นการตรวจสอบฐานะความมั่นคงทางการเงิน หรือเป็นการตรวจสอบเพื่อรับรองงบการเงิน แต่ข้อมูลและการควบคุมภายในส่วนใหญ่ได้ถูกประมวลโดยระบบคอมพิวเตอร์แล้ว ดังนั้น การวางแผนการตรวจสอบก็จะต้องคํานึงถึง และเข้าใจในระบบงานด้านคอมพิวเตอร์พอสมควรด้วยเสมอ
12. นอกจากที่กล่าวทาง SEACEN ก็ได้จัดหลักสูตรใหม่ขึ้นมาโดยเฉพาะ เรียกว่า Computer Audit (Advanced Level) ขึ้น เป็นหลักสูตรการตรวจสอบคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบในสถาบันการเงินโดยเฉพาะ แยกเป็นอีกหลักสูตรหนึ่ง โดยอบรมให้แก่ผู้ตรวจสอบจากธนาคารกลางประเทศต่าง ๆ ในเอเชีย ทาง SEACEN ได้ให้ผมเป็น Course Director สําหรับหลักสูตรนี้อีกครั้ง เพื่อจัดให้มีการอบรมให้กับประเทศต่าง ๆ ที่กรุงเทพฯ เมื่อปลายปี ค.ศ. 1993 ซึ่งช่วงนั้นผมได้บรรยายวิชา EDP Supervision and Financial Institutions ด้วย โดยกล่าวถึง The Thai experienced ในเรื่อง ตามที่สรุปในภาคผนวกเล่มที่ 1 แล้ว แต่วิชาคอมพิวเตอร์อื่น ๆ ในหลักสูตรนี้ที่ผมได้บรรยายให้ SEACEN ในปีก่อน ๆ หน้านี้ ผมไม่ได้นํามาให้ผู้อ่านได้อ่านด้วย เพราะมีบางส่วนได้กล่าวเป็นภาษาไทยในหนังสือชุดนี้อยู่แล้ว
13. การตรวจสอบด้านคอมพิวเตอร์ถึงแม้จะมีความจําเป็นเด่นชัด แต่ผู้บริหารในองค์กรต่าง ๆ ให้ความสําคัญกับการตรวจสอบด้านนี้แตกต่างกัน และมีจํานวนไม่น้อยที่มองข้ามประเด็นที่สําคัญนี้ อย่างไรก็ดี สําหรับธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยได้กําหนดให้มีการตรวจสอบคอมพิวเตอร์ เพื่อดูแลเรื่องนี้โดยเฉพาะตั้งแต่ ปี 2528 สําหรับสถาบันการเงินอื่น ๆ ทางธนาคารแห่งประเทศไทยก็ได้สั่งการให้สถาบันการเงินเหล่านั้นได้จัดให้มีการตรวจสอบงานด้านคอมพิวเตอร์แล้วด้วย
14. งานตรวจสอบด้านคอมพิวเตอร์ (IS Audit หรือ IS Examination) ในด้านของธนาคารแห่งประเทศไทย หรือ FFIEC ของประเทศสหรัฐอเมริกา แล้วมีวัตถุประสงค์อย่างกว้าง ๆ เช่นเดียวกับการตรวจสอบฐานะและความมั่นคงของสถาบันการเงิน นั่นคือ 1.) เพื่อประเมินฐานะความมั่นคงของสถาบันการเงิน 2.) เพื่อประเมินและวัดคุณภาพการจัดการ และการดําเนินงานของผู้บริหารระดับสูง 3.) เพื่อให้คําแนะนํา แก้ไขจุดอ่อนต่าง ๆ ที่อาจก่อให้เกิดปัญหาต่อสถาบันการเงินเป็นการล่วงหน้า เพื่อให้สถาบันการเงินปรับปรุงคุณภาพของการบริหารงาน และการดําเนินงานให้มีความมั่นคง และเป็นไปตามระเบียบ คําสั่ง และกฎหมายที่เกี่ยวข้อง อย่างไรก็ดี วัตถุประสงค์ของการตรวจสอบด้าน IS Audit ของผู้สอบบัญชีรับอนุญาต และผู้สอบ บัญชีภายในจะแตกต่างกันไปตามเป้าหมายหลักของตนเอง
15. การตรวจสอบด้านคอมพิวเตอร์ที่ปัจจุบันมักนิยมเรียกกันว่า IS Audit ในประเทศสหรัฐอเมริกา และ IT Audit ในประเทศอังกฤษและออสเตรเลีย มากกว่าคําที่ใช้เรียกกันเต็ม ๆ ว่า Computer หรือ EDP Audit นั้น มีเรื่องที่ต้องทําความเข้าใจกันมากพอสมควร ยิ่งผู้สนใจท่านใดอ่านหนังสือประเภทนี้จากผู้แต่งหลาย ๆ คน จากประเทศต่าง ๆ แล้ว ก็อาจจะพบกับความสับสนมากขึ้น ทั้งนี้เพราะผู้แต่งแต่ละท่านก็มีความคิด/จุดยืนและทัศน รวมทั้งการผูกเรื่องให้อ่าน หรือทําความเข้าใจแตกต่างกันนั่นเอง
16. จุดยืนและความแตกต่างของตําราที่ผู้เขียนเรื่อง การตรวจสอบด้านคอมพิวเตอร์ ก็ขึ้นกับความ ถนัดและประสบการณ์ของผู้เขียนแต่ละท่าน เช่น บางท่านถนัดทางด้านการตรวจสอบระบบงานแต่ละอย่าง (Application Audit) เพราะผู้แต่งหรือผู้เขียนทํางานในด้านนี้ บางท่านทํางานในองค์กรเอกชน หรือตามโรงงานอุตสาหกรรมต่าง ๆ ในขณะที่บางท่านแต่งหรือเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์ในฐานะที่เป็นผู้กํากับและตรวจสอบสถาบันการเงิน จึงมีหน้าที่และบทบาทต่างกันออกไป เช่น ผู้ตรวจสอบของ FDIC, FRB, OCC ซึ่งเรียกรวม ๆ กันว่า Federal Financial Institution Examination Council (FFIEC) ของประเทศสหรัฐอเมริกา ที่เป็นหน่วยงานของรัฐ ซึ่งทําหน้าที่ตรวจสอบทั้งฐานะความมั่นคงและการดําเนินงานโดยทั่วไป ซึ่งเรียกกันว่า Financial Examiner และบางส่วนแบ่งมาทําหน้าที่ตรวจสอบด้านคอมพิวเตอร์ เรียกกันในระยะแรก ๆ ว่า EDP Examiner นั้น ก็มีประสบการณ์การเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์แตกต่างกันไปตามความรับผิดชอบของตน นั่นคือ FFIEC จะเน้นการตรวจสอบทางด้านศูนย์ประมวลข้อมูลของสถาบันการเงิน (Data Center) ซึ่งจะตรวจงานทางด้านการดําเนินงานและการบริหารงานของศูนย์คอมพิวเตอร์เป็นสําคัญ และจะไม่เน้นหรือจะไม่ตรวจสอบทางด้าน Application Audit ซึ่งทาง FFIEC พิจารณาว่าเป็นงานของผู้ตรวจสอบภายนอก (External Auditor) และผู้ตรวจสอบภายในของสถาบันการเงินหรือองค์กรอื่น ๆ ซึ่งผู้ตรวจสอบประเภทหลังนั้น จะตรวจสอบทั้งทางด้าน Data Center หรือตรวจสอบการควบคุมภายในโดยทั่วไป (General Controls) และตรวจสอบการควบคุมภายในเฉพาะระบบงาน หรือ เรียกว่า Application Controls หรือ Application Audit ด้วย
17. เมื่อมาถึงจุด ๆ นี้ ก็มีคําที่ต้องทําความเข้าใจกันต่อก็คือ การตรวจสอบงานด้านคอมพิวเตอร์ที่เรียกและเข้าใจกันง่าย ๆ Computer Audit นั้น มีการตรวจสอบเป็น 2 ลักษณะ 17.1. การตรวจสอบด้านศูนย์ประมวลข้อมูล (Data Center) หรือเรียกกันว่าเป็นการตรวจสอบการควบคุมโดยทั่วไป (General Controls) หรือเป็นการตรวจสอบ “องค์กร” หรือเป็นการตรวจสอบการดําเนินงานและการบริหารงานด้านคอมพิวเตอร์ขององค์กร 17.2. การตรวจสอบงานใดงานหนึ่งเป็นการเฉพาะ เช่น การตรวจสอบงานด้านเงินฝาก เงินให้กู้ ฯลฯ ก็เรียกกันว่าเป็นการตรวจสอบด้าน Application หรือเป็นการตรวจสอบการควบคุมภายในเฉพาะงาน (Application Controls) หรือทําให้เข้าใจง่ายยิ่งขึ้นก็เรียกว่าการตรวจสอบ “งาน” ภายในองค์กร
18. การตรวจสอบงานด้านคอมพิวเตอร์ โดยหลักใหญ่ ๆ จึงสรุปได้ว่ามีเพียง 2 ลักษณะ คือ ตรวจสอบ “องค์กร” กับ “งาน” จะเป็นการตรวจสอบด้านใด ก็ขึ้นกับความรับผิดชอบของผู้ตรวจสอบในแต่ละองค์กรว่ายืนอยู่ ณ จุดใด มีความรับผิดชอบด้านใด ท่านต้องการกําหนดขอบเขตการตรวจสอบ (Audit Scope) เพียงใด ดังนั้น ผู้อ่านจึงต้องแยกแยะว่าท่านต้องการเรียนรู้งานการตรวจสอบด้านคอมพิวเตอร์ลักษณะใด แล้วจึงค่อย ๆ ทําความ เข้าใจกับคําอธิบายเฉพาะส่วนนั้น ๆ และความเกี่ยวพันที่เกี่ยวข้อง เช่น ควรเข้าใจว่าหาก General Controls มีปัญหาก็จะกระทบกับการวางแผนและการตรวจสอบด้าน Application Controls เพียงใด และควรมีวิธีการตรวจสอบอย่างไร เป็นต้นอนึ่ง ถึงแม้จะมีตําราการตรวจสอบด้านคอมพิวเตอร์บางเล่ม ได้แยกหัวข้อการตรวจสอบแตกต่างไปจากที่กล่าวข้างต้น เช่น มักจะแยกหัวข้อการตรวจสอบการพัฒนาระบบงานเพิ่มมาอีกก็ตาม ผมก็ยังมีความเห็นว่า น่าจะรวมอยู่ในการตรวจสอบ General Controls จะเหมาะสมกว่า นอกจากนี้แผนภูมิแสดงการตรวจสอบโดยย่อ ที่มีมากกว่า 1 แห่ง ในหนังสือของผมทั้ง 3 หรือ 4 เล่ม ก็อาจมีความแตกต่างกันในรายละเอียดปลีกย่อย ทั้งนี้ ขอให้ผู้อ่านอย่าสับสน เพราะเหตุผลเกิดจากแนวความคิดเบื้องต้นที่อาจแตกต่างกันบ้างของผู้เขียนหนังสือแต่ละคน เช่น บางคนเริ่มจากการวิเคราะห์ความเสี่ยง ซึ่งผมชอบแนวทางนี้ บางคนไม่วิเคราะห์ถึงความเสี่ยงก่อน แต่ให้เริ่มต้นจากการทําความเข้าใจระบบงานก่อน ซึ่งในที่สุด ผู้อ่านจะพบว่าไม่ว่าจะเริ่มแบบใด ในที่สุดแล้วก็จะมาสู่จุดเดียวกันจนได้ หากท่านผู้อ่านเข้าใจได้เช่นนี้ ก็แสดงว่าท่านเข้าใจแนวทางการตรวจสอบอย่างถ่องแท้แล้ว อย่างไรก็ดี หลักการส่วนใหญ่จะไม่แตกต่างกันมาก แต่จะแตกต่างกันในการบรรยายและการทําความเข้าใจ
19. ผู้อ่านควรทําความเข้าใจในคําต่อไปนี้ คือ EDP examiner, EDP auditor ซึ่งคํา ๆ หลังนี้ยังแยกได้เป็น 2 ส่วน คือ External Auditor และ Internal Auditor สรุปเพียงข้อนี้ก่อนว่า ผู้ตรวจสอบด้าน คอมพิวเตอร์เองก็มี 3 แบบ มีความรับผิดชอบและหน้าที่แตกต่างกัน และผู้ตรวจสอบต้องเข้าใจลักษณะของหน้าที่ และความรับผิดชอบที่แตกต่างกันนั้น ๆ ด้วย เพราะความแตกต่างกันนั้น ยังมีส่วนเหลื่อมที่เป็นความเหมือน หรือความคล้ายกันปะปนกันอยู่ด้วย นั่นคือ การกําหนดขอบเขตและวิธีการตรวจสอบ อาจมีความสัมพันธ์ซึ่งกันและกันตามลักษณะของผู้ตรวจสอบ ทั้ง 3 แบบได้
20. การให้ถ้อยคําเป็นภาษาไทยที่ถอดความจากภาษาอังกฤษ ในศัพท์คอมพิวเตอร์บางครั้งก็มิใช่ของง่ายเพราะถึงแม้จะมีการแปลศัพท์คอมพิวเตอร์เป็นภาษาไทยกันแล้วหลายเล่ม แต่การใช้ภาษาไทยก็ยังมีการใช้แตกต่างกันอยู่ ซึ่งขึ้นกับความถนัดและความเข้าใจของผู้เรียบเรียงหรือผู้เขียนเป็นสําคัญ ดังนั้น การให้ถ้อยคําในภาษาไทยในแต่ละเรื่อง ถึงแม้มาจากภาษาอังกฤษคํา ๆ เดียวกัน ก็ใช้ถ้อยคําแตกต่างกันที่อาจทําให้ผู้อ่านสับสนได้ อย่างไรก็ดี คําศัพท์ภาษาไทยที่ยังไม่นิยมกัน ผมไม่ได้นํามาใช้ในเอกสารประกอบการบรรยายนี้ และคําศัพท์หลายคําผมได้ให้ความหมายใหม่ตามที่ผมเข้าใจ เช่นคําว่า “default” โดยทั่วไปแปลว่า “โดยปริยาย” ในหลายตอนผมแปลว่า “มาตรฐานของระบบงานที่ได้กําหนดไว้ล่วงหน้า” หรือ “คําสั่งตามเงื่อนไขเบื้องต้นที่กําหนดไว้ในโปรแกรม” นอกจากนี้ หากท่านผู้อ่านพบกับคําว่า เกิด default ก็ขอให้เข้าใจว่า “เกิดข้อคลาดเคลื่อน” หรือ “เกิดการปฏิบัติงานที่ผิดไปจากเงื่อนไขหรือคําสั่งงานที่กําหนดไว้” และในบางกรณีก็หมายถึง “เกิดปัญหาการปฏิบัติงานที่เกิดจากมาตรฐานหรือเงื่อนไขเบื้องต้น” ทั้ง ๆ ที่การเกิด default นี้เป็นไปตามคําสั่งหรือมาตรฐานของระบบงานก็ตาม ซึ่งแสดงถึงจุดอ่อนหรือความเสี่ยงที่เกิดจากการทํา default ในโปรแกรมนั่นเอง อย่างไรก็ดี ความหมายในภาษาไทยที่ใช้และอาจเกิดความสับสนได้นั้น ผมจะวงเล็บภาษาอังกฤษ เพื่อให้เปรียบเทียบประกอบความเข้าใจเป็นส่วนมากไว้ด้วย ดังนั้นหากท่านผู้อ่านจะนําศัพท์ภาษาอังกฤษไปเปรียบเทียบกับ Dictionary ด้านคอมพิวเตอร์ ก็จะพบว่าการให้ความหมายแตกต่างกันไป ซึ่งบางกรณีทําให้เกิดความเข้าใจที่แตกต่างกันด้วย
21. ถ้อยคําในภาษาไทยที่ใช้ในการบรรยายการตรวจสอบด้านคอมพิวเตอร์ ในบางครั้งที่พบ เช่น การตรวจสอบระบบคอมพิวเตอร์โดยทั่วไป (ซึ่งหมายถึงการตรวจสอบ Data Center หรือ General Controls) กับคําว่า การตรวจสอบคอมพิวเตอร์เฉพาะงาน หรือบางครั้งก็ใช้คําว่า การตรวจสอบระบบงาน (ซึ่งหมายถึง Application Audit หรือ Application Controls) ถ้าผู้อ่านพยายามนึกถึงภาษาอังกฤษประกอบด้วยแล้ว จะทําให้ความสับสนน้อยลงได้ ทั้งนี้มีข้อแนะนําว่า หากรู้สึกสับสนก็ขอให้ถามตนเองว่า ขณะนี้เรากําลังอยู่จุดไหน หรือขั้นตอนใดของงานการตรวจสอบ เรามีเป้าหมายและขอบเขตการตรวจสอบอะไร เพียงใด ก็จะช่วยได้มาก โดยเฉพาะ การให้คําภาษาไทยที่ไม่ได้วงเล็บภาษาอังกฤษไว้ด้วย การที่ผมย้ำจุดนี้หลายครั้งก็เพราะ จากประสบการณ์ที่ผ่านมาในระยะแรก ๆ ทั้งตัวผมเองและผู้ฟังการบรรยาย มักจะพบกับปัญหาการทําความเข้าใจจากจุดนี้เป็นสําคัญ
22. ถ้อยคําอื่น ๆ ที่มีปัญหาก็อาจเกิดจากเทคนิคทางด้านคอมพิวเตอร์ นอกเหนือจากการใช้ภาษาไทยได้ ตัวอย่างเช่น โปรแกรมระบบงาน (System Program หรือ System Software) และคําว่าโปรแกรมเฉพาะงาน (Application Program หรือ Application Software) โดยมีถ้อยคําภาษาไทยที่คล้ายกันมาก หากไม่วงเล็บภาษาอังกฤษไว้ด้วย จะชวนทําให้สับสนได้ง่ายเช่นกัน หรือการตรวจสอบความถูกต้องของรายการทางการเงิน ก็มีคําภาษาอังกฤษที่ใช้ต่าง ๆ กัน เช่น Validation Procedures หรือ Verification Procedures หรือ Substantive tests เป็นต้น ดังนั้น ผู้ตรวจสอบ จึงควรทําความเข้าใจระบบงานของคอมพิวเตอร์ให้ถ่องแท้ ก่อนการวางแผนและดําเนินการตรวจสอบ
23. ถึงข้อนี้ ผมจึงขอกล่าวอีกครั้งว่า การตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบจะต้องทําความ เข้าใจกับระบบงานทั้งหมด (Total System Approaches) ในส่วนของงานที่ต้องการตรวจสอบในองค์กร กล่าวคือ ผู้ตรวจสอบต้องทําความเข้าใจ ทั้งในส่วนที่ใช้คอมพิวเตอร์และส่วนที่ไม่ใช้คอมพิวเตอร์ และทั้ง 2 อย่างรวมกัน เพื่อแยกแยะให้ได้ว่า จะเริ่มต้นตรวจอะไรที่จุดใด ใช้เทคนิคแบบไหน จะตรวจสอบเมื่อใด และต้องการรูปแบบ หลักฐานอย่างไร และควรจะจบลงอย่างไรในการตรวจสอบ ฯลฯ ในงานแต่ละเรื่องตามเป้าหมายที่กําหนดไว้ นอกจากนั้น ผู้ตรวจสอบจะต้องเข้าใจความสัมพันธ์ของข้อมูลที่เกี่ยวข้องของ “งาน” (Application) ในแต่ละประเภทภายในองค์กร เพื่อกําหนดจุดตรวจสอบด้วย
24. จากข้อ 23. หากจะกล่าวให้ถูกต้องยิ่งกว่านี้ ก็ควรกล่าวว่า ผู้ตรวจสอบทุกประเภทควรเข้าใจระบบงานที่ตรวจสอบ ทั้งในส่วนที่ใช้คอมพิวเตอร์และไม่ใช้คอมพิวเตอร์ให้ดี จึงจะสามารถวางแผน กําหนดขั้นตอนและเทคนิคการตรวจสอบที่เหมาะสม และติดตามการตรวจสอบของผู้ร่วมงานได้อย่างมีประสิทธิภาพ เพราะปัจจุบันทางการของไทยก็ได้ออกมาตรฐานการตรวจสอบบัญชีที่ใช้คอมพิวเตอร์ออกมา 3 ฉบับ ด้วยกัน คือ มาตรฐานการสอบบัญชีฉบับที่ 28, 29, 36 ให้ผู้สอบบัญชีโดยทั่วไปถือปฏิบัติอยู่แล้ว และกรมสรรพากรก็ได้ออก กฎเกณฑ์บางประการในการใช้คอมพิวเตอร์มาให้ถือปฏิบัติด้วยเช่นกัน ดังนั้น เมื่อกล่าวถึงการตรวจสอบโดยทั่วไป ผู้ตรวจสอบ จึงไม่อาจหลีกเลี่ยงจากการทําความเข้าใจในระบบงานทั้งหมด ก่อนการตรวจสอบเริ่มขึ้นได้ ยกเว้น การตรวจสอบที่มีเป้าหมายเฉพาะอย่างบางด้าน และผู้ตรวจสอบมีความเข้าใจระบบงานโดยรวมขององค์กรที่จะเข้าตรวจสอบมาก่อน หลังจากองค์กรนําคอมพิวเตอร์มาใช้ในกระบวนการ “process” งานครั้งล่าสุดแล้ว
25. แม้ว่า ในการนําคอมพิวเตอร์มาใช้จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบ แต่ลักษณะการประเมินการควบคุมภายใน ตลอดจนหลักฐานและวิธีการตรวจสอบ จะเปลี่ยนแปลงไปมาก ในระบบที่ทําด้วยมือนั้น มักเน้นการทํา substantive test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คน หรือระบบ Manual ในการประมวลผลข้อมูล ย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้น การใช้ substantive test จะช่วยลดความเสี่ยงได้มาก แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี โอกาสที่จะเกิดการผิดพลาดเพราะ Human error อันเกิดจากการประมวลข้อมูลนั้น จะมีน้อยหรือไม่มีโอกาสเกิดขึ้นได้ ถ้าระบบงานและขั้นตอนการควบคุมภายในต่าง ๆ ที่ใช้คอมพิวเตอร์ควบคุมนี้ ได้รับการทดสอบเป็นที่แน่ใจแล้วว่า มีประสิทธิภาพยอมรับได้ ดังนั้น การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ จึงควรเปลี่ยนจากการเน้นตรวจ substantive test ไปเป็นการประเมินการควบคุมภายในแทน ด้วยเหตุผล 3 ประการ คือ 25.1. ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ ช่วยให้มั่นใจได้ว่า การประมวลผลจะมีความสม่ำเสมอด้วย 25.2. การตรวจสอบผลที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ ในลักษณะของการทํา substantive test นั้น ทําได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน audit trail ได้เปลี่ยนแปลงไปมาก และหลาย ๆ กรณีก็ไม่อาจกระทําการตรวจสอบแบบ manual ได้ด้วยวิธีการปกติ 25.3 ผู้ตรวจสอบถูกกําหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน ดังนั้น จะเห็นว่าผู้ตรวจสอบจําเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์ เหตุผลข้อ 25. นี้ เป็นการย้ำว่า ในองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบภายในเป็นเรื่องสําคัญลําดับต้น ๆ และการตรวจสอบด้านคอมพิวเตอร์ (IS Audit) ไม่ว่าจะเป็นการตรวจสอบ “องค์กร” (Data Center) หรือตรวจสอบ “งาน” (Application) ก็เน้นการตรวจสอบการควบคุมภายใน คือ General Controls และ Application Controls ด้านคอมพิวเตอร์นั่นเอง เมื่อถึงประเด็นตามวรรคข้างต้น ผมคิดว่าเป็นจุดที่น่าสนใจ หากจะกล่าวต่อไปว่าการตรวจสอบเพื่อรับรองงบการเงินขององค์กร ซึ่งปกติเป็นหน้าที่ของผู้สอบบัญชีรับอนุญาต ซึ่งเป็นผู้สอบบัญชีภายนอกประเภทหนึ่งนั้น มีความสัมพันธ์กันอย่างใกล้ชิดกับการตรวจสอบงานด้านคอมพิวเตอร์ในองค์กรที่ใช้คอมพิวเตอร์ เพราะ IS Audit หรือการตรวจสอบด้านคอมพิวเตอร์ เน้นการตรวจสอบด้านการควบคุมภายในและการดําเนินงาน ซึ่งเป็นขั้นตอนต้น ๆ ที่จําเป็นของการตรวจสอบฐานะการเงิน ดังนั้น การตรวจสอบด้านคอมพิวเตอร์ (IS หรือ IT Audit) จึงมีความสัมพันธ์อย่างใกล้ชิดกับการตรวจสอบงบการเงินและการดําเนินงาน ซึ่งเรียกว่า Financial Audit อย่างสําคัญ และไม่อาจหลีกเลี่ยงได้ในปัจจุบัน อย่างไรก็ดี การตรวจสอบฐานะความมั่นคงของสถาบันการเงินในภาพรวม ก็เป็นหน้าที่ของผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งเรียกรวม ๆ กันว่า Financial examiner จากความสัมพันธ์ดังกล่าว หนังสือเล่มนี้ซึ่งเน้นด้านการตรวจสอบด้านคอมพิวเตอร์ จึงได้กล่าวถึงการ ตรวจสอบทั้งทางด้าน IS Audit และ Manual Audit ซึ่งเป็นการตรวจสอบแบบเดิมไว้ เพื่อการศึกษาเปรียบเทียบ และทําความเข้าใจในความแตกต่างของวิธีการตรวจสอบทั้ง 2 แบบไว้ด้วย
26. ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายในไม่ว่าจะเป็น Data Center หรือ Application Audit ผู้ตรวจสอบควรมีการกําหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทําการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ดีในการประเมินผลการตรวจสอบได้อีกด้วย
27. ผู้ตรวจสอบจําเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจ ที่มีการนําเอาคอมพิวเตอร์ เข้ามาใช้ได้อย่างมีประสิทธิภาพ ทักษะทางด้านคอมพิวเตอร์ของผู้ตรวจสอบแต่ละคน อาจแตกต่างกันออกไป แต่สําหรับทั้งทีมงานแล้ว ต้องมีทักษะทางคอมพิวเตอร์โดยรวมที่เหมาะสม และเพียงพอแก่การปฏิบัติหน้าที่ ตามมาตรฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ของทางการ และของสากล
28. ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบ ต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอระดับหนึ่งแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้ หากการตรวจสอบนั้นเป็นการตรวจสอบด้านคอมพิวเตอร์ หรือมีส่วนที่เกี่ยวข้องกับคอมพิวเตอร์ ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทํางานเหล่านี้ทั้งหมดได้ตามลําพังจากความก้าวหน้าอันรวดเร็วทางเทคโนโลยี จําเป็นต้องให้ผู้บริหาร และผู้ใช้ได้รับการฝึกอบรมทางด้านคอมพิวเตอร์ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย คอมพิวเตอร์เอง ก็ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมภายในด้วย
29. การทําแผนภูมิหลายแผนในหนังสือเล่มนี้ เป็นการจัดทําขึ้นเพื่อให้ผู้อ่านได้ติดตาม และทําความ เข้าใจเรื่องราวที่เกี่ยวข้องได้ง่ายและสะดวกขึ้น ทั้งนี้หลาย ๆ กรณี เป็นการประยุกต์มาจากความคิดและความเข้าใจของผมเอง เพื่อใช้ในการบรรยายเป็นสําคัญ อย่างไรก็ดี ผมใคร่ขอย้ำว่า ท่านผู้อ่านควรตอบตนเองก่อนว่าขณะนี้ กําลังทําความเข้าใจเรื่องอะไร ขณะนี้กําลังอยู่ในส่วนใดของกระบวนการตรวจสอบ และกําลังมองมุมผู้ตรวจสอบว่า เป็นประการใดจาก 3 ประเภทดังได้กล่าวข้างต้นแล้ว ทั้งนี้ ต้องมีเป้าหมายและขอบเขตที่แน่นอนของตนเองด้วยว่า กําลังตรวจสอบประเภท และเรื่องอะไรอยู่เป็นต้น
30. เนื่องจากการรวบรวมเอกสารประกอบการบรรยายเรื่อง “การดําเนินงานและการตรวจสอบสถาบัน การเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ ก็เช่นเดียวกับเล่ม 1 และเล่มที่จะพิมพ์ต่อไป ซึ่งเล่ม 3 จะเน้นเรื่อง คอมพิวเตอร์กับการทุจริต และแนวการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือ รวมทั้งการจัดทําแผนฉุกเฉิน หนังสือทั้ง 3 หรือ 4 เล่ม เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไป ในช่วงเวลาตั้งแต่ปี 2524-2536 แก่สถาบันหลายแห่ง และผมมีโอกาสแก้ไขเพิ่มเติมได้ไม่มากนัก เนื่องจากเวลาจํากัดมาก เพราะต้องการพิมพ์ให้เสร็จภายในเดือนกันยายน 2539 ทั้ง 3 เล่ม จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อหารวมทั้งแผนภูมิต่าง ๆ มากกว่าร้อยละ 95 ยังคงใช้ได้ดีจนถึงปัจจุบัน เพราะถึงแม้เทคนิคด้านรายละเอียดทางคอมพิวเตอร์จะพัฒนาไปอีกมาก แต่หลักการส่วนใหญ่ของการประมวลงานและการตรวจสอบก็ยังคงใช้หลักการเดิม ทั้งนี้ สังเกตได้จากการแต่งหนังสือที่มีการพิมพ์ครั้งหลังๆ ของตําราด้านตรวจสอบคอมพิวเตอร์ก็มีการแก้ไขใหม่ไม่มากนัก
31. สิ่งที่ผมใคร่จะเน้นก็คือ การใช้เทคนิคการตรวจสอบว่าสมควรที่ผู้ตรวจสอบใช้เทคนิคใด
    ซึ่งขึ้นกับความรู้และประสบการณ์ของผู้ตรวจสอบเป็นหลัก และขึ้นกับความจําเป็นตลอดจนสิ่งแวดล้อมและหลักฐานที่ต้องการ ด้วย เช่น จะใช้การตรวจสอบในแบบ Around the Computer หรือที่นิยมเรียกกันใหม่ เพื่อป้องกันความเข้าใจผิดว่า Audit without using the computer เพื่อเน้นว่าไม่ว่าจะเป็นการตรวจสอบแบบใด ผู้ตรวจสอบก็ไม่อาจหลีกเลี่ยงการประเมินประสิทธิภาพการควบคุมภายในได้ หรือใช้วิธีตรวจสอบลึกเข้าไปถึงการทํางานของโปรแกรมคอมพิวเตอร์ (Audit Through The Computer) พอสมควร ส่วนการใช้ Computer เป็นเครื่องมือช่วยในการวางแผนและการตรวจสอบนั้น ปัจจุบันนี้ผู้ตรวจสอบมีโอกาสเลือกน้อยแล้ว กล่าวคือ ผู้ตรวจสอบจําเป็นต้องใช้ Computer ให้มีส่วนช่วยในการตรวจสอบไม่มากก็น้อย ในอดีตผมและคณะผู้ตรวจสอบมักใช้วิธี Test Data ในการทดสอบความน่าเชื่อถือได้ของโปรแกรม ซึ่งเป็นการทดสอบในแบบ Through the Computer แบบหนึ่ง แต่ผมยังมีประสบการณ์น้อยในการใช้โปรแกรมสําเร็จรูปในการตรวจสอบ หนังสือชุดนี้จึงไม่ได้กล่าวถึงเรื่องนี้มากนัก
32. หนังสือทั้ง 3 เล่มหรืออาจมีถึง 4 เล่ม จากเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการ เงินด้านคอมพิวเตอร์” เป็นการรวบรวมเอกสารประกอบการบรรยายต่าง ๆ ของผมในช่วงระหว่างปี 2524 ถึง 2536 ดังกล่าวแล้ว ในคํานําเล่ม 1 โดยได้เขียนคําอธิบายเพิ่มเติมประกอบเรื่อง และแผนภาพในบางเรื่อง เพื่อความเข้าใจที่กระจ่างขึ้น การเขียนเรื่องเพิ่มเติมและการตรวจทานความถูกต้องจากการพิมพ์ใช้เวลามากพอสมควร เนื้อหาสาระในหนังสือทุกเล่ม ถึงแม้จะพยายามลําดับเรื่องให้ได้ตามความเหมาะสมแล้วก็ตาม แต่ก็ยังมีเรื่องที่เป็นสิ่งละอันพันละน้อยต่าง ๆ ที่ผมได้สรุปไว้ใช้ในการบรรยายในโอกาสต่าง ๆ กันได้ปรากฏอยู่ในเรื่องหรือหัวข้ออื่นอยู่ด้วย เช่น ข้อสรุปที่ผู้ตรวจสอบและผู้บริหารควรทราบในรูปแบบแผนภูมิบ้าง แผนภาพบ้าง และคําบรรยายสรุปผัง เป็นต้น สิ่งเหล่านี้จะเป็นประโยชน์และทําความเข้าใจให้กับผู้ฟังและผู้อ่านมากขึ้น ถ้าผู้อ่านหรือผู้ใช้หนังสือชุดนี้จะหยิบยกเรื่องที่เกี่ยวข้องมาประกอบในเรื่องที่ศึกษาด้วย โดยเฉพาะอย่างยิ่ง การศึกษาเรื่องคอมพิวเตอร์กับการทุจริตและการตรวจสอบ ซึ่งปรากฏในเล่ม 3 โดยสรุปเรื่องตรวจสอบเป็นบทสั้น ๆ เป็นการทบทวนในอีกแนวทางหนึ่งด้วย
33. การพัฒนางานตรวจสอบทั้งด้าน Computer Audit และ Financial Audit โดยจําลองระบบงานที่สําคัญขององค์กรนั้น ๆ เช่น สถาบันการเงิน โดยเน้นด้านการควบคุมและการตรวจสอบที่เป็นจริงให้ผู้ตรวจสอบติดตามได้ในภาคสนาม (Field work) จริง ๆ ที่เรียกกันว่า Simulation Audit นั้น เป็นเรื่องที่น่าสนใจมาก เพราะจะทําให้ผู้ตรวจสอบได้ฝึกหัดการตรวจสอบ ณ ที่ทําการได้คล้าย ๆ กับการปฏิบัติงานจริงในภาคสนามเลยทีเดียว
34. หนังสือเล่มแรกของชุดนี้ได้เร่งรีบจัดทํามาก เพื่อให้ทันแจกจ่ายในงานวันธนาคารภาคตะวันออก เฉียงเหนือประจําปี 2539 ที่จังหวัดร้อยเอ็ด จึงได้มีการตรวจทานงานพิมพ์เพียงครั้งเดียว ประกอบกับมีความสับสนในการจัด file ที่แก้ไขแล้วและก่อนแก้ไขในการจัดพิมพ์จริง จึงปรากฏข้อผิดพลาดที่ตรวจพบภายหลังการเย็บเล่มแล้วหลายแห่ง จึงขออภัยท่านผู้อ่านมา ณ ที่นี้ด้วย อย่างไรก็ดี ผมได้แทรกแก้ไขคําผิดไว้ในหน้าหลังของเล่มแรกแล้ว
35. หนังสือชุดนี้เป็นการให้คําแนะนําล่วงหน้าแก่สถาบันการเงินในด้านการบริหาร การดําเนินงาน
    และการตรวจสอบ รวมทั้งประเด็นปัญหาที่น่าสนใจ เพื่อหาทางป้องกันและ/หรือแก้ไขการทุจริต และการจัดทําแผนฉุกเฉินทางด้านคอมพิวเตอร์ ซึ่งจะปรากฏในเล่มต่อไป ทั้งนี้เป็นการดําเนินงานตาม Action plan ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ เพื่อให้บรรลุผลตามโครงการนี้ ก็น่าจะช่วยลดภาระของธนาคารได้ทั้งในปัจจุบันและอนาคต อย่างไรก็ดี การทําความเข้าใจในหนังสือชุดนี้นั้น ผมได้ตั้งแนวทางว่า ท่านผู้อ่านได้ทราบพื้นฐานทางด้านการประมวลงานด้วยคอมพิวเตอร์พอสมควรแล้ว
36. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้าน คอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมา ในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้
    

เมธา สุวรรณสาร ผู้อํานวยการ
ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงหนือ
7 กันยายน 2539

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 2” ภาคการตรวจสอบ สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3” และเล่มถัดไป ผมจะเผยแพร่ในโพสต์ต่อ ๆ ไปนะครับ