สภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ

มีนาคม 25, 2009

…Environmental Control & it Impacts to Audit…
ผมได้เล่าสู่กันฟังเกี่ยวกับการตรวจสอบและผลกระทบของคอมพิวเตอร์ต่อกระบวนการตรวจสอบโดยรวม ไม่ว่าจะเป็นการตรวจสอบในรูปแบบใด ผลกระทบของเทคโนโลยีสารสนเทศจะมีผลสำคัญอย่างยิ่งต่อการวางแผนการตรวจสอบทุกประเภท ไม่ว่าจะเป็นการตรวจสอบด้าน IT Audit หรือเป็นการตรวจสอบโดยทั่ว ๆ ไป

ดังนั้น ในช่วงแรก ๆ นี้ IT Audit และการตรวจสอบด้านทั่วไปยังเป็นอยู่บนพื้นฐานที่ให้แง่คิดและแนวปฏิบัติที่เป็นแบบเดียวกันอยู่ แต่ในระยะต่อ ๆ ไป ผมจะแยกการตรวจสอบทั้ง 2 ประเภทนี้ และความสัมพันธ์ของการตรวจสอบดังกล่าวให้ท่านผู้ที่สนใจได้ทราบมุมมองและผลกระทบที่ไม่อาจหลีกเลี่ยงได้จากความรู้ความเข้าใจในเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องกับกระบวนการบริหารและกระบวนการตรวจสอบโดยรวม

วันนี้ ผมจึงจะพูดถึงสภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ โดยจะอธิบายด้วยแผนภาพและคำอธิบายสั้น ๆ ที่เกี่ยวข้อง เพื่อสะท้อนถึงแง่คิดก่อนที่จะก้าวไปสู่กระบวนการตรวจสอบ ซึ่งต้องเริ่มจากการวางแผนการตรวจสอบเป็นเบื้องต้นต่อไป

ก่อนอื่น ผู้ตรวจสอบควรเข้าใจในเบื้องต้นว่า งานหลัก ๆ ขององค์กรที่มีระดับความเสี่ยงสูง ๆ และมีผลกระทบต่อเป้าประสงค์ และโครงการต่าง ๆ ระดับองค์กรคืองานอะไร? ทั้งนี้ ควรจะพิจารณาในมุมมองของการบริหารความเสี่ยงตามหลักการ COSO-ERM

แผนภาพต่อไปนี้จะแสดงให้เห็นได้ง่าย ๆ ว่า เราจะระบุว่างานใดมีความสำคัญต่อการตรวจสอบนั้น ควรจะได้เห็นภาพโดยรวมและความสัมพันธ์ของงานที่เกี่ยวข้องเป็นพื้นฐานเบื้องต้น ซึ่งผมขอนำแผนภาพขององค์กรที่เกี่ยวข้องกับการประกันมาเพื่อพิจารณา

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

หลังจากที่ท่านได้ดูภาพหน่วยงานหลัก ๆ ภายในองค์กรไปแล้ว กระบวนการตรวจสอบต่อไปในภาพรวม ๆ ที่คุยกันเบื้องต้นในวันนี้ก็คือ IT Risk มีผลกระทบต่อกระบวนการบริหารและกระบวนการตรวจสอบอย่างไร? และจะเกี่ยวข้องกับการวางแผนการตรวจสอบ IT Audit และ General Audit หรือการตรวจสอบโดยทั่ว ๆ ไปอย่างไร? นั้น

ขอให้ท่านดูแผนภาพต่อไปและท่านจะได้เข้าใจว่า การประสานงานระหว่างการตรวจสอบด้าน IT กับการตรวจสอบด้านทั่วไปและการวางแผนการตรวจสอบ ซึ่งรวมถึงการประเมินการควบคุมภายในของกิจกรรมหลัก ๆ ตาม Business Process ต่าง ๆ นั้น ควรจะพิจารณาหรือคำนึงถึงอะไรบ้าง

IT Risk & it impacts to Audit assurance for Mgmt.

IT Risk & it impacts to Audit assurance for Mgmt.

ผมยังไม่อธิบายผลกระทบในรายละเอียดในช่วงเวลานี้ แต่จะนำมาเล่าสู่กันฟังในโอกาสต่อไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

มุมมองของการวางแผนการตรวจสอบ

มีนาคม 17, 2009

การตรวจสอบองค์กรยุคใหม่ ไม่ว่าเป็นการตรวจสอบประเภทใด ทางด้าน IT และ Non-IT โดยเฉพาะอย่างยิ่งทางด้าน IT ก็อาจจะแบ่งประเภทตรวจสอบได้อีกหลายลักษณะตามความต้องการของผู้บริหารนั้น ผู้ตรวจสอบควรจะได้เข้าใจภาพโดยรวมของการวางแผนการตรวจสอบ ซึ่งในเบื้องต้นจะมีกรอบหลัก ๆ ที่ไม่แตกต่างกันมากนัก แต่เมื่อลงในรายละเอียด โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบทางด้าน IT Audit และการปฏิบัติการตรวจสอบ โดยเฉพาะการรวบรวมหลักฐานการตรวจสอบ (Audit Evidence) จะแตกต่างกันอย่างมาก

ผู้บริหารและผู้ตรวจสอบ ควรติดตามแนวคิดและกระบวนการตรวจสอบให้ทันและเข้ากับกระบวนการบริหารความเสี่ยงที่หลอมรวมความเสี่ยงต่าง ๆ ทั้งทางด้าน IT และ Non-IT อย่างแยกกันไม่ได้นั้น ผู้ตรวจสอบจำเป็นต้องเข้าใจในองค์รวมขององค์กร โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กร และเรื่องอื่น ๆ ที่เกี่ยวข้องกับสภาพแวดล้อมขององค์กร ตามที่กล่าวในปัจจัยแรกขององค์ประกอบของ COSO v.2

นโยบายของคณะกรรมการ หรือถ้าหากเป็นสถาบันการศึกษา ก็ได้แก่ นโยบายของสภามหาวิทยาลัย วิสัยทัศน์ พันธกิจ กลยุทธ์ แผนงาน/โครงการต่าง ๆ ของมหาวิทยาลัยที่ต้องสัมพันธ์กันกับหน่วยงานกำกับที่เกี่ยวข้องหลายแห่ง ซึ่งแต่ละหน่วยงานกำกับก็มีความต้องการที่แตกต่างกัน ทั้ง ๆ ที่ในเนื้อหาหลัก ๆ ของกรอบการกำกับไม่แตกต่างกันมากนัก

ดังนั้น ผมจึงขึ้นรูปแผนการตรวจสอบโดยทั่วไป ซึ่งในที่นี้จะเน้นการตรวจสอบตามฐานความเสี่ยงเป็นหลัก โดยแสดงเป็นแผนภาพได้ดังนี้

Internal Auditing Standards & Practices

Internal Auditing Standards & Practices

วันนี้ ผมจะเริ่มต้นเพียงเท่านี้ก่อนนะครับ แล้วในโอกาสต่อไปผมจะค่อยมาขยายความ โดยเฉพาะอย่างยิ่งจะมากล่าวในมุมมองของการเล่าสู่กันฟังในเรื่องการตรวจสอบที่คิดว่าน่าสนใจและเข้าใจได้ง่าย ๆ กว่าการอ่านตำรา และต่อไปจะได้แยกแยะความแตกต่างของการตรวจสอบด้าน IT Audit กับการตรวจสอบทางด้านทั่วไปในองค์กรที่ใช้คอมพิวเตอร์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

มุมมองของการวางแผนการตรวจสอบ

มีนาคม 17, 2009

การตรวจสอบองค์กรยุคใหม่ ไม่ว่าเป็นการตรวจสอบประเภทใด ทางด้าน IT และ Non-IT โดยเฉพาะอย่างยิ่งทางด้าน IT ก็อาจจะแบ่งประเภทตรวจสอบได้อีกหลายลักษณะตามความต้องการของผู้บริหารนั้น ผู้ตรวจสอบควรจะได้เข้าใจภาพโดยรวมของการวางแผนการตรวจสอบ ซึ่งในเบื้องต้นจะมีกรอบหลัก ๆ ที่ไม่แตกต่างกันมากนัก แต่เมื่อลงในรายละเอียด โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบทางด้าน IT Audit และการปฏิบัติการตรวจสอบ โดยเฉพาะการรวบรวมหลักฐานการตรวจสอบ (Audit Evidence) จะแตกต่างกันอย่างมาก

ผู้บริหารและผู้ตรวจสอบ ควรติดตามแนวคิดและกระบวนการตรวจสอบให้ทันและเข้ากับกระบวนการบริหารความเสี่ยงที่หลอมรวมความเสี่ยงต่าง ๆ ทั้งทางด้าน IT และ Non-IT อย่างแยกกันไม่ได้นั้น ผู้ตรวจสอบจำเป็นต้องเข้าใจในองค์รวมขององค์กร โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กร และเรื่องอื่น ๆ ที่เกี่ยวข้องกับสภาพแวดล้อมขององค์กร ตามที่กล่าวในปัจจัยแรกขององค์ประกอบของ COSO v.2

นโยบายของคณะกรรมการ หรือถ้าหากเป็นสถาบันการศึกษา ก็ได้แก่ นโยบายของสภามหาวิทยาลัย วิสัยทัศน์ พันธกิจ กลยุทธ์ แผนงาน/โครงการต่าง ๆ ของมหาวิทยาลัยที่ต้องสัมพันธ์กันกับหน่วยงานกำกับที่เกี่ยวข้องหลายแห่ง ซึ่งแต่ละหน่วยงานกำกับก็มีความต้องการที่แตกต่างกัน ทั้ง ๆ ที่ในเนื้อหาหลัก ๆ ของกรอบการกำกับไม่แตกต่างกันมากนัก

ดังนั้น ผมจึงขึ้นรูปแผนการตรวจสอบโดยทั่วไป ซึ่งในที่นี้จะเน้นการตรวจสอบตามฐานความเสี่ยงเป็นหลัก โดยแสดงเป็นแผนภาพได้ดังนี้

Internal Auditing Standards & Practices

Internal Auditing Standards & Practices

วันนี้ ผมจะเริ่มต้นเพียงเท่านี้ก่อนนะครับ แล้วในโอกาสต่อไปผมจะค่อยมาขยายความ โดยเฉพาะอย่างยิ่งจะมากล่าวในมุมมองของการเล่าสู่กันฟังในเรื่องการตรวจสอบที่คิดว่าน่าสนใจและเข้าใจได้ง่าย ๆ กว่าการอ่านตำรา และต่อไปจะได้แยกแยะความแตกต่างของการตรวจสอบด้าน IT Audit กับการตรวจสอบทางด้านทั่วไปในองค์กรที่ใช้คอมพิวเตอร์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

มีนาคม 12, 2009

ทุกองค์กรในปัจจุบันอาจกล่าวได้ว่า ไม่มีองค์กรใดเลยจะไม่มีคอมพิวเตอร์ใช้ในการบริหารงาน และการปฏิบัติงาน ดังนั้น การวางแผนการตรวจสอบและการปฏิบัติงานตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ จะต้องคำนึงถึงความเสี่ยงและผลกระทบจากระบบสารสนเทศที่มีต่อความน่าเชื่อถือได้ของข้อมูลทางการเงิน ที่มีความสำคัญอย่างยิ่งยวดของการบริหาร การปฏิบัติงาน การควบคุมภายในและการตรวจสอบในทุกประเภทที่เกี่ยวข้อง

ทั้งนี้เพราะ หากการประมวลผลข้อมูลทางด้านสารสนเทศไม่ถูกต้อง ไม่น่าเชื่อได้ ในแง่มุมต่าง ๆ โดยเฉพาะอย่างยิ่ง มีผลกระทบต่อความน่าเชื่อถือได้ของข้อมูลทางการเงิน (Financial Statement) ก็จะมีผลกระทบต่อกระบวนการบริหารและการจัดการในทุกมุมมอง การวางแผนการตรวจสอบต้องมีการเปลี่ยนแปลงอย่างสิ้นเชิง

ผมคงไม่ลำดับกระบวนการตรวจสอบอย่างเป็นขั้นตอนตามเอกสารและตามตำราต่าง ๆ ที่มีอยู่อย่างมากมาย แต่ผมใคร่ขอนำเสนอและทำความเข้าใจกับท่านที่สนใจในเรื่องการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ โดยนำเสนอแผนภาพเพื่อให้ท่านผู้อ่านได้ใคร่ครวญ และใช้ดุลยพินิจก่อนที่ผมจะเขียนในรายละเอียดต่อไป

โปรดดูแผนภาพที่จะช่วยให้เกิดความเข้าใจในกระบวนการตรวจสอบต่อไปนี้

GRC การหลอมรวมความเข้าใจในการบริหารมิติต่าง ๆ เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders

GRC การหลอมรวมความเข้าใจในการบริหารมิติต่าง ๆ เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders

ลองพิจารณาแผนภาพต่อไปซิครับ จะพบว่าการประมวลผลข้อมูลจากระบบคอมพิวเตอร์นั้น จะประกอบไปด้วย 3 ส่วนหลัก ๆ ก็คือ
1.ส่วนที่ประมวลผลด้วยมือ (Manual) ล้วน ๆ (ขั้นตอน Input และ Output)
2.ส่วนที่ประมวลผลด้วยคอมพิวเตอร์ล้วน ๆ (ขั้นตอน Process)
3.ส่วนที่ประมวลผลตามข้อ 1. และ ข้อ 2. รวมกัน (ขั้นตอนระหว่าง Input ไปสู่ Process และขั้นตอนระหว่าง Process ไปสู่ Output)

รายละเอียดที่เกี่ยวข้องจะได้กล่าวในตอนต่อไปครับ

ส่วนของคอมพิวเตอร์ในระบบงานต่าง ๆ ของทุกองค์กรกับความเสี่ยง

ส่วนของคอมพิวเตอร์ในระบบงานต่าง ๆ ของทุกองค์กรกับความเสี่ยง

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบด้าน IT

กุมภาพันธ์ 28, 2009

เนื้อหาในส่วนนี้ ผู้เขียนจะได้นำเสนอในโอกาสต่อไป

โปรดติดตาม…

Leave a Comment » | IT Audit | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบด้าน IT

กุมภาพันธ์ 28, 2009

เนื้อหาในส่วนนี้ ผู้เขียนจะได้นำเสนอในโอกาสต่อไป

โปรดติดตาม…

Leave a Comment » | IT Audit | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

สภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ

กุมภาพันธ์ 25, 2009

…Environmental Control & it Impacts to Audit…
ผมได้เล่าสู่กันฟังเกี่ยวกับการตรวจสอบและผลกระทบของคอมพิวเตอร์ต่อกระบวนการตรวจสอบโดยรวม ไม่ว่าจะเป็นการตรวจสอบในรูปแบบใด ผลกระทบของเทคโนโลยีสารสนเทศจะมีผลสำคัญอย่างยิ่งต่อการวางแผนการตรวจสอบทุกประเภท ไม่ว่าจะเป็นการตรวจสอบด้าน IT Audit หรือเป็นการตรวจสอบโดยทั่ว ๆ ไป

ดังนั้น ในช่วงแรก ๆ นี้ IT Audit และการตรวจสอบด้านทั่วไปยังเป็นอยู่บนพื้นฐานที่ให้แง่คิดและแนวปฏิบัติที่เป็นแบบเดียวกันอยู่ แต่ในระยะต่อ ๆ ไป ผมจะแยกการตรวจสอบทั้ง 2 ประเภทนี้ และความสัมพันธ์ของการตรวจสอบดังกล่าวให้ท่านผู้ที่สนใจได้ทราบมุมมองและผลกระทบที่ไม่อาจหลีกเลี่ยงได้จากความรู้ความเข้าใจในเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องกับกระบวนการบริหารและกระบวนการตรวจสอบโดยรวม

วันนี้ ผมจึงจะพูดถึงสภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ โดยจะอธิบายด้วยแผนภาพและคำอธิบายสั้น ๆ ที่เกี่ยวข้อง เพื่อสะท้อนถึงแง่คิดก่อนที่จะก้าวไปสู่กระบวนการตรวจสอบ ซึ่งต้องเริ่มจากการวางแผนการตรวจสอบเป็นเบื้องต้นต่อไป

ก่อนอื่น ผู้ตรวจสอบควรเข้าใจในเบื้องต้นว่า งานหลัก ๆ ขององค์กรที่มีระดับความเสี่ยงสูง ๆ และมีผลกระทบต่อเป้าประสงค์ และโครงการต่าง ๆ ระดับองค์กรคืองานอะไร? ทั้งนี้ ควรจะพิจารณาในมุมมองของการบริหารความเสี่ยงตามหลักการ COSO-ERM

แผนภาพต่อไปนี้จะแสดงให้เห็นได้ง่าย ๆ ว่า เราจะระบุว่างานใดมีความสำคัญต่อการตรวจสอบนั้น ควรจะได้เห็นภาพโดยรวมและความสัมพันธ์ของงานที่เกี่ยวข้องเป็นพื้นฐานเบื้องต้น ซึ่งผมขอนำแผนภาพขององค์กรที่เกี่ยวข้องกับการประกันมาเพื่อพิจารณา

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

หลังจากที่ท่านได้ดูภาพหน่วยงานหลัก ๆ ภายในองค์กรไปแล้ว กระบวนการตรวจสอบต่อไปในภาพรวม ๆ ที่คุยกันเบื้องต้นในวันนี้ก็คือ IT Risk มีผลกระทบต่อกระบวนการบริหารและกระบวนการตรวจสอบอย่างไร? และจะเกี่ยวข้องกับการวางแผนการตรวจสอบ IT Audit และ General Audit หรือการตรวจสอบโดยทั่ว ๆ ไปอย่างไร? นั้น

ขอให้ท่านดูแผนภาพต่อไปและท่านจะได้เข้าใจว่า การประสานงานระหว่างการตรวจสอบด้าน IT กับการตรวจสอบด้านทั่วไปและการวางแผนการตรวจสอบ ซึ่งรวมถึงการประเมินการควบคุมภายในของกิจกรรมหลัก ๆ ตาม Business Process ต่าง ๆ นั้น ควรจะพิจารณาหรือคำนึงถึงอะไรบ้าง

IT Risk & it impacts to Audit assurance for Mgmt.

IT Risk & it impacts to Audit assurance for Mgmt.

ผมยังไม่อธิบายผลกระทบในรายละเอียดในช่วงเวลานี้ แต่จะนำมาเล่าสู่กันฟังในโอกาสต่อไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

รายการถัดไป »