แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

กุมภาพันธ์ 11, 2010

สวัสดีครับ วันนี้เรามาต่อกันเรื่องแนวทางการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กันครับ ซึ่งผมจะพูดถึงแนวโน้มการเปลี่ยนแปลงของการตรวจสอบในอนาคต ติดตามต่อกันเลยครับ

วิธีการตรวจสอบเท่าที่เคยทำกันมาพอจะสรุปได้เป็น 2 ลักษณะ คือ รวบรวมเอกสารต่าง ๆ และสอบถามเกี่ยวกับการดำเนินการของหน่วยงาน และระบบงานที่ใช้คอมพิวเตอร์ แล้วประเมินความเพียงพอของการควบคุมความเสี่ยงที่มีอยู่ ซึ่งเป็นวิธีการที่ใช้เวลามากและไม่ใคร่ได้ผล หลังจากนั้น จึงทำการทดสอบความถูกต้องของการทำงานในระบบคอมพิวเตอร์ ซึ่งทำได้ทั้งวิธีไม่ใช้เครื่องคอมพิวเตอร์และใช้คอมพิวเตอร์

อย่างไรก็ตามในขณะที่เทคโนโลยีด้านนี้ ได้เปลี่ยนแปลงไปอย่างรวดเร็ว แต่งานด้านการตรวจสอบทางด้านคอมพิวเตอร์ ก็ยังขาดทั้งบุคลากรที่มีประสบการณ์ และวิธีการตรวจสอบที่ทันกับการเปลี่ยนแปลงที่เกิดขึ้น เป็นผลให้การทำงานของผู้ตรวจสอบเท่าที่ผ่านมา อยู่ในลักษณะที่ทำงานให้ลุ่ล่วงไปเป็นเรื่อง ๆ เท่านั้น ขาดการวางแผนและควบคุมที่เหมาะสมในลักษณะการตรวจสอบแบบบูรณาการ ที่ควรคำนึงถึง Risk IT และ IT Risk ที่มีผลกระทบต่อกลยุทธ์ และการบรรลุเป้าประสงค์ขององค์กรโดยรวม สภาพการณ์ดังกล่าวย่อมผลักดันให้แนวโน้มการตรวจสอบในอนาคตต้องเปลี่ยนแปลงไปจากเดิมใน 4 ลักษณะ เป็นเบื้องต้นดังนี้

1. การเปลี่ยนแปลงในตัวผู้ตรวจสอบ
ในระยะต่อไปนี้ ผู้ตรวจสอบทั่วไปที่ตรวจงานเฉพาะด้าน Manual อย่างเดียวจะค่อย ๆ หมดไป ผู้ตรวจสอบทั่วไป จะต้องเข้ามาตรวจสอบงานที่ประมวลด้วยระบบคอมพิวเตอร์มากขึ้น และในกรณีที่ผู้ตรวจสอบทางด้าน Manual มีความเข้าใจในผลกระทบทางด้าน IT Risk และ Risk IT ที่มีผลต่อ Business และการควบคุมความเสี่ยงโดยรวมอย่างจำกัด คุณภาพของงานตรวจสอบก็จะถูกจำกัดเป็นอย่างมาก และเป็นอย่างยิ่ง จนถึงระดับที่ไม่น่าจะยอมรับได้

ส่วนผู้ตรวจสอบด้าน IT จะเปลี่ยนสภาพไปในลักษณะผู้ตรวจสอบด้าน Information System และระบบงาน ซึ่งเน้นการตรวจสอบระบบงานที่ยุ่งยากซับซ้อน ผู้ตรวจสอบด้าน Information System จะต้องรู้ระบบงานที่ใช้เทคโนโลยีสูง ๆ การใช้คอมพิวเตอร์ และโปรแกรมขั้นสูง วิธีการทางสถิติ การใช้โปรแกรมการตรวจสอบ การบริหารความเสี่ยง และการควบคุมทางด้าน Risk IT และ IT Risk ด้วยวิธีการต่าง ๆ ที่จะนำมาใช้ทดสอบข้อมูลและระบบงานอย่างบูรณาการ

2. การเปลี่ยนแปลงกระบวนการตัดสินใจเกี่ยวกับเรื่องที่จะตรวจ
ในการเลือกเรื่องตรวจ ผู้ตรวจสอบจะต้องมีความรู้ความเข้าใจเกี่ยวกับเป้าหมาย และนโยบายของกิจการทั้งในปัจจุบันและอนาคต เข้าใจหน้าที่เกี่ยวกับการประมวลผล มีการติดต่อที่ดีระหว่างส่วนงานต่าง ๆ ที่เกี่ยวข้อง ควรจะมีการสะสมระบบงานต่าง ๆ และจัดลำดับตามชนิดและความสำคัญไว้ และเมื่อมีการเปลี่ยนแปลงเกิดขึ้น ควรทบทวนใหม่ ระมัดระวังการตรวจสอบเรื่องที่เกินขอบเขต ไม่ควรเสียเวลาประเมินผลการควบคุมภายในของระบบงานเก่า ที่กำลังจะมีการยกเลิกเปลี่ยนแปลงแก้ไข แต่ควรจะให้ความสนใจ วิธีการที่จะสร้างการควบคุมที่ดีที่จะนำมาใช้กับระบบงานใหม่

3. การเปลี่ยนแปลงความคิดเห็นเกี่ยวกับการควบคุมภายใน
การสร้างระบบการควบคุมภายใน ควรจะเริ่มจากระดับสูงของกิจการ แต่ผู้ตรวจสอบจะต้องเข้าใจด้วยว่า รายการต่าง ๆ เกิดขึ้นอย่างไร และผ่านขบวนการปฏิบัติอย่างไร จึงจะบรรลุผลและจุดประสงค์ตามที่คาดไว้ การดูเฉพาะจุดที่เตรียมไว้ อาจเป็นผลให้ไม่พบสิ่งที่ผิดปกติตามมาตรฐานการตรวจสอบของ AICPA ไม่ได้บังคับ ผู้ตรวจสอบจะต้องใช้ Audit Through The Computer แต่บังคับว่าผู้ตรวจสอบต้องเข้าใจระบบเพียงพอ ที่จะทำการตัดสินใจกำหนดขอบเขตการตรวจสอบที่ถูกต้องตามเหตุผลได้ นอกจากนี้การสำรวจระบบการควบคุมภายในของระบบ IT จะทำให้มั่นใจในขอบเขตการตรวจสอบที่สมบูรณ์และเข้าใจง่าย

4. การเปลี่ยนแปลงวิธีการประเมินผลการควบคุมของผู้ตรวจสอบ
เนื่องจากการพัฒนาระบบงานใหม่ ๆ ที่จะเพิ่มขึ้นอย่างรวดเร็ว และปัญหาเรื่องการขาดแคลนบุคลากรด้านนี้ จะเป็นแรงผลักดันให้จำเป็นต้องมีการคิดค้นวิธีการวิเคราะห์ และประเมินผลการควบคุม ของกิจการที่ใช้คอมพิวเตอร์ให้เป็นไปตามหลักเหตุผล และมีประสิทธิภาพมากขึ้น สามารถตอบสนองวัตถุประสงค์ในหลาย ๆ ด้าน โดยมีหลักการเป็นขั้น ๆ ดังนี้

4.1. ทำความเข้าใจกับผลกระทบของระบบคอมพิวเตอร์ในด้านต่าง ๆ
4.2. พิจารณาว่าจะทำอะไรกับระบบงานใด ต้องใช้ความพยายามในระดับไหน
4.3. ดูว่าในระบบงานนั้น ๆ มีผลเสียหายที่อาจเกิดขึ้นหรือไม่ มีระบบการควบคุมหรือไม่ และทำการประเมินการควบคุมต่าง ๆ
4.4. หยิบยกการควบคุมสำคัญ ๆ มาทำการทดสอบ
4.5. ให้มีการรวบรวม และจัดทำเอกสารประกอบการตรวจสอบอย่างมีประสิทธิภาพ และสามารถสอบทานได้
4.6. รายงานผลการตรวจสอบ ในลักษณะที่จะช่วยให้การทำงานดีขึ้นและให้ข้อแนะนำในทางสร้างสรรค์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น

กุมภาพันธ์ 4, 2010

วันนี้ ผมจะได้กล่าวถึง แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น ทั้งนี้เพราะ มีท่านผู้อ่านที่ติดตามเรื่อง IT Audit และ Non – IT Audit บางท่านได้โทรศัพท์ หรือ e-mail มาคุยกับผมว่า เรื่องราวกำลังน่าสนใจมาก แต่ก็เริ่มสับสนที่จะทำความเข้าใจในภาพโดยรวม ที่เกี่ยวข้องกับ IT Audit และการนำไปอธิบายต่อให้กับเพื่อนร่วมงาน เนื่องจากผมได้เริ่มอธิบายแบบผสมผสานในมุมมองต่าง ๆ ของการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ในลักษณะของ Top Down บ้าง ในลักษณะของ Bottom Up บ้าง

โดยเฉพาะอย่างยิ่ง ผมได้นำหลักการบริหารยุคใหม่ที่เกี่ยวข้องกับ GRC – Governance Risk Management ที่สร้าง Integrated – Driven Performance และนำภาพของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการ COSO – ERM มาผสมผสานกับ CobiT โดยเชื่อมโยงกับกระบวนการบริหารการจัดการที่ดี ในมุมมองต่าง ๆ รวมทั้ง วิธีการนำเสนอในการจัดทำแผนการตรวจสอบในหลายลักษณะ ซึ่งขึ้นกับเป้าประสงค์ของการตรวจสอบ และขอบเขตการตรวจสอบ รวมทั้งศักยภาพของทรัพยากรขององค์กรที่มีความแตกต่างกัน

ถึงแม้จะมีการยกตัวอย่าง การตรวจสอบในบางลักษณะที่ใช้คอมพิวเตอร์ด้วยกัน แต่กระบวนการทำงานในการประมวลผลข้อมูลแตกต่างกัน รูปแบบหลักฐานการตรวจสอบที่ไม่เหมือนกัน วิธีการตรวจสอบยังแตกต่างกันมาก เป็นต้นนั้น ทำให้ท่านผู้อ่านที่ถูกดึงเข้ามาให้เข้าใจในภาพการบริหารองค์กรยุคใหม่โดยรวมที่แยกกันได้ยาก ระหว่างการตรวจสอบทางด้าน IT และ Non – IT Audit เพื่อก้าวไปสู่การประเมินผลกระทบของความเสี่ยงในระดับต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลต่อ COSO – ERM เพื่อการบรรลุวัตถุประสงค์ของธุรกิจในมุมมองต่าง ๆ

ก่อนที่ผมจะอธิบายในเชิงลึกต่อไป ผมจึงใคร่ขอย้อนกลับไปในมุมมองเบื้องต้นของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ บางมุมมอง เพื่อทบทวนความเข้าใจของท่านผู้อ่านในวันนี้ ดังนี้ครับ…

การนำคอมพิวเตอร์มาใช้อย่างแพร่หลายของกิจการต่าง ๆ ในปัจจุบันได้ก่อให้เกิดผลกระทบในด้านต่าง ๆ ซึ่งรวมทั้งงานตรวจสอบองค์กรที่ระบบงานต่าง ๆ ประมวลผลด้วยคอมพิวเตอร์ ผู้ตรวจสอบจึงควรได้ทราบถึงวิวัฒนาการของการตรวจสอบกิจการที่นำคอมพิวเตอร์มาใช้ในงานด้านต่าง ๆ การเปลี่ยนแปลงวัตถุประสงค์ ขอบเขต และแนวการตรวจสอบ ตั้งแต่อดีตจนถึงปัจจุบันที่เกิดขึ้นแล้วแนวโน้มการเปลี่ยนแปลงในอนาคต และแนวความคิดในการพัฒนาการตรวจสอบ ให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยีที่เป็นไปอย่างรวดเร็ว และแนวความคิดในการพิจารณาความเสี่ยงเพื่อการเข้าถึงจุดควบคุมหลักต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk (ซึ่งมีความหมายแตกต่างกัน) ที่มีผลต่อ Business Risk ในมุมมองต่าง ๆ จะมีประโยชน์ในการวางแผนและการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ประมวลข้อมูล

ผู้ตรวจสอบกับการเปลี่ยนแปลงทางเทคโนโลยีที่เกี่ยวกับการบันทึกข้อมูล
ในฐานะผู้ตรวจสอบเมื่อมีการเปลี่ยนแปลงใหม่ ๆ เกิดขึ้น ย่อมรู้สึกว่ามีปัญหา เช่น เดิมมนุษย์เคยบันทึกข้อมูลไว้บนก้อนหิน เมื่อต่อ ๆ มารู้จักทำกระดาษ รู้จักเย็บเป็นเล่ม รู้จักทำเป็นแผ่น Ledger Card หรือแบบฟอร์มต่าง ๆ ก็บันทึกข้อมูลบนสิ่งเหล่านี้แทน ในปัจจุบันเราสามารถบันทึกข้อมูลบนสื่อข้อมูลต่าง ๆ เช่น Magnetic Tap, Magnetic Disk, Floppy Disk ฯลฯ

ทุกครั้งที่มีการเปลี่ยนแปลงก็เกิดข้อสงสัยเกี่ยวกับความเชื่อถือในวิธีการบันทึกแบบใหม่ ๆ ทั้งในเรื่องการรักษาความลับของข้อมูล และความปลอดภัยของสื่อข้อมูล แม้จะถูกคัดค้านในระยะแรก ๆ แม้กระทั่งในปัจจุบัน สำหรับในบางองค์กร แต่การค้นพบเหล่านั้นก็ทำให้วิทยาการและธุรกิจเจริญก้าวหน้าขึ้น ซึ่งอาจสรุปได้ว่า การพัฒนาการตรวจสอบและการตรวจสอบด้านคอมพิวเตอร์ เป็นเรื่องจำเป็นอย่างยิ่งยวดในทุกองค์กร ทั้งในปัจจุบันและในอนาคต

วิชาชีพตรวจสอบก็ถูกผลักดันให้ต้องคิดค้นวิธีการตรวจสอบใหม่ ๆ ที่จะมาประเมิน และทดสอบความถูกต้องของระบบงาน และความเชื่อถือได้ของข้อมูลที่เปลี่ยนแปลงไปตามเทคโนโลยีใหม่ ๆ จึงจำเป็นที่ผู้ตรวจสอบจะต้องติดตามและศึกษาวิธีการตรวจสอบใหม่ ๆ เพื่อทดแทนวิธีการตรวจสอบบางอย่างที่ใช้อยู่เดิม ซึ่งไม่เหมาะสมกับเทคโนโลยีและสภาพแวดล้อมที่มีวิวัฒนาการทางด้านการพัฒนาเทคโนโลยีอย่างรวดเร็วในปัจจุบัน

สภาพการตรวจสอบด้าน IT ในปัจจุบัน
ผู้ตรวจสอบส่วนใหญ่ยังต้องการเพิ่มประสบการณ์ในการตรวจสอบงานที่ประมวลผลด้วยคอมพิวเตอร์มากขึ้น เมื่อเทียบกับระบบงานที่ยุ่งยากซับซ้อนในปัจจุบัน การฝึกอบรมผู้ที่จะมาทำงานด้านนี้มีปัญหาหลายประการ การตรวจสอบที่ทำกันอยู่ในปัจจุบันยังใช้ขอบเขต ทิศทาง และวิธีการที่น่าจะปรับปรุงได้ในหลายประการ เช่น การใช้คอมพิวเตอร์เป็นเครื่องมือช่วยในการตรวจสอบ และการกำหนดแนวทางการตรวจสอบจากความเข้าใจในระบบงานที่ประมวลผลโดยคอมพิวเตอร์ และเทคโนโลยีคอมพิวเตอร์ เช่น Terminal, Offline, Online, Communications, Storage Media, Programming, Database, System ต่าง ๆและการฝังระบบการควบคุม (Embedded) ไว้ในระบบงานอย่างอัตโนมัติตาม Logic ของการบริหารความเสี่ยงทั่วทั้งองค์กร เป็นต้น

สรุปปัญหาที่ได้เกิดขึ้นแล้ว
1. เทคโนโลยีด้านคอมพิวเตอร์ได้พัฒนาเร็วกว่าพัฒนาการทางด้านการตรวจสอบ และการสร้างระบบควบคุม ทั้งที่ผู้ตรวจสอบพยายามชี้ให้ผู้บริหารของกิจการต่าง ๆ เข้ามามีบทบาทในเรื่องการควบคุม แต่ก็ไม่เข้าไปช่วยเหลือในการสร้างระบบควบคุมอย่างจริงจัง ข้อแนะนำต่าง ๆ จากการตรวจสอบ มักจะไม่ได้คำนึงถึงความเห็นของผู้ปฏิบัติงานด้านต่าง ๆ
2. กิจการต่าง ๆ เปลี่ยนไปใช้ระบบงานใหม่ ๆ ที่ยุ่งยากซับซ้อน
3. การตรวจสอบด้านนี้ได้รับความสนใจอย่างจำกัด โดยเฉพาะอย่างยิ่งผู้บริหารระดับสูงที่มีระดับความเข้าใจ และการสนับสนุนที่แตกต่างกันมาก
4. ยังขาดบุคลากรที่มีความรู้และประสบการณ์ด้านนี้
5. ยังขาดวิธีการตรวจสอบที่จะทันกับการเปลี่ยนแปลงที่เกิดขึ้น
6. การตรวจสอบยังขาดการวางแผน และการควบคุมตามฐานความเสี่ยงที่ดี
7. ยังขาดการประสานงานที่ดีระหว่างผู้บริหาร เจ้าของงาน เจ้าหน้าที่ IT และผู้ตรวจสอบ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control (ต่อ)

มกราคม 24, 2010

ครั้งนี้ ผมตั้งใจจะนำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ แต่ก่อนจะถึงเรื่อง Application Control ที่ใช้คอมพิวเตอร์ ผมใคร่ขอทบทวนการตรวจสอบ IT Audit ทางด้าน General Control อีกสักเล็กน้อยนะครับว่า มุมมองทางด้าน General Control กับ Application Control มีความสัมพันธ์และเกี่ยวข้องกันด้วยเสมอ เพราะหาก General Control มีจุดอ่อน จะมีผลกระทบต่อ Application Control อย่างหลีกเลี่ยงไม่ได้ ในทุกมุมมองที่เกี่ยวข้อง คือ Input – Process – Output

ท่านลองดูแผนภาพสรุปในบางมุมมองของ General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ และโปรดทบทวนคำอธิบายเรื่อง IT Audit ที่ได้กล่าวมาตั้งแต่ต้น ท่านจะพบกับความท้าทายในรูปแบบต่าง ๆ ที่ต้องใช้ทักษะและศักยภาพในองค์ความรู้ที่เกี่ยวข้องกับ IT และ Business ซึ่งแยกกันไม่ได้เช่นกัน เพราะ Process ของการขับเคลื่อน Business Objective จะอาศัยเทคโนโลยีที่ไปขับเคลื่อน Business Process จาก IT Activities ในมุมมองต่าง ๆ ที่เกี่ยวข้องต่อไป

Understanding Controls on IT Environment

Understanding Controls on IT Environment

การผสมผสานองค์ความรู้ที่เกี่ยวข้อง ในการตรวจสอบของผู้ตรวจสอบและของผู้กำกับงานตรวจสอบ ทางด้าน IT และทางด้าน Manual จึงควรเข้าใจการบริหารและการจัดการองค์กรที่ต้องอาศัย IT ในภาพโดยรวม โดยเฉพาะอย่างยิ่ง หากนำหลักการของ GRC (Governance + Risk Management + Compliance) มาประยุกต์ใช้ในภาพโดยรวม ซึ่งเป็นการขับเคลื่อน Business Process ในลักษณะ Integrity – Driven Performance ซึ่งท่านที่สนใจสามารถติดตามได้จากหัวข้อที่เกี่ยวข้องในเว็บนี้

ผมใคร่ขอย้ำว่า การกำหนดขอบเขตการตรวจสอบ เพื่อให้ได้เป้าประสงค์ของการตรวจสอบในเวลาที่ต้องการ เป็นสิ่งที่ผู้ตรวจสอบต้องเข้าใจถึงองค์ประกอบที่เกี่ยวข้องเป็นอย่างมาก เพื่อให้การตรวจสอบมุ่งตรงประเด็น และเป็นไปตามการปฏิบัติอย่างที่ได้รับมอบหมาย ซึ่งอาจต้องใช้เทคนิคผสมผสาน ระหว่างการตรวจสอบเต็มรูปแบบ (Formal) และการตรวจสอบเป็นเรื่อง ๆ หรือดำเนินการในลักษณะของ Surprise Check ได้ เช่น การตรวจสอบทางด้าน IT Process ตามหลักการของ CobiT มี 4 Domain นั้น วัตถุประสงค์ในการตรวจสอบทางด้าน IT Process ต้องการเน้นเรื่องใด หรือ Domain ใด ใน 4 Domain หลักทางด้าน IT Process ซึ่งประกอบไปด้วย Planning and Organization หรือ Domain อื่น ซึ่งจะเกี่ยวข้องกับ Business Requirement ตามคุณลักษณะ 7 ประการ ของ CobiT หรือจะประเมินจุดอ่อน และความเสี่ยงจาก IT Resource ซึ่งมีองค์ประกอบ 5 ประการที่เกี่ยวเนื่องกันตามที่แสดงไว้ในแผนภาพ และอธิบายไว้ในหัวข้อนี้เมื่อวันที่ 7 มกราคม 2553 เป็นต้น

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง (ต่อ)

มกราคม 13, 2010

ในครั้งที่แล้ว ผมได้อธิบายการตรวจสอบทางด้าน IT Audit ที่เกี่ยวข้องกับการบริหารความเสี่ยง จากมุมเปิด (Exposure) ของจุดอ่อนที่อาจจะมีในกระบวนการบริหารในการจัดการทางด้าน IT Process เพื่อบรรลุ Business Objective ในมุมมองต่าง ๆ ซึ่งได้กล่าวและเน้นให้เห็นถึงความสำคัญความเข้าใจกระบวนการบริหารที่เกี่ยวข้องกันและแยกกันไม่ได้ระหว่าง Business Objective และ IT Objective ซึ่งพิจารณาได้ว่าเริ่มมีความซับซ้อนในมุมมองของการบริหารความเสี่ยงที่โยงใยกันระหว่างความเสี่ยงทางด้าน Business และความเสี่ยงทางด้าน IT และผลกระทบที่มีต่อภาพรวมของความเสี่ยงของทั้งองค์กร (Portfolio View of Risk) ทั้งในมุมมองของ IT และ Business

โดยความเป็นจริง ความเข้าใจถึง Portfolio View of Risk ตามมุมมองของ IT และ Business ซึ่งมีเป้าหมายในการ Focus ความเสี่ยงที่แตกต่างกัน เพราะมุมมองของ IT จะเกี่ยวข้องและเน้นถึง Information ที่สัมพันธ์กับ IT Balanced Scorecard ส่วนมุมมองของ Business จะเกี่ยวข้องกับ Business Scorecard ซึ่งมุมมองทั้ง 2 มีความสัมพันธ์กันอย่างลึกซึ้ง โดยเฉพาะมุมมองของการบริหารความเสี่ยงและการควบคุมภายใน และมีผลอย่างสำคัญต่อการสร้าง Business Value ที่มาจากฐานความเข้าใจของ Risk Driver และ Value Driver ที่ผมจะกล่าวต่อไป

วันนี้ผมกำลังพาท่านผู้ตรวจสอบเข้าสู่กระบวนการตรวจสอบทางด้าน General Control ขององค์กรที่ใช้คอมพิวเตอร์ต่อจากครั้งก่อน โดยมีมุมมองที่เน้นทางด้านกระบวนการบริหาร (Process) เพื่อบรรลุวัตถุประสงค์การควบคุมสารสนเทศที่ดี ตามหลักการของ CobiT ทีละ Domain ดังนี้

สำหรับการอ่านแผนภาพบางตารางข้างต้น อาจจะตัวอักษรเล็กไปสำหรับบางท่านนั้น ขอให้ท่านดำเนินการต่อไปนี้เพื่อขยายแผนภาพทุกแผนภาพที่ต้องการให้ใหญ่ขึ้นดังนี้ ให้ท่านกด Ctrl ค้างไว้ พร้อมเลื่อนลูกกลิ้งเม้าส์ (Scroll) ไปด้านหน้า ทั้งภาพและตัวอักษรจะใหญ่ขึ้นตามที่ท่านต้องการ และกลับกัน หากท่านเลื่อนลูกกลิ้งไปด้านหลัง ทั้งภาพและตัวอักษรก็จะเล็กลง

ครั้งต่อไป ผมจะได้นำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง

มกราคม 7, 2010

ครั้งที่แล้ว ผมได้อธิบายการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบการควบคุมภายในทั่วไป ของการบริหารศูนย์คอมพิวเตอร์ และการจัดการทางด้านคอมพิวเตอร์ (General Control) ซึ่งสามารถอธิบายโดยแผนภาพย่อ ๆ และเข้าใจได้สะดวก ดังนี้

จากภาพข้างต้น ผู้ตรวจสอบจะต้องกำหนดขอบเขตการตรวจสอบ ให้เป็นไปตามวัตถุประสงค์การตรวจสอบที่ต้องการ มิฉะนั้น การวางแผนการตรวจสอบเพื่อหาหลักฐานการตรวจสอบ และข้อสรุปที่เกี่ยวข้อง จะมีขอบเขตกว้างขวางที่อาจหาข้อสรุปได้ยาก และไม่อาจหาข้อยุติในการทำรายงานในกรอบเวลาที่กำหนดแล้วได้ เรื่องนี้ จึงเป็นเรื่องที่มีความสำคัญเป็นอย่างยิ่งต่อผู้ตรวจสอบ เพื่อกำหนดทรัพยากรที่จำเป็นต้องใช้ในการตรวจสอบตามขอบเขต และวัตถุประสงค์ที่เกี่ยวข้อง ทั้งนี้ขอให้ดูแผนภาพต่อไปนี้ประกอบการพิจารณาเพิ่มเติมจากข้อมูลที่ได้กล่าวมาก่อนหน้านี้

เมื่อท่านได้เห็นแผนภาพที่ 2 ข้างต้นแล้ว ผมใคร่ขอย้ำอีกครั้งหนึ่งว่า การกำหนดขอบเขตการตรวจสอบ ตามวัตถุประสงค์การตรวจสอบที่ชัดเจน ตามทรัพยากรที่กำหนดให้นั้น เป็นเรื่องสำคัญยิ่งต่อกระบวนการตรวจสอบโดยรวม ทั้งนี้ การระบุปัจจัยเสี่ยงที่อาจจะเกิดจากการบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resources) จะเกี่ยวข้องและมีผลกระทบกับกระบวนการ (IT Process) ตามหลักการของ CobiT และความเสี่ยงของ IT Process ก็จะเกี่ยวข้องและเกี่ยวพันกับ Activities ทางด้าน IT และทางด้าน Business ที่จะมีผลต่อกระบวนการบริหาร เพื่อให้ได้คุณลักษณะของสารสนเทศที่ดี หรือให้ได้ผลตาม Business Requirements ที่ต้องการ ซึ่งจะประกอบด้วย ประสิทธิผลของข้อมูลและการจัดการ (Effectiveness), ประสิทธิภาพของข้อมูลและการจัดการ (Efficiency), การรักษาความลับและการเข้าถึงข้อมูล (Confidentiality), ความครบถ้วนถูกต้องของข้อมูล (Integrity), สภาพพร้อมใช้งานของสารสนเทศ (Availability), การปฏิบัติตามกฎหมาย กฎเกณฑ์ (Compliance), ความน่าเชื่อถือของสารสนเทศ เพื่อการบริหารและการจัดการ (Information Reliability)

มาถึงตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT Audit ควรจะมีความเข้าใจในองค์รวมของกระบวนการบริหาร และการจัดการสารสนเทศที่ดี และเพียงพอที่สามารถจะสรุปจุดอ่อน ที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหายในมุมมองต่าง ๆ ทั้งทางด้าน IT และทางด้าน Business ที่เกี่ยวข้อง และผู้ที่เกี่ยวข้องควรจะเข้าใจการบริหารและการจัดการที่ผสมผสานระหว่าง Business Objective และ IT Objective ตามมุมมองของ Business Balanced Scorecard และ IT Balanced Scorecard อย่างพอเพียงด้วย

ถึงขั้นตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT และทางด้าน Manual Audit อาจจะเริ่มสับสนถึงมุมมองของการระบุปัจจัยเสี่ยง ที่เริ่มผสมผสานกันและแยกกันไม่ได้ ระหว่าง Business Risk และ IT Risk เพราะส่วนใหญ่จะมีการมอบหมายงานตาม Function ซึ่งเน้นเป็นเรื่อง ๆ (Silo) มากกว่า Business Process ที่เป็นการผสมผสานระหว่าง IT Activities กับ Business Objective

เรื่องนี้จะเข้าใจได้ดีขึ้นนะครับ ถ้าหากผู้ตรวจสอบจะได้ดูแผนภาพที่อธิบายโดยย่อถึง กระบวนการบริหารที่มีผลกระทบต่อเป้าหมายของการบริหารและควบคุมสารสนเทศที่ดี ที่มีผลต่อ Business Process และ Business Objective เพื่อบรรลุวัตถุประสงค์ตามหลักการของ CobiT ภายใต้ร่ม IT Governance ต่อไปนี้ทีละ Domain ซึ่งจะนำเสนอในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (IT / Manual Audit) กับความเข้าใจในภาพโดยรวม

ธันวาคม 15, 2009

ในครั้งที่แล้ว ผมได้พูดถึงหลักฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรจะมีความรู้ความเข้าใจในองค์รวมที่เกี่ยวกับหลักฐานการตรวจสอบที่เกี่ยวข้อง เพราะมิฉะนั้น การวางแผนการตรวจสอบ ซึ่งเป็นกระบวนการที่สำคัญยิ่งในการตรวจสอบ ทั้งทางด้าน IT และ Non – IT นั้น จะดำเนินการไม่ได้อย่างมีคุณภาพ ประสิทธิภาพ ไม่เข้าใจถึงผลกระทบของรายการที่ประมวลผลโดยคอมพิวเตอร์ ตามรูปแบบของหลักฐานที่มีตามการตรวจสอบ

วันนี้ ผมจะได้อธิบายต่อไป โดยใช้แผนภาพประกอบเป็นส่วนใหญ่ เพื่อพิจารณาขอบเขตการตรวจสอบ เมื่อเทียบกับภาพโดยรวมของการตรวจสอบ ทางด้าน IT / Manual Audit ต่อไปนี้ครับ

จากแผนภาพแทนคำอธิบายข้างต้น ท่านที่สนใจในเรื่อง IT Audit และ Manual Audit ในองค์กรที่ใช้คอมพิวเตอร์ คงจะได้เห็นแนวทางในการก้าวสู่กระบวนการตรวจสอบ จากฐานความเสี่ยงในเรื่องที่เกี่ยวข้อง และบรรลุวัตถุประสงค์ตามขอบเขตของงานที่ต้องการตรวจสอบ ซึ่งจะได้อธิบายในตอนต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หลักฐานการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์

ธันวาคม 7, 2009

วันนี้ ผมจะมาเล่าสู่กันฟังในเรื่องเกี่ยวกับการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์ จากครั้งที่ผ่าน ๆ มา ผมเคยได้พูดถึงขั้นตอนของการตรวจสอบทั้งทางด้าน IT Audit และ Non – IT Audit ไปแล้ว สำหรับครั้งนี้ผมจะนำเสนอเกี่ยวกับหลักฐานของการตรวจสอบทางด้านคอมพิวเตอร์ว่า ต้องมีเอกสาร หรือหลักฐานที่ใช้ในการตรวจสอบอย่างไรบ้าง

นอกเหนือจากการยกตัวอย่างในการตรวจสอบระบบงานเดียวกัน แต่รูปแบบของหลักฐานเปลี่ยนแปลงไป การวางแผนการตรวจสอบและกระบวนการตรวจสอบ เพื่อให้ได้หลักฐาน เพื่อสนับสนุนความเห็นในการให้ข้อแนะนำ ในเรื่องต่าง ๆ ที่เกี่ยวข้อง ก็มีความแตกต่างเป็นอย่างมาก

ท่านผู้ตรวจสอบด้าน IT และ Non – IT ลองพิจารณาดูซิครับว่า หากท่านหรือผู้ร่วมงานของท่าน ไม่เข้าใจผลกระทบของรูปแบบของหลักฐานที่เปลี่ยนแปลงไป จากกระบวนการที่ใช้คอมพิวเตอร์ ที่มีคุณลักษณะและกระบวนการทำงานที่แตกต่างกัน และด้วยเทคนิคที่ก้าวหน้าไปอย่างรวดเร็วในปัจจุบัน และมีผลต่อรูปแบบของกระบวนการทำงาน ผลกระทบต่อความเสี่ยงในมุมมองต่าง ๆ ทั้งด้าน IT Risk และ Risk IT ที่มีผลต่อ Business Process และ Business Objective ท่านและทีมงานของท่านจะมีวิธีการวางแผนการตรวจสอบอย่างไร จึงจะได้ผลดี และมีคุณภาพที่น่าเชื่อถือได้

ในกรณีที่ท่านเป็นคณะกรรมการตรวจสอบ หรือคณะกรรมการบริหารความเสี่ยง หรือคณะกรรมการดูแลทางด้าน Compliance ท่านควรจะตั้งคำถามแบบใด จึงจะมั่นใจอย่างสมเหตุสมผลว่า บุคลากรที่ท่านดูแลนั้น มีความสามารถ และมีความเข้าใจในงานที่ตรวจสอบ ตามสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างมากมาย และให้ข้อสังเกตที่มีคุณค่าเพิ่มได้อย่างเหมาะสม

เรื่องนี้ ผมเคยให้คำแนะนำวิธีการตั้งคำถามในรูปแบบต่าง ๆ ทั้งในลักษณะที่ผู้บังคับบัญชาอาจตั้งคำถามสอบถามผู้ใต้บังคับบัญชา หรือผู้ตรวจสอบต้องการตั้งคำถามกับผู้รับการตรวจสอบในแง่มุมต่าง ๆ ซึ่งมีความหลากหลาย และมีความซับซ้อนเป็นอย่างมาก ที่มีผลกระทบทางด้าน People Risk + Process Risk + Technology Risk (PPT)

ในการตรวจสอบ ผู้ตรวจสอบจำเป็นต้องหาหลักฐานเพื่อยืนยันความเพียงพอของการควบคุมในระบบการประมวลผล ซึ่งในระบบที่ทำด้วยมือ หลักฐานส่วนใหญ่มักได้แก่ เอกสารต่าง ๆ ที่สามารถมองเห็นได้ แต่ในระบบงานที่ใช้คอมพิวเตอร์ประมวลผล รูปแบบของหลักฐานได้เปลี่ยนแปลงไปอยู่ในรูปของสื่อแม่เหล็กเป็นส่วนใหญ่ ทำให้ไม่สามารถใช้วิธีการตรวจสอบแบบเดิมที่อาศัยเอกสารเป็นสำคัญต่อไปได้

ดังนั้น การที่ผู้ตรวจสอบจะสามารถตรวจสอบทาง IT ให้ได้ผลดีจึงจำเป็นต้องทราบถึงผลกระทบของเทคโนโลยีทางคอมพิวเตอร์ที่มีต่อหลักฐานที่จะใช้ในการตรวจสอบ เพื่อกำหนดแนวทางการตรวจสอบที่เหมาะสมต่อไปได้

รูปแบบของหลักฐานที่ผู้ตรวจสอบมักใช้ในการตรวจสอบระบบที่ทำด้วยมือ
1. เอกสารต้นกำเนิด เช่น แบบฟอร์มใบคำขอ
2. หลักฐานการอนุมัติ คือ การลงลายมือชื่อของผู้มีอำนาจในเอกสารต้นกำเนิดและการประทับวันที่และเวลาที่จัดทำเอกสารและผ่านการอนุมัติ
3. หลักฐานการประมวลผล เช่น แบบฟอร์มแสดงการคำนวณ คู่มือที่แสดงรายละเอียดข้อมูลหลักและกระดาษจากเครื่องบวกเลข
4. หลักฐานทางผลลัพธ์ เช่น เช็ค รายงานแสดงรายการเคลื่อนไหวทางบัญชี ใบเสร็จรับเงิน และรายงานต่าง ๆ

การเปลี่ยนแปลงลักษณะของหลักฐานเมื่อมีการนำเครื่องคอมพิวเตอร์มาใช้
1. รายการที่ทำโดยคน
ในระบบที่ทำด้วยมือ บุคคลมักเป็นผู้ให้กำเนิดรายการ และส่งเข้าสู่ระบบประมวลผล แต่ในกรณีที่ใช้คอมพิวเตอร์ ระบบงานคอมพิวเตอร์อาจให้กำเนิดรายการเองโดยอัตโนมัติ

2. ข้อมูลนำเข้าที่บันทึกในกระดาษ
เมื่อมีรายการเกิดขึ้น ในระบบที่ทำด้วยมือมักมีการจัดทำและบันทึกข้อมูลในเอกสารที่เป็นกระดาษ แต่ในระบบคอมพิวเตอร์ ข้อมูลจะบันทึกผ่านเครื่องเทอร์มินอล ซึ่งจะไม่ปรากฏอยู่ในเอกสารอีก เช่น การเปลี่ยนแปลงอัตราดอกเบี้ย พนักงานจะป้อนอัตราใหม่เข้าไปปรับปรุงที่แฟ้มข้อมูลหลักของลูกค้าเงินให้กู้ยืม ผ่านทางเครื่องเทอร์มินอลได้โดยทันที

3. การอนุมัติรายการ
ในระบบที่ทำด้วยมือ จะมีการอนุมัติรายการโดยผู้มีอำนาจอนุมัติ ลงลายมือชื่อ ชื่อย่อ หรือประทับตรายางแสดงการอนุมัติ แต่ในระบบคอมพิวเตอร์ จะมีการกำหนดการอนุมัติไว้ล่วงหน้า เช่น การกำหนดวงเงินการให้สินเชื่อในระบบ เมื่อมีการให้สินเชื่อระบบจะตรวจสอบว่าเกินวงเงินหรือไม่ หากไม่เกินที่กำหนด ระบบก็จะอนุมัติให้รายการผ่านได้โดยอัตโนมัติ

นอกจากนี้ การอนุมัติอาจกระทำได้ในรูปของการใช้ Password การรูดบัตรที่มีรหัสลับบันทึกไว้บนแถบแม่เหล็ก หรือการกำหนดระดับกุญแจที่ต้องใช้ประกอบการทำรายการที่เครื่องเทอร์มินอล

4. การจัดส่งข้อมูล
ในระบบที่ทำด้วยมือจะมีการจัดส่งข้อมูลในรูปของเอกสาร โดยใช้คนนำส่ง ส่งเป็นไปรษณีย์ภัณฑ์หรือส่งไปทางเรือ แต่ในระบบงานคอมพิวเตอร์ จะมีการจัดส่งข้อมูลหลังจากที่ได้บันทึกแปลงรหัส และรวบรวมไว้พร้อมแล้วในลักษณะของข้อมูลทางอิเล็คทรอนิกส์

5. การประมวลผลในรูปแบบที่มองเห็นได้
ในระบบที่ทำด้วยมือ มักมีการกำหนดขั้นตอนการประมวลผลแต่ละขั้นโดยไม่ซับซ้อน เพื่อลดความผิดพลาดที่อาจเกิดขึ้นจากบุคคลให้มากที่สุด แต่ในระบบคอมพิวเตอร์ การประมวลผลจะเป็นไปโดยอัตโนมัติตามขั้นตอนที่กำหนดไว้ในโปรแกรมคำสั่งงาน ซึ่งมักมีความสลับซับซ้อน อันเนื่องมาจากความต้องการให้เครื่องคอมพิวเตอร์สามารถปฏิบัติงานได้อย่างรวดเร็วและถูกต้องแม่นยำ

6. ข้อมูลหลัก
ข้อมูลหลักหรือข้อมูลที่ถาวรที่จำเป็นต้องใช้ในการประมวลผล มักบันทึกอยู่ในรูปข้อมูลที่อ่านได้ด้วยตาเปล่า แต่ในระบบคอมพิวเตอร์จะบันทึกอยู่ในรูปของสื่อแม่เหล็ก

7. รายงานข้อมูลผลลัพธ์
ในระบบที่ทำด้วยมือ ข้อมูลที่ได้จากการประมวลผลมักอยู่ในรูปของเอกสาร เช่น รายงาน เช็คที่พิมพ์รายการเรียบร้อย แต่ในระบบงานคอมพิวเตอร์มักไม่เป็นเช่นนั้น เช่น การโอนเงิน จะใช้วิธีโอนเงินทางอิเล็คทรอนิกส์ และข้อมูลผลลัพธ์ก็จะนำเสนอบนจอภาพ และในบางระบบอาจแสดงเฉพาะข้อมูลที่ไม่ปกติให้ทราบเพื่อปฏิบัติการต่อไปก็ได้

8. การจัดแฟ้มเอกสาร
ในระบบที่ประมวลผลด้วยมือ มักมีการจัดเก็บเอกสารข้อมูลในลักษณะที่เราพบเห็นกันโดยทั่วไป และเมื่อต้องการใช้ก็หาได้ไม่ลำบากนัก แต่ในระบบคอมพิวเตอร์มักเก็บข้อมูลอยู่ใน Disks ซึ่งการเรียกใช้หรือดึงข้อมูลออกมานั้นต้องใช้โปรแกรมคำสั่งงานดึงข้อมูลออกมาตามความต้องการ

9. ร่องรอยการตรวจสอบ
ในระบบที่ทำด้วยมือ ข้อมูลต่าง ๆ มักบันทึกอยู่ในรูปของเอกสาร ซึ่งจะมีทั้งข้อมูลต้นกำเนิดลายมือ ซึ่งแสดงการอนุมัติ วิธีการประมวลผล และผลลัพธ์ ซึ่งเพียงพอแก่การใช้เป็นร่องรอยในการตรวจสอบ ไม่ว่าจะเริ่มจากจุดกำเนิดรายการไปถึงยอดจำนวนรวม หรือย้อนกลับจากยอดจำนวนรวมไปยังเอกสารต้นกำเนิด

แต่ในระบบงานคอมพิวเตอร์ร่องรอยในการตรวจสอบมักกระจายกันอยู่ตามจุดต่าง ๆ ขึ้นอยู่กับลักษณะของระบบฐานข้อมูล และข้อมูลส่วนใหญ่เก็บอยู่ในรูปของสื่อแม่เหล็ก ผู้ตรวจสอบจึงจำเป็นต้องเข้าใจถึง Concept ของระบบการประมวลผล จึงจะสามารถทราบถึงขั้นตอนการประมวลผลและร่อยรอยที่จะใช้ในการตรวจสอบ ซึ่งก็ไม่ใช่เรื่องที่ง่ายนัก โดยเฉพาะอย่างยิ่งในระบบที่ค่อนข้างสลับซับซ้อน

10. คู่มือปฏิบัติงาน
ในระบบที่ทำด้วยมือ มักมีคู่มือปฏิบัติงานที่แสดงรายละเอียดแต่ละขั้นตอนของการประมวลรายการ เพื่อเป็นแนวทางสำหรับผู้ปฏิบัติงาน แต่ในระบบงานคอมพิวเตอร์คู่มือเหล่านี้อาจอยู่ในรูปของ Computer Program Listing, Data Dictionary Listing และเอกสารที่ผู้ขาย Software มอบให้แก่องค์กร

11. การติดตามรายการ
ในระบบที่ทำด้วยมือ ผู้มีอำนาจอนุมัติมักสอบทานการประมวลผลข้อมูลเพื่อให้เกิดความมั่นใจว่าข้อมูลดังกล่าวมีความสมเหตุสมผล มีความถูกต้องครบถ้วนสมบูรณ์และผ่านการอนุมัติ แต่ในระบบงานคอมพิวเตอร์โปรแกรมที่ได้กำหนด Logic ไว้ล่วงหน้าจะเช็คสอบข้อมูลเหล่านี้โดยอัตโนมัติ การใช้คนสอบทานแทบจะเป็นไปไม่ได้ โดยเฉพาะอย่างยิ่งในระบบคอมพิวเตอร์ที่มีความสลับซับซ้อนและเป็นระบบรวม และมีวงจรการประมวลผลที่สั้นขึ้นกว่าเดิม

12. การแบ่งแยกหน้าที่
ในระบบที่ทำด้วยมือ การแบ่งแยกหน้าที่ มักกระทำโดยการแบ่งแยกงาน ในระหว่างบุคคลต่าง ๆ เพื่อเกิดการควบคุมซึ่งกันและกัน ซึ่งก็มักเพียงพอและไม่ใคร่มีปัญหา แต่ในระบบงานคอมพิวเตอร์การแบ่งแยกงานในระหว่างบุคคลต่าง ๆ นั้นยังไม่เพียงพอ จำเป็นต้องมีการแบ่งแยกงานระหว่างขั้นตอนการประมวลผลโดยอัตโนมัติในแต่ละขั้นด้วย

13. การประมวลผลรายการจำนวนมาก
ในระบบที่ทำด้วยมือ มักใช้วิธี Resequencing หรือ Matching Diverse Data Elements แต่วิธีดังกล่าวก็ยุ่งยากและสิ้นเปลือง และจะกระทำเมื่อจำเป็นเท่านั้น ในระบบคอมพิวเตอร์ ข้อมูลจำนวนมากเหล่านั้นสามารถนำไปเก็บไว้ใน Database เพียงอันเดียว

และเนื่องจากคอมพิวเตอร์มีความสามารถในการประมวลผลด้วยความเร็วสูงมาก จึงสามารถนำเสนอข้อมูลดังกล่าวได้ในรูปแบบที่ต้องการได้ทุกเมื่อ และสามารถทำการวิเคราะห์ข้อมูลได้ละเอียดซับซ้อนกว่า อีกทั้งจะเรียกใช้ข้อมูลมากกว่าหนึ่งครั้งก็ได้

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลกระทบจากการที่รูปแบบของหลักฐานที่ใช้ในการตรวจสอบได้เปลี่ยนแปลงไป (Impact of Changing Evidence on the IT Audit)

พฤศจิกายน 24, 2009

วันนี้ผมจะมาเล่าสู่กันฟัง ในเรื่องที่เกี่ยวข้องกับ ผลกระทบของหลักฐานการตรวจสอบที่มีจะเกี่ยวข้องกับกระบวนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ ทั้งในรูปแบบการตรวจสอบ IT Audit และ Manual Audit

ถึงแม้จะเป็นการตรวจสอบระบบงานเดียวกัน แต่หากรูปแบบของหลักฐานการตรวจสอบเปลี่ยนแปลงไป วิธีการและกระบวนการตรวจสอบก็ต้องเปลี่ยนแปลงตามไปด้วย ทั้งนี้เพราะ หลักฐานการตรวจสอบจะมีส่วนสำคัญยิ่งต่อการวางแผนการตรวจสอบของผู้ตรวจสอบภายใน รวมทั้งผู้รับรองงบการเงินในส่วนที่เกี่ยวข้อง

ท่านผู้ตรวจสอบ ลองเปรียบเทียบวิธีและกระบวนการตรวจสอบของตัวอย่าง ซึ่งผมจะได้กล่าวต่อไปนี้นะครับ แล้วพิจารณาว่า ทำไมผู้ตรวจสอบจึงต้องมีวิธีการตรวจสอบที่แตกต่างกันไป จาก 2 ตัวอย่างที่จะกล่าวถึง

ดังนั้น ความเข้าใจในกระบวนการปฏิบัติงาน ในระบบงานที่ตรวจสอบและหลักฐานที่เกี่ยวข้อง จึงเป็นเรื่องที่มีความสำคัญอย่างยิ่งกับผู้ตรวจสอบทุกประเภท สำหรับการวางแผนการตรวจสอบ ยังมีเกร็ดและมุมมองที่จะพิจารณา ที่อาจอธิบายได้เพิ่มเติมอีกมากพอสมควรนั้น ผมจะได้นำมาเล่าสู่กันฟังในภายหลัง เพื่อไม่ให้ท่านผู้ตรวจสอบเบื่อเรื่องการวางแผนการตรวจสอบ ซึ่งอาจจะมีมากมายจากปัจจัยและมุมมองที่แตกต่างกัน

ตัวอย่างในการตรวจสอบข้างล่างนี้ ขอให้ท่านใช้ดุลยพินิจและความเข้าใจให้ดี เพื่อเป็นรากฐานการตรวจสอบในเรื่องอื่น ๆ ต่อไป

กรณีตัวอย่าง ก.

องค์การ ก. ได้ใช้ระบบงานคอมพิวเตอร์ในการจ่ายเงินเดือนพนักงานแต่ละคนจะกรอกรายละเอียดชั่วโมงในใบลงเวลา แล้วให้ผู้ควบคุม (Supervisor) ลงลายมือชื่ออนุมัติ หลังจากนั้นจะรวบรวมข้อมูลไปป้อน (Key) ข้อมูลลง disk โดยใช้เครื่อง key-to-disk machine ซึ่งจะมีสำเนาข้อมูลส่งกลับมาให้ผู้ควบคุมตรวจสอบความถูกต้องอีกครั้งหนึ่ง และเมื่อเริ่มต้นงวดรอบระยะเวลาการจ่ายเงินเดือนแต่ละครั้ง จะมีการปรับปรุงข้อมูลที่มีการเปลี่ยนแปลง เช่นอัตราค่าจ้างและรายการหักค่าลดหย่อนต่าง ๆ และมีการพิมพ์รายงานแสดงรายละเอียดการจ่ายค่าจ้างของพนักงานแต่ละคนส่งให้แผนกงานต่าง ๆ เพื่อใช้เป็นข้อมูลในการจัดเตรียมการจ่ายค่าจ้าง และในขั้นสุดท้ายก็จะมีการจัดพิมพ์เช็ค และส่งให้ผู้ควบคุมแต่ละคน เพื่อจ่ายให้แก่พนักงาน และจะมีการกระทบยอดเช็คสลักหลัง โดยฝ่ายบุคคลที่อยู่แยกต่างหากจากแผนกที่ทำหน้าที่เกี่ยวกับการจ่ายเงินเดือน

ในระบบกรณีองค์กร ก. ดังกล่าว รูปแบบของหลักฐานจะไม่ถูกกระทบกระเทือนหรือเปลี่ยนไปมากนัก ยังคงสามารถใช้วิธีการตรวจสอบเช่นที่ทำในระบบบเดิมได้ แต่ถ้าผู้ตรวจสอบจะต้องการปรับปรุงประสิทธิภาพ และความประหยัดในการตรวจสอบ โดยนำเอาเทคโนโลยีทางด้านคอมพิวเตอร์เข้ามาช่วยในการตรวจสอบได้ เช่น การใช้ audit software เป็นต้น

กรณีตัวอย่าง ข.

องค์การ ข. ได้ใช้ระบบงานคอมพิวเตอร์ในการจ่ายเงินเดือน ซึ่งระบบนี้จะรวบรวม และบันทึกข้อมูลผ่านเครื่องเทอร์มินอล โดยพนักงานแต่ละคนจะใช้บัตรที่มีแถบแม่เหล็กบันทึกรายการรูดผ่านเครื่องเทอร์มินอล เพื่อบันทึกเวลาที่เข้าทำงานประจำวันและเวลาเลิกงาน เครื่องก็จะบันทึกข้อมูลชั่วโมงการทำงานของพนักงานคนนั้น ๆ ไว้ เมื่อมีการเปลี่ยนแปลงข้อมูลหลัก เช่น อัตราค่าจ้าง ฝ่ายบุคคลก็จะป้อนรายการเปลี่ยนแปลง พร้อมวันที่มีผลบังคับใช้ผ่านทางเครื่องเทอร์มินอล เพื่อปรับปรุงข้อมูลใน database โดยตรง ข้อมูลเกี่ยวกับค่าจ้างที่ต้องจ่ายที่ได้จากการประมวลผล จะถูกส่งไปยังธนาคารเพื่อโอนเงินเข้าบัญชีให้พนักงาน ในลักษณะที่เป็นการโอนเงินทางอิเล็คทรอนิกส์ และจะส่ง statement แสดงรายละเอียดการโอนเงินเข้าบัญชีให้แก่พนักงานถึงบ้าน

ในระบบกรณีองค์กร ข. ดังกล่าว จะเห็นว่ารูปแบบของหลักฐานได้เปลี่ยนแปลงไปอย่างมาก จึงจำเป็นต้องอาศัยวิธีการตรวจสอบแบบใหม่ ซึ่งต่างจากการนำคอมพิวเตอร์เข้ามาใช้ในกรณี ก. ซึ่งไม่ได้ทำให้รูปแบบของหลักฐานเปลี่ยนแปลงไป จึงสามารถใช้วิธีการตรวจสอบแบบเดิมได้ ดังนั้น อาจกล่าวได้ว่า ตัวคอมพิวเตอร์เองนั้น ไม่ได้มีผลต่อผู้ตรวจสอบโดยตรง แต่ผลกระทบจากระบบงานคอมพิวเตอร์ที่มีรูปแบบของหลักฐานที่ใช้ในการตรวจสอบต่างหาก ที่มีความสำคัญ และทำให้ผู้ตรวจสอบต้องกำหนดวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับรูปแบบของหลักฐานที่ได้เปลี่ยนแปลงไป

อย่างไรก็ดี ก่อนที่จะมีการตรวจสอบระบบคอมพิวเตอร์นั้น ผู้ตรวจสอบควรทราบถึงลักษณะของเทคโนโลยีที่องค์กรควรใช้เสียก่อน โดยอาจจะใช้ Audit Impact Matrix เพื่อระบุถึงผลกระทบที่มีต่อรูปแบบของหลักฐาน หากเทคโนโลยีนั้นมีผลให้รูปแบบของหลักฐานเปลี่ยนแปลงไป ผู้ตรวจสอบก็ต้องพิจารณาว่า จะมีผลให้ต้องนำวิธีการตรวจสอบแบบใหม่มาใช้หรือไม่ ในกรณีที่รูปแบบของหลักฐานได้เปลี่ยนแปลงไปโดยสิ้นเชิง ผู้ตรวจสอบอาจจำเป็นต้องมีทักษะหรือความเชี่ยวชาญในการตรวจสอบ EDP โดยเฉพาะ จึงจะสามารถตรวจสอบได้อย่างเหมาะสม

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การวางแผนการตรวจสอบทางด้าน IT Audit – General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ (ต่อ)

พฤศจิกายน 10, 2009

วันนี้นะครับ ผมยังไม่อธิบายอะไรเพิ่มเติม เพียงแต่ให้ท่านได้เห็นแผนภาพกระบวนการตรวจสอบ ต่อจาก 2 ครั้งที่ผ่านมา เท่านั้น

ทั้งนี้ ขอท่านได้โปรดใช้ดุลยพินิจ และประเมินภาพการตรวจสอบ ในภาคปฏิบัติจริงของท่าน ในแต่ละขั้นตอนของการตรวจสอบว่า แต่ละขั้นตอน แต่ละกระบวนการตรวจสอบ ท่านต้องการหลักฐานอะไรในการตรวจสอบ และทดสอบการควบคุมต่าง ๆ ในส่วนที่เกี่ยวข้อง และกระบวนการที่ท่านดำเนินการอยู่ จะมีผลกระทบต่อการตรวจสอบในขั้นตอนต่อไปอย่างไร ต้องการหลักฐานอะไรที่สนับสนุนเป้าประสงค์ในการตรวจสอบ และขอบเขตในการตรวจสอบที่ได้รับมอบหมายในแต่ละครั้ง และถ้าท่านพบจุดอ่อนในกระบวนการต่าง ๆ ที่ดำเนินการอยู่ในกระบวนการตามแผนภาพการตรวจสอบนั้น ท่านจะดำเนินการในขั้นตอนนั้น และขั้นตอนต่อไปอย่างไร

การวางแผนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ มีมุมมองต่าง ๆ ที่อาจอธิบายได้ในลักษณะต่าง ๆ กันอีกมากพอสมควร เช่น ความซับซ้อนของระบบคอมพิวเตอร์ ลักษณะงานที่แตกต่างกัน และสภาพแวดล้อมที่แตกต่างกัน โดยเฉพาะอย่างยิ่งวัฒนธรรมขององค์กรที่แตกต่างกันมาก ก็มีผลอย่างสำคัญยิ่งต่อการวางแผนการตรวจสอบ นะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การวางแผนการตรวจสอบทางด้าน IT Audit – General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ (ต่อ)

ตุลาคม 31, 2009

วันนี้ เรามาเล่าสู่กันฟังต่อนะครับ ถึงเรื่องการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ท่านคณะกรรมการตรวจสอบ และผู้ตรวจสอบที่ติดตามหัวข้อนี้อยู่หลายท่าน คงต้องอดทนในการติดตามกรอบความคิด ในลักษณะ Holistic Framework ขององค์กรที่ใช้คอมพิวเตอร์ เพื่อการวางแผนการตรวจสอบทางด้าน IT Audit และการตรวจสอบทางด้าน Manual ซึ่งผู้ตรวจสอบทางด้าน Manual หรือ Non – IT ควรจะได้เข้าใจผลกระทบของเทคนิคโนโลยีด้าน IT หรือเทคโนโลยีสารสนเทศ ต่อกระบวนการตรวจสอบทางด้านการเงิน ทางด้านการดำเนินงาน ทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่ข้อมูลต่าง ๆ ปรากฎในรายงานที่ผู้ตรวจสอบต้องใช้ในการตรวจสอบ ซึ่งเป็นลักษณะการตรวจสอบพื้นฐานของทางด้าน Non – IT Auditor เพราะเป็นหลักฐานที่สามารถเห็นได้ด้วยตาเพียงประการเดียว

อย่างไรก็ดี ผู้ตรวจสอบทางด้าน Manual หรือทางด้าน Non – IT ที่มีความรู้ ความสามารถอีกระดับหนึ่ง ในการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์นั้น ก็อาจใช้เครื่องมือ หรือโปรแกรมเข้าช่วยในการวิเคราะห์ข้อมูล เพื่อการตรวจสอบจากระบบฐานข้อมูลที่องค์กรมีอยู่ได้

ในความเข้าใจของผม การใช้โปรแกรมวิเคราะห์ข้อมูล หรือดึงข้อมูลเพื่อการตรวจสอบ เป็นเพียงการใช้เครื่องมือเพื่อความสะดวกของผู้ตรวจสอบทางด้าน Manual หรือ Non – IT เป็นส่วนใหญ่ วิธีการดังกล่าว ยังไม่อาจเรียกได้ว่า เป็นการตรวจสอบทางด้าน IT หรือ IT Audit

ดังนั้น ผู้ที่ติดตามหัวข้อ IT Audit และ Non – IT Audit บางท่าน อาจสงสัยว่า ทำไมผมไม่อธิบายความแตกต่างของการตรวจสอบทั้ง 2 เรื่อง เสียที ผมขอถือโอกาสนี้อธิบายว่า สำหรับท่านที่ติดตามหัวข้อ IT Audit และ Non – IT Audit มาตั้งแต่ต้น และจนถึงวันนี้คงจะเข้าใจแล้วนะครับว่า ผมต้องการนำเสนอให้ท่านที่สนใจได้เข้าใจสภาพแวดล้อมในองค์กรที่ใช้คอมพิวเตอร์ ที่มีผลต่อกระบวนการตรวจสอบทางด้าน Manual หรือทางด้าน Non – IT เป็นอย่างมาก เช่น หลักฐานการตรวจสอบ ร่องรอยการตรวจสอบ วิธีการตรวจสอบ เทคนิคการตรวจสอบ การสุ่มตัวอย่างเพื่อตรวจสอบ การควบคุมภายในตามฐานความเสี่ยง ตั้งแต่ Input, Process และ Output ได้เปลี่ยนแปลงไปอย่างสิ้นเชิง ซึ่งผมจะค่อย ๆ นำเสนอต่อไป หลังจากที่ผมได้เกริ่นนำเพื่อสร้างความเข้าใจในภาพโดยรวมขององค์กรที่ใช้คอมพิวเตอร์ที่มีผลต่อการตรวจสอบ โดยเฉพาะอย่างยิ่งขั้นตอนการวางแผนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์

ครั้งนี้ ผมจึงขอนำเสนอการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ต่อจากคราวที่แล้ว ซึ่งอธิบายด้วยแผนภาพ ที่จะสร้างความเข้าใจให้กับผู้เกี่ยวข้องได้ดีกว่าการบรรยายเป็นตัวอักษร ดังนี้

แผนภาพการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ยังไม่จบนะครับ ผมจะนำเสนอในครั้งต่อไป และจะเริ่มด้วยตัวอย่างการตรวจสอบทางด้าน IT Audit และ Non – IT

อนึ่ง หากแผนภาพที่นำเสนอไม่ชัดเจน หรือมีขนาดเล็กเกินไป ผมขอแนะนำวิธีการขยายหน้าจอ โดยการกด Ctrl พร้อมกับเลื่อน Scroll ของ Mouse ไปด้านหน้าเพื่อขยายภาพให้ใหญ่ขึ้น และหากต้องการย่อให้เหมือนเดิมก็เลื่อน Scroll Mouse ไปด้านหลัง ภาพก็จะมีขนาดเล็กลง หรือกลับสู่ขนาดเดิม

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »