CoBIT – กระบวนการบริหารและการควบคุมสารสนเทศที่ดี เพื่อบรรลุ Business Objective

เมษายน 1, 2009

เมื่อวานนี้ ผมได้เล่าสู่กันฟังถึงเรื่องความสำคัญของข้อมูลและสารสนเทศที่ดี ที่มีผลต่อการบริหารและการตรวจสอบเป็นอย่างยิ่ง และได้กล่าวว่า กรอบการบริหารความเสี่ยงที่เกี่ยวข้องกับการควบคุมภายในระดับองค์กร ตามมาตรฐานของ COSO v.2 นั้น มีความสัมพันธ์ 100% กับ COBIT ภายใต้ร่ม IT Governance หรือกระบวนการบริหารและการควบคุมสารสนเทศที่ดี

หากมีความคิดเห็นที่แตกต่างกันจากที่ผมได้กล่าวข้างต้น น่าจะเป็นเรื่องที่สำคัญที่น่าจะหยิบยกมาคุยกันอย่างละเอียด เพื่อหาจุดยืนที่แท้จริง ก่อนก้าวไปสู่การบริหารและการตรวจสอบในมุมมองต่าง ๆ รวมทั้งกลยุทธ์ที่เกี่ยวข้องกับหลักการ Balance Scorecard

เราไม่ควรยึดตนเองเป็นศูนย์กลางของความรู้ และรีบสรุปว่า นี่คือสิ่งที่ถูกต้อง ดังนั้น เมื่อมีความคิดเห็นที่แตกต่างกัน โดยเฉพาะอย่างยิ่งมีนัยสำคัญที่เกี่ยวข้องกับ Data และ Integrity of the Information จำเป็นอย่างยิ่งที่เราควรจะมีจุดยืนร่วมกัน นั่นคือ ใช้ Best Practice (ถ้ามี) หรือใช้ Standard โดยเฉพาะอย่างยิ่งที่เป็น International Standard โดยมี KPI ที่วัดจาก Performance Measurement ที่ได้มาตรฐานที่เกี่ยวเนื่องกัน

วันนี้ผมจึงขออธิบายในรูปของ Slide ในทั้ง 2 เรื่องข้างต้นแทนการอธิบายด้วยคำพูดที่อาจจะเป็นที่น่าเบื่อหน่ายสำหรับท่านผู้รู้นะครับ

CoBIT – กระบวนการบริหารและการควบคุมสารสนเทศที่ดี

CoBIT – กระบวนการบริหารและการควบคุมสารสนเทศที่ดี

จากภาพข้างต้น ผมขอต่อด้วยการสร้างสะพานเชื่อมความเข้าใจระหว่างกระบวนการจัดการเทคโนโลยีกับการดุลยภาพการบริหารความเสี่ยง เพื่อสร้างคุณค่าเพิ่มให้กับองค์กร ทั้งในรูปแบบ Intangible Assets และ Tangible Assets ซึ่งเรียกย่อ ๆ ว่า IT Governance โดยฺ Bridgeing กับบรรษัทภิบาล และ Corporate Governance เพื่อก้าวสู่การบริหารและการจัดการความเสี่ยงที่ดี ที่ได้ดุลยภาพในทุกระดับขององค์กร โดยเฉพาะอย่างยิ่งการตรวจสอบด้าน IT และ Non – IT

COBIT As a Meta framework

COBIT As a Meta framework

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเข้าใจของผู้บริหารและผู้ตรวจสอบที่เกี่ยวข้องกับความถูกต้องและความน่าเชื่อถือได้ของข้อมูล (Integrity of the Information for Auditor & AC)

มีนาคม 31, 2009

เมื่อวันสองวันก่อน ผมได้เขียนถึงความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ และข้อสังเกตเบื้องต้นไประดับหนึ่งแล้ว ขอพูดต่อในวันนี้นะครับว่า หลักการของ Corporate Governance (CG) ซึ่งแยกกันไม่ได้กับหลักการของ IT Governance (ITG) เพื่อขับเคลื่อนองค์ประกอบของการกำกับดูแลกิจการที่ดีในภาพรวมนั้น ไม่ค่อยได้มีการกล่าวถึงกันมากนักในอดีต

แต่ในปัจจุบัน การประมวลผลข้อมูลต่าง ๆ หลีกเลี่ยงไม่ได้ที่จะต้องใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงาน และการจัดการกับข้อมูลจำนวนมหาศาล และเพื่อให้มีการปฏิบัติตามระเบียบ กฎเกณฑ์ มาตรฐานต่าง ๆ ที่กำหนดโดยหน่วยงานกำกับภาครัฐ และตามมาตรฐานสากลนั้น ผู้บริหารและผู้ตรวจสอบจำเป็นอย่างยิ่งที่ควรจะเข้าใจกระบวนประมวลข้อมูลเพื่อให้ได้สารสนเทศ เพื่อการจัดการและการตรวจสอบจากระบบคอมพิวเตอร์ และควรจะเข้าใจต่อไปด้วยว่า กระบวนการควบคุมภายในตามฐานความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

กระทรวงพาณิชย์ คณะกรรมการตรวจเงินแผ่นดิน สภานักบัญชี ก็ได้มีกฎเกณฑ์และแนวทางในการกำหนดให้องค์กรที่ใช้คอมพิวเตอร์ (แม้จะมีคอมพิวเตอร์เพียงเครื่องเดียวก็ตาม) ต้องจัดให้มีผู้ตรวจสอบภายในที่มีศักยภาพในการตรวจสอบทางด้าน IT ที่เกี่ยวข้องกับการควบคุมทางด้าน General Control และ Application Cotrol รวมทั้งองค์ประกอบต่าง ๆ ของความสมบูรณ์ของข้อมูลและสารสนเทศ 7 ประการ (Information Criteria) ซึ่งผมใคร่ขออนุญาตที่จะกล่าวซ้ำก็คือ
1. Effectiveness
2. Efficiency
3. Confidentiality
4. Integrity
5. Availability
6. Reliability
7. Compliance

ซึ่งผู้บริหารจะต้องจัดให้มีกระบวนการตรวจสอบในเรื่องของความเชื่อถือได้ของข้อมูล รวมถึงประสิทธิผล ประสิทธิภาพของข้อมูลในการที่จะนำมาบริหารการตรวจสอบต่อไป ดังนั้น ความเข้าใจในภาพโดยรวมของที่มาของข้อมูลและสารสนเทศ เพื่อการบริหารและการตรวจสอบ จึงจำเป็นที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจอย่างลึกซึ้ง ผมขอแสดงภาพที่มาจาก ISACA ซึ่งเป็นแผนภาพที่อธิบายได้ชัดเจน ดังนี้

Integrity of the Information & Audit Process, IT & Non - IT

Integrity of the Information & Audit Process, IT & Non - IT

ผมขอสรุปเรื่องความสำคัญของข้อมูลและสารสนเทศเพื่อการตรวจสอบ ดังนี้นะครับ
1. สารสนเทศที่มีคุณลักษณะที่ดีตามหลักการของ IT Governance ทั้ง 7 องค์ประกอบตามที่กล่าวข้างต้น จะมีประโยชน์ในมุมมองที่เกี่ยวข้องกับ Intangible Assets ซึ่งก็ได้แก่สินทรัพย์ที่ไม่มีตัวตน ส่วนใหญ่ก็ได้แก่ สารสนเทศนั่นเอง จากการสำรวจของสถาบันที่มีชื่อเสียง เมื่อประมาณ ปี 1999 พบว่า สินทรัพย์ที่มีคุณค่าที่สุดในทุกบริษัทที่มีความเข้าใจถึงผลกระทบของความเสี่ยงที่มีผลต่อความน่าเชื่อถือ (Trust) ที่เกิดจาก Value ขององค์กร ซึ่งก็คือ Intangible Assets สามารถสร้างคุณค่าเพิ่มและสร้างความโปร่งใส รวมทั้งสร้างกระบวนการที่สามารถวางระบบการควบคุมภายในที่โดยรวม ๆ แล้วเป็นหลักประกัน (Assurance) ให้เกิดความน่าเชื่อถือต่อการกำกับดูแลกิจการที่ดี สิ่งนั้นก็คือ ข้อมูลและสารสนเทศที่น่าเชื่อถือได้ (Integrity of the Information)

2. กลไกหรือกระบวนการกำกับดูแลกิจการที่ดีทางด้านการควบคุมภายในของทุกองค์กร ที่ต้องการให้เกิดความน่าเชื่อถือได้ของสารสนเทศก็คือ การใช้ Best Practice ในเรื่อง IT Governance ที่นำกรอบของการควบคุมกระบวนการ (Management Processes) ที่ดีมาใช้ในการสร้างความน่าเชื่อถือได้ของสารสนเทศ ซึ่งหากองค์กรใดทำได้จริงและเป็นรูปธรรมก็สามารถจะลด Audit Risk ลงได้ในระดับที่น่าพึงพอใจมาก

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

3. ภาครัฐของทุกประเทศจึงต้องกำหนดให้มีการตรวจสอบภาคบังคับที่เกี่ยวข้องกับการรับรองงบการเงิน และแน่นอนว่าผู้ตรวจสอบต้องสอบทานความน่าเชื่อถือได้ของข้อมูลเป็นเบื้องต้น และจะต้องสอบทานจุดอ่อนของกระบวนการควบคุมภายใน โดยเฉพาะอย่างยิ่ง จุดอ่อนที่เกิดจากการควบคุมทางด้าน IS หรือ IT Security ที่อาจเกิดจากการบริหารและการจัดการที่อ่อนแอ โดยฝ่ายบริหารจัดให้มีระบบการควบคุมภายในที่ไม่เพียงพอ โดยเฉพาะอย่างยิ่ง การควบคุมระบบที่ได้ข้อมูลมาจากการประมวลผลทางด้านคอมพิวเตอร์ ซึ่งทำให้สารสนเทศไม่โปร่งใส ไม่น่าเชื่อถือ ผู้ลงทุนตัดสินใจจากฐานข้อมูลที่ผิดพลาด รวมทั้งการทุจริตที่อาจจะเกิดขึ้นได้จากกระบวนการควบคุมภายในที่อ่อนแอนั้น ซึ่งมีตัวอย่างมากมายทั้งในอดีตและปัจจุบัน

4. ข่าวดีหรือข่าวร้ายขึ้นกับมุมมองของผู้ที่เกี่ยวข้องก็คือ กระบวนการควบคุมภายในภายใต้หลักการของ COBIT ภายใต้ร่มใหญ่ของ IT Governance นั้น จะต้องถูกประมวลและต้องพิจารณาเป็นกระบวนการหนึ่งของการตรวจสอบ ที่จะมีผลต่อรายงานทางการเงินและรายงานประเภทต่าง ๆ ที่เกิดจากการประมวลผลทางด้าน IT

ผมใคร่ขอยกตัวอย่างความสัมพันธ์และการเชื่อมโยงระหว่างการควบคุมงานทางด้าน IT กับการบริหารความเสี่ยงในระดับองค์กรของ COSO บางประการ เฉพาะองค์ประกอบหลักเรื่องแรกคือ การวางแผนการจัดองค์กร และการกำหนดทิศทางของเทคโนโลยีสารสนเทศ แสดงเป็นแผนภาพดังนี้

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

ท่านคณะกรรมการ ท่านผู้บริหาร และผู้ตรวจสอบที่มีโอกาสได้เห็นแผนภาพแทนคำอธิบายโดยลายลักษณ์อักษรอย่างละเอียด ซึ่งบางกรณีอาจเป็นเรื่องที่น่าเบื่อ ประกอบกับคำอธิบายสั้น ๆ ที่เกี่ยวข้องเพื่อให้ท่านเกิดความคิดและจิตนาการถึงผลกระทบของความไม่ถูกต้อง ความไม่น่าเชื่อถือได้ของข้อมูล ความไม่ทันกาลของข้อมูล ความไม่พร้อมในการเรียกมาใช้ในการบริหาร การจัดการ รวมทั้งการตรวจสอบจากฐานข้อมูลที่ไม่ update นั้น มีผลอย่างไรต่อรายงานที่ท่านได้รับเพื่อการตัดสินใจ มีผลอย่างไรต่อความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการรายงานประเภทต่าง ๆ รวมทั้งรายงานทางการเงิน และความเสี่ยงทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ

เรื่องนี้เข้าใจได้ไม่ยาก หากท่านจะนึกถึงเหตุการณ์ของกรณี บริษัท Emron และผลกระทบต่อ บริษัทที่ปรึกษาและบริษัทผู้สอบบัญชียักษ์ใหญ่ของโลก ซึ่งตอนนี้กลายเป็นอดีตเพื่อการศึกษาเท่านั้น นอกจากนี้ ปัญหาในปัจจุบันที่เกิดจากการบริหารการจัดการของสถาบันการเงิน และบริษัทอุตสาหกรรมยักษ์ใหญ่ของประเทศสหรัฐอเมริการจำนวนมากก็จะเกิดจากสารสนเทศที่ไม่ถูกต้อง โดยเฉพาะอย่างยิ่ง สารสนเทศที่เกี่ยวข้องกับการ Rating ฐานะของบริษัทที่ไม่เป็นความจริง พิสูจน์ได้จากบริษัท Rating ระดับ AAA+ ซึ่งส่วนใหญ่เป็นการ Rating จากข้อมูลในอดีต แต่เมื่อมีปัญหาความเสียหายเกิดขึ้นแล้ว ระดับ Rating ก็เปลี่ยนแปลงไปเป็น BBB- หรือเลวร้ายไปกว่านั้น…

ผมสรุปส่งท้ายในวันนี้เพียงเพื่อตอกย้ำความสำคัญของ Information ซึ่งเป็น Intangible ส่วนใหญ่ของบริษัท ที่คณะกรรมการและผู้บริหาร รวมทั้งผู้ตรวจสอบยังให้ความสนใจในระดับที่แตกต่างกันมาก และเป็นที่น่าห่วงใยยิ่ง อาจพิสูจน์ได้ในเรื่องนี้ก็คือ หากมีการหยิบยกเรื่อง IT เรื่อง ITG เรื่อง IT Security และเรื่องอื่น ๆ ที่เกี่ยวข้อง ผู้บริหารจำนวนไม่น้อยไม่ค่อยจะสนใจมากนัก หรือก็มอบหมายให้คนอื่นไปดำเนินการและไม่ได้ติดตามเท่าที่ควร กรณี ธนาคารโซซิเยเต้ เยนเนอรัล ธนาคารยักษ์ใหญ่อันดับ 2 ของฝรั่งเศษ ที่เสียหายจากการทุจริตประมาณ 340,000 ล้านบาท จากการกระทำของคนที่รู้ IT เพียงคนเดียวก็คงพอเข้าใจได้ถึงความสำคัญของข้อมูลและสารสนเทศที่เกี่ยวข้องกับการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบทางด้าน IT และ Non – IT นะครับ

ครั้งต่อไป ผมคงจะมีโอกาสแยกเรื่องการตรวจสอบที่เกี่ยวกับ IT Audit และ Non – IT Audit หลังจากที่ได้เกริ่นนำ และให้ความสำคัญอย่างยิ่งยวดต่อข้อมูลและสารสนเทศที่ได้จากการรายงานในรูปแบบต่าง ๆ และการทำความเข้าใจในธุรกิจที่ตนบริหารและต้องการตรวจสอบ

ท่านคิดว่า IT Governance และกระบวนการควบคุมตามหลักการของ COBIT นั้น มีความสัมพันธ์กับกรอบการบริหารความเสี่ยงตามแนวทางของ COSO-ERM ร้อยเปอร์เซ็นต์ไหม? ครับ ผมขออนุญาตเป็นการส่วนตัวที่จะกล่าวว่า ทั้ง 2 เรื่อง มีส่วนสัมพันธ์กันโดยตรง 100% ครับ

แล้วถ้าความเข้าใจดังกล่าวข้างต้นแตกต่างกัน จะมีผลอย่างไรต่อกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO-ERM ละครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเข้าใจของผู้บริหารและผู้ตรวจสอบที่เกี่ยวข้องกับความถูกต้องและความน่าเชื่อถือได้ของข้อมูล (Integrity of the Information for Auditor & AC)

มีนาคม 30, 2009

เมื่อวันสองวันก่อน ผมได้เขียนถึงความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ และข้อสังเกตเบื้องต้นไประดับหนึ่งแล้ว ขอพูดต่อในวันนี้นะครับว่า หลักการของ Corporate Governance (CG) ซึ่งแยกกันไม่ได้กับหลักการของ IT Governance (ITG) เพื่อขับเคลื่อนองค์ประกอบของการกำกับดูแลกิจการที่ดีในภาพรวมนั้น ไม่ค่อยได้มีการกล่าวถึงกันมากนักในอดีต

แต่ในปัจจุบัน การประมวลผลข้อมูลต่าง ๆ หลีกเลี่ยงไม่ได้ที่จะต้องใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงาน และการจัดการกับข้อมูลจำนวนมหาศาล และเพื่อให้มีการปฏิบัติตามระเบียบ กฎเกณฑ์ มาตรฐานต่าง ๆ ที่กำหนดโดยหน่วยงานกำกับภาครัฐ และตามมาตรฐานสากลนั้น ผู้บริหารและผู้ตรวจสอบจำเป็นอย่างยิ่งที่ควรจะเข้าใจกระบวนประมวลข้อมูลเพื่อให้ได้สารสนเทศ เพื่อการจัดการและการตรวจสอบจากระบบคอมพิวเตอร์ และควรจะเข้าใจต่อไปด้วยว่า กระบวนการควบคุมภายในตามฐานความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

กระทรวงพาณิชย์ คณะกรรมการตรวจเงินแผ่นดิน สภานักบัญชี ก็ได้มีกฎเกณฑ์และแนวทางในการกำหนดให้องค์กรที่ใช้คอมพิวเตอร์ (แม้จะมีคอมพิวเตอร์เพียงเครื่องเดียวก็ตาม) ต้องจัดให้มีผู้ตรวจสอบภายในที่มีศักยภาพในการตรวจสอบทางด้าน IT ที่เกี่ยวข้องกับการควบคุมทางด้าน General Control และ Application Cotrol รวมทั้งองค์ประกอบต่าง ๆ ของความสมบูรณ์ของข้อมูลและสารสนเทศ 7 ประการ (Information Criteria) ซึ่งผมใคร่ขออนุญาตที่จะกล่าวซ้ำก็คือ
1. Effectiveness
2. Efficiency
3. Confidentiality
4. Integrity
5. Availability
6. Reliability
7. Compliance

ซึ่งผู้บริหารจะต้องจัดให้มีกระบวนการตรวจสอบในเรื่องของความเชื่อถือได้ของข้อมูล รวมถึงประสิทธิผล ประสิทธิภาพของข้อมูลในการที่จะนำมาบริหารการตรวจสอบต่อไป ดังนั้น ความเข้าใจในภาพโดยรวมของที่มาของข้อมูลและสารสนเทศ เพื่อการบริหารและการตรวจสอบ จึงจำเป็นที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจอย่างลึกซึ้ง ผมขอแสดงภาพที่มาจาก ISACA ซึ่งเป็นแผนภาพที่อธิบายได้ชัดเจน ดังนี้

Integrity of the Information & Audit Process, IT & Non - IT

Integrity of the Information & Audit Process, IT & Non - IT

ผมขอสรุปเรื่องความสำคัญของข้อมูลและสารสนเทศเพื่อการตรวจสอบ ดังนี้นะครับ
1. สารสนเทศที่มีคุณลักษณะที่ดีตามหลักการของ IT Governance ทั้ง 7 องค์ประกอบตามที่กล่าวข้างต้น จะมีประโยชน์ในมุมมองที่เกี่ยวข้องกับ Intangible Assets ซึ่งก็ได้แก่สินทรัพย์ที่ไม่มีตัวตน ส่วนใหญ่ก็ได้แก่ สารสนเทศนั่นเอง จากการสำรวจของสถาบันที่มีชื่อเสียง เมื่อประมาณ ปี 1999 พบว่า สินทรัพย์ที่มีคุณค่าที่สุดในทุกบริษัทที่มีความเข้าใจถึงผลกระทบของความเสี่ยงที่มีผลต่อความน่าเชื่อถือ (Trust) ที่เกิดจาก Value ขององค์กร ซึ่งก็คือ Intangible Assets สามารถสร้างคุณค่าเพิ่มและสร้างความโปร่งใส รวมทั้งสร้างกระบวนการที่สามารถวางระบบการควบคุมภายในที่โดยรวม ๆ แล้วเป็นหลักประกัน (Assurance) ให้เกิดความน่าเชื่อถือต่อการกำกับดูแลกิจการที่ดี สิ่งนั้นก็คือ ข้อมูลและสารสนเทศที่น่าเชื่อถือได้ (Integrity of the Information)

2. กลไกหรือกระบวนการกำกับดูแลกิจการที่ดีทางด้านการควบคุมภายในของทุกองค์กร ที่ต้องการให้เกิดความน่าเชื่อถือได้ของสารสนเทศก็คือ การใช้ Best Practice ในเรื่อง IT Governance ที่นำกรอบของการควบคุมกระบวนการ (Management Processes) ที่ดีมาใช้ในการสร้างความน่าเชื่อถือได้ของสารสนเทศ ซึ่งหากองค์กรใดทำได้จริงและเป็นรูปธรรมก็สามารถจะลด Audit Risk ลงได้ในระดับที่น่าพึงพอใจมาก

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

3. ภาครัฐของทุกประเทศจึงต้องกำหนดให้มีการตรวจสอบภาคบังคับที่เกี่ยวข้องกับการรับรองงบการเงิน และแน่นอนว่าผู้ตรวจสอบต้องสอบทานความน่าเชื่อถือได้ของข้อมูลเป็นเบื้องต้น และจะต้องสอบทานจุดอ่อนของกระบวนการควบคุมภายใน โดยเฉพาะอย่างยิ่ง จุดอ่อนที่เกิดจากการควบคุมทางด้าน IS หรือ IT Security ที่อาจเกิดจากการบริหารและการจัดการที่อ่อนแอ โดยฝ่ายบริหารจัดให้มีระบบการควบคุมภายในที่ไม่เพียงพอ โดยเฉพาะอย่างยิ่ง การควบคุมระบบที่ได้ข้อมูลมาจากการประมวลผลทางด้านคอมพิวเตอร์ ซึ่งทำให้สารสนเทศไม่โปร่งใส ไม่น่าเชื่อถือ ผู้ลงทุนตัดสินใจจากฐานข้อมูลที่ผิดพลาด รวมทั้งการทุจริตที่อาจจะเกิดขึ้นได้จากกระบวนการควบคุมภายในที่อ่อนแอนั้น ซึ่งมีตัวอย่างมากมายทั้งในอดีตและปัจจุบัน

4. ข่าวดีหรือข่าวร้ายขึ้นกับมุมมองของผู้ที่เกี่ยวข้องก็คือ กระบวนการควบคุมภายในภายใต้หลักการของ COBIT ภายใต้ร่มใหญ่ของ IT Governance นั้น จะต้องถูกประมวลและต้องพิจารณาเป็นกระบวนการหนึ่งของการตรวจสอบ ที่จะมีผลต่อรายงานทางการเงินและรายงานประเภทต่าง ๆ ที่เกิดจากการประมวลผลทางด้าน IT

ผมใคร่ขอยกตัวอย่างความสัมพันธ์และการเชื่อมโยงระหว่างการควบคุมงานทางด้าน IT กับการบริหารความเสี่ยงในระดับองค์กรของ COSO บางประการ เฉพาะองค์ประกอบหลักเรื่องแรกคือ การวางแผนการจัดองค์กร และการกำหนดทิศทางของเทคโนโลยีสารสนเทศ แสดงเป็นแผนภาพดังนี้

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

ท่านคณะกรรมการ ท่านผู้บริหาร และผู้ตรวจสอบที่มีโอกาสได้เห็นแผนภาพแทนคำอธิบายโดยลายลักษณ์อักษรอย่างละเอียด ซึ่งบางกรณีอาจเป็นเรื่องที่น่าเบื่อ ประกอบกับคำอธิบายสั้น ๆ ที่เกี่ยวข้องเพื่อให้ท่านเกิดความคิดและจิตนาการถึงผลกระทบของความไม่ถูกต้อง ความไม่น่าเชื่อถือได้ของข้อมูล ความไม่ทันกาลของข้อมูล ความไม่พร้อมในการเรียกมาใช้ในการบริหาร การจัดการ รวมทั้งการตรวจสอบจากฐานข้อมูลที่ไม่ update นั้น มีผลอย่างไรต่อรายงานที่ท่านได้รับเพื่อการตัดสินใจ มีผลอย่างไรต่อความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการรายงานประเภทต่าง ๆ รวมทั้งรายงานทางการเงิน และความเสี่ยงทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ

เรื่องนี้เข้าใจได้ไม่ยาก หากท่านจะนึกถึงเหตุการณ์ของกรณี บริษัท Emron และผลกระทบต่อ บริษัทที่ปรึกษาและบริษัทผู้สอบบัญชียักษ์ใหญ่ของโลก ซึ่งตอนนี้กลายเป็นอดีตเพื่อการศึกษาเท่านั้น นอกจากนี้ ปัญหาในปัจจุบันที่เกิดจากการบริหารการจัดการของสถาบันการเงิน และบริษัทอุตสาหกรรมยักษ์ใหญ่ของประเทศสหรัฐอเมริการจำนวนมากก็จะเกิดจากสารสนเทศที่ไม่ถูกต้อง โดยเฉพาะอย่างยิ่ง สารสนเทศที่เกี่ยวข้องกับการ Rating ฐานะของบริษัทที่ไม่เป็นความจริง พิสูจน์ได้จากบริษัท Rating ระดับ AAA+ ซึ่งส่วนใหญ่เป็นการ Rating จากข้อมูลในอดีต แต่เมื่อมีปัญหาความเสียหายเกิดขึ้นแล้ว ระดับ Rating ก็เปลี่ยนแปลงไปเป็น BBB- หรือเลวร้ายไปกว่านั้น…

ผมสรุปส่งท้ายในวันนี้เพียงเพื่อตอกย้ำความสำคัญของ Information ซึ่งเป็น Intangible ส่วนใหญ่ของบริษัท ที่คณะกรรมการและผู้บริหาร รวมทั้งผู้ตรวจสอบยังให้ความสนใจในระดับที่แตกต่างกันมาก และเป็นที่น่าห่วงใยยิ่ง อาจพิสูจน์ได้ในเรื่องนี้ก็คือ หากมีการหยิบยกเรื่อง IT เรื่อง ITG เรื่อง IT Security และเรื่องอื่น ๆ ที่เกี่ยวข้อง ผู้บริหารจำนวนไม่น้อยไม่ค่อยจะสนใจมากนัก หรือก็มอบหมายให้คนอื่นไปดำเนินการและไม่ได้ติดตามเท่าที่ควร กรณี ธนาคารโซซิเยเต้ เยนเนอรัล ธนาคารยักษ์ใหญ่อันดับ 2 ของฝรั่งเศษ ที่เสียหายจากการทุจริตประมาณ 340,000 ล้านบาท จากการกระทำของคนที่รู้ IT เพียงคนเดียวก็คงพอเข้าใจได้ถึงความสำคัญของข้อมูลและสารสนเทศที่เกี่ยวข้องกับการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบทางด้าน IT และ Non – IT นะครับ

ครั้งต่อไป ผมคงจะมีโอกาสแยกเรื่องการตรวจสอบที่เกี่ยวกับ IT Audit และ Non – IT Audit หลังจากที่ได้เกริ่นนำ และให้ความสำคัญอย่างยิ่งยวดต่อข้อมูลและสารสนเทศที่ได้จากการรายงานในรูปแบบต่าง ๆ และการทำความเข้าใจในธุรกิจที่ตนบริหารและต้องการตรวจสอบ

ท่านคิดว่า IT Governance และกระบวนการควบคุมตามหลักการของ COBIT นั้น มีความสัมพันธ์กับกรอบการบริหารความเสี่ยงตามแนวทางของ COSO-ERM ร้อยเปอร์เซ็นต์ไหม? ครับ ผมขออนุญาตเป็นการส่วนตัวที่จะกล่าวว่า ทั้ง 2 เรื่อง มีส่วนสัมพันธ์กันโดยตรง 100% ครับ

แล้วถ้าความเข้าใจดังกล่าวข้างต้นแตกต่างกัน จะมีผลอย่างไรต่อกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO-ERM ละครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ

มีนาคม 28, 2009

ความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ (Audit Process and Reliability of Information, IT and Non – IT)

ครั้งก่อน ท่านผู้อ่านคงได้ใช้ดุลยพินิจในการวิเคราะห์ผลกระทบของข้อมูลและสารสนเทศ ที่ใช้ในการบริหารและการตรวจสอบ ตามแผนภาพที่ผมยังไม่ได้อธิบายหรือเล่าสู่กันฟังถึงแนวคิดจากแผนภาพดังกล่าว เพื่อสร้างรูปแบบและกระบวนการตรวจสอบตามฐานความเสี่ยง ทั้งทางด้าน IT Audit และ Non – IT Audit ประเภทต่าง ๆ

จากแผนภาพครั้งที่แล้ว ท่านผู้บริหารและผู้ตรวจสอบจะเข้าใจได้ชัดเจนว่า ข้อมูลและสารสนเทศต่าง ๆ ที่ท่านนำมาใช้ในกระบวนการตัดสินใจ เพื่อขับเคลื่อนเป้าประสงค์ในระดับองค์กร ในระดับสายงาน และในระดับหน่วยงานย่อยนั้น กล่าวได้ว่า ข้อมูลได้รับการประมวลผลโดยผ่านกระบวนการและกลไกทางด้านคอมพิวเตอร์ทั้งสิ้น

โปรดดูแผนภาพครั้งที่แล้วอีกครั้ง ท่านจะได้เห็นภาพความสำคัญของ Black Box ทางด้าน Hardware และอุปกรณ์ประเภทต่าง ๆ รวมทั้ง Software ที่เกี่ยวข้อง ซึ่งแน่นอนว่า กลไกในการควบคุมความเสี่ยงที่ใช้อุปกรณ์คอมพิวเตอร์นั้น จำเป็นต้องอาศัยความรู้ ทักษะ ประสบการณ์ในการบริหารศูนย์คอมพิวเตอร์ และการประมวลผลที่เกี่ยวข้องเป็นอย่างมาก

เรื่องนี้ ผมได้เขียนและอธิบายไว้มากแล้วในหนังสือเรื่องการบริหารและการตรวจสอบสถาบันการเงิน-องค์กรที่ใช้คอมพิวเตอร์ ซึ่งมีรายละเอียดค่อนข้างมากที่ไม่ขอซ้ำในที่นี้

ความเสี่ยงจากการบริหารในกระบวนการประมวลข้อมูลนั้น ต้องการการควบคุมในระดับต่าง ๆ ที่เรียกกันทั่วไปว่า General Control จะเกี่ยวข้องสัมพันธ์อย่างใกล้ชิดกับระบบงานหลัก ๆ และระบบงานที่เกี่ยวข้องสัมพันธ์กันที่เรียกว่า Application ซึ่งก็คือระบบงานต่าง ๆ ขององค์กรนั่นเอง ในเรื่องนี้ก็ต้องการกลไกและกระบวนการควบคุม รวมทั้งการตรวจสอบทางด้าน IT Application (IT Audit) ที่เกี่ยวข้องกับการตรวจสอบ Input – Process – Output ตามรูปภาพที่ผมเคยนำเสนอก่อนหน้านี้ ก่อนที่จะผ่านกลไกของ Business Process ต่าง ๆ ที่ต้องการการควบคุมในลักษณะ Business Control ที่มีรายละเอียดมากมายก่อนจะได้เป็น Output ในรูปแบบของรายงานลักษณะต่าง ๆ ที่ผู้บริหารต้องใช้ในการดำเนินการ สั่งการ รวมทั้งผู้ตรวจสอบจำนวนไม่น้อยก็ได้ใช้รายงานดังกล่าวเป็นฐานข้อมูลสำคัญในการตรวจสอบด้านทั่วไป

การทำความเข้าใจกับโครงสร้างและ Business Process เพื่อก้าวสู่ Business Objective ขององค์กร

การทำความเข้าใจกับโครงสร้างและ Business Process เพื่อก้าวสู่ Business Objective ขององค์กร

ตามที่ผมกล่าวข้างต้น คงไม่มีอะไรแปลกนะครับ เพราะเป็นลักษณะของการตรวจสอบโดยทั่วไปที่ปฏิบัติกันอยู่ทั้งทางด้าน IT Audit และด้านการตรวจสอบโดยทั่วไป แต่สิ่งที่ผมอยากจะกล่าวในวันนี้ก็คือ มีผู้บริหารและผู้ตรวจสอบจำนวนไม่น้อย หลาย ๆ องค์กร คำนึงถึงผลกระทบของระบบคอมพิวเตอร์ที่มีผลต่อความน่าเชือถือได้ของข้อมูลทางการเงินค่อนข้างจำกัดมาก เพราะส่วนใหญ่ได้ตั้งสมมุติฐานว่าข้อมูลที่ได้ประมวลผลจากคอมพิวเตอร์นั้นถูกต้อง น่าเชื่อถือได้ ทันกาล ทันเวลา ทั้ง ๆ ที่ความเป็นจริงข้อมูลและสารสนเทศดังกล่าวมีจุดอ่อนมากมาย ที่ผู้ตรวจสอบโดยทั่วไปไม่ควรจะวางใจในความน่าเชื่อถือได้ของข้อมูลที่ใช้ในการตรวจสอบ จนกว่าจะมีการพิสูจน์ชัดเจน หรือมีความร่วมมือกันอย่างดียิ่ง ระหว่างผู้ตรวจสอบทางด้าน IT Audit ที่มีเป้าประสงค์ในการตรวจสอบที่แตกต่างกันไปกับผู้ตรวจสอบโดยทั่วไปมาก

ที่ผมกล่าวย่อ ๆ ข้างต้น เป็นปัญหาสำคัญยิ่งที่ผู้บริหารในหลายองค์กรยังให้ความสนใจได้ไม่ดีเท่าที่ควร ทั้งนี้อาจจะเกิดจากปัญจัยและองค์ประกอบหลายประการที่ผมจะนำเสนอในโอกาสต่อไป

ครั้งนี้ การเล่าสู่กันฟังในวันนี้ ผมก็จะจบลงด้วยแผนภาพของความสำคัญของข้อมูลและสารสนเทศที่ได้จากการประมวลผลด้วยระบบ IT ที่ควรจะมีการบริหาร จัดการ ให้มีการควบคุมและตรวจสอบความเสี่ยงทางด้าน IT Risk ที่มีผลต่อ Process Risk และในที่สุดมีผลต่อ Business Risk ในมุมมองต่าง ๆ ต่อไป

ทั้งนี้ จากแผนภาพด้านล่าง อะไรจะเกิดขึ้น? หาก Report ประเภทต่าง ๆ ที่ได้จากการประมวลผลทางด้านคอมพิวเตอร์ ไม่น่าเชื่อถือได้ หรือถูกบิดเบือน ผู้บริหารและผู้ตรวจสอบจะใช้รายงานในการสั่งการ และจะนำข้อมูลที่ได้จากการประมวลผลมาใช้ในการวางแผนกระบวนการตรวจสอบได้อย่างไร?

อะไรจะเกิดขึ้น? ถ้าผู้รักษา Super Password และ/หรือ Administrator / ผู้ดูแลระบบ สามารถเข้าถึงข้อมูลลับระดับสูงสุดขององค์กรได้ และสามารถเปลี่ยนแปลงข้อมูลในฐานข้อมูล เช่น โอนลูกหนี้ที่มีปัญหาไปเข้าบัญชีพัก หรือเปลี่ยนแปลงลูกหนี้หรือสถานะหนี้ รวมทั้งองค์ประกอบของโครงสร้างหนี้ต่าง ๆ เพื่อที่จะบิดเบือนการตั้งสำรองหนี้สูญหรือเพื่อการทุจริต

และตามตัวอย่างข้างต้น อะไรจะเกิดขึ้น? ถ้าหากมีการโอนบัญชีพักและบัญชีที่เกี่ยวข้องออกจากสารบบบัญชีขององค์กร ซึ่งอาจดำเนินควบคู่กันไปกับกระบวนการอำนวยการให้สินเชื่อและหลักฐานต่าง ๆ ที่เกี่ยวข้อง ผู้บริหารและผู้ตรวจสอบจะมีแนวการตรวจสอบเช่นไร?

ในกรณีที่มีการจ้างบุคคลภายนอกมาให้บริการด้านต่าง ๆ ให้กับองค์กร และบุคคลภายนอกนั้นมีสิทธิ์ที่จะใช้ Password นั้นนอกสถานที่ทั้ง ๆ ที่บริการนั้นเสร็จสิ้นไปนานแล้ว แต่บุคคลดังกล่าวก็ยังสามารถเข้าถึงข้อมูลขององค์กรได้ และ

อะไรจะเกิดขึ้น? ถ้าหากมีการมอบหมายอำนาจที่มีหลายระดับ หลายขั้นตอนเพื่อการควบคุมภายในขององค์กรแต่มีการเปลี่ยนแปลงบุคคลผู้ได้รับมอบอำนาจ รวมทั้งระดับอำนาจที่ได้รับมอบหมาย แต่ไม่มีกระบวนการบริหารจัดการภายในที่ดี อะไรจะเกิดขึ้นกับข้อมูลและฐานข้อมูล และกระบวนการบริหารในทุกระดับที่เกี่ยวข้อง

องค์กรมีเครื่องมือและมีบุคคลากรที่มีความรู้เพียงพอกับความก้าวหน้า และศักยภาพที่เปลี่ยนแปลงไปอย่างรวดเร็วของระบบเทคโนโลยีสารสนเทศเพียงใด ทั้งในทางด้านเทคนิค ด้านการบริหาร ด้านการควบคุมภายใน ด้านการตรวจสอบ

องค์กรมั่นใจอย่างไรว่า องค์กรมีระดับการควบคุมเทคโนโลยีสารสนเทศที่น่าเชื่อถือได้ ในแต่ละลักษณะขององค์ประกอบของสารสนเทศที่ดี ทั้ง 7 ประการ ตามหลักของ COBIT ภายใต้การปฏิบัติที่เป็น Best Practice ของ IT Governance และ

กรณีบทเรียนจากการทุจริต 340,000 ล้านบาทที่เกิดจาก IT Risk ของธนาคารโซซิเอเต้ เจเนอราล (Soc Gen – Societe Generale) ฝรั่งเศส เมื่อเดือนมกราคม 2551 เกิดจากบุคคลากรที่มีความรู้ทางด้าน IT เพียงคนเดียวของธนาคาร ประกอบกับผู้บริหารและคณะกรรมการต่าง ๆ ของธนาคารไม่อาจติดตาม หรือรู้เท่าทันผลกระทบของคอมพิวเตอร์จากการกระทำของบุคคล ๆ เดียวนี้ได้

Lesson Learned

Lesson Learned

ทั้งนี้ จากการวิเคราะห์ความเสี่ยงในภายหลังทราบว่า ต้นเหตุของความเสี่ยงที่แท้จริง เกิดจากวัฒนธรรมขององค์กร ศักยภาพและระดับความรู้ของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลัก COSO – Enterprise Risk Management ซึ่งมีรายละเอียดต่าง ๆ มากมาย

แปลกแต่จริงยิ่งกว่าก็คือ บทเรียนแสนแพงที่ดีกรณีนี้ ซึ่งเรียกว่า Lesson Learned มีสถาบันการเงินในประเทศไทยน้อยมากที่นำบทเรียนแสนแพงนี้มาทำการประเมินตนเองเพื่อการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง เพื่อการปรับปรุง ป้องกันปัญหาที่อาจจะเกิดขึ้นทำนองเดียวกันกับธนาคาร Societe Generale นี้ได้

ผมขอสรุปก่อนที่จะยาวเกินไปกว่านี้ ก็คือ บทเรียนในครั้งนี้เกิดจาก Operational Risk ซึ่งเกิดจาด Peple Process และเทคโนโลยี เป็นสำคัญ

เราคุยกันมาถึงช่วงนี้แล้ว ท่านคิดว่าท่านได้อะไรบ้างครับ เกี่ยวกับกระบวนการบริหาร การจัดการ การควบคุมภายใน และกระบวนการตรวจสอบตามฐานความเสี่ยงขององค์กรที่ใช้คอมพิวเตอร์ที่จะเกี่ยวข้องกับการตรวจสอบ IT Audit และ Non – IT ในส่วนที่เกี่ยวข้อง

ผมเล่ามายาวนานถึงแค่นี้แล้วก็ยังแยกไม่ได้เลยนะครับว่า กระบวนการตรวจสอบทางด้าน IT Audit กับกระบวนการตรวจสอบทางด้าน Non – IT Audit ควรจะมีความแตกต่างกันในขั้นตอนใด เดี๋ยวไปคุยในครั้งต่อไปนะครับ

ความต้องการสารสนเทศที่มีคุณภาพกับการบรรลุเป้าหมายขององค์กร เพื่อการควบคุมภายในและกระบวนการตรวจสอบทางด้าน IT และ Non - IT

ความต้องการสารสนเทศที่มีคุณภาพกับการบรรลุเป้าหมายขององค์กร เพื่อการควบคุมภายในและกระบวนการตรวจสอบทางด้าน IT และ Non - IT

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ

มีนาคม 28, 2009

ความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ (Audit Process and Reliability of Information, IT and Non – IT)

ครั้งก่อน ท่านผู้อ่านคงได้ใช้ดุลยพินิจในการวิเคราะห์ผลกระทบของข้อมูลและสารสนเทศ ที่ใช้ในการบริหารและการตรวจสอบ ตามแผนภาพที่ผมยังไม่ได้อธิบายหรือเล่าสู่กันฟังถึงแนวคิดจากแผนภาพดังกล่าว เพื่อสร้างรูปแบบและกระบวนการตรวจสอบตามฐานความเสี่ยง ทั้งทางด้าน IT Audit และ Non – IT Audit ประเภทต่าง ๆ

จากแผนภาพครั้งที่แล้ว ท่านผู้บริหารและผู้ตรวจสอบจะเข้าใจได้ชัดเจนว่า ข้อมูลและสารสนเทศต่าง ๆ ที่ท่านนำมาใช้ในกระบวนการตัดสินใจ เพื่อขับเคลื่อนเป้าประสงค์ในระดับองค์กร ในระดับสายงาน และในระดับหน่วยงานย่อยนั้น กล่าวได้ว่า ข้อมูลได้รับการประมวลผลโดยผ่านกระบวนการและกลไกทางด้านคอมพิวเตอร์ทั้งสิ้น

โปรดดูแผนภาพครั้งที่แล้วอีกครั้ง ท่านจะได้เห็นภาพความสำคัญของ Black Box ทางด้าน Hardware และอุปกรณ์ประเภทต่าง ๆ รวมทั้ง Software ที่เกี่ยวข้อง ซึ่งแน่นอนว่า กลไกในการควบคุมความเสี่ยงที่ใช้อุปกรณ์คอมพิวเตอร์นั้น จำเป็นต้องอาศัยความรู้ ทักษะ ประสบการณ์ในการบริหารศูนย์คอมพิวเตอร์ และการประมวลผลที่เกี่ยวข้องเป็นอย่างมาก

เรื่องนี้ ผมได้เขียนและอธิบายไว้มากแล้วในหนังสือเรื่องการบริหารและการตรวจสอบสถาบันการเงิน-องค์กรที่ใช้คอมพิวเตอร์ ซึ่งมีรายละเอียดค่อนข้างมากที่ไม่ขอซ้ำในที่นี้

ความเสี่ยงจากการบริหารในกระบวนการประมวลข้อมูลนั้น ต้องการการควบคุมในระดับต่าง ๆ ที่เรียกกันทั่วไปว่า General Control จะเกี่ยวข้องสัมพันธ์อย่างใกล้ชิดกับระบบงานหลัก ๆ และระบบงานที่เกี่ยวข้องสัมพันธ์กันที่เรียกว่า Application ซึ่งก็คือระบบงานต่าง ๆ ขององค์กรนั่นเอง ในเรื่องนี้ก็ต้องการกลไกและกระบวนการควบคุม รวมทั้งการตรวจสอบทางด้าน IT Application (IT Audit) ที่เกี่ยวข้องกับการตรวจสอบ Input – Process – Output ตามรูปภาพที่ผมเคยนำเสนอก่อนหน้านี้ ก่อนที่จะผ่านกลไกของ Business Process ต่าง ๆ ที่ต้องการการควบคุมในลักษณะ Business Control ที่มีรายละเอียดมากมายก่อนจะได้เป็น Output ในรูปแบบของรายงานลักษณะต่าง ๆ ที่ผู้บริหารต้องใช้ในการดำเนินการ สั่งการ รวมทั้งผู้ตรวจสอบจำนวนไม่น้อยก็ได้ใช้รายงานดังกล่าวเป็นฐานข้อมูลสำคัญในการตรวจสอบด้านทั่วไป

การทำความเข้าใจกับโครงสร้างและ Business Process เพื่อก้าวสู่ Business Objective ขององค์กร

การทำความเข้าใจกับโครงสร้างและ Business Process เพื่อก้าวสู่ Business Objective ขององค์กร

ตามที่ผมกล่าวข้างต้น คงไม่มีอะไรแปลกนะครับ เพราะเป็นลักษณะของการตรวจสอบโดยทั่วไปที่ปฏิบัติกันอยู่ทั้งทางด้าน IT Audit และด้านการตรวจสอบโดยทั่วไป แต่สิ่งที่ผมอยากจะกล่าวในวันนี้ก็คือ มีผู้บริหารและผู้ตรวจสอบจำนวนไม่น้อย หลาย ๆ องค์กร คำนึงถึงผลกระทบของระบบคอมพิวเตอร์ที่มีผลต่อความน่าเชือถือได้ของข้อมูลทางการเงินค่อนข้างจำกัดมาก เพราะส่วนใหญ่ได้ตั้งสมมุติฐานว่าข้อมูลที่ได้ประมวลผลจากคอมพิวเตอร์นั้นถูกต้อง น่าเชื่อถือได้ ทันกาล ทันเวลา ทั้ง ๆ ที่ความเป็นจริงข้อมูลและสารสนเทศดังกล่าวมีจุดอ่อนมากมาย ที่ผู้ตรวจสอบโดยทั่วไปไม่ควรจะวางใจในความน่าเชื่อถือได้ของข้อมูลที่ใช้ในการตรวจสอบ จนกว่าจะมีการพิสูจน์ชัดเจน หรือมีความร่วมมือกันอย่างดียิ่ง ระหว่างผู้ตรวจสอบทางด้าน IT Audit ที่มีเป้าประสงค์ในการตรวจสอบที่แตกต่างกันไปกับผู้ตรวจสอบโดยทั่วไปมาก

ที่ผมกล่าวย่อ ๆ ข้างต้น เป็นปัญหาสำคัญยิ่งที่ผู้บริหารในหลายองค์กรยังให้ความสนใจได้ไม่ดีเท่าที่ควร ทั้งนี้อาจจะเกิดจากปัญจัยและองค์ประกอบหลายประการที่ผมจะนำเสนอในโอกาสต่อไป

ครั้งนี้ การเล่าสู่กันฟังในวันนี้ ผมก็จะจบลงด้วยแผนภาพของความสำคัญของข้อมูลและสารสนเทศที่ได้จากการประมวลผลด้วยระบบ IT ที่ควรจะมีการบริหาร จัดการ ให้มีการควบคุมและตรวจสอบความเสี่ยงทางด้าน IT Risk ที่มีผลต่อ Process Risk และในที่สุดมีผลต่อ Business Risk ในมุมมองต่าง ๆ ต่อไป

ทั้งนี้ จากแผนภาพด้านล่าง อะไรจะเกิดขึ้น? หาก Report ประเภทต่าง ๆ ที่ได้จากการประมวลผลทางด้านคอมพิวเตอร์ ไม่น่าเชื่อถือได้ หรือถูกบิดเบือน ผู้บริหารและผู้ตรวจสอบจะใช้รายงานในการสั่งการ และจะนำข้อมูลที่ได้จากการประมวลผลมาใช้ในการวางแผนกระบวนการตรวจสอบได้อย่างไร?

อะไรจะเกิดขึ้น? ถ้าผู้รักษา Super Password และ/หรือ Administrator / ผู้ดูแลระบบ สามารถเข้าถึงข้อมูลลับระดับสูงสุดขององค์กรได้ และสามารถเปลี่ยนแปลงข้อมูลในฐานข้อมูล เช่น โอนลูกหนี้ที่มีปัญหาไปเข้าบัญชีพัก หรือเปลี่ยนแปลงลูกหนี้หรือสถานะหนี้ รวมทั้งองค์ประกอบของโครงสร้างหนี้ต่าง ๆ เพื่อที่จะบิดเบือนการตั้งสำรองหนี้สูญหรือเพื่อการทุจริต

และตามตัวอย่างข้างต้น อะไรจะเกิดขึ้น? ถ้าหากมีการโอนบัญชีพักและบัญชีที่เกี่ยวข้องออกจากสารบบบัญชีขององค์กร ซึ่งอาจดำเนินควบคู่กันไปกับกระบวนการอำนวยการให้สินเชื่อและหลักฐานต่าง ๆ ที่เกี่ยวข้อง ผู้บริหารและผู้ตรวจสอบจะมีแนวการตรวจสอบเช่นไร?

ในกรณีที่มีการจ้างบุคคลภายนอกมาให้บริการด้านต่าง ๆ ให้กับองค์กร และบุคคลภายนอกนั้นมีสิทธิ์ที่จะใช้ Password นั้นนอกสถานที่ทั้ง ๆ ที่บริการนั้นเสร็จสิ้นไปนานแล้ว แต่บุคคลดังกล่าวก็ยังสามารถเข้าถึงข้อมูลขององค์กรได้ และ

อะไรจะเกิดขึ้น? ถ้าหากมีการมอบหมายอำนาจที่มีหลายระดับ หลายขั้นตอนเพื่อการควบคุมภายในขององค์กรแต่มีการเปลี่ยนแปลงบุคคลผู้ได้รับมอบอำนาจ รวมทั้งระดับอำนาจที่ได้รับมอบหมาย แต่ไม่มีกระบวนการบริหารจัดการภายในที่ดี อะไรจะเกิดขึ้นกับข้อมูลและฐานข้อมูล และกระบวนการบริหารในทุกระดับที่เกี่ยวข้อง

องค์กรมีเครื่องมือและมีบุคคลากรที่มีความรู้เพียงพอกับความก้าวหน้า และศักยภาพที่เปลี่ยนแปลงไปอย่างรวดเร็วของระบบเทคโนโลยีสารสนเทศเพียงใด ทั้งในทางด้านเทคนิค ด้านการบริหาร ด้านการควบคุมภายใน ด้านการตรวจสอบ

องค์กรมั่นใจอย่างไรว่า องค์กรมีระดับการควบคุมเทคโนโลยีสารสนเทศที่น่าเชื่อถือได้ ในแต่ละลักษณะขององค์ประกอบของสารสนเทศที่ดี ทั้ง 7 ประการ ตามหลักของ COBIT ภายใต้การปฏิบัติที่เป็น Best Practice ของ IT Governance และ

กรณีบทเรียนจากการทุจริต 340,000 ล้านบาทที่เกิดจาก IT Risk ของธนาคารโซซิเอเต้ เจเนอราล (Soc Gen – Societe Generale) ฝรั่งเศส เมื่อเดือนมกราคม 2551 เกิดจากบุคคลากรที่มีความรู้ทางด้าน IT เพียงคนเดียวของธนาคาร ประกอบกับผู้บริหารและคณะกรรมการต่าง ๆ ของธนาคารไม่อาจติดตาม หรือรู้เท่าทันผลกระทบของคอมพิวเตอร์จากการกระทำของบุคคล ๆ เดียวนี้ได้

Lesson Learned

Lesson Learned

ทั้งนี้ จากการวิเคราะห์ความเสี่ยงในภายหลังทราบว่า ต้นเหตุของความเสี่ยงที่แท้จริง เกิดจากวัฒนธรรมขององค์กร ศักยภาพและระดับความรู้ของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลัก COSO – Enterprise Risk Management ซึ่งมีรายละเอียดต่าง ๆ มากมาย

แปลกแต่จริงยิ่งกว่าก็คือ บทเรียนแสนแพงที่ดีกรณีนี้ ซึ่งเรียกว่า Lesson Learned มีสถาบันการเงินในประเทศไทยน้อยมากที่นำบทเรียนแสนแพงนี้มาทำการประเมินตนเองเพื่อการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง เพื่อการปรับปรุง ป้องกันปัญหาที่อาจจะเกิดขึ้นทำนองเดียวกันกับธนาคาร Societe Generale นี้ได้

ผมขอสรุปก่อนที่จะยาวเกินไปกว่านี้ ก็คือ บทเรียนในครั้งนี้เกิดจาก Operational Risk ซึ่งเกิดจาด Peple Process และเทคโนโลยี เป็นสำคัญ

เราคุยกันมาถึงช่วงนี้แล้ว ท่านคิดว่าท่านได้อะไรบ้างครับ เกี่ยวกับกระบวนการบริหาร การจัดการ การควบคุมภายใน และกระบวนการตรวจสอบตามฐานความเสี่ยงขององค์กรที่ใช้คอมพิวเตอร์ที่จะเกี่ยวข้องกับการตรวจสอบ IT Audit และ Non – IT ในส่วนที่เกี่ยวข้อง

ผมเล่ามายาวนานถึงแค่นี้แล้วก็ยังแยกไม่ได้เลยนะครับว่า กระบวนการตรวจสอบทางด้าน IT Audit กับกระบวนการตรวจสอบทางด้าน Non – IT Audit ควรจะมีความแตกต่างกันในขั้นตอนใด เดี๋ยวไปคุยในครั้งต่อไปนะครับ

ความต้องการสารสนเทศที่มีคุณภาพกับการบรรลุเป้าหมายขององค์กร เพื่อการควบคุมภายในและกระบวนการตรวจสอบทางด้าน IT และ Non - IT

ความต้องการสารสนเทศที่มีคุณภาพกับการบรรลุเป้าหมายขององค์กร เพื่อการควบคุมภายในและกระบวนการตรวจสอบทางด้าน IT และ Non - IT

1 ความเห็น | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

สภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ

มีนาคม 25, 2009

…Environmental Control & it Impacts to Audit…
ผมได้เล่าสู่กันฟังเกี่ยวกับการตรวจสอบและผลกระทบของคอมพิวเตอร์ต่อกระบวนการตรวจสอบโดยรวม ไม่ว่าจะเป็นการตรวจสอบในรูปแบบใด ผลกระทบของเทคโนโลยีสารสนเทศจะมีผลสำคัญอย่างยิ่งต่อการวางแผนการตรวจสอบทุกประเภท ไม่ว่าจะเป็นการตรวจสอบด้าน IT Audit หรือเป็นการตรวจสอบโดยทั่ว ๆ ไป

ดังนั้น ในช่วงแรก ๆ นี้ IT Audit และการตรวจสอบด้านทั่วไปยังเป็นอยู่บนพื้นฐานที่ให้แง่คิดและแนวปฏิบัติที่เป็นแบบเดียวกันอยู่ แต่ในระยะต่อ ๆ ไป ผมจะแยกการตรวจสอบทั้ง 2 ประเภทนี้ และความสัมพันธ์ของการตรวจสอบดังกล่าวให้ท่านผู้ที่สนใจได้ทราบมุมมองและผลกระทบที่ไม่อาจหลีกเลี่ยงได้จากความรู้ความเข้าใจในเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องกับกระบวนการบริหารและกระบวนการตรวจสอบโดยรวม

วันนี้ ผมจึงจะพูดถึงสภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ โดยจะอธิบายด้วยแผนภาพและคำอธิบายสั้น ๆ ที่เกี่ยวข้อง เพื่อสะท้อนถึงแง่คิดก่อนที่จะก้าวไปสู่กระบวนการตรวจสอบ ซึ่งต้องเริ่มจากการวางแผนการตรวจสอบเป็นเบื้องต้นต่อไป

ก่อนอื่น ผู้ตรวจสอบควรเข้าใจในเบื้องต้นว่า งานหลัก ๆ ขององค์กรที่มีระดับความเสี่ยงสูง ๆ และมีผลกระทบต่อเป้าประสงค์ และโครงการต่าง ๆ ระดับองค์กรคืองานอะไร? ทั้งนี้ ควรจะพิจารณาในมุมมองของการบริหารความเสี่ยงตามหลักการ COSO-ERM

แผนภาพต่อไปนี้จะแสดงให้เห็นได้ง่าย ๆ ว่า เราจะระบุว่างานใดมีความสำคัญต่อการตรวจสอบนั้น ควรจะได้เห็นภาพโดยรวมและความสัมพันธ์ของงานที่เกี่ยวข้องเป็นพื้นฐานเบื้องต้น ซึ่งผมขอนำแผนภาพขององค์กรที่เกี่ยวข้องกับการประกันมาเพื่อพิจารณา

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

หลังจากที่ท่านได้ดูภาพหน่วยงานหลัก ๆ ภายในองค์กรไปแล้ว กระบวนการตรวจสอบต่อไปในภาพรวม ๆ ที่คุยกันเบื้องต้นในวันนี้ก็คือ IT Risk มีผลกระทบต่อกระบวนการบริหารและกระบวนการตรวจสอบอย่างไร? และจะเกี่ยวข้องกับการวางแผนการตรวจสอบ IT Audit และ General Audit หรือการตรวจสอบโดยทั่ว ๆ ไปอย่างไร? นั้น

ขอให้ท่านดูแผนภาพต่อไปและท่านจะได้เข้าใจว่า การประสานงานระหว่างการตรวจสอบด้าน IT กับการตรวจสอบด้านทั่วไปและการวางแผนการตรวจสอบ ซึ่งรวมถึงการประเมินการควบคุมภายในของกิจกรรมหลัก ๆ ตาม Business Process ต่าง ๆ นั้น ควรจะพิจารณาหรือคำนึงถึงอะไรบ้าง

IT Risk & it impacts to Audit assurance for Mgmt.

IT Risk & it impacts to Audit assurance for Mgmt.

ผมยังไม่อธิบายผลกระทบในรายละเอียดในช่วงเวลานี้ แต่จะนำมาเล่าสู่กันฟังในโอกาสต่อไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

มุมมองของการวางแผนการตรวจสอบ

มีนาคม 17, 2009

การตรวจสอบองค์กรยุคใหม่ ไม่ว่าเป็นการตรวจสอบประเภทใด ทางด้าน IT และ Non-IT โดยเฉพาะอย่างยิ่งทางด้าน IT ก็อาจจะแบ่งประเภทตรวจสอบได้อีกหลายลักษณะตามความต้องการของผู้บริหารนั้น ผู้ตรวจสอบควรจะได้เข้าใจภาพโดยรวมของการวางแผนการตรวจสอบ ซึ่งในเบื้องต้นจะมีกรอบหลัก ๆ ที่ไม่แตกต่างกันมากนัก แต่เมื่อลงในรายละเอียด โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบทางด้าน IT Audit และการปฏิบัติการตรวจสอบ โดยเฉพาะการรวบรวมหลักฐานการตรวจสอบ (Audit Evidence) จะแตกต่างกันอย่างมาก

ผู้บริหารและผู้ตรวจสอบ ควรติดตามแนวคิดและกระบวนการตรวจสอบให้ทันและเข้ากับกระบวนการบริหารความเสี่ยงที่หลอมรวมความเสี่ยงต่าง ๆ ทั้งทางด้าน IT และ Non-IT อย่างแยกกันไม่ได้นั้น ผู้ตรวจสอบจำเป็นต้องเข้าใจในองค์รวมขององค์กร โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กร และเรื่องอื่น ๆ ที่เกี่ยวข้องกับสภาพแวดล้อมขององค์กร ตามที่กล่าวในปัจจัยแรกขององค์ประกอบของ COSO v.2

นโยบายของคณะกรรมการ หรือถ้าหากเป็นสถาบันการศึกษา ก็ได้แก่ นโยบายของสภามหาวิทยาลัย วิสัยทัศน์ พันธกิจ กลยุทธ์ แผนงาน/โครงการต่าง ๆ ของมหาวิทยาลัยที่ต้องสัมพันธ์กันกับหน่วยงานกำกับที่เกี่ยวข้องหลายแห่ง ซึ่งแต่ละหน่วยงานกำกับก็มีความต้องการที่แตกต่างกัน ทั้ง ๆ ที่ในเนื้อหาหลัก ๆ ของกรอบการกำกับไม่แตกต่างกันมากนัก

ดังนั้น ผมจึงขึ้นรูปแผนการตรวจสอบโดยทั่วไป ซึ่งในที่นี้จะเน้นการตรวจสอบตามฐานความเสี่ยงเป็นหลัก โดยแสดงเป็นแผนภาพได้ดังนี้

Internal Auditing Standards & Practices

Internal Auditing Standards & Practices

วันนี้ ผมจะเริ่มต้นเพียงเท่านี้ก่อนนะครับ แล้วในโอกาสต่อไปผมจะค่อยมาขยายความ โดยเฉพาะอย่างยิ่งจะมากล่าวในมุมมองของการเล่าสู่กันฟังในเรื่องการตรวจสอบที่คิดว่าน่าสนใจและเข้าใจได้ง่าย ๆ กว่าการอ่านตำรา และต่อไปจะได้แยกแยะความแตกต่างของการตรวจสอบด้าน IT Audit กับการตรวจสอบทางด้านทั่วไปในองค์กรที่ใช้คอมพิวเตอร์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

มุมมองของการวางแผนการตรวจสอบ

มีนาคม 17, 2009

การตรวจสอบองค์กรยุคใหม่ ไม่ว่าเป็นการตรวจสอบประเภทใด ทางด้าน IT และ Non-IT โดยเฉพาะอย่างยิ่งทางด้าน IT ก็อาจจะแบ่งประเภทตรวจสอบได้อีกหลายลักษณะตามความต้องการของผู้บริหารนั้น ผู้ตรวจสอบควรจะได้เข้าใจภาพโดยรวมของการวางแผนการตรวจสอบ ซึ่งในเบื้องต้นจะมีกรอบหลัก ๆ ที่ไม่แตกต่างกันมากนัก แต่เมื่อลงในรายละเอียด โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบทางด้าน IT Audit และการปฏิบัติการตรวจสอบ โดยเฉพาะการรวบรวมหลักฐานการตรวจสอบ (Audit Evidence) จะแตกต่างกันอย่างมาก

ผู้บริหารและผู้ตรวจสอบ ควรติดตามแนวคิดและกระบวนการตรวจสอบให้ทันและเข้ากับกระบวนการบริหารความเสี่ยงที่หลอมรวมความเสี่ยงต่าง ๆ ทั้งทางด้าน IT และ Non-IT อย่างแยกกันไม่ได้นั้น ผู้ตรวจสอบจำเป็นต้องเข้าใจในองค์รวมขององค์กร โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กร และเรื่องอื่น ๆ ที่เกี่ยวข้องกับสภาพแวดล้อมขององค์กร ตามที่กล่าวในปัจจัยแรกขององค์ประกอบของ COSO v.2

นโยบายของคณะกรรมการ หรือถ้าหากเป็นสถาบันการศึกษา ก็ได้แก่ นโยบายของสภามหาวิทยาลัย วิสัยทัศน์ พันธกิจ กลยุทธ์ แผนงาน/โครงการต่าง ๆ ของมหาวิทยาลัยที่ต้องสัมพันธ์กันกับหน่วยงานกำกับที่เกี่ยวข้องหลายแห่ง ซึ่งแต่ละหน่วยงานกำกับก็มีความต้องการที่แตกต่างกัน ทั้ง ๆ ที่ในเนื้อหาหลัก ๆ ของกรอบการกำกับไม่แตกต่างกันมากนัก

ดังนั้น ผมจึงขึ้นรูปแผนการตรวจสอบโดยทั่วไป ซึ่งในที่นี้จะเน้นการตรวจสอบตามฐานความเสี่ยงเป็นหลัก โดยแสดงเป็นแผนภาพได้ดังนี้

Internal Auditing Standards & Practices

Internal Auditing Standards & Practices

วันนี้ ผมจะเริ่มต้นเพียงเท่านี้ก่อนนะครับ แล้วในโอกาสต่อไปผมจะค่อยมาขยายความ โดยเฉพาะอย่างยิ่งจะมากล่าวในมุมมองของการเล่าสู่กันฟังในเรื่องการตรวจสอบที่คิดว่าน่าสนใจและเข้าใจได้ง่าย ๆ กว่าการอ่านตำรา และต่อไปจะได้แยกแยะความแตกต่างของการตรวจสอบด้าน IT Audit กับการตรวจสอบทางด้านทั่วไปในองค์กรที่ใช้คอมพิวเตอร์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

มีนาคม 12, 2009

ทุกองค์กรในปัจจุบันอาจกล่าวได้ว่า ไม่มีองค์กรใดเลยจะไม่มีคอมพิวเตอร์ใช้ในการบริหารงาน และการปฏิบัติงาน ดังนั้น การวางแผนการตรวจสอบและการปฏิบัติงานตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ จะต้องคำนึงถึงความเสี่ยงและผลกระทบจากระบบสารสนเทศที่มีต่อความน่าเชื่อถือได้ของข้อมูลทางการเงิน ที่มีความสำคัญอย่างยิ่งยวดของการบริหาร การปฏิบัติงาน การควบคุมภายในและการตรวจสอบในทุกประเภทที่เกี่ยวข้อง

ทั้งนี้เพราะ หากการประมวลผลข้อมูลทางด้านสารสนเทศไม่ถูกต้อง ไม่น่าเชื่อได้ ในแง่มุมต่าง ๆ โดยเฉพาะอย่างยิ่ง มีผลกระทบต่อความน่าเชื่อถือได้ของข้อมูลทางการเงิน (Financial Statement) ก็จะมีผลกระทบต่อกระบวนการบริหารและการจัดการในทุกมุมมอง การวางแผนการตรวจสอบต้องมีการเปลี่ยนแปลงอย่างสิ้นเชิง

ผมคงไม่ลำดับกระบวนการตรวจสอบอย่างเป็นขั้นตอนตามเอกสารและตามตำราต่าง ๆ ที่มีอยู่อย่างมากมาย แต่ผมใคร่ขอนำเสนอและทำความเข้าใจกับท่านที่สนใจในเรื่องการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ โดยนำเสนอแผนภาพเพื่อให้ท่านผู้อ่านได้ใคร่ครวญ และใช้ดุลยพินิจก่อนที่ผมจะเขียนในรายละเอียดต่อไป

โปรดดูแผนภาพที่จะช่วยให้เกิดความเข้าใจในกระบวนการตรวจสอบต่อไปนี้

GRC การหลอมรวมความเข้าใจในการบริหารมิติต่าง ๆ เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders

GRC การหลอมรวมความเข้าใจในการบริหารมิติต่าง ๆ เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders

ลองพิจารณาแผนภาพต่อไปซิครับ จะพบว่าการประมวลผลข้อมูลจากระบบคอมพิวเตอร์นั้น จะประกอบไปด้วย 3 ส่วนหลัก ๆ ก็คือ
1.ส่วนที่ประมวลผลด้วยมือ (Manual) ล้วน ๆ (ขั้นตอน Input และ Output)
2.ส่วนที่ประมวลผลด้วยคอมพิวเตอร์ล้วน ๆ (ขั้นตอน Process)
3.ส่วนที่ประมวลผลตามข้อ 1. และ ข้อ 2. รวมกัน (ขั้นตอนระหว่าง Input ไปสู่ Process และขั้นตอนระหว่าง Process ไปสู่ Output)

รายละเอียดที่เกี่ยวข้องจะได้กล่าวในตอนต่อไปครับ

ส่วนของคอมพิวเตอร์ในระบบงานต่าง ๆ ของทุกองค์กรกับความเสี่ยง

ส่วนของคอมพิวเตอร์ในระบบงานต่าง ๆ ของทุกองค์กรกับความเสี่ยง

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบโดยทั่วไป และการขึ้นรูปเพื่อวางแผนการตรวจสอบ

กุมภาพันธ์ 28, 2009

เนื้อหาในส่วนนี้ ผู้เขียนจะได้นำเสนอในโอกาสต่อไป

โปรดติดตาม…

Leave a Comment » | Non - IT Audit / การตรวจสอบโดยทั่วไป | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »