ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 1

มกราคม 20, 2011

ผมไม่ได้เขียนคอลัมน์นี้มานาน วันนี้ผมจะมาเล่าเรื่องที่เกี่ยวข้องกับการบริหารความเสี่ยงในอีกมุมมองหนึ่งก็คือ การตรวจสอบความเสี่ยง ซึ่งมีหลายมุมมองที่เกี่ยวข้อง ไม่ว่าจะในมุมมองของ COSO – ERM หรือมุมมองของ ความเสี่ยง 5 – 7 ด้านของ ธปท. ทั้งนี้ไม่รวมหัวข้อที่เกี่ยวข้องกับ IT Audit และ Integrated Audit รวมทั้งมุมมองการตรวจสอบความเสี่ยงด้าน CobiT ซึ่งจะหนักไปทาง IT Audit นะครับ

ท่านผู้อ่านครับ มาถึงช่วงต้นเดือนมกราคม 2554 และนับต่อจากนี้เป็นต้นไป ท่านคงจะได้ยินและได้อ่านเรื่องเกี่ยวกับ GRC – Governance + Risk Management + Compliance มากขึ้น ในวงการบริหารและปฏิบัติงานยุคใหม่ กระบวนการบริหารต่าง ๆ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ โดยเฉพาะอย่างยิ่งทางด้านเทคโนโลยีสารสนเทศ และการบริหารธุรกิจในระดับต่าง ๆ ของทุกองค์กร

วันนี้ผมจึงมาเล่าเรื่องมุมมองการตรวจสอบความเสี่ยงด้านกลยุทธ์ ซึ่งจะแบ่งได้เป็นหลายตอน ที่ผมเริ่มเรื่องนี้ก่อนก็เพราะความเสี่ยงด้านกลยุทธ์ มีความสำคัญอย่างยิ่งยวด และมีผลกระทบต่อกระบวนการบริหารด้านต่าง ๆ ขององค์กรเป็นอย่างยิ่ง

GRC และการจัดการ

การตรวจสอบความเสี่ยง คือการตรวจสอบ เพื่อประเมินฐานะ และผลการดำเนินงานขององค์กร โดยคำนึงถึงผลกระทบจากความเสี่ยงที่เกี่ยวข้องและมีนัยสำคัญ เพื่อที่จะสามารถแก้ไขปัญหาได้ทันท่วงที ก่อนที่จะเกิดความเสียหาย หรือก่อนที่ความเสียหายจะลุกลาม

การตรวจสอบความเสี่ยงไม่ใช่การตรวจสอบ เพื่อประเมินฐานะและผลการดำเนินงานที่เกิดขึ้นแล้วเพียง ณ วันตรวจสอบ และการบริหารความเสี่ยงขององค์กรเท่านั้น แต่ให้ความสำคัญกับการตรวจสอบ และประเมินฐานะและผลการดำเนินงานขององค์กรที่จะเป็นไปในอนาคต เท่าที่จะมีข้อมูลและหลักฐานสนับสนุนการประเมินอย่างเพียงพอ

นอกจากนี้ ยังเป็นการตรวจสอบโดยมุ่งเน้นใช้ทรัพยากร ได้แก่ ผู้ตรวจสอบและเวลาที่ใช้ในการตรวจสอบในเรื่องที่มีความเสี่ยงสำคัญ เพื่อให้การใช้ทรัพยากรที่มีจำกัดเป็นไปอย่างมีคุณค่า และเพื่อลดแรงจูงใจที่องค์กรจะยอมรับความเสี่ยงเกินกว่าระดับที่สามารถจะจัดการได้ (excessive risk / risk appetite)

แนวการตรวจสอบความเสี่ยงนั้น มีวัตถุประสงค์ เพื่อให้ผู้บริหารและผู้ตรวจสอบใช้เป็นข้อสังเกตเบื้องต้น และใช้เป็นแนวทางในการติดตาม (Monitoring) และตรวจสอบ (Audit – Assurance/Consoulting) และประเมินความเสี่ยงด้านกลยุทธ์ และด้านอื่น ๆ ที่เกี่ยวข้อง ตามเป้าประสงค์ของการบริหารความเสี่ยงในแต่ละองค์เป็นสำคัญ และ

เพื่อให้มั่นใจว่าองค์กรมีระบบการบริหารความเสี่ยงที่ใช้ในการระบุ วัด ติดตาม และควบคุมความเสี่ยงต่าง ๆ อย่างเพียงพอ ทั้งกำหนดหน้าที่และความรับผิดชอบ ในการจัดให้มีระบบการบริหารความเสี่ยงที่เหมาะสมกับปริมาณ ความซับซ้อนของระบบงาน โครงสร้างขององค์กร และสภาพแวดล้อมต่าง ๆ ที่เกี่ยวข้อง ทั้งนี้เพราะ ความเสี่ยงด้านกลยุทธ์จะมีผลกระทบอย่างกว้างขวางต่อผลสำเร็จของการบริหารในทุกมุมมองของการจัดการ โดยเฉพาะอย่างยิ่ง ความเสี่ยงทางด้านการดำเนินงาน (Operational Risk) ที่เกี่ยวข้องกับ P + P + T และการบริหารโครงการ / แผนงานต่าง ๆ ขององค์กร

ความสำเร็จในการติดตามและตรวจสอบ ต้องอาศัยความรู้เกี่ยวกับธุรกรรมขององค์กร และลักษณะที่แตกต่างของธุรกิจ สภาพแวดล้อม และวัฒนธรรมขององค์กรที่เกี่ยวข้องกับการดำเนินธุรกิจ แนวทางในการบริหารความเสี่ยง รวมทั้งพัฒนาการของวิธีการ / เครื่องมือบริหาร ความเสี่ยง และทักษะในการประเมินผลกระทบจากความเสี่ยงเหล่านั้นในลักษณะบูรณาการ (integrated) ภายใต้ร่มของ GRC

ผู้บริหารและผู้ตรวจสอบ ควรหมั่นฝึกฝนทักษะในการประเมินความเสี่ยง และการใช้ดุลยพินิจพิจารณาเรื่องต่าง ๆ โดยอาศัยหลักฐานตามกระบวนการจัดการที่ได้รับจากการตรวจสอบ ซึ่งรวบรวมไว้แล้วก่อนการตรวจสอบอย่างเพียงพอ แนวทางการบริหารและการตรวจสอบความเสี่ยงนี้ไม่ได้ครอบคลุมรายละเอียดกระบวนการ ขั้นตอนและวิธีการหาข้อมูลหลักฐานและการตรวจสอบข้อเท็จจริง (verify) ของข้อมูลหลักฐานเหล่านั้น เพื่อนำมาใช้ในการประเมินความเสี่ยง ดังนั้น ผู้บริหารและผู้ตรวจสอบใหม่จำเป็นต้องศึกษาจากแนวทางการจัดการ รวมทั้งแนวทางการตรวจสอบอื่น ๆ ที่เกี่ยวข้อง

สำหรับวันนี้ผมขออุ่นเครื่องในเรื่องความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ ตอนที่ 1 เพียงเท่านี้ก่อน ซึ่งในตอนที่ 2 และในตอนต่อ ๆ ไป ผมจะได้อธิบายถึงเรื่องหลักการติดตามของผู้บริหาร (Monitoring) กับแนวทางการตรวจสอบความเสี่ยงของผู้ตรวจสอบภายในก่อนที่จะเน้นถึงเรื่องความเสี่ยงด้านกลยุทธ์ครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Auditors and Management ตอน 2

มกราคม 5, 2011

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของ Integrated Auditors and Management ซึ่งยังพูดคุยกันค้างไว้อยู่ และในวันนี้เราจะมาคุยกันต่อ ถึงแม้บทบาทของคอมพิวเตอร์ และระบบอัตโนมัติจะมีความสำคัญยิ่งยวดเพียงใด และนับวันช่องว่างระหว่าง Technology Computer กับศักยภาพหรือ Competency ของบุคลากร ในระดับบริหารจนถึงระดับปฏิบัติการ มีช่องว่างเพิ่มขึ้นตามลำดับ นี่คือความเสี่ยงที่มีนัยสำคัญยิ่ง และมีผลสำคัญมากต่อกระบวนการตัดสินใจที่มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานที่แท้จริง ที่หลายองค์กรยังต้องการความเข้าใจอย่างลึกซึ้งถึงผลกระทบต่อ IT Risk ที่มีผลต่อ Business Risk และกระบวนการตัดสินใจของผู้บริหารในภาพโดยรวม

ผู้บริหารของหลายองค์กรส่วนใหญ่ มักจะมีความเข้าใจคลาดเคลื่อนว่า เรื่องของเทคโนโลยี การควบคุมทางเทคโนโลยี และการจัดการทางด้านเทคโนโลยี เป็นของ CIO – Chief Information Officer จึงมีการมอบหมายงานสำคัญ ๆ ในการตัดสินใจไปยัง CIO และ CIO เกือบทั้งหมดก็มอบความไว้วางใจต่อ ๆ ไปยังผู้ใต้บังคับบัญชา รวมทั้ง Outsource ที่เกี่ยวข้อง ซึ่งเพิ่มความเสี่ยงในกระบวนการตัดสินใจ อันเกิดจากผลกระทบของ IT Risk ซึ่งมีผลต่อ Enterprise Risk Management อย่างสำคัญยิ่ง ทั้ง ๆ ที่เรื่องนี้เป็นความรับผิดและความรับชอบ ซึ่งเรียกสั้น ๆ ว่าเป็น Accountability ของผู้บริหารระดับสูงสุด รวมถึงคณะกรรมการที่จะต้องกำหนดนโยบายในเรื่องที่เกี่ยวข้องกับ การบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ในภาพโดยรวมให้เป็นภาพเดียวกัน มิใช่เพียงมาเชื่อมกัน หรือ นำมาต่อกันในภายหลัง+++ เท่านั้น

มาตรฐานการปฏิบัติงานทางด้านคอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศทางการสื่อสาร (ICT) ที่เป็นสากล หรือที่เป็น Best Practice หรือ Good Practice ได้ถูกนำมาใช้ หรือถูกนำมาบังคับใช้อย่างหลีกเลี่ยงไม่ได้ และในกรณีที่การปฏิบัติงานไม่มีกรอบ Standard หรือ Best Practice ในเรื่องที่เกี่ยวข้อง ก็ต้องนำ Guideline ในเรื่องนั้น ๆ มาใช้ในทางปฏิบัติ เพื่อให้เกิดการยอมรับต่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและต่างประเทศ

Integrated Thinking แนวคิด หรือการคิดให้ครบจนจบความ / ครบถ้วน ความคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) การคิดให้ลึกเชิงวิเคราะห์ (Analytical Thinking) เพื่อให้เกิดความเข้าใจโดยรวมของทั้งระบบ (System Thinking) เพื่อก้าวสู่เป้าหมาย-วัตถุประสงค์อย่างเป็นระบบเพื่อการจัดการที่ดี (Systematic Thinking Approach) เพื่อให้เกิดความสมบูรณ์ ความครบถ้วน ความถูกต้อง ที่จะนำไปสู่ประสิทธิภาพและประสิทธิผลในการดำเนินงาน และยกระดับการแข่งขัน จึงเป็นเรื่องที่จำเป็นอย่างยิ่งของการบริหารองค์กรยุคใหม่ ที่นำไปสู่หลักการที่นำไปสู่กระบวนการบริหารที่รวมเป็นชุด ที่มีความสัมพันธ์กันและกันในองค์ประกอบหลักการบริหารด้านการกำกับดูแลกิจการที่ดี (Governance – CG + ITG) การบริหารความเสี่ยงระดับองค์กร (Risk หรือ ERM) และการปฏิบัติตามกฎเกณฑ์ และกติกาสังคม ทั้งในระดับประเทศ และระหว่างประเทศ (Compliance) เพื่อสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งในระยะสั้นและระยะยาว ที่เรียกว่า GRC จึงเกิดขึ้น และเป็นแนวการบริหารยุคใหม่ล่าสุดที่จะยั่งยืนไปอีกนานแสนนาน

อย่างไรก็ดี การก้าวสู่กระบวนขับเคลื่อนการบริหารที่เน้น “กระบวนการ” หรือ “Process” ที่หลอมรวมการบริหาร PPT หรือ People + Process + Technology ที่เน้น Operational Management และเป็น Core Function ในการผลักดันองค์กรไปสู่ Integrity – Driven Performance ภายใต้องค์ประกอบหลัก GRC เพื่อตอบสนองความต้องการของผู้มีผลประโยชน์ร่วมอย่างผสมผสานเป็นหนึ่งเดียวของธุรกิจนั้น จะเป็นสุดยอดของกระบวนการบริหารการจัดการ ที่องค์กรชั้นนำของโลกได้นำมาใช้ในการบริหารในปัจจุบัน และผู้กำกับ (Regulators) ได้นำกรอบแนวคิดนี้ไปใช้กับผู้ปฏิบัติ (Operators) ในองค์กรที่เกี่ยวข้อง เพื่อให้เกิดประสิทธิภาพการบริหารและการจัดการที่ดี เพื่อก้าวไปสู่ Corporate Governance หรือบรรษัทภิบาลที่เป็นรูปธรรม +++

ก่อนการก้าวสู่ GRC ตามวรรคต้น แนวความคิดในเรื่อง Integrated Thinking โดยการคิดให้ครบจนจนความ โดยดูเป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรส่วนใหญ่ ซึ่งจะกำหนดเป็นนโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่ท้าทายต่อไป

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

ดังนั้น คณะกรรมการและผู้บริหารที่เกี่ยวข้อง รวมทั้ง คณะกรรมการตรวจสอบ CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ที่มีความเข้าใจภาพดังกล่าวข้างต้นไปในทิศทางเดียวกัน จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Auditors and Management ตอน 1

ธันวาคม 25, 2010

วันนี้ผมขอเล่าสู่กันฟังในเรื่องเกี่ยวกับ Integrated Audit และ CAE ว่าในอดีตที่ผ่านมาและจนกระทั่งถึงทุกวันนี้ อาจกล่าวได้ว่า องค์กรส่วนมากยังเข้าใจความหมายของ Integrated Audit และประโยชน์ของการตรวจสอบในลักษณะนี้ที่แตกต่างกันมาก จากการที่องค์กรไม่ได้มีการปฏิบัติที่เป็นรูปธรรมของการผสมผสานการตรวจสอบและใช้ประโยชน์จากแนวคิดที่เป็นลักษณะ Interdependent Approach ของกระบวนการตรวจสอบระหว่าง IT Audit และ Non – IT Audit เข้ามาใช้เป็นพลังร่วม (Synergy) ในการขับเคลื่อนกระบวนการตรวจสอบไปสู่การจัดทำรายงานการตรวจสอบที่มีคุณภาพสูงสุด จากการหลอมรวมกระบวนความคิด ซึ่งนำไปสู่ความเข้าใจในการวางแผนการตรวจสอบ ที่คำนึงถึง Audit Universe หรือเรื่องที่ควรได้รับการทดสอบในภาพโดยรวมที่เกี่ยวข้อง ซึ่งจะเชื่อมโยงหรือมีผลกระทบต่อกระบวนการจัดทำรายงาน ทั้งทางด้าน IT และ Non – IT ที่จะสัมพันธ์กับการควบคุมความเสี่ยงจาก Risk Universe ในแง่มุมต่าง ๆ ในมุมมองของ Business Balanced Scorecard และ Information Balanced Scorecard หรือแม้กระทั่งเป้าประสงค์หลักของการควบคุมความเสี่ยง ตามหลักการของ COSO – ERM ซึ่งก็ได้แก่ Strategic Risk – S, Operation Risk – O, Reporting Risk – R or F, Compliance Risk – C ที่ส่วนใหญ่จะเคยชินกับคำที่เรียกกันสั้น ๆ ว่า S – O – F – C

แนวทางการบริหารและการจัดการความเสี่ยงทั่วทั้งองค์กร ตามแนวทางของ COSO – ERM ที่นิยมใช้กันทั่วโลกและในประเทศไทยนั้น แทบจะไม่ได้กล่าวถึงผลกระทบ หรือ Impact จาก Risk IT และ IT Risk ที่มีผลต่อกระบวนการบริหารและการจัดการ รวมทั้งการจัดทำรายงานที่เป็นรูปธรรม

ดังนั้น ในทางปฏิบัติ ผู้กำกับ ในฐานะ Regulators และผู้ปฏิบัติ ในฐานะ Operators ส่วนใหญ่ได้มองข้ามความสำคัญของกระบวนการระบุปัจจัยเสี่ยงจาก IT Risk ที่มีผลกระทบต่อกระบวนการควบคุม กระบวนการบริหารและกระบวนการตัดสินใจ ซึ่งนำไปสู่ความเสี่ยงในการจัดการที่มีผลกระทบต่อประสิทธิภาพและประสิทธิผลในการดำเนินงาน การทุจริต รวมทั้งการลดโอกาสที่จะสร้างความเชื่อมั่น ความเชื่อถือ การสร้างคุณค่าเพิ่ม การสร้างความมั่นใจให้กับผู้มีผลประโยชน์ร่วม ทั้งภายในองค์กรและภายนอกองค์กรอย่างมีนัยสำคัญยิ่ง ที่นำไปสู่การบริหารและการจัดการ รวมทั้งการตรวจสอบในลักษณะ Integrated Thinking และ Integrated Audit ในทางปฏิบัติ

จากจุดอ่อนดังกล่าว ในทางปฏิบัติของหลาย ๆ องค์กร ทั้งภายในและต่างประเทศหลายแห่ง เกิดจากการบริหารและการจัดการที่มีแนวความคิดจากโครงสร้างขององค์กร ที่ส่วนใหญ่ยังแบ่งงานในลักษณะ Silo – Based นั่นคือ การแบ่งงานตามหน้าที่ หรือตาม Function มากกว่า การคำนึงถึงกระบวนการในการดำเนินงาน ที่ในปัจจุบันใช้คอมพิวเตอร์เข้าช่วยในแทบทุกองค์กร ซึ่งกระบวนการทำงานโดยใช้คอมพิวเตอร์ในขั้นตอนการปฏิบัติงานเป็นส่วนใหญ่นั้น จะมีลักษณะเป็น Integrated – Based ซึ่งอาจจะกล่าวโดยย่อได้คือ เป็นการดำเนินงานที่เชื่อมต่อ กระบวนการทำงานในแต่ละกิจกรรมและในแต่ละขั้นตอนเข้าด้วยกันอย่างต่อเนื่อง ภายในสายงานเดียวกันและข้ามสายงานอย่างอัตโนมัติ โดยเฉพาะอย่างยิ่ง ขั้นตอนการประมวลผล (Process) ซึ่งในขั้นตอนนี้ องค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ในวงการการเงิน การธนาคาร ตลาดหลักทรัพย์ บริษัทการบิน และการให้บริการแบบอัตโนมัติ ทั้งในลักษณะ Online และ Offline โดยเฉพาะอย่างยิ่ง การให้บริการที่เป็นลักษณะ One Stop Service จะมีลักษณะการใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงานเป็นส่วนใหญ่ และมีนัยสำคัญยิ่งต่อความพึงพอใจของลูกค้า และผู้ที่เกี่ยวข้องอย่างมีนัยสำคัญที่ไม่อาจปฏิเสธได้

ความเป็นจริงดังกล่าวตามวรรคต้น มีนัยสำคัญยิ่งต่อกระบวนการควบคุมความเสี่ยง ที่เกี่ยวข้องกับ IT Risk และ IT – Related Risk ที่มีผลต่อ Business Risk ที่เชื่อมโยงกับ Business Process และ Business Control และลึกลงไปถึง Application Control และ General Control ตามหลักการจัดการบริหารที่เป็นกระบวนการที่ใช้ Computer – Based เป็นหลักทั้งสิ้น

เรื่องของ Integrated Auditors and Management ที่ผมเล่าในวันนี้ ยังไม่จบเพียงเท่านี้ ครั้งหน้าไปติดตามกันต่อนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 กับ Regulators และ Operators ทางด้าน IT Audit และทั่วไป

สิงหาคม 17, 2010

คุยกับผู้เขียนในตอนที่แล้ว ผมได้เล่าถึงแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ซึ่งได้ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 มิถุนายน 2553 เล่มที่ 127 ตอนพิเศษ 78 ง หน้า 131 – 138 ไปแล้วนั้น ก็เพื่อให้ท่านผู้อ่านทราบว่า หน่วยงานกำกับภาครัฐที่ดูแลรับผิดชอบเกี่ยวกับ ความน่าเชื่อถือได้ของข้อมูล และรายงานทางการเงิน และรายงานที่มิใช่การเงิน ที่ข้อมูลและสารสนเทศถูกประมวลผลด้วยระบบคอมพิวเตอร์ หรือระบบเทคโนโลยีสารสนเทศนั้น ความน่าเชื่อถือได้ของข้อมูล เป็นเรื่องจำเป็นอย่างยิ่งยวดที่ผู้มีผลประโยชน์ร่วมทุกฝ่าย ทั้งในและระหว่างประเทศ ให้ความสนใจในระดับสูงมาก

หากข้อมูลและสารสนเทศไม่น่าเชื่อถือ ความไว้วางใจของ Stakeholders ก็จะไม่มีหรือมีน้อยมาก ทำให้มีปัญหาในเรื่องเกี่ยวกับศักยภาพการแข่งขัน และการสร้าง Value Creation และ Business Objective ขององค์กรต่าง ๆ รวมทั้งความไว้วางใจต่อระดับชาติ ที่จะมีผลกระทบต่อการค้า การเงิน และการลงทุนตามมาด้วยอีกมาก

การบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Process และ Business Objective ในมุมมองต่าง ๆ ตามหลักการของ Balanced Scorecard และตามวัตถุประสงค์ของการควบคุมหลักของ COSO – ERM คือ Strategic Risk – S, Operational Risk – O, Reporting/Finanacial Risk – F, Compliance Risk – C นั้น จำเป็นจะต้องมีการประเมิน และควบคุมความเสี่ยง รวมทั้งการตรวจสอบตามฐานความเสี่ยง และการจัดการโดยผู้บริหาร ทางด้าน IT Control และ IT Audit อย่างหลีกเลี่ยงไม่ได้ ตามที่ปรากฎในมาตรฐานของประเทศต่าง ๆ ทั่วโลก

ผมจึงนำระเบียบคณะกรรมการตรวจเงินแผนดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ที่มีผลบังคับใช้แล้วตั้งแต่ วันที่ 24 มีนาคม 2546 ตามประกาศในราชกิจจานุเบกษา ฉบับกฤษฎีกา เล่ม 120 ตอนที่ 25 ก ซึ่งได้กล่าวถึงแนวทางปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ขอบเขตการตรวจสอบภายใน โดยเฉพาะอย่างยิ่งแนวทางปฏิบัติที่ 6 หน้า 10 ที่ได้กล่าวในเรื่อง IT Audit ว่า

“หน่วยรับตรวจที่ใช้เทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการปฏิบัติงานหรือบริหารงาน ควรจัดให้มีผู้ตรวจสอบภายในซึ่งมีความรู้ ความสามารถอย่างเพียงพอที่จะตรวจสอบระบบเทคโนโลยีสารสนเทศ เพื่อให้สามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลได้อย่างเหมาะสมและเกิดประโยชน์”

ในกรณีระเบียบว่าด้วยการตรวจสอบภายในตาม (1) และ (2) มิได้กำหนดให้ปฏิบัติงานตามมาตรฐานการตรวจสอบใด ให้ปฏิบัติตามมาตรฐานการปฏิบัติงานวิชาชีพการตรวจสอบภายในที่เผยแพร่โดยสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือ Standards for the Professional Practice of Internal Auditing ที่กำหนดโดย The Institute of Internal Auditors (IIA) ฉบับล่าสุด

ท่านผู้อ่านสามารถคลิ๊กดูรายละเอียดของระเบียบคณะกรรมการตรวจเงินแผ่นดินฯ ได้ที่นี่เลยครับ รวมเล่ม ระเบียบตรวจเงินแผ่นดิน

สำหรับผมเอง มีความเห็นส่วนตัวเพิ่มเติมจากแนวทางปฏิบัติต่าง ๆ ที่ปรากฎในระเบียบของ คตง. ว่า ถ้ามาตรฐานการตรวจสอบทางด้าน IT ยังไม่ปรากฎชัดเจนตามที่ระเบียบของ คตง. ได้กล่าวไว้ตามวรรคต้น ก็น่าจะใช้ Best Practice หรือ IT Audit Guideline ของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (IIAT – สตท.) หรือ IIA – The Institute of Internal Auditors (IIA) สากล นำมาใช้ได้สำหรับการตรวจสอบ IT Audit ซึ่งในปัจจุบันก็มีเผยแพร่ให้ท่านผู้อ่านได้ติดตามจากเว็บไซต์ที่เกี่ยวข้องได้อยู่แล้วครับ

ส่วนรายละเอียดเกี่ยวกับแนวการปฏิบัติและการตรวจสอบทางด้าน IT Audit ซึ่งเป็นเรื่องที่เกี่ยวข้องกับการควบคุมความเสี่ยง และการบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk นั้น ก็เช่นเดียวกันครับที่ท่านสามารถจะติดตามได้จากเว็บไซต์ที่เกี่ยวข้อง ซึ่งผมจะนำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

Leave a Comment » | คุยกับผู้เขียน, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

กรกฎาคม 5, 2010

ในขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นนั้น ผมได้นำเสนอมาหลายตอนพอสมควร หากจะให้นำเสนอในรายละเอียดคิดว่าคงจะมีรายละเอียดให้ได้เล่าสูกันฟัง (อ่าน) อีกมากมาย ที่ได้นำเสนอไปก็อยากให้ผู้อ่านและผู้ตรวจสอบได้มองเห็นขั้นตอนและกระบวนการตรวจสอบ IT ในภาพรวมในเบื้องต้นเท่านั้น ส่วนในรายละเอียดคงจะได้นำเสนอในโอกาสต่อไป ๆ ครับ

สำหรับวันนี้ผมจะพูดถึงเรื่องของการจัดทำรายงานการตรวจสอบ หลังจากที่ได้มีการตรวจสอบ ผู้ตรวจสอบควรจัดทำรายงานการตรวจสอบ เพื่อนำเสนอต่อคณะกรรมการตรวจสอบ หรือผู้บริหารได้รับทราบ

การจัดทำรายงานการตรวจสอบ
การจัดทำรายงานหลังจากการตรวจสอบนั้น เป็นสิ่งที่จำเป็นเพราะ
1. เพื่อบันทึกสิ่งที่ตรวจพบและข้อสรุป ตลอดจนข้อเสนอแนะของผู้ตรวจสอบ
2. เพื่อใช้เป็นเอกสารขั้นต้นสำหรับการทำให้องค์กรนั้นสมบูรณ์ขึ้น
3. เพื่อใช้เป็นเอกสารอ้างอิงในภายภาคหน้า

ดังนั้น การเสนอรายงานเป็นเทคนิคที่สำคัญที่สุดอันหนึ่ง ที่ผู้ตรวจสอบต้องเอาใจใส่เป็นพิเศษ เพราะเป็นสื่อที่แสดงถึงการปฏิบัติงานของผู้ตรวจสอบทั้งหมด ผู้บริหารจะยกย่อง หรือไม่เห็นความสำคัญของผู้ตรวจสอบ ก็เนื่องจากรายงานที่เสนอไป ผู้ตรวจสอบจะต้องเสนอรายงานที่ถูกต้อง ให้ข้อมูลที่แท้จริง และประเมินผลจากข้อเท็จจริง ให้ข้อเสนอแนะที่มีเหตุผล การเสนอแนะนั้นจะต้องพิจารณาอย่างรอบคอบ ผู้ตรวจสอบจะต้องพิจารณาข้อเท็จจริง และให้เหตุผลได้สำหรับข้อเสนอแนะนั้น ๆ

การทำรายงานที่ดีจำเป็นต้องเขียนอย่างมีหลักเกณฑ์ สมเหตุสมผลและเป็นขั้นตอน ใช้คำที่ถูกต้อง รายงานต้องรัดกุม ชัดเจน และสมบูรณ์ รายงานที่ชัดเจนจะทำให้ผู้บริหารอ่านเข้าใจได้ตั้งแต่การอ่านครั้งแรก รายงานที่ถูกต้องจะต้องประกอบด้วยข้อมูลที่ถูกต้อง รายงานที่สมบูรณ์จะต้องประกอบด้วยข้อมูลที่จำเป็น และอยู่ในประเด็นที่เกี่ยวข้องเท่านั้น

การจัดทำรายงานที่ดี ควรประกอบด้วย
1. ความถูกต้อง
2. ความชัดเจน
3. ความกระทัดรัด
4. ข้อเสนอแนะ
5. ความทันกาล

1. ความถูกต้อง
รายงานการตรวจสอบมีความถูกต้อง ข้อความทุกประโยค ตัวเลขทุกตัว เอกสารอ้างอิงทุกชิด จะต้องมาจากหลักฐานที่น่าเชื่อถือ และผู้ตรวจสอบได้ทำการประเมินข้อมูลเหล่านั้นแล้ว ความถูกต้องที่กล่าวถึงในรายงานต้องรวมถึง การทราบถึง หรือสังเกตการณ์ จนกระทั่งทราบอย่างแน่ชัดว่าได้ข้อเท็จจริงแล้ว ถ้ารายงานเกี่ยวกับสิ่งใดแล้ว ย่อมหมายถึงว่าสิ่งนั้นผู้ตรวจสอบได้ทราบ และ/หรือได้ยอมรับแล้วเป็นสิ่งที่ตรงตามข้อเท็จจริง

2. ความชัดเจน
หมายถึง ความสามารถในการส่งข้อความ หรือความต้องการของผู้ตรวจสอบ หรือสิ่งที่ต้องการเสนอไปสู่ผู้อ่านรายงานให้เข้าใจเหมือนดังที่ตนตั้งใจ หากใช้ถ้อยคำที่คลุมเครือ อาจจะทำให้ผู้อ่านรายงานเกิดความเข้าใจแตกต่างจากที่เป็น ซึ่งอาจจะนำไปสู่การปรับปรุงแก้ไขในแนวทางที่แตกต่างกันไปจากเป้าหมายที่ตั้งใจ

ในเบื้องต้น ผู้ตรวจสอบต้องทำความเข้าใจในเรื่องที่จะสนอรายงานให้แจ่มแจ้งเสียก่อน หากไม่ทำความแจ่มแจ้งให้เกิดขึ้นแล้ว ก็คงยากที่จะเขียนรายงานได้อย่างชัดเจน ผู้ตรวจสอบต้องแน่ใจว่า เรื่องที่จะเขียนในรายงานนั้นมีอยู่แล้วอย่างเพียงพอหรือไม่ ควรที่จะหาข้อมูลเพิ่มเติมอีกหรือไม่

ความต่อเนื่อง หรือการจัดลำดับข้อความในรายงาน เป็นการช่วยให้รายงานนั้นเกิดความเด่นชัด หรือชัดเจนยิ่งขึ้น การสร้างความชัดเจนอาจจำเป็นต้องมีตารางตัวเลขประกอบไปด้วย เพื่อให้เกิดความเข้าใจดียิ่งขึ้น

3. ความกระทัดรัด
หมายถึง การตัดสิ่งฟุ่มเฟือย หรือไร้สาระออกจากรายงานการตรวจสอบ แต่ไม่ได้หมายถึงการเขียนรายงานสั้น รายงานจะยาวหรือสั้น ขึ้นอยู่กับสิ่งที่จะเสนอในรายงานนั้นมีมากน้อยเพียงใด ถึงแม้ว่าการตัดทอนจะมีมากน้อยเพียงใดก็ตาม ผู้ตรวจสอบยังคงต้องรักษาความต่อเนื่องของแนวความคิด เพื่อให้ผู้อ่านรับความคิดอย่างต่อเนื่อง

4. ข้อเสนอแนะ
การวิจารณ์ข้อบกพร่องโดยไม่มีการให้ข้อเสนอแนะ เป็นสิ่งที่ไม่ควรกระทำ ในทำนองเดียวกัน การวิจารณ์โดยปราศจากการเสนอแนะข้อยุติที่ชอบด้วยเหตุผล ก็ไม่เป็นการเหมาะสมเช่นกัน และจะทำให้รายงานไม่มีความหมาย เพื่อที่จะทำให้รายงานเป็นที่ยอมรับ การเสนอแนะเพื่อการปรับปรุงการปฏิบัติงาน แทนที่จะเป็นการตำหนิการปฏิบัติงาน จะทำให้รายงานมีคุณค่าขึ้น

5. ความทันกาล
หมายถึง การเสนอรายงานต้องกระทำภายในเวลาที่เหมาะสม เพราะต้องมีการนำรายงานไปดำเนินการต่อ การสั่งการของผู้บริหารต้องใช้ข้อมูลที่ดีและทันเวลา เพื่อให้เกิดการปรับปรุงแก้ไขได้ทันท่วงที

วิธีการจัดทำรายงานนั้น เป็นเรื่องของแต่ละบุคคล เป็นการยากที่จะวางรูปแบบ และวิธีการจัดทำรายงานตายตัวที่จะใช้ได้ในทุกกรณี รายงานที่ดีจะต้องมาจากเนื้อหา รูปแบบที่เป็นมาตรฐาน และจะต้องมีเอกลักษณ์ภายในตัวของมันเอง ผู้ตรวจสอบจำเป็นต้องคำนึงถึงจุดประสงค์ใหญ่ของรายงาน ซึ่งได้แก่ เพื่อนำการเปลี่ยนแปลงในองค์กร เพื่อนำไปสู่การปฏิบัติ และเพื่อใช้อ้างอิงได้ในภายหลัง รายงานที่เขียนขึ้นคร่าว ๆ ไม่ถูกต้อง หรือเขียนอย่างขอไปที จะไม่สามารถชักจูงให้ผู้อ่านยอมรับข้อสรุปนั้นได้ โดยเฉพาะอย่างยิ่งจะไม่นำไปสู่การนำข้อเสนอแนะไปใช้

ผู้ตรวจสอบจะต้องนำเสนอรายงานที่ตนคิดว่าถูกต้อง ถึงแม้ว่าข้อเสนอนั้นจะส่งผลออกมาในรูปแบบที่ไม่ทำความพอใจให้แก่ผู้บริหารก็ตาม บางครั้งเป็นสิ่งที่หลีกเลี่ยงไม่ได้ ข้อเสนอแนะขั้นสุดท้ายนั้น ไม่เป็นที่ยอมรับทั้งหมดของผู้บริหาร แต่อย่างไรก็ตาม เหตุการณ์นี้ไม่ควรจะเป็นเหตุให้ผู้ตรวจสอบถอนคำเสนอแนะที่ตนคิดว่าถูกต้อง

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

มิถุนายน 13, 2010

ยังพอจำกันได้ใช่ไหมครับ ในเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ที่แบ่งออกได้เป็น 2 ลักษณะ ก็คือ การควบคุมภายในทั่วไป(General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งครั้งที่แล้วผมได้กล่าวถึงการควบคุมภายในทั่วไป (General Controls) คงพอจะทำให้ท่านผู้อ่านมองเห็นภาพกว้างของการควบคุมภายในทั่วไปได้ชัดเจนและเข้าใจยิ่งขึ้น

สำหรับวันนี้ผมจะขอพูดถึงการควบคุมภายในเฉพาะงาน หรือ Application Controls ซึ่งเป็นการควบคุมภายในอีกลักษณะหนึ่งจากที่ได้กล่าวถึงในข้างต้น

2. การควบคุมภายในเฉพาะงาน (Application Controls)
การควบคุมภายในเฉพาะงาน คือ การควบคุมรายการข้อมูลในแต่ละระบบงานให้มีความถูกต้องและครบถ้วน โดยอาศัยทางเดินของข้อมูลเป็นแนวทางในการกำหนดขอบเขตการควบคุม ซึ่งส่วนใหญ่มี 6 ขั้นตอน ดังนี้

1) การควบคุมแหล่งกำเนิดรายการ ได้แก่
การควบคุมเกี่ยวกับงานจัดทำข้อมูลก่อนป้อนเข้าสู่ระบบคอมพิวเตอร์ ซึ่งส่วนใหญ่เป็นงานด้าน Manual และอาจมีบุคคลหลายฝ่ายเข้ามาเกี่ยวข้อง เริ่มตั้งแต่จุดเริ่มต้นของแหล่งกำเนิดรายการ การจัดทำเอกสาขั้นต้นประกอบรายการ การขอความเห็นชอบในการจัดทำรายการ การเตรียมข้อมูลนำเข้า การป้องกันข้อผิดพลาด การค้นหาข้อผิดพลาด และการแก้ไขข้อผิดพลาด

2) การควบคุมการทำรายการป้อนเข้าสู่ระบบงาน ได้แก่
การควบคุมการทำรายการป้อนเข้าสู่ระบบ ซึ่งอาจทำได้ 2 วิธี คือแบบ Remote Terminal Data Entry และแบบ Batch Data Entry โดยข้อมูลที่ป้อนเข้าสู่ระบบจะต้องถูกหลักเกณฑ์ในการทำรายการ นอกจากนี้ยังรวมถึงเรื่องที่เกี่ยวกับการกระทบยอดข้อมูลนำเข้าเพื่อพิสูจน์ความถูกต้อง การชี้แนะให้เห็นข้อผิดพลาดการทำรายการแก้ไขข้อผิดพลาด และการนำข้อมูลที่มีการแก้ไขข้อผิดพลาดป้อนเข้าสู่ระบบใหม่อีกครั้ง

3) การควบคุมการสื่อสารข้อมูล
เป็นการควบคุมข้อมูลและข่าวสาร ที่ผ่านระบบสื่อสารให้มีความถูกต้องและครบถ้วน ซึ่งจะต้องคำนึงถึง Hardware และ Software ที่ใช้ในการสื่อสารข้อมูลการมอบอำนาจ

4) การควบคุมการประมวลผลด้วยคอมพิวเตอร์ ได้แก่
การควบคุมการประมวลผลข้อมูลให้มีความแม่นยำ ถูกต้อง และครบถ้วนเป็นไปตามหลักเกณฑ์การใช้แฟ้มข้อมูล การชี้แนะให้เห็นข้อผิดพลาด และการรายงาน

5) การควบคุมการจัดเก็บข้อมูลไว้ในระบบ และการนำข้อมูลที่เก็บไว้ในระบบไปใช้งาน
เป็นการควบคุมที่เกี่ยวกับแฟ้มข้อมูล การตัดตอนข้อมูลเพื่อจัดเก็บหรือเลิกเก็บไว้ในแฟ้มข้อมูล การกำหนดสิทธิการใช้ข้อมูล การรักษาความปลอดภัย การแก้ไขข้อผิดพลาด การตระเตรียมแฟ้มข้อมูลชุดสำรอง ไว้ใช้ทดแทนการแก้ไขสถานการณ์ที่เลวร้ายให้กลับคืนสู่สภาพปกติ และการกำหนดอายุการจัดเก็บแฟ้มข้อมูล

6) การควบคุมผลลัพธ์ ได้แก่
การกระทบยอดข้อมูลนำเข้าและผลลัพธ์ เพื่อพิสูจน์ความถูกต้องด้วยระบบ Manual ซึ่งเป็นหน้าที่โดยตรงของหน่วยงานควบคุมคุณภาพข้อมูล และหน่วยงานผู้ใช้ข้อมูล การจัดส่งข้อมูลจากศูนย์คอมพิวเตอร์ให้หน่วยงานอื่น ความปลอดภัยในการจัดเก็บเอกสารสำคัญในศูนย์คอมพิวเตอร์และหน่วยงานผู้ใช้ข้อมูล และการกำหนดอายุการจัดเก็บข้อมูลที่ได้จากการประมวลผล

ขอทิ้งท้ายสำหรับวันนี้ด้วยแผนภาพ แนวทางในการกำหนดขอบเขตการควบคุมภายในเฉพาะด้าน และในครั้งหน้าผมจะมาเล่าถึงการจัดทำรายงานการตรวจสอบ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

พ.ค. 24, 2010

วันนี้เราจะมาพูดคุยกันต่อในเรื่องของขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อ ๆ ซึ่งครั้งที่แล้วผมได้กล่าวถึงหลักการสอบทานของการควบคุมภายในที่มีความสำคัญและจำเป็นต่อกระบวนการตรวจสอบ IT ที่ผู้ตรวจสอบ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุม และที่ผมจะพูดถึงในวันนี้จะเป็นเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ซึ่งจะแบ่งออกได้เป็น 2 ลักษณะ คือ การควบคุมภายในทั่วไป (General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งมีความสัมพันธ์กับองค์ประกอบที่สำคัญในการประมวลผลข้อมูล คือการดำเนินงานของศูนย์คอมพิวเตอร์ การพัฒนาระบบงาน และระบบงานและโปรแกรมที่ใช้เฉพาะงาน ดังรูป

1. การควบคุมภายในทั่วไป (General Controls)
การควบคุมภายในทั่วไป เป็นการควบคุมที่อาศัยนโยบาย และระเบียบปฏิบัติงาน เป็นหลักในการควบคุมกิจกรรมของหน่วยงานคอมพิวเตอร์

1.1. การควบคุมการดำเนินงานของศูนย์คอมพิวเตอร์
การควบคุมศูนย์คอมพิวเตอร์ เป็นการควบคุมเกี่ยวกับเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์และพนักงานด้านปฏิบัติการของศูนย์คอมพิวเตอร์ มีขอบเขตดังนี้

1) การจัดตารางปฏิบัติงาน การควบคุมข้อมูลนำเข้า และการควบคุมข้อมูลที่ได้จากการประมวลผล ได้แก่ การจัดตารางกำหนดเวลาปฏิบัติงาน การควบคุมการปฏิบัติงานข้อมูลที่นำเข้าประมวลผลและการควบคุมการใช้ข้อมูล เพื่อให้การจัดทำข้อมูลขั้นตอนต่อเนื่องแล้วเสร็จทันเวลา มีความถูกต้องครบถ้วนทุกรายการ และป้องกันข้อมูลที่เป็นความลับรั่วไหลไปสู่ภายนอก

2) การควบคุมการจัดเก็บแฟ้มข้อมูลและโปรแกรม เช่น เทป และจานแม่เหล็ก เป็นต้น ให้ปลอดภัยและเพียงพอในการประมวลผล

3) การรายงานเหตุขัดข้องและการซ่อมบำรุงเพื่อป้องกันความเสียหาย จะช่วยให้ทราบถึงสภาพของเครื่องจักรและโปรแกรมจัดระบบการทำงานของเครื่องคอมพิวเตอร์ และการดำเนินการให้เครื่องจักรและโปรแกรมดังกล่าวอยู่ในสภาพสมบูรณ์ สามารถตรวจสอบข้อผิดพลาดหรือบกพร่องในระบบด้วยตนเอง ซึ่งอาจตรวจไม่พบ หากมีส่วนประกอบชำรุดเสียหายซุกซ่อนอยู่ ไม่ปรากฏอาการที่เห็นได้ชัดเจน

4) การควบคุมสภาพแวดล้อมและการรักษาความปลอดภัยทรัพย์สินของศูนย์คอมพิวเตอร์ ได้แก่ การควบคุมการใช้ทรัพย์สิน การป้องกันทรัพย์สินเสียหายและการจัดเตรียมระบบสำรอง ไว้ให้ทดแทน

5) การแบ่งแยกหน้าที่ ได้แก่ การแบ่งแยกหน้าที่ในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลเพื่อให้การปฏิบัติงานไม่ซ้ำซ้อนกัน และป้องกันความเสียหายที่อาจเกิดขึ้นจากการใช้เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ และแฟ้มข้อมูลเนื่องจากมีการปฏิบัติไม่ชอบ

6) การกำกับ ได้แก่ การควบคุมดูแลให้มีการปฏิบัติตามระเบียบหรือหน้าที่อย่างเคร่งครัด หากมีการปฏิบัติที่ผิดแตกต่างจากระเบียบแผนที่เคยถือปฏิบัติ จะต้องมีเอกสารหลักฐานรายงานให้ทราบทุกครั้ง

7) การวางแผนทรัพยากร เป็นการวางแผนและประเมินสถานะของทรัพยากรในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลทั้งปัจจุบันและอนาคต เพื่อให้มีทรัพยากรเพียงพอต่อการดำเนินงาน ทรัพยากรเหล่านี้ได้แก่ เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ โปรแกรมและบุคลากร

8) การคำนวณค่าบริการคอมพิวเตอร์จากผู้ใช้ข้อมูล เป็นการคำนวณเพื่อประโยชน์ในการควบคุมทางการบริหาร นอกจากนี้ กรณีกิจการไม่มีคอมพิวเตอร์เป็นของตนเอง ควรคำนึงถึงการจัดทำสัญญาใช้บริการและระเบียบปฏิบัติที่ใช้ควบคุมการชำระค่าบริการด้วย

9) การตระเตรียมวิธีการปรับปรุงแก้ไขระบบคอมพิวเตอร์ที่ได้รับความเสียหายให้ปฏิบัติงานได้ตามปกติ วิธีการที่นำมาใช้ต้องสามารถแก้ไขสถานการณ์ที่เลวร้ายได้รวดเร็ว และป้องกันธุรกิจหยุดชะงักได้แน่นอน

1.2. การควบคุมการพัฒนาระบบงาน
การควบคุมภายในเฉพาะงานที่สร้างไว้ภายในระบบงานคอมพิวเตอร์จะรัดกุมและเหมาะสมเพียงใด ขึ้นอยู่กับความรู้ความชำนาญหรือประสบการณ์ของการออกแบบระบบงานเป็นสำคัญ ในปัจจุบันการถ่ายทอดวิทยาการเกี่ยวกับการควบคุมเฉพาะงานค่อนข้างเชื่องช้า มีค่าใช้จ่ายสูง ต้องอาศัยความร่วมมือจากผู้ที่เกี่ยวข้องหลายฝ่าย และไม่สามารถนำวิธีการควบคุมภายในที่ใช้กับระบบงานใดระบบงานหนึ่งไปใช้กับระบบงานอื่นได้ จึงจำเป็นต้องอาศัยการควบคุมการพัฒนาระบบงานช่วยแก้ปัญหาที่กล่าวข้างต้น เพื่อ
– ควบคุมค่าใช้จ่ายและรายะเวลาที่ใช้ในการพัฒนาระบบงาน
– ช่วยให้แน่ใจว่าการควบคุมภายในเฉพาะงานที่สร้างไว้ในระบบ มีความรัดกุมและเหมาะสม
– ช่วยให้แน่ใจว่ามีการทดสอบการควบคุมภายในเฉพาะงาน ด้วยวิธีการที่เหมาะสมก่อนนำไปใช้ข้างหน้า

การควบคุมการพัฒนาระบบงานมีขอบเขตดังนี้
1) System Development Life Cycle (SDLC) ได้แก่ การแบ่งงานพัฒนาระบบออกเป็นขั้นตอนต่าง ๆ หลายขั้นตอน เพื่อความสะดวกในการกำหนดจุดที่จะจัดการควบคุม ซึ่งนอกจากจะช่วยให้ฝ่ายบริหารมีเครื่องมือในการควบคุมค่าใช้จ่ายและระยะเวลาในการพัฒนาระบบงานแล้ว ยังช่วยทำให้เกิดช่องทางในการติดต่อประสานงานกับผู้ใช้ข้อมูล ผู้ตรวจสอบ พนักงานวางแผนจัดหาเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์มาใช้งานพนักงานที่รับผิดชอบในการพัฒนาระบบและพนักงานชั้นบริหาร

2) การบริหารโครงการ ได้แก่ การใช้เทคนิคในการวัดความก้าวหน้าของโครงการในแต่ละขั้นตอน เป็นหลักในการควบคุมเพื่อ
– ให้ทราบว่าผู้ใช้ข้อมูลให้ความเห็นชอบผลงานที่อยู่ในระหว่างการพัฒนาถึงขั้นตอนใดแล้ว
– เปรียบเทียบค่าใช้จ่ายที่เกิดขึ้นจริงกับค่าใช้จ่ายตามงบประมาณ และเปรียบเทียบระยะเวลาที่ปฏิบัติงานจริง กับระยะเวลาที่กำหนดไว้ล่วงหน้า
– เสนอรายงานสถานะของโครงการให้ผู้บริหารระดับสูงได้ทราบทุกระยะ

3) การกำหนดมาตรฐานหรือระเบียบปฏิบัติในการเขียนโปรแกรม เพื่อเป็นแนวทางปฏิบัติงานของผู้เขียนโปรแกรม ปัจจุบันนิยมใช้เทคนิคการเขียนโปรแกรมโครงสร้าง ช่วยลดความซ้ำซ้อนของงานเขียนโปรแกรม และเพื่อให้ผู้อื่นที่จะมาใช้โปรแกรมในภายหลังหรือผู้ที่จะมาปฏิบัติงานแทนผู้เขียนโปรแกรม ตั้งแต่เริ่มแรกสามารถทำความเข้าใจ และทำงานต่อไปได้

4) การทดสอบเพื่อตรวจรับระบบงาน คือ การทดสอบระบบงานและโปรแกรมก่อนนำไปใช้งานจริง เพื่อให้แน่ใจว่าระบบงานและโปรแกรมสามารถทำงานได้ตามประสงค์ของผู้ใช้ข้อมูลและสอดคล้องกับระเบียบปฏิบัติในการประมวลข้อมูลของศูนย์คอมพิวเตอร์

5) การควบคุมการแก้ไขโปรแกรม ได้แก่ การกำหนดระเบียบปฏิบัติในการปรับปรุงแก้ไข Application Program และ Operating Systems โดยจัดให้มีเอกสารหลักฐานและการขอความเห็นชอบในการแก้ไขโปรแกรม เพื่อป้องกันการปฏิบัติไม่ชอบ

6) การจัดทำเอกสารสนับสนุนการปฏิบัติงาน ซึ่งได้แก่ เอกสารที่อธิบายลักษณะการทำงานของระบบงานโดยละเอียด เพื่อให้ผู้อื่นที่ไม่ได้มีส่วนเกี่ยวข้องกับการพัฒนาระบบงาน เช่น ผู้ใช้ข้อมูล ผู้ตรวจสอบและพนักงานปฏิบัติการประมวลผล เป็นต้น สามารถทำความเข้าใจและประเมินผลได้

7) การบริหารงานฐานข้อมูล กรณีที่มีการนำระบบฐานข้อมูลมาใช้เพื่อให้ระบบต่าง ๆ สามารถใช้ข้อมูลร่วมกันและช่วยลดความซ้ำซ้อนในการจัดเก็บข้อมูลจะมีผลกระทบต่อการจัดองค์กรของศูนย์คอมพิวเตอร์ และการพัฒนาระบบงาน ซึ่งจำเป็นต้องปรับปรุงการควบคุมให้เหมาะสมด้วย

เรื่องที่นำเสนอไปในข้างต้นนี้นั้น เป็นส่วนของการควบคุมภายในทั่วไป (General Controls) ที่กล่าวโดยย่อ ๆ ในภาพกว้าง ๆ เท่านั้น ส่วนในรายละเอียดไว้ผมจะนำเสนอในโอกาสต่อ ๆ ไปครับ ในครั้งหน้าผมจะพูดถึงการควบคุมภายใน ในอีกลักษณะหนึ่งที่เรียกว่าเป็นการควบคุมภายในเฉพาะงาน หรือ Application Controls โปรดติดตามกันต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

พ.ค. 4, 2010

ในครั้งก่อน ท่านผู้อ่านก็ได้ทราบถึงประเภทของการตรวจสอบด้านคอมพิวเตอร์กันแล้วนะครับ ว่าได้มีการจัดแบ่งประเภทเป็นการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ หรือเรียกว่า General Control ซึ่งเป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ส่วนใหญ่เป็นการตรวจสอบเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง ส่วนอีกประเภทหนึ่งก็คือ Application Controls ซึ่งเป็นการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ในการประมวลผล

สำหรับวันนี้ผมจะขอนำเสนอแผนภาพการตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ (Application Audit) ซึ่งอาจจะเคยได้นำเสนอไปแล้ว ก็ถือเป็นการทบทวนเพื่อให้เกิดความเข้าใจที่ต่อเนื่องและเห็นภาพขั้นตอนของกระบวนการตรวจสอบ IT ในเบื้องต้นที่ชัดเจนยิ่งขึ้นนะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

หลักการสอบทานการควบคุมภายในที่สำคัญ
แม้ว่าในการนำคอมพิวเตอร์มาใช้ จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบแต่ลักษณะการประเมินการควบคุมภายในและวิธีการตรวจสอบจะเปลี่ยนแปลงไป

ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนในการประมวลผลข้อมูล ย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้น การใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี ดังนั้นจึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทน ด้วยเหตุผล 3 ประการ คือ

1. ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ ช่วยให้มั่นใจได้ว่าการประมวลผลจะมีความสม่ำเสมอด้วย

2. การตรวจสอบที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ ในลักษณะของการทำ Substantive Test นั้นทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมาก และหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ

3. ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์

ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ที่ดีในการประเมินผลการตรวจสอบได้อีกด้วย

ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้อย่างมีประสิทธิผล ทักษะทาง IT ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้วต้องมีทักษะทาง IT ที่เหมาะสมและเพียงพอแก่การปฏิบัติหน้าที่ นอกจากนี้ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้

ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วจำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้าน IT และผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT เอง ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมด้วย

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

เมษายน 16, 2010

จากครั้งที่แล้วที่ผมได้พูดคุยถึงขั้นตอนของการตรวจสอบ และได้เล่าถึงประวัติของการตรวจสอบ เพื่อเป็นเกร็ดความรู้เล็ก ๆ น้อย ๆ ให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบ อย่างในหลักการและเทคนิคการตรวจสอบเช่น TDM – Test Data Method ที่แม้ว่าเวลาจะล่วงเลยมาจนถึงปัจจุบันแล้ว แต่ก็ยังเป็นเทคนิคที่ใช้ในการปฏิบัติงานได้เป็นอย่างดี ซึ่งผมจะได้นำเสนอในรายละเอียดของวิธี Test Data Method ภายหลังจากที่เราได้พูดคุยกันถึงขั้นตอนและกระบวนการตรวจสอบในเบื้องต้น เพื่อให้เข้าใจและเห็นภาพของกระบวนการตรวจสอบที่ชัดเจนยิ่งขึ้น ก่อนที่จะดำเนินการตรวจสอบตามกระบวนการตรวจสอบโดยเทคนิคและวิธีการต่าง ๆ ต่อไป

สำหรับวันนี้เรามาดูกันว่า ในขั้นตอนและกระบวนการตรวจสอบในเบื้องต้นนั้น มีการจัดประเภทของการตรวจสอบด้านคอมพิวเตอร์เอาไว้อย่างไร

การตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2 ประเภท คือ การตรวจสอบกิจกรรม หรือการดำเนินงานของหน่วยงานคอมพิวเตอร์ และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล

1. การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ (General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ซึ่งส่วนใหญ่เป็นเรื่องเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง มีหัวข้อการตรวจสอบดังนี้

1.1. การตรวจสอบภายในและการสอบบัญชี เป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชี ซึ่งได้รับมอบหมายจากฝ่ายบริหาร และผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบ มีขอบเขตการปฏิบัติงานครอบคลุมในเรื่องต่าง ๆ เพียงพอหรือไม่ และเชื่อถือได้เพียงใด

1.2. การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์ ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน

1.3. การพัฒนาระบบงานและโปรแกรม เป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม การแก้ไขระบบงานและโปรแกรม และความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน

1.4. การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูล และการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้อง ครบถ้วนและเชื่อถือได้เพียงใด

1.5. การปฏิบัติงานคอมพิวเตอร์ เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์ การจัดเก็บแฟ้มข้อมูล การรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน

1.6. การสื่อสารข้อมูล (กรณีใช้ Hardware และ/หรือ Software ร่วมกันหลายระบบงาน) เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร

1.7. การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการ กรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง ควรมีการตรวจสอบสัญญาการใช้บริการ การคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์ นอกเหนือจากการตรวจสอบตามหัวข้อที่กล่าวมาแล้วด้วย เพื่อป้องกันธุรกิจที่จำเป็นต้องใช้ข้อมูลที่ประมวลผลด้วยคอมพิวเตอร์ต้องหยุดชะงัก หากศูนย์คอมพิวเตอร์ไม่สามารถให้บริการได้ตามปกติด้วยเหตุใดก็ตาม

2. การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (Application Controls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงาน ซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบ ในแต่ละระบบมากกว่าการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ มีหัวข้อการตรวจสอบดังนี้

2.1. แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ
– การจัดทำเอกสารขั้นต้น หรือเอกสารประกอบรายการ
– การอนุมัติรายการ
– การเตรียมข้อมูลนำเข้า
– การเก็บรักษาเอกสารขั้นต้น
– การแก้ไขเอกสารที่มีข้อผิดพลาด

2.2. การทำรายการป้อนเข้าสู่ระบบงาน เป็นการตรวจสอบ
– การทำรายการป้อนข้อมูลเข้าสู่ระบบงาน ซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry
– หลักเกณฑ์ที่ใช้ในการควบคุมการทำรายการ เพื่อให้ได้ข้อมูลที่ถูกต้องและครบถ้วน
– การแก้ไขข้อผิดพลาดในการทำรายการป้อนเข้าสู่ระบบงาน

2.3. การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ซึ่งประกอบด้วย
– การใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน
– การเคลื่อนย้ายข้อมูลในระบบสื่อสาร ซึ่งต้องอาศัย Hardware และ Software ควบคุมการเคลื่อนย้ายข้อมูล
– การบันทึกรายละเอียดในการติดต่อสื่อสารระหว่างเครื่อง Terminal กับ CPU ไว้ที่ศูนย์คอมพิวเตอร์

2.4. การประมวลผล ได้แก่ การตรวจสอบ
– ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือได้เพียงใด
– การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง
– ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล
– การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล
– การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล

2.5. การเก็บรักษาข้อมูลและการนำข้อมูลไปใช้งาน เป็นการตรวจสอบ
– การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล
– การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล
– การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล

2.6. ผลลัพธ์ที่ได้จากการประมวลผล เป็นการตรวจสอบ
– การกระทบยอดข้อมูล
– การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล
– การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน
– การเก็บรักษาข้อมูลที่ได้จากการประมวลผล
– การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด

ในครั้งหน้าผมจะมานำเสนอกระบวนการตรวจสอบ ที่ได้จัดทำในรูปแบบของแผนภาพ พร้อมอธิบายถึงรายละเอียดของกระบวนการตรวจสอบและขั้นตอนของการตรวจสอบต่อไป โปรดติดตามนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ

มีนาคม 27, 2010

สำหรับผู้ตรวจสอบที่มีความรู้พื้นฐานการตรวจสอบด้าน IT จำกัด ให้ใช้แนวและกระบวนการตรวจสอบ IT ที่เป็นพื้นฐานเบื้องต้น โดยมีกรอบย่อ ๆ ในการปฏิบัติ ดังนี้ สำหรับผู้ที่มีความรู้ทางด้านการตรวจสอบ และมีขอบเขต รวมทั้งกำหนดเป้าหมายการตรวจสอบเชิงลึก ในระบบงานสำคัญ ๆ เพื่อให้แน่ใจถึงความถูกต้อง ตั้งแต่ Input – Process – Output รวมทั้งผู้ตรวจสอบทางด้านการเงิน และการดำเนินงาน และการปฏิบัติตามกฎหมายกฎเกณฑ์ สำหรับผู้ตรวจสอบที่เป็น Non – IT Auditors นั้น ก็อาจใช้แนวทางดังต่อไปนี้ได้เช่นกัน เนื่องจากผมกำลังเล่าถึงแนวทางการปฏิบัติที่เป็นพื้นฐานที่ง่ายและสะดวกที่สุด สำหรับผู้ตรวจสอบทั้ง 2 ประเภท ก่อนที่จะลงในรายละเอียดต่อไป

ขั้นตอนการตรวจสอบ

อาจแบ่งขั้นตอนการตรวจสอบเป็น 3 ขั้นตอนใหญ่ ๆ ได้ดังนี้
ขั้นตอนที่ 1 การวิเคราะห์ความเพียงพอของการควบคุมภายใน
โดยการตั้งวัตถุประสงค์การตรวจสอบ ขอบเขตการตรวจสอบ และการวางแผนการตรวจสอบ แล้วรวบรวมข้อมูลเบื้องต้นที่เกี่ยวข้องกับการตรวจสอบ เพื่อประเมินความน่าเชื่อถือได้ของการดำเนินงานและการควบคุมภายในแบบ Total System Approach คือ ดูทั้งส่วนที่เป็น Manual และ Computer จากนั้นก็กำหนดแนวการตรวจสอบขั้นตอนต่อไป

ในขั้นตอนนี้ ผู้ตรวจสอบควรประเมินและวิเคราะห์ความเสี่ยงในแต่ละรายงานและในแต่ละกิจกรรมของงานที่ตรวจสอบ วิธีที่ดีที่สุดคือ การตั้งคำถามว่า “มีอะไรที่จะก่อให้เกิดข้อผิดพลาดขึ้นได้” ระบุจุดที่การควบคุมเพื่อลดความเสี่ยง ในแต่ละกิจกรรม (Activities) ในแต่ละกระบวนการ (Process) เพื่อก้าวสู่ Business Objective อันจะก่อให้เกิดความเสียหายหรือความไม่ถูกต้อง หรือมีจุดเปิดของความผิดพลาด และจุดอ่อนบางประการที่มีนัยสำคัญต่อ Input – Process – Output ที่อยู่ในขอบเขตของการตรวจสอบ

เทคนิคที่ใช้วิเคราะห์ก็คือ การสัมภาษณ์ การใช้แบบสอบถาม การวิเคราะห์ Flowchart

ขั้นตอนที่ 2 ทดสอบการปฏิบัติงานตามระเบียบ หรือ Logic ที่ได้กำหนดไว้
เมื่อผู้ตรวจสอบได้ทำการระบุจุดที่ควรมีการควบคุมในความเสี่ยงแต่ละจุดแล้ว ก็ต้องประเมินว่า การควบคุมนั้นน่าเชื่อถือหรือไม่ ถ้าเชื่อถือได้ก็จะได้ทำการทดสอบการปฏิบัติงานที่เกี่ยวข้องกับการควบคุมภายใน เพื่อประเมินจุดอ่อน หรือข้อผิดพลาดที่อาจพึงมี และมีนัยสำคัญต่อไป โดยเฉพาะอย่างยิ่ง ข้อผิดพลาดที่อาจเกี่ยวข้องกับข้อมูลทางการ ซึ่งอาจต้องทำการทดสอบต่อไป ขั้นตอนนี้ ยังมีการรวบรวมรายละเอียดเพื่อการตรวจสอบเพิ่มเติมด้วย
เทคนิคที่ใช้ในการตรวจสอบขั้นนี้ก็คือ การสังเกตการณ์ การทำ Test Data หรือ Manual Trading

ขั้นตอนที่ 3 ทดสอบข้อมูลทางการเงิน
เช่น ยอดคงเหลือ รายการทางบัญชีต่าง ๆ และยอดรวมของบัญชีในงบการเงิน รวมทั้งความผิดปกติต่าง ๆ ทั้งด้าน Input – Process – Output และกระบวนการนำรายงานไปใช้งานในการตัดสินใจ โดยคำนึงถึงนโยบาย กลยุทธ์ ที่ถ่ายทอดไปสู่เป้าประสงค์ตามหลักการของ Information Technology Balance Scorecard และ Business Balance Scorecard ด้วยวิธีการที่เหมาะสม แล้วทำรายงานการตรวจสอบ

ขั้นตอนย่อยในการตรวจสอบจาก 3 ขั้นตอนใหญ่ ๆ ข้างต้นอาจใช้การตรวจสอบแบบ Around หรือ Through The Computer

การตรวจสอบ
1. การตรวจสอบแบบ Around/Through The Computer
การตรวจสอบคอมพิวเตอร์ในระยะเริ่มแรกเป็นการตรวจสอบแบบ “Auditing Around The Computer” เพื่อสอบทานความถูกต้องของข้อมูลที่ปรากฏในรายงานคอมพิวเตอร์ คล้ายกับการตรวจสอบสมุดทะเบียนบัญชีแยกประเภทและเอกสารที่เกี่ยวข้องในระบบเดิมที่ใช้พนักงานบันทึกรายการ ดังรูป

ในปี ค.ศ. 1966 (ผ่านมาแล้วหลายปีหน่อยนะครับ) คณะทำงานพิเศษ Audit EDP Task Force ของ The American Institute of Certified Public Accountants (AICPA) ขอให้ใช้คำอื่น ๆ เช่น “Auditing Without Using The Computer” แทนคำ “Auditing Around The Computer” เพราะอาจทำให้ผู้ตรวจสอบเกิดความเข้าใจที่คลาดเคลื่อนว่า ไม่จำเป็นต้อประเมินผลการควบคุมภายในด้านคอมพิวเตอร์ก็ได้ หากผู้ตรวจสอบได้ดำเนินการติดตามความเคลื่อนไหวของรายการที่ปรากฏในรายงานคอมพิวเตอร์ เพื่อพิสูจน์ความถูกต้องของข้อมูล

สำหรับการตรวจสอบแบบ “Auditing Through The Computer” หรือ Computer Assisted Audit Techniques” มีความหมายชัดเจนอยู่ในตัวแล้ว แต่อย่างไรก็ดี คำ “Auditing Around/Through The Computer” ได้มีความสำคัญลดน้อยลง เมื่อสถาบันที่ทำหน้าที่ควบคุมการประกอบวิชาชีพสอบบัญชีหลายประเทศได้กำหนดมาตรฐานตรวจสอบคอมพิวเตอร์ให้ผู้ตรวจสอบถือปฏิบัติ

2. มาตรฐานการตรวจสอบ
มาตรฐานการตรวจสอบคอมพิวเตอร์ที่ควรทราบ มีดังนี้
ประเทศสหรัฐอเมริกา
เมื่อเดือนธันวาคม ค.ศ. 1974 AICPA ได้ออก Statement of Auditing Standard No. 3 (SAS#3) มี 3 ประเด็นสำคัญสรุปได้ดังนี้
1) กรณีที่มีการใช้คอมพิวเตอร์กับงานบัญชีที่มีนัยสำคัญ ผู้ตรวจสอบควรสอบทานระบบเพื่อทำความเข้าใจในเรื่องต่อไปนี้
1.1) ทางเดินของรายการบัญชี
1.2) ขอบเขตการใช้คอมพิวเตอร์
1.3) โครงสร้างพื้นฐานของการควบคุมภายใน
2) กรณีงานคอมพิวเตอร์มีความสลับซับซ้อน จะต้องมีผู้เชี่ยวชาญร่วมงานตรวจสอบด้วย
3) การใช้คอมพิวเตอร์ไม่มีผลกระทบต่อการควบคุมทางบัญชี แต่อาจมีผลกระทบต่อองค์กรและวิธีการที่จะทำให้บรรลุเป้าหมายในการควบคุม ซึ่งมีอิทธิพลต่อวิธีการตรวจสอบ

ประเทศแคนาดา
The Canadian Institute of Chartered Accountants (CICA) ได้ออก Guideline : Auditing in an Electronic Data Processing Environment เมื่อเดือนสิงหาคม ค.ศ. 1981 เพิ่มเติมจาก Computer Control Guidelines และ Computer Audit Guidelines ซึ่งออกในปี ค.ศ. 1970 และปี ค.ศ. 1974 ตามลำดับ สาระสำคัญสรุปได้ดังนี้
1) กรณีใช้ผู้เชี่ยวชาญคอมพิวเตอร์ ผู้ตรวจสอบต้องมีความรู้ด้านคอมพิวเตอร์ เพื่อควบคุมการปฏิบัติงานของผู้เชี่ยวชาญให้เหมาะสม
2) ผู้ตรวจสอบต้องประเมินความเพียงพอเกี่ยวกับความรู้ด้านคอมพิวเตอร์ของตนเอง
3) ควรพิจารณาหรือศึกษาระบบทั้งด้าน Manual และด้านคอมพิวเตอร์พร้อม ๆ กับการพัฒนาวิธีการตรวจสอบ แต่ผู้ตรวจสอบไม่จำเป็นต้องตรวจสอบระบบโดยละเอียด หากพิจารณาในขั้นต้นแล้วเห็นว่าเป็นระบบที่เชื่อถือไม่ได้
4) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในทั่วไป และ Operating System ด้านคอมพิวเตอร์
5) กรณีใช้คอมพิวเตอร์ช่วยตรวจสอบต้องจัดให้มีการควบคุมอย่างเพียงพอ เพื่อให้ได้ผลลัพธ์ครบถ้วนและเป็นไปตามวัตถุประสงค์ในการตรวจสอบ
6) ผู้ตรวจสอบควรมีส่วนร่วมในการพัฒนาระบบงานด้วย

สหราชอาณาจักร (United Kingdom)
Auditing Practices Committee Exposure Draft : Internal Controls in Computer – Based Accounting System ออกเมื่อเดือนพฤษภาคม ค.ศ. 1982 มีสาระสำคัญสรุปได้ดังนี้
1) ผู้ตรวจสอบไม่จำเป็นต้องเข้าใจระบบโดยละเอียด เว้นแต่จะมีแผนการตรวจสอบเพื่อให้ความเชื่อถือต่อระบบงานนั้น
2) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในเฉพาะงาน และการควบคุมภายในทั่วไป
3) ผู้ตรวจสอบสามารถใช้คอมพิวเตอร์ช่วยตรวจสอบเพื่อที่จะได้หลักฐานการปฏิบัติงานที่อยู่ภายใต้การควบคุมภายในเฉพาะงาน
4) ผู้ตรวจสอบควรรู้จักวิธีปฏิบัติในการตรวจสอบคอมพิวเตอร์ไว้หลาย ๆ วิธี

ประเทศไทย
คณะกรรมการควบคุมการประกอบวิชาชีพสอบบัญชี (ก.บ.ช.) และสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย ได้ประกาศใช้มาตรฐานการสอบบัญชี ฉบับที่ 28 และ 29 เรื่อง “การสอบบัญชีในกรณีที่ธุรกิจใช้คอมพิวเตอร์” และเรื่อง “การประเมินประสิทธิภาพการควบคุมภายในกรณีกิจการใช้คอมพิวเตอร์” ซึ่งมีรายละเอียดค่อนข้างมากและได้มีผลบังคับใช้แล้ว ตั้งแต่เดือนมิถุนายน 2533 เป็นต้น

ผมเล่าประวัติศาสตร์ค่อนข้างยาวพอสมควร เพื่อให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบที่แม้ว่าเวลาจะผ่านมาเนิ่นนานพอสมควร หลักการและเทคนิคการตรวจสอบบางอย่าง เช่น TDM – Test Data Method ก็ยังใช้ในการปฏิบัติงานได้ดี ประหยัด เทคนิคไม่ซ้ำซ้อน และไม่ต้องใช้โปรแกรมหรือเครื่องมือใด ๆ นอกจากผู้ตรวจสอบจะต้องเข้าใจหลักตรรกะ (Logic) ของการประมวลงานที่ใช้โปรแกรมเข้าช่วยในการประเมินผลพอสมควร ซึ่งจะได้กล่าวต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »