แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

มีนาคม 21, 2010

ท่านผู้ตรวจสอบ และท่านผู้อ่านที่ติดตามการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ก็คงได้ทราบกันไปแล้ว ถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึง รวมถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทัน และเตรียมพร้อมรับมือกับระบบงานยุคใหม่และการเปลี่ยนแปลงที่เกิดขึ้น ซึ่งก็เป็นแนวทางในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางประการ ในบางมุมมองเท่านั้นนะครับ

สำหรับในวันนี้ ผมมีแนวความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์มาเล่าสู่กันฟัง และอยากให้ท่านผู้ตรวจสอบ และผู้อ่านทุกท่านได้นำไปพินิจพิจารณากันดูครับ

1. คอมพิวเตอร์กับผลของการประเมินการควบคุมภายใน
– อาจไม่มีผลประการใด ๆ
– อาจมีผลกระทบเล็กน้อย
– อาจมีผลกระทบอย่างสำคัญ

ผู้บริหารขององค์กรต้องกำหนดให้มีการวางกฏเกณฑ์ในการควบคุมภายในอย่างมีประสิทธิภาพ เช่น การกำหนดอำนาจและการแบ่งแยกหน้าที่ การกำหนดให้มีเอกสารและการบันทึกบัญชีที่สมบูรณ์ ถูกต้อง ทันกาล ฯลฯ

2. ความรับผิดชอบของผู้บริหารต่อการควบคุมและการตรวจสอบ
มีผู้เกี่ยวข้อง 3 กลุ่มในการวางแผนการปฏิบัติงานและการควบคุม คือ
2.1. คณะกรรมการบริหารและ Audit Committee
2.2. ผู้ดำเนินงาน และ
2.3. ผู้สอบบัญชีภายใน หรืออาจมีผู้สอบบัญชีภายนอกร่วมด้วยก็ได้

3. บทบาทของคณะกรรมการบริหาร
วางแผนและจัดให้มีการควบคุมภายในของระบบงานต่าง ๆ ในภาพรวมอย่างกว้าง ๆ เพื่อลดความเสี่ยงต่าง ๆ ในส่วนที่เกี่ยวข้องกับ Operating และกำหนดให้มี Audit Functions ขึ้นมาติดตามดูแลการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ที่ได้จัดให้มีขึ้น

4. บทบาทของฝ่ายจัดการหรือผู้ดำเนินงานบางประการ
เป็นผู้รับแผนการควบคุมภายในของคณะกรรมการบริหารมาปฏิบัติ โดยจัดให้มีระเบียบ พิธีปฏิบัติและกำหนดกฎเกณฑ์ต่าง ๆ ให้ User และผู้ที่เกี่ยวข้องได้ปฏิบัติเพื่อให้การบันทึกบัญชีต่าง ๆ มีความน่าเชื่อถือได้และเป็นไปตามตัวบทกฎหมายที่เกี่ยวข้อง

5. หน้าที่ของ Board of Directors หรือ Audit Committee เบื้องต้น
ในองค์กรที่ใช้คอมพิวเตอร์ ควรจะครอบคลุมถึงการดูแลฝ่ายจัดการให้มีการปฏิบัติในเรื่องต่อไปนี้
– ระบุประเภทของความเสี่ยงต่าง ๆ ในแต่ละกิจกรรม รวมถึงสาเหตุความผิดพลาด และความผิดปกติต่าง ๆ ที่อาจจะเกิดขึ้นในองค์กรของตน
– จัดให้มีการควบคุมเพื่อลดความเสี่ยง และความผิดปกติต่าง ๆ ที่ได้รับพิจารณาแล้วนั้น โดยกำหนดเป็นระเบียบและวิธีปฏิบัติงานเป็นลายลักษณ์อักษร ให้ผู้เกี่ยวข้องยึดถือเป็นแนวปฏิบัติงาน เพื่อให้งานดำเนินไปอย่างมีประสิทธิภาพน่าเชื่อถือได้
– ดูแลให้มีการปฏิบัติตามหลักการที่ได้กำหนดขึ้นแล้ว

6. บทบาทของผู้สอบบัญชีภายใน
– ติดตามดูแลให้มีการปฏิบัติตามนโยบายและวิธีการปฏิบัติงานตามที่คณะกรรมการบริหารฝ่ายจัดการได้กำหนดขึ้น
– ช่วยเหลือคณะกรรมการบริหารงาน และฝ่ายจัดการตามที่ได้รับมอบหมาย โดยเฉพาะอย่างยิ่งเข้าไปมีส่วนร่วมการจัดวางให้มีระบบการควบคุม และระบบตรวจสอบ ตั้งแต่ในระยะขั้นตอนการพัฒนาระบบงาน
– ปรับปรุง ศึกษา ค้นคว้า เทคนิคที่เกี่ยวข้องกับการพัฒนาทางเทคโนโลยีทางด้านคอมพิวเตอร์ เพื่อรักษามาตรฐานการปฏิบัติงาน ให้เหมาะสมกับสิ่งแวดล้อมที่เปลี่ยนแปลงไป

7. บทบาทของผู้สอบบัญชีภายนอก
– ประเมินความน่าเชื่อถือได้ของระบบการควบคุมภายใน เพื่อกำหนดขอบเขตการปฏิบัติงานตรวจสอบในเรื่องที่เกี่ยวข้อง
– ทดสอบการควบคุมภายใน และการปฏิบัติงานที่สำคัญ หากพิจารณาว่า การควบคุมภายในน่าเชื่อถือได้
– ทดสอบความน่าเชื่อถือได้ของข้อมูลทางการบัญชี และการเงินในงบการเงิน ในกรณีที่ผู้สอบบัญชีภายนอก พบจุดอ่อนหรือความผิดปกติของการควบคุมภายในที่มีนัยสำคัญ หรือพบเรื่องที่มีการปฏิบัติฝ่าฝืนกฎหมาย หรือกฎระเบียบข้อบังคับของบริษัท External Auditor จะต้องแจ้งให้ Operating Management ทราบด้วยเสมอ

8. ความรับผิดชอบของการตรวจสอบทางด้าน Computer หรือ IS Audit
มาตรฐานการตรวจสอบทางด้าน Field Work ที่เกี่ยวข้องกับการประเมินการควบคุมภายใน ในองค์กรที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบจะครอบคลุมถึงเรื่องต่อไปนี้เป็นพื้นฐานด้วย คือ
– ความเข้าใจพื้นฐานของทางเดินของรายการในแต่ละระบบงานตั้งแต่ต้นจนจบ
– ความเข้าใจพื้นฐานของโครงสร้างการควบคุม ทั้งในส่วนที่เป็น Manual และส่วนที่เป็น Computer
– ความตั้งใจถึงการตรวจสอบใน File ต่าง ๆ ที่ใช้ในการทำงบการเงิน
– ในกรณีที่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ หากโปรแกรมนั้นพัฒนาโดยองค์กรที่ถูกตรวจสอบแล้ว ผู้สอบบัญชีจะต้องทดสอบโปรแกรมนั้น ก่อนให้ความเชื่อถือข้อมูลที่ได้จากการตรวจสอบด้วยเสมอ
– การประเมินการควบคุมภายในด้านคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ จะต้องดำเนินการโดยผู้ตรวจสอบที่มีประสบการณ์ด้านคอมพิวเตอร์อย่างเพียงพอ
– การประเมินการควบคุมในด้านคอมพิวเตอร์ ผู้ประเมินจะต้องมีความเข้าใจในลักษณะโครงสร้างของการควบคุมในองค์กรที่ตรวจสอบอย่างแท้จริง นั่นคือ ผู้ตรวจสอบควรจะทราบว่าองค์กรนั้น ควรต้องมีการควบคุมภายในอย่างไรบ้าง แทนที่จะประเมินหรือติดตามแต่เพียงว่าองค์กรนั้นได้ปฏิบัติตามการควบคุมที่มีอย่างไร เป็นต้น
– ผู้ประเมินต้องรวบรวมหลักฐานที่มี เพื่อยืนยันความเข้าใจในระบบการควบคุมภายในด้านคอมพิวเตอร์

9. วิธีการตรวจสอบระหว่างระบบงานด้านคอมพิวเตอร์
ผู้ตรวจสอบงานด้าน Computer หรือ Computer / IT Auditor หรือ Information System (IS) ผู้ตรวจสอบที่ประสบความสำเร็จ การตรวจสอบนั้นควรจะตั้งอยู่บนพื้นฐานดังนี้
– มีความเข้าใจในวิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ตามฐานความเสี่ยงอย่างเพียงพอ และ
– มีพื้นฐานความรู้ทางคอมพิวเตอร์ เทคโนโลยีและ Concept ของการตรวจสอบงานด้านคอมพิวเตอร์ที่จะกำหนดขอบเขต และขั้นตอนการตรวจสอบที่ได้ผล
– มีความรู้เกี่ยวกับการบริหารความเสี่ยง จาก Risk IT และ IT Risk ที่มีผลต่อ Business Process และ Business Objective ขององค์กร ในมุมมองการบริหารแบบบูรณาการยุคใหม่

ขั้นตอนการตรวจสอบข้างต้นนั้น มีรายละเอียดและขั้นตอนที่ผู้ตรวจสอบพึงทราบ และพึงเข้าใจหลายประการ ในเรื่องระบบงานและรายการต่าง ๆ ที่ประมวลผล โดยเฉพาะอย่างยิ่งขั้นตอนการรวบรวม และประมวลเอกสาร และหลักฐานการตรวจสอบที่เกี่ยวข้อง

วิธีการตรวจสอบดังกล่าว ได้ครอบคลุมโครงสร้างขององค์กร ทั้งในแนวตั้งและแนวนอน ผู้ตรวจสอบต้องเข้าใจธุรกิจที่จะตรวจสอบอย่างถ่องแท้ ต้องเข้าใจกิจกรรมต่าง ๆ ในแต่ละงานที่ตรวจสอบ และแน่นอนว่า ผู้ตรวจสอบต้องเข้าใจโครงสร้างของการควบคุมที่จำเป็นในแต่ละกิจกรรมนั้น เพื่อบรรลุวัตถุประสงค์ของการตรวจสอบด้วยเสมอ

โดยสรุป วิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จะช่วยให้ผู้ตรวจสอบคำนึงถึง
– ผู้ตรวจสอบจะต้องตรวจสอบอะไร อย่างไร ด้วยวิธีการใด
– เมื่อใดที่ควรจะทำการตรวจสอบหรือทดสอบ
– ทรัพยากรอะไรบ้างภายในองค์กรที่ต้องการตรวจสอบ
– หลักฐานที่เกี่ยวข้องกับผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Information Balanced Scorecard และที่มีต่อ Business Balanced Scorecard คืออะไร

ปิดความเห็น บน แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ) | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

มีนาคม 6, 2010

สวัสดีครับ หัวข้อนี้ก็ยังคงพูดคุยกันอยู่ในเรื่องของแนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งเป็นแนวทางในบางมุมมองของผม และก็เป็นเพียงแนวทางในเบื้องต้นที่ใช้ในการบริหารงานตรวจสอบ โดยในครั้งที่แล้วผมได้พูดถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทันกับการเปลี่ยนแปลงที่เกิดขึ้น และวันนี้ผมก็จะมาพูดถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึงกันครับ

การตรวจสอบของผู้ตรวจสอบเกี่ยวกับการบันทึกรายการบัญชีในระบบเดิม ผู้ตรวจสอบจะต้องคำนึงถึงความไม่แน่นอนในการปฏิบัติงานของพนักงานเป็นหลักในการตรวจสอบ แต่จะนำหลักการนี้มาใช้กับการตรวจสอบระบบบัญชีที่ใช้คอมพิวเตอร์ไม่ได้ เพราะเป็นที่ยอมรับกันโดยทั่วไปแล้วว่า การทำงานของคอมพิวเตอร์นั้นแม่นยำ แน่นอน และสม่ำเสมอ เพราะใช้โปรแกรมชุดเดียวกันในการประมวลผลข้อมูลด้านบัญชีที่เหมือน ๆ กันไปบันทึกบัญชีตามที่กำหนดไว้ด้วยคอมพิวเตอร์ หากเป็นสถาบันการเงินในบางมุมมองก็คือ
– การบันทึกบัญชีเงินฝากรายตัวแต่ละประเภท
– การคำนวณดอกเบี้ยเงินฝากตามประเภทเงินฝาก อัตราดอกเบี้ย และระยะเวลา
– การบันทึกเงินให้สินเชื่อรายตัวแต่ละประเภท
– การควบคุมอำนาจการให้สินเชื่อของผู้มีอำนาจในการปล่อยสินเชื่อ
– การคำนวณดอกเบี้ยส่วนลดเงินให้สินเชื่อตามประเภทเงินให้สินเชื่อ อัตราดอกเบี้ย และระยะเวลา
– การออกรายงานแยกประเภทหลักประกันสินเชื่อ ประเภทสินเชื่อ ธุรกิจที่องค์รกรให้สินเชื่อ
– การแยกประเภทการออกหนังสือค้ำประกันลูกค้า
– การคำนวณค่าเสื่อมราคาทรัพย์สินถาวร
– การบันทึกบัญชีรายได้ รายจ่าย กำไรขาดทุน
– การบันทึกบัญชีทรัพย์สิน หนี้สิน ส่วนของผู้ถือหุ้น
– การบันทึกบัญชีแยกประเภททั่วไป
– การจัดทำงบการเงิน เช่น งบดุล งบกำไรขาดทุน งบกำไรสะสม
– อื่น ๆ

ดังนั้น ผู้ตรวจสอบจึงจำเป็นต้องปรับปรุงวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับวิธีการปฏิบัติงานขององค์กร ที่เปลี่ยนจากระบบ Manual เป็นระบบ Computer ที่ต้องเข้าใจหลักการบริหารความเสี่ยงทั่วทั้งองค์กร และคำนึงถึงเทคนิคการตรวจสอบ เช่น การใช้ TDM – Test Data Method ซึ่งเป็นการตรวจสอบ Through Computer ง่าย ๆ แบบหนึ่ง หรือใช้โปรแกรมอื่น ๆ เข้าช่วยในการตรวจสอบด้วย เป็นต้น

สิ่งที่ผู้ตรวจสอบต้องคำนึงถึง คือ
1. วัตถุประสงค์ในการตรวจสอบ
ผู้ตรวจสอบภายในและผู้สอบบัญชี เป็นกลุ่มบุคคลที่ทำหน้าที่ตรวจสอบการปฏิบัติงานและฐานะการเงินขององค์กร ผู้ตรวจสอบภายในจะเน้นความสำคัญของการตรวจสอบของการปฏิบัติงาน ในขณะที่ผู้สอบบัญชีให้ความสำคัญเกี่ยวกับการตรวจสอบระบบการบัญชีและงบการเงิน แต่อย่างไรก็ตามบุคคลทั้งสองกลุ่มก็มีวัตถุประสงค์ของการตรวจสอบเหมือนกัน คือ

1.1. ตรวจสอบเพื่อให้แน่ใจว่า ในองค์กรนั้นมีและใช้ระบบการควบคุมความเสี่ยงที่เหมาะสม
1.2. ตรวจสอบว่าการใช้ทรัพย์สินมีประสิทธิภาพหรือไม่
1.3. ตรวจสอบว่ามีการป้องกันรักษาทรัพย์สินขององค์กรอย่างเหมาะสมหรือไม่
1.4. ตรวจสอบว่าระบบการบันทึกข้อมูลและการจัดทำงบการเงิน ถูกต้องและเชื่อถือได้หรือไม่
1.5. ตรวจสอบว่าองค์กรนั้น มีระบบ IT Security และการควบคุมที่เกี่ยวข้องอย่างเหมาะสมหรือไม่ โดยเฉพาะอย่างยิ่งการปฏิบัติตาม Compliance ++

ในปัจจุบัน มีการนำคอมพิวเตอร์มาใช้งานด้านบัญชีและการจัดทำงบการเงิน รวมทั้งการบริหารและการวิเคราะห์กันอย่างแพร่หลายแทบทุกเรื่อง ก็มิได้ทำให้วัตถุประสงค์ในการตรวจสอบของผู้ตรวจสอบภายในและผู้สอบบัญชีเปลี่ยนแปลงไป แต่ที่เปลี่ยนแปลงไปอย่างชัดเจนก็คือ วิธีและเทคนิคที่ใช้ในการตรวจสอบ ซึ่งเป็นเรื่องสำคัญมาก

2. สาเหตุที่คอมพิวเตอร์ทำให้ผู้ตรวจสอบต้องเปลี่ยนแปลงวิธีและเทคนิคในการตรวจสอบ
การนำคอมพิวเตอร์มาใช้งานด้านการบัญชีขององค์กร ไม่ทำให้ระบบการบัญชีมาตรฐานที่ผู้ตรวจสอบส่วนใหญ่คุ้นเคยดีอยู่แล้วเปลี่ยนแปลงไป แต่สิ่งที่เปลี่ยนแปลงไปและมีผลต่องานตรวจสอบก็คือ

2.1. ลักษณะภายในและภายนอกของแฟ้มหรือทะเบียนที่ใช้บันทึกข้อมูลทางบัญชี
1) วิธีการนำข้อมูลไปบันทึก
2) วิธีการนำข้อมูลมาใช้
3) วิธีการนำข้อมูลไปประมวลผล

นอกจากนี้ เมื่อข้อมูลที่อยู่ใน File เปลี่ยนแปลง จะไม่มีร่องรอยการเปลี่ยนแปลงให้เห็น ดังเช่น วิธีการบันทึกบัญชีแบบเดิม จึงไม่สามารถตรวจสอบความถูกต้องของข้อมูลใน File ได้ โดยใช้วิธีและเทคนิคการตรวจสอบแบบธรรมดา

2.2. รอยทางสำหรับการตรวจสอบ (Audit Trails) เปลี่ยนแปลงไป ผู้ตรวจสอบไม่สามารถติดตามการเคลื่อนไหวของเอกสาร ตามวิธีการตรวจสอบแบบธรรมดาได้อีกต่อไป เพราะข้อมูลในเอกสารการบัญชีเบื้องต้น จะถูกแปลงสภาพเป็นรหัส หรือสัญญาณที่ผู้ตรวจสอบไม่สามารถอ่านเข้าใจได้ และเก็บไว้ในสื่อที่ไม่สามารถสัมผัส หรือมองเห็นด้วยตาเปล่าได้ ดังนั้น ผู้ตรวจสอบอาจจำเป็นต้องใช้วิธีอื่น และ/หรือโปรแกรมคอมพิวเตอร์ช่วยในการตรวจสอบ

2.3. การเปลี่ยนแปลงที่สำคัญคือ การเปลี่ยนแปลงวิธีปฏิบัติการด้านการบัญชีทั้งหมด ซึ่งแต่เดิมเป็นหน้าที่ของพนักงานบัญชี โดยเปลี่ยนมาใช้โปรแกรมคอมพิวเตอร์ทำหน้าที่แทน ซึ่งจะทำให้ลดขั้นตอนการปฏิบัติงาน และขจัดการควบคุมภายในแบบดั้งเดิมไปหมด ทำให้ผู้ตรวจสอบทางการเงินทั่วไป อาจประสบกับปัญหาที่ไม่อาจประเมินงานควบคุมภายในระบบคอมพิวเตอร์ได้ และทำให้มีปัญหาในการกำหนดขอบเขต และวิธีการตรวจสอบที่เหมาะสม
การมอบหมายให้คอมพิวเตอร์ทำหน้าที่แทนพนักงานบัญชี มีข้อที่ผู้ตรวจสอบควรพิจารณา 2 ประการคือ

1) บุคคลที่ได้รับมอบหมายให้ควบคุมระบบคอมพิวเตอร์ อาจจะมีความรู้ความเข้าใจระบบการบัญชีไม่เพียงพอและ
2) ไม่เข้าใจระบบการควบคุมและตรวจสอบระบบงานด้านคอมพิวเตอร์อย่างถ่องแท้

ปัจจัยทั้งสองประการจะมีผลทำให้ระบบคอมพิวเตอร์มีจุดอ่อนที่ง่ายต่อการผิดพลาด หรือที่ร้ายแรงก็คือ การทุจริต ดังนั้น หน้าที่ประการแรกของผู้ตรวจสอบ เมื่อเข้าไปตรวจสอบระบบคอมพิวเตอร์ คือ การประเมินระบบควบคุมภายในซึ่งเป็นงานสำคัญของ IT Auditor

3. ร่องรอยสำหรับการตรวจสอบในระบบคอมพิวเตอร์
ร่องรอยการตรวจสอบสำหรับระบบการประมวลข้อมูลที่ไม่ได้ใช้คอมพิวเตอร์ ได้แก่
3.1. เอกสารหรือข้อมูลเบื้องต้น เช่น พวก Slip และเอกสารประกอบรายการทางการเงินอื่น ๆ
3.2. สมุดรายวัน การ์ดบัญชี
3.3. สมุดบัญชีแยกประเภททั่วไป และทะเบียนต่าง ๆ
3.4. รายงานงบการเงิน

ร่อยรอยดังกล่าวจะช่วยให้ผู้ตรวจสอบ สามารถตรวจสอบย้อนกลับไปมาระหว่างจุดเริ่มต้นที่เกิดรายการทางการเงิน กับรายการสรุปผลทางการเงิน เพื่อให้แน่ใจว่ารายงานทางการเงินที่ได้นั้น สะท้อนให้เห็นธุรกรรมทางการเงินขององค์กรอย่างแท้จริง

เพื่อไม่ให้เกิดการเข้าใจผิด เราควรจะเรียกร่อยรอยนี้ว่า Management Trail มากกว่าจะเรียกว่า Audit Trail เพราะสิ่งนี้จะเป็นประโยชน์แก่ผู้บริหารงานประจำมากกว่าผู้สอบบัญชี โดยเฉพาะในกรณีที่แหล่งภายนอกต้องการข้อมูลบางอย่างเป็นพิเศษ

4. การกำหนดขอบเขตและวางแผนตรวจสอบและกระบวนการวางแผนโดยแผนภูมิ

ครั้งหน้าเราจะไปต่อกันถึงความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กัน โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

กุมภาพันธ์ 21, 2010

ครั้งที่แล้ว ท่านผู้อ่านก็คงได้ทราบถึงการเปลี่ยนแปลงของการตรวจสอบกันไปแล้วนะครับว่า ในอนาคตจะมีแน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบอย่างไร ตามที่กล่าวมาแล้วข้างต้นในครั้งก่อนสรุปได้ว่า พัฒนาการต่าง ๆ ทางด้านการควบคุมและตรวจสอบตามไม่ทันกับการเปลี่ยนแปลง ทำให้หน่วยงานที่รับผิดชอบประสบปัญหาทั้งด้านบุคลากร และวิธีการตรวจสอบ ในการแก้ไขปัญหานี้ หน่วยงานที่รับผิดชอบด้านการตรวจสอบ จำเป็นที่จะต้องคิดสร้างระบบวิธีการที่เป็นพื้นฐานสำหรับการตรวจสอบที่เข้าใจง่ายและชัดเจน สามารถใช้เป็นแนวทางการตรวจสอบของผู้ตรวจสอบได้ในระยะเริ่มแรก และผู้ตรวจสอบคนอื่น สามารถติดตามการเปลี่ยนแปลงของระบบงานในจุดที่ต้องการได้อย่างมีประสิทธิภาพ แน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบในอนาคตดังกล่าว จึงเป็นเหตุให้เราต้องพูดคุยกันถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้นในวันนี้กันครับ

แนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น
“TOTAL SYSTEMS APPROACH” เป็นระบบการตรวจสอบแบบหนึ่ง ที่เน้นการตรวจสอบในลักษณะ การทำความเข้าใจในผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Business Objective ทั้งระบบ นั่นคือ เป็นการตรวจที่ผู้ตรวจจะต้องเข้าใจระบบงาน ทั้งในส่วนที่ใช้คอมพิวเตอร์ในภาพโดยรวม ในลักษณะที่เป็น Holistic Framework ซึ่งมีการเชื่อมโยงระหว่าง Activities ต่อ Activities และระหว่าง Process กับ Process และระหว่าง Objective และ Objective ในมุมมองของ Interdependency Approaches นั่นคือ ทุก Activities และทุก Process และทุก Objective ถึงแม้จะมีความเป็นอิสระในการประมวลงานในแต่ละ Application หรือในแต่ละระบบงานอย่างอิสระ

แต่ทั้งหมดตามที่กล่าวนี้ ก็มีความสัมพันธ์ต่อกันอย่างแยกกันไม่ได้ เพื่อก้าวไปสู่ Business Process ในการบรรลุ Business Objective ตามมุมมองที่องค์กรต้องการ นี่คือที่มาของคำว่า Interdependency Approach โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบจะต้องเข้าใจที่จะต้องวางแผนการตรวจสอบ ทั้งในส่วนที่ไม่ใช้คอมพิวเตอร์หรือทั้งสองอย่างรวมกัน แทนที่จะแยกการตรวจสอบเป็นส่วน ๆ เช่น ตรวจสอบเฉพาะระบบ Manual เพียงอย่างเดียว ทั้งนี้ สามารถใช้กับผู้ตรวจสอบที่มีความรู้คอมพิวเตอร์เพียงเบื้องต้น แต่ผู้ตรวจสอบผู้นั้น ต้องเข้าใจระบบงานขององค์กรทั้งหมดโดยรวม ซึ่งจะช่วยให้ผู้ตรวจสอบเข้าใจระบบงานอย่างง่าย ๆ โดยการวิเคราะห์การควบคุมระบบงานเป็นขั้น ๆ เป็นวิธีการทำงานตามหลักโครงสร้าง จะช่วยให้การตรวจสอบเป็นไปอย่างมีประสิทธิภาพและเป็นระเบียบ และในที่สุด ผู้ตรวจสอบจะต้องกำหนดว่า จะวางแผนการตรวจสอบในเรื่องใด ส่วนใดของระบบงานโดยรวม (Total System Approach) เพื่อให้การกำหนดขอบเขตเป็นไปตามเป้าประสงค์ ในการวางแผนการตรวจสอบแต่ละครั้ง ในแต่ละเรื่องที่เกี่ยวข้อง โดยคำนึงถึงว่า

1. ในการตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบไม่สามารถตรวจสอบส่วนต่าง ๆ ของระบบแยกกันได้โดยอิสระ ในเมื่อต้องวิเคราะห์ถึงผลกระทบของการตรวจสอบส่วนนั้น ๆ ต่อส่วนอื่น ๆ ของระบบ โดยควรเข้าใจและคำนึงถึง Interdependency Approach ซึ่งจะเป็นเรื่องสำคัญมากในการบริหาร และการตรวจสอบยุคใหม่ เนื่องจากระบบงานที่ประมวลผลด้วยเครื่องคอมพิวเตอร์ เกี่ยวพันต่อเนื่องกันตลอดการใช้ข้อมูลชุดเดียวกัน ความเชื่อถือได้ของระบบงานหนึ่ง ๆ ขึ้นอยู่กับความแน่นอนและครบถ้วนของระบบงานก่อน ในลักษณะนี้ข้อผิดพลาดอันหนึ่งสามารถตกทอดไปอยู่ในระบบงานต่าง ๆ ก่อให้เกิดการทำงานผิดพลาดได้ เช่น การตรวจสอบระบบบัญชีเงินฝากกระแสรายวัน ผู้ตรวจสอบต้องพิจารณาถึงระบบเงินฝากอื่น ระบบการหักบัญชี และระบบบัญชี เป็นต้น หากเป็นสถาบันการเงิน

2. งานประมวลผลด้วยคอมพิวเตอร์เป็นเพียงส่วนหนึ่งของทั้งระบบงานเท่านั้น ทั้งระบบงานจะรวมทั้งส่วนที่ประมวลผลด้วยคนและเครื่อง ปัญหาหลายอย่างที่เกี่ยวกับการประมวลผล มักสืบเนื่องจากผู้วางระบบไม่สนใจระบบงานส่วนที่ยังเป็น Manual โดยถือข้อสมมุติฐานที่ว่าข้อมูลที่รับเข้าไปถูกต้อง และไม่สนใจถึงผลของข้อมูลที่ผลิตออกไปแล้วของระบบงานนั้น ๆ ว่าจะถูกนำไปใช้อย่างไร ผู้ตรวจสอบจึงต้องประเมินทั้งระบบ และไม่ละทิ้งงานส่วนที่เป็น Manual
อย่างไรก็ตาม การที่จะใช้วิธีการตรวจสอบดังกล่าว ผู้ตรวจสอบต้องยอมรับความคิดที่ว่า งานด้านคอมพิวเตอร์ไม่สามารถตรวจสอบได้ โดยไม่มีความเข้าใจผลกระทบต่าง ๆ ที่มีต่อระบบงานของกิจการนั้น ผู้ตรวจสอบจะต้องชี้แจงให้ผู้ที่เกี่ยวข้องในระบบต่าง ๆ ของกิจการ เห็นความจำเป็นในการสร้างระบบควบคุม ซึ่งควรจะเริ่มจากผู้บริหาร ที่จะกำหนดให้ใครรับผิดชอบการทำเอกสารเกี่ยวกับระบบควบคุม ในลักษณะสร้างมาตรฐาน หรือตัวแทนของการควบคุมที่ควรจะมีอยู่ในที่ต่าง ๆ ของกิจการนั้น ซึ่งผู้ตรวจสอบในระยะเริ่มแรกมักจะต้องเป็นผู้จัดทำ ซึ่งต้องใช้เวลามากเกินกว่าครึ่งหนึ่งของเวลาการตรวจสอบ แต่ก็เป็นงานสำคัญในการตรวจสอบ แทนที่จะมุ่งใช้เวลาตรวจสอบระบบการควบคุมที่กิจการกำลังใช้อยู่ โดยประมวลจากเอกสารและการสอบถาม แล้วประเมินไปตามความเห็นของผู้ตรวจสอบ โดยไม่คำนึงถึงความเห็นของผู้เกี่ยวข้องเช่นที่ปฏิบัติกันอยู่ในปัจจุบัน

ในระยะยาวมาตรฐานและการควบคุมต่าง ๆ จะต้องมีการพัฒนา และใช้โดยเจ้าของงาน เจ้าหน้าที่ IT และผู้บริหาร ซึ่งมีหน้าที่โดยตรง บทบาทของผู้ตรวจสอบก็ควรอยู่ในลักษณะกระตุ้นเตือนผู้บริหาร เจ้าของาน และเจ้าหน้าที่ IT เกี่ยวกับการควบคุมในจุดที่ต้องปรับปรุง และทำหน้าที่ตรวจและประเมินผลการควบคุมต่าง ๆ อย่างแท้จริงได้

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

กุมภาพันธ์ 11, 2010

สวัสดีครับ วันนี้เรามาต่อกันเรื่องแนวทางการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กันครับ ซึ่งผมจะพูดถึงแนวโน้มการเปลี่ยนแปลงของการตรวจสอบในอนาคต ติดตามต่อกันเลยครับ

วิธีการตรวจสอบเท่าที่เคยทำกันมาพอจะสรุปได้เป็น 2 ลักษณะ คือ รวบรวมเอกสารต่าง ๆ และสอบถามเกี่ยวกับการดำเนินการของหน่วยงาน และระบบงานที่ใช้คอมพิวเตอร์ แล้วประเมินความเพียงพอของการควบคุมความเสี่ยงที่มีอยู่ ซึ่งเป็นวิธีการที่ใช้เวลามากและไม่ใคร่ได้ผล หลังจากนั้น จึงทำการทดสอบความถูกต้องของการทำงานในระบบคอมพิวเตอร์ ซึ่งทำได้ทั้งวิธีไม่ใช้เครื่องคอมพิวเตอร์และใช้คอมพิวเตอร์

อย่างไรก็ตามในขณะที่เทคโนโลยีด้านนี้ ได้เปลี่ยนแปลงไปอย่างรวดเร็ว แต่งานด้านการตรวจสอบทางด้านคอมพิวเตอร์ ก็ยังขาดทั้งบุคลากรที่มีประสบการณ์ และวิธีการตรวจสอบที่ทันกับการเปลี่ยนแปลงที่เกิดขึ้น เป็นผลให้การทำงานของผู้ตรวจสอบเท่าที่ผ่านมา อยู่ในลักษณะที่ทำงานให้ลุ่ล่วงไปเป็นเรื่อง ๆ เท่านั้น ขาดการวางแผนและควบคุมที่เหมาะสมในลักษณะการตรวจสอบแบบบูรณาการ ที่ควรคำนึงถึง Risk IT และ IT Risk ที่มีผลกระทบต่อกลยุทธ์ และการบรรลุเป้าประสงค์ขององค์กรโดยรวม สภาพการณ์ดังกล่าวย่อมผลักดันให้แนวโน้มการตรวจสอบในอนาคตต้องเปลี่ยนแปลงไปจากเดิมใน 4 ลักษณะ เป็นเบื้องต้นดังนี้

1. การเปลี่ยนแปลงในตัวผู้ตรวจสอบ
ในระยะต่อไปนี้ ผู้ตรวจสอบทั่วไปที่ตรวจงานเฉพาะด้าน Manual อย่างเดียวจะค่อย ๆ หมดไป ผู้ตรวจสอบทั่วไป จะต้องเข้ามาตรวจสอบงานที่ประมวลด้วยระบบคอมพิวเตอร์มากขึ้น และในกรณีที่ผู้ตรวจสอบทางด้าน Manual มีความเข้าใจในผลกระทบทางด้าน IT Risk และ Risk IT ที่มีผลต่อ Business และการควบคุมความเสี่ยงโดยรวมอย่างจำกัด คุณภาพของงานตรวจสอบก็จะถูกจำกัดเป็นอย่างมาก และเป็นอย่างยิ่ง จนถึงระดับที่ไม่น่าจะยอมรับได้

ส่วนผู้ตรวจสอบด้าน IT จะเปลี่ยนสภาพไปในลักษณะผู้ตรวจสอบด้าน Information System และระบบงาน ซึ่งเน้นการตรวจสอบระบบงานที่ยุ่งยากซับซ้อน ผู้ตรวจสอบด้าน Information System จะต้องรู้ระบบงานที่ใช้เทคโนโลยีสูง ๆ การใช้คอมพิวเตอร์ และโปรแกรมขั้นสูง วิธีการทางสถิติ การใช้โปรแกรมการตรวจสอบ การบริหารความเสี่ยง และการควบคุมทางด้าน Risk IT และ IT Risk ด้วยวิธีการต่าง ๆ ที่จะนำมาใช้ทดสอบข้อมูลและระบบงานอย่างบูรณาการ

2. การเปลี่ยนแปลงกระบวนการตัดสินใจเกี่ยวกับเรื่องที่จะตรวจ
ในการเลือกเรื่องตรวจ ผู้ตรวจสอบจะต้องมีความรู้ความเข้าใจเกี่ยวกับเป้าหมาย และนโยบายของกิจการทั้งในปัจจุบันและอนาคต เข้าใจหน้าที่เกี่ยวกับการประมวลผล มีการติดต่อที่ดีระหว่างส่วนงานต่าง ๆ ที่เกี่ยวข้อง ควรจะมีการสะสมระบบงานต่าง ๆ และจัดลำดับตามชนิดและความสำคัญไว้ และเมื่อมีการเปลี่ยนแปลงเกิดขึ้น ควรทบทวนใหม่ ระมัดระวังการตรวจสอบเรื่องที่เกินขอบเขต ไม่ควรเสียเวลาประเมินผลการควบคุมภายในของระบบงานเก่า ที่กำลังจะมีการยกเลิกเปลี่ยนแปลงแก้ไข แต่ควรจะให้ความสนใจ วิธีการที่จะสร้างการควบคุมที่ดีที่จะนำมาใช้กับระบบงานใหม่

3. การเปลี่ยนแปลงความคิดเห็นเกี่ยวกับการควบคุมภายใน
การสร้างระบบการควบคุมภายใน ควรจะเริ่มจากระดับสูงของกิจการ แต่ผู้ตรวจสอบจะต้องเข้าใจด้วยว่า รายการต่าง ๆ เกิดขึ้นอย่างไร และผ่านขบวนการปฏิบัติอย่างไร จึงจะบรรลุผลและจุดประสงค์ตามที่คาดไว้ การดูเฉพาะจุดที่เตรียมไว้ อาจเป็นผลให้ไม่พบสิ่งที่ผิดปกติตามมาตรฐานการตรวจสอบของ AICPA ไม่ได้บังคับ ผู้ตรวจสอบจะต้องใช้ Audit Through The Computer แต่บังคับว่าผู้ตรวจสอบต้องเข้าใจระบบเพียงพอ ที่จะทำการตัดสินใจกำหนดขอบเขตการตรวจสอบที่ถูกต้องตามเหตุผลได้ นอกจากนี้การสำรวจระบบการควบคุมภายในของระบบ IT จะทำให้มั่นใจในขอบเขตการตรวจสอบที่สมบูรณ์และเข้าใจง่าย

4. การเปลี่ยนแปลงวิธีการประเมินผลการควบคุมของผู้ตรวจสอบ
เนื่องจากการพัฒนาระบบงานใหม่ ๆ ที่จะเพิ่มขึ้นอย่างรวดเร็ว และปัญหาเรื่องการขาดแคลนบุคลากรด้านนี้ จะเป็นแรงผลักดันให้จำเป็นต้องมีการคิดค้นวิธีการวิเคราะห์ และประเมินผลการควบคุม ของกิจการที่ใช้คอมพิวเตอร์ให้เป็นไปตามหลักเหตุผล และมีประสิทธิภาพมากขึ้น สามารถตอบสนองวัตถุประสงค์ในหลาย ๆ ด้าน โดยมีหลักการเป็นขั้น ๆ ดังนี้

4.1. ทำความเข้าใจกับผลกระทบของระบบคอมพิวเตอร์ในด้านต่าง ๆ
4.2. พิจารณาว่าจะทำอะไรกับระบบงานใด ต้องใช้ความพยายามในระดับไหน
4.3. ดูว่าในระบบงานนั้น ๆ มีผลเสียหายที่อาจเกิดขึ้นหรือไม่ มีระบบการควบคุมหรือไม่ และทำการประเมินการควบคุมต่าง ๆ
4.4. หยิบยกการควบคุมสำคัญ ๆ มาทำการทดสอบ
4.5. ให้มีการรวบรวม และจัดทำเอกสารประกอบการตรวจสอบอย่างมีประสิทธิภาพ และสามารถสอบทานได้
4.6. รายงานผลการตรวจสอบ ในลักษณะที่จะช่วยให้การทำงานดีขึ้นและให้ข้อแนะนำในทางสร้างสรรค์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น

กุมภาพันธ์ 4, 2010

วันนี้ ผมจะได้กล่าวถึง แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น ทั้งนี้เพราะ มีท่านผู้อ่านที่ติดตามเรื่อง IT Audit และ Non – IT Audit บางท่านได้โทรศัพท์ หรือ e-mail มาคุยกับผมว่า เรื่องราวกำลังน่าสนใจมาก แต่ก็เริ่มสับสนที่จะทำความเข้าใจในภาพโดยรวม ที่เกี่ยวข้องกับ IT Audit และการนำไปอธิบายต่อให้กับเพื่อนร่วมงาน เนื่องจากผมได้เริ่มอธิบายแบบผสมผสานในมุมมองต่าง ๆ ของการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ในลักษณะของ Top Down บ้าง ในลักษณะของ Bottom Up บ้าง

โดยเฉพาะอย่างยิ่ง ผมได้นำหลักการบริหารยุคใหม่ที่เกี่ยวข้องกับ GRC – Governance Risk Management ที่สร้าง Integrated – Driven Performance และนำภาพของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการ COSO – ERM มาผสมผสานกับ CobiT โดยเชื่อมโยงกับกระบวนการบริหารการจัดการที่ดี ในมุมมองต่าง ๆ รวมทั้ง วิธีการนำเสนอในการจัดทำแผนการตรวจสอบในหลายลักษณะ ซึ่งขึ้นกับเป้าประสงค์ของการตรวจสอบ และขอบเขตการตรวจสอบ รวมทั้งศักยภาพของทรัพยากรขององค์กรที่มีความแตกต่างกัน

ถึงแม้จะมีการยกตัวอย่าง การตรวจสอบในบางลักษณะที่ใช้คอมพิวเตอร์ด้วยกัน แต่กระบวนการทำงานในการประมวลผลข้อมูลแตกต่างกัน รูปแบบหลักฐานการตรวจสอบที่ไม่เหมือนกัน วิธีการตรวจสอบยังแตกต่างกันมาก เป็นต้นนั้น ทำให้ท่านผู้อ่านที่ถูกดึงเข้ามาให้เข้าใจในภาพการบริหารองค์กรยุคใหม่โดยรวมที่แยกกันได้ยาก ระหว่างการตรวจสอบทางด้าน IT และ Non – IT Audit เพื่อก้าวไปสู่การประเมินผลกระทบของความเสี่ยงในระดับต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลต่อ COSO – ERM เพื่อการบรรลุวัตถุประสงค์ของธุรกิจในมุมมองต่าง ๆ

ก่อนที่ผมจะอธิบายในเชิงลึกต่อไป ผมจึงใคร่ขอย้อนกลับไปในมุมมองเบื้องต้นของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ บางมุมมอง เพื่อทบทวนความเข้าใจของท่านผู้อ่านในวันนี้ ดังนี้ครับ…

การนำคอมพิวเตอร์มาใช้อย่างแพร่หลายของกิจการต่าง ๆ ในปัจจุบันได้ก่อให้เกิดผลกระทบในด้านต่าง ๆ ซึ่งรวมทั้งงานตรวจสอบองค์กรที่ระบบงานต่าง ๆ ประมวลผลด้วยคอมพิวเตอร์ ผู้ตรวจสอบจึงควรได้ทราบถึงวิวัฒนาการของการตรวจสอบกิจการที่นำคอมพิวเตอร์มาใช้ในงานด้านต่าง ๆ การเปลี่ยนแปลงวัตถุประสงค์ ขอบเขต และแนวการตรวจสอบ ตั้งแต่อดีตจนถึงปัจจุบันที่เกิดขึ้นแล้วแนวโน้มการเปลี่ยนแปลงในอนาคต และแนวความคิดในการพัฒนาการตรวจสอบ ให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยีที่เป็นไปอย่างรวดเร็ว และแนวความคิดในการพิจารณาความเสี่ยงเพื่อการเข้าถึงจุดควบคุมหลักต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk (ซึ่งมีความหมายแตกต่างกัน) ที่มีผลต่อ Business Risk ในมุมมองต่าง ๆ จะมีประโยชน์ในการวางแผนและการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ประมวลข้อมูล

ผู้ตรวจสอบกับการเปลี่ยนแปลงทางเทคโนโลยีที่เกี่ยวกับการบันทึกข้อมูล
ในฐานะผู้ตรวจสอบเมื่อมีการเปลี่ยนแปลงใหม่ ๆ เกิดขึ้น ย่อมรู้สึกว่ามีปัญหา เช่น เดิมมนุษย์เคยบันทึกข้อมูลไว้บนก้อนหิน เมื่อต่อ ๆ มารู้จักทำกระดาษ รู้จักเย็บเป็นเล่ม รู้จักทำเป็นแผ่น Ledger Card หรือแบบฟอร์มต่าง ๆ ก็บันทึกข้อมูลบนสิ่งเหล่านี้แทน ในปัจจุบันเราสามารถบันทึกข้อมูลบนสื่อข้อมูลต่าง ๆ เช่น Magnetic Tap, Magnetic Disk, Floppy Disk ฯลฯ

ทุกครั้งที่มีการเปลี่ยนแปลงก็เกิดข้อสงสัยเกี่ยวกับความเชื่อถือในวิธีการบันทึกแบบใหม่ ๆ ทั้งในเรื่องการรักษาความลับของข้อมูล และความปลอดภัยของสื่อข้อมูล แม้จะถูกคัดค้านในระยะแรก ๆ แม้กระทั่งในปัจจุบัน สำหรับในบางองค์กร แต่การค้นพบเหล่านั้นก็ทำให้วิทยาการและธุรกิจเจริญก้าวหน้าขึ้น ซึ่งอาจสรุปได้ว่า การพัฒนาการตรวจสอบและการตรวจสอบด้านคอมพิวเตอร์ เป็นเรื่องจำเป็นอย่างยิ่งยวดในทุกองค์กร ทั้งในปัจจุบันและในอนาคต

วิชาชีพตรวจสอบก็ถูกผลักดันให้ต้องคิดค้นวิธีการตรวจสอบใหม่ ๆ ที่จะมาประเมิน และทดสอบความถูกต้องของระบบงาน และความเชื่อถือได้ของข้อมูลที่เปลี่ยนแปลงไปตามเทคโนโลยีใหม่ ๆ จึงจำเป็นที่ผู้ตรวจสอบจะต้องติดตามและศึกษาวิธีการตรวจสอบใหม่ ๆ เพื่อทดแทนวิธีการตรวจสอบบางอย่างที่ใช้อยู่เดิม ซึ่งไม่เหมาะสมกับเทคโนโลยีและสภาพแวดล้อมที่มีวิวัฒนาการทางด้านการพัฒนาเทคโนโลยีอย่างรวดเร็วในปัจจุบัน

สภาพการตรวจสอบด้าน IT ในปัจจุบัน
ผู้ตรวจสอบส่วนใหญ่ยังต้องการเพิ่มประสบการณ์ในการตรวจสอบงานที่ประมวลผลด้วยคอมพิวเตอร์มากขึ้น เมื่อเทียบกับระบบงานที่ยุ่งยากซับซ้อนในปัจจุบัน การฝึกอบรมผู้ที่จะมาทำงานด้านนี้มีปัญหาหลายประการ การตรวจสอบที่ทำกันอยู่ในปัจจุบันยังใช้ขอบเขต ทิศทาง และวิธีการที่น่าจะปรับปรุงได้ในหลายประการ เช่น การใช้คอมพิวเตอร์เป็นเครื่องมือช่วยในการตรวจสอบ และการกำหนดแนวทางการตรวจสอบจากความเข้าใจในระบบงานที่ประมวลผลโดยคอมพิวเตอร์ และเทคโนโลยีคอมพิวเตอร์ เช่น Terminal, Offline, Online, Communications, Storage Media, Programming, Database, System ต่าง ๆและการฝังระบบการควบคุม (Embedded) ไว้ในระบบงานอย่างอัตโนมัติตาม Logic ของการบริหารความเสี่ยงทั่วทั้งองค์กร เป็นต้น

สรุปปัญหาที่ได้เกิดขึ้นแล้ว
1. เทคโนโลยีด้านคอมพิวเตอร์ได้พัฒนาเร็วกว่าพัฒนาการทางด้านการตรวจสอบ และการสร้างระบบควบคุม ทั้งที่ผู้ตรวจสอบพยายามชี้ให้ผู้บริหารของกิจการต่าง ๆ เข้ามามีบทบาทในเรื่องการควบคุม แต่ก็ไม่เข้าไปช่วยเหลือในการสร้างระบบควบคุมอย่างจริงจัง ข้อแนะนำต่าง ๆ จากการตรวจสอบ มักจะไม่ได้คำนึงถึงความเห็นของผู้ปฏิบัติงานด้านต่าง ๆ
2. กิจการต่าง ๆ เปลี่ยนไปใช้ระบบงานใหม่ ๆ ที่ยุ่งยากซับซ้อน
3. การตรวจสอบด้านนี้ได้รับความสนใจอย่างจำกัด โดยเฉพาะอย่างยิ่งผู้บริหารระดับสูงที่มีระดับความเข้าใจ และการสนับสนุนที่แตกต่างกันมาก
4. ยังขาดบุคลากรที่มีความรู้และประสบการณ์ด้านนี้
5. ยังขาดวิธีการตรวจสอบที่จะทันกับการเปลี่ยนแปลงที่เกิดขึ้น
6. การตรวจสอบยังขาดการวางแผน และการควบคุมตามฐานความเสี่ยงที่ดี
7. ยังขาดการประสานงานที่ดีระหว่างผู้บริหาร เจ้าของงาน เจ้าหน้าที่ IT และผู้ตรวจสอบ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control (ต่อ)

มกราคม 24, 2010

ครั้งนี้ ผมตั้งใจจะนำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ แต่ก่อนจะถึงเรื่อง Application Control ที่ใช้คอมพิวเตอร์ ผมใคร่ขอทบทวนการตรวจสอบ IT Audit ทางด้าน General Control อีกสักเล็กน้อยนะครับว่า มุมมองทางด้าน General Control กับ Application Control มีความสัมพันธ์และเกี่ยวข้องกันด้วยเสมอ เพราะหาก General Control มีจุดอ่อน จะมีผลกระทบต่อ Application Control อย่างหลีกเลี่ยงไม่ได้ ในทุกมุมมองที่เกี่ยวข้อง คือ Input – Process – Output

ท่านลองดูแผนภาพสรุปในบางมุมมองของ General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ และโปรดทบทวนคำอธิบายเรื่อง IT Audit ที่ได้กล่าวมาตั้งแต่ต้น ท่านจะพบกับความท้าทายในรูปแบบต่าง ๆ ที่ต้องใช้ทักษะและศักยภาพในองค์ความรู้ที่เกี่ยวข้องกับ IT และ Business ซึ่งแยกกันไม่ได้เช่นกัน เพราะ Process ของการขับเคลื่อน Business Objective จะอาศัยเทคโนโลยีที่ไปขับเคลื่อน Business Process จาก IT Activities ในมุมมองต่าง ๆ ที่เกี่ยวข้องต่อไป

Understanding Controls on IT Environment

Understanding Controls on IT Environment

การผสมผสานองค์ความรู้ที่เกี่ยวข้อง ในการตรวจสอบของผู้ตรวจสอบและของผู้กำกับงานตรวจสอบ ทางด้าน IT และทางด้าน Manual จึงควรเข้าใจการบริหารและการจัดการองค์กรที่ต้องอาศัย IT ในภาพโดยรวม โดยเฉพาะอย่างยิ่ง หากนำหลักการของ GRC (Governance + Risk Management + Compliance) มาประยุกต์ใช้ในภาพโดยรวม ซึ่งเป็นการขับเคลื่อน Business Process ในลักษณะ Integrity – Driven Performance ซึ่งท่านที่สนใจสามารถติดตามได้จากหัวข้อที่เกี่ยวข้องในเว็บนี้

ผมใคร่ขอย้ำว่า การกำหนดขอบเขตการตรวจสอบ เพื่อให้ได้เป้าประสงค์ของการตรวจสอบในเวลาที่ต้องการ เป็นสิ่งที่ผู้ตรวจสอบต้องเข้าใจถึงองค์ประกอบที่เกี่ยวข้องเป็นอย่างมาก เพื่อให้การตรวจสอบมุ่งตรงประเด็น และเป็นไปตามการปฏิบัติอย่างที่ได้รับมอบหมาย ซึ่งอาจต้องใช้เทคนิคผสมผสาน ระหว่างการตรวจสอบเต็มรูปแบบ (Formal) และการตรวจสอบเป็นเรื่อง ๆ หรือดำเนินการในลักษณะของ Surprise Check ได้ เช่น การตรวจสอบทางด้าน IT Process ตามหลักการของ CobiT มี 4 Domain นั้น วัตถุประสงค์ในการตรวจสอบทางด้าน IT Process ต้องการเน้นเรื่องใด หรือ Domain ใด ใน 4 Domain หลักทางด้าน IT Process ซึ่งประกอบไปด้วย Planning and Organization หรือ Domain อื่น ซึ่งจะเกี่ยวข้องกับ Business Requirement ตามคุณลักษณะ 7 ประการ ของ CobiT หรือจะประเมินจุดอ่อน และความเสี่ยงจาก IT Resource ซึ่งมีองค์ประกอบ 5 ประการที่เกี่ยวเนื่องกันตามที่แสดงไว้ในแผนภาพ และอธิบายไว้ในหัวข้อนี้เมื่อวันที่ 7 มกราคม 2553 เป็นต้น

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง (ต่อ)

มกราคม 13, 2010

ในครั้งที่แล้ว ผมได้อธิบายการตรวจสอบทางด้าน IT Audit ที่เกี่ยวข้องกับการบริหารความเสี่ยง จากมุมเปิด (Exposure) ของจุดอ่อนที่อาจจะมีในกระบวนการบริหารในการจัดการทางด้าน IT Process เพื่อบรรลุ Business Objective ในมุมมองต่าง ๆ ซึ่งได้กล่าวและเน้นให้เห็นถึงความสำคัญความเข้าใจกระบวนการบริหารที่เกี่ยวข้องกันและแยกกันไม่ได้ระหว่าง Business Objective และ IT Objective ซึ่งพิจารณาได้ว่าเริ่มมีความซับซ้อนในมุมมองของการบริหารความเสี่ยงที่โยงใยกันระหว่างความเสี่ยงทางด้าน Business และความเสี่ยงทางด้าน IT และผลกระทบที่มีต่อภาพรวมของความเสี่ยงของทั้งองค์กร (Portfolio View of Risk) ทั้งในมุมมองของ IT และ Business

โดยความเป็นจริง ความเข้าใจถึง Portfolio View of Risk ตามมุมมองของ IT และ Business ซึ่งมีเป้าหมายในการ Focus ความเสี่ยงที่แตกต่างกัน เพราะมุมมองของ IT จะเกี่ยวข้องและเน้นถึง Information ที่สัมพันธ์กับ IT Balanced Scorecard ส่วนมุมมองของ Business จะเกี่ยวข้องกับ Business Scorecard ซึ่งมุมมองทั้ง 2 มีความสัมพันธ์กันอย่างลึกซึ้ง โดยเฉพาะมุมมองของการบริหารความเสี่ยงและการควบคุมภายใน และมีผลอย่างสำคัญต่อการสร้าง Business Value ที่มาจากฐานความเข้าใจของ Risk Driver และ Value Driver ที่ผมจะกล่าวต่อไป

วันนี้ผมกำลังพาท่านผู้ตรวจสอบเข้าสู่กระบวนการตรวจสอบทางด้าน General Control ขององค์กรที่ใช้คอมพิวเตอร์ต่อจากครั้งก่อน โดยมีมุมมองที่เน้นทางด้านกระบวนการบริหาร (Process) เพื่อบรรลุวัตถุประสงค์การควบคุมสารสนเทศที่ดี ตามหลักการของ CobiT ทีละ Domain ดังนี้

สำหรับการอ่านแผนภาพบางตารางข้างต้น อาจจะตัวอักษรเล็กไปสำหรับบางท่านนั้น ขอให้ท่านดำเนินการต่อไปนี้เพื่อขยายแผนภาพทุกแผนภาพที่ต้องการให้ใหญ่ขึ้นดังนี้ ให้ท่านกด Ctrl ค้างไว้ พร้อมเลื่อนลูกกลิ้งเม้าส์ (Scroll) ไปด้านหน้า ทั้งภาพและตัวอักษรจะใหญ่ขึ้นตามที่ท่านต้องการ และกลับกัน หากท่านเลื่อนลูกกลิ้งไปด้านหลัง ทั้งภาพและตัวอักษรก็จะเล็กลง

ครั้งต่อไป ผมจะได้นำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง

มกราคม 7, 2010

ครั้งที่แล้ว ผมได้อธิบายการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบการควบคุมภายในทั่วไป ของการบริหารศูนย์คอมพิวเตอร์ และการจัดการทางด้านคอมพิวเตอร์ (General Control) ซึ่งสามารถอธิบายโดยแผนภาพย่อ ๆ และเข้าใจได้สะดวก ดังนี้

จากภาพข้างต้น ผู้ตรวจสอบจะต้องกำหนดขอบเขตการตรวจสอบ ให้เป็นไปตามวัตถุประสงค์การตรวจสอบที่ต้องการ มิฉะนั้น การวางแผนการตรวจสอบเพื่อหาหลักฐานการตรวจสอบ และข้อสรุปที่เกี่ยวข้อง จะมีขอบเขตกว้างขวางที่อาจหาข้อสรุปได้ยาก และไม่อาจหาข้อยุติในการทำรายงานในกรอบเวลาที่กำหนดแล้วได้ เรื่องนี้ จึงเป็นเรื่องที่มีความสำคัญเป็นอย่างยิ่งต่อผู้ตรวจสอบ เพื่อกำหนดทรัพยากรที่จำเป็นต้องใช้ในการตรวจสอบตามขอบเขต และวัตถุประสงค์ที่เกี่ยวข้อง ทั้งนี้ขอให้ดูแผนภาพต่อไปนี้ประกอบการพิจารณาเพิ่มเติมจากข้อมูลที่ได้กล่าวมาก่อนหน้านี้

เมื่อท่านได้เห็นแผนภาพที่ 2 ข้างต้นแล้ว ผมใคร่ขอย้ำอีกครั้งหนึ่งว่า การกำหนดขอบเขตการตรวจสอบ ตามวัตถุประสงค์การตรวจสอบที่ชัดเจน ตามทรัพยากรที่กำหนดให้นั้น เป็นเรื่องสำคัญยิ่งต่อกระบวนการตรวจสอบโดยรวม ทั้งนี้ การระบุปัจจัยเสี่ยงที่อาจจะเกิดจากการบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resources) จะเกี่ยวข้องและมีผลกระทบกับกระบวนการ (IT Process) ตามหลักการของ CobiT และความเสี่ยงของ IT Process ก็จะเกี่ยวข้องและเกี่ยวพันกับ Activities ทางด้าน IT และทางด้าน Business ที่จะมีผลต่อกระบวนการบริหาร เพื่อให้ได้คุณลักษณะของสารสนเทศที่ดี หรือให้ได้ผลตาม Business Requirements ที่ต้องการ ซึ่งจะประกอบด้วย ประสิทธิผลของข้อมูลและการจัดการ (Effectiveness), ประสิทธิภาพของข้อมูลและการจัดการ (Efficiency), การรักษาความลับและการเข้าถึงข้อมูล (Confidentiality), ความครบถ้วนถูกต้องของข้อมูล (Integrity), สภาพพร้อมใช้งานของสารสนเทศ (Availability), การปฏิบัติตามกฎหมาย กฎเกณฑ์ (Compliance), ความน่าเชื่อถือของสารสนเทศ เพื่อการบริหารและการจัดการ (Information Reliability)

มาถึงตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT Audit ควรจะมีความเข้าใจในองค์รวมของกระบวนการบริหาร และการจัดการสารสนเทศที่ดี และเพียงพอที่สามารถจะสรุปจุดอ่อน ที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหายในมุมมองต่าง ๆ ทั้งทางด้าน IT และทางด้าน Business ที่เกี่ยวข้อง และผู้ที่เกี่ยวข้องควรจะเข้าใจการบริหารและการจัดการที่ผสมผสานระหว่าง Business Objective และ IT Objective ตามมุมมองของ Business Balanced Scorecard และ IT Balanced Scorecard อย่างพอเพียงด้วย

ถึงขั้นตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT และทางด้าน Manual Audit อาจจะเริ่มสับสนถึงมุมมองของการระบุปัจจัยเสี่ยง ที่เริ่มผสมผสานกันและแยกกันไม่ได้ ระหว่าง Business Risk และ IT Risk เพราะส่วนใหญ่จะมีการมอบหมายงานตาม Function ซึ่งเน้นเป็นเรื่อง ๆ (Silo) มากกว่า Business Process ที่เป็นการผสมผสานระหว่าง IT Activities กับ Business Objective

เรื่องนี้จะเข้าใจได้ดีขึ้นนะครับ ถ้าหากผู้ตรวจสอบจะได้ดูแผนภาพที่อธิบายโดยย่อถึง กระบวนการบริหารที่มีผลกระทบต่อเป้าหมายของการบริหารและควบคุมสารสนเทศที่ดี ที่มีผลต่อ Business Process และ Business Objective เพื่อบรรลุวัตถุประสงค์ตามหลักการของ CobiT ภายใต้ร่ม IT Governance ต่อไปนี้ทีละ Domain ซึ่งจะนำเสนอในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (IT / Manual Audit) กับความเข้าใจในภาพโดยรวม

ธันวาคม 15, 2009

ในครั้งที่แล้ว ผมได้พูดถึงหลักฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรจะมีความรู้ความเข้าใจในองค์รวมที่เกี่ยวกับหลักฐานการตรวจสอบที่เกี่ยวข้อง เพราะมิฉะนั้น การวางแผนการตรวจสอบ ซึ่งเป็นกระบวนการที่สำคัญยิ่งในการตรวจสอบ ทั้งทางด้าน IT และ Non – IT นั้น จะดำเนินการไม่ได้อย่างมีคุณภาพ ประสิทธิภาพ ไม่เข้าใจถึงผลกระทบของรายการที่ประมวลผลโดยคอมพิวเตอร์ ตามรูปแบบของหลักฐานที่มีตามการตรวจสอบ

วันนี้ ผมจะได้อธิบายต่อไป โดยใช้แผนภาพประกอบเป็นส่วนใหญ่ เพื่อพิจารณาขอบเขตการตรวจสอบ เมื่อเทียบกับภาพโดยรวมของการตรวจสอบ ทางด้าน IT / Manual Audit ต่อไปนี้ครับ

จากแผนภาพแทนคำอธิบายข้างต้น ท่านที่สนใจในเรื่อง IT Audit และ Manual Audit ในองค์กรที่ใช้คอมพิวเตอร์ คงจะได้เห็นแนวทางในการก้าวสู่กระบวนการตรวจสอบ จากฐานความเสี่ยงในเรื่องที่เกี่ยวข้อง และบรรลุวัตถุประสงค์ตามขอบเขตของงานที่ต้องการตรวจสอบ ซึ่งจะได้อธิบายในตอนต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หลักฐานการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์

ธันวาคม 7, 2009

วันนี้ ผมจะมาเล่าสู่กันฟังในเรื่องเกี่ยวกับการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์ จากครั้งที่ผ่าน ๆ มา ผมเคยได้พูดถึงขั้นตอนของการตรวจสอบทั้งทางด้าน IT Audit และ Non – IT Audit ไปแล้ว สำหรับครั้งนี้ผมจะนำเสนอเกี่ยวกับหลักฐานของการตรวจสอบทางด้านคอมพิวเตอร์ว่า ต้องมีเอกสาร หรือหลักฐานที่ใช้ในการตรวจสอบอย่างไรบ้าง

นอกเหนือจากการยกตัวอย่างในการตรวจสอบระบบงานเดียวกัน แต่รูปแบบของหลักฐานเปลี่ยนแปลงไป การวางแผนการตรวจสอบและกระบวนการตรวจสอบ เพื่อให้ได้หลักฐาน เพื่อสนับสนุนความเห็นในการให้ข้อแนะนำ ในเรื่องต่าง ๆ ที่เกี่ยวข้อง ก็มีความแตกต่างเป็นอย่างมาก

ท่านผู้ตรวจสอบด้าน IT และ Non – IT ลองพิจารณาดูซิครับว่า หากท่านหรือผู้ร่วมงานของท่าน ไม่เข้าใจผลกระทบของรูปแบบของหลักฐานที่เปลี่ยนแปลงไป จากกระบวนการที่ใช้คอมพิวเตอร์ ที่มีคุณลักษณะและกระบวนการทำงานที่แตกต่างกัน และด้วยเทคนิคที่ก้าวหน้าไปอย่างรวดเร็วในปัจจุบัน และมีผลต่อรูปแบบของกระบวนการทำงาน ผลกระทบต่อความเสี่ยงในมุมมองต่าง ๆ ทั้งด้าน IT Risk และ Risk IT ที่มีผลต่อ Business Process และ Business Objective ท่านและทีมงานของท่านจะมีวิธีการวางแผนการตรวจสอบอย่างไร จึงจะได้ผลดี และมีคุณภาพที่น่าเชื่อถือได้

ในกรณีที่ท่านเป็นคณะกรรมการตรวจสอบ หรือคณะกรรมการบริหารความเสี่ยง หรือคณะกรรมการดูแลทางด้าน Compliance ท่านควรจะตั้งคำถามแบบใด จึงจะมั่นใจอย่างสมเหตุสมผลว่า บุคลากรที่ท่านดูแลนั้น มีความสามารถ และมีความเข้าใจในงานที่ตรวจสอบ ตามสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างมากมาย และให้ข้อสังเกตที่มีคุณค่าเพิ่มได้อย่างเหมาะสม

เรื่องนี้ ผมเคยให้คำแนะนำวิธีการตั้งคำถามในรูปแบบต่าง ๆ ทั้งในลักษณะที่ผู้บังคับบัญชาอาจตั้งคำถามสอบถามผู้ใต้บังคับบัญชา หรือผู้ตรวจสอบต้องการตั้งคำถามกับผู้รับการตรวจสอบในแง่มุมต่าง ๆ ซึ่งมีความหลากหลาย และมีความซับซ้อนเป็นอย่างมาก ที่มีผลกระทบทางด้าน People Risk + Process Risk + Technology Risk (PPT)

ในการตรวจสอบ ผู้ตรวจสอบจำเป็นต้องหาหลักฐานเพื่อยืนยันความเพียงพอของการควบคุมในระบบการประมวลผล ซึ่งในระบบที่ทำด้วยมือ หลักฐานส่วนใหญ่มักได้แก่ เอกสารต่าง ๆ ที่สามารถมองเห็นได้ แต่ในระบบงานที่ใช้คอมพิวเตอร์ประมวลผล รูปแบบของหลักฐานได้เปลี่ยนแปลงไปอยู่ในรูปของสื่อแม่เหล็กเป็นส่วนใหญ่ ทำให้ไม่สามารถใช้วิธีการตรวจสอบแบบเดิมที่อาศัยเอกสารเป็นสำคัญต่อไปได้

ดังนั้น การที่ผู้ตรวจสอบจะสามารถตรวจสอบทาง IT ให้ได้ผลดีจึงจำเป็นต้องทราบถึงผลกระทบของเทคโนโลยีทางคอมพิวเตอร์ที่มีต่อหลักฐานที่จะใช้ในการตรวจสอบ เพื่อกำหนดแนวทางการตรวจสอบที่เหมาะสมต่อไปได้

รูปแบบของหลักฐานที่ผู้ตรวจสอบมักใช้ในการตรวจสอบระบบที่ทำด้วยมือ
1. เอกสารต้นกำเนิด เช่น แบบฟอร์มใบคำขอ
2. หลักฐานการอนุมัติ คือ การลงลายมือชื่อของผู้มีอำนาจในเอกสารต้นกำเนิดและการประทับวันที่และเวลาที่จัดทำเอกสารและผ่านการอนุมัติ
3. หลักฐานการประมวลผล เช่น แบบฟอร์มแสดงการคำนวณ คู่มือที่แสดงรายละเอียดข้อมูลหลักและกระดาษจากเครื่องบวกเลข
4. หลักฐานทางผลลัพธ์ เช่น เช็ค รายงานแสดงรายการเคลื่อนไหวทางบัญชี ใบเสร็จรับเงิน และรายงานต่าง ๆ

การเปลี่ยนแปลงลักษณะของหลักฐานเมื่อมีการนำเครื่องคอมพิวเตอร์มาใช้
1. รายการที่ทำโดยคน
ในระบบที่ทำด้วยมือ บุคคลมักเป็นผู้ให้กำเนิดรายการ และส่งเข้าสู่ระบบประมวลผล แต่ในกรณีที่ใช้คอมพิวเตอร์ ระบบงานคอมพิวเตอร์อาจให้กำเนิดรายการเองโดยอัตโนมัติ

2. ข้อมูลนำเข้าที่บันทึกในกระดาษ
เมื่อมีรายการเกิดขึ้น ในระบบที่ทำด้วยมือมักมีการจัดทำและบันทึกข้อมูลในเอกสารที่เป็นกระดาษ แต่ในระบบคอมพิวเตอร์ ข้อมูลจะบันทึกผ่านเครื่องเทอร์มินอล ซึ่งจะไม่ปรากฏอยู่ในเอกสารอีก เช่น การเปลี่ยนแปลงอัตราดอกเบี้ย พนักงานจะป้อนอัตราใหม่เข้าไปปรับปรุงที่แฟ้มข้อมูลหลักของลูกค้าเงินให้กู้ยืม ผ่านทางเครื่องเทอร์มินอลได้โดยทันที

3. การอนุมัติรายการ
ในระบบที่ทำด้วยมือ จะมีการอนุมัติรายการโดยผู้มีอำนาจอนุมัติ ลงลายมือชื่อ ชื่อย่อ หรือประทับตรายางแสดงการอนุมัติ แต่ในระบบคอมพิวเตอร์ จะมีการกำหนดการอนุมัติไว้ล่วงหน้า เช่น การกำหนดวงเงินการให้สินเชื่อในระบบ เมื่อมีการให้สินเชื่อระบบจะตรวจสอบว่าเกินวงเงินหรือไม่ หากไม่เกินที่กำหนด ระบบก็จะอนุมัติให้รายการผ่านได้โดยอัตโนมัติ

นอกจากนี้ การอนุมัติอาจกระทำได้ในรูปของการใช้ Password การรูดบัตรที่มีรหัสลับบันทึกไว้บนแถบแม่เหล็ก หรือการกำหนดระดับกุญแจที่ต้องใช้ประกอบการทำรายการที่เครื่องเทอร์มินอล

4. การจัดส่งข้อมูล
ในระบบที่ทำด้วยมือจะมีการจัดส่งข้อมูลในรูปของเอกสาร โดยใช้คนนำส่ง ส่งเป็นไปรษณีย์ภัณฑ์หรือส่งไปทางเรือ แต่ในระบบงานคอมพิวเตอร์ จะมีการจัดส่งข้อมูลหลังจากที่ได้บันทึกแปลงรหัส และรวบรวมไว้พร้อมแล้วในลักษณะของข้อมูลทางอิเล็คทรอนิกส์

5. การประมวลผลในรูปแบบที่มองเห็นได้
ในระบบที่ทำด้วยมือ มักมีการกำหนดขั้นตอนการประมวลผลแต่ละขั้นโดยไม่ซับซ้อน เพื่อลดความผิดพลาดที่อาจเกิดขึ้นจากบุคคลให้มากที่สุด แต่ในระบบคอมพิวเตอร์ การประมวลผลจะเป็นไปโดยอัตโนมัติตามขั้นตอนที่กำหนดไว้ในโปรแกรมคำสั่งงาน ซึ่งมักมีความสลับซับซ้อน อันเนื่องมาจากความต้องการให้เครื่องคอมพิวเตอร์สามารถปฏิบัติงานได้อย่างรวดเร็วและถูกต้องแม่นยำ

6. ข้อมูลหลัก
ข้อมูลหลักหรือข้อมูลที่ถาวรที่จำเป็นต้องใช้ในการประมวลผล มักบันทึกอยู่ในรูปข้อมูลที่อ่านได้ด้วยตาเปล่า แต่ในระบบคอมพิวเตอร์จะบันทึกอยู่ในรูปของสื่อแม่เหล็ก

7. รายงานข้อมูลผลลัพธ์
ในระบบที่ทำด้วยมือ ข้อมูลที่ได้จากการประมวลผลมักอยู่ในรูปของเอกสาร เช่น รายงาน เช็คที่พิมพ์รายการเรียบร้อย แต่ในระบบงานคอมพิวเตอร์มักไม่เป็นเช่นนั้น เช่น การโอนเงิน จะใช้วิธีโอนเงินทางอิเล็คทรอนิกส์ และข้อมูลผลลัพธ์ก็จะนำเสนอบนจอภาพ และในบางระบบอาจแสดงเฉพาะข้อมูลที่ไม่ปกติให้ทราบเพื่อปฏิบัติการต่อไปก็ได้

8. การจัดแฟ้มเอกสาร
ในระบบที่ประมวลผลด้วยมือ มักมีการจัดเก็บเอกสารข้อมูลในลักษณะที่เราพบเห็นกันโดยทั่วไป และเมื่อต้องการใช้ก็หาได้ไม่ลำบากนัก แต่ในระบบคอมพิวเตอร์มักเก็บข้อมูลอยู่ใน Disks ซึ่งการเรียกใช้หรือดึงข้อมูลออกมานั้นต้องใช้โปรแกรมคำสั่งงานดึงข้อมูลออกมาตามความต้องการ

9. ร่องรอยการตรวจสอบ
ในระบบที่ทำด้วยมือ ข้อมูลต่าง ๆ มักบันทึกอยู่ในรูปของเอกสาร ซึ่งจะมีทั้งข้อมูลต้นกำเนิดลายมือ ซึ่งแสดงการอนุมัติ วิธีการประมวลผล และผลลัพธ์ ซึ่งเพียงพอแก่การใช้เป็นร่องรอยในการตรวจสอบ ไม่ว่าจะเริ่มจากจุดกำเนิดรายการไปถึงยอดจำนวนรวม หรือย้อนกลับจากยอดจำนวนรวมไปยังเอกสารต้นกำเนิด

แต่ในระบบงานคอมพิวเตอร์ร่องรอยในการตรวจสอบมักกระจายกันอยู่ตามจุดต่าง ๆ ขึ้นอยู่กับลักษณะของระบบฐานข้อมูล และข้อมูลส่วนใหญ่เก็บอยู่ในรูปของสื่อแม่เหล็ก ผู้ตรวจสอบจึงจำเป็นต้องเข้าใจถึง Concept ของระบบการประมวลผล จึงจะสามารถทราบถึงขั้นตอนการประมวลผลและร่อยรอยที่จะใช้ในการตรวจสอบ ซึ่งก็ไม่ใช่เรื่องที่ง่ายนัก โดยเฉพาะอย่างยิ่งในระบบที่ค่อนข้างสลับซับซ้อน

10. คู่มือปฏิบัติงาน
ในระบบที่ทำด้วยมือ มักมีคู่มือปฏิบัติงานที่แสดงรายละเอียดแต่ละขั้นตอนของการประมวลรายการ เพื่อเป็นแนวทางสำหรับผู้ปฏิบัติงาน แต่ในระบบงานคอมพิวเตอร์คู่มือเหล่านี้อาจอยู่ในรูปของ Computer Program Listing, Data Dictionary Listing และเอกสารที่ผู้ขาย Software มอบให้แก่องค์กร

11. การติดตามรายการ
ในระบบที่ทำด้วยมือ ผู้มีอำนาจอนุมัติมักสอบทานการประมวลผลข้อมูลเพื่อให้เกิดความมั่นใจว่าข้อมูลดังกล่าวมีความสมเหตุสมผล มีความถูกต้องครบถ้วนสมบูรณ์และผ่านการอนุมัติ แต่ในระบบงานคอมพิวเตอร์โปรแกรมที่ได้กำหนด Logic ไว้ล่วงหน้าจะเช็คสอบข้อมูลเหล่านี้โดยอัตโนมัติ การใช้คนสอบทานแทบจะเป็นไปไม่ได้ โดยเฉพาะอย่างยิ่งในระบบคอมพิวเตอร์ที่มีความสลับซับซ้อนและเป็นระบบรวม และมีวงจรการประมวลผลที่สั้นขึ้นกว่าเดิม

12. การแบ่งแยกหน้าที่
ในระบบที่ทำด้วยมือ การแบ่งแยกหน้าที่ มักกระทำโดยการแบ่งแยกงาน ในระหว่างบุคคลต่าง ๆ เพื่อเกิดการควบคุมซึ่งกันและกัน ซึ่งก็มักเพียงพอและไม่ใคร่มีปัญหา แต่ในระบบงานคอมพิวเตอร์การแบ่งแยกงานในระหว่างบุคคลต่าง ๆ นั้นยังไม่เพียงพอ จำเป็นต้องมีการแบ่งแยกงานระหว่างขั้นตอนการประมวลผลโดยอัตโนมัติในแต่ละขั้นด้วย

13. การประมวลผลรายการจำนวนมาก
ในระบบที่ทำด้วยมือ มักใช้วิธี Resequencing หรือ Matching Diverse Data Elements แต่วิธีดังกล่าวก็ยุ่งยากและสิ้นเปลือง และจะกระทำเมื่อจำเป็นเท่านั้น ในระบบคอมพิวเตอร์ ข้อมูลจำนวนมากเหล่านั้นสามารถนำไปเก็บไว้ใน Database เพียงอันเดียว

และเนื่องจากคอมพิวเตอร์มีความสามารถในการประมวลผลด้วยความเร็วสูงมาก จึงสามารถนำเสนอข้อมูลดังกล่าวได้ในรูปแบบที่ต้องการได้ทุกเมื่อ และสามารถทำการวิเคราะห์ข้อมูลได้ละเอียดซับซ้อนกว่า อีกทั้งจะเรียกใช้ข้อมูลมากกว่าหนึ่งครั้งก็ได้

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »