แผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป

กรกฎาคม 21, 2009

ครั้งที่แล้วผมได้นำเสนอกรอบการตรวจสอบเรื่องการทุจริต และตั้งใจว่าจะตามด้วยสัญญาเตือนภัยของเหตุการณ์ที่อาจก่อให้เกิดการทุจริต (Red Flag) ได้ อย่างไรก็ดี เพื่อให้ท่านผู้อ่านที่ติดตามเรื่องการตรวจสอบทางด้าน IT และ Non – IT Audit ได้ทราบถึงหัวข้อของแผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป ผมจึงจะขอนำเสนอและอธิบายด้วยแผนภาพ เพื่อให้เกิดความเข้าใจและติดตามได้โดยง่าย

Internal Auditing Standards and Auditors & CEA

Internal Auditing Standards and Auditors & CEA

มาถึงจุดนี้ ท่านผู้อ่านโดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบภายในและผู้บริหารงานตรวจสอบภายในก็ยังไม่เห็นภาพการแบ่งแยก งานการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ที่ชัดเจน ทั้งนี้เพราะการเข้าใจในลักษณะการปฏิบัติงานของหน่วยงานรับตรวจ รวมทั้งขอบเขตและเป้าประสงค์ในการตรวจสอบ เป็นเรื่องจำเป็นที่จะต้องทำความเข้าใจกระบวนการประมวลข้อมูลด้วยคอมพิวเตอร์ เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า หากผู้ตรวจสอบได้รับมอบหมายให้ปฏิบัติงานตรวจสอบภายใน ในลักษณะที่เป็น manual ซึ่งไม่ใช่เป็นงานทางด้าน IT Audit ผู้ตรวจสอบก็ยังจำเป็นจะต้องศึกษาความน่าเชื่อถือของข้อมูลและสารสนเทศ ที่ประมวลโดยระบบคอมพิวเตอร์ก่อนวางแผนการตรวจสอบในขั้นตอนต่อไป

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

ในขั้นตอนนี้ สำหรับผู้ตรวจสอบที่ต้องการตรวจสอบภายในที่ไม่เกี่ยวข้องกับทางด้าน IT Audit อาจศึกษาแนวทางการตรวจสอบภายในของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ที่ร่วมกับ ตลาดหลักทรัพย์แห่งประเทศไทย จัดทำหนังสือแนวทางการตรวจสอบภายในขึ้นมา 2 เล่ม ที่ครอบคลุมภาพรวมของการตรวจสอบภายใน กระบวนการตรวจสอบ เทคนิคการตรวจสอบ และการบริหารงานตรวจสอบภายใน ซึ่งจัดทำได้ดีและเข้าใจได้ง่ายที่ผู้ตรวจสอบและผู้บริหารงานตรวจสอบ โดยเฉพาะงานตรวจสอบที่ไม่เกี่ยวข้องกับ IT Audit หรือเกี่ยวข้องในลักษณะเป็นพื้นฐานเบื้องต้น สามารถใช้หนังสือดังกล่าวในการศึกษาเพื่อปฏิบัติงานตรวจสอบภายในได้เป็นอย่างดี

ผมเองจะมุ่งให้คำอธิบายและแนะนำแนวทางการตรวจสอบที่ผสมผสานระหว่าง IT Audit และ Non – IT Audit ที่อาจไม่ได้กล่าวไว้ในหนังสือแนวทางดังกล่าวข้างต้น เพื่อให้เกิดความเข้าใจในอีกมุมมองหนึ่ง

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

เพื่อเป็นการสะท้อนถึงแนวทางดังกล่าว ผมจึงจะขอนำเสนอคำอธิบายในรูปแบบเป็น Slide ที่สามารถพิจารณาในรายละเอียดและสร้างความเข้าใจได้ลึกซึ้ง และเป็นกระบวนการที่ดีมากกว่าคำอธิบายเป็นลายลักษณ์อักษร ยกเว้นในกรณีจำเป็นที่เห็นว่าจะเป็นประโยชน์ต่อท่านผู้บริหารงานตรวจสอบภายใน และผู้ปฏิบัติงานการตรวจสอบภายใน ผมจึงจะยกตัวอย่างและอธิบายในรายละเอียด ซึ่งเป็นลายลักษณ์อักษรมากขึ้น

วันนี้ เราลองมาดูแผนภาพที่แสดงเป็น Slide ต่าง ๆ ให้ท่านได้ดู ซึ่งพยายามที่จะจัดลำดับให้ท่านผู้อ่านได้ติดตามและทำความเข้าใจได้ง่าย ดังที่เสนอในแผนภาพข้างต้นตามลำดับนะครับ

Risk-based Audit Approach and Auditors

Risk-based Audit Approach and Auditors

สำหรับการตรวจสอบการปฏิบัติการ โดยเฉพาะอย่างยิ่งการตรวจสอบที่เกี่ยวกับความเสี่ยงทางด้านผู้บริหาร และพนักงาน (People Risk) กระบวนการดำเนินงาน (Process Risk) และเทคโนโลยี (Technology Risk) ซึ่งเป็นเรื่องที่มีความสำคัญมาก โดยเฉพาะอย่างยิ่ง ธนาคารแห่งประเทศไทย ก็ให้ความสำคัญและให้น้ำหนักของกระบวนการตรวจสอบด้าน Operational Risk ซึ่งจะมีผลอย่างสำคัญต่อ Management Risk ที่มีผลกระทบต่อองค์กรในวงกว้าง และบางกรณีมีผลกระทบไม่เฉพาะหน่วยงานใด หน่วยงานหนึ่ง แต่มีผลกระทบต่อระบบงานและสังคมในภาพใหญ่เลยทีเดียว

Understand the Control Environment and Flow of Transactions

Understand the Control Environment and Flow of Transactions

สำหรับการตรวจสอบและประเมินศัยกภาพการปฏิบัติตาม Compliance ขอให้ท่าน CAE และผู้ตรวจสอบทุกท่าน ได้โปรดอย่าลืมว่า การบริหารเพื่อสร้างคุณค่าเพิ่มในลักษณะของ GRC ซึ่งเป็นกระบวนการขับเคลื่อนระบบบริหารแบบบูรณาการทั่วทั้งองค์กร ที่เรียกว่า Integrity – Driven Performance และเป็น A New Strategy for Success ผ่านกระบวนการ GRC ซึ่งเป็นแนวทางปฏิบัติของการบริหารยุคใหม่ที่เปลี่ยนคำจำกัดความในการบรรลุเป้าหมาย โดยมุ่งเน้น Stakeholders แทน Shareholders และได้เพิ่มการปฏิบัติตามมาตรฐาน และการสร้างจริยธรรมทางธุรกิจในการบริหารอย่างเป็นกระบวนการ ตามที่ผมได้กล่าวไว้ในหัวข้อ GRC ในวันนี้และในวันต่อ ๆ ไปนั้น ขอให้ท่านผู้บริหารงานตรวจสอบได้ลองติดตามดูว่า หากท่านจะวางแผนการตรวจสอบการบริหารงานยุคใหม่ที่ใช้กรอบของ GRC เป็นหลักแล้วละก็ ท่านควรจะวางแผนและปฏิบัติงานตรวจสอบเช่นใดจึงจะเหมาะสมนะครับ

1 ความเห็น | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เว็บใหม่ itgthailand.com

กรกฎาคม 21, 2009

เนื่องจาก ผมได้ปรับเปลี่ยนระบบของการเขียนเว็บบล็อก ด้วยการจดทะเบียนเป็นชื่อ itgthailand.com เพื่อให้มีศักยภาพ มีประสิทธิภาพ และมีความสเถียรมากขึ้น

ทุกท่านที่ติดตามเนื้อหา สาระ ข้อมูลความรู้ในหัวข้อต่าง ๆ ของ http://www.itgthailand.wordpress.com แห่งนี้ สามารถเข้าชมและติดตามเนื้อหาตอนต่อ ๆ ไปได้ใน http://www.itgthailand.com หรือคลิก link http://www.itgthailand.com ตั้งแต่วันนี้ (8 กรกฎาคม 2552) เป็นต้นไปครับ

Leave a Comment » | การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย (ต่อ)

กรกฎาคม 11, 2009

วันนี้เรามาต่อกันในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานเทคโนโลยีสารสนเทศบางประการกันครับ

การจัดการ/การควบคุมบางประการ
1. 1) กำหนดประเภทของกิจกรรม (Activities) และเป้าหมายหลัก (Objectives) ในการพัฒนาระบบงานให้เป็นมาตรฐานทันกับเหตุการณ์
2) ให้ผู้บริหารระดับสูงและผู้ใช้ข้อมูลทบทวนและประเมินผลงานทุกขั้นตอนของการพัฒนาระบบงาน เมื่อพบว่ามีข้อที่ไม่สมเหตุสมผลอย่างร้ายแรงในขั้นตอนใด ให้สั่งหยุดการพัฒนาขั้นตอนถัดไปทันทีจนกว่าจะแก้ไขแล้ว/หรือ
3) ผู้บริหารระดับสูงอาจมอบหมายให้ผู้ตรวจสอบภายในของ องค์กรเป็นผู้ทำหน้าที่ทบทวนและประเมินผลขั้นตอนของการพัฒนาระบบงาน โดยเฉพาะความเหมาะสมของการควบคุมภายในของระบบงานการตรวจสอบและการมี Automated Solutions อย่างเหมาะสมและทันเวลา

2. 1) กำหนดประเภทของกิจกรรม (Activities) และเป้าหมายหลัก (Objectives) ในการพัฒนาระบบงานให้เป็นมาตรฐานจากผู้ที่เข้าใจจริง
2) ให้ผู้บริหารระดับสูงขององค์กรหรือมอบหมายให้ผู้ตรวจสอบภายในทำหน้าที่ทบทวนและประเมินผลทุกขั้นตอนของการพัฒนาระบบงานทุกระบบ

3. 1) การจ้างบุคคลที่ได้รับการอบรมและฝึกฝนทางด้านนี้โดยเฉพาะหรือส่งพนักงานที่มีอยู่ไปเข้ารับการอบรมและฝึกฝนทางด้านเทคนิคเพิ่มเติมภายในและภายนอกอยู่เสมอ
2) ให้จัดทำเอกสารประกอบการวิเคราะห์ทุกขั้นตอน :-
2.1) รายงานการศึกษาระบบงาน
2.2) รายงานความต้องการของระบบงาน
2.3) รายงานเกี่ยวกับเทคนิค
2.4) แผนการสร้างระบบงาน ฯลฯ
3) ให้ผู้ใช้ข้อมูลเป็นผู้ทดสอบระบบงานหรือที่เรียกว่า Acceptance Test หรืออาจมอบหมายให้ผู้ตรวจสอบ ภายในเป็นผู้ทำหน้าที่ทดสอบระบบงาน

4. 1) ให้ผู้ใช้ข้อมูลหรือผู้ตรวจสอบภายในเป็นผู้ทำหน้าที่ทดสอบระบบงาน (Acceptance Test)
2) ให้ผู้ออกแบบระบบงานจัดทำเอกสารประกอบโดยละเอียด

5. 1) การว่าจ้างบุคคลที่มีความสามารถเฉพาะหรือส่งพนักงานที่มีอยู่ไปเข้ารับการอบรมและฝึกฝนทางด้านเทคนิคเพิ่มเติมอยู่เสมอ
2) มอบหมายให้ผู้ควบคุมระบบงานด้านการวิเคราะห์และการเขียนโปรแกรมทบทวนผลลัพธ์ของการดำเนินงานพัฒนาระบบทุกขั้นตอน ก่อนส่งให้ฝ่ายบริหารและผู้ใช้ข้อมูลให้ความเห็นชอบ
3) ให้ผู้ใช้ข้อมูลหรือผู้ตรวจสอบภายในเป็นผู้ทำหน้าที่ทดสอบความถูกต้องของระบบงาน

6. 1) การกำหนดให้ผู้บริหารโครงการพัฒนาระบบใหม่ (Project Leader) จัดทำแผนและตารางการปฏิบัติงาน แต่ละโครงการ (Project Planing) และการมอบหมายงานให้พนักงานที่อยู่ในความรับผิดชอบการประเมินผลงานและการรายงานความคืบหน้าของ โครงการ (Status report)
2) มอบหมายให้ผู้ควบคุมงาน ทบทวนผลลัพธ์ที่ได้จากงานทุกขั้นตอน
3) มอบหมายให้ผู้ตรวจสอบภายในหรือผู้ออกแบบระบบงานทบทวนระบบงานนั้นอีกครั้งหลังจากที่ปล่อยให้ใช้กับงานจริงแล้ว 3 – 6 เดือน เพื่อค้นหาข้อผิดพลาดที่ยังหลงเหลือ เช่น เสียค่าใช้จ่ายในการปฏิบัติงานมากเกินไป

7. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำแผนในการพัฒนาระบบงานประเมินผลงานตามที่ปรากฏในแผน และจัดทำรายงานความคืบหน้าของโครงการเพื่อเสนอต่อฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูง
2) ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบการปฏิบัติงานทุกขั้นตอนโดยละเอียดและเรียบร้อย เพื่อส่งให้ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงทบทวนได้ทุกขณะเมื่อมีปัญหาเกิดขึ้น

8. 1) ให้ฝ่ายบริหารระดับสูงและผู้ใช้ข้อมูลทบทวนผลลัพธ์ที่ได้จากการพัฒนาระบบงานทุกขั้นตอน เมื่อเห็นว่าขั้นตอนใดมีผลลัพธ์ต่างไปจากที่ต้องการมากหรือไม่เหมาะสมกับสถานการณ์ในขณะนั้นให้สั่งระงับการพัฒนาระบบงานนั้นทันที หรือ
2) มอบหมายให้ผู้ตรวจสอบภายในกระทำหน้าที่แทน ภายใต้การรับผิดชอบของผู้บริหารระดับสูง

9. 1) ให้จัดทำเอกสารประกอบการพัฒนาระบบงานทุกขั้นตอนอย่างละเอียดและเรียบร้อย
2) ให้ฝ่ายบริหารระดับสูงและผู้ใช้ข้อมูลทบทวน
3) หรือมอบหมายให้ผู้ตรวจสอบภายในมีส่วนในการพัฒนาระบบงานแต่เริ่มแรก
4) หรือมอบหมายให้ผู้ตรวจสอบภายในทดสอบระบบงานนี้ก่อนนำออกไปใช้งานจริง

10. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบทุกขั้นตอนอย่างละเอียดและเรียบร้อย
2) มอบหมายให้ผู้ตรวจสอบภายในทดสอบระบบงานนั้นก่อนนำออกไปใช้งานจริง
3) ให้บริหารฝ่ายพัฒนาระบบงานทบทวนความถูกต้องทางด้านเทคนิคทั้งหมด
4) การจัดทำเอกสารประกอบระบบงานโดยละเอียดทั้งหมด

11. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำแผนงานและเป้าหมายของงานแต่ละขั้น เพื่อเป็นแนวทางในการปฏิบัติงานแก่พนักงานที่เกี่ยวข้อง
1.1) System Planing Steps
1.2) Development Steps
1.3) Implementation Steps
2) ให้ฝ่ายพัฒนาระบบงานทบทวนความถูกต้องทางด้านเทคนิคทั้งหมด
3) มอบหมายให้ผู้ตรวจสอบภายในเข้าไปร่วมในการพัฒนาระบบงานและทดสอบความถูกต้องของระบบงานนั้นก่อนนำออกไปใช้งานจริง
4) ให้ฝ่ายพัฒนาระบบงานทบทวนความถูกต้องของระบบงานนั้นอีกครั้งเมื่อปล่อยให้ใช้กับงานจริงแล้ว 3 – 6 เดือน
5) ให้จัดทำเอกสารประกอบระบบงานโดยละเอียดทั้งหมด

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย

กรกฎาคม 2, 2009

แน่นอนละครับว่า การปฏิบัติงานต่าง ๆ ทางด้านคอมพิวเตอร์ การพัฒนาระบบงาน รวมถึงจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศ อาจก่อให้เกิดการทุจริตในรูปแบบต่าง ๆ ได้ ฉะนั้น ผมว่าการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่ปัญหาจะเกิดย่อมดีกว่าการที่ปล่อยให้เกิดปัญหาแล้วมาแก้ไขในภายหลังครับ

ขั้นตอนการพัฒนางานโดยองค์กรเองหรือว่าจ้างผู้เชี่ยวชาญภายนอก รวมทั้งการ Customize หรือ Modify โปรแกรมสำเร็จรูปเพื่อการใช้งานทั่วไป อาจสร้างปัญหาให้องค์กรได้ โดยมีเหตุการณ์/การกระทำบางประการที่จะสร้างความเสียหายให้กับองค์กร ซึ่งมีแนวทางการควบคุมและจัดการกับความเสี่ยงได้ระดับหนึ่งดังนี้

ความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการหรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบและการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงานโดยอ้างเหตุผลว่าเป็นเรื่องทางเทคนิค เกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างมีระบบที่ต้องมีการประเมินงานทุกขั้นตอน

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงานและความต้องการของผู้ใช้ข้อมูล (Users) ดีพอ รวมทั้งการใช้เทคนิคทางการประมวลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงานและโปรแกรมงานขาดสาระที่สำคัญไปหรือเกินความเป็นจริง

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูลและด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจากการใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการ Modify และ/หรือ Customize ระบบงานหลักที่ต้องมีการปรับเปลี่ยนกระบวนงานปฏิบัติงานของโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรมออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูลซึ่งเป็น เจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งการออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูลหรือ

ในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจ “function” การทำงานต่าง ๆ ดีพอ จึงมีความพยายามในการ “Modify” และ/หรือ “Customize” ระบบงานใหม่

7. การสื่อสารความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงอยู่ในสภาพที่ใช้ไม่ได้ หรือต้องปรับปรุงอีกมาก

8. ไม่ได้วางหลักเกณฑ์ไว้ว่าเมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น การคาดคะเนค่าใช้จ่ายไว้ต่ำเกินไปมาก ความต้องการของหน่วยงานเปลี่ยนแปลงไป หรือมีกฎหมายใหม่ ๆ เกิดขึ้น จะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป

9. มีช่องทางล่อใจให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานบางคนพยายามสร้างวิธีการคดโกงหรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรมให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่นเพื่อประโยชน์ของตนเอง โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ก็สามารถฉ้อฉลข้อมูลได้

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิคหรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่ง เท่ากับเป็นการบีบบังคับหรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอดไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. 1) แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคนแตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมาย
2) ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร

ความเสียหายที่อาจเกิดขึ้นได้
1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified systems) และไม่ก่อให้เกิดประโยชน์ต่อการ แข่งขันในทางธุรกิจอันเนื่องมาจากการพัฒนาระบบงานที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์การตัดสินใจผิดพลาดด้วยจากระบบงานที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสมเพื่อการบริหารและการจัดการที่ดีด้วย

3. สูญเสียค่าใช้จ่ายและทำให้ฝ่ายบริหารตัดสินใจผิดพลาดได้ในขั้นตอนที่สำคัญ ๆ ซึ่งจะมีความเสียหายตามมาจากความเสี่ยงต่าง ๆ ที่เกิดขึ้นได้อีกมาก

4. การบันทึกข้อมูลทางบัญชีผิดพลาดจาก Logic หรือใช้ระบบการบัญชีที่ไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายในการประมวลผลเกินความจำเป็น

5. การบันทึกข้อมูลทางบัญชีผิดพลาดหรือระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการ Up-date ระบบงานหลักในภายหลัง โดย Supplier ไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็นหากมีการ Modify/Customize โปรแกรมหลัก ๆ

6. สูญเสียค่าใช้จ่ายในการพัฒนาระบบงานโดยไม่ได้รับผลประโยชน์ใด ๆ เนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้

สำหรับความเสียหายที่เกิดจากการ “Modify” และ/หรือ การ “Customize” นั้นก็อาจเกิด “จุดอ่อน” ตามมาได้มากมายและเกินกว่าที่ผู้บริหารและ Users จะคาดคะเนได้

7. 1) การตัดสินใจผิดพลาด
2) ผลตอบแทนการพัฒนา
3) ระบบงานใหม่ไม่คุ้มค่า
4) เสียประโยชน์จากการแข่งขัน
5) การประมวลผลหยุดชะงัก
6) ค่าใช้จ่ายมากเกินไป
7) การทุจริต
8) การประมวลผลผิดพลาด
9) การบันทึกบัญชีไม่ถูกต้อง

8. 1) สูญเสียค่าใช้จ่ายไปโดยไม่ได้รับประโยชน์คุ้มค่า
2) ใช้ IT ไม่สอดคล้องกับความต้องการของธุรกิจ/องค์กร
3) ใช้ IT ไม่คุ้มค่า

9. 1) การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย
2) อาจมีความเสียหายที่เกิดขึ้นได้ ตามที่กล่าวมาแล้วข้างต้น

10. 1) สูญเสียค่าใช้จ่ายโดยไม่ได้รับประโยชน์คุ้มค่าและอาจต้องพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ซึ่งจะทำให้เสียค่าใช้จ่ายเพิ่มมากขึ้น
2) เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่างๆ
3) ปัญหาอื่น ๆ ตามที่ได้กล่าวมาแล้วเกือบทุกข้อ

11. 1) การบันทึกข้อมูลทางบัญชีอาจผิดพลาดสูญเสียค่าใช้จ่ายไปโดยไม่ได้รับผลประโยชน์คุ้มค่า และยังอาจทำให้ธุรกิจขององค์กรชะงักงันได้
2) การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด

ครั้งหน้าไปต่อในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศบางประการกันครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย

กรกฎาคม 2, 2009

แน่นอนละครับว่า การปฏิบัติงานต่าง ๆ ทางด้านคอมพิวเตอร์ การพัฒนาระบบงาน รวมถึงจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศ อาจก่อให้เกิดการทุจริตในรูปแบบต่าง ๆ ได้ ฉะนั้น ผมว่าการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่ปัญหาจะเกิดย่อมดีกว่าการที่ปล่อยให้เกิดปัญหาแล้วมาแก้ไขในภายหลังครับ

ขั้นตอนการพัฒนางานโดยองค์กรเองหรือว่าจ้างผู้เชี่ยวชาญภายนอก รวมทั้งการ Customize หรือ Modify โปรแกรมสำเร็จรูปเพื่อการใช้งานทั่วไป อาจสร้างปัญหาให้องค์กรได้ โดยมีเหตุการณ์/การกระทำบางประการที่จะสร้างความเสียหายให้กับองค์กร ซึ่งมีแนวทางการควบคุมและจัดการกับความเสี่ยงได้ระดับหนึ่งดังนี้

ความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการหรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบและการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงานโดยอ้างเหตุผลว่าเป็นเรื่องทางเทคนิค เกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างมีระบบที่ต้องมีการประเมินงานทุกขั้นตอน

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงานและความต้องการของผู้ใช้ข้อมูล (Users) ดีพอ รวมทั้งการใช้เทคนิคทางการประมวลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงานและโปรแกรมงานขาดสาระที่สำคัญไปหรือเกินความเป็นจริง

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูลและด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจากการใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการ Modify และ/หรือ Customize ระบบงานหลักที่ต้องมีการปรับเปลี่ยนกระบวนงานปฏิบัติงานของโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรมออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูลซึ่งเป็น เจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งการออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูลหรือ

ในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจ “function” การทำงานต่าง ๆ ดีพอ จึงมีความพยายามในการ “Modify” และ/หรือ “Customize” ระบบงานใหม่

7. การสื่อสารความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงอยู่ในสภาพที่ใช้ไม่ได้ หรือต้องปรับปรุงอีกมาก

8. ไม่ได้วางหลักเกณฑ์ไว้ว่าเมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น การคาดคะเนค่าใช้จ่ายไว้ต่ำเกินไปมาก ความต้องการของหน่วยงานเปลี่ยนแปลงไป หรือมีกฎหมายใหม่ ๆ เกิดขึ้น จะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป

9. มีช่องทางล่อใจให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานบางคนพยายามสร้างวิธีการคดโกงหรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรมให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่นเพื่อประโยชน์ของตนเอง โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ก็สามารถฉ้อฉลข้อมูลได้

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิคหรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่ง เท่ากับเป็นการบีบบังคับหรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอดไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. 1) แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคนแตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมาย
2) ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร

ความเสียหายที่อาจเกิดขึ้นได้
1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified systems) และไม่ก่อให้เกิดประโยชน์ต่อการ แข่งขันในทางธุรกิจอันเนื่องมาจากการพัฒนาระบบงานที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์การตัดสินใจผิดพลาดด้วยจากระบบงานที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสมเพื่อการบริหารและการจัดการที่ดีด้วย

3. สูญเสียค่าใช้จ่ายและทำให้ฝ่ายบริหารตัดสินใจผิดพลาดได้ในขั้นตอนที่สำคัญ ๆ ซึ่งจะมีความเสียหายตามมาจากความเสี่ยงต่าง ๆ ที่เกิดขึ้นได้อีกมาก

4. การบันทึกข้อมูลทางบัญชีผิดพลาดจาก Logic หรือใช้ระบบการบัญชีที่ไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายในการประมวลผลเกินความจำเป็น

5. การบันทึกข้อมูลทางบัญชีผิดพลาดหรือระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการ Up-date ระบบงานหลักในภายหลัง โดย Supplier ไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็นหากมีการ Modify/Customize โปรแกรมหลัก ๆ

6. สูญเสียค่าใช้จ่ายในการพัฒนาระบบงานโดยไม่ได้รับผลประโยชน์ใด ๆ เนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้

สำหรับความเสียหายที่เกิดจากการ “Modify” และ/หรือ การ “Customize” นั้นก็อาจเกิด “จุดอ่อน” ตามมาได้มากมายและเกินกว่าที่ผู้บริหารและ Users จะคาดคะเนได้

7. 1) การตัดสินใจผิดพลาด
2) ผลตอบแทนการพัฒนา
3) ระบบงานใหม่ไม่คุ้มค่า
4) เสียประโยชน์จากการแข่งขัน
5) การประมวลผลหยุดชะงัก
6) ค่าใช้จ่ายมากเกินไป
7) การทุจริต
8) การประมวลผลผิดพลาด
9) การบันทึกบัญชีไม่ถูกต้อง

8. 1) สูญเสียค่าใช้จ่ายไปโดยไม่ได้รับประโยชน์คุ้มค่า
2) ใช้ IT ไม่สอดคล้องกับความต้องการของธุรกิจ/องค์กร
3) ใช้ IT ไม่คุ้มค่า

9. 1) การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย
2) อาจมีความเสียหายที่เกิดขึ้นได้ ตามที่กล่าวมาแล้วข้างต้น

10. 1) สูญเสียค่าใช้จ่ายโดยไม่ได้รับประโยชน์คุ้มค่าและอาจต้องพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ซึ่งจะทำให้เสียค่าใช้จ่ายเพิ่มมากขึ้น
2) เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่างๆ
3) ปัญหาอื่น ๆ ตามที่ได้กล่าวมาแล้วเกือบทุกข้อ

11. 1) การบันทึกข้อมูลทางบัญชีอาจผิดพลาดสูญเสียค่าใช้จ่ายไปโดยไม่ได้รับผลประโยชน์คุ้มค่า และยังอาจทำให้ธุรกิจขององค์กรชะงักงันได้
2) การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด

ครั้งหน้าไปต่อในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศบางประการกันครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย

มิถุนายน 24, 2009

พูดคุยกันถึงเรื่องเกี่ยวกับการทุจริตและการตรวจสอบการทุจริตมาก็หลายครั้งหลายครา โดยเฉพาะอย่างยิ่งการทุจริตในวงการของสถาบันการเงิน ซึ่งพักนี้มีข่าวคราวการทุจริตของสถาบันการเงินเปิดเผยออกมาให้ทราบกันหลายองค์กรทีเดียว ผมคิดว่าเป็นเรื่องสำคัญที่ผู้บริหารองค์กร ผู้ตรวจสอบ ต้องให้ความสนใจเป็นอย่างยิ่ง

เมื่อพูดถึงการทุจริตและการตรวจสอบ ยังคงมีเรื่องราวอีกมากมายที่น่าสนใจและต้องติดตาม อย่าเพิ่งเบื่อกันก่อนนะครับ เพราะในวันนี้ผมก็จะกล่าวถึงการทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย ซึ่งก็ยังเป็นเรื่องราวของการทุจริตอยู่เช่นเดิม ไปติดตามกันต่อเลยดีกว่าครับ

การทุจริตกับจุดอ่อนในการพัฒนาระบบเทคโนโลยีสารสนเทศ
การทุจริต คือ การกระทำใด ๆ ไม่ว่าจะใช้วิธีธรรมดา (Manual) หรือใช้ระบบเทคโนโลยีสารสนเทศ (IT) เข้าช่วย หรือผสมผสานกันไป ซึ่งกฎหมายหรือระเบียบที่ระบุว่าเป็น
– การฉ้อฉล
– หลอกลวง
– ปกปิด หรือ
– ละเมิดอำนาจหน้าที่ตามความรับผิดชอบหรือจรรยาบรรณในการปฏิบัติงานที่ดีและ
– เป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับหรือมีเหตุบีบคั้นจากผู้อื่น
– เป็นการกระทำของบุคคล กลุ่มบุคคล หรือองค์กร เพื่อให้ได้มาซึ่งทรัพย์สินเงินทอง หรือข้อมูล หรือบริการพิเศษ เช่น การเพิกเฉย ละเลย การจ่ายเงินหรือให้บริการ หรือ

ตามคำจำกัดความของสมาคมผู้ตรวจสอบภายในของอเมริกา – สากล
– การทุจริต เป็นการกระทำเพื่อก่อให้เกิดผลประโยชน์ส่วนตัวหรือผู้อื่น หรือเอื้อผลประโยชน์ต่อธุรกิจอื่น ซึ่งเป็น Conflict of Interest ไม่ว่าจะทางตรงหรือทางอ้อม

จุดอ่อนที่ก่อให้เกิดการทุจริตด้านเทคโนโลยีสารสนเทศ
องค์กรที่มีผู้บริหารที่เข้าใจในเรื่องการบริหารความเสี่ยง (Risk Management) ที่มีการจัดทำระบบการควบคุมภายใน และจัดให้มีการตรวจสอบตามฐานความเสี่ยงซึ่งอยู่ภายในการกำกับดูแลกิจการที่ดีนั้น ควรจะได้ให้ความสนใจในการจัดให้มีและฝังระบบ (Embeded) การควบคุมและแนวการตรวจสอบภายในไว้ตั้งแต่ขั้นตอนการพัฒนาระบบงาน เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพตั้งแต่เริ่มแรก โดยกำหนดร่องรอยสำหรับการบริหารงานหรือแนวการตรวจสอบเป็น Audit Program ในแต่ละงาน และจัดให้มีผู้ตรวจสอบภายในมีส่วนร่วมจัดทำข้อมูลที่ใช้ในการทดสอบและประเมินผลการทดสอบก่อนนำระบบงานใหม่ไปใช้

ทั้งนี้ เพื่อป้องกันปัญหาต่างๆ ในการปฏิบัติงานตรวจสอบในภาคปฏิบัติจริง เพราะการไม่มีผู้ตรวจสอบภายใน (Internal Auditor) เข้าร่วมประเมินความน่าเชื่อถือได้ของระบบการปฏิบัติงาน ซึ่งรวมทั้งข้อมูลที่ผู้ใช้ (User) ต้องการในระดับต่าง ๆ ตามที่กำหนดไว้ในกรอบการปฏิบัติงาน ไม่ว่าหน่วยงานนั้น ๆ จะพัฒนา Application Program ขึ้นมาเอง หรือจะใช้โปรแกรมสำเร็จรูป (Package) จากผู้พัฒนาระบบงานภายนอกแล้วมาปรับระบบงานและการจัดทำรายงานให้เหมาะสมกับองค์กรนั้น ๆ บางส่วน (Modify and/or Customize) ก็ตาม

วิธีการดังกล่าวจะมีลักษณะการปฏิบัติงานเชิงป้องกันปัญหา (Proactive) ก่อนเกิดปัญหาต่าง ๆ ในการบริหารงานและการปฏิบัติงานของผู้บริหารและผู้ตรวจสอบภายในองค์กร ซึ่งจะสร้างประสิทธิภาพและประสิทธิผลในการดำเนินการและสอดคล้องกับการบริหารความเสี่ยง (Risk Management) ขององค์กรยุคปัจจุบันซึ่งบริหารในลักษณะ “ชี้ปัญหาให้ออก บอกประเด็นที่ต้องการทดสอบให้ถูก ชี้ประเด็นที่ต้องการในการตรวจสอบให้ได้ แล้วจัดวางระบบให้สอดคล้องกับความต้องการอย่างมีประสิทธิภาพก่อนที่จะเกิดปัญหาและความเสียหายภายหลัง”… ให้สอดคล้องกับกระบวนปฏิบัติงานของธุรกิจ โดยคำนึงถึงประสิทธิภาพของการใช้ระบบเทคโนโลยีสารสนเทศที่สามารถจะเอื้อประโยชน์ต่อการบริหารงานและการดำเนินงานขององค์กรในรูปแบบต่าง ๆ โดยเฉพาะการใช้เทคโนโลยีสารสนเทศเพื่อการจัดการ ควบคุม ตรวจสอบ เพื่อให้ได้ผลลัพธ์ที่ต้องการอย่างอัตโนมัติ รวดเร็ว และถูกต้องอย่างทันเวลา

ท่านผู้อ่านมีความเห็นเป็นอย่างไรบ้างครับ สำหรับแนวคิดและวิธีการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่จะเกิดปัญหา ในครั้งหน้าผมจะมาพูดคุยกันต่อถึงการพัฒนาระบบงาน และจุดอ่อนของการพัฒนาระบบงานภายนอกที่นำมาปรับใช้ เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย

มิถุนายน 24, 2009

พูดคุยกันถึงเรื่องเกี่ยวกับการทุจริตและการตรวจสอบการทุจริตมาก็หลายครั้งหลายครา โดยเฉพาะอย่างยิ่งการทุจริตในวงการของสถาบันการเงิน ซึ่งพักนี้มีข่าวคราวการทุจริตของสถาบันการเงินเปิดเผยออกมาให้ทราบกันหลายองค์กรทีเดียว ผมคิดว่าเป็นเรื่องสำคัญที่ผู้บริหารองค์กร ผู้ตรวจสอบ ต้องให้ความสนใจเป็นอย่างยิ่ง

เมื่อพูดถึงการทุจริตและการตรวจสอบ ยังคงมีเรื่องราวอีกมากมายที่น่าสนใจและต้องติดตาม อย่าเพิ่งเบื่อกันก่อนนะครับ เพราะในวันนี้ผมก็จะกล่าวถึงการทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย ซึ่งก็ยังเป็นเรื่องราวของการทุจริตอยู่เช่นเดิม ไปติดตามกันต่อเลยดีกว่าครับ

การทุจริตกับจุดอ่อนในการพัฒนาระบบเทคโนโลยีสารสนเทศ
การทุจริต คือ การกระทำใด ๆ ไม่ว่าจะใช้วิธีธรรมดา (Manual) หรือใช้ระบบเทคโนโลยีสารสนเทศ (IT) เข้าช่วย หรือผสมผสานกันไป ซึ่งกฎหมายหรือระเบียบที่ระบุว่าเป็น
– การฉ้อฉล
– หลอกลวง
– ปกปิด หรือ
– ละเมิดอำนาจหน้าที่ตามความรับผิดชอบหรือจรรยาบรรณในการปฏิบัติงานที่ดีและ
– เป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับหรือมีเหตุบีบคั้นจากผู้อื่น
– เป็นการกระทำของบุคคล กลุ่มบุคคล หรือองค์กร เพื่อให้ได้มาซึ่งทรัพย์สินเงินทอง หรือข้อมูล หรือบริการพิเศษ เช่น การเพิกเฉย ละเลย การจ่ายเงินหรือให้บริการ หรือ

ตามคำจำกัดความของสมาคมผู้ตรวจสอบภายในของอเมริกา – สากล
– การทุจริต เป็นการกระทำเพื่อก่อให้เกิดผลประโยชน์ส่วนตัวหรือผู้อื่น หรือเอื้อผลประโยชน์ต่อธุรกิจอื่น ซึ่งเป็น Conflict of Interest ไม่ว่าจะทางตรงหรือทางอ้อม

จุดอ่อนที่ก่อให้เกิดการทุจริตด้านเทคโนโลยีสารสนเทศ
องค์กรที่มีผู้บริหารที่เข้าใจในเรื่องการบริหารความเสี่ยง (Risk Management) ที่มีการจัดทำระบบการควบคุมภายใน และจัดให้มีการตรวจสอบตามฐานความเสี่ยงซึ่งอยู่ภายในการกำกับดูแลกิจการที่ดีนั้น ควรจะได้ให้ความสนใจในการจัดให้มีและฝังระบบ (Embeded) การควบคุมและแนวการตรวจสอบภายในไว้ตั้งแต่ขั้นตอนการพัฒนาระบบงาน เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพตั้งแต่เริ่มแรก โดยกำหนดร่องรอยสำหรับการบริหารงานหรือแนวการตรวจสอบเป็น Audit Program ในแต่ละงาน และจัดให้มีผู้ตรวจสอบภายในมีส่วนร่วมจัดทำข้อมูลที่ใช้ในการทดสอบและประเมินผลการทดสอบก่อนนำระบบงานใหม่ไปใช้

ทั้งนี้ เพื่อป้องกันปัญหาต่างๆ ในการปฏิบัติงานตรวจสอบในภาคปฏิบัติจริง เพราะการไม่มีผู้ตรวจสอบภายใน (Internal Auditor) เข้าร่วมประเมินความน่าเชื่อถือได้ของระบบการปฏิบัติงาน ซึ่งรวมทั้งข้อมูลที่ผู้ใช้ (User) ต้องการในระดับต่าง ๆ ตามที่กำหนดไว้ในกรอบการปฏิบัติงาน ไม่ว่าหน่วยงานนั้น ๆ จะพัฒนา Application Program ขึ้นมาเอง หรือจะใช้โปรแกรมสำเร็จรูป (Package) จากผู้พัฒนาระบบงานภายนอกแล้วมาปรับระบบงานและการจัดทำรายงานให้เหมาะสมกับองค์กรนั้น ๆ บางส่วน (Modify and/or Customize) ก็ตาม

วิธีการดังกล่าวจะมีลักษณะการปฏิบัติงานเชิงป้องกันปัญหา (Proactive) ก่อนเกิดปัญหาต่าง ๆ ในการบริหารงานและการปฏิบัติงานของผู้บริหารและผู้ตรวจสอบภายในองค์กร ซึ่งจะสร้างประสิทธิภาพและประสิทธิผลในการดำเนินการและสอดคล้องกับการบริหารความเสี่ยง (Risk Management) ขององค์กรยุคปัจจุบันซึ่งบริหารในลักษณะ “ชี้ปัญหาให้ออก บอกประเด็นที่ต้องการทดสอบให้ถูก ชี้ประเด็นที่ต้องการในการตรวจสอบให้ได้ แล้วจัดวางระบบให้สอดคล้องกับความต้องการอย่างมีประสิทธิภาพก่อนที่จะเกิดปัญหาและความเสียหายภายหลัง”… ให้สอดคล้องกับกระบวนปฏิบัติงานของธุรกิจ โดยคำนึงถึงประสิทธิภาพของการใช้ระบบเทคโนโลยีสารสนเทศที่สามารถจะเอื้อประโยชน์ต่อการบริหารงานและการดำเนินงานขององค์กรในรูปแบบต่าง ๆ โดยเฉพาะการใช้เทคโนโลยีสารสนเทศเพื่อการจัดการ ควบคุม ตรวจสอบ เพื่อให้ได้ผลลัพธ์ที่ต้องการอย่างอัตโนมัติ รวดเร็ว และถูกต้องอย่างทันเวลา

ท่านผู้อ่านมีความเห็นเป็นอย่างไรบ้างครับ สำหรับแนวคิดและวิธีการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่จะเกิดปัญหา ในครั้งหน้าผมจะมาพูดคุยกันต่อถึงการพัฒนาระบบงาน และจุดอ่อนของการพัฒนาระบบงานภายนอกที่นำมาปรับใช้ เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์

มิถุนายน 18, 2009

วันนี้ผมตั้งใจจะมาเล่าเรื่องสัญญาเตือนภัยที่อาจก่อให้เกิดการทุจริตหรือคิดมิชอบในองค์กร (Red Flags) ที่ใช้คอมพิวเตอร์ ถึงแม้องค์กรใดมีคอมพิวเตอร์ใช้เพียงเครื่องเดียว ก็พิจารณาได้ว่าองค์กรนั้นได้ใช้คอมพิวเตอร์แล้ว

เนื่องจากองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะสถาบันการเงินหลายแห่งมีการทุจริตทางด้านคอมพิวเตอร์ที่เปิดเผยแล้วจำนวนหลายธนาคาร และอาจมีบางธนาคารที่ยังไม่พบการทุจริตที่กำลังเกิดขึ้นอยู่แล้วก็ได้ และรวมทั้งระบบ Core Banking หรือ CBS มีจุดอ่อนเป็นอย่างยิ่งในกระบวนการปฏิบัติงาน หรือเรียกว่า Business Process ที่มีผลกระทบสำคัญต่อ Business Objective ในมุมมองต่าง ๆ ตามหลัก Balanced Scorecard ก็เป็นสาเหตุสำคัญประการหนึ่งในการทุจริต และข้อสำคัญก็คือ เกิดปัญหาจาก NPL อันมีสาเหตุสำคัญมาจาก CBS ได้อย่างน่าสนใจ

ผมจะได้นำเสนอ CBS ที่มีผลกระทบต่อ NPL และ NPA และการทุจริตได้ในที่สุด ในมุมมองที่หลากหลายต่อไป แต่เนื่องจากในช่วงเวลานี้ ผมเข้าใจว่า ทางผู้กำกับจากธนาคารแห่งประเทศไทย ในฐานะ Regulators และสถาบันการเงินต่าง ๆ ซึ่งเป็น Operators กำลังหน้าดำคร่ำเครียดกับการตรวจสอบและติดตามสาเหตุของการทุจริตอย่างขะมักขเม้น ผมจึงขอร่วมออกความเห็นในการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์บางมุมมอง ดังต่อไปนี้

ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทในโลกธุรกิจและชีวิตประจำวันในแทบจะทุกองค์กร รวมทั้งมีความสำคัญยิ่งต่อการกำหนดยุทธศาสตร์ในการบริหารงาน การแข่งขันในทุกระดับและเพิ่มศักยภาพที่ต้องการการให้บริการที่พึงพอใจต่อผู้ที่เกี่ยวข้อง (Stakeholders) ทั้งระดับในและระหว่างประเทศ

กลยุทธ์ใหม่กับการพัฒนาระบบงานเทคโนโลยีสารสนเทศขององค์กรและจุดอ่อนที่ก่อให้เกิดการทุจริต
การพัฒนาระบบงานต่าง ๆ ขององค์กรส่วนใหญ่จะมีเทคโนโลยีสารสนเทศเข้ามาเกี่ยวข้องด้วยเสมอ ในยุคของการค้าเสรีและเศรษฐกิจยุคใหม่ ซึ่งการมีการใช้เทคโนโลยีสารสนเทศได้เปลี่ยนโครงสร้างการดำเนินการและการปฏิบัติงานในระดับหลักๆ ขององค์กรซึ่งทวีความซับซ้อนในการปฏิบัติงานตามหลักการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ซึ่งในกระบวนการดังกล่าว มี IT Governance เป็นส่วนหนึ่งขององค์รวมในการบริหารความเสี่ยง การควบคุม และการตรวจสอบโดยใช้ฐานความเสี่ยง (Risk –Based Audit) อยู่ด้วย

ความสำเร็จในการดำเนินงานไปสู่เป้าหมายและวัตถุประสงค์หลักขององค์กรอย่างยั่งยืนนั้น ย่อมต้องการแนวความคิดในรูปแบบใหม่ที่ต้องอาศัยการปรับปรุงและพัฒนาองค์กรให้เหมาะสมกับสภาพแวดล้อมใหม่ของโลกแห่งการเปลี่ยนแปลงและความก้าวหน้าทางเทคโนโลยีสารสนเทศที่อาจจะเป็นปัญหาจากระบบงานมีจุดอ่อนและเป็นปัจจัยหนึ่งที่จะเกิดความเสียหายกับองค์กรจากการทุจริตได้

บรรยากาศในการบริหารความเสี่ยงที่เกี่ยวกับสภาพแวดล้อมของการควบคุมทั่วไป
เป็นทัศนคติและการดำเนินการขององค์กรและฝ่ายบริหารที่ควรชี้บ่งหรือแสดงให้เห็นถึงความสำคัญของการควบคุมภายใน

บรรยากาศในการควบคุมภายใน ซึ่งเป็นกระบวนการหนึ่งขององค์ประกอบการควบคุมภายในพื้นฐานนี้ก่อให้เกิดระเบียบวินัยและโครงสร้างที่เหมาะสมที่จะเอื้ออำนวยให้องค์กรสามารถบรรลุวัตถุประสงค์หลักของระบบงานการตรวจสอบภายในทั้งทางด้าน IT และด้านทั่วไป ซึ่งประกอบไปด้วยวัตถุประสงค์ในการตรวจสอบประสิทธิภาพ ประสิทธิผลการปฏิบัติงาน วัตถุประสงค์ในการตรวจสอบการปฏิบัติตามกฎหมาย นโยบาย ระเบียบ กฏเกณฑ์ ประกาศ คำสั่งต่างๆ ที่เกี่ยวข้อง และวัตถุประสงค์ในการตรวจสอบความถูกต้องของรายงานทางการเงิน และรวมถึงการตรวจสอบเฉพาะกิจ เช่น การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ด้วย เป็นต้น

บรรยากาศในการควบคุมทั่วๆ ไปขององค์กรภายใต้การกำกับดูแลกิจการที่ดีโดยรวมคือ
1) ความน่าเชื่อถือได้และความมีจรรยาบรรณระดับต่าง ๆ ขององค์กร โดยเฉพาะผู้บริหารระดับสูง
2) แนวความคิดของหลักการเชิงกลยุทธ และวิธีการปฏิบัติงานของคณะกรรมการและฝ่ายบริหาร
3) โครงสร้างขององค์กร
4) การมอบหมายอำนาจและความรับผิดชอบในการทำงาน
5) นโยบายและวิธีปฏิบัติในการจัดหาพนักงาน
6) ความสามารถของพนักงานและการสรรหาพนักงานระดับต่าง ๆ
7) กระบวนการควบคุม ซึ่งหมายถึง นโยบายวิธีการดำเนินงานและการลงมือปฏิบัติที่อยู่ในกรอบของการควบคุมและการจัดการความเสี่ยงระดับต่างๆ เพื่อให้มั่นใจว่าความเสี่ยงต่าง ๆ รวมทั้งการทุจริตที่อาจเกิดขึ้นในองค์กร ได้ถูกจำกัดให้อยู่ในระดับที่องค์กรยอมรับได้

โปรดติดตามการตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้ต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์

มิถุนายน 18, 2009

วันนี้ผมตั้งใจจะมาเล่าเรื่องสัญญาเตือนภัยที่อาจก่อให้เกิดการทุจริตหรือคิดมิชอบในองค์กร (Red Flags) ที่ใช้คอมพิวเตอร์ ถึงแม้องค์กรใดมีคอมพิวเตอร์ใช้เพียงเครื่องเดียว ก็พิจารณาได้ว่าองค์กรนั้นได้ใช้คอมพิวเตอร์แล้ว

เนื่องจากองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะสถาบันการเงินหลายแห่งมีการทุจริตทางด้านคอมพิวเตอร์ที่เปิดเผยแล้วจำนวนหลายธนาคาร และอาจมีบางธนาคารที่ยังไม่พบการทุจริตที่กำลังเกิดขึ้นอยู่แล้วก็ได้ และรวมทั้งระบบ Core Banking หรือ CBS มีจุดอ่อนเป็นอย่างยิ่งในกระบวนการปฏิบัติงาน หรือเรียกว่า Business Process ที่มีผลกระทบสำคัญต่อ Business Objective ในมุมมองต่าง ๆ ตามหลัก Balanced Scorecard ก็เป็นสาเหตุสำคัญประการหนึ่งในการทุจริต และข้อสำคัญก็คือ เกิดปัญหาจาก NPL อันมีสาเหตุสำคัญมาจาก CBS ได้อย่างน่าสนใจ

ผมจะได้นำเสนอ CBS ที่มีผลกระทบต่อ NPL และ NPA และการทุจริตได้ในที่สุด ในมุมมองที่หลากหลายต่อไป แต่เนื่องจากในช่วงเวลานี้ ผมเข้าใจว่า ทางผู้กำกับจากธนาคารแห่งประเทศไทย ในฐานะ Regulators และสถาบันการเงินต่าง ๆ ซึ่งเป็น Operators กำลังหน้าดำคร่ำเครียดกับการตรวจสอบและติดตามสาเหตุของการทุจริตอย่างขะมักขเม้น ผมจึงขอร่วมออกความเห็นในการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์บางมุมมอง ดังต่อไปนี้

ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทในโลกธุรกิจและชีวิตประจำวันในแทบจะทุกองค์กร รวมทั้งมีความสำคัญยิ่งต่อการกำหนดยุทธศาสตร์ในการบริหารงาน การแข่งขันในทุกระดับและเพิ่มศักยภาพที่ต้องการการให้บริการที่พึงพอใจต่อผู้ที่เกี่ยวข้อง (Stakeholders) ทั้งระดับในและระหว่างประเทศ

กลยุทธ์ใหม่กับการพัฒนาระบบงานเทคโนโลยีสารสนเทศขององค์กรและจุดอ่อนที่ก่อให้เกิดการทุจริต
การพัฒนาระบบงานต่าง ๆ ขององค์กรส่วนใหญ่จะมีเทคโนโลยีสารสนเทศเข้ามาเกี่ยวข้องด้วยเสมอ ในยุคของการค้าเสรีและเศรษฐกิจยุคใหม่ ซึ่งการมีการใช้เทคโนโลยีสารสนเทศได้เปลี่ยนโครงสร้างการดำเนินการและการปฏิบัติงานในระดับหลักๆ ขององค์กรซึ่งทวีความซับซ้อนในการปฏิบัติงานตามหลักการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ซึ่งในกระบวนการดังกล่าว มี IT Governance เป็นส่วนหนึ่งขององค์รวมในการบริหารความเสี่ยง การควบคุม และการตรวจสอบโดยใช้ฐานความเสี่ยง (Risk –Based Audit) อยู่ด้วย

ความสำเร็จในการดำเนินงานไปสู่เป้าหมายและวัตถุประสงค์หลักขององค์กรอย่างยั่งยืนนั้น ย่อมต้องการแนวความคิดในรูปแบบใหม่ที่ต้องอาศัยการปรับปรุงและพัฒนาองค์กรให้เหมาะสมกับสภาพแวดล้อมใหม่ของโลกแห่งการเปลี่ยนแปลงและความก้าวหน้าทางเทคโนโลยีสารสนเทศที่อาจจะเป็นปัญหาจากระบบงานมีจุดอ่อนและเป็นปัจจัยหนึ่งที่จะเกิดความเสียหายกับองค์กรจากการทุจริตได้

บรรยากาศในการบริหารความเสี่ยงที่เกี่ยวกับสภาพแวดล้อมของการควบคุมทั่วไป
เป็นทัศนคติและการดำเนินการขององค์กรและฝ่ายบริหารที่ควรชี้บ่งหรือแสดงให้เห็นถึงความสำคัญของการควบคุมภายใน

บรรยากาศในการควบคุมภายใน ซึ่งเป็นกระบวนการหนึ่งขององค์ประกอบการควบคุมภายในพื้นฐานนี้ก่อให้เกิดระเบียบวินัยและโครงสร้างที่เหมาะสมที่จะเอื้ออำนวยให้องค์กรสามารถบรรลุวัตถุประสงค์หลักของระบบงานการตรวจสอบภายในทั้งทางด้าน IT และด้านทั่วไป ซึ่งประกอบไปด้วยวัตถุประสงค์ในการตรวจสอบประสิทธิภาพ ประสิทธิผลการปฏิบัติงาน วัตถุประสงค์ในการตรวจสอบการปฏิบัติตามกฎหมาย นโยบาย ระเบียบ กฏเกณฑ์ ประกาศ คำสั่งต่างๆ ที่เกี่ยวข้อง และวัตถุประสงค์ในการตรวจสอบความถูกต้องของรายงานทางการเงิน และรวมถึงการตรวจสอบเฉพาะกิจ เช่น การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ด้วย เป็นต้น

บรรยากาศในการควบคุมทั่วๆ ไปขององค์กรภายใต้การกำกับดูแลกิจการที่ดีโดยรวมคือ
1) ความน่าเชื่อถือได้และความมีจรรยาบรรณระดับต่าง ๆ ขององค์กร โดยเฉพาะผู้บริหารระดับสูง
2) แนวความคิดของหลักการเชิงกลยุทธ และวิธีการปฏิบัติงานของคณะกรรมการและฝ่ายบริหาร
3) โครงสร้างขององค์กร
4) การมอบหมายอำนาจและความรับผิดชอบในการทำงาน
5) นโยบายและวิธีปฏิบัติในการจัดหาพนักงาน
6) ความสามารถของพนักงานและการสรรหาพนักงานระดับต่าง ๆ
7) กระบวนการควบคุม ซึ่งหมายถึง นโยบายวิธีการดำเนินงานและการลงมือปฏิบัติที่อยู่ในกรอบของการควบคุมและการจัดการความเสี่ยงระดับต่างๆ เพื่อให้มั่นใจว่าความเสี่ยงต่าง ๆ รวมทั้งการทุจริตที่อาจเกิดขึ้นในองค์กร ได้ถูกจำกัดให้อยู่ในระดับที่องค์กรยอมรับได้

โปรดติดตามการตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้ต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Control Self Assessment – CSA กับการควบคุมความเสี่ยงจากการทุจริตและบทบาทของผู้บริหาร

มิถุนายน 8, 2009

มีท่านผู้อ่านจำนวนหนึ่งกำลังติดตามความคืบหน้าของการเปิดเผยข้อมูล จากการทุจริตของสถาบันการเงินต่าง ๆ ที่อยู่ระหว่างการเปิดเผยของผู้บริหารระดับสูงขององค์กรเหล่านั้น ซึ่งท่านผู้อ่านอาจจะติดตามได้โดยตรง สำหรับผมเพียงแต่จะให้ข้อสังเกตบางมุมมองของการป้องกันความเสี่ยงในเชิงรุก และการติดตามช่องว่างที่เป็นจุดเปิดที่อาจก่อให้เกิดการทุจริตได้ (Exposure) โดยให้หน่วยงานที่เกี่ยวข้องกับสถาบันการเงินต่าง ๆ ร่วมกับสถาบันการเงินนั้น ๆ ทำการประเมินตนเองว่าองค์กรของตนมีความพร้อม หรือมีจุดอ่อนอะไรบ้าง ที่อาจเกิดจาก People Risk – P, Process Risk – P, และ Technology Risk – T ซึ่งเป็นองค์รวมหลักของ Operational Risk ของทุกองค์กร

สำหรับวันนี้ ผมขอ update ข้อมูลซึ่งหลุดหายไปจากระบบ จากการที่ผมได้เล่าสู่กันฟังเมื่อวันที่ 6 มิถุนายน 2552 ผมขอเริ่มต้นใหม่ที่มีเนื้อหาไม่แตกต่างกับหลักการเดิมที่ได้ให้ข้อสังเกตไปแล้ว โดยเน้นเทคนิคการตั้งคำถาม เพื่อหาคำตอบ และตั้งคำถามใหม่จากคำตอบนั้น ๆ จนบรรลุเป้าหมายการทำ CSA ตามที่ต้องการ ลักษณะการทำ CSA ที่จะกล่าวในวันนี้ จะเน้น Control – Based เป็นหลัก จากหลักการทำ CSA ซึ่งอาจมีได้หลายรูปแบบด้วยกันก็คือ Objective – Based, Risk – Based, Process Based, Situational Based หรือ Sceanario – Based สำหรับการทำ CSA ที่นอกเหนือจาก Control – Based จะนำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไป

แนวความคิดเพื่อสร้างความเข้าใจของกระบวนการทุจริตที่อาจเริ่มต้นจากกฎหมาย นโยบาย ++

แนวความคิดเพื่อสร้างความเข้าใจของกระบวนการทุจริตที่อาจเริ่มต้นจากกฎหมาย นโยบาย ++

คำถามบางประการในการทำ CSA แบบ Control – Based มีดังนี้

ระบบงานคอมพิวเตอร์ที่ควรทราบเบื้องต้น
– องค์กรใข้คอมพิวเตอร์ระบบ Centralize On-Line / ระบบรวมศูนย์ แบบOn-Line หรือระบบ Decentralize/ระบบกระจายศูนย์ (ซึ่งจะมีผลต่อกระบวนการทำงาน การบริหารความเสี่ยง การควบคุมภายในและ กระบวนการตรวจสอบที่แตกต่างกันไป +++ (อาจมีคำถามต่อเนื่องได้อีกมาก)

ผมมีข้อสังเกตเบื้องต้นว่า เมื่อระบบงานขององค์กรส่วนใหญ่ใช้คอมพิวเตอร์เข้าช่วยในการประมวลผล เช่น สถาบันการเงินหรือองค์กรใดก็ตามที่มีการประมวลผลโดยใช้คอมพิวเตอร์เป็นหลัก กระบวนการควบคุมต่างๆก็ใช้ระบบคอมพิวเตอร์เป็นหลัก หลักฐาน++ก็ล้วนเป็น Digital เป็นส่วนใหญ่ ซึ่งต้องการร่วมมือและประสานงาน อย่างใกล้ชิดระหว่าง IT Auditor & Non-IT Auditor ดังเช่นกรณีศึกษา ของการทุจริต VSRS

แนวความคิดและกระบวนการตรวจสอบเปลี่ยนแปลงไปอย่างสิ้นเชิงนั้น การตั้งคำถามเพื่อประเมินการควบคุมภายใน จากการบริหารความเสี่ยงอย่างเป็นกระบวนการ น่าจะได้ผลอย่างจำกัด ถ้าไม่มีความร่วมมืออย่างใกล้ชิด ระหว่าง IT Auditor & Non-IT Auditor อย่างเป็นกระบวนการและเข้าใจจริงของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

ในวันนี้ผมจะยังไม่ลงรายละเอียดในเรื่อง Process Risk และ Technology Risk ซึ่งเกี่ยวข้องกับกับการรวบรวมข้อมูล และจุดอ่อนในการดำเนินงาน ที่ก่อให้เกิดการทุจริตต่างๆในวงการสถาบันการเงิน แต่จะให้ข้อสังเกตทั่ว ๆไป ที่น่าจะมีการสอบถามเพื่อการประเมินตนเอง / CSA เกี่ยวกับความพร้อมในระบบงานเพื่อป้องกันการทุจริต ซึ่งควรจะเริ่มต้นด้วยการทำ CSA ด้าน IT เสมอ!

– ระบบคอมพิวเตอร์ที่ใช้อยู่ในปัจจุบันมีความเสถียรเพียงใด หรืออยู่ระหว่างการปรับเปลี่ยน Core Banking System- CBS ที่ยังไม่เสถียรและมีปัญหา++++ (อาจมีคำถามต่อเนื่องได้อีกมากและมีผลต่อการประเมินความเสี่ยง การควบคุมภายใน หลักฐานและกระบวน การตรวจสอบตามมา)
-องค์กรมีนโยบายและบทลงโทษการทุจริต และมีการกำหนด Risk Appetite & Risk Tolerance จากการทุจริตภายในและภายนอกชัดเจน ถูกต้องตามหลักการ ERM
-มีหลักฐานการตรวจสอบการปฎิบัติตามนโยบาย และระเบียบข้อบังคับที่กำหนด
– องค์กรมีการทดสอบ ระเบียบห้ามพนักงานรับฝากสมุดคู่ฝากของลูกค้า และห้ามหรือให้ทำรายการถอนเงินโดยไม่มีสมุดคู่ฝากอย่างมีเงื่อนไข ที่ควบคุมได้โดยระบบ IT & Non-IT
– องค์กรมีระเบียบห้ามพนักงานทำรายการฝากถอนเงินแทนลูกค้า และมีระบบติดตาม
– องค์กรมีการติดตามและตรวจสอบ การกำหนดวงเงิน อำนาจ ในการทำรายการฝากถอน และโอนเงินของพนักงาน Teller อย่างเหมาะสม มีหลักฐานและรายงานชัดเจน
– องค์กรมีระเบียบปฏิบัติในการเปิดปิดเครื่อง Terminal การกำหนดช่วงเวลาในการเปิดปิดเครื่อง และการหยุดใช้งาน หรือเปลี่ยนแปลง Teller ประจำเครื่องระหว่างวัน
– องค์กรมีการทดสอบและตรวจสอบระเบียบการปฏิบัติงานเกี่ยวกับการใช้รหัสหรือบัตรผ่านแสดงตัวผู้ปฏิบัติงาน รหัสผ่านหรือรหัสอนุมัติรายการ รวมถึงกรณีมีการปฏิบัติงานทดแทนกัน เช่น ห้าม Authorize แจ้งรหัสผ่านให้ผู้อื่นทราบ และกำหนดให้เปลี่ยนรหัสที่เหมาะสม
– องค์กรมีการติดตามและตรวจสอบ การควบคุมเอกสารที่เกี่ยวกับเงินฝาก เช่น ใบคำขอเปิดบัญชี บัตรลายมือชื่อ ใบรับฝาก (NCD) สมุดคู่ฝากที่ยังไม่ได้ใช้อย่างรัดกุม โดยมีการกำหนดตัวผู้ดูแลรักษา เอกสารมีการ Running Number มีทะเบียนคุม มีการตรวจสอบบัญชีที่เปิดใหม่กับสมุดเงินฝากที่ถูกเบิกใช้ให้ตรงกันทุกวัน และตรวจนับสมุดคู่ฝากทุก 6 เดือน
– องค์กรมีระเบียบ หรือคำสั่ง ห้ามนำเอกสารที่เกี่ยวกับเงินฝากไปรับฝากนอกสถานที่ทำการเว้นแต่ได้รับอนุญาตจากผู้จัดการสาขาหรือผู้มีอำนาจที่เกี่ยวข้อง
– องค์กรจัดให้มีการติดตามและตรวจสอบ การทำรายการฝาก ถอนเงินสดหรือการโอนเงินเกินอำนาจ Teller ต้องมีผู้มีอำนาจอนุมัติรายการและต้องอนุมัติรายการด้วยตนเองไม่มีการให้ยืมบัตรผ่านรายการหรือบอกรหัสผ่านให้ทราบ รวมทั้งมีการกำหนดวงเงินสดที่ Teller สามารถถือครองได้ระหว่างวัน และมีหลักฐานรวมทั้งรายงานการตรวจสอบที่เกี่ยวข้อง
– องค์กรจัดให้มี การสุ่มบัญชีเงินฝากเพื่อส่งใบยืนยันยอดเงินฝากทุกประเภทเป็นครั้งคราว หรืออย่างน้อยทุก 6 เดือน
– องค์กรจัดให้มีการควบคุมและการตรวจสอบ การระเบียบวิธีปฏิบัติเกี่ยวกับบัญชีที่ขาดการติดต่อ (unclaim) ไว้อย่างรัดกุมชัดเจน และอยู่ในการควบคุมดูแลของเจ้าหน้าที่บริหาร
– การแก้ไขรายการ การปรับปรุงรายการต่าง ๆ เช่น การยกเลิกรายการฝากถอน ควรมีการตรวจทาน ควบคุมและได้รับการอนุมัติจากผู้มีอำนาจ รวมทั้งมีรายงานเพื่อควบคุมตรวจสอบรายการที่มีการแก้ไข และติดตามผลกระทบที่เกิดขึ้นจากการปฎิบัติดังกล่าว
– มีการตรวจสอบ การทำรายการโอนเงินถึงความถูกต้องของข้อมูลและเอกสาร รวมทั้งการอนุมัติรายการ หากมีรายการต้องสงสัย และมีระเบียบให้รายงาน ปปง.ทราบ
– องค์กรจัดให้มีมีระเบียบ วิธีปฏิบัติเกี่ยวกับการจัดเก็บเอกสารสำคัญของลูกค้าเงินฝาก เช่น ตัวอย่างลายมือชื่อ คำขอเปิดบัญชี ไว้ในที่ปลอดภัย รวมทั้งมีผู้รับผิดชอบ
– องค์กรจัดให้มีระเบียบปฏิบัติให้พนักงานแนะนำลูกค้าเงินฝากเกี่ยวกับความปลอดภัยของเงินฝากและเงินเบิกเกินบัญชี
– องคืกรมีข้อกำหนดเกี่ยวกับการเปิดบัญชีเงินฝากของพนักงาน และการควบคุมดูแล
– มีระเบียบ ห้ามเจ้าหน้าที่อื่นที่ไม่ใช่ Teller มาทำหน้าที่ รับ-จ่ายเงินกับลูกค้า
– มีการพิสูจน์ความถูกต้องของการทำรายการเงินฝากของ Teller แต่ละคน และเงินฝากรวมของสาขา ณ สิ้นวัน โดยมีหลักฐานและการรายงานอย่างเหมาะสม

ความเข้าใจและการรวบรวมข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมและองค์ประกอบของการตรวจสอบการทุจริต

ความเข้าใจและการรวบรวมข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมและองค์ประกอบของการตรวจสอบการทุจริต

– เงินฝากที่มีภาระการคำประกัน ควรอายัดทั้งเงินต้นและดอกเบี้ย และมีระบบงานรวมทั้งมีข้อมูลการอายัดชัดแจ้ง และ มีการจัดทำทะเบียนเงินฝากที่มีภาระอย่างรัดกุม

– การปลด (Hold)ภาระเงินฝาก ต้องมีกระบวนการตรวจสอบว่าปลอดภาระจริง โดยเฉพาะเงินฝากที่ค้ำประกันสินเชื่อ เจ้าหน้าที่สินเชื่อจะต้องทำการยกเลิกวงเงินสินเชื่อก่อน และมีหัวหน้าสินเชื่อตรวจสอบความถูกต้อง และต้องได้รับอนุมัติจากผู้จัดการสาขา
– มีการกำหนดหลักเกณฑ์และระบบงาน เงินฝากที่ค้ำประกันสินเชื่อเป็นการค้ำประกันทั้งบัญชีเพื่อไม่ให้มีการมาถอนส่วนที่ปลอดภาระในภายหลัง รวมทั้งจัดให้มีการรายงานอย่างเหมาะสม

– มีการกำหนดให้รายการที่มีนัยสำคัญหรือเกินอำนาจอนุมัติต้องผ่านการอนุมัติจากผู้จัดการสาขาหรือผู้รับมอบอำนาจอย่างเหมาะสม
– ผู้จัดการสาขามีระบบงานที่ใช้ในการติดตามการปฏิบัติงานของสาขาสำหรับรายการที่สำคัญต่าง ๆ ที่เพียงพอเช่น

– รายการที่ทำโดยผ่านรหัสของผู้จัดการสาขา
– รายการที่เกิดขึ้นหรือการเข้าระบบงาน (Sign on) หลังเวลาทำการ
– รายงานการปรับปรุงดอกเบี้ย
– รายงานการทำรายการที่เกินอำนาจ Teller
– รายงานการแก้ไขรายการ
– รายการฝากถอนเงินที่เกิน 1 ล้านหรือที่สำนักงานใหญ่หรือสาขาไม่เกินข้อ กำหนด

– มีการทดสอบกล้องวงจรปิดครอบคลุมจุดสำคัญของสาขา เช่น ห้องมั่นคง และมีการตรวจเช็คการทำงานของเครื่องอย่างสม่ำเสมอ รวมทั้งมีการเก็บบันทึกข้อมูลเป็นระยะเวลาที่กฎหมายกำหนด และรายงานผลอย่างเหมาะสม
– จัดให้มีการกำหนดผู้รับผิดชอบเปิดปิดสาขา และควบคุมการใช้สถานที่ทำงานนอกเวลาทำการและการเข้าถึงเครื่องรับ-ส่งข้อมูล

– สำนักงานใหญ่ควรดูแลสาขามีการตรวจสอบการปฏิบัติงานของสาขาไตรมาสละ 1 ครั้ง เพื่อตรวจสอบความถูกต้องครบถ้วนของเอกสาร และนิติกรรมสัญญาของการฝาก-ถอนเงิน การอนุมัติรายการ การแก้ไขรายการต่างๆ
– ต้องมีระบบการติดตามการปฏิบัติงานของผู้จัดการสาขา เช่น การตรวจสอบรายการที่มีนัยสำคัญ โดยเฉพาะรายการการโอนเงินไปยังบัญชีเดียวกันไม่ว่าภายในธนาคารเดียวกันหรือต่างธนาคาร
– องค์กรควรจัดให้ผู้ตรวจสอบ มีการ Surprise Check พนักงาน Teller ในการปฏิบัติตามระเบียบ

การเปลี่ยนแปลงกระบวนความคิดเพื่อหาหลักฐานการตรวจสอบในการสร้างคุณค่าเพิ่ม รวมทั้งการตรวจสอบการทุจริต

การเปลี่ยนแปลงกระบวนความคิดเพื่อหาหลักฐานการตรวจสอบในการสร้างคุณค่าเพิ่ม รวมทั้งการตรวจสอบการทุจริต

– องค์กรควรจัดให้มีการตรวจสอบการปฏิบัติงานของเจ้าหน้าที่เกี่ยวกับการฝากถอนเงินให้เป็นไปตามระเบียบที่กำหนดข้างต้น และติดตามรายงานประจำวันโดยใกล้ชิด เอาใจใส่จริงจัง
– ตรวจสอบความถูกต้องของข้อมูลและการควบคุมความครบถ้วนของเอกสารสัญญาที่เกี่ยวกับการเปิดบัญชี และการฝาก-ถอนเงิน
– ตรวจสอบการเบิกใช้สมุดคู่ฝาก รวมทั้งการเก็บรักษาสมุดคู่ฝากที่ยังไม่ใช้
– ตรวจสอบการปฏิบัติหน้าที่แทนกันตามหลักเกณฑ์ที่กำหนดไว้
– มีการระบุเรื่องการตรวจสอบบัญชีพนักงานอยู่ในขอบเขตการตรวจสอบ
– มีระบบงานตรวจจับรายการผิดปกติ ทั้งในระบบ Manual และระบบ Automated เช่น
– การทำรายการฝากถอนบัญชีของพนักงานสาขา
– การฝากและถอนเงินเป็นจำนวนใกล้เคียงกันในลูกค้ารายเดียวกันในวันเดียวกัน
– การฝาก ถอน โอนเงิน จำนวนสูงในบัญชี ซึ่งไม่เคยเกิดรายการลักษณะนี้
– การฝากและถอนเงินต่างสาขาหลายสาขา หรือ หลายครั้งในวันเดียวกัน
– การฝากเงิน ถอนเงิน และการโอนเงินที่มีความถี่ผิดปกติ
– การทำรายการนอกเวลาทำการ
– การกำหนดและจัดทำ Business Rules เพื่อป้องกันการทุจริตโดยอาศัย Logic
ที่อาจเกิดกิจกรรมที่เป็นช่องเปิดของจุดอ่อนและการทุจริต( Exposure )ได้
โดยติดตามพฎติกรรม จากการใฃ้ เครื่อง Terminal ของพนักงานและผู้บริหาร
ซึ่งควรรวมกิจกรรมที่ผิดกฎหมายและ Compliance ต่างๆ และส่งรายงานอย่าง
เป็น ระบบ ก่อนที่จะมีปัญหาเกิดขึ้น
– จัดให้มีการสอบทานการบันทึกบัญชี การจ่ายดอกเบี้ย การยืนยันยอด การกระทบยอดบัญชี
– จัดให้มีการตรวจสอบดอกเบี้ยจ่ายที่สูงผิดปกติ หรือค่าธรรมเนียมรับที่เกี่ยวกับเงินฝากที่ต่ำผิดปกติเมื่อเทียบกับช่วงเวลาที่ผ่านมา หรือไม่สัมพันธ์กับยอดเงินฝาก
– เมื่อพบการทุจริตได้มีการตรวจสอบรายการลักษณะเดียวกันทั้งระบบ ในกรณีที่องค์กรใช้ระบบ Centralize On-line ก็อาจสรุปได้ทันทีว่าสำนักงานหรือสาขาอื่น ก็มีโอกาสที่จะกระทำการทุจริตได้เช่นกัน เพราะใช้ระบบงาน และกระบวนการทำงานแบบเดียวกัน
– มีช่องทางการรับเรื่องร้องเรียนจากลูกค้า รวมทั้งช่องทางที่ให้พนักงานธนาคารชี้เบาะแส โดยไม่เปิดเผยชื่อผู้ร้องเรียน
– มีการกำหนดหน่วยงานที่ทำหน้าที่ติดตาม ตรวจสอบ ดูแลเรื่องร้องเรียนอย่างชัดเจน และมีกำหนดเวลาดำเนินการไว้ชัดเจน (จะได้นำเสนอโดยละเอียดต่อไป)
– มีการกำหนดให้มีการสับเปลี่ยนเจ้าหน้าที่ปฏิบัติงานระหว่างสาขา เช่นสับเปลี่ยนหมุนเวียนผู้จัดการสาขาทั่วประเทศ
– มีข้อบังคับให้เจ้าหน้าที่หยุดพักผ่อนต่อเนื่องตามจำนวนวันที่องค์กรกำหนด
– มีวิธีการดูแลความเป็นอยู่หรือพฤติกรรมของพนักงาน
– มีบุคคลที่ชำนาญการและมีประสบการณ์คอยให้คำแนะนำเจ้าหน้าที่อื่น
– การกำหนดหน้าที่ Teller แยกจากพนักงานการเงิน และผู้ทำหน้าที่เปิดบัญชี
– มีระเบียบปฏิบัติและการควบคุม เกี่ยวกับการทำงานผ่านระบบงานนอกเวลาทำการ
– มีการฝึกอบรมพนักงานให้มีความตื่นตัว มีความรู้ และมีส่วนร่วมในการป้องกันการทุจริต รวมทั้งให้เบาะแสเมื่อมีการปฏิบัติผิดปกติเกิดขึ้นในสาขา
– มีข้อกำหนดบทลงโทษพนักงานที่รู้เห็นการกระทำทุจริตแล้วไม่แจ้งเบาะแส แม้จะไม่มีส่วนเกี่ยวข้องกับการกระทำทุจริตนั้น
– ผู้ตรวจสอบควรมีความรู้ในการตรวจสอบ Log-file
– ควรมีการประสานงานการตรวจสอบระหว่าง IT Auditor และ Non-IT Auditor อย่างใกล้ชิด
– ควรตรวจสอบและดูแล การใฃ้ Super Password และ Super ID อย่างใกล้ชิดและด้วยความเข้าใจจริงถึงผลการใช้ รหัสพิเศษ ว่าทำให้องค์กรเสียหายได้อย่างคาดไม่ถึง

กรอบแนวการทำ CSA ดังกล่าวข้างต้น อาจใช้เป็นการประเมินตนเองเพื่อปรับปรุงการบริหารความเสี่ยงและการควบคุมภายในให้ดีขึ้นได้บางส่วน ทั้งก่อนและหลังจากที่องค์กรมีปัญหาได้ในทั้ง 2 กรณี ทั้งนี้ขึ้นกับวัตถุประสงค์ในการทำ Control Self Assessment – CSA และการทำ CSA ดังกล่าวก็มีประโยชน์กับทั้งผู้บริหาร และทั้งผู้ตรวจสอบภายในเป็นอย่างยิ่ง หากผู้อำนวยความสะดวก (Facilator) เข้าใจในกระบวนการบริหารความเสี่ยง การควบคุมภายในของหน่วยงานของตน ที่สัมพันธ์กับเป้าประสงค์และกลยุทธ์ระดับองค์กรเป็นอย่างดี มิฉะนั้นการทำ CSA ก็จะไม่ได้ผลเท่าที่ควร และจะมีปัญหาแบบลูกโซ่ต่อไปไม่มีที่สิ้นสุด

ประเด็นที่น่าเป็นห่วงที่สุดก็คือ การทำ CSA ภายในระดับสายงานหรือระดับฝ่ายงาน หรือ Business Unit ผู้ดำเนินการไม่เข้าใจกระบวนการทำงาน และกิจกรรมที่เกี่ยวข้องกับ Business Process ระดับองค์กร ซึ่งรวมถึงกระบวนการที่เกี่ยวข้องกับการจัดการเทคโนโลยีสารสนเทศ ทั้งในระดับสายงานของตนและในระดับองค์กร เท่าที่ควรจะเป็น ทำให้การระบุกิจกรรมที่ก่อให้เกิดความเสี่ยงที่ต้องการควบคุม ทั้งในระดับสายงาน ซึ่งมีความสัมพันธ์กันอย่างใกล้ชิดกับระดับองค์กร เพื่อก้าวไปสู่ Business Objective ขององค์กรนั้นไม่ได้ผลเท่าที่ควร

ในครั้งต่อไป ผมจะพูดถึงเรื่องการตรวจสอบการทุจริต หลังจากนั้นแล้วผมจะนำเสนอเรื่องวิธีการประเมินตนเองเพื่อการบริหารความเสี่ยงและการควบคุมภายใน (CSA – Control Self Assessment) ที่เป็นรายละเอียดมากขึ้น เพื่อนำไปสู่การปฏิบัติที่เป็นรูปธรรมได้ในที่สุด

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »