ค่าเงินบาทแข็งกับค่าเงินอ่อน สร้างประโยชน์อย่างไรให้กับประเทศ?

ตุลาคม 21, 2010

ผมไม่ได้วิเคราะห์ในหัวข้อนี้มานานพอสมควรนะครับ เพราะมีหัวข้ออื่น ๆ จะต้อง update ที่ผู้สนใจโทรศัพท์ขอมามากกว่า อย่างไรก็ดี ข่าวในเรื่องค่าเงินบาทแข็งกำลังเป็นข่าว hot-hit ตามสื่อแตกต่าง ๆ โดยเฉพาะอย่างยิ่งในช่วงข่าวทางโทรทัศน์ เมื่อ 14-15 ตุลาคม 2553 ซึ่งมีการออกความเห็นอย่างรุนแรงที่ผู้รับชม รับฟัง ที่บริโภคข่าว อาจสับสนและมีความเข้าใจที่แตกต่างกันเป็นอย่างมาก เพราะผู้ฟังมีการประกอบอาชีพที่หลากหลาย และมีพื้นฐานที่แตกต่างกันในภาพโดยรวมของสังคม

คงไม่มีอะไรผิด และคงไม่มีอะไรถูกทั้งหมด ในมุมมองของแต่ละกลุ่มของผู้ได้รับประโยชน์ในทางบวก หรือผู้ได้รับผลกระทบในทางลบ จากการที่เงินบาทแข็งค่าหรืออ่อนค่า

ผมคงไม่พูดในลักษณะวิชาการ เพราะในมุมมองนี้มีผู้ทรงคุณวุฒิหลากหลาย ได้ให้คำอธิบายตามสื่อต่าง ๆ มากมายไปแล้ว แต่ผมจะเล่าสู่กันฟังง่าย แบบพูดคุยกันภาษาชาวบ้าน ให้เข้าใจได้ง่าย ๆ โดยไม่อ้างทฤษฎีใด ๆ แต่เป็นเรื่องข้อเท็จจริงดังต่อไปนี้

ผมขอเริ่มว่า ประเทศสิงคโปร์ ประเทศที่มีพลเมืองเพียง 4 ล้านเศษ ๆ ที่มีศักยภาพทางเศรษฐกิจ การเงิน การบริหาร การจัดการ และวิสัยทัศน์ในมุมมองต่าง ๆ ที่น่าจะเหนือกว่าประเทศไทยเรา เรื่องนี้เป็นความจริงครับ เพราะไม่ว่าจะประเมินเรื่องใด ๆ ในหัวข้อใด ๆ ที่องค์กรสากล สำรวจกัน ประเทศสิงคโปร์ก็จะอยู่ในระดับต้น ๆ ของโลกเสมอ

มีบางคนกล่าวว่า ประเทศสิงคโปร์เปรียบได้เหมือนกับกล้วยหอม ที่มีผิวพรรณเป็นชาวเอเชีย คือ ผิวเหลือง (เหมือนเปลือกกล้วย) แต่เนื้อในเป็นสีขาว เช่นเดียวกับฝรั่ง ที่มีผิวขาว ที่มีวิสัยทัศน์ ความคิด ความเชื่อ จากทัศนคติที่แตกต่างกันอย่างมากมาย ในกระบวนการบริหารและการจัดการในทุกรูปแบบ ทั้งในอดีตและปัจจุบันนั้น…

ท่านทราบไหมครับว่า ระหว่างที่ประเทศไทยกำลังโอดครวญเรื่องค่าเงินบาทแข็งนั้น ประเทศสิงคโปร์ และรัฐบาลสิงคโปร์ กำลังผลักดันและขับเคลื่อนในค่าเงินดอลล์ล่าสิงคโปร์แข็งขึ้น เพราะอัตราเงินเฟ้อของสิงคโปร์มีระดับที่สูงมาก ที่จะมีผลกระทบระยะยาวต่อการเติบโตอย่างยั่งยืน ตามหลักการบรรษัทภิบาล หรือ CG รวมทั้ง การแสดงความรับผิดและรับชอบ ตามหลักการ Accountability ซึ่งก็เป็นไปตามหลักการ CG เช่นกัน

นอกจากนั้นก็ยังมีเรื่ององค์ประกอบต่าง ๆ ทื่เกี่ยวกับเรื่องบรรษัทภิบาล ซึ่งหากขยายความออกไปมากกว่านี้ ก็จะทำให้เรื่องที่จะเล่าสู่กันฟังง่าย ๆ กลายเป็นเรื่องยากขึ้นมาทันที

กลับมาเรื่องของค่าเงินแข็ง กับค่าเงินอ่อนกันดีกว่านะครับว่า อะไรที่เรืยกว่า ค่าเงินแข็ง และอะไรที่เรียกว่า ค่าเงินอ่อน

เมื่อปี 2540 ค่าเงินบาทของไทยเมื่อเทียบกับเงินดอล์ล่า สหรัฐ $ อยู่ที่ประมาณ 26 บาท : 1 $US แต่เมื่อถูกโจมตีจากค่าเงินบาทต่างชาติ เพราะเงินบาทในช่วงนั้นแข็งเกินไป อันเกิดจากสาเหตุหนึ่งก็คือ มีเงินตราต่างประเทศเข้ามามากในสถาบันการเงิน +++ ในขณะที่เศรษฐกิจและพื้นฐานทางการเงิน และสภาพแวดล้อมจากปัจจัยในการกู้เงิน และปล่อยสินเชื่อมีปัญหาด้านเสถียรภาพ และดุลยภาพในการจัดการในภาพโดยรวมครับ คงไม่ต้องกล่าวถึงเรื่อง นโยบาย Out – In และ In – Out +++ นะครับ เพราะจะทำให้เวียนหัวขึ้นไปอีก

สรุปในช่วงเวลานั้นประเทศไทยพ่ายแพ้ในการต่อสู้และรักษาค่าเงินบาท ทำให้อัตราแลกเปลี่ยนในช่วงต่อมา จากเงินบาทแข็งที่ 26 บาท : 1 $US เป็นประมาณ 55 บาท : 1 $US ผลก็คือ สถาบันการเงินและผู้ที่เป็นหนี้เงินตราต่างประเทศในทุกกลุ่ม มีหนี้เพิ่มขึ้นทันที ไม่ต่ำกว่า 100% คือสมมุติว่า จากหนี้ 100 ล้านบาท กลายเป็นหนี้ มากกว่า 200 ล้านบาท เป็นต้น นั่นคือ จะต้องหาเงินบาทมามากขึ้นกว่าเท่าตัวที่จะต้องชำระหนี้ต่างประเทศในวงเงินเท่าเดิม

กล่าวในอีกนัยหนึ่ง หากเราต้องใช้ค่าเงินบาทมากขึ้นในการแลกเงิน 1 $US เราเรียกว่า เงินบาทอ่อน ที่ว่าอ่อนเพราะใช้เงินบาทมากขึ้นในการแลกเปลี่ยนเงินตราต่างประเทศ ซึ่งในที่นี้เทียบกับ $US เป็นหลัก และในกรณีตรงข้าม ถ้าเราต้องใช้เงินบาทในการแลกเปลี่ยนน้อยกว่า 55 บาท เพื่อแลกกับ 1 $US ก็ถือว่าเป็นเงินบาทแข็งขึ้น

จาก ปี 2540 มาจนถึงปัจจุบัน ค่าเงินบาทที่เปลี่ยนแปลงจากแข็งเป็นอ่อน คือ 26 บาท แลกได้ 1 $US และค่าเงินบาทเปลี่ยนแปลงจากอ่อนเป็นแข็ง เป็นประมาณ 31 บาท : 1 $US ในปัจจุบัน ก็ถือว่าเงินบาทแข็งขึ้นมากเกือบ 100% เช่นกัน เมื่อเทียบกับ ปี 2540

ผลที่ตามมาก็คือ คนที่เป็นหนี้เงินตราต่างประเทศที่ไม่ประกันค่าความเสี่ยงจากอัตราการแลกเปลี่ยนของเงินบาท ก็จะมีปัญหาเรื่องหนี้สินล้นพ้นตัว จนถึงขั้นล้มละลายในที่สุด ซึ่งมีตัวอย่างให้เห็นมากมายในปัจจุบัน+++

สำหรับผู้ที่ถือเงิน $US ในประเทศหรือต่างประเทศ สามารถแลกเงินบาทได้เพิ่มขึ้นมากเป็นตัวเท่าในช่วง ปี 2540 นั่นคือ 1$US ซึ่งเดิมแลกค่าได้ 26 บาท สามารถแลกเป็นเงินบาทได้มากกว่า 50 บาทเป็นต้น

แล้วท่านอยู่ในฐานะใด? ระหว่าง 2 สถานะล่ะครับ

ในช่วงปัจจุบันเงินบาทแข็งขึ้นมาก และมีโอกาสที่จะแข็งขึ้นต่อไปนั้น ข้อดีก็คือ เราสามารถสั่งซื้อสินค้า เช่น น้ำมัน จากต่างประเทศได้ในราคาถูก และตรงกันข้าม ถ้าค่าเงินบาทอ่อนตัว ค่าน้ำมันจะมีราคาแพงตามสัดส่วนเดียวกัน +++

เช่นเดียวกันนะครับที่จะกล่าวต่อไปว่า ผู้ส่งสินค้าออกได้รับผลกระทบกระเทือนจากเงินบาทแข็งค่า เพราะเงิน $US แลกเป็นเงินบาทได้น้อยลง +++

สำหรับผู้ผลิตสินค้าเพื่อการส่งออกและเพื่อขายภายในประเทศ ที่มีวัตถุดิบจากต่างประเทศก็มีมุมมองในการอธิบายผสมผสานกัน ระหว่างผลดีและผลเสียจากเงินบาทอ่อนค่า และแข็งค่า +++

สำหรับชาวนา ซึ่งใช้ผลผลิตภายในประเทศล้วน ๆ 100% อาจจะถูกกดราคาข้าว เนื่องจากค่าเงินบาทแข็งตัว เพราะผู้ส่งออกจะได้รับเงินบาทจากการขายข้าวน้อยลง ซึ่งจะเกิดวงจรในลักษณะงูกินหางกันต่อ ๆ ไป+++

สรุป เงินบาทแข็ง หรือเงินบาทอ่อน จะดีหรือไม่ดี จะขึ้นกับว่าท่านอยู่ในสถานะใดของดุลยภาพทางการเงิน และการจัดการที่มีผลกระทบต่อค่าเงินบาท ดังนั้น การจัดการที่ดีไม่ว่าในฐานะ Regulators และ Operators ก็คือ ความสามารถในการบริหารความเสี่ยง การควบคุมเหตุการณ์ และสถานการณ์ที่อาจจะเกิดจากปัจจัยเสี่ยงที่มีผลกระทบต่อเป้าประสงค์ ของแต่ละท่านและของแต่ละองค์กร รวมทั้งของประเทศในภาพโดยรวม ที่ต้องอาศัยความเข้าใจ และสร้างดุลยภาพที่ดี เพื่อให้สามารถยืนอยู่ได้ท่ามกลางความผันผวนของค่าเงินบาท

ผมตั้งใจจะพูดแบบชาวบ้านให้ฟังง่าย ๆ แต่ตอนสุดท้ายรู้สึกว่าไม่ง่ายดังที่ตั้งใจนะครับ ทั้งนี้เพราะคำว่า ดุลยภาพ ซึ่งแปลว่าความยั่งยืนในมุมมองของ การกำกับดูแลกิจการที่ดีและการบริหารความเสี่ยง และการควบคุม รวมทั้งการจัดการที่ดีนั้น มีปัจจัยมากหลายที่ใช้ในการอธิบาย และเป็นที่แน่นอนว่า หากท่านอยู่ในสถานะที่เสียเปรียบ ท่านจะไม่ชอบเห็นเหตุการณ์ที่เงินบาทแข็งตัว ในกรณีที่ท่านเป็นผู้ส่งสินค้าออกที่ใช้วัตถุดิบในประเทศเป็นหลัก

หากท่านเป็นหนี้เงินตราต่างประเทศ จากการที่กู้มาเงินช่วงเงินบาทอ่อนตัว และท่านสามารถชำระหนี้ได้ในช่วงเงินบาทแข็งตัว เช่นช่วงเวลานี้ ท่านก็จะได้เปรียบ และมีประโยชน์จากการที่เงินบาทแข็งตัวนั้น+++

ขอให้ท่านผู้อ่านเปรียบเทียบกับประเทศสิงคโปร์ ซึ่งมีสภาพแวดล้อม และสถานการณ์ทางเศรษฐกิจและการเงินที่แตกต่างจากไทยเรา ทั้งในอดีตและปัจจุบัน ที่ต้องการผลักดันและขับเคลื่อนประเทศของตนให้มีค่าเงินที่แข็งขึ้น เพราะเงินเฟ้อมีอัตราที่สูง และจะมีผลกระทบต่อการเติบโตอย่างยั่งยืนในอนาตนั่นเอง +++

สำหรับประเทศไทย เราจะเดินไปทิศทางไหนดีล่ะครับ ระหว่างค่าเงินบาทแข็งตัว หรือค่าเงินบาทอ่อนตัว ในมุมมองของทางการที่ต้องต่อสู้เพื่อรักษาค่าเงินบาทในช่วงเวลานั้น และต้องเจ็บตัว และมีปัญหามากมายตามมาจากค่าเงินบาทแข็งเป็นค่าเงินบาทอ่อน และกำลังจะกลับมีปัญหาใหม่ จากค่าเงินบาทอ่อนเป็นค่าเงินบาทแข็งอีกหรือครับ

ผมขอจบเพียงเท่านี้ดีกว่า เพราะยิ่งพูดชักดูไม่ง่ายแล้วครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Management / Audit and CAE – Chief Audit Executive ตอน 1

ตุลาคม 16, 2010

Asian CAE Leadership Forum 2010

ผมมีโอกาสได้ไปร่วมประชุม IIA Annual Conference and Asian CAE Forum ที่สิงคโปร์ ณ Resorts World Sentosa เมื่อวันที่ 29 ก.ย. – 1 ต.ค. 2553

สำหรับ Annual Conference 2010 เป็นหัวข้อของ Winning in the New Decade ซึ่งมี topic ที่น่าสนใจหลายเรื่องด้วยกัน เช่น
– The Future of Internal Auditing: A Global Perspective
– Revisiting Your Training & Staffing Needs – Who is The Future Internal Auditor?
– CAE Leadership: Meeting Challenges of New Decade
– Using Risk Analytics to Design Better Audits
– Arresting Corporate Fraud: What CAEs Should Know
– Optimising Your IA Function, Increasing Shareholders’ Value

จากเรื่องที่ผมได้ฟังในหัวข้อต่าง ๆ จากการประชุม ผสมผสานกับสิ่งที่ผมเข้าใจว่าทิศทางการตรวจสอบของผู้ตรวจสอบภายใน ในช่วงวันนี้ถึงวันข้างหน้าจะให้ความสนใจในเรื่องที่เกี่ยวข้องกับ IT Audit และ Non – IT Audit ที่เกี่ยวข้องกับ IT Risk และ Risk IT ที่มีผลกระทบต่อ Business Objective เป็นสำคัญ

ท่านผู้อ่านบางท่านอาจจะสงสัยว่า ทำไมผมจึงเอาหัวข้อนี้มาไว้ในเรื่องคุยกับผู้เขียน ทั้ง ๆ ที่เรื่องนี้เป็นหัวข้อที่เกี่ยวข้องกับเรื่อง Audit และเรื่องที่ผมไปประชุมที่สิงคโปร์นั้น ก็เป็นเรื่องที่เกี่ยวข้องกับ Audit ทั้งสิ้น

ผมขอทบทวนนะครับว่า Auditors ทำหน้าที่หลัก ๆ 2 ประการ คือ 1. Assurance 2. Consulting Service ให้กับองค์กร ในขณะที่ หน้าที่ทางด้าน Monitoring เป็นหน้าที่ของผู้บริหารขององค์กร ที่การทำหน้าที่ทั้ง 2 ดังกล่าวนั้น จะมีความสัมพันธ์ซึ่งกันและกัน ในมุมมองต่าง ๆ ของกระบวนการจัดการ ซึ่งมีบทบาทที่แตกต่างกันไป แต่มีวัตถุประสงค์ร่วมกันอย่างหนึ่งก็คือ การสร้างคุณค่าเพิ่มให้กับองค์กร และสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม (Stakeholders)

จากหลักการดังกล่าว หัวข้อต่าง ๆ ที่ปรากฎใน http://www.itgthailand.com นั้น ถึงแม้จะแตกต่างกันในชื่อ รวมทั้งสาระตามหัวข้อที่กล่าวนั้น แต่วัตถุประสงค์ร่วมของเว็บนี้ก็คือ เป็นเว็บเพื่อสังคมแห่งการเรียนรู้ สร้างความคิดอ่าน ที่สามารถสร้างคุณค่าเพิ่มได้ในระดับต่าง ๆ ทั้งภายในองค์กร และในระดับที่สูงขึ้นไป

วันนี้ ผมจึงขอนำสาระที่ได้จากการประชุมดังกล่าวมานำเสนอ ซึ่งเป็นเรื่องที่เกี่ยวข้องกับผู้บริหารงานตรวจสอบ หรือเรียกสั้น ๆ ว่า CAE มาไว้ในหัวข้อนี้ ซึ่งเรื่องที่กล่าวถึงนี้น่าจะเป็น trend ใหม่สำหรับงานบริหารการตรวจสอบที่มีแนวความคิดมาจาก การผสมผสานการตรวจสอบระหว่าง IT Audit และ Non – IT Audit ที่อยู่ภายใต้การบริหารงานตรวจสอบของ CAE และอยู่ภายใต้การกำกับดูแลของคณะกรรมการตรวจสอบ (Audit Committee) ซึ่งโดยปกติจะมีผู้แทนจากคณะกรรมการที่เป็นอิสระขององค์กรอย่างน้อย 3 ท่าน ที่อยู่ใน Audit Committee เป็นผู้ดูแลบริหารการตรวจสอบ

ในอดีตที่ผ่านมาและจนกระทั่งถึงทุกวันนี้ขององค์กรหลายแห่ง และอาจจะกล่าวได้ว่าองค์กรส่วนมากยังเข้าใจความหมายของ Integrated Audit และประโยชน์ของการตรวจสอบในลักษณะนี้ที่แตกต่างกันมาก จากการที่องค์กรไม่ได้มีการปฏิบัติที่เป็นรูปธรรมของการผสมผสานการตรวจสอบ และใช้ประโยชน์จากแนวคิดที่เป็นลักษณะ Interdependent Approach ของกระบวนการตรวจสอบ ระหว่าง IT Audit และ Non – IT Audit เข้ามาใช้เป็นพลังร่วม (Synergy)ในการขับเคลื่อนกระบวนการตรวจสอบ ไปสู่การจัดทำรายงานการตรวจสอบที่มีคุณภาพสูงสุด จากการหลอมรวมกระบวนความคิด ซึ่งนำไปสู่ความเข้าใจในการวางแผนการตรวจสอบ ที่คำนึงถึง Audit Universe หรือเรื่องที่ควรได้รับการทดสอบในภาพโดยรวมที่เกี่ยวข้อง ซึ่งจะเชื่อมโยงหรือมีผลกระทบต่อ กระบวนการจัดทำรายงาน ทั้งทางด้าน IT และ Non – IT ที่จะสัมพันธ์กับการควบคุมความเสี่ยง จาก Risk Universe ในแง่มุมต่าง ๆ ในมุมมองของ Business Balanced Scorecard และ Information Balanced Scorecard หรือแม้กระทั่งเป้าประสงค์หลักของการควบคุมความเสี่ยง ตามหลักการของ COSO – ERM ซึ่งก็ได้แก่ Strategic Risk – S, Operation Risk – O, Reporting Risk – R or F, Compliance Risk – C ที่ส่วนใหญ่จะเคยชินกันกับคำที่เรียกกันสั้น ๆ ว่า S – O – F – C

แนวทางการบริหารและการจัดการความเสี่ยงทั่วทั้งองค์กร ตามแนวทางของ COSO – ERM ที่นิยมใช้กันทั่วโลกและในประเทศไทยนั้น แทบจะไม่ได้กล่าวถึงผลกระทบ หรือ Impact จาก Risk IT และ IT Risk ที่มีผลต่อกระบวนการบริหารและการจัดการ รวมทั้งการจัดทำรายงานที่เป็นรูปธรรม ดังนั้น ในทางปฏิบัติ ผู้กำกับ ในฐานะ Regulators และผู้ปฏิบัติ ในฐานะ Operators ส่วนใหญ่จึงมองข้ามความสำคัญของกระบวนการระบุปัจจัยเสี่ยง จาก IT Risk ที่มีผลกระทบต่อกระบวนการควบคุม กระบวนการบริหาร และกระบวนการตัดสินใจ ซึ่งนำไปสู่ความเสี่ยงในการจัดการที่มีผลกระทบต่อประสิทธิภาพ และประสิทธิผลในการดำเนินงาน การทุจริต รวมทั้ง การลดโอกาสที่จะสร้างความเชื่อมั่น ความเชื่อถือ การสร้างคุณค่าเพิ่ม การสร้างความมั่นใจให้กับผู้มีผลประโยชน์ร่วม ทั้งภายในองค์กร และภายนอกองค์กร อย่างมีนัยสำคัญยิ่ง

ท่านผู้อ่านครับ การประชุมที่สิงคโปร์ครั้งนี้ ไม่มีหัวข้อที่เกี่ยวกับ Integrated Audit นะครับ ผมฟังหัวข้ออื่น ๆ ที่เกี่ยวข้องตามที่ได้กล่าวข้างต้นแล้วนำความเข้าใจดังกล่าวมาผสมผสานเป็นหัวข้อใหม่ ชื่อ Integrated Audit ที่มีความหมายและเข้าใจได้ในทันที สำหรับผู้ที่อยู่ในวงการบริหารการจัดการงานตรวจสอบ ซึ่งเป็นกระบวนการหนึ่งที่สำคัญมากต่อการสร้าง Business Value ให้กับองค์กรในแง่มุมต่าง ๆ เพื่อขับเคลื่อน Business Balanced Objectives หรือ Business Balanced Scorecard แล้วแต่กรณี

บทความเรื่องนี้จะนำเสนอในรูปแบบที่ให้แนวความคิดที่ผู้บริหาร ในฐานะที่ทำหน้าที่กำกับและติดตามผลการดำเนินงาน (Monitor) จากการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non -IT และ CAE รวมทั้งผู้ตรวจสอบภายใน ซึ่งทำหน้าที่ ในฐานะ Assurance และ Consulting Service ด้านต่าง ๆ นั้นมีความสัมพันธ์ซึ่งกันและกัน จะได้ประโยชน์จากแนวความคิดในลักษณะ Integrated Thinking ไปสู่การปฏิบัติในลักษณะ Integrated Doing เพื่อก้าวสู่หลักการใหญ่กว่า Integrated Management ก็คือ GRC ต่อไปครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทดสอบข้อมูลโดยวิธี Test Data (ต่อ)

ตุลาคม 4, 2010

การทดสอบข้อมูลโดย Test Data Method – TDM ซึ่งผมได้ยกตัวอย่างของ Test Data ในระบบงานเงินฝากขององค์กร แบบ 1 Cycle ไป 2 – 3 ตัวอย่างในครั้งที่แล้ว เป็นอย่างไรบ้างครับ คงพอทำให้ท่านผู้อ่านเข้าใจและเห็นภาพของการจัดทำ Test Data ที่ชัดเจนยิ่งขึ้น หลังจากที่ได้นำเสนอถึงรายละเอียด ขั้นตอนและข้อดี ข้อเสียของการจัดทำไปในครั้งก่อน ๆ สำหรับครั้งนี้ ผมยังมีตัวอย่างของการจัดทำ Test Data แบบ 1 Cycle ที่แตกต่างกันในรายละเอียดมาให้พิจารณาอีกสัก 2 – 3 ตัวอย่าง ไปติดตามกันต่อเลยนะครับ

Test Data 1 Cycle_ตย 4

Test Data 1 Cycle_ตย 5

Test Data 1 Cycle_ตย 6

ครั้งหน้าไปติดตามตัวอย่าง Test Data ในระบบงานเงินฝากขององค์กร แบบ 2 Cycle กันนะครับ

Leave a Comment » | IT Audit | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทดสอบข้อมูลโดยวิธี Test Data (ต่อ)

กันยายน 23, 2010

หลังจากที่ผมได้เล่าสู่กันฟังถึงรื่องราวของการทดสอบข้อมูลโดย Test Data Methoed (TDM) การสร้างข้อมูลตัวอย่างทดสอบ ขั้นตอนของการจัดทำ Test Data ข้อควรพิจารณา ตลอดจนข้อดี ข้อเสียของการตรวจสอบโดยวิธีนี้กันไปแล้ว วันนี้ผมมีตัวอย่างของการจัดทำ Test Data อย่างง่าย ๆ ในระบบงานเงินฝากขององค์กร/สถาบันการเงินมานำเสนอเพื่อให้เป็นแนวทางและเข้าใจง่ายขึ้น ซึ่งการจัดทำ Test Data นี้อาจจำแนกตาม จำนวน Cycle ที่จัดทำได้เป็น 1 Cycle และ 2 Cycle

สำหรับในครั้งนี้ ผมขอยกตัวอย่าง Test Data 1 Cycle เป็นตัวอย่างสัก 2 – 3 ตัวอย่างก่อนนะครับ

Test Data 1 Cycle_ตย 1

Test Data 1 Cycle_ตย 2

Test Data 1 Cycle_ตย 3

Leave a Comment » | IT Audit | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทดสอบข้อมูลโดยวิธี Test Data (ต่อ)

กันยายน 16, 2010

ครั้งก่อนผมได้ยกตัวอย่างขั้นตอนของการจัดทำ Test Data ในระบบ On-line โดยได้แยกเป็นการเตรียมการก่อนการทดสอบ, ระหว่างการ Key ข้อมูล และเมื่อเสร็จสิ้นการ Key ข้อมูล ซึ่งจะทำให้เข้าใจในกระบวนการของการจัดทำได้ง่ายขึ้น นอกเหนือจากขั้นตอนที่ได้กล่าวไปแล้ว ยังมีข้อควรพิจารณาในการจัดทำ Test Data รวมถึงข้อดี ข้อเสีย ของการนำ Test Data มาใช้งาน ที่เป็นสิ่งที่ควรรู้และเข้าใจซึ่งผมจะได้กล่าวถึงในวันนี้ ก่อนที่จะได้นำเสนอตัวอย่างของการจัดทำ Test Date ในระบบงานเงินฝากในโอกาสต่อไป

ข้อควรพิจารณาในการจัดทำ Test Data
1. ความถี่ในการใช้ Test Data ทดสอบโปรแกรมขึ้นอยู่กับการเปลี่ยนแปลงแก้ไขโปรแกรม เนื่องจากเทคนิคนี้ใช้ในการประเมินการควบคุม และความถูกต้องเหมาะสมของโปรแกรมได้เฉพาะช่วงเวลาที่ทดสอบเท่านั้น

2. ผู้ตรวจสอบต้องศึกษาระบบงานให้เข้าใจโดยละเอียด เพื่อเป็นแนวทางในการกำหนดวัตถุประสงค์ และประเด็นที่จะทดสอบได้อย่างมีประสิทธิภาพ และครอบคลุมถึงการควบคุมที่สำคัญได้ครบถ้วน

3. ระบบงาน On-line ขนาดใหญ่ที่ยุ่งยากซับซ้อน การใช้เทคนิค Test Data จะทำได้ยากในทางปฏิบัติ เนื่องจากจะมีอุปสรรคในการจัดเตรียมอุปกรณ์คอมพิวเตอร์ และแฟ้มข้อมูลสำหรับการทดสอบ ประกอบกับผู้ตรวจสอบจะต้องเสียเวลามากในการศึกษาระบบงานให้เข้าใจโดยละเอียด

4. ต้องแน่ใจว่าโปรแกรมที่จะนำมาประมวลผลต้องเป็นโปรแกรมเดียวกับที่ใช้ในการปฏิบัติงานจริง โดยเปรียบเทียบชื่อและเลขที่โปรแกรมที่นำมาใช้ กับที่บันทึกไว้ในทะเบียนการนำมาใช้การประมวลผลงานตามปกติครั้งล่าสุด

5. ควรใช้โปรแกรมที่ได้แปลงรหัสแล้วพร้อมที่จะนำมาประมวลผลได้ทันที ไม่ควรใช้โปรแกรมที่ได้จากการนำ Source Program มาแปลงรหัสใหม่ เมื่อนำมาประมวลผลข้อมูลทดสอบโดยเฉพาะ

6. แฟ้มข้อมูลและรายการทดสอบต้องไม่ปะปนกับข้อมูลจริงที่องค์กรใช้งานอยู่ ควรป้องกันมิให้ข้อมูลที่ใช้งานอยู่มีข้อผิดพลาด

7. ควรกำหนดให้มีจำนวน Cycle มากพอที่จะทดสอบได้ครอบคลุมทุกเงื่อนไข และสามารถทดสอบรายการที่ได้ป้อนข้อมูลผิดพลาดไปแล้วเมื่อ Cycle ก่อน ๆ ได้

8. ควรพยายามจำกัดปริมาณข้อมูลทดสอบไม่ให้มีมากนัก เพื่อผู้ตรวจสอบจะได้มีเวลาในการเตรียมข้อมูล วิเคราะห์ผลลัพธ์ และเวลาในการทำงานของเครื่องคอมพิวเตอร์ให้น้อยที่สุด

9. ควรจำกัดบุคคลที่จะได้รับอนุญาตให้ดูผลการทดสอบเฉพาะแต่เพียงผู้ตรวจสอบเท่านั้น ไม่ควรเปิดโอกาสให้บุคคลอื่นได้พบเห็น

ข้อดี ข้อเสีย ของการ Test Data มาใช้งาน

ข้อดี
1. ไม่จำเป็นต้องใช้บุคลากรที่มีความรู้ความชำนาญสูงในการเตรียมข้อมูลทดสอบ

2. การใช้ Test Data เป็นการรวมรายการธุรกิจ ตลอดจนรายการผิดปกติประเภทต่าง ๆ ไว้ด้วยกัน ทำให้ผู้ตรวจสอบสามารถพบข้อผิดพลาด/บกพร่องในโปรแกรมได้ง่ายกว่าที่จะตรวจสอบผลลัพธ์จากการประมวลผลโดยปกติ ซึ่งอาจจะต้องตรวจสอบนับพันรายการ จึงจะสามารถครอบคลุมรายการผิดปกติทั้งสิ้น เนื่องจากรายการเหล่านี้อาจมีโอกาสเกิดขึ้นจริงน้อยมาก

3. ในกรณีที่มีการแก้ไขโปรแกรมภายหลังจากที่ทำการตรวจสอบไปแล้ว ผู้ตรวจสอบสามารถทดสอบโปรแกรมได้ใหม่โดยใช้ Test Data ชุดเดิม อาจเพียงแต่เพิ่มรายการทดสอบบางรายการ เพื่อให้ครอบคลุมถึงประเด็นเพิ่มเติมที่ต้องการทดสอบ แทนการสร้างข้อมูลสอบใหม่ทั้งหมด

โดยทั่วไปองค์กรจะไม่เปลี่ยนแปลงระบบงานโดยสิ้นเชิงในช่วงระยะเวลาอันสั้น ดังนั้น เมื่อผู้ตรวจสอบได้จัดเตรียม Test Data ในครั้งแรกแล้ว จะสามารถใช้ Test Data ชุดเดิมทำการทดสอบโปรแกรมได้ไม่จำกัดจำนวนครั้ง ซึ่งต่างจากการตรวจสอบ Source Program Listing ที่ต้องตรวจสอบใหม่โดยละเอียดทุกครั้งเมื่อมีการแก้ไขโปรแกรม เพราะการแก้ไขจุดใดจุดหนึ่งอาจกระทบถูกส่วนอื่น ๆ ของโปรแกรมด้วย

4. ผู้ตรวจสอบสามารถใช้ผลลัพธ์จากการทดสอบเป็นหลักฐานในการปฏิบัติงานตรวจสอบของตน

5. ในการเตรียมข้อมูล Test Data และคำนวณผลลัพธ์ที่คาดไว้ล่วงหน้าตรวจสอบ ไม่จำเป็นต้องเกี่ยวข้องกับขั้นตอนการประมวลผลข้อมูลด้วยคอมพิวเตอร์มากนัก

ข้อเสีย
1. วิธีนี้จะทำการทดสอบได้เฉพาะบางจุดของโปรแกรม ได้แก่ การควบคุมที่กำหนดและการคำนวณเท่านั้น ไม่สามารถตรวจสอบโปรแกรมได้โดยละเอียดทุกขั้นตอน จึงไม่สามารถตรวจพบการทุจริตประเภท Trojan Horse (เป็นการแทรกคำสั่งที่ต้องการ เพื่อการทุจริตแฝงอยู่ในโปรแกรมการทำงานปกติขององค์กร) ได้

ดังนั้น ผู้ตรวจสอบควรตรวจสอบ Source Program Listing ควบคู่ไปด้วย โดยเน้นเฉพาะการค้นหาคำสั่งผิดปกติที่ประมวลผลรายการใดรายการหนึ่งเป็นกรณีพิเศษ

2. ผู้ตรวจสอบต้องเสียเวลามากในการจัดเตรียม Test Data และคำนวณผลลัพธ์ที่คาดไว้ล่วงหน้า

3. การใช้ Test Data บางครั้งอาจจะต้องใช้เวลาการทำงานของเครื่องคอมพิวเตอร์ในการประมวลผลเป็นเวลานาน ซึ่งทำให้ต้องเสียค่าใช้จ่ายสูง

4. ประสิทธิภาพและประสิทธิผลที่จะได้รับ ขั้นอยู่กับความสามารถของผู้ตรวจสอบแต่ละคน ผู้ตรวจสอบอาจมองข้ามประเด็นสำคัญที่ควรทดสอบไปได้

Leave a Comment » | IT Audit | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ท่านพร้อมแล้วหรือยัง?

กันยายน 11, 2010

กระทรวง ICT ร่วมกับผู้แทนคณะอนุกรรมการความมั่นคงปลอดภัยภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้จัดให้มีการประชุมชี้แจงเพื่อสร้างความเข้าใจเกี่ยวกับการขับเคลื่อนหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ของประเทศ ในวันที่ 2 และ 9 กันยายน 2553 เพื่อพิจารณาการดำเนินการตามมาตรา 6 ที่เกี่ยวข้องกับ

1. ประกาศกำหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ หรือหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ตามมาตรา 5 (1) ซึ่งต้องกระทำตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ระดับกลาง หรือ ระดับพื้นฐาน แล้วแต่กรณี โดยให้คำนึงถึงระบบดับความเสี่ยง ต่อความมั่นคงปลอดภัยของระบบสารสนเทศ ผลกระทบต่อมูลค่าและความเสียหายที่ผู้ใช้บริการอาจได้รับ รวมทั้งผลกระทบต่อเศรษฐกิจและสังคมของประเทศ

2. ประกาศกำหนดรายชื่อหรือประเภทของหน่วยงานหรือองค์กรหรือส่วนงานของหน่วยงานหรือองค์กร ที่ถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศ ตามมาตรา 5 (2) ซึ่งต้องกระทำตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ระดับกลาง หรือระดับพื้นฐาน แล้วแต่กรณี

และพิจารณาการดำเนินการตามมาตรา 7 ที่เกี่ยวข้องกับ กำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่เหมาะสมกับวิธีการแบบปลอดภัย ตามมาตรา 4 ในแต่ละระดับ

เพื่อให้สัมพันธ์กับ พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ที่ได้ประกาศลงในราชกิจจานุเบกษาแล้ว เมื่อวันศุกร์ที่ 3 กันยายน 2553 โดยมีผลใช้บังคับ เมื่อพ้นกำหนด 180 วัน นับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป โดย พระราชกฤษฎีกาฯ ดังกล่าว มีสาระสำคัญ ดังนี้

1. กำหนดคำนิยามศัพท์สำคัญหลายคำ เช่น “วิธีการแบบปลอดภัย” “ทรัพย์สินสารสนเทศ” และ “ความมั่นคงปลอดภัยของระบบสารสนเทศ” เป็นต้น

2. กำหนดระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ไว้ 3 ระดับ คือ ระดับเคร่งครัด ระดับกลาง และระดับพื้นฐาน รวมทั้งได้กำหนดขอบเขตของการใช้วิธีการแบบปลอดภัยสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์

3. กำหนดหลักเกณฑ์เกี่ยวกับมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด

4. กำหนดให้คณะกรรมการพิจารณาทบทวน หลักเกณฑ์เกี่ยวกับวิธีการแบบปลอดภัย ตามพระราชกฤษฎีกานี้ และประกาศที่ออกตามพระราชกฤษฎีกานี้ รวมทั้งกฎหมายอื่นที่เกี่ยวข้อง อย่างน้อยทุกรอบระยะเวลา 2 ปี นับแต่พระราชกฤษฎีกานี้ใช้บังคับ และจัดทำรายงานเสนอต่อคณะรัฐมนตรีเพื่อทราบ

แต่เนื่องจาก พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ ได้กำหนดให้มีการจัดลำดับวิธีการแบบปลอดภัยไว้ 3 ลำดับ คือ ระดับเคร่งครัด ระดับกลาง และ ระดับพื้นฐาน พร้อมทั้งกำหนดให้ใช้วิธีการแบบปลอดภัย ทั้ง 3 ระดับสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์ที่มีผลกระทบต่อความมั่นคง หรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน และธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศ

ดังนั้น เพื่อเป็นการเตรียมความพร้อมให้หน่วยงานเกิดความตระหนักถึงความสำคัญของการดำเนินงานที่สอดคล้องกับข้อกำหนดของพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ และกระตุ้นให้หน่วยงานเห็นความสำคัญของการเตรียมความพร้อมต่อการรับมือกับสถานการณ์ฉุกเฉินในรูปแบบต่าง ๆ

กระทรวง ICT จึงได้จัดการประชุมชี้แจงเพื่อสร้างความเข้าใจเกี่ยวกับการขับเคลื่อนกลุ่มหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ของประเทศ เพื่อให้หน่วยงานต่าง ๆ เข้าใจถึงบทบาทของตนเอง และสามารถปฏิบัติตามพระราชกฤษฎีกาดังกล่าวได้อย่างถูกต้องและเหมาะสม โดยมีหน่วยงานภาครัฐที่ใช้ประโยชน์จากเทคโนโลยีสารสนเทศในการปฏิบัติงาน รวมทั้งหน่วยงานที่เกี่ยวข้องกับโครงสร้างพื้นฐานของประเทศ (Critical Infrastructure) มาร่วมรับฟังการอภิปราย ให้ความรู้ และแลกเปลี่ยนความคิดเห็น

ทั้งนี้ เพื่อให้คณะกรรมการและฝ่ายบริหารขององค์กรต่าง ๆ ได้ตระหนักถึงความมั่นคงปลอดภัยด้านบริหารจัดการ (Administrative Security) และวิธีการแบบปลอดภัย โดยจัดให้มีนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการใด ๆ เพื่อนำมาใช้ในกระบวนการคัดเลือก การพัฒนา การนำไปใช้ หรือการบำรุงรักษาทรัพย์สินสารสนเทศให้มีความมั่นคงปลอดภัย

ซึ่งความเข้าใจเกี่ยวกับความหมายของโครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure) ที่ใกล้เคียงกันจะมีประโยชน์ต่อการดำเนินการเกี่ยวกับวิธีการแบบปลอดภัยตามมาตราต่าง ๆ ที่เกี่ยวข้องกับ พระราชกฤษฎีกานี้ ทั้งนี้ โครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure) จะหมายความว่า บรรดาหน่วยงานหรือองค์กร หรือส่วนงานหนึ่งส่วนงานใดของหน่วยงานหรือองค์กร ซึ่งธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรนั้น มีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน

สำหรับประกาศในรูปของเอกสารอิเล็กทรอนิกส์ ที่มีรายละเอียดต่าง ๆ ตามพระราชกฤษฎีกานี้ สามารถดาวน์โหลด ได้ที่
http://www.ratchakitcha.soc.go.th/DATA/PDF/2553/A/053/13.PDF

พระราชกฤษฎีกาดังกล่าวเป็นกฎหมายลูก ที่ออกตามกฎหมายหลักของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (แก้ไขเพิ่มเติม พ.ศ. 2551)

ดังนั้น องค์กรของท่านควรจะประเมินตนเองในลักษณะของ CSA – Control Self Assessment ว่าในกรณีที่องค์กรของท่านมีนโยบายที่จะปฏิบัติตามกฎหมาย กฎเกณฑ์ +++ และมาตรฐานที่เกี่ยวข้องโดยเคร่งครัด เพื่อสร้างความเชื่อมั่นและความเชื่อถือให้กับผู้มีผลประโยชน์ร่วม อย่างน้อยควรจะสอบถามและติดตามว่าองค์กรของท่าน จะจัดให้มีการดำเนินการเรื่องนี้เมื่อใด เนื่องจาก พระราชกฤษฎีกานี้มีผลบังคับใช้ภายใน 180 วันนับจากวันที่ 3 กันยายน 2553

ครั้งต่อไป ผมจะเล่าสู่กันฟังในเรื่องเกี่ยวกับมุมมองต่าง ๆ ของ Critical Infrastructure

1 ความเห็น | คุยกับผู้เขียน | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ก. คลัง กับ Successful GRC Integrated Into Business กับการบริหารบางมุมมอง

กันยายน 5, 2010

ในปัจจุบัน กระทรวงการคลัง โดย สคร. ได้กำหนดให้รัฐวิสาหกิจมีแนวปฏิบัติในการขับเคลื่อนการบริหารธุรกิจแนวใหม่ ซึ่งเรียกว่า GRC – Governance + Risk Managment + Compliance และกำลังเป็นที่สนใจทั่วโลกสำหรับแนวการบริหารยุคใหม่ หรือยุคเทคโนโลยีสารสนเทศนี้ ทั้งนี้ สคร. ได้กำหนดกรอบให้รัฐวิสาหกิจ โดยเฉพาะอย่างยิ่ง การบูรณาการระหว่าง Governance + Risk Management + Compliance – GRC ที่รัฐวิสาหกิจจะได้รับการประเมินในหัวข้อการบริหารความเสี่ยงที่จำเป็น

ตั้งแต่การกำหนดนโยบายด้าน GRC ซึ่งอาจมีรายละเอียดบางประการเพิ่มเติมจาก นโยบาย CG และ ITG ที่อาจจะมีอยู่แล้ว ลงไปถึงการดูแลการบริหารความเสี่ยงขององค์กร โดยรับรู้ถึงระดับความมีประสิทธิผลของการบริหารความเสี่ยง ที่ฝ่ายบริหารได้จัดให้มีขึ้นในองค์กร ได้ตระหนักและให้ความเห็นชอบกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร สอบทานความเสี่ยงในภาพรวมขององค์กร และพิจารณาเปรียบเทียบกับระดับความเสี่ยงที่องค์กรยอมรับได้

สำหรับผู้บริหารจะมีแนวทางในการประเมินในเรื่องที่เกี่ยวข้องกับ GRC ดังนี้

– รส. มีการกำหนดคณะทำงานที่รับผิดชอบดำเนินงานในด้าน GRC โดยมีผู้บริหารสูงสุดเป็นประธานคณะทำงาน และมีแผนงานที่ชัดเจนในการดำเนินการด้าน GRC รวมถึงนำเสนอคณะกรรมการเพื่อพิจารณา

– รส. มีการประเมินอย่างสม่ำเสมอถึงการประกอบธุรกิจขององค์กรว่า มีปัจจัยใดบ้างที่เป็นปัจจัยความเสี่ยง ทั้งที่มาจากภายนอกและภายใน ซึ่งอาจมีผลกระทบต่อการดำเนินธุรกิจอย่างมีนัยสำคัญ

– รส. ต้องมีการระบุปัจจัยเสี่ยง และกระบวนการในการบริหารความเสี่ยงในด้าน Compliance ให้ครบถ้วน

– รส. ต้องมีการเปิดเผยข้อมูลสำคัญ ๆ อย่างครบถ้วน ถูกต้อง เพียงพอ และทันต่อเหตุการณ์

ทั้งนี้ แนวการประเมินดังกล่าวจะอยู่ในหัวข้อการบริหารความเสี่ยงตามเกณฑ์การประเมินผล และการให้คะแนนโดย ก. คลัง – สคร. ซึ่ง ทริส จะมีหน้าที่ในการรวบรวม และประเมินการให้คะแนนเบื้องต้น เพื่อส่งให้คณะกรรมต่อไป

อนึ่ง แนวคิด GRC ในปัจจุบันไม่ใช่เพียงการนำเอาหลักการกำกับดูแล (Governance) มารวมกับ การบริหารความเสี่ยง (Risk Management) และการปฏิบัติตามกฎระเบียบและข้อบังคับ (Compliance) เท่านั้น แต่เป็นกรอบแนวคิดเชิงบูรณาการที่หลอมรวมองค์ประกอบการบริหารทั้ง 3 หลักการนี้เข้าด้วยกัน และเกิดเป็น Integrated Single Framework ซึ่งกรอบโครงสร้างนี้จะครอบคลุมถึง การกำกับดูแลองค์กรและการกำกับดูแลด้านเทคโนโลยีสารสนเทศ (Corporate Governance and IT Governance) การบริหารความเสี่ยงขององค์กร (Enterprise Risk Management – ERM) ซึ่งรวม COSO Framework CoBiT หรือ IT Risk และการปฏิบัติตามกฎระเบียบและข้อบังคับ (Compliance) สำหรับ IT และ Non – IT

GRC จึงเป็นกรอบโครงสร้างที่จะสร้างคุณค่าเพิ่ม และสร้างความมั่นใจในการตัดสินใจของผู้ที่มีผลประโยชน์ร่วมทุกกลุ่มขององค์กรได้ชัดเจนกว่า Sarbanes – Oxley Act ที่รู้จักกันดี ดังนั้น การนำกรอบโครงสร้าง GRC เชิงบูรณาการมาใช้ในธุรกิจ จึงเป็นเรื่องที่น่าสนใจ และเป็นประโยชน์อย่างยิ่งต่อกรรมการชุดต่าง ๆ ผู้บริหาร ผู้ตรวจสอบ และผู้ปฏิบัติงานด้าน IT และ Non – IT หน่วยงานกำกับดูแล หน่วยงานบริหารความเสี่ยง หรือหน่วยงานที่รับผิดชอบด้าน Compliance ผู้ที่รับผิดชอบในกรอบโครงสร้าง GRC เชิงบูรณาการ

ข้อคิดของผมในวันนี้ก็คือ องค์กรของท่านจัดให้มีการประเมินความเสี่ยงทางด้าน IT Risk ที่มีผลกระทบต่อ Business และ Objective Risk และมีผลต่อเนื่องไปยัง IT Controls และ IT Audit ซึ่งมีความสัมพันธ์อย่างแยกกันไม่ได้กับทุกองค์ประกอบของการบริหาร และการจัดการองค์กร

หากหัวหน้าผู้บริหารงานตรวจสอบที่ต้องปฏิบัติตามมาตรฐานของสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือมาตรฐานการปฏิบัติงานตรวจสอบในระดับสากล ไม่คำนึงถึง IT Risk ที่มีผลกระทบต่อการวางแผนการตรวจสอบแล้ว การประเมินผลกระทบความเสี่ยงของระดับองค์กร หรือในระัดับธุรกิจ ซึ่งเป็นระดับที่เกี่ยวเนื่องกับธุรกิจขององค์กรที่เกี่ยวข้องทุกแห่งแล้ว การวางแผนการตรวจสอบเพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ข้อมูลและรายการทางการเงินมีความเพียงพอที่จะให้ความมั่นใจต่อผู้มีผลประโยชน์ร่วม รวมทั้งการให้คำแนะนำในส่วนที่เกี่ยวข้อง ที่มีคุณค่าต่อการบริหาร คงกระทำได้อย่างจำกัดมาก

ทั้งนี้เพราะในการทำความเข้าใจถึงความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ จะต้องระบุว่ามีอะไรที่สามารถเกิดข้อผิดพลาดขึ้นได้ และมีผลกระทบต่อความน่าเชื่อถือทางการเงิน รวมทั้งการทุจริตที่เกี่ยวข้องจะประกอบไปด้วย
– ความพร้อม (Availability) เมื่อระบบไม่พร้อมใช้งาน
– ความปลอดภัย (Security) เมื่อเกิดการลักลอบเข้าระบบโดยไม่ได้รับอนุญาต
– ความถูกต้องสมบูรณ์ (Integrity) เมื่อข้อมูลไม่ครบถ้วนหรือไม่ถูกต้อง
– ความลับ (Confidentiallity) เมื่อข้อมูลถูกเปิดเผย
– ความมีประสิทธิผล (Effectiveness) เมื่อระบบไม่ปฏิบัติงานตามที่คาดหวัง
– ความมีประสิทธิภาพ (Efficiency) เมื่อระบบก่อให้เกิดการใช้ทรัพยากรที่ไม่คุ้มค่า

ท่านผู้อ่านครับ บางท่านอาจจะส่งสัยว่า ทำไมผมถึงนำเรื่องการควบคุมภายในและการตรวจสอบ โดยเฉพาะอย่างยิ่ง การตรวจสอบทางด้าน IT Audit มาลงในหัวข้อ GRC เหตุผลง่าย ๆ ก็คือ GRC เป็นการขับเคลื่อนในลักษณะ Integrity – Driven Performance ภายใต้ร่ม Consolidated Single Framework ที่ทุกอย่างภายใต้ร่มใบนี้ ไม่ว่าจะเป็นเรื่อง CG, ITG, COSO – ERM, CobiT, Internal Control ทั้งทางด้าน IT และ Non – IT, การตรวจสอบทางด้าน IT และ Non – IT ซึ่งรวมทั้งการติดตาม (Monitoring) ของผู้บริหารในภาพโดยรวม และอยู่ภายใต้ร่มของ GRC และทุกองค์ประกอบที่เกี่ยวข้อง ถึงแม้มีความอิสระ แต่มีความสัมพันธ์ซึ่งกันและกันอย่างแยกกันไม่ได้

สิ่งเหล่านี้เราเรียกกันว่า Interdependent ซึ่งอาจเปรียบเทียบกับองค์กรที่มีชีวิต ได้กับร่างกายที่มีชีวิตว่า ร่างกายประกอบด้วยอวัยวะที่ทำงานอย่างเป็นอิสระและมีความสำคัญหลายส่วน แต่ทุกส่วนของอวัยวะ ซึ่งได้แก่ หัวใจ ปอด สมอง +++ มีความเกี่ยวข้องซึ่งกันและกันโดยแยกจากกันไม่ได้ แต่อวัยวะทุกส่วนก็เป็นอิสระ

ครับ ผมกำลังพูดถึงเรื่อง GRC ในมุมมองของการบริหารที่เทียบได้กับองค์กร หรือร่างกายที่มีชีวิตอยู่นะครับ ดังนั้น ท่านผู้อ่านอย่าแปลกใจนะครับว่า หัวข้อต่าง ๆ ของผมต่อไปนี้ แต่ละหัวข้อจะมีความสัมพันธ์กันและกันตามเหตุผลที่กล่าวข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทดสอบข้อมูลโดยวิธี Test Data (ต่อ)

กันยายน 1, 2010

สำหรับเรื่องของ Test Data ที่ผมนำเสนอไปในครั้งที่แล้ว และได้กล่าวถึงขั้นตอนของการจัดทำ Test Data ไว้ในหัวข้อที่ 1 นั้น วันนี้ผมจะขอยกตัวอย่างขั้นตอนของการจัดทำ Test Data ในระบบ On-line ต่อเป็นหัวข้อที่ 2 โดยเป็นตัวอย่างการปฏิบัติงานตรวจสอบระบบเงินฝากขององค์กรโดยทั่วไป ซึ่งการปฏิบัติงานจริงอาจมีรายละเอียดบางอย่างแตกต่างกันไปบ้างในแต่ละองค์กร

2. ตัวอย่างขั้นตอนการจัดทำ Test Data ในระบบ On-line

2.1. การเตรียมการก่อนการทดสอบขององค์กร

2.1.1. ต้องศึกษาและทำความเข้าใจในระบบการปฏิบัติงานขององค์กรก่อนลงมือทดสอบในแต่ละระบบอย่างละเอียด

2.1.2. ต้องศึกษาและทำความเข้าใจใน Format และ Transaction Code ต่าง ๆ

2.1.3. ทำความเข้าใจในระบบการจัดเก็บ File และ Program ของระบบงานต่าง ๆ

2.1.4. ทำความเข้าใจในการทำ Copy ข้อมูล และโปรแกรมที่จะนำมาใช้ในการทดสอบ

2.1.5. ทำความเข้าใจและเจรจากับหัวหน้าศูนย์คอมพิวเตอร์ขององค์กรในเรื่องต่อไปนี้
ก) เวลาที่จะเริ่มทำการทดสอบ
ข) ระยะเวลาที่จะใช้สำหรับการทดสอบ
ค) ชื่อ Report ที่จะขอให้องค์กรพิมพ์มีทั้งสิ้นเท่าใด
ฆ) Printer และ Keyboard ที่จะใช้สำหรับการทดสอบมีจำนวนเท่าใด
ง) เจ้าหน้าที่ผู้ประสานงานขององค์กรมีกี่คน และใครบ้าง
จ) Passbook หรือ Slip ต่าง ๆ ที่จะใช้สำหรับการทดสอบ จะต้องเตรียมการไว้ให้พร้อม เช่น Debit Slip, Credit Slip และ Transfer Slip รวมทั้งแบบพิมพ์อื่น ๆ ที่เกี่ยวข้อง
ฉ) ในกรณีที่องค์กรมีเครื่องคอมพิวเตอร์จำกัด ก็จะต้องทราบว่าหลังจากเสร็จสิ้นงาน On-line แล้ว จะต้องทำงาน Batch อีกนานเท่าใด จึงสามารถเริ่มต้นให้เวลาสำหรับการ Test Data การออก Report และการ Load ข้อมูลกลับเข้าไปในเครื่อง เพื่อทำงานปกติขององค์กรต่อไปได้
ช) ให้องค์กรเตรียม PASS-WORK และUSER-ID กับกุญแจเครื่องของเจ้าหน้าที่ระดับ Authorized แล้วจะเปลี่ยนแปลงใหม่ เมื่อการทดสอบข้อมูลเสร็จสิ้นลงแล้ว

2.1.6. สร้าง Logic และข้อมูลต่าง ๆ เพื่อใช้สำหรับการทดสอบ การสร้างข้อมูลนี้จะต้องคำนึงถึงความสะดวก และจุดมุ่งหมายในการทดสอบด้วย คือ
ก) สร้างข้อมูลขึ้นมาใหม่ทั้งหมด วิธีนี้จะต้องเปิดบัญชีขึ้นมาใหม่ สร้างรายการทั้งที่เกี่ยวกับตัวเลข และประวัติที่อยู่ของลูกค้าขึ้นใหม่ทั้งหมด คงจะเสียเวลาไปบ้าง แต่จะได้ประโยชน์สำหรับการทำงานของเครื่อง คือ ใช้เวลาในการ Sort และการออก Report สั้นและเร็ว เพราะมีจำนวน Data เฉพาะส่วนที่ Key เข้าไปเท่านั้น
ข) ใช้ข้อมูลหรือบัญชีเดิมขององค์กรมาทำรายการต่อไป เช่น ยอดคงเหลือวงเงินต่าง ๆ Clearing Cheque จะมีการเปิดบัญชีและเพิ่มเติมข้อมูลใหม่เข้าไปบ้าง แต่จะน้อยกว่าการสร้างบัญชีขึ้นมาใหม่ วิธีการนี้จะทำให้ใช้เวลาสำหรับการ Key สั้นลง เพราะมีข้อมูลอยู่ใน File แล้วจำนวนหนึ่ง แต่จะมีข้อเสียคือ ใช้เวลาในการทำงานของเครื่องมาก เพราะการ Sort การออก Report จะใช้เวลานาน เนื่องจากมีจำนวน Data อยู่ใน File มาก

ในเรื่องนี้ ผู้ตรวจสอบจะต้องตัดสินใจให้ได้ก่อน แล้วจึงแจ้งแก่องค์กรให้เตรียมการล่วงหน้าก่อนการทดสอบ เพราะมีบางครั้งที่องค์กรไม่สามารถจะสนองความต้องการของผู้ตรวจสอบได้ เช่น องค์กรนัดให้ทำการทดสอบแล้ว แต่พอถึงเวลาจริง องค์กรไม่สามารถจะหา Tape ม้วนที่ Copy ไว้ได้ หรือการทำ Copy Data File ผิดพลาด จึงต้องเปลี่ยนเวลาการในการทำ Test Data ออกไปใหม่อีก
ผู้ตรวจสอบจะต้องแบ่งงานการทดสอบออกเป็นระบบงาน และแยกความรับผิดชอบเป็นรายบุคคล เพื่อไม่ให้เกิดความยุ่งยากสับสน และอาจทำให้ล่าช้าลงได้

2.1.7. ต้องพยายามแบ่งงานการ Key ให้เสร็จไปพร้อม ๆ กันทุกงาน โดยเฉพาะการปลด Lock Cheque ควรจะทำไปในเวลาพร้อม ๆ กัน หรือใกล้เคียงกัน เพื่อบริการเวลาให้สูญเสียน้อยที่สุด เพราะหากงานหนึ่งเสร็จก่อน แต่จะทำรายการต่อไปไม่ได้ต้องรอให้ปลด Lock Cheque ก่อน ในขณะเดียวกันงานอื่นยังไม่สามารถให้ทำรายการปลด Lock Cheque ได้ จึงทำให้งานที่ทำเสร็จก่อนต้องเสียเวลารอคอย

2.2. ระหว่างการ Key ข้อมูล

2.2.1. ต้องแจ้งให้องค์กรทราบว่า วันที่ในระบบงานที่กำหนดให้ทำ Test Data เป็นวันเดือนปี ใด Yesterday และ Next day เป็นวันที่เท่าใด Clearing Hold กี่วัน ทั้งนี้ เพื่อใช้สำหรับการออกวันที่ใน Report และการคิดดอกเบี้ย ฯลฯ

2.2.2. ผู้ตรวจสอบควรจะต้องมีโจทย์ไว้ 2 ชุด คือ ชุดรูปถ่ายที่ไม่มีผลที่คาดว่าจะเกิดขึ้นมอบให้แก่ Operator 1 ชุด เพื่อใช้สำหรับ Key ได้อย่างรวดเร็ว ส่วนอีกชุดหนึ่งมีผลที่คาดว่าจะเกิดขึ้น (Expectation) ผู้ตรวจสอบจะต้องถือไว้คอยกำกับการ Key และจด Output หรือ Response ที่เครื่องแสดงออกมา

2.2.3. ในระหว่างที่ Operator ทำการ Key แล้ว แจ้งแก่ผู้ตรวจสอบว่า อาจจะ Key ไม่ได้หรือขัดข้องแน่ จะขอข้ามไปหรือแก้ไขโจทย์ได้หรือไม่

ผู้ตรวจสอบจะต้องเข้าใจว่าเป็นการทดสอบข้อมูล จึงไม่ควรที่จะยินยอมให้ข้ามไป หรือแก้ไขโจทย์ ควรจะให้ลองทำดู แล้วจดผลลัพธ์ที่ได้ก่อน แล้วจึงทำ Step ต่อไป

2.2.4. ก่อนการปลด Lock Cheque Clearing อย่าลืมให้ Operator ผู้รับผิดชอบทำรายการ Key รายละเอียดเช็คฉบับที่คืน (Return Cheque) เสียก่อน หากไม่ทำ Step นี้โดยปลด Lock เช็คแล้วจะถือว่าทั้งหมดผ่านการ Clearing

2.3. เมื่อเสร็จสิ้นการ Key

2.3.1. เมื่อเสร็จสิ้นการ Key ข้อมูลแล้ว ควรจะให้มีการพิมพ์รายละเอียดและยอดรวมของ Teller ทุกคน

2.3.2. ขอให้ออก Journal Roll จากเครื่อง Printer และเก็บโจทย์ที่มอบให้แก่ Operator กลับคืนโดยครบถ้วน

2.3.3. ก่อนจะปิดเครื่อง ตรวจนับ PASS-BOOK และ SLIP ต่าง ๆ ว่าได้รับคืนมาครบถ้วนหรือไม่ เพราะบางองค์กรหากปิดเครื่องไปแล้วจะให้เปิดและทำรายการใหม่ไม่ได้

2.3.4. ตรวจนับ Report ที่ได้รับว่าครบถ้วนตามที่ต้องการหรือไม่

Leave a Comment » | IT Audit | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทดสอบข้อมูลโดยวิธี Test Data (ต่อ)

สิงหาคม 25, 2010

ครั้งที่แล้วผมได้เล่าสู่กันฟัง ถึงเรื่องของการทดสอบข้อมูลและกระบวนการทำงานในระบบคอมพิวเตอร์ โดยวิธี Test Data (TDM) ว่า เหตุใดหรือมีความจำเป็นใดที่ต้องใช้วิธี Test Data ในการตรวจสอบ และวิธีการดังกล่าวจะนำมาใช้ในกระบวนการตรวจสอบได้อย่างไร ซึ่งวันนี้ผมจะมาเล่าในรายละเอียดของ TDM ต่อ แต่เนื่องจากรายละเอียดนั้นค่อนข้างเยอะ ผมจึงขอนำเสนอเป็นตอน ๆ พร้อมยกตัวอย่างประกอบ เพื่อให้เข้าใจได้ง่ายยิ่งขึ้นครับ

Test Data คือ อะไร
Test Data เป็นข้อมูลที่ผู้ตรวจสอบจัดทำขึ้น เพื่อใช้ตรวจสอบความถูกต้องของการทำงาน และการควบคุมของโปรแกรมระบบงาน โดยนำข้อมูลที่สมมติขึ้นไปประมวลผลกับโปรแกรมที่องค์กรใช้งานอยู่จริง แล้วนำผลลัพธ์ที่ได้ไปเปรียบเทียบกับผลลัพธ์ที่ผู้ตรวจสอบคำนวณหรือคาดไว้ล่วงหน้า ด้วย Manual ดังรูป

Test Data Method

การสร้างข้อมูลตัวอย่างทดสอบ (Audit Test Data)
การใช้ตัวอย่างข้อมูลเพื่อประเมินคุณภาพของโปรแกรม เป็นเทคนิคเบื้องต้นในการเก็บรวบรวมหลักฐานอย่างหนึ่ง โดยตั้งอยู่บนพื้นฐานที่ว่า ผู้ตรวจสอบจะให้ความเชื่อถือต่อโปรแกรมที่ใช้งาน หากผลการทดสอบเป็นที่น่าพอใจ

ผู้ตรวจสอบจะใช้เทคนิค Test Data ในการทดสอบ และตรวจสอบประเด็นต่าง ๆ ดังต่อไปนี้
1. ขั้นตอนและวิธีการในการอนุมัติรายการข้อมูลนำเข้า การหาสาเหตุของข้อผิดพลาด และการควบคุมระบบงาน
2. ความสมเหตุสมผลของขั้นตอนการประมวลผล และการควบคุมการสร้างและปรับปรุงแก้ไขข้อมูลในแฟ้มข้อมูลหลัก
3. ความถูกต้องในการทำงานของโปรแกรมคำนวณต่าง ๆ เช่น ดอกเบี้ย ค่าใช้จ่าย ค่าเสื่อมราคา
4. การบันทึกการเปลี่ยนแปลงแก้ไขโปรแกรม

ขั้นตอนการจัดทำ Test Data และตัวอย่าง

1. ขั้นตอนการจัดทำ Test Data

1.1. กำหนดวัตถุประสงค์หรือเป้าหมายของากรทดสอบในแต่ละเรื่องของกิจกรรม ที่พิจารณาว่าอาจก่อให้เกิดความเสี่ยง
1.2. กำหนดจำนวนรอบเวลาบัญชีหรือข้อมูล (Cycle) ที่จะใช้ในการทดสอบ ให้สอดคล้องกับเป้าหมายของการทดสอบที่กำหนดไว้
1.3. สร้างเงื่อนไขหรือประเภทของรายการที่จะทดสอบให้สัมพันธ์กับเป้าหมาย ให้สามารถคาดคะเนผลลัพธ์ที่จะออกมาได้
1.4. จัดเตรียมข้อมูลที่จะทดสอบตามเงื่อนไขที่ได้สร้างไว้ และจำแนกตามรอบเวลา (Cycle) ที่ได้กำหนดไว้
1.5. คำนวณผลลัพธ์ที่คาดว่าจะได้รับด้วย Manual (ขั้นตอนนี้จะเป็นการฝึกฝน และเพิ่มพูนความเข้าใจของผู้ตรวจสอบ ต่อระบบงานที่ตรวจสอบได้โดยละเอียด)
1.6. ประมวลผลข้อมูลทดสอบที่ได้เตรียมไว้ ตามกระบวนการที่กำหนดไว้ในการประมวลงานตามปกติ
1.7. ตรวจสอบผลลัพธ์ที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ โดยนำไปเปรียบเทียบกับผลลัพธ์ที่คาดว่าจะได้รับตามที่คำนวณได้ด้วย Manual
1.8. สรุปผลการทดสอบและระบุจุดอ่อนที่พบ ซึ่งผู้ตรวจสอบจะต้องระบุสาเหตุของจุดอ่อนแต่ละประเด็น และให้คำแนะนำในการปรับปรุงแก้ไข

โปรดติดตามขั้นตอนต่อไปในครั้งหน้านะครับ

Leave a Comment » | IT Audit | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 กับ Regulators และ Operators ทางด้าน IT Audit และทั่วไป

สิงหาคม 17, 2010

คุยกับผู้เขียนในตอนที่แล้ว ผมได้เล่าถึงแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ซึ่งได้ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 มิถุนายน 2553 เล่มที่ 127 ตอนพิเศษ 78 ง หน้า 131 – 138 ไปแล้วนั้น ก็เพื่อให้ท่านผู้อ่านทราบว่า หน่วยงานกำกับภาครัฐที่ดูแลรับผิดชอบเกี่ยวกับ ความน่าเชื่อถือได้ของข้อมูล และรายงานทางการเงิน และรายงานที่มิใช่การเงิน ที่ข้อมูลและสารสนเทศถูกประมวลผลด้วยระบบคอมพิวเตอร์ หรือระบบเทคโนโลยีสารสนเทศนั้น ความน่าเชื่อถือได้ของข้อมูล เป็นเรื่องจำเป็นอย่างยิ่งยวดที่ผู้มีผลประโยชน์ร่วมทุกฝ่าย ทั้งในและระหว่างประเทศ ให้ความสนใจในระดับสูงมาก

หากข้อมูลและสารสนเทศไม่น่าเชื่อถือ ความไว้วางใจของ Stakeholders ก็จะไม่มีหรือมีน้อยมาก ทำให้มีปัญหาในเรื่องเกี่ยวกับศักยภาพการแข่งขัน และการสร้าง Value Creation และ Business Objective ขององค์กรต่าง ๆ รวมทั้งความไว้วางใจต่อระดับชาติ ที่จะมีผลกระทบต่อการค้า การเงิน และการลงทุนตามมาด้วยอีกมาก

การบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Process และ Business Objective ในมุมมองต่าง ๆ ตามหลักการของ Balanced Scorecard และตามวัตถุประสงค์ของการควบคุมหลักของ COSO – ERM คือ Strategic Risk – S, Operational Risk – O, Reporting/Finanacial Risk – F, Compliance Risk – C นั้น จำเป็นจะต้องมีการประเมิน และควบคุมความเสี่ยง รวมทั้งการตรวจสอบตามฐานความเสี่ยง และการจัดการโดยผู้บริหาร ทางด้าน IT Control และ IT Audit อย่างหลีกเลี่ยงไม่ได้ ตามที่ปรากฎในมาตรฐานของประเทศต่าง ๆ ทั่วโลก

ผมจึงนำระเบียบคณะกรรมการตรวจเงินแผนดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ที่มีผลบังคับใช้แล้วตั้งแต่ วันที่ 24 มีนาคม 2546 ตามประกาศในราชกิจจานุเบกษา ฉบับกฤษฎีกา เล่ม 120 ตอนที่ 25 ก ซึ่งได้กล่าวถึงแนวทางปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ขอบเขตการตรวจสอบภายใน โดยเฉพาะอย่างยิ่งแนวทางปฏิบัติที่ 6 หน้า 10 ที่ได้กล่าวในเรื่อง IT Audit ว่า

“หน่วยรับตรวจที่ใช้เทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการปฏิบัติงานหรือบริหารงาน ควรจัดให้มีผู้ตรวจสอบภายในซึ่งมีความรู้ ความสามารถอย่างเพียงพอที่จะตรวจสอบระบบเทคโนโลยีสารสนเทศ เพื่อให้สามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลได้อย่างเหมาะสมและเกิดประโยชน์”

ในกรณีระเบียบว่าด้วยการตรวจสอบภายในตาม (1) และ (2) มิได้กำหนดให้ปฏิบัติงานตามมาตรฐานการตรวจสอบใด ให้ปฏิบัติตามมาตรฐานการปฏิบัติงานวิชาชีพการตรวจสอบภายในที่เผยแพร่โดยสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือ Standards for the Professional Practice of Internal Auditing ที่กำหนดโดย The Institute of Internal Auditors (IIA) ฉบับล่าสุด

ท่านผู้อ่านสามารถคลิ๊กดูรายละเอียดของระเบียบคณะกรรมการตรวจเงินแผ่นดินฯ ได้ที่นี่เลยครับ รวมเล่ม ระเบียบตรวจเงินแผ่นดิน

สำหรับผมเอง มีความเห็นส่วนตัวเพิ่มเติมจากแนวทางปฏิบัติต่าง ๆ ที่ปรากฎในระเบียบของ คตง. ว่า ถ้ามาตรฐานการตรวจสอบทางด้าน IT ยังไม่ปรากฎชัดเจนตามที่ระเบียบของ คตง. ได้กล่าวไว้ตามวรรคต้น ก็น่าจะใช้ Best Practice หรือ IT Audit Guideline ของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (IIAT – สตท.) หรือ IIA – The Institute of Internal Auditors (IIA) สากล นำมาใช้ได้สำหรับการตรวจสอบ IT Audit ซึ่งในปัจจุบันก็มีเผยแพร่ให้ท่านผู้อ่านได้ติดตามจากเว็บไซต์ที่เกี่ยวข้องได้อยู่แล้วครับ

ส่วนรายละเอียดเกี่ยวกับแนวการปฏิบัติและการตรวจสอบทางด้าน IT Audit ซึ่งเป็นเรื่องที่เกี่ยวข้องกับการควบคุมความเสี่ยง และการบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk นั้น ก็เช่นเดียวกันครับที่ท่านสามารถจะติดตามได้จากเว็บไซต์ที่เกี่ยวข้อง ซึ่งผมจะนำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

Leave a Comment » | คุยกับผู้เขียน, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »