IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 11)

กันยายน 13, 2014

สวัสดีครับทุกท่าน จากประสบการณ์ที่ผมได้ร่วมตรวจสอบ EDP Examiner กับ FDIC (Federal Deposit Insurance Corporation) และได้เล่าสู่กันฟังไปหลายตอนแล้วนั้น วันนี้ผมจะขอเล่าถึงการตรวจสอบที่ผมได้ร่วมกับ OCC (Office of the Comptroller of the Currency) ตามที่ได้กล่าวทิ้งท้ายในครั้งก่อนกันบ้างว่า จะมีความเหมือนหรือแตกต่างกันอย่างไร สำหรับงานตรวจสอบด้านคอมพิวเตอร์ของทั้ง 2 สถาบันดังกล่าว ซึ่งเป็นงานการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา เมื่อปี 2521 ติดตามกันต่อได้เลยครับ

การตรวจสอบคอมพิวเตอร์ของ OCC

ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examiners)

The Comptroller ได้แต่งตั้งผู้ตรวจสอบที่มีประสบการณ์ในการตรวจสอบให้ปฏิบัติงานเป็นผู้ตรวจสอบด้านคอมพิวเตอร์ (EDP Examiners) และได้จัดให้บุคคลเหล่านี้เข้ารับการฝึกอบรมเป็นพิเศษ เพื่อให้เป็นผู้ที่มีความสามารถในการที่จะตรวจสอบระบบการผลิตข้อมูลด้วยคอมพิวเตอร์ของธนาคารและของศูนย์บริการด้านคอมพิวเตอร์ (Service Center) ต่าง ๆ ที่ธนาคารใช้บริการอยู่

ผู้ตรวจการด้านคอมพิวเตอร์จะรายงานต่อ Regional Administrator ซึ่งตนสังกัดอยู่ แต่อย่างไรก็ตาม งานทางด้านเทคนิคต่าง ๆ ของการตรวจสอบด้าน EDP ยังคงอยู่ในความรับผิดชอบของฝ่ายกิจการธนาคาร (The Banking Operation Department) ในวอชิงตัน จำนวนของผู้ตรวจการ สถานที่ทำงาน และตารางเวลาการปฏิบัติงานของผู้ตรวจการดังกล่าว ยังคงขึ้นอยู่กับ Regional Administrator ซึ่งเป็นผู้บริหารงานของแต่ละ office การคัดเลือกผู้ตรวจการและการจัดให้เข้ารับการอบรมต้องประสานงานและได้รับอนุมัติจากสำนักงานตรวจสอบคอมพิวเตอร์ (EDP Examination Division) ในวอชิงตัน มาตรฐานและการดำเนินการฝึกอบรมให้ถือเป็นความรับผิดชอบของ Washington Office

ผู้ตรวจการด้าน EDP มีหน้าที่ในการตรวจสอบการผลิตข้อมูลด้วยคอมพิวเตอร์ในแต่ละธนาคาร และในศูนย์บริการซึ่งผลิตข้อมูลให้แก่ธนาคาร

แผนการปฏิบัติงาน (Work Programs) และรายงานการตรวจสอบจะจัดทำขึ้นโดยเฉพาะสำหรับแต่ละกิจการที่ตรวจสอบ วัตถุประสงค์ของการตรวจสอบก็เพื่อที่จะวัดผลการควบคุมภายในของระบบการผลิตข้อมูลด้วยคอมพิวเตอร์

ความจำเป็นของแต่ละท้องถิ่น ความสนใจและความชำนาญงานของผู้ตรวจการแต่ละคนจะเป็นปัจจัยที่กำหนดระยะเวลาที่จะใช้ในการตรวจสอบของผู้ตรวจการด้าน EDP ผู้ตรวจการด้าน EDP จะต้องเป็นผู้ที่มีความสนใจในงานด้านการผลิตข้อมูลด้วยเครื่องจักรนี้เป็นอย่างมาก เพื่อที่จะให้เป็นผู้ตรวจการที่มีประสิทธิภาพอยู่เสมอ

ผู้ตรวจการด้าน EDP ของ The Comptroller จะต้องเป็นผู้ที่คุ้นเคยกับงานด้านการตรวจสอบกิจการค้า กิจการทรัสต์ และกิจการธนาคารระหว่างประเทศ (International Bank) หรือเคยผ่านงานดังกล่าวมาบ้าง อย่างน้อยที่สุดต้องเป็นผู้ที่สามารถเข้าใจถึงกิจการดังกล่าวโดยตลอด ดังนั้น จึงอาจกล่าวได้ว่า ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examine) จะต้องรู้ถึงแนวการตรวจสอบในแบบธรรมดามาแล้วเป็นอย่างดี และโดยปกติ EDP Examiner มักจะได้รับการคัดเลือกหรือมาจากความสมัครใจของผู้ตรวจสอบธรรมดา (Financial Examiner) ที่มีประสบการณ์การตรวจกิจการของธนาคารโดยทั่วไปมาแล้ว

การตรวจสอบคอมพิวเตอร์ (EDP Examination)

การตรวจสอบด้าน EDP ประกอบด้วยหลักการที่จะประเมินผลการควบคุมภายในที่มีอยู่ในศูนย์ประมวลผลแต่ละแห่ง ศูนย์ประมวลผลที่ดำเนินการประมวลผลข้อมูลและเก็บรักษาบันทึกข้อมูล (Master File Records) ของธนาคารทุกศูนย์จะต้องได้รับการตรวจสอบรายละเอียดด้านล่างนี้จะแสดงถึงลักษณะของศูนย์ประมวลผลที่จะต้องได้รับการตรวจสอบจากสำนักงานของ Comptroller

  • ศูนย์ประมวลผลข้อมูลของธนาคารที่ตั้งอยู่ในที่ทำการ (In-House Data Processing Center)
  • สาขาย่อยของศูนย์ประมวลผลของธนาคาร
  • กิจการในเครือของธนาคาร (Affiliates of National Bank) หรือ สาขาของธนาคาร (Subsidiaries of Bank Holding Companies) ซึ่งให้บริการผลิตข้อมูลแก่ธนาคาร
  • สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการด้านการประมวลผลข้อมูลแก่ธนาคาร (National Bank)
  • ระบบคอมพิวเตอร์ขนาดเล็ก (Minicomputer Systems) ของธนาคารที่ธนาคารใช้บันทึกข้อมูลเข้า Master Files ของระบบ Computer

ศูนย์ประมวลผลต่อไปนี้ไม่ต้องได้รับการตรวจสอบโดยสำนักงานของ Comptroller คือ

  • State Banks หรือสาขาของ State Banks ซึ่งให้บริการประมวลผลข้อมูลแก่ National Bank
  • ศูนย์ประมวลผลซึ่งมิใช่ของธนาคาร National Bank หรือสาขาของ National Bank และมิได้ให้บริการดังกล่าวแก่ National Bank

ส่วนเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่งใช้ประโยชน์เฉพาะ เพื่อการถ่ายทอดข้อมูลจากเอกสารต้นฉบับและส่งผ่าน (Transmitting) ไปยังศูนย์ประมวลผลเพื่อผ่านบัญชี (Posted), ประมวลผล (Processed) และ บันทึกข้อมูลและใช้เพื่อรับผล (Output) จากศูนย์และส่งกลับไปเพื่อแสดงผล ณ จุดต่าง ๆ ตามที่ต้องการ

การตรวจสอบระบบดังกล่าว ซึ่งมักเรียกว่า “Front-End Devices” มีข้อแนะนำดังต่อไปนี้

เมื่อใดก็ตามที่ธนาคารที่ตรวจสอบมีระบบ Front-End System เชื่อมโยงกับศูนย์คอมพิวเตอร์มากกว่า 1 แห่ง ผู้ตรวจการจะต้องเลือกไปตรวจสอบและดูความเหมาะสม 1 แห่ง และในการตรวจสอบครั้งต่อไปจะต้องเลือกแห่งใหม่ไม่ซ้ำกับที่เดิม แต่เนื่องจากการที่สถานที่ตั้งของ Front-End System อยู่คนละแห่งกันกับศูนย์ข้อมูลที่เข้าตรวจสอบตามหมายกำหนดการ ดังนั้น การตรวจสอบ Front-End Device ซึ่งอยู่คนละสถานที่กัน อาจทำให้ขณะที่เข้าตรวจศูนย์ข้อมูลอื่นซึ่งตั้งอยู่ในท้องถิ่นดังกล่าวได้ในภายหลัง และในกรณีนี้จะต้องมีรายละเอียดระบุไว้ด้วยว่า ได้ตรวจสอบครั้งก่อนเมื่อใด ใครเป็นผู้ตรวจ มีขอบเขตเพียงใด และไม่จำเป็นต้องรายงานแยกต่างหากอีก ข้อสังเกตของการตรวจสอบ Front-End System ดังกล่าวอาจรวมเข้ากับรายงานการตรวจสอบศูนย์ข้อมูลที่ได้ตรวจสอบเมื่อก่อนหน้านี้ก็ได้

Test Data

 

การตรวจสอบประสานกัน (Concurrent Examination)

การตรวจสอบกิจการของธนาคารและศูนย์ข้อมูลของธนาคารอาจจะกระทำพร้อมกันไปก็ได้ เพื่อให้มีการประสานงานระหว่างผู้ตรวจสอบด้าน EDP และผู้ตรวจสอบด้านเงินให้กู้ยืมและให้เครดิต และด้านกิจการทรัสต์ ในกรณีที่มีปัญหาหรือพบข้อแตกต่างในระหว่างการตรวจสอบร่วมกันนี้ ผู้ตรวจการด้าน EDP จะเป็นผู้รับผิดชอบในการชี้แจงแก่ผู้บริหารระดับสูง (Senior Management) และแนะนำแก่ผู้ตรวจสอบเงินให้กู้ยืมและให้เครดิต (Examiner-Incharge of The Commercial Examination) ถึงข้อแตกต่างที่ตรวจพบ

การตรวจสอบร่วมกัน (Joint Examination)

ในบางกรณี EDP Examiner ของ Comptroller อาจตรวจสอบร่วมกับ EDP Examiner ของสถาบันอื่นที่มีหน้าที่ควบคุมธนาคาร (Other Regulatory Authorities) ก็ได้ เช่น ผู้ตรวจสอบของ FDIC และ/หรือ FRB

ผู้ตรวจการควรพยายามประสานงานเพื่อตรวจสอบกิจการต่อไปนี้

กิจการในเครือ (Affiliate) ของ National Bank หรือสาขา (Subsidiary) ของ Holding Company ของธนาคารซึ่งเป็นผู้ให้บริการผลิตข้อมูลแก่ National และ State Banks)

สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการแก่ National และ State Banks

องค์การที่ตั้งขึ้นเพื่อให้บริการแก่ธนาคาร (Bank Services Corporations) ทั้งในรูปของการลงทุนร่วมกันหรือสหกรณ์ (Joint Ventures or Cooperations) ซึ่งให้บริการดังกล่าวได้แก่ National และ State Banks

สำหรับการตรวจสอบคอมพิวเตอร์กับ OCC ยังไม่จบเพียงเท่านี้ ครั้งหน้าไปติดตามการตรวจสอบในแบบ Evaluation หรือ Around The Computer กันครับ

 

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 10)

สิงหาคม 17, 2014

ในครั้งก่อน ผมได้เล่าถึงการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสตรวจสอบธนาคารพาณิชย์กับ EDP Examiner โดยออกตรวจสอบร่วมกับสถาบัน FDIC เมื่อครั้งที่ผมได้ไปฝึกอบรมและดูงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งงานการตรวจสอบที่ FDIC ได้แบ่งออกเป็น 2 ประเภท คือ Evaluation และ Examination และผมได้กล่าวถึง การตรวจสอบแบบ Evaluation ไปบ้างแล้วนั้น ในครั้งนี้ ผมจึงจะขอเล่าต่อในส่วนของงานการตรวจสอบแบบ Examination กันต่อ

Examination

ถือเป็นงานลำดับรองลงมาเมื่อเทียบกับงาน Evaluation ด้าน Data Center งานด้านนี้เป็นเพียงสนับสนุนและช่วยเหลือ Financial Examiner ในการตรวจสอบงานด้านอื่น ๆ งานของ EDP Examiner ในส่วนนี้มีดังนี้

  • ขอ Report ต่าง ๆ ที่จำเป็นในการทำ Evaluation ซึ่งเป็นงานที่เกี่ยวข้องกับการประเมินผลด้าน Data Center
  • ขอ Report ที่จำเป็น เพื่อการปฏิบัติงานของ Financial (Regular) Examiner
  • ใช้ Program หรือคำสั่งงานของ FDIC เอง เพื่อดึงข้อมูลที่ต้องการตรวจสอบ ซึ่งบันทึกอยู่ในม้วน Tape หรือ Disk ของธนาคาร เพื่อให้ได้ข้อมูลที่ต้องการตามที่ Financial Examiner ต้องการ หรือ เพื่อทดสอบงานของ EDP Examiner เองบางส่วนก็ได้ งานในขั้นนี้นับว่ามีความสำคัญไม่น้อย เพราะเป็นวิธีการตรวจสอบที่เรียกว่า “Through the Computer” กล่าวคือ มีการใช้ Program ของผู้ตรวจสอบเอง ในการทดสอบข้อมูลของธนาคาร ไม่ว่าจะเป็นการดึงข้อมูลจาก File (Tape หรือ Disk) ของธนาคารในรูปแบบเดิม หรือเปลี่ยนแปลงข้อมูลให้ปรากฎในรูปฟอร์มแบบที่ผู้ตรวจสอบต้องการ รวมทั้งการทำข้อมูลใหม่โดยอาศัยข้อมูลเดิมของธนาคารด้วยก็ได้
  • การปฏิบัติงานการตรวจสอบที่เรียกว่า “Through the Computer” ของ FDIC นี้ เป็นการใช้เทคนิคการตรวจสอบมาก ผู้ตรวจสอบต้องเข้าใจในระบบงานอย่างแท้จริง และลึกซึ้งถึงจะปฏิบัติงานขั้นนี้ได้ และในทางปฏิบัติผู้ตรวจสอบก็พบกับปัญหาอยู่ไม่น้อย ซึ่งจะต้องทำการแก้ไขโปรแกรมในการตรวจสอบเสมอ ดังนั้นทาง Comptroller of the Currency จึงไม่ใช้วิธีการตรวจสอบชนิดนี้ทั้ง ๆ ที่ทาง FDIC เสนอให้ยืม Program ในการตรวจสอบไปใช้ก็ตาม

    • การตรวจสอบแบบ Around-Through The Computer

เหตุผลที่ FDIC ใช้แนวการตรวจสอบแบบ Through the Computer

1. ไม่ต้องอาศัยข้อมูลของธนาคารแต่อย่างเดียว เพราะ FDIC สามารถสร้างข้อมูลใหม่หรือเปลี่ยนรูปแบบของข้อมูลเดิมโดยอาศัย Program ปฏิบัติการในด้านนี้ ทำให้เป็นอิสระที่จะใช้ข้อมูลเท่าที่จำเป็นในการตรวจสอบ

2. ช่วยประหยัดเวลาในการปฏิบัติงานของ Financial Examiner ลงได้มาก และทำให้การตรวจสอบมีประสิทธิภาพมากขึ้น

3. เป็นการยกระดับผู้ตรวจสอบด้านคอมพิวเตอร์ และทำให้ผู้ตรวจสอบแน่ใจความรู้ด้านนี้ของตนมากยิ่งขึ้น

อย่างไรก็ดี ข้อมูลที่ได้จากการใช้ Through the Computer ในการตรวจสอบก็เพื่อใช้งานในด้าน Financial Examiner เป็นหลัก

งานที่ตรวจสอบแบบ Through the Computer ของ FDIC

  • Installment Loans
  • Demand Deposits
  • Savings Deposits
  • Certificates of Deposits

งานที่ตรวจสอบในแบบ Through the Computer เริ่มในปี 1975 จากงาน Installment Loans เป็นอันดับแรก ซึ่งปัจจุบัน (ณ ช่วงเวลาในปี 2521 นั้น) FDIC กำลังพัฒนา Program ที่จะตรวจสอบงานประเภทอื่น ๆ ให้มากขึ้น

ข้อสังเกตที่เกี่ยวกับการใช้ Software Package ในการตรวจสอบของ FDIC และผู้สอบบัญชี

1. FDIC ได้พัฒนา Software Package ของตนเอง เพื่อการตรวจสอบในลักษณะ Through the Computer โดยเฉพาะ ทั้งนี้โดยมี Division of Management System and Financial Statistics ประจำ FDIC, Washington D.C. เป็นผู้มีหน้าที่พัฒนาเรื่องนี้โดยตรง และจะนำ Software Package ที่พัฒนาแล้วให้ผู้ตรวจสอบทดลองใช้งาน และแก้ไขไปจนกว่าจะนำไปใช้ปฏิบัติงานได้จริง

2. EDP Examiner เป็นผู้ใช้ Software Package แต่ไม่ได้เป็นผู้เขียน Program เอง EDP Examiner ที่ช่วย Financial Examiner โดยการใช้ Software Package ดึงข้อมูลจาก Tape หรือ Disk เพื่อการตรวจสอบงานของ Financial Examiner และของ EDP Examiner เองนี้ จะต้องมีความรู้ด้านการเขียน Program ดีพอ เพราะในทางปฏิบัติการใช้ Software Package ในการตรวจสอบมักมีปัญหาอยู่เสมอที่ EDP Examiner จะต้องแก้ไข Program ด้วยตนเอง และถ้าไม่อาจแก้ไขได้ก็ต้องโทรศัพท์หารือโดยตรงไปยัง FDIC, Washington D.C. และบางกรณีผู้เชี่ยวชาญจาก Washington D.C. จำเป็นต้องเดินทางไปแก้ไขปัญหาด้วย

3. ผู้ตรวจสอบบัญชีภายนอกและผู้สอบบัญชีภายในของธนาคารพาณิชย์ ที่ใช้ Software Pakage ในการตรวจสอบ โดยปกติจะไม่พัฒนาหรือเขียน Program ในการตรวจสอบข้อมูลโดยตรง แต่จะใช้ Software Package จากบริษัทผู้ผลิตหรือบริการด้าน Software โดยเฉพาะ เช่น Cullinane Corporation ซึ่งบริษัทประเภทนี้จะมีความเชี่ยวชาญโดยเฉพาะเกี่ยวกับการเขียน Program ในการตรวจสอบงานการผลิตข้อมูลที่ดำเนินการโดยเครื่องคอมพิวเตอร์ของ IBM ซึ่งไม่เหมาะสม และอาจใช้งานไม่ได้ผลสำหรับคอมพิวเตอร์ชนิดอื่น ๆ

อย่างไรก็ดี งานตรวจสอบบางประเภทผู้สอบบัญชีอาจเขียน Program เพื่อการตรวจสอบเองทั้งหมดก็ได้

4. ในการใช้ Audit Software Package เพื่อปฏิบัติงาน ผู้ตรวจสอบจะต้องเขียน Parameter คือเขียนคำสั่งงานในแบบฟอร์ม ซึ่งจะนำไปเจาะรูในบัตรเจาะรู (Punch Card) ขนาดมาตรฐาน บัตรเจาะรูดังกล่าวเป็นเสมือนหนึ่งเป็นบัตรนำในการสั่งงานให้เครื่อง Compile Program กล่าวคือ ให้เครื่องแปลงภาษาคอมพิวเตอร์ที่ Programmer เขียนขึ้นให้เป็นภาษาของเครื่องจักร (Machine Readable Form) ซึ่งในที่สุดแล้ว คำสั่งงานการตรวจสอบในเรื่องที่เกี่ยวข้องจะถูกบันทึกลงในส่วนที่เป็นสมอง หรือ Memory ของเครื่องคอมพิวเตอร์ เพื่อการปฏิบัติงานในขั้นต่อไปได้

5. เมื่อเครื่องคอมพิวเตอร์ Compile Program ของงานที่จะตรวจสอบแล้ว จะมีการทดสอบ Program ที่พร้อมจะปฏิบัติงานได้นั้นกับ Program File ของผู้ตรวจสอบ ซึ่งส่วนมากมีลักษณะเป็น Tape ของ Application ที่จะตรวจสอบ เช่น Installment Loans ซึ่งผู้ตรวจสอบต้องการจะได้ข้อมูลในรูปแบบของผู้ตรวจสอบเองว่า “เป็นไปได้” หรือ “ปฏิบัติได้” หรือ “Agree” กันหรือไม่ งานขั้นนี้ปกติจะต้องให้พนักงานของธนาคารปฏิบัติให้ โดยผู้ตรวจสอบจะมอบ Tape ของผู้ตรวจซึ่งเตรียมมาแล้ว ถ้าคำสั่งงาน (Program) ขัดแย้งกับรูปแบบของงานที่ผู้ตรวจต้องการ เครื่องคอมพิวเตอร์จะพิมพ์ Listing Program ที่จะต้องแก้ไขพร้อมกับข้อความโดยย่อแต่ละขั้นให้ทราบ ซึ่งผู้ตรวจสอบต้องแก้ไขให้ถูกต้องก่อนการ “Run” งานจริง ๆ กับข้อมูลของธนาคารซึ่งอยู่ใน Tape ต่อไป

Frequently Avoided Questions about IT auditing

credit image : http://www.isect.com

6.การแก้ไข Program ที่ผิดพลาด จะต้องเจาะบัตรเจาะรูใหม่ และ Compile Program ใหม่ทั้งหมด แต่สำหรับเครื่องคอมพิวเตอร์บางชนิด เช่น เครื่อง Burrough B 3700 นี้ เพียงแต่ Compile บัตรเจาะรูที่แก้ไขใหม่เข้าไปแทนบัตรเจาะรูเดิมก็ใช้ได้ ทำให้ประหยัดเวลาและสะดวกในการปฏิบัติงานมากขึ้น

7. ผู้ตรวจสอบจะบอกหัวหน้า Operator ของ Data Center เกี่ยวกับงานที่จะต้องตรวจสอบดังนี้

  • ชื่อของงานที่จะตรวจสอบ เช่น Installment Loans
  • วันที่ใน File หรือ Master File ที่จะใช้ในการตรวจสอบ

8. เมื่อ EDP Examiner ได้ข้อมูลในการตรวจสอบ ซึ่งปกติจะพิมพ์มาจาก Printer ก็จะนำมาดู Total Balance เป็นหลัก และตรวจสอบเปรียบเทียบกับยอดรวมของ Master File อื่น ๆ ที่เกี่ยวข้อง ส่วนรายละเอียดในการตรวจสอบกับเอกสารของธนาคารและการดูข้อมูลอื่น ๆ เป็นหน้าที่ของ Regular Examiner หรือ Financial Examiner จะดำเนินการต่อไป

9. Audit Software Package จากบริษัทผู้ผลิตคอมพิวเตอร์ หรือจากบริษัทผู้ดำเนินการบริการเขียน Audit Software Package โดยเฉพาะนี้ มีราคาแตกต่างกันขึ้นอยู่กับปัจจัยต่อไปนี้

  • ขอบเขตการใช้งาน
  • ลักษณะงานที่ใช้
  • ระบบงานของเครื่องคอมพิวเตอร์ซึ่งแตกต่างกันในแต่ละผลิตภํณฑ์
  • ต้นทุนหรือการตั้งราคาจำหน่ายแต่ละบริษัท
  • เงื่อนไขการให้บริการ

โดยทั่วไป Audit Software Package ที่มีขนาดและขอบเขตการใช้งานขนาดกลางมีราคาระหว่าง US$ 20,000 ถึง US$ 40,000 (ราคาโดยประมาณ ณ ช่วงเวลาในปี 2521) ทั้งนี้ขึ้นกับปัจจัยดังกล่าวข้างต้น บางบริษัทนอกจากขาย Software Package แล้ว ยังคิดค่าบริการในลักษณะ Annual Fee อีกต่างหากด้วย

สำหรับประสบการณ์จากการได้ร่วมตรวจสอบ EDP Examiner กับ FDIC นั้น ผมคงจะเล่าสู่กันฟังได้เพียงเท่านี้ เพราะมีรายละเอียดปลีกย่อยมากมายที่ผมเองคงไม่สามารถเล่าสู่กันฟังได้ทั้งหมด และในครั้งหน้าผมจะมาเล่าถึงประสบการณ์ที่ได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 บ้าง เพื่อให้ท่านผู้อ่านหรือผู้ตรวจสอบ อาจได้รู้ถึงความเหมือนหรือแตกต่างกันของงานการตรวจสอบคอมพิวเตอร์จากทั้ง 2 สถาบัน อีกทั้งยังต้องการให้เห็นถึงความเป็นมาของงานการตรวจสอบในยุคที่ผ่านมา

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การเปลี่ยนแปลงเพื่อความอยู่รอดกับอุตสาหกรรมอิเล็กทรอนิกส์ของญี่ปุ่น

กรกฎาคม 27, 2014

ผมไม่ได้เขียนในคอลัมน์นี้มานานทีเดียว บังเอิญผมได้อ่านเรื่องที่น่าสนใจนี้มาก็นาน ประทับใจกับการต่อสู้ การดิ้นรนของอุตสาหกรรมอิเล็กทรอนิกส์ของญี่ปุ่นที่เคยเป็นผู้นำของโลกในด้านอิเล็กทรอนิสก์ที่สำคัญ ๆ

แต่ในระยะหลัง ๆ อุตสาหกรรมที่ผ่านมานี้ของญี่ปุ่นต้องดิ้นรนต่อสู้กับความอยู่รอดจากการแข่งขันกับประเทศต่าง ๆ เช่น เกาหลี และจีน จึงขอถ่ายทอดเรื่องราวที่น่าสนใจจาก หนังสือพิมพ์กรุงเทพธุรกิจ ฉบับวันศุกร์ที่ 11 กรกฎาคม 2557 มาเผยแพร่ต่อดังนี้

นายฮารุยาสิ มิยาเบะ เคยควบคุมสายการผลิตชิปคอมพิวเตอร์ที่โรงงานของบริษัทฟูจิตสึในเมืองไอชุวากามัสติของญี่ปุ่น แต่อยู่มาวันหนึ่งเมื่อปีก่อน ผู้จัดการโรงงานได้บอกให้เขาเตรียมตัวรับความเปลี่ยนแปลงในอาชีพการทำงาน “คุณจะต้องเปลี่ยนไปทำผักกาดหอม เริ่มจากพรุ่งนี้เป็นต้นไป” มายมิยาเบะเล่าย้อนความหลัง

ท่ามกลางช่วงเวลาที่ยากลำบากในอุตสาหกรรมอิเล็กทรอนิกส์ของญี่ปุ่น บริษัทฟูจิตสึจำต้องยุบสายการผลิตชิปหนึ่งในสามของโรงงานแห่งนี้เมื่อปี 2552 แต่ปัจจุบันนายมิยาเบะและเจ้าหน้าที่อายุประมาณ 30 ปี อีกคนหนึ่งได้หันมาดูแลผักกาดหอมในห้องสะอาดที่ปลอดเชื้อโรคและฝุ่นละออง ซึ่งเคยใช้เป็นห้องผลิตชิปของโรงงาน

“ตอนแรกเราคิดจะทำศูนย์ข้อมูลหรือคอลเซ็นเตอร์” แต่เป็นเรื่องยากที่จะได้รับใบอนุญาต” นายมิยาเบะซึ่งได้รับสิทธิ์ดูแลผลิตภัณฑ์ใหม่กล่าว “ผมชอบดูผักกาดหอมโตขึ้นเรื่อย ๆ มันน่ารักดี”

ไม่ใช่เพียงนายมิยาเบะและบริษัทฟูจิตสึเท่านั้นที่เปลี่ยนผ่านจากธุรกิจเกี่ยวกับแผงวงจรมาปลูกผัก การดิ้นรนเพื่อแข่งขันกับบรรดาคู่แข่งในเกาหลีใต้หรือจีนในธุรกิจอย่างโทรทัศน์และสมาร์ทโฟน เหล่าลักษ์ใหญ่อิเล็กทรอนิกส์ของญี่ปุ่นต่างแปลงโฉมโรงงานที่ไม่ได้ใช้ประโยชน์มาทำการเกษตรแทน

เมื่อเดือนก่อน หลังจากที่บริษัทฟูจิสึเริ่มขายผักกาดหอมจาดโรงงานเมื่อไอชุวากามัตสึ บริษัทโตชิบา คอร์ป ก็เปิดเผยว่าเตรียมจะเริ่มปลูกผักในโรงงานฟลอปปี้ดิสก์ ใกล้กับกรุงโตเกียวที่ไม่ได้ใช้งานมา 20 ปีแล้ว และในปลายปีนี้ บริษัทพานาโซนิค คอร์ป ก็จะเริ่มขายเรือนกระจกที่ควบคุมด้วยโปรแกรมคอมพิวเตอร์สำหรับใช้ปลูกผักขมและผักชนิดอื่น ๆ นอกจากนั้น ชาร์ป คอร์ป ได้เริ่มทดลองปลูกสตรอว์เบอรี่ในห้องปฏิบัติการของโรงงานที่นครดูไบ สหรัฐอาหรับเอมิเรสต์ โดยใช้เทคโนโลยีส่องสว่างและฟอกอากาศของตนตั้งแต่ปีที่แล้ว ผักปลอดสารพิษ

ขณะเดียวกันรัฐบาลของนายกรัฐมนตรีชินโช อาเบะ ก็สนับสนุนการพัฒนาในด้านนี้ หลังจากที่รัฐบาลชุดก่อนเพียงสนับสนุนธุรกิจที่ไม่สามารถทำกำไรได้เท่านั้น แต่นายอาเบะต้องการธุรกิจเหล่านี้แตกดอกออกผล และต้องการให้มีการปรับโครงสร้างภาคการเกษตรของประเทศที่ส่วนใหญ่เป็นชาวไร่ชาวนาสูงอายุที่ทำเกษตรในพื้นที่แปลงเล็ก ๆ ซึ่งส่งผลให้ต้นทุนอาหรสูง ด้วยเหตุนี้ นายอาเบะจึงคาดว่าหากบรรดาบริษัทรายใหญ่หันมาทำการเกษตร ราคาอาหารก็จะลดลงตามไปด้วย

เริ่มแรก ฟุจิตสึได้รับเงินช่วยเหลือสำหรับโครงการที่โรงงานไอชุวากามัตสึ จังหวัดฟูกูชิมา จากโครงการช่วยฟื้นฟูภูมิภาคฟูกูชิมาหลังเกิดแผ่นดินไหวและภัยสึนามิ เมื่อปี 2544 ทั้งนี้ จังหวัดฟูกูชิมาเป็นหนึ่งในภูมิภาคเกษตรกรรมที่ใหญ่ที่สุดของญี่ปุ่น โดยโครงการดังกล่าวอยู่ห่างจากโรงไฟฟ้านิวเคลียร์ที่เสียหายจากภัยพิบัติครั้งนั้นราว 96.5 กม.

เมื่อเร็ว ๆ นี้ รัฐบาลญี่ปุ่นได้เพิ่มเงินสนับสนุนทั่วประเทศสำหรับการเกษตรแบบก้าวหน้า และจำนวนโรงงานที่ใช้เทคโนโลยีขั้นสูงอย่างฟูจิตสึก็เพิ่มขึ้น 4 เท่าในช่วง 3 ปี หลังสุดเป็นกว่า 380 แห่ง ที่โรงงานฟูจิตสึุ บรรดาคนงานจะต้องใส่ชุดสำหรับห้องปฏิบัติการและหน้ากากเพื่อให้สิ่งแวดล้อมปลอดเชื้อโรคเหมาะกับการปลูกผักกาดหอม ซึ่งใช้วิธีปลูกในน้ำที่มีการหยดปุ๋ยและสารอาหาร

บริษัทฟูจิตสึระบุว่า การปลูกผักกาดหอมด้วยวิธีการนี้ช่วยให้ฟูจิตสึสามารถลดระดับโปแตสเซียม ซึ่งทำให้ผักกาดหอมอร่อยถูกปากกลุ่มผู้สูงอายุที่เป็นโรคไต ซึ่งเพิ่มมากขึ้นในญี่ปุ่น ส่งผลให้พวกเขาไม่สามารถดูดซับแร่ธุาตโปแตสเซียมได้ และเนื่องจากผักกาดหอมถูกปลูกในห้องปลอดแบคทีเรีย จึงทำให้อยู่ได้นานกว่าการปลูกแบบปกติถึง 2 เดือน หากนำไปแช่เย็น “เพราะว่าผักเหล่านี้อยู่ได้เป็นเวลานาน จึงทำให้เรามีข้อได้เปรียบในการแข่งขันเวลาส่งออกสินค้า” นายอากิฮิโกะ ซาโตะ ผู้จัดการโรงงานฟูจิตสึกล่าว

อย่างไรก็ตาม ผักกาดไฮเทคเหล่านี้ย่อมมาพร้อมราคาที่สูงขึ้น ในซูเปอร์มาร์เก็ตใกล้กับกรุงโตเกียว ผักกาดหอมถุงเล็ก ๆ ของฟูจิตสึวางขายในราคา 3 ดอลลาร์ (96 บาท) มากกว่าผักกาดทั่วไปอยู่ประมาณ 1 ดอลลาร์ (32 บาท) ขณะที่โตชิบาระบุว่า บริษัทต้องการขยายการผลิตเพื่อสร้างผลกำไรให้กับธุรกิจ โดยตั้งเป้าว่าจะปลูกผักกาดหอม 3 ล้านหัวต่อปี และทำยอดขายให้ได้ปีละประมาณ 2.9 ล้านดอลลาร์ (92.8 ล้านบาท) ภายในปีงบการเงิน 2558 นอกจากนี้ ยังมแผนที่จะขยายธุรกิจไปยังประเทศอื่น ๆ ในเอเชียและตะวันออกกลางที่สภาพอากาศเปลี่ยนแปลงบ่อยและคุณภาพน้ำย่ำแย่ ทำให้ยากต่อการปลูกผัก

ปลูกผักไร้สารบริษัทฟูจิตสึ เริ่มต้นอย่างพอประมาณด้วยการปลูกผักกาดหอม 3,500 หัวต่อวัน แต่บอกว่าหากทุกอย่างไปได้สวย บริษัทก็ตั้งใจจะผลิตผักกาดหอมให้ได้มูลค่าราว 4 ล้านดอลลาร์ (128 ล้านบาท) ภายในปีงบการเงิน 2559 เพิ่มขึ้นจากเป้าในปีนี้ 1.5 ล้านดอลลาร์ (48 ล้านบาท)

ไม่ใช่ทุกคนที่ถูกโน้มน้าวว่าการเกษตรไฮเทคเป็นเส้นทางสู่ความก้าวหน้า โดยนายยูกิฮิโร คาโตะ ชาวไรในเมืองโยโกฮามา ซึ่งขายของในตลาดท้องถิ่นบอกว่า ความต้องการซื้อผักของเขาซึ่งมีบางชนิดปลูกแบบออแกนิคนั้นกำลังเพิ่มขึ้น “หากคุณพูดถึงเรื่องการควบคุมคุณภาพ โรงงานอาจมีข้อได้เปรียบอยู่บ้าง แต่หากพูดถึงเรื่องโภชนาการเราก็อาจมีข้อได้เปรียบเหมือนกัน” นายคาโตะกล่าว

บริษัท พานาโซนิคพยายามหาสูตรที่ลงตัวระหว่างความรู้ในการทำเกษตรแบบไฮเทคกับแบบดั้งเดิม ในเรือนกระจก อัจฉริยะของพานาโซนิค ชาวไร่จะเตรียมดินและเมล็ดพันธุ์ไว้ตามปกติ และหลังจากพืชเริ่มโต เซ็นเซอร์ก็จะวัดอุณหภูมิและระดับความชื้น หากพบว่าร้อนเกินไป ระบบของพานาโซนิคก็จะปิดม่านอัตโนมัติเพื่อกันแสงแดดและเปิดหน้าต่างเพื่อให้อากาศถ่ายเทและยังมีวิธีการอื่น ๆ ในกรณีที่อุณหภูมิเย็นเกินไปด้วย

สำหรับนายทาคาโยชิ ทานิซาวา พนักงานของพานาโซนิค วัย 40 ปี จุดผกผันในชีวิตการทำงานของเขาเกิดขึ้นเมื่อ 3 ปีก่อน หลังจากที่เขาเปลี่ยนจากอาชีพผลิตเก้าอี้นวดมาปลูกผักขมแทน นายทานิซาวาบอกว่า การเปลี่ยนแปลงครั้งนั้น ไม่ได้ถึงขนาดพลิกจากหน้ามือเป็นหลังมือ แม้ว่าการเก้าอี้นวดจะใช้มอเตอร์ในการขยับก้อนนวดไปมาและปั๊มอากาศเข้าไปในถุงเพื่อนวดขา แต่เรือนกระจกก็ใช้มอเตอร์ในการเปิด-ปิดเพดานเพื่อป้องกันแสงแดด และใช้ปั๊มเพื่อรดน้ำให้ผักขม นอกจากนี้ เขายังพบว่า การปลูกผักไม่จำเป็นต้องระมัดระวังมากเท่ากับตอนที่ให้คนมาลองเก้าอี้นวดด้วยซ้ำ

(เครดิต : นสพ. กรุงเทพธุรกิจ ฉบับวันที่ 11 กรกฎาคม 2557)

ผมขอฝากทิ้งท้ายไว้สำหรับท่านผู้อ่าน หากได้อ่านแล้ว คิดว่าสภาพแวดล้อมยุคใหม่กับการแข่งขันนั้น ท่านได้ข้อคิดจากบทความนี้เพียงใด ผมจะขอแชร์ความเห็นของผมในครั้งต่อไปนะครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 9)

มิถุนายน 23, 2014

จากการที่ผมได้ฝึกอบรม ในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) และ Course in Examining a Computerized Bank II (CECB-II) จากสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา ดังที่ได้เล่าสู่กันฟังในครั้งก่อนแล้วนั้น

ผมยังมีโอกาสได้ดูงานและฝึกงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งทั้ง 2 แห่งนี้เป็นการฝึกงานภาคปฏิบัติ โดยผมได้ร่วมออกตรวจสอบธนาคารพาณิชย์กับ EDP Examiner ที่ตรวจสอบด้านคอมพิวเตอร์โดยเฉพาะ หลังจากที่ผมได้เข้ารับการอบรมที่ FDIC ไปแล้ว และจากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันนี้ ทำให้ผมได้รับความรู้และคิดว่าเป็นประโยชน์อย่างมากที่จะนำมาเล่าสู่กันฟัง เพื่อให้ผู้ตรวจสอบ รวมถึงผู้ที่สนใจงานการตรวจสอบคอมพิวเตอร์ ได้รับรู้ถึงวิวัฒนาการของการตรวจสอบ จากอดีตจนถึงปัจจุบัน

จากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันดังกล่าว FDIC และ OCC ได้แยกงานตรวจสอบคอมพิวเตอร์ต่างหากจากงานตรวจสอบธรรมดา โดยเรียกผู้ตรวจสอบคอมพิวเตอร์ว่า EDP Examiner และเรียกผู้ตรวจสอบงานด้านอื่น ๆ ว่า Regular Examiner หรือ Financial Examiner และยังแยก Financial Examiner ออกไปอีกตามลักษณะของงานดังนี้

– Trust Examiner
– Compliance Examiner
– Commercial Examiner

ข้อสังเกตระหว่าง EDP Examination และ Regular Examination สรุปได้ดังนี้

ภาพนิ่ง1

ภาพนิ่ง2

ตามข้อสังเกตข้างต้น อาจกล่าวได้ว่า EDP Examination มีลักษณะขอบเขต และวัตถุประสงค์ในการตรวจสอบแตกต่างไปกว่า Regular Examination มาก โดยในรายละเอียดของการร่วมตรวจสอบคอมพิวเตอร์กับทั้ง 2 สถาบันนี้ จะเป็นประโยชน์ต่อผู้ตรวจสอบและงานด้านการตรวจสอบคอมพิวเตอร์ได้เป็นอย่างดี ซึ่งผมจะขอเล่าถึงประสบการณ์การร่วมตรวจสอบของ FDIC ก่อนนะครับ สำหรับ OCC ผมจะเล่าถึงในโอกาสต่อ ๆ ไป

การตรวจสอบคอมพิวเตอร์ของ FDIC

EDP Examiner จะตรวจสอบเฉพาะด้านคอมพิวเตอร์เท่านั้น งานด้านอื่น ๆ โดยปกติจะไม่ตรวจสอบ โดย FDIC แบ่งงานตรวจสอบคอมพิวเตอร์เป็น 2 ประเภท คือ Evaluation และ Examination

Evaluation

ได้แก่ การประเมินผลด้าน Data Center ซึ่งกล่าวได้ว่าเป็นงานหลัก ซึ่งปกติ FDIC จะมีจดหมายพร้อมกับรายการที่ต้องการทราบไปยังธนาคารที่จะตรวจสอบเป็นการล่วงหน้า เพื่อให้เตรียมข้อมูลบางประเภทไว้ให้ EDP Examiner โดยจะแบ่งการประเมินผลด้าน Data Center เป็นดังนี้

– Internal and External Audit Coverage
– Organization
– Computer Operation
– Service Centers
– Computer Services
– Others

อย่างไรก็ดี ตั้งแต่เดือนมีนาคม 2521 เป็นต้นไป FDIC ได้มีการเปลี่ยนแนวการประเมินด้าน Data Center ใหม่ หลังจากที่ได้มีการประชุมหารือกับ Comptroller of the Currency และ FRB โดย FDIC และ FRB ได้ใช้แนวการประเมินผลด้าน Data Center ของ Comptroller of the Currency เป็นหลัก

ขั้นตอนในการ Evaluation และการออกรายงานการตรวจสอบคอมพิวเตอร์

การ Evaluation มีขั้นตอนในการดำเนินการและการปฏิบัติที่สังเกตได้ดังนี้

1. ขอพบกับผู้จัดการธนาคารที่จะตรวจสอบ

2. ขอพบกับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ และขอดูรายงานผู้สอบบัญชีภายนอก และรายงานผู้สอบบัญชีภายในของธนาคาร ในด้านที่เกี่ยวกับคอมพิวเตอร์ เพื่อนำมาประเมินงานและขอบเขตการตรวจสอบ

3. พับกับหัวหน้าผู้ควบคุมงานด้าน Data Center เพื่อซักถามงานทั่ว ๆ ไป พร้อมกับขอดูรายการที่ได้ขอให้ธนาคารจัดทำให้ว่าสมบูรณ์เพียงใด มีปัญหาอะไร และงานใดที่สัมพันธ์เกี่ยวเนื่องกันบ้าง

4. ดู Work Program เกี่ยวกับการ Evaluation แล้วกรอกรายการตาม Questionnairs ในแต่ละ Section ซึ่ง EDP Examiner จะต้องพิจารณามีอยู่ 4 Section คือ

การตรวจสอบคอมพิวเตอร์

  • ประเมินการตรวจสอบของผู้สอบบัญชีภายในและผู้สอบบัญชีภายนอก
  • ประเมินการจัดการของฝ่ายบริหาร
  • ประเมินระบบงานและคำสั่งงาน
  • ประเมินผลด้านการปฏิบัติงาน

เป้าหมายในการประเมินงานแต่ละเรื่องมีเช่นเดียวกับแนวของ OCC ทุกประการ ทั้งนี้เพราะในปัจจุบัน ทั้ง FDIC และ FRB ก็ใช้แนวการประเมินของ OCC เป็นหลัก

EDP Examiner จะติดตาม Questionnaire ในแต่ละ Section ดังกล่าว ซึ่งใช้เป็นแนวทางการตรวจสอบคอมพิวเตอร์ในขั้นปฏิบัติงาน

5. โดยปกติผู้ตรวจจะไม่อ่าน Questionnaire เพื่อสอบถามพนักงานธนาคารโดยตรง แต่จะถามเพื่อเอาข้อมูลมาตอบใน Questionnaire ของตน

6. การ Evaluation นอกจากจะได้จากการสอบถามแล้ว จากผู้รับผิดชอบในแต่ละหน่วยงานแล้ว ผู้ตรวจยังจะต้อง

  • สังเกตการปฏิบัติของพนักงานว่าเป็นไปตามที่ได้รับชี้แจงหรือไม่ด้วย
  • อ่านเอกสารต่าง ๆ ซึ่งเป็น Documenatation ของธนาคารในแต่ละหน่วยงานว่ามีพร้อมและ up-date หรือไม่ และสมบูรณ์พอที่ะจช่วยแก้ปัญหาด้านต่าง ๆ ของธนาคารหรือไม่ งานขั้นตอนนี้นับว่ามีความสำคัญ และรอบคอบ ผู้ตรวจจะต้องมีความรู้ในงานคอมพิวเตอร์ด้านต่าง ๆ ของธนาคารนั้น และตัดสินใจจาก Documentation ที่มีเป็นจำนวนมากมายในแต่ละหน่วยงาน เช่น ธนาคารขนาดกลางอาจมี Documentation ตั้งแต่หลายร้อยเล่ม จนถึงหลายพันเล่มก็ได้ ดั้งนั้น ถึงแม้ว่าผู้ตรวจจะเลือก Sampling ในการตรวจสอบเป็นปกติก็ตาม ผู้ตรวจสอบคอมพิวเตอร์จะต้องวินิจฉัยว่าควรจะดูเอกสารอะไรบ้าง ประเภทใด และควรจะดูเท่าใดถึงพอเพียง รวมทั้งจะต้องแน่ใจว่า มีการปฏิบัติตาม Documentation นั้นจริงหรือไม่ด้วย ระบบงานที่แตกต่างกัน การใช้เครื่องคอมพิวเตอร์ที่ต่างชนิดกันของธนาคารพาณิชย์ต่าง ๆ ทำให้มีความจำเป็นอย่างยิ่งที่ผู้ตรวจสอบจะต้องศึกษาและติดตามความก้าวหน้าด้านเทคนิคและความรู้ด้านใหม่ ๆ เกี่ยวกับคอมพิวเตอร์ของแต่ละบริษัทอยู่เสมอ

7. การ Evaluation ผู้ตรวจจะพบกับ Technical Term และระบบงานใหม่ ๆ อยู่เสมอ ซึ่งผู้ตรวจสอบจะรู้และถ้าจำเป็นต้องสอบถามถึงความหมายและที่มาของคำนั้น ๆ ว่าเกี่ยวข้องกับงานอะไรบ้าง และถ้าเกี่ยวกับระบบงาน จะต้องทราบว่าระบบงานนั้น ๆ ทำงานอย่างไร และจะมีผลเกี่ยวกับการตรวจสอบและการปฏิบัติงานของธนาคารโดยทั่วไปอย่างไร

8. จาก Work Program ที่ได้ข้อมูลจาก Questionnaire ใน Section ต่าง ๆ ผู้ตรวจสอบจะรวบรวมรายการที่จะ Comments ไว้ใน Work Sheet ต่างหากเพื่อนำไปหารือ EDP Examiner ที่อาวุโสกว่า

9. ข้อ Comments ต่าง ๆ พร้อมกับความเห็นของผู้ตรวจสอบจะนำไปหารือกับหัวหน้าหน่วยงานที่เกี่ยวข้อง เพื่อรับฟังความเห็นและรวบรวมคำชี้แจง ทั้งนี้เพื่อป้องกันปัญหาการโต้แย้งในภายหลัง เมื่อกระทำเป็นรูปรายงานและคำแนะนำเป็นทางการแล้ว

10. ผลของการตรวจสอบด้านคอมพิวเตอร์และคำแนะนำของผู้ตรวจการ จะนำไปสรุปสนทนากับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ หรือผู้จัดการใหญ่ หรือคณะกรรมการธนาคาร ทั้งนี้ขึ้นกับการตัดสินใจของผู้อำนวยการฝ่ายตรวจสอบด้านคอมพิวเตอร์ของแต่ละเขต

อนึ่ง การ Comments ปกติต้องกล่าวถึงคำชี้แจงของผู้ที่เกี่ยวข้องพร้อมคำแนะนำของผู้ตรวจสอบด้วย

11. สรุปสนทนาผลการตรวจสอบไม่มีเป็นลายลักษณ์อักษร

12. รายงานซึ่งเรียกว่า “Electronic Data Processing Control Evaluation” จะทบทวนโดย Review Examiner (EDP) ซึ่งทำหน้าที่ทบทวนความถูกต้องโดยการเช็คสอบความเหมาะสมของรายงานทั้งฉบับ

13. รายงานที่ผ่านการทบทวนจะผ่านความเห็นชอบจาก Director และเมื่อพิมพ์เสร็จแล้วจะถูกจัดส่งดังนี้

  • ส่งไป FDIC, Washington D.C.
  • ส่งไปยังธนาคารพาณิชย์ที่เกี่ยวข้อง
  • ส่งไปยัง OCC และ FRB ตามโครงการร่วมมือกันของสถาบันทั้ง 3 แห่ง ซึ่งเริ่มเดือนมิถุนายน 2521
  • ส่งไปยัง Services ในกรณีที่ธนาคารใช้บริการคอมพิวเตอร์จากที่อื่น
  • เก็บไว้ที่สำนักงานของแต่ละเขต

14. การจัดทำรายงาน จะจัดทำที่สำนักงานธนาคารพาณิชย์นั้น ๆ เอง โดยปกติสำหรับธนาคารพาณิชย์ขนาดกลาง การตรวจสอบและการทำรายงานการตรวจคอมพิวเตอร์นี้ใช้เวลาประมาณ 3 – 12 สัปดาห์ ทั้งนี้ขึ้นกับปริมาณงานและระบบงานของธนาคาร ตลอดจนขอบเขตของการตรวจสอบและปัญหาในการตรวจสอบครั้งก่อนกับการตรวจสอบครั้งใหม่ การจัดส่งรายงานที่ได้ผ่านการทบทวนโดย Review Examiner (EDP) ทั้ง 14 แห่ง แล้วจัดพิมพ์และส่งให้สถาบันที่เกี่ยวข้อง รวมทั้ง FDIC Washingto D.C. ด้วย ซึ่งใช้เวลานับตั้งแต่การตรวจสอบประมาณ 5 – 16 สัปดาห์

สำหรับงานการตรวจคอมพิวเตอร์ ประเภท Examination ของ FDIC ผมจะขอนำไปเล่าสู่กันฟังในครั้งหน้านะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 8)

พ.ค. 6, 2014

การวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ในยุคก่อน ๆ ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน ซึ่งผมได้กล่าวถึงไปแล้วใน IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ถึง 7 ตอนด้วยกันนั้น จากการพัฒนางานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นี้ ทางธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน และต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ มากมายมาใช้ประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ทุกแห่ง และผมได้กล่าวทิ้งท้ายไว้ในครั้งที่แล้วว่า จะเล่าสู่กันฟังถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นของผม เพื่อเป็นประโยชน์ต่อผู้ที่สนใจศึกษาและติดตามงานการบริหาร การกำกับ และ การตรวจสอบงานด้านคอมพิวเตอร์ ซึ่งก็ติดตามกันต่อได้เลยครับ

การเดินทางไปเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในครั้งนั้น เป็นการเข้ารับการฝึกอบรมและดูงานเฉพาะด้านเป็นครั้งแรกของฝ่ายกำกับและตรวจสอบสถาบันการเงิน โดยมีวัตถุประสงค์ที่จะพัฒนาผู้ตรวจสอบและวางแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในประเทศไทย เนื่องจากการเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ครั้งแรกนี้ ผมถือว่าเป็นเรื่องใหม่สำหรับผมอย่างแท้จริงในตอนนั้น เพราะไม่มีแนวทางใด ๆ ที่พอจะใช้ศึกษาก่อนการเดินทางได้ว่าจะดำเนินการอย่างไรบ้าง ผมทราบเพียงแต่เป้าหมายและวัตถุประสงค์ที่แน่นอน ซึ่งได้ใช้เป็นหลักในการกำหนดโครงการและแผนการอื่น ๆ ที่คิดได้ในขณะนั้น และในระหว่างการดูงานเพื่อเป็นแนวทางไปสู่เป้าหมายที่ได้รับมอบหมายดังกล่าวข้างต้นเท่านั้น

แต่กระนั้น ผมก็ได้พยายามสอบถามตนเองเสมอว่า

“เรากำลังเดินไปสู่ทิศทางที่ถูกต้องแล้วหรือไม่”

“สิ่งที่ได้รับประจำวันนั้น ทำให้เราใกล้เคียงกับเป้าหมายแล้วหรือยัง”

“เราจะทำอย่างไรที่จะช่วยให้ถึงหรือใกล้เป้าหมายได้”

การสอบถามตนเองเหล่านี้ได้กระทำเป็นประจำทุกวัน เพื่อให้นึกถึงประเด็นที่เข้าใจว่าจะทำให้ใกล้เคียงเป้าหมายมากขึ้น ผมก็จะจดบันทึกไว้เพื่อดำเนินการต่อไปในวันรุ่งขึ้น

การกระทำเช่นนี้อย่างสม่ำเสมอทำให้ประเมินว่าพอที่จะเข้าใจและเห็นแนวทางได้บ้าง ประกอบกับการที่ได้มีโอกาสร่วมการตรวจสอบกับผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ของ FDIC (Federal Deposit Insurance Corporation) และ OCC (Office of the Comptroller of the Currency) ในการตรวจสอบคอมพิวเตอร์ (EDP Examination) ในภาคปฏิบัติงานตรวจสอบจริง ๆ ของทั้ง 2 สถาบัน ซึ่งก็ทำให้ผมได้เห็นเป้าหมายที่ต้องการเด่นชันขึ้น โดยเฉพาะอย่างยิ่ง เมื่อได้ทบทวนถึงสิ่งที่ได้เรียนรู้จากการอบรมที่ FDIC Training Center ในหลักสูตร Course in Examining a Computerized Bank I และ II (CECB I-II)

fdic_splash

อย่างไรก็ดี ผมเองยังมีประสบการด้านคอมพิวเตอร์ไม่มากนัก สิ่งที่ได้ประเมินในระหว่างการฝึกอบรมและดูงานขณะที่อยู่ในประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น หรือแม้กระทั่งได้กลับมาปฏิบัติงานในประเทศไทยในตอนนั้นแล้วก็ตาม จึงอาจจะมีบางสิ่งบางอย่างที่มองข้ามไป หรือนึกไม่ถึงเพราะประสบการณ์เกี่ยวกับคอมพิวเตอร์ที่อาจมีไม่มากพอและเพิ่งเริ่มศึกษากันไม่นานนัก ประกอบกับมีงานประจำด้านอื่นที่ต้องปฏิบัติอยู่ด้วย จึงทำให้โอกาสที่จะค้นคว้าหรือศึกษางานด้านคอมพิวเตอร์ค่อนข้างจำกัด และเมื่อพิจารณาถึงความก้าวหน้าด้าน Computer Technology ที่เป็นไปอย่างรวดเร็วด้วยแล้ว ทำให้ผมตระหนักเสมอว่าโอกาสที่จะประเมินผลการดูงานด้านการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ผิดพลาดไปย่อมมีอยู่ไม่น้อย

OCC

ทั้งนี้ ผมจึงได้จัดทำรายงานการฝึกอบรมและดูงานไว้ เพื่อจะเป็นรายงานที่ทำให้ทราบว่าเป้าหมายที่ได้วางไว้ก่อนเดินทางไปฝึกอบรมและดูงานนั้น ได้รับผลเพียงใดอย่างกว้าง ๆ นอกจากนี้ยังได้รายงานในหัวข้อที่เกี่ยวกับ “สิ่งที่ได้เรียนรู้จากการดูงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์ต่าง ๆ” ที่น่าจะเป็นประโยชน์ต่อผู้ตรวจสอบทั่วไป โดยเฉพาะอย่างยิ่งสำหรับผู้ที่จะมาทำหน้าที่เป็นผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ซึ่งผมจะขอนำเสนอเป็นหัวข้อตามภาพด้านล่าง เพื่อให้เห็นถึงภาพรวมของกระบวนการตรวจสอบงานทางด้าน IT Audit/IT Examination หรือในยุคนั้นเรียกกันโดยทั่วไปว่า EDP Audit ในช่วงปี พ.ศ. 2521 และก่อนหน้านั้น และหากมีโอกาสผมจะได้นำมาเล่าสู่กันฟังในบางหัวข้อตามความเหมาะสมต่อไป

ภาพนิ่ง1

ภาพนิ่ง2

ภาพนิ่ง3

ภาพนิ่ง4ภาพนิ่ง5

สำหรับการฝึกอบรม ผมได้อบรมในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) ใช้เวลา 1 สัปดาห์ โดยเป็นส่วนหนึ่งของหลักสูตร “Bank Examination School for Senior Assistant Examiners” และ Course in Examining a Computerized Bank II (CECB-II) ใช้เวลา 2 สัปดาห์ จัดเป็นหลักสูตรอบรมเฉพาะผู้ตรวจสอบที่ผ่าน CECB-I มาแล้ว และจะได้รับการคัดเลือกให้เป็น EDP Examiner ต่อไป โดยมีวัตถุประสงค์ของการอบรม คือ

หลักสูตร Course in Examining a Computerized Bank I (CECB-I) ก็เพื่อแนะนำทฤษฎีและวิธีการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ที่ไม่มีศูนย์คอมพิวเตอร์ของตนเอง แต่ใช้บริการของบุคคลภายนอกในการประมวลผลงานของธนาคาร

หลักสูตร Course in Examining a Computerized Bank II (CECB-II) มีวัตถุประสงค์เพื่อให้ผู้เข้ารับการอบรมเข้าใจถึงการประเมินผลของศูนย์ปฏิบัติงานด้านคอมพิวเตอร์ ในกรณีที่ธนาคารมีเครื่องคอมพิวเตอร์เพื่อประมวลผลงานด้านต่าง ๆ ของธนาคารเอง โดยเฉพาะการใช้เทคนิคการสอบถามข้อมูลในกระบวนการตรวจสอบ ตลอดจนการทำความเข้าใจเกี่ยวกับการใช้คอมพิวเตอร์ให้มากขึ้น

โดยการฝึกอบรมนี้เป็นการฝึกอบรมของสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา โดยมี Training Center อยู่ในอาคารที่มีบริษัทห้างร้านเช่ารวมกันอยู่หลายสำนักงาน ห้องที่ใช้ฝึกอบรมนั้นเป็นห้องที่มีเครื่องปรับอากาศทุกห้อง  มีห้องขนาดใหญ่และขนาดเล็กหลายห้อง สำหรับการประชุมแบบ Syndicate และมีห้องเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่ง ณ ช่วงเวลาที่ผมกลับจากการอบรมแล้วและจัดทำรายงานการอบรม (ปี พ.ศ. 2522) ห้องนี้ได้ใช้เป็นเครื่องคอมพิวเตอร์ของ IBM System 3 และมีเครื่องเจาะบัตรหลายเครื่องตั้งอยู่ในห้องเดียวกัน เพื่อใช้สำหรับการฝึกหัดและการทำความเข้าใจของผู้เข้ารับการอบรม ซึ่ง FDIC ก็ยังมีโครงการจะเปลี่ยนเครื่องคอมพิวเตอร์ที่ใช้ในการอบรมใหม่ในอีก 2 ปีข้างหน้า (นับจากช่วงเวลาที่ผมได้รับการอบรมนั้น) อีกทั้งยังมีเครื่องมือ เครื่องใช้ และอุปกรณ์การอบรมครบถ้วนและทันสมัยทั้งสิ้น

นอกจากนี้ FDIC ยังมีระบบ “FOCUS DISPLAYS” ซึ่งผู้เข้ารับการอบรมสามารถทดลองใช้ได้ด้วย ระบบที่กล่าวถึงนี้ สามารถดึงข้อมูลซึ่งเป็นสถิติต่าง ๆ เกี่ยวกับการตรวจสอบและข้อมูลที่เกี่ยวกับงานวิเคราะห์ธนาคารพาณิชย์ทุกธนาคารทั่วประเทศสหรัฐอเมริกาที่ประกันเงินฝากไว้กับ FDIC ให้ปรากฎทางจอรับภาพได้ในทันทีที่ต้องการทราบ และถ้าต้องการข้อมูลใดเป็นพิเศษ ก็สามารถกดปุ่มพิมพ์ข้อมูลนั้น ๆ ได้ภายในเวลาที่รวดเร็วมาก

ศูนย์ฝึกอบรมคอมพิวเตอร์ ของสถาบัน FDIC

ลักษณะของการฝึกอบรมในหลักสูตร CECB-I จะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกท (Syndicat Discussion) เป็นส่วนใหญ่ และแจกเอกสารให้ผู้เข้ารับการอบรมไปศึกษาค้นคว้าด้วยตนเอง ส่วนหลักสูตร CECB-II จะมีลักษณะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกทเช่นกัน แต่ส่วนใหญ่เป็นการฝึกงานการใช้เครื่องคอมพิวเตอร์ในการทำแบบฝึกหัด และการประชุมกลุ่มเพื่อฝึกซ้อม Case Study ต่าง ๆ และในเวลาพักจะให้ผู้ฝึกอบรมทดลองเครื่องและอุปกรณ์คอมพิวเตอร์ได้ตามความถนัด ซึ่งหลักสูตร CECB-II นี้ เป็นหลักสูตรเฉพาะสำหรับผู้ตรวจสอบที่จะได้รับมอบหมายให้เป็น EDP Examiner ต่อไป

การวัดผล การรับรองผล และการประเมินผล ทั้งหลักสูตร CECB-I และ CECB-II นอกจากการฟังบรรยายแล้ว ผู้เข้ารับการอบรมจะต้องแยกกันประชุมกลุ่มซินดิเกทพิจารณาปัญหาต่าง ๆ เพื่อทำความเข้าใจเพิ่มเติมเกี่ยวกับหัวข้อวิชาที่บรรยายและเป็นการฝึกฝนทบทวน การประชุมกลุ่มซินดิเกทจะนำเสนอต่อที่ประชุมใหญ่ ซึ่งจะสรุปความเห็นและอธิบายปัญหาต่าง ๆ และจะให้ผู้เข้ารับการอบรมซักถามเพิ่มเติม นอกจากนี้ยังมีการฝึกหัดการใช้เครื่องคอมพิวเตอร์ การเขียนคำสั่งงาน และการแก้ไขคำสั่งงานที่สามารถให้เครื่องคอมพิวเตอร์ปฏิบัติตามความต้องการได้ เช่น การดึงข้อมูล การจัดรูปข้อมูลที่อยู่ในม้วนเทป, ดิสก์ ให้พิมพ์ข้อมูลในแบบฟอร์มเดิม หรือในรูปแบบฟอร์มใหม่ เพื่อการตรวจสอบได้ด้วย

ทั้งนี้ในการฝึกหัดจะแบ่งผู้เข้ารับการอบรมเป็นกลุ่ม ๆ กลุ่มละ 2 คน ให้ช่วยกันเขียนคำสั่งงานเพิ่มเติมจากคำสั่งงานที่มีอยู่แล้ว และหรือแก้ไขคำสั่งงานตามที่ผู้บรรยายจะกำหนด โดยแต่ละกลุ่มจะต้องอยู่ปฏิบัติงานนั้น ๆ จนแล้วเสร็จ ถ้ามีปัญหาก็หารือผู้ฝึกสอนได้ เมื่อเขียนหรือแก้ไขคำสั่งงานเสร็จหรือเพื่อทดลองผล ผู้เข้ารับการอบรมแต่ละกลุ่มจะต้องนำไป process งานนั้นกับเครื่องคอมพิวเตอร์จริง ๆ ว่าได้ผลในรูปแบบที่ผู้บรรยายต้องการหรือไม่ แต่ละกลุ่มจะต้องปฏิบัติงานที่ได้รับมอบหมายแต่ละครั้งจนเป็นที่พอใจของผู้ฝึกสอน จึงจะถือว่าผ่านการบรรยายวิชานั้น ๆ ซึ่งนับว่าเป็นการวัดผลการสอนไปในตัว โดยไม่ต้องมีการทดสอบเป็นทางการเมื่อสิ้นสุดการอบรมอีก สำหรับการประเมินผลการอบรมนั้น ผู้เข้ารับการอบรมจะกรอกแสดงความคิดเห็นลงในแบบฟอร์มหลังจากสิ้นสุดการอบรมแต่ละหลักสูตรว่า วิชานั้น ๆ เป็นอย่างไร ได้ความรู้แค่ไหน เพียงใด ผู้สอน ๆ ได้ดีหรือไม่ ซึ่งมีลักษณะเช่นเดียวกับแบบประเมินผลการฝึกอบรม ที่ส่วนการพนักงานของธนาคารแห่งประเทศไทย จัดให้ผู้เข้ารับการอบรมแสดงความคิดเห็นเมื่อเสร็จสิ้นการอบรมเช่นกัน

สำหรับผมแล้ว การได้มีโอกาสไปร่วมรับการอบรมทั้ง 2 หลักสูตรครั้งนั้น นับว่ามีประโยชน์มาก เพราะได้รับความรู้เกี่ยวกับแนวความคิดและหลักการปฏิบัติในการตรวจสอบคอมพิวเตอร์ ได้มีโอกาสสังเกตการตรวจสอบและการดำเนินงานด้านการฝึกอบรมเกี่ยวกับคอมพิวเตอร์ ซึ่งต่อมาธนาคารแห่งประเทศไทย ได้นำมาวางเป็นแนวทางในการตรวจสอบธนาคารพาณิชย์ทุกแห่งที่ใช้คอมพิวเตอร์ได้เป็นอย่างดี

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 7)

เมษายน 10, 2014

สวัสดีท่านผู้อ่านและติดตาม itgthailand.com แห่งนี้ทุกท่านครับ ในครั้งก่อน ผมได้กล่าวถึงคำนำจากหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มที่ 2 ซึ่งแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน จากการที่ผมได้รวบรวม เรียบเรียงและจัดทำเป็นหนังสือ 4 เล่มที่เคยได้กล่าวถึงไปแล้วนั้น ด้วยเนื้อความในคำนำนั้นยาวเกินไป ผมได้ตัดทอนนำเสนอเป็นหลายตอน โดยในตอนนี้ผมจะขอนำเสนอต่อในหัวข้อที่ 23 จากทั้งหมด 36 หัวข้อด้วยกัน เราไปติดตามกันต่อเลยนะครับ

23. ถึงข้อนี้ ผมจึงขอกล่าวอีกครั้งว่า การตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบจะต้องทำความเข้าใจกับระบบงานทั้งหมด (Total System Approaches) ในส่วนของงานที่ต้องการตรวจสอบในองค์กร กล่าวคือ ผู้ตรวจสอบต้องทำความเข้าในทั้งในส่วนที่ใช้คอมพิวเตอร์ และส่วนที่ไม่ใช้คอมพิวเตอร์ และทั้ง 2 อย่างรวมกัน เพื่อแยกแยะให้ได้ว่า จะเริ่มต้นตรวจอะไรที่จุดใด ใช้เทคนิคแบบไหนจะตรวจสอบเมื่อใด และต้องการรูปแบบหลักฐานอย่างไร และควรจะจบลงอย่างไรในการตรวจสอบ ฯลฯ ในงานแต่ละเรื่องตามเป้าหมายที่กำหนดไว้ นอกจากนั้นผู้ตรวจสอบจะต้องเข้าใจความสัมพันธ์ของข้อมูลที่เกี่ยวข้องของ “งาน” (Application) ในแต่ละประเภทภายในองค์กร เพื่อกำหนดจุดตรวจสอบด้วย

24. จากข้อ 23. หากจะกล่าวให้ถูกต้องยิ่งกว่านี้ ก็ควรกล่าวว่าผู้ตรวจสอบทุกประเภทควรเข้าใจระบบงานที่ตรวจสอบทั้งในส่วนที่ใช้คอมพิวเตอร์ และไม่ใช้คอมพิวเตอร์ให้ดี จึงจะสามารถวางแผนและกำหนดขั้นตอนและเทคนิคการตรวจสอบที่เหมาะสม และติดตามการตรวจสอบของผู้ร่วมงานได้อย่างมีประสิทธิภาพ เพราะปัจจุบันทางการของไทยก็ได้ออกมาตรฐานการตรวจสอบบัญชีที่ใช้คอมพิวเตอร์ ออกมา 3 ฉบับ ด้วยกัน คือ มาตรฐานการสอบบัญชีฉบับที่ 28, 29, 36 ให้ผู้สอบบัญชีโดยทั่วไปถือปฏิบัติอยู่แล้ว และกรมสรรพกรก็ได้ออกกฎเกณฑ์บางประการในการใช้คอมพิวเตอร์มาให้ถือปฏิบัติด้วยเช่นกัน ดังนั้น เมื่อกล่าวถึงการตรวจสอบโดยทั่วไป ผู้ตรวจสอบจึงไม่อาจหลีกเลี่ยงจากการทำความเข้าใจในระบบงานทั้งหมด ก่อนการตรวจสอบเริ่มขึ้นได้ ยกเว้น การตรวจสอบที่มีเป้าหมายเฉพาะอย่างบางด้าน และผู้ตรวจสอบมีความเข้าในระบบงานโดยรวมขององค์กรที่จะเข้าตรวจสอบมาก่อน หลังจากองค์กรนำคอมพิวเตอร์มาใช้ในกระบวนการ “Process” งานครั้งล่าสุดแล้ว

25. แม้ว่าในการนำคอมพิวเตอร์มาใช้จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบ แต่ลักษณะการประเมินการควบคุมภายในตลอดจนหลักฐาน และวิธีการตรวจสอบจะเปลี่ยนแปลงไปมาก
ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนหรือระบบ Manual ในการประมวลผลข้อมูลย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้นการใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี โอกาสที่จะเกิดการผิดพลาดเพราะ Human Error อันเกิดจากการประมวลข้อมูลนั้นจะมีน้อย หรือไม่มีโอกาสเกิดขึ้นได้ ถ้าระบบงานและขั้นตอนการควบคุมภายในต่าง ๆ ที่ใช้คอมพิวเตอร์ควบคุมนี้ ได้รับการทดสอบเป็นที่แน่ใจแล้วว่า มีประสิทธิภาพยอมรับได้ ดั้งนั้น การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทนด้วยเหตุผล 3 ประการคือ

25.1 ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ช่วยให้มั่นใจได้ว่า การประมวลผลจะมีความสม่ำเสมอด้วย
25.2 การตรวจสอบผลที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ในลักษณะของการทำ Substantive Test นั้น ทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมากและหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ
25.3 ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์ เหตุผลข้อ 25. นี้ เป็นการย้ำว่าในองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบภายในเป็นเรื่องสำคัญลำดับต้น ๆ และการตรวจสอบด้านคอมพิวเตอร์ (IS Audit) ไม่ว่าจะเป็นการตรวจสอบ “องค์กร” (Data Center) หรือตรวจสอบ “งาน” (Application) ก็เน้นการตรวจสอบการควบคุมภายใน คือ General Controls และ Application Controls ด้านคอมพิวเตอร์นั่นเอง
เมื่อถึงประเด็นตามวรรคข้างต้น ผมคิดว่าเป็นจุดที่น่าสนใจ หากจะกล่าวต่อไปว่า การตรวจสอบเพื่อรับรองงบการเงินขององค์กร ซึ่งปกติเป็นหน้าที่ของผู้สอบบัญชีอนุญาต ซึ่งเป็นผู้สอบบัญชีภายนอกประเภทหนึ่งนั้น มีความสัมพันธ์กันอย่างใกล้ชิดกับการตรวจสอบงานด้านคอมพิวเตอร์ เน้นการตรวจสอบด้านการควบคุมภายในและการดำเนินงาน ซึ่งเป็นขั้นตอนต้น ๆ ที่จำเป็นของการตรวจสอบฐานะการเงิน ดั้งนั้น การตรวจสอบด้านคอมพิวเตอร์ (IS หรือ IT Audit) จึงมีความสัมพันธ์อย่างใกล้ชิดกับการตรวจสอบงานการเงินและการดำเนินงาน ซึ่งเรียกว่า Financial Audit อย่างสำคัญและไม่อาจหลีกเลี่ยงได้ในปัจจุบัน อย่างไรก็ดี การตรวจสอบฐานะความมั่นคงของสถาบันการเงินในภาพรวม ก็เป็นหน้าที่ของผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งเรียกรวม ๆ กันว่า Financial Examiner

จากความสัมพันธ์ดังกล่าว หนังสือเล่มนี้ซึ่งเน้นด้านการตรวจสอบด้านคอมพิวเตอร์ จึงได้กล่าวถึงการตรวจสอบทั้งทางด้าน IS Audit และ Manual Audit ซึ่งเป็นการตรวจสอบแบบเดิมไว้เพื่อการศึกษาเปรียบเทียบ และทำความเข้าใจในความแตกต่างของวิธีการตรวจสอบ ทั้ง 2 แบบไว้ด้วย

cover book 3-4

26. ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ไม่ว่าจะเป็น Data Center หรือ Application Audit ผู้ตรวจสอบควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ดีในการประเมินผลการตรวจสอบได้อีกด้วย

27. ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้ได้อย่างมีประสิทธิภาพ ทักษะทางด้านคอมพิวเตอร์ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้ว ต้องมีทักษะทางคอมพิวเตอร์โดยรวมที่เหมาะสม และเพียงพอแก่การปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบองค์รที่ใช้คอมพิวเตอร์ของทากงารและของสากล

28. ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบ ต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอระดับหนึ่งแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้ หากการตรวจสอบนั้น เป็นการตรวจสอบด้านคอมพิวเตอร์หรือมีส่วนที่เกี่ยวข้องกับคอมพิวเตอร์
ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วทางด้านเทคโนโลยี จำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้านคอมพิวเตอร์ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่ายคอมพิวเตอร์เองก็ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมภายในด้วย

29. การทำแผนภูมิหลายแผนในหนังสือเล่มนี้ เป็นการจัดทำขึ้นเพื่อให้ผู้อ่านได้ติดตามและทำความเข้าใจเรื่องราวที่เกี่ยวข้องได้ง่ายและสะดวกขึ้น ทั้งนี้ หลาย ๆ กรณีเป็นการประยุกต์มาจากความคิดและความเข้าใจของผมเอง เพื่อใช้ในการบรรยายเป็นสำคัญ อย่างไรก็ดี ผมใคร่ขอย้ำว่า ท่านผู้อ่านควรตอบตนเองก่อนว่า ขณะนี้กำลังทำความเข้าใจเรื่องอะไร ขณะนี้กำลังอยู่ในส่วนใดของกระบวนการตรวจสอบ และกำลังมองมุมผู้ตรวจสอบว่าเป็นประการใดจาก 3 ประเภทดังได้กล่าวข้างต้นแล้ว ทั้งนี้ ต้องมีเป้าหมายและขอบเขตที่แน่นอนของตนเองด้วยว่า กำลังตรวจสอบประเภท และเรื่องอะไรอยู่ เป็นต้น

30. เนื่องจากการรวบรวมเอกสารประกอบการบรรยายเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ ก็เช่นเดียวกับเล่ม 1 และเล่มที่จะพิมพ์ต่อไป ซึ่งเล่ม 3 จะเน้นเรื่องคอมพิวเตอร์กับการทุจริตและแนวการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือ รวมทั้ง การจัดทำแผนฉุกเฉิน หนังสือทั้ง 3 หรือ 4 เล่ม เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไป ในช่วงเวลาตั้งแต่ปี 2524 – 2536 แก่สถาบันหลายแห่ง และผมมีโอกาสแก้ไขเพิ่มเติมได้ไม่มากนัก เนื่องจากเวลาจำกัดมาก เพราะต้องการพิมพ์ให้เสร็จภายในเดือนกันยายน 2539 ทั้ง 3 เล่ม จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อหารวมทั้งแผนภูมิต่าง ๆ มากกว่าร้อยละ 95 ยังคงใช้ได้ดีจนถึงปัจจุบัน เพราะถึงแม้เทคนิคด้านรายละเอียดทางคอมพิวเตอร์จะพัฒนาไปอีกมาก แต่หลักการส่วนใหญ่ของการประมวลงานและการตรวจสอบก็ยังคงใช้หลักการเดิม ทั้งนี้ สังเกตได้จากการแต่งหนังสือที่มีการพิมพ์ครั้งหลัง ๆ ของตำราด้านตรวจสอบคอมพิวเตอร์ก็มีการแก้ไขใหม่ไม่มากนัก

31. สิ่งที่ผมใคร่จะเน้นก็คือการใช้เทคนิคการตรวจสอบว่า สมควรที่ผู้ตรวจสอบใช้เทคนิคใด ซึ่งขึ้นกับความรู้และประสบการณ์ของผู้ตรวจสอบเป็นหลัก และขึ้นกับความจำเป็น ตลอดจนสิ่งแวดล้อมและหลักฐานที่ต้องการด้วย เช่น จะใช้การตรวจสอบในแบบ Around the Computer หรือที่นิยมเรียกกันใหม่ เพื่อป้องกันความเข้าใจผิดว่า Audit without using the computer เพื่อเน้นว่าไม่ว่าจะเป็นการตรวจสอบแบบใด ผู้ตรวจสอบก็ไม่อาจหลีกเลี่ยงการประเมินประสิทธิภาพการควบคุมภายในได้ หรือใช้วิธีตรวจสอบลึกเข้าไปถึงการทำงานของโปรแกรมคอมพิวเตอร์ (Audit Through The Computer) พอสมควร ส่วนการใช้ Computer เป็นเครื่องมือช่วยในการวางแผนและการตรวจสอบนั้น ปัจจุบันนี้ ผู้ตรวจสอบมีโอกาสเลือกน้อยแล้ว กล่าวคือ ผู้ตรวจสอบจำเป็นต้องใช้ Computer ให้มีส่วนช่วยในการตรวจสอบไม่มากก็น้อย ในอดีตผมและคณะผู้ตรวจสอบมักใช้วิธี Test Data ในการทดสอบความน่าเชื่อถือได้ของโปรแกรม ซึ่งเป็นการทดสอบในแบบ Through the Computer แบบหนึ่ง แต่ผมยังมีประสบการณ์น้อยในการใช้โปรแกรมสำเร็จรูปในการตรวจสอบ หนังสือชุดนี้จึงไม่ได้กล่าวถึงเรื่องนี้มากนัก

32. หนังสือทั้ง 3 เล่มหรืออาจมีถึง 4 เล่ม จากเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เป็นการรวบรวมเอกสารประกอบการบรรยายต่าง ๆ ของผมในช่วงระหว่างปี 2524 ถึง 2536 ดังกล่าวแล้วในคำนำเล่ม 1 โดยได้เขียนคำอธิบายเพิ่มเติมประกอบเรื่อง และแผนภาพในบางเรื่อง เพื่อความเข้าใจที่กระจ่างขึ้น การเขียนเรื่องเพิ่มเติมและการตรวจทานความถูกต้องจากการพิมพ์ใช้เวลามากพอสมควร เนื้อหาสาระในหนังสือทุกเล่ม ถึงแม้จะพยายามลำดับเรื่องให้ได้ตามความเหมาะสมแล้วก็ตาม แต่ก็ยังมีเรื่องที่เป็นสิ่งละอันพันละน้อยต่าง ๆ ที่ผมได้สรุปไว้ใช้ในการบรรยายในโอกาสต่าง ๆ กันได้ปรากฎอยู่ในเรื่องหรือหัวข้ออื่นอยู่ด้วย เช่น ข้อสรุปที่ผู้ตรวจสอบและผู้บริหารควรทราบในรูปแบบแผนภูมิบ้าง แผนภาพบ้าง และคำบรรยายสรุปผัง เป็นต้น สิ่งเหล่านี้จะเป็นประโยชน์และทำความเข้าใจให้กับผู้ฟังและผู้อ่านมากขึ้น ถ้าผู้อ่านหรือผู้ใช้หนังสือชุดนี้ จะหยิบยกเรื่องที่เกี่ยวข้องมาประกอบในเรื่องที่ศึกษาด้วย โดยเฉพาะอย่างยิ่ง การศึกษาเรื่องคอมพิวเตอร์กับการทุจริต และการตรวจสอบ ซึ่งปรากฏในเล่ม 3 โดยสรุปเรื่องตรวจสอบเป็นบทสั้น ๆ เป็นการทบทวนในอีกแนวทางหนึ่งด้วย

33. การพัฒนางานตรวจสอบทั้งด้าน Computer Audit และ Financial Audit โดยจำลองระบบงานที่สำคัญขององคืกรนั้น ๆ เช่น สถาบันการเงิน โดยเน้นด้านการควบคุม และการตรวจสอบที่เป็นจริงให้ผู้ตรวจสอบติดตามได้ในภาคสนาม (Field Work) จริง ๆ ที่เรียกกันว่า Simulation Audit นั้น เป็นเรื่องที่น่าสนใจมาก เพราะจะทำให้ผู้ตรวจสอบได้ฝึกหัดการตรวจสอบ ณ ที่ทำการได้คล้าย ๆ กับการปฏิบัติงานจริงในภาคสนามเลยทีเดียว

34. หนังสือเล่มแรกของชุดนี้ ได้เร่งรีบจัดทำมาก เพื่อให้ทันแจกจ่ายในงานวันธนาคารภาคตะวันออกเฉียงเหนือประจำปี 2539 ที่จังหวัดร้อยเอ็ด จึงได้มีการตรวจทานงานพิมพ์เพียงครั้งเดียว ประกอบกับมีความสับสนในการจัด File ที่แก้ไขแล้ว และก่อนแก้ไขในการจัดพิมพ์จริง จึงปรากฏข้อผิดพลาดที่ตรวจพบภายหลังการเย็บเล่มแล้วหลายแห่ง จึงขออภัยท่านผู้อ่านมา ณ ที่นี้ด้วย อย่างไรก็ดี ผมได้แทรกแก้ไขคำผิดไว้ในหน้าหลังของเล่มแรกแล้ว

35. หนังสือชุดนี้เป็นการให้คำแนะนำล่วงหน้าแก่สถาบันการเงินในด้านการบริหาร การดำเนินงานและการตรวจสอบ รวมทั้งประเด็นปัญหาที่น่าสนใจเพื่อหาทางป้องกัน/หรือแก้ไขการทุจริต และการจัดทำแผนฉุกเฉินทางด้านคอมพิวเตอร์ ซึ่งจะปรากฏในเล่มต่อไป ทั้งนี้เป็นการดำเนินงานตาม Action Plan ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ เพื่อให้บรรลุผลตามโครงการนี้ ก็น่าจะช่วยลดภาระของธนาคารได้ ทั้งในปัจจุบัน และอนาคต

อย่างไรก็ดี การทำความเข้าใจในหนังสือชุดนี้นั้น ผมได้ตั้งแนวทางว่า ท่านผู้อ่านได้ทราบพื้นฐานทางด้านการประมวลงานด้านคอมพิวเตอร์พอสมควรแล้ว

36. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสำคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตหลาย ๆ เรื่อง และทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดำเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

คำนำในหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นเล่มที่ 2 จาก 4 เล่มของผมนั้น ผมยังคงรักษาข้อมูลทุกตัวอักษรที่ได้ตีพิมพ์เมื่อปี พ.ศ. 2539 เอาไว้ จากประสบการณ์การตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเริ่มมาตั้งแต่ปี พ.ศ. 2524 โดยธนาคารแห่งประเทศไทย ซึ่งเป็นหน่วยงานกำกับสถาบันการเงินเพื่อให้แน่ใจอย่างสมเหตุสมผลว่า ผู้มีผลประโยชน์ร่วมได้รับการคุ้มครองฐานะทางการเงินของสถาบันการเงิน ต่อผู้ที่เกี่ยวข้องอย่างได้ดุลยภาพเป็นที่น่าพอใจ ถึงแม้จะเกิดความเสี่ยงใหม่ ๆ จากการมีการใช้คอมพิวเตอร์ของสถาบันการเงินเพิ่มขึ้นมาก นอกเหนือจากการบริหารความเสี่ยงในยุคก่อนคอมพิวเตอร์ และความเสี่ยงที่สำคัญยิ่งและอาจพิจารณาได้ว่าอยู่ในระดับความเสี่ยงที่ไม่น่ายอมรับได้ (Risk Apptite) ก็คือ การที่ผู้กำกับไม่อาจติดตามการบริหารและการจัดการกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นจากการใช้คอมพิวเตอร์ได้ นั่นคือ ก่อนที่จะมีการพัฒนาการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นั้น ท่านผู้อ่านคงจำได้นะครับว่า ผมได้เล่าให้ฟังว่า ผู้ตรวจการ (Examnier) ไม่สามารถตรวจสอบการบริหารและการจัดการของธนาคารพาณิชย์ที่เกี่ยวข้องกับความมั่นคงของสถาบันการเงินในช่วงแรก ๆ ที่สถาบันการเงินได้เปลี่ยนแปลงระบบงาน manual มาสู่ระบบคอมพิวเตอร์ (EDP) ในช่วงนั้นได้

จากประวัติความเป็นมาของการพัฒนางานกำกับ และตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์และธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมาในทุกแห่ง โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน ซึ่งต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ เกิดขึ้นมากมายมาใช้เป็นประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ ซึ่งผมจะทยอยเล่าถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 6)

มีนาคม 22, 2014

จากครั้งที่แล้ว ผมได้กล่าวย้อนหลังถึงยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการในช่วงเวลา 35 ปีที่ผ่านมา ตลอดจนผมได้รวบรวม เรียบเรียง และจัดทำเป็นหนังสือถึง 4 เล่มด้วยกัน โดยในเล่มที่ 2 จากหนังสือ การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ผมได้หยิบยกคำนำจากหนังสือเล่มนี้มาเล่าสู่กันฟัง เพื่อแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ว่ามีความแตกต่างกันอย่างไรกับงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน

โดยคำนำจากหนังสือเล่มที่ 2 ที่กล่าวถึงนี้ แบ่งเป็นหัวข้อเพื่อความเข้าใจได้ง่าย ๆ ถึง 36 ข้อด้วยกัน เนื่องจากความยาวและความเหมาะสมของการนำเสนอ ในครั้งก่อนผมจึงได้นำเสนอไปเพียงบางส่วนเท่านั้น สำหรับวันนี้ผมจะขอกล่าวต่อในหัวข้อที่ 7 เลยนะครับ (ท่านผู้อ่านสามารถติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่มที่ 2 ในหัวข้อแรก ๆ ได้ คลิ๊กที่นี่ ครับ)

7. ในการตรวจสอบธนาคารพาณิชย์และสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งองค์กรอื่นที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบควรพิจารณาถึงความจำเป็นและความแตกต่างในระบบงานของแต่ละองค์กรเป็นกรณีไป โดยควรเน้นและให้ความสำคัญอย่างยิ่งต่อการควบคุมภายในที่มีประสิทธิภาพ

8. การทำความเข้าใจในเป้าหมาย ขอบเขต กรรมวิธี ในการตรวจสอบงานด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบทางด้านการเงิน (Financial Audit) และจัดทำรายงานการตรวจสอบ ตลอดจนความสัมพันธ์ของานทั้ง 2 ประเภท นับเป็นสิ่งที่มีความสำคัญยิ่งในการปฏิบัติงานการตรวจสอบที่มีประสิทธิภาพสูงสุด เช่น การรู้จักใช้เครื่องมือคอมพิวเตอร์ให้เป็นประโยชน์ในการตรวจสอบ และการทำความเข้าใจในระบบงานด้านคอมพิวเตอร์ เพื่อกำหนดขอบเขตการตรวจสอบให้เหมาะสม เป็นต้น

9. วิธีการตรวจสอบและเทคนิคการตรวจสอบงานด้านคอมพิวเตอร์ จะต้องพัฒนาให้ทันกับ Technology สมัยใหม่ที่ก้าวหน้าอย่างรวดเร็วและไม่หยุดยั้ง ทั้งทางด้าน Hardware และ Software วิธีการตรวจสอบจึงจำเป็นต้องพัฒนาขึ้น เพื่อช่วยให้ผู้ตรวจสอบมีเครื่องมือและรู้จักใช้เครื่องมือปฏิบัติงานอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ในการตรวจสอบ อีกทั้งจะช่วยให้ผู้ตรวจสอบมีความมั่นใจในการเสนอความเห็นในรายงานการตรวจสอบอย่างถูกต้องตามความเป็นจริง และมีเหตุมีผล

10. ผู้ตรวจสอบทางด้านคอมพิวเตอร์ นอกจากจะได้รับมอบหมายให้เป็นผู้ตรวจสอบความถูกต้องและความน่าเชื่อถือได้ของข้อมูล จากงานที่ประมวลผลด้วยคอมพิวเตอร์แล้ว ยังมีหน้าที่ที่สำคัญมากอีกประการหนึ่งก็คือ การร่วมมือและประสานงานตรวจสอบด้านการเงิน (Financial Audit) โดยแนะนำหรือร่วมปฏิบัติงานทางด้านเทคนิคการตรวจสอบในส่วนที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานตรวจสอบทางด้าน Financial มีปัญหาน้อยที่สุด

ดังนั้น การศึกษาเทคนิคใหม่ ๆ ทางด้านคอมพิวเตอร์ เพื่อประโยชน์ในการตรวจสอบจึงเป็นสิ่งที่จำเป็นอย่างยิ่ง และจะต้องดำเนินการควบคู่กันไปกับการปฏิบัติงานตรวจสอบด้วยเสมอ ทั้งนี้ เพื่อดำรงไว้ซึ่งประสิทธิภาพของการตรวจสอบโดยรวม

11. เมื่อผมได้ไปปฏิบัติหน้าที่ในฐานะ Deputy Principal ของหลักสูตร SEACEN (South East Asian Central Banks) หลักสูตร Inspection and Supervision of Financial Institutions ครั้งที่ 12 ที่กรุงจาการ์ตา ประเทศอินโดนีเซีย เมื่อปี ค.ศ. 1988 ผมได้แนะนำให้เพิ่มวิชาที่มีเนื้อหาในด้านที่เกี่ยวข้องกับคอมพิวเตอร์หลายวิชาในหลักสูตรนี้ ทาง SEACEN ได้เชิญผมไปบรรยายความจำเป็นของวิชาเหล่านี้ให้กับเลขาธิการของ SEACEN ที่ไปดูแลหลักสูตรนี้ที่กรุงจาการ์ตา และผมก็ได้ไปอธิบายเรื่องนี้ ณ ที่ทำการสำนักงานใหญ่ของ SEACEN ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย ในปีเดียวกันนั้น ในเรื่องที่เกี่ยวข้องกับการพัฒนาการกำกับและการตรวจสอบสถาบันการเงินที่ต้องมีวิชานี้เข้าไปเกี่ยวข้องด้วย เพราะเป็นเรื่องที่แยกกันไม่ได้ในวงการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และทาง SEACEN ก็ได้บรรจุวิชาต่าง ๆ ที่เกี่ยวกับคอมพิวเตอร์เข้าไปในหลักสูตรนี้นับจากนั้นมาจนกระทั่งปัจจุบัน ซึ่งผมได้มีส่วนช่วยบรรยายหลายวิชาในหลักสูตรนี้ที่จัดขึ้นในประเทศต่าง ๆ ของสมาชิก SEACEN ในเวลาต่อมาด้วย

นั่นคือ ถึงแม้เป้าหมายของผู้ตรวจสอบจะเป็นการตรวจสอบฐานะความมั่นคงทางการเงิน หรือเป็นการตรวจสอบเพื่อรับรองงบการเงิน แต่ข้อมูลและการควบคุมภายในส่วนใหญ่ได้ถูกประมวลโดยระบบคอมพิวเตอร์แล้ว ดังนั้น การวางแผนการตรวจสอบก็จะต้องคำนึงถึงและเข้าใจในระบบงานด้านคอมพิวเตอร์พอสมควรด้วยเสมอ

12. นอกจากที่กล่าว ทาง SEACEN ก็ได้จัดหลักสูตรใหม่ขึ้นมาโดยเฉพาะ เรียกว่า Computer Audit (Advanced Level) ขึ้น เป็นหลักสูตรการตรวจสอบคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบในสถาบันการเงินโดยเฉพาะแยกเป็นอีกหลักสูตรหนึ่ง โดยอบรมให้แก่ผู้ตรวจสอบจากธนาคารกลางประเทศต่าง ๆ ในเอเชีย

ทาง SEACEN ได้ให้ผมเป็น Course Director สำหรับหลักสูตรนี้อีกครั้ง เพื่อจัดให้มีการอบรมให้กับประเทศต่าง ๆ ที่กรุงเทพฯ เมื่อปลายปี ค.ศ. 1993 ซึ่งช่วงนั้นผมได้บรรยายวิชา EDP Supervision and Financial Institutions ด้วย โดยกล่าวถึง The Thai Experienced ในเรื่อง ตามที่สรุปในภาคผนวกเล่มที่ 1 แล้ว แต่วิชาคอมพิวเตอร์อื่น ๆ ในหลักสูตรนี้ที่ผมได้บรรยายให้ SEACEN ในปีก่อน ๆ หน้าที่ ผมไม่ได้นำมาให้ผู้อ่านได้อ่านด้วย เพราะมีบางส่วนได้กล่าวเป็นภาษาไทยในหนังสือชุดนี้อยู่แล้ว

cover book

13. การตรวจสอบด้านคอมพิวเตอร์ ถึงแม้จะมีความจำเป็นเด่นชัด แต่ผู้บริหารในองค์กรต่าง ๆ ให้ความสำคัญกับการตรวจสอบด้านนี้แตกต่างกัน และมีจำนวนไม่น้อยที่มองข้ามประเด็นที่สำคัญนี้ อย่างไรก็ดี สำหรับธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยได้กำหนดให้มีการตรวจสอบคอมพิวเตอร์ เพื่อดูแลเรื่องนี้โดยฉพาะ ตั้งแต่ ปี 2528 สำหรับสถาบันการเงินอื่น ๆ ทางธนาคารแห่งประเทศไทยก็ได้สั่งการให้สถาบันการเงินเหล่านั้นได้จัดให้มีการตรวจสอบงานด้านคอมพิวเตอร์แล้วด้วย

14. งานตรวจสอบด้านคอมพิวเตอร์ (IS Audit หรือ IS Examination) ในด้านของธนาคารแห่งประเทศไทย หรือ FFIEC ของประเทศสหรัฐอเมริกา แล้วมีวัตถุประสงค์อย่างกว้าง ๆ เช่นเดียวกับการตรวจสอบฐานะและความมั่นคงของสถาบันการเงิน นั่นคือ

1) เพื่อประเมินฐานะความมั่นคงของสถาบันการเงิน

2) เพื่อประเมินและวัดคุณภาพการจัดการ และการดำเนินงานของผู้บริหารระดับสูง

3) เพื่อให้คำแนะนำ แก้ไขจุดอ่อนต่าง ๆ ที่อาจก่อให้เกิดปัญหาต่อสถาบันการเงินเป็นการล่วงหน้า เพื่อให้สถาบันการเงินปรับปรุงคุณภาพของการบริหารงาน และการดำเนินงานให้มีความมั่นคง และเป็นไปตามระเบียบ คำสั่ง และกฎหมายที่เกี่ยวข้อง

อย่างไรก็ดี วัตถุประสงค์ของการตรวจสอบด้าน IS Audit ของผู้สอบบัญชีรับอนุญาต และผู้สอบบัญชีภายในจะแตกต่างกันไปตามเป้าหมายหลักของตนเอง

15. การตรวจสอบด้านคอมพิวเตอร์ที่ปัจจุบันมักนิยมเรียกกันว่า IS Audit ในประเทศสหรัฐอเมริกา และ IT Audit ในประเทศอังกฤษและออสเตรเลีย มากกว่าคำที่ใช้เรียกกันเต็ม ๆ ว่า Computer หรือ EDP Audit นั้น มีเรื่องที่ต้องทำความเข้าใจกันมากพอสมควร ยิ่งผู้สนใจท่านใดอ่านหนังสือประเภทนี้จากผู้แต่งหลาย ๆ คน จากประเทศต่าง ๆ แล้ว ก็อาจจะพบกับความสับสนมากขึ้น ทั้งนี้เพราะ ผู้แต่งแต่ละท่านก็มีความคิด/จุดยืน และทัศนรวมทั้งการผูกเรื่องให้อ่าน หรือทำความเข้าใจแตกต่างกันนั่นเอง

16. จุดยืนและความแตกต่างของตำราที่ผู้เขียนเรื่อง การตรวจสอบด้านคอมพิวเตอร์ ก็ขึ้นกับความถนัดและประสบการณ์ของผู้เขียนแต่ละท่าน เช่น บางท่านถนัดทางด้านการตรวจสอบระบบงานแต่ละอย่าง (Application Audit) เพราะผู้แต่งหรือผู้เขียนทำงานในด้านนี้ บางท่านทำงานในองค์กรเอกชนหรือตามโรงงานอุตสาหกรรมต่าง ๆ ในขณะที่บางท่านแต่งหรือเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์ในฐานะที่เป็นผู้กำกับ และตรวจสอบสถาบันการเงิน จึงมีหน้าที่และบทบาทต่างกันออกไป เช่น ผู้ตรวจสอบของ FDIC, FRB, OCC ซึ่งเรียกรวม ๆ กันว่า Federal Financial Institution Examination Council (FFIEC) ของประเทศสหรัฐอเมริกาที่เป็นหน่วยงานของรัฐ ซึ่งทำหน้าที่ตรวจสอบทั้งฐานะความมั่นคงและการดำเนินงานโดยทั่วไป ซึ่งเรียกกันว่า Financial Examiner และบางส่วนแบ่งมาทำหน้าที่ตรวจสอบด้านคอมพิวเตอร์ เรียกกันในระยะแรก ๆ ว่า EDP Examiner นั้น ก็มีประสบการณ์การเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์แตกต่างกันในตามความรับผิดชอบของตน นั่นคือ FFIEC จะเน้นการตรวจสอบทางด้านศูนย์ประมวลข้อมูลของสถาบันการเงิน (Data Center) ซึ่งจะตรวจงานทางด้านการดำเนินงานและการบริหารของศูนย์คอมพิวเตอร์เป็นสำคัญ และจะไม่เน้นหรือจะไม่ตรวจสอบทางด้าน Application Audit ซึ่งทาง FFIEC พิจารณาว่าเป็นงานของผู้ตรวจสอบภายนอก (External Auditor) และผู้ตรวจสอบภายในของสถาบันการเงินหรือองค์กรอื่น ๆ ซึ่งผู้ตรวจสอบประเภทหลังนั้น จะตรวจสอบทั้งทางด้าน Data Center หรือตรวจสอบการควบคุมภายในโดยทั่วไป (General Controls) และตรวจสอบการควบคุมภายในเฉพาะระบบงาน หรือเรียกว่า Application Controls หรือ Application Audit ด้วย

17. เมื่อมาถึงจุด ๆ นี้ ก็มีคำที่ต้องทำความเข้าใจกันต่อก็คือ การตรวจสอบงานด้านคอมพิวเตอร์ เรียกและเข้าใจกันง่าย ๆ Computer Audit นั้น มีการตรวจสอบเป็น 2 ลักษณะ คือ

17.1 การตรวจสอบด้านศูนย์ประมวลข้อมูล (Data Center) หรือเรียกกันว่าเป็นการตรวจสอบการควบคุมโดยทั่วไป (General Controls) หรือเป็นการตรวจสอบ “องค์กร” หรือเป็นการตรวจสอบการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ขององค์กร

17.2 การตรวจสอบงานใดงานหนึ่งเป็นการเฉพาะ เช่น การตรวจสอบงานด้านเงินฝาก เงินให้กู้ ฯลฯ ก็เรียกกันว่าเป็นการตรวจสอบด้าน Application หรือเป็นการตรวจสอบการควบคุมภายในเฉพาะงาน (Application Controls) หรือทำให้เข้าใจง่ายยิ่งขึ้นก็เรียกว่าการตรวจสอบ “งาน” ภายในองค์กร

18. การตรวจสอบงานด้านคอมพิวเตอร์ โดยหลักใหญ่ ๆ จึงสรุปได้ว่ามีเพียง 2 ลักษณะ คือ การตรวจสอบ “องค์กร” กับ “งาน” จะเป็นการตรวจสอบด้านใดก็ขึ้นกับความรับผิดชอบของผู้ตรวจสอบในแต่ละองค์กร ว่ายืนอยู่ ณ จุดใด มีความรับผิดชอบด้านใด ท่านต้องการกำหนดขอบเขตการตรวจสอบ (Audit Scope) เพียงใด ดังนั้น ผู้อ่านจึงต้องแยกแยะว่าท่านต้องการเรียนรู้งานการตรวจสอบด้านคอมพิวเตอร์ลักษณะใด แล้วจึงค่อย ๆ ทำความเข้าใจกับคำอธิบายเฉพาะส่วนนั้น ๆ และความเกี่ยวพันที่เกี่ยวข้อง เช่น ควรเข้าใจว่า หาก General Controls มีปัญหาก็จะกระทบกับการวางแผนและการตรวจสอบด้าน Application Controls เพียงใด และควรมีวิธีการตรวจสอบอย่างไร เป็นต้น

อนึ่ง ถึงแม้จะมีตำราการตรวจสอบด้านคอมพิวเตอร์บางเล่มได้แยกหัวข้อการตรวจสอบแตกต่างไปจากที่กล่าวข้างต้น เช่น มักจะแยกหัวข้อการตรวจสอบการพัฒนาระบบงานเพิ่มมาอีกก็ตาม ผมก็ยังมีความเห็นว่า น่าจะรวมอยู่ในการตรวจสอบ General Controls จะเหมาะสมกว่า นอกจากนี้ แผนภูมิแสดงการตรวจสอบโดยย่อที่มีมากกว่า 1 แห่ง ในหนังสือของผมทั้ง 3 หรือ 4 เล่ม ก็อาจมีความแตกต่างกันในรายละเอียดปลีกย่อย ทั้งนี้ ขอให้ผู้อ่านอย่าสับสน เพราะเหตุผลเกิดจากแนวความคิดเบื้องต้นที่อาจแตกต่างกันบ้างของผู้เขียนหนังสือแต่ละคน เช่น บางคนเริ่มจากการวิเคราะห์ความเสี่ยง ซึ่งผมชอบแนวทางนี้ บางคนไม่วิเคราะห์ถึงความเสี่ยงก่อน แต่ให้เริ่มต้นจากการทำความเข้าใจระบบงานก่อน ซึ่งในที่สุด ผู้อ่านจะพบว่าไม่ว่าจะเริ่มแบบใด ในที่สุดแล้วก็จะมาสู่จุดเดียวกันจนได้ หากท่านผู้อ่านเข้าใจได้เช่นนี้ ก็แสดงว่าท่านเข้าใจแนวทางการตรวจสอบอย่างถ่องแท้แล้ว อย่างไรก็ดี หลักการส่วนใหญ่จะไม่แตกต่างกันมาก แต่จะแตกต่างกันในการบรรยายและการทำความเข้าใจ

19. ผู้อ่านควรทำความเข้าใจในคำต่อไปนี้ คือ EDP Examinar, EDP Auditor ซึ่งคำ ๆ หลังนี้ยังแยกได้เป็น 2 ส่วน คือ External Auditor และ Internal Auditor สรุปเพียงข้อนี้ก่อนว่าผู้ตรวจสอบด้านคอมพิวเตอร์เองก็มี 3 แบบ มีความรับผิดชอบและหน้าที่แตกต่างกัน และผู้ตรวจสอบต้องเข้าใจลักษณะของหน้าที่และความรับผิดชอบที่แตกต่างกันนั้น ๆ ด้วย เพราะความแตกต่างกันนั้น ยังมีส่วนเหลื่อมที่เป็นความเหมือนหรือความคล้ายกันปะปนกันอยู่ด้วย นั่นคือ การกำหนดขอบเขตและวิธีการตรวจสอบ อาจมีความสัมพันธ์ซึ่งกันและกันตามลักษณะของผู้ตรวจสอบทั้ง 3 แบบได้

20. การให้ถ้อยคำเป็นภาษาไทยที่ถอดความจากภาษาอังกฤษ ในศัพท์คอมพิวเตอร์บางครั้งก็มิใช่ของง่าย เพราะถึงแม้จะมีการแปลศัพท์คอมพิวเตอร์เป็นภาษาไทยกันแล้วหลายเล่ม แต่การใช้ภาษาไทยก็ยังมีการใช้แตกต่างกันอยู่ ซึ่งขึ้นกับความถนัดและความเข้าใจของผู้เรียบเรียงหรือผู้เขียนเป็นสำคัญ ดังนั้น การให้ถ้อยคำในภาษาไทยในแต่ละเรื่อง ถึงแม้มาจากภาษาอังกฤษคำ ๆ เดียวกัน ก็ใช้ถ้อยคำแตกต่างกันที่อาจทำให้ผู้อ่านสับสนได้ อย่างไรก็ดี คำศัพท์ภาษาไทยที่ยังไม่นิยมกัน ผมไม่ได้นำมาใช้ในเอกสารประกอบการบรรยายนี้ และคำศัพท์หลายคำ ผมได้ให้ความหมายใหม่ตามที่ผมเข้าใจ เช่นคำว่า “Default” โดยทั่วไปแปลว่า “โดยปริยาย” แต่ในหลายตอนของผมแปลว่า “มาตรฐานของระบบงานที่ได้กำหนดไว้ล่วงหน้า” หรือ “คำสั่งตามเงื่อนไขเบื้องต้นที่กำหนดไว้ในโปรแกรม” นอกจากนี้ หากท่านผู้อ่านพบกับคำว่า เกิด Default ก็ขอให้เข้าใจว่า “เกิดข้อคลาดเคลื่อน” หรือ “เกิดการปฏิบัติงานที่ผิดไปจากเงื่อนไขหรือคำสั่งงานที่กำหนดไว้” และในบางกรณีก็หมายถึง “เกิดปัญหาการปฏิบัติงานที่เกิดจากมาตรฐานหรือเงื่อนไขเบื้องต้น” ทั้ง ๆ ที่การเกิด Default นี้เป็นไปตามคำสั่งหรือมาตรฐานของระบบงานก็ตาม ซึ่งแสดงถึงจุดอ่อนหรือความเสี่ยงที่เกิดจากการทำ Default ในโปรแกรมนั่นเอง อย่างไรก็ดี ความหมายในภาษาไทยที่ใช้และอาจเกิดความสับสนได้นั้น ผมจะวงเล็บภาษาอังกฤษ เพื่อให้เปรียบเทียบประกอบความเข้าใจเป็นส่วนมากไว้ด้วย ดั้งนั้น หากท่านผู้อ่านจะนำศัพท์ภาษาอังกฤษไปเปรียบเทียบกับ Dictionary ด้านคอมพิวเตอร์ ก็จะพบว่าการให้ความหมายแตกต่างกันไป ซึ่งบางกรณีทำให้เกิดความเข้าใจที่แตกต่างกันด้วย

21. ถ้อยคำในภาษาไทยที่ใช้ในการบรรยายการตรวจสอบด้านคอมพิวเตอร์ในบางครั้งที่พบ เช่น การตรวจสอบระบบคอมพิวเตอร์โดยทั่วไป (ซึ่งหมายถึงการตรวจสอบ Data Center หรือ General Controls) กับคำว่าการตรวจสอบคอมพิวเตอร์เฉพาะงาน หรือบางครั้งก็ใช้คำว่าการตรวจสอบระบบงาน (ซึ่งหมายถึง Application Audit หรือ Application Controls) ถ้าผู้อ่านพยายามนึกถึงภาษาอังกฤษประกอบด้วยแล้ว จะทำให้ความสับสนน้อยลงได้ ทั้งนี้มีข้อแนะนำว่า หากรู้สึกสับสนก็ขอให้ถามตนเองว่า ขณะนี้เรากำลังอยู่จุดไหนหรือขั้นตอนใดของงานการตรวจสอบ เรามีเป้าหมายและขอบเขตการตรวจสอบอะไร เพียงใด ก็จะช่วยได้มาก โดยเฉพาะ การให้คำภาษาไทยที่ไม่ได้วงเล็บภาษาอังกฤษไว้ด้วย

การที่ผมย้ำจุดนี้หลายครั้งก็เพราะจากประสบการณ์ที่ผ่านมาในระยะแรก ๆ ทั้งตัวผมและผู้ฟังการบรรยายมักจะพบปัญหาการทำความเข้าใจจากจุดนี้เป็นสำคัญ

22. ถ้อยคำอื่น ๆ ที่มีปัญหาก็อาจเกิดจากเทคนิคทางด้านคอมพิวเตอร์นอกเหนือจากการใช้ภาษาไทยได้ ตัวอย่างเช่น โปรแกรมระบบงาน (System Program หรือ System Software) และคำว่าโปรแกรมเฉพาะงาน (Application Program หรือ Application Software) โดยมีถ้อยคำภาษาไทยที่คล้ายกันมาก หากไม่วงเล็บภาษาอังกฤษไว้ด้วย จะชวนทำให้สับสนได้ง่ายเช่นกัน หรือการตรวจสอบความถูกต้องของรายการทางการเงิน ก็มีคำภาษาอังกฤษที่ใช้ต่าง ๆ กัน เช่น Validation Procedures หรือ Verification Procedures หรือ Substantive Tests เป็นต้น ดังนั้น ผู้ตรวจสอบจึงควรทำความเข้าใจระบบงานของคอมพิวเตอร์ ให้ถ่องแท้ก่อนการวางแผนและดำเนินการตรวจสอบ

ทั้งนี้ ด้วยเนื้อหาของคำนำที่ยาวพอสมควร ทำให้ผมไม่สามารถนำเสนอได้จบในตอนที่ 6 นี้ จึงขอให้ท่านผู้อ่านโปรดติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่ม 2 “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ที่ผมจะนำมาเสนอในตอนต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 5)

กุมภาพันธ์ 28, 2014

ตอนที่ 4 ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่ ธปท.กำหนดขึ้นเพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงิน ระบบการจัดการของหน่วยงานภายใต้การดูแลของ ธปท.ให้มีการดำเนินงาน บริหารงาน ได้ถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่าต่อผู้มีผลประโยชน์ร่วม และผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ เพื่อให้ความมั่นใจต่อผู้มีผลประโยชน์ร่วมทุกฝ่ายที่เกี่ยวข้อง ถึงความสามารถในการบริหารงานอย่างต่อเนื่อง ในการสร้าง Vallue Creation อย่างได้ดุลยภาพ จากการบริหารความเสี่ยงและทรัพยากรที่มีอยู่

….ซึ่งต่อมา สภาพแวดล้อมในการดำเนินงาน ได้มีการพัฒนาตลอดมาจนกระทั่งปัจุบัน ซึ่งมีผลอย่างสำคัญ ต่อการเปลี่ยนแปลง และการบริหารการเปลี่ยนแปลงในกระบวนการบริหารและปฎิบัติงาน ส่งผลให้มีการค้นคว้าและพัฒนาหลักการบริหารที่ดี และการกำหนดมาตรฐาน มาตรการการดำเนินงาน และการกำกับที่ได้เปลี่ยนแปลงไปให้ทันกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นโดยเฉพาะความเสี่ยงที่เกิดจากการบริหาร การดำเนินงาน ด้านคอมพิวเตอร์/ เทคโนโลยีสารสนเทศและการสื่อสาร ที่มีการพัฒนาอย่างรวดเร็วและไม่หยุดยั้ง มีผลอย่างสำคัญที่ตามมาคือ ผู้บริหาร ผู้กำกับ ผู้ปฎิบัติ ผู้ตรวจสอบ จำนวนหนึ่งตามไม่ทันกับการพัฒนาทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งการมีการใช้เทคโนโลยีที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม ที่คู่กันไปกับการบริหารความเสี่ยง ที่มีผลกระทบต่อการบริหารที่มีประสิทธิภาพ และมีประสิทธิผลในการสร้างคุณค่าเพิ่ม ( Value Creation )ให้กับผู้มีผลประโยชน์ร่วมที่ได้ดุลยภาพ ในการบรรลุวัตถุประสงค์ที่ต้องการคู่กันไปกับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม ซึ่งผมจะได้เล่าในโอกาศต่อ ๆ ไปนะครับ…

วันนี้ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ต่อจากตอนที่ 4 ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้ง สถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความถูกต้องของข้อมูลทางการเงิน และรายงาน รวมทั้งการปฎิบัติตามกฎหมายและกฎเกณฑ์ของผู้กำกับ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการปรับปรุง เปลี่ยนแปลง การกำกับของธนาคารแห่งประเทศไทย

หลายท่าน ที่ได้ติดตามอ่านมาตั้งแต่ต้นและไม่ได้เป็นผู้ตรวจสอบ อาจมีข้อสงสัยว่า ทำไม? ผมจึงเชื่อมโยงการกำกับ การบริหาร การปฎิบัติงาน การตรวจสอบ ในสถาบันการเงินที่ใช้คอมพิวเตอร์ โดยเฉพาะในหัวข้อ “มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ” โดยเน้นค่อนข้างมาก มาในมุมมองของผู้ตรวจสอบ โดยเฉพาะผู้ตรวจสอบด้านคอมพิวเตอร์ นั้น ก็เป็นเพราะ….การกำกับ การบริหาร การปฎิบัติงาน การควบคุมความเสี่ยง การประเมินการบริหารความเสี่ยง+++ กับกระบวนการตรวจสอบ+++ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ และส่วนงานพิเศษ ที่ธปท.ตั้งขึ้นมาใหม่ให้ทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์โดยเฉพาะ และทำหน้าที่ทางด้านการช่วยงานตรวจสอบทั่วไป ที่มีผลกระทบต่อกระับวนการประเมินความเสี่ยงและการคตรวจสอบ ตามกระบวนการปกติ จึงได้ศึกษาปัญหา/อุปสรรคที่เกิดขึ้น เพื่อให้การประเมินฐานะของธนาคารพาณิชย์ สามารถดำเนินการต่ีอไปได้ตามปกติ ซึ่งพิจารณาได้ว่าเป็นวิธีการตรวจสอบด้านคอมพิวเตอร์ หรือ EDP- Electronic Data Processing ในยุคแรก

ดังนั้น ความเข้าใจในผลกระทบของการมี การใช้คอมพิวเ้ตอร์ และความสัมพันธ์ของการบริหารและการตรวจสอบ งานทางด้านคอมพิวเตอร์และงานทางด้านทั่วไป ที่ต้องมีความเข้าใจภาพโดยรวมจึงเริ่มเกิดขึ้น แต่ยังห่างไกลจากคำว่า การบริหารและการตรวจสอบแบบบูรณาการในยุคปัจจุบัน ที่เรียกกันว่า Integrated –GRC และ/หรือ Integrated Single Framework ยุคใหม่

เมื่อกล่าวมาถึงงงงตอนนี้ ผมจึงย้อนหลังนำท่านผู้อ่าน ไปสู่ยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ โดยนำเรื่องที่ผมเขียนไว้เป็นคำนำ ในหนังสือเล่มที่ 2 เรื่องการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการส่วนหนึ่ง ว่าในช่วงเวลาประมาณ 35 ปีมาแล้ว ประเทศไทยมีวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์กันอย่างไร และความเข้าใจในช่วงเวลานั้น แตกต่างกับความเข้าใจในปัจจุบัีนอย่างไร ทั้งนี้ได้ใช้คำอธิบายเดิมเมื่อ 35 ปีก่อนโดยไม่ได้เพิ่มเติมแต่อย่างใด ดังนี้

คำนำ (เล่ม 2)
การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์

1. การจัดทำหนังสือชุดเรื่อง การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ทั้ง 4 เล่ม ครั้งนี้ ผมใคร่ขอเรียนวัตถุประสงค์หลัก ซึ่งเป็นสาระสำคัญของการจัดทำหนังสือชุดนี้คือ

1.1 เพื่อให้การศึกษา ค้นคว้า วิจัย งานด้านคอมพิวเตอร์ โดยไม่มีวัตถุประสงค์ในทางการค้า ทั้งในปัจจุบันและในอนาคตแก่ผู้ตรวจสอบในส่วนกำกับสถาบันการเงิน ที่ทำหน้าที่ตรวจสอบ ดูแล ความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ และจะใช้ภายในวงการที่ธนาคารแห่งประเทศไทยมีส่วนเกี่ยวข้องเป็นสำคัญ โดยพิจารณาเป็นส่วนหนึ่งของการให้การศึกษา อบรม ทำความเข้าใจกับหน่วยงานที่ธนาคารแห่งประเทศไทยเป็นผู้กำกับและดูแล

1.2 หนังสือทั้ง 4 เล่มในชุดนี้ เป็นการแนะนำงานที่ได้ศึกษารวบรวมเรียบเรียง รวมทั้งดัดแปลงจากเอกสารต่างประเทศ และเขียนเพิ่มเติมจากประสบการณ์ภาคสนามรวม ๆ กันไป จากเอกสารเดิมที่เคยใช้ในการบรรยายให้ความรู้ต่อสถาบันการเงินและมหาวิทยาลัยต่าง ๆ ที่ผ่านมา ทั้งนี้ได้อ้างถึงที่มาของหนังสือที่ได้ค้นคว้าตามท้ายหนังสือแล้ว เพื่อให้ผู้ที่ใช้งานในวงจำกัดเหล่านี้ ได้ทราบถึงที่มาในการใช้หนังสือชุดนี้เพื่อการศึกษา โดยมีข้อผิดตกยกเว้น ดังกล่าว

1.3 เพื่อให้การทำงานของส่วนกำกับฯ ได้ผลยิ่งขึ้น จึงได้มีการพูดคุยและให้คำแนะนำการปฏิบัติงาน รวมทั้งการตรวจสอบในที่ประชุมธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ ในภาคอีสานเช่นเดียวกับที่ผมได้เป็นผู้บรรยายให้แก่สถาบันเหล่านี้ในกรุงเทพฯ และที่อื่น ๆ หนังสือชุดดังกล่าว จึงได้ส่งให้สถาบันการเงินที่ธนาคารแห่งประเทศไทย ภาคตะวันออกเฉียงเหนือดูแล โดยมีวัตถุประสงค์เช่นเดียวกันคือให้การศึกษา ค้นคว้า วิจัย โดยถือเสมือนหนึ่งเป็นการป้องกันปัญหา และให้คำชี้นำในการให้การศึกษาเป็นการล่วงหน้าต่อสถาบันการเงินดังกล่าว ตามหน้าที่เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงาน โดยมีเอกสารไว้ใช้ศึกษาดูเมื่อต้องการ ซึ่งจะมีผลต่อความมั่นคงของสถาบันการเงิน ซึ่งเป็นหน้าที่หลักอย่างหนึ่งของธนาคารแห่งประเทศไทยเป็นสำคัญ

1.4 หนังสือในชุดนี้ทั้งหมด จัดทำขึ้นเพื่อใช้ประโยชน์ในการปฏิบัติงานและการดำเนินการของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ โดยมิได้เผยแพร่หรือโฆษณาต่อสาธารณชนเป็นการทั่วไป และมิได้มีการจำหน่ายใด ๆ ทั้งสิ้น และใคร่ขอย้ำว่าเป็นการจัดทำเพื่อประโยชน์ในการศึกษา งานค้นคว้า การปฏิบัติงานและการตรวจสอบด้านคอมพิวเตอร์ทุกรูปแบบ ตามภาระและหน้าที่ส่วนหนึ่งในความรับผิดชอบที่ผมปฏิบัติหน้าที่อยู่ ทั้งในอดีตและปัจจุบัน

ดังนั้น การนำข้อความหรือบทความในหนังสือชุดนี้ เพื่อจะทำซ้ำหรือดัดแปลงเพื่อประโยชน์ทางการค้า จึงเป็นสิ่งที่ไม่พึงปฏิบัติเพราะผิดวัตถุประสงค์ที่สำคัญของการจัดทำหนังสือชุดนี้เป็นอย่างยิ่ง

1.5 การทำความเข้าใจกับท่านผู้อ่าน และผู้ที่อาจเกี่ยวข้องในหัวข้อนี้ ก็เพื่อสร้างความเข้าใจในการจัดทำหนังสือชุดนี้เป็นสำคัญ ทั้งนี้เป็นการป้องกันปัญหาที่อาจจะเกิดจากความเข้าใจที่ไม่ตรงกันในการปฏิบัติหน้าที่ของแต่ละหน่วยงานได้

2. หนังสือเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ เป็นเล่มที่จะเน้นทำความเข้าใจ และให้รายละเอียดกับผู้ที่สนใจในการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก ทั้งนี้ มีแนวทางทำความเข้าใจง่าย ๆ โดยเริ่มต้นศึกษาจากวงจรทางเทคโนโลยีกับการควบคุมและตรวจสอบ และการดำเนินงานด้านคอมพิวเตอร์ ซึ่งมีรายละเอียดปรากฏอยู่ในเล่ม 1 และได้สรุปเพิ่มเติมในเล่ม 2 โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ แผนภาพ และข้อควรทราบสำหรับผู้ตรวจสอบโดยทั่วไปก่อนการเข้าตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

3. การตรวจสอบภาคสนาม (Field Work) สำหรับผู้ตรวจสอบที่ยังไม่เข้าใจระบบงานที่แท้จริงนั้น จะเริ่มจากการศึกษาและทำความเข้าใจระบบงานขององค์กรโดยภาพรวมก่อน นั่นคือการทำความเข้าใจทั้งในระบบงานในส่วนที่ใช้คอมพิวเตอร์ และในส่วนที่ไม่ใช้คอมพิวเตอร์ แล้วจึงทำการประเมินระบบการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนหาทางใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ

4. ตั้งแต่บทที่ 16 ถึงบทที่ 26 เหมาะสำหรับการตรวจสอบภายใน (Internal Audit) และผู้ตรวจสอบภายนอกที่ไม่ได้เป็น Examiner เพราะได้เน้นการตรวจสอบ “งาน” หรือ Application มากกว่า “องค์กร” อย่างไรก็ดี ผู้ตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ (EDP Examiner) จากธนาคารแห่งประเทศไทยก็สามารถนำไปประยุกต์ใช้ร่วมกับวิธีการและแนวทางการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ได้

5. มีองค์กรที่เกี่ยวข้องกับการตรวจสอบ และมีหนังสือที่เกี่ยวข้องกับการตรวจสอบด้านคอมพิวเตอร์มากมาย ตลอดจนนิตยสารและวารสารการตรวจสอบด้านคอมพิวเตอร์ ที่ออกกันมาเป็นรายเดือนหรือรายไตรมาสติดต่อกันมาเป็นเวลาหลายปีในหลายประเทศทั่วโลก เมื่อกล่าวถึงองค์กรอย่างเช่น Information Systems Audit and Control Association ที่มีสมาชิกมากกว่า 93 ประเทศทั่วโลก ทำหน้าที่ศึกษา ค้นคว้า ให้การอบรม จัดสัมมนา จัดการประชุมงานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit) กับสมาชิกและออกวารสาร IS Audit and Control เป็นประจำ มีสำนักงานใหญ่อยู่ที่ประเทศสหรัฐอเมริกา ประเทศไทยเราก็เป็นสมาชิกอยู่ในสมาคมผู้ตรวจสอบงานคอมพิวเตอร์นี้ด้วย นอกจากนั้น ก็มีสถาบันต่าง ๆ หลายแห่งที่มีสมาชิกเป็นจำนวนมาก ทำหน้าที่คล้าย ๆ กันนี้ แต่เน้นหนักทางด้านการค้นคว้าการตรวจสอบด้านคอมพิวเตอร์และผลิตหนังสือต่าง ๆ ออกมามากมาย

ดังนั้น หากองค์กรของท่านเป็นองค์กรหนึ่งที่มีหน้าที่ในการตรวจสอบ ไม่ว่าจะเป็นการตรวจสอบภายในองค์กรของท่านเอง หรือทำหน้าที่ตรวจสอบองค์กรอื่นที่ใช้คอมพิวเตอร์ในการ Process งานและการบริหารงานโดยที่ผู้ตรวจสอบที่ท่านดูแล ยังมิได้ทำการตรวจสอบในลักษณะ IS Audit หรือ Computer Audit เป็นส่วนหนึ่งของกระบวนการตรวจสอบตามปกติแล้วละก็ ควรจะพิจารณาได้ว่า น่าจะต้องเพิ่มการดำเนินการตรวจสอบในลักษณะ IS Audit ได้แล้ว ทั้งนี้ขอท่านได้โปรดทบทวนและศึกษาจากมาตรฐานการสอบบัญชี ฉบับที่ 28 ฉบับที่ 29 และ ฉบับที่ 36 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย เรื่องการสอบบัญชีในกรณีธุรกิจที่ใช้คอมพิวเตอร์ (เล่ม 1) ก็จะเป็นประโยชน์ในการพิจารณาของท่านเป็นอย่างยิ่ง

6. จากข้อ 5 ข้างต้น ผมเองได้ยินเสียงวิจารณ์หรือเสียงบ่นจากการปฏิบัติงานการตรวจสอบของผู้ปฏิบัติงานภาคสนาม หรือผู้ลงมือตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์จริง ๆ จากผู้ค้นเคยมากรายว่า การตรวจสอบระบบการควบคุมภายในและการบัญชี ตลอดจนการศึกษาทำความเข้าใจระบบงานในองค์กรที่ได้รับการตรวจสอบที่ใช้คอมพิวเตอร์ เพื่อวางแผนและกำหนดเทคนิคหรือวิธีการตรวจสอบ หรือเพื่อหาหลักฐานและความพอเพียงในการตรวจสอบตามเป้าหมายการตรวจสอบ โดยใช้วิธีการตรวจสอบตามปกติ หรือ Manual นั้น ได้ถูกจำกัดโดยกระบวนการ Process งานด้านคอมพิวเตอร์ เพราะขั้นตอนการควบคุมภายในและการบัญชีส่วนใหญ่ได้ใช้โปรแกรมคอมพิวเตอร์เป็นผู้ควบคุมและดำเนินงานแล้ว ดังนั้น เมื่อไม่มีการตรวจสอบด้านคอมพิวเตอร์หรือ IT Audit เป็นส่วนหนึ่งของ Financial Audit โดยเฉพาะอย่างยิ่งการตรวจสอบการปฏิบัติตามระเบียบกฎเกณฑ์การควบคุมภายในของหน่วยงาน (Compliance Audit) แล้ว ก็จะทำให้การปฏิบัติงานตรวจสอบนั้นต้องข้ามขั้นตอนหรือละเว้นการตรวจสอบที่จำเป็นไปไม่น้อย ทำให้มีปัญหาถึงประสิทธิภาพและประสิทธิผลการปฏิบัติงานการตรวจสอบอันเกิดจากการละเลย ไม่ตรวจสอบงานด้านคอมพิวเตอร์ รวมทั้งไม่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบตามมาตรฐานที่ควรจะเป็นด้วย

ท่านเคยได้ยินคำวิจารณ์หรือเสียงบ่นทำนองนี้บ้างหรือไม่ และท่านควรจะทำการแก้ไขปัญหาหรืออุปสรรคตามที่กล่าวนี้อย่างไร หากท่านไม่ได้ยินเรื่องทำนองข้างต้น ท่านเคยคิดและพิจารณาบ้างหรือไม่ว่าเป็นไปได้หรือที่การตรวจสอบยังคงใช้แนวทางการตรวจสอบเดิม ๆ สมัยที่องค์กรยังใช้ระบบ Manual เมื่อองค์กรนั้นนำคอมพิวเตอร์เข้ามาใช้แล้ว

เนื่องจาก คำนำ การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ ที่ผมเขียนมานานคือตั้งแต่ปี 2539 มีความยาว 36 ข้อ ดังนั้น ผมจะขอทยอยลงให้ท่านผู้อ่านได้ทราบในตอนต่อ ๆ ไปจนครบ และเมื่อถึงเวลานั้น ท่านจะได้เข้าใจกรอบการบริหาร การดำเนินงาน และการตรวจสอบ ที่ได้ใช้ Risk-Based Auditในยุคแรก ๆนั้นแล้ว

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 4)

มกราคม 27, 2014

ครั้งที่แล้ว ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่กำหนดขึ้นก็เพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงินให้มีความถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่า ผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ ตั้งแต่ความเพียงพอของเงินกองทุน คุณภาพของสินทรัพย์ คุณภาพการบริหารจัดการ ความสามารถในการหารายได้ และสภาพคล่อง ซึ่งในช่วงเวลานั้นเรียกกันย่อ ๆ ว่า CAMEL (C = Capital, A = Asset, M = Management, E = Earnings, L = Liquidity) ที่จะสามารถสนองตอบความเชื่อมั่นของผู้มีผลประโยชน์ร่วมของทุกกลุ่มได้อย่างมั่นใจ

CAMEL

ครั้งนี้ ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้งสถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความไม่ถูกต้องของข้อมูลทางการเงิน และรายงานต่าง ๆ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการกำกับของธนาคารแห่งประเทศไทย

ทั้งนี้ มีรายละเอียดจำนวนมากที่หน่วยงานที่จัดตั้งขึ้นใหม่ เรียกว่า “ส่วนงานพิเศษ” ซึ่งทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์เป็นหลัก ซึ่งได้ทำเอกสารเผยแพร่และอธิบายไปยังธนาคารพาณิชย์ทุกแห่ง หากมีโอกาส ผมอาจจะนำมาเล่าสู่กันฟังย่อ ๆ นะครับ

สำหรับวันนี้ ผมจะเล่าเฉพาะส่วนที่เป็นระบบงานโดยทั่วไปขององค์กรที่ใช้คอมพิวเตอร์ก็คือ ส่วนงานในช่วงนั้นที่เรียกว่า EDP – Electronic Data Processing ซึ่งผมจะขออธิบายเป็นแผนภาพเพื่อที่ไม่ต้องอธิบายเป็นคำพูดที่ยืดยาวจนเกินไป ดังนี้

ส่วนของคอมพิวเตอร์ในระบบงานต่าง ๆ ขององค์กร

ตามภาพข้างต้นจะช่วยให้ผู้บริหารและผู้ปฏิบัติงาน ได้เห็นภาพและเข้าใจผลกระทบต่อการบริหารและการจัดการองค์กรทางด้าน EDP ในยุคแรก ๆ จากนี้ผมมีกรณีศึกษาเป็นตัวอย่างที่จะทำให้ท่านผู้ที่สนใจได้ทราบว่า เมื่อรูปแบบของหลักฐานในการกำกับและตรวจสอบธนาคารพาณิชย์และสถาบันการเงินได้เปลี่ยนแปลงไปอันเนื่องมาจากการใช้ EDP หรือ IT ในยุคปัจจุบัน มีผลกระทบต่อกระบวนการกำกับและกระบวนการตรวจสอบ เท่าที่พอเข้าใจได้ง่าย ๆ อย่างไรบ้างนั้น ผมจึงขอกล่าวถึงการใช้คอมพิวเตอร์ในงานประเภทเดียวกัน เช่น ระบบการจ่ายเงินเดือน แต่ระบบงานหรือกระบวนการจ่ายเงินเดือนต่างกันนั้น จะเกี่ยวข้องกับรูปแบบของหลักฐานที่เปลี่ยนแปลงไปแตกต่างกัน… จะมีผลต่อกระบวนการกำกับและตรวจสอบอย่างไร… ดังนี้

ตัวอย่าง 1  องค์กร A ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเดือน พนักงานแต่ละคนจะกรอกรายละเอียดชั่วโมงในใบลงเวลา แล้วให้ผู้ควบคุม (Supervisor) ลงลายมือชื่ออนุมัติ หลังจากนั้นจะรวบรวมข้อมูลไปป้อนลง disk โดยใช้เครื่อง key-to-disk machine ซึ่งจะมีสำเนาข้อมูลส่งกลับมาให้ผู้ควบคุมตรวจสอบความถูกต้องอีกครั้งหนึ่ง และเมื่อเริ่มต้นงวดรอบระยะเวลาการจ่ายเงินเดือนแต่ละครั้ง จะมีการปรับปรุงข้อมูลที่มีการเปลี่ยนแปลง เช่น อัตราค่าจ้างและรายการหักค่าลดหย่อนต่าง ๆ และมีการพิมพ์รายงานแสดงรายละเอียดการจ่ายค่าจ้างของพนักงานแต่ละคนส่งให้แผนกงานต่าง ๆ เพื่อใช้เป็นข้อมูลในการจัดเตรียมการจ่ายค่าจ้าง และในขั้นสุดท้ายก็จะมีการจัดพิมพ์เช็คและส่งให้ผู้ควบคุมแต่ละคนเพื่อจ่ายให้แก่พนักงาน และจะมีการกระทบยอดเช็คสลักหลังโดยฝ่ายบุคคลที่อยู่แยกต่างหากจากแผนกที่ทำหน้าที่เกี่ยวกับการจ่ายเงินเดือน

จากระบบงานในลักษณะที่กล่าวมาขององค์กรนี้ รูปแบบของหลักฐานจะไม่ถูกกระทบกระเทือนหรือเปลี่ยนไปมากนัก ยังคงสามารถใช้วิธีการตรวจสอบเช่นที่ทำในระบบเดิมได้ แต่ถ้าผู้ตรวจสอบจะต้องการปรับปรุงประสิทธิภาพและความประหยัดในการตรวจสอบ โดยนำเอาเทคโนโลยีทางด้านคอมพิวเตอร์/เทคโนโลยีสารสนเทศ เข้ามาช่วยในการตรวจสอบได้ เช่น การใช้ Audit Software หรือ Test Data Method – TDM เป็นต้น

ตัวอย่างที่ 2 องค์กร B ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเงินเดือนเช่นเดียวกับองค์กร A แต่ระบบเทคโนโลยีที่ใช้แตกต่างกัน โดยระบบจะรวบรวมและบันทึกข้อมูลผ่านเครื่องเทอร์มินอล โดยพนักงานแต่ละคนจะใช้บัตรที่มีแถบแม่เหล็กบันทึกรายการรูดผ่านเครื่องเทอร์มินอลเพื่อบันทึกเวลาที่เข้าทำงานประจำวันและเวลาเลิกงาน เครื่องก็จะบันทึกข้อมูลชั่วโมงการทำงานของพนักงานคนนั้น ๆ ไว้ เมื่อมีการเปลี่ยนแปลงข้อมูลหลัก เช่น อัตราค่าจ้าง ฝ่ายบุคคลก็จะป้อนรายการเปลี่ยนแปลง พร้อมวันที่มีผลบังคับใช้ผ่านทางเครื่องเทอร์มินอลเพื่อปรับปรุงข้อมูลใน database โดยตรง ข้อมูลเกี่ยวกับค่าจ้างที่ต้องจ่ายที่ได้จากการประมวลผล จะถูกส่งไปยังธนาคารเพื่อโอนเงินเข้าบัญชีให้พนักงานในลัษณะที่เป็นการโอนเงินทางอิเล็กทรอนิกส์ และจะส่ง statement แสดงรายละเอียดการโอนเงินเข้าบัญชีให้แก่พนักงานถึงบ้าน

ในระบบการประมวลงานเทคโนโลยีสารสนเทศ จะเห็นว่ารูปแบบของหลักฐานได้เปลี่ยนแปลงไปอย่างมาก จึงจำเป็นต้องอาศัยวิธีการตรวจสอบแบบใหม่ ซึ่งต่างจากการนำระบบคอมพิวเตอร์/เทคโนโลยีสารสนเทศเข้ามาใช้ในกรณี A ซึ่งไม่ได้ทำให้รูปแบบของหลักฐานเปลี่ยนแปลงไป จึงสามารถใช้วิธีการตรวจสอบแบบเดิมได้ ดังนั้น อาจกล่าวได้ว่า ตัวคอมพิวเตอร์หรือระบบเทคโนโลยีเองนั้นไม่ได้มีผลต่อผู้ตรวจสอบหรือผู้กำกับโดยตรง แต่ผลกระทบจากระบบงานคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบต่างหากที่มีความสำคัญ และทำให้ผู้ตรวจสอบต้องกำหนดวิธีการตรวจสอบให้เหมาะสมและสอดคล้องกับรูปแบบของหลักฐานที่ได้เปลี่ยนแปลงไป

อย่างไรก็ดี ก่อนที่จะมีการตรวจสอบระบบคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศนั้น ผู้ตรวจสอบควรทราบถึงลักษณะของเทคโนโลยีที่องค์กรนั้นใช้เสียก่อน โดยอาจจะใช้ Audit Impact Matrix เพื่อระบุถึงผลกระทบที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบ หากเทคโนโลยีนั้นมีผลให้รูปแบบของหลักฐานเปลี่ยนแปลงไป ผู้ตรวจสอบก็ต้องพิจารณาว่าจะมีผลให้ต้องนำวิธีการตรวจสอบแบบใหม่มาใช้หรือไม่ ในกรณีที่รูปแบบของหลักฐานได้เปลี่ยนแปลงไปโดยสิ้นเชิง ผู้ตรวจสอบอาจจำเป็นต้องมีทักษะหรือความเชี่ยวชาญในการตรวจสอบระบบเทคโนโลยีสารสนเทศโดยเฉพาะ จึงจะสามารถตรวจสอบได้อย่างเหมาะสม

จากที่ได้กล่าวข้างต้น ท่านที่ติดตามมาถึงขั้นตอนนี้จะสังเกตได้ว่า การกำหนดนโยบาย การกำกับ/ดูแลความมั่นคงของธนาคารพาณิชย์และสถาบันการเงิน ไม่ว่าจะในรูปแบบของ CAMEL เดิมตามที่กล่าวข้างต้น หรือในยุคการประเมินความเพียงพอของเงินกองทุน ตามหลักการ หลักเกณฑ์ Basel II – III ที่อิงกับการประเมินการบริหารความเสี่ยงของธนาคารพาณิชย์และสถาบันการเงิน รวมทั้งหน่วยงานประกันภัย ประกันชีวิตต่าง ๆ ที่มีผลกระทบกับการสร้างคุณค่าเพิ่ม ความมั่นคงของธนาคารพาณิชย์และสถาบันการเงินที่เกี่ยวข้องกับการสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วมยุคใหม่ที่ได้ดุลยภาพ โดยพิจารณาจากผลประโยชน์ที่ได้รับตามหลักการ Enterprise Goals / BSc. ที่สัมพันธ์กับกระบวนการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม +++ นั้น ผู้กำกับฯ  คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงานหน่วยงานต่าง ๆ ควรจะคำนึงถึงความเสี่ยงที่ยอมรับได้จากผลกระทบจากการใช้ระบบเทคโนโลยีสารสนเทศที่มีความก้าวหน้าอย่างรวดเร็วในปัจจุบันว่าควรจะกำหนด วิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ ผลลัพธ์ที่คาดหมาย จากการดำเนินการขององค์กรและธุรกิจที่ตนเองดูแลอยู่

บทบาทหน้าที่และความรับผิดชอบได้เปลี่ยนแปลงไปอย่างมากมาย ทั้งในระดับคณะกรรมการ ที่ควรจะให้ความสำคัญต่อการกำกับดูแล สั่งการ ติดตาม ผลการดำเนินงานอย่างต่อเนื่อง นั่นคือการเน้นทางด้าน Governance หรือการสร้าง Value Creation ให้เป็นที่พึงพอใจของ Stakesholders และต้องสร้างดุลยภาพของความสัมพันธ์ระหว่าง Enterprise Goals กับ IT Related Goals อย่างลงตัว ให้ทันกับการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบ และการปฏิบัติตามกฎเกณฑ์อย่างได้มาตรฐานและเหมาะสมอยู่เสมอ ++++

การบริหารแบบบูรณาการในลักษณะของ Integrated GRC และการก้าวไปสู่ Integrated Management ระหว่าง IT Related Goals และ Enterprise Goals จะนำไปสู่การเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ การบริหารและการจัดการที่ต้องเปลี่ยนแปลงความคิดใหม่ให้เข้าใจการบริหารแบบบูรณาการอย่างแท้จริง จากการเชื่อมโยงที่ลึกซึ้งและแยกกันไม่ได้ระหว่าง IT และ Business ซึ่งผมจะค่อย ๆ เล่าสู่กันฟังในตอนต่อ ๆ ไป นะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 3)

ธันวาคม 27, 2013

เมื่อครั้งที่แล้ว (ตอนที่ 2) ผมได้เล่าเรื่อง วิวัฒนาการของ IT Management สู่ -> COBIT4.1 -> GEIT/COBIT5 และ/หรือ GRC  ในลักษณะค่อนข้างก้าวกระโดดไปนะครับ เพราะความตั้งใจของผมในการเล่าสู่กันฟังนี้คือ ให้ผู้อ่านได้ทราบถึงวิวัฒนาการของการนำเทคโนโลยีสารสนเทศมาใช้ในประเทศไทย และแนวทางการกำกับของหน่วยงานกำกับภาครัฐที่เกี่ยวข้องกับ การกำกับและตรวจสอบสถาบันการเงิน ซึ่งนำ IT มาใช้อย่างแพร่หลาย ในช่วงก่อนปี 2513 และธนาคารแห่งประเทศไทย ซึ่งมีหน้าที่กำกับและตรวจสอบความมั่นคงของสถาบันการเงิน เพื่อดูแลผู้มีผลประโยชน์ร่วม ซึ่งหมายถึงผู้ฝากเงิน เจ้าหนี้ คู่ค้า และผู้ที่เกี่ยวข้อง ทั้งภายในและภายนอกสถาบันการเงิน เพื่อพิจารณาว่า ผลกระทบของเทคโนโลยีนั้น มีผลต่อความเสี่ยงทางด้านความน่าเชื่อถือได้ของข้อมูลทางการเงิน การปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ของธนาคารแห่งประเทศไทย และมาตรฐานอื่น ๆ ที่เกี่ยวข้องมากเพียงใด

วังบางขุนพรหม

ผมขอเรียนตามตรงว่า ในระยะแรกที่ ธนาคารกรุงเทพ ซึ่งเป็นธนาคารพาณิชย์แห่งแรกของประเทศไทยที่นำระบบคอมพิวเตอร์เข้ามาใช้ในการประมวลงาน และการบริหารจัดการ ทางด้านการบัญชีและการเงินอย่างแพร่หลายนั้น ผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งทำหน้าที่ตรวจสอบ กำกับ และติดตาม และดูแลความมั่นคงของสถาบันการเงิน และการปฏิบัติตามกฎเกณฑ์ของธนาคารแห่งประเทศไทย +++ นั้น ผู้ตรวจสอบไม่อาจปฏิบัติงานตรวจสอบตามปกติ และต้องกลับมารายงานให้กับ คุณอดุลย์ กิสรวงศ์ ซึ่งเป็นผู้อำนวยการฝ่ายในขณะนั้นว่า รูปแบบหลักฐานต่าง ๆ ของธนาคารกรุงเทพ ซึ่งได้ใช้คอมพิวเตอร์ไปแล้วนั้น เปลี่ยนแปลงไปอย่างมาก ผู้ตรวจสอบไม่สามารถใช้ทรัพยากรที่มีอยู่ในขณะนั้น ทำการปฏิบัติงานตรวจสอบตามปกติได้ ซึ่งในเวลาต่อมา ผู้อำนวยการฝ่ายตรวจสอบในขณะนั้น จึงขออาสาสมัครจากผู้ตรวจสอบว่า มีผู้ใดสนใจจะศึกษาปัญหาการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์เช่นเดียวกับธนาคารกรุงเทพบ้าง เพราะการตรวจสอบทางด้าน IT ในยุคนั้นยังหาหน่วยงาน โดยเฉพาะหน่วยงานกำกับมาทำการตรวจสอบงานทางด้าน IT นั้นยังหาได้ยากมาก

ผมเป็นผู้หนึ่งใน 2 คนที่อาสาไปศึกษาและหาแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ ซึ่งผมจะนำรายละเอียดมาเล่าโดยสังเขป เมื่อมีโอกาสในตอนต่อ ๆ ไป สำหรับวิวัฒนาการของ IT Management และการตรวจสอบ รวมทั้งแนวทางกำกับหน่วยงานที่ใช้คอมพิวเตอร์ ในตอนที่ 3 นี้ ผมจะขอนำเสนอวิวัฒนาการความเป็นมา รวมทั้งการมีการใช้คอมพิวเตอร์ในวงการธนาคารพาณิชย์ควบคู่กับแนวทางการพัฒนาการกำกับและตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ ซึ่งเริ่มต้นตั้งแต่ ปี พ.ศ. 2513 เป็นต้นไป โดยสรุป ถึงปี พ.ศ. 2536 ก่อนที่ผมจะย้ายไปปฏิบัติงานจากรองผู้อำนวยการฝ่าย/ส่วนงานพิเศษ ที่ทำหน้าที่ดูแลและตรวจสอบธนาคารพาณิชย์และสถาบันการเงินด้านคอมพิวเตอร์ ไปเป็นผู้อำนวยการอาวุโส สาขาภาคตะวันออกเฉียงเหนือ ที่ขอนแก่น และในระหว่างที่ผมอยู่ที่ขอนแก่น ซึ่งต้องดูแลสถาบันการเงินและการดำเนินงานของธนาคารพาณิชย์ใน 19 จังหวัดของภาคตะวันออกเฉียงเหนือนั้น ผมได้เขีนนหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา 4 เล่ม ด้วยกันคือ

เล่มที่ 1 การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

เล่มที่ 2 การตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

เล่มที่ 3 คอมพิวเตอร์กับการทุจริต

เล่มที่ 4 แผนการปฏิบัติงานแบบฉุกเฉินและการดำเนินธุรกิจอย่างต่อเนื่อง และแบบฝึกหัดการตรวจสอบด้านคอมพิวเตอร์

หนังสือทั้ง 4 เล่ม ผมได้ขออนุญาตทางธนาคารแห่งประเทศไทย สำนักงานใหญ่ อนุญาตการจัดพิมพ์และเผยแพร่ให้กับธนาคารพาณิชย์และสถาบันการเงินทุกแห่งในภาคตะวันออกเฉียงเหนือ โดยไม่มีการจำหน่ายแต่อย่างใด ในปัจจุบันหนังสือทั้ง 4 เล่มได้แจกจ่ายไปหมดแล้ว คงจะหาอ่านได้ห้องสมุดธนาคารแห่งประเทศไทยทุกแห่ง ตลาดหลักทรัพย์แห่งประเทศไทย และแน่นอนว่าที่ธนาคารพาณิชย์และสถาบันการเงินภาคตะวันออกเฉียงเหนือทั้ง 19 จังหวัด (ถ้ายังมีอยู่ เพราะผมได้แจกจ่ายไป เมื่อ มีนาคม 2539 ซึ่งมีความหนาทั้ง 4 เล่ม ประมาณ 1,300 หน้า)

เอาละครับ ผมคงไม่สามารถที่จะนำเรื่องที่ผมเขียนไว้ทั้ง 4 เล่มมาลงในเว็บไซต์นี้ได้ทั้งหมด แต่มี ศาสตราจารย์ ดร. ยุพา กาญจนดุลย์ จากมหาวิทยาลัยธรรมศาสตร์ได้ขออนุญาตผม ขอนำหนังสือเล่มที่ 2 ไปเผยแพร่ที่ ห้องสมุด BKK Online ใน www.bkkonline.com

สำหรับวันนี้ ลองดูประวัติศาสตร์และวิวัฒนาการของการใช้คอมพิวเตอร์และการกำกับและตรวจสอบด้านคอมพิวเตอร์ของธนาคารแห่งประเทศไทย ซึ่งอธิบายด้วยแผนภาพโดยย่อ เพื่อให้เข้าถึงแก่นสาระตามหัวข้อนี้ได้อย่างรวดเร็วครับ

ภาพนิ่ง1

ภาพนิ่ง2

ก่อนที่จะเริ่มเล่าเรื่องมาตรการการกำกับและตรวจสอบของธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์นั้น เพื่อให้ได้อรรถรสและติดตามเรื่องราวได้ใกล้ชิดยิ่งขึ้น ผมจึงจะขอพูดถึงคำนำ ในหนังสือเล่มที่ 1 ของผม เพื่อให้ท่านผู้อ่านได้ทราบและเข้าใจในสาระของวิวัฒนาการการบริหารและการกำกับ รวมทั้งการตรวจสอบทางด้านเทคโนโลยีสารสนเทศในยุคแรก คือตั้งแต่ ปี พ.ศ. 2513 ดังนี้ครับ

1. การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มนี้และเล่มต่อ ๆ ไป เป็นการรวบรวมจากเอกสารประกอบการ การบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไปของผมในช่วงเวลาตั้งแต่ปี พ.ศ. 2524 – 2536 ให้แก่สถาบันหลายแห่ง เช่น การบรรยายให้นักศึกษาปริญญาโท มหาวิทยาลัยธรรมศาสตร์ AIT (Asian Institue of Technology) กลุ่มธนาคารกลางต่าง ๆ ในประเทศเอเชีย (SEACEN-South East Asian Central Banks) มหาวิทยาลัย ธนาคารพาณิชย์ สถาบันการเงินหลายแห่ง ธนาคารออมสิน สมาคมนักบัญชี และผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย สมาคมธนาคารไทย ชมรมผู้สอบบัญชีภายใน หน่วยงานของรัฐ สมาคมตรวจสอบคอมพิวเตอร์ภาคพื้นกรุงเทพฯ (EDPAA) และสถาบันการฝึกอบรมต่าง ๆ โดยเฉพาะอย่างยิ่งงานบรรยายประจำในช่วงดังกล่าวก็คือ การบรรยายให้ผู้ตรวจสอบของฝ่ายกำกับและตรวจสอบสถาบันการเงิน และฝ่ายกำกับและตรวจสอบธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยในช่วงนั้น

การที่ผมนำเอกสารบรรยายในอดีตหลายครั้งมาจัดทำเป็นรูปเล่มใหม่นี้ การเรียบเรียงและลำดับเรื่องอาจมีข้อมูลบางตอนที่คล้ายกันบ้าง และบางตอนก็อาจนำเรื่องที่เคยกล่าวแล้วไปไว้ในเรื่องที่เกี่ยวข้องอีก เพื่อทำความเข้าใจให้ต่อเนื่องกันไป ทั้งนี้ เพราะผมมีแนวการบรรยายและการดำเนินเรื่องที่แตกต่างกันไปในแต่ละครั้ง ซึ่งขึ้นกับความเหมาะสมของผู้ฟังแต่ละองค์กรเป็นหลัก

2. จากหน้าที่หลักที่ผมทำหน้าที่ผู้ตรวจการธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ มานานปี และได้รับมอบหมายจากธนาคารแห่งประเทศไทย ให้ดูแลและรับผิดชอบทางด้านการพัฒนาและการตรวจสอบด้านคอมพิวเตอร์ของสถาบันการเงินในปี 2524 หลังจากที่กลับจากการศึกษา อบรมดูงาน และฝึกงานด้านนี้ครั้งแรกประมาณ 5 เดือน ที่ประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น และต่อมามีโอกาสไปดูงานที่ประเทศอังกฤษทางด้าน Electronic Banking หลังจากนั้นผมและเพื่อนร่วมงานได้ศึกษางานตรวจสอบด้านคอมพิวเตอร์เพิ่มเติมอีกมาก เพื่อกำหนดและวางแนวทางการตรวจสอบงานด้านคอมพิวเตอร์ต่อสถาบันการเงินในประเทศไทย

3. จากการที่ผมทำงานทางด้านกำกับและตรวจสอบธนาคารพาณิชย์ รวมทั้งได้ทำงานทางด้านกำกับและตรวจสอบสถาบันการเงินในช่วงเวลาอันยาวนาน ตลอดเวลาที่ทำงานที่ธนาคารแห่งประเทศไทย เป็นเวลาเกือบ 30 ปี ติดต่อกัน ทำให้พอจะมองเห็นภาพและปัญหาการดำเนินงานของธนาคารพาณิชย์และสถาบันการเงินทั้งทางด้าน Financial และด้าน Computer ได้พอสมควร จึงได้รับเชิญให้เป็นผู้บรรยายงานทั้ง 2 ด้าน โดยเฉพาะในช่วงหลังที่ธนาคารให้ผมมารับผิดชอบงานด้านการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ด้วย ผมจึงมีโอกาสได้บรรยายในรูปแบบความสัมพันธ์และความเกี่ยวข้องซึ่งกันและกันของงานทางด้าน Financial และ Computer ซึ่งอย่างหลังนี้มักจะเรียกกันในปัจจุบันว่า IT (Information Technologies) หรือ IS (Information Systems) เพราะมีความหมายกว้างขวางและเหมาะสมกว่า Computer หรือ EDP (Electronic Data Processing) มาก ดั้งนั้น ถ้าพบคำว่า IT Audit หรือ IS Audit แล้วละก็ คำ ๆ นี้ก้คือ Computer หรือ EDP Audit นั่นเอง

4. ความหมาของ Computer Audit ในสายงานของผู้กำกับและผู้ดูแลสถาบันการเงินในความหมายกว้างก็คือ การตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ที่มีผลกระทบต่อความมั่นคงและความสามารถในการดำเนินงานอย่างต่อเนื่อง โดยมีประสิทธิภาพในองค์กรที่ใช้คอมพิวเตอร์ และในความหมายแคบก็คือ การตรวจสอบเพื่อประเมินการควบคุมความเสี่ยงต่าง ๆ จากการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ที่มีผลเกี่ยวข้องกับความถูกต้อง ความน่าเชื่อถือได้ของข้อมูลทางการเงินและการควบคุมภายใน เพื่อให้คำแนะนำในแนวทางป้องกันปัญหาล่วงหน้าก่อนที่ปัญหาจริงจะเกิดขึ้น อย่างไรก็ดี ขอบเขตของการตรวจสอบด้านคอมพิวเตอร์จะขึ้นอยู่กับเป้าหมายของการตรวจสอบเป็นสำคัญ

5. ความเสี่ยง (Risks) ทางด้านคอมพิวเตอร์เป็นความเสี่ยงในรูปแบบใหม่เพิ่มเติมจากความเสี่ยงในการดำเนินงานตามปกติ ที่อาจมีผลเสียหายต่อฐานะและความมั่นคงของสถาบันการเงินที่สำคัญคือ

1) การหยุดชะงักการให้บริการ ซึ่งเกิดจาก Hardware Failure, Software Failure หรือปัญหาทางบุคลากรที่ใช้คอมพิวเตอร์อย่างไม่ถูกต้อง ซึ่งเรื่องนี้สถาบันการเงินอาจต้องหยุดการให้บริการ ทั้ง ๆ ที่ไม่มีปัญหาด้านสภาพคล่องได้

2) ความผิดพลาดของข้อมูลทางการเงิน

3) การตัดสินใจที่ผิดพลาดของผู้บริหาร อันเกิดจากความผิดพลาดของข้อมูล

4) ข้อมูลทางการเงินและการบัญชีไม่อาจยอมรับได้

5) การทุจริตหรือความเสียหาย ซึ่งบางกรณีเป็นเงินจำนวนมาก

6) ค่าใช้จ่ายส่วนเกินที่เกิดจากการใช้คอมพิวเตอร์อย่างไม่มีประสิทธิภาพ หรือเกิดจากความล้มเหลวของ Hardware หรือ Software หรือบุคลากร ซึ่งบางกรณีกระทบกับความมั่นคงโดยตรงของสถาบันการเงิน

7) เสียเปรียบทางด้านการแข่งขันและการบริการ ซึ่งมีผลต่อชื่อเสียงของสถาบันและส่วนแบ่งด้านการตลาด

ความเสี่ยงในแต่ละเรื่องข้างต้น เคยมีตัวอย่างที่ก่อให้เกิดความเสียหายในต่างประเทศและในประเทศเองทุกกรณี และบางกรณีเป็นเรื่องร้ายแรงมาก กรณีของในประเทศมักจะเป็นความลับ ไม่ได้รับการเปิดเผยทั่วไป ส่วนใหญ่ความเสี่ยงและความเสียหายบางประเภท เช่น การหยุดชะงักการให้บริการเป็นเวลาเกินกว่า 1 วันทำการ เป็นสิ่งที่ทางการจะยอมให้เกิดขึ้นไม่ได้ การตรวจสอบในลักษณะ After the fact สำหรับ Computer Audit จึงไม่ได้ผล การตรวจสอบที่มีประสิทธิภาพ คือการตรวจสอบในลักษณะ Before the fact และให้คำแนะนำที่มีประสิทธิภาพล่วงหน้าก่อนที่ปัญหาจริง ๆ จะเกิดขึ้นนั่นเอง

การดูแลความมั่นคงของสถาบันการเงินของธนาคารแห่งประเทศไทย จึงต้องดูแลในทุกเรื่องที่เกี่ยวข้องกับเสถียรภาพและประสิทธิภาพในการบริหารงาน เพื่อให้สถาบันการเงินนั้นสามารถดำเนินการได้อย่างต่อเนื่องและมั่นคงตลอดไป

6. จากการบรรยาย เรื่องการตรวจสอบงานด้านคอมพิวเตอร์ ให้ผู้บริหารระดับสูงของธนาคารออมสิน สำนักงานใหญ่ และหน่วยงานต่าง ๆ ของรัฐ ในช่วงท้าย ๆ ก่อนที่ผมจะเดินทางมารับงานในตำแหน่งผู้อำนวยการสาขา ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือจังหวัดขอนแก่น ในปลายปี 2536 ซึ่งผมได้รวบรวมเอกสารเท่าที่รวบรวมได้ในเวลาจำกัดจากการบรรยายที่ผ่านมาให้ผู้เข้ารับฟังการบรรยายนั้น ธนาคารออมสิน สำนักงานใหญ่ได้รวบรวมและเย็บเข้าเล่มจนเป็นที่สนใจของผู้พบเห็นในโอกาสต่อมา และมีการขอร้องให้รวบรวมจัดทำเป็นเล่มขึ้นใหม่ เพื่อเป็นวิทยาทานต่อไปด้วย

7. เมื่อผมได้ทำหน้าที่ผู้อำนวยการธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่จังหวัดขอนแก่น เมื่อวันที่ 1 ตุลาคม 2536 เป็นต้นมา ผมก็ยังคงมีหน้าที่หลักประการหนึ่งที่สาขาภาคฯ เช่นเดียวกับที่กรุงเทพฯ นั่นคือการกำกับดูแลฐานะดำเนินงานและความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้ง 19 จังหวัดอยู่ด้วย ประกอบกับผมมีความเชื่อมั่นว่า การกำกับสถาบันการเงินที่ได้ผลจะต้องมาจากการป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินเหล่านั้น วิธีการหนึ่งที่จะบรรลุเป้าหมายนี้ก็คือ การให้ผู้บริหารสถาบันการเงินต่าง ๆ มีจรรยาบรรณที่ดี มีความรู้ ความสามารถ รู้จักวิเคราะห์และเข้าใจถึงความเสี่ยงและการป้องกันความเสี่ยงในการบริหารงานของสถาบันการเงินนั้น ๆ ผมจึงได้เผยแพร่แจกจ่ายหนังสือเล่มแรก เรื่อง “การจัดระบบควบคุมภายในของสถาบันการเงิน” ให้กับธนาคารพาณิชย์ และสถาบันการเงินทั่วทั้งภาคอีสาน เมื่อปี 2537 – 2538 และหนังสือเล่มนี้ได้ใช้ในการบรรยายเรื่องดังกล่าวในโอกาสต่าง ๆ ด้วย

8. จากการพบปะกับผู้บริหารสถาบันการเงินต่าง ๆ ในภาคอีสานผมได้ปรารภและได้พูดถึงบทบาทของคอมพิวเตอร์ในวงการสถาบันการเงินหลายครั้ง เนื่องจากปรากฎว่า มีสาขาธนาคารพาณิชย์บางแห่ง ในภาคตะวันออกเฉียงเหนือประสบความเสียหายจากการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือด้วย จึงมีผู้สนใจใคร่จะติดตามเรื่องดังกล่าวมากขึ้น ประกอบกับธนาคารพาณิชย์หลายแห่งได้ให้พนักงานศึกษาเรื่องนี้มากขึ้นเรื่อย ๆ ผมจึงเห็นเป็นโอกาสดีที่จะเผยแพร่หนังสือ เรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเป็นการรวบรวมเรื่องที่น่าสนใจด้านคอมพิวเตอร์ในแง่มุมหลายประการจากเอกสารต่าง ๆ ที่ผมเคยแจกจ่ายให้กับผู้เข้าฟังการสัมมนาและการบรรยายของผมในอดีตที่ผ่านมา ในช่วงปี 2524 – 2536 โดยรวบรวมเรื่องใหม่ จัดเรื่องและเนื้อหาในบางส่วนเพิ่มเติมจากที่มีการรวบรวมไว้แล้วใหม่ โดยเฉพาะอย่างยิ่ง เรื่อง การดำเนินงานด้านคอมพิวเตอร์ ซึ่งได้จัดพิมพ์ใหม่และอาจจะใช้เป็นแนวทางในการปฏิบัติงานด้านคอมพิวเตอร์ในสถาบันการเงินและองค์กรต่าง ๆ ได้ตามสมควร นอกจากนั้นผมยังได้ค้นหาเอกสารที่ได้จัดทำไว้จำนวนมากที่ยังกระจัดกระจายตามหีบห่อเก็บสัมภาระของผมก่อนย้ายมาประจำที่จังหวัดขอนแก่น ก็ปรากฏว่ามีเรื่องที่น่าสนใจที่ไม่เคยเผยแพร่หลายเรื่องด้วยกัน หากผมต้องรวบรวมจัดพิมพ์ในครั้งเดียวกัน ก็จะต้องใช้เวลานานมากขึ้น และเอกสารก็จะหนามากเกินไป ผมจึงแยกจัดทำเป็น เล่ม 1 เล่ม 2 และอาจมีถึง เล่ม 3

9. สำหรับเล่ม 1 จะเป็นการบรรยายเน้นหนักในเรื่องที่เกี่ยวข้องกับการดำเนินงานด้านคอมพิวเตอร์ และข้อคิดเห็น รวมทั้งข้อสังเกตในการบริหารงาน รวมทั้งหลักการตรวจสอบในบางเรื่อง เล่ม 2 จะเป็นรายละเอียดและเน้นด้านการควบคุมภายในและการตรวจสอบด้านคอมพิวเตอร์ รวมทั้งการจัดทำแผนฉุกเฉินเป็นหลัก สำหรับเล่ม 3 จะแสดงตัวอย่างของจุดอ่อนทางคอมพิวเตอร์ต่าง ๆ ที่พบในประเทศไทยและต่างประเทศ โดยเฉพาะอย่างยิ่งการกล่าวถึงการทุจริตโดยใช้คอมพิวเตอร์เป็นเครื่องมือและแนวทางการตรวจสอบการทุจริตทางด้านคอมพิวเตอร์ที่น่าสนใจ โดยผมได้ดัดแปลง เรียบเรียงเพิ่มเติมจากหลักการตรวจสอบงานด้านคอมพิวเตอร์ตามปกติ ให้ไปสู่แนวทางการตรวจสอบการทุจริตด้านคอมพิวเตอร์หรือโดยใช้คอมพิวเตอร์ รวมทั้งตัวอย่างการตรวจสอบการทุจริตด้านคอมพิวเตอร์ และความร่วมมือระหว่างผู้ตรวจสอบด้านการเงินกับผู้ตรวจสอบคอมพิวเตอร์ เมื่อมีการทุจริตเกิดขึ้น

10. เอกสารประกอบการบรรยายของผมในหนังสือเล่มนี้ รวมทั้งอีก 2 เล่มที่จะพิมพ์ขึ้นนั้น มีหลายบทที่ใช้คำว่าธนาคารมากกว่าคำว่าสถาบันการเงิน ทั้งนี้เพราะผมได้บรรยายให้กับบุคคลในวงการธนาคารพาณิชย์และธนาคารอื่น ๆ มากกว่าสถาบันการเงินโดยทั่วไป อย่างไรก็ดี ความหมายคำว่าธนาคารนี้ก็ใช้ได้กับสถาบันการเงินโดยทั่วไป และอาจประยุกต์ใช้กับองค์กรอื่น ๆ ที่ใช้คอมพิวเตอร์ในการประมวลข้อมูลได้ด้วย อย่างไรก็ดี ผมได้แก้ไขถ้อยคำส่วนใหญ่ที่ใช้คำว่า ธนาคารเป็นสถาบันการเงินแล้ว แต่ผมไม่ได้แก้ไขรายการตัวอย่างที่ระบุวันที่ไว้ ทั้งนี้ เพื่อที่จะให้ท่านผู้อ่านได้ทราบว่าเป็นการบรรยายในอดีตที่ผ่านมา

11. เนื่องจากผมไม่มีเวลาแก้ไขเพิ่มเติมข้อมูลจากการบรรยายเรื่องต่าง ๆ ของเอกสารเล่มนี้ ซึ่งส่วนใหญ่เป็นการบรรยายในอดีตตามที่กล่าวถึงข้างต้นแล้ว จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อความมากกว่าร้อยละ 95 ยังคงใช้ได้ดีอยู่จนถึงปัจจุบัน

12. เอกสารเล่มนี้และเล่มต่อ ๆ ไป ได้จัดทำขึ้นโดยมีวัตถุประสงค์เพื่อแจกจ่ายและเผยแพร่ให้กับพนักงาน ในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทยและสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ เพื่อเป็นส่วนหนึ่งของการทำความเข้าใจในการบริหารงานและการดำเนินงานด้านคอมพิวเตอร์ รวมทั้งเรื่องการตรวจสอบ ซึ่งนับวันจะมีบทบาทมากขึ้นในแทบจะทุกธุรกรรมของทุกองค์กร โดยเฉพาะอย่างยิ่งในสถาบันการเงิน และเป็นส่วนหนึ่งของการป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินในลักษณะที่เรียกว่า Point to the problem before it points to us. นอกจากนี้จะได้เผยแพร่ในวงการศึกษา ซึ่งการเรียนการสอนการดำเนินงานด้านคอมพิวเตอร์และการตรวจสอบในปัจจุบัน ยังอยู่ในวงจำกัดค่อนข้างมาก ทั้ง ๆ ที่คอมพิวเตอร์ได้รับการยอมรับและมีใช้กันโดยทั่วไปในองค์กรต่าง ๆ แล้ว

13. เอกสารทั้ง 3 เล่ม ไม่มีจำหน่าย แต่มีไว้เพื่อแจกจ่ายตามวัตถุประสงค์ที่กล่าวในข้อ 12. ข้างต้น การเผยแพร่ข้อมูลจากหนังสือเล่มนี้ต่อไปในรูปอื่นใด ควรจะได้อ้างอิงที่มาของข้อมูลด้วย หนังสือเล่มนี้ไม่ได้กล่าวหรืออธิบายถึงการทำงานของระบบคอมพิวเตอร์โดยทั่วไป ทั้งนี้ผมได้ตั้งแนวทางไว้ว่าผู้อ่านได้ทราบเรื่องดังกล่าวพอสมควรแล้ว

14. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะในรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ที่มีส่วนทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน และขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสาร การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ และขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงินธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้ด้วย

เมธา  สุวรรณสาร

ผู้อำนวยการ

ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ

25 มีนาคม 2539

ตอนนี้มาถึงมาตรการของ ธปท. ในเบื้องต้นในช่วงที่ผมทำหน้าที่ดูแลด้านการกำกับและตรวจสอบทางด้าน IT ยุคนั้นเรียกว่า EDP – Electronic Data Processing เพื่อตามให้ทันกับความก้าวหน้าของการนำ EDP มาใช้ในยุคแรกของประเทศไทย

มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ

เรื่องที่เกี่ยวข้องกับฐานะความมั่นคงและการควบคุม

ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่กำหนดขึ้นก็เพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงินให้มีความถูกต้องและน่าเชื่อถือได้เป็นสำคัญ ทั้งนี้อาจสรุปได้ดังนี้

ภาพนิ่ง1

ภาพนิ่ง2

ภาพนิ่ง3

มาตรการดังกล่าวข้างต้น ถึงแม้จะใช้มาเป็นเวลานานมากแล้ว แต่ทุกอย่างก็ยังใช้อยู่ แต่มีการปรับปรุงให้เหมาะสมกับสภาพแวดล้อมทางด้านเทคโนโลยีสารสนเทศยุคใหม่ ที่มีความเสี่ยงต่าง ๆ มากขึ้น ซึ่งผมจะได้ค่อย ๆ ทยอยเล่าถึงวิวัฒนาการการพัฒนาการกำกับและตรวจสอบทางด้านเทคโนโลยีสารสนเทศ จนในที่สุดจะก้าวไปถึงยุค GEIT / GRC ในปัจจุบันครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »