สภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ

มีนาคม 25, 2009

…Environmental Control & it Impacts to Audit…
ผมได้เล่าสู่กันฟังเกี่ยวกับการตรวจสอบและผลกระทบของคอมพิวเตอร์ต่อกระบวนการตรวจสอบโดยรวม ไม่ว่าจะเป็นการตรวจสอบในรูปแบบใด ผลกระทบของเทคโนโลยีสารสนเทศจะมีผลสำคัญอย่างยิ่งต่อการวางแผนการตรวจสอบทุกประเภท ไม่ว่าจะเป็นการตรวจสอบด้าน IT Audit หรือเป็นการตรวจสอบโดยทั่ว ๆ ไป

ดังนั้น ในช่วงแรก ๆ นี้ IT Audit และการตรวจสอบด้านทั่วไปยังเป็นอยู่บนพื้นฐานที่ให้แง่คิดและแนวปฏิบัติที่เป็นแบบเดียวกันอยู่ แต่ในระยะต่อ ๆ ไป ผมจะแยกการตรวจสอบทั้ง 2 ประเภทนี้ และความสัมพันธ์ของการตรวจสอบดังกล่าวให้ท่านผู้ที่สนใจได้ทราบมุมมองและผลกระทบที่ไม่อาจหลีกเลี่ยงได้จากความรู้ความเข้าใจในเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องกับกระบวนการบริหารและกระบวนการตรวจสอบโดยรวม

วันนี้ ผมจึงจะพูดถึงสภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ โดยจะอธิบายด้วยแผนภาพและคำอธิบายสั้น ๆ ที่เกี่ยวข้อง เพื่อสะท้อนถึงแง่คิดก่อนที่จะก้าวไปสู่กระบวนการตรวจสอบ ซึ่งต้องเริ่มจากการวางแผนการตรวจสอบเป็นเบื้องต้นต่อไป

ก่อนอื่น ผู้ตรวจสอบควรเข้าใจในเบื้องต้นว่า งานหลัก ๆ ขององค์กรที่มีระดับความเสี่ยงสูง ๆ และมีผลกระทบต่อเป้าประสงค์ และโครงการต่าง ๆ ระดับองค์กรคืองานอะไร? ทั้งนี้ ควรจะพิจารณาในมุมมองของการบริหารความเสี่ยงตามหลักการ COSO-ERM

แผนภาพต่อไปนี้จะแสดงให้เห็นได้ง่าย ๆ ว่า เราจะระบุว่างานใดมีความสำคัญต่อการตรวจสอบนั้น ควรจะได้เห็นภาพโดยรวมและความสัมพันธ์ของงานที่เกี่ยวข้องเป็นพื้นฐานเบื้องต้น ซึ่งผมขอนำแผนภาพขององค์กรที่เกี่ยวข้องกับการประกันมาเพื่อพิจารณา

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

หลังจากที่ท่านได้ดูภาพหน่วยงานหลัก ๆ ภายในองค์กรไปแล้ว กระบวนการตรวจสอบต่อไปในภาพรวม ๆ ที่คุยกันเบื้องต้นในวันนี้ก็คือ IT Risk มีผลกระทบต่อกระบวนการบริหารและกระบวนการตรวจสอบอย่างไร? และจะเกี่ยวข้องกับการวางแผนการตรวจสอบ IT Audit และ General Audit หรือการตรวจสอบโดยทั่ว ๆ ไปอย่างไร? นั้น

ขอให้ท่านดูแผนภาพต่อไปและท่านจะได้เข้าใจว่า การประสานงานระหว่างการตรวจสอบด้าน IT กับการตรวจสอบด้านทั่วไปและการวางแผนการตรวจสอบ ซึ่งรวมถึงการประเมินการควบคุมภายในของกิจกรรมหลัก ๆ ตาม Business Process ต่าง ๆ นั้น ควรจะพิจารณาหรือคำนึงถึงอะไรบ้าง

IT Risk & it impacts to Audit assurance for Mgmt.

IT Risk & it impacts to Audit assurance for Mgmt.

ผมยังไม่อธิบายผลกระทบในรายละเอียดในช่วงเวลานี้ แต่จะนำมาเล่าสู่กันฟังในโอกาสต่อไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

มุมมองของการวางแผนการตรวจสอบ

มีนาคม 17, 2009

การตรวจสอบองค์กรยุคใหม่ ไม่ว่าเป็นการตรวจสอบประเภทใด ทางด้าน IT และ Non-IT โดยเฉพาะอย่างยิ่งทางด้าน IT ก็อาจจะแบ่งประเภทตรวจสอบได้อีกหลายลักษณะตามความต้องการของผู้บริหารนั้น ผู้ตรวจสอบควรจะได้เข้าใจภาพโดยรวมของการวางแผนการตรวจสอบ ซึ่งในเบื้องต้นจะมีกรอบหลัก ๆ ที่ไม่แตกต่างกันมากนัก แต่เมื่อลงในรายละเอียด โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบทางด้าน IT Audit และการปฏิบัติการตรวจสอบ โดยเฉพาะการรวบรวมหลักฐานการตรวจสอบ (Audit Evidence) จะแตกต่างกันอย่างมาก

ผู้บริหารและผู้ตรวจสอบ ควรติดตามแนวคิดและกระบวนการตรวจสอบให้ทันและเข้ากับกระบวนการบริหารความเสี่ยงที่หลอมรวมความเสี่ยงต่าง ๆ ทั้งทางด้าน IT และ Non-IT อย่างแยกกันไม่ได้นั้น ผู้ตรวจสอบจำเป็นต้องเข้าใจในองค์รวมขององค์กร โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กร และเรื่องอื่น ๆ ที่เกี่ยวข้องกับสภาพแวดล้อมขององค์กร ตามที่กล่าวในปัจจัยแรกขององค์ประกอบของ COSO v.2

นโยบายของคณะกรรมการ หรือถ้าหากเป็นสถาบันการศึกษา ก็ได้แก่ นโยบายของสภามหาวิทยาลัย วิสัยทัศน์ พันธกิจ กลยุทธ์ แผนงาน/โครงการต่าง ๆ ของมหาวิทยาลัยที่ต้องสัมพันธ์กันกับหน่วยงานกำกับที่เกี่ยวข้องหลายแห่ง ซึ่งแต่ละหน่วยงานกำกับก็มีความต้องการที่แตกต่างกัน ทั้ง ๆ ที่ในเนื้อหาหลัก ๆ ของกรอบการกำกับไม่แตกต่างกันมากนัก

ดังนั้น ผมจึงขึ้นรูปแผนการตรวจสอบโดยทั่วไป ซึ่งในที่นี้จะเน้นการตรวจสอบตามฐานความเสี่ยงเป็นหลัก โดยแสดงเป็นแผนภาพได้ดังนี้

Internal Auditing Standards & Practices

Internal Auditing Standards & Practices

วันนี้ ผมจะเริ่มต้นเพียงเท่านี้ก่อนนะครับ แล้วในโอกาสต่อไปผมจะค่อยมาขยายความ โดยเฉพาะอย่างยิ่งจะมากล่าวในมุมมองของการเล่าสู่กันฟังในเรื่องการตรวจสอบที่คิดว่าน่าสนใจและเข้าใจได้ง่าย ๆ กว่าการอ่านตำรา และต่อไปจะได้แยกแยะความแตกต่างของการตรวจสอบด้าน IT Audit กับการตรวจสอบทางด้านทั่วไปในองค์กรที่ใช้คอมพิวเตอร์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

รายการถัดไป »