ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 กับ Regulators และ Operators ทางด้าน IT Audit และทั่วไป

คุยกับผู้เขียนในตอนที่แล้ว ผมได้เล่าถึงแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ซึ่งได้ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 มิถุนายน 2553 เล่มที่ 127 ตอนพิเศษ 78 ง หน้า 131 – 138 ไปแล้วนั้น ก็เพื่อให้ท่านผู้อ่านทราบว่า หน่วยงานกำกับภาครัฐที่ดูแลรับผิดชอบเกี่ยวกับ ความน่าเชื่อถือได้ของข้อมูล และรายงานทางการเงิน และรายงานที่มิใช่การเงิน ที่ข้อมูลและสารสนเทศถูกประมวลผลด้วยระบบคอมพิวเตอร์ หรือระบบเทคโนโลยีสารสนเทศนั้น ความน่าเชื่อถือได้ของข้อมูล เป็นเรื่องจำเป็นอย่างยิ่งยวดที่ผู้มีผลประโยชน์ร่วมทุกฝ่าย ทั้งในและระหว่างประเทศ ให้ความสนใจในระดับสูงมาก

หากข้อมูลและสารสนเทศไม่น่าเชื่อถือ ความไว้วางใจของ Stakeholders ก็จะไม่มีหรือมีน้อยมาก ทำให้มีปัญหาในเรื่องเกี่ยวกับศักยภาพการแข่งขัน และการสร้าง Value Creation และ Business Objective ขององค์กรต่าง ๆ รวมทั้งความไว้วางใจต่อระดับชาติ ที่จะมีผลกระทบต่อการค้า การเงิน และการลงทุนตามมาด้วยอีกมาก

การบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Process และ Business Objective ในมุมมองต่าง ๆ ตามหลักการของ Balanced Scorecard และตามวัตถุประสงค์ของการควบคุมหลักของ COSO – ERM คือ Strategic Risk – S, Operational Risk – O, Reporting/Finanacial Risk – F, Compliance Risk – C นั้น จำเป็นจะต้องมีการประเมิน และควบคุมความเสี่ยง รวมทั้งการตรวจสอบตามฐานความเสี่ยง และการจัดการโดยผู้บริหาร ทางด้าน IT Control และ IT Audit อย่างหลีกเลี่ยงไม่ได้ ตามที่ปรากฎในมาตรฐานของประเทศต่าง ๆ ทั่วโลก

ผมจึงนำระเบียบคณะกรรมการตรวจเงินแผนดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ที่มีผลบังคับใช้แล้วตั้งแต่ วันที่ 24 มีนาคม 2546 ตามประกาศในราชกิจจานุเบกษา ฉบับกฤษฎีกา เล่ม 120 ตอนที่ 25 ก ซึ่งได้กล่าวถึงแนวทางปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ขอบเขตการตรวจสอบภายใน โดยเฉพาะอย่างยิ่งแนวทางปฏิบัติที่ 6 หน้า 10 ที่ได้กล่าวในเรื่อง IT Audit ว่า

“หน่วยรับตรวจที่ใช้เทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการปฏิบัติงานหรือบริหารงาน ควรจัดให้มีผู้ตรวจสอบภายในซึ่งมีความรู้ ความสามารถอย่างเพียงพอที่จะตรวจสอบระบบเทคโนโลยีสารสนเทศ เพื่อให้สามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลได้อย่างเหมาะสมและเกิดประโยชน์”

ในกรณีระเบียบว่าด้วยการตรวจสอบภายในตาม (1) และ (2) มิได้กำหนดให้ปฏิบัติงานตามมาตรฐานการตรวจสอบใด ให้ปฏิบัติตามมาตรฐานการปฏิบัติงานวิชาชีพการตรวจสอบภายในที่เผยแพร่โดยสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือ Standards for the Professional Practice of Internal Auditing ที่กำหนดโดย The Institute of Internal Auditors (IIA) ฉบับล่าสุด

ท่านผู้อ่านสามารถคลิ๊กดูรายละเอียดของระเบียบคณะกรรมการตรวจเงินแผ่นดินฯ ได้ที่นี่เลยครับ รวมเล่ม ระเบียบตรวจเงินแผ่นดิน

สำหรับผมเอง มีความเห็นส่วนตัวเพิ่มเติมจากแนวทางปฏิบัติต่าง ๆ ที่ปรากฎในระเบียบของ คตง. ว่า ถ้ามาตรฐานการตรวจสอบทางด้าน IT ยังไม่ปรากฎชัดเจนตามที่ระเบียบของ คตง. ได้กล่าวไว้ตามวรรคต้น ก็น่าจะใช้ Best Practice หรือ IT Audit Guideline ของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (IIAT – สตท.) หรือ IIA – The Institute of Internal Auditors (IIA) สากล นำมาใช้ได้สำหรับการตรวจสอบ IT Audit ซึ่งในปัจจุบันก็มีเผยแพร่ให้ท่านผู้อ่านได้ติดตามจากเว็บไซต์ที่เกี่ยวข้องได้อยู่แล้วครับ

ส่วนรายละเอียดเกี่ยวกับแนวการปฏิบัติและการตรวจสอบทางด้าน IT Audit ซึ่งเป็นเรื่องที่เกี่ยวข้องกับการควบคุมความเสี่ยง และการบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk นั้น ก็เช่นเดียวกันครับที่ท่านสามารถจะติดตามได้จากเว็บไซต์ที่เกี่ยวข้อง ซึ่งผมจะนำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

 

Leave a Reply