Archive for พฤษภาคม, 2010

แนวคิดและความเข้าใจเกี่ยวกับ GRC ในมุมมองต่างๆ

พฤษภาคม 28th, 2010

ครั้งก่อน ๆ ผมได้พูดถึงบางมุมมองของการก้าวไปสู่ CG หรือการกำกับดูแลกิจการที่ดีที่อธิบายโดยแผนภาพ เพื่อให้เห็นองค์ประกอบที่เกี่ยวข้องในการก้าวสู่การเติบโตอย่างยั่งยืน (Sustainable Growth) มาหลายครั้งแล้ว แต่ก็ยังไม่จบนะครับ เกรงว่าท่านผู้อ่านจะเบื่อในแนวทางการนำเสนอโดยใช้แผนภาพ ซึ่งความจริงเป็นเรื่องสำคัญอย่างยิ่งในหลักการบริหาร CG ที่มีผู้บริหารหลายท่านยังมีมุมมองที่แตกต่างกันไป ก่อนที่จะก้าวไปสู่การบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM + การควบคุมภายในและการตรวจสอบภายใน และการติดตามผล

วันนี้ผมจะหักมุมในแนวการเสนอจากกรอบของ CG ที่เป็นแผนภาพมาสู่การอธิบาย GRC ที่เกี่ยวข้องกับ CG และ ITG ก่อนจะกลับไปสู่เรื่องของ CG ในลักษณะของแผนภาพต่อไป เนื่องจาก GRC ในปัจจุบันมีผู้สนใจเป็นจำนวนมาก และมีหลายท่านให้ข้อสังเกตว่า ยังเข้าใจในเรื่องความหมายของ GRC ที่แตกต่างกัน ซึ่งนำไปสู่การปฏิบัติที่เป็นรูปธรรมไม่ได้ง่ายนัก ผมจึงขออธิบาย GRC เพิ่มเติม จากที่เคยอธิบายสั้น ๆ มาแล้ว ดังนี้

GRC มีความหมายในแต่ละคำที่เกิดจาก G + R + C ที่ส่วนใหญ่เราเข้าใจตรงกันแล้วนะครับ แต่ความหมายโดยรวม ซึ่งนำทั้ง 3 คำมารวมกัน มีนัยและความหมาย แนวความคิด แนวการปฏิบัติ แนวการควบคุม และแนวการตรวจสอบ รวมทั้งการติดตามผลที่แตกต่างกันเป็นอย่างมาก ก่อนที่จะอธิบายในรายละเอียดของ GRC ในความหมายใหม่ตามที่กล่าวข้างต้น ซึ่งจะมีนัยทาง Integreted GRC มากกว่า G + R + C ที่มีลักษณะและแนวความคิดแบบ SILO หรือแยกความคิด ความเข้าใจ และการปฏิบัติออกเป็นส่วน ๆ ตาม G + R + C ดังเดิม โดย:

GRC เป็น
– ทิศทางใหม่สำหรับผู้บริหารระดับสูงทุกคน มิใช่ CIO หรือผู้บริหารระบบสารสนเทศ
– C-Levels ทุกคนจำเป็นต้องร่วมแรงร่วมใจในการผลักดันแนวความคิด GRC ให้เป็นผลการปฏิบัติงานจริง
– Leadership/ผู้นำ ที่มี Competencies ที่แท้จริง เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ
– องค์กรต้องมี นโยบาย + กลยุทธ์ รวมทั้งแผนงานในการใช้หรือบริหารทรัพยาการ ตามแนวคิด GRC
– Standard & Best Practice & เทคโนโลยีจำเป็นต้องนำมาใช้เพื่อให้เกิด Integrated – Driven Pefermance
– การหลอมรวมการบริหารในมุมมองของ GRC ทั้ง G + R + C ต้องเกิด Intergrated G + R + C ทั้งธุรกิจ (Holistic Framework) จะสามารถสร้าง
คุณค่าเพิ่ม และยกระดับการแข่งขันให้กับองค์กร + ระดับชาติได้อย่างสำคัญ

ยังมีตอนต่อไปเกี่ยวข้องกับเรื่องความเข้าใจในมุมมองต่าง ๆ ของ GRC, Integrated GRC วัตถุประสงค์และประโยชน์ของ GRC ซึ่งจะได้กล่าวในตอนต่อ ๆ ไปนะครับ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง
Tags: ,
9 Comments

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

พฤษภาคม 24th, 2010

วันนี้เราจะมาพูดคุยกันต่อในเรื่องของขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อ ๆ ซึ่งครั้งที่แล้วผมได้กล่าวถึงหลักการสอบทานของการควบคุมภายในที่มีความสำคัญและจำเป็นต่อกระบวนการตรวจสอบ IT ที่ผู้ตรวจสอบ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุม และที่ผมจะพูดถึงในวันนี้จะเป็นเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ซึ่งจะแบ่งออกได้เป็น 2 ลักษณะ คือ การควบคุมภายในทั่วไป (General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งมีความสัมพันธ์กับองค์ประกอบที่สำคัญในการประมวลผลข้อมูล คือการดำเนินงานของศูนย์คอมพิวเตอร์ การพัฒนาระบบงาน และระบบงานและโปรแกรมที่ใช้เฉพาะงาน ดังรูป

1. การควบคุมภายในทั่วไป (General Controls)
การควบคุมภายในทั่วไป เป็นการควบคุมที่อาศัยนโยบาย และระเบียบปฏิบัติงาน เป็นหลักในการควบคุมกิจกรรมของหน่วยงานคอมพิวเตอร์

1.1. การควบคุมการดำเนินงานของศูนย์คอมพิวเตอร์
การควบคุมศูนย์คอมพิวเตอร์ เป็นการควบคุมเกี่ยวกับเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์และพนักงานด้านปฏิบัติการของศูนย์คอมพิวเตอร์ มีขอบเขตดังนี้

1) การจัดตารางปฏิบัติงาน การควบคุมข้อมูลนำเข้า และการควบคุมข้อมูลที่ได้จากการประมวลผล ได้แก่ การจัดตารางกำหนดเวลาปฏิบัติงาน การควบคุมการปฏิบัติงานข้อมูลที่นำเข้าประมวลผลและการควบคุมการใช้ข้อมูล เพื่อให้การจัดทำข้อมูลขั้นตอนต่อเนื่องแล้วเสร็จทันเวลา มีความถูกต้องครบถ้วนทุกรายการ และป้องกันข้อมูลที่เป็นความลับรั่วไหลไปสู่ภายนอก

2) การควบคุมการจัดเก็บแฟ้มข้อมูลและโปรแกรม เช่น เทป และจานแม่เหล็ก เป็นต้น ให้ปลอดภัยและเพียงพอในการประมวลผล

3) การรายงานเหตุขัดข้องและการซ่อมบำรุงเพื่อป้องกันความเสียหาย จะช่วยให้ทราบถึงสภาพของเครื่องจักรและโปรแกรมจัดระบบการทำงานของเครื่องคอมพิวเตอร์ และการดำเนินการให้เครื่องจักรและโปรแกรมดังกล่าวอยู่ในสภาพสมบูรณ์ สามารถตรวจสอบข้อผิดพลาดหรือบกพร่องในระบบด้วยตนเอง ซึ่งอาจตรวจไม่พบ หากมีส่วนประกอบชำรุดเสียหายซุกซ่อนอยู่ ไม่ปรากฏอาการที่เห็นได้ชัดเจน

4) การควบคุมสภาพแวดล้อมและการรักษาความปลอดภัยทรัพย์สินของศูนย์คอมพิวเตอร์ ได้แก่ การควบคุมการใช้ทรัพย์สิน การป้องกันทรัพย์สินเสียหายและการจัดเตรียมระบบสำรอง ไว้ให้ทดแทน

5) การแบ่งแยกหน้าที่ ได้แก่ การแบ่งแยกหน้าที่ในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลเพื่อให้การปฏิบัติงานไม่ซ้ำซ้อนกัน และป้องกันความเสียหายที่อาจเกิดขึ้นจากการใช้เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ และแฟ้มข้อมูลเนื่องจากมีการปฏิบัติไม่ชอบ

6) การกำกับ ได้แก่ การควบคุมดูแลให้มีการปฏิบัติตามระเบียบหรือหน้าที่อย่างเคร่งครัด หากมีการปฏิบัติที่ผิดแตกต่างจากระเบียบแผนที่เคยถือปฏิบัติ จะต้องมีเอกสารหลักฐานรายงานให้ทราบทุกครั้ง

7) การวางแผนทรัพยากร เป็นการวางแผนและประเมินสถานะของทรัพยากรในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลทั้งปัจจุบันและอนาคต เพื่อให้มีทรัพยากรเพียงพอต่อการดำเนินงาน ทรัพยากรเหล่านี้ได้แก่ เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ โปรแกรมและบุคลากร

8) การคำนวณค่าบริการคอมพิวเตอร์จากผู้ใช้ข้อมูล เป็นการคำนวณเพื่อประโยชน์ในการควบคุมทางการบริหาร นอกจากนี้ กรณีกิจการไม่มีคอมพิวเตอร์เป็นของตนเอง ควรคำนึงถึงการจัดทำสัญญาใช้บริการและระเบียบปฏิบัติที่ใช้ควบคุมการชำระค่าบริการด้วย

9) การตระเตรียมวิธีการปรับปรุงแก้ไขระบบคอมพิวเตอร์ที่ได้รับความเสียหายให้ปฏิบัติงานได้ตามปกติ วิธีการที่นำมาใช้ต้องสามารถแก้ไขสถานการณ์ที่เลวร้ายได้รวดเร็ว และป้องกันธุรกิจหยุดชะงักได้แน่นอน

1.2. การควบคุมการพัฒนาระบบงาน
การควบคุมภายในเฉพาะงานที่สร้างไว้ภายในระบบงานคอมพิวเตอร์จะรัดกุมและเหมาะสมเพียงใด ขึ้นอยู่กับความรู้ความชำนาญหรือประสบการณ์ของการออกแบบระบบงานเป็นสำคัญ ในปัจจุบันการถ่ายทอดวิทยาการเกี่ยวกับการควบคุมเฉพาะงานค่อนข้างเชื่องช้า มีค่าใช้จ่ายสูง ต้องอาศัยความร่วมมือจากผู้ที่เกี่ยวข้องหลายฝ่าย และไม่สามารถนำวิธีการควบคุมภายในที่ใช้กับระบบงานใดระบบงานหนึ่งไปใช้กับระบบงานอื่นได้ จึงจำเป็นต้องอาศัยการควบคุมการพัฒนาระบบงานช่วยแก้ปัญหาที่กล่าวข้างต้น เพื่อ
– ควบคุมค่าใช้จ่ายและรายะเวลาที่ใช้ในการพัฒนาระบบงาน
– ช่วยให้แน่ใจว่าการควบคุมภายในเฉพาะงานที่สร้างไว้ในระบบ มีความรัดกุมและเหมาะสม
– ช่วยให้แน่ใจว่ามีการทดสอบการควบคุมภายในเฉพาะงาน ด้วยวิธีการที่เหมาะสมก่อนนำไปใช้ข้างหน้า

การควบคุมการพัฒนาระบบงานมีขอบเขตดังนี้
1) System Development Life Cycle (SDLC) ได้แก่ การแบ่งงานพัฒนาระบบออกเป็นขั้นตอนต่าง ๆ หลายขั้นตอน เพื่อความสะดวกในการกำหนดจุดที่จะจัดการควบคุม ซึ่งนอกจากจะช่วยให้ฝ่ายบริหารมีเครื่องมือในการควบคุมค่าใช้จ่ายและระยะเวลาในการพัฒนาระบบงานแล้ว ยังช่วยทำให้เกิดช่องทางในการติดต่อประสานงานกับผู้ใช้ข้อมูล ผู้ตรวจสอบ พนักงานวางแผนจัดหาเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์มาใช้งานพนักงานที่รับผิดชอบในการพัฒนาระบบและพนักงานชั้นบริหาร

2) การบริหารโครงการ ได้แก่ การใช้เทคนิคในการวัดความก้าวหน้าของโครงการในแต่ละขั้นตอน เป็นหลักในการควบคุมเพื่อ
– ให้ทราบว่าผู้ใช้ข้อมูลให้ความเห็นชอบผลงานที่อยู่ในระหว่างการพัฒนาถึงขั้นตอนใดแล้ว
– เปรียบเทียบค่าใช้จ่ายที่เกิดขึ้นจริงกับค่าใช้จ่ายตามงบประมาณ และเปรียบเทียบระยะเวลาที่ปฏิบัติงานจริง กับระยะเวลาที่กำหนดไว้ล่วงหน้า
– เสนอรายงานสถานะของโครงการให้ผู้บริหารระดับสูงได้ทราบทุกระยะ

3) การกำหนดมาตรฐานหรือระเบียบปฏิบัติในการเขียนโปรแกรม เพื่อเป็นแนวทางปฏิบัติงานของผู้เขียนโปรแกรม ปัจจุบันนิยมใช้เทคนิคการเขียนโปรแกรมโครงสร้าง ช่วยลดความซ้ำซ้อนของงานเขียนโปรแกรม และเพื่อให้ผู้อื่นที่จะมาใช้โปรแกรมในภายหลังหรือผู้ที่จะมาปฏิบัติงานแทนผู้เขียนโปรแกรม ตั้งแต่เริ่มแรกสามารถทำความเข้าใจ และทำงานต่อไปได้

4) การทดสอบเพื่อตรวจรับระบบงาน คือ การทดสอบระบบงานและโปรแกรมก่อนนำไปใช้งานจริง เพื่อให้แน่ใจว่าระบบงานและโปรแกรมสามารถทำงานได้ตามประสงค์ของผู้ใช้ข้อมูลและสอดคล้องกับระเบียบปฏิบัติในการประมวลข้อมูลของศูนย์คอมพิวเตอร์

5) การควบคุมการแก้ไขโปรแกรม ได้แก่ การกำหนดระเบียบปฏิบัติในการปรับปรุงแก้ไข Application Program และ Operating Systems โดยจัดให้มีเอกสารหลักฐานและการขอความเห็นชอบในการแก้ไขโปรแกรม เพื่อป้องกันการปฏิบัติไม่ชอบ

6) การจัดทำเอกสารสนับสนุนการปฏิบัติงาน ซึ่งได้แก่ เอกสารที่อธิบายลักษณะการทำงานของระบบงานโดยละเอียด เพื่อให้ผู้อื่นที่ไม่ได้มีส่วนเกี่ยวข้องกับการพัฒนาระบบงาน เช่น ผู้ใช้ข้อมูล ผู้ตรวจสอบและพนักงานปฏิบัติการประมวลผล เป็นต้น สามารถทำความเข้าใจและประเมินผลได้

7) การบริหารงานฐานข้อมูล กรณีที่มีการนำระบบฐานข้อมูลมาใช้เพื่อให้ระบบต่าง ๆ สามารถใช้ข้อมูลร่วมกันและช่วยลดความซ้ำซ้อนในการจัดเก็บข้อมูลจะมีผลกระทบต่อการจัดองค์กรของศูนย์คอมพิวเตอร์ และการพัฒนาระบบงาน ซึ่งจำเป็นต้องปรับปรุงการควบคุมให้เหมาะสมด้วย

เรื่องที่นำเสนอไปในข้างต้นนี้นั้น เป็นส่วนของการควบคุมภายในทั่วไป (General Controls) ที่กล่าวโดยย่อ ๆ ในภาพกว้าง ๆ เท่านั้น ส่วนในรายละเอียดไว้ผมจะนำเสนอในโอกาสต่อ ๆ ไปครับ ในครั้งหน้าผมจะพูดถึงการควบคุมภายใน ในอีกลักษณะหนึ่งที่เรียกว่าเป็นการควบคุมภายในเฉพาะงาน หรือ Application Controls โปรดติดตามกันต่อไปนะครับ

 

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , , , , ,
8 Comments

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

พฤษภาคม 21st, 2010

สำหรับเรื่องการวางแผนงาน/โครงการ ในวันนี้ผมจะขอกล่าวถึงสาเหตุที่เป็นความเสี่ยง หรือเหตุของความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กร อาจไม่ประสบความสำเร็จ รวมทั้งข้อควรระวังในการวางแผนที่อาจเกิดจากความไม่แน่นอนขององค์กร ตามที่ได้กล่าวไว้ในครั้งที่แล้ว ไปติดตามกันเลยครับ

สาเหตุที่เป็นความเสี่ยง ความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กรทั่วไป อาจไม่ประสบความสำเร็จมีหลายประการ แต่ที่ผมจะได้กล่าวถึงก็เป็นสาเหตุบางประการเท่านั้น
1. เป้าหมายของแผนงานและ/หรือโครงการไม่ชัดเจนและสอดคล้องกับเป้าประสงค์ พันธกิจที่กำหนดไว้ตามหลักการบริหารความเสี่ยง ซึ่งแผนงานต้องชี้เป้าหมายตามหลัก SMART (โปรดดูคำอธิบายการบริหารความเสี่ยงโดยย่อ)
2. แผนงานมีขอบเขตกว้างขวาง แต่กำหนดเวลาไม่เหมาะสม
3. การประมาณด้านการเงินและทรัพยากรที่เกี่ยวข้องไม่เหมาะสม
4. การทำแผนงานมาจากพื้นฐานของข้อมูลที่ไม่เพียงพอ และมักขาดการวิเคราะห์ถึงความเป็นไปได้ของแผนงาน
5. กระบวนการจัดทำแผนงาน/โครงการไม่เป็นระบบ
6. แผนงานจัดทำโดยกลุ่มผู้วางแผนเท่านั้น ไม่มีผู้เกี่ยวข้องอื่น เช่น ผู้ชำนาญการที่เกี่ยวข้องจากบุคคลภายในและภายนอกร่วมจัดทำ
7. ขาดความชัดเจนของจุดประสงค์ที่แท้จริงของแผนงาน
8. ไม่ได้กำหนดจุดตรวจสอบและจัดทำรายงานแสดงความคืบหน้าของแผนงาน/ โครงการ
9. ประมาณการโดยการคาดเดา ไม่ได้กำหนดวิธีการที่มาตรฐาน หรือใช้ข้อมูลจากอดีตและการวิเคราะห์สภาพแวดล้อมในอนาคต
10. บุคลากรที่เกี่ยวข้องไม่มีประสบการณ์เพียงพอ
11. ผู้มีส่วนเกี่ยวข้องในการปฏิบัติงานไม่ปฏิบัติตามข้อกำหนด
12. แผนงานที่จัดทำขึ้นกระทำการเพียงเพื่อประกอบงบประมาณ โดยไม่เน้นเป้าหมาย และมีการสำรองงบเงินงบประมาณในแผนงาน เพื่อใช้ในโครงการอื่นที่ไม่มีความชัดเจน เป็นต้น

ในการวางแผนงาน/โครงการนั้น อาจเกิดความไม่แน่นอนเนื่องจากสาเหตุของความเสี่ยงที่เกิดขึ้นได้เสมอ ฉะนั้นในการวางแผนงานทุกครั้ง ผู้บริหารหรือผู้ที่เกี่ยวข้องควรรู้ถึงข้อควรระวังเกี่ยวกับการวางแผนที่อาจเกิดความไม่แน่นอนขององค์กรทั่วไป ดังนี้
1. ขาดการประสานงานที่ดีในการวางแผนงาน รวมทั้งการประสานงานรหว่างหน่วยงานที่เกี่ยวข้อง
2. ขาดการวิเคราะห์ความเสี่ยงหรือการบริหารแผนงานในเชิงรุกเพื่อป้องกันปัญหาในภายหน้าอย่างมีระบบ เช่น ไม่มีการชี้ปัจจัยเสี่ยงจากกิจกรรมหลักที่มีผลกระทบต่อการบรรลุเป้าหมายหรือปัจจัยสำคัญที่นำไปสู่ความสำเร็จตามแผนงาน
3. ระยะเวลาของแผนงาน/โครงการสั้นหรือยาวเกินไปไม่สัมพันธ์กับทรัพยากรที่มีอยู่
4. ไม่มีการศึกษาความเป็นไปได้ก่อนจัดทำแผนงานอย่างจริงจัง
5. บุคลากรที่จำเป็นต้องเข้ามาร่วมในโครงการมีไม่เพียงพอ
6. ขอบข่ายงานมีการเปลี่ยนแปลงตามสภาพแวดล้อมที่ไม่คาดหมายมาก่อน ซึ่งอาจจะเกิดจากขาดการบริหารความเสี่ยงประกอบการวางแผนงานอย่างเหมาะสม
7. ไม่มีแผนงานฉุกเฉินรองรับ
8. การกำหนดตารางเวลาของการปฏิบัติงานตามกิจกรรมต่าง ๆ ไม่สอดคล้องกับภารกิจที่พึงต้องปฏิบัติเพื่อบรรลุแผนงานตามทรัพยากรที่กำหนด
9. ขาดการรายงาน และการติดตามแผนงานของผู้ที่เกี่ยวข้อง
10. มีแผนงานและโครงการใหม่ที่มีระดับความสำคัญเร่งด่วนมากกว่า

ในครั้งหน้าผมจะพูดถึงปัจจัยที่เกี่ยวข้องที่ทำให้การวางแผนงาน/โครงการประสบความสำเร็จตามเป้าหมายที่กำหนดไว้ โปรดติดตามต่อไปนะครับ

 

Posted in แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags:
11 Comments

เทคโนโลยี่การบัญชี การควบคุมภายในและการตรวจสอบกับการพัฒนา และกรณีศึกษา บ.เลห์แมน บราเธอร์ส

พฤษภาคม 19th, 2010

เทคโนโลยี่ในปัจจุบันได้เข้ามามีบทบาทอย่างสำคัญในกิจกรรมและกระบวนการทำงานต่างๆ รวมทั้งการบัญชี ผู้บริหารระดับสูงต้องเข้ามามีส่วนเกี่ยวข้องอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะตามหลักการบริหารตามแนว GRC หรือ Governance+Risk Management+ Compliance ผู้บริหารระดับสูงต้องใส่ใจกับเรื่องเทคโนโลยีมากขึ้น เพราะความล้มเหลวทางด้านเทคโนโลยี่ จะมีผลกระทบต่อการบริหารโดยรวม+++

คณะกรรมการวิชาชีพบัญชีด้านการศึกษาและเทคโนโลยี่การบัญชี พิจารณาว่าเป็นปัจจัยภายนอก ที่ส่งผลกระทบอย่างมากต่อการทำงานของนักบัญชี และผู้บริหารที่เกี่ยวข้อง รวมทั้งผู้กำกับฯ ความต้องการบุคคลากรด้านบัญชีที่มีความสามารถในการใช้เทคโนโลยี การบริหาร การตรวจสอบองค์กรที่ใช้เทคโนโลยี จึงมีความสำคัญมากขึ้นมาก ผู้ที่เกี่ยวข้องต้องมีความเข้าใจในคุณลักษณะ วิธีการทำงาน และสามารถเลือกใช้หรือจัดการเทคโนโลยี่ ควบคุมการใช้เทคโนโลยีให้เหมาะสมได้อย่างมั่นใจ

องค์กรของท่าน มีความพร้อมในการบริหาร การจัดการเทคโนโลยีที่เหมาะสมแล้วหรือยังครับ ความเสียหาย และผลกระทบจากการไม่เข้าใจในคุณลักษณะของเทคโนโลยีในมุมมองต่าง ๆของกระบวนการจัดการ เช่นในมุมมองของ Business Balance Scorecard และ Information Balance Scorecard นั้นอาจเกินจินตนาการของ Stakeholders นะครับ

ตัวอย่างในเรื่องนี้มีมากมาย แล้วผมจะค่อย ๆ ทยอยเล่าสู่กันฟังเพื่อเป็นกรณีศึกษาต่อไป มาตรฐานการบัญชีก็มีการปรับปรุงกันอยู่เสมอ ในขณะนี้นักบัญชีและนักบริหารก็ทราบกันดีนะครับว่า การบัญชีไทยกำลังอยู่ระหว่างการปรับปรุงเพื่อก้าวไปสู่ IFRS – International Financial Reporting Standards ซึ่งประเทศต่าง ๆ ทั่วโลกต่างก็ยอมรับที่จะนำมาตรฐาน IFRS ไปถือปฎิบัติ

แน่นอนว่าการทำความเข้าใจในมาตรฐานของบัญชีใหม่ และระบบงานที่เกี่ยวข้อง เช่นเทคโนโลยีคอมพิวเตอร์จะมาเกี่ยวข้องด้วยเสมอนะครับ ที่สำคัญก็คือ องค์กรของท่านพร้อมแล้วหรือยัง โดยเฉพาะการทำความเข้าใจในผลกระทบของเทคโนโลยีคอมพิวเตอร์ ที่เกี่ยวข้องกับการบัญชี การบริหาร การจัดการ ในเกือบทุกระดับของกระบวนการจัดการ โดยเฉพาะอย่างยิ่ง การบริหารความเสี่ยง ทั้งในระดับองค์กรและในระดับประเทศ การควบคุมภายใน การตรวจสอบภายในตามฐานความเสี่ยง ทั้งทางด้าน IT และ Non – IT ++

ขอยกตัวอย่าง กรณี บริษัท เลห์แมน บราเธอร์ส อดีตวาณิชธนกิจแถวหน้าของสหรัฐอเมริกา ต้องล้มละลาย กับการตรวจพบ เมื่อบริษัทฯ ได้ล้มละลายไปแล้ว ด้วยเหตุผลการใช้เครื่องมือทางบัญชี และวิธีการทางบัญชีมาตบแต่งข้อมูลทางเงิน ++ นี่เป็นตัวอย่างที่ชัดเจนของความสำคัญของการศึกษาเทคโนโลยีทางการบัญชี ทางการเงิน ทางการบริหาร การควบคุมและการตรวจสอบ

สรุปว่า เลห์แมน ใช้เครื่องมือทางการบัญชี โดยการปรับปรุงงบดุล และโยกย้ายตราสารจำนวนหนึ่งออกไปจากงบดุล ซึ่งเป็นงบแสดงทางการเงินเป็นการชั่วคราว เพื่อสร้างภาพที่ทำให้เข้าใจผิด ๆ ต่อผู้อ่านและผู้บริหารงบการเงิน เกี่ยวกับฐานะการเงินของบริษัทฯ ในช่วงปลายปี 2552 และ 2551 โดยวางโครงสร้างให้เหมือนเป็นการขาย เพื่อให้การขายตราสารการเงินเป็นการชั่วคราว เพื่อให้ดูเสมือนหนึ่งว่าความเสี่ยงจากการก่อหนี้ดังกล่าวจะหมดไป จากงบดุลหรือบัญชีทางการเงินของบริษัทแล้ว ซึ่งทำให้สถานะของบริษัท เลห์แมน บราเธอร์ส ในปี 2550 และ ปี 2551 จะแตกต่างจากความจริงเป็นอย่างมาก

นี่คือการเปลี่ยนแปลงงบทางการเงิน เพื่อตบแต่งทางการบัญชีตอนสิ้นงวด ซึ่งเรียกว่า Window Dressing ซึ่งนิยมใช้กันในหมู่ผู้บริหารเงินกองทุน ++ ซึ่งเป็นเรื่องปกติ แต่ต้องอยู่ในระดับภายใต้การควบคุมและยอมรับได้ขององค์กร และ Stakeholders ในมุมมองทางการเงินและการบัญชี และความผิดในเรื่องนี้ ควรจะเป็นของใคร? ท่านคิดอย่างไรครับในเรื่องนี้

โปรดติดตามตอนต่อไป ในเรื่องเกี่ยวกับการไขปริศนา ทำไมบริษัท เลห์แมน บราเธอร์ส ต้องล้มละลาย อันเนื่องจากเทคโนโลยีทางการบัญชี

 

Posted in COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ
Tags: , ,
3 Comments

ความเห็นของ ดร. วรเจตน์ ภาคีรัตน์ กับรัฐธรรมนูญ คดียึดทรัพย์ฯ กับข้อคิดเพื่อการวิเคราะห์ฯ

พฤษภาคม 15th, 2010

ความเห็นที่แตกต่างกัน โดยเฉพาะอย่างยิ่ง ไม่อิงขั้วการเมืองใด ซึ่งจะขึ้นกับความเชื่อหรือไม่เชื่อของผู้อ่านแต่ละท่านนั้น จะเป็นประโยชน์อย่างยิ่งต่อการสร้างความคิด สติปัญญา และมุมมองต่าง ๆ ที่อาจสร้างคุณค่าเพิ่มให้กับสังคมและส่วนรวมได้เป็นอย่างดี

ร่วมด้วยช่วยกันคิด เพื่อให้เกิดสังคมแห่งการเรียนรู้ในต่างมุมมองที่เป็นเรื่องสร้างสรร ที่อาจก่อให้เกิดคุณค่าของการมองต่างมุมโดยรวม

ข้อความต่อไปนี้ทั้งหมด ผมได้นำมาจาก หนังสือพิมพ์ประชาชาติธุรกิจ ฉบับวันจันทร์ที่ 22 – วันพุธที่ 24 มีนาคม 2553 ของ ดร. วรเจตน์ ภาคีรัตน์ ในหัวเรื่อง แกะปมรัฐธรรมนูญ – ไขรหัส “มั่ว” อุทธรณ์หรือฟื้นคดียึดทรัพย์ “ทักษิณ”

ผมได้อ่านการสัมภาษณ์พิเศษของผู้สื่อข่าวกับ ดร. วรเจตน์ ภาคีรัตน์ ที่ให้สัมภาษณ์แก่ผู้สื่อข่าว โดยนำข้อความทั้งหมดตามที่ได้กล่าวข้างต้นมาให้ท่านผู้อ่านได้ใช้ดุลยพินิจในมุมมองต่าง ๆ โดยไม่ได้ตัดทอนเพื่อการศึกษา และการพัฒนาแนวความคิดตามหัวข้อเรื่องข้างต้น ทั้งนี้ ขอให้ผู้อ่านใช้วิจารณญาณจากการอ่านบทสัมภาษณ์ดังต่อไปนี้นะครับ

หลังคำพิพากษาคดียึดทรัพย์ “ทักษิณ ชินวัตร” มีคนที่ต้องทำการบ้านเพิ่มไม่น้อยกว่า 5 ฝ่าย อย่างน้อยมีทนายฝ่าย “จำเลย” ที่ต้องหา “ข้อเท็จจริงใหม่” มาต่อสู้ในขั้นอุทธรณ์ อย่างน้อยก็มีองค์คณะในศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมือง อย่างน้อยก็มีผู้บริหารรัฐวิสาหกิจ – อดีตรัฐมนตรีที่ผูกพันตามคำพิพากษา

นอกจากนี้ยังมีสำนักงานอัยการสูงสุดที่ต้องเตรียมข้อมูลฟ้องร้องกับผู้ที่เกี่ยวข้องในการกระทำความผิด จนทำให้ “จำเลย” ร่ำรวยผิดปกติ 1 ใน 5 ฝ่ายที่ทำการบ้านเพิ่มคือ นักวิชาการด้านกฎหมายที่ชื่อ “ดร. วรเจตน์ ภาคีรัตน์”

บรรทัดต่อไปนี้คือ “คำตอบ” จากการคร่ำเคร่งค้นคว้า-ความจริง-ไม่อิงขั้วการเมือง

หลังจากเข้ากระบวนการ 30 วัน ที่ศาลเปิดโอกาสให้อุทธรณ์แล้ว อาจารย์คาดหวังจะเห็นอะไร?

เรื่องนี้เป็นเรื่องที่หลายคนไม่เข้าใจ และเป็นปัญหากลไกซ่อนรูปในรัฐธรรมนูญ และนักกฎหมายหลายคนก็มองไม่เห็น เราพูดเรื่องอุทธรณ์ ว่าพอศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมืองตัดสินแล้ว มีสิทธิอุทธรณ์ภายใน 30 วัน ไปยังที่ประชุมใหญ่ของศาลฎีกา อาจารย์หลายคนที่ร่างรัฐธรรมนูญ บางคนก็บอกว่า นี่ไงมีการประกันสิทธิเสรีภาพ เรื่องการอุทธรณ์กระบวนการนี้เป็นธรรม เพราะเปิดให้มีการอุทธรณ์ให้ถึงที่สุด แต่เรื่องนี้คนรู้น้อยมากว่าใช่การอุทธรณ์หรือไม่ ไปถามในทางสากลจากนักกฎหมายในโลกนี้ทั้งโลก จะรู้ว่าที่อยู่ในรัฐธรรมนูญ 2550 นี่มันไม่ใช่เรื่องการอุทธรณ์ แม้จะเขียนว่า “อุทธรณ์” ก็จริง แต่เนื้อหามันไม่ใช่ อันนี้มันซ่อนปมอีกอันหนึ่ง

เพราะสิ่งที่อยู่ในรัฐธรรมนูญนั้น เป็นลูกผสมระหว่างการอุทธรณ์กับการขอให้พิจารณาใหม่ หรือการรื้อฟื้นคดีขึ้นพิจารณาใหม่ มันเป็นหลักการสำคัญ ทั้ง 2 อย่างนี้ต่างกัน ยกตัวอย่างคดีอาญา มีบุคคลคนหนึ่งถูกกล่าวหาว่ากระทำความผิด ต่อมาพนักงานสอบสวนก็สอบสวนมีการส่งเรื่องไปที่อัยการ และอัยการฟ้องไปที่ศาล เมื่อมีการตัดสินคดีแล้วมีการอุทธรณ์ ฎีกาเมื่อศาลอุทธรณ์ ศาลฎีกายืน คดีถึงที่สุดที่ศาลฎีกา

ต่อมาเมื่อเขาอยู่ในคุก พบพยานหลักฐานว่าเขาไม่ใช่คนกระทำความผิด ระบบกฎหมายจะเปิดช่องให้เขา ขอให้พิจารณาใหม่ หรือว่ารื้อฟื้นคดีขึ้นพิจารณาใหม่ได้ ซึ่งการอุทธรณ์กับการพิจารณาใหม่มีความแตกต่างกัน เพราะการอุทธรณ์คือการที่คู่ความในคดี ซึ่งไม่เห็นด้วยกับคำพิพากษาของศาลในระดับล่าง โต้แย้งคำพิพากษาของศาลขึ้นไปยังศาลระดับสูง ซึ่งแน่นอนว่า สามารถอุทธรณ์ได้ในปัญหาข้อเท็จจริงและปัญหาข้อกฎหมาย หรืออาจให้อุทธรณ์เฉพาะปัญหาข้อกฎหมาย

และการอุทธรณ์คือ การเปิดโอกาสให้คู่ความได้โต้แย้งตัวคำพิพากษาของศาล โดยไม่จำเป็นต้องมีพยานหลักฐานใหม่ เพราะต้องใช้พยานหลักฐานอันเดิม แล้วอุทธรณ์ว่าศาลตีความกฎหมายไม่ถูก หรือถ้าเป็นการยอมให้อุทธรณ์ในข้อเท็จจริงได้ ในกรณีที่ศาลฟังข้อเท็จจริงผิด นี่คือการโต้แย้งทุกประเด็น หรือโต้แย้งประเด็นข้อกฎหมายทุกเรื่องขึ้นไป เรื่องว่าการอุทธรณ์

พอคดีจบแล้วถึงที่สุดแล้ว เมื่ออุทธรณ์ไม่ได้ เพราะมันจบ หลักก็คือ คำพิพากษาต้องเด็ดขาด ทีนี้เป็นไปได้ว่าคำพิพากษาอาจผิด ซึ่งระบบกฎหมายที่ยอมรับหลักความยุติธรรม เขาต้องยอมรับว่า มันเกิดความผิดพลาดได้เวลาที่ศาลมีคำพิพากษา เพราะฉะนั้นระบบกฎหมายอย่างนี้ได้รักษาไว้ซึ่งความมั่นคง แน่นอน ของคำพิพากษาของศาลซึ่งเป็นที่สุดแล้ว

แต่อีกด้านหนึ่งระบบกฎหมายก็ต้องรักษาความยุติธรรมด้วย เขาก็จะเปิดช่องเอาไว้ว่าในภายหลังที่ศาลพิพากษาถึงที่สุดแล้ว มีการพบพยานหลักฐานใหม่ว่าที่ศาลตัดสินไปนั้นไม่ถูก เขาก็จะเปิดโอกาสให้คนซึ่งต้องคำพิพากษาถึงที่สุดแล้วนั้น ยื่นคำร้องรื้อฟื้นคดีขึ้นพิจารณาใหม่ ซึ่งการรื้อฟื้นคดีขึ้นพิจารณาใหม่นี้ หลักในทางสากลคือ คดีอาจจบไปแล้วกี่ปีก็ได้ เพียงแต่ว่าถ้าคุณมีพยานหลักฐานใหม่ คุณต้องยื่นเสีย อาจจะภายใน 30 วัน เช่น คดีจบไปแล้ว 5 ปี แล้วคุณบังเอิญเห็นพยานหลักฐานอันนี้ซึ่งพิสูจน์ได้ว่าคุณไม่ผิด คุณก็นำไปยื่น ตรรกะจะเป็นแบบนี้

แต่รัฐธรรมนูญไทย 2550 ได้สร้างระบบประหลาดขึ้นมา ซึ่งผมไม่เคยเห็นมาก่อน ซึ่งอาจจะนับว่าเป็นการครีเอตของคนร่างรัฐธรรมนูญก็ได้ เขาบอกว่า คนที่ต้องคำพิพากษาของศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมือง สามารถอุทธรณ์คำพิพากษาของศาลฎีกาฯ ไปที่ประชุมใหญ่ของศาลฎีกาได้ภายใน 30 วัน แต่ต้องปรากฎพยานหลักฐานใหม่ เพราะฉะนั้นมันจึงไม่ใช่การอุทธรณ์ในความหมายแท้ ๆ ที่ใช้ในทางกฎหมาย และก็ไม่ใช่การขอให้พิจารณาใหม่ด้วย

ที่ผมบอกว่าไม่ใช่การอุทธรณ์ เพราะว่าคุณไปบีบเขาว่าเขาต้องมีพยานหลักฐานใหม่ภายใน 30 วันนี้ คุณต้องเจอพยานหลักฐานใหม่ มันก็เลยไม่ใช่เรื่องการอุทธรณ์ เพราะการอุทธรณ์ไม่ต้องเจอพยานหลักฐานใหม่ในระบบ ขณะเดียวกันมันก็ไม่ใช่การรื้อฟื้นพิจารณาคดีใหม่ด้วย เพราะคุณไปจำกัดเขาว่าเขาต้องทำภายใน 30 วัน นับแต่วันที่ศาลพิพากษา ไม่ใช่ 30 วันนับแต่วันที่พบพยานหลักฐานใหม่ ซึ่งอาจจะผ่านไป 5 ปี 10 ปีก็ได้

การอุทธรณ์จึงมั่ว ๆ ระหว่าง 2 หลัก?

ถูกต้อง มันมั่วเลย ไม่ใช่มั่ว ๆ กันอยู่ แต่มันไม่มีหลักอะไรเลยตรงนี้ เพราะฉะนั้นเรื่องนี้เป็นเรื่องประหลาดมากในทางระบบ อันนี้ต้องอธิบายให้สาธารณชนเข้าใจ เพราะที่พูด ๆ กันอยู่นี่ไม่เข้าใจ ไม่รู้เรื่อง นี่พูดจริง ๆ หลายคนทำให้ผมดูถูกมากในทางความรู้ เพราะไม่เข้าใจประเด็นเหล่านี้แล้วพูดไป ทำให้สังคมเข้าใจผิด หลักก็เสียหมด

ประเด็นคือ ถ้าเอาตามตัวบทลายลักษณ์อักษรนี่ ทนายความของทักษิณต้องเจอหลักฐานใหม่ จึงจะสามารถอุทธรณ์ เพราะฉะนั้นมันไม่เป็นธรรมกับคนที่ถูกลงโทษ ต้องให้มีการอุทธรณ์ได้ ครั้นจะสนับสนุนให้เขาอุทธรณ์เต็มที่ คุณก็เกรงอีก ก็เลยเอาเป็นระบบมั่ว ๆ อย่างนี้มาในรัฐธรรมนูญ มันเลยเป็นปัญหา

เป็นประเด็นขอให้พิจารณาในเนื้อหา?

ใช่ ๆ เพราะเรื่องแรกที่ต้องฝ่าด่าน คือว่าอีกไม่กี่วันข้างหน้า หากไปถึงที่ประชุมใหญ่ศาลฎีกา ถ้ามีการอุทธรณ์ เขาต้องดูว่ามีพยานหลักฐานใหม่หรือไม่ ตามถ้อยคำ ตามตัวบท ซึ่งการเขียนรัฐธรรมนูญอย่างนี้ก็น่าเห็นใจคนที่เป็นผู้พิพากษาตุลาการ ในการตีความอยู่เหมือนกัน อันนี้จะไปโทษเขาไม่ได้ อันนี้เป็นปัญหาที่ต้นทางของรัฐธรรมนูญที่ออกแบบมาแบบนี้ คือออกแบบมามั่ว ๆ แบบนี้

จากคำให้สัมภาษณ์ของ ดร. วรเจตน์ ภาคีรัตน์ ในข้างต้น ท่านผู้อ่านพอจะมีข้อคิดเห็น หรือได้ข้อคิดอะไรบ้างครับ ถ้ายัง ก็โปรดติดตามจนจบก็อาจจะพบแง่คิดอะไรที่แตกต่างจากการสัมภาษณ์นี้ได้ ซึ่งผมขออนุญาตตัดตอนคำสัมภาษณ์ที่เหลือไปต่อในตอนหน้านะครับ

 

Posted in คุยกับผู้เขียน
Tags: , ,
Comments Closed

บางมุมมองของ CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน (ต่อ)

พฤษภาคม 12th, 2010

ตามแผนภาพต่าง ๆ ที่เกี่ยวกับมุมมองของ Corporate Governance หรือการกำกับดูแลกิจการที่ดี ที่แน่นอนว่าจะต้องเชื่อมโยงกับ IT Governance ซึ่งต้องการสร้างความเข้าใจให้กับผู้อ่านที่เกี่ยวข้องและที่สนใจในเรื่องนี้ นั่นก็คือ Risk IT และ IT Risk ต้องเชื่อมโยง และเน้นไปที่ Business Objectives มิใช่ IT Objectives

การเติบโตอย่างยั่งยืนตามหลัก CG ของทุกองค์กรในระบบเทคโนโลยีปัจจุบัน อาจกล่าวได้ว่า แทบจะไม่มีองค์กรใดเลยที่จะรักษาการเติบโตอย่างยั่งยืนได้ โดยปราศจากการบริหารความเสี่ยงที่เกิดจาก Risk IT และ IT Risk ที่มีผลต่อ People Risk ที่เชื่อมโยงไปยังProcess Risk และแน่นอนว่า Process Risk ส่วนใหญ่จะเกี่ยวข้องกับ Technology Risk ซึ่งท่านผู้อ่านอาจจะคุ้นเคยกับคำว่า ความเสี่ยงทางด้าน Operational ที่เน้นทางด้าน P + P + T นั่นเอง

ผมใคร่ขอเน้นอีกครั้งนึงนะครับว่า แผนภาพต่าง ๆ ที่เกี่ยวข้องกับ CG ในมุมมองอันหลากหลาย เพื่อก้าวไปสู่การเติบโตอย่างยั่งยืนขององค์กรนั้น ผู้บริหารและผู้ปฏิบัติการ ควรจะต้องพิจารณาในมุมมองของ Management ที่ต้องสื่อสารให้ทุกคนในองค์กรได้รับรู้ การบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM ซึ่งเชื่อมโยงกับ IT Risk ที่มีผลต่อ Business Risk ในระดับต่าง ๆ ตามที่ได้กล่าวมาแล้ว ที่ผู้บริหารและพนักงานทุกคนต้องปฏิบัติตามนโยบาย และข้อกำหนดต่าง ๆ ที่ต้องทำงานด้วยใจ หรือ Spiritual ซึ่งเป็นเรื่องของ Soft Controls นั่นคือ

ถึงแม้ไม่มีกฎหมาย กฎเกณฑ์ บัญญัติให้ปฏิบัติ และไม่มีบทลงโทษ หรือแม้กระทั่ง ไม่ถูกบังคับให้ต้องปฏิบัติ ซึ่งเป็นเรื่องของ Compliance หรือ Hard Controls นั้น ผู้บริหารและพนักงานที่มีศักยภาพก็จะต้องปฏิบัติหน้าที่ด้วยความทุ่มเท และพัฒนาตนเองให้มีศัยภาพในการเรียนรู้ เพื่อก้าวให้ทันกับเทคโนโลยีใหม่ ๆ ที่เกิดจาก IT Related Risk ที่มีผลต่อ Business Risk โดยท่านไม่จำเป็นจะต้องเกี่ยวข้องกับการปฏิบัติหน้าที่ทางด้าน IT เท่านั้น

จากแผนภาพหลายตอน รวมทั้งแผนภาพในตอนนี้ ท่านผู้อ่านหลายคนคงจะนึกในใจว่า ไม่มีเนื้อหาใดตามแผนภาพในทุกกรอบที่เชื่อมโยงเรื่อง CG ไปยัง ITG ดังกล่าว ดังนั้น ขอท่านผู้อ่านได้โปรดดูแผนภาพตามมุมมองต่าง ๆ ของ CG และนำมาเชื่อมเข้าด้วยกัน ท่านก็จะพบความโยงใยของ Risk IT และ Risk IT ที่มีผลต่อ IT Governance และ Corporate Governance และเชื่อมโยงกับหลักการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM และก้าวไปสู่หลักการบริหารเพื่อสร้างประสิทธิภาพและประสิทธิผลอย่างเป็นรูปธรรม โดย GRC – Governance + Risk Managment + Compliance ซึ่งเป็นการบริหารแบบขับเคลื่อนในลักษณะ Integrity – Driven Performance ซึ่งเป็นการบริหารโดยหลอมรวมหลักการบริหารที่ดีทางด้าน IT และ Non – IT แบบบูรณาการ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง
Tags: ,
7 Comments

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

พฤษภาคม 4th, 2010

ในครั้งก่อน ท่านผู้อ่านก็ได้ทราบถึงประเภทของการตรวจสอบด้านคอมพิวเตอร์กันแล้วนะครับ ว่าได้มีการจัดแบ่งประเภทเป็นการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ หรือเรียกว่า General Control ซึ่งเป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ส่วนใหญ่เป็นการตรวจสอบเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง ส่วนอีกประเภทหนึ่งก็คือ Application Controls ซึ่งเป็นการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ในการประมวลผล

สำหรับวันนี้ผมจะขอนำเสนอแผนภาพการตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ (Application Audit) ซึ่งอาจจะเคยได้นำเสนอไปแล้ว ก็ถือเป็นการทบทวนเพื่อให้เกิดความเข้าใจที่ต่อเนื่องและเห็นภาพขั้นตอนของกระบวนการตรวจสอบ IT ในเบื้องต้นที่ชัดเจนยิ่งขึ้นนะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

หลักการสอบทานการควบคุมภายในที่สำคัญ
แม้ว่าในการนำคอมพิวเตอร์มาใช้ จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบแต่ลักษณะการประเมินการควบคุมภายในและวิธีการตรวจสอบจะเปลี่ยนแปลงไป

ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนในการประมวลผลข้อมูล ย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้น การใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี ดังนั้นจึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทน ด้วยเหตุผล 3 ประการ คือ

1. ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ ช่วยให้มั่นใจได้ว่าการประมวลผลจะมีความสม่ำเสมอด้วย

2. การตรวจสอบที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ ในลักษณะของการทำ Substantive Test นั้นทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมาก และหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ

3. ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์

ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ที่ดีในการประเมินผลการตรวจสอบได้อีกด้วย

ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้อย่างมีประสิทธิผล ทักษะทาง IT ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้วต้องมีทักษะทาง IT ที่เหมาะสมและเพียงพอแก่การปฏิบัติหน้าที่ นอกจากนี้ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้

ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วจำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้าน IT และผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT เอง ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมด้วย

 

Posted in IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป
Tags: , ,
3 Comments

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/