Archive for สิงหาคม 17th, 2010

ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 กับ Regulators และ Operators ทางด้าน IT Audit และทั่วไป

คุยกับผู้เขียนในตอนที่แล้ว ผมได้เล่าถึงแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ซึ่งได้ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 มิถุนายน 2553 เล่มที่ 127 ตอนพิเศษ 78 ง หน้า 131 – 138 ไปแล้วนั้น ก็เพื่อให้ท่านผู้อ่านทราบว่า หน่วยงานกำกับภาครัฐที่ดูแลรับผิดชอบเกี่ยวกับ ความน่าเชื่อถือได้ของข้อมูล และรายงานทางการเงิน และรายงานที่มิใช่การเงิน ที่ข้อมูลและสารสนเทศถูกประมวลผลด้วยระบบคอมพิวเตอร์ หรือระบบเทคโนโลยีสารสนเทศนั้น ความน่าเชื่อถือได้ของข้อมูล เป็นเรื่องจำเป็นอย่างยิ่งยวดที่ผู้มีผลประโยชน์ร่วมทุกฝ่าย ทั้งในและระหว่างประเทศ ให้ความสนใจในระดับสูงมาก

หากข้อมูลและสารสนเทศไม่น่าเชื่อถือ ความไว้วางใจของ Stakeholders ก็จะไม่มีหรือมีน้อยมาก ทำให้มีปัญหาในเรื่องเกี่ยวกับศักยภาพการแข่งขัน และการสร้าง Value Creation และ Business Objective ขององค์กรต่าง ๆ รวมทั้งความไว้วางใจต่อระดับชาติ ที่จะมีผลกระทบต่อการค้า การเงิน และการลงทุนตามมาด้วยอีกมาก

การบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Process และ Business Objective ในมุมมองต่าง ๆ ตามหลักการของ Balanced Scorecard และตามวัตถุประสงค์ของการควบคุมหลักของ COSO – ERM คือ Strategic Risk – S, Operational Risk – O, Reporting/Finanacial Risk – F, Compliance Risk – C นั้น จำเป็นจะต้องมีการประเมิน และควบคุมความเสี่ยง รวมทั้งการตรวจสอบตามฐานความเสี่ยง และการจัดการโดยผู้บริหาร ทางด้าน IT Control และ IT Audit อย่างหลีกเลี่ยงไม่ได้ ตามที่ปรากฎในมาตรฐานของประเทศต่าง ๆ ทั่วโลก

ผมจึงนำระเบียบคณะกรรมการตรวจเงินแผนดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ที่มีผลบังคับใช้แล้วตั้งแต่ วันที่ 24 มีนาคม 2546 ตามประกาศในราชกิจจานุเบกษา ฉบับกฤษฎีกา เล่ม 120 ตอนที่ 25 ก ซึ่งได้กล่าวถึงแนวทางปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ขอบเขตการตรวจสอบภายใน โดยเฉพาะอย่างยิ่งแนวทางปฏิบัติที่ 6 หน้า 10 ที่ได้กล่าวในเรื่อง IT Audit ว่า

“หน่วยรับตรวจที่ใช้เทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการปฏิบัติงานหรือบริหารงาน ควรจัดให้มีผู้ตรวจสอบภายในซึ่งมีความรู้ ความสามารถอย่างเพียงพอที่จะตรวจสอบระบบเทคโนโลยีสารสนเทศ เพื่อให้สามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลได้อย่างเหมาะสมและเกิดประโยชน์”

ในกรณีระเบียบว่าด้วยการตรวจสอบภายในตาม (1) และ (2) มิได้กำหนดให้ปฏิบัติงานตามมาตรฐานการตรวจสอบใด ให้ปฏิบัติตามมาตรฐานการปฏิบัติงานวิชาชีพการตรวจสอบภายในที่เผยแพร่โดยสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือ Standards for the Professional Practice of Internal Auditing ที่กำหนดโดย The Institute of Internal Auditors (IIA) ฉบับล่าสุด

ท่านผู้อ่านสามารถคลิ๊กดูรายละเอียดของระเบียบคณะกรรมการตรวจเงินแผ่นดินฯ ได้ที่นี่เลยครับ รวมเล่ม ระเบียบตรวจเงินแผ่นดิน

สำหรับผมเอง มีความเห็นส่วนตัวเพิ่มเติมจากแนวทางปฏิบัติต่าง ๆ ที่ปรากฎในระเบียบของ คตง. ว่า ถ้ามาตรฐานการตรวจสอบทางด้าน IT ยังไม่ปรากฎชัดเจนตามที่ระเบียบของ คตง. ได้กล่าวไว้ตามวรรคต้น ก็น่าจะใช้ Best Practice หรือ IT Audit Guideline ของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (IIAT – สตท.) หรือ IIA – The Institute of Internal Auditors (IIA) สากล นำมาใช้ได้สำหรับการตรวจสอบ IT Audit ซึ่งในปัจจุบันก็มีเผยแพร่ให้ท่านผู้อ่านได้ติดตามจากเว็บไซต์ที่เกี่ยวข้องได้อยู่แล้วครับ

ส่วนรายละเอียดเกี่ยวกับแนวการปฏิบัติและการตรวจสอบทางด้าน IT Audit ซึ่งเป็นเรื่องที่เกี่ยวข้องกับการควบคุมความเสี่ยง และการบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk นั้น ก็เช่นเดียวกันครับที่ท่านสามารถจะติดตามได้จากเว็บไซต์ที่เกี่ยวข้อง ซึ่งผมจะนำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

 

การทดสอบข้อมูลและกระบวนการทำงานในระบบคอมพิวเตอร์ โดยวิธี Test Data (TDM)

วันนี้ผมจะพาท่านผู้อ่านที่สนใจทั้งทางด้าน IT Audit และทางด้าน Manual Audit เพื่อจะก้าวไปสู่การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยงขององค์กร ที่ประมวลผลโดยคอมพิวเตอร์ว่า ข้อมูลทางด้าน Input – Process – Output ถูกต้อง และน่าเชื่อถือได้หรือไม่นั้น เป็นกระบวนการสำคัญยิ่งของการตรวจสอบภายใน ซึ่งมีหน้าที่หลัก 2 ประการใหญ่ ๆ ก็คือ การให้ความมั่นใจอย่างสมเหตุสมผลว่า ข้อมูลและรายงานถูกต้องน่าเชื่อถือได้และสมบูรณ์ในเวลาที่ต้องการ ไม่ว่าจะเป็นเป้าหมายในการตรวจสอบ Around The Computer หรือ Through The Computer ซึ่งเทคนิคหลังเป็นการตรวจสอบความน่าเชือถือได้ของโปรแกรมที่ใช้ในการประมวลงาน

เทคนิคการทดสอบข้อมูลและกระบวนการทำงานโดยใช้ TDM นี้ ไม่จำเป็นต้องเสียค่าใช้จ่ายในการซื้อโปรแกรม หรืออุปกรณ์ใด ๆ แต่ต้องอาศัยความรู้ความเข้าใจระบบงานและกระบวนการทำงานทางด้านคอมพิวเตอร์ที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่ง ความเข้าใจในการสร้างข้อมูลทดสอบตาม Logic หรือ ตรรกะ ที่เกี่ยวข้องและเชื่อมโยงกับเป้าประสงค์ในการทดสอบกระบวนการควบคุมและกระบวนการประมวลงาน ในมุมมองต่าง ๆ ที่ผู้ตรวจสอบต้องการ โดยเฉพาะอย่างยิ่ง การเปรียบเทียบข้อมูลและผลลัพธ์ที่คาดไว้ก่อนการทดสอบ TDM และข้อมูลผลลัพธ์ที่ผ่านการทดสอบ TDM เพื่อแปลให้ได้ความหมายว่า Process และ/หรือ Output ถูกต้องตามที่ควรจะเป็นหรือไม่

ทั้งนี้ กระบวนการทดสอบดังกล่าว อาจทำความเข้าใจได้ดังจะได้อธิบายตามลำดับดังนี้

Test Data Method

เหตุผลและความจำเป็น
เนื่องจากมีการใช้คอมพิวเตอร์ประมวลผลข้อมูลทางธุรกิจเพิ่มมากขึ้นอย่างต่อเนื่องตามลำดับ ประกอบกับคอมพิวเตอร์รุ่นใหม่ ๆ มักมีระบบการทำงานตลอดจนเทคนิคที่ใช้สลับซับซ้อน ตลอดจนการใช้เทคนิคบางอย่างอาจเปลี่ยนแปลงรูปแบบ และระบบการทำงานไปจากระบบ Manual โดยสิ้นเชิง จึงก่อให้เกิดการตื่นตัวและท้าทายความสามารถของผู้ตรวจสอบเป็นอย่างยิ่ง ในปัจจุบันผู้ตรวจสอบจำนวนมากจึงได้หันมาใช้คอมพิวเตอร์ เป็นเครื่องมือช่วยในการปฏิบัติอย่างกว่างขวาง ทำให้วิธีการตรวจสอบพัฒนาไปเป็นอันมากด้วย

เครื่องมือและเทคนิคที่ใช้ในการตรวจสอบมี 2 กลุ่มใหญ่ ๆ คือ
1. เทคนิคการตรวจสอบคอมพิวเตอร์ที่ใช้ตรวจสอบภายหลังจากการประมวลผล
2. เทคนิคการตรวจสอบคอมพิวเตอร์ที่ใช้ตรวจสอบขณะที่ทำการประมวลผล

ซึ่งในแต่ละกลุ่มก็มีวิธีการตรวจสอบข้อมูลและโปรแกรม รวมทั้งระบบการทำงานถูกต้องเชื่อถือได้หรือไม่

การใช้ Data จัดอยู่ในกลุ่มเทคนิคการตรวจสอบคอมพิวเตอร์ที่ใช้ตรวจสอบภายหลังจากการประมวลผลเป็นเทคนิคที่นิยมแพร่หลาย โดยมีเหตุผลของการนำมาใช้ คือ

1. เพื่อทดสอบระบบการควบคุมภายในของโปรแกรม คือ พิจารณาว่าได้มีการพบรายการที่ไม่สมเหตุสมผล ไม่เหมาะสม ไม่สมบูรณ์ ไม่ถูกต้อง จากระบบการควบคุมของโปรแกรม และมีการแก้ไขที่ถูกต้องหรือไม่

2. เป็นวิธีที่มีประสิทธิผลในการยืนยันความเข้าใจของผู้สอบบัญชี ต่อระบบงานที่สลับซับซ้อน ผู้ตรวจสอบอาจต้องการใช้ Test Data นี้แตกต่างจากการใช้ เพื่อทดสอบการปฏิบัติตามระบบการควบคุมภายในที่ได้กำหนดไว้ ซึ่งเป็นข้อหนึ่งของการตรวจสอบ

การนำ Test Data มาใช้ในการตรวจสอบ
1. ขั้นตอนการตรวจสอบงานด้านคอมพิวเตอร์

การนำ Test Data มาใช้ในการตรวจสอบ

จากผังแสดงขั้นตอนงานตรวจสอบงานด้านคอมพิวเตอร์ข้างต้น จะเห็นว่าเมื่อผู้ตรวจสอบเข้าทำการตรวจสอบจะต้องศึกษาและประเมินประสิทธิภาพการควบคุมภายในเสียก่อน ทั้งนี้ เพื่อใช้กำหนดขอบเขต วิธีการตรวจสอบ และ ระยะเวลาที่จะใช้ หากผู้ตรวจสอบมีความพึงพอใจและเชื่อมั่นในระบบการควบคุมภายใจของกิจการ ก็จะทำการทดสอบว่ามีการปฏิบัติตามระบบการควบคุมที่วางไว้หรือไม่ เรียกว่า ทำ Compliance Test ซึ่งประกอบด้วยการสอบทาน General Controls และ Application Controls หากพบว่าระบบที่วางไว้ดีแต่ยังไม่พอใจในการปฏิบัติตามระบบ ก็ต้องพิจารณาว่ามีการควบคุมอย่างอื่นมาชดเชยหรือไม่ (เช่น การควบคุมทางด้านผู้ใช้) หากไม่มีก็จะต้องจัดทำ Substantive Test ที่ครอบคลุมถึง 100% เพื่อให้ได้มาซึ่งหลักฐานในการยืนยันความถูกต้องของยอดคงเหลือทางบัญชี เช่นเดียวกับในกรณีที่ประเมินประสิทธิภาพการควบคุมภายใน แล้วผู้ตรวจสอบไม่มีความเชื่อถือในระบบก็ต้องจัดทำ Substantive Test 100% เช่นกัน

ในการจัดทำ Compliance Test และ Substantive Test ผู้ตรวจสอบสามารถเลือกใช้วิธีการตรวจสอบที่มีอยู่อย่างมากมายได้ตามความเหมาะสม “Test Data” เป็นเทคนิคอย่างหนึ่งที่สามารถเลือกใช้ในการทำ Compliance Test ภายหลังจากทำการศึกษาและประเมินประสิทธิภาพการควบคุมภายในแล้วมีความเชื่อถือในระบบพอสมควรก็จะใช้ Test Data เพื่อทดสอบการปฏิบัติตามระบบการควบคุมภายในที่กำหนดไว้ แต่เทคนิคนี้ค่อนข้างจะเน้นการทดสอบการควบคุมภายในของ Program หรือ Application Software คือ การควบคุมด้านข้อมูลนำเข้า (Input) การประมวลผล (Processing) และข้อมูลผลลัพธ์ (Output)

2. การใช้ Test Data ตรวจสอบความถูกต้องของโปรแกรม
คอมพิวเตอร์จะทำงานถูกต้องหรือไม่ ขึ้นอยู่กับการทำงานของโปรแกรม ดังนั้น ก่อนที่จะนำโปรแกรมมาใช้งาน จึงต้องมีการทดสอบจนแน่ใจว่าโปรแกรมนั้นทำงานได้ถูกต้องสำหรับทุกประเภทรายการ การทดสอบโปรแกรมเป็นงานที่สำคัญในขั้นตอนการพัฒนาระบบงาน ผู้ตรวจสอบมีหน้าที่ตรวจสอบรายงาน และการแก้ไขข้อผิดพลาด/บกพร่องของโปรแกรม จนมั่นใจได้ว่ามีการควบคุมภายในอย่างเพียงพอและเหมาะสม

วิธีการตรวจสอบความถูกต้องของโปรแกรมวิธีหนึ่ง คือ “การตรวจสอบจาก Source Program Listing” ผู้ตรวจสอบจะต้องไล่ดูทีละ Statement ตามลำดับ เพื่อค้นหาข้อผิดพลาดและจุดอ่อนของโปรแกรม ซึ่งกระทำได้ยากในทางปฏิบัติ ด้วยเหตุผลดังต่อไปนี้

1) การตรวจสอบโปรแกรมต้องใช้ความรู้ความชำนาญในด้านโปรแกรมมากกว่าการเขียนโปรแกรมเองตั้งแต่ต้น และการติดตามรายละเอียดในโปรแกรมที่บรรจุคำสั่งนับพัน ทั้งยังขั้นตอนการประมวลผลที่สลับซับซ้อนย่อมเป็นงานที่ยากลำบากยิ่ง ถึงแม้ผู้ตรวจสอบและผู้ช่วยจะเป็นผู้เชี่ยวชาญในด้านโปรแกรมก็ตาม นอกจากนี้ยังต้องใช้เวลาและค่าใช้จ่ายสูงด้วย

2) ผู้ตรวจสอบอาจมองข้ามจุดอ่อนเสียเอง การพัฒนาโปรแกรมให้ใช้งานได้จะต้องใช้เวลานานและทำการทดสอบนับครั้งไม่ถ้วน การตรวจสอบในช่วงเวลาสั้น ๆ จึงไม่อาจมองแง่มุมต่าง ๆ ที่แฝงอยู่ได้อย่างถี่ถ้วน

3) โปรแกรมที่ใช้มักมีการเปลี่ยนแปลงแก้ไขอยู่ตลอดเวลา ถ้าผู้ตรวจสอบวางแผนการตรวจสอบแบบกระจายเป็นระยะตลอดปีบัญชี การที่จะติดตามรายการเปลี่ยนแปลงซึ่งมีจำนวนมาก ทุกรายการย่อมเป็นไปได้ยากในทางปฏิบัติ

ด้วยเหตุผลดังกล่าว การตรวจสอบความถูกต้องของโปรแกรม จึงนิยมใช้วิธีการตรวจสอบทางอ้อม คือ การใช้ เทคนิค Test Data มากกว่า การตรวจสอบจาก Source Program Listing

 

GRC & Career Path กับ ITG เพื่อการก้าวสู่การบริหารแบบ GRC เพื่อขับเคลื่อน Integrity-Driven Performance

สวัสดีครับท่านผู้อ่าน ผมไม่ได้คุยกับท่านผู้อ่านในหัวข้อนี้มานานพอสมควร วันนี้ผมจะนำเรื่อง GRC และ ITG เพื่อการขับเคลื่อน GRC และการสร้างคุณค่าเพิ่มในมุมมองต่าง ๆ ที่เกี่ยวข้อง ในรูปแบบของ Power point และ PDF File ที่จะให้ความเห็นในหลายมุมมองของการสร้างคุณค่าเพิ่ม ทั้งจากในมุมมองของ IT Governance เอง และในมุมมองของ IT Governance ที่ก้าวสู่ GRC อีกบางมุมมองที่ท่านอาจจะต้องใช้จิตนาการเชื่อมโยงทั้งสองเรื่องเข้าด้วยกัน ดังนี้ครับ

ท่านผู้อ่านสามารถคลิ๊กอ่านได้จาก เว็บไซต์ของกระทรวง ICT ได้ทั้งสองเรื่อง …

http://www.ictcareer.net/SeminarProfile.aspx

ครั้งนี้ท่านผู้อ่านสามารถจะติดตามเรื่องราวเกี่ยวกับ GRC ในลักษณะที่บรรยายด้วยแผนภาพที่เป็น Power Point ซึ่งผมจะอธิบายแบบขยายความแบบเพิ่มเติมในโอกาสต่อไป และคำบรรยายของ ITG ที่สามารถสื่อให้เข้าใจได้อย่างง่าย ๆ ว่า ITG เป็นส่วนหนึ่งของ CG ที่แยกกันไม่ได้ และจะเกี่ยวข้องกับการบริหารความเสี่ยง และมีองค์ประกอบที่เกี่ยวข้องกับการบริหารความเสี่ยง ทั้งด้านทั่วไปและทางด้าน IT Risk ที่มีผลต่อ Business Risk โดยเชื่อมโยงกับการควบคุมภายใน และตรวจสอบภายในตามฐานความเสี่ยง ในลักษณะของ IT Audit และ Manual Audit โดยเฉพาะอย่างยิ่ง IT Audit ซึ่งผู้ตรวจสอบภายในจำเป็นจะต้องเข้าใจ การประเมินความเสี่ยงที่มีผลกระทบทางด้าน IT Risk และ Risk IT รวมทั้งการประเมินความเพียงพอของการควบคุมภายในทางด้าน IT ที่มีผลกระทบต่อ Business Risk ในทุกมุมมองของ COSO – ERM ซึ่งผมจะได้อธิบายในครั้งต่อไปนะครับ