Archive for ธันวาคม, 2013

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 3)

เมื่อครั้งที่แล้ว (ตอนที่ 2) ผมได้เล่าเรื่อง วิวัฒนาการของ IT Management สู่ -> COBIT4.1 -> GEIT/COBIT5 และ/หรือ GRC ในลักษณะค่อนข้างก้าวกระโดดไปนะครับ เพราะความตั้งใจของผมในการเล่าสู่กันฟังนี้คือ ให้ผู้อ่านได้ทราบถึงวิวัฒนาการของการนำเทคโนโลยีสารสนเทศมาใช้ในประเทศไทย และแนวทางการกำกับของหน่วยงานกำกับภาครัฐที่เกี่ยวข้องกับ การกำกับและตรวจสอบสถาบันการเงิน ซึ่งนำ IT มาใช้อย่างแพร่หลาย ในช่วงก่อนปี 2513 และธนาคารแห่งประเทศไทย ซึ่งมีหน้าที่กำกับและตรวจสอบความมั่นคงของสถาบันการเงิน เพื่อดูแลผู้มีผลประโยชน์ร่วม ซึ่งหมายถึงผู้ฝากเงิน เจ้าหนี้ คู่ค้า และผู้ที่เกี่ยวข้อง ทั้งภายในและภายนอกสถาบันการเงิน เพื่อพิจารณาว่า ผลกระทบของเทคโนโลยีนั้น มีผลต่อความเสี่ยงทางด้านความน่าเชื่อถือได้ของข้อมูลทางการเงิน การปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ของธนาคารแห่งประเทศไทย และมาตรฐานอื่น ๆ ที่เกี่ยวข้องมากเพียงใด

ผมขอเรียนตามตรงว่า ในระยะแรกที่ ธนาคารกรุงเทพ ซึ่งเป็นธนาคารพาณิชย์แห่งแรกของประเทศไทยที่นำระบบคอมพิวเตอร์เข้ามาใช้ในการประมวลงาน และการบริหารจัดการ ทางด้านการบัญชีและการเงินอย่างแพร่หลายนั้น ผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งทำหน้าที่ตรวจสอบ กำกับ และติดตาม และดูแลความมั่นคงของสถาบันการเงิน และการปฏิบัติตามกฎเกณฑ์ของธนาคารแห่งประเทศไทย +++ นั้น ผู้ตรวจสอบไม่อาจปฏิบัติงานตรวจสอบตามปกติ และต้องกลับมารายงานให้กับ คุณอดุลย์ กิสรวงศ์ ซึ่งเป็นผู้อำนวยการฝ่ายในขณะนั้นว่า รูปแบบหลักฐานต่าง ๆ ของธนาคารกรุงเทพ ซึ่งได้ใช้คอมพิวเตอร์ไปแล้วนั้น เปลี่ยนแปลงไปอย่างมาก ผู้ตรวจสอบไม่สามารถใช้ทรัพยากรที่มีอยู่ในขณะนั้น ทำการปฏิบัติงานตรวจสอบตามปกติได้ ซึ่งในเวลาต่อมา ผู้อำนวยการฝ่ายตรวจสอบในขณะนั้น จึงขออาสาสมัครจากผู้ตรวจสอบว่า มีผู้ใดสนใจจะศึกษาปัญหาการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์เช่นเดียวกับธนาคารกรุงเทพบ้าง เพราะการตรวจสอบทางด้าน IT ในยุคนั้นยังหาหน่วยงาน โดยเฉพาะหน่วยงานกำกับมาทำการตรวจสอบงานทางด้าน IT นั้นยังหาได้ยากมาก

ผมเป็นผู้หนึ่งใน 2 คนที่อาสาไปศึกษาและหาแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ ซึ่งผมจะนำรายละเอียดมาเล่าโดยสังเขป เมื่อมีโอกาสในตอนต่อ ๆ ไป สำหรับวิวัฒนาการของ IT Management และการตรวจสอบ รวมทั้งแนวทางกำกับหน่วยงานที่ใช้คอมพิวเตอร์ ในตอนที่ 3 นี้ ผมจะขอนำเสนอวิวัฒนาการความเป็นมา รวมทั้งการมีการใช้คอมพิวเตอร์ในวงการธนาคารพาณิชย์ควบคู่กับแนวทางการพัฒนาการกำกับและตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ ซึ่งเริ่มต้นตั้งแต่ ปี พ.ศ. 2513 เป็นต้นไป โดยสรุป ถึงปี พ.ศ. 2536 ก่อนที่ผมจะย้ายไปปฏิบัติงานจากรองผู้อำนวยการฝ่าย/ส่วนงานพิเศษ ที่ทำหน้าที่ดูแลและตรวจสอบธนาคารพาณิชย์และสถาบันการเงินด้านคอมพิวเตอร์ ไปเป็นผู้อำนวยการอาวุโส สาขาภาคตะวันออกเฉียงเหนือ ที่ขอนแก่น และในระหว่างที่ผมอยู่ที่ขอนแก่น ซึ่งต้องดูแลสถาบันการเงินและการดำเนินงานของธนาคารพาณิชย์ใน 19 จังหวัดของภาคตะวันออกเฉียงเหนือนั้น ผมได้เขีนนหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา 4 เล่ม ด้วยกันคือ

เล่มที่ 1 การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

เล่มที่ 2 การตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

เล่มที่ 3 คอมพิวเตอร์กับการทุจริต

เล่มที่ 4 แผนการปฏิบัติงานแบบฉุกเฉินและการดำเนินธุรกิจอย่างต่อเนื่อง และแบบฝึกหัดการตรวจสอบด้านคอมพิวเตอร์

หนังสือทั้ง 4 เล่ม ผมได้ขออนุญาตทางธนาคารแห่งประเทศไทย สำนักงานใหญ่ อนุญาตการจัดพิมพ์และเผยแพร่ให้กับธนาคารพาณิชย์และสถาบันการเงินทุกแห่งในภาคตะวันออกเฉียงเหนือ โดยไม่มีการจำหน่ายแต่อย่างใด ในปัจจุบันหนังสือทั้ง 4 เล่มได้แจกจ่ายไปหมดแล้ว คงจะหาอ่านได้ห้องสมุดธนาคารแห่งประเทศไทยทุกแห่ง ตลาดหลักทรัพย์แห่งประเทศไทย และแน่นอนว่าที่ธนาคารพาณิชย์และสถาบันการเงินภาคตะวันออกเฉียงเหนือทั้ง 19 จังหวัด (ถ้ายังมีอยู่ เพราะผมได้แจกจ่ายไป เมื่อ มีนาคม 2539 ซึ่งมีความหนาทั้ง 4 เล่ม ประมาณ 1,300 หน้า)

เอาละครับ ผมคงไม่สามารถที่จะนำเรื่องที่ผมเขียนไว้ทั้ง 4 เล่มมาลงในเว็บไซต์นี้ได้ทั้งหมด แต่มี ศาสตราจารย์ ดร. ยุพา กาญจนดุลย์ จากมหาวิทยาลัยธรรมศาสตร์ได้ขออนุญาตผม ขอนำหนังสือเล่มที่ 2 ไปเผยแพร่ที่ ห้องสมุด BKK Online ใน www.bkkonline.com

สำหรับวันนี้ ลองดูประวัติศาสตร์และวิวัฒนาการของการใช้คอมพิวเตอร์และการกำกับและตรวจสอบด้านคอมพิวเตอร์ของธนาคารแห่งประเทศไทย ซึ่งอธิบายด้วยแผนภาพโดยย่อ เพื่อให้เข้าถึงแก่นสาระตามหัวข้อนี้ได้อย่างรวดเร็วครับ

ก่อนที่จะเริ่มเล่าเรื่องมาตรการการกำกับและตรวจสอบของธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์นั้น เพื่อให้ได้อรรถรสและติดตามเรื่องราวได้ใกล้ชิดยิ่งขึ้น ผมจึงจะขอพูดถึงคำนำ ในหนังสือเล่มที่ 1 ของผม เพื่อให้ท่านผู้อ่านได้ทราบและเข้าใจในสาระของวิวัฒนาการการบริหารและการกำกับ รวมทั้งการตรวจสอบทางด้านเทคโนโลยีสารสนเทศในยุคแรก คือตั้งแต่ ปี พ.ศ. 2513 ดังนี้ครับ

1. การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มนี้และเล่มต่อ ๆ ไป เป็นการรวบรวมจากเอกสารประกอบการ การบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไปของผมในช่วงเวลาตั้งแต่ปี พ.ศ. 2524 – 2536 ให้แก่สถาบันหลายแห่ง เช่น การบรรยายให้นักศึกษาปริญญาโท มหาวิทยาลัยธรรมศาสตร์ AIT (Asian Institue of Technology) กลุ่มธนาคารกลางต่าง ๆ ในประเทศเอเชีย (SEACEN-South East Asian Central Banks) มหาวิทยาลัย ธนาคารพาณิชย์ สถาบันการเงินหลายแห่ง ธนาคารออมสิน สมาคมนักบัญชี และผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย สมาคมธนาคารไทย ชมรมผู้สอบบัญชีภายใน หน่วยงานของรัฐ สมาคมตรวจสอบคอมพิวเตอร์ภาคพื้นกรุงเทพฯ (EDPAA) และสถาบันการฝึกอบรมต่าง ๆ โดยเฉพาะอย่างยิ่งงานบรรยายประจำในช่วงดังกล่าวก็คือ การบรรยายให้ผู้ตรวจสอบของฝ่ายกำกับและตรวจสอบสถาบันการเงิน และฝ่ายกำกับและตรวจสอบธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยในช่วงนั้น

การที่ผมนำเอกสารบรรยายในอดีตหลายครั้งมาจัดทำเป็นรูปเล่มใหม่นี้ การเรียบเรียงและลำดับเรื่องอาจมีข้อมูลบางตอนที่คล้ายกันบ้าง และบางตอนก็อาจนำเรื่องที่เคยกล่าวแล้วไปไว้ในเรื่องที่เกี่ยวข้องอีก เพื่อทำความเข้าใจให้ต่อเนื่องกันไป ทั้งนี้ เพราะผมมีแนวการบรรยายและการดำเนินเรื่องที่แตกต่างกันไปในแต่ละครั้ง ซึ่งขึ้นกับความเหมาะสมของผู้ฟังแต่ละองค์กรเป็นหลัก

2. จากหน้าที่หลักที่ผมทำหน้าที่ผู้ตรวจการธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ มานานปี และได้รับมอบหมายจากธนาคารแห่งประเทศไทย ให้ดูแลและรับผิดชอบทางด้านการพัฒนาและการตรวจสอบด้านคอมพิวเตอร์ของสถาบันการเงินในปี 2524 หลังจากที่กลับจากการศึกษา อบรมดูงาน และฝึกงานด้านนี้ครั้งแรกประมาณ 5 เดือน ที่ประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น และต่อมามีโอกาสไปดูงานที่ประเทศอังกฤษทางด้าน Electronic Banking หลังจากนั้นผมและเพื่อนร่วมงานได้ศึกษางานตรวจสอบด้านคอมพิวเตอร์เพิ่มเติมอีกมาก เพื่อกำหนดและวางแนวทางการตรวจสอบงานด้านคอมพิวเตอร์ต่อสถาบันการเงินในประเทศไทย

3. จากการที่ผมทำงานทางด้านกำกับและตรวจสอบธนาคารพาณิชย์ รวมทั้งได้ทำงานทางด้านกำกับและตรวจสอบสถาบันการเงินในช่วงเวลาอันยาวนาน ตลอดเวลาที่ทำงานที่ธนาคารแห่งประเทศไทย เป็นเวลาเกือบ 30 ปี ติดต่อกัน ทำให้พอจะมองเห็นภาพและปัญหาการดำเนินงานของธนาคารพาณิชย์และสถาบันการเงินทั้งทางด้าน Financial และด้าน Computer ได้พอสมควร จึงได้รับเชิญให้เป็นผู้บรรยายงานทั้ง 2 ด้าน โดยเฉพาะในช่วงหลังที่ธนาคารให้ผมมารับผิดชอบงานด้านการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ด้วย ผมจึงมีโอกาสได้บรรยายในรูปแบบความสัมพันธ์และความเกี่ยวข้องซึ่งกันและกันของงานทางด้าน Financial และ Computer ซึ่งอย่างหลังนี้มักจะเรียกกันในปัจจุบันว่า IT (Information Technologies) หรือ IS (Information Systems) เพราะมีความหมายกว้างขวางและเหมาะสมกว่า Computer หรือ EDP (Electronic Data Processing) มาก ดั้งนั้น ถ้าพบคำว่า IT Audit หรือ IS Audit แล้วละก็ คำ ๆ นี้ก้คือ Computer หรือ EDP Audit นั่นเอง

4. ความหมาของ Computer Audit ในสายงานของผู้กำกับและผู้ดูแลสถาบันการเงินในความหมายกว้างก็คือ การตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ที่มีผลกระทบต่อความมั่นคงและความสามารถในการดำเนินงานอย่างต่อเนื่อง โดยมีประสิทธิภาพในองค์กรที่ใช้คอมพิวเตอร์ และในความหมายแคบก็คือ การตรวจสอบเพื่อประเมินการควบคุมความเสี่ยงต่าง ๆ จากการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ที่มีผลเกี่ยวข้องกับความถูกต้อง ความน่าเชื่อถือได้ของข้อมูลทางการเงินและการควบคุมภายใน เพื่อให้คำแนะนำในแนวทางป้องกันปัญหาล่วงหน้าก่อนที่ปัญหาจริงจะเกิดขึ้น อย่างไรก็ดี ขอบเขตของการตรวจสอบด้านคอมพิวเตอร์จะขึ้นอยู่กับเป้าหมายของการตรวจสอบเป็นสำคัญ

5. ความเสี่ยง (Risks) ทางด้านคอมพิวเตอร์เป็นความเสี่ยงในรูปแบบใหม่เพิ่มเติมจากความเสี่ยงในการดำเนินงานตามปกติ ที่อาจมีผลเสียหายต่อฐานะและความมั่นคงของสถาบันการเงินที่สำคัญคือ

1) การหยุดชะงักการให้บริการ ซึ่งเกิดจาก Hardware Failure, Software Failure หรือปัญหาทางบุคลากรที่ใช้คอมพิวเตอร์อย่างไม่ถูกต้อง ซึ่งเรื่องนี้สถาบันการเงินอาจต้องหยุดการให้บริการ ทั้ง ๆ ที่ไม่มีปัญหาด้านสภาพคล่องได้

2) ความผิดพลาดของข้อมูลทางการเงิน

3) การตัดสินใจที่ผิดพลาดของผู้บริหาร อันเกิดจากความผิดพลาดของข้อมูล

4) ข้อมูลทางการเงินและการบัญชีไม่อาจยอมรับได้

5) การทุจริตหรือความเสียหาย ซึ่งบางกรณีเป็นเงินจำนวนมาก

6) ค่าใช้จ่ายส่วนเกินที่เกิดจากการใช้คอมพิวเตอร์อย่างไม่มีประสิทธิภาพ หรือเกิดจากความล้มเหลวของ Hardware หรือ Software หรือบุคลากร ซึ่งบางกรณีกระทบกับความมั่นคงโดยตรงของสถาบันการเงิน

7) เสียเปรียบทางด้านการแข่งขันและการบริการ ซึ่งมีผลต่อชื่อเสียงของสถาบันและส่วนแบ่งด้านการตลาด

ความเสี่ยงในแต่ละเรื่องข้างต้น เคยมีตัวอย่างที่ก่อให้เกิดความเสียหายในต่างประเทศและในประเทศเองทุกกรณี และบางกรณีเป็นเรื่องร้ายแรงมาก กรณีของในประเทศมักจะเป็นความลับ ไม่ได้รับการเปิดเผยทั่วไป ส่วนใหญ่ความเสี่ยงและความเสียหายบางประเภท เช่น การหยุดชะงักการให้บริการเป็นเวลาเกินกว่า 1 วันทำการ เป็นสิ่งที่ทางการจะยอมให้เกิดขึ้นไม่ได้ การตรวจสอบในลักษณะ After the fact สำหรับ Computer Audit จึงไม่ได้ผล การตรวจสอบที่มีประสิทธิภาพ คือการตรวจสอบในลักษณะ Before the fact และให้คำแนะนำที่มีประสิทธิภาพล่วงหน้าก่อนที่ปัญหาจริง ๆ จะเกิดขึ้นนั่นเอง

การดูแลความมั่นคงของสถาบันการเงินของธนาคารแห่งประเทศไทย จึงต้องดูแลในทุกเรื่องที่เกี่ยวข้องกับเสถียรภาพและประสิทธิภาพในการบริหารงาน เพื่อให้สถาบันการเงินนั้นสามารถดำเนินการได้อย่างต่อเนื่องและมั่นคงตลอดไป

6. จากการบรรยาย เรื่องการตรวจสอบงานด้านคอมพิวเตอร์ ให้ผู้บริหารระดับสูงของธนาคารออมสิน สำนักงานใหญ่ และหน่วยงานต่าง ๆ ของรัฐ ในช่วงท้าย ๆ ก่อนที่ผมจะเดินทางมารับงานในตำแหน่งผู้อำนวยการสาขา ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือจังหวัดขอนแก่น ในปลายปี 2536 ซึ่งผมได้รวบรวมเอกสารเท่าที่รวบรวมได้ในเวลาจำกัดจากการบรรยายที่ผ่านมาให้ผู้เข้ารับฟังการบรรยายนั้น ธนาคารออมสิน สำนักงานใหญ่ได้รวบรวมและเย็บเข้าเล่มจนเป็นที่สนใจของผู้พบเห็นในโอกาสต่อมา และมีการขอร้องให้รวบรวมจัดทำเป็นเล่มขึ้นใหม่ เพื่อเป็นวิทยาทานต่อไปด้วย

7. เมื่อผมได้ทำหน้าที่ผู้อำนวยการธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่จังหวัดขอนแก่น เมื่อวันที่ 1 ตุลาคม 2536 เป็นต้นมา ผมก็ยังคงมีหน้าที่หลักประการหนึ่งที่สาขาภาคฯ เช่นเดียวกับที่กรุงเทพฯ นั่นคือการกำกับดูแลฐานะดำเนินงานและความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้ง 19 จังหวัดอยู่ด้วย ประกอบกับผมมีความเชื่อมั่นว่า การกำกับสถาบันการเงินที่ได้ผลจะต้องมาจากการป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินเหล่านั้น วิธีการหนึ่งที่จะบรรลุเป้าหมายนี้ก็คือ การให้ผู้บริหารสถาบันการเงินต่าง ๆ มีจรรยาบรรณที่ดี มีความรู้ ความสามารถ รู้จักวิเคราะห์และเข้าใจถึงความเสี่ยงและการป้องกันความเสี่ยงในการบริหารงานของสถาบันการเงินนั้น ๆ ผมจึงได้เผยแพร่แจกจ่ายหนังสือเล่มแรก เรื่อง “การจัดระบบควบคุมภายในของสถาบันการเงิน” ให้กับธนาคารพาณิชย์ และสถาบันการเงินทั่วทั้งภาคอีสาน เมื่อปี 2537 – 2538 และหนังสือเล่มนี้ได้ใช้ในการบรรยายเรื่องดังกล่าวในโอกาสต่าง ๆ ด้วย

8. จากการพบปะกับผู้บริหารสถาบันการเงินต่าง ๆ ในภาคอีสานผมได้ปรารภและได้พูดถึงบทบาทของคอมพิวเตอร์ในวงการสถาบันการเงินหลายครั้ง เนื่องจากปรากฎว่า มีสาขาธนาคารพาณิชย์บางแห่ง ในภาคตะวันออกเฉียงเหนือประสบความเสียหายจากการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือด้วย จึงมีผู้สนใจใคร่จะติดตามเรื่องดังกล่าวมากขึ้น ประกอบกับธนาคารพาณิชย์หลายแห่งได้ให้พนักงานศึกษาเรื่องนี้มากขึ้นเรื่อย ๆ ผมจึงเห็นเป็นโอกาสดีที่จะเผยแพร่หนังสือ เรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเป็นการรวบรวมเรื่องที่น่าสนใจด้านคอมพิวเตอร์ในแง่มุมหลายประการจากเอกสารต่าง ๆ ที่ผมเคยแจกจ่ายให้กับผู้เข้าฟังการสัมมนาและการบรรยายของผมในอดีตที่ผ่านมา ในช่วงปี 2524 – 2536 โดยรวบรวมเรื่องใหม่ จัดเรื่องและเนื้อหาในบางส่วนเพิ่มเติมจากที่มีการรวบรวมไว้แล้วใหม่ โดยเฉพาะอย่างยิ่ง เรื่อง การดำเนินงานด้านคอมพิวเตอร์ ซึ่งได้จัดพิมพ์ใหม่และอาจจะใช้เป็นแนวทางในการปฏิบัติงานด้านคอมพิวเตอร์ในสถาบันการเงินและองค์กรต่าง ๆ ได้ตามสมควร นอกจากนั้นผมยังได้ค้นหาเอกสารที่ได้จัดทำไว้จำนวนมากที่ยังกระจัดกระจายตามหีบห่อเก็บสัมภาระของผมก่อนย้ายมาประจำที่จังหวัดขอนแก่น ก็ปรากฏว่ามีเรื่องที่น่าสนใจที่ไม่เคยเผยแพร่หลายเรื่องด้วยกัน หากผมต้องรวบรวมจัดพิมพ์ในครั้งเดียวกัน ก็จะต้องใช้เวลานานมากขึ้น และเอกสารก็จะหนามากเกินไป ผมจึงแยกจัดทำเป็น เล่ม 1 เล่ม 2 และอาจมีถึง เล่ม 3

9. สำหรับเล่ม 1 จะเป็นการบรรยายเน้นหนักในเรื่องที่เกี่ยวข้องกับการดำเนินงานด้านคอมพิวเตอร์ และข้อคิดเห็น รวมทั้งข้อสังเกตในการบริหารงาน รวมทั้งหลักการตรวจสอบในบางเรื่อง เล่ม 2 จะเป็นรายละเอียดและเน้นด้านการควบคุมภายในและการตรวจสอบด้านคอมพิวเตอร์ รวมทั้งการจัดทำแผนฉุกเฉินเป็นหลัก สำหรับเล่ม 3 จะแสดงตัวอย่างของจุดอ่อนทางคอมพิวเตอร์ต่าง ๆ ที่พบในประเทศไทยและต่างประเทศ โดยเฉพาะอย่างยิ่งการกล่าวถึงการทุจริตโดยใช้คอมพิวเตอร์เป็นเครื่องมือและแนวทางการตรวจสอบการทุจริตทางด้านคอมพิวเตอร์ที่น่าสนใจ โดยผมได้ดัดแปลง เรียบเรียงเพิ่มเติมจากหลักการตรวจสอบงานด้านคอมพิวเตอร์ตามปกติ ให้ไปสู่แนวทางการตรวจสอบการทุจริตด้านคอมพิวเตอร์หรือโดยใช้คอมพิวเตอร์ รวมทั้งตัวอย่างการตรวจสอบการทุจริตด้านคอมพิวเตอร์ และความร่วมมือระหว่างผู้ตรวจสอบด้านการเงินกับผู้ตรวจสอบคอมพิวเตอร์ เมื่อมีการทุจริตเกิดขึ้น

10. เอกสารประกอบการบรรยายของผมในหนังสือเล่มนี้ รวมทั้งอีก 2 เล่มที่จะพิมพ์ขึ้นนั้น มีหลายบทที่ใช้คำว่าธนาคารมากกว่าคำว่าสถาบันการเงิน ทั้งนี้เพราะผมได้บรรยายให้กับบุคคลในวงการธนาคารพาณิชย์และธนาคารอื่น ๆ มากกว่าสถาบันการเงินโดยทั่วไป อย่างไรก็ดี ความหมายคำว่าธนาคารนี้ก็ใช้ได้กับสถาบันการเงินโดยทั่วไป และอาจประยุกต์ใช้กับองค์กรอื่น ๆ ที่ใช้คอมพิวเตอร์ในการประมวลข้อมูลได้ด้วย อย่างไรก็ดี ผมได้แก้ไขถ้อยคำส่วนใหญ่ที่ใช้คำว่า ธนาคารเป็นสถาบันการเงินแล้ว แต่ผมไม่ได้แก้ไขรายการตัวอย่างที่ระบุวันที่ไว้ ทั้งนี้ เพื่อที่จะให้ท่านผู้อ่านได้ทราบว่าเป็นการบรรยายในอดีตที่ผ่านมา

11. เนื่องจากผมไม่มีเวลาแก้ไขเพิ่มเติมข้อมูลจากการบรรยายเรื่องต่าง ๆ ของเอกสารเล่มนี้ ซึ่งส่วนใหญ่เป็นการบรรยายในอดีตตามที่กล่าวถึงข้างต้นแล้ว จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อความมากกว่าร้อยละ 95 ยังคงใช้ได้ดีอยู่จนถึงปัจจุบัน

12. เอกสารเล่มนี้และเล่มต่อ ๆ ไป ได้จัดทำขึ้นโดยมีวัตถุประสงค์เพื่อแจกจ่ายและเผยแพร่ให้กับพนักงาน ในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทยและสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ เพื่อเป็นส่วนหนึ่งของการทำความเข้าใจในการบริหารงานและการดำเนินงานด้านคอมพิวเตอร์ รวมทั้งเรื่องการตรวจสอบ ซึ่งนับวันจะมีบทบาทมากขึ้นในแทบจะทุกธุรกรรมของทุกองค์กร โดยเฉพาะอย่างยิ่งในสถาบันการเงิน และเป็นส่วนหนึ่งของการป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินในลักษณะที่เรียกว่า Point to the problem before it points to us. นอกจากนี้จะได้เผยแพร่ในวงการศึกษา ซึ่งการเรียนการสอนการดำเนินงานด้านคอมพิวเตอร์และการตรวจสอบในปัจจุบัน ยังอยู่ในวงจำกัดค่อนข้างมาก ทั้ง ๆ ที่คอมพิวเตอร์ได้รับการยอมรับและมีใช้กันโดยทั่วไปในองค์กรต่าง ๆ แล้ว

13. เอกสารทั้ง 3 เล่ม ไม่มีจำหน่าย แต่มีไว้เพื่อแจกจ่ายตามวัตถุประสงค์ที่กล่าวในข้อ 12. ข้างต้น การเผยแพร่ข้อมูลจากหนังสือเล่มนี้ต่อไปในรูปอื่นใด ควรจะได้อ้างอิงที่มาของข้อมูลด้วย หนังสือเล่มนี้ไม่ได้กล่าวหรืออธิบายถึงการทำงานของระบบคอมพิวเตอร์โดยทั่วไป ทั้งนี้ผมได้ตั้งแนวทางไว้ว่าผู้อ่านได้ทราบเรื่องดังกล่าวพอสมควรแล้ว

14. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะในรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ที่มีส่วนทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน และขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสาร การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ และขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงินธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้ด้วย

เมธา สุวรรณสาร

ผู้อำนวยการ

ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ

25 มีนาคม 2539

ตอนนี้มาถึงมาตรการของ ธปท. ในเบื้องต้นในช่วงที่ผมทำหน้าที่ดูแลด้านการกำกับและตรวจสอบทางด้าน IT ยุคนั้นเรียกว่า EDP – Electronic Data Processing เพื่อตามให้ทันกับความก้าวหน้าของการนำ EDP มาใช้ในยุคแรกของประเทศไทย

มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ

เรื่องที่เกี่ยวข้องกับฐานะความมั่นคงและการควบคุม

ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่กำหนดขึ้นก็เพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงินให้มีความถูกต้องและน่าเชื่อถือได้เป็นสำคัญ ทั้งนี้อาจสรุปได้ดังนี้

http://itgthailand.files.wordpress.com/2013/12/e0b8a0e0b8b2e0b89ee0b899e0b8b4e0b988e0b8872.jpg

มาตรการดังกล่าวข้างต้น ถึงแม้จะใช้มาเป็นเวลานานมากแล้ว แต่ทุกอย่างก็ยังใช้อยู่ แต่มีการปรับปรุงให้เหมาะสมกับสภาพแวดล้อมทางด้านเทคโนโลยีสารสนเทศยุคใหม่ ที่มีความเสี่ยงต่าง ๆ มากขึ้น ซึ่งผมจะได้ค่อย ๆ ทยอยเล่าถึงวิวัฒนาการการพัฒนาการกำกับและตรวจสอบทางด้านเทคโนโลยีสารสนเทศ จนในที่สุดจะก้าวไปถึงยุค GEIT / GRC ในปัจจุบันครับ

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/