Archive for the "Non – IT Audit / การตรวจสอบโดยทั่วไป" Category

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 13)

จากที่ผมได้เล่าถึงการได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) และ FDIC (Federal Deposit Insurance Corporation) เมื่อปี 2521 นั้น ก็จะเห็นว่ามีความเหมือนหรือแตกต่างกันอย่างไร ในวิธีและกระบวนการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา จากของทั้ง 2 สถาบัน ซึ่งจะเห็นได้ว่า OCC ใช้แนวการตรวจสอบในแบบ Around The Computer เพียงอย่างเดียว ไม่เหมือนกับ FDIC ที่ใช้วิธีการตรวจสอบในแบบ Through The Computer ควบคู่ไปกับวิธีการตรวจสอบแบบ Around The Computer ด้วย สำหรับครั้งนี้ ผมจะเล่าต่อถึงการตรวจสอบของ OCC ว่ามีขอบเขตของการตรวจสอบ ความถี่ แผนการตรวจสอบ รายงานการตรวจสอบ รวมถึงวิธีการตรวจทานรายงานและการติดตามผล อย่างไรบ้าง

ขอบเขตของการตรวจสอบ (Scope of Examination)

ผู้ตรวจสอบควรมีการศึกษาข้อมูลขั้นต้น (Preliminary Review) ถึงหน้าที่ต่าง ๆ ของงานด้าน EDP ทั้งหมดก่อน แล้วจึงใช้วิธีตรวจสอบโดยละเอียด (Examine in Depth) ถึงงานแต่ละด้านเพื่อดูถึงข้อบกพร่องของการควบคุมภายใน ถ้าปรากฏว่า มีข้อบกพร่องที่เป็นสิ่งสำคัญก็จำต้องพิจารณาขยายขอบเขตของการตรวจสอบด้านการให้กู้ยืมและให้เครดิตมากยิ่งขึ้น (Concurrent Commercial Examination) เนื่องจากว่ามีความสัมพันธ์โดยตรงกับระบบงานที่ใช้อยู่ (Automated Applications) ถ้าวิธีการควบคุมภายในของงาน EDP ช่วงดังกล่าวบกพร่อง ก็ไม่อาจใช้ข้อมูลที่ได้จากระบบนั้น เพื่อการตรวจสอบงานด้านเกี่ยวกับธุรกิจ (Commercial) ของธนาคารนั้นได้

ความถี่ของการตรวจสอบ (Frequency of Examination)

การตรวจสอบศูนย์ข้อมูลต่าง ๆ นั้นถือเกณฑ์ปีละครั้ง (Annual Basis) และอย่างช้าที่สุดต้องไม่เกินกว่า 18 เดือนต่อครั้ง ในกรณีที่พบว่าการควบคุมภายในบกพร่องมาก ก็จำเป็นต้องมีการตรวจสอบให้บ่อยครั้งยิ่งขึ้น บางครั้งก็จะต้องมีการไปตรวจสอบ เพื่อติดตามความก้าวหน้าในการแก้ไขข้อผิดพลาดของธนาคาร ตามที่ระบุไว้ในรายงานการตรวจสอบ

แผนการตรวจสอบ (Work Program)

ทุกครั้งที่ตรวจสอบจะต้องมีการจัดทำแผนการตรวจสอบสำหรับศูนย์ข้อมูลแต่ละแห่ง เรียงลำดับขั้นตอนให้เรียบร้อยแล้วส่งให้ Regional EDP Associate เพื่อพิจารณา หลังจากนั้น Regional Office จะเป็นผู้เก็บรักษาและแจกจ่ายรายงานนั้นตามควรแก่กรณี และต้องจัดให้มีวิธีป้องกันรักษา Work Program ดังกล่าวอย่างรัดกุมทุกขั้นตอน

รายงานการตรวจสอบ (Report of Examination)

รายงานการตรวจสอบด้าน EDP จะต้องทำให้เสร็จโดยสมบูรณ์ในระหว่างการตรวจสอบขั้นตอนของงานใดที่มิอาจตรวจสอบได้ (Nonapplicable Sections) จะต้องเปิดเผยไว้ให้ชัดเจนในรายงาน ข้อบกพร่องต่าง ๆ ที่รายงานไว้จะต้องปรึกษาหารือกับเจ้าหน้าที่ผู้รับผิดชอบ และผู้บริหารของศูนย์ข้อมูลนั้น การสรุปสนทนาครั้งสุดท้าย (A Final Discussion) จะต้องกระทำกับผู้บริหารชั้นสูงสุดของธนาคารและของแผนก EDP แม้จะไม่มีข้อบกพร่องที่จะยกขึ้นเป็นข้อสังเกตหรือคำวิจารณ์ (Adverse Criticiam) ก็ตาม

ความรับผิดชอบในการควบคุมดูแลรายงานการตรวจสอบทั้งหมด เป็นหน้าที่ของ Regional Office ต้องรายงาน และเอกสารประกอบทั้งหมดจะต้องไม่อยู่ในความครอบครองของเจ้าหน้าที่ผู้ตรวจ นานเกินกว่าระยะเวลาอันสมควร หลังจากที่ได้มีการสรุปผลการตรวจสอบเสร็จสิ้นเรียบร้อยแล้ว

หลังจากเสร็จสิ้นการตรวจสอบแล้ว จะต้องจัดการกับรายงานการตรวจสอบ ดังนี้

  • รายงานการตรวจสอบฉบับร่าง (Examiner’s Pencil Copy) จะต้องส่งไปยัง Regional Office เพื่อตรวจทาน (Review) จัดพิมพ์ (Processed) และจัดส่ง (Distribution) ต่อไป
  • จะจัดส่งรายงานให้แก่ Washington Office, ศูนย์ข้อมูลที่ได้รับการตรวจสอบ (The Data Center Examined) และสาขา (Subregional Office) ของธนาคารที่ใช้บริการของศูนย์ข้อมูลดังกล่าว และสำเนารายงานฉบับที่ส่งให้สาขาของธนาคารนี้ จะต้องเก็บไว้รวมกับกระดาษทำงานจากการตรวจสอบด้านอื่น ๆ (Commercial Examination Work Papers) เพื่อใช้อ่านเป็นการเตรียมการตรวจสอบครั้งต่อไป รายงานอีกฉบับหนึ่งจะต้องส่งให้กับ Subregional Office ของผู้ตรวจการ EDP ที่มีหน้าที่พิจารณาติดตามและแนะนำในการตรวจครั้งต่อไป
  • ภายใต้ดุลยพินิจของ Regional Administrator อาจมีการส่งสำเนารายงานการตรวจสอบให้แก่ National Bank ทุกธนาคารที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ตรวจสอบก็ได้ หรือ Regional Administrator อาจใช้วิธีแจ้งไปยังธนาคารสมาชิกที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ได้รับการตรวจสอบดังกล่าวว่า ได้ตรวจสอบศูนย์คอมพิวเตอร์นั้นเสร็จสิ้นแล้ว หากธนาคารใดประสงค์จะได้รายงานการตรวจสอบดังกล่าว เพื่อไปศึกษารายละเอียดก็ให้เขียนจดหมายไปขอได้จาก Regional Office
  • สำเนารายงานการตรวจสอบบางฉบับ อาจจะจัดส่งให้สถาบันอื่นที่มีหน้าที่ควบคุมธนาคารพาณิชย์ (Other Regulatory Agencies) รวมทั้ง State Examining Authorities ด้วย ตามที่ขอมาโดยถือเป็นการแลกเปลี่ยนซึ่งกันและกัน (On a Reciprocal Basis)
  • ถ้าปรากฎว่าศูนย์ข้อมูลใดให้บริการแก่ธนาคารหลายแห่งที่ตั้งอยู่ต่างท้องที่กัน (National Bank Region) ก็จำเป็นต้องส่งรายงานการตรวจสอบให้กับ Regional Office ที่เกี่ยวข้องเป็นผู้แจกจ่ายให้แก่ Subregional Office ที่เห็นว่าเหมาะสม

วิธีตรวจทานรายงานและการติดตามผล

เมื่อทำรายงานการตรวจสอบเสร็จแล้ว แต่ก่อนที่จะจัดส่งรายงานฉบับสุดท้าย (Final Report) ไป ควรจะได้มีการตรวจสอบความถูกต้องเกี่ยวกับตัวเลข สภาพการทำงานของศูนย์ข้อมูลเนื้อหาของรายงาน การตรวจสอบ ตลอดจนวิธีปฏิบัติในการติดตามผล การตรวจทานรายงานนี้จะต้องกระทำโดย National EDP Associate ส่วน Washington Office จะเป็นผู้ตรวจทานเกี่ยวกับความต่อเนื่องของการตรวจสอบ (Continuity) เนื้อหาและความเพียงพอของการติดตามผล

รายงานหน้าการวิเคราะห์จะทำโดยผู้ตรวจสอบด้าน EDP และส่งให้แก่ Regional Office พร้อมกับร่างรายงานการตรวจสอบ ซึ่ง Regional Office จะเป็นผู้ตรวจสทานรายงานการตรวจสอบดังกล่าว พร้อมทั้งให้คะแนนเพื่อจัดอันดับศูนย์ข้อมูลดังกล่าวนั้น โดยมีสำเนาการให้ และจัดอันดับจัดส่งไปพร้อมกับรายงานการตรวจสอบ ได้แก่ Washington Office และผู้ตรวจการด้วย

การเขียนคำวิจารณ์รายงานการตรวจสอบจะเป็นหน้าที่ของ EDP Associate และมีสำเนาถึง Washington Office

คณะกรรมการสนับสนุนด้าน EDP ของสำนักงานวอชิงตัน จะเป็นผู้กำหนดมาตรฐานและนโยบายในการตรวจสอบ นอกจากนี้ คณะกรรมการดังกล่าวยังพร้อมที่จะให้คำปรึกษา ทั้งทางเทคนิคและวิธีการในกรณีที่มีปัญหายุ่งยากหรือมีเหตุการณ์ผิดปกติ

ผมได้เล่าประสบการณ์ในการไปดูงานการตรวจสอบด้าน EDP Audit ในช่วงเวลา ปี 2521 ซึ่งเวลาก็ผ่านมาเนิ่นนานถึง 36 ปีแล้วนั้น ก็เพื่อให้ท่านผู้อ่านได้ทราบความเป็นมาของวิวัฒนาการการตรวจสอบทางด้าน IT Audit ซึ่งในยุคก่อนเรียกว่า EDP Audit ว่ามีความแตกต่างอย่างไรกับการตรวจสอบในยุคปัจจุบัน ซึ่งเทคโนโลยีและมาตรฐานการบริหารงานทางด้านเทคโนโลยีสารสนเทศ ซึ่งมีความสัมพันธ์กับการบริหารงานทางด้านธุรกิจอย่างแยกกันไม่ได้ ตามแนวการบริหารและการจัดการที่ดี และยอมรับกันทั่วโลกขนาดนี้ก็คือ การบริหารในแนวของ GEIT – Governance Enterprise of IT หรือ COBIT 5 ซึ่งเป็น Integrated Single Framework ที่ในมุมมองของการบริหาร IT ทุกมุมมองจะสนับสนุนมุมมองทางด้าน Business Goals ในทุกมุมมอง และกลับกัน… นี่คือ ความแตกต่างกันอย่างมากในการบริหารยุคเดิม ซึ่งมักจะบริหารและจัดการตรวจสอบในแบบ Silo-Based หากท่านผู้อ่านติดตามในตอนต่อ ๆ ไป ก็จะได้พบกับวิวัฒนาการของการตรวจสอบทางด้าน IT ยุคใหม่ ซึ่งเป็น IT Audit ที่เชื่อมโยงกระบวนการทางด้าน IT ให้เข้ากับกระบวนการทางด้าน Enterprise Goals หรือ Business Goals ผสมผสานกับการพิจารณาที่เชื่อมโยงไปยัง Process Goals และต่อยอดลงไปยัง Enabler Goals ซึ่งเป็นปัจจัยเอื้อที่นำไปสู่ความสำเร็จในการบริหารทางด้านเทคโนโลยีสารสนเทศ และทางด้านธุรกิจ

ดังนั้น กระบวนการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ จะสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้ในทุกมุมมอง ได้อย่างมั่นใจ นั่นคือการสร้าง Value Creation ผ่านองค์ประกอบที่สำคัญของหลักการ Governance ที่ประกอบไปด้วย การได้รับผลประโยชน์ (ตามมุมมอง BSc.) ที่สัมพันธ์กับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่ดีอย่างมีดุลยภาพ โดยมีกระบวนการที่คณะกรรมการพึงต้องรับผิดชอบในการประเมินผล สั่งการ และเฝ้าติดตาม ในเรื่องกระบวนการที่เกี่ยวข้องกับ Governance ใน 5 กระบวนการหลัก ๆ ก็คือ

  • มั่นใจในการกำหนดกรอบการดำเนินการกำกับดูแลและการบำรุงรักษา
  • มั่นใจในการส่งมอบผลประโยชน์
  • มั่นใจในความเสี่ยงที่เหมาะสม
  • มั่นใจในการใช้ทรัพยากรให้ได้ประโยชน์สูงสุด
  • มั่นใจในความโปร่งใสต่อผู้มีส่วนได้เสีย

ท่านที่ติดตามต่อไปจนไปถึงขั้นตอนท้าย ๆ ของวิวัฒนาการ IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ซึ่งจะใช้เวลาอีกนานพอสมควร จะได้พบกับกระบวนการบริหาร กระบวนการตรวจสอบ ที่แตกต่างไปอย่างสิ้นเชิง กับอดีตที่ผ่านมาในช่วงเวลาถึง 36 ปี และมากกว่านั้น สำหรับตอนนี้จะเป็นตอนสุดท้ายสำหรับการเล่าเรื่องประสบการณ์การตรวจสอบทางด้าน EDP Audit ในยุคแรก ๆ ของวิวัฒนาการการตรวจสอบทางด้าน IT ของประเทศ ซึ่งจะเกี่ยวข้องกับวิวัฒนาการของการบริหารทางด้านเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี และกระบวนการกำกับ ควบคุม เทคโนโลยีสารสนเทศ ซึ่งจะแยกกันไม่ได้ระหว่าง IT Related Goals กับ Enterprise Goals ซึ่งจะได้กล่าวในอีกหลาย ๆ ตอนต่อไปนะครับ

 

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 12)

จากครั้งที่แล้ว ผมได้พูดคุยเกี่ยวกับการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสร่วมตรวจสอบธนาคารพาณิชย์ กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 ไปบ้างแล้วนั้น วันนี้ผมจะขอเล่าถึงการตรวจสอบในแบบ Evaluation หรือ Around the Computer ซึ่งจะต่างจาก FDIC (Federal Deposit Insurance Corporation) ที่มีการตรวจสอบในแบบ Through the Computer แล้วผมจะเล่าให้ฟังว่า ทำไม OCC ถึงเลือกที่จะใช้การตรวจสอบแบบ Evaluation หรือ Around the Computer

การตรวจสอบในแบบ Evaluation หรือ Around the Computer

การ Evaluation ของ OCC ก็คือ การตรวจสอบด้านคอมพิวเตอร์ของ EDP Examiner นั่งเอง ทั้งนี้เพราะ OCC พิจารณาว่า การ Evaluation แต่เพียงอย่างเดียวก็บรรลุวัตถุประสงค์ของ EDP Examination ทุกประการ ดังนั้น OCC จึงค้นคว้าวิธีการตรวจสอบคอมพิวเตอร์ด้วยวิธีการ “ประเมิน” งานด้านที่เกี่ยวข้องจนกระทั่งเป็นที่ยอมรับกันอย่างกว้างขวาง ซึ่งต่อมาทั้ง FDIC และ FRS ก็ได้นำวิธีการ Evaluation ทุกขั้นตอนของ OCC ไปใช้ในทางปฏิบัติจนกระทั่งปัจจุบันนี้ แต่ FDIC มีวิธีการเพิ่มเติมเป็นพิเศษของตนเองตามลำพัง คือการตรวจในแบบ Through the Computer โดยใช้ Software Package ช่วยในการตรวจสอบด้าน Financial Examination ด้วย

การประเมินผล อาจกระทำที่ธนาคารพาณิชย์ และ/หรือ ณ ศูนย์ปฏิบัติการคือ Data Center ซึ่งดำเนินการโดยธนาคารพาณิชย์นั้น ๆ เอง หรือประเมินผลที่บริษัทผู้รับประมวลข้อมูลให้ธนาคาร การประเมินผลจะใช้เวลาระหว่าง 2 สัปดาห์ ถึง 12 สัปดาห์ ทั้งนี้ขึ้นกับ

  • จำนวน Data Center ซึ่งอาจมีหลายแห่ง
  • ขนาดของ Data Center
  • ระบบงาน
  • ปริมาณงานและชนิดของงาน
  • ผลการตรวจสอบครั้งก่อน

การ Evaluation จนกระทั่งถึงการออกรายงานการตรวจสอบคอมพิวเตอร์ของ OCC มีขั้นตอนในการดำเนินงานเช่นเดียวกับที่กล่าวไว้ในขั้นตอนการ Evaluation และการออกรายงานการตรวจสอบคอมพิวเตอร์ของ FDIC ทุกประการ

การ Evaluation ของ EDP Examiner มี Work Program ในการปฏิบัติงานอย่างละเอียดในแต่ละส่วนงานที่เกี่ยวข้องกับคอมพิวเตอร์ ซึ่งมีหัวข้อและเป้าหมายกว้างในการตรวจสอบดังนี้

1. การประเมินการตรวจสอบของผู้สอบบัญชีของธนาคาร เพื่อ :-

ก) เพื่อกำหนดขอบเขตการปฏิบัติงานของผู้ตรวจสอบ ทั้งนี้เพราะผู้ตรวจสอบจะทราบสิ่งต่อไปนี้

  • ปัญหาและข้อบกพร่องที่ตรวจพบโดยผู้สอบบัญชีของธนาคาร
  • การตรวจสอบของผู้สอบบัญชีธนาคารว่าปฏิบัติงานตรวจสอบในสิ่งที่ควรจะได้ตรวจหรือไม่ เพราะผู้ตรวจสอบของ OCC จะขอดู Work Sheets ของผู้สอบบัญชีภายในของธนาคารด้วย

ข) ติดตามแก้ไขข้อบกพร่องตามที่ปรากฎในรายงาน

ค) สามารถทราบความสนใจของฝ่ายบริหารว่า สนใจเรื่องราวที่เกี่ยวกับคอมพิวเตอร์หรือไม่ ทั้งนี้ โดยดูจากการรายงานการประชุมว่ามีการพิจารณาและสั่งการประการใดบ้าง ในส่วนที่เกี่ยวกับข้อ comment และข้อแนะนำในรายงานตรวจสอบ

2. การประเมินการจัดการของฝ่ายบริหาร ก็เพื่อ :-

ก) พิจารณาการจัดองค์การ โดยเฉพาะในส่วนที่เกี่ยวข้องกับคอมพิวเตอร์ว่ามีหน่วยงานที่พอเพียงหรือไม่

ข) พิจารณาถึงการมอบหมายหน้าที่การงานและขอบเขตการรับผิดชอบให้กับแต่ละบุคคล ซึ่งมีส่วนรับผิดชอบในการบริหารงานเหมาะสมหรือไม่

ค) พิจารณาถึงนโยบายและการแก้ไขปัญหาของฝ่ายบริหาร

3. การประเมินรายงานและคำสั่งงาน (Systems and Programming) เพื่อ :-

ก) พิจารณาว่า ธนาคารสามารถดำเนินการได้ตามปกติหรือไม่ ถ้าเกิดกรณีต่อไปนี้

  • ไฟไหม้
  • น้ำท่วม
  • แผ่นดินไหว
  • ไฟฟ้าดับ
  • โทรศัพท์ขัดข้อง
  • อุปกรณ์คอมพิวเตอร์เสียหายหรือขัดข้อง

ทั้งนี้ เพราะปัญหาที่เกิดขึ้นกับธนาคารจะมีผลกระทบกระเทือนถึงประชาชนโดยตรง

ข) พิจารณาว่ามีการปฏิบัติตามคู่มือการปฏิบัติงานที่ได้วางไว้เป็นบรรทัดฐานหรือไม่ และคู่มือดังกล่าวยังมีผลในทางปฏิบัติเพียงใด

4. การประเมินผลด้านการปฏิบัติงาน (Computer Operation) เพื่อ :-

ก) พิจารณาถึงความพอเพียงของกระบวนการปฏิบัติงานในแต่ละขั้นตอนของการประมวลข้อมูลว่ามีความน่าเชื่อถือได้เพียงใด เมื่อได้ปฏิบัติตามระบบงานที่ได้เขียนเป็นลายลักษณ์อักษรไว้แล้ว

ข) พิจารณาถึงการควบคุมการประมวลข้อมูลทุกขั้นตอนว่า กระทำอย่างมีประสิทธิภาพเพียงใด อาจมีจุดอ่อนที่ใดได้บ้าง และมีการป้องกันอย่างไร และจะตรวจพบได้เพียงใด

สรุปงานของ EDP Examiner ขณะปฏิบัติงานด้านตรวจสอบประกอบด้วย :-

  • ปฏิบัติงานด้าน Review System ปัจจุบันธนาคารที่กำลังใช้งาน ประมาณร้อยละ 40
  • ปฏิบัติงานด้าน Review System ใหม่ที่ธนาคารจะนำมาใช้ในอนาคต ประมาณร้อยละ 30
  • ปฏิบัติงานด้านเทคนิคให้กับ Regular Examiner หรือ Financial Examiner ประมาณร้อยละ 20
  • ปฏิบัติงาน Review ด้าน Data Center ประมาณร้อยละ 10

เหตุผลที่ OCC ไม่ใช้วิธีการตรวจสอบในแบบ Through the Computer

เป็นที่น่าสังเกตว่า Comptroller of the Currency ใช้วิธีการ Evaluation ซึ่งพิจารณาได้ว่า เป็นแนวทางการตรวจสอบในแบบ “Around the Computer” แต่เพียงอย่างเดียว โดยไม่มีวิธีการตรวจสอบในแบบ “Through the Computer” ซึ่ง FDIC ใช้ในการปฏิบัติควบคู่กับวิธีการ “Around the Computer” ด้วย

เหตุผลที่ Comptroller of the Currency ไม่ใช้ Software Package หรือวิธีการ “Through the Computer” ในการตรวจสอบคอมพิวเตอร์อาจสรุปได้ดังนี้

1. มีปัญหามากในการใช้ปฏิบัติงาน พิจารณาว่าไม่คุ้มกัน เช่น ธนาคารเปลี่ยนแปลงฟอร์มหรือเทคนิคใหม่ ๆ ผู้ตรวจก็จำต้องแก้ไข Software Package และต้องศึกษาเทคนิคนั้น ๆ ให้รู้ซึ้งด้วย ส่วนมากใช้เวลา และในหลาย ๆ กรณีที่ต้องแก้ไข Software Package เนื่องจากธนาคารเปลี่ยน Operating System อาจใช้เวลาเกินกว่าที่ประมาณไว้มาก และการตรวจโดยใช้ Software Package มักพับกับปัญหาเช่นนี้เสมอ ๆ

2. ต้องใช้ความชำนาญของผู้ตรวจสอบมาก สิ้นเปลืองมาก และก็ไม่ได้เป็นที่แน่ใจว่าผู้ตรวจสอบประเภทนี้สามารถแก้ไขปัญหาได้ทุกเรื่อง เนื่องจากเวลาส่วนใหญ่หรือแทบทั้งหมดใช้ไปในงานตรวจสอบ จนกระทั่งไม่มีเวลาศึกษาเทคนิคใหม่ ๆ

3. การตรวจสอบโดยใช้ Software Package เพียงแต่ทำให้รู้สึกว่าเป็นการตรวจสอบอิสระที่ไม่จำเป็นต้องใช้ข้อมูลของธนาคาร แต่ในทางปฏิบัติต้องอาศัยพนักงานและความร่วมมือจากธนาคารพาณิชย์ที่ถูกตรวจสอบอยู่มาก เช่น

  • การให้เวลาปฏิบัติการ
  • การเลือก File ในการ Generate ข้อมูล
  • การชี้แนะเทคนิคต่าง ๆ ที่เกี่ยวข้องในการ Process ข้อมูล เป็นต้น
  • ผู้ตรวจสอบไม่อาจควบคุมการ Process งานทุกขั้นตอนได้

4. ผู้ตรวจสอบภายในของธนาคารส่วนใหญ่ก็ใช้ Software Package ในการตรวจสอบ ดังนั้น การประเมินการตรวจสอบภายในก็น่าจะพอเพียง ทั้งนี้เมื่อพิจารณาว่ารายละเอียดต่าง ๆ ควรเป็นหน้าที่ของผู้ตรวจสอบภายในของธนาคารเอง เพราะมีหน้าที่โดยตรงอยู่แล้ว

5. การใช้ Software Package ในการตรวจสอบแบบ Through the Computer นั้น แต่ละ Package ไม่อาจใช้กับงานที่จะตรวจทุกชนิดได้ (ยกเว้น Package ง่าย ๆ ที่ไม่มีประโยชน์ในการใช้งานในกาคปฏิบัติมากนัก) ดังนั้น แต่ละงานจะต้องใช้ แต่ละ Package ที่เกี่ยวข้อง นอกจากนี้ ถ้าเป็นคอมพิ้วเตอร์ต่างชนิด ต่างระบบ ก็ไม่อาจใช้ Software Package อันเดียวกันได้ ถึงแม้จะเป็นงานชนิดเดียวกันก็ตาม ดังนั้น จึงนับว่าสิ้นเปลืองมาก

6. การกำหนดข้อมูลขั้นต่ำที่จำเป็นต้องใช้ในการตรวจสอบให้ธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์จัดทำในรูป Report ได้เช่นเดียวกับข้อมูลที่จะได้จากการตรวจสอบด้วยวิธีธรรมดาหรือในแบบ Around the Computer ดั้งนั้น การตรวจสอบคอมพิวเตอร์โดยใช้วิธีการประเมินตามขั้นตอนที่ปฏิบัติอยู่ก็ได้ผลเช่น

7. การใช้ Software Package ของ FDIC เป็นเพียงเครื่องมือที่ช่วยในการตรวจสอบด้าน Financial ซึ่งช่วยงานตรวจสอบของ Financial Examiner เท่านั้น ไม่มีผลในการตรวจสอบเกี่ยวกับคอมพิวเตอร์โดยตรง เช่น 120 Package (Installment Loan Package) ที่ใช้ในการตรวจสอบ Installment Loans พัฒนาขึ้นเพื่อให้ผู้ตรวจ Installment Loans ซึ่งเป็นงานของ Financial Examiner ได้ตรวจสะดวกและรวดเร็วโดยได้ข้อมูลที่ต้องการเท่านั้น

ขั้นตอนของการวางแผนการตรวจสอบ EDP Audit / EDP Audit Plan – IT Audit Plan

สำหรับรูปภาพ ซึ่งเป็นแผนภาพการตรวจสอบ EDP Audit ในยุคแรก ๆ ของการตรวจสอบทางด้าน IT ซึ่งบางส่วนก็ยังสามารถประยุกต์มาใช้ในการวางแผนการตรวจสอบ IT Audit ในยุคปัจจุบันได้ ซึ่งขึ้นกับบริบทและสภาพแวดล้อม รวมทั้งระบบงานและเป้าประสงค์ของการตรวจสอบ และปัจจัยอื่น ๆ ที่เกี่ยวข้อง ผมจึงขอนำเสนอด้วยแผนภาพที่เข้าใจได้ง่าย ๆ และน่าจะเป็นประโยชน์ต่อผู้ตรวจสอบ ทั้งงานด้านทั่วไป (General Auditor) และ ผู้ตรวจสอบด้านคอมพิวเตอร์ (IT Auditor / IT Examiner) รวมไปถึง IT Audit for Non-IT Auditor ซึ่งทาง สวทช. ได้จัดให้มีการอบรมหลักสูตรนี้ติดต่อกันมาเป็นปีที่ 7 แล้ว ดังนั้น ผู้บริหารที่ต้องการติดตามร่องรอยการบริหาร (Management Trail) และผู้ตรวจสอบ ซึ่งต้องการติดตามร่องรอยการประมวลงาน ซึ่งรวมทั้งขั้นตอนการดำเนินงานตรวจสอบ (Audit Trail) ก็อาจศึกษาแนวทางการตรวจสอบ เพื่อวางแผนการตรวจสอบซึ่งเป็นขั้นตอนที่มีความสำคัญยิ่ง ทั้งนี้ เพื่อทดสอบการควบคุมความเสี่ยง จากทางด้าน IT Risk ที่มีผลต่อ Business Risk รวมทั้งหาหลักฐานที่เกี่ยวข้องมาสนับสนุนความเห็นของผู้ตรวจสอบตามความจำเป็นต่อไป

อนึ่ง ท่านผู้อ่านที่ได้ติตตามแผนภาพในเรื่องเกี่ยวกับ Audit Around the Computer และ Audit Through the Computer รวมทั้ง Test Data Method – TDM ในการเล่าเรื่องที่เกี่ยวข้องใน 2 ครั้งที่ผ่านมานั้น ก็เพื่อสร้างความคิด ความเข้าใจกับท่านผู้อ่านว่า ในยุคแรกของการตรวจสอบทางด้าน IT Audit ซึ่งเรียกว่า EDP Audit ในยุคนั้น เขามีวิธีการตรวจสอบกันอย่างไรโดยสังเขป ไม่ว่าจะใช้โปรแกรม หรือใช้ Manual ในการตรวจสอบก็ตาม

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 11)

สวัสดีครับทุกท่าน จากประสบการณ์ที่ผมได้ร่วมตรวจสอบ EDP Examiner กับ FDIC (Federal Deposit Insurance Corporation) และได้เล่าสู่กันฟังไปหลายตอนแล้วนั้น วันนี้ผมจะขอเล่าถึงการตรวจสอบที่ผมได้ร่วมกับ OCC (Office of the Comptroller of the Currency) ตามที่ได้กล่าวทิ้งท้ายในครั้งก่อนกันบ้างว่า จะมีความเหมือนหรือแตกต่างกันอย่างไร สำหรับงานตรวจสอบด้านคอมพิวเตอร์ของทั้ง 2 สถาบันดังกล่าว ซึ่งเป็นงานการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา เมื่อปี 2521 ติดตามกันต่อได้เลยครับ

การตรวจสอบคอมพิวเตอร์ของ OCC

 

ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examiners)

The Comptroller ได้แต่งตั้งผู้ตรวจสอบที่มีประสบการณ์ในการตรวจสอบให้ปฏิบัติงานเป็นผู้ตรวจสอบด้านคอมพิวเตอร์ (EDP Examiners) และได้จัดให้บุคคลเหล่านี้เข้ารับการฝึกอบรมเป็นพิเศษ เพื่อให้เป็นผู้ที่มีความสามารถในการที่จะตรวจสอบระบบการผลิตข้อมูลด้วยคอมพิวเตอร์ของธนาคารและของศูนย์บริการด้านคอมพิวเตอร์ (Service Center) ต่าง ๆ ที่ธนาคารใช้บริการอยู่

ผู้ตรวจการด้านคอมพิวเตอร์จะรายงานต่อ Regional Administrator ซึ่งตนสังกัดอยู่ แต่อย่างไรก็ตาม งานทางด้านเทคนิคต่าง ๆ ของการตรวจสอบด้าน EDP ยังคงอยู่ในความรับผิดชอบของฝ่ายกิจการธนาคาร (The Banking Operation Department) ในวอชิงตัน จำนวนของผู้ตรวจการ สถานที่ทำงาน และตารางเวลาการปฏิบัติงานของผู้ตรวจการดังกล่าว ยังคงขึ้นอยู่กับ Regional Administrator ซึ่งเป็นผู้บริหารงานของแต่ละ office การคัดเลือกผู้ตรวจการและการจัดให้เข้ารับการอบรมต้องประสานงานและได้รับอนุมัติจากสำนักงานตรวจสอบคอมพิวเตอร์ (EDP Examination Division) ในวอชิงตัน มาตรฐานและการดำเนินการฝึกอบรมให้ถือเป็นความรับผิดชอบของ Washington Office

ผู้ตรวจการด้าน EDP มีหน้าที่ในการตรวจสอบการผลิตข้อมูลด้วยคอมพิวเตอร์ในแต่ละธนาคาร และในศูนย์บริการซึ่งผลิตข้อมูลให้แก่ธนาคาร

แผนการปฏิบัติงาน (Work Programs) และรายงานการตรวจสอบจะจัดทำขึ้นโดยเฉพาะสำหรับแต่ละกิจการที่ตรวจสอบ วัตถุประสงค์ของการตรวจสอบก็เพื่อที่จะวัดผลการควบคุมภายในของระบบการผลิตข้อมูลด้วยคอมพิวเตอร์

ความจำเป็นของแต่ละท้องถิ่น ความสนใจและความชำนาญงานของผู้ตรวจการแต่ละคนจะเป็นปัจจัยที่กำหนดระยะเวลาที่จะใช้ในการตรวจสอบของผู้ตรวจการด้าน EDP ผู้ตรวจการด้าน EDP จะต้องเป็นผู้ที่มีความสนใจในงานด้านการผลิตข้อมูลด้วยเครื่องจักรนี้เป็นอย่างมาก เพื่อที่จะให้เป็นผู้ตรวจการที่มีประสิทธิภาพอยู่เสมอ

ผู้ตรวจการด้าน EDP ของ The Comptroller จะต้องเป็นผู้ที่คุ้นเคยกับงานด้านการตรวจสอบกิจการค้า กิจการทรัสต์ และกิจการธนาคารระหว่างประเทศ (International Bank) หรือเคยผ่านงานดังกล่าวมาบ้าง อย่างน้อยที่สุดต้องเป็นผู้ที่สามารถเข้าใจถึงกิจการดังกล่าวโดยตลอด ดังนั้น จึงอาจกล่าวได้ว่า ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examiner) จะต้องรู้ถึงแนวการตรวจสอบในแบบธรรมดามาแล้วเป็นอย่างดี และโดยปกติ EDP Examiner มักจะได้รับการคัดเลือกหรือมาจากความสมัครใจของผู้ตรวจสอบธรรมดา (Financial Examiner) ที่มีประสบการณ์การตรวจกิจการของธนาคารโดยทั่วไปมาแล้ว

การตรวจสอบคอมพิวเตอร์ (EDP Examination)

การตรวจสอบด้าน EDP ประกอบด้วยหลักการที่จะประเมินผลการควบคุมภายในที่มีอยู่ในศูนย์ประมวลผลแต่ละแห่ง ศูนย์ประมวลผลที่ดำเนินการประมวลผลข้อมูลและเก็บรักษาบันทึกข้อมูล (Master File Records) ของธนาคารทุกศูนย์จะต้องได้รับการตรวจสอบรายละเอียดด้านล่างนี้จะแสดงถึงลักษณะของศูนย์ประมวลผลที่จะต้องได้รับการตรวจสอบจากสำนักงานของ Comptroller

  • ศูนย์ประมวลผลข้อมูลของธนาคารที่ตั้งอยู่ในที่ทำการ (In-House Data Processing Center)
  • สาขาย่อยของศูนย์ประมวลผลของธนาคาร
  • กิจการในเครือของธนาคาร (Affiliates of National Bank) หรือ สาขาของธนาคาร (Subsidiaries of Bank Holding Companies) ซึ่งให้บริการผลิตข้อมูลแก่ธนาคาร
  • สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการด้านการประมวลผลข้อมูลแก่ธนาคาร (National Bank)
  • ระบบคอมพิวเตอร์ขนาดเล็ก (Minicomputer Systems) ของธนาคารที่ธนาคารใช้บันทึกข้อมูลเข้า Master Files ของระบบ Computer

ศูนย์ประมวลผลต่อไปนี้ไม่ต้องได้รับการตรวจสอบโดยสำนักงานของ Comptroller คือ

  • State Banks หรือสาขาของ State Banks ซึ่งให้บริการประมวลผลข้อมูลแก่ National Bank
  • ศูนย์ประมวลผลซึ่งมิใช่ของธนาคาร National Bank หรือสาขาของ National Bank และมิได้ให้บริการดังกล่าวแก่ National Bank

ส่วนเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่งใช้ประโยชน์เฉพาะ เพื่อการถ่ายทอดข้อมูลจากเอกสารต้นฉบับและส่งผ่าน (Transmitting) ไปยังศูนย์ประมวลผลเพื่อผ่านบัญชี (Posted), ประมวลผล (Processed) และ บันทึกข้อมูลและใช้เพื่อรับผล (Output) จากศูนย์และส่งกลับไปเพื่อแสดงผล ณ จุดต่าง ๆ ตามที่ต้องการ

การตรวจสอบระบบดังกล่าว ซึ่งมักเรียกว่า “Front-End Devices” มีข้อแนะนำดังต่อไปนี้

เมื่อใดก็ตามที่ธนาคารที่ตรวจสอบมีระบบ Front-End System เชื่อมโยงกับศูนย์คอมพิวเตอร์มากกว่า 1 แห่ง ผู้ตรวจการจะต้องเลือกไปตรวจสอบและดูความเหมาะสม 1 แห่ง และในการตรวจสอบครั้งต่อไปจะต้องเลือกแห่งใหม่ไม่ซ้ำกับที่เดิม แต่เนื่องจากการที่สถานที่ตั้งของ Front-End System อยู่คนละแห่งกันกับศูนย์ข้อมูลที่เข้าตรวจสอบตามหมายกำหนดการ ดังนั้น การตรวจสอบ Front-End Device ซึ่งอยู่คนละสถานที่กัน อาจทำให้ขณะที่เข้าตรวจศูนย์ข้อมูลอื่นซึ่งตั้งอยู่ในท้องถิ่นดังกล่าวได้ในภายหลัง และในกรณีนี้จะต้องมีรายละเอียดระบุไว้ด้วยว่า ได้ตรวจสอบครั้งก่อนเมื่อใด ใครเป็นผู้ตรวจ มีขอบเขตเพียงใด และไม่จำเป็นต้องรายงานแยกต่างหากอีก ข้อสังเกตของการตรวจสอบ Front-End System ดังกล่าวอาจรวมเข้ากับรายงานการตรวจสอบศูนย์ข้อมูลที่ได้ตรวจสอบเมื่อก่อนหน้านี้ก็ได้

การตรวจสอบประสานกัน (Concurrent Examination)

การตรวจสอบกิจการของธนาคารและศูนย์ข้อมูลของธนาคารอาจจะกระทำพร้อมกันไปก็ได้ เพื่อให้มีการประสานงานระหว่างผู้ตรวจสอบด้าน EDP และผู้ตรวจสอบด้านเงินให้กู้ยืมและให้เครดิต และด้านกิจการทรัสต์ ในกรณีที่มีปัญหาหรือพบข้อแตกต่างในระหว่างการตรวจสอบร่วมกันนี้ ผู้ตรวจการด้าน EDP จะเป็นผู้รับผิดชอบในการชี้แจงแก่ผู้บริหารระดับสูง (Senior Management) และแนะนำแก่ผู้ตรวจสอบเงินให้กู้ยืมและให้เครดิต (Examiner-Incharge of The Commercial Examination) ถึงข้อแตกต่างที่ตรวจพบ

การตรวจสอบร่วมกัน (Joint Examination)

ในบางกรณี EDP Examiner ของ Comptroller อาจตรวจสอบร่วมกับ EDP Examiner ของสถาบันอื่นที่มีหน้าที่ควบคุมธนาคาร (Other Regulatory Authorities) ก็ได้ เช่น ผู้ตรวจสอบของ FDIC และ/หรือ FRB

ผู้ตรวจการควรพยายามประสานงานเพื่อตรวจสอบกิจการต่อไปนี้

กิจการในเครือ (Affiliate) ของ National Bank หรือสาขา (Subsidiary) ของ Holding Company ของธนาคารซึ่งเป็นผู้ให้บริการผลิตข้อมูลแก่ National และ State Banks)

สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการแก่ National และ State Banks

องค์การที่ตั้งขึ้นเพื่อให้บริการแก่ธนาคาร (Bank Services Corporations) ทั้งในรูปของการลงทุนร่วมกันหรือสหกรณ์ (Joint Ventures or Cooperations) ซึ่งให้บริการดังกล่าวได้แก่ National และ State Banks

สำหรับการตรวจสอบคอมพิวเตอร์กับ OCC ยังไม่จบเพียงเท่านี้ ครั้งหน้าไปติดตามการตรวจสอบในแบบ Evaluation หรือ Around The Computer กันครับ

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 10)

ในครั้งก่อน ผมได้เล่าถึงการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสตรวจสอบธนาคารพาณิชย์กับ EDP Examiner โดยออกตรวจสอบร่วมกับสถาบัน FDIC เมื่อครั้งที่ผมได้ไปฝึกอบรมและดูงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งงานการตรวจสอบที่ FDIC ได้แบ่งออกเป็น 2 ประเภท คือ Evaluation และ Examination และผมได้กล่าวถึง การตรวจสอบแบบ Evaluation ไปบ้างแล้วนั้น ในครั้งนี้ ผมจึงจะขอเล่าต่อในส่วนของงานการตรวจสอบแบบ Examination กันต่อ

Examination

ถือเป็นงานลำดับรองลงมาเมื่อเทียบกับงาน Evaluation ด้าน Data Center งานด้านนี้เป็นเพียงสนับสนุนและช่วยเหลือ Financial Examiner ในการตรวจสอบงานด้านอื่น ๆ งานของ EDP Examiner ในส่วนนี้มีดังนี้

  • ขอ Report ต่าง ๆ ที่จำเป็นในการทำ Evaluation ซึ่งเป็นงานที่เกี่ยวข้องกับการประเมินผลด้าน Data Center
  • ขอ Report ที่จำเป็น เพื่อการปฏิบัติงานของ Financial (Regular) Examiner
  • ใช้ Program หรือคำสั่งงานของ FDIC เอง เพื่อดึงข้อมูลที่ต้องการตรวจสอบ ซึ่งบันทึกอยู่ในม้วน Tape หรือ Disk ของธนาคาร เพื่อให้ได้ข้อมูลที่ต้องการตามที่ Financial Examiner ต้องการ หรือ เพื่อทดสอบงานของ EDP Examiner เองบางส่วนก็ได้ งานในขั้นนี้นับว่ามีความสำคัญไม่น้อย เพราะเป็นวิธีการตรวจสอบที่เรียกว่า “Through the Computer” กล่าวคือ มีการใช้ Program ของผู้ตรวจสอบเอง ในการทดสอบข้อมูลของธนาคาร ไม่ว่าจะเป็นการดึงข้อมูลจาก File (Tape หรือ Disk) ของธนาคารในรูปแบบเดิม หรือเปลี่ยนแปลงข้อมูลให้ปรากฎในรูปฟอร์มแบบที่ผู้ตรวจสอบต้องการ รวมทั้งการทำข้อมูลใหม่โดยอาศัยข้อมูลเดิมของธนาคารด้วยก็ได้
  • การปฏิบัติงานการตรวจสอบที่เรียกว่า “Through the Computer” ของ FDIC นี้ เป็นการใช้เทคนิคการตรวจสอบมาก ผู้ตรวจสอบต้องเข้าใจในระบบงานอย่างแท้จริง และลึกซึ้งถึงจะปฏิบัติงานขั้นนี้ได้ และในทางปฏิบัติผู้ตรวจสอบก็พบกับปัญหาอยู่ไม่น้อย ซึ่งจะต้องทำการแก้ไขโปรแกรมในการตรวจสอบเสมอ ดังนั้นทาง Comptroller of the Currency จึงไม่ใช้วิธีการตรวจสอบชนิดนี้ทั้ง ๆ ที่ทาง FDIC เสนอให้ยืม Program ในการตรวจสอบไปใช้ก็ตาม
  • การตรวจสอบแบบ Around-Through The Computer

เหตุผลที่ FDIC ใช้แนวการตรวจสอบแบบ Through the Computer

1. ไม่ต้องอาศัยข้อมูลของธนาคารแต่อย่างเดียว เพราะ FDIC สามารถสร้างข้อมูลใหม่หรือเปลี่ยนรูปแบบของข้อมูลเดิมโดยอาศัย Program ปฏิบัติการในด้านนี้ ทำให้เป็นอิสระที่จะใช้ข้อมูลเท่าที่จำเป็นในการตรวจสอบ

2. ช่วยประหยัดเวลาในการปฏิบัติงานของ Financial Examiner ลงได้มาก และทำให้การตรวจสอบมีประสิทธิภาพมากขึ้น

3. เป็นการยกระดับผู้ตรวจสอบด้านคอมพิวเตอร์ และทำให้ผู้ตรวจสอบแน่ใจความรู้ด้านนี้ของตนมากยิ่งขึ้น

อย่างไรก็ดี ข้อมูลที่ได้จากการใช้ Through the Computer ในการตรวจสอบก็เพื่อใช้งานในด้าน Financial Examiner เป็นหลัก

งานที่ตรวจสอบแบบ Through the Computer ของ FDIC

  • Installment Loans
  • Demand Deposits
  • Savings Deposits
  • Certificates of Deposits

งานที่ตรวจสอบในแบบ Through the Computer เริ่มในปี 1975 จากงาน Installment Loans เป็นอันดับแรก ซึ่งปัจจุบัน (ณ ช่วงเวลาในปี 2521 นั้น) FDIC กำลังพัฒนา Program ที่จะตรวจสอบงานประเภทอื่น ๆ ให้มากขึ้น

ข้อสังเกตที่เกี่ยวกับการใช้ Software Package ในการตรวจสอบของ FDIC และผู้สอบบัญชี

1. FDIC ได้พัฒนา Software Package ของตนเอง เพื่อการตรวจสอบในลักษณะ Through the Computer โดยเฉพาะ ทั้งนี้โดยมี Division of Management System and Financial Statistics ประจำ FDIC, Washington D.C. เป็นผู้มีหน้าที่พัฒนาเรื่องนี้โดยตรง และจะนำ Software Package ที่พัฒนาแล้วให้ผู้ตรวจสอบทดลองใช้งาน และแก้ไขไปจนกว่าจะนำไปใช้ปฏิบัติงานได้จริง

2. EDP Examiner เป็นผู้ใช้ Software Package แต่ไม่ได้เป็นผู้เขียน Program เอง EDP Examiner ที่ช่วย Financial Examiner โดยการใช้ Software Package ดึงข้อมูลจาก Tape หรือ Disk เพื่อการตรวจสอบงานของ Financial Examiner และของ EDP Examiner เองนี้ จะต้องมีความรู้ด้านการเขียน Program ดีพอ เพราะในทางปฏิบัติการใช้ Software Package ในการตรวจสอบมักมีปัญหาอยู่เสมอที่ EDP Examiner จะต้องแก้ไข Program ด้วยตนเอง และถ้าไม่อาจแก้ไขได้ก็ต้องโทรศัพท์หารือโดยตรงไปยัง FDIC, Washington D.C. และบางกรณีผู้เชี่ยวชาญจาก Washington D.C. จำเป็นต้องเดินทางไปแก้ไขปัญหาด้วย

3. ผู้ตรวจสอบบัญชีภายนอกและผู้สอบบัญชีภายในของธนาคารพาณิชย์ ที่ใช้ Software Pakage ในการตรวจสอบ โดยปกติจะไม่พัฒนาหรือเขียน Program ในการตรวจสอบข้อมูลโดยตรง แต่จะใช้ Software Package จากบริษัทผู้ผลิตหรือบริการด้าน Software โดยเฉพาะ เช่น Cullinane Corporation ซึ่งบริษัทประเภทนี้จะมีความเชี่ยวชาญโดยเฉพาะเกี่ยวกับการเขียน Program ในการตรวจสอบงานการผลิตข้อมูลที่ดำเนินการโดยเครื่องคอมพิวเตอร์ของ IBM ซึ่งไม่เหมาะสม และอาจใช้งานไม่ได้ผลสำหรับคอมพิวเตอร์ชนิดอื่น ๆ

อย่างไรก็ดี งานตรวจสอบบางประเภทผู้สอบบัญชีอาจเขียน Program เพื่อการตรวจสอบเองทั้งหมดก็ได้

4. ในการใช้ Audit Software Package เพื่อปฏิบัติงาน ผู้ตรวจสอบจะต้องเขียน Parameter คือเขียนคำสั่งงานในแบบฟอร์ม ซึ่งจะนำไปเจาะรูในบัตรเจาะรู (Punch Card) ขนาดมาตรฐาน บัตรเจาะรูดังกล่าวเป็นเสมือนหนึ่งเป็นบัตรนำในการสั่งงานให้เครื่อง Compile Program กล่าวคือ ให้เครื่องแปลงภาษาคอมพิวเตอร์ที่ Programmer เขียนขึ้นให้เป็นภาษาของเครื่องจักร (Machine Readable Form) ซึ่งในที่สุดแล้ว คำสั่งงานการตรวจสอบในเรื่องที่เกี่ยวข้องจะถูกบันทึกลงในส่วนที่เป็นสมอง หรือ Memory ของเครื่องคอมพิวเตอร์ เพื่อการปฏิบัติงานในขั้นต่อไปได้

5. เมื่อเครื่องคอมพิวเตอร์ Compile Program ของงานที่จะตรวจสอบแล้ว จะมีการทดสอบ Program ที่พร้อมจะปฏิบัติงานได้นั้นกับ Program File ของผู้ตรวจสอบ ซึ่งส่วนมากมีลักษณะเป็น Tape ของ Application ที่จะตรวจสอบ เช่น Installment Loans ซึ่งผู้ตรวจสอบต้องการจะได้ข้อมูลในรูปแบบของผู้ตรวจสอบเองว่า “เป็นไปได้” หรือ “ปฏิบัติได้” หรือ “Agree” กันหรือไม่ งานขั้นนี้ปกติจะต้องให้พนักงานของธนาคารปฏิบัติให้ โดยผู้ตรวจสอบจะมอบ Tape ของผู้ตรวจซึ่งเตรียมมาแล้ว ถ้าคำสั่งงาน (Program) ขัดแย้งกับรูปแบบของงานที่ผู้ตรวจต้องการ เครื่องคอมพิวเตอร์จะพิมพ์ Listing Program ที่จะต้องแก้ไขพร้อมกับข้อความโดยย่อแต่ละขั้นให้ทราบ ซึ่งผู้ตรวจสอบต้องแก้ไขให้ถูกต้องก่อนการ “Run” งานจริง ๆ กับข้อมูลของธนาคารซึ่งอยู่ใน Tape ต่อไป

credit image : www.isect.com

6.การแก้ไข Program ที่ผิดพลาด จะต้องเจาะบัตรเจาะรูใหม่ และ Compile Program ใหม่ทั้งหมด แต่สำหรับเครื่องคอมพิวเตอร์บางชนิด เช่น เครื่อง Burrough B 3700 นี้ เพียงแต่ Compile บัตรเจาะรูที่แก้ไขใหม่เข้าไปแทนบัตรเจาะรูเดิมก็ใช้ได้ ทำให้ประหยัดเวลาและสะดวกในการปฏิบัติงานมากขึ้น

7. ผู้ตรวจสอบจะบอกหัวหน้า Operator ของ Data Center เกี่ยวกับงานที่จะต้องตรวจสอบดังนี้

  • ชื่อของงานที่จะตรวจสอบ เช่น Installment Loans
  • วันที่ใน File หรือ Master File ที่จะใช้ในการตรวจสอบ

8. เมื่อ EDP Examiner ได้ข้อมูลในการตรวจสอบ ซึ่งปกติจะพิมพ์มาจาก Printer ก็จะนำมาดู Total Balance เป็นหลัก และตรวจสอบเปรียบเทียบกับยอดรวมของ Master File อื่น ๆ ที่เกี่ยวข้อง ส่วนรายละเอียดในการตรวจสอบกับเอกสารของธนาคารและการดูข้อมูลอื่น ๆ เป็นหน้าที่ของ Regular Examiner หรือ Financial Examiner จะดำเนินการต่อไป

9. Audit Software Package จากบริษัทผู้ผลิตคอมพิวเตอร์ หรือจากบริษัทผู้ดำเนินการบริการเขียน Audit Software Package โดยเฉพาะนี้ มีราคาแตกต่างกันขึ้นอยู่กับปัจจัยต่อไปนี้

  • ขอบเขตการใช้งาน
  • ลักษณะงานที่ใช้
  • ระบบงานของเครื่องคอมพิวเตอร์ซึ่งแตกต่างกันในแต่ละผลิตภํณฑ์
  • ต้นทุนหรือการตั้งราคาจำหน่ายแต่ละบริษัท
  • เงื่อนไขการให้บริการ

โดยทั่วไป Audit Software Package ที่มีขนาดและขอบเขตการใช้งานขนาดกลางมีราคาระหว่าง US$ 20,000 ถึง US$ 40,000 (ราคาโดยประมาณ ณ ช่วงเวลาในปี 2521) ทั้งนี้ขึ้นกับปัจจัยดังกล่าวข้างต้น บางบริษัทนอกจากขาย Software Package แล้ว ยังคิดค่าบริการในลักษณะ Annual Fee อีกต่างหากด้วย

สำหรับประสบการณ์จากการได้ร่วมตรวจสอบ EDP Examiner กับ FDIC นั้น ผมคงจะเล่าสู่กันฟังได้เพียงเท่านี้ เพราะมีรายละเอียดปลีกย่อยมากมายที่ผมเองคงไม่สามารถเล่าสู่กันฟังได้ทั้งหมด และในครั้งหน้าผมจะมาเล่าถึงประสบการณ์ที่ได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 บ้าง เพื่อให้ท่านผู้อ่านหรือผู้ตรวจสอบ อาจได้รู้ถึงความเหมือนหรือแตกต่างกันของงานการตรวจสอบคอมพิวเตอร์จากทั้ง 2 สถาบัน อีกทั้งยังต้องการให้เห็นถึงความเป็นมาของงานการตรวจสอบในยุคที่ผ่านมา

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 9)

จากการที่ผมได้ฝึกอบรม ในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) และ Course in Examining a Computerized Bank II (CECB-II) จากสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา ดังที่ได้เล่าสู่กันฟังในครั้งก่อนแล้วนั้น

ผมยังมีโอกาสได้ดูงานและฝึกงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งทั้ง 2 แห่งนี้เป็นการฝึกงานภาคปฏิบัติ โดยผมได้ร่วมออกตรวจสอบธนาคารพาณิชย์กับ EDP Examiner ที่ตรวจสอบด้านคอมพิวเตอร์โดยเฉพาะ หลังจากที่ผมได้เข้ารับการอบรมที่ FDIC ไปแล้ว และจากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันนี้ ทำให้ผมได้รับความรู้และคิดว่าเป็นประโยชน์อย่างมากที่จะนำมาเล่าสู่กันฟัง เพื่อให้ผู้ตรวจสอบ รวมถึงผู้ที่สนใจงานการตรวจสอบคอมพิวเตอร์ ได้รับรู้ถึงวิวัฒนาการของการตรวจสอบ จากอดีตจนถึงปัจจุบัน

จากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันดังกล่าว FDIC และ OCC ได้แยกงานตรวจสอบคอมพิวเตอร์ต่างหากจากงานตรวจสอบธรรมดา โดยเรียกผู้ตรวจสอบคอมพิวเตอร์ว่า EDP Examiner และเรียกผู้ตรวจสอบงานด้านอื่น ๆ ว่า Regular Examiner หรือ Financial Examiner และยังแยก Financial Examiner ออกไปอีกตามลักษณะของงานดังนี้

– Trust Examiner
– Compliance Examiner
– Commercial Examiner

ข้อสังเกตระหว่าง EDP Examination และ Regular Examination สรุปได้ดังนี้

ภาพนิ่ง1

ภาพนิ่ง2

ตามข้อสังเกตข้างต้น อาจกล่าวได้ว่า EDP Examination มีลักษณะขอบเขต และวัตถุประสงค์ในการตรวจสอบแตกต่างไปกว่า Regular Examination มาก โดยในรายละเอียดของการร่วมตรวจสอบคอมพิวเตอร์กับทั้ง 2 สถาบันนี้ จะเป็นประโยชน์ต่อผู้ตรวจสอบและงานด้านการตรวจสอบคอมพิวเตอร์ได้เป็นอย่างดี ซึ่งผมจะขอเล่าถึงประสบการณ์การร่วมตรวจสอบของ FDIC ก่อนนะครับ สำหรับ OCC ผมจะเล่าถึงในโอกาสต่อ ๆ ไป

การตรวจสอบคอมพิวเตอร์ของ FDIC

EDP Examiner จะตรวจสอบเฉพาะด้านคอมพิวเตอร์เท่านั้น งานด้านอื่น ๆ โดยปกติจะไม่ตรวจสอบ โดย FDIC แบ่งงานตรวจสอบคอมพิวเตอร์เป็น 2 ประเภท คือ Evaluation และ Examination

Evaluation

ได้แก่ การประเมินผลด้าน Data Center ซึ่งกล่าวได้ว่าเป็นงานหลัก ซึ่งปกติ FDIC จะมีจดหมายพร้อมกับรายการที่ต้องการทราบไปยังธนาคารที่จะตรวจสอบเป็นการล่วงหน้า เพื่อให้เตรียมข้อมูลบางประเภทไว้ให้ EDP Examiner โดยจะแบ่งการประเมินผลด้าน Data Center เป็นดังนี้

– Internal and External Audit Coverage
– Organization
– Computer Operation
– Service Centers
– Computer Services
– Others

อย่างไรก็ดี ตั้งแต่เดือนมีนาคม 2521 เป็นต้นไป FDIC ได้มีการเปลี่ยนแนวการประเมินด้าน Data Center ใหม่ หลังจากที่ได้มีการประชุมหารือกับ Comptroller of the Currency และ FRB โดย FDIC และ FRB ได้ใช้แนวการประเมินผลด้าน Data Center ของ Comptroller of the Currency เป็นหลัก

ขั้นตอนในการ Evaluation และการออกรายงานการตรวจสอบคอมพิวเตอร์

การ Evaluation มีขั้นตอนในการดำเนินการและการปฏิบัติที่สังเกตได้ดังนี้

1. ขอพบกับผู้จัดการธนาคารที่จะตรวจสอบ

2. ขอพบกับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ และขอดูรายงานผู้สอบบัญชีภายนอก และรายงานผู้สอบบัญชีภายในของธนาคาร ในด้านที่เกี่ยวกับคอมพิวเตอร์ เพื่อนำมาประเมินงานและขอบเขตการตรวจสอบ

3. พับกับหัวหน้าผู้ควบคุมงานด้าน Data Center เพื่อซักถามงานทั่ว ๆ ไป พร้อมกับขอดูรายการที่ได้ขอให้ธนาคารจัดทำให้ว่าสมบูรณ์เพียงใด มีปัญหาอะไร และงานใดที่สัมพันธ์เกี่ยวเนื่องกันบ้าง

4. ดู Work Program เกี่ยวกับการ Evaluation แล้วกรอกรายการตาม Questionnairs ในแต่ละ Section ซึ่ง EDP Examiner จะต้องพิจารณามีอยู่ 4 Section คือ

การตรวจสอบคอมพิวเตอร์

  • ประเมินการตรวจสอบของผู้สอบบัญชีภายในและผู้สอบบัญชีภายนอก
  • ประเมินการจัดการของฝ่ายบริหาร
  • ประเมินระบบงานและคำสั่งงาน
  • ประเมินผลด้านการปฏิบัติงาน

เป้าหมายในการประเมินงานแต่ละเรื่องมีเช่นเดียวกับแนวของ OCC ทุกประการ ทั้งนี้เพราะในปัจจุบัน ทั้ง FDIC และ FRB ก็ใช้แนวการประเมินของ OCC เป็นหลัก

EDP Examiner จะติดตาม Questionnaire ในแต่ละ Section ดังกล่าว ซึ่งใช้เป็นแนวทางการตรวจสอบคอมพิวเตอร์ในขั้นปฏิบัติงาน

5. โดยปกติผู้ตรวจจะไม่อ่าน Questionnaire เพื่อสอบถามพนักงานธนาคารโดยตรง แต่จะถามเพื่อเอาข้อมูลมาตอบใน Questionnaire ของตน

6. การ Evaluation นอกจากจะได้จากการสอบถามแล้ว จากผู้รับผิดชอบในแต่ละหน่วยงานแล้ว ผู้ตรวจยังจะต้อง

  • สังเกตการปฏิบัติของพนักงานว่าเป็นไปตามที่ได้รับชี้แจงหรือไม่ด้วย
  • อ่านเอกสารต่าง ๆ ซึ่งเป็น Documenatation ของธนาคารในแต่ละหน่วยงานว่ามีพร้อมและ up-date หรือไม่ และสมบูรณ์พอที่ะจช่วยแก้ปัญหาด้านต่าง ๆ ของธนาคารหรือไม่ งานขั้นตอนนี้นับว่ามีความสำคัญ และรอบคอบ ผู้ตรวจจะต้องมีความรู้ในงานคอมพิวเตอร์ด้านต่าง ๆ ของธนาคารนั้น และตัดสินใจจาก Documentation ที่มีเป็นจำนวนมากมายในแต่ละหน่วยงาน เช่น ธนาคารขนาดกลางอาจมี Documentation ตั้งแต่หลายร้อยเล่ม จนถึงหลายพันเล่มก็ได้ ดั้งนั้น ถึงแม้ว่าผู้ตรวจจะเลือก Sampling ในการตรวจสอบเป็นปกติก็ตาม ผู้ตรวจสอบคอมพิวเตอร์จะต้องวินิจฉัยว่าควรจะดูเอกสารอะไรบ้าง ประเภทใด และควรจะดูเท่าใดถึงพอเพียง รวมทั้งจะต้องแน่ใจว่า มีการปฏิบัติตาม Documentation นั้นจริงหรือไม่ด้วย ระบบงานที่แตกต่างกัน การใช้เครื่องคอมพิวเตอร์ที่ต่างชนิดกันของธนาคารพาณิชย์ต่าง ๆ ทำให้มีความจำเป็นอย่างยิ่งที่ผู้ตรวจสอบจะต้องศึกษาและติดตามความก้าวหน้าด้านเทคนิคและความรู้ด้านใหม่ ๆ เกี่ยวกับคอมพิวเตอร์ของแต่ละบริษัทอยู่เสมอ

7. การ Evaluation ผู้ตรวจจะพบกับ Technical Term และระบบงานใหม่ ๆ อยู่เสมอ ซึ่งผู้ตรวจสอบจะรู้และถ้าจำเป็นต้องสอบถามถึงความหมายและที่มาของคำนั้น ๆ ว่าเกี่ยวข้องกับงานอะไรบ้าง และถ้าเกี่ยวกับระบบงาน จะต้องทราบว่าระบบงานนั้น ๆ ทำงานอย่างไร และจะมีผลเกี่ยวกับการตรวจสอบและการปฏิบัติงานของธนาคารโดยทั่วไปอย่างไร

8. จาก Work Program ที่ได้ข้อมูลจาก Questionnaire ใน Section ต่าง ๆ ผู้ตรวจสอบจะรวบรวมรายการที่จะ Comments ไว้ใน Work Sheet ต่างหากเพื่อนำไปหารือ EDP Examiner ที่อาวุโสกว่า

9. ข้อ Comments ต่าง ๆ พร้อมกับความเห็นของผู้ตรวจสอบจะนำไปหารือกับหัวหน้าหน่วยงานที่เกี่ยวข้อง เพื่อรับฟังความเห็นและรวบรวมคำชี้แจง ทั้งนี้เพื่อป้องกันปัญหาการโต้แย้งในภายหลัง เมื่อกระทำเป็นรูปรายงานและคำแนะนำเป็นทางการแล้ว

10. ผลของการตรวจสอบด้านคอมพิวเตอร์และคำแนะนำของผู้ตรวจการ จะนำไปสรุปสนทนากับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ หรือผู้จัดการใหญ่ หรือคณะกรรมการธนาคาร ทั้งนี้ขึ้นกับการตัดสินใจของผู้อำนวยการฝ่ายตรวจสอบด้านคอมพิวเตอร์ของแต่ละเขต

อนึ่ง การ Comments ปกติต้องกล่าวถึงคำชี้แจงของผู้ที่เกี่ยวข้องพร้อมคำแนะนำของผู้ตรวจสอบด้วย

11. สรุปสนทนาผลการตรวจสอบไม่มีเป็นลายลักษณ์อักษร

12. รายงานซึ่งเรียกว่า “Electronic Data Processing Control Evaluation” จะทบทวนโดย Review Examiner (EDP) ซึ่งทำหน้าที่ทบทวนความถูกต้องโดยการเช็คสอบความเหมาะสมของรายงานทั้งฉบับ

13. รายงานที่ผ่านการทบทวนจะผ่านความเห็นชอบจาก Director และเมื่อพิมพ์เสร็จแล้วจะถูกจัดส่งดังนี้

  • ส่งไป FDIC, Washington D.C.
  • ส่งไปยังธนาคารพาณิชย์ที่เกี่ยวข้อง
  • ส่งไปยัง OCC และ FRB ตามโครงการร่วมมือกันของสถาบันทั้ง 3 แห่ง ซึ่งเริ่มเดือนมิถุนายน 2521
  • ส่งไปยัง Services ในกรณีที่ธนาคารใช้บริการคอมพิวเตอร์จากที่อื่น
  • เก็บไว้ที่สำนักงานของแต่ละเขต

14. การจัดทำรายงาน จะจัดทำที่สำนักงานธนาคารพาณิชย์นั้น ๆ เอง โดยปกติสำหรับธนาคารพาณิชย์ขนาดกลาง การตรวจสอบและการทำรายงานการตรวจคอมพิวเตอร์นี้ใช้เวลาประมาณ 3 – 12 สัปดาห์ ทั้งนี้ขึ้นกับปริมาณงานและระบบงานของธนาคาร ตลอดจนขอบเขตของการตรวจสอบและปัญหาในการตรวจสอบครั้งก่อนกับการตรวจสอบครั้งใหม่ การจัดส่งรายงานที่ได้ผ่านการทบทวนโดย Review Examiner (EDP) ทั้ง 14 แห่ง แล้วจัดพิมพ์และส่งให้สถาบันที่เกี่ยวข้อง รวมทั้ง FDIC Washingto D.C. ด้วย ซึ่งใช้เวลานับตั้งแต่การตรวจสอบประมาณ 5 – 16 สัปดาห์

สำหรับงานการตรวจคอมพิวเตอร์ ประเภท Examination ของ FDIC ผมจะขอนำไปเล่าสู่กันฟังในครั้งหน้านะครับ

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 8)

การวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ในยุคก่อน ๆ ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน ซึ่งผมได้กล่าวถึงไปแล้วใน IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ถึง 7 ตอนด้วยกันนั้น จากการพัฒนางานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นี้ ทางธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน และต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ มากมายมาใช้ประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ทุกแห่ง และผมได้กล่าวทิ้งท้ายไว้ในครั้งที่แล้วว่า จะเล่าสู่กันฟังถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นของผม เพื่อเป็นประโยชน์ต่อผู้ที่สนใจศึกษาและติดตามงานการบริหาร การกำกับ และ การตรวจสอบงานด้านคอมพิวเตอร์ ซึ่งก็ติดตามกันต่อได้เลยครับ

การเดินทางไปเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในครั้งนั้น เป็นการเข้ารับการฝึกอบรมและดูงานเฉพาะด้านเป็นครั้งแรกของฝ่ายกำกับและตรวจสอบสถาบันการเงิน โดยมีวัตถุประสงค์ที่จะพัฒนาผู้ตรวจสอบและวางแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในประเทศไทย เนื่องจากการเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ครั้งแรกนี้ ผมถือว่าเป็นเรื่องใหม่สำหรับผมอย่างแท้จริงในตอนนั้น เพราะไม่มีแนวทางใด ๆ ที่พอจะใช้ศึกษาก่อนการเดินทางได้ว่าจะดำเนินการอย่างไรบ้าง ผมทราบเพียงแต่เป้าหมายและวัตถุประสงค์ที่แน่นอน ซึ่งได้ใช้เป็นหลักในการกำหนดโครงการและแผนการอื่น ๆ ที่คิดได้ในขณะนั้น และในระหว่างการดูงานเพื่อเป็นแนวทางไปสู่เป้าหมายที่ได้รับมอบหมายดังกล่าวข้างต้นเท่านั้น

แต่กระนั้น ผมก็ได้พยายามสอบถามตนเองเสมอว่า

“เรากำลังเดินไปสู่ทิศทางที่ถูกต้องแล้วหรือไม่”

“สิ่งที่ได้รับประจำวันนั้น ทำให้เราใกล้เคียงกับเป้าหมายแล้วหรือยัง”

“เราจะทำอย่างไรที่จะช่วยให้ถึงหรือใกล้เป้าหมายได้”

การสอบถามตนเองเหล่านี้ได้กระทำเป็นประจำทุกวัน เพื่อให้นึกถึงประเด็นที่เข้าใจว่าจะทำให้ใกล้เคียงเป้าหมายมากขึ้น ผมก็จะจดบันทึกไว้เพื่อดำเนินการต่อไปในวันรุ่งขึ้น
fdic_splash
การกระทำเช่นนี้อย่างสม่ำเสมอทำให้ประเมินว่าพอที่จะเข้าใจและเห็นแนวทางได้บ้าง ประกอบกับการที่ได้มีโอกาสร่วมการตรวจสอบกับผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ของ FDIC (Federal Deposit Insurance Corporation) และ OCC (Office of the Comptroller of the Currency) ในการตรวจสอบคอมพิวเตอร์ (EDP Examination) ในภาคปฏิบัติงานตรวจสอบจริง ๆ ของทั้ง 2 สถาบัน ซึ่งก็ทำให้ผมได้เห็นเป้าหมายที่ต้องการเด่นชันขึ้น โดยเฉพาะอย่างยิ่ง เมื่อได้ทบทวนถึงสิ่งที่ได้เรียนรู้จากการอบรมที่ FDIC Training Center ในหลักสูตร Course in Examining a Computerized Bank I และ II (CECB I-II)

OCC อย่างไรก็ดี ผมเองยังมีประสบการด้านคอมพิวเตอร์ไม่มากนัก สิ่งที่ได้ประเมินในระหว่างการฝึกอบรมและดูงานขณะที่อยู่ในประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น หรือแม้กระทั่งได้กลับมาปฏิบัติงานในประเทศไทยในตอนนั้นแล้วก็ตาม จึงอาจจะมีบางสิ่งบางอย่างที่มองข้ามไป หรือนึกไม่ถึงเพราะประสบการณ์เกี่ยวกับคอมพิวเตอร์ที่อาจมีไม่มากพอและเพิ่งเริ่มศึกษากันไม่นานนัก ประกอบกับมีงานประจำด้านอื่นที่ต้องปฏิบัติอยู่ด้วย จึงทำให้โอกาสที่จะค้นคว้าหรือศึกษางานด้านคอมพิวเตอร์ค่อนข้างจำกัด และเมื่อพิจารณาถึงความก้าวหน้าด้าน Computer Technology ที่เป็นไปอย่างรวดเร็วด้วยแล้ว ทำให้ผมตระหนักเสมอว่าโอกาสที่จะประเมินผลการดูงานด้านการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ผิดพลาดไปย่อมมีอยู่ไม่น้อย

ทั้งนี้ ผมจึงได้จัดทำรายงานการฝึกอบรมและดูงานไว้ เพื่อจะเป็นรายงานที่ทำให้ทราบว่าเป้าหมายที่ได้วางไว้ก่อนเดินทางไปฝึกอบรมและดูงานนั้น ได้รับผลเพียงใดอย่างกว้าง ๆ นอกจากนี้ยังได้รายงานในหัวข้อที่เกี่ยวกับ “สิ่งที่ได้เรียนรู้จากการดูงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์ต่าง ๆ” ที่น่าจะเป็นประโยชน์ต่อผู้ตรวจสอบทั่วไป โดยเฉพาะอย่างยิ่งสำหรับผู้ที่จะมาทำหน้าที่เป็นผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ซึ่งผมจะขอนำเสนอเป็นหัวข้อตามภาพด้านล่าง เพื่อให้เห็นถึงภาพรวมของกระบวนการตรวจสอบงานทางด้าน IT Audit/IT Examination หรือในยุคนั้นเรียกกันโดยทั่วไปว่า EDP Audit ในช่วงปี พ.ศ. 2521 และก่อนหน้านั้น และหากมีโอกาสผมจะได้นำมาเล่าสู่กันฟังในบางหัวข้อตามความเหมาะสมต่อไป

ภาพนิ่ง1 ภาพนิ่ง2

ภาพนิ่ง3 ภาพนิ่ง4

ภาพนิ่ง5

สำหรับการฝึกอบรม ผมได้อบรมในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) ใช้เวลา 1 สัปดาห์ โดยเป็นส่วนหนึ่งของหลักสูตร “Bank Examination School for Senior Assistant Examiners” และ Course in Examining a Computerized Bank II (CECB-II) ใช้เวลา 2 สัปดาห์ จัดเป็นหลักสูตรอบรมเฉพาะผู้ตรวจสอบที่ผ่าน CECB-I มาแล้ว และจะได้รับการคัดเลือกให้เป็น EDP Examiner ต่อไป โดยมีวัตถุประสงค์ของการอบรม คือ

หลักสูตร Course in Examining a Computerized Bank I (CECB-I) ก็เพื่อแนะนำทฤษฎีและวิธีการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ที่ไม่มีศูนย์คอมพิวเตอร์ของตนเอง แต่ใช้บริการของบุคคลภายนอกในการประมวลผลงานของธนาคาร

หลักสูตร Course in Examining a Computerized Bank II (CECB-II) มีวัตถุประสงค์เพื่อให้ผู้เข้ารับการอบรมเข้าใจถึงการประเมินผลของศูนย์ปฏิบัติงานด้านคอมพิวเตอร์ ในกรณีที่ธนาคารมีเครื่องคอมพิวเตอร์เพื่อประมวลผลงานด้านต่าง ๆ ของธนาคารเอง โดยเฉพาะการใช้เทคนิคการสอบถามข้อมูลในกระบวนการตรวจสอบ ตลอดจนการทำความเข้าใจเกี่ยวกับการใช้คอมพิวเตอร์ให้มากขึ้น

โดยการฝึกอบรมนี้เป็นการฝึกอบรมของสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา โดยมี Training Center อยู่ในอาคารที่มีบริษัทห้างร้านเช่ารวมกันอยู่หลายสำนักงาน ห้องที่ใช้ฝึกอบรมนั้นเป็นห้องที่มีเครื่องปรับอากาศทุกห้อง มีห้องขนาดใหญ่และขนาดเล็กหลายห้อง สำหรับการประชุมแบบ Syndicate และมีห้องเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่ง ณ ช่วงเวลาที่ผมกลับจากการอบรมแล้วและจัดทำรายงานการอบรม (ปี พ.ศ. 2522) ห้องนี้ได้ใช้เป็นเครื่องคอมพิวเตอร์ของ IBM System 3 และมีเครื่องเจาะบัตรหลายเครื่องตั้งอยู่ในห้องเดียวกัน เพื่อใช้สำหรับการฝึกหัดและการทำความเข้าใจของผู้เข้ารับการอบรม ซึ่ง FDIC ก็ยังมีโครงการจะเปลี่ยนเครื่องคอมพิวเตอร์ที่ใช้ในการอบรมใหม่ในอีก 2 ปีข้างหน้า (นับจากช่วงเวลาที่ผมได้รับการอบรมนั้น) อีกทั้งยังมีเครื่องมือ เครื่องใช้ และอุปกรณ์การอบรมครบถ้วนและทันสมัยทั้งสิ้น

นอกจากนี้ FDIC ยังมีระบบ “FOCUS DISPLAYS” ซึ่งผู้เข้ารับการอบรมสามารถทดลองใช้ได้ด้วย ระบบที่กล่าวถึงนี้ สามารถดึงข้อมูลซึ่งเป็นสถิติต่าง ๆ เกี่ยวกับการตรวจสอบและข้อมูลที่เกี่ยวกับงานวิเคราะห์ธนาคารพาณิชย์ทุกธนาคารทั่วประเทศสหรัฐอเมริกาที่ประกันเงินฝากไว้กับ FDIC ให้ปรากฎทางจอรับภาพได้ในทันทีที่ต้องการทราบ และถ้าต้องการข้อมูลใดเป็นพิเศษ ก็สามารถกดปุ่มพิมพ์ข้อมูลนั้น ๆ ได้ภายในเวลาที่รวดเร็วมาก

ศูนย์ฝึกอบรมคอมพิวเตอร์ ของสถาบัน FDIC

ลักษณะของการฝึกอบรมในหลักสูตร CECB-I จะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกท (Syndicat Discussion) เป็นส่วนใหญ่ และแจกเอกสารให้ผู้เข้ารับการอบรมไปศึกษาค้นคว้าด้วยตนเอง ส่วนหลักสูตร CECB-II จะมีลักษณะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกทเช่นกัน แต่ส่วนใหญ่เป็นการฝึกงานการใช้เครื่องคอมพิวเตอร์ในการทำแบบฝึกหัด และการประชุมกลุ่มเพื่อฝึกซ้อม Case Study ต่าง ๆ และในเวลาพักจะให้ผู้ฝึกอบรมทดลองเครื่องและอุปกรณ์คอมพิวเตอร์ได้ตามความถนัด ซึ่งหลักสูตร CECB-II นี้ เป็นหลักสูตรเฉพาะสำหรับผู้ตรวจสอบที่จะได้รับมอบหมายให้เป็น EDP Examiner ต่อไป

การวัดผล การรับรองผล และการประเมินผล ทั้งหลักสูตร CECB-I และ CECB-II นอกจากการฟังบรรยายแล้ว ผู้เข้ารับการอบรมจะต้องแยกกันประชุมกลุ่มซินดิเกทพิจารณาปัญหาต่าง ๆ เพื่อทำความเข้าใจเพิ่มเติมเกี่ยวกับหัวข้อวิชาที่บรรยายและเป็นการฝึกฝนทบทวน การประชุมกลุ่มซินดิเกทจะนำเสนอต่อที่ประชุมใหญ่ ซึ่งจะสรุปความเห็นและอธิบายปัญหาต่าง ๆ และจะให้ผู้เข้ารับการอบรมซักถามเพิ่มเติม นอกจากนี้ยังมีการฝึกหัดการใช้เครื่องคอมพิวเตอร์ การเขียนคำสั่งงาน และการแก้ไขคำสั่งงานที่สามารถให้เครื่องคอมพิวเตอร์ปฏิบัติตามความต้องการได้ เช่น การดึงข้อมูล การจัดรูปข้อมูลที่อยู่ในม้วนเทป, ดิสก์ ให้พิมพ์ข้อมูลในแบบฟอร์มเดิม หรือในรูปแบบฟอร์มใหม่ เพื่อการตรวจสอบได้ด้วย

ทั้งนี้ในการฝึกหัดจะแบ่งผู้เข้ารับการอบรมเป็นกลุ่ม ๆ กลุ่มละ 2 คน ให้ช่วยกันเขียนคำสั่งงานเพิ่มเติมจากคำสั่งงานที่มีอยู่แล้ว และหรือแก้ไขคำสั่งงานตามที่ผู้บรรยายจะกำหนด โดยแต่ละกลุ่มจะต้องอยู่ปฏิบัติงานนั้น ๆ จนแล้วเสร็จ ถ้ามีปัญหาก็หารือผู้ฝึกสอนได้ เมื่อเขียนหรือแก้ไขคำสั่งงานเสร็จหรือเพื่อทดลองผล ผู้เข้ารับการอบรมแต่ละกลุ่มจะต้องนำไป process งานนั้นกับเครื่องคอมพิวเตอร์จริง ๆ ว่าได้ผลในรูปแบบที่ผู้บรรยายต้องการหรือไม่ แต่ละกลุ่มจะต้องปฏิบัติงานที่ได้รับมอบหมายแต่ละครั้งจนเป็นที่พอใจของผู้ฝึกสอน จึงจะถือว่าผ่านการบรรยายวิชานั้น ๆ ซึ่งนับว่าเป็นการวัดผลการสอนไปในตัว โดยไม่ต้องมีการทดสอบเป็นทางการเมื่อสิ้นสุดการอบรมอีก สำหรับการประเมินผลการอบรมนั้น ผู้เข้ารับการอบรมจะกรอกแสดงความคิดเห็นลงในแบบฟอร์มหลังจากสิ้นสุดการอบรมแต่ละหลักสูตรว่า วิชานั้น ๆ เป็นอย่างไร ได้ความรู้แค่ไหน เพียงใด ผู้สอน ๆ ได้ดีหรือไม่ ซึ่งมีลักษณะเช่นเดียวกับแบบประเมินผลการฝึกอบรม ที่ส่วนการพนักงานของธนาคารแห่งประเทศไทย จัดให้ผู้เข้ารับการอบรมแสดงความคิดเห็นเมื่อเสร็จสิ้นการอบรมเช่นกัน

สำหรับผมแล้ว การได้มีโอกาสไปร่วมรับการอบรมทั้ง 2 หลักสูตรครั้งนั้น นับว่ามีประโยชน์มาก เพราะได้รับความรู้เกี่ยวกับแนวความคิดและหลักการปฏิบัติในการตรวจสอบคอมพิวเตอร์ ได้มีโอกาสสังเกตการตรวจสอบและการดำเนินงานด้านการฝึกอบรมเกี่ยวกับคอมพิวเตอร์ ซึ่งต่อมาธนาคารแห่งประเทศไทย ได้นำมาวางเป็นแนวทางในการตรวจสอบธนาคารพาณิชย์ทุกแห่งที่ใช้คอมพิวเตอร์ได้เป็นอย่างดี

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 7)

สวัสดีท่านผู้อ่านและติดตาม itgthailand.com แห่งนี้ทุกท่านครับ ในครั้งก่อน ผมได้กล่าวถึงคำนำจากหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มที่ 2 ซึ่งแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน จากการที่ผมได้รวบรวม เรียบเรียงและจัดทำเป็นหนังสือ 4 เล่มที่เคยได้กล่าวถึงไปแล้วนั้น ด้วยเนื้อความในคำนำนั้นยาวเกินไป ผมได้ตัดทอนนำเสนอเป็นหลายตอน โดยในตอนนี้ผมจะขอนำเสนอต่อในหัวข้อที่ 23 จากทั้งหมด 36 หัวข้อด้วยกัน เราไปติดตามกันต่อเลยนะครับ

23. ถึงข้อนี้ ผมจึงขอกล่าวอีกครั้งว่า การตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบจะต้องทำความเข้าใจกับระบบงานทั้งหมด (Total System Approaches) ในส่วนของงานที่ต้องการตรวจสอบในองค์กร กล่าวคือ ผู้ตรวจสอบต้องทำความเข้าในทั้งในส่วนที่ใช้คอมพิวเตอร์ และส่วนที่ไม่ใช้คอมพิวเตอร์ และทั้ง 2 อย่างรวมกัน เพื่อแยกแยะให้ได้ว่า จะเริ่มต้นตรวจอะไรที่จุดใด ใช้เทคนิคแบบไหนจะตรวจสอบเมื่อใด และต้องการรูปแบบหลักฐานอย่างไร และควรจะจบลงอย่างไรในการตรวจสอบ ฯลฯ ในงานแต่ละเรื่องตามเป้าหมายที่กำหนดไว้ นอกจากนั้นผู้ตรวจสอบจะต้องเข้าใจความสัมพันธ์ของข้อมูลที่เกี่ยวข้องของ “งาน” (Application) ในแต่ละประเภทภายในองค์กร เพื่อกำหนดจุดตรวจสอบด้วย

24. จากข้อ 23. หากจะกล่าวให้ถูกต้องยิ่งกว่านี้ ก็ควรกล่าวว่าผู้ตรวจสอบทุกประเภทควรเข้าใจระบบงานที่ตรวจสอบทั้งในส่วนที่ใช้คอมพิวเตอร์ และไม่ใช้คอมพิวเตอร์ให้ดี จึงจะสามารถวางแผนและกำหนดขั้นตอนและเทคนิคการตรวจสอบที่เหมาะสม และติดตามการตรวจสอบของผู้ร่วมงานได้อย่างมีประสิทธิภาพ เพราะปัจจุบันทางการของไทยก็ได้ออกมาตรฐานการตรวจสอบบัญชีที่ใช้คอมพิวเตอร์ ออกมา 3 ฉบับ ด้วยกัน คือ มาตรฐานการสอบบัญชีฉบับที่ 28, 29, 36 ให้ผู้สอบบัญชีโดยทั่วไปถือปฏิบัติอยู่แล้ว และกรมสรรพกรก็ได้ออกกฎเกณฑ์บางประการในการใช้คอมพิวเตอร์มาให้ถือปฏิบัติด้วยเช่นกัน ดังนั้น เมื่อกล่าวถึงการตรวจสอบโดยทั่วไป ผู้ตรวจสอบจึงไม่อาจหลีกเลี่ยงจากการทำความเข้าใจในระบบงานทั้งหมด ก่อนการตรวจสอบเริ่มขึ้นได้ ยกเว้น การตรวจสอบที่มีเป้าหมายเฉพาะอย่างบางด้าน และผู้ตรวจสอบมีความเข้าในระบบงานโดยรวมขององค์กรที่จะเข้าตรวจสอบมาก่อน หลังจากองค์กรนำคอมพิวเตอร์มาใช้ในกระบวนการ “Process” งานครั้งล่าสุดแล้ว

25. แม้ว่าในการนำคอมพิวเตอร์มาใช้จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบ แต่ลักษณะการประเมินการควบคุมภายในตลอดจนหลักฐาน และวิธีการตรวจสอบจะเปลี่ยนแปลงไปมาก
ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนหรือระบบ Manual ในการประมวลผลข้อมูลย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้นการใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี โอกาสที่จะเกิดการผิดพลาดเพราะ Human Error อันเกิดจากการประมวลข้อมูลนั้นจะมีน้อย หรือไม่มีโอกาสเกิดขึ้นได้ ถ้าระบบงานและขั้นตอนการควบคุมภายในต่าง ๆ ที่ใช้คอมพิวเตอร์ควบคุมนี้ ได้รับการทดสอบเป็นที่แน่ใจแล้วว่า มีประสิทธิภาพยอมรับได้ ดั้งนั้น การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทนด้วยเหตุผล 3 ประการคือ

25.1 ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ช่วยให้มั่นใจได้ว่า การประมวลผลจะมีความสม่ำเสมอด้วย
25.2 การตรวจสอบผลที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ในลักษณะของการทำ Substantive Test นั้น ทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมากและหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ
25.3 ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์ เหตุผลข้อ 25. นี้ เป็นการย้ำว่าในองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบภายในเป็นเรื่องสำคัญลำดับต้น ๆ และการตรวจสอบด้านคอมพิวเตอร์ (IS Audit) ไม่ว่าจะเป็นการตรวจสอบ “องค์กร” (Data Center) หรือตรวจสอบ “งาน” (Application) ก็เน้นการตรวจสอบการควบคุมภายใน คือ General Controls และ Application Controls ด้านคอมพิวเตอร์นั่นเอง
เมื่อถึงประเด็นตามวรรคข้างต้น ผมคิดว่าเป็นจุดที่น่าสนใจ หากจะกล่าวต่อไปว่า การตรวจสอบเพื่อรับรองงบการเงินขององค์กร ซึ่งปกติเป็นหน้าที่ของผู้สอบบัญชีอนุญาต ซึ่งเป็นผู้สอบบัญชีภายนอกประเภทหนึ่งนั้น มีความสัมพันธ์กันอย่างใกล้ชิดกับการตรวจสอบงานด้านคอมพิวเตอร์ เน้นการตรวจสอบด้านการควบคุมภายในและการดำเนินงาน ซึ่งเป็นขั้นตอนต้น ๆ ที่จำเป็นของการตรวจสอบฐานะการเงิน ดั้งนั้น การตรวจสอบด้านคอมพิวเตอร์ (IS หรือ IT Audit) จึงมีความสัมพันธ์อย่างใกล้ชิดกับการตรวจสอบงานการเงินและการดำเนินงาน ซึ่งเรียกว่า Financial Audit อย่างสำคัญและไม่อาจหลีกเลี่ยงได้ในปัจจุบัน อย่างไรก็ดี การตรวจสอบฐานะความมั่นคงของสถาบันการเงินในภาพรวม ก็เป็นหน้าที่ของผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งเรียกรวม ๆ กันว่า Financial Examiner

จากความสัมพันธ์ดังกล่าว หนังสือเล่มนี้ซึ่งเน้นด้านการตรวจสอบด้านคอมพิวเตอร์ จึงได้กล่าวถึงการตรวจสอบทั้งทางด้าน IS Audit และ Manual Audit ซึ่งเป็นการตรวจสอบแบบเดิมไว้เพื่อการศึกษาเปรียบเทียบ และทำความเข้าใจในความแตกต่างของวิธีการตรวจสอบ ทั้ง 2 แบบไว้ด้วย

26. ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ไม่ว่าจะเป็น Data Center หรือ Application Audit ผู้ตรวจสอบควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ดีในการประเมินผลการตรวจสอบได้อีกด้วย

27. ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้ได้อย่างมีประสิทธิภาพ ทักษะทางด้านคอมพิวเตอร์ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้ว ต้องมีทักษะทางคอมพิวเตอร์โดยรวมที่เหมาะสม และเพียงพอแก่การปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบองค์รที่ใช้คอมพิวเตอร์ของทากงารและของสากล

28. ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบ ต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอระดับหนึ่งแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้ หากการตรวจสอบนั้น เป็นการตรวจสอบด้านคอมพิวเตอร์หรือมีส่วนที่เกี่ยวข้องกับคอมพิวเตอร์
ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วทางด้านเทคโนโลยี จำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้านคอมพิวเตอร์ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่ายคอมพิวเตอร์เองก็ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมภายในด้วย

29. การทำแผนภูมิหลายแผนในหนังสือเล่มนี้ เป็นการจัดทำขึ้นเพื่อให้ผู้อ่านได้ติดตามและทำความเข้าใจเรื่องราวที่เกี่ยวข้องได้ง่ายและสะดวกขึ้น ทั้งนี้ หลาย ๆ กรณีเป็นการประยุกต์มาจากความคิดและความเข้าใจของผมเอง เพื่อใช้ในการบรรยายเป็นสำคัญ อย่างไรก็ดี ผมใคร่ขอย้ำว่า ท่านผู้อ่านควรตอบตนเองก่อนว่า ขณะนี้กำลังทำความเข้าใจเรื่องอะไร ขณะนี้กำลังอยู่ในส่วนใดของกระบวนการตรวจสอบ และกำลังมองมุมผู้ตรวจสอบว่าเป็นประการใดจาก 3 ประเภทดังได้กล่าวข้างต้นแล้ว ทั้งนี้ ต้องมีเป้าหมายและขอบเขตที่แน่นอนของตนเองด้วยว่า กำลังตรวจสอบประเภท และเรื่องอะไรอยู่ เป็นต้น

30. เนื่องจากการรวบรวมเอกสารประกอบการบรรยายเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ ก็เช่นเดียวกับเล่ม 1 และเล่มที่จะพิมพ์ต่อไป ซึ่งเล่ม 3 จะเน้นเรื่องคอมพิวเตอร์กับการทุจริตและแนวการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือ รวมทั้ง การจัดทำแผนฉุกเฉิน หนังสือทั้ง 3 หรือ 4 เล่ม เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไป ในช่วงเวลาตั้งแต่ปี 2524 – 2536 แก่สถาบันหลายแห่ง และผมมีโอกาสแก้ไขเพิ่มเติมได้ไม่มากนัก เนื่องจากเวลาจำกัดมาก เพราะต้องการพิมพ์ให้เสร็จภายในเดือนกันยายน 2539 ทั้ง 3 เล่ม จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อหารวมทั้งแผนภูมิต่าง ๆ มากกว่าร้อยละ 95 ยังคงใช้ได้ดีจนถึงปัจจุบัน เพราะถึงแม้เทคนิคด้านรายละเอียดทางคอมพิวเตอร์จะพัฒนาไปอีกมาก แต่หลักการส่วนใหญ่ของการประมวลงานและการตรวจสอบก็ยังคงใช้หลักการเดิม ทั้งนี้ สังเกตได้จากการแต่งหนังสือที่มีการพิมพ์ครั้งหลัง ๆ ของตำราด้านตรวจสอบคอมพิวเตอร์ก็มีการแก้ไขใหม่ไม่มากนัก

31. สิ่งที่ผมใคร่จะเน้นก็คือการใช้เทคนิคการตรวจสอบว่า สมควรที่ผู้ตรวจสอบใช้เทคนิคใด ซึ่งขึ้นกับความรู้และประสบการณ์ของผู้ตรวจสอบเป็นหลัก และขึ้นกับความจำเป็น ตลอดจนสิ่งแวดล้อมและหลักฐานที่ต้องการด้วย เช่น จะใช้การตรวจสอบในแบบ Around the Computer หรือที่นิยมเรียกกันใหม่ เพื่อป้องกันความเข้าใจผิดว่า Audit without using the computer เพื่อเน้นว่าไม่ว่าจะเป็นการตรวจสอบแบบใด ผู้ตรวจสอบก็ไม่อาจหลีกเลี่ยงการประเมินประสิทธิภาพการควบคุมภายในได้ หรือใช้วิธีตรวจสอบลึกเข้าไปถึงการทำงานของโปรแกรมคอมพิวเตอร์ (Audit Through The Computer) พอสมควร ส่วนการใช้ Computer เป็นเครื่องมือช่วยในการวางแผนและการตรวจสอบนั้น ปัจจุบันนี้ ผู้ตรวจสอบมีโอกาสเลือกน้อยแล้ว กล่าวคือ ผู้ตรวจสอบจำเป็นต้องใช้ Computer ให้มีส่วนช่วยในการตรวจสอบไม่มากก็น้อย ในอดีตผมและคณะผู้ตรวจสอบมักใช้วิธี Test Data ในการทดสอบความน่าเชื่อถือได้ของโปรแกรม ซึ่งเป็นการทดสอบในแบบ Through the Computer แบบหนึ่ง แต่ผมยังมีประสบการณ์น้อยในการใช้โปรแกรมสำเร็จรูปในการตรวจสอบ หนังสือชุดนี้จึงไม่ได้กล่าวถึงเรื่องนี้มากนัก

32. หนังสือทั้ง 3 เล่มหรืออาจมีถึง 4 เล่ม จากเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เป็นการรวบรวมเอกสารประกอบการบรรยายต่าง ๆ ของผมในช่วงระหว่างปี 2524 ถึง 2536 ดังกล่าวแล้วในคำนำเล่ม 1 โดยได้เขียนคำอธิบายเพิ่มเติมประกอบเรื่อง และแผนภาพในบางเรื่อง เพื่อความเข้าใจที่กระจ่างขึ้น การเขียนเรื่องเพิ่มเติมและการตรวจทานความถูกต้องจากการพิมพ์ใช้เวลามากพอสมควร เนื้อหาสาระในหนังสือทุกเล่ม ถึงแม้จะพยายามลำดับเรื่องให้ได้ตามความเหมาะสมแล้วก็ตาม แต่ก็ยังมีเรื่องที่เป็นสิ่งละอันพันละน้อยต่าง ๆ ที่ผมได้สรุปไว้ใช้ในการบรรยายในโอกาสต่าง ๆ กันได้ปรากฎอยู่ในเรื่องหรือหัวข้ออื่นอยู่ด้วย เช่น ข้อสรุปที่ผู้ตรวจสอบและผู้บริหารควรทราบในรูปแบบแผนภูมิบ้าง แผนภาพบ้าง และคำบรรยายสรุปผัง เป็นต้น สิ่งเหล่านี้จะเป็นประโยชน์และทำความเข้าใจให้กับผู้ฟังและผู้อ่านมากขึ้น ถ้าผู้อ่านหรือผู้ใช้หนังสือชุดนี้ จะหยิบยกเรื่องที่เกี่ยวข้องมาประกอบในเรื่องที่ศึกษาด้วย โดยเฉพาะอย่างยิ่ง การศึกษาเรื่องคอมพิวเตอร์กับการทุจริต และการตรวจสอบ ซึ่งปรากฏในเล่ม 3 โดยสรุปเรื่องตรวจสอบเป็นบทสั้น ๆ เป็นการทบทวนในอีกแนวทางหนึ่งด้วย

33. การพัฒนางานตรวจสอบทั้งด้าน Computer Audit และ Financial Audit โดยจำลองระบบงานที่สำคัญขององคืกรนั้น ๆ เช่น สถาบันการเงิน โดยเน้นด้านการควบคุม และการตรวจสอบที่เป็นจริงให้ผู้ตรวจสอบติดตามได้ในภาคสนาม (Field Work) จริง ๆ ที่เรียกกันว่า Simulation Audit นั้น เป็นเรื่องที่น่าสนใจมาก เพราะจะทำให้ผู้ตรวจสอบได้ฝึกหัดการตรวจสอบ ณ ที่ทำการได้คล้าย ๆ กับการปฏิบัติงานจริงในภาคสนามเลยทีเดียว

34. หนังสือเล่มแรกของชุดนี้ ได้เร่งรีบจัดทำมาก เพื่อให้ทันแจกจ่ายในงานวันธนาคารภาคตะวันออกเฉียงเหนือประจำปี 2539 ที่จังหวัดร้อยเอ็ด จึงได้มีการตรวจทานงานพิมพ์เพียงครั้งเดียว ประกอบกับมีความสับสนในการจัด File ที่แก้ไขแล้ว และก่อนแก้ไขในการจัดพิมพ์จริง จึงปรากฏข้อผิดพลาดที่ตรวจพบภายหลังการเย็บเล่มแล้วหลายแห่ง จึงขออภัยท่านผู้อ่านมา ณ ที่นี้ด้วย อย่างไรก็ดี ผมได้แทรกแก้ไขคำผิดไว้ในหน้าหลังของเล่มแรกแล้ว

35. หนังสือชุดนี้เป็นการให้คำแนะนำล่วงหน้าแก่สถาบันการเงินในด้านการบริหาร การดำเนินงานและการตรวจสอบ รวมทั้งประเด็นปัญหาที่น่าสนใจเพื่อหาทางป้องกัน/หรือแก้ไขการทุจริต และการจัดทำแผนฉุกเฉินทางด้านคอมพิวเตอร์ ซึ่งจะปรากฏในเล่มต่อไป ทั้งนี้เป็นการดำเนินงานตาม Action Plan ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ เพื่อให้บรรลุผลตามโครงการนี้ ก็น่าจะช่วยลดภาระของธนาคารได้ ทั้งในปัจจุบัน และอนาคต

อย่างไรก็ดี การทำความเข้าใจในหนังสือชุดนี้นั้น ผมได้ตั้งแนวทางว่า ท่านผู้อ่านได้ทราบพื้นฐานทางด้านการประมวลงานด้านคอมพิวเตอร์พอสมควรแล้ว

36. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสำคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตหลาย ๆ เรื่อง และทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดำเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

คำนำในหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นเล่มที่ 2 จาก 4 เล่มของผมนั้น ผมยังคงรักษาข้อมูลทุกตัวอักษรที่ได้ตีพิมพ์เมื่อปี พ.ศ. 2539 เอาไว้ จากประสบการณ์การตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเริ่มมาตั้งแต่ปี พ.ศ. 2524 โดยธนาคารแห่งประเทศไทย ซึ่งเป็นหน่วยงานกำกับสถาบันการเงินเพื่อให้แน่ใจอย่างสมเหตุสมผลว่า ผู้มีผลประโยชน์ร่วมได้รับการคุ้มครองฐานะทางการเงินของสถาบันการเงิน ต่อผู้ที่เกี่ยวข้องอย่างได้ดุลยภาพเป็นที่น่าพอใจ ถึงแม้จะเกิดความเสี่ยงใหม่ ๆ จากการมีการใช้คอมพิวเตอร์ของสถาบันการเงินเพิ่มขึ้นมาก นอกเหนือจากการบริหารความเสี่ยงในยุคก่อนคอมพิวเตอร์ และความเสี่ยงที่สำคัญยิ่งและอาจพิจารณาได้ว่าอยู่ในระดับความเสี่ยงที่ไม่น่ายอมรับได้ (Risk Apptite) ก็คือ การที่ผู้กำกับไม่อาจติดตามการบริหารและการจัดการกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นจากการใช้คอมพิวเตอร์ได้ นั่นคือ ก่อนที่จะมีการพัฒนาการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นั้น ท่านผู้อ่านคงจำได้นะครับว่า ผมได้เล่าให้ฟังว่า ผู้ตรวจการ (Examnier) ไม่สามารถตรวจสอบการบริหารและการจัดการของธนาคารพาณิชย์ที่เกี่ยวข้องกับความมั่นคงของสถาบันการเงินในช่วงแรก ๆ ที่สถาบันการเงินได้เปลี่ยนแปลงระบบงาน manual มาสู่ระบบคอมพิวเตอร์ (EDP) ในช่วงนั้นได้

จากประวัติความเป็นมาของการพัฒนางานกำกับ และตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์และธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมาในทุกแห่ง โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน ซึ่งต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ เกิดขึ้นมากมายมาใช้เป็นประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ ซึ่งผมจะทยอยเล่าถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นต่อไปนะครับ

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 6)

จากครั้งที่แล้ว ผมได้กล่าวย้อนหลังถึงยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการในช่วงเวลา 35 ปีที่ผ่านมา ตลอดจนผมได้รวบรวม เรียบเรียง และจัดทำเป็นหนังสือถึง 4 เล่มด้วยกัน โดยในเล่มที่ 2 จากหนังสือ การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ผมได้หยิบยกคำนำจากหนังสือเล่มนี้มาเล่าสู่กันฟัง เพื่อแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ว่ามีความแตกต่างกันอย่างไรกับงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน

โดยคำนำจากหนังสือเล่มที่ 2 ที่กล่าวถึงนี้ แบ่งเป็นหัวข้อเพื่อความเข้าใจได้ง่าย ๆ ถึง 36 ข้อด้วยกัน เนื่องจากความยาวและความเหมาะสมของการนำเสนอ ในครั้งก่อนผมจึงได้นำเสนอไปเพียงบางส่วนเท่านั้น สำหรับวันนี้ผมจะขอกล่าวต่อในหัวข้อที่ 7 เลยนะครับ (ท่านผู้อ่านสามารถติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่มที่ 2 ในหัวข้อแรก ๆ ได้ คลิ๊กที่นี่ ครับ)

7. ในการตรวจสอบธนาคารพาณิชย์และสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งองค์กรอื่นที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบควรพิจารณาถึงความจำเป็นและความแตกต่างในระบบงานของแต่ละองค์กรเป็นกรณีไป โดยควรเน้นและให้ความสำคัญอย่างยิ่งต่อการควบคุมภายในที่มีประสิทธิภาพ

8. การทำความเข้าใจในเป้าหมาย ขอบเขต กรรมวิธี ในการตรวจสอบงานด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบทางด้านการเงิน (Financial Audit) และจัดทำรายงานการตรวจสอบ ตลอดจนความสัมพันธ์ของานทั้ง 2 ประเภท นับเป็นสิ่งที่มีความสำคัญยิ่งในการปฏิบัติงานการตรวจสอบที่มีประสิทธิภาพสูงสุด เช่น การรู้จักใช้เครื่องมือคอมพิวเตอร์ให้เป็นประโยชน์ในการตรวจสอบ และการทำความเข้าใจในระบบงานด้านคอมพิวเตอร์ เพื่อกำหนดขอบเขตการตรวจสอบให้เหมาะสม เป็นต้น

9. วิธีการตรวจสอบและเทคนิคการตรวจสอบงานด้านคอมพิวเตอร์ จะต้องพัฒนาให้ทันกับ Technology สมัยใหม่ที่ก้าวหน้าอย่างรวดเร็วและไม่หยุดยั้ง ทั้งทางด้าน Hardware และ Software วิธีการตรวจสอบจึงจำเป็นต้องพัฒนาขึ้น เพื่อช่วยให้ผู้ตรวจสอบมีเครื่องมือและรู้จักใช้เครื่องมือปฏิบัติงานอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ในการตรวจสอบ อีกทั้งจะช่วยให้ผู้ตรวจสอบมีความมั่นใจในการเสนอความเห็นในรายงานการตรวจสอบอย่างถูกต้องตามความเป็นจริง และมีเหตุมีผล

10. ผู้ตรวจสอบทางด้านคอมพิวเตอร์ นอกจากจะได้รับมอบหมายให้เป็นผู้ตรวจสอบความถูกต้องและความน่าเชื่อถือได้ของข้อมูล จากงานที่ประมวลผลด้วยคอมพิวเตอร์แล้ว ยังมีหน้าที่ที่สำคัญมากอีกประการหนึ่งก็คือ การร่วมมือและประสานงานตรวจสอบด้านการเงิน (Financial Audit) โดยแนะนำหรือร่วมปฏิบัติงานทางด้านเทคนิคการตรวจสอบในส่วนที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานตรวจสอบทางด้าน Financial มีปัญหาน้อยที่สุด

ดังนั้น การศึกษาเทคนิคใหม่ ๆ ทางด้านคอมพิวเตอร์ เพื่อประโยชน์ในการตรวจสอบจึงเป็นสิ่งที่จำเป็นอย่างยิ่ง และจะต้องดำเนินการควบคู่กันไปกับการปฏิบัติงานตรวจสอบด้วยเสมอ ทั้งนี้ เพื่อดำรงไว้ซึ่งประสิทธิภาพของการตรวจสอบโดยรวม

11. เมื่อผมได้ไปปฏิบัติหน้าที่ในฐานะ Deputy Principal ของหลักสูตร SEACEN (South East Asian Central Banks) หลักสูตร Inspection and Supervision of Financial Institutions ครั้งที่ 12 ที่กรุงจาการ์ตา ประเทศอินโดนีเซีย เมื่อปี ค.ศ. 1988 ผมได้แนะนำให้เพิ่มวิชาที่มีเนื้อหาในด้านที่เกี่ยวข้องกับคอมพิวเตอร์หลายวิชาในหลักสูตรนี้ ทาง SEACEN ได้เชิญผมไปบรรยายความจำเป็นของวิชาเหล่านี้ให้กับเลขาธิการของ SEACEN ที่ไปดูแลหลักสูตรนี้ที่กรุงจาการ์ตา และผมก็ได้ไปอธิบายเรื่องนี้ ณ ที่ทำการสำนักงานใหญ่ของ SEACEN ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย ในปีเดียวกันนั้น ในเรื่องที่เกี่ยวข้องกับการพัฒนาการกำกับและการตรวจสอบสถาบันการเงินที่ต้องมีวิชานี้เข้าไปเกี่ยวข้องด้วย เพราะเป็นเรื่องที่แยกกันไม่ได้ในวงการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และทาง SEACEN ก็ได้บรรจุวิชาต่าง ๆ ที่เกี่ยวกับคอมพิวเตอร์เข้าไปในหลักสูตรนี้นับจากนั้นมาจนกระทั่งปัจจุบัน ซึ่งผมได้มีส่วนช่วยบรรยายหลายวิชาในหลักสูตรนี้ที่จัดขึ้นในประเทศต่าง ๆ ของสมาชิก SEACEN ในเวลาต่อมาด้วย

นั่นคือ ถึงแม้เป้าหมายของผู้ตรวจสอบจะเป็นการตรวจสอบฐานะความมั่นคงทางการเงิน หรือเป็นการตรวจสอบเพื่อรับรองงบการเงิน แต่ข้อมูลและการควบคุมภายในส่วนใหญ่ได้ถูกประมวลโดยระบบคอมพิวเตอร์แล้ว ดังนั้น การวางแผนการตรวจสอบก็จะต้องคำนึงถึงและเข้าใจในระบบงานด้านคอมพิวเตอร์พอสมควรด้วยเสมอ

12. นอกจากที่กล่าว ทาง SEACEN ก็ได้จัดหลักสูตรใหม่ขึ้นมาโดยเฉพาะ เรียกว่า Computer Audit (Advanced Level) ขึ้น เป็นหลักสูตรการตรวจสอบคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบในสถาบันการเงินโดยเฉพาะแยกเป็นอีกหลักสูตรหนึ่ง โดยอบรมให้แก่ผู้ตรวจสอบจากธนาคารกลางประเทศต่าง ๆ ในเอเชีย

ทาง SEACEN ได้ให้ผมเป็น Course Director สำหรับหลักสูตรนี้อีกครั้ง เพื่อจัดให้มีการอบรมให้กับประเทศต่าง ๆ ที่กรุงเทพฯ เมื่อปลายปี ค.ศ. 1993 ซึ่งช่วงนั้นผมได้บรรยายวิชา EDP Supervision and Financial Institutions ด้วย โดยกล่าวถึง The Thai Experienced ในเรื่อง ตามที่สรุปในภาคผนวกเล่มที่ 1 แล้ว แต่วิชาคอมพิวเตอร์อื่น ๆ ในหลักสูตรนี้ที่ผมได้บรรยายให้ SEACEN ในปีก่อน ๆ หน้าที่ ผมไม่ได้นำมาให้ผู้อ่านได้อ่านด้วย เพราะมีบางส่วนได้กล่าวเป็นภาษาไทยในหนังสือชุดนี้อยู่แล้ว

13. การตรวจสอบด้านคอมพิวเตอร์ ถึงแม้จะมีความจำเป็นเด่นชัด แต่ผู้บริหารในองค์กรต่าง ๆ ให้ความสำคัญกับการตรวจสอบด้านนี้แตกต่างกัน และมีจำนวนไม่น้อยที่มองข้ามประเด็นที่สำคัญนี้ อย่างไรก็ดี สำหรับธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยได้กำหนดให้มีการตรวจสอบคอมพิวเตอร์ เพื่อดูแลเรื่องนี้โดยฉพาะ ตั้งแต่ ปี 2528 สำหรับสถาบันการเงินอื่น ๆ ทางธนาคารแห่งประเทศไทยก็ได้สั่งการให้สถาบันการเงินเหล่านั้นได้จัดให้มีการตรวจสอบงานด้านคอมพิวเตอร์แล้วด้วย

14. งานตรวจสอบด้านคอมพิวเตอร์ (IS Audit หรือ IS Examination) ในด้านของธนาคารแห่งประเทศไทย หรือ FFIEC ของประเทศสหรัฐอเมริกา แล้วมีวัตถุประสงค์อย่างกว้าง ๆ เช่นเดียวกับการตรวจสอบฐานะและความมั่นคงของสถาบันการเงิน นั่นคือ

1) เพื่อประเมินฐานะความมั่นคงของสถาบันการเงิน

2) เพื่อประเมินและวัดคุณภาพการจัดการ และการดำเนินงานของผู้บริหารระดับสูง

3) เพื่อให้คำแนะนำ แก้ไขจุดอ่อนต่าง ๆ ที่อาจก่อให้เกิดปัญหาต่อสถาบันการเงินเป็นการล่วงหน้า เพื่อให้สถาบันการเงินปรับปรุงคุณภาพของการบริหารงาน และการดำเนินงานให้มีความมั่นคง และเป็นไปตามระเบียบ คำสั่ง และกฎหมายที่เกี่ยวข้อง

อย่างไรก็ดี วัตถุประสงค์ของการตรวจสอบด้าน IS Audit ของผู้สอบบัญชีรับอนุญาต และผู้สอบบัญชีภายในจะแตกต่างกันไปตามเป้าหมายหลักของตนเอง

15. การตรวจสอบด้านคอมพิวเตอร์ที่ปัจจุบันมักนิยมเรียกกันว่า IS Audit ในประเทศสหรัฐอเมริกา และ IT Audit ในประเทศอังกฤษและออสเตรเลีย มากกว่าคำที่ใช้เรียกกันเต็ม ๆ ว่า Computer หรือ EDP Audit นั้น มีเรื่องที่ต้องทำความเข้าใจกันมากพอสมควร ยิ่งผู้สนใจท่านใดอ่านหนังสือประเภทนี้จากผู้แต่งหลาย ๆ คน จากประเทศต่าง ๆ แล้ว ก็อาจจะพบกับความสับสนมากขึ้น ทั้งนี้เพราะ ผู้แต่งแต่ละท่านก็มีความคิด/จุดยืน และทัศนรวมทั้งการผูกเรื่องให้อ่าน หรือทำความเข้าใจแตกต่างกันนั่นเอง

16. จุดยืนและความแตกต่างของตำราที่ผู้เขียนเรื่อง การตรวจสอบด้านคอมพิวเตอร์ ก็ขึ้นกับความถนัดและประสบการณ์ของผู้เขียนแต่ละท่าน เช่น บางท่านถนัดทางด้านการตรวจสอบระบบงานแต่ละอย่าง (Application Audit) เพราะผู้แต่งหรือผู้เขียนทำงานในด้านนี้ บางท่านทำงานในองค์กรเอกชนหรือตามโรงงานอุตสาหกรรมต่าง ๆ ในขณะที่บางท่านแต่งหรือเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์ในฐานะที่เป็นผู้กำกับ และตรวจสอบสถาบันการเงิน จึงมีหน้าที่และบทบาทต่างกันออกไป เช่น ผู้ตรวจสอบของ FDIC, FRB, OCC ซึ่งเรียกรวม ๆ กันว่า Federal Financial Institution Examination Council (FFIEC) ของประเทศสหรัฐอเมริกาที่เป็นหน่วยงานของรัฐ ซึ่งทำหน้าที่ตรวจสอบทั้งฐานะความมั่นคงและการดำเนินงานโดยทั่วไป ซึ่งเรียกกันว่า Financial Examiner และบางส่วนแบ่งมาทำหน้าที่ตรวจสอบด้านคอมพิวเตอร์ เรียกกันในระยะแรก ๆ ว่า EDP Examiner นั้น ก็มีประสบการณ์การเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์แตกต่างกันในตามความรับผิดชอบของตน นั่นคือ FFIEC จะเน้นการตรวจสอบทางด้านศูนย์ประมวลข้อมูลของสถาบันการเงิน (Data Center) ซึ่งจะตรวจงานทางด้านการดำเนินงานและการบริหารของศูนย์คอมพิวเตอร์เป็นสำคัญ และจะไม่เน้นหรือจะไม่ตรวจสอบทางด้าน Application Audit ซึ่งทาง FFIEC พิจารณาว่าเป็นงานของผู้ตรวจสอบภายนอก (External Auditor) และผู้ตรวจสอบภายในของสถาบันการเงินหรือองค์กรอื่น ๆ ซึ่งผู้ตรวจสอบประเภทหลังนั้น จะตรวจสอบทั้งทางด้าน Data Center หรือตรวจสอบการควบคุมภายในโดยทั่วไป (General Controls) และตรวจสอบการควบคุมภายในเฉพาะระบบงาน หรือเรียกว่า Application Controls หรือ Application Audit ด้วย

17. เมื่อมาถึงจุด ๆ นี้ ก็มีคำที่ต้องทำความเข้าใจกันต่อก็คือ การตรวจสอบงานด้านคอมพิวเตอร์ เรียกและเข้าใจกันง่าย ๆ Computer Audit นั้น มีการตรวจสอบเป็น 2 ลักษณะ คือ

17.1 การตรวจสอบด้านศูนย์ประมวลข้อมูล (Data Center) หรือเรียกกันว่าเป็นการตรวจสอบการควบคุมโดยทั่วไป (General Controls) หรือเป็นการตรวจสอบ “องค์กร” หรือเป็นการตรวจสอบการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ขององค์กร

17.2 การตรวจสอบงานใดงานหนึ่งเป็นการเฉพาะ เช่น การตรวจสอบงานด้านเงินฝาก เงินให้กู้ ฯลฯ ก็เรียกกันว่าเป็นการตรวจสอบด้าน Application หรือเป็นการตรวจสอบการควบคุมภายในเฉพาะงาน (Application Controls) หรือทำให้เข้าใจง่ายยิ่งขึ้นก็เรียกว่าการตรวจสอบ “งาน” ภายในองค์กร

18. การตรวจสอบงานด้านคอมพิวเตอร์ โดยหลักใหญ่ ๆ จึงสรุปได้ว่ามีเพียง 2 ลักษณะ คือ การตรวจสอบ “องค์กร” กับ “งาน” จะเป็นการตรวจสอบด้านใดก็ขึ้นกับความรับผิดชอบของผู้ตรวจสอบในแต่ละองค์กร ว่ายืนอยู่ ณ จุดใด มีความรับผิดชอบด้านใด ท่านต้องการกำหนดขอบเขตการตรวจสอบ (Audit Scope) เพียงใด ดังนั้น ผู้อ่านจึงต้องแยกแยะว่าท่านต้องการเรียนรู้งานการตรวจสอบด้านคอมพิวเตอร์ลักษณะใด แล้วจึงค่อย ๆ ทำความเข้าใจกับคำอธิบายเฉพาะส่วนนั้น ๆ และความเกี่ยวพันที่เกี่ยวข้อง เช่น ควรเข้าใจว่า หาก General Controls มีปัญหาก็จะกระทบกับการวางแผนและการตรวจสอบด้าน Application Controls เพียงใด และควรมีวิธีการตรวจสอบอย่างไร เป็นต้น

อนึ่ง ถึงแม้จะมีตำราการตรวจสอบด้านคอมพิวเตอร์บางเล่มได้แยกหัวข้อการตรวจสอบแตกต่างไปจากที่กล่าวข้างต้น เช่น มักจะแยกหัวข้อการตรวจสอบการพัฒนาระบบงานเพิ่มมาอีกก็ตาม ผมก็ยังมีความเห็นว่า น่าจะรวมอยู่ในการตรวจสอบ General Controls จะเหมาะสมกว่า นอกจากนี้ แผนภูมิแสดงการตรวจสอบโดยย่อที่มีมากกว่า 1 แห่ง ในหนังสือของผมทั้ง 3 หรือ 4 เล่ม ก็อาจมีความแตกต่างกันในรายละเอียดปลีกย่อย ทั้งนี้ ขอให้ผู้อ่านอย่าสับสน เพราะเหตุผลเกิดจากแนวความคิดเบื้องต้นที่อาจแตกต่างกันบ้างของผู้เขียนหนังสือแต่ละคน เช่น บางคนเริ่มจากการวิเคราะห์ความเสี่ยง ซึ่งผมชอบแนวทางนี้ บางคนไม่วิเคราะห์ถึงความเสี่ยงก่อน แต่ให้เริ่มต้นจากการทำความเข้าใจระบบงานก่อน ซึ่งในที่สุด ผู้อ่านจะพบว่าไม่ว่าจะเริ่มแบบใด ในที่สุดแล้วก็จะมาสู่จุดเดียวกันจนได้ หากท่านผู้อ่านเข้าใจได้เช่นนี้ ก็แสดงว่าท่านเข้าใจแนวทางการตรวจสอบอย่างถ่องแท้แล้ว อย่างไรก็ดี หลักการส่วนใหญ่จะไม่แตกต่างกันมาก แต่จะแตกต่างกันในการบรรยายและการทำความเข้าใจ

19. ผู้อ่านควรทำความเข้าใจในคำต่อไปนี้ คือ EDP Examinar, EDP Auditor ซึ่งคำ ๆ หลังนี้ยังแยกได้เป็น 2 ส่วน คือ External Auditor และ Internal Auditor สรุปเพียงข้อนี้ก่อนว่าผู้ตรวจสอบด้านคอมพิวเตอร์เองก็มี 3 แบบ มีความรับผิดชอบและหน้าที่แตกต่างกัน และผู้ตรวจสอบต้องเข้าใจลักษณะของหน้าที่และความรับผิดชอบที่แตกต่างกันนั้น ๆ ด้วย เพราะความแตกต่างกันนั้น ยังมีส่วนเหลื่อมที่เป็นความเหมือนหรือความคล้ายกันปะปนกันอยู่ด้วย นั่นคือ การกำหนดขอบเขตและวิธีการตรวจสอบ อาจมีความสัมพันธ์ซึ่งกันและกันตามลักษณะของผู้ตรวจสอบทั้ง 3 แบบได้

20. การให้ถ้อยคำเป็นภาษาไทยที่ถอดความจากภาษาอังกฤษ ในศัพท์คอมพิวเตอร์บางครั้งก็มิใช่ของง่าย เพราะถึงแม้จะมีการแปลศัพท์คอมพิวเตอร์เป็นภาษาไทยกันแล้วหลายเล่ม แต่การใช้ภาษาไทยก็ยังมีการใช้แตกต่างกันอยู่ ซึ่งขึ้นกับความถนัดและความเข้าใจของผู้เรียบเรียงหรือผู้เขียนเป็นสำคัญ ดังนั้น การให้ถ้อยคำในภาษาไทยในแต่ละเรื่อง ถึงแม้มาจากภาษาอังกฤษคำ ๆ เดียวกัน ก็ใช้ถ้อยคำแตกต่างกันที่อาจทำให้ผู้อ่านสับสนได้ อย่างไรก็ดี คำศัพท์ภาษาไทยที่ยังไม่นิยมกัน ผมไม่ได้นำมาใช้ในเอกสารประกอบการบรรยายนี้ และคำศัพท์หลายคำ ผมได้ให้ความหมายใหม่ตามที่ผมเข้าใจ เช่นคำว่า “Default” โดยทั่วไปแปลว่า “โดยปริยาย” แต่ในหลายตอนของผมแปลว่า “มาตรฐานของระบบงานที่ได้กำหนดไว้ล่วงหน้า” หรือ “คำสั่งตามเงื่อนไขเบื้องต้นที่กำหนดไว้ในโปรแกรม” นอกจากนี้ หากท่านผู้อ่านพบกับคำว่า เกิด Default ก็ขอให้เข้าใจว่า “เกิดข้อคลาดเคลื่อน” หรือ “เกิดการปฏิบัติงานที่ผิดไปจากเงื่อนไขหรือคำสั่งงานที่กำหนดไว้” และในบางกรณีก็หมายถึง “เกิดปัญหาการปฏิบัติงานที่เกิดจากมาตรฐานหรือเงื่อนไขเบื้องต้น” ทั้ง ๆ ที่การเกิด Default นี้เป็นไปตามคำสั่งหรือมาตรฐานของระบบงานก็ตาม ซึ่งแสดงถึงจุดอ่อนหรือความเสี่ยงที่เกิดจากการทำ Default ในโปรแกรมนั่นเอง อย่างไรก็ดี ความหมายในภาษาไทยที่ใช้และอาจเกิดความสับสนได้นั้น ผมจะวงเล็บภาษาอังกฤษ เพื่อให้เปรียบเทียบประกอบความเข้าใจเป็นส่วนมากไว้ด้วย ดั้งนั้น หากท่านผู้อ่านจะนำศัพท์ภาษาอังกฤษไปเปรียบเทียบกับ Dictionary ด้านคอมพิวเตอร์ ก็จะพบว่าการให้ความหมายแตกต่างกันไป ซึ่งบางกรณีทำให้เกิดความเข้าใจที่แตกต่างกันด้วย

21. ถ้อยคำในภาษาไทยที่ใช้ในการบรรยายการตรวจสอบด้านคอมพิวเตอร์ในบางครั้งที่พบ เช่น การตรวจสอบระบบคอมพิวเตอร์โดยทั่วไป (ซึ่งหมายถึงการตรวจสอบ Data Center หรือ General Controls) กับคำว่าการตรวจสอบคอมพิวเตอร์เฉพาะงาน หรือบางครั้งก็ใช้คำว่าการตรวจสอบระบบงาน (ซึ่งหมายถึง Application Audit หรือ Application Controls) ถ้าผู้อ่านพยายามนึกถึงภาษาอังกฤษประกอบด้วยแล้ว จะทำให้ความสับสนน้อยลงได้ ทั้งนี้มีข้อแนะนำว่า หากรู้สึกสับสนก็ขอให้ถามตนเองว่า ขณะนี้เรากำลังอยู่จุดไหนหรือขั้นตอนใดของงานการตรวจสอบ เรามีเป้าหมายและขอบเขตการตรวจสอบอะไร เพียงใด ก็จะช่วยได้มาก โดยเฉพาะ การให้คำภาษาไทยที่ไม่ได้วงเล็บภาษาอังกฤษไว้ด้วย

การที่ผมย้ำจุดนี้หลายครั้งก็เพราะจากประสบการณ์ที่ผ่านมาในระยะแรก ๆ ทั้งตัวผมและผู้ฟังการบรรยายมักจะพบปัญหาการทำความเข้าใจจากจุดนี้เป็นสำคัญ

22. ถ้อยคำอื่น ๆ ที่มีปัญหาก็อาจเกิดจากเทคนิคทางด้านคอมพิวเตอร์นอกเหนือจากการใช้ภาษาไทยได้ ตัวอย่างเช่น โปรแกรมระบบงาน (System Program หรือ System Software) และคำว่าโปรแกรมเฉพาะงาน (Application Program หรือ Application Software) โดยมีถ้อยคำภาษาไทยที่คล้ายกันมาก หากไม่วงเล็บภาษาอังกฤษไว้ด้วย จะชวนทำให้สับสนได้ง่ายเช่นกัน หรือการตรวจสอบความถูกต้องของรายการทางการเงิน ก็มีคำภาษาอังกฤษที่ใช้ต่าง ๆ กัน เช่น Validation Procedures หรือ Verification Procedures หรือ Substantive Tests เป็นต้น ดังนั้น ผู้ตรวจสอบจึงควรทำความเข้าใจระบบงานของคอมพิวเตอร์ ให้ถ่องแท้ก่อนการวางแผนและดำเนินการตรวจสอบ

ทั้งนี้ ด้วยเนื้อหาของคำนำที่ยาวพอสมควร ทำให้ผมไม่สามารถนำเสนอได้จบในตอนที่ 6 นี้ จึงขอให้ท่านผู้อ่านโปรดติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่ม 2 “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ที่ผมจะนำมาเสนอในตอนต่อไปนะครับ

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 5)

ตอนที่ 4 ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่ ธปท.กำหนดขึ้นเพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงิน ระบบการจัดการของหน่วยงานภายใต้การดูแลของ ธปท.ให้มีการดำเนินงาน บริหารงาน ได้ถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่าต่อผู้มีผลประโยชน์ร่วม และผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ เพื่อให้ความมั่นใจต่อผู้มีผลประโยชน์ร่วมทุกฝ่ายที่เกี่ยวข้อง ถึงความสามารถในการบริหารงานอย่างต่อเนื่อง ในการสร้าง Vallue Creation อย่างได้ดุลยภาพ จากการบริหารความเสี่ยงและทรัพยากรที่มีอยู่

….ซึ่งต่อมา สภาพแวดล้อมในการดำเนินงาน ได้มีการพัฒนาตลอดมาจนกระทั่งปัจุบัน ซึ่งมีผลอย่างสำคัญ ต่อการเปลี่ยนแปลง และการบริหารการเปลี่ยนแปลงในกระบวนการบริหารและปฎิบัติงาน ส่งผลให้มีการค้นคว้าและพัฒนาหลักการบริหารที่ดี และการกำหนดมาตรฐาน มาตรการการดำเนินงาน และการกำกับที่ได้เปลี่ยนแปลงไปให้ทันกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นโดยเฉพาะความเสี่ยงที่เกิดจากการบริหาร การดำเนินงาน ด้านคอมพิวเตอร์/ เทคโนโลยีสารสนเทศและการสื่อสาร ที่มีการพัฒนาอย่างรวดเร็วและไม่หยุดยั้ง มีผลอย่างสำคัญที่ตามมาคือ ผู้บริหาร ผู้กำกับ ผู้ปฎิบัติ ผู้ตรวจสอบ จำนวนหนึ่งตามไม่ทันกับการพัฒนาทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งการมีการใช้เทคโนโลยีที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม ที่คู่กันไปกับการบริหารความเสี่ยง ที่มีผลกระทบต่อการบริหารที่มีประสิทธิภาพ และมีประสิทธิผลในการสร้างคุณค่าเพิ่ม ( Value Creation )ให้กับผู้มีผลประโยชน์ร่วมที่ได้ดุลยภาพ ในการบรรลุวัตถุประสงค์ที่ต้องการคู่กันไปกับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม ซึ่งผมจะได้เล่าในโอกาศต่อ ๆ ไปนะครับ…

วันนี้ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ต่อจากตอนที่ 4 ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้ง สถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความถูกต้องของข้อมูลทางการเงิน และรายงาน รวมทั้งการปฎิบัติตามกฎหมายและกฎเกณฑ์ของผู้กำกับ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการปรับปรุง เปลี่ยนแปลง การกำกับของธนาคารแห่งประเทศไทย

หลายท่าน ที่ได้ติดตามอ่านมาตั้งแต่ต้นและไม่ได้เป็นผู้ตรวจสอบ อาจมีข้อสงสัยว่า ทำไม? ผมจึงเชื่อมโยงการกำกับ การบริหาร การปฎิบัติงาน การตรวจสอบ ในสถาบันการเงินที่ใช้คอมพิวเตอร์ โดยเฉพาะในหัวข้อ “มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ” โดยเน้นค่อนข้างมาก มาในมุมมองของผู้ตรวจสอบ โดยเฉพาะผู้ตรวจสอบด้านคอมพิวเตอร์ นั้น ก็เป็นเพราะ….การกำกับ การบริหาร การปฎิบัติงาน การควบคุมความเสี่ยง การประเมินการบริหารความเสี่ยง+++ กับกระบวนการตรวจสอบ+++ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ และส่วนงานพิเศษ ที่ธปท.ตั้งขึ้นมาใหม่ให้ทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์โดยเฉพาะ และทำหน้าที่ทางด้านการช่วยงานตรวจสอบทั่วไป ที่มีผลกระทบต่อกระับวนการประเมินความเสี่ยงและการคตรวจสอบ ตามกระบวนการปกติ จึงได้ศึกษาปัญหา/อุปสรรคที่เกิดขึ้น เพื่อให้การประเมินฐานะของธนาคารพาณิชย์ สามารถดำเนินการต่ีอไปได้ตามปกติ ซึ่งพิจารณาได้ว่าเป็นวิธีการตรวจสอบด้านคอมพิวเตอร์ หรือ EDP- Electronic Data Processing ในยุคแรก

ดังนั้น ความเข้าใจในผลกระทบของการมี การใช้คอมพิวเ้ตอร์ และความสัมพันธ์ของการบริหารและการตรวจสอบ งานทางด้านคอมพิวเตอร์และงานทางด้านทั่วไป ที่ต้องมีความเข้าใจภาพโดยรวมจึงเริ่มเกิดขึ้น แต่ยังห่างไกลจากคำว่า การบริหารและการตรวจสอบแบบบูรณาการในยุคปัจจุบัน ที่เรียกกันว่า Integrated –GRC และ/หรือ Integrated Single Framework ยุคใหม่

เมื่อกล่าวมาถึงตอนนี้ ผมจึงย้อนหลังนำท่านผู้อ่าน ไปสู่ยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ โดยนำเรื่องที่ผมเขียนไว้เป็นคำนำ ในหนังสือเล่มที่ 2 เรื่องการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการส่วนหนึ่ง ว่าในช่วงเวลาประมาณ 35 ปีมาแล้ว ประเทศไทยมีวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์กันอย่างไร และความเข้าใจในช่วงเวลานั้น แตกต่างกับความเข้าใจในปัจจุบัีนอย่างไร ทั้งนี้ได้ใช้คำอธิบายเดิมเมื่อ 35 ปีก่อนโดยไม่ได้เพิ่มเติมแต่อย่างใด ดังนี้

คำนำ (เล่ม 2)
การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์

1. การจัดทำหนังสือชุดเรื่อง การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ทั้ง 4 เล่ม ครั้งนี้ ผมใคร่ขอเรียนวัตถุประสงค์หลัก ซึ่งเป็นสาระสำคัญของการจัดทำหนังสือชุดนี้คือ

1.1 เพื่อให้การศึกษา ค้นคว้า วิจัย งานด้านคอมพิวเตอร์ โดยไม่มีวัตถุประสงค์ในทางการค้า ทั้งในปัจจุบันและในอนาคตแก่ผู้ตรวจสอบในส่วนกำกับสถาบันการเงิน ที่ทำหน้าที่ตรวจสอบ ดูแล ความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ และจะใช้ภายในวงการที่ธนาคารแห่งประเทศไทยมีส่วนเกี่ยวข้องเป็นสำคัญ โดยพิจารณาเป็นส่วนหนึ่งของการให้การศึกษา อบรม ทำความเข้าใจกับหน่วยงานที่ธนาคารแห่งประเทศไทยเป็นผู้กำกับและดูแล

1.2 หนังสือทั้ง 4 เล่มในชุดนี้ เป็นการแนะนำงานที่ได้ศึกษารวบรวมเรียบเรียง รวมทั้งดัดแปลงจากเอกสารต่างประเทศ และเขียนเพิ่มเติมจากประสบการณ์ภาคสนามรวม ๆ กันไป จากเอกสารเดิมที่เคยใช้ในการบรรยายให้ความรู้ต่อสถาบันการเงินและมหาวิทยาลัยต่าง ๆ ที่ผ่านมา ทั้งนี้ได้อ้างถึงที่มาของหนังสือที่ได้ค้นคว้าตามท้ายหนังสือแล้ว เพื่อให้ผู้ที่ใช้งานในวงจำกัดเหล่านี้ ได้ทราบถึงที่มาในการใช้หนังสือชุดนี้เพื่อการศึกษา โดยมีข้อผิดตกยกเว้น ดังกล่าว

1.3 เพื่อให้การทำงานของส่วนกำกับฯ ได้ผลยิ่งขึ้น จึงได้มีการพูดคุยและให้คำแนะนำการปฏิบัติงาน รวมทั้งการตรวจสอบในที่ประชุมธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ ในภาคอีสานเช่นเดียวกับที่ผมได้เป็นผู้บรรยายให้แก่สถาบันเหล่านี้ในกรุงเทพฯ และที่อื่น ๆ หนังสือชุดดังกล่าว จึงได้ส่งให้สถาบันการเงินที่ธนาคารแห่งประเทศไทย ภาคตะวันออกเฉียงเหนือดูแล โดยมีวัตถุประสงค์เช่นเดียวกันคือให้การศึกษา ค้นคว้า วิจัย โดยถือเสมือนหนึ่งเป็นการป้องกันปัญหา และให้คำชี้นำในการให้การศึกษาเป็นการล่วงหน้าต่อสถาบันการเงินดังกล่าว ตามหน้าที่เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงาน โดยมีเอกสารไว้ใช้ศึกษาดูเมื่อต้องการ ซึ่งจะมีผลต่อความมั่นคงของสถาบันการเงิน ซึ่งเป็นหน้าที่หลักอย่างหนึ่งของธนาคารแห่งประเทศไทยเป็นสำคัญ

1.4 หนังสือในชุดนี้ทั้งหมด จัดทำขึ้นเพื่อใช้ประโยชน์ในการปฏิบัติงานและการดำเนินการของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ โดยมิได้เผยแพร่หรือโฆษณาต่อสาธารณชนเป็นการทั่วไป และมิได้มีการจำหน่ายใด ๆ ทั้งสิ้น และใคร่ขอย้ำว่าเป็นการจัดทำเพื่อประโยชน์ในการศึกษา งานค้นคว้า การปฏิบัติงานและการตรวจสอบด้านคอมพิวเตอร์ทุกรูปแบบ ตามภาระและหน้าที่ส่วนหนึ่งในความรับผิดชอบที่ผมปฏิบัติหน้าที่อยู่ ทั้งในอดีตและปัจจุบัน

ดังนั้น การนำข้อความหรือบทความในหนังสือชุดนี้ เพื่อจะทำซ้ำหรือดัดแปลงเพื่อประโยชน์ทางการค้า จึงเป็นสิ่งที่ไม่พึงปฏิบัติเพราะผิดวัตถุประสงค์ที่สำคัญของการจัดทำหนังสือชุดนี้เป็นอย่างยิ่ง

1.5 การทำความเข้าใจกับท่านผู้อ่าน และผู้ที่อาจเกี่ยวข้องในหัวข้อนี้ ก็เพื่อสร้างความเข้าใจในการจัดทำหนังสือชุดนี้เป็นสำคัญ ทั้งนี้เป็นการป้องกันปัญหาที่อาจจะเกิดจากความเข้าใจที่ไม่ตรงกันในการปฏิบัติหน้าที่ของแต่ละหน่วยงานได้

2. หนังสือเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ เป็นเล่มที่จะเน้นทำความเข้าใจ และให้รายละเอียดกับผู้ที่สนใจในการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก ทั้งนี้ มีแนวทางทำความเข้าใจง่าย ๆ โดยเริ่มต้นศึกษาจากวงจรทางเทคโนโลยีกับการควบคุมและตรวจสอบ และการดำเนินงานด้านคอมพิวเตอร์ ซึ่งมีรายละเอียดปรากฏอยู่ในเล่ม 1 และได้สรุปเพิ่มเติมในเล่ม 2 โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ แผนภาพ และข้อควรทราบสำหรับผู้ตรวจสอบโดยทั่วไปก่อนการเข้าตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

3. การตรวจสอบภาคสนาม (Field Work) สำหรับผู้ตรวจสอบที่ยังไม่เข้าใจระบบงานที่แท้จริงนั้น จะเริ่มจากการศึกษาและทำความเข้าใจระบบงานขององค์กรโดยภาพรวมก่อน นั่นคือการทำความเข้าใจทั้งในระบบงานในส่วนที่ใช้คอมพิวเตอร์ และในส่วนที่ไม่ใช้คอมพิวเตอร์ แล้วจึงทำการประเมินระบบการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนหาทางใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ

4. ตั้งแต่บทที่ 16 ถึงบทที่ 26 เหมาะสำหรับการตรวจสอบภายใน (Internal Audit) และผู้ตรวจสอบภายนอกที่ไม่ได้เป็น Examiner เพราะได้เน้นการตรวจสอบ “งาน” หรือ Application มากกว่า “องค์กร” อย่างไรก็ดี ผู้ตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ (EDP Examiner) จากธนาคารแห่งประเทศไทยก็สามารถนำไปประยุกต์ใช้ร่วมกับวิธีการและแนวทางการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ได้

5. มีองค์กรที่เกี่ยวข้องกับการตรวจสอบ และมีหนังสือที่เกี่ยวข้องกับการตรวจสอบด้านคอมพิวเตอร์มากมาย ตลอดจนนิตยสารและวารสารการตรวจสอบด้านคอมพิวเตอร์ ที่ออกกันมาเป็นรายเดือนหรือรายไตรมาสติดต่อกันมาเป็นเวลาหลายปีในหลายประเทศทั่วโลก เมื่อกล่าวถึงองค์กรอย่างเช่น Information Systems Audit and Control Association ที่มีสมาชิกมากกว่า 93 ประเทศทั่วโลก ทำหน้าที่ศึกษา ค้นคว้า ให้การอบรม จัดสัมมนา จัดการประชุมงานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit) กับสมาชิกและออกวารสาร IS Audit and Control เป็นประจำ มีสำนักงานใหญ่อยู่ที่ประเทศสหรัฐอเมริกา ประเทศไทยเราก็เป็นสมาชิกอยู่ในสมาคมผู้ตรวจสอบงานคอมพิวเตอร์นี้ด้วย นอกจากนั้น ก็มีสถาบันต่าง ๆ หลายแห่งที่มีสมาชิกเป็นจำนวนมาก ทำหน้าที่คล้าย ๆ กันนี้ แต่เน้นหนักทางด้านการค้นคว้าการตรวจสอบด้านคอมพิวเตอร์และผลิตหนังสือต่าง ๆ ออกมามากมาย

ดังนั้น หากองค์กรของท่านเป็นองค์กรหนึ่งที่มีหน้าที่ในการตรวจสอบ ไม่ว่าจะเป็นการตรวจสอบภายในองค์กรของท่านเอง หรือทำหน้าที่ตรวจสอบองค์กรอื่นที่ใช้คอมพิวเตอร์ในการ Process งานและการบริหารงานโดยที่ผู้ตรวจสอบที่ท่านดูแล ยังมิได้ทำการตรวจสอบในลักษณะ IS Audit หรือ Computer Audit เป็นส่วนหนึ่งของกระบวนการตรวจสอบตามปกติแล้วละก็ ควรจะพิจารณาได้ว่า น่าจะต้องเพิ่มการดำเนินการตรวจสอบในลักษณะ IS Audit ได้แล้ว ทั้งนี้ขอท่านได้โปรดทบทวนและศึกษาจากมาตรฐานการสอบบัญชี ฉบับที่ 28 ฉบับที่ 29 และ ฉบับที่ 36 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย เรื่องการสอบบัญชีในกรณีธุรกิจที่ใช้คอมพิวเตอร์ (เล่ม 1) ก็จะเป็นประโยชน์ในการพิจารณาของท่านเป็นอย่างยิ่ง

6. จากข้อ 5 ข้างต้น ผมเองได้ยินเสียงวิจารณ์หรือเสียงบ่นจากการปฏิบัติงานการตรวจสอบของผู้ปฏิบัติงานภาคสนาม หรือผู้ลงมือตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์จริง ๆ จากผู้ค้นเคยมากรายว่า การตรวจสอบระบบการควบคุมภายในและการบัญชี ตลอดจนการศึกษาทำความเข้าใจระบบงานในองค์กรที่ได้รับการตรวจสอบที่ใช้คอมพิวเตอร์ เพื่อวางแผนและกำหนดเทคนิคหรือวิธีการตรวจสอบ หรือเพื่อหาหลักฐานและความพอเพียงในการตรวจสอบตามเป้าหมายการตรวจสอบ โดยใช้วิธีการตรวจสอบตามปกติ หรือ Manual นั้น ได้ถูกจำกัดโดยกระบวนการ Process งานด้านคอมพิวเตอร์ เพราะขั้นตอนการควบคุมภายในและการบัญชีส่วนใหญ่ได้ใช้โปรแกรมคอมพิวเตอร์เป็นผู้ควบคุมและดำเนินงานแล้ว ดังนั้น เมื่อไม่มีการตรวจสอบด้านคอมพิวเตอร์หรือ IT Audit เป็นส่วนหนึ่งของ Financial Audit โดยเฉพาะอย่างยิ่งการตรวจสอบการปฏิบัติตามระเบียบกฎเกณฑ์การควบคุมภายในของหน่วยงาน (Compliance Audit) แล้ว ก็จะทำให้การปฏิบัติงานตรวจสอบนั้นต้องข้ามขั้นตอนหรือละเว้นการตรวจสอบที่จำเป็นไปไม่น้อย ทำให้มีปัญหาถึงประสิทธิภาพและประสิทธิผลการปฏิบัติงานการตรวจสอบอันเกิดจากการละเลย ไม่ตรวจสอบงานด้านคอมพิวเตอร์ รวมทั้งไม่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบตามมาตรฐานที่ควรจะเป็นด้วย

ท่านเคยได้ยินคำวิจารณ์หรือเสียงบ่นทำนองนี้บ้างหรือไม่ และท่านควรจะทำการแก้ไขปัญหาหรืออุปสรรคตามที่กล่าวนี้อย่างไร หากท่านไม่ได้ยินเรื่องทำนองข้างต้น ท่านเคยคิดและพิจารณาบ้างหรือไม่ว่าเป็นไปได้หรือที่การตรวจสอบยังคงใช้แนวทางการตรวจสอบเดิม ๆ สมัยที่องค์กรยังใช้ระบบ Manual เมื่อองค์กรนั้นนำคอมพิวเตอร์เข้ามาใช้แล้ว

เนื่องจาก คำนำ การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ ที่ผมเขียนมานานคือตั้งแต่ปี 2539 มีความยาว 36 ข้อ ดังนั้น ผมจะขอทยอยลงให้ท่านผู้อ่านได้ทราบในตอนต่อ ๆ ไปจนครบ และเมื่อถึงเวลานั้น ท่านจะได้เข้าใจกรอบการบริหาร การดำเนินงาน และการตรวจสอบ ที่ได้ใช้ Risk-Based Auditในยุคแรก ๆ นั้นแล้ว

 

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 9 CoCo (Criteria of Control)

สวัสดีครับ เราได้พูดคุยกันถึงเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงมาถึงตอนที่ 9 แล้วนะครับ และผมจะขอกล่าวถึง CoCo (Criteria of Control) ซึ่งได้เคยเอ่ยถึงในตอนที่ผ่านมาแล้วว่า เป็น CSA อีกรูปแบบหนึ่งที่สามารถนำมาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยง โดย CICA – Canadian Institute of Chartered Accountants ซึ่งเป็นสถาบันหรือองค์กรไม่แสวงหาผลกำไร ที่จัดตั้งขึ้นตามพระราชบัญญัติพิเศษจากรัฐสภาแคนาดาในปี 1902 ได้เสนอแบบจำลองการควบคุมออกมาโดยเรียกว่า เกณฑ์การควบคุม หรือแบบจำลอง CoCo โดยในการศึกษาแบบจำลองนี้ ควรเริ่มจากการให้ความหมายของการควบคุมภายในเสียก่อน ซึ่งการควบคุมภายในประกอบด้วยองค์ประกอบหลายอย่างในองค์กร เช่น ทรัพยากร ระบบ กระบวนการ วัฒนธรรม โครงสร้างและงานต่าง ๆ อันจะช่วยในการสนับสนุนการปฏิบัติงานของบุคลากร ให้สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่องค์กรต้องการโดยมุ่งเน้นไปที่

1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน

2. ความน่าเชื่อถือของรายงานทางการเงินและการบริหาร

3. การปฏิบัติตามกฎหมาย กฎระเบียบ และนโยบายภายใน

องค์ประกอบการควบคุมภายในของ CoCo

กรอบแนวทางการควบคุมกลุ่ม ประกอบด้วย

1. เป้าหมาย (Purpose) เป็นเกณฑ์กลุ่มที่เป็นทิศทางขององค์กร เปรียบเสมือนหลักชัยขององค์กรที่ต้องดำเนินการไปให้ถึง (สิ่งที่องค์กรต้องทำ) พิจารณาได้ดังนี้

  1. จัดตั้งวัตถุประสงค์และมีการสื่อสารให้รับรู้
  2. ความเสี่ยงทั้งภายในและภายนอกที่องค์กรต้องเผชิญมีนัยสำคัญต่อความสำเร็จของวัตถุประสงค์ ควรจะระบุและมีการติดตามประเมินผล
  3. ออกแบบนโยบายเพื่อสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร และการจัดการความเสี่ยงที่ควรได้รับการยอมรับ มีแนวทางปฏิบัติและสื่อสารเพื่อให้ผู้คนเข้าใจสิ่งที่เป็นที่คาดหวังขององค์กร และขอบเขตของหน้าที่ที่จะต้องทำ
  4. การวางแผนที่เป็นแนวทางในการบรรลุวัตถุประสงค์ขององค์กร ควรได้รับการยอมรับและมีการสื่อสารให้เข้าใจ
  5. วัตถุประสงค์และแผนงานที่เกี่ยวข้อง ควรจะรวมถึงเป้าหมายในการวัดประสิทธิภาพและตัวชี้วัด

2. ความผูกพัน (Commitment) เป็นเกณฑ์กลุ่มที่แสดงความเป็นเอกลักษณ์และค่านิยม (ความต้องการทำสิ่งนั้น) พิจารณาได้ดังนี้

  1. จริยธรรมค่านิยมที่ใช้ร่วมกัน รวมทั้งความสมบูรณ์ ควรได้รับการจัดตั้ง มีการสื่อสารและการปฏิบัติทั่วทั้งองค์กร
  2. นโยบายการพัฒนาทรัพยากรมนุษย์และการปฏิบัติที่ควรจะสอดคล้องกับค่านิยมทางจริยธรรมขององค์กรและความสำเร็จของวัตถุประสงค์
  3. ผู้มีอำนาจ ผู้มีหน้าที่ปฏิบัติ และผู้ที่มีหน้าที่รับผิดรับชอบ ควรจะกำหนดพันธกิจ และแผนงานไว้อย่างชัดเจนและสอดคล้องกับวัตถุประสงค์ขององค์กร เพื่อนำไปใช้ในการตัดสินและปฏิบัติโดยบุคคลที่เหมาะสม
  4. มีบรรยากาศของความไว้วางใจซึ่งกันและกัน เพื่อเป็นการส่งเสริม สนับสนุนการใช้งานข้อมูลระหว่างหน่วยงานต่าง ๆ เพื่อผลการดำเนินงานที่มีประสิทธิภาพที่มีต่อการบรรลุวัตถุประสงค์ขององค์กร

3. ความสามารถ (Capability) เป็นเกณฑ์กลุ่มที่เป็นความสามารถขององค์กร (เครื่องมือในการทำสิ่งนั้น) พิจารณาได้ดังนี้

  1. ทุกคนควรจะมีทักษะที่จำเป็นความรู้และเครื่องมือที่จะสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร
  2. กระบวนการการสื่อสารควรจะสนับสนุนค่านิยมขององค์กรและความสำเร็จของวัตถุประสงค์
  3. ข้อมูลที่เพียงพอและมีความเกี่ยวข้อง ควรจะระบุและมีการสื่อสารในเวลาที่ เหมาะสม เพื่อให้ผู้ปฏิบัติหน้าที่สามารถดำเนินการตามที่ได้รับมอบหมาย
  4. ควรมีการประสานงานในการตัดสินใจและการปฏิบัติงานในส่วนงานที่แตกต่างกันขององค์กร
  5. กิจกรรมการควบคุมควรจะออกแบบเป็นส่วนหนึ่งขององค์กรที่คำนึงถึงวัตถุประสงค์ของความเสี่ยง เพื่อความสำเร็จขององค์กรและ interrelatedness ขององค์ประกอบการควบคุม

4. การติดตามและการเรียนรู้ (Monitoring and Learning) เป็นเกณฑ์กลุ่มที่แสดงพัฒนาการขององค์กร (ดูว่าเราได้ทำสิ่งนั้นหรือยัง) (พิจารณาได้ดังนี้

  1. สภาพแวดล้อมภายนอกและภายใน ควรจะตรวจสอบเพื่อให้ได้ข้อมูลที่อาจส่งสัญญาณความต้องการที่จะประเมินอีกครั้งวัตถุประสงค์ขององค์กรหรือการควบคุม
  2. ผลการปฏิบัติงานควรจะตรวจสอบกับเป้าหมาย และตัวชี้วัดที่ระบุไว้ในวัตถุประสงค์ขององค์กรและแผนงาน
  3. สมมติฐานที่อยู่เบื้องหลังวัตถุประสงค์ขององค์กรควรจะท้าทายเป็นระยะ ๆ
  4. ความต้องการของระบบสารสนเทศและข้อมูลที่เกี่ยวข้องควรจะคล้อยตามการเปลี่ยนแปลงวัตถุประสงค์หรือเป็นข้อบกพร่องการรายงานจะมีการระบุ
  5. ควรมีขั้นตอนของกระบวนการติดตาม เพื่อให้แน่ใจถึงการปฏิบัติงานที่เกิดขึ้นและการเปลี่ยนแปลงที่เหมาะสม
  6. ควรมีการจัดการประเมินความมีประสิทธิผลของการควบคุมในองค์กรเป็นระยะ ๆ และแจ้งผลให้กับผู้รับผิดชอบ

การนำ CoCo ไปใช้ใน CSA

ผู้ปฏิบัติงานด้าน CSA หลายท่านพบว่า CoCo เป็นวิธีการบริหารที่สัมพันธ์กับการควบคุมภายใน และการอธิบายอย่างง่าย ๆ ในการกำหนด Workshop CoCo เป็นวิธีการในขั้นที่สูงกว่า COSO เพราะจะเน้นที่การประเมินความเสี่ยงของแต่ละคน และกิจกรรมการควบคุมความเสี่ยง อีกทั้งใช้เป็นพื้นฐาน individual objective-by-objective และใช้เป็นพื้นฐานของแผนกด้วย

ในการทำ Workshop ผู้ประสานงานควรพัฒนาคำถามที่ใช้เป็นเกณฑ์ของ CoCo และดำเนินการ Workshop นั้น โดยการถามคำถามเหล่านั้น หรือผู้ประสานงานควรวางคำถามไว้ให้มีลักษณะทั่วไปมากที่สุด เช่น อะไรคือสิ่งที่ช่วยให้คุณบรรลุวัตถุประสงค์ของแผนก และแจกแจงการตอบสนองนั้นไปสู่เกณฑ์ของ CoCo จากนั้นผู้ประสานงาน ควรถามคำถามเฉพาะเกี่ยวกับเกณฑ์อื่น ๆ ของCoCo ที่ไม่ได้ทำการควบคุมในขณะนั้น

ต่อไปนี้คือ ตัวอย่างคำถามเพื่อประเมินประสิทธิผลของการควบคุมตามเกณฑ์ CoCo

เป้าหมาย (Purpose)

  • เราเข้าใจภารกิจและวิสัยทัศน์ขององค์กรหรือไม่
  • เราไม่เข้าใจวัตถุประสงค์ของเราเป็นกลุ่มและวิธีการที่พวกเขาพอดีกับวัตถุประสงค์อื่น ๆ ในองค์กรหรือไม่
  • ข้อมูลที่มีอยู่ในปัจจุบันช่วยให้เราสามารถระบุความเสี่ยงและการประเมินความเสี่ยงได้หรือไม่
  • เราเข้าใจความเสี่ยงที่เราจำเป็นต้องควบคุม และระดับของความเสี่ยงที่ยอมรับได้ เพื่อความรับผิดชอบต่อการควบคุมหรือไม่
  • เราไม่เข้าใจนโยบายที่ส่งผลกระทบต่อการดำเนินการของเราหรือไม่
  • แผนงานของเราคือการตอบสนองและความเพียงพอที่จะบรรลุการควบคุมใช่หรือไม่
  • เรามีเป้าหมายในการจัดการประสิทธิภาพการทำงานหรือไม่

ความผูกพัน (Commitment)

  • เราได้รับการฝึกฝนหลักการของความซื่อสัตย์และจริยธรรมค่านิยมร่วมกันหรือไม่
  • มีผู้ได้รับผลตอบแทนอย่างเป็นธรรมตามวัตถุประสงค์ขององค์กรและค่านิยมหรือไม่
  • เราไม่เข้าใจสิ่งที่เรารับผิดชอบและเราไม่มีคำนิยามที่ชัดเจนต่อความรับผิดชอบของเราใช่หรือไม่
  • การตัดสินใจที่สำคัญ ๆ ถูกกระทำโดยผู้เชี่ยวชาญและมีอำนาจหน้าที่รับผิดชอบใช่หรือไม่
  • ระดับของความไว้วางใจซึ่งกันและกันในแต่ละหน่วยงานเพียงพอที่จะสนับสนุนข้อมูลและประสิทธิภาพการทำงานอย่างไร

ความสามารถ (Capability)

  • เรามีบุคลากรที่มีความรู้ความสามารถ เครื่องมือ และทรัพยากรที่เหมาะสมหรือไม่
  • มีการรายงานความผิดพลาดอย่างรวดเร็ว ข่าวร้าย และข้อมูลอื่น ๆ ให้กับผู้บริหาร โดยปราศจากความกลัวและการแก้แค้นหรือไม่
  • มีข้อมูลเพียงพอที่จะช่วยในการดำเนินงานหรือไม่ อย่างไร
  • มีการประสานงานระหว่างผู้ปฏิบัติงานกับหน่วยงานอื่น ๆ ที่เกี่ยวข้องขององค์กรหรือไม่
  • มีขั้นตอนและกระบวนการที่จะช่วยให้บรรลุวัตถุประสงค์ขององค์กรหรือไม่

การติดตามและการเรียนรู้ (Monitoring and Learning)

  • มีการทบทวนสภาพแวดล้อมภายในและภายนอกเพื่อการเปลี่ยนแปลงและกำหนดให้มีวัตถุประสงค์หรือการควบคุมหรือไม่
  • เราจะตรวจสอบประสิทธิภาพกับเป้าหมายและตัวชี้วัดที่เกี่ยวข้องอย่างไร
  • เราตั้งสมมติฐานที่ท้าทายที่อยู่เบื้องหลังวัตถุประสงค์ของเราหรือไม่
  • เราได้รับและให้ข้อมูลที่จำเป็นและเกี่ยวข้องกับการตัดสินใจหรือไม่
  • ระบบข้อมูลของเรามีการปรับปรุงให้เป็นปัจจุบันอยู่เสมอหรือไม่
  • มีการเรียนรู้จากผลการตรวจสอบและปรับปรุงอย่างต่อเนื่องเพื่อการควบคุมที่ดีหรือไม่
  • มีการกำหนดระยะเวลาการประเมินประสิทธิภาพของการควบคุมหรือไม่

แนวการประเมินตนเองโดยการตั้งคำถามแบบกว้าง ๆ ตามตัวอย่างที่กล่าวข้างต้นในบางเรื่องและบางมุมมองนั้น ไม่เพียงพอที่จะทำการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ดั้งนั้น ผู้อำนวยความสะดวก หรือ Facilitator ซึ่งปกติจะเป็นผู้ตรวจสอบภายใน ซึ่งได้รับการคาดหมายว่าเป็นผู้เชี่ยวชาญในการบริหารความเสี่ยงในระดับองค์กร รวมทั้งการควบคุมความเสี่ยงระดับองค์กร ซึ่งปกติจะต้องเริ่มจากการประเมินความเสี่ยงของสายงานต่าง ๆ ภายในองค์กรนั้น ๆ ก่อนที่จะนำมาสรุปเป็นภาพรวมของการบริหารความเสี่ยงระดับองค์กร ภายใต้ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่ต้องผ่านการอนุมัติจากคณะกรรมการ ที่ควรจะครอบคลุมความเสี่ยงแบบสมดุลจากหลักการ Besiness Balanced Scorecard ที่จะเชื่อมโยง สัมพันธ์ เกี่ยวเนื่องกับความเสี่ยงทางด้าน IT Balanced Scorecard ที่เกี่ยวข้องกับวัตถุประสงค์หลัก 17 ข้อด้วยกัน ทั้ง 17 ข้อนี้อยู่ภายใต้ร่มของกลยุทธ์ที่เชื่อมโยงมายังวัตถุประสงค์ทั้ง 4 ด้านตามหลักการ Besiness Balanced Scorecard และในขณะเดียวกันวัตถุวัตถุประสงค์หลัก 17 ข้อ ของ Besiness Balanced Scorecard นั้น ก็ยังต้องสัมพันธ์กับวัตถุประสงค์หลักของ IT Related Goals ทั้ง 17 ข้อ ที่เชื่อมโยง (mapping) ได้อย่างลงตัว

มาถึงตอนนี้ ท่านผู้บริหาร ผู้อำนวยความสะดวกในการทำ CSA และผู้มีหน้าที่ปฏิบัติงานของแต่ละฝ่ายหรือสายงานต่าง ๆ อาจจะรู้สึกสับสนได้บ้าง ทั้งนี้เพราะผมกำลังพาท่านผู้อ่านไปสู่ยุคใหม่ของการบริหารธุรกิจ / องค์กรแบบบูรณาการ (Integrated Single Framework) หรือ Integrated Management ที่ไม่สามารถแยกการบริหาร Enterprise Goals กับ IT Related Goals ออกจากกันได้ในลักษณะ SILO สมัยเดิมได้อีกแล้ว นั่นคือ CIO ยุคใหม่ และในอนาคตจะต้องทำงานในลักษณะการบริหารองค์กรหรือการบริหารธุรกิจควบคุมกันไปกับ CEO และในขณะเดียวกัน CEO ก็ต้องมีความรู้เกี่ยวข้องกับผลกระทบของ IT Risk ที่มีผลต่อวัตถุประสงค์หลักทั้ง 17 ข้อ

ในการทำ CSA ในยุคปัจจุบันและในอนาคต การประเมินความเสี่ยงและการควบคุมภายใน และ/หรือการประเมินการควบคุมภายในที่มีอยู่ว่าเพียงพอที่จะลดความเสี่ยงต่าง ๆ ทั้งในระดับ Strategic Risk ที่มีผลเชื่อมโยงไปยัง Enterprise / Business Risk ที่เกี่ยวข้องกับความเสี่ยงตามมุมมองของ Business Balanced Scroecard ทั้ง 4 ด้าน ซึ่งเป็นภาพใหญ่นั้น จำเป็นที่ผู้อำนวยความสะดวก (Facilitator – ผู้ตรวจสอบภายใน) จะต้องเข้าใจหลักการบริหารและการจัดการแบบบูรณาการ เพื่อประเมินความเสี่ยงและผลกระทบที่เกี่ยวข้องว่ามีการควบคุมที่ต้นเหตุ (Root Cause) ที่แท้จริงหรือไม่ ทั้งนี้ก็เพราะกระบวนการควบคุมที่ปลายเหตุจะไม่มีประสิทธิภาพและประสิทธิผลใด ๆ ในการทำ CSA เลยแม้แต่น้อย

CSA and CIA_Facilitator

ท่านผู้อ่านครับ CSA หรือการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่กล่าวมาตั้งแต่ต้นนั้น สรุปได้ว่า คณะกรรมการและผู้บริหาร และผู้ปฏิบัติงาน ควรจะมีการสื่อสารให้เข้าใจตรงกันว่า การบริหารเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้สำหรับยุคใหม่นั้น จะต้องพิจารณาความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ซึ่งจะเป็นผู้ผลักดันและขับเคลื่อนความต้องการบรรลุวัตถุประสงค์ที่แท้จริงของธุรกิจ/องค์กร ภายใต้สภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงตลอดเวลา

ดังนั้น การหาจุดพอดี หรือดุลยภาพของความต้องการของ Stakeholders ที่แตกต่างกันนั้น จึงเป็นเรื่องที่สำคัญมาก ๆ เพราะหากไม่เกิดดุลยภาพในขั้นตอนแรกนี้ จะมีปัญหากระทบต่อ Governance ที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม (Value Creation) ที่ลงตัวและจะไม่เกิดความยั่งยืน (Sustainable) ซึ่งพิจารณาได้ว่าเป็นกระดุมเม็ดแรกของการขับเคลื่อน Value Creation ให้กับธุรกิจและองค์กรในระยะยาว ทั้งนี้ Value Creation มีหลักการและแนวความคิดที่ว่า Stakeholders ต้องการผลตอบแทนที่เหมาะสมที่ต้องสัมพันธ์กับดุลยภาพการบริหารความเสี่ยงที่พอเหมาะ และการบริหารจัดการทรัพยากรที่เหมาะสมควบคู่กันไปอย่างแยกกันไม่ได้

ขอสรุปเป็นครั้งสุดท้ายในเรื่อง CSA ว่า จากวรรคที่กล่าวข้างต้นจะนำไปสู่การกำหนด Enterprise Goals และเชื่อมโยงไปยัง IT Related Goals และเชื่อมโยงต่อไปยัง Process Goals และ Enabler Goals ที่ต้องการความเข้าใจในทุกขั้นตอนและในทุกกระบวนการบริหารอย่างแท้จริงว่า หากจะมีการดำเนินการจัดทำ CSA ผู้อำนวยความสะดวกและผู้บริหารที่เกี่ยวข้องควรจะเข้าใจในหลักการบริหารแบบบูรณาการที่เหมาะสมและพอเพียงเพียงใด

G (Governance) + R (Risk Management) + C (Compliance) ไม่เท่ากับ Integrated GRC หรือการบริหารแบบบูรณาการ

หิน + ปูน + ทราย ไม่เท่ากับ ซีเมนต์ หากขาดน้ำ

“น้ำ” ในที่นี้หมายถึง ความเข้าใจในกระบวนการบริหารและการจัดการแบบบูรณาการ ครับ