Integrated Auditors and Management ตอน 1

วันนี้ผมขอเล่าสู่กันฟังในเรื่องเกี่ยวกับ Integrated Audit และ CAE ว่าในอดีตที่ผ่านมาและจนกระทั่งถึงทุกวันนี้ อาจกล่าวได้ว่า องค์กรส่วนมากยังเข้าใจความหมายของ Integrated Audit และประโยชน์ของการตรวจสอบในลักษณะนี้ที่แตกต่างกันมาก จากการที่องค์กรไม่ได้มีการปฏิบัติที่เป็นรูปธรรมของการผสมผสานการตรวจสอบและใช้ประโยชน์จากแนวคิดที่เป็นลักษณะ Interdependent Approach ของกระบวนการตรวจสอบระหว่าง IT Audit และ Non – IT Audit เข้ามาใช้เป็นพลังร่วม (Synergy) ในการขับเคลื่อนกระบวนการตรวจสอบไปสู่การจัดทำรายงานการตรวจสอบที่มีคุณภาพสูงสุด จากการหลอมรวมกระบวนความคิด ซึ่งนำไปสู่ความเข้าใจในการวางแผนการตรวจสอบ ที่คำนึงถึง Audit Universe หรือเรื่องที่ควรได้รับการทดสอบในภาพโดยรวมที่เกี่ยวข้อง ซึ่งจะเชื่อมโยงหรือมีผลกระทบต่อกระบวนการจัดทำรายงาน ทั้งทางด้าน IT และ Non – IT ที่จะสัมพันธ์กับการควบคุมความเสี่ยงจาก Risk Universe ในแง่มุมต่าง ๆ ในมุมมองของ Business Balanced Scorecard และ Information Balanced Scorecard หรือแม้กระทั่งเป้าประสงค์หลักของการควบคุมความเสี่ยง ตามหลักการของ COSO – ERM ซึ่งก็ได้แก่ Strategic Risk – S, Operation Risk – O, Reporting Risk – R or F, Compliance Risk – C ที่ส่วนใหญ่จะเคยชินกับคำที่เรียกกันสั้น ๆ ว่า S – O – F – C

แนวทางการบริหารและการจัดการความเสี่ยงทั่วทั้งองค์กร ตามแนวทางของ COSO – ERM ที่นิยมใช้กันทั่วโลกและในประเทศไทยนั้น แทบจะไม่ได้กล่าวถึงผลกระทบ หรือ Impact จาก Risk IT และ IT Risk ที่มีผลต่อกระบวนการบริหารและการจัดการ รวมทั้งการจัดทำรายงานที่เป็นรูปธรรม

ดังนั้น ในทางปฏิบัติ ผู้กำกับ ในฐานะ Regulators และผู้ปฏิบัติ ในฐานะ Operators ส่วนใหญ่ได้มองข้ามความสำคัญของกระบวนการระบุปัจจัยเสี่ยงจาก IT Risk ที่มีผลกระทบต่อกระบวนการควบคุม กระบวนการบริหารและกระบวนการตัดสินใจ ซึ่งนำไปสู่ความเสี่ยงในการจัดการที่มีผลกระทบต่อประสิทธิภาพและประสิทธิผลในการดำเนินงาน การทุจริต รวมทั้งการลดโอกาสที่จะสร้างความเชื่อมั่น ความเชื่อถือ การสร้างคุณค่าเพิ่ม การสร้างความมั่นใจให้กับผู้มีผลประโยชน์ร่วม ทั้งภายในองค์กรและภายนอกองค์กรอย่างมีนัยสำคัญยิ่ง ที่นำไปสู่การบริหารและการจัดการ รวมทั้งการตรวจสอบในลักษณะ Integrated Thinking และ Integrated Audit ในทางปฏิบัติ

จากจุดอ่อนดังกล่าว ในทางปฏิบัติของหลาย ๆ องค์กร ทั้งภายในและต่างประเทศหลายแห่ง เกิดจากการบริหารและการจัดการที่มีแนวความคิดจากโครงสร้างขององค์กร ที่ส่วนใหญ่ยังแบ่งงานในลักษณะ Silo – Based นั่นคือ การแบ่งงานตามหน้าที่ หรือตาม Function มากกว่า การคำนึงถึงกระบวนการในการดำเนินงาน ที่ในปัจจุบันใช้คอมพิวเตอร์เข้าช่วยในแทบทุกองค์กร ซึ่งกระบวนการทำงานโดยใช้คอมพิวเตอร์ในขั้นตอนการปฏิบัติงานเป็นส่วนใหญ่นั้น จะมีลักษณะเป็น Integrated – Based ซึ่งอาจจะกล่าวโดยย่อได้คือ เป็นการดำเนินงานที่เชื่อมต่อ กระบวนการทำงานในแต่ละกิจกรรมและในแต่ละขั้นตอนเข้าด้วยกันอย่างต่อเนื่อง ภายในสายงานเดียวกันและข้ามสายงานอย่างอัตโนมัติ โดยเฉพาะอย่างยิ่ง ขั้นตอนการประมวลผล (Process) ซึ่งในขั้นตอนนี้ องค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ในวงการการเงิน การธนาคาร ตลาดหลักทรัพย์ บริษัทการบิน และการให้บริการแบบอัตโนมัติ ทั้งในลักษณะ Online และ Offline โดยเฉพาะอย่างยิ่ง การให้บริการที่เป็นลักษณะ One Stop Service จะมีลักษณะการใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงานเป็นส่วนใหญ่ และมีนัยสำคัญยิ่งต่อความพึงพอใจของลูกค้า และผู้ที่เกี่ยวข้องอย่างมีนัยสำคัญที่ไม่อาจปฏิเสธได้

ความเป็นจริงดังกล่าวตามวรรคต้น มีนัยสำคัญยิ่งต่อกระบวนการควบคุมความเสี่ยง ที่เกี่ยวข้องกับ IT Risk และ IT – Related Risk ที่มีผลต่อ Business Risk ที่เชื่อมโยงกับ Business Process และ Business Control และลึกลงไปถึง Application Control และ General Control ตามหลักการจัดการบริหารที่เป็นกระบวนการที่ใช้ Computer – Based เป็นหลักทั้งสิ้น

เรื่องของ Integrated Auditors and Management ที่ผมเล่าในวันนี้ ยังไม่จบเพียงเท่านี้ ครั้งหน้าไปติดตามกันต่อนะครับ

 

Leave a Reply