Posts Tagged "การตรวจสอบคอมพิวเตอร์ของธนาคารพาณิชย์"

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 13)

จากที่ผมได้เล่าถึงการได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) และ FDIC (Federal Deposit Insurance Corporation) เมื่อปี 2521 นั้น ก็จะเห็นว่ามีความเหมือนหรือแตกต่างกันอย่างไร ในวิธีและกระบวนการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา จากของทั้ง 2 สถาบัน ซึ่งจะเห็นได้ว่า OCC ใช้แนวการตรวจสอบในแบบ Around The Computer เพียงอย่างเดียว ไม่เหมือนกับ FDIC ที่ใช้วิธีการตรวจสอบในแบบ Through The Computer ควบคู่ไปกับวิธีการตรวจสอบแบบ Around The Computer ด้วย สำหรับครั้งนี้ ผมจะเล่าต่อถึงการตรวจสอบของ OCC ว่ามีขอบเขตของการตรวจสอบ ความถี่ แผนการตรวจสอบ รายงานการตรวจสอบ รวมถึงวิธีการตรวจทานรายงานและการติดตามผล อย่างไรบ้าง

ขอบเขตของการตรวจสอบ (Scope of Examination)

ผู้ตรวจสอบควรมีการศึกษาข้อมูลขั้นต้น (Preliminary Review) ถึงหน้าที่ต่าง ๆ ของงานด้าน EDP ทั้งหมดก่อน แล้วจึงใช้วิธีตรวจสอบโดยละเอียด (Examine in Depth) ถึงงานแต่ละด้านเพื่อดูถึงข้อบกพร่องของการควบคุมภายใน ถ้าปรากฏว่า มีข้อบกพร่องที่เป็นสิ่งสำคัญก็จำต้องพิจารณาขยายขอบเขตของการตรวจสอบด้านการให้กู้ยืมและให้เครดิตมากยิ่งขึ้น (Concurrent Commercial Examination) เนื่องจากว่ามีความสัมพันธ์โดยตรงกับระบบงานที่ใช้อยู่ (Automated Applications) ถ้าวิธีการควบคุมภายในของงาน EDP ช่วงดังกล่าวบกพร่อง ก็ไม่อาจใช้ข้อมูลที่ได้จากระบบนั้น เพื่อการตรวจสอบงานด้านเกี่ยวกับธุรกิจ (Commercial) ของธนาคารนั้นได้

ความถี่ของการตรวจสอบ (Frequency of Examination)

การตรวจสอบศูนย์ข้อมูลต่าง ๆ นั้นถือเกณฑ์ปีละครั้ง (Annual Basis) และอย่างช้าที่สุดต้องไม่เกินกว่า 18 เดือนต่อครั้ง ในกรณีที่พบว่าการควบคุมภายในบกพร่องมาก ก็จำเป็นต้องมีการตรวจสอบให้บ่อยครั้งยิ่งขึ้น บางครั้งก็จะต้องมีการไปตรวจสอบ เพื่อติดตามความก้าวหน้าในการแก้ไขข้อผิดพลาดของธนาคาร ตามที่ระบุไว้ในรายงานการตรวจสอบ

แผนการตรวจสอบ (Work Program)

ทุกครั้งที่ตรวจสอบจะต้องมีการจัดทำแผนการตรวจสอบสำหรับศูนย์ข้อมูลแต่ละแห่ง เรียงลำดับขั้นตอนให้เรียบร้อยแล้วส่งให้ Regional EDP Associate เพื่อพิจารณา หลังจากนั้น Regional Office จะเป็นผู้เก็บรักษาและแจกจ่ายรายงานนั้นตามควรแก่กรณี และต้องจัดให้มีวิธีป้องกันรักษา Work Program ดังกล่าวอย่างรัดกุมทุกขั้นตอน

รายงานการตรวจสอบ (Report of Examination)

รายงานการตรวจสอบด้าน EDP จะต้องทำให้เสร็จโดยสมบูรณ์ในระหว่างการตรวจสอบขั้นตอนของงานใดที่มิอาจตรวจสอบได้ (Nonapplicable Sections) จะต้องเปิดเผยไว้ให้ชัดเจนในรายงาน ข้อบกพร่องต่าง ๆ ที่รายงานไว้จะต้องปรึกษาหารือกับเจ้าหน้าที่ผู้รับผิดชอบ และผู้บริหารของศูนย์ข้อมูลนั้น การสรุปสนทนาครั้งสุดท้าย (A Final Discussion) จะต้องกระทำกับผู้บริหารชั้นสูงสุดของธนาคารและของแผนก EDP แม้จะไม่มีข้อบกพร่องที่จะยกขึ้นเป็นข้อสังเกตหรือคำวิจารณ์ (Adverse Criticiam) ก็ตาม

ความรับผิดชอบในการควบคุมดูแลรายงานการตรวจสอบทั้งหมด เป็นหน้าที่ของ Regional Office ต้องรายงาน และเอกสารประกอบทั้งหมดจะต้องไม่อยู่ในความครอบครองของเจ้าหน้าที่ผู้ตรวจ นานเกินกว่าระยะเวลาอันสมควร หลังจากที่ได้มีการสรุปผลการตรวจสอบเสร็จสิ้นเรียบร้อยแล้ว

หลังจากเสร็จสิ้นการตรวจสอบแล้ว จะต้องจัดการกับรายงานการตรวจสอบ ดังนี้

  • รายงานการตรวจสอบฉบับร่าง (Examiner’s Pencil Copy) จะต้องส่งไปยัง Regional Office เพื่อตรวจทาน (Review) จัดพิมพ์ (Processed) และจัดส่ง (Distribution) ต่อไป
  • จะจัดส่งรายงานให้แก่ Washington Office, ศูนย์ข้อมูลที่ได้รับการตรวจสอบ (The Data Center Examined) และสาขา (Subregional Office) ของธนาคารที่ใช้บริการของศูนย์ข้อมูลดังกล่าว และสำเนารายงานฉบับที่ส่งให้สาขาของธนาคารนี้ จะต้องเก็บไว้รวมกับกระดาษทำงานจากการตรวจสอบด้านอื่น ๆ (Commercial Examination Work Papers) เพื่อใช้อ่านเป็นการเตรียมการตรวจสอบครั้งต่อไป รายงานอีกฉบับหนึ่งจะต้องส่งให้กับ Subregional Office ของผู้ตรวจการ EDP ที่มีหน้าที่พิจารณาติดตามและแนะนำในการตรวจครั้งต่อไป
  • ภายใต้ดุลยพินิจของ Regional Administrator อาจมีการส่งสำเนารายงานการตรวจสอบให้แก่ National Bank ทุกธนาคารที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ตรวจสอบก็ได้ หรือ Regional Administrator อาจใช้วิธีแจ้งไปยังธนาคารสมาชิกที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ได้รับการตรวจสอบดังกล่าวว่า ได้ตรวจสอบศูนย์คอมพิวเตอร์นั้นเสร็จสิ้นแล้ว หากธนาคารใดประสงค์จะได้รายงานการตรวจสอบดังกล่าว เพื่อไปศึกษารายละเอียดก็ให้เขียนจดหมายไปขอได้จาก Regional Office
  • สำเนารายงานการตรวจสอบบางฉบับ อาจจะจัดส่งให้สถาบันอื่นที่มีหน้าที่ควบคุมธนาคารพาณิชย์ (Other Regulatory Agencies) รวมทั้ง State Examining Authorities ด้วย ตามที่ขอมาโดยถือเป็นการแลกเปลี่ยนซึ่งกันและกัน (On a Reciprocal Basis)
  • ถ้าปรากฎว่าศูนย์ข้อมูลใดให้บริการแก่ธนาคารหลายแห่งที่ตั้งอยู่ต่างท้องที่กัน (National Bank Region) ก็จำเป็นต้องส่งรายงานการตรวจสอบให้กับ Regional Office ที่เกี่ยวข้องเป็นผู้แจกจ่ายให้แก่ Subregional Office ที่เห็นว่าเหมาะสม

วิธีตรวจทานรายงานและการติดตามผล

เมื่อทำรายงานการตรวจสอบเสร็จแล้ว แต่ก่อนที่จะจัดส่งรายงานฉบับสุดท้าย (Final Report) ไป ควรจะได้มีการตรวจสอบความถูกต้องเกี่ยวกับตัวเลข สภาพการทำงานของศูนย์ข้อมูลเนื้อหาของรายงาน การตรวจสอบ ตลอดจนวิธีปฏิบัติในการติดตามผล การตรวจทานรายงานนี้จะต้องกระทำโดย National EDP Associate ส่วน Washington Office จะเป็นผู้ตรวจทานเกี่ยวกับความต่อเนื่องของการตรวจสอบ (Continuity) เนื้อหาและความเพียงพอของการติดตามผล

รายงานหน้าการวิเคราะห์จะทำโดยผู้ตรวจสอบด้าน EDP และส่งให้แก่ Regional Office พร้อมกับร่างรายงานการตรวจสอบ ซึ่ง Regional Office จะเป็นผู้ตรวจสทานรายงานการตรวจสอบดังกล่าว พร้อมทั้งให้คะแนนเพื่อจัดอันดับศูนย์ข้อมูลดังกล่าวนั้น โดยมีสำเนาการให้ และจัดอันดับจัดส่งไปพร้อมกับรายงานการตรวจสอบ ได้แก่ Washington Office และผู้ตรวจการด้วย

การเขียนคำวิจารณ์รายงานการตรวจสอบจะเป็นหน้าที่ของ EDP Associate และมีสำเนาถึง Washington Office

คณะกรรมการสนับสนุนด้าน EDP ของสำนักงานวอชิงตัน จะเป็นผู้กำหนดมาตรฐานและนโยบายในการตรวจสอบ นอกจากนี้ คณะกรรมการดังกล่าวยังพร้อมที่จะให้คำปรึกษา ทั้งทางเทคนิคและวิธีการในกรณีที่มีปัญหายุ่งยากหรือมีเหตุการณ์ผิดปกติ

ผมได้เล่าประสบการณ์ในการไปดูงานการตรวจสอบด้าน EDP Audit ในช่วงเวลา ปี 2521 ซึ่งเวลาก็ผ่านมาเนิ่นนานถึง 36 ปีแล้วนั้น ก็เพื่อให้ท่านผู้อ่านได้ทราบความเป็นมาของวิวัฒนาการการตรวจสอบทางด้าน IT Audit ซึ่งในยุคก่อนเรียกว่า EDP Audit ว่ามีความแตกต่างอย่างไรกับการตรวจสอบในยุคปัจจุบัน ซึ่งเทคโนโลยีและมาตรฐานการบริหารงานทางด้านเทคโนโลยีสารสนเทศ ซึ่งมีความสัมพันธ์กับการบริหารงานทางด้านธุรกิจอย่างแยกกันไม่ได้ ตามแนวการบริหารและการจัดการที่ดี และยอมรับกันทั่วโลกขนาดนี้ก็คือ การบริหารในแนวของ GEIT – Governance Enterprise of IT หรือ COBIT 5 ซึ่งเป็น Integrated Single Framework ที่ในมุมมองของการบริหาร IT ทุกมุมมองจะสนับสนุนมุมมองทางด้าน Business Goals ในทุกมุมมอง และกลับกัน… นี่คือ ความแตกต่างกันอย่างมากในการบริหารยุคเดิม ซึ่งมักจะบริหารและจัดการตรวจสอบในแบบ Silo-Based หากท่านผู้อ่านติดตามในตอนต่อ ๆ ไป ก็จะได้พบกับวิวัฒนาการของการตรวจสอบทางด้าน IT ยุคใหม่ ซึ่งเป็น IT Audit ที่เชื่อมโยงกระบวนการทางด้าน IT ให้เข้ากับกระบวนการทางด้าน Enterprise Goals หรือ Business Goals ผสมผสานกับการพิจารณาที่เชื่อมโยงไปยัง Process Goals และต่อยอดลงไปยัง Enabler Goals ซึ่งเป็นปัจจัยเอื้อที่นำไปสู่ความสำเร็จในการบริหารทางด้านเทคโนโลยีสารสนเทศ และทางด้านธุรกิจ

ดังนั้น กระบวนการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ จะสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้ในทุกมุมมอง ได้อย่างมั่นใจ นั่นคือการสร้าง Value Creation ผ่านองค์ประกอบที่สำคัญของหลักการ Governance ที่ประกอบไปด้วย การได้รับผลประโยชน์ (ตามมุมมอง BSc.) ที่สัมพันธ์กับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่ดีอย่างมีดุลยภาพ โดยมีกระบวนการที่คณะกรรมการพึงต้องรับผิดชอบในการประเมินผล สั่งการ และเฝ้าติดตาม ในเรื่องกระบวนการที่เกี่ยวข้องกับ Governance ใน 5 กระบวนการหลัก ๆ ก็คือ

  • มั่นใจในการกำหนดกรอบการดำเนินการกำกับดูแลและการบำรุงรักษา
  • มั่นใจในการส่งมอบผลประโยชน์
  • มั่นใจในความเสี่ยงที่เหมาะสม
  • มั่นใจในการใช้ทรัพยากรให้ได้ประโยชน์สูงสุด
  • มั่นใจในความโปร่งใสต่อผู้มีส่วนได้เสีย

ท่านที่ติดตามต่อไปจนไปถึงขั้นตอนท้าย ๆ ของวิวัฒนาการ IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ซึ่งจะใช้เวลาอีกนานพอสมควร จะได้พบกับกระบวนการบริหาร กระบวนการตรวจสอบ ที่แตกต่างไปอย่างสิ้นเชิง กับอดีตที่ผ่านมาในช่วงเวลาถึง 36 ปี และมากกว่านั้น สำหรับตอนนี้จะเป็นตอนสุดท้ายสำหรับการเล่าเรื่องประสบการณ์การตรวจสอบทางด้าน EDP Audit ในยุคแรก ๆ ของวิวัฒนาการการตรวจสอบทางด้าน IT ของประเทศ ซึ่งจะเกี่ยวข้องกับวิวัฒนาการของการบริหารทางด้านเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี และกระบวนการกำกับ ควบคุม เทคโนโลยีสารสนเทศ ซึ่งจะแยกกันไม่ได้ระหว่าง IT Related Goals กับ Enterprise Goals ซึ่งจะได้กล่าวในอีกหลาย ๆ ตอนต่อไปนะครับ

 

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 11)

สวัสดีครับทุกท่าน จากประสบการณ์ที่ผมได้ร่วมตรวจสอบ EDP Examiner กับ FDIC (Federal Deposit Insurance Corporation) และได้เล่าสู่กันฟังไปหลายตอนแล้วนั้น วันนี้ผมจะขอเล่าถึงการตรวจสอบที่ผมได้ร่วมกับ OCC (Office of the Comptroller of the Currency) ตามที่ได้กล่าวทิ้งท้ายในครั้งก่อนกันบ้างว่า จะมีความเหมือนหรือแตกต่างกันอย่างไร สำหรับงานตรวจสอบด้านคอมพิวเตอร์ของทั้ง 2 สถาบันดังกล่าว ซึ่งเป็นงานการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา เมื่อปี 2521 ติดตามกันต่อได้เลยครับ

การตรวจสอบคอมพิวเตอร์ของ OCC

 

ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examiners)

The Comptroller ได้แต่งตั้งผู้ตรวจสอบที่มีประสบการณ์ในการตรวจสอบให้ปฏิบัติงานเป็นผู้ตรวจสอบด้านคอมพิวเตอร์ (EDP Examiners) และได้จัดให้บุคคลเหล่านี้เข้ารับการฝึกอบรมเป็นพิเศษ เพื่อให้เป็นผู้ที่มีความสามารถในการที่จะตรวจสอบระบบการผลิตข้อมูลด้วยคอมพิวเตอร์ของธนาคารและของศูนย์บริการด้านคอมพิวเตอร์ (Service Center) ต่าง ๆ ที่ธนาคารใช้บริการอยู่

ผู้ตรวจการด้านคอมพิวเตอร์จะรายงานต่อ Regional Administrator ซึ่งตนสังกัดอยู่ แต่อย่างไรก็ตาม งานทางด้านเทคนิคต่าง ๆ ของการตรวจสอบด้าน EDP ยังคงอยู่ในความรับผิดชอบของฝ่ายกิจการธนาคาร (The Banking Operation Department) ในวอชิงตัน จำนวนของผู้ตรวจการ สถานที่ทำงาน และตารางเวลาการปฏิบัติงานของผู้ตรวจการดังกล่าว ยังคงขึ้นอยู่กับ Regional Administrator ซึ่งเป็นผู้บริหารงานของแต่ละ office การคัดเลือกผู้ตรวจการและการจัดให้เข้ารับการอบรมต้องประสานงานและได้รับอนุมัติจากสำนักงานตรวจสอบคอมพิวเตอร์ (EDP Examination Division) ในวอชิงตัน มาตรฐานและการดำเนินการฝึกอบรมให้ถือเป็นความรับผิดชอบของ Washington Office

ผู้ตรวจการด้าน EDP มีหน้าที่ในการตรวจสอบการผลิตข้อมูลด้วยคอมพิวเตอร์ในแต่ละธนาคาร และในศูนย์บริการซึ่งผลิตข้อมูลให้แก่ธนาคาร

แผนการปฏิบัติงาน (Work Programs) และรายงานการตรวจสอบจะจัดทำขึ้นโดยเฉพาะสำหรับแต่ละกิจการที่ตรวจสอบ วัตถุประสงค์ของการตรวจสอบก็เพื่อที่จะวัดผลการควบคุมภายในของระบบการผลิตข้อมูลด้วยคอมพิวเตอร์

ความจำเป็นของแต่ละท้องถิ่น ความสนใจและความชำนาญงานของผู้ตรวจการแต่ละคนจะเป็นปัจจัยที่กำหนดระยะเวลาที่จะใช้ในการตรวจสอบของผู้ตรวจการด้าน EDP ผู้ตรวจการด้าน EDP จะต้องเป็นผู้ที่มีความสนใจในงานด้านการผลิตข้อมูลด้วยเครื่องจักรนี้เป็นอย่างมาก เพื่อที่จะให้เป็นผู้ตรวจการที่มีประสิทธิภาพอยู่เสมอ

ผู้ตรวจการด้าน EDP ของ The Comptroller จะต้องเป็นผู้ที่คุ้นเคยกับงานด้านการตรวจสอบกิจการค้า กิจการทรัสต์ และกิจการธนาคารระหว่างประเทศ (International Bank) หรือเคยผ่านงานดังกล่าวมาบ้าง อย่างน้อยที่สุดต้องเป็นผู้ที่สามารถเข้าใจถึงกิจการดังกล่าวโดยตลอด ดังนั้น จึงอาจกล่าวได้ว่า ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examiner) จะต้องรู้ถึงแนวการตรวจสอบในแบบธรรมดามาแล้วเป็นอย่างดี และโดยปกติ EDP Examiner มักจะได้รับการคัดเลือกหรือมาจากความสมัครใจของผู้ตรวจสอบธรรมดา (Financial Examiner) ที่มีประสบการณ์การตรวจกิจการของธนาคารโดยทั่วไปมาแล้ว

การตรวจสอบคอมพิวเตอร์ (EDP Examination)

การตรวจสอบด้าน EDP ประกอบด้วยหลักการที่จะประเมินผลการควบคุมภายในที่มีอยู่ในศูนย์ประมวลผลแต่ละแห่ง ศูนย์ประมวลผลที่ดำเนินการประมวลผลข้อมูลและเก็บรักษาบันทึกข้อมูล (Master File Records) ของธนาคารทุกศูนย์จะต้องได้รับการตรวจสอบรายละเอียดด้านล่างนี้จะแสดงถึงลักษณะของศูนย์ประมวลผลที่จะต้องได้รับการตรวจสอบจากสำนักงานของ Comptroller

  • ศูนย์ประมวลผลข้อมูลของธนาคารที่ตั้งอยู่ในที่ทำการ (In-House Data Processing Center)
  • สาขาย่อยของศูนย์ประมวลผลของธนาคาร
  • กิจการในเครือของธนาคาร (Affiliates of National Bank) หรือ สาขาของธนาคาร (Subsidiaries of Bank Holding Companies) ซึ่งให้บริการผลิตข้อมูลแก่ธนาคาร
  • สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการด้านการประมวลผลข้อมูลแก่ธนาคาร (National Bank)
  • ระบบคอมพิวเตอร์ขนาดเล็ก (Minicomputer Systems) ของธนาคารที่ธนาคารใช้บันทึกข้อมูลเข้า Master Files ของระบบ Computer

ศูนย์ประมวลผลต่อไปนี้ไม่ต้องได้รับการตรวจสอบโดยสำนักงานของ Comptroller คือ

  • State Banks หรือสาขาของ State Banks ซึ่งให้บริการประมวลผลข้อมูลแก่ National Bank
  • ศูนย์ประมวลผลซึ่งมิใช่ของธนาคาร National Bank หรือสาขาของ National Bank และมิได้ให้บริการดังกล่าวแก่ National Bank

ส่วนเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่งใช้ประโยชน์เฉพาะ เพื่อการถ่ายทอดข้อมูลจากเอกสารต้นฉบับและส่งผ่าน (Transmitting) ไปยังศูนย์ประมวลผลเพื่อผ่านบัญชี (Posted), ประมวลผล (Processed) และ บันทึกข้อมูลและใช้เพื่อรับผล (Output) จากศูนย์และส่งกลับไปเพื่อแสดงผล ณ จุดต่าง ๆ ตามที่ต้องการ

การตรวจสอบระบบดังกล่าว ซึ่งมักเรียกว่า “Front-End Devices” มีข้อแนะนำดังต่อไปนี้

เมื่อใดก็ตามที่ธนาคารที่ตรวจสอบมีระบบ Front-End System เชื่อมโยงกับศูนย์คอมพิวเตอร์มากกว่า 1 แห่ง ผู้ตรวจการจะต้องเลือกไปตรวจสอบและดูความเหมาะสม 1 แห่ง และในการตรวจสอบครั้งต่อไปจะต้องเลือกแห่งใหม่ไม่ซ้ำกับที่เดิม แต่เนื่องจากการที่สถานที่ตั้งของ Front-End System อยู่คนละแห่งกันกับศูนย์ข้อมูลที่เข้าตรวจสอบตามหมายกำหนดการ ดังนั้น การตรวจสอบ Front-End Device ซึ่งอยู่คนละสถานที่กัน อาจทำให้ขณะที่เข้าตรวจศูนย์ข้อมูลอื่นซึ่งตั้งอยู่ในท้องถิ่นดังกล่าวได้ในภายหลัง และในกรณีนี้จะต้องมีรายละเอียดระบุไว้ด้วยว่า ได้ตรวจสอบครั้งก่อนเมื่อใด ใครเป็นผู้ตรวจ มีขอบเขตเพียงใด และไม่จำเป็นต้องรายงานแยกต่างหากอีก ข้อสังเกตของการตรวจสอบ Front-End System ดังกล่าวอาจรวมเข้ากับรายงานการตรวจสอบศูนย์ข้อมูลที่ได้ตรวจสอบเมื่อก่อนหน้านี้ก็ได้

การตรวจสอบประสานกัน (Concurrent Examination)

การตรวจสอบกิจการของธนาคารและศูนย์ข้อมูลของธนาคารอาจจะกระทำพร้อมกันไปก็ได้ เพื่อให้มีการประสานงานระหว่างผู้ตรวจสอบด้าน EDP และผู้ตรวจสอบด้านเงินให้กู้ยืมและให้เครดิต และด้านกิจการทรัสต์ ในกรณีที่มีปัญหาหรือพบข้อแตกต่างในระหว่างการตรวจสอบร่วมกันนี้ ผู้ตรวจการด้าน EDP จะเป็นผู้รับผิดชอบในการชี้แจงแก่ผู้บริหารระดับสูง (Senior Management) และแนะนำแก่ผู้ตรวจสอบเงินให้กู้ยืมและให้เครดิต (Examiner-Incharge of The Commercial Examination) ถึงข้อแตกต่างที่ตรวจพบ

การตรวจสอบร่วมกัน (Joint Examination)

ในบางกรณี EDP Examiner ของ Comptroller อาจตรวจสอบร่วมกับ EDP Examiner ของสถาบันอื่นที่มีหน้าที่ควบคุมธนาคาร (Other Regulatory Authorities) ก็ได้ เช่น ผู้ตรวจสอบของ FDIC และ/หรือ FRB

ผู้ตรวจการควรพยายามประสานงานเพื่อตรวจสอบกิจการต่อไปนี้

กิจการในเครือ (Affiliate) ของ National Bank หรือสาขา (Subsidiary) ของ Holding Company ของธนาคารซึ่งเป็นผู้ให้บริการผลิตข้อมูลแก่ National และ State Banks)

สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการแก่ National และ State Banks

องค์การที่ตั้งขึ้นเพื่อให้บริการแก่ธนาคาร (Bank Services Corporations) ทั้งในรูปของการลงทุนร่วมกันหรือสหกรณ์ (Joint Ventures or Cooperations) ซึ่งให้บริการดังกล่าวได้แก่ National และ State Banks

สำหรับการตรวจสอบคอมพิวเตอร์กับ OCC ยังไม่จบเพียงเท่านี้ ครั้งหน้าไปติดตามการตรวจสอบในแบบ Evaluation หรือ Around The Computer กันครับ

 

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 10)

ในครั้งก่อน ผมได้เล่าถึงการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสตรวจสอบธนาคารพาณิชย์กับ EDP Examiner โดยออกตรวจสอบร่วมกับสถาบัน FDIC เมื่อครั้งที่ผมได้ไปฝึกอบรมและดูงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งงานการตรวจสอบที่ FDIC ได้แบ่งออกเป็น 2 ประเภท คือ Evaluation และ Examination และผมได้กล่าวถึง การตรวจสอบแบบ Evaluation ไปบ้างแล้วนั้น ในครั้งนี้ ผมจึงจะขอเล่าต่อในส่วนของงานการตรวจสอบแบบ Examination กันต่อ

Examination

ถือเป็นงานลำดับรองลงมาเมื่อเทียบกับงาน Evaluation ด้าน Data Center งานด้านนี้เป็นเพียงสนับสนุนและช่วยเหลือ Financial Examiner ในการตรวจสอบงานด้านอื่น ๆ งานของ EDP Examiner ในส่วนนี้มีดังนี้

  • ขอ Report ต่าง ๆ ที่จำเป็นในการทำ Evaluation ซึ่งเป็นงานที่เกี่ยวข้องกับการประเมินผลด้าน Data Center
  • ขอ Report ที่จำเป็น เพื่อการปฏิบัติงานของ Financial (Regular) Examiner
  • ใช้ Program หรือคำสั่งงานของ FDIC เอง เพื่อดึงข้อมูลที่ต้องการตรวจสอบ ซึ่งบันทึกอยู่ในม้วน Tape หรือ Disk ของธนาคาร เพื่อให้ได้ข้อมูลที่ต้องการตามที่ Financial Examiner ต้องการ หรือ เพื่อทดสอบงานของ EDP Examiner เองบางส่วนก็ได้ งานในขั้นนี้นับว่ามีความสำคัญไม่น้อย เพราะเป็นวิธีการตรวจสอบที่เรียกว่า “Through the Computer” กล่าวคือ มีการใช้ Program ของผู้ตรวจสอบเอง ในการทดสอบข้อมูลของธนาคาร ไม่ว่าจะเป็นการดึงข้อมูลจาก File (Tape หรือ Disk) ของธนาคารในรูปแบบเดิม หรือเปลี่ยนแปลงข้อมูลให้ปรากฎในรูปฟอร์มแบบที่ผู้ตรวจสอบต้องการ รวมทั้งการทำข้อมูลใหม่โดยอาศัยข้อมูลเดิมของธนาคารด้วยก็ได้
  • การปฏิบัติงานการตรวจสอบที่เรียกว่า “Through the Computer” ของ FDIC นี้ เป็นการใช้เทคนิคการตรวจสอบมาก ผู้ตรวจสอบต้องเข้าใจในระบบงานอย่างแท้จริง และลึกซึ้งถึงจะปฏิบัติงานขั้นนี้ได้ และในทางปฏิบัติผู้ตรวจสอบก็พบกับปัญหาอยู่ไม่น้อย ซึ่งจะต้องทำการแก้ไขโปรแกรมในการตรวจสอบเสมอ ดังนั้นทาง Comptroller of the Currency จึงไม่ใช้วิธีการตรวจสอบชนิดนี้ทั้ง ๆ ที่ทาง FDIC เสนอให้ยืม Program ในการตรวจสอบไปใช้ก็ตาม
  • การตรวจสอบแบบ Around-Through The Computer

เหตุผลที่ FDIC ใช้แนวการตรวจสอบแบบ Through the Computer

1. ไม่ต้องอาศัยข้อมูลของธนาคารแต่อย่างเดียว เพราะ FDIC สามารถสร้างข้อมูลใหม่หรือเปลี่ยนรูปแบบของข้อมูลเดิมโดยอาศัย Program ปฏิบัติการในด้านนี้ ทำให้เป็นอิสระที่จะใช้ข้อมูลเท่าที่จำเป็นในการตรวจสอบ

2. ช่วยประหยัดเวลาในการปฏิบัติงานของ Financial Examiner ลงได้มาก และทำให้การตรวจสอบมีประสิทธิภาพมากขึ้น

3. เป็นการยกระดับผู้ตรวจสอบด้านคอมพิวเตอร์ และทำให้ผู้ตรวจสอบแน่ใจความรู้ด้านนี้ของตนมากยิ่งขึ้น

อย่างไรก็ดี ข้อมูลที่ได้จากการใช้ Through the Computer ในการตรวจสอบก็เพื่อใช้งานในด้าน Financial Examiner เป็นหลัก

งานที่ตรวจสอบแบบ Through the Computer ของ FDIC

  • Installment Loans
  • Demand Deposits
  • Savings Deposits
  • Certificates of Deposits

งานที่ตรวจสอบในแบบ Through the Computer เริ่มในปี 1975 จากงาน Installment Loans เป็นอันดับแรก ซึ่งปัจจุบัน (ณ ช่วงเวลาในปี 2521 นั้น) FDIC กำลังพัฒนา Program ที่จะตรวจสอบงานประเภทอื่น ๆ ให้มากขึ้น

ข้อสังเกตที่เกี่ยวกับการใช้ Software Package ในการตรวจสอบของ FDIC และผู้สอบบัญชี

1. FDIC ได้พัฒนา Software Package ของตนเอง เพื่อการตรวจสอบในลักษณะ Through the Computer โดยเฉพาะ ทั้งนี้โดยมี Division of Management System and Financial Statistics ประจำ FDIC, Washington D.C. เป็นผู้มีหน้าที่พัฒนาเรื่องนี้โดยตรง และจะนำ Software Package ที่พัฒนาแล้วให้ผู้ตรวจสอบทดลองใช้งาน และแก้ไขไปจนกว่าจะนำไปใช้ปฏิบัติงานได้จริง

2. EDP Examiner เป็นผู้ใช้ Software Package แต่ไม่ได้เป็นผู้เขียน Program เอง EDP Examiner ที่ช่วย Financial Examiner โดยการใช้ Software Package ดึงข้อมูลจาก Tape หรือ Disk เพื่อการตรวจสอบงานของ Financial Examiner และของ EDP Examiner เองนี้ จะต้องมีความรู้ด้านการเขียน Program ดีพอ เพราะในทางปฏิบัติการใช้ Software Package ในการตรวจสอบมักมีปัญหาอยู่เสมอที่ EDP Examiner จะต้องแก้ไข Program ด้วยตนเอง และถ้าไม่อาจแก้ไขได้ก็ต้องโทรศัพท์หารือโดยตรงไปยัง FDIC, Washington D.C. และบางกรณีผู้เชี่ยวชาญจาก Washington D.C. จำเป็นต้องเดินทางไปแก้ไขปัญหาด้วย

3. ผู้ตรวจสอบบัญชีภายนอกและผู้สอบบัญชีภายในของธนาคารพาณิชย์ ที่ใช้ Software Pakage ในการตรวจสอบ โดยปกติจะไม่พัฒนาหรือเขียน Program ในการตรวจสอบข้อมูลโดยตรง แต่จะใช้ Software Package จากบริษัทผู้ผลิตหรือบริการด้าน Software โดยเฉพาะ เช่น Cullinane Corporation ซึ่งบริษัทประเภทนี้จะมีความเชี่ยวชาญโดยเฉพาะเกี่ยวกับการเขียน Program ในการตรวจสอบงานการผลิตข้อมูลที่ดำเนินการโดยเครื่องคอมพิวเตอร์ของ IBM ซึ่งไม่เหมาะสม และอาจใช้งานไม่ได้ผลสำหรับคอมพิวเตอร์ชนิดอื่น ๆ

อย่างไรก็ดี งานตรวจสอบบางประเภทผู้สอบบัญชีอาจเขียน Program เพื่อการตรวจสอบเองทั้งหมดก็ได้

4. ในการใช้ Audit Software Package เพื่อปฏิบัติงาน ผู้ตรวจสอบจะต้องเขียน Parameter คือเขียนคำสั่งงานในแบบฟอร์ม ซึ่งจะนำไปเจาะรูในบัตรเจาะรู (Punch Card) ขนาดมาตรฐาน บัตรเจาะรูดังกล่าวเป็นเสมือนหนึ่งเป็นบัตรนำในการสั่งงานให้เครื่อง Compile Program กล่าวคือ ให้เครื่องแปลงภาษาคอมพิวเตอร์ที่ Programmer เขียนขึ้นให้เป็นภาษาของเครื่องจักร (Machine Readable Form) ซึ่งในที่สุดแล้ว คำสั่งงานการตรวจสอบในเรื่องที่เกี่ยวข้องจะถูกบันทึกลงในส่วนที่เป็นสมอง หรือ Memory ของเครื่องคอมพิวเตอร์ เพื่อการปฏิบัติงานในขั้นต่อไปได้

5. เมื่อเครื่องคอมพิวเตอร์ Compile Program ของงานที่จะตรวจสอบแล้ว จะมีการทดสอบ Program ที่พร้อมจะปฏิบัติงานได้นั้นกับ Program File ของผู้ตรวจสอบ ซึ่งส่วนมากมีลักษณะเป็น Tape ของ Application ที่จะตรวจสอบ เช่น Installment Loans ซึ่งผู้ตรวจสอบต้องการจะได้ข้อมูลในรูปแบบของผู้ตรวจสอบเองว่า “เป็นไปได้” หรือ “ปฏิบัติได้” หรือ “Agree” กันหรือไม่ งานขั้นนี้ปกติจะต้องให้พนักงานของธนาคารปฏิบัติให้ โดยผู้ตรวจสอบจะมอบ Tape ของผู้ตรวจซึ่งเตรียมมาแล้ว ถ้าคำสั่งงาน (Program) ขัดแย้งกับรูปแบบของงานที่ผู้ตรวจต้องการ เครื่องคอมพิวเตอร์จะพิมพ์ Listing Program ที่จะต้องแก้ไขพร้อมกับข้อความโดยย่อแต่ละขั้นให้ทราบ ซึ่งผู้ตรวจสอบต้องแก้ไขให้ถูกต้องก่อนการ “Run” งานจริง ๆ กับข้อมูลของธนาคารซึ่งอยู่ใน Tape ต่อไป

credit image : www.isect.com

6.การแก้ไข Program ที่ผิดพลาด จะต้องเจาะบัตรเจาะรูใหม่ และ Compile Program ใหม่ทั้งหมด แต่สำหรับเครื่องคอมพิวเตอร์บางชนิด เช่น เครื่อง Burrough B 3700 นี้ เพียงแต่ Compile บัตรเจาะรูที่แก้ไขใหม่เข้าไปแทนบัตรเจาะรูเดิมก็ใช้ได้ ทำให้ประหยัดเวลาและสะดวกในการปฏิบัติงานมากขึ้น

7. ผู้ตรวจสอบจะบอกหัวหน้า Operator ของ Data Center เกี่ยวกับงานที่จะต้องตรวจสอบดังนี้

  • ชื่อของงานที่จะตรวจสอบ เช่น Installment Loans
  • วันที่ใน File หรือ Master File ที่จะใช้ในการตรวจสอบ

8. เมื่อ EDP Examiner ได้ข้อมูลในการตรวจสอบ ซึ่งปกติจะพิมพ์มาจาก Printer ก็จะนำมาดู Total Balance เป็นหลัก และตรวจสอบเปรียบเทียบกับยอดรวมของ Master File อื่น ๆ ที่เกี่ยวข้อง ส่วนรายละเอียดในการตรวจสอบกับเอกสารของธนาคารและการดูข้อมูลอื่น ๆ เป็นหน้าที่ของ Regular Examiner หรือ Financial Examiner จะดำเนินการต่อไป

9. Audit Software Package จากบริษัทผู้ผลิตคอมพิวเตอร์ หรือจากบริษัทผู้ดำเนินการบริการเขียน Audit Software Package โดยเฉพาะนี้ มีราคาแตกต่างกันขึ้นอยู่กับปัจจัยต่อไปนี้

  • ขอบเขตการใช้งาน
  • ลักษณะงานที่ใช้
  • ระบบงานของเครื่องคอมพิวเตอร์ซึ่งแตกต่างกันในแต่ละผลิตภํณฑ์
  • ต้นทุนหรือการตั้งราคาจำหน่ายแต่ละบริษัท
  • เงื่อนไขการให้บริการ

โดยทั่วไป Audit Software Package ที่มีขนาดและขอบเขตการใช้งานขนาดกลางมีราคาระหว่าง US$ 20,000 ถึง US$ 40,000 (ราคาโดยประมาณ ณ ช่วงเวลาในปี 2521) ทั้งนี้ขึ้นกับปัจจัยดังกล่าวข้างต้น บางบริษัทนอกจากขาย Software Package แล้ว ยังคิดค่าบริการในลักษณะ Annual Fee อีกต่างหากด้วย

สำหรับประสบการณ์จากการได้ร่วมตรวจสอบ EDP Examiner กับ FDIC นั้น ผมคงจะเล่าสู่กันฟังได้เพียงเท่านี้ เพราะมีรายละเอียดปลีกย่อยมากมายที่ผมเองคงไม่สามารถเล่าสู่กันฟังได้ทั้งหมด และในครั้งหน้าผมจะมาเล่าถึงประสบการณ์ที่ได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 บ้าง เพื่อให้ท่านผู้อ่านหรือผู้ตรวจสอบ อาจได้รู้ถึงความเหมือนหรือแตกต่างกันของงานการตรวจสอบคอมพิวเตอร์จากทั้ง 2 สถาบัน อีกทั้งยังต้องการให้เห็นถึงความเป็นมาของงานการตรวจสอบในยุคที่ผ่านมา