Posts Tagged "ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้น"

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

ในขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นนั้น ผมได้นำเสนอมาหลายตอนพอสมควร หากจะให้นำเสนอในรายละเอียดคิดว่าคงจะมีรายละเอียดให้ได้เล่าสูกันฟัง (อ่าน) อีกมากมาย ที่ได้นำเสนอไปก็อยากให้ผู้อ่านและผู้ตรวจสอบได้มองเห็นขั้นตอนและกระบวนการตรวจสอบ IT ในภาพรวมในเบื้องต้นเท่านั้น ส่วนในรายละเอียดคงจะได้นำเสนอในโอกาสต่อไป ๆ ครับ

สำหรับวันนี้ผมจะพูดถึงเรื่องของการจัดทำรายงานการตรวจสอบ หลังจากที่ได้มีการตรวจสอบ ผู้ตรวจสอบควรจัดทำรายงานการตรวจสอบ เพื่อนำเสนอต่อคณะกรรมการตรวจสอบ หรือผู้บริหารได้รับทราบ

การจัดทำรายงานการตรวจสอบ
การจัดทำรายงานหลังจากการตรวจสอบนั้น เป็นสิ่งที่จำเป็นเพราะ
1. เพื่อบันทึกสิ่งที่ตรวจพบและข้อสรุป ตลอดจนข้อเสนอแนะของผู้ตรวจสอบ
2. เพื่อใช้เป็นเอกสารขั้นต้นสำหรับการทำให้องค์กรนั้นสมบูรณ์ขึ้น
3. เพื่อใช้เป็นเอกสารอ้างอิงในภายภาคหน้า

ดังนั้น การเสนอรายงานเป็นเทคนิคที่สำคัญที่สุดอันหนึ่ง ที่ผู้ตรวจสอบต้องเอาใจใส่เป็นพิเศษ เพราะเป็นสื่อที่แสดงถึงการปฏิบัติงานของผู้ตรวจสอบทั้งหมด ผู้บริหารจะยกย่อง หรือไม่เห็นความสำคัญของผู้ตรวจสอบ ก็เนื่องจากรายงานที่เสนอไป ผู้ตรวจสอบจะต้องเสนอรายงานที่ถูกต้อง ให้ข้อมูลที่แท้จริง และประเมินผลจากข้อเท็จจริง ให้ข้อเสนอแนะที่มีเหตุผล การเสนอแนะนั้นจะต้องพิจารณาอย่างรอบคอบ ผู้ตรวจสอบจะต้องพิจารณาข้อเท็จจริง และให้เหตุผลได้สำหรับข้อเสนอแนะนั้น ๆ

การทำรายงานที่ดีจำเป็นต้องเขียนอย่างมีหลักเกณฑ์ สมเหตุสมผลและเป็นขั้นตอน ใช้คำที่ถูกต้อง รายงานต้องรัดกุม ชัดเจน และสมบูรณ์ รายงานที่ชัดเจนจะทำให้ผู้บริหารอ่านเข้าใจได้ตั้งแต่การอ่านครั้งแรก รายงานที่ถูกต้องจะต้องประกอบด้วยข้อมูลที่ถูกต้อง รายงานที่สมบูรณ์จะต้องประกอบด้วยข้อมูลที่จำเป็น และอยู่ในประเด็นที่เกี่ยวข้องเท่านั้น

การจัดทำรายงานที่ดี ควรประกอบด้วย
1. ความถูกต้อง
2. ความชัดเจน
3. ความกระทัดรัด
4. ข้อเสนอแนะ
5. ความทันกาล

1. ความถูกต้อง
รายงานการตรวจสอบมีความถูกต้อง ข้อความทุกประโยค ตัวเลขทุกตัว เอกสารอ้างอิงทุกชิด จะต้องมาจากหลักฐานที่น่าเชื่อถือ และผู้ตรวจสอบได้ทำการประเมินข้อมูลเหล่านั้นแล้ว ความถูกต้องที่กล่าวถึงในรายงานต้องรวมถึง การทราบถึง หรือสังเกตการณ์ จนกระทั่งทราบอย่างแน่ชัดว่าได้ข้อเท็จจริงแล้ว ถ้ารายงานเกี่ยวกับสิ่งใดแล้ว ย่อมหมายถึงว่าสิ่งนั้นผู้ตรวจสอบได้ทราบ และ/หรือได้ยอมรับแล้วเป็นสิ่งที่ตรงตามข้อเท็จจริง

2. ความชัดเจน
หมายถึง ความสามารถในการส่งข้อความ หรือความต้องการของผู้ตรวจสอบ หรือสิ่งที่ต้องการเสนอไปสู่ผู้อ่านรายงานให้เข้าใจเหมือนดังที่ตนตั้งใจ หากใช้ถ้อยคำที่คลุมเครือ อาจจะทำให้ผู้อ่านรายงานเกิดความเข้าใจแตกต่างจากที่เป็น ซึ่งอาจจะนำไปสู่การปรับปรุงแก้ไขในแนวทางที่แตกต่างกันไปจากเป้าหมายที่ตั้งใจ

ในเบื้องต้น ผู้ตรวจสอบต้องทำความเข้าใจในเรื่องที่จะสนอรายงานให้แจ่มแจ้งเสียก่อน หากไม่ทำความแจ่มแจ้งให้เกิดขึ้นแล้ว ก็คงยากที่จะเขียนรายงานได้อย่างชัดเจน ผู้ตรวจสอบต้องแน่ใจว่า เรื่องที่จะเขียนในรายงานนั้นมีอยู่แล้วอย่างเพียงพอหรือไม่ ควรที่จะหาข้อมูลเพิ่มเติมอีกหรือไม่

ความต่อเนื่อง หรือการจัดลำดับข้อความในรายงาน เป็นการช่วยให้รายงานนั้นเกิดความเด่นชัด หรือชัดเจนยิ่งขึ้น การสร้างความชัดเจนอาจจำเป็นต้องมีตารางตัวเลขประกอบไปด้วย เพื่อให้เกิดความเข้าใจดียิ่งขึ้น

3. ความกระทัดรัด
หมายถึง การตัดสิ่งฟุ่มเฟือย หรือไร้สาระออกจากรายงานการตรวจสอบ แต่ไม่ได้หมายถึงการเขียนรายงานสั้น รายงานจะยาวหรือสั้น ขึ้นอยู่กับสิ่งที่จะเสนอในรายงานนั้นมีมากน้อยเพียงใด ถึงแม้ว่าการตัดทอนจะมีมากน้อยเพียงใดก็ตาม ผู้ตรวจสอบยังคงต้องรักษาความต่อเนื่องของแนวความคิด เพื่อให้ผู้อ่านรับความคิดอย่างต่อเนื่อง

4. ข้อเสนอแนะ
การวิจารณ์ข้อบกพร่องโดยไม่มีการให้ข้อเสนอแนะ เป็นสิ่งที่ไม่ควรกระทำ ในทำนองเดียวกัน การวิจารณ์โดยปราศจากการเสนอแนะข้อยุติที่ชอบด้วยเหตุผล ก็ไม่เป็นการเหมาะสมเช่นกัน และจะทำให้รายงานไม่มีความหมาย เพื่อที่จะทำให้รายงานเป็นที่ยอมรับ การเสนอแนะเพื่อการปรับปรุงการปฏิบัติงาน แทนที่จะเป็นการตำหนิการปฏิบัติงาน จะทำให้รายงานมีคุณค่าขึ้น

5. ความทันกาล
หมายถึง การเสนอรายงานต้องกระทำภายในเวลาที่เหมาะสม เพราะต้องมีการนำรายงานไปดำเนินการต่อ การสั่งการของผู้บริหารต้องใช้ข้อมูลที่ดีและทันเวลา เพื่อให้เกิดการปรับปรุงแก้ไขได้ทันท่วงที

วิธีการจัดทำรายงานนั้น เป็นเรื่องของแต่ละบุคคล เป็นการยากที่จะวางรูปแบบ และวิธีการจัดทำรายงานตายตัวที่จะใช้ได้ในทุกกรณี รายงานที่ดีจะต้องมาจากเนื้อหา รูปแบบที่เป็นมาตรฐาน และจะต้องมีเอกลักษณ์ภายในตัวของมันเอง ผู้ตรวจสอบจำเป็นต้องคำนึงถึงจุดประสงค์ใหญ่ของรายงาน ซึ่งได้แก่ เพื่อนำการเปลี่ยนแปลงในองค์กร เพื่อนำไปสู่การปฏิบัติ และเพื่อใช้อ้างอิงได้ในภายหลัง รายงานที่เขียนขึ้นคร่าว ๆ ไม่ถูกต้อง หรือเขียนอย่างขอไปที จะไม่สามารถชักจูงให้ผู้อ่านยอมรับข้อสรุปนั้นได้ โดยเฉพาะอย่างยิ่งจะไม่นำไปสู่การนำข้อเสนอแนะไปใช้

ผู้ตรวจสอบจะต้องนำเสนอรายงานที่ตนคิดว่าถูกต้อง ถึงแม้ว่าข้อเสนอนั้นจะส่งผลออกมาในรูปแบบที่ไม่ทำความพอใจให้แก่ผู้บริหารก็ตาม บางครั้งเป็นสิ่งที่หลีกเลี่ยงไม่ได้ ข้อเสนอแนะขั้นสุดท้ายนั้น ไม่เป็นที่ยอมรับทั้งหมดของผู้บริหาร แต่อย่างไรก็ตาม เหตุการณ์นี้ไม่ควรจะเป็นเหตุให้ผู้ตรวจสอบถอนคำเสนอแนะที่ตนคิดว่าถูกต้อง

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

ยังพอจำกันได้ใช่ไหมครับ ในเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ที่แบ่งออกได้เป็น 2 ลักษณะ ก็คือ การควบคุมภายในทั่วไป(General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งครั้งที่แล้วผมได้กล่าวถึงการควบคุมภายในทั่วไป (General Controls) คงพอจะทำให้ท่านผู้อ่านมองเห็นภาพกว้างของการควบคุมภายในทั่วไปได้ชัดเจนและเข้าใจยิ่งขึ้น

สำหรับวันนี้ผมจะขอพูดถึงการควบคุมภายในเฉพาะงาน หรือ Application Controls ซึ่งเป็นการควบคุมภายในอีกลักษณะหนึ่งจากที่ได้กล่าวถึงในข้างต้น

2. การควบคุมภายในเฉพาะงาน (Application Controls)
การควบคุมภายในเฉพาะงาน คือ การควบคุมรายการข้อมูลในแต่ละระบบงานให้มีความถูกต้องและครบถ้วน โดยอาศัยทางเดินของข้อมูลเป็นแนวทางในการกำหนดขอบเขตการควบคุม ซึ่งส่วนใหญ่มี 6 ขั้นตอน ดังนี้

1) การควบคุมแหล่งกำเนิดรายการ ได้แก่
การควบคุมเกี่ยวกับงานจัดทำข้อมูลก่อนป้อนเข้าสู่ระบบคอมพิวเตอร์ ซึ่งส่วนใหญ่เป็นงานด้าน Manual และอาจมีบุคคลหลายฝ่ายเข้ามาเกี่ยวข้อง เริ่มตั้งแต่จุดเริ่มต้นของแหล่งกำเนิดรายการ การจัดทำเอกสาขั้นต้นประกอบรายการ การขอความเห็นชอบในการจัดทำรายการ การเตรียมข้อมูลนำเข้า การป้องกันข้อผิดพลาด การค้นหาข้อผิดพลาด และการแก้ไขข้อผิดพลาด

2) การควบคุมการทำรายการป้อนเข้าสู่ระบบงาน ได้แก่
การควบคุมการทำรายการป้อนเข้าสู่ระบบ ซึ่งอาจทำได้ 2 วิธี คือแบบ Remote Terminal Data Entry และแบบ Batch Data Entry โดยข้อมูลที่ป้อนเข้าสู่ระบบจะต้องถูกหลักเกณฑ์ในการทำรายการ นอกจากนี้ยังรวมถึงเรื่องที่เกี่ยวกับการกระทบยอดข้อมูลนำเข้าเพื่อพิสูจน์ความถูกต้อง การชี้แนะให้เห็นข้อผิดพลาดการทำรายการแก้ไขข้อผิดพลาด และการนำข้อมูลที่มีการแก้ไขข้อผิดพลาดป้อนเข้าสู่ระบบใหม่อีกครั้ง

3) การควบคุมการสื่อสารข้อมูล
เป็นการควบคุมข้อมูลและข่าวสาร ที่ผ่านระบบสื่อสารให้มีความถูกต้องและครบถ้วน ซึ่งจะต้องคำนึงถึง Hardware และ Software ที่ใช้ในการสื่อสารข้อมูลการมอบอำนาจ

4) การควบคุมการประมวลผลด้วยคอมพิวเตอร์ ได้แก่
การควบคุมการประมวลผลข้อมูลให้มีความแม่นยำ ถูกต้อง และครบถ้วนเป็นไปตามหลักเกณฑ์การใช้แฟ้มข้อมูล การชี้แนะให้เห็นข้อผิดพลาด และการรายงาน

5) การควบคุมการจัดเก็บข้อมูลไว้ในระบบ และการนำข้อมูลที่เก็บไว้ในระบบไปใช้งาน
เป็นการควบคุมที่เกี่ยวกับแฟ้มข้อมูล การตัดตอนข้อมูลเพื่อจัดเก็บหรือเลิกเก็บไว้ในแฟ้มข้อมูล การกำหนดสิทธิการใช้ข้อมูล การรักษาความปลอดภัย การแก้ไขข้อผิดพลาด การตระเตรียมแฟ้มข้อมูลชุดสำรอง ไว้ใช้ทดแทนการแก้ไขสถานการณ์ที่เลวร้ายให้กลับคืนสู่สภาพปกติ และการกำหนดอายุการจัดเก็บแฟ้มข้อมูล

6) การควบคุมผลลัพธ์ ได้แก่
การกระทบยอดข้อมูลนำเข้าและผลลัพธ์ เพื่อพิสูจน์ความถูกต้องด้วยระบบ Manual ซึ่งเป็นหน้าที่โดยตรงของหน่วยงานควบคุมคุณภาพข้อมูล และหน่วยงานผู้ใช้ข้อมูล การจัดส่งข้อมูลจากศูนย์คอมพิวเตอร์ให้หน่วยงานอื่น ความปลอดภัยในการจัดเก็บเอกสารสำคัญในศูนย์คอมพิวเตอร์และหน่วยงานผู้ใช้ข้อมูล และการกำหนดอายุการจัดเก็บข้อมูลที่ได้จากการประมวลผล

ขอทิ้งท้ายสำหรับวันนี้ด้วยแผนภาพ แนวทางในการกำหนดขอบเขตการควบคุมภายในเฉพาะด้าน และในครั้งหน้าผมจะมาเล่าถึงการจัดทำรายงานการตรวจสอบ โปรดติดตามต่อไปนะครับ

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

วันนี้เราจะมาพูดคุยกันต่อในเรื่องของขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อ ๆ ซึ่งครั้งที่แล้วผมได้กล่าวถึงหลักการสอบทานของการควบคุมภายในที่มีความสำคัญและจำเป็นต่อกระบวนการตรวจสอบ IT ที่ผู้ตรวจสอบ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุม และที่ผมจะพูดถึงในวันนี้จะเป็นเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ซึ่งจะแบ่งออกได้เป็น 2 ลักษณะ คือ การควบคุมภายในทั่วไป (General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งมีความสัมพันธ์กับองค์ประกอบที่สำคัญในการประมวลผลข้อมูล คือการดำเนินงานของศูนย์คอมพิวเตอร์ การพัฒนาระบบงาน และระบบงานและโปรแกรมที่ใช้เฉพาะงาน ดังรูป

1. การควบคุมภายในทั่วไป (General Controls)
การควบคุมภายในทั่วไป เป็นการควบคุมที่อาศัยนโยบาย และระเบียบปฏิบัติงาน เป็นหลักในการควบคุมกิจกรรมของหน่วยงานคอมพิวเตอร์

1.1. การควบคุมการดำเนินงานของศูนย์คอมพิวเตอร์
การควบคุมศูนย์คอมพิวเตอร์ เป็นการควบคุมเกี่ยวกับเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์และพนักงานด้านปฏิบัติการของศูนย์คอมพิวเตอร์ มีขอบเขตดังนี้

1) การจัดตารางปฏิบัติงาน การควบคุมข้อมูลนำเข้า และการควบคุมข้อมูลที่ได้จากการประมวลผล ได้แก่ การจัดตารางกำหนดเวลาปฏิบัติงาน การควบคุมการปฏิบัติงานข้อมูลที่นำเข้าประมวลผลและการควบคุมการใช้ข้อมูล เพื่อให้การจัดทำข้อมูลขั้นตอนต่อเนื่องแล้วเสร็จทันเวลา มีความถูกต้องครบถ้วนทุกรายการ และป้องกันข้อมูลที่เป็นความลับรั่วไหลไปสู่ภายนอก

2) การควบคุมการจัดเก็บแฟ้มข้อมูลและโปรแกรม เช่น เทป และจานแม่เหล็ก เป็นต้น ให้ปลอดภัยและเพียงพอในการประมวลผล

3) การรายงานเหตุขัดข้องและการซ่อมบำรุงเพื่อป้องกันความเสียหาย จะช่วยให้ทราบถึงสภาพของเครื่องจักรและโปรแกรมจัดระบบการทำงานของเครื่องคอมพิวเตอร์ และการดำเนินการให้เครื่องจักรและโปรแกรมดังกล่าวอยู่ในสภาพสมบูรณ์ สามารถตรวจสอบข้อผิดพลาดหรือบกพร่องในระบบด้วยตนเอง ซึ่งอาจตรวจไม่พบ หากมีส่วนประกอบชำรุดเสียหายซุกซ่อนอยู่ ไม่ปรากฏอาการที่เห็นได้ชัดเจน

4) การควบคุมสภาพแวดล้อมและการรักษาความปลอดภัยทรัพย์สินของศูนย์คอมพิวเตอร์ ได้แก่ การควบคุมการใช้ทรัพย์สิน การป้องกันทรัพย์สินเสียหายและการจัดเตรียมระบบสำรอง ไว้ให้ทดแทน

5) การแบ่งแยกหน้าที่ ได้แก่ การแบ่งแยกหน้าที่ในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลเพื่อให้การปฏิบัติงานไม่ซ้ำซ้อนกัน และป้องกันความเสียหายที่อาจเกิดขึ้นจากการใช้เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ และแฟ้มข้อมูลเนื่องจากมีการปฏิบัติไม่ชอบ

6) การกำกับ ได้แก่ การควบคุมดูแลให้มีการปฏิบัติตามระเบียบหรือหน้าที่อย่างเคร่งครัด หากมีการปฏิบัติที่ผิดแตกต่างจากระเบียบแผนที่เคยถือปฏิบัติ จะต้องมีเอกสารหลักฐานรายงานให้ทราบทุกครั้ง

7) การวางแผนทรัพยากร เป็นการวางแผนและประเมินสถานะของทรัพยากรในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลทั้งปัจจุบันและอนาคต เพื่อให้มีทรัพยากรเพียงพอต่อการดำเนินงาน ทรัพยากรเหล่านี้ได้แก่ เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ โปรแกรมและบุคลากร

8) การคำนวณค่าบริการคอมพิวเตอร์จากผู้ใช้ข้อมูล เป็นการคำนวณเพื่อประโยชน์ในการควบคุมทางการบริหาร นอกจากนี้ กรณีกิจการไม่มีคอมพิวเตอร์เป็นของตนเอง ควรคำนึงถึงการจัดทำสัญญาใช้บริการและระเบียบปฏิบัติที่ใช้ควบคุมการชำระค่าบริการด้วย

9) การตระเตรียมวิธีการปรับปรุงแก้ไขระบบคอมพิวเตอร์ที่ได้รับความเสียหายให้ปฏิบัติงานได้ตามปกติ วิธีการที่นำมาใช้ต้องสามารถแก้ไขสถานการณ์ที่เลวร้ายได้รวดเร็ว และป้องกันธุรกิจหยุดชะงักได้แน่นอน

1.2. การควบคุมการพัฒนาระบบงาน
การควบคุมภายในเฉพาะงานที่สร้างไว้ภายในระบบงานคอมพิวเตอร์จะรัดกุมและเหมาะสมเพียงใด ขึ้นอยู่กับความรู้ความชำนาญหรือประสบการณ์ของการออกแบบระบบงานเป็นสำคัญ ในปัจจุบันการถ่ายทอดวิทยาการเกี่ยวกับการควบคุมเฉพาะงานค่อนข้างเชื่องช้า มีค่าใช้จ่ายสูง ต้องอาศัยความร่วมมือจากผู้ที่เกี่ยวข้องหลายฝ่าย และไม่สามารถนำวิธีการควบคุมภายในที่ใช้กับระบบงานใดระบบงานหนึ่งไปใช้กับระบบงานอื่นได้ จึงจำเป็นต้องอาศัยการควบคุมการพัฒนาระบบงานช่วยแก้ปัญหาที่กล่าวข้างต้น เพื่อ
– ควบคุมค่าใช้จ่ายและรายะเวลาที่ใช้ในการพัฒนาระบบงาน
– ช่วยให้แน่ใจว่าการควบคุมภายในเฉพาะงานที่สร้างไว้ในระบบ มีความรัดกุมและเหมาะสม
– ช่วยให้แน่ใจว่ามีการทดสอบการควบคุมภายในเฉพาะงาน ด้วยวิธีการที่เหมาะสมก่อนนำไปใช้ข้างหน้า

การควบคุมการพัฒนาระบบงานมีขอบเขตดังนี้
1) System Development Life Cycle (SDLC) ได้แก่ การแบ่งงานพัฒนาระบบออกเป็นขั้นตอนต่าง ๆ หลายขั้นตอน เพื่อความสะดวกในการกำหนดจุดที่จะจัดการควบคุม ซึ่งนอกจากจะช่วยให้ฝ่ายบริหารมีเครื่องมือในการควบคุมค่าใช้จ่ายและระยะเวลาในการพัฒนาระบบงานแล้ว ยังช่วยทำให้เกิดช่องทางในการติดต่อประสานงานกับผู้ใช้ข้อมูล ผู้ตรวจสอบ พนักงานวางแผนจัดหาเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์มาใช้งานพนักงานที่รับผิดชอบในการพัฒนาระบบและพนักงานชั้นบริหาร

2) การบริหารโครงการ ได้แก่ การใช้เทคนิคในการวัดความก้าวหน้าของโครงการในแต่ละขั้นตอน เป็นหลักในการควบคุมเพื่อ
– ให้ทราบว่าผู้ใช้ข้อมูลให้ความเห็นชอบผลงานที่อยู่ในระหว่างการพัฒนาถึงขั้นตอนใดแล้ว
– เปรียบเทียบค่าใช้จ่ายที่เกิดขึ้นจริงกับค่าใช้จ่ายตามงบประมาณ และเปรียบเทียบระยะเวลาที่ปฏิบัติงานจริง กับระยะเวลาที่กำหนดไว้ล่วงหน้า
– เสนอรายงานสถานะของโครงการให้ผู้บริหารระดับสูงได้ทราบทุกระยะ

3) การกำหนดมาตรฐานหรือระเบียบปฏิบัติในการเขียนโปรแกรม เพื่อเป็นแนวทางปฏิบัติงานของผู้เขียนโปรแกรม ปัจจุบันนิยมใช้เทคนิคการเขียนโปรแกรมโครงสร้าง ช่วยลดความซ้ำซ้อนของงานเขียนโปรแกรม และเพื่อให้ผู้อื่นที่จะมาใช้โปรแกรมในภายหลังหรือผู้ที่จะมาปฏิบัติงานแทนผู้เขียนโปรแกรม ตั้งแต่เริ่มแรกสามารถทำความเข้าใจ และทำงานต่อไปได้

4) การทดสอบเพื่อตรวจรับระบบงาน คือ การทดสอบระบบงานและโปรแกรมก่อนนำไปใช้งานจริง เพื่อให้แน่ใจว่าระบบงานและโปรแกรมสามารถทำงานได้ตามประสงค์ของผู้ใช้ข้อมูลและสอดคล้องกับระเบียบปฏิบัติในการประมวลข้อมูลของศูนย์คอมพิวเตอร์

5) การควบคุมการแก้ไขโปรแกรม ได้แก่ การกำหนดระเบียบปฏิบัติในการปรับปรุงแก้ไข Application Program และ Operating Systems โดยจัดให้มีเอกสารหลักฐานและการขอความเห็นชอบในการแก้ไขโปรแกรม เพื่อป้องกันการปฏิบัติไม่ชอบ

6) การจัดทำเอกสารสนับสนุนการปฏิบัติงาน ซึ่งได้แก่ เอกสารที่อธิบายลักษณะการทำงานของระบบงานโดยละเอียด เพื่อให้ผู้อื่นที่ไม่ได้มีส่วนเกี่ยวข้องกับการพัฒนาระบบงาน เช่น ผู้ใช้ข้อมูล ผู้ตรวจสอบและพนักงานปฏิบัติการประมวลผล เป็นต้น สามารถทำความเข้าใจและประเมินผลได้

7) การบริหารงานฐานข้อมูล กรณีที่มีการนำระบบฐานข้อมูลมาใช้เพื่อให้ระบบต่าง ๆ สามารถใช้ข้อมูลร่วมกันและช่วยลดความซ้ำซ้อนในการจัดเก็บข้อมูลจะมีผลกระทบต่อการจัดองค์กรของศูนย์คอมพิวเตอร์ และการพัฒนาระบบงาน ซึ่งจำเป็นต้องปรับปรุงการควบคุมให้เหมาะสมด้วย

เรื่องที่นำเสนอไปในข้างต้นนี้นั้น เป็นส่วนของการควบคุมภายในทั่วไป (General Controls) ที่กล่าวโดยย่อ ๆ ในภาพกว้าง ๆ เท่านั้น ส่วนในรายละเอียดไว้ผมจะนำเสนอในโอกาสต่อ ๆ ไปครับ ในครั้งหน้าผมจะพูดถึงการควบคุมภายใน ในอีกลักษณะหนึ่งที่เรียกว่าเป็นการควบคุมภายในเฉพาะงาน หรือ Application Controls โปรดติดตามกันต่อไปนะครับ

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

ในครั้งก่อน ท่านผู้อ่านก็ได้ทราบถึงประเภทของการตรวจสอบด้านคอมพิวเตอร์กันแล้วนะครับ ว่าได้มีการจัดแบ่งประเภทเป็นการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ หรือเรียกว่า General Control ซึ่งเป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ส่วนใหญ่เป็นการตรวจสอบเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง ส่วนอีกประเภทหนึ่งก็คือ Application Controls ซึ่งเป็นการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ในการประมวลผล

สำหรับวันนี้ผมจะขอนำเสนอแผนภาพการตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ (Application Audit) ซึ่งอาจจะเคยได้นำเสนอไปแล้ว ก็ถือเป็นการทบทวนเพื่อให้เกิดความเข้าใจที่ต่อเนื่องและเห็นภาพขั้นตอนของกระบวนการตรวจสอบ IT ในเบื้องต้นที่ชัดเจนยิ่งขึ้นนะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

หลักการสอบทานการควบคุมภายในที่สำคัญ
แม้ว่าในการนำคอมพิวเตอร์มาใช้ จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบแต่ลักษณะการประเมินการควบคุมภายในและวิธีการตรวจสอบจะเปลี่ยนแปลงไป

ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนในการประมวลผลข้อมูล ย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้น การใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี ดังนั้นจึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทน ด้วยเหตุผล 3 ประการ คือ

1. ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ ช่วยให้มั่นใจได้ว่าการประมวลผลจะมีความสม่ำเสมอด้วย

2. การตรวจสอบที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ ในลักษณะของการทำ Substantive Test นั้นทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมาก และหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ

3. ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์

ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ที่ดีในการประเมินผลการตรวจสอบได้อีกด้วย

ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้อย่างมีประสิทธิผล ทักษะทาง IT ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้วต้องมีทักษะทาง IT ที่เหมาะสมและเพียงพอแก่การปฏิบัติหน้าที่ นอกจากนี้ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้

ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วจำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้าน IT และผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT เอง ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมด้วย

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

จากครั้งที่แล้วที่ผมได้พูดคุยถึงขั้นตอนของการตรวจสอบ และได้เล่าถึงประวัติของการตรวจสอบ เพื่อเป็นเกร็ดความรู้เล็ก ๆ น้อย ๆ ให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบ อย่างในหลักการและเทคนิคการตรวจสอบเช่น TDM – Test Data Method ที่แม้ว่าเวลาจะล่วงเลยมาจนถึงปัจจุบันแล้ว แต่ก็ยังเป็นเทคนิคที่ใช้ในการปฏิบัติงานได้เป็นอย่างดี ซึ่งผมจะได้นำเสนอในรายละเอียดของวิธี Test Data Method ภายหลังจากที่เราได้พูดคุยกันถึงขั้นตอนและกระบวนการตรวจสอบในเบื้องต้น เพื่อให้เข้าใจและเห็นภาพของกระบวนการตรวจสอบที่ชัดเจนยิ่งขึ้น ก่อนที่จะดำเนินการตรวจสอบตามกระบวนการตรวจสอบโดยเทคนิคและวิธีการต่าง ๆ ต่อไป

สำหรับวันนี้เรามาดูกันว่า ในขั้นตอนและกระบวนการตรวจสอบในเบื้องต้นนั้น มีการจัดประเภทของการตรวจสอบด้านคอมพิวเตอร์เอาไว้อย่างไร

การตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2 ประเภท คือ การตรวจสอบกิจกรรม หรือการดำเนินงานของหน่วยงานคอมพิวเตอร์ และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล

1. การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ (General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ซึ่งส่วนใหญ่เป็นเรื่องเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง มีหัวข้อการตรวจสอบดังนี้

1.1. การตรวจสอบภายในและการสอบบัญชี เป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชี ซึ่งได้รับมอบหมายจากฝ่ายบริหาร และผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบ มีขอบเขตการปฏิบัติงานครอบคลุมในเรื่องต่าง ๆ เพียงพอหรือไม่ และเชื่อถือได้เพียงใด

1.2. การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์ ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน

1.3. การพัฒนาระบบงานและโปรแกรม เป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม การแก้ไขระบบงานและโปรแกรม และความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน

1.4. การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูล และการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้อง ครบถ้วนและเชื่อถือได้เพียงใด

1.5. การปฏิบัติงานคอมพิวเตอร์ เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์ การจัดเก็บแฟ้มข้อมูล การรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน

1.6. การสื่อสารข้อมูล (กรณีใช้ Hardware และ/หรือ Software ร่วมกันหลายระบบงาน) เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร

1.7. การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการ กรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง ควรมีการตรวจสอบสัญญาการใช้บริการ การคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์ นอกเหนือจากการตรวจสอบตามหัวข้อที่กล่าวมาแล้วด้วย เพื่อป้องกันธุรกิจที่จำเป็นต้องใช้ข้อมูลที่ประมวลผลด้วยคอมพิวเตอร์ต้องหยุดชะงัก หากศูนย์คอมพิวเตอร์ไม่สามารถให้บริการได้ตามปกติด้วยเหตุใดก็ตาม

2. การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (Application Controls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงาน ซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบ ในแต่ละระบบมากกว่าการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ มีหัวข้อการตรวจสอบดังนี้

2.1. แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ
– การจัดทำเอกสารขั้นต้น หรือเอกสารประกอบรายการ
– การอนุมัติรายการ
– การเตรียมข้อมูลนำเข้า
– การเก็บรักษาเอกสารขั้นต้น
– การแก้ไขเอกสารที่มีข้อผิดพลาด

2.2. การทำรายการป้อนเข้าสู่ระบบงาน เป็นการตรวจสอบ
– การทำรายการป้อนข้อมูลเข้าสู่ระบบงาน ซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry
– หลักเกณฑ์ที่ใช้ในการควบคุมการทำรายการ เพื่อให้ได้ข้อมูลที่ถูกต้องและครบถ้วน
– การแก้ไขข้อผิดพลาดในการทำรายการป้อนเข้าสู่ระบบงาน

2.3. การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ซึ่งประกอบด้วย
– การใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน
– การเคลื่อนย้ายข้อมูลในระบบสื่อสาร ซึ่งต้องอาศัย Hardware และ Software ควบคุมการเคลื่อนย้ายข้อมูล
– การบันทึกรายละเอียดในการติดต่อสื่อสารระหว่างเครื่อง Terminal กับ CPU ไว้ที่ศูนย์คอมพิวเตอร์

2.4. การประมวลผล ได้แก่ การตรวจสอบ
– ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือได้เพียงใด
– การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง
– ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล
– การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล
– การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล

2.5. การเก็บรักษาข้อมูลและการนำข้อมูลไปใช้งาน เป็นการตรวจสอบ
– การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล
– การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล
– การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล

2.6. ผลลัพธ์ที่ได้จากการประมวลผล เป็นการตรวจสอบ
– การกระทบยอดข้อมูล
– การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล
– การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน
– การเก็บรักษาข้อมูลที่ได้จากการประมวลผล
– การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด

ในครั้งหน้าผมจะมานำเสนอกระบวนการตรวจสอบ ที่ได้จัดทำในรูปแบบของแผนภาพ พร้อมอธิบายถึงรายละเอียดของกระบวนการตรวจสอบและขั้นตอนของการตรวจสอบต่อไป โปรดติดตามนะครับ

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ

สำหรับผู้ตรวจสอบที่มีความรู้พื้นฐานการตรวจสอบด้าน IT จำกัด ให้ใช้แนวและกระบวนการตรวจสอบ IT ที่เป็นพื้นฐานเบื้องต้น โดยมีกรอบย่อ ๆ ในการปฏิบัติ ดังนี้ สำหรับผู้ที่มีความรู้ทางด้านการตรวจสอบ และมีขอบเขต รวมทั้งกำหนดเป้าหมายการตรวจสอบเชิงลึก ในระบบงานสำคัญ ๆ เพื่อให้แน่ใจถึงความถูกต้อง ตั้งแต่ Input – Process – Output รวมทั้งผู้ตรวจสอบทางด้านการเงิน และการดำเนินงาน และการปฏิบัติตามกฎหมายกฎเกณฑ์ สำหรับผู้ตรวจสอบที่เป็น Non – IT Auditors นั้น ก็อาจใช้แนวทางดังต่อไปนี้ได้เช่นกัน เนื่องจากผมกำลังเล่าถึงแนวทางการปฏิบัติที่เป็นพื้นฐานที่ง่ายและสะดวกที่สุด สำหรับผู้ตรวจสอบทั้ง 2 ประเภท ก่อนที่จะลงในรายละเอียดต่อไป

ขั้นตอนการตรวจสอบ

อาจแบ่งขั้นตอนการตรวจสอบเป็น 3 ขั้นตอนใหญ่ ๆ ได้ดังนี้
ขั้นตอนที่ 1 การวิเคราะห์ความเพียงพอของการควบคุมภายใน
โดยการตั้งวัตถุประสงค์การตรวจสอบ ขอบเขตการตรวจสอบ และการวางแผนการตรวจสอบ แล้วรวบรวมข้อมูลเบื้องต้นที่เกี่ยวข้องกับการตรวจสอบ เพื่อประเมินความน่าเชื่อถือได้ของการดำเนินงานและการควบคุมภายในแบบ Total System Approach คือ ดูทั้งส่วนที่เป็น Manual และ Computer จากนั้นก็กำหนดแนวการตรวจสอบขั้นตอนต่อไป

ในขั้นตอนนี้ ผู้ตรวจสอบควรประเมินและวิเคราะห์ความเสี่ยงในแต่ละรายงานและในแต่ละกิจกรรมของงานที่ตรวจสอบ วิธีที่ดีที่สุดคือ การตั้งคำถามว่า “มีอะไรที่จะก่อให้เกิดข้อผิดพลาดขึ้นได้” ระบุจุดที่การควบคุมเพื่อลดความเสี่ยง ในแต่ละกิจกรรม (Activities) ในแต่ละกระบวนการ (Process) เพื่อก้าวสู่ Business Objective อันจะก่อให้เกิดความเสียหายหรือความไม่ถูกต้อง หรือมีจุดเปิดของความผิดพลาด และจุดอ่อนบางประการที่มีนัยสำคัญต่อ Input – Process – Output ที่อยู่ในขอบเขตของการตรวจสอบ

เทคนิคที่ใช้วิเคราะห์ก็คือ การสัมภาษณ์ การใช้แบบสอบถาม การวิเคราะห์ Flowchart

ขั้นตอนที่ 2 ทดสอบการปฏิบัติงานตามระเบียบ หรือ Logic ที่ได้กำหนดไว้
เมื่อผู้ตรวจสอบได้ทำการระบุจุดที่ควรมีการควบคุมในความเสี่ยงแต่ละจุดแล้ว ก็ต้องประเมินว่า การควบคุมนั้นน่าเชื่อถือหรือไม่ ถ้าเชื่อถือได้ก็จะได้ทำการทดสอบการปฏิบัติงานที่เกี่ยวข้องกับการควบคุมภายใน เพื่อประเมินจุดอ่อน หรือข้อผิดพลาดที่อาจพึงมี และมีนัยสำคัญต่อไป โดยเฉพาะอย่างยิ่ง ข้อผิดพลาดที่อาจเกี่ยวข้องกับข้อมูลทางการ ซึ่งอาจต้องทำการทดสอบต่อไป ขั้นตอนนี้ ยังมีการรวบรวมรายละเอียดเพื่อการตรวจสอบเพิ่มเติมด้วย
เทคนิคที่ใช้ในการตรวจสอบขั้นนี้ก็คือ การสังเกตการณ์ การทำ Test Data หรือ Manual Trading

ขั้นตอนที่ 3 ทดสอบข้อมูลทางการเงิน
เช่น ยอดคงเหลือ รายการทางบัญชีต่าง ๆ และยอดรวมของบัญชีในงบการเงิน รวมทั้งความผิดปกติต่าง ๆ ทั้งด้าน Input – Process – Output และกระบวนการนำรายงานไปใช้งานในการตัดสินใจ โดยคำนึงถึงนโยบาย กลยุทธ์ ที่ถ่ายทอดไปสู่เป้าประสงค์ตามหลักการของ Information Technology Balance Scorecard และ Business Balance Scorecard ด้วยวิธีการที่เหมาะสม แล้วทำรายงานการตรวจสอบ

ขั้นตอนย่อยในการตรวจสอบจาก 3 ขั้นตอนใหญ่ ๆ ข้างต้นอาจใช้การตรวจสอบแบบ Around หรือ Through The Computer

การตรวจสอบ
1. การตรวจสอบแบบ Around/Through The Computer
การตรวจสอบคอมพิวเตอร์ในระยะเริ่มแรกเป็นการตรวจสอบแบบ “Auditing Around The Computer” เพื่อสอบทานความถูกต้องของข้อมูลที่ปรากฏในรายงานคอมพิวเตอร์ คล้ายกับการตรวจสอบสมุดทะเบียนบัญชีแยกประเภทและเอกสารที่เกี่ยวข้องในระบบเดิมที่ใช้พนักงานบันทึกรายการ ดังรูป

ในปี ค.ศ. 1966 (ผ่านมาแล้วหลายปีหน่อยนะครับ) คณะทำงานพิเศษ Audit EDP Task Force ของ The American Institute of Certified Public Accountants (AICPA) ขอให้ใช้คำอื่น ๆ เช่น “Auditing Without Using The Computer” แทนคำ “Auditing Around The Computer” เพราะอาจทำให้ผู้ตรวจสอบเกิดความเข้าใจที่คลาดเคลื่อนว่า ไม่จำเป็นต้อประเมินผลการควบคุมภายในด้านคอมพิวเตอร์ก็ได้ หากผู้ตรวจสอบได้ดำเนินการติดตามความเคลื่อนไหวของรายการที่ปรากฏในรายงานคอมพิวเตอร์ เพื่อพิสูจน์ความถูกต้องของข้อมูล

สำหรับการตรวจสอบแบบ “Auditing Through The Computer” หรือ Computer Assisted Audit Techniques” มีความหมายชัดเจนอยู่ในตัวแล้ว แต่อย่างไรก็ดี คำ “Auditing Around/Through The Computer” ได้มีความสำคัญลดน้อยลง เมื่อสถาบันที่ทำหน้าที่ควบคุมการประกอบวิชาชีพสอบบัญชีหลายประเทศได้กำหนดมาตรฐานตรวจสอบคอมพิวเตอร์ให้ผู้ตรวจสอบถือปฏิบัติ

2. มาตรฐานการตรวจสอบ
มาตรฐานการตรวจสอบคอมพิวเตอร์ที่ควรทราบ มีดังนี้
ประเทศสหรัฐอเมริกา
เมื่อเดือนธันวาคม ค.ศ. 1974 AICPA ได้ออก Statement of Auditing Standard No. 3 (SAS#3) มี 3 ประเด็นสำคัญสรุปได้ดังนี้
1) กรณีที่มีการใช้คอมพิวเตอร์กับงานบัญชีที่มีนัยสำคัญ ผู้ตรวจสอบควรสอบทานระบบเพื่อทำความเข้าใจในเรื่องต่อไปนี้
1.1) ทางเดินของรายการบัญชี
1.2) ขอบเขตการใช้คอมพิวเตอร์
1.3) โครงสร้างพื้นฐานของการควบคุมภายใน
2) กรณีงานคอมพิวเตอร์มีความสลับซับซ้อน จะต้องมีผู้เชี่ยวชาญร่วมงานตรวจสอบด้วย
3) การใช้คอมพิวเตอร์ไม่มีผลกระทบต่อการควบคุมทางบัญชี แต่อาจมีผลกระทบต่อองค์กรและวิธีการที่จะทำให้บรรลุเป้าหมายในการควบคุม ซึ่งมีอิทธิพลต่อวิธีการตรวจสอบ

ประเทศแคนาดา
The Canadian Institute of Chartered Accountants (CICA) ได้ออก Guideline : Auditing in an Electronic Data Processing Environment เมื่อเดือนสิงหาคม ค.ศ. 1981 เพิ่มเติมจาก Computer Control Guidelines และ Computer Audit Guidelines ซึ่งออกในปี ค.ศ. 1970 และปี ค.ศ. 1974 ตามลำดับ สาระสำคัญสรุปได้ดังนี้
1) กรณีใช้ผู้เชี่ยวชาญคอมพิวเตอร์ ผู้ตรวจสอบต้องมีความรู้ด้านคอมพิวเตอร์ เพื่อควบคุมการปฏิบัติงานของผู้เชี่ยวชาญให้เหมาะสม
2) ผู้ตรวจสอบต้องประเมินความเพียงพอเกี่ยวกับความรู้ด้านคอมพิวเตอร์ของตนเอง
3) ควรพิจารณาหรือศึกษาระบบทั้งด้าน Manual และด้านคอมพิวเตอร์พร้อม ๆ กับการพัฒนาวิธีการตรวจสอบ แต่ผู้ตรวจสอบไม่จำเป็นต้องตรวจสอบระบบโดยละเอียด หากพิจารณาในขั้นต้นแล้วเห็นว่าเป็นระบบที่เชื่อถือไม่ได้
4) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในทั่วไป และ Operating System ด้านคอมพิวเตอร์
5) กรณีใช้คอมพิวเตอร์ช่วยตรวจสอบต้องจัดให้มีการควบคุมอย่างเพียงพอ เพื่อให้ได้ผลลัพธ์ครบถ้วนและเป็นไปตามวัตถุประสงค์ในการตรวจสอบ
6) ผู้ตรวจสอบควรมีส่วนร่วมในการพัฒนาระบบงานด้วย

สหราชอาณาจักร (United Kingdom)
Auditing Practices Committee Exposure Draft : Internal Controls in Computer – Based Accounting System ออกเมื่อเดือนพฤษภาคม ค.ศ. 1982 มีสาระสำคัญสรุปได้ดังนี้
1) ผู้ตรวจสอบไม่จำเป็นต้องเข้าใจระบบโดยละเอียด เว้นแต่จะมีแผนการตรวจสอบเพื่อให้ความเชื่อถือต่อระบบงานนั้น
2) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในเฉพาะงาน และการควบคุมภายในทั่วไป
3) ผู้ตรวจสอบสามารถใช้คอมพิวเตอร์ช่วยตรวจสอบเพื่อที่จะได้หลักฐานการปฏิบัติงานที่อยู่ภายใต้การควบคุมภายในเฉพาะงาน
4) ผู้ตรวจสอบควรรู้จักวิธีปฏิบัติในการตรวจสอบคอมพิวเตอร์ไว้หลาย ๆ วิธี

ประเทศไทย
คณะกรรมการควบคุมการประกอบวิชาชีพสอบบัญชี (ก.บ.ช.) และสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย ได้ประกาศใช้มาตรฐานการสอบบัญชี ฉบับที่ 28 และ 29 เรื่อง “การสอบบัญชีในกรณีที่ธุรกิจใช้คอมพิวเตอร์” และเรื่อง “การประเมินประสิทธิภาพการควบคุมภายในกรณีกิจการใช้คอมพิวเตอร์” ซึ่งมีรายละเอียดค่อนข้างมากและได้มีผลบังคับใช้แล้ว ตั้งแต่เดือนมิถุนายน 2533 เป็นต้น

ผมเล่าประวัติศาสตร์ค่อนข้างยาวพอสมควร เพื่อให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบที่แม้ว่าเวลาจะผ่านมาเนิ่นนานพอสมควร หลักการและเทคนิคการตรวจสอบบางอย่าง เช่น TDM – Test Data Method ก็ยังใช้ในการปฏิบัติงานได้ดี ประหยัด เทคนิคไม่ซ้ำซ้อน และไม่ต้องใช้โปรแกรมหรือเครื่องมือใด ๆ นอกจากผู้ตรวจสอบจะต้องเข้าใจหลักตรรกะ (Logic) ของการประมวลงานที่ใช้โปรแกรมเข้าช่วยในการประเมินผลพอสมควร ซึ่งจะได้กล่าวต่อไปนะครับ