Posts Tagged "ความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ"

ความเข้าใจของผู้บริหารและผู้ตรวจสอบที่เกี่ยวข้องกับความถูกต้องและความน่าเชื่อถือได้ของข้อมูล (Integrity of the Information for Auditor & AC)

เมื่อวันสองวันก่อน ผมได้เขียนถึงความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ และข้อสังเกตเบื้องต้นไประดับหนึ่งแล้ว ขอพูดต่อในวันนี้นะครับว่า หลักการของ Corporate Governance (CG) ซึ่งแยกกันไม่ได้กับหลักการของ IT Governance (ITG) เพื่อขับเคลื่อนองค์ประกอบของการกำกับดูแลกิจการที่ดีในภาพรวมนั้น ไม่ค่อยได้มีการกล่าวถึงกันมากนักในอดีต

แต่ในปัจจุบัน การประมวลผลข้อมูลต่าง ๆ หลีกเลี่ยงไม่ได้ที่จะต้องใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงาน และการจัดการกับข้อมูลจำนวนมหาศาล และเพื่อให้มีการปฏิบัติตามระเบียบ กฎเกณฑ์ มาตรฐานต่าง ๆ ที่กำหนดโดยหน่วยงานกำกับภาครัฐ และตามมาตรฐานสากลนั้น ผู้บริหารและผู้ตรวจสอบจำเป็นอย่างยิ่งที่ควรจะเข้าใจกระบวนประมวลข้อมูลเพื่อให้ได้สารสนเทศ เพื่อการจัดการและการตรวจสอบจากระบบคอมพิวเตอร์ และควรจะเข้าใจต่อไปด้วยว่า กระบวนการควบคุมภายในตามฐานความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

กระทรวงพาณิชย์ คณะกรรมการตรวจเงินแผ่นดิน สภานักบัญชี ก็ได้มีกฎเกณฑ์และแนวทางในการกำหนดให้องค์กรที่ใช้คอมพิวเตอร์ (แม้จะมีคอมพิวเตอร์เพียงเครื่องเดียวก็ตาม) ต้องจัดให้มีผู้ตรวจสอบภายในที่มีศักยภาพในการตรวจสอบทางด้าน IT ที่เกี่ยวข้องกับการควบคุมทางด้าน General Control และ Application Cotrol รวมทั้งองค์ประกอบต่าง ๆ ของความสมบูรณ์ของข้อมูลและสารสนเทศ 7 ประการ (Information Criteria) ซึ่งผมใคร่ขออนุญาตที่จะกล่าวซ้ำก็คือ
1. Effectiveness
2. Efficiency
3. Confidentiality
4. Integrity
5. Availability
6. Reliability
7. Compliance

ซึ่งผู้บริหารจะต้องจัดให้มีกระบวนการตรวจสอบในเรื่องของความเชื่อถือได้ของข้อมูล รวมถึงประสิทธิผล ประสิทธิภาพของข้อมูลในการที่จะนำมาบริหารการตรวจสอบต่อไป ดังนั้น ความเข้าใจในภาพโดยรวมของที่มาของข้อมูลและสารสนเทศ เพื่อการบริหารและการตรวจสอบ จึงจำเป็นที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจอย่างลึกซึ้ง ผมขอแสดงภาพที่มาจาก ISACA ซึ่งเป็นแผนภาพที่อธิบายได้ชัดเจน ดังนี้

Integrity of the Information & Audit Process, IT & Non - IT

Integrity of the Information & Audit Process, IT & Non - IT

ผมขอสรุปเรื่องความสำคัญของข้อมูลและสารสนเทศเพื่อการตรวจสอบ ดังนี้นะครับ
1. สารสนเทศที่มีคุณลักษณะที่ดีตามหลักการของ IT Governance ทั้ง 7 องค์ประกอบตามที่กล่าวข้างต้น จะมีประโยชน์ในมุมมองที่เกี่ยวข้องกับ Intangible Assets ซึ่งก็ได้แก่สินทรัพย์ที่ไม่มีตัวตน ส่วนใหญ่ก็ได้แก่ สารสนเทศนั่นเอง จากการสำรวจของสถาบันที่มีชื่อเสียง เมื่อประมาณ ปี 1999 พบว่า สินทรัพย์ที่มีคุณค่าที่สุดในทุกบริษัทที่มีความเข้าใจถึงผลกระทบของความเสี่ยงที่มีผลต่อความน่าเชื่อถือ (Trust) ที่เกิดจาก Value ขององค์กร ซึ่งก็คือ Intangible Assets สามารถสร้างคุณค่าเพิ่มและสร้างความโปร่งใส รวมทั้งสร้างกระบวนการที่สามารถวางระบบการควบคุมภายในที่โดยรวม ๆ แล้วเป็นหลักประกัน (Assurance) ให้เกิดความน่าเชื่อถือต่อการกำกับดูแลกิจการที่ดี สิ่งนั้นก็คือ ข้อมูลและสารสนเทศที่น่าเชื่อถือได้ (Integrity of the Information)

2. กลไกหรือกระบวนการกำกับดูแลกิจการที่ดีทางด้านการควบคุมภายในของทุกองค์กร ที่ต้องการให้เกิดความน่าเชื่อถือได้ของสารสนเทศก็คือ การใช้ Best Practice ในเรื่อง IT Governance ที่นำกรอบของการควบคุมกระบวนการ (Management Processes) ที่ดีมาใช้ในการสร้างความน่าเชื่อถือได้ของสารสนเทศ ซึ่งหากองค์กรใดทำได้จริงและเป็นรูปธรรมก็สามารถจะลด Audit Risk ลงได้ในระดับที่น่าพึงพอใจมาก

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

3. ภาครัฐของทุกประเทศจึงต้องกำหนดให้มีการตรวจสอบภาคบังคับที่เกี่ยวข้องกับการรับรองงบการเงิน และแน่นอนว่าผู้ตรวจสอบต้องสอบทานความน่าเชื่อถือได้ของข้อมูลเป็นเบื้องต้น และจะต้องสอบทานจุดอ่อนของกระบวนการควบคุมภายใน โดยเฉพาะอย่างยิ่ง จุดอ่อนที่เกิดจากการควบคุมทางด้าน IS หรือ IT Security ที่อาจเกิดจากการบริหารและการจัดการที่อ่อนแอ โดยฝ่ายบริหารจัดให้มีระบบการควบคุมภายในที่ไม่เพียงพอ โดยเฉพาะอย่างยิ่ง การควบคุมระบบที่ได้ข้อมูลมาจากการประมวลผลทางด้านคอมพิวเตอร์ ซึ่งทำให้สารสนเทศไม่โปร่งใส ไม่น่าเชื่อถือ ผู้ลงทุนตัดสินใจจากฐานข้อมูลที่ผิดพลาด รวมทั้งการทุจริตที่อาจจะเกิดขึ้นได้จากกระบวนการควบคุมภายในที่อ่อนแอนั้น ซึ่งมีตัวอย่างมากมายทั้งในอดีตและปัจจุบัน

4. ข่าวดีหรือข่าวร้ายขึ้นกับมุมมองของผู้ที่เกี่ยวข้องก็คือ กระบวนการควบคุมภายในภายใต้หลักการของ COBIT ภายใต้ร่มใหญ่ของ IT Governance นั้น จะต้องถูกประมวลและต้องพิจารณาเป็นกระบวนการหนึ่งของการตรวจสอบ ที่จะมีผลต่อรายงานทางการเงินและรายงานประเภทต่าง ๆ ที่เกิดจากการประมวลผลทางด้าน IT

ผมใคร่ขอยกตัวอย่างความสัมพันธ์และการเชื่อมโยงระหว่างการควบคุมงานทางด้าน IT กับการบริหารความเสี่ยงในระดับองค์กรของ COSO บางประการ เฉพาะองค์ประกอบหลักเรื่องแรกคือ การวางแผนการจัดองค์กร และการกำหนดทิศทางของเทคโนโลยีสารสนเทศ แสดงเป็นแผนภาพดังนี้

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

ท่านคณะกรรมการ ท่านผู้บริหาร และผู้ตรวจสอบที่มีโอกาสได้เห็นแผนภาพแทนคำอธิบายโดยลายลักษณ์อักษรอย่างละเอียด ซึ่งบางกรณีอาจเป็นเรื่องที่น่าเบื่อ ประกอบกับคำอธิบายสั้น ๆ ที่เกี่ยวข้องเพื่อให้ท่านเกิดความคิดและจิตนาการถึงผลกระทบของความไม่ถูกต้อง ความไม่น่าเชื่อถือได้ของข้อมูล ความไม่ทันกาลของข้อมูล ความไม่พร้อมในการเรียกมาใช้ในการบริหาร การจัดการ รวมทั้งการตรวจสอบจากฐานข้อมูลที่ไม่ update นั้น มีผลอย่างไรต่อรายงานที่ท่านได้รับเพื่อการตัดสินใจ มีผลอย่างไรต่อความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการรายงานประเภทต่าง ๆ รวมทั้งรายงานทางการเงิน และความเสี่ยงทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ

เรื่องนี้เข้าใจได้ไม่ยาก หากท่านจะนึกถึงเหตุการณ์ของกรณี บริษัท Emron และผลกระทบต่อ บริษัทที่ปรึกษาและบริษัทผู้สอบบัญชียักษ์ใหญ่ของโลก ซึ่งตอนนี้กลายเป็นอดีตเพื่อการศึกษาเท่านั้น นอกจากนี้ ปัญหาในปัจจุบันที่เกิดจากการบริหารการจัดการของสถาบันการเงิน และบริษัทอุตสาหกรรมยักษ์ใหญ่ของประเทศสหรัฐอเมริการจำนวนมากก็จะเกิดจากสารสนเทศที่ไม่ถูกต้อง โดยเฉพาะอย่างยิ่ง สารสนเทศที่เกี่ยวข้องกับการ Rating ฐานะของบริษัทที่ไม่เป็นความจริง พิสูจน์ได้จากบริษัท Rating ระดับ AAA+ ซึ่งส่วนใหญ่เป็นการ Rating จากข้อมูลในอดีต แต่เมื่อมีปัญหาความเสียหายเกิดขึ้นแล้ว ระดับ Rating ก็เปลี่ยนแปลงไปเป็น BBB- หรือเลวร้ายไปกว่านั้น…

ผมสรุปส่งท้ายในวันนี้เพียงเพื่อตอกย้ำความสำคัญของ Information ซึ่งเป็น Intangible ส่วนใหญ่ของบริษัท ที่คณะกรรมการและผู้บริหาร รวมทั้งผู้ตรวจสอบยังให้ความสนใจในระดับที่แตกต่างกันมาก และเป็นที่น่าห่วงใยยิ่ง อาจพิสูจน์ได้ในเรื่องนี้ก็คือ หากมีการหยิบยกเรื่อง IT เรื่อง ITG เรื่อง IT Security และเรื่องอื่น ๆ ที่เกี่ยวข้อง ผู้บริหารจำนวนไม่น้อยไม่ค่อยจะสนใจมากนัก หรือก็มอบหมายให้คนอื่นไปดำเนินการและไม่ได้ติดตามเท่าที่ควร กรณี ธนาคารโซซิเยเต้ เยนเนอรัล ธนาคารยักษ์ใหญ่อันดับ 2 ของฝรั่งเศษ ที่เสียหายจากการทุจริตประมาณ 340,000 ล้านบาท จากการกระทำของคนที่รู้ IT เพียงคนเดียวก็คงพอเข้าใจได้ถึงความสำคัญของข้อมูลและสารสนเทศที่เกี่ยวข้องกับการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบทางด้าน IT และ Non – IT นะครับ

ครั้งต่อไป ผมคงจะมีโอกาสแยกเรื่องการตรวจสอบที่เกี่ยวกับ IT Audit และ Non – IT Audit หลังจากที่ได้เกริ่นนำ และให้ความสำคัญอย่างยิ่งยวดต่อข้อมูลและสารสนเทศที่ได้จากการรายงานในรูปแบบต่าง ๆ และการทำความเข้าใจในธุรกิจที่ตนบริหารและต้องการตรวจสอบ

ท่านคิดว่า IT Governance และกระบวนการควบคุมตามหลักการของ COBIT นั้น มีความสัมพันธ์กับกรอบการบริหารความเสี่ยงตามแนวทางของ COSO-ERM ร้อยเปอร์เซ็นต์ไหม? ครับ ผมขออนุญาตเป็นการส่วนตัวที่จะกล่าวว่า ทั้ง 2 เรื่อง มีส่วนสัมพันธ์กันโดยตรง 100% ครับ

แล้วถ้าความเข้าใจดังกล่าวข้างต้นแตกต่างกัน จะมีผลอย่างไรต่อกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO-ERM ละครับ

 

ความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ

ความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ (Audit Process and Reliability of Information, IT and Non – IT)

ครั้งก่อน ท่านผู้อ่านคงได้ใช้ดุลยพินิจในการวิเคราะห์ผลกระทบของข้อมูลและสารสนเทศ ที่ใช้ในการบริหารและการตรวจสอบ ตามแผนภาพที่ผมยังไม่ได้อธิบายหรือเล่าสู่กันฟังถึงแนวคิดจากแผนภาพดังกล่าว เพื่อสร้างรูปแบบและกระบวนการตรวจสอบตามฐานความเสี่ยง ทั้งทางด้าน IT Audit และ Non – IT Audit ประเภทต่าง ๆ

จากแผนภาพครั้งที่แล้ว ท่านผู้บริหารและผู้ตรวจสอบจะเข้าใจได้ชัดเจนว่า ข้อมูลและสารสนเทศต่าง ๆ ที่ท่านนำมาใช้ในกระบวนการตัดสินใจ เพื่อขับเคลื่อนเป้าประสงค์ในระดับองค์กร ในระดับสายงาน และในระดับหน่วยงานย่อยนั้น กล่าวได้ว่า ข้อมูลได้รับการประมวลผลโดยผ่านกระบวนการและกลไกทางด้านคอมพิวเตอร์ทั้งสิ้น

โปรดดูแผนภาพครั้งที่แล้วอีกครั้ง ท่านจะได้เห็นภาพความสำคัญของ Black Box ทางด้าน Hardware และอุปกรณ์ประเภทต่าง ๆ รวมทั้ง Software ที่เกี่ยวข้อง ซึ่งแน่นอนว่า กลไกในการควบคุมความเสี่ยงที่ใช้อุปกรณ์คอมพิวเตอร์นั้น จำเป็นต้องอาศัยความรู้ ทักษะ ประสบการณ์ในการบริหารศูนย์คอมพิวเตอร์ และการประมวลผลที่เกี่ยวข้องเป็นอย่างมาก

เรื่องนี้ ผมได้เขียนและอธิบายไว้มากแล้วในหนังสือเรื่องการบริหารและการตรวจสอบสถาบันการเงิน-องค์กรที่ใช้คอมพิวเตอร์ ซึ่งมีรายละเอียดค่อนข้างมากที่ไม่ขอซ้ำในที่นี้

ความเสี่ยงจากการบริหารในกระบวนการประมวลข้อมูลนั้น ต้องการการควบคุมในระดับต่าง ๆ ที่เรียกกันทั่วไปว่า General Control จะเกี่ยวข้องสัมพันธ์อย่างใกล้ชิดกับระบบงานหลัก ๆ และระบบงานที่เกี่ยวข้องสัมพันธ์กันที่เรียกว่า Application ซึ่งก็คือระบบงานต่าง ๆ ขององค์กรนั่นเอง ในเรื่องนี้ก็ต้องการกลไกและกระบวนการควบคุม รวมทั้งการตรวจสอบทางด้าน IT Application (IT Audit) ที่เกี่ยวข้องกับการตรวจสอบ Input – Process – Output ตามรูปภาพที่ผมเคยนำเสนอก่อนหน้านี้ ก่อนที่จะผ่านกลไกของ Business Process ต่าง ๆ ที่ต้องการการควบคุมในลักษณะ Business Control ที่มีรายละเอียดมากมายก่อนจะได้เป็น Output ในรูปแบบของรายงานลักษณะต่าง ๆ ที่ผู้บริหารต้องใช้ในการดำเนินการ สั่งการ รวมทั้งผู้ตรวจสอบจำนวนไม่น้อยก็ได้ใช้รายงานดังกล่าวเป็นฐานข้อมูลสำคัญในการตรวจสอบด้านทั่วไป

การทำความเข้าใจกับโครงสร้างและ Business Process เพื่อก้าวสู่ Business Objective ขององค์กร

การทำความเข้าใจกับโครงสร้างและ Business Process เพื่อก้าวสู่ Business Objective ขององค์กร

ตามที่ผมกล่าวข้างต้น คงไม่มีอะไรแปลกนะครับ เพราะเป็นลักษณะของการตรวจสอบโดยทั่วไปที่ปฏิบัติกันอยู่ทั้งทางด้าน IT Audit และด้านการตรวจสอบโดยทั่วไป แต่สิ่งที่ผมอยากจะกล่าวในวันนี้ก็คือ มีผู้บริหารและผู้ตรวจสอบจำนวนไม่น้อย หลาย ๆ องค์กร คำนึงถึงผลกระทบของระบบคอมพิวเตอร์ที่มีผลต่อความน่าเชือถือได้ของข้อมูลทางการเงินค่อนข้างจำกัดมาก เพราะส่วนใหญ่ได้ตั้งสมมุติฐานว่าข้อมูลที่ได้ประมวลผลจากคอมพิวเตอร์นั้นถูกต้อง น่าเชื่อถือได้ ทันกาล ทันเวลา ทั้ง ๆ ที่ความเป็นจริงข้อมูลและสารสนเทศดังกล่าวมีจุดอ่อนมากมาย ที่ผู้ตรวจสอบโดยทั่วไปไม่ควรจะวางใจในความน่าเชื่อถือได้ของข้อมูลที่ใช้ในการตรวจสอบ จนกว่าจะมีการพิสูจน์ชัดเจน หรือมีความร่วมมือกันอย่างดียิ่ง ระหว่างผู้ตรวจสอบทางด้าน IT Audit ที่มีเป้าประสงค์ในการตรวจสอบที่แตกต่างกันไปกับผู้ตรวจสอบโดยทั่วไปมาก

ที่ผมกล่าวย่อ ๆ ข้างต้น เป็นปัญหาสำคัญยิ่งที่ผู้บริหารในหลายองค์กรยังให้ความสนใจได้ไม่ดีเท่าที่ควร ทั้งนี้อาจจะเกิดจากปัญจัยและองค์ประกอบหลายประการที่ผมจะนำเสนอในโอกาสต่อไป

ครั้งนี้ การเล่าสู่กันฟังในวันนี้ ผมก็จะจบลงด้วยแผนภาพของความสำคัญของข้อมูลและสารสนเทศที่ได้จากการประมวลผลด้วยระบบ IT ที่ควรจะมีการบริหาร จัดการ ให้มีการควบคุมและตรวจสอบความเสี่ยงทางด้าน IT Risk ที่มีผลต่อ Process Risk และในที่สุดมีผลต่อ Business Risk ในมุมมองต่าง ๆ ต่อไป

ทั้งนี้ จากแผนภาพด้านล่าง อะไรจะเกิดขึ้น? หาก Report ประเภทต่าง ๆ ที่ได้จากการประมวลผลทางด้านคอมพิวเตอร์ ไม่น่าเชื่อถือได้ หรือถูกบิดเบือน ผู้บริหารและผู้ตรวจสอบจะใช้รายงานในการสั่งการ และจะนำข้อมูลที่ได้จากการประมวลผลมาใช้ในการวางแผนกระบวนการตรวจสอบได้อย่างไร?

อะไรจะเกิดขึ้น? ถ้าผู้รักษา Super Password และ/หรือ Administrator / ผู้ดูแลระบบ สามารถเข้าถึงข้อมูลลับระดับสูงสุดขององค์กรได้ และสามารถเปลี่ยนแปลงข้อมูลในฐานข้อมูล เช่น โอนลูกหนี้ที่มีปัญหาไปเข้าบัญชีพัก หรือเปลี่ยนแปลงลูกหนี้หรือสถานะหนี้ รวมทั้งองค์ประกอบของโครงสร้างหนี้ต่าง ๆ เพื่อที่จะบิดเบือนการตั้งสำรองหนี้สูญหรือเพื่อการทุจริต

และตามตัวอย่างข้างต้น อะไรจะเกิดขึ้น? ถ้าหากมีการโอนบัญชีพักและบัญชีที่เกี่ยวข้องออกจากสารบบบัญชีขององค์กร ซึ่งอาจดำเนินควบคู่กันไปกับกระบวนการอำนวยการให้สินเชื่อและหลักฐานต่าง ๆ ที่เกี่ยวข้อง ผู้บริหารและผู้ตรวจสอบจะมีแนวการตรวจสอบเช่นไร?

ในกรณีที่มีการจ้างบุคคลภายนอกมาให้บริการด้านต่าง ๆ ให้กับองค์กร และบุคคลภายนอกนั้นมีสิทธิ์ที่จะใช้ Password นั้นนอกสถานที่ทั้ง ๆ ที่บริการนั้นเสร็จสิ้นไปนานแล้ว แต่บุคคลดังกล่าวก็ยังสามารถเข้าถึงข้อมูลขององค์กรได้ และ

อะไรจะเกิดขึ้น? ถ้าหากมีการมอบหมายอำนาจที่มีหลายระดับ หลายขั้นตอนเพื่อการควบคุมภายในขององค์กรแต่มีการเปลี่ยนแปลงบุคคลผู้ได้รับมอบอำนาจ รวมทั้งระดับอำนาจที่ได้รับมอบหมาย แต่ไม่มีกระบวนการบริหารจัดการภายในที่ดี อะไรจะเกิดขึ้นกับข้อมูลและฐานข้อมูล และกระบวนการบริหารในทุกระดับที่เกี่ยวข้อง

องค์กรมีเครื่องมือและมีบุคคลากรที่มีความรู้เพียงพอกับความก้าวหน้า และศักยภาพที่เปลี่ยนแปลงไปอย่างรวดเร็วของระบบเทคโนโลยีสารสนเทศเพียงใด ทั้งในทางด้านเทคนิค ด้านการบริหาร ด้านการควบคุมภายใน ด้านการตรวจสอบ

องค์กรมั่นใจอย่างไรว่า องค์กรมีระดับการควบคุมเทคโนโลยีสารสนเทศที่น่าเชื่อถือได้ ในแต่ละลักษณะขององค์ประกอบของสารสนเทศที่ดี ทั้ง 7 ประการ ตามหลักของ COBIT ภายใต้การปฏิบัติที่เป็น Best Practice ของ IT Governance และ

กรณีบทเรียนจากการทุจริต 340,000 ล้านบาทที่เกิดจาก IT Risk ของธนาคารโซซิเอเต้ เจเนอราล (Soc Gen – Societe Generale) ฝรั่งเศส เมื่อเดือนมกราคม 2551 เกิดจากบุคคลากรที่มีความรู้ทางด้าน IT เพียงคนเดียวของธนาคาร ประกอบกับผู้บริหารและคณะกรรมการต่าง ๆ ของธนาคารไม่อาจติดตาม หรือรู้เท่าทันผลกระทบของคอมพิวเตอร์จากการกระทำของบุคคล ๆ เดียวนี้ได้

Lesson Learned

Lesson Learned

ทั้งนี้ จากการวิเคราะห์ความเสี่ยงในภายหลังทราบว่า ต้นเหตุของความเสี่ยงที่แท้จริง เกิดจากวัฒนธรรมขององค์กร ศักยภาพและระดับความรู้ของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลัก COSO – Enterprise Risk Management ซึ่งมีรายละเอียดต่าง ๆ มากมาย

แปลกแต่จริงยิ่งกว่าก็คือ บทเรียนแสนแพงที่ดีกรณีนี้ ซึ่งเรียกว่า Lesson Learned มีสถาบันการเงินในประเทศไทยน้อยมากที่นำบทเรียนแสนแพงนี้มาทำการประเมินตนเองเพื่อการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง เพื่อการปรับปรุง ป้องกันปัญหาที่อาจจะเกิดขึ้นทำนองเดียวกันกับธนาคาร Societe Generale นี้ได้

ผมขอสรุปก่อนที่จะยาวเกินไปกว่านี้ ก็คือ บทเรียนในครั้งนี้เกิดจาก Operational Risk ซึ่งเกิดจาด Peple Process และเทคโนโลยี เป็นสำคัญ

เราคุยกันมาถึงช่วงนี้แล้ว ท่านคิดว่าท่านได้อะไรบ้างครับ เกี่ยวกับกระบวนการบริหาร การจัดการ การควบคุมภายใน และกระบวนการตรวจสอบตามฐานความเสี่ยงขององค์กรที่ใช้คอมพิวเตอร์ที่จะเกี่ยวข้องกับการตรวจสอบ IT Audit และ Non – IT ในส่วนที่เกี่ยวข้อง

ผมเล่ามายาวนานถึงแค่นี้แล้วก็ยังแยกไม่ได้เลยนะครับว่า กระบวนการตรวจสอบทางด้าน IT Audit กับกระบวนการตรวจสอบทางด้าน Non – IT Audit ควรจะมีความแตกต่างกันในขั้นตอนใด เดี๋ยวไปคุยในครั้งต่อไปนะครับ

ความต้องการสารสนเทศที่มีคุณภาพกับการบรรลุเป้าหมายขององค์กร เพื่อการควบคุมภายในและกระบวนการตรวจสอบทางด้าน IT และ Non - IT

ความต้องการสารสนเทศที่มีคุณภาพกับการบรรลุเป้าหมายขององค์กร เพื่อการควบคุมภายในและกระบวนการตรวจสอบทางด้าน IT และ Non - IT