Posts Tagged "แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง"

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

สวัสดีครับ หัวข้อนี้ก็ยังคงพูดคุยกันอยู่ในเรื่องของแนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งเป็นแนวทางในบางมุมมองของผม และก็เป็นเพียงแนวทางในเบื้องต้นที่ใช้ในการบริหารงานตรวจสอบ โดยในครั้งที่แล้วผมได้พูดถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทันกับการเปลี่ยนแปลงที่เกิดขึ้น และวันนี้ผมก็จะมาพูดถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึงกันครับ

การตรวจสอบของผู้ตรวจสอบเกี่ยวกับการบันทึกรายการบัญชีในระบบเดิม ผู้ตรวจสอบจะต้องคำนึงถึงความไม่แน่นอนในการปฏิบัติงานของพนักงานเป็นหลักในการตรวจสอบ แต่จะนำหลักการนี้มาใช้กับการตรวจสอบระบบบัญชีที่ใช้คอมพิวเตอร์ไม่ได้ เพราะเป็นที่ยอมรับกันโดยทั่วไปแล้วว่า การทำงานของคอมพิวเตอร์นั้นแม่นยำ แน่นอน และสม่ำเสมอ เพราะใช้โปรแกรมชุดเดียวกันในการประมวลผลข้อมูลด้านบัญชีที่เหมือน ๆ กันไปบันทึกบัญชีตามที่กำหนดไว้ด้วยคอมพิวเตอร์ หากเป็นสถาบันการเงินในบางมุมมองก็คือ
– การบันทึกบัญชีเงินฝากรายตัวแต่ละประเภท
– การคำนวณดอกเบี้ยเงินฝากตามประเภทเงินฝาก อัตราดอกเบี้ย และระยะเวลา
– การบันทึกเงินให้สินเชื่อรายตัวแต่ละประเภท
– การควบคุมอำนาจการให้สินเชื่อของผู้มีอำนาจในการปล่อยสินเชื่อ
– การคำนวณดอกเบี้ยส่วนลดเงินให้สินเชื่อตามประเภทเงินให้สินเชื่อ อัตราดอกเบี้ย และระยะเวลา
– การออกรายงานแยกประเภทหลักประกันสินเชื่อ ประเภทสินเชื่อ ธุรกิจที่องค์รกรให้สินเชื่อ
– การแยกประเภทการออกหนังสือค้ำประกันลูกค้า
– การคำนวณค่าเสื่อมราคาทรัพย์สินถาวร
– การบันทึกบัญชีรายได้ รายจ่าย กำไรขาดทุน
– การบันทึกบัญชีทรัพย์สิน หนี้สิน ส่วนของผู้ถือหุ้น
– การบันทึกบัญชีแยกประเภททั่วไป
– การจัดทำงบการเงิน เช่น งบดุล งบกำไรขาดทุน งบกำไรสะสม
– อื่น ๆ

ดังนั้น ผู้ตรวจสอบจึงจำเป็นต้องปรับปรุงวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับวิธีการปฏิบัติงานขององค์กร ที่เปลี่ยนจากระบบ Manual เป็นระบบ Computer ที่ต้องเข้าใจหลักการบริหารความเสี่ยงทั่วทั้งองค์กร และคำนึงถึงเทคนิคการตรวจสอบ เช่น การใช้ TDM – Test Data Method ซึ่งเป็นการตรวจสอบ Through Computer ง่าย ๆ แบบหนึ่ง หรือใช้โปรแกรมอื่น ๆ เข้าช่วยในการตรวจสอบด้วย เป็นต้น

สิ่งที่ผู้ตรวจสอบต้องคำนึงถึง คือ
1. วัตถุประสงค์ในการตรวจสอบ
ผู้ตรวจสอบภายในและผู้สอบบัญชี เป็นกลุ่มบุคคลที่ทำหน้าที่ตรวจสอบการปฏิบัติงานและฐานะการเงินขององค์กร ผู้ตรวจสอบภายในจะเน้นความสำคัญของการตรวจสอบของการปฏิบัติงาน ในขณะที่ผู้สอบบัญชีให้ความสำคัญเกี่ยวกับการตรวจสอบระบบการบัญชีและงบการเงิน แต่อย่างไรก็ตามบุคคลทั้งสองกลุ่มก็มีวัตถุประสงค์ของการตรวจสอบเหมือนกัน คือ

1.1. ตรวจสอบเพื่อให้แน่ใจว่า ในองค์กรนั้นมีและใช้ระบบการควบคุมความเสี่ยงที่เหมาะสม
1.2. ตรวจสอบว่าการใช้ทรัพย์สินมีประสิทธิภาพหรือไม่
1.3. ตรวจสอบว่ามีการป้องกันรักษาทรัพย์สินขององค์กรอย่างเหมาะสมหรือไม่
1.4. ตรวจสอบว่าระบบการบันทึกข้อมูลและการจัดทำงบการเงิน ถูกต้องและเชื่อถือได้หรือไม่
1.5. ตรวจสอบว่าองค์กรนั้น มีระบบ IT Security และการควบคุมที่เกี่ยวข้องอย่างเหมาะสมหรือไม่ โดยเฉพาะอย่างยิ่งการปฏิบัติตาม Compliance ++

ในปัจจุบัน มีการนำคอมพิวเตอร์มาใช้งานด้านบัญชีและการจัดทำงบการเงิน รวมทั้งการบริหารและการวิเคราะห์กันอย่างแพร่หลายแทบทุกเรื่อง ก็มิได้ทำให้วัตถุประสงค์ในการตรวจสอบของผู้ตรวจสอบภายในและผู้สอบบัญชีเปลี่ยนแปลงไป แต่ที่เปลี่ยนแปลงไปอย่างชัดเจนก็คือ วิธีและเทคนิคที่ใช้ในการตรวจสอบ ซึ่งเป็นเรื่องสำคัญมาก

2. สาเหตุที่คอมพิวเตอร์ทำให้ผู้ตรวจสอบต้องเปลี่ยนแปลงวิธีและเทคนิคในการตรวจสอบ
การนำคอมพิวเตอร์มาใช้งานด้านการบัญชีขององค์กร ไม่ทำให้ระบบการบัญชีมาตรฐานที่ผู้ตรวจสอบส่วนใหญ่คุ้นเคยดีอยู่แล้วเปลี่ยนแปลงไป แต่สิ่งที่เปลี่ยนแปลงไปและมีผลต่องานตรวจสอบก็คือ

2.1. ลักษณะภายในและภายนอกของแฟ้มหรือทะเบียนที่ใช้บันทึกข้อมูลทางบัญชี
1) วิธีการนำข้อมูลไปบันทึก
2) วิธีการนำข้อมูลมาใช้
3) วิธีการนำข้อมูลไปประมวลผล

นอกจากนี้ เมื่อข้อมูลที่อยู่ใน File เปลี่ยนแปลง จะไม่มีร่องรอยการเปลี่ยนแปลงให้เห็น ดังเช่น วิธีการบันทึกบัญชีแบบเดิม จึงไม่สามารถตรวจสอบความถูกต้องของข้อมูลใน File ได้ โดยใช้วิธีและเทคนิคการตรวจสอบแบบธรรมดา

2.2. รอยทางสำหรับการตรวจสอบ (Audit Trails) เปลี่ยนแปลงไป ผู้ตรวจสอบไม่สามารถติดตามการเคลื่อนไหวของเอกสาร ตามวิธีการตรวจสอบแบบธรรมดาได้อีกต่อไป เพราะข้อมูลในเอกสารการบัญชีเบื้องต้น จะถูกแปลงสภาพเป็นรหัส หรือสัญญาณที่ผู้ตรวจสอบไม่สามารถอ่านเข้าใจได้ และเก็บไว้ในสื่อที่ไม่สามารถสัมผัส หรือมองเห็นด้วยตาเปล่าได้ ดังนั้น ผู้ตรวจสอบอาจจำเป็นต้องใช้วิธีอื่น และ/หรือโปรแกรมคอมพิวเตอร์ช่วยในการตรวจสอบ

2.3. การเปลี่ยนแปลงที่สำคัญคือ การเปลี่ยนแปลงวิธีปฏิบัติการด้านการบัญชีทั้งหมด ซึ่งแต่เดิมเป็นหน้าที่ของพนักงานบัญชี โดยเปลี่ยนมาใช้โปรแกรมคอมพิวเตอร์ทำหน้าที่แทน ซึ่งจะทำให้ลดขั้นตอนการปฏิบัติงาน และขจัดการควบคุมภายในแบบดั้งเดิมไปหมด ทำให้ผู้ตรวจสอบทางการเงินทั่วไป อาจประสบกับปัญหาที่ไม่อาจประเมินงานควบคุมภายในระบบคอมพิวเตอร์ได้ และทำให้มีปัญหาในการกำหนดขอบเขต และวิธีการตรวจสอบที่เหมาะสม
การมอบหมายให้คอมพิวเตอร์ทำหน้าที่แทนพนักงานบัญชี มีข้อที่ผู้ตรวจสอบควรพิจารณา 2 ประการคือ

1) บุคคลที่ได้รับมอบหมายให้ควบคุมระบบคอมพิวเตอร์ อาจจะมีความรู้ความเข้าใจระบบการบัญชีไม่เพียงพอและ
2) ไม่เข้าใจระบบการควบคุมและตรวจสอบระบบงานด้านคอมพิวเตอร์อย่างถ่องแท้

ปัจจัยทั้งสองประการจะมีผลทำให้ระบบคอมพิวเตอร์มีจุดอ่อนที่ง่ายต่อการผิดพลาด หรือที่ร้ายแรงก็คือ การทุจริต ดังนั้น หน้าที่ประการแรกของผู้ตรวจสอบ เมื่อเข้าไปตรวจสอบระบบคอมพิวเตอร์ คือ การประเมินระบบควบคุมภายในซึ่งเป็นงานสำคัญของ IT Auditor

3. ร่องรอยสำหรับการตรวจสอบในระบบคอมพิวเตอร์
ร่องรอยการตรวจสอบสำหรับระบบการประมวลข้อมูลที่ไม่ได้ใช้คอมพิวเตอร์ ได้แก่
3.1. เอกสารหรือข้อมูลเบื้องต้น เช่น พวก Slip และเอกสารประกอบรายการทางการเงินอื่น ๆ
3.2. สมุดรายวัน การ์ดบัญชี
3.3. สมุดบัญชีแยกประเภททั่วไป และทะเบียนต่าง ๆ
3.4. รายงานงบการเงิน

ร่อยรอยดังกล่าวจะช่วยให้ผู้ตรวจสอบ สามารถตรวจสอบย้อนกลับไปมาระหว่างจุดเริ่มต้นที่เกิดรายการทางการเงิน กับรายการสรุปผลทางการเงิน เพื่อให้แน่ใจว่ารายงานทางการเงินที่ได้นั้น สะท้อนให้เห็นธุรกรรมทางการเงินขององค์กรอย่างแท้จริง

เพื่อไม่ให้เกิดการเข้าใจผิด เราควรจะเรียกร่อยรอยนี้ว่า Management Trail มากกว่าจะเรียกว่า Audit Trail เพราะสิ่งนี้จะเป็นประโยชน์แก่ผู้บริหารงานประจำมากกว่าผู้สอบบัญชี โดยเฉพาะในกรณีที่แหล่งภายนอกต้องการข้อมูลบางอย่างเป็นพิเศษ

4. การกำหนดขอบเขตและวางแผนตรวจสอบและกระบวนการวางแผนโดยแผนภูมิ

ครั้งหน้าเราจะไปต่อกันถึงความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กัน โปรดติดตามต่อไปนะครับ

 

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

ครั้งที่แล้ว ท่านผู้อ่านก็คงได้ทราบถึงการเปลี่ยนแปลงของการตรวจสอบกันไปแล้วนะครับว่า ในอนาคตจะมีแน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบอย่างไร ตามที่กล่าวมาแล้วข้างต้นในครั้งก่อนสรุปได้ว่า พัฒนาการต่าง ๆ ทางด้านการควบคุมและตรวจสอบตามไม่ทันกับการเปลี่ยนแปลง ทำให้หน่วยงานที่รับผิดชอบประสบปัญหาทั้งด้านบุคลากร และวิธีการตรวจสอบ ในการแก้ไขปัญหานี้ หน่วยงานที่รับผิดชอบด้านการตรวจสอบ จำเป็นที่จะต้องคิดสร้างระบบวิธีการที่เป็นพื้นฐานสำหรับการตรวจสอบที่เข้าใจง่ายและชัดเจน สามารถใช้เป็นแนวทางการตรวจสอบของผู้ตรวจสอบได้ในระยะเริ่มแรก และผู้ตรวจสอบคนอื่น สามารถติดตามการเปลี่ยนแปลงของระบบงานในจุดที่ต้องการได้อย่างมีประสิทธิภาพ แน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบในอนาคตดังกล่าว จึงเป็นเหตุให้เราต้องพูดคุยกันถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้นในวันนี้กันครับ

แนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น
“TOTAL SYSTEMS APPROACH” เป็นระบบการตรวจสอบแบบหนึ่ง ที่เน้นการตรวจสอบในลักษณะ การทำความเข้าใจในผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Business Objective ทั้งระบบ นั่นคือ เป็นการตรวจที่ผู้ตรวจจะต้องเข้าใจระบบงาน ทั้งในส่วนที่ใช้คอมพิวเตอร์ในภาพโดยรวม ในลักษณะที่เป็น Holistic Framework ซึ่งมีการเชื่อมโยงระหว่าง Activities ต่อ Activities และระหว่าง Process กับ Process และระหว่าง Objective และ Objective ในมุมมองของ Interdependency Approaches นั่นคือ ทุก Activities และทุก Process และทุก Objective ถึงแม้จะมีความเป็นอิสระในการประมวลงานในแต่ละ Application หรือในแต่ละระบบงานอย่างอิสระ

แต่ทั้งหมดตามที่กล่าวนี้ ก็มีความสัมพันธ์ต่อกันอย่างแยกกันไม่ได้ เพื่อก้าวไปสู่ Business Process ในการบรรลุ Business Objective ตามมุมมองที่องค์กรต้องการ นี่คือที่มาของคำว่า Interdependency Approach โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบจะต้องเข้าใจที่จะต้องวางแผนการตรวจสอบ ทั้งในส่วนที่ไม่ใช้คอมพิวเตอร์หรือทั้งสองอย่างรวมกัน แทนที่จะแยกการตรวจสอบเป็นส่วน ๆ เช่น ตรวจสอบเฉพาะระบบ Manual เพียงอย่างเดียว ทั้งนี้ สามารถใช้กับผู้ตรวจสอบที่มีความรู้คอมพิวเตอร์เพียงเบื้องต้น แต่ผู้ตรวจสอบผู้นั้น ต้องเข้าใจระบบงานขององค์กรทั้งหมดโดยรวม ซึ่งจะช่วยให้ผู้ตรวจสอบเข้าใจระบบงานอย่างง่าย ๆ โดยการวิเคราะห์การควบคุมระบบงานเป็นขั้น ๆ เป็นวิธีการทำงานตามหลักโครงสร้าง จะช่วยให้การตรวจสอบเป็นไปอย่างมีประสิทธิภาพและเป็นระเบียบ และในที่สุด ผู้ตรวจสอบจะต้องกำหนดว่า จะวางแผนการตรวจสอบในเรื่องใด ส่วนใดของระบบงานโดยรวม (Total System Approach) เพื่อให้การกำหนดขอบเขตเป็นไปตามเป้าประสงค์ ในการวางแผนการตรวจสอบแต่ละครั้ง ในแต่ละเรื่องที่เกี่ยวข้อง โดยคำนึงถึงว่า

1. ในการตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบไม่สามารถตรวจสอบส่วนต่าง ๆ ของระบบแยกกันได้โดยอิสระ ในเมื่อต้องวิเคราะห์ถึงผลกระทบของการตรวจสอบส่วนนั้น ๆ ต่อส่วนอื่น ๆ ของระบบ โดยควรเข้าใจและคำนึงถึง Interdependency Approach ซึ่งจะเป็นเรื่องสำคัญมากในการบริหาร และการตรวจสอบยุคใหม่ เนื่องจากระบบงานที่ประมวลผลด้วยเครื่องคอมพิวเตอร์ เกี่ยวพันต่อเนื่องกันตลอดการใช้ข้อมูลชุดเดียวกัน ความเชื่อถือได้ของระบบงานหนึ่ง ๆ ขึ้นอยู่กับความแน่นอนและครบถ้วนของระบบงานก่อน ในลักษณะนี้ข้อผิดพลาดอันหนึ่งสามารถตกทอดไปอยู่ในระบบงานต่าง ๆ ก่อให้เกิดการทำงานผิดพลาดได้ เช่น การตรวจสอบระบบบัญชีเงินฝากกระแสรายวัน ผู้ตรวจสอบต้องพิจารณาถึงระบบเงินฝากอื่น ระบบการหักบัญชี และระบบบัญชี เป็นต้น หากเป็นสถาบันการเงิน

2. งานประมวลผลด้วยคอมพิวเตอร์เป็นเพียงส่วนหนึ่งของทั้งระบบงานเท่านั้น ทั้งระบบงานจะรวมทั้งส่วนที่ประมวลผลด้วยคนและเครื่อง ปัญหาหลายอย่างที่เกี่ยวกับการประมวลผล มักสืบเนื่องจากผู้วางระบบไม่สนใจระบบงานส่วนที่ยังเป็น Manual โดยถือข้อสมมุติฐานที่ว่าข้อมูลที่รับเข้าไปถูกต้อง และไม่สนใจถึงผลของข้อมูลที่ผลิตออกไปแล้วของระบบงานนั้น ๆ ว่าจะถูกนำไปใช้อย่างไร ผู้ตรวจสอบจึงต้องประเมินทั้งระบบ และไม่ละทิ้งงานส่วนที่เป็น Manual
อย่างไรก็ตาม การที่จะใช้วิธีการตรวจสอบดังกล่าว ผู้ตรวจสอบต้องยอมรับความคิดที่ว่า งานด้านคอมพิวเตอร์ไม่สามารถตรวจสอบได้ โดยไม่มีความเข้าใจผลกระทบต่าง ๆ ที่มีต่อระบบงานของกิจการนั้น ผู้ตรวจสอบจะต้องชี้แจงให้ผู้ที่เกี่ยวข้องในระบบต่าง ๆ ของกิจการ เห็นความจำเป็นในการสร้างระบบควบคุม ซึ่งควรจะเริ่มจากผู้บริหาร ที่จะกำหนดให้ใครรับผิดชอบการทำเอกสารเกี่ยวกับระบบควบคุม ในลักษณะสร้างมาตรฐาน หรือตัวแทนของการควบคุมที่ควรจะมีอยู่ในที่ต่าง ๆ ของกิจการนั้น ซึ่งผู้ตรวจสอบในระยะเริ่มแรกมักจะต้องเป็นผู้จัดทำ ซึ่งต้องใช้เวลามากเกินกว่าครึ่งหนึ่งของเวลาการตรวจสอบ แต่ก็เป็นงานสำคัญในการตรวจสอบ แทนที่จะมุ่งใช้เวลาตรวจสอบระบบการควบคุมที่กิจการกำลังใช้อยู่ โดยประมวลจากเอกสารและการสอบถาม แล้วประเมินไปตามความเห็นของผู้ตรวจสอบ โดยไม่คำนึงถึงความเห็นของผู้เกี่ยวข้องเช่นที่ปฏิบัติกันอยู่ในปัจจุบัน

ในระยะยาวมาตรฐานและการควบคุมต่าง ๆ จะต้องมีการพัฒนา และใช้โดยเจ้าของงาน เจ้าหน้าที่ IT และผู้บริหาร ซึ่งมีหน้าที่โดยตรง บทบาทของผู้ตรวจสอบก็ควรอยู่ในลักษณะกระตุ้นเตือนผู้บริหาร เจ้าของาน และเจ้าหน้าที่ IT เกี่ยวกับการควบคุมในจุดที่ต้องปรับปรุง และทำหน้าที่ตรวจและประเมินผลการควบคุมต่าง ๆ อย่างแท้จริงได้