Posts Tagged "IT Audit"

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

ในขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นนั้น ผมได้นำเสนอมาหลายตอนพอสมควร หากจะให้นำเสนอในรายละเอียดคิดว่าคงจะมีรายละเอียดให้ได้เล่าสูกันฟัง (อ่าน) อีกมากมาย ที่ได้นำเสนอไปก็อยากให้ผู้อ่านและผู้ตรวจสอบได้มองเห็นขั้นตอนและกระบวนการตรวจสอบ IT ในภาพรวมในเบื้องต้นเท่านั้น ส่วนในรายละเอียดคงจะได้นำเสนอในโอกาสต่อไป ๆ ครับ

สำหรับวันนี้ผมจะพูดถึงเรื่องของการจัดทำรายงานการตรวจสอบ หลังจากที่ได้มีการตรวจสอบ ผู้ตรวจสอบควรจัดทำรายงานการตรวจสอบ เพื่อนำเสนอต่อคณะกรรมการตรวจสอบ หรือผู้บริหารได้รับทราบ

การจัดทำรายงานการตรวจสอบ
การจัดทำรายงานหลังจากการตรวจสอบนั้น เป็นสิ่งที่จำเป็นเพราะ
1. เพื่อบันทึกสิ่งที่ตรวจพบและข้อสรุป ตลอดจนข้อเสนอแนะของผู้ตรวจสอบ
2. เพื่อใช้เป็นเอกสารขั้นต้นสำหรับการทำให้องค์กรนั้นสมบูรณ์ขึ้น
3. เพื่อใช้เป็นเอกสารอ้างอิงในภายภาคหน้า

ดังนั้น การเสนอรายงานเป็นเทคนิคที่สำคัญที่สุดอันหนึ่ง ที่ผู้ตรวจสอบต้องเอาใจใส่เป็นพิเศษ เพราะเป็นสื่อที่แสดงถึงการปฏิบัติงานของผู้ตรวจสอบทั้งหมด ผู้บริหารจะยกย่อง หรือไม่เห็นความสำคัญของผู้ตรวจสอบ ก็เนื่องจากรายงานที่เสนอไป ผู้ตรวจสอบจะต้องเสนอรายงานที่ถูกต้อง ให้ข้อมูลที่แท้จริง และประเมินผลจากข้อเท็จจริง ให้ข้อเสนอแนะที่มีเหตุผล การเสนอแนะนั้นจะต้องพิจารณาอย่างรอบคอบ ผู้ตรวจสอบจะต้องพิจารณาข้อเท็จจริง และให้เหตุผลได้สำหรับข้อเสนอแนะนั้น ๆ

การทำรายงานที่ดีจำเป็นต้องเขียนอย่างมีหลักเกณฑ์ สมเหตุสมผลและเป็นขั้นตอน ใช้คำที่ถูกต้อง รายงานต้องรัดกุม ชัดเจน และสมบูรณ์ รายงานที่ชัดเจนจะทำให้ผู้บริหารอ่านเข้าใจได้ตั้งแต่การอ่านครั้งแรก รายงานที่ถูกต้องจะต้องประกอบด้วยข้อมูลที่ถูกต้อง รายงานที่สมบูรณ์จะต้องประกอบด้วยข้อมูลที่จำเป็น และอยู่ในประเด็นที่เกี่ยวข้องเท่านั้น

การจัดทำรายงานที่ดี ควรประกอบด้วย
1. ความถูกต้อง
2. ความชัดเจน
3. ความกระทัดรัด
4. ข้อเสนอแนะ
5. ความทันกาล

1. ความถูกต้อง
รายงานการตรวจสอบมีความถูกต้อง ข้อความทุกประโยค ตัวเลขทุกตัว เอกสารอ้างอิงทุกชิด จะต้องมาจากหลักฐานที่น่าเชื่อถือ และผู้ตรวจสอบได้ทำการประเมินข้อมูลเหล่านั้นแล้ว ความถูกต้องที่กล่าวถึงในรายงานต้องรวมถึง การทราบถึง หรือสังเกตการณ์ จนกระทั่งทราบอย่างแน่ชัดว่าได้ข้อเท็จจริงแล้ว ถ้ารายงานเกี่ยวกับสิ่งใดแล้ว ย่อมหมายถึงว่าสิ่งนั้นผู้ตรวจสอบได้ทราบ และ/หรือได้ยอมรับแล้วเป็นสิ่งที่ตรงตามข้อเท็จจริง

2. ความชัดเจน
หมายถึง ความสามารถในการส่งข้อความ หรือความต้องการของผู้ตรวจสอบ หรือสิ่งที่ต้องการเสนอไปสู่ผู้อ่านรายงานให้เข้าใจเหมือนดังที่ตนตั้งใจ หากใช้ถ้อยคำที่คลุมเครือ อาจจะทำให้ผู้อ่านรายงานเกิดความเข้าใจแตกต่างจากที่เป็น ซึ่งอาจจะนำไปสู่การปรับปรุงแก้ไขในแนวทางที่แตกต่างกันไปจากเป้าหมายที่ตั้งใจ

ในเบื้องต้น ผู้ตรวจสอบต้องทำความเข้าใจในเรื่องที่จะสนอรายงานให้แจ่มแจ้งเสียก่อน หากไม่ทำความแจ่มแจ้งให้เกิดขึ้นแล้ว ก็คงยากที่จะเขียนรายงานได้อย่างชัดเจน ผู้ตรวจสอบต้องแน่ใจว่า เรื่องที่จะเขียนในรายงานนั้นมีอยู่แล้วอย่างเพียงพอหรือไม่ ควรที่จะหาข้อมูลเพิ่มเติมอีกหรือไม่

ความต่อเนื่อง หรือการจัดลำดับข้อความในรายงาน เป็นการช่วยให้รายงานนั้นเกิดความเด่นชัด หรือชัดเจนยิ่งขึ้น การสร้างความชัดเจนอาจจำเป็นต้องมีตารางตัวเลขประกอบไปด้วย เพื่อให้เกิดความเข้าใจดียิ่งขึ้น

3. ความกระทัดรัด
หมายถึง การตัดสิ่งฟุ่มเฟือย หรือไร้สาระออกจากรายงานการตรวจสอบ แต่ไม่ได้หมายถึงการเขียนรายงานสั้น รายงานจะยาวหรือสั้น ขึ้นอยู่กับสิ่งที่จะเสนอในรายงานนั้นมีมากน้อยเพียงใด ถึงแม้ว่าการตัดทอนจะมีมากน้อยเพียงใดก็ตาม ผู้ตรวจสอบยังคงต้องรักษาความต่อเนื่องของแนวความคิด เพื่อให้ผู้อ่านรับความคิดอย่างต่อเนื่อง

4. ข้อเสนอแนะ
การวิจารณ์ข้อบกพร่องโดยไม่มีการให้ข้อเสนอแนะ เป็นสิ่งที่ไม่ควรกระทำ ในทำนองเดียวกัน การวิจารณ์โดยปราศจากการเสนอแนะข้อยุติที่ชอบด้วยเหตุผล ก็ไม่เป็นการเหมาะสมเช่นกัน และจะทำให้รายงานไม่มีความหมาย เพื่อที่จะทำให้รายงานเป็นที่ยอมรับ การเสนอแนะเพื่อการปรับปรุงการปฏิบัติงาน แทนที่จะเป็นการตำหนิการปฏิบัติงาน จะทำให้รายงานมีคุณค่าขึ้น

5. ความทันกาล
หมายถึง การเสนอรายงานต้องกระทำภายในเวลาที่เหมาะสม เพราะต้องมีการนำรายงานไปดำเนินการต่อ การสั่งการของผู้บริหารต้องใช้ข้อมูลที่ดีและทันเวลา เพื่อให้เกิดการปรับปรุงแก้ไขได้ทันท่วงที

วิธีการจัดทำรายงานนั้น เป็นเรื่องของแต่ละบุคคล เป็นการยากที่จะวางรูปแบบ และวิธีการจัดทำรายงานตายตัวที่จะใช้ได้ในทุกกรณี รายงานที่ดีจะต้องมาจากเนื้อหา รูปแบบที่เป็นมาตรฐาน และจะต้องมีเอกลักษณ์ภายในตัวของมันเอง ผู้ตรวจสอบจำเป็นต้องคำนึงถึงจุดประสงค์ใหญ่ของรายงาน ซึ่งได้แก่ เพื่อนำการเปลี่ยนแปลงในองค์กร เพื่อนำไปสู่การปฏิบัติ และเพื่อใช้อ้างอิงได้ในภายหลัง รายงานที่เขียนขึ้นคร่าว ๆ ไม่ถูกต้อง หรือเขียนอย่างขอไปที จะไม่สามารถชักจูงให้ผู้อ่านยอมรับข้อสรุปนั้นได้ โดยเฉพาะอย่างยิ่งจะไม่นำไปสู่การนำข้อเสนอแนะไปใช้

ผู้ตรวจสอบจะต้องนำเสนอรายงานที่ตนคิดว่าถูกต้อง ถึงแม้ว่าข้อเสนอนั้นจะส่งผลออกมาในรูปแบบที่ไม่ทำความพอใจให้แก่ผู้บริหารก็ตาม บางครั้งเป็นสิ่งที่หลีกเลี่ยงไม่ได้ ข้อเสนอแนะขั้นสุดท้ายนั้น ไม่เป็นที่ยอมรับทั้งหมดของผู้บริหาร แต่อย่างไรก็ตาม เหตุการณ์นี้ไม่ควรจะเป็นเหตุให้ผู้ตรวจสอบถอนคำเสนอแนะที่ตนคิดว่าถูกต้อง

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

ยังพอจำกันได้ใช่ไหมครับ ในเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ที่แบ่งออกได้เป็น 2 ลักษณะ ก็คือ การควบคุมภายในทั่วไป(General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งครั้งที่แล้วผมได้กล่าวถึงการควบคุมภายในทั่วไป (General Controls) คงพอจะทำให้ท่านผู้อ่านมองเห็นภาพกว้างของการควบคุมภายในทั่วไปได้ชัดเจนและเข้าใจยิ่งขึ้น

สำหรับวันนี้ผมจะขอพูดถึงการควบคุมภายในเฉพาะงาน หรือ Application Controls ซึ่งเป็นการควบคุมภายในอีกลักษณะหนึ่งจากที่ได้กล่าวถึงในข้างต้น

2. การควบคุมภายในเฉพาะงาน (Application Controls)
การควบคุมภายในเฉพาะงาน คือ การควบคุมรายการข้อมูลในแต่ละระบบงานให้มีความถูกต้องและครบถ้วน โดยอาศัยทางเดินของข้อมูลเป็นแนวทางในการกำหนดขอบเขตการควบคุม ซึ่งส่วนใหญ่มี 6 ขั้นตอน ดังนี้

1) การควบคุมแหล่งกำเนิดรายการ ได้แก่
การควบคุมเกี่ยวกับงานจัดทำข้อมูลก่อนป้อนเข้าสู่ระบบคอมพิวเตอร์ ซึ่งส่วนใหญ่เป็นงานด้าน Manual และอาจมีบุคคลหลายฝ่ายเข้ามาเกี่ยวข้อง เริ่มตั้งแต่จุดเริ่มต้นของแหล่งกำเนิดรายการ การจัดทำเอกสาขั้นต้นประกอบรายการ การขอความเห็นชอบในการจัดทำรายการ การเตรียมข้อมูลนำเข้า การป้องกันข้อผิดพลาด การค้นหาข้อผิดพลาด และการแก้ไขข้อผิดพลาด

2) การควบคุมการทำรายการป้อนเข้าสู่ระบบงาน ได้แก่
การควบคุมการทำรายการป้อนเข้าสู่ระบบ ซึ่งอาจทำได้ 2 วิธี คือแบบ Remote Terminal Data Entry และแบบ Batch Data Entry โดยข้อมูลที่ป้อนเข้าสู่ระบบจะต้องถูกหลักเกณฑ์ในการทำรายการ นอกจากนี้ยังรวมถึงเรื่องที่เกี่ยวกับการกระทบยอดข้อมูลนำเข้าเพื่อพิสูจน์ความถูกต้อง การชี้แนะให้เห็นข้อผิดพลาดการทำรายการแก้ไขข้อผิดพลาด และการนำข้อมูลที่มีการแก้ไขข้อผิดพลาดป้อนเข้าสู่ระบบใหม่อีกครั้ง

3) การควบคุมการสื่อสารข้อมูล
เป็นการควบคุมข้อมูลและข่าวสาร ที่ผ่านระบบสื่อสารให้มีความถูกต้องและครบถ้วน ซึ่งจะต้องคำนึงถึง Hardware และ Software ที่ใช้ในการสื่อสารข้อมูลการมอบอำนาจ

4) การควบคุมการประมวลผลด้วยคอมพิวเตอร์ ได้แก่
การควบคุมการประมวลผลข้อมูลให้มีความแม่นยำ ถูกต้อง และครบถ้วนเป็นไปตามหลักเกณฑ์การใช้แฟ้มข้อมูล การชี้แนะให้เห็นข้อผิดพลาด และการรายงาน

5) การควบคุมการจัดเก็บข้อมูลไว้ในระบบ และการนำข้อมูลที่เก็บไว้ในระบบไปใช้งาน
เป็นการควบคุมที่เกี่ยวกับแฟ้มข้อมูล การตัดตอนข้อมูลเพื่อจัดเก็บหรือเลิกเก็บไว้ในแฟ้มข้อมูล การกำหนดสิทธิการใช้ข้อมูล การรักษาความปลอดภัย การแก้ไขข้อผิดพลาด การตระเตรียมแฟ้มข้อมูลชุดสำรอง ไว้ใช้ทดแทนการแก้ไขสถานการณ์ที่เลวร้ายให้กลับคืนสู่สภาพปกติ และการกำหนดอายุการจัดเก็บแฟ้มข้อมูล

6) การควบคุมผลลัพธ์ ได้แก่
การกระทบยอดข้อมูลนำเข้าและผลลัพธ์ เพื่อพิสูจน์ความถูกต้องด้วยระบบ Manual ซึ่งเป็นหน้าที่โดยตรงของหน่วยงานควบคุมคุณภาพข้อมูล และหน่วยงานผู้ใช้ข้อมูล การจัดส่งข้อมูลจากศูนย์คอมพิวเตอร์ให้หน่วยงานอื่น ความปลอดภัยในการจัดเก็บเอกสารสำคัญในศูนย์คอมพิวเตอร์และหน่วยงานผู้ใช้ข้อมูล และการกำหนดอายุการจัดเก็บข้อมูลที่ได้จากการประมวลผล

ขอทิ้งท้ายสำหรับวันนี้ด้วยแผนภาพ แนวทางในการกำหนดขอบเขตการควบคุมภายในเฉพาะด้าน และในครั้งหน้าผมจะมาเล่าถึงการจัดทำรายงานการตรวจสอบ โปรดติดตามต่อไปนะครับ

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

วันนี้เราจะมาพูดคุยกันต่อในเรื่องของขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อ ๆ ซึ่งครั้งที่แล้วผมได้กล่าวถึงหลักการสอบทานของการควบคุมภายในที่มีความสำคัญและจำเป็นต่อกระบวนการตรวจสอบ IT ที่ผู้ตรวจสอบ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุม และที่ผมจะพูดถึงในวันนี้จะเป็นเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ซึ่งจะแบ่งออกได้เป็น 2 ลักษณะ คือ การควบคุมภายในทั่วไป (General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งมีความสัมพันธ์กับองค์ประกอบที่สำคัญในการประมวลผลข้อมูล คือการดำเนินงานของศูนย์คอมพิวเตอร์ การพัฒนาระบบงาน และระบบงานและโปรแกรมที่ใช้เฉพาะงาน ดังรูป

1. การควบคุมภายในทั่วไป (General Controls)
การควบคุมภายในทั่วไป เป็นการควบคุมที่อาศัยนโยบาย และระเบียบปฏิบัติงาน เป็นหลักในการควบคุมกิจกรรมของหน่วยงานคอมพิวเตอร์

1.1. การควบคุมการดำเนินงานของศูนย์คอมพิวเตอร์
การควบคุมศูนย์คอมพิวเตอร์ เป็นการควบคุมเกี่ยวกับเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์และพนักงานด้านปฏิบัติการของศูนย์คอมพิวเตอร์ มีขอบเขตดังนี้

1) การจัดตารางปฏิบัติงาน การควบคุมข้อมูลนำเข้า และการควบคุมข้อมูลที่ได้จากการประมวลผล ได้แก่ การจัดตารางกำหนดเวลาปฏิบัติงาน การควบคุมการปฏิบัติงานข้อมูลที่นำเข้าประมวลผลและการควบคุมการใช้ข้อมูล เพื่อให้การจัดทำข้อมูลขั้นตอนต่อเนื่องแล้วเสร็จทันเวลา มีความถูกต้องครบถ้วนทุกรายการ และป้องกันข้อมูลที่เป็นความลับรั่วไหลไปสู่ภายนอก

2) การควบคุมการจัดเก็บแฟ้มข้อมูลและโปรแกรม เช่น เทป และจานแม่เหล็ก เป็นต้น ให้ปลอดภัยและเพียงพอในการประมวลผล

3) การรายงานเหตุขัดข้องและการซ่อมบำรุงเพื่อป้องกันความเสียหาย จะช่วยให้ทราบถึงสภาพของเครื่องจักรและโปรแกรมจัดระบบการทำงานของเครื่องคอมพิวเตอร์ และการดำเนินการให้เครื่องจักรและโปรแกรมดังกล่าวอยู่ในสภาพสมบูรณ์ สามารถตรวจสอบข้อผิดพลาดหรือบกพร่องในระบบด้วยตนเอง ซึ่งอาจตรวจไม่พบ หากมีส่วนประกอบชำรุดเสียหายซุกซ่อนอยู่ ไม่ปรากฏอาการที่เห็นได้ชัดเจน

4) การควบคุมสภาพแวดล้อมและการรักษาความปลอดภัยทรัพย์สินของศูนย์คอมพิวเตอร์ ได้แก่ การควบคุมการใช้ทรัพย์สิน การป้องกันทรัพย์สินเสียหายและการจัดเตรียมระบบสำรอง ไว้ให้ทดแทน

5) การแบ่งแยกหน้าที่ ได้แก่ การแบ่งแยกหน้าที่ในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลเพื่อให้การปฏิบัติงานไม่ซ้ำซ้อนกัน และป้องกันความเสียหายที่อาจเกิดขึ้นจากการใช้เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ และแฟ้มข้อมูลเนื่องจากมีการปฏิบัติไม่ชอบ

6) การกำกับ ได้แก่ การควบคุมดูแลให้มีการปฏิบัติตามระเบียบหรือหน้าที่อย่างเคร่งครัด หากมีการปฏิบัติที่ผิดแตกต่างจากระเบียบแผนที่เคยถือปฏิบัติ จะต้องมีเอกสารหลักฐานรายงานให้ทราบทุกครั้ง

7) การวางแผนทรัพยากร เป็นการวางแผนและประเมินสถานะของทรัพยากรในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลทั้งปัจจุบันและอนาคต เพื่อให้มีทรัพยากรเพียงพอต่อการดำเนินงาน ทรัพยากรเหล่านี้ได้แก่ เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ โปรแกรมและบุคลากร

8) การคำนวณค่าบริการคอมพิวเตอร์จากผู้ใช้ข้อมูล เป็นการคำนวณเพื่อประโยชน์ในการควบคุมทางการบริหาร นอกจากนี้ กรณีกิจการไม่มีคอมพิวเตอร์เป็นของตนเอง ควรคำนึงถึงการจัดทำสัญญาใช้บริการและระเบียบปฏิบัติที่ใช้ควบคุมการชำระค่าบริการด้วย

9) การตระเตรียมวิธีการปรับปรุงแก้ไขระบบคอมพิวเตอร์ที่ได้รับความเสียหายให้ปฏิบัติงานได้ตามปกติ วิธีการที่นำมาใช้ต้องสามารถแก้ไขสถานการณ์ที่เลวร้ายได้รวดเร็ว และป้องกันธุรกิจหยุดชะงักได้แน่นอน

1.2. การควบคุมการพัฒนาระบบงาน
การควบคุมภายในเฉพาะงานที่สร้างไว้ภายในระบบงานคอมพิวเตอร์จะรัดกุมและเหมาะสมเพียงใด ขึ้นอยู่กับความรู้ความชำนาญหรือประสบการณ์ของการออกแบบระบบงานเป็นสำคัญ ในปัจจุบันการถ่ายทอดวิทยาการเกี่ยวกับการควบคุมเฉพาะงานค่อนข้างเชื่องช้า มีค่าใช้จ่ายสูง ต้องอาศัยความร่วมมือจากผู้ที่เกี่ยวข้องหลายฝ่าย และไม่สามารถนำวิธีการควบคุมภายในที่ใช้กับระบบงานใดระบบงานหนึ่งไปใช้กับระบบงานอื่นได้ จึงจำเป็นต้องอาศัยการควบคุมการพัฒนาระบบงานช่วยแก้ปัญหาที่กล่าวข้างต้น เพื่อ
– ควบคุมค่าใช้จ่ายและรายะเวลาที่ใช้ในการพัฒนาระบบงาน
– ช่วยให้แน่ใจว่าการควบคุมภายในเฉพาะงานที่สร้างไว้ในระบบ มีความรัดกุมและเหมาะสม
– ช่วยให้แน่ใจว่ามีการทดสอบการควบคุมภายในเฉพาะงาน ด้วยวิธีการที่เหมาะสมก่อนนำไปใช้ข้างหน้า

การควบคุมการพัฒนาระบบงานมีขอบเขตดังนี้
1) System Development Life Cycle (SDLC) ได้แก่ การแบ่งงานพัฒนาระบบออกเป็นขั้นตอนต่าง ๆ หลายขั้นตอน เพื่อความสะดวกในการกำหนดจุดที่จะจัดการควบคุม ซึ่งนอกจากจะช่วยให้ฝ่ายบริหารมีเครื่องมือในการควบคุมค่าใช้จ่ายและระยะเวลาในการพัฒนาระบบงานแล้ว ยังช่วยทำให้เกิดช่องทางในการติดต่อประสานงานกับผู้ใช้ข้อมูล ผู้ตรวจสอบ พนักงานวางแผนจัดหาเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์มาใช้งานพนักงานที่รับผิดชอบในการพัฒนาระบบและพนักงานชั้นบริหาร

2) การบริหารโครงการ ได้แก่ การใช้เทคนิคในการวัดความก้าวหน้าของโครงการในแต่ละขั้นตอน เป็นหลักในการควบคุมเพื่อ
– ให้ทราบว่าผู้ใช้ข้อมูลให้ความเห็นชอบผลงานที่อยู่ในระหว่างการพัฒนาถึงขั้นตอนใดแล้ว
– เปรียบเทียบค่าใช้จ่ายที่เกิดขึ้นจริงกับค่าใช้จ่ายตามงบประมาณ และเปรียบเทียบระยะเวลาที่ปฏิบัติงานจริง กับระยะเวลาที่กำหนดไว้ล่วงหน้า
– เสนอรายงานสถานะของโครงการให้ผู้บริหารระดับสูงได้ทราบทุกระยะ

3) การกำหนดมาตรฐานหรือระเบียบปฏิบัติในการเขียนโปรแกรม เพื่อเป็นแนวทางปฏิบัติงานของผู้เขียนโปรแกรม ปัจจุบันนิยมใช้เทคนิคการเขียนโปรแกรมโครงสร้าง ช่วยลดความซ้ำซ้อนของงานเขียนโปรแกรม และเพื่อให้ผู้อื่นที่จะมาใช้โปรแกรมในภายหลังหรือผู้ที่จะมาปฏิบัติงานแทนผู้เขียนโปรแกรม ตั้งแต่เริ่มแรกสามารถทำความเข้าใจ และทำงานต่อไปได้

4) การทดสอบเพื่อตรวจรับระบบงาน คือ การทดสอบระบบงานและโปรแกรมก่อนนำไปใช้งานจริง เพื่อให้แน่ใจว่าระบบงานและโปรแกรมสามารถทำงานได้ตามประสงค์ของผู้ใช้ข้อมูลและสอดคล้องกับระเบียบปฏิบัติในการประมวลข้อมูลของศูนย์คอมพิวเตอร์

5) การควบคุมการแก้ไขโปรแกรม ได้แก่ การกำหนดระเบียบปฏิบัติในการปรับปรุงแก้ไข Application Program และ Operating Systems โดยจัดให้มีเอกสารหลักฐานและการขอความเห็นชอบในการแก้ไขโปรแกรม เพื่อป้องกันการปฏิบัติไม่ชอบ

6) การจัดทำเอกสารสนับสนุนการปฏิบัติงาน ซึ่งได้แก่ เอกสารที่อธิบายลักษณะการทำงานของระบบงานโดยละเอียด เพื่อให้ผู้อื่นที่ไม่ได้มีส่วนเกี่ยวข้องกับการพัฒนาระบบงาน เช่น ผู้ใช้ข้อมูล ผู้ตรวจสอบและพนักงานปฏิบัติการประมวลผล เป็นต้น สามารถทำความเข้าใจและประเมินผลได้

7) การบริหารงานฐานข้อมูล กรณีที่มีการนำระบบฐานข้อมูลมาใช้เพื่อให้ระบบต่าง ๆ สามารถใช้ข้อมูลร่วมกันและช่วยลดความซ้ำซ้อนในการจัดเก็บข้อมูลจะมีผลกระทบต่อการจัดองค์กรของศูนย์คอมพิวเตอร์ และการพัฒนาระบบงาน ซึ่งจำเป็นต้องปรับปรุงการควบคุมให้เหมาะสมด้วย

เรื่องที่นำเสนอไปในข้างต้นนี้นั้น เป็นส่วนของการควบคุมภายในทั่วไป (General Controls) ที่กล่าวโดยย่อ ๆ ในภาพกว้าง ๆ เท่านั้น ส่วนในรายละเอียดไว้ผมจะนำเสนอในโอกาสต่อ ๆ ไปครับ ในครั้งหน้าผมจะพูดถึงการควบคุมภายใน ในอีกลักษณะหนึ่งที่เรียกว่าเป็นการควบคุมภายในเฉพาะงาน หรือ Application Controls โปรดติดตามกันต่อไปนะครับ

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

ในครั้งก่อน ท่านผู้อ่านก็ได้ทราบถึงประเภทของการตรวจสอบด้านคอมพิวเตอร์กันแล้วนะครับ ว่าได้มีการจัดแบ่งประเภทเป็นการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ หรือเรียกว่า General Control ซึ่งเป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ส่วนใหญ่เป็นการตรวจสอบเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง ส่วนอีกประเภทหนึ่งก็คือ Application Controls ซึ่งเป็นการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ในการประมวลผล

สำหรับวันนี้ผมจะขอนำเสนอแผนภาพการตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ (Application Audit) ซึ่งอาจจะเคยได้นำเสนอไปแล้ว ก็ถือเป็นการทบทวนเพื่อให้เกิดความเข้าใจที่ต่อเนื่องและเห็นภาพขั้นตอนของกระบวนการตรวจสอบ IT ในเบื้องต้นที่ชัดเจนยิ่งขึ้นนะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

หลักการสอบทานการควบคุมภายในที่สำคัญ
แม้ว่าในการนำคอมพิวเตอร์มาใช้ จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบแต่ลักษณะการประเมินการควบคุมภายในและวิธีการตรวจสอบจะเปลี่ยนแปลงไป

ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนในการประมวลผลข้อมูล ย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้น การใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี ดังนั้นจึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทน ด้วยเหตุผล 3 ประการ คือ

1. ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ ช่วยให้มั่นใจได้ว่าการประมวลผลจะมีความสม่ำเสมอด้วย

2. การตรวจสอบที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ ในลักษณะของการทำ Substantive Test นั้นทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมาก และหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ

3. ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์

ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ที่ดีในการประเมินผลการตรวจสอบได้อีกด้วย

ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้อย่างมีประสิทธิผล ทักษะทาง IT ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้วต้องมีทักษะทาง IT ที่เหมาะสมและเพียงพอแก่การปฏิบัติหน้าที่ นอกจากนี้ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้

ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วจำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้าน IT และผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT เอง ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมด้วย

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

จากครั้งที่แล้วที่ผมได้พูดคุยถึงขั้นตอนของการตรวจสอบ และได้เล่าถึงประวัติของการตรวจสอบ เพื่อเป็นเกร็ดความรู้เล็ก ๆ น้อย ๆ ให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบ อย่างในหลักการและเทคนิคการตรวจสอบเช่น TDM – Test Data Method ที่แม้ว่าเวลาจะล่วงเลยมาจนถึงปัจจุบันแล้ว แต่ก็ยังเป็นเทคนิคที่ใช้ในการปฏิบัติงานได้เป็นอย่างดี ซึ่งผมจะได้นำเสนอในรายละเอียดของวิธี Test Data Method ภายหลังจากที่เราได้พูดคุยกันถึงขั้นตอนและกระบวนการตรวจสอบในเบื้องต้น เพื่อให้เข้าใจและเห็นภาพของกระบวนการตรวจสอบที่ชัดเจนยิ่งขึ้น ก่อนที่จะดำเนินการตรวจสอบตามกระบวนการตรวจสอบโดยเทคนิคและวิธีการต่าง ๆ ต่อไป

สำหรับวันนี้เรามาดูกันว่า ในขั้นตอนและกระบวนการตรวจสอบในเบื้องต้นนั้น มีการจัดประเภทของการตรวจสอบด้านคอมพิวเตอร์เอาไว้อย่างไร

การตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2 ประเภท คือ การตรวจสอบกิจกรรม หรือการดำเนินงานของหน่วยงานคอมพิวเตอร์ และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล

1. การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ (General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ซึ่งส่วนใหญ่เป็นเรื่องเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง มีหัวข้อการตรวจสอบดังนี้

1.1. การตรวจสอบภายในและการสอบบัญชี เป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชี ซึ่งได้รับมอบหมายจากฝ่ายบริหาร และผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบ มีขอบเขตการปฏิบัติงานครอบคลุมในเรื่องต่าง ๆ เพียงพอหรือไม่ และเชื่อถือได้เพียงใด

1.2. การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์ ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน

1.3. การพัฒนาระบบงานและโปรแกรม เป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม การแก้ไขระบบงานและโปรแกรม และความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน

1.4. การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูล และการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้อง ครบถ้วนและเชื่อถือได้เพียงใด

1.5. การปฏิบัติงานคอมพิวเตอร์ เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์ การจัดเก็บแฟ้มข้อมูล การรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน

1.6. การสื่อสารข้อมูล (กรณีใช้ Hardware และ/หรือ Software ร่วมกันหลายระบบงาน) เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร

1.7. การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการ กรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง ควรมีการตรวจสอบสัญญาการใช้บริการ การคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์ นอกเหนือจากการตรวจสอบตามหัวข้อที่กล่าวมาแล้วด้วย เพื่อป้องกันธุรกิจที่จำเป็นต้องใช้ข้อมูลที่ประมวลผลด้วยคอมพิวเตอร์ต้องหยุดชะงัก หากศูนย์คอมพิวเตอร์ไม่สามารถให้บริการได้ตามปกติด้วยเหตุใดก็ตาม

2. การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (Application Controls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงาน ซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบ ในแต่ละระบบมากกว่าการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ มีหัวข้อการตรวจสอบดังนี้

2.1. แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ
– การจัดทำเอกสารขั้นต้น หรือเอกสารประกอบรายการ
– การอนุมัติรายการ
– การเตรียมข้อมูลนำเข้า
– การเก็บรักษาเอกสารขั้นต้น
– การแก้ไขเอกสารที่มีข้อผิดพลาด

2.2. การทำรายการป้อนเข้าสู่ระบบงาน เป็นการตรวจสอบ
– การทำรายการป้อนข้อมูลเข้าสู่ระบบงาน ซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry
– หลักเกณฑ์ที่ใช้ในการควบคุมการทำรายการ เพื่อให้ได้ข้อมูลที่ถูกต้องและครบถ้วน
– การแก้ไขข้อผิดพลาดในการทำรายการป้อนเข้าสู่ระบบงาน

2.3. การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ซึ่งประกอบด้วย
– การใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน
– การเคลื่อนย้ายข้อมูลในระบบสื่อสาร ซึ่งต้องอาศัย Hardware และ Software ควบคุมการเคลื่อนย้ายข้อมูล
– การบันทึกรายละเอียดในการติดต่อสื่อสารระหว่างเครื่อง Terminal กับ CPU ไว้ที่ศูนย์คอมพิวเตอร์

2.4. การประมวลผล ได้แก่ การตรวจสอบ
– ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือได้เพียงใด
– การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง
– ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล
– การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล
– การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล

2.5. การเก็บรักษาข้อมูลและการนำข้อมูลไปใช้งาน เป็นการตรวจสอบ
– การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล
– การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล
– การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล

2.6. ผลลัพธ์ที่ได้จากการประมวลผล เป็นการตรวจสอบ
– การกระทบยอดข้อมูล
– การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล
– การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน
– การเก็บรักษาข้อมูลที่ได้จากการประมวลผล
– การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด

ในครั้งหน้าผมจะมานำเสนอกระบวนการตรวจสอบ ที่ได้จัดทำในรูปแบบของแผนภาพ พร้อมอธิบายถึงรายละเอียดของกระบวนการตรวจสอบและขั้นตอนของการตรวจสอบต่อไป โปรดติดตามนะครับ

 

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ

สำหรับผู้ตรวจสอบที่มีความรู้พื้นฐานการตรวจสอบด้าน IT จำกัด ให้ใช้แนวและกระบวนการตรวจสอบ IT ที่เป็นพื้นฐานเบื้องต้น โดยมีกรอบย่อ ๆ ในการปฏิบัติ ดังนี้ สำหรับผู้ที่มีความรู้ทางด้านการตรวจสอบ และมีขอบเขต รวมทั้งกำหนดเป้าหมายการตรวจสอบเชิงลึก ในระบบงานสำคัญ ๆ เพื่อให้แน่ใจถึงความถูกต้อง ตั้งแต่ Input – Process – Output รวมทั้งผู้ตรวจสอบทางด้านการเงิน และการดำเนินงาน และการปฏิบัติตามกฎหมายกฎเกณฑ์ สำหรับผู้ตรวจสอบที่เป็น Non – IT Auditors นั้น ก็อาจใช้แนวทางดังต่อไปนี้ได้เช่นกัน เนื่องจากผมกำลังเล่าถึงแนวทางการปฏิบัติที่เป็นพื้นฐานที่ง่ายและสะดวกที่สุด สำหรับผู้ตรวจสอบทั้ง 2 ประเภท ก่อนที่จะลงในรายละเอียดต่อไป

ขั้นตอนการตรวจสอบ

อาจแบ่งขั้นตอนการตรวจสอบเป็น 3 ขั้นตอนใหญ่ ๆ ได้ดังนี้
ขั้นตอนที่ 1 การวิเคราะห์ความเพียงพอของการควบคุมภายใน
โดยการตั้งวัตถุประสงค์การตรวจสอบ ขอบเขตการตรวจสอบ และการวางแผนการตรวจสอบ แล้วรวบรวมข้อมูลเบื้องต้นที่เกี่ยวข้องกับการตรวจสอบ เพื่อประเมินความน่าเชื่อถือได้ของการดำเนินงานและการควบคุมภายในแบบ Total System Approach คือ ดูทั้งส่วนที่เป็น Manual และ Computer จากนั้นก็กำหนดแนวการตรวจสอบขั้นตอนต่อไป

ในขั้นตอนนี้ ผู้ตรวจสอบควรประเมินและวิเคราะห์ความเสี่ยงในแต่ละรายงานและในแต่ละกิจกรรมของงานที่ตรวจสอบ วิธีที่ดีที่สุดคือ การตั้งคำถามว่า “มีอะไรที่จะก่อให้เกิดข้อผิดพลาดขึ้นได้” ระบุจุดที่การควบคุมเพื่อลดความเสี่ยง ในแต่ละกิจกรรม (Activities) ในแต่ละกระบวนการ (Process) เพื่อก้าวสู่ Business Objective อันจะก่อให้เกิดความเสียหายหรือความไม่ถูกต้อง หรือมีจุดเปิดของความผิดพลาด และจุดอ่อนบางประการที่มีนัยสำคัญต่อ Input – Process – Output ที่อยู่ในขอบเขตของการตรวจสอบ

เทคนิคที่ใช้วิเคราะห์ก็คือ การสัมภาษณ์ การใช้แบบสอบถาม การวิเคราะห์ Flowchart

ขั้นตอนที่ 2 ทดสอบการปฏิบัติงานตามระเบียบ หรือ Logic ที่ได้กำหนดไว้
เมื่อผู้ตรวจสอบได้ทำการระบุจุดที่ควรมีการควบคุมในความเสี่ยงแต่ละจุดแล้ว ก็ต้องประเมินว่า การควบคุมนั้นน่าเชื่อถือหรือไม่ ถ้าเชื่อถือได้ก็จะได้ทำการทดสอบการปฏิบัติงานที่เกี่ยวข้องกับการควบคุมภายใน เพื่อประเมินจุดอ่อน หรือข้อผิดพลาดที่อาจพึงมี และมีนัยสำคัญต่อไป โดยเฉพาะอย่างยิ่ง ข้อผิดพลาดที่อาจเกี่ยวข้องกับข้อมูลทางการ ซึ่งอาจต้องทำการทดสอบต่อไป ขั้นตอนนี้ ยังมีการรวบรวมรายละเอียดเพื่อการตรวจสอบเพิ่มเติมด้วย
เทคนิคที่ใช้ในการตรวจสอบขั้นนี้ก็คือ การสังเกตการณ์ การทำ Test Data หรือ Manual Trading

ขั้นตอนที่ 3 ทดสอบข้อมูลทางการเงิน
เช่น ยอดคงเหลือ รายการทางบัญชีต่าง ๆ และยอดรวมของบัญชีในงบการเงิน รวมทั้งความผิดปกติต่าง ๆ ทั้งด้าน Input – Process – Output และกระบวนการนำรายงานไปใช้งานในการตัดสินใจ โดยคำนึงถึงนโยบาย กลยุทธ์ ที่ถ่ายทอดไปสู่เป้าประสงค์ตามหลักการของ Information Technology Balance Scorecard และ Business Balance Scorecard ด้วยวิธีการที่เหมาะสม แล้วทำรายงานการตรวจสอบ

ขั้นตอนย่อยในการตรวจสอบจาก 3 ขั้นตอนใหญ่ ๆ ข้างต้นอาจใช้การตรวจสอบแบบ Around หรือ Through The Computer

การตรวจสอบ
1. การตรวจสอบแบบ Around/Through The Computer
การตรวจสอบคอมพิวเตอร์ในระยะเริ่มแรกเป็นการตรวจสอบแบบ “Auditing Around The Computer” เพื่อสอบทานความถูกต้องของข้อมูลที่ปรากฏในรายงานคอมพิวเตอร์ คล้ายกับการตรวจสอบสมุดทะเบียนบัญชีแยกประเภทและเอกสารที่เกี่ยวข้องในระบบเดิมที่ใช้พนักงานบันทึกรายการ ดังรูป

ในปี ค.ศ. 1966 (ผ่านมาแล้วหลายปีหน่อยนะครับ) คณะทำงานพิเศษ Audit EDP Task Force ของ The American Institute of Certified Public Accountants (AICPA) ขอให้ใช้คำอื่น ๆ เช่น “Auditing Without Using The Computer” แทนคำ “Auditing Around The Computer” เพราะอาจทำให้ผู้ตรวจสอบเกิดความเข้าใจที่คลาดเคลื่อนว่า ไม่จำเป็นต้อประเมินผลการควบคุมภายในด้านคอมพิวเตอร์ก็ได้ หากผู้ตรวจสอบได้ดำเนินการติดตามความเคลื่อนไหวของรายการที่ปรากฏในรายงานคอมพิวเตอร์ เพื่อพิสูจน์ความถูกต้องของข้อมูล

สำหรับการตรวจสอบแบบ “Auditing Through The Computer” หรือ Computer Assisted Audit Techniques” มีความหมายชัดเจนอยู่ในตัวแล้ว แต่อย่างไรก็ดี คำ “Auditing Around/Through The Computer” ได้มีความสำคัญลดน้อยลง เมื่อสถาบันที่ทำหน้าที่ควบคุมการประกอบวิชาชีพสอบบัญชีหลายประเทศได้กำหนดมาตรฐานตรวจสอบคอมพิวเตอร์ให้ผู้ตรวจสอบถือปฏิบัติ

2. มาตรฐานการตรวจสอบ
มาตรฐานการตรวจสอบคอมพิวเตอร์ที่ควรทราบ มีดังนี้
ประเทศสหรัฐอเมริกา
เมื่อเดือนธันวาคม ค.ศ. 1974 AICPA ได้ออก Statement of Auditing Standard No. 3 (SAS#3) มี 3 ประเด็นสำคัญสรุปได้ดังนี้
1) กรณีที่มีการใช้คอมพิวเตอร์กับงานบัญชีที่มีนัยสำคัญ ผู้ตรวจสอบควรสอบทานระบบเพื่อทำความเข้าใจในเรื่องต่อไปนี้
1.1) ทางเดินของรายการบัญชี
1.2) ขอบเขตการใช้คอมพิวเตอร์
1.3) โครงสร้างพื้นฐานของการควบคุมภายใน
2) กรณีงานคอมพิวเตอร์มีความสลับซับซ้อน จะต้องมีผู้เชี่ยวชาญร่วมงานตรวจสอบด้วย
3) การใช้คอมพิวเตอร์ไม่มีผลกระทบต่อการควบคุมทางบัญชี แต่อาจมีผลกระทบต่อองค์กรและวิธีการที่จะทำให้บรรลุเป้าหมายในการควบคุม ซึ่งมีอิทธิพลต่อวิธีการตรวจสอบ

ประเทศแคนาดา
The Canadian Institute of Chartered Accountants (CICA) ได้ออก Guideline : Auditing in an Electronic Data Processing Environment เมื่อเดือนสิงหาคม ค.ศ. 1981 เพิ่มเติมจาก Computer Control Guidelines และ Computer Audit Guidelines ซึ่งออกในปี ค.ศ. 1970 และปี ค.ศ. 1974 ตามลำดับ สาระสำคัญสรุปได้ดังนี้
1) กรณีใช้ผู้เชี่ยวชาญคอมพิวเตอร์ ผู้ตรวจสอบต้องมีความรู้ด้านคอมพิวเตอร์ เพื่อควบคุมการปฏิบัติงานของผู้เชี่ยวชาญให้เหมาะสม
2) ผู้ตรวจสอบต้องประเมินความเพียงพอเกี่ยวกับความรู้ด้านคอมพิวเตอร์ของตนเอง
3) ควรพิจารณาหรือศึกษาระบบทั้งด้าน Manual และด้านคอมพิวเตอร์พร้อม ๆ กับการพัฒนาวิธีการตรวจสอบ แต่ผู้ตรวจสอบไม่จำเป็นต้องตรวจสอบระบบโดยละเอียด หากพิจารณาในขั้นต้นแล้วเห็นว่าเป็นระบบที่เชื่อถือไม่ได้
4) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในทั่วไป และ Operating System ด้านคอมพิวเตอร์
5) กรณีใช้คอมพิวเตอร์ช่วยตรวจสอบต้องจัดให้มีการควบคุมอย่างเพียงพอ เพื่อให้ได้ผลลัพธ์ครบถ้วนและเป็นไปตามวัตถุประสงค์ในการตรวจสอบ
6) ผู้ตรวจสอบควรมีส่วนร่วมในการพัฒนาระบบงานด้วย

สหราชอาณาจักร (United Kingdom)
Auditing Practices Committee Exposure Draft : Internal Controls in Computer – Based Accounting System ออกเมื่อเดือนพฤษภาคม ค.ศ. 1982 มีสาระสำคัญสรุปได้ดังนี้
1) ผู้ตรวจสอบไม่จำเป็นต้องเข้าใจระบบโดยละเอียด เว้นแต่จะมีแผนการตรวจสอบเพื่อให้ความเชื่อถือต่อระบบงานนั้น
2) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในเฉพาะงาน และการควบคุมภายในทั่วไป
3) ผู้ตรวจสอบสามารถใช้คอมพิวเตอร์ช่วยตรวจสอบเพื่อที่จะได้หลักฐานการปฏิบัติงานที่อยู่ภายใต้การควบคุมภายในเฉพาะงาน
4) ผู้ตรวจสอบควรรู้จักวิธีปฏิบัติในการตรวจสอบคอมพิวเตอร์ไว้หลาย ๆ วิธี

ประเทศไทย
คณะกรรมการควบคุมการประกอบวิชาชีพสอบบัญชี (ก.บ.ช.) และสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย ได้ประกาศใช้มาตรฐานการสอบบัญชี ฉบับที่ 28 และ 29 เรื่อง “การสอบบัญชีในกรณีที่ธุรกิจใช้คอมพิวเตอร์” และเรื่อง “การประเมินประสิทธิภาพการควบคุมภายในกรณีกิจการใช้คอมพิวเตอร์” ซึ่งมีรายละเอียดค่อนข้างมากและได้มีผลบังคับใช้แล้ว ตั้งแต่เดือนมิถุนายน 2533 เป็นต้น

ผมเล่าประวัติศาสตร์ค่อนข้างยาวพอสมควร เพื่อให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบที่แม้ว่าเวลาจะผ่านมาเนิ่นนานพอสมควร หลักการและเทคนิคการตรวจสอบบางอย่าง เช่น TDM – Test Data Method ก็ยังใช้ในการปฏิบัติงานได้ดี ประหยัด เทคนิคไม่ซ้ำซ้อน และไม่ต้องใช้โปรแกรมหรือเครื่องมือใด ๆ นอกจากผู้ตรวจสอบจะต้องเข้าใจหลักตรรกะ (Logic) ของการประมวลงานที่ใช้โปรแกรมเข้าช่วยในการประเมินผลพอสมควร ซึ่งจะได้กล่าวต่อไปนะครับ

 

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

ท่านผู้ตรวจสอบ และท่านผู้อ่านที่ติดตามการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ก็คงได้ทราบกันไปแล้ว ถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึง รวมถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทัน และเตรียมพร้อมรับมือกับระบบงานยุคใหม่และการเปลี่ยนแปลงที่เกิดขึ้น ซึ่งก็เป็นแนวทางในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางประการ ในบางมุมมองเท่านั้นนะครับ

สำหรับในวันนี้ ผมมีแนวความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์มาเล่าสู่กันฟัง และอยากให้ท่านผู้ตรวจสอบ และผู้อ่านทุกท่านได้นำไปพินิจพิจารณากันดูครับ

1. คอมพิวเตอร์กับผลของการประเมินการควบคุมภายใน
– อาจไม่มีผลประการใด ๆ
– อาจมีผลกระทบเล็กน้อย
– อาจมีผลกระทบอย่างสำคัญ

ผู้บริหารขององค์กรต้องกำหนดให้มีการวางกฏเกณฑ์ในการควบคุมภายในอย่างมีประสิทธิภาพ เช่น การกำหนดอำนาจและการแบ่งแยกหน้าที่ การกำหนดให้มีเอกสารและการบันทึกบัญชีที่สมบูรณ์ ถูกต้อง ทันกาล ฯลฯ

2. ความรับผิดชอบของผู้บริหารต่อการควบคุมและการตรวจสอบ
มีผู้เกี่ยวข้อง 3 กลุ่มในการวางแผนการปฏิบัติงานและการควบคุม คือ
2.1. คณะกรรมการบริหารและ Audit Committee
2.2. ผู้ดำเนินงาน และ
2.3. ผู้สอบบัญชีภายใน หรืออาจมีผู้สอบบัญชีภายนอกร่วมด้วยก็ได้

3. บทบาทของคณะกรรมการบริหาร
วางแผนและจัดให้มีการควบคุมภายในของระบบงานต่าง ๆ ในภาพรวมอย่างกว้าง ๆ เพื่อลดความเสี่ยงต่าง ๆ ในส่วนที่เกี่ยวข้องกับ Operating และกำหนดให้มี Audit Functions ขึ้นมาติดตามดูแลการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ที่ได้จัดให้มีขึ้น

4. บทบาทของฝ่ายจัดการหรือผู้ดำเนินงานบางประการ
เป็นผู้รับแผนการควบคุมภายในของคณะกรรมการบริหารมาปฏิบัติ โดยจัดให้มีระเบียบ พิธีปฏิบัติและกำหนดกฎเกณฑ์ต่าง ๆ ให้ User และผู้ที่เกี่ยวข้องได้ปฏิบัติเพื่อให้การบันทึกบัญชีต่าง ๆ มีความน่าเชื่อถือได้และเป็นไปตามตัวบทกฎหมายที่เกี่ยวข้อง

5. หน้าที่ของ Board of Directors หรือ Audit Committee เบื้องต้น
ในองค์กรที่ใช้คอมพิวเตอร์ ควรจะครอบคลุมถึงการดูแลฝ่ายจัดการให้มีการปฏิบัติในเรื่องต่อไปนี้
– ระบุประเภทของความเสี่ยงต่าง ๆ ในแต่ละกิจกรรม รวมถึงสาเหตุความผิดพลาด และความผิดปกติต่าง ๆ ที่อาจจะเกิดขึ้นในองค์กรของตน
– จัดให้มีการควบคุมเพื่อลดความเสี่ยง และความผิดปกติต่าง ๆ ที่ได้รับพิจารณาแล้วนั้น โดยกำหนดเป็นระเบียบและวิธีปฏิบัติงานเป็นลายลักษณ์อักษร ให้ผู้เกี่ยวข้องยึดถือเป็นแนวปฏิบัติงาน เพื่อให้งานดำเนินไปอย่างมีประสิทธิภาพน่าเชื่อถือได้
– ดูแลให้มีการปฏิบัติตามหลักการที่ได้กำหนดขึ้นแล้ว

6. บทบาทของผู้สอบบัญชีภายใน
– ติดตามดูแลให้มีการปฏิบัติตามนโยบายและวิธีการปฏิบัติงานตามที่คณะกรรมการบริหารฝ่ายจัดการได้กำหนดขึ้น
– ช่วยเหลือคณะกรรมการบริหารงาน และฝ่ายจัดการตามที่ได้รับมอบหมาย โดยเฉพาะอย่างยิ่งเข้าไปมีส่วนร่วมการจัดวางให้มีระบบการควบคุม และระบบตรวจสอบ ตั้งแต่ในระยะขั้นตอนการพัฒนาระบบงาน
– ปรับปรุง ศึกษา ค้นคว้า เทคนิคที่เกี่ยวข้องกับการพัฒนาทางเทคโนโลยีทางด้านคอมพิวเตอร์ เพื่อรักษามาตรฐานการปฏิบัติงาน ให้เหมาะสมกับสิ่งแวดล้อมที่เปลี่ยนแปลงไป

7. บทบาทของผู้สอบบัญชีภายนอก
– ประเมินความน่าเชื่อถือได้ของระบบการควบคุมภายใน เพื่อกำหนดขอบเขตการปฏิบัติงานตรวจสอบในเรื่องที่เกี่ยวข้อง
– ทดสอบการควบคุมภายใน และการปฏิบัติงานที่สำคัญ หากพิจารณาว่า การควบคุมภายในน่าเชื่อถือได้
– ทดสอบความน่าเชื่อถือได้ของข้อมูลทางการบัญชี และการเงินในงบการเงิน ในกรณีที่ผู้สอบบัญชีภายนอก พบจุดอ่อนหรือความผิดปกติของการควบคุมภายในที่มีนัยสำคัญ หรือพบเรื่องที่มีการปฏิบัติฝ่าฝืนกฎหมาย หรือกฎระเบียบข้อบังคับของบริษัท External Auditor จะต้องแจ้งให้ Operating Management ทราบด้วยเสมอ

8. ความรับผิดชอบของการตรวจสอบทางด้าน Computer หรือ IS Audit
มาตรฐานการตรวจสอบทางด้าน Field Work ที่เกี่ยวข้องกับการประเมินการควบคุมภายใน ในองค์กรที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบจะครอบคลุมถึงเรื่องต่อไปนี้เป็นพื้นฐานด้วย คือ
– ความเข้าใจพื้นฐานของทางเดินของรายการในแต่ละระบบงานตั้งแต่ต้นจนจบ
– ความเข้าใจพื้นฐานของโครงสร้างการควบคุม ทั้งในส่วนที่เป็น Manual และส่วนที่เป็น Computer
– ความตั้งใจถึงการตรวจสอบใน File ต่าง ๆ ที่ใช้ในการทำงบการเงิน
– ในกรณีที่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ หากโปรแกรมนั้นพัฒนาโดยองค์กรที่ถูกตรวจสอบแล้ว ผู้สอบบัญชีจะต้องทดสอบโปรแกรมนั้น ก่อนให้ความเชื่อถือข้อมูลที่ได้จากการตรวจสอบด้วยเสมอ
– การประเมินการควบคุมภายในด้านคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ จะต้องดำเนินการโดยผู้ตรวจสอบที่มีประสบการณ์ด้านคอมพิวเตอร์อย่างเพียงพอ
– การประเมินการควบคุมในด้านคอมพิวเตอร์ ผู้ประเมินจะต้องมีความเข้าใจในลักษณะโครงสร้างของการควบคุมในองค์กรที่ตรวจสอบอย่างแท้จริง นั่นคือ ผู้ตรวจสอบควรจะทราบว่าองค์กรนั้น ควรต้องมีการควบคุมภายในอย่างไรบ้าง แทนที่จะประเมินหรือติดตามแต่เพียงว่าองค์กรนั้นได้ปฏิบัติตามการควบคุมที่มีอย่างไร เป็นต้น
– ผู้ประเมินต้องรวบรวมหลักฐานที่มี เพื่อยืนยันความเข้าใจในระบบการควบคุมภายในด้านคอมพิวเตอร์

9. วิธีการตรวจสอบระหว่างระบบงานด้านคอมพิวเตอร์
ผู้ตรวจสอบงานด้าน Computer หรือ Computer / IT Auditor หรือ Information System (IS) ผู้ตรวจสอบที่ประสบความสำเร็จ การตรวจสอบนั้นควรจะตั้งอยู่บนพื้นฐานดังนี้
– มีความเข้าใจในวิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ตามฐานความเสี่ยงอย่างเพียงพอ และ
– มีพื้นฐานความรู้ทางคอมพิวเตอร์ เทคโนโลยีและ Concept ของการตรวจสอบงานด้านคอมพิวเตอร์ที่จะกำหนดขอบเขต และขั้นตอนการตรวจสอบที่ได้ผล
– มีความรู้เกี่ยวกับการบริหารความเสี่ยง จาก Risk IT และ IT Risk ที่มีผลต่อ Business Process และ Business Objective ขององค์กร ในมุมมองการบริหารแบบบูรณาการยุคใหม่

ขั้นตอนการตรวจสอบข้างต้นนั้น มีรายละเอียดและขั้นตอนที่ผู้ตรวจสอบพึงทราบ และพึงเข้าใจหลายประการ ในเรื่องระบบงานและรายการต่าง ๆ ที่ประมวลผล โดยเฉพาะอย่างยิ่งขั้นตอนการรวบรวม และประมวลเอกสาร และหลักฐานการตรวจสอบที่เกี่ยวข้อง

วิธีการตรวจสอบดังกล่าว ได้ครอบคลุมโครงสร้างขององค์กร ทั้งในแนวตั้งและแนวนอน ผู้ตรวจสอบต้องเข้าใจธุรกิจที่จะตรวจสอบอย่างถ่องแท้ ต้องเข้าใจกิจกรรมต่าง ๆ ในแต่ละงานที่ตรวจสอบ และแน่นอนว่า ผู้ตรวจสอบต้องเข้าใจโครงสร้างของการควบคุมที่จำเป็นในแต่ละกิจกรรมนั้น เพื่อบรรลุวัตถุประสงค์ของการตรวจสอบด้วยเสมอ

โดยสรุป วิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จะช่วยให้ผู้ตรวจสอบคำนึงถึง
– ผู้ตรวจสอบจะต้องตรวจสอบอะไร อย่างไร ด้วยวิธีการใด
– เมื่อใดที่ควรจะทำการตรวจสอบหรือทดสอบ
– ทรัพยากรอะไรบ้างภายในองค์กรที่ต้องการตรวจสอบ
– หลักฐานที่เกี่ยวข้องกับผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Information Balanced Scorecard และที่มีต่อ Business Balanced Scorecard คืออะไร

 

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

สวัสดีครับ หัวข้อนี้ก็ยังคงพูดคุยกันอยู่ในเรื่องของแนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งเป็นแนวทางในบางมุมมองของผม และก็เป็นเพียงแนวทางในเบื้องต้นที่ใช้ในการบริหารงานตรวจสอบ โดยในครั้งที่แล้วผมได้พูดถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทันกับการเปลี่ยนแปลงที่เกิดขึ้น และวันนี้ผมก็จะมาพูดถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึงกันครับ

การตรวจสอบของผู้ตรวจสอบเกี่ยวกับการบันทึกรายการบัญชีในระบบเดิม ผู้ตรวจสอบจะต้องคำนึงถึงความไม่แน่นอนในการปฏิบัติงานของพนักงานเป็นหลักในการตรวจสอบ แต่จะนำหลักการนี้มาใช้กับการตรวจสอบระบบบัญชีที่ใช้คอมพิวเตอร์ไม่ได้ เพราะเป็นที่ยอมรับกันโดยทั่วไปแล้วว่า การทำงานของคอมพิวเตอร์นั้นแม่นยำ แน่นอน และสม่ำเสมอ เพราะใช้โปรแกรมชุดเดียวกันในการประมวลผลข้อมูลด้านบัญชีที่เหมือน ๆ กันไปบันทึกบัญชีตามที่กำหนดไว้ด้วยคอมพิวเตอร์ หากเป็นสถาบันการเงินในบางมุมมองก็คือ
– การบันทึกบัญชีเงินฝากรายตัวแต่ละประเภท
– การคำนวณดอกเบี้ยเงินฝากตามประเภทเงินฝาก อัตราดอกเบี้ย และระยะเวลา
– การบันทึกเงินให้สินเชื่อรายตัวแต่ละประเภท
– การควบคุมอำนาจการให้สินเชื่อของผู้มีอำนาจในการปล่อยสินเชื่อ
– การคำนวณดอกเบี้ยส่วนลดเงินให้สินเชื่อตามประเภทเงินให้สินเชื่อ อัตราดอกเบี้ย และระยะเวลา
– การออกรายงานแยกประเภทหลักประกันสินเชื่อ ประเภทสินเชื่อ ธุรกิจที่องค์รกรให้สินเชื่อ
– การแยกประเภทการออกหนังสือค้ำประกันลูกค้า
– การคำนวณค่าเสื่อมราคาทรัพย์สินถาวร
– การบันทึกบัญชีรายได้ รายจ่าย กำไรขาดทุน
– การบันทึกบัญชีทรัพย์สิน หนี้สิน ส่วนของผู้ถือหุ้น
– การบันทึกบัญชีแยกประเภททั่วไป
– การจัดทำงบการเงิน เช่น งบดุล งบกำไรขาดทุน งบกำไรสะสม
– อื่น ๆ

ดังนั้น ผู้ตรวจสอบจึงจำเป็นต้องปรับปรุงวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับวิธีการปฏิบัติงานขององค์กร ที่เปลี่ยนจากระบบ Manual เป็นระบบ Computer ที่ต้องเข้าใจหลักการบริหารความเสี่ยงทั่วทั้งองค์กร และคำนึงถึงเทคนิคการตรวจสอบ เช่น การใช้ TDM – Test Data Method ซึ่งเป็นการตรวจสอบ Through Computer ง่าย ๆ แบบหนึ่ง หรือใช้โปรแกรมอื่น ๆ เข้าช่วยในการตรวจสอบด้วย เป็นต้น

สิ่งที่ผู้ตรวจสอบต้องคำนึงถึง คือ
1. วัตถุประสงค์ในการตรวจสอบ
ผู้ตรวจสอบภายในและผู้สอบบัญชี เป็นกลุ่มบุคคลที่ทำหน้าที่ตรวจสอบการปฏิบัติงานและฐานะการเงินขององค์กร ผู้ตรวจสอบภายในจะเน้นความสำคัญของการตรวจสอบของการปฏิบัติงาน ในขณะที่ผู้สอบบัญชีให้ความสำคัญเกี่ยวกับการตรวจสอบระบบการบัญชีและงบการเงิน แต่อย่างไรก็ตามบุคคลทั้งสองกลุ่มก็มีวัตถุประสงค์ของการตรวจสอบเหมือนกัน คือ

1.1. ตรวจสอบเพื่อให้แน่ใจว่า ในองค์กรนั้นมีและใช้ระบบการควบคุมความเสี่ยงที่เหมาะสม
1.2. ตรวจสอบว่าการใช้ทรัพย์สินมีประสิทธิภาพหรือไม่
1.3. ตรวจสอบว่ามีการป้องกันรักษาทรัพย์สินขององค์กรอย่างเหมาะสมหรือไม่
1.4. ตรวจสอบว่าระบบการบันทึกข้อมูลและการจัดทำงบการเงิน ถูกต้องและเชื่อถือได้หรือไม่
1.5. ตรวจสอบว่าองค์กรนั้น มีระบบ IT Security และการควบคุมที่เกี่ยวข้องอย่างเหมาะสมหรือไม่ โดยเฉพาะอย่างยิ่งการปฏิบัติตาม Compliance ++

ในปัจจุบัน มีการนำคอมพิวเตอร์มาใช้งานด้านบัญชีและการจัดทำงบการเงิน รวมทั้งการบริหารและการวิเคราะห์กันอย่างแพร่หลายแทบทุกเรื่อง ก็มิได้ทำให้วัตถุประสงค์ในการตรวจสอบของผู้ตรวจสอบภายในและผู้สอบบัญชีเปลี่ยนแปลงไป แต่ที่เปลี่ยนแปลงไปอย่างชัดเจนก็คือ วิธีและเทคนิคที่ใช้ในการตรวจสอบ ซึ่งเป็นเรื่องสำคัญมาก

2. สาเหตุที่คอมพิวเตอร์ทำให้ผู้ตรวจสอบต้องเปลี่ยนแปลงวิธีและเทคนิคในการตรวจสอบ
การนำคอมพิวเตอร์มาใช้งานด้านการบัญชีขององค์กร ไม่ทำให้ระบบการบัญชีมาตรฐานที่ผู้ตรวจสอบส่วนใหญ่คุ้นเคยดีอยู่แล้วเปลี่ยนแปลงไป แต่สิ่งที่เปลี่ยนแปลงไปและมีผลต่องานตรวจสอบก็คือ

2.1. ลักษณะภายในและภายนอกของแฟ้มหรือทะเบียนที่ใช้บันทึกข้อมูลทางบัญชี
1) วิธีการนำข้อมูลไปบันทึก
2) วิธีการนำข้อมูลมาใช้
3) วิธีการนำข้อมูลไปประมวลผล

นอกจากนี้ เมื่อข้อมูลที่อยู่ใน File เปลี่ยนแปลง จะไม่มีร่องรอยการเปลี่ยนแปลงให้เห็น ดังเช่น วิธีการบันทึกบัญชีแบบเดิม จึงไม่สามารถตรวจสอบความถูกต้องของข้อมูลใน File ได้ โดยใช้วิธีและเทคนิคการตรวจสอบแบบธรรมดา

2.2. รอยทางสำหรับการตรวจสอบ (Audit Trails) เปลี่ยนแปลงไป ผู้ตรวจสอบไม่สามารถติดตามการเคลื่อนไหวของเอกสาร ตามวิธีการตรวจสอบแบบธรรมดาได้อีกต่อไป เพราะข้อมูลในเอกสารการบัญชีเบื้องต้น จะถูกแปลงสภาพเป็นรหัส หรือสัญญาณที่ผู้ตรวจสอบไม่สามารถอ่านเข้าใจได้ และเก็บไว้ในสื่อที่ไม่สามารถสัมผัส หรือมองเห็นด้วยตาเปล่าได้ ดังนั้น ผู้ตรวจสอบอาจจำเป็นต้องใช้วิธีอื่น และ/หรือโปรแกรมคอมพิวเตอร์ช่วยในการตรวจสอบ

2.3. การเปลี่ยนแปลงที่สำคัญคือ การเปลี่ยนแปลงวิธีปฏิบัติการด้านการบัญชีทั้งหมด ซึ่งแต่เดิมเป็นหน้าที่ของพนักงานบัญชี โดยเปลี่ยนมาใช้โปรแกรมคอมพิวเตอร์ทำหน้าที่แทน ซึ่งจะทำให้ลดขั้นตอนการปฏิบัติงาน และขจัดการควบคุมภายในแบบดั้งเดิมไปหมด ทำให้ผู้ตรวจสอบทางการเงินทั่วไป อาจประสบกับปัญหาที่ไม่อาจประเมินงานควบคุมภายในระบบคอมพิวเตอร์ได้ และทำให้มีปัญหาในการกำหนดขอบเขต และวิธีการตรวจสอบที่เหมาะสม
การมอบหมายให้คอมพิวเตอร์ทำหน้าที่แทนพนักงานบัญชี มีข้อที่ผู้ตรวจสอบควรพิจารณา 2 ประการคือ

1) บุคคลที่ได้รับมอบหมายให้ควบคุมระบบคอมพิวเตอร์ อาจจะมีความรู้ความเข้าใจระบบการบัญชีไม่เพียงพอและ
2) ไม่เข้าใจระบบการควบคุมและตรวจสอบระบบงานด้านคอมพิวเตอร์อย่างถ่องแท้

ปัจจัยทั้งสองประการจะมีผลทำให้ระบบคอมพิวเตอร์มีจุดอ่อนที่ง่ายต่อการผิดพลาด หรือที่ร้ายแรงก็คือ การทุจริต ดังนั้น หน้าที่ประการแรกของผู้ตรวจสอบ เมื่อเข้าไปตรวจสอบระบบคอมพิวเตอร์ คือ การประเมินระบบควบคุมภายในซึ่งเป็นงานสำคัญของ IT Auditor

3. ร่องรอยสำหรับการตรวจสอบในระบบคอมพิวเตอร์
ร่องรอยการตรวจสอบสำหรับระบบการประมวลข้อมูลที่ไม่ได้ใช้คอมพิวเตอร์ ได้แก่
3.1. เอกสารหรือข้อมูลเบื้องต้น เช่น พวก Slip และเอกสารประกอบรายการทางการเงินอื่น ๆ
3.2. สมุดรายวัน การ์ดบัญชี
3.3. สมุดบัญชีแยกประเภททั่วไป และทะเบียนต่าง ๆ
3.4. รายงานงบการเงิน

ร่อยรอยดังกล่าวจะช่วยให้ผู้ตรวจสอบ สามารถตรวจสอบย้อนกลับไปมาระหว่างจุดเริ่มต้นที่เกิดรายการทางการเงิน กับรายการสรุปผลทางการเงิน เพื่อให้แน่ใจว่ารายงานทางการเงินที่ได้นั้น สะท้อนให้เห็นธุรกรรมทางการเงินขององค์กรอย่างแท้จริง

เพื่อไม่ให้เกิดการเข้าใจผิด เราควรจะเรียกร่อยรอยนี้ว่า Management Trail มากกว่าจะเรียกว่า Audit Trail เพราะสิ่งนี้จะเป็นประโยชน์แก่ผู้บริหารงานประจำมากกว่าผู้สอบบัญชี โดยเฉพาะในกรณีที่แหล่งภายนอกต้องการข้อมูลบางอย่างเป็นพิเศษ

4. การกำหนดขอบเขตและวางแผนตรวจสอบและกระบวนการวางแผนโดยแผนภูมิ

ครั้งหน้าเราจะไปต่อกันถึงความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กัน โปรดติดตามต่อไปนะครับ

 

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

ครั้งที่แล้ว ท่านผู้อ่านก็คงได้ทราบถึงการเปลี่ยนแปลงของการตรวจสอบกันไปแล้วนะครับว่า ในอนาคตจะมีแน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบอย่างไร ตามที่กล่าวมาแล้วข้างต้นในครั้งก่อนสรุปได้ว่า พัฒนาการต่าง ๆ ทางด้านการควบคุมและตรวจสอบตามไม่ทันกับการเปลี่ยนแปลง ทำให้หน่วยงานที่รับผิดชอบประสบปัญหาทั้งด้านบุคลากร และวิธีการตรวจสอบ ในการแก้ไขปัญหานี้ หน่วยงานที่รับผิดชอบด้านการตรวจสอบ จำเป็นที่จะต้องคิดสร้างระบบวิธีการที่เป็นพื้นฐานสำหรับการตรวจสอบที่เข้าใจง่ายและชัดเจน สามารถใช้เป็นแนวทางการตรวจสอบของผู้ตรวจสอบได้ในระยะเริ่มแรก และผู้ตรวจสอบคนอื่น สามารถติดตามการเปลี่ยนแปลงของระบบงานในจุดที่ต้องการได้อย่างมีประสิทธิภาพ แน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบในอนาคตดังกล่าว จึงเป็นเหตุให้เราต้องพูดคุยกันถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้นในวันนี้กันครับ

แนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น
“TOTAL SYSTEMS APPROACH” เป็นระบบการตรวจสอบแบบหนึ่ง ที่เน้นการตรวจสอบในลักษณะ การทำความเข้าใจในผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Business Objective ทั้งระบบ นั่นคือ เป็นการตรวจที่ผู้ตรวจจะต้องเข้าใจระบบงาน ทั้งในส่วนที่ใช้คอมพิวเตอร์ในภาพโดยรวม ในลักษณะที่เป็น Holistic Framework ซึ่งมีการเชื่อมโยงระหว่าง Activities ต่อ Activities และระหว่าง Process กับ Process และระหว่าง Objective และ Objective ในมุมมองของ Interdependency Approaches นั่นคือ ทุก Activities และทุก Process และทุก Objective ถึงแม้จะมีความเป็นอิสระในการประมวลงานในแต่ละ Application หรือในแต่ละระบบงานอย่างอิสระ

แต่ทั้งหมดตามที่กล่าวนี้ ก็มีความสัมพันธ์ต่อกันอย่างแยกกันไม่ได้ เพื่อก้าวไปสู่ Business Process ในการบรรลุ Business Objective ตามมุมมองที่องค์กรต้องการ นี่คือที่มาของคำว่า Interdependency Approach โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบจะต้องเข้าใจที่จะต้องวางแผนการตรวจสอบ ทั้งในส่วนที่ไม่ใช้คอมพิวเตอร์หรือทั้งสองอย่างรวมกัน แทนที่จะแยกการตรวจสอบเป็นส่วน ๆ เช่น ตรวจสอบเฉพาะระบบ Manual เพียงอย่างเดียว ทั้งนี้ สามารถใช้กับผู้ตรวจสอบที่มีความรู้คอมพิวเตอร์เพียงเบื้องต้น แต่ผู้ตรวจสอบผู้นั้น ต้องเข้าใจระบบงานขององค์กรทั้งหมดโดยรวม ซึ่งจะช่วยให้ผู้ตรวจสอบเข้าใจระบบงานอย่างง่าย ๆ โดยการวิเคราะห์การควบคุมระบบงานเป็นขั้น ๆ เป็นวิธีการทำงานตามหลักโครงสร้าง จะช่วยให้การตรวจสอบเป็นไปอย่างมีประสิทธิภาพและเป็นระเบียบ และในที่สุด ผู้ตรวจสอบจะต้องกำหนดว่า จะวางแผนการตรวจสอบในเรื่องใด ส่วนใดของระบบงานโดยรวม (Total System Approach) เพื่อให้การกำหนดขอบเขตเป็นไปตามเป้าประสงค์ ในการวางแผนการตรวจสอบแต่ละครั้ง ในแต่ละเรื่องที่เกี่ยวข้อง โดยคำนึงถึงว่า

1. ในการตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบไม่สามารถตรวจสอบส่วนต่าง ๆ ของระบบแยกกันได้โดยอิสระ ในเมื่อต้องวิเคราะห์ถึงผลกระทบของการตรวจสอบส่วนนั้น ๆ ต่อส่วนอื่น ๆ ของระบบ โดยควรเข้าใจและคำนึงถึง Interdependency Approach ซึ่งจะเป็นเรื่องสำคัญมากในการบริหาร และการตรวจสอบยุคใหม่ เนื่องจากระบบงานที่ประมวลผลด้วยเครื่องคอมพิวเตอร์ เกี่ยวพันต่อเนื่องกันตลอดการใช้ข้อมูลชุดเดียวกัน ความเชื่อถือได้ของระบบงานหนึ่ง ๆ ขึ้นอยู่กับความแน่นอนและครบถ้วนของระบบงานก่อน ในลักษณะนี้ข้อผิดพลาดอันหนึ่งสามารถตกทอดไปอยู่ในระบบงานต่าง ๆ ก่อให้เกิดการทำงานผิดพลาดได้ เช่น การตรวจสอบระบบบัญชีเงินฝากกระแสรายวัน ผู้ตรวจสอบต้องพิจารณาถึงระบบเงินฝากอื่น ระบบการหักบัญชี และระบบบัญชี เป็นต้น หากเป็นสถาบันการเงิน

2. งานประมวลผลด้วยคอมพิวเตอร์เป็นเพียงส่วนหนึ่งของทั้งระบบงานเท่านั้น ทั้งระบบงานจะรวมทั้งส่วนที่ประมวลผลด้วยคนและเครื่อง ปัญหาหลายอย่างที่เกี่ยวกับการประมวลผล มักสืบเนื่องจากผู้วางระบบไม่สนใจระบบงานส่วนที่ยังเป็น Manual โดยถือข้อสมมุติฐานที่ว่าข้อมูลที่รับเข้าไปถูกต้อง และไม่สนใจถึงผลของข้อมูลที่ผลิตออกไปแล้วของระบบงานนั้น ๆ ว่าจะถูกนำไปใช้อย่างไร ผู้ตรวจสอบจึงต้องประเมินทั้งระบบ และไม่ละทิ้งงานส่วนที่เป็น Manual
อย่างไรก็ตาม การที่จะใช้วิธีการตรวจสอบดังกล่าว ผู้ตรวจสอบต้องยอมรับความคิดที่ว่า งานด้านคอมพิวเตอร์ไม่สามารถตรวจสอบได้ โดยไม่มีความเข้าใจผลกระทบต่าง ๆ ที่มีต่อระบบงานของกิจการนั้น ผู้ตรวจสอบจะต้องชี้แจงให้ผู้ที่เกี่ยวข้องในระบบต่าง ๆ ของกิจการ เห็นความจำเป็นในการสร้างระบบควบคุม ซึ่งควรจะเริ่มจากผู้บริหาร ที่จะกำหนดให้ใครรับผิดชอบการทำเอกสารเกี่ยวกับระบบควบคุม ในลักษณะสร้างมาตรฐาน หรือตัวแทนของการควบคุมที่ควรจะมีอยู่ในที่ต่าง ๆ ของกิจการนั้น ซึ่งผู้ตรวจสอบในระยะเริ่มแรกมักจะต้องเป็นผู้จัดทำ ซึ่งต้องใช้เวลามากเกินกว่าครึ่งหนึ่งของเวลาการตรวจสอบ แต่ก็เป็นงานสำคัญในการตรวจสอบ แทนที่จะมุ่งใช้เวลาตรวจสอบระบบการควบคุมที่กิจการกำลังใช้อยู่ โดยประมวลจากเอกสารและการสอบถาม แล้วประเมินไปตามความเห็นของผู้ตรวจสอบ โดยไม่คำนึงถึงความเห็นของผู้เกี่ยวข้องเช่นที่ปฏิบัติกันอยู่ในปัจจุบัน

ในระยะยาวมาตรฐานและการควบคุมต่าง ๆ จะต้องมีการพัฒนา และใช้โดยเจ้าของงาน เจ้าหน้าที่ IT และผู้บริหาร ซึ่งมีหน้าที่โดยตรง บทบาทของผู้ตรวจสอบก็ควรอยู่ในลักษณะกระตุ้นเตือนผู้บริหาร เจ้าของาน และเจ้าหน้าที่ IT เกี่ยวกับการควบคุมในจุดที่ต้องปรับปรุง และทำหน้าที่ตรวจและประเมินผลการควบคุมต่าง ๆ อย่างแท้จริงได้

 

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

สวัสดีครับ วันนี้เรามาต่อกันเรื่องแนวทางการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กันครับ ซึ่งผมจะพูดถึงแนวโน้มการเปลี่ยนแปลงของการตรวจสอบในอนาคต ติดตามต่อกันเลยครับ

วิธีการตรวจสอบเท่าที่เคยทำกันมาพอจะสรุปได้เป็น 2 ลักษณะ คือ รวบรวมเอกสารต่าง ๆ และสอบถามเกี่ยวกับการดำเนินการของหน่วยงาน และระบบงานที่ใช้คอมพิวเตอร์ แล้วประเมินความเพียงพอของการควบคุมความเสี่ยงที่มีอยู่ ซึ่งเป็นวิธีการที่ใช้เวลามากและไม่ใคร่ได้ผล หลังจากนั้น จึงทำการทดสอบความถูกต้องของการทำงานในระบบคอมพิวเตอร์ ซึ่งทำได้ทั้งวิธีไม่ใช้เครื่องคอมพิวเตอร์และใช้คอมพิวเตอร์

อย่างไรก็ตามในขณะที่เทคโนโลยีด้านนี้ ได้เปลี่ยนแปลงไปอย่างรวดเร็ว แต่งานด้านการตรวจสอบทางด้านคอมพิวเตอร์ ก็ยังขาดทั้งบุคลากรที่มีประสบการณ์ และวิธีการตรวจสอบที่ทันกับการเปลี่ยนแปลงที่เกิดขึ้น เป็นผลให้การทำงานของผู้ตรวจสอบเท่าที่ผ่านมา อยู่ในลักษณะที่ทำงานให้ลุ่ล่วงไปเป็นเรื่อง ๆ เท่านั้น ขาดการวางแผนและควบคุมที่เหมาะสมในลักษณะการตรวจสอบแบบบูรณาการ ที่ควรคำนึงถึง Risk IT และ IT Risk ที่มีผลกระทบต่อกลยุทธ์ และการบรรลุเป้าประสงค์ขององค์กรโดยรวม สภาพการณ์ดังกล่าวย่อมผลักดันให้แนวโน้มการตรวจสอบในอนาคตต้องเปลี่ยนแปลงไปจากเดิมใน 4 ลักษณะ เป็นเบื้องต้นดังนี้

1. การเปลี่ยนแปลงในตัวผู้ตรวจสอบ
ในระยะต่อไปนี้ ผู้ตรวจสอบทั่วไปที่ตรวจงานเฉพาะด้าน Manual อย่างเดียวจะค่อย ๆ หมดไป ผู้ตรวจสอบทั่วไป จะต้องเข้ามาตรวจสอบงานที่ประมวลด้วยระบบคอมพิวเตอร์มากขึ้น และในกรณีที่ผู้ตรวจสอบทางด้าน Manual มีความเข้าใจในผลกระทบทางด้าน IT Risk และ Risk IT ที่มีผลต่อ Business และการควบคุมความเสี่ยงโดยรวมอย่างจำกัด คุณภาพของงานตรวจสอบก็จะถูกจำกัดเป็นอย่างมาก และเป็นอย่างยิ่ง จนถึงระดับที่ไม่น่าจะยอมรับได้

ส่วนผู้ตรวจสอบด้าน IT จะเปลี่ยนสภาพไปในลักษณะผู้ตรวจสอบด้าน Information System และระบบงาน ซึ่งเน้นการตรวจสอบระบบงานที่ยุ่งยากซับซ้อน ผู้ตรวจสอบด้าน Information System จะต้องรู้ระบบงานที่ใช้เทคโนโลยีสูง ๆ การใช้คอมพิวเตอร์ และโปรแกรมขั้นสูง วิธีการทางสถิติ การใช้โปรแกรมการตรวจสอบ การบริหารความเสี่ยง และการควบคุมทางด้าน Risk IT และ IT Risk ด้วยวิธีการต่าง ๆ ที่จะนำมาใช้ทดสอบข้อมูลและระบบงานอย่างบูรณาการ

2. การเปลี่ยนแปลงกระบวนการตัดสินใจเกี่ยวกับเรื่องที่จะตรวจ
ในการเลือกเรื่องตรวจ ผู้ตรวจสอบจะต้องมีความรู้ความเข้าใจเกี่ยวกับเป้าหมาย และนโยบายของกิจการทั้งในปัจจุบันและอนาคต เข้าใจหน้าที่เกี่ยวกับการประมวลผล มีการติดต่อที่ดีระหว่างส่วนงานต่าง ๆ ที่เกี่ยวข้อง ควรจะมีการสะสมระบบงานต่าง ๆ และจัดลำดับตามชนิดและความสำคัญไว้ และเมื่อมีการเปลี่ยนแปลงเกิดขึ้น ควรทบทวนใหม่ ระมัดระวังการตรวจสอบเรื่องที่เกินขอบเขต ไม่ควรเสียเวลาประเมินผลการควบคุมภายในของระบบงานเก่า ที่กำลังจะมีการยกเลิกเปลี่ยนแปลงแก้ไข แต่ควรจะให้ความสนใจ วิธีการที่จะสร้างการควบคุมที่ดีที่จะนำมาใช้กับระบบงานใหม่

3. การเปลี่ยนแปลงความคิดเห็นเกี่ยวกับการควบคุมภายใน
การสร้างระบบการควบคุมภายใน ควรจะเริ่มจากระดับสูงของกิจการ แต่ผู้ตรวจสอบจะต้องเข้าใจด้วยว่า รายการต่าง ๆ เกิดขึ้นอย่างไร และผ่านขบวนการปฏิบัติอย่างไร จึงจะบรรลุผลและจุดประสงค์ตามที่คาดไว้ การดูเฉพาะจุดที่เตรียมไว้ อาจเป็นผลให้ไม่พบสิ่งที่ผิดปกติตามมาตรฐานการตรวจสอบของ AICPA ไม่ได้บังคับ ผู้ตรวจสอบจะต้องใช้ Audit Through The Computer แต่บังคับว่าผู้ตรวจสอบต้องเข้าใจระบบเพียงพอ ที่จะทำการตัดสินใจกำหนดขอบเขตการตรวจสอบที่ถูกต้องตามเหตุผลได้ นอกจากนี้การสำรวจระบบการควบคุมภายในของระบบ IT จะทำให้มั่นใจในขอบเขตการตรวจสอบที่สมบูรณ์และเข้าใจง่าย

4. การเปลี่ยนแปลงวิธีการประเมินผลการควบคุมของผู้ตรวจสอบ
เนื่องจากการพัฒนาระบบงานใหม่ ๆ ที่จะเพิ่มขึ้นอย่างรวดเร็ว และปัญหาเรื่องการขาดแคลนบุคลากรด้านนี้ จะเป็นแรงผลักดันให้จำเป็นต้องมีการคิดค้นวิธีการวิเคราะห์ และประเมินผลการควบคุม ของกิจการที่ใช้คอมพิวเตอร์ให้เป็นไปตามหลักเหตุผล และมีประสิทธิภาพมากขึ้น สามารถตอบสนองวัตถุประสงค์ในหลาย ๆ ด้าน โดยมีหลักการเป็นขั้น ๆ ดังนี้

4.1. ทำความเข้าใจกับผลกระทบของระบบคอมพิวเตอร์ในด้านต่าง ๆ
4.2. พิจารณาว่าจะทำอะไรกับระบบงานใด ต้องใช้ความพยายามในระดับไหน
4.3. ดูว่าในระบบงานนั้น ๆ มีผลเสียหายที่อาจเกิดขึ้นหรือไม่ มีระบบการควบคุมหรือไม่ และทำการประเมินการควบคุมต่าง ๆ
4.4. หยิบยกการควบคุมสำคัญ ๆ มาทำการทดสอบ
4.5. ให้มีการรวบรวม และจัดทำเอกสารประกอบการตรวจสอบอย่างมีประสิทธิภาพ และสามารถสอบทานได้
4.6. รายงานผลการตรวจสอบ ในลักษณะที่จะช่วยให้การทำงานดีขึ้นและให้ข้อแนะนำในทางสร้างสรรค์