Posts Tagged "IT Audit"

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น

วันนี้ ผมจะได้กล่าวถึง แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น ทั้งนี้เพราะ มีท่านผู้อ่านที่ติดตามเรื่อง IT Audit และ Non – IT Audit บางท่านได้โทรศัพท์ หรือ e-mail มาคุยกับผมว่า เรื่องราวกำลังน่าสนใจมาก แต่ก็เริ่มสับสนที่จะทำความเข้าใจในภาพโดยรวม ที่เกี่ยวข้องกับ IT Audit และการนำไปอธิบายต่อให้กับเพื่อนร่วมงาน เนื่องจากผมได้เริ่มอธิบายแบบผสมผสานในมุมมองต่าง ๆ ของการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ในลักษณะของ Top Down บ้าง ในลักษณะของ Bottom Up บ้าง

โดยเฉพาะอย่างยิ่ง ผมได้นำหลักการบริหารยุคใหม่ที่เกี่ยวข้องกับ GRC – Governance Risk Management ที่สร้าง Integrated – Driven Performance และนำภาพของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการ COSO – ERM มาผสมผสานกับ CobiT โดยเชื่อมโยงกับกระบวนการบริหารการจัดการที่ดี ในมุมมองต่าง ๆ รวมทั้ง วิธีการนำเสนอในการจัดทำแผนการตรวจสอบในหลายลักษณะ ซึ่งขึ้นกับเป้าประสงค์ของการตรวจสอบ และขอบเขตการตรวจสอบ รวมทั้งศักยภาพของทรัพยากรขององค์กรที่มีความแตกต่างกัน

ถึงแม้จะมีการยกตัวอย่าง การตรวจสอบในบางลักษณะที่ใช้คอมพิวเตอร์ด้วยกัน แต่กระบวนการทำงานในการประมวลผลข้อมูลแตกต่างกัน รูปแบบหลักฐานการตรวจสอบที่ไม่เหมือนกัน วิธีการตรวจสอบยังแตกต่างกันมาก เป็นต้นนั้น ทำให้ท่านผู้อ่านที่ถูกดึงเข้ามาให้เข้าใจในภาพการบริหารองค์กรยุคใหม่โดยรวมที่แยกกันได้ยาก ระหว่างการตรวจสอบทางด้าน IT และ Non – IT Audit เพื่อก้าวไปสู่การประเมินผลกระทบของความเสี่ยงในระดับต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลต่อ COSO – ERM เพื่อการบรรลุวัตถุประสงค์ของธุรกิจในมุมมองต่าง ๆ

ก่อนที่ผมจะอธิบายในเชิงลึกต่อไป ผมจึงใคร่ขอย้อนกลับไปในมุมมองเบื้องต้นของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ บางมุมมอง เพื่อทบทวนความเข้าใจของท่านผู้อ่านในวันนี้ ดังนี้ครับ…

การนำคอมพิวเตอร์มาใช้อย่างแพร่หลายของกิจการต่าง ๆ ในปัจจุบันได้ก่อให้เกิดผลกระทบในด้านต่าง ๆ ซึ่งรวมทั้งงานตรวจสอบองค์กรที่ระบบงานต่าง ๆ ประมวลผลด้วยคอมพิวเตอร์ ผู้ตรวจสอบจึงควรได้ทราบถึงวิวัฒนาการของการตรวจสอบกิจการที่นำคอมพิวเตอร์มาใช้ในงานด้านต่าง ๆ การเปลี่ยนแปลงวัตถุประสงค์ ขอบเขต และแนวการตรวจสอบ ตั้งแต่อดีตจนถึงปัจจุบันที่เกิดขึ้นแล้วแนวโน้มการเปลี่ยนแปลงในอนาคต และแนวความคิดในการพัฒนาการตรวจสอบ ให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยีที่เป็นไปอย่างรวดเร็ว และแนวความคิดในการพิจารณาความเสี่ยงเพื่อการเข้าถึงจุดควบคุมหลักต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk (ซึ่งมีความหมายแตกต่างกัน) ที่มีผลต่อ Business Risk ในมุมมองต่าง ๆ จะมีประโยชน์ในการวางแผนและการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ประมวลข้อมูล

ผู้ตรวจสอบกับการเปลี่ยนแปลงทางเทคโนโลยีที่เกี่ยวกับการบันทึกข้อมูล
ในฐานะผู้ตรวจสอบเมื่อมีการเปลี่ยนแปลงใหม่ ๆ เกิดขึ้น ย่อมรู้สึกว่ามีปัญหา เช่น เดิมมนุษย์เคยบันทึกข้อมูลไว้บนก้อนหิน เมื่อต่อ ๆ มารู้จักทำกระดาษ รู้จักเย็บเป็นเล่ม รู้จักทำเป็นแผ่น Ledger Card หรือแบบฟอร์มต่าง ๆ ก็บันทึกข้อมูลบนสิ่งเหล่านี้แทน ในปัจจุบันเราสามารถบันทึกข้อมูลบนสื่อข้อมูลต่าง ๆ เช่น Magnetic Tap, Magnetic Disk, Floppy Disk ฯลฯ

ทุกครั้งที่มีการเปลี่ยนแปลงก็เกิดข้อสงสัยเกี่ยวกับความเชื่อถือในวิธีการบันทึกแบบใหม่ ๆ ทั้งในเรื่องการรักษาความลับของข้อมูล และความปลอดภัยของสื่อข้อมูล แม้จะถูกคัดค้านในระยะแรก ๆ แม้กระทั่งในปัจจุบัน สำหรับในบางองค์กร แต่การค้นพบเหล่านั้นก็ทำให้วิทยาการและธุรกิจเจริญก้าวหน้าขึ้น ซึ่งอาจสรุปได้ว่า การพัฒนาการตรวจสอบและการตรวจสอบด้านคอมพิวเตอร์ เป็นเรื่องจำเป็นอย่างยิ่งยวดในทุกองค์กร ทั้งในปัจจุบันและในอนาคต

วิชาชีพตรวจสอบก็ถูกผลักดันให้ต้องคิดค้นวิธีการตรวจสอบใหม่ ๆ ที่จะมาประเมิน และทดสอบความถูกต้องของระบบงาน และความเชื่อถือได้ของข้อมูลที่เปลี่ยนแปลงไปตามเทคโนโลยีใหม่ ๆ จึงจำเป็นที่ผู้ตรวจสอบจะต้องติดตามและศึกษาวิธีการตรวจสอบใหม่ ๆ เพื่อทดแทนวิธีการตรวจสอบบางอย่างที่ใช้อยู่เดิม ซึ่งไม่เหมาะสมกับเทคโนโลยีและสภาพแวดล้อมที่มีวิวัฒนาการทางด้านการพัฒนาเทคโนโลยีอย่างรวดเร็วในปัจจุบัน

สภาพการตรวจสอบด้าน IT ในปัจจุบัน
ผู้ตรวจสอบส่วนใหญ่ยังต้องการเพิ่มประสบการณ์ในการตรวจสอบงานที่ประมวลผลด้วยคอมพิวเตอร์มากขึ้น เมื่อเทียบกับระบบงานที่ยุ่งยากซับซ้อนในปัจจุบัน การฝึกอบรมผู้ที่จะมาทำงานด้านนี้มีปัญหาหลายประการ การตรวจสอบที่ทำกันอยู่ในปัจจุบันยังใช้ขอบเขต ทิศทาง และวิธีการที่น่าจะปรับปรุงได้ในหลายประการ เช่น การใช้คอมพิวเตอร์เป็นเครื่องมือช่วยในการตรวจสอบ และการกำหนดแนวทางการตรวจสอบจากความเข้าใจในระบบงานที่ประมวลผลโดยคอมพิวเตอร์ และเทคโนโลยีคอมพิวเตอร์ เช่น Terminal, Offline, Online, Communications, Storage Media, Programming, Database, System ต่าง ๆและการฝังระบบการควบคุม (Embedded) ไว้ในระบบงานอย่างอัตโนมัติตาม Logic ของการบริหารความเสี่ยงทั่วทั้งองค์กร เป็นต้น

สรุปปัญหาที่ได้เกิดขึ้นแล้ว
1. เทคโนโลยีด้านคอมพิวเตอร์ได้พัฒนาเร็วกว่าพัฒนาการทางด้านการตรวจสอบ และการสร้างระบบควบคุม ทั้งที่ผู้ตรวจสอบพยายามชี้ให้ผู้บริหารของกิจการต่าง ๆ เข้ามามีบทบาทในเรื่องการควบคุม แต่ก็ไม่เข้าไปช่วยเหลือในการสร้างระบบควบคุมอย่างจริงจัง ข้อแนะนำต่าง ๆ จากการตรวจสอบ มักจะไม่ได้คำนึงถึงความเห็นของผู้ปฏิบัติงานด้านต่าง ๆ
2. กิจการต่าง ๆ เปลี่ยนไปใช้ระบบงานใหม่ ๆ ที่ยุ่งยากซับซ้อน
3. การตรวจสอบด้านนี้ได้รับความสนใจอย่างจำกัด โดยเฉพาะอย่างยิ่งผู้บริหารระดับสูงที่มีระดับความเข้าใจ และการสนับสนุนที่แตกต่างกันมาก
4. ยังขาดบุคลากรที่มีความรู้และประสบการณ์ด้านนี้
5. ยังขาดวิธีการตรวจสอบที่จะทันกับการเปลี่ยนแปลงที่เกิดขึ้น
6. การตรวจสอบยังขาดการวางแผน และการควบคุมตามฐานความเสี่ยงที่ดี
7. ยังขาดการประสานงานที่ดีระหว่างผู้บริหาร เจ้าของงาน เจ้าหน้าที่ IT และผู้ตรวจสอบ

 

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control (ต่อ)

ครั้งนี้ ผมตั้งใจจะนำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ แต่ก่อนจะถึงเรื่อง Application Control ที่ใช้คอมพิวเตอร์ ผมใคร่ขอทบทวนการตรวจสอบ IT Audit ทางด้าน General Control อีกสักเล็กน้อยนะครับว่า มุมมองทางด้าน General Control กับ Application Control มีความสัมพันธ์และเกี่ยวข้องกันด้วยเสมอ เพราะหาก General Control มีจุดอ่อน จะมีผลกระทบต่อ Application Control อย่างหลีกเลี่ยงไม่ได้ ในทุกมุมมองที่เกี่ยวข้อง คือ Input – Process – Output

ท่านลองดูแผนภาพสรุปในบางมุมมองของ General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ และโปรดทบทวนคำอธิบายเรื่อง IT Audit ที่ได้กล่าวมาตั้งแต่ต้น ท่านจะพบกับความท้าทายในรูปแบบต่าง ๆ ที่ต้องใช้ทักษะและศักยภาพในองค์ความรู้ที่เกี่ยวข้องกับ IT และ Business ซึ่งแยกกันไม่ได้เช่นกัน เพราะ Process ของการขับเคลื่อน Business Objective จะอาศัยเทคโนโลยีที่ไปขับเคลื่อน Business Process จาก IT Activities ในมุมมองต่าง ๆ ที่เกี่ยวข้องต่อไป

Understanding Controls on IT Environment

Understanding Controls on IT Environment

การผสมผสานองค์ความรู้ที่เกี่ยวข้อง ในการตรวจสอบของผู้ตรวจสอบและของผู้กำกับงานตรวจสอบ ทางด้าน IT และทางด้าน Manual จึงควรเข้าใจการบริหารและการจัดการองค์กรที่ต้องอาศัย IT ในภาพโดยรวม โดยเฉพาะอย่างยิ่ง หากนำหลักการของ GRC (Governance + Risk Management + Compliance) มาประยุกต์ใช้ในภาพโดยรวม ซึ่งเป็นการขับเคลื่อน Business Process ในลักษณะ Integrity – Driven Performance ซึ่งท่านที่สนใจสามารถติดตามได้จากหัวข้อที่เกี่ยวข้องในเว็บนี้

ผมใคร่ขอย้ำว่า การกำหนดขอบเขตการตรวจสอบ เพื่อให้ได้เป้าประสงค์ของการตรวจสอบในเวลาที่ต้องการ เป็นสิ่งที่ผู้ตรวจสอบต้องเข้าใจถึงองค์ประกอบที่เกี่ยวข้องเป็นอย่างมาก เพื่อให้การตรวจสอบมุ่งตรงประเด็น และเป็นไปตามการปฏิบัติอย่างที่ได้รับมอบหมาย ซึ่งอาจต้องใช้เทคนิคผสมผสาน ระหว่างการตรวจสอบเต็มรูปแบบ (Formal) และการตรวจสอบเป็นเรื่อง ๆ หรือดำเนินการในลักษณะของ Surprise Check ได้ เช่น การตรวจสอบทางด้าน IT Process ตามหลักการของ CobiT มี 4 Domain นั้น วัตถุประสงค์ในการตรวจสอบทางด้าน IT Process ต้องการเน้นเรื่องใด หรือ Domain ใด ใน 4 Domain หลักทางด้าน IT Process ซึ่งประกอบไปด้วย Planning and Organization หรือ Domain อื่น ซึ่งจะเกี่ยวข้องกับ Business Requirement ตามคุณลักษณะ 7 ประการ ของ CobiT หรือจะประเมินจุดอ่อน และความเสี่ยงจาก IT Resource ซึ่งมีองค์ประกอบ 5 ประการที่เกี่ยวเนื่องกันตามที่แสดงไว้ในแผนภาพ และอธิบายไว้ในหัวข้อนี้เมื่อวันที่ 7 มกราคม 2553 เป็นต้น

 

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง

ครั้งที่แล้ว ผมได้อธิบายการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบการควบคุมภายในทั่วไป ของการบริหารศูนย์คอมพิวเตอร์ และการจัดการทางด้านคอมพิวเตอร์ (General Control) ซึ่งสามารถอธิบายโดยแผนภาพย่อ ๆ และเข้าใจได้สะดวก ดังนี้

จากภาพข้างต้น ผู้ตรวจสอบจะต้องกำหนดขอบเขตการตรวจสอบ ให้เป็นไปตามวัตถุประสงค์การตรวจสอบที่ต้องการ มิฉะนั้น การวางแผนการตรวจสอบเพื่อหาหลักฐานการตรวจสอบ และข้อสรุปที่เกี่ยวข้อง จะมีขอบเขตกว้างขวางที่อาจหาข้อสรุปได้ยาก และไม่อาจหาข้อยุติในการทำรายงานในกรอบเวลาที่กำหนดแล้วได้ เรื่องนี้ จึงเป็นเรื่องที่มีความสำคัญเป็นอย่างยิ่งต่อผู้ตรวจสอบ เพื่อกำหนดทรัพยากรที่จำเป็นต้องใช้ในการตรวจสอบตามขอบเขต และวัตถุประสงค์ที่เกี่ยวข้อง ทั้งนี้ขอให้ดูแผนภาพต่อไปนี้ประกอบการพิจารณาเพิ่มเติมจากข้อมูลที่ได้กล่าวมาก่อนหน้านี้

เมื่อท่านได้เห็นแผนภาพที่ 2 ข้างต้นแล้ว ผมใคร่ขอย้ำอีกครั้งหนึ่งว่า การกำหนดขอบเขตการตรวจสอบ ตามวัตถุประสงค์การตรวจสอบที่ชัดเจน ตามทรัพยากรที่กำหนดให้นั้น เป็นเรื่องสำคัญยิ่งต่อกระบวนการตรวจสอบโดยรวม ทั้งนี้ การระบุปัจจัยเสี่ยงที่อาจจะเกิดจากการบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resources) จะเกี่ยวข้องและมีผลกระทบกับกระบวนการ (IT Process) ตามหลักการของ CobiT และความเสี่ยงของ IT Process ก็จะเกี่ยวข้องและเกี่ยวพันกับ Activities ทางด้าน IT และทางด้าน Business ที่จะมีผลต่อกระบวนการบริหาร เพื่อให้ได้คุณลักษณะของสารสนเทศที่ดี หรือให้ได้ผลตาม Business Requirements ที่ต้องการ ซึ่งจะประกอบด้วย ประสิทธิผลของข้อมูลและการจัดการ (Effectiveness), ประสิทธิภาพของข้อมูลและการจัดการ (Efficiency), การรักษาความลับและการเข้าถึงข้อมูล (Confidentiality), ความครบถ้วนถูกต้องของข้อมูล (Integrity), สภาพพร้อมใช้งานของสารสนเทศ (Availability), การปฏิบัติตามกฎหมาย กฎเกณฑ์ (Compliance), ความน่าเชื่อถือของสารสนเทศ เพื่อการบริหารและการจัดการ (Information Reliability)

มาถึงตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT Audit ควรจะมีความเข้าใจในองค์รวมของกระบวนการบริหาร และการจัดการสารสนเทศที่ดี และเพียงพอที่สามารถจะสรุปจุดอ่อน ที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหายในมุมมองต่าง ๆ ทั้งทางด้าน IT และทางด้าน Business ที่เกี่ยวข้อง และผู้ที่เกี่ยวข้องควรจะเข้าใจการบริหารและการจัดการที่ผสมผสานระหว่าง Business Objective และ IT Objective ตามมุมมองของ Business Balanced Scorecard และ IT Balanced Scorecard อย่างพอเพียงด้วย

ถึงขั้นตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT และทางด้าน Manual Audit อาจจะเริ่มสับสนถึงมุมมองของการระบุปัจจัยเสี่ยง ที่เริ่มผสมผสานกันและแยกกันไม่ได้ ระหว่าง Business Risk และ IT Risk เพราะส่วนใหญ่จะมีการมอบหมายงานตาม Function ซึ่งเน้นเป็นเรื่อง ๆ (Silo) มากกว่า Business Process ที่เป็นการผสมผสานระหว่าง IT Activities กับ Business Objective

เรื่องนี้จะเข้าใจได้ดีขึ้นนะครับ ถ้าหากผู้ตรวจสอบจะได้ดูแผนภาพที่อธิบายโดยย่อถึง กระบวนการบริหารที่มีผลกระทบต่อเป้าหมายของการบริหารและควบคุมสารสนเทศที่ดี ที่มีผลต่อ Business Process และ Business Objective เพื่อบรรลุวัตถุประสงค์ตามหลักการของ CobiT ภายใต้ร่ม IT Governance ต่อไปนี้ทีละ Domain ซึ่งจะนำเสนอในครั้งต่อไปนะครับ

 

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (IT / Manual Audit) กับความเข้าใจในภาพโดยรวม

ในครั้งที่แล้ว ผมได้พูดถึงหลักฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรจะมีความรู้ความเข้าใจในองค์รวมที่เกี่ยวกับหลักฐานการตรวจสอบที่เกี่ยวข้อง เพราะมิฉะนั้น การวางแผนการตรวจสอบ ซึ่งเป็นกระบวนการที่สำคัญยิ่งในการตรวจสอบ ทั้งทางด้าน IT และ Non – IT นั้น จะดำเนินการไม่ได้อย่างมีคุณภาพ ประสิทธิภาพ ไม่เข้าใจถึงผลกระทบของรายการที่ประมวลผลโดยคอมพิวเตอร์ ตามรูปแบบของหลักฐานที่มีตามการตรวจสอบ

วันนี้ ผมจะได้อธิบายต่อไป โดยใช้แผนภาพประกอบเป็นส่วนใหญ่ เพื่อพิจารณาขอบเขตการตรวจสอบ เมื่อเทียบกับภาพโดยรวมของการตรวจสอบ ทางด้าน IT / Manual Audit ต่อไปนี้ครับ

จากแผนภาพแทนคำอธิบายข้างต้น ท่านที่สนใจในเรื่อง IT Audit และ Manual Audit ในองค์กรที่ใช้คอมพิวเตอร์ คงจะได้เห็นแนวทางในการก้าวสู่กระบวนการตรวจสอบ จากฐานความเสี่ยงในเรื่องที่เกี่ยวข้อง และบรรลุวัตถุประสงค์ตามขอบเขตของงานที่ต้องการตรวจสอบ ซึ่งจะได้อธิบายในตอนต่อไปนะครับ

 

หลักฐานการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์

วันนี้ ผมจะมาเล่าสู่กันฟังในเรื่องเกี่ยวกับการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์ จากครั้งที่ผ่าน ๆ มา ผมเคยได้พูดถึงขั้นตอนของการตรวจสอบทั้งทางด้าน IT Audit และ Non – IT Audit ไปแล้ว สำหรับครั้งนี้ผมจะนำเสนอเกี่ยวกับหลักฐานของการตรวจสอบทางด้านคอมพิวเตอร์ว่า ต้องมีเอกสาร หรือหลักฐานที่ใช้ในการตรวจสอบอย่างไรบ้าง

นอกเหนือจากการยกตัวอย่างในการตรวจสอบระบบงานเดียวกัน แต่รูปแบบของหลักฐานเปลี่ยนแปลงไป การวางแผนการตรวจสอบและกระบวนการตรวจสอบ เพื่อให้ได้หลักฐาน เพื่อสนับสนุนความเห็นในการให้ข้อแนะนำ ในเรื่องต่าง ๆ ที่เกี่ยวข้อง ก็มีความแตกต่างเป็นอย่างมาก

ท่านผู้ตรวจสอบด้าน IT และ Non – IT ลองพิจารณาดูซิครับว่า หากท่านหรือผู้ร่วมงานของท่าน ไม่เข้าใจผลกระทบของรูปแบบของหลักฐานที่เปลี่ยนแปลงไป จากกระบวนการที่ใช้คอมพิวเตอร์ ที่มีคุณลักษณะและกระบวนการทำงานที่แตกต่างกัน และด้วยเทคนิคที่ก้าวหน้าไปอย่างรวดเร็วในปัจจุบัน และมีผลต่อรูปแบบของกระบวนการทำงาน ผลกระทบต่อความเสี่ยงในมุมมองต่าง ๆ ทั้งด้าน IT Risk และ Risk IT ที่มีผลต่อ Business Process และ Business Objective ท่านและทีมงานของท่านจะมีวิธีการวางแผนการตรวจสอบอย่างไร จึงจะได้ผลดี และมีคุณภาพที่น่าเชื่อถือได้

ในกรณีที่ท่านเป็นคณะกรรมการตรวจสอบ หรือคณะกรรมการบริหารความเสี่ยง หรือคณะกรรมการดูแลทางด้าน Compliance ท่านควรจะตั้งคำถามแบบใด จึงจะมั่นใจอย่างสมเหตุสมผลว่า บุคลากรที่ท่านดูแลนั้น มีความสามารถ และมีความเข้าใจในงานที่ตรวจสอบ ตามสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างมากมาย และให้ข้อสังเกตที่มีคุณค่าเพิ่มได้อย่างเหมาะสม

เรื่องนี้ ผมเคยให้คำแนะนำวิธีการตั้งคำถามในรูปแบบต่าง ๆ ทั้งในลักษณะที่ผู้บังคับบัญชาอาจตั้งคำถามสอบถามผู้ใต้บังคับบัญชา หรือผู้ตรวจสอบต้องการตั้งคำถามกับผู้รับการตรวจสอบในแง่มุมต่าง ๆ ซึ่งมีความหลากหลาย และมีความซับซ้อนเป็นอย่างมาก ที่มีผลกระทบทางด้าน People Risk + Process Risk + Technology Risk (PPT)

ในการตรวจสอบ ผู้ตรวจสอบจำเป็นต้องหาหลักฐานเพื่อยืนยันความเพียงพอของการควบคุมในระบบการประมวลผล ซึ่งในระบบที่ทำด้วยมือ หลักฐานส่วนใหญ่มักได้แก่ เอกสารต่าง ๆ ที่สามารถมองเห็นได้ แต่ในระบบงานที่ใช้คอมพิวเตอร์ประมวลผล รูปแบบของหลักฐานได้เปลี่ยนแปลงไปอยู่ในรูปของสื่อแม่เหล็กเป็นส่วนใหญ่ ทำให้ไม่สามารถใช้วิธีการตรวจสอบแบบเดิมที่อาศัยเอกสารเป็นสำคัญต่อไปได้

ดังนั้น การที่ผู้ตรวจสอบจะสามารถตรวจสอบทาง IT ให้ได้ผลดีจึงจำเป็นต้องทราบถึงผลกระทบของเทคโนโลยีทางคอมพิวเตอร์ที่มีต่อหลักฐานที่จะใช้ในการตรวจสอบ เพื่อกำหนดแนวทางการตรวจสอบที่เหมาะสมต่อไปได้

รูปแบบของหลักฐานที่ผู้ตรวจสอบมักใช้ในการตรวจสอบระบบที่ทำด้วยมือ
1. เอกสารต้นกำเนิด เช่น แบบฟอร์มใบคำขอ
2. หลักฐานการอนุมัติ คือ การลงลายมือชื่อของผู้มีอำนาจในเอกสารต้นกำเนิดและการประทับวันที่และเวลาที่จัดทำเอกสารและผ่านการอนุมัติ
3. หลักฐานการประมวลผล เช่น แบบฟอร์มแสดงการคำนวณ คู่มือที่แสดงรายละเอียดข้อมูลหลักและกระดาษจากเครื่องบวกเลข
4. หลักฐานทางผลลัพธ์ เช่น เช็ค รายงานแสดงรายการเคลื่อนไหวทางบัญชี ใบเสร็จรับเงิน และรายงานต่าง ๆ

การเปลี่ยนแปลงลักษณะของหลักฐานเมื่อมีการนำเครื่องคอมพิวเตอร์มาใช้
1. รายการที่ทำโดยคน
ในระบบที่ทำด้วยมือ บุคคลมักเป็นผู้ให้กำเนิดรายการ และส่งเข้าสู่ระบบประมวลผล แต่ในกรณีที่ใช้คอมพิวเตอร์ ระบบงานคอมพิวเตอร์อาจให้กำเนิดรายการเองโดยอัตโนมัติ

2. ข้อมูลนำเข้าที่บันทึกในกระดาษ
เมื่อมีรายการเกิดขึ้น ในระบบที่ทำด้วยมือมักมีการจัดทำและบันทึกข้อมูลในเอกสารที่เป็นกระดาษ แต่ในระบบคอมพิวเตอร์ ข้อมูลจะบันทึกผ่านเครื่องเทอร์มินอล ซึ่งจะไม่ปรากฏอยู่ในเอกสารอีก เช่น การเปลี่ยนแปลงอัตราดอกเบี้ย พนักงานจะป้อนอัตราใหม่เข้าไปปรับปรุงที่แฟ้มข้อมูลหลักของลูกค้าเงินให้กู้ยืม ผ่านทางเครื่องเทอร์มินอลได้โดยทันที

3. การอนุมัติรายการ
ในระบบที่ทำด้วยมือ จะมีการอนุมัติรายการโดยผู้มีอำนาจอนุมัติ ลงลายมือชื่อ ชื่อย่อ หรือประทับตรายางแสดงการอนุมัติ แต่ในระบบคอมพิวเตอร์ จะมีการกำหนดการอนุมัติไว้ล่วงหน้า เช่น การกำหนดวงเงินการให้สินเชื่อในระบบ เมื่อมีการให้สินเชื่อระบบจะตรวจสอบว่าเกินวงเงินหรือไม่ หากไม่เกินที่กำหนด ระบบก็จะอนุมัติให้รายการผ่านได้โดยอัตโนมัติ

นอกจากนี้ การอนุมัติอาจกระทำได้ในรูปของการใช้ Password การรูดบัตรที่มีรหัสลับบันทึกไว้บนแถบแม่เหล็ก หรือการกำหนดระดับกุญแจที่ต้องใช้ประกอบการทำรายการที่เครื่องเทอร์มินอล

4. การจัดส่งข้อมูล
ในระบบที่ทำด้วยมือจะมีการจัดส่งข้อมูลในรูปของเอกสาร โดยใช้คนนำส่ง ส่งเป็นไปรษณีย์ภัณฑ์หรือส่งไปทางเรือ แต่ในระบบงานคอมพิวเตอร์ จะมีการจัดส่งข้อมูลหลังจากที่ได้บันทึกแปลงรหัส และรวบรวมไว้พร้อมแล้วในลักษณะของข้อมูลทางอิเล็คทรอนิกส์

5. การประมวลผลในรูปแบบที่มองเห็นได้
ในระบบที่ทำด้วยมือ มักมีการกำหนดขั้นตอนการประมวลผลแต่ละขั้นโดยไม่ซับซ้อน เพื่อลดความผิดพลาดที่อาจเกิดขึ้นจากบุคคลให้มากที่สุด แต่ในระบบคอมพิวเตอร์ การประมวลผลจะเป็นไปโดยอัตโนมัติตามขั้นตอนที่กำหนดไว้ในโปรแกรมคำสั่งงาน ซึ่งมักมีความสลับซับซ้อน อันเนื่องมาจากความต้องการให้เครื่องคอมพิวเตอร์สามารถปฏิบัติงานได้อย่างรวดเร็วและถูกต้องแม่นยำ

6. ข้อมูลหลัก
ข้อมูลหลักหรือข้อมูลที่ถาวรที่จำเป็นต้องใช้ในการประมวลผล มักบันทึกอยู่ในรูปข้อมูลที่อ่านได้ด้วยตาเปล่า แต่ในระบบคอมพิวเตอร์จะบันทึกอยู่ในรูปของสื่อแม่เหล็ก

7. รายงานข้อมูลผลลัพธ์
ในระบบที่ทำด้วยมือ ข้อมูลที่ได้จากการประมวลผลมักอยู่ในรูปของเอกสาร เช่น รายงาน เช็คที่พิมพ์รายการเรียบร้อย แต่ในระบบงานคอมพิวเตอร์มักไม่เป็นเช่นนั้น เช่น การโอนเงิน จะใช้วิธีโอนเงินทางอิเล็คทรอนิกส์ และข้อมูลผลลัพธ์ก็จะนำเสนอบนจอภาพ และในบางระบบอาจแสดงเฉพาะข้อมูลที่ไม่ปกติให้ทราบเพื่อปฏิบัติการต่อไปก็ได้

8. การจัดแฟ้มเอกสาร
ในระบบที่ประมวลผลด้วยมือ มักมีการจัดเก็บเอกสารข้อมูลในลักษณะที่เราพบเห็นกันโดยทั่วไป และเมื่อต้องการใช้ก็หาได้ไม่ลำบากนัก แต่ในระบบคอมพิวเตอร์มักเก็บข้อมูลอยู่ใน Disks ซึ่งการเรียกใช้หรือดึงข้อมูลออกมานั้นต้องใช้โปรแกรมคำสั่งงานดึงข้อมูลออกมาตามความต้องการ

9. ร่องรอยการตรวจสอบ
ในระบบที่ทำด้วยมือ ข้อมูลต่าง ๆ มักบันทึกอยู่ในรูปของเอกสาร ซึ่งจะมีทั้งข้อมูลต้นกำเนิดลายมือ ซึ่งแสดงการอนุมัติ วิธีการประมวลผล และผลลัพธ์ ซึ่งเพียงพอแก่การใช้เป็นร่องรอยในการตรวจสอบ ไม่ว่าจะเริ่มจากจุดกำเนิดรายการไปถึงยอดจำนวนรวม หรือย้อนกลับจากยอดจำนวนรวมไปยังเอกสารต้นกำเนิด

แต่ในระบบงานคอมพิวเตอร์ร่องรอยในการตรวจสอบมักกระจายกันอยู่ตามจุดต่าง ๆ ขึ้นอยู่กับลักษณะของระบบฐานข้อมูล และข้อมูลส่วนใหญ่เก็บอยู่ในรูปของสื่อแม่เหล็ก ผู้ตรวจสอบจึงจำเป็นต้องเข้าใจถึง Concept ของระบบการประมวลผล จึงจะสามารถทราบถึงขั้นตอนการประมวลผลและร่อยรอยที่จะใช้ในการตรวจสอบ ซึ่งก็ไม่ใช่เรื่องที่ง่ายนัก โดยเฉพาะอย่างยิ่งในระบบที่ค่อนข้างสลับซับซ้อน

10. คู่มือปฏิบัติงาน
ในระบบที่ทำด้วยมือ มักมีคู่มือปฏิบัติงานที่แสดงรายละเอียดแต่ละขั้นตอนของการประมวลรายการ เพื่อเป็นแนวทางสำหรับผู้ปฏิบัติงาน แต่ในระบบงานคอมพิวเตอร์คู่มือเหล่านี้อาจอยู่ในรูปของ Computer Program Listing, Data Dictionary Listing และเอกสารที่ผู้ขาย Software มอบให้แก่องค์กร

11. การติดตามรายการ
ในระบบที่ทำด้วยมือ ผู้มีอำนาจอนุมัติมักสอบทานการประมวลผลข้อมูลเพื่อให้เกิดความมั่นใจว่าข้อมูลดังกล่าวมีความสมเหตุสมผล มีความถูกต้องครบถ้วนสมบูรณ์และผ่านการอนุมัติ แต่ในระบบงานคอมพิวเตอร์โปรแกรมที่ได้กำหนด Logic ไว้ล่วงหน้าจะเช็คสอบข้อมูลเหล่านี้โดยอัตโนมัติ การใช้คนสอบทานแทบจะเป็นไปไม่ได้ โดยเฉพาะอย่างยิ่งในระบบคอมพิวเตอร์ที่มีความสลับซับซ้อนและเป็นระบบรวม และมีวงจรการประมวลผลที่สั้นขึ้นกว่าเดิม

12. การแบ่งแยกหน้าที่
ในระบบที่ทำด้วยมือ การแบ่งแยกหน้าที่ มักกระทำโดยการแบ่งแยกงาน ในระหว่างบุคคลต่าง ๆ เพื่อเกิดการควบคุมซึ่งกันและกัน ซึ่งก็มักเพียงพอและไม่ใคร่มีปัญหา แต่ในระบบงานคอมพิวเตอร์การแบ่งแยกงานในระหว่างบุคคลต่าง ๆ นั้นยังไม่เพียงพอ จำเป็นต้องมีการแบ่งแยกงานระหว่างขั้นตอนการประมวลผลโดยอัตโนมัติในแต่ละขั้นด้วย

13. การประมวลผลรายการจำนวนมาก
ในระบบที่ทำด้วยมือ มักใช้วิธี Resequencing หรือ Matching Diverse Data Elements แต่วิธีดังกล่าวก็ยุ่งยากและสิ้นเปลือง และจะกระทำเมื่อจำเป็นเท่านั้น ในระบบคอมพิวเตอร์ ข้อมูลจำนวนมากเหล่านั้นสามารถนำไปเก็บไว้ใน Database เพียงอันเดียว

และเนื่องจากคอมพิวเตอร์มีความสามารถในการประมวลผลด้วยความเร็วสูงมาก จึงสามารถนำเสนอข้อมูลดังกล่าวได้ในรูปแบบที่ต้องการได้ทุกเมื่อ และสามารถทำการวิเคราะห์ข้อมูลได้ละเอียดซับซ้อนกว่า อีกทั้งจะเรียกใช้ข้อมูลมากกว่าหนึ่งครั้งก็ได้

 

ผลกระทบจากการที่รูปแบบของหลักฐานที่ใช้ในการตรวจสอบได้เปลี่ยนแปลงไป (Impact of Changing Evidence on the IT Audit)

วันนี้ผมจะมาเล่าสู่กันฟัง ในเรื่องที่เกี่ยวข้องกับ ผลกระทบของหลักฐานการตรวจสอบที่มีจะเกี่ยวข้องกับกระบวนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ ทั้งในรูปแบบการตรวจสอบ IT Audit และ Manual Audit

ถึงแม้จะเป็นการตรวจสอบระบบงานเดียวกัน แต่หากรูปแบบของหลักฐานการตรวจสอบเปลี่ยนแปลงไป วิธีการและกระบวนการตรวจสอบก็ต้องเปลี่ยนแปลงตามไปด้วย ทั้งนี้เพราะ หลักฐานการตรวจสอบจะมีส่วนสำคัญยิ่งต่อการวางแผนการตรวจสอบของผู้ตรวจสอบภายใน รวมทั้งผู้รับรองงบการเงินในส่วนที่เกี่ยวข้อง

ท่านผู้ตรวจสอบ ลองเปรียบเทียบวิธีและกระบวนการตรวจสอบของตัวอย่าง ซึ่งผมจะได้กล่าวต่อไปนี้นะครับ แล้วพิจารณาว่า ทำไมผู้ตรวจสอบจึงต้องมีวิธีการตรวจสอบที่แตกต่างกันไป จาก 2 ตัวอย่างที่จะกล่าวถึง

ดังนั้น ความเข้าใจในกระบวนการปฏิบัติงาน ในระบบงานที่ตรวจสอบและหลักฐานที่เกี่ยวข้อง จึงเป็นเรื่องที่มีความสำคัญอย่างยิ่งกับผู้ตรวจสอบทุกประเภท สำหรับการวางแผนการตรวจสอบ ยังมีเกร็ดและมุมมองที่จะพิจารณา ที่อาจอธิบายได้เพิ่มเติมอีกมากพอสมควรนั้น ผมจะได้นำมาเล่าสู่กันฟังในภายหลัง เพื่อไม่ให้ท่านผู้ตรวจสอบเบื่อเรื่องการวางแผนการตรวจสอบ ซึ่งอาจจะมีมากมายจากปัจจัยและมุมมองที่แตกต่างกัน

ตัวอย่างในการตรวจสอบข้างล่างนี้ ขอให้ท่านใช้ดุลยพินิจและความเข้าใจให้ดี เพื่อเป็นรากฐานการตรวจสอบในเรื่องอื่น ๆ ต่อไป

กรณีตัวอย่าง ก.

องค์การ ก. ได้ใช้ระบบงานคอมพิวเตอร์ในการจ่ายเงินเดือนพนักงานแต่ละคนจะกรอกรายละเอียดชั่วโมงในใบลงเวลา แล้วให้ผู้ควบคุม (Supervisor) ลงลายมือชื่ออนุมัติ หลังจากนั้นจะรวบรวมข้อมูลไปป้อน (Key) ข้อมูลลง disk โดยใช้เครื่อง key-to-disk machine ซึ่งจะมีสำเนาข้อมูลส่งกลับมาให้ผู้ควบคุมตรวจสอบความถูกต้องอีกครั้งหนึ่ง และเมื่อเริ่มต้นงวดรอบระยะเวลาการจ่ายเงินเดือนแต่ละครั้ง จะมีการปรับปรุงข้อมูลที่มีการเปลี่ยนแปลง เช่นอัตราค่าจ้างและรายการหักค่าลดหย่อนต่าง ๆ และมีการพิมพ์รายงานแสดงรายละเอียดการจ่ายค่าจ้างของพนักงานแต่ละคนส่งให้แผนกงานต่าง ๆ เพื่อใช้เป็นข้อมูลในการจัดเตรียมการจ่ายค่าจ้าง และในขั้นสุดท้ายก็จะมีการจัดพิมพ์เช็ค และส่งให้ผู้ควบคุมแต่ละคน เพื่อจ่ายให้แก่พนักงาน และจะมีการกระทบยอดเช็คสลักหลัง โดยฝ่ายบุคคลที่อยู่แยกต่างหากจากแผนกที่ทำหน้าที่เกี่ยวกับการจ่ายเงินเดือน

ในระบบกรณีองค์กร ก. ดังกล่าว รูปแบบของหลักฐานจะไม่ถูกกระทบกระเทือนหรือเปลี่ยนไปมากนัก ยังคงสามารถใช้วิธีการตรวจสอบเช่นที่ทำในระบบบเดิมได้ แต่ถ้าผู้ตรวจสอบจะต้องการปรับปรุงประสิทธิภาพ และความประหยัดในการตรวจสอบ โดยนำเอาเทคโนโลยีทางด้านคอมพิวเตอร์เข้ามาช่วยในการตรวจสอบได้ เช่น การใช้ audit software เป็นต้น

กรณีตัวอย่าง ข.

องค์การ ข. ได้ใช้ระบบงานคอมพิวเตอร์ในการจ่ายเงินเดือน ซึ่งระบบนี้จะรวบรวม และบันทึกข้อมูลผ่านเครื่องเทอร์มินอล โดยพนักงานแต่ละคนจะใช้บัตรที่มีแถบแม่เหล็กบันทึกรายการรูดผ่านเครื่องเทอร์มินอล เพื่อบันทึกเวลาที่เข้าทำงานประจำวันและเวลาเลิกงาน เครื่องก็จะบันทึกข้อมูลชั่วโมงการทำงานของพนักงานคนนั้น ๆ ไว้ เมื่อมีการเปลี่ยนแปลงข้อมูลหลัก เช่น อัตราค่าจ้าง ฝ่ายบุคคลก็จะป้อนรายการเปลี่ยนแปลง พร้อมวันที่มีผลบังคับใช้ผ่านทางเครื่องเทอร์มินอล เพื่อปรับปรุงข้อมูลใน database โดยตรง ข้อมูลเกี่ยวกับค่าจ้างที่ต้องจ่ายที่ได้จากการประมวลผล จะถูกส่งไปยังธนาคารเพื่อโอนเงินเข้าบัญชีให้พนักงาน ในลักษณะที่เป็นการโอนเงินทางอิเล็คทรอนิกส์ และจะส่ง statement แสดงรายละเอียดการโอนเงินเข้าบัญชีให้แก่พนักงานถึงบ้าน

ในระบบกรณีองค์กร ข. ดังกล่าว จะเห็นว่ารูปแบบของหลักฐานได้เปลี่ยนแปลงไปอย่างมาก จึงจำเป็นต้องอาศัยวิธีการตรวจสอบแบบใหม่ ซึ่งต่างจากการนำคอมพิวเตอร์เข้ามาใช้ในกรณี ก. ซึ่งไม่ได้ทำให้รูปแบบของหลักฐานเปลี่ยนแปลงไป จึงสามารถใช้วิธีการตรวจสอบแบบเดิมได้ ดังนั้น อาจกล่าวได้ว่า ตัวคอมพิวเตอร์เองนั้น ไม่ได้มีผลต่อผู้ตรวจสอบโดยตรง แต่ผลกระทบจากระบบงานคอมพิวเตอร์ที่มีรูปแบบของหลักฐานที่ใช้ในการตรวจสอบต่างหาก ที่มีความสำคัญ และทำให้ผู้ตรวจสอบต้องกำหนดวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับรูปแบบของหลักฐานที่ได้เปลี่ยนแปลงไป

อย่างไรก็ดี ก่อนที่จะมีการตรวจสอบระบบคอมพิวเตอร์นั้น ผู้ตรวจสอบควรทราบถึงลักษณะของเทคโนโลยีที่องค์กรควรใช้เสียก่อน โดยอาจจะใช้ Audit Impact Matrix เพื่อระบุถึงผลกระทบที่มีต่อรูปแบบของหลักฐาน หากเทคโนโลยีนั้นมีผลให้รูปแบบของหลักฐานเปลี่ยนแปลงไป ผู้ตรวจสอบก็ต้องพิจารณาว่า จะมีผลให้ต้องนำวิธีการตรวจสอบแบบใหม่มาใช้หรือไม่ ในกรณีที่รูปแบบของหลักฐานได้เปลี่ยนแปลงไปโดยสิ้นเชิง ผู้ตรวจสอบอาจจำเป็นต้องมีทักษะหรือความเชี่ยวชาญในการตรวจสอบ EDP โดยเฉพาะ จึงจะสามารถตรวจสอบได้อย่างเหมาะสม

 

การวางแผนการตรวจสอบทางด้าน IT Audit – General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ (ต่อ)

วันนี้นะครับ ผมยังไม่อธิบายอะไรเพิ่มเติม เพียงแต่ให้ท่านได้เห็นแผนภาพกระบวนการตรวจสอบ ต่อจาก 2 ครั้งที่ผ่านมา เท่านั้น

ทั้งนี้ ขอท่านได้โปรดใช้ดุลยพินิจ และประเมินภาพการตรวจสอบ ในภาคปฏิบัติจริงของท่าน ในแต่ละขั้นตอนของการตรวจสอบว่า แต่ละขั้นตอน แต่ละกระบวนการตรวจสอบ ท่านต้องการหลักฐานอะไรในการตรวจสอบ และทดสอบการควบคุมต่าง ๆ ในส่วนที่เกี่ยวข้อง และกระบวนการที่ท่านดำเนินการอยู่ จะมีผลกระทบต่อการตรวจสอบในขั้นตอนต่อไปอย่างไร ต้องการหลักฐานอะไรที่สนับสนุนเป้าประสงค์ในการตรวจสอบ และขอบเขตในการตรวจสอบที่ได้รับมอบหมายในแต่ละครั้ง และถ้าท่านพบจุดอ่อนในกระบวนการต่าง ๆ ที่ดำเนินการอยู่ในกระบวนการตามแผนภาพการตรวจสอบนั้น ท่านจะดำเนินการในขั้นตอนนั้น และขั้นตอนต่อไปอย่างไร

การวางแผนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ มีมุมมองต่าง ๆ ที่อาจอธิบายได้ในลักษณะต่าง ๆ กันอีกมากพอสมควร เช่น ความซับซ้อนของระบบคอมพิวเตอร์ ลักษณะงานที่แตกต่างกัน และสภาพแวดล้อมที่แตกต่างกัน โดยเฉพาะอย่างยิ่งวัฒนธรรมขององค์กรที่แตกต่างกันมาก ก็มีผลอย่างสำคัญยิ่งต่อการวางแผนการตรวจสอบ นะครับ

 

การวางแผนการตรวจสอบทางด้าน IT Audit – General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ (ต่อ)

วันนี้ เรามาเล่าสู่กันฟังต่อนะครับ ถึงเรื่องการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ท่านคณะกรรมการตรวจสอบ และผู้ตรวจสอบที่ติดตามหัวข้อนี้อยู่หลายท่าน คงต้องอดทนในการติดตามกรอบความคิด ในลักษณะ Holistic Framework ขององค์กรที่ใช้คอมพิวเตอร์ เพื่อการวางแผนการตรวจสอบทางด้าน IT Audit และการตรวจสอบทางด้าน Manual ซึ่งผู้ตรวจสอบทางด้าน Manual หรือ Non – IT ควรจะได้เข้าใจผลกระทบของเทคนิคโนโลยีด้าน IT หรือเทคโนโลยีสารสนเทศ ต่อกระบวนการตรวจสอบทางด้านการเงิน ทางด้านการดำเนินงาน ทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่ข้อมูลต่าง ๆ ปรากฎในรายงานที่ผู้ตรวจสอบต้องใช้ในการตรวจสอบ ซึ่งเป็นลักษณะการตรวจสอบพื้นฐานของทางด้าน Non – IT Auditor เพราะเป็นหลักฐานที่สามารถเห็นได้ด้วยตาเพียงประการเดียว

อย่างไรก็ดี ผู้ตรวจสอบทางด้าน Manual หรือทางด้าน Non – IT ที่มีความรู้ ความสามารถอีกระดับหนึ่ง ในการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์นั้น ก็อาจใช้เครื่องมือ หรือโปรแกรมเข้าช่วยในการวิเคราะห์ข้อมูล เพื่อการตรวจสอบจากระบบฐานข้อมูลที่องค์กรมีอยู่ได้

ในความเข้าใจของผม การใช้โปรแกรมวิเคราะห์ข้อมูล หรือดึงข้อมูลเพื่อการตรวจสอบ เป็นเพียงการใช้เครื่องมือเพื่อความสะดวกของผู้ตรวจสอบทางด้าน Manual หรือ Non – IT เป็นส่วนใหญ่ วิธีการดังกล่าว ยังไม่อาจเรียกได้ว่า เป็นการตรวจสอบทางด้าน IT หรือ IT Audit

ดังนั้น ผู้ที่ติดตามหัวข้อ IT Audit และ Non – IT Audit บางท่าน อาจสงสัยว่า ทำไมผมไม่อธิบายความแตกต่างของการตรวจสอบทั้ง 2 เรื่อง เสียที ผมขอถือโอกาสนี้อธิบายว่า สำหรับท่านที่ติดตามหัวข้อ IT Audit และ Non – IT Audit มาตั้งแต่ต้น และจนถึงวันนี้คงจะเข้าใจแล้วนะครับว่า ผมต้องการนำเสนอให้ท่านที่สนใจได้เข้าใจสภาพแวดล้อมในองค์กรที่ใช้คอมพิวเตอร์ ที่มีผลต่อกระบวนการตรวจสอบทางด้าน Manual หรือทางด้าน Non – IT เป็นอย่างมาก เช่น หลักฐานการตรวจสอบ ร่องรอยการตรวจสอบ วิธีการตรวจสอบ เทคนิคการตรวจสอบ การสุ่มตัวอย่างเพื่อตรวจสอบ การควบคุมภายในตามฐานความเสี่ยง ตั้งแต่ Input, Process และ Output ได้เปลี่ยนแปลงไปอย่างสิ้นเชิง ซึ่งผมจะค่อย ๆ นำเสนอต่อไป หลังจากที่ผมได้เกริ่นนำเพื่อสร้างความเข้าใจในภาพโดยรวมขององค์กรที่ใช้คอมพิวเตอร์ที่มีผลต่อการตรวจสอบ โดยเฉพาะอย่างยิ่งขั้นตอนการวางแผนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์

ครั้งนี้ ผมจึงขอนำเสนอการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ต่อจากคราวที่แล้ว ซึ่งอธิบายด้วยแผนภาพ ที่จะสร้างความเข้าใจให้กับผู้เกี่ยวข้องได้ดีกว่าการบรรยายเป็นตัวอักษร ดังนี้

แผนภาพการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ยังไม่จบนะครับ ผมจะนำเสนอในครั้งต่อไป และจะเริ่มด้วยตัวอย่างการตรวจสอบทางด้าน IT Audit และ Non – IT

อนึ่ง หากแผนภาพที่นำเสนอไม่ชัดเจน หรือมีขนาดเล็กเกินไป ผมขอแนะนำวิธีการขยายหน้าจอ โดยการกด Ctrl พร้อมกับเลื่อน Scroll ของ Mouse ไปด้านหน้าเพื่อขยายภาพให้ใหญ่ขึ้น และหากต้องการย่อให้เหมือนเดิมก็เลื่อน Scroll Mouse ไปด้านหลัง ภาพก็จะมีขนาดเล็กลง หรือกลับสู่ขนาดเดิม

 

การวางแผนการตรวจสอบ ทางด้าน IT Audit – General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์

ผมเคยพูดถึง ขั้นตอนการวางแผนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ ในภาพกว้าง ตามมุมมองต่าง ๆ มาแล้ว วันนี้ ก่อนที่จะลงรายละเอียดในเรื่อง การตรวจสอบทางด้าน IT และ Non – IT Audit ผมใคร่จะขอกล่าวถึง ขั้นตอนและการวางแผนงานการตรวจสอบทางด้าน General Control และ Application Control ซึ่งเป็นการตรวจสอบงานทางด้านคอมพิวเตอร์ หรือ IT

ขอให้ผู้ตรวจสอบลองศึกษารายละเอียดของ ขั้นตอนการวางแผนการตรวจสอบทางด้าน IT ที่อธิบายด้วยแผนภาพย่อ ๆ แสดงความสัมพันธ์ของการวางแผนการตรวจสอบ ขั้นตอนที่ 1 จนถึงขั้นตอนที่ 11 โดยแสดงความสัมพันธ์ของงานการตรวจสอบทางด้าน IT ที่เชื่อมโยงไปถึง การตรวจสอบทางด้าน Non – IT รวมทั้งการตรวจสอบความถูกต้องของรายงานทางการเงินที่เป็นหัวใจของการบริหาร และการจัดการในระดับสูงที่ต้องใช้ข้อมูลจากรายงานต่าง ๆ ในการตัดสินใจ และดำเนินการสั่งการในเรื่องที่เกี่ยวข้อง

จากแผนภาพที่แสดงขั้นตอนความเกี่ยวพันในการวางแผนการตรวจสอบ ดังจะกล่าวต่อไปนี้นั้น ขอให้ผู้ตรวจสอบ และคณะกรรมการตรวจสอบ รวมทั้งผู้บริหารที่เกี่ยวข้องได้ประเมินถึงความเสี่ยง และศักยภาพในการดำเนินงานของสายงานตรวจสอบ ที่จะมีผลกระทบต่อกลยุทธ์การดำเนินงาน ประสิทธิภาพ ประสิทธิผลในการดำเนินงาน ความถูกต้องของรายงานทางการเงิน และรายงานต่าง ๆ และการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามหลักการของ COSO – ERM ในส่วนที่เกี่ยวข้องกับความเสี่ยงและการควบคุมทางด้าน S – O – F – C ต่อไป

โปรดประเมินจุดอ่อนจากการวางแผนการตรวจสอบ ที่หน่วยงานของท่านดำเนินการอยู่ เปรียบเทียบกับขั้นตอนและการวางแผนการตรวจสอบภาคปฏิบัติ ซึ่งในบางขั้นตอนและบางส่วนของการวางแผนการตรวจสอบภาคปฏิบัติ อาจมีการดัดแปลงให้เหมาะสมและสอดคล้องกับเป้าประสงค์การตรวจสอบ เป็นการเฉพาะกิจในแต่ละเรื่องไปก็ได้ เช่น ในช่วงเศรษฐกิจขาลงของประเทศไทย และของทั่วโลกในปัจจุบัน การตรวจสอบการทุจริตและการตรวจสอบความบกพร่องของการแบ่งแยกหน้าที่ โดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวข้องกับ Operational Risk จะมีส่วนสำคัญและมีน้ำหนักที่เพิ่มขึ้น เมื่อเทียบกับขั้นตอนและการวางแผนการตรวจสอบ ในช่วงเวลาเศรษฐกิจที่เป็นปกติ หรือในช่วงเศรษฐกิจขาขึ้น เป็นต้น

ขั้นตอนการวางแผนการตรวจสอบตามแผนภาพนี้ จะทยอยเล่าสู่กันฟังอย่างต่อเนื่องกันไปนะครับ

 

ความเข้าใจในกระบวนการตรวจสอบ กับการวางแผนการตรวจสอบ ทั้งทางด้าน IT Audit และ Manual / Non – IT Audit (ต่อ)

วันนี้ ท่านผู้ที่ติดตามในเรื่องการตรวจสอบ จะได้พบกับคำใหม่คำหนึ่ง ซึ่งผมพึ่งนำมาใช้ในการเขียนเกี่ยวกับการตรวจสอบ ก็คือ Manual Audit ซึ่งหมายถึง Non – IT Audit ด้วยนั้น ก็เพราะ ตั้งใจที่จะให้ท่านผู้อ่านได้ทราบว่า ในหลาย ๆ กรณีที่ผู้ตรวจสอบใช้เทคนิคการตรวจสอบด้าน IT ในลักษณะ Around the Computer คือการตรวจสอบ Input กับ Output โดยไม่มีการวางแผน และดำเนินการตรวจสอบ Process ซึ่งเกี่ยวข้องกับการตรวจสอบความถูกต้องของ Program การปฏิบัติงาน รวมทั้ง Application ต่าง ๆ นั้น จะมีผลอย่างไรต่อการวางแผนการตรวจสอบ และความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders)

ในกรณีที่กล่าวในวรรคต้น ผู้ตรวจสอบบางท่าน อาจสรุปตามความเข้าใจของตนเองว่า นี่เป็นการตรวจสอบทางด้าน IT หรือ IT Audit แล้ว เพราะเทคนิคการตรวจสอบทางด้าน IT มี 2 รูปแบบหลัก ๆ ก็คือ ใช้เทคนิค Around the Computer และเทคนิคตรวจสอบที่เรียกว่า Through the Computer ซึ่งเป็นการตรวจสอบ Input กับ Process โดยเฉพาะอย่างยิ่ง การเน้น Logic หรือความสมเหตุสมผลของโปรแกรมที่เกี่ยวข้องในการปฏิบัติงานว่า มีการปฏิบัติการและมีการควบคุมจุดอ่อนที่เป็นความเสี่ยง ในกิจกรรมที่เกี่ยวข้อง ที่มีผลต่อ Business Process ที่ส่งต่อไปยัง Business Objective ในรายงานต่าง ๆ ที่ผู้บริหารและผู้ที่เกี่ยวข้องต้องใช้อย่างไรบ้าง

ผมเคยกล่าวย้ำอยู่บ่อย ๆ ว่า หากข้อมูลหรือสารสนเทศ ที่ปรากฎในรายงานต่าง ๆ ไม่ถูกต้อง ไม่น่าเชื่อถือได้ ไม่ Update ซึ่งเกิดจากองค์ประกอบหลัก ๆ 3 ประการ หรือ 7 ประการ ขึ้นกับว่า ผู้ตรวจสอบจะใช้มาตรฐาน ISO 27001 ที่พูดถึง CIA – Confidentiality, Integrity, Availabity หรือใช้องค์ประกอบที่ดีของสารสนเทศ ตามกรอบของ CobiT ซึ่งมี 7 องค์ประกอบด้วยกัน นอกเหนือไปจาก CIA ก็คือ Effectivess, Efficiency, Reliability, Compliance ที่ผมได้กล่าวอยู่หลายครั้งแล้วนะครับ

การตรวจสอบใด ๆ ที่ไม่มีการตรวจสอบความน่าเชื่อถือได้ของกระบวนการปฏิบัติงาน และการควบคุมที่เกี่ยวข้อง ที่เกี่ยวข้องกับ Application จะสรุปว่า เป็นการตรวจสอบทางด้าน IT แล้ว ไม่น่าจะเหมาะสมนัก ถึงแม้จะมีการตรวจสอบทางด้าน General Control มาแล้วก็ตาม รายละเอียดผมจะขออธิบายและกล่าวถึงทั้ง 2 เรื่องในโอกาสต่อไป

มีองค์กรและผู้ตรวจสอบจำนวนค่อนข้างมาก ที่อยู่ในระหว่างการพัฒนาเทคนิคการตรวจสอบ และองค์ความรู้ที่เกี่ยวข้องกับทรัพยากรการตรวจสอบทางด้าน IT กำลังดิ้นรน เพื่อที่จะติดตามให้ทันความก้าวหน้าทางด้านเทคโนโลยีสารสนเทศ ที่เติบโตอย่างรวดเร็ว ทำให้ผู้บริหารและผู้ตรวจสอบ ทั้งในประเทศและต่างประเทศ ไม่อาจติดตามก้าวทันกับเทคโนโลยียุคใหม่ได้ ทำให้ก่อให้เกิดความเสี่ยงในรูปแบบต่าง ๆ ที่มีผลต่อ Business Objective เป็นอย่างมาก และนับวันจะมีช่องว่างในเรื่องนี้มากขึ้น

Audit Committee and Auditors Understanding in Holistic Framework of Audit Risk Perspective and Concerned

ความเสี่ยงในการตรวจสอบหลัก ๆ ที่เกี่ยวข้องกับการวางแผนการตรวจสอบ ก็คือ

– Poor Security ที่เกี่ยวข้องกับหลักการ CIA 3 ข้อหลัก และ/หรือหลักการตาม CobiT 7 ข้อหลัก,

– Poor Management ผู้บริหารและผู้ที่เกี่ยวข้องไม่เข้าใจกระบวนการบริหาร ตามหลักการของ GRC ที่เกี่ยวข้องกับ Integrity – Driven Performance และการควบคุมความเสี่ยงที่ขาดการประสานและบูรณการ ของการควบคุมในแต่ละ Activities ที่ส่งผลไปยังความสมบูรณ์ในการควบคุมในแต่ละ Business Process และมีผลต่อเนื่องไปยัง การโอน แก้ไข การปรับปรุงข้อมูล การข้ามขั้นตอนการควบคุม (Override) ของผู้บริหาร ซึ่งทำให้พิจารณาได้ว่า ไม่มีการควบคุมอยู่เลย ซึ่งเป็นอันตรายอย่างยิ่ง และมีตัวอย่างมากมายในประเทศไทย รวมทั้งที่เกิดขึ้นในสถาบันการเงินบางแห่ง เมื่อไม่นานมานี้ ทำให้การวิเคราะห์ และความถูกต้องของรายงาน รวมทั้งการตัดสินใจ ที่มาจากรายงานถูกบิดเบือนไปและไม่ถูกต้อง ซึ่งมีผลสำคัญอย่างยิ่งยวดต่อการวางแผนการตรวจสอบ ทั้งทางด้าน IT และ Non – IT / Manual Audit เพราะผู้ตรวจสอบส่วนใหญ่ ก็เข้าไม่ถึงจุดอ่อนที่อยู่สูงเกินความสามารถของผู้ตรวจสอบ ซึ่งอาจจะอยู่ในระดับที่ต่ำกว่า C-Level เป็นส่วนใหญ่

เป็นที่แน่นอนว่า จาก Poor Security และตามมาด้วย Poor Management
ที่กล่าวข้างต้น จะทำให้การวางแผนการตรวจสอบที่ต้องผ่านคณะกรรมการตรวจสอบ จะมีจุดอ่อนอย่างมีนัยสำคัญ และส่งผลอย่างมีนัยสำคัญยิ่งต่อ Audit Risk นั่นคือ ผู้ตรวจสอบไม่ได้วางแผนการตรวจสอบ ให้สัมพันธ์กับความเสี่ยง ในเรื่อง Poor Security และ Poor Management ตามหลักการ IT Governance และตามหลักการของ GRC

– Misdirected คณะกรรมการและผู้บริหารในระดับที่ต้องใช้รายงานในการตัดสินใจ ทางด้านกลยุทธ์และแผนการดำเนินงาน ตลอดจนวัดความสำเร็จในการดำเนินงานด้วย KPI ต่าง ๆ จากรายงานการตรวจสอบที่ไม่โปร่งใส ไม่น่าเชื่อถือได้ ในรูปแบบต่าง ๆ รวมไปถึง รายงานที่เกี่ยวข้องกับการลงทุนทางด้าน IT และศักยภาพการใช้ IT ที่มีผลต่อการบริหาร IT Portfolio Management ที่เกี่ยวข้องกับความเสี่ยง และการจัดระดับความสำคัญ รวมทั้งการบริหารต้นทุนที่เกี่ยวข้อง ก็จะทำให้การจัดการโดยรวมของทั้งองค์กรในลักษณะบูรณาการนั้น มีจุดอ่อนอย่างมีนัยสำคัญยิ่ง ทั้ง ๆ ที่องค์กรนั้น มีผู้บริหารที่มีศักยภาพและความสามารถส่วนตัวที่ดีก็ตาม ซึ่งนำไปสู่ความล้มเหลวในการบริหารความเสี่ยง ในการบรรลุเป้าประสงค์ต่าง ๆ ขององค์กรอย่างน่าเสียดาย

คำถามสำคัญต่อคณะกรรมการตรวจสอบ และผู้ตรวจสอบ ก็คือ คณะกรรมการตรวจสอบจะทราบได้อย่างไรว่า การวางแผนการตรวจสอบเพื่อประเมินศักยภาพของการควบคุม ทั้งทางด้าน IT และ Non – IT นั้น น่าเชื่อถือได้ และต้องการศักยภาพของผู้ตรวจสอบในมุมมองใด จึงจะสามารถลดความเสี่ยงทางด้าน Audit Risk ในมุมมองของ CG + ITG + GRC ที่เหมาะสมได้

– Fraud การวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบการทุจริต ในอดีตเป็นเป้าหมายหลักของผู้ตรวจสอบภายใน และต่อมา มาตรฐานการตรวจสอบภายในก็ได้เปลี่ยนแปลงว่า ผู้ตรวจสอบภายในจะตรวจสอบศักยภาพและความสามารถในการจัดการ ทางด้านต่าง ๆ ตามหลักการของห BSC และต่อมาในปัจจุบันก็คือ ผู้ตรวจสอบภายใน ทำหน้าที่ให้คำปรึกษากับผู้บริหารสายงานต่าง ๆ ซึ่งเมื่อพิจารณาตาม wording ของมาตรฐานที่กำหนดไว้ ก็ดูดี และทำให้ผู้ได้รับการตรวจสอบ มีความพึงพอใจในเป้าประสงค์ที่เปลี่ยนแปลง ในการเพิ่มคุณค่าให้กับองค์กร แทนการจับผิดในลักษณะเดิมเป็นอย่างมาก

อย่างไรก็ดี มาตรฐานการตรวจสอบผู้รับรองงบการเงิน ของบริษัทยักษ์ใหญ่ ในระดับโลก ซึ่งปัจจุบันเป็นที่รู้จักกันดีว่ามี 4 บริษัท นั้น จะต้องมีการปฏิบัติงานเพื่อสอบทาน ความน่าเชื่อถือได้ ของการควบคุมภายใน ที่มีผลต่อการทุจริตในมุมมองต่าง ๆ ที่มีนัยสำคัญ โดยเฉพาะอย่างยิ่ง มีผลกระทบต่อรายงานทางการเงิน ที่ปรากฎขึ้นแล้ว หรือ อาจปรากฎขึ้นในอนาคต จากกระบวนการทำงานที่มีจุดอ่อน โดยเฉพาะอย่างยิ่ง จากระบบการดำเนินงานขององค์กร ซึ่งเรียกกันทั่ว ๆ ไปว่า Operational Risk ที่จะส่งผลกระทบอย่างสำคัญยิ่งต่อ Financial Risk เป็นต้น

Audit Committee and Understanding / Long Term Sustainable Sucess of the Enterprise in Credit Risk Management

เมื่อคณะกรรมการตรวจสอบ ผู้บริหารที่เกี่ยวข้อง และผู้ตรวจสอบภายใน ทั้งด้าน IT และด้าน Manual Audit ได้อ่านมาถึงในวรรคนี้แล้ว ท่านคิดอย่างไรครับกับกระบวนการวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบ สำหรับท่านที่เป็นผู้บริหารทางด้านบุคลากร ท่านคิดอย่างไรครับ ต่อการพัฒนาบุคลากรในองค์กรของท่าน เพื่อก้าวให้ทันกับสภาพแวดล้อมทางด้านเทคโนโลยีสารสนเทศ ที่เปลี่ยนแปลงไปอย่างมาก

ท่านทราบไหมครับว่า องค์กรของท่านเอง อาจจะมีความเสี่ยงจาก Audit Risk ในขณะเดียวกันก็มีความเสี่ยงที่สำคัญยิ่ง ต่อการบริหารความเสี่ยงทั่วทั้งองค์กร ที่คณะกรรมการและผู้บริหารควรจะได้เข้าใจผลกระทบต่อ IT Risk ที่มีต่อ Business Risk อย่างมีนัยสำคัญ ตามที่กล่าวข้างต้น

วันนี้ผมตั้งใจที่จะมาพูดถึง การวางแผนการตรวจสอบในมุมมองต่าง ๆ ต่อจากครั้งก่อน แต่ความคิดพาไปสู่การเล่าเรื่องที่กล่าวและน่าห่วงใยข้างต้น ซึ่งครั้งต่อไป ผมจะได้มาพูดถึง การวางแผนการตรวจสอบในมุมมองต่าง ๆ ที่เป็นรายละเอียด ซึ่งเป็นขั้นตอนสำคัญยิ่งต่อความสำเร็จในกระบวนการตรวจสอบทั้งมวล