Posts Tagged "Manual Audit"

ความเข้าใจในกระบวนการตรวจสอบ กับการวางแผนการตรวจสอบ ทั้งทางด้าน IT Audit และ Manual / Non – IT Audit (ต่อ)

วันนี้ ท่านผู้ที่ติดตามในเรื่องการตรวจสอบ จะได้พบกับคำใหม่คำหนึ่ง ซึ่งผมพึ่งนำมาใช้ในการเขียนเกี่ยวกับการตรวจสอบ ก็คือ Manual Audit ซึ่งหมายถึง Non – IT Audit ด้วยนั้น ก็เพราะ ตั้งใจที่จะให้ท่านผู้อ่านได้ทราบว่า ในหลาย ๆ กรณีที่ผู้ตรวจสอบใช้เทคนิคการตรวจสอบด้าน IT ในลักษณะ Around the Computer คือการตรวจสอบ Input กับ Output โดยไม่มีการวางแผน และดำเนินการตรวจสอบ Process ซึ่งเกี่ยวข้องกับการตรวจสอบความถูกต้องของ Program การปฏิบัติงาน รวมทั้ง Application ต่าง ๆ นั้น จะมีผลอย่างไรต่อการวางแผนการตรวจสอบ และความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders)

ในกรณีที่กล่าวในวรรคต้น ผู้ตรวจสอบบางท่าน อาจสรุปตามความเข้าใจของตนเองว่า นี่เป็นการตรวจสอบทางด้าน IT หรือ IT Audit แล้ว เพราะเทคนิคการตรวจสอบทางด้าน IT มี 2 รูปแบบหลัก ๆ ก็คือ ใช้เทคนิค Around the Computer และเทคนิคตรวจสอบที่เรียกว่า Through the Computer ซึ่งเป็นการตรวจสอบ Input กับ Process โดยเฉพาะอย่างยิ่ง การเน้น Logic หรือความสมเหตุสมผลของโปรแกรมที่เกี่ยวข้องในการปฏิบัติงานว่า มีการปฏิบัติการและมีการควบคุมจุดอ่อนที่เป็นความเสี่ยง ในกิจกรรมที่เกี่ยวข้อง ที่มีผลต่อ Business Process ที่ส่งต่อไปยัง Business Objective ในรายงานต่าง ๆ ที่ผู้บริหารและผู้ที่เกี่ยวข้องต้องใช้อย่างไรบ้าง

ผมเคยกล่าวย้ำอยู่บ่อย ๆ ว่า หากข้อมูลหรือสารสนเทศ ที่ปรากฎในรายงานต่าง ๆ ไม่ถูกต้อง ไม่น่าเชื่อถือได้ ไม่ Update ซึ่งเกิดจากองค์ประกอบหลัก ๆ 3 ประการ หรือ 7 ประการ ขึ้นกับว่า ผู้ตรวจสอบจะใช้มาตรฐาน ISO 27001 ที่พูดถึง CIA – Confidentiality, Integrity, Availabity หรือใช้องค์ประกอบที่ดีของสารสนเทศ ตามกรอบของ CobiT ซึ่งมี 7 องค์ประกอบด้วยกัน นอกเหนือไปจาก CIA ก็คือ Effectivess, Efficiency, Reliability, Compliance ที่ผมได้กล่าวอยู่หลายครั้งแล้วนะครับ

การตรวจสอบใด ๆ ที่ไม่มีการตรวจสอบความน่าเชื่อถือได้ของกระบวนการปฏิบัติงาน และการควบคุมที่เกี่ยวข้อง ที่เกี่ยวข้องกับ Application จะสรุปว่า เป็นการตรวจสอบทางด้าน IT แล้ว ไม่น่าจะเหมาะสมนัก ถึงแม้จะมีการตรวจสอบทางด้าน General Control มาแล้วก็ตาม รายละเอียดผมจะขออธิบายและกล่าวถึงทั้ง 2 เรื่องในโอกาสต่อไป

มีองค์กรและผู้ตรวจสอบจำนวนค่อนข้างมาก ที่อยู่ในระหว่างการพัฒนาเทคนิคการตรวจสอบ และองค์ความรู้ที่เกี่ยวข้องกับทรัพยากรการตรวจสอบทางด้าน IT กำลังดิ้นรน เพื่อที่จะติดตามให้ทันความก้าวหน้าทางด้านเทคโนโลยีสารสนเทศ ที่เติบโตอย่างรวดเร็ว ทำให้ผู้บริหารและผู้ตรวจสอบ ทั้งในประเทศและต่างประเทศ ไม่อาจติดตามก้าวทันกับเทคโนโลยียุคใหม่ได้ ทำให้ก่อให้เกิดความเสี่ยงในรูปแบบต่าง ๆ ที่มีผลต่อ Business Objective เป็นอย่างมาก และนับวันจะมีช่องว่างในเรื่องนี้มากขึ้น

Audit Committee and Auditors Understanding in Holistic Framework of Audit Risk Perspective and Concerned

ความเสี่ยงในการตรวจสอบหลัก ๆ ที่เกี่ยวข้องกับการวางแผนการตรวจสอบ ก็คือ

– Poor Security ที่เกี่ยวข้องกับหลักการ CIA 3 ข้อหลัก และ/หรือหลักการตาม CobiT 7 ข้อหลัก,

– Poor Management ผู้บริหารและผู้ที่เกี่ยวข้องไม่เข้าใจกระบวนการบริหาร ตามหลักการของ GRC ที่เกี่ยวข้องกับ Integrity – Driven Performance และการควบคุมความเสี่ยงที่ขาดการประสานและบูรณการ ของการควบคุมในแต่ละ Activities ที่ส่งผลไปยังความสมบูรณ์ในการควบคุมในแต่ละ Business Process และมีผลต่อเนื่องไปยัง การโอน แก้ไข การปรับปรุงข้อมูล การข้ามขั้นตอนการควบคุม (Override) ของผู้บริหาร ซึ่งทำให้พิจารณาได้ว่า ไม่มีการควบคุมอยู่เลย ซึ่งเป็นอันตรายอย่างยิ่ง และมีตัวอย่างมากมายในประเทศไทย รวมทั้งที่เกิดขึ้นในสถาบันการเงินบางแห่ง เมื่อไม่นานมานี้ ทำให้การวิเคราะห์ และความถูกต้องของรายงาน รวมทั้งการตัดสินใจ ที่มาจากรายงานถูกบิดเบือนไปและไม่ถูกต้อง ซึ่งมีผลสำคัญอย่างยิ่งยวดต่อการวางแผนการตรวจสอบ ทั้งทางด้าน IT และ Non – IT / Manual Audit เพราะผู้ตรวจสอบส่วนใหญ่ ก็เข้าไม่ถึงจุดอ่อนที่อยู่สูงเกินความสามารถของผู้ตรวจสอบ ซึ่งอาจจะอยู่ในระดับที่ต่ำกว่า C-Level เป็นส่วนใหญ่

เป็นที่แน่นอนว่า จาก Poor Security และตามมาด้วย Poor Management
ที่กล่าวข้างต้น จะทำให้การวางแผนการตรวจสอบที่ต้องผ่านคณะกรรมการตรวจสอบ จะมีจุดอ่อนอย่างมีนัยสำคัญ และส่งผลอย่างมีนัยสำคัญยิ่งต่อ Audit Risk นั่นคือ ผู้ตรวจสอบไม่ได้วางแผนการตรวจสอบ ให้สัมพันธ์กับความเสี่ยง ในเรื่อง Poor Security และ Poor Management ตามหลักการ IT Governance และตามหลักการของ GRC

– Misdirected คณะกรรมการและผู้บริหารในระดับที่ต้องใช้รายงานในการตัดสินใจ ทางด้านกลยุทธ์และแผนการดำเนินงาน ตลอดจนวัดความสำเร็จในการดำเนินงานด้วย KPI ต่าง ๆ จากรายงานการตรวจสอบที่ไม่โปร่งใส ไม่น่าเชื่อถือได้ ในรูปแบบต่าง ๆ รวมไปถึง รายงานที่เกี่ยวข้องกับการลงทุนทางด้าน IT และศักยภาพการใช้ IT ที่มีผลต่อการบริหาร IT Portfolio Management ที่เกี่ยวข้องกับความเสี่ยง และการจัดระดับความสำคัญ รวมทั้งการบริหารต้นทุนที่เกี่ยวข้อง ก็จะทำให้การจัดการโดยรวมของทั้งองค์กรในลักษณะบูรณาการนั้น มีจุดอ่อนอย่างมีนัยสำคัญยิ่ง ทั้ง ๆ ที่องค์กรนั้น มีผู้บริหารที่มีศักยภาพและความสามารถส่วนตัวที่ดีก็ตาม ซึ่งนำไปสู่ความล้มเหลวในการบริหารความเสี่ยง ในการบรรลุเป้าประสงค์ต่าง ๆ ขององค์กรอย่างน่าเสียดาย

คำถามสำคัญต่อคณะกรรมการตรวจสอบ และผู้ตรวจสอบ ก็คือ คณะกรรมการตรวจสอบจะทราบได้อย่างไรว่า การวางแผนการตรวจสอบเพื่อประเมินศักยภาพของการควบคุม ทั้งทางด้าน IT และ Non – IT นั้น น่าเชื่อถือได้ และต้องการศักยภาพของผู้ตรวจสอบในมุมมองใด จึงจะสามารถลดความเสี่ยงทางด้าน Audit Risk ในมุมมองของ CG + ITG + GRC ที่เหมาะสมได้

– Fraud การวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบการทุจริต ในอดีตเป็นเป้าหมายหลักของผู้ตรวจสอบภายใน และต่อมา มาตรฐานการตรวจสอบภายในก็ได้เปลี่ยนแปลงว่า ผู้ตรวจสอบภายในจะตรวจสอบศักยภาพและความสามารถในการจัดการ ทางด้านต่าง ๆ ตามหลักการของห BSC และต่อมาในปัจจุบันก็คือ ผู้ตรวจสอบภายใน ทำหน้าที่ให้คำปรึกษากับผู้บริหารสายงานต่าง ๆ ซึ่งเมื่อพิจารณาตาม wording ของมาตรฐานที่กำหนดไว้ ก็ดูดี และทำให้ผู้ได้รับการตรวจสอบ มีความพึงพอใจในเป้าประสงค์ที่เปลี่ยนแปลง ในการเพิ่มคุณค่าให้กับองค์กร แทนการจับผิดในลักษณะเดิมเป็นอย่างมาก

อย่างไรก็ดี มาตรฐานการตรวจสอบผู้รับรองงบการเงิน ของบริษัทยักษ์ใหญ่ ในระดับโลก ซึ่งปัจจุบันเป็นที่รู้จักกันดีว่ามี 4 บริษัท นั้น จะต้องมีการปฏิบัติงานเพื่อสอบทาน ความน่าเชื่อถือได้ ของการควบคุมภายใน ที่มีผลต่อการทุจริตในมุมมองต่าง ๆ ที่มีนัยสำคัญ โดยเฉพาะอย่างยิ่ง มีผลกระทบต่อรายงานทางการเงิน ที่ปรากฎขึ้นแล้ว หรือ อาจปรากฎขึ้นในอนาคต จากกระบวนการทำงานที่มีจุดอ่อน โดยเฉพาะอย่างยิ่ง จากระบบการดำเนินงานขององค์กร ซึ่งเรียกกันทั่ว ๆ ไปว่า Operational Risk ที่จะส่งผลกระทบอย่างสำคัญยิ่งต่อ Financial Risk เป็นต้น

Audit Committee and Understanding / Long Term Sustainable Sucess of the Enterprise in Credit Risk Management

เมื่อคณะกรรมการตรวจสอบ ผู้บริหารที่เกี่ยวข้อง และผู้ตรวจสอบภายใน ทั้งด้าน IT และด้าน Manual Audit ได้อ่านมาถึงในวรรคนี้แล้ว ท่านคิดอย่างไรครับกับกระบวนการวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบ สำหรับท่านที่เป็นผู้บริหารทางด้านบุคลากร ท่านคิดอย่างไรครับ ต่อการพัฒนาบุคลากรในองค์กรของท่าน เพื่อก้าวให้ทันกับสภาพแวดล้อมทางด้านเทคโนโลยีสารสนเทศ ที่เปลี่ยนแปลงไปอย่างมาก

ท่านทราบไหมครับว่า องค์กรของท่านเอง อาจจะมีความเสี่ยงจาก Audit Risk ในขณะเดียวกันก็มีความเสี่ยงที่สำคัญยิ่ง ต่อการบริหารความเสี่ยงทั่วทั้งองค์กร ที่คณะกรรมการและผู้บริหารควรจะได้เข้าใจผลกระทบต่อ IT Risk ที่มีต่อ Business Risk อย่างมีนัยสำคัญ ตามที่กล่าวข้างต้น

วันนี้ผมตั้งใจที่จะมาพูดถึง การวางแผนการตรวจสอบในมุมมองต่าง ๆ ต่อจากครั้งก่อน แต่ความคิดพาไปสู่การเล่าเรื่องที่กล่าวและน่าห่วงใยข้างต้น ซึ่งครั้งต่อไป ผมจะได้มาพูดถึง การวางแผนการตรวจสอบในมุมมองต่าง ๆ ที่เป็นรายละเอียด ซึ่งเป็นขั้นตอนสำคัญยิ่งต่อความสำเร็จในกระบวนการตรวจสอบทั้งมวล

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/