ความเข้าใจของผู้บริหารและผู้ตรวจสอบที่เกี่ยวข้องกับความถูกต้องและความน่าเชื่อถือได้ของข้อมูล (Integrity of the Information for Auditor & AC)

เมื่อวันสองวันก่อน ผมได้เขียนถึงความน่าเชื่อถือของข้อมูลกับกระบวนการตรวจสอบ และข้อสังเกตเบื้องต้นไประดับหนึ่งแล้ว ขอพูดต่อในวันนี้นะครับว่า หลักการของ Corporate Governance (CG) ซึ่งแยกกันไม่ได้กับหลักการของ IT Governance (ITG) เพื่อขับเคลื่อนองค์ประกอบของการกำกับดูแลกิจการที่ดีในภาพรวมนั้น ไม่ค่อยได้มีการกล่าวถึงกันมากนักในอดีต

แต่ในปัจจุบัน การประมวลผลข้อมูลต่าง ๆ หลีกเลี่ยงไม่ได้ที่จะต้องใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงาน และการจัดการกับข้อมูลจำนวนมหาศาล และเพื่อให้มีการปฏิบัติตามระเบียบ กฎเกณฑ์ มาตรฐานต่าง ๆ ที่กำหนดโดยหน่วยงานกำกับภาครัฐ และตามมาตรฐานสากลนั้น ผู้บริหารและผู้ตรวจสอบจำเป็นอย่างยิ่งที่ควรจะเข้าใจกระบวนประมวลข้อมูลเพื่อให้ได้สารสนเทศ เพื่อการจัดการและการตรวจสอบจากระบบคอมพิวเตอร์ และควรจะเข้าใจต่อไปด้วยว่า กระบวนการควบคุมภายในตามฐานความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

กระทรวงพาณิชย์ คณะกรรมการตรวจเงินแผ่นดิน สภานักบัญชี ก็ได้มีกฎเกณฑ์และแนวทางในการกำหนดให้องค์กรที่ใช้คอมพิวเตอร์ (แม้จะมีคอมพิวเตอร์เพียงเครื่องเดียวก็ตาม) ต้องจัดให้มีผู้ตรวจสอบภายในที่มีศักยภาพในการตรวจสอบทางด้าน IT ที่เกี่ยวข้องกับการควบคุมทางด้าน General Control และ Application Cotrol รวมทั้งองค์ประกอบต่าง ๆ ของความสมบูรณ์ของข้อมูลและสารสนเทศ 7 ประการ (Information Criteria) ซึ่งผมใคร่ขออนุญาตที่จะกล่าวซ้ำก็คือ
1. Effectiveness
2. Efficiency
3. Confidentiality
4. Integrity
5. Availability
6. Reliability
7. Compliance

ซึ่งผู้บริหารจะต้องจัดให้มีกระบวนการตรวจสอบในเรื่องของความเชื่อถือได้ของข้อมูล รวมถึงประสิทธิผล ประสิทธิภาพของข้อมูลในการที่จะนำมาบริหารการตรวจสอบต่อไป ดังนั้น ความเข้าใจในภาพโดยรวมของที่มาของข้อมูลและสารสนเทศ เพื่อการบริหารและการตรวจสอบ จึงจำเป็นที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจอย่างลึกซึ้ง ผมขอแสดงภาพที่มาจาก ISACA ซึ่งเป็นแผนภาพที่อธิบายได้ชัดเจน ดังนี้

Integrity of the Information & Audit Process, IT & Non - IT

Integrity of the Information & Audit Process, IT & Non - IT

ผมขอสรุปเรื่องความสำคัญของข้อมูลและสารสนเทศเพื่อการตรวจสอบ ดังนี้นะครับ
1. สารสนเทศที่มีคุณลักษณะที่ดีตามหลักการของ IT Governance ทั้ง 7 องค์ประกอบตามที่กล่าวข้างต้น จะมีประโยชน์ในมุมมองที่เกี่ยวข้องกับ Intangible Assets ซึ่งก็ได้แก่สินทรัพย์ที่ไม่มีตัวตน ส่วนใหญ่ก็ได้แก่ สารสนเทศนั่นเอง จากการสำรวจของสถาบันที่มีชื่อเสียง เมื่อประมาณ ปี 1999 พบว่า สินทรัพย์ที่มีคุณค่าที่สุดในทุกบริษัทที่มีความเข้าใจถึงผลกระทบของความเสี่ยงที่มีผลต่อความน่าเชื่อถือ (Trust) ที่เกิดจาก Value ขององค์กร ซึ่งก็คือ Intangible Assets สามารถสร้างคุณค่าเพิ่มและสร้างความโปร่งใส รวมทั้งสร้างกระบวนการที่สามารถวางระบบการควบคุมภายในที่โดยรวม ๆ แล้วเป็นหลักประกัน (Assurance) ให้เกิดความน่าเชื่อถือต่อการกำกับดูแลกิจการที่ดี สิ่งนั้นก็คือ ข้อมูลและสารสนเทศที่น่าเชื่อถือได้ (Integrity of the Information)

2. กลไกหรือกระบวนการกำกับดูแลกิจการที่ดีทางด้านการควบคุมภายในของทุกองค์กร ที่ต้องการให้เกิดความน่าเชื่อถือได้ของสารสนเทศก็คือ การใช้ Best Practice ในเรื่อง IT Governance ที่นำกรอบของการควบคุมกระบวนการ (Management Processes) ที่ดีมาใช้ในการสร้างความน่าเชื่อถือได้ของสารสนเทศ ซึ่งหากองค์กรใดทำได้จริงและเป็นรูปธรรมก็สามารถจะลด Audit Risk ลงได้ในระดับที่น่าพึงพอใจมาก

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

Integrity of the Information & Audit Process, IT & Non - IT_ ITG-COSO Based

3. ภาครัฐของทุกประเทศจึงต้องกำหนดให้มีการตรวจสอบภาคบังคับที่เกี่ยวข้องกับการรับรองงบการเงิน และแน่นอนว่าผู้ตรวจสอบต้องสอบทานความน่าเชื่อถือได้ของข้อมูลเป็นเบื้องต้น และจะต้องสอบทานจุดอ่อนของกระบวนการควบคุมภายใน โดยเฉพาะอย่างยิ่ง จุดอ่อนที่เกิดจากการควบคุมทางด้าน IS หรือ IT Security ที่อาจเกิดจากการบริหารและการจัดการที่อ่อนแอ โดยฝ่ายบริหารจัดให้มีระบบการควบคุมภายในที่ไม่เพียงพอ โดยเฉพาะอย่างยิ่ง การควบคุมระบบที่ได้ข้อมูลมาจากการประมวลผลทางด้านคอมพิวเตอร์ ซึ่งทำให้สารสนเทศไม่โปร่งใส ไม่น่าเชื่อถือ ผู้ลงทุนตัดสินใจจากฐานข้อมูลที่ผิดพลาด รวมทั้งการทุจริตที่อาจจะเกิดขึ้นได้จากกระบวนการควบคุมภายในที่อ่อนแอนั้น ซึ่งมีตัวอย่างมากมายทั้งในอดีตและปัจจุบัน

4. ข่าวดีหรือข่าวร้ายขึ้นกับมุมมองของผู้ที่เกี่ยวข้องก็คือ กระบวนการควบคุมภายในภายใต้หลักการของ COBIT ภายใต้ร่มใหญ่ของ IT Governance นั้น จะต้องถูกประมวลและต้องพิจารณาเป็นกระบวนการหนึ่งของการตรวจสอบ ที่จะมีผลต่อรายงานทางการเงินและรายงานประเภทต่าง ๆ ที่เกิดจากการประมวลผลทางด้าน IT

ผมใคร่ขอยกตัวอย่างความสัมพันธ์และการเชื่อมโยงระหว่างการควบคุมงานทางด้าน IT กับการบริหารความเสี่ยงในระดับองค์กรของ COSO บางประการ เฉพาะองค์ประกอบหลักเรื่องแรกคือ การวางแผนการจัดองค์กร และการกำหนดทิศทางของเทคโนโลยีสารสนเทศ แสดงเป็นแผนภาพดังนี้

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

Statutory Audit and ITG_COSO & ITG_COBIT-Domain PO

ท่านคณะกรรมการ ท่านผู้บริหาร และผู้ตรวจสอบที่มีโอกาสได้เห็นแผนภาพแทนคำอธิบายโดยลายลักษณ์อักษรอย่างละเอียด ซึ่งบางกรณีอาจเป็นเรื่องที่น่าเบื่อ ประกอบกับคำอธิบายสั้น ๆ ที่เกี่ยวข้องเพื่อให้ท่านเกิดความคิดและจิตนาการถึงผลกระทบของความไม่ถูกต้อง ความไม่น่าเชื่อถือได้ของข้อมูล ความไม่ทันกาลของข้อมูล ความไม่พร้อมในการเรียกมาใช้ในการบริหาร การจัดการ รวมทั้งการตรวจสอบจากฐานข้อมูลที่ไม่ update นั้น มีผลอย่างไรต่อรายงานที่ท่านได้รับเพื่อการตัดสินใจ มีผลอย่างไรต่อความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการรายงานประเภทต่าง ๆ รวมทั้งรายงานทางการเงิน และความเสี่ยงทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ

เรื่องนี้เข้าใจได้ไม่ยาก หากท่านจะนึกถึงเหตุการณ์ของกรณี บริษัท Emron และผลกระทบต่อ บริษัทที่ปรึกษาและบริษัทผู้สอบบัญชียักษ์ใหญ่ของโลก ซึ่งตอนนี้กลายเป็นอดีตเพื่อการศึกษาเท่านั้น นอกจากนี้ ปัญหาในปัจจุบันที่เกิดจากการบริหารการจัดการของสถาบันการเงิน และบริษัทอุตสาหกรรมยักษ์ใหญ่ของประเทศสหรัฐอเมริการจำนวนมากก็จะเกิดจากสารสนเทศที่ไม่ถูกต้อง โดยเฉพาะอย่างยิ่ง สารสนเทศที่เกี่ยวข้องกับการ Rating ฐานะของบริษัทที่ไม่เป็นความจริง พิสูจน์ได้จากบริษัท Rating ระดับ AAA+ ซึ่งส่วนใหญ่เป็นการ Rating จากข้อมูลในอดีต แต่เมื่อมีปัญหาความเสียหายเกิดขึ้นแล้ว ระดับ Rating ก็เปลี่ยนแปลงไปเป็น BBB- หรือเลวร้ายไปกว่านั้น…

ผมสรุปส่งท้ายในวันนี้เพียงเพื่อตอกย้ำความสำคัญของ Information ซึ่งเป็น Intangible ส่วนใหญ่ของบริษัท ที่คณะกรรมการและผู้บริหาร รวมทั้งผู้ตรวจสอบยังให้ความสนใจในระดับที่แตกต่างกันมาก และเป็นที่น่าห่วงใยยิ่ง อาจพิสูจน์ได้ในเรื่องนี้ก็คือ หากมีการหยิบยกเรื่อง IT เรื่อง ITG เรื่อง IT Security และเรื่องอื่น ๆ ที่เกี่ยวข้อง ผู้บริหารจำนวนไม่น้อยไม่ค่อยจะสนใจมากนัก หรือก็มอบหมายให้คนอื่นไปดำเนินการและไม่ได้ติดตามเท่าที่ควร กรณี ธนาคารโซซิเยเต้ เยนเนอรัล ธนาคารยักษ์ใหญ่อันดับ 2 ของฝรั่งเศษ ที่เสียหายจากการทุจริตประมาณ 340,000 ล้านบาท จากการกระทำของคนที่รู้ IT เพียงคนเดียวก็คงพอเข้าใจได้ถึงความสำคัญของข้อมูลและสารสนเทศที่เกี่ยวข้องกับการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบทางด้าน IT และ Non – IT นะครับ

ครั้งต่อไป ผมคงจะมีโอกาสแยกเรื่องการตรวจสอบที่เกี่ยวกับ IT Audit และ Non – IT Audit หลังจากที่ได้เกริ่นนำ และให้ความสำคัญอย่างยิ่งยวดต่อข้อมูลและสารสนเทศที่ได้จากการรายงานในรูปแบบต่าง ๆ และการทำความเข้าใจในธุรกิจที่ตนบริหารและต้องการตรวจสอบ

ท่านคิดว่า IT Governance และกระบวนการควบคุมตามหลักการของ COBIT นั้น มีความสัมพันธ์กับกรอบการบริหารความเสี่ยงตามแนวทางของ COSO-ERM ร้อยเปอร์เซ็นต์ไหม? ครับ ผมขออนุญาตเป็นการส่วนตัวที่จะกล่าวว่า ทั้ง 2 เรื่อง มีส่วนสัมพันธ์กันโดยตรง 100% ครับ

แล้วถ้าความเข้าใจดังกล่าวข้างต้นแตกต่างกัน จะมีผลอย่างไรต่อกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO-ERM ละครับ

Advertisements

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: