ความเข้าใจในกระบวนการตรวจสอบ กับการวางแผนการตรวจสอบ (ต่อ)

ในครั้งก่อน ผมได้พูดถึงสภาพแวดล้อมของเศรษฐกิจ และการเงินในปัจจุบัน ซึ่งเป็นขั้นตอนที่อาจเรียกว่า Down – turn หรือ อาจเรียกว่า อยู่ในระยะฟื้นตัวของเศรษฐกิจ การเงิน กับการตรวจสอบ

คณะกรรมการ และผู้บริหารระดับสูง ขององค์กร จะต้องเป็นผู้วางแนว และความต้องการในลักษณะของการสร้าง Reasonable Assurance เพื่อสนองตอบต่อความต้องการของ Stakeholders มากกว่าความต้องการของ Shareholders ซึ่งเป็นมุมมองเดิม ๆ ที่ไม่เหมาะกับการบริหาร เพื่อสร้างความเชื่อมั่น ความไว้วางใจ ให้กับผู้มีผลประโยชน์ร่วม และจะมีผลต่อการเติบโตอย่างยั่งยืนขององค์กรได้ในที่สุดนั้น

ในมุมมองดังกล่าวข้างต้น หากคณะกรรมการและผู้บริหารระดับสูง ยังไม่แน่ใจ หรือขาดความเชื่อมั่นในตนเอง ในระดับหนึ่ง ก็มักจะมอบหมายให้การนำเสนอเรื่องราวต่าง ๆ รวมทั้ง การวางแผนการตรวจสอบ (Audit Plan) เพื่อสนองตอบต่อ Stakeholders ในมุมมองของ Business Model ใหม่ เริ่มต้นในลักษณะ Bottom – Up ซึ่งจะได้ผลค่อนข้างจำกัด ในการสนองตอบต่อ Vision + Mission และกลยุทธ์ใหม่ขององค์กร เนื่องจาก พนักงานในระดับรอง ๆ ลงไป มีความเข้าใจในมุมมองระดับสูง และระดับกว้าง โดยเฉพาะระดับนโยบายขององค์กร หรือระดับประเทศที่แตกต่างกันค่อนข้างมาก

รายละเอียดในภาคปฏิบัติ สำหรับการดำเนินงาน การบริหาร การจัดการ การตรวจสอบ ทางด้าน IT และ Non – IT เพื่อสนองตอบให้กับกลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ อย่างได้ดุลยภาพ หรือเกิดความพอดี หรือพอเพียง ในการบริหารและการจัดการแบบบูรณาการ ตามหลัก GRC เพื่อการเติบโตอย่างยั่งยืนนั้น ต้องการผู้นำที่มีวิสัยทัศน์ และเข้าใจกระบวนการบริหาร ในระดับประเทศ และในภาคส่วนต่าง ๆ ที่สัมพันธ์กัน ในการขับเคลื่อนวัตถุประสงค์ขององค์กร เพื่อการเติบโตอย่างยั่งยืน

การควบคุมภายในและการตรวจสอบ ทางด้าน IT และ Non – IT มีส่วนสำคัญอย่างยิ่งต่อกระบวนการบริหาร เพื่อสร้างคุณค่าเพิ่ม และสร้างความมั่นใจอย่างสมเหตุสมผลว่า กิจกรรมการควบคุมต่าง ๆ ที่ขับเคลื่อน Business Process ไปสู่ Business Objective นั้น เหมาะสมและสัมพันธ์กับสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างรวดเร็ว และในหลายมุมมอง ผู้ตรวจสอบตามไม่ทันกับเทคโนโลยีที่เปลี่ยนแปลงไป และมีผลกระทบต่อการขับเคลื่อน และการบริหารความเสี่ยง เพื่อก้าวไปสู่วัตถุประสงค์ระดับองค์กร และระดับประเทศ อย่างมีนัยสำคัญ

วันนี้ ผมจะยังคงกล่าวถึงมุมมอง เพื่อสร้างความเข้าใจในการวางแผนการตรวจสอบที่เกี่ยวข้องกับ IT ไม่ว่าจะเป็น IT Audit หรือ Non – IT Audit ก็ตาม เพราะการตรวจสอบทั้ง 2 เรื่อง ในที่สุดแล้วก็จะหลอมรวมกันเป็นหนึ่งเดียว ของกระบวนการจัดการ ตามหลักการ GRC

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพกระบวนการวางแผน และการตรวจสอบ ที่เกี่ยวข้องกับงานด้าน IT และมีผลโดยตรงต่อการประเมินความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ตามหลักการของ IT Governance และ CobiT v.4.1 ที่เน้นเรื่อง ความน่าเชื่อถือได้ของ Information เป็นสำคัญ เพราะมีผลต่อกระบวนการบริหาร ตามหลักการบริหารความเสี่ยงของ COSO – ERM ตามหลักการ S – O – F – C ที่ผมกล่าวถึงหลาย ๆ ครั้งมาแล้ว

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพ และการบวนการบริหารที่เกี่ยวข้องกับการควบคุมและการตรวจสอบ บางมุมมอง ขององค์กรที่ใช้คอมพิวเตอร์ และพยายามสร้างความเข้าใจ หรือ คำถาม จากผลกระทบของการควบคุม ที่อาจมีจุดอ่อนในกิจกรรม และกระบวนการทำงานที่เกี่ยวข้องต่อรายงานต่าง ๆ ที่ท่านผู้บริหารต้องใช้ ดังต่อไปนี้นะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

คณะกรรมการตรวจสอบ ผู้ตรวจสอบ ผู้บริหาร และรับผิดชอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ใช้หลัก COSO – ERM หากต้องการได้รับความมั่นใจอย่างสมเหตุสมผลของกระบวนการควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยง เพื่อให้การบรรลุวัตถุประสงค์ระดับองค์กร และระดับสายงาน ประสบความสำเร็จดังที่ตั้งใจไว้ และเป็นไปตาม Vision + Mission + Policy + Strategy + Action Plan + KPI ที่เกี่ยวข้อง ในมุมมองต่าง ๆ โดยเฉพาะอย่างยิ่ง มุมมองของการสอดประสานและบูรณาการ ตามหลักการ GRC หากเข้าใจและมั่นใจกระบวนการติดตามผลของคณะกรรมการและผู้บริหารระดับต่าง ๆ รวมทั้งการตรวจสอบภายใน ซึ่งรวม ๆ แล้วอาจจะเรียกว่า Assurance แล้วละก็ คงจะสบายใจได้ขึ้นมาก ว่าองค์กรสามารถก้าวสู่การบรรลุวัตถุประสงค์ หากได้รับผลการตรวจสอบที่น่าเชื่อถือได้ จากผู้ตรวจสอบที่มีศักยภาพที่เข้าใจความต้องการของ Stakeholders ในมุมมองต่าง ๆ และมีการวางแผนการตรวจสอบได้ตรงกับวัตถุประสงค์ที่ Stakeholders ต้องการในมุมมองที่เกี่ยวข้อง

ในครั้งต่อไป ผมจะค่อย ๆ ลงรายละเอียดในระดับที่ลึกลงไปถึง กระบวนการวางแผนการตรวจสอบขององค์กรที่ใช้คอมพิวเตอร์ และเทคนิคการตรวจสอบความน่าเชื่อถือได้ของข้อมูล และสารสนเทศ รวมทั้ง การควบคุมภายใน ตามฐานความเสี่ยง ที่จะทำให้แน่ใจอย่างสมเหตุสมผลว่า คณะกรรมการและผู้บริหารระดับสูง ได้รับรายงานที่มีคุณค่าต่อการตัดสินใจที่แท้จริง

Advertisements

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: