ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ

มีนาคม 27, 2010

สำหรับผู้ตรวจสอบที่มีความรู้พื้นฐานการตรวจสอบด้าน IT จำกัด ให้ใช้แนวและกระบวนการตรวจสอบ IT ที่เป็นพื้นฐานเบื้องต้น โดยมีกรอบย่อ ๆ ในการปฏิบัติ ดังนี้ สำหรับผู้ที่มีความรู้ทางด้านการตรวจสอบ และมีขอบเขต รวมทั้งกำหนดเป้าหมายการตรวจสอบเชิงลึก ในระบบงานสำคัญ ๆ เพื่อให้แน่ใจถึงความถูกต้อง ตั้งแต่ Input – Process – Output รวมทั้งผู้ตรวจสอบทางด้านการเงิน และการดำเนินงาน และการปฏิบัติตามกฎหมายกฎเกณฑ์ สำหรับผู้ตรวจสอบที่เป็น Non – IT Auditors นั้น ก็อาจใช้แนวทางดังต่อไปนี้ได้เช่นกัน เนื่องจากผมกำลังเล่าถึงแนวทางการปฏิบัติที่เป็นพื้นฐานที่ง่ายและสะดวกที่สุด สำหรับผู้ตรวจสอบทั้ง 2 ประเภท ก่อนที่จะลงในรายละเอียดต่อไป

ขั้นตอนการตรวจสอบ

อาจแบ่งขั้นตอนการตรวจสอบเป็น 3 ขั้นตอนใหญ่ ๆ ได้ดังนี้
ขั้นตอนที่ 1 การวิเคราะห์ความเพียงพอของการควบคุมภายใน
โดยการตั้งวัตถุประสงค์การตรวจสอบ ขอบเขตการตรวจสอบ และการวางแผนการตรวจสอบ แล้วรวบรวมข้อมูลเบื้องต้นที่เกี่ยวข้องกับการตรวจสอบ เพื่อประเมินความน่าเชื่อถือได้ของการดำเนินงานและการควบคุมภายในแบบ Total System Approach คือ ดูทั้งส่วนที่เป็น Manual และ Computer จากนั้นก็กำหนดแนวการตรวจสอบขั้นตอนต่อไป

ในขั้นตอนนี้ ผู้ตรวจสอบควรประเมินและวิเคราะห์ความเสี่ยงในแต่ละรายงานและในแต่ละกิจกรรมของงานที่ตรวจสอบ วิธีที่ดีที่สุดคือ การตั้งคำถามว่า “มีอะไรที่จะก่อให้เกิดข้อผิดพลาดขึ้นได้” ระบุจุดที่การควบคุมเพื่อลดความเสี่ยง ในแต่ละกิจกรรม (Activities) ในแต่ละกระบวนการ (Process) เพื่อก้าวสู่ Business Objective อันจะก่อให้เกิดความเสียหายหรือความไม่ถูกต้อง หรือมีจุดเปิดของความผิดพลาด และจุดอ่อนบางประการที่มีนัยสำคัญต่อ Input – Process – Output ที่อยู่ในขอบเขตของการตรวจสอบ

เทคนิคที่ใช้วิเคราะห์ก็คือ การสัมภาษณ์ การใช้แบบสอบถาม การวิเคราะห์ Flowchart

ขั้นตอนที่ 2 ทดสอบการปฏิบัติงานตามระเบียบ หรือ Logic ที่ได้กำหนดไว้
เมื่อผู้ตรวจสอบได้ทำการระบุจุดที่ควรมีการควบคุมในความเสี่ยงแต่ละจุดแล้ว ก็ต้องประเมินว่า การควบคุมนั้นน่าเชื่อถือหรือไม่ ถ้าเชื่อถือได้ก็จะได้ทำการทดสอบการปฏิบัติงานที่เกี่ยวข้องกับการควบคุมภายใน เพื่อประเมินจุดอ่อน หรือข้อผิดพลาดที่อาจพึงมี และมีนัยสำคัญต่อไป โดยเฉพาะอย่างยิ่ง ข้อผิดพลาดที่อาจเกี่ยวข้องกับข้อมูลทางการ ซึ่งอาจต้องทำการทดสอบต่อไป ขั้นตอนนี้ ยังมีการรวบรวมรายละเอียดเพื่อการตรวจสอบเพิ่มเติมด้วย
เทคนิคที่ใช้ในการตรวจสอบขั้นนี้ก็คือ การสังเกตการณ์ การทำ Test Data หรือ Manual Trading

ขั้นตอนที่ 3 ทดสอบข้อมูลทางการเงิน
เช่น ยอดคงเหลือ รายการทางบัญชีต่าง ๆ และยอดรวมของบัญชีในงบการเงิน รวมทั้งความผิดปกติต่าง ๆ ทั้งด้าน Input – Process – Output และกระบวนการนำรายงานไปใช้งานในการตัดสินใจ โดยคำนึงถึงนโยบาย กลยุทธ์ ที่ถ่ายทอดไปสู่เป้าประสงค์ตามหลักการของ Information Technology Balance Scorecard และ Business Balance Scorecard ด้วยวิธีการที่เหมาะสม แล้วทำรายงานการตรวจสอบ

ขั้นตอนย่อยในการตรวจสอบจาก 3 ขั้นตอนใหญ่ ๆ ข้างต้นอาจใช้การตรวจสอบแบบ Around หรือ Through The Computer

การตรวจสอบ
1. การตรวจสอบแบบ Around/Through The Computer
การตรวจสอบคอมพิวเตอร์ในระยะเริ่มแรกเป็นการตรวจสอบแบบ “Auditing Around The Computer” เพื่อสอบทานความถูกต้องของข้อมูลที่ปรากฏในรายงานคอมพิวเตอร์ คล้ายกับการตรวจสอบสมุดทะเบียนบัญชีแยกประเภทและเอกสารที่เกี่ยวข้องในระบบเดิมที่ใช้พนักงานบันทึกรายการ ดังรูป

ในปี ค.ศ. 1966 (ผ่านมาแล้วหลายปีหน่อยนะครับ) คณะทำงานพิเศษ Audit EDP Task Force ของ The American Institute of Certified Public Accountants (AICPA) ขอให้ใช้คำอื่น ๆ เช่น “Auditing Without Using The Computer” แทนคำ “Auditing Around The Computer” เพราะอาจทำให้ผู้ตรวจสอบเกิดความเข้าใจที่คลาดเคลื่อนว่า ไม่จำเป็นต้อประเมินผลการควบคุมภายในด้านคอมพิวเตอร์ก็ได้ หากผู้ตรวจสอบได้ดำเนินการติดตามความเคลื่อนไหวของรายการที่ปรากฏในรายงานคอมพิวเตอร์ เพื่อพิสูจน์ความถูกต้องของข้อมูล

สำหรับการตรวจสอบแบบ “Auditing Through The Computer” หรือ Computer Assisted Audit Techniques” มีความหมายชัดเจนอยู่ในตัวแล้ว แต่อย่างไรก็ดี คำ “Auditing Around/Through The Computer” ได้มีความสำคัญลดน้อยลง เมื่อสถาบันที่ทำหน้าที่ควบคุมการประกอบวิชาชีพสอบบัญชีหลายประเทศได้กำหนดมาตรฐานตรวจสอบคอมพิวเตอร์ให้ผู้ตรวจสอบถือปฏิบัติ

2. มาตรฐานการตรวจสอบ
มาตรฐานการตรวจสอบคอมพิวเตอร์ที่ควรทราบ มีดังนี้
ประเทศสหรัฐอเมริกา
เมื่อเดือนธันวาคม ค.ศ. 1974 AICPA ได้ออก Statement of Auditing Standard No. 3 (SAS#3) มี 3 ประเด็นสำคัญสรุปได้ดังนี้
1) กรณีที่มีการใช้คอมพิวเตอร์กับงานบัญชีที่มีนัยสำคัญ ผู้ตรวจสอบควรสอบทานระบบเพื่อทำความเข้าใจในเรื่องต่อไปนี้
1.1) ทางเดินของรายการบัญชี
1.2) ขอบเขตการใช้คอมพิวเตอร์
1.3) โครงสร้างพื้นฐานของการควบคุมภายใน
2) กรณีงานคอมพิวเตอร์มีความสลับซับซ้อน จะต้องมีผู้เชี่ยวชาญร่วมงานตรวจสอบด้วย
3) การใช้คอมพิวเตอร์ไม่มีผลกระทบต่อการควบคุมทางบัญชี แต่อาจมีผลกระทบต่อองค์กรและวิธีการที่จะทำให้บรรลุเป้าหมายในการควบคุม ซึ่งมีอิทธิพลต่อวิธีการตรวจสอบ

ประเทศแคนาดา
The Canadian Institute of Chartered Accountants (CICA) ได้ออก Guideline : Auditing in an Electronic Data Processing Environment เมื่อเดือนสิงหาคม ค.ศ. 1981 เพิ่มเติมจาก Computer Control Guidelines และ Computer Audit Guidelines ซึ่งออกในปี ค.ศ. 1970 และปี ค.ศ. 1974 ตามลำดับ สาระสำคัญสรุปได้ดังนี้
1) กรณีใช้ผู้เชี่ยวชาญคอมพิวเตอร์ ผู้ตรวจสอบต้องมีความรู้ด้านคอมพิวเตอร์ เพื่อควบคุมการปฏิบัติงานของผู้เชี่ยวชาญให้เหมาะสม
2) ผู้ตรวจสอบต้องประเมินความเพียงพอเกี่ยวกับความรู้ด้านคอมพิวเตอร์ของตนเอง
3) ควรพิจารณาหรือศึกษาระบบทั้งด้าน Manual และด้านคอมพิวเตอร์พร้อม ๆ กับการพัฒนาวิธีการตรวจสอบ แต่ผู้ตรวจสอบไม่จำเป็นต้องตรวจสอบระบบโดยละเอียด หากพิจารณาในขั้นต้นแล้วเห็นว่าเป็นระบบที่เชื่อถือไม่ได้
4) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในทั่วไป และ Operating System ด้านคอมพิวเตอร์
5) กรณีใช้คอมพิวเตอร์ช่วยตรวจสอบต้องจัดให้มีการควบคุมอย่างเพียงพอ เพื่อให้ได้ผลลัพธ์ครบถ้วนและเป็นไปตามวัตถุประสงค์ในการตรวจสอบ
6) ผู้ตรวจสอบควรมีส่วนร่วมในการพัฒนาระบบงานด้วย

สหราชอาณาจักร (United Kingdom)
Auditing Practices Committee Exposure Draft : Internal Controls in Computer – Based Accounting System ออกเมื่อเดือนพฤษภาคม ค.ศ. 1982 มีสาระสำคัญสรุปได้ดังนี้
1) ผู้ตรวจสอบไม่จำเป็นต้องเข้าใจระบบโดยละเอียด เว้นแต่จะมีแผนการตรวจสอบเพื่อให้ความเชื่อถือต่อระบบงานนั้น
2) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในเฉพาะงาน และการควบคุมภายในทั่วไป
3) ผู้ตรวจสอบสามารถใช้คอมพิวเตอร์ช่วยตรวจสอบเพื่อที่จะได้หลักฐานการปฏิบัติงานที่อยู่ภายใต้การควบคุมภายในเฉพาะงาน
4) ผู้ตรวจสอบควรรู้จักวิธีปฏิบัติในการตรวจสอบคอมพิวเตอร์ไว้หลาย ๆ วิธี

ประเทศไทย
คณะกรรมการควบคุมการประกอบวิชาชีพสอบบัญชี (ก.บ.ช.) และสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย ได้ประกาศใช้มาตรฐานการสอบบัญชี ฉบับที่ 28 และ 29 เรื่อง “การสอบบัญชีในกรณีที่ธุรกิจใช้คอมพิวเตอร์” และเรื่อง “การประเมินประสิทธิภาพการควบคุมภายในกรณีกิจการใช้คอมพิวเตอร์” ซึ่งมีรายละเอียดค่อนข้างมากและได้มีผลบังคับใช้แล้ว ตั้งแต่เดือนมิถุนายน 2533 เป็นต้น

ผมเล่าประวัติศาสตร์ค่อนข้างยาวพอสมควร เพื่อให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบที่แม้ว่าเวลาจะผ่านมาเนิ่นนานพอสมควร หลักการและเทคนิคการตรวจสอบบางอย่าง เช่น TDM – Test Data Method ก็ยังใช้ในการปฏิบัติงานได้ดี ประหยัด เทคนิคไม่ซ้ำซ้อน และไม่ต้องใช้โปรแกรมหรือเครื่องมือใด ๆ นอกจากผู้ตรวจสอบจะต้องเข้าใจหลักตรรกะ (Logic) ของการประมวลงานที่ใช้โปรแกรมเข้าช่วยในการประเมินผลพอสมควร ซึ่งจะได้กล่าวต่อไปนะครับ

โฆษณา

Perspective of CG + ITG and Related Factors to Sustainable Growth and Beyond (Continue)

มีนาคม 27, 2010

วันนี้ก็เช่นเดียวกับครั้งก่อน ๆ และที่ผ่านมา ที่ผมได้อธิบายและนำเสนอการพัฒนาและการสร้างการกำกับดูแลกิจการที่ดี อธิบายโดยใช้แผนภาพ ซึ่งดีกว่าการอธิบายด้วยถ้อยคำเป็นอย่างมาก และเข้าใจได้ง่ายนั้น ผมจะนำเสนอในมุมมองที่แตกต่างกันของหลักการและการทำความเข้าใจในเรื่องการกำกับดูแลกิจการที่ดี ซึ่งจะนำไปสู่การปฏฺบัติได้ต้องอาศัยจิตวิญญาณ และความมุ่งมั่นของผู้บริหารระดับสูง คือตั้งแต่คณะกรรมการของทุกองค์กร และจะต้องมีการติดตามและทบทวนอย่างสม่ำเสมอ โดยเฉพาะอย่างยิ่ง การบริหารการจัดการของ CG ที่ต้องมีนโยบายการบริหารที่ควบคู่กันไปกับ ITG หรือ IT Governance อย่างแยกกันไม่ได้

ถึงแม้เราจะใช้หลักการการบริหารซึ่งมีร่มใหญ่ คือ CG + ITG ดังกล่าวข้างต้นแล้ว การปฏฺบัติที่เป็นรูปธรรมในหลายองค์กร ก็ยังไม่เป็นรูปธรรมเท่าที่ควร ทั้งนี้องค์กรส่วนใหญ่ จะมีการบริหารในลักษณะแยกกันเป็นเรื่อง ๆ โดยมีคณะกรรมการ หรือสายงานที่ดูแลตามหน้าที่ที่เกี่ยวข้อง คือบริหารในลักษณะ Functional-Based มากกว่า Role-Based ทำให้เกิดการบริหารในลักษณะ SILO ที่องค์กรส่วนใหญ่ มักอธิบายว่า ตามโครงสร้างก็จะมีการประสานงานกันอยู่แล้วในสายงาน หรือ BU ต่าง ๆ ที่เกี่ยวข้อง

แต่ในความเป็นจริง ในทางปฏิบัติ การประสานงานดังกล่าวสามารถทำได้อย่างจำกัด โดยเฉพาะอย่างยิ่ง องค์กรที่มีผู้บริหารมีอัตตา หรือไม่ชอบทำงานข้ามฝ่าย หรือคิดว่างานที่ตนทำอยู่นั้นดีที่สุดแล้ว ตาม JD และ JS ที่องค์กรกำหนด ซึ่งก็เป็นเรื่องจริงขององค์กรส่วนใหญ่ในปัจจุบัน นั่นคือ การยึดหลัก Functional-Based โดยคำนึงถึง Role-Based ค่อนข้างน้อยมาก ผลก็คือ การบริหารการจัดการซึ่งส่วนใหญ่จะเกี่ยวข้องกับ นโยบาย ซึ่งส่วนใหญ่ได้แก่การขับเคลื่อนนโยบาย กลยุทธ์ ซึ่งนำไปสู่การปฏิบัติขององค์กร จะมีจุดอ่อนที่ Operational Risk หรือจุดอ่อนที่เกี่ยวข้องกับ PPT – People + Process + Technology ซึ่งจะมีปัญหาในเรื่องการขับเคลื่อนและการบริหารแบบบูรณาการ ที่อาจเรียกย่อ ๆ ว่า GRC – Governance + Risk Management + Compliance ซึ่งเป็นการบริหารในลักษณะ Integrity Performance ที่เกี่ยวข้องกับเทคโนโลยีค่อนข้างมาก

จากการสำรวจการบริหารการจัดการทางด้านเทคโนโลยีสารสนเทศของหลายประเทศ ที่กำลังพัฒนาได้พบว่า ผู้บริหารในระดับต่าง ๆ มีความรู้ความเข้าใจในการใช้เทคโนโลยีเพื่อการบริหารและการจัดการที่ดี ในภาพโดยรวมที่อยู่ในระดับต้องปรับปรุงได้อีกมากนั้น พิจารณาได้ว่าเป็นจุดอ่อนที่มีความสำคัญเป็นอย่างยิ่งในการบริหารงานในองค์กรต่าง ๆ ของประเทศไทยเราในปัจจุบัน

ผมจะได้นำเสนอและเล่าสู่กันฟังในเรื่องการขับเคลื่อน IT Governance ที่เกี่ยวข้องกับ Corporate Governance – CG ในโอกาสต่อ ๆ ไปนะครับ

สำหรับวันนี้ยังคงนำเสนอการอธิบายด้วยแผนภาพที่เกี่ยวข้องกับ CG ในมุมมองต่าง ๆ ต่อไปอีกในระยะเวลาหนึ่ง ดังนี้