IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 5)

ตอนที่ 4 ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่ ธปท.กำหนดขึ้นเพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงิน ระบบการจัดการของหน่วยงานภายใต้การดูแลของ ธปท.ให้มีการดำเนินงาน บริหารงาน ได้ถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่าต่อผู้มีผลประโยชน์ร่วม และผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ เพื่อให้ความมั่นใจต่อผู้มีผลประโยชน์ร่วมทุกฝ่ายที่เกี่ยวข้อง ถึงความสามารถในการบริหารงานอย่างต่อเนื่อง ในการสร้าง Vallue Creation อย่างได้ดุลยภาพ จากการบริหารความเสี่ยงและทรัพยากรที่มีอยู่

….ซึ่งต่อมา สภาพแวดล้อมในการดำเนินงาน ได้มีการพัฒนาตลอดมาจนกระทั่งปัจุบัน ซึ่งมีผลอย่างสำคัญ ต่อการเปลี่ยนแปลง และการบริหารการเปลี่ยนแปลงในกระบวนการบริหารและปฎิบัติงาน ส่งผลให้มีการค้นคว้าและพัฒนาหลักการบริหารที่ดี และการกำหนดมาตรฐาน มาตรการการดำเนินงาน และการกำกับที่ได้เปลี่ยนแปลงไปให้ทันกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นโดยเฉพาะความเสี่ยงที่เกิดจากการบริหาร การดำเนินงาน ด้านคอมพิวเตอร์/ เทคโนโลยีสารสนเทศและการสื่อสาร ที่มีการพัฒนาอย่างรวดเร็วและไม่หยุดยั้ง มีผลอย่างสำคัญที่ตามมาคือ ผู้บริหาร ผู้กำกับ ผู้ปฎิบัติ ผู้ตรวจสอบ จำนวนหนึ่งตามไม่ทันกับการพัฒนาทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งการมีการใช้เทคโนโลยีที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม ที่คู่กันไปกับการบริหารความเสี่ยง ที่มีผลกระทบต่อการบริหารที่มีประสิทธิภาพ และมีประสิทธิผลในการสร้างคุณค่าเพิ่ม ( Value Creation )ให้กับผู้มีผลประโยชน์ร่วมที่ได้ดุลยภาพ ในการบรรลุวัตถุประสงค์ที่ต้องการคู่กันไปกับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม ซึ่งผมจะได้เล่าในโอกาศต่อ ๆ ไปนะครับ…

วันนี้ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ต่อจากตอนที่ 4 ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้ง สถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความถูกต้องของข้อมูลทางการเงิน และรายงาน รวมทั้งการปฎิบัติตามกฎหมายและกฎเกณฑ์ของผู้กำกับ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการปรับปรุง เปลี่ยนแปลง การกำกับของธนาคารแห่งประเทศไทย

หลายท่าน ที่ได้ติดตามอ่านมาตั้งแต่ต้นและไม่ได้เป็นผู้ตรวจสอบ อาจมีข้อสงสัยว่า ทำไม? ผมจึงเชื่อมโยงการกำกับ การบริหาร การปฎิบัติงาน การตรวจสอบ ในสถาบันการเงินที่ใช้คอมพิวเตอร์ โดยเฉพาะในหัวข้อ “มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ” โดยเน้นค่อนข้างมาก มาในมุมมองของผู้ตรวจสอบ โดยเฉพาะผู้ตรวจสอบด้านคอมพิวเตอร์ นั้น ก็เป็นเพราะ….การกำกับ การบริหาร การปฎิบัติงาน การควบคุมความเสี่ยง การประเมินการบริหารความเสี่ยง+++ กับกระบวนการตรวจสอบ+++ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ และส่วนงานพิเศษ ที่ธปท.ตั้งขึ้นมาใหม่ให้ทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์โดยเฉพาะ และทำหน้าที่ทางด้านการช่วยงานตรวจสอบทั่วไป ที่มีผลกระทบต่อกระับวนการประเมินความเสี่ยงและการคตรวจสอบ ตามกระบวนการปกติ จึงได้ศึกษาปัญหา/อุปสรรคที่เกิดขึ้น เพื่อให้การประเมินฐานะของธนาคารพาณิชย์ สามารถดำเนินการต่ีอไปได้ตามปกติ ซึ่งพิจารณาได้ว่าเป็นวิธีการตรวจสอบด้านคอมพิวเตอร์ หรือ EDP- Electronic Data Processing ในยุคแรก

ดังนั้น ความเข้าใจในผลกระทบของการมี การใช้คอมพิวเ้ตอร์ และความสัมพันธ์ของการบริหารและการตรวจสอบ งานทางด้านคอมพิวเตอร์และงานทางด้านทั่วไป ที่ต้องมีความเข้าใจภาพโดยรวมจึงเริ่มเกิดขึ้น แต่ยังห่างไกลจากคำว่า การบริหารและการตรวจสอบแบบบูรณาการในยุคปัจจุบัน ที่เรียกกันว่า Integrated –GRC และ/หรือ Integrated Single Framework ยุคใหม่

เมื่อกล่าวมาถึงงงงตอนนี้ ผมจึงย้อนหลังนำท่านผู้อ่าน ไปสู่ยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ โดยนำเรื่องที่ผมเขียนไว้เป็นคำนำ ในหนังสือเล่มที่ 2 เรื่องการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการส่วนหนึ่ง ว่าในช่วงเวลาประมาณ 35 ปีมาแล้ว ประเทศไทยมีวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์กันอย่างไร และความเข้าใจในช่วงเวลานั้น แตกต่างกับความเข้าใจในปัจจุบัีนอย่างไร ทั้งนี้ได้ใช้คำอธิบายเดิมเมื่อ 35 ปีก่อนโดยไม่ได้เพิ่มเติมแต่อย่างใด ดังนี้

คำนำ (เล่ม 2)
การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์

1. การจัดทำหนังสือชุดเรื่อง การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ทั้ง 4 เล่ม ครั้งนี้ ผมใคร่ขอเรียนวัตถุประสงค์หลัก ซึ่งเป็นสาระสำคัญของการจัดทำหนังสือชุดนี้คือ

1.1 เพื่อให้การศึกษา ค้นคว้า วิจัย งานด้านคอมพิวเตอร์ โดยไม่มีวัตถุประสงค์ในทางการค้า ทั้งในปัจจุบันและในอนาคตแก่ผู้ตรวจสอบในส่วนกำกับสถาบันการเงิน ที่ทำหน้าที่ตรวจสอบ ดูแล ความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ และจะใช้ภายในวงการที่ธนาคารแห่งประเทศไทยมีส่วนเกี่ยวข้องเป็นสำคัญ โดยพิจารณาเป็นส่วนหนึ่งของการให้การศึกษา อบรม ทำความเข้าใจกับหน่วยงานที่ธนาคารแห่งประเทศไทยเป็นผู้กำกับและดูแล

1.2 หนังสือทั้ง 4 เล่มในชุดนี้ เป็นการแนะนำงานที่ได้ศึกษารวบรวมเรียบเรียง รวมทั้งดัดแปลงจากเอกสารต่างประเทศ และเขียนเพิ่มเติมจากประสบการณ์ภาคสนามรวม ๆ กันไป จากเอกสารเดิมที่เคยใช้ในการบรรยายให้ความรู้ต่อสถาบันการเงินและมหาวิทยาลัยต่าง ๆ ที่ผ่านมา ทั้งนี้ได้อ้างถึงที่มาของหนังสือที่ได้ค้นคว้าตามท้ายหนังสือแล้ว เพื่อให้ผู้ที่ใช้งานในวงจำกัดเหล่านี้ ได้ทราบถึงที่มาในการใช้หนังสือชุดนี้เพื่อการศึกษา โดยมีข้อผิดตกยกเว้น ดังกล่าว

1.3 เพื่อให้การทำงานของส่วนกำกับฯ ได้ผลยิ่งขึ้น จึงได้มีการพูดคุยและให้คำแนะนำการปฏิบัติงาน รวมทั้งการตรวจสอบในที่ประชุมธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ ในภาคอีสานเช่นเดียวกับที่ผมได้เป็นผู้บรรยายให้แก่สถาบันเหล่านี้ในกรุงเทพฯ และที่อื่น ๆ หนังสือชุดดังกล่าว จึงได้ส่งให้สถาบันการเงินที่ธนาคารแห่งประเทศไทย ภาคตะวันออกเฉียงเหนือดูแล โดยมีวัตถุประสงค์เช่นเดียวกันคือให้การศึกษา ค้นคว้า วิจัย โดยถือเสมือนหนึ่งเป็นการป้องกันปัญหา และให้คำชี้นำในการให้การศึกษาเป็นการล่วงหน้าต่อสถาบันการเงินดังกล่าว ตามหน้าที่เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงาน โดยมีเอกสารไว้ใช้ศึกษาดูเมื่อต้องการ ซึ่งจะมีผลต่อความมั่นคงของสถาบันการเงิน ซึ่งเป็นหน้าที่หลักอย่างหนึ่งของธนาคารแห่งประเทศไทยเป็นสำคัญ

1.4 หนังสือในชุดนี้ทั้งหมด จัดทำขึ้นเพื่อใช้ประโยชน์ในการปฏิบัติงานและการดำเนินการของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ โดยมิได้เผยแพร่หรือโฆษณาต่อสาธารณชนเป็นการทั่วไป และมิได้มีการจำหน่ายใด ๆ ทั้งสิ้น และใคร่ขอย้ำว่าเป็นการจัดทำเพื่อประโยชน์ในการศึกษา งานค้นคว้า การปฏิบัติงานและการตรวจสอบด้านคอมพิวเตอร์ทุกรูปแบบ ตามภาระและหน้าที่ส่วนหนึ่งในความรับผิดชอบที่ผมปฏิบัติหน้าที่อยู่ ทั้งในอดีตและปัจจุบัน

ดังนั้น การนำข้อความหรือบทความในหนังสือชุดนี้ เพื่อจะทำซ้ำหรือดัดแปลงเพื่อประโยชน์ทางการค้า จึงเป็นสิ่งที่ไม่พึงปฏิบัติเพราะผิดวัตถุประสงค์ที่สำคัญของการจัดทำหนังสือชุดนี้เป็นอย่างยิ่ง

1.5 การทำความเข้าใจกับท่านผู้อ่าน และผู้ที่อาจเกี่ยวข้องในหัวข้อนี้ ก็เพื่อสร้างความเข้าใจในการจัดทำหนังสือชุดนี้เป็นสำคัญ ทั้งนี้เป็นการป้องกันปัญหาที่อาจจะเกิดจากความเข้าใจที่ไม่ตรงกันในการปฏิบัติหน้าที่ของแต่ละหน่วยงานได้

2. หนังสือเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ เป็นเล่มที่จะเน้นทำความเข้าใจ และให้รายละเอียดกับผู้ที่สนใจในการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก ทั้งนี้ มีแนวทางทำความเข้าใจง่าย ๆ โดยเริ่มต้นศึกษาจากวงจรทางเทคโนโลยีกับการควบคุมและตรวจสอบ และการดำเนินงานด้านคอมพิวเตอร์ ซึ่งมีรายละเอียดปรากฏอยู่ในเล่ม 1 และได้สรุปเพิ่มเติมในเล่ม 2 โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ แผนภาพ และข้อควรทราบสำหรับผู้ตรวจสอบโดยทั่วไปก่อนการเข้าตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

3. การตรวจสอบภาคสนาม (Field Work) สำหรับผู้ตรวจสอบที่ยังไม่เข้าใจระบบงานที่แท้จริงนั้น จะเริ่มจากการศึกษาและทำความเข้าใจระบบงานขององค์กรโดยภาพรวมก่อน นั่นคือการทำความเข้าใจทั้งในระบบงานในส่วนที่ใช้คอมพิวเตอร์ และในส่วนที่ไม่ใช้คอมพิวเตอร์ แล้วจึงทำการประเมินระบบการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนหาทางใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ

4. ตั้งแต่บทที่ 16 ถึงบทที่ 26 เหมาะสำหรับการตรวจสอบภายใน (Internal Audit) และผู้ตรวจสอบภายนอกที่ไม่ได้เป็น Examiner เพราะได้เน้นการตรวจสอบ “งาน” หรือ Application มากกว่า “องค์กร” อย่างไรก็ดี ผู้ตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ (EDP Examiner) จากธนาคารแห่งประเทศไทยก็สามารถนำไปประยุกต์ใช้ร่วมกับวิธีการและแนวทางการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ได้

5. มีองค์กรที่เกี่ยวข้องกับการตรวจสอบ และมีหนังสือที่เกี่ยวข้องกับการตรวจสอบด้านคอมพิวเตอร์มากมาย ตลอดจนนิตยสารและวารสารการตรวจสอบด้านคอมพิวเตอร์ ที่ออกกันมาเป็นรายเดือนหรือรายไตรมาสติดต่อกันมาเป็นเวลาหลายปีในหลายประเทศทั่วโลก เมื่อกล่าวถึงองค์กรอย่างเช่น Information Systems Audit and Control Association ที่มีสมาชิกมากกว่า 93 ประเทศทั่วโลก ทำหน้าที่ศึกษา ค้นคว้า ให้การอบรม จัดสัมมนา จัดการประชุมงานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit) กับสมาชิกและออกวารสาร IS Audit and Control เป็นประจำ มีสำนักงานใหญ่อยู่ที่ประเทศสหรัฐอเมริกา ประเทศไทยเราก็เป็นสมาชิกอยู่ในสมาคมผู้ตรวจสอบงานคอมพิวเตอร์นี้ด้วย นอกจากนั้น ก็มีสถาบันต่าง ๆ หลายแห่งที่มีสมาชิกเป็นจำนวนมาก ทำหน้าที่คล้าย ๆ กันนี้ แต่เน้นหนักทางด้านการค้นคว้าการตรวจสอบด้านคอมพิวเตอร์และผลิตหนังสือต่าง ๆ ออกมามากมาย

ดังนั้น หากองค์กรของท่านเป็นองค์กรหนึ่งที่มีหน้าที่ในการตรวจสอบ ไม่ว่าจะเป็นการตรวจสอบภายในองค์กรของท่านเอง หรือทำหน้าที่ตรวจสอบองค์กรอื่นที่ใช้คอมพิวเตอร์ในการ Process งานและการบริหารงานโดยที่ผู้ตรวจสอบที่ท่านดูแล ยังมิได้ทำการตรวจสอบในลักษณะ IS Audit หรือ Computer Audit เป็นส่วนหนึ่งของกระบวนการตรวจสอบตามปกติแล้วละก็ ควรจะพิจารณาได้ว่า น่าจะต้องเพิ่มการดำเนินการตรวจสอบในลักษณะ IS Audit ได้แล้ว ทั้งนี้ขอท่านได้โปรดทบทวนและศึกษาจากมาตรฐานการสอบบัญชี ฉบับที่ 28 ฉบับที่ 29 และ ฉบับที่ 36 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย เรื่องการสอบบัญชีในกรณีธุรกิจที่ใช้คอมพิวเตอร์ (เล่ม 1) ก็จะเป็นประโยชน์ในการพิจารณาของท่านเป็นอย่างยิ่ง

6. จากข้อ 5 ข้างต้น ผมเองได้ยินเสียงวิจารณ์หรือเสียงบ่นจากการปฏิบัติงานการตรวจสอบของผู้ปฏิบัติงานภาคสนาม หรือผู้ลงมือตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์จริง ๆ จากผู้ค้นเคยมากรายว่า การตรวจสอบระบบการควบคุมภายในและการบัญชี ตลอดจนการศึกษาทำความเข้าใจระบบงานในองค์กรที่ได้รับการตรวจสอบที่ใช้คอมพิวเตอร์ เพื่อวางแผนและกำหนดเทคนิคหรือวิธีการตรวจสอบ หรือเพื่อหาหลักฐานและความพอเพียงในการตรวจสอบตามเป้าหมายการตรวจสอบ โดยใช้วิธีการตรวจสอบตามปกติ หรือ Manual นั้น ได้ถูกจำกัดโดยกระบวนการ Process งานด้านคอมพิวเตอร์ เพราะขั้นตอนการควบคุมภายในและการบัญชีส่วนใหญ่ได้ใช้โปรแกรมคอมพิวเตอร์เป็นผู้ควบคุมและดำเนินงานแล้ว ดังนั้น เมื่อไม่มีการตรวจสอบด้านคอมพิวเตอร์หรือ IT Audit เป็นส่วนหนึ่งของ Financial Audit โดยเฉพาะอย่างยิ่งการตรวจสอบการปฏิบัติตามระเบียบกฎเกณฑ์การควบคุมภายในของหน่วยงาน (Compliance Audit) แล้ว ก็จะทำให้การปฏิบัติงานตรวจสอบนั้นต้องข้ามขั้นตอนหรือละเว้นการตรวจสอบที่จำเป็นไปไม่น้อย ทำให้มีปัญหาถึงประสิทธิภาพและประสิทธิผลการปฏิบัติงานการตรวจสอบอันเกิดจากการละเลย ไม่ตรวจสอบงานด้านคอมพิวเตอร์ รวมทั้งไม่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบตามมาตรฐานที่ควรจะเป็นด้วย

ท่านเคยได้ยินคำวิจารณ์หรือเสียงบ่นทำนองนี้บ้างหรือไม่ และท่านควรจะทำการแก้ไขปัญหาหรืออุปสรรคตามที่กล่าวนี้อย่างไร หากท่านไม่ได้ยินเรื่องทำนองข้างต้น ท่านเคยคิดและพิจารณาบ้างหรือไม่ว่าเป็นไปได้หรือที่การตรวจสอบยังคงใช้แนวทางการตรวจสอบเดิม ๆ สมัยที่องค์กรยังใช้ระบบ Manual เมื่อองค์กรนั้นนำคอมพิวเตอร์เข้ามาใช้แล้ว

เนื่องจาก คำนำ การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ ที่ผมเขียนมานานคือตั้งแต่ปี 2539 มีความยาว 36 ข้อ ดังนั้น ผมจะขอทยอยลงให้ท่านผู้อ่านได้ทราบในตอนต่อ ๆ ไปจนครบ และเมื่อถึงเวลานั้น ท่านจะได้เข้าใจกรอบการบริหาร การดำเนินงาน และการตรวจสอบ ที่ได้ใช้ Risk-Based Auditในยุคแรก ๆนั้นแล้ว

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: