IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 6)

จากครั้งที่แล้ว ผมได้กล่าวย้อนหลังถึงยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการในช่วงเวลา 35 ปีที่ผ่านมา ตลอดจนผมได้รวบรวม เรียบเรียง และจัดทำเป็นหนังสือถึง 4 เล่มด้วยกัน โดยในเล่มที่ 2 จากหนังสือ การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ผมได้หยิบยกคำนำจากหนังสือเล่มนี้มาเล่าสู่กันฟัง เพื่อแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ว่ามีความแตกต่างกันอย่างไรกับงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน

โดยคำนำจากหนังสือเล่มที่ 2 ที่กล่าวถึงนี้ แบ่งเป็นหัวข้อเพื่อความเข้าใจได้ง่าย ๆ ถึง 36 ข้อด้วยกัน เนื่องจากความยาวและความเหมาะสมของการนำเสนอ ในครั้งก่อนผมจึงได้นำเสนอไปเพียงบางส่วนเท่านั้น สำหรับวันนี้ผมจะขอกล่าวต่อในหัวข้อที่ 7 เลยนะครับ (ท่านผู้อ่านสามารถติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่มที่ 2 ในหัวข้อแรก ๆ ได้ คลิ๊กที่นี่ ครับ)

7. ในการตรวจสอบธนาคารพาณิชย์และสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งองค์กรอื่นที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบควรพิจารณาถึงความจำเป็นและความแตกต่างในระบบงานของแต่ละองค์กรเป็นกรณีไป โดยควรเน้นและให้ความสำคัญอย่างยิ่งต่อการควบคุมภายในที่มีประสิทธิภาพ

8. การทำความเข้าใจในเป้าหมาย ขอบเขต กรรมวิธี ในการตรวจสอบงานด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบทางด้านการเงิน (Financial Audit) และจัดทำรายงานการตรวจสอบ ตลอดจนความสัมพันธ์ของานทั้ง 2 ประเภท นับเป็นสิ่งที่มีความสำคัญยิ่งในการปฏิบัติงานการตรวจสอบที่มีประสิทธิภาพสูงสุด เช่น การรู้จักใช้เครื่องมือคอมพิวเตอร์ให้เป็นประโยชน์ในการตรวจสอบ และการทำความเข้าใจในระบบงานด้านคอมพิวเตอร์ เพื่อกำหนดขอบเขตการตรวจสอบให้เหมาะสม เป็นต้น

9. วิธีการตรวจสอบและเทคนิคการตรวจสอบงานด้านคอมพิวเตอร์ จะต้องพัฒนาให้ทันกับ Technology สมัยใหม่ที่ก้าวหน้าอย่างรวดเร็วและไม่หยุดยั้ง ทั้งทางด้าน Hardware และ Software วิธีการตรวจสอบจึงจำเป็นต้องพัฒนาขึ้น เพื่อช่วยให้ผู้ตรวจสอบมีเครื่องมือและรู้จักใช้เครื่องมือปฏิบัติงานอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ในการตรวจสอบ อีกทั้งจะช่วยให้ผู้ตรวจสอบมีความมั่นใจในการเสนอความเห็นในรายงานการตรวจสอบอย่างถูกต้องตามความเป็นจริง และมีเหตุมีผล

10. ผู้ตรวจสอบทางด้านคอมพิวเตอร์ นอกจากจะได้รับมอบหมายให้เป็นผู้ตรวจสอบความถูกต้องและความน่าเชื่อถือได้ของข้อมูล จากงานที่ประมวลผลด้วยคอมพิวเตอร์แล้ว ยังมีหน้าที่ที่สำคัญมากอีกประการหนึ่งก็คือ การร่วมมือและประสานงานตรวจสอบด้านการเงิน (Financial Audit) โดยแนะนำหรือร่วมปฏิบัติงานทางด้านเทคนิคการตรวจสอบในส่วนที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานตรวจสอบทางด้าน Financial มีปัญหาน้อยที่สุด

ดังนั้น การศึกษาเทคนิคใหม่ ๆ ทางด้านคอมพิวเตอร์ เพื่อประโยชน์ในการตรวจสอบจึงเป็นสิ่งที่จำเป็นอย่างยิ่ง และจะต้องดำเนินการควบคู่กันไปกับการปฏิบัติงานตรวจสอบด้วยเสมอ ทั้งนี้ เพื่อดำรงไว้ซึ่งประสิทธิภาพของการตรวจสอบโดยรวม

11. เมื่อผมได้ไปปฏิบัติหน้าที่ในฐานะ Deputy Principal ของหลักสูตร SEACEN (South East Asian Central Banks) หลักสูตร Inspection and Supervision of Financial Institutions ครั้งที่ 12 ที่กรุงจาการ์ตา ประเทศอินโดนีเซีย เมื่อปี ค.ศ. 1988 ผมได้แนะนำให้เพิ่มวิชาที่มีเนื้อหาในด้านที่เกี่ยวข้องกับคอมพิวเตอร์หลายวิชาในหลักสูตรนี้ ทาง SEACEN ได้เชิญผมไปบรรยายความจำเป็นของวิชาเหล่านี้ให้กับเลขาธิการของ SEACEN ที่ไปดูแลหลักสูตรนี้ที่กรุงจาการ์ตา และผมก็ได้ไปอธิบายเรื่องนี้ ณ ที่ทำการสำนักงานใหญ่ของ SEACEN ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย ในปีเดียวกันนั้น ในเรื่องที่เกี่ยวข้องกับการพัฒนาการกำกับและการตรวจสอบสถาบันการเงินที่ต้องมีวิชานี้เข้าไปเกี่ยวข้องด้วย เพราะเป็นเรื่องที่แยกกันไม่ได้ในวงการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และทาง SEACEN ก็ได้บรรจุวิชาต่าง ๆ ที่เกี่ยวกับคอมพิวเตอร์เข้าไปในหลักสูตรนี้นับจากนั้นมาจนกระทั่งปัจจุบัน ซึ่งผมได้มีส่วนช่วยบรรยายหลายวิชาในหลักสูตรนี้ที่จัดขึ้นในประเทศต่าง ๆ ของสมาชิก SEACEN ในเวลาต่อมาด้วย

นั่นคือ ถึงแม้เป้าหมายของผู้ตรวจสอบจะเป็นการตรวจสอบฐานะความมั่นคงทางการเงิน หรือเป็นการตรวจสอบเพื่อรับรองงบการเงิน แต่ข้อมูลและการควบคุมภายในส่วนใหญ่ได้ถูกประมวลโดยระบบคอมพิวเตอร์แล้ว ดังนั้น การวางแผนการตรวจสอบก็จะต้องคำนึงถึงและเข้าใจในระบบงานด้านคอมพิวเตอร์พอสมควรด้วยเสมอ

12. นอกจากที่กล่าว ทาง SEACEN ก็ได้จัดหลักสูตรใหม่ขึ้นมาโดยเฉพาะ เรียกว่า Computer Audit (Advanced Level) ขึ้น เป็นหลักสูตรการตรวจสอบคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบในสถาบันการเงินโดยเฉพาะแยกเป็นอีกหลักสูตรหนึ่ง โดยอบรมให้แก่ผู้ตรวจสอบจากธนาคารกลางประเทศต่าง ๆ ในเอเชีย

ทาง SEACEN ได้ให้ผมเป็น Course Director สำหรับหลักสูตรนี้อีกครั้ง เพื่อจัดให้มีการอบรมให้กับประเทศต่าง ๆ ที่กรุงเทพฯ เมื่อปลายปี ค.ศ. 1993 ซึ่งช่วงนั้นผมได้บรรยายวิชา EDP Supervision and Financial Institutions ด้วย โดยกล่าวถึง The Thai Experienced ในเรื่อง ตามที่สรุปในภาคผนวกเล่มที่ 1 แล้ว แต่วิชาคอมพิวเตอร์อื่น ๆ ในหลักสูตรนี้ที่ผมได้บรรยายให้ SEACEN ในปีก่อน ๆ หน้าที่ ผมไม่ได้นำมาให้ผู้อ่านได้อ่านด้วย เพราะมีบางส่วนได้กล่าวเป็นภาษาไทยในหนังสือชุดนี้อยู่แล้ว

cover book

13. การตรวจสอบด้านคอมพิวเตอร์ ถึงแม้จะมีความจำเป็นเด่นชัด แต่ผู้บริหารในองค์กรต่าง ๆ ให้ความสำคัญกับการตรวจสอบด้านนี้แตกต่างกัน และมีจำนวนไม่น้อยที่มองข้ามประเด็นที่สำคัญนี้ อย่างไรก็ดี สำหรับธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยได้กำหนดให้มีการตรวจสอบคอมพิวเตอร์ เพื่อดูแลเรื่องนี้โดยฉพาะ ตั้งแต่ ปี 2528 สำหรับสถาบันการเงินอื่น ๆ ทางธนาคารแห่งประเทศไทยก็ได้สั่งการให้สถาบันการเงินเหล่านั้นได้จัดให้มีการตรวจสอบงานด้านคอมพิวเตอร์แล้วด้วย

14. งานตรวจสอบด้านคอมพิวเตอร์ (IS Audit หรือ IS Examination) ในด้านของธนาคารแห่งประเทศไทย หรือ FFIEC ของประเทศสหรัฐอเมริกา แล้วมีวัตถุประสงค์อย่างกว้าง ๆ เช่นเดียวกับการตรวจสอบฐานะและความมั่นคงของสถาบันการเงิน นั่นคือ

1) เพื่อประเมินฐานะความมั่นคงของสถาบันการเงิน

2) เพื่อประเมินและวัดคุณภาพการจัดการ และการดำเนินงานของผู้บริหารระดับสูง

3) เพื่อให้คำแนะนำ แก้ไขจุดอ่อนต่าง ๆ ที่อาจก่อให้เกิดปัญหาต่อสถาบันการเงินเป็นการล่วงหน้า เพื่อให้สถาบันการเงินปรับปรุงคุณภาพของการบริหารงาน และการดำเนินงานให้มีความมั่นคง และเป็นไปตามระเบียบ คำสั่ง และกฎหมายที่เกี่ยวข้อง

อย่างไรก็ดี วัตถุประสงค์ของการตรวจสอบด้าน IS Audit ของผู้สอบบัญชีรับอนุญาต และผู้สอบบัญชีภายในจะแตกต่างกันไปตามเป้าหมายหลักของตนเอง

15. การตรวจสอบด้านคอมพิวเตอร์ที่ปัจจุบันมักนิยมเรียกกันว่า IS Audit ในประเทศสหรัฐอเมริกา และ IT Audit ในประเทศอังกฤษและออสเตรเลีย มากกว่าคำที่ใช้เรียกกันเต็ม ๆ ว่า Computer หรือ EDP Audit นั้น มีเรื่องที่ต้องทำความเข้าใจกันมากพอสมควร ยิ่งผู้สนใจท่านใดอ่านหนังสือประเภทนี้จากผู้แต่งหลาย ๆ คน จากประเทศต่าง ๆ แล้ว ก็อาจจะพบกับความสับสนมากขึ้น ทั้งนี้เพราะ ผู้แต่งแต่ละท่านก็มีความคิด/จุดยืน และทัศนรวมทั้งการผูกเรื่องให้อ่าน หรือทำความเข้าใจแตกต่างกันนั่นเอง

16. จุดยืนและความแตกต่างของตำราที่ผู้เขียนเรื่อง การตรวจสอบด้านคอมพิวเตอร์ ก็ขึ้นกับความถนัดและประสบการณ์ของผู้เขียนแต่ละท่าน เช่น บางท่านถนัดทางด้านการตรวจสอบระบบงานแต่ละอย่าง (Application Audit) เพราะผู้แต่งหรือผู้เขียนทำงานในด้านนี้ บางท่านทำงานในองค์กรเอกชนหรือตามโรงงานอุตสาหกรรมต่าง ๆ ในขณะที่บางท่านแต่งหรือเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์ในฐานะที่เป็นผู้กำกับ และตรวจสอบสถาบันการเงิน จึงมีหน้าที่และบทบาทต่างกันออกไป เช่น ผู้ตรวจสอบของ FDIC, FRB, OCC ซึ่งเรียกรวม ๆ กันว่า Federal Financial Institution Examination Council (FFIEC) ของประเทศสหรัฐอเมริกาที่เป็นหน่วยงานของรัฐ ซึ่งทำหน้าที่ตรวจสอบทั้งฐานะความมั่นคงและการดำเนินงานโดยทั่วไป ซึ่งเรียกกันว่า Financial Examiner และบางส่วนแบ่งมาทำหน้าที่ตรวจสอบด้านคอมพิวเตอร์ เรียกกันในระยะแรก ๆ ว่า EDP Examiner นั้น ก็มีประสบการณ์การเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์แตกต่างกันในตามความรับผิดชอบของตน นั่นคือ FFIEC จะเน้นการตรวจสอบทางด้านศูนย์ประมวลข้อมูลของสถาบันการเงิน (Data Center) ซึ่งจะตรวจงานทางด้านการดำเนินงานและการบริหารของศูนย์คอมพิวเตอร์เป็นสำคัญ และจะไม่เน้นหรือจะไม่ตรวจสอบทางด้าน Application Audit ซึ่งทาง FFIEC พิจารณาว่าเป็นงานของผู้ตรวจสอบภายนอก (External Auditor) และผู้ตรวจสอบภายในของสถาบันการเงินหรือองค์กรอื่น ๆ ซึ่งผู้ตรวจสอบประเภทหลังนั้น จะตรวจสอบทั้งทางด้าน Data Center หรือตรวจสอบการควบคุมภายในโดยทั่วไป (General Controls) และตรวจสอบการควบคุมภายในเฉพาะระบบงาน หรือเรียกว่า Application Controls หรือ Application Audit ด้วย

17. เมื่อมาถึงจุด ๆ นี้ ก็มีคำที่ต้องทำความเข้าใจกันต่อก็คือ การตรวจสอบงานด้านคอมพิวเตอร์ เรียกและเข้าใจกันง่าย ๆ Computer Audit นั้น มีการตรวจสอบเป็น 2 ลักษณะ คือ

17.1 การตรวจสอบด้านศูนย์ประมวลข้อมูล (Data Center) หรือเรียกกันว่าเป็นการตรวจสอบการควบคุมโดยทั่วไป (General Controls) หรือเป็นการตรวจสอบ “องค์กร” หรือเป็นการตรวจสอบการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ขององค์กร

17.2 การตรวจสอบงานใดงานหนึ่งเป็นการเฉพาะ เช่น การตรวจสอบงานด้านเงินฝาก เงินให้กู้ ฯลฯ ก็เรียกกันว่าเป็นการตรวจสอบด้าน Application หรือเป็นการตรวจสอบการควบคุมภายในเฉพาะงาน (Application Controls) หรือทำให้เข้าใจง่ายยิ่งขึ้นก็เรียกว่าการตรวจสอบ “งาน” ภายในองค์กร

18. การตรวจสอบงานด้านคอมพิวเตอร์ โดยหลักใหญ่ ๆ จึงสรุปได้ว่ามีเพียง 2 ลักษณะ คือ การตรวจสอบ “องค์กร” กับ “งาน” จะเป็นการตรวจสอบด้านใดก็ขึ้นกับความรับผิดชอบของผู้ตรวจสอบในแต่ละองค์กร ว่ายืนอยู่ ณ จุดใด มีความรับผิดชอบด้านใด ท่านต้องการกำหนดขอบเขตการตรวจสอบ (Audit Scope) เพียงใด ดังนั้น ผู้อ่านจึงต้องแยกแยะว่าท่านต้องการเรียนรู้งานการตรวจสอบด้านคอมพิวเตอร์ลักษณะใด แล้วจึงค่อย ๆ ทำความเข้าใจกับคำอธิบายเฉพาะส่วนนั้น ๆ และความเกี่ยวพันที่เกี่ยวข้อง เช่น ควรเข้าใจว่า หาก General Controls มีปัญหาก็จะกระทบกับการวางแผนและการตรวจสอบด้าน Application Controls เพียงใด และควรมีวิธีการตรวจสอบอย่างไร เป็นต้น

อนึ่ง ถึงแม้จะมีตำราการตรวจสอบด้านคอมพิวเตอร์บางเล่มได้แยกหัวข้อการตรวจสอบแตกต่างไปจากที่กล่าวข้างต้น เช่น มักจะแยกหัวข้อการตรวจสอบการพัฒนาระบบงานเพิ่มมาอีกก็ตาม ผมก็ยังมีความเห็นว่า น่าจะรวมอยู่ในการตรวจสอบ General Controls จะเหมาะสมกว่า นอกจากนี้ แผนภูมิแสดงการตรวจสอบโดยย่อที่มีมากกว่า 1 แห่ง ในหนังสือของผมทั้ง 3 หรือ 4 เล่ม ก็อาจมีความแตกต่างกันในรายละเอียดปลีกย่อย ทั้งนี้ ขอให้ผู้อ่านอย่าสับสน เพราะเหตุผลเกิดจากแนวความคิดเบื้องต้นที่อาจแตกต่างกันบ้างของผู้เขียนหนังสือแต่ละคน เช่น บางคนเริ่มจากการวิเคราะห์ความเสี่ยง ซึ่งผมชอบแนวทางนี้ บางคนไม่วิเคราะห์ถึงความเสี่ยงก่อน แต่ให้เริ่มต้นจากการทำความเข้าใจระบบงานก่อน ซึ่งในที่สุด ผู้อ่านจะพบว่าไม่ว่าจะเริ่มแบบใด ในที่สุดแล้วก็จะมาสู่จุดเดียวกันจนได้ หากท่านผู้อ่านเข้าใจได้เช่นนี้ ก็แสดงว่าท่านเข้าใจแนวทางการตรวจสอบอย่างถ่องแท้แล้ว อย่างไรก็ดี หลักการส่วนใหญ่จะไม่แตกต่างกันมาก แต่จะแตกต่างกันในการบรรยายและการทำความเข้าใจ

19. ผู้อ่านควรทำความเข้าใจในคำต่อไปนี้ คือ EDP Examinar, EDP Auditor ซึ่งคำ ๆ หลังนี้ยังแยกได้เป็น 2 ส่วน คือ External Auditor และ Internal Auditor สรุปเพียงข้อนี้ก่อนว่าผู้ตรวจสอบด้านคอมพิวเตอร์เองก็มี 3 แบบ มีความรับผิดชอบและหน้าที่แตกต่างกัน และผู้ตรวจสอบต้องเข้าใจลักษณะของหน้าที่และความรับผิดชอบที่แตกต่างกันนั้น ๆ ด้วย เพราะความแตกต่างกันนั้น ยังมีส่วนเหลื่อมที่เป็นความเหมือนหรือความคล้ายกันปะปนกันอยู่ด้วย นั่นคือ การกำหนดขอบเขตและวิธีการตรวจสอบ อาจมีความสัมพันธ์ซึ่งกันและกันตามลักษณะของผู้ตรวจสอบทั้ง 3 แบบได้

20. การให้ถ้อยคำเป็นภาษาไทยที่ถอดความจากภาษาอังกฤษ ในศัพท์คอมพิวเตอร์บางครั้งก็มิใช่ของง่าย เพราะถึงแม้จะมีการแปลศัพท์คอมพิวเตอร์เป็นภาษาไทยกันแล้วหลายเล่ม แต่การใช้ภาษาไทยก็ยังมีการใช้แตกต่างกันอยู่ ซึ่งขึ้นกับความถนัดและความเข้าใจของผู้เรียบเรียงหรือผู้เขียนเป็นสำคัญ ดังนั้น การให้ถ้อยคำในภาษาไทยในแต่ละเรื่อง ถึงแม้มาจากภาษาอังกฤษคำ ๆ เดียวกัน ก็ใช้ถ้อยคำแตกต่างกันที่อาจทำให้ผู้อ่านสับสนได้ อย่างไรก็ดี คำศัพท์ภาษาไทยที่ยังไม่นิยมกัน ผมไม่ได้นำมาใช้ในเอกสารประกอบการบรรยายนี้ และคำศัพท์หลายคำ ผมได้ให้ความหมายใหม่ตามที่ผมเข้าใจ เช่นคำว่า “Default” โดยทั่วไปแปลว่า “โดยปริยาย” แต่ในหลายตอนของผมแปลว่า “มาตรฐานของระบบงานที่ได้กำหนดไว้ล่วงหน้า” หรือ “คำสั่งตามเงื่อนไขเบื้องต้นที่กำหนดไว้ในโปรแกรม” นอกจากนี้ หากท่านผู้อ่านพบกับคำว่า เกิด Default ก็ขอให้เข้าใจว่า “เกิดข้อคลาดเคลื่อน” หรือ “เกิดการปฏิบัติงานที่ผิดไปจากเงื่อนไขหรือคำสั่งงานที่กำหนดไว้” และในบางกรณีก็หมายถึง “เกิดปัญหาการปฏิบัติงานที่เกิดจากมาตรฐานหรือเงื่อนไขเบื้องต้น” ทั้ง ๆ ที่การเกิด Default นี้เป็นไปตามคำสั่งหรือมาตรฐานของระบบงานก็ตาม ซึ่งแสดงถึงจุดอ่อนหรือความเสี่ยงที่เกิดจากการทำ Default ในโปรแกรมนั่นเอง อย่างไรก็ดี ความหมายในภาษาไทยที่ใช้และอาจเกิดความสับสนได้นั้น ผมจะวงเล็บภาษาอังกฤษ เพื่อให้เปรียบเทียบประกอบความเข้าใจเป็นส่วนมากไว้ด้วย ดั้งนั้น หากท่านผู้อ่านจะนำศัพท์ภาษาอังกฤษไปเปรียบเทียบกับ Dictionary ด้านคอมพิวเตอร์ ก็จะพบว่าการให้ความหมายแตกต่างกันไป ซึ่งบางกรณีทำให้เกิดความเข้าใจที่แตกต่างกันด้วย

21. ถ้อยคำในภาษาไทยที่ใช้ในการบรรยายการตรวจสอบด้านคอมพิวเตอร์ในบางครั้งที่พบ เช่น การตรวจสอบระบบคอมพิวเตอร์โดยทั่วไป (ซึ่งหมายถึงการตรวจสอบ Data Center หรือ General Controls) กับคำว่าการตรวจสอบคอมพิวเตอร์เฉพาะงาน หรือบางครั้งก็ใช้คำว่าการตรวจสอบระบบงาน (ซึ่งหมายถึง Application Audit หรือ Application Controls) ถ้าผู้อ่านพยายามนึกถึงภาษาอังกฤษประกอบด้วยแล้ว จะทำให้ความสับสนน้อยลงได้ ทั้งนี้มีข้อแนะนำว่า หากรู้สึกสับสนก็ขอให้ถามตนเองว่า ขณะนี้เรากำลังอยู่จุดไหนหรือขั้นตอนใดของงานการตรวจสอบ เรามีเป้าหมายและขอบเขตการตรวจสอบอะไร เพียงใด ก็จะช่วยได้มาก โดยเฉพาะ การให้คำภาษาไทยที่ไม่ได้วงเล็บภาษาอังกฤษไว้ด้วย

การที่ผมย้ำจุดนี้หลายครั้งก็เพราะจากประสบการณ์ที่ผ่านมาในระยะแรก ๆ ทั้งตัวผมและผู้ฟังการบรรยายมักจะพบปัญหาการทำความเข้าใจจากจุดนี้เป็นสำคัญ

22. ถ้อยคำอื่น ๆ ที่มีปัญหาก็อาจเกิดจากเทคนิคทางด้านคอมพิวเตอร์นอกเหนือจากการใช้ภาษาไทยได้ ตัวอย่างเช่น โปรแกรมระบบงาน (System Program หรือ System Software) และคำว่าโปรแกรมเฉพาะงาน (Application Program หรือ Application Software) โดยมีถ้อยคำภาษาไทยที่คล้ายกันมาก หากไม่วงเล็บภาษาอังกฤษไว้ด้วย จะชวนทำให้สับสนได้ง่ายเช่นกัน หรือการตรวจสอบความถูกต้องของรายการทางการเงิน ก็มีคำภาษาอังกฤษที่ใช้ต่าง ๆ กัน เช่น Validation Procedures หรือ Verification Procedures หรือ Substantive Tests เป็นต้น ดังนั้น ผู้ตรวจสอบจึงควรทำความเข้าใจระบบงานของคอมพิวเตอร์ ให้ถ่องแท้ก่อนการวางแผนและดำเนินการตรวจสอบ

ทั้งนี้ ด้วยเนื้อหาของคำนำที่ยาวพอสมควร ทำให้ผมไม่สามารถนำเสนอได้จบในตอนที่ 6 นี้ จึงขอให้ท่านผู้อ่านโปรดติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่ม 2 “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ที่ผมจะนำมาเสนอในตอนต่อไปนะครับ

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: