IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 7)

สวัสดีท่านผู้อ่านและติดตาม itgthailand.com แห่งนี้ทุกท่านครับ ในครั้งก่อน ผมได้กล่าวถึงคำนำจากหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มที่ 2 ซึ่งแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน จากการที่ผมได้รวบรวม เรียบเรียงและจัดทำเป็นหนังสือ 4 เล่มที่เคยได้กล่าวถึงไปแล้วนั้น ด้วยเนื้อความในคำนำนั้นยาวเกินไป ผมได้ตัดทอนนำเสนอเป็นหลายตอน โดยในตอนนี้ผมจะขอนำเสนอต่อในหัวข้อที่ 23 จากทั้งหมด 36 หัวข้อด้วยกัน เราไปติดตามกันต่อเลยนะครับ

23. ถึงข้อนี้ ผมจึงขอกล่าวอีกครั้งว่า การตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบจะต้องทำความเข้าใจกับระบบงานทั้งหมด (Total System Approaches) ในส่วนของงานที่ต้องการตรวจสอบในองค์กร กล่าวคือ ผู้ตรวจสอบต้องทำความเข้าในทั้งในส่วนที่ใช้คอมพิวเตอร์ และส่วนที่ไม่ใช้คอมพิวเตอร์ และทั้ง 2 อย่างรวมกัน เพื่อแยกแยะให้ได้ว่า จะเริ่มต้นตรวจอะไรที่จุดใด ใช้เทคนิคแบบไหนจะตรวจสอบเมื่อใด และต้องการรูปแบบหลักฐานอย่างไร และควรจะจบลงอย่างไรในการตรวจสอบ ฯลฯ ในงานแต่ละเรื่องตามเป้าหมายที่กำหนดไว้ นอกจากนั้นผู้ตรวจสอบจะต้องเข้าใจความสัมพันธ์ของข้อมูลที่เกี่ยวข้องของ “งาน” (Application) ในแต่ละประเภทภายในองค์กร เพื่อกำหนดจุดตรวจสอบด้วย

24. จากข้อ 23. หากจะกล่าวให้ถูกต้องยิ่งกว่านี้ ก็ควรกล่าวว่าผู้ตรวจสอบทุกประเภทควรเข้าใจระบบงานที่ตรวจสอบทั้งในส่วนที่ใช้คอมพิวเตอร์ และไม่ใช้คอมพิวเตอร์ให้ดี จึงจะสามารถวางแผนและกำหนดขั้นตอนและเทคนิคการตรวจสอบที่เหมาะสม และติดตามการตรวจสอบของผู้ร่วมงานได้อย่างมีประสิทธิภาพ เพราะปัจจุบันทางการของไทยก็ได้ออกมาตรฐานการตรวจสอบบัญชีที่ใช้คอมพิวเตอร์ ออกมา 3 ฉบับ ด้วยกัน คือ มาตรฐานการสอบบัญชีฉบับที่ 28, 29, 36 ให้ผู้สอบบัญชีโดยทั่วไปถือปฏิบัติอยู่แล้ว และกรมสรรพกรก็ได้ออกกฎเกณฑ์บางประการในการใช้คอมพิวเตอร์มาให้ถือปฏิบัติด้วยเช่นกัน ดังนั้น เมื่อกล่าวถึงการตรวจสอบโดยทั่วไป ผู้ตรวจสอบจึงไม่อาจหลีกเลี่ยงจากการทำความเข้าใจในระบบงานทั้งหมด ก่อนการตรวจสอบเริ่มขึ้นได้ ยกเว้น การตรวจสอบที่มีเป้าหมายเฉพาะอย่างบางด้าน และผู้ตรวจสอบมีความเข้าในระบบงานโดยรวมขององค์กรที่จะเข้าตรวจสอบมาก่อน หลังจากองค์กรนำคอมพิวเตอร์มาใช้ในกระบวนการ “Process” งานครั้งล่าสุดแล้ว

25. แม้ว่าในการนำคอมพิวเตอร์มาใช้จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบ แต่ลักษณะการประเมินการควบคุมภายในตลอดจนหลักฐาน และวิธีการตรวจสอบจะเปลี่ยนแปลงไปมาก
ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนหรือระบบ Manual ในการประมวลผลข้อมูลย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้นการใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี โอกาสที่จะเกิดการผิดพลาดเพราะ Human Error อันเกิดจากการประมวลข้อมูลนั้นจะมีน้อย หรือไม่มีโอกาสเกิดขึ้นได้ ถ้าระบบงานและขั้นตอนการควบคุมภายในต่าง ๆ ที่ใช้คอมพิวเตอร์ควบคุมนี้ ได้รับการทดสอบเป็นที่แน่ใจแล้วว่า มีประสิทธิภาพยอมรับได้ ดั้งนั้น การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทนด้วยเหตุผล 3 ประการคือ

25.1 ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ช่วยให้มั่นใจได้ว่า การประมวลผลจะมีความสม่ำเสมอด้วย
25.2 การตรวจสอบผลที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ในลักษณะของการทำ Substantive Test นั้น ทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมากและหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ
25.3 ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์ เหตุผลข้อ 25. นี้ เป็นการย้ำว่าในองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบภายในเป็นเรื่องสำคัญลำดับต้น ๆ และการตรวจสอบด้านคอมพิวเตอร์ (IS Audit) ไม่ว่าจะเป็นการตรวจสอบ “องค์กร” (Data Center) หรือตรวจสอบ “งาน” (Application) ก็เน้นการตรวจสอบการควบคุมภายใน คือ General Controls และ Application Controls ด้านคอมพิวเตอร์นั่นเอง
เมื่อถึงประเด็นตามวรรคข้างต้น ผมคิดว่าเป็นจุดที่น่าสนใจ หากจะกล่าวต่อไปว่า การตรวจสอบเพื่อรับรองงบการเงินขององค์กร ซึ่งปกติเป็นหน้าที่ของผู้สอบบัญชีอนุญาต ซึ่งเป็นผู้สอบบัญชีภายนอกประเภทหนึ่งนั้น มีความสัมพันธ์กันอย่างใกล้ชิดกับการตรวจสอบงานด้านคอมพิวเตอร์ เน้นการตรวจสอบด้านการควบคุมภายในและการดำเนินงาน ซึ่งเป็นขั้นตอนต้น ๆ ที่จำเป็นของการตรวจสอบฐานะการเงิน ดั้งนั้น การตรวจสอบด้านคอมพิวเตอร์ (IS หรือ IT Audit) จึงมีความสัมพันธ์อย่างใกล้ชิดกับการตรวจสอบงานการเงินและการดำเนินงาน ซึ่งเรียกว่า Financial Audit อย่างสำคัญและไม่อาจหลีกเลี่ยงได้ในปัจจุบัน อย่างไรก็ดี การตรวจสอบฐานะความมั่นคงของสถาบันการเงินในภาพรวม ก็เป็นหน้าที่ของผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งเรียกรวม ๆ กันว่า Financial Examiner

จากความสัมพันธ์ดังกล่าว หนังสือเล่มนี้ซึ่งเน้นด้านการตรวจสอบด้านคอมพิวเตอร์ จึงได้กล่าวถึงการตรวจสอบทั้งทางด้าน IS Audit และ Manual Audit ซึ่งเป็นการตรวจสอบแบบเดิมไว้เพื่อการศึกษาเปรียบเทียบ และทำความเข้าใจในความแตกต่างของวิธีการตรวจสอบ ทั้ง 2 แบบไว้ด้วย

cover book 3-4

26. ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ไม่ว่าจะเป็น Data Center หรือ Application Audit ผู้ตรวจสอบควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ดีในการประเมินผลการตรวจสอบได้อีกด้วย

27. ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้ได้อย่างมีประสิทธิภาพ ทักษะทางด้านคอมพิวเตอร์ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้ว ต้องมีทักษะทางคอมพิวเตอร์โดยรวมที่เหมาะสม และเพียงพอแก่การปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบองค์รที่ใช้คอมพิวเตอร์ของทากงารและของสากล

28. ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบ ต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอระดับหนึ่งแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้ หากการตรวจสอบนั้น เป็นการตรวจสอบด้านคอมพิวเตอร์หรือมีส่วนที่เกี่ยวข้องกับคอมพิวเตอร์
ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วทางด้านเทคโนโลยี จำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้านคอมพิวเตอร์ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่ายคอมพิวเตอร์เองก็ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมภายในด้วย

29. การทำแผนภูมิหลายแผนในหนังสือเล่มนี้ เป็นการจัดทำขึ้นเพื่อให้ผู้อ่านได้ติดตามและทำความเข้าใจเรื่องราวที่เกี่ยวข้องได้ง่ายและสะดวกขึ้น ทั้งนี้ หลาย ๆ กรณีเป็นการประยุกต์มาจากความคิดและความเข้าใจของผมเอง เพื่อใช้ในการบรรยายเป็นสำคัญ อย่างไรก็ดี ผมใคร่ขอย้ำว่า ท่านผู้อ่านควรตอบตนเองก่อนว่า ขณะนี้กำลังทำความเข้าใจเรื่องอะไร ขณะนี้กำลังอยู่ในส่วนใดของกระบวนการตรวจสอบ และกำลังมองมุมผู้ตรวจสอบว่าเป็นประการใดจาก 3 ประเภทดังได้กล่าวข้างต้นแล้ว ทั้งนี้ ต้องมีเป้าหมายและขอบเขตที่แน่นอนของตนเองด้วยว่า กำลังตรวจสอบประเภท และเรื่องอะไรอยู่ เป็นต้น

30. เนื่องจากการรวบรวมเอกสารประกอบการบรรยายเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ ก็เช่นเดียวกับเล่ม 1 และเล่มที่จะพิมพ์ต่อไป ซึ่งเล่ม 3 จะเน้นเรื่องคอมพิวเตอร์กับการทุจริตและแนวการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือ รวมทั้ง การจัดทำแผนฉุกเฉิน หนังสือทั้ง 3 หรือ 4 เล่ม เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไป ในช่วงเวลาตั้งแต่ปี 2524 – 2536 แก่สถาบันหลายแห่ง และผมมีโอกาสแก้ไขเพิ่มเติมได้ไม่มากนัก เนื่องจากเวลาจำกัดมาก เพราะต้องการพิมพ์ให้เสร็จภายในเดือนกันยายน 2539 ทั้ง 3 เล่ม จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อหารวมทั้งแผนภูมิต่าง ๆ มากกว่าร้อยละ 95 ยังคงใช้ได้ดีจนถึงปัจจุบัน เพราะถึงแม้เทคนิคด้านรายละเอียดทางคอมพิวเตอร์จะพัฒนาไปอีกมาก แต่หลักการส่วนใหญ่ของการประมวลงานและการตรวจสอบก็ยังคงใช้หลักการเดิม ทั้งนี้ สังเกตได้จากการแต่งหนังสือที่มีการพิมพ์ครั้งหลัง ๆ ของตำราด้านตรวจสอบคอมพิวเตอร์ก็มีการแก้ไขใหม่ไม่มากนัก

31. สิ่งที่ผมใคร่จะเน้นก็คือการใช้เทคนิคการตรวจสอบว่า สมควรที่ผู้ตรวจสอบใช้เทคนิคใด ซึ่งขึ้นกับความรู้และประสบการณ์ของผู้ตรวจสอบเป็นหลัก และขึ้นกับความจำเป็น ตลอดจนสิ่งแวดล้อมและหลักฐานที่ต้องการด้วย เช่น จะใช้การตรวจสอบในแบบ Around the Computer หรือที่นิยมเรียกกันใหม่ เพื่อป้องกันความเข้าใจผิดว่า Audit without using the computer เพื่อเน้นว่าไม่ว่าจะเป็นการตรวจสอบแบบใด ผู้ตรวจสอบก็ไม่อาจหลีกเลี่ยงการประเมินประสิทธิภาพการควบคุมภายในได้ หรือใช้วิธีตรวจสอบลึกเข้าไปถึงการทำงานของโปรแกรมคอมพิวเตอร์ (Audit Through The Computer) พอสมควร ส่วนการใช้ Computer เป็นเครื่องมือช่วยในการวางแผนและการตรวจสอบนั้น ปัจจุบันนี้ ผู้ตรวจสอบมีโอกาสเลือกน้อยแล้ว กล่าวคือ ผู้ตรวจสอบจำเป็นต้องใช้ Computer ให้มีส่วนช่วยในการตรวจสอบไม่มากก็น้อย ในอดีตผมและคณะผู้ตรวจสอบมักใช้วิธี Test Data ในการทดสอบความน่าเชื่อถือได้ของโปรแกรม ซึ่งเป็นการทดสอบในแบบ Through the Computer แบบหนึ่ง แต่ผมยังมีประสบการณ์น้อยในการใช้โปรแกรมสำเร็จรูปในการตรวจสอบ หนังสือชุดนี้จึงไม่ได้กล่าวถึงเรื่องนี้มากนัก

32. หนังสือทั้ง 3 เล่มหรืออาจมีถึง 4 เล่ม จากเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เป็นการรวบรวมเอกสารประกอบการบรรยายต่าง ๆ ของผมในช่วงระหว่างปี 2524 ถึง 2536 ดังกล่าวแล้วในคำนำเล่ม 1 โดยได้เขียนคำอธิบายเพิ่มเติมประกอบเรื่อง และแผนภาพในบางเรื่อง เพื่อความเข้าใจที่กระจ่างขึ้น การเขียนเรื่องเพิ่มเติมและการตรวจทานความถูกต้องจากการพิมพ์ใช้เวลามากพอสมควร เนื้อหาสาระในหนังสือทุกเล่ม ถึงแม้จะพยายามลำดับเรื่องให้ได้ตามความเหมาะสมแล้วก็ตาม แต่ก็ยังมีเรื่องที่เป็นสิ่งละอันพันละน้อยต่าง ๆ ที่ผมได้สรุปไว้ใช้ในการบรรยายในโอกาสต่าง ๆ กันได้ปรากฎอยู่ในเรื่องหรือหัวข้ออื่นอยู่ด้วย เช่น ข้อสรุปที่ผู้ตรวจสอบและผู้บริหารควรทราบในรูปแบบแผนภูมิบ้าง แผนภาพบ้าง และคำบรรยายสรุปผัง เป็นต้น สิ่งเหล่านี้จะเป็นประโยชน์และทำความเข้าใจให้กับผู้ฟังและผู้อ่านมากขึ้น ถ้าผู้อ่านหรือผู้ใช้หนังสือชุดนี้ จะหยิบยกเรื่องที่เกี่ยวข้องมาประกอบในเรื่องที่ศึกษาด้วย โดยเฉพาะอย่างยิ่ง การศึกษาเรื่องคอมพิวเตอร์กับการทุจริต และการตรวจสอบ ซึ่งปรากฏในเล่ม 3 โดยสรุปเรื่องตรวจสอบเป็นบทสั้น ๆ เป็นการทบทวนในอีกแนวทางหนึ่งด้วย

33. การพัฒนางานตรวจสอบทั้งด้าน Computer Audit และ Financial Audit โดยจำลองระบบงานที่สำคัญขององคืกรนั้น ๆ เช่น สถาบันการเงิน โดยเน้นด้านการควบคุม และการตรวจสอบที่เป็นจริงให้ผู้ตรวจสอบติดตามได้ในภาคสนาม (Field Work) จริง ๆ ที่เรียกกันว่า Simulation Audit นั้น เป็นเรื่องที่น่าสนใจมาก เพราะจะทำให้ผู้ตรวจสอบได้ฝึกหัดการตรวจสอบ ณ ที่ทำการได้คล้าย ๆ กับการปฏิบัติงานจริงในภาคสนามเลยทีเดียว

34. หนังสือเล่มแรกของชุดนี้ ได้เร่งรีบจัดทำมาก เพื่อให้ทันแจกจ่ายในงานวันธนาคารภาคตะวันออกเฉียงเหนือประจำปี 2539 ที่จังหวัดร้อยเอ็ด จึงได้มีการตรวจทานงานพิมพ์เพียงครั้งเดียว ประกอบกับมีความสับสนในการจัด File ที่แก้ไขแล้ว และก่อนแก้ไขในการจัดพิมพ์จริง จึงปรากฏข้อผิดพลาดที่ตรวจพบภายหลังการเย็บเล่มแล้วหลายแห่ง จึงขออภัยท่านผู้อ่านมา ณ ที่นี้ด้วย อย่างไรก็ดี ผมได้แทรกแก้ไขคำผิดไว้ในหน้าหลังของเล่มแรกแล้ว

35. หนังสือชุดนี้เป็นการให้คำแนะนำล่วงหน้าแก่สถาบันการเงินในด้านการบริหาร การดำเนินงานและการตรวจสอบ รวมทั้งประเด็นปัญหาที่น่าสนใจเพื่อหาทางป้องกัน/หรือแก้ไขการทุจริต และการจัดทำแผนฉุกเฉินทางด้านคอมพิวเตอร์ ซึ่งจะปรากฏในเล่มต่อไป ทั้งนี้เป็นการดำเนินงานตาม Action Plan ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ เพื่อให้บรรลุผลตามโครงการนี้ ก็น่าจะช่วยลดภาระของธนาคารได้ ทั้งในปัจจุบัน และอนาคต

อย่างไรก็ดี การทำความเข้าใจในหนังสือชุดนี้นั้น ผมได้ตั้งแนวทางว่า ท่านผู้อ่านได้ทราบพื้นฐานทางด้านการประมวลงานด้านคอมพิวเตอร์พอสมควรแล้ว

36. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสำคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตหลาย ๆ เรื่อง และทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดำเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

คำนำในหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นเล่มที่ 2 จาก 4 เล่มของผมนั้น ผมยังคงรักษาข้อมูลทุกตัวอักษรที่ได้ตีพิมพ์เมื่อปี พ.ศ. 2539 เอาไว้ จากประสบการณ์การตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเริ่มมาตั้งแต่ปี พ.ศ. 2524 โดยธนาคารแห่งประเทศไทย ซึ่งเป็นหน่วยงานกำกับสถาบันการเงินเพื่อให้แน่ใจอย่างสมเหตุสมผลว่า ผู้มีผลประโยชน์ร่วมได้รับการคุ้มครองฐานะทางการเงินของสถาบันการเงิน ต่อผู้ที่เกี่ยวข้องอย่างได้ดุลยภาพเป็นที่น่าพอใจ ถึงแม้จะเกิดความเสี่ยงใหม่ ๆ จากการมีการใช้คอมพิวเตอร์ของสถาบันการเงินเพิ่มขึ้นมาก นอกเหนือจากการบริหารความเสี่ยงในยุคก่อนคอมพิวเตอร์ และความเสี่ยงที่สำคัญยิ่งและอาจพิจารณาได้ว่าอยู่ในระดับความเสี่ยงที่ไม่น่ายอมรับได้ (Risk Apptite) ก็คือ การที่ผู้กำกับไม่อาจติดตามการบริหารและการจัดการกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นจากการใช้คอมพิวเตอร์ได้ นั่นคือ ก่อนที่จะมีการพัฒนาการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นั้น ท่านผู้อ่านคงจำได้นะครับว่า ผมได้เล่าให้ฟังว่า ผู้ตรวจการ (Examnier) ไม่สามารถตรวจสอบการบริหารและการจัดการของธนาคารพาณิชย์ที่เกี่ยวข้องกับความมั่นคงของสถาบันการเงินในช่วงแรก ๆ ที่สถาบันการเงินได้เปลี่ยนแปลงระบบงาน manual มาสู่ระบบคอมพิวเตอร์ (EDP) ในช่วงนั้นได้

จากประวัติความเป็นมาของการพัฒนางานกำกับ และตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์และธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมาในทุกแห่ง โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน ซึ่งต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ เกิดขึ้นมากมายมาใช้เป็นประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ ซึ่งผมจะทยอยเล่าถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นต่อไปนะครับ

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: