IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 8)

การวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ในยุคก่อน ๆ ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน ซึ่งผมได้กล่าวถึงไปแล้วใน IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ถึง 7 ตอนด้วยกันนั้น จากการพัฒนางานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นี้ ทางธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน และต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ มากมายมาใช้ประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ทุกแห่ง และผมได้กล่าวทิ้งท้ายไว้ในครั้งที่แล้วว่า จะเล่าสู่กันฟังถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นของผม เพื่อเป็นประโยชน์ต่อผู้ที่สนใจศึกษาและติดตามงานการบริหาร การกำกับ และ การตรวจสอบงานด้านคอมพิวเตอร์ ซึ่งก็ติดตามกันต่อได้เลยครับ

การเดินทางไปเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในครั้งนั้น เป็นการเข้ารับการฝึกอบรมและดูงานเฉพาะด้านเป็นครั้งแรกของฝ่ายกำกับและตรวจสอบสถาบันการเงิน โดยมีวัตถุประสงค์ที่จะพัฒนาผู้ตรวจสอบและวางแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในประเทศไทย เนื่องจากการเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ครั้งแรกนี้ ผมถือว่าเป็นเรื่องใหม่สำหรับผมอย่างแท้จริงในตอนนั้น เพราะไม่มีแนวทางใด ๆ ที่พอจะใช้ศึกษาก่อนการเดินทางได้ว่าจะดำเนินการอย่างไรบ้าง ผมทราบเพียงแต่เป้าหมายและวัตถุประสงค์ที่แน่นอน ซึ่งได้ใช้เป็นหลักในการกำหนดโครงการและแผนการอื่น ๆ ที่คิดได้ในขณะนั้น และในระหว่างการดูงานเพื่อเป็นแนวทางไปสู่เป้าหมายที่ได้รับมอบหมายดังกล่าวข้างต้นเท่านั้น

แต่กระนั้น ผมก็ได้พยายามสอบถามตนเองเสมอว่า

“เรากำลังเดินไปสู่ทิศทางที่ถูกต้องแล้วหรือไม่”

“สิ่งที่ได้รับประจำวันนั้น ทำให้เราใกล้เคียงกับเป้าหมายแล้วหรือยัง”

“เราจะทำอย่างไรที่จะช่วยให้ถึงหรือใกล้เป้าหมายได้”

การสอบถามตนเองเหล่านี้ได้กระทำเป็นประจำทุกวัน เพื่อให้นึกถึงประเด็นที่เข้าใจว่าจะทำให้ใกล้เคียงเป้าหมายมากขึ้น ผมก็จะจดบันทึกไว้เพื่อดำเนินการต่อไปในวันรุ่งขึ้น

การกระทำเช่นนี้อย่างสม่ำเสมอทำให้ประเมินว่าพอที่จะเข้าใจและเห็นแนวทางได้บ้าง ประกอบกับการที่ได้มีโอกาสร่วมการตรวจสอบกับผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ของ FDIC (Federal Deposit Insurance Corporation) และ OCC (Office of the Comptroller of the Currency) ในการตรวจสอบคอมพิวเตอร์ (EDP Examination) ในภาคปฏิบัติงานตรวจสอบจริง ๆ ของทั้ง 2 สถาบัน ซึ่งก็ทำให้ผมได้เห็นเป้าหมายที่ต้องการเด่นชันขึ้น โดยเฉพาะอย่างยิ่ง เมื่อได้ทบทวนถึงสิ่งที่ได้เรียนรู้จากการอบรมที่ FDIC Training Center ในหลักสูตร Course in Examining a Computerized Bank I และ II (CECB I-II)

fdic_splash

อย่างไรก็ดี ผมเองยังมีประสบการด้านคอมพิวเตอร์ไม่มากนัก สิ่งที่ได้ประเมินในระหว่างการฝึกอบรมและดูงานขณะที่อยู่ในประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น หรือแม้กระทั่งได้กลับมาปฏิบัติงานในประเทศไทยในตอนนั้นแล้วก็ตาม จึงอาจจะมีบางสิ่งบางอย่างที่มองข้ามไป หรือนึกไม่ถึงเพราะประสบการณ์เกี่ยวกับคอมพิวเตอร์ที่อาจมีไม่มากพอและเพิ่งเริ่มศึกษากันไม่นานนัก ประกอบกับมีงานประจำด้านอื่นที่ต้องปฏิบัติอยู่ด้วย จึงทำให้โอกาสที่จะค้นคว้าหรือศึกษางานด้านคอมพิวเตอร์ค่อนข้างจำกัด และเมื่อพิจารณาถึงความก้าวหน้าด้าน Computer Technology ที่เป็นไปอย่างรวดเร็วด้วยแล้ว ทำให้ผมตระหนักเสมอว่าโอกาสที่จะประเมินผลการดูงานด้านการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ผิดพลาดไปย่อมมีอยู่ไม่น้อย

OCC

ทั้งนี้ ผมจึงได้จัดทำรายงานการฝึกอบรมและดูงานไว้ เพื่อจะเป็นรายงานที่ทำให้ทราบว่าเป้าหมายที่ได้วางไว้ก่อนเดินทางไปฝึกอบรมและดูงานนั้น ได้รับผลเพียงใดอย่างกว้าง ๆ นอกจากนี้ยังได้รายงานในหัวข้อที่เกี่ยวกับ “สิ่งที่ได้เรียนรู้จากการดูงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์ต่าง ๆ” ที่น่าจะเป็นประโยชน์ต่อผู้ตรวจสอบทั่วไป โดยเฉพาะอย่างยิ่งสำหรับผู้ที่จะมาทำหน้าที่เป็นผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ซึ่งผมจะขอนำเสนอเป็นหัวข้อตามภาพด้านล่าง เพื่อให้เห็นถึงภาพรวมของกระบวนการตรวจสอบงานทางด้าน IT Audit/IT Examination หรือในยุคนั้นเรียกกันโดยทั่วไปว่า EDP Audit ในช่วงปี พ.ศ. 2521 และก่อนหน้านั้น และหากมีโอกาสผมจะได้นำมาเล่าสู่กันฟังในบางหัวข้อตามความเหมาะสมต่อไป

ภาพนิ่ง1

ภาพนิ่ง2

ภาพนิ่ง3

ภาพนิ่ง4ภาพนิ่ง5

สำหรับการฝึกอบรม ผมได้อบรมในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) ใช้เวลา 1 สัปดาห์ โดยเป็นส่วนหนึ่งของหลักสูตร “Bank Examination School for Senior Assistant Examiners” และ Course in Examining a Computerized Bank II (CECB-II) ใช้เวลา 2 สัปดาห์ จัดเป็นหลักสูตรอบรมเฉพาะผู้ตรวจสอบที่ผ่าน CECB-I มาแล้ว และจะได้รับการคัดเลือกให้เป็น EDP Examiner ต่อไป โดยมีวัตถุประสงค์ของการอบรม คือ

หลักสูตร Course in Examining a Computerized Bank I (CECB-I) ก็เพื่อแนะนำทฤษฎีและวิธีการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ที่ไม่มีศูนย์คอมพิวเตอร์ของตนเอง แต่ใช้บริการของบุคคลภายนอกในการประมวลผลงานของธนาคาร

หลักสูตร Course in Examining a Computerized Bank II (CECB-II) มีวัตถุประสงค์เพื่อให้ผู้เข้ารับการอบรมเข้าใจถึงการประเมินผลของศูนย์ปฏิบัติงานด้านคอมพิวเตอร์ ในกรณีที่ธนาคารมีเครื่องคอมพิวเตอร์เพื่อประมวลผลงานด้านต่าง ๆ ของธนาคารเอง โดยเฉพาะการใช้เทคนิคการสอบถามข้อมูลในกระบวนการตรวจสอบ ตลอดจนการทำความเข้าใจเกี่ยวกับการใช้คอมพิวเตอร์ให้มากขึ้น

โดยการฝึกอบรมนี้เป็นการฝึกอบรมของสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา โดยมี Training Center อยู่ในอาคารที่มีบริษัทห้างร้านเช่ารวมกันอยู่หลายสำนักงาน ห้องที่ใช้ฝึกอบรมนั้นเป็นห้องที่มีเครื่องปรับอากาศทุกห้อง  มีห้องขนาดใหญ่และขนาดเล็กหลายห้อง สำหรับการประชุมแบบ Syndicate และมีห้องเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่ง ณ ช่วงเวลาที่ผมกลับจากการอบรมแล้วและจัดทำรายงานการอบรม (ปี พ.ศ. 2522) ห้องนี้ได้ใช้เป็นเครื่องคอมพิวเตอร์ของ IBM System 3 และมีเครื่องเจาะบัตรหลายเครื่องตั้งอยู่ในห้องเดียวกัน เพื่อใช้สำหรับการฝึกหัดและการทำความเข้าใจของผู้เข้ารับการอบรม ซึ่ง FDIC ก็ยังมีโครงการจะเปลี่ยนเครื่องคอมพิวเตอร์ที่ใช้ในการอบรมใหม่ในอีก 2 ปีข้างหน้า (นับจากช่วงเวลาที่ผมได้รับการอบรมนั้น) อีกทั้งยังมีเครื่องมือ เครื่องใช้ และอุปกรณ์การอบรมครบถ้วนและทันสมัยทั้งสิ้น

นอกจากนี้ FDIC ยังมีระบบ “FOCUS DISPLAYS” ซึ่งผู้เข้ารับการอบรมสามารถทดลองใช้ได้ด้วย ระบบที่กล่าวถึงนี้ สามารถดึงข้อมูลซึ่งเป็นสถิติต่าง ๆ เกี่ยวกับการตรวจสอบและข้อมูลที่เกี่ยวกับงานวิเคราะห์ธนาคารพาณิชย์ทุกธนาคารทั่วประเทศสหรัฐอเมริกาที่ประกันเงินฝากไว้กับ FDIC ให้ปรากฎทางจอรับภาพได้ในทันทีที่ต้องการทราบ และถ้าต้องการข้อมูลใดเป็นพิเศษ ก็สามารถกดปุ่มพิมพ์ข้อมูลนั้น ๆ ได้ภายในเวลาที่รวดเร็วมาก

ศูนย์ฝึกอบรมคอมพิวเตอร์ ของสถาบัน FDIC

ลักษณะของการฝึกอบรมในหลักสูตร CECB-I จะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกท (Syndicat Discussion) เป็นส่วนใหญ่ และแจกเอกสารให้ผู้เข้ารับการอบรมไปศึกษาค้นคว้าด้วยตนเอง ส่วนหลักสูตร CECB-II จะมีลักษณะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกทเช่นกัน แต่ส่วนใหญ่เป็นการฝึกงานการใช้เครื่องคอมพิวเตอร์ในการทำแบบฝึกหัด และการประชุมกลุ่มเพื่อฝึกซ้อม Case Study ต่าง ๆ และในเวลาพักจะให้ผู้ฝึกอบรมทดลองเครื่องและอุปกรณ์คอมพิวเตอร์ได้ตามความถนัด ซึ่งหลักสูตร CECB-II นี้ เป็นหลักสูตรเฉพาะสำหรับผู้ตรวจสอบที่จะได้รับมอบหมายให้เป็น EDP Examiner ต่อไป

การวัดผล การรับรองผล และการประเมินผล ทั้งหลักสูตร CECB-I และ CECB-II นอกจากการฟังบรรยายแล้ว ผู้เข้ารับการอบรมจะต้องแยกกันประชุมกลุ่มซินดิเกทพิจารณาปัญหาต่าง ๆ เพื่อทำความเข้าใจเพิ่มเติมเกี่ยวกับหัวข้อวิชาที่บรรยายและเป็นการฝึกฝนทบทวน การประชุมกลุ่มซินดิเกทจะนำเสนอต่อที่ประชุมใหญ่ ซึ่งจะสรุปความเห็นและอธิบายปัญหาต่าง ๆ และจะให้ผู้เข้ารับการอบรมซักถามเพิ่มเติม นอกจากนี้ยังมีการฝึกหัดการใช้เครื่องคอมพิวเตอร์ การเขียนคำสั่งงาน และการแก้ไขคำสั่งงานที่สามารถให้เครื่องคอมพิวเตอร์ปฏิบัติตามความต้องการได้ เช่น การดึงข้อมูล การจัดรูปข้อมูลที่อยู่ในม้วนเทป, ดิสก์ ให้พิมพ์ข้อมูลในแบบฟอร์มเดิม หรือในรูปแบบฟอร์มใหม่ เพื่อการตรวจสอบได้ด้วย

ทั้งนี้ในการฝึกหัดจะแบ่งผู้เข้ารับการอบรมเป็นกลุ่ม ๆ กลุ่มละ 2 คน ให้ช่วยกันเขียนคำสั่งงานเพิ่มเติมจากคำสั่งงานที่มีอยู่แล้ว และหรือแก้ไขคำสั่งงานตามที่ผู้บรรยายจะกำหนด โดยแต่ละกลุ่มจะต้องอยู่ปฏิบัติงานนั้น ๆ จนแล้วเสร็จ ถ้ามีปัญหาก็หารือผู้ฝึกสอนได้ เมื่อเขียนหรือแก้ไขคำสั่งงานเสร็จหรือเพื่อทดลองผล ผู้เข้ารับการอบรมแต่ละกลุ่มจะต้องนำไป process งานนั้นกับเครื่องคอมพิวเตอร์จริง ๆ ว่าได้ผลในรูปแบบที่ผู้บรรยายต้องการหรือไม่ แต่ละกลุ่มจะต้องปฏิบัติงานที่ได้รับมอบหมายแต่ละครั้งจนเป็นที่พอใจของผู้ฝึกสอน จึงจะถือว่าผ่านการบรรยายวิชานั้น ๆ ซึ่งนับว่าเป็นการวัดผลการสอนไปในตัว โดยไม่ต้องมีการทดสอบเป็นทางการเมื่อสิ้นสุดการอบรมอีก สำหรับการประเมินผลการอบรมนั้น ผู้เข้ารับการอบรมจะกรอกแสดงความคิดเห็นลงในแบบฟอร์มหลังจากสิ้นสุดการอบรมแต่ละหลักสูตรว่า วิชานั้น ๆ เป็นอย่างไร ได้ความรู้แค่ไหน เพียงใด ผู้สอน ๆ ได้ดีหรือไม่ ซึ่งมีลักษณะเช่นเดียวกับแบบประเมินผลการฝึกอบรม ที่ส่วนการพนักงานของธนาคารแห่งประเทศไทย จัดให้ผู้เข้ารับการอบรมแสดงความคิดเห็นเมื่อเสร็จสิ้นการอบรมเช่นกัน

สำหรับผมแล้ว การได้มีโอกาสไปร่วมรับการอบรมทั้ง 2 หลักสูตรครั้งนั้น นับว่ามีประโยชน์มาก เพราะได้รับความรู้เกี่ยวกับแนวความคิดและหลักการปฏิบัติในการตรวจสอบคอมพิวเตอร์ ได้มีโอกาสสังเกตการตรวจสอบและการดำเนินงานด้านการฝึกอบรมเกี่ยวกับคอมพิวเตอร์ ซึ่งต่อมาธนาคารแห่งประเทศไทย ได้นำมาวางเป็นแนวทางในการตรวจสอบธนาคารพาณิชย์ทุกแห่งที่ใช้คอมพิวเตอร์ได้เป็นอย่างดี

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: