IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 10)

ในครั้งก่อน ผมได้เล่าถึงการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสตรวจสอบธนาคารพาณิชย์กับ EDP Examiner โดยออกตรวจสอบร่วมกับสถาบัน FDIC เมื่อครั้งที่ผมได้ไปฝึกอบรมและดูงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งงานการตรวจสอบที่ FDIC ได้แบ่งออกเป็น 2 ประเภท คือ Evaluation และ Examination และผมได้กล่าวถึง การตรวจสอบแบบ Evaluation ไปบ้างแล้วนั้น ในครั้งนี้ ผมจึงจะขอเล่าต่อในส่วนของงานการตรวจสอบแบบ Examination กันต่อ

Examination

ถือเป็นงานลำดับรองลงมาเมื่อเทียบกับงาน Evaluation ด้าน Data Center งานด้านนี้เป็นเพียงสนับสนุนและช่วยเหลือ Financial Examiner ในการตรวจสอบงานด้านอื่น ๆ งานของ EDP Examiner ในส่วนนี้มีดังนี้

  • ขอ Report ต่าง ๆ ที่จำเป็นในการทำ Evaluation ซึ่งเป็นงานที่เกี่ยวข้องกับการประเมินผลด้าน Data Center
  • ขอ Report ที่จำเป็น เพื่อการปฏิบัติงานของ Financial (Regular) Examiner
  • ใช้ Program หรือคำสั่งงานของ FDIC เอง เพื่อดึงข้อมูลที่ต้องการตรวจสอบ ซึ่งบันทึกอยู่ในม้วน Tape หรือ Disk ของธนาคาร เพื่อให้ได้ข้อมูลที่ต้องการตามที่ Financial Examiner ต้องการ หรือ เพื่อทดสอบงานของ EDP Examiner เองบางส่วนก็ได้ งานในขั้นนี้นับว่ามีความสำคัญไม่น้อย เพราะเป็นวิธีการตรวจสอบที่เรียกว่า “Through the Computer” กล่าวคือ มีการใช้ Program ของผู้ตรวจสอบเอง ในการทดสอบข้อมูลของธนาคาร ไม่ว่าจะเป็นการดึงข้อมูลจาก File (Tape หรือ Disk) ของธนาคารในรูปแบบเดิม หรือเปลี่ยนแปลงข้อมูลให้ปรากฎในรูปฟอร์มแบบที่ผู้ตรวจสอบต้องการ รวมทั้งการทำข้อมูลใหม่โดยอาศัยข้อมูลเดิมของธนาคารด้วยก็ได้
  • การปฏิบัติงานการตรวจสอบที่เรียกว่า “Through the Computer” ของ FDIC นี้ เป็นการใช้เทคนิคการตรวจสอบมาก ผู้ตรวจสอบต้องเข้าใจในระบบงานอย่างแท้จริง และลึกซึ้งถึงจะปฏิบัติงานขั้นนี้ได้ และในทางปฏิบัติผู้ตรวจสอบก็พบกับปัญหาอยู่ไม่น้อย ซึ่งจะต้องทำการแก้ไขโปรแกรมในการตรวจสอบเสมอ ดังนั้นทาง Comptroller of the Currency จึงไม่ใช้วิธีการตรวจสอบชนิดนี้ทั้ง ๆ ที่ทาง FDIC เสนอให้ยืม Program ในการตรวจสอบไปใช้ก็ตาม
  • การตรวจสอบแบบ Around-Through The Computer

เหตุผลที่ FDIC ใช้แนวการตรวจสอบแบบ Through the Computer

1. ไม่ต้องอาศัยข้อมูลของธนาคารแต่อย่างเดียว เพราะ FDIC สามารถสร้างข้อมูลใหม่หรือเปลี่ยนรูปแบบของข้อมูลเดิมโดยอาศัย Program ปฏิบัติการในด้านนี้ ทำให้เป็นอิสระที่จะใช้ข้อมูลเท่าที่จำเป็นในการตรวจสอบ

2. ช่วยประหยัดเวลาในการปฏิบัติงานของ Financial Examiner ลงได้มาก และทำให้การตรวจสอบมีประสิทธิภาพมากขึ้น

3. เป็นการยกระดับผู้ตรวจสอบด้านคอมพิวเตอร์ และทำให้ผู้ตรวจสอบแน่ใจความรู้ด้านนี้ของตนมากยิ่งขึ้น

อย่างไรก็ดี ข้อมูลที่ได้จากการใช้ Through the Computer ในการตรวจสอบก็เพื่อใช้งานในด้าน Financial Examiner เป็นหลัก

งานที่ตรวจสอบแบบ Through the Computer ของ FDIC

  • Installment Loans
  • Demand Deposits
  • Savings Deposits
  • Certificates of Deposits

งานที่ตรวจสอบในแบบ Through the Computer เริ่มในปี 1975 จากงาน Installment Loans เป็นอันดับแรก ซึ่งปัจจุบัน (ณ ช่วงเวลาในปี 2521 นั้น) FDIC กำลังพัฒนา Program ที่จะตรวจสอบงานประเภทอื่น ๆ ให้มากขึ้น

ข้อสังเกตที่เกี่ยวกับการใช้ Software Package ในการตรวจสอบของ FDIC และผู้สอบบัญชี

1. FDIC ได้พัฒนา Software Package ของตนเอง เพื่อการตรวจสอบในลักษณะ Through the Computer โดยเฉพาะ ทั้งนี้โดยมี Division of Management System and Financial Statistics ประจำ FDIC, Washington D.C. เป็นผู้มีหน้าที่พัฒนาเรื่องนี้โดยตรง และจะนำ Software Package ที่พัฒนาแล้วให้ผู้ตรวจสอบทดลองใช้งาน และแก้ไขไปจนกว่าจะนำไปใช้ปฏิบัติงานได้จริง

2. EDP Examiner เป็นผู้ใช้ Software Package แต่ไม่ได้เป็นผู้เขียน Program เอง EDP Examiner ที่ช่วย Financial Examiner โดยการใช้ Software Package ดึงข้อมูลจาก Tape หรือ Disk เพื่อการตรวจสอบงานของ Financial Examiner และของ EDP Examiner เองนี้ จะต้องมีความรู้ด้านการเขียน Program ดีพอ เพราะในทางปฏิบัติการใช้ Software Package ในการตรวจสอบมักมีปัญหาอยู่เสมอที่ EDP Examiner จะต้องแก้ไข Program ด้วยตนเอง และถ้าไม่อาจแก้ไขได้ก็ต้องโทรศัพท์หารือโดยตรงไปยัง FDIC, Washington D.C. และบางกรณีผู้เชี่ยวชาญจาก Washington D.C. จำเป็นต้องเดินทางไปแก้ไขปัญหาด้วย

3. ผู้ตรวจสอบบัญชีภายนอกและผู้สอบบัญชีภายในของธนาคารพาณิชย์ ที่ใช้ Software Pakage ในการตรวจสอบ โดยปกติจะไม่พัฒนาหรือเขียน Program ในการตรวจสอบข้อมูลโดยตรง แต่จะใช้ Software Package จากบริษัทผู้ผลิตหรือบริการด้าน Software โดยเฉพาะ เช่น Cullinane Corporation ซึ่งบริษัทประเภทนี้จะมีความเชี่ยวชาญโดยเฉพาะเกี่ยวกับการเขียน Program ในการตรวจสอบงานการผลิตข้อมูลที่ดำเนินการโดยเครื่องคอมพิวเตอร์ของ IBM ซึ่งไม่เหมาะสม และอาจใช้งานไม่ได้ผลสำหรับคอมพิวเตอร์ชนิดอื่น ๆ

อย่างไรก็ดี งานตรวจสอบบางประเภทผู้สอบบัญชีอาจเขียน Program เพื่อการตรวจสอบเองทั้งหมดก็ได้

4. ในการใช้ Audit Software Package เพื่อปฏิบัติงาน ผู้ตรวจสอบจะต้องเขียน Parameter คือเขียนคำสั่งงานในแบบฟอร์ม ซึ่งจะนำไปเจาะรูในบัตรเจาะรู (Punch Card) ขนาดมาตรฐาน บัตรเจาะรูดังกล่าวเป็นเสมือนหนึ่งเป็นบัตรนำในการสั่งงานให้เครื่อง Compile Program กล่าวคือ ให้เครื่องแปลงภาษาคอมพิวเตอร์ที่ Programmer เขียนขึ้นให้เป็นภาษาของเครื่องจักร (Machine Readable Form) ซึ่งในที่สุดแล้ว คำสั่งงานการตรวจสอบในเรื่องที่เกี่ยวข้องจะถูกบันทึกลงในส่วนที่เป็นสมอง หรือ Memory ของเครื่องคอมพิวเตอร์ เพื่อการปฏิบัติงานในขั้นต่อไปได้

5. เมื่อเครื่องคอมพิวเตอร์ Compile Program ของงานที่จะตรวจสอบแล้ว จะมีการทดสอบ Program ที่พร้อมจะปฏิบัติงานได้นั้นกับ Program File ของผู้ตรวจสอบ ซึ่งส่วนมากมีลักษณะเป็น Tape ของ Application ที่จะตรวจสอบ เช่น Installment Loans ซึ่งผู้ตรวจสอบต้องการจะได้ข้อมูลในรูปแบบของผู้ตรวจสอบเองว่า “เป็นไปได้” หรือ “ปฏิบัติได้” หรือ “Agree” กันหรือไม่ งานขั้นนี้ปกติจะต้องให้พนักงานของธนาคารปฏิบัติให้ โดยผู้ตรวจสอบจะมอบ Tape ของผู้ตรวจซึ่งเตรียมมาแล้ว ถ้าคำสั่งงาน (Program) ขัดแย้งกับรูปแบบของงานที่ผู้ตรวจต้องการ เครื่องคอมพิวเตอร์จะพิมพ์ Listing Program ที่จะต้องแก้ไขพร้อมกับข้อความโดยย่อแต่ละขั้นให้ทราบ ซึ่งผู้ตรวจสอบต้องแก้ไขให้ถูกต้องก่อนการ “Run” งานจริง ๆ กับข้อมูลของธนาคารซึ่งอยู่ใน Tape ต่อไป

Frequently Avoided Questions about IT auditing

credit image : http://www.isect.com

6.การแก้ไข Program ที่ผิดพลาด จะต้องเจาะบัตรเจาะรูใหม่ และ Compile Program ใหม่ทั้งหมด แต่สำหรับเครื่องคอมพิวเตอร์บางชนิด เช่น เครื่อง Burrough B 3700 นี้ เพียงแต่ Compile บัตรเจาะรูที่แก้ไขใหม่เข้าไปแทนบัตรเจาะรูเดิมก็ใช้ได้ ทำให้ประหยัดเวลาและสะดวกในการปฏิบัติงานมากขึ้น

7. ผู้ตรวจสอบจะบอกหัวหน้า Operator ของ Data Center เกี่ยวกับงานที่จะต้องตรวจสอบดังนี้

  • ชื่อของงานที่จะตรวจสอบ เช่น Installment Loans
  • วันที่ใน File หรือ Master File ที่จะใช้ในการตรวจสอบ

8. เมื่อ EDP Examiner ได้ข้อมูลในการตรวจสอบ ซึ่งปกติจะพิมพ์มาจาก Printer ก็จะนำมาดู Total Balance เป็นหลัก และตรวจสอบเปรียบเทียบกับยอดรวมของ Master File อื่น ๆ ที่เกี่ยวข้อง ส่วนรายละเอียดในการตรวจสอบกับเอกสารของธนาคารและการดูข้อมูลอื่น ๆ เป็นหน้าที่ของ Regular Examiner หรือ Financial Examiner จะดำเนินการต่อไป

9. Audit Software Package จากบริษัทผู้ผลิตคอมพิวเตอร์ หรือจากบริษัทผู้ดำเนินการบริการเขียน Audit Software Package โดยเฉพาะนี้ มีราคาแตกต่างกันขึ้นอยู่กับปัจจัยต่อไปนี้

  • ขอบเขตการใช้งาน
  • ลักษณะงานที่ใช้
  • ระบบงานของเครื่องคอมพิวเตอร์ซึ่งแตกต่างกันในแต่ละผลิตภํณฑ์
  • ต้นทุนหรือการตั้งราคาจำหน่ายแต่ละบริษัท
  • เงื่อนไขการให้บริการ

โดยทั่วไป Audit Software Package ที่มีขนาดและขอบเขตการใช้งานขนาดกลางมีราคาระหว่าง US$ 20,000 ถึง US$ 40,000 (ราคาโดยประมาณ ณ ช่วงเวลาในปี 2521) ทั้งนี้ขึ้นกับปัจจัยดังกล่าวข้างต้น บางบริษัทนอกจากขาย Software Package แล้ว ยังคิดค่าบริการในลักษณะ Annual Fee อีกต่างหากด้วย

สำหรับประสบการณ์จากการได้ร่วมตรวจสอบ EDP Examiner กับ FDIC นั้น ผมคงจะเล่าสู่กันฟังได้เพียงเท่านี้ เพราะมีรายละเอียดปลีกย่อยมากมายที่ผมเองคงไม่สามารถเล่าสู่กันฟังได้ทั้งหมด และในครั้งหน้าผมจะมาเล่าถึงประสบการณ์ที่ได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 บ้าง เพื่อให้ท่านผู้อ่านหรือผู้ตรวจสอบ อาจได้รู้ถึงความเหมือนหรือแตกต่างกันของงานการตรวจสอบคอมพิวเตอร์จากทั้ง 2 สถาบัน อีกทั้งยังต้องการให้เห็นถึงความเป็นมาของงานการตรวจสอบในยุคที่ผ่านมา

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: