IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 12)

จากครั้งที่แล้ว ผมได้พูดคุยเกี่ยวกับการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสร่วมตรวจสอบธนาคารพาณิชย์ กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 ไปบ้างแล้วนั้น วันนี้ผมจะขอเล่าถึงการตรวจสอบในแบบ Evaluation หรือ Around the Computer ซึ่งจะต่างจาก FDIC (Federal Deposit Insurance Corporation) ที่มีการตรวจสอบในแบบ Through the Computer แล้วผมจะเล่าให้ฟังว่า ทำไม OCC ถึงเลือกที่จะใช้การตรวจสอบแบบ Evaluation หรือ Around the Computer

การตรวจสอบในแบบ Evaluation หรือ Around the Computer

การ Evaluation ของ OCC ก็คือ การตรวจสอบด้านคอมพิวเตอร์ของ EDP Examiner นั่งเอง ทั้งนี้เพราะ OCC พิจารณาว่า การ Evaluation แต่เพียงอย่างเดียวก็บรรลุวัตถุประสงค์ของ EDP Examination ทุกประการ ดังนั้น OCC จึงค้นคว้าวิธีการตรวจสอบคอมพิวเตอร์ด้วยวิธีการ “ประเมิน” งานด้านที่เกี่ยวข้องจนกระทั่งเป็นที่ยอมรับกันอย่างกว้างขวาง ซึ่งต่อมาทั้ง FDIC และ FRS ก็ได้นำวิธีการ Evaluation ทุกขั้นตอนของ OCC ไปใช้ในทางปฏิบัติจนกระทั่งปัจจุบันนี้ แต่ FDIC มีวิธีการเพิ่มเติมเป็นพิเศษของตนเองตามลำพัง คือการตรวจในแบบ Through the Computer โดยใช้ Software Package ช่วยในการตรวจสอบด้าน Financial Examination ด้วย

การประเมินผล อาจกระทำที่ธนาคารพาณิชย์ และ/หรือ ณ ศูนย์ปฏิบัติการคือ Data Center ซึ่งดำเนินการโดยธนาคารพาณิชย์นั้น ๆ เอง หรือประเมินผลที่บริษัทผู้รับประมวลข้อมูลให้ธนาคาร การประเมินผลจะใช้เวลาระหว่าง 2 สัปดาห์ ถึง 12 สัปดาห์ ทั้งนี้ขึ้นกับ

  • จำนวน Data Center ซึ่งอาจมีหลายแห่ง
  • ขนาดของ Data Center
  • ระบบงาน
  • ปริมาณงานและชนิดของงาน
  • ผลการตรวจสอบครั้งก่อน

การ Evaluation จนกระทั่งถึงการออกรายงานการตรวจสอบคอมพิวเตอร์ของ OCC มีขั้นตอนในการดำเนินงานเช่นเดียวกับที่กล่าวไว้ในขั้นตอนการ Evaluation และการออกรายงานการตรวจสอบคอมพิวเตอร์ของ FDIC ทุกประการ

การ Evaluation ของ EDP Examiner มี Work Program ในการปฏิบัติงานอย่างละเอียดในแต่ละส่วนงานที่เกี่ยวข้องกับคอมพิวเตอร์ ซึ่งมีหัวข้อและเป้าหมายกว้างในการตรวจสอบดังนี้

1. การประเมินการตรวจสอบของผู้สอบบัญชีของธนาคาร เพื่อ :-

ก) เพื่อกำหนดขอบเขตการปฏิบัติงานของผู้ตรวจสอบ ทั้งนี้เพราะผู้ตรวจสอบจะทราบสิ่งต่อไปนี้

  • ปัญหาและข้อบกพร่องที่ตรวจพบโดยผู้สอบบัญชีของธนาคาร
  • การตรวจสอบของผู้สอบบัญชีธนาคารว่าปฏิบัติงานตรวจสอบในสิ่งที่ควรจะได้ตรวจหรือไม่ เพราะผู้ตรวจสอบของ OCC จะขอดู Work Sheets ของผู้สอบบัญชีภายในของธนาคารด้วย

ข) ติดตามแก้ไขข้อบกพร่องตามที่ปรากฎในรายงาน

ค) สามารถทราบความสนใจของฝ่ายบริหารว่า สนใจเรื่องราวที่เกี่ยวกับคอมพิวเตอร์หรือไม่ ทั้งนี้ โดยดูจากการรายงานการประชุมว่ามีการพิจารณาและสั่งการประการใดบ้าง ในส่วนที่เกี่ยวกับข้อ comment และข้อแนะนำในรายงานตรวจสอบ

2. การประเมินการจัดการของฝ่ายบริหาร ก็เพื่อ :-

ก) พิจารณาการจัดองค์การ โดยเฉพาะในส่วนที่เกี่ยวข้องกับคอมพิวเตอร์ว่ามีหน่วยงานที่พอเพียงหรือไม่

ข) พิจารณาถึงการมอบหมายหน้าที่การงานและขอบเขตการรับผิดชอบให้กับแต่ละบุคคล ซึ่งมีส่วนรับผิดชอบในการบริหารงานเหมาะสมหรือไม่

ค) พิจารณาถึงนโยบายและการแก้ไขปัญหาของฝ่ายบริหาร

3. การประเมินรายงานและคำสั่งงาน (Systems and Programming) เพื่อ :-

ก) พิจารณาว่า ธนาคารสามารถดำเนินการได้ตามปกติหรือไม่ ถ้าเกิดกรณีต่อไปนี้

  • ไฟไหม้
  • น้ำท่วม
  • แผ่นดินไหว
  • ไฟฟ้าดับ
  • โทรศัพท์ขัดข้อง
  • อุปกรณ์คอมพิวเตอร์เสียหายหรือขัดข้อง

ทั้งนี้ เพราะปัญหาที่เกิดขึ้นกับธนาคารจะมีผลกระทบกระเทือนถึงประชาชนโดยตรง

ข) พิจารณาว่ามีการปฏิบัติตามคู่มือการปฏิบัติงานที่ได้วางไว้เป็นบรรทัดฐานหรือไม่ และคู่มือดังกล่าวยังมีผลในทางปฏิบัติเพียงใด

4. การประเมินผลด้านการปฏิบัติงาน (Computer Operation) เพื่อ :-

ก) พิจารณาถึงความพอเพียงของกระบวนการปฏิบัติงานในแต่ละขั้นตอนของการประมวลข้อมูลว่ามีความน่าเชื่อถือได้เพียงใด เมื่อได้ปฏิบัติตามระบบงานที่ได้เขียนเป็นลายลักษณ์อักษรไว้แล้ว

ข) พิจารณาถึงการควบคุมการประมวลข้อมูลทุกขั้นตอนว่า กระทำอย่างมีประสิทธิภาพเพียงใด อาจมีจุดอ่อนที่ใดได้บ้าง และมีการป้องกันอย่างไร และจะตรวจพบได้เพียงใด

สรุปงานของ EDP Examiner ขณะปฏิบัติงานด้านตรวจสอบประกอบด้วย :-

  • ปฏิบัติงานด้าน Review System ปัจจุบันธนาคารที่กำลังใช้งาน ประมาณร้อยละ 40
  • ปฏิบัติงานด้าน Review System ใหม่ที่ธนาคารจะนำมาใช้ในอนาคต ประมาณร้อยละ 30
  • ปฏิบัติงานด้านเทคนิคให้กับ Regular Examiner หรือ Financial Examiner ประมาณร้อยละ 20
  • ปฏิบัติงาน Review ด้าน Data Center ประมาณร้อยละ 10

เหตุผลที่ OCC ไม่ใช้วิธีการตรวจสอบในแบบ Through the Computer

เป็นที่น่าสังเกตว่า Comptroller of the Currency ใช้วิธีการ Evaluation ซึ่งพิจารณาได้ว่า เป็นแนวทางการตรวจสอบในแบบ “Around the Computer” แต่เพียงอย่างเดียว โดยไม่มีวิธีการตรวจสอบในแบบ “Through the Computer” ซึ่ง FDIC ใช้ในการปฏิบัติควบคู่กับวิธีการ “Around the Computer” ด้วย

เหตุผลที่ Comptroller of the Currency ไม่ใช้ Software Package หรือวิธีการ “Through the Computer” ในการตรวจสอบคอมพิวเตอร์อาจสรุปได้ดังนี้

1. มีปัญหามากในการใช้ปฏิบัติงาน พิจารณาว่าไม่คุ้มกัน เช่น ธนาคารเปลี่ยนแปลงฟอร์มหรือเทคนิคใหม่ ๆ ผู้ตรวจก็จำต้องแก้ไข Software Package และต้องศึกษาเทคนิคนั้น ๆ ให้รู้ซึ้งด้วย ส่วนมากใช้เวลา และในหลาย ๆ กรณีที่ต้องแก้ไข Software Package เนื่องจากธนาคารเปลี่ยน Operating System อาจใช้เวลาเกินกว่าที่ประมาณไว้มาก และการตรวจโดยใช้ Software Package มักพับกับปัญหาเช่นนี้เสมอ ๆ

2. ต้องใช้ความชำนาญของผู้ตรวจสอบมาก สิ้นเปลืองมาก และก็ไม่ได้เป็นที่แน่ใจว่าผู้ตรวจสอบประเภทนี้สามารถแก้ไขปัญหาได้ทุกเรื่อง เนื่องจากเวลาส่วนใหญ่หรือแทบทั้งหมดใช้ไปในงานตรวจสอบ จนกระทั่งไม่มีเวลาศึกษาเทคนิคใหม่ ๆ

3. การตรวจสอบโดยใช้ Software Package เพียงแต่ทำให้รู้สึกว่าเป็นการตรวจสอบอิสระที่ไม่จำเป็นต้องใช้ข้อมูลของธนาคาร แต่ในทางปฏิบัติต้องอาศัยพนักงานและความร่วมมือจากธนาคารพาณิชย์ที่ถูกตรวจสอบอยู่มาก เช่น

  • การให้เวลาปฏิบัติการ
  • การเลือก File ในการ Generate ข้อมูล
  • การชี้แนะเทคนิคต่าง ๆ ที่เกี่ยวข้องในการ Process ข้อมูล เป็นต้น
  • ผู้ตรวจสอบไม่อาจควบคุมการ Process งานทุกขั้นตอนได้

4. ผู้ตรวจสอบภายในของธนาคารส่วนใหญ่ก็ใช้ Software Package ในการตรวจสอบ ดังนั้น การประเมินการตรวจสอบภายในก็น่าจะพอเพียง ทั้งนี้เมื่อพิจารณาว่ารายละเอียดต่าง ๆ ควรเป็นหน้าที่ของผู้ตรวจสอบภายในของธนาคารเอง เพราะมีหน้าที่โดยตรงอยู่แล้ว

5. การใช้ Software Package ในการตรวจสอบแบบ Through the Computer นั้น แต่ละ Package ไม่อาจใช้กับงานที่จะตรวจทุกชนิดได้ (ยกเว้น Package ง่าย ๆ ที่ไม่มีประโยชน์ในการใช้งานในกาคปฏิบัติมากนัก) ดังนั้น แต่ละงานจะต้องใช้ แต่ละ Package ที่เกี่ยวข้อง นอกจากนี้ ถ้าเป็นคอมพิ้วเตอร์ต่างชนิด ต่างระบบ ก็ไม่อาจใช้ Software Package อันเดียวกันได้ ถึงแม้จะเป็นงานชนิดเดียวกันก็ตาม ดังนั้น จึงนับว่าสิ้นเปลืองมาก

6. การกำหนดข้อมูลขั้นต่ำที่จำเป็นต้องใช้ในการตรวจสอบให้ธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์จัดทำในรูป Report ได้เช่นเดียวกับข้อมูลที่จะได้จากการตรวจสอบด้วยวิธีธรรมดาหรือในแบบ Around the Computer ดั้งนั้น การตรวจสอบคอมพิวเตอร์โดยใช้วิธีการประเมินตามขั้นตอนที่ปฏิบัติอยู่ก็ได้ผลเช่น

7. การใช้ Software Package ของ FDIC เป็นเพียงเครื่องมือที่ช่วยในการตรวจสอบด้าน Financial ซึ่งช่วยงานตรวจสอบของ Financial Examiner เท่านั้น ไม่มีผลในการตรวจสอบเกี่ยวกับคอมพิวเตอร์โดยตรง เช่น 120 Package (Installment Loan Package) ที่ใช้ในการตรวจสอบ Installment Loans พัฒนาขึ้นเพื่อให้ผู้ตรวจ Installment Loans ซึ่งเป็นงานของ Financial Examiner ได้ตรวจสะดวกและรวดเร็วโดยได้ข้อมูลที่ต้องการเท่านั้น

ขั้นตอนของการวางแผนการตรวจสอบ EDP Audit / EDP Audit Plan – IT Audit Plan

สำหรับรูปภาพ ซึ่งเป็นแผนภาพการตรวจสอบ EDP Audit ในยุคแรก ๆ ของการตรวจสอบทางด้าน IT ซึ่งบางส่วนก็ยังสามารถประยุกต์มาใช้ในการวางแผนการตรวจสอบ IT Audit ในยุคปัจจุบันได้ ซึ่งขึ้นกับบริบทและสภาพแวดล้อม รวมทั้งระบบงานและเป้าประสงค์ของการตรวจสอบ และปัจจัยอื่น ๆ ที่เกี่ยวข้อง ผมจึงขอนำเสนอด้วยแผนภาพที่เข้าใจได้ง่าย ๆ และน่าจะเป็นประโยชน์ต่อผู้ตรวจสอบ ทั้งงานด้านทั่วไป (General Auditor) และ ผู้ตรวจสอบด้านคอมพิวเตอร์ (IT Auditor / IT Examiner)  รวมไปถึง IT Audit for Non-IT Auditor ซึ่งทาง สวทช. ได้จัดให้มีการอบรมหลักสูตรนี้ติดต่อกันมาเป็นปีที่ 7 แล้ว ดังนั้น ผู้บริหารที่ต้องการติดตามร่องรอยการบริหาร (Management Trail) และผู้ตรวจสอบ ซึ่งต้องการติดตามร่องรอยการประมวลงาน ซึ่งรวมทั้งขั้นตอนการดำเนินงานตรวจสอบ (Audit Trail) ก็อาจศึกษาแนวทางการตรวจสอบ เพื่อวางแผนการตรวจสอบซึ่งเป็นขั้นตอนที่มีความสำคัญยิ่ง ทั้งนี้ เพื่อทดสอบการควบคุมความเสี่ยง จากทางด้าน IT Risk ที่มีผลต่อ Business Risk รวมทั้งหาหลักฐานที่เกี่ยวข้องมาสนับสนุนความเห็นของผู้ตรวจสอบตามความจำเป็นต่อไป

ขั้นตอนการวางแผนการตรวจสอบ1

ขั้นตอนการวางแผนการตรวจสอบ2

ขั้นตอนการวางแผนการตรวจสอบ3

ขั้นตอนการวางแผนการตรวจสอบ4

ขั้นตอนการวางแผนการตรวจสอบ5

ขั้นตอนการวางแผนการตรวจสอบ6

ขั้นตอนการวางแผนการตรวจสอบ7ขั้นตอนการวางแผนการตรวจสอบ8

อนึ่ง ท่านผู้อ่านที่ได้ติตตามแผนภาพในเรื่องเกี่ยวกับ Audit Around the Computer และ Audit Through the Computer รวมทั้ง Test Data Method – TDM ในการเล่าเรื่องที่เกี่ยวข้องใน 2 ครั้งที่ผ่านมานั้น ก็เพื่อสร้างความคิด ความเข้าใจกับท่านผู้อ่านว่า ในยุคแรกของการตรวจสอบทางด้าน IT Audit ซึ่งเรียกว่า EDP Audit ในยุคนั้น เขามีวิธีการตรวจสอบกันอย่างไรโดยสังเขป ไม่ว่าจะใช้โปรแกรม หรือใช้ Manual ในการตรวจสอบก็ตาม

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: