IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 13)

ตุลาคม 8, 2014

จากที่ผมได้เล่าถึงการได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) และ FDIC (Federal Deposit Insurance Corporation) เมื่อปี 2521 นั้น ก็จะเห็นว่ามีความเหมือนหรือแตกต่างกันอย่างไร ในวิธีและกระบวนการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา จากของทั้ง 2 สถาบัน ซึ่งจะเห็นได้ว่า OCC ใช้แนวการตรวจสอบในแบบ Around The Computer เพียงอย่างเดียว ไม่เหมือนกับ FDIC ที่ใช้วิธีการตรวจสอบในแบบ Through The Computer ควบคู่ไปกับวิธีการตรวจสอบแบบ Around The Computer ด้วย สำหรับครั้งนี้ ผมจะเล่าต่อถึงการตรวจสอบของ OCC ว่ามีขอบเขตของการตรวจสอบ ความถี่ แผนการตรวจสอบ รายงานการตรวจสอบ รวมถึงวิธีการตรวจทานรายงานและการติดตามผล อย่างไรบ้าง

ขอบเขตของการตรวจสอบ (Scope of Examination)

ผู้ตรวจสอบควรมีการศึกษาข้อมูลขั้นต้น (Preliminary Review) ถึงหน้าที่ต่าง ๆ ของงานด้าน EDP ทั้งหมดก่อน แล้วจึงใช้วิธีตรวจสอบโดยละเอียด (Examine in Depth) ถึงงานแต่ละด้านเพื่อดูถึงข้อบกพร่องของการควบคุมภายใน ถ้าปรากฏว่า มีข้อบกพร่องที่เป็นสิ่งสำคัญก็จำต้องพิจารณาขยายขอบเขตของการตรวจสอบด้านการให้กู้ยืมและให้เครดิตมากยิ่งขึ้น (Concurrent Commercial Examination) เนื่องจากว่ามีความสัมพันธ์โดยตรงกับระบบงานที่ใช้อยู่ (Automated Applications) ถ้าวิธีการควบคุมภายในของงาน EDP ช่วงดังกล่าวบกพร่อง ก็ไม่อาจใช้ข้อมูลที่ได้จากระบบนั้น เพื่อการตรวจสอบงานด้านเกี่ยวกับธุรกิจ (Commercial) ของธนาคารนั้นได้

ความถี่ของการตรวจสอบ (Frequency of Examination)

การตรวจสอบศูนย์ข้อมูลต่าง ๆ นั้นถือเกณฑ์ปีละครั้ง (Annual Basis) และอย่างช้าที่สุดต้องไม่เกินกว่า 18 เดือนต่อครั้ง ในกรณีที่พบว่าการควบคุมภายในบกพร่องมาก ก็จำเป็นต้องมีการตรวจสอบให้บ่อยครั้งยิ่งขึ้น บางครั้งก็จะต้องมีการไปตรวจสอบ เพื่อติดตามความก้าวหน้าในการแก้ไขข้อผิดพลาดของธนาคาร ตามที่ระบุไว้ในรายงานการตรวจสอบ

ประเด็นคำถามที่ช่วยในการตรวจสอบ

แผนการตรวจสอบ (Work Program)

ทุกครั้งที่ตรวจสอบจะต้องมีการจัดทำแผนการตรวจสอบสำหรับศูนย์ข้อมูลแต่ละแห่ง เรียงลำดับขั้นตอนให้เรียบร้อยแล้วส่งให้ Regional EDP Associate เพื่อพิจารณา หลังจากนั้น Regional Office จะเป็นผู้เก็บรักษาและแจกจ่ายรายงานนั้นตามควรแก่กรณี และต้องจัดให้มีวิธีป้องกันรักษา Work Program ดังกล่าวอย่างรัดกุมทุกขั้นตอน

รายงานการตรวจสอบ (Report of Examination)

รายงานการตรวจสอบด้าน EDP จะต้องทำให้เสร็จโดยสมบูรณ์ในระหว่างการตรวจสอบขั้นตอนของงานใดที่มิอาจตรวจสอบได้ (Nonapplicable Sections) จะต้องเปิดเผยไว้ให้ชัดเจนในรายงาน ข้อบกพร่องต่าง ๆ ที่รายงานไว้จะต้องปรึกษาหารือกับเจ้าหน้าที่ผู้รับผิดชอบ และผู้บริหารของศูนย์ข้อมูลนั้น การสรุปสนทนาครั้งสุดท้าย (A Final Discussion) จะต้องกระทำกับผู้บริหารชั้นสูงสุดของธนาคารและของแผนก EDP แม้จะไม่มีข้อบกพร่องที่จะยกขึ้นเป็นข้อสังเกตหรือคำวิจารณ์ (Adverse Criticiam) ก็ตาม

ความรับผิดชอบในการควบคุมดูแลรายงานการตรวจสอบทั้งหมด เป็นหน้าที่ของ Regional Office ต้องรายงาน และเอกสารประกอบทั้งหมดจะต้องไม่อยู่ในความครอบครองของเจ้าหน้าที่ผู้ตรวจ นานเกินกว่าระยะเวลาอันสมควร หลังจากที่ได้มีการสรุปผลการตรวจสอบเสร็จสิ้นเรียบร้อยแล้ว

หลังจากเสร็จสิ้นการตรวจสอบแล้ว จะต้องจัดการกับรายงานการตรวจสอบ ดังนี้

  • รายงานการตรวจสอบฉบับร่าง (Examiner’s Pencil Copy) จะต้องส่งไปยัง Regional Office เพื่อตรวจทาน (Review) จัดพิมพ์ (Processed) และจัดส่ง (Distribution) ต่อไป
  • จะจัดส่งรายงานให้แก่ Washington Office, ศูนย์ข้อมูลที่ได้รับการตรวจสอบ (The Data Center Examined) และสาขา (Subregional Office) ของธนาคารที่ใช้บริการของศูนย์ข้อมูลดังกล่าว และสำเนารายงานฉบับที่ส่งให้สาขาของธนาคารนี้ จะต้องเก็บไว้รวมกับกระดาษทำงานจากการตรวจสอบด้านอื่น ๆ (Commercial Examination Work Papers) เพื่อใช้อ่านเป็นการเตรียมการตรวจสอบครั้งต่อไป รายงานอีกฉบับหนึ่งจะต้องส่งให้กับ Subregional Office ของผู้ตรวจการ EDP ที่มีหน้าที่พิจารณาติดตามและแนะนำในการตรวจครั้งต่อไป
  • ภายใต้ดุลยพินิจของ Regional Administrator อาจมีการส่งสำเนารายงานการตรวจสอบให้แก่ National Bank ทุกธนาคารที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ตรวจสอบก็ได้ หรือ Regional Administrator อาจใช้วิธีแจ้งไปยังธนาคารสมาชิกที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ได้รับการตรวจสอบดังกล่าวว่า ได้ตรวจสอบศูนย์คอมพิวเตอร์นั้นเสร็จสิ้นแล้ว หากธนาคารใดประสงค์จะได้รายงานการตรวจสอบดังกล่าว เพื่อไปศึกษารายละเอียดก็ให้เขียนจดหมายไปขอได้จาก Regional Office
  • สำเนารายงานการตรวจสอบบางฉบับ อาจจะจัดส่งให้สถาบันอื่นที่มีหน้าที่ควบคุมธนาคารพาณิชย์ (Other Regulatory Agencies) รวมทั้ง State Examining Authorities ด้วย ตามที่ขอมาโดยถือเป็นการแลกเปลี่ยนซึ่งกันและกัน (On a Reciprocal Basis)
  • ถ้าปรากฎว่าศูนย์ข้อมูลใดให้บริการแก่ธนาคารหลายแห่งที่ตั้งอยู่ต่างท้องที่กัน (National Bank Region) ก็จำเป็นต้องส่งรายงานการตรวจสอบให้กับ Regional Office ที่เกี่ยวข้องเป็นผู้แจกจ่ายให้แก่ Subregional Office ที่เห็นว่าเหมาะสม

วิธีการตรวจสอบระบบงาน

วิธีตรวจทานรายงานและการติดตามผล

เมื่อทำรายงานการตรวจสอบเสร็จแล้ว แต่ก่อนที่จะจัดส่งรายงานฉบับสุดท้าย (Final Report) ไป ควรจะได้มีการตรวจสอบความถูกต้องเกี่ยวกับตัวเลข สภาพการทำงานของศูนย์ข้อมูลเนื้อหาของรายงาน การตรวจสอบ ตลอดจนวิธีปฏิบัติในการติดตามผล การตรวจทานรายงานนี้จะต้องกระทำโดย National EDP Associate ส่วน Washington Office จะเป็นผู้ตรวจทานเกี่ยวกับความต่อเนื่องของการตรวจสอบ (Continuity) เนื้อหาและความเพียงพอของการติดตามผล

รายงานหน้าการวิเคราะห์จะทำโดยผู้ตรวจสอบด้าน EDP และส่งให้แก่ Regional Office พร้อมกับร่างรายงานการตรวจสอบ ซึ่ง Regional Office จะเป็นผู้ตรวจสทานรายงานการตรวจสอบดังกล่าว พร้อมทั้งให้คะแนนเพื่อจัดอันดับศูนย์ข้อมูลดังกล่าวนั้น โดยมีสำเนาการให้ และจัดอันดับจัดส่งไปพร้อมกับรายงานการตรวจสอบ ได้แก่ Washington Office และผู้ตรวจการด้วย

การเขียนคำวิจารณ์รายงานการตรวจสอบจะเป็นหน้าที่ของ EDP Associate และมีสำเนาถึง Washington Office

คณะกรรมการสนับสนุนด้าน EDP ของสำนักงานวอชิงตัน จะเป็นผู้กำหนดมาตรฐานและนโยบายในการตรวจสอบ นอกจากนี้ คณะกรรมการดังกล่าวยังพร้อมที่จะให้คำปรึกษา ทั้งทางเทคนิคและวิธีการในกรณีที่มีปัญหายุ่งยากหรือมีเหตุการณ์ผิดปกติ

วิธีการตรวจสอบระบบงานอีกรูปแบบหนึ่ง

ผมได้เล่าประสบการณ์ในการไปดูงานการตรวจสอบด้าน EDP Audit ในช่วงเวลา ปี 2521 ซึ่งเวลาก็ผ่านมาเนิ่นนานถึง 36 ปีแล้วนั้น ก็เพื่อให้ท่านผู้อ่านได้ทราบความเป็นมาของวิวัฒนาการการตรวจสอบทางด้าน IT Audit ซึ่งในยุคก่อนเรียกว่า EDP Audit ว่ามีความแตกต่างอย่างไรกับการตรวจสอบในยุคปัจจุบัน ซึ่งเทคโนโลยีและมาตรฐานการบริหารงานทางด้านเทคโนโลยีสารสนเทศ ซึ่งมีความสัมพันธ์กับการบริหารงานทางด้านธุรกิจอย่างแยกกันไม่ได้ ตามแนวการบริหารและการจัดการที่ดี และยอมรับกันทั่วโลกขนาดนี้ก็คือ การบริหารในแนวของ GEIT – Governance Enterprise of IT หรือ COBIT 5 ซึ่งเป็น Integrated Single Framework ที่ในมุมมองของการบริหาร IT ทุกมุมมองจะสนับสนุนมุมมองทางด้าน Business Goals ในทุกมุมมอง และกลับกัน… นี่คือ ความแตกต่างกันอย่างมากในการบริหารยุคเดิม ซึ่งมักจะบริหารและจัดการตรวจสอบในแบบ Silo-Based  หากท่านผู้อ่านติดตามในตอนต่อ ๆ ไป ก็จะได้พบกับวิวัฒนาการของการตรวจสอบทางด้าน IT ยุคใหม่ ซึ่งเป็น IT Audit ที่เชื่อมโยงกระบวนการทางด้าน IT ให้เข้ากับกระบวนการทางด้าน Enterprise Goals หรือ Business Goals ผสมผสานกับการพิจารณาที่เชื่อมโยงไปยัง Process Goals และต่อยอดลงไปยัง Enabler Goals ซึ่งเป็นปัจจัยเอื้อที่นำไปสู่ความสำเร็จในการบริหารทางด้านเทคโนโลยีสารสนเทศ และทางด้านธุรกิจ

ดังนั้น กระบวนการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ จะสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้ในทุกมุมมอง  ได้อย่างมั่นใจ นั่นคือการสร้าง Value Creation ผ่านองค์ประกอบที่สำคัญของหลักการ Governance ที่ประกอบไปด้วย การได้รับผลประโยชน์ (ตามมุมมอง BSc.) ที่สัมพันธ์กับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่ดีอย่างมีดุลยภาพ โดยมีกระบวนการที่คณะกรรมการพึงต้องรับผิดชอบในการประเมินผล สั่งการ และเฝ้าติดตาม ในเรื่องกระบวนการที่เกี่ยวข้องกับ Governance ใน 5 กระบวนการหลัก ๆ ก็คือ

  • มั่นใจในการกำหนดกรอบการดำเนินการกำกับดูแลและการบำรุงรักษา
  • มั่นใจในการส่งมอบผลประโยชน์
  • มั่นใจในความเสี่ยงที่เหมาะสม
  • มั่นใจในการใช้ทรัพยากรให้ได้ประโยชน์สูงสุด
  • มั่นใจในความโปร่งใสต่อผู้มีส่วนได้เสีย

ท่านที่ติดตามต่อไปจนไปถึงขั้นตอนท้าย ๆ ของวิวัฒนาการ IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ซึ่งจะใช้เวลาอีกนานพอสมควร จะได้พบกับกระบวนการบริหาร กระบวนการตรวจสอบ ที่แตกต่างไปอย่างสิ้นเชิง กับอดีตที่ผ่านมาในช่วงเวลาถึง 36 ปี และมากกว่านั้น สำหรับตอนนี้จะเป็นตอนสุดท้ายสำหรับการเล่าเรื่องประสบการณ์การตรวจสอบทางด้าน EDP Audit ในยุคแรก ๆ ของวิวัฒนาการการตรวจสอบทางด้าน IT ของประเทศ ซึ่งจะเกี่ยวข้องกับวิวัฒนาการของการบริหารทางด้านเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี และกระบวนการกำกับ ควบคุม เทคโนโลยีสารสนเทศ ซึ่งจะแยกกันไม่ได้ระหว่าง IT Related Goals กับ Enterprise Goals ซึ่งจะได้กล่าวในอีกหลาย ๆ ตอนต่อไปนะครับ

 

Advertisements

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 12)

กันยายน 29, 2014

จากครั้งที่แล้ว ผมได้พูดคุยเกี่ยวกับการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสร่วมตรวจสอบธนาคารพาณิชย์ กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 ไปบ้างแล้วนั้น วันนี้ผมจะขอเล่าถึงการตรวจสอบในแบบ Evaluation หรือ Around the Computer ซึ่งจะต่างจาก FDIC (Federal Deposit Insurance Corporation) ที่มีการตรวจสอบในแบบ Through the Computer แล้วผมจะเล่าให้ฟังว่า ทำไม OCC ถึงเลือกที่จะใช้การตรวจสอบแบบ Evaluation หรือ Around the Computer

การตรวจสอบในแบบ Evaluation หรือ Around the Computer

การ Evaluation ของ OCC ก็คือ การตรวจสอบด้านคอมพิวเตอร์ของ EDP Examiner นั่งเอง ทั้งนี้เพราะ OCC พิจารณาว่า การ Evaluation แต่เพียงอย่างเดียวก็บรรลุวัตถุประสงค์ของ EDP Examination ทุกประการ ดังนั้น OCC จึงค้นคว้าวิธีการตรวจสอบคอมพิวเตอร์ด้วยวิธีการ “ประเมิน” งานด้านที่เกี่ยวข้องจนกระทั่งเป็นที่ยอมรับกันอย่างกว้างขวาง ซึ่งต่อมาทั้ง FDIC และ FRS ก็ได้นำวิธีการ Evaluation ทุกขั้นตอนของ OCC ไปใช้ในทางปฏิบัติจนกระทั่งปัจจุบันนี้ แต่ FDIC มีวิธีการเพิ่มเติมเป็นพิเศษของตนเองตามลำพัง คือการตรวจในแบบ Through the Computer โดยใช้ Software Package ช่วยในการตรวจสอบด้าน Financial Examination ด้วย

การประเมินผล อาจกระทำที่ธนาคารพาณิชย์ และ/หรือ ณ ศูนย์ปฏิบัติการคือ Data Center ซึ่งดำเนินการโดยธนาคารพาณิชย์นั้น ๆ เอง หรือประเมินผลที่บริษัทผู้รับประมวลข้อมูลให้ธนาคาร การประเมินผลจะใช้เวลาระหว่าง 2 สัปดาห์ ถึง 12 สัปดาห์ ทั้งนี้ขึ้นกับ

  • จำนวน Data Center ซึ่งอาจมีหลายแห่ง
  • ขนาดของ Data Center
  • ระบบงาน
  • ปริมาณงานและชนิดของงาน
  • ผลการตรวจสอบครั้งก่อน

การ Evaluation จนกระทั่งถึงการออกรายงานการตรวจสอบคอมพิวเตอร์ของ OCC มีขั้นตอนในการดำเนินงานเช่นเดียวกับที่กล่าวไว้ในขั้นตอนการ Evaluation และการออกรายงานการตรวจสอบคอมพิวเตอร์ของ FDIC ทุกประการ

การ Evaluation ของ EDP Examiner มี Work Program ในการปฏิบัติงานอย่างละเอียดในแต่ละส่วนงานที่เกี่ยวข้องกับคอมพิวเตอร์ ซึ่งมีหัวข้อและเป้าหมายกว้างในการตรวจสอบดังนี้

1. การประเมินการตรวจสอบของผู้สอบบัญชีของธนาคาร เพื่อ :-

ก) เพื่อกำหนดขอบเขตการปฏิบัติงานของผู้ตรวจสอบ ทั้งนี้เพราะผู้ตรวจสอบจะทราบสิ่งต่อไปนี้

  • ปัญหาและข้อบกพร่องที่ตรวจพบโดยผู้สอบบัญชีของธนาคาร
  • การตรวจสอบของผู้สอบบัญชีธนาคารว่าปฏิบัติงานตรวจสอบในสิ่งที่ควรจะได้ตรวจหรือไม่ เพราะผู้ตรวจสอบของ OCC จะขอดู Work Sheets ของผู้สอบบัญชีภายในของธนาคารด้วย

ข) ติดตามแก้ไขข้อบกพร่องตามที่ปรากฎในรายงาน

ค) สามารถทราบความสนใจของฝ่ายบริหารว่า สนใจเรื่องราวที่เกี่ยวกับคอมพิวเตอร์หรือไม่ ทั้งนี้ โดยดูจากการรายงานการประชุมว่ามีการพิจารณาและสั่งการประการใดบ้าง ในส่วนที่เกี่ยวกับข้อ comment และข้อแนะนำในรายงานตรวจสอบ

2. การประเมินการจัดการของฝ่ายบริหาร ก็เพื่อ :-

ก) พิจารณาการจัดองค์การ โดยเฉพาะในส่วนที่เกี่ยวข้องกับคอมพิวเตอร์ว่ามีหน่วยงานที่พอเพียงหรือไม่

ข) พิจารณาถึงการมอบหมายหน้าที่การงานและขอบเขตการรับผิดชอบให้กับแต่ละบุคคล ซึ่งมีส่วนรับผิดชอบในการบริหารงานเหมาะสมหรือไม่

ค) พิจารณาถึงนโยบายและการแก้ไขปัญหาของฝ่ายบริหาร

3. การประเมินรายงานและคำสั่งงาน (Systems and Programming) เพื่อ :-

ก) พิจารณาว่า ธนาคารสามารถดำเนินการได้ตามปกติหรือไม่ ถ้าเกิดกรณีต่อไปนี้

  • ไฟไหม้
  • น้ำท่วม
  • แผ่นดินไหว
  • ไฟฟ้าดับ
  • โทรศัพท์ขัดข้อง
  • อุปกรณ์คอมพิวเตอร์เสียหายหรือขัดข้อง

ทั้งนี้ เพราะปัญหาที่เกิดขึ้นกับธนาคารจะมีผลกระทบกระเทือนถึงประชาชนโดยตรง

ข) พิจารณาว่ามีการปฏิบัติตามคู่มือการปฏิบัติงานที่ได้วางไว้เป็นบรรทัดฐานหรือไม่ และคู่มือดังกล่าวยังมีผลในทางปฏิบัติเพียงใด

4. การประเมินผลด้านการปฏิบัติงาน (Computer Operation) เพื่อ :-

ก) พิจารณาถึงความพอเพียงของกระบวนการปฏิบัติงานในแต่ละขั้นตอนของการประมวลข้อมูลว่ามีความน่าเชื่อถือได้เพียงใด เมื่อได้ปฏิบัติตามระบบงานที่ได้เขียนเป็นลายลักษณ์อักษรไว้แล้ว

ข) พิจารณาถึงการควบคุมการประมวลข้อมูลทุกขั้นตอนว่า กระทำอย่างมีประสิทธิภาพเพียงใด อาจมีจุดอ่อนที่ใดได้บ้าง และมีการป้องกันอย่างไร และจะตรวจพบได้เพียงใด

สรุปงานของ EDP Examiner ขณะปฏิบัติงานด้านตรวจสอบประกอบด้วย :-

  • ปฏิบัติงานด้าน Review System ปัจจุบันธนาคารที่กำลังใช้งาน ประมาณร้อยละ 40
  • ปฏิบัติงานด้าน Review System ใหม่ที่ธนาคารจะนำมาใช้ในอนาคต ประมาณร้อยละ 30
  • ปฏิบัติงานด้านเทคนิคให้กับ Regular Examiner หรือ Financial Examiner ประมาณร้อยละ 20
  • ปฏิบัติงาน Review ด้าน Data Center ประมาณร้อยละ 10

เหตุผลที่ OCC ไม่ใช้วิธีการตรวจสอบในแบบ Through the Computer

เป็นที่น่าสังเกตว่า Comptroller of the Currency ใช้วิธีการ Evaluation ซึ่งพิจารณาได้ว่า เป็นแนวทางการตรวจสอบในแบบ “Around the Computer” แต่เพียงอย่างเดียว โดยไม่มีวิธีการตรวจสอบในแบบ “Through the Computer” ซึ่ง FDIC ใช้ในการปฏิบัติควบคู่กับวิธีการ “Around the Computer” ด้วย

เหตุผลที่ Comptroller of the Currency ไม่ใช้ Software Package หรือวิธีการ “Through the Computer” ในการตรวจสอบคอมพิวเตอร์อาจสรุปได้ดังนี้

1. มีปัญหามากในการใช้ปฏิบัติงาน พิจารณาว่าไม่คุ้มกัน เช่น ธนาคารเปลี่ยนแปลงฟอร์มหรือเทคนิคใหม่ ๆ ผู้ตรวจก็จำต้องแก้ไข Software Package และต้องศึกษาเทคนิคนั้น ๆ ให้รู้ซึ้งด้วย ส่วนมากใช้เวลา และในหลาย ๆ กรณีที่ต้องแก้ไข Software Package เนื่องจากธนาคารเปลี่ยน Operating System อาจใช้เวลาเกินกว่าที่ประมาณไว้มาก และการตรวจโดยใช้ Software Package มักพับกับปัญหาเช่นนี้เสมอ ๆ

2. ต้องใช้ความชำนาญของผู้ตรวจสอบมาก สิ้นเปลืองมาก และก็ไม่ได้เป็นที่แน่ใจว่าผู้ตรวจสอบประเภทนี้สามารถแก้ไขปัญหาได้ทุกเรื่อง เนื่องจากเวลาส่วนใหญ่หรือแทบทั้งหมดใช้ไปในงานตรวจสอบ จนกระทั่งไม่มีเวลาศึกษาเทคนิคใหม่ ๆ

3. การตรวจสอบโดยใช้ Software Package เพียงแต่ทำให้รู้สึกว่าเป็นการตรวจสอบอิสระที่ไม่จำเป็นต้องใช้ข้อมูลของธนาคาร แต่ในทางปฏิบัติต้องอาศัยพนักงานและความร่วมมือจากธนาคารพาณิชย์ที่ถูกตรวจสอบอยู่มาก เช่น

  • การให้เวลาปฏิบัติการ
  • การเลือก File ในการ Generate ข้อมูล
  • การชี้แนะเทคนิคต่าง ๆ ที่เกี่ยวข้องในการ Process ข้อมูล เป็นต้น
  • ผู้ตรวจสอบไม่อาจควบคุมการ Process งานทุกขั้นตอนได้

4. ผู้ตรวจสอบภายในของธนาคารส่วนใหญ่ก็ใช้ Software Package ในการตรวจสอบ ดังนั้น การประเมินการตรวจสอบภายในก็น่าจะพอเพียง ทั้งนี้เมื่อพิจารณาว่ารายละเอียดต่าง ๆ ควรเป็นหน้าที่ของผู้ตรวจสอบภายในของธนาคารเอง เพราะมีหน้าที่โดยตรงอยู่แล้ว

5. การใช้ Software Package ในการตรวจสอบแบบ Through the Computer นั้น แต่ละ Package ไม่อาจใช้กับงานที่จะตรวจทุกชนิดได้ (ยกเว้น Package ง่าย ๆ ที่ไม่มีประโยชน์ในการใช้งานในกาคปฏิบัติมากนัก) ดังนั้น แต่ละงานจะต้องใช้ แต่ละ Package ที่เกี่ยวข้อง นอกจากนี้ ถ้าเป็นคอมพิ้วเตอร์ต่างชนิด ต่างระบบ ก็ไม่อาจใช้ Software Package อันเดียวกันได้ ถึงแม้จะเป็นงานชนิดเดียวกันก็ตาม ดังนั้น จึงนับว่าสิ้นเปลืองมาก

6. การกำหนดข้อมูลขั้นต่ำที่จำเป็นต้องใช้ในการตรวจสอบให้ธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์จัดทำในรูป Report ได้เช่นเดียวกับข้อมูลที่จะได้จากการตรวจสอบด้วยวิธีธรรมดาหรือในแบบ Around the Computer ดั้งนั้น การตรวจสอบคอมพิวเตอร์โดยใช้วิธีการประเมินตามขั้นตอนที่ปฏิบัติอยู่ก็ได้ผลเช่น

7. การใช้ Software Package ของ FDIC เป็นเพียงเครื่องมือที่ช่วยในการตรวจสอบด้าน Financial ซึ่งช่วยงานตรวจสอบของ Financial Examiner เท่านั้น ไม่มีผลในการตรวจสอบเกี่ยวกับคอมพิวเตอร์โดยตรง เช่น 120 Package (Installment Loan Package) ที่ใช้ในการตรวจสอบ Installment Loans พัฒนาขึ้นเพื่อให้ผู้ตรวจ Installment Loans ซึ่งเป็นงานของ Financial Examiner ได้ตรวจสะดวกและรวดเร็วโดยได้ข้อมูลที่ต้องการเท่านั้น

ขั้นตอนของการวางแผนการตรวจสอบ EDP Audit / EDP Audit Plan – IT Audit Plan

สำหรับรูปภาพ ซึ่งเป็นแผนภาพการตรวจสอบ EDP Audit ในยุคแรก ๆ ของการตรวจสอบทางด้าน IT ซึ่งบางส่วนก็ยังสามารถประยุกต์มาใช้ในการวางแผนการตรวจสอบ IT Audit ในยุคปัจจุบันได้ ซึ่งขึ้นกับบริบทและสภาพแวดล้อม รวมทั้งระบบงานและเป้าประสงค์ของการตรวจสอบ และปัจจัยอื่น ๆ ที่เกี่ยวข้อง ผมจึงขอนำเสนอด้วยแผนภาพที่เข้าใจได้ง่าย ๆ และน่าจะเป็นประโยชน์ต่อผู้ตรวจสอบ ทั้งงานด้านทั่วไป (General Auditor) และ ผู้ตรวจสอบด้านคอมพิวเตอร์ (IT Auditor / IT Examiner)  รวมไปถึง IT Audit for Non-IT Auditor ซึ่งทาง สวทช. ได้จัดให้มีการอบรมหลักสูตรนี้ติดต่อกันมาเป็นปีที่ 7 แล้ว ดังนั้น ผู้บริหารที่ต้องการติดตามร่องรอยการบริหาร (Management Trail) และผู้ตรวจสอบ ซึ่งต้องการติดตามร่องรอยการประมวลงาน ซึ่งรวมทั้งขั้นตอนการดำเนินงานตรวจสอบ (Audit Trail) ก็อาจศึกษาแนวทางการตรวจสอบ เพื่อวางแผนการตรวจสอบซึ่งเป็นขั้นตอนที่มีความสำคัญยิ่ง ทั้งนี้ เพื่อทดสอบการควบคุมความเสี่ยง จากทางด้าน IT Risk ที่มีผลต่อ Business Risk รวมทั้งหาหลักฐานที่เกี่ยวข้องมาสนับสนุนความเห็นของผู้ตรวจสอบตามความจำเป็นต่อไป

ขั้นตอนการวางแผนการตรวจสอบ1

ขั้นตอนการวางแผนการตรวจสอบ2

ขั้นตอนการวางแผนการตรวจสอบ3

ขั้นตอนการวางแผนการตรวจสอบ4

ขั้นตอนการวางแผนการตรวจสอบ5

ขั้นตอนการวางแผนการตรวจสอบ6

ขั้นตอนการวางแผนการตรวจสอบ7ขั้นตอนการวางแผนการตรวจสอบ8

อนึ่ง ท่านผู้อ่านที่ได้ติตตามแผนภาพในเรื่องเกี่ยวกับ Audit Around the Computer และ Audit Through the Computer รวมทั้ง Test Data Method – TDM ในการเล่าเรื่องที่เกี่ยวข้องใน 2 ครั้งที่ผ่านมานั้น ก็เพื่อสร้างความคิด ความเข้าใจกับท่านผู้อ่านว่า ในยุคแรกของการตรวจสอบทางด้าน IT Audit ซึ่งเรียกว่า EDP Audit ในยุคนั้น เขามีวิธีการตรวจสอบกันอย่างไรโดยสังเขป ไม่ว่าจะใช้โปรแกรม หรือใช้ Manual ในการตรวจสอบก็ตาม


IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 11)

กันยายน 13, 2014

สวัสดีครับทุกท่าน จากประสบการณ์ที่ผมได้ร่วมตรวจสอบ EDP Examiner กับ FDIC (Federal Deposit Insurance Corporation) และได้เล่าสู่กันฟังไปหลายตอนแล้วนั้น วันนี้ผมจะขอเล่าถึงการตรวจสอบที่ผมได้ร่วมกับ OCC (Office of the Comptroller of the Currency) ตามที่ได้กล่าวทิ้งท้ายในครั้งก่อนกันบ้างว่า จะมีความเหมือนหรือแตกต่างกันอย่างไร สำหรับงานตรวจสอบด้านคอมพิวเตอร์ของทั้ง 2 สถาบันดังกล่าว ซึ่งเป็นงานการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา เมื่อปี 2521 ติดตามกันต่อได้เลยครับ

การตรวจสอบคอมพิวเตอร์ของ OCC

ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examiners)

The Comptroller ได้แต่งตั้งผู้ตรวจสอบที่มีประสบการณ์ในการตรวจสอบให้ปฏิบัติงานเป็นผู้ตรวจสอบด้านคอมพิวเตอร์ (EDP Examiners) และได้จัดให้บุคคลเหล่านี้เข้ารับการฝึกอบรมเป็นพิเศษ เพื่อให้เป็นผู้ที่มีความสามารถในการที่จะตรวจสอบระบบการผลิตข้อมูลด้วยคอมพิวเตอร์ของธนาคารและของศูนย์บริการด้านคอมพิวเตอร์ (Service Center) ต่าง ๆ ที่ธนาคารใช้บริการอยู่

ผู้ตรวจการด้านคอมพิวเตอร์จะรายงานต่อ Regional Administrator ซึ่งตนสังกัดอยู่ แต่อย่างไรก็ตาม งานทางด้านเทคนิคต่าง ๆ ของการตรวจสอบด้าน EDP ยังคงอยู่ในความรับผิดชอบของฝ่ายกิจการธนาคาร (The Banking Operation Department) ในวอชิงตัน จำนวนของผู้ตรวจการ สถานที่ทำงาน และตารางเวลาการปฏิบัติงานของผู้ตรวจการดังกล่าว ยังคงขึ้นอยู่กับ Regional Administrator ซึ่งเป็นผู้บริหารงานของแต่ละ office การคัดเลือกผู้ตรวจการและการจัดให้เข้ารับการอบรมต้องประสานงานและได้รับอนุมัติจากสำนักงานตรวจสอบคอมพิวเตอร์ (EDP Examination Division) ในวอชิงตัน มาตรฐานและการดำเนินการฝึกอบรมให้ถือเป็นความรับผิดชอบของ Washington Office

ผู้ตรวจการด้าน EDP มีหน้าที่ในการตรวจสอบการผลิตข้อมูลด้วยคอมพิวเตอร์ในแต่ละธนาคาร และในศูนย์บริการซึ่งผลิตข้อมูลให้แก่ธนาคาร

แผนการปฏิบัติงาน (Work Programs) และรายงานการตรวจสอบจะจัดทำขึ้นโดยเฉพาะสำหรับแต่ละกิจการที่ตรวจสอบ วัตถุประสงค์ของการตรวจสอบก็เพื่อที่จะวัดผลการควบคุมภายในของระบบการผลิตข้อมูลด้วยคอมพิวเตอร์

ความจำเป็นของแต่ละท้องถิ่น ความสนใจและความชำนาญงานของผู้ตรวจการแต่ละคนจะเป็นปัจจัยที่กำหนดระยะเวลาที่จะใช้ในการตรวจสอบของผู้ตรวจการด้าน EDP ผู้ตรวจการด้าน EDP จะต้องเป็นผู้ที่มีความสนใจในงานด้านการผลิตข้อมูลด้วยเครื่องจักรนี้เป็นอย่างมาก เพื่อที่จะให้เป็นผู้ตรวจการที่มีประสิทธิภาพอยู่เสมอ

ผู้ตรวจการด้าน EDP ของ The Comptroller จะต้องเป็นผู้ที่คุ้นเคยกับงานด้านการตรวจสอบกิจการค้า กิจการทรัสต์ และกิจการธนาคารระหว่างประเทศ (International Bank) หรือเคยผ่านงานดังกล่าวมาบ้าง อย่างน้อยที่สุดต้องเป็นผู้ที่สามารถเข้าใจถึงกิจการดังกล่าวโดยตลอด ดังนั้น จึงอาจกล่าวได้ว่า ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examine) จะต้องรู้ถึงแนวการตรวจสอบในแบบธรรมดามาแล้วเป็นอย่างดี และโดยปกติ EDP Examiner มักจะได้รับการคัดเลือกหรือมาจากความสมัครใจของผู้ตรวจสอบธรรมดา (Financial Examiner) ที่มีประสบการณ์การตรวจกิจการของธนาคารโดยทั่วไปมาแล้ว

การตรวจสอบคอมพิวเตอร์ (EDP Examination)

การตรวจสอบด้าน EDP ประกอบด้วยหลักการที่จะประเมินผลการควบคุมภายในที่มีอยู่ในศูนย์ประมวลผลแต่ละแห่ง ศูนย์ประมวลผลที่ดำเนินการประมวลผลข้อมูลและเก็บรักษาบันทึกข้อมูล (Master File Records) ของธนาคารทุกศูนย์จะต้องได้รับการตรวจสอบรายละเอียดด้านล่างนี้จะแสดงถึงลักษณะของศูนย์ประมวลผลที่จะต้องได้รับการตรวจสอบจากสำนักงานของ Comptroller

  • ศูนย์ประมวลผลข้อมูลของธนาคารที่ตั้งอยู่ในที่ทำการ (In-House Data Processing Center)
  • สาขาย่อยของศูนย์ประมวลผลของธนาคาร
  • กิจการในเครือของธนาคาร (Affiliates of National Bank) หรือ สาขาของธนาคาร (Subsidiaries of Bank Holding Companies) ซึ่งให้บริการผลิตข้อมูลแก่ธนาคาร
  • สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการด้านการประมวลผลข้อมูลแก่ธนาคาร (National Bank)
  • ระบบคอมพิวเตอร์ขนาดเล็ก (Minicomputer Systems) ของธนาคารที่ธนาคารใช้บันทึกข้อมูลเข้า Master Files ของระบบ Computer

ศูนย์ประมวลผลต่อไปนี้ไม่ต้องได้รับการตรวจสอบโดยสำนักงานของ Comptroller คือ

  • State Banks หรือสาขาของ State Banks ซึ่งให้บริการประมวลผลข้อมูลแก่ National Bank
  • ศูนย์ประมวลผลซึ่งมิใช่ของธนาคาร National Bank หรือสาขาของ National Bank และมิได้ให้บริการดังกล่าวแก่ National Bank

ส่วนเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่งใช้ประโยชน์เฉพาะ เพื่อการถ่ายทอดข้อมูลจากเอกสารต้นฉบับและส่งผ่าน (Transmitting) ไปยังศูนย์ประมวลผลเพื่อผ่านบัญชี (Posted), ประมวลผล (Processed) และ บันทึกข้อมูลและใช้เพื่อรับผล (Output) จากศูนย์และส่งกลับไปเพื่อแสดงผล ณ จุดต่าง ๆ ตามที่ต้องการ

การตรวจสอบระบบดังกล่าว ซึ่งมักเรียกว่า “Front-End Devices” มีข้อแนะนำดังต่อไปนี้

เมื่อใดก็ตามที่ธนาคารที่ตรวจสอบมีระบบ Front-End System เชื่อมโยงกับศูนย์คอมพิวเตอร์มากกว่า 1 แห่ง ผู้ตรวจการจะต้องเลือกไปตรวจสอบและดูความเหมาะสม 1 แห่ง และในการตรวจสอบครั้งต่อไปจะต้องเลือกแห่งใหม่ไม่ซ้ำกับที่เดิม แต่เนื่องจากการที่สถานที่ตั้งของ Front-End System อยู่คนละแห่งกันกับศูนย์ข้อมูลที่เข้าตรวจสอบตามหมายกำหนดการ ดังนั้น การตรวจสอบ Front-End Device ซึ่งอยู่คนละสถานที่กัน อาจทำให้ขณะที่เข้าตรวจศูนย์ข้อมูลอื่นซึ่งตั้งอยู่ในท้องถิ่นดังกล่าวได้ในภายหลัง และในกรณีนี้จะต้องมีรายละเอียดระบุไว้ด้วยว่า ได้ตรวจสอบครั้งก่อนเมื่อใด ใครเป็นผู้ตรวจ มีขอบเขตเพียงใด และไม่จำเป็นต้องรายงานแยกต่างหากอีก ข้อสังเกตของการตรวจสอบ Front-End System ดังกล่าวอาจรวมเข้ากับรายงานการตรวจสอบศูนย์ข้อมูลที่ได้ตรวจสอบเมื่อก่อนหน้านี้ก็ได้

Test Data

 

การตรวจสอบประสานกัน (Concurrent Examination)

การตรวจสอบกิจการของธนาคารและศูนย์ข้อมูลของธนาคารอาจจะกระทำพร้อมกันไปก็ได้ เพื่อให้มีการประสานงานระหว่างผู้ตรวจสอบด้าน EDP และผู้ตรวจสอบด้านเงินให้กู้ยืมและให้เครดิต และด้านกิจการทรัสต์ ในกรณีที่มีปัญหาหรือพบข้อแตกต่างในระหว่างการตรวจสอบร่วมกันนี้ ผู้ตรวจการด้าน EDP จะเป็นผู้รับผิดชอบในการชี้แจงแก่ผู้บริหารระดับสูง (Senior Management) และแนะนำแก่ผู้ตรวจสอบเงินให้กู้ยืมและให้เครดิต (Examiner-Incharge of The Commercial Examination) ถึงข้อแตกต่างที่ตรวจพบ

การตรวจสอบร่วมกัน (Joint Examination)

ในบางกรณี EDP Examiner ของ Comptroller อาจตรวจสอบร่วมกับ EDP Examiner ของสถาบันอื่นที่มีหน้าที่ควบคุมธนาคาร (Other Regulatory Authorities) ก็ได้ เช่น ผู้ตรวจสอบของ FDIC และ/หรือ FRB

ผู้ตรวจการควรพยายามประสานงานเพื่อตรวจสอบกิจการต่อไปนี้

กิจการในเครือ (Affiliate) ของ National Bank หรือสาขา (Subsidiary) ของ Holding Company ของธนาคารซึ่งเป็นผู้ให้บริการผลิตข้อมูลแก่ National และ State Banks)

สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการแก่ National และ State Banks

องค์การที่ตั้งขึ้นเพื่อให้บริการแก่ธนาคาร (Bank Services Corporations) ทั้งในรูปของการลงทุนร่วมกันหรือสหกรณ์ (Joint Ventures or Cooperations) ซึ่งให้บริการดังกล่าวได้แก่ National และ State Banks

สำหรับการตรวจสอบคอมพิวเตอร์กับ OCC ยังไม่จบเพียงเท่านี้ ครั้งหน้าไปติดตามการตรวจสอบในแบบ Evaluation หรือ Around The Computer กันครับ

 


IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 10)

สิงหาคม 17, 2014

ในครั้งก่อน ผมได้เล่าถึงการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสตรวจสอบธนาคารพาณิชย์กับ EDP Examiner โดยออกตรวจสอบร่วมกับสถาบัน FDIC เมื่อครั้งที่ผมได้ไปฝึกอบรมและดูงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งงานการตรวจสอบที่ FDIC ได้แบ่งออกเป็น 2 ประเภท คือ Evaluation และ Examination และผมได้กล่าวถึง การตรวจสอบแบบ Evaluation ไปบ้างแล้วนั้น ในครั้งนี้ ผมจึงจะขอเล่าต่อในส่วนของงานการตรวจสอบแบบ Examination กันต่อ

Examination

ถือเป็นงานลำดับรองลงมาเมื่อเทียบกับงาน Evaluation ด้าน Data Center งานด้านนี้เป็นเพียงสนับสนุนและช่วยเหลือ Financial Examiner ในการตรวจสอบงานด้านอื่น ๆ งานของ EDP Examiner ในส่วนนี้มีดังนี้

  • ขอ Report ต่าง ๆ ที่จำเป็นในการทำ Evaluation ซึ่งเป็นงานที่เกี่ยวข้องกับการประเมินผลด้าน Data Center
  • ขอ Report ที่จำเป็น เพื่อการปฏิบัติงานของ Financial (Regular) Examiner
  • ใช้ Program หรือคำสั่งงานของ FDIC เอง เพื่อดึงข้อมูลที่ต้องการตรวจสอบ ซึ่งบันทึกอยู่ในม้วน Tape หรือ Disk ของธนาคาร เพื่อให้ได้ข้อมูลที่ต้องการตามที่ Financial Examiner ต้องการ หรือ เพื่อทดสอบงานของ EDP Examiner เองบางส่วนก็ได้ งานในขั้นนี้นับว่ามีความสำคัญไม่น้อย เพราะเป็นวิธีการตรวจสอบที่เรียกว่า “Through the Computer” กล่าวคือ มีการใช้ Program ของผู้ตรวจสอบเอง ในการทดสอบข้อมูลของธนาคาร ไม่ว่าจะเป็นการดึงข้อมูลจาก File (Tape หรือ Disk) ของธนาคารในรูปแบบเดิม หรือเปลี่ยนแปลงข้อมูลให้ปรากฎในรูปฟอร์มแบบที่ผู้ตรวจสอบต้องการ รวมทั้งการทำข้อมูลใหม่โดยอาศัยข้อมูลเดิมของธนาคารด้วยก็ได้
  • การปฏิบัติงานการตรวจสอบที่เรียกว่า “Through the Computer” ของ FDIC นี้ เป็นการใช้เทคนิคการตรวจสอบมาก ผู้ตรวจสอบต้องเข้าใจในระบบงานอย่างแท้จริง และลึกซึ้งถึงจะปฏิบัติงานขั้นนี้ได้ และในทางปฏิบัติผู้ตรวจสอบก็พบกับปัญหาอยู่ไม่น้อย ซึ่งจะต้องทำการแก้ไขโปรแกรมในการตรวจสอบเสมอ ดังนั้นทาง Comptroller of the Currency จึงไม่ใช้วิธีการตรวจสอบชนิดนี้ทั้ง ๆ ที่ทาง FDIC เสนอให้ยืม Program ในการตรวจสอบไปใช้ก็ตาม
  • การตรวจสอบแบบ Around-Through The Computer

เหตุผลที่ FDIC ใช้แนวการตรวจสอบแบบ Through the Computer

1. ไม่ต้องอาศัยข้อมูลของธนาคารแต่อย่างเดียว เพราะ FDIC สามารถสร้างข้อมูลใหม่หรือเปลี่ยนรูปแบบของข้อมูลเดิมโดยอาศัย Program ปฏิบัติการในด้านนี้ ทำให้เป็นอิสระที่จะใช้ข้อมูลเท่าที่จำเป็นในการตรวจสอบ

2. ช่วยประหยัดเวลาในการปฏิบัติงานของ Financial Examiner ลงได้มาก และทำให้การตรวจสอบมีประสิทธิภาพมากขึ้น

3. เป็นการยกระดับผู้ตรวจสอบด้านคอมพิวเตอร์ และทำให้ผู้ตรวจสอบแน่ใจความรู้ด้านนี้ของตนมากยิ่งขึ้น

อย่างไรก็ดี ข้อมูลที่ได้จากการใช้ Through the Computer ในการตรวจสอบก็เพื่อใช้งานในด้าน Financial Examiner เป็นหลัก

งานที่ตรวจสอบแบบ Through the Computer ของ FDIC

  • Installment Loans
  • Demand Deposits
  • Savings Deposits
  • Certificates of Deposits

งานที่ตรวจสอบในแบบ Through the Computer เริ่มในปี 1975 จากงาน Installment Loans เป็นอันดับแรก ซึ่งปัจจุบัน (ณ ช่วงเวลาในปี 2521 นั้น) FDIC กำลังพัฒนา Program ที่จะตรวจสอบงานประเภทอื่น ๆ ให้มากขึ้น

ข้อสังเกตที่เกี่ยวกับการใช้ Software Package ในการตรวจสอบของ FDIC และผู้สอบบัญชี

1. FDIC ได้พัฒนา Software Package ของตนเอง เพื่อการตรวจสอบในลักษณะ Through the Computer โดยเฉพาะ ทั้งนี้โดยมี Division of Management System and Financial Statistics ประจำ FDIC, Washington D.C. เป็นผู้มีหน้าที่พัฒนาเรื่องนี้โดยตรง และจะนำ Software Package ที่พัฒนาแล้วให้ผู้ตรวจสอบทดลองใช้งาน และแก้ไขไปจนกว่าจะนำไปใช้ปฏิบัติงานได้จริง

2. EDP Examiner เป็นผู้ใช้ Software Package แต่ไม่ได้เป็นผู้เขียน Program เอง EDP Examiner ที่ช่วย Financial Examiner โดยการใช้ Software Package ดึงข้อมูลจาก Tape หรือ Disk เพื่อการตรวจสอบงานของ Financial Examiner และของ EDP Examiner เองนี้ จะต้องมีความรู้ด้านการเขียน Program ดีพอ เพราะในทางปฏิบัติการใช้ Software Package ในการตรวจสอบมักมีปัญหาอยู่เสมอที่ EDP Examiner จะต้องแก้ไข Program ด้วยตนเอง และถ้าไม่อาจแก้ไขได้ก็ต้องโทรศัพท์หารือโดยตรงไปยัง FDIC, Washington D.C. และบางกรณีผู้เชี่ยวชาญจาก Washington D.C. จำเป็นต้องเดินทางไปแก้ไขปัญหาด้วย

3. ผู้ตรวจสอบบัญชีภายนอกและผู้สอบบัญชีภายในของธนาคารพาณิชย์ ที่ใช้ Software Pakage ในการตรวจสอบ โดยปกติจะไม่พัฒนาหรือเขียน Program ในการตรวจสอบข้อมูลโดยตรง แต่จะใช้ Software Package จากบริษัทผู้ผลิตหรือบริการด้าน Software โดยเฉพาะ เช่น Cullinane Corporation ซึ่งบริษัทประเภทนี้จะมีความเชี่ยวชาญโดยเฉพาะเกี่ยวกับการเขียน Program ในการตรวจสอบงานการผลิตข้อมูลที่ดำเนินการโดยเครื่องคอมพิวเตอร์ของ IBM ซึ่งไม่เหมาะสม และอาจใช้งานไม่ได้ผลสำหรับคอมพิวเตอร์ชนิดอื่น ๆ

อย่างไรก็ดี งานตรวจสอบบางประเภทผู้สอบบัญชีอาจเขียน Program เพื่อการตรวจสอบเองทั้งหมดก็ได้

4. ในการใช้ Audit Software Package เพื่อปฏิบัติงาน ผู้ตรวจสอบจะต้องเขียน Parameter คือเขียนคำสั่งงานในแบบฟอร์ม ซึ่งจะนำไปเจาะรูในบัตรเจาะรู (Punch Card) ขนาดมาตรฐาน บัตรเจาะรูดังกล่าวเป็นเสมือนหนึ่งเป็นบัตรนำในการสั่งงานให้เครื่อง Compile Program กล่าวคือ ให้เครื่องแปลงภาษาคอมพิวเตอร์ที่ Programmer เขียนขึ้นให้เป็นภาษาของเครื่องจักร (Machine Readable Form) ซึ่งในที่สุดแล้ว คำสั่งงานการตรวจสอบในเรื่องที่เกี่ยวข้องจะถูกบันทึกลงในส่วนที่เป็นสมอง หรือ Memory ของเครื่องคอมพิวเตอร์ เพื่อการปฏิบัติงานในขั้นต่อไปได้

5. เมื่อเครื่องคอมพิวเตอร์ Compile Program ของงานที่จะตรวจสอบแล้ว จะมีการทดสอบ Program ที่พร้อมจะปฏิบัติงานได้นั้นกับ Program File ของผู้ตรวจสอบ ซึ่งส่วนมากมีลักษณะเป็น Tape ของ Application ที่จะตรวจสอบ เช่น Installment Loans ซึ่งผู้ตรวจสอบต้องการจะได้ข้อมูลในรูปแบบของผู้ตรวจสอบเองว่า “เป็นไปได้” หรือ “ปฏิบัติได้” หรือ “Agree” กันหรือไม่ งานขั้นนี้ปกติจะต้องให้พนักงานของธนาคารปฏิบัติให้ โดยผู้ตรวจสอบจะมอบ Tape ของผู้ตรวจซึ่งเตรียมมาแล้ว ถ้าคำสั่งงาน (Program) ขัดแย้งกับรูปแบบของงานที่ผู้ตรวจต้องการ เครื่องคอมพิวเตอร์จะพิมพ์ Listing Program ที่จะต้องแก้ไขพร้อมกับข้อความโดยย่อแต่ละขั้นให้ทราบ ซึ่งผู้ตรวจสอบต้องแก้ไขให้ถูกต้องก่อนการ “Run” งานจริง ๆ กับข้อมูลของธนาคารซึ่งอยู่ใน Tape ต่อไป

Frequently Avoided Questions about IT auditing

credit image : http://www.isect.com

6.การแก้ไข Program ที่ผิดพลาด จะต้องเจาะบัตรเจาะรูใหม่ และ Compile Program ใหม่ทั้งหมด แต่สำหรับเครื่องคอมพิวเตอร์บางชนิด เช่น เครื่อง Burrough B 3700 นี้ เพียงแต่ Compile บัตรเจาะรูที่แก้ไขใหม่เข้าไปแทนบัตรเจาะรูเดิมก็ใช้ได้ ทำให้ประหยัดเวลาและสะดวกในการปฏิบัติงานมากขึ้น

7. ผู้ตรวจสอบจะบอกหัวหน้า Operator ของ Data Center เกี่ยวกับงานที่จะต้องตรวจสอบดังนี้

  • ชื่อของงานที่จะตรวจสอบ เช่น Installment Loans
  • วันที่ใน File หรือ Master File ที่จะใช้ในการตรวจสอบ

8. เมื่อ EDP Examiner ได้ข้อมูลในการตรวจสอบ ซึ่งปกติจะพิมพ์มาจาก Printer ก็จะนำมาดู Total Balance เป็นหลัก และตรวจสอบเปรียบเทียบกับยอดรวมของ Master File อื่น ๆ ที่เกี่ยวข้อง ส่วนรายละเอียดในการตรวจสอบกับเอกสารของธนาคารและการดูข้อมูลอื่น ๆ เป็นหน้าที่ของ Regular Examiner หรือ Financial Examiner จะดำเนินการต่อไป

9. Audit Software Package จากบริษัทผู้ผลิตคอมพิวเตอร์ หรือจากบริษัทผู้ดำเนินการบริการเขียน Audit Software Package โดยเฉพาะนี้ มีราคาแตกต่างกันขึ้นอยู่กับปัจจัยต่อไปนี้

  • ขอบเขตการใช้งาน
  • ลักษณะงานที่ใช้
  • ระบบงานของเครื่องคอมพิวเตอร์ซึ่งแตกต่างกันในแต่ละผลิตภํณฑ์
  • ต้นทุนหรือการตั้งราคาจำหน่ายแต่ละบริษัท
  • เงื่อนไขการให้บริการ

โดยทั่วไป Audit Software Package ที่มีขนาดและขอบเขตการใช้งานขนาดกลางมีราคาระหว่าง US$ 20,000 ถึง US$ 40,000 (ราคาโดยประมาณ ณ ช่วงเวลาในปี 2521) ทั้งนี้ขึ้นกับปัจจัยดังกล่าวข้างต้น บางบริษัทนอกจากขาย Software Package แล้ว ยังคิดค่าบริการในลักษณะ Annual Fee อีกต่างหากด้วย

สำหรับประสบการณ์จากการได้ร่วมตรวจสอบ EDP Examiner กับ FDIC นั้น ผมคงจะเล่าสู่กันฟังได้เพียงเท่านี้ เพราะมีรายละเอียดปลีกย่อยมากมายที่ผมเองคงไม่สามารถเล่าสู่กันฟังได้ทั้งหมด และในครั้งหน้าผมจะมาเล่าถึงประสบการณ์ที่ได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 บ้าง เพื่อให้ท่านผู้อ่านหรือผู้ตรวจสอบ อาจได้รู้ถึงความเหมือนหรือแตกต่างกันของงานการตรวจสอบคอมพิวเตอร์จากทั้ง 2 สถาบัน อีกทั้งยังต้องการให้เห็นถึงความเป็นมาของงานการตรวจสอบในยุคที่ผ่านมา


IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 9)

มิถุนายน 23, 2014

จากการที่ผมได้ฝึกอบรม ในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) และ Course in Examining a Computerized Bank II (CECB-II) จากสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา ดังที่ได้เล่าสู่กันฟังในครั้งก่อนแล้วนั้น

ผมยังมีโอกาสได้ดูงานและฝึกงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งทั้ง 2 แห่งนี้เป็นการฝึกงานภาคปฏิบัติ โดยผมได้ร่วมออกตรวจสอบธนาคารพาณิชย์กับ EDP Examiner ที่ตรวจสอบด้านคอมพิวเตอร์โดยเฉพาะ หลังจากที่ผมได้เข้ารับการอบรมที่ FDIC ไปแล้ว และจากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันนี้ ทำให้ผมได้รับความรู้และคิดว่าเป็นประโยชน์อย่างมากที่จะนำมาเล่าสู่กันฟัง เพื่อให้ผู้ตรวจสอบ รวมถึงผู้ที่สนใจงานการตรวจสอบคอมพิวเตอร์ ได้รับรู้ถึงวิวัฒนาการของการตรวจสอบ จากอดีตจนถึงปัจจุบัน

จากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันดังกล่าว FDIC และ OCC ได้แยกงานตรวจสอบคอมพิวเตอร์ต่างหากจากงานตรวจสอบธรรมดา โดยเรียกผู้ตรวจสอบคอมพิวเตอร์ว่า EDP Examiner และเรียกผู้ตรวจสอบงานด้านอื่น ๆ ว่า Regular Examiner หรือ Financial Examiner และยังแยก Financial Examiner ออกไปอีกตามลักษณะของงานดังนี้

– Trust Examiner
– Compliance Examiner
– Commercial Examiner

ข้อสังเกตระหว่าง EDP Examination และ Regular Examination สรุปได้ดังนี้

ภาพนิ่ง1

ภาพนิ่ง2

ตามข้อสังเกตข้างต้น อาจกล่าวได้ว่า EDP Examination มีลักษณะขอบเขต และวัตถุประสงค์ในการตรวจสอบแตกต่างไปกว่า Regular Examination มาก โดยในรายละเอียดของการร่วมตรวจสอบคอมพิวเตอร์กับทั้ง 2 สถาบันนี้ จะเป็นประโยชน์ต่อผู้ตรวจสอบและงานด้านการตรวจสอบคอมพิวเตอร์ได้เป็นอย่างดี ซึ่งผมจะขอเล่าถึงประสบการณ์การร่วมตรวจสอบของ FDIC ก่อนนะครับ สำหรับ OCC ผมจะเล่าถึงในโอกาสต่อ ๆ ไป

การตรวจสอบคอมพิวเตอร์ของ FDIC

EDP Examiner จะตรวจสอบเฉพาะด้านคอมพิวเตอร์เท่านั้น งานด้านอื่น ๆ โดยปกติจะไม่ตรวจสอบ โดย FDIC แบ่งงานตรวจสอบคอมพิวเตอร์เป็น 2 ประเภท คือ Evaluation และ Examination

Evaluation

ได้แก่ การประเมินผลด้าน Data Center ซึ่งกล่าวได้ว่าเป็นงานหลัก ซึ่งปกติ FDIC จะมีจดหมายพร้อมกับรายการที่ต้องการทราบไปยังธนาคารที่จะตรวจสอบเป็นการล่วงหน้า เพื่อให้เตรียมข้อมูลบางประเภทไว้ให้ EDP Examiner โดยจะแบ่งการประเมินผลด้าน Data Center เป็นดังนี้

– Internal and External Audit Coverage
– Organization
– Computer Operation
– Service Centers
– Computer Services
– Others

อย่างไรก็ดี ตั้งแต่เดือนมีนาคม 2521 เป็นต้นไป FDIC ได้มีการเปลี่ยนแนวการประเมินด้าน Data Center ใหม่ หลังจากที่ได้มีการประชุมหารือกับ Comptroller of the Currency และ FRB โดย FDIC และ FRB ได้ใช้แนวการประเมินผลด้าน Data Center ของ Comptroller of the Currency เป็นหลัก

ขั้นตอนในการ Evaluation และการออกรายงานการตรวจสอบคอมพิวเตอร์

การ Evaluation มีขั้นตอนในการดำเนินการและการปฏิบัติที่สังเกตได้ดังนี้

1. ขอพบกับผู้จัดการธนาคารที่จะตรวจสอบ

2. ขอพบกับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ และขอดูรายงานผู้สอบบัญชีภายนอก และรายงานผู้สอบบัญชีภายในของธนาคาร ในด้านที่เกี่ยวกับคอมพิวเตอร์ เพื่อนำมาประเมินงานและขอบเขตการตรวจสอบ

3. พับกับหัวหน้าผู้ควบคุมงานด้าน Data Center เพื่อซักถามงานทั่ว ๆ ไป พร้อมกับขอดูรายการที่ได้ขอให้ธนาคารจัดทำให้ว่าสมบูรณ์เพียงใด มีปัญหาอะไร และงานใดที่สัมพันธ์เกี่ยวเนื่องกันบ้าง

4. ดู Work Program เกี่ยวกับการ Evaluation แล้วกรอกรายการตาม Questionnairs ในแต่ละ Section ซึ่ง EDP Examiner จะต้องพิจารณามีอยู่ 4 Section คือ

การตรวจสอบคอมพิวเตอร์

  • ประเมินการตรวจสอบของผู้สอบบัญชีภายในและผู้สอบบัญชีภายนอก
  • ประเมินการจัดการของฝ่ายบริหาร
  • ประเมินระบบงานและคำสั่งงาน
  • ประเมินผลด้านการปฏิบัติงาน

เป้าหมายในการประเมินงานแต่ละเรื่องมีเช่นเดียวกับแนวของ OCC ทุกประการ ทั้งนี้เพราะในปัจจุบัน ทั้ง FDIC และ FRB ก็ใช้แนวการประเมินของ OCC เป็นหลัก

EDP Examiner จะติดตาม Questionnaire ในแต่ละ Section ดังกล่าว ซึ่งใช้เป็นแนวทางการตรวจสอบคอมพิวเตอร์ในขั้นปฏิบัติงาน

5. โดยปกติผู้ตรวจจะไม่อ่าน Questionnaire เพื่อสอบถามพนักงานธนาคารโดยตรง แต่จะถามเพื่อเอาข้อมูลมาตอบใน Questionnaire ของตน

6. การ Evaluation นอกจากจะได้จากการสอบถามแล้ว จากผู้รับผิดชอบในแต่ละหน่วยงานแล้ว ผู้ตรวจยังจะต้อง

  • สังเกตการปฏิบัติของพนักงานว่าเป็นไปตามที่ได้รับชี้แจงหรือไม่ด้วย
  • อ่านเอกสารต่าง ๆ ซึ่งเป็น Documenatation ของธนาคารในแต่ละหน่วยงานว่ามีพร้อมและ up-date หรือไม่ และสมบูรณ์พอที่ะจช่วยแก้ปัญหาด้านต่าง ๆ ของธนาคารหรือไม่ งานขั้นตอนนี้นับว่ามีความสำคัญ และรอบคอบ ผู้ตรวจจะต้องมีความรู้ในงานคอมพิวเตอร์ด้านต่าง ๆ ของธนาคารนั้น และตัดสินใจจาก Documentation ที่มีเป็นจำนวนมากมายในแต่ละหน่วยงาน เช่น ธนาคารขนาดกลางอาจมี Documentation ตั้งแต่หลายร้อยเล่ม จนถึงหลายพันเล่มก็ได้ ดั้งนั้น ถึงแม้ว่าผู้ตรวจจะเลือก Sampling ในการตรวจสอบเป็นปกติก็ตาม ผู้ตรวจสอบคอมพิวเตอร์จะต้องวินิจฉัยว่าควรจะดูเอกสารอะไรบ้าง ประเภทใด และควรจะดูเท่าใดถึงพอเพียง รวมทั้งจะต้องแน่ใจว่า มีการปฏิบัติตาม Documentation นั้นจริงหรือไม่ด้วย ระบบงานที่แตกต่างกัน การใช้เครื่องคอมพิวเตอร์ที่ต่างชนิดกันของธนาคารพาณิชย์ต่าง ๆ ทำให้มีความจำเป็นอย่างยิ่งที่ผู้ตรวจสอบจะต้องศึกษาและติดตามความก้าวหน้าด้านเทคนิคและความรู้ด้านใหม่ ๆ เกี่ยวกับคอมพิวเตอร์ของแต่ละบริษัทอยู่เสมอ

7. การ Evaluation ผู้ตรวจจะพบกับ Technical Term และระบบงานใหม่ ๆ อยู่เสมอ ซึ่งผู้ตรวจสอบจะรู้และถ้าจำเป็นต้องสอบถามถึงความหมายและที่มาของคำนั้น ๆ ว่าเกี่ยวข้องกับงานอะไรบ้าง และถ้าเกี่ยวกับระบบงาน จะต้องทราบว่าระบบงานนั้น ๆ ทำงานอย่างไร และจะมีผลเกี่ยวกับการตรวจสอบและการปฏิบัติงานของธนาคารโดยทั่วไปอย่างไร

8. จาก Work Program ที่ได้ข้อมูลจาก Questionnaire ใน Section ต่าง ๆ ผู้ตรวจสอบจะรวบรวมรายการที่จะ Comments ไว้ใน Work Sheet ต่างหากเพื่อนำไปหารือ EDP Examiner ที่อาวุโสกว่า

9. ข้อ Comments ต่าง ๆ พร้อมกับความเห็นของผู้ตรวจสอบจะนำไปหารือกับหัวหน้าหน่วยงานที่เกี่ยวข้อง เพื่อรับฟังความเห็นและรวบรวมคำชี้แจง ทั้งนี้เพื่อป้องกันปัญหาการโต้แย้งในภายหลัง เมื่อกระทำเป็นรูปรายงานและคำแนะนำเป็นทางการแล้ว

10. ผลของการตรวจสอบด้านคอมพิวเตอร์และคำแนะนำของผู้ตรวจการ จะนำไปสรุปสนทนากับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ หรือผู้จัดการใหญ่ หรือคณะกรรมการธนาคาร ทั้งนี้ขึ้นกับการตัดสินใจของผู้อำนวยการฝ่ายตรวจสอบด้านคอมพิวเตอร์ของแต่ละเขต

อนึ่ง การ Comments ปกติต้องกล่าวถึงคำชี้แจงของผู้ที่เกี่ยวข้องพร้อมคำแนะนำของผู้ตรวจสอบด้วย

11. สรุปสนทนาผลการตรวจสอบไม่มีเป็นลายลักษณ์อักษร

12. รายงานซึ่งเรียกว่า “Electronic Data Processing Control Evaluation” จะทบทวนโดย Review Examiner (EDP) ซึ่งทำหน้าที่ทบทวนความถูกต้องโดยการเช็คสอบความเหมาะสมของรายงานทั้งฉบับ

13. รายงานที่ผ่านการทบทวนจะผ่านความเห็นชอบจาก Director และเมื่อพิมพ์เสร็จแล้วจะถูกจัดส่งดังนี้

  • ส่งไป FDIC, Washington D.C.
  • ส่งไปยังธนาคารพาณิชย์ที่เกี่ยวข้อง
  • ส่งไปยัง OCC และ FRB ตามโครงการร่วมมือกันของสถาบันทั้ง 3 แห่ง ซึ่งเริ่มเดือนมิถุนายน 2521
  • ส่งไปยัง Services ในกรณีที่ธนาคารใช้บริการคอมพิวเตอร์จากที่อื่น
  • เก็บไว้ที่สำนักงานของแต่ละเขต

14. การจัดทำรายงาน จะจัดทำที่สำนักงานธนาคารพาณิชย์นั้น ๆ เอง โดยปกติสำหรับธนาคารพาณิชย์ขนาดกลาง การตรวจสอบและการทำรายงานการตรวจคอมพิวเตอร์นี้ใช้เวลาประมาณ 3 – 12 สัปดาห์ ทั้งนี้ขึ้นกับปริมาณงานและระบบงานของธนาคาร ตลอดจนขอบเขตของการตรวจสอบและปัญหาในการตรวจสอบครั้งก่อนกับการตรวจสอบครั้งใหม่ การจัดส่งรายงานที่ได้ผ่านการทบทวนโดย Review Examiner (EDP) ทั้ง 14 แห่ง แล้วจัดพิมพ์และส่งให้สถาบันที่เกี่ยวข้อง รวมทั้ง FDIC Washingto D.C. ด้วย ซึ่งใช้เวลานับตั้งแต่การตรวจสอบประมาณ 5 – 16 สัปดาห์

สำหรับงานการตรวจคอมพิวเตอร์ ประเภท Examination ของ FDIC ผมจะขอนำไปเล่าสู่กันฟังในครั้งหน้านะครับ


IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 8)

พฤษภาคม 6, 2014

การวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ในยุคก่อน ๆ ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน ซึ่งผมได้กล่าวถึงไปแล้วใน IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ถึง 7 ตอนด้วยกันนั้น จากการพัฒนางานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นี้ ทางธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน และต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ มากมายมาใช้ประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ทุกแห่ง และผมได้กล่าวทิ้งท้ายไว้ในครั้งที่แล้วว่า จะเล่าสู่กันฟังถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นของผม เพื่อเป็นประโยชน์ต่อผู้ที่สนใจศึกษาและติดตามงานการบริหาร การกำกับ และ การตรวจสอบงานด้านคอมพิวเตอร์ ซึ่งก็ติดตามกันต่อได้เลยครับ

การเดินทางไปเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในครั้งนั้น เป็นการเข้ารับการฝึกอบรมและดูงานเฉพาะด้านเป็นครั้งแรกของฝ่ายกำกับและตรวจสอบสถาบันการเงิน โดยมีวัตถุประสงค์ที่จะพัฒนาผู้ตรวจสอบและวางแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในประเทศไทย เนื่องจากการเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ครั้งแรกนี้ ผมถือว่าเป็นเรื่องใหม่สำหรับผมอย่างแท้จริงในตอนนั้น เพราะไม่มีแนวทางใด ๆ ที่พอจะใช้ศึกษาก่อนการเดินทางได้ว่าจะดำเนินการอย่างไรบ้าง ผมทราบเพียงแต่เป้าหมายและวัตถุประสงค์ที่แน่นอน ซึ่งได้ใช้เป็นหลักในการกำหนดโครงการและแผนการอื่น ๆ ที่คิดได้ในขณะนั้น และในระหว่างการดูงานเพื่อเป็นแนวทางไปสู่เป้าหมายที่ได้รับมอบหมายดังกล่าวข้างต้นเท่านั้น

แต่กระนั้น ผมก็ได้พยายามสอบถามตนเองเสมอว่า

“เรากำลังเดินไปสู่ทิศทางที่ถูกต้องแล้วหรือไม่”

“สิ่งที่ได้รับประจำวันนั้น ทำให้เราใกล้เคียงกับเป้าหมายแล้วหรือยัง”

“เราจะทำอย่างไรที่จะช่วยให้ถึงหรือใกล้เป้าหมายได้”

การสอบถามตนเองเหล่านี้ได้กระทำเป็นประจำทุกวัน เพื่อให้นึกถึงประเด็นที่เข้าใจว่าจะทำให้ใกล้เคียงเป้าหมายมากขึ้น ผมก็จะจดบันทึกไว้เพื่อดำเนินการต่อไปในวันรุ่งขึ้น

การกระทำเช่นนี้อย่างสม่ำเสมอทำให้ประเมินว่าพอที่จะเข้าใจและเห็นแนวทางได้บ้าง ประกอบกับการที่ได้มีโอกาสร่วมการตรวจสอบกับผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ของ FDIC (Federal Deposit Insurance Corporation) และ OCC (Office of the Comptroller of the Currency) ในการตรวจสอบคอมพิวเตอร์ (EDP Examination) ในภาคปฏิบัติงานตรวจสอบจริง ๆ ของทั้ง 2 สถาบัน ซึ่งก็ทำให้ผมได้เห็นเป้าหมายที่ต้องการเด่นชันขึ้น โดยเฉพาะอย่างยิ่ง เมื่อได้ทบทวนถึงสิ่งที่ได้เรียนรู้จากการอบรมที่ FDIC Training Center ในหลักสูตร Course in Examining a Computerized Bank I และ II (CECB I-II)

fdic_splash

อย่างไรก็ดี ผมเองยังมีประสบการด้านคอมพิวเตอร์ไม่มากนัก สิ่งที่ได้ประเมินในระหว่างการฝึกอบรมและดูงานขณะที่อยู่ในประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น หรือแม้กระทั่งได้กลับมาปฏิบัติงานในประเทศไทยในตอนนั้นแล้วก็ตาม จึงอาจจะมีบางสิ่งบางอย่างที่มองข้ามไป หรือนึกไม่ถึงเพราะประสบการณ์เกี่ยวกับคอมพิวเตอร์ที่อาจมีไม่มากพอและเพิ่งเริ่มศึกษากันไม่นานนัก ประกอบกับมีงานประจำด้านอื่นที่ต้องปฏิบัติอยู่ด้วย จึงทำให้โอกาสที่จะค้นคว้าหรือศึกษางานด้านคอมพิวเตอร์ค่อนข้างจำกัด และเมื่อพิจารณาถึงความก้าวหน้าด้าน Computer Technology ที่เป็นไปอย่างรวดเร็วด้วยแล้ว ทำให้ผมตระหนักเสมอว่าโอกาสที่จะประเมินผลการดูงานด้านการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ผิดพลาดไปย่อมมีอยู่ไม่น้อย

OCC

ทั้งนี้ ผมจึงได้จัดทำรายงานการฝึกอบรมและดูงานไว้ เพื่อจะเป็นรายงานที่ทำให้ทราบว่าเป้าหมายที่ได้วางไว้ก่อนเดินทางไปฝึกอบรมและดูงานนั้น ได้รับผลเพียงใดอย่างกว้าง ๆ นอกจากนี้ยังได้รายงานในหัวข้อที่เกี่ยวกับ “สิ่งที่ได้เรียนรู้จากการดูงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์ต่าง ๆ” ที่น่าจะเป็นประโยชน์ต่อผู้ตรวจสอบทั่วไป โดยเฉพาะอย่างยิ่งสำหรับผู้ที่จะมาทำหน้าที่เป็นผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ซึ่งผมจะขอนำเสนอเป็นหัวข้อตามภาพด้านล่าง เพื่อให้เห็นถึงภาพรวมของกระบวนการตรวจสอบงานทางด้าน IT Audit/IT Examination หรือในยุคนั้นเรียกกันโดยทั่วไปว่า EDP Audit ในช่วงปี พ.ศ. 2521 และก่อนหน้านั้น และหากมีโอกาสผมจะได้นำมาเล่าสู่กันฟังในบางหัวข้อตามความเหมาะสมต่อไป

ภาพนิ่ง1

ภาพนิ่ง2

ภาพนิ่ง3

ภาพนิ่ง4ภาพนิ่ง5

สำหรับการฝึกอบรม ผมได้อบรมในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) ใช้เวลา 1 สัปดาห์ โดยเป็นส่วนหนึ่งของหลักสูตร “Bank Examination School for Senior Assistant Examiners” และ Course in Examining a Computerized Bank II (CECB-II) ใช้เวลา 2 สัปดาห์ จัดเป็นหลักสูตรอบรมเฉพาะผู้ตรวจสอบที่ผ่าน CECB-I มาแล้ว และจะได้รับการคัดเลือกให้เป็น EDP Examiner ต่อไป โดยมีวัตถุประสงค์ของการอบรม คือ

หลักสูตร Course in Examining a Computerized Bank I (CECB-I) ก็เพื่อแนะนำทฤษฎีและวิธีการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ที่ไม่มีศูนย์คอมพิวเตอร์ของตนเอง แต่ใช้บริการของบุคคลภายนอกในการประมวลผลงานของธนาคาร

หลักสูตร Course in Examining a Computerized Bank II (CECB-II) มีวัตถุประสงค์เพื่อให้ผู้เข้ารับการอบรมเข้าใจถึงการประเมินผลของศูนย์ปฏิบัติงานด้านคอมพิวเตอร์ ในกรณีที่ธนาคารมีเครื่องคอมพิวเตอร์เพื่อประมวลผลงานด้านต่าง ๆ ของธนาคารเอง โดยเฉพาะการใช้เทคนิคการสอบถามข้อมูลในกระบวนการตรวจสอบ ตลอดจนการทำความเข้าใจเกี่ยวกับการใช้คอมพิวเตอร์ให้มากขึ้น

โดยการฝึกอบรมนี้เป็นการฝึกอบรมของสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา โดยมี Training Center อยู่ในอาคารที่มีบริษัทห้างร้านเช่ารวมกันอยู่หลายสำนักงาน ห้องที่ใช้ฝึกอบรมนั้นเป็นห้องที่มีเครื่องปรับอากาศทุกห้อง  มีห้องขนาดใหญ่และขนาดเล็กหลายห้อง สำหรับการประชุมแบบ Syndicate และมีห้องเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่ง ณ ช่วงเวลาที่ผมกลับจากการอบรมแล้วและจัดทำรายงานการอบรม (ปี พ.ศ. 2522) ห้องนี้ได้ใช้เป็นเครื่องคอมพิวเตอร์ของ IBM System 3 และมีเครื่องเจาะบัตรหลายเครื่องตั้งอยู่ในห้องเดียวกัน เพื่อใช้สำหรับการฝึกหัดและการทำความเข้าใจของผู้เข้ารับการอบรม ซึ่ง FDIC ก็ยังมีโครงการจะเปลี่ยนเครื่องคอมพิวเตอร์ที่ใช้ในการอบรมใหม่ในอีก 2 ปีข้างหน้า (นับจากช่วงเวลาที่ผมได้รับการอบรมนั้น) อีกทั้งยังมีเครื่องมือ เครื่องใช้ และอุปกรณ์การอบรมครบถ้วนและทันสมัยทั้งสิ้น

นอกจากนี้ FDIC ยังมีระบบ “FOCUS DISPLAYS” ซึ่งผู้เข้ารับการอบรมสามารถทดลองใช้ได้ด้วย ระบบที่กล่าวถึงนี้ สามารถดึงข้อมูลซึ่งเป็นสถิติต่าง ๆ เกี่ยวกับการตรวจสอบและข้อมูลที่เกี่ยวกับงานวิเคราะห์ธนาคารพาณิชย์ทุกธนาคารทั่วประเทศสหรัฐอเมริกาที่ประกันเงินฝากไว้กับ FDIC ให้ปรากฎทางจอรับภาพได้ในทันทีที่ต้องการทราบ และถ้าต้องการข้อมูลใดเป็นพิเศษ ก็สามารถกดปุ่มพิมพ์ข้อมูลนั้น ๆ ได้ภายในเวลาที่รวดเร็วมาก

ศูนย์ฝึกอบรมคอมพิวเตอร์ ของสถาบัน FDIC

ลักษณะของการฝึกอบรมในหลักสูตร CECB-I จะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกท (Syndicat Discussion) เป็นส่วนใหญ่ และแจกเอกสารให้ผู้เข้ารับการอบรมไปศึกษาค้นคว้าด้วยตนเอง ส่วนหลักสูตร CECB-II จะมีลักษณะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกทเช่นกัน แต่ส่วนใหญ่เป็นการฝึกงานการใช้เครื่องคอมพิวเตอร์ในการทำแบบฝึกหัด และการประชุมกลุ่มเพื่อฝึกซ้อม Case Study ต่าง ๆ และในเวลาพักจะให้ผู้ฝึกอบรมทดลองเครื่องและอุปกรณ์คอมพิวเตอร์ได้ตามความถนัด ซึ่งหลักสูตร CECB-II นี้ เป็นหลักสูตรเฉพาะสำหรับผู้ตรวจสอบที่จะได้รับมอบหมายให้เป็น EDP Examiner ต่อไป

การวัดผล การรับรองผล และการประเมินผล ทั้งหลักสูตร CECB-I และ CECB-II นอกจากการฟังบรรยายแล้ว ผู้เข้ารับการอบรมจะต้องแยกกันประชุมกลุ่มซินดิเกทพิจารณาปัญหาต่าง ๆ เพื่อทำความเข้าใจเพิ่มเติมเกี่ยวกับหัวข้อวิชาที่บรรยายและเป็นการฝึกฝนทบทวน การประชุมกลุ่มซินดิเกทจะนำเสนอต่อที่ประชุมใหญ่ ซึ่งจะสรุปความเห็นและอธิบายปัญหาต่าง ๆ และจะให้ผู้เข้ารับการอบรมซักถามเพิ่มเติม นอกจากนี้ยังมีการฝึกหัดการใช้เครื่องคอมพิวเตอร์ การเขียนคำสั่งงาน และการแก้ไขคำสั่งงานที่สามารถให้เครื่องคอมพิวเตอร์ปฏิบัติตามความต้องการได้ เช่น การดึงข้อมูล การจัดรูปข้อมูลที่อยู่ในม้วนเทป, ดิสก์ ให้พิมพ์ข้อมูลในแบบฟอร์มเดิม หรือในรูปแบบฟอร์มใหม่ เพื่อการตรวจสอบได้ด้วย

ทั้งนี้ในการฝึกหัดจะแบ่งผู้เข้ารับการอบรมเป็นกลุ่ม ๆ กลุ่มละ 2 คน ให้ช่วยกันเขียนคำสั่งงานเพิ่มเติมจากคำสั่งงานที่มีอยู่แล้ว และหรือแก้ไขคำสั่งงานตามที่ผู้บรรยายจะกำหนด โดยแต่ละกลุ่มจะต้องอยู่ปฏิบัติงานนั้น ๆ จนแล้วเสร็จ ถ้ามีปัญหาก็หารือผู้ฝึกสอนได้ เมื่อเขียนหรือแก้ไขคำสั่งงานเสร็จหรือเพื่อทดลองผล ผู้เข้ารับการอบรมแต่ละกลุ่มจะต้องนำไป process งานนั้นกับเครื่องคอมพิวเตอร์จริง ๆ ว่าได้ผลในรูปแบบที่ผู้บรรยายต้องการหรือไม่ แต่ละกลุ่มจะต้องปฏิบัติงานที่ได้รับมอบหมายแต่ละครั้งจนเป็นที่พอใจของผู้ฝึกสอน จึงจะถือว่าผ่านการบรรยายวิชานั้น ๆ ซึ่งนับว่าเป็นการวัดผลการสอนไปในตัว โดยไม่ต้องมีการทดสอบเป็นทางการเมื่อสิ้นสุดการอบรมอีก สำหรับการประเมินผลการอบรมนั้น ผู้เข้ารับการอบรมจะกรอกแสดงความคิดเห็นลงในแบบฟอร์มหลังจากสิ้นสุดการอบรมแต่ละหลักสูตรว่า วิชานั้น ๆ เป็นอย่างไร ได้ความรู้แค่ไหน เพียงใด ผู้สอน ๆ ได้ดีหรือไม่ ซึ่งมีลักษณะเช่นเดียวกับแบบประเมินผลการฝึกอบรม ที่ส่วนการพนักงานของธนาคารแห่งประเทศไทย จัดให้ผู้เข้ารับการอบรมแสดงความคิดเห็นเมื่อเสร็จสิ้นการอบรมเช่นกัน

สำหรับผมแล้ว การได้มีโอกาสไปร่วมรับการอบรมทั้ง 2 หลักสูตรครั้งนั้น นับว่ามีประโยชน์มาก เพราะได้รับความรู้เกี่ยวกับแนวความคิดและหลักการปฏิบัติในการตรวจสอบคอมพิวเตอร์ ได้มีโอกาสสังเกตการตรวจสอบและการดำเนินงานด้านการฝึกอบรมเกี่ยวกับคอมพิวเตอร์ ซึ่งต่อมาธนาคารแห่งประเทศไทย ได้นำมาวางเป็นแนวทางในการตรวจสอบธนาคารพาณิชย์ทุกแห่งที่ใช้คอมพิวเตอร์ได้เป็นอย่างดี


IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 7)

เมษายน 10, 2014

สวัสดีท่านผู้อ่านและติดตาม itgthailand.com แห่งนี้ทุกท่านครับ ในครั้งก่อน ผมได้กล่าวถึงคำนำจากหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มที่ 2 ซึ่งแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน จากการที่ผมได้รวบรวม เรียบเรียงและจัดทำเป็นหนังสือ 4 เล่มที่เคยได้กล่าวถึงไปแล้วนั้น ด้วยเนื้อความในคำนำนั้นยาวเกินไป ผมได้ตัดทอนนำเสนอเป็นหลายตอน โดยในตอนนี้ผมจะขอนำเสนอต่อในหัวข้อที่ 23 จากทั้งหมด 36 หัวข้อด้วยกัน เราไปติดตามกันต่อเลยนะครับ

23. ถึงข้อนี้ ผมจึงขอกล่าวอีกครั้งว่า การตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบจะต้องทำความเข้าใจกับระบบงานทั้งหมด (Total System Approaches) ในส่วนของงานที่ต้องการตรวจสอบในองค์กร กล่าวคือ ผู้ตรวจสอบต้องทำความเข้าในทั้งในส่วนที่ใช้คอมพิวเตอร์ และส่วนที่ไม่ใช้คอมพิวเตอร์ และทั้ง 2 อย่างรวมกัน เพื่อแยกแยะให้ได้ว่า จะเริ่มต้นตรวจอะไรที่จุดใด ใช้เทคนิคแบบไหนจะตรวจสอบเมื่อใด และต้องการรูปแบบหลักฐานอย่างไร และควรจะจบลงอย่างไรในการตรวจสอบ ฯลฯ ในงานแต่ละเรื่องตามเป้าหมายที่กำหนดไว้ นอกจากนั้นผู้ตรวจสอบจะต้องเข้าใจความสัมพันธ์ของข้อมูลที่เกี่ยวข้องของ “งาน” (Application) ในแต่ละประเภทภายในองค์กร เพื่อกำหนดจุดตรวจสอบด้วย

24. จากข้อ 23. หากจะกล่าวให้ถูกต้องยิ่งกว่านี้ ก็ควรกล่าวว่าผู้ตรวจสอบทุกประเภทควรเข้าใจระบบงานที่ตรวจสอบทั้งในส่วนที่ใช้คอมพิวเตอร์ และไม่ใช้คอมพิวเตอร์ให้ดี จึงจะสามารถวางแผนและกำหนดขั้นตอนและเทคนิคการตรวจสอบที่เหมาะสม และติดตามการตรวจสอบของผู้ร่วมงานได้อย่างมีประสิทธิภาพ เพราะปัจจุบันทางการของไทยก็ได้ออกมาตรฐานการตรวจสอบบัญชีที่ใช้คอมพิวเตอร์ ออกมา 3 ฉบับ ด้วยกัน คือ มาตรฐานการสอบบัญชีฉบับที่ 28, 29, 36 ให้ผู้สอบบัญชีโดยทั่วไปถือปฏิบัติอยู่แล้ว และกรมสรรพกรก็ได้ออกกฎเกณฑ์บางประการในการใช้คอมพิวเตอร์มาให้ถือปฏิบัติด้วยเช่นกัน ดังนั้น เมื่อกล่าวถึงการตรวจสอบโดยทั่วไป ผู้ตรวจสอบจึงไม่อาจหลีกเลี่ยงจากการทำความเข้าใจในระบบงานทั้งหมด ก่อนการตรวจสอบเริ่มขึ้นได้ ยกเว้น การตรวจสอบที่มีเป้าหมายเฉพาะอย่างบางด้าน และผู้ตรวจสอบมีความเข้าในระบบงานโดยรวมขององค์กรที่จะเข้าตรวจสอบมาก่อน หลังจากองค์กรนำคอมพิวเตอร์มาใช้ในกระบวนการ “Process” งานครั้งล่าสุดแล้ว

25. แม้ว่าในการนำคอมพิวเตอร์มาใช้จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบ แต่ลักษณะการประเมินการควบคุมภายในตลอดจนหลักฐาน และวิธีการตรวจสอบจะเปลี่ยนแปลงไปมาก
ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนหรือระบบ Manual ในการประมวลผลข้อมูลย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้นการใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี โอกาสที่จะเกิดการผิดพลาดเพราะ Human Error อันเกิดจากการประมวลข้อมูลนั้นจะมีน้อย หรือไม่มีโอกาสเกิดขึ้นได้ ถ้าระบบงานและขั้นตอนการควบคุมภายในต่าง ๆ ที่ใช้คอมพิวเตอร์ควบคุมนี้ ได้รับการทดสอบเป็นที่แน่ใจแล้วว่า มีประสิทธิภาพยอมรับได้ ดั้งนั้น การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทนด้วยเหตุผล 3 ประการคือ

25.1 ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ช่วยให้มั่นใจได้ว่า การประมวลผลจะมีความสม่ำเสมอด้วย
25.2 การตรวจสอบผลที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ในลักษณะของการทำ Substantive Test นั้น ทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมากและหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ
25.3 ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์ เหตุผลข้อ 25. นี้ เป็นการย้ำว่าในองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบภายในเป็นเรื่องสำคัญลำดับต้น ๆ และการตรวจสอบด้านคอมพิวเตอร์ (IS Audit) ไม่ว่าจะเป็นการตรวจสอบ “องค์กร” (Data Center) หรือตรวจสอบ “งาน” (Application) ก็เน้นการตรวจสอบการควบคุมภายใน คือ General Controls และ Application Controls ด้านคอมพิวเตอร์นั่นเอง
เมื่อถึงประเด็นตามวรรคข้างต้น ผมคิดว่าเป็นจุดที่น่าสนใจ หากจะกล่าวต่อไปว่า การตรวจสอบเพื่อรับรองงบการเงินขององค์กร ซึ่งปกติเป็นหน้าที่ของผู้สอบบัญชีอนุญาต ซึ่งเป็นผู้สอบบัญชีภายนอกประเภทหนึ่งนั้น มีความสัมพันธ์กันอย่างใกล้ชิดกับการตรวจสอบงานด้านคอมพิวเตอร์ เน้นการตรวจสอบด้านการควบคุมภายในและการดำเนินงาน ซึ่งเป็นขั้นตอนต้น ๆ ที่จำเป็นของการตรวจสอบฐานะการเงิน ดั้งนั้น การตรวจสอบด้านคอมพิวเตอร์ (IS หรือ IT Audit) จึงมีความสัมพันธ์อย่างใกล้ชิดกับการตรวจสอบงานการเงินและการดำเนินงาน ซึ่งเรียกว่า Financial Audit อย่างสำคัญและไม่อาจหลีกเลี่ยงได้ในปัจจุบัน อย่างไรก็ดี การตรวจสอบฐานะความมั่นคงของสถาบันการเงินในภาพรวม ก็เป็นหน้าที่ของผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งเรียกรวม ๆ กันว่า Financial Examiner

จากความสัมพันธ์ดังกล่าว หนังสือเล่มนี้ซึ่งเน้นด้านการตรวจสอบด้านคอมพิวเตอร์ จึงได้กล่าวถึงการตรวจสอบทั้งทางด้าน IS Audit และ Manual Audit ซึ่งเป็นการตรวจสอบแบบเดิมไว้เพื่อการศึกษาเปรียบเทียบ และทำความเข้าใจในความแตกต่างของวิธีการตรวจสอบ ทั้ง 2 แบบไว้ด้วย

cover book 3-4

26. ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ไม่ว่าจะเป็น Data Center หรือ Application Audit ผู้ตรวจสอบควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ดีในการประเมินผลการตรวจสอบได้อีกด้วย

27. ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้ได้อย่างมีประสิทธิภาพ ทักษะทางด้านคอมพิวเตอร์ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้ว ต้องมีทักษะทางคอมพิวเตอร์โดยรวมที่เหมาะสม และเพียงพอแก่การปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบองค์รที่ใช้คอมพิวเตอร์ของทากงารและของสากล

28. ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบ ต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอระดับหนึ่งแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้ หากการตรวจสอบนั้น เป็นการตรวจสอบด้านคอมพิวเตอร์หรือมีส่วนที่เกี่ยวข้องกับคอมพิวเตอร์
ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วทางด้านเทคโนโลยี จำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้านคอมพิวเตอร์ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่ายคอมพิวเตอร์เองก็ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมภายในด้วย

29. การทำแผนภูมิหลายแผนในหนังสือเล่มนี้ เป็นการจัดทำขึ้นเพื่อให้ผู้อ่านได้ติดตามและทำความเข้าใจเรื่องราวที่เกี่ยวข้องได้ง่ายและสะดวกขึ้น ทั้งนี้ หลาย ๆ กรณีเป็นการประยุกต์มาจากความคิดและความเข้าใจของผมเอง เพื่อใช้ในการบรรยายเป็นสำคัญ อย่างไรก็ดี ผมใคร่ขอย้ำว่า ท่านผู้อ่านควรตอบตนเองก่อนว่า ขณะนี้กำลังทำความเข้าใจเรื่องอะไร ขณะนี้กำลังอยู่ในส่วนใดของกระบวนการตรวจสอบ และกำลังมองมุมผู้ตรวจสอบว่าเป็นประการใดจาก 3 ประเภทดังได้กล่าวข้างต้นแล้ว ทั้งนี้ ต้องมีเป้าหมายและขอบเขตที่แน่นอนของตนเองด้วยว่า กำลังตรวจสอบประเภท และเรื่องอะไรอยู่ เป็นต้น

30. เนื่องจากการรวบรวมเอกสารประกอบการบรรยายเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ ก็เช่นเดียวกับเล่ม 1 และเล่มที่จะพิมพ์ต่อไป ซึ่งเล่ม 3 จะเน้นเรื่องคอมพิวเตอร์กับการทุจริตและแนวการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือ รวมทั้ง การจัดทำแผนฉุกเฉิน หนังสือทั้ง 3 หรือ 4 เล่ม เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไป ในช่วงเวลาตั้งแต่ปี 2524 – 2536 แก่สถาบันหลายแห่ง และผมมีโอกาสแก้ไขเพิ่มเติมได้ไม่มากนัก เนื่องจากเวลาจำกัดมาก เพราะต้องการพิมพ์ให้เสร็จภายในเดือนกันยายน 2539 ทั้ง 3 เล่ม จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อหารวมทั้งแผนภูมิต่าง ๆ มากกว่าร้อยละ 95 ยังคงใช้ได้ดีจนถึงปัจจุบัน เพราะถึงแม้เทคนิคด้านรายละเอียดทางคอมพิวเตอร์จะพัฒนาไปอีกมาก แต่หลักการส่วนใหญ่ของการประมวลงานและการตรวจสอบก็ยังคงใช้หลักการเดิม ทั้งนี้ สังเกตได้จากการแต่งหนังสือที่มีการพิมพ์ครั้งหลัง ๆ ของตำราด้านตรวจสอบคอมพิวเตอร์ก็มีการแก้ไขใหม่ไม่มากนัก

31. สิ่งที่ผมใคร่จะเน้นก็คือการใช้เทคนิคการตรวจสอบว่า สมควรที่ผู้ตรวจสอบใช้เทคนิคใด ซึ่งขึ้นกับความรู้และประสบการณ์ของผู้ตรวจสอบเป็นหลัก และขึ้นกับความจำเป็น ตลอดจนสิ่งแวดล้อมและหลักฐานที่ต้องการด้วย เช่น จะใช้การตรวจสอบในแบบ Around the Computer หรือที่นิยมเรียกกันใหม่ เพื่อป้องกันความเข้าใจผิดว่า Audit without using the computer เพื่อเน้นว่าไม่ว่าจะเป็นการตรวจสอบแบบใด ผู้ตรวจสอบก็ไม่อาจหลีกเลี่ยงการประเมินประสิทธิภาพการควบคุมภายในได้ หรือใช้วิธีตรวจสอบลึกเข้าไปถึงการทำงานของโปรแกรมคอมพิวเตอร์ (Audit Through The Computer) พอสมควร ส่วนการใช้ Computer เป็นเครื่องมือช่วยในการวางแผนและการตรวจสอบนั้น ปัจจุบันนี้ ผู้ตรวจสอบมีโอกาสเลือกน้อยแล้ว กล่าวคือ ผู้ตรวจสอบจำเป็นต้องใช้ Computer ให้มีส่วนช่วยในการตรวจสอบไม่มากก็น้อย ในอดีตผมและคณะผู้ตรวจสอบมักใช้วิธี Test Data ในการทดสอบความน่าเชื่อถือได้ของโปรแกรม ซึ่งเป็นการทดสอบในแบบ Through the Computer แบบหนึ่ง แต่ผมยังมีประสบการณ์น้อยในการใช้โปรแกรมสำเร็จรูปในการตรวจสอบ หนังสือชุดนี้จึงไม่ได้กล่าวถึงเรื่องนี้มากนัก

32. หนังสือทั้ง 3 เล่มหรืออาจมีถึง 4 เล่ม จากเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เป็นการรวบรวมเอกสารประกอบการบรรยายต่าง ๆ ของผมในช่วงระหว่างปี 2524 ถึง 2536 ดังกล่าวแล้วในคำนำเล่ม 1 โดยได้เขียนคำอธิบายเพิ่มเติมประกอบเรื่อง และแผนภาพในบางเรื่อง เพื่อความเข้าใจที่กระจ่างขึ้น การเขียนเรื่องเพิ่มเติมและการตรวจทานความถูกต้องจากการพิมพ์ใช้เวลามากพอสมควร เนื้อหาสาระในหนังสือทุกเล่ม ถึงแม้จะพยายามลำดับเรื่องให้ได้ตามความเหมาะสมแล้วก็ตาม แต่ก็ยังมีเรื่องที่เป็นสิ่งละอันพันละน้อยต่าง ๆ ที่ผมได้สรุปไว้ใช้ในการบรรยายในโอกาสต่าง ๆ กันได้ปรากฎอยู่ในเรื่องหรือหัวข้ออื่นอยู่ด้วย เช่น ข้อสรุปที่ผู้ตรวจสอบและผู้บริหารควรทราบในรูปแบบแผนภูมิบ้าง แผนภาพบ้าง และคำบรรยายสรุปผัง เป็นต้น สิ่งเหล่านี้จะเป็นประโยชน์และทำความเข้าใจให้กับผู้ฟังและผู้อ่านมากขึ้น ถ้าผู้อ่านหรือผู้ใช้หนังสือชุดนี้ จะหยิบยกเรื่องที่เกี่ยวข้องมาประกอบในเรื่องที่ศึกษาด้วย โดยเฉพาะอย่างยิ่ง การศึกษาเรื่องคอมพิวเตอร์กับการทุจริต และการตรวจสอบ ซึ่งปรากฏในเล่ม 3 โดยสรุปเรื่องตรวจสอบเป็นบทสั้น ๆ เป็นการทบทวนในอีกแนวทางหนึ่งด้วย

33. การพัฒนางานตรวจสอบทั้งด้าน Computer Audit และ Financial Audit โดยจำลองระบบงานที่สำคัญขององคืกรนั้น ๆ เช่น สถาบันการเงิน โดยเน้นด้านการควบคุม และการตรวจสอบที่เป็นจริงให้ผู้ตรวจสอบติดตามได้ในภาคสนาม (Field Work) จริง ๆ ที่เรียกกันว่า Simulation Audit นั้น เป็นเรื่องที่น่าสนใจมาก เพราะจะทำให้ผู้ตรวจสอบได้ฝึกหัดการตรวจสอบ ณ ที่ทำการได้คล้าย ๆ กับการปฏิบัติงานจริงในภาคสนามเลยทีเดียว

34. หนังสือเล่มแรกของชุดนี้ ได้เร่งรีบจัดทำมาก เพื่อให้ทันแจกจ่ายในงานวันธนาคารภาคตะวันออกเฉียงเหนือประจำปี 2539 ที่จังหวัดร้อยเอ็ด จึงได้มีการตรวจทานงานพิมพ์เพียงครั้งเดียว ประกอบกับมีความสับสนในการจัด File ที่แก้ไขแล้ว และก่อนแก้ไขในการจัดพิมพ์จริง จึงปรากฏข้อผิดพลาดที่ตรวจพบภายหลังการเย็บเล่มแล้วหลายแห่ง จึงขออภัยท่านผู้อ่านมา ณ ที่นี้ด้วย อย่างไรก็ดี ผมได้แทรกแก้ไขคำผิดไว้ในหน้าหลังของเล่มแรกแล้ว

35. หนังสือชุดนี้เป็นการให้คำแนะนำล่วงหน้าแก่สถาบันการเงินในด้านการบริหาร การดำเนินงานและการตรวจสอบ รวมทั้งประเด็นปัญหาที่น่าสนใจเพื่อหาทางป้องกัน/หรือแก้ไขการทุจริต และการจัดทำแผนฉุกเฉินทางด้านคอมพิวเตอร์ ซึ่งจะปรากฏในเล่มต่อไป ทั้งนี้เป็นการดำเนินงานตาม Action Plan ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ เพื่อให้บรรลุผลตามโครงการนี้ ก็น่าจะช่วยลดภาระของธนาคารได้ ทั้งในปัจจุบัน และอนาคต

อย่างไรก็ดี การทำความเข้าใจในหนังสือชุดนี้นั้น ผมได้ตั้งแนวทางว่า ท่านผู้อ่านได้ทราบพื้นฐานทางด้านการประมวลงานด้านคอมพิวเตอร์พอสมควรแล้ว

36. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสำคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตหลาย ๆ เรื่อง และทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดำเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

คำนำในหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นเล่มที่ 2 จาก 4 เล่มของผมนั้น ผมยังคงรักษาข้อมูลทุกตัวอักษรที่ได้ตีพิมพ์เมื่อปี พ.ศ. 2539 เอาไว้ จากประสบการณ์การตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเริ่มมาตั้งแต่ปี พ.ศ. 2524 โดยธนาคารแห่งประเทศไทย ซึ่งเป็นหน่วยงานกำกับสถาบันการเงินเพื่อให้แน่ใจอย่างสมเหตุสมผลว่า ผู้มีผลประโยชน์ร่วมได้รับการคุ้มครองฐานะทางการเงินของสถาบันการเงิน ต่อผู้ที่เกี่ยวข้องอย่างได้ดุลยภาพเป็นที่น่าพอใจ ถึงแม้จะเกิดความเสี่ยงใหม่ ๆ จากการมีการใช้คอมพิวเตอร์ของสถาบันการเงินเพิ่มขึ้นมาก นอกเหนือจากการบริหารความเสี่ยงในยุคก่อนคอมพิวเตอร์ และความเสี่ยงที่สำคัญยิ่งและอาจพิจารณาได้ว่าอยู่ในระดับความเสี่ยงที่ไม่น่ายอมรับได้ (Risk Apptite) ก็คือ การที่ผู้กำกับไม่อาจติดตามการบริหารและการจัดการกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นจากการใช้คอมพิวเตอร์ได้ นั่นคือ ก่อนที่จะมีการพัฒนาการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นั้น ท่านผู้อ่านคงจำได้นะครับว่า ผมได้เล่าให้ฟังว่า ผู้ตรวจการ (Examnier) ไม่สามารถตรวจสอบการบริหารและการจัดการของธนาคารพาณิชย์ที่เกี่ยวข้องกับความมั่นคงของสถาบันการเงินในช่วงแรก ๆ ที่สถาบันการเงินได้เปลี่ยนแปลงระบบงาน manual มาสู่ระบบคอมพิวเตอร์ (EDP) ในช่วงนั้นได้

จากประวัติความเป็นมาของการพัฒนางานกำกับ และตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์และธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมาในทุกแห่ง โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน ซึ่งต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ เกิดขึ้นมากมายมาใช้เป็นประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ ซึ่งผมจะทยอยเล่าถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นต่อไปนะครับ