IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 7)

เมษายน 10, 2014

สวัสดีท่านผู้อ่านและติดตาม itgthailand.com แห่งนี้ทุกท่านครับ ในครั้งก่อน ผมได้กล่าวถึงคำนำจากหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มที่ 2 ซึ่งแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน จากการที่ผมได้รวบรวม เรียบเรียงและจัดทำเป็นหนังสือ 4 เล่มที่เคยได้กล่าวถึงไปแล้วนั้น ด้วยเนื้อความในคำนำนั้นยาวเกินไป ผมได้ตัดทอนนำเสนอเป็นหลายตอน โดยในตอนนี้ผมจะขอนำเสนอต่อในหัวข้อที่ 23 จากทั้งหมด 36 หัวข้อด้วยกัน เราไปติดตามกันต่อเลยนะครับ

23. ถึงข้อนี้ ผมจึงขอกล่าวอีกครั้งว่า การตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบจะต้องทำความเข้าใจกับระบบงานทั้งหมด (Total System Approaches) ในส่วนของงานที่ต้องการตรวจสอบในองค์กร กล่าวคือ ผู้ตรวจสอบต้องทำความเข้าในทั้งในส่วนที่ใช้คอมพิวเตอร์ และส่วนที่ไม่ใช้คอมพิวเตอร์ และทั้ง 2 อย่างรวมกัน เพื่อแยกแยะให้ได้ว่า จะเริ่มต้นตรวจอะไรที่จุดใด ใช้เทคนิคแบบไหนจะตรวจสอบเมื่อใด และต้องการรูปแบบหลักฐานอย่างไร และควรจะจบลงอย่างไรในการตรวจสอบ ฯลฯ ในงานแต่ละเรื่องตามเป้าหมายที่กำหนดไว้ นอกจากนั้นผู้ตรวจสอบจะต้องเข้าใจความสัมพันธ์ของข้อมูลที่เกี่ยวข้องของ “งาน” (Application) ในแต่ละประเภทภายในองค์กร เพื่อกำหนดจุดตรวจสอบด้วย

24. จากข้อ 23. หากจะกล่าวให้ถูกต้องยิ่งกว่านี้ ก็ควรกล่าวว่าผู้ตรวจสอบทุกประเภทควรเข้าใจระบบงานที่ตรวจสอบทั้งในส่วนที่ใช้คอมพิวเตอร์ และไม่ใช้คอมพิวเตอร์ให้ดี จึงจะสามารถวางแผนและกำหนดขั้นตอนและเทคนิคการตรวจสอบที่เหมาะสม และติดตามการตรวจสอบของผู้ร่วมงานได้อย่างมีประสิทธิภาพ เพราะปัจจุบันทางการของไทยก็ได้ออกมาตรฐานการตรวจสอบบัญชีที่ใช้คอมพิวเตอร์ ออกมา 3 ฉบับ ด้วยกัน คือ มาตรฐานการสอบบัญชีฉบับที่ 28, 29, 36 ให้ผู้สอบบัญชีโดยทั่วไปถือปฏิบัติอยู่แล้ว และกรมสรรพกรก็ได้ออกกฎเกณฑ์บางประการในการใช้คอมพิวเตอร์มาให้ถือปฏิบัติด้วยเช่นกัน ดังนั้น เมื่อกล่าวถึงการตรวจสอบโดยทั่วไป ผู้ตรวจสอบจึงไม่อาจหลีกเลี่ยงจากการทำความเข้าใจในระบบงานทั้งหมด ก่อนการตรวจสอบเริ่มขึ้นได้ ยกเว้น การตรวจสอบที่มีเป้าหมายเฉพาะอย่างบางด้าน และผู้ตรวจสอบมีความเข้าในระบบงานโดยรวมขององค์กรที่จะเข้าตรวจสอบมาก่อน หลังจากองค์กรนำคอมพิวเตอร์มาใช้ในกระบวนการ “Process” งานครั้งล่าสุดแล้ว

25. แม้ว่าในการนำคอมพิวเตอร์มาใช้จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบ แต่ลักษณะการประเมินการควบคุมภายในตลอดจนหลักฐาน และวิธีการตรวจสอบจะเปลี่ยนแปลงไปมาก
ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนหรือระบบ Manual ในการประมวลผลข้อมูลย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้นการใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี โอกาสที่จะเกิดการผิดพลาดเพราะ Human Error อันเกิดจากการประมวลข้อมูลนั้นจะมีน้อย หรือไม่มีโอกาสเกิดขึ้นได้ ถ้าระบบงานและขั้นตอนการควบคุมภายในต่าง ๆ ที่ใช้คอมพิวเตอร์ควบคุมนี้ ได้รับการทดสอบเป็นที่แน่ใจแล้วว่า มีประสิทธิภาพยอมรับได้ ดั้งนั้น การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทนด้วยเหตุผล 3 ประการคือ

25.1 ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ช่วยให้มั่นใจได้ว่า การประมวลผลจะมีความสม่ำเสมอด้วย
25.2 การตรวจสอบผลที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ในลักษณะของการทำ Substantive Test นั้น ทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมากและหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ
25.3 ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์ เหตุผลข้อ 25. นี้ เป็นการย้ำว่าในองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบภายในเป็นเรื่องสำคัญลำดับต้น ๆ และการตรวจสอบด้านคอมพิวเตอร์ (IS Audit) ไม่ว่าจะเป็นการตรวจสอบ “องค์กร” (Data Center) หรือตรวจสอบ “งาน” (Application) ก็เน้นการตรวจสอบการควบคุมภายใน คือ General Controls และ Application Controls ด้านคอมพิวเตอร์นั่นเอง
เมื่อถึงประเด็นตามวรรคข้างต้น ผมคิดว่าเป็นจุดที่น่าสนใจ หากจะกล่าวต่อไปว่า การตรวจสอบเพื่อรับรองงบการเงินขององค์กร ซึ่งปกติเป็นหน้าที่ของผู้สอบบัญชีอนุญาต ซึ่งเป็นผู้สอบบัญชีภายนอกประเภทหนึ่งนั้น มีความสัมพันธ์กันอย่างใกล้ชิดกับการตรวจสอบงานด้านคอมพิวเตอร์ เน้นการตรวจสอบด้านการควบคุมภายในและการดำเนินงาน ซึ่งเป็นขั้นตอนต้น ๆ ที่จำเป็นของการตรวจสอบฐานะการเงิน ดั้งนั้น การตรวจสอบด้านคอมพิวเตอร์ (IS หรือ IT Audit) จึงมีความสัมพันธ์อย่างใกล้ชิดกับการตรวจสอบงานการเงินและการดำเนินงาน ซึ่งเรียกว่า Financial Audit อย่างสำคัญและไม่อาจหลีกเลี่ยงได้ในปัจจุบัน อย่างไรก็ดี การตรวจสอบฐานะความมั่นคงของสถาบันการเงินในภาพรวม ก็เป็นหน้าที่ของผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งเรียกรวม ๆ กันว่า Financial Examiner

จากความสัมพันธ์ดังกล่าว หนังสือเล่มนี้ซึ่งเน้นด้านการตรวจสอบด้านคอมพิวเตอร์ จึงได้กล่าวถึงการตรวจสอบทั้งทางด้าน IS Audit และ Manual Audit ซึ่งเป็นการตรวจสอบแบบเดิมไว้เพื่อการศึกษาเปรียบเทียบ และทำความเข้าใจในความแตกต่างของวิธีการตรวจสอบ ทั้ง 2 แบบไว้ด้วย

cover book 3-4

26. ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ไม่ว่าจะเป็น Data Center หรือ Application Audit ผู้ตรวจสอบควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ดีในการประเมินผลการตรวจสอบได้อีกด้วย

27. ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้ได้อย่างมีประสิทธิภาพ ทักษะทางด้านคอมพิวเตอร์ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้ว ต้องมีทักษะทางคอมพิวเตอร์โดยรวมที่เหมาะสม และเพียงพอแก่การปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบองค์รที่ใช้คอมพิวเตอร์ของทากงารและของสากล

28. ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบ ต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอระดับหนึ่งแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้ หากการตรวจสอบนั้น เป็นการตรวจสอบด้านคอมพิวเตอร์หรือมีส่วนที่เกี่ยวข้องกับคอมพิวเตอร์
ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วทางด้านเทคโนโลยี จำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้านคอมพิวเตอร์ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่ายคอมพิวเตอร์เองก็ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมภายในด้วย

29. การทำแผนภูมิหลายแผนในหนังสือเล่มนี้ เป็นการจัดทำขึ้นเพื่อให้ผู้อ่านได้ติดตามและทำความเข้าใจเรื่องราวที่เกี่ยวข้องได้ง่ายและสะดวกขึ้น ทั้งนี้ หลาย ๆ กรณีเป็นการประยุกต์มาจากความคิดและความเข้าใจของผมเอง เพื่อใช้ในการบรรยายเป็นสำคัญ อย่างไรก็ดี ผมใคร่ขอย้ำว่า ท่านผู้อ่านควรตอบตนเองก่อนว่า ขณะนี้กำลังทำความเข้าใจเรื่องอะไร ขณะนี้กำลังอยู่ในส่วนใดของกระบวนการตรวจสอบ และกำลังมองมุมผู้ตรวจสอบว่าเป็นประการใดจาก 3 ประเภทดังได้กล่าวข้างต้นแล้ว ทั้งนี้ ต้องมีเป้าหมายและขอบเขตที่แน่นอนของตนเองด้วยว่า กำลังตรวจสอบประเภท และเรื่องอะไรอยู่ เป็นต้น

30. เนื่องจากการรวบรวมเอกสารประกอบการบรรยายเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ ก็เช่นเดียวกับเล่ม 1 และเล่มที่จะพิมพ์ต่อไป ซึ่งเล่ม 3 จะเน้นเรื่องคอมพิวเตอร์กับการทุจริตและแนวการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือ รวมทั้ง การจัดทำแผนฉุกเฉิน หนังสือทั้ง 3 หรือ 4 เล่ม เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไป ในช่วงเวลาตั้งแต่ปี 2524 – 2536 แก่สถาบันหลายแห่ง และผมมีโอกาสแก้ไขเพิ่มเติมได้ไม่มากนัก เนื่องจากเวลาจำกัดมาก เพราะต้องการพิมพ์ให้เสร็จภายในเดือนกันยายน 2539 ทั้ง 3 เล่ม จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อหารวมทั้งแผนภูมิต่าง ๆ มากกว่าร้อยละ 95 ยังคงใช้ได้ดีจนถึงปัจจุบัน เพราะถึงแม้เทคนิคด้านรายละเอียดทางคอมพิวเตอร์จะพัฒนาไปอีกมาก แต่หลักการส่วนใหญ่ของการประมวลงานและการตรวจสอบก็ยังคงใช้หลักการเดิม ทั้งนี้ สังเกตได้จากการแต่งหนังสือที่มีการพิมพ์ครั้งหลัง ๆ ของตำราด้านตรวจสอบคอมพิวเตอร์ก็มีการแก้ไขใหม่ไม่มากนัก

31. สิ่งที่ผมใคร่จะเน้นก็คือการใช้เทคนิคการตรวจสอบว่า สมควรที่ผู้ตรวจสอบใช้เทคนิคใด ซึ่งขึ้นกับความรู้และประสบการณ์ของผู้ตรวจสอบเป็นหลัก และขึ้นกับความจำเป็น ตลอดจนสิ่งแวดล้อมและหลักฐานที่ต้องการด้วย เช่น จะใช้การตรวจสอบในแบบ Around the Computer หรือที่นิยมเรียกกันใหม่ เพื่อป้องกันความเข้าใจผิดว่า Audit without using the computer เพื่อเน้นว่าไม่ว่าจะเป็นการตรวจสอบแบบใด ผู้ตรวจสอบก็ไม่อาจหลีกเลี่ยงการประเมินประสิทธิภาพการควบคุมภายในได้ หรือใช้วิธีตรวจสอบลึกเข้าไปถึงการทำงานของโปรแกรมคอมพิวเตอร์ (Audit Through The Computer) พอสมควร ส่วนการใช้ Computer เป็นเครื่องมือช่วยในการวางแผนและการตรวจสอบนั้น ปัจจุบันนี้ ผู้ตรวจสอบมีโอกาสเลือกน้อยแล้ว กล่าวคือ ผู้ตรวจสอบจำเป็นต้องใช้ Computer ให้มีส่วนช่วยในการตรวจสอบไม่มากก็น้อย ในอดีตผมและคณะผู้ตรวจสอบมักใช้วิธี Test Data ในการทดสอบความน่าเชื่อถือได้ของโปรแกรม ซึ่งเป็นการทดสอบในแบบ Through the Computer แบบหนึ่ง แต่ผมยังมีประสบการณ์น้อยในการใช้โปรแกรมสำเร็จรูปในการตรวจสอบ หนังสือชุดนี้จึงไม่ได้กล่าวถึงเรื่องนี้มากนัก

32. หนังสือทั้ง 3 เล่มหรืออาจมีถึง 4 เล่ม จากเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เป็นการรวบรวมเอกสารประกอบการบรรยายต่าง ๆ ของผมในช่วงระหว่างปี 2524 ถึง 2536 ดังกล่าวแล้วในคำนำเล่ม 1 โดยได้เขียนคำอธิบายเพิ่มเติมประกอบเรื่อง และแผนภาพในบางเรื่อง เพื่อความเข้าใจที่กระจ่างขึ้น การเขียนเรื่องเพิ่มเติมและการตรวจทานความถูกต้องจากการพิมพ์ใช้เวลามากพอสมควร เนื้อหาสาระในหนังสือทุกเล่ม ถึงแม้จะพยายามลำดับเรื่องให้ได้ตามความเหมาะสมแล้วก็ตาม แต่ก็ยังมีเรื่องที่เป็นสิ่งละอันพันละน้อยต่าง ๆ ที่ผมได้สรุปไว้ใช้ในการบรรยายในโอกาสต่าง ๆ กันได้ปรากฎอยู่ในเรื่องหรือหัวข้ออื่นอยู่ด้วย เช่น ข้อสรุปที่ผู้ตรวจสอบและผู้บริหารควรทราบในรูปแบบแผนภูมิบ้าง แผนภาพบ้าง และคำบรรยายสรุปผัง เป็นต้น สิ่งเหล่านี้จะเป็นประโยชน์และทำความเข้าใจให้กับผู้ฟังและผู้อ่านมากขึ้น ถ้าผู้อ่านหรือผู้ใช้หนังสือชุดนี้ จะหยิบยกเรื่องที่เกี่ยวข้องมาประกอบในเรื่องที่ศึกษาด้วย โดยเฉพาะอย่างยิ่ง การศึกษาเรื่องคอมพิวเตอร์กับการทุจริต และการตรวจสอบ ซึ่งปรากฏในเล่ม 3 โดยสรุปเรื่องตรวจสอบเป็นบทสั้น ๆ เป็นการทบทวนในอีกแนวทางหนึ่งด้วย

33. การพัฒนางานตรวจสอบทั้งด้าน Computer Audit และ Financial Audit โดยจำลองระบบงานที่สำคัญขององคืกรนั้น ๆ เช่น สถาบันการเงิน โดยเน้นด้านการควบคุม และการตรวจสอบที่เป็นจริงให้ผู้ตรวจสอบติดตามได้ในภาคสนาม (Field Work) จริง ๆ ที่เรียกกันว่า Simulation Audit นั้น เป็นเรื่องที่น่าสนใจมาก เพราะจะทำให้ผู้ตรวจสอบได้ฝึกหัดการตรวจสอบ ณ ที่ทำการได้คล้าย ๆ กับการปฏิบัติงานจริงในภาคสนามเลยทีเดียว

34. หนังสือเล่มแรกของชุดนี้ ได้เร่งรีบจัดทำมาก เพื่อให้ทันแจกจ่ายในงานวันธนาคารภาคตะวันออกเฉียงเหนือประจำปี 2539 ที่จังหวัดร้อยเอ็ด จึงได้มีการตรวจทานงานพิมพ์เพียงครั้งเดียว ประกอบกับมีความสับสนในการจัด File ที่แก้ไขแล้ว และก่อนแก้ไขในการจัดพิมพ์จริง จึงปรากฏข้อผิดพลาดที่ตรวจพบภายหลังการเย็บเล่มแล้วหลายแห่ง จึงขออภัยท่านผู้อ่านมา ณ ที่นี้ด้วย อย่างไรก็ดี ผมได้แทรกแก้ไขคำผิดไว้ในหน้าหลังของเล่มแรกแล้ว

35. หนังสือชุดนี้เป็นการให้คำแนะนำล่วงหน้าแก่สถาบันการเงินในด้านการบริหาร การดำเนินงานและการตรวจสอบ รวมทั้งประเด็นปัญหาที่น่าสนใจเพื่อหาทางป้องกัน/หรือแก้ไขการทุจริต และการจัดทำแผนฉุกเฉินทางด้านคอมพิวเตอร์ ซึ่งจะปรากฏในเล่มต่อไป ทั้งนี้เป็นการดำเนินงานตาม Action Plan ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ เพื่อให้บรรลุผลตามโครงการนี้ ก็น่าจะช่วยลดภาระของธนาคารได้ ทั้งในปัจจุบัน และอนาคต

อย่างไรก็ดี การทำความเข้าใจในหนังสือชุดนี้นั้น ผมได้ตั้งแนวทางว่า ท่านผู้อ่านได้ทราบพื้นฐานทางด้านการประมวลงานด้านคอมพิวเตอร์พอสมควรแล้ว

36. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสำคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตหลาย ๆ เรื่อง และทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดำเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

คำนำในหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นเล่มที่ 2 จาก 4 เล่มของผมนั้น ผมยังคงรักษาข้อมูลทุกตัวอักษรที่ได้ตีพิมพ์เมื่อปี พ.ศ. 2539 เอาไว้ จากประสบการณ์การตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเริ่มมาตั้งแต่ปี พ.ศ. 2524 โดยธนาคารแห่งประเทศไทย ซึ่งเป็นหน่วยงานกำกับสถาบันการเงินเพื่อให้แน่ใจอย่างสมเหตุสมผลว่า ผู้มีผลประโยชน์ร่วมได้รับการคุ้มครองฐานะทางการเงินของสถาบันการเงิน ต่อผู้ที่เกี่ยวข้องอย่างได้ดุลยภาพเป็นที่น่าพอใจ ถึงแม้จะเกิดความเสี่ยงใหม่ ๆ จากการมีการใช้คอมพิวเตอร์ของสถาบันการเงินเพิ่มขึ้นมาก นอกเหนือจากการบริหารความเสี่ยงในยุคก่อนคอมพิวเตอร์ และความเสี่ยงที่สำคัญยิ่งและอาจพิจารณาได้ว่าอยู่ในระดับความเสี่ยงที่ไม่น่ายอมรับได้ (Risk Apptite) ก็คือ การที่ผู้กำกับไม่อาจติดตามการบริหารและการจัดการกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นจากการใช้คอมพิวเตอร์ได้ นั่นคือ ก่อนที่จะมีการพัฒนาการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นั้น ท่านผู้อ่านคงจำได้นะครับว่า ผมได้เล่าให้ฟังว่า ผู้ตรวจการ (Examnier) ไม่สามารถตรวจสอบการบริหารและการจัดการของธนาคารพาณิชย์ที่เกี่ยวข้องกับความมั่นคงของสถาบันการเงินในช่วงแรก ๆ ที่สถาบันการเงินได้เปลี่ยนแปลงระบบงาน manual มาสู่ระบบคอมพิวเตอร์ (EDP) ในช่วงนั้นได้

จากประวัติความเป็นมาของการพัฒนางานกำกับ และตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์และธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมาในทุกแห่ง โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน ซึ่งต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ เกิดขึ้นมากมายมาใช้เป็นประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ ซึ่งผมจะทยอยเล่าถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นต่อไปนะครับ

โฆษณา

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 6)

มีนาคม 22, 2014

จากครั้งที่แล้ว ผมได้กล่าวย้อนหลังถึงยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการในช่วงเวลา 35 ปีที่ผ่านมา ตลอดจนผมได้รวบรวม เรียบเรียง และจัดทำเป็นหนังสือถึง 4 เล่มด้วยกัน โดยในเล่มที่ 2 จากหนังสือ การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ผมได้หยิบยกคำนำจากหนังสือเล่มนี้มาเล่าสู่กันฟัง เพื่อแสดงให้เห็นถึงวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ว่ามีความแตกต่างกันอย่างไรกับงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน

โดยคำนำจากหนังสือเล่มที่ 2 ที่กล่าวถึงนี้ แบ่งเป็นหัวข้อเพื่อความเข้าใจได้ง่าย ๆ ถึง 36 ข้อด้วยกัน เนื่องจากความยาวและความเหมาะสมของการนำเสนอ ในครั้งก่อนผมจึงได้นำเสนอไปเพียงบางส่วนเท่านั้น สำหรับวันนี้ผมจะขอกล่าวต่อในหัวข้อที่ 7 เลยนะครับ (ท่านผู้อ่านสามารถติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่มที่ 2 ในหัวข้อแรก ๆ ได้ คลิ๊กที่นี่ ครับ)

7. ในการตรวจสอบธนาคารพาณิชย์และสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งองค์กรอื่นที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบควรพิจารณาถึงความจำเป็นและความแตกต่างในระบบงานของแต่ละองค์กรเป็นกรณีไป โดยควรเน้นและให้ความสำคัญอย่างยิ่งต่อการควบคุมภายในที่มีประสิทธิภาพ

8. การทำความเข้าใจในเป้าหมาย ขอบเขต กรรมวิธี ในการตรวจสอบงานด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบทางด้านการเงิน (Financial Audit) และจัดทำรายงานการตรวจสอบ ตลอดจนความสัมพันธ์ของานทั้ง 2 ประเภท นับเป็นสิ่งที่มีความสำคัญยิ่งในการปฏิบัติงานการตรวจสอบที่มีประสิทธิภาพสูงสุด เช่น การรู้จักใช้เครื่องมือคอมพิวเตอร์ให้เป็นประโยชน์ในการตรวจสอบ และการทำความเข้าใจในระบบงานด้านคอมพิวเตอร์ เพื่อกำหนดขอบเขตการตรวจสอบให้เหมาะสม เป็นต้น

9. วิธีการตรวจสอบและเทคนิคการตรวจสอบงานด้านคอมพิวเตอร์ จะต้องพัฒนาให้ทันกับ Technology สมัยใหม่ที่ก้าวหน้าอย่างรวดเร็วและไม่หยุดยั้ง ทั้งทางด้าน Hardware และ Software วิธีการตรวจสอบจึงจำเป็นต้องพัฒนาขึ้น เพื่อช่วยให้ผู้ตรวจสอบมีเครื่องมือและรู้จักใช้เครื่องมือปฏิบัติงานอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ในการตรวจสอบ อีกทั้งจะช่วยให้ผู้ตรวจสอบมีความมั่นใจในการเสนอความเห็นในรายงานการตรวจสอบอย่างถูกต้องตามความเป็นจริง และมีเหตุมีผล

10. ผู้ตรวจสอบทางด้านคอมพิวเตอร์ นอกจากจะได้รับมอบหมายให้เป็นผู้ตรวจสอบความถูกต้องและความน่าเชื่อถือได้ของข้อมูล จากงานที่ประมวลผลด้วยคอมพิวเตอร์แล้ว ยังมีหน้าที่ที่สำคัญมากอีกประการหนึ่งก็คือ การร่วมมือและประสานงานตรวจสอบด้านการเงิน (Financial Audit) โดยแนะนำหรือร่วมปฏิบัติงานทางด้านเทคนิคการตรวจสอบในส่วนที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานตรวจสอบทางด้าน Financial มีปัญหาน้อยที่สุด

ดังนั้น การศึกษาเทคนิคใหม่ ๆ ทางด้านคอมพิวเตอร์ เพื่อประโยชน์ในการตรวจสอบจึงเป็นสิ่งที่จำเป็นอย่างยิ่ง และจะต้องดำเนินการควบคู่กันไปกับการปฏิบัติงานตรวจสอบด้วยเสมอ ทั้งนี้ เพื่อดำรงไว้ซึ่งประสิทธิภาพของการตรวจสอบโดยรวม

11. เมื่อผมได้ไปปฏิบัติหน้าที่ในฐานะ Deputy Principal ของหลักสูตร SEACEN (South East Asian Central Banks) หลักสูตร Inspection and Supervision of Financial Institutions ครั้งที่ 12 ที่กรุงจาการ์ตา ประเทศอินโดนีเซีย เมื่อปี ค.ศ. 1988 ผมได้แนะนำให้เพิ่มวิชาที่มีเนื้อหาในด้านที่เกี่ยวข้องกับคอมพิวเตอร์หลายวิชาในหลักสูตรนี้ ทาง SEACEN ได้เชิญผมไปบรรยายความจำเป็นของวิชาเหล่านี้ให้กับเลขาธิการของ SEACEN ที่ไปดูแลหลักสูตรนี้ที่กรุงจาการ์ตา และผมก็ได้ไปอธิบายเรื่องนี้ ณ ที่ทำการสำนักงานใหญ่ของ SEACEN ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย ในปีเดียวกันนั้น ในเรื่องที่เกี่ยวข้องกับการพัฒนาการกำกับและการตรวจสอบสถาบันการเงินที่ต้องมีวิชานี้เข้าไปเกี่ยวข้องด้วย เพราะเป็นเรื่องที่แยกกันไม่ได้ในวงการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และทาง SEACEN ก็ได้บรรจุวิชาต่าง ๆ ที่เกี่ยวกับคอมพิวเตอร์เข้าไปในหลักสูตรนี้นับจากนั้นมาจนกระทั่งปัจจุบัน ซึ่งผมได้มีส่วนช่วยบรรยายหลายวิชาในหลักสูตรนี้ที่จัดขึ้นในประเทศต่าง ๆ ของสมาชิก SEACEN ในเวลาต่อมาด้วย

นั่นคือ ถึงแม้เป้าหมายของผู้ตรวจสอบจะเป็นการตรวจสอบฐานะความมั่นคงทางการเงิน หรือเป็นการตรวจสอบเพื่อรับรองงบการเงิน แต่ข้อมูลและการควบคุมภายในส่วนใหญ่ได้ถูกประมวลโดยระบบคอมพิวเตอร์แล้ว ดังนั้น การวางแผนการตรวจสอบก็จะต้องคำนึงถึงและเข้าใจในระบบงานด้านคอมพิวเตอร์พอสมควรด้วยเสมอ

12. นอกจากที่กล่าว ทาง SEACEN ก็ได้จัดหลักสูตรใหม่ขึ้นมาโดยเฉพาะ เรียกว่า Computer Audit (Advanced Level) ขึ้น เป็นหลักสูตรการตรวจสอบคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบในสถาบันการเงินโดยเฉพาะแยกเป็นอีกหลักสูตรหนึ่ง โดยอบรมให้แก่ผู้ตรวจสอบจากธนาคารกลางประเทศต่าง ๆ ในเอเชีย

ทาง SEACEN ได้ให้ผมเป็น Course Director สำหรับหลักสูตรนี้อีกครั้ง เพื่อจัดให้มีการอบรมให้กับประเทศต่าง ๆ ที่กรุงเทพฯ เมื่อปลายปี ค.ศ. 1993 ซึ่งช่วงนั้นผมได้บรรยายวิชา EDP Supervision and Financial Institutions ด้วย โดยกล่าวถึง The Thai Experienced ในเรื่อง ตามที่สรุปในภาคผนวกเล่มที่ 1 แล้ว แต่วิชาคอมพิวเตอร์อื่น ๆ ในหลักสูตรนี้ที่ผมได้บรรยายให้ SEACEN ในปีก่อน ๆ หน้าที่ ผมไม่ได้นำมาให้ผู้อ่านได้อ่านด้วย เพราะมีบางส่วนได้กล่าวเป็นภาษาไทยในหนังสือชุดนี้อยู่แล้ว

cover book

13. การตรวจสอบด้านคอมพิวเตอร์ ถึงแม้จะมีความจำเป็นเด่นชัด แต่ผู้บริหารในองค์กรต่าง ๆ ให้ความสำคัญกับการตรวจสอบด้านนี้แตกต่างกัน และมีจำนวนไม่น้อยที่มองข้ามประเด็นที่สำคัญนี้ อย่างไรก็ดี สำหรับธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยได้กำหนดให้มีการตรวจสอบคอมพิวเตอร์ เพื่อดูแลเรื่องนี้โดยฉพาะ ตั้งแต่ ปี 2528 สำหรับสถาบันการเงินอื่น ๆ ทางธนาคารแห่งประเทศไทยก็ได้สั่งการให้สถาบันการเงินเหล่านั้นได้จัดให้มีการตรวจสอบงานด้านคอมพิวเตอร์แล้วด้วย

14. งานตรวจสอบด้านคอมพิวเตอร์ (IS Audit หรือ IS Examination) ในด้านของธนาคารแห่งประเทศไทย หรือ FFIEC ของประเทศสหรัฐอเมริกา แล้วมีวัตถุประสงค์อย่างกว้าง ๆ เช่นเดียวกับการตรวจสอบฐานะและความมั่นคงของสถาบันการเงิน นั่นคือ

1) เพื่อประเมินฐานะความมั่นคงของสถาบันการเงิน

2) เพื่อประเมินและวัดคุณภาพการจัดการ และการดำเนินงานของผู้บริหารระดับสูง

3) เพื่อให้คำแนะนำ แก้ไขจุดอ่อนต่าง ๆ ที่อาจก่อให้เกิดปัญหาต่อสถาบันการเงินเป็นการล่วงหน้า เพื่อให้สถาบันการเงินปรับปรุงคุณภาพของการบริหารงาน และการดำเนินงานให้มีความมั่นคง และเป็นไปตามระเบียบ คำสั่ง และกฎหมายที่เกี่ยวข้อง

อย่างไรก็ดี วัตถุประสงค์ของการตรวจสอบด้าน IS Audit ของผู้สอบบัญชีรับอนุญาต และผู้สอบบัญชีภายในจะแตกต่างกันไปตามเป้าหมายหลักของตนเอง

15. การตรวจสอบด้านคอมพิวเตอร์ที่ปัจจุบันมักนิยมเรียกกันว่า IS Audit ในประเทศสหรัฐอเมริกา และ IT Audit ในประเทศอังกฤษและออสเตรเลีย มากกว่าคำที่ใช้เรียกกันเต็ม ๆ ว่า Computer หรือ EDP Audit นั้น มีเรื่องที่ต้องทำความเข้าใจกันมากพอสมควร ยิ่งผู้สนใจท่านใดอ่านหนังสือประเภทนี้จากผู้แต่งหลาย ๆ คน จากประเทศต่าง ๆ แล้ว ก็อาจจะพบกับความสับสนมากขึ้น ทั้งนี้เพราะ ผู้แต่งแต่ละท่านก็มีความคิด/จุดยืน และทัศนรวมทั้งการผูกเรื่องให้อ่าน หรือทำความเข้าใจแตกต่างกันนั่นเอง

16. จุดยืนและความแตกต่างของตำราที่ผู้เขียนเรื่อง การตรวจสอบด้านคอมพิวเตอร์ ก็ขึ้นกับความถนัดและประสบการณ์ของผู้เขียนแต่ละท่าน เช่น บางท่านถนัดทางด้านการตรวจสอบระบบงานแต่ละอย่าง (Application Audit) เพราะผู้แต่งหรือผู้เขียนทำงานในด้านนี้ บางท่านทำงานในองค์กรเอกชนหรือตามโรงงานอุตสาหกรรมต่าง ๆ ในขณะที่บางท่านแต่งหรือเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์ในฐานะที่เป็นผู้กำกับ และตรวจสอบสถาบันการเงิน จึงมีหน้าที่และบทบาทต่างกันออกไป เช่น ผู้ตรวจสอบของ FDIC, FRB, OCC ซึ่งเรียกรวม ๆ กันว่า Federal Financial Institution Examination Council (FFIEC) ของประเทศสหรัฐอเมริกาที่เป็นหน่วยงานของรัฐ ซึ่งทำหน้าที่ตรวจสอบทั้งฐานะความมั่นคงและการดำเนินงานโดยทั่วไป ซึ่งเรียกกันว่า Financial Examiner และบางส่วนแบ่งมาทำหน้าที่ตรวจสอบด้านคอมพิวเตอร์ เรียกกันในระยะแรก ๆ ว่า EDP Examiner นั้น ก็มีประสบการณ์การเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์แตกต่างกันในตามความรับผิดชอบของตน นั่นคือ FFIEC จะเน้นการตรวจสอบทางด้านศูนย์ประมวลข้อมูลของสถาบันการเงิน (Data Center) ซึ่งจะตรวจงานทางด้านการดำเนินงานและการบริหารของศูนย์คอมพิวเตอร์เป็นสำคัญ และจะไม่เน้นหรือจะไม่ตรวจสอบทางด้าน Application Audit ซึ่งทาง FFIEC พิจารณาว่าเป็นงานของผู้ตรวจสอบภายนอก (External Auditor) และผู้ตรวจสอบภายในของสถาบันการเงินหรือองค์กรอื่น ๆ ซึ่งผู้ตรวจสอบประเภทหลังนั้น จะตรวจสอบทั้งทางด้าน Data Center หรือตรวจสอบการควบคุมภายในโดยทั่วไป (General Controls) และตรวจสอบการควบคุมภายในเฉพาะระบบงาน หรือเรียกว่า Application Controls หรือ Application Audit ด้วย

17. เมื่อมาถึงจุด ๆ นี้ ก็มีคำที่ต้องทำความเข้าใจกันต่อก็คือ การตรวจสอบงานด้านคอมพิวเตอร์ เรียกและเข้าใจกันง่าย ๆ Computer Audit นั้น มีการตรวจสอบเป็น 2 ลักษณะ คือ

17.1 การตรวจสอบด้านศูนย์ประมวลข้อมูล (Data Center) หรือเรียกกันว่าเป็นการตรวจสอบการควบคุมโดยทั่วไป (General Controls) หรือเป็นการตรวจสอบ “องค์กร” หรือเป็นการตรวจสอบการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ขององค์กร

17.2 การตรวจสอบงานใดงานหนึ่งเป็นการเฉพาะ เช่น การตรวจสอบงานด้านเงินฝาก เงินให้กู้ ฯลฯ ก็เรียกกันว่าเป็นการตรวจสอบด้าน Application หรือเป็นการตรวจสอบการควบคุมภายในเฉพาะงาน (Application Controls) หรือทำให้เข้าใจง่ายยิ่งขึ้นก็เรียกว่าการตรวจสอบ “งาน” ภายในองค์กร

18. การตรวจสอบงานด้านคอมพิวเตอร์ โดยหลักใหญ่ ๆ จึงสรุปได้ว่ามีเพียง 2 ลักษณะ คือ การตรวจสอบ “องค์กร” กับ “งาน” จะเป็นการตรวจสอบด้านใดก็ขึ้นกับความรับผิดชอบของผู้ตรวจสอบในแต่ละองค์กร ว่ายืนอยู่ ณ จุดใด มีความรับผิดชอบด้านใด ท่านต้องการกำหนดขอบเขตการตรวจสอบ (Audit Scope) เพียงใด ดังนั้น ผู้อ่านจึงต้องแยกแยะว่าท่านต้องการเรียนรู้งานการตรวจสอบด้านคอมพิวเตอร์ลักษณะใด แล้วจึงค่อย ๆ ทำความเข้าใจกับคำอธิบายเฉพาะส่วนนั้น ๆ และความเกี่ยวพันที่เกี่ยวข้อง เช่น ควรเข้าใจว่า หาก General Controls มีปัญหาก็จะกระทบกับการวางแผนและการตรวจสอบด้าน Application Controls เพียงใด และควรมีวิธีการตรวจสอบอย่างไร เป็นต้น

อนึ่ง ถึงแม้จะมีตำราการตรวจสอบด้านคอมพิวเตอร์บางเล่มได้แยกหัวข้อการตรวจสอบแตกต่างไปจากที่กล่าวข้างต้น เช่น มักจะแยกหัวข้อการตรวจสอบการพัฒนาระบบงานเพิ่มมาอีกก็ตาม ผมก็ยังมีความเห็นว่า น่าจะรวมอยู่ในการตรวจสอบ General Controls จะเหมาะสมกว่า นอกจากนี้ แผนภูมิแสดงการตรวจสอบโดยย่อที่มีมากกว่า 1 แห่ง ในหนังสือของผมทั้ง 3 หรือ 4 เล่ม ก็อาจมีความแตกต่างกันในรายละเอียดปลีกย่อย ทั้งนี้ ขอให้ผู้อ่านอย่าสับสน เพราะเหตุผลเกิดจากแนวความคิดเบื้องต้นที่อาจแตกต่างกันบ้างของผู้เขียนหนังสือแต่ละคน เช่น บางคนเริ่มจากการวิเคราะห์ความเสี่ยง ซึ่งผมชอบแนวทางนี้ บางคนไม่วิเคราะห์ถึงความเสี่ยงก่อน แต่ให้เริ่มต้นจากการทำความเข้าใจระบบงานก่อน ซึ่งในที่สุด ผู้อ่านจะพบว่าไม่ว่าจะเริ่มแบบใด ในที่สุดแล้วก็จะมาสู่จุดเดียวกันจนได้ หากท่านผู้อ่านเข้าใจได้เช่นนี้ ก็แสดงว่าท่านเข้าใจแนวทางการตรวจสอบอย่างถ่องแท้แล้ว อย่างไรก็ดี หลักการส่วนใหญ่จะไม่แตกต่างกันมาก แต่จะแตกต่างกันในการบรรยายและการทำความเข้าใจ

19. ผู้อ่านควรทำความเข้าใจในคำต่อไปนี้ คือ EDP Examinar, EDP Auditor ซึ่งคำ ๆ หลังนี้ยังแยกได้เป็น 2 ส่วน คือ External Auditor และ Internal Auditor สรุปเพียงข้อนี้ก่อนว่าผู้ตรวจสอบด้านคอมพิวเตอร์เองก็มี 3 แบบ มีความรับผิดชอบและหน้าที่แตกต่างกัน และผู้ตรวจสอบต้องเข้าใจลักษณะของหน้าที่และความรับผิดชอบที่แตกต่างกันนั้น ๆ ด้วย เพราะความแตกต่างกันนั้น ยังมีส่วนเหลื่อมที่เป็นความเหมือนหรือความคล้ายกันปะปนกันอยู่ด้วย นั่นคือ การกำหนดขอบเขตและวิธีการตรวจสอบ อาจมีความสัมพันธ์ซึ่งกันและกันตามลักษณะของผู้ตรวจสอบทั้ง 3 แบบได้

20. การให้ถ้อยคำเป็นภาษาไทยที่ถอดความจากภาษาอังกฤษ ในศัพท์คอมพิวเตอร์บางครั้งก็มิใช่ของง่าย เพราะถึงแม้จะมีการแปลศัพท์คอมพิวเตอร์เป็นภาษาไทยกันแล้วหลายเล่ม แต่การใช้ภาษาไทยก็ยังมีการใช้แตกต่างกันอยู่ ซึ่งขึ้นกับความถนัดและความเข้าใจของผู้เรียบเรียงหรือผู้เขียนเป็นสำคัญ ดังนั้น การให้ถ้อยคำในภาษาไทยในแต่ละเรื่อง ถึงแม้มาจากภาษาอังกฤษคำ ๆ เดียวกัน ก็ใช้ถ้อยคำแตกต่างกันที่อาจทำให้ผู้อ่านสับสนได้ อย่างไรก็ดี คำศัพท์ภาษาไทยที่ยังไม่นิยมกัน ผมไม่ได้นำมาใช้ในเอกสารประกอบการบรรยายนี้ และคำศัพท์หลายคำ ผมได้ให้ความหมายใหม่ตามที่ผมเข้าใจ เช่นคำว่า “Default” โดยทั่วไปแปลว่า “โดยปริยาย” แต่ในหลายตอนของผมแปลว่า “มาตรฐานของระบบงานที่ได้กำหนดไว้ล่วงหน้า” หรือ “คำสั่งตามเงื่อนไขเบื้องต้นที่กำหนดไว้ในโปรแกรม” นอกจากนี้ หากท่านผู้อ่านพบกับคำว่า เกิด Default ก็ขอให้เข้าใจว่า “เกิดข้อคลาดเคลื่อน” หรือ “เกิดการปฏิบัติงานที่ผิดไปจากเงื่อนไขหรือคำสั่งงานที่กำหนดไว้” และในบางกรณีก็หมายถึง “เกิดปัญหาการปฏิบัติงานที่เกิดจากมาตรฐานหรือเงื่อนไขเบื้องต้น” ทั้ง ๆ ที่การเกิด Default นี้เป็นไปตามคำสั่งหรือมาตรฐานของระบบงานก็ตาม ซึ่งแสดงถึงจุดอ่อนหรือความเสี่ยงที่เกิดจากการทำ Default ในโปรแกรมนั่นเอง อย่างไรก็ดี ความหมายในภาษาไทยที่ใช้และอาจเกิดความสับสนได้นั้น ผมจะวงเล็บภาษาอังกฤษ เพื่อให้เปรียบเทียบประกอบความเข้าใจเป็นส่วนมากไว้ด้วย ดั้งนั้น หากท่านผู้อ่านจะนำศัพท์ภาษาอังกฤษไปเปรียบเทียบกับ Dictionary ด้านคอมพิวเตอร์ ก็จะพบว่าการให้ความหมายแตกต่างกันไป ซึ่งบางกรณีทำให้เกิดความเข้าใจที่แตกต่างกันด้วย

21. ถ้อยคำในภาษาไทยที่ใช้ในการบรรยายการตรวจสอบด้านคอมพิวเตอร์ในบางครั้งที่พบ เช่น การตรวจสอบระบบคอมพิวเตอร์โดยทั่วไป (ซึ่งหมายถึงการตรวจสอบ Data Center หรือ General Controls) กับคำว่าการตรวจสอบคอมพิวเตอร์เฉพาะงาน หรือบางครั้งก็ใช้คำว่าการตรวจสอบระบบงาน (ซึ่งหมายถึง Application Audit หรือ Application Controls) ถ้าผู้อ่านพยายามนึกถึงภาษาอังกฤษประกอบด้วยแล้ว จะทำให้ความสับสนน้อยลงได้ ทั้งนี้มีข้อแนะนำว่า หากรู้สึกสับสนก็ขอให้ถามตนเองว่า ขณะนี้เรากำลังอยู่จุดไหนหรือขั้นตอนใดของงานการตรวจสอบ เรามีเป้าหมายและขอบเขตการตรวจสอบอะไร เพียงใด ก็จะช่วยได้มาก โดยเฉพาะ การให้คำภาษาไทยที่ไม่ได้วงเล็บภาษาอังกฤษไว้ด้วย

การที่ผมย้ำจุดนี้หลายครั้งก็เพราะจากประสบการณ์ที่ผ่านมาในระยะแรก ๆ ทั้งตัวผมและผู้ฟังการบรรยายมักจะพบปัญหาการทำความเข้าใจจากจุดนี้เป็นสำคัญ

22. ถ้อยคำอื่น ๆ ที่มีปัญหาก็อาจเกิดจากเทคนิคทางด้านคอมพิวเตอร์นอกเหนือจากการใช้ภาษาไทยได้ ตัวอย่างเช่น โปรแกรมระบบงาน (System Program หรือ System Software) และคำว่าโปรแกรมเฉพาะงาน (Application Program หรือ Application Software) โดยมีถ้อยคำภาษาไทยที่คล้ายกันมาก หากไม่วงเล็บภาษาอังกฤษไว้ด้วย จะชวนทำให้สับสนได้ง่ายเช่นกัน หรือการตรวจสอบความถูกต้องของรายการทางการเงิน ก็มีคำภาษาอังกฤษที่ใช้ต่าง ๆ กัน เช่น Validation Procedures หรือ Verification Procedures หรือ Substantive Tests เป็นต้น ดังนั้น ผู้ตรวจสอบจึงควรทำความเข้าใจระบบงานของคอมพิวเตอร์ ให้ถ่องแท้ก่อนการวางแผนและดำเนินการตรวจสอบ

ทั้งนี้ ด้วยเนื้อหาของคำนำที่ยาวพอสมควร ทำให้ผมไม่สามารถนำเสนอได้จบในตอนที่ 6 นี้ จึงขอให้ท่านผู้อ่านโปรดติดตามวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ จากคำนำในหนังสือเล่ม 2 “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ที่ผมจะนำมาเสนอในตอนต่อไปนะครับ


IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 5)

กุมภาพันธ์ 28, 2014

ตอนที่ 4 ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่ ธปท.กำหนดขึ้นเพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงิน ระบบการจัดการของหน่วยงานภายใต้การดูแลของ ธปท.ให้มีการดำเนินงาน บริหารงาน ได้ถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่าต่อผู้มีผลประโยชน์ร่วม และผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ เพื่อให้ความมั่นใจต่อผู้มีผลประโยชน์ร่วมทุกฝ่ายที่เกี่ยวข้อง ถึงความสามารถในการบริหารงานอย่างต่อเนื่อง ในการสร้าง Vallue Creation อย่างได้ดุลยภาพ จากการบริหารความเสี่ยงและทรัพยากรที่มีอยู่

….ซึ่งต่อมา สภาพแวดล้อมในการดำเนินงาน ได้มีการพัฒนาตลอดมาจนกระทั่งปัจุบัน ซึ่งมีผลอย่างสำคัญ ต่อการเปลี่ยนแปลง และการบริหารการเปลี่ยนแปลงในกระบวนการบริหารและปฎิบัติงาน ส่งผลให้มีการค้นคว้าและพัฒนาหลักการบริหารที่ดี และการกำหนดมาตรฐาน มาตรการการดำเนินงาน และการกำกับที่ได้เปลี่ยนแปลงไปให้ทันกับความเสี่ยงใหม่ ๆ ที่เพิ่มขึ้นโดยเฉพาะความเสี่ยงที่เกิดจากการบริหาร การดำเนินงาน ด้านคอมพิวเตอร์/ เทคโนโลยีสารสนเทศและการสื่อสาร ที่มีการพัฒนาอย่างรวดเร็วและไม่หยุดยั้ง มีผลอย่างสำคัญที่ตามมาคือ ผู้บริหาร ผู้กำกับ ผู้ปฎิบัติ ผู้ตรวจสอบ จำนวนหนึ่งตามไม่ทันกับการพัฒนาทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งการมีการใช้เทคโนโลยีที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม ที่คู่กันไปกับการบริหารความเสี่ยง ที่มีผลกระทบต่อการบริหารที่มีประสิทธิภาพ และมีประสิทธิผลในการสร้างคุณค่าเพิ่ม ( Value Creation )ให้กับผู้มีผลประโยชน์ร่วมที่ได้ดุลยภาพ ในการบรรลุวัตถุประสงค์ที่ต้องการคู่กันไปกับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม ซึ่งผมจะได้เล่าในโอกาศต่อ ๆ ไปนะครับ…

วันนี้ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ต่อจากตอนที่ 4 ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้ง สถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความถูกต้องของข้อมูลทางการเงิน และรายงาน รวมทั้งการปฎิบัติตามกฎหมายและกฎเกณฑ์ของผู้กำกับ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการปรับปรุง เปลี่ยนแปลง การกำกับของธนาคารแห่งประเทศไทย

หลายท่าน ที่ได้ติดตามอ่านมาตั้งแต่ต้นและไม่ได้เป็นผู้ตรวจสอบ อาจมีข้อสงสัยว่า ทำไม? ผมจึงเชื่อมโยงการกำกับ การบริหาร การปฎิบัติงาน การตรวจสอบ ในสถาบันการเงินที่ใช้คอมพิวเตอร์ โดยเฉพาะในหัวข้อ “มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ” โดยเน้นค่อนข้างมาก มาในมุมมองของผู้ตรวจสอบ โดยเฉพาะผู้ตรวจสอบด้านคอมพิวเตอร์ นั้น ก็เป็นเพราะ….การกำกับ การบริหาร การปฎิบัติงาน การควบคุมความเสี่ยง การประเมินการบริหารความเสี่ยง+++ กับกระบวนการตรวจสอบ+++ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ และส่วนงานพิเศษ ที่ธปท.ตั้งขึ้นมาใหม่ให้ทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์โดยเฉพาะ และทำหน้าที่ทางด้านการช่วยงานตรวจสอบทั่วไป ที่มีผลกระทบต่อกระับวนการประเมินความเสี่ยงและการคตรวจสอบ ตามกระบวนการปกติ จึงได้ศึกษาปัญหา/อุปสรรคที่เกิดขึ้น เพื่อให้การประเมินฐานะของธนาคารพาณิชย์ สามารถดำเนินการต่ีอไปได้ตามปกติ ซึ่งพิจารณาได้ว่าเป็นวิธีการตรวจสอบด้านคอมพิวเตอร์ หรือ EDP- Electronic Data Processing ในยุคแรก

ดังนั้น ความเข้าใจในผลกระทบของการมี การใช้คอมพิวเ้ตอร์ และความสัมพันธ์ของการบริหารและการตรวจสอบ งานทางด้านคอมพิวเตอร์และงานทางด้านทั่วไป ที่ต้องมีความเข้าใจภาพโดยรวมจึงเริ่มเกิดขึ้น แต่ยังห่างไกลจากคำว่า การบริหารและการตรวจสอบแบบบูรณาการในยุคปัจจุบัน ที่เรียกกันว่า Integrated –GRC และ/หรือ Integrated Single Framework ยุคใหม่

เมื่อกล่าวมาถึงงงงตอนนี้ ผมจึงย้อนหลังนำท่านผู้อ่าน ไปสู่ยุคแรก ๆ ของการบริหารและการตรวจสอบ รวมทั้งการกำกับ งานด้านคอมพิวเตอร์ โดยนำเรื่องที่ผมเขียนไว้เป็นคำนำ ในหนังสือเล่มที่ 2 เรื่องการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งเป็นวิวัฒนาการส่วนหนึ่ง ว่าในช่วงเวลาประมาณ 35 ปีมาแล้ว ประเทศไทยมีวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์กันอย่างไร และความเข้าใจในช่วงเวลานั้น แตกต่างกับความเข้าใจในปัจจุบัีนอย่างไร ทั้งนี้ได้ใช้คำอธิบายเดิมเมื่อ 35 ปีก่อนโดยไม่ได้เพิ่มเติมแต่อย่างใด ดังนี้

คำนำ (เล่ม 2)
การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์

1. การจัดทำหนังสือชุดเรื่อง การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ทั้ง 4 เล่ม ครั้งนี้ ผมใคร่ขอเรียนวัตถุประสงค์หลัก ซึ่งเป็นสาระสำคัญของการจัดทำหนังสือชุดนี้คือ

1.1 เพื่อให้การศึกษา ค้นคว้า วิจัย งานด้านคอมพิวเตอร์ โดยไม่มีวัตถุประสงค์ในทางการค้า ทั้งในปัจจุบันและในอนาคตแก่ผู้ตรวจสอบในส่วนกำกับสถาบันการเงิน ที่ทำหน้าที่ตรวจสอบ ดูแล ความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ และจะใช้ภายในวงการที่ธนาคารแห่งประเทศไทยมีส่วนเกี่ยวข้องเป็นสำคัญ โดยพิจารณาเป็นส่วนหนึ่งของการให้การศึกษา อบรม ทำความเข้าใจกับหน่วยงานที่ธนาคารแห่งประเทศไทยเป็นผู้กำกับและดูแล

1.2 หนังสือทั้ง 4 เล่มในชุดนี้ เป็นการแนะนำงานที่ได้ศึกษารวบรวมเรียบเรียง รวมทั้งดัดแปลงจากเอกสารต่างประเทศ และเขียนเพิ่มเติมจากประสบการณ์ภาคสนามรวม ๆ กันไป จากเอกสารเดิมที่เคยใช้ในการบรรยายให้ความรู้ต่อสถาบันการเงินและมหาวิทยาลัยต่าง ๆ ที่ผ่านมา ทั้งนี้ได้อ้างถึงที่มาของหนังสือที่ได้ค้นคว้าตามท้ายหนังสือแล้ว เพื่อให้ผู้ที่ใช้งานในวงจำกัดเหล่านี้ ได้ทราบถึงที่มาในการใช้หนังสือชุดนี้เพื่อการศึกษา โดยมีข้อผิดตกยกเว้น ดังกล่าว

1.3 เพื่อให้การทำงานของส่วนกำกับฯ ได้ผลยิ่งขึ้น จึงได้มีการพูดคุยและให้คำแนะนำการปฏิบัติงาน รวมทั้งการตรวจสอบในที่ประชุมธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ ในภาคอีสานเช่นเดียวกับที่ผมได้เป็นผู้บรรยายให้แก่สถาบันเหล่านี้ในกรุงเทพฯ และที่อื่น ๆ หนังสือชุดดังกล่าว จึงได้ส่งให้สถาบันการเงินที่ธนาคารแห่งประเทศไทย ภาคตะวันออกเฉียงเหนือดูแล โดยมีวัตถุประสงค์เช่นเดียวกันคือให้การศึกษา ค้นคว้า วิจัย โดยถือเสมือนหนึ่งเป็นการป้องกันปัญหา และให้คำชี้นำในการให้การศึกษาเป็นการล่วงหน้าต่อสถาบันการเงินดังกล่าว ตามหน้าที่เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงาน โดยมีเอกสารไว้ใช้ศึกษาดูเมื่อต้องการ ซึ่งจะมีผลต่อความมั่นคงของสถาบันการเงิน ซึ่งเป็นหน้าที่หลักอย่างหนึ่งของธนาคารแห่งประเทศไทยเป็นสำคัญ

1.4 หนังสือในชุดนี้ทั้งหมด จัดทำขึ้นเพื่อใช้ประโยชน์ในการปฏิบัติงานและการดำเนินการของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ โดยมิได้เผยแพร่หรือโฆษณาต่อสาธารณชนเป็นการทั่วไป และมิได้มีการจำหน่ายใด ๆ ทั้งสิ้น และใคร่ขอย้ำว่าเป็นการจัดทำเพื่อประโยชน์ในการศึกษา งานค้นคว้า การปฏิบัติงานและการตรวจสอบด้านคอมพิวเตอร์ทุกรูปแบบ ตามภาระและหน้าที่ส่วนหนึ่งในความรับผิดชอบที่ผมปฏิบัติหน้าที่อยู่ ทั้งในอดีตและปัจจุบัน

ดังนั้น การนำข้อความหรือบทความในหนังสือชุดนี้ เพื่อจะทำซ้ำหรือดัดแปลงเพื่อประโยชน์ทางการค้า จึงเป็นสิ่งที่ไม่พึงปฏิบัติเพราะผิดวัตถุประสงค์ที่สำคัญของการจัดทำหนังสือชุดนี้เป็นอย่างยิ่ง

1.5 การทำความเข้าใจกับท่านผู้อ่าน และผู้ที่อาจเกี่ยวข้องในหัวข้อนี้ ก็เพื่อสร้างความเข้าใจในการจัดทำหนังสือชุดนี้เป็นสำคัญ ทั้งนี้เป็นการป้องกันปัญหาที่อาจจะเกิดจากความเข้าใจที่ไม่ตรงกันในการปฏิบัติหน้าที่ของแต่ละหน่วยงานได้

2. หนังสือเรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ เป็นเล่มที่จะเน้นทำความเข้าใจ และให้รายละเอียดกับผู้ที่สนใจในการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก ทั้งนี้ มีแนวทางทำความเข้าใจง่าย ๆ โดยเริ่มต้นศึกษาจากวงจรทางเทคโนโลยีกับการควบคุมและตรวจสอบ และการดำเนินงานด้านคอมพิวเตอร์ ซึ่งมีรายละเอียดปรากฏอยู่ในเล่ม 1 และได้สรุปเพิ่มเติมในเล่ม 2 โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ แผนภาพ และข้อควรทราบสำหรับผู้ตรวจสอบโดยทั่วไปก่อนการเข้าตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

3. การตรวจสอบภาคสนาม (Field Work) สำหรับผู้ตรวจสอบที่ยังไม่เข้าใจระบบงานที่แท้จริงนั้น จะเริ่มจากการศึกษาและทำความเข้าใจระบบงานขององค์กรโดยภาพรวมก่อน นั่นคือการทำความเข้าใจทั้งในระบบงานในส่วนที่ใช้คอมพิวเตอร์ และในส่วนที่ไม่ใช้คอมพิวเตอร์ แล้วจึงทำการประเมินระบบการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนหาทางใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ

4. ตั้งแต่บทที่ 16 ถึงบทที่ 26 เหมาะสำหรับการตรวจสอบภายใน (Internal Audit) และผู้ตรวจสอบภายนอกที่ไม่ได้เป็น Examiner เพราะได้เน้นการตรวจสอบ “งาน” หรือ Application มากกว่า “องค์กร” อย่างไรก็ดี ผู้ตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ (EDP Examiner) จากธนาคารแห่งประเทศไทยก็สามารถนำไปประยุกต์ใช้ร่วมกับวิธีการและแนวทางการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ได้

5. มีองค์กรที่เกี่ยวข้องกับการตรวจสอบ และมีหนังสือที่เกี่ยวข้องกับการตรวจสอบด้านคอมพิวเตอร์มากมาย ตลอดจนนิตยสารและวารสารการตรวจสอบด้านคอมพิวเตอร์ ที่ออกกันมาเป็นรายเดือนหรือรายไตรมาสติดต่อกันมาเป็นเวลาหลายปีในหลายประเทศทั่วโลก เมื่อกล่าวถึงองค์กรอย่างเช่น Information Systems Audit and Control Association ที่มีสมาชิกมากกว่า 93 ประเทศทั่วโลก ทำหน้าที่ศึกษา ค้นคว้า ให้การอบรม จัดสัมมนา จัดการประชุมงานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit) กับสมาชิกและออกวารสาร IS Audit and Control เป็นประจำ มีสำนักงานใหญ่อยู่ที่ประเทศสหรัฐอเมริกา ประเทศไทยเราก็เป็นสมาชิกอยู่ในสมาคมผู้ตรวจสอบงานคอมพิวเตอร์นี้ด้วย นอกจากนั้น ก็มีสถาบันต่าง ๆ หลายแห่งที่มีสมาชิกเป็นจำนวนมาก ทำหน้าที่คล้าย ๆ กันนี้ แต่เน้นหนักทางด้านการค้นคว้าการตรวจสอบด้านคอมพิวเตอร์และผลิตหนังสือต่าง ๆ ออกมามากมาย

ดังนั้น หากองค์กรของท่านเป็นองค์กรหนึ่งที่มีหน้าที่ในการตรวจสอบ ไม่ว่าจะเป็นการตรวจสอบภายในองค์กรของท่านเอง หรือทำหน้าที่ตรวจสอบองค์กรอื่นที่ใช้คอมพิวเตอร์ในการ Process งานและการบริหารงานโดยที่ผู้ตรวจสอบที่ท่านดูแล ยังมิได้ทำการตรวจสอบในลักษณะ IS Audit หรือ Computer Audit เป็นส่วนหนึ่งของกระบวนการตรวจสอบตามปกติแล้วละก็ ควรจะพิจารณาได้ว่า น่าจะต้องเพิ่มการดำเนินการตรวจสอบในลักษณะ IS Audit ได้แล้ว ทั้งนี้ขอท่านได้โปรดทบทวนและศึกษาจากมาตรฐานการสอบบัญชี ฉบับที่ 28 ฉบับที่ 29 และ ฉบับที่ 36 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย เรื่องการสอบบัญชีในกรณีธุรกิจที่ใช้คอมพิวเตอร์ (เล่ม 1) ก็จะเป็นประโยชน์ในการพิจารณาของท่านเป็นอย่างยิ่ง

6. จากข้อ 5 ข้างต้น ผมเองได้ยินเสียงวิจารณ์หรือเสียงบ่นจากการปฏิบัติงานการตรวจสอบของผู้ปฏิบัติงานภาคสนาม หรือผู้ลงมือตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์จริง ๆ จากผู้ค้นเคยมากรายว่า การตรวจสอบระบบการควบคุมภายในและการบัญชี ตลอดจนการศึกษาทำความเข้าใจระบบงานในองค์กรที่ได้รับการตรวจสอบที่ใช้คอมพิวเตอร์ เพื่อวางแผนและกำหนดเทคนิคหรือวิธีการตรวจสอบ หรือเพื่อหาหลักฐานและความพอเพียงในการตรวจสอบตามเป้าหมายการตรวจสอบ โดยใช้วิธีการตรวจสอบตามปกติ หรือ Manual นั้น ได้ถูกจำกัดโดยกระบวนการ Process งานด้านคอมพิวเตอร์ เพราะขั้นตอนการควบคุมภายในและการบัญชีส่วนใหญ่ได้ใช้โปรแกรมคอมพิวเตอร์เป็นผู้ควบคุมและดำเนินงานแล้ว ดังนั้น เมื่อไม่มีการตรวจสอบด้านคอมพิวเตอร์หรือ IT Audit เป็นส่วนหนึ่งของ Financial Audit โดยเฉพาะอย่างยิ่งการตรวจสอบการปฏิบัติตามระเบียบกฎเกณฑ์การควบคุมภายในของหน่วยงาน (Compliance Audit) แล้ว ก็จะทำให้การปฏิบัติงานตรวจสอบนั้นต้องข้ามขั้นตอนหรือละเว้นการตรวจสอบที่จำเป็นไปไม่น้อย ทำให้มีปัญหาถึงประสิทธิภาพและประสิทธิผลการปฏิบัติงานการตรวจสอบอันเกิดจากการละเลย ไม่ตรวจสอบงานด้านคอมพิวเตอร์ รวมทั้งไม่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบตามมาตรฐานที่ควรจะเป็นด้วย

ท่านเคยได้ยินคำวิจารณ์หรือเสียงบ่นทำนองนี้บ้างหรือไม่ และท่านควรจะทำการแก้ไขปัญหาหรืออุปสรรคตามที่กล่าวนี้อย่างไร หากท่านไม่ได้ยินเรื่องทำนองข้างต้น ท่านเคยคิดและพิจารณาบ้างหรือไม่ว่าเป็นไปได้หรือที่การตรวจสอบยังคงใช้แนวทางการตรวจสอบเดิม ๆ สมัยที่องค์กรยังใช้ระบบ Manual เมื่อองค์กรนั้นนำคอมพิวเตอร์เข้ามาใช้แล้ว

เนื่องจาก คำนำ การดำเนินงานและการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ ที่ผมเขียนมานานคือตั้งแต่ปี 2539 มีความยาว 36 ข้อ ดังนั้น ผมจะขอทยอยลงให้ท่านผู้อ่านได้ทราบในตอนต่อ ๆ ไปจนครบ และเมื่อถึงเวลานั้น ท่านจะได้เข้าใจกรอบการบริหาร การดำเนินงาน และการตรวจสอบ ที่ได้ใช้ Risk-Based Auditในยุคแรก ๆนั้นแล้ว