IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 13)

ตุลาคม 8, 2014

จากที่ผมได้เล่าถึงการได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) และ FDIC (Federal Deposit Insurance Corporation) เมื่อปี 2521 นั้น ก็จะเห็นว่ามีความเหมือนหรือแตกต่างกันอย่างไร ในวิธีและกระบวนการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา จากของทั้ง 2 สถาบัน ซึ่งจะเห็นได้ว่า OCC ใช้แนวการตรวจสอบในแบบ Around The Computer เพียงอย่างเดียว ไม่เหมือนกับ FDIC ที่ใช้วิธีการตรวจสอบในแบบ Through The Computer ควบคู่ไปกับวิธีการตรวจสอบแบบ Around The Computer ด้วย สำหรับครั้งนี้ ผมจะเล่าต่อถึงการตรวจสอบของ OCC ว่ามีขอบเขตของการตรวจสอบ ความถี่ แผนการตรวจสอบ รายงานการตรวจสอบ รวมถึงวิธีการตรวจทานรายงานและการติดตามผล อย่างไรบ้าง

ขอบเขตของการตรวจสอบ (Scope of Examination)

ผู้ตรวจสอบควรมีการศึกษาข้อมูลขั้นต้น (Preliminary Review) ถึงหน้าที่ต่าง ๆ ของงานด้าน EDP ทั้งหมดก่อน แล้วจึงใช้วิธีตรวจสอบโดยละเอียด (Examine in Depth) ถึงงานแต่ละด้านเพื่อดูถึงข้อบกพร่องของการควบคุมภายใน ถ้าปรากฏว่า มีข้อบกพร่องที่เป็นสิ่งสำคัญก็จำต้องพิจารณาขยายขอบเขตของการตรวจสอบด้านการให้กู้ยืมและให้เครดิตมากยิ่งขึ้น (Concurrent Commercial Examination) เนื่องจากว่ามีความสัมพันธ์โดยตรงกับระบบงานที่ใช้อยู่ (Automated Applications) ถ้าวิธีการควบคุมภายในของงาน EDP ช่วงดังกล่าวบกพร่อง ก็ไม่อาจใช้ข้อมูลที่ได้จากระบบนั้น เพื่อการตรวจสอบงานด้านเกี่ยวกับธุรกิจ (Commercial) ของธนาคารนั้นได้

ความถี่ของการตรวจสอบ (Frequency of Examination)

การตรวจสอบศูนย์ข้อมูลต่าง ๆ นั้นถือเกณฑ์ปีละครั้ง (Annual Basis) และอย่างช้าที่สุดต้องไม่เกินกว่า 18 เดือนต่อครั้ง ในกรณีที่พบว่าการควบคุมภายในบกพร่องมาก ก็จำเป็นต้องมีการตรวจสอบให้บ่อยครั้งยิ่งขึ้น บางครั้งก็จะต้องมีการไปตรวจสอบ เพื่อติดตามความก้าวหน้าในการแก้ไขข้อผิดพลาดของธนาคาร ตามที่ระบุไว้ในรายงานการตรวจสอบ

ประเด็นคำถามที่ช่วยในการตรวจสอบ

แผนการตรวจสอบ (Work Program)

ทุกครั้งที่ตรวจสอบจะต้องมีการจัดทำแผนการตรวจสอบสำหรับศูนย์ข้อมูลแต่ละแห่ง เรียงลำดับขั้นตอนให้เรียบร้อยแล้วส่งให้ Regional EDP Associate เพื่อพิจารณา หลังจากนั้น Regional Office จะเป็นผู้เก็บรักษาและแจกจ่ายรายงานนั้นตามควรแก่กรณี และต้องจัดให้มีวิธีป้องกันรักษา Work Program ดังกล่าวอย่างรัดกุมทุกขั้นตอน

รายงานการตรวจสอบ (Report of Examination)

รายงานการตรวจสอบด้าน EDP จะต้องทำให้เสร็จโดยสมบูรณ์ในระหว่างการตรวจสอบขั้นตอนของงานใดที่มิอาจตรวจสอบได้ (Nonapplicable Sections) จะต้องเปิดเผยไว้ให้ชัดเจนในรายงาน ข้อบกพร่องต่าง ๆ ที่รายงานไว้จะต้องปรึกษาหารือกับเจ้าหน้าที่ผู้รับผิดชอบ และผู้บริหารของศูนย์ข้อมูลนั้น การสรุปสนทนาครั้งสุดท้าย (A Final Discussion) จะต้องกระทำกับผู้บริหารชั้นสูงสุดของธนาคารและของแผนก EDP แม้จะไม่มีข้อบกพร่องที่จะยกขึ้นเป็นข้อสังเกตหรือคำวิจารณ์ (Adverse Criticiam) ก็ตาม

ความรับผิดชอบในการควบคุมดูแลรายงานการตรวจสอบทั้งหมด เป็นหน้าที่ของ Regional Office ต้องรายงาน และเอกสารประกอบทั้งหมดจะต้องไม่อยู่ในความครอบครองของเจ้าหน้าที่ผู้ตรวจ นานเกินกว่าระยะเวลาอันสมควร หลังจากที่ได้มีการสรุปผลการตรวจสอบเสร็จสิ้นเรียบร้อยแล้ว

หลังจากเสร็จสิ้นการตรวจสอบแล้ว จะต้องจัดการกับรายงานการตรวจสอบ ดังนี้

  • รายงานการตรวจสอบฉบับร่าง (Examiner’s Pencil Copy) จะต้องส่งไปยัง Regional Office เพื่อตรวจทาน (Review) จัดพิมพ์ (Processed) และจัดส่ง (Distribution) ต่อไป
  • จะจัดส่งรายงานให้แก่ Washington Office, ศูนย์ข้อมูลที่ได้รับการตรวจสอบ (The Data Center Examined) และสาขา (Subregional Office) ของธนาคารที่ใช้บริการของศูนย์ข้อมูลดังกล่าว และสำเนารายงานฉบับที่ส่งให้สาขาของธนาคารนี้ จะต้องเก็บไว้รวมกับกระดาษทำงานจากการตรวจสอบด้านอื่น ๆ (Commercial Examination Work Papers) เพื่อใช้อ่านเป็นการเตรียมการตรวจสอบครั้งต่อไป รายงานอีกฉบับหนึ่งจะต้องส่งให้กับ Subregional Office ของผู้ตรวจการ EDP ที่มีหน้าที่พิจารณาติดตามและแนะนำในการตรวจครั้งต่อไป
  • ภายใต้ดุลยพินิจของ Regional Administrator อาจมีการส่งสำเนารายงานการตรวจสอบให้แก่ National Bank ทุกธนาคารที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ตรวจสอบก็ได้ หรือ Regional Administrator อาจใช้วิธีแจ้งไปยังธนาคารสมาชิกที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ได้รับการตรวจสอบดังกล่าวว่า ได้ตรวจสอบศูนย์คอมพิวเตอร์นั้นเสร็จสิ้นแล้ว หากธนาคารใดประสงค์จะได้รายงานการตรวจสอบดังกล่าว เพื่อไปศึกษารายละเอียดก็ให้เขียนจดหมายไปขอได้จาก Regional Office
  • สำเนารายงานการตรวจสอบบางฉบับ อาจจะจัดส่งให้สถาบันอื่นที่มีหน้าที่ควบคุมธนาคารพาณิชย์ (Other Regulatory Agencies) รวมทั้ง State Examining Authorities ด้วย ตามที่ขอมาโดยถือเป็นการแลกเปลี่ยนซึ่งกันและกัน (On a Reciprocal Basis)
  • ถ้าปรากฎว่าศูนย์ข้อมูลใดให้บริการแก่ธนาคารหลายแห่งที่ตั้งอยู่ต่างท้องที่กัน (National Bank Region) ก็จำเป็นต้องส่งรายงานการตรวจสอบให้กับ Regional Office ที่เกี่ยวข้องเป็นผู้แจกจ่ายให้แก่ Subregional Office ที่เห็นว่าเหมาะสม

วิธีการตรวจสอบระบบงาน

วิธีตรวจทานรายงานและการติดตามผล

เมื่อทำรายงานการตรวจสอบเสร็จแล้ว แต่ก่อนที่จะจัดส่งรายงานฉบับสุดท้าย (Final Report) ไป ควรจะได้มีการตรวจสอบความถูกต้องเกี่ยวกับตัวเลข สภาพการทำงานของศูนย์ข้อมูลเนื้อหาของรายงาน การตรวจสอบ ตลอดจนวิธีปฏิบัติในการติดตามผล การตรวจทานรายงานนี้จะต้องกระทำโดย National EDP Associate ส่วน Washington Office จะเป็นผู้ตรวจทานเกี่ยวกับความต่อเนื่องของการตรวจสอบ (Continuity) เนื้อหาและความเพียงพอของการติดตามผล

รายงานหน้าการวิเคราะห์จะทำโดยผู้ตรวจสอบด้าน EDP และส่งให้แก่ Regional Office พร้อมกับร่างรายงานการตรวจสอบ ซึ่ง Regional Office จะเป็นผู้ตรวจสทานรายงานการตรวจสอบดังกล่าว พร้อมทั้งให้คะแนนเพื่อจัดอันดับศูนย์ข้อมูลดังกล่าวนั้น โดยมีสำเนาการให้ และจัดอันดับจัดส่งไปพร้อมกับรายงานการตรวจสอบ ได้แก่ Washington Office และผู้ตรวจการด้วย

การเขียนคำวิจารณ์รายงานการตรวจสอบจะเป็นหน้าที่ของ EDP Associate และมีสำเนาถึง Washington Office

คณะกรรมการสนับสนุนด้าน EDP ของสำนักงานวอชิงตัน จะเป็นผู้กำหนดมาตรฐานและนโยบายในการตรวจสอบ นอกจากนี้ คณะกรรมการดังกล่าวยังพร้อมที่จะให้คำปรึกษา ทั้งทางเทคนิคและวิธีการในกรณีที่มีปัญหายุ่งยากหรือมีเหตุการณ์ผิดปกติ

วิธีการตรวจสอบระบบงานอีกรูปแบบหนึ่ง

ผมได้เล่าประสบการณ์ในการไปดูงานการตรวจสอบด้าน EDP Audit ในช่วงเวลา ปี 2521 ซึ่งเวลาก็ผ่านมาเนิ่นนานถึง 36 ปีแล้วนั้น ก็เพื่อให้ท่านผู้อ่านได้ทราบความเป็นมาของวิวัฒนาการการตรวจสอบทางด้าน IT Audit ซึ่งในยุคก่อนเรียกว่า EDP Audit ว่ามีความแตกต่างอย่างไรกับการตรวจสอบในยุคปัจจุบัน ซึ่งเทคโนโลยีและมาตรฐานการบริหารงานทางด้านเทคโนโลยีสารสนเทศ ซึ่งมีความสัมพันธ์กับการบริหารงานทางด้านธุรกิจอย่างแยกกันไม่ได้ ตามแนวการบริหารและการจัดการที่ดี และยอมรับกันทั่วโลกขนาดนี้ก็คือ การบริหารในแนวของ GEIT – Governance Enterprise of IT หรือ COBIT 5 ซึ่งเป็น Integrated Single Framework ที่ในมุมมองของการบริหาร IT ทุกมุมมองจะสนับสนุนมุมมองทางด้าน Business Goals ในทุกมุมมอง และกลับกัน… นี่คือ ความแตกต่างกันอย่างมากในการบริหารยุคเดิม ซึ่งมักจะบริหารและจัดการตรวจสอบในแบบ Silo-Based  หากท่านผู้อ่านติดตามในตอนต่อ ๆ ไป ก็จะได้พบกับวิวัฒนาการของการตรวจสอบทางด้าน IT ยุคใหม่ ซึ่งเป็น IT Audit ที่เชื่อมโยงกระบวนการทางด้าน IT ให้เข้ากับกระบวนการทางด้าน Enterprise Goals หรือ Business Goals ผสมผสานกับการพิจารณาที่เชื่อมโยงไปยัง Process Goals และต่อยอดลงไปยัง Enabler Goals ซึ่งเป็นปัจจัยเอื้อที่นำไปสู่ความสำเร็จในการบริหารทางด้านเทคโนโลยีสารสนเทศ และทางด้านธุรกิจ

ดังนั้น กระบวนการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ จะสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้ในทุกมุมมอง  ได้อย่างมั่นใจ นั่นคือการสร้าง Value Creation ผ่านองค์ประกอบที่สำคัญของหลักการ Governance ที่ประกอบไปด้วย การได้รับผลประโยชน์ (ตามมุมมอง BSc.) ที่สัมพันธ์กับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่ดีอย่างมีดุลยภาพ โดยมีกระบวนการที่คณะกรรมการพึงต้องรับผิดชอบในการประเมินผล สั่งการ และเฝ้าติดตาม ในเรื่องกระบวนการที่เกี่ยวข้องกับ Governance ใน 5 กระบวนการหลัก ๆ ก็คือ

  • มั่นใจในการกำหนดกรอบการดำเนินการกำกับดูแลและการบำรุงรักษา
  • มั่นใจในการส่งมอบผลประโยชน์
  • มั่นใจในความเสี่ยงที่เหมาะสม
  • มั่นใจในการใช้ทรัพยากรให้ได้ประโยชน์สูงสุด
  • มั่นใจในความโปร่งใสต่อผู้มีส่วนได้เสีย

ท่านที่ติดตามต่อไปจนไปถึงขั้นตอนท้าย ๆ ของวิวัฒนาการ IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ซึ่งจะใช้เวลาอีกนานพอสมควร จะได้พบกับกระบวนการบริหาร กระบวนการตรวจสอบ ที่แตกต่างไปอย่างสิ้นเชิง กับอดีตที่ผ่านมาในช่วงเวลาถึง 36 ปี และมากกว่านั้น สำหรับตอนนี้จะเป็นตอนสุดท้ายสำหรับการเล่าเรื่องประสบการณ์การตรวจสอบทางด้าน EDP Audit ในยุคแรก ๆ ของวิวัฒนาการการตรวจสอบทางด้าน IT ของประเทศ ซึ่งจะเกี่ยวข้องกับวิวัฒนาการของการบริหารทางด้านเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี และกระบวนการกำกับ ควบคุม เทคโนโลยีสารสนเทศ ซึ่งจะแยกกันไม่ได้ระหว่าง IT Related Goals กับ Enterprise Goals ซึ่งจะได้กล่าวในอีกหลาย ๆ ตอนต่อไปนะครับ

 

โฆษณา

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 10)

สิงหาคม 17, 2014

ในครั้งก่อน ผมได้เล่าถึงการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสตรวจสอบธนาคารพาณิชย์กับ EDP Examiner โดยออกตรวจสอบร่วมกับสถาบัน FDIC เมื่อครั้งที่ผมได้ไปฝึกอบรมและดูงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งงานการตรวจสอบที่ FDIC ได้แบ่งออกเป็น 2 ประเภท คือ Evaluation และ Examination และผมได้กล่าวถึง การตรวจสอบแบบ Evaluation ไปบ้างแล้วนั้น ในครั้งนี้ ผมจึงจะขอเล่าต่อในส่วนของงานการตรวจสอบแบบ Examination กันต่อ

Examination

ถือเป็นงานลำดับรองลงมาเมื่อเทียบกับงาน Evaluation ด้าน Data Center งานด้านนี้เป็นเพียงสนับสนุนและช่วยเหลือ Financial Examiner ในการตรวจสอบงานด้านอื่น ๆ งานของ EDP Examiner ในส่วนนี้มีดังนี้

  • ขอ Report ต่าง ๆ ที่จำเป็นในการทำ Evaluation ซึ่งเป็นงานที่เกี่ยวข้องกับการประเมินผลด้าน Data Center
  • ขอ Report ที่จำเป็น เพื่อการปฏิบัติงานของ Financial (Regular) Examiner
  • ใช้ Program หรือคำสั่งงานของ FDIC เอง เพื่อดึงข้อมูลที่ต้องการตรวจสอบ ซึ่งบันทึกอยู่ในม้วน Tape หรือ Disk ของธนาคาร เพื่อให้ได้ข้อมูลที่ต้องการตามที่ Financial Examiner ต้องการ หรือ เพื่อทดสอบงานของ EDP Examiner เองบางส่วนก็ได้ งานในขั้นนี้นับว่ามีความสำคัญไม่น้อย เพราะเป็นวิธีการตรวจสอบที่เรียกว่า “Through the Computer” กล่าวคือ มีการใช้ Program ของผู้ตรวจสอบเอง ในการทดสอบข้อมูลของธนาคาร ไม่ว่าจะเป็นการดึงข้อมูลจาก File (Tape หรือ Disk) ของธนาคารในรูปแบบเดิม หรือเปลี่ยนแปลงข้อมูลให้ปรากฎในรูปฟอร์มแบบที่ผู้ตรวจสอบต้องการ รวมทั้งการทำข้อมูลใหม่โดยอาศัยข้อมูลเดิมของธนาคารด้วยก็ได้
  • การปฏิบัติงานการตรวจสอบที่เรียกว่า “Through the Computer” ของ FDIC นี้ เป็นการใช้เทคนิคการตรวจสอบมาก ผู้ตรวจสอบต้องเข้าใจในระบบงานอย่างแท้จริง และลึกซึ้งถึงจะปฏิบัติงานขั้นนี้ได้ และในทางปฏิบัติผู้ตรวจสอบก็พบกับปัญหาอยู่ไม่น้อย ซึ่งจะต้องทำการแก้ไขโปรแกรมในการตรวจสอบเสมอ ดังนั้นทาง Comptroller of the Currency จึงไม่ใช้วิธีการตรวจสอบชนิดนี้ทั้ง ๆ ที่ทาง FDIC เสนอให้ยืม Program ในการตรวจสอบไปใช้ก็ตาม
  • การตรวจสอบแบบ Around-Through The Computer

เหตุผลที่ FDIC ใช้แนวการตรวจสอบแบบ Through the Computer

1. ไม่ต้องอาศัยข้อมูลของธนาคารแต่อย่างเดียว เพราะ FDIC สามารถสร้างข้อมูลใหม่หรือเปลี่ยนรูปแบบของข้อมูลเดิมโดยอาศัย Program ปฏิบัติการในด้านนี้ ทำให้เป็นอิสระที่จะใช้ข้อมูลเท่าที่จำเป็นในการตรวจสอบ

2. ช่วยประหยัดเวลาในการปฏิบัติงานของ Financial Examiner ลงได้มาก และทำให้การตรวจสอบมีประสิทธิภาพมากขึ้น

3. เป็นการยกระดับผู้ตรวจสอบด้านคอมพิวเตอร์ และทำให้ผู้ตรวจสอบแน่ใจความรู้ด้านนี้ของตนมากยิ่งขึ้น

อย่างไรก็ดี ข้อมูลที่ได้จากการใช้ Through the Computer ในการตรวจสอบก็เพื่อใช้งานในด้าน Financial Examiner เป็นหลัก

งานที่ตรวจสอบแบบ Through the Computer ของ FDIC

  • Installment Loans
  • Demand Deposits
  • Savings Deposits
  • Certificates of Deposits

งานที่ตรวจสอบในแบบ Through the Computer เริ่มในปี 1975 จากงาน Installment Loans เป็นอันดับแรก ซึ่งปัจจุบัน (ณ ช่วงเวลาในปี 2521 นั้น) FDIC กำลังพัฒนา Program ที่จะตรวจสอบงานประเภทอื่น ๆ ให้มากขึ้น

ข้อสังเกตที่เกี่ยวกับการใช้ Software Package ในการตรวจสอบของ FDIC และผู้สอบบัญชี

1. FDIC ได้พัฒนา Software Package ของตนเอง เพื่อการตรวจสอบในลักษณะ Through the Computer โดยเฉพาะ ทั้งนี้โดยมี Division of Management System and Financial Statistics ประจำ FDIC, Washington D.C. เป็นผู้มีหน้าที่พัฒนาเรื่องนี้โดยตรง และจะนำ Software Package ที่พัฒนาแล้วให้ผู้ตรวจสอบทดลองใช้งาน และแก้ไขไปจนกว่าจะนำไปใช้ปฏิบัติงานได้จริง

2. EDP Examiner เป็นผู้ใช้ Software Package แต่ไม่ได้เป็นผู้เขียน Program เอง EDP Examiner ที่ช่วย Financial Examiner โดยการใช้ Software Package ดึงข้อมูลจาก Tape หรือ Disk เพื่อการตรวจสอบงานของ Financial Examiner และของ EDP Examiner เองนี้ จะต้องมีความรู้ด้านการเขียน Program ดีพอ เพราะในทางปฏิบัติการใช้ Software Package ในการตรวจสอบมักมีปัญหาอยู่เสมอที่ EDP Examiner จะต้องแก้ไข Program ด้วยตนเอง และถ้าไม่อาจแก้ไขได้ก็ต้องโทรศัพท์หารือโดยตรงไปยัง FDIC, Washington D.C. และบางกรณีผู้เชี่ยวชาญจาก Washington D.C. จำเป็นต้องเดินทางไปแก้ไขปัญหาด้วย

3. ผู้ตรวจสอบบัญชีภายนอกและผู้สอบบัญชีภายในของธนาคารพาณิชย์ ที่ใช้ Software Pakage ในการตรวจสอบ โดยปกติจะไม่พัฒนาหรือเขียน Program ในการตรวจสอบข้อมูลโดยตรง แต่จะใช้ Software Package จากบริษัทผู้ผลิตหรือบริการด้าน Software โดยเฉพาะ เช่น Cullinane Corporation ซึ่งบริษัทประเภทนี้จะมีความเชี่ยวชาญโดยเฉพาะเกี่ยวกับการเขียน Program ในการตรวจสอบงานการผลิตข้อมูลที่ดำเนินการโดยเครื่องคอมพิวเตอร์ของ IBM ซึ่งไม่เหมาะสม และอาจใช้งานไม่ได้ผลสำหรับคอมพิวเตอร์ชนิดอื่น ๆ

อย่างไรก็ดี งานตรวจสอบบางประเภทผู้สอบบัญชีอาจเขียน Program เพื่อการตรวจสอบเองทั้งหมดก็ได้

4. ในการใช้ Audit Software Package เพื่อปฏิบัติงาน ผู้ตรวจสอบจะต้องเขียน Parameter คือเขียนคำสั่งงานในแบบฟอร์ม ซึ่งจะนำไปเจาะรูในบัตรเจาะรู (Punch Card) ขนาดมาตรฐาน บัตรเจาะรูดังกล่าวเป็นเสมือนหนึ่งเป็นบัตรนำในการสั่งงานให้เครื่อง Compile Program กล่าวคือ ให้เครื่องแปลงภาษาคอมพิวเตอร์ที่ Programmer เขียนขึ้นให้เป็นภาษาของเครื่องจักร (Machine Readable Form) ซึ่งในที่สุดแล้ว คำสั่งงานการตรวจสอบในเรื่องที่เกี่ยวข้องจะถูกบันทึกลงในส่วนที่เป็นสมอง หรือ Memory ของเครื่องคอมพิวเตอร์ เพื่อการปฏิบัติงานในขั้นต่อไปได้

5. เมื่อเครื่องคอมพิวเตอร์ Compile Program ของงานที่จะตรวจสอบแล้ว จะมีการทดสอบ Program ที่พร้อมจะปฏิบัติงานได้นั้นกับ Program File ของผู้ตรวจสอบ ซึ่งส่วนมากมีลักษณะเป็น Tape ของ Application ที่จะตรวจสอบ เช่น Installment Loans ซึ่งผู้ตรวจสอบต้องการจะได้ข้อมูลในรูปแบบของผู้ตรวจสอบเองว่า “เป็นไปได้” หรือ “ปฏิบัติได้” หรือ “Agree” กันหรือไม่ งานขั้นนี้ปกติจะต้องให้พนักงานของธนาคารปฏิบัติให้ โดยผู้ตรวจสอบจะมอบ Tape ของผู้ตรวจซึ่งเตรียมมาแล้ว ถ้าคำสั่งงาน (Program) ขัดแย้งกับรูปแบบของงานที่ผู้ตรวจต้องการ เครื่องคอมพิวเตอร์จะพิมพ์ Listing Program ที่จะต้องแก้ไขพร้อมกับข้อความโดยย่อแต่ละขั้นให้ทราบ ซึ่งผู้ตรวจสอบต้องแก้ไขให้ถูกต้องก่อนการ “Run” งานจริง ๆ กับข้อมูลของธนาคารซึ่งอยู่ใน Tape ต่อไป

Frequently Avoided Questions about IT auditing

credit image : http://www.isect.com

6.การแก้ไข Program ที่ผิดพลาด จะต้องเจาะบัตรเจาะรูใหม่ และ Compile Program ใหม่ทั้งหมด แต่สำหรับเครื่องคอมพิวเตอร์บางชนิด เช่น เครื่อง Burrough B 3700 นี้ เพียงแต่ Compile บัตรเจาะรูที่แก้ไขใหม่เข้าไปแทนบัตรเจาะรูเดิมก็ใช้ได้ ทำให้ประหยัดเวลาและสะดวกในการปฏิบัติงานมากขึ้น

7. ผู้ตรวจสอบจะบอกหัวหน้า Operator ของ Data Center เกี่ยวกับงานที่จะต้องตรวจสอบดังนี้

  • ชื่อของงานที่จะตรวจสอบ เช่น Installment Loans
  • วันที่ใน File หรือ Master File ที่จะใช้ในการตรวจสอบ

8. เมื่อ EDP Examiner ได้ข้อมูลในการตรวจสอบ ซึ่งปกติจะพิมพ์มาจาก Printer ก็จะนำมาดู Total Balance เป็นหลัก และตรวจสอบเปรียบเทียบกับยอดรวมของ Master File อื่น ๆ ที่เกี่ยวข้อง ส่วนรายละเอียดในการตรวจสอบกับเอกสารของธนาคารและการดูข้อมูลอื่น ๆ เป็นหน้าที่ของ Regular Examiner หรือ Financial Examiner จะดำเนินการต่อไป

9. Audit Software Package จากบริษัทผู้ผลิตคอมพิวเตอร์ หรือจากบริษัทผู้ดำเนินการบริการเขียน Audit Software Package โดยเฉพาะนี้ มีราคาแตกต่างกันขึ้นอยู่กับปัจจัยต่อไปนี้

  • ขอบเขตการใช้งาน
  • ลักษณะงานที่ใช้
  • ระบบงานของเครื่องคอมพิวเตอร์ซึ่งแตกต่างกันในแต่ละผลิตภํณฑ์
  • ต้นทุนหรือการตั้งราคาจำหน่ายแต่ละบริษัท
  • เงื่อนไขการให้บริการ

โดยทั่วไป Audit Software Package ที่มีขนาดและขอบเขตการใช้งานขนาดกลางมีราคาระหว่าง US$ 20,000 ถึง US$ 40,000 (ราคาโดยประมาณ ณ ช่วงเวลาในปี 2521) ทั้งนี้ขึ้นกับปัจจัยดังกล่าวข้างต้น บางบริษัทนอกจากขาย Software Package แล้ว ยังคิดค่าบริการในลักษณะ Annual Fee อีกต่างหากด้วย

สำหรับประสบการณ์จากการได้ร่วมตรวจสอบ EDP Examiner กับ FDIC นั้น ผมคงจะเล่าสู่กันฟังได้เพียงเท่านี้ เพราะมีรายละเอียดปลีกย่อยมากมายที่ผมเองคงไม่สามารถเล่าสู่กันฟังได้ทั้งหมด และในครั้งหน้าผมจะมาเล่าถึงประสบการณ์ที่ได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 บ้าง เพื่อให้ท่านผู้อ่านหรือผู้ตรวจสอบ อาจได้รู้ถึงความเหมือนหรือแตกต่างกันของงานการตรวจสอบคอมพิวเตอร์จากทั้ง 2 สถาบัน อีกทั้งยังต้องการให้เห็นถึงความเป็นมาของงานการตรวจสอบในยุคที่ผ่านมา


IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 9)

มิถุนายน 23, 2014

จากการที่ผมได้ฝึกอบรม ในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) และ Course in Examining a Computerized Bank II (CECB-II) จากสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา ดังที่ได้เล่าสู่กันฟังในครั้งก่อนแล้วนั้น

ผมยังมีโอกาสได้ดูงานและฝึกงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งทั้ง 2 แห่งนี้เป็นการฝึกงานภาคปฏิบัติ โดยผมได้ร่วมออกตรวจสอบธนาคารพาณิชย์กับ EDP Examiner ที่ตรวจสอบด้านคอมพิวเตอร์โดยเฉพาะ หลังจากที่ผมได้เข้ารับการอบรมที่ FDIC ไปแล้ว และจากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันนี้ ทำให้ผมได้รับความรู้และคิดว่าเป็นประโยชน์อย่างมากที่จะนำมาเล่าสู่กันฟัง เพื่อให้ผู้ตรวจสอบ รวมถึงผู้ที่สนใจงานการตรวจสอบคอมพิวเตอร์ ได้รับรู้ถึงวิวัฒนาการของการตรวจสอบ จากอดีตจนถึงปัจจุบัน

จากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันดังกล่าว FDIC และ OCC ได้แยกงานตรวจสอบคอมพิวเตอร์ต่างหากจากงานตรวจสอบธรรมดา โดยเรียกผู้ตรวจสอบคอมพิวเตอร์ว่า EDP Examiner และเรียกผู้ตรวจสอบงานด้านอื่น ๆ ว่า Regular Examiner หรือ Financial Examiner และยังแยก Financial Examiner ออกไปอีกตามลักษณะของงานดังนี้

– Trust Examiner
– Compliance Examiner
– Commercial Examiner

ข้อสังเกตระหว่าง EDP Examination และ Regular Examination สรุปได้ดังนี้

ภาพนิ่ง1

ภาพนิ่ง2

ตามข้อสังเกตข้างต้น อาจกล่าวได้ว่า EDP Examination มีลักษณะขอบเขต และวัตถุประสงค์ในการตรวจสอบแตกต่างไปกว่า Regular Examination มาก โดยในรายละเอียดของการร่วมตรวจสอบคอมพิวเตอร์กับทั้ง 2 สถาบันนี้ จะเป็นประโยชน์ต่อผู้ตรวจสอบและงานด้านการตรวจสอบคอมพิวเตอร์ได้เป็นอย่างดี ซึ่งผมจะขอเล่าถึงประสบการณ์การร่วมตรวจสอบของ FDIC ก่อนนะครับ สำหรับ OCC ผมจะเล่าถึงในโอกาสต่อ ๆ ไป

การตรวจสอบคอมพิวเตอร์ของ FDIC

EDP Examiner จะตรวจสอบเฉพาะด้านคอมพิวเตอร์เท่านั้น งานด้านอื่น ๆ โดยปกติจะไม่ตรวจสอบ โดย FDIC แบ่งงานตรวจสอบคอมพิวเตอร์เป็น 2 ประเภท คือ Evaluation และ Examination

Evaluation

ได้แก่ การประเมินผลด้าน Data Center ซึ่งกล่าวได้ว่าเป็นงานหลัก ซึ่งปกติ FDIC จะมีจดหมายพร้อมกับรายการที่ต้องการทราบไปยังธนาคารที่จะตรวจสอบเป็นการล่วงหน้า เพื่อให้เตรียมข้อมูลบางประเภทไว้ให้ EDP Examiner โดยจะแบ่งการประเมินผลด้าน Data Center เป็นดังนี้

– Internal and External Audit Coverage
– Organization
– Computer Operation
– Service Centers
– Computer Services
– Others

อย่างไรก็ดี ตั้งแต่เดือนมีนาคม 2521 เป็นต้นไป FDIC ได้มีการเปลี่ยนแนวการประเมินด้าน Data Center ใหม่ หลังจากที่ได้มีการประชุมหารือกับ Comptroller of the Currency และ FRB โดย FDIC และ FRB ได้ใช้แนวการประเมินผลด้าน Data Center ของ Comptroller of the Currency เป็นหลัก

ขั้นตอนในการ Evaluation และการออกรายงานการตรวจสอบคอมพิวเตอร์

การ Evaluation มีขั้นตอนในการดำเนินการและการปฏิบัติที่สังเกตได้ดังนี้

1. ขอพบกับผู้จัดการธนาคารที่จะตรวจสอบ

2. ขอพบกับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ และขอดูรายงานผู้สอบบัญชีภายนอก และรายงานผู้สอบบัญชีภายในของธนาคาร ในด้านที่เกี่ยวกับคอมพิวเตอร์ เพื่อนำมาประเมินงานและขอบเขตการตรวจสอบ

3. พับกับหัวหน้าผู้ควบคุมงานด้าน Data Center เพื่อซักถามงานทั่ว ๆ ไป พร้อมกับขอดูรายการที่ได้ขอให้ธนาคารจัดทำให้ว่าสมบูรณ์เพียงใด มีปัญหาอะไร และงานใดที่สัมพันธ์เกี่ยวเนื่องกันบ้าง

4. ดู Work Program เกี่ยวกับการ Evaluation แล้วกรอกรายการตาม Questionnairs ในแต่ละ Section ซึ่ง EDP Examiner จะต้องพิจารณามีอยู่ 4 Section คือ

การตรวจสอบคอมพิวเตอร์

  • ประเมินการตรวจสอบของผู้สอบบัญชีภายในและผู้สอบบัญชีภายนอก
  • ประเมินการจัดการของฝ่ายบริหาร
  • ประเมินระบบงานและคำสั่งงาน
  • ประเมินผลด้านการปฏิบัติงาน

เป้าหมายในการประเมินงานแต่ละเรื่องมีเช่นเดียวกับแนวของ OCC ทุกประการ ทั้งนี้เพราะในปัจจุบัน ทั้ง FDIC และ FRB ก็ใช้แนวการประเมินของ OCC เป็นหลัก

EDP Examiner จะติดตาม Questionnaire ในแต่ละ Section ดังกล่าว ซึ่งใช้เป็นแนวทางการตรวจสอบคอมพิวเตอร์ในขั้นปฏิบัติงาน

5. โดยปกติผู้ตรวจจะไม่อ่าน Questionnaire เพื่อสอบถามพนักงานธนาคารโดยตรง แต่จะถามเพื่อเอาข้อมูลมาตอบใน Questionnaire ของตน

6. การ Evaluation นอกจากจะได้จากการสอบถามแล้ว จากผู้รับผิดชอบในแต่ละหน่วยงานแล้ว ผู้ตรวจยังจะต้อง

  • สังเกตการปฏิบัติของพนักงานว่าเป็นไปตามที่ได้รับชี้แจงหรือไม่ด้วย
  • อ่านเอกสารต่าง ๆ ซึ่งเป็น Documenatation ของธนาคารในแต่ละหน่วยงานว่ามีพร้อมและ up-date หรือไม่ และสมบูรณ์พอที่ะจช่วยแก้ปัญหาด้านต่าง ๆ ของธนาคารหรือไม่ งานขั้นตอนนี้นับว่ามีความสำคัญ และรอบคอบ ผู้ตรวจจะต้องมีความรู้ในงานคอมพิวเตอร์ด้านต่าง ๆ ของธนาคารนั้น และตัดสินใจจาก Documentation ที่มีเป็นจำนวนมากมายในแต่ละหน่วยงาน เช่น ธนาคารขนาดกลางอาจมี Documentation ตั้งแต่หลายร้อยเล่ม จนถึงหลายพันเล่มก็ได้ ดั้งนั้น ถึงแม้ว่าผู้ตรวจจะเลือก Sampling ในการตรวจสอบเป็นปกติก็ตาม ผู้ตรวจสอบคอมพิวเตอร์จะต้องวินิจฉัยว่าควรจะดูเอกสารอะไรบ้าง ประเภทใด และควรจะดูเท่าใดถึงพอเพียง รวมทั้งจะต้องแน่ใจว่า มีการปฏิบัติตาม Documentation นั้นจริงหรือไม่ด้วย ระบบงานที่แตกต่างกัน การใช้เครื่องคอมพิวเตอร์ที่ต่างชนิดกันของธนาคารพาณิชย์ต่าง ๆ ทำให้มีความจำเป็นอย่างยิ่งที่ผู้ตรวจสอบจะต้องศึกษาและติดตามความก้าวหน้าด้านเทคนิคและความรู้ด้านใหม่ ๆ เกี่ยวกับคอมพิวเตอร์ของแต่ละบริษัทอยู่เสมอ

7. การ Evaluation ผู้ตรวจจะพบกับ Technical Term และระบบงานใหม่ ๆ อยู่เสมอ ซึ่งผู้ตรวจสอบจะรู้และถ้าจำเป็นต้องสอบถามถึงความหมายและที่มาของคำนั้น ๆ ว่าเกี่ยวข้องกับงานอะไรบ้าง และถ้าเกี่ยวกับระบบงาน จะต้องทราบว่าระบบงานนั้น ๆ ทำงานอย่างไร และจะมีผลเกี่ยวกับการตรวจสอบและการปฏิบัติงานของธนาคารโดยทั่วไปอย่างไร

8. จาก Work Program ที่ได้ข้อมูลจาก Questionnaire ใน Section ต่าง ๆ ผู้ตรวจสอบจะรวบรวมรายการที่จะ Comments ไว้ใน Work Sheet ต่างหากเพื่อนำไปหารือ EDP Examiner ที่อาวุโสกว่า

9. ข้อ Comments ต่าง ๆ พร้อมกับความเห็นของผู้ตรวจสอบจะนำไปหารือกับหัวหน้าหน่วยงานที่เกี่ยวข้อง เพื่อรับฟังความเห็นและรวบรวมคำชี้แจง ทั้งนี้เพื่อป้องกันปัญหาการโต้แย้งในภายหลัง เมื่อกระทำเป็นรูปรายงานและคำแนะนำเป็นทางการแล้ว

10. ผลของการตรวจสอบด้านคอมพิวเตอร์และคำแนะนำของผู้ตรวจการ จะนำไปสรุปสนทนากับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ หรือผู้จัดการใหญ่ หรือคณะกรรมการธนาคาร ทั้งนี้ขึ้นกับการตัดสินใจของผู้อำนวยการฝ่ายตรวจสอบด้านคอมพิวเตอร์ของแต่ละเขต

อนึ่ง การ Comments ปกติต้องกล่าวถึงคำชี้แจงของผู้ที่เกี่ยวข้องพร้อมคำแนะนำของผู้ตรวจสอบด้วย

11. สรุปสนทนาผลการตรวจสอบไม่มีเป็นลายลักษณ์อักษร

12. รายงานซึ่งเรียกว่า “Electronic Data Processing Control Evaluation” จะทบทวนโดย Review Examiner (EDP) ซึ่งทำหน้าที่ทบทวนความถูกต้องโดยการเช็คสอบความเหมาะสมของรายงานทั้งฉบับ

13. รายงานที่ผ่านการทบทวนจะผ่านความเห็นชอบจาก Director และเมื่อพิมพ์เสร็จแล้วจะถูกจัดส่งดังนี้

  • ส่งไป FDIC, Washington D.C.
  • ส่งไปยังธนาคารพาณิชย์ที่เกี่ยวข้อง
  • ส่งไปยัง OCC และ FRB ตามโครงการร่วมมือกันของสถาบันทั้ง 3 แห่ง ซึ่งเริ่มเดือนมิถุนายน 2521
  • ส่งไปยัง Services ในกรณีที่ธนาคารใช้บริการคอมพิวเตอร์จากที่อื่น
  • เก็บไว้ที่สำนักงานของแต่ละเขต

14. การจัดทำรายงาน จะจัดทำที่สำนักงานธนาคารพาณิชย์นั้น ๆ เอง โดยปกติสำหรับธนาคารพาณิชย์ขนาดกลาง การตรวจสอบและการทำรายงานการตรวจคอมพิวเตอร์นี้ใช้เวลาประมาณ 3 – 12 สัปดาห์ ทั้งนี้ขึ้นกับปริมาณงานและระบบงานของธนาคาร ตลอดจนขอบเขตของการตรวจสอบและปัญหาในการตรวจสอบครั้งก่อนกับการตรวจสอบครั้งใหม่ การจัดส่งรายงานที่ได้ผ่านการทบทวนโดย Review Examiner (EDP) ทั้ง 14 แห่ง แล้วจัดพิมพ์และส่งให้สถาบันที่เกี่ยวข้อง รวมทั้ง FDIC Washingto D.C. ด้วย ซึ่งใช้เวลานับตั้งแต่การตรวจสอบประมาณ 5 – 16 สัปดาห์

สำหรับงานการตรวจคอมพิวเตอร์ ประเภท Examination ของ FDIC ผมจะขอนำไปเล่าสู่กันฟังในครั้งหน้านะครับ


IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 8)

พฤษภาคม 6, 2014

การวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ในยุคก่อน ๆ ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน ซึ่งผมได้กล่าวถึงไปแล้วใน IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ถึง 7 ตอนด้วยกันนั้น จากการพัฒนางานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นี้ ทางธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน และต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ มากมายมาใช้ประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ทุกแห่ง และผมได้กล่าวทิ้งท้ายไว้ในครั้งที่แล้วว่า จะเล่าสู่กันฟังถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นของผม เพื่อเป็นประโยชน์ต่อผู้ที่สนใจศึกษาและติดตามงานการบริหาร การกำกับ และ การตรวจสอบงานด้านคอมพิวเตอร์ ซึ่งก็ติดตามกันต่อได้เลยครับ

การเดินทางไปเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในครั้งนั้น เป็นการเข้ารับการฝึกอบรมและดูงานเฉพาะด้านเป็นครั้งแรกของฝ่ายกำกับและตรวจสอบสถาบันการเงิน โดยมีวัตถุประสงค์ที่จะพัฒนาผู้ตรวจสอบและวางแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในประเทศไทย เนื่องจากการเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ครั้งแรกนี้ ผมถือว่าเป็นเรื่องใหม่สำหรับผมอย่างแท้จริงในตอนนั้น เพราะไม่มีแนวทางใด ๆ ที่พอจะใช้ศึกษาก่อนการเดินทางได้ว่าจะดำเนินการอย่างไรบ้าง ผมทราบเพียงแต่เป้าหมายและวัตถุประสงค์ที่แน่นอน ซึ่งได้ใช้เป็นหลักในการกำหนดโครงการและแผนการอื่น ๆ ที่คิดได้ในขณะนั้น และในระหว่างการดูงานเพื่อเป็นแนวทางไปสู่เป้าหมายที่ได้รับมอบหมายดังกล่าวข้างต้นเท่านั้น

แต่กระนั้น ผมก็ได้พยายามสอบถามตนเองเสมอว่า

“เรากำลังเดินไปสู่ทิศทางที่ถูกต้องแล้วหรือไม่”

“สิ่งที่ได้รับประจำวันนั้น ทำให้เราใกล้เคียงกับเป้าหมายแล้วหรือยัง”

“เราจะทำอย่างไรที่จะช่วยให้ถึงหรือใกล้เป้าหมายได้”

การสอบถามตนเองเหล่านี้ได้กระทำเป็นประจำทุกวัน เพื่อให้นึกถึงประเด็นที่เข้าใจว่าจะทำให้ใกล้เคียงเป้าหมายมากขึ้น ผมก็จะจดบันทึกไว้เพื่อดำเนินการต่อไปในวันรุ่งขึ้น

การกระทำเช่นนี้อย่างสม่ำเสมอทำให้ประเมินว่าพอที่จะเข้าใจและเห็นแนวทางได้บ้าง ประกอบกับการที่ได้มีโอกาสร่วมการตรวจสอบกับผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ของ FDIC (Federal Deposit Insurance Corporation) และ OCC (Office of the Comptroller of the Currency) ในการตรวจสอบคอมพิวเตอร์ (EDP Examination) ในภาคปฏิบัติงานตรวจสอบจริง ๆ ของทั้ง 2 สถาบัน ซึ่งก็ทำให้ผมได้เห็นเป้าหมายที่ต้องการเด่นชันขึ้น โดยเฉพาะอย่างยิ่ง เมื่อได้ทบทวนถึงสิ่งที่ได้เรียนรู้จากการอบรมที่ FDIC Training Center ในหลักสูตร Course in Examining a Computerized Bank I และ II (CECB I-II)

fdic_splash

อย่างไรก็ดี ผมเองยังมีประสบการด้านคอมพิวเตอร์ไม่มากนัก สิ่งที่ได้ประเมินในระหว่างการฝึกอบรมและดูงานขณะที่อยู่ในประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น หรือแม้กระทั่งได้กลับมาปฏิบัติงานในประเทศไทยในตอนนั้นแล้วก็ตาม จึงอาจจะมีบางสิ่งบางอย่างที่มองข้ามไป หรือนึกไม่ถึงเพราะประสบการณ์เกี่ยวกับคอมพิวเตอร์ที่อาจมีไม่มากพอและเพิ่งเริ่มศึกษากันไม่นานนัก ประกอบกับมีงานประจำด้านอื่นที่ต้องปฏิบัติอยู่ด้วย จึงทำให้โอกาสที่จะค้นคว้าหรือศึกษางานด้านคอมพิวเตอร์ค่อนข้างจำกัด และเมื่อพิจารณาถึงความก้าวหน้าด้าน Computer Technology ที่เป็นไปอย่างรวดเร็วด้วยแล้ว ทำให้ผมตระหนักเสมอว่าโอกาสที่จะประเมินผลการดูงานด้านการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ผิดพลาดไปย่อมมีอยู่ไม่น้อย

OCC

ทั้งนี้ ผมจึงได้จัดทำรายงานการฝึกอบรมและดูงานไว้ เพื่อจะเป็นรายงานที่ทำให้ทราบว่าเป้าหมายที่ได้วางไว้ก่อนเดินทางไปฝึกอบรมและดูงานนั้น ได้รับผลเพียงใดอย่างกว้าง ๆ นอกจากนี้ยังได้รายงานในหัวข้อที่เกี่ยวกับ “สิ่งที่ได้เรียนรู้จากการดูงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์ต่าง ๆ” ที่น่าจะเป็นประโยชน์ต่อผู้ตรวจสอบทั่วไป โดยเฉพาะอย่างยิ่งสำหรับผู้ที่จะมาทำหน้าที่เป็นผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ซึ่งผมจะขอนำเสนอเป็นหัวข้อตามภาพด้านล่าง เพื่อให้เห็นถึงภาพรวมของกระบวนการตรวจสอบงานทางด้าน IT Audit/IT Examination หรือในยุคนั้นเรียกกันโดยทั่วไปว่า EDP Audit ในช่วงปี พ.ศ. 2521 และก่อนหน้านั้น และหากมีโอกาสผมจะได้นำมาเล่าสู่กันฟังในบางหัวข้อตามความเหมาะสมต่อไป

ภาพนิ่ง1

ภาพนิ่ง2

ภาพนิ่ง3

ภาพนิ่ง4ภาพนิ่ง5

สำหรับการฝึกอบรม ผมได้อบรมในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) ใช้เวลา 1 สัปดาห์ โดยเป็นส่วนหนึ่งของหลักสูตร “Bank Examination School for Senior Assistant Examiners” และ Course in Examining a Computerized Bank II (CECB-II) ใช้เวลา 2 สัปดาห์ จัดเป็นหลักสูตรอบรมเฉพาะผู้ตรวจสอบที่ผ่าน CECB-I มาแล้ว และจะได้รับการคัดเลือกให้เป็น EDP Examiner ต่อไป โดยมีวัตถุประสงค์ของการอบรม คือ

หลักสูตร Course in Examining a Computerized Bank I (CECB-I) ก็เพื่อแนะนำทฤษฎีและวิธีการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ที่ไม่มีศูนย์คอมพิวเตอร์ของตนเอง แต่ใช้บริการของบุคคลภายนอกในการประมวลผลงานของธนาคาร

หลักสูตร Course in Examining a Computerized Bank II (CECB-II) มีวัตถุประสงค์เพื่อให้ผู้เข้ารับการอบรมเข้าใจถึงการประเมินผลของศูนย์ปฏิบัติงานด้านคอมพิวเตอร์ ในกรณีที่ธนาคารมีเครื่องคอมพิวเตอร์เพื่อประมวลผลงานด้านต่าง ๆ ของธนาคารเอง โดยเฉพาะการใช้เทคนิคการสอบถามข้อมูลในกระบวนการตรวจสอบ ตลอดจนการทำความเข้าใจเกี่ยวกับการใช้คอมพิวเตอร์ให้มากขึ้น

โดยการฝึกอบรมนี้เป็นการฝึกอบรมของสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา โดยมี Training Center อยู่ในอาคารที่มีบริษัทห้างร้านเช่ารวมกันอยู่หลายสำนักงาน ห้องที่ใช้ฝึกอบรมนั้นเป็นห้องที่มีเครื่องปรับอากาศทุกห้อง  มีห้องขนาดใหญ่และขนาดเล็กหลายห้อง สำหรับการประชุมแบบ Syndicate และมีห้องเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่ง ณ ช่วงเวลาที่ผมกลับจากการอบรมแล้วและจัดทำรายงานการอบรม (ปี พ.ศ. 2522) ห้องนี้ได้ใช้เป็นเครื่องคอมพิวเตอร์ของ IBM System 3 และมีเครื่องเจาะบัตรหลายเครื่องตั้งอยู่ในห้องเดียวกัน เพื่อใช้สำหรับการฝึกหัดและการทำความเข้าใจของผู้เข้ารับการอบรม ซึ่ง FDIC ก็ยังมีโครงการจะเปลี่ยนเครื่องคอมพิวเตอร์ที่ใช้ในการอบรมใหม่ในอีก 2 ปีข้างหน้า (นับจากช่วงเวลาที่ผมได้รับการอบรมนั้น) อีกทั้งยังมีเครื่องมือ เครื่องใช้ และอุปกรณ์การอบรมครบถ้วนและทันสมัยทั้งสิ้น

นอกจากนี้ FDIC ยังมีระบบ “FOCUS DISPLAYS” ซึ่งผู้เข้ารับการอบรมสามารถทดลองใช้ได้ด้วย ระบบที่กล่าวถึงนี้ สามารถดึงข้อมูลซึ่งเป็นสถิติต่าง ๆ เกี่ยวกับการตรวจสอบและข้อมูลที่เกี่ยวกับงานวิเคราะห์ธนาคารพาณิชย์ทุกธนาคารทั่วประเทศสหรัฐอเมริกาที่ประกันเงินฝากไว้กับ FDIC ให้ปรากฎทางจอรับภาพได้ในทันทีที่ต้องการทราบ และถ้าต้องการข้อมูลใดเป็นพิเศษ ก็สามารถกดปุ่มพิมพ์ข้อมูลนั้น ๆ ได้ภายในเวลาที่รวดเร็วมาก

ศูนย์ฝึกอบรมคอมพิวเตอร์ ของสถาบัน FDIC

ลักษณะของการฝึกอบรมในหลักสูตร CECB-I จะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกท (Syndicat Discussion) เป็นส่วนใหญ่ และแจกเอกสารให้ผู้เข้ารับการอบรมไปศึกษาค้นคว้าด้วยตนเอง ส่วนหลักสูตร CECB-II จะมีลักษณะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกทเช่นกัน แต่ส่วนใหญ่เป็นการฝึกงานการใช้เครื่องคอมพิวเตอร์ในการทำแบบฝึกหัด และการประชุมกลุ่มเพื่อฝึกซ้อม Case Study ต่าง ๆ และในเวลาพักจะให้ผู้ฝึกอบรมทดลองเครื่องและอุปกรณ์คอมพิวเตอร์ได้ตามความถนัด ซึ่งหลักสูตร CECB-II นี้ เป็นหลักสูตรเฉพาะสำหรับผู้ตรวจสอบที่จะได้รับมอบหมายให้เป็น EDP Examiner ต่อไป

การวัดผล การรับรองผล และการประเมินผล ทั้งหลักสูตร CECB-I และ CECB-II นอกจากการฟังบรรยายแล้ว ผู้เข้ารับการอบรมจะต้องแยกกันประชุมกลุ่มซินดิเกทพิจารณาปัญหาต่าง ๆ เพื่อทำความเข้าใจเพิ่มเติมเกี่ยวกับหัวข้อวิชาที่บรรยายและเป็นการฝึกฝนทบทวน การประชุมกลุ่มซินดิเกทจะนำเสนอต่อที่ประชุมใหญ่ ซึ่งจะสรุปความเห็นและอธิบายปัญหาต่าง ๆ และจะให้ผู้เข้ารับการอบรมซักถามเพิ่มเติม นอกจากนี้ยังมีการฝึกหัดการใช้เครื่องคอมพิวเตอร์ การเขียนคำสั่งงาน และการแก้ไขคำสั่งงานที่สามารถให้เครื่องคอมพิวเตอร์ปฏิบัติตามความต้องการได้ เช่น การดึงข้อมูล การจัดรูปข้อมูลที่อยู่ในม้วนเทป, ดิสก์ ให้พิมพ์ข้อมูลในแบบฟอร์มเดิม หรือในรูปแบบฟอร์มใหม่ เพื่อการตรวจสอบได้ด้วย

ทั้งนี้ในการฝึกหัดจะแบ่งผู้เข้ารับการอบรมเป็นกลุ่ม ๆ กลุ่มละ 2 คน ให้ช่วยกันเขียนคำสั่งงานเพิ่มเติมจากคำสั่งงานที่มีอยู่แล้ว และหรือแก้ไขคำสั่งงานตามที่ผู้บรรยายจะกำหนด โดยแต่ละกลุ่มจะต้องอยู่ปฏิบัติงานนั้น ๆ จนแล้วเสร็จ ถ้ามีปัญหาก็หารือผู้ฝึกสอนได้ เมื่อเขียนหรือแก้ไขคำสั่งงานเสร็จหรือเพื่อทดลองผล ผู้เข้ารับการอบรมแต่ละกลุ่มจะต้องนำไป process งานนั้นกับเครื่องคอมพิวเตอร์จริง ๆ ว่าได้ผลในรูปแบบที่ผู้บรรยายต้องการหรือไม่ แต่ละกลุ่มจะต้องปฏิบัติงานที่ได้รับมอบหมายแต่ละครั้งจนเป็นที่พอใจของผู้ฝึกสอน จึงจะถือว่าผ่านการบรรยายวิชานั้น ๆ ซึ่งนับว่าเป็นการวัดผลการสอนไปในตัว โดยไม่ต้องมีการทดสอบเป็นทางการเมื่อสิ้นสุดการอบรมอีก สำหรับการประเมินผลการอบรมนั้น ผู้เข้ารับการอบรมจะกรอกแสดงความคิดเห็นลงในแบบฟอร์มหลังจากสิ้นสุดการอบรมแต่ละหลักสูตรว่า วิชานั้น ๆ เป็นอย่างไร ได้ความรู้แค่ไหน เพียงใด ผู้สอน ๆ ได้ดีหรือไม่ ซึ่งมีลักษณะเช่นเดียวกับแบบประเมินผลการฝึกอบรม ที่ส่วนการพนักงานของธนาคารแห่งประเทศไทย จัดให้ผู้เข้ารับการอบรมแสดงความคิดเห็นเมื่อเสร็จสิ้นการอบรมเช่นกัน

สำหรับผมแล้ว การได้มีโอกาสไปร่วมรับการอบรมทั้ง 2 หลักสูตรครั้งนั้น นับว่ามีประโยชน์มาก เพราะได้รับความรู้เกี่ยวกับแนวความคิดและหลักการปฏิบัติในการตรวจสอบคอมพิวเตอร์ ได้มีโอกาสสังเกตการตรวจสอบและการดำเนินงานด้านการฝึกอบรมเกี่ยวกับคอมพิวเตอร์ ซึ่งต่อมาธนาคารแห่งประเทศไทย ได้นำมาวางเป็นแนวทางในการตรวจสอบธนาคารพาณิชย์ทุกแห่งที่ใช้คอมพิวเตอร์ได้เป็นอย่างดี


IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 3)

ธันวาคม 27, 2013

เมื่อครั้งที่แล้ว (ตอนที่ 2) ผมได้เล่าเรื่อง วิวัฒนาการของ IT Management สู่ -> COBIT4.1 -> GEIT/COBIT5 และ/หรือ GRC  ในลักษณะค่อนข้างก้าวกระโดดไปนะครับ เพราะความตั้งใจของผมในการเล่าสู่กันฟังนี้คือ ให้ผู้อ่านได้ทราบถึงวิวัฒนาการของการนำเทคโนโลยีสารสนเทศมาใช้ในประเทศไทย และแนวทางการกำกับของหน่วยงานกำกับภาครัฐที่เกี่ยวข้องกับ การกำกับและตรวจสอบสถาบันการเงิน ซึ่งนำ IT มาใช้อย่างแพร่หลาย ในช่วงก่อนปี 2513 และธนาคารแห่งประเทศไทย ซึ่งมีหน้าที่กำกับและตรวจสอบความมั่นคงของสถาบันการเงิน เพื่อดูแลผู้มีผลประโยชน์ร่วม ซึ่งหมายถึงผู้ฝากเงิน เจ้าหนี้ คู่ค้า และผู้ที่เกี่ยวข้อง ทั้งภายในและภายนอกสถาบันการเงิน เพื่อพิจารณาว่า ผลกระทบของเทคโนโลยีนั้น มีผลต่อความเสี่ยงทางด้านความน่าเชื่อถือได้ของข้อมูลทางการเงิน การปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ของธนาคารแห่งประเทศไทย และมาตรฐานอื่น ๆ ที่เกี่ยวข้องมากเพียงใด

วังบางขุนพรหม

ผมขอเรียนตามตรงว่า ในระยะแรกที่ ธนาคารกรุงเทพ ซึ่งเป็นธนาคารพาณิชย์แห่งแรกของประเทศไทยที่นำระบบคอมพิวเตอร์เข้ามาใช้ในการประมวลงาน และการบริหารจัดการ ทางด้านการบัญชีและการเงินอย่างแพร่หลายนั้น ผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งทำหน้าที่ตรวจสอบ กำกับ และติดตาม และดูแลความมั่นคงของสถาบันการเงิน และการปฏิบัติตามกฎเกณฑ์ของธนาคารแห่งประเทศไทย +++ นั้น ผู้ตรวจสอบไม่อาจปฏิบัติงานตรวจสอบตามปกติ และต้องกลับมารายงานให้กับ คุณอดุลย์ กิสรวงศ์ ซึ่งเป็นผู้อำนวยการฝ่ายในขณะนั้นว่า รูปแบบหลักฐานต่าง ๆ ของธนาคารกรุงเทพ ซึ่งได้ใช้คอมพิวเตอร์ไปแล้วนั้น เปลี่ยนแปลงไปอย่างมาก ผู้ตรวจสอบไม่สามารถใช้ทรัพยากรที่มีอยู่ในขณะนั้น ทำการปฏิบัติงานตรวจสอบตามปกติได้ ซึ่งในเวลาต่อมา ผู้อำนวยการฝ่ายตรวจสอบในขณะนั้น จึงขออาสาสมัครจากผู้ตรวจสอบว่า มีผู้ใดสนใจจะศึกษาปัญหาการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์เช่นเดียวกับธนาคารกรุงเทพบ้าง เพราะการตรวจสอบทางด้าน IT ในยุคนั้นยังหาหน่วยงาน โดยเฉพาะหน่วยงานกำกับมาทำการตรวจสอบงานทางด้าน IT นั้นยังหาได้ยากมาก

ผมเป็นผู้หนึ่งใน 2 คนที่อาสาไปศึกษาและหาแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ ซึ่งผมจะนำรายละเอียดมาเล่าโดยสังเขป เมื่อมีโอกาสในตอนต่อ ๆ ไป สำหรับวิวัฒนาการของ IT Management และการตรวจสอบ รวมทั้งแนวทางกำกับหน่วยงานที่ใช้คอมพิวเตอร์ ในตอนที่ 3 นี้ ผมจะขอนำเสนอวิวัฒนาการความเป็นมา รวมทั้งการมีการใช้คอมพิวเตอร์ในวงการธนาคารพาณิชย์ควบคู่กับแนวทางการพัฒนาการกำกับและตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ ซึ่งเริ่มต้นตั้งแต่ ปี พ.ศ. 2513 เป็นต้นไป โดยสรุป ถึงปี พ.ศ. 2536 ก่อนที่ผมจะย้ายไปปฏิบัติงานจากรองผู้อำนวยการฝ่าย/ส่วนงานพิเศษ ที่ทำหน้าที่ดูแลและตรวจสอบธนาคารพาณิชย์และสถาบันการเงินด้านคอมพิวเตอร์ ไปเป็นผู้อำนวยการอาวุโส สาขาภาคตะวันออกเฉียงเหนือ ที่ขอนแก่น และในระหว่างที่ผมอยู่ที่ขอนแก่น ซึ่งต้องดูแลสถาบันการเงินและการดำเนินงานของธนาคารพาณิชย์ใน 19 จังหวัดของภาคตะวันออกเฉียงเหนือนั้น ผมได้เขีนนหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา 4 เล่ม ด้วยกันคือ

เล่มที่ 1 การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

เล่มที่ 2 การตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์

เล่มที่ 3 คอมพิวเตอร์กับการทุจริต

เล่มที่ 4 แผนการปฏิบัติงานแบบฉุกเฉินและการดำเนินธุรกิจอย่างต่อเนื่อง และแบบฝึกหัดการตรวจสอบด้านคอมพิวเตอร์

หนังสือทั้ง 4 เล่ม ผมได้ขออนุญาตทางธนาคารแห่งประเทศไทย สำนักงานใหญ่ อนุญาตการจัดพิมพ์และเผยแพร่ให้กับธนาคารพาณิชย์และสถาบันการเงินทุกแห่งในภาคตะวันออกเฉียงเหนือ โดยไม่มีการจำหน่ายแต่อย่างใด ในปัจจุบันหนังสือทั้ง 4 เล่มได้แจกจ่ายไปหมดแล้ว คงจะหาอ่านได้ห้องสมุดธนาคารแห่งประเทศไทยทุกแห่ง ตลาดหลักทรัพย์แห่งประเทศไทย และแน่นอนว่าที่ธนาคารพาณิชย์และสถาบันการเงินภาคตะวันออกเฉียงเหนือทั้ง 19 จังหวัด (ถ้ายังมีอยู่ เพราะผมได้แจกจ่ายไป เมื่อ มีนาคม 2539 ซึ่งมีความหนาทั้ง 4 เล่ม ประมาณ 1,300 หน้า)

เอาละครับ ผมคงไม่สามารถที่จะนำเรื่องที่ผมเขียนไว้ทั้ง 4 เล่มมาลงในเว็บไซต์นี้ได้ทั้งหมด แต่มี ศาสตราจารย์ ดร. ยุพา กาญจนดุลย์ จากมหาวิทยาลัยธรรมศาสตร์ได้ขออนุญาตผม ขอนำหนังสือเล่มที่ 2 ไปเผยแพร่ที่ ห้องสมุด BKK Online ใน www.bkkonline.com

สำหรับวันนี้ ลองดูประวัติศาสตร์และวิวัฒนาการของการใช้คอมพิวเตอร์และการกำกับและตรวจสอบด้านคอมพิวเตอร์ของธนาคารแห่งประเทศไทย ซึ่งอธิบายด้วยแผนภาพโดยย่อ เพื่อให้เข้าถึงแก่นสาระตามหัวข้อนี้ได้อย่างรวดเร็วครับ

ภาพนิ่ง1

ภาพนิ่ง2

ก่อนที่จะเริ่มเล่าเรื่องมาตรการการกำกับและตรวจสอบของธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์นั้น เพื่อให้ได้อรรถรสและติดตามเรื่องราวได้ใกล้ชิดยิ่งขึ้น ผมจึงจะขอพูดถึงคำนำ ในหนังสือเล่มที่ 1 ของผม เพื่อให้ท่านผู้อ่านได้ทราบและเข้าใจในสาระของวิวัฒนาการการบริหารและการกำกับ รวมทั้งการตรวจสอบทางด้านเทคโนโลยีสารสนเทศในยุคแรก คือตั้งแต่ ปี พ.ศ. 2513 ดังนี้ครับ

1. การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มนี้และเล่มต่อ ๆ ไป เป็นการรวบรวมจากเอกสารประกอบการ การบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไปของผมในช่วงเวลาตั้งแต่ปี พ.ศ. 2524 – 2536 ให้แก่สถาบันหลายแห่ง เช่น การบรรยายให้นักศึกษาปริญญาโท มหาวิทยาลัยธรรมศาสตร์ AIT (Asian Institue of Technology) กลุ่มธนาคารกลางต่าง ๆ ในประเทศเอเชีย (SEACEN-South East Asian Central Banks) มหาวิทยาลัย ธนาคารพาณิชย์ สถาบันการเงินหลายแห่ง ธนาคารออมสิน สมาคมนักบัญชี และผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย สมาคมธนาคารไทย ชมรมผู้สอบบัญชีภายใน หน่วยงานของรัฐ สมาคมตรวจสอบคอมพิวเตอร์ภาคพื้นกรุงเทพฯ (EDPAA) และสถาบันการฝึกอบรมต่าง ๆ โดยเฉพาะอย่างยิ่งงานบรรยายประจำในช่วงดังกล่าวก็คือ การบรรยายให้ผู้ตรวจสอบของฝ่ายกำกับและตรวจสอบสถาบันการเงิน และฝ่ายกำกับและตรวจสอบธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยในช่วงนั้น

การที่ผมนำเอกสารบรรยายในอดีตหลายครั้งมาจัดทำเป็นรูปเล่มใหม่นี้ การเรียบเรียงและลำดับเรื่องอาจมีข้อมูลบางตอนที่คล้ายกันบ้าง และบางตอนก็อาจนำเรื่องที่เคยกล่าวแล้วไปไว้ในเรื่องที่เกี่ยวข้องอีก เพื่อทำความเข้าใจให้ต่อเนื่องกันไป ทั้งนี้ เพราะผมมีแนวการบรรยายและการดำเนินเรื่องที่แตกต่างกันไปในแต่ละครั้ง ซึ่งขึ้นกับความเหมาะสมของผู้ฟังแต่ละองค์กรเป็นหลัก

2. จากหน้าที่หลักที่ผมทำหน้าที่ผู้ตรวจการธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ มานานปี และได้รับมอบหมายจากธนาคารแห่งประเทศไทย ให้ดูแลและรับผิดชอบทางด้านการพัฒนาและการตรวจสอบด้านคอมพิวเตอร์ของสถาบันการเงินในปี 2524 หลังจากที่กลับจากการศึกษา อบรมดูงาน และฝึกงานด้านนี้ครั้งแรกประมาณ 5 เดือน ที่ประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น และต่อมามีโอกาสไปดูงานที่ประเทศอังกฤษทางด้าน Electronic Banking หลังจากนั้นผมและเพื่อนร่วมงานได้ศึกษางานตรวจสอบด้านคอมพิวเตอร์เพิ่มเติมอีกมาก เพื่อกำหนดและวางแนวทางการตรวจสอบงานด้านคอมพิวเตอร์ต่อสถาบันการเงินในประเทศไทย

3. จากการที่ผมทำงานทางด้านกำกับและตรวจสอบธนาคารพาณิชย์ รวมทั้งได้ทำงานทางด้านกำกับและตรวจสอบสถาบันการเงินในช่วงเวลาอันยาวนาน ตลอดเวลาที่ทำงานที่ธนาคารแห่งประเทศไทย เป็นเวลาเกือบ 30 ปี ติดต่อกัน ทำให้พอจะมองเห็นภาพและปัญหาการดำเนินงานของธนาคารพาณิชย์และสถาบันการเงินทั้งทางด้าน Financial และด้าน Computer ได้พอสมควร จึงได้รับเชิญให้เป็นผู้บรรยายงานทั้ง 2 ด้าน โดยเฉพาะในช่วงหลังที่ธนาคารให้ผมมารับผิดชอบงานด้านการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ด้วย ผมจึงมีโอกาสได้บรรยายในรูปแบบความสัมพันธ์และความเกี่ยวข้องซึ่งกันและกันของงานทางด้าน Financial และ Computer ซึ่งอย่างหลังนี้มักจะเรียกกันในปัจจุบันว่า IT (Information Technologies) หรือ IS (Information Systems) เพราะมีความหมายกว้างขวางและเหมาะสมกว่า Computer หรือ EDP (Electronic Data Processing) มาก ดั้งนั้น ถ้าพบคำว่า IT Audit หรือ IS Audit แล้วละก็ คำ ๆ นี้ก้คือ Computer หรือ EDP Audit นั่นเอง

4. ความหมาของ Computer Audit ในสายงานของผู้กำกับและผู้ดูแลสถาบันการเงินในความหมายกว้างก็คือ การตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ที่มีผลกระทบต่อความมั่นคงและความสามารถในการดำเนินงานอย่างต่อเนื่อง โดยมีประสิทธิภาพในองค์กรที่ใช้คอมพิวเตอร์ และในความหมายแคบก็คือ การตรวจสอบเพื่อประเมินการควบคุมความเสี่ยงต่าง ๆ จากการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ที่มีผลเกี่ยวข้องกับความถูกต้อง ความน่าเชื่อถือได้ของข้อมูลทางการเงินและการควบคุมภายใน เพื่อให้คำแนะนำในแนวทางป้องกันปัญหาล่วงหน้าก่อนที่ปัญหาจริงจะเกิดขึ้น อย่างไรก็ดี ขอบเขตของการตรวจสอบด้านคอมพิวเตอร์จะขึ้นอยู่กับเป้าหมายของการตรวจสอบเป็นสำคัญ

5. ความเสี่ยง (Risks) ทางด้านคอมพิวเตอร์เป็นความเสี่ยงในรูปแบบใหม่เพิ่มเติมจากความเสี่ยงในการดำเนินงานตามปกติ ที่อาจมีผลเสียหายต่อฐานะและความมั่นคงของสถาบันการเงินที่สำคัญคือ

1) การหยุดชะงักการให้บริการ ซึ่งเกิดจาก Hardware Failure, Software Failure หรือปัญหาทางบุคลากรที่ใช้คอมพิวเตอร์อย่างไม่ถูกต้อง ซึ่งเรื่องนี้สถาบันการเงินอาจต้องหยุดการให้บริการ ทั้ง ๆ ที่ไม่มีปัญหาด้านสภาพคล่องได้

2) ความผิดพลาดของข้อมูลทางการเงิน

3) การตัดสินใจที่ผิดพลาดของผู้บริหาร อันเกิดจากความผิดพลาดของข้อมูล

4) ข้อมูลทางการเงินและการบัญชีไม่อาจยอมรับได้

5) การทุจริตหรือความเสียหาย ซึ่งบางกรณีเป็นเงินจำนวนมาก

6) ค่าใช้จ่ายส่วนเกินที่เกิดจากการใช้คอมพิวเตอร์อย่างไม่มีประสิทธิภาพ หรือเกิดจากความล้มเหลวของ Hardware หรือ Software หรือบุคลากร ซึ่งบางกรณีกระทบกับความมั่นคงโดยตรงของสถาบันการเงิน

7) เสียเปรียบทางด้านการแข่งขันและการบริการ ซึ่งมีผลต่อชื่อเสียงของสถาบันและส่วนแบ่งด้านการตลาด

ความเสี่ยงในแต่ละเรื่องข้างต้น เคยมีตัวอย่างที่ก่อให้เกิดความเสียหายในต่างประเทศและในประเทศเองทุกกรณี และบางกรณีเป็นเรื่องร้ายแรงมาก กรณีของในประเทศมักจะเป็นความลับ ไม่ได้รับการเปิดเผยทั่วไป ส่วนใหญ่ความเสี่ยงและความเสียหายบางประเภท เช่น การหยุดชะงักการให้บริการเป็นเวลาเกินกว่า 1 วันทำการ เป็นสิ่งที่ทางการจะยอมให้เกิดขึ้นไม่ได้ การตรวจสอบในลักษณะ After the fact สำหรับ Computer Audit จึงไม่ได้ผล การตรวจสอบที่มีประสิทธิภาพ คือการตรวจสอบในลักษณะ Before the fact และให้คำแนะนำที่มีประสิทธิภาพล่วงหน้าก่อนที่ปัญหาจริง ๆ จะเกิดขึ้นนั่นเอง

การดูแลความมั่นคงของสถาบันการเงินของธนาคารแห่งประเทศไทย จึงต้องดูแลในทุกเรื่องที่เกี่ยวข้องกับเสถียรภาพและประสิทธิภาพในการบริหารงาน เพื่อให้สถาบันการเงินนั้นสามารถดำเนินการได้อย่างต่อเนื่องและมั่นคงตลอดไป

6. จากการบรรยาย เรื่องการตรวจสอบงานด้านคอมพิวเตอร์ ให้ผู้บริหารระดับสูงของธนาคารออมสิน สำนักงานใหญ่ และหน่วยงานต่าง ๆ ของรัฐ ในช่วงท้าย ๆ ก่อนที่ผมจะเดินทางมารับงานในตำแหน่งผู้อำนวยการสาขา ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือจังหวัดขอนแก่น ในปลายปี 2536 ซึ่งผมได้รวบรวมเอกสารเท่าที่รวบรวมได้ในเวลาจำกัดจากการบรรยายที่ผ่านมาให้ผู้เข้ารับฟังการบรรยายนั้น ธนาคารออมสิน สำนักงานใหญ่ได้รวบรวมและเย็บเข้าเล่มจนเป็นที่สนใจของผู้พบเห็นในโอกาสต่อมา และมีการขอร้องให้รวบรวมจัดทำเป็นเล่มขึ้นใหม่ เพื่อเป็นวิทยาทานต่อไปด้วย

7. เมื่อผมได้ทำหน้าที่ผู้อำนวยการธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่จังหวัดขอนแก่น เมื่อวันที่ 1 ตุลาคม 2536 เป็นต้นมา ผมก็ยังคงมีหน้าที่หลักประการหนึ่งที่สาขาภาคฯ เช่นเดียวกับที่กรุงเทพฯ นั่นคือการกำกับดูแลฐานะดำเนินงานและความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้ง 19 จังหวัดอยู่ด้วย ประกอบกับผมมีความเชื่อมั่นว่า การกำกับสถาบันการเงินที่ได้ผลจะต้องมาจากการป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินเหล่านั้น วิธีการหนึ่งที่จะบรรลุเป้าหมายนี้ก็คือ การให้ผู้บริหารสถาบันการเงินต่าง ๆ มีจรรยาบรรณที่ดี มีความรู้ ความสามารถ รู้จักวิเคราะห์และเข้าใจถึงความเสี่ยงและการป้องกันความเสี่ยงในการบริหารงานของสถาบันการเงินนั้น ๆ ผมจึงได้เผยแพร่แจกจ่ายหนังสือเล่มแรก เรื่อง “การจัดระบบควบคุมภายในของสถาบันการเงิน” ให้กับธนาคารพาณิชย์ และสถาบันการเงินทั่วทั้งภาคอีสาน เมื่อปี 2537 – 2538 และหนังสือเล่มนี้ได้ใช้ในการบรรยายเรื่องดังกล่าวในโอกาสต่าง ๆ ด้วย

8. จากการพบปะกับผู้บริหารสถาบันการเงินต่าง ๆ ในภาคอีสานผมได้ปรารภและได้พูดถึงบทบาทของคอมพิวเตอร์ในวงการสถาบันการเงินหลายครั้ง เนื่องจากปรากฎว่า มีสาขาธนาคารพาณิชย์บางแห่ง ในภาคตะวันออกเฉียงเหนือประสบความเสียหายจากการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือด้วย จึงมีผู้สนใจใคร่จะติดตามเรื่องดังกล่าวมากขึ้น ประกอบกับธนาคารพาณิชย์หลายแห่งได้ให้พนักงานศึกษาเรื่องนี้มากขึ้นเรื่อย ๆ ผมจึงเห็นเป็นโอกาสดีที่จะเผยแพร่หนังสือ เรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเป็นการรวบรวมเรื่องที่น่าสนใจด้านคอมพิวเตอร์ในแง่มุมหลายประการจากเอกสารต่าง ๆ ที่ผมเคยแจกจ่ายให้กับผู้เข้าฟังการสัมมนาและการบรรยายของผมในอดีตที่ผ่านมา ในช่วงปี 2524 – 2536 โดยรวบรวมเรื่องใหม่ จัดเรื่องและเนื้อหาในบางส่วนเพิ่มเติมจากที่มีการรวบรวมไว้แล้วใหม่ โดยเฉพาะอย่างยิ่ง เรื่อง การดำเนินงานด้านคอมพิวเตอร์ ซึ่งได้จัดพิมพ์ใหม่และอาจจะใช้เป็นแนวทางในการปฏิบัติงานด้านคอมพิวเตอร์ในสถาบันการเงินและองค์กรต่าง ๆ ได้ตามสมควร นอกจากนั้นผมยังได้ค้นหาเอกสารที่ได้จัดทำไว้จำนวนมากที่ยังกระจัดกระจายตามหีบห่อเก็บสัมภาระของผมก่อนย้ายมาประจำที่จังหวัดขอนแก่น ก็ปรากฏว่ามีเรื่องที่น่าสนใจที่ไม่เคยเผยแพร่หลายเรื่องด้วยกัน หากผมต้องรวบรวมจัดพิมพ์ในครั้งเดียวกัน ก็จะต้องใช้เวลานานมากขึ้น และเอกสารก็จะหนามากเกินไป ผมจึงแยกจัดทำเป็น เล่ม 1 เล่ม 2 และอาจมีถึง เล่ม 3

9. สำหรับเล่ม 1 จะเป็นการบรรยายเน้นหนักในเรื่องที่เกี่ยวข้องกับการดำเนินงานด้านคอมพิวเตอร์ และข้อคิดเห็น รวมทั้งข้อสังเกตในการบริหารงาน รวมทั้งหลักการตรวจสอบในบางเรื่อง เล่ม 2 จะเป็นรายละเอียดและเน้นด้านการควบคุมภายในและการตรวจสอบด้านคอมพิวเตอร์ รวมทั้งการจัดทำแผนฉุกเฉินเป็นหลัก สำหรับเล่ม 3 จะแสดงตัวอย่างของจุดอ่อนทางคอมพิวเตอร์ต่าง ๆ ที่พบในประเทศไทยและต่างประเทศ โดยเฉพาะอย่างยิ่งการกล่าวถึงการทุจริตโดยใช้คอมพิวเตอร์เป็นเครื่องมือและแนวทางการตรวจสอบการทุจริตทางด้านคอมพิวเตอร์ที่น่าสนใจ โดยผมได้ดัดแปลง เรียบเรียงเพิ่มเติมจากหลักการตรวจสอบงานด้านคอมพิวเตอร์ตามปกติ ให้ไปสู่แนวทางการตรวจสอบการทุจริตด้านคอมพิวเตอร์หรือโดยใช้คอมพิวเตอร์ รวมทั้งตัวอย่างการตรวจสอบการทุจริตด้านคอมพิวเตอร์ และความร่วมมือระหว่างผู้ตรวจสอบด้านการเงินกับผู้ตรวจสอบคอมพิวเตอร์ เมื่อมีการทุจริตเกิดขึ้น

10. เอกสารประกอบการบรรยายของผมในหนังสือเล่มนี้ รวมทั้งอีก 2 เล่มที่จะพิมพ์ขึ้นนั้น มีหลายบทที่ใช้คำว่าธนาคารมากกว่าคำว่าสถาบันการเงิน ทั้งนี้เพราะผมได้บรรยายให้กับบุคคลในวงการธนาคารพาณิชย์และธนาคารอื่น ๆ มากกว่าสถาบันการเงินโดยทั่วไป อย่างไรก็ดี ความหมายคำว่าธนาคารนี้ก็ใช้ได้กับสถาบันการเงินโดยทั่วไป และอาจประยุกต์ใช้กับองค์กรอื่น ๆ ที่ใช้คอมพิวเตอร์ในการประมวลข้อมูลได้ด้วย อย่างไรก็ดี ผมได้แก้ไขถ้อยคำส่วนใหญ่ที่ใช้คำว่า ธนาคารเป็นสถาบันการเงินแล้ว แต่ผมไม่ได้แก้ไขรายการตัวอย่างที่ระบุวันที่ไว้ ทั้งนี้ เพื่อที่จะให้ท่านผู้อ่านได้ทราบว่าเป็นการบรรยายในอดีตที่ผ่านมา

11. เนื่องจากผมไม่มีเวลาแก้ไขเพิ่มเติมข้อมูลจากการบรรยายเรื่องต่าง ๆ ของเอกสารเล่มนี้ ซึ่งส่วนใหญ่เป็นการบรรยายในอดีตตามที่กล่าวถึงข้างต้นแล้ว จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อความมากกว่าร้อยละ 95 ยังคงใช้ได้ดีอยู่จนถึงปัจจุบัน

12. เอกสารเล่มนี้และเล่มต่อ ๆ ไป ได้จัดทำขึ้นโดยมีวัตถุประสงค์เพื่อแจกจ่ายและเผยแพร่ให้กับพนักงาน ในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทยและสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ เพื่อเป็นส่วนหนึ่งของการทำความเข้าใจในการบริหารงานและการดำเนินงานด้านคอมพิวเตอร์ รวมทั้งเรื่องการตรวจสอบ ซึ่งนับวันจะมีบทบาทมากขึ้นในแทบจะทุกธุรกรรมของทุกองค์กร โดยเฉพาะอย่างยิ่งในสถาบันการเงิน และเป็นส่วนหนึ่งของการป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินในลักษณะที่เรียกว่า Point to the problem before it points to us. นอกจากนี้จะได้เผยแพร่ในวงการศึกษา ซึ่งการเรียนการสอนการดำเนินงานด้านคอมพิวเตอร์และการตรวจสอบในปัจจุบัน ยังอยู่ในวงจำกัดค่อนข้างมาก ทั้ง ๆ ที่คอมพิวเตอร์ได้รับการยอมรับและมีใช้กันโดยทั่วไปในองค์กรต่าง ๆ แล้ว

13. เอกสารทั้ง 3 เล่ม ไม่มีจำหน่าย แต่มีไว้เพื่อแจกจ่ายตามวัตถุประสงค์ที่กล่าวในข้อ 12. ข้างต้น การเผยแพร่ข้อมูลจากหนังสือเล่มนี้ต่อไปในรูปอื่นใด ควรจะได้อ้างอิงที่มาของข้อมูลด้วย หนังสือเล่มนี้ไม่ได้กล่าวหรืออธิบายถึงการทำงานของระบบคอมพิวเตอร์โดยทั่วไป ทั้งนี้ผมได้ตั้งแนวทางไว้ว่าผู้อ่านได้ทราบเรื่องดังกล่าวพอสมควรแล้ว

14. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะในรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ที่มีส่วนทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน และขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสาร การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ และขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงินธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้ด้วย

เมธา  สุวรรณสาร

ผู้อำนวยการ

ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ

25 มีนาคม 2539

ตอนนี้มาถึงมาตรการของ ธปท. ในเบื้องต้นในช่วงที่ผมทำหน้าที่ดูแลด้านการกำกับและตรวจสอบทางด้าน IT ยุคนั้นเรียกว่า EDP – Electronic Data Processing เพื่อตามให้ทันกับความก้าวหน้าของการนำ EDP มาใช้ในยุคแรกของประเทศไทย

มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ

เรื่องที่เกี่ยวข้องกับฐานะความมั่นคงและการควบคุม

ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่กำหนดขึ้นก็เพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงินให้มีความถูกต้องและน่าเชื่อถือได้เป็นสำคัญ ทั้งนี้อาจสรุปได้ดังนี้

ภาพนิ่ง1

ภาพนิ่ง2

ภาพนิ่ง3

มาตรการดังกล่าวข้างต้น ถึงแม้จะใช้มาเป็นเวลานานมากแล้ว แต่ทุกอย่างก็ยังใช้อยู่ แต่มีการปรับปรุงให้เหมาะสมกับสภาพแวดล้อมทางด้านเทคโนโลยีสารสนเทศยุคใหม่ ที่มีความเสี่ยงต่าง ๆ มากขึ้น ซึ่งผมจะได้ค่อย ๆ ทยอยเล่าถึงวิวัฒนาการการพัฒนาการกำกับและตรวจสอบทางด้านเทคโนโลยีสารสนเทศ จนในที่สุดจะก้าวไปถึงยุค GEIT / GRC ในปัจจุบันครับ