Internal Control: บทนำและที่มา

<เนื้อหาดังกล่าวเกี่ยวกับ IT Auditing ซึ่งมีการแสดงความเห็นส่วนตัวที่ไม่ใช่ความเชี่ยวชาญของผู้เขียน กรุณาอ่านหน้า "ข้อตกลงและคำเตือนเกี่ยวกับเนื้อหา" ก่อน>
<เชิญดู บทนำ ซึ่งชี้แจงวัตถุประสงค์ของเนื้อหาในหมวด IT Auditing>
<สารบัญ (กำลังตามมาใน 2-3 อาทิตย์)>

Internal Control คืออะไร
ดูนิยามของ Internal Control [ลิ๊งค์นิยาม]

ทำไมต้องมี Internal Control
ตามความเห็นส่วนตัวของผู้เขียนคิดว่าที่มาของ Internal Control มีดังนี้

• ตามกฎหมายธุรกิจนั้น ความสัมพันธ์ระหว่างองค์กรต่างๆกับบุคคลที่สามภายนอกต่างๆ ซึ่งรวมทั้งพนักงานที่เป็นลูกจ้างของบริษัท จะถูกบังคับตามกฎหมายว่าด้วยตัวแทนและตัวการ (Agent and Principal) ซึ่งอยู่ในหัวข้อ "ลักษณะ 15 ตัวแทน" [หน้า 153-159] ของ ประมวลกฎหมายแพ่งและพาณิชย์ พ.ศ. 2486  (ฉบับปรับปรุง ก.พ. 2551) [ลิ๊งค์เอกสาร] (กรณีนายจ้าง-ลูกจ้างจะบังคับใช้ "ลักษณะ 6 จ้างแรงงาน" [หน้า 116-117] ของประมวลกฎหมายแพ่งและพาณิชย์ดังกล่าวด้วย)
• ในองค์กรประเภทต่างๆจะมีกฎหมายที่บังคับใช้ความสัมพันธ์รูปแบบการเป็นตัวแทนระหว่างองค์กรกับบุุคคลที่สาม (บุคคลภายนอก) เช่น
• บริษัทจำกัด: หมวด 4 ส่วนที่ 3 มาตรา 1167 ของประมวลกฎหมายแพ่งและพาณิชย์ พ.ศ. 2486  (ฉบับปรับปรุง ก.พ. 2551) [ลิ๊งค์เอกสาร] [หน้า 222]
• บริษัทมหาชนจำกัด: หมวด 6 มาตรา 97 ของพรบ. บริษัทมหาชนจำกัด พ.ศ. 2535 [ลิ๊งค์เอกสาร] [หน้า 19]
• สถาบันการเงิน: หมวด 1 มาตรา 9 ของพรบ. ธุรกิจสถาบันการเงิน พ.ศ. 2551 [ลิ๊งค์เอกสาร] [หน้า 5] -> มาตราดังกล่าวระบุว่าธุรกิจที่จัดเป็นสถาบันการเงินจะต้องเป็นบริษัทมหาชน จำกัดเท่านั้น ทำให้สถาบันการเงินเป็นบริษัทมหาชนจำกัดและความสัมพันธ์รูปแบบการเป็นตัวแทน ถูกบังคับใช้ตามหมวด 6 มาตรา 97 ข้างบน
• ฯลฯ สำหรับองค์กรธุรกิจและราชการประเภทอื่นๆ 
• ในเรื่องเกี่ยวกับตัวแทนมีเรื่องเกี่ยวกับหน้าที่ความรับผิดชอบของตัวแทนต่อตัวการ ตามมาตรา 807 และ 812 [หน้า 154-155] ของประมวลกฎหมายแพ่งและพาณิชย์ สรุปได้ว่าตัวแทนต้องทำงานตามคำสั่งของตัวการที่ทั้งแสดงออกชัดหรือโดยปริยาย ซึ่งถ้าละเมิดตัวแทนต้องรับผิดชอบฝ่ายเดียว 
• ดังนั้นองค์กรต่างๆและบริษัทตรวจสอบบัญชีซึ่งมีประสบการณ์ในการค้นพบจุดบกพร่องในกระบวนการดำเนินการขององค์กรจึงได้จัดทำ Framework สำหรับ Internal Control ดังกล่าวขึ้นมา เพื่อปกป้ององค์กร (ตัวการ) และควบคุมตัวแทนที่ทำหน้าที่แทนองค์กรด้วยกฎระเบียบการทำงานที่แสดงออกชัดและคิดว่าเหมาะสมสำหรับการดำเนินธุรกิจขององค์กรต่างๆ
• (ในกรณีเรื่องลูกจ้างและตัวแทน เพื่อทวนสอบความเห็นส่วนตัวข้างต้นในกรณีของประเทศไทย ผู้อ่านจะต้องอ่านคำพิพากษาศาลฎีกาในประเทศไทยว่ามีการตัดสินว่าลูกจ้างเป็น ตัวแทนด้วยหรือไม่)
• ที่ผู้เขียนอ้างว่าลูกจ้างก็เป็นตัวแทนด้วย ผู้เขียนอ้างตามหนังสือกฎหมายของสหรัฐอเมริกา ซึ่งคาดว่าทางศาลไทยน่าจะยึดหลักดังกล่าวและน่าจะปรากฏในคำพิพากษาศาลฎีกา โดยหนังสือและข้อความที่อ้างปรากฏที่หน้าดังกล่าวดังนี้
• หน้า 638 บทที่ 31 ของ Clarkson, K.W., Miller, R.L., Jentz, G.A., Cross, F.B.; BUSINESS LAW, 11th Edition TEXT & CASES, Legal, Ethical, Global, and E-Commerce Environments; South-Western Cengage Learning; 2009 -> "... Most employees are also considered to be agents of their employers. Thus, some of the concepts that you will learn about in Chapters 33 and 34, on employment law, are based on agency law. ..." 
• หน้า 573 บทที่ 29 ของ Mann, R.A., Roberts, B.S.; Business Law and the Regulation of Business, Tenth Edition; South-Western Cengage Learning; 2011 -> "... In the employment relationship , for the purposes of vicarious liability discussed in the next chapter, an employee is an agent whose principal controls or has the right to control the manner and means of the agent’s performance of work. All employees are agents, even those employees not authorized to contract on behalf of the employer or otherwise to conduct business with third parties. ..."

คิดว่า Internal Control Framework ใดที่น่าจะสำคัญ

• Framework ด้าน Internal Control สำหรับระบบบัญชีที่มีอิทธิพลมากกว่า Framework อื่นๆ น่าจะเป็น Internal Control - Integrated Framework [ลิ๊งค์เอกสาร] ของ COSO (ความมีอิทธิพลก็เนื่องจากมี AICPA และ IIA ซึ่งควบคุมการสอบและอนุมัติใบ CPA ซึ่ง Audit Big Four ก็จำเป็นให้ Auditor ระดับสูงทุกคนต้องผ่าน)
• ในส่วน Internal Control ของ IT ตามที่ได้กล่าวไปแล้วในบทนำ CObIT [ลิ๊งค์เอกสาร] และ Standard [ลิ๊งค์เอกสาร] ของ ISACA น่าจะมีอิทธิพลมาก เนื่องจากเป็นองค์กรย่อยของ IFAC ซึ่งมี AICPA และ IIA เป็นสมาชิกเช่นกัน
• (ผู้เขียนเข้าใจว่าผู้อ่านบางคนคิดถึงเรื่องจรรยาบรรณของ Auditor ทั้งหลาย ซึ่งเป็นเรื่องที่อยู่นอกขอบเขตความสนใจของ Blog ผู้เขียน (นอกจากจะขอประชดประชันบ้างเป็นครั้งคราว :p) ผู้เขียนแนะนำว่าเรื่องจรรยาบรรณต่างๆมี Textbook เกี่ยวกับ Audit Cases ต่างๆที่น่าสนใจตามศูนย์หนังสือต่างๆ  โดย Case ต่างๆดังกล่าวก็สรุปให้เห็นชัดว่า Auditor ที่ไม่มีจรรยาบรรณสุดท้ายแล้วก็ไม่ได้มีตอนจบที่สวยหรูเป็นส่วนใหญ่)

ตัวอย่างของ Internal Control
การแบ่งประเภทของ Internal Control ขออ้างอิงตามเนื้อหาเตรียมการสอบของ CISA ที่เป็นแนวทางสำหรับของ IT Audit (Cannon, D.L.; CISA : certified information systems auditor study guide, 3rd ed.; Wiley Publishing, Inc., Indianapolis, Indiana; 2011) หน้า 169-170 ซึ่งแบ่งเป็น 3 ประเภท ได้แก่

• Preventative: ทำการหยุดยั้งปัญหาก่อนเกิดขึ้นจริง
• Detective: ทำการค้นหาและรายงานปัญหาที่เกิดขึ้นให้รับรู้
• Corrective: ทำการแก้ไขปัญหาที่เกิดขึ้นหลังพบจากการค้นหา

โดย Control แต่ละประเภทสามารถทำให้เกิดขึ้นได้ด้วย 3 วิธี ได้แก่

• Administrative: ใช้นโยบายและระเบียบขั้นตอนที่เป็นลายลักษณ์อักษร (เน้นที่ตัวบุคคล)
• Technical: ใช้ Software หรือ Hardware ในการสร้างกระบวนการ (เน้นที่เทคโนโลยี)
• Physical: ใช้ตัวกั้นในเชิงกายภาพและสิ่งที่มองเห็นได้ชัด (เช่น การออกแบบอาคารสิ่งก่อสร้าง)

ตัวอย่างของ Internal Control (หน้า 170)

• Preventative Administrative: ระเบียบการจ้างงานและสอบประวัติ, การแบ่งแยกหน้าที่ความรับผิดชอบ (Segregation of Duties), สัญญาธุรกิจ, กฎหมายและกฎระเบียบ ฯลฯ
• Preventative Technical: การสำรองข้อมูล, HA Standby, Access Control List ฯลฯ
• Preventative Physical: รั้วรอบอาคาร, ยามรักษาความปลอดภัย, กลอนประตู ฯลฯ
• Detective Administrative: การบังคับพักร้อน, System Logs, หมายเลขเช็ค ฯลฯ
• Detective Technical: Checksum, Intrusion Detection System, Application Logging ฯลฯ
• Detective Physical: ระบบกริ่งเตือนภัย, การนับสินค้าคงเหลือ, ใบ Invoice ฯลฯ
• Corrective Administrative: ระเบียบการออกของพนักงาน, แผน BCP และ DRP, บทเรียนที่ได้รับ (Lesson Learned), ประกันภัยต่างๆ ฯลฯ
• Corrective Technical: การกู้ข้อมูลจากส่วนที่สำรองไว้, การกำหนด Router สลับไปยัง Redundant Site ฯลฯ
• Corrective Physical: Sprinkler เพื่อดับไฟ, Disaster Recovery ไป Redundant Sites ฯลฯ

ISACA และ CObIT คืออะไร?

<เนื้อหาดังกล่าวเกี่ยวกับ IT Auditing ซึ่งมีการแสดงความเห็นส่วนตัวที่ไม่ใช่ความเชี่ยวชาญของผู้เขียน กรุณาอ่านหน้า "ข้อตกลงและคำเตือนเกี่ยวกับเนื้อหา" ก่อน>
<เชิญดู บทนำ ซึ่งชี้แจงวัตถุประสงค์ของเนื้อหาในหมวด IT Auditing>
<สารบัญ (กำลังตามมาใน 2-3 อาทิตย์)>

ความหมายและวัตถุประสงค์ขององค์กร
ISACA (Information Systems Audit and Control Association) เป็นองค์กรในเครือของ IFAC ที่ดูแลเกี่ยวกับมาตรฐานและการทดสอบสำหรับสายงานทางด้านการตรวจสอบและการควบคุมระบบ IT

กิจกรรมและชิ้นงานที่เป็นที่รู้จักในวงกว้าง

• จัดทำการทดสอบรับรองความเชี่ยวชาญทางด้าน IT Audit โดยการรับรองที่เป็นที่รู้จักกันดีคือ CISA (Certified Information Systems Auditor) ซึ่งถ้าเทียบกับสายงาน Audit ทางบัญชี "เหมือนจะ" เทียบเท่า CPA (Certified Public Accountant) ของ AICPA
• นอกจากนัันจะมี CISM, CRISC, และ CGEIT แต่ไม่เป็นที่นิยมแพร่หลายในปัจจุบัน เนื่องจากหัวข้อดังกล่าวเน้นไปทางสายงานบริหารไม่ใช่สายงานผู้เชี่ยวชาญ
• สำหรับความ "เหมือนจะ" กลับไปดูเหตุผลที่ บทนำ ได้ในช่วงที่กล่าวถึง IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals [ลิ๊งค์เอกสาร] หรือคลิ๊ก Link ไปหา Standard ดังกล่าวที่ หน้า 43 หัวข้อ 3.1.4 ซึ่งใจความคือ 
• "3.1.4 กรณีที่ทำ IT Audit หากระบบดังกล่าวเกี่ยวกับธุรกรรมทางการเงิน (Financial Transaction) ต้องพิจารณานำมาตรวัดทางสาระสำคัญ (Materiality [ลิ๊งค์นิยาม]) ของการทำ Financial Audit มาประกอบกับการ IT Audit ระบบดังกล่าวด้วย"
• CObIT [ลิ๊งค์เอกสาร] (Control Objectives for Information and related Technology) Framework ซึ่งเป็นกรอบงานที่แนะนำการ Implement IT Governance ซึ่งถ้าเทียบกับด้านการบัญชีจะเทียบเท่ากับ Internal Control - Integrated Framework [ลิ๊งค์เอกสาร] ของ COSO (Committee of Sponsoring Organisations of the Treadway Commission’s) หรือใน Version ที่ใหม่กว่าจะเป็น Enterprise Risk Management - Integrated Framework [ลิ๊งค์เอกสาร]
• ในเอกสารของทาง CObIT หน้า 5 ย่อหน้าที่ 4 กล่าวว่า Framework ของ COSO (หรือของสถาบันอื่นเทียบเท่า) จะเป็น Internal Control Framework ของทั้งองค์กร (Enterprise) ส่วน CObIT จะเป็น Internal Control [ลิ๊งค์นิยาม] Framework ของแผนก IT
• ตัวอย่างของ Internal Control เช่น Segregation of Duties, Input Validation, Business Continuity Plan ฯลฯ
• IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals [ลิ๊งค์เอกสาร] ซึ่งเป็นมาตรฐานที่จัดทำขึ้นเพื่อให้ผู้เป็น CISA รวมทั้งผู้ที่เกี่ยวข้องในการ Audit มีหลักเกณฑ์ที่ชัดเจนว่าจำเป็นต้องพิจารณาทำการ IT Audit ในหัวข้อใดบ้าง โดยจะมีการอ้างอิงถึง CObIT ในแต่ละหัวข้อภายใน Standard ดังกล่าว
• ในหน้าที่ 6 หัวข้อ IT Audit and Assurance Standards Overview ของ Standard อธิบายแนวทางอย่างชัดเจนของการใช้ CObIT ในการทำ IT Audit ดังนี้ 
• Control Objectives แต่ละหัวข้อ (เช่น PO9, AI4, DS3 ฯลฯ) อธิบายถึงการควบคุมที่ดีขั้นน้อยที่สุด (minimum good control) ในกระบวนการด้าน IT ที่ต้องการทำ Audit
• Management Guidelines ที่ประกอบ Control Objectives แต่ละหัวข้อจะใช้ประเมินและพัฒนา (assess and improve) สมรรถนะของกระบวนการด้าน IT
• Standard ดังกล่าวจึงสรุปใจความการประยุกต์ใช้ CObIT ว่าสามารถใช้ได้ทั้งการเป็น IT Process Audit และ IT Process Improvement ได้ทั้งสองรูปแบบ

ข้อตกลงและคำเตือนเกี่ยวกับเนื้อหาใน Blog

เนื่องจากเนื้อหาบางส่วนใน Blog นี้เกี่ยวกับหัวข้อ IT Auditing ซึ่งหลีกเลี่ยงไม่ได้ที่จะต้องอ้างอิงและกล่าวถึงกฎระเบียบข้อบังคับจากภายนอกที่เกี่ยวข้อง

ดังนั้นข้าพเจ้า tao36240 (นามแฝง) ผู้เขียน Blog นี้จึงขอตกลงและเตือนให้ผู้อ่านในหัวข้อต่างๆที่พาดพิงถึงกฎระเบียบข้อบังคับต่างๆใน Blog นี้ตามประเด็นต่างๆดังนี้

• ผู้เขียนจบการศึกษาทางศาสตร์ด้านคอมพิวเตอร์ ไม่ได้จบมาทางด้านการบัญชีหรือกฎหมาย ดังนั้นเนื้อหาต่างๆจึงเป็น ความคิดเห็นส่วนตัว จากการอ่านและค้นคว้าด้วยตนเอง
• เนื่องจากเป็น ความคิดเห็นส่วนตัว ดังนั้นเนื้อหาต่างๆจึงไม่สามารถไปอ้างอิงเพื่อใช้งานได้ในทางกฎหมาย ผู้อ่านที่จำเป็นต้องใช้ความรู้จากเนื้อหาดังกล่าวได้จริง จำเป็นต้องใช้บริการการปรึกษาจากผู้เชี่ยวชาญซึ่งได้ผ่านการรับรองจากสถาบันที่มีความน่าเชื่อถือทางความเชี่ยวชาญด้านต่างๆดังกล่าวด้วยตนเอง
• ผู้เขียนมีจุดประสงค์ในการแสดงความเห็นส่วนตัวในเชิงวิชาการ ไม่ได้มีเครือข่ายหรือเพื่อนที่เชี่ยวชาญเกี่ยวกับความเห็นส่วนตัวที่ได้เขียนใน Blog นี้ ดังนั้นไม่ต้องทำการติดต่อมาทางผู้เขียนเพราะผู้เขียนก็ไม่ทราบว่าจะไปติดต่อที่ปรึกษาผู้เชี่ยวชาญต่อไปได้อย่างไร
• ถ้าผู้อ่านจำเป็นต้องทำการปรึกษาจริงๆจังๆ กรุณาติดต่อเครือข่ายหรือเพื่อนที่รู้จักเพื่อหาผู้เชี่ยวชาญมาดำเนินการต่อไป

บทนำของ IT Auditing in Organization Series: องค์การ ISACA, มาตรฐาน CObIT และความสำคัญสำหรับการตรวจสอบระบบ IT ขององค์กร

<เนื้อหาดังกล่าวเกี่ยวกับ IT Auditing ซึ่งมีการแสดงความเห็นส่วนตัวที่ไม่ใช่ความเชี่ยวชาญของผู้เขียน กรุณาอ่านหน้า "ข้อตกลงและคำเตือนเกี่ยวกับเนื้อหา" ก่อน>


ทำไมจึงอยากเขียน Series ของบทความเกี่ยวกับเรื่อง IT Auditing in Organization

• จากประสบการณ์ทำงานแผนก IT ขององค์กรระดับมหาชนทั้งองค์กรท้องถิ่นและองค์กรข้ามชาติ คิดว่าเรื่องดังกล่าวเป็นเรื่องสำคัญ ด้วยเหตุผลดังนี้
• พนักงานที่ทำงานเป็นลูกจ้างหรือเป็นที่ปรึกษาอิสระทางด้าน IT ให้กับองค์กรขนาดค่อนข้างใหญ่จะรู้สึกหงุดหงิดว่าทำอะไรไม่ได้ดั่งใจ ติดกระบวนการและระเบียบงานต่างๆที่ทำให้ดำเนินการเรื่องต่างๆได้ล่าช้า
• คอร์สและหลักสูตรด้านสายคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศของสถาบันการศึกษาต่างๆให้ความสำคัญทางด้านเทคนิคและทฤษฎีค่อนข้างมาก อันเป็นการปูพื้นฐานด้านความรู้ให้นักศีกษาจบใหม่ได้เพียบพร้อมกับการทำงาน แต่ทำให้นักศึกษาจบใหม่ส่วนใหญ่เข้าใจผิดว่าตนมีความเชี่ยวชาญที่ดีพอแล้วจากการเล่าเรียนที่ใช้เวลานาน ซึ่งในความเป็นจริงยังขาดความเข้าใจและประสบการณ์เกี่ยวกับกระบวนการของระบบ IT ที่สอดคล้องกับระเบียบข้อบังคับที่เป็นสากล (จำเป็นต้องปฏิบัติตามโดยไม่สามารถหลีกเลี่ยงได้ ซึ่งเหตุผลดังกล่าวอธิบายอยู่ในหัวข้อ "ทำไมต้อง ISACA และ CObIT")

ISACA และ CObIT คืออะไร
(กำลังเรียบเรียง ใครเป็นนักเรียนรู้ที่ดีลอง Google และ Wikipedia ดูก่อนได้)

ทำไมต้อง ISACA และ CObIT

• เป็นคำถามที่ตนเองใคร่ครวญมานาน (และการโดนล้างสมองหลังจากไปสมัคร Free-Membership กับ ISACA แล้วโดนถล่มด้วย Brochure ให้ไปสอบ Certification CISA และอื่นๆขององค์กรทุกๆครี่งปี) และค้นพบคำตอบในปลายเดือน ก.ค. 2012 ทีผ่านมา (ด้วยอาจารย์ Google และหอสมุด Wikipedia อีกนั่นแหละ)
• จากบทความเกี่ยวกับ ISACA บน Wikipedia ทางองค์กรเป็นองค์กรย่อยของ IFAC (International Federation of Accountants) ซึ่งถ้ากด Link ไปดู IFAC และกด Link อีกทีไปดูสมาชิกและองค์กรย่อยของ IFAC (IFAC Member Bodies and Associates) จะเห็นว่า AICPA, IIA, CIMA ฯลฯ ก็เป็นสมาชิกของ IFAC ด้วย
• สำหรับคนจบสายด้านบัญชีมาจะรู้ได้ทันทีเลยว่า AICPA และ IIA หมายถึงองค์กรใด (ถ้าหลับในวิชา Audit หรือว่าเคยนั่งเรียนมานานแล้ว อ่านต่อไป :p) 
• องค์กรดังกล่าวเป็นองค์กรกำหนดมาตรฐานด้านการบัญชีสาธารณะ (Public Accounting Standard) และการตรวจสอบบัญชีภายใน (Internal Auditing) ของประเทศสหรัฐอเมริกา
• หรือให้พูดง่ายๆ AICPA คือองค์กรที่จัดทำข้อสอบเพื่อรับรอง CPA (Certified Public Accountant) ที่เด็กบัญชีรู้ดีว่าเป็นใบรับรองที่สำคัญอย่างไร
• ถ้าจะให้เห็นความสำคัญ (หรือการโดนมัดมือชก) การรับรอง CPA ดังกล่าวเป็นเงื่อนไขบังคับในการได้ทำงาน Audit ระดับสูงในองค์กร Audit Big Four (PwC, E&Y, KPMG, DT)
• เนื่องจาก IFAC เป็นองค์กรร่ม (Umbrella Organization) ที่มี AICPA เป็นสมาชิก จึงไม่แปลกว่า CPA และ Auditor ใน Big Four จะต้องโปรดปราน (หรือไม่มีทางเลือกอื่น) ที่จะใช้ CObIT ของ ISACA ในการทำ IT Audit ด้วย
• มาตรฐานที่มีเนื้อหาใกล้เคียงและเทียบเคียงพอได้คือมาตรฐาน CMMI for Development [ลิ๊งค์เอกสาร] และ CMMI for Services [ลิ๊งค์เอกสาร] (ซึ่งเปิดกว้างให้สามารถ Download เนื้อหามาศึกษาเพิ่มเติมได้เองมากกว่า) โดย CMMI for Development จะเทียบกับ CObIT ส่วนที่เกี่ยวกับการพัฒนาระบบและ CMMI for Service จะเทียบกับ CObIT ในส่วนที่เกี่ยวกับการให้บริการและดูแลรักษาระบบ
• แม้จะมีเนื้อหาใกล้เคียงกัน ทางผู้เขียนคิดว่า CObIT น่าจะยังคงเป็นมาตรฐานที่น่าจะมีอิทธิพลมากกว่า เนื่องจากเป็นมาตรฐานของ ISACA ซึ่งเป็นองค์กรที่เกี่ยวพันกับ IFAC ที่มีอิทธิพลกับองค์กร Audit Big Four และกฎหมายบังคับเกี่ยวกับการ Audit ระบบงานขององค์กรทั้งโลกส่วนใหญ่เน้นไปที่การตรวจสอบระบบบัญชีเป็นหลัก โดยระบบ IT เป็นเพียงส่วนสนับสนุนทำให้ทำงานระบบบัญชีได้สะดวกขึ้น
• ตัวอย่างกฎหมายเกี่ยวกับการตรวจสอบบัญชีในประเทศไทย ได้แก่ 
• บริษัทจำกัด: หมวด 4 ส่วนที่ 5 มาตรา 1213 และ 1214 ของประมวลกฎหมายแพ่งและพาณิชย์ พ.ศ. 2486  (ฉบับปรับปรุง ก.พ. 2551) [ลิ๊งค์เอกสาร] [หน้า 229]
• บริษัทมหาชนจำกัด: หมวด 8 มาตรา 109 , 121 และ 122 (รวมทั้งมาตราอื่นๆที่เกี่ยวข้อง) ของพรบ. บริษัทมหาชนจำกัด พ.ศ. 2535 [ลิ๊งค์เอกสาร] [หน้า 21 และ 23]
• สถาบันการเงิน: ส่วนที่ 8 มาตรา 66 ถึง 71 ของพรบ. ธุรกิจสถาบันการเงิน พ.ศ. 2551 [ลิ๊งค์เอกสาร] [หน้า 20 ถึง 22]
• ฯลฯ สำหรับองค์กรธุรกิจและราชการประเภทอื่นๆ
• (ทั้งนี้จะมีอำนาจหน้าที่ และที่สำคัญกว่าคือ บทลงโทษหากไม่ปฏิบัติตาม ในส่วนอื่นๆของกฎหมายแต่ละฉบับ)
• ในด้านที่ระบบ IT เป็นเพียงส่วนสนับสนุนและเน้นในการตรวจสอบด้านบัญชีที่เกี่ยวกับตัวเงินเป็นหลักนั้นจะเห็นได้ชัดจาก IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals [ลิ๊งค์เอกสาร] (มาตรฐานของ ISACA ที่เริ่มจัดทำช่วงค.ศ. 2006 เพื่อให้ผู้ถือ CISA และผู้เกี่ยวข้องมีหลักเกณฑ์ชัดเจนมากขึ้นในการทำ IT Audit ) ใน Guideline G6 หัวข้อ 3.1.4 [หน้า 43] ที่กล่าวไว้ดังนี้
• "3.1.4 กรณีที่ทำ IT Audit หากระบบดังกล่าวเกี่ยวกับธุรกรรมทางการเงิน (Financial Transaction) ต้องพิจารณานำมาตรวัดทางสาระสำคัญ (Materiality [ลิ๊งค์นิยาม]) ของการทำ Financial Audit มาประกอบกับการ IT Audit ระบบดังกล่าวด้วย"
• ดังนั้นผู้ตรวจสอบระบบบัญชีจึงน่าจะมีอิทธิพลมากกว่าผู้ตรวจสอบระบบ IT ซึ่งเป็นส่วนสนับสนุนงานขององค์กรทั่วไป การเรียกใช้บริการตรวจสอบขององค์กรต่างๆจึงเน้นที่ระบบบัญชีตามที่กฎหมายบังคับเป็นสำคัญซึ่งเป็นความเชี่ยวชาญหลักของ IFAC อยู่แล้ว