บทนำของ IT Auditing in Organization Series: องค์การ ISACA, มาตรฐาน CObIT และความสำคัญสำหรับการตรวจสอบระบบ IT ขององค์กร

<เนื้อหาดังกล่าวเกี่ยวกับ IT Auditing ซึ่งมีการแสดงความเห็นส่วนตัวที่ไม่ใช่ความเชี่ยวชาญของผู้เขียน กรุณาอ่านหน้า "ข้อตกลงและคำเตือนเกี่ยวกับเนื้อหา" ก่อน>


ทำไมจึงอยากเขียน Series ของบทความเกี่ยวกับเรื่อง IT Auditing in Organization

• จากประสบการณ์ทำงานแผนก IT ขององค์กรระดับมหาชนทั้งองค์กรท้องถิ่นและองค์กรข้ามชาติ คิดว่าเรื่องดังกล่าวเป็นเรื่องสำคัญ ด้วยเหตุผลดังนี้
• พนักงานที่ทำงานเป็นลูกจ้างหรือเป็นที่ปรึกษาอิสระทางด้าน IT ให้กับองค์กรขนาดค่อนข้างใหญ่จะรู้สึกหงุดหงิดว่าทำอะไรไม่ได้ดั่งใจ ติดกระบวนการและระเบียบงานต่างๆที่ทำให้ดำเนินการเรื่องต่างๆได้ล่าช้า
• คอร์สและหลักสูตรด้านสายคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศของสถาบันการศึกษาต่างๆให้ความสำคัญทางด้านเทคนิคและทฤษฎีค่อนข้างมาก อันเป็นการปูพื้นฐานด้านความรู้ให้นักศีกษาจบใหม่ได้เพียบพร้อมกับการทำงาน แต่ทำให้นักศึกษาจบใหม่ส่วนใหญ่เข้าใจผิดว่าตนมีความเชี่ยวชาญที่ดีพอแล้วจากการเล่าเรียนที่ใช้เวลานาน ซึ่งในความเป็นจริงยังขาดความเข้าใจและประสบการณ์เกี่ยวกับกระบวนการของระบบ IT ที่สอดคล้องกับระเบียบข้อบังคับที่เป็นสากล (จำเป็นต้องปฏิบัติตามโดยไม่สามารถหลีกเลี่ยงได้ ซึ่งเหตุผลดังกล่าวอธิบายอยู่ในหัวข้อ "ทำไมต้อง ISACA และ CObIT")

ISACA และ CObIT คืออะไร
(กำลังเรียบเรียง ใครเป็นนักเรียนรู้ที่ดีลอง Google และ Wikipedia ดูก่อนได้)

ทำไมต้อง ISACA และ CObIT

• เป็นคำถามที่ตนเองใคร่ครวญมานาน (และการโดนล้างสมองหลังจากไปสมัคร Free-Membership กับ ISACA แล้วโดนถล่มด้วย Brochure ให้ไปสอบ Certification CISA และอื่นๆขององค์กรทุกๆครี่งปี) และค้นพบคำตอบในปลายเดือน ก.ค. 2012 ทีผ่านมา (ด้วยอาจารย์ Google และหอสมุด Wikipedia อีกนั่นแหละ)
• จากบทความเกี่ยวกับ ISACA บน Wikipedia ทางองค์กรเป็นองค์กรย่อยของ IFAC (International Federation of Accountants) ซึ่งถ้ากด Link ไปดู IFAC และกด Link อีกทีไปดูสมาชิกและองค์กรย่อยของ IFAC (IFAC Member Bodies and Associates) จะเห็นว่า AICPA, IIA, CIMA ฯลฯ ก็เป็นสมาชิกของ IFAC ด้วย
• สำหรับคนจบสายด้านบัญชีมาจะรู้ได้ทันทีเลยว่า AICPA และ IIA หมายถึงองค์กรใด (ถ้าหลับในวิชา Audit หรือว่าเคยนั่งเรียนมานานแล้ว อ่านต่อไป :p) 
• องค์กรดังกล่าวเป็นองค์กรกำหนดมาตรฐานด้านการบัญชีสาธารณะ (Public Accounting Standard) และการตรวจสอบบัญชีภายใน (Internal Auditing) ของประเทศสหรัฐอเมริกา
• หรือให้พูดง่ายๆ AICPA คือองค์กรที่จัดทำข้อสอบเพื่อรับรอง CPA (Certified Public Accountant) ที่เด็กบัญชีรู้ดีว่าเป็นใบรับรองที่สำคัญอย่างไร
• ถ้าจะให้เห็นความสำคัญ (หรือการโดนมัดมือชก) การรับรอง CPA ดังกล่าวเป็นเงื่อนไขบังคับในการได้ทำงาน Audit ระดับสูงในองค์กร Audit Big Four (PwC, E&Y, KPMG, DT)
• เนื่องจาก IFAC เป็นองค์กรร่ม (Umbrella Organization) ที่มี AICPA เป็นสมาชิก จึงไม่แปลกว่า CPA และ Auditor ใน Big Four จะต้องโปรดปราน (หรือไม่มีทางเลือกอื่น) ที่จะใช้ CObIT ของ ISACA ในการทำ IT Audit ด้วย
• มาตรฐานที่มีเนื้อหาใกล้เคียงและเทียบเคียงพอได้คือมาตรฐาน CMMI for Development [ลิ๊งค์เอกสาร] และ CMMI for Services [ลิ๊งค์เอกสาร] (ซึ่งเปิดกว้างให้สามารถ Download เนื้อหามาศึกษาเพิ่มเติมได้เองมากกว่า) โดย CMMI for Development จะเทียบกับ CObIT ส่วนที่เกี่ยวกับการพัฒนาระบบและ CMMI for Service จะเทียบกับ CObIT ในส่วนที่เกี่ยวกับการให้บริการและดูแลรักษาระบบ
• แม้จะมีเนื้อหาใกล้เคียงกัน ทางผู้เขียนคิดว่า CObIT น่าจะยังคงเป็นมาตรฐานที่น่าจะมีอิทธิพลมากกว่า เนื่องจากเป็นมาตรฐานของ ISACA ซึ่งเป็นองค์กรที่เกี่ยวพันกับ IFAC ที่มีอิทธิพลกับองค์กร Audit Big Four และกฎหมายบังคับเกี่ยวกับการ Audit ระบบงานขององค์กรทั้งโลกส่วนใหญ่เน้นไปที่การตรวจสอบระบบบัญชีเป็นหลัก โดยระบบ IT เป็นเพียงส่วนสนับสนุนทำให้ทำงานระบบบัญชีได้สะดวกขึ้น
• ตัวอย่างกฎหมายเกี่ยวกับการตรวจสอบบัญชีในประเทศไทย ได้แก่ 
• บริษัทจำกัด: หมวด 4 ส่วนที่ 5 มาตรา 1213 และ 1214 ของประมวลกฎหมายแพ่งและพาณิชย์ พ.ศ. 2486  (ฉบับปรับปรุง ก.พ. 2551) [ลิ๊งค์เอกสาร] [หน้า 229]
• บริษัทมหาชนจำกัด: หมวด 8 มาตรา 109 , 121 และ 122 (รวมทั้งมาตราอื่นๆที่เกี่ยวข้อง) ของพรบ. บริษัทมหาชนจำกัด พ.ศ. 2535 [ลิ๊งค์เอกสาร] [หน้า 21 และ 23]
• สถาบันการเงิน: ส่วนที่ 8 มาตรา 66 ถึง 71 ของพรบ. ธุรกิจสถาบันการเงิน พ.ศ. 2551 [ลิ๊งค์เอกสาร] [หน้า 20 ถึง 22]
• ฯลฯ สำหรับองค์กรธุรกิจและราชการประเภทอื่นๆ
• (ทั้งนี้จะมีอำนาจหน้าที่ และที่สำคัญกว่าคือ บทลงโทษหากไม่ปฏิบัติตาม ในส่วนอื่นๆของกฎหมายแต่ละฉบับ)
• ในด้านที่ระบบ IT เป็นเพียงส่วนสนับสนุนและเน้นในการตรวจสอบด้านบัญชีที่เกี่ยวกับตัวเงินเป็นหลักนั้นจะเห็นได้ชัดจาก IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals [ลิ๊งค์เอกสาร] (มาตรฐานของ ISACA ที่เริ่มจัดทำช่วงค.ศ. 2006 เพื่อให้ผู้ถือ CISA และผู้เกี่ยวข้องมีหลักเกณฑ์ชัดเจนมากขึ้นในการทำ IT Audit ) ใน Guideline G6 หัวข้อ 3.1.4 [หน้า 43] ที่กล่าวไว้ดังนี้
• "3.1.4 กรณีที่ทำ IT Audit หากระบบดังกล่าวเกี่ยวกับธุรกรรมทางการเงิน (Financial Transaction) ต้องพิจารณานำมาตรวัดทางสาระสำคัญ (Materiality [ลิ๊งค์นิยาม]) ของการทำ Financial Audit มาประกอบกับการ IT Audit ระบบดังกล่าวด้วย"
• ดังนั้นผู้ตรวจสอบระบบบัญชีจึงน่าจะมีอิทธิพลมากกว่าผู้ตรวจสอบระบบ IT ซึ่งเป็นส่วนสนับสนุนงานขององค์กรทั่วไป การเรียกใช้บริการตรวจสอบขององค์กรต่างๆจึงเน้นที่ระบบบัญชีตามที่กฎหมายบังคับเป็นสำคัญซึ่งเป็นความเชี่ยวชาญหลักของ IFAC อยู่แล้ว