<เชิญดู บทนำ ซึ่งชี้แจงวัตถุประสงค์ของเนื้อหาในหมวด IT Auditing>
<สารบัญ (กำลังตามมาใน 2-3 อาทิตย์)>
Internal Control คืออะไร
ดูนิยามของ Internal Control [ลิ๊งค์นิยาม]
ทำไมต้องมี Internal Control
ตามความเห็นส่วนตัวของผู้เขียนคิดว่าที่มาของ Internal Control มีดังนี้
- ตามกฎหมายธุรกิจนั้น ความสัมพันธ์ระหว่างองค์กรต่างๆกับบุคคลที่สามภายนอกต่างๆ ซึ่งรวมทั้งพนักงานที่เป็นลูกจ้างของบริษัท จะถูกบังคับตามกฎหมายว่าด้วยตัวแทนและตัวการ (Agent and Principal) ซึ่งอยู่ในหัวข้อ "ลักษณะ 15 ตัวแทน" [หน้า 153-159] ของ ประมวลกฎหมายแพ่งและพาณิชย์ พ.ศ. 2486 (ฉบับปรับปรุง ก.พ. 2551) [ลิ๊งค์เอกสาร] (กรณีนายจ้าง-ลูกจ้างจะบังคับใช้ "ลักษณะ 6 จ้างแรงงาน" [หน้า 116-117] ของประมวลกฎหมายแพ่งและพาณิชย์ดังกล่าวด้วย)
- ในองค์กรประเภทต่างๆจะมีกฎหมายที่บังคับใช้ความสัมพันธ์รูปแบบการเป็นตัวแทนระหว่างองค์กรกับบุุคคลที่สาม (บุคคลภายนอก) เช่น
- บริษัทจำกัด: หมวด 4 ส่วนที่ 3 มาตรา 1167 ของประมวลกฎหมายแพ่งและพาณิชย์ พ.ศ. 2486 (ฉบับปรับปรุง ก.พ. 2551) [ลิ๊งค์เอกสาร] [หน้า 222]
- บริษัทมหาชนจำกัด: หมวด 6 มาตรา 97 ของพรบ. บริษัทมหาชนจำกัด พ.ศ. 2535 [ลิ๊งค์เอกสาร] [หน้า 19]
- สถาบันการเงิน: หมวด 1 มาตรา 9 ของพรบ. ธุรกิจสถาบันการเงิน พ.ศ. 2551 [ลิ๊งค์เอกสาร] [หน้า 5] -> มาตราดังกล่าวระบุว่าธุรกิจที่จัดเป็นสถาบันการเงินจะต้องเป็นบริษัทมหาชน จำกัดเท่านั้น ทำให้สถาบันการเงินเป็นบริษัทมหาชนจำกัดและความสัมพันธ์รูปแบบการเป็นตัวแทน ถูกบังคับใช้ตามหมวด 6 มาตรา 97 ข้างบน
- ฯลฯ สำหรับองค์กรธุรกิจและราชการประเภทอื่นๆ
- ในเรื่องเกี่ยวกับตัวแทนมีเรื่องเกี่ยวกับหน้าที่ความรับผิดชอบของตัวแทนต่อตัวการ ตามมาตรา 807 และ 812 [หน้า 154-155] ของประมวลกฎหมายแพ่งและพาณิชย์ สรุปได้ว่าตัวแทนต้องทำงานตามคำสั่งของตัวการที่ทั้งแสดงออกชัดหรือโดยปริยาย ซึ่งถ้าละเมิดตัวแทนต้องรับผิดชอบฝ่ายเดียว
- ดังนั้นองค์กรต่างๆและบริษัทตรวจสอบบัญชีซึ่งมีประสบการณ์ในการค้นพบจุดบกพร่องในกระบวนการดำเนินการขององค์กรจึงได้จัดทำ Framework สำหรับ Internal Control ดังกล่าวขึ้นมา เพื่อปกป้ององค์กร (ตัวการ) และควบคุมตัวแทนที่ทำหน้าที่แทนองค์กรด้วยกฎระเบียบการทำงานที่แสดงออกชัดและคิดว่าเหมาะสมสำหรับการดำเนินธุรกิจขององค์กรต่างๆ
- (ในกรณีเรื่องลูกจ้างและตัวแทน เพื่อทวนสอบความเห็นส่วนตัวข้างต้นในกรณีของประเทศไทย ผู้อ่านจะต้องอ่านคำพิพากษาศาลฎีกาในประเทศไทยว่ามีการตัดสินว่าลูกจ้างเป็น ตัวแทนด้วยหรือไม่)
- ที่ผู้เขียนอ้างว่าลูกจ้างก็เป็นตัวแทนด้วย ผู้เขียนอ้างตามหนังสือกฎหมายของสหรัฐอเมริกา ซึ่งคาดว่าทางศาลไทยน่าจะยึดหลักดังกล่าวและน่าจะปรากฏในคำพิพากษาศาลฎีกา โดยหนังสือและข้อความที่อ้างปรากฏที่หน้าดังกล่าวดังนี้
- หน้า 638 บทที่ 31 ของ Clarkson, K.W., Miller, R.L., Jentz, G.A., Cross, F.B.; BUSINESS LAW, 11th Edition TEXT & CASES, Legal, Ethical, Global, and E-Commerce Environments; South-Western Cengage Learning; 2009 -> "... Most employees are also considered to be agents of their employers. Thus, some of the concepts that you will learn about in Chapters 33 and 34, on employment law, are based on agency law. ..."
- หน้า 573 บทที่ 29 ของ Mann, R.A., Roberts, B.S.; Business Law and the Regulation of Business, Tenth Edition; South-Western Cengage Learning; 2011 -> "... In the employment relationship , for the purposes of vicarious liability discussed in the next chapter, an employee is an agent whose principal controls or has the right to control the manner and means of the agent’s performance of work. All employees are agents, even those employees not authorized to contract on behalf of the employer or otherwise to conduct business with third parties. ..."
- Framework ด้าน Internal Control สำหรับระบบบัญชีที่มีอิทธิพลมากกว่า Framework อื่นๆ น่าจะเป็น Internal Control - Integrated Framework [ลิ๊งค์เอกสาร] ของ COSO (ความมีอิทธิพลก็เนื่องจากมี AICPA และ IIA ซึ่งควบคุมการสอบและอนุมัติใบ CPA ซึ่ง Audit Big Four ก็จำเป็นให้ Auditor ระดับสูงทุกคนต้องผ่าน)
- ในส่วน Internal Control ของ IT ตามที่ได้กล่าวไปแล้วในบทนำ CObIT [ลิ๊งค์เอกสาร] และ Standard [ลิ๊งค์เอกสาร] ของ ISACA น่าจะมีอิทธิพลมาก เนื่องจากเป็นองค์กรย่อยของ IFAC ซึ่งมี AICPA และ IIA เป็นสมาชิกเช่นกัน
- (ผู้เขียนเข้าใจว่าผู้อ่านบางคนคิดถึงเรื่องจรรยาบรรณของ Auditor ทั้งหลาย ซึ่งเป็นเรื่องที่อยู่นอกขอบเขตความสนใจของ Blog ผู้เขียน (นอกจากจะขอประชดประชันบ้างเป็นครั้งคราว :p) ผู้เขียนแนะนำว่าเรื่องจรรยาบรรณต่างๆมี Textbook เกี่ยวกับ Audit Cases ต่างๆที่น่าสนใจตามศูนย์หนังสือต่างๆ โดย Case ต่างๆดังกล่าวก็สรุปให้เห็นชัดว่า Auditor ที่ไม่มีจรรยาบรรณสุดท้ายแล้วก็ไม่ได้มีตอนจบที่สวยหรูเป็นส่วนใหญ่)
การแบ่งประเภทของ Internal Control ขออ้างอิงตามเนื้อหาเตรียมการสอบของ CISA ที่เป็นแนวทางสำหรับของ IT Audit (Cannon, D.L.; CISA : certified information systems auditor study guide, 3rd ed.; Wiley Publishing, Inc., Indianapolis, Indiana; 2011) หน้า 169-170 ซึ่งแบ่งเป็น 3 ประเภท ได้แก่
- Preventative: ทำการหยุดยั้งปัญหาก่อนเกิดขึ้นจริง
- Detective: ทำการค้นหาและรายงานปัญหาที่เกิดขึ้นให้รับรู้
- Corrective: ทำการแก้ไขปัญหาที่เกิดขึ้นหลังพบจากการค้นหา
- Administrative: ใช้นโยบายและระเบียบขั้นตอนที่เป็นลายลักษณ์อักษร (เน้นที่ตัวบุคคล)
- Technical: ใช้ Software หรือ Hardware ในการสร้างกระบวนการ (เน้นที่เทคโนโลยี)
- Physical: ใช้ตัวกั้นในเชิงกายภาพและสิ่งที่มองเห็นได้ชัด (เช่น การออกแบบอาคารสิ่งก่อสร้าง)
- Preventative Administrative: ระเบียบการจ้างงานและสอบประวัติ, การแบ่งแยกหน้าที่ความรับผิดชอบ (Segregation of Duties), สัญญาธุรกิจ, กฎหมายและกฎระเบียบ ฯลฯ
- Preventative Technical: การสำรองข้อมูล, HA Standby, Access Control List ฯลฯ
- Preventative Physical: รั้วรอบอาคาร, ยามรักษาความปลอดภัย, กลอนประตู ฯลฯ
- Detective Administrative: การบังคับพักร้อน, System Logs, หมายเลขเช็ค ฯลฯ
- Detective Technical: Checksum, Intrusion Detection System, Application Logging ฯลฯ
- Detective Physical: ระบบกริ่งเตือนภัย, การนับสินค้าคงเหลือ, ใบ Invoice ฯลฯ
- Corrective Administrative: ระเบียบการออกของพนักงาน, แผน BCP และ DRP, บทเรียนที่ได้รับ (Lesson Learned), ประกันภัยต่างๆ ฯลฯ
- Corrective Technical: การกู้ข้อมูลจากส่วนที่สำรองไว้, การกำหนด Router สลับไปยัง Redundant Site ฯลฯ
- Corrective Physical: Sprinkler เพื่อดับไฟ, Disaster Recovery ไป Redundant Sites ฯลฯ
