ตามแนวทางของผู้สอบบัญชี ผู้บริหารควรจัดให้มีการตรวจสอบการใช้สเปรดชีตโดยใช้หน่วยงานตรวจสอบภายใน หน่วยงานประเมินความเสี่ยง หน่วยงานทางระบบข้อมูล ฝ่าย IT หรือหน่วยงานเฉพาะกิจ ซึ่งมีความเชี่ยวชาญในการออกแบบแฟ้มสเปรดชีต เชี่ยวชาญในการใช้สูตรและ VBA เพื่อดำเนินงาน ดังนี้

image005

  1. ระบุกลุ่มของแฟ้มสเปรดชีตทั้งหมดที่เข้าข่ายต้องตรวจสอบ โดยการสัมภาษณ์ผู้ใช้งาน หรือตรวจสอบขั้นตอนการปฏิบัติงานที่ต้องใช้สเปรดชีต หรือจัดหาโปรแกรมคอมพิวเตอร์มาสแกนหาชื่อแฟ้มที่ใช้งาน
    • สอบถามผู้ปฏิบัติงานอย่างไม่เป็นทางการว่ามีแฟ้มสเปรดชีตที่ใช้อะไรบ้าง วิธีนี้เป็นวิธีที่ง่ายและรวดเร็วที่สุดแต่มีโอกาสสูงที่จะไม่ได้รายชื่อแฟ้มทั้งหมดที่ใช้อยู่เนื่องจากเป็นการสอบถามอย่างไม่เป็นทางการ
    • สร้างแผนผังการดำเนินงานแล้วทำหมายเหตุไว้หากขั้นตอนนั้นเกี่ยวข้องกับสเปรดชีต วิธีนี้ต้องเสียเวลามาก แต่ให้ข้อมูลที่ละเอียดกว่าการสอบถามและยังมีความเสี่ยงว่ายังไม่สามารถรวบรวมชื่อสเปรดชีตครบทั้งหมด
    • ใช้โปรแกรมคอมพิวเตอร์ค้นหารายชื่อแฟ้มสเปรดชีตผ่านระบบเน็ตเวิร์คและแต่ละเครื่องคอมพิวเตอร์ที่มีอยู่ วิธีนี้ให้ข้อมูลที่ละเอียดที่สุดแต่ยังขาดแฟ้มที่จัดเก็บไว้ในสื่ออื่นๆ เช่น FlashDrive หรือบนระบบอินเตอร์เน็ต
  2. รวบรวมรายละเอียดของแฟ้ม
    • ชื่อแฟ้มและขนาดแฟ้ม
    • ชื่อเจ้าของแฟ้มและชื่อผู้สร้างแฟ้ม
    • ชื่อผู้ใช้แฟ้ม
    • หน้าที่ของแฟ้มใช้สำหรับอะไร
    • แฟ้มเกี่ยวข้องกับด้านการเงินหรือการปฏิบัติงานทั่วไป (พบว่ากว่าร้อยละ 70 ของบริษัทใช้สเปรดชีตในงานที่สำคัญของธุรกิจ)
    • ขนาดของมูลค่าเงินหรือปริมาณงาน
    • ระดับความลับของข้อมูลในแฟ้ม
    • ระดับความอ่อนไหว (sensitive) ของข้อมูล
  3. กำหนดระดับความเสี่ยงให้กับแฟ้ม ตามระดับความซับซ้อนและความสำคัญ

    ความซับซ้อน (complexity) เกี่ยวข้องการระดับความยากง่ายในการคำนวณจากการใช้งานง่ายๆเพื่อแสดงข้อมูลเฉยๆไปจนถึงขั้นยากซึ่งใช้เครื่องมือระดับสูงช่วยในการคำนวณ เช่น ใช้ macro หรือ pivot table หรือมีการลิงค์ข้อมูลข้ามแฟ้ม หรือลิงค์มาจากโปรแกรมอื่นหรือเว็บ

    ความสำคัญ (magnitude) ตามมูลค่าของเงินหรือปริมาณทางการปฏิบัติงาน เช่น ปริมาณสินค้าหรือวัตถุดิบ หรือแบ่งตามระดับความเสียหายหากเกิดขึ้น เช่น เกิดความเสียหายต่อประเทศและสาธารณชน ละเมิดกฎเกณฑ์ เสียหายต่อการดำเนินธุรกิจ เสียหายต่อการปฏิบัติงานและความรับผิดชอบของบุคคลที่ใช้

    image006

    นอกจากนี้สามารถกำหนดระดับความเสี่ยงตามความถี่ที่ใช้แฟ้มว่าใช้เป็นประจำหรือไม่บ่อยนัก หรือเป็นแฟ้มที่ใช้คนเดียวหรือใช้ร่วมกันหลายคนหลายหน่วยงาน แม้มูลค่าตามตัวเงินจะไม่สูงแต่เมื่อต้องนำมาใช้บ่อยๆหรือใช้ร่วมกันหลายหน่วยงานย่อมก่อให้เกิดผลเสียหายได้มากขึ้น อีกทั้งประเมินความเสี่ยงจากประวัติของแฟ้มว่าผู้สร้างแฟ้มมีพื้นฐาน Excel ขนาดไหน เข้าใจหลักการออกแบบสเปรดชีตหรือไม่ และเคยมีการทดสอบมากน้อยเพียงใดก่อนที่จะนำแฟ้มมาใช้งาน อย่างไรก็ตามแม้ผู้สร้างแฟ้มมั่นใจร้อยเปอร์เซ็นต์ว่าแฟ้มของตนถูกต้องแน่นอน แต่จากการวิจัยพบว่าหากใช้คนหลายคนช่วยกันตรวจสอบจะพบว่าในแฟ้มสเปรดชีตมีสิ่งผิดพลาดอยู่อีก
  4. ตรวจสอบเงื่อนไขการใช้แต่ละแฟ้ม นำตารางข้อมูลในแฟ้มตรวจสอบกับฐานข้อมูลต้นทางว่าถูกต้องตรงกันหรือไม่ และทดสอบสูตรคำนวณว่าถูกต้องตรงตามเจตนาของผู้บริหารหรือไม่
  5. ประเมินนโยบายและขั้นตอนการใช้แฟ้มว่ามีระบบการควบคุมและตรวจสอบความถูกต้องเรื่อยไปตราบเท่าที่ยังใช้งานอยู่
    • เมื่อมีการแก้ไขเปลี่ยนแปลงในแฟ้ม ต้องมีตัวชี้ให้เห็นว่าต่างจากเดิมแล้ว เช่น ตั้งชื่อแฟ้มให้ต่างไปจากเดิมหรือทำหมายเหตุ (comment) ไว้ที่เซลล์
    • การแก้ไขได้รับการตรวจสอบและอนุมัติแล้วโดยบุคคลอื่นซึ่งไม่ได้เป็นผู้แก้ไข
    • ควรเก็บแฟ้มไว้ในระบบ server เพื่อควบคุมตัวผู้ใช้งาน
    • มีการทำสำรองข้อมูลไว้เป็นประจำและแยกเก็บแฟ้มสำรองไว้ต่างหาก
    • ตัวแฟ้มมีรหัสป้องกันการเปิดแฟ้มและมีระบบป้องกันผู้อื่นที่ไม่เกี่ยวข้องให้เข้าไม่ถึงตัวแฟ้ม
    • ตารางคำนวณหรือเซลล์สูตรมีรหัสป้องกันไม่ให้มีการแก้ไข

 

Author: สมเกียรติ ฟุ้งเกียรติEmail: This email address is being protected from spambots. You need JavaScript enabled to view it.

E-Learning

Go to top