บทที่ 11 การตรวจสอบเทคโนโลยีสารสนเทศ

ใน

ผลการค้นหารูปภาพสำหรับ การตรวจสอบเทคโนโลยีสารสนเทศ
การตรวจสอบระบบเทคโนโลยีสารสนเทศ (IT Auditing) หมายถึง การค้นหาหลักฐานสำหรับสิ่งผิดปกติที่เกิดขึ้นในระบบเทคโนโลยี สารสนเทศ (IT) โดยมีวัตถุประสงค์เพื่อประเมินความเพียงพอของการ ควบคุมภายในด้าน IT และการจัดการความเสี่ยงด้าน IT
หลักการตรวจสอบระบบเทคโนโลยีสารสนเทศ
การตรวจสอบระบบเทคโนโลยีสารสนเทศ  จะเป็นการตรวจสอบการควบคุม ภายในด้านคอมพิวเตอร์ ที่แบ่งออกได้เป็น 2 ลักษณะ คือ 
1. การควบคุมภายในทั่วไป (General Controls) เป็นการควบคุมที่อาศัยนโยบาย และระเบียบปฏิบัติงาน เป็นหลักในการควบคุมกิจกรรมของ หน่วยงานคอมพิวเตอร์
2. การควบคุมภายในเฉพาะงาน (Application Controls) เป็นการควบคุมรายการข้อมูลในแต่ละระบบงานให้มีความถูกต้องและครบถ้วน โดยอาศัยทางเดินของ ข้อมูลเป็นแนวทางในการกำหนดขอบเขตการควบคุม 
3.  การตรวจสอบโครงการเทคโนโลยีสารสนเทศ (Quality Assurance IT Project) เป็นการเข้าร่วมสังเกตการณ์ ให้ข้อเสนอแนะโครงการ ตั้งแต่เริ่มโครงการ
ผลการค้นหารูปภาพสำหรับ การตรวจสอบเทคโนโลยีสารสนเทศ
การตรวจสอบระบบเทคโนโลยีสารสนเทศ
1.       การควบคุมภายในทั่วไป(General Controls)
IT Planning and Organization
– IT Steering Committee
กำหนดนโยบายด้านเทคโนโลยีสารสนเทศ
• พิจารณาโครงการและงบประมาณ IT
ติดตามผลการดา เนินการด้านสารสนเทศขององค์กร
                           -  IT Organization Control
                                    • Development and Implementation Control
– Business Requirement 
– Feasibility Study (User agree & signoff)
– System Analysis and Design (Documentation & User signoff)
– Coding Program 
– Program Testing (Test Scenario , UAT , User Signoff)
– Data Conversion (Data Reconciliation & User signoff )
– Implementation (System doc. & Training Manual)
– Post Implementation Review (Problem logging & Change Procedure)
• Information Security Control
 – IT security Policy and Procedure
นโยบายด้านความปลอดภัยและระเบียบปฏิบัติ
• จัดความสำคัญของระบบและข้อมูล
• มีการกำหนดหน้าที่รับผิดชอบ
User Access Control Feature
                        • Password Policy
• User Authorized Matrix
– Logging and Monitoring
ระยะเวลาการเก็บ Log
 – Physical Security
การควบคุมการเข้าออก , Room Environment
                                    • Maintenance of Existing System Control
ตรวจการปฏิบัติตามระเบียบการพัฒนาระบบ (SDLC)
– Change Management 
• Changed Detection Program   
• Changed Request Form
ทุกการเปลี่ยนแปลงในระบบ จะต้องมี Request Form
                                    • Computer Operation Control
– Operation Schedule/Time table/Control Procedure
ต้องท างานตามคู่มือและขั้นตอนการปฏิบัติงาน
Service Level Agreement: SLA
– Data Backup Procedure
– Disaster and Recovery Plan: DRP
การเขียนแผน การทดสอบแผน และการปรับปรุงแผน
2.       การควบคุมภายในเฉพาะงาน (Application Controls)
วัตถุประสงค์   
-   Completeness  (ให้ความมั่นใจในความสมบรูณ์ของข้อมูล)  
-   Accuracy   ( ความถูกต้องตรงกันทุกประการของข้อมูล)  
-   Validity ( ความสมเหตุสมผลของข้อมูล)  
-   Restricted Access to Data and Physical asset                
( การจำกัดการเข้าถึงข้อมูลและสินทรัพย์)
             CAVR  ทำได้โดยการควบคุมข้อมูล
– ข้อมูลนำเข้า (Input Control) วิธีการ ที่มา ความถูกต้อง
– การประมวลผล (Processing Control) 
ข้อมูลผลลัพธ์ (Output Control)
ตัวอย่างการควบคุมความถูกต้องของรายการข้อมูล
Check digit validation  (การคำนวณเลขหลักสุดท้ายของเลขบัญชี)
Range Check ( เช่น ข้อมูลช่วงอายุของลูกค้า )
Limit Check  (เช่น จำกัดวงเงินในการถอนจากตู้ ATM) 
– Sequence Check (เช่น เลขที่เอกสารไม่ซ้ำกัน )
เทคนิคการใช้ระบบคอมพิวเตอร์ช่วยในการตรวจสอบ เพื่อหาสาระในเชิงลึก (Substantive Test) ไม่มีความเชื่อถือในระบบการควบคุมภายใน  และต้องทำการทดสอบความถูกต้องของรายการ
Generalized Audit Software: GAS
Custom Audit Software:
Test Data
Concurrent Auditing  Techniques
เช่น  ACL  software เขียนหรือพัฒนาขึ้นมาเอง เพื่อเปรียบเทียบ Output กับรายงาน User โดยการสร้าง Test script และนำ Program ของ User มา Run กับ Data test การตรวจสอบหาความผิดปกติของข้อมูลที่เกิดขึ้นในระบบ
Concurrent Auditing Techniques เป็นการตรวจสอบข้อมูลในระบบเพื่อหา ข้อผิดพลาด ความผิดปกติ ของข้อมูลที่ส่อในทางทุจริต หรือความบกพร่องของระบบควบคุมภายในและระเบียบ
ผลที่จะได้
-พบว่าไม่ปฏิบัติตามระเบียบ
-ข้อมูลส่อในทางทุจริต
-พบข้อบกพร่องของระบบ IT
-พบข้อบกพร่องของการควบคุมภายใน
-ได้ทราบถึงพฤติกรรมของผู้ปฏิบัติงาน
-ฯลฯ
การตรวจสอบความถูกต้องของอัตราดอกเบี้ยในระบบเปรียบเทียบกับผลิตภัณฑ์
– กวาดข้อมลูตามผลติภณัฑ์ ดูว่ามีรายใดที่มีอัตราดอกเบี้ยไม่ตรงตามข้อกำหนด
– เปรียบเทียบดอกเบี้ยสะสมประจำเดือน ว่ามีรายใดที่มีการเปลี่ยนแปลงสูง
– ดู Audittrail Log  ที่แก้ไขอัตราดอกเบี้ย 
การตรวจข้อมูลการจ่ายเงินเดือน ค่ารักษาพยาบาล 
– ดูยอดเบิกจ่ายที่สูงและมีความถี่สูง และดูความสัมพันธ์ของผู้ทำรายการกับผู้เบิก
การดูการเคลื่อนไหวของรายการที่สูงผิดปกติ หรือการเกิดซ้ำเกิดนอกเวลาทำการ
• ดูจากบัญชีเงินฝากที่มีเงินเข้าแต่ละเดือนสูงกว่ารายรับที่ควรจะเป็น และเกิดต่อเนื่อง
• มีการทำรายการทางการเงิน นอกเวลาทำการ
วัตถุประสงค์
การสร้างความมั่นใจและให้คำปรึกษาในการทำงานโครงการที่ยังไม่เสร็จสิ้น เพื่อให้ได้โครงการประสบความสำเร็จ  
ระยะเวลาการตรวจสอบ
ช่วงการวางแผนโครงการ  คือการตรวจสอบในช่วงที่เริ่มวางแผนว่าจะดำเนินโครงการ ว่าได้จัดทำข้อกำหนดครบถ้วนหรือไม่
– ในช่วงการจัดหาบริษัทที่ปรึกษา คือการตรวจสอบว่าได้จัดหาบริษัทที่ปรึกษามาอย่างถูกต้องตามหลักเกณฑ์หรือไม่
– ในช่วงการดำเนินโครงการ คือการตรวจสอบการท าโครงการว่าถูกต้องหรือไม่
– ในช่วงหลังการติดตั้งใช้งานผลของโครงการ คือการตรวจสอบว่าโครงการได้ผลตามที่ ต้องการหรือไม่
ผลการค้นหารูปภาพสำหรับ การ์ตูนดุ๊กดิ๊กขอบคุณ
อ้างอิง 
www.sepo.go.th › pes › assets › document › file › หัวข้อการตรวจสอบภายใน


ความคิดเห็น

แสดงความคิดเห็น