บทที่ 11 "การตรวจสอบด้านเทคโนโลยีสารสนเทศ"
ในการดำเนินงานขององค์กรจะมีระบบงานต่างๆ ที่จะขับเคลื่อนให้การทางานขององค์กร สามารถบรรลุ ผลสำเร็จ โดยอาศัยระบบเทคโนโลยีสารสนเทศเป็นเครื่องมือช่วยสนับสนุนการปฏิบัติงานให้เกิดความสะดวก คล่องตัว และรวดเร็วยิ่งขึ้น โดยผ่านระบบ Application ซึ่งเป็นโปรแกรมการปฏิบัติงานต่างๆ ภายในระบบเทคโนโลยีสารสนเทศ ความเสี่ยง เริ่มตั้งแต่การนาข้อมูลเข้า เช่น งานจัดเก็บรายได้ของกรมสรรพสามิต อาจมีความเสี่ยงระบบล่ม ไม่สามารถบันทึกข้อมูลได้ หรือระบบถูกบุคคลที่ไม่ได้รับอนุญาตเข้าใช้ข้อมูล
การควบคุมภายในด้านเทคโนโลยีสารสนเทศ ประกอบด้วย การควบคุมทั่วไป (General Control) และการควบคุมเฉพาะระบบงาน (Application Control)
การควบคุมทั่วไป (General Control) หมายถึง การควบคุมในส่วนที่เกี่ยวข้องกับสภาพแวดล้อมของการควบคุม นโยบายและวิธีการในการควบคุมระบบสารสนเทศ การควบคุมความปลอดภัย การควบคุมการพัฒนาและปรับปรุง และการป้องกัน/ลดความเสียหาย ของระบบ เป็นการควบคุมภายในสาหรับองค์กรในภาพรวม
๑. การกำหนดนโยบายในการใช้สารสนเทศ
▪ มีนโยบายการรักษาความปลอดภัย ด้านระบบเทคโนโลยีสารสนเทศที่ชัดเจนว่าใครต้องการเข้าถึง ข้อมูลอะไร เมื่อไหร่ ในระบบงานใด
▪ การให้สิทธิในการเข้าถึงข้อมูลเฉพาะบุคคลที่มีสิทธิในการเข้าถึงข้อมูลนั้น
๒. การแบ่งแยกหน้าที่งานในระบบสารสนเทศ
มีการแบ่งแยกหน้าที่ความรับผิดชอบของผู้ปฏิบัติงานในระบบงานคอมพิวเตอร์ให้ชัดเจน เช่น แยกหน้าที่ การพัฒนาระบบออกจากหน้าที่ผู้ปฏิบัติการคอมพิวเตอร์ ผู้บริหารฐานข้อมูล (Database Administrator) ต้องไม่ทาหน้าที่อื่น ผู้พัฒนาระบบออกจากผู้ดูแลบำรุงรักษาระบบ
๓. การควบคุมโครงการพัฒนาระบบสารสนเทศ
โดยกำหนดแผนระยะยาว แผนงานพัฒนาระบบ กำหนดการประมวลผลข้อมูล มอบหมายหน้าที่ และความรับผิดชอบ การประเมินผลงานระหว่างการดาเนินโครงการ การสอบทานภายหลังการติดตั้งระบบ และนาระบบมาใช้งาน การวัดผลการดาเนินงานของระบบ
๔. การควบคุมการเปลี่ยนแปลงแก้ไขระบบ
โดยการกำหนดระเบียบวิธีปฏิบัติในการแก้ไขระบบที่เป็นลายลักษณ์อักษร มีการศึกษาถึงผลกระทบต่างๆ มีการทดสอบระบบที่แก้ไขแล้วก่อนนาไปใช้ จัดทาเอกสารคู่มือประกอบการแก้ไข และประเมินผลและสอบทานระบบงานภายหลังเริ่มใช้
๕. การควบคุมการปฏิบัติงานในศูนย์คอมพิวเตอร์
การประมวลผลข้อมูลของระบบงานต่างๆ มีความถูกต้อง ครบถ้วน การกู้ระบบและการสารองข้อมูล การทดสอบ และการจัดการกับปัญหาของระบบ จัดทำแผนสารอง
๖. การควบคุมเข้าถึงอุปกรณ์คอมพิวเตอร์
มีสถานที่จัดเก็บอุปกรณ์คอมพิวเตอร์มิดชิด ไม่มีอากาศร้อน ชื้น และแม่เหล็ก มีการรักษาความปลอดภัยหนาแน่น กำหนดการเข้าออกได้เฉพาะผู้เกี่ยวข้อง กำหนดนโยบายรักษาความปลอดภัยที่ชัดเจน ติดระบบเตือนภัย กรณี มีผู้บุกรุก จากัดให้ใช้โทรศัพท์เฉพาะเรื่องที่เกี่ยวกับงาน ติดอุปกรณ์ป้องกันเครื่องคอมพิวเตอร์
๗.การควบคุมการเข้าถึงข้อมูลและทรัพยากรสารสนเทศ การกำหนดผู้ใช้ (User Views or Subschema)ตารางแสดงสิทธิในการเข้าถึงฐานข้อมูล (Database Authorization Table) และการเข้ารหัสข้อมูล (Data Encryption)
๘. การควบคุมการเข้าถึงระบบงาน ดังนี้
- การพิสูจน์ตัวจริง (Authentication) โดยกาหนดรหัสผ่าน (Password) การระบุตัวตนด้วยสิ่งที่มี ทางกายภาพ (Physical Possession Identification)
- การกำหนดสิทธิ (Authorization)
- การบันทึกกิจกรรมต่างๆ ในระบบเพื่อการตรวจสอบ (Audit Logging)
- การควบคุมเฉพาะระบบงาน (Application Control)
- การควบคุมรายการข้อมูลในแต่ละระบบงานให้มีความถูกต้องและครบถ้วน โดยอาศัยทางเดินของข้อมูล เป็นแนวทางในการกำหนดขอบเขตการควบคุม เช่น ระบบ GFMIS
๑) การควบคุมการนาเข้าข้อมูล การควบคุมเกี่ยวกับงานจัดทาข้อมูลก่อนป้อนเข้าสู่ระบบคอมพิวเตอร์ การเตรียมข้อมูลนาเข้า การป้องกันข้อผิดพลาด การค้นหาข้อผิดพลาด และการแก้ไขข้อผิดพลาด เช่น การตรวจสอบตัวเลขตรวจสอบ (Check digit) ว่าเป็นตัวเลขที่ถูกหรือไม่ โดยเลขประจาตัว หรือรหัสสินค้า หรือเลขที่บัญชี
๒) การควบคุมการทารายการป้อนเข้าสู่ระบบงาน โดยข้อมูลที่ป้อนเข้าสู่ระบบจะต้องถูกหลักเกณฑ์ ในการทารายการ นอกจากนี้ยังรวมถึงเรื่องที่เกี่ยวกับการกระทบยอดข้อมูลนาเข้าเพื่อพิสูจน์ความถูกต้อง
๓) การควบคุมการสื่อสารข้อมูลให้มีความถูกต้องและครบถ้วน ซึ่งจะต้องคำนึงถึง Hardware และ Software ที่ใช้ในการสื่อสารข้อมูลการมอบอำนาจ
๔) การควบคุมการประมวลผลด้วยคอมพิวเตอร์ ให้มีความแม่นยา ถูกต้อง และครบถ้วนเป็นไปตามหลักเกณฑ์การใช้แฟ้มข้อมูล การชี้แนะให้เห็นข้อผิดพลาด และการรายงาน
๕) การควบคุมการจัดเก็บข้อมูลไว้ในระบบ การกำหนดสิทธิการใช้ข้อมูล การรักษาความปลอดภัย การแก้ไขข้อผิดพลาด การสารองข้อมูล และการกำหนดอายุการจัดเก็บแฟ้มข้อมูล
๖) การควบคุมผลลัพธ์ การกระทบยอดข้อมูลนาเข้าและผลลัพธ์ เพื่อพิสูจน์ความถูกต้องด้วยระบบ Manual ซึ่งเป็นหน้าที่โดยตรงของหน่วยงานควบคุมคุณภาพข้อมูล
กระบวนการตรวจสอบระบบสารสนเทศ มีกระบวนการเช่นเดียวกับตรวจสอบภายในประเภทอื่นๆ โดยเริ่มตั้งแต่ผู้ตรวจสอบภายในศึกษาทาความเข้าใจระบบงานสารสนเทศ (การควบคุมและความเสี่ยง) ประเมินความเสี่ยงเพื่อวางแผนการตรวจสอบ จัดทาแผนตาม ผลประเมินความเสี่ยง จัดทาแผนการตรวจสอบระยะยาว แผนการตรวจสอบประจาปี แผนการปฏิบัติงาน จัดทากระดาษทาการ สรุปข้อเท็จจริง รายงานผลการตรวจสอบ และการติดตามผลการตรวจสอบ ทั้งนี้ ผู้ตรวจสอบระบบสารสนเทศต้องมีความรู้ ความเชี่ยวชาญเกี่ยวกับระบบเทคโนโลยีสารสนเทศ เช่น ตรวจสอบระบบ GFMIS ต้องมีความรู้ ความเข้าใจในระบบ SAP และความเสี่ยงการควบคุมภายในของระบบเทคโนโลยีสารสนเทศ โดยพิจารณาจาก Flowchart การทดสอบความเชื่อมโยงของระบบ เป็นต้น
IT Audit คือ การตรวจสอบการควบคุมการจัดการภายในระบบ IT (เทคโนโลยีสารสนเทศ) หรือ การตรวจสอบข้อมูลระบบ หมายถึง การตรวจสอบการควบคุมการจัดการภายในระบบหรือฝ่ายเทคโนโลยี สารสนเทศ (IT) ซึ่งการตรวจสอบจะพิจารณา โครงสร้างพื้นฐาน ด้วยการประเมินผลจากหลักฐานที่ได้เข้าไปตรวจสอบแล้วพบว่าข้อมูลที่ได้มีการปกป้อง ที่เป็นสินทรัพย์ขององค์กร/บริษัท ยังคงสภาพของข้อมูลสมบูรณ์ และมีการดำเนินงานได้อย่างมีประสิทธิภาพ เพื่อให้บรรลุเป้าหมายขององค์กร หรือ วัตถุประสงค์ นอกจากนี้ผู้ตรวจสอบ IT Audit อาจจะเข้าไปตรวจสอบในส่วนของ "งบการเงิน" "ระบบเงินเดือน" "ระบบสิทธิ์ของพนักงาน" และสภาพแวดล้อมการทำงานทั่วไปของฝ่ายเทคโนโลยีสารสนเทศ
วัตถุประสงค์การตรวจสอบ IT
การตรวจสอบจะมีความแตกต่างกันแยกไปตามวัตถุประสงค์ของการตรวจ อาทิ
1) การตรวจสอบทางการเงิน คือ การประเมินว่าองค์กรจะยึดมั่นที่จะปฎิบัติตามมาตรฐานการบัญชีในระดับสากล และความถูกต้องของข้อมูลที่เป็นตัวเลข การเชื่อมโยงของฐานข้อมูลที่เป็นตัวเลขกับหน่วยงานต่างๆ ที่นำไปวิเคราะห์ต่อ
2) การตรวจสอบด้าน IT คือ การประเมินระบบควบคุมการใช้งานให้มีความปลอดภัย มีมาตรฐานการป้องกันผู้บุกรุกจากภายนอก มีระบบป้องกันความปลอดภัยของ Data Center หรือ Data Warehouse และการออกแบบระบบปฎิบัติการที่มีความเหมาะสม หรือ ตรวจสอบด้าน IT Governance
ประเภทของการตรวจสอบด้าน IT
หน่วยงานชั้นนำทั้งในประเทศและต่างประเทศก็จะมีมาตรฐานในการตรวจด้าน IT ที่แตกต่างกัน เพราะงบประมาณที่จะนำมาใช้ในการดำเนินงานต่างกัน ความสามารถของพนักงานต่างกัน และความสำคัญของฐานข้อมูลและระบบเครือข่ายที่เชื่อมโยงกับหน่วยงานต่างๆ ทั้งภายในองค์กร และ ภายนอกองค์กร ที่ต่างกัน ดังนั้นขอยกตัวอย่างของประเภทของการตวจสอบด้าน IT ดังนี้
• การตรวจสอบกระบวนการและนวัตกรรมเทคโนโลยีสารสนเทศ (Technological innovation process audit)
การตรวจสอบลักษณะนี้จะเป็นการตรวจสอบของหน่วยงานขนาดใหญ่ ที่มีแผนที่จะเข้าจดทะเบียนในตลาดหลักทรัพย์ หรือ จะควบรวมกิจการกัน เพราะจำเป็นอย่างมากที่จะต้องมีทีมงานตรวจสอบที่มีความรู้ความสามารถเฉพาะทางเกี่ยวกับเทคโนโลยีประเภทนั้นๆ หรือ เป็นผู้เชี่ยวชาญในสาขานั้นๆ กันเลย เพราะจะต้องให้ความเห็นว่าเทคโนโลยีที่องค์กร A ใช้อยู่มีความล้าสมัยประการใด และมีทางที่จะบำรุงรักษาหรือไม่ รวมทั้งจะต้องมีการประเมินมูลค่าของเทคโนโลยีที่เป็นนวัตกรรมใหม่ๆ อีกด้วย ซึ่งมีความสลับซับซ้อนอย่างสูง
• การตรวจสอบเปรียบเทียบนวัตกรรม (Innovative comparison audit)
การตรวจสอบลักษณะนี้เป็นการวิเคราะห์ความสามารถด้านนวัตกรรมของบริษัท ที่ถูกตรวจสอบด้วยการนำนวัตกรรมไปเปรียบเทียบกับคู่แข่ง ที่มีความสามารถใกล้เคียงกัน ซึ่งการตรวจสอบลักษณะนี้ส่วนมากจะเป็นบริษัทวิจัยต่างๆ จะรับเข้าไปทำการตรวจสอบบริษัทให้ เพราะจำเป็นจะต้องมีการนำผลการวิจัยในด้านต่างๆ มาอ้างอิงสิ่งที่ตรวจสอบพบ หรือให้ความเห็นในด้านคุณค่าของนวัตกรรมที่ได้เข้าไปตรวจสอบ
• การตรวจสอบตำแหน่งเทคโนโลยี (Technological position audit)
การตรวจสอบลักษณะนี้จะเป็นการให้ความเห็นและความเชื่อมั่นแก่ผู้รับตรวจว่า เทคโนโลยีของบริษัท ยังมีความเป็นปัจจุบันอยู่หรือไม่ และเป็นเทคโนโลยีในกลุ่มประเภทใด อาทิ "base", "key", "pacing", หรือ "emerging"
ถ้าจะแยกประเภทของการตรวจสอบด้าน IT ให้แยกย่อยออกไปอีก ก็จะได้เป็น 5 ประเภท ดังนี้
1) ระบบและการประยุกต์ : การตรวจสอบระบบและการประยุกต์ใช้ว่ามีความเหมาะสมและมีประสิทธิภาพ และมีการควบคุมความปลอดภัยอย่างเพียงพอ เพื่อให้แน่ใจว่าข้อมูลยังมีความถูกต้อง น่าเชื่อถือ และยังมีความทันสมัยอยู่เสมอ หรือมีความปลอดภัยในการประมวลผลและการส่งออกไปยังหน่วยงานต่างๆ ในทุกระดับกิจกรรมของระบบ
2) สิ่งอำนวยความสะดวกและการประมวลผลข้อมูล : การตรวจสอบว่าสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลจะถูกบริหารจัดการและมีระบบการควบคุมเพื่อให้แน่ใจว่าการประมวลผลข้อมูลทันเวลา ถูกต้องและมีประสิทธิภาพของการใช้งานภายใต้สภาวะปกติ และมีระบบป้องกันการก่อกวนทั้งจากภายในและภายนอก
3) การพัฒนาระบบ : การตรวจสอบว่าระบบภายใต้การพัฒนาตรงกับวัตถุประสงค์ขององค์กร เพื่อให้แน่ใจว่าระบบได้การพัฒนาขึ้นตามมาตรฐานที่ยอมรับโดยทั่วไปสำหรับการพัฒนาระบบ
4) การบริหารจัดการด้านไอทีและสถาปัตยกรรม Enterprise : การตรวจสอบว่าการบริหารจัดการด้านไอที ได้มีการพัฒนาโครงสร้างองค์กรและวิธีการเพื่อให้แน่ใจว่าสภาพแวดล้อมการควบคุมและมีประสิทธิภาพสำหรับการประมวลผลข้อมูล
5) Client / Server Telecommunications, Intranets, และ Extranets: เป็นการตรวจสอบว่า การสื่อสารโทรคมนาคม มีระบบการควบคุมอยู่ในสถานะทีดี พร้อมใช้งาน มีคุณภาพเหมาะสม มีประสิทธิภาพในการเชื่อมต่อกับเครื่องลูกข่ายได้อย่างเหมาะสม และเกิดประโยชน์สูงสุด
กระบวนการตรวจสอบด้าน IT
1) การวางแผน
2) การศึกษาและการประมินผลการควบคุม
3) การทดสอบและการประเมินผลการควบคุม
4) การรายงาน
5) การติดตามผล
แหล่งที่มา สำนักกำกับและพัฒนาการตรวจสอบภาครัฐ กรมบัญชีกลาง
แหล่งที่มา : oknation blog https://www.dir.co.th/en/news/ia-news/item/ -it-audit
แหล่งที่มา สำนักกำกับและพัฒนาการตรวจสอบภาครัฐ กรมบัญชีกลาง
แหล่งที่มา : oknation blog https://www.dir.co.th/en/news/ia-news/item/ -it-audit
ไม่มีความคิดเห็น:
แสดงความคิดเห็น