NEW MANAGEMENT FORUM

Central Knowledge Society

ขั้นตอนการตรวจสอบ IT Audit ภาค 2


สวัสดี ครับ

เราอยากเล่าเรื่องการตรวจสอบภายในของ IT Audit ต่ออีกครั้ง สำหรับผู้ที่กำลังศึกษาหาข้อมูลเกี่ยวกับ IT Audit อยู่ครับ เราเริ่มกันเลยแล้วกันครับ

 

การตรวจสอบการดำเนินงานและการบำรุงรักษาระบบ – การควบคุมทั่วไป

ผู้ตรวจสอบมีการตรวจทานการควบคุมภายในเพราะมีความจำเป็นสำหรับการดำเนินให้เป็นปกติ และการบำรุงรักษาระบบให้เป็นไปตามช่วงเวลา ซึ่งการควบคุมภายในบางส่วนจะเป็นการบำรุงรักษาระบบตามช่วงเวลา อยู่ในระบบการควบคุมภายในแบบทั่วไป

วัตถุประสงค์ของการตรวจสอบโดยรวมเพื่อเป็นการทบทวนการควบคุมทั่วไป คือ เพื่อให้แน่ใจว่าการควบคุมและขั้นตอนต่างๆ มีอยู่อย่างเพียงพอ และให้การ
ปฎิบัติงานแบบวันต่อวันมีความปกติ ปลอดภัย และมีประสิทธิภาพ

การควบคุมภายในองค์กร

การควบคุมภายในองค์กร เป็นการควบคุมเพื่อให้มั่นใจว่า (i) มีการแยกหน้าที่ความรับผิดชอบในการทำงานในการลดความเสี่ยงของการทุจริตของพนักงาน หรือการก่อวินาศกรรมโดยการจำกัด ขอบเขตของอำนาจหน้าที่ของบุคคลใดๆ (ii) มีการกำหนดมาตรฐานการทำงานและมีความครอบคลุม (iii) การจำกัดสิทธิ์การเข้าถึงและการใช้คอมพิวเตอร์ คือ การอนุญาตการทำงานอย่างถูกต้อง

นโยบายการควบคุมในระดับสูงมีความสำคัญอย่างมาก เพราะผู้ที่ควบคุมดูแลการปฎิบัติงานในส่วนนั้นๆ อาจจะมีอิทธิพลต่อประสิทธิผลด้วยการลดระดับการควบคุมใดๆ ของการทำงานภายในโปรแกรมประยุกต์ทางบัญชี ยกเว้นกรณีที่มีการจัดการดูแลที่เหมาะสม และมีนโยบายและมาตรฐานในการควบคุมอย่างอื่นๆ ประกอบท%D=่เพียงพอ แข็งแกร่ง เพื่อรองรับแนวทางการตรวจสอบการพึ่งพา

การประเมินผลจากระดับสูงของกลยุทธ์ด้าน IT และวิธีการที่จะให้ผู้ตรวจสอบมีข้อบ่งชี้ที่เชื่อถือได้พอสมควรเกี่ยวกับการดำรงอยู่และการมีประสิทธิผลของระบบการควบคุมใดๆ หรือ การควบคุมนั้นๆ อยู่ในระดับที่ต่ำกว่ามาตรฐานที่ควรจะเป็น

 

การแบ่งแยกหน้าที่

ผู้ตรวจสอบควรตรวจสอบว่ามีการคัดแยกอย่างเพียงพอและมีประสิทธิภาพในการปฎิบัติหน้าที่ ในหมู่พนักงานที่ปฎิบัติการระบบคอมพิวเตอร์ที่เป็นสาระสำคัญ ซึ่งจะช่วยลดความเสี่ยงของความผิดพลาดและการฉ้อโกง การแบ่งแยกหน้าที่แบบ “ไม่เหมาะสม” อาจจะทำให้บุคคลใดบุคคลหนึ่ง มีการควบคุมเกินความจำเป็นในฟังก์ชั่นงานคอมพิวเตอร์ ทำให้เกิดข้อผิดพลาด หรือ การกระทำทุจริตได้โดยไม่ต้องตรวจสอบ หรือ ตรวจสอบไม่พบ เป็นต้น

หลักฐานของการแบ่งแยกหน้าที่จะทำได้โดยการ ทำสำเนาคำบรรยายลักษณะของงาน (JD) แผนภูมิองค์กร และการสังเกตพฤติกรรมด้านการทำงานของพนักงาน IT ในกรณีที่ระบบคอมพิวเตอร์ใช้ Profile ในการระบุการรักษาความปลอดภัย ด้วยการแบ่งแยกหน้าที่ ผู้ตรวจสอบควรจะตรวจสอบบนหน้าจอแสดงผลหรืองานพิมพ์ของพนักงานรักษาความปลอดภัยข้อมูลเกี่ยวกับงานที่พวกเขาดูแลอยู่ เพื่อดูการเข้าถึงข้อมูลและประเมินความเสี่ยงของความผิดพลาดจากการทำงานจาก log file หรือ ถังขยะที่อยู่ในระบบของพนักงานคนนั้นๆ ซึ่งอาจจะสามารถตรวจสอบพบประเด็นที่จะนำไปสู่การทุจริตและการยอมรับที่ไม่เหมาะสมในการปฎิบัติงานด้วยความบกพร่อง

ในทุกระบบของ IT ขนาดใหญ่ เจ้าหน้าที่ด้าน IT ควรมีการแยกหน้าที่ ดังนี้ :

  • การออกแบบระบบและการเขียนโปรแกรม
  • ระบบที่สนับสนุน
  • การดำเนินงานด้าน IT และการบริหารงานประจำวัน
  • ระบบรักษาความปลอดภัย
  • การบริหารฐานข้อมูล

 

 

สุดท้ายนี้ เราขอจบแค่เพียงเท่านี้ก่อน เพื่อให้ทุกๆ คน ได้มีเวลาอ่านตอนว่างๆ ขณะนั่งรถไฟฟ้ากลับบ้าน หรือ ขณะที่นั่งรอแฟนที่ร้านกาแฟ เราหวังว่าข้อมูลที่ได้เรียบเรียงนี้จะพอมีประโยชน์สำหรับผู้ที่กำลังจะเป็น IT Audit ในอนาคตนี้ ครับ

 

ขอให้ทุกๆ ท่านโชคดี ครับ

 

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

ekamol.eiamsri@windowslive.com

Advertisements

กุมภาพันธ์ 28, 2012 - Posted by | IT Audit

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: