NEW MANAGEMENT FORUM

Central Knowledge Society

Corporate Governance vs IT Governance : ตอนที่ 1


ผู้เรียบเรียง เอกกมล เอี่ยมศรี

ekamol.eiamsri@windowslive.com

www.interfinn.com

 

บรรษัทภิบาล, การกำกับดูแลกิจการ (Corporate Governance) เป็นรูปแบบของกระบวนการของ ศุลกากร, นโยบาย, กฎหมาย, การจัดการและสถาบันที่มีผลต่อวิธีที่กิจการมีการควบคุมและการจัดการ  ซึ่งรวมเอาความสัมพันธ์ระหว่างผู้มีส่วนได้ส่วนเสียทั้งหมดของหลายส่วนที่เกี่ยวข้อง และมีวัตถุประสงค์เพื่อจัดระเบียบให้ตรงตามเป้าหมายขององค์กร ในลักษณะที่มีประสิทธิภาพมากที่สุด และมีประสิทธิภาพเท่าที่จะทำได้ โดยที่กลยุทธ์การกำกับดูแลที่มีประสิทธิภาพขององค์กรจะช่วยให้องค์กร ในการจัดการทุกด้านของธุรกิจของตนเพื่อตอบสนองวัตถุประสงค์

การกำกับดูแลเทคโนโลยีสารสนเทศ (IT Governance) เป็นชุดย่อยที่มีการแบ่งอย่างเป็นระเบียบของการกำกับดูแลกิจการ บ่อยครั้งที่มันจะถูกเข้าใจผิดว่าเป็นการศึกษาตัวเองด้านเทคโนโลยีสารสนเทศ ซึ่งแท้จริงแล้ว IT Governance เป็นส่วนหนึ่งของกลยุทธ์การกำกับดูแลกิจการ โดยรวมขององค์กร

คำนิยามต่างๆ ของ IT Governance

  • กระบวนการโครงสร้างการกำกับดูแลและการบริหารจัดการที่จะสร้างความมั่นใจการส่งมอบผลประโยชน์ที่คาดหวังของ ไอที ในการควบคุมที่จะช่วยเพิ่มความสำเร็จที่ยาวนานให้กับองค์กร
  • กำกับดูแลด้านไอทีเป็นความรับผิดชอบของคณะกรรมการและผู้บริหาร มันเป็นส่วนหนึ่งของการกำกับดูแลองค์กร และประกอบด้วยความเป็นผู้นำ และโครงสร้างขององค์กรและกระบวนการที่ทำให้มั่นใจได้ว่าองค์กร ไอที ค้ำจุนและขยายกลยุทธ์ขององค์กรให้บรรลุตามวัตถุประสงค์
  • โครงสร้างของความสัมพันธ์และกระบวนการในการกำกับและควบคุมขององค์กร เพื่อให้บรรลุเป้าหมายขององค์กร โดยการเพิ่มการบริหารความเสี่ยงในในจุดต่างๆ เพื่อให้เกิดความสมดุล เมื่อเทียบกับผลตอบแทนที่มากกว่าระบบไอทีและกระบวนการปกติของไอที
  • การกำกับดูแลด้านไอที เป็นคำที่ใช้อธิบายถึงวิธีการมอบหมายให้บุคคลที่เกี่ยวข้องเหล่านั้นมีการกำกับการทำงานของหน่วยงาน ด้วยการพิจารณากำกับกับดูแลควบคุม ตรวจสอบโดยพวกเขา และนำมาใช้ในการกำหนดทิศทางขององค์กรและวิธีการที่จะนำมาใช้ ซึ่งจะมีผลกระทบอันยิ่งใหญ่กับองค์กรที่จะบรรลุเป้าหมายวิสัยทัศน์พันธกิจ หรือ เชิงกลยุทธ์

 

การกำกับดูแลกิจการ

ด้านการกำกับดูแลกิจการเป็นเรื่องที่มีการวิเคราะห์หลากหลายมุม หลากหลายด้านของการตีความ และมีขอบเขตการศึกษาที่หลายทฤษฎี ซึ่งขอบเขตการศึกษาเหล่านี้รวมถึง อาทิ :

  1. ความรับผิดชอบและหน้าที่ความไว้วางใจ การสนับสนุนด้านโยบายการดำเนินงานของแนวทางและกลไก เพื่อให้แน่ใจว่าการกระทำของฝ่ายบริหารสร้างความเชื่อมั่นที่ดี และน่าเชื่อถือ และการที่หน่วยงานของภาครัฐได้รับการคุ้มครองจากการกระทำผิดกฎหมายหรือการฉ้อโกงต่างๆ
  2. ด้วยมุมมองทางเศรษฐกิจอย่างมีประสิทธิภาพนี้เกี่ยวข้องกับวิธีการที่ระบบการกำกับดูแลกิจการ ตั้งใจที่จะเพิ่มประสิทธิภาพ ประสิทธิผล และการบรรลุวัตถุประสงค์ของตน
  3. มุมมองด้านกลยุทธ์ที่มีประสิทธิภาพ ซึ่งจะเกี่ยวข้องกับวัตถุประสงค์ของนโยบายสาธารณะที่ไม่ได้โดยตรงที่วัดในแง่เศรษฐกิจ เช่น บรรเทาความยากจน หรือ การเข้าไปช่วยสนับสนุนผู้ที่ขาดโอกาส หรือ องค์กรที่ประสบความล้มเหลว  แต่หลายองค์กรที่ประสบความล้มเหลวในการพิจารณาถึงความสำคัญของ การกำกับดูแลเทคโนโลยีสารสนเทศ ของพวกเขาจะพบว่าในโครงการต่างๆ มีระบบ IT เข้าไปช่วยสนับสนุนน้อยมาก และไม่มีความเข้าใจอย่างเต็มที่ในสิ่งที่องค์กรต้องการสำหรับโครงการที่กำลังดำเนินการ และ การนำ ไอทีภิบาล เข้าไปช่วยสนับสนุนการทำงานของโครงการต่างๆ จะช่วยเชื่อมโยงโครงการต่างๆ กับวัตถุประสงค์ขององค์กรได้ รวมทั้งการรักษาเสถียรภาพของตลาดและรายได้ และการดูแลการเพิ่มงาน หรือสร้างงานให้กับองค์กร  ซึ่งเป็นปัญหาหลักๆ ที่น่าสนใจมากขององค์กรส่วนใหญ่ของภาครัฐไม่ได้มีการวัดผลในแง่เศรษฐกิจ
  4. มุมมองของผู้มีส่วนได้ส่วนเสีย พื้นที่ของการศึกษานี้มุ่งเน้นความสนใจมากขึ้นและมีความรับผิดชอบที่เกี่ยวข้องกับผู้มีส่วนได้ส่วนเสียอื่นๆ เช่น ปริมาณบุคลากรขององค์กรในพื้นที่ต่างๆ และการกระจายพนักงานในหน่วยงานต่างๆ ของรัฐบาล เช่น จังหวัด  เทศบาล  และ อบต.   เป็นต้น

 

IT Governance

จะเน้นเฉพาะบนระบบเทคโนโลยีสารสนเทศของพวกเขาเกี่ยวกับการจัดการเพิ่มประสิทธิภาพ และบริหารจัดการความเสี่ยงเป้าหมายหลักของ IT Governance เพื่อให้มั่นใจว่าการลงทุนด้าน ไอที สร้างมูลค่าทางธุรกิจและเพื่อลดความเสี่ยงที่เกี่ยวข้องกับ ไอที  ซึ่งสามารถทำได้โดยการใช้การจัดโครงสร้างองค์กร ที่มีบทบาททั้งกำหนดความรับผิดชอบของข้อมูลกระบวนการทางธุรกิจที่ใช้งานและโครงสร้างพื้นฐาน

ไอทีภิบาล ควรจะดูเป็นวิธีการที่จะสร้างมูลค่าที่เป็นรูปธรรมให้กับยุทธศาสตร์การกำกับดูแลกิจการโดยรวมขององค์กร และไม่เคยถูกมองว่านี้เป็นวินัยของตัวองค์กรเอง  ในการทำ ไอทีภิบาล ผู้มีส่วนได้ส่วนเสียทั้งหมดจะต้องมีส่วนร่วมในการตัดสินใจทำให้กระบวนการนี้สร้างการยอมรับร่วมกันของความรับผิดชอบต่อระบบที่สำคัญ และทำให้เกิดความมั่นใจว่าการตัดสินใจที่เกี่ยวข้องกับไอที จะทำให้การขับเคลื่อนธุรกิจได้

 

ทำไม IT Governance จึงเป็นสิ่งจำเป็น

ไอทีภิบาล เป็นสิ่งที่จำเป็นเพื่อให้เกิดความเชื่อมั่นว่าการลงทุนด้าน ไอที ได้สร้างมูลค่าและผลตอบแทน และสามารถลดความเสี่ยงด้านไอที ด้วยการหลีกเลี่ยงความล้มเหลวด้าน ไอที

ไอที กลายเป็นศูนย์กลางความสำเร็จขององค์กร ที่จะสร้างความมีประสิทธิภาพในการบริการและสินค้า  โดยเฉพาะอย่างยิ่งเมื่อ ไอที ถูกแบบมาเพื่อเกี่ยวกับการเปลี่ยนแปลงในองค์กร กระบวนการเปลี่ยนแปลงนี้เรียกทั่วไปว่า “การเปลี่ยนแปลงทางธุรกิจ” ตอนนี้ได้เปิดใช้งานเป็นรูปธรรมที่เป็นโมเดลใหม่ทั้งในภาครัฐและเอกชน  การเปลี่ยนแปลงนี้จะให้ผลตอบแทนจำนวนมาก แต่ก็ยังมีศักยภาพสำหรับความเสี่ยงจำนวนมาก ซึ่งอาจจะรบกวนการดำเนินงานและอาจจะมีผลที่ไม่ตั้งใจขึ้น และได้กลายเป็นวิธีการบริหารความเสี่ยงเพื่อให้เกิดความสมดุลของกระบวนการทำงานและผลตอบแทนเมื่อใช้ ไอที เพื่อช่วยให้การเกิดการเปลี่ยนแปลงในองค์กร

IT Governance Best Practice

แม้ว่าจะมีความพยามของอุตสาหกรรมซอฟต์แวร์ในการระบุ และกำหนดทิศทางของพัฒนาโครงการด้านไอทีสำหรับการเป็น IT Governance และยังคงมีอัตราการความล้มเหลวที่สูงและวัตถุประสงค์ยังคงผิดพลาด ซึ่งโครงการส่วนใหญ่เป็นโครงการด้านไอที  ที่ยังไม่ตอบสนองวัตถุประสงค์ขององค์กร โดยมีการรวบรวมข้อมูลโดย Standish Group

วิธีการสำรวจของกลุ่ม Standish Group

การสำรวจความคิดเห็นและโครงการพัฒนาด้าน ไอที ด้วยกลุ่ม Standish Group มีความชำนาญในการสำรวจด้านไอที มานานกว่า 10 ปี และได้วิเคราะห์แนวโน้มความสำเร็จและความล้มเหลวของโครงการต่างประมาณ 50,000 โครงการด้านไอที ในจำนวน 2004 รายงาน กลุ่ม Standish Group ได้สรุป 29% ของโครงการที่ประสบความสำเร็จ (ส่งในเวลาที่งบประมาณมีคุณสมบัติที่จำเป็นและฟังก์ชั่นถูกต้องครบถ้วน) และ 53% มีความท้าทายมาก (สายเกินกว่าเวลาที่ระบุในสัญญา / มีคุณสมบัติไม่ครบตามที่ระบุในสัญญา) และ 18% ล้มเหลว (ยกเลิกโครงการก่อนที่จะสำเร็จ หรือ จัดส่งให้แล้วแต่ไม่ใช้งาน)

 

การปฏิบัติที่สำคัญที่สุดและดีที่สุดของการดำเนินการจัดโครงสร้างองค์กร รวมทั้งกรอบการกำกับดูแลที่มีประสิทธิภาพ มีบทบาทที่ดีในการกำหนดและความรับผิดชอบสำหรับ IT  โดยที่ผู้มีส่วนได้เสียรวมทั้งผู้ตรวจสอบระบบดังกล่าวเพื่อให้แน่ใจว่าการลงทุนด้านไอทีมีความใกล้ชิด และสามารถส่งมอบงานได้สอดคล้องกับวัตถุประสงค์ขององค์กรและกลยุทธ์ โดยที่ไม่ต้องมีกรอบด้านโครงการด้าน IT

องค์กรที่ขาดการทำ ไอทีภิบาล จะมีความอ่อนแอมากขึ้นเรื่อยๆ ที่จะล้มเหลว แต่หลายองค์กรที่ล้มเหลวในการในการพิจารณาถึงความสำคัญของ ไอทีภิบาล  พวกเขาจะไม่ใช้ ไอที และอยากทำความเข้าใจอย่างเต็มที่ของการนำประโยชน์ด้าน ไอที มาเป็นเครื่องมือในการบริหารโครงการขององค์กร และช่วยการสนับสนุนโครงการนี้เพื่อวัตถุประสงค์ขององค์กร

การระบุวัตถุประสงค์ขององค์กรเกี่ยวกับ การกำกับดูแลเทคโนโลยีสารสนเทศ เป็นอีกวิธีหนึ่งที่ดีที่สุดและสำคัญที่สุดสำหรับ ไอทีภิบาล  ผู้บริหารระดับสูงอาจจะมองเห็นปัญหาหรือการดำเนินงานของโครงการด้วยมุมมองด้าน IT ที่จำกัด ด้วยข้อมูลของวัตถุประสงค์ที่ Input เข้าไปในระบบ และ output ที่ไม่มีประสิทธิภาพนี้จะเป็นมุมมองที่ทำให้บริหารงานได้ผิดพลาด และมีผลสืบเนื่องมาโดยตรงกับผู้จัดการโครงการเหล่านั้น  ด้วยการขาดประสบการณ์ทางด้านเทคนิคการบริหารจัดการกับความซับซ้อนของการบริหารงานโครงการดังกล่าว นอกจากนี้ผู้จัดการโครงการเหล่านี้อาจจะถูกตำหนิอย่างไม่ยุติธรรมสำหรับการทำงานที่ไร้ประสิทธิภาพมากมาย ทำให้องค์กรล้มเหลว เมื่อบูรณาการวัตถุประสงค์ของโครงการด้านไอทีกับวัตถุประสงค์โดยรวมขององค์การเพื่อที่จะใช้เป็นเครื่องมือในการบริหารจัดการโครงการต่างๆ ที่องค์กรดำเนินการอยู่ในปัจจุบันและติดตามผลการดำเนินงานสำหรับโครงการที่เสร็จสิ้น

 

การที่จะประสบความสำเร็จในองค์กรควรจะพิจารณาทุกปัจจัยต่อไปนี้ ซึ่งจะนำไปสู่การปฏิบัติที่ดีที่สุด และเป็นการประกันความเป็นอิสระด้านรายงานการจัดการที่มีประสิทธิภาพของการจัดการทรัพยากรด้านการบริหารความเสี่ยงการจัดตำแหน่งเชิงกลยุทธ์และการส่งมอบมูลค่า:

  • กรอบระดับสูง : รวมทั้งเป็นผู้นำการกำหนดกระบวนการบทบาทและความรับผิดชอบ, ความต้องการข้อมูลและโครงสร้างองค์กร, ความมั่นใจในการลงทุนไอที ที่จะสอดคล้องกับกลยุทธ์โดยรวมขององค์กร, การเพิ่มการประยุกต์ใช้ ไอที ที่มีโอกาส
  • การประกันอิสระในรูปแบบของการตรวจสอบภายในหรือภายนอก (หรือวิจารณ์) สามารถให้ข้อเสนอแนะเกี่ยวกับการปฎิบัติตามเวลาที่เหมาะสมของ IT กับนโยบายขององค์กรมาตรฐานวิธีการและวัตถุประสงค์โดยรวม การตรวจสอบเหล่านี้จะต้องดำเนินการในลักษณะที่เป็นกลางและมีวัตถุประสงค์เพื่อให้ผู้จัดการมีให้กับการประเมินความยุติธรรมของ IT โครงการที่ถูกตรวจสอบ
  • การจัดการทรัพยากรผ่านการประเมินผลปกติ เพื่อให้แน่ใจว่ามีเพียงพอในอำนาจมีประสิทธิภาพ ที่จะสามารถตอบสนองความต้องการขององค์กรได้
  • การจัดการความเสี่ยงที่ฝังตัวอยู่ในกระบวนการทำงานขององค์กรและไอทีอย่างสม่ำเสมอ การประเมินผลและการรายงานความเสี่ยงที่เกี่ยวข้องกับ ไอที และผลกระทบต่อองค์กร ที่เปิดรับจากปัญหาใดๆ มีการติดตามด้วยวิธีพิเศษที่มีความน่าสนใจ เพื่อลดผลกระทบเชิงลบที่อาจจะเกิดขึ้นกับวัตถุประสงค์โดยรวมขององค์กร
  • การจัดตำแหน่งเชิงกลยุทธ์ – ความเข้าใจร่วมกันระหว่างการจัดการขององค์กรกับฝ่ายเทคโนโลยีสารสนเทศ จะช่วยให้คณะกรรมการและผู้บริหารระดับสูงจะเข้าใจปัญหาด้านไอที เชิงกลยุทธ์ และแสดงให้เห็นถึงกลยุทธ์ด้านไอทีเชิงลึก ด้านเทคโนโลยีขององค์กรความสามารถและทำให้มั่นใจว่าการลงทุนไอทีจะสอดคล้องกับกลยุทธ์โดยรวมขององค์กร เพื่อที่จะเพิ่มประสิทธิภาพการให้โอกาสแก่ไอที
  • การส่งมอบผลประโยชน์ที่คุ้มค่าแสดงให้เห็นถึงสิ่งที่สามารถทำได้จากการลงทุนด้าน ไอที ในแต่ละการลงทุนดังกล่าวควรให้มูลค่ากับองค์กร และได้รับการขับเคลื่อนโดยความต้องการของหน่วยงานการลงทุน
  • การรายงานผลการดำเนินงานการจัดการรวมทั้งผลงานที่ถูกต้องทันเวลา และมีความเกี่ยวข้อง, โปรแกรม และ ไอที การรายงานโครงการเพื่อให้ผู้บริหารระดับสูง รีวิวอย่างละเอียดของความคืบหน้าต่อการกระทำของวัตถุประสงค์ที่ระบุไว้ของโครงการไอที ผ่านการทบทวนนี้องค์กร สามารถจะประเมินผลการดำเนินงานด้านไอทีในแง่ของการส่งมอบที่ได้รับ และสิ่งที่ล้มเหลวในระยะแรก หรือ ระยะสั้นๆ จะต้องมีการบันทึกในระบบและส่งต่อไปยังตัวชี้วัดประสิทธิภาพในการทำงานจะเป็นวิธีที่ดีที่สุดที่จะได้รับข้อมูลบางส่วนที่จำเป็นสำหรับการปฎิบัติงาน

 

ความสำคัญของตัวชี้วัดประสิทธิภาพการทำงานสำหรับ IT Governance

ตัวชี้วัดประสิทธิภาพการทำงานที่เป็นพื้นฐานของการกำกับดูแลอย่างเข้มงวดของ ไอที เพื่อให้องค์กรที่มีการกำกับดูแลที่ดีสามารถดูว่าคุณค่าที่แท้จริงจะถูกเพิ่มให้กับโครงการด้านไอทีของตน การกำหนดตัวชี้วัดประสิทธิภาพกรทำงานที่มีการจัดการ หมายถึง การวัดประสิทธิภาพและความสำเร็จ การตรวจสอบสิ่งที่จะต้องมุ่งเน้นเพื่อที่จะปรับปรุงประสิทธิภาพและประสิทธิผลของ IT โครงการ โดยการวัดประสิทธิภาพของการสำรองข้อมูลอย่างใดอย่างหนึ่งขึ้นอยู่ว่าจะเป็นเรื่องอยากที่จะวัดความก้าวหน้าของโครงการด้าน ไอที ที่จะทำต่อการบรรลุวัตถุประสงค์ด้านไอที ประโยชน์ของการวัดประสิทธิภาพ รวมถึง:

  • การปรับปรุงคุณภาพของการบริการด้านไอทีในแต่ละช่วงเวลา
  • การลดปัญหาการใช้ไอที ล่วงเวลาการทำงาน
  • การเพิ่มประสิทธิภาพการจัดส่ง และ
  • การลดค่าใช้จ่ายในการส่งมอบบริการด้านไอทีในแต่ละช่วงเวลา

 

มีสองประเภทของตัวชี้วัดประสิทธิภาพการทำงาน (1) ตัวชี้วัดการพัฒนาที่จะใช้ในการวัดประสิทธิภาพของโครงการด้านไอที ในการพัฒนาและ (2) ตัวชี้วัดการบริการที่จะใช้ในการวัดความสำเร็จของการต่อเนื่องหรือบริการด้านไอทีที่ซ้ำๆ

สำหรับการวัดประสิทธิภาพการพัฒนาชุดที่กำหนดการวัดที่ใช้ในการติดตามการพัฒนาโครงการและช่วยให้องค์กรสามารถวัดความก้าวหน้าของโครงการในทุกขั้นตอนของวงจรชีวิตสำหรับตัวชี้วัดที่ให้บริการโดยทั่วไปค่าใช้จ่ายบริการด้าน ไอที ได้รับมอบหมายในการเขียนโปรแกรมขึ้นอยู่กับการวัดจากกิจกรรมบริการด้านไอทีที่ใช้โดยโปรแกรม

งานด้านไอที จะไม่สามารถแสดงรายการทั้งหมดที่แตกต่างกันได้อย่างละเอียดทั้งหมดที่ใช้ในการวัดอย่างมีประสิทธิภาพ  แต่ตัวชี้วัดเหล่านี้ก็เป็นเรื่องปกติที่จะเพิ่มมากขึ้นเท่าที่จำเป็น และขึ้นอยู่กับเวลาและสถานที่ที่ใช้ในการเก็บรวบรวมข้อมูลที่สามารถนำมาใช้สำหรับการพัฒนาโครงการและบริการ อาทิ :

  • ต้นทุนด้านไอทีตามหมวดหมู่และจำแนกตามกิจกรรมองค์กรสามารถดูจำนวนเงินที่ลงทุนในแต่ละกิจกรรมและการกำหนดมูลค่าเพิ่ม โดยการลงทุนทางการเงินที่เกี่ยวข้อง
  • จำนวนพนักงานด้านไอที และค่าใช้จ่ายที่ต้องใช้ในการวิเคราะห์จำแนกตามรายกิจกรรมขององค์กร เพื่อที่จะสามารถวัดมูลค่าเพิ่มของแต่ละกิจกรรมเมื่อเทียบกับปริมาณของทรัพยากรที่มุ่งมั่นในการดำเนินงาน
  • อัตราส่วน Outsourcing ขององค์กรที่สามารถตรวจสอบประสิทธิภาพของพนักงานของตัวเอง และช่วยให้พวกเขาที่จะวัดความเชื่อมั่นของพวกเขาในแหล่งข้อมูลภายนอก
  • งานด้านไอที ที่เกี่ยวข้องกับเหตุการณ์ความเสี่ยงด้านปฏิบัติการ (จำนวนและมูลค่า) องค์กรสามารถวัดด้วยวิธีการที่ดี ซึ่งกิจกรรมที่มีความเสี่ยงก็จะถูกจัดการโดยการบริหารความเสี่ยงที่ระบุแนวทางบรรเทาผลกระทบของพวกเขา และค่าใช้จ่ายของความล้มเหลวก็จะลดลง ซึ่งพวกเขาเหล่านี้จะต้องถูกวัดประสิทธิภาพจากนั้นจะนำไปสู่การบริหารจัดการ
  • ตัวอย่างอื่นๆ ของตัวชี้วัดที่พบ ได้แก่ การทำตารางเปรียบเทียบค่าใช้จ่ายและประสิทธิภาพการทำงานของพนักงานประจำเต็มเวลา กับ พนักงานที่จ้างเป็นสัญญา ด้วยการพิจารณาประเด็นที่เกี่ยวข้องกับเหตุการณ์ความเสี่ยงด้านการปฎิบัติการ (จำนวน และ มูลค่า) เหตุการณ์รักษาความปลอดภัยด้าน ไอที (จำนวน x มูลค่า) ตัวชี้วัดต่างๆ สำหรับโครงการด้านไอที และการบริหารจัดการด้านการลงทุนด้านไอที ที่ครบกำหนดตามรูปแบบของ capability maturity model (CMM) ของโครงการ (ในปัจจุบันและที่คาดว่าจะทำ)

 

สิ่งที่สามารถใช้ ระบบสารสนเทศ (Information System) IS เป็นผู้ตรวจสอบการกำกับดูแลที่มีประสิทธิภาพ ?

เพื่อที่จะช่วยในการพัฒนาการกำกับดูแลที่มีประสิทธิภาพด้าน IT, IS ผู้ตรวจสอบจะต้อง :

  1. มีส่วนร่วมในการให้ข้อมูลที่ใช้ในการวัดประสิทธิภาพ
  2. มีการกำกับดูแลที่จะทำให้แน่ใจว่าเป็นสิ่งที่เกี่ยวข้องกับวาระ
  3. ส่งเสริมกลยุทธ์การกำกับดูแลกิจการ

 

การนำไปสู่การวัดประสิทธิภาพ

ผู้ตรวจสอบด้านไอที สามารถนำผลการวัดประสิทธิภาพไปช่วยเหลือองค์กรได้อย่างถูกต้อง และมีความถูกต้องในการเก็บรวบรวม และจัดทำเป็นรายงานผลการวิเคราะห์ตัวชี้วัด เพื่อที่จะแจ้งให้กับผู้ดูแลกิจการที่เกี่ยวผลที่เกิด :

  • ผู้ตรวจสอบจะสามารถช่วยในการวิเคราะห์ประสิทธิภาพการทำงานด้าน ไอที รวมถึงการวิเคราะห์ตัวชี้วัดเกี่ยวกับความหมาย รูปแบบและวิธีการ ถึงผลลัพธ์ที่ต้องการจะวัดว่าเกิดอะไรขึ้น และการให้คำแนะนำของ ผู้ตรวจสอบอย่างเป็นอิสระที่จะสามารถยืนยันข้อมูลเกี่ยวกับสาเหตุของการวัดประสิทธิภาพ ประสิทธิผลของการดำเนินการตามแผนเพื่อลดความแปรปรวนที่คาดว่าจะเกิดขึ้น
  • ผู้ตรวจสอบจะสามารถให้การรับรองความถูกต้องเกี่ยวกับการที่เป็นอิสระและความสมบูรณ์ของตัวชี้วัดประสิทธิภาพโดยการประเมินเป็นระยะๆ ของตัวชี้วัดรายงานการกำกับดูแลกิจการขององค์กร
  • ผู้ตรวจสอบสามารถใช้ทักษะของพวกเขาในการระบุกฎเกณฑ์ความมีประสิทธิภาพของการทำงานสำหรับการใช้ตัวชี้วัดเพื่อวัดประสิทธิภาพของโปรแกรม

กุมภาพันธ์ 28, 2012 Posted by | IT Audit | ใส่ความเห็น

IT Trends สำหรับปี 2012


สวัสดี ครับ

วันนี้เราจะขอคุยเรื่องเบาๆ แล้วกันนะครับ เพราะคุยเรื่องหนักๆ ด้าน IT Audit มาสักพักแล้ว คงจะเริ่มเบื่อกันแล้ว เลยขอพักสักระยะก่อน แล้วจะอธิบายต่อ ด้าน IT Audit อีกครั้งครับ

แนวโน้มชั้นนำด้าน IT ที่อยู่ในร้านที่คาดว่าจะเริ่มมีการทำงานที่เป็นรูปธรรมมากขึ้น เช่น Cloud, Mobility, Enterprise Social Media, the Internet of things และ Big Data ที่จะยังคงเป็นปัจจัยหลักสำหรับองค์กรต่างๆ และผู้นำทางธุรกิจที่จะต้องมีการพิจารณาข้อมูลที่มีปริมาณมาก และเคลื่อนที่อย่างรวดเร็วมาก เช่นเดียวกับธุรกิจต่างๆ และผู้ที่มี Life Style ในโลกอินเตอร์เน็ตสูงจะยอมรับการชำระเงินผ่านระบบมือถือ ที่เพิ่มมากขึ้นอย่างรวดเร็ว

แนวโน้มของ IT เหล่านี้จะมีรายละเอียดมากขึ้นและด้วยเหตุผลต่างๆ ทำให้ทิศทางของ IT ในปี 2012 จะสามารถแบ่งกลุ่มได้ดังนี้

Cloud : ที่กำลังขยายพลังอำนาจอย่างกว้างขวาง และมีการยอมรับอย่างเป็นทางการมากขึ้น ในลักษณะของ Cloud computing ที่เป็นทางเลือกด้านโฮสติ้งโมเดลที่จัดตั้งขึ้น Cloud จะช่วยให้องค์กรสามารถเข้าถึงสิ่งอำนวยความสะดวกต่างๆที่จะสามารถใช้ร่วมกันแบบ Pool และสามารถปรับองค์กรให้มีการตั้งระบบควบคุมความปลอดภัย ด้วยการทดสอบการใช้ Cloud อย่างรอบคอบได้ก่อนที่จะต้องนำข้อมูลทั้งหมดขององค์กรไปเก็บไว้บน Cloud จริงๆ ซึ่งองค์กรที่ใช้ Cloud อย่างเป็นทางการและจริงจังอย่างมาก อาทิ Amazon, Apple เป็นต้น

 

Mobility : ระบบมือถือที่เป็น Smart Phone และระบบไร้สายต่างๆ ได้สร้างปรากฎการณ์ที่ยิ่งใหญ่มาแล้วในปี 2010/11 ทำให้องค์กรต่างๆ ได้พยามเปลี่ยนวัฒนธรรมองค์กรมาใช้ระบบ Mobility มากขึ้นกว่าเดิมในการทำงานร่วมกันด้วยอุปกรณ์ไร้สายต่างๆ ที่เชื่อมต่อกับอินเตอร์เน็ตความเร็วสูง เช่น สมาร์ทโฟน , แท๊บเล็ต ทำให้องค์กรมีการเคลื่อนไหวที่เร็วมาก และตอบสนองความต้องการของลูกค้าด้วยความรวดเร็ว พนักงานมีความสะดวกสบายมากขึ้น แต่ก็ยังเป็นปัญหาที่ท้าทายความปลอดภัยของข้อมูลขององค์กรที่ได้มีการเผยแพร่บน Mobility ในปัจจุบัน เช่น Clip หลุด หรือข้อมูลความลับด้านการออกแบบระบบที่สำคัญๆ เป็นต้น

 

Enterprise social media : เป็นเครื่องมือที่จะช่วยให้พนักงานในองค์กรสามารถเชื่อมต่อกับเพื่อนร่วมงานบุคคลอื่นๆ ในองค์กร หรือภายนอกองค์กร กลุ่มลูกค้าที่สำคัญๆ ได้ในรูปแบบเครือข่ายทางสังคมขององค์กรนั้นๆ ในปี 2012 องค์กรสื่อสังคมออนไลน์ จะได้รับการยอมรับอย่างสูงในวงกว้างกว่าองค์กรที่พัฒนาตนเองไปสู่นวัตกรรมใหม่ๆ ด้วยความเป็นเครือข่ายทางสังคม จะมีความไว้ใจ เชื่อใจกันและกัน คุยกันแบบเพื่อน หรือ คนในครอบครัวมากกว่าการมุ่งที่แข่งขันกันทำกำไร

 

Internet of things : องค์กรจะยังคงทำการสำรวจและเริ่มได้รับประโยชน์จากอินเตอร์เน็ตในสิ่งที่สามารถระบุตัวตนที่ไม่ซ้ำกัน การเชื่อมต่อกันด้วยอินเตอร์เน็ต ซึ่งอันนี้รวมถึง “Smart meter technology” ที่ติดตั้งอุปกรณ์ในบ้านเพื่อให้บ้านเป็นระบบอัฉริยะ ขึ้นครับ หรือติดตั้งอุปกรณ์ทางการแพทย์ที่เชื่อมต่อโดยตรงกับอุปกรณ์มือถือ สำหรับผู้บริโภคที่ต้องการติดต่อแพทย์ของตนเป็นการส่วนตัวและข้อมูลแสดงผลแบบ Real time สำรับธุรกิจแล้วจะเป็นการเปลี่ยนพฤติกรรมของผู้บริโภค ที่ลูกค้าสามารถเข้ามาเป็นส่วนหนึ่งขององค์กรในการเสนอความเห็น เข้ามาใช้บริการขององค์กรได้เหมือนเป็นส่วนหนึ่งขององค์กรครับ ซึ่งจะมีการเชื่อมโยงกับ “Big Data” ในหัวข้อถัดไป

 

Big Data : ข้อมูลยังเป็นแหล่งทรัพย์สินที่มีค่าขององค์กร ซึ่งการได้เปรียบทางการแข่งขันนั้นจะต้องมีการเก็บฐานข้อมูลที่เป็นระบบ มีการนำฐานข้อมูลมาวิเคราะห์ด้วยการศึกษาแบบ BI หรือ Data Mining เพราะองค์กรต่างๆ จะพยามเก็บข้อมูลของกลุ่มลูกค้าเป้าหมายตั้งแต่เกิด จนถึง ตาย ว่าเขาควรจะได้รับ บริการอะไรบ้าง ผลิตภัณฑ์อะไร ในเวลาใด ให้กับใคร (คิดแทนให้ทุกเรื่อง) ในระหว่างที่มีชีวิตอยู่ (ขอให้คุณมีเงินจ่าย) และจนถึงตาย (คุณควรจะได้รับบริการอะไรในวาระสุดท้ายของชีวิต) ดังนั้นคุณจะต้องจ่าย และ จ่ายให้กับความสะดวกสบายต่างๆ ที่ระบบได้นำพฤติกรรมของคุณมาทำการคำนวณและประมวลผล พฤติกรรมของบุคคลสำคัญๆ ที่เป็น Idol ของบุคคลทั่วไป เพื่อให้เกิดการเลียนแบบขึ้น เช่น นักเตะฟุตบอลชาวอังกฤษ หลายคน ที่เป็นนายแบบ เปิดกิจการของตนเองด้วยการนำเสนอสินค้าตามรสนิยมของตน และมีผู้ชื่นชอบเป็นจำนวนมาก หรือ Google ที่เก็บฐานข้อมูลของทั่วโลก และทำการประมวลผล จัดแบ่งกลุ่มได้อย่างชาญฉลาด ทำให้ผมนึกถึงหนังอมตะ เรื่องหนึ่ง The Matrix ที่มีพระเอกชื่อ NEO ครับ และกำลังจะเป็นหัวข้อที่มีการอภิปรายในปี 2013 นี้ไปเรื่อยๆ ถึงความเป็นส่วนตัวของคุณจะหายไป แต่จะกลายเป็น Social Information Media แทนครับ

 

Cybersecurity : เราทุกคนต่างทราบดีว่าขณะนี้ชาติมหาอำนาจทั้งหลายต่างพยามที่จะส่งพวก Hacker เข้าไปขโมยข้อมูลความลับที่มีมูลค่าทางเศรษฐกิจระหว่างกันอย่างรุนแรง ทั้งที่เปิดเผยและไม่เปิดเผย อันเป็นผลเนื่องจากการเพิ่มขึ้นของระดับการเชื่อมต่อแบบเสมือนจริงของทรัพย์สินทางธุรกิจ และยังมีช่องโหว่ทางการกฎหมายเกี่ยวกับลิขสิทธิ์ และความลับหรือความเป็นส่วนตัวที่กำลังถกเถียงกันอย่างหนักในปี 2012 ซึ่งเราจะได้เห็นชาติมหาอำนาจของโลกทำการแต่งตั้งตัวเองเป็นผู้คุมกฏด้าน IT Security ของโลกออนไลน์ และแฝงด้วยผลประโยชน์ด้านการลงทุนของพวกเขาที่เป็นทรัพย์สินทางปัญญาที่เกี่ยวข้องกับ “ข้อมูล” ต่างๆ

 

แนวโน้มของอุตสาหกรรม

Neil Saward และ Deepak Baharathan of PA Consulting Group ได้ให้ความเห็นว่า จำนวนของแนวโน้มอุตสาหกรรมเฉพาะที่จะทำให้เกิดการเปลี่ยนแปลงอย่างมากในอุตสาหกรรมบางประเภท แต่ผลกระทบอย่างจำกัดกลุ่มที่เกี่ยวข้องเท่านั้น

สถานที่ตั้งของสื่อต่างๆ จะมีการขยับเคลื่อนที่อย่างรุนแรง : พฤติกรรมการดูโทรทัศน์ของบุคคลในครัวเรือนจะเปลี่ยนไป ทุกคนจะมีโลกส่วนตัวของตนเอง การสื่อสารด้านภาพและเสียงจะมีให้เลือกมากมายจนนับไม่ถ้วน พฤติกรรมที่จะต้องอยู่พร้อมกันดูทีวีด้วยกัน แสดงความเห็นต่อรายการจะหายไป การวัด Rating จะทำได้ยากมาก การควบคุมคุณภาพของสื่อต่างๆ ที่ไม่เหมาะสมกับเด็ก และผู้หญิง หรือคนที่มีโรคเฉพาะจะทำไม่ได้เลย ในปี 2012 นี้

รูปแบบของการจัดเก็บข้อมูลอิเลคทรอนิกส์ เช่น DVD และ DVRs เปิดใช้งานเวลาขยับไปกลายเป็นกระแสหลักที่ผู้เล่นสำคัญๆในเวทีหรือสถานที่ต่างๆ ทำให้กลุ่มผู้ผลิตฮาร์ดแวร์ สื่อ และบริษัทเครือข่ายทางสังคมต่างมีสิทธิ์ในการใช้สื่อเผยแพร่นี้ได้

 

การชำระเงินผ่านมือถือจะเริ่มต้นตามสัญญาด้วยการออกกฎหมายในสหรัฐ/ยุโรป : ผู้ที่อยู่อาศัยในหลายประเทศในเอเชียที่มีการเชื่อมต่อของฐานข้อมูล กระเป๋าอิเลคทรอนิค บนโทรศัพท์มือถือ จะได้เปรียบและเสียเปรียบในบางเรื่องของการชำระเงินผ่านโทรศัพท์มือถือไปยัง สหรัฐ และ ยุโรป ตามกฎหมายใหม่ที่กำลังจะออกบังคับใช้ นอกจากนี้การชำระเงินผ่านระบบมือถือจะแพร่หลายไปยังการชำระเงินเล็กๆน้อยๆ ไปจนถึงการชำระค่าตั๋วโดยสารรถไฟ การชำระเงินในร้านขายของชำ ด้วยการใช้เทคโนโลยี NFC ซึ่งระบบนี้จะครอบครองเงินในกระเป๋าของคุณได้เกือบ 100%

 

สุดท้ายนี้ เราก็อยากจะขอเตือน พี่ เพื่อนๆ น้องๆ หลานๆ ทั้งหลายว่าอย่าเอาชีวิตทีดีงามและวัฒนธรรมของไทย ไปใช้ตามสิ่งที่พวกต่างชาติเขาพัฒนาล่อให้เราลุ่มหลงในสิ่งต่างๆ จน “เมาวัตถุนิยม” จนลืมตัวไปว่าเราควรยึดประเพณีของปู่ ย่า ที่แนะนำให้เราปฎิบัติ เพื่อให้เราไม่เป็นทาส วัตถุนิยมของทางตะวันตก จนเกินไปนะครับ

 

ขอขอบคุณทุกๆ ท่านที่กรุณาอ่านมาจนถึงบรรทัดนี้ ขอให้โชคดีครับ

 

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

www.interfinn.com

กุมภาพันธ์ 28, 2012 Posted by | IT Audit | ใส่ความเห็น

ขั้นตอนการตรวจสอบ IT Audit ภาค 4


สวัสดีครับ

ช่วงนี้ว่างการจากการอบรมต่างๆ ก็เลยขอใช้เวลาให้คุ้มค่าด้วยการนำเสนอบทความด้าน IT Audit ให้กับทุกๆ คนได้อ่านกันเพลิน และประดับความรู้นะครับ

การควบคุมเกี่ยวกับการดำเนินการทั่วไปและการควบคุมไฟล์

การควบคุมการดำเนินงานทั่วไปและการควบคุมไฟล์เอกสาร ความหมาย เพื่อให้แน่ใจว่าการปกป้องเครื่องคอมพิวเตอร์และไฟล์ต่างๆในคอมพิวเตอร์ มีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต และป้องกันการสูญหาย หรือ ถูกขโมย รวมถึงการควบคุมและการเปลี่ยนแปลง การประมวลผลของข้อมูล สุดท้ายแล้วเพื่อสนับสนุนให้เกิดความสมบูรณ์และความน่าเชื่อถือของการดำเนิงานเหล่านี้ว่ามีการป้องกันและประมวลผลไม่ได้จากบุคคลที่ไม่ได้รับอนุญาตจากข้อมูลในโปรแกรม หรือ ระบบที่ควบคุมไฟล์มีวิธีการที่เพียงพอป้องกันไฟล์และ Software กับการสูญเสียในทางที่ผิด การขโมย หรือสร้างความเสียหายแบบเปิดเผย การเข้าถึงโดยไม่ได้รับอนุญาต หรือ ไม่ตั้งใจ หรือ การเจตนาทุจริต

การควบคุมเครื่องคอมพิวเตอร์ หมายถึง การถือครองการประเมินและแก้ไขข้อมูลตามความจำเป็นที่การใช้งานถูกควบคุม ควรมีตารางเวลาที่แน่นอนของการทำงานที่เป็นผู้มีอำนาจที่จะสามารถเรียกใช้งานได้ และข้อจำกัด ควรจะอยู่ที่จำนวนและคุณลักษณะของพนักงานที่ได้รับอนุญาตให้เข้าถึงมัน นอกจากนี้ไฟล์คอมพิวเตอร์จะมีระเบียนขององค์กร ซึ่งจำเป็นต้องมีทั้งการปกป้องและควบคุม

การเปลี่ยนแปลงการบริหารระบบควบคุม

การเปลี่ยนแปลงระบบการควบคุมจะต้องมีการตรวจสอบให้แน่ใจว่าการเพิ่มเติมหรือเปลี่ยนแปลงไปยังระบบคอมพิวเตอร์นั้น ได้รับการอนุญาตอย่างถูกต้องและผ่านการทดสอบได้รับการยอมรับและมีเอกสาร การควบคุมการเปลี่ยนแปลงที่ดี สามารถส่งผลให้เกิดการเปลี่ยนแปลงโดยไม่ตั้งใจ หรือเป็นอันตรายกับซอฟต์แวร์และข้อมูลออกแบบมาไม่ดี

การเปลี่ยนแปลงที่สามารถปรับเปลี่ยนข้อมูลทางการเงิน และสามารถลบเส้นทางการตรวจสอบได้ ผู้ตรวจสอบจำเป็นที่จะต้องมีการตรวจสอบว่าระบบคอมพิวเตอร์ใหม่ หรือ การแก้ไขเพิ่มเติมจะต้องถูกทดสอบอย่างละเอียดโดยผู้ใช้ปลายทางของมันก่อนที่จะเผยแพร่ให้บุคคลทั่วไปใช้ โดยเฉพาะโปรแกรมที่เกี่ยวกับระบบการเงินที่ยังไม่นิ่ง และมีการเปลี่ยนแปลงบ่อย ซึ่งการแก้ไขเพิ่มเติมหรือการปรับปรุง เหล่านี้เป็นการเปลี่ยนแปลงตามปกติ หรือ มีความจำเป็นในการปรับปรุงประสิทธิภาพในการทำงาน หรือ ลบบางอย่างออกไป หรือ ความผิดพลาดในการเขียนโปรแกรม (bugs)

กรรมการตรวจสอบ IT ควรเน้นที่จะตรวจสิ่งที่ปรับปรุงด้านคอมพิวเตอร์ของพวกเขา ควรมีระบบการจัดการเปลี่ยนแปลงที่เหมาะสม และมีการจัดการในการกำหนดค่า การควบคุม ขั้นตอนการจัดการกำหนดค่าที่เกี่ยวข้องกับการควบคุมของสินทรัพย์ด้าน IT (เช่น ฮาร์ดแวร์ ซอฟต์แวร์ เอกสารที่เกี่ยวข้อง และการสื่อสาร) และการปรับปรุงที่มาของระเบียนข้อมูล ขณะที่การจัดการเปลี่ยนแปลงที่เกี่ยวข้องกับการอนุมัติการประเมินผลกระทบ ด้านสินทรัพย์ การปรับปรุงควรมีการทดสอบ และการดำเนินงานของการเปลี่ยนแปลง เพื่อลดความเสี่ยงและความเหมาะสม การเปลี่ยนระบบควบคุมด้านการจัดการ ซึ่งการควบคุมเหล่านี้ควรจะมีการตรวจสอบจนแน่ใจแล้วว่าระบบทั้งหมดและโปรแกรม มีการแก้ไขโดยชอบธรรมที่น่าพอใจ ด้วยอำนาจที่ถูกต้อง มีการบันทึกไว้และผ่านการทดสอบและตรวจสอบเส้นทางที่เพียงพอของการเปลี่ยนแปลงทุกขั้นตอนของการเปลี่ยนแปลงด้านเอกสารประกอบต่างๆ

ผู้ตรวจสอบระบบควบคุมเหล่านี้ ควรจะตรวจสอบว่ามีการแก้ไขเพิ่มเติมโปรแกรม หรือ ไฟล์ ที่ได้รับอนุญาต เข้าตรวจสอบความสามารถการแนะนำโปรแกรมใหม่ การจำกัดสิทธิ์ ผู้มีอำนาจในการเปลี่ยนแปลงพนักงานควบคุมที่มีความเป็นอิสระ จากการต้องเขียนโปรแกรมคอมพิวเตอร์ พนักงานที่ใส่ข้อมูลด้านธุรกรรม พนักงานที่ดูแลด้านระบบรักษาความปลอดภัยระบบ

เครือข่ายการควบคุมการสื่อสารการรักษาความปลอดภัย (Netwok Communication Security Controls)

เครือข่ายการควบคุมการสื่อสารการรักษาความปลอดภัยมีความสำคัญสำหรับระบบ LAN / WANs หรือ ระบบเว็บไซต์ที่เปิดใช้งาน ในบางแง่บางมุมที่สำคัญที่จะต้องได้รับการคุ้มครองโดยการควบคุมนี้ จะเป็นดังต่อไปนี้

(i) ข้อมูลทั้งหมดที่สำคัญในระบบเครือข่ายควรจะมีการป้องกันโดยการใช้
วิธีที่เหมาะสมทางเทคนิค

(ii) อุปกรณ์เครือข่ายที่สำคัญ เช่น เราเตอร์สวิตช์ และ โมเด็มควรจะ
ป้องกันจากความเสียหายทางกายภาพ

(iii) กำหนดค่าเครือข่ายและสินค้าคงเหลือควรบันทึกและเก็บรักษาไว้

(iv) อนุมัติล่วงหน้าจากผู้ดูแลระบบเครือข่ายควรจะได้สำหรับการทำการ
เปลี่ยนแปลงใดๆ กับการกำหนดค่าเครือข่าย

(v) การเปลี่ยนแปลงที่เกิดขึ้นในการกำหนดค่าเครือข่ายควรได้รับการ
บันทึกไว้ ภัยคุกคามและการประเมินความเสี่ยงของเครือข่ายหลังจาก
การเปลี่ยนแปลงในการกำหนดค่าเครือข่ายควรจะเป็นสิ่งสุดท้าย

(vi) การดำเนินงานเครือข่าย ควรจะตรวจสอบความผิดปกติสำหรับการ
รักษาความปลอดภัยใดๆ อย่างเป็นทางการโดยเฉพาะกระบวนงานที่
ควรจะเป็นในสถานที่สำหรับการระบุและแก้ไขปัญหาด้านการรักษา
ความปลอดภัย

(vii) การเข้าถึงทางกายภาพเพื่อการสื่อสารและเว็บไซต์ของเครือข่ายควร
ได้รับการควบคุมและจำกัดสิทธิ์

(viii) การสื่อสารและระบบเครือข่ายควรได้รับการควบคุมและจำกัดสิทธิ
บุคคลผู้มีอำนาจ

(ix) เครื่องมือวินิฉัยเครือข่าย เช่น การวิเคราะห์โปรโตคอล ที่ควรจะใช้บน
ความต้องการพื้นฐาน

(x) ไฟร์วอลล์ : อุปกรณ์อัจฉริยะที่ทุกคนรู้จักกันดีว่า “ไฟร์วอลล์” ควรจะใช้
แยกเครือข่ายข้อมูลขององค์กรจากเครือข่ายภายนอกใดๆ
อุปกรณ์ ไฟร์วอลล์ ควรยังมีการจำกัดสิทธิ การเชื่อมต่อเครือข่าย
กับการไม่ได้รับอนุญาต เครือข่ายที่ทำงานที่แตกต่างกันในระดับการ
รักษาความปลอดภัย ควรจะมีการแยกกันโดย ไฟล์วอลล์ ที่เหมาะสม
เครือข่ายภายในองค์กรควรจะมีการแยกทางกายภาพและเหตุผลจาก
อินเตอร์เน็ต และการเชื่อมต่อใดๆ ภายนอกอื่นๆ โดยไฟร์วอลล์ทั้ง
หมดจะต้องอยู่ภายใต้การทดสอบอย่างละเอียดสำหรับช่องโหว่ก่อนที่
จะถูกนำไปใช้อย่างน้อย 6 เดือน

หลังจากนั้นเว็บเซิรฟเวอร์ทั้งหมดที่สามารถถูกเข้าถึงโดยผู้ใช้อินเตอร์
เนตควรจะแยกออกจากข้อมูลอื่นๆ และเซิรฟเวอร์โฮสต์

(xi) การเชื่อมต่อ : องค์กรควรกำหนดวิธีการที่จะช่วยให้การเชื่อมต่อของ
เครือข่ายคอมพิวเตอร์ หรือ ระบบคอมพิวเตอร์ของพวกเขาไปยังระบบ
คอมพิวเตอร์ใดๆ ภายนอกหรือภายในเครือข่าย ด้วยการใช้สิทธิในการ
เชื่อมต่อกับเครือข่ายอื่นๆ และระบบคอมพิวเตอร์ควรจะได้รับการ
อนุมัติโดยผู้ดูแลระบบเครือข่ายและการบันทึกไว้ การเชื่อมต่อทั้งหมด
ไม่ได้ใช้และกลุ่มเครือข่ายที่ควรจะตัดการเชื่อมต่อจากเครือข่ายที่ใช้
งาน ระบบคอมพิวเตอร์ / คอมพิวเตอร์ส่วนบุคคล หรือสถานที่ที่อยู่
นอกการเข้าถึงระบบอุปถัมภ์ขององค์กร ต้องเป็นไปตามระบบรักษา
ความปลอดภัยทั่วไป และแนวทางการควบคุมการเข้าถึง ความเหมาะ
สมของฮาร์ดแวร์ใหม่ / ซอฟต์แวร์ โดยเฉพาะอย่างยิ่งการทำงานร่วม
กับโปรโตรคอล มีการประเมินก่อนการเชื่อมต่อแบบเดียวกันกับเครือ
ข่ายขององค์กรเท่าที่เป็นไปได้ทางอินเตอร์เน็ต การเข้าถึงจำเป็นที่จะ
ต้องมีการได้รับอนุญาตให้มีการเชื่อมต่อฐานข้อมูลของเซิร์ฟเวอร์ /
ไฟล์ หรือ เซิร์ฟเวอร์โฮสต์ข้อมูลที่สำคัญ ระดับของการคุ้มครอง
ทรัพยากรการสื่อสารและเครือข่ายควรจะสอดคล้องกับความวิกฤติและ
ความไวของข้อมูลที่มีการส่งระหว่างกัน

(xii) ผู้ดูแลระบบเครือข่าย องค์กรแต่ละคนควรมีการกำหนดอย่างถูกต้อง
ด้วยทักษะและความรู้ความสามารถที่จะต้องมีการผ่านการฝึกอบรม “ผู้
ดูแลระบบเครือข่าย” ใครเป็นผู้รับผิดชอบสำหรับการดำเนินงานการ
รักษาความปลอดภัยการตรวจสอบ และการทำงานของเครือข่าย การ
จัดสรรการติดตามกิจกรรมที่ผิดปกติใดๆ หรือ รูปแบบของการเข้าถึง
ในเครือข่ายคอมพิวเตอร์ควรถูกสอบสวนทันทีโดยเครือข่าย

ผู้บริหารระบบ จะต้องมีกลไกในการแจ้งเตือนภายในเครือข่ายทันที ซึ่ง
ผู้ดูแลการละเมิดการรักษาความปลอดภัยที่เป็นไปได้ เช่น การเข้าถึง
การติดไวรัสคอมพิวเตอร์ และ การแฮ๊คระบบการจัดการเครือข่าย
ความปลอดภัย ควรจะมีการดำเนินการในด้านการตรวจสอบการทำ
งานของเครือข่ายคอมพิวเตอร์ การจำกัดปริมาณเข้าถึงข้อมูลจาก
เครือข่ายจราจรทางอากาศ เฉพาะซอฟต์แวร์ที่ได้รับอนุญาต และถูก
กฎหมายควรจะใช้บนระบบเครือข่าย

 

สุดท้ายนี้ เราหวังว่าทุกๆ คน น่าจะได้รับประโยชน์บ้าง จากบทความเกี่ยวกับ IT Audit ที่ได้นำเสนอมาหลายตอน และคาดว่าคงจะต้องเขียนไปอีกสักระยะกว่าจะหมดในเอกสารรุ่นแรก ที่เราอยากจะนำเสนอให้พิจารณากัน ว่างก็เสนอความเห็นเข้ามาได้นะครับ ว่าชอบ หรือ ไม่ชอบ อย่างไร

ขอให้ทุกๆ ท่านโชคดี ครับ

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

ekamol.eiamsri@windowslive.com

www.interfinn.com

กุมภาพันธ์ 28, 2012 Posted by | IT Audit | ใส่ความเห็น

ขั้นตอนการตรวจสอบ IT Audit ภาค 3


สวัสดี ครับ

วันนี้เรามาคุยกันต่อเกี่ยวกับการตรวจสอบภายในด้าน IT กันต่อนะครับ

 

การควบคุมการเข้าถึงทางกายภาพ

การควบคุมการเข้าทางกายภาพรวมถึงการควบคุมสิ่งแวดล้อมที่ทำงานของสภาพแวดล้อม IT ทั้งหมด และส่งผลกระทบต่อการใช้งานคอมพิวเตอร์ทั้งหมดต้นแบบควบคุมเหล่านี้ที่ออกแบบมาเพื่อป้องกันคอมพิวเตอร์ฮาร์ดแวร์และซอฟต์แวร์จากความเสียหายจากโจรกรรมและการเข้าถึงโดยไม่ได้รับอนุญาต การควบคุมการเข้าถึงสามารถทำงานได้ในระดับต่างๆ เช่น การจำกัดการเข้าถึงเว็บไซต์ของลูกค้าที่จะติดตั้ง ด้วยการ Keylock ในส่วนที่สำคัญๆของเครื่องคอมพิวเตอร์ส่วนบุคคล

ผู้ตรวจสอบด้าน IT ควรจะประเมินอย่างรวดเร็วของการควบคุมการเข้าถึงทางกายภาพ และการจำกัดการเข้าถึงทางกายภายพกับระบบไอที เพื่อช่วยลดความเสี่ยงของบุคคลที่ไม่ได้รับอนุญาตในการเข้าไปแก้ไขข้อมูลทางการเงิน

 

การควบคุมการอนุมัติ

การอนุมัติการควบคุมจะช่วยให้ ผู้ตรวจสอบเข้าใจว่า ใคร ผู้ใด มีอำนาจหน้าที่ของบุคคลที่ปรารถนาจะ ดำเนินการตามขั้นตอน หรือ การดำเนินงาน การควบคุมนี้ใช้สิทธิผ่าน การใช้รหัสผ่าน ลายเซ็นต์บัตรสมาร์ทการด์ ระบบการเข้ารหัสลับ ฯลฯ การควบคุมดังกล่าว ให้แน่ใจว่าเฉพาะผู้ีมีอำนาจมีการเข้าถึงระบบ และการใช้งานเพื่อเข้า และ/หรือเปลี่ยนแปลงรายการที่จะใช้ข้อมูลอื่นๆ

 

การควบคุมการเข้าถึงตรรกะ Logical Access Control

การควบคุมการเข้าถึงตรรกะมีไว้เพื่อป้องกันการใช้งานทางการเงินและการอ้างอิงไฟล์ข้อมูลจากการเข้าถึงเพื่อการแก้ไขหรือลบ การควบคุมการเข้าถึงตรรกะสามารถอยู่ได้ทั้งการติดตั้งและระดับโปรแกรมประยุกต์ การควบคุมภายในทั่วไป IT มีสภาพแวดล้อมที่จำกัด การเข้าถึงระบบปฎิบัติการทรัพยากรระบบ และการประยุกต์ใช้ ขณะที่การควบคุมระดับแอพลิเคชั่น จำกัด กิจกรรมของผู้ใช้ภายในโปรแกรมประยุกต์แต่ละกิจกรรม

การควบคุมการเข้าถึงตรรกะ นอกจากนี้ยังสามารถนำมาใช้เพื่อ จำกัด การใช้ระบบสาธารณูปโภคที่มีประสิทธิภาพ เช่น บรรณาธิการไฟล์ การควบคุมการเข้าถึง Logical มักจะใช้กับการควบคุมการเข้าถึงทางกายภาพเพื่อลดความเสี่ยงจากโปรแกรม และ ไฟล์ข้อมูลที่ถูกแก้ไขเพิ่มเติม โดยไม่มีอำนาจความสำคัญของการควบคุมการเข้าถึงตรรกะจะเพิ่มขึ้น ซึ่งการควบคุมการเข้าถึงทางกายภาพที่มีประสิทธิภาพ ตัวอย่างเช่น เมื่อระบบคอมพิวเตอร์ที่ใช้ประโยชน์จากเครือข่ายการสื่อสาร (LANs และ WANs) การดำรงอยู่ของการรักษาความปลอดภัยที่เพียงพอเข้าถึงตรรกะเป็นอย่างยิ่งที่สำคัญที่ลูกค้าจะใช้ประโยชน์จากเครือข่ายบริเวณกว้างและสิ่งอำนวยความสะดวกระดับโลก เช่น อินเตอร์เน็ต

รูปแบบที่พบมากที่สุดของการควบคุมการเข้าถึงตรรกะเป็นตัวระบุการเข้าสู่ระบบ (IDS) ตามด้วยตรวจสอบรหัสผ่าน สำหรับรหัสผ่านที่จะมีประสิทธิภาพจะต้องมีความเหมาะสมด้วยนโยบายการใช้รหัสผ่านและขั้นตอน ซึ่งเป็นที่รู้จักพนักงานทุกคนและยึดติดกับ เมนูข้อจำกัด จะมีประสิทธิภาพในการควบคุมการเข้าถึงการใช้งานและระบบสาธารณูปโภค

ระบบอาจจะสามารถควบคุมการเข้าถึงโดยการระบุผู้ใช้รายย่อยแต่ละรายผ่านทางเส้นทางของพวกเขาที่ไม่ซ้ำกัน รหัสล็อกอิน และแล้วมีรายละเอียดที่กำหนดไว้ล่วงหน้าของเมนูที่ได้รับอนุญาตสำหรับแต่ละไอที ผู้ตรวจสอบควรพิจารณาว่ามันจะง่ายสำหรับผู้ใช้ “แบ่งออก” จากเมนูระบบและการเพิ่มการเข้าถึงระบบปฎิบัติการ หรือ โปรแกรมประยุกต์อื่นๆ บางระบบคอมพิวเตอร์อาจจะสามารถควบคุมการเข้าถึงของผู้ใช้ไปยังโปรแกรมประยุกต์และแฟ้มข้อมูล โดยใช้สิทธิ์ของแฟ้มเหล่านี้ ให้แน่ใจว่าเฉพาะผู้ใช้เหล่านั้นที่มีการเข้าถึงที่เหมาะสม สิทธิสามารถอ่าน, เขียน, ลบหรือรันไฟล์

สุดท้ายนี้ เราขอเล่าเรื่อง IT Audit เพียงเท่านี้ก่อน เพื่อจะได้ไม่เบื่อตอนอ่าน เพราะอาจจะยาวเกินจนท้อใจ ดังนั้นถ้าแบ่งเป็นตอนๆ สั้น แบบอ่านเพลินๆ ตอนว่างๆ หรือ ช่วงนั่งรอจะดีกว่า เราก็จะแบ่งการเขียนออกเป็นหลายตอนหน่อยนะครับ ค่อยๆ อ่านกันไปครับ เบื่อก็พัก ว่างก็กลับมาอ่านใหม่

 

ขอให้ทุกๆ ท่านโชคดี ครับ

 

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

ekamol.eiamsri@windowslive.com

www.interfinn.com

กุมภาพันธ์ 28, 2012 Posted by | IT Audit | ใส่ความเห็น

ขั้นตอนการตรวจสอบ IT Audit ภาค 2


สวัสดี ครับ

เราอยากเล่าเรื่องการตรวจสอบภายในของ IT Audit ต่ออีกครั้ง สำหรับผู้ที่กำลังศึกษาหาข้อมูลเกี่ยวกับ IT Audit อยู่ครับ เราเริ่มกันเลยแล้วกันครับ

 

การตรวจสอบการดำเนินงานและการบำรุงรักษาระบบ – การควบคุมทั่วไป

ผู้ตรวจสอบมีการตรวจทานการควบคุมภายในเพราะมีความจำเป็นสำหรับการดำเนินให้เป็นปกติ และการบำรุงรักษาระบบให้เป็นไปตามช่วงเวลา ซึ่งการควบคุมภายในบางส่วนจะเป็นการบำรุงรักษาระบบตามช่วงเวลา อยู่ในระบบการควบคุมภายในแบบทั่วไป

วัตถุประสงค์ของการตรวจสอบโดยรวมเพื่อเป็นการทบทวนการควบคุมทั่วไป คือ เพื่อให้แน่ใจว่าการควบคุมและขั้นตอนต่างๆ มีอยู่อย่างเพียงพอ และให้การ
ปฎิบัติงานแบบวันต่อวันมีความปกติ ปลอดภัย และมีประสิทธิภาพ

การควบคุมภายในองค์กร

การควบคุมภายในองค์กร เป็นการควบคุมเพื่อให้มั่นใจว่า (i) มีการแยกหน้าที่ความรับผิดชอบในการทำงานในการลดความเสี่ยงของการทุจริตของพนักงาน หรือการก่อวินาศกรรมโดยการจำกัด ขอบเขตของอำนาจหน้าที่ของบุคคลใดๆ (ii) มีการกำหนดมาตรฐานการทำงานและมีความครอบคลุม (iii) การจำกัดสิทธิ์การเข้าถึงและการใช้คอมพิวเตอร์ คือ การอนุญาตการทำงานอย่างถูกต้อง

นโยบายการควบคุมในระดับสูงมีความสำคัญอย่างมาก เพราะผู้ที่ควบคุมดูแลการปฎิบัติงานในส่วนนั้นๆ อาจจะมีอิทธิพลต่อประสิทธิผลด้วยการลดระดับการควบคุมใดๆ ของการทำงานภายในโปรแกรมประยุกต์ทางบัญชี ยกเว้นกรณีที่มีการจัดการดูแลที่เหมาะสม และมีนโยบายและมาตรฐานในการควบคุมอย่างอื่นๆ ประกอบท%D=่เพียงพอ แข็งแกร่ง เพื่อรองรับแนวทางการตรวจสอบการพึ่งพา

การประเมินผลจากระดับสูงของกลยุทธ์ด้าน IT และวิธีการที่จะให้ผู้ตรวจสอบมีข้อบ่งชี้ที่เชื่อถือได้พอสมควรเกี่ยวกับการดำรงอยู่และการมีประสิทธิผลของระบบการควบคุมใดๆ หรือ การควบคุมนั้นๆ อยู่ในระดับที่ต่ำกว่ามาตรฐานที่ควรจะเป็น

 

การแบ่งแยกหน้าที่

ผู้ตรวจสอบควรตรวจสอบว่ามีการคัดแยกอย่างเพียงพอและมีประสิทธิภาพในการปฎิบัติหน้าที่ ในหมู่พนักงานที่ปฎิบัติการระบบคอมพิวเตอร์ที่เป็นสาระสำคัญ ซึ่งจะช่วยลดความเสี่ยงของความผิดพลาดและการฉ้อโกง การแบ่งแยกหน้าที่แบบ “ไม่เหมาะสม” อาจจะทำให้บุคคลใดบุคคลหนึ่ง มีการควบคุมเกินความจำเป็นในฟังก์ชั่นงานคอมพิวเตอร์ ทำให้เกิดข้อผิดพลาด หรือ การกระทำทุจริตได้โดยไม่ต้องตรวจสอบ หรือ ตรวจสอบไม่พบ เป็นต้น

หลักฐานของการแบ่งแยกหน้าที่จะทำได้โดยการ ทำสำเนาคำบรรยายลักษณะของงาน (JD) แผนภูมิองค์กร และการสังเกตพฤติกรรมด้านการทำงานของพนักงาน IT ในกรณีที่ระบบคอมพิวเตอร์ใช้ Profile ในการระบุการรักษาความปลอดภัย ด้วยการแบ่งแยกหน้าที่ ผู้ตรวจสอบควรจะตรวจสอบบนหน้าจอแสดงผลหรืองานพิมพ์ของพนักงานรักษาความปลอดภัยข้อมูลเกี่ยวกับงานที่พวกเขาดูแลอยู่ เพื่อดูการเข้าถึงข้อมูลและประเมินความเสี่ยงของความผิดพลาดจากการทำงานจาก log file หรือ ถังขยะที่อยู่ในระบบของพนักงานคนนั้นๆ ซึ่งอาจจะสามารถตรวจสอบพบประเด็นที่จะนำไปสู่การทุจริตและการยอมรับที่ไม่เหมาะสมในการปฎิบัติงานด้วยความบกพร่อง

ในทุกระบบของ IT ขนาดใหญ่ เจ้าหน้าที่ด้าน IT ควรมีการแยกหน้าที่ ดังนี้ :

  • การออกแบบระบบและการเขียนโปรแกรม
  • ระบบที่สนับสนุน
  • การดำเนินงานด้าน IT และการบริหารงานประจำวัน
  • ระบบรักษาความปลอดภัย
  • การบริหารฐานข้อมูล

 

 

สุดท้ายนี้ เราขอจบแค่เพียงเท่านี้ก่อน เพื่อให้ทุกๆ คน ได้มีเวลาอ่านตอนว่างๆ ขณะนั่งรถไฟฟ้ากลับบ้าน หรือ ขณะที่นั่งรอแฟนที่ร้านกาแฟ เราหวังว่าข้อมูลที่ได้เรียบเรียงนี้จะพอมีประโยชน์สำหรับผู้ที่กำลังจะเป็น IT Audit ในอนาคตนี้ ครับ

 

ขอให้ทุกๆ ท่านโชคดี ครับ

 

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

ekamol.eiamsri@windowslive.com

กุมภาพันธ์ 28, 2012 Posted by | IT Audit | ใส่ความเห็น

ขั้นตอนการตรวจสอบ IT Audit ภาค 1


สวัสดี ครับ

 

วันนี้ เราจะขอเล่าให้ฟังเกี่ยวกับ IT Audit ที่หลายคนสอบถามกันมา และจะแบ่งการเล่าออกเป็นตอนๆ เพื่อให้สะดวกแก่ผู้อ่าน และง่ายแก่การทำความเข้าใจครับ

 

ในกรณีที่การพัฒนาระบบได้มอบหมายให้ผู้รับเหมาทำสัญญา และการดำเนินการจัดการระบบให้เป็นไปตามสัญญาหรือข้อตกลง ดังนั้นการส่งมอบงานทั้งหมดจะต้องมีข้อตกลงหรือเงื่อนไข เช่น สิทธิในซอร์สโค้ด วิธีการปรับเปลี่ยน / ปรับปรุงในอนาคต และมีการตรวจสอบบทลงโทษในกรณีที่ไม่ได้ส่งมอบของการให้บริการ / ส่งมอบไม่ทันตามกรอบเวลา และอาจจะตรวจสอบว่าวัตถุประสงค์ใดๆ ที่ไม่สามารถทำได้เนื่องจากการล่าช้าในการส่งมอบซอฟต์แวร์

 

การแบ่งประเภทของการตรวจสอบการพัฒนาระบบ

 

การตรวจสอบและการพัฒนาระบบ สามารถแบ่งออกเป็น 3 ระดับ ดังนี้

 

1) การตรวจสอบการติดตาม : ผู้ตรวจสอบมีความจำเป็นที่จะต้องมีการประเมินโครงการตลอดทั้งกระบวนการ ที่จะตรวจสอบว่ากำลังมีการพัฒนาดำเนินการไปอย่างมีประสิทธิภาพ เช่น เหตุการณ์ที่เป็นค่าใช้จ่ายด้านการเงินจะต้องเป็นเอกสารที่ถูกต้อง ครบถ้วน มีการพิจารณาตรวจรับตามลำดับขั้น ระบบที่พัฒนามีความสอดคล้องกับการจัดตั้งขึ้น มาตรฐานทางเทคนิค และ การทดสอบจะถูกดำเนินการตามกำหนดหรือประเมินตามแผนที่วางไว้

 

2) การตรวจสอบทบทวนการออกแบบ : วัตถุประสงค์ในการตรวจสอบเบื้องต้นว่า การออกแบบรายละเอียดถูกต้อง จะสะท้อนข้อมูลการทำงานและข้อกำหนดของระบบ และระบบการควบคุมภายในที่เพียงพอ

 

3) การตรวจสอบการดำเนินงานหลังจากการติดตั้ง : จะต้องมีการตรวจสอบหลังจากที่ได้มีการดำเนินการติดตั้งไปประมาณ 3-6 เดือน เพื่อประเมินว่าการให้บริการของระบบตรงตามความต้องการเป็นค่าใช้จ่ายที่มีประสิทธิภาพ และโดยทั่วไปจะให้ผลประโยชน์ที่คาดการณ์ไว้ในเอกสารการวางแผนโครงการ

 

ข้อเสนอแนะ

 

ความรับผิดชอบของผู้ตรวจสอบ เพียงแค่การเข้าไปตรวจสอบระบบการควบคุมภายใน และเส้นทางการทำงาน Data Flow ของงาน และการเชื่อมโยงของระบบเครือข่ายไปยังหน่วยงานต่างๆ ว่ามีความเพียงพอ ซึ่งผู้ตรวจสอบไม่จำเป็นจะต้องไปให้ นโยบาย การให้คำปรึกษาแนะนำใดๆ เกี่ยวกับการพัฒนาระบบ อย่างไรก็ตามการตรวจสอบ ควรตระหนักถึงระบบการพัฒนาทั้งหมดที่มีแนวโน้มที่จะสร้างผลกระทบอย่างมีนัยสำคัญ เกี่ยวกับการตรวจสอบของพวกเขา ทีอยู่ในระยะแรกของขั้นตอนการออกแบบระบบใหม่ ผู้ตรวจสอบควรพิจารณาและให้ความเห็นเฉพาะเจาะจง เกี่ยวกับ :

 

1) ระบบการควบคุมภายในที่มีการแสดงจุดอ่อนที่ระบุไว้ในระบบที่มีอยู่ หรือ จากการสัมภาษณ์ผู้ใช้งาน

 

2) การตรวจสอบความต้องการ เช่น การเก็บรักษาข้อมูลหรือสิ่งอำนวยความสะดวก ด้านการดึงข้อมูลมาประมวลผลหรือใช้งานตามเส้นทางของข้อมูล

 

3) ความต้องการใดๆ ที่ผู้ตรวจสอบได้พบประเด็น หรือควรมีการปรับปรุงเพื่อเพิ่มประสิทธิภาพและประสิทธิผลของโปรแกรม

 

จุดหลักที่จะต้องถูกตรวจสอบในการพัฒนาระบบ

 

ในขณะที่ตรวจสอบจำเป็นที่จะต้องมีความระมัดระวังที่จะไม่ถูกดึงให้เข้าไปมีส่วนร่วม ในการพัฒนาระบบ ในจุดที่ผู้ตรวจกำลังตรวจสอบอยู่ ดังนั้นควรปฎิบัติดังนี้ :

 

1) วิธีการและมาตรฐานที่เผยแพร่ เพื่อสำหรับใช้ในการออกแบบและพัฒนาระบบ

 

2) ความเข้าใจร่วมกันของทุกฝ่ายและนักวิเคราะห์ระบบ คณะกรรมการบริหาร ผู้ตรวจสอบ เกี่ยวกับโครงสร้างพื้นฐานของคู่มือ และการประมวลคอมพิวเตอร์ที่เป็นกิจกรรมต่างๆ เช่นเดียวกับแนวคิดและความต้องการสำหรับการควบคุม และการควบคุมนี้จะต้องใช้ได้จริงในทางเทคนิค? (ความเข้าใจนี้จะต้องมาจากครั้งแรก ที่ไม่ใช่ทางด้านเทคนิคจากระดับผู้ใช้)

 

3) การอนุญาติให้มีการพัฒนา IT Application โดยผู้ใช้หรือ คณะกรรมการบริหาร

 

4) การพัฒนาระบบที่ถูกนำมาศึกษาความเป็นไปได้ในการกำหนด Solution ที่เหมาะสมที่สุดในการแก้ไขปัญหามาตรฐานทั่วไป

 

5) การอ้างอิงความสัมพันธ์ไปมาระหว่างกัน อย่างเพียงพอตามขั้นตอน ต่อไปนี้

 

5.1 เนื้อหาและรูปแบบของการศึกษาเบื้องต้น

 

5.2 การศึกษาความเป็นไปได้

 

5.3 ข้อกำหนดของระบบ

 

5.4 โปรแกรมเข้ารหัส

 

6) ไม่ว่าจะเป็นเทคนิคการจัดการโครงการจะนำมาใช้ในการพัฒนาระบบการทำงาน ที่จะบอกว่ามีเหตุการณ์สำคัญในการตัดสินใจในโครงการด้านเวลา งบประมาณค่าใช้จ่ายเพื่อพัฒนาความก้าวหน้ากับงบประมาณการด้านการเงิน?

 

7) ไม่ว่าจะเป็นมาตรฐานการเขียนโปรแกรมโดยใช้วิธีการที่มีโครงสร้างแบบ
โมดูล ที่มีการปฎิบัติในการเข้ารหัส

 

สุดท้ายนี้ ก็ขอจบเพียงเท่านี้ก่อน แล้วว่างๆ เราจะมาเล่าให้ฟังถึงส่วนอื่นๆ ที่จำเป็นในการตรวจสอบด้าน IT Audit ต่อไปครับ เพราะยังมีอีกหลายตอนที่อยากจะเล่าให้ฟังครับ

 

ขอให้ทุกๆ ท่านโชคดี มีความสุข

 

เอกกมล เอี่ยมศรี

 

ผู้เรียบเรียง

 

www.interfinn.com

กุมภาพันธ์ 28, 2012 Posted by | IT Audit | ใส่ความเห็น

   

%d bloggers like this: