บทที่
11
ขั้นตอนและกระบวนการตรวจสอบIT
การตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2
ประเภท คือ การตรวจสอบกิจกรรม หรือการดำเนินงานของหน่วยงานคอมพิวเตอร์
และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล
1.
การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ (General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป
มีหัวข้อการตรวจสอบดังนี้
1.1.
การตรวจสอบภายในและการสอบบัญชี เป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชี
ซึ่งได้รับมอบหมายจากฝ่ายบริหาร
และผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบ
1.2.
การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์
ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน
1.3.
การพัฒนาระบบงานและโปรแกรม เป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม
การแก้ไขระบบงานและโปรแกรม และความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน
1.4.
การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูล
และการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้อง
ครบถ้วนและเชื่อถือได้เพียงใด
1.5.
การปฏิบัติงานคอมพิวเตอร์ เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์
การจัดเก็บแฟ้มข้อมูล การรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน
1.6.
การสื่อสารข้อมูล (กรณีใช้ Hardware และ/หรือ Software
ร่วมกันหลายระบบงาน)
เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร
1.7.
การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการ กรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง
ควรมีการตรวจสอบสัญญาการใช้บริการ
การคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์
2.
การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (Application Controls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงานซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบ
2.1. แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ
– การจัดทำเอกสารขั้นต้น
หรือเอกสารประกอบรายการ
– การอนุมัติรายการ
– การเตรียมข้อมูลนำเข้า
– การเก็บรักษาเอกสารขั้นต้น
– การแก้ไขเอกสารที่มีข้อผิดพลาด
– การอนุมัติรายการ
– การเตรียมข้อมูลนำเข้า
– การเก็บรักษาเอกสารขั้นต้น
– การแก้ไขเอกสารที่มีข้อผิดพลาด
2.2.การทำรายการป้อนเข้าสู่ระบบงาน
เป็นการตรวจสอบ
การทำรายการป้อนข้อมูลเข้าสู่ระบบงาน
ซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry
2.3. การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ซึ่งประกอบด้วยการใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน
2.3. การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ซึ่งประกอบด้วยการใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน
2.4. การประมวลผล
ได้แก่ การตรวจสอบ
– ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือได้เพียงใด
– การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง
– ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล
– การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล
– การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล
– ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือได้เพียงใด
– การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง
– ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล
– การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล
– การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล
2.5.
การเก็บรักษาข้อมูลและการนำข้อมูลไปใช้งาน เป็นการตรวจสอบ
– การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล
– การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล
– การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล
– การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล
– การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล
– การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล
2.6.
ผลลัพธ์ที่ได้จากการประมวลผล เป็นการตรวจสอบ
– การกระทบยอดข้อมูล
– การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล
– การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน
– การเก็บรักษาข้อมูลที่ได้จากการประมวลผล
– การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด
– การกระทบยอดข้อมูล
– การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล
– การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน
– การเก็บรักษาข้อมูลที่ได้จากการประมวลผล
– การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด
เทคโนโลยีสารสนเทศ หรือ ไอที (อังกฤษ: information
technology: IT) คือการประยุกต์ใช้คอมพิวเตอร์และอุปกรณ์โทรคมนาคม เพื่อจัดเก็บ ค้นหา ส่งผ่าน และจัดดำเนินการข้อมูล ซึ่งมักเกี่ยวข้องกับธุรกิจหนึ่งหรือองค์การอื่น ๆ ศัพท์นี้โดยปกติก็ใช้แทนความหมายของเครื่องคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์
และยังรวมไปถึงเทคโนโลยีการกระจายสารสนเทศอย่างอื่นด้วย (https://th.wikipedia.org)
ความปลอดภัย
มีมาตรฐานการป้องกันผู้บุกรุกจากภายนอก มีระบบป้องกันความปลอดภัยของ Data
Center หรือ Data Warehouse และการออกแบบระบบปฏิบัติการที่มีความเหมาะสม
หรือตรวจสอบด้าน IT Governance และตรวจสอบเพื่อสนับสนุนการตรวจสอบทางการเงินด้วย
โดยการตรวจสอบการเงินจะตรวจสอบการควบคุมที่สำคัญแบบ Manual การตรวจสอบ IT จะตรวจสอบการควบคุมที่สำคัญแบบ Automated
คุณสมบัติหรือบทบาท หน้าที่ที่ IT
Auditor ทุกคนต้องมีในแบบสรุปคือ
1.ตรวจสอบด้านเทคโนโลยีสารสนเทศ
ตามหลักการบริหารความเสี่ยงยุคใหม่ได้สอดคล้องตามมาตรฐานและเทคนิคการตรวจสอบที่เกี่ยวข้องเพื่อสนองความต้องการของผู้บริหารทุกระดับได้
2. วางแผนการตรวจสอบ ตามหลักการบริหารความเสี่ยงทั่วไปและทางด้านเทคโนโลยีสารสนเทศที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรได้อย่างมั่นใจ
3.
เข้าใจและสื่อสาร ความหมายของกระบวนการทำงานเทคโนโลยีสารสนเทศในการบริหารจัดการเชิงกลยุทธ์ให้กับบุคคลอื่น
ระบบสารสนเทศที่ดีและคุ้มค่าต้องมีการตรวจสอบ
ประสิทธิภาพมากขึ้น
เพราะลดเวลาในการทำงานและลดปัญหาบางอย่างในการทำงาน แต่ที่ผ่านมาก็ยังไม่มีการจัดเก็บหรือรวบรวมระยะเวลาในการทำงานในแต่ละช่วงของกระบวนการทำงาน
ทำให้ไม่สามารถระบุเวลาทำงานที่ลดไปหลังจากนำเทคโนโลยีสารสนเทศมาใช้
นอกจากนี้
แม้ระบบสารสนเทศจะสามารถลดปัญหาการทำงานบางอย่างได้
เนื่องจากระบบสารสนเทศจะสามารถสนับสนุนการทำงานบางอย่างได้เท่านั้น
ไม่สามารถนำมาทดแทนการทำงานทั้งกระบวนการของคนได้ทั้งหมด
จึงยังคงต้องมีคนเข้ามาเกี่ยวข้องในการดำเนินงานอยู่ โดยเฉพาะส่วนที่ต้องตัดสินใจ
ปัญหาซึ่งเกี่ยวกับการข้อจำกัดของคนหรือความบกพร่องตามศักยภาพของบุคคลจึงไม่สามารถจะทำให้ลดลงด้วยระบบสารสนเทศที่นำมาใช้
อีกประเด็นที่ต้องพิจารณาคือในการนำเทคโนโลยีสารสนเทศมาใช้จะมีค่าใช้จ่ายที่เกี่ยวกับเทคโนโลยีสารสนเทศเอง
แม้ว่าราคาเทคโนโลยีสารสนเทศจะลดลงมาอย่างมากแล้วก็ตามในปัจจุบัน
แต่ปรากฎว่าค่าใช้จ่ายในการบำรุงรักษากลับมีราคาสูงขึ้น
ไม่รวมถึงหากมีการเปลี่ยนถ่ายเทคโนโลยีจากเก่าไปใหม่
จะมีค่าใช้จ่ายในการเปลี่ยนถ่ายที่สูงมากเลยทีเดียว
ไม่มีความคิดเห็น:
แสดงความคิดเห็น