ปัจจุบันในยุค 4.0 หลายท่านคงได้ทราบข่าวกันมาบ้างแล้วว่า การใช้งานระบบ IT มีผลดีต่อธุรกิจ แต่ก็ต้องยอมรับว่า IT ก็มีความเสี่ยงต่อธุรกิจเช่นกันดังนั้นจึงต้องมีระบบควบคุมรักษาความปลอดภัย รวมถึง มี IT Audit ที่วางใจได้ ในปีที่ผ่านมามีระบบ IT ของหลายองค์กรถูกคุกคามบุกรุกเข้าไปในระบบ เข้าไปทำให้ระบบใช้งานไม่ได้บ้างเข้าไปเปลี่ยนแปลงโปรแกรมและแก้ไขข้อมูลทางด้านการเงินจนสร้างความเสียหายให้กับองค์กรเป็นจำนวนหลายสิบล้านบาทหรือทำการบุกรุกเพื่อโจรกรรมข้อมูล ลักลอบดักฟังข้อมูลที่เป็นความลับขององค์กร
ยิ่งนับวันความเสี่ยงด้าน IT ก็ยิ่งพัฒนาเพิ่มมากขึ้นจึงมีความจำเป็นที่แต่ละองค์กรจะต้องมีระบบควบคุมและรักษาความปลอดภัยที่ดีเพื่อหลีกเลี่ยงจากความเสี่ยงต่าง ๆ เนื่องจากข้อมูลบัญชีและการเงินของแต่ละองค์กรส่วนใหญ่ต่างก็อยู่บนระบบIT โดยผู้ดูแลระบบอาจจะเป็นเจ้าหน้าที่บัญชี หรือเจ้าหน้าที่IT โดยมักไม่ค่อยมีความชำนาญในการควบคุมดูแลรักษาข้อมูลอย่างเป็นแบบแผนเนื่องจากขาดความเข้าใจในการควบคุมภายในที่มีระบบ ระเบียบซับซ้อนดังนั้นในการตรวจสอบบัญชีจึงต้องอาศัยบทบาทของผู้ตรวจสอบ IT เข้ามาช่วยประเมินและควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศของหน่วยงานหรือองค์กรเพื่อสร้างความเชื่อมั่นอย่างมีเหตุผลต่อฝ่ายบริหารในการจัดการ ควบคุมและการรักษาความปลอดภัยที่ดีความปลอดภัย มีมาตรฐานการป้องกันผู้บุกรุกจากภายนอกมีระบบป้องกันความปลอดภัยของ Data Center หรือ DataWarehouse และการออกแบบระบบปฏิบัติการที่มีความเหมาะสมหรือตรวจสอบด้าน IT Governance และตรวจสอบเพื่อสนับสนุนการตรวจสอบทางการเงินด้วยโดยการตรวจสอบการเงินจะตรวจสอบการควบคุมที่สำคัญแบบ Manual การตรวจสอบIT จะตรวจสอบการควบคุมที่สำคัญแบบ Automated ถ้าให้กล่าวถึงคุณสมบัติหรือบทบาทหน้าที่ที่ IT Auditor ทุกคนต้องมีในแบบสรุปเลยก็คือ
1. ตรวจสอบด้านเทคโนโลยีสารสนเทศตามหลักการบริหารความเสี่ยงยุคใหม่ได้สอดคล้องตามมาตรฐานและเทคนิคการตรวจสอบที่เกี่ยวข้องเพื่อสนองความต้องการของผู้บริหารทุกระดับได้
2. วางแผนการตรวจสอบตามหลักการบริหารความเสี่ยงทั่วไปและทางด้านเทคโนโลยีสารสนเทศที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรได้อย่างมั่นใจ
3. เข้าใจและสื่อสารความหมายของกระบวนการทำงานเทคโนโลยีสารสนเทศในการบริหารจัดการเชิงกลยุทธ์ให้กับบุคคลอื่นเพื่อการจัดการที่ดีได้จากที่กล่าวมาผู้อ่านคงทราบกันแล้วว่า การตรวจสอบ IT หรือ IT Audit มีความสำคัญและเกี่ยวข้องกับการตรวจสอบบัญชีอย่างไรต่อไปในวันข้างหน้าเทคโนโลยีจะมีการพัฒนามากขึ้นเรื่อยๆ องค์กรที่ก้าวทันเทคโนโลยีให้ความสำคัญในการตรวจสอบและประเมินความเสี่ยง มีการควบคุมระบบที่ดีจะเป็นผลดีต่อองค์กร และผู้เขียนหวังว่าบทความนี้จะทำให้คุณได้รับความเข้าใจและรู้จัก IT Audit เพิ่มมากขึ้นการตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2 ประเภท คือ การตรวจสอบกิจกรรมหรือการดำเนินงานของหน่วยงานคอมพิวเตอร์และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล
1. การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์(General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไปซึ่งส่วนใหญ่เป็นเรื่องเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับและเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้องมีหัวข้อการตรวจสอบดังนี้
1.1. การตรวจสอบภายในและการสอบบัญชีเป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชีซึ่งได้รับมอบหมายจากฝ่ายบริหารและผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบมีขอบเขตการปฏิบัติงานครอบคลุมในเรื่องต่าง ๆ เพียงพอหรือไม่และเชื่อถือได้เพียงใด
1.2. การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน
1.3. การพัฒนาระบบงานและโปรแกรมเป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม การแก้ไขระบบงานและโปรแกรมและความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน
1.4. การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูลและการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้องครบถ้วนและเชื่อถือได้เพียงใด
1.5. การปฏิบัติงานคอมพิวเตอร์เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์ การจัดเก็บแฟ้มข้อมูลการรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน
1.6. การสื่อสารข้อมูล (กรณีใช้ Hardwareและ/หรือ Software ร่วมกันหลายระบบงาน)เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร
1.7. การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการกรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง ควรมีการตรวจสอบสัญญาการใช้บริการการคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์นอกเหนือจากการตรวจสอบตามหัวข้อที่กล่าวมาแล้วด้วย เพื่อป้องกันธุรกิจที่จำเป็นต้องใช้ข้อมูลที่ประมวลผลด้วยคอมพิวเตอร์ต้องหยุดชะงักหากศูนย์คอมพิวเตอร์ไม่สามารถให้บริการได้ตามปกติด้วยเหตุใดก็ตาม
2. การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (ApplicationControls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงานซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบในแต่ละระบบมากกว่าการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์มีหัวข้อการตรวจสอบดังนี้
2.1. แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ
– การจัดทำเอกสารขั้นต้นหรือเอกสารประกอบรายการ
– การอนุมัติรายการ
– การเตรียมข้อมูลนำเข้า
– การเก็บรักษาเอกสารขั้นต้น
– การแก้ไขเอกสารที่มีข้อผิดพลาด
2.2. การทำรายการป้อนเข้าสู่ระบบงานเป็นการตรวจสอบ
– การทำรายการป้อนข้อมูลเข้าสู่ระบบงานซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry
– หลักเกณฑ์ที่ใช้ในการควบคุมการทำรายการเพื่อให้ได้ข้อมูลที่ถูกต้องและครบถ้วน
– การแก้ไขข้อผิดพลาดในการทำรายการป้อนเข้าสู่ระบบงาน
2.3. การสื่อสารข้อมูลเป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ประกอบด้วย
– การใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน
– การเคลื่อนย้ายข้อมูลในระบบสื่อสารซึ่งต้องอาศัย Hardware และ Software ควบคุมการเคลื่อนย้ายข้อมูล
– การบันทึกรายละเอียดในการติดต่อสื่อสารระหว่างเครื่อง Ter
ไม่มีความคิดเห็น:
แสดงความคิดเห็น