วันอังคารที่ 17 กันยายน พ.ศ. 2562

บทที่ 9 การควบคุมด้วยคอมพิวเตอร์สำหรับระบบสารสนเทศทางการบัญชี



การใช้คอมพิวเตอร์เป็นเครื่องมือกิจการที่นําคอมพิวเตอร์หรือระบบสารสนเทศทางการบัญชีไปใช้ ในการควบคุมภายในต้องกําหนดให้มีการควบคุมภายใน เพื่อให้ มั่นใจว่า ข้อมูลที่บันทึกมีความครบถ้วน ถูกต้อง ประมวลผลตาม ขั้นตอน การเข้าถึงข้อมูลหรือแฟ้มข้อมูลกระทําได้เฉพาะผู้ได้รับอนุญาตรวมทั้งการจะพัฒนาหรือการเปลี่ยนแปลงโปรแกรมได้ต้องผ่านการตรวจสอบและอนุมัติจากผู้มีอํานาจเรียบร้อยแล้วการควบคุมภายในของกิจการที่ใช้คอมพิวเตอร์ในการจัดเก็บบันทึกประมวลผลและจัดทำรายงานนั้นในหนังสือเล่มนี้เรียกว่าการควบคุมระบบ (System Controls)
นักบัญชีได้จัดแบ่งการควบคุมระบบออกเป็น 2 ประเภท
ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม (By Objective)
ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope)
ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุมตามเกณฑ์นี้ได้แบ่งวิธีการควบคุมออกเป็น 3 ส่วน
1. การควบคุมเชิงป้องกัน (PreventionControls)
2. การควบคุมเชิงตรวจสอบ (DetectionControls)
3. การควบคุมเชิงแก้ไข (CorrectiveControls)
ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม(By Scope)จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุมว่าขอบเขตงานนั้นมีผลกระทบต่อระบบงานทั้งหมดของกิจการหรือมีผลกระทบเฉพาะระบบงานใดงานหนึ่งเท่านั้นในกรณีที่ขอบเขตงานของการควบคุมมีผลกระทบต่อระบบงานทั้งหมดจะเรียกการปฏิบัติงานเพื่อการควบคุมนั้นว่าการควบคุมทั่วไป (General Controls) เป็นการควบคุมที่มีขึ้นเพื่อให้มั่นใจว่าสภาพแวดล้อมของการควบคุมภายในของกิจการได้มีการจัดการและดูแลอย่างดีตลอดเวลาทำให้การควบคุมเฉพาะระบบงานดำเนินไปได้อย่างมีประสิทธิภาพการควบคุมทั่วไปของกิจการที่ใช้คอมพิวเตอร์นั้น แบ่งออกเป็น 4 ประเภท คือ
1. การควบคุมปฏิบัติงานของพนักงาน (Personnelcontrols)
2. การควบคุมการปฏิบัติงานของศูนย์ข้อมูล(Data Center Operations Controls)
3. การควบคุมการจัดหาและบำรุงรักษาซอฟต์แวร์ของระบบ(System Software Acquisition and Maintenance Controls)
4. การควบคุมในเรื่องการรักษาความปลอดภัยของการเข้าถึงระบบและข้อมูล(Access Controls)
เทคโนโลยีสารสนเทศการควบคุมทั่วไป
· ความปลอดภัยสำหรับเทคโนโลยีไร้สาย
· การควบคุมสำหรับระบบเครือข่ายเดินสา
· ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์
· วัตถุประสงค์การควบคุมด้านไอทีสำหรับSarbanes-Oxley การควบคุมแอปพริเคชันสำหรับการประมวลผลธุรกรรม
· การควบคุมการป้อนข้อมูลการประมวลผลและการส่งออก ระบบการควบคุมภายในที่มุ่งเน้น
· ความปลอดภัยเฉพาะในองค์กร
· ขั้นตอนการควบคุมเพื่อให้แน่ใจว่า
· การใช้ทรัพยากรอย่างมีประสิทธิภาพ
การควบคุมทั่วไปสำหรับองค์กร
การพัฒนานโยบายความปลอดภัยที่เหมาะสมเกี่ยวข้องกับ
· การระบุและประเมินสินทรัพย์
· การระบุภัยความเสี่ยง
· การมอบหมายความรับผิดชอบ
· การสร้างแพลตฟอร์มนโยบายความปลอดภัย
· การใช้งานทั่วทั้งองค์กร
· การจัดการโปรแกรมความปลอดภัย
ความปลอดภัยแบบบูรณาการสำหรับองค์กร
· ขึ้นอยู่กับเครือข่ายสำหรับการทำธุรกรรมการแบ่งปันข้อมูลและการสื่อสาร
· จำเป็นต้องให้สิทธิ์เข้าถึงลูกค้าซัพพลายเออร์พันธมิตรและอื่นๆ
ภัยคุมคามความปลอดภัยสำหรับองค์กรเกิดขึ้นจาก
· ความซับซ้อนของเครือข่ายเหล่านี้
· ข้อกำหนดการช่วยสำหรับการเข้าถึงปัจจุบัน
เทคโนโลยีความปลอดภัยที่สำคัญสามารถบูรณาการรวมถึง
· ระบบตรวจจับการบุกรุก
· ไฟร์วอลล์และอื่นๆ
ระบบรักษาความปลอดภัยแบบรวม
· ลดความเสี่ยงของการถูกโจมตี
· เพิ่มค่าใช้จ่ายและทรัพยากรที่ผู้บุกรุกต้องการ
การควบคุมทั่วไปภายในสภาพแวดล้อมด้านไอที
· การควบคุมระดับองค์กร
· การควบคุมบุคลากร
· การควบคุมความปลอดภัยของไฟล์
· ระบบป้องกันความผิดพลาดการสำรองข้อมูลและการวางแผนฉุกเฉิน
· การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์
· การเข้าถึงไฟล์คอมพิวเตอร์
การสำรองข้อมูล
· จำเป็นสำหรับเอกสารสำคัญ
· มีการดำเนินการแบทช์โดยใช้กระบวรการ
· สามารถส่งทางอิเล็กทรอนิกส์ไปยังไซต์ระยะไกล(กระโดดข้าม)
· ต้องการระบบไฟฟ้าสำรอง (UPS)เป็นแหล่งจ่ายไฟฟ้า
การวางแผนฉุกเฉิน
· รวมถึงการพัฒนาแผนกู้คืนความเสียหายอย่างเป็นทางการ
· อธิบายขั้นตอนที่ต้องปฏิบัติในกรณีฉุกเฉิน
· อธิบายถึงบทบาทของสมาชิกทีมแต่ละคน
· แต่งตั้งบุคคลหนึ่งให้เป็นผู้บังคับบัญชาที่สอง
· เกี่ยวข้องกับไซต์การกู้คืนที่อาจเป็นไซต์ร้อนหรือไซต์เย็น
การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์
ค้นหาศูนย์ประมวลข้อมูลในที่ที่ปลอดภัย
· ประชาชนไม่สามารถเข้าถึงได้
· มันได้รับการป้องกันโดยบุคลากร
· มีทางเข้าที่ปลอดภัยจำนวน จำกัด
· มีการป้องกันภัยธรรมชาติ จำกัด การเข้าถึงของพนักงานโดย
· การผสมผสานป้ายระบุรหัสแม่เหล็กอิเล็กทรอนิกส์หรือออปติคัล
การเข้าถึงไฟล์คอมพิวเตอร์
การเข้าถึงข้อมูลอย่างมีเหคุผลถูก จำกัด
· การระบุรหัสผ่าน(สนับสนุนรหัสผ่านที่คาดเดายาก)
· การระบุทางชีวภาพด้วย
- รูปแบบเสียง
- ลายนิ้วมือ
- จอประสาทตาพิมพ์
การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ
การวัตถุประสงค์ของการควบคุมคือการให้ความมั่นใจว่า
· การพัฒนาและเปลี่ยนแปลงโปรแกรมคอมพิวเตอร์นั้นได้รับอนุญาตทดสอบและอนุมัติก่อนการใช้งาน
· การเข้าถึงไฟล์ข้อมูลถูก จำกัด
· ข้อมูลการประมวลผลทางบัญชีนั้นถูกต้องและครบถ้วน
ความปลอดภัยสำหรับเทคโนโลยีไร้สาย
ความปลอดภัยสำหรับเทคโนโลยีไร้สายนั้นเกี่ยวข้องกับ
· เครือข่ายส่วนตัวเสมือน (VPN)
· การเข้าถึงรหัสข้อมูล
ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์
· ขั้นตอนการควบคุมทั่วไปและแอปพริเคชั่นมีความสำคัญต่อไมโครคอมพิวเตอร์
· ความเสี่ยงส่วนใหญ่ที่เกี่ยวข้องกับAIS เกิดจาก
- ข้อผิดพลาด
- ความผิดปกติหรือฉ้อโกง
- ภัยคุกคามทั่วไปเกี่ยวกับความปลอดภัย(เช่น ไวรัสคอมพิวเตอร์)
· ความเสี่ยงบางอย่างที่มีลักษณะเฉพาะกับไมโครคอมพิวเตอร์คือ
- ฮาร์ดแวร์
-ไมโครคอมพิวเตอร์สามารถถูกขโมยหรือทำลายได้ง่าย
- ข้อมูลและซอฟต์แวร์
-ง่ายต่อการเข้าถึงแก้ไขคัดลอกหรือทำลาย จึงควบคุมได้ยาก
การควบคุมแอปพริเคชันสำหรับการประมวลผลธุรกรรม
· การควบคุมแอปพริเคชันได้รับการออกแบบมาเพื่อ
- ป้องกัน
- ตรวจจับและ
- แก้ไขข้อผิดพลาดและความผิดปกติ
· ในการทำธุรกรรม
- อินพุต
- การประมวลผล
- ขั้นตอนการส่งออกของการประมวลผลข้อมูล

ไม่มีความคิดเห็น:

แสดงความคิดเห็น