ขั้นตอนการตรวจสอบ IT Audit ภาค 2

วันพุธที่ 17 สิงหาคม 2565

เอกกมลเอี่ยมศรี
ranking : สมาชิกทั่วไป
email : [email protected]
วันที่สร้าง : 2011-05-10
จำนวนเรื่อง : 114
จำนวนผู้ชม : 596296
ส่ง msg :
โหวต 1 คน

IT-NEWS

IT Audit

Internal Control

Marketing Strategy

IT Risk Management

Management Strategy

Human Resource

Financial Management

Risk Management

Interfinn Training Course

Writing Business

Modern Management Forum

ศูนย์รวมข้อมูลเกี่ยวกับ เทคโนโลยีสมัยใหม่สำหรับใช้ในการบริหารจัดการองค์กร ในรูปแบบใหม่ ทันสมัย สำหรับนักธุรกิจ นักศึกษา
Permalink : http://www.oknation.net/blog/newmanagement

วันจันทร์ ที่ 20 กุมภาพันธ์ 2555

ขั้นตอนการตรวจสอบ IT Audit ภาค 2

Posted by เอกกมลเอี่ยมศรี , ผู้อ่าน : 2904 , 18:24:35 น.
หมวด : วิทยาศาสตร์/ไอที

พิมพ์หน้านี้

โหวต 1 คน

สวัสดี ครับ เราอยากเล่าเรื่องการตรวจสอบภายในของ IT Audit ต่ออีกครั้ง สำหรับผู้ที่กำลังศึกษาหาข้อมูลเกี่ยวกับ IT Audit อยู่ครับ เราเริ่มกันเลยแล้วกันครับ การตรวจสอบการดำเนินงานและการบำรุงรักษาระบบ - การควบคุมทั่วไป ผู้ตรวจสอบมีการตรวจทานการควบคุมภายในเพราะมีความจำเป็นสำหรับการดำเนินให้เป็นปกติ และการบำรุงรักษาระบบให้เป็นไปตามช่วงเวลา ซึ่งการควบคุมภายในบางส่วนจะเป็นการบำรุงรักษาระบบตามช่วงเวลา อยู่ในระบบการควบคุมภายในแบบทั่วไป วัตถุประสงค์ของการตรวจสอบโดยรวมเพื่อเป็นการทบทวนการควบคุมทั่วไป คือ เพื่อให้แน่ใจว่าการควบคุมและขั้นตอนต่างๆ มีอยู่อย่างเพียงพอ และให้การ ปฎิบัติงานแบบวันต่อวันมีความปกติ ปลอดภัย และมีประสิทธิภาพ การควบคุมภายในองค์กร การควบคุมภายในองค์กร เป็นการควบคุมเพื่อให้มั่นใจว่า (i) มีการแยกหน้าที่ความรับผิดชอบในการทำงานในการลดความเสี่ยงของการทุจริตของพนักงาน หรือการก่อวินาศกรรมโดยการจำกัด ขอบเขตของอำนาจหน้าที่ของบุคคลใดๆ (ii) มีการกำหนดมาตรฐานการทำงานและมีความครอบคลุม (iii) การจำกัดสิทธิ์การเข้าถึงและการใช้คอมพิวเตอร์ คือ การอนุญาตการทำงานอย่างถูกต้อง นโยบายการควบคุมในระดับสูงมีความสำคัญอย่างมาก เพราะผู้ที่ควบคุมดูแลการปฎิบัติงานในส่วนนั้นๆ อาจจะมีอิทธิพลต่อประสิทธิผลด้วยการลดระดับการควบคุมใดๆ ของการทำงานภายในโปรแกรมประยุกต์ทางบัญชี ยกเว้นกรณีที่มีการจัดการดูแลที่เหมาะสม และมีนโยบายและมาตรฐานในการควบคุมอย่างอื่นๆ ประกอบท%D=่เพียงพอ แข็งแกร่ง เพื่อรองรับแนวทางการตรวจสอบการพึ่งพา การประเมินผลจากระดับสูงของกลยุทธ์ด้าน IT และวิธีการที่จะให้ผู้ตรวจสอบมีข้อบ่งชี้ที่เชื่อถือได้พอสมควรเกี่ยวกับการดำรงอยู่และการมีประสิทธิผลของระบบการควบคุมใดๆ หรือ การควบคุมนั้นๆ อยู่ในระดับที่ต่ำกว่ามาตรฐานที่ควรจะเป็น การแบ่งแยกหน้าที่ ผู้ตรวจสอบควรตรวจสอบว่ามีการคัดแยกอย่างเพียงพอและมีประสิทธิภาพในการปฎิบัติหน้าที่ ในหมู่พนักงานที่ปฎิบัติการระบบคอมพิวเตอร์ที่เป็นสาระสำคัญ ซึ่งจะช่วยลดความเสี่ยงของความผิดพลาดและการฉ้อโกง การแบ่งแยกหน้าที่แบบ "ไม่เหมาะสม" อาจจะทำให้บุคคลใดบุคคลหนึ่ง มีการควบคุมเกินความจำเป็นในฟังก์ชั่นงานคอมพิวเตอร์ ทำให้เกิดข้อผิดพลาด หรือ การกระทำทุจริตได้โดยไม่ต้องตรวจสอบ หรือ ตรวจสอบไม่พบ เป็นต้น หลักฐานของการแบ่งแยกหน้าที่จะทำได้โดยการ ทำสำเนาคำบรรยายลักษณะของงาน (JD) แผนภูมิองค์กร และการสังเกตพฤติกรรมด้านการทำงานของพนักงาน IT ในกรณีที่ระบบคอมพิวเตอร์ใช้ Profile ในการระบุการรักษาความปลอดภัย ด้วยการแบ่งแยกหน้าที่ ผู้ตรวจสอบควรจะตรวจสอบบนหน้าจอแสดงผลหรืองานพิมพ์ของพนักงานรักษาความปลอดภัยข้อมูลเกี่ยวกับงานที่พวกเขาดูแลอยู่ เพื่อดูการเข้าถึงข้อมูลและประเมินความเสี่ยงของความผิดพลาดจากการทำงานจาก log file หรือ ถังขยะที่อยู่ในระบบของพนักงานคนนั้นๆ ซึ่งอาจจะสามารถตรวจสอบพบประเด็นที่จะนำไปสู่การทุจริตและการยอมรับที่ไม่เหมาะสมในการปฎิบัติงานด้วยความบกพร่อง ในทุกระบบของ IT ขนาดใหญ่ เจ้าหน้าที่ด้าน IT ควรมีการแยกหน้าที่ ดังนี้ : การออกแบบระบบและการเขียนโปรแกรม ระบบที่สนับสนุน การดำเนินงานด้าน IT และการบริหารงานประจำวัน ระบบรักษาความปลอดภัย การบริหารฐานข้อมูล สุดท้ายนี้ เราขอจบแค่เพียงเท่านี้ก่อน เพื่อให้ทุกๆ คน ได้มีเวลาอ่านตอนว่างๆ ขณะนั่งรถไฟฟ้ากลับบ้าน หรือ ขณะที่นั่งรอแฟนที่ร้านกาแฟ เราหวังว่าข้อมูลที่ได้เรียบเรียงนี้จะพอมีประโยชน์สำหรับผู้ที่กำลังจะเป็น IT Audit ในอนาคตนี้ ครับ ขอให้ทุกๆ ท่านโชคดี ครับ เอกกมล เอี่ยมศรี ผู้เรียบเรียง [email protected]

สวัสดี ครับ

เราอยากเล่าเรื่องการตรวจสอบภายในของ IT Audit ต่ออีกครั้ง สำหรับผู้ที่กำลังศึกษาหาข้อมูลเกี่ยวกับ IT Audit อยู่ครับ เราเริ่มกันเลยแล้วกันครับ

การตรวจสอบการดำเนินงานและการบำรุงรักษาระบบ - การควบคุมทั่วไป

ผู้ตรวจสอบมีการตรวจทานการควบคุมภายในเพราะมีความจำเป็นสำหรับการดำเนินให้เป็นปกติ และการบำรุงรักษาระบบให้เป็นไปตามช่วงเวลา ซึ่งการควบคุมภายในบางส่วนจะเป็นการบำรุงรักษาระบบตามช่วงเวลา อยู่ในระบบการควบคุมภายในแบบทั่วไป

วัตถุประสงค์ของการตรวจสอบโดยรวมเพื่อเป็นการทบทวนการควบคุมทั่วไป คือ เพื่อให้แน่ใจว่าการควบคุมและขั้นตอนต่างๆ มีอยู่อย่างเพียงพอ และให้การ
ปฎิบัติงานแบบวันต่อวันมีความปกติ ปลอดภัย และมีประสิทธิภาพ

การควบคุมภายในองค์กร

การควบคุมภายในองค์กร เป็นการควบคุมเพื่อให้มั่นใจว่า (i) มีการแยกหน้าที่ความรับผิดชอบในการทำงานในการลดความเสี่ยงของการทุจริตของพนักงาน หรือการก่อวินาศกรรมโดยการจำกัด ขอบเขตของอำนาจหน้าที่ของบุคคลใดๆ (ii) มีการกำหนดมาตรฐานการทำงานและมีความครอบคลุม (iii) การจำกัดสิทธิ์การเข้าถึงและการใช้คอมพิวเตอร์ คือ การอนุญาตการทำงานอย่างถูกต้อง

นโยบายการควบคุมในระดับสูงมีความสำคัญอย่างมาก เพราะผู้ที่ควบคุมดูแลการปฎิบัติงานในส่วนนั้นๆ อาจจะมีอิทธิพลต่อประสิทธิผลด้วยการลดระดับการควบคุมใดๆ ของการทำงานภายในโปรแกรมประยุกต์ทางบัญชี ยกเว้นกรณีที่มีการจัดการดูแลที่เหมาะสม และมีนโยบายและมาตรฐานในการควบคุมอย่างอื่นๆ ประกอบท%D=่เพียงพอ แข็งแกร่ง เพื่อรองรับแนวทางการตรวจสอบการพึ่งพา

การประเมินผลจากระดับสูงของกลยุทธ์ด้าน IT และวิธีการที่จะให้ผู้ตรวจสอบมีข้อบ่งชี้ที่เชื่อถือได้พอสมควรเกี่ยวกับการดำรงอยู่และการมีประสิทธิผลของระบบการควบคุมใดๆ หรือ การควบคุมนั้นๆ อยู่ในระดับที่ต่ำกว่ามาตรฐานที่ควรจะเป็น

การแบ่งแยกหน้าที่

ผู้ตรวจสอบควรตรวจสอบว่ามีการคัดแยกอย่างเพียงพอและมีประสิทธิภาพในการปฎิบัติหน้าที่ ในหมู่พนักงานที่ปฎิบัติการระบบคอมพิวเตอร์ที่เป็นสาระสำคัญ ซึ่งจะช่วยลดความเสี่ยงของความผิดพลาดและการฉ้อโกง การแบ่งแยกหน้าที่แบบ "ไม่เหมาะสม" อาจจะทำให้บุคคลใดบุคคลหนึ่ง มีการควบคุมเกินความจำเป็นในฟังก์ชั่นงานคอมพิวเตอร์ ทำให้เกิดข้อผิดพลาด หรือ การกระทำทุจริตได้โดยไม่ต้องตรวจสอบ หรือ ตรวจสอบไม่พบ เป็นต้น

หลักฐานของการแบ่งแยกหน้าที่จะทำได้โดยการ ทำสำเนาคำบรรยายลักษณะของงาน (JD) แผนภูมิองค์กร และการสังเกตพฤติกรรมด้านการทำงานของพนักงาน IT ในกรณีที่ระบบคอมพิวเตอร์ใช้ Profile ในการระบุการรักษาความปลอดภัย ด้วยการแบ่งแยกหน้าที่ ผู้ตรวจสอบควรจะตรวจสอบบนหน้าจอแสดงผลหรืองานพิมพ์ของพนักงานรักษาความปลอดภัยข้อมูลเกี่ยวกับงานที่พวกเขาดูแลอยู่ เพื่อดูการเข้าถึงข้อมูลและประเมินความเสี่ยงของความผิดพลาดจากการทำงานจาก log file หรือ ถังขยะที่อยู่ในระบบของพนักงานคนนั้นๆ ซึ่งอาจจะสามารถตรวจสอบพบประเด็นที่จะนำไปสู่การทุจริตและการยอมรับที่ไม่เหมาะสมในการปฎิบัติงานด้วยความบกพร่อง

ในทุกระบบของ IT ขนาดใหญ่ เจ้าหน้าที่ด้าน IT ควรมีการแยกหน้าที่ ดังนี้ :

การออกแบบระบบและการเขียนโปรแกรม
ระบบที่สนับสนุน
การดำเนินงานด้าน IT และการบริหารงานประจำวัน
ระบบรักษาความปลอดภัย
การบริหารฐานข้อมูล

สุดท้ายนี้ เราขอจบแค่เพียงเท่านี้ก่อน เพื่อให้ทุกๆ คน ได้มีเวลาอ่านตอนว่างๆ ขณะนั่งรถไฟฟ้ากลับบ้าน หรือ ขณะที่นั่งรอแฟนที่ร้านกาแฟ เราหวังว่าข้อมูลที่ได้เรียบเรียงนี้จะพอมีประโยชน์สำหรับผู้ที่กำลังจะเป็น IT Audit ในอนาคตนี้ ครับ

ขอให้ทุกๆ ท่านโชคดี ครับ

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

[email protected]

แสดงความคิดเห็น | ส่งเรื่องนี้ให้เพื่อน | แจ้งเตือนเรื่องไม่เหมาะสม

อ่านความคิดเห็น

ความคิดเห็นที่ 3

(0)

คนชั้นล่าง วันที่ : 21/02/2012 เวลา : 09.30 น.
http://oknation.nationtv.tv/blog/culminate
JACk

ขอบคุณครับกำลังหาความรู้ด้านนี้อยู่พอดีเลย

ความคิดเห็นที่ 2

(0)

เอกกมลเอี่ยมศรี วันที่ : 21/02/2012 เวลา : 08.27 น.
http://oknation.nationtv.tv/blog/newmanagement
เอกกมล เอียมศรีผู้เรียบเรียง www.interfinn.com

เรียน คุณลูกหิน

ด้วยความยินดี ครับ เราจะนำมาเผยแพร่ให้อีกเรื่อยๆ นะครับ เพราะมีอยู่มากพอสมควร ครับ

ความคิดเห็นที่ 1

(0)

ลูกหินฮะ๛ วันที่ : 20/02/2012 เวลา : 20.45 น.
http://oknation.nationtv.tv/blog/stonekid
http://www.oknation.net/blog/stonekimo Too bad all the people , ..Who know how to run the country !. Are busy Driving Taxicabs and Cutting Hair....

ขอบพระคุณฮะ
ขออนุญาต Save เก็บไว้เพื่อความรู้นะฮะ

แสดงความคิดเห็น

ถึง บล็อกเกอร์ ทุกท่าน โปรดอ่าน ด้วยทาง บริษัท จีเอ็มเอ็ม แกรมมี่ จำกัด (มหาชน) ได้ติดต่อขอความร่วมมือ มายังเว็บไซต์และเว็บบล็อกต่าง ๆ รวมไปถึงเว็บบล็อก OKnation ห้ามให้มีการเผยแพร่ผลงานอันมีลิขสิทธิ์ ของบริษัท จีเอ็มเอ็ม แกรมมี่ฯ บนเว็บ blog โดยกำหนดขอบเขตของสิ่งที่ห้ามทำ และสามารถทำได้ ดังนี้ ห้ามทำ - การใส่ผลงานเพลงต้นฉบับให้ฟัง ทั้งแบบควบคุมเพลงได้ หรือซ่อนเป็นพื้นหลัง และทั้งที่อยู่ใน server ของคุณเอง หรือ copy code คนอื่นมาใช้ - การเผยแพร่ file ให้ download ทั้งที่อยู่ใน server ของคุณเอง หรือฝากไว้ server คนอื่น สามารถทำได้ - เผยแพร่เนื้อเพลง ต้องระบุชื่อเพลงและชื่อผู้ร้องให้ชัดเจน - การใส่เพลงที่ร้องไว้เอง ต้องระบุชื่อผู้ร้องต้นฉบับให้ชัดเจน จึงเรียนมาเพื่อโปรดปฎิบัติตาม มิเช่นนั้นทางบริษัท จีเอ็มเอ็ม แกรมมี่ฯ จะให้ฝ่ายดูแลลิขสิทธิ์ ดำเนินการเอาผิดกับท่านตามกฎหมายละเมิดลิขสิทธิ์ OKNATION กฎกติกาการเขียนเรื่องและแสดงความคิดเห็น 1 การเขียน หรือแสดงความคิดเห็นใด ๆ ต้องไม่หมิ่นเหม่ หรือกระทบต่อสถาบันชาติ ศาสนา และพระมหากษัตริย์ หรือกระทบต่อความมั่นคงของชาติ 2. ไม่ใช้ถ้อยคำหยาบคาย ดูหมิ่น ส่อเสียด ให้ร้ายผู้อื่นในทางเสียหาย หรือสร้างความแตกแยกในสังคม กับทั้งไม่มีภาพ วิดีโอคลิป หรือถ้อยคำลามก อนาจาร 3. ความขัดแย้งส่วนตัวที่เกิดจากการเขียนเรื่อง แสดงความคิดเห็น หรือในกล่องรับส่งข้อความ (หลังไมค์) ต้องไม่นำมาโพสหรือขยายความต่อในบล็อก และการโพสเรื่องส่วนตัว และการแสดงความคิดเห็น ต้องใช้ภาษาที่สุภาพเท่านั้น 4. พิจารณาเนื้อหาที่จะโพสก่อนเผยแพร่ให้รอบคอบ ว่าจะไม่เป็นการละเมิดกฎหมายใดใด และปิดคอมเมนต์หากจำเป็นโดยเฉพาะเรื่องที่มีเนื้อหาพาดพิงสถาบัน 5.การนำเรื่อง ภาพ หรือคลิปวิดีโอ ที่มิใช่ของตนเองมาลงในบล็อก ควรอ้างอิงแหล่งที่มา และ หลีกเลี่ยงการเผยแพร่สิ่งที่ละเมิดลิขสิทธิ์ ไม่ว่าจะเป็นรูปแบบหรือวิธีการใดก็ตาม 6. เนื้อหาและความคิดเห็นในบล็อก ไม่เกี่ยวข้องกับทีมงานผู้ดำเนินการจัดทำเว็บไซต์ โดยถือเป็นความรับผิดชอบทางกฎหมายเป็นการส่วนตัวของสมาชิก คลิ้กอ่านเงื่อนไขทั้งหมดที่นี่" OKnation ขอสงวนสิทธิ์ในการปิดบล็อก ลบเนื้อหาและความคิดเห็น ที่ขัดต่อความดังกล่าวข้างต้น โดยไม่ต้องชี้แจงเหตุผลใดๆ ต่อเจ้าของบล็อกและเจ้าของความคิดเห็นนั้นๆ
		กลับไปหน้าที่แล้ว กลับด้านบน

[ Add to my favorite ] [ X ]

<<	กุมภาพันธ์ 2012					>>
อา	จ	อ	พ	พฤ	ศ	ส
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29