การปฏิบัติงานตรวจสอบภายในระบบสารสนเทศ |
ปริญญา อินทร์คง
เจ้าหน้าที่ตรวจสอบภายใน
สถาบันเทคโนโลยีนิวเคลียร์แห่งชาติ (องค์การมหาชน) |
จากการที่หน่วยงานต่าง ๆ ใช้คอมพิวเตอร์ในการประมวลผล ย่อมมีความเสี่ยงที่จะเกิดขึ้นได้หลายประการ ดังนั้น การปฏิบัติงานตรวจสอบภายในจึงได้พัฒนาเทคนิคการตรวจสอบสารสนเทศ เพื่อให้สามารถก้าวทันกับเทคโนโลยีสารสนเทศใหม่ ๆ ที่เจริญเติบโตแบบไม่หยุดยั้ง จนที่เป็นที่ยอมรับในระดับสากลในการปฏิบัติงานตรวจสอบภายในขององค์กรได้
ผลกระทบของ IT กับ ชีวิตประจำวัน
เนื่องจากในปัจจุบันเทคโนโลยีสารสนเทศมีการเปลี่ยนแปลงอย่างรวดเร็ว และเข้ามามีส่วนกับการดำเนินชีวิตประจำวันของเราอย่างต่อเนื่อง จากเดิม IT Audit เริ่มจากการตรวจสอบกระบวนการประมวลผลข้อมูล และพัฒนาการตรวจสอบเพิ่มขึ้นเรื่อยๆ จากเทคโนโลยีที่มีต่อระบบบัญชี การควบคุมระบบสารสนเทศ และผลกระทบของความสามารถของการให้บริการคอมพิวเตอร์ และในช่วงระยะเวลา 2 3 ปีที่ผ่านมาโลกมีการตื่นตัวกับการตรวจสอบระบบสารสนเทศ รายงานผลทางบัญชี และกฎระเบียบต่าง ๆ มีเพิ่มขึ้น ผู้ตรวจสอบสารสนเทศจึงเกี่ยวพันกับความสำเร็จขององค์กรเป็นอย่างมาก เมื่อเปรียบเทียบกับการตรวจสอบในอดีตซึ่งมีการเปลี่ยนแปลงไปอย่างมาก
ความเสี่ยงและวิธีจัดการความเสี่ยง |
1. การประเมินความเสี่ยงของ IT ทางด้านต่าง ๆ ดังนี้ |
|
|
- Reduced audit trail เนื่องจากปริมาณข้อมูลที่มีมากขึ้น ดังนั้นระบบงานไอทีต้องสามารถตรวจสอบร่องรอยการแก้ไขได้ ลดการที่คนเข้าไปแก้ไขข้อมูลในระบบ และควบคุมเรื่องการให้สิทธิในการเข้าถึงข้อมูล
- Risk to hardware and data เนื่องจากขนาดของข้อมูลมีมากขึ้นอาจเกิดความล่าหลังของข้อมูล และจากการใช้คอมพิวเตอร์หลายเครื่องเข้ามาทำรายการมากขึ้น อาจเกิดกรณีการเข้าถึงข้อมูลโดยผู้ไม่มีสิทธิ และอาจสูญเสียข้อมูลที่สำคัญได้
- เนื่องจากมีการใช้ User ID ร่วมกันมากขึ้น ทำให้การแบ่งแยกหน้าที่งานได้น้อยลง และงานไอที จำเป็นต้องได้คนที่มีความรู้ความสามารถด้าน IT โดยเฉพาะ
|
|
2. การวางระบบการควบคุมต่อความเสี่ยงที่อาจขึ้น การควบคุมสามารถแบ่งได้เป็น 2 ประเภท |
|
ก. การควบคุมทั่วไป (General Control) ควบคุมในเรื่องต่าง ๆ ดังนี้ |
|
|
- Administration of the IT function
- การแบ่งแยกหน้าที่ของ IT
- Systems development การพัฒนาระบบงาน เกี่ยวข้องกับการเปลี่ยนแปลง และการสร้างระบบใหม่ขึ้นมา ซึ่งระบบงานที่มีการเปลี่ยนแปลงหรือสร้างขึ้นมาใหม่นั้น ควรทำที่ระบบทดสอบก่อนนำมาใช้ในระบบงานจริง
- Physical and online security การจัดศูนย์คอมพิวเตอร์ให้ปลอดภัย สถานที่จัดวาง Server ต้องปลอดภัย ป้องกันความชื้น ฝุ่น เพลิงไหม้ และป้องการการเข้าถึง Server โดยใช้ firewall
- Backup and Contingency Planning ความเสี่ยงที่สำคัญคือความเสี่ยงที่ข้อมูลสูญหาย ดังนั้นต้องมีการ Backup ข้อมูล และต้องมีแผนกรณีข้อมูลสูญหาย โดยมีการทดสอบอย่างสม่ำเสมอ สามารถกู้ข้อมูลคืนมาทำงานได้จริง และความถี่ในการ Backup
- Hardware controls มีการจัดทำทะเบียนคุม Hardware และมีแผนการซ่อมต่าง ๆ
|
|
ข. การควบคุม Application Control การตรวจสอบระบบงานแต่ละระบบ เราจะพิจารณาในเรื่อง |
|
|
|
|
|
โดยจะทำการประเมินในแต่ละขั้นตอนของระบบ โดย Output ที่ดีจะขึ้นอยู่กับ Input ที่ดี ถูกต้อง เชื่อถือได้ โดย IT Audit จะทำการประเมินในแต่ละขั้นตอนว่ามีความเสี่ยงอะไร และหลังจากนั้นก็จะใส่การควบคุมเข้าไป และหลังจากนั้นต้องติดตามว่าแต่ละระบบได้มีการปฏิบัติตามการควบคุมที่กำหนดไว้หรือไม่นำ |
|
|
|
|
โปรแกรมการตรวจสอบสำเร็จรูป CAAT
มีการนำโปรแกรมสำเร็จรูประบบ CAAT มาประยุกต์ใช้ในการตรวจสอบ เพื่อเพิ่มประสิทธิภาพ และประสิทธิผลในการตรวจสอบ หรือในกรณีที่ไม่สามารถตรวจสอบโดยวิธีอื่น ในการตรวจสอบเรื่อง |
- ความถูกต้อง และครบถ้วนของการประมวลผล
- การวิเคราะห์และทดสอบข้อมูล
- การวิเคราะห์การทุจริต และการรวบรวมหลักฐาน
การจัดให้หน่วยสารสนเทศ มี General Control |
- หน่วยสารสนเทศต้องจัดให้มีนโยบาย และระเบียบทางด้านสารสนเทศ เพื่อเป็นแนวทางให้ ผู้ใช้งาน เจ้าหน้าที่ของหน่วยสารสนเทศ และผู้ตรวจสอบภายในยึดเป็นวิธีปฏิบัติ
- เมื่อองค์การมีการพัฒนาระบบงานใหม่ๆ เกิดขึ้น Internal Auditor ต้องเข้าไปมีส่วนร่วมต้องแต่ขั้นตอนแรกในการ Get Requirement จนถึงขั้นตอนการทดสอบการใช้ระบบงานใหม่ เพื่อดูความเพียงพอของระบบการควบคุมภายใน และระบบสามารถใช้งานได้จริง มีประสิทธิภาพ ประสิทธิผล
- เมื่อองค์การมีการพัฒนาระบบงานใหม่ขึ้นมา ควรมีการศึกษาความเป็นไปได้ก่อนดำเนินการทุกครั้ง เพื่อให้ทราบความเป็นไปได้ก่อนการลงทุน และดูว่าคุ้มค่าหรือไม่ที่จะลงทุน
- ผู้ตรวจสอบภายในต้องสร้างระบบการตรวจสอบเข้าไปในระบบงานแต่ละระบบที่มีอยู่
ปัญหาและอุปสรรคที่คาดว่าจะเกิดขึ้น |
- การนำโปรแกรมสำเร็จรูประบบ CAAT มาใช้ในการตรวจสอบ มีต้นทุนที่ต้องจัดซื้อ โปรแกรม ACL มาลงในเครื่องคอมพิวเตอร์ ซึ่งใช้งบประมาณประมาณ 150,000.- บาท
- ในการจัดให้หน่วยสารสนเทศมี General Control ซึ่งในระยะแรกอาจต้องลงทุนในเรื่อง Facilities อีกหลายอย่าง เช่น การจัดให้มีนโยบายด้านสารสนเทศ ระบบความปลอดภัย ระบบการ Backup ข้อมูล ระบบการสำรองไฟฟ้า และการแบ่งแยกหน้าที่งานของหน่วยสารสนเทศ ซึ่งสิ่งต่างๆ เหล่านี้ต้องได้รับการสนับสนุนทางด้านนโยบายจากผู้บริหาร และงบประมาณในการดำเนินงาน
- หน่วยรับตรวจต้องเข้าใจหน้าที่ของผู้ตรวจสอบภายใน ซึ่งในการพัฒนาระบบงานใหม่ ๆ ต้องมีการแจ้งให้ ผู้ตรวจสอบภายในเข้าไปมีส่วนร่วมด้วยทุกครั้ง
- หน่วยรับตรวจต้องให้ความร่วมมือในการดำเนินการจัดทำการศึกษาความเป็นไปได้ของโครงการก่อนดำเนินการ
ความต้องการการสนับสนุนจากผู้บังคับบัญชาเพื่อการปฏิบัติงานตรวจสอบภายในสัมฤทธิ์ผล ได้แก่ |
- ผู้บริหารต้องให้ความสำคัญกับงานสารสนเทศ ซึ่งจะเข้าไปมีบทบาทกับการพัฒนาระบบการบริหารงานต่าง ๆ ในสถาบันฯ ซึ่งผู้ที่ต้องรับผิดชอบกับข้อมูลความถูกต้องต่างๆ ขององค์การ คือ CEO ขององค์การ
- ผู้บริหารต้องผลักดัน และให้ความสำคัญกับการบริหารความเสี่ยง และการควบคุมภายในซึ่งต้องจัดให้มีขึ้น
- งบประมาณในการดำเนินงานด้านต่าง ๆ
- อัตรากำลังในการดำเนินงาน เพื่อพัฒนาระบบสารสนเทศ ถ้าหน่วยงานจะพัฒนาย่อมอยู่ที่การตัดสินใจของผู้บริหาร และการตัดสินใจที่ถูกต้องย่อมอยู่บนพื้นฐานของข้อมูลที่ถูกต้อง และรวดเร็ว
|
โพสต์เมื่อ : 7 ธันวาคม 2553 |
|