บทที่ 11 การตรวจสอบด้านสารสนเทศ

ปัจจุบันในยุค 4.0 หลายท่านคงได้ทราบข่าวกันมาบ้างแล้วว่า การใช้งานระบบ IT มีผลดีต่อธุรกิจ แต่ก็ต้องยอมรับว่า IT ก็มีความเสี่ยงต่อธุรกิจเช่นกัน ดังนั้นจึงต้องมีระบบควบคุมรักษาความปลอดภัย รวมถึง มี IT Audit ที่วางใจได้ ในปีที่ผ่านมามีระบบ IT ของหลายองค์กรถูกคุกคาม บุกรุกเข้าไปในระบบ เข้าไปทำให้ระบบใช้งานไม่ได้บ้าง เข้าไปเปลี่ยนแปลงโปรแกรมและแก้ไขข้อมูลทางด้านการเงินจนสร้างความเสียหายให้กับองค์กรเป็นจำนวนหลายสิบล้านบาท หรือทำการบุกรุกเพื่อโจรกรรมข้อมูล ลักลอบดักฟังข้อมูลที่เป็นความลับขององค์กร ยิ่งนับวันความเสี่ยงด้าน IT ก็ยิ่งพัฒนาเพิ่มมากขึ้น จึงมีความจำเป็นที่แต่ละองค์กรจะต้องมีระบบควบคุมและรักษาความปลอดภัยที่ดี เพื่อหลีกเลี่ยงจากความเสี่ยงต่าง ๆ

เนื่องจากข้อมูลบัญชีและการเงินของแต่ละองค์กรส่วนใหญ่ต่างก็อยู่บนระบบ IT โดยผู้ดูแลระบบอาจจะเป็นเจ้าหน้าที่บัญชี หรือเจ้าหน้าที่ IT โดยมักไม่ค่อยมีความชำนาญในการควบคุมดูแลรักษาข้อมูลอย่างเป็นแบบแผน เนื่องจากขาดความเข้าใจในการควบคุมภายในที่มีระบบ ระเบียบซับซ้อน ดังนั้นในการตรวจสอบบัญชีจึงต้องอาศัยบทบาทของผู้ตรวจสอบ IT เข้ามาช่วยประเมินและควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศของหน่วยงานหรือองค์กร เพื่อสร้างความเชื่อมั่นอย่างมีเหตุผลต่อฝ่ายบริหารในการจัดการ ควบคุม และการรักษาความปลอดภัยที่ดี

ความปลอดภัย มีมาตรฐานการป้องกันผู้บุกรุกจากภายนอก มีระบบป้องกันความปลอดภัยของ Data Center หรือ Data Warehouse และการออกแบบระบบปฏิบัติการที่มีความเหมาะสม หรือตรวจสอบด้าน IT Governance และตรวจสอบเพื่อสนับสนุนการตรวจสอบทางการเงินด้วย โดยการตรวจสอบการเงินจะตรวจสอบการควบคุมที่สำคัญแบบ Manual การตรวจสอบ IT จะตรวจสอบการควบคุมที่สำคัญแบบ Automated

ถ้าให้กล่าวถึงคุณสมบัติหรือบทบาท หน้าที่ที่ IT Auditor ทุกคนต้องมีในแบบสรุปเลยก็คือ

1. ตรวจสอบด้านเทคโนโลยีสารสนเทศ ตามหลักการบริหารความเสี่ยงยุคใหม่ได้สอดคล้องตามมาตรฐานและเทคนิคการตรวจสอบที่เกี่ยวข้องเพื่อสนองความต้องการของผู้บริหารทุกระดับได้

2. วางแผนการตรวจสอบ ตามหลักการบริหารความเสี่ยงทั่วไปและทางด้านเทคโนโลยีสารสนเทศที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรได้อย่างมั่นใจ

3. เข้าใจและสื่อสาร ความหมายของกระบวนการทำงานเทคโนโลยีสารสนเทศในการบริหารจัดการเชิงกลยุทธ์ให้กับบุคคลอื่นเพื่อการจัดการที่ดีได้

จากที่กล่าวมาผู้อ่านคงทราบกันแล้วว่า การตรวจสอบ IT หรือ IT Audit มีความสำคัญและเกี่ยวข้องกับการตรวจสอบบัญชีอย่างไร ต่อไปในวันข้างหน้าเทคโนโลยีจะมีการพัฒนามากขึ้นเรื่อยๆ องค์กรที่ก้าวทันเทคโนโลยี ให้ความสำคัญในการตรวจสอบและประเมินความเสี่ยง มีการควบคุมระบบที่ดี จะเป็นผลดีต่อองค์กร และผู้เขียนหวังว่าบทความนี้จะทำให้คุณได้รับความเข้าใจและรู้จัก IT Audit เพิ่มมากขึ้น

การตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2 ประเภท คือ การตรวจสอบกิจกรรม หรือการดำเนินงานของหน่วยงานคอมพิวเตอร์ และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล

1. การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ (General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ซึ่งส่วนใหญ่เป็นเรื่องเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง มีหัวข้อการตรวจสอบดังนี้

1.1. การตรวจสอบภายในและการสอบบัญชี เป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชี ซึ่งได้รับมอบหมายจากฝ่ายบริหาร และผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบ มีขอบเขตการปฏิบัติงานครอบคลุมในเรื่องต่าง ๆ เพียงพอหรือไม่ และเชื่อถือได้เพียงใด

1.2. การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์ ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน

1.3. การพัฒนาระบบงานและโปรแกรม เป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม การแก้ไขระบบงานและโปรแกรม และความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน

1.4. การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูล และการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้อง ครบถ้วนและเชื่อถือได้เพียงใด

1.5. การปฏิบัติงานคอมพิวเตอร์ เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์ การจัดเก็บแฟ้มข้อมูล การรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน

1.6. การสื่อสารข้อมูล (กรณีใช้ Hardware และ/หรือ Software ร่วมกันหลายระบบงาน) เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร

1.7. การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการ กรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง ควรมีการตรวจสอบสัญญาการใช้บริการ การคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์ นอกเหนือจากการตรวจสอบตามหัวข้อที่กล่าวมาแล้วด้วย เพื่อป้องกันธุรกิจที่จำเป็นต้องใช้ข้อมูลที่ประมวลผลด้วยคอมพิวเตอร์ต้องหยุดชะงัก หากศูนย์คอมพิวเตอร์ไม่สามารถให้บริการได้ตามปกติด้วยเหตุใดก็ตาม

2. การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (Application Controls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงาน ซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบ ในแต่ละระบบมากกว่าการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ มีหัวข้อการตรวจสอบดังนี้

2.1. แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ

– การจัดทำเอกสารขั้นต้น หรือเอกสารประกอบรายการ

– การอนุมัติรายการ

– การเตรียมข้อมูลนำเข้า

– การเก็บรักษาเอกสารขั้นต้น

– การแก้ไขเอกสารที่มีข้อผิดพลาด

2.2. การทำรายการป้อนเข้าสู่ระบบงาน เป็นการตรวจสอบ

– การทำรายการป้อนข้อมูลเข้าสู่ระบบงาน ซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry

– หลักเกณฑ์ที่ใช้ในการควบคุมการทำรายการ เพื่อให้ได้ข้อมูลที่ถูกต้องและครบถ้วน

– การแก้ไขข้อผิดพลาดในการทำรายการป้อนเข้าสู่ระบบงาน

2.3. การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ประกอบด้วย

– การใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน

– การเคลื่อนย้ายข้อมูลในระบบสื่อสาร ซึ่งต้องอาศัย Hardware และ Software ควบคุมการ เคลื่อนย้ายข้อมูล

– การบันทึกรายละเอียดในการติดต่อสื่อสารระหว่างเครื่อง Terminal กับ CPU ไว้ที่ศูนย์ คอมพิวเตอร์

2.4. การประมวลผล ได้แก่ การตรวจสอบ

– ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือหรือไม่

– การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้ กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง

– ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล

– การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล

– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล

– การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล

2.5. การเก็บรักษาข้อมูลและการนำข้อมูลไปใช้งาน เป็นการตรวจสอบ

– การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล

– การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้ รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน

– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล

– การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล

2.6. ผลลัพธ์ที่ได้จากการประมวลผล เป็นการตรวจสอบ

– การกระทบยอดข้อมูล

– การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล

– การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน

– การเก็บรักษาข้อมูลที่ได้จากการประมวลผล

– การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด

อ้างอิง

https://www.daa.co.th/en/news/audit-news/item/243

https://itgthailand.wordpress.com/tag