ปัจจุบันในยุค 4.0 หลายท่านคงได้ทราบข่าวกันมาบ้างแล้วว่า การใช้งานระบบ IT มีผลดีต่อธุรกิจ แต่ก็ต้องยอมรับว่า IT ก็มีความเสี่ยงต่อธุรกิจเช่นกัน ดังนั้นจึงต้องมีระบบควบคุมรักษาความปลอดภัย รวมถึง มี IT Audit ที่วางใจได้ ในปีที่ผ่านมามีระบบ IT ของหลายองค์กรถูกคุกคาม บุกรุกเข้าไปในระบบ เข้าไปทำให้ระบบใช้งานไม่ได้บ้าง เข้าไปเปลี่ยนแปลงโปรแกรมและแก้ไขข้อมูลทางด้านการเงินจนสร้างความเสียหายให้กับองค์กรเป็นจำนวนหลายสิบล้านบาท หรือทำการบุกรุกเพื่อโจรกรรมข้อมูล ลักลอบดักฟังข้อมูลที่เป็นความลับขององค์กร ยิ่งนับวันความเสี่ยงด้าน IT ก็ยิ่งพัฒนาเพิ่มมากขึ้น จึงมีความจำเป็นที่แต่ละองค์กรจะต้องมีระบบควบคุมและรักษาความปลอดภัยที่ดี เพื่อหลีกเลี่ยงจากความเสี่ยงต่าง ๆ
เนื่องจากข้อมูลบัญชีและการเงินของแต่ละองค์กรส่วนใหญ่ต่างก็อยู่บนระบบ IT โดยผู้ดูแลระบบอาจจะเป็นเจ้าหน้าที่บัญชี หรือเจ้าหน้าที่ IT โดยมักไม่ค่อยมีความชำนาญในการควบคุมดูแลรักษาข้อมูลอย่างเป็นแบบแผน เนื่องจากขาดความเข้าใจในการควบคุมภายในที่มีระบบ ระเบียบซับซ้อน ดังนั้นในการตรวจสอบบัญชีจึงต้องอาศัยบทบาทของผู้ตรวจสอบ IT เข้ามาช่วยประเมินและควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศของหน่วยงานหรือองค์กร เพื่อสร้างความเชื่อมั่นอย่างมีเหตุผลต่อฝ่ายบริหารในการจัดการ ควบคุม และการรักษาความปลอดภัยที่ดี
ความปลอดภัย มีมาตรฐานการป้องกันผู้บุกรุกจากภายนอก มีระบบป้องกันความปลอดภัยของ Data Center หรือ Data Warehouse และการออกแบบระบบปฏิบัติการที่มีความเหมาะสม หรือตรวจสอบด้าน IT Governance และตรวจสอบเพื่อสนับสนุนการตรวจสอบทางการเงินด้วย โดยการตรวจสอบการเงินจะตรวจสอบการควบคุมที่สำคัญแบบ Manual การตรวจสอบ IT จะตรวจสอบการควบคุมที่สำคัญแบบ Automated
ถ้าให้กล่าวถึงคุณสมบัติหรือบทบาท หน้าที่ที่ IT Auditor ทุกคนต้องมีในแบบสรุปเลยก็คือ
1. ตรวจสอบด้านเทคโนโลยีสารสนเทศ ตามหลักการบริหารความเสี่ยงยุคใหม่ได้สอดคล้องตามมาตรฐานและเทคนิคการตรวจสอบที่เกี่ยวข้องเพื่อสนองความต้องการของผู้บริหารทุกระดับได้
2. วางแผนการตรวจสอบ ตามหลักการบริหารความเสี่ยงทั่วไปและทางด้านเทคโนโลยีสารสนเทศที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรได้อย่างมั่นใจ
3. เข้าใจและสื่อสาร ความหมายของกระบวนการทำงานเทคโนโลยีสารสนเทศในการบริหารจัดการเชิงกลยุทธ์ให้กับบุคคลอื่นเพื่อการจัดการที่ดีได้
จากที่กล่าวมาผู้อ่านคงทราบกันแล้วว่า การตรวจสอบ IT หรือ IT Audit มีความสำคัญและเกี่ยวข้องกับการตรวจสอบบัญชีอย่างไร ต่อไปในวันข้างหน้าเทคโนโลยีจะมีการพัฒนามากขึ้นเรื่อยๆ องค์กรที่ก้าวทันเทคโนโลยี ให้ความสำคัญในการตรวจสอบและประเมินความเสี่ยง มีการควบคุมระบบที่ดี จะเป็นผลดีต่อองค์กร และผู้เขียนหวังว่าบทความนี้จะทำให้คุณได้รับความเข้าใจและรู้จัก IT Audit เพิ่มมากขึ้น
การตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2 ประเภท คือ การตรวจสอบกิจกรรม หรือการดำเนินงานของหน่วยงานคอมพิวเตอร์ และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล
1. การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ (General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ซึ่งส่วนใหญ่เป็นเรื่องเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง มีหัวข้อการตรวจสอบดังนี้
1.1. การตรวจสอบภายในและการสอบบัญชี เป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชี ซึ่งได้รับมอบหมายจากฝ่ายบริหาร และผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบ มีขอบเขตการปฏิบัติงานครอบคลุมในเรื่องต่าง ๆ เพียงพอหรือไม่ และเชื่อถือได้เพียงใด
1.2. การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์ ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน
1.3. การพัฒนาระบบงานและโปรแกรม เป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม การแก้ไขระบบงานและโปรแกรม และความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน
1.4. การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูล และการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้อง ครบถ้วนและเชื่อถือได้เพียงใด
1.5. การปฏิบัติงานคอมพิวเตอร์ เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์ การจัดเก็บแฟ้มข้อมูล การรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน
1.6. การสื่อสารข้อมูล (กรณีใช้ Hardware และ/หรือ Software ร่วมกันหลายระบบงาน) เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร
1.7. การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการ กรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง ควรมีการตรวจสอบสัญญาการใช้บริการ การคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์ นอกเหนือจากการตรวจสอบตามหัวข้อที่กล่าวมาแล้วด้วย เพื่อป้องกันธุรกิจที่จำเป็นต้องใช้ข้อมูลที่ประมวลผลด้วยคอมพิวเตอร์ต้องหยุดชะงัก หากศูนย์คอมพิวเตอร์ไม่สามารถให้บริการได้ตามปกติด้วยเหตุใดก็ตาม
2. การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (Application Controls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงาน ซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบ ในแต่ละระบบมากกว่าการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ มีหัวข้อการตรวจสอบดังนี้
2.1. แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ
– การจัดทำเอกสารขั้นต้น หรือเอกสารประกอบรายการ
– การอนุมัติรายการ
– การเตรียมข้อมูลนำเข้า
– การเก็บรักษาเอกสารขั้นต้น
– การแก้ไขเอกสารที่มีข้อผิดพลาด
2.2. การทำรายการป้อนเข้าสู่ระบบงาน เป็นการตรวจสอบ
– การทำรายการป้อนข้อมูลเข้าสู่ระบบงาน ซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry
– หลักเกณฑ์ที่ใช้ในการควบคุมการทำรายการ เพื่อให้ได้ข้อมูลที่ถูกต้องและครบถ้วน
– การแก้ไขข้อผิดพลาดในการทำรายการป้อนเข้าสู่ระบบงาน
2.3. การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ประกอบด้วย
– การใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน
– การเคลื่อนย้ายข้อมูลในระบบสื่อสาร ซึ่งต้องอาศัย Hardware และ Software ควบคุมการ เคลื่อนย้ายข้อมูล
– การบันทึกรายละเอียดในการติดต่อสื่อสารระหว่างเครื่อง Terminal กับ CPU ไว้ที่ศูนย์ คอมพิวเตอร์
2.4. การประมวลผล ได้แก่ การตรวจสอบ
– ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือหรือไม่
– การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้ กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง
– ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล
– การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล
– การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล
2.5. การเก็บรักษาข้อมูลและการนำข้อมูลไปใช้งาน เป็นการตรวจสอบ
– การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล
– การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้ รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล
– การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล
2.6. ผลลัพธ์ที่ได้จากการประมวลผล เป็นการตรวจสอบ
– การกระทบยอดข้อมูล
– การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล
– การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน
– การเก็บรักษาข้อมูลที่ได้จากการประมวลผล
– การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด
อ้างอิง
Comments