การใช้คอมพิวเตอร์เป็นเครื่องมือ
กิจการที่นําคอมพิวเตอร์หรือระบบสารสนเทศทางการบัญชีไปใช้ ในการควบคุมภายในต้องกําหนดให้มีการควบคุมภายใน เพื่อให้ มั่นใจว่า ข้อมูลที่บันทึกมีความครบถ้วน ถูกต้อง ประมวลผลตาม ขั้นตอน การเข้าถึงข้อมูลหรือแฟ้มข้อมูลกระทําได้เฉพาะผู้ได้รับอนุญาต รวมทั้งการจะพัฒนาหรือการเปลี่ยนแปลงโปรแกรมได้ ต้องผ่านการตรวจสอบและอนุมัติจากผู้มีอํานาจเรียบร้อยแล้ว
การควบคุมภายในของกิจการที่ใช้คอมพิวเตอร์ในการจัดเก็บบันทึกประมวลผลและจัดทำรายงานนั้นในหนังสือเล่มนี้เรียกว่า การควบคุมระบบ (System Controls)
นักบัญชีได้จัดแบ่งการควบคุมระบบออกเป็น 2 ประเภท
ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม (By Objective)
ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope)
ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม ตามเกณฑ์นี้ได้แบ่งวิธีการควบคุมออกเป็น 3 ส่วน
1. การควบคุมเชิงป้องกัน (Prevention Controls)
2. การควบคุมเชิงตรวจสอบ (Detection Controls)
3. การควบคุมเชิงแก้ไข (Corrective Controls)
ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope)จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุมว่าขอบเขตงานนั้นมีผลกระทบต่อระบบงานทั้งหมดของกิจการหรือมีผลกระทบเฉพาะระบบงานใดงานหนึ่งเท่านั้น ในกรณีที่ขอบเขตงานของการควบคุมมีผลกระทบต่อระบบงานทั้งหมดจะเรียกการปฏิบัติงานเพื่อการควบคุมนั้นว่า การควบคุมทั่วไป (General Controls) เป็นการควบคุมที่มีขึ้นเพื่อให้มั่นใจว่า สภาพแวดล้อมของการควบคุมภายในของกิจการได้มีการจัดการ และดูแลอย่างดีตลอดเวลาทำให้การควบคุมเฉพาะระบบงานดำเนินไปได้อย่างมีประสิทธิภาพ การควบคุมทั่วไปของกิจการที่ใช้คอมพิวเตอร์นั้น แบ่งออกเป็น 4 ประเภท คือ
1. การควบคุมปฏิบัติงานของพนักงาน (Personnel controls)
2. การควบคุมการปฏิบัติงานของศูนย์ข้อมูล (Data Center Operations Controls)
3. การควบคุมการจัดหาและบำรุงรักษาซอฟต์แวร์ของระบบ (System Software Acquisition and Maintenance Controls)
4. การควบคุมในเรื่องการรักษาความปลอดภัยของการเข้าถึงระบบและข้อมูล (Access Controls)
เทคโนโลยีสารสนเทศการควบคุมทั่วไป
· ความปลอดภัยสำหรับเทคโนโลยีไร้สาย
· การควบคุมสำหรับระบบเครือข่ายเดินสา
· ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์
· วัตถุประสงค์การควบคุมด้านไอทีสำหรับ Sarbanes-Oxley
การควบคุมแอปพริเคชันสำหรับการประมวลผลธุรกรรม
· การควบคุมการป้อนข้อมูลการประมวลผลและการส่งออก
ระบบการควบคุมภายในที่มุ่งเน้น
· ความปลอดภัยเฉพาะในองค์กร
· ขั้นตอนการควบคุมเพื่อให้แน่ใจว่า
· การใช้ทรัพยากรอย่างมีประสิทธิภาพ
การควบคุมทั่วไปสำหรับองค์กร
การพัฒนานโยบายความปลอดภัยที่เหมาะสมเกี่ยวข้องกับ
· การระบุและประเมินสินทรัพย์
· การระบุภัยความเสี่ยง
· การมอบหมายความรับผิดชอบ
· การสร้างแพลตฟอร์มนโยบายความปลอดภัย
· การใช้งานทั่วทั้งองค์กร
· การจัดการโปรแกรมความปลอดภัย
ความปลอดภัยแบบบูรณาการสำหรับองค์กร
องค์กร
· ขึ้นอยู่กับเครือข่ายสำหรับการทำธุรกรรมการแบ่งปันข้อมูลและการสื่อสาร
· จำเป็นต้องให้สิทธิ์เข้าถึงลูกค้าซัพพลายเออร์พันธมิตรและอื่นๆ
ภัยคุมคามความปลอดภัยสำหรับองค์กรเกิดขึ้นจาก
· ความซับซ้อนของเครือข่ายเหล่านี้
· ข้อกำหนดการช่วยสำหรับการเข้าถึงปัจจุบัน
เทคโนโลยีความปลอดภัยที่สำคัญสามารถบูรณาการรวมถึง
· ระบบตรวจจับการบุกรุก
· ไฟร์วอลล์และอื่นๆ
ระบบรักษาความปลอดภัยแบบรวม
· ลดความเสี่ยงของการถูกโจมตี
· เพิ่มค่าใช้จ่ายและทรัพยากรที่ผู้บุกรุกต้องการ
การควบคุมทั่วไปภายในสภาพแวดล้อมด้านไอที
· การควบคุมระดับองค์กร
· การควบคุมบุคลากร
· การควบคุมความปลอดภัยของไฟล์
· ระบบป้องกันความผิดพลาดการสำรองข้อมูลและการวางแผนฉุกเฉิน
· การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์
· การเข้าถึงไฟล์คอมพิวเตอร์
การสำรองข้อมูล
การสำรองข้อมูล
· จำเป็นสำหรับเอกสารสำคัญ
· มีการดำเนินการแบทช์โดยใช้กระบวรการ
· สามารถส่งทางอิเล็กทรอนิกส์ไปยังไซต์ระยะไกล (กระโดดข้าม)
· ต้องการระบบไฟฟ้าสำรอง (UPS) เป็นแหล่งจ่ายไฟฟ้า
การวางแผนฉุกเฉิน
การวางแผนฉุกเฉิน
· รวมถึงการพัฒนาแผนกู้คืนความเสียหายอย่างเป็นทางการ
· อธิบายขั้นตอนที่ต้องปฏิบัติในกรณีฉุกเฉิน
· อธิบายถึงบทบาทของสมาชิกทีมแต่ละคน
· แต่งตั้งบุคคลหนึ่งให้เป็นผู้บังคับบัญชาที่สอง
· เกี่ยวข้องกับไซต์การกู้คืนที่อาจเป็นไซต์ร้อนหรือไซต์เย็น
การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์
ค้นหาศูนย์ประมวลข้อมูลในที่ที่ปลอดภัย
· ประชาชนไม่สามารถเข้าถึงได้
· มันได้รับการป้องกันโดยบุคลากร
· มีทางเข้าที่ปลอดภัยจำนวน จำกัด
· มีการป้องกันภัยธรรมชาติ
จำกัด การเข้าถึงของพนักงานโดย
· การผสมผสานป้ายระบุรหัสแม่เหล็กอิเล็กทรอนิกส์หรือออปติคัล
การเข้าถึงไฟล์คอมพิวเตอร์
การเข้าถึงข้อมูลอย่างมีเหคุผลถูก จำกัด
· การระบุรหัสผ่าน (สนับสนุนรหัสผ่านที่คาดเดายาก)
· การระบุทางชีวภาพด้วย
- รูปแบบเสียง
- ลายนิ้วมือ
- จอประสาทตาพิมพ์
การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ
การวัตถุประสงค์ของการควบคุมคือการให้ความมั่นใจว่า
· การพัฒนาและเปลี่ยนแปลงโปรแกรมคอมพิวเตอร์นั้นได้รับอนุญาตทดสอบและอนุมัติก่อนการใช้งาน
· การเข้าถึงไฟล์ข้อมูลถูก จำกัด
· ข้อมูลการประมวลผลทางบัญชีนั้นถูกต้องและครบถ้วน
ความปลอดภัยสำหรับเทคโนโลยีไร้สาย
ความปลอดภัยสำหรับเทคโนโลยีไร้สายนั้นเกี่ยวข้องกับ
· เครือข่ายส่วนตัวเสมือน (VPN)
· การเข้าถึงรหัสข้อมูล
ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์
· ขั้นตอนการควบคุมทั่วไปและแอปพริเคชั่นมีความสำคัญต่อไมโครคอมพิวเตอร์
· ความเสี่ยงส่วนใหญ่ที่เกี่ยวข้องกับ AIS เกิดจาก
- ข้อผิดพลาด
- ความผิดปกติหรือฉ้อโกง
- ภัยคุกคามทั่วไปเกี่ยวกับความปลอดภัย (เช่น ไวรัสคอมพิวเตอร์)
· ความเสี่ยง บางอย่างที่มีลักษณะเฉพาะกับไมโครคอมพิวเตอร์คือ
- ฮาร์ดแวร์ - ไมโครคอมพิวเตอร์สามารถถูกขโมยหรือทำลายได้ง่าย
- ข้อมูลและซอฟต์แวร์ - ง่ายต่อการเข้าถึงแก้ไขคัดลอกหรือทำลาย จึงควบคุมได้ยาก
การควบคุมแอปพริเคชันสำหรับการประมวลผลธุรกรรม
· การควบคุมแอปพริเคชันได้รับการออกแบบมาเพื่อ
- ป้องกัน
- ตรวจจับและ
- แก้ไขข้อผิดพลาดและความผิดปกติ
· ในการทำธุรกรรม
- อินพุต
- การประมวลผล
- ขั้นตอนการส่งออกของการประมวลผลข้อมูล
การควบคุมอินพุต
การควบคุมการป้องกันข้อมูลพยายามที่จะให้แน่ใจว่า
· ความถูกต้อง
· ความครบถ้วนของข้อมูลที่ป้อนเข้าสู่ AIS
หมวดหมู่ของการควบคุมการป้องกันข้อมูลรวมถึง
· การสังเกตการบันทึกและการถอดความของข้อมูล
· แก้ไขการทดสอบ
· การควบคุมอินพุตเพิ่มเติม
การควบคุมการประมวลผล
· การควบคุมการประมวลผล มุ่งเน้นไปที่การจัดการข้อมูลบัญชีหลักจากที่ป้อนเข้าสู่ระบบคอมพิวเตอร์
· วัตถุประสงค์หลักคือแนวทางการตรวจสอบที่ชัดเจน
· การควบคุมการประมวลผลมี 2 ประเภท
- การควบคุมการเข้าถึงข้อมูล
- การควบคุมการจัดการข้อมูล
การควบคุมการส่งออก
วัตถุประสงค์ของการควบคุมผลลัพธ์คือเพื่อให้มั่นใจ
· ความถูกต้อง
· ความสมบูรณ์
แอปพริเคชันควบคุมเอาต์พุต หลัก 2 ประเภท คือ
· ตรวจสอบผลการประมวลผลโดย
· รายชื่อกิจกรรม (หรือหลักฐาน)
อ้างอิง
เอกสารประกอบการเรียนวิชาระบบสารสนเทศทางการบัญชี มหาวิทยาลัยเทคโนโลยีราชมงคลสุวรรณภูมิ ศูนย์สุพรรณบุรี
Comments