510 likes | 863 Vues
ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต. บทที่ 2 พื้นฐาน IT Audit. เนื้อหาคำบรรยาย. การควบคุมภายใน ประเด็นสำคัญในการตรวจสอบ ประเภทของการตรวจสอบไอที ใช้ไอทีในการปฏิบัติงาน. นิยาม IT Auditing. ประเมินการควบคุมที่ใช้กับทรัพยากรไอทีของหน่วยงาน
E N D
ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต บทที่ 2 พื้นฐาน IT Audit
เนื้อหาคำบรรยาย • การควบคุมภายใน • ประเด็นสำคัญในการตรวจสอบ • ประเภทของการตรวจสอบไอที • ใช้ไอทีในการปฏิบัติงาน
นิยาม IT Auditing • ประเมินการควบคุมที่ใช้กับทรัพยากรไอทีของหน่วยงาน • ขอบเขตประกอบด้วย ฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย ข้อมูลและสารสนเทศ • จัดทำรายงานเกี่ยวกับระบบสารสนเทศ ระเบียบวิธีปฏิบัติ และ การปฏิบัติงานจริงของหน่วยงาน • To ensure the productivity, usefulness and availability of the IT systems that serve organizations
ความแตกต่างระหว่างการตรวจสอบ IT และการตรวจสอบด้านการเงิน • การตรวจสอบด้านการเงินจะตรวจสอบการควบคุมว่าพอเพียงที่จะไม่ต้องทดสอบกระบวนการที่ถูกควบคุมนั้นหรือไม่ • การตรวจสอบด้าน IT เน้นในการพิจารณากำหนดความเสี่ยงซึ่งเกี่ยวข้องกับทรัพย์สินสารสนเทศและการประเมินการควบคุมที่เกี่ยวข้องว่าพอเพียงที่จะลดความเสี่ยง หรือ บรรเทาปัญหาความเสี่ยงเหล่านั้นได้หรือไม่
ประเด็นสำคัญสามเรื่องในงาน IT Audit • การตรวจสอบ IT ทั่วไป (General IT Audit) ครอบคลุมถึงเรื่อง • ฮาร์ดแวร์ระบบปฏิบัติการ โครงสร้างพื้นฐานเครือข่าย และ ความมั่นคงปลอดภัย • การตรวจสอบงานประยุกต์ (Application Audit) ครอบคลุมถึงเรื่อง • การตรวจสอบการควบคุมที่เกี่ยวข้องกับซอฟต์แวร์สำเร็จ ซอฟต์แวร์ที่พัฒนาขึ้นใช้เอง และ ฐานข้อมูล • การตรวจสอบการดำเนินงานโครงการ (Project Progress)
ประเด็นสำคัญในการตรวจสอบ IT • ความลับ (Confidentiality) – ข้อมูลจะเข้าถึงเพื่อใช้งานได้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น • ความถูกต้อง (Integrity) – ข้อมูลมีความน่าเชื่อถือ แม่นยำ และเป็นปัจจุบัน • ความพร้อมใช้ (Availability) – การใช้ทรัพย์สิน IT เพื่อปฏิบัติการให้เป็นไปตามข้อตกลงระดับการให้บริการ (Service Level Agreement = SLA) • เรานิยมเรียกประเด็นเหล่านี้ย่อ ๆ ว่า CIA
การควบคุมภายใน (Internal Controls) • การตรวจสอบปกติเน้นการประเมินการควบคุมภายใน • การควบคุมภายในทางด้านการเงินช่วยป้องกันการฉ้อฉลและความผิดพลาด • การตรวจสอบด้านการเงินช่วยแสดงให้บุคคลภายนอกทราบว่าหน่วยงานมีการควบคุมที่เพียงพอมากน้อยแค่ไหน รายงานนี้เป็นความเห็นที่ผู้ตรวจสอบมีเกี่ยวกับการควบคุมที่สังเกตพล และข้อเสนอแนะว่าจะทำให้การควบคุมมีความเข้มงวดขึ้นได้อย่างไร
ประเด็นที่เกี่ยวกับการควบคุม IT • การควบคุมไอทีเป็นกระบวนการที่ช่วยสร้างความมั่นใจในด้านสารสนเทศและด้านบริการสารสนเทศ และช่วยในการบรรเทาปัญหาที่เกิดกับการใช้ไอที • องค์ประกอบสองด้านที่ต้องคำนึงถึง • การทำให้การควบคุมธุรกิจเป็นงานอัตโนมัติ • การควบคุมไอที http://www.theiia.org/guidance/technology/gtag/gtag1/
ทำความเข้าใจการควบคุมทำความเข้าใจการควบคุม • แบ่งตามงานที่ควบคุม • การควบคุมทั่วไป • การควบคุมงานประยุกต์ • แบ่งตามวิธีการควบคุม • เชิงป้องกัน • เชิงตรวจจับ • เชิงแก้ไข • แบ่งตามการจัดการ • การควบคุมในงานธรรมาภิบาล • การควบคุมในงานจัดการ • การควบคุมในงานเทคนิค http://www.theiia.org/guidance/technology/gtag/gtag1/
ลำดับชั้นของการตรวจสอบลำดับชั้นของการตรวจสอบ http://www.theiia.org/guidance/technology/gtag/gtag1/
ความสำคัญของการควบคุมไอทีความสำคัญของการควบคุมไอที • ความจำเป็นในการควบคุม ได้แก่ • การควบคุมค่าใช้จ่าย • การปกป้องทรัพย์สินสารสนเทศ • การปฏิบัติตามกฎหมาย • การจัดให้มีการควบคุมไอทีที่มี • ประสิทธิผลช่วยปรับปรุงประสิทธิภาพ ความน่าเชื่อถือความยืดหยุ่น และ การมีหลักฐานเพื่อประกันความมั่นใจ http://www.theiia.org/guidance/technology/gtag/gtag1/
บทบาทและความรับผิดชอบบทบาทและความรับผิดชอบ • ฝ่ายบริหาร ตระหนักถึงความจำเป็นที่ต้องมีการควบคุม กำหนด อนุมัติ และ จัดให้มีการควบคุมอย่างจริงจัง • ผู้ตรวจสอบ • ผู้ตรวจสอบภายในสร้างความมั่นใจในการควบคุม • ผู้ตรวจสอบภายนอก เช่น คตป สอบทานเป็นระยะ ๆ http://www.theiia.org/guidance/technology/gtag/gtag1/
ตรวจสอบโดยอิงความเสี่ยงตรวจสอบโดยอิงความเสี่ยง • วิเคราะห์ความเสี่ยง • กำหนดจำแนกความเสี่ยง • ใช้ความเสี่ยงเป็นตัวกำหนดความพอเพียงของการควบคุมไอที • กำหนดกลยุทธ์ในการบรรเทาความเสี่ยง เช่น การยอมรับ การลดความเสี่ยง การควบคุมความเสี่ยง และ การบรรเทาความเสี่ยง • กำหนดระดับพื้นฐานของการควบคุมไอที http://www.theiia.org/guidance/technology/gtag/gtag1/
การกำกับดูแลและเทคนิคการกำกับดูแลและเทคนิค • การกำกับดูแลและการประเมินการควบคุมไอที • เลือกกรอบการควบคุม • ใช้วิธีการตรวจสอบที่เหมาะสม • กำกับดูแลอย่างต่อเนื่อง การทบทวนตรวจสอบกรณีพิเศษ การตรวจสอบโดยอัตโนมัติอย่างต่อเนื่อง http://www.theiia.org/guidance/technology/gtag/gtag1/
การประเมิน • การประเมินการควบคุมไอทีเป็นกระบวนการที่ต้องทำอย่างต่อเนื่อง เพราะว่าการปฏิบัติงานในหน่วยงานมีการเปลี่ยนแปลงตลอดเวลา • เทคโนโลยีเปลี่ยนแปลงตลอดเวลา • ภัยคุกคามยังคงเกิดขึ้นเมื่อมีช่องโหว่ใหม่ ๆ เกิดขึ้นในงานไอที • วิธีการตรวจสอบก็ได้รับการปรับปรุงอยู่เสมอ http://www.theiia.org/guidance/technology/gtag/gtag1/
ประเภทของ IT Audits • ความเหมาะสมของระบบและการประยุกต์ – ตรวจสอบว่าระบบไอทีที่ใช้นั้นเหมาะสมกับความต้องการใช้ในหน่วยงาน • ความต่อเนื่องในการปฏิบัติงาน – ตรวจสอบว่าหน่วยงานสามารถปฏิบัติงานได้แม้เกิดปัญหาอุปสรรคขัดขวางเช่น เกิดอุบัติภัย • การพัฒนาระบบ – ตรวจสอบว่าการพัฒนาซอฟต์แวร์ตรงกับข้อกำหนดภายในและกฎเกณฑ์ที่เป็นที่ยอมรับโดยทั่วไปในการพัฒนาระบบ
Entry Controls Digital Signatures ประเภทของ IT Audits (ต่อ) • โครงสร้างการจัดการ ITทบทวนการปฏิบัติงานและกระบวนการจัดการ IT • โครงสร้างพื้นฐานเครือข่าย ทบทวนว่ามีการควบคุมตลอดทั่วสิ่งแวดล้อมเครือข่าย รวมทั้งความมั่นคงของระบบ อุปกรณ์ และ การต่อเชื่อม
วิธีการตรวจสอบไอที • อาจตรวจสอบเป็นเรื่องหนึ่งแยกต่างหาก หรือ • อาจตรวจสอบร่วมกับการตรวจสอบด้านการเงิน หรือ การตรวจสอบ performance ของหน่วยงาน
การตรวจสอบไอที ช่วยการตรวจสอบด้านอื่น • ถ้าเราตรวจสอบไอทีพร้อมกับตรวจสอบการเงิน ผลการตรวจสอบจะสนับสนุนกันและกันให้มีความน่าเชื่อถือขึ้น • การตรวจสอบด้านการเงินทำให้เห็นประเด็นที่น่าห่วงเกี่ยวกับเรื่องไอที ส่วนการตรวจสอบไอทีก็ช่วยประเมินการควบคุมที่มีผลต่อด้านการเงิน • ถ้าตรวจสอบแยกกันเป็นสองทีม ทั้งสองทีมควรแลกเปลี่ยนข้อมูลและสารสนเทศกัน
องค์ประกอบของ IT Audit • วางแผน • ลงพื้นที่และสำรวจเอกสาร • ค้นพบประเด็นปัญหาและทบทวนความถูกต้อง • พัฒนาแนวทางแก้ปัญหา • จัดทำรายงานและส่งให้ผู้บริหาร • ติดตามประเด็นปัญหา และ ติดตามผลการดำเนินงานหลังการตรวจสอบ
การวางแผน • ทบทวนข้อกำหนดความต้องการในการตรวจสอบซึ่งระบุว่าจะตรวจสอบประเภทใด และ ระดับใด • ประเมินการควบคุมภายในที่ต้องตรวจสอบ • กำหนดว่าจะต้องรายงานอะไรบ้าง และจัดทำรายการตรวจสอบและเครื่องมือที่จะใช้ในการตรวจสอบ • จัดทำกำหนดเวลา และ พิจารณาว่าจะต้องสัมภาษณ์ใครบ้าง
งานลงพื้นที่และตรวจสอบเอกสารงานลงพื้นที่และตรวจสอบเอกสาร • บันทึกสารสนเทศต่าง ๆ ที่ให้ข้อมูลที่เกี่ยวข้องกับงานที่ตรวจสอบ และ ที่เป็นบันทึกประวัติการทำงานซึ่งช่วยให้เห็นกิจกรรมและข้อค้นพบ • สัมภาษณ์ผู้เกี่ยวข้องและทบทวนส่วนประกอบของระบบ • ประเมินกิจกรรมเท่าที่จะเป็นเพื่อให้สามารถลงลึกถึงเรื่องที่น่ากังวลได้ • ทบทวนงานของผู้ให้บริการหรือผู้จำหน่ายผลิตภัณฑ์ภายนอกเท่าที่จำเป็น
Discovery, Validation, and Solution Development • ทบทวนสิ่งที่พบกับผู้รับการตรวจเพื่อพิจารณาความสมเหตุสมผลของสิ่งที่สังเกตพบและหารือเกี่ยวกับเรื่องนั้น ๆ • เสนอแนวทางแก้ไขปัญหาเรื่องที่สามารถแก้ไขได้ทันที หรือ เรื่องที่อาจจะปรับรูปแบบได้ใหม่ • ในกรณีที่เป็นไปได้ ควรทำงานร่วมกับพนักงานไอทีเพื่อต่อรองการเปลี่ยนแปลงที่จะทำให้เกิดการควบคุมตามที่ต้องการ
การทำรายงาน • จัดเตรียมร่างแสดงความเห็นเกี่ยวกับเรื่องที่ค้นพบ • ทบทวนร่างที่เขียนกับเพื่อน ๆ • จัดทำรายงานร่างสุดท้ายเพื่อนำเสนอให้ลูกค้าและบุคคลภายนอก • เนื้อหาควรครอบคลุมถึง • ขอบเขตของการตรวจสอบ • บทสรุปสำหรับผู้บริหาร • รายการปัญหาและแนวทางปฏิบัติ
การติดตามการแก้ไขหลังการตรวจสอบการติดตามการแก้ไขหลังการตรวจสอบ • ในกรณีที่เป็นไปได้ ให้สนับสนุนพนักงานไอทีในการแก้ไขปัญหา • จัดทำกำหนดการทบทวนผลการแก้ไขปัญหา • กำหนดนโยบายสำหรับการรายงานการแก้ไขและการควบคุมที่ไม่เหมาะสม
ขอบเขตกว้าง ๆ ของการตรวจสอบไอที • การควบคุมขั้นต้น • การดำเนินการของศูนย์ไอที • โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์ • ระบบไร้สายและบริการโมไบล์ • ระบบปฏิบัติการ • ฐานข้อมูลและระบบสารสนเทศ • เว็บไซต์และการสื่อสารข้อมูลลงเว็บ • การดำเนินงานโครงการ
การควบคุมขั้นต้น • ลักษณะและท่าทีของการใช้ไอทีของหน่วยงาน • ผู้บริหารสนใจในเรื่องการควบคุม การวางแผนกลยุทธ์ ทิศทาง งบประมาณ ฯลฯ • หน่วยงานมีนโยบายทั่วไปเกี่ยวกับการใช้ไอที • การวัดผลการประเมินความเสี่ยง ธรรมาภิบาลด้านไอทีและ การปฏิบัติตามกฎระเบียบข้อบังคับ และ นโยบายด้านการซื้อไลเซนส์การใช้ซอฟต์แวร์
การดำเนินงานของศูนย์ไอทีการดำเนินงานของศูนย์ไอที • เงื่อนไขทางด้านกายภาพ และสิ่งแวดล้อม • ความมั่นคงทางกายภาพ ระบบพลังงาน ภัยคุกคามจากมนุษย์ และธรรมชาติ บริการยามฉุกเฉิน • การวางแผนสมรรถนะ และความพร้อมให้บริการ • การกู้ระบบการสำรองทั้งใน และนอกสถานที่ตั้ง • การวางแผนการกู้ระบบ และการวางแผนปฏิบัติงานอย่างต่อเนื่อง
โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์ • อุปกรณ์ต่าง ๆ เช่น เราเตอร์ สวิตช์ ไฟร์วอลล์ และอุปกรณ์อื่น ๆ พร้อมงานประยุกต์ • การประเมินโครงแบบระบบ (Configuration) และการกู้ระบบ • ความมั่นคง และการกำกับดูแล • ความมั่นคงทางกายภาพ • การวิเคราะห์ระบบการตรวจจับ
ระบบไร้สาย และบริการโมไบล์ • ประเมินระบบเครือข่ายสนับสนุนงานโมไบล์ และการกำหนดนโยบาย สถานภาพ และวิธีการเข้ารหัสลับสำหรับงานโมไบล์ • สอบทานวิธีการเข้าถึง และความมั่นคง • ประเมินจุดให้บริการ และความพอเพียงของสัญญาณ
ระบบปฏิบัติการ • การเลือก และบริหารระบบปฏิบัติการ • การจัดการระบบแพทช์ (การซ่อมแซมโปรแกรม) • นโยบาย และการบริหารความมั่นคง • นโยบายกลุ่ม การบริหารรหัสผ่าน การบริหารการแบ่งกันใช้ข้อมูล • การปิดกั้นการให้บริการ ไม่ยอมให้งานบริการที่ไม่จำเป็น • ลักษณะการบันทึกการใช้งานและการประเมินการใช้งาน
ฐานข้อมูลและระบบสารสนเทศฐานข้อมูลและระบบสารสนเทศ • การประเมินงานประยุกต์ประกอบด้วย การตรวจสอบสิทธิ์ในการใช้ (license) การใช้งาน และการปรับให้เป็นปัจจุบัน (update) • การวิเคราะห์เครื่องบริการฐานข้อมูล (Database server) เช่น การตรวจสอบความมั่นคง สมรรถนะ และการใช้งาน • การตรวจสอบเว็บและการประยุกต์อิงอินเทอร์เน็ต เช่น การบันทึกการใช้งานและความมั่นคง • การตรวจสอบการฝึกอบรมผู้ใช้ทางด้านการใช้อินเทอร์เน็ต และอีเมล
โครงการของหน่วยงาน • ตรวจสอบกระบวนการรวบรวมข้อกำหนดความต้องการของระบบใหม่ • ตรวจสอบเอกสารของระบบและการจัดการความเปลี่ยนแปลง • พิจารณากำหนดเวลาดำเนินการ งบประมาณ และรายงานในโครงการว่าสอดคล้องน่าเชื่อหรือไม่ • ประเมินการทดสอบโครงการ และการวางแผนความมั่นคง
ประเด็นระดับสูงที่ควรพิจารณาประเด็นระดับสูงที่ควรพิจารณา • มีอยู่หลายเรื่องด้วยกัน เช่น • มีการถอดโปรแกรมที่ไม่ต้องการใช้ และทดแทนด้วยโปรแกรมใหม่อย่างพอเพียง • การทำรายงานเกี่ยวกับซอฟต์แวร์ และ License • การจัดการของคณะทำงานทบทวนการขอเปลี่ยนแปลงข้อกำหนด (Change Review Board = CRB) • ประสบการณ์ และความเชี่ยวชาญของพนักงานSt • ภาวะคุกคาม การละเมิดแผนการกู้ระบบจากภัยพิบัติ และความสามารถในการดำเนินงาน
IT Audit vs IT Assessment • ปัจจุบันรัฐวิสาหกิจไทยได้รับการประเมินการบริหารจัดการองค์การด้านการบริหารจัดการเทคโนโลยี (ปี 2554 อาจแตกต่างไป) • การประเมินลักษณะนี้ไม่ใช่การตรวจสอบไอที แต่เป็นการประเมินว่ารัฐวิสาหกิจได้ใช้ไอทีเพื่อพัฒนางานต่าง ๆ ขององค์การให้มีประสิทธิภาพ และประสิทธิผลหรือไม่ • การตรวจสอบไอที มุ่งตรวจสอบว่างานไอทีขององค์การมีความเสี่ยงหรือไม่ และหน่วยงานได้มีการจัดระบบควบคุมด้านไอทีอย่างพอเพียงซึ่งจะทำให้ความเสี่ยงไม่กลายเป็นปัญหาหรือไม่
สรุป • การตรวจสอบไอทีมีความจำเป็นต่อหน่วยงานทุกแห่ง (ทั้งภาครัฐ และเอกชน) เพราะปัจจุบันหน่วยงานจำเป็นต้องใช้ไอทีเป็นเครื่องมือสำคัญในการปฏิบัติงาน และบริหารจัดการ หากระบบไอทีมีปัญหา หน่วยงานอาจได้รับผลกระทบอย่างรุนแรงจนถึงกับไม่สามารถปฏิบัติงานได้ ส่งผลให้เกิดปัญหาอื่น ๆ ตามมาเป็นลูกโซ่