1 / 37

บทที่ 2 พื้นฐาน IT Audit

ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต. บทที่ 2 พื้นฐาน IT Audit. เนื้อหาคำบรรยาย. การควบคุมภายใน ประเด็นสำคัญในการตรวจสอบ ประเภทของการตรวจสอบไอที ใช้ไอทีในการปฏิบัติงาน. นิยาม IT Auditing. ประเมินการควบคุมที่ใช้กับทรัพยากรไอทีของหน่วยงาน

owen
Télécharger la présentation

บทที่ 2 พื้นฐาน IT Audit

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต บทที่ 2 พื้นฐาน IT Audit

  2. เนื้อหาคำบรรยาย • การควบคุมภายใน • ประเด็นสำคัญในการตรวจสอบ • ประเภทของการตรวจสอบไอที • ใช้ไอทีในการปฏิบัติงาน

  3. นิยาม IT Auditing • ประเมินการควบคุมที่ใช้กับทรัพยากรไอทีของหน่วยงาน • ขอบเขตประกอบด้วย ฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย ข้อมูลและสารสนเทศ • จัดทำรายงานเกี่ยวกับระบบสารสนเทศ ระเบียบวิธีปฏิบัติ และ การปฏิบัติงานจริงของหน่วยงาน • To ensure the productivity, usefulness and availability of the IT systems that serve organizations

  4. ความแตกต่างระหว่างการตรวจสอบ IT และการตรวจสอบด้านการเงิน • การตรวจสอบด้านการเงินจะตรวจสอบการควบคุมว่าพอเพียงที่จะไม่ต้องทดสอบกระบวนการที่ถูกควบคุมนั้นหรือไม่ • การตรวจสอบด้าน IT เน้นในการพิจารณากำหนดความเสี่ยงซึ่งเกี่ยวข้องกับทรัพย์สินสารสนเทศและการประเมินการควบคุมที่เกี่ยวข้องว่าพอเพียงที่จะลดความเสี่ยง หรือ บรรเทาปัญหาความเสี่ยงเหล่านั้นได้หรือไม่

  5. ประเด็นสำคัญสามเรื่องในงาน IT Audit • การตรวจสอบ IT ทั่วไป (General IT Audit) ครอบคลุมถึงเรื่อง • ฮาร์ดแวร์ระบบปฏิบัติการ โครงสร้างพื้นฐานเครือข่าย และ ความมั่นคงปลอดภัย • การตรวจสอบงานประยุกต์ (Application Audit) ครอบคลุมถึงเรื่อง • การตรวจสอบการควบคุมที่เกี่ยวข้องกับซอฟต์แวร์สำเร็จ ซอฟต์แวร์ที่พัฒนาขึ้นใช้เอง และ ฐานข้อมูล • การตรวจสอบการดำเนินงานโครงการ (Project Progress)

  6. ประเด็นสำคัญในการตรวจสอบ IT • ความลับ (Confidentiality) – ข้อมูลจะเข้าถึงเพื่อใช้งานได้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น • ความถูกต้อง (Integrity) – ข้อมูลมีความน่าเชื่อถือ แม่นยำ และเป็นปัจจุบัน • ความพร้อมใช้ (Availability) – การใช้ทรัพย์สิน IT เพื่อปฏิบัติการให้เป็นไปตามข้อตกลงระดับการให้บริการ (Service Level Agreement = SLA) • เรานิยมเรียกประเด็นเหล่านี้ย่อ ๆ ว่า CIA

  7. การควบคุมภายใน (Internal Controls) • การตรวจสอบปกติเน้นการประเมินการควบคุมภายใน • การควบคุมภายในทางด้านการเงินช่วยป้องกันการฉ้อฉลและความผิดพลาด • การตรวจสอบด้านการเงินช่วยแสดงให้บุคคลภายนอกทราบว่าหน่วยงานมีการควบคุมที่เพียงพอมากน้อยแค่ไหน รายงานนี้เป็นความเห็นที่ผู้ตรวจสอบมีเกี่ยวกับการควบคุมที่สังเกตพล และข้อเสนอแนะว่าจะทำให้การควบคุมมีความเข้มงวดขึ้นได้อย่างไร

  8. ประเด็นที่เกี่ยวกับการควบคุม IT • การควบคุมไอทีเป็นกระบวนการที่ช่วยสร้างความมั่นใจในด้านสารสนเทศและด้านบริการสารสนเทศ และช่วยในการบรรเทาปัญหาที่เกิดกับการใช้ไอที • องค์ประกอบสองด้านที่ต้องคำนึงถึง • การทำให้การควบคุมธุรกิจเป็นงานอัตโนมัติ • การควบคุมไอที http://www.theiia.org/guidance/technology/gtag/gtag1/

  9. ทำความเข้าใจการควบคุมทำความเข้าใจการควบคุม • แบ่งตามงานที่ควบคุม • การควบคุมทั่วไป • การควบคุมงานประยุกต์ • แบ่งตามวิธีการควบคุม • เชิงป้องกัน • เชิงตรวจจับ • เชิงแก้ไข • แบ่งตามการจัดการ • การควบคุมในงานธรรมาภิบาล • การควบคุมในงานจัดการ • การควบคุมในงานเทคนิค http://www.theiia.org/guidance/technology/gtag/gtag1/

  10. ลำดับชั้นของการตรวจสอบลำดับชั้นของการตรวจสอบ http://www.theiia.org/guidance/technology/gtag/gtag1/

  11. ความสำคัญของการควบคุมไอทีความสำคัญของการควบคุมไอที • ความจำเป็นในการควบคุม ได้แก่ • การควบคุมค่าใช้จ่าย • การปกป้องทรัพย์สินสารสนเทศ • การปฏิบัติตามกฎหมาย • การจัดให้มีการควบคุมไอทีที่มี • ประสิทธิผลช่วยปรับปรุงประสิทธิภาพ ความน่าเชื่อถือความยืดหยุ่น และ การมีหลักฐานเพื่อประกันความมั่นใจ http://www.theiia.org/guidance/technology/gtag/gtag1/

  12. บทบาทและความรับผิดชอบบทบาทและความรับผิดชอบ • ฝ่ายบริหาร ตระหนักถึงความจำเป็นที่ต้องมีการควบคุม กำหนด อนุมัติ และ จัดให้มีการควบคุมอย่างจริงจัง • ผู้ตรวจสอบ • ผู้ตรวจสอบภายในสร้างความมั่นใจในการควบคุม • ผู้ตรวจสอบภายนอก เช่น คตป สอบทานเป็นระยะ ๆ http://www.theiia.org/guidance/technology/gtag/gtag1/

  13. ตรวจสอบโดยอิงความเสี่ยงตรวจสอบโดยอิงความเสี่ยง • วิเคราะห์ความเสี่ยง • กำหนดจำแนกความเสี่ยง • ใช้ความเสี่ยงเป็นตัวกำหนดความพอเพียงของการควบคุมไอที • กำหนดกลยุทธ์ในการบรรเทาความเสี่ยง เช่น การยอมรับ การลดความเสี่ยง การควบคุมความเสี่ยง และ การบรรเทาความเสี่ยง • กำหนดระดับพื้นฐานของการควบคุมไอที http://www.theiia.org/guidance/technology/gtag/gtag1/

  14. การกำกับดูแลและเทคนิคการกำกับดูแลและเทคนิค • การกำกับดูแลและการประเมินการควบคุมไอที • เลือกกรอบการควบคุม • ใช้วิธีการตรวจสอบที่เหมาะสม • กำกับดูแลอย่างต่อเนื่อง การทบทวนตรวจสอบกรณีพิเศษ การตรวจสอบโดยอัตโนมัติอย่างต่อเนื่อง http://www.theiia.org/guidance/technology/gtag/gtag1/

  15. การประเมิน • การประเมินการควบคุมไอทีเป็นกระบวนการที่ต้องทำอย่างต่อเนื่อง เพราะว่าการปฏิบัติงานในหน่วยงานมีการเปลี่ยนแปลงตลอดเวลา • เทคโนโลยีเปลี่ยนแปลงตลอดเวลา • ภัยคุกคามยังคงเกิดขึ้นเมื่อมีช่องโหว่ใหม่ ๆ เกิดขึ้นในงานไอที • วิธีการตรวจสอบก็ได้รับการปรับปรุงอยู่เสมอ http://www.theiia.org/guidance/technology/gtag/gtag1/

  16. ประเภทของ IT Audits • ความเหมาะสมของระบบและการประยุกต์ – ตรวจสอบว่าระบบไอทีที่ใช้นั้นเหมาะสมกับความต้องการใช้ในหน่วยงาน • ความต่อเนื่องในการปฏิบัติงาน – ตรวจสอบว่าหน่วยงานสามารถปฏิบัติงานได้แม้เกิดปัญหาอุปสรรคขัดขวางเช่น เกิดอุบัติภัย • การพัฒนาระบบ – ตรวจสอบว่าการพัฒนาซอฟต์แวร์ตรงกับข้อกำหนดภายในและกฎเกณฑ์ที่เป็นที่ยอมรับโดยทั่วไปในการพัฒนาระบบ

  17. Entry Controls Digital Signatures ประเภทของ IT Audits (ต่อ) • โครงสร้างการจัดการ ITทบทวนการปฏิบัติงานและกระบวนการจัดการ IT • โครงสร้างพื้นฐานเครือข่าย ทบทวนว่ามีการควบคุมตลอดทั่วสิ่งแวดล้อมเครือข่าย รวมทั้งความมั่นคงของระบบ อุปกรณ์ และ การต่อเชื่อม

  18. วิธีการตรวจสอบไอที • อาจตรวจสอบเป็นเรื่องหนึ่งแยกต่างหาก หรือ • อาจตรวจสอบร่วมกับการตรวจสอบด้านการเงิน หรือ การตรวจสอบ performance ของหน่วยงาน

  19. การตรวจสอบไอที ช่วยการตรวจสอบด้านอื่น • ถ้าเราตรวจสอบไอทีพร้อมกับตรวจสอบการเงิน ผลการตรวจสอบจะสนับสนุนกันและกันให้มีความน่าเชื่อถือขึ้น • การตรวจสอบด้านการเงินทำให้เห็นประเด็นที่น่าห่วงเกี่ยวกับเรื่องไอที ส่วนการตรวจสอบไอทีก็ช่วยประเมินการควบคุมที่มีผลต่อด้านการเงิน • ถ้าตรวจสอบแยกกันเป็นสองทีม ทั้งสองทีมควรแลกเปลี่ยนข้อมูลและสารสนเทศกัน

  20. องค์ประกอบของ IT Audit • วางแผน • ลงพื้นที่และสำรวจเอกสาร • ค้นพบประเด็นปัญหาและทบทวนความถูกต้อง • พัฒนาแนวทางแก้ปัญหา • จัดทำรายงานและส่งให้ผู้บริหาร • ติดตามประเด็นปัญหา และ ติดตามผลการดำเนินงานหลังการตรวจสอบ

  21. การวางแผน • ทบทวนข้อกำหนดความต้องการในการตรวจสอบซึ่งระบุว่าจะตรวจสอบประเภทใด และ ระดับใด • ประเมินการควบคุมภายในที่ต้องตรวจสอบ • กำหนดว่าจะต้องรายงานอะไรบ้าง และจัดทำรายการตรวจสอบและเครื่องมือที่จะใช้ในการตรวจสอบ • จัดทำกำหนดเวลา และ พิจารณาว่าจะต้องสัมภาษณ์ใครบ้าง

  22. งานลงพื้นที่และตรวจสอบเอกสารงานลงพื้นที่และตรวจสอบเอกสาร • บันทึกสารสนเทศต่าง ๆ ที่ให้ข้อมูลที่เกี่ยวข้องกับงานที่ตรวจสอบ และ ที่เป็นบันทึกประวัติการทำงานซึ่งช่วยให้เห็นกิจกรรมและข้อค้นพบ • สัมภาษณ์ผู้เกี่ยวข้องและทบทวนส่วนประกอบของระบบ • ประเมินกิจกรรมเท่าที่จะเป็นเพื่อให้สามารถลงลึกถึงเรื่องที่น่ากังวลได้ • ทบทวนงานของผู้ให้บริการหรือผู้จำหน่ายผลิตภัณฑ์ภายนอกเท่าที่จำเป็น

  23. Discovery, Validation, and Solution Development • ทบทวนสิ่งที่พบกับผู้รับการตรวจเพื่อพิจารณาความสมเหตุสมผลของสิ่งที่สังเกตพบและหารือเกี่ยวกับเรื่องนั้น ๆ • เสนอแนวทางแก้ไขปัญหาเรื่องที่สามารถแก้ไขได้ทันที หรือ เรื่องที่อาจจะปรับรูปแบบได้ใหม่ • ในกรณีที่เป็นไปได้ ควรทำงานร่วมกับพนักงานไอทีเพื่อต่อรองการเปลี่ยนแปลงที่จะทำให้เกิดการควบคุมตามที่ต้องการ

  24. การทำรายงาน • จัดเตรียมร่างแสดงความเห็นเกี่ยวกับเรื่องที่ค้นพบ • ทบทวนร่างที่เขียนกับเพื่อน ๆ • จัดทำรายงานร่างสุดท้ายเพื่อนำเสนอให้ลูกค้าและบุคคลภายนอก • เนื้อหาควรครอบคลุมถึง • ขอบเขตของการตรวจสอบ • บทสรุปสำหรับผู้บริหาร • รายการปัญหาและแนวทางปฏิบัติ

  25. การติดตามการแก้ไขหลังการตรวจสอบการติดตามการแก้ไขหลังการตรวจสอบ • ในกรณีที่เป็นไปได้ ให้สนับสนุนพนักงานไอทีในการแก้ไขปัญหา • จัดทำกำหนดการทบทวนผลการแก้ไขปัญหา • กำหนดนโยบายสำหรับการรายงานการแก้ไขและการควบคุมที่ไม่เหมาะสม

  26. ขอบเขตกว้าง ๆ ของการตรวจสอบไอที • การควบคุมขั้นต้น • การดำเนินการของศูนย์ไอที • โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์ • ระบบไร้สายและบริการโมไบล์ • ระบบปฏิบัติการ • ฐานข้อมูลและระบบสารสนเทศ • เว็บไซต์และการสื่อสารข้อมูลลงเว็บ • การดำเนินงานโครงการ

  27. การควบคุมขั้นต้น • ลักษณะและท่าทีของการใช้ไอทีของหน่วยงาน • ผู้บริหารสนใจในเรื่องการควบคุม การวางแผนกลยุทธ์ ทิศทาง งบประมาณ ฯลฯ • หน่วยงานมีนโยบายทั่วไปเกี่ยวกับการใช้ไอที • การวัดผลการประเมินความเสี่ยง ธรรมาภิบาลด้านไอทีและ การปฏิบัติตามกฎระเบียบข้อบังคับ และ นโยบายด้านการซื้อไลเซนส์การใช้ซอฟต์แวร์

  28. การดำเนินงานของศูนย์ไอทีการดำเนินงานของศูนย์ไอที • เงื่อนไขทางด้านกายภาพ และสิ่งแวดล้อม • ความมั่นคงทางกายภาพ ระบบพลังงาน ภัยคุกคามจากมนุษย์ และธรรมชาติ บริการยามฉุกเฉิน • การวางแผนสมรรถนะ และความพร้อมให้บริการ • การกู้ระบบการสำรองทั้งใน และนอกสถานที่ตั้ง • การวางแผนการกู้ระบบ และการวางแผนปฏิบัติงานอย่างต่อเนื่อง

  29. โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์ • อุปกรณ์ต่าง ๆ เช่น เราเตอร์ สวิตช์ ไฟร์วอลล์ และอุปกรณ์อื่น ๆ พร้อมงานประยุกต์ • การประเมินโครงแบบระบบ (Configuration) และการกู้ระบบ • ความมั่นคง และการกำกับดูแล • ความมั่นคงทางกายภาพ • การวิเคราะห์ระบบการตรวจจับ

  30. ระบบไร้สาย และบริการโมไบล์ • ประเมินระบบเครือข่ายสนับสนุนงานโมไบล์ และการกำหนดนโยบาย สถานภาพ และวิธีการเข้ารหัสลับสำหรับงานโมไบล์ • สอบทานวิธีการเข้าถึง และความมั่นคง • ประเมินจุดให้บริการ และความพอเพียงของสัญญาณ

  31. ระบบปฏิบัติการ • การเลือก และบริหารระบบปฏิบัติการ • การจัดการระบบแพทช์ (การซ่อมแซมโปรแกรม) • นโยบาย และการบริหารความมั่นคง • นโยบายกลุ่ม การบริหารรหัสผ่าน การบริหารการแบ่งกันใช้ข้อมูล • การปิดกั้นการให้บริการ ไม่ยอมให้งานบริการที่ไม่จำเป็น • ลักษณะการบันทึกการใช้งานและการประเมินการใช้งาน

  32. ฐานข้อมูลและระบบสารสนเทศฐานข้อมูลและระบบสารสนเทศ • การประเมินงานประยุกต์ประกอบด้วย การตรวจสอบสิทธิ์ในการใช้ (license) การใช้งาน และการปรับให้เป็นปัจจุบัน (update) • การวิเคราะห์เครื่องบริการฐานข้อมูล (Database server) เช่น การตรวจสอบความมั่นคง สมรรถนะ และการใช้งาน • การตรวจสอบเว็บและการประยุกต์อิงอินเทอร์เน็ต เช่น การบันทึกการใช้งานและความมั่นคง • การตรวจสอบการฝึกอบรมผู้ใช้ทางด้านการใช้อินเทอร์เน็ต และอีเมล

  33. โครงการของหน่วยงาน • ตรวจสอบกระบวนการรวบรวมข้อกำหนดความต้องการของระบบใหม่ • ตรวจสอบเอกสารของระบบและการจัดการความเปลี่ยนแปลง • พิจารณากำหนดเวลาดำเนินการ งบประมาณ และรายงานในโครงการว่าสอดคล้องน่าเชื่อหรือไม่ • ประเมินการทดสอบโครงการ และการวางแผนความมั่นคง

  34. ประเด็นระดับสูงที่ควรพิจารณาประเด็นระดับสูงที่ควรพิจารณา • มีอยู่หลายเรื่องด้วยกัน เช่น • มีการถอดโปรแกรมที่ไม่ต้องการใช้ และทดแทนด้วยโปรแกรมใหม่อย่างพอเพียง • การทำรายงานเกี่ยวกับซอฟต์แวร์ และ License • การจัดการของคณะทำงานทบทวนการขอเปลี่ยนแปลงข้อกำหนด (Change Review Board = CRB) • ประสบการณ์ และความเชี่ยวชาญของพนักงานSt • ภาวะคุกคาม การละเมิดแผนการกู้ระบบจากภัยพิบัติ และความสามารถในการดำเนินงาน

  35. IT Audit vs IT Assessment • ปัจจุบันรัฐวิสาหกิจไทยได้รับการประเมินการบริหารจัดการองค์การด้านการบริหารจัดการเทคโนโลยี (ปี 2554 อาจแตกต่างไป) • การประเมินลักษณะนี้ไม่ใช่การตรวจสอบไอที แต่เป็นการประเมินว่ารัฐวิสาหกิจได้ใช้ไอทีเพื่อพัฒนางานต่าง ๆ ขององค์การให้มีประสิทธิภาพ และประสิทธิผลหรือไม่ • การตรวจสอบไอที มุ่งตรวจสอบว่างานไอทีขององค์การมีความเสี่ยงหรือไม่ และหน่วยงานได้มีการจัดระบบควบคุมด้านไอทีอย่างพอเพียงซึ่งจะทำให้ความเสี่ยงไม่กลายเป็นปัญหาหรือไม่

  36. สรุป • การตรวจสอบไอทีมีความจำเป็นต่อหน่วยงานทุกแห่ง (ทั้งภาครัฐ และเอกชน) เพราะปัจจุบันหน่วยงานจำเป็นต้องใช้ไอทีเป็นเครื่องมือสำคัญในการปฏิบัติงาน และบริหารจัดการ หากระบบไอทีมีปัญหา หน่วยงานอาจได้รับผลกระทบอย่างรุนแรงจนถึงกับไม่สามารถปฏิบัติงานได้ ส่งผลให้เกิดปัญหาอื่น ๆ ตามมาเป็นลูกโซ่

  37. Thank You !

More Related