การตรวจสอบเทคโนโลยีสารสนเทศ
การตรวจสอบเทคโนโลยีสารสนเทศ หมายถึง การค้นหาหลักฐานสาหรับสิ่งผิดปกติที่เกิดขึ้นในระบบเทคโนโลยีสารสนเทศ (IT) โดยมีวัตถุประสงค์เพื่อประเมินความเพียงพอของการควบคุมภายในด้าน IT และการจัดการความเสี่ยงด้าน IT
หลักการในการตรวจสอบระบบสารสนเทศที่ถูกต้องก็ คือ ต้องมีการประเมินความเสี่ยง(Risk Assessment)
ขององค์กรเสียก่อน ซึ่งมีขั้นตอนสำคัญที่ต้องปฏิบัติ เช่น การระบุปัจจัยที่มีผลทำให้เกิดความเสี่ยง และการระบุความเสี่ยงที่มีโอกาสเกิดขึ้น(Risk Identification) การวิเคราะห์ความเสี่ยง(Risk Analysis) และการบริหารจัดการกับความเสี่ยง(Risk Management)
การตรวจสอบระบบสารสนเทศต้องพิจารณาเรื่องของ Control หรือ การควบคุม ว่าได้มีการจัดการอย่างถูกต้อง
หรือไม่ การตรวจสอบการควบคุมแบ่งออกเป็น 3 ประเภทใหญ่ๆ คือ
หรือไม่ การตรวจสอบการควบคุมแบ่งออกเป็น 3 ประเภทใหญ่ๆ คือ
1. การควบคุมแบบป้องกันล่วงหน้า(Preventive Control)
2. การควบคุมแบบค้นหาประวัติเหตุการณ์ที่เกิดขึ้น(Detective Control)
3. การควบคุมแบบแก้ไขปัญหาจากเหตุการณ์ที่เกิดขึ้น(Corrective Control)
อาชีพในการตรวจสอบระบบสารสนเทศ ผู้ตรวจสอบด้าน IT และ IS จึงจำเป็นต้องวัดความรู้ทางด้านเทคนิค
ประกอบกับความรู้ทางด้านการตรวจสอบไปด้วยกัน ในเมืองไทยมี "สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศภาคพื้นกรุงเทพ" เรียกโดยย่อยว่า ISACA-BANGKOK CHAPTER ทำการจัดสอบวัดความรู้ผู้ตรวจสอบด้าน IT&IS ซึ่งเรารู้จักกันในนาม "CISA" หรือ "Certified Information System Auditor"
ประกอบกับความรู้ทางด้านการตรวจสอบไปด้วยกัน ในเมืองไทยมี "สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศภาคพื้นกรุงเทพ" เรียกโดยย่อยว่า ISACA-BANGKOK CHAPTER ทำการจัดสอบวัดความรู้ผู้ตรวจสอบด้าน IT&IS ซึ่งเรารู้จักกันในนาม "CISA" หรือ "Certified Information System Auditor"
CISA นั้นถือกำเนิดจากองค์กรในสหรัฐอเมริกาที่ได้รับการยอมรับทั่วโลก นั่นคือ ISACA (www.isaca.org)ตั้งแต่ปี 1978 การสอบ CISA EXAM นั้น จะวัดความรู้ในเรื่อง IS Auditing, Control และ Security ขณะนี้ทั่วโลกมีผู้สอบผ่าน CISA แล้วทั้งสิ้น 29,000 คน ในปี 2545 มีผู้เข้าสอบทั่วโลกมากกว่า 10,000 คน
สำหรับในเมืองไทยขณะนี้มีจำนวนผู้สอบผ่าน CISA ยังมีไม่ถึง 100 คน จากสถิติปีที่แล้ว มีผู้สอบผ่าน 26 คน
จากผู้เข้าสอบทั้งหมด 48 คน จะเห็นได้ว่ายังมีจำนวนน้อยมาก เมื่อเทียบกับความต้องการของตลาด IT ในบ้านเรา
จากผู้เข้าสอบทั้งหมด 48 คน จะเห็นได้ว่ายังมีจำนวนน้อยมาก เมื่อเทียบกับความต้องการของตลาด IT ในบ้านเรา
ธนาคารแห่งประเทศไทย ได้นำมาตรฐานด้านการตรวจสอบของ ISACA มาใช้ ได้แก่มาตรฐาน CobiT ย่อมาจาก "Control Objective for Information and related Technology" ซึ่งขณะนี้เป็น Version 3
การพัฒนา CobiT นั้น รับผิดชอบโดย IT Governance Institute (ข้อมูลเพิ่มเติมดูได้ที่ www.itgi.org ซึ่งจะเน้นไปในเรื่องของ Business Objective กับการนำ IT มาใช้งานในองค์กรให้มีประสิทธิภาพและประสิทธิผลมุ่งสู่การเป็น "บรรษัทภิบาล"
ประสิทธิผลของการควบคุมระบบสารสนเทศ คือ การป้องกันในเชิงลึก(Defense-in-Depth) หมายถึงใช้การควบคุมหลายระดับ ซึ่งจะเพิ่มประสิทธิภาพของการควบคุม เนื่องจากถ้าการควบคุมหนึ่งล้มเหลวยังมีการควบคุมอีกอันที่ยังทำหน้าที่อยู่ เช่น การรักษาความปลอดภัยสารสนเทศจะใช้การควบคุมร่วมกันของไฟร์วอลล์(Firewall)
รหัสผ่าน(Password) และการควบคุมอื่นๆ เป็นต้น
รหัสผ่าน(Password) และการควบคุมอื่นๆ เป็นต้น
การประเมินความเสี่ยง(Risk Assessment)
การประเมินความเสี่ยง หมายถึง กระบวนการระบุความเสี่ยง การวิเคราะห์ความเสี่ยงและจัดลำดับความเสี่ยงโดยการประเมินจากโอกาสที่จะเกิด(Likelihood) และผลกระทบ(Impact)
1)โอกาสที่จะเกิด(Likelihood) หมายถึง ความถี่หรือโอกาสที่จะเกิดเหตุการณ์ ความเสี่ยง
2)ผลกระทบ(Impact) หมายถึง ขนาดความรุนแรงของความเสียหายที่จะเกิดขึ้นหากเกิด เหตุการณ์ความเสี่ยง
3)ระดับของความเสี่ยง(Degree of Risk) หมายถึง สถานะของความเสี่ยงที่ได้จากประเมินโอกาสและผลกระทบของแต่ละปัจจัยเสี่ยงแบ่งเป็น 5 ระดับ คือ สูงมาก สูง ปานกลาง น้อย และน้อยมาก
ซอฟต์แวร์ประยุกต์ใช้งานทั่วไปหรือซอฟต์แวร์สำเร็จ(package) ซอฟต์แวร์ประเภทนี้จะเป็นซอฟต์แวร์ที่เกี่ยวข้องกับงานที่มีผู้ใช้กันมาก เช่นงานประเภทจัดการเอกสาร งานจัดการด้านข้อมูล งานด้านการติดต่อสื่อสาร เป็นต้น ซึ่งงานเหล่านี้ถ้าบริษัทพัฒนาซอฟต์แวร์ขึ้นมาจำหน่ายก็จะทำให้สามารถจำหน่ายได้ เพราะมีกลุ่มผู้ใช้ที่ต้องการใช้โดยไม่ต้องเสียเวลาในการพัฒนาซอฟต์แวร์ด้วยตนเองเป็นกลุ่มลูกค้าอยู่แล้ว แต่ในขณะเดียวกันก็มีผู้พัฒนาซอฟต์แวร์กลุ่มหนึ่งพัฒนาซอฟต์แวร์ออกมาโดยไม่จำหน่ายแต่ให้ใช้กันฟรีก็มีเช่นกัน
ซอฟต์แวร์ที่ใช้งานทั่วไป คือ จะเป็นซอฟต์แวร์ที่คนทั่วไปใช้กันมาก เช่น งานประเภทจัดเอกสาร งานจัดการด้านข้อมูล งานด้านการติดต่อสื่อสาร เป็นต้น ซึ่งงานเหล่านี้ถ้าบริษัทพัฒนาซอฟต์แวร์ขึ้นมาจำหน่ายก็จะทำให้สามารถจำหน่ายได้
เพราะมีกลุ่มผู้ใช้ที่ต้องการโดยไม่ต้องเสียเวลาในการพัฒนาซอฟต์แวร์ด้วยตนเองเป็นกลุ่มลูกค้าอยู่แล้วแต่ในขณะเดียวกัน
ก็มีผู้พัฒนาซอฟต์แวร์กลุ่มหนึ่งพัฒนาออกมาโดยไม่จำหน่ายแต่ให้ใช้กันฟรีก็มีเช่นเดียวกัน
เพราะมีกลุ่มผู้ใช้ที่ต้องการโดยไม่ต้องเสียเวลาในการพัฒนาซอฟต์แวร์ด้วยตนเองเป็นกลุ่มลูกค้าอยู่แล้วแต่ในขณะเดียวกัน
ก็มีผู้พัฒนาซอฟต์แวร์กลุ่มหนึ่งพัฒนาออกมาโดยไม่จำหน่ายแต่ให้ใช้กันฟรีก็มีเช่นเดียวกัน
วัตถุประสงค์ของการตรวจสอบบัญชี มีจุดมุ่งหมาย 2 ประการ คือ การตรวจสอบการปฏิบัติตามระบบ (Compliance Test)
เป็นวิธีการที่ช่วยให้ผู้ประเมินได้ความเชื่อมั่นอย่างมีเหตุผลว่า การควบคุมภายในที่องค์กรกำหนดขึ้นนั้น ได้มีการปฏิบัติตามระบบบัญชีและการควบคุมภายในอย่างสม่ำเสมอและมีประสิทธิภาพ ซึ่งจะเป็นการเพิ่มความเชื่อมั่นให้ระบบการควบคุมภายในยิ่งขึ้น
วิธีการทดสอบการปฏิบัติตามระบบ จัดทำได้โดย
2.1 การทดสอบรายการบัญชี เป็นการตรวจดูเอกสารหลักฐานต่าง ๆ เพื่อให้แน่ใจว่าการควบคุมภายในที่กำหนดไว้ได้มีการปฏิบัติอย่างถูกต้อง กล่าวคือมีการอนุมัติรายการโดยผู้มีอำนาจก่อนการบันทึกบัญชี
2.2 การปฏิบัติงานซ้ำ เป็นการทดสอบว่าการปฏิบัติงานเป็นไปตามระบบและวิธีการปฏิบัติงานที่กำหนดไว้โดยการปฏิบัติงานซ้ำตามวิธีที่พนักงานปฏิบัติ อาจจะเป็นบางขั้นตอน หรือทั้งหมด เช่น การทดสอบระบบการรับเงินฝากเป็นต้น
2.3 การสอบถามและการสังเกตการณ์ เป็นการสังเกตดูการปฏิบัติงานจริงขณะที่พนักงานปฏิบัติงานอยู่ เพื่อดูว่ามีการละเมิดหรือละเว้นการปฏิบัติตามระบบการควบคุมภายในที่วางไว้หรือไม่ เช่น การสังเกตดูว่ามีพนักงานคนใดได้ปฏิบัติงานที่ตนไม่ได้รับมอบหมาย หรือไม่มีหน้าที่เกี่ยวข้องกับงานนั้นหรือไม่
การรับรองโดยบุคคลที่สาม การตรวจสอบบุคคลที่สามเกิดขึ้นเมื่อ บริษัท ตัดสินใจว่าพวกเขาต้องการสร้างระบบการจัดการคุณภาพ(QMS)ที่สอดคล้องกับข้อกำหนดมาตรฐานเช่น ISO 9001 และจ้าง บริษัท อิสระเพื่อทำการตรวจสอบเพื่อยืนยันว่า บริษัท ประสบความสำเร็จในความพยายามนี้ บริษัท อิสระเหล่านี้เรียกว่าหน่วยรับรองหรือผู้รับจดทะเบียนและอยู่ในธุรกิจที่ทำการตรวจสอบเพื่อเปรียบเทียบและตรวจสอบว่าระบบบริหารคุณภาพเป็นไปตามข้อกำหนดทั้งหมดของมาตรฐานที่เลือกและยังคงเป็นไปตามข้อกำหนดอย่างต่อเนื่อง พวกเขาให้การรับรองกับ บริษัท ที่พวกเขาอนุมัติ สิ่งนี้สามารถใช้เพื่อให้ลูกค้าของ บริษัท ที่ได้รับการรับรองมีความมั่นใจว่าระบบบริหารคุณภาพเป็นไปตามข้อกำหนดของมาตรฐานที่เลือก
คำแนะนำการตรวจสอบด้านเทคโนโลยีสารสนเทศ หมายถึง กิจกรรมการสร้างความเชื่อมั่น (Assurance) ต่อระบบเทคโนโลยีสารสนเทศ และการให้ข้อเสนอแนะรวมถึงแนวทางการปรับปรุงระบบงานด้านเทคโนโลยีสารสนเทศของบริษัทประกันภัยให้มีความสอดคล้องกับกฎ ระเบียบ และความเสี่ยงภัย รวมถึงการตรวจสอบเพื่อช่วยให้บริษัทประกันภัยบรรลุเป้าหมายและวัตถุประสงค์ที่กาหนดไว้ ด้วยการประเมินและปรับปรุงประสิทธิผลของกระบวนการการควบคุมทั่วไปของระบบเทคโนโลยีสารสนเทศและการควบคุมเฉพาะระบบงาน
เขียนโดย น.ส. กัญญาณัฐ มั่นเพ็ชร
น.ส. ชุติมา นากร
ไม่มีความคิดเห็น:
แสดงความคิดเห็น