Embed Size (px)
Citation preview
วั�ตถุ�ประสงค์�เพื่��อให้�ผู้��เร�ยนสามารถุ 1. อธิ�บาย ความหมายของการตรวจสอบระบบสารสนเทศ 2. อธิ�บาย ข��นตอนการตรวจสอบและเข�ยนภาพประกอบค าอธิ�บาย 3. อธิ�บาย “ผู้"#ตรวจสอบเทคโนโลย�สารสนเทศ”เก�%ยวก�บอะไรบ#าง
การตรวัจสอบระบบสารสนเทศ (Audit) หมายถึ(ง การค#นหาหล�กฐานส าหร�บส�%งผู้�ดปกต�ท�%เก�ดข(�นก�บระบบสารสนเทศของท��งผู้"#ตรวจสอบภายในและภายนอก โดยม�ว�ตถึ,ประเม�นระบบควบค,มภายในหร-อระบบร�กษาความปลอดภ�ยท�%ก�จการก าหนดข(�นมา ส/วนผู้"#ตรวจสอบด#านเทคโนโลย�สารสนเทศ (IT auditor) น�บเป0นเป0นอาชี�พท�%สามารถึใชี#ท�กษะในการท างานท�%แตกต/างก�น กล/าวค-อสามารถึเป0นส/วนหน(%งของการตรวจสอบภายในของก�จการขนาดเล2กเพ-%อตรวจสอบหน/วงงานด#านเทคโนโลย�สารสนเทศ ส าหร�บก�จการขนาดใหญ่/ข(�นมาก2จะม�งานท�%เก�%ยวข#องก�บเทคโนโลย�สารสนเทศให#ปฏิ�บ�ต�อย/างหลากหลาย
ผู้��ตรวัจสอบจะปฏิ#บ�ต#งานตรวัจสอบระบบสารสนเทศอย$างไรเพื่��อให้�ห้ม��นใจอย$างสมเห้ต�สมผู้ลวั$าองค์�กรม�
1 )การร�กษาความปลอดภ�ย (ประกอบด#วย ทร�พย5ส�นท�%ท าการประมวลผู้ล การร�กษาความล�บของข#อม"ลของก�จการ การบ าร,งร�กษาความสมบ"รณ์5ของข#อม"ล และการม�ใชี#เม-%อต#องการ)
2) การบรรจ,ความม�ประส�ทธิ�ภาพและประส�ทธิ�ผู้ลของระบบ3) การปฏิ�บ�ต�ตามกฎหมายและกฎข#อบ�งค�บต/างๆ4) ความร�บผู้�ดชีอบต/อส�งคม (Social responsibility)
และความสามารถึอธิ�บายได# (Kanhere, 2009)
การตรวจสอบสารสนเทศ ค-อ กระบวนการของการของการเก2บรวบรวมและประเม�นหล�กฐานเพ-%อพ�จารณ์าว/าระบบคอมพ�วเตอร5ม�การร�กษาทร�พย5ส�น ความสมบ"รณ์5ของข#อม"ลและท าให#ว�ตถึ,ประสงค5ขององค5กรบรรล,ผู้ลส าเร2จอย/างม�ประส�ทธิ�และใชี#ทร�พยากรอย/างม�ประส�ทธิ�ผู้ล
ภาพท�% 1 ความเส�%ยงจากการตรวจสอบระบบสรสนเทศ
ภาพท�% 2 ข��นตอนในการตรวจสอบ
- ในการตรวจสอบโดยปกต�ผู้"#ตรวจสอบจะเก2บรวบรวมหล�กฐานต/างๆ
- น ามาใชี#ในกาประเม�นองค5กรตามว�ตถึ,ประสงค5ของการตรวจสอบ
วั�ตถุ�ประสงค์�ของการตรวัจสอบจะเป(นอะไรก)ตาม ผู้��ตรวัจสอบม�กใช้�วั#ธี�การ 5 ประเภทในการรวับรวัมห้ล�กฐานดั�งน�/
1 )การท าความเข#าใจการควบค,ณ์ท�%องค5กรก าหนดไว# ผู้"#ตรวจสอบอาจใชี#ว�ธิ�การใดว�ธิ�การหน(%งหร-อหลายว�ธิ�ร/วมก�นในการจ�กเก2บและท าความเข#าใจการควบค,มขององค5กร
2 )การทดสอบการควบค,ม (Tests of controls) ผู้"#ตรวจสอบสามารถึใชี# การสอบถึาม การสอบทาน การส�งเกตการณ์5 และการปฏิ�บ�ต�ตามจ,ดควบค,มท�%ก าหนดไว#
3) การทดสอบรายละเอ�ยดของรายการ (Tests of details of transactions) เป0นการทดสอบว/าม�รายการประจ าว�น รายการใดท�%ม�ความผู้�ดปกต�
4) การทดสอบยอดคงเหล-อหร-อผู้ลล�พธิ5โดยรวม (Tests of details of account balances or overall results) เป0นการทดสอบยอดคงเหล-อท�%จะน าไปแสดงในรายงานทางการเง�น
5) การว�เคราะห5เปร�ยบเท�ยบ (Analytical review) เป0นการทดสอบโดยด"ความส�มพ�นธิ5ระหว/างข#อม"ลโดยม�ว�ตถึ,ประสงค5เพ-%อระบ,จ,ดท�%ต#องการตรวจสอบในรายละเอ�ยดต/อไป
การตระหน�กถึ(งความจ าเป0นท�%จะต#องม�หน#าท�%เก�%ยวก�บการตรวจสอบระบบสารสนเทศมาจาก 2 ท�ศทางด#วยก�นค-อ ประการแรก ผู้"#ตรวจสอบตระหน�กว/าคอมพ�วเตอร5ส/งผู้ลกระทบต/อความสามารถึของผู้"#ตรวจสอบในหน#าท�%เก�%ยวก�บการร�บรองความถึ"ต#องประการท�%สอง ท��งบร�ษ�ทและผู้"#บร�การสารสนเทศตระหน�กว/าคอมพ�วเตอร5เป0นทร�พยากรท�%ม�ค/าท�%จ าเป0นต#องม�การควบค,มเชี/นเด�ยวก�บทร�พยากรอ-%นๆขององค5กร
การตรวัจสอบระบบสารสนเทศเก��ยวัข�องก�บค์วัามร��ในสาขาต$างๆ
1 )การตรวจสอบแบบเด�ม (Traditional auditing) 2) การจ�ดการระบบสารสนเทศ (Information systems
management)3) ศาสตร5ทางพฤต�กรรม (Behavioral science)4) ศาสตร5ทางคอมพ�วเตอร5 (Computer science)
ภาพท�% 3 การตรวจสอบระบบสารสนเทศก�บความส�มพ�นธิ5ก�บสาขาว�ชีาอ-%น
อย/างไรก2ตาม Parker (2010) กล/าวว/า ผู้"#ตรวจสอบเทคโนโลย�สารสนเทศ (IT audit) ควรม�ท�กษะด#านธิ,รก�จนอกเหน-อจากความร" #ทางเทคโนโลย�สารสนเทศ แต/ต#องการทราบว/ากรรมว�ธิ�ทางธิ,รก�จใด (Business process) ท�%อาจเป0นอ�นตราย โดย Parker กล/าวว/าผู้"#ตรวจสอบเทคโนโลย�สารสนเทศจ าเป0นต#องเข#าใจเก�%ยวก�บ
1 )ค์วัามแตกต$างของร�ปแบบขององค์�กร เชี/น บร�ษ�ทจ าก�ด บร�ษ�ทต/างชีาต� บร�ษ�ทแม/และบร�ษ�ทล"ก ห#างห,#นส/วน เป0นต#น
2) ระบบการบร#ห้ารจ�ดัการ (Governance) โครงสร#างขององค5กร (อ านาจและสายการบ�งค�บบ�ญ่ชีา ) บทบาทและความร�บผู้�ชีอบของผู้"#บร�หารแต/ละระด�บ รมถึ(งเจ#าหน#าท�%ต/างๆ ในองค5กร
3) กฎหมายและข#อบ�งค�บ ท�%เก�%ยวก�บและกระทบต/อกรรมว�ธิ�ทางธิ,รก�จ4) กรรมว�ธิ�ทางธิ,รก�จ (Business process) (การได#มาซึ้(�งมา
ว�ตถึ,ด�บ การผู้ล�ตส�นค#า การตลาดและขายส�นค#าหร-อบร�การ การจ�กเก2บเง�น และการลงท,น)
5) การปฏิ�บ�ต� (Operations) (การวางแผู้นและการจ�ดองค5กร การจ�ดกาล าน าระบบออกใชี#งานจร�ง การส/งมอบและการสน�บสน,น การต�ดตามและการประเม�นผู้ล)
6) การใชี#เทคโนโลย� เพ-%อสน�บสน,นกรรมว�ธิ�ทางธิ,รก�จ7) สารสนเทศทางการเง�น การบ�นท(กรายการทางการทางการเง�นใน
แต/ละกรรมว�ธิ�ทางธิ,รก�จ8) การว�กความส าเร2จของธิ,รก�จ เชี/น ผู้ลตอบแทนจากการลงท,น
ม"ลค/าป;จจ,บ�นส,ทธิ�
