บทที่ 11 การตรวจสอบเทคโนโลยีสารสนเทศ
(Information
Technology Auditing)
ตรวจสอบเทคโนโลยีสารสนเทศหรือการตรวจสอบระบบสารสนเทศ คือ การตรวจสอบควบคุมการจัดการภายในเทคโนโลยีสารสนเทศ (IT) โครงสร้างพื้นฐาน การประเมินหลักฐานที่ได้รับจะเป็นตัวกำหนดว่าระบบข้อมูลนั้นมีการปกป้องสินทรัพย์การรักษาความถูกต้องของข้อมูลและการดำเนินงานอย่างมีประสิทธิภาพเพื่อให้บรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร ความคิดเห็นเหล่านี้อาจจะดำเนินการร่วมกับการตรวจสอบทางการเงินตรวจสอบภายในหรือรูปแบบอื่น ๆ ของการสู้รบการรับรอง
ผู้ตรวจบัญชี
(CPA) มีหน้าที่รับผิดชอบในการวิเคราะห์รายงาน
ในด้านการเงินสำหรับบุคคล/บริษัท
ตรวจสอบรายงานทางการเงินเพื่อให้แน่ใจว่าไม่มีอะไรผิดปกติ
ด้านล่างนี้เป็นขอบเขตงาน 12 อย่างที่ทำกันเป็นปกติโดยผู้ตรวจบัญชี
1.ตรวจสอบบันทึกทางการเงินของบริษัท
2.ดูแลงบประมาณของบริษัท
3.ปฏิบัติหน้าที่ที่เกี่ยวข้องกับการทำบัญชีการ
เตรียมพร้อมในการรับมือการตรวจสอบของรัฐบาล จัดการภาษี
ตลอดจนถึงขั้นตอนการวางแผนทางการเงิน
4.แนะนำวิธีการที่ได้เปรียบเพื่อประหยัดเงินของบริษัท
5.ทำงานในเรื่องการคืนภาษี
วิเคราะห์ข้อมูลทางการเงินเพื่อให้แน่ใจว่ามีการชำระภาษีตรงเวลา
6.ตรวจสอบบัญชี มองหาข้อผิดพลาดข้อมูลที่ผิด การฉ้อโกง
7.รายงานข้อมูลทางการเงินแก่ฝ่ายจัดการ
8.สร้างและวิเคราะห์งบประมาณ
10.ให้คำแนะนำด้านการจัดการด้านภาษี
เพื่อการตัดสินใจทางธุรกิจ
11.ดูแลบัญชีเจ้าหนี้/ลูกหนี้
12.มีส่วนร่วมในการวางแผนกลยุทธ์ การป้องกันการฉ้อโกง
และการพัฒนางบประมาณ
การตรวจสอบบัญชี
(Auditing Service) เป็นการตรวจสอบ และรับรองข้อมูลในรายงานทางการเงินที่จัดทำขึ้น
โดยผู้สอบบัญชีรับอนุญาต (Certified Public Accountant: CPA) เพื่อให้รายงานทางการเงินที่จัดทำขึ้นมีความน่าเชื่อถือ
และเป็นการให้ความมั่นใจกับผู้ใช้รายงานทางการเงินทั้งภายนอก
และภายในกิจการว่าถูกต้องตามควร สามารถนำไปใช้ในการตัดสินใจได้
และตามกฎหมายนั้นกำหนดว่า "รายงานทางการเงินประจำปีของบริษัท
จะต้องจัดให้มีผู้สอบบัญชีคนหนึ่งหรือหลายคนตรวจสอบแล้วนำเสนอเพื่ออนุมัติในที่ประชุมใหญ่ภายในสี่เดือนนับแต่วันที่ลงในรายงานทางการเงินนั้น"
คำว่า IT Audit (Information Technology Audit)หรือ IS
Audit (Information System Audit) ซึ่งเป็นกระบวนการของการรวบรวมหลักฐานและประเมินหลักฐานที่ได้เพื่อใช้ในการพิจารณาเกี่ยวกับความถูกต้องครบถ้วน
(Integrity) ความเชื่อถือได้
(Reliability) ความปลอดภัย (Security) ความลับ (Confidentiality) ความพร้อมในการใช้งาน
(Availability) และการใช้ทรัพยากรภายในองค์กรอย่างมีประสิทธิภาพ
(Effectiveness) และมีประสิทธิผล (Efficiency)
วัตถุประสงค์การตรวจสอบ IT
การตรวจสอบจะมีความแตกต่างกันแยกไปตามวัตถุประสงค์ของการตรวจ
อาทิ
1)
การตรวจสอบทางการเงิน คือ
การประเมินว่าองค์กรจะยึดมั่นที่จะปฎิบัติตามมาตรฐานการบัญชีในระดับสากล
และความถูกต้องของข้อมูลที่เป็นตัวเลข
การเชื่อมโยงของฐานข้อมูลที่เป็นตัวเลขกับหน่วยงานต่างๆ ที่นำไปวิเคราะห์ต่อ
2)
การตรวจสอบด้าน IT คือ
การประเมินระบบควบคุมการใช้งานให้มีความปลอดภัย
มีมาตรฐานการป้องกันผู้บุกรุกจากภายนอก มีระบบป้องกันความปลอดภัยของ Data
Center หรือ Data Warehouse และการออกแบบระบบปฎิบัติการที่มีความเหมาะสม
หรือ ตรวจสอบด้าน IT Governance
ประเภทของการตรวจสอบด้าน IT
หน่วยงานชั้นนำทั้งในประเทศและต่างประเทศก็จะมีมาตรฐานในการตรวจด้าน IT ที่แตกต่างกัน
เพราะงบประมาณที่จะนำมาใช้ในการดำเนินงานต่างกัน ความสามารถของพนักงานต่างกัน
และความสำคัญของฐานข้อมูลและระบบเครือข่ายที่เชื่อมโยงกับหน่วยงานต่างๆ
ทั้งภายในองค์กร และ ภายนอกองค์กร ที่ต่างกัน
ดังนั้นขอยกตัวอย่างของประเภทของการตรวจสอบด้าน IT ดังนี้
-
การตรวจสอบกระบวนการและนวัตกรรมเทคโนโลยีสารสนเทศ (Technological
innovation process audit) การตรวจสอบลักษณะนี้จะเป็นการตรวจสอบของหน่วยงานขนาดใหญ่
ที่มีแผนที่จะเข้าจดทะเบียนในตลาดหลักทรัพย์ หรือ จะควบรวมกิจการกัน
เพราะจำเป็นอย่างมากที่จะต้องมีทีมงานตรวจสอบที่มีความรู้ความสามารถเฉพาะทางเกี่ยวกับเทคโนโลยีประเภทนั้นๆ
หรือ เป็นผู้เชี่ยวชาญในสาขานั้นๆ กันเลย
เพราะจะต้องให้ความเห็นว่าเทคโนโลยีที่องค์กร A ใช้อยู่มีความล้าสมัยประการใด
และมีทางที่จะบำรุงรักษาหรือไม่
รวมทั้งจะต้องมีการประเมินมูลค่าของเทคโนโลยีที่เป็นนวัตกรรมใหม่ๆ อีกด้วย
ซึ่งมีความสลับซับซ้อนอย่างสูง
- การตรวจสอบเปรียบเทียบนวัตกรรม
(Innovative comparison audit) การตรวจสอบลักษณะนี้เป็นการวิเคราะห์ความสามารถด้านนวัตกรรมของบริษัท
ที่ถูกตรวจสอบด้วยการนำนวัตกรรมไปเปรียบเทียบกับคู่แข่ง
ที่มีความสามารถใกล้เคียงกัน ซึ่งการตรวจสอบลักษณะนี้ส่วนมากจะเป็นบริษัทวิจัยต่างๆ
จะรับเข้าไปทำการตรวจสอบบริษัทให้ เพราะจำเป็นจะต้องมีการนำผลการวิจัยในด้านต่างๆ
มาอ้างอิงสิ่งที่ตรวจสอบพบ
หรือให้ความเห็นในด้านคุณค่าของนวัตกรรมที่ได้เข้าไปตรวจสอบ
-
การตรวจสอบตำแหน่งเทคโนโลยี (Technological
position audit) การตรวจสอบลักษณะนี้จะเป็นการให้ความเห็นและความเชื่อมั่นแก่ผู้รับตรวจว่า
เทคโนโลยีของบริษัท ยังมีความเป็นปัจจุบันอยู่หรือไม่
และเป็นเทคโนโลยีในกลุ่มประเภทใด อาทิ "base", "key",
"pacing", หรือ "emerging"
ถ้าจะแยกประเภทของการตรวจสอบด้าน IT ให้แยกย่อยออกไปอีก ก็จะได้เป็น 5
ประเภท ดังนี้
1)
ระบบและการประยุกต์ :
การตรวจสอบระบบและการประยุกต์ใช้ว่ามีความเหมาะสมและมีประสิทธิภาพ
และมีการควบคุมความปลอดภัยอย่างเพียงพอ เพื่อให้แน่ใจว่าข้อมูลยังมีความถูกต้อง
น่าเชื่อถือ และยังมีความทันสมัยอยู่เสมอ
หรือมีความปลอดภัยในการประมวลผลและการส่งออกไปยังหน่วยงานต่างๆ
ในทุกระดับกิจกรรมของระบบ
2)
สิ่งอำนวยความสะดวกและการประมวลผลข้อมูล :
การตรวจสอบว่าสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลจะถูกบริหารจัดการและมีระบบการควบคุมเพื่อให้แน่ใจว่าการประมวลผลข้อมูลทันเวลา
ถูกต้องและมีประสิทธิภาพของการใช้งานภายใต้สภาวะปกติ และมีระบบป้องกันการก่อกวนทั้งจากภายในและภายนอก
3)
การพัฒนาระบบ : การตรวจสอบว่าระบบภายใต้การพัฒนาตรงกับวัตถุประสงค์ขององค์กร
เพื่อให้แน่ใจว่าระบบได้การพัฒนาขึ้นตามมาตรฐานที่ยอมรับโดยทั่วไปสำหรับการพัฒนาระบบ
4)
การบริหารจัดการด้านไอทีและสถาปัตยกรรม Enterprise
: การตรวจสอบว่าการบริหารจัดการด้านไอที
ได้มีการพัฒนาโครงสร้างองค์กรและวิธีการเพื่อให้แน่ใจว่าสภาพแวดล้อมการควบคุมและมีประสิทธิภาพสำหรับการประมวลผลข้อมูล
5) Client / Server Telecommunications, Intranets, และ Extranets: เป็นการตรวจสอบว่า
การสื่อสารโทรคมนาคม มีระบบการควบคุมอยู่ในสถานะทีดี พร้อมใช้งาน มีคุณภาพเหมาะสม
มีประสิทธิภาพในการเชื่อมต่อกับเครื่องลูกข่ายได้อย่างเหมาะสม
และเกิดประโยชน์สูงสุด
กระบวนการตรวจสอบด้าน IT
1)
การวางแผน
2)
การศึกษาและการประมินผลการควบคุม
3)
การทดสอบและการประเมินผลการควบคุม
4)
การรายงาน
5)
การติดตามผล
หลักการของการตรวจสอบต่อไปนี้ควรจะสะท้อนให้เห็น
1.ทันเวลา เฉพาะเมื่อกระบวนการและการเขียนโปรแกรมมีการตรวจสอบอย่างต่อเนื่องในเรื่องความอ่อนแอที่อาจเกิดขึ้นกับข้อบกพร่องและจุดอ่อน
แต่รวมถึงการวิเคราะห์จุดแข็งที่พบต่อเนื่องหรือโดยการวิเคราะห์การทำงานเปรียบเทียบกับแอพพลิเคชันที่คล้ายกัน
จะดำเนินการต่อ
2.การเปิดกว้างของแหล่งที่มา ต้องมีการอ้างอิงที่ชัดเจนในการตรวจสอบโปรแกรมที่เข้ารหัสวิธีการจัดการของโอเพ่นซอร์สจะต้องมีความเข้าใจ เช่นโปรแกรมที่เสนอแอปพลิเคชั่นโอเพนซอร์ซ
แต่ไม่ถือว่าเซิร์ฟเวอร์ IM เป็นโอเพ่นซอร์สจำเป็นต้องได้รับการพิจารณาว่ามีความสำคัญ ผู้สอบบัญชีควรมีจุดยืนของตนเองในกระบวนทัศน์ของความต้องการลักษณะโอเพนซอร์ซในแอปพลิเคชั่นเข้ารหัส
3.ความละเอียด กระบวนการตรวจสอบควรมุ่งเน้นไปที่มาตรฐานขั้นต่ำบางอย่าง กระบวนการตรวจสอบล่าสุดของซอฟต์แวร์เข้ารหัสมักจะมีความแตกต่างกันอย่างมากในด้านคุณภาพในขอบเขตและประสิทธิผลและประสบการณ์ในการรับสื่อมักจะแตกต่างกันไปตามการรับรู้ เนื่องจากความต้องการความรู้พิเศษในมือข้างหนึ่งและเพื่อให้สามารถอ่านรหัสการเขียนโปรแกรมและในทางกลับกันเพื่อให้มีความรู้เกี่ยวกับขั้นตอนการเข้ารหัสผู้ใช้หลายคนยังไว้วางใจคำสั่งสั้นที่สุดของการยืนยันอย่างเป็นทางการ ความมุ่งมั่นของแต่ละบุคคลในฐานะผู้สอบบัญชีเช่นคุณภาพขนาดและประสิทธิผลจึงได้รับการประเมินแบบสะท้อนกลับสำหรับตัวคุณเองและจัดทำเป็นเอกสารภายในการตรวจสอบ
4.บริบททางการเงิน ต้องมีความโปร่งใสเพิ่มเติมเพื่อชี้แจงว่าซอฟต์แวร์ได้รับการพัฒนาในเชิงพาณิชย์หรือไม่และการตรวจสอบนั้นได้รับการสนับสนุนทางการเงินหรือไม่ มันสร้างความแตกต่างไม่ว่าจะเป็นโครงการงานอดิเรก
/ ชุมชนส่วนตัวหรือ บริษัท การค้าอยู่เบื้องหลัง
5.การอ้างอิงทางวิทยาศาสตร์ของมุมมองการเรียนรู้ การตรวจสอบแต่ละครั้งควรอธิบายสิ่งที่ค้นพบโดยละเอียดในบริบทและยังเน้นความก้าวหน้าและความต้องการการพัฒนาอย่างสร้างสรรค์ ผู้ตรวจสอบไม่ใช่ผู้ปกครองของโปรแกรม
แต่อย่างน้อยเขาหรือเธออยู่ในบทบาทของผู้ให้คำปรึกษาหากผู้ตรวจสอบถูกมองว่าเป็นส่วนหนึ่งของวงจรการเรียนรู้
ควรมีคำอธิบายของช่องโหว่ที่ตรวจพบถัดจากคำอธิบายของโอกาสเชิงนวัตกรรมและการพัฒนาศักยภาพ
6.การรวมวรรณกรรม ผู้อ่านไม่ควรพึ่งพาผลการตรวจสอบเพียงอย่างเดียว
แต่ยังตัดสินตามลูปของระบบการจัดการ (เช่น PDCA, ดูด้านบน) เพื่อให้แน่ใจว่าทีมพัฒนาหรือผู้ตรวจสอบและเตรียม
เพื่อดำเนินการวิเคราะห์เพิ่มเติมและในกระบวนการพัฒนาและตรวจสอบเปิดให้เรียนรู้และพิจารณาบันทึกของผู้อื่น รายการอ้างอิงควรจะมาพร้อมกับการตรวจสอบแต่ละกรณี
7.การรวมคู่มือผู้ใช้และเอกสาร ควรทำการตรวจสอบเพิ่มเติมไม่ว่าจะมีคู่มือและเอกสารทางเทคนิคหรือไม่และหากมีการขยายเพิ่มเติม
8.ระบุการอ้างอิงถึงนวัตกรรม แอปพลิเคชั่นที่อนุญาตให้ทั้งการส่งข้อความไปยังผู้ติดต่อออฟไลน์และออนไลน์ดังนั้นการพิจารณาการแชทและอีเมลในแอปพลิเคชั่นเดียว
เนื่องจากเป็นกรณีของ GoldBug ควรทดสอบด้วยลำดับความสำคัญสูงไปยังฟังก์ชั่นอีเมล
ผู้สอบบัญชีควรเน้นการอ้างอิงถึงนวัตกรรมและหนุนความต้องการด้านการวิจัยและพัฒนาเพิ่มเติม
2. http://www.bb-audit.com /index
3. https://www.dir.co.th/en/news/ia-news/item/799E.html
4. https://en.wikipedia.org/wiki/Information_technology_audit
ไม่มีความคิดเห็น:
แสดงความคิดเห็น