บทที่ 9 การควบคุมระบบสารสนเทศทางการบัญชีด้วยคอมพิวเตอร์
(Computer Controls for
Accounting Information Systems)
การใช้คอมพิวเตอร์เป็นเครื่องมือ
กิจการที่นําคอมพิวเตอร์หรือระบบสารสนเทศทางการบัญชีไปใช้ในการควบคุมภายใน
ต้องกําหนดให้มีการควบคุมภายใน เพื่อให้มั่นใจว่า ข้อมูลที่บันทึกมีความครบถ้วน
ถูกต้อง ประมวลผลตามขั้นตอน
การเข้าถึงข้อมูลหรือแฟ้มข้อมูลกระทำได้เฉพาะผู้ได้รับอนุญาต
รวมทั้งการจะพัฒนาหรือการเปลี่ยนแปลงโปรแกรมได้ต้องผ่านการตรวจสอบและอนุมัติจากผู้มีอำนาจเรียบร้อยแล้ว
การควบคุมระบบ
นักบัญชีได้จัดแบ่งการควบคุมระบบออกเป็น 2 ประเภท
ประเภทที่
1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม (By
Objective)
ประเภทที่
2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By
Scope)
ประเภทที่
1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุมตามเกณฑ์นี้ได้แบ่งวิธีการควบคุมออก เป็น 3 ส่วน
1.
การควบคุมเชิงป้องกัน (PreventionControls)
2.
การควบคุมเชิงตรวจสอบ (DetectionControls)
3.
การควบคุมเชิงแก้ไข (CorrectiveControls)
ประเภทที่
2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม(By
Scope)จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุมว่าขอบเขตงานนั้นมีผลกระทบต่อระบบงานทั้งหมดของกิจการหรือมีผลกระทบเฉพาะระบบงานใดงานหนึ่งเท่านั้นในกรณีที่ขอบเขตงานของการควบคุมมีผลกระทบต่อระบบงานทั้งหมดจะเรียกการปฏิบัติงานเพื่อการควบคุมนั้นว่าการควบคุมทั่วไป
(General Controls) เป็นการควบคุมที่มีขึ้นเพื่อให้มั่นใจว่าสภาพแวดล้อมของการควบคุมภายในของกิจการได้มีการจัดการและดูแลอย่างดีตลอดเวลาทำให้การควบคุมเฉพาะระบบงานดำเนินไปได้อย่างมีประสิทธิภาพการควบคุมทั่วไปของกิจการที่ใช้คอมพิวเตอร์นั้น
แบ่งออกเป็น 4 ประเภท คือ
1.การควบคุมปฏิบัติงานของพนักงาน (Personnelcontrols)
· การแบ่งแยกหน้าที่งาน
· การกําหนดให้มีวันหยุดพักผ่อนเป็นช่วงเวลา
· การกำหนดรหัสผ่าน
2.การควบคุมการปฏิบัติงานของศูนย์ข้อมูล(Data Center Operations
Controls)
· ส่วนแรก ควบคุมการปฏิบัติงานพนักงานในศูนย์ข้อมูล
· ส่วนที่สอง การเก็บสํารองข้อมูลไว้ในสถานที่ที่ปลอดภัยโดยการ
§ จัดแฟ้มสํารอง (Backup
File) มีเทคนิคการจัดทำ 2 วิธี
§ การวางแผนฉุกเฉิน
(Contingency Plan)
เทคนิคการจัดทำแฟ้มสำรอง
1.การจัดทำแฟ้มสํารองของแฟ้มข้อมูลที่จัดแบบเรียงลำดับ
ใช้เทคนิค (GPC) Grandparent –parent –child
technique Or Grandfather –father – son technique นิยมใช้ในกิจการขนาดใหญ่ที่มี
เครื่องเมนเฟรมคอมพิวเตอร์ เหมาะกบวิธีการประมวลผลแบบกลุ่ม
2. บันทึกข้อมูลเอาไว้ในแฟ้มข้อมูลที่จัดแบบเข้าถึงได้โดยตรง
ข้อมูลใหม่ เข้าข้อมูลเก่าถูกทำลาย เรียกว่า การเปลี่ยนแทนโดยการทำลาย
ช่วงเวลาการจัดทำแฟ้มสํารอง ขึ้นอยู่กับวิธีการประมวลผลว่าเป็น Batch
or real – time processing
3.การควบคุมการจัดหาและบำรุงรักษาซอฟต์แวร์ของระบบ(System
Software Acquisition and Maintenance Controls)
· ประการที่หนึ่ง การบริหารเครือข่าย (Network Administration)
· ประการที่สอง การสนับสนุนด้านเทคนิคในการปฏิบัติงาน (Technical
Support)
4.การควบคุมในเรื่องการรักษาความปลอดภัยของการเข้าถึงระบบและข้อมูล(Access Controls)
เทคโนโลยีสารสนเทศการควบคุมทั่วไป
· ความปลอดภัยสำหรับเทคโนโลยีไร้สาย
· การควบคุมสำหรับระบบเครือข่ายเดินสาย
· ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์
· วัตถุประสงค์การควบคุมด้านไอทีสำหรับ Sarbanes-Oxley
การควบคุมแอพพลิเคชั่นสำหรับการประมวลผลธุรกรรม
การควบคุมการป้อนข้อมูลการประมวลผลและการส่งออกระบบการควบคุมภายในที่มุ่งเน้น
· ความปลอดภัยเฉพาะในองค์กร
· ขั้นตอนการควบคุมเพื่อให้แน่ใจว่า
· การใช้ทรัพยากรอย่างมีประสิทธิภาพ
การควบคุมทั่วไปสำหรับองค์กร
การพัฒนานโยบายความปลอดภัยที่เหมาะสมเกี่ยวข้องกับ
· การระบุและประเมินสินทรัพย์
· การระบุภัยความเสี่ยง
· การมอบหมายความรับผิดชอบ
· การสร้างแพลตฟอร์มนโยบายความปลอดภัย
· การใช้งานทั่วทั้งองค์กร
· การจัดการโปรแกรมความปลอดภัย
ความปลอดภัยแบบบูรณาการสำหรับองค์กร
· ขึ้นอยู่กับเครือข่ายสำหรับการทำธุรกรรมการแบ่งปันข้อมูลและการสื่อสาร
· จำเป็นต้องให้สิทธิ์เข้าถึงลูกค้าซัพพลายเออร์พันธมิตรและอื่น ๆ
ภัยคุกคามความปลอดภัยสำหรับองค์กรเกิดขึ้นจาก
· ความซับซ้อนของเครือข่ายเหล่านี้
· ข้อกำหนดการช่วยสำหรับการเข้าถึงปัจจุบัน
เทคโนโลยีความปลอดภัยที่สำคัญสามารถบูรณาการรวมถึง
· ระบบตรวจจับการบุกรุก
· ไฟร์วอลล์และอื่นๆ
ระบบรักษาความปลอดภัยแบบรวม
· ลดความเสี่ยงของการถูกโจมตี
· เพิ่มค่าใช้จ่ายและทรัพยากรที่ผู้บุกรุกต้องการ
การควบคุมทั่วไปภายในสภาพแวดล้อมด้านไอที
· การควบคุมระดับองค์กร
· การควบคุมบุคลากร
· การควบคุมความปลอดภัยของไฟล์
· ระบบป้องกันความผิดพลาดการสำรองข้อมูลและการวางแผนฉุกเฉิน
· การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์
· การเข้าถึงไฟล์คอมพิวเตอร์
การสำรองข้อมูล
· จำเป็นสำหรับเอกสารสำคัญ
· มีการดำเนินการแบทช์โดยใช้กระบวรการ
· สามารถส่งทางอิเล็กทรอนิกส์ไปยังไซต์ระยะไกล(กระโดดข้าม)
· ต้องการระบบไฟฟ้าสำรอง (UPS)เป็นแหล่งจ่ายไฟฟ้า
การวางแผนฉุกเฉิน
· รวมถึงการพัฒนาแผนกู้คืนความเสียหายอย่างเป็นทางการ
· อธิบายขั้นตอนที่ต้องปฏิบัติในกรณีฉุกเฉิน
· อธิบายถึงบทบาทของสมาชิกทีมแต่ละคน
· แต่งตั้งบุคคลหนึ่งให้เป็นผู้บังคับบัญชาที่สอง
· เกี่ยวข้องกับไซต์การกู้คืนที่อาจเป็นไซต์ร้อนหรือไซต์เย็น
การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์
· ค้นหาศูนย์ประมวลข้อมูลในที่ที่ปลอดภัย
· ประชาชนไม่สามารถเข้าถึงได้
· ได้รับการป้องกันโดยบุคลากร
· มีทางเข้าที่ปลอดภัยจำนวน จำกัด
· มีการป้องกันภัยธรรมชาติ จำกัด การเข้าถึงของพนักงาน
· การผสมผสานป้ายระบุรหัสแม่เหล็กอิเล็กทรอนิกส์หรือออปติคัล
การเข้าถึงไฟล์คอมพิวเตอร์
· การเข้าถึงข้อมูลอย่างมีเหคุผลถูก จำกัด
· การระบุรหัสผ่าน(สนับสนุนรหัสผ่านที่คาดเดายาก)
· การระบุทางชีวภาพด้วย
· รูปแบบเสียง
· ลายนิ้วมือ
· จอประสาทตาพิมพ์
การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ
การวัตถุประสงค์ของการควบคุมคือการให้ความมั่นใจว่า
· การพัฒนาและเปลี่ยนแปลงโปรแกรมคอมพิวเตอร์นั้นได้รับอนุญาตทดสอบและอนุมัติก่อนการใช้งาน
· การเข้าถึงไฟล์ข้อมูลถูก จำกัด
· ข้อมูลการประมวลผลทางบัญชีนั้นถูกต้องและครบถ้วน
ความปลอดภัยสำหรับเทคโนโลยีไร้สาย
ความปลอดภัยสำหรับเทคโนโลยีไร้สายนั้นเกี่ยวข้องกับ
· เครือข่ายส่วนตัวเสมือน (VPN)
· การเข้าถึงรหัสข้อมูล
ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์
ขั้นตอนการควบคุมทั่วไปและแอพพลิเคชั่นมีความสำคัญต่อไมโครคอมพิวเตอร์
· ความเสี่ยงส่วนใหญ่ที่เกี่ยวข้องกับAIS เกิดจาก
ข้อผิดพลาด และความผิดปกติหรือฉ้อโกง
· ภัยคุกคามทั่วไปเกี่ยวกับความปลอดภัย(เช่น ไวรัสคอมพิวเตอร์)
· ความเสี่ยงบางอย่างที่มีลักษณะเฉพาะกับไมโครคอมพิวเตอร์คือ
§ ฮาร์ดแวร์
§ ไมโครคอมพิวเตอร์สามารถถูกขโมยหรือทำลายได้ง่าย
§ ข้อมูลและซอฟต์แวร์
§ ง่ายต่อการเข้าถึงแก้ไขคัดลอกหรือทำลาย
จึงควบคุมได้ยาก
การควบคุมแอพพลิเคชั่นสำหรับการประมวลผลธุรกรรม
· การควบคุมแอพพลิเคชั่นได้รับการออกแบบมาเพื่อ
§ ป้องกัน
§ ตรวจจับและ
§ แก้ไขข้อผิดพลาดและความผิดปกติ
- · ในการทำธุรกรรม
§ อินพุต
§ การประมวลผล
§ ขั้นตอนการส่งออกของการประมวลผลข้อมูล
ไม่มีความคิดเห็น:
แสดงความคิดเห็น