งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

การวางแผนและ การจัดทำ IT Audit ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต.

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "การวางแผนและ การจัดทำ IT Audit ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต."— ใบสำเนางานนำเสนอ:

1 การวางแผนและ การจัดทำ IT Audit ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต

2 เนื้อหาคำบรรยาย  ขั้นตอนในการตรวจสอบไอที  การวางแผน  กิจกรรมในการตรวจสอบ  การเขียนรายงานตรวจสอบ  สรุป

3 กระบวนการตรวจสอบไอที  กระบวนการตรวจสอบไอทีของหน่วยงานต่าง ๆ มีขั้นตอนสำคัญ 3 ขั้นตอน คือ 1. การวางแผน 2. การทดสอบการควบคุม 3. การทดสอบสาระสำคัญ

4 การวางแผน  ประกอบด้วยงาน 3 ขั้นตอน คือ 1.การทบทวนนโยบาย โครงสร้าง และการปฏิบัติงาน ด้านไอทีของหน่วยงาน 2.การทบทวนการควบคุมโดยทั่วไปทางด้านไอที (General control) และ การควบคุมงานประยุกต์ 3.วางแผนการทดสอบการควบคุมและการทดสอบ แนวลึก

5 การทดสอบการควบคุม  ประกอบด้วยงาน 3 ขั้นตอน คือ 1.การทดสอบการควบคุมด้านไอที 2.การประเมินผลการทดสอบ 3.การกำหนดว่าการควบคุมน่าเชื่อถือมากน้อยเพียงใด

6 การทดสอบสาระสำคัญ  ประกอบด้วยงาน 3 ขั้นตอน คือ 1.ทดสอบสาระสำคัญ 2.ประเมินผลการทดสอบสาระสำคัญ และจัดทำร่าง รายงานการตรวจสอบ 3.ส่งรายงานให้ผู้บริหาร

7 กิจกรรมหลักในการตรวจสอบ  การวางแผนใด ๆ ต้องทราบเป้าหมายของงานที่จะวางแผน กิจกรรมที่จะต้องทำ และเวลาที่ต้องใช้ในการทำกิจกรรม  ขั้นตอนการวางแผนที่กล่าวไปแล้วเป็นเพียงหัวข้องานเท่านั้น ต่อไปนี้จะกล่าวถึงกิจกรรมสำคัญที่จะต้องทำในแต่ละหัวข้อ  การเลือกประเด็นที่จะตรวจสอบ  การรวบรวมหลักฐานเอกสาร  การสอบถาม  การสังเกต  การจัดเก็บหลักฐานอื่น ๆ เช่น ซอฟต์แวร์, รายงาน  การประเมินผลการตรวจสอบ  การทบทวนผล  การจัดทำรายงาน

8 การเลือกวัตถุประสงค์ในการตรวจสอบ  วัตถุประสงค์สำหรับตรวจสอบอาจมีได้ดังนี้  ตรวจสอบว่าศูนย์ไอทีสามารถช่วยผลักดันให้หน่วยงานบรรลุ วิสัยทัศน์ได้จริง  ตรวจสอบว่าศูนย์ไอทีสามารถให้บริการได้อย่างมีประสิทธิภาพ และประสิทธิผล  ตรวจสอบว่าศูนย์ไอที ฐานข้อมูลและระบบสารสนเทศมี ความมั่นคงปลอดภัยจริง  ตรวจสอบว่าหน่วยงานได้พัฒนาระบบสารสนเทศที่มี ประสิทธิภาพและประสิทธิผลจริง  ตรวจสอบว่าการจัดการศูนย์ไอทีมีประสิทธิผลจริง  ตรวจสอบว่าการใช้ระบบไอทีในงานด้านการเงินมีความถูกต้อง และมั่นคงปลอดภัยจริง

9 การเลือกประเด็นที่จะตรวจสอบ  การกำหนดวัตถุประสงค์อาจจะเปลี่ยนได้ทุกปี  จากวัตถุประสงค์ที่กำหนด เราสามารถเลือกประเด็นที่จะตรวจสอบ ได้ง่ายขึ้น  โดยทั่วไปผู้ตรวจสอบภายในและงบประมาณสำหรับการตรวจสอบ มีจำกัด จึงเป็นไปไม่ได้ที่จะตรวจสอบไอทีได้ทุกประเด็น  หน่วยงานอาจจะวางแผนการตรวจสอบไอทีในระยะยาว 3 ปี และกำหนดว่าแต่ละปีจะตรวจสอบเพื่อบรรลุวัตถุประสงค์ใด  จากนั้นให้จัดทำเป็นแผนงานขึ้นให้เหมาะสม

10 การทำแผนตรวจสอบประจำปี  จากแผนการตรวจสอบระยะยาว ให้พิจารณาประเด็นที่จะต้อง ตรวจสอบสำหรับปีนั้น แล้วพิจารณาขอบเขต ความกว้างขวาง และความซับซ้อนของงานที่จะต้องตรวจสอบ  พิจารณาระยะเวลาที่จะดำเนินการได้  พิจารณางบประมาณที่จะใช้  กำหนดงานที่จะต้องตรวจสอบลงในแผนประจำปี  นำเสนอผู้บริหารให้อนุมัติ หรือแก้ไข

11 แนวคิดในการเลือกประเด็น ที่จะตรวจสอบ  พิจารณาว่าเป็นงานที่มีความเสี่ยงสูง  พิจารณาจากผลการตรวจสอบครั้งก่อนว่ามีประเด็นสำคัญที่ต้อง แก้ไขและต้องตรวจสอบซ้ำหรือไม่  พิจารณาจากแนวโน้มในการขยายตัวของงาน เช่น มีข้อมูลเข้าสู่ ระบบเพิ่มมากขึ้น หรือมีการจัดโครงสร้างใหม่  พิจารณาจากข้อกำหนดของหน่วยงานกำกับดูแล  พิจารณาจากความต้องการของฝ่ายบริหาร  พิจารณาจากสถานการณ์ปัจจุบัน

12 จัดเตรียมทรัพยากรสำหรับการตรวจสอบ  มาตรฐานการปฏิบัติงานไอทีที่ดีตามหลักธรรมาภิบาลที่ หน่วยงานกำกับจัดทำขึ้น  คู่มือการตรวจสอบไอที  ผลการตรวจสอบในช่วงที่ผ่านมา  แบบฟอร์มต่างๆ  คำสั่งและระเบียบปฏิบัติเกี่ยวกับไอทีของหน่วยงาน  โครงสร้างหน่วยงานพร้อมรายชื่อผู้บริหารและผู้ปฏิบัติ  ระบบคอมพิวเตอร์พร้อมโปรแกรมสเปรดชีต  งบประมาณที่อาจจำเป็นต้องใช้

13 จัดทำแผน  ปรึกษาแนวทางการตรวจสอบกับผู้บริหารระดับสูง  จัดทำร่างแผนการตรวจสอบ  ส่งร่างแผนการตรวจสอบไปให้หน่วยรับตรวจพิจารณาให้การ สนับสนุน  ส่งร่างแผนการตรวจสอบไปให้ผู้บริหารระดับสูงอนุมัติ  ประกาศแผนการตรวจสอบให้หน่วยรับตรวจทราบ และขอให้ หน่วยรับตรวจรีบดำเนินการรวบรวมเอกสารหลักฐานต่าง ๆ สำหรับใช้ในการตรวจสอบเอาไว้ล่วงหน้า

14 ดำเนินการตรวจสอบการควบคุม  ดำเนินการตรวจสอบการควบคุมด้านไอทีโดยวิธีการต่าง ๆ ที่ได้ กล่าวถึงไปแล้ว  พยายามใช้ check list ในการพิจารณาว่าหน่วยรับตรวจมีการ ดำเนินการตามการควบคุมหรือไม่ การควบคุมนั้นได้ผลหรือไม่ และมีหลักฐานที่แสดงว่ามีการควบคุมหรือไม่  ในกรณีที่สำคัญให้สัมภาษณ์ผู้บริหาร และ สังเกตผู้ปฏิบัติงาน ระหว่างการทำงาน เพื่อพิจารณาว่าได้ปฏิบัติงานอย่างถูกต้อง หรือไม่  พิจารณาสรุปประเด็นที่ค้นพบ

15 การทดสอบ  ในกรณีที่พิจารณาเห็นว่าการควบคุมอาจจะมีความเสี่ยง เช่น ระบบฐานข้อมูลหรือระบบสารสนเทศอาจจะมีปัญหาผู้ตรวจสอบ อาจจะตัดสินใจทดสอบประเด็นที่เป็นปัญหานั้นได้  การทดสอบในแง่นี้คือการทดสอบระบบโดยใช้ข้อมูลทดสอบที่ จัดทำขึ้นเป็นพิเศษ เพื่อวิเคราะห์ว่าระบบ (หรือส่วนที่น่าสงสัย) จะสามารถทำงานได้อย่างถูกต้องหรือไม่  เมื่อทดสอบแล้วจึงพิจารณาประเมินผลลัพธ์ของการทดสอบ

16 การจัดทำรายงาน  รายงานการตรวจสอบคือการรายงานข้อค้นพบเกี่ยวกับการ ควบคุมระบบไอทีว่ามีข้อบกพร่องหรือไม่  ต้องเข้าใจว่าด้วยความจำกัดของเวลา และแรงงาน ผู้ตรวจสอบ จึงไม่สามารถตรวจสอบงานไอทีได้ทุกอย่าง ดังนั้นการรายงาน ของผู้ตรวจสอบจึงไม่ได้ยืนยันอย่างหนักแน่นว่าการดำเนินงาน ด้านไอทีไม่มีข้อบกพร่อง  ถ้าทุกอย่างเรียบร้อยดี เราก็เขียนรายงานแสดงได้แต่เพียงว่า เมื่อตรวจสอบตามหลักการแล้วไม่พบสิ่งผิดปกติที่น่าจะเป็น ข้อบกพร่องเท่านั้น  ถ้ามีข้อบกพร่อง ก็ให้เขียนแสดงข้อค้นพบโดยไม่ต้องเสนอแนะ ว่าจะแก้ไขอย่างไร

17 สรุป  สไลด์นี้แนะนำการวางแผนการตรวจสอบไอที อย่างคร่าว ๆ โดยชี้ว่า ผู้ตรวจสอบย่อมไม่สามารถ ตรวจสอบงานไอทีได้ทุกอย่างทุกเรื่องเพราะ ความจำกัดของเวลา ดังนั้นจึงควรวางแผนการ ตรวจสอบระยะเวลา 3 ปีให้ครอบคลุมทุกเรื่อง และกระจายประเด็นที่จะตรวจสอบทุกเรื่องให้ สามารถตรวจสอบได้ใน 3 ปี

18


ดาวน์โหลด ppt การวางแผนและ การจัดทำ IT Audit ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต.

งานนำเสนอที่คล้ายกัน


Ads by Google