การควบคุมภายในและการบริหารความเสี่ยงเกี่ยวกับระบบสารสนเทศ โครงการสัมมนาการควบคุมภายในและการตรวจสอบภายใน คณะบริหารธุรกิจ สาขาวิชาการบัญชี มหาวิทยาลัยสยาม ณ ห้องสัมมนา ชั้น 5 ตึก 12 อาคารเฉลิมพระเกียรติ วันอาทิตย์ที่ 20 กันยายน 2551 13:30-16:30 น. 14/11/61
แนะนำวิทยากร ไพรัช ศรีวิไลฤทธิ์ CIA CISA CISSP CFE CBA CFSA CCSA หัวหน้าตรวจสอบภายใน บมจ. ทิสโก้ไฟแนนเชียลกรุ๊ป ปริญญาตรีวิศวกรรมศาสตร์ จุฬาฯ (2528) ปริญญาโทบริหารธุรกิจ ธรรมศาสตร์ฯ (2533) IIA’s EIAP รุ่นที่ 7 จุฬาฯ (2546) ประสบการณ์ด้านวิศวกรรม 5 ปี ประสบการณ์ด้านการเงินในทิสโก้ 19 ปี ประธาน ชมรมผู้ตรวจสอบภายในธนาคารและสถาบันการเงิน วิทยากรและคณะทำงาน สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย 14/11/61
วัตถุประสงค์การเรียนรู้ ความเสี่ยงและการควบคุมภายในระบบเทคโนโลยีสารสนเทศ การควบคุมด้านทั่วไป (General Control) การควบคุมในระบบงาน (Application Control) มาตรฐานในการตรวจสอบงานเทคโนโลยีสารสนเทศ สรุป วันที่ 1 เวลา 9:45 น. เรามาดูกันก่อนว่าหลักสูตรนี้มีวัตถุประสงค์อย่างไรและตรงกับ “ความคาดหวังจากหลักสูตร” ของทุกคนไหม * หลักสูตรนี้ต้องการให้ผู้เข้ารับการอบรม “ตรวจสอบเป็น” จึงเน้นให้ความรู้ความเข้าใจในกระบวนการต่างๆ ในงานตรวจสอบและฝึกทักษะต่างๆ ที่จำเป็นที่ผู้ตรวจสอบภายในต้องใช้ในการปฏิบัติภารกิจงานตรวจสอบให้บรรลุผลสำเร็จตามที่ได้รับมอบหมาย ดังนี้ 1. สามารถกำหนดวัตถุประสงค์และขอบเขตการตรวจสอบ 2. เข้าใจแนวคิด หลักการ ของขั้นตอนต่างๆ ในการปฏิบัติงานตรวจสอบ 3. มีความรู้ความเข้าใจ เทคนิค และทักษะที่จำเป็น ในการปฏิบัติภารกิจงานตรวจสอบ 4. สามารถนำความรู้ที่ได้ไปประยุกต์และปรับปรุงการตรวจสอบในการปฏิบัติงานจริง วิทยากรควรไล่เรียง “ความคาดหวังจากหลักสูตร” ของผู้เข้ารับการอบรมที่จดไว้ทีละข้อ ว่าสามารถครอบคลุมโดยวัตถุประสงค์หลักสูตรหรือไม่ เพียงใด วิทยากรควรชี้แจงด้วยว่าโดยเวลาที่จำกัดของหลักสูตร ทำให้ไม่สามารถลงลึกในทักษะอื่นที่จำเป็น เช่น การสุ่มตัวอย่าง และความรู้ในเรื่องการควบคุมภายในของกิจกรรมแต่ละประเภท ซึ่งผู้เข้ารับการอบรมควรแสวงหาความรู้ดังกล่าวเพิ่มเติมด้วยตนเอง ก่อนจะเข้าสู่เนื้อหาจะขอแนะนำตัววิทยากรก่อน (ระหว่างการสัมมนา ถ้าผู้เข้าอบรมมีคำถามหรือต้องการอภิปรายเรื่องที่ยังบรรยายไม่ถึง หรือไม่ได้อยู่ในขอบเขตของหลักสูตร ให้ขออนุญาตใช้ปากกาเขียนจดพักไว้ก่อนบนฟลิปชาร์ตที่ทุกคนเห็นได้ชัด แล้วเดินตาม agenda ที่ตกลงกันไว้ โดยวิทยากรจะกลับมาพูดถึงเรื่องนี้ภายหลังเมื่อถึงเวลา) 14/11/61
ความเสี่ยงและการควบคุม ด้านเทคโนโลยีสารสนเทศ วันที่ 1 เวลา 9:45 น. เรามาดูกันก่อนว่าหลักสูตรนี้มีวัตถุประสงค์อย่างไรและตรงกับ “ความคาดหวังจากหลักสูตร” ของทุกคนไหม * หลักสูตรนี้ต้องการให้ผู้เข้ารับการอบรม “ตรวจสอบเป็น” จึงเน้นให้ความรู้ความเข้าใจในกระบวนการต่างๆ ในงานตรวจสอบและฝึกทักษะต่างๆ ที่จำเป็นที่ผู้ตรวจสอบภายในต้องใช้ในการปฏิบัติภารกิจงานตรวจสอบให้บรรลุผลสำเร็จตามที่ได้รับมอบหมาย ดังนี้ 1. สามารถกำหนดวัตถุประสงค์และขอบเขตการตรวจสอบ 2. เข้าใจแนวคิด หลักการ ของขั้นตอนต่างๆ ในการปฏิบัติงานตรวจสอบ 3. มีความรู้ความเข้าใจ เทคนิค และทักษะที่จำเป็น ในการปฏิบัติภารกิจงานตรวจสอบ 4. สามารถนำความรู้ที่ได้ไปประยุกต์และปรับปรุงการตรวจสอบในการปฏิบัติงานจริง วิทยากรควรไล่เรียง “ความคาดหวังจากหลักสูตร” ของผู้เข้ารับการอบรมที่จดไว้ทีละข้อ ว่าสามารถครอบคลุมโดยวัตถุประสงค์หลักสูตรหรือไม่ เพียงใด วิทยากรควรชี้แจงด้วยว่าโดยเวลาที่จำกัดของหลักสูตร ทำให้ไม่สามารถลงลึกในทักษะอื่นที่จำเป็น เช่น การสุ่มตัวอย่าง และความรู้ในเรื่องการควบคุมภายในของกิจกรรมแต่ละประเภท ซึ่งผู้เข้ารับการอบรมควรแสวงหาความรู้ดังกล่าวเพิ่มเติมด้วยตนเอง ก่อนจะเข้าสู่เนื้อหาจะขอแนะนำตัววิทยากรก่อน (ระหว่างการสัมมนา ถ้าผู้เข้าอบรมมีคำถามหรือต้องการอภิปรายเรื่องที่ยังบรรยายไม่ถึง หรือไม่ได้อยู่ในขอบเขตของหลักสูตร ให้ขออนุญาตใช้ปากกาเขียนจดพักไว้ก่อนบนฟลิปชาร์ตที่ทุกคนเห็นได้ชัด แล้วเดินตาม agenda ที่ตกลงกันไว้ โดยวิทยากรจะกลับมาพูดถึงเรื่องนี้ภายหลังเมื่อถึงเวลา) 14/11/61
เทคโนโลยีสารสนเทศกับองค์กร ผลกระทบจากการใช้เทคโนโลยีสารสนเทศต่อองค์กร ใช้เทคโนโลยีสารสนเทศเป็นเครื่องมือในการบริหารจัดการ การจัดเก็บข้อมูล และการประมวลผลระบบงานสำคัญ ช่วยให้การดำเนินงานขององค์กรมีความสะดวกรวดเร็ว มีประสิทธิภาพ และเพิ่มความสามารถในการแข่งขันทางธุรกิจ อาจก่อให้เกิดความเสี่ยงหรือความเสียหายต่อองค์กร หากไม่มีการบริหารจัดการและการรักษาความปลอดภัยด้านสารสนเทศที่รัดกุม 14/11/61
ความจำเป็นของระบบสารสนเทศ ระบบสารสนเทศจำเป็นต่อการทำธุรกิจเนื่องจาก ช่วยเพิ่มขีดความสามารถในการแข่งขันและให้บริการ สร้างมูลค่าเพิ่มให้กับองค์กร ระบบสารสนเทศเป็นโครงสร้างพื้นฐาน ระบบข้อมูลเพื่อการตัดสินใจ และเป็นฐานข้อมูลองค์ความรู้ต่างๆ หากระบบล่มหรือหยุดชะงักจะกระทบต่อชื่อเสียงและภาพลักษณ์ 14/11/61
ผลกระทบจากระบบสารสนเทศ ถ้าองค์กรขาดการบริหารจัดการและควบคุมความเสี่ยงด้านสารสนเทศที่เหมาะสม มีผลกระทบต่อความอยู่รอด การดำเนินงาน และชื่อเสียงขององค์กร ไม่สามารถบรรลุเป้าหมายและวัตถุประสงค์ที่วางไว้ ลดขีดความสามารถในการแข่งขัน 14/11/61
ทรัพยากรในระบบสารสนเทศ ระบบสารสนเทศที่สามารถสนับสนุนวัตถุประสงค์ทางธุรกิจต้องมี ทรัพยากร ที่เหมาะสมเพียงพอ ระบบงาน ข้อมูล เทคโนโลยีและสิ่งอำนวยความสะดวก บุคลากร 14/11/61
กระบวนการทางสารสนเทศ ระบบสารสนเทศที่สามารถสนับสนุนวัตถุประสงค์ทางธุรกิจต้องมี กระบวนการทางสารสนเทศ ที่มีประสิทธิภาพ วางแผนและจัดองค์กร จัดหาและนำระบบออกใช้ ส่งมอบและสนับสนุน ติดตามและประเมินผล 14/11/61
ความเสี่ยงในงานสารสนเทศ โครงสร้างงานสารสนเทศอาจไม่เอื้อต่อการควบคุมที่ดีและไม่มีการแบ่งแยกหน้าที่อย่างเหมาะสม การจัดทำระบบงานคอมพิวเตอร์อาจไม่สอดคล้องและตอบสนองต่อวัตถุประสงค์โดยรวมขององค์กรอย่างมีประสิทธิภาพ โปรแกรมคอมพิวเตอร์ที่ใช้งานอยู่ตามปกติอาจถูกเปลี่ยนแปลงโดยไม่ได้รับอนุญาตและไม่ถูกต้อง 14/11/61
ความเสี่ยงในงานสารสนเทศ ข้อมูลที่จัดเก็บอยู่ในระบบคอมพิวเตอร์อาจถูกนำไปใช้งานหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต ระบบคอมพิวเตอร์ที่ใช้ในการประมวลผลรายการทางธุรกิจอาจเกิดเหตุขัดข้องแล้วส่งผลกระทบทำให้ธุรกิจหยุดชะงักและไม่อาจนำระบบกลับมาใช้ใหม่ได้ภายในเวลาอันสมควร 14/11/61
การควบคุมในระบบสารสนเทศ การควบคุมในระบบสารสนเทศ แบ่งออกเป็น 2 ประเภท การควบคุมในระบบงาน (Application Control) การควบคุมด้านทั่วไป (General Control) การควบคุมที่เกี่ยวข้องกับกิจกรรมและกระบวนการในระบบสารสนเทศทั้งหมดยกเว้นการควบคุมในระบบงาน 14/11/61
การควบคุมด้านทั่วไป (General Control) วันที่ 1 เวลา 9:45 น. เรามาดูกันก่อนว่าหลักสูตรนี้มีวัตถุประสงค์อย่างไรและตรงกับ “ความคาดหวังจากหลักสูตร” ของทุกคนไหม * หลักสูตรนี้ต้องการให้ผู้เข้ารับการอบรม “ตรวจสอบเป็น” จึงเน้นให้ความรู้ความเข้าใจในกระบวนการต่างๆ ในงานตรวจสอบและฝึกทักษะต่างๆ ที่จำเป็นที่ผู้ตรวจสอบภายในต้องใช้ในการปฏิบัติภารกิจงานตรวจสอบให้บรรลุผลสำเร็จตามที่ได้รับมอบหมาย ดังนี้ 1. สามารถกำหนดวัตถุประสงค์และขอบเขตการตรวจสอบ 2. เข้าใจแนวคิด หลักการ ของขั้นตอนต่างๆ ในการปฏิบัติงานตรวจสอบ 3. มีความรู้ความเข้าใจ เทคนิค และทักษะที่จำเป็น ในการปฏิบัติภารกิจงานตรวจสอบ 4. สามารถนำความรู้ที่ได้ไปประยุกต์และปรับปรุงการตรวจสอบในการปฏิบัติงานจริง วิทยากรควรไล่เรียง “ความคาดหวังจากหลักสูตร” ของผู้เข้ารับการอบรมที่จดไว้ทีละข้อ ว่าสามารถครอบคลุมโดยวัตถุประสงค์หลักสูตรหรือไม่ เพียงใด วิทยากรควรชี้แจงด้วยว่าโดยเวลาที่จำกัดของหลักสูตร ทำให้ไม่สามารถลงลึกในทักษะอื่นที่จำเป็น เช่น การสุ่มตัวอย่าง และความรู้ในเรื่องการควบคุมภายในของกิจกรรมแต่ละประเภท ซึ่งผู้เข้ารับการอบรมควรแสวงหาความรู้ดังกล่าวเพิ่มเติมด้วยตนเอง ก่อนจะเข้าสู่เนื้อหาจะขอแนะนำตัววิทยากรก่อน (ระหว่างการสัมมนา ถ้าผู้เข้าอบรมมีคำถามหรือต้องการอภิปรายเรื่องที่ยังบรรยายไม่ถึง หรือไม่ได้อยู่ในขอบเขตของหลักสูตร ให้ขออนุญาตใช้ปากกาเขียนจดพักไว้ก่อนบนฟลิปชาร์ตที่ทุกคนเห็นได้ชัด แล้วเดินตาม agenda ที่ตกลงกันไว้ โดยวิทยากรจะกลับมาพูดถึงเรื่องนี้ภายหลังเมื่อถึงเวลา) 14/11/61
การควบคุมด้านทั่วไป การควบคุมที่เกี่ยวข้องกับกิจกรรมและกระบวนการทั้งหมด การวางแผน การบริหารงาน และการแบ่งแยกหน้าที่ มาตรฐานการพัฒนาระบบงาน การปฏิบัติการ การเปลี่ยนแปลงการแก้ไขโปรแกรม การเข้าถึงและความปลอดภัยของข้อมูล การควบคุมทางเทคนิค การจัดทำเอกสาร รายงาน และแผนฉุกเฉิน 14/11/61
พื้นฐานการควบคุมทั่วไป การรักษาความปลอดภัยทรัพย์สิน การอนุมัติและ กำกับการทำงาน การแบ่งแยกหน้าที่ 14/11/61
การจัดโครงสร้างองค์กร จัดโครงสร้างองค์กรให้แบ่งแยกหน้าที่และส่วนงานชัดเจน IT Strategy / Steering Committees เจ้าของข้อมูลและระบบงาน การรักษาความปลอดภัยและการประกันคุณภาพ เจ้าของโครงการและผู้ดูแลรักษาทรัพย์สิน ผู้ประเมินความเสี่ยงและการควบคุม เจ้าหน้าที่ปฏิบัติการ กำหนดนโยบายและแนวทางการปฏิบัติงาน 14/11/61
การแบ่งแยกหน้าที่ Staff programmers should not have access to production load libraries Computer operators should not have access to production source libraries Independent Security Administrator 14/11/61
ผังองค์กรสารสนเทศ IT Strategy Committee IT Steering Committee IT Director Computer Developments Operations Administrations Security Officer Quality Assurance Systems Programmer Systems Analyst Applications Programmer Data Control Operator Librarian Network Administrator Database Administrator **Security Administrator** 14/11/61
การวางแผน วางแผนแม่บทที่สอดคล้องกับแผนกลยุทธ์องค์กร วางแผนระยะยาว/ปานกลาง กำหนดโครงสร้างและการปฏิบัติเพื่อให้บรรลุแผนที่วางไว้ วางแผนงานระยะสั้นในแต่ละส่วนของงาน สื่อสารแผนงานกับบุคลากรในองค์กร ควบคุมการปฏิบัติงานและติดตามวัดผล 14/11/61
การพัฒนาระบบงาน ความเสี่ยงของการพัฒนาระบบงาน ระบบที่พัฒนาขึ้นมาไม่สามารถรองรับวัตถุประสงค์ของการนำระบบมาใช้ ล่าช้าหรือมีต้นทุนสูง และไม่มีเอกสารประกอบอย่างเพียงพอ การพัฒนาระบบงานใหม่ควรจัดให้มีการควบคุมภายในดังต่อไปนี้ มีการจัดทำคู่มือและมาตรฐานในการพัฒนาระบบงาน การพัฒนาระบบงานจะต้องได้รับความเห็นชอบจากผู้บริหารในส่วนของผู้ใช้ระบบ 14/11/61
การพัฒนาระบบงาน การควบคุมในการพัฒนาระบบงาน มีการกำหนดวัตถุประสงค์อย่างชัดเจน มีการทำเอกสารประกอบในแต่ละขั้นตอน มีการทดสอบโดยผู้ใช้งานเพื่อตรวจสอบ และยืนยันว่าระบบงานได้บรรลุวัตถุประสงค์ ต่างๆ อย่างครบถ้วน การโอนย้ายโปรแกรมจะต้องได้รับการอนุมัติและต้องมีการสอบทานความถูกต้องและครบถ้วนอย่างเพียงพอ เอกสารประกอบระบบงานจะต้องมีการปรับปรุงเพื่อให้สอดคล้องกับการเปลี่ยนแปลงแก้ไข 14/11/61
การพัฒนาระบบงาน การเปลี่ยนแปลงที่มีผลกระทบระบบงานอื่น ๆ อาจจำเป็นต้องมีการใช้ระบบเก่าและใหม่คู่ขนานกันไประยะหนึ่งและต้องมีการประเมินผลของการใช้งานคู่ขนานก่อนที่จะเริ่มใช้งานโปรแกรมที่เปลี่ยนแปลงใหม่โดยลำพัง การจัดทำ Business Case จะต้องมีการศึกษาความเป็นไปได้ (Feasibility Study) อย่างเพียงพอ ซึ่งต้องรวมถึงความเป็นไปได้ทางเทคนิค (Technical Feasibility) และความเป็นไปได้ทางการเงิน (Financial Feasibility) 14/11/61
การพัฒนาระบบงาน ผลกระทบต่อระบบงานอื่น ๆ และผลกระทบต่อการควบคุมภายใน (Impact Analysis) จะต้องมีการบันทึกข้อกำหนดและ ความต้องการของระบบอย่างเป็น ลายลักษณ์อักษร 14/11/61
การปฏิบัติงานในศูนย์คอมพิวเตอร์ ระเบียบวิธีปฏิบัติงานภายในศูนย์คอมพิวเตอร์ การควบคุมการปฏิบัติการในงานประจำวันของศูนย์คอมพิวเตอร์เพื่อให้ การใช้ระบบเป็นไปตามวัตถุประสงค์ ผู้เข้าสู่ระบบเป็นพนักงานที่ได้รับอนุมัติ โปรแกรมที่ใช้งานเป็นโปรแกรมที่ได้รับอนุมัติ และ เพื่อให้มั่นใจว่าการประมวลผลที่ผิดพลาดต่าง ๆ ถูกค้นพบและแก้ไขได้ทันกาลและเหมาะสม 14/11/61
การปฏิบัติงานในศูนย์คอมพิวเตอร์ การประมวลผลระบบสารสนเทศควรจัดทำตารางการประมวลผลซึ่งได้รับการอนุมัติอย่างเหมาะสม บันทึกข้อมูลในแต่ละขั้นตอนของการประมวลผล ซึ่งควรจะมีข้อมูลขั้นต่ำดังต่อไปนี้ ชื่อของผู้ประมวลผล เวลาเริ่มต้นและเวลาสิ้นสุดของการประมวลผล ผลของการประมวลผล ปัญหาที่เกิดขึ้นและการดำเนินการแก้ไข ต้องมีการสอบทานโดยผู้ควบคุมงานอย่างสม่ำเสมอ 14/11/61
การบำรุงรักษาระบบคอมพิวเตอร์ การจัดทำตารางการบำรุงรักษาระบบคอมพิวเตอร์ การลงบันทึกการบำรุงรักษาทั้งจากเจ้าหน้าที่ศูนย์คอมพิวเตอร์และจากเจ้าหน้าที่จากบริษัทคอมพิวเตอร์และอื่นๆ การสอบทานตารางบำรุงรักษาอย่างสม่ำเสมอ การแก้ไขปัญหาและการบันทึกการแก้ไข มีการจัดทำสมุดบันทึกการเกิดปัญหาและ การแก้ไขปัญหาโดยผู้ปฏิบัติงานภายใน ศูนย์คอมพิวเตอร์อย่างสม่ำเสมอ 14/11/61
การเปลี่ยนแปลงแก้ไขโปรแกรม การควบคุมการเปลี่ยนแปลงแก้ไขโปรแกรม ความเสี่ยงที่โปรแกรมจะเกิดข้อผิดพลาดในการประมวลผล การควบคุมในขั้นตอนของการเปลี่ยนแปลงแก้ไขโปรแกรม ให้มีการแบ่งแยกหน้าที่ระหว่าง ผู้พัฒนาระบบ ศูนย์คอมพิวเตอร์ และผู้ใช้งาน 14/11/61
การเปลี่ยนแปลงแก้ไขโปรแกรม การควบคุมการเปลี่ยนแปลงแก้ไขโปรแกรม แยกสภาพแวดล้อมของระบบงานที่ใช้งานจริงกับระบบงานที่ใช้ทดสอบ การเปลี่ยนแปลงจะต้องได้รับ การอนุมัติโดยผู้บริหารของ หน่วยงานที่เป็นเจ้าของ ระบบงาน A C E S O N T R L DEVELOP MENT PRODUCTION 14/11/61
การควบคุมการเข้าถึงทรัพยากร จัดให้มีสภาพแวดล้อมที่เหมาะสมต่อการทำงาน ป้องกันเครื่องมือและอุปกรณ์จากการกระทำของมนุษย์ และภัยธรรมชาติ ติดตั้งเครื่องมือทางระบบสารสนเทศในสภาพแวดล้อมที่เหมาะสม จัดให้มีการควบคุมทางกายภาพและทบทวนเพื่อรักษาสภาพการใช้งานอยู่ตลอดเวลา การเข้าถึง Resources ต่างๆ การพิจารณาสถานที่ตั้ง 14/11/61
การควบคุมการเข้าถึงทรัพยากร การรักษาความปลอดภัยทางกายภาพ การตรวจตราดูแลและเพิ่มนโยบายให้ครอบคลุม การวางแผนธุรกิจต่อเนื่องและแผนฉุกเฉิน สุขอนามัยและความปลอดภัยของพนักงาน นโยบายการบำรุงรักษาเชิงป้องกัน การป้องกันภัยคุกคามจากสภาพแวดล้อม ระบบติดตามดูแลอัตโนมัติ 14/11/61
การควบคุมการรักษาความปลอดภัย นโยบายรักษาความปลอดภัยของข้อมูล Security Baseline การป้องกันและตรวจจับไวรัสคอมพิวเตอร์ Firewalls and Network Devices การบริหารความปลอดภัยระบบรวมศูนย์ การอบรมผู้ใช้งาน เครื่องมือในการติดตามให้เป็นไปตามกฎระเบียบข้อบังคับ การทดสอบการบุกรุกและรายงาน 14/11/61
การควบคุมการรักษาความปลอดภัย จัดทำนโยบายและแต่งตั้งผู้ดูแลรักษาความปลอดภัยระบบงานคอมพิวเตอร์ การควบคุมความปลอดภัยของระบบมีวัตถุประสงค์เพื่อ ป้องกันการนำข้อมูลไปใช้โดยไม่ได้รับอนุมัติ ป้องกันการเปิดเผยข้อมูลและการเปลี่ยนแปลงแก้ไข ป้องกันการเสียหายและสูญหายของข้อมูล โดยวางระบบป้องกันการเข้าถึง (Logical Security) ทั้งในระดับของเครือข่าย ระบบปฏิบัติการ และในระบบงาน และระบบป้องกันการเข้าถึงทางกายภาพ (Physical Security) 14/11/61
Information Security Classification Information System Security Aspect Classification Confidentiality Integrity Availability High Sensitivity Level Medium Low 14/11/61
การควบคุมการรักษาความปลอดภัย การคุ้มครองความเป็นส่วนตัวและการรักษาความลับ การอนุญาตให้ใช้งาน การพิสูจน์ตัวตน และการควบคุมการเข้าถึง การระบุตัวบุคคล และประวัติการอนุมัติการใช้งาน สิ่งที่จำเป็นต้องมีและสิ่งที่จำเป็นต้องรู้ การจัดการหลักเกี่ยวกับการสร้างรหัส การจัดการเหตุเฉพาะหน้า การรายงานและติดตามผล 14/11/61
การควบคุมทางด้านเทคนิค เป็นการควบคุมทั่วไปด้านการเข้าสู่ระบบงาน (Logical Access Controls) โดยเฉพาะในเรื่องของการรักษาความปลอดภัยของระบบงานและข้อมูล เพื่อให้มั่นใจว่าค่าตัวแปรที่กำหนดการทำงานของระบบปฏิบัติการต่าง ๆ ระบบฐานข้อมูล และอุปกรณ์ทางด้านการสื่อสารและเครือข่าย (Telecommunication and Network Equipment) ได้กำหนดไว้อย่างเหมาะสม สอดคล้องตามระเบียบและ นโยบายของความปลอดภัย 14/11/61
การแสดงและพิสูจน์ตัวตน การแสดงตน/พิสูจน์ตน (Authentication) กำหนด / สอบทานสิทธิเข้าถึงข้อมูลและโปรแกรม กำหนดหลักเกณฑ์ / ควบคุมการใช้รหัสผ่าน กำหนดการใช้ User ที่มีสิทธิพิเศษหรือ User ที่เป็นค่า Default ของระบบปฏิบัติการ กำหนดสิทธิพิเศษสำหรับ User ID เฉพาะ กำหนดกลุ่มผู้ใช้ระบบงานและการเป็นสมาชิกในกลุ่มผู้ใช้ระบบงาน 14/11/61
การกำหนดสิทธิการเข้าถึง การกำหนดสิทธิการเข้าถึง (Authorization) กำหนดโครงสร้างแฟ้มข้อมูล กำหนดทรัพยากรของระบบงานที่สำคัญและต้องดูแลพิเศษ เช่น แฟ้มข้อมูล คำสั่งในการเขียนโปรแกรม โปรแกรม Utility อุปกรณ์สื่อสารหรือเครื่องพิมพ์ เป็นต้น กำหนดสิทธิในการใช้ทรัพยากรดังกล่าว ติดตามและดูแลการทำงานของระบบปฏิบัติการ (Audit Logging) อย่างต่อเนื่องและเหมาะสม 14/11/61
การกำหนดสิทธิการเข้าถึง การกำหนดสิทธิการเข้าถึง (Authorization) กำหนดค่าตัวแปรในการติดตามรายการผิดปกติหรือการพยายามเข้าถึงระบบงานด้วย User ที่มีสิทธิพิเศษ ติดตามดูแลกิจกรรมของ User ที่มีสิทธิพิเศษหรือเจ้าหน้าที่ผู้ดูแลจัดการระบบ ติดตามการใช้โปรแกรมหรือคำสั่งระบบงานพิเศษ 14/11/61
การกำหนดสิทธิการเข้าถึง SYSTEM LEVEL Program Command Data Files No Access Execute Read Write Update Control FILES DIRECTORY Library Directory Folder TERMINALS 14/11/61
การกำหนดสิทธิการเข้าถึง APPLICATION LEVEL MODULE No Access Execute Read Write Update Control FUNCTION MENU RECORD FIELD 14/11/61
การกำหนดสิทธิการเข้าถึง DATABASE LEVEL DATABASE No Access Execute Read Write Update Control TABLE VIEW INSTANCE ELEMENT 14/11/61
การพิมพ์และการจัดส่งรายงาน มีตารางการจัดส่งรายงานทุกระบบงานที่ประมวลผล จะต้องมีการเซ็นรับรายงานโดยเจ้าหน้าที่ที่ได้รับมอบหมาย รายงานที่ขอเพิ่มเติมหรือขอในกรณีพิเศษจะต้องมีการอนุมัติอย่างเหมาะสม ระเบียบข้างต้นครอบคลุมถึงผลลัพธ์จากระบบงานที่อาจจะอยู่ในรูปของรายงาน เทปแม่เหล็ก หรือ Diskette ฯลฯ 14/11/61
แผนฉุกเฉินและแผนการกู้ระบบ ลดความเสี่ยงที่จะทำให้การดำเนินธุรกิจหยุดชะงัก เมื่อเกิดเหตุฉุกเฉินแล้วต้องสามารถกู้ระบบกลับคืนได้ภายในระยะเวลาที่กำหนด การจัดทำแผนฉุกเฉินควรมีการวิเคราะห์ความเสี่ยงของระบบงานและข้อมูลเพื่อที่จะได้กำหนดกลยุทธ์และแผนการกู้ระบบที่เหมาะสม 14/11/61
แผนฉุกเฉินและแผนการกู้ระบบ ผลกระทบจากกลยุทธ์ระบบสารสนเทศที่มีต่อแผนการกู้ระบบ ระบบสารสนเทศมีไว้เพื่อบริการลูกค้าตลอด 24 ชั่วโมงและหยุดให้บริการไม่ได้ อาจจำเป็นต้องมีศูนย์สำรองที่เชื่อมต่อระหว่างกันตลอดเวลารองรับ ระบบงานที่มีความเสี่ยงต่ำอาจไม่จำเป็นต้องกู้ระบบได้ในทันที เพียงการจัดเก็บชุดข้อมูลสำรองและระบบงานไว้นอกสถานที่ก็อาจจะพอแล้ว 14/11/61
แผนฉุกเฉินและแผนการกู้ระบบ ขั้นตอนการจัดทำแผนฉุกเฉิน ระบุและจัดลำดับระบบงานที่จะจัดทำแผนรองรับโดยพิจารณาความเสี่ยงและระดับความสำคัญต่อองค์กร (Business Impact Analysis) กำหนดกลยุทธ์ในการกู้ระบบ กำหนดทีมงานที่เกี่ยวข้อง จัดทำแผน ดำเนินการตามแผนและทดสอบ 14/11/61
แผนฉุกเฉินและแผนการกู้ระบบ การทดสอบแผนฉุกเฉิน เพื่อให้แผนฉุกเฉินใช้งานได้จริงเมื่อเกิดอุบัติภัยและเพื่อให้ผู้ใช้งานคุ้นเคยต่อการปฏิบัติงานตามแผน การสำรองข้อมูลก็ต้องมีการทดสอบนำข้อมูลสำรองมาใช้งานให้ได้ตลอดกระบวนการ ปรับปรุงแผนให้เป็นปัจจุบันอยู่เสมอ 14/11/61
การควบคุมในระบบงาน (Application Control) วันที่ 1 เวลา 9:45 น. เรามาดูกันก่อนว่าหลักสูตรนี้มีวัตถุประสงค์อย่างไรและตรงกับ “ความคาดหวังจากหลักสูตร” ของทุกคนไหม * หลักสูตรนี้ต้องการให้ผู้เข้ารับการอบรม “ตรวจสอบเป็น” จึงเน้นให้ความรู้ความเข้าใจในกระบวนการต่างๆ ในงานตรวจสอบและฝึกทักษะต่างๆ ที่จำเป็นที่ผู้ตรวจสอบภายในต้องใช้ในการปฏิบัติภารกิจงานตรวจสอบให้บรรลุผลสำเร็จตามที่ได้รับมอบหมาย ดังนี้ 1. สามารถกำหนดวัตถุประสงค์และขอบเขตการตรวจสอบ 2. เข้าใจแนวคิด หลักการ ของขั้นตอนต่างๆ ในการปฏิบัติงานตรวจสอบ 3. มีความรู้ความเข้าใจ เทคนิค และทักษะที่จำเป็น ในการปฏิบัติภารกิจงานตรวจสอบ 4. สามารถนำความรู้ที่ได้ไปประยุกต์และปรับปรุงการตรวจสอบในการปฏิบัติงานจริง วิทยากรควรไล่เรียง “ความคาดหวังจากหลักสูตร” ของผู้เข้ารับการอบรมที่จดไว้ทีละข้อ ว่าสามารถครอบคลุมโดยวัตถุประสงค์หลักสูตรหรือไม่ เพียงใด วิทยากรควรชี้แจงด้วยว่าโดยเวลาที่จำกัดของหลักสูตร ทำให้ไม่สามารถลงลึกในทักษะอื่นที่จำเป็น เช่น การสุ่มตัวอย่าง และความรู้ในเรื่องการควบคุมภายในของกิจกรรมแต่ละประเภท ซึ่งผู้เข้ารับการอบรมควรแสวงหาความรู้ดังกล่าวเพิ่มเติมด้วยตนเอง ก่อนจะเข้าสู่เนื้อหาจะขอแนะนำตัววิทยากรก่อน (ระหว่างการสัมมนา ถ้าผู้เข้าอบรมมีคำถามหรือต้องการอภิปรายเรื่องที่ยังบรรยายไม่ถึง หรือไม่ได้อยู่ในขอบเขตของหลักสูตร ให้ขออนุญาตใช้ปากกาเขียนจดพักไว้ก่อนบนฟลิปชาร์ตที่ทุกคนเห็นได้ชัด แล้วเดินตาม agenda ที่ตกลงกันไว้ โดยวิทยากรจะกลับมาพูดถึงเรื่องนี้ภายหลังเมื่อถึงเวลา) 14/11/61
การควบคุมในระบบงาน การควบคุมที่เกี่ยวข้องเฉพาะระบบงานแต่ละระบบ หรือโปรแกรมประยุกต์ ได้แก่ การควบคุมการนำเข้าข้อมูล (Input Control) การควบคุมในขั้นตอนการประมวลผล (Processing Control) และการควบคุมผลลัพธ์และรายงานที่ได้รับจากระบบ (Output Control) 14/11/61
การควบคุมการนำเข้าข้อมูล เพื่อให้แน่ใจว่าการนำรายการเข้าระบบได้รับอนุมัติอย่างถูกต้อง ทุกรายการที่ได้รับอนุมัติถูกนำไปบันทึกลงในแฟ้มอย่างถูกต้องครบถ้วน ไม่มีการเพิ่มเติม ไม่ซ้ำหรือไม่มีการแก้ไข ทุกรายการที่ได้รับอนุมัติแต่พบว่าไม่ถูกต้องจะต้องไม่ถูกนำเข้า แต่จะถูกนำกลับไปแก้ไขให้ถูกต้องก่อนแล้วจึงนำกลับเข้าระบบในงวดที่ถูกต้องภายหลัง 14/11/61
การควบคุมการนำเข้าข้อมูล ประเด็นการควบคุมมีดังต่อไปนี้ ระบบงานคอมพิวเตอร์จะต้องสามารถแบ่งแยกและจำกัดสิทธิผู้ใช้ระบบให้สอดคล้องกับหน้าที่และตามความรับผิดชอบของแต่ละคน รายการต่างๆ จะต้องได้รับอนุมัติอย่างเหมาะสมก่อนถูกบันทึกเข้าสู่ระบบ 14/11/61
การตรวจสอบความถูกต้องข้อมูล ระหว่างบันทึกเข้า ครบถ้วน ถูกต้อง เช่น ประเภท Check Digit ค่าพิสัย ค่าตารางหลักเกณฑ์สำคัญ ตรวจสอบความครบถ้วนและถูกต้อง หลังการบันทึก โดยผู้ที่มิได้บันทึกข้อมูลเอง ออกแบบโปรแกรมคอมพิวเตอร์ให้ กันรายการที่ผิดปกติ เช่น รายการที่ไม่ผ่านการตรวจข้อจำกัด เช่น วงเงิน หรือรายการไม่สมบูรณ์ ไว้ตรวจสอบต่างหาก 14/11/61
การตรวจสอบความถูกต้องข้อมูล การนำข้อมูลเหล่านี้กลับเข้าสู่การประมวลผลตามปกติจะต้องได้รับการสอบทานและอนุมัติอย่างเหมาะสม และมีการรวบรวมและรายงานรายการเหล่านี้ให้ผู้บริหารรับทราบ ในกรณีที่ข้อมูลจากระบบหนึ่งเป็นผลลัพธ์เพื่อส่งไปเป็นข้อมูลนำเข้าของอีกระบบหนึ่ง การรับข้อมูลจากระบบงานอื่นควรมีการตรวจสอบความถูกต้องและครบถ้วนโดยอาจใช้ยอดรวม (Control Total) และ/หรือยอดรวมจำนวนรายการ (Record Count) ในการควบคุม และมีการกระทบยอดข้อมูลที่สำคัญระหว่างระบบงาน 14/11/61
การตรวจสอบความถูกต้องข้อมูล ในกรณีที่มีความเสี่ยงในการที่ข้อมูลอาจถูกลักลอบนำไปใช้หรืออาจมีการเปลี่ยนแปลงข้อมูลระหว่างทาง ควรจัดให้มีการเข้ารหัสข้อมูล (Encryption) ก่อนการส่ง และถอดรหัสข้อมูล (Decryption) กลับคืนระหว่างการรับข้อมูล ในกรณีข้างต้นจะต้องจัดให้มีการควบคุมการใช้กุญแจการเข้ารหัส (Encryption Key) อย่างรัดกุม และควรเปลี่ยนกุญแจการเข้ารหัสอย่างสม่ำเสมอ 14/11/61
การควบคุมในขั้นการประมวลผล รายการต่างๆ รวมทั้งรายการที่สร้างขึ้นโดยระบบงานได้ถูกประมวลผลอย่างเหมาะสมโดยคอมพิวเตอร์ ภายหลังจากการนำเข้าหรือสร้างขึ้นโดยระบบงานแล้ว ไม่สูญหาย ไม่มีการเพิ่มเติม ถูกประมวลซ้ำ หรือมีการเปลี่ยนแปลงอย่างไม่มีเหตุผลสมควร ข้อผิดพลาดจากการประมวลผลจะถูกตรวจพบและแก้ไขได้ทันเวลา 14/11/61
การควบคุมในขั้นการประมวลผล ประเด็นการควบคุม ควบคุมยอดรวม ตรวจสอบยอดรวม (Control Total) และ/หรือ ยอดรายการที่ประมวลผล (Record Count) ควบคุมความถูกต้อง ตรวจสอบป้ายชื่อภายนอกและภายใน การกำหนดชื่อ การบ่งชี้ File ในระบบก่อนเข้ากระบวนการ และป้องกันการเข้าถึง อ่าน และแก้ไขข้อมูลระหว่างการทำงานของโปรแกรม ควบคุมการเข้าถึง สอบทานการทำงานของผู้ใช้งานจาก Console Log การกู้ข้อมูลจากรายงาน ออกรายงานเกี่ยวกับการควบคุม 14/11/61
การควบคุมผลลัพธ์และรายงาน การควบคุมที่กำหนดขึ้นเพื่อให้ความมั่นใจว่าแฟ้มข้อมูลผลลัพธ์หรือรายงานที่ได้รับจากระบบงานนั้นมีความถูกต้อง จำกัดการเข้าไปเกี่ยวข้องหรือนำข้อมูลที่ได้รับจากระบบออกมาโดยผู้ได้รับอนุมัติเท่านั้น และมีการส่งผลลัพธ์ข้อมูลและรายงานไปยังบุคคลซึ่งได้รับอนุมัติอย่างทันเวลา ยืนยันยอดหรือการสอบทานยอดของข้อมูลผลลัพธ์ว่าครบถ้วนและถูกต้อง ทำรายงานข้อมูลผิดพลาด จากกลุ่มงานที่มีความรับผิดชอบในการควบคุมข้อมูลและส่งให้ผู้เกี่ยวข้องทราบเพื่อแก้ไข และส่งข้อมูลที่แก้ไขแล้วเข้ามาประมวลผลใหม่ 14/11/61
การควบคุมผลลัพธ์และรายงาน หน่วยงานคอมพิวเตอร์ต้องจัดทำรายชื่อผู้ใช้เพื่อใช้ในการแจกจ่ายรายงานจากระบบ (Report Distribution List) เพื่อให้ผู้จัดส่งทราบผู้รับปลายทางที่แน่ชัด มีขั้นตอนให้ผู้รับรายงานต้องลงลายมือชื่อรับรายงานทุกครั้ง ใช้รูปแบบรายงานที่รักษาความลับของข้อมูลได้ เช่น ซองกระดาษคาร์บอน สำหรับข้อมูลสำคัญ เช่น รหัสผ่านหรือเงินเดือนพนักงาน 14/11/61
เทคนิคการทดสอบโปรแกรม 1. เลือกส่วนของโปรแกรมที่จะทดสอบ 2. พิจารณารายการที่ทดสอบ ว่าต้องการผลลักษณะใด พยายามให้ครอบคลุมและสมเหตุสมผล 3. ใช้ข้อมูลจาก Master File (Input) ตัวจริงเป็นหลัก สร้าง Transactions จากเหตุการณ์จริงเข้าไปเดินรายการและเทียบผลกับ Master File (Output) 4. ทดสอบทั้งสภาวการณ์ที่ปกติและผิดปกติ 5. สำเนาโปรแกรมที่ใช้งานจริงมาทดสอบ 6. เตรียมการทดสอบเพื่อให้ข้อมูลนำเข้า การประมวลผล และผลที่ได้รับจากการประมวลผลอยู่ในรูปแบบที่ต้องการ 14/11/61
มาตรฐานในการตรวจสอบ งานเทคโนโลยีสารสนเทศ วันที่ 1 เวลา 9:45 น. เรามาดูกันก่อนว่าหลักสูตรนี้มีวัตถุประสงค์อย่างไรและตรงกับ “ความคาดหวังจากหลักสูตร” ของทุกคนไหม * หลักสูตรนี้ต้องการให้ผู้เข้ารับการอบรม “ตรวจสอบเป็น” จึงเน้นให้ความรู้ความเข้าใจในกระบวนการต่างๆ ในงานตรวจสอบและฝึกทักษะต่างๆ ที่จำเป็นที่ผู้ตรวจสอบภายในต้องใช้ในการปฏิบัติภารกิจงานตรวจสอบให้บรรลุผลสำเร็จตามที่ได้รับมอบหมาย ดังนี้ 1. สามารถกำหนดวัตถุประสงค์และขอบเขตการตรวจสอบ 2. เข้าใจแนวคิด หลักการ ของขั้นตอนต่างๆ ในการปฏิบัติงานตรวจสอบ 3. มีความรู้ความเข้าใจ เทคนิค และทักษะที่จำเป็น ในการปฏิบัติภารกิจงานตรวจสอบ 4. สามารถนำความรู้ที่ได้ไปประยุกต์และปรับปรุงการตรวจสอบในการปฏิบัติงานจริง วิทยากรควรไล่เรียง “ความคาดหวังจากหลักสูตร” ของผู้เข้ารับการอบรมที่จดไว้ทีละข้อ ว่าสามารถครอบคลุมโดยวัตถุประสงค์หลักสูตรหรือไม่ เพียงใด วิทยากรควรชี้แจงด้วยว่าโดยเวลาที่จำกัดของหลักสูตร ทำให้ไม่สามารถลงลึกในทักษะอื่นที่จำเป็น เช่น การสุ่มตัวอย่าง และความรู้ในเรื่องการควบคุมภายในของกิจกรรมแต่ละประเภท ซึ่งผู้เข้ารับการอบรมควรแสวงหาความรู้ดังกล่าวเพิ่มเติมด้วยตนเอง ก่อนจะเข้าสู่เนื้อหาจะขอแนะนำตัววิทยากรก่อน (ระหว่างการสัมมนา ถ้าผู้เข้าอบรมมีคำถามหรือต้องการอภิปรายเรื่องที่ยังบรรยายไม่ถึง หรือไม่ได้อยู่ในขอบเขตของหลักสูตร ให้ขออนุญาตใช้ปากกาเขียนจดพักไว้ก่อนบนฟลิปชาร์ตที่ทุกคนเห็นได้ชัด แล้วเดินตาม agenda ที่ตกลงกันไว้ โดยวิทยากรจะกลับมาพูดถึงเรื่องนี้ภายหลังเมื่อถึงเวลา) 14/11/61
มาตรฐานในการตรวจสอบ CobiT: An IT Control Framework CobiT: Control Objectives for Information and Related Technology โดยสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ (ISACA) IT Governance Alignment with business and providing transparent value Top management attention Performance measurement and continuous improvement 14/11/61
CobiT: IT Control Framework Starts from the premise that IT needs to deliver the information that the enterprise needs to achieve its objectives. Promotes process focus and process ownership Divides IT into 34 processes belonging to four domains and provides a high level control objective for each Looks at fiduciary, quality and security needs of enterprises,providing seven information criteria that can be used to generically define what the business requires from IT Is supported by a set of over 300 detailed control objectives Plan & Organize Acquire & Implement Delivery & Support Monitor & Evaluate Effectiveness Efficiency Availability Integrity Confidentiality Reliability Compliance 14/11/61
วัตถุประสงค์ของหน่วยงาน CobiT: IT Processes วัตถุประสงค์ของหน่วยงาน ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ CobiT สารสนเทศ เฝ้าติดตามและประเมินผล วางแผนและจัดองค์กร ประสิทธิผล ประสิทธิภาพ การรักษาความลับ ความครบถ้วนถูกต้อง สภาพพร้อมใช้งาน การปฏิบัติตาม ความเชื่อถือได้ ทรัพยากรด้านเทคโนโลยี ระบบงานประยุกต์ ข้อมูล เทคโนโลยีและสิ่งอำนวยความสะดวก บุคลากร จัดหาและนำระบบออกใช้ ส่งมอบและสนับสนุน 14/11/61
คุณลักษณะสารสนเทศที่ดี ความต้องการบรรลุวัตถุประสงค์ทางธุรกิจที่เกี่ยวข้องกับสารสนเทศจำเป็นต้องมีคุณสมบัติของสารสนเทศที่ดีแบ่งเป็น 3 ด้าน ความต้องการด้านคุณภาพ (Quality Requirement) คุณภาพ ต้นทุน - การส่งมอบ ความต้องการด้านความไว้วางใจ (Fiduciary Requirement) - การมีประสิทธิภาพและประสิทธิผลในการดำเนินงาน - ความเชื่อถือได้ของข้อมูล - การปฏิบัติตามกฎหมายและข้อบังคับต่างๆ ความต้องการด้านการรักษาความปลอดภัย (Security Requirement) - การรักษาความลับของข้อมูล - ความครบถ้วนถูกต้อง - สภาพพร้อมใช้งาน 14/11/61
คุณลักษณะสารสนเทศที่ดี Quality Requirements: • Quality • Delivery • Cost Security Requirements • Confidentiality • Integrity • Availability Fiduciary Requirements (COSO Requirement) • Effectiveness and efficiency of operations • Compliance with laws and regulations • Reliability of financial reporting Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability 14/11/61
ความเสี่ยงระบบสารสนเทศ การนำระบบสารสนเทศมาใช้มีความเสี่ยงต่อการบรรลุวัตถุประสงค์ ในการดำเนินธุรกิจ ประสิทธิผล (Effectiveness) ประสิทธิภาพ (Efficiency) การรักษาความลับ (Confidentiality) ความสมบูรณ์ ครบถ้วนถูกต้อง (Integrity) สภาพพร้อมใช้งาน (Availability) การปฏิบัติตามกฎหมายและข้อบังคับ (Compliance) ความเชื่อถือได้ (Reliability) 14/11/61
วัตถุประสงค์ระบบสารสนเทศ ประสิทธิผล สารสนเทศที่ตรงประเด็นและสัมพันธ์กับกระบวนการทางธุรกิจ ทันต่อเวลา ถูกต้อง สม่ำเสมอ และนำไปใช้ประโยชน์ได้ ประสิทธิภาพ การได้มาซึ่งสารสนเทศโดยการใช้ประโยชน์จากทรัพยากรต่าง ๆ อย่างเต็มที่ การรักษาความลับ การป้องกันการเปิดเผยข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต ความสมบูรณ์ ความครบถ้วนถูกต้อง รวมทั้งเป็นสารสนเทศที่ใช้ได้อย่างสอดคล้องกับความคาดหวังของธุรกิจ 14/11/61
วัตถุประสงค์ระบบสารสนเทศ สภาพพร้อมใช้งาน เมื่อต้องการใช้งานทั้งในปัจจุบันและอนาคต รวมถึงการรักษาความปลอดภัยและความสามารถในการใช้งานของทรัพยากรต่าง ๆ ที่เกี่ยวข้อง การปฏิบัติตามกฎ ระเบียบ ข้อบังคับ และข้อสัญญาที่เกี่ยวข้อง ความเชื่อถือได้ การให้สารสนเทศที่เหมาะสมแก่ผู้บริหารเพื่อใช้ในการดำเนินการและเพื่อให้สามารถปฏิบัติตามความรับผิดชอบในเรื่องการรายงานข้อมูลทางการเงิน และรายงานการปฏิบัติให้เป็นไปตามกฎ 14/11/61
Plan & Organize วางแผนและจัดองค์การ Domain 1 – (PO) 14/11/61
จัดหาและนำระบบออกใช้ (AI) Acquire & Implement AI1 การกำหนดความต้องการใช้งานของระบบงาน AI2 การจัดหาและบำรุงรักษาระบบงาน AI3 การจัดหาและบำรุงรักษาโครงสร้างพื้นฐานสารสนเทศ AI4 การจัดเตรียมการถ่ายโอนความรู้ในการใช้งานระบบงาน AI5 การจัดหาทรัพยากรสารสนเทศ AI6 การบริหารการเปลี่ยนแปลงระบบสารสนเทศ AI7 การติดตั้งและให้การรับรองระบบงาน Domain 2 – (AI) จัดหาและนำระบบออกใช้ (AI) 14/11/61
ส่งมอบและสนับสนุน (DS) Delivery & Support DS1 กำหนดและบริหารจัดการระดับการให้บริการ DS2 การบริหารจัดการการให้บริการโดยหน่วยงานภายนอก DS3 การบริหารจัดการประสิทธิภาพและความสามารถของระบบ DS4 การบริหารจัดการเพื่อสร้างความต่อเนื่องให้กับธุรกิจ DS5 การบริหารจัดการความมั่นคงปลอดภัยสำหรับระบบ DS6 การกำหนด Cost model และการคิดค่าบริการ DS7 การอบรมและให้ความรู้แก่ผู้ใช้งาน DS8 การบริหารจัดการ incidents DS9 การบริหารจัดการองค์ประกอบของระบบงาน DS10 การบริหารจัดการปัญหา DS11 การบริหารจัดการข้อมูล DS12 การบริหารจัดการความมั่นคงปลอดภัยทางกายภาพ DS13 การบริหารจัดการการปฏิบัติงาน Domain 3 – (DS) ส่งมอบและสนับสนุน (DS) 14/11/61
ติดตามและประเมินผล (ME) Monitor & Evaluate ME1 การเฝ้าระวังและประเมินประสิทธิภาพทางด้านสารสนเทศ ME2 การเฝ้าระวังและประเมินมาตรการควบคุมภายใน ME3 การตรวจสอบความสอดคล้องกับข้อบังคับภายนอก ME4 การบริหารจัดการและการกำกับดูแลสารสนเทศที่ดี Domain 4 – (ME) ติดตามและประเมินผล (ME) 14/11/61
Maturity Model 1 2 3 4 5 Where we are (As-Is) Industry Best Practice International Standard Guidelines Where we want to be (To-Be) 0 Non-Existent : Management processes are not applied at all 1 Initial : Processes are ad hoc and disorganized 2 Repeatable : Processes follow a regular pattern 3 Defined : Processes are documented and communicated 4 Managed : Processes are monitored and measured 5 Optimized : Best practices are followed and automated 14/11/61
CobiT v.s. Other Frameworks Organizations find it convenient to use CobiT because CobiT relates to other frameworks, such as ITIL, ISO 17799, CMM, and COSO. ITIL ISO 17799 CMM COSO The IT Infrastructure Library is a collection of best practices in IT service management. It is focused on the “how” of IT or service and its processes and the central role of the user. The Code of Practice for Information Security Management is an international standard based on BS 7799-1. It is presented as the best practice for implementing information security management. The scheme for certification of the software quality management system to improve the effectiveness of the quality management system and targets customers, suppliers and assurance professionals The COSO Framework is an effective standard and an accepted framework for establishing internal controls and determining their effectiveness. 14/11/61
กระบวนการ ตรวจสอบ การวางแผน การตรวจสอบ การเตรียมการ สำหรับงาน ตรวจสอบ การรายงานผล การตรวจสอบและ การติดตามผล การประเมินความเสี่ยง แผนระยะยาว แผนประจำปี ผังทางเดินเอกสาร (Document Flowchart) แบบสอบถามการควบคุม (ICQ) แนวการตรวจสอบ (Audit Program) รายงานผลการตรวจสอบ รายงานการติดตามผล หนังสือแจ้งผู้รับตรวจ แผนภารกิจ กระดาษทำการ ประเด็นการตรวจสอบ การสำรวจเบื้องต้น และการสอบทาน ระบบการควบคุม วันที่ 1 เวลา 10:50 น. ต่อไปเราจะดูถึงกระบวนการที่ผู้ตรวจสอบใช้ในการตรวจสอบเพื่อให้ความเชื่อมั่นแก่ผู้บริหารว่าองค์กรและกิจกรรมต่างๆ สามารถบรรลุวัตถุประสงค์ได้ * จากหนังสือแนวทางการตรวจสอบภายใน หน้า 118-120 ผู้บรรยายใช้เวลาสั้นๆ ทำความเข้าใจกับขั้นตอนต่างๆ ในงานตรวจสอบ กระบวนการตรวจสอบ 1 การวางแผนการตรวจสอบ การวางแผนการตรวจสอบที่ดี จะช่วยให้การปฏิบัติงานเป็นไปตามวัตถุประสงค์ภายในระยะเวลา งบประมาณและอัตรากำลังที่กำหนด ทำให้การปฏิบัติงานมีประสิทธิภาพประสิทธิผล ดังนั้นจึงจำเป็นต้องมีการวางแผนการตรวจสอบอย่างเป็นระบบ กำหนดกลยุทธ์ในการเลือกผู้รับการตรวจสอบ ระบุผู้รับการตรวจสอบ จัดลำดับความเสี่ยงของผู้รับการตรวจสอบ เลือกผู้รับการตรวจสอบ จัดทำแผนการตรวจสอบ 2 การเตรียมการสำหรับงานตรวจสอบ การเตรียมการจะเริ่มตั้งแต่การศึกษาข้อมูลพื้นฐาน เพื่อนำมากำหนดวัตถุประสงค์ และขอบเขตของการตรวจสอบ เลือกทีมตรวจ การจัดทำแผนการตรวจสอบ ขออนุมัติเพื่อทำการตรวจและมีหนังสือแจ้งผู้รับตรวจ 3 การสำรวจเบื้องต้นและการสอบทานระบบการควบคุม การสำรวจเบื้องต้นเป็นการศึกษาทำความเข้าใจหน่วยรับตรวจ เนื่องจากผู้ตรวจสอบจำเป็นต้องรู้ขอบเขตของงาน ข้อเท็จจริงของหน่วยงาน สอบทานวิธีการควบคุมภายใน (ด้วยแบบสอบถามการควบคุม หรือ Internal Control Questionnaire -ICQ) แล้วประเมินความเสี่ยง โดยประเมินว่าที่ใดเป็นจุดอ่อน และนำผลประเมินมากำหนด Audit Program 4 การทดสอบสาระสำคัญและเรื่องที่ตรวจพบ เมื่อศึกษาและประเมินความเสี่ยงผู้รับการตรวจสอบแล้ว ผู้ตรวจสอบก็พร้อมที่จะทดสอบสาระสำคัญ โดยขยายการค้นหา และพิจารณาว่าการเปลี่ยนแปลงอะไรที่จำเป็นในการปรับปรุงการควบคุมภายใน จากทางเลือกหลาย ๆ ทางเลือก ผู้ตรวจสอบสามารถเลือกและแนะนำวิธีที่เห็นว่าเหมาะสมที่สุด แล้วจัดทำขึ้นเป็นเรื่องที่ตรวจพบ (Audit Finding) 5 การรายงานผลการตรวจสอบและการติดตามผล หลังจากสรุปผลการตรวจสอบกับผู้รับการตรวจสอบแล้ว ผู้ตรวจสอบจะจัดทำรายงานการตรวจสอบ จัดส่งให้กับผู้ที่เกี่ยวข้องเพื่อสื่อสารผลการตรวจสอบให้ทราบ รายงานที่ดีต้องเป็นรายงานที่มีความถูกต้องเชื่อถือได้ มีความชัดเจน เข้าใจง่าย และทันเวลา มีการสอบทานอย่างถี่ถ้วน และจัดเก็บอย่างเหมาะสม เนื่องจากรายงานการตรวจสอบถือเป็นเอกสารสำคัญที่แสดงความเห็นทางวิชาชีพ หลังจากนั้นจะเป็นการติดตามผล ซึ่งเป็นขั้นตอนสุดท้ายของกระบวนการตรวจสอบ และเป็นขั้นตอนที่สามารถใช้วัดประสิทธิภาพประสิทธิผลของการตรวจสอบด้วย * อะไรเป็นผลลัพท์ (delivery) จากแต่ละขั้นตอน * งานในขั้นตอนต่างๆ เป็นหน้าที่ของใคร (1 หัวหน้าฝ่าย 2-5 หัวหน้าทีมและผู้ตรวจสอบ) * ในการบรรยาย เราจะข้ามขั้นตอนวางแผนไปเพราะเป็นหน้าที่ของหัวหน้าฝ่าย ผู้เข้าอบรมสามารถอ่านได้จากหนังสือแนวทางตรวจสอบ บทที่ 4 หรือสมัครเรียนในหลักสูตร Risk Based Audit ของ สตท. ในหลักสูตรนี้เราเน้นกระบวนการในความรับผิดชอบของหัวหน้าทีมและผู้ตรวจสอบ ตั้งแต่ 2-5 เมื่อผู้ตรวจสอบได้รับมอบหมายให้รับผิดชอบภารกิจงานตรวจสอบแล้ว สิ่งแรกที่ต้องทำก็คือ การเตรียมการหาข้อมูลและสำรวจเบื้องต้น เพื่อทำความเข้าใจหน่วยรับตรวจและจัดทำวัตถุประสงค์งานตรวจสอบ การทดสอบ เพิ่มเติม และ เรื่องที่ตรวจพบ 14/11/61 (อ.1 น.118)
รักษา สภาพแวดล้อม การควบคุมที่ดี ให้ดำรงไว้ Risk Quadrant Impact vs. Likelihood 100 High ลดความเสียหาย ป้องกัน Mandatory Policies Independent confirmation of compliance Contingency Plans Prompt reporting of breaches and follow up I m p a c t 50 ค้นหา รักษา สภาพแวดล้อม การควบคุมที่ดี ให้ดำรงไว้ Minimum control standards Monitoring for lapses Sanctions Low 100 50 High Likelihood 75 14/11/61 14/11/61 75
Risk & Control Concept การบริหารเพื่อลดความเสี่ยงลงมาอยู่ในระดับที่ยอมรับได้ต้องพิจารณาความคุ้มค่าระหว่างต้นทุนกับประโยชน์ Inherent Risk Effective Control Effective Control Residual Risk Treatment Plan ระดับความเสี่ยง ที่ยอมรับได้ (Risk Appetite) Residual Risk 76 14/11/61 14/11/61 76
สรุป 14/11/61
สรุป การนำเทคโนโลยีสารสนเทศมาช่วยเพิ่มประสิทธิภาพการดำเนินงานขององค์กรอาจก่อให้เกิดความเสี่ยงหากไม่มีการบริหารจัดการและการรักษาความปลอดภัยที่รัดกุม ระบบสารสนเทศที่สามารถสนับสนุนวัตถุประสงค์ทางธุรกิจได้ดีต้องมีทรัพยากรที่เหมาะสมเพียงพอและมีกระบวนการทางสารสนเทศที่มีประสิทธิภาพ การควบคุมในระบบสารสนเทศ ไม่ว่าจะเป็น การควบคุมในระบบงาน (Application Control) หรือ การควบคุมด้านทั่วไป (General Control) ก็ยังคงอิงพื้นฐานหลักการควบคุมทั่วไป วิชาชีพผู้ตรวจสอบมีบทบาทสำคัญในการให้ความเชื่อมั่นและป้องกันความเสี่ยงทางเทคโนโลยีสารสนเทศ. 14/11/61
About ISACA Start 1969 Global organization for information governance, control, security and audit professionals Over 65,000 members 175 Chapters in 70 countries worldwide Administrate CISA CISM and CGEIT certifications Established IT Governance Institute (ITGI) in 1998 More information about ISACA and ITGI http://www.isaca.org http://www.itgi.org/ 14/11/61
About CISA Certified Information Systems Auditor Certification for IS auditors practitioners ISACA's cornerstone certification since 1978 Globally recognized symbol of achievement in IS auditing, control and security excellence Approved accreditation by US Department of Defense Earned by more than 55,000 professionals worldwide 200 questions (450/800) 4 hours Arranged 2 times a year (June - December) $555 Application Fee (Non-Member Rate) More information about CISA http://www.isaca.org/cisa CFE Exam covers four areas Criminology & Ethics - The purpose of this section is to test your knowledge of criminological concepts and to evaluate your understanding of the underlying ethics of the fraud examination profession. This part includes administration of criminal justice, theories of crime causation, theories of fraud prevention, crime information sources, and ethical situations. Financial Transactions - This section tests your knowledge of the types of fraudulent financial transactions incurred in accounting records. To pass this section, you will be required to demonstrate knowledge of these concepts: basic accounting and auditing theory, fraud schemes, internal controls to deter fraud and other auditing and accounting matters. Fraud Investigation - This section includes questions in the following areas: interviewing, taking statements, obtaining information from public records, tracing illicit transactions, evaluating deception and report writing. Legal Elements of Fraud - This section ensures that you are familiar with the many legal ramifications of conducting fraud examinations, including criminal and civil law, rules of evidence, rights of the accused and accuser and expert witness matters. 14/11/61
Q&A PAIRAT SRIVILAIRIT CIA CISA CISSP CFE CBA CFSA CCSA SVP Head of Internal Audit TISCO Bank Public Company Limited Mobile : +668 1903 1457 Office : +66 2633 7821 Email : pairat@tisco.co.th 14/11/61