การวางแผนและ การจัดทำ IT Audit ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต
เนื้อหาคำบรรยาย ขั้นตอนในการตรวจสอบไอที การวางแผน กิจกรรมในการตรวจสอบ การเขียนรายงานตรวจสอบ สรุป
กระบวนการตรวจสอบไอที กระบวนการตรวจสอบไอทีของหน่วยงานต่าง ๆ มีขั้นตอนสำคัญ 3 ขั้นตอน คือ การวางแผน การทดสอบการควบคุม การทดสอบสาระสำคัญ
การวางแผน ประกอบด้วยงาน 3 ขั้นตอน คือ การทบทวนนโยบาย โครงสร้าง และการปฏิบัติงานด้านไอทีของหน่วยงาน การทบทวนการควบคุมโดยทั่วไปทางด้านไอที (General control) และ การควบคุมงานประยุกต์ วางแผนการทดสอบการควบคุมและการทดสอบ แนวลึก
การทดสอบการควบคุม ประกอบด้วยงาน 3 ขั้นตอน คือ การทดสอบการควบคุมด้านไอที การประเมินผลการทดสอบ การกำหนดว่าการควบคุมน่าเชื่อถือมากน้อยเพียงใด
การทดสอบสาระสำคัญ ประกอบด้วยงาน 3 ขั้นตอน คือ ทดสอบสาระสำคัญ ประเมินผลการทดสอบสาระสำคัญ และจัดทำร่างรายงานการตรวจสอบ ส่งรายงานให้ผู้บริหาร
กิจกรรมหลักในการตรวจสอบ การวางแผนใด ๆ ต้องทราบเป้าหมายของงานที่จะวางแผน กิจกรรมที่จะต้องทำ และเวลาที่ต้องใช้ในการทำกิจกรรม ขั้นตอนการวางแผนที่กล่าวไปแล้วเป็นเพียงหัวข้องานเท่านั้น ต่อไปนี้จะกล่าวถึงกิจกรรมสำคัญที่จะต้องทำในแต่ละหัวข้อ การเลือกประเด็นที่จะตรวจสอบ การรวบรวมหลักฐานเอกสาร การสอบถาม การสังเกต การจัดเก็บหลักฐานอื่น ๆ เช่น ซอฟต์แวร์, รายงาน การประเมินผลการตรวจสอบ การทบทวนผล การจัดทำรายงาน
การเลือกวัตถุประสงค์ในการตรวจสอบ วัตถุประสงค์สำหรับตรวจสอบอาจมีได้ดังนี้ ตรวจสอบว่าศูนย์ไอทีสามารถช่วยผลักดันให้หน่วยงานบรรลุวิสัยทัศน์ได้จริง ตรวจสอบว่าศูนย์ไอทีสามารถให้บริการได้อย่างมีประสิทธิภาพและประสิทธิผล ตรวจสอบว่าศูนย์ไอที ฐานข้อมูลและระบบสารสนเทศมี ความมั่นคงปลอดภัยจริง ตรวจสอบว่าหน่วยงานได้พัฒนาระบบสารสนเทศที่มีประสิทธิภาพและประสิทธิผลจริง ตรวจสอบว่าการจัดการศูนย์ไอทีมีประสิทธิผลจริง ตรวจสอบว่าการใช้ระบบไอทีในงานด้านการเงินมีความถูกต้องและมั่นคงปลอดภัยจริง
การเลือกประเด็นที่จะตรวจสอบ การกำหนดวัตถุประสงค์อาจจะเปลี่ยนได้ทุกปี จากวัตถุประสงค์ที่กำหนด เราสามารถเลือกประเด็นที่จะตรวจสอบ ได้ง่ายขึ้น โดยทั่วไปผู้ตรวจสอบภายในและงบประมาณสำหรับการตรวจสอบมีจำกัด จึงเป็นไปไม่ได้ที่จะตรวจสอบไอทีได้ทุกประเด็น หน่วยงานอาจจะวางแผนการตรวจสอบไอทีในระยะยาว 3 ปี และกำหนดว่าแต่ละปีจะตรวจสอบเพื่อบรรลุวัตถุประสงค์ใด จากนั้นให้จัดทำเป็นแผนงานขึ้นให้เหมาะสม
การทำแผนตรวจสอบประจำปี จากแผนการตรวจสอบระยะยาว ให้พิจารณาประเด็นที่จะต้องตรวจสอบสำหรับปีนั้น แล้วพิจารณาขอบเขต ความกว้างขวางและความซับซ้อนของงานที่จะต้องตรวจสอบ พิจารณาระยะเวลาที่จะดำเนินการได้ พิจารณางบประมาณที่จะใช้ กำหนดงานที่จะต้องตรวจสอบลงในแผนประจำปี นำเสนอผู้บริหารให้อนุมัติ หรือแก้ไข
แนวคิดในการเลือกประเด็น ที่จะตรวจสอบ พิจารณาว่าเป็นงานที่มีความเสี่ยงสูง พิจารณาจากผลการตรวจสอบครั้งก่อนว่ามีประเด็นสำคัญที่ต้องแก้ไขและต้องตรวจสอบซ้ำหรือไม่ พิจารณาจากแนวโน้มในการขยายตัวของงาน เช่น มีข้อมูลเข้าสู่ระบบเพิ่มมากขึ้น หรือมีการจัดโครงสร้างใหม่ พิจารณาจากข้อกำหนดของหน่วยงานกำกับดูแล พิจารณาจากความต้องการของฝ่ายบริหาร พิจารณาจากสถานการณ์ปัจจุบัน
จัดเตรียมทรัพยากรสำหรับการตรวจสอบ มาตรฐานการปฏิบัติงานไอทีที่ดีตามหลักธรรมาภิบาลที่หน่วยงานกำกับจัดทำขึ้น คู่มือการตรวจสอบไอที ผลการตรวจสอบในช่วงที่ผ่านมา แบบฟอร์มต่างๆ คำสั่งและระเบียบปฏิบัติเกี่ยวกับไอทีของหน่วยงาน โครงสร้างหน่วยงานพร้อมรายชื่อผู้บริหารและผู้ปฏิบัติ ระบบคอมพิวเตอร์พร้อมโปรแกรมสเปรดชีต งบประมาณที่อาจจำเป็นต้องใช้
จัดทำแผน ปรึกษาแนวทางการตรวจสอบกับผู้บริหารระดับสูง จัดทำร่างแผนการตรวจสอบ ส่งร่างแผนการตรวจสอบไปให้หน่วยรับตรวจพิจารณาให้การสนับสนุน ส่งร่างแผนการตรวจสอบไปให้ผู้บริหารระดับสูงอนุมัติ ประกาศแผนการตรวจสอบให้หน่วยรับตรวจทราบ และขอให้หน่วยรับตรวจรีบดำเนินการรวบรวมเอกสารหลักฐานต่าง ๆ สำหรับใช้ในการตรวจสอบเอาไว้ล่วงหน้า
ดำเนินการตรวจสอบการควบคุม ดำเนินการตรวจสอบการควบคุมด้านไอทีโดยวิธีการต่าง ๆ ที่ได้กล่าวถึงไปแล้ว พยายามใช้ check list ในการพิจารณาว่าหน่วยรับตรวจมีการดำเนินการตามการควบคุมหรือไม่ การควบคุมนั้นได้ผลหรือไม่ และมีหลักฐานที่แสดงว่ามีการควบคุมหรือไม่ ในกรณีที่สำคัญให้สัมภาษณ์ผู้บริหาร และ สังเกตผู้ปฏิบัติงานระหว่างการทำงาน เพื่อพิจารณาว่าได้ปฏิบัติงานอย่างถูกต้องหรือไม่ พิจารณาสรุปประเด็นที่ค้นพบ
การทดสอบ ในกรณีที่พิจารณาเห็นว่าการควบคุมอาจจะมีความเสี่ยง เช่น ระบบฐานข้อมูลหรือระบบสารสนเทศอาจจะมีปัญหาผู้ตรวจสอบ อาจจะตัดสินใจทดสอบประเด็นที่เป็นปัญหานั้นได้ การทดสอบในแง่นี้คือการทดสอบระบบโดยใช้ข้อมูลทดสอบที่จัดทำขึ้นเป็นพิเศษ เพื่อวิเคราะห์ว่าระบบ (หรือส่วนที่น่าสงสัย) จะสามารถทำงานได้อย่างถูกต้องหรือไม่ เมื่อทดสอบแล้วจึงพิจารณาประเมินผลลัพธ์ของการทดสอบ
การจัดทำรายงาน รายงานการตรวจสอบคือการรายงานข้อค้นพบเกี่ยวกับการควบคุมระบบไอทีว่ามีข้อบกพร่องหรือไม่ ต้องเข้าใจว่าด้วยความจำกัดของเวลา และแรงงาน ผู้ตรวจสอบจึงไม่สามารถตรวจสอบงานไอทีได้ทุกอย่าง ดังนั้นการรายงานของผู้ตรวจสอบจึงไม่ได้ยืนยันอย่างหนักแน่นว่าการดำเนินงานด้านไอทีไม่มีข้อบกพร่อง ถ้าทุกอย่างเรียบร้อยดี เราก็เขียนรายงานแสดงได้แต่เพียงว่าเมื่อตรวจสอบตามหลักการแล้วไม่พบสิ่งผิดปกติที่น่าจะเป็นข้อบกพร่องเท่านั้น ถ้ามีข้อบกพร่อง ก็ให้เขียนแสดงข้อค้นพบโดยไม่ต้องเสนอแนะว่าจะแก้ไขอย่างไร
สรุป สไลด์นี้แนะนำการวางแผนการตรวจสอบไอที อย่างคร่าว ๆ โดยชี้ว่า ผู้ตรวจสอบย่อมไม่สามารถตรวจสอบงานไอทีได้ทุกอย่างทุกเรื่องเพราะ ความจำกัดของเวลา ดังนั้นจึงควรวางแผนการตรวจสอบระยะเวลา 3 ปีให้ครอบคลุมทุกเรื่อง และกระจายประเด็นที่จะตรวจสอบทุกเรื่องให้สามารถตรวจสอบได้ใน 3 ปี
Thank You !