การควบคุมและการตรวจสอบ โปรแกรมประยุกต์ที่ใช้เป็นการทั่วไป (Controls and Auditing of Generally Used Application Programs) GSIA5204 Fundamental Techniques.

งานนำเสนอเรื่อง: "การควบคุมและการตรวจสอบ โปรแกรมประยุกต์ที่ใช้เป็นการทั่วไป (Controls and Auditing of Generally Used Application Programs) GSIA5204 Fundamental Techniques."— ใบสำเนางานนำเสนอ:

1 การควบคุมและการตรวจสอบ โปรแกรมประยุกต์ที่ใช้เป็นการทั่วไป (Controls and Auditing of Generally Used Application Programs) GSIA5204 Fundamental Techniques in IT Auditing เทคนิคพื้นฐานในการตรวจสอบด้านเทคโนโลยีสารสนเทศ หลักสูตรบริหารธุรกิจมหาบัณฑิต สาขาการจัดการตรวจสอบภายใน มหาวิทยาลัยราชภัฏจันทรเกษม วันอาทิตย์ที่ 31 สิงหาคม :00-12:00 น. 09/11/61

2 แนะนำวิทยากร ไพรัช ศรีวิไลฤทธิ์ CIA CISA CBA CCSA CFSA CISSP
หัวหน้าตรวจสอบภายใน บมจ. ธนาคารทิสโก้ ปริญญาตรีวิศวกรรมศาสตร์ จุฬาฯ (2528) ปริญญาโทบริหารธุรกิจ ธรรมศาสตร์ฯ (2533) IIA’s EIAP รุ่นที่ 7 จุฬาฯ (2546) ประสบการณ์ด้านวิศวกรรม 5 ปี ประสบการณ์ด้านการเงินในทิสโก้ 17 ปี ประธาน ชมรมผู้ตรวจสอบภายในธนาคารและสถาบันการเงิน (2549) กรรมการ สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ - ภาคพื้นกรุงเทพฯ วิทยากรและคณะทำงาน สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย 09/11/61

3 วัตถุประสงค์การเรียนรู้
เข้าใจการทำงานเบื้องต้นของระบบ ERP ความเสี่ยงที่สำคัญในการนำโปรแกรมประยุกต์มาใช้ จุดควบคุมที่สำคัญในโปรแกรมประยุกต์ประเภท ERP แนวทางการตรวจสอบโปรแกรมประยุกต์ 09/11/61

4 หลักการทำงานพื้นฐาน ของระบบ ERP
09/11/61

5 E-Business Application Architecture
09/11/61

6 ภาพรวมของระบบงาน SAP R/3
09/11/61

7 การเชื่อมโยงของระบบ ERP พื้นฐาน
09/11/61

8 ภาพรวมวงจรธุรกิจของ SAP R/3
Creating Customer Relationship Material Requirement Planning Producing Inventory Creating Production Order Creating Vendor Relationship Sales Quotation Reporting Production Purchase Requisition Sales Order Handling Finished Goods Raw Materials Management Purchase Order Goods Issue Goods Receipt Delivery Note Invoice Verification Invoice Accounts Payable Revenue Account Receivable Expenditure Collection Payment 09/11/61

9 Revenue Business Cycle
Price/Customer Maintenance Forms EDI Secretary of Finance Department Customer Customer Service (Sales Order Entry) AR Clerk Data Entry Customer Cheque Or Approval SAP R/3 Picking, dispatching, maintain delivery information AR supervisor and Finance Manager reconcile check tally against bank deposit report Money Deposited at bank account EFT Master Data Maintenance Customer invoices AR Clerk insert check in bank envelope Bank 1. Maintain Pricing/Customer Data 2. Sales Order Processing 3. Invoice Processing 4. Payment Receipt 09/11/61

10 Expenditure Business Cycle
Invoice Vendor Invoice Requisition EFT Payment Registered Vendor AP Clerk Input Purchase Officer Enters Purchase Order UNMATCHED EFT Approval Purchaser/ Receiving Department File EFT File Reconcile Officer PO Release Input Receiving Information PO Bank Reconciliation AP supervisor Purchase Order 1. Purchases 2. Goods Receipt 3. Invoice Processing 4. Payment 09/11/61

11 Inventory Business Cycle
Create Master Data in SAP Product Data Management Team Flag Product Availability Engineering Department Update Bill of Materials Production Planning Order Entry Department Sales Order PO MRP Purchase Order Enter Goods Receipt Warehouse Raw Material Vendor Planned Order Production Order Kit Order Raw Materials Work In Process Pick and Pack F/G Post Goods Issue DO Delivery Docket Returns Customer 1. Maintaining Master Data 2. Managing Raw Materials 3. Producing and Costing Inventory 4. Handling and shipping F/G 09/11/61

12 ความเสี่ยงที่สำคัญในระบบงาน ERP
ใช้เทคโนโลยีอย่างไม่เหมาะสม ไม่มีความสามารถที่จะใช้งานและควบคุมเทคโนโลยี ไม่สามารถแปลง ความต้องการของผู้ใช้งาน เป็นความต้องการในเชิงเทคนิคได้ การประมวลผลไม่ถูกต้อง ระบบไม่สามารถให้สิ่งที่ผู้ใช้ต้องการได้อย่างรวดเร็ว 09/11/61

13 ความเสี่ยงที่สำคัญในระบบงาน ERP
ข้อผิดพลาดหนึ่งเกิดผลกระทบต่อเนื่องให้เกิดข้อผิดพลาดอื่นตามมา ข้อผิดพลาดเกิดขึ้นซ้ำ ๆ กัน การบันทึกข้อมูลผิดพลาด การเก็บข้อมูลรวมกันไว้ที่เดียว ไม่มีหลักฐานสนับสนุนการประมวลผล การรวมหน้าที่งานหลายอย่างไว้ด้วยกัน 09/11/61

14 Strategic Risk Management in ERP Environment
Project Management Organizational Change Management and Training Planning & Project Management Lack of Executive Sponsorship Reliance on Third Parties Project Cost Blowout Business Process/Functional Business Process Reengineering Software Functionality Application Security & Technical Infrastructure Single Point of Failure Distributed Computing Experience System Access Data Conversion & Program Interface Data Quality Program Interface 09/11/61

15 ข้อมูลหลักบนระบบงาน 09/11/61

16 ข้อมูลหลักตามโครงสร้างองค์กร
ข้อมูลหลักตัวเดียวกันสามารถมีรายละเอียดที่แตกต่างกัน ขึ้นอยู่กับการบันทึกข้อมูลภายในแต่ละองค์กร หรือ หน่วยงานย่อย General Data (across companies) Master Data (e.g. Customer Data) Sales Data (unique to sales area) Accounting Data (unique to company) 09/11/61

17 โครงสร้างองค์กรภายใน SAP
Client 500 - กลุ่มบริษัทค้าปลีกไทย Company Code บริษัทสยามค้าส่ง Sales Org. ฝ่ายขายในประเทศ Controlling Area กลุ่มบริษัทค้าปลีกไทย Distribution Ch. 01 – ขายส่ง 02- ขายตรง 03-ขายปลีก Cost Center ฝ่ายขาย ฝ่ายผลิต Purchasing Org. 0500 – จัดซื้อกลาง Division 11 – เครื่องเขียน 12- เครื่องกีฬา 13- อาหาร Plant โรงงานรังสิต Plant คลังสินค้าปทุม Storage Loc. 0001 – วัตถุดิบ 0002- อาหารแห้ง Storage Loc. 0001 – เครื่องดื่ม 0002- อาหารสำเร็จรูป 09/11/61

18 ข้อมูลหลักสำคัญบนระบบ SAP
ข้อมูลหลักวัสดุ (Material Master) ข้อมูลหลักผู้ขาย (Vendor Master) ข้อมูลหลักลูกค้า (Customer Master) ข้อมูลหลักวงเงินลูกค้า (Customer Credit Master) ข้อมูลหลักส่วนประกอบวัสดุ (Bill of Material) ข้อมูลหลักราคา (Pricing Master) 09/11/61

19 ข้อมูลหลักวัสดุและการแบ่งกลุ่มข้อมูล
แบ่งตามลักษณะของข้อมูลและความสัมพันธ์ กับหน่วยงานที่ใช้ข้อมูล (Views) 09/11/61

20 ความสัมพันธ์ภายในกลุ่มคู่ค้า
Sold-to Party สั่งซื้อโดย บริษัท ไทยค้าปลีก Ship-to Party จัดส่งไปยัง บริษัท ไทยกระจายสินค้า Sales Order Bill-to Party วางบิลไปยัง บริษัท ไทยค้าปลีก Pay-to Party ชำระเงินโดย บริษัท ไทยร่วมทุน การผูกความสัมพันธ์ในกลุ่มข้อมูลหลักผู้ซื้อและผู้ขาย (Partner Function) ทำให้เกิดความยืดหยุ่นในการจัดการข้อมูลหลักและความถูกต้องในการบันทึกข้อมูลธุรกรรม 09/11/61

21 ข้อมูลหลักส่วนประกอบวัสดุ
รองรับการทำงานในส่วนที่เกี่ยวกับการขายและการผลิต Computer Desktop Set Monitor CPU Keyboard Mouse 09/11/61

22 ข้อมูลหลักราคาสินค้า
ช่วยให้การทำธุรกรรมด้านซื้อและขายมีความยืดหยุ่น และรองรับธุรกิจได้เกือบทุกประเภท ขึ้นอยู่กับหน่วยงาน ลูกค้า และสินค้า ขึ้นอยู่กับช่วงเวลาที่กำหนด ขึ้นอยู่กับปริมาณที่สั่งซื้อ 09/11/61

23 ความเสี่ยงเกี่ยวกับข้อมูลหลัก
ข้อมูลไม่ถูกต้อง ข้อมูลไม่สมบูรณ์ ข้อมูลมีการบันทึกและแก้ไขโดยผู้ไม่มีอำนาจในการแก้ไข ผลของการสร้างหรือบันทึกข้อมูลหลักไม่ถูกต้องจะนำไปสู่การบันทึกข้อมูลธุรกรรมที่ไม่ถูกต้อง เช่น การบันทึกบัญชีผิดพลาด การวิเคราะห์ข้อมูลที่ไม่ถูกต้อง เป็นต้น 09/11/61

24 ระบบบัญชีบนระบบ SAP 09/11/61

25 โครงสร้างระบบบัญชีบนระบบ SAP
09/11/61

26 การบันทึกรายการบนระบบ SAP
การบันทึกรายการจากระบบด้าน Logistics จะทำให้เกิดการบันทึกรายการทางระบบบัญชีโดยอัตโนมัติ 09/11/61

27 Proper Depreciation Key/ Useful Life
การจัดการสินทรัพย์ Proper Depreciation Key/ Useful Life การบันทึกกลุ่มของสินทรัพย์ ข้อมูลค่าเสื่อม และอายุของสินทรัพย์มีความสำคัญ ที่จะทำให้การจัดการสินทรัพย์เป็นไปอย่างถูกต้อง 09/11/61

28 การจัดการวิเคราะห์กำไร (CO-PA)
จัดสรรต้นทุนสินค้าสัมพันธ์กับรายได้จากการขาย สะดวกในการวิเคราะห์กำไร ตามกลุ่มลูกค้า หรือกลุ่มผลิตภัณฑ์ 09/11/61

29 ระบบการจัดการวัสดุ (MM)
ครอบคลุมการวางแผนจัดซื้อวัสดุเพื่อใช้ในการผลิตและจัดจำหน่าย ไปจนถึงการกระบวนการจัดซื้อ รับสินค้า การตั้งหนี้ และ การจัดการสินค้าคงคลัง 09/11/61

30 การอนุมัติใบสั่งซื้อผ่านระบบ
การตรวจสอบเงื่อนไขการอนุมัติ และการกำหนดสิทธิของผู้ที่มีอำนาจอนุมัติอย่างสม่ำเสมอจะช่วยทำให้การอนุมัติใบสั่งซื้อบนระบบ มีความน่าเชื่อถือและเป็นไปตามนโยบายของทางบริษัท จะต้องมีการกำหนดสิทธิให้กับผู้ที่สามารถทำการอนุมัติการสั่งซื้อ 09/11/61

31 การตรวจสอบการตั้งหนี้
การกำหนดข้อความเตือนกรณีตั้งหนี้ซ้ำ การกำหนดความยืดหยุ่นในการลงบัญชีในกรณีที่มีผลต่าง 09/11/61

32 การตรวจนับสินค้าคงคลัง
จะต้องมีการกำหนดสิทธิให้กับผู้ที่สามารถทำการบันทึกผลต่างการนับได้ 09/11/61

33 ระบบขายและการกระจายสินค้า (SD)
ครอบคลุมตั้งแต่การสนับสนุนการขาย ใบเสนอราคา สัญญาขาย ใบสั่งซื้อ ใบส่งของ การจัดส่ง และการกระจายสินค้า ถึงใบเรียกเก็บเงิน Sales Support Sales activity Sales Inquiry Quotation Contract SALES INFORMATION SYSTEM Delivery FOC Subsequent Delivery Sales Orders MATERIAL MANAGMENT Scheduling agreement Shipping Delivery Transport Billing Debit memo Invoice Credit memo Financial Accounting 09/11/61

34 ประเภทเอกสารการขาย 09/11/61

35 การเชื่อมโยงและอ้างอิงของเอกสาร
เอกสารการขายสามารถเชื่อมโยงและสร้างโดยอ้างอิงเอกสารต้นทาง เช่น ใบส่งของอ้างอิงใบสั่งซื้อ ใบเรียกเก็บเงินอ้างอิงใบส่งของ 09/11/61

36 การบันทึกข้อมูลขายไปยังระบบบัญชี
แบบอัตโนมัติ ต้องผ่านการอนุมัติ การบันทึกข้อมูลขายไปยังระบบบัญชีสามารถกำหนดได้ว่าจะให้เป็นแบบอัตโนมัติ หรือ ต้องมีการตรวจสอบและอนุมัติก่อนที่จะผ่านไปยังระบบบัญชี 09/11/61

37 การกำหนดค่าโครงสร้างและการทำงาน
09/11/61

38 การกำหนดค่าโครงสร้างและการทำงาน
SAP มีเมนูสำหรับกำหนดค่าโครงสร้างของระบบ เช่น การกำหนดเลขที่เอกสาร สถานะของข้อมูลที่ใช้ (แสดงผล ซ่อน ต้องบันทึก) ให้เหมาะกับรูปแบบการทำงานในองค์กร กำหนดโครงสร้างและความสัมพันธ์ของหน่วยงานในองค์กร รหัสบริษัท รหัสโรงงาน รหัสหน่วยงานขาย กำหนดรูปแบบ สถานะของข้อมูลภายใน รหัสข้อมูลหลัก ข้อมูลหลักวัสดุ ผู้ขาย ลูกค้า กำหนดประเภทเอกสาร เงื่อนไขการลงบัญชี เลขที่เอกสาร ใบสั่งซื้อสินค้า ใบข้อมูลหลักวัสดุ ผู้ขาย ลูกค้า 09/11/61

39 การกำหนดค่าโครงสร้างและการทำงาน
การกำหนดหมวดหมู่ในการเคลื่อนไหวสินค้า รวมถึงการลงบัญชี ประเภทการเคลื่อนไหววัสดุ (Movement Type) การกำหนดค่าความยืดหยุ่น (Tolerance Limit) ในการบันทึกรายการ Price variance: purchasing การกำหนดความรุนแรงของการแจ้งเตือนจากระบบ การแจ้งเตือนการตั้งหนี้ซ้ำ เตือนการซ้ำซ้อนของข้อมูลผู้ขาย การกำหนดขั้นตอนการอนุมัติ การอนุมัติใบขอซื้อ การอนุมัติใบสั่งซื้อ 09/11/61

40 การกำหนดประเภทวัสดุ ประเภทวัสดุจะเป็นตัวกำหนดลักษณะเฉพาะที่สำคัญของวัสดุ ได้แก่ กลุ่มข้อมูลที่ต้องการสำหรับวัสดุ กำหนดกลุ่มเลขประจำวัสดุ และ การกำหนดการประเมินราคาวัสดุ 09/11/61

41 กำหนดสถานะของรายการข้อมูลหลัก
สถานะของการแสดงผลและจัดเก็บข้อมูล มีความสำคัญในการควบคุมและป้องกันความผิดพลาดและทำให้การบันทึกข้อมูลมีความถูกต้องมากขึ้น 09/11/61

42 กำหนดสถานะของรายการข้อมูลหลัก
เช่นเดียวกับข้อมูลหลักลูกค้า กลุ่มวัสดุจะเป็นตัวควบคุมการแสดงผลและบันทึกข้อมูลหรับข้อมูลวัสดุหลัก 09/11/61

43 การกำหนดประเภทเอกสารและเลขที่เอกสาร
ประเภทเอกสารจะเป็นตัวกำหนดการออกเลขที่เอกสารในระบบ โดยบางเอกสารจะต้องมีการเริ่มต้นเลขที่เอกสารใหม่ทุกปี โดยเฉพาะเอกสารทางบัญชี 09/11/61

44 การตั้งความรุนแรงของการแจ้งเตือน
ข้อความเตือนบนระบบบางประเภท สามารถที่จะกำหนดความรุนแรงในการแสดงผล ตั้งแต่แจ้งข้อมูลทั่วไป เตือนการทำงานที่อาจจะไม่ถูกต้อง จนถึงการแสดงการทำงานที่ไม่ถูกต้องโดยระบบจะไม่อนุญาตให้ดำเนินการต่อ 09/11/61

45 การกำหนดประเภทการเคลื่อนไหววัสดุ
เป็นส่วนหนึ่งในการกำหนดการแสดงผลและการลงบัญชี 09/11/61

46 การกำหนดการเดินบัญชีสินค้าคงคลัง
จะถูกกำหนดโดยผ่านประเภทการเคลื่อนไหวของวัสดุ และ กลุ่มการประเมินค่าของวัสดุที่กำหนดไว้ในรหัสข้อมูลหลัก 09/11/61

47 การกำหนดค่าการลงบัญชีอัตโนมัติ
Material A Plant: 0200 Val Class 3020 – Finished Goods Goods Receipt Movement Type: 101 09/11/61

48 การกำหนดค่าความยืดหยุ่น
เป็นส่วนหนึ่งในการทำให้ระบบมีความยืดหยุ่นและสัมพันธ์กับการลงบัญชีอัตโนมัติ BD: Form small differences automatically The system checks the balance of the invoice against the absolute upper limit defined. If the upper limit is not exceeded, the system automatically creates a posting line called Expense/Income from Small Differences, making the balance zero and allowing the system to post the document. 09/11/61

49 การแบ่งแยกหน้าที่ในระบบงาน
ลดโอกาสการเกิดข้อผิดพลาดในการปฏิบัติงานโดยแยกกระบวนการทำงานไปยังบุคคลที่ต่างกันในแต่ละช่วงของกระบวนการ Approval Custody Recording / Transaction processing Control Access to master data maintenance (สำหรับระบบ ERP) 09/11/61

50 การจัดการข้อมูลระดับ Client
รหัสผู้ใช้และรหัสใช้งาน จะเป็นมาตรการการรักษาความปลอดภัยและกำหนดความสามารถในการเข้าใช้ระบบของผู้ใช้งาน 09/11/61

51 Critical User IDs Special user “SAP*” Special user “DDIC”
Special user “SAPCPIC” Special user “EARLYWATCH” User Client Initial password SAP* 000, 066, 001 , PASS SAPCPIC Admin DDIC 000, 001 EARLYWATCH 066 Support 09/11/61

52 แนวทางการตรวจสอบใน ERP Environment
09/11/61

53 Auditor’s Role in ERP ก่อนการ พัฒนา พัฒนา ออกแบบ ติดตั้ง ใช้งาน จริง
ประเมินผล พัฒนา ปรับปรุง ทบทวน Business case และ ความเสี่ยงต่างๆ การออกแบบกระบวนการให้มีการควบคุมภายในที่ดี กระบวนการบริหารจัดการโครงการและการพัฒนาระบบ การรักษาความปลอดภัยระบบ Data Conversion การบริหารความเสี่ยง ร่วมปฏิบัติงานในระบบ ตรวจสอบการปฏิบัติงานจริง ประเมินผล เสนอแนะแนวทางปรับปรุง ผลสำเร็จของโครงการ ความพึงพอใจของผู้ใช้และปัญหาที่เหลืออยู่ 09/11/61

54 แนวทางการตรวจสอบ แนวทางการตรวจสอบโปรแกรมประยุกต์ที่ใช้เป็นการทั่วไป ใช้ Risk-based Audit Approach ซึ่งประกอบด้วย การทำความเข้าใจกับ ระบบงาน การระบุ ความเสี่ยง ที่สำคัญ การระบุ การควบคุม ที่สำคัญ การ ทดสอบการควบคุม เพื่อดูว่าเพียงพอหรือไม่ (ที่มา: Security, Audit and Control Features SAP R/3: A Technical and Risk Management Reference Guide หน้า56) 09/11/61

55 แนวการตรวจสอบ Business Cycle
Revenue Cycle Expenditures Cycle Inventory Cycle 1. Master data maintenance 1. Master data maintenance 1. Master data maintenance 2. Sales order processing 2. Purchasing 2. Managing Raw Materials 3. Shipping, invoicing, returns and adjustments 3. Invoice Processing 3. Producing and Costing Inventory 4. Collecting and processing cash receipts 4. Processing Disbursements 4. Handling and Shipping F/G การตรวจสอบระบบ SAP R/3 Risks การวิเคราะห์ความเสี่ยงของระบบงาน Key Controls การควบคุมที่สำคัญ Testing Techniques เทคนิคการทดสอบ 09/11/61

56 เทคนิคในการทำความเข้าใจระบบ
เทคนิคในการทำความเข้าใจระบบหรือกระบวนการทำงานของธุรกิจ ที่กำลังสอบทาน สอบทานเอกสารที่เกี่ยวข้อง กับการ Implement หรือ กระบวนการทำงานของระบบ สัมภาษณ์ ผู้ Implement ระบบ หรือผู้ที่มีความรู้เกี่ยวกับเรื่องนั้น จัดทำแผนภาพและคำบรรยาย กระบวนการทำงานของระบบ 09/11/61

57 การประเมินความเสี่ยงและการควบคุม
ในการทำการประเมินความเสี่ยงและการควบคุม ผู้ตรวจสอบ ต้อง พิจารณากระบวนการทำงาน ต่าง ๆ ในระบบตั้งแต่ต้นจนจบ ความเสี่ยงที่จุดเริ่มต้นของกระบวนการหนึ่งอาจมีการควบคุมโดย การควบคุมที่สำคัญ ที่อยู่ในส่วนอื่นหรือชุดของ การควบคุมที่ชดเชยกัน ที่มีอยู่ในกระบวนการนั้น ผู้ตรวจสอบต้องทราบว่า การทำงาน (Functionality) ใดของระบบที่ต้องตรวจสอบ 09/11/61

58 เทคนิคในการระบุการควบคุมที่สำคัญ
ทำความเข้าใจเกี่ยวกับวัฒนธรรมองค์กรในด้านการควบคุม ประเมินว่ามีการควบคุมในกระบวนการต่าง ๆ เพียงพอหรือไม่ Manual controls การควบคุมทางการบริหาร เช่น ติดตามดูรายงานต่าง ๆ การกระทบยอดหรืออนุมัติรายการด้วยมือ Inherent controls การควบคุมที่ฝังในการทำงานของระบบ เช่น edit and validation และ password controls Configuration settings การกำหนดค่าเริ่มต้นในการติดตั้งเพื่อควบคุมและประมวลผลโดยตรง Logical access security การควบคุมการเข้าถึงหน้าที่การใช้งานและโครงสร้างด้านความปลอดภัยต่าง ๆ 09/11/61

59 Control Framework for ERP Environment
Program Interface/Data Conversion Integrity Technology Integrity 1. System security 2. Monitoring 3. Change management 4. Scheduling 5. Backup recovery 6. Disaster recovery IS Policies/Procedures Design and implement controls for one-time conversions and ongoing interfaces. Hardware Business Processes Business Process Integrity 1. Business Risk 2. Control objective 3. Control requirements 4. Control techniques 5. Type of control Operating system 1. Legacy system security 2. Interface 3. Conversion Database Application Security 1. Security requirements 2. Security design 3. Security config. (DEV & PRD) 4. Administration procedures development Remote Access-Certification (PKI) Encryption, etc. Firewall ERP Application Project Management Change management and project disciplines 09/11/61

60 การตรวจสอบระบบสารสนเทศ
Audit Planning Tests of Controls Substantive Testing 1. Review of Organization’s Policies, Practices, and Structure 4. Perform Test of Controls 7. Perform Substantive Tests 2. Review General controls and Application Controls 5. Evaluate Test Results 8. Evaluate Results and Issue Auditor’s Report 3. Plan Tests of Controls and Substantive Testing Procedure 6. Determine Degree of Reliance on Controls 9.Audit Report * Information Systems Auditing and Assurance by James A.Hall 09/11/61

61 AIS and Financial Statement Audits
Gathering information Balance sheet P&L account Assets Liabilities & equity System design Quality structure Reconciliation procedures GL and sub-ledgers Documents Accounts Account balances Line items confirmation of balance Detailed analyses Calculation procedures Posting procedures System processing Problematic situations Differences Gaps in sequences Posting without document Transaction data without master records Recording history Document changes Changes of master records Table changes 09/11/61

62 Preparing and Analyzing SAP Data
IT supported audit of data in an SAP R/3 environment One-step Process Two-step Process Data gathering and data analysis Data gathering and data analysis R/3 environment Data import and data analysis PC List generator Query languages R/3 tools SAP reporting SAP query Quick viewer Query tools Specified R/3 menu Audit Info System Standard PC software Database system dBase Access ….. Spreadsheet application Excel Common audit software IDEA ACL Benford analysis User Group = /SAPQUERY/AU 09/11/61

63 ERP Audit Skill Development
5 สามารถวิเคราะห์และแนะนำการ Setup key controls ที่สำคัญได้ 4 สามารถใช้และเข้าใจ Output จาก Audit Module 3 สามารถใช้ Tools ต่าง ๆ ในระบบ ERP 2 เข้าใจโครงสร้างพื้นฐาน ของระบบ ERP 1 09/11/61

64 สรุป ระบบ ERP มีความซับซ้อนและยืดหยุ่น สามารถปรับแต่งให้รองรับกับความต้องการและกระบวนการทางธุรกิจที่หลากหลาย การตรวจระบบ ERP กับการตรวจสอบระบบสารสนเทศทั่วไปไม่มีความแตกต่างกันในเชิงกระบวนการตรวจสอบ แต่จะต่างกันที่เทคนิคการเข้าถึงข้อมูลและการวิเคราะห์ข้อมูลจากระบบ ERP เพื่อประสิทธิภาพในการตรวจสอบ ผู้ตรวจสอบต้องเข้าใจการทำงานของระบบ การควบคุมค่า Configuration สำคัญ และการจัดการด้านความปลอดภัย ตลอดจนการกำหนดสิทธิในการเข้าใช้ระบบ ซึ่งจะช่วยลดความเสี่ยงต่อการบันทึกข้อมูลที่ไม่ถูกต้อง และและเปิดโอกาสให้เกิดการทุจริตได้ง่าย 09/11/61

65 Q&A PAIRAT SRIVILAIRIT SVP Head of Internal Audit
TISCO Bank Public Company Limited Mobile : Office : 09/11/61