งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

การวางแผนและ การจัดทำ IT Audit

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "การวางแผนและ การจัดทำ IT Audit"— ใบสำเนางานนำเสนอ:

1 การวางแผนและ การจัดทำ IT Audit
ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต

2 เนื้อหาคำบรรยาย ขั้นตอนในการตรวจสอบไอที การวางแผน กิจกรรมในการตรวจสอบ
การเขียนรายงานตรวจสอบ สรุป

3 กระบวนการตรวจสอบไอที
กระบวนการตรวจสอบไอทีของหน่วยงานต่าง ๆ มีขั้นตอนสำคัญ 3 ขั้นตอน คือ การวางแผน การทดสอบการควบคุม การทดสอบสาระสำคัญ

4 การวางแผน ประกอบด้วยงาน 3 ขั้นตอน คือ
การทบทวนนโยบาย โครงสร้าง และการปฏิบัติงานด้านไอทีของหน่วยงาน การทบทวนการควบคุมโดยทั่วไปทางด้านไอที (General control) และ การควบคุมงานประยุกต์ วางแผนการทดสอบการควบคุมและการทดสอบ แนวลึก

5 การทดสอบการควบคุม ประกอบด้วยงาน 3 ขั้นตอน คือ
การทดสอบการควบคุมด้านไอที การประเมินผลการทดสอบ การกำหนดว่าการควบคุมน่าเชื่อถือมากน้อยเพียงใด

6 การทดสอบสาระสำคัญ ประกอบด้วยงาน 3 ขั้นตอน คือ ทดสอบสาระสำคัญ
ประเมินผลการทดสอบสาระสำคัญ และจัดทำร่างรายงานการตรวจสอบ ส่งรายงานให้ผู้บริหาร

7 กิจกรรมหลักในการตรวจสอบ
การวางแผนใด ๆ ต้องทราบเป้าหมายของงานที่จะวางแผน กิจกรรมที่จะต้องทำ และเวลาที่ต้องใช้ในการทำกิจกรรม ขั้นตอนการวางแผนที่กล่าวไปแล้วเป็นเพียงหัวข้องานเท่านั้น ต่อไปนี้จะกล่าวถึงกิจกรรมสำคัญที่จะต้องทำในแต่ละหัวข้อ การเลือกประเด็นที่จะตรวจสอบ การรวบรวมหลักฐานเอกสาร การสอบถาม การสังเกต การจัดเก็บหลักฐานอื่น ๆ เช่น ซอฟต์แวร์, รายงาน การประเมินผลการตรวจสอบ การทบทวนผล การจัดทำรายงาน

8 การเลือกวัตถุประสงค์ในการตรวจสอบ
วัตถุประสงค์สำหรับตรวจสอบอาจมีได้ดังนี้ ตรวจสอบว่าศูนย์ไอทีสามารถช่วยผลักดันให้หน่วยงานบรรลุวิสัยทัศน์ได้จริง ตรวจสอบว่าศูนย์ไอทีสามารถให้บริการได้อย่างมีประสิทธิภาพและประสิทธิผล ตรวจสอบว่าศูนย์ไอที ฐานข้อมูลและระบบสารสนเทศมี ความมั่นคงปลอดภัยจริง ตรวจสอบว่าหน่วยงานได้พัฒนาระบบสารสนเทศที่มีประสิทธิภาพและประสิทธิผลจริง ตรวจสอบว่าการจัดการศูนย์ไอทีมีประสิทธิผลจริง ตรวจสอบว่าการใช้ระบบไอทีในงานด้านการเงินมีความถูกต้องและมั่นคงปลอดภัยจริง

9 การเลือกประเด็นที่จะตรวจสอบ
การกำหนดวัตถุประสงค์อาจจะเปลี่ยนได้ทุกปี จากวัตถุประสงค์ที่กำหนด เราสามารถเลือกประเด็นที่จะตรวจสอบ ได้ง่ายขึ้น โดยทั่วไปผู้ตรวจสอบภายในและงบประมาณสำหรับการตรวจสอบมีจำกัด จึงเป็นไปไม่ได้ที่จะตรวจสอบไอทีได้ทุกประเด็น หน่วยงานอาจจะวางแผนการตรวจสอบไอทีในระยะยาว 3 ปี และกำหนดว่าแต่ละปีจะตรวจสอบเพื่อบรรลุวัตถุประสงค์ใด จากนั้นให้จัดทำเป็นแผนงานขึ้นให้เหมาะสม

10 การทำแผนตรวจสอบประจำปี
จากแผนการตรวจสอบระยะยาว ให้พิจารณาประเด็นที่จะต้องตรวจสอบสำหรับปีนั้น แล้วพิจารณาขอบเขต ความกว้างขวางและความซับซ้อนของงานที่จะต้องตรวจสอบ พิจารณาระยะเวลาที่จะดำเนินการได้ พิจารณางบประมาณที่จะใช้ กำหนดงานที่จะต้องตรวจสอบลงในแผนประจำปี นำเสนอผู้บริหารให้อนุมัติ หรือแก้ไข

11 แนวคิดในการเลือกประเด็น ที่จะตรวจสอบ
พิจารณาว่าเป็นงานที่มีความเสี่ยงสูง พิจารณาจากผลการตรวจสอบครั้งก่อนว่ามีประเด็นสำคัญที่ต้องแก้ไขและต้องตรวจสอบซ้ำหรือไม่ พิจารณาจากแนวโน้มในการขยายตัวของงาน เช่น มีข้อมูลเข้าสู่ระบบเพิ่มมากขึ้น หรือมีการจัดโครงสร้างใหม่ พิจารณาจากข้อกำหนดของหน่วยงานกำกับดูแล พิจารณาจากความต้องการของฝ่ายบริหาร พิจารณาจากสถานการณ์ปัจจุบัน

12 จัดเตรียมทรัพยากรสำหรับการตรวจสอบ
มาตรฐานการปฏิบัติงานไอทีที่ดีตามหลักธรรมาภิบาลที่หน่วยงานกำกับจัดทำขึ้น คู่มือการตรวจสอบไอที ผลการตรวจสอบในช่วงที่ผ่านมา แบบฟอร์มต่างๆ คำสั่งและระเบียบปฏิบัติเกี่ยวกับไอทีของหน่วยงาน โครงสร้างหน่วยงานพร้อมรายชื่อผู้บริหารและผู้ปฏิบัติ ระบบคอมพิวเตอร์พร้อมโปรแกรมสเปรดชีต งบประมาณที่อาจจำเป็นต้องใช้

13 จัดทำแผน ปรึกษาแนวทางการตรวจสอบกับผู้บริหารระดับสูง
จัดทำร่างแผนการตรวจสอบ ส่งร่างแผนการตรวจสอบไปให้หน่วยรับตรวจพิจารณาให้การสนับสนุน ส่งร่างแผนการตรวจสอบไปให้ผู้บริหารระดับสูงอนุมัติ ประกาศแผนการตรวจสอบให้หน่วยรับตรวจทราบ และขอให้หน่วยรับตรวจรีบดำเนินการรวบรวมเอกสารหลักฐานต่าง ๆ สำหรับใช้ในการตรวจสอบเอาไว้ล่วงหน้า

14 ดำเนินการตรวจสอบการควบคุม
ดำเนินการตรวจสอบการควบคุมด้านไอทีโดยวิธีการต่าง ๆ ที่ได้กล่าวถึงไปแล้ว พยายามใช้ check list ในการพิจารณาว่าหน่วยรับตรวจมีการดำเนินการตามการควบคุมหรือไม่ การควบคุมนั้นได้ผลหรือไม่ และมีหลักฐานที่แสดงว่ามีการควบคุมหรือไม่ ในกรณีที่สำคัญให้สัมภาษณ์ผู้บริหาร และ สังเกตผู้ปฏิบัติงานระหว่างการทำงาน เพื่อพิจารณาว่าได้ปฏิบัติงานอย่างถูกต้องหรือไม่ พิจารณาสรุปประเด็นที่ค้นพบ

15 การทดสอบ ในกรณีที่พิจารณาเห็นว่าการควบคุมอาจจะมีความเสี่ยง เช่น ระบบฐานข้อมูลหรือระบบสารสนเทศอาจจะมีปัญหาผู้ตรวจสอบ อาจจะตัดสินใจทดสอบประเด็นที่เป็นปัญหานั้นได้ การทดสอบในแง่นี้คือการทดสอบระบบโดยใช้ข้อมูลทดสอบที่จัดทำขึ้นเป็นพิเศษ เพื่อวิเคราะห์ว่าระบบ (หรือส่วนที่น่าสงสัย) จะสามารถทำงานได้อย่างถูกต้องหรือไม่ เมื่อทดสอบแล้วจึงพิจารณาประเมินผลลัพธ์ของการทดสอบ

16 การจัดทำรายงาน รายงานการตรวจสอบคือการรายงานข้อค้นพบเกี่ยวกับการควบคุมระบบไอทีว่ามีข้อบกพร่องหรือไม่ ต้องเข้าใจว่าด้วยความจำกัดของเวลา และแรงงาน ผู้ตรวจสอบจึงไม่สามารถตรวจสอบงานไอทีได้ทุกอย่าง ดังนั้นการรายงานของผู้ตรวจสอบจึงไม่ได้ยืนยันอย่างหนักแน่นว่าการดำเนินงานด้านไอทีไม่มีข้อบกพร่อง ถ้าทุกอย่างเรียบร้อยดี เราก็เขียนรายงานแสดงได้แต่เพียงว่าเมื่อตรวจสอบตามหลักการแล้วไม่พบสิ่งผิดปกติที่น่าจะเป็นข้อบกพร่องเท่านั้น ถ้ามีข้อบกพร่อง ก็ให้เขียนแสดงข้อค้นพบโดยไม่ต้องเสนอแนะว่าจะแก้ไขอย่างไร

17 สรุป สไลด์นี้แนะนำการวางแผนการตรวจสอบไอที อย่างคร่าว ๆ โดยชี้ว่า ผู้ตรวจสอบย่อมไม่สามารถตรวจสอบงานไอทีได้ทุกอย่างทุกเรื่องเพราะ ความจำกัดของเวลา ดังนั้นจึงควรวางแผนการตรวจสอบระยะเวลา 3 ปีให้ครอบคลุมทุกเรื่อง และกระจายประเด็นที่จะตรวจสอบทุกเรื่องให้สามารถตรวจสอบได้ใน 3 ปี

18 Thank You !


ดาวน์โหลด ppt การวางแผนและ การจัดทำ IT Audit

งานนำเสนอที่คล้ายกัน


Ads by Google