Post on 31-Jul-2020
transcript
ความเสยงและการควบคมด�านเทคโนโลยสารสนเทศ
ความเสยงและการควบคมด�านเทคโนโลยสารสนเทศ
Information Technology Risk and Controls
01
250.-
อาคารตลาดหลกทรพย�แห�งประเทศไทย62 ถนนรชดาภเษก แขวงคลองเตย เขตคลองเตย กรงเทพฯ 10110S-E-T Call Center 0-2229-2222 โทรสาร 0-2654-5399www.set.or.th
อาคารมลนธคณะเซนต�คาเบรยลแห�งประเทศไทย2 ซอยทองหล�อ 25 ถนนสขมวท 55 เขตวฒนา กรงเทพฯ 10110โทร. 0-2712-9124-7 โทรสาร 0-2712-9128www.theiiat.or.th E-mail: auditor@theiiat.or.th
101111000111101101 110101 00110101010111111111111 11011110100010011111 011011011010101000111110 001111010001111111010111011111111011110111 0100110001011111111100111 10110001111111110101011101 11010100010001 1111111 10111001101 11111110010101010100011111000 11110100011111110101110111 111110110001110111110 110101001111101010100 011111000111101000111111101011101 1111111010110110011010110 10101110111
11 000111101101 11010100010001111111111010010111101 1110111 01111100110110111111
1010001 1111000111101000111111101000101111101111 111101111011 01000100011111011
00111 10110001111111110101011101 11010100010001 1111111 10111001101 11111110010101010100011111000 11110100011111110101110111 111110110001110111110 110101001111101010100 011111000111101000111111101011101 1111111010110110011010110 101011101111010001 1111000111101000111111101000101111101111 111101111011 01000100011111011
011110110001111111110101011101 1101010001110110000111111 111010111 1011000111111
1010100011111 0001111010001111111010111011111 11101100110011011 0101111111111111101111000111101101 110101 00110101010111111111111 11011110100010011111 011011011
010101000111110 001111010001111111010111011111111011110111 0100110001011111111100111 10110001111111110101011101 11010100010001 1111111 10111001101 111111100101
01010100011111000 11110100011111110101110111 111110110001110111110 110101001111101010100 011111000111101000111111101011101 1111111010110110011010110 10101110111
11 000111101101 11010100010001111111111010010111101 1110111 01111100110110111111IPPF
- PracticeGuide
ชด “แนวทางการตรวจสอบเทคโนโลยในระดบสากล”กรอบการปฏบตงานวชาชพตรวจสอบภายในระดบสากล – แนวทางปฏบตความเสยงและการควบคมดานเทคโนโลยสารสนเทศ
ผแปล สมาคมผตรวจสอบภายในแหงประเทศไทย และตลาดหลกทรพยแหงประเทศไทยอำนวยการผลต ฝายศนยการเรยนร ศนยสงเสรมการพฒนาความรตลาดทน ตลาดหลกทรพยแหงประเทศไทยกองบรรณาธการอำนวยการ ผาณต เกดโชคชย ปนดดา เพมประโยชน ศศวรรณ เวชเจรญ พมพนารา จรวรดาเกยรตพมพครงท 1 พฤศจกายน 2555 จำนวน 3,000 เลม ราคา 250 บาทขอมลทางบรรณานกรมของสำนกหอสมดแหงชาต
จดจำหนายโดย ตลาดหลกทรพยแหงประเทศไทย 62 ถนนรชดาภเษก คลองเตย กรงเทพฯ 10110 โทรศพท 0 2229 2222 โทรสาร 0 2654 5399 http://www.set.or.th http://www.setfinmart.comพมพท บรษท เมจกเพรส จำกด 178 ซอยสรนธร 7 ถนนสรนธร แขวงบางบำหร เขตบางพลด กรงเทพฯ 10700 โทรศพท 0 2886 5100 โทรสาร 0 2886 4499 http://www.magicpress.co.th
“Copyright C 2009-2012 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte
Springs, Florida 32701-4201, USA. All rights reserved.”
“Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247
Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, to publish this translation, which is the same
in all material respects, as the original unless approved as changed. No part of this document may be
reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical,
photocopying, recording, or otherwise, without prior written permission of IIA, Inc.”
สมาคมผตรวจสอบภายในแหงประเทศไทย ไดรบอนญาตจากเจาของลขสทธ คอ The Institute of Internal
Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA ใหดำเนนการจดพมพ GTAG 1:
Information Technology Risk and Controls, 2nd Edition ฉบบภาษาไทย ซงมเนอหาเชนเดยวกบตนฉบบภาษาองกฤษ
โดยจดพมพในชอ “ความเสยงและการควบคมดานเทคโนโลยสารสนเทศ” ทงน The Institute of Internal Auditors
ไมอนญาตใหผลตซำหรอจดเกบเนอหาของเอกสารนในระบบใดๆ หรอโอนถายเนอหา ในรปแบบหรอโดยนยตางๆ
ทงทางอเลกทรอนกส อปกรณ การถายเอกสาร การบนทก หรอวธการอนๆ หากปราศจากการอนญาตอยางเปนลายลกษณ
อกษรจาก The Institute of Internal Auditors
ความเสยงและการควบคมดานเทคโนโลยสารสนเทศ.- -กรงเทพฯ : ตลาดหลกทรพยแหงประเทศไทย, 2555. 88 หนา. 1. การบรหารความเสยง. 2. การวเคราะหความเสยง. 3. สารสนเทศ - - การจดการ. I. สมาคมผตรวจสอบภายในแหงประเทศไทย II. ตลาดหลกทรพยแหงประเทศไทย III. ชอเรอง.657.45 ISBN 978-616-7227-41-2
คำนำ
นบตงแตป 2552 สมาคมผตรวจสอบภายในสากล (The Institute of Internal Auditors–
IIA) ไดพฒนากรอบการปฏบตงานวชาชพตรวจสอบภายในระดบสากล (International Professional
Practices Framework – IPPF) เพอใหแนวทางในการปฏบตงานตรวจสอบภายในของผประกอบวชาชพท
ครอบคลมขอบเขตการปฏบตงานตรวจสอบภายใน โดยไดออกมาตรฐานการปฏบตงานและมการปรบปรง
มาตรฐานดงกลาวมาอยางตอเนอง พรอมทงไดจดทำแนวทางปฏบตงานและขอแนะนำตางๆ ซงเปน
ประโยชนตอการดำเนนงานขององคกรและผประกอบวชาชพตรวจสอบภายในเสมอมา
กรอบการปฏบตงานวชาชพตรวจสอบภายในระดบสากลดงกลาวน มเนอหาสำคญแบงเปน
2 สวน คอ
สวนท 1 แนวทางบงคบใช (Mandatory Guidance) ประกอบดวย คำจำกดความของการ
ตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานสากลการปฏบตงานวชาชพตรวจสอบภายใน
ซงเปนหลกเกณฑพนฐานทผตรวจสอบภายในตองทราบและปฏบตตาม
สวนท 2 แนวทางทแนะนำใหตองนำไปใช (Strongly Recommended Guidance) ประกอบดวย
เอกสารแสดงความคดเหน (Position Papers) ขอแนะนำในการนำมาตรฐานไปใช (Practice Advisories)
และแนวปฏบต (Practice Guides) ซงแนวทางเหลานจะชวยอธบายถงวธการปฏบตตามคำจำกดความ
ของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานฯ ไดอยางมประสทธภาพ
หนงสอชด Global Technology Audit Guide (GTAG) น เปนแนวปฏบต หรอ Practice
Guides ท IIA จดทำขนเพอชประเดนทนาสนใจเกยวกบความเสยงและแนวทางการบรหารความเสยง
ดานเทคโนโลย ซงคณะกรรมการ กรรมการตรวจสอบ ผบรหารงานระดบสง โดยเฉพาะอยางยงผบรหาร
งานดานตรวจสอบภายในและผบรหารทรบผดชอบตรวจสอบระบบเทคโนโลยสารสนเทศสามารถ
นำไปประยกตใช เพอเพมประสทธภาพและเพมมลคาใหแกองคกร ทงในเชงการบรหารจดการ
การควบคมและการรกษาความปลอดภยของเทคโนโลยสารสนเทศ อกทงไดรบทราบถงแหลงขอมลพรอม
ใชในการบรหารจดการดงทกลาวไวดวย โดย IIA ไดประกาศใชแนวปฏบตชดน ตงแต พ.ศ. 2548
โดยหนงสอแปลชด GTAG ฉบบนเปนฉบบทเปนปจจบน ประกาศใชเมอเดอนมนาคม 2555 ทผานมา
ซงสมาคมผตรวจสอบภายในแหงประเทศไทย (สตท.) ไดรบลขสทธจาก IIA อยางถกตอง
ในการดำเนนงานโครงการแปลน สตท. ขอขอบคณตลาดหลกทรพยแหงประเทศไทย
สมาคมผตรวจสอบและควบคมระบบสารสนเทศ – ภาคพนกรงเทพฯ (Information Systems Audit
and Control Association Bangkok Chapter – ISACA Bangkok Chapter) หนวยงานทเกยวของ
และผทรงคณวฒทกทาน ดงรายนามทปรากฏในคณะทำงานโครงการจดทำหนงสอแปลชด “แนวทางการ
ตรวจสอบเทคโนโลยในระดบสากล” ซ งแตงต งโดย สตท. ISACA และตลาดหลกทรพยฯ ท ได
กรณาสละเวลาและใชความวรยะอตสาหะใหโครงการหนงสอแปลชดนไดสำเรจลลวงดวยด สมดง
เจตนารมณทตงไว และหวงเปนอยางยงวาแนวปฏบตชดน จะอำนวยประโยชนทดทสดใหแกผอาน
และองคกรทนำไปประยกตใช
(นายสวรรณ ดำเนนทอง) รกษาการ นายกสมาคมผตรวจสอบภายในแหงประเทศไทย พฤศจกายน 2555
คณะทำงานโครงการจดทำหนงสอแปลชด“แนวทางการตรวจสอบเทคโนโลยในระดบสากล”
ตลาดหลกทรพยแหงประเทศไทย
ศาสตราจารยหรญ รดศร ประธานคณะทำงาน
ศาสตราจารย ดร.ธวช ภษตโภยไคย คณะทำงาน
คณสวรรณ ดำเนนทอง คณะทำงาน
ดร.เยาวลกษณ ชาตบญชาชย คณะทำงาน
คณวรางคณา มสกะสงข คณะทำงาน
รองศาสตราจารย ดร.นตยา วงศภนนทวฒนา คณะทำงาน
คณผาณต เกดโชคชย เลขานการคณะทำงาน
ผประสานงานการแปล
คณปนดดา เพมประโยชน
คณศศวรรณ เวชเจรญ
คณพมพนารา จรวรดาเกยรต
สมาคมผตรวจสอบและควบคมระบบสารสนเทศ ภาคพนกรงเทพฯ
(ISACA – Bangkok Chapter)
คณวรางคณา มสกะสงข (นายกสมาคมฯ)
PricewaterhouseCoopers
คณเสนย วชรศรธรรม (อปนายก)
ธนาคารไทยพาณชย จำกด (มหาชน)
คณชชย วชระบรรจง (อปนายก)
บรษท ประกนคมภย จำกด (มหาชน)
คณสวฒน หลายเจรญทรพย (ทปรกษาสมาคมฯ)
ศาลทรพยสนทางปญญาและการคาระหวางประเทศกลาง
สมาคมไอทเอสเอมเอฟ ประเทศไทย
คณสธนย ประเสรฐสรรพ (ประธานดานปฏคม)
ธนาคารไทยธนาคาร จำกด (มหาชน)
ดร.ประจต หาวตร (ประธานดานการศกษา)
คณะพาณชยศาสตรและการบญช จฬาลงกรณมหาวทยาลย
คณปรญญา หอมเอนก (ประธานดานวจยและพฒนา)
บรษท เอซส โปรเฟสชนนล เซนเตอร จำกด
คณวาสนา โรจนพเชฐ (ประธานดานสมาชก)
บรษท ดจเวลท จำกด
คณสมชย แพทยวบลย (ผชวยดานสมาชก)
ธนาคารทสโก จำกด (มหาชน)
คณเมธา สวรรณสาร (Audit Chair)
บรษท ศรอยธยาประกนภย จำกด (มหาชน)
ดร.เยาวลกษณ ชาตบญชาชย (IT Gl liaison)
Ernst & Young Corporate Ltd.
คณประทกษ วงศสนคงมน (เหรญญก)
ธนาคารไทยพาณชย จำกด (มหาชน)
คณณฐชา เฉลมไชยโกศล (ผชวยเหรญญก)
คณสมหมาย ฟองนำทพย (ผประสานงาน CISA และเลขานการสมาคมฯ)
ธนาคารกรงศรอยธยา จำกด (มหาชน)
คณณฐ สงหลกะ (ผชวยเลขานการสมาคมฯ)
PricewaterhouseCoopers
คณนพนธ นาชน (Web Master)
บรษท เอซส โปรเฟสชนนล เซนเตอร จำกด
สมาคมผตรวจสอบภายในแหงประเทศไทย
คณะผแปล
คณพสทธ ธารจนดาวงศ
ผบรหารสวน ฝายตรวจสอบกจการภายในและตดตามการปฏบตงาน
ธนาคารแหงประเทศไทย
คณรณชย ธรรมรตนะศร, CISA
ผบรหารทม ฝายตรวจสอบกจการภายในและตดตามการปฏบตงาน
ธนาคารแหงประเทศไทย
คณสกมา อดลยวจตร, CISA
ผบรหารทม ฝายตรวจสอบกจการภายในและตดตามการปฏบตงาน
ธนาคารแหงประเทศไทย
ผสอบทาน
ผชวยศาสตราจารย ดร.อรนช สงสวาง
คณะพาณชยศาสตรและการบญช จฬาลงกรณมหาวทยาลย
สารบญ
บทสรปผบรหาร.............................................................................................. 1
บทท1บทนำ.............................................................................................. 3
บทท2 ความรเบองตนเกยวกบความเสยง และการควบคมดานเทคโนโลยสารสนเทศทางธรกจ.................................. 9
บทท3ผมสวนไดเสยภายใน และความรบผดชอบดานเทคโนโลยสารสนเทศ...................................... 17
บทท4 การวเคราะหความเสยง.............................................................................. 23
บทท 5 การประเมนการควบคมดานเทคโนโลยสารสนเทศภาพรวมทวไป.......... 31
บทท6ความรความเขาใจความสำคญ ของการควบคมดานเทคโนโลยสารสนเทศ................................................. 37
บทท7ความสามารถและทกษะในการตรวจสอบดานเทคโนโลยสารสนเทศ.......... 55
บทท8การนำกรอบการควบคมมาใช.................................................................... 59
บทท9บทสรป...................................................................................................... 65
ผเขยนและผอานทบทวน........................................................................................... 68
ภาคผนวก:รายการตรวจสอบกรอบการควบคมดานเทคโนโลยสารสนเทศ................ 69
หนา
แนวทางการตรวจสอบเทคโนโลยในระดบสากล (GTAG: Global TechnologyAudit Guide) นชวยใหหวหนาผบรหารงานตรวจสอบภายในและผตรวจสอบภายในกาวทน
การเปลยนแปลงและความซบซอนของโลกแหงเทคโนโลยสารสนเทศ โดยการใหขอมลแก
ผบรหารธรกจทมใชผบรหารดานเทคโนโลยสารสนเทศทงผบรหารและคณะกรรมการตาง
คาดหวงวา การปฏบตงานของผตรวจสอบภายในจะใหความเชอมนเกยวกบความเสยง
ทสำคญทงหมดรวมถงความเสยงทมาพรอมกบการนำเทคโนโลยสารสนเทศไปใชงาน
ชดของแนวทางการตรวจสอบเทคโนโลยในระดบสากลชวยเพมพนความรในประเดนดาน
ความเสยงการควบคมและการกำกบดแลทเกยวของกบเทคโนโลยใหกบหวหนาผบรหาร
งานตรวจสอบภายในและผตรวจสอบภายในเปาหมายของแนวทางชดนคอการชวยให
ผตรวจสอบภายในคนเคยกบการควบคมดานเทคโนโลยสารสนเทศทวไปเพอใหสามารถ
สอสารกบคณะกรรมการและแลกเปลยนความคดเหนดานความเสยงและการควบคมกบ
หวหนาเจาหนาทดานสารสนเทศและผบรหารดานเทคโนโลยสารสนเทศไดแนวทางชดน
อธบายวธการทกลมผกำกบดแล ผบรหาร ผประกอบวชาชพดานเทคโนโลย สารสนเทศ
และผตรวจสอบภายในดำเนนการตอประเดนความเสยงและการควบคมทสำคญเกยวกบ
เทคโนโลยสารสนเทศและเพ อนำเสนอกรอบในการประเมนความเส ยงและการควบคม
ดานเทคโนโลยสารสนเทศ นอกจากน แนวทางฉบบนเกรนนำถงแนวทางฉบบอนๆ ทจะ
ครอบคลมหวขอดานเทคโนโลยสารสนเทศในรายละเอยดรวมทงบทบาทและความรบผดชอบ
ทางธรกจทเกยวของ
1
บทสรป¼ÙŒบรÔหาร
แนวทางฉบบท1“ความเสยงและการควบคมดานเทคโนโลยสารสนเทศ:
Information Technology Risk and Controls”นเปนแนวทางฉบบปรบปรงของGTAG
ชดแรกในชอ“การควบคมดานเทคโนโลยสารสนเทศ:InformationTechnologyControls”
ซงตพมพเมอเดอนมนาคม 2548 โดยฉบบปรบปรงนมเปาหมายเพอใหภาพรวม
ในเรองความเสยงและการควบคมดานเทคโนโลยสารสนเทศ
�
บทสรปผบรหาร
วตถประสงคของการจดทำแนวทางฉบบนเพออธบายเกยวกบความเสยงและการควบคมดานเทคโนโลยสารสนเทศ(ITrisksandcontrols)ในรปแบบทจะทำใหหวหนาผบรหาร
งานตรวจสอบภายในเขาใจและสอสารใหผอนไดเหนถงความจำเปนทจะตองมการควบคม
ดานเทคโนโลยสารสนเทศทเขมงวดทงนแนวทางฉบบนไดจดเรยงไวใหผอานสามารถ
ตดตามเนอหาเกยวกบกรอบ(framework)สำหรบการประเมนการควบคมดานเทคโนโลย
สารสนเทศและม งเนนเฉพาะหวขอท ตองการอานตามความจำเปน นอกจากน
แนวทางฉบบนยงไดกลาวถงภาพรวมขององคประกอบทสำคญของการประเมนการควบคม
ดานเทคโนโลยสารสนเทศโดยเนนถงบทบาทและความรบผดชอบของบคลากรหลก
ขององคกรทสามารถผลกดนใหมการกำกบดแลทรพยากรทางดานเทคโนโลยสารสนเทศ
แมผอานอาจคนเคยกบบางแงมมของแนวทางฉบบนมาบางแลว แตยงมแงมมอนๆ
ทใหมมมองใหมๆสำหรบเปนแนวทางการดำเนนงานดานความเสยงและการควบคมดาน
เทคโนโลยสารสนเทศเปาหมายหนงของแนวทางฉบบนและฉบบตอๆไปของแนวทาง
GTAGชดนคอองคประกอบของการประเมนการควบคมดานเทคโนโลยสารสนเทศทสามารถ
ใชเพอใหความรวาความเสยงและการควบคมดานเทคโนโลยสารสนเทศคออะไรและ
เหตใดผบรหารและผตรวจสอบภายในจงควรใหความใสใจกบความเสยงและการควบคม
ดานเทคโนโลยสารสนเทศขนพนฐานเพอกอใหเกดและรกษาสภาพแวดลอมของการควบคม
ดานเทคโนโลยสารสนเทศทมประสทธผล
บททè 1 บทนำ
3
แมวาเทคโนโลยจะนำมาซงโอกาสในการเจรญเตบโตและการพฒนาขององคกรแต
เทคโนโลยกอาจเปนภยคกคาม(threats)ไดดวยเชนการหยดชะงกของระบบการหลอกลวง
การลกขโมยและการทจรต เปนตน แมจะมงานวจยแสดงใหเหนวา ผโจมตจากภายนอก
(outside attackers) มกจะเปนภยคกคามขององคกร แตบคคลภายในองคกรทเปนทไว
วางใจกอาจเปนภยคกคามทอนตรายยงกวาไดอยางไรกตามเทคโนโลยสามารถใชเพอ
ปองกนภยคกคามเหลานไดซงผอานสามารถเรยนรไดจากแนวทางฉบบนผบรหารควร
ถามคำถามทตรงประเดนและเขาใจความหมายของคำตอบตางๆดวยตวอยางเชน
ทำไมเราจงควรมความรความเขาใจเกยวกบความเสยงและการควบคม
ดานเทคโนโลยสารสนเทศ
คำตอบคอ“การใหความเชอมน”(assurance)และ“ความนาเชอถอ”
(reliablility)ผบรหารมบทบาทสำคญในการทำใหเกดความเชอมนตอความ
นาเชอถอของขอมลสารสนเทศ(informationreliability)ความเชอมนนเรมตนจาก
การมกระบวนการควบคมทางธรกจตางๆทมผลเชอมโยงถงกนประกอบกบ
หลกฐานทแสดงใหเหนวาการควบคมนนมความตอเนองและเพยงพอซง
ผบรหารตองพจารณาใหนำหนกหลกฐานทไดจากการควบคมและการตรวจสอบ
และสรปวาหลกฐานนนสามารถทำใหเกดความเชอมนไดอยางสมเหตสมผลหรอไม
อะไรบางทควรไดรบการปกปอง
คำตอบคอ “ความไววางใจ” (trust) ทำใหธรกจสามารถดำเนนไปได
และมประสทธภาพ การควบคมนำมาซงพนฐานของความไววางใจแมวาเราจะ
ไมสามารถมองเหนไดกตาม แตเทคโนโลยกนำมาซงพนฐานของการควบคมทาง
ธรกจแทบทกประเภทความนาเชอถอของขอมลทางการเงนและกระบวนการ
ทเกยวของ(ซงปจจบนหลายๆองคกรจดทำเปนขอบงคบ)ทงหมดจะขนอยกบ
ความไววางใจ
ทใดบางทสามารถประยกตใชการควบคมดานเทคโนโลยสารสนเทศได
คำตอบคอ“ใชไดทกท”เทคโนโลยสารสนเทศประกอบดวยองคประกอบ
ทางดานเทคโนโลยกระบวนการบคลากรโครงสรางองคกรและสถาปตยกรรม
(architecture) รวมทงสารสนเทศ การควบคมดานโครงสรางพนฐานหลาย
ประเภทเปนการควบคมทางเทคนคและเทคโนโลยสารสนเทศยงเปนเครองมอ
ทใชในการควบคมทางธรกจในหลายๆดาน
�
บทท 1 บทนำ
ใครคอผรบผดชอบ
คำตอบคอ “ทกคนในองคกร” แตผบรหารตองระบและประกาศผท
เปนเจาของและมหนาทรบผดชอบการควบคมนน มฉะนนแลวจะไมมใคร
รบผดชอบอะไรเลยและสงผลทคอนขางรนแรง
เมอไรทเราควรจะประเมนความเสยงและการควบคมดานเทคโนโลย
สารสนเทศ
คำตอบคอ “ตลอดเวลา” เพราะเทคโนโลยสารสนเทศเองกเปนสภาพ
แวดลอมทมการเปล ยนแปลงอยางรวดเรวและเปนตวกระต นใหเกดการ
เปลยนแปลงทางธรกจดวยนอกจากนยงมความเสยงใหมๆ เกดขนอยางรวดเรว
ดงนนการควบคมตางๆจงจำเปนตองมหลกฐานทแสดงใหเหนถงประสทธผล
ของการควบคมทมอยอยางตอเนองและหลกฐานดงกลาวจะตองไดรบการประเมน
และวดผลอยางสมำเสมอ
การควบคมควรมมากนอยเพยงใดจงจะเพยงพอ
คำตอบคอ “ฝายบรหารจำเปนตองตดสนใจ” โดยขนอยกบความ
เสยงทองคกรยอมรบได(riskappetite)ชวงเบยงเบนของความเสยงท
องคกรยอมรบได(risktolerance)และกฎระเบยบขอบงคบตางๆเนองจากการ
ควบคมไมใชวตถประสงคขององคกรแตการควบคมมไวเพอชวยใหองคกร
บรรลวตถประสงคทางธรกจแมวาการควบคมจะเปนตนทนในการดำเนน
ธรกจและอาจมราคาแพง แตกไมแพงเทากบผลกระทบทอาจเกดขนจากการ
ควบคมทไมเพยงพอ
การควบคมดานเทคโนโลยสารสนเทศเปนสงจำเปนสำหรบการปกปองสนทรพย
ลกคาพนธมตรทางธรกจและขอมลสารสนเทศทออนไหว(sensitiveinformation)
แสดงถงความมนคงปลอดภยความมประสทธภาพและพฤตกรรมทมจรยธรรมชวยปกปอง
ตราผลตภณฑ ชอเสยง และความไววางใจตอองคกร ซงสงเหลานอาจจะสญเสยไปได
อยางงายดายในตลาดการคาระดบโลกและในสภาพแวดลอมทอย ภายใตกฎขอบงคบ
จากหนวยงานตางๆเชนในปจจบนหวหนาผบรหารงานตรวจสอบภายในสามารถใชแนวทาง
ฉบบนเปนพนฐานในการประเมนกรอบและแนวปฏบตของการตรวจสอบภายในดานความ
เสยงและการควบคมดานเทคโนโลยสารสนเทศการปฏบตตามกฎระเบยบและการใหความ
เชอมนขององคกร แนวทางฉบบนยงสามารถใชเพอตอบสนองตอความทาทายทเกดจาก
การเปลยนแปลงอยางตอเนอง ความซบซอนทเพมขน ภยคกคามทเกดขนอยางรวดเรว
และความจำเปนในการปรบปรงประสทธภาพ
�
การควบคมดานเทคโนโลยสารสนเทศไมไดแยกอยเปนเอกเทศแตจะทำงานรวมกบ
การควบคมอนๆเพอการปกปองสนทรพยลกคาพนธมตรทางธรกจและขอมลสารสนเทศ
ทออนไหวอยางตอเนองซงจดออนในการควบคมตรงจดใดจดหนงททำงานรวมกนน
(aweaklink)อาจสงผลใหเกดขอบกพรองในระบบการควบคมไดนอกจากนการควบคม
ยงอาจผดพลาดไดและถกขามขนตอนโดยผบรหาร(managementoverride)ซงอาจ
เกดขนดวยการใชวธงายๆ ไปจนถงเทคนคชนสง และอาจมไดในสภาพแวดลอมทมการ
เปลยนแปลงตลอดเวลาการควบคมดานเทคโนโลยสารสนเทศมองคประกอบทสำคญ
2ประการคอการควบคมทางธรกจแบบอตโนมต(theautomationofbusinesscontrols)
และการควบคมเทคโนโลยสารสนเทศ(controlofIT)ดงนนการควบคมดานเทคโนโลย
สารสนเทศจงชวยทงสนบสนนการบรหารจดการและการกำกบดแลดานธรกจพรอมกน
กบทำใหเกดการควบคมทวไปและการควบคมในระดบเทคนคสำหรบโครงสรางพนฐานของ
เทคโนโลยสารสนเทศหวหนาผ บรหารงานตรวจสอบภายในอาจมองการควบคมทาง
ธรกจแบบอตโนมตวาเปนการควบคมทอาศยทงทกษะการตรวจสอบทางธรกจและ
ดานเทคโนโลยสารสนเทศเพอบรณาการความสามารถในการตรวจสอบหวหนา
ผบรหารงานตรวจสอบภายในอาจตองการแยกการควบคมดานเทคโนโลยสารสนเทศทวไป
หรอการควบคมทวไปดานคอมพวเตอร(generalcomputercontrols:GCCs)ตามทกษะ
ทางเทคนคและความสามารถทจำเปนในการประเมนระบบงานทคอนขางมความซบซอนทาง
เทคนค รวมถงการประเมนโครงสรางพนฐานและการปฏบตการ ยกตวอยางเชน ระบบ
งานดานการวางแผนทรพยากรองคกร(enterprise resourceplanning:ERP) ตองใช
ความรทางเทคนคมากกวาปกตในการทำความเขาใจและประเมนการควบคมโครงสรางฐาน
ขอมลของระบบ(ERPdatabasestructures)การเขาถงระบบของผใช(useraccess)
การกำหนดคาของระบบ(systemconfiguration)และการรายงานทางการเงนหวหนา
ผบรหารงานตรวจสอบภายในจะพบวาการประเมนโครงสรางพนฐานเชนเครอขาย
(networks)อปกรณกำหนดเสนทางในระบบเครอขาย(routers)ดานกนบกรก(firewall)
อปกรณไรสายและโทรศพทมอถอซงตองใชทกษะและประสบการณเฉพาะทางบทบาทของ
ผตรวจสอบภายในในการควบคมดานเทคโนโลยสารสนเทศเรมจากการทำความเขาใจใน
หลกการไปจนถงการจดทำรายงานผลของการประเมนความเสยงและการควบคมการ
ตรวจสอบภายในรวมถงการทำงานรวมกนอยางมากกบบคคลในตำแหนงตางๆทมหนาท
รบผดชอบดานการควบคมและตองการการเรยนรอยางตอเนองรวมถงการประเมนใหม
ทกครงเมอมพ ฒนาการดานเทคโนโลยใหมๆออกมาหรอเมอมการเปลยนแปลง
�
บทท 1 บทนำ
ขององคกรในเรองโอกาสทางธรกจ การใชประโยชน การพงพาเทคโนโลย กลยทธ
ความเส ยงและความตองการใชงาน
การควบคมดานเทคโนโลยสารสนเทศนำมาซงความเชอมนในความนาเชอถอ
ของขอมลสารสนเทศและการใหบรการขอมลสารสนเทศการควบคมดานเทคโนโลย
สารสนเทศสามารถชวยลดความเสยงทเกดจากการทองคกรนำเทคโนโลยมาใชโดยเรม
ตงแตการจดทำนโยบายขององคกรไปจนถงการนำไปใชงานจรง โดยการทำงานทเขยน
ไวในรหสคำสง (coded instructions) ตงแตการปองกนการเขาถงทางกายภาพจนถง
ความสามารถในการตดตามการทำรายการและขอมลรายการธรกรรมเพอหาผรบผดชอบ
และตงแตการตรวจแกแบบอตโนมต (automatic edits) จนถงการวเคราะหความสมเหต
สมผลของขอมลขนาดใหญๆ
แนวคดดานการควบคมทสำคญ2ประการไดแก
ความเชอมนจะเกดขนไดจากการมการควบคมดานเทคโนโลยสารสนเทศทม
การทำงานอยภายใตระบบการควบคมภายใน ซงความเชอมนนตองมอยอยาง
ตอเนองและมรองรอยของหลกฐานทเชอถอไดและเปนไปโดยตอเนอง
การใหความเชอมนโดยผตรวจสอบภายในเปนการประเมนความเชอมนอยาง
เทยงธรรมและเปนอสระวาการควบคมทเกยวของกบเทคโนโลยสารสนเทศ
ปฎบตงานตามทไดกำหนดไว ความเชอมนนมาจากการทผตรวจสอบทำความ
เขาใจ ตรวจทาน และประเมนการควบคมหลกทใชจดการกบความเสยงทเกยวของ
ตลอดจนดำเนนการทดสอบอยางเพยงพอ เพอใหมนใจวาการควบคมไดรบการ
ออกแบบอยางเหมาะสมสามารถทำหนาทในการควบคมไดอยางมประสทธผล
และตอเนอง
กรอบตางๆจดทำขนเพอใชในการจดประเภทของการควบคมดานเทคโนโลย
สารสนเทศและวตถประสงคของการควบคมซงแนวทางฉบบนไดแนะนำใหแตละองคกร
เลอกองคประกอบของกรอบทเหมาะสมไปใช เพอจดประเภทและประเมนความเสยงและ
การควบคมดานเทคโนโลยสารสนเทศ
�
�
บทท 1 บทนำ
2.1 หลกการสำคญ
องคกรยงคงใชประโยชนจากขดความสามารถของเทคโนโลยทกาวหนาขนอยาง
ตอเนองเพอพฒนาสนคาและบรการซงลวนสรางความทาทายใหกบวชาชพตรวจสอบภายใน
มาตรฐานสากลของสมาคมผตรวจสอบภายใน(IIA’sInternationalStandards)สำหรบ
แนวปฏบตทางวชาชพของการตรวจสอบภายในไดระบไวอยางชดเจนวาผตรวจสอบภายใน
ตองประเมนความเสยงและการควบคมดานระบบสารสนเทศทองคกรใช และสมาคมผตรวจสอบ
ภายในยงไดใหมมมองเพมเตมในการประเมนการควบคมดานเทคโนโลยสารสนเทศใน
แนวทางการตรวจสอบเทคโนโลยในระดบสากล(GTAGs)เชนแนวทางฉบบท4(GTAG4):
Managementof ITAuditingdiscussesITrisksandtheresulting ITriskuniverse
แนวทางฉบบท11(GTAG11):DevelopingtheITAuditPlanซงชวยผตรวจสอบภายใน
ประเมนสภาพแวดลอมทางธรกจทใชเทคโนโลยสารสนเทศสนบสนนการทำงานและเรอง
ทอาจครอบคลมในการตรวจสอบดานเทคโนโลยสารสนเทศ (ขอบเขตการตรวจสอบดาน
เทคโนโลยสารสนเทศ)(ITaudituniverse)ทเปนไปไดทงหมดรวมทงแนวทางฉบบท8
(GTAG8):AuditingApplicationControlsซ งครอบคลมหวขอการตรวจสอบ
การควบคมระบบงานและแนวทางทผตรวจสอบภายในสามารถนำไปใชประเมนการควบคม
บททè 2 ควาÁรÙŒเบéองตŒนเกèยวกบ
ควาÁเสèยงและการควบคÁดŒานเทคโนโลยสารสนเทÈทาง¸รกÔจ
9
คำวา“คณะกรรมการ”ในแนวทางGTAGฉบบนใชตามความหมายทระบไวใน
InternationalStandardsfortheProfessionalPracticeofInternalAudit(standards
glossary)วา“คณะกรรมการหมายถงคณะบคคลทกำกบดแลองคกรเชนคณะกรรมการ
บรษท(boardofdirectors)คณะกรรมการอำนวยการ(supervisoryboard)หวหนา
หนวยงานหรอหนวยงานทมอำนาจตามกฎหมาย (head of an agency or legislative
body) คณะผวาการหรอทรสตขององคกรทไมแสวงหากำไร (board of governors or
trusteesofanonprofitorganization)หรอคณะกรรมการอนๆขององคกรทไดรบการ
แตงตงรวมทงคณะกรรมการตรวจสอบ(auditcommittee)ซงหวหนาผบรหารงานตรวจสอบ
ภายในอาจตองรายงานตามหนาทงาน”
แนวทางน จะกลาวในรายละเอยดถงการประเมนความเส ยงและการควบคม
ดานเทคโนโลยสารสนเทศ โดยตองมความเชอมโยงเขากบสภาพแวดลอมของกระบวนการ
ทางธรกจท สรางข นและวตถประสงคเฉพาะขององคกรท จะตองบรรลใหไดตามท
ผบรหารองคกรและคณะกรรมการไดกำหนดไว ความเสยงดานเทคโนโลย สารสนเทศ
เปนเพยงสวนหนงของความเกยวพนทซบซอนระหวางบคคลกระบวนการโครงสราง
พนฐานและสภาพแวดลอมของความเสยงทองคกรมอย และควรไดรบการบรหารจดการใน
ภาพรวมโดยองคกร
ผตรวจสอบภายในจำเปนตองเขาใจการควบคมตางๆ ทมอยเพอลดความเสยง
ดานเทคโนโลยสารสนเทศการควบคมสามารถมองในมมทการควบคมนนมอยจรงใน
โครงสรางทข นอยกบความเชอมตอกนของประสทธผลของการปฏบตตามการควบคม
รวมทงตระหนกวา ความลมเหลวของชดของการควบคมทกำหนดไวอาจสงผลตอการเพม
การอางองและการตรวจสอบกลมการควบคมอนๆทจำเปนในแนวทางฉบบนการควบคม
ดานเทคโนโลยสารสนเทศจะกลาวในหลายๆ มมมอง เชน การกำกบดแล (governance)
การบรหารจดการ(management)ดานเทคนค(technical)และระบบงาน(application)
ขนอยกบวาใครในองคกรเปนผนำออกใชงานและดแลรกษา
อกมมมองหนงของการควบคมดานเทคโนโลยสารสนเทศคอในมมมองของการควบคม
ทวไปและการควบคมระบบงาน(general andapplication controls)การควบคมทวไป
ดานเทคโนโลยสารสนเทศมลกษณะทมผลในวงกวางและไดรบการพจารณาถงโดยการตรวจ
สอบในหลายทางเชนการดำเนนการดานเทคโนโลยสารสนเทศการพฒนาและดแลรกษา
10
บทท 2 ความรเบองตนเกยวกบความเสยงและ การควบคมดานเทคโนโลยสารสนเทศทางธรกจ
ระบบงาน การบรหารจดการผใช การบรหารจดการการเปลยนแปลง และการสำรองและ
การกขอมลสวนการควบคมระบบงานเปนการควบคมอกประเภทหนงทครอบคลมการ
ควบคมในการปอนขอมลการประมวลผลและการสงออกขอมลของระบบงาน
แนวทางฉบบนใหขอมลในรายละเอยดถงการใชการควบคมเพอการบรหารจดการ
และการกำกบดแลโครงสรางพนฐานกระบวนการทำงานและบคลากรทคอยสนบสนนธรกจ
ผานการใชเทคโนโลยการกำกบดแลเทคโนโลยสารสนเทศ(ITgovernance)ยงคงคอยๆ
พฒนาขนภายในองคกรอยางตอเนองตามการใชเทคโนโลยสารสนเทศเชนเดยวกบการกำกบ
ดแลทเพมขนของผบรหารและคณะกรรมการ
2.2 การกำกบดแลเทคโนโลยสารสนเทศ
เมอกลาวถงหวขอการควบคมดานเทคโนโลยสารสนเทศ สงสำคญทควรพจารณา
คอการกำกบดแลเทคโนโลยสารสนเทศซงใหกรอบเพอใหมนใจวาเทคโนโลยสารสนเทศ
สามารถสนบสนนความจำเปนทางธรกจโดยรวมไดจงเปนเรองสำคญทผ บรหารดาน
เทคโนโลยสารสนเทศตองมความเขาใจอยางดในกระบวนการทางธรกจขององคกรทจะนำ
ไปสการบรรลวตถประสงคและเปาหมายทคณะผบรหารและคณะกรรมการไดกำหนดไว
การกำกบดแลเทคโนโลยสารสนเทศไมเพยงแตมการควบคมท จำเปนในการจดการ
ความเสยงทไดระบไวเทานน แตยงเปนโครงสรางทบรณาการระหวางแนวปฏบตดาน
เทคโนโลยสารสนเทศและบคลากรทตองสอดคลองกนรวมทงทำใหบรรลกลยทธและ
เปาหมายขององคกรโดยรวมได
หวหนาผบรหารงานตรวจสอบภายในจำเปนตองสามารถประเมนโครงสรางของการ
กำกบดแลเทคโนโลยสารสนเทศและความสามารถของโครงสรางดงกลาวในการใหผลงาน
แกองคกร และตองสามารถพฒนาประสทธภาพของกจกรรมดานเทคโนโลยสารสนเทศได
ผลการวจยบงชวาการกำกบดแลเทคโนโลยสารสนเทศนำไปสการดำเนนการทางธรกจทด
ขน และยงชวยเสรมสรางความสอดคลองกนของเทคโนโลยสารสนเทศกบธรกจ ในการท
จะบรรลวตถประสงคทางกลยทธดวย
การกำกบดแลเทคโนโลยสารสนเทศประกอบดวยความเปนผนำโครงสรางองคกร
และกระบวนการตางๆททำใหมนใจไดวาเทคโนโลยสารสนเทศขององคกรจะสามารถรกษา
และสนบสนนกลยทธและวตถประสงคขององคกรได
11
ตามขอกำหนดของมาตรฐานสมาคมผตรวจสอบภายใน 2110.A2 กลาวไววา
กจกรรมการตรวจสอบภายในตองประเมนวาการกำกบดแลเทคโนโลยสารสนเทศขององคกร
สนบสนนกลยทธและวตถประสงคขององคกรหรอไม หวหนาผบรหารงานตรวจสอบภายใน
ตองพรอมทจะประเมนแงมมสำคญของสภาพเทคโนโลยสารสนเทศในภาพรวม(overallIT
landscape)
การประยกตใชหลกการกำกบดแลดานเทคโนโลยสารสนเทศทเหมาะสม สามารถ
ทจะมอทธพลและผลกระทบตอทงองคกรรวมถงวธการทเทคโนโลยสารสนเทศจะมปฏสมพนธ
ตอธรกจ
การระบและการบรหารจดการกบความเสยงดานเทคโนโลยสารสนเทศ
และการชวยใหมการพฒนาปรบปรงการปฏบตการดานเทคโนโลยสารสนเทศ
การกำกบดแลดานเทคโนโลยสารสนเทศชวยทำใหกจกรรมบรหารความเสยง
ตางๆขององคกรมการเชอมโยงกนอยางใกลชดซงรวมถงการบรหารความเสยง
ขององคกร (ERM: enterprise risk management) การกำกบดแลเทคโนโลย
สารสนเทศจำเปนตองเปนสวนหนงของความพยายามในการบรหารจดการ
ความเสยงทงองคกรเพอวาเทคนคตางๆทเหมาะสมจะไดถกนำมาใชเปน
สวนหนงของกจกรรมดานเทคโนโลยสารสนเทศทงน รวมถงการส อสาร
เกยวกบสถานะของความเสยงใหแกผมสวนไดเสยทสำคญทวทงองคกรหวหนา
ผบรหารงานตรวจสอบภายในควรสอบทานกจกรรมการบรหารความเส ยงท
ทกสวนขององคกรนำมาใชและทำใหแนใจไดวามความเช อมโยงกนของ
ความพยายามในการบรหารความเสยงดานเทคโนโลยสารสนเทศกบกจกรรม
ดานความเสยงอนๆขององคกรและใหความใสใจอยางเหมาะสมกบสถานะ
ความเสยงดานเทคโนโลยสารสนเทศ(ITriskprofile)
การเพมความสมพนธระหวางธรกจและเทคโนโลยสารสนเทศ การกำกบ
ดแลดานเทคโนโลยสารสนเทศทำใหเกดกลไกทเชอมโยงการใชเทคโนโลย
สารสนเทศในองคกรกบเปาหมายและกลยทธโดยรวมขององคกรความสมพนธ
ระหวางธรกจและเทคโนโลยสารสนเทศทำใหมนใจไดวาทรพยากรดานเทคโนโลย
สารสนเทศไดมการนำไปใชอยางถกตองและในเวลาทเหมาะสมการสอสาร
ระหวางเทคโนโลยสารสนเทศและธรกจควรเปนไปอยางอสระและใหขอมลท
1�
บทท 2 ความรเบองตนเกยวกบความเสยงและ การควบคมดานเทคโนโลยสารสนเทศทางธรกจ