C5_C6 AIS

Download Report

Transcript C5_C6 AIS 

่
บทที 5
การควบคุมภายใน
(ฉบับ AIS)
การควบคุมภายใน
COSO
กระบวนการปฏิบัตงิ านทีท
่ ก
ุ คนในองค์กร ตัง้ แต่
คณะกรรมการบริหารทุกระดับและพนักงานทุก
คน ร่วมกันกาหนดให ้เกิดขึน
้ เพือ
่ สร ้างความ
มั่นใจในระดับสมเหตุสมผลในการบรรลุ
วัตถุประสงค์ 3 ประการ
ิ ธิภาพและประสท
ิ ธิผลของการ
• ประสท
ปฏิบัตงิ าน
ื่ ถือได ้ของรายงานทางการเงิน
• ความเชอ
• การปฏิบัตต
ิ ามกฎหมายและกฎระเบียบ
การควบคุมภายใน
by Romney and Steinbart
้ นเครือ
กระบวนการทีใ่ ชเป็
่ งมือโดยคณะ
กรรมการบริหาร ฝ่ ายบริหาร และผู ้ทีอ
่ ยูภ
่ ายใต ้การ
ควบคุมของฝ่ ายบริหาร เพือ
่ จัดทาให ้มั่นใจว่า บรรลุ
วัตถุประสงค์ในด ้านต่าง ๆ ดังนี้
ิ ทรัพย์ ประกอบด ้วย ป้ องกัน
- การคุ ้มครองป้ องกันสน
้
ตรวจพบ จากการใชโดยผู
้ไม่มห
ี น ้าทีไ่ ด ้อย่างทันท่วงที
- การรักษาไว ้ซงึ่ รายการทีบ
่ น
ั ทึกให ้มีรายละเอียดอย่าง
ิ ทรัพย์)
เพียงพอ (สน
ื่ ถือ
- การจัดเตรียมสารสนเทศทีถ
่ ก
ู ต ้องแม่นยาและเชอ
ได ้
ี ี่
- รายงานทางการเงินจัดทาถูกต ้องการหลักการบัญชท
รับรองทั่วไป
- การสง่ เสริมและพัฒนาการดาเนินงานอย่างมี
ิ ธิภาพ รายได ้และค่าใชจ่้ ายมีผู ้มีอานาจเป็ นผู ้สงั่ การ
ประสท
่
หน้าทีของการควบคุ
ม
ภายใน
1. การควบคุมเชงิ ป้ องกัน (Prevention
Controls)
2.การควบคุมเชงิ ตรวจพบ (Detection Controls)
3. การควบคุมเชงิ แก ้ไข (Corrective Controls)
่
หน้าทีของการควบคุ
ม
ภายใน
Prevention
Detection
ป้ องกันก่อนเกิดปั ญหา
ค ้นหาปั ญหาทีเ่ กิดขึน
้
- จ ้างบุคลากรทีม
่ ค
ี ณ
ุ สมบัต ิ
สูง
- แบ่งแยกหน ้าที่
ิ ทรัพย์
- ควบคุมการเข ้าถึงสน
-การตรวจสอบการทางานซ้า
-การจัดทางบพิสจ
ู น์ยอดเงิน
ฝาก
-การตรวจสอบภายใน
-การตรวจสอบบัญช ี
Corrective
แก ้ไขผลของความ
ผิดพลาด ปรับปรุงระบบ
เพือ
่ ลดปั ญหาในอนาคต
- สารองไฟล์รายการค ้าและ
รายการหลัก เพือ
่ แก ้ไขปั ญหา
ข ้อมูลทีเ่ คยสูญหาย
- ตรวจสอบรายการค ้าใหม่
ก่อนจะผ่านรายการปรับปรุง
การควบคุมภายในของระบบ
สารสนเทศ
แบ่งออกเป็ น 2 ประเภท
่
1. การควบคุมทัวไป
(General Control)
- ควบคุมการบริหารระบบสารสนเทศ
- ควบคุมการจัดการความปลอดภัย
- ควบคุมอุปกรณ์เทคโนโลยีสารสนเทศ
2. การควบคุมระบบงาน (Application Control)
ป้ องกัน ตรวจพบ และแก้ไข ความผิดพลาด
ของรายการค้าและ การทุจริต ของข้อมู ลใน
้
ระบบ ตังแต่
การบันทึกเข้า การประมวลผล
่ และการรายงาน
การจัดเก็บ การส่งต่อไประบบอืน
โครงร่างการควบคุมภายใน
่ าค ัญ 3
(กรอบงานการควบคุม) ทีส
กรอบงาน ได้แก่
• กรอบงาน COBIT( Control Objectives for
Information and related Technology )
• กรอบงานการควบคุมภายในของ COSO
ี่ งทั่วทัง้ องค์กร
• กรอบงานการบริหารความเสย
COSO’s Enterprise Risk Management
COBIT
• ได ้รับการพัฒนาจาก สมาคมผู ้ตรวจสอบและ
ควบคุมระบบสารสนเทศ ซงึ่ เป็ นกรอบงานความ
ปลอดภัยของข ้อมูลในระบบสารสนเทศ และ
ควบคุมแนวปฏิบัตท
ิ างด ้านเทคโนโลยี
สารสนเทศ
• กรอบงาน COBIT ชว่ ยสนับสนุนฝ่ ายบริหารใน
ี่ งและการ
การสร ้างสมดุลระหว่างความเสย
ควบคุมสารสนเทศ สร ้างความมั่นใจให ้กับผู ้ใช ้
ในด ้านการรักษาความปลอดภัย
การควบคุมภายใน vs การบริหาร
่
ความเสียง
สภาพแวดล ้อมการควบคุม สภาพแวดแวดล ้อมภายใน
ี่ ง
การประเมินความเสย
กิจกรรมการควบคุม
การตัง้ วัตถุประสงค์
ี่ ง)
การระบุเหตุการณ์ (เสย
ี่ ง
การประเมินความเสย
ื่ สาร
สารสนเทศและการสอ
ี่ ง
การตอบสนองความเสย
การตรวจติดตาม
กิจการรมการควบคุม
ื่ การตรวจติ
สารสนเทศและการติดต่อสอ
สาร
ดตาม
กิจกรรมการควบคุม
• เป็ นนโยบาย กระบวนการ และระเบียบกฎเกณฑ์
ทีจ
่ ัดทาขึน
้ เพือ
่ ให ้มั่นใจว่า วัตถุประสงค์การ
ควบคุมของฝ่ ายบริหารสามารถทาให ้บรรลุได ้
ดังนัน
้
• ฝ่ ายบริหารจาเป็ นต ้องเกีย
่ วข ้องกับ ผู ้วิเคราะห์
ระบบ นักออกแบบและผู ้ใช ้ เมือ
่ มีการออกแบบ
ระบบการควบคุมคอมพิวเตอร์
กระบวนการควบคุมระบบ
คอมพิวเตอร ์
ิ ธิการอนุมัตริ ายการและกิจกรรม
1. กาหนดสท
อย่างเหมาะสม
2. การแบ่งแยกหน ้าที่
- งานด ้านบัญช ี : การอนุมัตริ ายการ การ
ิ ทรัพย์
บันทึกข ้อมูล การเก็บรักษาสน
- งานด ้านระบบสารสนเทศ : แยกหน ้าทีง่ าน
จัดการระบบ งานบริหารเครือข่าย งานบริหาร
ความปลอดภัย งานวิเคราะห์ระบบ งานเขียน
โปรแกรม งานปฏิบต
ั ก
ิ ารคอมพิวเตอร์ งาน
ควบคุมข ้อมูล และ ผู ้ใช ้ ออกจากกัน
กระบวนการควบคุมระบบ
คอมพิวเตอร ์
3. การควบคุมการพัฒนาโครงการและการจัดหา
ทรัพยากร
เมือ
่ มีการนาระบบสารสนเทศมาใช ้ ควรมีการ
ควบคุมการจัดหา การพัฒนา การประยุกต์ และ
การบารุงรักษาระบบ โดยการตรวจทานการ
บริหาร การพิจารณาอนุมัต ิ ความเกีย
่ วข ้องของ
ผุ ้ใช ้ การวิเคราะห์ ออกแบบ การทดสอบ การ
ติดตัง้ และการปรับเปลีย
่ น ซงึ่ ผู ้บริหารต ้อง
สามารถแกะรอยจากต ้นกาเนินไปยังจุดสุดท ้าย
ได ้ (มีการสร ้างหลักฐานการตรวจสอบ : Audit
กระบวนการควบคุมระบบ
คอมพิวเตอร ์
4. การควบคุมการพัฒนาโครงการและการจัดหา
ทรัพยากร
้
หลักการของการควบคุมทีน
่ ามาใชในการพั
ฒนา
โครงการ
- แผนหลักทางด ้านกลยุทธ์
- การควบคุมโครงการ แผนพัฒนาโครงการและ
การประเมินผลการปฏิบต
ั งิ านของทีมโครงการ
- ตารางการประมวลผลข ้อมูล
- คณะกรรมการควบคุม
- การวัดผลการดาเนินการระบบ
- การตรวจสอบหลังการติดตัง้
กระบวนการควบคุมระบบ
คอมพิวเตอร ์
5. การบริหารการเปลีย
่ นแปลง : กระบวนการทีท
่ าให ้
มั่นใจว่าการเปลีย
่ นแปลงไม่กระทบทางลบต่อระบบ
และการรักษาความปลอดภัย
้
6. การออกแบบ และการใชเอกสาร
การบันทึกทาง
ี ค
บัญชท
ี่ รบถ ้วน
ิ ทรัพย์
7. การดูแลและป้ องกันสน
8. การตรวจสอบการปฏิบต
ั งิ านโดยอิสระ
- การตรวจสอบโดยผู ้บริหาร
- การวิเคราะห์เปรียบเทียบ การกระทบยอด การ
ี ู่
เปรียบเทียบ การบันทึกบัญชค
- การตรวจสอบโดยอิสระ
้
- การใชยอดรวมกลุ
ม
่ (Batch total)
่
บทที 6
การควบคุม
ระบบสารสนเทศ
่
วไป
ทั
(ฉบับ AIS)
่
การควบคุมทัวไป
• การควบคุมทีถ
่ ก
ู ออกแบบเพือ
่ ทาให ้มั่นใจว่า
สภาพแวดล ้อมการควบคุมของกิจการมี
เสถียรภาพและมีการจัดการทีด
่ ี
• การควบคุมทั่วไปสามารถใชกั้ บระบบขนาดใหญ่
ั ซอน
้
่ ระบบเมนเฟรม ระบบแม่
ทีม
่ ค
ี วามซบ
เชน
่
ข่ายลูกข่าย และระบบขนาดเล็ก เชน
“เป็ นการควบคุ
คอมพิวเตอร์
สว่ นบุคคล มคอมพิวเตอร์
ทั่วไป”
่
การควบคุมทัวไป
• การควบคุมทีถ
่ ก
ู ออกแบบเพือ
่ ทาให ้มั่นใจว่า
สภาพแวดล ้อมการควบคุมของกิจการมี
เสถียรภาพและมีการจัดการทีด
่ ี
• การควบคุมทั่วไปสามารถใชกั้ บระบบขนาดใหญ่
ั ซอน
้
่ ระบบเมนเฟรม ระบบแม่
ทีม
่ ค
ี วามซบ
เชน
่
ข่ายลูกข่าย และระบบขนาดเล็ก เชน
“เป็ นการควบคุ
คอมพิวเตอร์
สว่ นบุคคล มคอมพิวเตอร์
ทั
่วไป”
“เป็
นการควบคุมเทคโนโลยี
สารสนเทศ”
การควบคุมกากับดู แลเทคโนโลยี
สารสนเทศ
• การกากับดูแลเทคโนโลยีสารสนเทศแบ่ง
ออกเป็ น 3 ด ้าน
1. โครงสร ้างองค์กรของหน ้าทีง่ านเทคโนโลยี
สารสนเทศ
2. การประมวลผลคอมพิวเตอร์
3. การวางแผนการกู ้คืนระบบจากภัยพิบต
ั ิ
การควบคุมโครงสร ้างการจัด
องค ์กร
• คือการแบ่งแยกหน ้าทีง่ านทีม
่ อ
ี านาจสงั่ การ การ
จัดการ การบันทึกดูแลรักษา และการประมวลผล
ั เจน
รายการค ้า ออกจากกันอย่างชด
– การแบ่งแยกหน ้าทีก
่ ารพัฒนาระบบออกจากหน ้าที่
ผู ้ปฏิบต
ั งิ าน
– การแบ่งแยกหน ้าทีข
่ องผู ้บริหารฐานข ้อมูลออกจาก
หน ้าทีง่ านคอมพิวเตอร์อน
ื่
– การแบ่งแยกหน ้าทีก
่ ารพัฒนาระบบออกจากดูแล
บารุงรักษาระบบ
่
ตัวอย่างผังโครงสร ้างองค ์กรทีมี
ศู นย ์ไอที
IT
การควบคุมโครงสร ้างการจัด
องค
์กร
ตาแหน่งหน ้าทีค
่ วามรับผิดชอบทีเ่ กีย
่ วกับระบบ
สารสนเทศ
- งานจัดการระบบ : ทาให ้ระบบทางานมี
ิ ธิภาพ
ประสท
ื่ มต่อเครือข่าย
- งานบริหารเครือข่าย : การเชอ
ภายใน/นอกองค์กรทางานอย่างต่อเนือ
่ ง และ
ปลอดภัย
- งานบริหารความปลอดภัย : ป้ องกันรักษาระบบ
จากภัยคุกคามทัง้ ภายในและภายนอก
- งานบริหารการเปลีย
่ นแปลง : จัดการกับการ
เปลีย
่ นแปลงแก ้ไขระบบ
การควบคุมโครงสร ้างการจัด
องค ์กร
ตาแหน่งหน ้าทีค
่ วามรับผิดชอบทีเ่ กีย
่ วกับระบบการ
ประมวลผลในศูนย์คอมพิวเตอร์
- งานวิเคราะห์ระบบ : พัฒนาและออกแบบโปรแกรมใช ้
งาน
- โปรแกรมเมอร์ : พัฒนาโปรแกรมตามความต ้องการ
ของผู ้ใช ้
- งานปฏิบต
ั ก
ิ ารคอมพิวเตอร์ : รับผิดชอบเกีย
่ วกับ
อุปกรณ์คอมพิวเตอร์
- บรรณรักษ์ระบบสารสนเทศ : ดูแลรักษาโปรแกรม
และเอกสารระบบสารสนเทศ จัดการสารสนเทศและ
ฐานข ้อมูล
- งานควบคุมข ้อมูล : สร ้างขัน
้ ตอนการทางาน ควบคุม
่
การควบคุมการปฏิบต
ั งิ านโดยทัวไป
- กาหนดหน ้าทีค
่ วามรับผิดชอบแต่ละหน ้าที่
ื่ ได ้ของบุคลากร การฝึ กอบรม
- ความเชอ
บุคลากร และความสามารถบุคลากร
- การหมุนเวียนงาน
- การออกแบบฟอร์มในการให ้อานาจ
- การให ้เลขทีแ
่ บบฟอร์มล่วงหน ้า
- การกาหนดเอกสารย ้อนกลับ
ื่ ให ้กับไฟล์ข ้อมูล
- การทาป้ ายชอ
- ฯลฯ
การควบคุมและร ักษาความ
ปลอดภัยระบบ
การรักษาความปลอดภัยและการเข ้าถึง
ระบบปฏิบัตก
ิ ารและฐานข ้อมูล
1. การรักษาความปลอดภัยศูนย์
คอมพิวเตอร์
- สถานทีต
่ งั ้ ศูนย์คอมพิวเตอร์ : ห่างจากความ
ี่ งและการกระทาของมนุษย์และภัยธรรมชาติ
เสย
- เป็ นอาคาร/สานั กงานแยกต่างหากจากสว่ นงาน
อืน
่
- จากัดการเข ้าถึงศูนย์คอมพิวเตอร์ เฉพาะผู ้มี
หน ้าทีป
่ ฏิบต
ั งิ านและพนักงานทีท
่ างานในศูนย์เท่านัน
้
ื่ เข ้าออกศูนย์
มีการลงชอ
การควบคุมและร ักษาความ
ปลอดภัยระบบ
2. แผนการกู ้คืนจากภัยพิบัต ิ
การวางแผนฉุกเฉินทีก
่ าหนดเอาไว ้ล่วงหน ้า
เกีย
่ วกับวิธก
ี ารปฏิบต
ั งิ าน ก่อน ระหว่าง และหลังจาก
เกิดภัยพิบต
ั ิ พร ้อมด ้วยการจัดทาเอกสาร การทดสอบ
่
กระบวนการตามแผน เชน
้
- แผนการใชสถานที
ส
่ ารองทีส
่ องในการเก็บ
ข ้อมูล
- แผนการติดตัง้ โปรแกรมทีส
่ าคัญในสถานทีใ่ หม่
ได ้ทันที
- การคัดลอกไฟล์ข ้อมูลและฐานข ้อมูล
(Copy/back up)
- การคัดลอกเอกสารคาสงั่ งาน
การควบคุมการเข้าถึง
ระบบปฏิบต
ั ก
ิ าร
ิ ธิ์
1. การควบคุมการเข ้าถึงตามเอกสท
้
การป้ องกันระบบโดยรวม โดยผู ้ใชจะต
้องได ้รับ
ิ ธิเข ้าถึงอย่างเหมาะสมกับหน ้าทีแ
การกาหนดสท
่ ละ
ความรับผิดชอบ
2. การควบคุมรหัสผ่าน (password)
้ กคน โดยมีสท
ิ ธิ
กาหนดรหัสผ่านให ้ผู ้ใชทุ
ในการเข ้าถึงทีแ
่ ตกต่างไป แบ่งเป็ น
้
- การกาหนดรหัสผ่านทีใ่ ชงานต่
อไปใน
อนาคต
้
การควบคุมการเข้าถึง
ระบบปฏิบต
ั ก
ิ าร
3. การควบคุมโปรแกรมไว ้รัสและโปรแกรม
ทาลาย
เนือ
่ งจากโปรแกรมทาลาย เป็ นสงิ่ ทีก
่ อ
่ ให ้เกิด
ี ต่อองค์กรเป็ นอันมาก ข ้อมูล ระบบ
ความสูญเสย
่ ไวรัส
คอมพิวเตอร์ และอุปกรณ์คอมพิวเตอร์ เชน
หนอน แบคดอร์ โลจิกบอม โทจัน ฯลฯ
การควบคุมการเข้าถึง
ระบบปฏิ
บ
ต
ั
ก
ิ
าร
ตัวอย่างวิธก
ี ารป้ องกัน
ื้ โปรแกรมจากผู ้ขายทีน
ื่ ถือ
1. ซอ
่ ่าเชอ
้
2. ออกนโยบายให ้ทัว่ ทัง้ องค์กรห ้ามใชโปรแกรมที
ไ่ ม่ได ้
รับอนุญาต
3. ตรวจสอบการอัพเกรดโปรแกรมว่าปราศจากไว ้รัสก่อน
ติดตัง้
้
ี หายจากไวรัส
4. สร ้างให ้ผู ้ใชตระหนั
กถึงความเสย
5. ทดลองติดตัง้ โปรแกรมในคอมพิวเตอร์สว่ นบุคคลทีม
่ ี
โปรแกรมป้ องกันไวรัส ก่อนนาไปติดตัง้ บนเมนเฟรม หรือ
Server ของ LAN
6. ทาการคัดลอกและสารองไฟล์หลักทีส
่ าคัญ
้
7. จากัดการใชงานของผู
้ใชด้ าเนินการกับข ้อมูลและใช ้
งานโปรแกรม
การควบคุมหลักฐานการตรวจสอบ
หลักฐานการตรวจสอบในระบบโดยทัว่ ไปเรียกว่า Log
(ทีจ
่ ัดเก็บ) ซงึ่ จะบันทึกข ้อมูลกิจกรรมระบบโปรแกรม
้
้
การใชงานและระดั
บผู ้ใชงาน
โดยผู ้บริหารต ้องเลือกว่า
จะให ้ระบบจัดเก็บข ้อมูลกิจกรรมในสว่ นใด
วิธก
ี ารจัดเก็บ แบ่งเป็ น 2 ประเภท
1. Keystrokes monitoring : เก็บรายละเอียดของ
้
แป้ นพิมพ์ บันทึกการเข ้าถึงของผู ้ใชงานที
ป
่ ้ อนผ่าน
แป้ นพิมพ์ และการตอบโต ้ของระบบ เป็ นการควบคุม
แบบทันที เพือ
่ ป้ องกันคาสงั่ ทีไ่ ม่ได ้รับอนุญาต
2. Event monitoring : เก็บเชงิ เหตุการณ์ สรุป
กิจกรรม โดยบันทึกรหัสของพนักงานทุกคน การเข ้า
้
สูร่ ะบบ เวลา ระยะเวลาทีใ่ ชงาน
โปรแกรมทีใ่ ช ้ ไฟล์
การควบคุมฐานข้อมู ล
• ประกอบด ้วย
– การควบคุมการเข ้าถึง
– การควบคุมการสารองข ้อมูล
การควบคุมฐานข้อมู ล
การควบคุมการเข้าถึง
- การใชมุ้ มมองหรือทรรศนะของผู ้ใช ้
้
ิ ธิการเข ้าถึงฐานข ้อมูล
- การใชตารางส
ท
- การกาหนดผู ้ใช ้
- การเข ้ารหัสลับข ้อมูล
- การใชอุ้ ปกรณ์ทางชวี วิทยา (Biometric)
การควบคุมฐานข้อมู ล
การควบคุมการสารองข้อมู ล
- กาหนดนโยบายการสารองข ้อมูล กระบวนการ วิธก
ี าร
อย่างเป็ นระบบ
- จัดเตรียมคัดลอกข ้อมูลทีม
่ ค
ี วามสาคัญยิง่ มาเก็บ
สารองไว ้ทุกวัน
- จัดเตรียมกระบวนสารองข ้อมูลและกู ้คืน
- จัดเตรียมสถานทีเ่ ก็บไฟล์สารอง ซงึ่ ควรจัดเก็บข ้อมูล
สารองไว ้นอก
ศูนย์คอมพิวเตอร์ เพือ
่ ชว่ ยสนับสนุน
การกู ้คืนจากภัยพิบต
ั ิ
การควบคุมการพัฒนาระบบ
ี วรให ้ความสาคัญกับ
ผู ้ตรวจสอบภายในและนักบัญชค
วิธก
ี ารพัฒนาระบบทุกระบบ การควบคุมการพัฒนา
ระบบทาให ้การพัฒนาระบบและติดตัง้ ใหม่เป็ นไป
ิ ธิภาพ
อย่างมีประสท
- การให ้อานาจดาเนินการระบบอย่างเหมาะสม
้ ้าร่วม
- การระบุคณ
ุ ลักษณะโดยผู ้ใช ้ ให ้ผู ้ใชเข
พัฒนาระบบ
้
- การออกแบบในทางเทคนิค โดยใชแผนผั
ง
เอกสารของระบบสารสนเทศ
- การมีสว่ นร่วมของผู ้ตรวจสอบภายใน
- การทดสอบโปรแกรมในระหว่างการติดตัง้
- กระบวนการยอมรับและทดสอบโดยผู ้ใช ้
- การวิเคราะห์ต ้นทุนและผลตอบแทนจากการ
การควบคุมการบารุงร ักษา
โปรแกรม
ี งทีจ
เพือ
่ ลดความเสย
่ ะกระทบต่อระบบในชว่ ง
้
ของการใชงาน
การให ้อานาจอย่างเป็ นทางการ การกาหนด
รายละเอียดเชงิ เทคนิค การทดสอบ การ
อัพเดทเอกสารของระบบ การอัพเดพ
้
โปรแกรมต่าง ๆ ทาให ้โปรแกรมใชงานได
้
ิ ธิภาพตลอดไป
อย่างมีประสท
The End