Transcript Slide 1
การสอบบัญชีสหกรณ์ ท่ ใี ช้ โปรแกรมระบบบัญชี
จิรทรัพย์ ปลอดกระโทก
ผู้เชี่ยวชาญด้ านโปรแกรมระบบบัญชีสหกรณ์
จิรทรัพย์ ปลอดกระโทก
หน้า 1
ระบบเทคโนโลยีสารสนเทศ
สารสนเทศ
หมายถึง ... ข้ อมูลที่ผ่านการประมวลผล วิเคราะห์ และแปรผล เพื่อให้ มี
ความหมาย มีรูปแบบที่เป็ นประโยชน์ และตรงต่ อความต้ องการของ
ผู้ใช้ งาน และผู้บริหาร
ระบบสารสนเทศ
หมายถึง ... ระบบที่ประกอบขึน
้ ด้ วย ฮาร์ ดแวร์ ซอฟต์ แวร์ บุคลากร ข้ อมูล
และนโยบายวิธีการปฏิบัตงิ าน เพื่อทาการจัดเก็บข้ อมูลและประมวลผล
ข้ อมูล เป็ นสารสนเทศที่มีความถูกต้ อง และตรงตามความต้ องการใช้งาน
จิรทรัพย์ ปลอดกระโทก
หน้า 2
Element of IT Environment
Results of Financial
Accounting
influences
Business processes/
IT business
processes
Business
Processes
IT Organization
Data
Applications/
IT applications
PR
PO
Member
& Loan
DBMS
FAS
Loan
Inv. Deposit
influences
Functional/Module
Deposit Oriented Application
Inventory
G/L
OS
influences
Applications
Hardware
Equipment/
IT infrastructure
Infrastructure
จิรทรัพย์ ปลอดกระโทก
Communication
Network
หน้า 3
ความจาเป็ นของการควบคุมและตรวจสอบระบบสารสนเทศ
ผลกระทบและความเสี่ยงที่เกิดขึน
้ จากการใช้ ระบบสารสนเทศ
ลักษณะการใช้ งานในระบบงานที่มีความซับซ้ อน
ความผิดพลาดที่มีค่าความเสียหายสูง
การรักษาความลับ
ทุจริตในระบบสารสนเทศ
จิรทรัพย์ ปลอดกระโทก
หน้า 4
การควบคุมภายในระบบเทคโนโลยีสารสนเทศ
- การควบคุมทั่วไปของเทคโนโลยีสารสนเทศ
(IT General Control : ITGC)
- การควบคุมเฉพาะระบบงาน (Application Control)
จิรทรัพย์ ปลอดกระโทก
หน้า 5
การควบคุมทั่วไปของเทคโนโลยีสารสนเทศ
(IT General Control : ITGC)
หมายถึง ...
“
นโยบายและระเบียบปฏิบัตทิ ่ ใี ช้ ในการบริหาร
จัดการกิจกรรมทางด้ านเทคโนโลยี
สารสนเทศ และ สภาพแวดล้ อมของระบบ
คอมพิวเตอร์ รวมทัง้ ระบบงานสารสนเทศ
ต่ างๆ ที่ช่วยสนับสนุนความมีประสิทธิผลของ
การควบคุมภายในของระบบงาน
จิรทรัพย์ ปลอดกระโทก
หน้า 6
การควบคุมทั่วไปของเทคโนโลยีสารสนเทศ
วัตถุประสงค์ ...
• เป็ นการควบคุมพืน้ ฐานของระบบสารสนเทศเพื่อให้ ม่ ันใจว่ า
ระบบสารสนเทศโดยรวมขององค์ กรมีการจัดการที่ดี และเป็ นส่ วน
หนึ่งที่จะก่ อให้ เกิดบูรณภาพของระบบ (IT Governance)
• เป็ นการควบคุมพืน้ ฐานที่ต้องมีเพื่อทาให้ การควบคุมระบบงาน
มีประสิทธิภาพและประสิทธิผล ซึ่งมีผลต่ อความถูกต้ องของข้ อมูล
ในทุกระบบงาน
จิรทรัพย์ ปลอดกระโทก
หน้า 7
ความสาคัญของการควบคุมทั่วไปในระบบสารสนเทศ
เปรียบเทียบผลกระทบของการควบคุมทั่วไปในระบบสารสนเทศ
IT General Controls
Weak IT General Controls
IT General Controls
Strong IT General Controls
หากการควบคุมทั่วไปในระบบสารสนเทศไม่ น่าเชื่อถือจะส่ งผลให้ การควบคุม
เฉพาะระบบงานไม่ น่าเชื่อถือไปด้
วย
จิรทรัพย์ ปลอดกระโทก
หน้า 8
การควบคุมทั่วไปของเทคโนโลยีสารสนเทศ
ประกอบด้ วย ...
การควบคุมทั่วไปของเทคโนโลยีสารสนเทศ
การพัฒนาระบบสารสนเทศ
(System development)
ขอพัฒนา/
ศึกษาความ
เป็ นไปได้
การพัฒนา
โปรแกรม/
พัฒนาระบบ
ติดตั้ง
โปรแกรมเพือ่
ใช้ งาน
การเปลีย่ นแปลงแก้ไขระบบ
สารสนเทศ
(System changes)
การปฏิบัติการคอมพิวเตอร์
(Computer operations)
ขอ
เปลีย่ นแปลง
แก้ไขระบบ
การพัฒนา
โปรแกรม/
แก้ไขระบบ
ประมวลผล
ข้ อมูล
ทดสอบและ
แปลงข้ อมูล
การทดสอบ
ติดตั้ง
โปรแกรม
เพือ่ ใช้ งาน
ตรวจสอบ
ประสิ ทธิภาพ
ของระบบ
ฝึ กอบรม
ผู้ใช้ งานและ
จัดทาคู่มือ
ฝึ กอบรม
ผู้ใช้ งานและ
ปรับปรุ งคู่มือ
รวบรวมความ
ต้ องการ/
ออกแบบระบบ
แผนการกู้คืน
ระบบ
จิรทรัพย์ ปลอดกระโทกสารสนเทศ
สารองข้ อมูล
และบริหาร
จัดการสื่ อ
สภาพ
แวดล้อมใน
ศูนย์ คอมฯ
การเข้ าถึงโปรแกรมและข้ อมูล
(ความปลอดภัยระบบ
สารสนเทศ)
(Access to programs and
data)
การบริหาร
จัดการความ
ปลอดภัย
บริหารบัญชี
ผู้ใช้ งานทีม่ ี
สิ ทธิ์สูงสุ ด
ความปลอดภัย
ทางกายภาพ
บริหารจัดการ
บัญชี ผ้ ใู ช้ งาน
ความปลอดภัย
ทางตรรกะ
หน้า 9
การพัฒนาระบบสารสนเทศ (System Development)
วัตถุประสงค์ ... เพื่อให้ ม่ นั ใจว่ า
• มีการสรรหาและพัฒนาระบบงานที่ตรงกับความต้ องการทางธุรกิจ
• มีการบริหารจัดการโครงการพัฒนาระบบอย่ างมีประสิทธิผล
• มีการกาหนดกระบวนการหรื อระเบียบปฏิบัตใิ นการพัฒนาระบบ
สารสนเทศเพื่อเป็ นแนวทางปฏิบัตทิ ่ ีเหมาะสมและเป็ นมาตรฐานเดียวกัน
จิรทรัพย์ ปลอดกระโทก
หน้า 10
การพัฒนาระบบสารสนเทศ
ทดสอบระบบ
แปลงข้อมูล
ติดตัง้ โปรแกรม
เพื่อใช้งาน
พัฒนาโปรแกรม/
พัฒนาระบบ
เก็บความ
ต้องการ/
ขอพัฒนาระบบ
ออกแบบระบบ
การแบ่งแยกหน้ าที่
การบร
ารจัดการโครงการ
จิรทรัพย์ิ หปลอดกระโทก
หน้า 11
บทบาทและหน้ าที่ของบุคคลที่เกี่ยวข้ องกับการพัฒนา
ระบบ
บุคคลที่เกี่ยวข้ อง
บทบาทและหน้ าที่
ผู้ใช้ งาน
•ให้ วตั ถุประสงค์ของการใช้ งานและความต้ องการทางธุรกิจ
•เข้ าร่ วมในการทดสอบการยอมรับระบบ User Acceptance Testing (UAT)
เจ้ าของระบบ/ ผู้บริหารของ
สายงานทางธุรกิจ
•พิจารณาอนุมตั ิโครงการ และกาหนดระยะเวลาของโครงการ
•พิจารณาอนุมตั ิความต้ องการทางธุรกิจ และแผนในการทดสอบระบบ
•พิจารณาอนุมตั ิให้ นาโปรแกรมไปใช้ งาน
นักวิเคราะห์ และออกแบบ
ระบบ
•เป็ นผู้ประสานงานระหว่างผู้ใช้ งานและโปรแกรมเมอร์
•เข้ าร่ วมในการทดสอบในระดับ function
•เป็ นผู้จดั การฝึ กอบรมและจัดทาคูม่ ือการใช้ ระบบ
โปรแกรมเมอร์
•พัฒนาโปรแกรม
•ดาเนินการแปลงข้ อมูลจากระบบเก่าเข้ าสูร่ ะบบใหม่ (Data Conversion)
•ดาเนินการทดสอบการทางานของระบบ (System testing)
เจ้ าหน้ าที่ดแู ลโปรแกรม
Source code (Librarian)
•บริ หารจัดการการโอนย้ ายโปรแกรม Source code เข้ าสูส่ ภาพแวดล้ อมที่ใช้ งานจริ ง
•ควบคุมเวอร์ ชนั่ ของโปรแกรม Source code
ผู้จดั การโครงการ
•บริ หารจัดการโครงการให้ เป็ นไปตามวัตถุประสงค์และเป็ นไปตามกาหนดการที่ได้ ตงั ้ ไว้
•เป็ นผู้ประสานงานกั
บทุกบุคคลากรที่เกี่ยวข้ องกับการพัฒนาระบบ
จิรทรัพย์ ปลอดกระโทก
หน้า 12
การเปลี่ยนแปลงแก้ ไขระบบสารสนเทศ (System Change)
วัตถุประสงค์ ... เพื่อให้ ม่ นั ใจว่ า
• การเปลี่ยนแปลงแก้ ไขระบบงานถูกต้ องตรงกับความต้ องการทาง
ธุรกิจ
• มีกระบวนการหรือมาตรการในการเปลี่ยนแปลงแก้ ไขระบบงาน
เพื่อเป็ นแนวทางในการปฏิบัตทิ ่ ถี กู ต้ องตรงกัน
• มีกระบวนการควบคุมเพื่อลดผลกระทบอันเกิดจากความผิดพลาด
ของการแก้ ไข และการเปลี่ยนแปลงโปรแกรมโดยมิได้ รับอนุญาต
จิรทรัพย์ ปลอดกระโทก
หน้า 13
การเปลี่ยนแปลงแก้ ไขระบบสารสนเทศ
ทดสอบระบบ
ติดตัง้ โปรแกรม
เพื่อใช้ งาน
แก้ ไขโปรแกรม/
แก้ ไขระบบ
ขอเปลี่ยนแปลง
แก้ ไขโปรแกรม
การแบ่ งแยกหน้ าที่
การติดตามภาพรวมการแก้ ไขโปรแกรม
จิรทรัพย์ ปลอดกระโทก
หน้า 14
ความแตกต่ างระหว่ างการพัฒนาระบบสารสนเทศ
และการเปลี่ยนแปลงแก้ ไขระบบสารสนเทศ
• การตกแต่ งห้ องรับแขก
เพิ่มเติม
• การซ่ อมแซมหลังคา
• การเดินสายไฟภายในบ้ าน
ถ้าสมมติวา่ การสร้างบ้านขึ้นมาหนึ่ งหลังคือ
ใหม่
การพัฒนาระบบสารสนเทศหนึ่งระบบ ให้
• การซ่
อมแซมท่
อประปา
ลองคิ
ดว่าการเปลี
่ยนแปลงแก้
ไขระบบ
สามารถเป็
นอะไรได้
• การเปลี
่ ยนพืบา้ น้ง บ้ านใหม่
จิรทรัพย์ ปลอดกระโทก
หน้า 15
ความแตกต่ างระหว่ างการพัฒนาระบบสารสนเทศ
และการเปลี่ยนแปลงแก้ ไขระบบสารสนเทศ
ทดสอบระบบ
ทดสอบระบบ
แปลงข้ อมูล
แก้ ไขโปรแกรม/
แก้ ไขระบบ
ติดตัง้ โปรแกรม
เพื่อใช้ งาน
ขอเปลี่ยนแปลง
แก้ ไขโปรแกรม
การแบ่ งแยกหน้ าที่
การติดตามภาพรวมการแก้ ไขโปรแกรม
จิรทรัพย์ ปลอดกระโทก
ติดตัง้ โปรแกรม
เพื่อใช้ งาน
พัฒนาโปรแกรม/
พัฒนาระบบ
เก็บความ
ต้ องการ/
ขอพัฒนาระบบ ออกแบบระบบ
การแบ่ งแยกหน้ าที่
การบริหารจัดการโครงการ
หน้า 16
การปฏิบัตกิ ารคอมพิวเตอร์ (Computer Operations)
วัตถุประสงค์ ... เพื่อให้ ม่ นั ใจว่ า
• มีการควบคุมการปฏิบัตงิ านของฝ่ ายปฏิบัตกิ ารเพื่อสนับสนุน
การทางานของระบบประจาวันอย่ างเพียงพอ
• การประมวลผลมีความครบถ้ วนถูกต้ อง
• การประมวลผลที่ผิดพลาดสามารถถูกค้ นพบ และแก้ ไขได้ ทนั
การณ์
• ข้ อมูลและระบบสารสนเทศมีความพร้ อมใช้ งานอยู่เสมอ
• มีมาตรการในการกู้ระบบสารสนเทศให้ กลับมาใช้ งานได้ อย่ าง
ทันการณ์ และเพียงพอกับความต้ องการทางธุรกิจภายหลังจาก
ที่ประสบกับสถานการณ์ ฉุกเฉิน
จิรทรัพย์ ปลอดกระโทก
หน้า 17
องค์ ประกอบของการปฏิบัตกิ ารคอมพิวเตอร์
ประมวลผลข้ อมูล
เชื่อมโยงข้ อมูล
(Data Interface)
ตรวจสอบประสิทธิภาพ
ของระบบ
สารองข้ อมูลและ
บริหารจัดการสื่อ
แผนการกู้คืนระบบสารสนเทศ
สภาพแวดล้ อมในศูนย์ คอมพิวเตอร์
การบริหารจัดการการปฏิบตั ิงานในภาพรวม
จิรทรัพย์ ปลอดกระโทก
หน้า 18
ประเภทของการประมวลผลของระบบคอมพิวเตอร์
มีดังต่ อไปนี ้
• การประมวลผลแบบ Batch
• การประมวลผลแบบ Real-time processing
จิรทรัพย์ ปลอดกระโทก
หน้า 19
การเชื่อมโยงข้ อมูล (Data Interface)
• เป็ นการส่ งผ่ านข้ อมูลจากระบบสู่ระบบ
• การเชื่อมโยงข้ อมูลอาจทาพร้ อมกับการประมวลผลแบบ
Batch
• จะต้ องมีกระบวนการในการควบคุมความครบถ้ วนถูกต้ อง
ของการเชื่อมโยงข้ อมูล
• จะต้ องมีการควบคุมเพื่อป้องกันการเข้ าเปลี่ยนแปลงแก้ ไข
ค่ าคงที่ของ
Data
Application
Application
การเชื
่ อมโยงข้ อมูลในระบบ
fileA
B
จิรทรัพย์ ปลอดกระโทก
หน้า 20
สารองข้ อมูลและบริหารจัดการสื่อ
• รายละเอียดของการสารองข้ อมูล (Full backup/ Incremental
backup) และความถี่ในการสารองข้ อมูลต้ องสอดคล้ องกับความ
ต้ องการทางธุรกิจ
• สื่อสารองข้ อมูลต้ องมีความพร้ อมใช้ ในกรณีท่ เี กิดเหตุการณ์
ฉุกเฉิน
• มีการจัดเก็บสื่อสารองข้ อมูลไว้ ในสถานที่ปลอดภัย และอยู่ใน
สภาพแวดล้ อมที่ไม่ ได้ มีความเสี่ยงเดียวกันกับศูนย์ คอมพิวเตอร์
เช่ น จัดเก็บไว้ นอกสถานที่ เป็ นต้ น
• การสารองข้ อมูลที่ผิดพลาดต้ องได้ รับการแก้ ไขอย่ างทันเวลา
จิรทรัพย์ ปลอดกระโทก
หน้า 21
แผนการกู้คืนระบบสารสนเทศ
• เป็ นแผนที่ช่วยกู้คืนระบบสารสนเทศให้ สามารถ
กลับมาใช้ งานได้
• บางองค์ กรแผนการกู้คืนระบบสารสนเทศ (IT
Disaster Recovery plan) เป็ นส่ วนหนึ่งของแผนการ
ดาเนินธุรกิจอย่ างต่ อเนื่อง (Business Continuity
Plan)
• มีการกาหนดแผนการกู้คืนระบบสารสนเทศที่
ครอบคลุมระบบที่สาคัญ
• มีการกาหนดลาดับของการกู้คืนระบบตาม
ความสาคัญของระบบ
• มีการพิจารณาปรับปรุ งแผนตามความเสี่ยงที่
เปลี่ยนไปอย่ างน้ อยปี ละหนึ่งครัง้
• มีการทดสอบการกู้คืนระบบตามแผนเพื่อให้ ม่ ันใจว่ า
สามารถใช้ แผนเพื่อช่ วยกู้คืนระบบได้ ภายในเวลาที่
จิรทรัพย์ ปลอดกระโทก
กาหนด
หน้า 22
สภาพแวดล้ อมในศูนย์ คอมพิวเตอร์
• การติดตัง้ อุปกรณ์ เพื่อช่ วยให้ ระบบสารสนเทศสามารถ
ทางานได้ อย่ างต่ อเนื่อง ยกตัวอย่ างเช่ น
- ระบบปรับอากาศ
- ระบบสารองไฟฟ้า
- ระบบดับเพลิง
• การจัดทาสัญญาเพื่อบารุ งรักษาอุปกรณ์ คอมพิวเตอร์
เพื่อให้ ม่ ันใจว่ าอุปกรณ์ ดังกล่ าวมีความพร้ อมใช้ อยู่เสมอ
จิรทรัพย์ ปลอดกระโทก
หน้า 23
ตรวจสอบประสิทธิภาพของระบบ
ประสิทธิภาพ และ ความสามารถในการรองรับการปฏิบต
ั ก
ิ าร
ประสิทธิภาพ และ ความสามารถในการรองรับการปฏิบัติการ
(Performance and Capacity) เป็นส่วนประกอบของการตรวจสอบระบบโดย
เน้นไปที่ความสามารถการใช้งานและการใช้ทรัพยากรของเทคโนโลยี
สารสนเทศ
การติดตามและการตรวจสอบประสิทธิภาพ และ ความสามารถในการ
ปฏิบัตก
ิ ารช่วยฝ่ายบริหารในการ
• ให้ความมั่นใจว่าทรัพยากรในปัจจุบันสามารถใช้งานได้
• การวางแผนปรับเปลี่ยนแก้ไขเพื่อความเหมาะสมสาหรับธุรกิจใน
อนาคต
ข้อมูลทีไ
่ ด้มาตรฐานจะช่วยฝ่ายสารสนเทศในการวางแผนสาหรับการ
ปรับปรุงระบบและวางแผนสาหรับรายจ่ายในอนาคต
จิรทรัพย์ ปลอดกระโทก
หน้า 24
การรักษาความปลอดภัยระบบสารสนเทศ
วัตถุประสงค์ ... เพื่อให้ ม่ นั ใจว่ า
• มีการกาหนดนโยบายหรื อกระบวนการรั กษาความปลอดภัยระบบ
สารสนเทศ
• มีการกาหนดการควบคุมในการเข้ าถึงโปรแกรมและข้ อมูล รวมทัง้ มี
การพิสูจน์ ตัวตนของผู้ใช้ ระบบอย่ างเหมาะสม
• มีการกาหนดเจ้ าของระบบสารสนเทศ และบทบาทหน้ าที่อย่ างชัดเจน
• มีการกาหนดผู้ดูแลความปลอดภัยระบบสารสนเทศ และบทบาทหน้ าที่
อย่ างชัดเจน
• มีมาตรการทีดีเพียงพอในการรั กษาความปลอดภัยระบบสารสนเทศทัง้
การควบคุมในระดับตรรกะ (Logical Security) และการควบคุมทางกายภาพ
(Physical Security)
จิรทรัพย์ ปลอดกระโทก
หน้า 25
การรักษาความปลอดภัยระบบสารสนเทศ
ระดับชัน
้ เปลือก
โลกกับระดับชั้น
ของการรักษา
ความปลอดภัย
Crust
Upper Mantle
Lower Mantle
Outer Core
Inner
Core
The layers of the Earth
are similar to the layers
of system security.
จิรทรัพย์ ปลอดกระโทก
หน้า 26
องค์ ประกอบของการรักษาความปลอดภัย
การบริหารจัดการด้ านการรั กษาความปลอดภัย
ข้อมูล ระบบงาน
ระบบปฏิบตั ิ การ
ระบบเครือข่ายภายใน
ระบบเครือข่ายภายนอก
การบริหารจัดการบัญชีผ้ ูใช้ งาน
การบริหารจัดการบัญชีผ้ ูใช้ งานที่มีสทิ ธิ์สูงสุด
การรั กษาความปลอดภัยทางตรรกะ
จิรทรัพย์ ปลอดกระโทก ยทางกายภาพ
การรั กษาความปลอดภั
หน้า 27
การบริหารจัดการด้ านการรักษาความปลอดภัย
• การกาหนดเจ้ าของระบบงานและหน้ าที่ความรับผิดชอบ
• การจัดชัน้ ความสาคัญของข้ อมูลหรือสารสนเทศ
• การกาหนดผู้ดแู ลความปลอดภัยระบบสารสนเทศและ
ความรับผิดชอบ
• การสื่อสารถึงความสาคัญของนโยบายรักษาความปลอดภัย
สารสนเทศให้ พนักงานรับทราบและปฏิบัตติ าม
• การควบคุมการละเมิดลิขสิทธิ์ซอฟท์ แวร์
• การควบคุมการใช้ ระบบสารสนเทศผ่ านระบบเครือข่ าย
จิรทรัพย์ ปลอดกระโทก
หน้า 28
การรักษาความปลอดภัยของเครือข่ ายภายนอก
• ติดตัง้ การควบคุมภายนอกเพื่อลดความเสี่ยงเกี่ยวกับการ
เชื่อมต่ อระหว่ างเครือข่ ายกับเครือข่ ายภายนอก เช่ น Wireless,
Internet หรือ E-mail เป็ นต้ น
• การจัดการการติดตัง้ และการตัง้ ค่ าอุปกรณ์ ดังกล่ าวเพื่อความ
ปลอดภัยของระบบเครือข่ ายภายนอก เช่ น Firewalls
เป็ นต้ น
จิรทรัพย์ ปลอดกระโทก
หน้า 29
การรักษาความปลอดภัยของเครือข่ ายภายใน
• การออกแบบระบบเครือข่ ายภายในควรเป็ นไปตามการประเมิน
การเชื่อมต่ อสื่อสารที่ต้องการใช้ และ ความเสี่ยงในสภาพแวดล้ อม
ที่ใช้ งาน
• การจัดการการติดตัง้ และการตัง้ ค่ า Policy อุปกรณ์ ดังกล่ าวเพื่อ
ความปลอดภัยของระบบเครือข่ ายภายใน
จิรทรัพย์ ปลอดกระโทก
หน้า 30
การรักษาความปลอดภัยของระบบปฏิบัตกิ าร
• ระบุถงึ ความเสี่ยงในสภาพแวดล้ อมที่ใช้ งาน
• ระบุถงึ มาตรฐานความปลอดภัยของระบบปฏิบัตกิ ารตามความเสี่ยงที่กาหนด
• การตัง้ ค่ าทางด้ านความปลอดภัย (Security Configurations Baseline)
การกาหนดค่ าความปลอดภัย และการสอบทานค่ าความปลอดภัย
• สอดส่ องดูแลการปฏิบัตใิ ห้ เป็ นไปตามมาตรฐานที่กาหนดไว้
• สอดส่ องดูแลเพื่อระบุกจิ กรรมไม่ ได้ รับอนุญาตที่อาจเกิดขึน้
• Password Controls :
- Length
6-8
Characters
- Expired Interval
30-90 Days
- Invalid Sign-on
3-5
Times
- Password history
5
Passwords
จิรทรัพย์ ปลอดกระโทก
หน้า 31
การรักษาความปลอดภัยในระบบงาน (Application)
• กระบวนการจัดการเกี่ยวกับบัญชีผ้ ูใช้ (User Administration)
• การสอบทานบัญชีผ้ ูใช้ ระบบและสิทธิในการใช้ ระบบ (Regular Review)
• การกาหนดตาแหน่ งงานด้ านสารสนเทศให้ เหมาะสม และมีความสอดคล้ อง
กับลักษณะการใช้ สารสนเทศขององค์ กร
Application
Data
Business
Users
• ในกรณีท่ ีมี Conflict ในหน้ าที่งานบางงาน ควรจัดให้ มีการควบคุมทดแทน
เช่ น การแยกบัญชีผ้ ูใช้ งาน และการตรวจทานร่ องรอยการตรวจสอบ หรื อใช้
การควบคุมโดยบุคคล (Manual control) แทน
จิรทรัพย์ ปลอดกระโทก
หน้า 32
การรักษาความปลอดภัยของข้ อมูล (Data)
Application
Data
Business
Users
IT Staff
การรั กษาความปลอดภัยของข้ อมูลเกี่ยวข้ องกับ:
• การควบคุมการเข้ าถึงระบบฐานข้ อมูล และข้ อมูลโดยตรง โดยไม่ ได้ เข้ า
ผ่ านระบบงาน
• การควบคุมการเข้ าถึงข้ อมูลโดยใช้ special system utilities
หมายเหตุ: การเข้ าถึงข้ อมูลใน ITGC ไม่ ได้ ครอบคลุมถึงการเข้ าถึงข้ อมูลผ่ าน
ระบบงาน
จิรทรัพย์ ปลอดกระโทก
หน้า 33
การบริหารจัดการบัญชีผ้ ูใช้ งาน
• การจัดการเกี่ยวกับสิทธิในการเข้ าถึงข้ อมูลและระบบงาน
• มาตรการควบคุมการเข้ าถึงระบบสารสนเทศ
- การแสดงตน เช่ นรหัสผู้ใช้ งาน (User ID) 1 user : 1 ID
- การพิสูจน์ ตน (Authentication)
o การพิสูจน์ ค่ารหัสผ่ าน (Password)
o การพิสูจน์ ค่าทางชีวภาพ เช่ น ลายนิว้ มือ เสียง เนือ้ เยือ้
ลูกตา เป็ นต้ น
• จัดทาตารางกาหนดสิทธิ์การใช้ งานบนระบบสารสนเทศ (User
Access Matrix)
• การเฝ้าติดตาม
จิรทรัพย์ ปลอดกระโทก
หน้า 34
การบริหารจัดการบัญชีผ้ ูใช้ งานที่มีสิทธิ์สูงสุด
• ทุกระบบสารสนเทศทัง้ ระบบงาน ระบบปฏิบตั กิ าร ระบบฐานข้ อมูลและอุปกรณ์ เครื อข่ าย
จะต้ องมีบญ
ั ชีผ้ ูใช้ งานที่มีสิทธิ์สูงสุดในระบบ เช่ น
- Windows = Administrator
- UNIX = Root
- SQL Server database = DBA
• บัญชีผ้ ูใช้ งานเหล่ านีจ้ ะต้ องมีการควบคุมทัง้ ในเรื่ อง
- การเก็บรักษารหัสผ่ าน และ- การขอเข้ าใช้ งาน
- การเปลี่ยนรหัสผ่ านทุกครัง้ หลังใช้ งาน
- การจัดเก็บบันทึกการเข้ าใช้ งาน
จิรทรัพย์ ปลอดกระโทก
หน้า 35
การรักษาความปลอดภัยระบบสารสนเทศ
ความเสี่ยง
• ข้ อมูลสาคัญทางธุรกิจถูกเปิ ดเผย การนาข้ อมูลไปใช้
ในทางที่ผิด การทาลายข้ อมูล
• เกิดช่ องทางในการทุจริต การขโมยข้ อมูล
• ข้ อมูลถูกแก้ ไขโดยไม่ ได้ รับอนุญาต
33
จิรทรัพย์ ปลอดกระโทก
หน้า 36
การรักษาความปลอดภัยทางกายภาพ
• การกาหนดมาตรการในการ
รักษาความปลอดภัยในการ
เข้ าถึงอาคาร ศูนย์ คอมพิวเตอร์
และสถานที่จัดเก็บสื่อสารอง
ข้ อมูลโดยอาจใช้
- บัตรผ่ าน
- รหัสผ่ าน
- Biometric control system
• การป้องกันการเข้ าเอกสาร
สาคัญของระบบ
จิรทรัพย์ ปลอดกระโทก
หน้า 37
การรักษาความปลอดภัยทางกายภาพ
ความเสี่ยง
– อุปกรณ์ คอมพิวเตอร์ อาจได้ รับความเสียหาย ถูกขโมย
– เกิดความขัดข้ องในการประมวลผล เนื่องจาก
สภาพแวดล้ อมไม่ เหมาะสม
30
จิรทรัพย์ ปลอดกระโทก
หน้า 38
การควบคุมเฉพาะระบบงาน
(Application Control)
จิรทรัพย์ ปลอดกระโทก
หน้า 39
การควบคุมเฉพาะระบบงาน
•
หมายถึง การควบคุมแบบ Manual หรื อการควบคุมแบบ Automatic โดย
โปรแกรม ซึ่งเป็ นการควบคุมในระดับกระบวนการหรื อรายการทางธุรกิจ
มีวัตถุประสงค์ เพื่อสร้ างความมั่นใจอย่ างสมเหตุสมผลว่ ารายการทางธุรกิจ
ทุกรายการ ได้ รับการอนุมัติ บันทึกเข้ า และประมวลผลอย่ างสมบูรณ์ เพียง
ครั ง้ เดียวอย่ างถูกต้ อง ภายในระยะเวลาที่เหมาะสม
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 40
ประเภทของการควบคุมภายในด้ านคอมพิวเตอร์
การควบคุมเชิงป้องกัน (Preventive Control)
การควบคุมเชิงตรวจสอบ (Detective Control)
การควบคุมเชิงแก้ ไข (Corrective Control)
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 41
วัตถุประสงค์ ของการควบคุมเฉพาะระบบงาน
ความครบถ้ วน (Completeness)
ความถูกต้ อง (Accuracy)
การอนุมัติ (Validity)
การจากัดการเข้ าถึงข้ อมูล (Restricted Access)
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 42
ความครบถ้ วน (Completeness)
รายการทุกรายการได้ รับการบันทึกเข้ าระบบ
และประมวลผลอย่ างสมบูรณ์ เพียงครั ง้ เดียว
ระบบปฏิเสธการบันทึกและการประมวลผล
รายการซา้
รายการทุกรายการที่ระบบปฏิเสธการบันทึก
และการประมวลผลได้ รับการตรวจสอบและ
แก้ ไขทันเวลา
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 43
เทคนิคการควบคุมความครบถ้ วน
Batch Totals
Sequence Checking
Matching
One-for-One Checking
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 44
เทคนิคการควบคุมความครบถ้ วน - Batch Totals
ควบคุมความครบถ้ วนของรายการโดยเปรี ยบเทียบยอดรวมระหว่ างต้ นทาง
และปลายทาง เช่ น
การเปรี ยบเทียบจานวนรายการกับเอกสารต้ นฉบับ
การเปรี ยบเทียบยอดรวมจานวนเงิน
การเปรี ยบเทียบยอดรวมจานวนของฟิ ลด์ พเิ ศษหรื อแฮช (hash total)
การเปรี ยบเทียบยอดรวมในแต่ ละ batch กับยอดรวมรายการทัง้ หมด
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 45
เทคนิคการควบคุมความครบถ้ วน - Sequence Checking
ควบคุมความครบถ้ วนของรายการโดยการตรวจสอบการเรี ยงลาดับตาม
หมายเลข ตามตัวอักษร หรื อตามวันที่ เช่ น
การกาหนดหมายเลขของเอกสาร
ระบบปฏิเสธการประมวลผลรายการที่มีหมายเลขซา้
การจัดทารายงานหมายเลขที่หายไปเพื่อใช้ สาหรั บตรวจสอบและติดตาม
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 46
เทคนิคการควบคุมความครบถ้ วน - Matching
ควบคุมความครบถ้ วนของรายการโดยการจับคู่รายการก่ อนประมวลผล ควบคุม
การใส่ ข้อมูลที่ไม่ ครบถ้ วนหรื อไม่ สามารถพบข้ อมูลอ้ างอิงในระบบได้ เช่ น
บันทึกบัญชีทัง้ สองด้ าน (DR/CR)
การรั บของต้ องมีเลขที่ใบสั่งซือ้ อ้ างอิง
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 47
เทคนิคการควบคุมความครบถ้ วน - One-for-One Checking
ตรวจสอบรายการที่ประมวลผลกับเอกสารต้ นฉบับ ซึ่งอาจจะเป็ นการตรวจสอบ
เอกสารกับรายงานจากระบบ หรื อการตรวจสอบเอกสารกับรายการที่ปรากฏ
บนหน้ าจอคอมพิวเตอร์
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 48
ความถูกต้ อง (Accuracy)
การควบคุมให้ มีการบันทึกข้ อมูลให้ ครบทุก
ฟิ ลด์ และถูกต้ องระบบงานจึงจะรั บรายการ
เข้ าไปประมวลผล
PwC
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 49
เทคนิคการควบคุมความถูกต้ อง
Batch Totals
Matching
One-for-One Checking
Programmed Check
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 50
เทคนิค Programmed Check
การตรวจสอบความถูกต้ องของรายการโดยโปรแกรม มีหลายรู ปแบบ ดังนี ้
Reasonableness checks
Dependency checks
Existence checks
Format checks
จิรทรัพย์ ปลอดกระโทก
Limit checks
Check digit verification
6 February 2006หน้า 51
เทคนิค Programmed Check
Reasonableness check
ควบคุมการบันทึกข้ อมูลที่ไม่ สมเหตุสมผล เช่ น วันที่ของรายการต้ อง >=
วันที่ปัจจุบัน, เลือกประเภทข้ อมูลตามที่กาหนดเพื่อบันทึก (Product type
001-005) เป็ นต้ น
Dependency check
ควบคุมการบันทึกข้ อมูลที่ไม่ สอดคล้ องกัน เช่ น บันทึกรหัสไปรษณีย์ให้
สอดคล้ องกับจังหวัด เป็ นต้ น
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 52
เทคนิค Programmed Check
Existence check
ตรวจสอบข้ อมูลที่บันทึกว่ ามีค่าตรงกับค่ าที่เก็บไว้ ในระบบหรื อไม่ เช่ น การ
บันทึกรหัสลูกค้ า การบันทึกเลขที่บัญชี เป็ นต้ น
Format check
ตรวจสอบข้ อมูลที่บันทึกในฟิ ลด์ ว่าถูกต้ องตามรู ปแบบที่กาหนด เช่ น
กาหนดให้ รับเฉพาะตัวเลข การบันทึกวันที่ เป็ นต้ น
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 53
เทคนิค Programmed Check
Limit check
ตรวจสอบข้ อมูลที่บันทึกว่ าเกินระดับที่อนุมัตหิ รื อไม่ เช่ น ยอดรวมสินเชื่อ
ต้ องไม่ เกิน credit limit, การทารายการผ่ านบัตร ATM ไม่ เกิน 20,000 บาทต่ อ
วัน เป็ นต้ น
Check digit verification
ตรวจสอบความถูกต้ องของข้ อมูลที่ใช้ อ้างอิง เช่ น หมายเลขบัตรประชาชน
หมายเลขบัตรเครดิต หมายเลขบัญชี เป็ นต้ น
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 54
การอนุมัติ (Validity)
รายการที่บันทึกเข้ าระบบเพื่อประมวลผล
ได้ รับการอนุมัตจิ ากผู้มีอานาจอย่ าง
เหมาะสม
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 55
เทคนิคการควบคุม Validity
One-for-One Checking การอนุมัติ
รายการบนเอกสาร
Matching การอนุมัตริ ายการผ่ านระบบ
โดยระบบจะไปตรวจสอบว่ าเจ้ าหน้ าที่
ผู้อนุมัตมิ ีอานาจหรื อไม่ ถ้ ามี สามารถ
อนุมัตริ ายการนัน้ ได้ หรื อไม่
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 56
การจากัดการเข้ าถึงข้ อมูล (Restricted Access)
ระบบงานและข้ อมูลมีการควบคุม
เพื่อป้องกันการเข้ าถึง หรื อ
เปลี่ยนแปลงแก้ ไขโดยที่ไม่ ได้ รับ
อนุญาต การเข้ าถึงข้ อมูลความลับ
หรื อทรั พย์ สนิ เฉพาะผู้ท่ ไี ด้ รับอนุญาต
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 57
การจากัดการเข้ าถึงข้ อมูล (Restricted Access)
เช่ น
การกาหนดสิทธิในระบบตามหน้ าที่และความรั บผิดชอบ
การสอบทานสิทธิในระบบงาน
การกาหนด Password rules เช่ น ความยาวอย่ างน้ อย 6-8 ตัวอักษร ต้ อง
เปลี่ยน Password ทุกๆ 30 วัน
การแบ่ งแยกหน้ าที่งานเพื่อให้ มีการตรวจสอบซึ่งกันและกัน
การจัดเก็บเอกสารสาคัญในตู้นิรภัย
การเข้ ารหัสข้ อมูล
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 58
ประเภทการควบคุมระบบงาน
แบ่ งตามขัน้ ตอนการทางานของระบบ
การควบคุมการนาเข้ า (Input Controls)
การควบคุมการประมวลผล (Processing Controls)
การควบคุมผลลัพธ์ ท่ ไี ด้ จากการประมวลผล (Output Controls)
การควบคุมด้ วยแฟ้มร่ องรอยการตรวจสอบ (Audit Trails)
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 59
การควบคุมการนาเข้ า (Input Controls)
เป็ นการควบคุมที่สาคัญ เนื่องจากเป็ นต้ นทางของความถูกต้ องเชื่อถือได้
ของข้ อมูลทัง้ หมด
การนาข้ อมูลเข้ าสู่ระบบงาน
• Manual entry
• Data transfer
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 60
การควบคุมการนาเข้ า (Input Control)
วัตถุประสงค์
รายการนาเข้ าทุกรายการได้ รับการอนุมัตกิ ่ อนการประมวลผลอย่ าง
ถูกต้ อง
ทุกรายการที่ได้ รับการอนุมัตมิ ีการนาเข้ าระบบอย่ างถูกต้ อง ครบถ้ วน
ไม่ มีรายการสูญหาย เพิ่มเติม นาเข้ าซา้
รายการที่ระบบปฏิเสธการประมวลผลได้ รับการแก้ ไขและนาเข้ าระบบ
ใหม่ ภายในเวลาที่เหมาะสม
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 61
การควบคุมการประมวลผล (Processing Control)
เป็ นการควบคุมเพื่อให้ การประมวลผลของระบบงานถูกต้ อง โดยมี
วัตถุประสงค์
รายการต่ างๆ รวมทัง้ รายการที่สร้ างขึน
้ โดยอัตโนมัตไิ ด้ รับการ
ประมวลผลอย่ างเหมาะสม
รายการไม่ สูญหาย ไม่ เพิ่มเติม ไม่ มีการประมวลผลซา้ หรื อมีการ
เปลี่ยนแปลงอย่ างไม่ มีเหตุผลสมควร
ข้ อผิดพลาดจากการประมวลผลถูกตรวจพบและแก้ ไขภายในระยะเวลา
ที่กาหนด
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 62
การควบคุมผลลัพธ์ ท่ ไี ด้ จากการประมวลผล (Output Control)
เป็ นการควบคุมระยะสุดท้ ายเพื่อให้ ได้ ข้อมูลผลลัพธ์ และรายงานที่ถูกต้ อง
จากระบบ การควบคุมผลลัพธ์ จะขึน้ อยู่กับความเชื่อถือได้ ของการควบคุม
การนาเข้ าและการประมวลผล โดยหากมีการควบคุมที่ดีตัง้ แต่ ต้น ก็จะเพิ่ม
ความเชื่อถือได้ ของผลลัพธ์ อย่ างมาก
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 63
การควบคุมผลลัพธ์ ท่ ไี ด้ จากการประมวลผล (Output Control)
วัตถุประสงค์
ผลลัพธ์ จากการประมวลผลถูกต้ อง
มีการจากัดการเข้ าถึงหรื อใช้ ข้อมูลที่ส่งออกจากระบบคอมพิวเตอร์ เฉพาะ
ผู้ท่ ไี ด้ รับอนุญาต
การส่ งข้ อมูลที่ออกจากระบบคอมพิวเตอร์ ไปถึงบุคคลซึ่งได้ รับอนุมัตอิ ย่ าง
ทันเวลา
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 64
การควบคุมโดยสร้ างร่ องรอยการตรวจสอบ (Audit Trails)
แฟ้มทะเบียนร่ องรอยที่สร้ างขึน้ เพื่อบันทึกกิจกรรมในระดับระบบงาน หรื อ
ผู้ใช้ งาน โดยหากมีการออกแบบและใช้ งานที่ดี จะเป็ นวิธีควบคุมแบบค้ นพบ
(detective controls) ที่มีประสิทธิภาพ เช่ น การบันทึกเหตุการณ์ สาคัญ
สาหรั บรหัสผู้ใช้ ได้ แก่ ความพยายามเข้ าระบบ (invalid log-on) ทรั พยากร
บนระบบที่ใช้ งาน
จิรทรัพย์ ปลอดกระโทก
6 February 2006หน้า 65
วิธีการตรวจสอบสหกรณ์ ท่ ใี ช้ ระบบสารสนเทศคอมพิวเตอร์
Understanding of Controls : การตรวจสอบเพื่อทา
Test of Controls
Substantive tests
ความเข้ าใจระบบการควบคุม
: การทดสอบการควบคุม
: การทดสอบเนือ้ หาสาระ
จิรทรัพย์ ปลอดกระโทก
หน้า 66
Understanding of Controls
เป็ นการตรวจสอบเพื่อทาความเข้ าใจระบบการ
ควบคุม
วิธีการ
การสอบถาม
การตรวจของจริง
การสังเกตการณ์
การจัดทาแผนภาพ
การรวบรวมหลักฐานเพื่อทาความเข้ าใจการออกแบบหรื อ
กาหนดโครงสร้ างการควบคุม
จิรทรัพย์ ปลอดกระโทก
หน้า 67
Test of Controls
เป็ นการตรวจเพื่อทดสอบการควบคุม
วิธีการ
การสังเกตการณ์
การสอบถาม
การตรวจของจริง
การลองทาซา้ เกี่ยวกับวิธีการควบคุม
การรวบรวมหลักฐานประเมินประสิทธิผลทัง้ การออกแบบ
และการปฏิบัตติ ามการควบคุมที่กาหนด
จิรทรัพย์ ปลอดกระโทก
หน้า 68
Substantive Tests
เป็ นวิธีการตรวจสอบเพื่อค้ นพบข้ อผิดพลาดซึ่งอาจกระทบ
ต่ องบการเงินหรือความถูกต้ องโดยรวม
วิธีการ
การวิเคราะห์ เปรี ยบเทียบ
• เพื่อค้ นหาว่ าเกิดเกิดสิ่งผิดปกติในบริเวณใดเพื่อจะได้ กาหนดจุดที่จะ
ตรวจสอบรายละเอียด
• การวิเคราะห์ เปรียบเทียบงบการเงิน บัญชี ประเภทรายการอัตราส่ วน
ทางการเงิน แนวโน้ ม
• เปรียบเทียบแผน – ผล งวดปั จจุบัน-งวดก่ อน หรือกับสหกรณ์ อ่ นื ๆ
จิรทรัพย์ ปลอดกระโทก
หน้า 69
Substantive Tests (ต่ อ)
การทดสอบเนือ้ หาสาระโดยรวม
• เป็ น การทดสอบเพื่อค้ นพบข้ อผิดพลาดในยอดคงเหลือตามบัญชี
• เช่ น การยืนยันยอดลูกหนี ้ การยืนยันยอดเงินฝากธนาคาร เพื่อ
พิสูจน์ ยอดคงเหลือตามบัญชี
การทดสอบเนือ้ หาสาระในรายละเอียดของรายการ
• วิธีการตรวจสอบในรายละเอียดเนือ้ หาสาระในแต่ ละรายการบัญชี
• เช่ น การใช้ โปรแกรมตรวจสอบวงเงินเครดิตของลูกหนีแ้ ต่ ละราย
จิรทรัพย์ ปลอดกระโทก
หน้า 70
เทคนิคการตรวจสอบระบบสารสนเทศที่ใช้ คอมพิวเตอร์
การตรวจสอบโดยไม่ ใช้ คอมพิวเตอร์ ช่วย
เทคนิคการตรวจสอบที่ประมวลผลด้ วยมือ
การตรวจสอบโดยใช้ คอมพิวเตอร์ ช่วย
“Computer – Assisted Audit Techniques : CAAT”
การทาข้ อมูลทดสอบ (Test Data)
การใช้ โปรแกรมตรวจสอบ (Audit Software)
จิรทรัพย์ ปลอดกระโทก
จิรทรัพย์ ปลอดกระโทก
หน้า 71
เทคนิคการตรวจสอบระบบสารสนเทศที่ใช้ คอมพิวเตอร์
การทาข้ อมูลทดสอบ (Test Data)
ผู้ตรวจสอบจัดทาแฟ้มข้ อมูลทดสอบสมมติ ป้อนเข้ าไป
ในโปรแกรมระบบงาน
เป็ นการทดสอบการปฏิบัตงิ านของโปรแกรมระบบงาน
ว่ า จะรับข้ อมูลที่ถูกต้ องตามเงื่อนไขเข้ าระบบ และ
ปฏิเสธข้ อมูลที่ต่างจากเงื่อนไขได้ อย่ างถูกต้ องหรือไม่
นาผลลัพธ์ มาเปรียบเทียบกับผลที่คาดไว้
จิรทรัพย์ ปลอดกระโทก
หน้า 72
เทคนิคการตรวจสอบระบบสารสนเทศที่ใช้ คอมพิวเตอร์
การใช้ โปรแกรมตรวจสอบ (Audit Software)
โปรแกรมสาเร็จรู ปทั่วไป เช่ น Ms. Excel, Ms Access เป็ นต้ น
โปรแกรมตรวจสอบสาเร็จรู ป (Generalized Audit Software:
GAS)
• ACL (Audit Command Language)
โปรแกรมตรวจสอบประยุกต์ (Customized Audit Software)
• ระบบตรวจสอบสหกรณ์ เชิงลึก ( Cooperative Audit Through System :
CATS) ที่พฒ
ั นาโดยกรมตรวจบัญชีสหกรณ์
จิรทรัพย์ ปลอดกระโทก
หน้า 73
Thank you
จิรทรัพย์ ปลอดกระโทก
จิรทรัพย์ ปลอดกระโทก
หน้า 74