Developing the IT Audit Plan คลีนิค ไอเอ ครั้งที่ 4 / 2556 วันเสาร์ที่ 18 พฤษภาคม 2556 เวลา 9:00 - 12:00 สถานที่ ห้องสัมมนา 1104 ชั้น.
Download ReportTranscript Developing the IT Audit Plan คลีนิค ไอเอ ครั้งที่ 4 / 2556 วันเสาร์ที่ 18 พฤษภาคม 2556 เวลา 9:00 - 12:00 สถานที่ ห้องสัมมนา 1104 ชั้น.
Developing the IT Audit Plan ้ั ่ 4 / 2556 คลีนิค ไอเอ ครงที วันเสาร ์ที่ 18 พฤษภาคม 2556 เวลา 9:00 - 12:00 สถานที่ ห ้องสัมมนา 1104 ชัน้ 11 ตลาดหลักทร ัพย ์แห่งประเทศไทย ถ.ร ัชดาภิเษก กทม. ่ “บทบาททีแตกต่ างของผู ต ้ รวจสอบ” โดย อ.เมธา สุวรรณสาร CGEIT; CRMA; CRISC; CIA ; CPA www.itgthailan Email : Metha Suvanasarn Profile Mr. Metha Suvanasarn is a specialist in IT Governance, IT Audit and Enterprise Risk Management areas. Currently, he is a freelance consultant as well as a committee member, for example, Audit Committee, Risk Management Committee etc. in leading organizations. Usually, he has been invited to conduct seminars and symposium both for public and in-house events, especially on the topic of IT Governance and Enterprise Risk Management and very active for Integrated GRC. Moreover, he is an invited lecturer for doctoral degree in the subject of Enterprise Risk Management at Khonkaen University and GRC Thesis for doctoral degree at Chiengmai University-CMU. He always publicizes several knowledgeable articles on the above areas. He was a senior CIO, and also a core founder of EDP/IS Examination in 1984, at the BOT and announced essential rules and regulations which most of them are currently in use. He was a former Vice Chairman of The Institute of Internal Auditors, Thailand. He is currently Audit Chair at ISACA Bangkok Chapter, Thailand. And also currently, Vice Chairman at TISA-Thailand Information Security Association. Since the year 2007, he has been invited by Bank of Thailand (BOT) as an expert in IT Examination area. He has to share his idea and give recommendation during IT Examination Manual Draft before making formally public in website. He is the owner of www.itgthailand.com and www.itgthailand.wordpress.com 2 Metha Suvanasarn CGEIT; CRISC; CRMA; CIA; CPA 2 การวางแผนการตรวจสอบองค ์กร IT / Non-IT and Integrated ่ ้าวสูก ่ ารปฏิบต ั จิ ริง Audit เพือก ่ ้องค ์กร ในการสร ้างคุณค่าเพิมให มาคุยกันตามแนวทางของ IA Clinic ในเวลาทีจ่ ากัด ภายใต ้ หัวข ้อต่อไปนี ้ :- ่ 1.GTAG and COBIT 5 กับ การวางแผนการตรวจสอบทีแตกต่ างกันบาง มุมมอง ่ ้ดุลยภาพ กับ การบรรลุ 2.ความต ้องการของผูม้ ผ ี ลประโยชน์รว่ มทีได วัตถุประสงค ์ขององค ์กร ่ บความสัมพันธ ์ของกระบวนการ 3.การพิจารณา การสร ้างคุณค่าเพิมกั ่ และการบริหาร จัดการทีดี ่ ้าวสู่ Assured กับการวางแผนการตรวจสอบในเชิงรุก เพือก Organization 4.IT / Non-IT and Integrated Audit กับ ผูต้ รวจสอบและการ 3 Developing the IT Audit Plan นายเมธา สุวรรณสาร 4 IT Audit Plan-COBIT 5 - Process -> Performing and Risk Assessment CSA Source : GTAG 5 Integrated GRC and Governance of Enterprise IT จะใช ้ Integrated – Single Framework ของ COBIT 5 เป็ นแนวการ บรรยายเสริม Developing IT Audit Plan (GTAG) 6 Source : ISACA 7 www.itgthailand.com Change Change Change Change Change Change Change ก่อน ทีค ่ ด ิ จะ เปลีย ่ น อย่างอืน ่ ควรเปลีย ่ น ท ัศนคติ ก่อนของเราก่อน 8 Source:www.itgthailand.com Attitude & Key Success Factors กรอบความคิด ความเข ้าใจ เป็ นกระดุมเม็ดแรก ของการก ้าวไปสูท ่ ศ ั นคติทดี ี่ 9 > กับการตรวจสอบ Source : www.itgthailand.com IT Audit and Non – IT Auditor Integrity / Mismanagement/Fraud / Value Creation? Transparency & Controls ตรวจแบบ สร ้างสรรค ์ ไม่จบ ั ผิด !เป้ าประสงค ์ ่ หลักเพือสร ้าง ่ คุณค่าเพิม 10 www.itgthailand.com; www.itgthailandwordpress.com Trends for Management- GRC & Auditing Integrated Management - Audit GRC Mgmt. ERM: Enterprise Risk Management +Controls +Audit CSA: Control Self Assessment IT Risk- Based Auditing Non-IT Traditional Auditing 11 Auditors and Audit Approach Tradition Approach New Approach Detection Policemen Audit Focus Cost Focus Functional Focus Career Auditors Hierarchical Quill pen Prevention Business Partners Business Focus Customer Focus Process Focus Career Development Team Uses Technology 12 Changing the Internal Auditor’s Par Characteristic Old Paradigm New Paradigm Business Risk Internal Audit FocusInternal Control Reactive, after-the-fact, Proactive real-time, Internal Audit Response discontinuous, observers continuous monitoring, of strategic planning participants in strategic pla initiatives Scenario Planning Risk Assessment Risk Factors Internal Audit Tests Important Controls Important Risks Emphasis on the Emphasis on the Internal Audit Methods Completeness of Detail Significance of Broad Controls Testing Business Risk Covered Internal Control: Risk Management : * Strengthened * Avoid/Diversify Risk * Cost-Benefit * Share/Transfer Risk * Efficient/Effective * Control/Accept Risk Addressing the Addressing the Process Ris Internal Audit Reports Functional Controls Independent Appraisal Integrated Risk Manageme Internal Audit Role in and corporate Governance the Organization Functional 13 ่ : IIA Institute ทีมา ประยุกต ์ใช ้ได ้กับทุกองค ์กร Audit Management Process To Identify, Measure, Monitor, Control MGT (incl. Audits & MIS) (Security) Integrity Central IT Dept. EBanking FX Availability Loan ่ : การตรวจสอบด้านเทคโนโลยี ทีมา สารสนเทศ ตามแนวทางการประเมิน ่ (IT-RBS) ความเสียง IT - RBS Deposit E-Banking FX Loan Deposit FFIEC 1996 Central IT Dept. Transactional Approach Operational Risk Management เปรียบเทียบการตรวจสอบแนวทางเดิม กับแนวทางใหม่ FI Bus. Tech Platform 14 ารจัดการองค ์กรแบบบูรณาการกับการตรวจสอบ IT – ตัวอย่างระบบงาน ้ ้น เบืองต ระบบภาษี มูลค่าเพิม่ บริหาร การผลิต ระบบ การขาย องค์ประกอบในกำรตรวจสอบ จุดทีตรวจสอบ ่ ระบบ การจัดซอื้ ระบบสนิ คาค ้ งคลัง ิ า้ บริหาร คลังสนค ระบบ รายได ้ บริหาร ื้ บริหาร การซอ ลูกหนี้ MIS บริหาร บุคคล ระบบ เงินเดือน กิจกรรมและการควบคุมต่าง ๆ ทีมี่ ณจุดนัน้ ระบบ ้ ค่าใชจ่าย สาเหตุของขอผิ ้ ดพลาด สามารถควบคุมขอผิ ้ ดพลาดดังกล่าวไดอย่ ้ างไร บริหาร การเงิน ระบบบัญชแี ยกประเภท วัตถุประสงค์ในการควบคุมจุดนันหรื ้ อขบวนการนัน้ ลักษณะขอผิ ้ ดพลาดทีอาจเกิ ่ ดขึนได ้ ้ บริหาร การขาย บริหาร เจาหนี ้ ้ บริหาร เงินสดเชค็ ่ ในกำรตรวจสอบ ประเด็นคถ ำำมทีจะช ่ วย ระบบ ทรัพย์สนิ คำถำมโดยทวไปข ่ ั องผูต้ รวจสอบ มีนัยสาคัญต่อการตรวจสอบหรือไม่ ทาไมจุดดังกล่าวจึงมีความสาคัญต่อการตรวจสอบ ั กิจกรรมเหล่านันมีความส ้ มพันธ์กันอย่ างไร ขอผิ ้ ดพลาดใดทีอาจเกิ ่ ดขึนและมีนั ้ ยสาคัญและโอกาสทีจะเกิ ่ ด บ่อยเพียงไร ทาไมจึงเกิดขอผิ ้ ดพลาด(ตังใจหรื ้ อไม่ไดตั้งใจ) ้ มีการควบคุมในจุดทีเป็่ นสาเหตุของขอผิ ้ ดพลาดทีปรากฏ ่ หรือไม่ ถามีการควบคุมดังกล่าวได ้ รับ้ การออกแบบอย่างมี ประสทิ ธิภาพและประสทิ ธิผลหรือไม่ ผลทีตามมาถ ่ าไม่ได ้ มีการควบคุมข ้ อผิ ้ ดพลาดดังกล่าว ่ ถาไม่ได ้ มีการควบคุมข ้ อผิ ้ ดพลาดจุดอ่อนดังกล่าวจะมีผลเชนไร การกาหนดจุดควบคุมลงไป มีวิธีทดสอบอย่างไรเพือตรวจสอบว่าการควบคุมสาเหตุข ่ อผิ ้ด พลาด และจุดอ่อนดังกล่าวทางานไดอย่ ้ างเหมาะสม ทีมา่ : การดาเนินงานและการตรวจสอบสถาบันการเงินดานคอมพิ ้ วเตอร์ เล่มที2่ ภาคการตรวจสอบ/ หนา้ 140 ่ ทีมา WWW : .itgthailand ่ ด เพือ ่ IT Audit for Non-IT Auditors 15 ระบบงานแบบง่ายทีสุ tegrated GRC and Governance of Enter Value Creation 16 COBIT 5 - Summary & Conclusions Governance and Management in COBIT Key Roles, Activities and Relationships 17 ่ ฐานความเสียงขององค ์กร Vision/ ้ั ่ 1. กลุ่ม/ระด ับชนความเสี ยง Mission Objective/Goals ่ บ ั อง ความเสียงระด (Enterprise Risk ่ ความเสียงในเหตุ การณ์Finance (Event Risk) Finance BG1BG2BG3Planning &Acc. R&D HR B Strategic HR MKT OM ICT Dev. Acc. Finance +++ us Planning Mgt. . ่ ความเสียงระดั บ (Business Risk ่ ความเสียงในการป (Functional Ris หน้า 3 19 / 23 How Does the business People Things Enterprise work? Resour Sales Process Supply AR/AP Cost Information Security ce Transfo Invento Collect Shrinka Architecture Market Work Flow rm ry ge Write Collaps toe Integrated Audit & Au Brand Results Value Transp ort Off Executive Security Oversi Business Risk Management Organizati Capabiliti Technical / Human Brand, ght Management es & Internet Laws Own ers Boar d Audit ors CEO R&D ng Change Testi ng Producti Control Functional on Less units Out sure StaInp ut Errput or Au dit More Quer Repl sure Accessy y Control ClassificatiLes s UonU C S S Ue C e S C C More eConsequenc Clearance Value, Time, Costs Threats Vulnerabilities Consequences Accept / Transfer / Avoid / Mitigate Control Architecture Testi Contte rol Structural / Organizational es Life cycles Busin ess Peopl e Risk and Surety Level and Matching Technical Security Architecture Syste Protection Processes ms Process Deter Protective Mechanisms Preve Data Perception : obscurity Behavior : Detec nt - profile - change Context t appearance React - time Time Structure : - M/D-A/C deception - tail-safe Locati Adapt POsets Data Purpo on - diodes : -- transforms firewalls - - -- FTC Content I/A-DRS Behav At barriers State se filters human rest Identi ior - markings - syntax Content and its Business In In Use Meth ty situation Motio Utility od n Source/Ch ObjectiveIntolerance Identify ange s Authentica Access Reflects AttributionRedundanc Utility y te Confidenti Situation reality Integrity Activity AvailabilityAuthorize ality Accountabi Use lity Control onal Governanc e Organizati Architectur onal e Perspective s& Business Actua Sens Processes te Managemee nt Policy Standards Procedures Document ation Auditing Testing Technology Personnel Incidents Legal Physical Knowledge Awareness Organizati on 20 ICT Enable Governance ASEAN ICT Master Plan IT GOVERNANCE CORPORATE GOVERNANCE Traditionally includes: Duties of Directors Leaders Legislative/Fiduciary Compliance & Control Ethics & Integrity Business Operational Risks & Control Financial Accounting & Reporting Asset Management Risks & Their Management Enterprise Governance focuses on the enterprise’ s: - Future - Sustainability and potential - Health www. itgthailand.com Cover: ENTERPRISE GOVERNANCE CORPORATE GOVERNANCE IT GOVERNANCE Enterprise Goals Objectives Enterprise Activities & Process Innovations Research Capabilities Knowledge & Intellectual Capital Information & its Management Human Resource Management Customer Service & Relationships Enterprise Communication Internal/External Enterprise/IT Objective Legislative/Fiduciary Compliance&Control IT Resources Information Knowledge Management System Communications Net Centric Technology IT Operations, Risks & Control e-Commerce/EDI/EFT IT Asset Management Risks & Their Management IT Governance focuses on IT’ s: - Alignment with enterprise objectives - Use of IT Resources - Management of IT 21 related risks Internal Auditing Standards and Practices VS CSA/QAR Step in the Internal Auditing Process Steps 1 2 3 4 Task Flow Selection of Auditee (Select riskiest area ) Audit Planning (Reassess risk) Steps Task Flow Preliminary Survey of 7 Operations Reporting 8 Follow-up 9 Audit Evaluation Internal Control Description & Analysis (Reassess risk) Expanded Tests of 5 Control System Develop Findings & Recommendations 6 (Recommendations based on risk) Source : The Institute of Internal Auditors 22 IT Audit Plan Development Process CAE & C-level 23 Source: GTAG IA - IT and Business Understanding Business Processes HR purchase IT General Controls • Systems Development • Change Management • Logical Access • Physical controls • Service & Support Processes • Backup & Restore IT support Finance Production Operation Marketing … . Sales R&D … . Application Controls Applications Application A Application B IT Infrastructure Services Application C • Authorization • Integrity • Availability • Confidentiality • Segregation of duties Database Operating System Network/Physical 24 Source: GTAG surance of real depth and Unders IT General Controls Applicat Business ion Controls Controls ผูม้ ี ผลประโยช น์รว่ มคิด อย่าBusiness งไร? Processes ได ้อะไรจาก audit approach ้ ภาพนี ? Financial Statements Impact Loan Loan Loan Loan Origination Operation Collateral Settlement Loan Loan Loan Loan Disbursement Payment Monitoring Regulation ATM Collateral Core Loan System Impact IT Applicatio Deposit SystemHardware ns Core GL Treasury System Equipment s/ Data IT Base infrastruct ure Impact Program Developm ent Hardware Data Base Network IT organization/Processes Access to Program Change data and Computer25 Operation ่ X-Ray ความรู ้เท่าทันในการบริหารความเสียงก บ ั ข้อมู ลการ ปฎิบต ั ท ิ ไม่ ี่ เหมาะสม / การประพฤติมช ิ อบ การทุจริตตาม ระเบียบ ความเสียหาย กับ Whistleblowing และโอกาส สร ้าง ่ จุดอ่อน ความเสีValue ยง ความเสียหาย ++++++++++++ จุดแข็ง การ แก ้ไข การ แก ้ไข โอกาส ถูก เป็ น ผิด หรือ ผิด เป็ น ถูก ก็ทาได ้ ++ กฎหมาย พรบ . พรก . ฯลฯ ผลประโยชน์ นโยบาย , คาสั, ง่ ระเบียบ ผล กระท บ ผล ้ , อานาจ กติก, TOR, า เงื่อนไข , ขันตอน , หน้าฯลฯ ที่ กระทบ ++++++++ ความเข้าใจ และการปฏิบต ั จ ิ ริง +++++++++++++ กระบวนการบริหารเชิงรุก 26 www.itgthailand.com; www.itgthailandwordpress.com ่ นกระบวนการไปสู ก ถ่ายทอดความคิดทีเป็ ่ ารป ะสงค ์ขององค ์กร (กาไร/สังคม+ประสิทธิผล/ประส สายงาน N สายงาน 4 สายงาน 3 Process 3 …. Process N สายงาน 2 Process 2 สายงาน 1 Process 1 Common Data Structure P-D-CCommon Technology Architecture A Common Risk & Control & Audit Processes 27 GRC : IT Controls & Understanding • IT control is a process that provide assurance for information and information services, and help to mitigate risks associated with use of technology. • Two components – Automation of business controls – Control of IT 28 Source : GTAG A Consolidated-Integrated Single Framework on Business Model GRC กับความท้าทาย ศ ักยภาพขององค ์กร IT Risk & GRC and tools Common Challenges & errors Tools & Implementation by vendors? & Criteria concerned GRC is IT-Based Source: KPMG IT Risk & its Impact to Business/Auditors 29 & Its impacts to controls / Audit 30 Source : IIA 30 GRC & Risk IT Practitioner Guide NG A RISK UNIVERSE AND SCOPING RISK MANAG IT Risk in the Risk Hierarchy Where are we in practice? IT Risk and COSO-ERM Source : ISACA 31 GRC & Risk IT Practitioner Guide RISK SCENARIOS IT Risk Scenario Components 32 Source : ISACA Information Security– International Standard (ISO27001) 1. Securitypolicy 2. Organizationof informationsecurity ISO27001 Objectives 3. Asset management Processes & Activities 4. Humanresources security 5. Physical andenvironmental security 6. Communications and operations management 7. Access control 8. Informationsystems acquisition, development andmaintenance 9. Informationsecurityincident management Interdependent Approaches / Consideration ... ... Domains Supervision / Monitoring/ Across Criteria / Functions Consideration of common errors in identifyingobjectives – 10. Business continuitymanagement Identifying a means as an end. 11. Compliance Failing to consider each type &all types of objectives. Failing to consider the relationships between objectives. 33 Source : www.itgthailand.com CobiT 4.1 องค ์กรของ เราได ้ ดาเนิ นการ แล ้ว ? 34 GRC and Insurance Business Architecture Approaching to GRC and SFI-FI Perspectives Supplier/ Alliance Mgt. Channel Agents/ Brokers Third Party Customer Interaction Strategic Enterprise Management Business Processing (New & Renew) Data Warehouse Channel Mgmt. Underwriting/ Pricing Branc h CRM Corporate Performance Mgmt. Core Business Operations Phone Underwriting Call Center Services Supplier Claims Billing & Collection & Disbursement Accounting Interface MIS Reports Co-insurance Third Party Accounts Policy Services Marketing Support Operations Internet/ E-mail Sales Support Mail & Fax Accounting Finance & Treasury Human Resource Batch Processing Intranet User Authentication Outsourc e Garage/ Repair Shop Regulator Research & Development Investors Infrastructure Corporate Database Adjusters/ Surveyors Product Development Claims Service Delivery Reinsurance Walk-in Knowledge Exchange Data Encryption Documents & Images Re-assurance ่ จากภาพรวมของระบบงานประก ันภัยแล้ว ปร ับเปลียนเป็ นสถาบันการเงิน มีส่วนใดบ้างที่ 35 ่ ่ าวสู ่ IT-GRC เกียวข้ องกับระบบงานสารสนเทศ เพือก้ ้ ่ คอมพิวเตอร ์ ขันตอนการตรวจสอบงานในองค ์กรทีใช้ ่ ้น เริมต ้ ้น การสอบทานในขันต .....................1) ้ ้น การประเมินค่าการสอบทานขันต .....................2) ่ น ่ เชือมั ไม่ใช่ การควบคุมในส่วนของการประมวลผล บางส่วน ้ ่ การสอบทานขันสมบู รณ์ในด ้านการควบคุมทัวไป .....................3) ้ การสอบทานขันสมบู รณ์ในด ้านการควบคุมเฉพาะระบบงาน .....................4) ไม่ใช่ ้ การประเมินค่าการสอบทานขันสมบู รณ์ .....................5) ่ น ่ เชือมั การควบคุมในส่วนของการประมวลผล บางส่วน การทดสอบว่ามีการปฏิบต ั ต ิ ามระบบการควบคุม .....................6) ประเมินค่าการควบคุมทางบัญชี ่ อของ กาหนดขอบเขตของความน่ าเชือถื การควบคุมด ้านบัญชีในส่วนงานประมวลผล ่ น ่ เชือมั การควบคุมในส่วนของผูใ้ ช ้งาน บางส่วน สอบทาน ทดสอบ และประเมินผล การควบคุมในส่วนของผูใช ้ ้งาน กาหนดรูปแบบการทดสอบยอดคงเหลือให ้เสร็จสิน้ จบ .....................7) ไม่ใช่ 36 Impact of IT on cost and revenue drivers -> Enterprise Goals 37 Kaplan & Norton 2004 การวางแผนการตรวจสอบองค ์กร IT / Non-IT and ่ ้าวสูก ่ ารปฎิบต ั จิ ริง ในการสร ้าง Integrated Audit เพือก ่ ้องค ์กร คุณค่าเพิมให 38 Source: www.itgthailand.com ่ ้าวสูก Integrated Audit เพือก ่ ารปฎิบต ั จิ ริง ในการสร ้าง ่ ้องค ์กร คุณค่าเพิมให ่ (ตัวอย่าง-แนวคิดเกียวกั บการวางแผนการตรวจสอบ การก ้าวสู่ Cloud บางประการ) ทบทวนความเข ้าใจ ของ IA บางมุมมอง/ รวมกรณี ก ้าวสูC ่ loud Source: www.itgthailand.com 39 ่ ้าวสูก Integrated Audit เพือก ่ ารปฎิบต ั จิ ริง ในการสร ้าง ่ ้องค ์กร คุณค่าเพิมให ่ (ตัวอย่าง-แนวคิดเกียวกั บการวางแผนการตรวจสอบ การก ้าวสู่ Cloud บางประการ) 40 Source: www.itgthailand.com Impact of IT on cost and revenue drivers-> Risk Drivers->Value FB Regulators and Source: www.itgthailand.com and FB->Methasu su Auditors 41 -5 ปร ับเกณฑ ์การวัดแบบระดับ เป็ นการผสมผสาน IT Risk & การวัดแบบระดับกับการวัดแบบเกณฑ ์ย่อยของCobiT สคร / ITG รก้าวสู ่ GRC- Integrated Driven Performance ระดับ 1 - 3 ผ่านการ ประเมิน ่ ระดับที3 ระดับ 4 - 5 IT&ITG Culture Risk Result Linkage between risk and policy Incentive Value Enhancement Portfolio View of Risk Revise Value Creation GRC ส่วนที่ 1 : ระดับ ่ ่ ตาม การบริหารความเสียงที ดี องค ์ประกอบหลักของ COSO ERM ่ และ เกณฑ ์การพิจารณาอืน ่ ความสาคัญ ทีมี ส่วนที่ 2 : คะแนนถ่วงน้ าหนัก ่ ่ ่ เกณฑ ์เพิมเติ มเพือสนั บสนุ นระบบการบริหารความเสียง ่ น ้ ให้มป ี ระสิทธิภาพมากยิงขึ กับ การ ประเมินร ัฐวิสาหกิจ กับ ่ ผูเ้ กียวข ้อง GRC/CobiT 42 42 หลักเกณฑ ์การประเมินการบริหารจัดการองค ์กร ของร ัฐวิสาหกิจ และ การก ้าวสู่ GRC-COBIT ในแง่ มุมการกากับ / การปฎิบตั ิ 43 43 GRC:ICT Enabled Governance and The Role of ICT in ASEAN AEC 2015 As Is ASEAN ICT 2015 As Is Visio n, Strate AEC gy / Busine ss ASEAN Vision / BUSIN ESS ICT Vision www. itgthailand.com AEC Objectives and Operatio Architec commonDevelop goals n, tural Design Integrate d Architect ure Framewo rk ment,Ch ange ASEAN / Business and ICT Transfor mation Mainten ASEAN ance ICT enable d Govern ance / Enterp rise ICT-AEC Objectives and common goals Your GRC Driver/ Country – Technology Our ASEAN 44 The ICT enabled Enterprise Business Processes Collaboration of Human Beings Busines s System Information Provision Collaboration of Human Beings business products, services information services External Relations information services IS services Information Systems Co-operation of SW Components ICT System TI services Technology Infrastructure Co-operation of SW&HW Components External ICT Systems 45 2.4.11. ผลกระทบของคอมพิวเตอร ์ต่อกระบวนการ การพิจารณาผังทางเดิ นของกิจกรรมและความสั มพันธ ์กับ ตรวจสอบ (ต่ อ ) ข้อผิดพลาดหรือการควบคุม ่ ยวข้ ่ ทีเกี องกับการตรวจสอบ ่ ในกำรตรวจสอบ ประเด็นคถ ำำมทีจ่ะชวย องค์ประกอบในกำรตรวจสอบ จุดทีต่ รวจสอบ วัตถุประสงค์ในการควบคุมจุดนันหรือข ้ บวนการนัน้ กิจกรรมและการควบคุมต่าง ๆ ทีมี่ ณจุดนัน้ ลักษณะขอผิ ้ ดพลาดทีอาจ ่ เกิดขึนได ้ ้ สาเหตุของขอผิ ้ ดพลาด สามารถควบคุมขอผิ ้ ดพลาดดังกล่าวไดอย่ ้ างไร คำ ถำมโดยทวไ ่ ั ปของผูต้ รวจสอบ มีนัยสาคัญต่อการตรวจสอบหรือไม่ ทาไมจุดดังกล่าวจึงมีความสาคัญต่อการตรวจสอบ ั นธ์กันอย่างไร กิจกรรมเหล่านันมี ้ ความสมพั ขอผิ ้ ดพลาดใดทีอาจ ่ เกิดขึนแ ้ ละมีนัยสาคัญและโอกาสทีจ่ ะเกิด บ่อยเพียงไร ทาไมจึงเกิดขอผิ ้ ดพลาด(ตังใจ ้ หรือไม่ไดตั้งใจ ้ ) มีการควบคุมในจุดทีเป็่ นสาเหตุของขอผิ ้ ดพลาดทีปรากฏ ่ หรือไม่ ถามี ้ การควบคุมดังกล่าวไดรับ ้ การออกแบบอย่างมี ประสทิ ธิภาพและประสทิ ธิผลหรือไม่ ผลทีต่ ามมาถาไม่ได ้ มี้ การควบคุมขอผิ ้ ดพลาดดังกล่าว ่ ถาไม่ได ้ มี้ การควบคุมขอผิ ้ ดพลาดจุดอ่อนดังกล่าวจะมีผลเชนไร การกาหนดจุดควบคุมลงไป มีวิธีทดสอบอย่างไรเพือต ่ รวจสอบว่าการควบคุมสาเหตุขอผิ ้ ด พลาด และจุดอ่อนดังกล่าวทางานไดอย่ ้ างเหมาะสม ่ : การดาเนิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ เล่มที่ 2 ภาคการตรวจสอบ / หน้า 140 ทีมา 46 47 2.4.18. การทดสอบข้อมู ลสารสนเทศโดยวิธ ี Test ่ ยวข้ ่ Data และต ัวอย่ า งที เกี อง (ต่อ) การนา Test Data มาใช้ในการตรวจสอบ ้ 1. ขันตอนการตรวจสอบงานด้ านคอมพิวเตอร ์ เริมต ่ น้ การสอบทานขันต ้ น้ ไม่ใช่ ประเมินการสอบทานขันต ้ น้ ใช่ สอบทานGeneral Controls สอบทานApplicationControls การควบคุม การประมวลผลทาง ื่ อไดบ้ าง้ ? การบัญช ีมีความน่าเชอถื Compliance Test ้ Data) (อาจเลือกใชTest การจัดทา Compliance Test และ Substantive Test สามารถเลือกใช ้วิธก ี าร ่ อยู่อย่างมากมาย ตรวจสอบทีมี ได ้ตามความเหมาะสม “Test Data” เป็ นเทคนิ ค ประเมินความครบถวนในการสอบท ้ าน ่ อย่างหนึ่ งทีสามารถเลื อกใช ้ใน ไม่ใช่ ื่ อได ?้ ยังคงเชอถื การทา Compliance Test ใช่ ทดสอบระบบการควบคุม ภายหลังจากทาการศึกษาและ ประเมินประสิทธิภาพการ ประเมินการควบคุมทางบัญช ี ควบคุมภายในแล ้วมีความ ื่ นต่ กาหนดขอบเขตความเชอมั ่ อ ่ อในระบบพอสมควรก็จะ เชือถื การควบคุมการประมวลผลทางการบัญช ี ื่ อ ใช ้ Test Data เพือทดสอบการ การควบคุมของผูใช ้ มี้ความน่าเชอถื ่ ใช่ ไดบ้ าง้ ? ปฏิบต ั ต ิ ามระบบการควบคุม ไม่ใช่ สอบทานทดสอบและประเมิน ่ าหนดไว ้ การควบคุมของผูใช ้ ้ ภายในทีก จัดทาSubstantive Test เทคนิ ค Test Data นี ้ 48 ค่อนข ้างจะเน้นการทดสอบการ จบ ่ : การดาเนิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ / เมธา สุวรรณสาร ทีมา ควบคุมภายในของ Program 2.4.20. การตรวจสอบการทุจริตและจุดอ่อนของ ่ คอมพิวเตอร ์ (ต่อ) ระบบงานในองค ์กรทีใช้ ่ ยวข้ ่ การเข้าใจประเด็นคาถามทีเกี องกบ ั องค ์ประกอบในการ ่ ในกำรตรวจสอบ ประเด็นคตรวจสอบ ถ ำำมทีจ่ ะชวย องคป์ ระกอบในกำรตรวจสอบ จุดทีต่ รวจสอบ วัตถุประสงค์ในการควบคุมจุดนันห ้ รือขบวนการนัน้ กิจกรรมและการควบคุมต่างๆ ทีมี่ ณจุดนัน้ ลักษณะขอ้ผิดพลาดทีอ่ าจเกิดขึนได ้ ้ สาเหตุของขอ้ผิดพลาด สามารถควบคุมขอ้ผิดพลาดดังกล่าวไดอ้ย่างไร ผลทีต่ ามมาถาไม่ ้ ไดมี้ การควบคุมขอ้ผิดพลาดดังกล่าว การกาหนดจุดควบคุมลงไป การออกระเบียบกฎเกณฑ์ขอ้บังคับ (ทีมี่ แลวห ้ รือควรจะมีต่อไป) คถ ำำมโดยทวไ ่ ั ปของผูต้ รวจสอบ มีนัยสาคัญต่อการตรวจสอบหรือไม่ ทา ไมจุดดังกล่าวจึงมีความสาคัญต่อการตรวจสอบ กิจกรรมเหล่านันมี ้ ความสมั พันธ์กันอย่างไร ขอ้ผิดพลาดใดทีอ่ าจเกิดขึนแ ้ ละมีนัยสาคัญและโอกาสทีจ่ ะเกิด บ่อยเพียงไร ทา ไมจึงเกิดขอ้ผิดพลาด(ตัง้ใจหรือไม่ไดตั้ง้ใจ) มีการควบคุมในจุดทีเป็่ นสาเหตุของขอ้ผิดพลาดทีป่ รากฏ หรือไม่ถามี ้ การควบคุมดังกล่าวไดรับ ้ การออกแบบอย่างมี ิ ธิภาพและประสท ิ ธิผลหรือไม่ ประสท ่ ถาไม่ ้ ไดมี้ การควบคุมขอ้ผิดพลาดจุดอ่อนดังกล่าวจะมีผลเชนไร มีวิธีทดสอบอย่างไรเพือ่ ตรวจสอบว่าการควบคุมสาเหตุขอ้ผิด พลาดและจุดอ่อนดังกล่าวทา งานไดอ้ย่างเหมาะสม หากไม่มีการปฏิบัติตามกฎเกณฑ์การควบคุมองค์กร จะมีผลกระทบที่ เกิดจากความเสยี หายหรือผลกระทบต่อฐานะการเงินอย่างไร ควรทา รายงานทีค่ รอบคลุมถึงประเด็นทีส่ าคัญๆ เพือ่ ใหมี้ การติดตาม แกไข ้ โดยฝ่ายบริหารอย่างไร โดยเฉพาะอย่างยิง่รายงานและขอ้แนะนา 49 ในลักษณะการป้องกันปัญหาก่อนทีจ่ ะเกิดปัญหา ่ : การดาเนิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ / เมธา สุวรรณสาร ทีมา ติดตามตรวจสอบการปฏิบัติตามกฎเกณฑ์ขอ้บังคับนี้ หรือใหค้ าแนะนาทีป้่ องกันปัญหาได ้ 131 ทบทวน การ วางแผนการ ตรวจสอบ (หากเวลา อานวย) 50 1 ศึกษาระบบงาน ยังไม่ เข ้าใจ เข ้าใจระบบงาน หรือไม่ เข ้าใจดี แลบ้วต สังเกตการปฏิ ั งิ าน และสอบถาม ประเมินประสิทธิภาพ ของระบบการควบคุม และกระบวนการ ปฏิบต ั งิ าน กาหนดขอบเขตและ วางแผน การตรวจสอบ ผูบ้ ริหารและผู ้ ตรวจสอบควร ทราบ Totalความหมาย+ System ++ Approaches ่ ้ ส่วนทีใช คอมพิวเตอร ์ ่ ใช ้ ส่วนทีไม่ คอมพิวเตอร ์ ่ นแบบ ส่วนทีเป็ ผสม การประเมินผลการควบคุม ภายในศูนย ์คอมพิวเตอร ์ (DATA CENTER CONTROLS) การประเมินผลการควบคุม เฉพาะงาน (APPLICATION CONTROLS) 4 ่ : การดาเนิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ / เมธา สุวรรณสาร ทีมา 2 3 51 4 คัดเลือกเทคนิ คการ ตรวจสอบ ดาเนิ นการตรวจสอบ ่ ดเลือก ตามเทคนิ คทีคั ไว ้ ไม่ใช ้คอมพิวเตอร ์ในการ ตรวจสอบ (AROUND THE COMPUTER) ใช ้คอมพิวเตอร ์ในการ ตรวจสอบ (THROUGH THE COMPUTER) วิเคราะห ์ผลการ ตรวจสอบ ้ั นข ้อสังเกต ไม่ตงเป็ ไว ้ในรายงานการ ตรวจสอบ ้ นข ้อสังเกต ตังเป็ ผลการตรวจสอบ ่ ่ าพอใจหรือไม่ เป็ นทีน่ า เป็ นทีน่ ไม่เป็ นทีน่่ าพอใจ ไว ้ในรายงานการ พอใจ ตรวจสอบ 52 ่ : การดาเนิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ / เมธา สุวรรณสาร ทีมา 53 Audit and Control Functions in a Computerized Org. General Controls Work Programe (Data Center Operations) Application Controls Input Control Process Output Control Control 53 Source:www.itgthailand.com ่ ดูเรือง Application Controls ้ เป็ นแผนภาพพืนฐาน ง่ายๆ ่ เพือการศึ กษาและ ้ ความเข ้าใจเบืองต ้น 3 การประเมินผลการ ควบคุม เฉพาะงาน ระบบงาน ่ ้จาก ข ้อมูลทีป้่ อน ข ้อมูลทีได เข ้าสูร่ ะบบ การประมวลผล การประมวลผล คอมพิวเตอร ์ โปรแกรม ่ ้ในโปรแกรมทีใช ่ ้ใน โปรแกรมทีใช การควบคุมข ้อมูลการประมวลผล 54 ่ : การดาเนิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ / เมธา สุวรรณสาร ทีมา รวจสอบแบบ AROUND/THROUGH THE COMP ยอดคุมข้อมู ล นาเข้า AUDITING AROUND THE COMPUTER ตรวจสอบ รายการข้อมู ล นาเข้า ประมวลผล ผลลัพธ ์ 55 การนา Test Data มาใช้ในการตรวจสอบ -> ใช้ได้ก ับทุก องค ์กร Test Data คือ อะไร? ่ ้ตรวจสอบจัดทาขึน้ เพือใช ่ Test Data เป็ นข ้อมูลทีผู ้ตรวจสอบความถูกต ้องของ ่ การทางานและการควบคุมของโปรแกรมระบบงาน โดยนาข ้อมูลทีสมมติ ขนไป ึ้ ่ ่ ้ไปเปรียบเทียบ ประมวลผลกับโปรแกรมทีองค ์กรใช ้งานอยู่จริง แล ้วนาผลลัพธ ์ทีได ่ ้ตรวจสอบคานวณหรือคาดไว ้ล่วงหน้า ด ้วย Manual กับผลลัพธ ์ทีผู Test Data ข ้อมูลทดสอบ คานวนด ้วยมือ แฟ้ ม ข ้อมูลหลัก ประมวลด ้วย คอมพิวเตอร ์ ผลลัพธ ์ ผลลัพธ ์ เปรียบเทียบ ่ : การดาเนิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ / เมธา สุวรรณสาร ทีมา 56 ่ เทคโนโลยีสารสนเท ผนภาพการตรวจสอบระบบงานทีใช้ เริมงา ่ น วิเคราะห์ ความเสยี่ ง (1) ึ างาน ศกษ (2) กาหนดขอบเขต การตรวจสอบ (3) สอบทานการ ควบคุมภายใน ทัวไป ่ ก (1) ศึกษางานก่อนการตรวจสอบ วัตถุประสงค ์ ่ าความเข ้าใจระบบงานและระบบบัญชีทใช เพือท ี่ ้คอมพิวเตอร ์ และ ่ ใช ้คอมพิวเตอร ์โดยศึกษา ส่วนทีไม่ ่ ความสาคัญ - ทางเดินของรายการและรายงานทีมี - ขอบเขตการใช ้คอมพิวเตอร ์ของฝ่ ายบริหารและงานบัญชีทมี ี่ ความสาคัญ ้ - โครงสร ้างพืนฐานของการควบคุ มทางการบัญชีการควบคุม ภายในด ้านคอมพิวเตอร ์ และการควบคุมผูใ้ ช ้ข ้อมูล วิธก ี าร ่ โดยการสอบถาม สังเกตการณ์ ศึกษาจากเอกสารทีพอจะหาได ้ ่ ติดตามความเคลือนไหวของรายการ เช่น ใช ้แบบสอบถามการควบคุม ภายใน และ Check list (2) กาหนดขอบเขตการตรวจสอบ วัตถุประสงค ์ ่ - เพือประเมิ นขอบเขตการควบคุมภายในด ้านคอมพิวเตอร ์และด ้าน ่ ๆ เช่น การทุจริต อืน ่ าหนดขอบเขตการตรวจสอบในส่วนทีเกี ่ ยวข ่ - เพือก ้อง วิธก ี าร ้ - ขึนอยู ่กบั การตัดสินใจของผูต้ รวจสอบ ่ (3) สอบทานการควบคุมภายในทัวไป (Review of general controls) วัตถุประสงค ์ ่ กษาการควบคุมภายในทัวไปและลั ่ - เพือศึ กษณะการทางานของการ 57 ่ ควบคุมภายในทัวไป ่ กษาความร ัดกุมและจุดอ่อนของการควบคุมภายในทัวไป ่ - เพือศึ ่ สารสนเทศ/เทคโนโลยีสาร พการตรวจสอบระบบงานทีใช้ ก (4) สอบทานการ ควบคุมภายใน เฉพาะงาน (4) สอบทานการควบคุมภายในเฉพาะงาน (Application Controls) วัตถุประสงค ์ ่ กษาการควบคุมภายในเฉพาะงาน และลักษณะการ - เพือศึ ่ นเป้ าหมายหลัก ทางานของการควบคุม โดยเฉพาะจุดทีเป็ ่ นจุดอ่อน/อาจก่อให ้เกิดการทุจริตได ้ เช่น จุดทีเป็ - พิจารณาถึงความจาเป็ นในการทดสอบการควบคุมภายใน (5) เฉพาะงานบางประเภทโดยเพ่งเล็งไปถึงความผิดพลาด ความ ประเมินความ รัดกุมของการ ่ นผลกระทบต่อเป้ าหมายหรือต่อฐานะทางการเงิน เสี ย หายที เป็ ควบคุมภายใน ่ ยวข ้อง ซึงมี ่ ผลกระทบต่อ และการดาเนิ นงานทีเกี Stakeholders วิธก ี าร ่ ยวข ่ ศึกษาเอกสารในรูปแบบทีเกี ้องกับระบบงานและโปรแกรม (6) ระเบียบ ข ้อบังคับ หรือคู่มอ ื ปฏิบต ั งิ านของหน่ วยงานผูใ้ ช ้ ทดสอบการ ปฏิบัตตาม ข ้อมูล สอบถาม สังเกตการณ์ ระเบียบขอ้ บังคับ ่ (5) ประเมินความร ัดกุมของการควบคุมภายในทีสอบทาน แล้ว ข 58 วัตถุประสงค ์ ่ จารณาว่าขน้อผิ ่ วดเตอร ้ ่ : การดาเนิ นงานและการตรวจสอบสถาบั - เพือพิ ดพลาดหรื อสิงผิ ปกติ์ /ทเมธา จะเกิ ี่ ดสุขึวรรณสาร นในแต่ ทีมา การเงิ นด ้านคอมพิ ่ สารสนเทศ/เทคโนโลยีสาร พการตรวจสอบระบบงานทีใช้ (6) ทดสอบการปฏิบต ั งิ านตามระเบียบข้อบังคับหรือ ข ข้อกาหนดในการประมวลผลข้อมู ล วัตถุประสงค ์ ่ จารณาว่ามีการปฏิบต - เพือพิ ั ต ิ ามระเบียบ ข ้อบังคับ หรือ ข ้อกาหนดในการประมวลผลข ้อมูลเพียงใด (7) ่ ่ - เพือหาเหตุ ผลสนับสนุ นก่อนทีจะแน่ ใจว่าการควบคุมภายในที่ ประเมินผลสรุป ่ ้อย่างเหมาะสม ต ้องการทดสอบทาหน้าทีได ่ จารณาความเหมาะสมของขอบเขตการควบคุมภายใน การควบคุมภายใน - เพือพิ ่ ้เพือ่ เอกสารหลักฐานผูร้ ับผิดชอบกาหนดเวลา และวิธก ี ารทีใช ประโยชน์ในการควบคุมภายใน วิธก ี าร สรุปผลและจัดทา - ตรวจสอบบันทึกการปฏิบต ั งิ าน ทดสอบวิธก ี ารควบคุมด ้วยวิธก ี าร ่ ทีเหมาะสม สอบถามและสังเกตการณ์ รายงานตรวจสอบ (7) ประเมินสรุปผลการควบคุมภายใน วัตถุประสงค ์ ่ จารณาว่าข ้อผิดพลาดหรือสิงผิ ่ ดปกติทอาจเกิ ่ ้ เพื อพิ ี ด ขึ นในแต่ ละ ติดตามผลการ ระบบงานเป็ นข ้อผิดพลาดชนิ ดใด ตรวจสอบ ่ ้ สามารถป้ องกันและค ้นหาข ้อผิดพลาดได ้ - วิธก ี ารควบคุมทีใช เพียงใด ่ ่ - พิจารณาว่าได ้จัดให ้มีการควบคุมภายในตามฐานความเสียงที สาคัญไว ้หรือไม่ และไม่มก ี ารปฏิบต ั ต ิ ามระเบียบการควบคุม เสร็จงาน 59 ่ าพอใจ ภายในดังกล่าวเป็ นทีน่ ่ ่ : การดาเนิ นงานและการตรวจสอบสถาบั - ประเมินจุดอ่อนตลอดจนถึ งการทุ จริต (หากมี มี ทีมา นการเงิน ด ้านคอมพิ วเตอร)์ /และผลกระทบที เมธา สุวรรณสาร ้ ่ 1 และ 2 ของการวางแผนงานตรวจสอบ สรุป ขันตอนที ารวางแผน ้ ่1 ขันที ทาความเข ้าใจอานาจหน้าที่ (ขอบเขต)ในการตรวจสอบ ้ ่2 ขันที ้ ้นใน ทาความเข ้าใจขันต ้ ่ 3 -11 ลักษณะขององค ์การและ ขันที ประเมินความสามารถใน (โปรดดูหน้าต่อไป) การตรวจสอบ ประเภทของการตรวจสอบ ปั จจ ัยทางสภาพแวดล้ ปั จจอัยในระบบงาน ม ประเมินผลความสา ่ ่ ยวพั ่ ในการตรวจสอบ - ด ้านทางการเงินและ ทัวไป - ส่วนประกอบทีเกี น ่ ระเบียบปฏิบต ั งิ าน - ประเภทธุรกิจ กันในแต่ละระบบงาน- สภาพแวดล ้อมทัวไป ่ าคัญและ - ประเภทของรายการทีและผลกระทบของสภ ่ - การดาเนิ นงาน - ตัวเลขทีส ่ - โปรแกรม โอกาสทีจะเกิ ดข ้อ ประมวลผล และโอกาส แวดล ้อมต่อระบบงาน ่ - การทุจริต ผิดพลาด ทีจะเกิ ดข ้อผิดพลาด -Functional or Acro ความหมายของขอบเขต - ความสามารถของ - ระดับการควบคุมภายใน functional ่ อยู่ ในการตรวจสอบ พนักงาน ระบบงานทีมี -Alignment of IT au - ผู ้ตรวจสอบ - ลักษณะและทิศทางการ Manual - องค ์การ ดาเนิ นงาน ด ้าน ICT -Paradigm of Audi - ข ้อสงสัยความสามารถ - ระดับการควบคุมสภาพ ่ ในการตรวจสอบ แวดล ้อมทัวไป 60 การดาเนิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ เล่มที่ 2 ภาคการตรวจสอบ / หน้า 108 ของ น ่ รสอบทาน ประเมินผลการควบคุมภายใน เพือใช้ พจ ิ ารณากาหนดวิธก ี ารตรวจสอบความถ รวางแผน ้ ้ ขันตอนและรายละเอี ยดในแต่ละขันตอน ตอนที่ 1 ้ ่1 ้ ่2 ้ ่3 ขันที ขันที ขันที ทาความเข ้าใจ ทาความเข ้าใจ กาหนดเป้ า้ ้นใน อานาจหน้าที่ ขันต หมายและ (ขอบเขต)ใน ลักษณะของ วัตถุประสงค ์ การตรวจสอบ องค ์การและ ในการตรวจประเมินความ สอบราย สามารถใน ละเอียด การตรวจสอบ ดาเนิ นงาน ประเมินผล ้ ่4 ขันที ่ ่ กาหนดสิงที จาเป็ นต ้องใช ้ ในการตรวจสอบ ้ ่5 ขันที กาหนดวิธก ี าร ในการ ประเมินและ วิเคราะห ์ การควบคุม ้ ่ 11 ตอนที่ 2 และ 3 ขันที วางแผนวิธก ี าร ทดสอบการ ปฏิบต ั ใิ นการ ควบคุม ตรวจสอบความ ถูกต ้อง วิเคราะห ์ ภายใน หรือความ การควบคุม บันทึกการตรวจ- ถูกต ้องของ สอบในกระดาษ ระบบงาน ทาการเตรียม ทางาน ้ ่6 ้ ่7 ขันที ขันที หารายละเอียด สอบทานการ ่ เกียวกั บศูนย ์ฯ ควบคุมต่าง ๆ และระบบงาน ของศูนย ์ ต่าง ๆ พร ้อม ้ ทังระบุ แหล่ง ่ ทีมาของ เอกสาร ้ ่8 ขันที สอบทานการ ควบคุมใน ระบบงาน ่ ทีตรวจสอบ ้ ่ 10 ขันที ออกแบบวิธ-ี การตรวจสอบ โดยคานึ งถึง ผลการ ประเมินการ ควบคุม ภายใน ้ ่9 ขันที ประเมินความ เพียงพอใน การควบคุม ความสามารถ ในการตรวจสอบและ ่ ความเสียง งานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ เล่มที่ 2 ภาคการตรวจสอบ / หน้า 109ของ 61 นายเมธ ้ ่ แสดงขันตอนความเกี ยวพั นในการวางแผนและการปฏิบต ั งิ านตรวจสอบ ่ ต ่ ้องใช ้ในการ สิงที บริหารงานตรวจสอบ จัดทาแผนงานวัตถุประสงค ์และแนวทางการตรวจสอบ ้ าง ๆ ทีส ่ าคัญใน ชนิ ดของเอกสารที่ ขันต่ ต ้องรวบรวมหรือ การตรวจสอบและ ่ จัดทาในการตรวจสอบ จุดทีจะต ้องตัดสินใจ ร่างแผนงาน ตรวจสอบ วัตถุประสงค ์ การตรวจสอบ จัดทาเอกสารการ ตรวจสอบส่วนที่ ่ ่ ว่ ๆ ไป เกียวกั บเรืองทั ไม่มี ทบทวนแนวทาง การตรวจสอบ ้ ขันตอนในการ รวบรวมหรือจัดทา เอกสาร ทาความเข ้าใจกับวัตถุ้ ประสงค ์ของกิจการและ ข ้อมูลเบืองต ้น ่ ข ้อเสียหายทีอาจมี ขน ึ้ ่ ่ มีเรืองที สาคัญหรือไม่ ้ ่ 2 ทาความเข ้าใจ ขันที องค ์ประกอบและการประเมิน ความสามารถในการตรวจสอบ มี บันทึกการประเมิน ่ ส ่ าคัญของ เรืองที ข ้อเสียหาย ประเมินผลและ ่ื หาวิธอี นในการ ตรวจสอบ จัดลาดับความสาคัญ ของระบบและรายการ ่ ทีอาจมี ข ้อเสียหายได ้ ้ ่ 3 กาหนดเป้ าหมาย ขันที และวัตถุประสงค ์ในการ ตรวจสอบอย่างละเอียด ่ บันทึกเรืองราวต่ าง ๆไม่ได ้ สามารถ ่ ตรวจสอบได ้ ทีสามารถทาการ หรือไม่ ตรวจสอบได ้ ได ้ ่ บันทึกเกียวกั บ ่ ระบบงานทีสาคัญ ทาความเข ้าใจระบบ งาน รายงานกิจกรรม และกระบวนการ บันทึกหรือทากระดาษ ่ ทาการเกียวกั บการ ประเมินศูนย ์คอมฯ ้ ้น การประเมินขันต ่ ยวกั ่ ส่วนทีเกี บศูนย ์ฯ ้ ขันตอนต่ าง ๆ ในการตรวจสอบ โดยย่อ ตอนที่ 1 ้ ่ 1 ทาความเข ้าใจ ขันที ขอบเขตการตรวจสอบ ้ ข ้อมูลพืนฐาน ้ ่ 4 กาหนดปัจจัย ขันที ่ ่ าเป็ นต ้องใช ้ ข ้อมูลเกียวกั บศูนย ์คอมฯ ต่าง ๆ ทีจ ่ ข ้อมูลเกียวกั บระบบในการตรวจสอบ งานต่าง ๆ งานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ เล่มAที่ 2 ภาคการตรวจสอบ / หน้า 110ของ นายเมธ 62 ้ ่ แสดงขันตอนความเกี ยวพั นในการวางแผนและการปฏิบต ั งิ านตรวจสอบ (ต่อ) A ไม่ได ้ การควบคุมต่าง ๆ ้ ่ 5 จัดทาวิธก ขันที ี าร ประเมินผลการควบคุม ของศูนย ์คอมฯ ใช ้ได ้หรือไม่ได ้ ได ้ ทบทวนความสามารถ ในการตรวจสอบ ตอนที่ 3 ประเมินผล แผนการตรวจสอบ ระบบการควบคุม ่ วิธก ี าร บันทึกเกียวกั บ ไม่มี ไม่มี ต่าง ๆ เป็ นไปตาม ่ ้ ตรวจสอบอย่างอืน่ การประเมินเรืองนี หลักการและจัดทา ่ ้ได ้หรือไม่ ทีใช เอกสารประกอบหรือไม่ แผนการตรวจสอบ ่ แบบอืน รายละเอียดชนิ ด ของข ้อผิดพลาดที่ อาจจะเกิดขึน้ ทบทวนแนวทาง การตรวจสอบ ยุตก ิ ารสอบทางการ ควบคุมภายในและ เตรียมแผนการตรวจ ่ สอบแบบอืน มี ่ ชีข้ ้อผิดพลาดทีอาจจะ ้ ่ เกิดขึนได ้ ซึงจะเป็ นสาเหตุให้เกิดความเสียหาย ่ ข ้อผิดพลาดทีอาจจะ ไม่มเกิ ี ดขึนนี ้ มี ้ สาระสาคัญ หรือไม่ B มี งานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ เล่มที่ 2 ภาคการตรวจสอบ / หน้า 111ของ 63 นายเมธ ้ ่ แสดงขันตอนความเกี ยวพั นในการวางแผนและการปฏิบต ั งิ านตรวจสอบ (ต่อ) B ้ ่ 6 หารายละเอียดเกียวก ่ ขันที ้ เ้ ห็นการควบคุม ชีให รายละเอียดข ้อมูลศูนย ์และระบบงานต่าง ๆ ้ ่ ต่าง ๆ สามารถป้ องกัน ทั่ว ๆ ไป พร ้อมทังระบุ แหล่งทีมาของ ่ ข ้อผิดพลาดทีสาคัญได ้ หลักฐานไว ้ด ้วย รายละเอียดรายการ ควบคุมต่าง ๆ ประเมินความสามารถ ในการป้ องกัน ตรวจสอบ จับข ้อผิดพลาด และแก ้ไข ข ้อผิดพลาดนั้น ๆ ่ พิจารณาความจาเป็ นทีจะ รายงานให้ผู ้บริหารทราบ ทดแทนให้ใหม่ มีประสิทธิภาพหรือไม่ บันทึกการประเมินไม่ ผลมมีี วธิ กี ารตรวจสอบ ไม่มี โครงสร ้าง ่ น ่ ๆ และเรืองอื ่ ใช ่ ้ได ้ดีกว่า การควบคุมมีเพียงพอ แบบอืนที ประเมินแผนงาน การตรวจสอบ ้ ่ 8 สอบทาน ขันที การควบคุมในระบบงาน หรือไม่ มี ตอนที่ 3 ้ ่ 7 สอบทาน ขันที การควบคุมของศูนย ์คอมฯ ประเมินจุดอ่อน ไม่มี มีการควบคุม ไม่มี การควบคุมใน ่ จะน ่ ามา อย่างอืนที แต่ละส่วนได ้ผลดีและ (และทดสอบ) มี ทบทวนความสามารถ ในการตรวจสอบ ่ ข ้อมูลเกียวกั บศูนย ์คอมฯ ่ ข ้อมูลเกียวกั บระบบ งาน พอ แผนการตรวจสอบ จัดทาแผนการ ่ ตรวจสอบแบบอืน C งานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ เล่มที่ 2 ภาคการตรวจสอบ / หน้า 112ของ 64 นายเมธ ้ ่ แสดงขันตอนความเกี ยวพั นในการวางแผนและการปฏิบต ั งิ านตรวจสอบ (ต่อ) C บันทึกการวิเคราะห ์ การควบคุม สอบทานประเมิน ่ อได ้ของ ความเชือถื การควบคุมภายใน ้ ชีการควบคุ มหลัก ่ และการควบคุมอืน ทดสอบว่า บันทึกการประเมิ ่ ไม่นพผล อ เมือรวมการควบคุ ม ไม่มี ่ น ่ ๆ และเรืองอื ่ มี ่ อยูจ่ ะ อย่างอืนที เพียงพอหรือไม่ พอ ตอนที่ 3 สอบทานการประเมินผล และแผนการตรวจสอบ แผนการตรวจสอบ ทดสอบว่าการ ควบคุมหลักมี ประสิทธิภาพหรือไม่ รวบรวมข ้อมูล ่ ม เพิมเติ ้ ่ 9 ประเมินความเพียงพ ขันที ในการควบคุมภายใน ความสามารถในการตรวจสอ ่ งหมด ้ และความเสียงทั มี จัดทาแผนการ ่ ตรวจสอบแบบอืน D 65 นิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ เล่มที่ 2 ภาคการตรวจสอบ / หน้า 113ของ นายเมธ ้ ่ แสดงขันตอนความเกี ยวพั นในการวางแผนและการปฏิบต ั งิ านตรวจสอบ (ต่อ) D สอบทานแผนและ ้ ประเมินความสามารถ ขันตอน ่ ทีจะได ้เอกสารหลักฐาน การตรวจสอบ อย่างเพียงพอ บันทึกผล การทดสอบ ตอนที่ 3 ประเมินแผนการ ตรวจสอบรายงานต่อ ฝ่ ายบริหาร สอบทานผลและ ประเมินขอบเขตของ แผนการตรวจสอบ เตรียมแผนการ ทดสอบ ดาเนิ นการทดสอบ การควบคุมต่าง ๆ ้ ่ 10 ออกแบบวิธก ขันที ี ารตรวจส โดยคานึ งถึงผลการประเมิน เอกสารทางเทคนิ คที่ การควบคุมภายใน จาเป็ นต ้องใช ้ในการ ออกแบบและดาเนิ น การทดสอบ ้ ่ ขันที 11 วางแผนวิธก ี ารปฏิบต ั งิ ตรวจสอบความถูกต ้องของระบ วิเคราะห ์การควบคุมภายใน บันทึกกระดาษทาการและเตรียม รายงานการตรวจสอบ แผนการตรวจสอบ เตรียมแผนการ ไม่ การควบคุมต่าง ๆ ่ ตรวจสอบแบบอืน ่ อได ้หรือไม่ เชือถื และรายงานจุดอ่อน ได ้ ้ ขันตอนการตรวจสอบ ด ้านความถูกต ้อง ่ ๆ ที่ ทาการลดขอบเขต เอกสารอืน แผนการทดสอบ จาเป็ น ด ้านความถูกต ้อง ตอนที่ 2 การทดสอบ การควบคุมภายใน ตอนที่ 3 การทดสอบ ความถูกต ้อง จัดทาแผนการตรวจสอบ ้ ขันตอน ่ ่ี แบบอืนในกรณี ทการ การตรวจสอบ ควบคุมภายในไม่น่า ่ อ เชือถื E 66 นิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ เล่มที่ 2 ภาคการตรวจสอบ / หน้า 114ของ นายเมธ ้ ่ แสดงขันตอนความเกี ยวพั นในการวางแผนและการปฏิบต ั งิ านตรวจสอบ (ต่อ) E กระดาษทางานในการ ตรวจสอบความถูกต ้อง ดาเนิ นการตรวจสอบ ความถูกต ้อง ผลลัพธ ์ถูกต ้อง หรือไม่ การตรวจสอบความถู กต้อ ของรายงานในงบการเงิน ใช่ สอบทานและ ประเมินผลลัพธ ์ พิจารณาความเห็น บันทึกสรุปผลตรวจสอบ ่ และกระดาษทาการเพือ สนับสนุ นความเห็น แสดงความเห็น ในการตรวจสอบ 67 นิ นงานและการตรวจสอบสถาบันการเงินด ้านคอมพิวเตอร ์ เล่มที่ 2 ภาคการตรวจสอบ / หน้า 115ของ นายเมธ 131 ทบทวน การ วางแผนการ ตรวจสอบ (หากเวลา อานวย) 68 ่ บของการบริหารความเสียงและการควบคุ ม/ตรวจสอบการทุจริตโ ่ อให้เกิดความเสียง ่ ซึงจะน ่ ทีก่ าไปสู ค ่ วามเสียหาย จากแนวโน้มก ขอบเขตของระบบ ่ ยวข ่ งานต่าง ๆ ทีเกี ้อง กับการทุจริต ปัจจัยอะไรบ ้าง ่ ทีอาจก่ อให ้เกิด การทุจริตได ้ ่ การกากับดูแลกิจการทีดี องค ์รวมของระบบ เทคโนโลยีสารสนเทศ ่ การบริหารความเสี ยง การ การ ควบคุม ภายใน (COSO) ตรวจสอบ ภายใน (Riskbased) ระบุจด ุ ต่าง ๆ ่ ของการบริหารความเสียง และกระบวนการควบคุม จุดอ่อนต่าง ๆ ตรวจสอบการ ทุจริต มาตรฐานการ ปฏิบต ั ิ วิชาชีพตรวจสอบ ภายใน ่ ยวข ่ ทีเกี ้อง 69 Enterprise Goals and IT-related Goals for GEIT 70 การควบคุมและตรวจสอบระบบสารสนเทศ สรุปและทบทวนกระบวนการบริหาร IT Governance – COBIT เปรียบเทียบกับ COSO บาง เห็นว่าแต่ละกระบวนการและโดเมนมีผลกระทบในระดับต้น (Primary) หรือระดับรอง (Sec ่ ทีมี ่ ผลต่อ Business Process และ Business Obj ารบริหารและการควบคุมสารสนเทศทีดี ภาพในแนวกว้างของการบริหาร/ควบคุมระบบสารสนเทศ 71 ่ www.itgthailand.com ทีมา: การควบคุมและตรวจสอบระบบสารสนเทศ สรุปและทบทวนกระบวนการบริหาร IT Governance – COBIT เปรียบเทียบกับ COSO บาง เห็นว่าแต่ละกระบวนการและโดเมนมีผลกระทบในระดับต้น (Primary) หรือระดับรอง (Sec ่ ทีมี ่ ผลต่อ Business Process และ Business Obj ารบริหารและการควบคุมสารสนเทศทีดี ภาพในแนวกว้างของการบริหาร/ควบคุมระบบสารสนเทศ 72 ่ www.itgthailand.com ทีมา: การควบคุมและตรวจสอบระบบสารสนเทศ สรุปและทบทวนกระบวนการบริหาร IT Governance – COBIT เปรียบเทียบกับ COSO บาง เห็นว่าแต่ละกระบวนการและโดเมนมีผลกระทบในระดับต้น (Primary) หรือระดับรอง (Sec ่ ทีมี ่ ผลต่อ Business Process และ Business Obj ารบริหารและการควบคุมสารสนเทศทีดี ภาพในแนวกว้างของการบริหาร/ควบคุมระบบสารสนเทศ 73 ่ www.itgthailand.com ทีมา: การควบคุมและตรวจสอบระบบสารสนเทศ สรุปและทบทวนกระบวนการบริหาร IT Governance – COBIT เปรียบเทียบกับ COSO บาง เห็นว่าแต่ละกระบวนการและโดเมนมีผลกระทบในระดับต้น (Primary) หรือระดับรอง (Sec ่ ทีมี ่ ผลต่อ Business Process และ Business Obj ารบริหารและการควบคุมสารสนเทศทีดี ภาพในแนวกว้างของการบริหาร/ควบคุมระบบสารสนเทศ 74 ่ www.itgthailand.com ทีมา: E-mail <[email protected]> 75