การตรวจสอบการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (IT General Control) คือการตรวจสอบประเมินผลการควบคุมภายในทั่วไป ซึ่งเกี่ยวกับการตั้งค่าของระบบงานและอุปกรณ์ต่างๆ รวมไปถึงการป้องกันการเข้าถึงห้อง Server เพื่อให้มั่นใจว่าข้อมูลปลอดภัย ใช้งานระบบอย่างถูกต้อง เป็นไปตามกฎหมายและทิศทางขององค์กร
IT Audit สำคัญอย่างไร
ในปัจจุบันองค์กรส่วนใหญ่เริ่มมีการนำระบบเทคโนโลยีสารสนเทศเข้ามาสนับสนุนกิจกรรมการดำเนินงาน ดังนั้นการตรวจสอบระบบเทคโนโลยีสารสนเทศ (IT Audit) จึงมีบทบาทสำคัญเพื่อช่วยให้ฝ่ายบริหารมั่นใจได้ว่าระบบเทคโนโลยีสารสนเทศขององค์กรมีความมั่นคงปลอดภัยด้านข้อมูล, ตลอดจนผู้ใช้งานสามารถใช้ระบบได้อย่างถูกต้อง เป็นไปตามกฎหมาย ข้อบังคับหรือกฎระเบียบ ทั้งขององค์กรและหน่วยงานที่มากำกับดูแลได้มีประสิทธิภาพและประสิทธิผลสูงสุด เพื่อให้บรรลุวัตถุประสงค์ขององค์กร
มาดูกันเลยว่า...การตรวจสอบระบบเทคโนโลยีสารสนเทศในเบื้องต้นนั้น มีการจัดประเภทของการตรวจสอบด้านระบบเทคโนโลยีสารสนเทศไว้อย่างไร
การตรวจสอบการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (IT General Control)
การตรวจสอบระบบเทคโนโลยีสารสนเทศ (IT Audit) แบ่งออกเป็น 2 ประเภท ได้แก่ 1.การตรวจสอบการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (IT General Control) และ 2.การตรวจสอบการควบคุมเฉพาะระบบงาน (Application Control)
ในครั้งเราจะเริ่มกันที่การตรวจสอบตัวแรกก่อน สำหรับการตรวจสอบการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (IT General Control) คือการตรวจสอบประเมินผลการควบคุมภายในทั่วไป ส่วนใหญ่จะเป็นการตรวจสอบเรื่องเกี่ยวกับเอกสาร และการตั้งค่าของระบบงาน และอุปกรณ์ต่างๆ รวมไปถึงการป้องกันการเข้าถึงห้อง Server ฯลฯ เพื่อให้มั่นใจว่าระบบเทคโนโลยีสารสนเทศที่ใช้อยู่นั้นสามารถที่จะบรรลุวัตถุประสงค์หลัก 4 ประการต่อไปนี้เพียงใด
1. ป้องกันทรัพย์สินจากการทุจริต ผิดพลาด
2. รักษาความถูกต้องของข้อมูล และความปลอดภัยของฐานข้อมูลหลัก
3. ประสิทธิผลของระบบงาน
4. ประสิทธิภาพในการใช้ทรัพยากรของระบบ
และนี่คือตัวอย่างของการควบคุมทั่วไปด้านระบบสารสนเทศ
1. การกำหนดนโยบายในการควบคุมการใช้งานสารสนเทศขององค์กร เช่น
1.1. มีการกำหนดนโยบายที่ชัดเจน สอดคล้องกับการทำงานขององค์กร
1.2. มีการลงนามอนุมัติ เห็นชอบจากผู้บริหารระดับสูง
1.3. มีการประกาศใช้งานให้กับผู้ที่เกี่ยวข้องรับทราบ
2. การแบ่งแยกหน้าที่งาน ตำแหน่งงาน ในระบบสารสนเทศ เช่น
2.1. Infrastructure ต้องไม่ทำหน้าที่เกี่ยวกับการพัฒนาระบบ
2.2. Developer, Programmer ต้องทำหน้าที่เกี่ยวกับการพัฒนาระบบเท่านั้น
2.3. Database Administrator ต้องไม่ทำร่วมกับหน้าที่อื่น
3. การควบคุมการพัฒนาระบบสารสนเทศ เช่น
3.1. มีการวางแผนการพัฒนาระบบ
3.2. มีการจัดสรรบุคลากรในการดูแลการพัฒนา
3.3. มีการสอบทานภายหลังการติดตั้งระบบ
3.4. มีการวัดผลการดำเนินงานของระบบ
4. การควบคุมการเปลี่ยนแปลงแก้ไขระบบงาน เช่น
4.1. มีวิธีการและขั้นตอนในการเปลี่ยนแปลงแก้ไขระบบที่เป็นลายลักษณ์อักษร
4.2. มีการทดสอบระบบที่แก้ไขก่อนการใช้งานจริง
4.3. มีการประเมินผลและติดตาม
5. การควบคุมการปฏิบัติงานในห้องควบคุมเครือข่ายคอมพิวเตอร์ เช่น
5.1. การสำรองข้อมูลของระบบงาน
5.2. การทดสอบกู้คืนข้อมูล
5.3. การตรวจสอบทางกายภาพของอุปกรณ์เครือข่ายหลัก
6. การควบคุมการใช้งานอุปกรณ์คอมพิวเตอร์ เช่น
6.1. การกำหนดรหัสผ่านเข้าเครื่องคอมพิวเตอร์
6.2. การควบคุมสภาพแวดล้อมพื้นที่ตั้งเครื่องคอมพิวเตอร์
6.3. การติดตั้งอุปกรณ์รักษาความปลอดภัย
7. การควบคุมการเข้าถึงข้อมูลและทรัพยากรสารสนเทศ เช่น
7.1. มีตารางแสดงสิทธิการเข้าถึงฐานข้อมูล
7.2. มีการกำหนดสิทธิผู้ดูแลระบบ และการเก็บรักษารหัสผ่าน
7.3. มีการเข้ารหัสข้อมูลที่สำคัญ
8. การควบคุมการเข้าถึงระบบงานหลัก เช่น
8.1. มีการพิสูจน์ตัวตน (Authentication)
8.2. การกำหนดสิทธิของผู้ใช้งาน (User Authorization)
8.3. การบันทึกกิจกรรมในระบบ (Audit Log)
เป็นยังไงกับบ้างครับ สำหรับการควบคุมทั่วไปด้านระบบสารสนเทศ (IT General Control) ซึ่งเป็นข้อแรกของการตรวจสอบระบบเทคโนโลยีสารสนเทศ (IT Audit) ในครั้งหน้าเราจะมาพูดถึง “การควบคุมเฉพาะระบบงาน (Application Control)” ว่าทำไมถึงต้องมีการตรวจสอบ แล้วมีวิธีการตรวจสอบอย่างไรบ้าง รอติดตามกันได้นะครับ
ผู้เขียน : นายผดุงเกียรติ จำชาติ บริษัท ตรวจสอบภายในธรรมนิติ จำกัด