ข่าวสาร

IT Audit คือ การตรวจสอบการควบคุมการจัดการภายในระบบ IT (เทคโนโลยีสารสนเทศ) หรือ การตรวจสอบข้อมูลระบบ

หมายถึง การตรวจสอบการควบคุมการจัดการภายในระบบหรือฝ่ายเทคโนโลยี สารสนเทศ (IT) ซึ่งการตรวจสอบจะพิจารณา โครงสร้างพื้นฐาน ด้วยการประเมินผลจากหลักฐานที่ได้เข้าไปตรวจสอบแล้วพบว่าข้อมูลที่ได้มีการปกป้อง ที่เป็นสินทรัพย์ขององค์กร/บริษัท ยังคงสภาพของข้อมูลสมบูรณ์ และมีการดำเนินงานได้อย่างมีประสิทธิภาพ เพื่อให้บรรลุเป้าหมายขององค์กร หรือ วัตถุประสงค์ นอกจากนี้ผู้ตรวจสอบ IT Audit อาจจะเข้าไปตรวจสอบในส่วนของ "งบการเงิน" "ระบบเงินเดือน" "ระบบสิทธิ์ของพนักงาน" และสภาพแวดล้อมการทำงานทั่วไปของฝ่ายเทคโนโลยีสารสนเทศ

การตรวจสอบด้าน IT จะมีชื่อเรียกเป็นที่รู้จักกัน "Automated data processing audit" (ADP) หรือ การประมวลผลข้อมูลอัตโนมัติ ในขณะที่การตรวจสอบเครื่องคอมพิวเตอร์ จะเรียกว่า "Electronic data processing audit" (EDP)

วัตถุประสงค์การตรวจสอบ IT

การตรวจสอบจะมีความแตกต่างกันแยกไปตามวัตถุประสงค์ของการตรวจ อาทิ

1) การตรวจสอบทางการเงิน คือ การประเมินว่าองค์กรจะยึดมั่นที่จะปฎิบัติตามมาตรฐานการบัญชีในระดับสากล และความถูกต้องของข้อมูลที่เป็นตัวเลข การเชื่อมโยงของฐานข้อมูลที่เป็นตัวเลขกับหน่วยงานต่างๆ ที่นำไปวิเคราะห์ต่อ

2) การตรวจสอบด้าน IT คือ การประเมินระบบควบคุมการใช้งานให้มีความปลอดภัย มีมาตรฐานการป้องกันผู้บุกรุกจากภายนอก มีระบบป้องกันความปลอดภัยของ Data Center หรือ Data Warehouse และการออกแบบระบบปฎิบัติการที่มีความเหมาะสม หรือ ตรวจสอบด้าน IT Governance

ประเภทของการตรวจสอบด้าน IT

หน่วยงานชั้นนำทั้งในประเทศและต่างประเทศก็จะมีมาตรฐานในการตรวจด้าน IT ที่แตกต่างกัน เพราะงบประมาณที่จะนำมาใช้ในการดำเนินงานต่างกัน ความสามารถของพนักงานต่างกัน และความสำคัญของฐานข้อมูลและระบบเครือข่ายที่เชื่อมโยงกับหน่วยงานต่างๆ ทั้งภายในองค์กร และ ภายนอกองค์กร ที่ต่างกัน ดังนั้นขอยกตัวอย่างของประเภทของการตวจสอบด้าน IT ดังนี้

• การตรวจสอบกระบวนการและนวัตกรรมเทคโนโลยีสารสนเทศ (Technological innovation process audit)

การตรวจสอบลักษณะนี้จะเป็นการตรวจสอบของหน่วยงานขนาดใหญ่ ที่มีแผนที่จะเข้าจดทะเบียนในตลาดหลักทรัพย์ หรือ จะควบรวมกิจการกัน เพราะจำเป็นอย่างมากที่จะต้องมีทีมงานตรวจสอบที่มีความรู้ความสามารถเฉพาะทางเกี่ยวกับเทคโนโลยีประเภทนั้นๆ หรือ เป็นผู้เชี่ยวชาญในสาขานั้นๆ กันเลย เพราะจะต้องให้ความเห็นว่าเทคโนโลยีที่องค์กร A ใช้อยู่มีความล้าสมัยประการใด และมีทางที่จะบำรุงรักษาหรือไม่ รวมทั้งจะต้องมีการประเมินมูลค่าของเทคโนโลยีที่เป็นนวัตกรรมใหม่ๆ อีกด้วย ซึ่งมีความสลับซับซ้อนอย่างสูง

• การตรวจสอบเปรียบเทียบนวัตกรรม (Innovative comparison audit)

การตรวจสอบลักษณะนี้เป็นการวิเคราะห์ความสามารถด้านนวัตกรรมของบริษัท ที่ถูกตรวจสอบด้วยการนำนวัตกรรมไปเปรียบเทียบกับคู่แข่ง ที่มีความสามารถใกล้เคียงกัน ซึ่งการตรวจสอบลักษณะนี้ส่วนมากจะเป็นบริษัทวิจัยต่างๆ จะรับเข้าไปทำการตรวจสอบบริษัทให้ เพราะจำเป็นจะต้องมีการนำผลการวิจัยในด้านต่างๆ มาอ้างอิงสิ่งที่ตรวจสอบพบ หรือให้ความเห็นในด้านคุณค่าของนวัตกรรมที่ได้เข้าไปตรวจสอบ

• การตรวจสอบตำแหน่งเทคโนโลยี (Technological position audit)

การตรวจสอบลักษณะนี้จะเป็นการให้ความเห็นและความเชื่อมั่นแก่ผู้รับตรวจว่า เทคโนโลยีของบริษัท ยังมีความเป็นปัจจุบันอยู่หรือไม่ และเป็นเทคโนโลยีในกลุ่มประเภทใด อาทิ "base", "key", "pacing", หรือ "emerging"

ถ้าจะแยกประเภทของการตรวจสอบด้าน IT ให้แยกย่อยออกไปอีก ก็จะได้เป็น 5 ประเภท ดังนี้

1) ระบบและการประยุกต์ : การตรวจสอบระบบและการประยุกต์ใช้ว่ามีความเหมาะสมและมีประสิทธิภาพ และมีการควบคุมความปลอดภัยอย่างเพียงพอ เพื่อให้แน่ใจว่าข้อมูลยังมีความถูกต้อง น่าเชื่อถือ และยังมีความทันสมัยอยู่เสมอ หรือมีความปลอดภัยในการประมวลผลและการส่งออกไปยังหน่วยงานต่างๆ ในทุกระดับกิจกรรมของระบบ

2) สิ่งอำนวยความสะดวกและการประมวลผลข้อมูล : การตรวจสอบว่าสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลจะถูกบริหารจัดการและมีระบบการควบคุมเพื่อให้แน่ใจว่าการประมวลผลข้อมูลทันเวลา ถูกต้องและมีประสิทธิภาพของการใช้งานภายใต้สภาวะปกติ และมีระบบป้องกันการก่อกวนทั้งจากภายในและภายนอก

3) การพัฒนาระบบ : การตรวจสอบว่าระบบภายใต้การพัฒนาตรงกับวัตถุประสงค์ขององค์กร เพื่อให้แน่ใจว่าระบบได้การพัฒนาขึ้นตามมาตรฐานที่ยอมรับโดยทั่วไปสำหรับการพัฒนาระบบ

4) การบริหารจัดการด้านไอทีและสถาปัตยกรรม Enterprise : การตรวจสอบว่าการบริหารจัดการด้านไอที ได้มีการพัฒนาโครงสร้างองค์กรและวิธีการเพื่อให้แน่ใจว่าสภาพแวดล้อมการควบคุมและมีประสิทธิภาพสำหรับการประมวลผลข้อมูล

5) Client / Server Telecommunications, Intranets, และ Extranets: เป็นการตรวจสอบว่า การสื่อสารโทรคมนาคม มีระบบการควบคุมอยู่ในสถานะทีดี พร้อมใช้งาน มีคุณภาพเหมาะสม มีประสิทธิภาพในการเชื่อมต่อกับเครื่องลูกข่ายได้อย่างเหมาะสม และเกิดประโยชน์สูงสุด

กระบวนการตรวจสอบด้าน IT 

1) การวางแผน

2) การศึกษาและการประมินผลการควบคุม

3) การทดสอบและการประเมินผลการควบคุม

4) การรายงาน

5) การติดตามผล

ขอขอบคุณแหล่งที่มา : oknation blog

หากท่านสนใจบริการ ตรวจสอบภายในธรรมนิติ (DIR) มีดังนี้

• งานตรวจสอบภายใน (IA)
• ประเมินระบบการควบคุมภายใน
• การบริหารความเสี่ยง
• ประเมินทุจริตคอรัปชั่น
• ตรวจสอบระบบคอมพิวเตอร์และไอที
• งานตรวจสอบพิเศษ
• ประเมินคุณภาพงานตรวจสอบภายใน (QAR)
• พัฒนาระบบบัญชี

สามารถติตต่อได้ที่

เบอร์ : 02-596-0500 ต่อ 327 อีเมล : This email address is being protected from spambots. You need JavaScript enabled to view it.

บริษัทตรวจสอบภายในธรรมนิติ (DIR) ยินดีให้บริการครับ