การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control (ต่อ)

มกราคม 24, 2010

ครั้งนี้ ผมตั้งใจจะนำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ แต่ก่อนจะถึงเรื่อง Application Control ที่ใช้คอมพิวเตอร์ ผมใคร่ขอทบทวนการตรวจสอบ IT Audit ทางด้าน General Control อีกสักเล็กน้อยนะครับว่า มุมมองทางด้าน General Control กับ Application Control มีความสัมพันธ์และเกี่ยวข้องกันด้วยเสมอ เพราะหาก General Control มีจุดอ่อน จะมีผลกระทบต่อ Application Control อย่างหลีกเลี่ยงไม่ได้ ในทุกมุมมองที่เกี่ยวข้อง คือ Input – Process – Output

ท่านลองดูแผนภาพสรุปในบางมุมมองของ General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ และโปรดทบทวนคำอธิบายเรื่อง IT Audit ที่ได้กล่าวมาตั้งแต่ต้น ท่านจะพบกับความท้าทายในรูปแบบต่าง ๆ ที่ต้องใช้ทักษะและศักยภาพในองค์ความรู้ที่เกี่ยวข้องกับ IT และ Business ซึ่งแยกกันไม่ได้เช่นกัน เพราะ Process ของการขับเคลื่อน Business Objective จะอาศัยเทคโนโลยีที่ไปขับเคลื่อน Business Process จาก IT Activities ในมุมมองต่าง ๆ ที่เกี่ยวข้องต่อไป

Understanding Controls on IT Environment

Understanding Controls on IT Environment

การผสมผสานองค์ความรู้ที่เกี่ยวข้อง ในการตรวจสอบของผู้ตรวจสอบและของผู้กำกับงานตรวจสอบ ทางด้าน IT และทางด้าน Manual จึงควรเข้าใจการบริหารและการจัดการองค์กรที่ต้องอาศัย IT ในภาพโดยรวม โดยเฉพาะอย่างยิ่ง หากนำหลักการของ GRC (Governance + Risk Management + Compliance) มาประยุกต์ใช้ในภาพโดยรวม ซึ่งเป็นการขับเคลื่อน Business Process ในลักษณะ Integrity – Driven Performance ซึ่งท่านที่สนใจสามารถติดตามได้จากหัวข้อที่เกี่ยวข้องในเว็บนี้

ผมใคร่ขอย้ำว่า การกำหนดขอบเขตการตรวจสอบ เพื่อให้ได้เป้าประสงค์ของการตรวจสอบในเวลาที่ต้องการ เป็นสิ่งที่ผู้ตรวจสอบต้องเข้าใจถึงองค์ประกอบที่เกี่ยวข้องเป็นอย่างมาก เพื่อให้การตรวจสอบมุ่งตรงประเด็น และเป็นไปตามการปฏิบัติอย่างที่ได้รับมอบหมาย ซึ่งอาจต้องใช้เทคนิคผสมผสาน ระหว่างการตรวจสอบเต็มรูปแบบ (Formal) และการตรวจสอบเป็นเรื่อง ๆ หรือดำเนินการในลักษณะของ Surprise Check ได้ เช่น การตรวจสอบทางด้าน IT Process ตามหลักการของ CobiT มี 4 Domain นั้น วัตถุประสงค์ในการตรวจสอบทางด้าน IT Process ต้องการเน้นเรื่องใด หรือ Domain ใด ใน 4 Domain หลักทางด้าน IT Process ซึ่งประกอบไปด้วย Planning and Organization หรือ Domain อื่น ซึ่งจะเกี่ยวข้องกับ Business Requirement ตามคุณลักษณะ 7 ประการ ของ CobiT หรือจะประเมินจุดอ่อน และความเสี่ยงจาก IT Resource ซึ่งมีองค์ประกอบ 5 ประการที่เกี่ยวเนื่องกันตามที่แสดงไว้ในแผนภาพ และอธิบายไว้ในหัวข้อนี้เมื่อวันที่ 7 มกราคม 2553 เป็นต้น

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (IT / Manual Audit) กับความเข้าใจในภาพโดยรวม

ธันวาคม 15, 2009

ในครั้งที่แล้ว ผมได้พูดถึงหลักฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรจะมีความรู้ความเข้าใจในองค์รวมที่เกี่ยวกับหลักฐานการตรวจสอบที่เกี่ยวข้อง เพราะมิฉะนั้น การวางแผนการตรวจสอบ ซึ่งเป็นกระบวนการที่สำคัญยิ่งในการตรวจสอบ ทั้งทางด้าน IT และ Non – IT นั้น จะดำเนินการไม่ได้อย่างมีคุณภาพ ประสิทธิภาพ ไม่เข้าใจถึงผลกระทบของรายการที่ประมวลผลโดยคอมพิวเตอร์ ตามรูปแบบของหลักฐานที่มีตามการตรวจสอบ

วันนี้ ผมจะได้อธิบายต่อไป โดยใช้แผนภาพประกอบเป็นส่วนใหญ่ เพื่อพิจารณาขอบเขตการตรวจสอบ เมื่อเทียบกับภาพโดยรวมของการตรวจสอบ ทางด้าน IT / Manual Audit ต่อไปนี้ครับ

จากแผนภาพแทนคำอธิบายข้างต้น ท่านที่สนใจในเรื่อง IT Audit และ Manual Audit ในองค์กรที่ใช้คอมพิวเตอร์ คงจะได้เห็นแนวทางในการก้าวสู่กระบวนการตรวจสอบ จากฐานความเสี่ยงในเรื่องที่เกี่ยวข้อง และบรรลุวัตถุประสงค์ตามขอบเขตของงานที่ต้องการตรวจสอบ ซึ่งจะได้อธิบายในตอนต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

มีนาคม 12, 2009

ทุกองค์กรในปัจจุบันอาจกล่าวได้ว่า ไม่มีองค์กรใดเลยจะไม่มีคอมพิวเตอร์ใช้ในการบริหารงาน และการปฏิบัติงาน ดังนั้น การวางแผนการตรวจสอบและการปฏิบัติงานตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ จะต้องคำนึงถึงความเสี่ยงและผลกระทบจากระบบสารสนเทศที่มีต่อความน่าเชื่อถือได้ของข้อมูลทางการเงิน ที่มีความสำคัญอย่างยิ่งยวดของการบริหาร การปฏิบัติงาน การควบคุมภายในและการตรวจสอบในทุกประเภทที่เกี่ยวข้อง

ทั้งนี้เพราะ หากการประมวลผลข้อมูลทางด้านสารสนเทศไม่ถูกต้อง ไม่น่าเชื่อได้ ในแง่มุมต่าง ๆ โดยเฉพาะอย่างยิ่ง มีผลกระทบต่อความน่าเชื่อถือได้ของข้อมูลทางการเงิน (Financial Statement) ก็จะมีผลกระทบต่อกระบวนการบริหารและการจัดการในทุกมุมมอง การวางแผนการตรวจสอบต้องมีการเปลี่ยนแปลงอย่างสิ้นเชิง

ผมคงไม่ลำดับกระบวนการตรวจสอบอย่างเป็นขั้นตอนตามเอกสารและตามตำราต่าง ๆ ที่มีอยู่อย่างมากมาย แต่ผมใคร่ขอนำเสนอและทำความเข้าใจกับท่านที่สนใจในเรื่องการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ โดยนำเสนอแผนภาพเพื่อให้ท่านผู้อ่านได้ใคร่ครวญ และใช้ดุลยพินิจก่อนที่ผมจะเขียนในรายละเอียดต่อไป

โปรดดูแผนภาพที่จะช่วยให้เกิดความเข้าใจในกระบวนการตรวจสอบต่อไปนี้

GRC การหลอมรวมความเข้าใจในการบริหารมิติต่าง ๆ เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders

GRC การหลอมรวมความเข้าใจในการบริหารมิติต่าง ๆ เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders

ลองพิจารณาแผนภาพต่อไปซิครับ จะพบว่าการประมวลผลข้อมูลจากระบบคอมพิวเตอร์นั้น จะประกอบไปด้วย 3 ส่วนหลัก ๆ ก็คือ
1.ส่วนที่ประมวลผลด้วยมือ (Manual) ล้วน ๆ (ขั้นตอน Input และ Output)
2.ส่วนที่ประมวลผลด้วยคอมพิวเตอร์ล้วน ๆ (ขั้นตอน Process)
3.ส่วนที่ประมวลผลตามข้อ 1. และ ข้อ 2. รวมกัน (ขั้นตอนระหว่าง Input ไปสู่ Process และขั้นตอนระหว่าง Process ไปสู่ Output)

รายละเอียดที่เกี่ยวข้องจะได้กล่าวในตอนต่อไปครับ

ส่วนของคอมพิวเตอร์ในระบบงานต่าง ๆ ของทุกองค์กรกับความเสี่ยง

ส่วนของคอมพิวเตอร์ในระบบงานต่าง ๆ ของทุกองค์กรกับความเสี่ยง

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn