ความเสยงและการควบคมด�านเทคโนโลยสารสนเทศ

ความเสยงและการควบคมด�านเทคโนโลยสารสนเทศ

Information Technology Risk and Controls

01

250.-

อาคารตลาดหลกทรพย�แห�งประเทศไทย62 ถนนรชดาภเษก แขวงคลองเตย เขตคลองเตย กรงเทพฯ 10110S-E-T Call Center 0-2229-2222 โทรสาร 0-2654-5399www.set.or.th

อาคารมลนธคณะเซนต�คาเบรยลแห�งประเทศไทย2 ซอยทองหล�อ 25 ถนนสขมวท 55 เขตวฒนา กรงเทพฯ 10110โทร. 0-2712-9124-7 โทรสาร 0-2712-9128www.theiiat.or.th E-mail: auditor@theiiat.or.th

101111000111101101 110101 00110101010111111111111 11011110100010011111 011011011010101000111110 001111010001111111010111011111111011110111 0100110001011111111100111 10110001111111110101011101 11010100010001 1111111 10111001101 11111110010101010100011111000 11110100011111110101110111 111110110001110111110 110101001111101010100 011111000111101000111111101011101 1111111010110110011010110 10101110111

11 000111101101 11010100010001111111111010010111101 1110111 01111100110110111111

1010001 1111000111101000111111101000101111101111 111101111011 01000100011111011

00111 10110001111111110101011101 11010100010001 1111111 10111001101 11111110010101010100011111000 11110100011111110101110111 111110110001110111110 110101001111101010100 011111000111101000111111101011101 1111111010110110011010110 101011101111010001 1111000111101000111111101000101111101111 111101111011 01000100011111011

011110110001111111110101011101 1101010001110110000111111 111010111 1011000111111

1010100011111 0001111010001111111010111011111 11101100110011011 0101111111111111101111000111101101 110101 00110101010111111111111 11011110100010011111 011011011

010101000111110 001111010001111111010111011111111011110111 0100110001011111111100111 10110001111111110101011101 11010100010001 1111111 10111001101 111111100101

01010100011111000 11110100011111110101110111 111110110001110111110 110101001111101010100 011111000111101000111111101011101 1111111010110110011010110 10101110111

11 000111101101 11010100010001111111111010010111101 1110111 01111100110110111111IPPF

- PracticeGuide

ชด “แนวทางการตรวจสอบเทคโนโลยในระดบสากล”กรอบการปฏบตงานวชาชพตรวจสอบภายในระดบสากล – แนวทางปฏบตความเสยงและการควบคมดานเทคโนโลยสารสนเทศ

ผแปล สมาคมผตรวจสอบภายในแหงประเทศไทย และตลาดหลกทรพยแหงประเทศไทยอำนวยการผลต ฝายศนยการเรยนร ศนยสงเสรมการพฒนาความรตลาดทน ตลาดหลกทรพยแหงประเทศไทยกองบรรณาธการอำนวยการ ผาณต เกดโชคชย ปนดดา เพมประโยชน ศศวรรณ เวชเจรญ พมพนารา จรวรดาเกยรตพมพครงท 1 พฤศจกายน 2555 จำนวน 3,000 เลม ราคา 250 บาทขอมลทางบรรณานกรมของสำนกหอสมดแหงชาต

จดจำหนายโดย ตลาดหลกทรพยแหงประเทศไทย 62 ถนนรชดาภเษก คลองเตย กรงเทพฯ 10110 โทรศพท 0 2229 2222 โทรสาร 0 2654 5399 http://www.set.or.th http://www.setfinmart.comพมพท บรษท เมจกเพรส จำกด 178 ซอยสรนธร 7 ถนนสรนธร แขวงบางบำหร เขตบางพลด กรงเทพฯ 10700 โทรศพท 0 2886 5100 โทรสาร 0 2886 4499 http://www.magicpress.co.th

“Copyright C 2009-2012 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte

Springs, Florida 32701-4201, USA. All rights reserved.”

“Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247

Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, to publish this translation, which is the same

in all material respects, as the original unless approved as changed. No part of this document may be

reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical,

photocopying, recording, or otherwise, without prior written permission of IIA, Inc.”

สมาคมผตรวจสอบภายในแหงประเทศไทย ไดรบอนญาตจากเจาของลขสทธ คอ The Institute of Internal

Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA ใหดำเนนการจดพมพ GTAG 1:

Information Technology Risk and Controls, 2nd Edition ฉบบภาษาไทย ซงมเนอหาเชนเดยวกบตนฉบบภาษาองกฤษ

โดยจดพมพในชอ “ความเสยงและการควบคมดานเทคโนโลยสารสนเทศ” ทงน The Institute of Internal Auditors

ไมอนญาตใหผลตซำหรอจดเกบเนอหาของเอกสารนในระบบใดๆ หรอโอนถายเนอหา ในรปแบบหรอโดยนยตางๆ

ทงทางอเลกทรอนกส อปกรณ การถายเอกสาร การบนทก หรอวธการอนๆ หากปราศจากการอนญาตอยางเปนลายลกษณ

อกษรจาก The Institute of Internal Auditors

ความเสยงและการควบคมดานเทคโนโลยสารสนเทศ.- -กรงเทพฯ : ตลาดหลกทรพยแหงประเทศไทย, 2555. 88 หนา. 1. การบรหารความเสยง. 2. การวเคราะหความเสยง. 3. สารสนเทศ - - การจดการ. I. สมาคมผตรวจสอบภายในแหงประเทศไทย II. ตลาดหลกทรพยแหงประเทศไทย III. ชอเรอง.657.45 ISBN 978-616-7227-41-2

คำนำ

นบตงแตป 2552 สมาคมผตรวจสอบภายในสากล (The Institute of Internal Auditors–

IIA) ไดพฒนากรอบการปฏบตงานวชาชพตรวจสอบภายในระดบสากล (International Professional

Practices Framework – IPPF) เพอใหแนวทางในการปฏบตงานตรวจสอบภายในของผประกอบวชาชพท

ครอบคลมขอบเขตการปฏบตงานตรวจสอบภายใน โดยไดออกมาตรฐานการปฏบตงานและมการปรบปรง

มาตรฐานดงกลาวมาอยางตอเนอง พรอมทงไดจดทำแนวทางปฏบตงานและขอแนะนำตางๆ ซงเปน

ประโยชนตอการดำเนนงานขององคกรและผประกอบวชาชพตรวจสอบภายในเสมอมา

กรอบการปฏบตงานวชาชพตรวจสอบภายในระดบสากลดงกลาวน มเนอหาสำคญแบงเปน

2 สวน คอ

สวนท 1 แนวทางบงคบใช (Mandatory Guidance) ประกอบดวย คำจำกดความของการ

ตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานสากลการปฏบตงานวชาชพตรวจสอบภายใน

ซงเปนหลกเกณฑพนฐานทผตรวจสอบภายในตองทราบและปฏบตตาม

สวนท 2 แนวทางทแนะนำใหตองนำไปใช (Strongly Recommended Guidance) ประกอบดวย

เอกสารแสดงความคดเหน (Position Papers) ขอแนะนำในการนำมาตรฐานไปใช (Practice Advisories)

และแนวปฏบต (Practice Guides) ซงแนวทางเหลานจะชวยอธบายถงวธการปฏบตตามคำจำกดความ

ของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานฯ ไดอยางมประสทธภาพ

หนงสอชด Global Technology Audit Guide (GTAG) น เปนแนวปฏบต หรอ Practice

Guides ท IIA จดทำขนเพอชประเดนทนาสนใจเกยวกบความเสยงและแนวทางการบรหารความเสยง

ดานเทคโนโลย ซงคณะกรรมการ กรรมการตรวจสอบ ผบรหารงานระดบสง โดยเฉพาะอยางยงผบรหาร

งานดานตรวจสอบภายในและผบรหารทรบผดชอบตรวจสอบระบบเทคโนโลยสารสนเทศสามารถ

นำไปประยกตใช เพอเพมประสทธภาพและเพมมลคาใหแกองคกร ทงในเชงการบรหารจดการ

การควบคมและการรกษาความปลอดภยของเทคโนโลยสารสนเทศ อกทงไดรบทราบถงแหลงขอมลพรอม

ใชในการบรหารจดการดงทกลาวไวดวย โดย IIA ไดประกาศใชแนวปฏบตชดน ตงแต พ.ศ. 2548

โดยหนงสอแปลชด GTAG ฉบบนเปนฉบบทเปนปจจบน ประกาศใชเมอเดอนมนาคม 2555 ทผานมา

ซงสมาคมผตรวจสอบภายในแหงประเทศไทย (สตท.) ไดรบลขสทธจาก IIA อยางถกตอง

ในการดำเนนงานโครงการแปลน สตท. ขอขอบคณตลาดหลกทรพยแหงประเทศไทย

สมาคมผตรวจสอบและควบคมระบบสารสนเทศ – ภาคพนกรงเทพฯ (Information Systems Audit

and Control Association Bangkok Chapter – ISACA Bangkok Chapter) หนวยงานทเกยวของ

และผทรงคณวฒทกทาน ดงรายนามทปรากฏในคณะทำงานโครงการจดทำหนงสอแปลชด “แนวทางการ

ตรวจสอบเทคโนโลยในระดบสากล” ซ งแตงต งโดย สตท. ISACA และตลาดหลกทรพยฯ ท ได

กรณาสละเวลาและใชความวรยะอตสาหะใหโครงการหนงสอแปลชดนไดสำเรจลลวงดวยด สมดง

เจตนารมณทตงไว และหวงเปนอยางยงวาแนวปฏบตชดน จะอำนวยประโยชนทดทสดใหแกผอาน

และองคกรทนำไปประยกตใช

(นายสวรรณ ดำเนนทอง) รกษาการ นายกสมาคมผตรวจสอบภายในแหงประเทศไทย พฤศจกายน 2555

คณะทำงานโครงการจดทำหนงสอแปลชด“แนวทางการตรวจสอบเทคโนโลยในระดบสากล”

ตลาดหลกทรพยแหงประเทศไทย

ศาสตราจารยหรญ รดศร ประธานคณะทำงาน

ศาสตราจารย ดร.ธวช ภษตโภยไคย คณะทำงาน

คณสวรรณ ดำเนนทอง คณะทำงาน

ดร.เยาวลกษณ ชาตบญชาชย คณะทำงาน

คณวรางคณา มสกะสงข คณะทำงาน

รองศาสตราจารย ดร.นตยา วงศภนนทวฒนา คณะทำงาน

คณผาณต เกดโชคชย เลขานการคณะทำงาน

ผประสานงานการแปล

คณปนดดา เพมประโยชน

คณศศวรรณ เวชเจรญ

คณพมพนารา จรวรดาเกยรต

สมาคมผตรวจสอบและควบคมระบบสารสนเทศ ภาคพนกรงเทพฯ

(ISACA – Bangkok Chapter)

คณวรางคณา มสกะสงข (นายกสมาคมฯ)

PricewaterhouseCoopers

คณเสนย วชรศรธรรม (อปนายก)

ธนาคารไทยพาณชย จำกด (มหาชน)

คณชชย วชระบรรจง (อปนายก)

บรษท ประกนคมภย จำกด (มหาชน)

คณสวฒน หลายเจรญทรพย (ทปรกษาสมาคมฯ)

ศาลทรพยสนทางปญญาและการคาระหวางประเทศกลาง

สมาคมไอทเอสเอมเอฟ ประเทศไทย

คณสธนย ประเสรฐสรรพ (ประธานดานปฏคม)

ธนาคารไทยธนาคาร จำกด (มหาชน)

ดร.ประจต หาวตร (ประธานดานการศกษา)

คณะพาณชยศาสตรและการบญช จฬาลงกรณมหาวทยาลย

คณปรญญา หอมเอนก (ประธานดานวจยและพฒนา)

บรษท เอซส โปรเฟสชนนล เซนเตอร จำกด

คณวาสนา โรจนพเชฐ (ประธานดานสมาชก)

บรษท ดจเวลท จำกด

คณสมชย แพทยวบลย (ผชวยดานสมาชก)

ธนาคารทสโก จำกด (มหาชน)

คณเมธา สวรรณสาร (Audit Chair)

บรษท ศรอยธยาประกนภย จำกด (มหาชน)

ดร.เยาวลกษณ ชาตบญชาชย (IT Gl liaison)

Ernst & Young Corporate Ltd.

คณประทกษ วงศสนคงมน (เหรญญก)

ธนาคารไทยพาณชย จำกด (มหาชน)

คณณฐชา เฉลมไชยโกศล (ผชวยเหรญญก)

คณสมหมาย ฟองนำทพย (ผประสานงาน CISA และเลขานการสมาคมฯ)

ธนาคารกรงศรอยธยา จำกด (มหาชน)

คณณฐ สงหลกะ (ผชวยเลขานการสมาคมฯ)

PricewaterhouseCoopers

คณนพนธ นาชน (Web Master)

บรษท เอซส โปรเฟสชนนล เซนเตอร จำกด

สมาคมผตรวจสอบภายในแหงประเทศไทย

คณะผแปล

คณพสทธ ธารจนดาวงศ

ผบรหารสวน ฝายตรวจสอบกจการภายในและตดตามการปฏบตงาน

ธนาคารแหงประเทศไทย

คณรณชย ธรรมรตนะศร, CISA

ผบรหารทม ฝายตรวจสอบกจการภายในและตดตามการปฏบตงาน

ธนาคารแหงประเทศไทย

คณสกมา อดลยวจตร, CISA

ผบรหารทม ฝายตรวจสอบกจการภายในและตดตามการปฏบตงาน

ธนาคารแหงประเทศไทย

ผสอบทาน

ผชวยศาสตราจารย ดร.อรนช สงสวาง

คณะพาณชยศาสตรและการบญช จฬาลงกรณมหาวทยาลย

สารบญ

บทสรปผบรหาร.............................................................................................. 1

บทท1บทนำ.............................................................................................. 3

บทท2 ความรเบองตนเกยวกบความเสยง และการควบคมดานเทคโนโลยสารสนเทศทางธรกจ.................................. 9

บทท3ผมสวนไดเสยภายใน และความรบผดชอบดานเทคโนโลยสารสนเทศ...................................... 17

บทท4 การวเคราะหความเสยง.............................................................................. 23

บทท 5 การประเมนการควบคมดานเทคโนโลยสารสนเทศภาพรวมทวไป.......... 31

บทท6ความรความเขาใจความสำคญ ของการควบคมดานเทคโนโลยสารสนเทศ................................................. 37

บทท7ความสามารถและทกษะในการตรวจสอบดานเทคโนโลยสารสนเทศ.......... 55

บทท8การนำกรอบการควบคมมาใช.................................................................... 59

บทท9บทสรป...................................................................................................... 65

ผเขยนและผอานทบทวน........................................................................................... 68

ภาคผนวก:รายการตรวจสอบกรอบการควบคมดานเทคโนโลยสารสนเทศ................ 69

หนา

แนวทางการตรวจสอบเทคโนโลยในระดบสากล (GTAG: Global TechnologyAudit Guide) นชวยใหหวหนาผบรหารงานตรวจสอบภายในและผตรวจสอบภายในกาวทน

การเปลยนแปลงและความซบซอนของโลกแหงเทคโนโลยสารสนเทศ โดยการใหขอมลแก

ผบรหารธรกจทมใชผบรหารดานเทคโนโลยสารสนเทศทงผบรหารและคณะกรรมการตาง

คาดหวงวา การปฏบตงานของผตรวจสอบภายในจะใหความเชอมนเกยวกบความเสยง

ทสำคญทงหมดรวมถงความเสยงทมาพรอมกบการนำเทคโนโลยสารสนเทศไปใชงาน

ชดของแนวทางการตรวจสอบเทคโนโลยในระดบสากลชวยเพมพนความรในประเดนดาน

ความเสยงการควบคมและการกำกบดแลทเกยวของกบเทคโนโลยใหกบหวหนาผบรหาร

งานตรวจสอบภายในและผตรวจสอบภายในเปาหมายของแนวทางชดนคอการชวยให

ผตรวจสอบภายในคนเคยกบการควบคมดานเทคโนโลยสารสนเทศทวไปเพอใหสามารถ

สอสารกบคณะกรรมการและแลกเปลยนความคดเหนดานความเสยงและการควบคมกบ

หวหนาเจาหนาทดานสารสนเทศและผบรหารดานเทคโนโลยสารสนเทศไดแนวทางชดน

อธบายวธการทกลมผกำกบดแล ผบรหาร ผประกอบวชาชพดานเทคโนโลย สารสนเทศ

และผตรวจสอบภายในดำเนนการตอประเดนความเสยงและการควบคมทสำคญเกยวกบ

เทคโนโลยสารสนเทศและเพ อนำเสนอกรอบในการประเมนความเส ยงและการควบคม

ดานเทคโนโลยสารสนเทศ นอกจากน แนวทางฉบบนเกรนนำถงแนวทางฉบบอนๆ ทจะ

ครอบคลมหวขอดานเทคโนโลยสารสนเทศในรายละเอยดรวมทงบทบาทและความรบผดชอบ

ทางธรกจทเกยวของ

1

บทสรป¼ÙŒบรÔหาร

แนวทางฉบบท1“ความเสยงและการควบคมดานเทคโนโลยสารสนเทศ:

Information Technology Risk and Controls”นเปนแนวทางฉบบปรบปรงของGTAG

ชดแรกในชอ“การควบคมดานเทคโนโลยสารสนเทศ:InformationTechnologyControls”

ซงตพมพเมอเดอนมนาคม 2548 โดยฉบบปรบปรงนมเปาหมายเพอใหภาพรวม

ในเรองความเสยงและการควบคมดานเทคโนโลยสารสนเทศ

�

บทสรปผบรหาร

วตถประสงคของการจดทำแนวทางฉบบนเพออธบายเกยวกบความเสยงและการควบคมดานเทคโนโลยสารสนเทศ(ITrisksandcontrols)ในรปแบบทจะทำใหหวหนาผบรหาร

งานตรวจสอบภายในเขาใจและสอสารใหผอนไดเหนถงความจำเปนทจะตองมการควบคม

ดานเทคโนโลยสารสนเทศทเขมงวดทงนแนวทางฉบบนไดจดเรยงไวใหผอานสามารถ

ตดตามเนอหาเกยวกบกรอบ(framework)สำหรบการประเมนการควบคมดานเทคโนโลย

สารสนเทศและม งเนนเฉพาะหวขอท ตองการอานตามความจำเปน นอกจากน

แนวทางฉบบนยงไดกลาวถงภาพรวมขององคประกอบทสำคญของการประเมนการควบคม

ดานเทคโนโลยสารสนเทศโดยเนนถงบทบาทและความรบผดชอบของบคลากรหลก

ขององคกรทสามารถผลกดนใหมการกำกบดแลทรพยากรทางดานเทคโนโลยสารสนเทศ

แมผอานอาจคนเคยกบบางแงมมของแนวทางฉบบนมาบางแลว แตยงมแงมมอนๆ

ทใหมมมองใหมๆสำหรบเปนแนวทางการดำเนนงานดานความเสยงและการควบคมดาน

เทคโนโลยสารสนเทศเปาหมายหนงของแนวทางฉบบนและฉบบตอๆไปของแนวทาง

GTAGชดนคอองคประกอบของการประเมนการควบคมดานเทคโนโลยสารสนเทศทสามารถ

ใชเพอใหความรวาความเสยงและการควบคมดานเทคโนโลยสารสนเทศคออะไรและ

เหตใดผบรหารและผตรวจสอบภายในจงควรใหความใสใจกบความเสยงและการควบคม

ดานเทคโนโลยสารสนเทศขนพนฐานเพอกอใหเกดและรกษาสภาพแวดลอมของการควบคม

ดานเทคโนโลยสารสนเทศทมประสทธผล

บททè 1 บทนำ

3

แมวาเทคโนโลยจะนำมาซงโอกาสในการเจรญเตบโตและการพฒนาขององคกรแต

เทคโนโลยกอาจเปนภยคกคาม(threats)ไดดวยเชนการหยดชะงกของระบบการหลอกลวง

การลกขโมยและการทจรต เปนตน แมจะมงานวจยแสดงใหเหนวา ผโจมตจากภายนอก

(outside attackers) มกจะเปนภยคกคามขององคกร แตบคคลภายในองคกรทเปนทไว

วางใจกอาจเปนภยคกคามทอนตรายยงกวาไดอยางไรกตามเทคโนโลยสามารถใชเพอ

ปองกนภยคกคามเหลานไดซงผอานสามารถเรยนรไดจากแนวทางฉบบนผบรหารควร

ถามคำถามทตรงประเดนและเขาใจความหมายของคำตอบตางๆดวยตวอยางเชน

ทำไมเราจงควรมความรความเขาใจเกยวกบความเสยงและการควบคม

ดานเทคโนโลยสารสนเทศ

คำตอบคอ“การใหความเชอมน”(assurance)และ“ความนาเชอถอ”

(reliablility)ผบรหารมบทบาทสำคญในการทำใหเกดความเชอมนตอความ

นาเชอถอของขอมลสารสนเทศ(informationreliability)ความเชอมนนเรมตนจาก

การมกระบวนการควบคมทางธรกจตางๆทมผลเชอมโยงถงกนประกอบกบ

หลกฐานทแสดงใหเหนวาการควบคมนนมความตอเนองและเพยงพอซง

ผบรหารตองพจารณาใหนำหนกหลกฐานทไดจากการควบคมและการตรวจสอบ

และสรปวาหลกฐานนนสามารถทำใหเกดความเชอมนไดอยางสมเหตสมผลหรอไม

อะไรบางทควรไดรบการปกปอง

คำตอบคอ “ความไววางใจ” (trust) ทำใหธรกจสามารถดำเนนไปได

และมประสทธภาพ การควบคมนำมาซงพนฐานของความไววางใจแมวาเราจะ

ไมสามารถมองเหนไดกตาม แตเทคโนโลยกนำมาซงพนฐานของการควบคมทาง

ธรกจแทบทกประเภทความนาเชอถอของขอมลทางการเงนและกระบวนการ

ทเกยวของ(ซงปจจบนหลายๆองคกรจดทำเปนขอบงคบ)ทงหมดจะขนอยกบ

ความไววางใจ

ทใดบางทสามารถประยกตใชการควบคมดานเทคโนโลยสารสนเทศได

คำตอบคอ“ใชไดทกท”เทคโนโลยสารสนเทศประกอบดวยองคประกอบ

ทางดานเทคโนโลยกระบวนการบคลากรโครงสรางองคกรและสถาปตยกรรม

(architecture) รวมทงสารสนเทศ การควบคมดานโครงสรางพนฐานหลาย

ประเภทเปนการควบคมทางเทคนคและเทคโนโลยสารสนเทศยงเปนเครองมอ

ทใชในการควบคมทางธรกจในหลายๆดาน

�

บทท 1 บทนำ

ใครคอผรบผดชอบ

คำตอบคอ “ทกคนในองคกร” แตผบรหารตองระบและประกาศผท

เปนเจาของและมหนาทรบผดชอบการควบคมนน มฉะนนแลวจะไมมใคร

รบผดชอบอะไรเลยและสงผลทคอนขางรนแรง

เมอไรทเราควรจะประเมนความเสยงและการควบคมดานเทคโนโลย

สารสนเทศ

คำตอบคอ “ตลอดเวลา” เพราะเทคโนโลยสารสนเทศเองกเปนสภาพ

แวดลอมทมการเปล ยนแปลงอยางรวดเรวและเปนตวกระต นใหเกดการ

เปลยนแปลงทางธรกจดวยนอกจากนยงมความเสยงใหมๆ เกดขนอยางรวดเรว

ดงนนการควบคมตางๆจงจำเปนตองมหลกฐานทแสดงใหเหนถงประสทธผล

ของการควบคมทมอยอยางตอเนองและหลกฐานดงกลาวจะตองไดรบการประเมน

และวดผลอยางสมำเสมอ

การควบคมควรมมากนอยเพยงใดจงจะเพยงพอ

คำตอบคอ “ฝายบรหารจำเปนตองตดสนใจ” โดยขนอยกบความ

เสยงทองคกรยอมรบได(riskappetite)ชวงเบยงเบนของความเสยงท

องคกรยอมรบได(risktolerance)และกฎระเบยบขอบงคบตางๆเนองจากการ

ควบคมไมใชวตถประสงคขององคกรแตการควบคมมไวเพอชวยใหองคกร

บรรลวตถประสงคทางธรกจแมวาการควบคมจะเปนตนทนในการดำเนน

ธรกจและอาจมราคาแพง แตกไมแพงเทากบผลกระทบทอาจเกดขนจากการ

ควบคมทไมเพยงพอ

การควบคมดานเทคโนโลยสารสนเทศเปนสงจำเปนสำหรบการปกปองสนทรพย

ลกคาพนธมตรทางธรกจและขอมลสารสนเทศทออนไหว(sensitiveinformation)

แสดงถงความมนคงปลอดภยความมประสทธภาพและพฤตกรรมทมจรยธรรมชวยปกปอง

ตราผลตภณฑ ชอเสยง และความไววางใจตอองคกร ซงสงเหลานอาจจะสญเสยไปได

อยางงายดายในตลาดการคาระดบโลกและในสภาพแวดลอมทอย ภายใตกฎขอบงคบ

จากหนวยงานตางๆเชนในปจจบนหวหนาผบรหารงานตรวจสอบภายในสามารถใชแนวทาง

ฉบบนเปนพนฐานในการประเมนกรอบและแนวปฏบตของการตรวจสอบภายในดานความ

เสยงและการควบคมดานเทคโนโลยสารสนเทศการปฏบตตามกฎระเบยบและการใหความ

เชอมนขององคกร แนวทางฉบบนยงสามารถใชเพอตอบสนองตอความทาทายทเกดจาก

การเปลยนแปลงอยางตอเนอง ความซบซอนทเพมขน ภยคกคามทเกดขนอยางรวดเรว

และความจำเปนในการปรบปรงประสทธภาพ

�

การควบคมดานเทคโนโลยสารสนเทศไมไดแยกอยเปนเอกเทศแตจะทำงานรวมกบ

การควบคมอนๆเพอการปกปองสนทรพยลกคาพนธมตรทางธรกจและขอมลสารสนเทศ

ทออนไหวอยางตอเนองซงจดออนในการควบคมตรงจดใดจดหนงททำงานรวมกนน

(aweaklink)อาจสงผลใหเกดขอบกพรองในระบบการควบคมไดนอกจากนการควบคม

ยงอาจผดพลาดไดและถกขามขนตอนโดยผบรหาร(managementoverride)ซงอาจ

เกดขนดวยการใชวธงายๆ ไปจนถงเทคนคชนสง และอาจมไดในสภาพแวดลอมทมการ

เปลยนแปลงตลอดเวลาการควบคมดานเทคโนโลยสารสนเทศมองคประกอบทสำคญ

2ประการคอการควบคมทางธรกจแบบอตโนมต(theautomationofbusinesscontrols)

และการควบคมเทคโนโลยสารสนเทศ(controlofIT)ดงนนการควบคมดานเทคโนโลย

สารสนเทศจงชวยทงสนบสนนการบรหารจดการและการกำกบดแลดานธรกจพรอมกน

กบทำใหเกดการควบคมทวไปและการควบคมในระดบเทคนคสำหรบโครงสรางพนฐานของ

เทคโนโลยสารสนเทศหวหนาผ บรหารงานตรวจสอบภายในอาจมองการควบคมทาง

ธรกจแบบอตโนมตวาเปนการควบคมทอาศยทงทกษะการตรวจสอบทางธรกจและ

ดานเทคโนโลยสารสนเทศเพอบรณาการความสามารถในการตรวจสอบหวหนา

ผบรหารงานตรวจสอบภายในอาจตองการแยกการควบคมดานเทคโนโลยสารสนเทศทวไป

หรอการควบคมทวไปดานคอมพวเตอร(generalcomputercontrols:GCCs)ตามทกษะ

ทางเทคนคและความสามารถทจำเปนในการประเมนระบบงานทคอนขางมความซบซอนทาง

เทคนค รวมถงการประเมนโครงสรางพนฐานและการปฏบตการ ยกตวอยางเชน ระบบ

งานดานการวางแผนทรพยากรองคกร(enterprise resourceplanning:ERP) ตองใช

ความรทางเทคนคมากกวาปกตในการทำความเขาใจและประเมนการควบคมโครงสรางฐาน

ขอมลของระบบ(ERPdatabasestructures)การเขาถงระบบของผใช(useraccess)

การกำหนดคาของระบบ(systemconfiguration)และการรายงานทางการเงนหวหนา

ผบรหารงานตรวจสอบภายในจะพบวาการประเมนโครงสรางพนฐานเชนเครอขาย

(networks)อปกรณกำหนดเสนทางในระบบเครอขาย(routers)ดานกนบกรก(firewall)

อปกรณไรสายและโทรศพทมอถอซงตองใชทกษะและประสบการณเฉพาะทางบทบาทของ

ผตรวจสอบภายในในการควบคมดานเทคโนโลยสารสนเทศเรมจากการทำความเขาใจใน

หลกการไปจนถงการจดทำรายงานผลของการประเมนความเสยงและการควบคมการ

ตรวจสอบภายในรวมถงการทำงานรวมกนอยางมากกบบคคลในตำแหนงตางๆทมหนาท

รบผดชอบดานการควบคมและตองการการเรยนรอยางตอเนองรวมถงการประเมนใหม

ทกครงเมอมพ ฒนาการดานเทคโนโลยใหมๆออกมาหรอเมอมการเปลยนแปลง

�

บทท 1 บทนำ

ขององคกรในเรองโอกาสทางธรกจ การใชประโยชน การพงพาเทคโนโลย กลยทธ

ความเส ยงและความตองการใชงาน

การควบคมดานเทคโนโลยสารสนเทศนำมาซงความเชอมนในความนาเชอถอ

ของขอมลสารสนเทศและการใหบรการขอมลสารสนเทศการควบคมดานเทคโนโลย

สารสนเทศสามารถชวยลดความเสยงทเกดจากการทองคกรนำเทคโนโลยมาใชโดยเรม

ตงแตการจดทำนโยบายขององคกรไปจนถงการนำไปใชงานจรง โดยการทำงานทเขยน

ไวในรหสคำสง (coded instructions) ตงแตการปองกนการเขาถงทางกายภาพจนถง

ความสามารถในการตดตามการทำรายการและขอมลรายการธรกรรมเพอหาผรบผดชอบ

และตงแตการตรวจแกแบบอตโนมต (automatic edits) จนถงการวเคราะหความสมเหต

สมผลของขอมลขนาดใหญๆ

แนวคดดานการควบคมทสำคญ2ประการไดแก

ความเชอมนจะเกดขนไดจากการมการควบคมดานเทคโนโลยสารสนเทศทม

การทำงานอยภายใตระบบการควบคมภายใน ซงความเชอมนนตองมอยอยาง

ตอเนองและมรองรอยของหลกฐานทเชอถอไดและเปนไปโดยตอเนอง

การใหความเชอมนโดยผตรวจสอบภายในเปนการประเมนความเชอมนอยาง

เทยงธรรมและเปนอสระวาการควบคมทเกยวของกบเทคโนโลยสารสนเทศ

ปฎบตงานตามทไดกำหนดไว ความเชอมนนมาจากการทผตรวจสอบทำความ

เขาใจ ตรวจทาน และประเมนการควบคมหลกทใชจดการกบความเสยงทเกยวของ

ตลอดจนดำเนนการทดสอบอยางเพยงพอ เพอใหมนใจวาการควบคมไดรบการ

ออกแบบอยางเหมาะสมสามารถทำหนาทในการควบคมไดอยางมประสทธผล

และตอเนอง

กรอบตางๆจดทำขนเพอใชในการจดประเภทของการควบคมดานเทคโนโลย

สารสนเทศและวตถประสงคของการควบคมซงแนวทางฉบบนไดแนะนำใหแตละองคกร

เลอกองคประกอบของกรอบทเหมาะสมไปใช เพอจดประเภทและประเมนความเสยงและ

การควบคมดานเทคโนโลยสารสนเทศ

�

�

บทท 1 บทนำ

2.1 หลกการสำคญ

องคกรยงคงใชประโยชนจากขดความสามารถของเทคโนโลยทกาวหนาขนอยาง

ตอเนองเพอพฒนาสนคาและบรการซงลวนสรางความทาทายใหกบวชาชพตรวจสอบภายใน

มาตรฐานสากลของสมาคมผตรวจสอบภายใน(IIA’sInternationalStandards)สำหรบ

แนวปฏบตทางวชาชพของการตรวจสอบภายในไดระบไวอยางชดเจนวาผตรวจสอบภายใน

ตองประเมนความเสยงและการควบคมดานระบบสารสนเทศทองคกรใช และสมาคมผตรวจสอบ

ภายในยงไดใหมมมองเพมเตมในการประเมนการควบคมดานเทคโนโลยสารสนเทศใน

แนวทางการตรวจสอบเทคโนโลยในระดบสากล(GTAGs)เชนแนวทางฉบบท4(GTAG4):

Managementof ITAuditingdiscussesITrisksandtheresulting ITriskuniverse

แนวทางฉบบท11(GTAG11):DevelopingtheITAuditPlanซงชวยผตรวจสอบภายใน

ประเมนสภาพแวดลอมทางธรกจทใชเทคโนโลยสารสนเทศสนบสนนการทำงานและเรอง

ทอาจครอบคลมในการตรวจสอบดานเทคโนโลยสารสนเทศ (ขอบเขตการตรวจสอบดาน

เทคโนโลยสารสนเทศ)(ITaudituniverse)ทเปนไปไดทงหมดรวมทงแนวทางฉบบท8

(GTAG8):AuditingApplicationControlsซ งครอบคลมหวขอการตรวจสอบ

การควบคมระบบงานและแนวทางทผตรวจสอบภายในสามารถนำไปใชประเมนการควบคม

บททè 2 ควาÁรÙŒเบéองตŒนเกèยวกบ

ควาÁเสèยงและการควบคÁดŒานเทคโนโลยสารสนเทÈทาง¸รกÔจ

9

คำวา“คณะกรรมการ”ในแนวทางGTAGฉบบนใชตามความหมายทระบไวใน

InternationalStandardsfortheProfessionalPracticeofInternalAudit(standards

glossary)วา“คณะกรรมการหมายถงคณะบคคลทกำกบดแลองคกรเชนคณะกรรมการ

บรษท(boardofdirectors)คณะกรรมการอำนวยการ(supervisoryboard)หวหนา

หนวยงานหรอหนวยงานทมอำนาจตามกฎหมาย (head of an agency or legislative

body) คณะผวาการหรอทรสตขององคกรทไมแสวงหากำไร (board of governors or

trusteesofanonprofitorganization)หรอคณะกรรมการอนๆขององคกรทไดรบการ

แตงตงรวมทงคณะกรรมการตรวจสอบ(auditcommittee)ซงหวหนาผบรหารงานตรวจสอบ

ภายในอาจตองรายงานตามหนาทงาน”

แนวทางน จะกลาวในรายละเอยดถงการประเมนความเส ยงและการควบคม

ดานเทคโนโลยสารสนเทศ โดยตองมความเชอมโยงเขากบสภาพแวดลอมของกระบวนการ

ทางธรกจท สรางข นและวตถประสงคเฉพาะขององคกรท จะตองบรรลใหไดตามท

ผบรหารองคกรและคณะกรรมการไดกำหนดไว ความเสยงดานเทคโนโลย สารสนเทศ

เปนเพยงสวนหนงของความเกยวพนทซบซอนระหวางบคคลกระบวนการโครงสราง

พนฐานและสภาพแวดลอมของความเสยงทองคกรมอย และควรไดรบการบรหารจดการใน

ภาพรวมโดยองคกร

ผตรวจสอบภายในจำเปนตองเขาใจการควบคมตางๆ ทมอยเพอลดความเสยง

ดานเทคโนโลยสารสนเทศการควบคมสามารถมองในมมทการควบคมนนมอยจรงใน

โครงสรางทข นอยกบความเชอมตอกนของประสทธผลของการปฏบตตามการควบคม

รวมทงตระหนกวา ความลมเหลวของชดของการควบคมทกำหนดไวอาจสงผลตอการเพม

การอางองและการตรวจสอบกลมการควบคมอนๆทจำเปนในแนวทางฉบบนการควบคม

ดานเทคโนโลยสารสนเทศจะกลาวในหลายๆ มมมอง เชน การกำกบดแล (governance)

การบรหารจดการ(management)ดานเทคนค(technical)และระบบงาน(application)

ขนอยกบวาใครในองคกรเปนผนำออกใชงานและดแลรกษา

อกมมมองหนงของการควบคมดานเทคโนโลยสารสนเทศคอในมมมองของการควบคม

ทวไปและการควบคมระบบงาน(general andapplication controls)การควบคมทวไป

ดานเทคโนโลยสารสนเทศมลกษณะทมผลในวงกวางและไดรบการพจารณาถงโดยการตรวจ

สอบในหลายทางเชนการดำเนนการดานเทคโนโลยสารสนเทศการพฒนาและดแลรกษา

10

บทท 2 ความรเบองตนเกยวกบความเสยงและ การควบคมดานเทคโนโลยสารสนเทศทางธรกจ

ระบบงาน การบรหารจดการผใช การบรหารจดการการเปลยนแปลง และการสำรองและ

การกขอมลสวนการควบคมระบบงานเปนการควบคมอกประเภทหนงทครอบคลมการ

ควบคมในการปอนขอมลการประมวลผลและการสงออกขอมลของระบบงาน

แนวทางฉบบนใหขอมลในรายละเอยดถงการใชการควบคมเพอการบรหารจดการ

และการกำกบดแลโครงสรางพนฐานกระบวนการทำงานและบคลากรทคอยสนบสนนธรกจ

ผานการใชเทคโนโลยการกำกบดแลเทคโนโลยสารสนเทศ(ITgovernance)ยงคงคอยๆ

พฒนาขนภายในองคกรอยางตอเนองตามการใชเทคโนโลยสารสนเทศเชนเดยวกบการกำกบ

ดแลทเพมขนของผบรหารและคณะกรรมการ

2.2 การกำกบดแลเทคโนโลยสารสนเทศ

เมอกลาวถงหวขอการควบคมดานเทคโนโลยสารสนเทศ สงสำคญทควรพจารณา

คอการกำกบดแลเทคโนโลยสารสนเทศซงใหกรอบเพอใหมนใจวาเทคโนโลยสารสนเทศ

สามารถสนบสนนความจำเปนทางธรกจโดยรวมไดจงเปนเรองสำคญทผ บรหารดาน

เทคโนโลยสารสนเทศตองมความเขาใจอยางดในกระบวนการทางธรกจขององคกรทจะนำ

ไปสการบรรลวตถประสงคและเปาหมายทคณะผบรหารและคณะกรรมการไดกำหนดไว

การกำกบดแลเทคโนโลยสารสนเทศไมเพยงแตมการควบคมท จำเปนในการจดการ

ความเสยงทไดระบไวเทานน แตยงเปนโครงสรางทบรณาการระหวางแนวปฏบตดาน

เทคโนโลยสารสนเทศและบคลากรทตองสอดคลองกนรวมทงทำใหบรรลกลยทธและ

เปาหมายขององคกรโดยรวมได

หวหนาผบรหารงานตรวจสอบภายในจำเปนตองสามารถประเมนโครงสรางของการ

กำกบดแลเทคโนโลยสารสนเทศและความสามารถของโครงสรางดงกลาวในการใหผลงาน

แกองคกร และตองสามารถพฒนาประสทธภาพของกจกรรมดานเทคโนโลยสารสนเทศได

ผลการวจยบงชวาการกำกบดแลเทคโนโลยสารสนเทศนำไปสการดำเนนการทางธรกจทด

ขน และยงชวยเสรมสรางความสอดคลองกนของเทคโนโลยสารสนเทศกบธรกจ ในการท

จะบรรลวตถประสงคทางกลยทธดวย

การกำกบดแลเทคโนโลยสารสนเทศประกอบดวยความเปนผนำโครงสรางองคกร

และกระบวนการตางๆททำใหมนใจไดวาเทคโนโลยสารสนเทศขององคกรจะสามารถรกษา

และสนบสนนกลยทธและวตถประสงคขององคกรได

11

ตามขอกำหนดของมาตรฐานสมาคมผตรวจสอบภายใน 2110.A2 กลาวไววา

กจกรรมการตรวจสอบภายในตองประเมนวาการกำกบดแลเทคโนโลยสารสนเทศขององคกร

สนบสนนกลยทธและวตถประสงคขององคกรหรอไม หวหนาผบรหารงานตรวจสอบภายใน

ตองพรอมทจะประเมนแงมมสำคญของสภาพเทคโนโลยสารสนเทศในภาพรวม(overallIT

landscape)

การประยกตใชหลกการกำกบดแลดานเทคโนโลยสารสนเทศทเหมาะสม สามารถ

ทจะมอทธพลและผลกระทบตอทงองคกรรวมถงวธการทเทคโนโลยสารสนเทศจะมปฏสมพนธ

ตอธรกจ

การระบและการบรหารจดการกบความเสยงดานเทคโนโลยสารสนเทศ

และการชวยใหมการพฒนาปรบปรงการปฏบตการดานเทคโนโลยสารสนเทศ

การกำกบดแลดานเทคโนโลยสารสนเทศชวยทำใหกจกรรมบรหารความเสยง

ตางๆขององคกรมการเชอมโยงกนอยางใกลชดซงรวมถงการบรหารความเสยง

ขององคกร (ERM: enterprise risk management) การกำกบดแลเทคโนโลย

สารสนเทศจำเปนตองเปนสวนหนงของความพยายามในการบรหารจดการ

ความเสยงทงองคกรเพอวาเทคนคตางๆทเหมาะสมจะไดถกนำมาใชเปน

สวนหนงของกจกรรมดานเทคโนโลยสารสนเทศทงน รวมถงการส อสาร

เกยวกบสถานะของความเสยงใหแกผมสวนไดเสยทสำคญทวทงองคกรหวหนา

ผบรหารงานตรวจสอบภายในควรสอบทานกจกรรมการบรหารความเส ยงท

ทกสวนขององคกรนำมาใชและทำใหแนใจไดวามความเช อมโยงกนของ

ความพยายามในการบรหารความเสยงดานเทคโนโลยสารสนเทศกบกจกรรม

ดานความเสยงอนๆขององคกรและใหความใสใจอยางเหมาะสมกบสถานะ

ความเสยงดานเทคโนโลยสารสนเทศ(ITriskprofile)

การเพมความสมพนธระหวางธรกจและเทคโนโลยสารสนเทศ การกำกบ

ดแลดานเทคโนโลยสารสนเทศทำใหเกดกลไกทเชอมโยงการใชเทคโนโลย

สารสนเทศในองคกรกบเปาหมายและกลยทธโดยรวมขององคกรความสมพนธ

ระหวางธรกจและเทคโนโลยสารสนเทศทำใหมนใจไดวาทรพยากรดานเทคโนโลย

สารสนเทศไดมการนำไปใชอยางถกตองและในเวลาทเหมาะสมการสอสาร

ระหวางเทคโนโลยสารสนเทศและธรกจควรเปนไปอยางอสระและใหขอมลท

1�

บทท 2 ความรเบองตนเกยวกบความเสยงและ การควบคมดานเทคโนโลยสารสนเทศทางธรกจ