Upload
owen
View
43
Download
1
Embed Size (px)
DESCRIPTION
ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต. บทที่ 2 พื้นฐาน IT Audit. เนื้อหาคำบรรยาย. การควบคุมภายใน ประเด็นสำคัญในการตรวจสอบ ประเภทของการตรวจสอบไอที ใช้ไอทีในการปฏิบัติงาน. นิยาม IT Auditing. ประเมินการควบคุมที่ใช้กับทรัพยากรไอทีของหน่วยงาน - PowerPoint PPT Presentation
Citation preview
บทท�� 2 พื้��นฐาน IT Audit
ดร . ครรชิ�ต มาลั�ยวงศ์� ราชิบั�ณฑิ�ต
เน��อหาคำ�าบรรยาย
การควบัค�มภายใน ประเด�นสำ�าค�ญในการตรวจสำอบั ประเภทของการตรวจสำอบัไอท% ใชิ&ไอท%ในการปฏิ�บั�ต�งาน
น�ยาม IT Auditing
ประเม�นการควบัค�มท%(ใชิ&ก�บัทร�พยากรไอท%ของหน+วยงาน ขอบัเขตประกอบัด&วย ฮาร�ดแวร� ซอฟต�แวร� เคร0อข+าย ข&อม1ลัแลัะ
สำารสำนเทศ์ จ�ดท�ารายงานเก%(ยวก�บัระบับัสำารสำนเทศ์ ระเบั%ยบัว�ธี%ปฏิ�บั�ต� แลัะ การ
ปฏิ�บั�ต�งานจร�งของหน+วยงาน To ensure the productivity, usefulness and
availability of the IT systems that serve organizations
คำวามแตกต�างระหว�างการตรวจสอบ IT และการตรวจสอบด้ านการเง�น
การตรวจสำอบัด&านการเง�นจะตรวจสำอบัการควบัค�มว+าพอเพ%ยงท%(จะไม+ต&องทดสำอบักระบัวนการท%(ถู1กควบัค�มน�4นหร0อไม+
การตรวจสำอบัด&าน IT เน&นในการพ�จารณาก�าหนดความเสำ%(ยงซ5(งเก%(ยวข&องก�บัทร�พย�สำ�นสำารสำนเทศ์แลัะการประเม�นการควบัค�มท%(เก%(ยวข&องว+าพอเพ%ยงท%(จะลัดความเสำ%(ยง หร0อ บัรรเทาป6ญหาความเสำ%(ยงเหลั+าน�4นได&หร0อไม+
ประเด้"นส�าคำ#ญสามเร��องในงาน IT Audit
การตรวจสำอบั IT ท�(วไป (General IT Audit) ครอบัคลั�มถู5งเร0(อง ฮาร�ดแวร� ระบับัปฏิ�บั�ต�การ โครงสำร&างพ04นฐานเคร0อข+าย แลัะ ความม�(นคง
ปลัอดภ�ย การตรวจสำอบังานประย�กต� (Application Audit) ครอบัคลั�ม
ถู5งเร0(อง การตรวจสำอบัการควบัค�มท%(เก%(ยวข&องก�บัซอฟต�แวร�สำ�าเร�จ ซอฟต�แวร�ท%(
พ�ฒนาข54นใชิ&เอง แลัะ ฐานข&อม1ลั การตรวจสำอบัการด�าเน�นงานโครงการ (Project Progress)
ประเด้"นส�าคำ#ญในการตรวจสอบ IT
ความลั�บั (Confidentiality) – ข&อม1ลัจะเข&าถู5งเพ0(อใชิ&งานได&เฉพาะผู้1&ท%(ได&ร�บัอน�ญาตเท+าน�4น
ความถู1กต&อง (Integrity) – ข&อม1ลัม%ความน+าเชิ0(อถู0อ แม+นย�า แลัะเป<นป6จจ�บั�น
ความพร&อมใชิ& (Availability) – การใชิ&ทร�พย�สำ�น IT เพ0(อปฏิ�บั�ต�การให&เป<นไปตามข&อตกลังระด�บัการให&บัร�การ (Service Level Agreement = SLA)
เราน�ยมเร%ยกประเด�นเหลั+าน%4ย+อ ๆ ว+า CIA
การคำวบคำ&มภายใน (Internal Controls)
การตรวจสำอบัปกต�เน&นการประเม�นการควบัค�มภายใน
การควบัค�มภายในทางด&านการเง�นชิ+วยป>องก�นการฉ&อฉลัแลัะความผู้�ดพลัาด
การตรวจสำอบัด&านการเง�นชิ+วยแสำดงให&บั�คคลัภายนอกทราบัว+าหน+วยงานม%การควบัค�มท%(เพ%ยงพอมากน&อยแค+ไหน รายงานน%4เป<นความเห�นท%(ผู้1&ตรวจสำอบัม%เก%(ยวก�บัการควบัค�มท%(สำ�งเกตพลั แลัะข&อเสำนอแนะว+าจะท�าให&การควบัค�มม%ความเข&มงวดข54นได&อย+างไร
การควบัค�มไอท%เป<นกระบัวนการท%(ชิ+วยสำร&างความม�(นใจในด&านสำารสำนเทศ์แลัะด&านบัร�การสำารสำนเทศ์ แลัะชิ+วยในการบัรรเทาป6ญหาท%(เก�ดก�บัการใชิ&ไอท%
องค�ประกอบัสำองด&านท%(ต&องค�าน5งถู5ง• การท�าให&การควบัค�มธี�รก�จเป<น
งานอ�ตโนม�ต�• การควบัค�มไอท%
ประเด้"นท��เก��ยวก#บการคำวบคำ&ม IT
http://www.theiia.org/guidance/technology/gtag/gtag1/
ท�าคำวามเข้ าใจการคำวบคำ&ม
แบั+งตามงานท%(ควบัค�ม• การควบัค�มท�(วไป• การควบัค�มงานประย�กต�
แบั+งตามว�ธี%การควบัค�ม• เชิ�งป>องก�น• เชิ�งตรวจจ�บั• เชิ�งแก&ไข
แบั+งตามการจ�ดการ• การควบัค�มในงานธีรรมาภ�
บัาลั• การควบัค�มในงานจ�ดการ• การควบัค�มในงานเทคน�ค
http://www.theiia.org/guidance/technology/gtag/gtag1/
ล�าด้#บชั้#�นข้องการตรวจสอบ
http://www.theiia.org/guidance/technology/gtag/gtag1/
คำวามส�าคำ#ญข้องการคำวบคำ&มไอท�
ความจ�าเป<นในการควบัค�ม ได&แก+ • การควบัค�มค+าใชิ&จ+าย• การปกป>องทร�พย�สำ�นสำารสำนเทศ์• การปฏิ�บั�ต�ตามกฎหมาย
การจ�ดให&ม%การควบัค�มไอท%ท%(ม%• ประสำ�ทธี�ผู้ลัชิ+วยปร�บัปร�ง
ประสำ�ทธี�ภาพ ความน+าเชิ0(อถู0อความย0ดหย�+น แลัะ การม%หลั�กฐานเพ0(อประก�นความม�(นใจ
http://www.theiia.org/guidance/technology/gtag/gtag1/
บทบาทและคำวามร#บผิ�ด้ชั้อบ
ฝ่Aายบัร�หาร ตระหน�กถู5งความจ�าเป<นท%(ต&องม%การควบัค�ม ก�าหนด อน�ม�ต� แลัะ จ�ดให&ม%การควบัค�มอย+างจร�งจ�ง
ผู้1&ตรวจสำอบั• ผู้1&ตรวจสำอบัภายในสำร&างความ
ม�(นใจในการควบัค�ม• ผู้1&ตรวจสำอบัภายนอก เชิ+น
คตป สำอบัทานเป<นระยะ ๆ
http://www.theiia.org/guidance/technology/gtag/gtag1/
ตรวจสอบโด้ยอ�งคำวามเส��ยง ว�เคราะห�ความเสำ%(ยง
• ก�าหนดจ�าแนกความเสำ%(ยง• ใชิ&ความเสำ%(ยงเป<นต�วก�าหนดความ
พอเพ%ยงของการควบัค�มไอท% • ก�าหนดกลัย�ทธี�ในการบัรรเทาความ
เสำ%(ยง เชิ+น การยอมร�บั การลัดความเสำ%(ยง การควบัค�มความเสำ%(ยง แลัะ การบัรรเทาความเสำ%(ยง
• ก�าหนดระด�บัพ04นฐานของการควบัค�มไอท%
http://www.theiia.org/guidance/technology/gtag/gtag1/
การก�าก#บด้-แลและเทคำน�คำ
การก�าก�บัด1แลัแลัะการประเม�นการควบัค�มไอท%• เลั0อกกรอบัการควบัค�ม• ใชิ&ว�ธี%การตรวจสำอบัท%(เหมาะสำม• ก�าก�บัด1แลัอย+างต+อเน0(อง
การทบัทวนตรวจสำอบักรณ%พ�เศ์ษ การตรวจสำอบัโดยอ�ตโนม�ต�อย+างต+อเน0(อง
http://www.theiia.org/guidance/technology/gtag/gtag1/
การประเม�น การประเม�นการควบัค�มไอท%
เป<นกระบัวนการท%(ต&องท�าอย+างต+อเน0(อง เพราะว+าการปฏิ�บั�ต�งานในหน+วยงานม%การเปลั%(ยนแปลังตลัอดเวลัา
เทคโนโลัย%เปลั%(ยนแปลังตลัอดเวลัา
ภ�ยค�กคามย�งคงเก�ดข54นเม0(อม%ชิ+องโหว+ใหม+ ๆ เก�ดข54นในงานไอท%
ว�ธี%การตรวจสำอบัก�ได&ร�บัการปร�บัปร�งอย1+เสำมอ
http://www.theiia.org/guidance/technology/gtag/gtag1/
ประเภทข้อง IT Audits
ความเหมาะสำมของระบับัแลัะการประย�กต� – ตรวจสำอบัว+าระบับัไอท%ท%(ใชิ&น�4นเหมาะสำมก�บัความต&องการใชิ&ในหน+วยงาน
ความต+อเน0(องในการปฏิ�บั�ต�งาน ตรวจสำอบัว+าหน+วยงาน–สำามารถูปฏิ�บั�ต�งานได&แม&เก�ดป6ญหาอ�ปสำรรคข�ดขวาง เชิ+น เก�ดอ�บั�ต�ภ�ย
การพ�ฒนาระบับั ตรวจสำอบัว+าการพ�ฒนาซอฟต�แวร�ตรงก�บั–ข&อก�าหนดภายในแลัะกฎเกณฑิ�ท%(เป<นท%(ยอมร�บัโดยท�(วไปในการพ�ฒนาระบับั
ประเภทข้อง IT Audits (ต�อ)
โครงสำร&างการจ�ดการ ITทบัทวนการปฏิ�บั�ต�งานแลัะกระบัวนการจ�ดการ IT
โครงสำร&างพ04นฐานเคร0อข+าย ทบัทวนว+าม%การควบัค�มตลัอดท�(วสำ�(งแวดลั&อมเคร0อข+าย รวมท�4งความม�(นคงของระบับั อ�ปกรณ� แลัะ การต+อเชิ0(อม
Digital Signatures
Entry Controls
ว�ธี�การตรวจสอบไอท�
อาจตรวจสำอบัเป<นเร0(องหน5(งแยกต+างหาก หร0ออาจตรวจสำอบัร+วมก�บัการตรวจสำอบัด&านการเง�น หร0อ
การตรวจสำอบั performance ของหน+วยงาน
การตรวจสอบไอท� ชั้�วยการตรวจสอบด้ านอ��น
ถู&าเราตรวจสำอบัไอท%พร&อมก�บัตรวจสำอบัการเง�น ผู้ลัการตรวจสำอบัจะสำน�บัสำน�นก�นแลัะก�นให&ม%ความน+าเชิ0(อถู0อข54น
การตรวจสำอบัด&านการเง�นท�าให&เห�นประเด�นท%(น+าห+วงเก%(ยวก�บัเร0(องไอท% สำ+วนการตรวจสำอบัไอท%ก�ชิ+วยประเม�นการควบัค�มท%(ม%ผู้ลัต+อด&านการเง�น
ถู&าตรวจสำอบัแยกก�นเป<นสำองท%ม ท�4งสำองท%มควรแลักเปลั%(ยนข&อม1ลัแลัะสำารสำนเทศ์ก�น
องคำ/ประกอบข้อง IT Audit
วางแผู้น ลังพ04นท%(แลัะสำ�ารวจเอกสำาร ค&นพบัประเด�นป6ญหาแลัะทบัทวนความถู1กต&อง พ�ฒนาแนวทางแก&ป6ญหา จ�ดท�ารายงานแลัะสำ+งให&ผู้1&บัร�หาร ต�ดตามประเด�นป6ญหา แลัะ ต�ดตามผู้ลัการด�าเน�นงานหลั�งการ
ตรวจสำอบั
การวางแผิน
ทบัทวนข&อก�าหนดความต&องการในการตรวจสำอบัซ5(งระบั�ว+าจะตรวจสำอบัประเภทใด แลัะ ระด�บัใด
ประเม�นการควบัค�มภายในท%(ต&องตรวจสำอบั ก�าหนดว+าจะต&องรายงานอะไรบั&าง แลัะจ�ดท�ารายการตรวจสำอบัแลัะ
เคร0(องม0อท%(จะใชิ&ในการตรวจสำอบั จ�ดท�าก�าหนดเวลัา แลัะ พ�จารณาว+าจะต&องสำ�มภาษณ�ใครบั&าง
งานลงพื้��นท��และตรวจสอบเอกสาร
บั�นท5กสำารสำนเทศ์ต+าง ๆ ท%(ให&ข&อม1ลัท%(เก%(ยวข&องก�บังานท%(ตรวจสำอบั แลัะ ท%(เป<นบั�นท5กประว�ต�การท�างานซ5(งชิ+วยให&เห�นก�จกรรมแลัะข&อค&นพบั
สำ�มภาษณ�ผู้1&เก%(ยวข&องแลัะทบัทวนสำ+วนประกอบัของระบับั ประเม�นก�จกรรมเท+าท%(จะเป<นเพ0(อให&สำามารถูลังลั5กถู5งเร0(องท%(น+า
ก�งวลัได& ทบัทวนงานของผู้1&ให&บัร�การหร0อผู้1&จ�าหน+ายผู้ลั�ตภ�ณฑิ�ภายนอกเท+าท%(
จ�าเป<น
Discovery, Validation, and Solution Development
ทบัทวนสำ�(งท%(พบัก�บัผู้1&ร �บัการตรวจเพ0(อพ�จารณาความสำมเหต�สำมผู้ลัของสำ�(งท%(สำ�งเกตพบัแลัะหาร0อเก%(ยวก�บัเร0(องน�4น ๆ
เสำนอแนวทางแก&ไขป6ญหาเร0(องท%(สำามารถูแก&ไขได&ท�นท% หร0อ เร0(องท%(อาจจะปร�บัร1ปแบับัได&ใหม+
ในกรณ%ท%(เป<นไปได& ควรท�างานร+วมก�บัพน�กงานไอท%เพ0(อต+อรองการเปลั%(ยนแปลังท%(จะท�าให&เก�ดการควบัค�มตามท%(ต&องการ
การท�ารายงาน
จ�ดเตร%ยมร+างแสำดงความเห�นเก%(ยวก�บัเร0(องท%(ค&นพบั ทบัทวนร+างท%(เข%ยนก�บัเพ0(อน ๆ จ�ดท�ารายงานร+างสำ�ดท&ายเพ0(อน�าเสำนอให&ลั1กค&าแลัะบั�คคลัภายนอก เน04อหาควรครอบัคลั�มถู5ง
ขอบัเขตของการตรวจสำอบั บัทสำร�ปสำ�าหร�บัผู้1&บัร�หาร รายการป6ญหาแลัะแนวทางปฏิ�บั�ต�
การต�ด้ตามการแก ไข้หล#งการตรวจสอบ
ในกรณ%ท%(เป<นไปได& ให&สำน�บัสำน�นพน�กงานไอท%ในการแก&ไขป6ญหา จ�ดท�าก�าหนดการทบัทวนผู้ลัการแก&ไขป6ญหา ก�าหนดนโยบัายสำ�าหร�บัการรายงานการแก&ไขแลัะการควบัค�มท%(ไม+
เหมาะสำม
ข้อบเข้ตกว าง ๆ ข้องการตรวจสอบไอท�
การควบัค�มข�4นต&น การด�าเน�นการของศ์1นย�ไอท% โครงสำร&างพ04นฐานเคร0อข+ายแลัะอ�ปกรณ� ระบับัไร&สำายแลัะบัร�การโมไบัลั� ระบับัปฏิ�บั�ต�การ ฐานข&อม1ลั แลัะระบับัสำารสำนเทศ์ เว�บัไซต�แลัะการสำ0(อสำารข&อม1ลัลังเว�บั การด�าเน�นงานโครงการ
การคำวบคำ&มข้#�นต น
ลั�กษณะแลัะท+าท%ของการใชิ&ไอท%ของหน+วยงาน ผู้1&บัร�หารสำนใจในเร0(องการควบัค�ม การวางแผู้นกลัย�ทธี� ท�ศ์ทาง
งบัประมาณ ฯลัฯ หน+วยงานม%นโยบัายท�(วไปเก%(ยวก�บัการใชิ&ไอท% การว�ดผู้ลัการประเม�นความเสำ%(ยง ธีรรมาภ�บัาลัด&านไอท%แลัะ การ
ปฏิ�บั�ต�ตามกฎระเบั%ยบัข&อบั�งค�บั แลัะ นโยบัายด&านการซ04อไลัเซนสำ�การใชิ&ซอฟต�แวร�
การด้�าเน�นงานข้องศู-นย/ไอท�
เง0(อนไขทางด&านกายภาพ แลัะสำ�(งแวดลั&อม ความม�(นคงทางกายภาพ ระบับัพลั�งงาน ภ�ยค�กคามจากมน�ษย�
แลัะธีรรมชิาต� บัร�การยามฉ�กเฉ�น การวางแผู้นสำมรรถูนะ แลัะความพร&อมให&บัร�การ การก1&ระบับั การสำ�ารองท�4งใน แลัะนอกสำถูานท%(ต� 4ง การวางแผู้นการก1&ระบับั แลัะการวางแผู้นปฏิ�บั�ต�งานอย+างต+อเน0(อง
โคำรงสร างพื้��นฐานเคำร�อข้�ายและอ&ปกรณ์/
อ�ปกรณ�ต+าง ๆ เชิ+น เราเตอร� สำว�ตชิ� ไฟร�วอลัลั� แลัะอ�ปกรณ�อ0(น ๆ พร&อมงานประย�กต�
การประเม�นโครงแบับัระบับั (Configuration) แลัะการก1&ระบับั ความม�(นคง แลัะการก�าก�บัด1แลั ความม�(นคงทางกายภาพ การว�เคราะห�ระบับัการตรวจจ�บั
ระบบไร สาย และบร�การโมไบล/
ประเม�นระบับัเคร0อข+ายสำน�บัสำน�นงานโมไบัลั� แลัะการก�าหนดนโยบัาย สำถูานภาพ แลัะว�ธี%การเข&ารห�สำลั�บัสำ�าหร�บังานโมไบัลั�
สำอบัทานว�ธี%การเข&าถู5ง แลัะความม�(นคง ประเม�นจ�ดให&บัร�การ แลัะความพอเพ%ยงของสำ�ญญาณ
ระบบปฏิ�บ#ต�การ
การเลั0อก แลัะบัร�หารระบับัปฏิ�บั�ต�การ การจ�ดการระบับัแพทชิ� (การซ+อมแซมโปรแกรม) นโยบัาย แลัะการบัร�หารความม�(นคง
นโยบัายกลั�+ม การบัร�หารรห�สำผู้+าน การบัร�หารการแบั+งก�นใชิ&ข&อม1ลั การปDดก�4นการให&บัร�การ ไม+ยอมให&งานบัร�การท%(ไม+จ�าเป<น ลั�กษณะการบั�นท5กการใชิ&งานแลัะการประเม�นการใชิ&งาน
ฐานข้ อม-ลและระบบสารสนเทศู
การประเม�นงานประย�กต� ประกอบัด&วย การตรวจสำอบัสำ�ทธี�Eในการใชิ& (license) การใชิ&งาน แลัะการปร�บัให&เป<นป6จจ�บั�น (update)
การว�เคราะห�เคร0(องบัร�การฐานข&อม1ลั (Database server) เชิ+น การตรวจสำอบัความม�(นคง สำมรรถูนะ แลัะการใชิ&งาน
การตรวจสำอบัเว�บัแลัะการประย�กต�อ�งอ�นเทอร�เน�ต เชิ+น การบั�นท5กการใชิ&งานแลัะความม�(นคง การตรวจสำอบัการฝ่Fกอบัรมผู้1&ใชิ&ทางด&านการใชิ&อ�นเทอร�เน�ต แลัะอ%เมลั
โคำรงการข้องหน�วยงาน
ตรวจสำอบักระบัวนการรวบัรวมข&อก�าหนดความต&องการของระบับัใหม+
ตรวจสำอบัเอกสำารของระบับัแลัะการจ�ดการความเปลั%(ยนแปลัง พ�จารณาก�าหนดเวลัาด�าเน�นการ งบัประมาณ แลัะรายงานใน
โครงการว+าสำอดคลั&องน+าเชิ0(อหร0อไม+ ประเม�นการทดสำอบัโครงการ แลัะการวางแผู้นความม�(นคง
ประเด้"นระด้#บส-งท��คำวรพื้�จารณ์า
ม%อย1+หลัายเร0(องด&วยก�น เชิ+น ม%การถูอดโปรแกรมท%(ไม+ต&องการใชิ& แลัะทดแทนด&วย
โปรแกรมใหม+อย+างพอเพ%ยง การท�ารายงานเก%(ยวก�บัซอฟต�แวร� แลัะ License การจ�ดการของคณะท�างานทบัทวนการขอเปลั%(ยนแปลังข&อ
ก�าหนด (Change Review Board = CRB) ประสำบัการณ� แลัะความเชิ%(ยวชิาญของพน�กงานSt ภาวะค�กคาม การลัะเม�ด แผู้นการก1&ระบับัจากภ�ยพ�บั�ต� แลัะ
ความสำามารถูในการด�าเน�นงาน
IT Audit vs IT Assessment
ป6จจ�บั�นร�ฐว�สำาหก�จไทยได&ร�บัการประเม�นการบัร�หารจ�ดการองค�การด&านการบัร�หารจ�ดการเทคโนโลัย% (ปG 2554 อาจแตกต+างไป)
การประเม�นลั�กษณะน%4ไม+ใชิ+การตรวจสำอบัไอท% แต+เป<นการประเม�นว+าร�ฐว�สำาหก�จได&ใชิ&ไอท%เพ0(อพ�ฒนางานต+าง ๆ ขององค�การให&ม%ประสำ�ทธี�ภาพ แลัะประสำ�ทธี�ผู้ลัหร0อไม+
การตรวจสำอบัไอท% ม�+งตรวจสำอบัว+างานไอท%ขององค�การม%ความเสำ%(ยงหร0อไม+ แลัะหน+วยงานได&ม%การจ�ดระบับัควบัค�มด&านไอท%อย+างพอเพ%ยงซ5(งจะท�าให&ความเสำ%(ยงไม+กลัายเป<นป6ญหาหร0อไม+
สร&ป
การตรวจสำอบัไอท%ม%ความจ�าเป<นต+อหน+วยงานท�กแห+ง (ท�4งภาคร�ฐ แลัะเอกชิน ) เพราะป6จจ�บั�นหน+วยงานจ�าเป<นต&องใชิ&ไอท%เป<นเคร0(องม0อสำ�าค�ญในการปฏิ�บั�ต�งาน แลัะบัร�หารจ�ดการ หากระบับัไอท%ม%ป6ญหา หน+วยงานอาจได&ร�บัผู้ลักระทบัอย+างร�นแรงจนถู5งก�บัไม+สำามารถูปฏิ�บั�ต�งานได& สำ+งผู้ลัให&เก�ดป6ญหาอ0(น ๆ ตามมาเป<นลั1กโซ+