บทท�� 2 พื้��นฐาน IT Audit

ดร . ครรชิ�ต มาลั�ยวงศ์� ราชิบั�ณฑิ�ต

เน��อหาคำ�าบรรยาย

การควบัค�มภายใน ประเด�นสำ�าค�ญในการตรวจสำอบั ประเภทของการตรวจสำอบัไอท% ใชิ&ไอท%ในการปฏิ�บั�ต�งาน

น�ยาม IT Auditing

ประเม�นการควบัค�มท%(ใชิ&ก�บัทร�พยากรไอท%ของหน+วยงาน ขอบัเขตประกอบัด&วย ฮาร�ดแวร� ซอฟต�แวร� เคร0อข+าย ข&อม1ลัแลัะ

สำารสำนเทศ์ จ�ดท�ารายงานเก%(ยวก�บัระบับัสำารสำนเทศ์ ระเบั%ยบัว�ธี%ปฏิ�บั�ต� แลัะ การ

ปฏิ�บั�ต�งานจร�งของหน+วยงาน To ensure the productivity, usefulness and

availability of the IT systems that serve organizations

คำวามแตกต�างระหว�างการตรวจสอบ IT และการตรวจสอบด้ านการเง�น

การตรวจสำอบัด&านการเง�นจะตรวจสำอบัการควบัค�มว+าพอเพ%ยงท%(จะไม+ต&องทดสำอบักระบัวนการท%(ถู1กควบัค�มน�4นหร0อไม+

การตรวจสำอบัด&าน IT เน&นในการพ�จารณาก�าหนดความเสำ%(ยงซ5(งเก%(ยวข&องก�บัทร�พย�สำ�นสำารสำนเทศ์แลัะการประเม�นการควบัค�มท%(เก%(ยวข&องว+าพอเพ%ยงท%(จะลัดความเสำ%(ยง หร0อ บัรรเทาป6ญหาความเสำ%(ยงเหลั+าน�4นได&หร0อไม+

ประเด้"นส�าคำ#ญสามเร��องในงาน IT Audit

การตรวจสำอบั IT ท�(วไป (General IT Audit) ครอบัคลั�มถู5งเร0(อง ฮาร�ดแวร� ระบับัปฏิ�บั�ต�การ โครงสำร&างพ04นฐานเคร0อข+าย แลัะ ความม�(นคง

ปลัอดภ�ย การตรวจสำอบังานประย�กต� (Application Audit) ครอบัคลั�ม

ถู5งเร0(อง การตรวจสำอบัการควบัค�มท%(เก%(ยวข&องก�บัซอฟต�แวร�สำ�าเร�จ ซอฟต�แวร�ท%(

พ�ฒนาข54นใชิ&เอง แลัะ ฐานข&อม1ลั การตรวจสำอบัการด�าเน�นงานโครงการ (Project Progress)

ประเด้"นส�าคำ#ญในการตรวจสอบ IT

ความลั�บั (Confidentiality) – ข&อม1ลัจะเข&าถู5งเพ0(อใชิ&งานได&เฉพาะผู้1&ท%(ได&ร�บัอน�ญาตเท+าน�4น

ความถู1กต&อง (Integrity) – ข&อม1ลัม%ความน+าเชิ0(อถู0อ แม+นย�า แลัะเป<นป6จจ�บั�น

ความพร&อมใชิ& (Availability) – การใชิ&ทร�พย�สำ�น IT เพ0(อปฏิ�บั�ต�การให&เป<นไปตามข&อตกลังระด�บัการให&บัร�การ (Service Level Agreement = SLA)

เราน�ยมเร%ยกประเด�นเหลั+าน%4ย+อ ๆ ว+า CIA

การคำวบคำ&มภายใน (Internal Controls)

การตรวจสำอบัปกต�เน&นการประเม�นการควบัค�มภายใน

การควบัค�มภายในทางด&านการเง�นชิ+วยป>องก�นการฉ&อฉลัแลัะความผู้�ดพลัาด

การตรวจสำอบัด&านการเง�นชิ+วยแสำดงให&บั�คคลัภายนอกทราบัว+าหน+วยงานม%การควบัค�มท%(เพ%ยงพอมากน&อยแค+ไหน รายงานน%4เป<นความเห�นท%(ผู้1&ตรวจสำอบัม%เก%(ยวก�บัการควบัค�มท%(สำ�งเกตพลั แลัะข&อเสำนอแนะว+าจะท�าให&การควบัค�มม%ความเข&มงวดข54นได&อย+างไร

การควบัค�มไอท%เป<นกระบัวนการท%(ชิ+วยสำร&างความม�(นใจในด&านสำารสำนเทศ์แลัะด&านบัร�การสำารสำนเทศ์ แลัะชิ+วยในการบัรรเทาป6ญหาท%(เก�ดก�บัการใชิ&ไอท%

องค�ประกอบัสำองด&านท%(ต&องค�าน5งถู5ง• การท�าให&การควบัค�มธี�รก�จเป<น

งานอ�ตโนม�ต�• การควบัค�มไอท%

ประเด้"นท��เก��ยวก#บการคำวบคำ&ม IT

http://www.theiia.org/guidance/technology/gtag/gtag1/

ท�าคำวามเข้ าใจการคำวบคำ&ม

แบั+งตามงานท%(ควบัค�ม• การควบัค�มท�(วไป• การควบัค�มงานประย�กต�

แบั+งตามว�ธี%การควบัค�ม• เชิ�งป>องก�น• เชิ�งตรวจจ�บั• เชิ�งแก&ไข

แบั+งตามการจ�ดการ• การควบัค�มในงานธีรรมาภ�

บัาลั• การควบัค�มในงานจ�ดการ• การควบัค�มในงานเทคน�ค

http://www.theiia.org/guidance/technology/gtag/gtag1/

ล�าด้#บชั้#�นข้องการตรวจสอบ

http://www.theiia.org/guidance/technology/gtag/gtag1/

คำวามส�าคำ#ญข้องการคำวบคำ&มไอท�

ความจ�าเป<นในการควบัค�ม ได&แก+ • การควบัค�มค+าใชิ&จ+าย• การปกป>องทร�พย�สำ�นสำารสำนเทศ์• การปฏิ�บั�ต�ตามกฎหมาย

การจ�ดให&ม%การควบัค�มไอท%ท%(ม%• ประสำ�ทธี�ผู้ลัชิ+วยปร�บัปร�ง

ประสำ�ทธี�ภาพ ความน+าเชิ0(อถู0อความย0ดหย�+น แลัะ การม%หลั�กฐานเพ0(อประก�นความม�(นใจ

http://www.theiia.org/guidance/technology/gtag/gtag1/

บทบาทและคำวามร#บผิ�ด้ชั้อบ

ฝ่Aายบัร�หาร ตระหน�กถู5งความจ�าเป<นท%(ต&องม%การควบัค�ม ก�าหนด อน�ม�ต� แลัะ จ�ดให&ม%การควบัค�มอย+างจร�งจ�ง

ผู้1&ตรวจสำอบั• ผู้1&ตรวจสำอบัภายในสำร&างความ

ม�(นใจในการควบัค�ม• ผู้1&ตรวจสำอบัภายนอก เชิ+น

คตป สำอบัทานเป<นระยะ ๆ

http://www.theiia.org/guidance/technology/gtag/gtag1/

ตรวจสอบโด้ยอ�งคำวามเส��ยง ว�เคราะห�ความเสำ%(ยง

• ก�าหนดจ�าแนกความเสำ%(ยง• ใชิ&ความเสำ%(ยงเป<นต�วก�าหนดความ

พอเพ%ยงของการควบัค�มไอท% • ก�าหนดกลัย�ทธี�ในการบัรรเทาความ

เสำ%(ยง เชิ+น การยอมร�บั การลัดความเสำ%(ยง การควบัค�มความเสำ%(ยง แลัะ การบัรรเทาความเสำ%(ยง

• ก�าหนดระด�บัพ04นฐานของการควบัค�มไอท%

http://www.theiia.org/guidance/technology/gtag/gtag1/

การก�าก#บด้-แลและเทคำน�คำ

การก�าก�บัด1แลัแลัะการประเม�นการควบัค�มไอท%• เลั0อกกรอบัการควบัค�ม• ใชิ&ว�ธี%การตรวจสำอบัท%(เหมาะสำม• ก�าก�บัด1แลัอย+างต+อเน0(อง

การทบัทวนตรวจสำอบักรณ%พ�เศ์ษ การตรวจสำอบัโดยอ�ตโนม�ต�อย+างต+อเน0(อง

http://www.theiia.org/guidance/technology/gtag/gtag1/

การประเม�น การประเม�นการควบัค�มไอท%

เป<นกระบัวนการท%(ต&องท�าอย+างต+อเน0(อง เพราะว+าการปฏิ�บั�ต�งานในหน+วยงานม%การเปลั%(ยนแปลังตลัอดเวลัา

เทคโนโลัย%เปลั%(ยนแปลังตลัอดเวลัา

ภ�ยค�กคามย�งคงเก�ดข54นเม0(อม%ชิ+องโหว+ใหม+ ๆ เก�ดข54นในงานไอท%

ว�ธี%การตรวจสำอบัก�ได&ร�บัการปร�บัปร�งอย1+เสำมอ

http://www.theiia.org/guidance/technology/gtag/gtag1/

ประเภทข้อง IT Audits

ความเหมาะสำมของระบับัแลัะการประย�กต� – ตรวจสำอบัว+าระบับัไอท%ท%(ใชิ&น�4นเหมาะสำมก�บัความต&องการใชิ&ในหน+วยงาน

ความต+อเน0(องในการปฏิ�บั�ต�งาน ตรวจสำอบัว+าหน+วยงาน–สำามารถูปฏิ�บั�ต�งานได&แม&เก�ดป6ญหาอ�ปสำรรคข�ดขวาง เชิ+น เก�ดอ�บั�ต�ภ�ย

การพ�ฒนาระบับั ตรวจสำอบัว+าการพ�ฒนาซอฟต�แวร�ตรงก�บั–ข&อก�าหนดภายในแลัะกฎเกณฑิ�ท%(เป<นท%(ยอมร�บัโดยท�(วไปในการพ�ฒนาระบับั

ประเภทข้อง IT Audits (ต�อ)

โครงสำร&างการจ�ดการ ITทบัทวนการปฏิ�บั�ต�งานแลัะกระบัวนการจ�ดการ IT

โครงสำร&างพ04นฐานเคร0อข+าย ทบัทวนว+าม%การควบัค�มตลัอดท�(วสำ�(งแวดลั&อมเคร0อข+าย รวมท�4งความม�(นคงของระบับั อ�ปกรณ� แลัะ การต+อเชิ0(อม

Digital Signatures

Entry Controls

ว�ธี�การตรวจสอบไอท�

อาจตรวจสำอบัเป<นเร0(องหน5(งแยกต+างหาก หร0ออาจตรวจสำอบัร+วมก�บัการตรวจสำอบัด&านการเง�น หร0อ

การตรวจสำอบั performance ของหน+วยงาน

การตรวจสอบไอท� ชั้�วยการตรวจสอบด้ านอ��น

ถู&าเราตรวจสำอบัไอท%พร&อมก�บัตรวจสำอบัการเง�น ผู้ลัการตรวจสำอบัจะสำน�บัสำน�นก�นแลัะก�นให&ม%ความน+าเชิ0(อถู0อข54น

การตรวจสำอบัด&านการเง�นท�าให&เห�นประเด�นท%(น+าห+วงเก%(ยวก�บัเร0(องไอท% สำ+วนการตรวจสำอบัไอท%ก�ชิ+วยประเม�นการควบัค�มท%(ม%ผู้ลัต+อด&านการเง�น

ถู&าตรวจสำอบัแยกก�นเป<นสำองท%ม ท�4งสำองท%มควรแลักเปลั%(ยนข&อม1ลัแลัะสำารสำนเทศ์ก�น

องคำ/ประกอบข้อง IT Audit

วางแผู้น ลังพ04นท%(แลัะสำ�ารวจเอกสำาร ค&นพบัประเด�นป6ญหาแลัะทบัทวนความถู1กต&อง พ�ฒนาแนวทางแก&ป6ญหา จ�ดท�ารายงานแลัะสำ+งให&ผู้1&บัร�หาร ต�ดตามประเด�นป6ญหา แลัะ ต�ดตามผู้ลัการด�าเน�นงานหลั�งการ

ตรวจสำอบั

การวางแผิน

ทบัทวนข&อก�าหนดความต&องการในการตรวจสำอบัซ5(งระบั�ว+าจะตรวจสำอบัประเภทใด แลัะ ระด�บัใด

ประเม�นการควบัค�มภายในท%(ต&องตรวจสำอบั ก�าหนดว+าจะต&องรายงานอะไรบั&าง แลัะจ�ดท�ารายการตรวจสำอบัแลัะ

เคร0(องม0อท%(จะใชิ&ในการตรวจสำอบั จ�ดท�าก�าหนดเวลัา แลัะ พ�จารณาว+าจะต&องสำ�มภาษณ�ใครบั&าง

งานลงพื้��นท��และตรวจสอบเอกสาร

บั�นท5กสำารสำนเทศ์ต+าง ๆ ท%(ให&ข&อม1ลัท%(เก%(ยวข&องก�บังานท%(ตรวจสำอบั แลัะ ท%(เป<นบั�นท5กประว�ต�การท�างานซ5(งชิ+วยให&เห�นก�จกรรมแลัะข&อค&นพบั

สำ�มภาษณ�ผู้1&เก%(ยวข&องแลัะทบัทวนสำ+วนประกอบัของระบับั ประเม�นก�จกรรมเท+าท%(จะเป<นเพ0(อให&สำามารถูลังลั5กถู5งเร0(องท%(น+า

ก�งวลัได& ทบัทวนงานของผู้1&ให&บัร�การหร0อผู้1&จ�าหน+ายผู้ลั�ตภ�ณฑิ�ภายนอกเท+าท%(

จ�าเป<น

Discovery, Validation, and Solution Development

ทบัทวนสำ�(งท%(พบัก�บัผู้1&ร �บัการตรวจเพ0(อพ�จารณาความสำมเหต�สำมผู้ลัของสำ�(งท%(สำ�งเกตพบัแลัะหาร0อเก%(ยวก�บัเร0(องน�4น ๆ

เสำนอแนวทางแก&ไขป6ญหาเร0(องท%(สำามารถูแก&ไขได&ท�นท% หร0อ เร0(องท%(อาจจะปร�บัร1ปแบับัได&ใหม+

ในกรณ%ท%(เป<นไปได& ควรท�างานร+วมก�บัพน�กงานไอท%เพ0(อต+อรองการเปลั%(ยนแปลังท%(จะท�าให&เก�ดการควบัค�มตามท%(ต&องการ

การท�ารายงาน

จ�ดเตร%ยมร+างแสำดงความเห�นเก%(ยวก�บัเร0(องท%(ค&นพบั ทบัทวนร+างท%(เข%ยนก�บัเพ0(อน ๆ จ�ดท�ารายงานร+างสำ�ดท&ายเพ0(อน�าเสำนอให&ลั1กค&าแลัะบั�คคลัภายนอก เน04อหาควรครอบัคลั�มถู5ง

ขอบัเขตของการตรวจสำอบั บัทสำร�ปสำ�าหร�บัผู้1&บัร�หาร รายการป6ญหาแลัะแนวทางปฏิ�บั�ต�

การต�ด้ตามการแก ไข้หล#งการตรวจสอบ

ในกรณ%ท%(เป<นไปได& ให&สำน�บัสำน�นพน�กงานไอท%ในการแก&ไขป6ญหา จ�ดท�าก�าหนดการทบัทวนผู้ลัการแก&ไขป6ญหา ก�าหนดนโยบัายสำ�าหร�บัการรายงานการแก&ไขแลัะการควบัค�มท%(ไม+

เหมาะสำม

ข้อบเข้ตกว าง ๆ ข้องการตรวจสอบไอท�

การควบัค�มข�4นต&น การด�าเน�นการของศ์1นย�ไอท% โครงสำร&างพ04นฐานเคร0อข+ายแลัะอ�ปกรณ� ระบับัไร&สำายแลัะบัร�การโมไบัลั� ระบับัปฏิ�บั�ต�การ ฐานข&อม1ลั แลัะระบับัสำารสำนเทศ์ เว�บัไซต�แลัะการสำ0(อสำารข&อม1ลัลังเว�บั การด�าเน�นงานโครงการ

การคำวบคำ&มข้#�นต น

ลั�กษณะแลัะท+าท%ของการใชิ&ไอท%ของหน+วยงาน ผู้1&บัร�หารสำนใจในเร0(องการควบัค�ม การวางแผู้นกลัย�ทธี� ท�ศ์ทาง

งบัประมาณ ฯลัฯ หน+วยงานม%นโยบัายท�(วไปเก%(ยวก�บัการใชิ&ไอท% การว�ดผู้ลัการประเม�นความเสำ%(ยง ธีรรมาภ�บัาลัด&านไอท%แลัะ การ

ปฏิ�บั�ต�ตามกฎระเบั%ยบัข&อบั�งค�บั แลัะ นโยบัายด&านการซ04อไลัเซนสำ�การใชิ&ซอฟต�แวร�

การด้�าเน�นงานข้องศู-นย/ไอท�

เง0(อนไขทางด&านกายภาพ แลัะสำ�(งแวดลั&อม ความม�(นคงทางกายภาพ ระบับัพลั�งงาน ภ�ยค�กคามจากมน�ษย�

แลัะธีรรมชิาต� บัร�การยามฉ�กเฉ�น การวางแผู้นสำมรรถูนะ แลัะความพร&อมให&บัร�การ การก1&ระบับั การสำ�ารองท�4งใน แลัะนอกสำถูานท%(ต� 4ง การวางแผู้นการก1&ระบับั แลัะการวางแผู้นปฏิ�บั�ต�งานอย+างต+อเน0(อง

โคำรงสร างพื้��นฐานเคำร�อข้�ายและอ&ปกรณ์/

อ�ปกรณ�ต+าง ๆ เชิ+น เราเตอร� สำว�ตชิ� ไฟร�วอลัลั� แลัะอ�ปกรณ�อ0(น ๆ พร&อมงานประย�กต�

การประเม�นโครงแบับัระบับั (Configuration) แลัะการก1&ระบับั ความม�(นคง แลัะการก�าก�บัด1แลั ความม�(นคงทางกายภาพ การว�เคราะห�ระบับัการตรวจจ�บั

ระบบไร สาย และบร�การโมไบล/

ประเม�นระบับัเคร0อข+ายสำน�บัสำน�นงานโมไบัลั� แลัะการก�าหนดนโยบัาย สำถูานภาพ แลัะว�ธี%การเข&ารห�สำลั�บัสำ�าหร�บังานโมไบัลั�

สำอบัทานว�ธี%การเข&าถู5ง แลัะความม�(นคง ประเม�นจ�ดให&บัร�การ แลัะความพอเพ%ยงของสำ�ญญาณ

ระบบปฏิ�บ#ต�การ

การเลั0อก แลัะบัร�หารระบับัปฏิ�บั�ต�การ การจ�ดการระบับัแพทชิ� (การซ+อมแซมโปรแกรม) นโยบัาย แลัะการบัร�หารความม�(นคง

นโยบัายกลั�+ม การบัร�หารรห�สำผู้+าน การบัร�หารการแบั+งก�นใชิ&ข&อม1ลั การปDดก�4นการให&บัร�การ ไม+ยอมให&งานบัร�การท%(ไม+จ�าเป<น ลั�กษณะการบั�นท5กการใชิ&งานแลัะการประเม�นการใชิ&งาน

ฐานข้ อม-ลและระบบสารสนเทศู

การประเม�นงานประย�กต� ประกอบัด&วย การตรวจสำอบัสำ�ทธี�Eในการใชิ& (license) การใชิ&งาน แลัะการปร�บัให&เป<นป6จจ�บั�น (update)

การว�เคราะห�เคร0(องบัร�การฐานข&อม1ลั (Database server) เชิ+น การตรวจสำอบัความม�(นคง สำมรรถูนะ แลัะการใชิ&งาน

การตรวจสำอบัเว�บัแลัะการประย�กต�อ�งอ�นเทอร�เน�ต เชิ+น การบั�นท5กการใชิ&งานแลัะความม�(นคง การตรวจสำอบัการฝ่Fกอบัรมผู้1&ใชิ&ทางด&านการใชิ&อ�นเทอร�เน�ต แลัะอ%เมลั

โคำรงการข้องหน�วยงาน

ตรวจสำอบักระบัวนการรวบัรวมข&อก�าหนดความต&องการของระบับัใหม+

ตรวจสำอบัเอกสำารของระบับัแลัะการจ�ดการความเปลั%(ยนแปลัง พ�จารณาก�าหนดเวลัาด�าเน�นการ งบัประมาณ แลัะรายงานใน

โครงการว+าสำอดคลั&องน+าเชิ0(อหร0อไม+ ประเม�นการทดสำอบัโครงการ แลัะการวางแผู้นความม�(นคง

ประเด้"นระด้#บส-งท��คำวรพื้�จารณ์า

ม%อย1+หลัายเร0(องด&วยก�น เชิ+น ม%การถูอดโปรแกรมท%(ไม+ต&องการใชิ& แลัะทดแทนด&วย

โปรแกรมใหม+อย+างพอเพ%ยง การท�ารายงานเก%(ยวก�บัซอฟต�แวร� แลัะ License การจ�ดการของคณะท�างานทบัทวนการขอเปลั%(ยนแปลังข&อ

ก�าหนด (Change Review Board = CRB) ประสำบัการณ� แลัะความเชิ%(ยวชิาญของพน�กงานSt ภาวะค�กคาม การลัะเม�ด แผู้นการก1&ระบับัจากภ�ยพ�บั�ต� แลัะ

ความสำามารถูในการด�าเน�นงาน

IT Audit vs IT Assessment

ป6จจ�บั�นร�ฐว�สำาหก�จไทยได&ร�บัการประเม�นการบัร�หารจ�ดการองค�การด&านการบัร�หารจ�ดการเทคโนโลัย% (ปG 2554 อาจแตกต+างไป)

การประเม�นลั�กษณะน%4ไม+ใชิ+การตรวจสำอบัไอท% แต+เป<นการประเม�นว+าร�ฐว�สำาหก�จได&ใชิ&ไอท%เพ0(อพ�ฒนางานต+าง ๆ ขององค�การให&ม%ประสำ�ทธี�ภาพ แลัะประสำ�ทธี�ผู้ลัหร0อไม+

การตรวจสำอบัไอท% ม�+งตรวจสำอบัว+างานไอท%ขององค�การม%ความเสำ%(ยงหร0อไม+ แลัะหน+วยงานได&ม%การจ�ดระบับัควบัค�มด&านไอท%อย+างพอเพ%ยงซ5(งจะท�าให&ความเสำ%(ยงไม+กลัายเป<นป6ญหาหร0อไม+

สร&ป

การตรวจสำอบัไอท%ม%ความจ�าเป<นต+อหน+วยงานท�กแห+ง (ท�4งภาคร�ฐ แลัะเอกชิน ) เพราะป6จจ�บั�นหน+วยงานจ�าเป<นต&องใชิ&ไอท%เป<นเคร0(องม0อสำ�าค�ญในการปฏิ�บั�ต�งาน แลัะบัร�หารจ�ดการ หากระบับัไอท%ม%ป6ญหา หน+วยงานอาจได&ร�บัผู้ลักระทบัอย+างร�นแรงจนถู5งก�บัไม+สำามารถูปฏิ�บั�ต�งานได& สำ+งผู้ลัให&เก�ดป6ญหาอ0(น ๆ ตามมาเป<นลั1กโซ+