IT general and Application control concept...IT General Control (ITGC) concept – Access to program and data 11 ระบบเคร อข ายภายนอก ระบบเคร

Thanakrit Likitwong

IT general and Application control concept

1

• IT General Control (ITGC) concept• Application Control (APC) concept• How to audit ERP• Q & A

หวขอการบรรยาย

2

Overview of ITGC and APC

3

Program development

Program changeComputer operation

Access to program anddata

IT General Control (ITGC) concept

Weak IT General Controls Strong IT General Controls

IT General Controls IT General Controls

หากการควบคมท�วไปในระบบสารสนเทศไมนาเช�อถอจะสงผลใหการควบคมเฉพาะระบบงานไมนาเช�อถอไปดวย 4

IT General Control (ITGC) concept

5

การควบคมท�วไปของเทคโนโลยสารสนเทศ

การพฒนาระบบสารสนเทศ (Program development)

การเปล�ยนแปลงแกไขระบบสารสนเทศ

(Program changes)

การเขาถงโปรแกรมและขอมล (ความปลอดภยระบบ

สารสนเทศ)(Access to programs and data)

การปฏบตการคอมพวเตอร (Computer operations)

ขอพฒนา/ศกษาความเปนไปได

เกบความตองการ/

ออกแบบระบบ

การเขยนโปรแกรม/

พฒนาระบบ

ทดสอบและแปลงขอมล

ตดต�งโปรแกรมเพ�อ

ใชงาน

ฝกอบรมผใชงานและจดทาคมอ

การบรหารจดการความ

ปลอดภย

บรหารจดการบญชผใชงาน

บรหารบญชผใชงานท�มสทธ�สงสด

ความปลอดภยทางตรรกะ

ความปลอดภยทางกายภาพ

ประมวลผลขอมล

เช�อมโยงขอมล (Data

Interface)

ตรวจสอบประสทธภาพ

ของระบบ

สารองขอมลและบรหารจดการเทป

สภาพแวดลอมในศนยคอมฯ

แผนการกคนระบบ

สารสนเทศ

ขอเปล�ยนแปลงแกไขระบบ

การทดสอบ ตดต�งโปรแกรมเพ�อ

ใชงาน

ฝกอบรมผใชงานและ

ปรบปรงคมอ

การเขยนโปรแกรม/แกไขระบบ

IT General Control (ITGC) concept - Program Development

6

ขอพฒนาระบบขอพฒนาระบบ





เขยนโปรแกรม/พฒนาระบบ


ทดสอบระบบทดสอบระบบ

แปลงขอมลแปลงขอมล

ตดต�งโปรแกรมเพ�อใชงาน


การแบงแยกหนาท�

การบรหารจดการโครงการ

IT General Control (ITGC) concept - Program changes

7

ขอเปล�ยนแปลงแกไขโปรแกรม

ทดสอบระบบ

ตดต�งโปรแกรมเพ�อใชงานตดต�งโปรแกรมเพ�อใชงาน


การตดตามภาพรวมการแกไขโปรแกรม

เขยนโปรแกรม/แกไขระบบ


IT General Control (ITGC) concept -Program Development & Program Changes

8

ถาสมมตวาการสรางบานข�นมาหน�งหลงคอการพฒนาระบบสารสนเทศหน�งระบบ ใหลองคดวาการเปล�ยนแปลงแกไขระบบสามารถเปนอะไรไดบาง

• การตกแตงหองรบแขกเพ�มเตม• การซอมแซมหลงคา• การเดนสายไฟภายในบานใหม• การซอมแซมทอประปา• การเปล�ยนพ�นบานใหม

IT General Control (ITGC) concept -Program Development & Program Changes

ขอเปล�ยนแปลงแกไขโปรแกรม

ทดสอบระบบ

ตดต�งโปรแกรมเพ�อใชงานตดต�งโปรแกรมเพ�อใชงาน


การตดตามภาพรวมการแกไขโปรแกรม



ขอพฒนาระบบขอพฒนาระบบ







ทดสอบระบบทดสอบระบบ

แปลงขอมลแปลงขอมล




การบรหารจดการโครงการ

IT General Control (ITGC) concept – Computer Operations

10

การบรหารจดการการปฏบตงานในภาพรวมการบรหารจดการการปฏบตงานในภาพรวม

ประมวลผลขอมล

เช�อมโยงขอมล (Data Interface) สารองขอมลและ

บรหารจดการเทป

แผนการกคนระบบสารสนเทศ

สภาพแวดลอมในศนยคอมฯ

ตรวจสอบประสทธภาพของระบบ

IT General Control (ITGC) concept –Access to program and data

11

ระบบเครอขายภายนอก

ระบบเครอขายภายใน

ระบบปฏบตการ

ขอมล ระบบงาน

การบรหารจดการดานการรกษาความปลอดภย

การบรหารจดการบญชผใชงาน

การบรหารจดการบญชผใชงานท�มสทธ�สงสด

การรกษาความปลอดภยทางตรรกะ

การรกษาความปลอดภยทางกายภาพ

IT Audit Standard and Referent (Sample)

Referent Link

https://www.isaca.org/COBIT/Documents/A-COBIT-5-Overview.pdf

http://www.iiacolombia.com/resource/guias/GTAG1.pdf

https://global.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/GTAG-Auditing-Smart-Devices-An-Internal-Auditors-Guide-to-Understanding-and-Auditing-Smart-Devices.aspx

https://www.iso.org/

Such as ISO ISO 27000, 27001, 20000, 31000

https://www.isc2.org/

Cyber and IT Security

https://www.iso.org/

Such as ISO ISO 20000 12

COBIT 5

13

การทาความเขาใจระบบเทคโนโลยสารสนเทศในภาพรวมชวยใหผตรวจสอบมความเขาใจในระบบท�จะตรวจสอบและสามารถกาหนดขอบเขตและแผนการตรวจสอบท�ถกตอง

โดยส� งท�ควรทาความเขาใจกอนปฏบตงานตรวจสอบเทคโนโลยสารสนเทศประกอบดวย:• ระบบงานท�สนบสนนกระบวนการทางธรกจ• ระบบปฏบตการและระบบฐานขอมลท�สนบสนนการทางานของระบบงาน• ระบบเครอขาย• การบรหารจดการดานความปลอดภยของเทคโนโลยสารสนเทศ• ปญหาสาคญท�เกดข�นในชวงเวลาท�ผานมา

COBIT 5

14

Data centre Server ormainframe

Application

Server orMainframe

DataApplicationData

Domaincontroller

Operatingsystem

Platform

Batchscheduler

Data store

DatabaseDatabaseDatabase

ApplicationApplicationApplication Interface

Interface

Interface

Local areanetworkLocal areanetworkWide areanetwork

ApplicationApplicationUser PCs

Internet

Fir

ewa

ll

Local area network

Network perimeterOutsourcedIT element

Data centre

Server ormainframe

Application

Server orMainframe

DataApplicationDataDataApplicationData

DomaincontrollerOperating

system

Platform

Batchscheduler

Backups

DatabaseDatabaseDatabaseDatabaseDatabaseDatabase

ApplicationApplicationApplicationApplicationApplicationApplication Interface

Interface

Interface

Interface

Interface

Interface

ApplicationApplicationPCApplicationApplicationPCApplicationApplicationPC

Firewall

Local area network

Network perimeter

Local area network

Network perimeter

สงมอบ ใหบรการ สนบสนน(DSS 01-06)

เฝาตดตาม วดผลประเมนผล

(MEA 01-03)

จดสราง จดหา นาไปใช(BAI 01-10)

ประเมน ส �งการ เฝาตดตาม(EDM01-05)

การควบคมท�วไปของเทคโนโลยสารสนเทศ

การพฒนาระบบสารสนเทศการเปล�ยนแปลงแกไขระบบ

สารสนเทศ การเขาถงโปรแกรม

และขอมลการปฏบตการคอมพวเตอร

COBIT 5

จดวางแนวทาง จดทาแผนจดระบบ (APO 01-13)

ทรพยากรดานเทคโนโลยสารสนเทศ• ระบบงาน• ขอมล• เทคโนโลยและอปกรณตางๆ• บคลากร

15

COBIT 5

COBIT 5

16

IT General Control (ITGC) concept – IT risk

17

• Access to programs and data• Unauthorised access to systems by business users• Unauthorised access to systems and data by IT users• Unauthorised changes to data

Program Change• Failure to make necessary changes to systems or programs• Changes that introduce errors into applications• Unauthorised direct changes to application code• Unauthorised direct changes to application configuration settings• Updates to the IT environment prevent applications from running correctly

Program development• Newly implemented applications inaccurately process data, due to coding or configuration

issues• Errors in migrating transaction records and/or master files

Computer Operations• Systems failure causing loss of transaction records or inability to access them as required• Inappropriate manual intervention or failures in scheduled job processing


18

ประเดนขอตรวจพบ ส�งท�ผตรวจสอบตองดาเนนการตอ

ไมมการจดทา IT security configuration baselineไมมการสอบทาน IT configurations โดยฝายสารสนเทศ

ดาเนนการสอบทานคาคงท�ดานการรกษาความปลอดภยในระบบท�มความเส�ยงในหวขอท�กาลงตรวจ (i.e. OS, DB, Network)

การกาหนดคาคงท�ดานการรกษาความปลอดภยในระบบไมเหมาะสม

ประเมนผลกระทบและพจารณาการควบคมอ�นทดแทนท�จะมาชวยลดความเส�ยง

ไมมการสอบทานบญชผใชงานในระบบ ดาเนนการสอบทานบญชผใชงานในระบบ;- ตรวจความมตวตนของบญชผใชงาน- ตรวจสอบความเหมาะสมของสทธ� ท�กาหนด

พบบญชผใชงานท�ลาออกแลวแตยงคางอยในระบบ ตรวจสอบ Last sign on history

ไมมกระบวนการควบคมการใชงานบญชผใชงานท�มสทธ�สงสดในระบบ

ตรวจสอบ Last sign on historyตรวจสอบ Last password change dateตรวจสอบ log การใชงาน (ถาม)


19

ประเดนขอตรวจพบ ส�งท�ผตรวจสอบตองดาเนนการตอ

กระบวนการเปล�ยนแปลงแกไขระบบไมเหมาะสม ตรวจสอบวามโปรแกรมอะไรท�ถกเปล�ยนแปลงบางในรอบปท�ผานมาและประเมนผลกระทบท�อาจเกดข�นกบโปรแกรม

กระบวนการสารองขอมลและกระบบงานไมเหมาะสม ตรวจสอบวาในรอบปท�ผานมามเหตการณท�ทาใหระบบหยดชะงกและมความจาเปนตองกระบบโดยใชขอมลจากเทปสารองขอมลหรอไม

ไมมกระบวนการควบคมท�เขยนเปนลายลกษณอกษร ศกษาและทาความเขาใจในข�นตอนปฏบตงานในปจจบน และสอบทานเอกสารอ�นๆประกอบ(เชน อเมลล, รายงานการประชม)

Application Control (APC) concept

20

Application Control (APC) concept

21

หมายถง การควบคมแบบ Manual หรอการควบคมแบบ Automatic โดยโปรแกรม ซ� งเปนการควบคมในระดบกระบวนการหรอรายการทางธรกจ

มวตถประสงคเพ�อสรางความม�นใจอยางสมเหตสมผลวารายการทางธรกจทกรายการ ไดรบการอนมต บนทกเขา และประมวลผลอยางสมบรณเพยงคร� งเดยวอยางถกตอง ภายในระยะเวลาท�เหมาะสม

Application Control (APC) concept -Relation between ITGC and APC

22

การควบคมท�วไป เปนการควบคมท�กาหนดโครงสรางโดยรวมของการควบคมท�มตอกจกรรมประมวลผลท�งหมด เปนการควบคมพ�นฐานท�ตองมเพ�อทาใหการควบคมทกระบบงานมประสทธผล มผลโดยตรงตอความถกตองของขอมลในทกระบบงานกลาวคอ ถาการควบคมท�วไปไมด ยอมทาใหการควบคมในแตละระบบงานไมดตามไปดวย

Application A Application B

Input ControlProcess ControlOutput Control

Audit Trail

Input ControlProcess ControlOutput Control

Audit Trail

General IT Control

BusinessTransactions

AS/400 PurchaseModule

OtherApp

Application Control (APC) concept - Risk

23

การประเมนความเส�ยง: (ผลกระทบทางธรกจ & โอกาสเกด)

ผลกระทบทางธรกจ

• ผลกระทบทางการเงน• ผลกระทบตอช�อเสยง และ

ภาพพจน• การหยดชะงกของกจกรรมทาง

ธรกจ• สญเสยทรพยากรองคกรท�สาคญ• ผลกระทบตอการตดสนใจทางการ

บรหาร• ผลกระทบตอวตถประสงค

โอกาสเกด

• ลกษณะของธรกจ• โครงสรางองคกร และวฒนะธรรม

องคกร• ลกษณะของระบบสารสนเทศ (เชน

open & close, new & outdatetechnology)

• การควบคมภายในท�มอย

Application Control (APC) concept - Control

24

“A process effected by an entity’s board of directors,management, and other personnel designed to providereasonable assurance regarding the achievement of objectivesin the following categories:

(a) reliability of financial reporting

(b) effectiveness and efficient use of its resources

(c) compliance with applicable laws and regulations”

Application Control (APC) concept - Control

25

What words are often associated with controls?

“VALIDATE”

“AGREE”

Application Control (APC) concept –Control Hierarchy

26

Internal Controls

IT dependentControls

IT General Controls

Manual

Controls

ManualIT dependentControls

AutomatedControls

ManualControls

Manual non-

Controls

Manual non-IT dependentControls

Entity Level Controls

Relianceon ITGC

ApplicationControls

Application Control (APC) concept –Control Hierarchy

27

Internal Controls


IT General Controls


ManualIT dependentControls

AutomatedAutomatedControls

ManualControls


Manual non-IT dependentControls

Entity Level Controls

Relianceon GCC

Manually performed controls (notautomatically performed bycomputer) that typically operate at abusiness process level and that helpto achieve information processingobjectives.

Controls designed into acomputer application that helpto achieve informationprocessing objectives.

Application Controls Relianton Automated ApplicationControls or AccountingProcedures => Combinationof the above.

Application Control (APC) concept – Type of control

28

การควบคมเชงปองกน (Preventive Control) การควบคมเชงตรวจสอบ (Detective Control) การควบคมเชงแกไข (Corrective Control)

Key controls

การกากบดแลของผบรหารในสายงานManagement MonitoringControls การควบคมเฉพาะระบบงาน

Application Control

การควบคมนอกระบบงานManual Controls

การควบคมแบบอตโนมต Automate Controls

Application Control (APC) concept – Type of control

29

การควบคมเชงปองกน (Preventive Control)

เปนวธการควบคมท�กาหนดข�นเพ�อปองกนไมใหเกดความเส�ยงและขอผดพลาดต�งแตแรก เชน การอนมต การจดโครงสรางองคกร การแบงแยกหนาท� การควบคมการเขาถงระบบงานหรอขอมล การปองกนและรกษาทรพยสนใหปลอดภย

เปนวธการควบคมท�กาหนดข�นเพ�อคนพบขอผดพลาดท�เกดข�นแลว เชน การสอบทานผลลพธ การวเคราะห การยนยนยอด การตรวจนบ เปนตน

การควบคมเชงตรวจสอบ (Detective Control)

เปนวธการควบคมท�กาหนดข�นเพ�อแกไขขอผดพลาดท�เกดข�นใหถกตอง หรอเพ�อหาวธแกไขไมใหเกดขอผดพลาดซ� าอกในอนาคต

การควบคมเชงแกไข (Corrective Control)

Application Control (APC) concept –Control objective

30

• ความครบถวน (Completeness)• ความถกตอง (Accuracy)• การอนมต (Validity)• การจากดการเขาถงขอมล (Restricted Access)

31

ความครบถวน (Completeness)

รายการทกรายการไดรบการบนทกเขาระบบ และประมวลผลอยางสมบรณเพยงคร� งเดยว

ระบบปฏเสธการบนทกและการประมวลผลรายการซ� า รายการทกรายการท�ระบบปฏเสธการบนทกและการประมวลผลไดรบการ

ตรวจสอบและแกไขทนเวลา


32

Application Control (APC) concept –Control objectiveเทคนคการควบคมความครบถวน

Batch Totals Sequence Checking Matching One-for-One Checking

33


ควบคมความครบถวนของรายการโดยเปรยบเทยบยอดรวมระหวางตนทางและปลายทาง เชน

การเปรยบเทยบจานวนรายการกบเอกสารตนฉบบ การเปรยบเทยบยอดรวมจานวนเงน การเปรยบเทยบยอดรวมจานวนของฟลดพเศษหรอแฮช (hash total) การเปรยบเทยบยอดรวมในแตละ batch กบยอดรวมรายการท�งหมด

เทคนคการควบคมความครบถวน - Batch Totals

34


ควบคมความครบถวนของรายการโดยการตรวจสอบการเรยงลาดบตามหมายเลข ตามตวอกษร หรอตามวนท� เชน

การกาหนดหมายเลขของเอกสาร ระบบปฏเสธการประมวลผลรายการท�มหมายเลขซ� า การจดทารายงานหมายเลขท�หายไปเพ�อใชสาหรบตรวจสอบและ

ตดตาม

เทคนคการควบคมความครบถวน - Sequence Checking

35


ควบคมความครบถวนของรายการโดยการจบครายการกอนประมวลผล ควบคมการใสขอมลท�ไมครบถวนหรอไมสามารถพบขอมลอางองในระบบได เชน

บนทกบญชท�งสองดาน (DR/CR) การรบของตองมเลขท�ใบส�งซ�ออางอง

เทคนคการควบคมความครบถวน - Matching

36


ตรวจสอบรายการท�ประมวลผลกบเอกสารตนฉบบ ซ� งอาจจะเปนการตรวจสอบเอกสารกบรายงานจากระบบ หรอการตรวจสอบเอกสารกบรายการท�ปรากฏบนหนาจอคอมพวเตอร

เทคนคการควบคมความครบถวน - One-for-One Checking

37


ความถกตอง (Accuracy)

การควบคมใหมการบนทกขอมลใหครบทกฟลด และถกตองระบบงานจงจะรบรายการเขาไปประมวลผล


38

เทคนคการควบคมความถกตอง

Batch Totals (Refer to Completeness check) Matching (Refer to Completeness check) One-for-One Checking (Refer to Completeness check) Programmed Check


39

เทคนค Programmed Check

Reasonableness checks Dependency checks Existence checks Format checks

Limit checks Check digit verification

การตรวจสอบความถกตองของรายการโดยโปรแกรม มหลายรปแบบ ดงน�


40

Reasonableness check

ควบคมการบนทกขอมลท�ไมสมเหตสมผล เชน วนท�ของรายการตอง >= วนท�ปจจบน, เลอกประเภทขอมลตามท�กาหนดเพ�อบนทก (Product type 001-005) เปนตน

Dependency check

ควบคมการบนทกขอมลท�ไมสอดคลองกน เชน ลกคานตบคคลใหเลอก ProductType 001-005, บนทกรหสไปรษณยใหสอดคลองกบจงหวด เปนตน

เทคนค Programmed Check

Existence check

ตรวจสอบขอมลท�บนทกวามคาตรงกบคาท�เกบไวในระบบหรอไม เชน การบนทกรหสลกคา การบนทกเลขท�บญช เปนตน


41

เทคนค Programmed CheckFormat check

ตรวจสอบขอมลท�บนทกในฟลดวาถกตองตามรปแบบท�กาหนด เชน กาหนดใหรบเฉพาะตวเลข การบนทกวนท� เปนตน

Limit check

ตรวจสอบขอมลท�บนทกวาเกนระดบท�อนมตหรอไม เชน ยอดรวมสนเช�อตองไมเกน credit limit, การทารายการผานบตร ATM ไมเกนหาคร� งตอวน เปนตน

Check digit verification

ตรวจสอบความถกตองของขอมลท�ใชอางอง เชน หมายเลขบตรประชาชน หมายเลขบตรเครดต หมายเลขบญช เปนตน


42

การอนมต (Validity)

รายการท�บนทกเขาระบบเพ�อประมวลผลไดรบการอนมตจากผมอานาจอยางเหมาะสม


43

เทคนคการควบคม Validity

One-for-One Checking การอนมตรายการบนเอกสาร Matching การอนมตรายการผานระบบ โดยระบบจะไปตรวจสอบวาเจาหนาท�

ผอนมตมอานาจหรอไม ถาม สามารถอนมตรายการน�นไดหรอไม


44

การจากดการเขาถงขอมล (Restricted Access)

ระบบงานและขอมลมการควบคมเพ�อปองกนการเขาถง หรอเปล�ยนแปลงแกไขโดยท�ไมไดรบอนญาต การเขาถงขอมลความลบหรอทรพยสนเฉพาะผท�ไดรบอนญาต


45

การจากดการเขาถงขอมล (Restricted Access)

เชน การกาหนดสทธในระบบตามหนาท�และความรบผดชอบ การสอบทานสทธในระบบงาน การกาหนด Password rules เชน ความยาวอยางนอย 6-8 ตวอกษร ตองเปล�ยน

Password ทกๆ 30 วน การแบงแยกหนาท�งานเพ�อใหมการตรวจสอบซ�งกนและกน การจดเกบเอกสารสาคญในตนรภย การเขารหสขอมล

Application Control (APC) concept –ประเภทการควบคมระบบงาน

46

แบงตามข�นตอนการทางานของระบบ การควบคมการนาเขา (Input Controls) การควบคมการประมวลผล (Processing Controls) การควบคมผลลพธท�ไดจากการประมวลผล (Output Controls) การควบคมดวยแฟมรองรอยการตรวจสอบ (Audit Trails)


47

การควบคมการนาเขา (Input Controls)เปนการควบคมท�สาคญ เน�องจากเปนตนทางของความถกตองเช�อถอไดของขอมลท�งหมด

การนาขอมลเขาสระบบงาน• Manual entry• Data transfer

วตถประสงค• รายการนาเขาทกรายการไดรบการอนมตกอนการประมวลผลอยางถกตอง• ทกรายการท�ไดรบการอนมตมการนาเขาระบบอยางถกตอง ครบถวน• ไมมรายการสญหาย เพ�มเตม นาเขาซ� า• รายการท�ระบบปฏเสธการประมวลผลไดรบการแกไขและนาเขาระบบใหมภายในเวลาท�

เหมาะสม


48

การควบคมการประมวลผล (Processing Controls)

รายการตางๆ รวมท�งรายการท�สรางข�นโดยอตโนมตไดรบการประมวลผลอยางเหมาะสม

รายการไมสญหาย ไมเพ�มเตม ไมมการประมวลผลซ�า หรอมการเปล�ยนแปลงอยางไมมเหตผลสมควร

ขอผดพลาดจากการประมวลผลถกตรวจพบและแกไขภายในระยะเวลาท�กาหนด

เปนการควบคมเพ�อใหการประมวลผลของระบบงานถกตอง โดยมวตถประสงค


49

การควบคมผลลพธท�ไดจากการประมวลผล (Output Controls)เปนการควบคมระยะสดทายเพ�อใหไดขอมลผลลพธ และรายงานท�ถกตองจากระบบ การควบคมผลลพธจะข�นอยกบความเช�อถอไดของการควบคมการนาเขาและการประมวลผล โดยหากมการควบคมท�ดต�งแตตน กจะเพ�มความเช�อถอไดของผลลพธอยางมาก

ผลลพธจากการประมวลผลถกตอง มการจากดการเขาถงหรอใชขอมลท�สงออกจากระบบคอมพวเตอรเฉพาะผท�ไดรบ

อนญาต การสงขอมลท�ออกจากระบบคอมพวเตอรไปถงบคคลซ�งไดรบอนมตอยางทนเวลา

วตถประสงค


50

การควบคมโดยสรางรองรอยการตรวจสอบ (Audit Trails)

แฟมทะเบยนรองรอยท�สรางข�น เพ�อบนทกกจกรรมในระดบระบบงาน หรอผใชงาน โดยหากมการออกแบบและใชงานท�ด จะเปนวธควบคมแบบคนพบ (detectivecontrols) ท�มประสทธภาพ เชน การบนทกเหตการณสาคญสาหรบรหสผใช ไดแก ความพยายามเขาระบบ (invalid log-on) ทรพยากรบนระบบท�ใชงาน

How to audit ERP

51

Identify areasof concern

Study/Understandsystem and process

Define & documentthe process flow

What can go wrong?What is the impact ?What is the likelihood ?

Risks & controlsassessment

Develop audit program

Audit Execution

Audit results/Management reports

How to audit ERP

52

กาหนดกจกรรมท�จะตรวจสอบ






Audit Execution


How to audit ERP

53

กาหนดกจกรรมท�จะตรวจสอบ

กจกรรมตรวจสอบ หมายถง หนวยงาน ระบบ โครงการ กระบวนการปฏบตงาน ฯลฯ โดยอาจพจารณาจาก

การประเมนความเส�ยง ความเสยหาย ขอกาหนดของกฎหมาย ความตองการของฝายบรหาร โอกาสเกดการทจรต


How to audit ERP

54

ศกษาและทาความเขาใจระบบงาน และกระบวนการทางธรกจ




Risks &controlsassessment


Audit Execution


How to audit ERP

55

ศกษาและทาความเขาใจระบบงาน และกระบวนการทางธรกจ

เทคนค

การสอบถาม/สมภาษณ การสงเกตการณ Walkthrough



How to audit ERP

56

การบนทกความเขาใจระบบงาน และกระบวนการธรกจ




Audit Execution




How to audit ERP

57

การบนทกความเขาใจระบบงาน และกระบวนการธรกจ

เทคนค

Flowcharting Descriptive Identify areas

of concern



How to audit ERP

58

How to audit ERP

59

How to audit ERP

60

How to audit ERP

61

การประเมนความเส�ยงและการควบคม






Audit Execution


How to audit ERP

62


ความเส�ยง คอ เหตการณท�เม�อเกดข�นแลวทาใหเกดความสญเสยทรพยสนหรอโอกาสหรอสงผลกระทบในทางลบตอการดาเนนงานขององคกร พจารณาเปน 2 ดาน

• โอกาสท�จะเกดความเส�ยง • ความเสยหายท�อาจเกดข�น

HIGH MEDIUM LOW


How to audit ERP

63

ประเภทของความเส�ยง • ความเส�ยงท�กอใหเกดผลเสยหายตอธรกจ (Business Risks)• ความเส�ยงท�กอใหเกดผลเสยหายตอขอมลและระบบงาน (Application Risks)






How to audit ERP

64


ตวอยาง ความเส�ยงท�กอใหเกดผลเสยหายตอธรกจ (Business Risks) เชน

• Loss of assets/revenue• Customer dissatisfaction• Competitive disadvantages• Legal action• Government Penalties• Business interruption/Cease• Fraud

ตวอยาง ความเส�ยงท�กอใหเกดผลเสยหายตอขอมลและระบบงาน (Application Risks) เชน

• Unauthorized system access• Data errors/incorrect• Duplicate records• Errors cannot be detected by the

system

How to audit ERP

65


การควบคม หมายถง การกระทาเพ�อลดความเส�ยง ไมวาจะเปนการลดโอกาสหรอผลกระทบเพ�อความสาเรจตามวตถประสงคท�ตองการ เชน

• การแบงแยกหนาท�เพ�อใหมการตรวจสอบซ�งกนและกน• การกาหนดสทธในระบบงานใหสอดคลองกบอานาจหนาท�• การสอบทานสทธในระบบงาน• การสอบทานรายงานและรายการผดปกต• การเกบรกษาเอกสารสาคญในตนรภย • การอนมตรายการ

How to audit ERP

66

การจดทาโปรแกรมการตรวจสอบ




Risks and controlsassessment


Audit execution


How to audit ERP

67

การจดทาโปรแกรมการตรวจสอบ

ประกอบดวย วตถประสงคการตรวจสอบ ความเส�ยงหลก รายละเอยดการควบคม รายละเอยดการทดสอบ กรณท�มการควบคม >> ทดสอบการควบคม (test of controls) กรณท�ไมมการควบคมหรอการควบคมไมมประสทธภาพ >> ทดสอบใน

รายละเอยด (substantive test)


How to audit ERP

68

Objective: Maintenance of customers' static information are properly controls to ensureaccuracy and completeness.

Key risks Control description Control test

Unauthorized changes orfictitious transactions oncustomer accounts.

Procedures are in place to verifythe authenticity of customers'instructions for changes i.e.address, payment methods.

Select changes of customerrecord and track to customers’instruction ensuring thatcustomers’ instruction areverified.

Customer records are incorrect. All transactions keyed into thecredit card system areindependently checked foraccuracy.

Review customer changesreport sight for the evidence ofsupervisor review and sign-off.

Unauthorised changes tocustomer data are not timelydetected.

Audit trails reports are providedby the credit card system forany changes on cardholdersstanding data. This report isindependently reviewed byappropriate management.

Select audit trails report sight forthe evidence of managementreview and sign-off.

ตวอยางโปรแกรมการตรวจสอบ

How to audit ERP

69

การตรวจสอบตามโปรแกรมการตรวจสอบ






Audit Execution


How to audit ERP

70

การตรวจสอบตามโปรแกรมการตรวจสอบ

บนทกผลการตรวจสอบในกระดาษทาการ• ผลการประเมนการควบคม• ขอสงเกตท�ตรวจพบ• ขอแนะนา

Audit Execution

How to audit ERP

71

การรายงานผลการตรวจสอบ






Audit Execution


How to audit ERP

72

การรายงานผลการตรวจสอบ

แจงหรอขอความเหนจากผรบการประเมน เพ�อยนยนความถกตองและผลสรปท�จะนาเสนอในรายงาน

เสนอรายงานตอผบรหารท�เก�ยวของ ตดตามผลการแกไข


Q & A

73