การตรวจสอบความก�าวหน้�าของโครงการ
ดร . ครรชิ�ต มาลั�ยวงศ์� ราชิบั�ณฑิ�ต
เน้��อหาค�าบรรยาย
ต�วอย�างโครงการด�านไอที�
ความเสี่��ยงของโครงการไอที�
การควบัค!มโครงการไอที�
การตรวจสี่อบัโครงการไอที�
ต�วอย�างการตรวจสี่อบัโครงการไอที�
สี่ร!ป
ต�วอย�างโครงการทางด้�าน้ไอท�
โครงการจ�ดซื้%&อจ�ดหาแลัะต�ดต�&งอ!ปกรณ�ไอที�ที��เป*นลั+กข�ายหร%อแม�ข�ายใหม�เพื่%�อทีดแทีนอ!ปกรณ�เด�ม โดยไม�เปลั��ยนซื้อฟต�แวร� หร%อเปลั��ยนเลั/กน�อย
โครงการจ�ดซื้%&อจ�ดหาแลัะต�ดต�&งซื้อฟต�แวร�ในเคร%�องแม�ข�ายแลัะลั+กข�ายที��ม�อย+�เด�ม
โครงการพื่�ฒนาระบับัสี่ารสี่นเทีศ์ใหม� โครงการพื่�ฒนาระบับัสี่ารสี่นเทีศ์สี่�วนขยาย โครงการพื่�ฒนาระบับังานประย!กต�ในเว/บั โครงการต�ดต�&งระบับัสี่ารสี่นเทีศ์จากสี่�วนกลัาง เชิ�น GFMIS,
GSMS
ลั�กษณะของโครงการท�!ด้�
เป*นโครงการที��สี่น�บัสี่น!นการด1าเน�นงานของหน�วยงานให�ด�ข2&น เป*นโครงการที��อย+�ในแผนแม�บัทีแลัะแผนปฏิ�บั�ต�การที��ถอดจากแผน
แม�บัที เป*นโครงการที��ได�ร�บัการศ์2กษาความเหมาะสี่มอย�างลัะเอ�ยดรอบัคอบั เป*นโครงการที��ม�การจ�ดหาบัร�ษ�ทีที��ปร2กษามาด1าเน�นการอย�างเหมาะ
สี่มแลัะตรงก�บัระเบั�ยบัที��ได�ก1าหนดไว� เป*นโครงการที��ม�การจ�ดที1าเอกสี่ารที��จ1าเป*นครบัถ�วน เป*นโครงการที��ม�ห�วหน�าโครงการร�บัผ�ดชิอบั
ความเส�!ยงใน้ด้�าน้การท�าโครงการไอท�
โครงการไอที�จ1านวนมากประสี่บัความลั�มเหลัว ข�อก1าหนดความต�องการไม�ชิ�ดเจน ผ+�บัร�หารไม�สี่น�บัสี่น!นในด�านที��จ1าเป*น ผ+�บัร�หารโครงการไม�ร+ �ว�ธี�บัร�หารโครงการตามหลั�กการปฏิ�บั�ต�ที��ด� ที�มงานโครงการไม�ม�ความสี่ามารถ งบัประมาณไม�พื่อเม%�อเที�ยบัก�บัขอบัเขต เทีคโนโลัย�เปลั��ยนแปลังเร/ว เม%�อที1าโครงการเสี่ร/จก/ไม�สี่ามารถจะ
น1าไปใชิ�ได� ฯลัฯ
การควบค#มการท�าโครงการ
ม�หลั�กการเด�ยวก�นก�บัที��ได�อธี�บัายไปแลั�วในเร%�องการตรวจสี่อบัระบับัสี่ารสี่นเทีศ์ เพื่ราะการพื่�ฒนาระบับัสี่ารสี่นเทีศ์สี่�วนใหญ่�จะด1าเน�นการเหม%อนเป*นโครงการหน2�งน��นเอง
ม�นโยบัายให�ใชิ�หลั�กการจ�ดการโครงการมาใชิ�อย�างจร�งจ�ง เชิ�น ใชิ� PMBOK (Project Management Body of Knowledge) หร%อ โมเดลั CMMI (Capability Maturity Model Integration) เป*นต�นแบับั
จ�ดที1าแลัะใชิ�กระบัวนการบัร�หารจ�ดการโครงการอย�างจร�งจ�ง
การตรวจสอบความก�าวหน้�าของโครงการ ค%อ การสี่ร�างความม��นใจแลัะให�ค1าปร2กษาในการที1างาน
โครงการที��ย�งไม�เสี่ร/จสี่�&น เพื่%�อให�ได�โครงการประสี่บัความสี่1าเร/จ น��นค%อสี่ามารถสี่ร�างผลังานที��ม�ค!ณภาพื่
ม�ประสี่�ทีธี�ภาพื่แลัะใชิ�การได�จร�ง
เฟสท�!ควรตรวจสอบ
ชิ�วงการวางแผนโครงการ ค%อการตรวจสี่อบัในชิ�วงที��เร��มวางแผนว�าจะด1าเน�นโครงการว�าได�จ�ดที1าข�อก1าหนดครบัถ�วนหร%อไม�
ในชิ�วงการจ�ดหาบัร�ษ�ทีที��ปร2กษา ค%อการตรวจสี่อบัว�าได�จ�ดหาบัร�ษ�ทีที��ปร2กษามาอย�างถ+กต�องตามหลั�กเกณฑิ�หร%อไม�
ในชิ�วงการด1าเน�นโครงการ ค%อการตรวจสี่อบัการที1าโครงการว�าถ+กต�องหร%อไม�
ในชิ�วงหลั�งการต�ดต�&งใชิ�งานผลัของโครงการ ค%อการตรวจสี่อบัว�าโครงการได�ผลัตามที��ต�องการหร%อไม�
แน้วทางการตรวจสอบ
ที1าความเข�าใจสี่��งแวดลั�อมของโครงการ (Hardware Software Network ระบับัต�าง ๆ ข�อม+ลั คน)
พื่�จารณาความเสี่��ยงที��จะม�ผลัต�อโครงการ (งบัประมาณ นโยบัาย กระบัวนการ ก�จกรรม ค�าใชิ�จ�าย การเม%อง มาตรฐาน ผ+�ใชิ� การบัร�หารจ�ดการบั!คลัากรโครงการ)
พื่�จารณาแนวทีางจากกว�างไปสี่+�แคบั
ต�วอย�างการท�า IT Audit
1 . การควบค#มท�!วไป – เน�นด�านความม��นคงของระบับั
2. การควบค#มการประย#กต( เลั%อกระบับัการ–
จ�ดการยานพื่าหนะ
3. การตรวจสอบความก�าวหน้�าของโครงการ เลั%อกเฟสี่การวางแผนแลัะจ�ดหาบัร�ษ�ทีที��ปร2กษา
การควบค#มท�!วไป
ด�านความม��นคงของระบับัว�ตถ!ประสี่งค�
ที1าความเข�าใจระบับัเคร%อข�ายที��จะใชิ�ในระบับั พื่�จารณาตรวจสี่อบัเสี่�นทีางการเข�าถ2งระบับัด�วยโปรแกรม พื่�จารณาว�าม�นโยบัายแลัะว�ธี�ปฏิ�บั�ต�ที��พื่อเพื่�ยงหร%อไม� พื่�จารณาจ!ดควบัค!มความม��นคงที��ฝ่>ายบัร�หารเชิ%�อว�าม�อย+�แลั�ว ม�การควบัค!มอะไรในเคร%อข�ายบั�างที��ป?องก�นไม�ให�
ผ+�ไม�เก��ยวข�องเข�าสี่+�ระบับัเคร%อข�ายได� ม�ว�ธี�การที��จะเข�าถ2งข�อม+ลัที��ก1าหนดให�เป*นความลั�บั
ต�วอย�างการตรวจสอบGeneral control ทางด้�าน้ความม�!น้คง
ว�ธี�การตรวจสี่อบั สี่�มภาษณ�พื่น�กงานศ์+นย�ไอที�แลัะพื่น�กงานอ%�น ๆ
ทีบัทีวนตรวจสี่อบัแผนผ�งเคร%อข�าย ตรวจสี่อบัระบับัความม��นคงของระบับั แลัะการต�&งค�าใน
เคร%�องของผ+�ใชิ� พื่�จารณากฎหมาย ระเบั�ยบั นโยบัาย ที��เก��ยวข�องก�บัการ
ร�กษาความลั�บัของข�อม+ลั ตรวจสี่อบัแลัะทีดสี่อบัความม��นคงของเคร%�องผ+�ใชิ�ในเคร%อ
ข�าย การเข�าถ2งข�อม+ลั แลัะ ระบับัสี่ารสี่นเทีศ์ ตรวจหาจ!ดอ�อนของระบับั
การควบค#มการประย#กต( (Application control)
การประย!กต�ระบับัยานพื่าหนะว�ตถ!ประสี่งค�
ที1าความเข�าใจสี่�วนประกอบัของการควบัค!มภายใน
ประเม�นการควบัค!มงานประย!กต�
ประเม�นการควบัค!มที��วไปบัางประเด/น
ต�วอย�างการตรวจสอบ Application Control
ระบับัยานพื่าหนะ ว�ธี�การ
ทีบัทีวนตรวจสี่อบัเอกสี่าร
พื่�จารณาจ1าแนกแลัะก1าหนดลั1าด�บัความสี่1าค�ญ่ของจ!ดควบัค!มต�าง ๆ
ทีดสี่อบัว�าการควบัค!มน�&นได�ผลั
ตรวจสี่อบัโปรแกรมเชิ%�อมต�อแลัะทีดสี่อบัการเชิ%�อมต�อ
ทีดสี่อบัความแม�นย1าแลัะสี่มบั+รณ�ของรายงาน
ต�วอย�างการตรวจสอบ Application Control
ระบับัยานพื่าหนะ ประเด/นที��พื่บั
การควบัค!มอ�นพื่!ตไม�ค�อยด� (เชิ�นขาดการสี่อบัทีาน ฯลัฯ.)
การควบัค!มบัางเร%�องไม�ที1างาน
การค1านวณไม�ถ+กต�อง
รายงานไม�สี่มบั+รณ�หร%อไม�ถ+กต�อง
การเชิ%�อมต�อไม�สี่ามารถที1าได�เหม%อนที��ต�องการ
ต�วอย�างการตรวจสอบ Application Control
ระบับัยานพื่าหนะ ประเด/นที��พื่บั (ต�อ)
ไม�ม�การแบั�งแยกหน�าที��ระหว�างผ+�ใชิ�ก�บัพื่น�กงานระบับัสี่ารสี่นเทีศ์ให�ชิ�ดเจน
ไม�ม�กระบัวนการจ�ดการขอเปลั��ยนแปลังโปรแกรมในโครงการ
ไม�ได�เข�ยนกระบัวนการสี่1ารองแลัะก+�ระบับัสี่1าหร�บัใชิ�งาน
ต�วอย�างการตรวจสอบความก�าวหน้�าของโครงการระบบซ่�อมบ�าร#งยาน้พาหน้ะ
เฟสี่ : การวางแผนแลัะจ�ดซื้%&อจ�ดหาว�ตถ!ประสี่งค�
ความสี่อดคลั�องก�บันโยบัายแลัะเง%�อนไขการจ�ดซื้%&อจ�ดหา รวมที�&งการที1าสี่�ญ่ญ่า
ประเม�นความเสี่��ยงของการจ�ดการแลัะการควบัค!มโครงการ
สี่ถานภาพื่ของโครงการแลัะผลังานที��ที1าสี่1าเร/จ
ประเด/นปAญ่หาแลัะสี่ถานภาพื่การแก�ไข
ต�วอย�างการตรวจสอบความก�าวหน้�าของโครงการระบบซ่�อมบ�าร#งยาน้พาหน้ะ
ว�ธี�การ สี่อบัถามกรรมการ แลัะที��ปร2กษาโครงการ ตรวจสี่อบัเอกสี่ารสี่1าค�ญ่ (เชิ�น เอกสี่ารข�อก1าหนดความต�องการ
เอกสี่ารการประม+ลั สี่�ญ่ญ่า) ตรวจสี่อบัรายการบั�นที2กต�าง ๆ ว�าเหมาะสี่มหร%อไม� สี่�มภาษณ�บั!คลัากรระด�บัห�วหน�าในศ์+นย�ไอที� แลัะในฝ่>ายผ+�ใชิ�ระบับั สี่�งเกตการเจรจาต�อรองเก��ยวก�บัสี่�ญ่ญ่าแลัะรายลัะเอ�ยดในสี่�ญ่ญ่า
ต�วอย�างการตรวจสอบความก�าวหน้�าของโครงการระบบซ่�อมบ�าร#งยาน้พาหน้ะประเด/นที��ค�นพื่บั:
ไม�ม�การว�เคราะห�ต�นที!นแลัะก1าไร
ไม�ได�บั�นที2กการประเม�นความต�องการไว�เป*นลัายลั�กษณ�อ�กษร
ไม�ได�บั�นที2กการต�ดสี่�นใจสี่1าค�ญ่เอาไว�
ไม�ม�การก1าก�บัด+แลังบัประมาณ
ผ+�บัร�หารไม�ได�บัร�หารภาพื่รวม
ไม�ม�การสี่%�อสี่ารระหว�างที�มงานโครงการก�บัฝ่>ายบัร�หาร
ต�วอย�างการตรวจสอบความก�าวหน้�าของโครงการระบบซ่�อมบ�าร#งยาน้พาหน้ะประเด/นที��ค�นพื่บั (ต�อ)
ความต�องการแลัะความคาดหว�งในโครงการเก�นขอบัเขตที��ก1าหนดไว�
ไม�ม�การสี่%�อสี่ารระหว�างโครงการ
ไม�ม�แผนงานรองร�บัหากโครงสี่ร�างพื่%&นฐานไม�พื่อเพื่�ยงที��จะใชิ�ก�บัระบับัใหม�
ระบับัใหม�ต�องการบั!คลัากรที��ม�ความเชิ��ยวชิาญ่ด�านเทีคน�คมากกว�าที��ม�อย+�ในหน�วยงาน
สร#ป
การตรวจสี่อบัความก�าวหน�าของโครงการเป*นงานที��ม�ความสี่1าค�ญ่อย�างหน2�งของ IT Audit
การตรวจสี่อบัน�&หน�วยงานสี่�วนมากย�งไม�ได�ด1าเน�นการ ด�งน�&นจ2งม�กจะพื่บัว�าโครงการไอที�ในหน�วยงานหลัายแห�งลั�มเหลัว แลัะหน�วยงานต�องสี่+ญ่เสี่�ยงบัประมาณไปโดยไม�ได�อะไรตอบัแทีน
เราจ2งควรสี่นใจในเร%�องน�&มากข2&น
Reference
Beth Breier, IT Auditing in the Small Audit Shop, สี่%บัค�นเม%�อ 3 มกราคม 2554 จากhttp://talgov.com/citytlh/auditing/index.html