Thanakrit Likitwong
IT general and Application control concept
1
• IT General Control (ITGC) concept• Application Control (APC) concept• How to audit ERP• Q & A
หวขอการบรรยาย
2
Overview of ITGC and APC
3
Program development
Program changeComputer operation
Access to program anddata
IT General Control (ITGC) concept
Weak IT General Controls Strong IT General Controls
IT General Controls IT General Controls
หากการควบคมท�วไปในระบบสารสนเทศไมนาเช�อถอจะสงผลใหการควบคมเฉพาะระบบงานไมนาเช�อถอไปดวย 4
IT General Control (ITGC) concept
5
การควบคมท�วไปของเทคโนโลยสารสนเทศ
การพฒนาระบบสารสนเทศ (Program development)
การเปล�ยนแปลงแกไขระบบสารสนเทศ
(Program changes)
การเขาถงโปรแกรมและขอมล (ความปลอดภยระบบ
สารสนเทศ)(Access to programs and data)
การปฏบตการคอมพวเตอร (Computer operations)
ขอพฒนา/ศกษาความเปนไปได
เกบความตองการ/
ออกแบบระบบ
การเขยนโปรแกรม/
พฒนาระบบ
ทดสอบและแปลงขอมล
ตดต�งโปรแกรมเพ�อ
ใชงาน
ฝกอบรมผใชงานและจดทาคมอ
การบรหารจดการความ
ปลอดภย
บรหารจดการบญชผใชงาน
บรหารบญชผใชงานท�มสทธ�สงสด
ความปลอดภยทางตรรกะ
ความปลอดภยทางกายภาพ
ประมวลผลขอมล
เช�อมโยงขอมล (Data
Interface)
ตรวจสอบประสทธภาพ
ของระบบ
สารองขอมลและบรหารจดการเทป
สภาพแวดลอมในศนยคอมฯ
แผนการกคนระบบ
สารสนเทศ
ขอเปล�ยนแปลงแกไขระบบ
การทดสอบ ตดต�งโปรแกรมเพ�อ
ใชงาน
ฝกอบรมผใชงานและ
ปรบปรงคมอ
การเขยนโปรแกรม/แกไขระบบ
IT General Control (ITGC) concept - Program Development
6
ขอพฒนาระบบขอพฒนาระบบ
เกบความตองการ/
ออกแบบระบบ
เกบความตองการ/
ออกแบบระบบ
เขยนโปรแกรม/พฒนาระบบ
เขยนโปรแกรม/พฒนาระบบ
ทดสอบระบบทดสอบระบบ
แปลงขอมลแปลงขอมล
ตดต�งโปรแกรมเพ�อใชงาน
ตดต�งโปรแกรมเพ�อใชงาน
การแบงแยกหนาท�
การบรหารจดการโครงการ
IT General Control (ITGC) concept - Program changes
7
ขอเปล�ยนแปลงแกไขโปรแกรม
ทดสอบระบบ
ตดต�งโปรแกรมเพ�อใชงานตดต�งโปรแกรมเพ�อใชงาน
การแบงแยกหนาท�
การตดตามภาพรวมการแกไขโปรแกรม
เขยนโปรแกรม/แกไขระบบ
เขยนโปรแกรม/แกไขระบบ
IT General Control (ITGC) concept -Program Development & Program Changes
8
ถาสมมตวาการสรางบานข�นมาหน�งหลงคอการพฒนาระบบสารสนเทศหน�งระบบ ใหลองคดวาการเปล�ยนแปลงแกไขระบบสามารถเปนอะไรไดบาง
• การตกแตงหองรบแขกเพ�มเตม• การซอมแซมหลงคา• การเดนสายไฟภายในบานใหม• การซอมแซมทอประปา• การเปล�ยนพ�นบานใหม
IT General Control (ITGC) concept -Program Development & Program Changes
ขอเปล�ยนแปลงแกไขโปรแกรม
ทดสอบระบบ
ตดต�งโปรแกรมเพ�อใชงานตดต�งโปรแกรมเพ�อใชงาน
การแบงแยกหนาท�
การตดตามภาพรวมการแกไขโปรแกรม
เขยนโปรแกรม/แกไขระบบ
เขยนโปรแกรม/แกไขระบบ
ขอพฒนาระบบขอพฒนาระบบ
เกบความตองการ/
ออกแบบระบบ
เกบความตองการ/
ออกแบบระบบ
เขยนโปรแกรม/พฒนาระบบ
เขยนโปรแกรม/พฒนาระบบ
ทดสอบระบบทดสอบระบบ
แปลงขอมลแปลงขอมล
ตดต�งโปรแกรมเพ�อใชงาน
ตดต�งโปรแกรมเพ�อใชงาน
การแบงแยกหนาท�
การบรหารจดการโครงการ
IT General Control (ITGC) concept – Computer Operations
10
การบรหารจดการการปฏบตงานในภาพรวมการบรหารจดการการปฏบตงานในภาพรวม
ประมวลผลขอมล
เช�อมโยงขอมล (Data Interface) สารองขอมลและ
บรหารจดการเทป
แผนการกคนระบบสารสนเทศ
สภาพแวดลอมในศนยคอมฯ
ตรวจสอบประสทธภาพของระบบ
IT General Control (ITGC) concept –Access to program and data
11
ระบบเครอขายภายนอก
ระบบเครอขายภายใน
ระบบปฏบตการ
ขอมล ระบบงาน
การบรหารจดการดานการรกษาความปลอดภย
การบรหารจดการบญชผใชงาน
การบรหารจดการบญชผใชงานท�มสทธ�สงสด
การรกษาความปลอดภยทางตรรกะ
การรกษาความปลอดภยทางกายภาพ
IT Audit Standard and Referent (Sample)
Referent Link
https://www.isaca.org/COBIT/Documents/A-COBIT-5-Overview.pdf
http://www.iiacolombia.com/resource/guias/GTAG1.pdf
https://global.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/GTAG-Auditing-Smart-Devices-An-Internal-Auditors-Guide-to-Understanding-and-Auditing-Smart-Devices.aspx
https://www.iso.org/
Such as ISO ISO 27000, 27001, 20000, 31000
https://www.isc2.org/
Cyber and IT Security
https://www.iso.org/
Such as ISO ISO 20000 12
COBIT 5
13
การทาความเขาใจระบบเทคโนโลยสารสนเทศในภาพรวมชวยใหผตรวจสอบมความเขาใจในระบบท�จะตรวจสอบและสามารถกาหนดขอบเขตและแผนการตรวจสอบท�ถกตอง
โดยส� งท�ควรทาความเขาใจกอนปฏบตงานตรวจสอบเทคโนโลยสารสนเทศประกอบดวย:• ระบบงานท�สนบสนนกระบวนการทางธรกจ• ระบบปฏบตการและระบบฐานขอมลท�สนบสนนการทางานของระบบงาน• ระบบเครอขาย• การบรหารจดการดานความปลอดภยของเทคโนโลยสารสนเทศ• ปญหาสาคญท�เกดข�นในชวงเวลาท�ผานมา
COBIT 5
14
Data centre Server ormainframe
Application
Server orMainframe
DataApplicationData
Domaincontroller
Operatingsystem
Platform
Batchscheduler
Data store
DatabaseDatabaseDatabase
ApplicationApplicationApplication Interface
Interface
Interface
Local areanetworkLocal areanetworkWide areanetwork
ApplicationApplicationUser PCs
Internet
Fir
ewa
ll
Local area network
Network perimeterOutsourcedIT element
Data centre
Server ormainframe
Application
Server orMainframe
DataApplicationDataDataApplicationData
DomaincontrollerOperating
system
Platform
Batchscheduler
Backups
DatabaseDatabaseDatabaseDatabaseDatabaseDatabase
ApplicationApplicationApplicationApplicationApplicationApplication Interface
Interface
Interface
Interface
Interface
Interface
ApplicationApplicationPCApplicationApplicationPCApplicationApplicationPC
Firewall
Local area network
Network perimeter
Local area network
Network perimeter
สงมอบ ใหบรการ สนบสนน(DSS 01-06)
เฝาตดตาม วดผลประเมนผล
(MEA 01-03)
จดสราง จดหา นาไปใช(BAI 01-10)
ประเมน ส �งการ เฝาตดตาม(EDM01-05)
การควบคมท�วไปของเทคโนโลยสารสนเทศ
การพฒนาระบบสารสนเทศการเปล�ยนแปลงแกไขระบบ
สารสนเทศ การเขาถงโปรแกรม
และขอมลการปฏบตการคอมพวเตอร
COBIT 5
จดวางแนวทาง จดทาแผนจดระบบ (APO 01-13)
ทรพยากรดานเทคโนโลยสารสนเทศ• ระบบงาน• ขอมล• เทคโนโลยและอปกรณตางๆ• บคลากร
15
COBIT 5
COBIT 5
16
IT General Control (ITGC) concept – IT risk
17
• Access to programs and data• Unauthorised access to systems by business users• Unauthorised access to systems and data by IT users• Unauthorised changes to data
Program Change• Failure to make necessary changes to systems or programs• Changes that introduce errors into applications• Unauthorised direct changes to application code• Unauthorised direct changes to application configuration settings• Updates to the IT environment prevent applications from running correctly
Program development• Newly implemented applications inaccurately process data, due to coding or configuration
issues• Errors in migrating transaction records and/or master files
Computer Operations• Systems failure causing loss of transaction records or inability to access them as required• Inappropriate manual intervention or failures in scheduled job processing
IT General Control (ITGC) concept – IT risk
18
ประเดนขอตรวจพบ ส�งท�ผตรวจสอบตองดาเนนการตอ
ไมมการจดทา IT security configuration baselineไมมการสอบทาน IT configurations โดยฝายสารสนเทศ
ดาเนนการสอบทานคาคงท�ดานการรกษาความปลอดภยในระบบท�มความเส�ยงในหวขอท�กาลงตรวจ (i.e. OS, DB, Network)
การกาหนดคาคงท�ดานการรกษาความปลอดภยในระบบไมเหมาะสม
ประเมนผลกระทบและพจารณาการควบคมอ�นทดแทนท�จะมาชวยลดความเส�ยง
ไมมการสอบทานบญชผใชงานในระบบ ดาเนนการสอบทานบญชผใชงานในระบบ;- ตรวจความมตวตนของบญชผใชงาน- ตรวจสอบความเหมาะสมของสทธ� ท�กาหนด
พบบญชผใชงานท�ลาออกแลวแตยงคางอยในระบบ ตรวจสอบ Last sign on history
ไมมกระบวนการควบคมการใชงานบญชผใชงานท�มสทธ�สงสดในระบบ
ตรวจสอบ Last sign on historyตรวจสอบ Last password change dateตรวจสอบ log การใชงาน (ถาม)
IT General Control (ITGC) concept – IT risk
19
ประเดนขอตรวจพบ ส�งท�ผตรวจสอบตองดาเนนการตอ
กระบวนการเปล�ยนแปลงแกไขระบบไมเหมาะสม ตรวจสอบวามโปรแกรมอะไรท�ถกเปล�ยนแปลงบางในรอบปท�ผานมาและประเมนผลกระทบท�อาจเกดข�นกบโปรแกรม
กระบวนการสารองขอมลและกระบบงานไมเหมาะสม ตรวจสอบวาในรอบปท�ผานมามเหตการณท�ทาใหระบบหยดชะงกและมความจาเปนตองกระบบโดยใชขอมลจากเทปสารองขอมลหรอไม
ไมมกระบวนการควบคมท�เขยนเปนลายลกษณอกษร ศกษาและทาความเขาใจในข�นตอนปฏบตงานในปจจบน และสอบทานเอกสารอ�นๆประกอบ(เชน อเมลล, รายงานการประชม)
Application Control (APC) concept
20
Application Control (APC) concept
21
หมายถง การควบคมแบบ Manual หรอการควบคมแบบ Automatic โดยโปรแกรม ซ� งเปนการควบคมในระดบกระบวนการหรอรายการทางธรกจ
มวตถประสงคเพ�อสรางความม�นใจอยางสมเหตสมผลวารายการทางธรกจทกรายการ ไดรบการอนมต บนทกเขา และประมวลผลอยางสมบรณเพยงคร� งเดยวอยางถกตอง ภายในระยะเวลาท�เหมาะสม
Application Control (APC) concept -Relation between ITGC and APC
22
การควบคมท�วไป เปนการควบคมท�กาหนดโครงสรางโดยรวมของการควบคมท�มตอกจกรรมประมวลผลท�งหมด เปนการควบคมพ�นฐานท�ตองมเพ�อทาใหการควบคมทกระบบงานมประสทธผล มผลโดยตรงตอความถกตองของขอมลในทกระบบงานกลาวคอ ถาการควบคมท�วไปไมด ยอมทาใหการควบคมในแตละระบบงานไมดตามไปดวย
Application A Application B
Input ControlProcess ControlOutput Control
Audit Trail
Input ControlProcess ControlOutput Control
Audit Trail
General IT Control
BusinessTransactions
AS/400 PurchaseModule
OtherApp
Application Control (APC) concept - Risk
23
การประเมนความเส�ยง: (ผลกระทบทางธรกจ & โอกาสเกด)
ผลกระทบทางธรกจ
• ผลกระทบทางการเงน• ผลกระทบตอช�อเสยง และ
ภาพพจน• การหยดชะงกของกจกรรมทาง
ธรกจ• สญเสยทรพยากรองคกรท�สาคญ• ผลกระทบตอการตดสนใจทางการ
บรหาร• ผลกระทบตอวตถประสงค
โอกาสเกด
• ลกษณะของธรกจ• โครงสรางองคกร และวฒนะธรรม
องคกร• ลกษณะของระบบสารสนเทศ (เชน
open & close, new & outdatetechnology)
• การควบคมภายในท�มอย
Application Control (APC) concept - Control
24
“A process effected by an entity’s board of directors,management, and other personnel designed to providereasonable assurance regarding the achievement of objectivesin the following categories:
(a) reliability of financial reporting
(b) effectiveness and efficient use of its resources
(c) compliance with applicable laws and regulations”
Application Control (APC) concept - Control
25
What words are often associated with controls?
“VALIDATE”
“AGREE”
Application Control (APC) concept –Control Hierarchy
26
Internal Controls
IT dependentControls
IT General Controls
Manual
Controls
ManualIT dependentControls
AutomatedControls
ManualControls
Manual non-
Controls
Manual non-IT dependentControls
Entity Level Controls
Relianceon ITGC
ApplicationControls
Application Control (APC) concept –Control Hierarchy
27
Internal Controls
IT dependentControls
IT General Controls
IT dependentControls
ManualIT dependentControls
AutomatedAutomatedControls
ManualControls
IT dependentControls
Manual non-IT dependentControls
Entity Level Controls
Relianceon GCC
Manually performed controls (notautomatically performed bycomputer) that typically operate at abusiness process level and that helpto achieve information processingobjectives.
Controls designed into acomputer application that helpto achieve informationprocessing objectives.
Application Controls Relianton Automated ApplicationControls or AccountingProcedures => Combinationof the above.
Application Control (APC) concept – Type of control
28
การควบคมเชงปองกน (Preventive Control) การควบคมเชงตรวจสอบ (Detective Control) การควบคมเชงแกไข (Corrective Control)
Key controls
การกากบดแลของผบรหารในสายงานManagement MonitoringControls การควบคมเฉพาะระบบงาน
Application Control
การควบคมนอกระบบงานManual Controls
การควบคมแบบอตโนมต Automate Controls
Application Control (APC) concept – Type of control
29
การควบคมเชงปองกน (Preventive Control)
เปนวธการควบคมท�กาหนดข�นเพ�อปองกนไมใหเกดความเส�ยงและขอผดพลาดต�งแตแรก เชน การอนมต การจดโครงสรางองคกร การแบงแยกหนาท� การควบคมการเขาถงระบบงานหรอขอมล การปองกนและรกษาทรพยสนใหปลอดภย
เปนวธการควบคมท�กาหนดข�นเพ�อคนพบขอผดพลาดท�เกดข�นแลว เชน การสอบทานผลลพธ การวเคราะห การยนยนยอด การตรวจนบ เปนตน
การควบคมเชงตรวจสอบ (Detective Control)
เปนวธการควบคมท�กาหนดข�นเพ�อแกไขขอผดพลาดท�เกดข�นใหถกตอง หรอเพ�อหาวธแกไขไมใหเกดขอผดพลาดซ� าอกในอนาคต
การควบคมเชงแกไข (Corrective Control)
Application Control (APC) concept –Control objective
30
• ความครบถวน (Completeness)• ความถกตอง (Accuracy)• การอนมต (Validity)• การจากดการเขาถงขอมล (Restricted Access)
31
ความครบถวน (Completeness)
รายการทกรายการไดรบการบนทกเขาระบบ และประมวลผลอยางสมบรณเพยงคร� งเดยว
ระบบปฏเสธการบนทกและการประมวลผลรายการซ� า รายการทกรายการท�ระบบปฏเสธการบนทกและการประมวลผลไดรบการ
ตรวจสอบและแกไขทนเวลา
Application Control (APC) concept –Control objective
32
Application Control (APC) concept –Control objectiveเทคนคการควบคมความครบถวน
Batch Totals Sequence Checking Matching One-for-One Checking
33
Application Control (APC) concept –Control objective
ควบคมความครบถวนของรายการโดยเปรยบเทยบยอดรวมระหวางตนทางและปลายทาง เชน
การเปรยบเทยบจานวนรายการกบเอกสารตนฉบบ การเปรยบเทยบยอดรวมจานวนเงน การเปรยบเทยบยอดรวมจานวนของฟลดพเศษหรอแฮช (hash total) การเปรยบเทยบยอดรวมในแตละ batch กบยอดรวมรายการท�งหมด
เทคนคการควบคมความครบถวน - Batch Totals
34
Application Control (APC) concept –Control objective
ควบคมความครบถวนของรายการโดยการตรวจสอบการเรยงลาดบตามหมายเลข ตามตวอกษร หรอตามวนท� เชน
การกาหนดหมายเลขของเอกสาร ระบบปฏเสธการประมวลผลรายการท�มหมายเลขซ� า การจดทารายงานหมายเลขท�หายไปเพ�อใชสาหรบตรวจสอบและ
ตดตาม
เทคนคการควบคมความครบถวน - Sequence Checking
35
Application Control (APC) concept –Control objective
ควบคมความครบถวนของรายการโดยการจบครายการกอนประมวลผล ควบคมการใสขอมลท�ไมครบถวนหรอไมสามารถพบขอมลอางองในระบบได เชน
บนทกบญชท�งสองดาน (DR/CR) การรบของตองมเลขท�ใบส�งซ�ออางอง
เทคนคการควบคมความครบถวน - Matching
36
Application Control (APC) concept –Control objective
ตรวจสอบรายการท�ประมวลผลกบเอกสารตนฉบบ ซ� งอาจจะเปนการตรวจสอบเอกสารกบรายงานจากระบบ หรอการตรวจสอบเอกสารกบรายการท�ปรากฏบนหนาจอคอมพวเตอร
เทคนคการควบคมความครบถวน - One-for-One Checking
37
Application Control (APC) concept –Control objective
ความถกตอง (Accuracy)
การควบคมใหมการบนทกขอมลใหครบทกฟลด และถกตองระบบงานจงจะรบรายการเขาไปประมวลผล
Application Control (APC) concept –Control objective
38
เทคนคการควบคมความถกตอง
Batch Totals (Refer to Completeness check) Matching (Refer to Completeness check) One-for-One Checking (Refer to Completeness check) Programmed Check
Application Control (APC) concept –Control objective
39
เทคนค Programmed Check
Reasonableness checks Dependency checks Existence checks Format checks
Limit checks Check digit verification
การตรวจสอบความถกตองของรายการโดยโปรแกรม มหลายรปแบบ ดงน�
Application Control (APC) concept –Control objective
40
Reasonableness check
ควบคมการบนทกขอมลท�ไมสมเหตสมผล เชน วนท�ของรายการตอง >= วนท�ปจจบน, เลอกประเภทขอมลตามท�กาหนดเพ�อบนทก (Product type 001-005) เปนตน
Dependency check
ควบคมการบนทกขอมลท�ไมสอดคลองกน เชน ลกคานตบคคลใหเลอก ProductType 001-005, บนทกรหสไปรษณยใหสอดคลองกบจงหวด เปนตน
เทคนค Programmed Check
Existence check
ตรวจสอบขอมลท�บนทกวามคาตรงกบคาท�เกบไวในระบบหรอไม เชน การบนทกรหสลกคา การบนทกเลขท�บญช เปนตน
Application Control (APC) concept –Control objective
41
เทคนค Programmed CheckFormat check
ตรวจสอบขอมลท�บนทกในฟลดวาถกตองตามรปแบบท�กาหนด เชน กาหนดใหรบเฉพาะตวเลข การบนทกวนท� เปนตน
Limit check
ตรวจสอบขอมลท�บนทกวาเกนระดบท�อนมตหรอไม เชน ยอดรวมสนเช�อตองไมเกน credit limit, การทารายการผานบตร ATM ไมเกนหาคร� งตอวน เปนตน
Check digit verification
ตรวจสอบความถกตองของขอมลท�ใชอางอง เชน หมายเลขบตรประชาชน หมายเลขบตรเครดต หมายเลขบญช เปนตน
Application Control (APC) concept –Control objective
42
การอนมต (Validity)
รายการท�บนทกเขาระบบเพ�อประมวลผลไดรบการอนมตจากผมอานาจอยางเหมาะสม
Application Control (APC) concept –Control objective
43
เทคนคการควบคม Validity
One-for-One Checking การอนมตรายการบนเอกสาร Matching การอนมตรายการผานระบบ โดยระบบจะไปตรวจสอบวาเจาหนาท�
ผอนมตมอานาจหรอไม ถาม สามารถอนมตรายการน�นไดหรอไม
Application Control (APC) concept –Control objective
44
การจากดการเขาถงขอมล (Restricted Access)
ระบบงานและขอมลมการควบคมเพ�อปองกนการเขาถง หรอเปล�ยนแปลงแกไขโดยท�ไมไดรบอนญาต การเขาถงขอมลความลบหรอทรพยสนเฉพาะผท�ไดรบอนญาต
Application Control (APC) concept –Control objective
45
การจากดการเขาถงขอมล (Restricted Access)
เชน การกาหนดสทธในระบบตามหนาท�และความรบผดชอบ การสอบทานสทธในระบบงาน การกาหนด Password rules เชน ความยาวอยางนอย 6-8 ตวอกษร ตองเปล�ยน
Password ทกๆ 30 วน การแบงแยกหนาท�งานเพ�อใหมการตรวจสอบซ�งกนและกน การจดเกบเอกสารสาคญในตนรภย การเขารหสขอมล
Application Control (APC) concept –ประเภทการควบคมระบบงาน
46
แบงตามข�นตอนการทางานของระบบ การควบคมการนาเขา (Input Controls) การควบคมการประมวลผล (Processing Controls) การควบคมผลลพธท�ไดจากการประมวลผล (Output Controls) การควบคมดวยแฟมรองรอยการตรวจสอบ (Audit Trails)
Application Control (APC) concept –ประเภทการควบคมระบบงาน
47
การควบคมการนาเขา (Input Controls)เปนการควบคมท�สาคญ เน�องจากเปนตนทางของความถกตองเช�อถอไดของขอมลท�งหมด
การนาขอมลเขาสระบบงาน• Manual entry• Data transfer
วตถประสงค• รายการนาเขาทกรายการไดรบการอนมตกอนการประมวลผลอยางถกตอง• ทกรายการท�ไดรบการอนมตมการนาเขาระบบอยางถกตอง ครบถวน• ไมมรายการสญหาย เพ�มเตม นาเขาซ� า• รายการท�ระบบปฏเสธการประมวลผลไดรบการแกไขและนาเขาระบบใหมภายในเวลาท�
เหมาะสม
Application Control (APC) concept –ประเภทการควบคมระบบงาน
48
การควบคมการประมวลผล (Processing Controls)
รายการตางๆ รวมท�งรายการท�สรางข�นโดยอตโนมตไดรบการประมวลผลอยางเหมาะสม
รายการไมสญหาย ไมเพ�มเตม ไมมการประมวลผลซ�า หรอมการเปล�ยนแปลงอยางไมมเหตผลสมควร
ขอผดพลาดจากการประมวลผลถกตรวจพบและแกไขภายในระยะเวลาท�กาหนด
เปนการควบคมเพ�อใหการประมวลผลของระบบงานถกตอง โดยมวตถประสงค
Application Control (APC) concept –ประเภทการควบคมระบบงาน
49
การควบคมผลลพธท�ไดจากการประมวลผล (Output Controls)เปนการควบคมระยะสดทายเพ�อใหไดขอมลผลลพธ และรายงานท�ถกตองจากระบบ การควบคมผลลพธจะข�นอยกบความเช�อถอไดของการควบคมการนาเขาและการประมวลผล โดยหากมการควบคมท�ดต�งแตตน กจะเพ�มความเช�อถอไดของผลลพธอยางมาก
ผลลพธจากการประมวลผลถกตอง มการจากดการเขาถงหรอใชขอมลท�สงออกจากระบบคอมพวเตอรเฉพาะผท�ไดรบ
อนญาต การสงขอมลท�ออกจากระบบคอมพวเตอรไปถงบคคลซ�งไดรบอนมตอยางทนเวลา
วตถประสงค
Application Control (APC) concept –ประเภทการควบคมระบบงาน
50
การควบคมโดยสรางรองรอยการตรวจสอบ (Audit Trails)
แฟมทะเบยนรองรอยท�สรางข�น เพ�อบนทกกจกรรมในระดบระบบงาน หรอผใชงาน โดยหากมการออกแบบและใชงานท�ด จะเปนวธควบคมแบบคนพบ (detectivecontrols) ท�มประสทธภาพ เชน การบนทกเหตการณสาคญสาหรบรหสผใช ไดแก ความพยายามเขาระบบ (invalid log-on) ทรพยากรบนระบบท�ใชงาน
How to audit ERP
51
Identify areasof concern
Study/Understandsystem and process
Define & documentthe process flow
What can go wrong?What is the impact ?What is the likelihood ?
Risks & controlsassessment
Develop audit program
Audit Execution
Audit results/Management reports
How to audit ERP
52
กาหนดกจกรรมท�จะตรวจสอบ
Identify areasof concern
Study/Understandsystem and process
Define & documentthe process flow
Risks & controlsassessment
Develop audit program
Audit Execution
Audit results/Management reports
How to audit ERP
53
กาหนดกจกรรมท�จะตรวจสอบ
กจกรรมตรวจสอบ หมายถง หนวยงาน ระบบ โครงการ กระบวนการปฏบตงาน ฯลฯ โดยอาจพจารณาจาก
การประเมนความเส�ยง ความเสยหาย ขอกาหนดของกฎหมาย ความตองการของฝายบรหาร โอกาสเกดการทจรต
Identify areasof concern
How to audit ERP
54
ศกษาและทาความเขาใจระบบงาน และกระบวนการทางธรกจ
Identify areasof concern
Study/Understandsystem and process
Define & documentthe process flow
Risks &controlsassessment
Develop audit program
Audit Execution
Audit results/Management reports
How to audit ERP
55
ศกษาและทาความเขาใจระบบงาน และกระบวนการทางธรกจ
เทคนค
การสอบถาม/สมภาษณ การสงเกตการณ Walkthrough
Identify areasof concern
Study/Understandsystem and process
How to audit ERP
56
การบนทกความเขาใจระบบงาน และกระบวนการธรกจ
Identify areasof concern
Risks & controlsassessment
Develop audit program
Audit Execution
Audit results/Management reports
Study/Understandsystem and process
Define & documentthe process flow
How to audit ERP
57
การบนทกความเขาใจระบบงาน และกระบวนการธรกจ
เทคนค
Flowcharting Descriptive Identify areas
of concern
Study/Understandsystem and process
Define & documentthe process flow
How to audit ERP
58
How to audit ERP
59
How to audit ERP
60
How to audit ERP
61
การประเมนความเส�ยงและการควบคม
Study/Understandsystem and process
Identify areasof concern
Define & documentthe process flow
Risks & controlsassessment
Develop audit program
Audit Execution
Audit results/Management reports
How to audit ERP
62
การประเมนความเส�ยงและการควบคม
ความเส�ยง คอ เหตการณท�เม�อเกดข�นแลวทาใหเกดความสญเสยทรพยสนหรอโอกาสหรอสงผลกระทบในทางลบตอการดาเนนงานขององคกร พจารณาเปน 2 ดาน
• โอกาสท�จะเกดความเส�ยง • ความเสยหายท�อาจเกดข�น
HIGH MEDIUM LOW
Risks & controlsassessment
How to audit ERP
63
ประเภทของความเส�ยง • ความเส�ยงท�กอใหเกดผลเสยหายตอธรกจ (Business Risks)• ความเส�ยงท�กอใหเกดผลเสยหายตอขอมลและระบบงาน (Application Risks)
Study/Understandsystem and process
Identify areasof concern
Define & documentthe process flow
Risks & controlsassessment
การประเมนความเส�ยงและการควบคม
How to audit ERP
64
การประเมนความเส�ยงและการควบคม
ตวอยาง ความเส�ยงท�กอใหเกดผลเสยหายตอธรกจ (Business Risks) เชน
• Loss of assets/revenue• Customer dissatisfaction• Competitive disadvantages• Legal action• Government Penalties• Business interruption/Cease• Fraud
ตวอยาง ความเส�ยงท�กอใหเกดผลเสยหายตอขอมลและระบบงาน (Application Risks) เชน
• Unauthorized system access• Data errors/incorrect• Duplicate records• Errors cannot be detected by the
system
How to audit ERP
65
การประเมนความเส�ยงและการควบคม
การควบคม หมายถง การกระทาเพ�อลดความเส�ยง ไมวาจะเปนการลดโอกาสหรอผลกระทบเพ�อความสาเรจตามวตถประสงคท�ตองการ เชน
• การแบงแยกหนาท�เพ�อใหมการตรวจสอบซ�งกนและกน• การกาหนดสทธในระบบงานใหสอดคลองกบอานาจหนาท�• การสอบทานสทธในระบบงาน• การสอบทานรายงานและรายการผดปกต• การเกบรกษาเอกสารสาคญในตนรภย • การอนมตรายการ
How to audit ERP
66
การจดทาโปรแกรมการตรวจสอบ
Study/Understandsystem and process
Identify areasof concern
Define & documentthe process flow
Risks and controlsassessment
Develop audit program
Audit execution
Audit results/Management reports
How to audit ERP
67
การจดทาโปรแกรมการตรวจสอบ
ประกอบดวย วตถประสงคการตรวจสอบ ความเส�ยงหลก รายละเอยดการควบคม รายละเอยดการทดสอบ กรณท�มการควบคม >> ทดสอบการควบคม (test of controls) กรณท�ไมมการควบคมหรอการควบคมไมมประสทธภาพ >> ทดสอบใน
รายละเอยด (substantive test)
Develop audit program
How to audit ERP
68
Objective: Maintenance of customers' static information are properly controls to ensureaccuracy and completeness.
Key risks Control description Control test
Unauthorized changes orfictitious transactions oncustomer accounts.
Procedures are in place to verifythe authenticity of customers'instructions for changes i.e.address, payment methods.
Select changes of customerrecord and track to customers’instruction ensuring thatcustomers’ instruction areverified.
Customer records are incorrect. All transactions keyed into thecredit card system areindependently checked foraccuracy.
Review customer changesreport sight for the evidence ofsupervisor review and sign-off.
Unauthorised changes tocustomer data are not timelydetected.
Audit trails reports are providedby the credit card system forany changes on cardholdersstanding data. This report isindependently reviewed byappropriate management.
Select audit trails report sight forthe evidence of managementreview and sign-off.
ตวอยางโปรแกรมการตรวจสอบ
How to audit ERP
69
การตรวจสอบตามโปรแกรมการตรวจสอบ
Study/Understandsystem and process
Identify areasof concern
Define & documentthe process flow
Risks & controlsassessment
Develop audit program
Audit Execution
Audit results/Management reports
How to audit ERP
70
การตรวจสอบตามโปรแกรมการตรวจสอบ
บนทกผลการตรวจสอบในกระดาษทาการ• ผลการประเมนการควบคม• ขอสงเกตท�ตรวจพบ• ขอแนะนา
Audit Execution
How to audit ERP
71
การรายงานผลการตรวจสอบ
Study/Understandsystem and process
Identify areasof concern
Define & documentthe process flow
Risks & controlsassessment
Develop audit program
Audit Execution
Audit results/Management reports
How to audit ERP
72
การรายงานผลการตรวจสอบ
แจงหรอขอความเหนจากผรบการประเมน เพ�อยนยนความถกตองและผลสรปท�จะนาเสนอในรายงาน
เสนอรายงานตอผบรหารท�เก�ยวของ ตดตามผลการแกไข
Audit results/Management reports
Q & A
73