Home Explore ວິຊາການຄວບຄຸມພານໃນແລະການກວດສອບພາຍໃນ

ວິຊາການຄວບຄຸມພານໃນແລະການກວດສອບພາຍໃນ

Published by thongla4567, 2021-08-25 01:32:18

Description: ວິຊາການຄວບຄຸມພານໃນແລະການກວດສອບພາຍໃນ

Read the Text Version

Pages:

479 คาถาม ทา่ นเหน็ ว่าวธิ กี ารดงั กล่าวขา้ งตน้ มขี อ้ บกพรอ่ งอน้ อาจก่อใหเ้ กดิ การทจุ รติ ผดิ พลาดได้ อยา่ งไรบา้ ง ตอนท่ี 2 แบบฝึ กหดั ปรนัย : คาํ สงั่ ใหเ้ ขยี นเครอ่ื งหมายวงกลม ลอ้ มรอบตวั อกั ษรทถ่ี ูกต้องทส่ี ุด เพยี งตวั เลอื กเดยี วสาํ หรบั คาํ ถามแต่ละขอ้ 1. หากหวั หน้าฝา่ ยจดั ซอ้ื มอี ํานาจลงนามในใบสงั่ ซอ้ื โดยไมจ่ าํ กดั วงเงนิ จะสง่ ผลอยา่ งไรต่อองคก์ ร ก. อาจซอ้ื ของทไ่ี มไ่ ดค้ ุณภาพ ข. มโี อกาสหาผลประโยชน์ไดง้ า่ ย ค. การจดั ซอ้ื สะดวก รวดเรว็ เพราะขนั้ ตอนการพจิ ารณาสนั้ ลง ง. ถูกทกุ ขอ้ ทก่ี ล่าวมา 2. หลกั การบรหิ ารเงนิ สดทเ่ี หมาะสมองคก์ รควรจดั เกบ็ เงนิ สดคงเหลอื ในมอื อยา่ งไร ก. จดั เกบ็ ใหม้ าก เพ่อื รกั ษาสภาพคล่อง ข. จดั เกบ็ ใหน้ ้อย เพ่อื ผลตอบแทนสงู สดุ ค. จดั เกบ็ พอประมาณ เพ่อื รกั ษาสภาพคล่องและผลตอบแทน ง. ไมจ่ ดั เกบ็ ไวเ้ ลย 3. ความเสย่ี งในการบรหิ ารการผลติ ขอ้ ใดมผี ลเสยี ต่อองคก์ รในเรอ่ื งภาพลกั ษณ์และช่อื เสยี ง ก. ผลติ สนิ คา้ ทไ่ี มไ่ ดม้ าตรฐานและนําออกขาย ข. ผลติ สนิ คา้ ทไ่ี มไ่ ดค้ ณุ ภาพตามมาตรฐานและนําไปทาํ ลายทง้ิ ค. สง่ รายงานการผลติ ส่าชา้ หลงั สง่ มอบสนิ คา้ ไปใหค้ ลงั สนิ คา้ ง. แยกเกบ็ เครอ่ื งมอื ไวป้ ระจาํ ตวั ช่างทกุ คน ไมไ่ ดร้ วมไวท้ ค่ี ลงั 4. ผตู้ รวจสอบวางแผนจะตรวจสอบการควบคมุ การจา่ ยเงนิ เดอื น ซง่ึ บรษิ ทั ไดเ้ ปลย่ี นใหห้ น่วยบรกิ าร ภายนอกเป็นผปู้ ระมวลผลการจา่ ยเงนิ เดอื นให้ ผตู้ รวจสอบควรจะปฏบิ ตั ติ ามขอ้ ใด ก. สอบทานการควบคุมเฉพาะการควบคุมเอกสารทบ่ี รษิ ทั ส่งไปและรายงานทไ่ี ดร้ บั จาก หน่วยงานภายนอก ข. สอบทานการควบคมุ เฉพาะการประมวลผลจากหน่วยงานภายนอก ค. ยกเลกิ งานตรวจสอบ เพราะการประมวลผลกระทาํ โดยหน่วยงานภายนอก ง. สอบทานการควบคุมการจา่ ยเงนิ เดอื นทงั้ สว่ นทเ่ี ป็นของบรษิ ทั และหน่วยงานภายนอก การควบคมุ และการตรวจสอบภายในดา้ นต่างๆ ที่สาคญั ขององคก์ ร บทท่ี 10

480 5. ความเสย่ี งในการบรหิ ารวสั ดุคงคลงั ขอ้ ใดมผี ลทาํ ใหค้ น้ หาวสั ดทุ ่จี ดั เกบ็ ไวใ้ นคลงั ไมไ่ ด้ ก. มวี สั ดุเคล่อื นไหวชา้ ข. จดั เกบ็ วสั ดุไมเ่ ป็นระเบยี บ ค. จดั เกบ็ วสั ดุจาํ นวนมากชนดิ ง. ไมจ่ ดั ทาํ ใบเบกิ วสั ดุ 6. การตรวจรบั ของก่อนลงนามรบั ของตอ้ งปฏบิ ตั งิ านอยา่ งไรจงึ จะถอื วา่ ถกู ตอ้ งและเหมาะสม ก. ใหผ้ ขู้ อซอ้ื รว่ มตรวจรบั ของทุกครงั้ ข. ตรวจสอบวา่ ของทร่ี บั ตรงกบั ของทส่ี งั่ ซอ้ื ไป ค. ตรวจสอบวา่ เงอ่ื นไขการชาํ ระราคาเป็นไปตามทต่ี กลงกนั ไว้ ง. ออกรายงานการตรวจรบั ตามใบสง่ ของจากผขู้ าย 7. หากผจู้ ดั การโรงงานทาํ หน้าทร่ี บั เงนิ ค่าแรงจากแผนกการเงนิ มาจา่ ยใหค้ นงานแต่ละคน อาจทาํ ใหเ้ กดิ อะไรขน้ึ ก. ประหยดั ทรพั ยากรทใ่ี ชใ้ นการจา่ ยค่าจา้ ง ข. คล่องตวั และไมผ่ ดิ พลาด เน่อื งจากรจู้ กั ผปู้ ฏบิ ตั งิ านดกี ว่า ค. ทาํ งานผดิ พลาด เน่อื งจากตนเองไมใ่ ช่เจา้ หน้าทก่ี ารเงนิ ง. หาผลประโยชน์จากองคก์ รได้ 8. วธิ กี ารตรวจสอบการสรรหาและบรรจพุ นกั งานคอื ขอ้ ใด ก. วเิ คราะหค์ ่าใชจ้ า่ ยของฝา่ ยบคุ คลทเ่ี กดิ ขน้ึ จรงิ กบั งบประมาณ ข. ตรวจสอบวา่ ก่อนบรรจุ ไดผ้ า่ นการทดลองงานตามระเบยี บ ค. ตรวจอตั ราค่าจา้ งพนกั งานวา่ เป็นไปตามระเบยี บ ง. ตรวจสอบวา่ มกี ารใชผ้ ลการประเมนิ การปฏบิ ตั งิ านในการเลอ่ื นตําแหน่ง 9. ถา้ กจิ กรรมควบคมุ คอื การแบง่ แยกหน้าทก่ี ารขายกบั การใหส้ นิ เช่อื ออกจากนั ผตู้ รวจสอบจะใช้ วธิ กี ารตรวจสอบใด ก. สอบทานผงั องคก์ ร ขอบเขตหน้าทค่ี วามรบั ผดิ ชอบของหน่วยงาน ข. ตรวจสอบเอกสารการขาย และใบเสรจ็ รบั เงนิ ค. สอบทานวงเงนิ สนิ เชอ่ื ของลกู คา้ และการอนุมตั ิ ง. สอบทานงบกระทบยอดของบญั ชยี ่อยลกู หน้กี บั บญั ชคี มุ ลกู หน้ี บทที่ 10 การควบคมุ และการตรวจสอบภายในด้านต่างๆ ที่สาคญั ขององคก์ ร

481 10. ขอ้ ใด ไมใ่ ช่ วธิ กี ารควบคุมภายในเกย่ี วกบั การจดั ซอ้ื ก. ตรวจนบั ของตามสญั ญาซอ้ื ขาย และทดสอบคณุ ภาพทุกครงั้ ข. กาํ หนดนโยบายการจดั ซอ้ื ไวอ้ ยา่ งชดั เจน ค. มกี ารอนุมตั กิ ารสงั่ ซอ้ื ง. กําหนดใหจ้ ดั ซอ้ื จากผขู้ ายเพยี งรายเดยี วเป็นประจาํ การควบคมุ และการตรวจสอบภายในดา้ นต่างๆ ที่สาคญั ขององคก์ ร บทที่ 10

482 เอกสารอ้างอิง จนั ทนา สาขากร, นพิ นั ธ์ เหน็ โชคชยั ชนะ, และศลิ ปพร ศรจี นั่ เพชร. (2557). การควบคมุ ภายในและการตรวจสอบภายใน. พมิ พค์ รงั้ ท่ี 1. กรงุ เทพฯ : ทพี เี อน็ เพรส. ชชู ยั สมทิ ธไิ กร. (2556). การสรรหา การคดั เลือก และการประเมินผลการปฏิบตั ิงานของ บคุ ลากร. จาํ นวน 2,000 เล่ม. พมิ พค์ รงั้ ท่ี 4. กรงุ เทพฯ : จฬุ าลงกรณ์มหาวทิ ยาลยั . ตลาดหลกั ทรพั ยแ์ ห่งประเทศไทย, และสมาคมผตู้ รวจสอบภายในแหง่ ประเทศไทย. (2554). แนวทางการตรวจสอบภายใน. จาํ นวนพมิ พ์ 12,000 เลม่ . พมิ พค์ รงั้ ท่ี 1. ปทมุ ธานี : ดบู ายเบส. นิพนั ธ์ เหน็ โชคชยั ชนะ, และศลิ ปพร ศรจี นั่ เพชร. (2554). การสอบบญั ชี. พมิ พค์ รงั้ ท่ี 2. กรงุ เทพฯ : ทพี เี อน็ เพรส. บุญเสรมิ วมิ กุ ตะนนั ทน์, และคณะ. (2556). การบญั ชีขนั้ กลาง 1. จาํ นวน 3,000 เลม่ . พมิ พค์ รงั้ ท่ี 7. กรงุ เทพฯ : ว.ี พรน้ิ ท์ (1991). มหาวทิ ยาลยั สโุ ขทยั ธรรมาธริ าช สาขาวชิ าวทิ ยาการจดั การ. (2554). เอกสารประกอบการสอน ชุดวิชาการใช้คอมพิวเตอรใ์ นการจดั ทาบญั ชีและตรวจสอบบญั ชี หน่วยที่ 8 – 15. จาํ นวนพมิ พ์ 3,000 เล่ม. พมิ พค์ รงั้ ท่ี 1. กรงุ เทพฯ : มหาวทิ ยาลยั สุโขทยั ธรรมาธริ าช. แผนการปฏิบตั ิงานการตรวจนับเงินสดและการเกบ็ รกั ษาเงิน. สบื คน้ เมอ่ื 4 กรกฎาคม 2558. จาก http://www.auditor0216.moi.go.th/auditor/kung%20f1.doc สมาคมนกั บรหิ ารพสั ดแุ หง่ ประเทศไทย. (2558). ประมวลกฎหมายและระเบียบท่ีเกี่ยวข้อง กบั การพสั ด.ุ พมิ พค์ รงั้ ท่ี 16. ม.ป.พ. อนนั ตช์ ยั คงจนั ทน์. (2557). การจดั การทรพั ยากรมนุษย.์ พมิ พค์ รงั้ ท่ี 1. กรงุ เทพฯ : ภาพพมิ พ.์ บทท่ี 10 การควบคมุ และการตรวจสอบภายในด้านต่างๆ ที่สาคญั ขององคก์ ร

483 แผนบริหารการสอนประจาบทท่ี 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ หวั ข้อเนื้อหาประจาบท 1. แนวคดิ เกย่ี วกบั การตรวจสอบเทคโนโลยสี ารสนเทศ 2. ความแตกต่างระหว่างระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอรก์ บั ทไ่ี มใ่ ชค้ อมพวิ เตอร์ 3. ความเสย่ี งดา้ นเทคโนโลยสี ารสนเทศ 4. การควบคุมภายในของเทคโนโลยสี ารสนเทศ 5. การทดสอบการควบคุมภายในของเทคโนโลยสี ารสนเทศ 6. แนวทางการตรวจสอบเทคโนโลยสี ารสนเทศ 7. ประเภทของการตรวจสอบระบบสารสนเทศ 8. การตรวจสอบระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอร์ 9. ปจั จยั พจิ ารณาการใชค้ อมพวิ เตอรช์ ่วยในการตรวจสอบ วตั ถปุ ระสงคเ์ ชิงพฤติกรรม 1. ผเู้ รยี นสามารถอธบิ ายแนวคดิ เกย่ี วกบั การตรวจสอบเทคโนโลยสี ารสนเทศได้ 2. ผเู้ รยี นสามารถอธบิ ายความแตกต่างระหวา่ งระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอรก์ บั ทไ่ี มใ่ ช้ คอมพวิ เตอรไ์ ด้ 3. ผเู้ รยี นสามารถอธบิ ายความเสย่ี งดา้ นเทคโนโลยสี ารสนเทศได้ 4. ผเู้ รยี นสามารถอธบิ ายการควบคุมภายในของเทคโนโลยสี ารสนเทศได้ 5. ผเู้ รยี นสามารถอธบิ ายการทดสอบการควบคุมภายในของเทคโนโลยสี ารสนเทศได้ 6. ผเู้ รยี นสามารถอธบิ ายแนวทางการตรวจสอบเทคโนโลยสี ารสนเทศได้ 7. ผเู้ รยี นสามารถอธบิ ายประเภทของการตรวจสอบระบบสารสนเทศได้ 8. ผเู้ รยี นสามารถอธบิ ายการตรวจสอบระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอรไ์ ด้ 9. ผเู้ รยี นสามารถอธบิ ายปจั จยั พจิ ารณาการใชค้ อมพวิ เตอรช์ ว่ ยในการตรวจสอบได้ วิธีการสอนและกิจกรรมการเรียนการสอนประจาบท 1. ชแ้ี จงรายละเอยี ดรายวชิ า วธิ กี ารจดั การเรยี นการสอน การวดั และการประเมนิ ผล 2. การบรรยายเน้อื หา 3. ถาม–ตอบในชนั้ เรยี น 4. ทาแบบฝึกหดั ทา้ ยบท การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ บทท่ี 11

484 สื่อการเรยี นการสอน 1. เอกสารประกอบการสอน เรอ่ื ง การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยี สารสนเทศ 2. ชดุ การสอน Power Point 3. แหลง่ ขอ้ มลู อเิ ลก็ ทรอนิกสท์ เ่ี กย่ี วขอ้ ง 4. แหลง่ ความรจู้ ากวารสารและหนงั สอื พมิ พต์ ่าง ๆ การวดั ผลและการประเมินผล 1. สงั เกตความสนใจขณะฟงั บรรยายและการตอบคาถาม 2. สงั เกตจากการทาแบบฝึกหดั ในชนั้ เรยี น 3. สงั เกตจากพฤตกิ รรมความสนใจ และการรว่ มกจิ กรรมในชนั้ เรยี น 4. ประเมนิ ผลจากการทาแบบฝึกหดั ทา้ ยบท บทท่ี 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

485 บทท่ี 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ การใชเ้ ทคโนโลยสี ารสนเทศมบี ทบาทสาคญั อย่างมากในการดาเนินงานไม่ว่าจะเป็นหน่วยงาน ภาครฐั หรอื ภาคเอกชนกต็ าม เน่ืองจากระบบเทคโนโลยสี ารสนเทศเป็นโครงสรา้ งพ้นื ฐานท่ีช่วยในการ สนับสนุนการทาธุรกรรม และในการดาเนินงานให้มคี วามรวดเรว็ ทนั สมยั ในยุคปจั จุบนั ตงั้ แต่การ นามาใชบ้ นั ทกึ รายการธรุ กจิ ทเ่ี กดิ ขน้ึ ประจาวนั การใหบ้ รกิ ารลกู คา้ และใหข้ อ้ มลู สาหรบั ผบู้ รหิ ารในการ ตัดสินใจ ระบบเทคโนโลยีสารสนเทศจึงเป็นเคร่ืองมือท่ีจะช่วยให้การดาเนินงานเป็นไปอย่างมี ประสทิ ธภิ าพ ลดต้นทุน เพิ่มขดี ความสามารถในการแข่งขนั ขณะเดยี วกนั การนาระบบเทคโนโลยี สารสนเทศมาใช้ในองคก์ ร ย่อมมคี วามเสย่ี งเกดิ ขน้ึ หากผูบ้ รหิ ารไม่มมี าตรการควบคุมทด่ี ี ดงั นนั้ จงึ เป็นหน้าท่ีของผู้ตรวจสอบภายในท่ีต้องเข้ามาช่วยประเมนิ ถึงความเส่ยี งและศึกษาทาความเข้าใจ เกย่ี วกบั กระบวนการต่างๆ วธิ กี ารตรวจสอบดา้ นเทคโนโลยสี ารสนเทศทม่ี ปี ระสทิ ธภิ าพรวมทงั้ หาแนว ทางป้องกนั แกไ้ ขเพ่อื ช่วยใหผ้ บู้ รหิ ารมคี วามมนั่ ใจยง่ิ ขน้ึ แนวคิดเก่ียวกบั การตรวจสอบเทคโนโลยีสารสนเทศ อุษณา ภทั รมนตรี (2555 : 1–2) ไดก้ ลา่ วถงึ คาว่าเทคโนโลยสี ารสนเทศหากวเิ คราะหจ์ ากศพั ท์ ท่ใี ช้ในการนามาประยุกต์ใช้ในงานแล้วนัน้ สามารถแยกออกได้เป็น 2 คาคอื “เทคโนโลยี” และ “สารสนเทศ” กลา่ วคอื เทคโนโลยี (Technology) คอื การประยุกต์ความรดู้ า้ นวทิ ยาศาสตรม์ าใช้ให้เกดิ ประโยชน์ท่ี เก่ียวข้องกับการผลิต การสร้าง วิธกี ารดาเนินงานและรวมถึงอุปกรณ์ต่างๆ ท่ไี ม่ได้เกิดข้นึ ตาม ธรรมชาตโิ ลกแห่งเทคโนโลยใี นยุคน้ีทาให้มนุษยไ์ ดร้ บั สง่ิ อานวยความสะดวกจากการนาเทคโนโลยเี ขา้ มาประยุกต์ใช้กับการดาเนินชีวิตประจาวนั มากมายนับไม่ถ้วนโดยเทคโนโลยใี นปจั จุบันน้ีจะอาศัย สญั ญาณเช่อื มต่อจากการคมนาคมเพอ่ื ทาการตดิ ต่อส่อื สาร สารสนเทศ (Information) คือ ผลลพั ธ์ท่ไี ด้จากการประมวลของข้อมูลดบิ จากแหล่งต่างๆ และนามาผ่านกระบวนการประมวลผลไมว่ ่าจะเป็นการจดั กลุม่ ขอ้ มลู การเรยี งลาดบั ขอ้ มลู การคานวณ และสรุปผล จากนนั้ กน็ ามาเสนอในรูปแบบของรายงานทเ่ี หมาะสมต่อการใชง้ านทก่ี ่อใหเ้ กิดประโยชน์ ต่อการดาเนินชวี ติ ของมนุษยไ์ ม่ว่าจะเป็นด้านของดารงชวี ติ ประจาวนั ขา่ วสาร ความรวู้ ชิ าการ และ ธุรกจิ จากความหมายคา 2 คาข้างต้นถ้านามารวมกนั แล้วจะเรยี ก “เทคโนโลยสี ารสนเทศ” ตามท่ี บุคคลทวั่ ไปเขา้ ใจกนั ดซี ่งึ อาจจะเรยี กสนั้ ๆ อีกอย่างหน่ึงว่า “ไอท”ี (IT) ได้ถูกนามาใชใ้ นการทางาน อย่างกว้างขวางเกือบทุกวงการล้วนเป็นสง่ิ จาเป็นและสาคญั อย่างยง่ิ ในปจั จุบนั เพราะการเช่อื มโยง การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทที่ 11

486 ข่าวสารทางอนิ เตอรเ์ น็ตหรอื ระบบดจิ ทิ ลั ทาให้เกดิ ความคล่องตวั และสะดวกต่อผูป้ ฏบิ ตั งิ านในองคก์ ร รวมถงึ การส่งขอ้ มลู ข่าวสารกร็ วดเรว็ ทนั ต่อการใช้งานดว้ ย นอกจากนนั้ ยงั ตอ้ งอาศยั ระบบการจดั การ ฐานขอ้ มลู ทอ่ี ยใู่ นรปู อเิ ลก็ ทรอนกิ สไ์ รซ้ ง่ึ เอกสารในการตรวจสอบ 1. ความหมายของการตรวจสอบเทคโนโลยีสารสนเทศ (Meaning of Audit Technology) เอกกมล เอย่ี มศรี (2555 : 1) ไดใ้ หค้ วามหมายของการตรวจสอบเทคโนโลยสี ารสนเทศ หรอื การตรวจสอบขอ้ มลู ระบบวา่ เป็นการตรวจสอบการควบคุมการจดั การภายในระบบหรอื ฝา่ ยเทคโนโลยี สารสนเทศ (IT) ซง่ึ การตรวจสอบจะพจิ ารณาโครงสรา้ งพน้ื ฐานดว้ ยการประเมนิ ผลจากหลกั ฐานทไ่ี ดเ้ ขา้ ไปตรวจสอบแล้วพบว่าขอ้ มูลท่ไี ด้มกี ารปกป้องทเ่ี ป็นสนิ ทรพั ยข์ ององค์กร/บรษิ ทั ยงั คงสภาพขอ้ มูล สมบูรณ์ และมีการดาเนินงานได้อย่างมปี ระสิทธิภาพ เพ่ือให้บรรลุเป้ าหมายขององค์กร หรือ วตั ถุประสงค์ มหาวทิ ยาลยั สโุ ขทยั ธรรมาธริ าช (2554 : 120) ใหน้ ยิ ามการตรวจสอบระบบงานเทคโนโลยสี าร สนเทศ คอื กระบวนการรวบรวมและการประเมนิ หลกั ฐาน เพ่อื พจิ ารณาถึงการนาคอมพวิ เตอรม์ าใช้ เพ่อื ชว่ ยดแู ลรกั ษาทรพั ยส์ นิ รกั ษาความครบถ้วนและถูกต้องของขอ้ มลู ซง่ึ ช่วยใหบ้ รรลุเป้าหมายของ องคก์ รอยา่ งมปี ระสทิ ธผิ ลและใชท้ รพั ยากรอยา่ งมปี ระสทิ ธภิ าพ ดงั นัน้ จากคากล่าวขา้ งต้นจงึ สรุปไดว้ ่า “การตรวจสอบเทคโนโลยสี ารสนเทศ” (Information Technology Audit : ITA) หมายถงึ กระบวนการของการรวบรวมหลกั ฐานและประเมนิ หลกั ฐานทไ่ี ด้ เพ่อื ใชใ้ นการพจิ ารณาเก่ยี วกบั ความถูกต้องเช่อื ถอื ได้ของขอ้ มูล การปกปกั ดูแลรกั ษาทรพั ยส์ นิ การ รกั ษาความลบั การดาเนินงานทเ่ี กย่ี วกบั เทคโนโลยสี ารสนเทศเพ่อื บรรลุวตั ถุประสงค์ขององคก์ รอยา่ งมี ประสทิ ธผิ ลและการใชท้ รพั ยากรอยา่ งคุม้ ค่าและมปี ระสทิ ธภิ าพ 2. วตั ถปุ ระสงคข์ องการตรวจสอบเทคโนโลยีสารสนเทศขององคก์ ร (Objectives of Audit Technology) การตรวจสอบเทคโนโลยสี ารสนเทศมผี ลทาใหอ้ งคก์ รสามารถบรรลุวตั ถุประสงคห์ ลกั ต่างๆ ได้ 4 ประการ คอื (คน้ จาก, http://www.bfiia.org/imges/introc_1157589704/CPIAT%252008) 2.1 การดแู ลรกั ษาทรพั ยส์ นิ ใหป้ ลอดภยั ระบบสารสนเทศทเ่ี ป็นทรพั ยส์ นิ ขององคก์ รซง่ึ รวมฮาร์ดแวร์ ซอฟแวร์ อุปกรณ์ประกอบอ่ืนๆ แฟ้มข้อมูล ระบบเอกสารประกอบและเคร่อื งใช้ สานักงาน ควรได้รบั การปกป้องดูแลภายใต้ระบบการควบคุมภายในเช่นเดยี วกนั กบั ทรพั ยส์ นิ อ่นื ๆ ฮารด์ แวรส์ ามารถถูกทาลายได้ สทิ ธกิ ารเป็นเจา้ ของซอฟต์แวรแ์ ละขอ้ มลู ทอ่ี ย่ใู นแฟ้มขอ้ มลู สามารถถูก ขโมยหรอื ถูกทาลายได้ ทรพั ยส์ นิ เหล่าน้ีมกั จะถูกรวบรวมไวใ้ นพน้ื ทเ่ี ลก็ ๆ หรอื ในพ้นื ท่ไี ม่กแ่ี ห่ง เช่น แผ่นดิสก์ ดงั นัน้ การดูแลรกั ษาทรพั ย์สินให้ปลอดภยั จงึ เป็นวตั ถุประสงค์หลกั ท่อี งค์กรจะต้องให้ ความสาคญั บทท่ี 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

487 2.2 ความครบถว้ นและถกู ตอ้ งของขอ้ มลู เป็นแนวคดิ พน้ื ฐานในการตรวจสอบระบบงาน สารสนเทศ ขอ้ มลู ควรมคี ณุ สมบตั ิ คอื ครบถว้ น สมบรู ณ์ ถูกตอ้ งและเป็นจรงิ ถา้ หากว่าขอ้ มลู ไมไ่ ด้ รบั การดูแล องค์กรจะไม่มขี อ้ มูลท่แี ท้จรงิ ซ่งึ อาจจะมผี ลกระทบต่อการตดั สนิ ใจของผู้บรหิ ารหรอื ผู้ใช้ ขอ้ มูล ยง่ิ ไปกว่านัน้ ความครบถ้วนและถูกต้องของขอ้ มูลขององค์กรอย่ใู นระดบั ต่า องค์กรจะประสบ ปญั หาจากการสญู เสยี ขอ้ ไดเ้ ปรยี บในการแขง่ ขนั ทางธุรกจิ ไดง้ า่ ยขน้ึ 2.3 ความมปี ระสทิ ธผิ ลของระบบ ระบบสารสนเทศทม่ี ปี ระสทิ ธผิ ลกค็ อื จะตอ้ งบรรลุตรง ตามวตั ถุประสงค์ท่วี างไว้ซ่งึ การตรวจสอบการมปี ระสทิ ธผิ ลของระบบมกั จะเกิดข้นึ หลงั จากท่รี ะบบ ทางานไปแลว้ ในระยะเพอ่ื พจิ ารณาว่าระบบไดบ้ รรลุถงึ วตั ถุประสงค์ การประเมนิ น้ีจะช่วยใหผ้ บู้ รหิ ารได้ ทราบว่าจะยกเลกิ ระบบ จะยงั คงใชต้ ่อไป หรอื จะเปลย่ี นแปลงแกไ้ ขไปในทางใดทางหน่งึ 2.4 ความมปี ระสทิ ธภิ าพของระบบ ระบบสารสนเทศทม่ี ปี ระสทิ ธภิ าพจะมองถงึ การใช้ ทรพั ยากรอยา่ งประหยดั เพ่อื ให้การปฏบิ ตั งิ านเป็นไปตามวตั ถุประสงคท์ ต่ี อ้ งการระบบสารสนเทศมกี าร ใชท้ รพั ยากรทห่ี ลากหลาย เชน่ เวลาในการใชเ้ ครอ่ื งซอฟตแ์ วรร์ ะบบและแรงงาน ซง่ึ ทรพั ยากรเหล่าน้ี เป็นทรพั ยากรทห่ี าไดย้ าก และใชโ้ ปรแกรมระบบงานทแ่ี ตกต่างกนั ความมปี ระสทิ ธภิ าพของระบบได้ กลายเป็นส่วนทม่ี คี วามสาคญั ทผ่ี ตู้ รวจสอบมงุ่ เน้นเพ่อื ตอบสนองใหแ้ ก่ผู้บรหิ าร 3. ลกั ษณะของระบบสารสนเทศ (Nature of Information System) โดยทวั่ ไปการจดั แบ่งโครงสรา้ งของระบบสารสนเทศ ถา้ พจิ ารณาจากความตอ้ งการของผใู้ ชก้ าร นาสารสนเทศไปใชใ้ นการปฏบิ ตั งิ านและการวางแผนกลยทุ ธต์ ่างๆ ใหก้ บั องคก์ รสามารถแบ่งออกไดเ้ ป็น 4 ระดบั ดงั น้ี (คน้ จาก, http://elearning.northcm.ac.th/it/lesson1.asp) ระดบั ท่ี 1 หรอื ระดบั ต่าสุดจะประกอบดว้ ยสารสนเทศการประมวลผลรายการ และการสอบถาม สถานะของสารสนเทศ ซง่ึ พนักงานปฏบิ ตั กิ ารหรอื ผใู้ ชท้ วั่ ไปจะสามารถใชร้ ะบบในการบนั ทกึ ขอ้ มลู เพ่อื ทาการประมวลผล ระดบั ท่ี 2 จะประกอบดว้ ยสารสนเทศทช่ี ่วยสนบั สนุนการดาเนนิ งานประจาและการควบคุมงาน ซ่งึ ผู้บริหารระดบั ต้นจะใช้ประโยชน์ในการจดั การวางแผนดาเนินการตดั สนิ ใจและการควบคุมการ ปฏบิ ตั งิ านต่างๆ ระดบั ท่ี 3 จะประกอบดว้ ยสารสนเทศทช่ี ่วยในการวางแผนกลวธิ แี ละการตดั สนิ ใจเก่ยี วกบั การ ควบคุมในระดบั การจดั การ ซง่ึ ผูบ้ รหิ ารระดบั กลางจะใช้ประโยชน์เพ่อื วางแผนกลวธิ ใี ชเ้ ป็นแนวทางใน การปฏบิ ตั งิ าน ระดบั ท่ี 4 จะประกอบด้วยสารสนเทศท่ชี ่วยสนับสนุนการวางแผนกลยุทธ์และการกาหนด นโยบาย โดยผบู้ รหิ ารระดบั สงู จะเป็นคนจดั การประมวลผลสารสนเทศในแต่ละระดบั ซง่ึ อาจจาเป็นต้อง ใชส้ ารสนเทศทจ่ี ดั เตรยี มขน้ึ จากระดบั ทต่ี ่ากว่าหรอื นาขอ้ มลู ใหม่ๆ ทงั้ จากภายในและภายนอกองคก์ รมา ใชใ้ นการประมวลผลดว้ ย การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทท่ี 11

488 จากลกั ษณะของระบบสารสนเทศดงั กลา่ วขา้ งตน้ นามาสรปุ เป็นตารางเพอ่ื ใหเ้ ขา้ ใจยงิ่ ขน้ึ ดงั น้ี ตารางท่ี 11.1 การเปรยี บเทยี บความแตกต่างของการนาขอ้ มลู สารสนเทศไปใช้ ในดา้ นการปฏบิ ตั งิ าน และการวางแผนกลยทุ ธใ์ นองคก์ ร ลกั ษณะสารสนเทศ สารสนเทศสาหรบั การ สารสนเทศสาหรบการวางแผน ควบคมุ ด้านการปฏิบตั ิงาน กลยทุ ธ์ แหลง่ ขอ้ มลู ใชข้ อ้ มลู ภายในองคก์ รเป็นส่วน ใชข้ อ้ มลู จากภายนอกองคก์ ร ใหญ่ ขอบเขต ระบกุ ารปฏบิ ตั งิ านไวอ้ ยา่ ง วางแผนในช่วงระยะเวลายาว ชดั เจนในช่วงเวลาสนั้ ๆ ช่วงเวลา ในอดตี ในอนาคต ความเป็นปจั จบุ นั ใกลก้ บั ค่าในปจั จบุ นั ห่างไกลจากคา่ ในปจั จบุ นั ความถกู ตอ้ ง ถกู ตอ้ งสงู ถูกต้องต่า (มีความคลาดเคล่ือน เกดิ ขน้ึ ) ความถใ่ี นการใชง้ าน เกดิ ขน้ึ บอ่ ย นานๆ จงึ เกดิ ขน้ึ ทม่ี า : (http;//www.itghailand.com/ tag / 1 กรกฎาคม 2558) นอกจากน้ี ระบบสารสนเทศทด่ี แี ละมคี ณุ ภาพนนั้ จะตอ้ งมคี ณุ สมบตั ดิ งั ต่อไปน้ี 3.1 มคี วามเทย่ี งตรง (Accuracy) สารสนเทศทไ่ี ดจ้ ากการประมวลผลนนั้ จะตอ้ งไมท่ าให้ เกดิ ความเขา้ ใจผดิ และมขี อ้ ผดิ พลาด โดยสารสนเทศนนั้ จะตอ้ งแสดงผลไดอ้ ย่างชดั เจน และเทย่ี งตรง ซง่ึ สามารถสะทอ้ นใหเ้ หน็ ถงึ ความหมายของขอ้ มลู ทน่ี ามาใชเ้ ป็นพน้ื ฐานในการประมวลผลและถ่ายทอด เป็นภาพทถ่ี กู ตอ้ งใหแ้ ก่ผรู้ บั ดว้ ย 3.2 ทนั ต่อการใชง้ าน (Timeliness) กลา่ วคอื สารสนเทศทจ่ี ดั ทานนั้ จะตอ้ งเสรจ็ ในช่วง เวลาทก่ี าหนดและตามเวลาทผ่ี ใู้ ชต้ อ้ งการ 3.3 ตรงต่อความตอ้ งการของผใู้ ช้ (Relevacy) กล่าวคอื สารสนเทศนนั้ จะตอ้ งสามารถ ตอบคาถาม หรอื แสดงผลไดต้ รงตามทผ่ี ใู้ ชต้ อ้ งการ ซง่ึ สารสนเทศท่ีผใู้ ชค้ นหน่ึงตอ้ งการอาจจะไมต่ รง กบั ความตอ้ งการของผใู้ ชอ้ กี คนหน่งึ กไ็ ด้ เชน่ พนกั งานขายแต่ละคนจะมคี วามตอ้ งการขอ้ มลู ของสนิ คา้ ทส่ี งั่ ซอ้ื โดยลูกคา้ ทต่ี นรบั ผดิ ชอบ ในขณะทผ่ี จู้ ดั การฝ่ายขายจะตอ้ งการขอ้ มลู ของลกู คา้ ทงั้ หมดทส่ี งั่ ซอ้ื สนิ คา้ เพ่อื วเิ คราะหแ์ ละจดั อนั ดบั สนิ คา้ ทข่ี ายดี เพอ่ื ทาการสงั่ ซอ้ื เขา้ มาขายต่อไป เป็นตน้ 4. ประโยชน์ของการใช้เทคโนโลยีสารสนเทศ (Benefits of Using Information Technology) ปจั จุบนั การใชเ้ ทคโนโลยสี ารสนเทศเพ่อื การตดิ ต่อส่อื สารดว้ ยอุปกรณ์เช่อื มโยงสญั ญาณต่างๆ ทาใหช้ วี ติ ของมนุษยม์ คี วามสะดวกสบาย ทนั สมยั และรวดเรว็ ยง่ิ ขน้ึ โดยเฉพาะการนามาใชใ้ นการ บทท่ี 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ

489 ปฏบิ ตั งิ านในกจิ กรรมต่างๆ ภายในองคก์ ร ดงั นนั้ ประโยชน์ของการใชเ้ ทคโนโลยสี ารสนเทศมหี ลาย ประการ เช่น 4.1 ดา้ นการศกึ ษา การใชเ้ ทคโนโลยสี ารสนเทศเพ่อื อานวยความสะดวกในการบรหิ าร ด้านการศึกษา เช่น ระบบการลงทะเบียน ระบบการจดั การเรยี นการสอน นอกจากน้ียงั ใช้เป็น เครอ่ื งมอื ในการเพม่ิ โอกาสทางดา้ นการศกึ ษาและเพม่ิ ประสทิ ธภิ าพการเรยี นการสอนในลกั ษณะต่าง ๆ ไดแ้ ก่ การศกึ ษาทางไกลผ่านดาวเทยี ม บทเรยี นอเิ ลก็ ทรอนิกส์ เป็นตน้ 4.2 ดา้ นการแพทยแ์ ละสาธารณสขุ มกี ารใชเ้ ทคโนโลยสี ารสนเทศประโยชน์ในดา้ นการทา ทะเบยี นคนไข้ การรกั ษาพยาบาลทวั่ ไป ตลอดจนการวนิ ิจฉยั และรกั ษาโรคต่างๆ ไดอ้ ย่างรวดเรว็ และ แม่นยา นอกจากน้ียงั ใชใ้ นหอ้ งทดลอง การศกึ ษาและการวจิ ยั ทางการแพทย์ รกั ษาคนไขด้ ว้ ยระบบ การรกั ษาทางไกลตลอดเวลาผ่านเครอื ข่ายการส่อื สาร เครอ่ื งเอก็ ซเรยค์ อมพวิ เตอรท์ เ่ี รยี กว่า อเี อ็มไอ สแกนเนอร์ (EMI Scanner) ถูกนามาใชถ้ ่ายภาพสมองมนุษยเ์ พ่อื ตรวจหาความผดิ ปกตใิ นสมอง เช่น ดูเน้ืองอกพยาธเิ ลอื ดออกในสมอง และต่อมาได้พฒั นาให้ถ่ายภาพหน้าตดั ได้ทวั่ ร่างกายเรยี กช่อื ว่า “ซเี อท”ี (CAT–Computeriaed Axial Tomorgahy scanner : CAT scanner) ใชว้ ธิ ฉี ายแสงเป็นจงั หวะ ไปรอบๆ ร่างกายของมนุษย์ ถ่ายเอ็กซเรย์และเคร่อื งรบั แสงเอ็กซเรย์ท่อี ยู่ตรงข้ามจะเปล่ยี นแสง เอก็ ซเรยใ์ หเ้ ป็นสญั ญาณไฟฟ้าเกบ็ ไวใ้ นจานแมเ่ หลก็ จากนัน้ จะนาสญั ญาณไฟฟ้าน้ีเขา้ ไปวเิ คราะหใ์ น เครอ่ื งคอมพวิ เตอร์ และแสดงผลลพั ธเ์ ป็นภาพทางจอโทรทศั น์หรอื พมิ พภ์ าพออกมาทางเครอ่ื งพมิ พ์ 4.3 ดา้ นการเกษตรและอุตสาหกรรม มกี ารใชเ้ ทคโนโลยสี ารสนเทศประโยชน์ในดา้ น เกษตรกรรม เช่น การจดั ทาระบบข้อมูลเพ่ือการเกษตรและพยากรณ์ผลผลิตด้านการเกษตร นอกจากน้ียงั ช่วยพฒั นาความก้าวหน้าทางด้านอุตสาหกรรม การประดษิ ฐห์ ุ่นยนต์เพ่อื ใชท้ างานบา้ น และหุ่นยนต์เพ่ืองานอุตสาหกรรมท่ีต้องเส่ียงภัยและเป็นอันตรายต่อสุขภาพ ปจั จุบนั เทคโนโลยี สารสนเทศนามาใชอ้ ย่างมากในการผลติ และควบคุมคุณภาพสนิ คา้ การส่งสนิ คา้ ตามใบสงั่ สนิ คา้ การ ควบคุมวสั ดุคงคลงั และการคดิ ราคาตน้ ทนุ สนิ คา้ เป็นตน้ 4.4 ดา้ นการเงนิ การธนาคาร มกี ารใชเ้ ทคโนโลยสี ารสนเทศในดา้ นการเงนิ และธนาคารโดย ใช้ช่วยงานดา้ นบญั ชี การฝากถอนเงนิ โอนเงนิ บรกิ ารสนิ เช่อื แลกเปล่ยี นเงนิ ตรา บรกิ ารข่าวสาร การธนาคาร การใชค้ อมพวิ เตอรด์ า้ นการเงนิ การธนาคารทร่ี จู้ กั กนั และนิยมใชท้ วั่ ไป เช่น การบรกิ าร ฝากถอนเงนิ การโอนเงนิ แบบอเิ ลก็ ทรอนิกส์ เป็นตน้ 4.5 ดา้ นความมนั่ คง มกี ารใชเ้ ทคโนโลยสี ารสนเทศเพ่อื ควบคุมการปฏบิ ตั งิ านดา้ นต่างๆ เช่น ใชใ้ นการควบคุมประสานงานวงจรส่อื สารทหาร การแปลรหสั ลบั ในงานระหว่างประเทศ การส่ง ดาวเทยี มและการคานวณวถิ กี ารโคจรของจรวดไปสู่อวกาศ สานักงานตารวจแห่งชาตมิ ศี ูนยป์ ระมวล ทะเบียนประวัติอาชญากร เป็นต้น ซ่ึงการนาเทคโนโลยสี ารสนเทศเข้ามาปฏิบัติงานใช้ในการ ตดิ ต่อส่อื สารทาใหเ้ กดิ ความสะดวกรวดเรว็ ในการสบื คน้ ขอ้ มลู เพอ่ื การสบื สวนคดตี ่างๆ 4.6 ดา้ นการคมนาคม มกี ารใชเ้ ทคโนโลยสี ารสนเทศในส่วนทเ่ี กย่ี วกบั การเดนิ ทาง เช่น การเดนิ ทางโดยรถไฟ มกี ารเช่อื มโยงขอ้ มลู การจองทน่ี ัง่ ไปยงั ทกุ สถานี ทาใหส้ ะดวกต่อผโู้ ดยสาร การ เชค็ อนิ ของสายการบนิ เป็นตน้ การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ บทท่ี 11

490 4.7 ดา้ นวศิ วกรรมและสถาปตั ยกรรม มกี ารใชเ้ ทคโนโลยสี ารสนเทศในการออกแบบหรอื จาลองสภาวการณ์ต่างๆ เช่น การรบั แรงสนั่ สะเทอื นของอาคารเม่อื เกดิ แผ่นดนิ ไหว โดยการคานวณ และแสดงภาพสถานการณ์ใกลเ้ คยี งความจรงิ 4.8 ดา้ นการพาณชิ ย์ องคก์ รในภาคธรุ กจิ ใชป้ ระโยชน์จากเทคโนโลยสี ารสนเทศเพ่อื ตดิ ต่อส่อื สารในการบรหิ ารจดั การ ช่วยเพม่ิ ความยดื หยนุ่ ในการทางานขององคก์ ร ทาใหก้ ารประสานงาน หรือการทากิจกรรมต่างๆ ของแต่ละหน่วยงานในองค์กรหรือระหว่างองค์กรเป็นไปได้อย่างมี ประสทิ ธภิ าพมากขน้ึ นอกจากน้ียงั สามารถนามาใชป้ รบั ปรุงการให้บรกิ ารกบั ลูกค้าซ่งึ เป็นการสรา้ ง ภาพลกั ษณ์ทด่ี ขี ององคก์ ร สงิ่ เหลา่ น้นี บั เป็นการสรา้ งโอกาสความไดเ้ ปรยี บดา้ นการแขง่ ขนั ใหก้ บั องคก์ ร เช่น การให้บรกิ ารชาระค่าสนิ ค้าบรกิ าร การสงั่ ซ้อื สนิ คา้ ทางอนิ เทอรเ์ น็ต การตรวจสอบราคาสนิ ค้า ผา่ นเครอ่ื งอ่านราคาสนิ คา้ เป็นตน้ ภาพท่ี 11.1 ประโยชน์ของการใชเ้ ทคโนโลยสี ารสนเทศ ทม่ี า : (https://sites.google.com/site/kranwartheknoloyi/home / 9 กรกฎาคม 2558) 5. ความจาเป็นในการควบคมุ เทคโนโลยีสารสนเทศ (Need Control Technology) การใชเ้ ทคโนโลยสี ารสนเทศเป็นเครอ่ื งมอื ในการประกอบธรุ กจิ อยา่ งแพรห่ ลายในปจั จุบนั ทงั้ ใน ส่วนของการบรหิ ารจดั การ การจดั เก็บข้อมูล และการประมวลผลระบบงานสาคญั ต่างๆ ทาให้การ ดาเนินงานขององคก์ รมคี วามสะดวกรวดเรว็ มปี ระสทิ ธภิ าพ และเพม่ิ ความสามารถในการแข่งขนั ทาง ธุรกิจ ขณะเดียวกันก็ก่อให้เกิดความเส่ียงต่อองค์กรหลายประการซ่งึ อาจจะส่งผลกระทบต่อการ ดาเนนิ งานหรอื ก่อใหเ้ กดิ ความเสยี หาย ดงั นนั้ องคก์ รจงึ มคี วามจาเป็นในการควบคุมระบบสารสนเทศ ดงั น้ี 5.1 เพ่อื ป้องกนั ขอ้ มลู สญู หาย ขอ้ มลู ทอ่ี ยใู่ นระบบคอมพวิ เตอรห์ รอื ระบบการส่อื สาร โทรคมนาคมมโี อกาสสญู หายไดง้ า่ ยองคก์ รตอ้ งมกี ารควบคมุ ทด่ี เี พอ่ื ป้องกนั และแกไ้ ขกรณขี อ้ มลู สญู หาย 5.2 เพ่อื ความน่าเช่อื ถอื ไดถ้ ูกตอ้ งและครบถว้ นของสารสนเทศจากเทคโนโลยี สารสนเทศ ทผ่ี ดิ พลาดยอ่ มทาให้ผูบ้ รหิ ารและผใู้ ชส้ ารสนเทศนนั้ ตัดสนิ ใจแก้ไขปญั หาต่างๆ อย่างผดิ พลาดตามไป ดว้ ย บทที่ 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

491 5.3 เพอ่ื ป้องกนั การใชค้ อมพวิ เตอรใ์ นทางทม่ี ชิ อบหรอื ทุจรติ องคก์ รจะไดร้ บั ผลเสยี หาย จากการใช้คอมพวิ เตอรใ์ นทางท่ไี ม่ถูกต้อง หรอื ระบบคอมพวิ เตอรอ์ าจไม่สามารถทางานไดเ้ กิดการ หยดุ ชะงกั 5.4 เพ่อื ปกปกั รกั ษาทรพั ยส์ นิ เทคโนโลยสี ารสนเทศ เช่น ฮารด์ แวร์ ซอฟตแ์ วร์ บคุ ลากร โดยแน่ใจว่าการนาคอมพวิ เตอรม์ าใชง้ านมคี วามปลอดภยั การพฒั นาและจดั หาระบบงานขององคก์ รมี การควบคุมทร่ี ดั กุม รวมถงึ การรกั ษาความลบั ของขอ้ มลู สารสนเทศโดยเฉพาะทเ่ี ป็นเรอ่ื งสาคญั 5.5 เพอ่ื ประเมนิ เกย่ี วกบั ความเหมาะสมของระบบการควบคมุ ภายในดา้ นการปฏบิ ตั ติ าม นโยบาย ขอ้ กาหนด และกฎระเบยี บทเ่ี กย่ี วขอ้ งอยา่ งเครง่ ครดั โดยไม่กระทาความผดิ ดา้ นคอมพวิ เตอร์ พ.ศ. 2550 เช่น การเกบ็ รกั ษารหสั ผา่ น การใชโ้ ปรแกรมตามมาตรฐานทก่ี าหนด การปฏบิ ตั งิ านตาม ระดบั อนุมตั ทิ ไ่ี ดร้ บั เป็นตน้ 6. อิทธิพลและความความสาคญั ของเทคโนโลยีสารสนเทศ (Influence and Importance of Information Technology) เทคโนโลยสี ารสนเทศนับว่าเป็นทรพั ยากรสาคญั ในการพฒั นาเศรษฐกิจและสงั คมเพ่อื นามา สนบั สนุนการปฏบิ ตั งิ านใหม้ คี วามรวดเรว็ ทนั ต่อการใชง้ านอกี ทงั้ การทางานบางอยา่ งมคี วามซบั ซอ้ นของ การแปลความหมายจงึ ตอ้ งอาศยั กระบวนการทางานบนโปรแกรมคอมพวิ เตอรเ์ ขา้ มาช่วยเพ่อื ก่อใหเ้ กดิ ความแมน่ ยาถูกตอ้ ง ดงั นนั้ จงึ สรุปความสาคญั ของเทคโนโลยสี ารสนเทศต่อการบรหิ ารจดั การองคก์ ร ในปจั จบุ นั ดงั น้ี (คน้ จาก, http://www.theiiat.or.th/media/km/thumbnail/29/90210161729/seccom) 6.1 ช่วยเพมิ่ ผลผลติ และประสทิ ธภิ าพในการทาน ชว่ ยลดตน้ ทนุ การผลติ เน่อื งจากมกี าร นาระบบคอมพวิ เตอรแ์ ละระบบเครอื ข่ายเขา้ มาใชใ้ นองคก์ รช่วยใหพ้ นกั งานองคก์ รสามารถใชท้ รพั ยากร รว่ มกนั ได้ เชน่ การพมิ พ์ (Printer) สแกนเนอร์ (Scanner) รว่ มกนั เป็นตน้ 6.2 ชว่ ยลดจานวนบุคลากรในการประมวลผลและผลติ สารสนเทศเน่อื งจากจะทาใหม้ คี วาม รวดเรว็ และถูกตอ้ งมากขน้ึ อยา่ งเหน็ ไดช้ ดั งานบางอย่างทจ่ี าเป็นต้องมบี ุคลากรในการตรวจสอบความ ผดิ พลาดอาจใช้จานวนบุคลากรน้อยลง เช่น ผตู้ รวจสอบอกั ษรเม่อื มกี ารนาโปรแกรมไมโครซอฟเวริ ด์ (Microsoft Word) มาใชแ้ ละในตวั โปรแกรมมกี ารตรวจสอบคาผดิ พลาดโดยอตั โนมตั ทิ าใหล้ ดงานของผู้ ตรวจสอบอกั ษรไดบ้ างส่วน เป็นตน้ 6.3 ชว่ ยจดั ระบบสารสนเทศทม่ี อี ยอู่ ยา่ งมากมายในองคก์ รใหเ้ ป็นระเบยี บ ทาใหส้ ะดวก รวดเรว็ งา่ ยในการจดั เกบ็ และคน้ หาขอ้ มลู และเพมิ่ พนู ประสทิ ธภิ าพในการผลติ สารสนเทศ 6.4 เทคโนโลยสี ารสนเทศบางอยา่ งเป็นแบบอตั โนมตั แิ ละสามารถเขา้ ถงึ สารสนเทศไดจ้ าก แหล่งอ่นื เมอ่ื ใดกไ็ ด้ เชน่ การสงั่ ซอ้ื ออนไลน์ผา่ นระบบอนิ เทอรเ์ น็ต เป็นตน้ 6.5 ทาใหม้ กี ารกระจายโอกาสการเรยี นรไู้ ดอ้ ยา่ งทวั่ ถงึ การสอ่ื สารระหวา่ งกนั มคี วาม รวดเรว็ มากขน้ึ เชน่ มกี ารใชร้ ะบบการเรยี นการสอนทางไกล เป็นตน้ การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทที่ 11

492 ความแตกต่างระหว่างระบบสารสนเทศที่ใช้คอมพิวเตอรก์ บั ท่ีไม่ใช้คอมพิวเตอร์ เน่ืองจากในปจั จุบนั สภาพขนาดขององคก์ รต่าง ๆ มกี ารขยายใหญ่ขน้ึ การดาเนินงานมคี วาม ซบั ซอ้ น และความตอ้ งการสารสนเทศเพ่อื นาไปใชใ้ นการบรหิ ารกม็ มี ากขน้ึ ตามลาดบั ทุกองคก์ รจงึ ได้ นาเอาคอมพวิ เตอร์เขา้ มาช่วยในการปฏบิ ตั ิงานการนาข้อมูลมาบนั ทกึ ในเคร่อื งคอมพวิ เตอรจ์ ะอาศยั รายการท่ีป้อนเข้าสู่ระบบโดยตรงหรอื รบั โอนข้อมูลจากระบบอ่นื ทงั้ ในและนอกองค์กร หลงั จากนัน้ คอมพวิ เตอรจ์ ะบนั ทกึ รายการและประมวลผลใหโ้ ดยอตั โนมตั ิ ปราศจากรอ่ งรอยหลกั ฐานไวส้ าหรบั การ ตรวจสอบ ส่วนระบบทไ่ี มใ่ ชค้ อมพวิ เตอรช์ ว่ ยในการปฏบิ ตั งิ าน สง่ิ ทจ่ี าเป็นต่อการทางานคอื ต้องสรา้ ง รอ่ งรอยของหลกั ฐานไวเ้ พ่ือทาการตรวจสอบหรอื สอบทานซง่ึ ใชแ้ ฟ้มในการจดั เกบ็ เอกสารเป็นจานวน มาก เอกสารต่าง ๆ เหลา่ น้ใี ชเ้ ป็นแหล่งอา้ งองิ รวบรวมขอ้ มลู บางครงั้ อาจมกี ารจดั ทาสาเนาเอกสารขน้ึ ไวห้ ลายฉบบั ดงั นนั้ ลกั ษณะของความแตกต่างระหว่างระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอรก์ บั ระบบทไ่ี ม่ ใชค้ อมพวิ เตอร์ (หรอื ระบบทจ่ี ดั ทาดว้ ยมอื ) สรปุ สาระสาคญั ความแตกต่างทเ่ี กดิ จากการปฏบิ ตั งิ านใน องคก์ รดงั น้ี 1. โครงสร้างการจดั องคก์ ร (Organization Structuue) ในสภาพแวดลอ้ มของระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอรอ์ งคก์ รจะกาหนดโครงสรา้ งและวธิ กี าร ปฏบิ ตั งิ านต่างๆ เพ่อื บรหิ ารกจิ กรรมดา้ นระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอรใ์ หเ้ หมาะสม เชน่ 1.1 การรวมหน้าทง่ี านและความรเู้ ขา้ ดว้ ยกนั บุคคลทเ่ี กย่ี วขอ้ งในการประมวลผลขอ้ มลู ทางการเงนิ มกั จะมจี านวนลดลงมาก เน่ืองจากบุคลากรทท่ี าหน้าทป่ี ระมวลผลขอ้ มลู จะเป็นผทู้ ม่ี คี วามรู้ ความเชย่ี วชาญในรายละเอยี ดเก่ยี วกบั ความสมั พนั ธ์ระหว่างแหล่งท่มี าของขอ้ มูล วธิ กี ารประมวลผล ตลอดจนการนาเสนอ และการใชผ้ ลทไ่ี ดจ้ ากการประมวลผลนนั้ 1.2 การจดั เกบ็ โปรแกรมและขอ้ มลู ไวใ้ นสถานทเ่ี ดยี วกนั โดยปกตแิ ฟ้มขอ้ มลู จะเกบ็ อย่ใู น รปู แบบทอ่ี ่านไดโ้ ดยใชค้ อมพวิ เตอรแ์ ละอาจจดั เกบ็ ไว้ในระบบคอมพวิ เตอรท์ ส่ี ่วนกลางระบบเดยี ว หรอื อาจจดั เก็บไว้ในระบบคอมพวิ เตอรห์ ลายระบบซ่งึ กระจายอย่ทู วั่ กจิ การ ดงั นัน้ หากไม่มกี ารควบคุม อย่างเหมาะสมแล้ว จะเป็นการเพ่มิ โอกาสในการเข้าถึงและเปล่ยี นแปลงแก้ไขข้อมูลและโปรแกรม คอมพวิ เตอรโ์ ดยไมไ่ ดร้ บั อนุมตั ไิ ด้ 2. ลกั ษณะของการประมวลผลข้อมลู (Nature of the Data Processing) วธิ กี ารประมวลผลโดยคอมพวิ เตอร์ อาจส่งผลใหร้ ะบบงานมลี กั ษณะดงั ต่อไปน้ี 2.1 การไม่มเี อกสารทใ่ี ชใ้ นการนาขอ้ มลู เขา้ คอมพวิ เตอร์ โดยทข่ี อ้ มลู อาจนาเขา้ ส่เู ครอ่ื ง คอมพวิ เตอรโ์ ดยตรงและไมม่ เี อกสารประกอบการบนั ทกึ รายการในบางระบบงานท่ขี อ้ มลู ถูกส่งมาตาม สาย หลกั ฐานทเ่ี ป็นลายลกั ษณ์อกั ษรของการอนุมตั ริ ายการและขอ้ มลู ท่นี าเขา้ ระบบงานคอมพวิ เตอร์ อาจใชว้ ธิ กี ารอย่างอ่นื แทน เช่น การนาเกณฑอ์ นุมตั คิ าสงั่ ซ้อื จากลูกค้าเขา้ ไปรวมไวใ้ นคอมพวิ เตอร์ บทที่ 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ

493 ล่วงหน้า เม่อื นาคาสงั่ ซ้อื จากลูกค้าเข้าเคร่อื งคอมพิวเตอร์ และคาสงั่ ซ้อื นัน้ อยู่ในเกณฑ์ท่กี าหนด คอมพวิ เตอรจ์ ะอนุมตั ดิ าเนนิ การในขนั้ ตอนต่อไป 2.2 การไมม่ หี ลกั ฐานการตดิ ตามการบนั ทกึ รายการทส่ี ามารถมองเหน็ ดว้ ยสายตาโดยปกติ ในระบบงานทจ่ี ดั ทาดว้ ยมอื จะมคี วามเป็นไปไดใ้ นการตดิ ตามร่องรอยของเอกสารทน่ี ามาบนั ทกึ ขอ้ มูล ตามรายการต่าง ๆ ทเ่ี กดิ ขน้ึ ในแต่ละวนั ตลอดระบบงาน เมอ่ื องคก์ รไดม้ กี ารนาคอมพวิ เตอรเ์ ขา้ มาช่วย บนั ทกึ ข้อมูลระบบงานจะปราศจากซ่งึ หลกั ฐานของเอกสารไว้สาหรบั การติดตามผลการตรวจสอบ บางอย่างอาจจดั เกบ็ ไวใ้ นแฟ้มขอ้ มลู โดยใชค้ อมพวิ เตอรอ์ ่านได้อย่างเดยี วเพ่อื ประหยดั ค่าใชจ้ ่ายในการ ดแู ลรกั ษาเอกสาร และขอ้ มลู ดงั กลา่ วอาจจดั เกบ็ ไวเ้ พยี งช่วงเวลาหน่งึ ทก่ี าหนดไวเ้ ท่านนั้ 2.3 การไม่มผี ลลพั ธจ์ ากการประมวลผลทส่ี ามารถมองเหน็ ไดด้ ว้ ยสายตารายงาน หรอื ผล ลพั ธ์ท่ไี ด้จากการประมวลผลบางอย่างอาจไม่ได้มกี ารพมิ พ์ออกมา หรอื อาจพมิ พ์เฉพาะข้อมูลสรุป เทา่ นนั้ การไมม่ ผี ลลพั ธท์ ผ่ี สู้ อบบญั ชสี ามารถมองเหน็ ไดด้ ว้ ยสายตาดงั กล่าว อาจทาใหจ้ าเป็นตอ้ งเรยี ก ขอ้ มลู ทจ่ี ดั เกบ็ อยใู่ นแฟ้มขอ้ มลู ขน้ึ มาซง่ึ สามารถอ่านไดโ้ ดยใชค้ อมพวิ เตอรเ์ ทา่ นนั้ 2.4 การเขา้ ถงึ ขอ้ มลู และโปรแกรมคอมพวิ เตอรท์ าไดง้ า่ ย ขอ้ มลู และโปรแกรมคอมพวิ เตอร์ อาจมกี ารเขา้ ถงึ หรอื เปล่ยี นแปลงแก้ไขสถานทต่ี งั้ คอมพวิ เตอรห์ รอื โดยผ่านการใชอ้ ุปกรณ์คอมพวิ เตอร์ จากสถานทอ่ี ่นื ซง่ึ หา่ งไกลได้ 3. การออกแบบและวิธีการปฏิบตั ิงาน (Design and Operation Practices) โดยปกตแิ ลว้ การพฒั นาระบบเทคโนโลยสี ารสนเทศทน่ี าคอมพวิ เตอรม์ าใชใ้ นองคก์ รจะมผี ลต่อ ลกั ษณะของการออกแบบและการกาหนดวธิ กี ารปฏบิ ตั งิ าน ซง่ึ จะแตกต่างจากระบบงานท่ที าดว้ ยมอื อยา่ งมาก เช่น 3.1 ความสม่าเสมอของการปฏบิ ตั งิ าน เน่ืองจากระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอรจ์ ะตอ้ ง กาหนดให้รายการทุกรายการต้องผ่านวิธีการประมวลผลและการควบคุมภายในตามท่ีเขยี นไว้ใน โปรแกรมคอมพวิ เตอรเ์ หมอื นกนั หมด ระบบขอ้ มลู สารสนเทศทแ่ี สดงเป็นผลลพั ธอ์ อกมาจากระบบจงึ ก่อใหเ้ กดิ ความน่าเช่อื ถอื มากกวา่ ผลลพั ธท์ จ่ี ดั ทาดว้ ยมอื 3.2 วธิ กี ารควบคุมโดยโปรแกรมในระบบงาน โดยทวั่ ไปแลว้ จะกาหนดใหท้ ุกระบบงานมี การตรวจสอบการผ่านเข้าไปใช้งานได้ ต้องระบุรหัสผู้ใช้งานร่วมกับรหัสผ่านท่ีถูกต้องเท่านัน้ นอกจากน้ยี งั สามารถออกแบบวธิ กี ารปฏบิ ตั งิ านอ่นื ใหใ้ ชร้ ว่ มกบั ส่วนงานทท่ี าดว้ ยมอื กไ็ ด้ เช่น การสอบ ทานรายงานเก่ยี วกบั รายการทผ่ี ดิ ปกตซิ ง่ึ พมิ พจ์ ากคอมพวิ เตอร์ การตรวจสอบความสมเหตุสมผลและ ขอ้ จากดั ของขอ้ มลู เป็นตน้ 3.3 รายการทางบญั ชรี ายการเดยี วอาจนาไปปรบั ปรุงฐานขอ้ มลู หรอื แฟ้มขอ้ มูลคอมพวิ เตอรไ์ ดม้ ากกวา่ หน่ึงแฟ้มขอ้ มลู รายการเดยี วทน่ี าเขา้ ระบบงานบญั ชอี าจปรบั ปรุงขอ้ มลู ทางบญั ชที เ่ี ก่ยี ว ขอ้ งกบั รายการนัน้ ได้พร้อมกนั ทงั้ หมดโดยอตั โนมตั ิ เช่น ขอ้ มูลการส่งสนิ ค้าให้ลูกคา้ นาไปปรบั ปรุง แฟ้มขอ้ มูลขาย ลูกหน้ี และสนิ ค้าคงเหลือ เป็นต้น ดงั นัน้ โอกาสท่ีจะเกิดความผดิ พลาดในการ ปรบั ปรงุ ขอ้ มลู ดงั กล่าวจะลดลงหากขอ้ มลู ทน่ี าเขา้ คอมพวิ เตอรถ์ ูกตอ้ ง การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ บทที่ 11

494 3.4 รายการทส่ี รา้ งขน้ึ จากระบบงาน รายการบางอยา่ งอาจสรา้ งขน้ึ อยา่ งอตั โนมตั ดิ ว้ ย ระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอร์ เช่น การคานวณดอกเบย้ี แลว้ ผ่านรายการดอกเบย้ี ไปยงั บญั ชลี กู หน้ี โดยอตั โนมตั ิ 3.5 ส่อื ทใ่ี ชใ้ นการเกบ็ โปรแกรมและขอ้ มลู มโี อกาสเสยี หายไดง้ า่ ย ขอ้ มลู โปรแกรมคอม พวิ เตอรจ์ ดั เก็บอย่ใู นส่อื ขอ้ มลู ซง่ึ อาจถูกโจรกรรม สญู หาย หรอื ถูกทาลายไดง้ ่ายทงั้ โดยเจตนาและไม่ เจตนา ดงั นนั้ จงึ จาเป็นตอ้ งมกี ารออกแบบมาตรการรกั ษาความปลอดภยั ของส่อื คอมพวิ เตอรโ์ ดยรดั กุม ตารางท่ี 11.2 ความแตกต่างระหวา่ งเทคโนโลยที ใ่ี ชค้ อมพวิ เตอรแ์ ละไมใ่ ชค้ อมพวิ เตอร์ ลกั ษณะท่ีพิจารณา ระบบท่ีใช้คอมพิวเตอร์ ระบบท่ีไมใ่ ช้คอมพิวเตอร์ 1. โครงสรา้ งการจดั องคก์ ร 1.1 หน้าทง่ี านและความรู้ 1) การรวมเขา้ ดว้ ยกนั 1) การแบ่งแยกหน้าทง่ี าน 1.2 การจดั เกบ็ ขอ้ มลู 2) การเกบ็ ไวส้ ถานท่ี 2) การแยกเกบ็ ไวท้ ต่ี ่างๆ เดยี วกนั กบั โปรแกรม คอมพวิ เตอร์ 2. ลกั ษณะของการประมวลผล 2.1 เอกสารทใ่ี ชใ้ นการนา 1) ไมม่ เี อกสารอยใู่ นรปู ขอ้ มลู 1) มเี อกสารมองเหน็ ดว้ ยสายตา ขอ้ มลู เขา้ คอมพวิ เตอร์ อเิ ลก็ ทรอนิกสม์ องไมเ่ หน็ 2.2 การบนั ทกึ รายการ 2) ไมม่ หี ลกั ฐานการตดิ ตาม 2) มหี ลกั ฐานการตดิ ตามได้ 2.3 การเขา้ ถงึ ขอ้ มลู 3) ทาไดง้ า่ ย 3) ทาไดย้ าก 2.4 ผลลพั ธจ์ ากการ 4) ไมม่ ผี ลลพั ธท์ ม่ี องเหน็ ได้ 4) มผี ลลพั ธท์ ม่ี องเหน็ ได้ ประมวลผลขอ้ มลู แต่อาจพมิ พอ์ อกมาได้ 3. การออกแบบและวธิ ปี ฏบิ ตั ิ งาน 3.1 ลกั ษณะของการ 1) สม่าเสมอตามโปรแกรม 1) ไมส่ ม่าเสมอโดยบุคลากร ปฏบิ ตั งิ าน คอมพวิ เตอร์ 3.2 วธิ กี ารควบคมุ 2) รวมอยใู่ นโปรแกรม 2) กระทาโดยบคุ ลากร คอมพวิ เตอร์ 3.3 การปรบั ปรงุ ขอ้ มลู 3) ทุกฐานขอ้ มลู หรอื แฟ้ม 3) กระทาโดยบคุ ลากรแยก ขอ้ มลู พรอ้ มกนั คนละคน 3.4 การเกดิ รายการ 4) บางรายการเกดิ โดย 4) ตอ้ งมเี อกสารบนั ทกึ รายการ อตั โนมตั ิ 3.5 สอ่ื ทใ่ี ชใ้ นการเกบ็ ขอ้ มลู 5) มโี อกาสเสยี หายไดง้ า่ ย 5) มโี อกาสเสยี หายไดย้ าก ทม่ี า : (จนั ทนา สาขากร, นพิ นั ธ์ เหน็ โชคชยั ชนะ, และศลิ ปพร ศรจี นั่ เพชร, 2557 หน้า 16–7) บทที่ 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

495 ความเสี่ยงด้านเทคโนโลยีสารสนเทศ สมาคมคอมพวิ เตอรแ์ ห่งประเทศไทย (2558 : 98) กล่าวถงึ ความเสย่ี งทเ่ี กดิ จากระบบการควบ คุมภายในทอ่ี ย่ใู นระบบสารสนเทศว่าไม่สามารถป้องกนั หรอื คน้ พบขอ้ ผดิ พลาดหรอื คน้ พบการทุจรติ ได้ ในเวลาอนั เหมาะสมรวมทงั้ ไมส่ ามารถแกไ้ ขการแสดงขอ้ มลู ทข่ี ดั ต่อขอ้ เทจ็ จรงิ ไดอ้ ย่างทนั เวลา สาเหตุ ของความเสย่ี งอาจเน่อื งมากจากการออกแบบทไ่ี มเ่ หมาะสม การกระทาของพนักงานในองคก์ รทงั้ ระดบั ผบู้ รหิ ารหรอื พนกั งานระดบั ปฏบิ ตั กิ ารหรอื อาจเกดิ จากลกั ษณะโดยทวั่ ไปของการควบคุมทม่ี อี ย่ใู นระบบ สารสนเทศขององคก์ รไม่เหมาะสมเพยี งพอ ดงั นนั้ ผตู้ รวจสอบภายในควรมคี วามรแู้ ละเขา้ ใจเกย่ี วกบั สภาพแวดล้อมของระบบสารสนเทศท่ีใช้คอมพิวเตอร์ ซ่ึงพิจารณาจากลักษณะความเส่ียงด้าน เทคโนโลยสี ารสนเทศสามารถแบง่ ออกเป็น 4 ประเภทหลกั ดงั น้ี 1. ความเสี่ยงด้านการเข้าถงึ ข้อมลู (Access Risk) เป็นความเสย่ี งเกย่ี วกบั การเขา้ ถงึ ขอ้ มลู และระบบคอมพวิ เตอรโ์ ดยบคุ คลทไ่ี มม่ อี านาจหน้าท่ี เก่ียวข้อง หรอื เป็นความเส่ียงในกรณีท่บี ุคคลท่ีมอี านาจหน้าท่ีไม่สามารถเข้าถึงข้อมูลและระบบ คอมพวิ เตอรใ์ นส่วนท่เี ก่ยี วข้องกบั งานท่รี บั ผดิ ชอบ ซง่ึ หากองค์กรมไิ ด้มวี ธิ กี ารจดั การและความคุม ความเส่ยี งด้านการเขา้ ถึงขอ้ มูลท่รี อบคอบและรดั กุมเพยี งพอแล้วอาจทาใหบ้ ุคคลทไ่ี ม่มอี านาจหน้าท่ี เกย่ี วขอ้ งไดล้ ่วงรขู้ อ้ มลู และอาจนาขอ้ มลู ไปแสวงหาประโยชน์โดยมชิ อบ อกี ทงั้ ขอ้ มลู และการทางาน ของระบบคอมพวิ เตอรก์ อ็ าจถูกแกไ้ ขเปลย่ี นแปลงไดง้ า่ ย 2. ความเสี่ยงด้านความไม่ถกู ต้อง ครบถ้วนของข้อมลู (Inergrity Risk) เป็นความเสย่ี งเกย่ี วกบั ความไมถ่ ูกตอ้ งครบถว้ นของขอ้ มลู และการทางานของระบบคอมพวิ เตอร์ ซง่ึ อาจเกดิ จากการถูกแกไ้ ขเปลย่ี นแปลงโดยบุคคลทไ่ี ม่มอี านาจหน้าทเ่ี ก่ยี วขอ้ งหรือมกี ารบนั ทกึ ขอ้ มูล การประมวลผลและการแสดงผลท่ผี ดิ พลาด โดยอาจมสี าเหตุมาจากการท่อี งค์กรมไิ ด้มกี ารควบคุม เก่ยี วกบั การเขา้ ถงึ ขอ้ มลู และระบบคอมพวิ เตอรโ์ ดยบุคคลท่ไี มม่ อี านาจหน้าทเ่ี ก่ยี วขอ้ งท่รี อบคอบและ รดั กุมเพยี งพอซง่ึ ส่งผลใหข้ อ้ มลู รวมทงั้ การทางานของระบบคอมพวิ เตอรอ์ าจถูกแก้ไขเปลย่ี นแปลงโดยมิ ชอบได้ หรอื มสี าเหตุมาจากมไิ ด้มรี ะบบการควบคุมและตรวจสอบอย่างเพยี งพอเพ่อื ให้มนั่ ใจว่าการ บนั ทกึ ข้อมูล การประมวลผล และการแสดงผลมคี วามถูกต้อง ครบถ้วน นอกจากน้ี การบรหิ าร จดั การและการควบคมุ เกย่ี วกบั การพฒั นา การแกไ้ ข หรอื เปล่ยี นแปลงระบบคอมพวิ เตอรท์ ไ่ี มร่ อบคอบ และรดั กุดเพยี งพอก็อาจส่งผลให้ระบบคอมพวิ เตอร์มกี ารประมวลผลท่ไี ม่ถูกต้องครบถ้วน หรอื ไม่ สอดคลอ้ งกบั ความตอ้ งการของผใู้ ชง้ านได้ การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทที่ 11

496 3. ความเส่ียงด้านการไมส่ ามารถใช้ข้อมลู (Availability Risk) เป็นความเสย่ี งเกย่ี วกบั การไมส่ ามารถใชข้ อ้ มลู หรอื ระบบคอมพวิ เตอรไ์ ดอ้ ยา่ งต่อเน่อื งหรอื ใน เวลาทต่ี อ้ งการซง่ึ อาจทาใหก้ ารปฏบิ ตั งิ านหยดุ ชะงกั โดยความเสย่ี งน้ีอาจเกดิ จากการมไิ ดค้ วบคุมการ ทางานของระบบคอมพวิ เตอรแ์ ละป้องกนั ความเสยี หายอย่างเพยี งพอและยงั รวมไปถงึ การมไิ ดม้ กี าร สารองขอ้ มลู และระบบงานคอมพวิ เตอรแ์ ละจดั ใหม้ แี ผนรองรบั เหตุการณ์ฉุกเฉนิ 4. ความเส่ียงด้านการจดั โครงสร้างการบริหารงาน (Infrastructure Risk) เป็นความเสย่ี งเกย่ี วกบั การทอ่ี งคก์ รมไิ ดจ้ ดั ใหม้ กี ารบรหิ ารจดั การดา้ นเทคโนโลยสี ารสนเทศท่ี สะท้อนระบบควบคุมภายในท่ดี ี รวมทงั้ มไิ ด้จดั ให้มรี ะบบคอมพวิ เตอร์และบุคลากรให้เหมาะสมและ เพยี งพอแก่การสนับสนุนการปฏบิ ตั งิ าน โดยความเส่ยี งน้ีอาจเกดิ จากการแบ่งแยกอานาจหน้าทท่ี ่ไี ม่ เหมาะสม ซง่ึ ทาใหข้ าดระบบการสอบยนั และการตรวจสอบการปฏบิ ตั งิ านทเ่ี พยี งพอ รวมถงึ การมไิ ดจ้ ดั ใหม้ นี โยบายเกย่ี วกบั การรกั ษาความปลอดภยั ด้านเทคโนโลยสี ารสนเทศ ซง่ึ ทาให้ไมม่ แี นวทางในการ ควบคมุ ความเสย่ี งต่าง ๆ หรอื เกดิ จากการไมม่ แี ผนงานและขนั้ ตอนการปฏบิ ตั งิ านทค่ี รอบคลุมงานสาคญั ทุก ด้านและมไิ ด้จดั ให้มกี ารอบรมบุคลากรด้านคอมพวิ เตอรอ์ ย่างเพยี งพอเพ่อื ให้มคี วามรอบรู้และ เชย่ี วชาญในงานทร่ี บั ผดิ ชอบ นอกจากความเสย่ี ง 4 ประเภทตามทก่ี ล่าวมาขา้ งต้นแลว้ ยงั มคี วามเสย่ี งของระบบสารสนเทศ ในองคก์ ร โดยสามารถแบ่งออกเป็น 2 ส่วนหลกั ๆ คอื ความเสย่ี งดา้ นการควบคุมทวั่ ไปและความเสย่ี ง ด้านการควบคุมเฉพาะระบบงาน ซ่งึ แต่ละส่วนสามารถอธบิ ายเพ่อื ให้เข้าใจสภาพสง่ิ แวดล้อมจาก สถานการณ์ต่างๆ ดงั น้ี สว่ นท่ี 1 ความเสย่ี งดา้ นการควบคมุ ทวั่ ไป (General Control Risks) ไดแ้ ก่ 1) ความเสย่ี งทเ่ี กดิ จากการจดั โครงสรา้ งงานสารสนเทศอาจไมเ่ ออ้ื ต่อการจดั ใหม้ ี การควบคมุ ภายในทด่ี ี และไมม่ กี ารแบ่งแยกงานสารสนเทศอยา่ งเหมาะสม 2) การจดั ทาระบบงานคอมพวิ เตอรอ์ าจไม่มคี วามสอดคลอ้ งหรอื ตอบสนองต่อ วตั ถุประสงคโ์ ดยรวมขององคก์ รอยา่ งมปี ระสทิ ธภิ าพ 3) โปรแกรมคอมพวิ เตอรท์ ใ่ี ชง้ านอยตู่ ามปกตอิ าจถูกเปลย่ี นแปลงโดยไมเ่ หมาะสม และไมถ่ กู ตอ้ ง 4) โปรแกรมคอมพวิ เตอรห์ รอื ขอ้ มลู ทจ่ี ดั เกบ็ อยใู่ นระบบคอมพวิ เตอรอ์ าจถูกนาไป ใชง้ านหรอื เปลย่ี นแปลงโดยไมไ่ ดร้ บั อนุญาต 5) ระบบคอมพวิ เตอรท์ ใ่ี ชใ้ นการประมวลผลรายการทางธุรกจิ อาจเกดิ เหตุขดั ขอ้ ง แลว้ ส่งผลกระทบทาใหธ้ ุรกจิ หยดุ ชะงกั และไมอ่ าจนาระบบกลบั มาใชใ้ หมไ่ ดภ้ ายในเวลาอนั สมควร บทที่ 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ

497 ส่วนท่ี 2 ความเสย่ี งดา้ นการความคมุ เฉพาะระบบงาน (Application Control Risks) ไดแ้ ก่ 1) การแบง่ แยกหน้าทภ่ี ายในระบบงานสารสนเทศอาจไมเ่ หมาะสม และไมเ่ ออ้ื ให้ มกี ารแบง่ แยกการทางานภายในระบบงาน 2) รายการต่าง ๆ อาจถูกนาเขา้ สรู่ ะบบงานอยา่ งไมถ่ กู ตอ้ ง ไมค่ รบถว้ นซ้าซอ้ น และไมต่ รงตามเงอ่ื นเวลา 3) รายการทเ่ี ป็นรายการผดิ ปกตอิ าจไมไ่ ดถ้ กู แยกออก สอบทานและอนุมตั ใิ ห้ นาเขา้ สกู่ ารประมวลผลตามปกตอิ ยา่ งเหมาะสม 4) การรบั สง่ ขอ้ มลู ระหวา่ งระบบสารสนเทศ การประมวลผลรายการต่างๆ อาจ ไมถ่ ูกตอ้ ง ไมค่ รบถว้ น ซา้ ซอ้ น และไมต่ รงตามเงอ่ื นเวลา 5) ผลลพั ธท์ ไ่ี ดจ้ ากการประมวลผลโดยระบบสารสนเทศ อาจถกู นาไปใชโ้ ดยไม่ ไดร้ บั อนุญาต จากความเสย่ี งทก่ี ล่าวมาเหตุการณ์เหล่าน้ีจะส่งผลกระทบต่อการดาเนินงานขององคก์ รหลาย อย่าง เช่น เส่อื มเสยี ช่อื เสยี งและภาพลกั ษณ์อาจมกี ารทุจรติ การดาเนินงานไม่เป็นไปตามกฎหมาย รายงานและขอ้ มูลเพ่อื การตดั สนิ ใจผดิ พลาดหรอื เช่อื ถอื ไม่ได้ ความสามารถในการแข่งขนั ลดลง เป็น ต้น ดงั นนั้ ผบู้ รหิ ารองคก์ รควรจดั ใหม้ กี ารควบคุมภายในอย่างเพยี งพอทจ่ี ะลดความเสย่ี งต่างๆ ใหอ้ ยู่ ในระดบั ทเ่ี จา้ ของหรอื ผบู้ รหิ ารยอมรบั ได้ การควบคมุ ภายในของเทคโนโลยสี ารสนเทศ การควบคุมภายในของระบบสารสนเทศ คอื การควบคุมเก่ียวกับนโยบาย กระบวนการ ปฏบิ ตั ิงานและการจดั แบ่งองค์กรท่จี ดั ให้มขี ้นึ เพ่อื ให้เกิดความมนั่ ใจว่าจะสามารถบรรลุวตั ถุประสงค์ ทางด้านระบบสารสนเทศขององคก์ รได้ สามารถป้องกนั สบื สวน ตดิ ตามและแก้ไขเหตุการณ์ต่างๆ อนั ไมพ่ งึ ปรารถนาโดยทวั่ ไปการควบคุมดา้ นสารสนเทศจะเหมอื นกนั กบั ระบบการควบคุมตามแนวทาง ของโคโซ่ (COSO) ในเร่อื งของประสทิ ธภิ าพและประสทิ ธผิ ลของการดาเนินงาน รายงานทางการเงนิ และการปฏบิ ตั ติ ามกฎหมาย กฎระเบยี บท่เี ก่ยี วขอ้ ง แต่จะมกี ารเพม่ิ เตมิ เก่ยี วกบั คุณภาพ และการ รกั ษาความปลอดภยั ของขอ้ มูลเพม่ิ ขน้ึ มา สาหรบั มาตรฐานของการควบคุมภายในด้านเทคโนโลยี สารสนเทศท่อี งค์กรสากลต่าง ๆ ไดก้ าหนดไว้เพ่อื นามาเป็นแนวทางปฏบิ ตั มิ อี ยู่ด้วยกนั หลายวธิ แี ต่ มาตรฐานท่สี าคญั ได้แก่ ไอเอพเี อส โคบติ ไอทลิ ไอโซ่ และจแี ทค แต่จะขอกล่าวเพยี งเฉพาะ มาตรฐานการควบคุมภายในดา้ นเทคโนโลยสี ารสนเทศของไอเอพเี อสเท่านนั้ ท่ผี ตู้ รวจสอบนิยมใชเ้ ป็น แนวปฏบิ ตั กิ นั อยา่ งแพรห่ ลาย ตลาดหลกั ทรพั ยแ์ ห่งประเทศไทยและสมาคมผตู้ รวจสอบภายในแห่งประเทศไทย (2554 : 360) กล่าวถงึ มาตรฐานของไอเอพเี อส (IAPS : International Auditing Practice Statements) ซง่ึ ไดก้ าหนด การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทท่ี 11

498 ว่าการควบคุมภายในของระบบสารสนเทศทใ่ี ช้คอมพวิ เตอร์ช่วยให้บรรลุวตั ถุประสงค์โดยรวมของการ ควบคุมภายในจะรวมทงั้ วธิ กี ารปฏบิ ตั ิงานด้วยมอื และวธิ กี ารปฏบิ ตั ิงานตามทก่ี าหนดไว้ในโปรแกรม คอมพวิ เตอรซ์ ง่ึ แบ่งการควบคุมออกได้เป็น 2 ประเภท คอื การควบคุมทวั่ ไปและการควบคุมเฉพาะ ระบบงานแต่ละประเภทอธบิ ายไดด้ งั น้ี 1. การควบคมุ ทวั่ ไป (General Control) เป็นการควบคุมทเ่ี กย่ี วขอ้ งกบั กจิ กรรมและกระบวนการทางดา้ นระบบสารสนเทศทงั้ หมดเพอ่ื ให้ เกดิ ความมนั่ ใจอยา่ งสมเหตุสมผลวา่ การควบคมุ นนั้ จะบรรลุวตั ถุประสงคโ์ ดยรวมของการควบคุมภายใน ไดแ้ ก่ 1.1 การวางแผนการจดั โครงสรา้ งองคก์ รงานระบบสารสนเทศ เรม่ิ จากการจดั โครงสรา้ ง องคก์ รทเ่ี หมาะสม โดยใหม้ กี ารแบ่งแยกหน้าทง่ี านระหว่างกนั มกี ารแยกระบบงานทช่ี ดั เจน และใหม้ ี การตงั้ วตั ถุประสงคท์ เ่ี ป็นแมบ่ ทชดั เจนเพ่อื เป็นแนวทางหลกั ของการดาเนินงานใหส้ อดคลอ้ งกบั แผนกล ยทุ ธข์ ององคก์ ร การควบคมุ ในเรอ่ื งดงั ต่อไปน้ี 1.1.1 กาหนดใหม้ คี ณะกรรมการในการวางแผนและควบคมุ นโยบายดา้ นสารสนเทศ ทงั้ หมดขององคก์ รและรว่ มในการตดั สนิ ใจระดบั สงู 1.1.2 กาหนดจดุ หมายขององคก์ รในการพฒั นาแผนงานระบบสารสนเทศใหส้ อด คลอ้ งกบั วตั ถุประสงคข์ ององคก์ ร 1.1.3 ทบทวนความสาเรจ็ ขององคก์ ร 1.1.4 กาหนดตาแหน่ง บทบาท และความรบั ผดิ ชอบของแต่ละฝา่ ยในองคก์ รให้ ชดั เจนเกย่ี วกบั การปฏบิ ตั งิ านระบบสารสนเทศ 1.1.5 กาหนดคณุ สมบตั ทิ ส่ี าคญั สาหรบั บคุ ลากรดา้ นงานสารสนเทศ 1.1.6 กาหนดความสมั พนั ธข์ องหน่วยงานต่างๆ 1.2 การวางแผนงานระบบสารสนเทศ จะต้องสอดคลอ้ งกบั แผนการจดั องคก์ รผวู้ างแผน งานต้องเข้าใจในวัตถุประสงค์หลกั ขององค์กรโดยรวมเพ่ือท่ีจะกาหนดวตั ถุประสงค์ของแผนงาน เทคโนโลยสี ารสนเทศใหไ้ ดป้ ระโยชน์สงู สดุ โดยมหี ลกั การทวั่ ไปในการกาหนดแผนกลยทุ ธด์ งั น้ี 1.2.1 กาหนดแผนกลยทุ ธใ์ หเ้ ป็นสว่ นหน่งึ ของการวางแผนทงั้ ระยะสนั้ และระยะยาว ในเชงิ ธรุ กจิ ขององคก์ ร 1.2.2 วางแผนงานเทคโนโลยสี ารสนเทศใหเ้ ป็นแผนระยะยาวอยา่ งต่อเน่อื ง 1.2.3 กาหนดโครงสรา้ ง และการปฏบิ ตั เิ พอ่ื ใหเ้ ขา้ ถงึ แผนกลยทุ ธท์ ว่ี างไว้ 1.2.4 วางแผนการเปลย่ี นแปลงแผนกลยทุ ธใ์ นระยะยาว 1.2.5 วางแผนงานในระยะสนั้ ในแต่ละส่วนงาน 1.2.6 ส่อื สารใหบ้ ุคคลในองคก์ รเขา้ ใจในแผนงานทไ่ี ดว้ างไวอ้ ยา่ งชดั เจน 1.2.7 ควบคุมการปฏบิ ตั งิ านและคอยตดิ ตามวดั ผลอยทู่ กุ ระยะ 1.2.8 ประเมนิ ผลงานทป่ี ฏบิ ตั ใิ นปจั จบุ นั บทที่ 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ

499 1.3 การควบคุมการพฒั นาระบบสารสนเทศและการควบคุมปฏบิ ตั งิ านคอมพวิ เตอร์จาเป็น ต้องมรี ูปแบบการพฒั นาระบบงานท่เี ป็นลายลกั ษณ์อกั ษรและเป็นรูปแบบมาตรฐานของการพฒั นา ระบบงานขององคก์ ร หรอื มาตรฐานทย่ี อมรบั กนั ทวั่ ไป ความเสย่ี งของการพฒั นาระบบงานคอื ระบบท่ี พฒั นาขน้ึ มาไม่สามารถรองรบั ต่อวตั ถุประสงคข์ องการนาระบบมาใช้ การพฒั นาล่าช้าหรอื มตี ้นทุนสูง และระบบงานทพ่ี ฒั นาใหม่ไม่มเี อกสารประกอบอย่างเพยี งพอ โดยทวั่ ไปการพฒั นาระบบงานใหม่และ การควบคุมปฏบิ ตั งิ านคอมพวิ เตอร์ ควรจดั ใหม้ กี ารควบคมุ ภายในดงั ต่อไปน้ี 1.3.1 มกี ารจดั ทาคมู่ อื และมาตรฐานในการพฒั นาระบบงาน 1.3.2 การพฒั นาระบบงานจะตอ้ งไดร้ บั ความเหน็ ชอบจากผบู้ รหิ ารในส่วนของผใู้ ช้ ระบบ 1.3.3 จะตอ้ งมกี ารศกึ ษาความเป็นไปไดอ้ ยา่ งเพยี งพอ ซง่ึ ตอ้ งรวมถงึ ความเป็นไป ไดท้ างเทคนิค ความเป็นไปไดท้ างการเงนิ ผลกระทบต่อระบบงานอ่นื ๆ และผลกระทบต่อการควบคุม ภายใน 1.3.4 มกี ารกาหนดวตั ถุประสงคข์ องการพฒั นาระบบงานอยา่ งชดั เจน 1.3.5 มกี ารทาเอกสารประกอบในแต่ละขนั้ ตอนอยา่ งชดั เจน 1.3.6 มกี ารทดสอบโดยผใู้ ชง้ านเพอ่ื ตรวจสอบและยนื ยนั วา่ ระบบงานไดบ้ รรลุ วตั ถุประสงคต์ ่างๆ อยา่ งครบถว้ น 1.3.7 การโอนยา้ ยโปรแกรมจะตอ้ งไดร้ บั การอนุมตั อิ ยา่ งเหมาะสม และต้องมกี าร สอบทานความถูกตอ้ ง และครบถว้ นอยา่ งเพยี งพอ 1.3.8 เอกสารประกอบระบบงานจะตอ้ งมกี ารปรบั ปรงุ เพอ่ื ใหส้ อดคลอ้ งกบั การเปลย่ี น แปลงแกไ้ ข 1.3.9 การอ่านซ้า (Dual Read) เป็นการอ่านขอ้ มลู ป้อนเขา้ 2 ครงั้ และนาผลการ อ่านทงั้ 2 ครงั้ มาเปรยี บเทยี บกนั ว่าตรงกนั หรอื ไม่ ถา้ ตรงกนั แสดงวา่ อ่านไดถ้ ูกตอ้ ง ถา้ ไม่ตรงกนั แสดง วา่ มขี อ้ ผดิ พลาดเกดิ ขน้ึ จะตอ้ งมกี ารอ่านขอ้ มลู ใหมอ่ กี รอบ 1.3.10 การตรวจสอบอกั ษรเสรมิ (Parity Check) คอมพวิ เตอรป์ ระมวลผลขอ้ มลู ใน รปู ของตวั เลขฐานสอง (binary digit : bit) คอื 0 หรอื 1 เม่อื คอมพวิ เตอรเ์ กบ็ ขอ้ มลู จะอย่ใู นรปู 0 กบั 1 ใหน้ ามาบวกกนั จะไดเ้ ลขคห่ี รอื เลขคู่ ถา้ เรากาหนดใหเ้ ป็นเลขคเู่ สมอเราจะเพม่ิ 0 เขา้ ไปเป็นอกั ษรเสรมิ เมอ่ื ผลบวกเป็นเลขคู่ และเพม่ิ 1 เขา้ ไปเป็นอกั ษรเสรมิ เมอ่ื ผลบวกเป็นเลขค่ี การใชอ้ กั ษรเสรมิ น้ีเพ่อื ให้ แน่ใจว่าขอ้ มลู ในรปู บทิ ไม่สญู หายไปในระหวา่ งการประมวลผล 1.3.11 การตรวจสอบสะทอ้ นกลบั (Echo Check) เป็นการส่งขอ้ มลู ออกไปยงั หน่วย ป้อนออกภายนอก (ปลายทาง) แลว้ ใหส้ ่งกลบั มาทแ่ี หลง่ ตน้ กาเนิดภายใน เพ่อื เปรยี บเทยี บว่าขอ้ มลู นัน้ ถูกตอ้ งกบั ตน้ ทางหรอื ไม่ 1.3.12 การอ่านหลงั การเขยี น (Read After Write) เครอ่ื งคอมพวิ เตอรอ์ ่านขอ้ มลู อกี ครงั้ หน่งึ หลงั จากทไ่ี ดบ้ นั ทกึ ขอ้ มลู ลงไปแลว้ ในหน่วยความจาภายในหรอื หน่วยป้อนออก แลว้ นาผล การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ บทที่ 11

500 การอ่านน้ีไปเปรยี บเทยี บกบั ขอ้ มลู ต้นกาเนิดหรอื ครงั้ แรกก่อนท่จี ะเขยี นบนั ทกึ ลงไปว่าถูกต้องตรงกนั หรอื ไม่ 1.3.13 วธิ กี ารเรยี กกลบั (Computer Call – back Procedures) เมอ่ื มกี ารใชส้ าย โทรศพั ทต์ ดิ ต่อเขา้ ถงึ เครอ่ื งคอมพวิ เตอร์ 1.3.14 รหสั ผา่ น (Password) มกี ารตรวจสอบโดยคอมพวิ เตอรก์ ่อนทจ่ี ะใหบ้ คุ คล นนั้ เขา้ ทารายการได้ 1.4 การเปลย่ี นแปลงแกไ้ ขโปรแกรม ถอื ไดว้ ่ามคี วามเสย่ี งต่อการทโ่ี ปรแกรมจะเกดิ ขอ้ ผดิ พลาดในการประมวลผลมากทส่ี ดุ จงึ เป็นสง่ิ จาเป็นทผ่ี บู้ รหิ ารงานสารสนเทศจะตอ้ งจดั ใหม้ กี ารควบคุม ในขนั้ ตอนของการเปล่ยี นแปลงแก้ไขโปรแกรมอย่างเพยี งพอ รวมทงั้ ให้มกี ารแบ่งแยกหน้าท่งี าน ระหวา่ งผพู้ ฒั นาระบบ ศูนยค์ อมพวิ เตอรแ์ ละผใู้ ชง้ าน นอกจากน้ีต้องแยกสภาพแวดลอ้ มของระบบงาน ทใ่ี ชง้ านจรงิ กบั ระบบงานทใ่ี ชท้ ดสอบออกจากกนั ซง่ึ การควบคมุ ประกอบดว้ ย 1.4.1 การเปลย่ี นแปลงจะตอ้ งไดร้ บั การอนุมตั อิ ยา่ งเหมาะสม โดยปกตแิ ลว้ ควรเป็น ผบู้ รหิ ารของหน่วยงานทเ่ี ป็นเจา้ ของระบบงาน 1.4.2 จะตอ้ งมกี ารบนั ทกึ ขอ้ กาหนดและความตอ้ งการของระบบอยา่ งเป็นลายลกั ษณ์ อกั ษร 1.4.3 หลงั จากดาเนนิ การแกไ้ ขโปรแกรมเสรจ็ แลว้ จะตอ้ งมกี ารทดสอบโปรแกรม อยา่ งเพยี งพอซง่ึ รวมถงึ การทดสอบทางดา้ นเทคนิค โดยโปรแกรมเมอรแ์ ละตอ้ งมกี ารทดสอบเพ่อื ตรวจ รบั โปรแกรมโดยผใู้ ชง้ าน (Users) 1.4.4 การโอนยา้ ยโปรแกรมจะตอ้ งไดร้ บั การอนุมตั อิ ยา่ งเหมาะสมและมกี ารสอบทาน ความถูกตอ้ งและครบถว้ นอยา่ งเพยี งพอ 1.4.5 เอกสารประกอบระบบงานจะตอ้ งมกี ารปรบั ปรงุ เพ่อื ใหส้ อดคลอ้ งกบั การเปลย่ี น แปลงแกไ้ ข 1.4.6 ในการเปลย่ี นแปลงทม่ี ผี ลกระทบคอ่ นขา้ งมากต่อทงั้ ระบบงานทเ่ี ปลย่ี น และ ระบบงานอ่ืนๆ ในบางครงั้ อาจจาเป็นต้องมีการใช้ระบบเก่าและใหม่คู่ขนานกันไประยะหน่ึงและ ประเมนิ ผลการใชง้ านคขู่ นานก่อนทจ่ี ะอนุมตั ใิ ชง้ านโปรแกรมทเ่ี ปลย่ี นแปลงใหม่ 1.5 ระเบยี บวธิ ปี ฏบิ ตั งิ านภายในศนู ยค์ อมพวิ เตอรก์ ารควบคุมการปฏบิ ตั กิ ารในงานประจา วนั ของศูนยห์ รอื หอ้ งคอมพวิ เตอร์ เพ่อื ใหเ้ กดิ ความมนั่ ใจอยา่ งสมเหตุสมผลว่าการใชร้ ะบบเป็นไปตาม วตั ถุประสงคท์ อ่ี นุมตั ิ ผเู้ ขา้ ส่รู ะบบเป็นพนกั งานทไ่ี ดร้ บั อนุมตั ิ โปรแกรมทใ่ี ชง้ านเป็นโปรแกรมทไ่ี ดร้ บั อนุมตั ใิ หใ้ ช้ และใหม้ นั่ ใจว่าการประมวลผลทผ่ี ดิ พลาดต่าง ๆ ถูกคน้ พบ แกไ้ ขไดท้ นั กาลเหมาะสม การ ควบคมุ มดี งั น้ี 1.5.1 การประมวลผลระบบสารสนเทศ ควรจดั ใหม้ กี ารทาตารางการประมวลผลซง่ึ ไดร้ บั การอนุมตั เิ หมาะสม และต้องมกี ารบนั ทกึ ขอ้ มลู ในแต่ละขนั้ ตอนของการประมวลผลโดยผคู้ วบคุม งานภายในศูนยค์ อมพวิ เตอรจ์ ะต้องสอบทานขอ้ มูลดงั กล่าวอย่างสม่าเสมอ เช่น ช่อื ของผปู้ ระมวลผล บทที่ 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ

501 เวลาเรม่ิ ตน้ และเวลาสน้ิ สุดของการประมวลผล ผลลพั ธข์ องการประมวลผล ปญั หาทเ่ี กดิ ขน้ึ และการ ดาเนินการแกไ้ ข เป็นตน้ 1.5.2 การพมิ พแ์ ละการจดั สง่ รายงาน ควรมตี ารางจดั ส่งรายงานสาหรบั ทกุ ระบบ งานท่ีประมวลผลโดยเจ้าหน้าท่ีศูนย์คอมพิวเตอร์ และในการรบั รายงานจะต้องมีการเซ็นรบั โดย เจา้ หน้าทท่ี ม่ี อี านาจ สาหรบั รายงานทข่ี อเพมิ่ เตมิ หรอื ขอในกรณพี เิ ศษจะตอ้ งมกี ารอนุมตั อิ ยา่ งเหมาะสม 1.5.3 การบารงุ รกั ษาระบบคอมพวิ เตอร์ ควรมกี ารจดั ทาตารางการบารงุ รกั ษา ระบบคอมพวิ เตอร์ เม่อื มกี ารบารุงรกั ษาจะต้องลงบนั ทกึ การบารุงรกั ษาโดยเจ้าหน้าท่ี ทงั้ จากศูนย์ คอมพวิ เตอร์ บรษิ ทั คอมพวิ เตอร์ และอ่นื ๆ และความมกี ารสอบทานตารางบารงุ รกั ษาอยา่ งสม่าเสมอ 1.5.4 การแกไ้ ขปญั หาและการบนั ทกึ การแกไ้ ข มกี ารจดั ทาสมดุ บนั ทกึ การเกดิ ปญั หา และการแกไ้ ขปญั หาโดยผปู้ ฏบิ ตั งิ านภายในศูนยค์ อมพวิ เตอรอ์ ยา่ งสม่าเสมอ 1.6 การควบคุมการรกั ษาความปลอดภยั ของระบบ เพ่อื ป้องกนั การนาขอ้ มลู ไปใชโ้ ดยไม่ ไดร้ บั อนุมตั ปิ ้องกนั การเปิดเผยขอ้ มลู และการเปลย่ี นแปลงแกไ้ ขรวมทงั้ ป้องกนั การเสยี หาย และสูญหาย ของข้อมูลซ่ึงกระทาได้โดยวางระบบป้องกันการเข้าถึงทางตรรกะทงั้ ในระดบั ของเครือข่ายระบบ ปฏิบตั ิการในระบบงานและระบบป้องกันการเขา้ ถึงทางกายภาพซ่งึ จะจากดั ให้เฉพาะบุคคลท่ไี ด้รบั อนุญาตเท่านนั้ ทจ่ี ะสามารถเขา้ ถงึ อุปกรณ์ทใ่ี ชง้ านระบบ ขอ้ มลู และโปรแกรมงานตลอดจนส่อื สาหรบั จดั เกบ็ ในการควบคุมควรจดั ทานโยบายรกั ษาความปลอดภยั ของขอ้ มลู ซง่ึ ครอบคลมุ เรอ่ื งต่อไปน้ี 1.6.1 การควบคุมทางดา้ นเทคนคิ เป็นการควบคุมทวั่ ไปดา้ นการเขา้ สรู่ ะบบงาน โดยเฉพาะในเร่อื งของการรกั ษาความปลอดภยั ของระบบงานและข้อมูล เพ่อื ใหม้ นั่ ใจว่าค่าตวั แปรท่ี กาหนดการทางานของระบบปฏบิ ตั กิ ารต่างๆ ระบบฐานข้อมูล และอุปกรณ์ทางดา้ นการส่อื สารและ เครอื ขา่ ยไดม้ กี ารกาหนดนโยบายทเ่ี หมาะสม สอดคลอ้ งตามระเบยี บ ลกั ษณะของการควบคุมทางดา้ น เทคนิคโดยทวั่ ไปแบ่งเป็นหวั ขอ้ หลกั ไดด้ งั น้ี 1.6.1.1 การแสดงตน ไดม้ กี ารกาหนดคา่ ตวั แปรไวอ้ ยา่ งเหมาะสมและสอด คลอ้ งกบั ระเบยี บ และนโยบายความปลอดภยั เช่น มกี ารกาหนดสทิ ธใิ นการเขา้ ถงึ ขอ้ มลู และโปรแกรม มกี ารสอบทานสทิ ธิ ์ การควบคุมการใชร้ หสั ผ่าน กาหนดรหสั ประจาตวั ทม่ี สี ทิ ธพิ เิ ศษ การกาหนดกลุ่ม ผใู้ ชร้ ะบบงาน เป็นตน้ 1.6.1.2 การอนุมตั ิ ไดก้ าหนดไวอ้ ยา่ งเหมาะสม เช่น การกาหนดโครงสรา้ ง ของการเขา้ ถงึ แฟ้มขอ้ มลู การกาหนดทรพั ยากรของระบบงานท่มี คี วามสาคญั และต้องการดูแลพเิ ศษ การกาหนดสทิ ธใิ นการใชท้ รพั ยากร เป็นตน้ 1.6.1.3. การตดิ ตามและดแู ลการปฏบิ ตั งิ านของระบบปฏบิ ตั กิ าร เชน่ การ กาหนดค่าตวั แปรในการตดิ ตามรายการผดิ ปกตหิ รอื รายการทพ่ี ยายามเขา้ ถงึ ระบบงานโดยใชร้ หสั ประจา ตวั ทม่ี สี ทิ ธพิ เิ ศษ การตดิ ตามดูแลการปฏบิ ตั งิ านของรหสั ประจาตวั ทม่ี สี ทิ ธพิ เิ ศษ การตดิ ตามดูแลการ ใชโ้ ปรแกรมหรอื คาสงั่ ระบบงานพเิ ศษ เป็นตน้ การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทที่ 11

502 1.6.1.4 การควบคมุ ดแู ลสภาพแวดลอ้ มการทางานเพอ่ื ชว่ ยป้องกนั เครอ่ื งมอื และอุปกรณ์ต่างๆ ในแวดวงระบบสารสนเทศทงั้ จากการกระทาของมนุษยแ์ ละจากภยั ธรรมชาติ ซง่ึ จะ ทาไดโ้ ดยการตดิ ตงั้ เคร่อื งมอื ใชส้ อยทางระบบสารสนเทศในสภาพแวดลอ้ มท่ีเหมาะสม พจิ ารณาถงึ สงิ่ ต่างๆ ดงั ต่อไปน้ี สถานทต่ี งั้ การตรวจตราดแู ล การจดั ยามฉุกเฉิน สุขภาพและความปลอดภยั ของ พนักงาน นโยบายในการบารุงรกั ษาเพ่อื การป้องกนั การป้องกนั สง่ิ ท่จี ะคุกคามจากสภาพแวดล้อม การตดิ ตามดแู ลอยา่ งเป็นระบบอตั โนมตั ิ เป็นตน้ 1.7 การจดั ใหม้ แี ผนฉุกเฉนิ และแผนการกูร้ ะบบเป็นส่วนหน่ึงของการวางระบบสารสนเทศ ทม่ี ปี ระสทิ ธภิ าพ แผนฉุกเฉนิ น้จี ดั ทาขน้ึ เพ่อื ลดความเสย่ี งทจ่ี ะทาใหก้ ารดาเนินงานหยดุ ชะงกั สามารถกู้ ระบบกลบั คนื ได้ภายในระยะเวลาท่กี าหนด สงิ่ สาคญั เม่อื จดั ทาแผนฉุกเฉินแล้วคอื การทดสอบแผน ฉุกเฉิน เพอ่ื ใหใ้ ชง้ านไดจ้ รงิ เม่อื เกดิ อุบตั ภิ ยั ขน้ึ และใหผ้ ใู้ ชง้ านไดท้ าความคุน้ เคยต่อการปฏบิ ตั งิ านตาม แผนฉุกเฉิน การสารองข้อมูลก็เช่นกันจะต้องมกี ารทดสอบการนาข้อมูลสารองมาใช้งานได้ตลอด กระบวนการ ซง่ึ ในการจดั ทาแผนฉุกเฉนิ มขี นั้ ตอนดงั น้ี 1.7.1 ระบุและจดั ทาระบบงานทจ่ี ะจดั ทาแผนรองรบั โดยพจิ ารณาความเสย่ี งและ ระดบั ความสาคญั ต่อองคก์ ร 1.7.2 กาหนดกลยทุ ธใ์ นการกูร้ ะบบ 1.7.3 กาหนดทมี งานทเ่ี กย่ี วขอ้ ง 1.7.4 จดั ทาแผนและดาเนนิ การตามแผนและทดสอบ 2. การควบคมุ เฉพาะระบบงาน (Application Control) Romney, and Steinbart, (2003 : 156) กลา่ วถงึ การควบคมุ เฉพาะระบบงาน คอื การจดั ให้ มขี นั้ ตอนและวธิ กี ารควบคุมในระบบงานบญั ชเี ฉพาะระบบงานใดระบบงานหน่งึ เท่านนั้ เพ่อื ใหค้ วามมนั่ ใจ อย่างสมเหตุสมผลว่ารายการทงั้ หมดได้รบั การอนุมตั ิ บนั ทกึ และประมวลผลอย่างครบถ้วน ถูกต้อง และทนั เวลา การควบคมุ ระบบงาน ไดแ้ ก่ 2.1 การควบคมุ การนาเขา้ ขอ้ มลู เพ่อื ใหแ้ น่ใจว่าการนารายการเขา้ ระบบไดร้ บั อนุมตั อิ ยา่ ง ถูกต้องทุกรายการ ทุกรายการท่ไี ดร้ บั อนุมตั ิได้ถูกนาไปบนั ทกึ ลงในแฟ้มอยา่ งถูกต้องครบถ้วนโดยไม่ สูญหาย ไมม่ กี ารเพม่ิ เตมิ ไม่นาเขา้ ซ้า หรอื ไม่มกี ารแก้ไขทุกรายการท่ไี ดร้ บั อนุมตั ิ หากพบว่าไม่ ถูกต้องจะต้องไม่นาเขา้ แต่จะถูกนากลบั ไปแก้ไขใหถ้ ูกต้องก่อนแลว้ จงึ นากลบั เขา้ ระบบในงวดท่ีถูกต้อง ภายหลงั เหตุการณ์ต่างๆ ทต่ี อ้ งควบคมุ มดี งั น้ี 2.1.1 ระบบงานคอมพวิ เตอรจ์ ะตอ้ งสามารถแบง่ แยกและจากดั สทิ ธผิ ใู้ ชร้ ะบบใหส้ อด คลอ้ งกบั หน้าทแ่ี ละตามความรบั ผดิ ชอบของแต่ละคน 2.1.2 รายการต่าง ๆ จะตอ้ งไดร้ บั อนุมตั อิ ยา่ งเหมาะสมก่อนถกู บนั ทกึ เขา้ สรู่ ะบบ 2.1.3 มกี ารตรวจสอบความถกู ตอ้ งเบอ้ื งตน้ ระหว่างการบนั ทกึ ขอ้ มลู เขา้ เชน่ ความ ครบถว้ นของขอ้ มลู ความถกู ตอ้ งของประเภทขอ้ มลู การตรวจสอบตวั เลขค่าสูงสุดและค่าต่าสุดหรือค่า พสิ ยั ตรวจสอบตารางหลกั เกณฑส์ าคญั บทที่ 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ

503 2.1.4 มกี ารตรวจสอบความครบถว้ นและถกู ตอ้ งหลงั การบนั ทกึ ขอ้ มลู โดยบุคคลทม่ี ไิ ด้ ทาการบนั ทกึ ขอ้ มลู เอง 2.1.5 รายการทผ่ี ดิ ปกตจิ ะตอ้ งถูกกนั ไวต้ ่างหากโดยโปรแกรมคอมพวิ เตอร์ เชน่ รายการทต่ี รวจแลว้ ไมผ่ ่านขอ้ จากดั ทก่ี าหนดไว้ หรอื รายการทข่ี าดความสมบรู ณ์ในบางขอ้ มลู 2.1.6 การนาขอ้ มลู ผดิ ปกตทิ ถ่ี ูกกนั ไวก้ ลบั เขา้ ส่กู ารประมวลผลตามปกตจิ ะตอ้ งไดร้ บั การสอบทาน และอนุมตั อิ ยา่ งเหมาะสมและมกี ารรวบรวมรายงานเหลา่ น้ใี หผ้ บู้ รหิ ารรบั ทราบ 2.1.7 ในการเขา้ รหสั ขอ้ มลู จะตอ้ งจดั ใหม้ กี ารควบคมุ การใชก้ ุญแจการเขา้ รหสั อยา่ ง รดั กุมและควรเปลย่ี นกุญแจการเขา้ รหสั อยา่ งสม่าเสมอ 2.1.8 ในกรณที ม่ี คี วามเสย่ี งในการทข่ี อ้ มลู อาจถกู ลกั ลอบนาไปใช้ หรอื อาจมกี าร เปล่ยี นแปลงข้อมูลระหว่างทางควรจดั ให้มกี ารเขา้ รหสั ข้อมูลก่อนการส่งและถอดรหสั ขอ้ มูลกลบั คืน ระหวา่ งการรบั ขอ้ มลู 2.2 การควบคมุ ในขนั้ ตอนการประมวลผล เพอ่ื ใหม้ นั่ ใจว่ารายการต่างๆ รวมทงั้ รายการท่ี สรา้ งขน้ึ โดยระบบงานไดร้ บั การประมวลผลอยา่ งเหมาะสมโดยคอมพวิ เตอร์ รายการต่างๆ ภายหลงั จาก การนาเขา้ หรอื สร้างขน้ึ โดยระบบงานแล้วจะไม่สูญหาย มกี ารเพมิ่ เติม ถูกประมวลซ้า หรอื มกี าร เปลย่ี นแปลงอย่างไม่มเี หตุผลสมควร และขอ้ ผดิ พลาดจากการประมวลผลจะถูกตรวจพบและแก้ไขได้ ทนั เวลา กจิ กรรมทค่ี วบคุม เช่น 2.2.1 ควบคมุ ยอดรวม มกี ารสอบทานความถกู ตอ้ งและครบถว้ นของการประมวล ผลโดยมกี ารตรวจสอบยอดรวม หรอื ยอดรวมจานวนรายการทผ่ี า่ นการประมวลผล 2.2.2 ควบคุมความถกู ตอ้ ง มกี ารตรวจสอบป้ายช่อื ภายนอกและป้ายช่อื ภายในรวม ทงั้ การกาหนดช่อื การบ่งช้ไี ฟล์ต่าง ๆ ในระบบก่อนท่จี ะเขา้ กระบวนการและใช้ความสามารถของ โปรแกรมในการป้องกนั การเขา้ ถงึ การอ่าน และการแกไ้ ขขอ้ มลู ระหว่างการทางานของโปรแกรม 2.2.3 การควบคุมการเขา้ ถงึ สอบทานการทางานของผใู้ ชง้ านจากการกขู้ อ้ มลู จาก รายงานใหม้ กี ารออกรายงานเกย่ี วกบั การควบคุม 2.3 การควบคุมขอ้ มลู ผลลพั ธแ์ ละรายงาน กาหนดขน้ึ เพ่อื ใหแ้ น่ใจว่าแฟ้มขอ้ มลู ผลลพั ธ์ หรอื รายงานทไ่ี ดร้ บั จากระบบงานนนั้ มคี วามถูกต้อง มกี ารจากดั การเขา้ ไปเกย่ี วขอ้ ง หรอื ขอ้ มลู ทไ่ี ดร้ บั จากระบบออกมาโดยผไู้ ดร้ บั อนุมตั เิ ท่านนั้ และมกี ารส่งผลลพั ธ์ขอ้ มลู และรายงานไปยงั บุคคลซ่งึ ไดร้ บั อนุมตั อิ ยา่ งทนั เวลา ดงั น้ี 2.3.1 มกี ารยนื ยนั ยอดหรอื การสอบทานยอดของขอ้ มลู ผลลพั ธว์ า่ ครบถว้ นและถกู ตอ้ ง รวมทงั้ การทารายงานขอ้ มลู ผดิ พลาด จากกลุ่มงานทม่ี คี วามรบั ผดิ ชอบในการควบคุมขอ้ มลู และส่งให้ ผเู้ กย่ี วขอ้ งทราบเพอ่ื แกไ้ ขแลว้ เขา้ มาประมวลผลใหม่ 2.3.2 หน่วยงานปฏบิ ตั กิ ารหรอื หน่วยงานคอมพวิ เตอรต์ อ้ งมกี ารจดั ทารายชอ่ื ผใู้ ช้ รายงานจากระบบเพอ่ื ใหผ้ จู้ ดั ส่งสามารถทราบถงึ ผรู้ บั ปลายทางทแ่ี น่ชดั การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทที่ 11

504 2.3.3 มขี นั้ ตอนใหผ้ รู้ บั รายงานตอ้ งลงลายมอื ช่อื รบั รายงานทกุ ครงั้ 2.3.4 ใชร้ ปู แบบรายงานทส่ี ามารถรกั ษาความลบั ของขอ้ มลู อยา่ งเหมาะสม เช่น การใช้ซองกระดาษคารบ์ อนด์ สาหรบั ขอ้ มลู ท่มี คี วามสาคญั มาก อย่างรหสั ผ่านหรอื ขอ้ มลู เงนิ เดอื น พนกั งาน 2.3.5 การเปรยี บเทยี บกบั เอกสารตน้ กาเนดิ ขอ้ มลู ผลลพั ธท์ ม่ี รี ายละเอยี ดจะนาไป เปรยี บเทยี บกบั เอกสารตน้ กาเนิด 2.3.6 มองผ่านดว้ ยสายตา มกี ารสอบทานผลลพั ธด์ ว้ ยสายตาเพ่อื ใหผ้ ลลพั ธส์ มบรู ณ์ และสมเหตุสมผล ผลลพั ธจ์ รงิ อาจเปรยี บเทยี บกบั ผลลพั ธท์ ก่ี ะประมาณไว้ 2.3.7 มกี ารจากดั บุคคลการเขา้ ไปเกย่ี วขอ้ งหรอื ใชข้ อ้ มลู ทส่ี ง่ ออกจากคอมพวิ เตอร์ เฉพาะผทู้ ร่ี บั อนุมตั เิ ท่านนั้ 2.3.8 การส่งขอ้ มลู ทอ่ี อกจากคอมพวิ เตอรจ์ ะถงึ บคุ คลซง่ึ ไดร้ บั อนุมตั อิ ยา่ งทนั เวลา การทดสอบการควบคมุ ภายในของเทคโนโลยสี ารสนเทศ ตามสภาพแวดลอ้ มของระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอร์ ผตู้ รวจสอบภายในสามารถทดสอบ การควบคมุ ได้ 2 แนวทาง คอื 1. การทดสอบการควบคมุ โดยไม่ใช้คอมพิวเตอร์ (Control Test Without Using Compute) การทดสอบการควบคุมโดยไมใ่ ชค้ อมพวิ เตอรห์ รอื เป็นทร่ี จู้ กั กนั วา่ การตรวจสอบดว้ ยระบบทท่ี า ด้วยมอื การทดสอบวธิ นี ้ีจะเกิดขน้ึ เม่อื ระบบงานประมวลผลนัน้ มกี ารจดบนั ทกึ เอกสารอย่างดแี ละมี รายงานผลลพั ธอ์ ยา่ งเพยี งพอหรอื สามารถสรา้ งขน้ึ มาโดยหน่วยงานซง่ึ สามารถบอกแหล่งอา้ งองิ ถงึ ทม่ี า ของขอ้ มูลท่นี ามาบนั ทกึ ออกมาเป็นผลลพั ธ์ได้ โดยทวั่ ไปแล้วผู้ตรวจสอบนิยมจดั ทาเป็นลกั ษณะ แบบสอบถามการควบคุม (Internal Control Questionnaire) เพ่อื นามาทดสอบการประเมนิ เก่ยี วกบั ความเพยี งพอและความเหมาะสมในองค์กรซ่งึ วธิ กี ารทดสอบน้ีอาจใช้เทคนิคการสงั เกตการณ์ การ สมั ภาษณ์ เป็นตน้ ตวั อยา่ งการจดั ทาแบบสอบถามการประเมนิ ผลการควบคุมทวั่ ไป บทที่ 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

505 จดุ ท่ีควรประเมิน ใช่ / มี ไม่ใช่ คาอธิบาย / ไม่มี เพิ่มเติม วิธีการทา ใหร้ ะบเุ ครอ่ื งหมาย / ลงในช่อง “ใช่ / ม”ี และ เครอ่ื งหมาย X ลงในช่อง “ไมใ่ ช่ / ไมม่ ”ี การจดั โครงสร้างและการแบง่ แยกหน้าที่ 1. มกี ารแบง่ แยกหน้าทต่ี ่อไปน้ใี นหน่วยงาน คอมพวิ เตอร์ 1.1) ผวู้ เิ คราะหร์ ะบบ 1.2) ผจู้ ดั ทาโปรแกรม 1.3) ผจู้ ดั การฐานขอ้ มลู 1.4) ผปู้ ฏบิ ตั กิ ารฐานระบบ 1.5) ผปู้ ฏบิ ตั กิ ารเครอื ขา่ ย 1.6) ผเู้ กบ็ รกั ษาแฟ้มขอ้ มลู โปรแกรม และเอกสาร ค่มู อื ปฏบิ ตั งิ าน 1.7) ผคู้ วบคุม / ยนื ยนั ขอ้ มลู 2. หน้าทต่ี ่างๆ ต่อไปน้ที าโดยบุคคลหน่วยงานอ่นื ทไ่ี ม่ได้ อยใู่ นหน่วยงานคอมพวิ เตอร์ 2.1) การจดั ทาและอนุมตั ริ ายการคา้ 2.2) การอนุมตั กิ ารแกไ้ ขเปลย่ี นแปลงระบบงาน 2.3) โปรแกรมและแฟ้มขอ้ มลู หลกั 2.4) การจดั เตรยี มเอกสารประกอบรายการ 2.5) การตรวจสอบระบบ การตรวจสอบหรอื ควบคมุ การเข้าถึงห้อง คอมพิวเตอรร์ ะบบปฏิบตั ิการ ระบบ/ฐานข้อมลู 3. การตรวจสอบความเป็นตวั ตนจรงิ 3.1) การควบคุมรหสั ผ่าน 3.2) การกาหนดประเภทผใู้ ชต้ ามหลกั การแบ่งแยก หน้าท่ี หลกั ความจาเป็น และหลกั สทิ ธพิ เิ ศษ 3.3) การควบคุมชดุ คาสงั่ เรม่ิ ตน้ ทห่ี น้าจอหลงั จาก การเขา้ ระบบ การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทท่ี 11

506 จดุ ท่ีควรประเมิน ใช่ / มี ไมใ่ ช่ คาอธิบาย / ไม่มี เพ่ิมเติม 4. การตรวจสอบกาหนดสทิ ธแิ ละระดบั การอนุญาต 4.1) การจดั กลุ่มทรพั ยากรปกตกิ บั ทรพั ยากรพเิ ศษ หรอื มคี วามสาคญั (แฟ้มตาราง โปรแกรมคาสงั่ อุปกรณ์ ส่อื สาร) 4.2) การกาหนดสทิ ธแิ ละการอนุญาตพเิ ศษให้ผู้ใช้ พเิ ศษ 4.3) การป้องกนั ขอ้ มลู สาคญั หรอื มคี วามอ่อนไหว พเิ ศษ 5. การสรา้ งแฟ้มทะเบยี นรอ่ งรอย 5.1) ถ้ามกี ารเขา้ ถงึ หรอื การแก้ไขขอ้ มลู ต้องไดร้ บั การบนั ทกึ ในระบบแฟ้มรอ่ งรอย 5.2) การสอบทานแฟ้มรอ่ งรอยโดยผตู้ รวจสอบอสิ ระ 6. การมสี ญั ญาณเตอื นและแจง้ ไปทผ่ี รู้ บั ผดิ ชอบถา้ มกี าร แกไ้ ขกรณดี งั ต่อไปน้ี 6.1) กจิ กรรมพเิ ศษ ชดุ คาสงั่ พเิ ศษ โปรแกรมพเิ ศษ 6.2) กจิ กรรมจากรหสั ผใู้ ชพ้ เิ ศษ 6.3) กจิ กรรมจากรหสั ผ่านของผรู้ กั ษาระบบ การควบคมุ อปุ กรณ์ 7. มอี ุปกรณ์ควบคุมอยา่ งเพยี งพอทจ่ี ะป้องกนั หรอื คน้ พบ การปฏบิ ตั งิ านทผ่ี ดิ พลาด เชน่ 7.1) การอ่านซา้ (Dual Read) 7.2) การตรวจพารติ บ้ี ติ (Parity Check) 7.3) การตรวจทานสญั ญาณ (Echo Check) การควบคมุ การปฏิบตั ิงานและแผนฉุกเฉิน 8. มแี ผนการป้องกนั ภยั เหตุฉุกเฉิน เพ่อื ป้องกนั การ หยดุ ชะงกั ในการปฏบิ ตั งิ านของเครอ่ื ง เชน่ 8.1) การจดั แหล่งไฟสารอง ป้องกนั ไฟฟ้าตก 8.2) การทาสาเนาขอ้ มลู (Back up) 8.3) การป้องกนั อคั คภี ยั น้าท่วม ฯลฯ 8.4) มสี ถานทเ่ี กบ็ สาเนา โปรแกรมและแฟ้มขอ้ มลู ในทป่ี ลอดภยั ภายนอกสถานท่ี บทท่ี 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

507 จดุ ท่ีควรประเมิน ใช่ / มี ไม่ใช่ คาอธิบาย / ไมม่ ี เพิ่มเติม 9. การพฒั นาเปลย่ี นแปลงระบบงาน และจดั ทา เอกสารคมู่ อื 9.1) ผใู้ ชแ้ ละผตู้ รวจสอบภายในมสี ่วนรวมในการ พฒั นาระบบอยา่ งเพยี งพอ 9.2) มกี ารกาหนดเกย่ี วกบั การอนุมตั ิ การทดสอบ การยอมรบั ในขนั้ ตอนการพฒั นา/เปล่ยี นแปลงระบบงาน อยา่ งชดั เจนและตอ้ งปฏบิ ตั ติ าม 9.3) มกี ารจดั ทาคู่มอื เอกสารประกอบการปฏบิ ตั ิ งานทส่ี าคญั 9.4) การเปลย่ี นแปลงคาสงั่ ปฏบิ ตั กิ าร จะตอ้ งมกี าร อนุมตั ิการทดสอบและจดั ทาเอกสารรายงานประกอบทุก ขนั้ ตอน เช่น เหตุการณ์ท่ตี ้องเปล่ยี น ผลการทดสอบ หลงั การเปลย่ี น ฯ ผจู้ ดั ทา..................................................................... วนั ท่ี ...................................................... ผสู้ อบทาน................................................................ วนั ท่ี ..................................................... 2. การทดสอบการควบคมุ โดยใช้คอมพิวเตอร์ (Control Test Using Compute) การทดสอบการควบคุมโดยใชค้ อมพวิ เตอรห์ รอื ทร่ี จู้ กั กนั ว่า การตรวจสอบผา่ นคอมพวิ เตอร์ เก่ยี วขอ้ งกบั เทคนิคการใช้คอมพวิ เตอร์ช่วยในการสอบบญั ชี การทดสอบแบบน้ีนิยมใชก้ นั อย่างมาก ผตู้ รวจสอบจดั ทาขอ้ มลู รายการทดสอบขน้ึ มาชุดหน่ึงเพ่อื ทดสอบคาสงั่ อดี ติ (Edit and Validate Check) หรอื สอบทานของระบบงานจานวนขอ้ มูลทดสอบจะมากหรอื น้อยขน้ึ อยกู่ บั เง่อื นไขและสถานการณ์ทจ่ี ะ ตรวจสอบนนั้ ซง่ึ วตั ถุประสงคใ์ นการทาขอ้ มลู ทดสอบเพ่อื ทดสอบความถูกต้องของขอ้ มลู ป้อนเขา้ ดว้ ย โปรแกรมคอมพวิ เตอร์ และการควบคมุ การประมวลผลดว้ ยโปรแกรมคอมพวิ เตอร์ ตวั อยา่ งการทาขอ้ มลู ทดสอบ สมมุตวิ ่าผตู้ รวจสอบมวี ตั ถุประสงคจ์ ะทดสอบระบบงานขายของ กจิ การโดยการทาขอ้ มลู ทดสอบ ขนั้ ตอนปฏบิ ตั ดิ งั น้ี 1. สอบถามและศกึ ษาขอ้ มลู เอกสารทเ่ี กย่ี วขอ้ ง ผตู้ รวจสอบทราบวา่ เงอ่ื นไขในการรบั ขอ้ มลู นาเขา้ ดงั น้ี 1.1 ฟิลดเ์ ลขทใ่ี บรบั สนิ คา้ (RR_No.) กาหนดวา่ มคี วามยาว 3 ตาแหน่งหากผบู้ นั ทกึ ขอ้ มลู ผดิ จากเงอ่ื นไข เช่น ไมใ่ ส่เลขทใ่ี บรบั สนิ คา้ หรอื ปล่อยคา้ งวา่ งไวห้ รอื ใส่ไมค่ รบ 3 ตาแหน่ง ระบบงาน การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ บทที่ 11

508 จะปฏเิ สธไมย่ อมรบั กบั ขอ้ มลู ทผ่ี ดิ นนั้ เขา้ ระบบ 1.2 ฟิลดย์ อดขาย (Sale Value) กาหนดว่ารายการขายแต่ละรายการหา้ มสงู เกนิ 25,000 บาท หากใส่เกนิ 25,000 บาท ระบบงานจะปฏเิ สธไมย่ อมรบั ขอ้ มลู ทผ่ี ดิ นนั้ เขา้ ระบบ 2. ทาขอ้ มลู ทดสอบชุดหน่งึ ซง่ึ 5 รายการแรกผดิ จากเงอ่ื นไขในการรบั ขอ้ มลู นาเขา้ สว่ นราย การท่ี 6 ถูกตอ้ งตามเงอ่ื นไขและบนั ทกึ คาดการณ์ผลลพั ธไ์ ว้ล่วงหน้าในกระดาษทาการว่าโปรแกรมตอ้ ง ไมร่ บั 5 รายการแรกทผ่ี ดิ จากเงอ่ื นไขและใหร้ บั รายการท่ี 6 (ตวั อยา่ งตารางท่ี 11.3) 3. ตดิ ต่อขอรบั ระบบงานขายของกจิ การมาโหลดในเครอ่ื งของผตู้ รวจสอบ 4. ปฏบิ ตั งิ านทดสอบและบนั ทกึ ผลทเ่ี กดิ วา่ เป็นไปตามผลลพั ธท์ ค่ี าดไวห้ รอื ไม่ และจดั ทา กระดาษทาการผลลพั ธท์ ไ่ี ด้ (ตวั อยา่ งตารางท่ี 11.3) 5. การสรปุ ผลและรายงาน หากพบผลลพั ธไ์ มเ่ ป็นอยา่ งทค่ี าดไว้ เชน่ ไมใ่ ส่เลขทใ่ี บสง่ สนิ คา้ แต่ระบบยอมรบั รายการน้เี ขา้ ระบบ แสดงวา่ โปรแกรมมจี ดุ อ่อนในการควบคมุ เลขทใ่ี บสง่ สนิ คา้ และความ เสย่ี งทเ่ี กย่ี วขอ้ งกบั การไมบ่ นั ทกึ เลขทใ่ี บส่งสนิ คา้ คอื การบนั ทกึ รายการขายโดยไม่มกี ารส่งสนิ คา้ จรงิ และผลกระทบคอื ยอดในบญั ชขี าย บญั ชลี ูกหน้ี หรอื บญั ชสี นิ คา้ คงเหลอื ไม่ถูกตอ้ ง ซง่ึ ผสู้ อบบัญชตี ้อง ใหค้ วามสาคญั ในการตรวจสอบเน้ือหารสาระของบญั ชดี งั กล่าวและรายงานจุดอ่อนทพ่ี บใหก้ จิ การทราบ เป็นตน้ ตารางท่ี 11.3 ตวั อยา่ งกระดาษทาการวธิ กี ารทาขอ้ มลู ทดสอบ รายการ RR_N0 Sale Value ผลลพั ธท์ ่ี ผลลพั ธท์ ่ี สรปุ ผล ขอ้ มลู คาดไว้ เกดิ ขน้ึ จรงิ ทดสอบ 1 None <25,000 ระบบไมร่ บั N ตรงกบั ทค่ี าด โปรแกรมควบคมุ มี อยจู่ รงิ 2 1 digits <25,000 ระบบไมร่ บั N ตรงกบั ทค่ี าด โปรแกรมควบคมุ มี อยจู่ รงิ 3 2 digits <25,000 ระบบไมร่ บั N ตรงกบั ทค่ี าด โปรแกรมควบคุมมี อยจู่ รงิ 4 3 digits None ระบบไมร่ บั N ตรงกบั ทค่ี าด โปรแกรมควบคมุ มี อยจู่ รงิ 5 3 digits <25,000 ระบบไมร่ บั N ตรงกบั ทค่ี าด โปรแกรมควบคุมมี อยจู่ รงิ 6 3 digits <25,000 ระบบรบั ตรงกบั ทค่ี าด โปรแกรมควบคุมมี Y อยจู่ รงิ ทม่ี า : (มหาวทิ ยาลยั สุโขทยั ธรรมาธริ าช สาขาวชิ าวทิ ยาการจดั การ, 2554 หน้า 124) บทท่ี 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

509 แนวทางการตรวจสอบเทคโนโลยีสารสนเทศ จนั ทนา สาขากร, นพิ นั ธ์ เหน็ โชคชยั ชนะ, และศลิ ปพร ศรจี นั่ เพชร (2557 : 16–19) กล่าวว่า ผตู้ รวจสอบภายในจะแบ่งวธิ ดี าเนินงานสาหรบั แนวทางการตรวจสอบ (Audit Guideline) เทคโนโลยี สารสนเทศออกเป็น 4 ขนั้ ตอนคอื 1. การศึกษาทาความเข้าใจ (Obtaining an Understanding) ผตู้ รวจสอบภายในควรรบั รแู้ ละทาความเขา้ ใจเกย่ี วกบั สาระสาคญั ของการนาคอมพวิ เตอรเ์ ขา้ มา ใชใ้ นการปฏบิ ตั ิงานไม่ว่าจะเป็นระบบโครงสรา้ งของการควบคุมภายใน 5 องค์ประกอบ การควบคุม ทวั่ ไปและการควบคุมระบบงานรวมถงึ ความเสย่ี งทจ่ี าเป็นต้องควบคุมเพ่อื จะไดน้ าขอ้ มลู มาวางแผนงาน ตรวจสอบไดอ้ ยา่ งมปี ระสทิ ธภิ าพ 2. การประเมินการควบคมุ (Evaluating the Control) ถา้ พจิ ารณาจากการควบคมุ แลว้ สามารถแบง่ การสอบทานได้ 2 แนวทาง คอื 2.1 การสอบทานการควบคุมทวั่ ไป เป็นการสอบทานกจิ กรรมทกุ ระบบงานโดยการปฏบิ ตั ิ ตามการควบคมุ ภายในมกั มคี วามสาคญั ต่อประสทิ ธผิ ลของการควบคุมระบบงานต่างๆ ไดแ้ ก่ สอบทาน การจดั โครงสรา้ งองคก์ รงานระบบสารสนเทศ การวางแผนงานระบบสารสนเทศ การควบคุมการพฒั นา ระบบสารสนเทศ การเปลย่ี นแปลงแกไ้ ขโปรแกรม ระเบยี บวธิ ปี ฏบิ ตั งิ านภายในศูนย์คอมพวิ เตอร์ การ ควบคุมการรกั ษาความปลอดภยั ของระบบ และการจดั ใหม้ แี ผนฉุกเฉินในการกรู้ ะบบ 2.2 การสอบทานการควบคุมระบบงาน การควบคมุ การป้อนขอ้ มลู เขา้ เครอ่ื งคอมพวิ เตอร์ การประมวลผลแฟ้มขอ้ มลู และการนาขอ้ มลู ออกจากระบบคอมพวิ เตอร์ อาจทาไดโ้ ดยผปู้ ฏบิ ตั งิ านใน ส่วนงานท่ใี ช้คอมพวิ เตอร์ หรอื โดยผู้ใช้ระบบงาน หรอื โดยบุคลากรซง่ึ ทาหน้าท่คี วบคุมโดยเฉพาะ หรอื อาจเขยี นเป็นคาสงั่ ในโปรแกรมระบบงาน ซง่ึ ผตู้ รวจสอบภายในอาจทดสอบเก่ียวกบั กจิ กรรมต่างๆ เชน่ การควบคุมทท่ี าโดยผใู้ ชร้ ะบบ การควบคมุ ขอ้ มลู ทอ่ี อกจากระบบ วธิ กี ารควบคุมโดยโปรแกรมใน ระบบ เป็นตน้ 3. การประเมินการปฏิบตั ิตาม (Assessing Compliance) กลา่ วคอื เป็นการสอบทานหรอื เป็นการตามงานจากทไ่ี ดบ้ นั ทกึ ขอ้ มลู หลกั ฐานแลว้ สง่ เขา้ มาใน ระบบขนั้ ตอนการประมวลผล เพ่อื ทดสอบว่ารายการท่ผี ่านเข้ามาในคอมพิวเตอร์นัน้ ถูกต้องตาม แหล่งกาเนิดจรงิ และผลลพั ธท์ อ่ี อกมาย่อมมคี วามน่าเช่อื ถอื หากการควบคุมทวั่ ไปไมม่ ปี ระสทิ ธภิ าพ อาจมผี ลต่อความเสย่ี งทจ่ี ะไมส่ ามารถตรวจพบการแสดงขอ้ มลู ทข่ี ดั ต่อขอ้ เทจ็ จรงิ ได้ ดงั นนั้ ผตู้ รวจสอบ ภายในอาจไม่เช่อื ว่าโปรแกรมคอมพวิ เตอรท์ ่นี ามาใชใ้ นการทางานเพ่อื สอบทานความถูกต้องของงาน อาจมคี วามแปรปรวนกจ็ ะเปลย่ี นมาทดสอบการควบคมุ ทท่ี าโดยใชร้ ะบบงานแทน การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทที่ 11

510 4. การพิสจู น์ยืนยนั ความเสี่ยง (Substantiating the Risk) หลกั ฐานทไ่ี ดจ้ ากการปฏบิ ตั งิ านผตู้ รวจสอบภายในจะนามาเพอ่ื ทาการพสิ จู น์และยนื ยนั ความ เสย่ี งทม่ี อี ยวู่ ่าองคก์ รมรี ะบบการควบคุมทเ่ี หมาะสมเพยี งใด หากไมม่ กี ารควบคุมภายในเก่ยี วกบั ระบบ สารสนเทศ ย่อมหมายถงึ ว่าสารสนเทศทผ่ี ูบ้ รหิ ารนาไปใชอ้ าจจะก่อให้เกดิ ผลเสยี หายหรอื การสูญเสยี ทรพั ยากรเกดิ ขน้ึ กบั องคก์ รไดใ้ นอนาคต ดงั นนั้ ผตู้ รวจสอบจะตอ้ งรบี จดั ทารายงานเสนอไปยงั ผบู้ รหิ าร เพอ่ื แจง้ ใหท้ ราบเกย่ี วกบั ความเสย่ี งนนั้ ๆ เพอ่ื หาวธิ ปี รบั ปรงุ แกไ้ ขต่อไปใหท้ นั ถ่วงที ประเภทของการตรวจสอบระบบสารสนเทศ สมาคมผตู้ รวจสอบภายในแห่งประเทศไทย (2555 : 169) กล่าวว่าการตรวจสอบระบบสารสน เทศมวี ตั ถุประสงคเ์ พ่อื การประเมนิ ระบบควบคุมการใชง้ านใหม้ คี วามปลอดภยั มมี าตรฐานการป้องกนั ผู้ บุกรุกจากภายนอก มรี ะบบป้องกนั ความปลอดภยั ของขอ้ มูลกลาง (Data Center) หรอื คลงั เกบ็ ขอ้ มูล (Data Warehouse) และการออกแบบระบบปฏบิ ตั ิ การทม่ี คี วามเหมาะสม ดงั นัน้ ประเภทของการ ตรวจสอบดา้ นเทคโนโลยสี ารสนเทศจงึ แบง่ ออกเป็น 4 ประเภท คอื 1. การตรวจสอบการควบคมุ ทวั่ ไป (Audit General Control) เจา้ หน้าทต่ี รวจสอบภายในจาเป็นตอ้ งมคี วามเขา้ ใจเทคโนโลยสี ารสนเทศทเ่ี กย่ี วขอ้ งรรู้ ะเบยี บ วธิ กี ารต่างๆ ท่คี วรมใี นการจดั การระบบสารสนเทศท่มี ปี ระสทิ ธภิ าพ เพราะการตรวจสอบการควบคุม ทวั่ ไปน้ีเป็นการตรวจสอบการควบคุมทเ่ี ป็นพน้ื ฐานทงั้ หมดของระบบสารสนเทศ กจิ กรรมส่วนใหญ่จะ เป็นการดาเนินงานอยใู่ นฝา่ ยคอมพวิ เตอรแ์ ละกจิ กรรมในศนู ยค์ อมพวิ เตอรเ์ ป็นหลกั ดงั นนั้ ผตู้ รวจสอบ ภายในควรตรวจสอบกจิ กรรมต่าง ๆ ทเ่ี กย่ี วขอ้ งกบั การควบคุมทวั่ ไป เช่น นโยบายการใชส้ ารสนเทศ และระเบยี บวธิ กี ารปฏบิ ตั งิ านท่เี ก่ยี วกบั ระบบสารสนเทศ, การเปล่ยี นแปลงแก้ไขระบบสารสนเทศ ความปลอดภยั ระบบสารสนเทศ, แผนรองรบั เหตุการณ์ทอ่ี าจทาใหร้ ะบบคอมพวิ เตอรห์ ยดุ ชะงกั เป็นตน้ 2. การตรวจสอบการควบคมุ ทางด้านเทคนิค (Audit Technical Control) ผตู้ รวจสอบภายในตอ้ งมคี วามรแู้ ละเขา้ ใจเบอ้ื งตน้ เกย่ี วกบั การทางานระบบปฏบิ ตั กิ าร การ รกั ษาความปลอดภยั ของขอ้ มูล การเขา้ ถึงขอ้ มลู และโปรแกรมท่ใี ช้ในการปฏบิ ตั งิ านเพราะการตรวจ สอบลกั ษณะงานด้านน้ีเป็นการตรวจสอบเฉพาะทางด้านเทคนิคคอมพวิ เตอรใ์ นแต่ละระบบปฏบิ ตั กิ าร ระบบฐานขอ้ มูลหรอื ในแต่ละอุปกรณ์ทางการส่อื สารและเครอื ข่าย ดงั นัน้ ลกั ษณะของการควบคุมท่ี เกย่ี วขอ้ งไดแ้ ก่ 2.1 การรกั ษาความปลอดภยั ของขอ้ มลู และโปรแกรมทใ่ี ชใ้ นการปฏบิ ตั งิ านซง่ึ เกย่ี วขอ้ ง กบั การกาหนดสทิ ธใิ นการเขา้ ถงึ ขอ้ มลู และโปรแกรม กาหนดคา่ เกย่ี วกบั หลกั เกณฑข์ องรหสั ผา่ นหรอื บทท่ี 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

511 การกาหนดการใชร้ หสั ประจาตวั ทม่ี สี ทิ ธพิ เิ ศษ เป็นตน้ 2.2 การตดิ ตามดแู ลการปฏบิ ตั งิ านของระบบปฏบิ ตั กิ ารนนั้ ๆ เชน่ การกาหนดค่าในการ ตดิ ตามรายการผดิ ปกตหิ รอื รายการทพ่ี ยายามเขา้ ถงึ ระบบงานโดยใชร้ หสั ประจาตวั ทม่ี สี ทิ ธพิ เิ ศษ 3. การตรวจสอบระบบงาน (Audit System) ผตู้ รวจสอบภายในตอ้ งทาความเขา้ ใจและศกึ ษาเกย่ี วกบั ระบบงานทท่ี าการตรวจสอบทาการ วเิ คราะห์ความเส่ยี ง โครงสรา้ งระบบงาน เพ่อื นามาประเมนิ ความเพียงพอของการควบคุมภายใน สาหรบั ทดสอบการทางาน ลักษณะเป็นการตรวจสอบการควบคุมท่ีถูกออกแบบไว้ในระบบงาน คอมพวิ เตอรท์ ใ่ี ช้งานจรงิ ในแต่ละระบบ ซง่ึ เป็นการควบคุมโดยตรงภายในระบบงาน เพ่อื ใหแ้ น่ใจว่า ระบบการควบคุมมคี วามเพยี งพอ ถูกต้อง เช่อื ถอื ได้ ตงั้ แต่การนาเขา้ ขอ้ มลู การประมวลผล การ ออกผลลพั ธ์ และการรายงาน เชน่ 3.1 การควบคมุ การแบง่ แยกหน้าทง่ี านโดยระบบคอมพวิ เตอร์ เชน่ การควบคมุ การเขา้ ถงึ ฟงั กช์ นั่ ต่างๆ ทม่ี อี ยใู่ นระบบงาน 3.2 การควบคุมการจดั การ การนาเขา้ ขอ้ มลู เขา้ ส่รู ะบบงานทม่ี ลี กั ษณะเฉพาะทต่ี อ้ งมกี าร จดั การพเิ ศษก่อนนาเขา้ ส่กู ารประมวลผลตามปกติ 3.3 การควบคุมความปลอดภยั ของผลลพั ธท์ ไ่ี ดจ้ ากระบบงาน 4. การใช้เทคนิคคอมพิวเตอรช์ ่วยในการตรวจสอบ(Computer Assisted Audit Techniques : CAATs) การตรวจสอบโดยเครอ่ื งคอมพวิ เตอรช์ ว่ ยเพ่อื หาสาระในเชงิ ลกึ ซง่ึ เป็นการนาเอาเทคโนโลยี คอมพวิ เตอรเ์ ขา้ มาช่วยในการตรวจสอบถงึ ความถูกต้องของเอกสารหรอื หลกั ฐานต่างๆ ซง่ึ ไมส่ ามารถ ใช้วธิ กี ารตรวจสอบด้วยมอื เน่ืองจากขอ้ มูลมปี รมิ าณมากและถูกจดั เก็บในรูปส่อื อเิ ล็คทรอนิกส์หรอื ไม่ สามารถใช้เทคนิคการตรวจสอบวธิ อี ย่างอ่นื ท่กี ่อใหเ้ กดิ ความเหมาะสมได้ ดงั นัน้ ผู้ตรวจสอบจะใช้ วธิ กี ารตรวจสอบโดยดงึ ขอ้ มลู ทจ่ี ดั เกบ็ อย่ใู นระบบงานและฐานขอ้ มลู ออกมาตรวจสอบวเิ คราะห์ถงึ ความ น่าเช่อื ถอื ได้ของโปรแกรม การตรวจสอบโดยใช้คอมพวิ เตอรช์ ่วยมขี ้อได้เปรยี บและมปี ระโยชน์ เช่น ช่วยเพม่ิ ประสทิ ธภิ าพและปรมิ าณตวั อย่างของการตรวจสอบ ช่วยให้ผลการตรวจสอบออกมามคี วาม น่าเช่อื ถอื มากยงิ่ ขน้ึ ตน้ ทนุ ในการตรวจสอบลดลงและชว่ ยใหผ้ ตู้ รวจสอบเขา้ ใจระบบงานมากขน้ึ 5. การตรวจสอบการบริหารเทคโนโลยีสารสนเทศ (Audit Management of Information Technology) ลกั ษณะทส่ี าคญั ของการตรวจสอบการบรหิ ารเทคโนโลยสี ารสนเทศทใ่ี ชค้ อมพวิ เตอร์ เพ่อื ให้ เขา้ ใจถงึ ขอบเขตการตรวจสอบการบรหิ ารของระบบดงั กล่าวยง่ิ ขน้ึ ผู้ตรวจสอบควรพจิ ารณาจากหลกั เกณฑต์ ่างๆ ไดด้ งั น้ี การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ บทที่ 11

512 5.1 การจดั ระเบยี บองคก์ ร (Organizational Arrangement) เป็นการกาหนดบทบาท หน้าท่ี และความรบั ผดิ ชอบของผจู้ ดั การหน่วยงานสารสนเทศเพ่อื การบรหิ าร การจดั ตงั้ คณะกรรมการ สารสนเทศเพ่อื ใหท้ าหน้าทอ่ี ยา่ งมปี ระสทิ ธผิ ล และการจดั สรรหน้าทภ่ี ายในหน่วยงานคอมพวิ เตอร์ 5.2 การวางแผนระบบ (System Planning) มงุ่ เน้นการจดั ลาดบั ความสาคญั ก่อนหลงั ของ โครงการพฒั นาระบบ การจดั ทาแผนการพฒั นาระบบ การประมาณการความต้องการด้านฮารด์ แวร์ และบคุ ลากรในอนาคตและการจดั ทาแผนระยะยาวทางการเงนิ ทค่ี าดว่าจะใชใ้ นกจิ กรรมการพฒั นาระบบ ทงั้ น้แี ผนน้คี วรเป็นสว่ นหน่งึ ของกระบวนการวางแผนระยะยาวขององคก์ ร 5.3 นโยบายดา้ นบคุ ลากร (Personnel Policy) รวมถงึ การฝึกอบรมและการจดั วางบุคลากร ในหน่วยงานคอมพิวเตอร์การกาหนดคาบรรยายลักษณะงานและมาตรฐานการปฏิบัติงาน การ ประเมนิ ผลการปฏบิ ตั งิ านของพนกั งาน นโยบายดา้ นบุคลากรยงั เก่ยี วขอ้ งกบั การบรหิ ารบุคลากรอยา่ ง เหมาะสม และประสทิ ธผิ ลในกจิ กรรมต่างๆ เช่น การวางแผนระบบ การเลอื กสรรโครงการและพฒั นา ระบบใหม่ 5.4 การบรหิ ารโครงการพฒั นาระบบ (Management of System Development Project) เก่ยี วขอ้ งกบั การศกึ ษาความเป็นไปได้ และวธิ ที เ่ี ป็นระบบในการเลอื กสรรโครงการและ ผูข้ าย การ จดั ทาตารางเวลาสาหรบั การพฒั นาระบบและงบประมาณ การทบทวนความคบื หน้าของโครงการเป็น ระยะ และการยดึ ถอื มาตรฐานทด่ี ใี นดา้ นเอกสารสนบั สนุนการปฏบิ ตั งิ าน 5.5 การดาเนินการดา้ นคอมพวิ เตอร์ (Computer Operation) เกย่ี วกบั การกาหนดตาราง เวลาสาหรบั การประมวลผลขอ้ มลู การบนั ทกึ กจิ กรรม การจดั ใหม้ เี อกสารสนบั สนุนการปฏบิ ตั กิ ารท่ดี ี เช่น คู่มอื ดาเนินการ เอกสารการควบคุมการดาเนินการเก่ียวกับคอมพิวเตอร์ ทงั้ ฮาร์ดแวร์และ ซอฟตแ์ วร์ ตารางเวลาสาหรบั การดแู ลรกั ษาอุปกรณ์คอมพวิ เตอรแ์ ละเอกสารควบคมุ การเขา้ ถงึ อุปกรณ์ การตรวจสอบระบบสารสนเทศท่ีใช้คอมพิวเตอร์ การใชเ้ ทคนิคการตรวจสอบโดยใชค้ อมพวิ เตอรช์ ว่ ย (CAATs) มหี ลายวธิ แี ต่จะนามาใหศ้ กึ ษา เพ่อื บางเทคนิคเท่านนั้ ทส่ี ว่ นใหญ่ผตู้ รวจสอบนิยมนามาใชต้ รวจสอบกนั ในปจั จบุ นั อาทเิ ชน่ 1. การใช้ Audit Software เป็นโปรแกรมสาเรจ็ รปู ทถ่ี กู ออกแบบมาสาหรบั ผตู้ รวจสอบใชเ้ ป็นเครอ่ื งมอื ในการตรวจสอบ ระบบงานคอมพวิ เตอรโ์ ดยทวั่ ไป Audit Software จะใชง้ านงา่ ยมขี นาดของโปรแกรมทส่ี ามารถนามาใช้ งานในเครอ่ื งคอมพวิ เตอรแ์ บบตงั้ โต๊ะหรอื แบบพกพากไ็ ด้ ผตู้ รวจสอบทไ่ี มม่ คี วามชานาญหรอื ทม่ี คี วามรู้ ดา้ นระบบสารสนเทศน้อยก็สามารถเรยี นรูท้ ่จี ะใช้งานได้ไม่ยาก นอกจากน้ียงั ช่วยสามารถอ่านแฟ้ม ขอ้ มลู ไดเ้ กอื บทกุ ชนดิ และต่อเช่อื มกบั ฐานขอ้ มลู ไดท้ าใหส้ ามารถตรวจสอบขอ้ มลู ไดแ้ บบออนไลน์ บทท่ี 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

513 การใช้ Audit Software จะใชใ้ นการทดสอบการปฏบิ ตั ติ ามและวเิ คราะหข์ อ้ มลู หรอื ใชใ้ นการ จาลองสถานการณ์การควบคุมเพ่อื ทดสอบการทางานของระบบคอมพวิ เตอร์ เพ่อื ใหเ้ ขา้ ใจไดง้ า่ ยขน้ึ จงึ สรปุ เป็นตารางไดเ้ กย่ี วกบั คณุ สมบตั ิ Audit Software และตวั อยา่ งของการใชง้ านดงั น้ี ตารางท่ี 11.4 เทคนคิ การใชโ้ ปรแกรมสาเรจ็ รปู ในการตรวจสอบการใชง้ าน คณุ สมบตั ิของ Audit Software การตรวจสอบข้อมลู ที่ใช้ในการปฏิบตั ิงาน 1. Sort จดั เรยี งลาดบั ขอ้ มลู จากน้อยไปหามาก หรอื จากมาก ไปหาน้อยเพ่อื สะดวกในการเปรยี บเทยี บ ขอ้ มูลเพ่อื ตรวจสอบ 2. Matching เพ่อื ใชใ้ นการเปรยี บเทยี บขอ้ มลู ระหว่าง 2 ขอ้ มลู 3. Merge เพ่อื รวมขอ้ มูลในชุดเดยี วกนั ของ 2 แฟ้มขอ้ มูลเข้า 4. Update ดว้ ยกนั ใชเ้ พ่อื ความสะดวกในการสมุ่ เลอื กขอ้ มลู ใช้เพ่อื ปรบั แฟ้มและตัวข้อมูลให้ทนั สมยั เม่อื มขี ้อมูล ใหม่เขา้ มา มปี ระโยชน์ในการทดสอบระบบการปรับ 5. Generate and Save แฟ้มขอ้ มลู ใชป้ ระโยชน์ในการเกบ็ ขอ้ มลู ตวั อยา่ งจากแฟ้ม ขอ้ มลู และนามาเกบ็ สารองไวเ้ พ่อื การตรวจสอบ 6. Summarize Function ใชใ้ นการสะสมยอดคงเหลอื ของขอ้ มลู เพ่อื ประโยชน์ ในการรวมยอดและทาสรปุ ผลรวม 7. Mathematical Function เพ่อื ประโยชน์ในการทดสอบการคานวณ และทาผล รวมเพอ่ื เปรยี บเทยี บผลทไ่ี ดร้ บั จากระบบคอมพวิ เตอร์ และผลทค่ี าดหวงั ไว้ 8. Extract ใช้ในการคัดแยกข้อมูลออกจากแฟ้ มข้อมูลเพ่ือการ ทดสอบ 9. Conditional Operations ใช้ในการเลอื กข้อมูลให้ตรงกบั เง่อื นไขท่กี าหนดเพ่อื ประโยชน์ในการทดสอบ 10. Sampling ใชใ้ นการสุ่มตวั อยา่ งขอ้ มลู 11. Report Writing ใชใ้ นการเขยี นรายงานการตรวจสอบและการดาษทา การจากแฟ้มขอ้ มลู ทม่ี ี 12. Data Management ใชต้ รวจสอบขอ้ มลู นาเขา้ 13. Statistical Routines ใชใ้ นการคานวณตวั อยา่ งขอ้ มลู และการวเิ คราะห์ ทม่ี า : (ตลาดหลกั ทรพั ยแ์ ห่งประเทศไทย, สมาคมผตู้ รวจสอบภายในแหง่ ประเทศไทย, 2554 หน้า 377) การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทที่ 11

514 2. การทดสอบโปรแกรมโดยการจาลองข้อมลู (Test Data) เป็นเทคนิคทช่ี ่วยใหก้ ารตรวจสอบทราบวา่ โปรแกรมหรอื ระบบคอมพวิ เตอรท์ างานไดต้ ามท่ี ออกแบบไวห้ รอื ไม่ โดยการสรา้ งขอ้ มลู เพ่อื ทดสอบขนั้ ตอนการทางานตามหน้าทป่ี ระจาต่างๆ ของระบบ คอมพวิ เตอร์ ขอ้ มลู การทดสอบจะถกู นาเขา้ เครอ่ื งคอมพวิ เตอรเ์ พ่อื ทดสอบการทางานจรงิ ของโปรแกรม การใชง้ านเป็นการทดสอบตรรกะการทางานของโปรแกรมไปดว้ ยในตวั ซง่ึ ขอ้ มลู สมมุตเิ พ่อื การทดสอบ น้ีจะมที งั้ ขอ้ มูลปกตทิ ่เี ป็นจรงิ และขอ้ มูลท่ีผดิ ความเป็นจรงิ เช่น โปรแกรมกาหนดขอ้ มูลนาเข้าเป็น ตวั อกั ษรเท่านัน้ ผทู้ ดสอบจะนาเขา้ ขอ้ มลู ทงั้ ตวั อกั ษรลว้ น ตวั เลขล้วน และตวั เลขปนตวั อกั ษร เพ่อื ตอ้ งการดวู ่าโปรแกรมจะจดั การกบั ขอ้ มลู ทผ่ี ดิ นนั้ อย่างไร มกี ารกนั ไม่ใหข้ อ้ มลู เขา้ ในระบบหรอื ไม่ หรอื ยอมใหข้ อ้ มลู เขา้ แต่มกี ารรายงานกรณพี เิ ศษใหท้ ราบถงึ ขอ้ ผดิ พลาด เทคนิคน้สี ามารถนามาใชไ้ ดท้ งั้ การ ทดสอบระบบงานทก่ี าลงั ใชอ้ ยแู่ ละทดสอบระบบใหมก่ ่อนนาไปใชง้ านจรงิ 3. การจาลองสถานการณ์ค่ขู นาน (Parallel Simulation) เทคนคิ น้ใี ชเ้ พ่อื ใหม้ นั่ ว่าโปรแกรมทใ่ี ชง้ านเป็นโปรแกรมทไ่ี ดท้ าขน้ึ โดยไดผ้ า่ นการอนุมตั อิ ยา่ ง ถูกต้อง ไม่มสี ่วนแทรกท่เี ป็นการตงั้ ใจทุจรติ เพ่อื ทาใหข้ อ้ มูลสญู หายหรอื นาไปใช้ประโยชน์อ่นื ในการ ทดสอบน้ีผตู้ รวจสอบจะต้องสรา้ งโปรแกรมของตนเองขน้ึ มาโดยใชห้ ลกั การเดยี วกับระบบทไ่ี ดร้ บั อนุมตั ิ การใชง้ านนาเขา้ ขอ้ มลู ทดสอบทงั้ ในระบบจรงิ และระบบของผตู้ รวจสอบคขู่ นานกนั ไปหรอื จะใชข้ อ้ มลู จรงิ กไ็ ด้ เพ่อื เปรยี บเทยี บผลทไ่ี ดอ้ อกมาทงั้ สองระบบจุดอ่อนของการใชเ้ ทคนิคน้ีคอื ผตู้ รวจสอบไม่สามารถ ทจ่ี ะทดสอบไดท้ กุ กระบวนการทโ่ี ปรแกรมครอบคลุมถงึ ซง่ึ การประเมนิ ผลโดยดจู ากผลลพั ธเ์ พยี งอยา่ ง เดยี ว ก็ไม่สามารถท่จี ะสรา้ งความมนั่ ใจว่าระบบงานทงั้ หมดถูกต้องและเช่อื ถือได้ ต้นทุนในการใช้ เทคนคิ น้คี อ่ นขา้ งสงู เน่อื งจากผตู้ รวจสอบตอ้ งเขยี นโปรแกรมการตรวจสอบเอง 4. การสร้างข้อสมมตุ ิ (Integrated Test Facility : ITF) การใชเ้ ทคนิคน้เี ป็นการสรา้ งขอ้ สมมตุ แิ ละใชใ้ นการทดสอบพรอ้ มกบั ขอ้ มลู จรงิ โดยระบบ คอมพวิ เตอรข์ องผใู้ ชง้ านทเ่ี ป็นระบบออนไลน์ และมกี ารใชง้ านอย่างต่อเน่ืองเพ่อื ตรวจสอบว่าระบบงาน ประมวลผลได้ถูกต้อง การใช้เทคนิคน้ีผู้ตรวจสอบต้องมกี ารประสานงานกับผู้พัฒนาระบบเพ่อื ให้ สามารถแยกขอ้ มลู และรายงานผลของขอ้ มลู สมมตุ อิ อกจากขอ้ มลู และรายงานจรงิ ซง่ึ ปญั หาจดุ อ่อนของ การตรวจสอบกค็ อื ตอ้ งใชเ้ ทคนิคขนั้ สงู และมคี วามเสย่ี งทก่ี ารประมวลผลและขอ้ มลู จรงิ อาจผดิ พลาดหาก ไมไ่ ดม้ กี ารทดสอบอยา่ งเพยี งพอ บทท่ี 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

515 ปัจจยั พิจารณาการใช้คอมพิวเตอรช์ ่วยในการตรวจสอบ อุษณา ภทั รมนตรี (2555 : 8–5) กล่าวว่าเทคนิควธิ กี ารทน่ี ามาใชใ้ นการตรวจสอบขอ้ มลู ผู้ ตรวจสอบอาจใช้แบบผสมกันระหว่างวิธกี ารตรวจสอบด้วยมอื และการใช้คอมพวิ เตอร์ช่วย ทงั้ น้ีผู้ ตรวจสอบจะใชค้ อมพวิ เตอรช์ ว่ ยในการตรวจสอบหรอื ไมน่ นั้ พจิ ารณาไดจ้ ากปจั จยั ต่างๆ ดงั น้ี 1. ความรู้ ความเชี่ยวชาญ และประสบการณ์ของผตู้ รวจสอบ (Knowledge Expertise and Experience of Auditor) ขน้ึ อยกู่ บั ความซบั ซอ้ นของระบบการประมวลผลของขอ้ มลู การทผ่ี ตู้ รวจสอบเลอื กเทคนคิ การ ตรวจสอบโดยใช้คอมพวิ เตอรเ์ ข้าช่วยซ่งึ ตามมาตรฐานการปฏบิ ตั ิงานกล่าวไว้ว่า ผู้ตรวจสอบควรมี ความรเู้ พยี งพอในการวางแผน สงั่ การ ควบคมุ ดูแล และสอบทานงานทไ่ี ดจ้ ากการใชค้ อมพวิ เตอรช์ ่วย ในสถานการณ์ทจ่ี าเป็น ถา้ หากว่าผตู้ รวจสอบมคี วามรคู้ วามสามารถ หรอื มปี ระสบการณ์ไม่เพยี งพอใน การเขา้ ไปตรวจสอบเทคโนโลยสี ารสนเทศ อาจขอความช่วยเหลอื จากผเู้ ชย่ี วชาญหรอื ผตู้ รวจสอบดา้ น ระบบสารสนเทศดว้ ยกไ็ ด้ 2. ความเป็นไปได้ของเทคนิคท่ีจะใช้กบั อปุ กรณ์คอมพิวเตอร์ (Possibility of Technique Used With Computer Equipment) ผตู้ รวจสอบจะตอ้ งพจิ ารณาว่าการเลอื กใชเ้ ทคนคิ การตรวจสอบโดยใชค้ อมพวิ เตอรเ์ ขา้ ชว่ ยงาน นัน้ สามารถใช้ได้กบั อุปกรณ์ระบบสารสนเทศขององค์กรท่จี ะตรวจสอบหรอื ไม่ เน่ืองจากระบบงาน โปรแกรมท่ใี ช้เคร่อื งคอมพวิ เตอรช์ ่วยในการปฏบิ ตั งิ าน คาสงั่ ของระบบงานอาจใหอ้ ่านขอ้ มูลได้อย่าง เดยี วโดยไม่สามารถทดสอบเก่ยี วกบั ต้นกาเนิดบอกแหล่งท่มี าของหลกั ฐานท่นี ามาบนั ทกึ ได้ ดงั นัน้ หากผูต้ รวจสอบเหน็ ว่าเทคนิคการตรวจสอบโดยใชค้ อมพวิ เตอร์ไม่มคี วามเหมาะสมกบั งานทต่ี ้องเข้า ตรวจสอบ ควรเลอื กใชว้ ธิ กี ารอยา่ งอ่นื หรอื วธิ กี ารตรวจสอบทไ่ี มใ่ ชร้ ะบบคอมพวิ เตอร์ (ระบบทาดว้ ยมอื ) ตรวจสอบแทนก็ได้ เพ่อื ให้ได้มาซ่งึ ผลสรุปรายงานท่มี ปี ระสทิ ธภิ าพจากการตรวจสอบและตรงตาม วตั ถุประสงคข์ องการตรวจสอบ 3. ประสิทธิภาพและประสิทธิผลของเทคนิคการใช้คอมพิวเตอรช์ ่วย (Efficiency and Effectiveness of Computer-Assisted Techniques) ปกตแิ ลว้ การใชค้ อมพวิ เตอรช์ ่วยในการตรวจสอบนนั้ จะทาใหก้ ารตรวจสอบทาได้อยา่ งรวดเรว็ สามารถเพม่ิ ประสทิ ธภิ าพและประสทิ ธผิ ลของงานตรวจสอบเมอ่ื เทยี บกบั การตรวจสอบดว้ ยมอื แต่การ ใชค้ อมพวิ เตอรช์ ่วยในการตรวจสอบนนั้ ผตู้ รวจสอบต้องคานึงถงึ ค่าใชจ้ า่ ยทต่ี ามมาดว้ ยเน่ืองจากการ พฒั นาระบบน้ตี อ้ งใชต้ น้ ทุนสงู อาจมคี วามเสย่ี งว่าระบบทม่ี กี ารพฒั นาขน้ึ มาใชใ้ หมน่ นั้ จะเหมาะสมหรอื มี การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทท่ี 11

516 ความเพยี งพอต่อระบบงานของโปรแกรมท่ปี ฏบิ ตั ิงานอยู่ในปจั จุบนั หรอื ไม่ และวธิ นี ้ีต้องสามารถนา กลบั มาใชไ้ ดอ้ กี ในอนาคต เพ่อื ชว่ ยลดเวลาในการออกแบบของผตู้ รวจสอบในครงั้ ต่อไป 4. ข้อจากดั ด้านเวลาและการประสานงาน (Time Constraints and Coordination) การใชค้ อมพวิ เตอรช์ ว่ ยงานตรวจสอบจะช่วยลดเวลาในการตรวจสอบ แต่ผตู้ รวจสอบอาจตอ้ ง คานึงถงึ ระยะเวลาทต่ี ้องใชใ้ นการเตรยี มการและประสานงานกบั องคก์ ร หรอื หน่วยงานอ่นื ทเ่ี ก่ยี วขอ้ ง เน่ืองจากการปฏิบตั ิงานของบุคลากรในหน่วยงานอาจเก็บแฟ้มขอ้ มูลรายการในช่วงระยะเวลาสนั้ ๆ บางครงั้ หลกั ฐานท่จี ะเป็นประโยชน์ในงานตรวจสอบอาจมไี ม่ครบตามความต้องการของผู้ตรวจสอบ หรอื ไม่ได้ทาการเก็บหลกั ฐานเอกสารไว้เลยจงึ ทาให้ผู้ตรวจสอบไม่สามารถท่ีจะใช้วิธีการน้ีในการ ตรวจสอบ เน่ืองจากการทดสอบดว้ ยระบบคอมพวิ เตอร์ ขอ้ มลู ทป่ี ้อนเขา้ ตอ้ งมคี วามถูกตอ้ งครบถ้วน ผลลพั ธท์ อ่ี อกมาจากคาสงั่ ถงึ จะมคี วามน่าเช่อื ถอื หากผตู้ รวจสอบพบว่าขอ้ มลู ทน่ี าเขา้ ส่รู ะบบโปรแกรม คอมพวิ เตอรเ์ วลาส่งไปประมวลผลมคี วามไม่เพยี งพอตอ้ งเปลย่ี นวธิ กี ารมาใชก้ ารตรวจสอบดว้ ยมอื แทน โดยผู้ตรวจสอบต้องพิจารณาการตรวจสอบข้อมูลจากแฟ้ มท่ีละรายการซ่ึงอาจต้องใช้เวลาในการ ตรวจสอบนานขน้ึ จากเดมิ 5. ความเช่ือถอื ได้ของระบบและสภาพแวดล้อมของระบบสารสนเทศ (Reliability of the System and Environment Information Systems) การใชค้ อมพวิ เตอรช์ ่วยในการตรวจสอบเป็นการตรวจสอบแบบคน้ พบ ซง่ึ จะเกดิ ประสทิ ธภิ าพ และประสทิ ธผิ ลได้เต็มท่หี รอื ไม่ ขน้ึ อยู่กบั สภาพแวดล้อมและการจดั การระบบควบคุมสารสนเทศท่ี เช่อื ถอื ได้ เช่น การจดั โครงสรา้ งองค์กร การแบ่งแยกหน้าท่ี การกาหนดระดบั อนุญาตการเขา้ ถงึ ข้อมูล และการรกั ษาความปลอดภยั ของระบบท่ดี ี มฉิ ะนัน้ อาจตรวจไม่พบหรอื พบข้อผดิ พลาดไม่ ครบถว้ น เป็นตน้ 6. ระดบั ความเส่ียง (Level Risk) การใชค้ อมพวิ เตอรช์ ว่ ยในการตรวจสอบจะชว่ ยลดความเสย่ี งทเ่ี กดิ จากวธิ กี ารตรวจสอบแต่ถา้ ผู้ตรวจสอบพจิ ารณาว่าความเส่ยี งในการตรวจสอบอย่ใู นระดบั ต่า เช่น ในกรณีตรวจสอบระบบงาน ขนาดเลก็ ทไ่ี มม่ คี วามซบั ซอ้ นหรอื ผตู้ รวจสอบมรี อ่ งรอยในการตรวจสอบและสามารถหาหลกั ฐานในการ ตรวจสอบจากวธิ การตรวจสอบอ่นื ได้เพยี งพออาจไม่จาเป็นต้องใชค้ อมพวิ เตอรช์ ่วยในการตรวจสอบ เป็นตน้ บทที่ 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ

517 สรปุ การนาเทคโนโลยสี ารสนเทศเขา้ มาใชใ้ นองคก์ ร ถอื เป็นส่วนสาคญั ของการปฏบิ ตั งิ านทงั้ ในส่วน ของการบรหิ ารจดั การ การจดั เกบ็ ขอ้ มลู และการประมวลผลระบบงานทาใหก้ ารดาเนินงานขององคก์ รมี ความสะดวกรวดเรว็ มปี ระสทิ ธภิ าพและเพมิ่ ความสามารถในการแข่งขนั ทางธุรกจิ ขณะเดยี วกนั ก็ ก่อใหเ้ กดิ ความเสย่ี งต่อองคก์ รหลายประการซ่งึ อาจส่งผลกระทบต่อการดาเนินงานหรอื ก่อให้เกดิ ความ เสยี หาย โดยเฉพาะหากองคก์ รไมม่ กี ารบรหิ ารจดั การและการรกั ษาความปลอดภยั ดา้ นสารสนเทศทร่ี ดั กุดเพยี งพอ โดยทวั่ ไปแลว้ การควบคุมเทคโนโลยสี ารสนเทศจะแบ่งเป็น 2 ประเภท คอื การควบคุม ทวั่ ไปและการควบคุมเฉพาะระบบงาน สาหรบั แนวทางตรวจสอบเทคโนโลยสี ารสนเทศมขี นั้ ตอนเรมิ่ ต้นจากการศกึ ษาทาความเขา้ ใจ การประเมนิ การควบคุม การประเมนิ การปฏบิ ตั งิ าน และการพสิ ูจน์ยนื ยนั ความเสย่ี ง โดยเทคนิคใน การตรวจสอบมหี ลายวธิ ขี ้นึ อยู่กบั ความชานาญและเช่ยี วชาญของผู้ตรวจสอบแต่ละคนท่จี ะเลือกใช้ เพอ่ื ใหเ้ หมาะสมกบั งาน ดงั นนั้ ผตู้ รวจสอบภายในจงึ ควรใหค้ วามสาคญั เกย่ี วกบั การบรหิ ารจดั การและ การควบคุมความเสย่ี งด้านสารสนเทศขององค์กรอย่างจรงิ จงั เพ่อื ให้องค์กรใช้ระบบสารสนเทศเป็น เครอ่ื งมอื ในการบรรลุวตั ถุประสงคไ์ ดอ้ ยา่ งมปี ระสทิ ธภิ าพ สามารถนาระบบสารสนเทศมาสนับสนุนการ ดาเนินงานให้เกดิ ประโยชน์สูงสุด เป็นท่นี ่าเช่อื ถือและลดโอกาสของความเสยี หายทอ่ี าจจะเกดิ ขน้ึ ใน อนาคต การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทที่ 11

518 แบบฝึ กหดั ท้ายบท ตอนที่ 1 คาถามอตั นัย : ถาม – ตอบจากทฤษฎใี นเน้อื หาเพ่อื ทดสอบความเขา้ ใจของผเู้ รยี น ขอ้ 1. ใหท้ า่ นกล่าวถงึ ความแตกต่างระหว่างระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอรก์ บั ทไ่ี มใ่ ชค้ อมพวิ เตอร์ (จดั ทาดว้ ยมอื ) มาพอเขา้ ใจ ขอ้ 2. ใหบ้ อกถงึ แนวทางการตรวจสอบเกย่ี วกบั เทคโนโลยสี ารสนเทศ ผตู้ รวจสอบตอ้ งปฏบิ ตั อิ ยา่ งไร ขอ้ 3. เมอ่ื องคก์ รใชเ้ ทคโนโลยสี ารสนเทศองคก์ รจาเป็นตอ้ งมกี ารควบคุมภายในและตรวจสอบภายใน ทางดา้ นเทคโนโลยสี ารสนเทศดว้ ยเหตุผลใด ขอ้ 4. กรณที อ่ี งคก์ รใชเ้ ทคโนโลยสี ารสนเทศจะมผี ลกระทบก่อใหเ้ กดิ ความเสย่ี งและการควบคุมภายใน แตกต่างไปจากองคก์ รทไ่ี มใ่ ชเ้ ทคโนโลยสี ารสนเทศอยา่ งไร ขอ้ 5. หลกั เกณฑใ์ นการตรวจสอบการบรหิ ารเทคโนโลยสี ารสนเทศทส่ี าคญั เพ่อื นามาประเมนิ ปจั จยั เกย่ี วกบั ความมปี ระสทิ ธภิ าพและประสทิ ธผิ ล พจิ ารณาจากสง่ิ ใดบา้ ง ขอ้ 6. เทคนคิ การตรวจสอบระบบสารสนเทศทใ่ี ชค้ อมพวิ เตอรม์ หี ลากหลายแต่ทน่ี ิยมนามาใช้กนั ทวั่ ไป มเี ทคนิคใดบา้ ง อธบิ ายมาพอเขา้ ใจ ขอ้ 7. ใหอ้ ธบิ ายมาตรฐานของการควบคุมภายในของเทคโนโลยตี ามวธิ ไี อเอพเี อสเป็นอยา่ งไร ขอ้ 8. จากการตรวจสอบศูนยค์ อมพวิ เตอรข์ องบรษิ ทั ชวั รป์ บั๊ จากดั ผตู้ รวจสอบภายในไดท้ าการตรวจ สอบระบบงานโดยใชโ้ ปรแกรมคอมพวิ เตอรป์ รากฏวา่ พบเหตุการณ์ต่างๆ ดงั น้ี (1) ไมม่ กี ารควบคมุ การใชเ้ ครอ่ื งเทอรม์ นิ ลั ทต่ี ่อเชอ่ื มเขา้ ไปทศ่ี ูนยค์ อมพวิ เตอร์ (2) เจา้ หน้าท่คี วบคุมเคร่อื งคอมพวิ เตอร์ไม่มกี ารสบั เปล่ยี นระหว่างกะหรอื ระบบงานกนั เลย องคก์ รอนุญาตใหเ้ จา้ หน้าทค่ี วบคุมเคร่อื งคอมพวิ เตอรแ์ ต่ละคนสามารถเขา้ ถงึ กจิ กรรมการประมวลผล ขอ้ มลู ของระบบงานใดระบบงานหน่งึ ไดเ้ ป็นประจา (3) ความสนใจทจ่ี ะควบคุมเกดิ ขน้ึ ท่รี ายงานผลลพั ธซ์ ่งึ มขี อ้ ผดิ พลาดปรากฏใหเ้ หน็ เพ่อื ดาเนิน การแกไ้ ขใหถ้ กู ตอ้ งต่อไป ให้ทา ระบุขอ้ ผดิ พลาดทอ่ี าจเกดิ ขน้ึ วธิ กี ารควบคุมภายในทเ่ี หมาะสม และวธิ กี ารตรวจสอบ ภายใน บทท่ี 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

519 ขอ้ 9. ผตู้ รวจสอบภายในไดส้ อบทานรายงานทอ่ี อกจากระบบคอมพวิ เตอร์ เพ่อื นาเสนอต่อฝ่ายจดั ซอ้ื ขององคก์ รและไดส้ มั ภาษณ์ผใู้ ชท้ ส่ี าคญั ของฝา่ ยจดั ซอ้ื พบว่า (1) มรี ายงานทงั้ หมด 20 ประเภททจ่ี ดั ทาขน้ึ (2) มรี ายงาน 2 ประเภททไ่ี มท่ ราบวา่ ใครเป็นผอู้ นุมตั ใิ หจ้ ดั ทารายงานน้ขี น้ึ มาตงั้ แต่แรก (3) มรี ายงาน 4 ประเภททไ่ี มไ่ ดใ้ ชง้ านและมสี าเนามากเกนิ ความจาเป็น (4) ผใู้ ชไ้ มม่ คี วามแตกต่างในการใชร้ ายงานประเภทต่างๆ ทเ่ี พมิ่ ขน้ึ เป็นพเิ ศษ (5) ผอู้ านวยการฝา่ ยจดั ซอ้ื กลา่ วว่า “เราตอ้ งการรายงานประเภทอ่นื เพอ่ื ใหส้ ารสนเทศใน การปฏบิ ตั งิ านของเราไดอ้ ยา่ งมปี ระสทิ ธภิ าพ” ให้ทา ในฐานะทท่ี า่ นเป็นผตู้ รวจสอบภายในไดต้ รวจพบขอ้ บกพรอ่ งจากรายงานต่างๆ ทเ่ี กดิ ขน้ึ ในหน่วยงาน ท่านจะแสดงความเหน็ เกย่ี วกบั เรอ่ื งน้อี ยา่ งไร จงอธบิ าย ขอ้ 10. บรษิ ทั สอ่ งแสงจากดั ไดเ้ ปิดกจิ การมาเป็นระยะเวลาหลายปีแต่การดาเนนิ งานในบรษิ ทั ฯ ยงั ไม่ ค่อยทนั สมยั มากนัก ต่อมาบรษิ ทั ไดม้ นี โยบายปรบั ปรุงและพฒั นาระบบการทางานใหม่ โดยไดน้ าเอา ระบบเทคโนโลยคี อมพวิ เตอรเ์ ขา้ มาช่วยในการปฏบิ ตั งิ านและไดเ้ ปลย่ี นช่อื บรษิ ทั ใหม่เป็น “บรษิ ทั โชติ ชว่ งจากดั ” เพ่อื ความเป็นศริ มิ งคลต่อการทางานของสภาพแวดลอ้ มใหม่ เดมิ ลกั ษณะการทางานของบรษิ ทั เป็นองคก์ รท่ผี ลติ ชน้ิ ส่วนทางอเิ ลก็ ทรอนิกส์ คนงานมจี านวน มากบางครงั้ อาจมีการทางานล่วงเวลา คนงานมหี ลายผลดั มที งั้ คนงานประจาและลูกจ้างรายวัน ความสามารถและทกั ษะในการทางานของแต่ละบคุ คลกแ็ ตกต่างกนั ไป ซง่ึ คา่ ตอบแทนทบ่ี รษิ ทั ฯ จา้ งกม็ ี อตั ราการจา่ ยทแ่ี ตกต่างกนั ไป ซง่ึ แต่ละเดอื นบรษิ ทั ฯ มกั มปี ญั หาในการคดิ ค่าแรงหรอื ค่าจา้ งเงนิ เดอื น มาก เพราะเดมิ บรษิ ทั ใช้บตั รบนั ทกึ ค่าแรงงานและการคานวณทาดว้ ยมอื ต่อมาบรษิ ทั ฯ ไดเ้ ปลย่ี น วธิ กี ารใหม่ มกี ารนาบตั รซง่ึ มแี ถบแมเ่ หลก็ มาใชบ้ นแถบแมเ่ หลก็ มขี อ้ มลู เก่ยี วกบั ตวั พนกั งานผถู้ อื บตั ร และเมอ่ื เขา้ ทางานพนกั งานจะรดู บตั รบนเครอ่ื งอ่าน ซง่ึ จะบนั ทกึ เวลาการทางานอตั โนมตั ิ และเม่อื เลกิ งานพนกั งานจะรดู บตั รอกี ครงั้ ระบบคอมพวิ เตอรจ์ ะคานวณค่าจา้ งและเงนิ เดอื นใหโ้ ดยอตั โนมตั ิ ให้ทา ประเมนิ ความเสย่ี งจากการนาระบบคอมพวิ เตอรเ์ ขา้ มาใชใ้ นงานดา้ นการคานวณค่าจา้ ง และเงนิ เดอื นดงั กล่าว และระบุจุดควบคุมภายในมาพอเขา้ ใจ เพ่อื ลดความเสย่ี งทจ่ี ะก่อใหเ้ กดิ ความ เสยี หายต่อบรษิ ทั ฯ การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ บทที่ 11

520 ตอนที่ 2 แบบฝึ กหดั ปรนัย : คาสงั่ ใหเ้ ขยี นเครอ่ื งหมายวงกลม ลอ้ มรอบตวั อกั ษรทถ่ี ูกตอ้ งทส่ี ดุ เพยี งตวั เลอื กเดยี วสาหรบั คาถามแต่ละขอ้ 1. ขนั้ ตอนแรก สาหรบั แนวทางการตรวจสอบเทคโนโลยสี ารสนเทศผปู้ ฏบิ ตั งิ านตรวจสอบตอ้ งทาตาม รายการขอ้ ใด ก. การประเมนิ การควบคุม ข. การพสิ จู น์ยนื ยนั ความเสย่ี ง ค. การศกึ ษาทาความเขา้ ใจ ง. การประเมนิ การปฏบิ ตั งิ าน 2. “เป็นการส่งขอ้ มลู ออกไปยงั หน่วยป้อนออกภายนอก (ปลายทาง) แลว้ ใหส้ ่งมาทแ่ี หลง่ ตน้ กาเนดิ ภายในเพ่อื เปรยี บเทยี บว่าขอ้ มลู นนั้ ถกู ตอ้ งตรงกบั ตน้ ทางหรอื ไม่” จากคากลา่ วน้ี เป็นการควบคมุ ฮารด์ แวรอ์ ยภู่ ายในเครอ่ื งคอมพวิ เตอรต์ ามขอ้ ใด ก. การอ่านซ้า ข. การตรวจสอบอกั ษรเสรมิ ค. การตรวจสอบสะทอ้ นกลบั ง. การอ่านหลงั การเขยี น 3. กรณที ผ่ี ตู้ รวจสอบภายในไมม่ คี วามรทู้ างดา้ นการใชเ้ ทคนคิ คอมพวิ เตอรช์ ่วยการตรวจสอบอยา่ ง เพยี งพอแลว้ ผตู้ รวจสอบภายในควรปฏบิ ตั อิ ยา่ งไร ก. ไมค่ วรใชค้ อมพวิ เตอรช์ ว่ ยการตรวจสอบ ข. ขอความชว่ ยเหลอื จากผเู้ ชย่ี วชาญทางดา้ นคอมพวิ เตอร์ ค. ศกึ ษาหาความรเู้ พม่ิ เตมิ ทางดา้ นเทคนิคคอมพวิ เตอรช์ ่วยการตรวจสอบ ง. ขอความชว่ ยเหลอื จากหน่วยรบั ตรวจและฝา่ ยคอมพวิ เตอร์ 4. ขอ้ ใด ไมใ่ ช่ วธิ กี ารควบคุมการนาขอ้ มลู เขา้ คอมพวิ เตอร์ ก. การแปลงสภาพขอ้ มลู เขา้ ข. การอนุมตั ิ ค. การกาหนดตวั บคุ คลทม่ี คี ุณสมบตั ทิ ม่ี คี วามรแู้ ละความสามารถตรงกบั งาน ง. การแกไ้ ขขอ้ ผดิ พลาด บทที่ 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

521 5. เมอ่ื องคก์ รใชค้ อมพวิ เตอรใ์ นการประมวลผลขอ้ มลู สงิ่ ใดต่อไปน้ที ย่ี งั คงเหมอื นกบั องคก์ รประมวลผล ขอ้ มลู ดว้ ยมอื ก. ระบบบญั ชี ข. วธิ กี ารตรวจสอบ ค. ระบบการควบคมุ ภายใน ง. วตั ถุประสงคข์ องการตรวจสอบ 6. ระบบงานใดท่ี ไมจ่ ำเป็น ตอ้ งใชเ้ ทคนคิ คอมพวิ เตอรช์ ่วยการตรวจสอบ ก. ระบบงานทข่ี าดหลกั ฐานในการตดิ ตามรอ่ งรอยการตรวจสอบ ข. ระบบงานทอ่ี งคก์ รพฒั นาขน้ึ ใชเ้ องภายในหน่วยงาน ค. ระบบงานทม่ี ปี รมิ าณรายการคา้ มาก และมแี ฟ้มขอ้ มลู มาก ง. ระบบงานทม่ี กี ารควบคมุ และเอกสารประกอบการประมวลผล 7. หลกั เกณฑใ์ นการพจิ ารณาการตรวจสอบการบรหิ ารเทคโนโลยสี ารสนเทศมหี ลายประการทน่ี ามาใช้ ในการตดั สนิ ใจแต่ มไิ ด้ กลา่ วถงึ รายการตามขอ้ ใด ก. การจดั ระเบยี บองคก์ ร ข. นโยบายดา้ นบุคลากร ค. จรยิ ธรรมของบคุ ลากร ง. การวางแผนระบบ 8. ผตู้ รวจสอบภายในใชว้ ธิ ขี อ้ มลู ทดสอบ (Test Data Method) เพอ่ื ตรวจสอบอะไรของระบบ สารสนเทศ ก. โปรแกรมคอมพวิ เตอร์ ข. แฟ้มขอ้ มลู คอมพวิ เตอร์ ค. ฮารด์ แวรค์ อมพวิ เตอร์ ง. การควบคุมทางดา้ นคอมพวิ เตอร์ 9. ขอ้ ใด ไมใ่ ช่ ความจาเป็นในการควบคมุ และตรวจสอบเทคโนโลยสี ารสนเทศ ก. เพอ่ื ป้องกนั ขอ้ มลู สญู หาย ข. เพ่อื กาหนดบคุ คลใหม้ คี วามเหมาะสมกบั การใชง้ าน ค. เพ่อื ป้องกนั การใชค้ อมพวิ เตอรใ์ นทางทม่ี ชิ อบหรอื ทุจรติ ง. เพอ่ื ความเช่อื ถอื ได้ ถูกตอ้ งและครบถว้ นของสารสนเทศ การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ บทที่ 11

522 10. ลกั ษณะการควบคุมเฉพาะระบบงานสารสนเทศคอื ขอ้ ใด ก. เป็นการควบคุมโดยฮารด์ แวรแ์ ละซอฟตแ์ วร์ ข. เป็นการควบคุมความปลอดภยั ทางกายภาพ ค. เป็นการควบคมุ การจดั โครงสรา้ งและการแบง่ แยกหน้าท่ี ง. เป็นการควบคมุ การพฒั นา แกไ้ ข และบารงุ รกั ษาระบบงาน บทที่ 11 การควบคมุ และการตรวจสอบภายในดา้ นเทคโนโลยีสารสนเทศ

523 เอกสารอ้างอิง การตรวจสอบเทคโนโลยีสารสนเทศ. สบื คน้ เมอ่ื 2 กรกฎาคม 2558, จาก http://www.bfiia.org/imges/introc_1157589704/CPIAT%252008 การตรวจสอบระบบงานท่ีใช้เทคโนโลยีสารสนเทศ. สบื คน้ เมอ่ื 1 กรกฎาคม 2558, จาก http://www.itghailand.com/tag/ จนั ทนา สาขากร, นิพนั ธ์ เหน็ โชคชยั ชนะ, และศลิ ปพร ศรจี นั่ เพชร. (2557). การควบคมุ ภายในและการตรวจสอบภายใน. พมิ พค์ รงั้ ท่ี 1. กรงุ เทพฯ : ทพี เี อน็ เพรส. ตลาดหลกั ทรพั ยแ์ ห่งประเทศไทย, และสมาคมผตู้ รวจสอบภายในแหง่ ประเทศไทย. (2554). แนวทางการตรวจสอบภายใน. จานวนพมิ พ์ 12,000 เลม่ . พมิ พค์ รงั้ ท่ี 1. ปทมุ ธานี : ดบู ายเบส. เทคโนโลยีสารสนเทศเบอื้ งต้น. สบื คน้ เมอ่ื 2 กรกฎาคม 2558, จาก http://elearning.northcm.ac.th/it/lesson1.asp แนวทางการกากบั ดแู ลด้านเทคโนโลยีสารสนเทศ. สบื คน้ เมอ่ื 27 มถิ ุนายน 2558, จาก http://www.theiiat.or.th/media/km/thumbnail/29/90210161729/seccom ประโยชน์และตวั อย่างของการใช้เทคโนโลยีสารสนเทศและการสื่อสาร. สบื คน้ เมอ่ื 9 กรกฎาคม 2558, จาก http://sites.google/site/kruyutsbw/prayoyochn-laea-tawxyang มหาวทิ ยาลยั สุโขทยั ธรรมาธริ าช สาขาวชิ าวทิ ยาการจดั การ. (2554). เอกสารประกอบการ สอนชุดวิชาการใช้คอมพิวเตอรใ์ นการจดั ทาบญั ชีและตรวจสอบบญั ชี หน่วยท่ี 1 – 7. จานวนพมิ พ์ 3,000 เล่ม. พมิ พค์ รงั้ ท่ี 1. กรงุ เทพฯ : มหาวทิ ยาลยั สโุ ขทยั ธรรมาธริ าช. สมาคมคอมพวิ เตอรแ์ ห่งประเทศไทย. (2554). เทคโนโลยีสารสนเทศพื้นฐาน : หลกั สตู ร การศึกษาขนั้ พืน้ ฐาน พทุ ธศกั ราช พ.ศ. 2544. กรงุ เทพ ฯ : สมาคมคอมพวิ เตอรแ์ หง่ ประเทศไทยในพระบรมราชปู ถมั ภ.์ การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ บทท่ี 11

524 สมาคมผตู้ รวจสอบภายในแห่งประเทศไทย. (2555). แนวทางการตรวจสอบภายใน ฉบบั นักศึกษา. จานวนพมิ พ์ 500 เลม่ . พมิ พค์ รงั้ ท่ี 2. กรงุ เทพฯ : จฬุ าลงกรณ์มหาวทิ ยาลยั . อุษณา ภทั รมนตร.ี (2555). การตรวจสอบและการควบคมุ ด้านคอมพิวเตอรท์ างบญั ชี. พมิ พค์ รงั้ ท่ี 1. กรงุ เทพฯ : จามจรุ โี ปรดกั ท.์ เอกกมล เอย่ี มศร.ี (2555). บทความการตรวจสอบการควบคมุ การจดั การภายในระบบ IT ใน Modern Management Forum หน้า1/4. ศนู ยร์ วมขอ้ มลู เกย่ี วกบั เทคโนโลยสี มยั ใหม่ สาหรบั ใชใ้ นการบรหิ ารจดั การองคก์ ร. Romney, M. B. and Steinbart, P. J. (2003). Accounting Information Systems. 9th Edition. New Jersey : Pearson Education Indochina LTD. บทที่ 11 การควบคมุ และการตรวจสอบภายในด้านเทคโนโลยีสารสนเทศ

525 แผนบริหารการสอนประจาบทท่ี 12 บทบาทของผ้ตู รวจสอบภายในกบั การทุจริต หวั ข้อเนื้อหาประจาบท 1. ความหมายของการทจุ รติ 2. องคป์ ระกอบของการทจุ รติ 3. สญั ญาณเตอื นภยั ว่าอาจมกี ารทจุ รติ 4. ประเภทของการทจุ รติ 5. ความรบั ผดิ ชอบเกย่ี วกบั การทจุ รติ 6. การปฏบิ ตั งิ านตรวจสอบการทจุ รติ 7. การจดั ทารายงานการตรวจสอบทจุ รติ 8. การดาเนินการกบั ผทู้ จุ รติ 9. แนวคดิ เกย่ี วกบั บญั ชสี บื สวน วตั ถปุ ระสงคเ์ ชิงพฤติกรรม 1. ผเู้ รยี นสามารถอธบิ ายความหมายของการทจุ รติ ได้ 2. ผเู้ รยี นสามารถอธบิ ายองคป์ ระกอบของการทุจรติ ได้ 3. ผเู้ รยี นสามารถอธบิ ายสญั ญาณเตอื นภยั วา่ อาจมกี ารทจุ รติ ได้ 4. ผเู้ รยี นสามารถอธบิ ายประเภทของการทุจรติ ได้ 5. ผเู้ รยี นสามารถอธบิ ายความรบั ผดิ ชอบเกย่ี วกบั การทจุ รติ ได้ 6. ผเู้ รยี นสามารถอธบิ ายการปฏบิ ตั งิ านตรวจสอบการทุจรติ ได้ 7. ผเู้ รยี นสามารถอธบิ ายการจดั ทารายงานการตรวสอบทจุ รติ ได้ 8. ผเู้ รยี นสามารถอธบิ ายการดาเนนิ การกบั ผทู้ จุ รติ ได้ 9. ผเู้ รยี นสามารถอธบิ ายแนวคดิ เกย่ี วกบั บญั ชสี บื สวนได้ วิธีการสอนและกิจกรรมการเรยี นการสอนประจาบท 1. ชแ้ี จงรายละเอยี ดรายวชิ า วธิ กี ารจดั การเรยี นการสอน การวดั และการประเมนิ ผล 2. การบรรยายเน้อื หา 3. ถาม–ตอบในชนั้ เรยี น 4. ทาแบบฝึกหดั ทา้ ยบท บทบาทของผตู้ รวจสอบภายในกบั การทุจริต บทท่ี 12

526 ส่ือการเรียนการสอน 1. เอกสารประกอบการสอน เรอ่ื ง บทบาทของผตู้ รวจสอบภายในกบั การทุจรติ 2. ชุดการสอน Power Point 3. แหล่งขอ้ มลู อเิ ลค็ ทรอนิกสท์ เ่ี กย่ี วขอ้ ง 4. แหล่งความรจู้ ากวารสารและหนงั สอื พมิ พต์ ่าง ๆ การวดั ผลและการประเมินผล 1. สงั เกตความสนใจขณะฟงั บรรยายและการตอบคาถาม 2. สงั เกตจากการทาแบบฝึกหดั ในชนั้ เรยี น 3. สงั เกตจากพฤตกิ รรมความสนใจ และการรว่ มกจิ กรรมในชนั้ เรยี น 4. ประเมนิ ผลจากการทาแบบฝึกหดั ทา้ ยบท บทที่ 12 บทบาทของผตู้ รวจสอบภายในกบั การทุจริต

527 บทท่ี 12 บทบาทของผ้ตู รวจสอบภายในกบั การทุจริต การทุจรติ ของตวั บุคคลดา้ นทรพั ยส์ นิ มโี อกาสเกดิ ขน้ึ ไดท้ ุกเมอ่ื ขน้ึ อย่กู บั ช่วงเวลาและโอกาสไม่ ว่าองค์กรนัน้ จะมรี ะบบการควบคุมภายในท่ดี เี พยี งใดก็ตาม ผู้บรหิ ารในองค์กรย่อมเป็นผูร้ บั ผดิ ชอบ โดยตรงในการคน้ หาสาเหตุรวมทงั้ หาแนวทางป้องกนั แก้ไขการทุจรติ ส่วนผตู้ รวจสอบภายในมหี น้าท่ี เพยี งเขา้ มาช่วยตรวจสอบประเมนิ เก่ยี วกบั ระบบการควบคุมภายในองค์กรว่ามปี ระสทิ ธภิ าพ มคี วาม เพยี งพอเหมาะสมดา้ นตวั บุคคล สถานท่ี รวมถงึ ทรพั ยส์ นิ ต่างๆ ในระดบั ใดนอกจากนนั้ ยงั ตอ้ งวเิ คราะห์ เหตุการณ์ทเ่ี ป็นสญั ญาณเตอื นภยั หรอื ขอ้ บ่งช้ีของความเสย่ี งทอ่ี าจจะเกดิ การทุจรติ จากการบรหิ ารดา้ น นโยบายต่างๆ ไดใ้ นอนาคต ดงั นนั้ ผูต้ รวจสอบภายในควรรบั รแู้ ละต้องทาความเขา้ ใจเก่ยี วกบั มลู เหตุ ของการทุจรติ เพราะจะช่วยให้ผู้ตรวจสอบสามารถกาหนดแนวทางการปฏบิ ตั ไิ ดต้ รงตามวตั ถุประสงค์ รวมทงั้ หาแนวทางป้องกนั แกไ้ ขและใหค้ าแนะนากบั ผบู้ รหิ ารพรอ้ มบทลงโทษทบ่ี ุคคลนนั้ ๆ จะไดร้ บั จาก การทจุ รติ ความหมายของการทจุ ริต ความหมายของคาว่า “ทุจรติ ” (Fraud) นนั้ มหี น่วยงานและบคุ คลทเ่ี กย่ี วขอ้ งไดใ้ หค้ านยิ ามไว้ ดงั น้ี สมาคมผตู้ รวจสอบภายในสากล (2555 : 1) ไดใ้ หค้ วามหมายการทุจรติ คอื การกระทาทผ่ี ดิ กฏหมายของบุคคลหรอื องคก์ รในลกั ษณะของการฉ้อฉล หลอกหลวง ปกปิด หรอื ใชอ้ านาจหน้าทโ่ี ดย มชิ อบและเป็นการกระทาทเ่ี กดิ ขน้ึ โดยปราศจากการข่มข่บู งั คบั จากผู้อ่นื เพ่อื ใหไ้ ดม้ าซง่ึ ทรพั ยส์ นิ เงนิ ทองหรอื บรกิ าร เพ่อื เลย่ี งการจ่ายเงนิ หรอื ให้บรกิ าร และเพ่อื รกั ษาความได้เปรยี บส่วนตนหรอื ความ ไดเ้ ปรยี บทางธรุ กจิ ราชบณั ฑติ ยสถาน ตามพจนานุกรมฉบบั ราชบณั ฑติ ยสถาน พ.ศ. 2525 ไดใ้ หค้ วามหมายการ ทจุ รติ คอื ความประพฤตชิ วั่ คดโกง ไมซ่ ่อื ตรง ยกั ยอก ประมวลกฎหมายอาญา ภาค 1(1) ลกั ษณะ 1 บทบญั ญตั ิทวั่ ไป หมวด 1 บทคานิยามได้ให้ ความหมายการทจุ รติ คอื การแสวงเพ่อื หาประโยชน์ทม่ี คิ วรไดโ้ ดยชอบดว้ ยกฎหมายสาหรบั ตนเองหรอื ผอู้ ่นื (คน้ จาก, http://www.blog.eduzones.com/froze/3317) สมาคมการบญั ชไี ทย (2557 : 16) กล่าวถงึ การทุจรติ หรอื การคอรร์ ปั ชนั่ โดยไดใ้ หค้ วามหมาย วา่ เป็นการใชอ้ านาจตามความรบั ผดิ ชอบไปในทางทผ่ี ดิ เพ่อื หาประโยชน์ส่วนตน บทบาทของผตู้ รวจสอบภายในกบั การทจุ ริต บทที่ 12

528 จากทก่ี ล่าวมาขา้ งต้นโดยสรุปแล้ว “การทุจรติ ” คอื การกระทาผดิ ดา้ นคุณธรรม จรยิ ธรรม ของตวั บคุ คลจะกระทาดว้ ยเจตนาหรอื ไมเ่ จตนากต็ าม เป็นการกระทาคนเดยี วหรอื ร่วมมอื กบั บุคคลอ่นื ซง่ึ มชิ อบด้วยหลกั เกณฑ์ กฎระเบยี บ ขอ้ บงั คบั ใหไ้ ด้มาซง่ึ ทรพั ยส์ นิ เงนิ ทองหรอื ประโยชน์อ่นื ใดจาก การบงั คบั ข่เู ขญ็ การฉ้อโกง ยกั ยอก เอามาจากบุคคลอ่นื โดยทเ่ี จา้ ของทรพั ยส์ นิ ไม่มเี จตนาทม่ี อบให้ ดว้ ยความบรสิ ทุ ธใิ ์ จ องคป์ ระกอบของการทจุ ริต จนั ทนา สาขากร, นิพนั ธ์ เหน็ โชคชยั ชนะ, ศลิ ปพร ศรจี นั่ เพชร (2557 : 17–2) กล่าวว่าการ ทุจรติ ของตวั บุคคลไม่ว่าเป็นการหาผลประโยชน์นาไปใชเ้ พ่อื ตนเองหรอื เพ่อื ส่วนรวมจะมอี งคป์ ระกอบ ของการกระทาการทจุ รติ เกดิ ขน้ึ โดยทวั่ ไปประกอบดว้ ยกนั 4 อยา่ ง ดงั น้ี 1. มลู เหตจุ งู ใจ (Motive) มลู เหตุจงู ใจหรอื บางครงั้ เรยี กว่าแรงจงู ใจยอ่ มอาจแตกต่างกนั ไปตามแต่ละบคุ คล เน่อื งมาจาก การรบั รูพ้ ้นื ฐานการดาเนินชวี ติ ของบุคคลมไี ม่เท่ากนั ไดแ้ ก่ ดา้ นศลี ธรรมคุณธรรม ระดบั การศกึ ษา การเขา้ สงั คม เชอ้ื ชาติ ศาสนา ขนบธรรมประเพณี เป็นต้น ความเข้าใจหยงั่ ถงึ จติ ใจของมนุษย์ท่ี แสดงออกมาซ่งึ เป็นตวั ผลกั ดนั ใหเ้ กิดพฤติกรรมในทางท่มี ชิ อบท่ถี ูกต้องต่อสงั คมท่คี วรยอมรบั เช่น ความโลภ ความทะเยอทะยานของตวั บุคคล ความไม่พงึ พอใจในสงิ่ ทต่ี นมอี ยู่ ความกดดนั สภาวะทาง เศรษฐกจิ การเหน็ แก่ตวั ความอยากเอาชนะคนอ่นื เป็นต้น ซง่ึ มลู เหตุสง่ิ จงู ใจเหล่าน้ีเป็นแรงกดดนั ใหบ้ ุคคลตอ้ งกระทาการทุจรติ เกดิ ขน้ึ ในองคก์ ร 2. ส่ิงยวั่ ยวนหรอื ดึงดดู ใจ (Attraction) คอื ผลประโยชน์ทบ่ี คุ คลนนั้ จะไดร้ บั จากการทจุ รติ ทไ่ี ดม้ าโดยมชิ อบไมว่ ่าจะไดร้ บั เป็นสงิ่ ของ หรอื ประโยชน์อ่นื ใดกต็ าม เช่น ไดร้ บั เป็นตวั เงนิ สด ไดร้ บั เป็นสงิ่ ของเพ่อื อานวยความสะดวกในการ ดารงชพี ไดเ้ ลอ่ื นตาแหน่งงานสงู ขน้ึ จากเดมิ มอี านาจในการบรหิ ารมากกว่าเดมิ เป็นตน้ 3. โอกาส (Opportunity) คอื ความน่าจะเป็นหรอื ช่องทางในการกระทาการทุจรติ เชน่ มาทางานแต่รงุ่ เชา้ และกลบั เขา้ ท่ี พกั อาศยั ยามวกิ าล ทางานในตาแหน่งทเ่ี กย่ี วขอ้ งดา้ นทรพั ยส์ นิ และไมใ่ ชส้ ทิ ธลิ าพกั ผ่อนตามสทิ ธทิ ค่ี วร ได้ หรอื ไมย่ อมสบั เปลย่ี นหน้าทค่ี วามรบั ผดิ ชอบเมอ่ื ครบอายงุ าน เป็นตน้ บทท่ี 12 บทบาทของผตู้ รวจสอบภายในกบั การทจุ ริต

Pages:

thongla4567

ວິຊາການຄວບຄຸມພານໃນແລະການກວດສອບພາຍໃນ

Like this book? You can publish your book online for free in a few minutes!

Create your own flipbook

TOP SEARCH

business design fashion music health life sports home marketing children

ວິຊາການຄວບຄຸມພານໃນແລະການກວດສອບພາຍໃນ

Description: ວິຊາການຄວບຄຸມພານໃນແລະການກວດສອບພາຍໃນ

Read the Text Version

thongla4567

TOP SEARCH

RELATED PUBLICATIONS