การตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT

ภาพร ภยโยดลกชย

งานคนควาอสระนเปนสวนหนงของการศกษาตามหลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยคอมพวเตอรและการสอสาร บณฑตวทยาลย มหาวทยาลยธรกจบณฑตย

พ.ศ. 2553

DPU

Information Technology Auditing by COBIT

Paporn Piyayodilokchai

An Independent Study Submitted in Partial Fulfillment of the Requirements for the Degree of Master of Science (Computer and Communication Technology)

Department of Computer and Communication Technology Graduate School, Dhurakij Pundit University

2010

DPU

จ กตตกรรมประกาศ

งานคนควาอสระฉบบนส าเรจลลวงไดดวยความชวยเหลอจากบคคลมากมายทขอ

กลาวถงดวยความขอบพระคณ

ผเขยนขอขอบพระคณ ผชวยศาสตราจารย ดร.ประณต บญไชยอภสทธ ซงไดใหค าแนะน าและเสยสละเวลาอนมคาของทานรบเปนอาจารยทปรกษางานคนควาอสระ และไดกรณาแนะน าความรและสงทเปนประโยชนอยางอเนกประการ ในการชวยปรบปรงงานคนควาอสระฉบบน ผเขยนขอขอบพระคณ รองศาสตราจารย ดร.ณรงค มงคง ประธานกรรมการสอบงานคนควาอสระ และ อาจารย ดร.ประศาสน จนทราทพย กรรมการผทรงคณวฒ ทไดสละเวลามาเปนคณะกรรมการสอบงานคนควาอสระ ตลอดจนใหขอคดเหนอนเปนประโยชน ในการท าใหงานคนควาอสระฉบบน มคณคามากยงขน

ผเขยนขอกราบขอบพระคณคณยายและคณป คณยาของหลาน ๆ ซงใหการสนบสนนและใหก าลงใจแกผ เขยนตลอดมา โดยเฉพาะอยางยงคณยาท ชวยกรณาดแลหลาน ๆ ในชวงระยะเวลาทผเขยนท าการศกษาและจดท างานคนควาอสระฉบบน

ผเขยนขอขอบพระคณทานอาจารยทกทานทไดประสทธประสาทวชาความรแกผเขยน

ทายสด ผเขยนขอขอบคณนายสชาต ภยโยดลกชย สามผเขยน ทไดใหการสนบสนนและใหก าลงใจผเขยนในทก ๆ ดานมาโดยตลอด และชวยดแลบตร ซงท าใหผเขยนสามารถทมเทเวลาในการศกษาและจดท างานคนควาอสระฉบบน

ผเขยนหวงเปนอยางยงวา งานคนควาอสระฉบบน จะเปนประโยชนกบผทตองการศกษาดานการตรวจสอบระบบเทคโนโลยสารสนเทศ และหากมขอผดพลาดประการใดในงานคนควาอสระฉบบน ผเขยนตองกราบขออภยเปนอยางสงมา ณ ทนดวย

ภาพร ภยโยดลกชย

DPU

ฉ

สารบญ

หนา บทคดยอภาษาไทย.................................................................................................................. ฆ บทคดยอภาษาองกฤษ............................................................................................................. ง กตตกรรมประกาศ.................................................................................................................. จ สารบญ.................................................................................................................................... ฉ สารบญตาราง.......................................................................................................................... ซ สารบญภาพ............................................................................................................................. ฎ บทท 1. บทน า......................................................................................................................... 1 1.1 ทมาและความส าคญของปญหา.......................................................................... 1 1.2 วตถประสงคของการวจย.................................................................................... 3 1.3 ขอบเขตของการวจย........................................................................................... 3 1.4 ประโยชนทคาดวาจะไดรบ................................................................................. 3 2. แนวคด ทฤษฏ และผลงานวจยทเกยวของ............................................................... 4 2.1 องคกรหรอหนวยงานทตรวจสอบ...................................................................... 4 2.2 ระบบสารสนเทศ................................................................................................ 5 2.3 ความเสยงดานเทคโนโลยสารสนเทศ................................................................. 9 2.4 ความเสยหายทอาจเกดขนจากการใชเทคโนโลยสารสนเทศ.............................. 11 2.5 การตรวจสอบระบบเทคโนโลยสารสนเทศ....................................................... 13 2.6 COBIT FRAMEWORK................................................................................... 18 2.7 การควบคมระบบสารสนเทศ.............................................................................. 40 2.8 งานวจยทเกยวของ.............................................................................................. 45 3. ระเบยบวธวจย........................................................................................................... 51 3.1 ขนตอนการด าเนนการวจย.................................................................................. 51 3.2 อปกรณและเครองมอทใชในการวจย................................................................. 51 3.3 ระยะเวลาในการด าเนนการวจย.......................................................................... 52

DPU

ช

สารบญ (ตอ)

หนา 4. ผลการศกษา............................................................................................................... 53 4.1 การศกษาเกยวกบการตรวจสอบสารสนเทศ...................................................... 53 4.2 แนวการตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT........ 61 4.3 กรณตวอยางการตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT………………………………………………………………………….

108

5. สรปผลการวจย.......................................................................................................... 134 5.1 สรปผลการวจย................................................................................................... 134 5.2 อภปรายผลการศกษา.......................................................................................... 135 5.3 ขอเสนอแนะ....................................................................................................... 136 บรรณานกรม.......................................................................................................................... 137 ประวตผเขยน.......................................................................................................................... 142

DPU

ซ

สารบญตาราง

ตารางท หนา 2.1 ประเภทของระบบสารสนเทศ............................................................................... 7 2.2 ความตองการทางธรกจดานสารสนเทศ................................................................ 18 3.1 ระยะเวลาในการด าเนนการวจย............................................................................. 52 4.1 ระดบความสามารถของการควบคมหรอระดบพฒนาการของการควบคม ............ (Internal Control Capability Continuum)……………………………………...

58

4.2 PO1 : การจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ (Define a Strategic IT Plan)..................................................................................

62

4.3 PO2 : การก าหนดโครงสรางดานสารสนเทศ (Define the Information Architecture)………………………………………….

63

4.4 PO3 : การก าหนดทศทางดานเทคโนโลย (Determine Technological Direction). 64 4.5 PO4 : การจดโครงสรางองคกรดานเทคโนโลยสารสนเทศและความสมพนธกบ . . หนวยงานอน (Define the IT Organization and Relationships)...........................

65

4.6 PO5 : การจดการดานการลงทนในเทคโนโลยสารสนเทศ (Manage the IT Investment).................................................................................

66

4.7 PO6 : การสอสารเปาหมายและทศทางภายในองคกร (Communicate Management Aims and Direction )...............................................

67

4.8 PO7 : การจดการทรพยากรบคคล (Manage Human Resources)……………….. 67 4.9 PO8 : การปฏบตตามขอก าหนดขององคกรภายนอก (Ensure Compliance with External Requirements)..............................................

68

4.10 PO9 : การประเมนความเสยง (Assess Risks)………............................................. 69 4.11 PO10 : การจดการโครงการ (Manage Projects)..................................................... 70 4.12 PO11 : การจดการคณภาพ (Manage Quality)……................................................ 71 4.13 AI1 : การเลอกเทคโนโลยมาใชในการปฏบตงาน (Identify Automated Solutions).............................................................................

74

4.14 AI2 : การจดหาและบ ารงรกษาซอฟตแวรประยกต (Acquire and Maintain Application Software).....................................................

75

DPU

ฌ

สารบญตาราง(ตอ)

ตารางท หนา 4.15 AI3 : การจดหาและบ ารงรกษาโครงสรางพนฐานดานเทคโนโลย (Acquire and Maintain Technology Infrastructure)..............................................

77

4.16 AI4 : ระเบยบปฏบตในการพฒนาและบ ารงรกษา (Develop and Maintain Procedures).....................................................................

78

4.17 AI5 : การตดตงและรบรองระบบ (Install and Accredit Systems)…………….. 79 4.18 AI6 : การจดการการเปลยนแปลง (Manage Changes)……………………….. 81 4.19 DS1 : การก าหนดและการจดการระดบการใหบรการ ............ (Define and Manage Service Levels)……………………………………………

83

4.20 DS2 : การจดการการใชบรการจากบคคลภายนอก (Manage Third-Party Services).........……………………………………………

84

4.21 DS3 : การจดการดานประสทธภาพและความสามารถ (Manage Performance and Capacity)....................................................................

85

4.22 DS4 : ความตอเนองในการใหบรการ (Ensure Continuous Service)…………… 87 4.23 DS5 : การรกษาความปลอดภยระบบ (Ensure Systems Security)……………… 90 4.24 DS6 : การก าหนดและจดสรรตนทน (Identify and Allocate Costs)……………. 92 4.25 DS7 : การใหความรและฝกอบรมผใชงาน (Educate and Train Users)................. 94 4.26 DS8 : การใหความชวยเหลอและค าแนะน าแกผใชระบบงานในองคกร. (Assist and Advise Customers).............................................................................

94

4.27 DS9 : การจดการรายละเอยดทรพยสน (Manage the Configuration)................... 96 4.28 DS10 : การจดการปญหาและเหตการณทเกดขน (Manage Problems and Incidents)........................................................................

98

4.29 DS11 : การจดการขอมล (Manage Data)………………………………………. 99 4.30 DS12 : การจดการดานสงอ านวยความสะดวก (Manage Facilities)……………. 101 4.31 DS13 : การจดการดานการปฏบตการ (Manage Operations)………………….... 102 4.32 M1 : การตดตามกระบวนการท างาน (Monitor the Processes)............................. 104 4.33 M2 : การประเมนความเพยงพอของการควบคมภายใน (Assess Internal Control Adequacy)……………………………………………

105

DPU

ญ

สารบญตาราง(ตอ)

ตารางท หนา 4.34 M3 : การรบรองความเปนอสระ (Obtain Independent Assurance)……………… 106 4.35 M4 : ความเปนอสระในการตรวจสอบ (Provide for Independent Audit)............ 107 4.36 ตวอยางการบนทกขอมลจากการตรวจสอบ.......................................................... 110

DPU

ฎ

สารบญภาพ

ภาพท หนา 2.1 COBIT Cube......................................................................................................... 21 2.2 กรอบมาตรฐาน COBIT…………………….......................................................... 23 DPU

ฆ หวของานคนควาอสระ การตรวจสอบระบบเทคโนโลยสารสนเทศตาม

แนวทางของ COBIT ชอผเขยน ภาพร ภยโยดลกชย อาจารยทปรกษางานคนควาอสระ ผชวยศาสตราจารย ดร.ประณต บญไชยอภสทธ สาขาวชา เทคโนโลยคอมพวเตอรและการสอสาร ปการศกษา 2553

บทคดยอ

งานคนควาอสระ การตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT เปนการศกษารวบรวมขอมลเกยวกบเทคโนโลยสารสนเทศ ความเสยงดานเทคโนโลยสารสนเทศ ความเสยหายทอาจเกดข นจากการใชเทคโนโลยสารสนเทศ การตรวจสอบระบบเทคโนโลยสารสนเทศ และ COBIT FRAMEWORK เพอน ากรอบมาตรฐานของ COBIT มาใชเปนแนวทางในการจดท าแนวการตรวจสอบระบบเทคโนโลยสารสนเทศตามโครงสรางของมาตรฐาน COBIT บนพนฐานของกระบวนการทางธรกจ 4 กระบวนการหลก (Domain) ไดแก การวางแผนและการจดการองคกร (PO : Planning and Organization) การจดหาและตดตง (AI : Acquisition and Implementation) การสงมอบและบ ารงรกษา (DS : Delivery and Support) การตดตามผล (M : Monitoring)

แนวการตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT น น ผตรวจสอบเทคโนโลยสารสนเทศสามารถน ามาใชเปนเครองมอในการปฏบตงานตรวจสอบ และหวหนาหนวยงานตรวจสอบสามารถใชเปนเครองมอในการสอบทานและควบคมงาน ซงท าใหการตรวจสอบเทคโนโลยสารสนเทศสามารถด าเนนการไดอยางครอบคลมตามระดบความเสยงดานเทคโนโลยสารสนเทศขององคกร และบรรลวตถประสงคของการตรวจสอบ อยางไรกตาม รายละเอยดของการน าไปปฏบตในกระบวนการตาง ๆ ในมาตรฐาน COBIT ผตรวจสอบจะตองพจารณาขอมลเพมเตมจาก FRAMEWORK อน ๆ เชน มาตรฐาน ISO/IEC 27001, ISO/IEC 17799, ISO/IEC 13335, ISO/IEC 15408 และ ITIL (IT Infrastructure Library) ตลอดจนเครองมอตาง ๆ ทใชส าหรบบรหารจดการระบบเทคโนโลยสารสนเทศ เชน PRINCE 2, PMBOX, TickIT และ TOGAF 8.1

DPU

ง Independent Study Title Information Technology Auditing by COBIT Author Paporn Piyayodilokchai Independent Study Advisor Assistant Professor Dr.Pranot Boonchai-Apisit Department Computer and Communication Technology Academic Year 2010

ABSTRACT

Independent study Information Technology Auditing by COBIT , the data is gathered about the information technology, risk of the information technology, damage from use of the information technology, the information technology auditing and COBIT FRAMEWORK to cover the COBIT FRAMEWORK as the guideline to prepare the audit program for information technology auditing based on the structure of the COBIT FRAMEWORK on the 4 main business processes (Domain) i.e. PO : Planning and Organization, AI : Acquisition and Implementation, DS : Delivery and Support, M : Monitoring.

The audit program for the information technology auditing by COBIT, the auditor of the information technology could use it as the tool on the audit, and the chief of the audit unit could use as the tool for review and supervision. The audit of the information technology could be done to cover the risk of the information technology of the organization and to achieve the objectives of audit. However, the details of the application in the procedures of the COBIT FRAMEWORK, the auditor must consider additional data from other framework i.e. ISO/IEC 27001, ISO/IEC 17799, ISO/IEC 13335, ISO/IEC 15408 and ITIL (IT Infrastructure Library) as well as tools used for management of the information technology i.e. PRINCE 2, PMBOX, TickIT and TOGAF 8.1.

DPU

บทท 1

บทน า

1.1 ทมาและความส าคญของปญหา ในโลกปจจบน เทคโนโลยสารสนเทศไดเขามามบทบาทส าคญในการด าเนนงานขององคกร ทงในสวนของการบรหารจดการ การจดเกบขอมล และการประมวลผลระบบงานส าคญตาง ๆ ซงหากเปนธรกจรบประกนวนาศภยจะมการน าเทคโนโลยสารสนเทศมาใชส าหรบการประมวลผลระบบงานทเกยวกบการรบประกนภย การรบช าระหน การจายคาสนไหมทดแทน การบรหารจดการ ตลอดจนระบบงานบญช เทคโนโลยสารสนเทศเปนโครงสรางพนฐานทส าคญในการสนบสนนการท าธรกรรม และในการด าเนนงานต งแตการใชบนทกรายการธรกจทเกดข นประจ าว น การใหบรการลกคาและใหขอมลส าหรบผ บรหารในการตดสนใจ และใหระบบสารสนเทศทจะเปนเครองมอทชวยใหการด าเนนงานเปนไปอยางมประสทธภาพลดตนทน เพมขดความสามารถในการแขงขน ในขณะเดยวกนการน าเทคโนโลยสารสนเทศมาใชกมความเสยงหลายประการทควรค านงถง ซงหากองคกรไมมการบรหารจดการและการรกษาความปลอดภยดานเทคโนโลยสารสนเทศทรดกมเพยงพอ กอาจสงผลกระทบตอการด าเนนงานหรอสรางความเสยหายตอองคกรและลกคาได ทงน ความเสยงดานเทคโนโลยสารสนเทศทเกยวของกบการประกอบธรกจขององคกร สามารถแบงออกเปน 4 ประเภทหลก คอ Access Risk, Integrity Risk, Availabily Risk และ Infrastructure Risk นอกจากความเสยง 4 ประเภทหลกตามทกลาวขางตน ยงมความเสยงเกยวกบการทผบรหารขององคกรมไดรบขอมลทเกยวของอยางถกตองและทนเวลาเพอใชประกอบการตดสนใจทางธรกจ ดงนน องคกรกควรพจารณาวาขอมลใดบางทจ าเปนแกการตดสนใจ รวมทงจดใหมระบบการตรวจสอบความถกตองของขอมล และจดเตรยมขอมลดงกลาวใหพรอม เพอประโยชนการด าเนนธรกจขององคกร นอกจากความเสยงตาง ๆ ขางตนแลว หากจะพจารณาในดานการพฒนาระบบงาน กมผลการวจยเกยวกบสาเหตทหนวยงานลมเหลวในการพฒนาระบบงานคอมพวเตอร (Charles R. Neco: 1989) ไดแก ผบรหารระดบสงไมสนบสนนหรอไมมสวนรวมในการพฒนา หรอไมมคณะกรรมการระดบสง (Steering Committee) ในการพฒนาระบบงาน การเปลยนความตองการ

DPU

2

หรอวตถประสงคของระบบงานบอย การเลอกเทคโนโลยทกาวหนา ล าสมยเกนกวาทพนกงานจะท าความเขาใจ การขาดคมอหรอวธการพฒนาระบบงานใหเปนขนตอนอยางเปนมาตรฐาน และบคลากรทเกยวของกบการพฒนาระบบมไมเพยงพอและไดรบการฝกอบรมทไมเพยงพอ ดงน น ทกวนนหลายองคกรในประเทศไทยและทวโลก ไดพจารณาถง “Best Practices” หรอมาตรฐานทควรน ามาเปนแนวทางในการเตรยมระบบสารสนเทศขององคกรใหพรอมเขาสยค IT Governance โดยท “Best Practices” ทนยมใชกนไดแก มาตรฐาน ISO/IEC17799, COBIT และ ITIL เปนตน

มาตรฐาน “COBIT” ยอมาจาก “Control OBjectives for Information and Related Technology” COBIT นนมจดประสงคในการสรางความมนใจวาการใชทรพยากรดานเทคโนโลยสารสนเทศนนสอดคลองกบวตถประสงคเชงธรกจขององคกร (Business Objectives) เพอใหเกดการใชทรพยากรอยางมประสทธผลอนจะสงประโยชนสงสดแกองคกร ชวยใหเกดความสมดลยระหวางความเสยงดานเทคโนโลยสารสนเทศ และผลตอบแทนของการลงทนในระบบสารสนเทศ โดย COBIT นนมพนฐานมาจาก Framework ชนน าตาง ๆ มากมาย ไดแก The Software Engineering Institute's Capability Maturity Model (CMM), ISO 9000 และ The Information Technology Infrastructure Library (ITIL) ของประเทศองกฤษ อยางไรกตาม COBIT นนกยงขาดในสวนของ Guideline เพอใชในทางปฏบตเนองจาก COBIT เปน Framework ทเนนในเรองของ การควบคม (Control) เปนหลก นอกจากน เพอปองกนความเสยงอนเกดจากเทคโนโลยสารสนเทศดงกลาว มาตรการในการรกษาความปลอดภยของระบบเทคโนโลยสารสนเทศ ซงมมาตรฐาน แนวทางปฏบต และกรอบวธปฏบตตาง ๆ จะตองน ามาประยกตใชในการบรหารจดการเทคโนโลยสารสนเทศ โดยมการควบคมและตรวจสอบระบบสารสนเทศเปนสงทจะชวยในการตดตามและควบคมการปฏบตตามมาตรฐาน แนวทางปฏบต และกรอบวธปฏบตตาง ๆ ขางตน ดงน น การตรวจสอบระบบสารสนเทศจงมความส าคญ และเปนทมาของการศกษาวจยน

DPU

3

1.2 วตถประสงคของการวจย วตถประสงคของการวจย มดงตอไปน 1. เพอศกษาเกยวกบการตรวจสอบระบบสารสนเทศ ซงจะชวยในการปองกนความ

เสยงตาง ๆ ดงกลาวขางตน 2. การน ามาตรฐานของ COBIT Framework มาประยกตในการจดท าแนวการตรวจ

สอบระบบสารสนเทศ (Audit Program)

1.3 ขอบเขตของการวจย ขอบเขตของการวจย มดงตอไปน 1. จดท าแนวการตรวจสอบระบบเทคโนโลยสารสนเทศ (Audit Program) ซงประ

กอบดวย หวขอการตรวจสอบ วตถประสงคการตรวจสอบ ความเสยง การควบคมทควรม และวธการทดสอบ/ตรวจสอบ

2. จดท าขอมลกรณศกษาในการน าแนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศ (Audit Program) มาใชในการตรวจสอบ

1.4 ประโยชนทคาดวาจะไดรบ

ประโยชนทคาดวาจะไดรบ มดงตอไปน 1. มแนวทางการตรวจสอบระบบสารสนเทศ ซงครอบคลมถงมาตรฐาน แนวทาง

ปฏบต และกรอบวธปฏบตตาง ๆ 2. องคกรสามารถสรางระบบการควบคมทางดานระบบสารสนเทศทยงขาดอย เพอลด

ความเสยงของระบบสารสนเทศ 3. การบรหารจดการภายในองคกร สามารถบรรลวตถประสงคในการด าเนนธรกจ

กลาวคอ องคกรมประสทธภาพลดตนทน เพมก าไร และเพมขดความสามารถในการแขงขน

DPU

บทท 2

แนวคด ทฤษฎ และ ผลงานวจยทเกยวของ

2.1 องคกรหรอหนวยงานทตรวจสอบ

องคกรทตรวจสอบประกอบธรกจรบประกนวนาศภยทกประเภท ซงแบงออกไดเปนการรบประกนอคคภย การรบประกนภยทางทะเลและขนสง การรบประกนภยเบดเตลด และการรบประกนภยรถยนต ซงการด าเนนธรกจรบประกนภยขององคกรนอกจากการรบประกนภยจากผเอาประกนภยโดยตรงแลว ยงมการรบประกนภยตอจากบรษทรบประกนภยในประเทศและบรษทรบประกนภยตางประเทศดวย และเพอเปนการกระจายความเสยงภย จงมการน าเอางานทรบประกนภยไวและมทนประกนภยสง กระจายความเสยงโดยน าไปประกนภยตอกบบรษทประกนภยทงในประเทศและตางประเทศดวย นอกจากน ธรกจอกสวนหนงคอกจกรรมทางดานการลงทน ซงมการลงทนเพอใหเกดการเพมรายไดในหลายรปแบบ เชน ซอพนธบตรรฐบาล ซอหน ซอเงนลงทนระยะสน ฝากธนาคาร และลงทนในธรกจประเภทอน ๆ ทงน การด าเนนธรกจตาง ๆ ขางตนจะอยในการก ากบดแลของส านกงานคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย (คปภ.)

การด าเนนการขององคกรมส านกงานใหญตงอยทกรงเทพมหานคร และมสาขาตาง ๆ จ านวน 12 สาขา ซงสาขาตาง ๆ นจะต งอยในจงหวดใหญ ๆ ของประเทศไทย เชน เชยงใหม หาดใหญ ภเกต ระยอง ขอนแกน เปนตน

องคกรมการใชเทคโนโลยสารสนเทศรองรบการด าเนนธรกจ โดยระบบงานหลก เชน ระบบงานรบประกนภย ระบบงานบญช จะใชบรการบรษทภายนอกในการพฒนาระบบงาน โดยมฝายสารสนเทศขององคกรท าการทดสอบระบบงาน ตรวจรบระบบงาน กอนทจะน ามาใชงานจรง ท งน หลงจากใชงานจรง หากมการปรบปรงเปลยนแปลงทไมยงยากซบซอน เจาหนาทฝายสารสนเทศจะเปนผด าเนนการแกไขปรบปรงโปรแกรม แตหากมความซบซอนจะใชบรษทภายนอกผพฒนาระบบงานดงกลาวเปนผด าเนนการปรบปรงแกไขโปรแกรม มศนยคอมพวเตอรตงอยทส านกงานใหญ และมการจดต งศนยส ารองอยภายนอกบรษท โดยสาขาตาง ๆ ด าเนนธรกรรมเชอมตอมายงส านกงานใหญในลกษณะออนไลน ผานระบบสอสารเครอขายอนเทอรเนต และระบบ Leased Line

ในดานการก ากบดแลองคกร คณะกรรมการบรษทมการแตงตงคณะกรรมการตรวจสอบ ซงประกอบดวยกรรมการอสระ จ านวน 3 ทาน โดยมคณสมบตและหนาทความรบผดชอบตามท

DPU

5

ตลาดหลกทรพยแหงประเทศไทย คณะกรรมการก ากบหลกทรพยและตลาดหลกทรพย ตลอดจนส านกงานคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย (คปภ.) ก าหนด นอกจากน ยงมฝายตรวจสอบภายในท าหนาทในการตรวจสอบการปฏบตตามระบบการควบคมภายใน คมอการปฏบตงาน ระเบยบวธปฎบต ตลอดจนกฎหมายทเกยวของกบการประกอบธรกจขององคกร และรายงานผลการตรวจสอบเสนอตอคณะกรรมการตรวจสอบและผบรหารทเกยวของ

ส าหรบการตรวจสอบระบบเทคโนโลยสารสนเทศ ปจจบนท าการตรวจสอบโดยผสอบบญชรบอนญาต ซงจะท าการตรวจสอบปละ 1 ครง อยางไรกตาม องคกรมนโยบายทจะใหฝายตรวจสอบภายในด าเนนการตรวจสอบระบบเทคโนโลยสารสนเทศดวยตนเอง

2.2 ระบบสารสนเทศ

ระบบสารสนเทศ (Information system) หมายถง ระบบทประกอบดวยสวนตางๆ ไดแก ระบบคอมพวเตอรทงฮารดแวร ซอฟตแวร ระบบเครอขาย ฐานขอมล ผพฒนาระบบ ผใชระบบ พนกงานทเกยวของ และ ผเชยวชาญในสาขา ทกองคประกอบนท างานรวมกนเพอก าหนด รวบรวม จดเกบขอมล ประมวลผลขอมลเพอสรางสารสนเทศ และสงผลลพธหรอสารสนเทศทไดใหผใชเพอชวยสนบสนนการท างาน การตดสนใจ การวางแผน การบรหาร การควบคม การวเคราะหและตดตามผลการด าเนนงานขององคกร (สชาดา กระนนทน, 2541) ดงนน ระบบสารสนเทศ หมายถง ชดขององคประกอบทท าหนาทรวบรวม ประมวลผล จดเกบ และแจกจายสารสนเทศ เพอชวยการตดสนใจ และการควบคมในองคกร ในการท างานของระบบสารสนเทศประกอบไปดวยกจกรรม 3 อยาง คอ การน าขอมลเขาสระบบ (Input) การประมวลผล (Processing) และ การน าเสนอผลลพธ (Output) ระบบสารสนเทศอาจจะมการสะทอนกลบ (Feedback) เพอการประเมนและปรบปรงขอมลน าเขา ระบบสารสนเทศอาจจะเปนระบบทประมวลดวยมอ (Manual) หรอระบบทใชคอมพวเตอรกได (Computer-based information system – CBIS) (Laudon & Laudon, 2001) แตอยางไรกตามในปจจบนเมอกลาวถงระบบสารสนเทศ มกจะหมายถงระบบทตองอาศยคอมพวเตอรและระบบโทรคมนาคม มผใหความหมายของระบบสารสนเทศในความหมายตาง ๆ ดงน

ระบบสารสนเทศ หมายถง ระบบคอมพวเตอรทจดเกบขอมล และประมวลผล เปนสารสนเทศ และระบบสารสนเทศเปนระบบทตองอาศยฐานขอมล (CIS 105 - Survey of Computer Information Systems, n.d.)

ระบบสารสนเทศ หมายถง ชดของกระบวนการ บคคล และเครองมอ ทจะเปลยนขอมลใหเปนสารสนเทศ (FAO Corporate Document Repository, 1998) ระบบสารสนเทศไมวา

DPU

6

จะเปนระบบมอหรอระบบอตโนมต หมายถง ระบบทประกอบดวย คน เครองจกรกล (machine) และวธการในการเกบขอมล ประมวลผลขอมล และเผยแพรขอมล ใหอยในลกษณะของสารสนเทศของผใช (Information system, 2005)

สรปไดวา ระบบสารสนเทศ กคอ ระบบของการจดเกบ ประมวลผลขอมล โดยอาศยบคคลและเทคโนโลยสารสนเทศในการด าเนนการ เพอใหไดสารสนเทศทเหมาะสมกบงานหรอภารกจแตละอยาง

Laudon & Laudon (2001) ยงอธบายวาในมตทางธรกจ ระบบสารสนเทศเปนระบบทชวยแกปญหาการจดการขององคกร ซงถกทาทายจากสงแวดลอม ดงนนการใชระบบสารสนเทศอยางมประสทธภาพ จ าเปนทจะตองเขาใจองคกร (Organzations) การจดการ (management) และเทคโนโลย (Technology)

ปจจบนจะเหนความสมพนธระหวางองคกรกบระบบสารสนเทศและเทคโนโลยสารสนเทศชดเจนมากขน และเนองจากการบรหารงานในองคกรมหลายระดบ กจกรรมขององคกรแตละประเภทอาจจะแตกตางกน ดงนนระบบสารสนเทศของแตละองคกรอาจแบงประเภทแตกตางกนออกไป (สชาดา กระนนทน, 2541)

ถาพจารณาจ าแนกระบบสารสนเทศตามการสนบสนนระดบการท างานในองคกร จะแบงระบบสารสนเทศไดเปน 4 ประเภท ดงน (Laudon & Laudon, 2001)

1. ระบบสารสนเทศส าหรบระดบผปฏบตงาน (Operational – level systems) ชวยสนบสนนการท างานของผปฏบตงานในสวนปฏบตงานพนฐานและงานท ารายการตางๆขององคกร เชนใบเสรจรบเงน รายการขาย การควบคมวสดของหนวยงาน เปนตน วตถประสงคหลกของระบบนกเพอชวยการด าเนนงานประจ าแตละวน และควบคมรายการขอมลทเกดขน

2. ระบบสารสนเทศส าหรบผช านาญการ (Knowledge - level systems) ระบบนสนบสนน ผท างานทมความรเกยวของกบขอมล วตถประสงคหลกของระบบนกเพอชวยใหมการน าความรใหมมาใช และชวยควบคมการไหลเวยนของงานเอกสารขององคกร

3. ระบบสารสนเทศส าหรบผบรหาร (Management - level systems) เปนระบบสารสนเทศทชวยในการตรวจสอบ การควบคม การตดสนใจ และการบรหารงานของผบรหารระดบกลางขององคกร

4. ระบบสารสนเทศระดบกลยทธ (Strategic - level system) เปนระบบสารสนเทศทชวยการบรหารระดบสง ชวยในการสนบสนนการวางแผนระยะยาว หลกการของระบบคอตองจด

DPU

7

ความสมพนธระหวางสภาพแวดลอมภายนอกกบความสามารถภายในทองคกรม เชน ในอก 5 ปขางหนา องคกรจะผลตสนคาใด

สชาดา กระนนทน (2541) และ Laudon & Laudon (2001) ไดแบงประเภทของระบบสารสนเทศทสนบสนนการท างานของผปฏบตงานและผบรหารระดบตาง ๆ ไว ดงตารางท 2.1 โดยมรายละเอยดดงตอไปน ตารางท 2.1 ประเภทของระบบสารสนเทศ

ประเภทของระบบสารสนเทศ (สชาดา กระนนทน , 2541)

ประเภทของระบบสารสนเทศ (Laudon & Laudon, 2001)

1. ระบบประมวลผลรายการ (Transaction Processing Systems)

1. Transaction Processing System – TPS

2. ระบบส านกงานอตโนมต (Office Automation Systems) 3. ระบบงานสรางความร (Knowledge Work Systems)

2. Knowledge Work-KWS and office Systems

4. ระบบสารสนเทศเพอการจดการ (Management Information Systems)

3. Management Information Systems - MIS

5. ระบบสนบสนนการตดสนใจ (Decision Support Systems)

4. Decision Support Systems - DSS

6. ระบบสารสนเทศส าหรบผบรหารระดบสง (Executive Information Systems)

5. Executive Support System - ESS

1. ระบบประมวลผลรายการ (Transaction Processing Systems - TPS) เปนระบบท

ท าหนาทในการปฏบตงานประจ า ท าการบนทกจดเกบ ประมวลผลรายการทเกดขนในแตละวน โดยใชระบบคอมพวเตอรท างานแทนการท างานดวยมอ ทงนเพอทจะท าการสรปขอมลเพอสรางเปนสารสนเทศ ระบบประมวลผลรายการน สวนใหญจะเปนระบบทเชอมโยงกจการกบลกคา ตวอยาง เชน ระบบการจองบตรโดยสารเครองบน ระบบการฝากถอนเงนอตโนมต เปนตน ในระบบตองสรางฐานขอมลทจ าเปน ระบบนมกจดท าเพอสนองความตองการของผบรหารระดบตน

DPU

8

เปนสวนใหญเพอใหสามารถปฏบตงานประจ าได ผลลพธของระบบน มกจะอยในรปของ รายงานทมรายละเอยด รายงานผลเบองตน

2. ระบบส านกงานอตโนมต (Office Automation Systems - OAS) เปนระบบทสนบสนนงานในส านกงาน หรองานธรการของหนวยงาน ระบบจะประสานการท างานของบคลากรรวมทงกบบคคลภายนอก หรอหนวยงานอน ระบบนจะเกยวของกบการจดการเอกสาร โดยการใชซอฟทแวรดานการพมพ การตดตอผานระบบไปรษณยอเลกทรอนกส เปนตน ผลลพธของระบบน มกอยในรปของเอกสาร ก าหนดการ สงพมพ

3. ระบบงานสรางความร (Knowledge Work Systems - KWS) เปนระบบทชวยสนบสนนบคลากรทท างานดานการสรางความรเพอพฒนาการคดคน สรางผลตภณฑใหมๆ บรการใหม ความรใหมเพอน าไปใชประโยชนในหนวยงาน หนวยงานตองน าเทคโนโลยสารสนเทศเขามาสนบสนนใหการพฒนาเกดขนไดโดยสะดวก สามารถแขงขนไดทงในดานเวลา คณภาพ และราคา ระบบตองอาศยแบบจ าลองทสรางข น ตลอดจนการทดลองการผลตหรอด าเนนการ กอนทจะน าเขามาด าเนนการจรงในธรกจ ผลลพธของระบบน มกอยในรปของสงประดษฐ ตวแบบ รปแบบ เปนตน

4. ระบบสารสนเทศเพอการจดการ (Management Information Systems - MIS) เปนระบบสารสนเทศส าหรบผปฏบตงานระดบกลางใชในการวางแผน การบรหารจดการ และการควบคม ระบบจะเชอมโยงขอมลทมอยในระบบประมวลผลรายการเขาดวยกน เพอประมวลและสรางสารสนเทศทเหมาะสมและจ าเปนตอการบรหารงาน ตวอยางเชน ระบบบรหารงานบคลากร ผลลพธของระบบน มกอยในรปของรายงานสรป รายงานของสงผดปกต

5. ระบบสนบสนนการตดสนใจ (Decision Support Systems – DSS) เปนระบบทชวยผบรหารในการตดสนใจส าหรบปญหา หรอทมโครงสรางหรอขนตอนในการหาค าตอบทแนนอนเพยงบางสวน ขอมลทใชตองอาศยทงขอมลภายในกจการและภายนอกกจการประกอบกน ระบบยงตองสามารถเสนอทางเลอกใหผบรหารพจารณา เพอเลอกทางเลอกทเหมาะสมทสดส าหรบสถานการณนน หลกการของระบบ สรางขนจากแนวคดของการใชคอมพวเตอรชวยการตดสนใจ โดยใหผใชโตตอบโดยตรงกบระบบ ท าใหสามารถวเคราะห ปรบเปลยนเงอนไขและกระบวนการพจารณาได โดยอาศยประสบการณ และ ความสามารถของผบรหารเอง ผบรหารอาจก าหนดเงอนไขและท าการเปลยนแปลงเงอนไขตางๆ ไปจนกระทงพบสถานการณทเหมาะสมทสด แลวใชเปนสารสนเทศทชวยตดสนใจ รปแบบของผลลพธ อาจจะอยในรปของ รายงานเฉพาะกจ รายงานการวเคราะหเพอตดสนใจ การท านาย หรอ พยากรณเหตการณ

DPU

9

6. ระบบสารสนเทศส าหรบผบรหารระดบสง (Executive Information System - EIS) เปนระบบทสรางสารสนเทศเชงกลยทธส าหรบผบรหารระดบสง ซงท าหนาทก าหนดแผนระยะยาวและเปาหมายของกจการ สารสนเทศส าหรบผบรหารระดบสงนจ าเปนตองอาศยขอมลภายนอกกจกรรมเปนอยางมาก ยงในยคปจจบนทเปนยค Globalization ขอมลระดบโลก แนวโนมระดบสากลเปนขอมลทจ าเปนส าหรบการแขงขนของธรกจ ผลลพธของระบบน มกอยในรปของการพยากรณ/การคาดการณ

ถงแมวาระบบสารสนเทศจะมหลายประเภท แตองคประกอบทจ าเปนของระบบสารสนเทศทกประเภท กคอตองประกอบดวยกจกรรม 3 อยางตามท Laudon & Laudon (2001)ไดกลาวไว คอ ระบบตองมการน าเขาขอมล การประมวลผลขอมล และการแสดงผลลพธของขอมล

สชาดา กระนนทน (2541) สรปไววา การพฒนาระบบสารสนเทศในองคกรนนเปนสงทาทายผบรหารเปนอยางมาก การทจะพฒนาระบบสารสนเทศข นในหนวยงานเปนสงทผบรหารและผรบผดชอบการพฒนาระบบ ตองรวมกนตดสนใจอยางรอบคอบ เพราะการน าระบบสารสนเทศมาใชอาจจะกระทบตอกระบวนการด าเนนงานและการบรหารทเปนอย หรออาจจะมผลกอใหเกดการเปลยนแปลงในองคกร 2.3 ความเสยงดานเทคโนโลยสารสนเทศ

สหพนธนกบญชระหวางประเทศหรอไอแฟค (International Federation of Accountants : IFAC) ไดใหความหมายของเทคโนโลยสารสนเทศ (Information Technology) ไวดงน “เทคโนโลยสารสนเทศ หมายถง ผลตภณฑฮารแวรและซอฟตแวร การปฏบตการดานระบบสารสนเทศ กระบวนการดานบรหารจดการ และทรพยากรมนษย รวมทงทกษะทจ าเปนในการทจะประยกตผลตภณฑและกระบวนการทกลาวมาใหเขากบภาระงานการผลตสารสนเทศ การพฒนาระบบสารสนเทศ รวมทงการจดากรและการควบคมระบบสารสนเทศ”

ระเบยบส านกนายกรฐมนตรวาดวยการสงเสรมการพฒนาเทคโนโลยสารสนเทศ พ.ศ. 2535 ไดใหความหมายของเทคโนโลยสารสนเทศ ไวดงน “เทคโนโลยสารสนเทศ หมายถง ความรในผลตภณฑหรอในกระบวนการด าเนนการใด ๆ ทอาศยเทคโนโลยซอฟตแวร ฮารดแวร การตดตอสอสาร การรวบรวม และการน าขอมลมาใชทนกาล เพอกอใหเกดประสทธภาพ ทงทางดานการผลต การบรการ การบรหาร และการด าเนนงาน รวมทงเพอการศกษาและการเรยนร ซงจะสงผลตอความไดเปรยบทางดานเศรษฐกจ การคา และการพฒนาดานคณภาพของประชาชนในสงคม”

DPU

10

ดงนน สรปไดวา เทคโนโลยสารสนเทศ หมายถง ฮารดแวรและซอฟตแวรทเกยวของกบขอมลในรปอเลกทรอนกส ไมวาจะเปนการบนทก การจดเกบ การประมวลผล การผลตผลลพธ รวมถงกระบวนการสงขอมลเหลานนผานเครอขายสอสาร

ความเสยงดานเทคโนโลยสารสนเทศทเกยวของกบการประกอบธรกจขององคกร สามารถแบงออกเปน 4 ประเภทหลก (ส านกงาน กลต, ท ธ.(ว) 32/2545) ดงน

1. Access Risk : เปนความเสยงเกยวกบการเขาถงขอมล และระบบคอมพวเตอร ซงหมายถง โปรแกรม ระบบงาน เครอขาย และอปกรณคอมพวเตอร โดยบคคลทไมมอ านาจหนาทเกยวของ หรอเปนความเสยงในกรณทบคคลทมอ านาจหนาทไมสามารถเขาถงขอมลและระบบคอมพวเตอรในสวนทเกยวของกบงานทรบผดชอบ ซงหากบรษทฯ มไดมวธการจดการและควบคมความเสยงดาน access risk ทรอบคอบและรดกมเพยงพอแลว อาจท าใหบคคลทไมมอ านาจหนาทเกยวของไดลวงรขอมล และอาจน าขอมลไปแสวงหาประโยชนโดยมชอบ อกทงขอมลและการท างานของระบบคอมพวเตอร กอาจถกแกไขเปลยนแปลงได สวนกรณบคคลทมอ านาจหนาทไมสามารถเขาถงขอมลและระบบคอมพวเตอรในสวนทเกยวของกบงานทรบผดชอบไดนน อาจท าใหการปฏบตงานไมมประสทธภาพเทาทควร โดยทความเสยงดาน access risk อาจเกดจากหลายสาเหต เชน การก าหนดสทธในการเขาถงขอมลและระบบคอมพวเตอรทไมเหมาะสมกบหนาทและความรบผดชอบหรอเกนความจ าเปนในการใชงาน การมไดมการก าหนดรหสผาน(password)ในการเขาสระบบงานคอมพวเตอรอยางรดกมเพยงพอ การมไดจ ากดและควบคมใหเฉพาะเจาหนาททมอ านาจหนาทเกยวของในการเขาออกศนยคอมพวเตอร เปนตน

2. Integrity Risk : เปนความเสยงเกยวกบความไมถกตองครบถวนของขอมลและการท างานของระบบคอมพวเตอร ซงอาจเกดจากการถกแกไขเปลยนแปลงโดยบคคลทไมมอ านาจหนาทเกยวของ หรอมการบนทกขอมล การประมวลผล และการแสดงผลทผดพลาด โดยอาจมสาเหตมาจากการทบรษทฯ มไดมการควบคมเกยวกบการเขาถงขอมลและระบบคอมพวเตอรโดยบคคลทไมมอ านาจหนาทเกยวของทรอบคอบและรดกมเพยงพอ (access risk) ซงสงผลใหขอมล รวมทงการท างานของระบบคอมพวเตอร อาจถกแกไขเปลยนแปลงโดยมชอบได หรอมสาเหตมาจากการมไดมระบบการควบคมและตรวจสอบอยางเพยงพอเพอใหมนใจไดวาการบนทกขอมล การประมวลผล และการแสดงผลมความถกตองครบถวน นอกจากน การบรหารจดการและการควบคมเกยวกบการพฒนา การแกไข หรอเปลยนแปลงระบบคอมพวเตอรทไมรอบคอบและรดกมเพยงพอ กอาจสงผลใหระบบคอมพวเตอรมการประมวลผลทไมถกตองครบถวน หรอไมสอดคลองกบความตองการของผใชงานได

DPU

11

3. Availability Risk : เปนความเสยงเกยวกบการไมสามารถใชขอมลหรอระบบคอมพวเตอรไดอยางตอเนองหรอในเวลาทตองการ ซงอาจท าใหการปฏบตงานหรอการด าเนนธรกจของบรษทฯ หยดชะงกได โดยความเสยงนอาจเกดจากการมไดควบคมดแลการท างานของระบบคอมพวเตอรและปองกนความเสยหายอยางเพยงพอ และยงรวมไปถงการมไดมการส ารองขอมล และระบบงานคอมพวเตอร และจดใหมแผนรองรบเหตการณฉกเฉน นอกจากน หากบรษทหลกทรพยมไดมการควบคมเกยวกบการเขาถงขอมล และระบบคอมพวเตอรทรอบคอบและรดกมเพยงพอแลว (access risk) กอาจสงผลใหบคคลทไมมอ านาจหนาทเกยวของสามารถเขามาท าใหขอมล และการท างานของระบบคอมพวเตอรเสยหายได

4. Infrastructure Risk : เปนความเสยงเกยวกบการทบรษทฯ มไดจดใหมการบรหารจดการดานเทคโนโลยสารสนเทศทสะทอนระบบควบคมภายในทด รวมทงมไดจดใหมระบบคอมพวเตอร และบคลากร ใหเหมาะสมและเพยงพอแกการสนบสนนการประกอบธรกจ โดยความเสยงนอาจเกดจากการแบงแยกอ านาจหนาททไมเหมาะสม ซงท าใหขาดระบบการสอบยนและการตรวจสอบการปฏบตงานทเพยงพอ รวมถงการมไดจดใหมนโยบายเกยวกบการรกษา ความปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) ซงท าใหไมมแนวทางในการควบคมความเสยงตางๆ หรอเกดจากการไมมแผนงานและขนตอนการปฏบตงานทครอบคลมงานส าคญ ทกดานและมรายละเอยดเพยงพอเพอใชเปนแนวทางในการปฏบตงาน นอกจากน กอาจเกดจากการมไดจดใหมระบบคอมพวเตอรทมประสทธภาพเพยงพอแกการสนบสนนการด าเนนธรกจ และการมไดจดใหมการอบรมบคลากรดานคอมพวเตอรอยางเพยงพอเพอใหมความรอบรและเชยวชาญในงานทรบผดชอบ 2.4 ความเสยหายทอาจเกดขนจากการใชเทคโนโลยสารสนเทศ

จากความเสยงดานเทคโนโลยสารสนเทศ อาจมผลท าใหองคกรไดรบความเสยหาย ซงสามารถแบงเปน 8 ประเภทใหญ ๆ ดงน

1. ทรพยสนเทคโนโลยสารสนเทศเสยหาย เนองจากสญหายหรอถกท าลายโดยตงใจ เชนจากผ ทประสงคราย หรอมงหวงทรพยสน เปนตน หรอโดยไมไดต งใจ เชน เกดจากภยธรรมชาต เปนตน ซงท าใหองคกรตองเสยคาใชจายในการกระบบหรอน าขอมลเขาสระบบใหม

2. การตดสนใจผดพลาด เนองจากน าขอมลทไมถกตองมาใชในการตดสนใจหรอไมมขอมลในการตดสนใจ เชน ผบรหารไดตดสนใจในการเปดโรงงานผลดใหมโดยไมน าขอมลงบการเงน ณ ปจจบนมาประกอบการตดสนใจ เนองจากเรมน าระบบงานบญชและการเงนมาใชและยงไมไดน าขอมลทงหมดเขาสระบบ เปนตน

DPU

12

3. ขอมลไมมความนาเชอถอ ซงอาจเกดจากการบนทกรายการไมตรงตามวนเวลา บนทกขอมลไมถกตอง และการประมวลผลขอมลไมถกตอง เชน จ านวนสนคาคงเหลอทบนทกในระบบสนคาคงคลงกบจ านวนสนคาจรงไมตรงกน เนองจากไมบนทกรายการรบ-จายสนคาทนทหรอภายในวนเดยวกนกบการรบ-จายสนคานน ท าใหอาจไมสามารถสงสนคาใหกบลกคาตามจ านวนทลกคาสงได หรอมการผลตหรอซอสนคาเพอขายมากกวาจ านวนสนคาทคาดวาลกคาตองการ เปนตน

4. ธรกจทใชเทคโนโลยสารสนเทศหยดชะงก เนองจากสาเหตหลายประการ เชน ภยธรรมชาต ซงมผลท าใหทรพยสนเทคโนโลยสารสนเทศเสยหายไมสามารถท างานได หรอการหยดการท างานหรอการท างานอยางผดปกตของระบบเทคโนโลยสารสนเทศซงอาจเกดขนโดยไมทราบสาเหตหรอถกโจมตจากแฮกเกอร

5. การทจรตและฉอฉล เนองจากสาเหตหลายประการ ไดแก การน าขอมลส าคญไปใชในทางทมชอบ เชน น าสตรการผลตหรอรายชอของลกคาไปขายแกบรษทคแขง เปนตน หรอ การหาผลประโยชนเพอตนเอง เชน การน าเงนจากการปดเศษสตางคจากบญชธนาคารของผอนเขาบญชธนาคารของตนเอง การบนทกขายสนคาแกลกคาทไมมตวตนจรงในระบบรบค าสงขายและท าการคนสนคาในระบบภายหลงเพอสรางยอดขายใหแกตนเอง เปนตน

6. รายจายทเกดขนโดยไมจ าเปน หรอรายจายสวนเกน เนองจากสาเหตหลายประการ ไดแก การปรบรอหรอแกไขระบบงานใหใชงานไดตามความตองการ เชน การแกไขระบบงานรบค าสงขายใหสามารถน าจ านวนสนคาคงเหลอจากระบบสนคาคงคลงมาค านวณวามสนคาเพยงพอทจะขายหรอไม โดยผใชไมตองไปเปดดขอมลโดยตรงจากระบบคลงสนคา การเพมหนาทงานการบนทกรายละเอยดของการเงนจากลกคาในระบบเชาซอรถยนตเพอใชเปนขอมลอางองกบลกคา การซอโปรแกรมส าเรจรปทเหมาะกบธรกจการเงนการธนาคารมาปรบแกเพอใหใชไดกบธรกจการผลตเพอขาย เปนตน การซอระบบเทคโนโลยสารสนเทศทเกนความจ าเปนในการใชงาน เชน การซอโปรแกรมส าเรจรปทมหนาทงานมากและซบซอนมาใชในองคกรทตองการใชหนาทงานหลกเพยงบางสวนของโปรแกรมส าเรจรปนนเทานน การซอเครองเซรฟเวอรทมเนอทเกบขอมลเกนปรมาณขอมลขององคกรมากเกนไป เปนตน การซอระบบรกษาความปลอดภยเพมเตม เนองจากระบบทใชในปจจบนไมมระบบการรกษาความปลอดภยทรดกมเพยงพอ เชน ผใชเลอกซอโปรแกรมส าเรจรปทไมสามารถก าหนดหนาทงานทเหมาะสมใหแกผใชแตละคนหรอการแบงแยกหนาทใหแกผใชในระบบงานน น แตไดไปซอโปรแกรมรกษาความปลอดภยอนเพมเตมเพอน ามาใชท าหนาทดงกลาว แทนทจะเลอกซอโปรแกรมส าเรจรปอนทมการก าหนดหนาทงานใหแกผใช เปนตน

DPU

13

7. การเสอมเสยชอเสยงหรอการขาดความเชอมนของลกคา เนองจากสาเหตหลายประการ ไดแก ระบบเทคโนโลยสารสนเทศทใชสนบสนนการใหบรการแกลกคาไมสามารถใหบรการลกคาได หรอประมวลผลขอมลทเกยวของกบลกคาผดพลาด เชน ธนาคารไมสามารถรบฝาก-ถอนเงนกบลกคาไดเนองจากระบบรบฝากเงนขดของหรอเซรฟเวอรลม ใบแจงหนคาโทรศพทมอถอแสดงยอดสงกวาการใชจรงของลกคาเนองจากค านวณระยะเวลาการใชผด เปนตน หรอขอมลลกคาถกขโมยจากผบกรกระบบ

8. การไมปฏบตตามกฎหมายหรอกฎระเบยบจากหนวยราชการทเกยวของ เนองจากระบบงานทพฒนาน นไมไดพฒนาตามวธการทไดก าหนดไว หรอไมค านงถงกฎระเบยบทเกยวของ เชน ระบบงานเงนเดอนและคาจาง ไมไดค านวณภาษเงนไดหก ณ ทจายตามอตราและกฎทกรมสรรพากรก าหนด ซงมผลใหน าสงภาษหก ณ ทจายในแตละเดอนสงหรอต าไป เปนตน 2.5 การตรวจสอบระบบเทคโนโลยสารสนเทศ (อภณหพร เมธาวชนานนท , 2551)

การตรวจสอบระบบเทคโนโลยสารสนเทศมความส าคญ โดยเปนกระบวนการทใชในการเกบรวบรวมและประเมนหลกฐาน ในอนทจะพจารณาวาระบบสารสนเทศนนสามารถทจะบรรลวตถประสงคหลก ในการปองกนสนทรพยจากการทจรตหรอผดพลาด การรกษาความถกตองของขอมล ความมประสทธผลของระบบงาน และความมประสทธภาพในการใชทรพยากรของระบบหรอไมเพยงใด

การตรวจสอบระบบสารสนเทศ หมายถง การตรวจสอบการควบคมระบบสารสนเทศทมอยของหนวยงาน เพอใหทราบวาการควบคมน น ๆ มเพยงพอหรอไม การตรวจสอบระบบสารสนเทศ แบงออกเปน 3 ประเภท ไดแก การตรวจสอบทวไป การตรวจสอบระบบงานประยกต และการตรวจสอบฐานขอมล

หนวยงานทท าหนาทตรวจสอบระบบเทคโนโลยสารสนเทศจะตองมความเปนอสระจากการปฏบตงานทเกยวของกบระบบเทคโนโลยสารสนเทศ (แนวทางการจดระบบการควบคมภายใน, 2540) ผ ตรวจสอบจะตองมความรทางเทคนคคอมพวเตอรอยางเพยงพอ โดยผ ทจะท าหนาทตรวจสอบการควบคมทวไป จะตองมความรเกยวกบการท างานของระบบจดการของเครองคอมพวเตอรทจะท าการตรวจสอบ และผทตรวจสอบการควบคมภายในระบบงาน จะตองมความรพนฐานในการออกแบบระบบและการควบคมภายในของแตละระบบงาน

DPU

14

2.5.1 ความส าคญของการตรวจสอบ การควบคมและตรวจสอบระบบเทคโนโลยสารสนเทศมความส าคญและจ าเปนดงน

1. เพอปองกนขอมลสญหาย ขอมลในระบบสารสนเทศมความส าคญตอการด าเนนงานของหนวยงานหรอองคกร ถาเกดการสญหายและตองการใหกลบคนมา หนวยงานจะตองใชทรพยากรเพมขน ท าใหเกดตนทนเพมขนดวย 2. เพอลดการตดสนใจผดพลาด การเชอมโยงขอมลจากหลายระบบ อนจะน าไปส ขอมล ส าหรบใชในการบรหารและการตดสนใจ กรณทข อมลหรอสารสนเทศทไดจากระบบสารสนเทศขาดความถกตองนาเชอถอ ผบรหารหรอผทใชขอมลสารสนเทศในการตดสนใจ ยอมไดรบผลกระทบทกอใหเกดความผดพลาดในการตดสนใจได 3. เพอปองกนการใชคอมพวเตอรในทางมชอบ การทจรตโดยใชคอมพวเตอรเปนเครองมอ ท าใหการสบคนหาจดทมการทจรตท าไดยาก และความเสยหายทเกดขนนนจะมมลคาสงกวาระบบทไมใชคอมพวเตอร อนจะน าไปถงความนาเชอถอของหนวยงานดวย 4. เพอรกษาทรพยสน ไดแก อปกรณ โปรแกรมระบบงานประยกต รวมทงบคคลทเกยวของกบระบบสารสนเทศ ซงมการลงทนทสงกวาดานอน ๆ มาก ถาทรพยากรดงกลาวไดรบความเสยหาย ยอมมผลกระทบตอการด าเนนงานของหนวยงาน 5. เพอปองกนความผดพลาด จากการเชอมโยงเครองคอมพวเตอรเขาดวยกนเปนระบบเครอขาย และมการโปรแกรมมากขน โดยเฉพาะในลกษณะของการปอนขอมลและทราบผลทนท (On-line Real Time) ถาบางเครองท างานผดพลาด กอาจกอใหเกดความเสยหายตอระบบงานและสงผลทงระบบ ซงยอมมผลตอการด าเนนงานของหนวยงาน 6. เพอรกษาความเปนสวนตว ขอมลบางอยางของหนวยงานจ าเปนตองมการรกษา ความลบ เปดเผยไดเฉพาะเจาของขอมลเทานน เชน ขอมลลกคา เปนตน ขอมลเหลานควรมการรกษาความปลอดภยและมการควบคมการน าไปใชงานอยางด

2.5.2 ความเสยงดานการตรวจสอบระบบเทคโนโลยสารสนเทศ (ประทกษ วงศสนคงมน, 2545)

การทจะประเมนวาองคกรบรรลวตถประสงคของการตรวจสอบเกยวกบการดแลรกษาทรพยสน ความถกตองสมบรณของขอมล การรกษาความลบ และการปกบตตามกฎระเบยบนน ผ ตรวจสอบจะตองมการรวบรวมหลกฐานโดยการทดสอบ เมอผตรวจสอบไดทดสอบการควบคมทมอยในระบบแลว จะประเมนถงระดบของความเสยง โดยทความเสยงจะข นอยกบขอตกลงทผ ตรวจสอบมตอผบรหารระดบสงในเรองทเกยวกบประเภทและขอบเขตของการตรวจสอบ อยางไรก

DPU

15

ตาม ในการทดสอบนน ผตรวจสอบอาจไมสามารถคนพบขอเทจจรงหรอความสญเสยทอาจเกดขน ความเสยงทผตรวจสอบไมสามารถคนพบนเรยกวา ความเสยงดานการตรวจสอบ (audit risks)

ความเสยงดานการตรวจสอบระบบเทคโนโลยสารสนเทศ เปนความเสยงทผตรวจสอบแสดงความเหน หรอรายงานผลการตรวจสอบผดพลาด ไมตรงกบขอเทจจรงอยางมนยส าคญ เชน สรปผลการตรวจสอบและใหความเหนวา ระบบเทคโนโลยสารสนเทศนนท างานถกตอง ควรน าออกใชงานได ทง ๆ ทมขอผดพลาดส าคญ คอ ระบบท างานไดไมครบถวนตามหนทตองการเมอน าออกใชงาน เนองจากผตรวจสอบไมทราบวามการแกไขโปรแกรมใหลดหนาทการท างาน เปนตน ความเสยงดานการตรวจสอบ (audit risks) ทก าหนดโดยสมาคมผตรวจสอบบญชรบอนญาตแหงสหรฐอเมรกา (The American Institute of Certified Public Accountants, AICPA) ประกอบดวย ความเสยงจากลกษณะธรกจ ความเสยงจากการควบคม และความเสยงจากการสบคน ความเสยงจากลกษณะธรกจ (financial risk) หมายถง ความเสยงทเกดขนสบเนองจากคณลกษณะของธรกจหรอเรองทตรวจสอบ ซงอาจเกดความผดพลาดโดยยงไมค านงถงการควบคมภายในทกจการจดใหมขน ความเสยงจากลกษณะธรกจจงเปนความเสยงทมอยโดยธรรมชาตในธรกจหรองานแตละประเภท เมอใดกตามทจะท าธรกจหรองานนน กยอมจะมความเสยงเกดขน เชน ระบบทเกยวของกบทางดานการเงน ซงครอบคลมทรพยสนหลกขององคกร เชน ระบบบญชเงนสดรบ-จาย ระบบเงนเดอน ระบบบญชลกหน ระบบบญชเจาหน เปนตน เนองจากทรพยสนเหลานมความเสยงจากลกษณะธรกจสงกวาทรพยสนอน ๆ เพราะเปนเปาหมายของการทจรตและฉอฉล โดยเฉพาะธรกจธนาคารหรอ บรษทเงนทน บรษทหลกทรพย ซงเปนธรกจทคาเงน หลกทรพยหรอตราสารการเงน ขนตอนของงานเกอบทกขนตอนเกยวกบการซอ ขาย แลกเปลยน โอน รบ จาย เงนหรอหลกทรพย ซงทรพยสนเหลานเปนทรพยสนซงมสภาพคลองสง ระบบสารสนเทศทเกยวของกบทรพยสนดงกลาวจงมความลอแหลมตอการสญหายหรอทจรต เปนตน ความเสยงจากการควบคม (control risk) หมายถง ความเสยงทระบบการควบคมภายในขององคกรไมอาจปองกนขอผดพลาดในสวนทเกดจากความเสยงจากลกษณะธรกจไดทงหมด ควมเสยงในสวนนเกดขนเนองจากแมวาองคกรจะก าหนดใหมการควบคมภายในเพอลดความเสยงจากลกษณะธรกจลงแลวกตาม แตกอาจมโอกาสทการควบคมภายในดงกลาวมขอบกพรองอย กท าใหเกดความเสยหายขนไดเชนกน ความเสยงจากการสบคน (detection risk) หมายถง ความเสยงทเกดขนในเรองทตรวจสอบนน ไมสามารถคนหาหรอคนพบความไมถกตองของรายการหรอขอผดพลาดทมอย ทงนเพราะในการปฏบตงานตรวจสอบของผตรวจสอบจ าเปนตองใชวธการตรวจสอบโดยเลอกสม

DPU

16

ตวอยาง ไมสามารถตรวจสอบทกเรองไดทงหมด เนองจากขอจ ากดเกยวกบอตราก าลง เวลา และความจ าเปนอน ๆ

2.5.3 ลกษณะของการตรวจสอบระบบเทคโนโลยสารสนเทศ ลกษณะของการตรวจสอบระบบเทคโนโลยสารสนเทศม 2 ลกษณะ คอ การตรวจสอบทไมพจารณาถงการท างานของคอมพวเตอร และการตรวจสอบทพจารณาถงการท างานของคอมพวเตอร การตรวจสอบทไมพจารณาถงการท างานของคอมพวเตอร (audit around the computer) เปนการตรวจสอบทไมเนนสวนของการประมวลผล แตจะพจารณาสวนทเปนการน าเขาขอมลและการผลดผลลพธเปนหลก ระบบงานทใชการตรวจสอบลกษณะนควรมคณสมบต คอ เปนระบบงานทใชตรรกะ (logic) แบบตรงไปตรงมา ขอมลน าเขาเรยงตามล าดบ การประมวลผลใชวธการเรยงขอมลน าเขาใหท าการปรบปรงขอมลในแฟมขอมลหลกในลกษณะท างานตามล าดบ มขอมลทใชส าหรบเปนรองรอยในการตรวจสอบ (audit trails) หรอมรายงานเตรยมไวใหส าหรบจดส าคญตาง ๆ ในระบบ สภาพแวดลอมการท างานของระบบคงทหรอระบบมการเปลยนแปลงนอย ซงการตรวจสอบลกษณะนมขอจ ากดส าคญคอ การตรวจสอบลกษณะนจะไมใชกบระบบงานทมความซบซอน เนองจากผตรวจสอบอาจขาดความเขาใจในระบบงานและกอใหเกดผลกระทบทส าคญกบการตรวจสอบ และการตรวจสอบในลกษณะน ไมมขอมลใหผตรวจสอบใชในการตรวจสอบอยางเพยงพอเมอระบบมการเปลยนแปลงเกดขน การตรวจสอบทพจารณาถงการท างานของคอมพวเตอร (audit through the computer) เปนการตรวจสอบทเนนการประมวลผลเปนหลก เพอทดสอบตรรกะการประมวลผลและการควบคมทวางไวอยในระบบงาน การตรวจสอบขอมลทถกสรางขนจากระบบงานทใชคอมพวเตอรจะงายหรอยากนนขนอยกบความซบซอนของระบบ ซงบางครงจ าเปนตองมความรความสามารถทางดานเทคนคประกอบดวย ระบบงานทใชการตรวจสอบในลกษณะน ควรมคณสมบต ดงนคอ มการประมวลผลดวยขอมลน าเขาและมขอมลผลลพธเปนจ านวนมาก สวนทส าคญทเกยวกบการควบคมถกน ามารวมไวเปนสวนหนงในระบบ ตรรกะทใชประมวลผลซงสรางไวในระบบสารสนเทศมความซบซอน อยางไรกตาม การตรวจสอบในลกษณะน ผตรวจสอบไมสามารถตรวจขอมลทงหมดทเกดขนจากการประมวลผลภายในองคกร ดงนน งานส าคญของผตรวจสอบคอการประเมนวาการควบคมทวางไวท างานอยางมประสทธภาพหรอไม ซงการควบคมนนจะเปนกลไกทใชส าหรบการปองกน คนหา และแกไข เหตการณท เกดข นจากขอผดพลาดหรอเหตผดปกตท เกดข นจากสวนประกอบตาง ๆ ของระบบสารสนเทศ

DPU

17

2.5.4 โครงสรางการตรวจสอบ โครงสรางการตรวจสอบ ประกอบดวยคณะกรรมการตรวจสอบ (IT Audit Committee) และ คณะท างานตรวจสอบ (IT Audit Workgroup) โดยคณะกรรมการตรวจสอบ (IT Audit Committee) มหนาทและความรบผดชอบทส าคญ ไดแก ก าหนด/ปรบปรงนโยบาย ขอบงคบ ตลอดจนกรอบแนวทางการตรวจสอบระบบสารสนเทศ สงเสรมการพฒนาประสทธภาพของระบบสารสนเทศ ตดสนใจเพอแกปญหาส าคญทเกยวของ เผยแพร/ใหความรเกยวกบนโยบาย ขอบงคบ ตลอดจนกรอบแนวทางการตรวจสอบระบบสารสนเทศ ตดตามหรอมอบหมายงานการตดตามในการผลกดนขอเสนอแนะจากการตรวจสอบระบบสารสนเทศใหมผลในเชงรปธรรม ตลอดจนดแลปญหาในระดบนโยบายเพอใหเกดธรรมาภบาลดานเทคโนโลยสารสนเทศ (IT Governance) และคณะท างานตรวจสอบ (IT Audit Workgroup) มหนาทและความรบผดชอบทส าคญ ไดแก ประสานงานกบผทเกยวของกบระบบสารสนเทศหรอเทคโนโลยสารสนเทศทจะตรวจสอบ ทงในสวนของผดแลระบบและผใชระบบ ด าเนนงานตรวจสอบ ตามกรอบแนวทางการตรวจสอบระบบสารสนเทศทคณะกรรมการตรวจสอบไดก าหนดไว จดท ารายงานผลการด าเนนงานเสนอตอคณะกรรมการตรวจสอบ เพอพจารณาปรบแนวทางตอไป ตลอดจนตดตามและรายงานผลแกผบรหารถงผลความคบหนาในการแกไข ปรบปรงระบบสารสนเทศใหเปนไปตามทคณะท างานตรวจสอบเสนอแนะอยางเหมาะสมและตอเนอง

2.5.5 ขนตอนการตรวจสอบ การตรวจสอบระบบเทคโนโลยสารสนเทศ มขนตอนทส าคญดงน

1. ท าการรวบรวมและจดเกบขอมล 2. ระบ Key Controls

3. วางแผนและออกแบบโปรแกรมการตรวจสอบ 4. จดเกบขอมลภาคสนาม 5. วเคราะหขอมลทไดมาจากภาคสนาม 6. รางสรปผลการตรวจสอบ 7. นดประชมผทมสวนเกยวของ 8. สรปรายงาน 9. สงรายงานใหผบรหารรบทราบ 10. ตดตามผลความคบหนา 11. รายงานถงผบรหาร

DPU

18

2.6 COBIT FRAMEWORK

มาตรฐาน COBIT เปนทงแนวคดและแนวทางการปฏบต (Framework) เพอการควบคมภายในทดดานเทคโนโลยส าหรบองคกรตางๆ ทจะใชอางองถงแนวทางการปฏบตทด (Best Practice) ซงสามารถน าไปปรบใชไดในทกองคกรส าหรบกจกรรมทเกยวของกบเทคโนโลยสารสนเทศ แนวคดทใชสราง COBIT (สถาบนเทคโนโลยสารสนเทศาภบาล, 2547) เรมตนจากการควบคมดานเทคโนโลยสารสนเทศโดยใชวธการพจารณาจากสารสนเทศทจ าเปนในการสนบสนนวตถประสงคทางธรกจหรอความตองการทางธรกจ และพจารณาจากสารสนเทศทเปนผลลพธจากการประยกตใชทรพยากรตาง ๆ ดานเทคโนโลยสารสนเทศ ซงจ าเปนตองจดการดวยกระบวนการดานเทคโนโลยสารสนเทศ ทงน เพอใหบรรลถงวตถประสงคทางธรกจ สารสนเทศจ าเปนตองมคณสมบตบางประการ ซง COBIT อางถงความตองการทางธรกจดานสารสนเทศ ในการก าหนดความตองการดงกลาว COBIT จงไดผนวกหลกการของตนแบบทมอยและเปนทรจก ดงตารางท 2.2 โดยมรายละเอยดดงตอไปน ตารางท 2.2 ความตองการทางธรกจดานสารสนเทศ ความตองการดานคณภาพ คณภาพ

ตนทน การสงมอบ

ความตองการดานความไววางใจ (Fiduciary Requirement) (รายงานของ COSO)

การมประสทธภาพและประสทธผลในการด าเนนงาน ความเชอถอไดของขอมล การปฏบตตามกฎหมายและขอบงคบตาง ๆ

ความตองการดานการรกษาความ ปลอดภย

การรกษาความลบของขอมล ความครบถวนของขอมล สภาพพรอมใชงาน

ส าหรบความตองการดานคณภาพนน การรกษาคณภาพจะมมมมองจากคณลกษณะในดานลบ เชน ความไมผดพลาด ความนาเชอถอ เปนตน ซงสวนใหญมกจดอยในคณลกษณะเรองความครบถวนถกตอง แตในมมมองดานบวกอน ๆ ของคณภาพ เชน สไตล ความดงดดใจ การใหความรสกทดเกนกวาความคาดหมาย เปนตน ยงไมไดน ามาพจารณษในมมมองของวตถประสงคการควบคมดานเทคโนโลยสารสนเทศ ท งน โดยใชหลกการทวา การจดการความเสยงอยาง

DPU

19

เหมาะสมสมควรมากอนการใชโอกาสทางธรกจ คณภาพในดานประโยชนการใชงานจะรวมอยในคณลกษณะดานประสทธผล ส าหรบคณภาพในดานการสงมอบนน อาจพจารณาไดวาซ าซอนกบคณลกษณะในเรองสภาพพรอมใชงานภายใตความตองการดานการรกษาความปลอดภย และกบคณลกษณะดานประสทธภาพและประสทธ ผลในการด าเนนงาน ทายสด ตนทนไดรบการพจารณาใหรวมอยกบคณลกษณะดานประสทธภาพ ส าหรบความตองการดานความไววางใจนน COBIT ไมไดพฒนาขนใหม แตไดน าขอก าหนดของ COSO ในเรองของการมประสทธภาพและประสทธผลในการด าเนนงาน ความเชอถอไดของขอมล และการปฏบตามกฎหมายและขอบงคบตาง ๆ มาใช อยางไรกดไดขยายค าจ ากดความของคณลกษณะดานความเชอถอไดของขอมลใหครอบคลมสารสนเทศทงหมดขององคกรไมใชเพยงขอมลดานการเงนเทานน ส าหรบเรองของความตองการดานการรกษาความปลอดภย COBIT ไดก าหนดปจจยส าคญ ไดแก การรกษาความลบ ความครบถวนถกตอง และสภาพพรอมใชงาน ซงปจจยทงสามดงกลาวไดน าไปใชในการรกษาความปลอดภยดานเทคโนโลยสารสนเทศทวโลก จากการวเคราะหในภาพกวางของความตองการดานคณภาพ ดานความไววางใจ และดานการรกษาความปลอดภยนน ไดแยกแยะคณลกษณะทเดนชดและไมซ าซอนของสารสนเทศทดออกมาเปน 7 ประการ ซงค านยามของคณลกษณะแตละประการ มดงน

ประสทธผล หมายถง สารสนเทศทตรงประเดนและสมพนธกบกระบวนการทางธรกจอกทงเปนสารสนเทศททนตอเวลา ถกตอง สม าเสมอ และน าไปใชประโยชนได ประสทธภาพ หมายถง การไดมาซงสารสนเทศโดยการใชประโยชนจากทรพยากร ตาง ๆ อยางเตมท ไดผลผลตสงสดและประหยดทสด

การรกษาความลบ หมายถง การปองกนการเปดเผยขอมลทส าคญโดยไมไดรบอนญาต ความครบถวนถกตอง หมายถง ความครบถวนและถกตองของสารสนเทศ รวมทงเปนสารสนเทศทใชไดอยางสอดคลองกบคานยมและความคาดหวงของธรกจ

สภาพพรอมใชงาน หมายถง การมใชของสารสนเทศเมมอมความตองการใชงานในกระบวนการทางธรกจทงในปจจบนและอนาคต รวมถงการรกษาความปลอดภยและความสามารถในการใชงานของทรพยากรตาง ๆ ทเกยวของ การปฏบตตามกฎ หมายถง การปฏบตตามกฎหมาย ระเบยบ ขอบงคบ และขอสญญาทเกยวของกบกระบวนการทางธรกจ อาทเชน กฎเกณฑขอบงคบทก าหนดขนจากภายนอก

DPU

20

ความเชอถอได หมายถง การใหสารสนเทศทเหมาะสมแกผบรหารเพอใชในการด าเนนกจการ และเพอใหผบรหารสามารถปฏบตความรบผดชอบในเรองการรายงานขอมลทางการ เงนและรายงานการปฏบตตามกฎได สวนค านยามของทรพยากรดานเทคโนโลยสารสนเทศทกลาวถงใน COBIT มดงน ขอมล หมายถง วตถตาง ๆ ในความหมายทกวางทสด นนคอ ทงภายในและภายนอก ทงทมโครงสรางและไมมโครงสราง ตลอดจนขอมลทเปนกราฟก หรอเปนเสยง เปนตน ระบบงานประยกต หมายถง การท างานรวมกนของโปรแกรมคอมพวเตอรและการปฏบตงานโดยคน เทคโนโลย หมายถง ฮารดแวร ระบบปฏบตการ ระบบจดการฐานขอมล ระบบเครอขายมลตมเดย เปนตน สงอ านวยความสะดวก หมายถง ทรพยากรตาง ๆ ทใชเพอเปนทตงและสนบสนนการท างานของระบบสารสนเทศ บคลากร หมายถง ทกษะของพนกงาน ความตนตว และความมประสทธภาพในการวางแผน การจดองคการ การจดหา การสงมอบ การสนบสนน การเฝาตดตามระบบสารสนเทศ และการใหบรการสารสนเทศ เงนทนไมไดนบเปนทรพยากรดานเทคโนโลยสารสนเทศในการจดประเภทของวตถประสงคของการควบคมขางตน เนองจากสามารถมองไดวาเงนทนใชลงทนในทรพยากรดานเทคโนโลยสารสนเทศตาง ๆ ดงกลาวขางตนแลว อกทงแมวากรอบงานนนไมไดระบไวอยางชดเจนวาตองมการจดท าเอกสารส าหรบเรองทส าคญทกเรองในกระบวนการท างานตาง ๆ ดานเทคโนโลยสารสนเทศกตาม แตวธปฏบตทดนน การจดท าเอกสารเปนสงทจ าเปนส าหรบการควบคมทด และการขาดเอกสารอางองยอมท าใหเกดความจ าเปนทจะตองมการสอบทานและวเคราะหเพมเตม เพอหาแนวทางการควบคมอนทจะใชทดแทนในขอบเขตทก าลงสอบทานนน และเพอใหแนใจไดวาความตองการสารสนเทศของธรกจไดรบการตอบสนอง จ าเปนตองก าหนดมาตรการควบคมทเหมาะสม รวมถงการน าไปใช และเฝาตดตามทรพยากรเหลานน อยางไรกด องคกรจะรไดอยางไรวาสารสนเทศทไดรบมคณลกษณะทตองการ จงเปนทมาของความตองการกรอบงานทดของวตถประสงคการควบคมดานเทคโนโลยสารสนเทศ กรอบงาน COBIT ประกอบดวยวตถประสงคการควบคมในระดบสง และโครงสรางส าหรบการจดกลมวตถประสงคเหลานน ซงการจดกลมจะด าเนนการภายใตทฤษฎทวาการท างานดานเทคโนโลยสารสนเทศสามารถแบงออกเปน 3 ระดบดวยกน โดยพจารณาถงการจดการทรพยากรดานเทคโนโลยสารสนเทศ เรมจากระดบลางสด มกจกรรมและภารกจทจะตองท าให

DPU

21

ส าเรจและสามารถวดผลได โดยทกจกรรมมลกษณะทท าเปนวงจร ในขณะทภารกจมลกษณะทท าเปนครง ๆ แยกจากกน ในสวนของกจกรรมทมลกษณะของวงจรจะตองการมาตรการควบคมทแตกตางไปจากลกษณะของภารกจทแยกจากกน ขนมาในระดบทสอง ไดแก กระบวนการ ซงกคอ กจกรรมและภารกจตาง ๆ ทน ามาท าตอเนองกนไป โดยมการควบคมในแตละจด ในระดบทสามทเปนระดบสงสด คอ การทกระบวนการตาง ๆ ไดรบการจดกลมโดยแยกเปนโดเมน ซงการจดกลมเปนโดเมนมกจะสอดคลองกบหนาทความรบผดชอบในโครงสรางขององคกรน น ๆ และสอดคลองกบวงจรของการบรหารหรอวงจรการท างานของกระบวนการท างานดานเทคโนโลยสารสนเทศ ดงนน สามารถมองกรอบงานในเชงแนวคดไดเปน 3 มตดวยกน คอ (1) คณลกษณะของสารสนเทศทด (Information Criteria) (2) ทรพยากรดานเทคโนโลยสารสนเทศ (3) กระบวนการดานเทคโนโลยสารสนเทศ มตทงสามนสามารถแสดงเปนภาพของลกบาศกโคบต (COBIT Cube) ไดดงแสดงในภาพท 2.1 ดงน

ภาพท 2.1 COBIT Cube ทมา : IT Governance Institute, 2000 โครงสรางของมาตรฐาน COBIT ไดออกแบบอยบนพนฐานของกระบวนการทางธรกจ Business Process สามารถแบงไดเปน 4 กระบวนการหลก (Domain) ดงภาพท 2.2 ไดแก

DPU

22

1. การวางแผนและการจดการองคกร (PO : Planning and Organization)

2. การจดหาและการน าระบบออกใชงานจรง (AI : Acquisition and Implementation)

3. การสงมอบและการสนบสนน (DS : Delivery and Support)

4. การตดตามผล (M : Monitoring)

ในแตละกระบวนการหลกขางตน มาตรฐาน COBIT แสดงวตถประสงคของการควบคมหลก (High-level Control Objectives) รวมถง 34 หวขอ และในแตละหวขอจะประกอบดวยวตถประสงคของการควบคมยอยลงไปอกขนหนง (Detailed Control Objectives) รวมถง 318 หวขอยอย โดยมรายละเอยดดงตอไปน DPU

23

ภาพท 2.2 กรอบมาตรฐาน COBIT ทมา : http://www.isaca.org, www.itgi.org

M1 monitor the peocesses PO1 define a strategic IT plan M2 assess internal control adequacy PO2 define the information architecture M3 obtain independent assurance PO3 determine technological direction M4 provide for independent audit PO4 define the IT organisation and relationships

PO6 communicate management aims and direction PO7 manage human resources PO8 ensure compliance with external requirements PO9 assess risks PO10 manage projects PO11 manage quality

DS1 define and manage service levels DS2 manage third-party services DS3 manage performance and capacity DS4 ensure continuous service DS5 ensure systems security DS6 identify and allocate costs

DS8 assist and advise customers AI1 identify automated solutions DS9 manage the configuration AI2 acquire and maintain application software DS10 manage Problems and incidents AI3 acquire and maintain technology infrastructure DS11 manage data AI4 develop and maintain procedures DS12 manage facilities AI5 install and accredit systems DS13 manage operations AI6 manage changes

BUSINESS OBJECTIVES

DS7 educate and train users

PO5 manage the IT investment

IT GOVERNANCE

people application systems technology facilities data

ACQUISITION &IMPLEMENTATION

PLANNING &ORGANISATION

DELIVERY &SUPPORT

MONITORING

IT RESOURCES

COBIT

effectiveness efficiency confidentiality integrity availability compliance reliability

INFORMATIONDPU

24

2.6.1 การวางแผนและการจดองคกร การวางแผนและการจดองคกร (PO : Planning and Organization) โดเมนนรวมถงการ

วางกลยทธและยทธวธ ตลอดจนการหาหนทางทจะท าใหเทคโนโลยสารสนเทศมบทบาทส าคญทจะท าใหธรกจบรรลวตถประสงค ยงไปกวานน การด าเนนงานใหเปนไปตามวสยทศนเชงกลยทธจ าเปนตองมการวางแผนงาน สอสาร และจดการในหลาย ๆ ดาน และทายสด องคการจ าเปนตองมการจดองคการและโครงสรางพนฐานดานเทคโนโลยทเหมาะสม ทงน การวางแผนและการจดองคกร (PO : Planning and Organization) ประกอบดวย

PO1 การจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ (Define a Strategic IT Plan) เพอใหองคกรไดรบประโยชนสงสดจากการใช IT 1.1 เทคโนโลยสารสนเทศเปนสวนหนงของแผนงานระยะสนและระยะยาวขององคกร 1.2 แผนงานระยะยาวดานเทคโนโลยสารสนเทศ 1.3 วธการและโครงสรางของการจดท าแผนงานระยะยาวดานเทคโนโลยสารสนเทศ 1.4 การปรบเปลยนแผนงานระยะยาวดานเทคโนโลยสารสนเทศ 1.5 แผนงานระยะสนส าหรบหนวยงานดานเทคโนโลยสารสนเทศ 1.6 การสอสารแผนงานดานเทคโนโลยสารสนเทศ 1.7 การเฝาตดตามและประเมนผลการด าเนนงานตามแผนงานดานเทคโนโลยสารสนเทศ 1.8 การประเมนผลระบบงานทมอย

PO2 การก าหนดโครงสรางดานสารสนเทศ (Define the Information Architecture)เพอใหไดรบประโยชนสงสดจากการจดรปแบบระบบสารสนเทศ 2.1 ตนแบบโครงสรางดานสารสนเทศ 2.2 พจนานกรมและไวยากรณขอมล 2.3 การจดประเภทของขอมล 2.4 ระดบการรกษาความปลอดภยของขอมล

PO3 การก าหนดทศทางดานเทคโนโลย (Determine Technological Direction) เพอใหสามารถใชเทคโนโลยสมยใหมเปนกลยทธในการบรหารธรกจ

3.1 การวางแผนโครงสรางพนฐานดานเทคโนโลย 3.2 การตดตามทศทางและกฎขอบงคบทางดานเทคโนโลยในอนาคต

DPU

25

3.3 การจดหา Contingency Plan ของโครงสรางพนฐานดานเทคโนโลย 3.4 แผนการจดซอฮารดแวรและซอฟตแวร 3.5 มาตรฐานดานเทคโนโลย PO4 การจดโครงสรางองคกรดานเทคโนโลยสารสนเทศและความสมพนธกบ

หนวยงานอน (Define the IT Organisation and Relationships) เพอใหสามารถใหบรการดาน IT ไดอยางเหมาะสมถกตอง 4.1 คณะกรรมการก ากบดแลหรอวางแผนดานเทคโนโลยสารสนเทศ 4.2 การจดองคกรของหนวยงานดานเทคโนโลยสารสนเทศ 4.3 การทบทวนความส าเรจขององคกร 4.4 หนาทและความรบผดชอบ 4.5 ความรบผดชอบดานคณภาพงาน 4.6 ความรบผดชอบดานการรกษาความปลอดภยทงดานระบบงานและขอมล 4.7 การก าหนดเจาของและผจดเกบขอมล 4.8 การก าหนดเจาของระบบงานและขอมล 4.9 การควบคมดแลงาน 4.10 การแบงแยกหนาทความรบผดชอบของแตละต าแหนงงาน 4.11 การประเมนอตราบคลากรดานเทคโนโลยสารสนเทศ 4.12 การก าหนดหนาทความรบผดชอบของบคลากรดานเทคโนโลยสารสน เทศ 4.13 บคลากรหลกในหนวยงานดานเทคโนโลยสารสนเทศ 4.14 นโยบายและขนตอนการวาจางบคลากรภายนอก 4.15 ความสมพนธ PO5 การจดการดานการลงทนในเทคโนโลยสารสนเทศ (Manage the IT Investment) เพอใหมนใจในเงนลงทนทตองใช และมการดแลการใชจายเงนอยางเหมาะสม 5.1 งบประมาณประจ าปของการด าเนนงานดานเทคโนโลยสารสนเทศ 5.2 การตดตามดแลคาใชจายและประโยชนทไดรบ 5.3 ความเหมาะสมของคาใชจายและประโยชนทไดรบ PO6 การสอสารเปาหมายและทศทางภายในองคกร (Communicate Management Aims and Direction) เพอใหแนใจวาคนในองคกรรบรและเขาใจในเปาหมายและทศทาง 6.1 สภาพแวดลอมทดดานการควบคมสารสนเทศ

DPU

26

6.2 ความรบผดชอบดานนโยบายของผบรหาร 6.3 การสอสารนโยบายขององคกร 6.4 ทรพยากรทใชเพอใหบรรลตามนโยบาย 6.5 การดแลรกษานโยบาย 6.6 การปฏบตตามนโยบาย, ระเบยบขนตอนการปฏบตงาน และมาตรฐาน ตางๆ 6.7 การยดมนในคณภาพ 6.8 แนวทางนโยบายในการรกษาความปลอดภยและการควบคมภายใน 6.9 สทธทเกยวกบทรพยสนทางปญญา 6.10 การก าหนดนโยบายเฉพาะกจ 6.11 การสอสารใหตระหนกถงการรกษาความปลอดภยดานเทคโนโลยสารสนเทศ PO7 การจดการทรพยากรบคคล (Manage Human Resources) เพอใหมบคลากรทมความสามารถ และทมเทในการท างาน 7.1 การจางงานและการเลอนต าแหนงบคลากร 7.2 คณวฒหรอคณสมบตของบคลากร 7.3 บทบาทหนาทและความรบผดชอบ 7.4 การฝกอบรมบคลากร 7.5 การฝกอบรมขามสวนงาน หรอการมพนกงานทดแทน 7.6 ระเบยบปฏบตการตรวจสอบบคลากร 7.7 การประเมนผลงานพนกงาน 7.8 การเปลยนแปลงต าแหนงงานและการเลกจางงาน PO8 การปฏบตตามขอก าหนดขององคกรภายนอก (Ensure Compliance with External Requirements) เพอใหสอดคลองถกตองตามกฎหมาย ระเบยบ และสญญา 8.1 การสอบทานขอก าหนดขององคกรภายนอก 8.2 วธการและระเบยบปฏบตเพอใหเปนไปตามขอก าหนดขององคกร ภายนอก 8.3 การปฏบตตามมาตรฐานดานความปลอดภยและสขลกษณะในการท างานงาน 8.4 ความเปนสวนตว ทรพยสนทางปญญา และขอมล 8.5 พาณชยอเลกทรอนกส

DPU

27

8.6 การปฏบตตามสญญาประกนภย PO9 การประเมนความเสยง (Assess Risks) เพอให IT สามารถตอบสนองความ

ตองการของผบรหารในการตดสนใจเพอลดความเสยง โดยใหขอมลทเปนรปธรรม และชใหเหนประเดนทส าคญ 9.1 การประเมนความเสยงของธรกจ 9.2 วธการประเมนความเสยง 9.3 การระบความเสยง 9.4 การประเมนความเสยง 9.5 แผนปฏบตงานเพอจดการความเสยง 9.6 การยอมรบความเสยง 9.7 การเลอกมาตรการควบคม 9.8 การสนบสนนของผบรหารในการประเมนความเสยง

PO10 การจดการโครงการ (Manage Projects) เพอก าหนดระดบความส าคญและด าเนนการใหแลวเสรจภายในเวลาและงบประมาณทก าหนด 10.1 กรอบงานการจดการโครงการ 10.2 การมสวนรวมในการรเรมโครงการของหนวยงานผใช/ปฏบตงาน 10.3 ทมงานโครงการและหนาทความรบผดชอบ 10.4 ขอก าหนดของโครงการ 10.5 การอนมตโครงการ 10.6 การอนมตโครงการในแตละระยะ 10.7 แผนงานหลกของโครงการ 10.8 แผนงานรบรองคณภาพระบบ 10.9 การก าหนดวธการรบรองคณภาพ 10.10 การบรหารความเสยงของโครงการอยางเปนทางการ 10.11 แผนการทดสอบ 10.12 แผนการฝกอบรม 10.13 แผนการสอบทานระบบภายหลงการใชงานจรง

PO11 การจดการคณภาพ (Manage Quality) เพอใหสามารถตอบสนองความตองการของผใช (ขอมล) 11.1 แผนคณภาพทวไป

DPU

28

11.2 วธการรบรองคณภาพ 11.3 แผนการรบรองคณภาพ 11.4 การสอบทานการรบรองคณภาพ โดยค านงถงมาตรฐานระบบสารสนเทศ และวธการท างาน 11.5 กรรมวธวงจรการพฒนาระบบงาน 11.6 กรรมวธวงจรการพฒนาระบบงานส าหรบการเปลยนแปลงทส าคญตอ เทคโนโลยทมอย 11.7 การปรบปรงกรรมวธวงจรการพฒนาระบบงาน 11.8 การประสานงานและการสอสาร 11.9 กรอบงานการจดหาและบ ารงรกษาโครงสรางพนฐานดานเทคโนโลย 11.10 สมพนธภาพกบผตดตงระบบงานจากภายนอก 11.11 มาตรฐานของเอกสารโปรแกรม 11.12 มาตรฐานการทดสอบโปรแกรม 11.13 มาตรฐานการทดสอบระบบงาน 11.14 การทดสอบคขนานหรอการทดสอบน ารอง 11.15 เอกสารการทดสอบระบบงาน 11.16 การประเมนเพอรบรองคณภาพ โดยเทยบกบมาตรฐานการพฒนา 11.17 การสอบทานเพอรบรองคณภาพเกยวกบการบรรลวตถประสงคดานเทคโนโลยสารสนเทศ 11.18 ตารางเทยบวดคณภาพ 11.19 รายงานการสอบทานการรบรองคณภาพ 2.6.2 การจดหาและการน าระบบออกใชงานจรง ในการด าเนนงานตามกลยทธทวางไว จะตองมการระบถงเทคโนโลยสารสนเทศตาง ๆ ทตองใชในการด าเนนงาน และจะตองมการพฒนาหรอจดซอจดหา การน าระบบออกใชงานจรง ตลอดจนการผนวกรวมเทคโนโลยสารสนเทศเขาเปนสวนหนงของกระบวนการทางธรกจ ในโดเมนนยงรวมถงการเปลยนแปลงและปรบปรงระบบงานทมอยแลวเพอใหวงจรของระบบเหลานด าเนนตอไปดงน น การจดหาและการน าระบบออกใชงานจรง (AI : Acquisition and Implementation) ประกอบดวย

AI1 การเลอกเทคโนโลยมาใชในการปฏบตงาน (Identify Automated Solutions)เพอใหมนใจวาจะตอบสนองความตองการขอมลของผใชไดอยางมประสทธผลและประสทธภาพ

DPU

29

1.1 การก าหนดความตองการสารสนเทศ 1.2 การก าหนดทางเลอกในการด าเนนการ 1.3 รปแบบกลยทธการจดหา 1.4 การก าหนดระดบการบรการจากบคคลภายนอก 1.5 การศกษาความเปนไปไดของเทคโนโลย 1.6 การศกษาความคมคาในการลงทน 1.7 โครงสรางพนฐานสารสนเทศ 1.8 รายงานการวเคราะหความเสยง 1.9 การคมทนของการรกษาความปลอดภย 1.10 การออกแบบหลกฐานเพอการตรวจสอบ 1.11 สขลกษณะในการท างาน 1.12 การคดเลอกซอฟตแวรระบบ 1.13 การควบคมการจดซอ 1.14 การจดซอซอฟตแวร 1.15 การบ ารงรกษาซอฟตแวรทจดซอจากบคคลภายนอก 1.16 สญญาการใชโปรแกรมระบบงานประยกต 1.17 การตรวจรบสงอ านวยความสะดวกตางๆ 1.18 การตรวจรบดานเทคโนโลย AI2 การจดหาและบ ารงรกษาซอฟตแวรประยกต (Acquire and Maintain Application Software) เพอใหบรการประมวลผลทสนบสนนการด าเนนงาน และการปฏบตงานขององคกรไดอยางมประสทธผล 2.1 วธการออกแบบระบบ 2.2 การเปลยนแปลงทส าคญกบระบบงานปจจบน 2.3 การอนมตการออกแบบ 2.4 การก าหนดความตองการเกยวกบแฟมขอมล และการจดท าเอกสาร 2.5 ขอก าหนดของโปรแกรม 2.6 การออกแบบวธการเกบรวบรวมขอมลตนทาง 2.7 การก าหนดความตองการเกยวกบขอมลน าเขา และการจดท าเอกสาร 2.8 การก าหนดเกยวกบการเชอมตอประสาน 2.9 การเชอมโยงระหวางเครองกบผใชงาน

DPU

30

2.10 การก าหนดความตองการเกยวกบการประมวลผล และการจดท าเอกสาร 2.11 การก าหนดความตองการเกยวกบผลลพธ และการจดท าเอกสาร 2.12 ความสามารถในการควบคม 2.13 ความพรอมใชงานทเปนปจจยหลกในการออกแบบระบบ 2.14 ขอก าหนดเกยวกบความครบถวนถกตองของเทคโนโลยสารสนเทศใน โปรแกรมระบบงานประยกต 2.15 การทดสอบโปรแกรมระบบงานประยกต 2.16 คมอผใชระบบและคมอสนบสนนการปฏบตงาน 2.17 การประเมนผลซ าส าหรบดานการออกแบบระบบ

AI3 การจดหาและบ ารงรกษาโครงสรางพนฐานดานเทคโนโลย (Acquire Maintain Technology Infrastructure) เพอใหองคกรม IT platform ทเหมาะสมกบระบบงาน 3.1 การประเมนความตองการฮารดแวรและซอฟตแวรใหม 3.2 การบ ารงรกษาฮารดแวรแบบมแผนก าหนดเวลาลวงหนา 3.3 การรกษาความปลอดภยของโปรแกรมระบบ 3.4 การตดตงโปรแกรมระบบ 3.5 การดแลและบ ารงรกษาโปรแกรมระบบ 3.6 การควบคมการเปลยนแปลงแกไขโปรแกรมระบบ 3.7 การใชและการตดตามโปรแกรมอรรถประโยชน AI4 ระเบยบปฏบตในการพฒนาและบ ารงรกษา (Develop and Maintain Procedures) เพอใหมการใชระบบงานไดอยางถกตองและเปนระเบยบ 4.1 ความตองการในการปฏบตงานและระดบการใหบรการ 4.2 คมอปฏบตงานของผใช 4.3 คมอปฏบตงานดานปฏบตการคอมพวเตอร 4.4 เอกสารประกอบการฝกอบรม AI5 การตดตงและรบรองระบบ (Install and Accredit Systems) เพอสอบทานใหแนใจวาระบบงานนนถกตองตรงตามวตถประสงคทตองการ 5.1 การฝกอบรม 5.2 ขดความสามารถของโปรแกรมระบบ 5.3 แผนการน าระบบออกใชงานจรง 5.4 การโอนยายระบบเดมไปยงระบบงานใหม

DPU

31

5.5 การโอนยายขอมลไปยงระบบงานใหม 5.6 การก าหนดแผนและกลยทธในการทดสอบ 5.7 การทดสอบโปรแกรมทเปลยนแปลงหรอแกไข 5.8 ขนตอนและเกณฑการทดสอบแบบคขนานหรอแบบน ารอง 5.9 การทดสอบครงสดทายเพอตรวจรบระบบ 5.10 การทดสอบดานการรกษาความปลอดภย และระดบความนาเชอถอ 5.11 การทดสอบดานการปฏบตงาน 5.12 การเรมใชงานจรง 5.13 การประเมนความสอดคลองกบความตองการของผใชงาน 5.14 การประเมนผลหลงจากน าระบบออกใชงานจรง AI6 การจดการการเปลยนแปลง (Manage Changes) เพอลดโอกาสการหยดการแกไขโดยพลการ และความผดพลาด 6.1 การควบคมค าขอปรบปรงแกไขระบบงาน 6.2 การประเมนผลกระทบ 6.3 การควบคมการเปลยนแปลงแกไข 6.4 การเปลยนแปลงแกไขกรณเรงดวน 6.5 การจดท าเอกสารและระเบยบปฏบต 6.6 การอนมตการบ ารงรกษา 6.7 นโยบายการอนมตน าโปรแกรมระบบงานออกใชงาน 6.8 การกระจายตดตงโปรแกรม 2.6.3 การสงมอบและการสนบสนน (DS : Delivery and Support) โดเมนนเกยวของกบการสงมอบบรการดานขอมลตามความตองการ ซงรวมตงแตการด าเนนงานดานการรกษาความปลอดภย ความตอเนองของการใหบรการ ไปจนถงการฝกอบรม การจดใหมกระบวนการสนบสนนส าหรบการสงมอบบรการ การประมวลผลขอมลจรงในระบบงานประยกต ซงมกจดอยในสวนของการควบคมเฉพาะระบบ (Application Control) ดงนน การสงมอบและการสนบสนน (DS : Delivery and Support) จะประกอบดวย DS1 การก าหนดและการจดการระดบการใหบรการ (Define and Manage Service Levels) เพอใหเกดความเขาใจทถกตองของระดบบรการทเปนทตองการ 1.1 กรอบขอตกลงเกยวกบระดบการใหบรการ 1.2 หลกเกณฑขอตกลงของระดบการใหบรการ

DPU

32

1.3 วธปฏบตเพอใหเกดประสทธภาพ 1.4 การตดตามและการรายงาน 1.5 การทบทวนขอตกลงและสญญาระดบการใหบรการ 1.6 รายการทคดคาบรการ 1.7 แผนการปรบปรงการใหบรการ DS2 การจดการการใชบรการจากบคคลภายนอก (Manage Third-Party Services) เพอใหมนใจวาหนาทและความรบผดชอบของ Third-Party มก าหนดไวชดเจน และมการด าเนนการทถกตอง ตอเนอง 2.1 การประสานงานกบผใหบรการ 2.2 ความสมพนธกบเจาของระบบ 2.3 สญญากบผใหบรการภายนอก 2.4 คณสมบตของผใหบรการ 2.5 สญญาการใชบรการจากบคคลภายนอก 2.6 ความตอเนองของการใหบรการ 2.7 การตกลงรวมมอดานการรกษาความปลอดภย 2.8 การตดตาม DS3 การจดการดานประสทธภาพและความสามารถ (Manage Performance and Capacity) เพอใหมนใจวาม Capacity อยางเหมาะสม ใชประโยชนไดสงสด ใหบรการไดตามทก าหนด 3.1 ความตองการเกยวกบความพรอม และประสทธภาพในการใชงาน 3.2 แผนงานความพรอมส าหรบการใชงาน 3.3 การตดตามผล และการรายงาน 3.4 เครองมอเสรมการท างาน 3.5 การบรหารประสทธภาพแบบมการคาดการณลวงหนา 3.6 การคาดการณปรมาณงาน 3.7 ความสามารถในการบรหารทรพยากร 3.8 ความพรอมใชงานดานทรพยากร 3.9 แผนการจดหาทรพยากร

DPU

33

DS4 ความตอเนองในการใหบรการ (Ensure Continuous Service) เพอใหมนใจวบรการดานIT มใหใชไดตามทตองการและเกดปญหาตอการด าเนนธรกจนอยทสด หากมเหตการณส าคญท าใหตองหยดชะงก 4.1 กรอบงานการด าเนนการอยางตอเนองดานเทคโนโลยสารสนเทศ 4.2 กลยทธและปรชญาในการจดท าแผนการด ารงอยดานเทคโนโลยสารสนเทศ

4.3 เนอหาของแผนการด ารงอยดานเทคโนโลยสารสนเทศ 4.4 ความตองการขนต าส าหรบด าเนนการอยางตอเนองดานเทคโนโลยสารสนเทศ 4.5 การบ ารงรกษาแผนการด ารงอยดานเทคโนโลยสารสนเทศ 4.6 การทดสอบแผนการด ารงอยดานเทคโนโลยสารสนเทศ 4.7 การฝกอบรมเกยวกบแผนการด ารงอยดานเทคโนโลยสารสนเทศ 4.8 การเผยแพรแผนการด ารงอยดานเทคโนโลยสารสนเทศ 4.9 ระเบยบการปฏบตงานส ารองของผใช 4.10 ทรพยากรทมความส าคญดานเทคโนโลยสารสนเทศ 4.11 ศนยส ารอง และฮารดแวร 4.12 การจดเกบสอขอมลส ารองไวนอกสถานท 4.13 ระเบยบปฏบตในการสรปผล DS5 การรกษาความปลอดภยระบบ (Ensure Systems Security) เพอปกปองขอมลจากการถกใช เปดเผย แกไข ท าลาย โดยไมไดรบอนมตหรอการสญหาย 5.1 การประเมนระบบรกษาความปลอดภย 5.2 การใหอ านาจ/สทธและการควบคมการเขาสระบบ 5.3 ความปลอดภยในการเขาถงขอมลแบบออนไลน 5.4 การจดการบญชผใชงาน (user account) 5.5 การสอบทานบญชผใชงาน 5.6 การควบคมบญชผใชงานดวยตนเอง 5.7 มาตรการตดตามรกษาความปลอดภย 5.8 การจ าแนกประเภทขอมล 5.9 การจดการเกยวกบการแสดงตน และสทธในการเขาถงขอมลแบบรวมศนย 5.10 รายงานการละเมดและกจกรรมทเกยวของกบความปลอดภย 5.11 การจดการกบเหตการณทเกดขน

DPU

34

5.12 การทบทวนความนาเชอถอของระบบรกษาความปลอดภย 5.13 ความนาเชอถอของคคา 5.14 การอนมตรายการ 5.15 การปฏเสธรายการทผดเงอนไข 5.16 ชองทางการรบสงขอมลทเชอถอได 5.17 การปองกนการแกไขระบบควบคมทก าหนดไว 5.18 การจดการเกยวกบรหสลบ 5.19 การปองกน การตรวจหา และการแกไขเกยวกบโปรแกรมทเปนอนตรายตอองคกร 5.20 โครงสรางไฟรวอลลและการเชอมโยงกบเครอขายสาธารณะ 5.21 การปองกนความเสยหายของขอมลอเลกทรอนกส DS6 การก าหนดและจดสรรตนทน (Identify and Allocate Costs) เพอใหเกดการรบรอยางถกตองในตนทนของบรการดาน IT 6.1 รายการทสามารถบนทกคาใชจายเปนตนทนดานเทคโนโลยได 6.2 ระเบยบปฏบตเรองตนทน 6.3 ระเบยบปฏบตในการเรยกเกบคาใชจายและการคนคาใชจาย DS7 การใหความรและฝกอบรมผใชงาน (Educate and Train Users) เพอใหมนใจวา ผใชสามารถใชบรการไดอยางมประสทธภาพ และเขาใจถงความเสยง ความรบผดชอบทเกยวเนองในการใชนนๆ 7.1 ก าหนดแผนการฝกอบรมทจ าเปนใหแกพนกงานในแตละระดบ 7.2 การก าหนดเปาหมายของการอบรมในแตละระดบพนกงาน 7.3 การอบรมใหมความตระหนกในเรองการรกษาความปลอดภย DS8 การใหความชวยเหลอและค าแนะน าแกผใชระบบงานในองคกร (Assist and Advise Customers) เพอใหมนใจวาปญหาทผใชประสบไดรบการแกไขอยางเหมาะสม 8.1 หนวยงานชวยเหลอผใชงาน 8.2 การบนทกปญหาตางๆ ทถกสอบถาม 8.3 ขนตอนการแกไขปญหา 8.4 การตดตามการแกไขปญหาทเกดขน 8.5 การวเคราะหแนวโนมและรายงาน

DPU

35

DS9 การจดการรายละเอยดทรพยสน (Manage the Configuration) เพอใหมการดแลรกษา จดบนทกอยางเหมาะสมในอปกรณ IT ปองกนการแกไขเปลยนแปลงโดยไมไดรบอนมต มการตรวจนบ และมระบบการควบคมการเปลยนแปลง 9.1 การบนทกรายการรายละเอยดทรพยสน 9.2 ขอมลพนฐานของรายละเอยดทรพยสน 9.3 การบนทกสถานภาพของทรพยสน 9.4 การควบคมรายละเอยดทรพยสน 9.5 โปรแกรมทไมไดรบอนญาตใหน ามาใชงาน 9.6 การจดเกบซอฟตแวร 9.7 ระเบยบปฏบตการจดการเกยวกบรายละเอยดทรพยสน 9.8 การก าหนดความรบผดชอบดานซอฟตแวร DS10 การจดการปญหาและเหตการณทเกดขน (Manage Problems and Incidents) เพอใหมนใจวาปญหาและอบตเหตทเกดขนไดรบการแกไข มการหาสาเหต และ ปองกนไมใหเกดขนซ าอก 10.1 ระบบการจดการปญหา 10.2 ขนตอนในการแกไขปญหา 10.3 หลกฐานการตรวจสอบและการตดตามปญหา 10.4 การอนญาตใหเขาถงระบบในกรณฉกเฉนและชวคราว 10.5 การก าหนดล าดบการประมวลผลกรณฉกเฉน DS11 การจดการขอมล (Manage Data) เพอใหมนใจวาขอมลมความสมบรณ ถกตองและนาเชอถอ ทงในชวง input, update & storage 11.1 ระเบยบปฏบตในการจดเตรยมขอมล 11.2 ระเบยบปฏบตในการอนมตใหน าขอมลเอกสารเขาสระบบ 11.3 การรวบรวมขอมลเขาสระบบ 11.4 การแกไขขอผดพลาดของขอมลเขาสระบบ 11.5 ระยะเวลาการจดเกบขอมลเอกสารประกอบรายการ 11.6 ระเบยบปฏบตวาดวยสทธในการน าขอมลเขาประมวลผล 11.7 การตรวจสอบความสมบรณ ถกตอง และการอนมตรายการ 11.8 การแกไขขอมลทบนทกผดพลาด 11.9 ความครบถวนถกตองของการประมวลผลขอมล

DPU

36

11.10 การตรวจสอบความสมเหตสมผลในการแกไขขอผดพลาดของการประมวลผลขอมล 11.11 การแกไขขอผดพลาดในการประมวลผลขอมล 11.12 การจดการผลลพธและการจดเกบ 11.13 การแจกจายรายงาน 11.14 การสอบยนและกระทบยอดรวมของรายงาน 11.15 การสอบทานและการแกไขขอผดพลาดของรายงาน 11.16 ขอก าหนดในการรกษาความปลอดภยของรายงาน 11.17 การปองกนขอมลทมความส าคญในระหวางการเคลอนยายหรอสงผาน 11.18 การปองกนขอมลส าคญทบนทกอยบนสอบนทกขอมลทองคกรไดจ าหนายทง 11.19 การจดการดานการจดเกบขอมล 11.20 ระยะเวลาและเงอนไขการจดเกบขอมล 11.21 ระบบการจดการคลงสอบนทกขอมล 11.22 ความรบผดชอบในการจดการคลงสอบนทกขอมล 11.23 การส ารองขอมล 11.24 งานดานการส ารองขอมล 11.25 การจดเกบขอมลชดส ารอง 11.26 การจดเกบขอมลถาวร 11.27 การปองกนขอความทส าคญ 11.28 การพสจนตนและความครบถวนถกตอง 11.29 ความครบถวนถกตองของรายการธรกรรมอเลกทรอนกส 11.30 การคงความถกตองของขอมลทจดเกบ DS12 การจดการดานสงอ านวยความสะดวก (Manage Facilities) เพอใหมบรรยากาศแวดลอมทางกายภาพทเหมาะสมในการปกปองอปกรณ IT และบคลากรจากภยธรรมชาตและบคคล 12.1 ความปลอดภยทางกายภาพ 12.2 ความปลอดภยของสถานททต งศนยคอมพวเตอร 12.3 การควบคมการเขา – ออกศนยคอมพวเตอร 12.4 ความปลอดภยและสขอนามยของบคลากร

DPU

37

12.5 การปองกนภยจากปจจยรอบขาง 12.6 เครองจายกระแสไฟฟาส ารอง DS13 การจดการดานการปฏบตการ (Manage Operations) เพอใหมนใจวาการปฏบตการดาน IT ทส าคญมการด าเนนงานอยางสม าเสมอและเปนล าดบอยางถกตอง 13.1 ระเบยบปฏบตและคมอค าสงการประมวลผล 13.2 เอกสารขนตอนการเรมท างานของระบบ และคมอการปฏบตงานอนๆ 13.3 ตารางการปฏบตงาน 13.4 การประมวลผลนอกเหนอจากตารางการปฏบตงาน 13.5 ความตอเนองของการประมวลผล 13.6 การบนทกเหตการณการปฏบตงาน 13.7 การปองกนเอกสารและอปกรณทส าคญ 13.8 การปฏบตงานระยะไกล

2.6.4 การตดตามผล (M : Monitoring) กระบวนการดานเทคโนโลยสารสนเทศทงหมดจะตองไดรบการประเมนเปนประจ า

เมอเวลาผานไป เพอรบประกนไดถงคณภาพและการปฏบตตามขอบงคบดานการควบคม โดเมนนจงเปนการระบถงการก ากบดแลการด าเนนงานโดยผบรหารในดานกระบวนการควบคมขององคกร และประเมนโดยหนวยงานอสระทงจากผตรวจสอบภายในและภายนอก หรอจากแหลงทางเลอกอน ดงนน การตดตามผล (M : Monitoring) จะประกอบดวย

M1 การตดตามกระบวนการท างาน (Monitor the Processes) เพอใหมนใจวากจกรรมดาน IT สามารถบรรลเปาหมายการปฏบตงานตามทก าหนด 1.1 การรวบรวมขอมล 1.2 การประเมนประสทธภาพการปฏบตงาน 1.3 การประเมนความพงพอใจของผรบบรการ 1.4 การรายงานส าหรบผบรหาร

M2 การประเมนความเพยงพอของการควบคมภายใน (Assess Internal Control Adequacy) เพอใหมนใจวาเปาหมายของการควบคมภายในของกจกรรมดาน IT สามารถบรรลไดตามทก าหนด 2.1 การตดตามการควบคมภายใน 2.2 ระยะเวลาการปฏบตงานของการควบคมภายใน 2.3 การจดล าดบการรายงานการควบคมภายใน

DPU

38

2.4 ความนาเชอถอในความปลอดภยของการท างาน และการควบคมภายใน M3 การรบรองความเปนอสระ (Obtain Independent Assurance) เพอเพมความมนใจ และการไววางใจระหวางองคกร ผใช และ Third-Party 3.1 การเปนอสระในการรบรองความปลอดภยและการควบคมภายในของการใหบรการดานเทคโนโลยสารสนเทศ 3.2 การรบรองความปลอดภย และการควบคมภายในของการใหบรการทรบรองจากบคคลภายนอก 3.3 ความเปนอสระในการประเมนประสทธภาพ/ประสทธผลของการบรการดานเทคโนโลยสารสนเทศ 3.4 ความเปนอสระในการประเมนประสทธภาพ/ประสทธผลของการใหบรการจากบคคลภายนอก 3.5 ความเปนอสระในการรบรองการปฏบตตามกฎหมาย ระเบยบขอบงคบ และขอตกลงทก าหนดไว 3.6 ความเปนอสระในการรบรองการปฏบตตามกฎหมาย ระเบยบขอบงคบ และขอตกลงทก าหนดไวกบผใหบรการภายนอก 3.7 ความรความสามารถในการท าหนาทรบรองอยางเปนอสระ 3.8 การมสวนรวมของการตรวจสอบ M4 ความเปนอสระในการตรวจสอบ (Provide for Independent Audit) เพอเพมระดบความมนใจและประโยชนจากผเชยวชาญในวธการปฏบตทด 4.1 กฎบตรการตรวจสอบ 4.2 ความเปนอสระ 4.3 จรรยาบรรณและมาตรฐานวชาชพ 4.4 ความรความสามารถของผตรวจสอบ 4.5 การวางแผน 4.6 การปฏบตงานตรวจสอบ 4.7 การรายงาน 4.8 การตดตามผล

ทงน ในแตละหวขอของวตถประสงคการควบคม มาตรฐาน COBIT แสดงถงความสมพนธตอปจจย 2 ประการ ไดแก คณภาพของระบบขอมล (Information Criteria) และทรพยากรดานเทคโนโลย (IT Resources)

DPU

39

2.6.5 ประเดนการตรวจสอบ การก าหนดประเดนการตรวจสอบ จะตองผานการประเมนความเสยงตามกรอบของ COBIT เพอพจารณาถงจดทมความเสยงสง และควรจะไดรบการตรวจสอบ สมมตจากการประเมนความเสยงตามกรอบของ COBIT และสามารถก าหนดประเดนการตรวจสอบแลว จะสามารถแบงประเภทการตรวจสอบเปน 3 ประเภทใหญ ๆ ไดแก 1. การตรวจสอบทวไป อาทเชน - PO4 การจดโครงสรางองคกรดานเทคโนโลยสารสนเทศและความสมพนธ กบหนวยงานอน - PO6 การสอสารเปาหมายและทศทางภายในองคกร

- P07 การจดการทรพยากรมนษย - P09 การประเมนความเสยง - P011 การจดการคณภาพ - AI3 การจดหาและบ ารงรกษาโครงสรางพนฐานดานเทคโนโลย - AI4 ระเบยบปฏบตในการพฒนาและบ ารงรกษา - DS5 การรกษาความปลอดภยระบบ - DS6 การก าหนดและจดสรรตนทน - DS8 การใหความชวยเหลอและค าแนะน าแกผใชระบบงานในองคกร - DS10 การจดการปญหาและเหตการณทเกดขน - M1 การตดตามกระบวนการท างาน - M4 ความเปนอสระในการตรวจสอบ 2. การตรวจสอบระบบงานประยกต อาทเชน - AI2 การจดหาและบ ารงรกษาซอฟทแวรประยกต 3. การตรวจสอบฐานขอมล อาทเชน - DS11 การจดการขอมล

DPU

40

2.7 การควบคมระบบสารสนเทศ (สมาคมผตรวจสอบภายในแหงประเทศไทย, 2548) การควบคมระบบสารสนเทศ ประกอบดวย กรอบการควบคม การวางแผน การ

ปฏบตงานตรวจสอบ และการรายงาน โดยมรายละเอยดดงตอไปน 2.7.1 กรอบการควบคม (Controls Framework)

ตามค านยามของ COBIT การควบคม หมายถง นโยบาย ขนตอนการปฏบตงาน วธการปฏบตและโครงสรางองคกร ทออกแบบมาเพอใหเกดความเชอมนอยางสมเหตสมผลวา การด าเนนธรกจจะบรรลเปาหมายทวางไว และเหตการณทไมพงประสงคจะไดรบการปองกนหรอตรวจพบและแกไข ในแตละการตรวจสอบระบบสารสนเทศ ผตรวจสอบตองจ าแนกความแตกตางระหวางการควบคมทวไปซงมผลกระทบตอระบบสารสนเทศและการปฏบตงานโดยรวม(สภาพแวดลอมของการควบคมระบบสารสนเทศ) (Pervasive IS Controls) กบ การควบคมในระดบทเฉพาะเจาะจง (การควบคมระบบสารสนเทศในรายละเอยด (Detailed IS Controls)) ซงมงเนนการตรวจสอบพนทเสยงทมความเกยวของกบวตถประสงคของการตรวจสอบ กรอบการควบคมทจะกลาวถงดงตอไปน จะชวยผตรวจสอบในการบรรลการด าเนนการดงกลาว

สภาพแวดลอมของการควบคมระบบสารสนเทศ (Pervasive IS Controls) ไดแก การควบคมส าหรบกระบวนการทางดานระบบสารสนเทศ ตามทนยามไวใน ขอก าหนดการวางแผน การจดการ และการตดตามของ COBIT ตวอยางเชน PO1 การจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ และ M1 การตดตามประเมนกระบวนการท างาน สภาพแวดลอมของการควบคมระบบสารสนเทศ เปนกระบวนการยอยของการควบคมทวไป ซงเนนเรองการบรหารจดการและการเฝาตดตามประเมนระบบสารสนเทศ

ผลกระทบของสภาพแวดลอมของการควบคมระบบสารสนเทศ ไมไดจ ากดผลอยเพยงการกอใหเกดความนาเชอถอการควบคมเฉพาะระบบงานในระบบการเงนเทานน แตยงสงผลใหเกดความเชอมนของการควบคมระบบสารสนเทศในรายละเอยดในเรองตางๆ เชน การพฒนาโปรแกรม การน าระบบงานมาใช การจดการดานความปลอดภย ตลอดจนกระบวนการส ารองขอมล

ระบบสารสนเทศทมการบรหารและเฝาตดตามทออนแอ (สภาพแวดลอมของการควบคมระบบสารสนเทศทออนแอ) เปนสญญาณเตอนผตรวจสอบถงความเสยงสงทการควบคมซงไดออกแบบใหท างานในระดบรายละเอยดอาจจะไมมประสทธผล

การควบคมระบบสารสนเทศในรายละเอยด (Detailed IS Controls) ประกอบดวยการควบคมระบบงาน รวมถงการควบคมทวไปทไมรวมอยใน สภาพแวดลอมของการควบคมระบบสารสนเทศ ซงตามกรอบงาน COBIT แลว การควบคมระบบสารสนเทศในรายละเอยด คอ การ

DPU

41

ควบคมทครอบคลมถงการจดหา การน ามาใช การสงมอบและการสนบสนนระบบสารสนเทศและการบรการ ตวอยางไดแกการควบคมในเรอง การน าโปรแกรมส า เรจรปมาใช การต งคาพารามเตอรทเกยวกบระบบความปลอดภยของระบบ การวางแผนก พบตภย การตรวจสอบความถกตองของขอมลเขา การออกรายงานแสดงรายการทผดปกต การลอกบญชผใชงานเมอมการใชความพยายามอยางไมถกตองทจะเขาสระบบ

การควบคมระบบงาน (Application Control) เปนสวนหนงของการควบคมระบบสารสนเทศในรายละเอยด เชน การตรวจสอบความถกตองของขอมลเขา เปนทงการควบคมระบบสารสนเทศในรายละเอยด และการควบคมระบบงาน สวนการตดตงและการตรวจรบการท างานของระบบ (AI5) เปนการควบคมระบบสารสนเทศในรายละเอยด แตไมใชการควบคมระบบงาน

ความสมพนธระหวางการควบคมระบบสารสนเทศประเภทตาง ๆ แสดงใหเหนไดดงตอไปน

- การควบคมระบบสารสนเทศ (IS Controls) - การควบคมทวไป (General Controls) - สภาพแวดลอมของการควบคมระบบสารสนเทศ (Pervasive IS controls) - การควบคมระบบสารสนเทศในรายละเอยด (Detailed IS controls) - การควบคมระบบงาน (Application controls) ดงนน ผตรวจสอบควรพจารณาถงผลกระทบตอขอบเขตและกระบวนการตรวจสอบ

หากไมมการควบคมระบบสารสนเทศ ผลกระทบระหวางกนของสภาพแวดลอมและการควบคมระบบสารสนเทศใน

รายละเอยด (Interaction of Pervasive and Detailed IS Controls) กรอบงาน COBIT จดแบงกระบวนการควบคมระบบสารสนเทศ 4 กลม (โดเมน : Domains) คอ การวางแผนและจดองคกร (Planning and Organization) การจดหาและการน าระบบออกใชงาน (Acquisition and Implementation) การสงมอบและการสนบสนน (Delivery and Support) และ การตดตามประเมนผล (Monitoring)

ความมประสทธผลของการควบคมกระบวนการวางแผนและจดองคกร (PO) และการตดตามประเมนผล (M) มผลตอความมประสทธผลของการควบคมในกระบวนการจดหาและการน าระบบออกใชงาน (AI) และ การจดสงและการสนบสนน(DS) การทฝายจดการมกระบวนการวางแผน จดองคกร และตดตามประเมนผลไมเพยงพอจะเปนผลใหการควบคมเกยวกบการจดหา การน าระบบออกใชงานและ การใหบรการและการสนบสนนไมมประสทธผลไปดวย ในทาง

DPU

42

ตรงกนขามการวางแผน การจดองคกร และการเฝาระวงทเขมแขงสามารถแสดงและแกไขจดออนของการควบคมเกยวกบการจดหา การน าระบบออกใชงาน การสงมอบและการสนบสนน

ตวอยางเชน ประสทธผลของการควบคมระบบสารสนเทศในรายละเอยดเกยวกบกระบวนการทไดมาและบ ารงรกษาซอฟทแวรระบบงานประยกต (อางองถงกระบวนการ AI2 ของ COBIT) จะไดรบผลกระทบจากความเพยงพอของสภาพแวดลอมของการควบคมระบบสารสนเทศตอกระบวนการ ดงตอไปน - การก าหนดแผนกลยทธดานเทคโนโลยสารสนเทศ (อางองถงกระบวนการ PO ของCOBIT) - การจดการโครงการ (อางองถงกระบวนการ PO10 ของ COBIT) - การจดการคณภาพ (อางองถงกระบวนการ PO11 ของ COBIT) - การตดตามประเมนผลกระบวนการ (อางองถงกระบวนการ M1 ของ COBIT)

การตรวจสอบการจดหาระบบงานประยกต ควรรวมถงการระบผลกระทบตอกลยทธระบบสารสนเทศ วธการบรหารจดการโครงการ การบรหารจดการคณภาพ และวธการในการตดตามประเมนผล ในกรณตวอยางเชน การบรหารจดการโครงการไมเพยงพอ ผตรวจสอบควรพจารณาดงน

- ท าการตรวจสอบเพมเตมเพอใหเชอมนไดวา โครงการนนๆ มการบรหารจดการไดอยางมประสทธผล

- รายงานจดออนของสภาพแวดลอมของการควบคมระบบสารสนเทศตอฝายบรหารตวอยางเพมเตม ไดแก ประสทธผลของการควบคมระบบสารสนเทศโดยละเอยดตอกระบวนการความมนใจในความมนคงของระบบ(Ensure Systems Security)(COBIT อางองในกระบวนการ DS5)ใหไดผลนน ขนอยกบความเพยงพอของสภาพแวดลอมของการควบคมระบบสารสนเทศตอกระบวนการดงตอไปน

- การก าหนดเทคโนโลยสารสนเทศขององคกรและความสมพนธ (อางองถงกระบวนการ PO4 ของ COBIT)

- การสอสารเปาหมายและทศทางการจดการ (COBIT อางองในกระบวนการPO6) - การประเมนความเสยง (อางองถงกระบวนการ PO9 ของ COBIT) - การตดตามประเมนผลกระบวนการ (อางองถงกระบวนการ M1 ของ COBIT)

การตรวจสอบความเพยงพอของคาพารามเตอรความปลอดภยทก าหนดในระบบหนง ๆ เชน UNIX, Windows NT, RACF ควรรวมถงการพจารณานโยบายการการรกษาความปลอดภยของผบรหาร (PO6) การแบงความรบผดชอบดานการรกษาความปลอดภย (PO4) ขนตอนการ

DPU

43

ประเมนความเสยง (PO9) และขนตอนตดตามประเมนผลการปฏบตตามนโยบายการรกษาความปลอดภย (M1) แมในกรณทคาพารามเตอรทก าหนดไวไมเปนไปตามทผตรวจสอบเหนวาเปนการปฏบตทดทสด (best practice) กตาม ผลการประเมนอาจถอวาเพยงพอ เมอเหนวาฝายบรหารไดทราบความเสยงนน และฝายบรหารมนโยบายทจะจดการกบความเสยงดงกลาวแลว ขอเสนอแนะของการตรวจสอบควรมงเนนไปทการจดการความเสยงหรอนโยบาย เชนเดยวกนกบคาพารามเตอรในรายละเอยดเหลานน

2.7.2 การวางแผน (Planning) การตรวจสอบเกยวกบสภาพแวดลอมของการควบคมระบบสารสนเทศ (Approach to

Pervasive IS Controls) แนวทางการตรวจสอบเกยวกบการวางแผนการตรวจสอบระบบสารสนเทศก าหนดใหผตรวจสอบควรท าการประเมนเบองตนเกยวกบการควบคมของงานทจะตรวจสอบ การประเมนเบองตนนควรรวมการระบและประเมนทเกยวของกบสภาพแวดลอมของการควบคมระบบสารสนเทศการทดสอบสภาพแวดลอมของการควบคมระบบสารสนเทศอาจด าเนนการในรอบการตรวจสอบทแยกตางหากจากการตรวจสอบทปฏบตงานอย เนองจากสภาพของการควบคมนจะเกยวของกบการใชระบบสารสนเทศในหลายดาน ผตรวจสอบควรพจารณาวาการตรวจสอบในดานนทผานมา สามารถใหความเชอมนในการระบและประเมนการควบคมเหลานไดหรอไม ในกรณทการตรวจสอบแสดงวาสภาพแวดลอมของการควบคมระบบสารสนเทศไมเปนทนาพอใจ ผตรวจสอบควรพจารณาวาผลการตรวจพบนกระทบกบวธการทไดวางแผนไวเพอใหบรรลถงวตถประสงคของการตรวจสอบ

- สภาพแวดลอมของการควบคมระบบสารสนเทศทเขมแขง สามารถกอใหเกดความเชอมนทซงจะไดจากผตรวจสอบในการตรวจสอบการควบคมระบบสารสนเทศในรายละเอยด

- สภาพแวดลอมของการควบคมระบบสารสนเทศทออนแอ อาจมผลในทางลบตอการควบคมระบบสารสนเทศในรายละเอยดหรอเปนการกอใหเกดจดออนในระดบรายละเอยด

ขนตอนการปฏบตงานตรวจสอบทเพยงพอ ในกรณทสภาพแวดลอมของการควบคมระบบสารสนเทศมแนวโนมทจะสงผลกระทบทส าคญตอวตถประสงคของการตรวจสอบ การวางแผนตรวจสอบเพยงการควบคมในรายละเอยดไมเปนการเพยงพอ ในกรณทไมอาจเปนไปไดหรอไมสามารถท าการตรวจสอบสภาพแวดลอมของการควบคมระบบสารสนเทศได ผตรวจสอบจะตองรายงานขอจ ากดในขอบเขตการท างานดงกลาว และตองวางแผนเพอทดสอบสภาพแวดลอมของการควบคมระบบสารสนเทศทเกยวของเมอการควบคมเหลานมสวนชวยใหบรรลวตถประสงคการตรวจสอบ

DPU

44

การควบคมทเกยวของ สภาพแวดลอมของการควบคมระบบสารสนเทศทเกยวของหมายถง การควบคมทสงผลตอวตถประสงคการตรวจสอบเฉพาะทก าหนดขนส าหรบภารกจนน เชน กรณทวตถประสงคการตรวจสอบตองการรายงานการควบคมทเกยวของกบการเปลยนแปลงเฉพาะคลงโปรแกรม (program library) สภาพแวดลอมของการควบคมระบบสารสนเทศทเกยวกบนโยบายรกษาความปลอดภย (PO6) จะถอวาเกยวของกน แตสภาพแวดลอมของการควบคมระบบสารสนเทศเกยวกบการก าหนดทศทางเทคโนโลย (PO3) อาจไมเกยวของกน ในการวางแผนการตรวจสอบ ผตรวจสอบตองระบวาประชากรกลมใดของสภาพแวดลอมของการควบคมระบบสารสนเทศ มผลกระทบตอวตถประสงคการตรวจสอบทวางไวเปนการเฉพาะ และตองวางแผนทจะน าเขามารวมในขอบเขตการตรวจสอบ วตถประสงคในการควบคมของ COBIT ส าหรบการวางแผน การจดการ และการตดตาม อาจชวยผ ตรวจสอบระบบสารสนเทศในการระบสภาพแวดลอมของการควบคมระบบสารสนเทศทเกยวของ

หลกฐานการตรวจสอบ สภาพแวดลอมของการควบคมระบบสารสนเทศอาจไมจ าเปนทจะตองจดท าเปนเอกสาร แตผตรวจสอบตองวางแผนหาหลกฐานการตรวจสอบวาการควบคมทเกยวของไดด าเนนการไปอยางมประสทธผล แนวทางการทดสอบมระบไวในสวนของการปฏบตงานตรวจสอบ(Performance of Audit Work) การตรวจสอบเกยวกบการควบคมระบบสารสนเทศในรายละเอยด (Approach to Relevant Detailed IS Controls) กรณทผลการตรวจสอบแสดงวาสภาพแวดลอมการควบคมระบบสารสนเทศเปนทนาพอใจ ผตรวจสอบควรพจารณาลดระดบการทดสอบการควบคมระบบสารสนเทศในรายละเอยด ทวางแผนไว เนองจากหลกฐานการตรวจสอบของสภาพแวดลอมการควบคมระบบสารสนเทศทเขมแขง สงผลตอความเชอมนท ผตรวจสอบอาจไดรบจากการตรวจสอบการควบคมระบบสารสนเทศในรายละเอยด แตในกรณทผลการตรวจสอบระบบสารสนเทศแสดงวาสภาพแวดลอมการควบคมระบบสารสนเทศไมเปนทนาพอใจ ผตรวจสอบควรด าเนนการทดสอบการควบคมระบบสารสนเทศในรายละเอยด อยางเพยงพอ เพอใหมหลกฐานการตรวจสอบทเชอวาการควบคมระบบสารสนเทศในรายละเอยด ยงมประสทธผลอย ถงแมสภาพแวดลอมการควบคมระบบสารสนเทศทเกยวของยงมจดออนอย

2.7.3 การปฏบตงานตรวจสอบ (Performance of Audit Work) การทดสอบสภาพแวดลอมการควบคมระบบสารสนเทศ ผตรวจสอบควรด าเนนการทดสอบเพยงพอเพอใหเกดความเชอมนวาสภาพแวดลอมการควบคมระบบสารสนเทศทเกยวของเปนไปอยางมประสทธผล ในชวงทตรวจสอบหรอในชวงเวลาใดเวลาหนง ขนตอนการทดสอบอาจรวมถง การสงเกต การสอบถามหาหลกฐานสนบสนน การสอบทานเอกสารทเกยวของ

DPU

45

(นโยบาย มาตรฐาน รายงานการประชม ฯลฯ) การปฏบตซ า (Re-performance) (เชน เทคนคการตรวจสอบโดยใชคอมพวเตอรชวย (CAAT)) หากการทดสอบ สภาพแวดลอมการควบคมระบบสารสนเทศทเกยวของ มผลเปนทนาพอใจ ผตรวจสอบควรปฏบตตามแผนการตรวจสอบการควบคมระบบสารสนเทศในรายละเอยดทเกยวของกบวตถประสงคการตรวจสอบตอไป โดยการทดสอบอาจจะลดระดบลงกวาการทดสอบในกรณทสภาพแวดลอมการควบคมระบบสารสนเทศมผลไมเปนทนาพอใจ

2.7.4 การรายงาน (Reporting) จดออนของสภาพแวดลอมการควบคมระบบสารสนเทศ ในกรณทผตรวจสอบระบถงจดออนทพบในสภาพแวดลอมการควบคมระบบสารสนเทศ ผตรวจสอบควรรายงานตอฝายบรหารเพอใหความสนใจ แมวางานในสวนนจะไมไดก าหนดไวในขอบเขตการตรวจสอบกตาม

ในกรณทสภาพแวดลอมการควบคมระบบสารสนเทศ อาจสงผลกระทบอยางมนยส าคญตอประสทธผลของการควบคมระบบสารสนเทศในรายละเอยด และยงไมมการตรวจสอบสภาพแวดลอมการควบคมระบบสารสนเทศ ผตรวจสอบควรรายงานเรองดงกลาวตอฝายบรหารโดยระบไวในรายงานการตรวจสอบขนสดทาย พรอมระบผลทอาจกระทบจากขอตรวจพบดงกลาว ขอสรป และขอเสนอแนะ เชน เมอผตรวจสอบออกรายงานการตรวจสอบการจดซอโปรแกรมส าเรจรป แตไมพบวาองคกรมแผนกลยทธทางดานระบบสารสนเทศ ดงนน รายงานการตรวจสอบควรระบดวยวา องคกรไมไดจดท าแผนกลยทธดานระบบสารสนเทศไวใหพรอมใชงานหรอองคกรไมมแผนกลยทธดงกลาว และผตรวจสอบควรรายงานผลทอาจเกดจากขอตรวจพบ ขอสรป และขอเสนอแนะ เชน ขอความทวา ดงนนไมอาจจะกลาวไดวาการจดซอโปรแกรมส าเรจรปเปนไปตามแผนกลยทธดานระบบสารสนเทศและจะเปนการสนบสนนแผนการด าเนนธรกจในอนาคตหรอไม 2.8 งานวจยทเกยวของ กฤษฎา แกวผดผอง (2551) ศกษาเรอง ระบบตนแบบการจดการความเสยงส าหรบทรพยสนสารสนเทศในองคกร ตามมาตรฐานสากล BS 7799 กรณศกษา : ส านกหอสมด มหาวทยาลยมหดล ซงมาตรฐาน BS7799 (Britist Standard) หรอมาตรฐานสากล ISO/IEC 17799:2005 และ ISO/IEC27001 มงเนนดานการศกษาความมนคงปลอดภยใหกบระบบสารสนเทศขององคกร โดยแบงเนอหาออกเปน 11 หวขอหลก (Domain) ซงแตละหวขอประกอบดวยวตถประสงคทแตกตางกน รวมทงสน 39 วตถประสงค (Control objectives) และภายใตวตถประสงคแตละขอประกอบดวยมาตรการในการรกษาความปลอดภยทแตกตางกน รวมจ านวน 133 ขอ (Controls)

DPU

46

มาตรฐาน ISO/IEC27001 เปนเรองของขอก าหนดในการจดท าระบบบรหารจดการความมนคงปลอดภยใหกบองคกร และใชเปนแนวทางการประเมนความเสยงมาประกอบการพจารณาหาวธการหรอมาตรการเพอปองกน ลดความเสยง และรกษาทรพยสนสารสนเทศทมคาขององคกรใหมความมนคงปลอดภยในระดบทเหมาะสม รวมไปถงการรกษาความปลอดภยของขอมลซงเปนสวนส าคญสวนหนงในการบรหารหนวยงานใหเปนไปอยางมประสทธภาพ อนจะน าไปสความปลอดภยในหนวยงาน ทงน มการจดท ากระบวนการจดการประเมนความเสยง เพอศกษาถงปญหาหรอภยคกคามในรปแบบตาง ๆ ทกอใหเกดความเสยหายตอทรพยสนดานสารสนเทศขององคกร ซงมการจดหมวดหมของทรพยสนออกเปน 5 หมวดคอ อปกรณคอมพวเตอร (Hardware) โปรแกรม (Software) บคลากร (People) ขอมล (Information) และงานบรการ (Service) เพอท าการค านวณหาคาความเสยงทเกดขนในทรพยสนนน ๆ แลวจดระดบของความเสยง รวมไปถงการศกษาเพอคนหาถงจดออนของตวขอมลและทรพยสนนน ๆ ซงเปนสาเหตทกอใหเกดปญหาและภยคกคาม เพอน าความเสยงทเกนระดบทองคกรสามารถยอมรบไดไปด าเนนการควบคมและแกไขความเสยงโดยการออกเปนมาตรการปองกนเพอใหบคลากรในหนวยงานปฏบตตาม รวมทงยงเปนการก าหนดรปแบบการรบมอในเรองความปลอดภยไดอยางมระบบและมประสทธภาพ นอกจากน การพฒนาระบบตนแบบการจดการความเสยงส าหรบทรพยสนสารสนเทศในองคกร สามารถชวยในการเผยแพรขอมลใหผใชงานทราบถงแนวทางในการจดท าการบรหารความเสยงส าหรบทรพยสนสารสนเทศภายในองคกร กระบวนการจดการประเมนความเสยง ผใชงานยงทราบถงชองโหว ภยคกคาม ระดบของความเสยงทเกดขนตอทรพยสนในประเภทตาง ๆ รวมไปถงแนวทางการปองกน และสามารถคนหาทรพยสนทผ ใชตองการทราบถงรายละเอยดในการจดท าการบรหารความเสยงส าหรบทรพยสนนนแลวเชอมโยงไปยงขอมลเหลานนได และแสดงรายงาการจดระดบความเสยงของทรพยสนใหผใชไดทราบ อกทงยงเปนการสรางความมนใจในการตดตอสอสารระหวางหนวยงานใหมความมนคงปลอดภยในระดบทสงขนดวย เบญจมาศ ฮะยม (2549) ศกษาเรอง การศกษาการควบคมภายในโดยการประเมนตนเอง (Control Self – Assessment : CSA) โดยการวจยครงนเพอศกษาขอมลพนฐานในเรองการจดวางระบบควบคมภายในดานเทคโนโลยสารสนเทศ ระดบอดมศกษาท งภาครฐบาลและเอกชนวามวธการ รปแบบปฏบตอยางไร ทงนตองสอดคลองกบนโยบาย ระเบยบวธปฏบตของการควบคมภายในโดยตองมการบรหารความเสยงทเหมาะสม โดยมวตถประสงคเพอศกษานโยบายทเกยวของกบการบรหารเทคโนโลยสารสนเทศของสถาบนอดมศกษา การจดวางระบบการควบคมภายในดานเทคโนโลยสารสนเทศโดยการประเมนตนเอง (Control Self-Assessment : CSA) ของสถาบนอดมศกษา รปแบบการบรหารความเสยงและประเมนความเสยงดานเทคโนโลยสารสนเทศ

DPU

47

ของสถาบนอดมศกษาในปจจบน และเสนอแนะการจดวางระบบการควบคมภายในดานเทคโนโลยสารสนเทศโดยการประเมนตนเอง (Control Self-Assessment : CSA) ของสถาบนอดมศกษาในอนาคต การศกษาครงนไดรวบรวมทฤษฎและหลกการเกยวกบการตรวจสอบภายในเทคโนโลยสารสนเทศ การควบคมภายในโดยการประเมนตนเอง (Control Self – Assessment : CSA) ดานเทคโนโลยสารสนเทศ, Balanced Scorecard (BSC), Key Performance Indicators (KPIs), การประเมน Measurement, Knowledge Management และ Infromation Technology Program โดยงานวจยนไดกลาวถงแนวทางการตรวจสอบเทคโนโลยสารสนเทศไววา จากกระบวนการ COBIT เปนรายละเอยดส าคญทจะตองปฏบตตามและเปนสวนหนงของระบบควบคมภายใน โดยสวนทส าคญคอกระบวนการประเมนความเสยงจากการควบคมในระบบควบคมภายในทางดานคอมพวเตอร เชนเดยวกบระบบควบคมภายในดวยมอ ดงนน กระบวนการประเมนความเสยงจากการควบคมดานคอมพวเตอรประกอบดวย 1. พจารณาความรทไดรบจากการศกษาท าความเขาใจเกยวกบเทคโนโลยสารสนเทศและการควบคมภายใน 2. ระบขอผดพลาดทอาจเกดข นในระบบสารสนเทศ และระบบควบคมภายใน 3. ระบวธการควบคมภายในทจ าเปนเพอปองกน คนหา หรอแกไขขอผดพลาดเหลานน 4. ปฏบตการทดสอบการควบคม 5. ประเมนหลกฐานการตรวจสอบเทคโนโลยสารสนเทศและประเมนผล พมพกมล ศรสวสด (2551) ศกษาเรอง การประเมนความเสยงจากการใชเทคโนโลยสารสนเทศดวย Cobit เปนการศกษาคนควาอสระดวยตนเองโดยเปนการศกษากระบวนการประเมนความเสยงจากการใชเทคโนโลยสารสนเทศ เปนการท าความเขาใจและวเคราะหเปาหมาย ความเสยง และการควบคมภายในขององคกร แลวน าผลทไดมาพจารณาประเมนระดบความเสยงและการควบคมทวไปทางดานเทคโนโลยสารสนเทศ ส าหรบใชเปนขอมลในการจดท ารายงานและสรปผล เพอวางแผนโครงการบรหารจดการเทคโนโลยสารสนเทศในองคกรตอไป โดยในการศกษาคนควาอสระนไดใชกระบวนการประเมนความเสยงจากการใชเทคโนโลยสารสนเทศ ซงอางองตามมาตรฐาน Cobit (Control Objective for Information and Related Technology) ของสมาคมผ ตรวจสอบและควบคมสารสนเทศ (Information System Audit and Control Association (ISACA)) งานวจยครงนไดรวบรวมทฤษฎและหลกการเกยวกบการประเมนความเสยงดานเทคโนโลยสารสนเทศ , กรอบงานโคบต (Cobit Framework) โดยมขนตอนส าคญดงน 1. การประเมนความเสยงดานเทคโนโลยสารสนเทศ (Risk Analysis) จะมการก าหนดหรอบงชความเสยงดานเทคโนโลยสารสนเทศ การก าหนดปจจยทใชในการประเมนระดบความเสยง

DPU

48

ดานเทคโนโลยสารสนเทศ ผลการประเมนปจจยทมผลตอความเสยงดานเทคโนโลยสารสนเทศ ผลการประเมนความเสยงดานเทคโนโลยสารสนเทศ และสรปผลการประเมนความเสยงดานเทคโนโลยสารสนเทศ 2. การประเมนการควบคมภายใน จะมการก าหนดเกณฑทใชประเมนระดบการควบคมภายในดานเทคโนโลยสารสนเทศ ขนตอนการประเมนการควบคมภายในเทคโนยสารสนเทศ สรปผลการประเมนการควบคมภายในดานเทคโนโลยสารสนเทศ และการสรปภาพรวมของระดบการควบคมภายในเทคโนโลยสารสนเทศ 3. การรายงานผลตางของระดบความเสยงกบการควบคมภายใน (Gap Analysis Report) ซงเปนการพจารณาเปรยบเทยบถงผลตางระหวางระดบความเสยงกบการควบคมภายในเทคโนโลยสารสนเทศ ซงถอเปนขนตอนส าคญทใชในการบงชถงระดบความเสยงทยงคงเหลออย เนองจากมระดบการควบคมภายในทยงไมครอบคลมความเสยงทมอยในปจจบน เพอใหผบรหารรบทราบและพจารณาปรบปรงการควบคมภายในดานตางๆ ใหเหมาะสมกบระดบความเสยง ทอาจสงผลกระทบรนแรงตอความสามารถในการบรรลเปาหมายขององคกร โดยการอางองขอมลจากรายงานผลการประเมนความเสยงดานเทคโนโลยสารสนเทศ และรายงานผลการประเมนการควบคมภายในเทคโนโลยสารสนเทศ เพอน าขอมลมาเปรยบเทยบวเคราะห 4. รายงานสรปผล (Summary Report) เปนขนตอนของการน าผลลพธทไดจากการวเคราะหผลตางของระดบความเสยง กบการควบคมภายในเทคโนโลยสารสนเทศ มาจดประชมเพอสรปผลและน าเสนอกจกรรมการควบคมภายในสารสนเทศทควรปรบปรงและพฒนา ใหถอปฏบตเปนมาตรฐานการควบคมภายในขององคกรประกอบดวยการด าเนนการตามขนตอนดงตอไปน

4.1 น าเสนอกระบวนการควบคมภายในทยงไมไดรบการจดการควบคมอยางเพยงพอ 4.2 จดล าดบความส าคญของการควบคมภายในทไมเพยงพอตอการจดการความเสยง 4.3 จดท าตารางเวลาในการด าเนนโครงการบรหารจดการเทคโนโลยสารสนเทศตาม

ล าดบความส าคญ จตพล จตรพงษ (2548) ศกษาเรอง การตรวจสอบระบบสารสนเทศเพอประสทธผลโดยรวมขององคกร ดานซอฟตแวรและฮารดแวร เปนการศกษาคนควาอสระดวยตนเองโดยมวตถประสงคในการศกษาและหาแนวทางในการตรวจสอบระบบสารสนเทศในองคกรทางดานฮารดแวรและซอฟตแวร ตลอดจนการน าฮารดแวรและซอฟตแวรไปใชใหเกดประโยชนสงสดดานประสทธภาพ (efficiency) และประสทธผล (Effectiveness) เพอใหองคกร สามารถน าแนวทางการปฏบตงานและแบบแผนการก ากบดแลทดของกระบวนการปฏบตงานดานสารสนเทศทเกดจากการคนควานไปประยกตใชในองคกรไดโดยงายและรวดเรว ท าใหระบบสารสนเทศภายในองคกรม

DPU

49

ประสทธภาพและประสทธผลมากขน และองคกรตางๆในประเทศมแนวทางในการตรวจสอบไปในทศทางเดยวกน สามารถน าผลลพธทไดจากการประเมนการใชงานระบบสารสนเทศภายในองคกรมาเปรยบเทยบและประเมนศกยภาพ โดยรวมของการใชงานระบบสารสนเทศภายในองคกร และสามารถสรางบรรทดฐานส าหรบอางองใหองคกรตางๆใชเปรยบเทยบและอางอง เพอการปรบปรงและพฒนาระบบสารสนเทศภายในองคกรอยางมประสทธภาพและประสทธพลตอไปไดทงน การศกษานไดรวบรวมทฤษฎและหลกการส าหรบการตรวจสอบทางดานฮารดแวรและซอฟตแวร การประเมนความเสยง และ กรอบงานส าหรบการตรวจสอบคณภาพของระบบสารสนเทศ ซงประกอบดวย TCO (Total Cost of Ownership) ซงไดรบการพจารณาและไดรบการยอมรบใหเปนมาตรฐานเพอทจะประเมนตนทนรวม , ITIL (Information Technology Infrastructure Library) เปนโมเดลทเหมาะส าหรบน าไปใชงานกบองคกรทเปนผใหบรการทางดานสารสนเทศ (Service Information Technology), CMM (Capability Maturity Model) ซงเปนตนแบบของการวดวฒภาวะความสามารถในการท างาน ททางสถาบน Software Engineering Institute (SEI) แหงมหาวทยาลย คารเนก เมลลอน ไดพฒนาขน, COBIT (Control Objectives for Information and related Technology) ซงก าหนดโดย Information Systems Audit and Control Foundation (ISACF) ซงเปนองคกรภายใตสมาคมการตรวจสอบและการควบคมระบบสารสนเทศ (ISACA) ซง COBIT Framework เปนกรอบทสามารถใชในการบรหารและจดการเทคโนโลยสารสนเทศ, Six Sigma ซงมแนวคดหลกคอการลดความแปรปรวนของกระบวนการทอาจเปนสาเหตของปญหาคณภาพ, ISO 9000 มาตรฐานระบบการบรหารงานซงเปนมาตรฐานระบบการบรหารงานขององคกร โดยมงเนนดานคณภาพทประเทศตาง ๆ ทวโลกใหการยอมรบและน าไปใชอยางแพรหลาย ก าหนดข นโดยองคการระหวางประเทศวาดวยการมาตรฐาน (International Organization for Standardization - ISO), Malcolm Baldrige (ส านกมาตรฐานและประเมนผลอดมศกษา, 2547) เปนกรอบของเกณฑในการด าเนนการเพอสรางความตระหนกเรองความส าคญของคณภาพและการท าใหมผลการด าเนนงานทเปนเลศเพอเพมศกยภาพในการแขงขน ตลอดจน วธการในการประเมนผลการปฏบตงานในรปแบบ Balance Scorecard (BSC) อรพรรณ เชาวสวรรณกจ (2549) ศกษาเรอง การพฒนาโมเดลและเครองมอส าหรบการตรวจประเมนทรพยากรสารสนเทศ ส าหรบการบรหารจดการขอมลทด ซงมวตถประสงคเพอศกษากระบวนการตรวจประเมนทรพยากรสารสนเทศ และออกแบบระบบส าหรบการตรวจประเมนระบบสารสนเทศในรปแบบโปรแกรมประยกตเชงเวบ โดยอาศยมาตรฐานการควบคมเทคโนโลยสารสนเทศและการบรหารจดการคณภาพแบบเบดเสรจ ในการพฒนาโมเดลและเครองมอใหมประสทธภาพ ซงผลทไดจากการศกษาคอกระบวนการและเครองมอส าหรบการ

DPU

50

ตรวจประเมนทมคณภาพ (Quality Checklist) การศกษาครงนไดรวบรวมทฤษฎและหลกการเกยวกบมาตรฐานการควบคมเทคโนโลยสารสนเทศ ไดแก COSO Framework และ COBIT Framework หลกการของ Total Quality Management (TQM) หลกการของ Total Data Quality Management (TDQM) ซงเมอน าทฤษฎของ TDQM และทฤษฎการตรวจสอบและการควบคมสารสนเทศมาประยกตรวมกน จะท าใหเกดแนวทางการตรวจสอบและการควบคมสารสนเทศเพอใหไดขอมลทดและมคณภาพมากทสด โดยสามารถปฏบตเปนวฏจกร เพอใหเกดการมคณภาพของขอมลตลอดเวลา นอกจากน ผศกษายงไดรวบรวมทฤษฎส าหรบการสรางเครองมอในการตรวจสอบระบบสารสนเทศ (Checklist) ไดแก หลกการตงค าถาม หลกการสมภาษณ การสงเกต การเลอกผถกสมภาษณ เครองมอการจดการความร ตลอดจนเทคโนโลยส าหรบการพฒนาโปรแกรมประยกตเชงเวบ (Web based Application) รวมถงการออกแบบการจดเกบฐานขอมล

DPU

บทท 3

ระเบยบวธวจย

3.1 ขนตอนการด าเนนการวจย

ขนตอนการด าเนนการวจย มดงตอไปน 1. ศกษาทฤษฎทเกยวของและงานวจย 2. ศกษาเทคโนโลยสารสนเทศขององคกร 3. จดท าประเดนการตรวจสอบ 4. จดท าแนวการตรวจสอบส าหรบการตรวจสอบเทคโนโลยสารสนเทศ 5. น าแนวการตรวจสอบมาทดลองตรวจสอบเทคโนโลยสารสนเทศขององคกรในบาง

ประเดน

3.2 อปกรณและเครองมอทใชในการวจย 3.2.1 อปกรณฮารดแวรทจะน ามาใช

1. เครองไมโครคอมพวเตอร (Desktop) หรอ Labtop - หนวยความจ าหลกไมนอยกวา 512 MB - หนวยความจ าส ารองไมนอยกวา 40 GB

2. เครองคอมพวเตอรโนตบค - ระดบ Pentium M 1.73 Ghz - หนวยความจ า (RAM) 2 GB - ความจของฮารดดสก 60 GB - จอภาพขนาด 15 นว - เมาส และ แปนพมพ 3.2.2 ซอฟตแวรทจะน ามาใช

- MS-Windows XP - MS Office 2006 - Internet Explorer Version 6.0 or Higher

DPU

52

3.3 ระยะเวลาในการด าเนนการวจย ระยะเวลาในการด าเนนการวจย สรปไดดงตารางท 3.1 ตารางท 3.1 ระยะเวลาในการด าเนนการวจย

ขนตอน/ระยะเวลา (เดอน) 1 2 3 4 5 6 7 8 9 10 11 12

1. ศกษาทฤษฎทเกยวของและงานวจย

2. ศกษาเทคโนโลยสารสนเทศของ องคกร

3. จดท าประเดนการตรวจสอบ

4. จดท าแนวการตรวจสอบส าหรบการ ตรวจสอบเทคโนโลยสารสนเทศ

5. น าแนวการตรวจสอบมาทดลอง ตรวจสอบเทคโนโลยสารสนเทศ ขององคกรในบางประเดน

DPU

บทท 4

ผลการศกษา

เนอหาของบทนกลาวถง การศกษาเกยวกบการตรวจสอบระบบสารสนเทศ และการน า

มาตรฐานของ COBIT Framework มาประยกตในการจดท าแนวการตรวจสอบระบบเทคโนโลยสารสนเทศ โดยมรายละเอยดดงตอไปน

4.1 การศกษาเกยวกบการตรวจสอบสารสนเทศ เนองจากการตรวจสอบระบบเทคโนโลยสารสนเทศ เปนกระบวนการในการรวบรวมหลกฐานและประเมนหลกฐาน เพอแสดงความเหนเกยวกบความถกตอง เชอถอได การรกษาความปลอดภย การปฏบตงานไดอยางมประสทธภาพและประสทธผลตามวตถประสงคทก าหนด กระบวนการตรวจสอบระบบเทคโนโลยสารสนเทศ (อษณา ภทรมนตร, 2551) การตรวจสอบระบบเทคโนโลยสารสนเทศ จะประกอบดวยขนตอนตางๆโดยมรายละเอยดดงตอไปน 1. การวางแผนการตรวจ ซงจะแบงเปนการวางแผนการตรวจโดยรวม เชน การท าความเขาใจในเรองทตรวจ การประเมนความเสยง และการวางแผนงานตรวจสอบในรายละเอยด เชน การก าหนดโปรแกรมการตรวจสอบและเทคนควธการตรวจสอบ 2. การปฏบตงานรวบรวมหลกฐานตามแผนและโปรแกรมการตรวจสอบทก าหนด 3. การสรปผลและรายงานผลการตรวจ 4. การตดตามผลการตรวจ ทงน จากลกษณะการปฏบตงานขององคกรในปจจบนทเปลยนแปลงไปเมอองคกรมการใชคอมพวเตอรในการประมวลผลสารสนเทศ ท าใหเกดความเสยงและโอกาสในการตรวจสอบระบบเทคโนโลยสารสนเทศทใชคอมพวเตอรในภาพรวม ดงน 1. ความเสยงจากการขาดการแบงแยกหนาทในการปฏบตงาน มการรวมโปรแกรมและแฟมขอมลในทเดยวกน ท าใหผปฏบตงานคนเดยวอาจเขาถงโปรแกรม และท าการอนมตและบนทกขอมลในแฟมขอมลไดโดยคนเดยวกน

2. ความเสยงจากการขาดเอกสารน าเขาและไมมรอยรอยตดตามการบนทกทมองเหนไดดวยตา ท าใหยากตอการตรวจพบความผดพลาด

DPU

54

3. ความเสยงจากความผดพลาดของโปรแกรม 4. โอกาสในการเกดขอผดพลาดและรายการผดปกตมสง และคนพบยากกวาระบบมอ

เนองจากมรายละเอยดและปรมาณมาก 5. โอกาสการเขาถงโปรแกรมและแฟมขอมลโดยไมไดรบอนญาตมมากจากเทอรมนลหางไกล 6. การเกดรายการหรอการประมวลผลโดยอตโนมตดวยโปรแกรมทก าหนด จงตองมการควบคมในระหวางการพฒนาและเปลยนแปลงโปรแกรมอยางเพยงพอและมประสทธผลสง 7. การควบคมก ากบดแลโดยผบรหารและการควบคมสภาพแวดลอมของการควบคม มความส าคญกวาในระบบมอมาก เพราะมผลกระทบกวางตอทกระบบงาน การประเมนความเสยง การตรวจสอบระบบเทคโนโลยสารสนเทศ ควรจะตองตระหนกถงการเปลยนแปลงของความเสยง และการยดหยนในการปรบวธการตรวจสอบตามการเปลยนแปลงของความเสยง การประเมนความเสยง ประกอบดวยขนตอนทส าคญ ไดแกการพจารณาวตถประสงคทตองการ การระบเหตการณและปจจยความเสยง การประเมนจดระดบความเสยง การจดการตอบสนองความเสยง และ กจกรรมควบคม

1. การพจารณาวตถประสงคทตองการ (Objective Setting) เปนการพจารณาวาอะไรเปนวตถประสงคส าคญทตองการของระบบเทคโนโลย สารสนเทศนน เชน การรกษาความลบ ความถกตองครบถวน ความพรอมใชงาน การปฏบตตามกฎระเบยบ ซงแตละกจการหรอแตละระบบอาจมวตถประสงคไมเหมอนกน

2. การระบเหตการณหรอปจจยความเสยงทเกยวของ เปนการพจารณาวาอะไรเปนเหตการณทอาจเกดขนมผลกระทบตอวตถประสงคทก าหนดไวในขอ 1 ซงอาจเกดจากปจจยเสยงทมอทธพลทงภายนอกและภายใน การระบเหตการณมขนตอนยอยทส าคญ ไดแก 2.1 การระบเหตกาณหรอปจจยเสยง ซงเหตการณหรอปจจยเสยง หมายถง เหตการณความไมแนนอนทอาจเกดขนทงจากปจจยภายในและภายนอก ทงเหตการณทเคยและไมเคยเกด แตหากเกดแลวจะมผลกระทบส าคญตอวตถประสงคทตองการ เชน การเปลยนแปลงกฎระเบยบและสภาพแวดลอมในการปฏบตงาน บคลากรใหมหรอการเปลยนแปลง ระบบสารสนเทศใหมหรอการเปลยนแปลงระบบ เทคโนโลยใหม รปแบบธรกจใหม การปรบปรงโครงสรางขององคกร เปนตน

DPU

55

2.2 การพจารณาความสมพนธของเหตการณหรอปจจยความเสยงดานไอท เปนการพจารณาถงความสมพนธของปจจยเสยงทเกดขน เปนการพจารณาเปนองครวม (Holistically) นอกจากนตองพจารณาวาเปนความเสยงทมผลกระทบกวาง (Pervasive Risk) ในระดบทงองคการ หรอเปนความเสยงทมผลกระทบเฉพาะ (Specific Risk) ในระดบระบบงาน

3. การประเมนจดระดบความเสยง (Risk Assessment) เปนการพจารณาจากสองดาน คอ จากระดบความนาจะเกด (Likelihood) และระดบนยส าคญของผลกระทบหรอความเสยหายทอาจเกดข น (Impact, Significance, Materiality, Consequences) เพอหาวธการจดการตอบสนองและควบคมความเสยงนนใหเหมาะสม มขนตอนยอยดงน 3.1 การก าหนดระดบความนาจะเกด อาจก าหนดเปนคา 1-5 จากนอยไปถงมากทสด ซงอาจพจารณาจากความถทเคยเกดในอดต หรอจากระยะเวลาทคาดวาจะเกดในอนาคต หรอจากระยะเวลาทคาดวาจะเกดในอนาคต หรอพจารณาจากความซบซอน ปรมาณงาน และจดออนในการควบคมของเหตการณนน และพจารณาตามขอมลในเชงปรมาณทนบได ค านวณได และขอมลเชงคณภาพทมาจากความคดเหนและดลยพนจ 3.2 การก าหนดนยส าคญของผลกระทบทเกด อาจก าหนดเปนคา 1-5 จากนอยไปถงมากทสด ซงอาจพจารณาจากจ านวนเงน หรอจากระดบทเกด เชน เกดผลกระทบระดบรายการคา ระดบแฟม หรอระดบระบบงาน เปนตน 3.3 การวเคราะหทบทวนคาและต าแหนงความเสยง เปนการทบทวนโดยการขอความเหนชอบรวมกนระหวางผบรหาร ผปฏบตงาน และผเกยวของอนวา ระดบความนาจะเกดและระดบนยส าคญทก าหนดเปนคาทเหมาะสมเชอถอไดแลวหรอไม เชน การพจารณาความเสยงทซอนเรนยงไมแสดงใหเหนในปจจบน เปนตน

4. การจดการตอบสนองความเสยง เปนการพจารณาวากจการมวธการตอบสนองความเสยงทเหมาะสมแลวหรอไม ซง

วธการตอบสนองความเสยงทเปนพนฐานม 4 วธ ไดแก การยอมรบ การขจด การถายโอนหรอกระจายความเสยง และการควบคมความเสยง ทงน จะตองพจารณาวา วธการทเลอกจะเปนวธการทจะลดระดบความนาจะเกด และหรอระดบนยส าคญของผลกระทบทเกด ใหอยในระดบความเสยงทกจการยอมรบไดหรอไม กอใหเกดภาระและคาใชจายเทาไร และคมคาหรอไมเมอเทยบกบความเสยหายทอาจจะเกดจากความเสยงนน

DPU

56

5 การจดการควบคมดานเทคโนโลยสารสนเทศ การควบคมดานเทคโนโลยสารสนเทศ (IT Controls) หมายถง กระบวนการทสราง

ความมนใจในความถกตองเชอถอไดของสารสนเทศและการใหบรการดานสารสนเทศ รวมทงการชวยลดความเสยงทเกยวของกบการใชเทคโนโลย ทงน การควบคมดานเทคโนโลยสารสนเทศม 3 ประเภทใหญ ๆ ไดแก 5.1 การควบคมทวไปกบการควบคมระบบงาน - การควบคมทวไป (General Control) หมายถง การควบคมทวไปทเกยวของกบสภาพแวดลอมของการควบคม การควบคมทางนโยบาย การบรหาร และการควบคมดานโครงสรางทางเทคนค ซงการควบคมทวไปนจะเปนพนฐานส าคญตอประสทธผลของการควบคมดานเทคโนโลยสารสนเทศทงหมด รวมทงประสทธผลของการควบคมระบบงาน - การควบคมระบบงาน (Application Controls) หมายถง การควบคมทมเฉพาะกระบวนการหรอระบบงาน เพอควบคมความถกตองครบถวนของขอมลในระหวางการน าเขา การประมวลผล และผลลพธทไดจากระบบงานนน 5.2 การควบคมตามวตถประสงคหรอหนาท ไดแก การควบคมแบบปองกนแบบ คนพบ และแบบแกไข - การควบคมแบบปองกน (Preventive Controls) หมายถง การควบคมทสรางขนเพอปองกนความผดพลาด การละเวน ความไมปลอดภย และอบตภยทอาจเกดขน - การควบคมแบบคนพบ (Detective Controls) หมายถง การควบคมทสรางขนเพอคนพบ ความผดพลาด การละเลย ความไมปลอดภย และอบตภยทเกดขน ซงหลดรอดมาจากการควบคมแบบปองกน - การควบคมแบบแกไข (Corrective Controls) หมายถง การควบคมทสรางขนเพอแกไขความผดพลาด การละเลย ความไมปลอดภย หรออบตภยทคนพบ ซงอาจมการแกไขทงแบบงายหรอทซบซอนตามความเหมาะสม 5.3 การควบคมตามระดบการบรหาร ไดแก การควบคมระดบการก ากบดแล ระดบการบรหาร และระดบเทคนคการปฏบตงาน - การควบคมระดบการก ากบดแล (Governance Controls) หมายถง การควบคมทคณะกรรมการองคการ มบทบาทหนาทความรบผดชอบ สวนใหญจะเกยวของกบการควบคมระดบนโยบาย กลยทธ แผนงานส าคญ หรอท มผลกระทบตอสถาบนก ากบดแลและบคคลภายนอก

DPU

57

- การควบคมระดบการบรหาร (Management Controls) หมายถง การควบคมทฝายบรหารมบทบาทหนาทความรบผดชอบ โดยตองประสานงานกบคณะกรรมการองคการ เชน การควบคมสนทรพยส าคญ ขอมลทส าคญ กระบวนการปฏบตงานทส าคญ รวมทงการควบคมทสรางความเชอถอและการปฏบตงานทตอเนอง - การควบคมระดบเทคนคการปฏบตงาน (Technical Controls) หมายถง การควบคมในระดบรายละเอยด เพอสรางความเชอถอไดของการควบคมทไมไดอยในความรบผดชอบของระดบสง การควบคมในระดบนจะเชอถอไดมากขน หากเปนการควบคมดวยเทคโนโลย การควบคมแบบอตโนมต รวมทงการมรองรอยการตรวจสอบและหลกฐานทพสจนได ทงน องคการควรมการก าหนดระบบการควบคมขนพนฐาน (Baseline Controls) ส าคญ ซงตองไดรบการจดการใหมนใจในประสทธภาพและประสทธผลของการควบคมดงกลาวตลอดเวลา และก าหนดการควบคมตามระดบความเสยงทเปลยนแปลงไป เมอองคการประเมนความเสยง ซงตองปฎบตอยางสม าเสมอ หากผลการประเมนพบความเสยงเรองใดทสงผดปกต ผบรหารตองใชวธการตอบสนองความเสยงตามวธการหรอแผนทก าหนด เพอทจะลดความเสยงใหอยในระดบทยอมรบไดอยางทนกาล และเพยงพอทใหการปฏบตงานโดยรวมเปนไปตามวตถประสงคทก าหนด

6. การตดตามและประเมนผลการควบคม การตดตามประเมนผล เพอใหมนใจในการน าการควบคมไปใชใหเกดประสทธภาพประสทธผล และมการปรบปรงใหทนสมยอยเสมอ ซงผบรหารมหนาทรบผดชอบในการตดตามผลระหวางการปฏบตงาน ในขณะทผตรวจสอบอสระมหนาทในการประเมนผลอยางเปนอสระและเปนครงคราว ซงการตดตามประเมนผลการควบคมดานเทคโนโลยสารสนเทศเปนกระบวนการทตองจดท าอยางตอเนอง เพอใหทนตอการเปลยนแปลงของสภาพแวดลอมและปจจยภายนอกทเกดขนตลอดเวลา การพจารณาเพอใหเกดความมนใจในการน าการควบคมไปใชใหเกดประสทธภาพและประสทธผลนน Cobit Framework ไดก าหนดระดบความสามารถของการควบคมหรอระดบพฒนาการของการควบคม (Internal Control Capability Continuum) ไดเปน 5 ระดบโดยควรใกลเคยงกบระดบความเสยงในเรองนน เชน เรองใดมความเสยงระดบ 5 กควรมการควบคมระดบ 5 ไมควรมชองวางของการควบคม (Control Gap) มาก เปนตน สรปไดดงตารางท 4.1

DPU

58

ตารางท 4.1 ระดบความสามารถของการควบคมหรอระดบพฒนาการของการควบคม (Internal Control Capability Continuum) ระดบความ สามารถ

ค าอธบาย (Description) ลกษณะ (Attributes)

1. เรมตน (Initial State)

- กจการยงไมใหความส าคญกบ การควบคม ท าบางไมท าบาง - จะท าเมอเกดปญหาแบบเชงรบ - ท าเปนบางสวน - เปนครงคราวเฉพาะกจ

- ขนอยกบความรเรมของบคคลใด บคคลหนง - ท าเฉพาะกจ - ไมมการก าหนดนโยบายเปนลายลกษณ อกษร - มการระบกระบวนการและวธการ เลกนอย

2. ท าซ า ท าเปน ประจ า (Repeatable)

- การควบคมขนอยกบคณภาพ ของผรบผดชอบ - ท าซ า ท าเปนประจ า เคยท า อยางไรกท าอยางนน - ใชดลยพนจ ลางสงหรณ

- มนโยบาย กรอบงาน วธการควบคมขน พนฐาน - มความตระหนกและเขาใจมากขน - ใชกระบวนการและวธการควบคม ตามเดม ซ า ๆ - บางวธการไมมเปนลายลกษณอกษร - ขาดการสอสาร - ระดบการตดตามประเมนผลและการ ปรบปรงนอย

3. มหลกฐาน เอกสารเปน มาตรฐาน และสอสาร ใหทกคน ทราบแลว

- การจดท านโยบาย วธการ ควบคมเปนลายลกษณอกษร และไดมาตรฐานทงองคการ - มผรบผดชอบประจ าตามหนาท - มวธจดการเชงปรมาณและเชง คณภาพหรอการใชดลยพนจ

- มรปแบบการควบคมทเปนมาตรฐาน (Uniform) ทงองคการ - มผงภาพการควบคมภายใน กระบวนการและรายการคาส าคญ - สามารถระบแหลงทเกดความเสยงและ จดทมการละเลยการควบคมทส าคญ

DPU

59

ตารางท 4.1 (ตอ) ระดบความ สามารถ

ค าอธบาย (Description) ลกษณะ (Attributes)

(Defined) - มการจดการและการควบคมกบความ เสยงทเกดขนจรง แตยงไมครอบคลม ทกความเสยง - ความเสยงบางอยางตองใหฝายบรหาร ตดสนใจ หรอขนอยกบดลยพนจของ ฝายบรหาร - เจาของระบบงานยงไมมการประเมนผล ตนเอง - แผนการตรวจสอบภายในยงไมเชอม โยง หรอไมมการประเมนผลโดย ผตรวจสอบภายในอสระ

4. มการบรหาร (Managed)

- การจดการบรหารความเสยงเชง ปรมาณและทวทงองคการ และ มการตดตามประเมนผลและ ปรบปรงอยางเปนระบบ - การบรหารความเสยงมแนวคด และการวเคราะหโดยวธการเชง ปรมาณทลกซงในระดบองคการ

- มกระบวนการบรหารจดการความเสยง และการควบคมอยางจรงจงและเปน มาตรฐานทวทงองคการ - ใชการควบคมแบบอตโนมตมากกวาการ พงพงการควบคมดวยคน - มระบบการตดตามผล การก าหนดตววด เปาหมายความส าเรจทชดเจน และม รายงานการตดตามผลความคลาดเคลอน เปนประจ าอยางนอยทกไตรมาส - แผนงานการตรวจสอบภายในเชอมโยง สอดคลองกบผลการประเมนความเสยง และมการรายงานการประเมนผลโดยผ ตรวจสอบภายในอสระตามแผนงาน

DPU

60

ตารางท 4.1 (ตอ) ระดบความ สามารถ

ค าอธบาย (Description) ลกษณะ (Attributes)

เปนประจ า - การประเมนผลตนเองไดสงผลการ ประเมนใหฝายบรหารหรอคณะ - กรรมการองคการ - มการตดตามประเมนผลและการ ปรบปรง ในระดบระบบงานทส าคญ

5. การเกดผล ประโยชน สงสด (Optimizing)

-ใชวธการทดทสด (Best Practices) และมการแชรความรระหวางกน ทงองคการ - ใชกระบวนการจดท างบการเงน และกรอบงานการควบคมระดบ สากล - มความพยายามทจะลดการขาด ประสทธภาพในระดบกจการ - มการตดตามผลของปจจยภายนอก และภายในในกรอบงานการ ควบคม - เหนความส าเรจในดานความม ประสทธภาพและไดรบประโยชน อยางคมคามากทสด

- มกระบวนการปรบปรงตลอดเวลาอยาง ตอเนองทนตอการเปลยนแปลงทงจาก ปจจยภายนอกและภายใน และเกด ประสทธภาพประสทธผลทวทงองคการ - มระบบการตดตามผลระดบองคการท ใชในการปฏบตจรง สามารถใหรายงาน หรอสญญาณเตอนภยในเวลาเกดจรง (Real Time Reporting) - มการประเมนผลตนเองอยางตอเนอง และมการปรบปรงกระบวนการท างาน ทกหนวยงาน - เจาของระบบงานใชเทคโนโลยในการ จดเกบเอกสารหลกฐาน รายงาน วธการ วเคราะห ทสามารถเขาถงและพรอมใช งาน - กจการสามารถบรรลผลเปาหมายดาน ความโปรงใสในการรายงานทง ภายนอกและภายใน

DPU

61

4.2 แนวการตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT ผ ตรวจสอบมหนาท ในการตดตามประเมนผลการควบคมทางดานเทคโนโลยสารสนเทศ เพอใหมนใจในการน าการควบคมไปใชใหเกดประสทธภาพประสทธผล ผตรวจสอบจงตองการวางแผนงานตรวจสอบในรายละเอยด เชน การก าหนดโปรแกรมการตรวจสอบและเทคนควธการตรวจสอบ โดยการก าหนดประเดนการตรวจสอบ และจดท าแนวการตรวจสอบดานเทคโนโลยสารสนเทศ ซงจะไดพจารณาจดท าแนวการตรวจสอบการแนวทางของ COBIT โดยจะแบงการตรวจสอบตามโครงสรางของมาตรฐาน COBIT บนพนฐานของกระบวนการทางธรกจ Business Process สามารถแบงไดเปน 4 กระบวนการหลก (Domain) ไดแก การวางแผนและการจดการองคกร (PO : Planning and Organization) การจดหาและการน าระบบออกใชงานจรง (AI : Acquisition and Implementation) การสงมอบและการสนบสนน (DS : Delivery and Support) การตดตามผล (M : Monitoring)

4.2.1 การวางแผนและการจดองคกร (PO : Planning and Organization) วตถประสงคของการตรวจสอบ : เพอใหมนใจวา

1. องคกรไดรบประโยชนสงสดจากการใชเทคโนโลยสารสนเทศ การจดรปแบบระบบสารสนเทศ สามารถใชเทคโนโลยสมยใหมเปนกลยทธในการบรหารธรกจ 2. การใหบรการดานเทคโนโลยสารสนเทศเปนไปอยางถกตองและเหมาะสม

3. เงนลงทนในเทคโนโลยสารสนเทศมการประมาณการอยางเหมาะสม และมการ ควบคมดแลการใชจายเงนลงทนนน

4. มการสอสารใหคนในองคกรรบรและเขาใจในเปาหมายและทศทางขององคกร บคลากรมความสามารถ และทมเทในการท างาน

5. มการปฏบตงานทสอดคลองถกตองตามกฎหมาย ระเบยบ และสญญา 6. มการบรหารความเสยงอยางเหมาะสม 7. การจดการโครงการสามารถด า เนนการใหแลวเสรจภายในระยะเวลาและงบประมาณทก าหนดไว ตารางท 4.2 ถง ตารางท 4.12 แสดงแนวการตรวจสอบการวางแผนและการจดองคกร (PO : Planning and Organization)

DPU

62

ตารางท 4.2 PO1 : การจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ (Define a Strategic IT Plan)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. การใชเทคโนโลยขององคกร ไมสามารถตอบ สนองวตถประสงคและ กลยทธทางธรกจขององคกร 2. แผนงานระยะสนและระยะยาว ไมสามารถสนบสนนใหบรรลวตถประสงคและเปาหมายขององคกร 3. ผเกยวของไมเขาใจ ท าใหไมไดรบความรวมมอจากผเกยวของ 4. การปรบเปลยนแผนระยะสนและระยะยาวดานเทคโนโลยสารสนเทศไมทนกบการเปลยนแปลงท เกดขน

1. เทคโนโลยสารสนเทศ เปนสวนหนงของแผนงานระยะสนและระยะยาวขององคกร 2. มการใชโครงสรางของกระบวนการวางแผนทท าใหแผนทจดท าขนมคณภาพ ค านงถงผลการประเมนความ เสยง และมการประเมนเปนระยะ ๆ ตามทก าหนด 3. มกระบวนการจดการในสอสอสารแผนระยะสนและแผน ระยะยาวใหแกพนกงานหรอผทมความเกยวของในองคกร 4. ก าหนดใหมกระบวนการจดการส าหรบการตรวจสอบและรายงานผลสะทอนกลบจากพนกงานหรอผใชงานในดาน ของคณภาพและประโยชนของแผนระยะสนและแผนระยะยาว 5. ก าหนดใหผบรหารเทคโน - โลยสารสนเทศ มการประเมนระบบสารสนเทศทใชอยในปจจบนกอนทจะมการพฒนาหรอเปลยนกลยทธส าหรบแผนระยะสน

1. สอบทานวาองคกรมการจดท าแผนระยะสนหรอระยะยาวหรอไม 2. สอบทานกระบวนการวาง แผนระยะยาวและระยะสนขององคการ และพจารณาวาผบรหารระดบสงไดเขามามสวนเกยวของในการวางแผนหรอไม 3. สอบทานวามการก าหนดเทคโนโลยสารสนเทศเปน สวนหนงของแผนระยะสนและระยะยาวหรอไม 4. สอบทานวาองคกรมการจดท าแผนระยะสนและระยะยาวดานเทคโนโลยสารสนเทศหรอไม 5. สอบทานวามการสอสารแผนงานดานเทคโนโลยใหพนกงานในองคกรไดรบทราบหรอไม 6. สอบทานวามการตดตามและรายงานผลการปฏบตตามแผนระยะสนและแผนระยะยาวหรอไม

DPU

63

ตารางท 4.2 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

7. สอบทานวาแผนระยะสนของสวนงานเทคโนโลยสารสนเทศสอดคลองกบแผนงานระยะยาวหรอไม 8. สอบถามหนวยงานส าคญ อนๆ ทเกยวของ เพอใหมนใจวากลยทธของหนวยงานอนและหนวยงานเทคโนโลยสารสนเทศมความสอดคลองในแนวทางเดยวกนหรอไม 9. สอบทานการจดสรรทรพยา- กรทจ าเปนตองใชตามแผนระยะสนและระยะยาวมความเหมาะสมหรอไม

ตารางท 4.3 PO2 : การก าหนดโครงสรางดานสารสนเทศ (Define the Information Architecture)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. โครงสรางของระบบเทคโนโลยสารสนเทศไมเหมาะสมกบโครงสรางของธรกจ 2. ผไมมสทธเขาถงสาร-สนเทศโดยไมไดรบ

1. มการก าหนดสถาปตยกรรมของระบบดานการออกแบบและพฒนาระบบงาน 2. มการก าหนดรปแบบและกฎ เกณฑของการพฒนาพจนาน - กรมขอมล

1. สอบทานวามการก าหนดสถาปตยกรรมของการออก แบบและพฒนาระบบงานหรอไม อยางไร 2. สอบทานวามการรกษาความปลอดภยของขอมลหรอไม

DPU

64

ตารางท 4.3 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

อนญาต 3. มการจดท ารปแบบการจด กลมขอมล 4. มการจดระดบความปลอดภยของขอมล

อยางไร 3. สอบทานวามการก าหนดรปแบบและกฎเกณฑในการพฒนาพจนานกรมขอมลและการจดกลมขอมลหรอไมอยางไร 4. สอบทานวาองคกรมการก าหนดกรอบงานการจดหาและบ ารงรกษาโครงสรางพนฐานดานเทคโนโลยสนเทศ

ตารางท 4.4 PO3 : การก าหนดทศทางดานเทคโนโลย (Determine Technological Direction)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ไมสามารถใชเทคโนโลยสมยใหมเปนเครองมอในการบรหารธรกจ ซงอาจท าใหไมสามารถแขงขนทางธรกจกบคแขงใน ตลาด

1. มการวางแผนโครงสรางทางดานเทคโนโลยททนสมยอยางสม าเสมอทงในแผนระยะสนและแผนระยะยาว 2. มการวางแผนพฒนาและ บ ารงรกษาโครงสรางพนฐาน ทางดานเทคโนโลยสารสนเทศ 3. มการวางแผนการจดหาฮารดแวรและซอฟตแวร 4. มการก าหนดเทคโนโลยทเปนบรรทดฐานเพอทจะ

1. สอบทานวาองคกรมการวางแผนโครงสรางทางเทคโนโลยสารสนเทศ มการก าหนดทศทางของเทคโนโลยสารสนเทศหรอไม และมการวางแผนในการจดหาฮารดแวรและซอฟตแวรหรอไม อยางไร สอดคลองกบแผนระยะสนและระยะยาวดานเทคโนโลยสารสนเทศหรอไม อยางไร 2. สอบทานวาองคกรมการ

DPU

65

ตารางท 4.4 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

สนบสนนความมมาตรฐานเดยวกน

วางแผนพฒนาและบ ารงรกษา โครงสรางพนฐานทางดานเทคโนโลยสารสนเทศหรอไม

ตารางท 4.5 PO4 : การจดโครงสรางองคกรดานเทคโนโลยสารสนเทศและความสมพนธกบ หนวยงานอน (Define the IT Organization and Relationships)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. ไมสามารถใหบรการทางดานเทคโนโลยสาร – สนเทศไดอยางถกตอง เหมาะสม 2. หากพนกงานไมทราบถงหนาทความรบผดชอบของตนเอง ท าใหการท างานเกดความซ าซอนและขาดการควบคมได

1. มการจดโครงสรางองคกรของหนวยงานเทคโนโลยสาร -สนเทศ โดยมการก าหนดสทธ บทบาท หนาทและความรบผด ชอบ และการแบงแยกหนาทความรบผดชอบทเหมาะสม 2. มการจดท าคมอวธปฏบตงาน ส าหรบหนาทงานตาง ๆ อยางชดเจนและเหมาะสม

1. ตรวจสอบจากโครงสรางการจดองคกรโดยรวมและพจารณาการจดแบงสวนงานภายใตสวนงานเทคโนโลยสารสนเทศ 2. สอบทานคมอการปฎบต งาน ค าบรรยายลกษณะงานของสวนงานเทคโนโลยสารสนเทศ 3. สงเกตการณการปฏบตงานจรงของพนกงานในสวนงานเทคโนโลยสารสนเทศ 4. สมภาษณบคลากรในสวนงานเทคโนโลยสารสนเทศในเรองตาง ๆ ทเกยวของ

DPU

66

ตารางท 4.6 PO5 : การจดการดานการลงทนในเทคโนโลยสารสนเทศ (Manage the IT Investment)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. การลงทนในเทคโนโลยสารสนเทศไดผลตอบ แทนไมคมคา 2. กระบวนการใชจายเงนทไมเหมาะสม ขาดการควบคม อาจเกดทจรตในการใชจายเงนขนได

1. มการก าหนดงบประมาณดานเทคโนโลยสารสนเทศ ทสอดคลองกบแผนระยะสนและระยะยาวขององคกรและสอด คลองกบแผนระยะสนและระยะยาวดานเทคโนโลยสารสนเทศ 2. มกระบวนการในการตดตามดแลคาใชจายและผลประโยชนทไดรบ โดยเปรยบเทยบกบงบประมาณ 3. มกระบวนการในการวเคราะหความถกตองและผลก าไรของการด าเนนงานดานเทคโนโลยสารสนเทศ

1. สอบทานวาองคกรมการจดงบประมาณดานเทคโนโลยสารสนเทศหรอไม อยางไร 2. สอบทานวามการตดตามดแลคาใชจายดานเทคโนโลยสารสนเทศอยางไร การอนมตคาใชจายเปนไปตามอ านาจด าเนนการหรอไม อยางไร 3. สอบทานวาการบนทกการใชจายวามการบนทกครบถวนถกตองหรอไม 4. สอบทานกระบวนการ วเคราะหผลด าเนนงานดานเทคโนโลยสารสนเทศ

DPU

67

ตารางท 4.7 PO6 : การสอสารเปาหมายและทศทางภายในองคกร (Communicate Management Aims and Direction)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- พนกงานไมทราบเปา- หมายและทศทางขององค กร อาจท าใหขาดความ ตระหนกในเรองความเสยงทงดานธรกจและดเทคโนโลยสารสนเทศ

- มกระบวนการในการสอสารใหทกคนในองคกรทราบถงภารกจ วตถประสงคในการใหบรการ นโยบาย และขนตอนตาง ๆ

- สอบทานวาองคกรมกระบวน การหรอวธการในการสอสารเกยวกบเปาหายและทศทางขององคกรใหพนกงานทราบถงไม อยางไร

ตารางท 4.8 PO7 : การจดการทรพยากรบคคล (Manage Human Resources)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. บคลากรไมมคณสมบตเหมาะสมกบหนาทความรบผดชอบ 2. จ านวนบคลากรไมเหมาะสมกบแผนระยะสนและระยะยาวดานเทคโนโลยสารสนเทศ

- มการก าหนดแนวทางการปฏบตในเรองของการสรรหาบคลากรใหม คณสมบตของบคลากร การฝกอบรม การประเมนผลงาน การโยกยายเลอนต าแหนง และการเลกจาง เปนตน

1. สอบทานวามการจดท าค าบรรยายลกษณะงาน หนาท ความรบผดชอบ ตลอดจนคณสมบตของบคลากรต าแหนงตาง ๆ ในสวนงานเทคโนโลยสารสนเทศหรอไม 2. สอบทานวามกระบวนการหรอวธการจดหาคนเขาท างาน การก าหนดวธการเพอความปลอดภยดานการพนกงานของสวนงานเทคโนโลยสารสนเทศหรอไม

DPU

68

ตารางท 4.8 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

3. สอบทานวามการฝกอบรมพนกงานของสวนของเทคโนโลยสารสนเทศหรอไม 4. สอบทานวามการประเมนผลการปฏบตงานตามหนาทงานของพนกงาน โดยเปรยบเทยบกบมาตรฐานหรอแนวทางปฏบตทไดก าหนดไวหรอไม 5. สมภาษณบคลากรในสวนงานเทคโนโลยสารสนเทศ

ตารางท 4.9 PO8 : การปฏบตตามขอก าหนดขององคกรภายนอก (Ensure Compliance with External Requirements)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- องคกรมการปฎบตงานทไมสอดคลองถกตองตามกฎหมาย ระเบยบ และสญญา ซงอาจมผลท าใหถกปรบ ถกฟองรอง หรอเสอมเสยชอเสยงได

1. มการก าหนดวธการและระเบยบปฏบต เพอใหเปนไปตามขอก าหนดขององคกรภายนอก 2. มการก าหนดผรบผดชอบในการสอบทานขอก าหนดขององคกรภายนอก และสอบทานการปฏบตตามขอก าหนดนน ๆ

1. สอบทานคมอปฏบตงานของหนวยงานดานเทคโนโลยสารสนเทศวามการก าหนด ขนตอนการปฎบตงานทไมเปนไปตามกฎหมาย ระเบยบ ขอบงคบ หรอสญญา กบบคคลภายนอกหรอองคกรภายนอกหรอไม อยางไร 2. สอบทานการปฏบตงานของ

DPU

69

ตารางท 4.9 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

ผรบผดชอบในการสอบทานขอก าหนดหรอการปฏบตตามขอก าหนดตาง ๆ

ตารางท 4.10 PO9 : การประเมนความเสยง (Assess Risks)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- การด าเนนธรกจไมสามารถบรรลวตถประ -สงคและเปาหมายขององคกร

1. มการก าหนดคมอการบรหารความเสยง โดยมการก าหนดขนตอนการประเมนความเสยง ตงแตการระบปจจยเสยง การวเคราะหความเสยง และการบรหารความเสยง 2. มการด าเนนการตามขนตอนทก าหนดคมอการบรหารความเสยง

1. สอบทานคมอการบรหารความเสยงวามการก าหนดขนตอนอยางเหมาะสมหรอ ไมอยางไร 2. สอบทานการปฏบตตามขนตอนการบรหารความเสยง ทก าหนดไวในการประเมนความเสยงเกยวกบเทคโนโลยสาร สนเทศ เชน การระบความเสยง การวเคราะหความเสยง แผน ปฏบตงานเพอจดการความเสยง ตลอดจนการสนบสนนของผบรหารในการประเมนความเสยง

DPU

70

ตารางท 4.11 PO10 : การจดการโครงการ (Manage Projects)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ไมสามารถด าเนนการโครงการใหแลวเสรจภายในเวลาและงบ ประมาณทกหนดไว

- มการก าหนดระเบยบวธการบรหารจดการโครงการซงครอบ คลมถงการก าหนดทมงานการจดสรรความรบผดชอบ งบ ประมาณและเวลาของโครงการ ทรพยากรทใช แผนงานหลก ของโครงการ แผนงานรบรองคณภาพ การบรหารความเสยงของโครงการ แผนการทดสอบ แผนการฝกอบรม แผนการสอบทานระบบภายหลงการใชงานจรง และขนตอนการอนมตโครงการ เปนตน

1. สอบทานวาองคกรมการก าหนดระเบยบวธการบรหารจด การโครงการหรอไมอยางไร เชน มการก าหนดแผนงานหลกของโครงการ มการก าหนดงบประ-มาณ ระยะเวลา และทรพยากร ทใชในโครงการ เปนตน 2. สอบทานวาองคกรมการก าหนดทมงานของโครงการและหนาทความรบผดชอบของทมงานหรอไมอยางไร หนวยงานผใชระบบงานมสวนรวมในโครงการหรอไม 3. สอบทานวามการอนมตโครงการโดยผบรหารหรอไม และผบรหารมการพจารณารายงานการศกษาความเปนไปไดของโครงการ ประกอบการพจารณาอนมตโครงการหรอไม 4. สอบทานความสมเหตสมผลของการศกษาความเปนไปไดของโครงการ 5. สอบทานวาองคกรมการก าหนดแผนงานรบรองคณภาพของโครงการหรอไม

DPU

71

ตารางท 4.11 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

6. สอบทานวาองคกรมการก าหนดกระบวนการบรหารความเสยงของโครงการหรอไม 7. สอบทานวาองคกรมการก าหนดแผนการทดสอบแผน การฝกอบรม และแผนการสอบทานระบบภายหลงการใชงานจรงหรอไม อยางไร

ตารางท 4.12 PO11 : การจดการคณภาพ (Manage Quality)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- เทคโนโลยสารสนเทศไมสามารถตอบสนองความตองการของผใชงาน

1. มการจดการคณภาพ พฒนา ตดตง และดแลรกษา มการก าหนดนโยบายและขนตอนการ ปฏบตงาน การก าหนดความตองการดานคณภาพ การตรวจ สอบตดตาม และการรายงานผลไปยงผทมสวนเกยวของ 2. มการก าหนดขนตอนการปฏบตงานเกยวกบการพฒนาระบบงาน เอกสารประกอบการพฒนาระบบงาน

1. สอบทานวาองคกรมการจดท าแผนคณภาพทางดานเทคโนโลยสารสนเทศหรอไม 2. สอบทานวาองคกรมการจดท าแผนการรบรองคณภาพของระบบเทคโนโลยสารสนเทศหรอไม 3. สอบทานวาองคกรมการก าหนดนโยบายและขนตอนการปฏบตงานในการจดการคณภาพหรอไม 4. สอบทานวามการปฏบตตาม

DPU

72

ตารางท 4.12 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

นโยบายหรอขนตอนการปฏบตงานทก าหนดไวหรอไม 5. สอบทานวาการพฒนาระบบเทคโนโลยสารสนเทศในแตละขนตอนวาเปนไปตามกรรมวธวงจรการพฒนาระบบงานหรอ ไม รวมทงมการปรบปรงกรรมวธวงจรการพฒนาระบบ งานหรอไม 6. สอบทานวามการจดท าแผนการทดสอบระบบงานหรอไม และพจารณาความครบถวนของแผนการทดสอบระบบงานและการปฏบตการ 7. สอบทานวามการทดสอบการทดสอบระบบงานตามแผนการทดสอบระบบงานหรอไม 8. สอบทานวามกระบวนการในการประสานงานและตดตอสอ สารระหวางบคลากรทเกยวของหรอไม 9. สอบทานวาองคกรมการก าหนดกรอบงานการจดหาและบ ารงรกษาโครงสรางพนฐานดานเทคโนโลยสารสนเทศ

DPU

73

ตารางท 4.12 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

หรอไม 10. สอบทานวาองคกรมการก าหนดมาตรฐานของเอกสาร โปรแกรม มาตรฐานการทดสอบโปรแกรมและระบบงานหรอไม อยางไร 11. สอบทานวาองคกรมการประเมนเพอรบรองคณภาพโดยเทยบกบมาตรฐานการพฒนาหรอไม 12. สอบทานวามการรายงานการสอบทานการรบรองคณภาพและรายงานดงกลาวมเนอหาทเหมาะสมเพยงพอหรอไม

4.2.2 การจดหาและการน าระบบออกใชงานจรง (AI : Acquisition and Implementation)

วตถประสงคของการตรวจสอบ : เพอใหมนใจวา 1. การตอบสนองของความตองการขอมลของผใชเปนไปอยางมประสทธผลและ

ประสทธภาพ 2.การประมวลผลสามารถสนบสนนการด าเนนและการปฏบตงานขององคกรได 3.องคกรมโครงสรางพนฐานทางเทคโนโลยสารสนเทศทเหมาะสมกบระบบงาน 4.ระบบงานถกตองตรงตามวตถประสงคทตอง การใชระบบงานเปนไปอยาง

ถกตองและเปนระเบยบ

DPU

74

ตารางท 4.13 ถง ตารางท 4.18 แสดงแนวการตรวจสอบการจดหาและการน าระบบออกใชงานจรง (AI : Acquisition and Implementation) ตารางท 4.13 AI1 : การเลอกเทคโนโลยมาใชในการปฏบตงาน (Identify Automated Solutions)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. เทคโนโลยสารสนเทศไมสามารถตอบสนองความตองการของผใชงาน 2. ตนทนการจดหาเทคโนโลยสารสนเทศสงเกนกวาความจ าเปน

1. มการก าหนดระเบยบวธปฏบตเกยวกบการจดหาเทคโนโลยสานสนเทศ ตงแตขนตอนการก าหนดความตองการ การพจารณาทางเลอกของแหลงทมาหรอผจดจ าหนาย การพจารณาความเปนไปไดใน ดาน เทคโนโลยและดานธรกจ การวเคราะหความเสยง การวเคราะหตนทนและผลประโยชนทจะไดรบ เปนตน 2. มระเบยบปฏบตเกยวกบขนตอนการจดซอ 3. กรณการวาจางบคคลภายนอก มการจดท าสญญาเปนลาย ลกษณอกษร และมการก าหนดเงอนไขในสญญาอยางครบถวน ถกตอง มผลบงคบทางกฎหมาย

1. สอบทานวาองคกรมการก าหนดระเบยบวธปฏบตเกยวกบการจดหาเทคโนโลยสารสนเทศ เชน มการก าหนดความตองการดานเทคโนโลยสารสนเทศ การพจารณาทางเลอกของแหลงทมหรอผจด จ าหนาย รปแบบกลยทธการจดหา การก าหนดระดบการบรการจากบคคลภายนอก การศกษาความเปนไปไดของเทคโนโลย การศกษาความคมคาในการลงทน เปนตน 2. สอบทานวาองคกรมการก าหนดระเบยบปฏบตเกยวกบ การจดซอ หรอการคดเลอกซอฟตแวรมาใชงานหรอไม และ มการปฏบตตามหลกเกณฑท

DPU

75

ตารางท 4.13 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

ระเบยบไดก าหนดไวหรอไม อยางไร 3. สอบทานวาการวาจางบคคลภายนอกมการจดท าสญญาเปนลายลกษณอกษณ ขอก าหนดเงอนไขครบถวนสมบรณ หรอไม อยางไร 4. สอบทานวาองคกรมการก าหนดขอตกลงกบบรษทคคาเกยวกบกระบวนการตรวจสอบดานเทคโนโลยสารสนเทศหรอไม อยางไร

ตารางท 4.14 AI2 : การจดหาและบ ารงรกษาซอฟตแวรประยกต (Acquire and Maintain Application Software)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. ระบบงานไมถกตองเหมาะสม ท าใหการด าเนนงานขององคกร ไมมประสทธภาพและ ประสทธผล 2. เสยคาใชจายและเวลาในการแกไขโปรแกรม

1. มขนตอนวธปฏบตเกยวกบการจดหาและดแลระบบงานประยกตทองคกรน ามาใช ตงแตการออกแบบระบบงาน การ อนมตการออกแบบ การก าหนดความตองการเกยวกบแฟมขอ มล ขอก าหนดของโปรแกรม

1. สอบทานวาองคกรมการก าหนดขนตอนวธปฏบตเกยวกบการจดหาและดแลระบบงานประยกตทองคกร น ามาใชตงแตการออกแบบระบบงาน การอนมตการออกแบบ การก าหนดความ

DPU

76

ตารางท 4.14 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

ภายหลง 3. ระบบงานอาจเขาถงโดยผทไมมสทธและไมไดรบอนญาต

การก าหนดความตองการเกยว กบขอมลน าเขา การประมวลผล และผลลพธ การควบคม การรกษาความปลอดภยเขาไปในระบบงานท จะพฒนา การลงมอสรางระบบ และการตงคา configuration ใหเปนไปตามมาตรฐานความปลอดภย 2. มขอก าหนดเกยวกบความครบถวนถกตองของเทคโนโลยสารสนเทศในโปรแกรมระบบ งานประยกต 3. มการทดสอบโปรแกรมระบบ งานประยกตและมการก าหนดมาตรฐานในการทดสอบ มวธ การทดสอบทเหมาะสม ผใชระบบงานมสวนรวมในการทด สอบระบบงานหรอโปรแกรม 4. มคมอผใชระบบและคมอสนบสนนการปฏบตงานทมความละเอยด ครบถวน สามารถน ามาใชเปนคมอในการปฏบต งานไดจรง

ตองการเกยวกบแฟมขอมล ขอก าหนดของโปรแกรม การก าหนดความตองการเกยวกบขอมลน าเขา การประมวลผล และผลลพธ การควบคม การรกษาความปลอดภยเขาไปในระบบงานทจะพฒนา ตลอดจนการตงคา configuration ตาง ๆ หรอไม และสอบทานวามการปฏบตตามขนตอนวธปฏบตทก าหนดไวหรอไม 2. สอบทานวาองคกรมขอ ก าหนดเกยวกบความครบถวนถกตองของโปรแกรมระบบงานประยกตหรอไม 3. สอบทานวามการทดสอบโปรแกรมระบบงานประยกต ตามมาตรฐานการทดสอบ หรอมวธการทดสอบทเหมาะสมหรอไม ผใชระบบงานมสวนรวมในการทดสอบหรอไม 4. สอบทานคมอผใชระบบและคมอสนบสนนการปฏบตงานวา มความละเอยด ครบถวน เพยง พอหรอไม

DPU

77

ตารางท 4.14 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

5. สอบทานวาเมอมขอขดแยงทางดานเทคนคหรอลอจกเกดขนระหวางการบ ารงรกษาหรอการพฒนา การออกแบบจะถกประเมนซ าอกครงหนง

ตารางท 4.15 AI3 : การจดหาและบ ารงรกษาโครงสรางพนฐานดานเทคโนโลย (Acquire and Maintain Technology Infrastructure)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- องคกรมโครงสรางพนฐานทางดานเทคโน -โลยสารสนเทศทไมเหมาะสมกบระบบงาน

- มการก าหนดขนตอนวธปฏบตเกยวกบการวางแผนในการจดหา การตดตง การดแลรกษา และการปองกนในสวนของโครงของโครงสรางพนฐาน เพอใหเปนไปตามกลยทธดานเทคโนโลยทองคกรไดก าหนดไว

1. สอบทานวามการก าหนดขนตอน วธปฏบตเกยวกบโครงสรางพนฐานทางดานเทคโนโลยหรอไม ดงน 1.1 การวางแผนในการจดหา 1.2 การดแลรกษาและการปองกนในสวนของโครงของโครงสรางพนฐาน 1.3 สอบทานวามการปฏบตตามขนตอนทก าหนดไวหรอไม 2. สอบทานในเรองตาง ๆ ดงน 2.1 มการประเมนความตองดานฮารดแวรและซอฟตแวร 2.2 การบ ารงรกษาฮารดแวรม

DPU

78

ตารางท 4.15 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

แผนก าหนดไวลวงหนา 2.3 มการรกษาความปลอดภยของโปรแกรมระบบ 2.4 มการก าหนดขนตอนในการตดตง ดแลบ ารงรกษา การควบคมการเปลยนแปลงแกไข โปรแกรมระบบ 2.5 มการใชและตดตามประเมนการใชงานโปรแกรมอรรถประโยชนหรอไม อยางไร

ตารางท 4.16 AI4 : ระเบยบปฏบตในการพฒนาและบ ารงรกษา (Develop and Maintain Procedures)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ผใชงานไมสามารถใชงานระบบสารสนเทศและโครงสรางพนฐานตาง ๆ ไดอยางถกตองเหมาะสม

1. มการปฏบตตรงตามความตองการและระดบการใหบรการในเวลาทเหมะสม 2. มการก าหนดขนตอนวธปฏบตเกยวกบการเผยแพรความรของระบบงานใหมใหกบพนกงานในองคกรรบทราบ 3. มการสรางคมอในการปฏบตงานของผใชงาน คมอ

1. ท าการสอบทานวามการปฏบตงานตรงตามความตองการและระดบการให บรการในเวลาทเหมาะสมหรอไม อยางไร 2. สอบทานคมอการปฏบตงาน ของผใชงานและคมอการปฏบต การคอมพวเตอรของเจาหนาทดานเทคโนโลยสารสนเทศวาม ความละเอยด ครบถวน สมบรณ

DPU

79

ตารางท 4.16 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

ปฏบตงานดานปฏบตการคอมพวเตอรของเจาหนาทดานเทคโนโลยสารสนเทศ 4. มการฝกอบรม เพอใหผใชงานสามารถใชงานระบบสารสนเทศและโครงสรางพนฐานตางๆ ไดอยางถกตองและเหมาะสม

สามารถใชเปนคมอปฏบตงานไดอยางแทจรง 3. สอบทานวามการฝกอบรมผใชระบบงานและมเอกสารการฝกอบรม ส าหรบระบบงานทพฒนาหรอไม อยางไร

ตารางท 4.17 AI5 : การตดตงและรบรองระบบ (Install and Accredit Systems)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ระบบงานไมถกตองตรงตามวตถประสงคทตอง การ

1. มการจดท าคมอส าหรบการตดตงระบบ 2. มการเตรยมแผนการตดตงระบบใหม 3. มการเตรยมแผนในการผลกดนระบบทพฒนาออกใชงานจรง 4. มการฝกอบรมการใชงานระบบงานใหม 5. มการก าหนดขนตอนการโอนยายระบบงานเดมและขอมลไปยงระบบงานใหม

1. สอบทานวามการจดท าคมอส าหรบการตดตงระบบหรอไม 2. สอบทานแผนการตดตง ระบบงานใหม 3. สอบทานวธการวดขดความ สามารถของโปรแกรม 4. สอบทานวามแผนในการน าระบบออกใชงานจรงหรอไม 5. สอบทานวามการโอนยายระบบงานเดมและขอมลไปยง 6. สอบทานวามการก าหนดแผนและกลยทธในการทดสอบ

DPU

80

ตารางท 4.17 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

6. มการก าหนดแผนและกลยทธในการทดสอบ 7. มการทดสอบดานการรกษาความปลอดภยและระดบความนาเชอถอ 8. มการทดสอบดานการปฏบต งาน 9. มการเตรยมความพรอมกอน ใชงานจรง 10. มการประเมนความสอด คลองกบความตองการผใชงาน 11. มการประเมนผลหลงจากน าระบบออกใชงานจรง

หรอไม 7. สอบทานวามการทดสอบโปรแกรมทมการเปลยนแปลงหรอแกไขหรอไม 8. สอบทานวาการทดสอบระบบวามใชการทดสอบแบบคขนานหรอแบบน ารองหรอไม และมการทดสอบครงสดทายเพอตรวจรบระบบหรอไม 9. สอบทานวามการทดสอบและรบรองความปลอดภยของระบบหรอไม 10. สอบทานวามการทดสอบ การปฏบตงานของระบบหรอไม 11. สอบทานวามการเตรยมความพรอมกอนใชงานจรงหรอไม 12. สอบทานวามการประเมนความสอดคลองกบความตองการ ของผใชงานหรอไม 13. สอบทานวามการประเมนผลหลงจากน าระบบออกใชงานจรงหรอไม

DPU

81

ตารางท 4.18 AI6 : การจดการการเปลยนแปลง (Manage Changes)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. มการแกไขเปลยนแปลงโปรแกรม ระบบงาน ขอมลโดยผไมมสทธ และไมไดรบอนญาต 2. ขอมล ระบบงานเกดความเสยหาย 3. การด าเนนธรกจเกดความเสยหาย จากการทจรตของผเกยวของ

1. มการก าหนดขนตอนวธปฏบตเกยวกบค าขอปรบปรงแกไขระบบงาน และมกระบวน การควบคมการเปลยนแปลงแกไข 2. มการประเมนผลกระทบจากการเปลยนแปลงความตองการของผใชระบบงาน 3. การแกไขเปลยนแปลงระบบ งาน ขอมล ตองไดรบการอนมต และมการควบคมการเปลยน แปลงเวอรชนของซอฟตแวร 4. การน าโปรแกรมระบบงานออกใชงาน ตองไดรบการอนมต 5. มการควบคมการตดตงโปรแกรมใหมความเหมาะสม

1. สอบทานวามการก าหนดขนตอนวธปฏบตเกยวกบการขอปรบปรงแกไขระบบงาน หรอไม และมกระบวนการ ในการควบคมการเปลยนแปลงแกไขหรอไม 2. สอบทานวามเอกสารบนทกการเปลยนแปลงความตองการระบบของผใชงานหรอไม 3. สอบทานวาการเปลยนแปลงระบบงานหรอขอมลมการขออนมตจากผมอ านาจหรอไม 4. สอบทานวาการน าโปรแกรมระบบงานออกใชงาน ไดรบการอนมตจากผมอ านาจหรอไม 5. สอบทานวามการควบคมการตดตงโปรแกรมใหมความเหมาะ สมหรอไม เชน มกระบวนการตดตงทถกตองทงเวลา และสถานท

DPU

82

4.2.3 การสงมอบและการสนบสนน (DS : Delivery and Support) วตถประสงคของการตรวจสอบ : เพอใหมนใจวา 1. มความเขาใจทถกตองในระดบบรการทตองการ 2. มการก าหนดหนาทความรบผดชอบของผใหบรการอยางชดเจน และมการ

ด าเนนการทถกตอง ตอเนอง 3. เทคโนโลยสารสนเทศมประสทธภาพและความสามารถในการใหบรการไดตามท

ก าหนด สามารถใหบรการไดอยางตอเนอง และกระทบตอธรกจนอยทสดหากมเหตการณทท าใหหยดชะงก

4. มการปกปองขอมลจากการถกใช เปดเผย แกไข ท าลาย โดยไมไดรบอนมต หรอปองกนขอมลสญหาย ขอมลมความสมบรณ ถกตอง และนาเชอถอ

5. การก าหนดและจดสรรตนทนเปนไปอยางถกตองและเหมาะสม 6. ผใชระบบงานสามารถใชไดอยางมประสทธภาพ มการใหความชวยเหลอและแกไข

ปญหาแกผใชระบบงานอยางเหมาะสม มการหาสาเหตของปญหาและปองกนไมใหเกดขนซ าอก 7. มการควบคมดแลทรพยสนทางดานเทคโนโลยสารสนเทศอยางเหมาะสม และม

การควบคมการเปลยนแปลง 8. ทรพยากรทางดานเทคโนโลยสารสนเทศ และบคลากร มความปลอดภย 9. การปฏบตการดานเทคโนโลยสารสนเทศมการด าเนนงานอยางสม าเสมอและเปน

ล าดบอยางถกตอง ตารางท 4.19 ถง ตารางท 4.31 แสดงแนวการตรวจสอบการสงมอบและการสนบสนน

(DS : Delivery and Support)

DPU

83

ตารางท 4.19 DS1 : การก าหนดและการจดการระดบการใหบรการ (Define and Manage Service Levels)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- เกดการเขาใจทคลาด เคลอนของระดบบรการทเปนทตองการ

1. มการก าหนดกรอบขอตกลงและหลกเกณฑขอตกลงของระดบการใหบรการ โดยจดท า เปนเอกสารลายลกษณอกษรและชดเจน 2. มการก าหนดวธปฏบตเกยวกบการใหบรการ เพอให เกดประสทธภาพ 3. มกระบวนการในการตดตามและการรายงานความกาวหนา ของการใหบรการ 4. มการทบทวนขอตกลงและสญญาเกยวกบระดบการให บรการ 5. มการก าหนดแผนการปรบ ปรงการใหบรการ 6. มการก าหนดรายการทคดคาบรการอยางชดเจน

1. สอบทานวามการก าหนดกรอบและหลกเกณฑขอตกลงของระดบการใหบรการ โดยจด ท าเปนเอกสารลายลกษณอกษร ซงมความสมบรณและชดเจนหรอไม และขอตกลงดงกลาวครอบคลมถงความนาเชอถอและความมประสทธภาพหรอไม 2. สอบทานวามการก าหนด วธปฏบตเกยวกบการใหบรการหรอไม 3. สอบทานวามกระบวนการในการตดตามและการรายงานความกาวหนาของการใหบรการหรอไม 4. สอบทานวามการตรวจสอบหรอมการทบทวนขอตกลงและสญญาเกยวกบระดบการใหบรการหรอไม 5. สอบทานวามการก าหนดแผนการปรบปรงการใหบรการหรอไม 6. สอบทานวามการก าหนด

DPU

84

ตารางท 4.19 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

รายการทคดคาบรการอยางชดเจนหรอไม

ตารางท 4.20 DS2 : การจดการการใชบรการจากบคคลภายนอก (Manage Third-Party Services)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ไดรบบรการทไมมประสทธภาพ และไมเปนไปตามขอตกลงทไดก าหนดไว

1. มการก าหนดขนตอนวธปฏบตเกยวกบการใชบรการจากบคคลภายนอกและมการก าหนดคณสมบตของผใหบรการ 2. สญญาการใชบรการจากบคคลภายนอกจะตองมความละเอยดชดเจน ทงขอบเขตของการบรการ การก าหนดบทบาทหนาทความรบผดชอบของคสญญา ความตอเนองของการบรการ และมการระบขอตกลงในดานการรกษาความปลอดภย 3. มกระบวนการในการตดตามและการรายงานความกาวหนาของการใหบรการ

1. สอบทานการประสานงานกบผใหบรการวาเปนอยางไร มความสมพนธทดกบเจาของระบบหรอไม 2. สอบทานวามการก าหนดขนตอนวธปฏบตเกยวกบการใชบรการจากบคคลภายนอกและมการก าหนดคณสมบตของผ ใหบรการหรอไม และมการมปฏบตตามขนตอนวธปฏบตทก าหนดไวหรอไม 3. สอบทานวาสญญาการใชบรการจากบคคลภายนอก มความละเอยดชดเจน ทงขอบเขตของการบรการ การก าหนดบทบาทหนาทความรบผดชอบของคสญญา ความตอเนองของการบรการ และมการระบ

DPU

85

ตารางท 4.20 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

ขอตกลงในดานการรกษาความปลอดภยหรอไม 4. สอบทานกระบวนการในการตดตามและการรายงานความกาวหนาของการใหบรการ

ตารางท 4.21 DS3 : การจดการดานประสทธภาพและความสามารถ (Manage Performance and Capacity)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ทรพยากรดานเทคโน-โลยสารสนเทศไมมประสทธภาพ สงผลใหไมสามารถสนบสนนความตองการทางดานธรกจไดอยางตอเนองตลอดเวลา ท าใหขาดโอกาสในด าเนนธรกจ

1. มการก าหนดความตองการดานความพรอมส าหรบการใชงานและประสทธภาพของการใหบรการสารสนเทศโดยพจารณาจากความตองการของธรกจ 2. มการก าหนดแผนงานเกยวกบสภาพความพรอมใชงานของเทคโนโลยสารสนเทศ 3. มการก าหนดกระบวนการในการตดตามและรายงานถงประสทธภาพของทรพยากรทางดานเทคโนโลยสารสนเทศ

1. สอบทานวามการก าหนดความตองการดานความพรอมส าหรบการใชงานและประสทธภาพของการใหบรการสารสนเทศโดยพจารณาจากความตองการของธรกจหรอไม 2. สอบทานวามการก าหนดแผนงานเกยวกบสภาพความพรอมใชงานของเทคโนโลยสารสนเทศหรอไม 3. สอบทานวามการก าหนดกระบวนการในการตดตามและรายงานถงประสทธภาพของ

DPU

86

ตารางท 4.21 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

4. มการใชเครองมอในการจ าลองระบบ เพอชวยในการคาดคะเนความสามารถ ความไววางใจ ประสทธภาพความตองการความพรอมใชงาน ตลอดจนมการพยากรณทางดานเทคโนโลยในอนาคต 5. มกระบวนการในการวางแผนส าหรบการทบทวนประสทธ ภาพของฮารแวรและความสามารถของทรพยากรดาน เทคโนโลยสารสนเทศ และม การปองกนทรพยากรจากการไมสามารถพรอมใชงาน 6. มแผนการจดหาทรพยากรดานเทคโนโลยสารสนเทศ

ทรพยากรทางดานเทคโนโลยสารสนเทศหรอไม 4. สอบทานวามการใชเครองมอในการจ าลองระบบ เพอชวยในการคาดคะเนความสามารถ ความไววางใจ ประสทธภาพความตองการความพรอมใชงาน ตลอดจนมการพยากรณทางดานเทคโนโลยในอนาคตหรอไม หรอมการตรวจสอบปญหาทางดานฮารดแวรและซอฟตแวร กอนทจะเกดความเสยหายหรอ ไม 5. สอบทานวามการก าหนดกระบวนการในการวางแผนส าหรบการทบทวนประสทธ ภาพของฮารแวรและความ สามารถของทรพยากรดานเทคโนโลยสารสนเทศ และมการปองกนทรพยากรจากการไมสามารถพรอมใชงานหรอไม 6. สอบทานวามการก าหนดแผนการจดหาทรพยากรดานเทคโนโลยสารสนเทศหรอไม

DPU

87

ตารางท 4.22 DS4 : ความตอเนองในการใหบรการ (Ensure Continuous Service)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ธรกจเกดการหยดชะงก ซงท าใหสญเสยลกคา รายได หากเกดการหยด ชะงกเปนเวลานานเกน ไป อาจเกดผลกระทบจนถงขนตองปดกจการ

1. มการก าหนดกรอบงานความตอเนองทางธรกจ ซงมการก าหนดบทบาท หนาท ความรบผดชอบ ระบยบวธพนฐานความเสยง กฎและโครงสรางการวางแผนตอเนอง และกระบวนการในการอนมต 2. มการจดแผนการด ารงอยดานเทคโนโลยสารสนเทศเปนลายลกษณอกษร และมเนอหา เกยวกบแนวทางฉกเฉนเพอท าใหแนใจถงความปลอดภยของผรวมงาน มกระบวนการกคนระบบทจะน ากลบสสภาวะเดมกอนทจะเกดเหตการณหรอความเสยหายตาง ๆ กระบวน การประสานงานกบผทมอ านาจ กระบวนการสอสารกบผมสวนไดเสย ลกคา ลกจางและคคา 3. การจดท าแผนการด ารงอยหรอแผนตอเนองดานเทคโนโลย สารสนเทศ มความครอบคลมแผนตอเนองทางดานธรกจทงหมด เพอใหมความสอด คลอง และค านงถงการวางแผน

1. สอบทานวาองคกรมการก าหนดกรอบงานความตอเนองทางธรกจ ซงมการก าหนดบทบาท หนาท ความรบผดชอบ ระบยบวธพนฐานความเสยง กฎและโครงสรางการวางแผนตอเนอง และกระบวนการในการอนมตหรอไม 2. สอบทานวาองคกรมการจดแผนการด ารงอยดานเทคโนโลยสารสนเทศเปนลายลกษณอกษร และมเนอหาเกยวกบแนวทางฉกเฉน เพอท าใหแนใจถงความปลอดภยของผรวมงาน มกระบวนการกคนระบบทจะน ากลบสสภาวะเดมกอนทจะเกดเหตการณหรอความเสยหาย ตางๆ กระบวน การประสานงานกบผทมอ านาจ กระบวนการสอสารกบผมสวนไดเสย ลกคา ลกจางและคคา หรอไม 3. สอบทานวาการจดท าแผนการด ารงอยหรอแผนตอเนองดานเทคโนโลยสารสนเทศ มความครอบคลมแผนตอเนองทางดาน

DPU

88

ตารางท 4.22 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

เทคโนโลยสารสนเทศระยะสน และระยะยาว 4. มการก าหนดความตองการขนต าในเรองของบคลากร ฮารดแวร ซอฟตแวร อปกรณ แบบฟอรม ความสะดวกสบาย คคาตาง ๆ 5. มการบ ารงรกษาแผนการด ารงอยดานเทคโนโลยสาร-สนเทศใหมความทนสมยและสะทอนความตองการทางธรกจอยางแทจรง 6. มการทดสอบแผนการด ารงอยทางดานเทคโนโลยสารสน-เทศ ซงผลการทดสอบสามารถน ามาใชและปรบปรงแผนใหมความเหมาะสม 7. มการฝกอบรมเกยวกบแผน การด ารงอยทางดานเทคโนโลยสารสนเทศ 8. มการเผยแพรแผนการด ารงอยดานเทคโนโลยสารสนเทศให แกบคคลทเกยวของ 9. มระเบยบการปฏบตงานส ารองทเปนทางเลอกในการ

ธรกจทงหมด เพอใหมความ สอดคลอง และค านงถงการวางแผนเทคโนโลยสารสนเทศระยะสนและระยะยาวหรอไม 4. สอบทานวาองคกรมการก าหนดความตองการขนต าในเรองของบคลากร ฮารดแวร ซอฟตแวร อปกรณ แบบฟอรม ความสะดวกสบาย คคาตาง ๆ หรอไม 5. สอบทานวามการบ ารงรกษาแผนการด ารงอยดานเทคโนโลยสารสนเทศใหมความทนสมยและสะทอนความตองการทางธรกจอยางแทจรง หรอไม 6. สอบทานวามการทดสอบแผนการด ารงอยทางดานเทคโนโลยสารสนเทศ ซงผลการทดสอบสามารถน ามาใชและปรบปรงแผนใหมความเหมาะ สมหรอไม 7. สอบทานวามการฝกอบรมเกยวกบแผนการด ารงอยทาง ดานเทคโนโลยสารสนเทศหรอไม

DPU

89

ตารางท 4.22 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

ปฏบตของผใช โดยมกระบวน การในการใหผใชแตละแผนกม สวนรวมในการส ารองขอมลเพอใหกคนระบบไดหลงจากเกดความเสยหาย 10. ในการวางแผนตอเนองควรมการระบถงทรพยากรทางดานเทคโนโลยสารสนเทศ เชน รายการของแอพลเคชน การบรการของบคคลภยนอก ระบบปฏบตการ บคลากร คคา ขอมล และชวงเวลาทจ าเปนส าหรบการกคนระบบหลงจากม ความเสยหายเกดขน ขอมลทส าคญและการปฏบตงานควรจะถกระบเปนลายลกษณอกษร จดล าดบความส าคญ และมการอนมตโดยเจาของธรกจ 11. มการก าหนดศนยส ารองและฮารดแวรทใชในการส ารองระบบ 12. มการจดเกบสอขอมลส ารองไวนอกสถานท ซงมสภาพแวด - ลอมทเหมาะสมกบสอบนทก มมาตรการในการปองกนความ

8. สอบทานวามการเผยแพรแผนการด ารงอยดานเทคโนโลย สารสนเทศใหแกบคคลทเกยวของหรอไม 9. สอบทานวาองคกรมการก าหนดใหมระเบยบการปฏบตงานส ารองทเปนทางเลอกในการปฏบตของผใช โดยมกระบวนการในการใหผใชแตละแผนกมสวนรวมในการส ารองขอมลเพอใหกคนระบบไดหลงจากเกดความเสยหายหรอไม 10. สอบทานวาในการวางแผนตอเนองมการระบถงทรพยากรทางดานเทคโนโลยสารสนเทศ ส าหรบการกคนระบบ โดยมการระบเปนลายลกษณอกษร จดล าดบความส าคญ และมการอนมตโดยผมอ านาจหรอไม 11. สอบทานวาองคกรมการก าหนดศนยส ารองและฮารดแวรทใชในการส ารองระบบหรอไม 12. สอบทานวามการจดเกบสอขอมลส ารองไวนอกสถานท ซงมสภาพแวดลอม ทเหมาะสม

DPU

90

ตารางท 4.22 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

ปลอดภยของการส ารองทรพยากร การจดเกบภายนอกมการประเมนและตรวจสอบเปน ระยะๆ ในเรองการปองกนจากสงแวดลอมและความปลอดภย 13. มการก าหนดระเบยบปฏบตในการสรปผล โดยมกระบวน การในการประเมนการวางแผนและมการปรบปรงแผนใหทนสมยอยเสมอ

กบสอบนทก มมาตรการในการปองกนความปลอดภยของการส ารองทรพยากร มการประเมน และตรวจสอบเปนระยะ ๆ ในเรองการปองกนจากสงแวดลอมและความปลอดภยหรอไม 13. สอบทานวามการก าหนดระเบยบปฏบตในการสรปผล โดยมกระบวนการในการประเมนการวางแผน และมการปรบปรงแผนใหทนสมยอยเสมอหรอไม

ตารางท 4.23 DS5 : การรกษาความปลอดภยระบบ (Ensure Systems Security)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. ขอมลถกใช เปดเผย แกไข ท าลาย โดยไมไดรบอนญาต 2. ขอมลสญหาย 3. ระบบงานไมสามารถท างานได

1. มกระบวนการบรหารจดการดานความปลอดภยทด โดยการก าหนดนโยบาย มาตรฐาน ขนตอนการปฏบตงานดานการรกษาความปลอดภย มการตรวจสอบตดตามดานความปลอดภย มการทดสอบความ ถกตองเปนประจ า มการแกไข

1. สอบทานวามกระบวนการบรหารจดการดานความปลอดภย หรอไม 2. สอบทานวามการก าหนดอ านาจหรอสทธและมการควบคมการเขาสระบบหรอไม 3. สอบทานวามการปองกนการแกไขระบบควบคมทก าหนดไว

DPU

91

ตารางท 4.23 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

จดออนดานความปลอดภยท ตรวจพบดวยกระบวนการทมความถกตอง และมการทบทวนความนาเชอถอของระบบรกษา ความปลอดภย 2. มการก าหนดอ านาจหรอสทธและมการควบคมการเขาสระบบ 3. มการปองกนการแกไขระบบควบคมทก าหนดไว 4. มการจดการเกยวกบรหสลบ 5. มมาตรการรกษาความปลอดภยในการเขาถงขอมลแบบออนไลน 6. มการจ าแนกประเภทขอมล 7. มการสอบทานและควบคมบญชผใชงาน 8. มการรายงานการละเมดและ กจกรรมทเกยวของกบความปลอดภย และมการจดการกบ เหตการณทเกดขน 9. มการก าหนดการอนมตรายการ 10. ก าหนดใหมการปฏเสธรายการทผดเงอนไข 11. มการก าหนดชองทางการ

หรอไม 4. สอบทานวามการจดการเกยวกบรหสลบหรอไม 5. สอบทานวามมาตรการรกษาความปลอดภยในการเขาถงขอมลแบบออนไลนหรอไม 6. สอบทานวามการจ าแนกประเภทขอมลหรอไม 7. สอบทานวามการควบคมบญชผใชงานหรอไม 8. สอบทานวามการรายงานการละเมดและกจกรรมทเกยวของกบความปลอดภย การจดการกบเหตการณทเกดขนหรอไม 9. สอบทานความเหมาะสมของการก าหนดอ านาจการอนมตรายการ 10. สอบทานวามการก าหนดใหมการปฏเสธรายการทผดเงอนไขหรอไม 11. สอบทานวามการก าหนดชองทางการรบสงขอมล และพจารณาวามความนาเชอถอหรอไม

DPU

92

ตารางท 4.23 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

รบสงขอมลทเชอถอได 12. มการปองกน การตรวจหาและการแกไขเกยวกบโปรแกรมทเปนอนตรายตอองคกร 13. ก าหนดโครงสรางไฟรวอลลและการเชอมโยงกบเครอขายสาธารณะ 14. มการปองกนความเสยหายของขอมลอเลกทรอนกส

12. สอบทานวามการปองกน การตรวจหา และการแกไขเกยวกบโปรแกรมทเปนอนตรายตอองคกรหรอไม 13. สอบทานวามการก าหนดโครงสรางไฟรวอลลและการเชอมโยงกบเครอขายสาธารณะหรอไม 14. สอบทานวามการปองกนความเสยหายของขอมลอเลกทรอนกสหรอไม

ตารางท 4.24 DS6 : การก าหนดและจดสรรตนทน (Identify and Allocate Costs)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. เกดความเสยหายจากการก าหนดนโยบายในการจดสรรงบประมาณในการด าเนนงานทไมเหมาะสม 2. เกดความเสยหายจากการใชทรพยากรทไมเหมาะสม 3. การเรยกเกบคาบรการ

1. รายการทสามารถบนทกคาใชจายเปนตนทนดานเทคโนโลยสารสนเทศไดมการระบไว สามารถวดได และสามารถค านวณไดโดยผใชงาน เพอผใชงานจะสามารถควบคมการใชบรการทางเทคโนโลยสารสนเทศ 2. การจดสรรตนทนดาน

1. สอบทานวามการระบรายการทสามารถคดคาบรการไดหรอไม 2. สอบทานวามการก าหนดระเบยบปฏบตในเรองการจดการตนทน 3. สอบทานความเหมาะสมของการจดสรรตนทนดานเทคโน - โลยสารสนเทศ 4. สอบทานวามการก าหนด

DPU

93

ตารางท 4.24 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

กบผใชงานไมถกตองเหมาะสม

เทคโนโลยสารสนเทศมความยตธรรม ตววดมความถกตอง แมนย าและไดรบความเหนชอบจากผใชงาน 3. มการก าหนดระเบยบปฏบตในเรองการจดการตนทน ความแตกตางระหวางตนทนทประ มาณการและตนทนทเกดขนจรงไดมการวเคราะหอยางเหมาะสม 4. ผบรหารมการประเมนผลของตนทนทางเทคโนโลยสารสนเทศอยางสม าเสมอ 5. มการก าหนดระเบยบปฏบต การเรยกเกบคาใชจายและการคนคาใชจาย โดยมการคด คาบรการทเหมาะสมกบทรพยากรทางเทคโนโลยสารสนเทศ และเกดความยตธรรมกบหนวยงานผใชงานและความตองการ อตราการเกบคาบรการสะทอนถงตนทนการจดการบรการ

ระเบยบปฏบตการเรยกเกบคาใชจายและการคนคาใชจาย หรอไม 5. สอบทานความเหมาะสมของการเรยกเกบคาใชจาย และการคนคาใชจาย

DPU

94

ตารางท 4.25 DS7 : การใหความรและฝกอบรมผใชงาน (Educate and Train Users)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. ผใชขาดความรความเขาใจในระบบงาน ท าใหไมสามารถใชระบบงานไดอยางมประสทธภาพ 2. ผใชขาดความเขาใจถงความเสยง และความรบผดชอบทเกยวเนองในการใชนน ๆ

1. มการก าหนดแผนฝกอบรมทจ าเปนใหแกพนกงานในแตละระดบ โดยมการใหความรและฝกอบรมในเรองเกยวกบระบบสารสนเทศ และมการวดผลของการฝกอบรมนน ๆ 2. มการก าหนดเปาหมายของการอบรมในแตละระดบพนกงาน 3. มการอบรมใหมความ ตระหนกในเรองการรกษาความปลอดภย

1. สอบทานวามการก าหนดแผนฝกอบรมทจ าเปนใหแกพนกงานในแตละระดบ และมการก าหนดเปาหมายของการอบรมในแตละระดบของพนกงานหรอไม 2. สอบทานวามการอบรมพนกงานใหมความตระหนกในเรองการรกษาความปลอดภยหรอไม

ตารางท 4.26 DS8 : การใหความชวยเหลอและค าแนะน าแกผใชระบบงานในองคกร (Assist and Advise Customers)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ไมสามารถแกไขปญหาของผใชงาน หรอแกไขปญหาไมตรงจด

1. มการจดตงหนวยงานทท า หนาทในการใหบรการชวยเหลอ ผใชงาน ตดตอแกไขปญหาให กบผใชงานอยางใกลชด 2. มการก าหนดระดบขนในการจดการเหตการณ วเคราะหแนวโนมและสาเหตของปญหา

1. สอบทานวามการจดตงหนวยงานทท าหนาทใน การใหบรการชวยเหลอ ผใชงาน หรอไม 2. สอบทานวามการก าหนดระเบยบหรอขนตอนปฏบตงานในการแกไขปญหาขอซกถาม

DPU

95

ตารางท 4.26 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

และก าหนดแนวทางทใชในการ แกไขปญหาทชดเจน 3. มการบนทกปญหาตาง ๆ ทถกสอบถาม 4. มการก าหนดระเบยบหรอขน ตอนวธปฏบตงานในการแกไข ปญหาขอซกถามของผใชงานทไมสามารถแกไขไดทนท 5. มการก าหนดระเบยบหรอขนตอนวธปฏบตงานส าหรบการตดตามการแกไขปญหาทเกดขน 6. มการรายงานอยางเพยงพอเกยวกบการถามค าถามจากผใชงานและแนวทางการแกไข เวลาทตอบกลบ มการวเคราะหแนวโนมและรายงานการวเคราะห

ของผใชงานหรอไม 3. สอบทานวามการก าหนดระเบยบหรอขนตอนการปฏบตในการตดตามการแกไขปญหาหรอไม 4. สอบทานวามการรายงานอยางเพยงพอเกยวกบการถามค าถามจากผใชงานและแนวทางการแกไข เวลาทตอบกลบ มการวเคราะหแนวโนมและรายงานการวเคราะห หรอไม

DPU

96

ตารางท 4.27 DS9 : การจดการรายละเอยดทรพยสน (Manage the Configuration)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

1. มการแกไขเปลยนแปลงรายละเอยดทรพยสนโดยไมไดรบอนญาต 2. มการน าโปรแกรมทไมไดรบอนญาตให น ามาใชงานเขามา ซง อาจท าใหเกดการละเมดลขสทธได 3. ทรพยสนมการสญหาย

1. มการสรางและดแลรกษาแหลงทใชในการเกบคารายละเอยด ตาง ๆ ใหมความถกตองและสมบรณอยเสมอ 2. ขอมลพนฐานของรายละเอยด ทรพยสน สถานภาพของทรพย สน ซงสามารถตรวจสอบไดถามการเปลยนแปลง 3. มการควบคมรายละเอยดทรพยสน เพอใหมนใจในความคงอยและความถกตองของการบนทกลกษณะตาง ๆ ทางดานเทคโนโลยสารสนเทศไดถกตรวจสอบเปนระยะ ๆ 4. มการก าหนดนโยบายทชดเจนในการใชซอฟตแวร เพอปองกนการใชซอฟตแวรทไมมลขสทธหรอไมไดรบอนญาตใหน ามาใชงาน มการตรวจสอบคอมพว - เตอรของบคลากรเปนระยะ ๆ มการทบทวนความตองการของฮารดแวรและซอฟตแวรทมลขสทธอยางสม าเสมอ 5. การจดเกบซอฟตแวรและขอมลทใชงานจรง แยกออกจาก

1. สอบทานวามบนทกรายการและรายละเอยดของทรพยสนอยางครบถวนถกตองหรอไม 2. สอบทานวามการบนทก สถานภาพปจจบนของทรพย สนตาง ๆ และมการสอบทานอยางสม าเสมอหรอไม 3. สอบทานวามการก าหนดนโยบายทชดเจนในการใชซอฟตแวร และมการตรวจสอบคอมพวเตอรของบคลากรเปนระยะ ๆ หรอไม 4. สอบทานวามการทบทวนความตองการของฮารดแวรและซอฟตแวรทมลขสทธอยางสม าเสมอหรอไม 5. สอบทานวามการจดเกบซอฟตแวรและขอมลทใชงานจรง แยกออกจากสวนอน ๆ เชน การพฒนาระบบการทดสอบหรอไม 6. สอบทานวามการก าหนดระเบยบหรอขนตอนปฏบต การจดการเกยวกบรายละเอยดทรพยสนหรอไม

DPU

97

ตารางท 4.27 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

สวนอน ๆ เชน การพฒนาระบบ การทดสอบ 6. มการก าหนดระเบยบหรอขนตอนปฏบต การจดการเกยว กบรายละเอยดทรพยสน เพอ ใหมนใจวาองคประกอบส าคญ ของการใชทรพยากรในองคกรมการระบและการบ ารงรกษาทเหมาะสม 7. มการก าหนดความรบผดชอบดานซอฟตแวร โดยซอฟตแวร ควรมการท าฉลาก (Label), มการเกบรายละเอยด มการจดการเรองไลบรารของซอฟตแวร เพอตรวจสอบการเปลยนแปลงของโปรแกรมและการบ ารงรกษาเวอรชนของโปรแกรม เปนตน 8. มการเกบรวบรวมคา configuration เรมตน มการสราง baseline ตาง ๆ มการตรวจสอบความถกตองของคา configuration และมการปรบปรงแหลงทเกบคา configuration ใหทนสมยอยเสมอ

7. สอบทานวามการก าหนดความรบผดชอบดานซอฟตแวร โดยซอฟตแวรควรมการท าฉลาก (Label) หรอไม

DPU

98

ตารางท 4.28 DS10 : การจดการปญหาและเหตการณทเกดขน (Manage Problems and Incidents)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ปญหาเดมอาจเกดขนอก เพราะไมสามารถปองกน การเกดขนของปญหาได

1. มระบบการจดการปญหา มการจดระบและจดกลมของปญหา การวเคราะหสาเหตของปญหาเพอใหมนใจวา เหตการณทงหมด ทเกดขน ปญหา และขอบกพรอง ไดถกบนทก วเคราะห และได การแกไขปญหาไดทนเวลา 2. มการก าหนดขนตอนการแกไขปญหา เพอใหการด าเนน การแกไขปญหาทตรวจสอบในแนวทางทไดผลและทนเวลา การจดล าดบความส าคญมความ เหมาะสม มการจดท าเปนเอกสาร เปนตน 3. มการจดเกบหลกฐานการตรวจสอบและการตดตามปญหา การตรวจสอบอยางพอเพยงจากเหตการณเพอหาสาเหตของปญหา 4. มการก าหนดล าดบการประมวลผลกรณฉกเฉน และ และขนตอนการอนญาตใหเขาถงระบบในกรณฉกเฉนและชวคราว มการก าหนดผอนมตในกรณดงกลาว

1. สอบทานวามระบบการจดการปญหา เชน มการจด ระบและจดกลมของปญหา และการวเคราะหสาเหตของปญหา หรอไม 2. สอบทานวามการก าหนดขนตอนการแกไขปญหา หรอ ไม 3. สอบทานวามการจดเกบหลกฐานการตรวจสอบและการตดตามเพอหาสาเหตของปญหาหรอไม 4. สอบทานวามการก าหนดล าดบการประมวลผลกรณฉกเฉน และขนตอนการอนญาตใหเขาถงระบบในกรณฉกเฉนและชวคราว มการก าหนดผอนมตหรอไม

DPU

99

ตารางท 4.29 DS11 : การจดการขอมล (Manage Data)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

- ขอมลสญหาย ไมถก ตองครบถวน ขาดความนาเชอถอ ท าใหการตด สนใจของผบรหารผด พลาดได

1. มการก าหนดขนตอนปฏบตในการจดเตรยมขอมล 2. มการก าหนดขนตอนปฏบตในการอนมตใหน าขอมลเอกสารเขาสระบบ 3. การก าหนดขนตอนการรวบ รวมขอมลเขาสระบบ การแกไขขอผดพลาดของขอมลเขาสระบบ ระยะเวลาการจดเกบขอมลเอกสารประกอบรายการ 4. มการก าหนดระเบยบปฏบตวาดวยสทธในการน าขอมลเขาประมวลผล 5. มการตรวจสอบความสมบรณ ถกตองของการอนมตรายการ การประมวลผลขอมล 6. มการแกไขขอมลทบนทกผดพลาด และมการแกไขขอผด พลาดในการประมวลผลขอมล 7. มการตรวจสอบความสมเหต สมผลในการแกไขขอผดพลาดของการประมวลผลขอมล 8. มขนตอนปฏบตในการจดการ ผลลพธและการจดเกบ การแจกจายรายงาน การสอบยนและ

1. สอบทานวาองคกรมการมการก าหนดระเบยบหรอขนตอนปฏบตในเรองตางๆดงน หรอไม - การจดเตรยมขอมล - การอนมตใหน าขอมลเอกสารเขาสระบบ - การรวบรวมขอมลเขาสระบบ การแกไขอผดพลาดของขอมลเขาสระบบ - ระยะเวลาการจดเกบขอมลและเอกสารประกอบรายการ - สทธในการน าขอมลเขาประมวลผล 5. สอบทานวามการตรวจสอบความสมบรณ ถกตองของการอนมตรายการ การประมวลผลขอมล หรอไม 6. สอบทานวามการแกไขขอมลทบนทกผดพลาด และมการแกไขขอผดพลาด ในการประมวลผลขอมลหรอไม 7. สอบทานความสมเหตสมผลในการแกไขขอผดพลาดของการประมวลผลขอมล

DPU

100

ตารางท 4.29 (ตอ)

ความเสยง การควบคมทควรม (Suggested Control)

ทดสอบ/ตรวจสอบ

กระทบยอดรวมของรายงาน การ สอบทานและการแกไขขอผด พลาดของรายงาน มขอก าหนดในการรกษาความปลอดภยของรายงาน 9. มการปองกนขอมลทมความ ส าคญในระหวางการเคลอนยายหรอสงผาน 10. มการปองกนขอมลส าคญทบนทกอยบนสอบนทกขอมลทองคกรไดจ าหนายทง 11. มขนตอนปฏบตในการจดการดานการจดเกบขอมล ก าหนด ระยะเวลาและเงอนไขการจดเกบขอมล มระบบการจดการคลงสอบนทกขอมล มการก าหนดความ รบผดชอบในการจดการคลงสอบนทกขอมล การคงความถกตองของขอมลทจดเกบ 12. มการก าหนดขนตอนปฏบต งานดานการส ารองขอมล การจด เกบขอมลชดส ารอง การจดเกบขอมลถาวร 13. การปองกนขอความทส าคญ 14. การก าหนดวธการพสจนตน

8. สอบทานวาองคกรมการก าหนดขนตอนปฏบตในการจดการผลลพธและการจดเกบ การแจกจายรายงาน การสอบยนและกระทบยอดรวมของรายงาน การสอบทานและการแกไขขอผดพลาดของรายงานและมขอก าหนดในการรกษาความปลอดภยของรายงานหรอไม 9. สอบทานวามการปองกนขอมลทมความส าคญในระหวางการเคลอนยาย 10. สอบทานวามการปองกนขอมลส าคญทบนทกอยบนสอบนทกขอมลทองคกรไดจ าหนายทง 11. สอบทานวามการก าหนดขนตอนปฏบตในการจดการดานการจดเกบขอมล ก าหนดระยะเวลา และเงอนไขการจดเกบขอมล มระบบการจดการคลงสอบนทกขอมล มการก าหนดความรบผดชอบในการจดการคลงสอบนทกขอมล การ

DPU

101

ตารางท 4.29 (ตอ) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตรวจสอบ

และความครบถวนถกตอง 15. การก าหนดวธการด าเนนการ และการตรวจสอบความครบถวนถกตองของรายการธรกรรมอเลกทรอนกส

คงความถกตองของขอมลทจดเกบ 12. สอบทานวามการก าหนดขนตอนปฏบตงานดานการส ารองขอมล การจด เกบขอมลชดส ารอง การจดเกบขอมลถาวร 13. สอบทานวธการปองกนขอความทส าคญ 14. สอบทานการก าหนดวธการพสจนตนและความครบถวนถกตอง

ตารางท 4.30 DS12 : การจดการดานสงอ านวยความสะดวก (Manage Facilities) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตรวจสอบ

1. บคลากรไดรบอนตรายจากการท างาน 2. อปกรณทางดานเทคโนโลยสารสนเทศไดรบความเสยหาย 3. เกดการหยดชะงกของการด าเนนธรกจ หากเกดความเสยหายกบอปกรณ

1. มกระบวนการของการบรหารจดการในดานสงอ านวยความสะดวก ตงแตขนตอนของการระบความตองการของสถานทตง การคดเลอกอปกรณทเหมาะสม การออกแบบกระบวนการทมประสทธภาพเพอใชการตรวจสอบตดตามปจจยของ

1. สอบทานวามกระบวนการของการบรหารจดการในดานสงอ านวยความสะดวก หรอไม 2. สอบทานวามการก าหนดมาตรการความปลอดภยทางกายภาพ ความปลอดภยของสถานททต งศนยคอมพวเตอร

DPU

102

ตารางท 4.30 (ตอ) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตรวจสอบ

ทางดานเทคโนโลยทมความส าคญ

สภาพแวดลอมตาง ๆ 2. มมาตรการความปลอดภยทางกายภาพ ความปลอดภยของสถานททต งศนยคอมพวเตอร 3. มการควบคมการเขาออกศนยคอมพวเตอร 4. มมาตรการความปลอดภยและสขอนามยของบคลากร 5. มมาตรการปองกนภยจากปจจยรอบขาง 6. มเครองจายกระแสไฟฟาส ารอง

หรอไม 3. สอบทานวามการควบคมการเขาออกศนยคอมพวเตอรหรอไม 4. สอบทานวามมาตรการความปลอดภยและสขอนามยของบคลากรหรอไม 5. สอบทานวามมาตรการปองกนภยจากปจจยรอบขางหรอไม 6. สอบทานวามเครองจายกระแสไฟฟาส ารองหรอไม

ตารางท 4.31 DS13 : การจดการดานการปฏบตการ (Manage Operations) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตรวจสอบ

1. เกดปฏบตการดานเทคโนโลยสารสนเทศเกดการหยดชะงก 2. ผลลพธจากปฏบตการดานเทคโนโลยสารสน- เทศ ไมครบถวนสมบรณ

1. มระเบยบปฏบตและคมอค าสงการประมวลผล 2. มเอกสารขนตอนการเรมท างานของระบบ และคมอการปฏบต งานอน ๆ 3. มการจดตารางการปฏบตงาน 4. มการก าหนดขนตอนการปฏบตงานกรณมการประมวลผล

1. สอบทานวามระเบยบปฏบตและคมอค าสงการประมวลผลหรอไม 2. สอบทานวามเอกสารแสดงขนตอนการเรมท างานของระบบ และคมอการปฏบตงานอนๆหรอไม 3. สอบทานวามการจดตาราง

DPU

103

ตารางท 4.31 (ตอ) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตรวจสอบ

นอกเหนอจากตารางการปฏบตงาน 5. มการควบคมความตอเนองของการประมวลผล 6. มการบนทกเหตการณการปฏบตงาน 7. มมาตรการในการปองกนเอกสารหรออปกรณทส าคญ 8. มขนตอนปฏบตงานและการควบคมการปฏบตงานระยะไกล

การปฏบตงาน และมการก าหนดขนตอนการปฏบตงานกรณมการประมวลผลนอกเหนอจากตารางการปฏบตงานหรอไม 5. สอบทานวามการควบคมความตอเนองของการประมวล ผลหรอไม 6. สอบทานวามการบนทกเหตการณการปฏบตงานหรอไม 7. สอบทานวามมาตรการในการปองกนเอกสารหรออปกรณทส าคญหรอไม 8. สอบทานวามขนตอนปฏบตงานและการควบคมการปฏบตงานระยะไกลหรอไม

4.2.4 การตดตามผล (M : Monitoring)

วตถประสงคของการตรวจสอบ : เพอใหมนใจวา 1. กจกรรมดานเทคโนโลยสารสนเทศสามารถบรรลเปาหมายการปฏบตงานตามท

ก าหนด 2. เปาหมายของการควบคมภายในของกจกรรมดานเทคโนโลยสารสนเทศสามารถบรรลไดตามทก าหนด 3. เพอเพมความมนใจและการไววางใจระหวางองคกร ผใชระบบ และบคคลภายนอก 4. เพอเพมระดบความมนใจและประโยชนจากผเชยวชาญในวธการปฏบตทด

ตารางท 4.32 ถง ตารางท 4.35 แสดงแนวการตรวจสอบการตดตามผล (M : Monitoring)

DPU

104

ตารางท 4.32 M1 : การตดตามกระบวนการท างาน (Monitor the Processes) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตรวจสอบ

- การปฏบตงานดานเทค-โนโลยสารสนเทศ ไมสามรถบรรลเปาหมายการปฏบตงานตามทก าหนด

1. มกระบวนการในการก าหนดตวชวดประสทธภาพทเกยวของ 2. มกระบวนการในการรวบรวมขอมล การประเมนประสทธภาพการปฏบตงานอยางตอเนอง 3. มการประเมนความพงพอใจ ของผรบบรการ เพอระบระดบการใหบรการและตงวตถประ – สงคในการพฒนา 4. มการรายงานผลการตดตามตอผบรหาร

1. สอบทานวามกระบวน การในการก าหนดตวชวดประสทธภาพหรอไม 2. สอบทานวามกระบวน การในการรวบรวมขอมล การประเมนประสทธภาพการปฏบตงานอยางตอเนองหรอไม 3. สอบทานวามการประเมน ความพงพอใจของผรบบรการหรอไม 4. สอบทานมการรายงานผลการตดตามตอผบรหารหรอไม

DPU

105

ตารางท 4.33 M2 : การประเมนความเพยงพอของการควบคมภายใน (Assess Internal Control Adequacy) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตรวจสอบ

1. การด าเนนงานขององคกรไมสามารถบรรลเปาหมายทก าหนดไว 2. อาจเกดการทจรตในองคกร 3. การด าเนนงานขาดประสทธภาพและประ สทธผล

1. มกระบวนการในการตดตามการควบคมภายใน เพอพจารณาประสทธภาพการควบคมภายในขององคกร 2. ระยะเวลาการปฏบตงานของ การควบคมภายใน มการปรบปรง การควบคมภายในใหเหมาะสมกบสภาพแวดลอมทเปลยนแปลง ไป และมการบนทกสงทถกควบคมและรายงานกบผบรหารอยางเปนระบบ 3. การจดล าดบการรายงานการควบคมภายใน มการระบวาเทคโนโลยสารสนเทศใดตองการการควบคมในระดบใด ส าหรบผบรหารใชในการตดสนใจ

1. สอบทานวามกระบวนการในการตดตามการควบคมภายใน เพอพจารณาประ สทธภาพการควบคมภายในขององคกรหรอไม 2. สอบทานวาระยะเวลาการปฏบตงานของการควบคมภายในมความเหมาะสม 3. สอบทานวามการจดท ารายงานล าดบการควบคมภายในหรอไม

DPU

106

ตารางท 4.34 M3 : การรบรองความเปนอสระ (Obtain Independent Assurance) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตร วจสอบ

- ผลการประเมนจากผ ประเมนทไมมความเปนอสระ อาจไมนาเชอถอ การน าผลการประเมนมาใชในการด าเนนการปรบ ปรงแกไขตาง ๆ อาจ ไมตรงกบขอเทจจรงทเกด ขน

1. ผประเมนทงจากภายในหรอบคคลภายในมความเปนอสระในการรบรองในเรองตาง ๆ ไดแก การรบรองความปลอดภยและการควบคมภายในของการใหบรการดานเทคโนโลยสารสนเทศ การ ประเมนประสทธภาพและประสทธผลของการบรการดานเทคโนโลยสารสนเทศ การรบรองการปฏบตตามกฎหมาย ระเบยบขอบงคบและขอตกลงทก าหนดไว 2. ผประเมนมความรความ สามารถในการท าหนาทรบรองอยางเปนอสระ

1. สอบทานวาผประเมนทงจากภายในหรอบคคลภายในมความเปนอสระหรอไม 2. สอบทานวาผประเมนเปนผ ทมความรความสามารถในการท าหนาทรบรองอยางเปนอสระหรอไม

DPU

107

ตารางท 4.35 M4 : ความเปนอสระในการตรวจสอบ (Provide for Independent Audit) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตรวจสอบ

- ผลการตรวจสอบจากผ ตรวจสอบทไมมความเปนอสระ อาจไมนา เชอถอ การน าผลการตรวจสอบมาใชในการด าเนนการ ปรบปรง แกไขตาง ๆ อาจไมตรงกบขอเทจจรงทเกดขน

1. มกฎบตรของการตรวจสอบ ซงระบหนาทและความรบผด ชอบของหนวยงานทท าหนาทตรวจสอบระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษร ทชดเจนและเหมาะสม 2. หนวยงานทท าหนาทตรวจสอบระบบเทคโนโลยสารสนเทศจะตองมอสระจากผรบการตรวจ สอบ ปราศจากความขดแยงในผลประโยชน 3. มการก าหนดใหผตรวจสอบระบบเทคโนโลยสารสนเทศตองประพฤตปฏบตตนใหสอดคลองตามมรรยาทของผประกอบวชา ชพตรวจสอบทก าหนดโดยหนวยงานก ากบดแล เชน สมาคมวชาชพทเกยวของ และปฏบตงานตรวจสอบตามมาตรฐานการปฏบตงานทเกยวของ 4. ผตรวจสอบระบบเทคโนโลยสารสนเทศตองมความรความสามารถทางวชาการ มทกษะทจ าเปนในการปฏบตงาน มการศกษาหาความรหรอเขาอบรม

1. สอบทานวาหนวยงานตรวจ สอบเทคโนโลยสารสนเทศมกฎบตรของการตรวจสอบหรอ ไม 2. สอบทานความเหมาะสมของหนาทความรบผดชอบของหนวยงานตรวจสอบเทคโนโลยสารสนเทศ 3. สอบทานวาหนวยงานทท าหนาทตรวจสอบระบบเทคโน โลยสารสนเทศจะตองมอสระจากผรบการตรวจสอบหรอไม 4. สอบทานวาผตรวจสอบระบบเทคโนโลยสารสนเทศ มการประพฤตปฏบตตนใหสอดคลองตามมรรยาทของผ ประกอบวชาชพตรวจสอบหรอไม 5. สอบทานวาผตรวจสอบระบบเทคโนโลยสารสนเทศมความรความสามารถทางวชาการ มทกษะทจ าเปนในการปฏบตงานหรอไม 6. สอบทานวาผตรวจสอบระบบเทคโนโลยสารสนเทศ ม

DPU

108

ตารางท 4.35 (ตอ) ความเสยง การควบคมทควรม (Suggested

Control) ทดสอบ/ตรวจสอบ

อยางตอเนอง เพอใหมความรความสามารถในการปฏบตงานอยางเพยงพอ 5. การปฏบตงานของผตรวจสอบระบบสารสนเทศมกระบวนการเปนไปตามทมาตรฐานการปฏบตงานตรวจสอบ เชน มการวางแผนการตรวจสอบ การปฏบตงานตรวจสอบ การรายงานผลการตรวจสอบ และการตดตามผลการตรวจสอบ

การศกษาหาความรหรอเขาอบรมอยางตอเนองหรอไม 7. สอบทานวาการปฏบตงานของผตรวจสอบระบบสาร สนเทศเปนไปตามกระบวนการทมาตรฐานการปฏบตงานตรวจสอบก าหนดไวหรอไม

4.3 กรณตวอยางการตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT จากแนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT จะไดน าใชเปนแนวทางในการตรวจสอบระบบเทคโนโลยสารสนเทศขององคกรในบางประเดน โดยจะไดด าเนนการตรวจสอบในประเดนดงตอไปน - PO1 การจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ - P07 การจดการทรพยากรมนษย - AI3 การจดหาและบ ารงรกษาโครงสรางพนฐานดานเทคโนโลย - AI4 ระเบยบปฏบตในการพฒนาและบ ารงรกษา - DS5 การรกษาความปลอดภยระบบ - M1 การตดตามกระบวนการท างาน

DPU

109

- AI2 การจดหาและบ ารงรกษาซอฟตแวรประยกต ขอมลดานเทคโนโลยสารสนเทศเบองตนขององคกร องคกรทจะท าการตรวจสอบระบบเทคโนโลยสารสนเทศ ตามแนวทางของ COBIT ประกอบธรกจรบประกนวนาศภย มพนกงานประมาณ 250 คน ระบบเทคโนโลยสารสนเทศหลกขององคกรมอยสองระบบงานคอ ระบบงานประกนภย และระบบงานบญชและเงนเดอน ซงประมวลผลบนเครอง RISC/6000 และเครอง Windows NT Server ส าหรบฐานขอมลทใชคอ Informix การปฏบตงานมทงทส านกงานใหญ และสาขาตางจงหวดจ านวน 12 สาขา หนวยงานทางดานเทคโนโลยสารสนเทศมบคลากรจ านวน 12 คน แบงเปน 3 แผนกคอ แผนกพฒนาระบบงาน แผนกเทคนค และแผนกระบบปฏบตการ การด าเนนการตรวจสอบระบบเทคโนโลยสารสนเทศ วธการตรวจสอบการควบคมทวไปของระบบเทคโนโลยสารสนเทศ ประกอบดวย 1. การท าความเขาใจในธรกจและสภาพแวดลอมทางเทคโนโลยสารสนเทศ โดยการศกษาท าความเขาใจโครงสรางขององคกร สภาพแวดลอมทางธรกจ ระเบยบวธขนตอนการปฏบตงาน นโยบายตางๆ ท าการสมภาษณผบรหารทเกยวกบการก าหนดนโยบายและการควบคมตดตามผลการปฏบตงานดานเทคโนโลยสารสนเทศ และท าการสมภาษณเจาหนาททเกยวของกบการปฏบตงาน การควบคมตางๆ และระเบยบวธขนตอนปฏบตงานในระบบเทคโนโลยสารสนเทศ 2. ท าการทดสอบจดควบคม โดยใชวธการตรวจสอบตางๆ เชน การสมภาษณเจาหนาททเกยวของ การสอบถามเพอยนยน การสอบทานเอกสารทเกยวของ และการสงเกตการณการปฏบตงาน โดยตวอยางการบนทกขอมลจากการตรวจสอบตามทแสดงในหนา 110 – 130 3. ท าการรายงานผลการตรวจสอบ ซงประกอบดวยประเดนความเสยงทตรวจพบ ผลกระทบ และขอเสนอแนะเพอการปรบปรงแกไข ดงตวอยางรายงานผลการตรวจสอบทแสดงในหนา 133-135

DPU

110

DPU

111

DPU

112

DPU

113

DPU

114

DPU

115

DPU

116

DPU

117

DPU

118

DPU

119

DPU

120

DPU

121

DPU

122

DPU

123

DPU

124

DPU

125

DPU

126

DPU

127

DPU

128

DPU

129

DPU

130

DPU

131

ตวอยางรายงานผลการตรวจสอบระบบเทคโนโลยสารสนเทศ ฝายตรวจสอบภายใน ไดด าเนนการตรวจสอบการควบคมของระบบเทคโนโลยสารสนเทศขององคกร โดยมวตถประสงคในการประเมนการควบคมภายในขนตนของระบบเทคโนโลยสารสนเทศขององคกร ซงฝายตรวจสอบภายในไดด าเนนการตรวจสอบแลวเสรจ สามารถสรปขอบเขตและผลการตรวจสอบไดดงน ขอบเขตการตรวจสอบการควบคมของระบบเทคโนโลยสารสนเทศ ท าการสอบทานขอมลและทดสอบการควบคมดานเทคโนโลยสารสนเทศ ในประเดนดงตอไปน 1. การจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ

2. การจดการทรพยากรมนษย 3. การจดหาและบ ารงรกษาโครงสรางพนฐานดานเทคโนโลย

4. ระเบยบปฏบตในการพฒนาและบ ารงรกษา 5. การรกษาความปลอดภยระบบ

6. การตดตามกระบวนการท างาน 7. การจดหาและบ ารงรกษาซอฟตแวรประยกต วธการตรวจสอบ วธการตรวจสอบการควบคมของระบบเทคโนโลยสารสนเทศ ประกอบดวย

1. การท าความเขาใจในธรกจและสภาพแวดลอมทางเทคโนโลยสารสนเทศ โดยการ ศกษาท าความเขาใจโครงสรางขององคกร สภาพแวดลอมทางธรกจ ระเบยบวธขนตอนการปฏบตงาน นโยบายตางๆ ท าการสมภาษณผบรหารทเกยวกบการก าหนดนโยบายและการควบคมตดตามผลการปฏบตงานดานเทคโนโลยสารสนเทศ และท าการสมภาษณเจาหนาททเกยวของกบการปฏบตงาน การควบคมตางๆ และระเบยบวธขนตอนปฏบตงานในระบบเทคโนโลยสารสนเทศ 2. ท าการทดสอบจดควบคม โดยใชวธการตรวจสอบตางๆ เชน การสมภาษณเจาหนาททเกยวของ การสอบถามเพอยนยน การสอบทานเอกสารทเกยวของ และการสงเกตการณการปฏบตงาน 3. ท าการรายงานผลการตรวจสอบ ซงประกอบดวยประเดนความเสยงทตรวจพบ ผลกระทบ และขอเสนอแนะเพอการปรบปรงแกไข

DPU

132

ผลการตรวจสอบ ผลการตรวจสอบ มดงตอไปน 1. ไมมการก าหนดแผนลวงหนาส าหรบการบ ารงรกษาฮารดแวรขององคกร ประเดนทพบ องคกรไมมการก าหนดตารางเวลาประจ าและชวงเวลาในการบ ารงรกษาและดแลฮารดแวร ซงอาจท าใหอายการใชงานของฮารดแวรสนกวาทคาดการณไว หรอเกดการหยดชะงกการท างานโดยไมไดคาดคด มผลกระทบตอการด าเนนธรกจขององคกร ผลกระทบ ฮารดแวรเกดความลมเหลวหรอไมสามารถท างานได มผลกระทบตอการด าเนนธรกจ เนองจากการออกกรมธรรม หรอการด าเนนการดานการจายคาสนไหมทดแทน จะด าเนนการโดยใชขอมลจากระบบงานคอมพวเตอร อาจท าใหลกคาไมพงพอใจในการบรการขององคกรได ขอเสนอแนะเพอการปรบปรง องคกรควรมการก าหนดแผนลวงหนาส าหรบการบ ารงรกษาฮารดแวร โดยการก าหนดตารางเวลาประจ าและชวงเวลาในการบ ารงรกษาและดแลฮารดแวร เพอลดความถของผลกระทบทท าใหฮารดแวรเกดความลมเหลวหรอไมสามารถท างานได 2. ไมมนโยบายการรกษาความปลอดภยของเทคโนโลยสารสนเทศเปนลายลกษรอกษรประเดนทพบ ทรพยากรเทคโนโลยสารสนเทศขององคกรเปนทรพยสนทมมลคาซงตองไดรบการปองกนการสญหาย ถกท าลาย และการใชทผดวตถประสงค นโยบายการรกษาความปลอดภยของเทคโนโลยสารสนเทศจะชวยเปนแนวทางในการรกษาความปลอดภยของทรพยากรเทคโนโลยและความถกตองของขอมลองคกร สทธในการเขาถงขอมล การเกบรกษาขอมล และอ านาจหนาทของผดแลรกษาระบบ เมอมการน านโยบายและระเบยบวธปฏบตเพอการรกษาความปลอดภยของระบบเทคโนโลยสารสนเทศมาใช องคกรจะไดมการด าเนนการดานการรกษาความปลอดภยของเทคโนโลยสารสนเทศใหเปนไปตามแนวนโยบายและระเบยบวธปฏบตดงกลาว ซงในชวงระยะเวลาการตรวจสอบการรกษาความปลอดภยของเทคโนโลยสารสนเทศ พบวา องคกรยงไมไดมการจดท านโยบายการรกษาความปลอดภยของเทคโนโลยสารสนเทศเปนลายลกษณอกษร เพอใชควบคมความปลอดภยในระบบเทคโนโลยสารสนเทศขององคกร และเพอประกาศใชอยางเปนทางการกบระบบเทคโนโลยสารสนเทศขององคกร

DPU

133

ผลกระทบ การปราศจากนโยบายการรกษาความปลอดภยของเทคโนโลยสารสนเทศเปนลายลกษณอกษร อาจสงผลใหทรพยากรเทคโนโลยสญหาย ถกท าลาย มการใชทผดวตถประสงค ซงอาจสงผลใหการใชเกดการใชงานในระบบเปนไปอยางไมถกตองและไมเปนไปตามวตถประสงคทตงไว ขอมลถกใช เปดเผย แกไข ท าลายโดยไมไดรบอนญาต ขอมลสญหาย ตลอดจนระบบงานไมสามารถท างานได ขอเสนอแนะเพอการปรบปรง องคกรควรมการจดท านโยบายการรกษาความปลอดภยของเทคโนโลยสารสนเทศเปนลายลกษณอกษร เพอกอใหเกดความปลอดภยแกทรพยากรเทคโนโลยสารสนเทศและขอมลขององคกร โดยพจารณาจากความซบซอนของการประมวลผลของระบบเทคโนโลยสารสนเทศทมอย ตนทน และผลประโยชนทจะไดรบ ทงน เนอหาและขอบเขตของนโยบายเมอจดท าแลวควรมการสอสารกบหนวยงานทเกยวของอยางชดเจน นโยบายการรกษาความปลอดภยของเทคโนโลยสารสนเทศควรมรายละเอยดส าคญในเรองตาง ๆ ดงน

- ขอตกลงหรอการสนบสนนของผบรหาร - ความตระหนกเรองการรกษาความปลอดภย โดยผบรหารและพนกงานทกคนควร

ไดรบการแจงเรองนโยบายและระเบยบวธปฏบตเพอตระหนกถงความส าคญของการรกษาความปลอดภย เชน การออกจากระบบทกครงหลงการใชงาน การปองกนการตดตอของไวรสคอมพวเตอร เปนตน

- หลกการเขาถง ซงควรใชเกณฑความจ าเปนทตองท าและความจ าเปนทตองร - การสอบทานการใหสทธการเขาถง โดยการควบคมการเขาถงควรถกประเมนอยาง

สม าเสมอ เพอใหมนใจวาเปนไปตามสทธการเขาถงทไดก าหนดไว

- บทบาทของเจาหนาทบรหารความปลอดภย ซงมหนาทรบผดชอบในการตดตงระบบ การตดตามควบคม และการบงคบใชกฎการรกษาความปลอดภยทผบรหารไดก าหนดขน

- คณะกรรมการดานความปลอดภย ซงประกอบดวยตวแทนจากหนวยงานตาง ๆ ภายในองคกร เพอท าหนาทพจารณาการปฏบตงานตาง ๆ ดานความปลอดภย

- การควบคมฮารดแวรและซอฟตแวร โดยควรมการจดท าบญชรายชอและท าสารบญ เพอท าใหมนใจวาองคกรสามารถทราบถงทรพยากรทางดานเทคโนโลยสารสนเทศทมอย การใชงาน และความตองการในทรพยากรเหลานน

DPU

ตารางท 4.36 ตวอยาง การบนทกขอมลจากการตรวจสอบ PO1 : การจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ (Define a Strategic IT Plan)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

1. สอบทานวาองคกรมการจดท า แผนระยะส นหรอระยะยาวหรอไม 2. สอบทานกระบวนการวางแผนระยะยาวและระยะส นขององคการ และพจารณาวาผบรหารระดบสง ไดเขามามสวนเกยวของในการวางแผนหรอไม 3. สอบทานวามการก าหนดเทค –โนโลยสารสนเทศเปนสวนหนง แผนระยะส นและระยะยาวหรอไม

/

/

/

มการจดท าแผนประจ าปและแผนระยะยาว 3 ป คณะกรรมการบรหารรบผดชอบในการจดท าแผนระยะส นและระยะยาว และอนมตโดยคณะกรรมการบรษท

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ

ขอเสนอแนะ

ม

ไมม

4. สอบทานวาองคกรมการจดท าแผนระยะส นและระยะยาวดานเทคโนโลยสารสนเทศหรอไม 5. สอบทานวามการสอสารแผนงานดานเทคโนโลยใหพนกงานในองคกรไดรบทราบหรอไม 6. สอบทานวามการตดตามและรายงานผลการปฏบตตามแผนระยะส นและแผนระยะยาวหรอไม

/

/ /

มการจดท าแผนประจ าปและแผนระยะยาว 3 ป มการประชมเพอสอสารเกยวกบแผนและการด าเนนงานดานเทคโนโลยสารสนเทศทกเดอนในการประชมหวหนางาน ผบรหารจะมการรายการผลการตดตามและรายงานผลการปฏบตตามแผนระยะส นและระยะยาวในทประชมคณะกรรมการบรษท

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

7. สอบทานวาแผนระยะส นของสวนงานเทคโนโลยสารสนเทศมความสอดคลองกบแผนงานระยะยาวหรอไม 8. สอบถามหนวยงานส าคญอน ๆ ทเกยวของ เพอใหมนใจวากลยทธ ของหนวยงานตางๆ มความสอด คลองในแนวทางเดยวกนหรอไม 9.สอบทานการจดสรรทรพยากรทจ าเปนตองใชตามแผนระยะส นและระยะยาวมความเหมาะสมหรอไม

/

/ /

จะมการสอบถามยงหนวย-งานอน ๆ วามแผนงานอยางไร เพอใหการวางกลยทธของหนวยงานสารสนเทศสอดคลองกน

DPU

ตารางท 4.36 (ตอ)

PO7 : การจดการทรพยากรบคคล ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกผลการ ผลกระทบ

ขอเสนอแนะ

ม ไมม

ตรวจสอบ

1. สอบทานวามการจดท าค าบรรยายลกษณะงาน หนาท ความรบผดชอบ ตลอดจนคณสมบตของบคลากรต าแหนงตาง ๆ ในสวนงานเทคโนโลยสารสนเทศหรอไม 2. สอบทานวามกระบวนการหรอวธการจดหาคนเขาท างาน การก าหนดวธการเพอความปลอดภยดานการพนกงานของสวนงาน 3. สอบทานวามการฝกอบรมพนกงานของสวนของเทคโนโลยสารสนเทศหรอไม

/

/

/

จะมการสอบทานประวตบคลากรใหม กอนรบเขาท างาน มแผนการฝกอบรมประจ าป

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

4. สอบทานวามการประเมน ผลการปฏบตงานตามหนาทงานของพนกงาน โดยเปรยบ เทยบกบมาตรฐานหรอแนวทางปฏบตทไดก าหนดไวหรอไม

/

มการก าหนดมาตรฐานการปฏบตงานของต าแหนงงานตาง ๆ ไวลวงหนา

DPU

ตารางท 4.36 (ตอ)

AI3 การจดหาและบ ารงรกษาโครงสรางพ นฐานดานเทคโนโลย ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1.สอบทานวามการก าหนดข นตอน วธปฏบตเกยวกบโครงสราง พ นฐานทางดานเทคโนโลย ดงน 1.1 การวางแผนในการจดหา

1.2 การดแลรกษาและการปองกนในสวนของโครงของโครงสรางพ นฐาน 1.3 สอบทานวามการปฏบตตามข นตอนทก าหนดไวหรอไม

/ /

/

มการปฏบตตามข นตอนทก าหนดไวอยางครบถวน

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

2. สอบทานในเรองต าง ๆ ดงน 2.1 มการประเมนความตองการดานฮารดแวรและซอฟตแวรใหม 2.2 การบ ารงรกษาฮารดแวรมแผนก าหนดไวลวงหนา 2.3 มการรกษาความปลอดภยของโปรแกรมระบบ 2.4 มการก าหนดข นตอนในการตดต ง ดแลบ ารงรกษา การควบคมการเปลยนแปลงแกไขโปรแกรมระบบ

/ / /

/

จะมการสงแบบสอบถามความตองการไปยงหนวยงานต าง ๆ เมอฮารดแวรมปญหาในการท างาน จะตดตามชางมาด าเนนการแกไข

ฮารดแวรไมสามารถท างานได ท าใหการปฏบตงานเกดการหยดชะงก

ควรมการก าหนดแผนการบ ารงรกษาฮารดแวรไวลวงหนา

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

2.5 มการใชและตดตามประเมนการใชงานโปรแกรมอรรถประ-โยชนหรอไม อยางไร

/

DPU

ตารางท 4.36 (ตอ)

AI4 : ระเบยบปฏบตในการพฒนาและบ ารงรกษา ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1. ท าการสอบทานวามการปฏบตงานตรงตามความตองการและระดบการใหบรการในเวลาทเหมาะสมหรอไม อยางไร 2. สอบทานความละเอยด ครบถวน สมบรณของค มอดงน 2.1 ค มอการปฏบตงานของผใชงาน 2.2 ค มอการปฏบตการคอมพว-เตอรของเจาหนาทดานเทคโนโลยสารสนเทศ

/

/

/

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

3. สอบทานวามการฝกอบรมผใชระบบงานและมเอกสารการฝกอบรม ส าหรบระบบงานทพฒนาหรอไม อยางไร

/

กอนเรมใชระบบงาน จะมการฝกอบรมผใชงานกอน และมเอกสารการฝกอบรมครบถวน

DPU

ตารางท 4.36 (ตอ)

DS5 : การรกษาความปลอดภยระบบ ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1.สอบทานวามการก าหนดนโยบายการรกษาความปลอดภยระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษรหรอไม

/ มกระบวนการในการบรหารจดการดานความปลอดภย แตไมไดจดท าเปนนโยบายทเปนลายลกษณอกษรอยางชดเจน

ขอมลในระบบคอมพวเตอรขององคกรเปนทรพยสนทมมลค า การปราศจากนโยบายความปลอดภยของระบบเทคโนโลยสารสนเทศ อาจสงผลใหเกดการใชงานในระบบเปนไปอยางไมถกตองและไมเปนไปตามวตถประสงคทต งไว ขอมลถกใช เปดเผย แกไข ท าลาย โดยไมไดรบอนญาต ขอมลสญหาย ตลอดจนระบบ-งานไมสามารถท างานได

องคกรควรจดท านโยบายการรกษษความปลอดภยระบบเทคโนโลยสารสนเทศ เพอกอใหเกดความปลอดภยกบขอมลและระบบเทคโนโลยสารสนเทศของบรษท โดยพจารณาถงความซบซอนของการประมวลผล ตนทนและประโยชนทจะไดรบ ท งน ขอบเขตและเนอหาของนโยบายเมอจดท าแลวควรจะสอสารกบหนวยงานทเกยว-ของอยางชดเจน รายละเอยดส าคญในนโยบายการรรกษา

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

ความปลอดภยระบบเทคโน-โลยสารสนเทส ควรประ-กอบดวย ขอตกลงหรอการสนบสนนของผบรหาร, หลกการเขาถงขอมล เชน การเขาถงขอมลในระบบควรใชเกณฑจ าเปนตองท าหรอจ าเปนตองร, การสอบทานการใหสทธการเขาถง โดยการควบคมการเขาถงควรถกประเมนอยางสม าเสมอ, ความตระหนกเรองการรกษาความปลอดภย, บทบาทของเจาหนาทบรหารความปลอดภย คณะกรรมการดาน

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

2. สอบทานวามการก าหนดอ านาจหรอสทธและมการควบคมการเขาสระบบหรอไม 3. สอบทานวามการปองกนการแกไขระบบควบคมทก าหนดไวหรอไม 4. สอบทานวามการจดการเกยวกบรหสลบหรอไม

/ / /

มการก าหนดสทธในการเขาสระบบตามต าแหนงหนาทงานของผใชระบบงานแต ละคน มการบนทกรายละเอยดการเขาสระบบงานของผใชระบบงานทกคนและสอบทานโดยผทไดรบมอบหมาย

ความปลอดภย, การควบคมซอฟตแวรและฮารดแวร

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

5.สอบทานวามมาตรการรกษาความปลอดภยในการเขาถงขอมลแบบออนไลนหรอไม 6. สอบทานวามการจ าแนกประเภทขอมลหรอไม 7. สอบทานวามการควบคมบญชผใชงานหรอไม 8. สอบทานวามการรายงานการละเมดและกจกรรมทเกยวของกบ ความปลอดภย การจดการกบ เหตการณทเกดข นหรอไม

/ / / /

จะมการลอครหสผใชงาน กรณพนกงานผน นลาออก

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

9. สอบทานความเหมาะสมของการก าหนดอ านาจการอนมต รายการ 10. สอบทานวามการก าหนด ใหมการปฏเสธรายการทผดเงอนไขหรอไม 11. สอบทานวามการก าหนดชอง ทางการรบสงขอมล และพจารณาวามความนาเชอถอหรอไม

/ / /

เปนไปตามระเบยบเกยวกบอ านาจด าเนนการทบรษทก าหนดวงเงนการอนมตส าหรบแต ละต าแหนงงาน

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

12. สอบทานวามการปองกน การตรวจหา และการแกไขเกยวกบ โปรแกรมทเปนอนตรายหรอไม 13. สอบทานวามการก าหนดโครงสรางไฟรวอลลและการเชอมโยงกบเครอข ายสาธารณะหรอไม 14. สอบทานวามการปองกนความเสยหายของขอมลอเลกทรอนกสหรอไม

/

/ /

จะมการสงข าวสารใหพนกงานทราบเกยวกบขอควรระวงในการใชโปแกรมทอาจเปนอนตราย ไวรสคอมพวเตอร และโปรแกรมทไมมลขสทธ

DPU

ตารางท 4.36 (ตอ)

M1 : การตดตามกระบวนการท างาน

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

1. สอบทานวามกระบวนการใน การก าหนดตวชวดประสทธภาพหรอไม 2. สอบทานวามกระบวนการในการรวบรวมขอมล การประเมนประสทธภาพการปฏบตงานอยางตอเนองหรอไม 3.สอบทานวามการประเมนความ พงพอใจของผรบบรการหรอไม 4.สอบทานมการรายงานผลการตดตามตอผบรหารหรอไม

/

/ / /

มการรวบรวมขอมลเพอก าหนดตวชวดประสทธ-ภาพ โดยมการก าหนด KPI ของงาน

DPU

ตารางท 4.36 (ตอ)

AI2 : การจดหาและบ ารงรกษาซอฟตแวรประยกต ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1. สอบทานวาองคกรมการก าหนดข นตอนวธปฏบตเกยวกบการจดหาระบบงานประยกตทองคกรน ามา ใชหรอไม

/

กรณเปนระบบงานทมความซบซอน จะใชวธการวาจางบคคลภายนอกในการพฒนาระบบงาน ซงจะมการระบในสญญาวาจางถงข น-ตอนตาง ๆ ในการพฒนาระบบงานต งแตการออก -แบบระบบงาน การอนมตการออกแบบ การก าหนดความตองการเกยวกบแฟมขอมล ขอก าหนดของโปรแกรม ความตองการเกยวกบขอมลน าเขา การประมวลผล และ ผลลพธ

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

2. สอบทานวาองคกรมการก าหนดข นตอนวธปฏบตเกยวกบการดแลรกษาระบบงานประยกตทองคกรน ามาใชหรอไม 3. สอบทานวาองคกรมขอก าหนด เกยวกบความครบถวนถกตองของ โปรแกรมระบบงานประยกตหรอไม 3. สอบทานวามการทดสอบโปรแกรมระบบงานประยกตดวยวธการทดสอบทเหมาะสมหรอไม

/ / /

มการก าหนดข นตอนการเขาถงโปรแกรมระบบงานประยกต การดแล version ของโปรแกรมทใชงานจรง มการก าหนดอยางละเอยดชดเจนในสญญาการจางบรษทบคคลภายนอกในการพฒนาระบบงาน มการทดสอบโปรแกรมระบบงานประยกต โดยจะมการทดสอบโปรแกรมและระบบงานโดยเจาหนาทหนวยงานเทคโนโลยสาร –

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

4. สอบทานวาผใชระบบงานมสวนรวมในการทดสอบหรอไม 5. สอบทานค มอผใชระบบและค มอสนบสนนการปฏบตงานวามความละเอยด ชดเจน เพยงพอหรอไม

/ /

สนเทศกอน หลงจากน นจะมการใหผใชระบบงานเขาทดสอบระบบงานอกครงหนง และกอนจะยกเลกระบบงานเดมจะมการท างานค ขนานกอนจนกวาจะมนใจในความถกตองของโปรแกรมระบบงานใหม

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

6. สอบทานวาเมอมขอขดแยงทางดานเทคนคหรอลอจกเกดข นระหวางการบ ารงรกษาหรอการพฒนา การออกแบบจะถกประเมนซ าอกครงหนง

/

DPU

ตารางท 4.36 ตวอยาง การบนทกขอมลจากการตรวจสอบ PO1 : การจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ (Define a Strategic IT Plan)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

1. สอบทานวาองคกรมการจดท า แผนระยะส นหรอระยะยาวหรอไม 2. สอบทานกระบวนการวางแผนระยะยาวและระยะส นขององคการ และพจารณาวาผบรหารระดบสง ไดเขามามสวนเกยวของในการวางแผนหรอไม 3. สอบทานวามการก าหนดเทค –โนโลยสารสนเทศเปนสวนหนง แผนระยะส นและระยะยาวหรอไม

/

/

/

มการจดท าแผนประจ าปและแผนระยะยาว 3 ป คณะกรรมการบรหารรบผดชอบในการจดท าแผนระยะส นและระยะยาว และอนมตโดยคณะกรรมการบรษท

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ

ขอเสนอแนะ

ม

ไมม

4. สอบทานวาองคกรมการจดท าแผนระยะส นและระยะยาวดานเทคโนโลยสารสนเทศหรอไม 5. สอบทานวามการสอสารแผนงานดานเทคโนโลยใหพนกงานในองคกรไดรบทราบหรอไม 6. สอบทานวามการตดตามและรายงานผลการปฏบตตามแผนระยะส นและแผนระยะยาวหรอไม

/

/ /

มการจดท าแผนประจ าปและแผนระยะยาว 3 ป มการประชมเพอสอสารเกยวกบแผนและการด าเนนงานดานเทคโนโลยสารสนเทศทกเดอนในการประชมหวหนางาน ผบรหารจะมการรายการผลการตดตามและรายงานผลการปฏบตตามแผนระยะส นและระยะยาวในทประชมคณะกรรมการบรษท

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

7. สอบทานวาแผนระยะส นของสวนงานเทคโนโลยสารสนเทศมความสอดคลองกบแผนงานระยะยาวหรอไม 8. สอบถามหนวยงานส าคญอน ๆ ทเกยวของ เพอใหมนใจวากลยทธ ของหนวยงานตางๆ มความสอด คลองในแนวทางเดยวกนหรอไม 9.สอบทานการจดสรรทรพยากรทจ าเปนตองใชตามแผนระยะส นและระยะยาวมความเหมาะสมหรอไม

/

/ /

จะมการสอบถามยงหนวย-งานอน ๆ วามแผนงานอยางไร เพอใหการวางกลยทธของหนวยงานสารสนเทศสอดคลองกน

DPU

ตารางท 4.36 (ตอ)

PO7 : การจดการทรพยากรบคคล ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกผลการ ผลกระทบ

ขอเสนอแนะ

ม ไมม

ตรวจสอบ

1. สอบทานวามการจดท าค าบรรยายลกษณะงาน หนาท ความรบผดชอบ ตลอดจนคณสมบตของบคลากรต าแหนงตาง ๆ ในสวนงานเทคโนโลยสารสนเทศหรอไม 2. สอบทานวามกระบวนการหรอวธการจดหาคนเขาท างาน การก าหนดวธการเพอความปลอดภยดานการพนกงานของสวนงาน 3. สอบทานวามการฝกอบรมพนกงานของสวนของเทคโนโลยสารสนเทศหรอไม

/

/

/

จะมการสอบทานประวตบคลากรใหม กอนรบเขาท างาน มแผนการฝกอบรมประจ าป

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

4. สอบทานวามการประเมน ผลการปฏบตงานตามหนาทงานของพนกงาน โดยเปรยบ เทยบกบมาตรฐานหรอแนวทางปฏบตทไดก าหนดไวหรอไม

/

มการก าหนดมาตรฐานการปฏบตงานของต าแหนงงานตาง ๆ ไวลวงหนา

DPU

ตารางท 4.36 (ตอ)

AI3 การจดหาและบ ารงรกษาโครงสรางพ นฐานดานเทคโนโลย ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1.สอบทานวามการก าหนดข นตอน วธปฏบตเกยวกบโครงสราง พ นฐานทางดานเทคโนโลย ดงน 1.1 การวางแผนในการจดหา

1.2 การดแลรกษาและการปองกนในสวนของโครงของโครงสรางพ นฐาน 1.3 สอบทานวามการปฏบตตามข นตอนทก าหนดไวหรอไม

/ /

/

มการปฏบตตามข นตอนทก าหนดไวอยางครบถวน

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

2. สอบทานในเรองต าง ๆ ดงน 2.1 มการประเมนความตองการดานฮารดแวรและซอฟตแวรใหม 2.2 การบ ารงรกษาฮารดแวรมแผนก าหนดไวลวงหนา 2.3 มการรกษาความปลอดภยของโปรแกรมระบบ 2.4 มการก าหนดข นตอนในการตดต ง ดแลบ ารงรกษา การควบคมการเปลยนแปลงแกไขโปรแกรมระบบ

/ / /

/

จะมการสงแบบสอบถามความตองการไปยงหนวยงานต าง ๆ เมอฮารดแวรมปญหาในการท างาน จะตดตามชางมาด าเนนการแกไข

ฮารดแวรไมสามารถท างานได ท าใหการปฏบตงานเกดการหยดชะงก

ควรมการก าหนดแผนการบ ารงรกษาฮารดแวรไวลวงหนา

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

2.5 มการใชและตดตามประเมนการใชงานโปรแกรมอรรถประ-โยชนหรอไม อยางไร

/

DPU

ตารางท 4.36 (ตอ)

AI4 : ระเบยบปฏบตในการพฒนาและบ ารงรกษา ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1. ท าการสอบทานวามการปฏบตงานตรงตามความตองการและระดบการใหบรการในเวลาทเหมาะสมหรอไม อยางไร 2. สอบทานความละเอยด ครบถวน สมบรณของค มอดงน 2.1 ค มอการปฏบตงานของผใชงาน 2.2 ค มอการปฏบตการคอมพว-เตอรของเจาหนาทดานเทคโนโลยสารสนเทศ

/

/

/

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

3. สอบทานวามการฝกอบรมผใชระบบงานและมเอกสารการฝกอบรม ส าหรบระบบงานทพฒนาหรอไม อยางไร

/

กอนเรมใชระบบงาน จะมการฝกอบรมผใชงานกอน และมเอกสารการฝกอบรมครบถวน

DPU

ตารางท 4.36 (ตอ)

DS5 : การรกษาความปลอดภยระบบ ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1.สอบทานวามการก าหนดนโยบายการรกษาความปลอดภยระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษรหรอไม

/ มกระบวนการในการบรหารจดการดานความปลอดภย แตไมไดจดท าเปนนโยบายทเปนลายลกษณอกษรอยางชดเจน

ขอมลในระบบคอมพวเตอรขององคกรเปนทรพยสนทมมลค า การปราศจากนโยบายความปลอดภยของระบบเทคโนโลยสารสนเทศ อาจสงผลใหเกดการใชงานในระบบเปนไปอยางไมถกตองและไมเปนไปตามวตถประสงคทต งไว ขอมลถกใช เปดเผย แกไข ท าลาย โดยไมไดรบอนญาต ขอมลสญหาย ตลอดจนระบบ-งานไมสามารถท างานได

องคกรควรจดท านโยบายการรกษษความปลอดภยระบบเทคโนโลยสารสนเทศ เพอกอใหเกดความปลอดภยกบขอมลและระบบเทคโนโลยสารสนเทศของบรษท โดยพจารณาถงความซบซอนของการประมวลผล ตนทนและประโยชนทจะไดรบ ท งน ขอบเขตและเนอหาของนโยบายเมอจดท าแลวควรจะสอสารกบหนวยงานทเกยว-ของอยางชดเจน รายละเอยดส าคญในนโยบายการรรกษา

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

ความปลอดภยระบบเทคโน-โลยสารสนเทส ควรประ-กอบดวย ขอตกลงหรอการสนบสนนของผบรหาร, หลกการเขาถงขอมล เชน การเขาถงขอมลในระบบควรใชเกณฑจ าเปนตองท าหรอจ าเปนตองร, การสอบทานการใหสทธการเขาถง โดยการควบคมการเขาถงควรถกประเมนอยางสม าเสมอ, ความตระหนกเรองการรกษาความปลอดภย, บทบาทของเจาหนาทบรหารความปลอดภย คณะกรรมการดาน

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

2. สอบทานวามการก าหนดอ านาจหรอสทธและมการควบคมการเขาสระบบหรอไม 3. สอบทานวามการปองกนการแกไขระบบควบคมทก าหนดไวหรอไม 4. สอบทานวามการจดการเกยวกบรหสลบหรอไม

/ / /

มการก าหนดสทธในการเขาสระบบตามต าแหนงหนาทงานของผใชระบบงานแต ละคน มการบนทกรายละเอยดการเขาสระบบงานของผใชระบบงานทกคนและสอบทานโดยผทไดรบมอบหมาย

ความปลอดภย, การควบคมซอฟตแวรและฮารดแวร

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

5.สอบทานวามมาตรการรกษาความปลอดภยในการเขาถงขอมลแบบออนไลนหรอไม 6. สอบทานวามการจ าแนกประเภทขอมลหรอไม 7. สอบทานวามการควบคมบญชผใชงานหรอไม 8. สอบทานวามการรายงานการละเมดและกจกรรมทเกยวของกบ ความปลอดภย การจดการกบ เหตการณทเกดข นหรอไม

/ / / /

จะมการลอครหสผใชงาน กรณพนกงานผน นลาออก

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

9. สอบทานความเหมาะสมของการก าหนดอ านาจการอนมต รายการ 10. สอบทานวามการก าหนด ใหมการปฏเสธรายการทผดเงอนไขหรอไม 11. สอบทานวามการก าหนดชอง ทางการรบสงขอมล และพจารณาวามความนาเชอถอหรอไม

/ / /

เปนไปตามระเบยบเกยวกบอ านาจด าเนนการทบรษทก าหนดวงเงนการอนมตส าหรบแต ละต าแหนงงาน

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

12. สอบทานวามการปองกน การตรวจหา และการแกไขเกยวกบ โปรแกรมทเปนอนตรายหรอไม 13. สอบทานวามการก าหนดโครงสรางไฟรวอลลและการเชอมโยงกบเครอข ายสาธารณะหรอไม 14. สอบทานวามการปองกนความเสยหายของขอมลอเลกทรอนกสหรอไม

/

/ /

จะมการสงข าวสารใหพนกงานทราบเกยวกบขอควรระวงในการใชโปแกรมทอาจเปนอนตราย ไวรสคอมพวเตอร และโปรแกรมทไมมลขสทธ

DPU

ตารางท 4.36 (ตอ)

M1 : การตดตามกระบวนการท างาน

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

1. สอบทานวามกระบวนการใน การก าหนดตวชวดประสทธภาพหรอไม 2. สอบทานวามกระบวนการในการรวบรวมขอมล การประเมนประสทธภาพการปฏบตงานอยางตอเนองหรอไม 3.สอบทานวามการประเมนความ พงพอใจของผรบบรการหรอไม 4.สอบทานมการรายงานผลการตดตามตอผบรหารหรอไม

/

/ / /

มการรวบรวมขอมลเพอก าหนดตวชวดประสทธ-ภาพ โดยมการก าหนด KPI ของงาน

DPU

ตารางท 4.36 (ตอ)

AI2 : การจดหาและบ ารงรกษาซอฟตแวรประยกต ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1. สอบทานวาองคกรมการก าหนดข นตอนวธปฏบตเกยวกบการจดหาระบบงานประยกตทองคกรน ามา ใชหรอไม

/

กรณเปนระบบงานทมความซบซอน จะใชวธการวาจางบคคลภายนอกในการพฒนาระบบงาน ซงจะมการระบในสญญาวาจางถงข น-ตอนตาง ๆ ในการพฒนาระบบงานต งแตการออก -แบบระบบงาน การอนมตการออกแบบ การก าหนดความตองการเกยวกบแฟมขอมล ขอก าหนดของโปรแกรม ความตองการเกยวกบขอมลน าเขา การประมวลผล และ ผลลพธ

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

2. สอบทานวาองคกรมการก าหนดข นตอนวธปฏบตเกยวกบการดแลรกษาระบบงานประยกตทองคกรน ามาใชหรอไม 3. สอบทานวาองคกรมขอก าหนด เกยวกบความครบถวนถกตองของ โปรแกรมระบบงานประยกตหรอไม 3. สอบทานวามการทดสอบโปรแกรมระบบงานประยกตดวยวธการทดสอบทเหมาะสมหรอไม

/ / /

มการก าหนดข นตอนการเขาถงโปรแกรมระบบงานประยกต การดแล version ของโปรแกรมทใชงานจรง มการก าหนดอยางละเอยดชดเจนในสญญาการจางบรษทบคคลภายนอกในการพฒนาระบบงาน มการทดสอบโปรแกรมระบบงานประยกต โดยจะมการทดสอบโปรแกรมและระบบงานโดยเจาหนาทหนวยงานเทคโนโลยสาร –

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

4. สอบทานวาผใชระบบงานมสวนรวมในการทดสอบหรอไม 5. สอบทานค มอผใชระบบและค มอสนบสนนการปฏบตงานวามความละเอยด ชดเจน เพยงพอหรอไม

/ /

สนเทศกอน หลงจากน นจะมการใหผใชระบบงานเขาทดสอบระบบงานอกครงหนง และกอนจะยกเลกระบบงานเดมจะมการท างานค ขนานกอนจนกวาจะมนใจในความถกตองของโปรแกรมระบบงานใหม

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

6. สอบทานวาเมอมขอขดแยงทางดานเทคนคหรอลอจกเกดข นระหวางการบ ารงรกษาหรอการพฒนา การออกแบบจะถกประเมนซ าอกครงหนง

/

DPU

ตารางท 4.36 ตวอยาง การบนทกขอมลจากการตรวจสอบ PO1 : การจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ (Define a Strategic IT Plan)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

1. สอบทานวาองคกรมการจดท า แผนระยะส นหรอระยะยาวหรอไม 2. สอบทานกระบวนการวางแผนระยะยาวและระยะส นขององคการ และพจารณาวาผบรหารระดบสง ไดเขามามสวนเกยวของในการวางแผนหรอไม 3. สอบทานวามการก าหนดเทค –โนโลยสารสนเทศเปนสวนหนง แผนระยะส นและระยะยาวหรอไม

/

/

/

มการจดท าแผนประจ าปและแผนระยะยาว 3 ป คณะกรรมการบรหารรบผดชอบในการจดท าแผนระยะส นและระยะยาว และอนมตโดยคณะกรรมการบรษท

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ

ขอเสนอแนะ

ม

ไมม

4. สอบทานวาองคกรมการจดท าแผนระยะส นและระยะยาวดานเทคโนโลยสารสนเทศหรอไม 5. สอบทานวามการสอสารแผนงานดานเทคโนโลยใหพนกงานในองคกรไดรบทราบหรอไม 6. สอบทานวามการตดตามและรายงานผลการปฏบตตามแผนระยะส นและแผนระยะยาวหรอไม

/

/ /

มการจดท าแผนประจ าปและแผนระยะยาว 3 ป มการประชมเพอสอสารเกยวกบแผนและการด าเนนงานดานเทคโนโลยสารสนเทศทกเดอนในการประชมหวหนางาน ผบรหารจะมการรายการผลการตดตามและรายงานผลการปฏบตตามแผนระยะส นและระยะยาวในทประชมคณะกรรมการบรษท

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

7. สอบทานวาแผนระยะส นของสวนงานเทคโนโลยสารสนเทศมความสอดคลองกบแผนงานระยะยาวหรอไม 8. สอบถามหนวยงานส าคญอน ๆ ทเกยวของ เพอใหมนใจวากลยทธ ของหนวยงานตางๆ มความสอด คลองในแนวทางเดยวกนหรอไม 9.สอบทานการจดสรรทรพยากรทจ าเปนตองใชตามแผนระยะส นและระยะยาวมความเหมาะสมหรอไม

/

/ /

จะมการสอบถามยงหนวย-งานอน ๆ วามแผนงานอยางไร เพอใหการวางกลยทธของหนวยงานสารสนเทศสอดคลองกน

DPU

ตารางท 4.36 (ตอ)

PO7 : การจดการทรพยากรบคคล ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกผลการ ผลกระทบ

ขอเสนอแนะ

ม ไมม

ตรวจสอบ

1. สอบทานวามการจดท าค าบรรยายลกษณะงาน หนาท ความรบผดชอบ ตลอดจนคณสมบตของบคลากรต าแหนงตาง ๆ ในสวนงานเทคโนโลยสารสนเทศหรอไม 2. สอบทานวามกระบวนการหรอวธการจดหาคนเขาท างาน การก าหนดวธการเพอความปลอดภยดานการพนกงานของสวนงาน 3. สอบทานวามการฝกอบรมพนกงานของสวนของเทคโนโลยสารสนเทศหรอไม

/

/

/

จะมการสอบทานประวตบคลากรใหม กอนรบเขาท างาน มแผนการฝกอบรมประจ าป

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

4. สอบทานวามการประเมน ผลการปฏบตงานตามหนาทงานของพนกงาน โดยเปรยบ เทยบกบมาตรฐานหรอแนวทางปฏบตทไดก าหนดไวหรอไม

/

มการก าหนดมาตรฐานการปฏบตงานของต าแหนงงานตาง ๆ ไวลวงหนา

DPU

ตารางท 4.36 (ตอ)

AI3 การจดหาและบ ารงรกษาโครงสรางพ นฐานดานเทคโนโลย ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1.สอบทานวามการก าหนดข นตอน วธปฏบตเกยวกบโครงสราง พ นฐานทางดานเทคโนโลย ดงน 1.1 การวางแผนในการจดหา

1.2 การดแลรกษาและการปองกนในสวนของโครงของโครงสรางพ นฐาน 1.3 สอบทานวามการปฏบตตามข นตอนทก าหนดไวหรอไม

/ /

/

มการปฏบตตามข นตอนทก าหนดไวอยางครบถวน

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

2. สอบทานในเรองต าง ๆ ดงน 2.1 มการประเมนความตองการดานฮารดแวรและซอฟตแวรใหม 2.2 การบ ารงรกษาฮารดแวรมแผนก าหนดไวลวงหนา 2.3 มการรกษาความปลอดภยของโปรแกรมระบบ 2.4 มการก าหนดข นตอนในการตดต ง ดแลบ ารงรกษา การควบคมการเปลยนแปลงแกไขโปรแกรมระบบ

/ / /

/

จะมการสงแบบสอบถามความตองการไปยงหนวยงานต าง ๆ เมอฮารดแวรมปญหาในการท างาน จะตดตามชางมาด าเนนการแกไข

ฮารดแวรไมสามารถท างานได ท าใหการปฏบตงานเกดการหยดชะงก

ควรมการก าหนดแผนการบ ารงรกษาฮารดแวรไวลวงหนา

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

2.5 มการใชและตดตามประเมนการใชงานโปรแกรมอรรถประ-โยชนหรอไม อยางไร

/

DPU

ตารางท 4.36 (ตอ)

AI4 : ระเบยบปฏบตในการพฒนาและบ ารงรกษา ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1. ท าการสอบทานวามการปฏบตงานตรงตามความตองการและระดบการใหบรการในเวลาทเหมาะสมหรอไม อยางไร 2. สอบทานความละเอยด ครบถวน สมบรณของค มอดงน 2.1 ค มอการปฏบตงานของผใชงาน 2.2 ค มอการปฏบตการคอมพว-เตอรของเจาหนาทดานเทคโนโลยสารสนเทศ

/

/

/

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

3. สอบทานวามการฝกอบรมผใชระบบงานและมเอกสารการฝกอบรม ส าหรบระบบงานทพฒนาหรอไม อยางไร

/

กอนเรมใชระบบงาน จะมการฝกอบรมผใชงานกอน และมเอกสารการฝกอบรมครบถวน

DPU

ตารางท 4.36 (ตอ)

DS5 : การรกษาความปลอดภยระบบ ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1.สอบทานวามการก าหนดนโยบายการรกษาความปลอดภยระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษรหรอไม

/ มกระบวนการในการบรหารจดการดานความปลอดภย แตไมไดจดท าเปนนโยบายทเปนลายลกษณอกษรอยางชดเจน

ขอมลในระบบคอมพวเตอรขององคกรเปนทรพยสนทมมลค า การปราศจากนโยบายความปลอดภยของระบบเทคโนโลยสารสนเทศ อาจสงผลใหเกดการใชงานในระบบเปนไปอยางไมถกตองและไมเปนไปตามวตถประสงคทต งไว ขอมลถกใช เปดเผย แกไข ท าลาย โดยไมไดรบอนญาต ขอมลสญหาย ตลอดจนระบบ-งานไมสามารถท างานได

องคกรควรจดท านโยบายการรกษษความปลอดภยระบบเทคโนโลยสารสนเทศ เพอกอใหเกดความปลอดภยกบขอมลและระบบเทคโนโลยสารสนเทศของบรษท โดยพจารณาถงความซบซอนของการประมวลผล ตนทนและประโยชนทจะไดรบ ท งน ขอบเขตและเนอหาของนโยบายเมอจดท าแลวควรจะสอสารกบหนวยงานทเกยว-ของอยางชดเจน รายละเอยดส าคญในนโยบายการรรกษา

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

ความปลอดภยระบบเทคโน-โลยสารสนเทส ควรประ-กอบดวย ขอตกลงหรอการสนบสนนของผบรหาร, หลกการเขาถงขอมล เชน การเขาถงขอมลในระบบควรใชเกณฑจ าเปนตองท าหรอจ าเปนตองร, การสอบทานการใหสทธการเขาถง โดยการควบคมการเขาถงควรถกประเมนอยางสม าเสมอ, ความตระหนกเรองการรกษาความปลอดภย, บทบาทของเจาหนาทบรหารความปลอดภย คณะกรรมการดาน

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

2. สอบทานวามการก าหนดอ านาจหรอสทธและมการควบคมการเขาสระบบหรอไม 3. สอบทานวามการปองกนการแกไขระบบควบคมทก าหนดไวหรอไม 4. สอบทานวามการจดการเกยวกบรหสลบหรอไม

/ / /

มการก าหนดสทธในการเขาสระบบตามต าแหนงหนาทงานของผใชระบบงานแต ละคน มการบนทกรายละเอยดการเขาสระบบงานของผใชระบบงานทกคนและสอบทานโดยผทไดรบมอบหมาย

ความปลอดภย, การควบคมซอฟตแวรและฮารดแวร

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกผลการ

ผลกระทบ ขอเสนอแนะ

ม

ไมม ตรวจสอบ

5.สอบทานวามมาตรการรกษาความปลอดภยในการเขาถงขอมลแบบออนไลนหรอไม 6. สอบทานวามการจ าแนกประเภทขอมลหรอไม 7. สอบทานวามการควบคมบญชผใชงานหรอไม 8. สอบทานวามการรายงานการละเมดและกจกรรมทเกยวของกบ ความปลอดภย การจดการกบ เหตการณทเกดข นหรอไม

/ / / /

จะมการลอครหสผใชงาน กรณพนกงานผน นลาออก

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

9. สอบทานความเหมาะสมของการก าหนดอ านาจการอนมต รายการ 10. สอบทานวามการก าหนด ใหมการปฏเสธรายการทผดเงอนไขหรอไม 11. สอบทานวามการก าหนดชอง ทางการรบสงขอมล และพจารณาวามความนาเชอถอหรอไม

/ / /

เปนไปตามระเบยบเกยวกบอ านาจด าเนนการทบรษทก าหนดวงเงนการอนมตส าหรบแต ละต าแหนงงาน

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

12. สอบทานวามการปองกน การตรวจหา และการแกไขเกยวกบ โปรแกรมทเปนอนตรายหรอไม 13. สอบทานวามการก าหนดโครงสรางไฟรวอลลและการเชอมโยงกบเครอข ายสาธารณะหรอไม 14. สอบทานวามการปองกนความเสยหายของขอมลอเลกทรอนกสหรอไม

/

/ /

จะมการสงข าวสารใหพนกงานทราบเกยวกบขอควรระวงในการใชโปแกรมทอาจเปนอนตราย ไวรสคอมพวเตอร และโปรแกรมทไมมลขสทธ

DPU

ตารางท 4.36 (ตอ)

M1 : การตดตามกระบวนการท างาน

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

1. สอบทานวามกระบวนการใน การก าหนดตวชวดประสทธภาพหรอไม 2. สอบทานวามกระบวนการในการรวบรวมขอมล การประเมนประสทธภาพการปฏบตงานอยางตอเนองหรอไม 3.สอบทานวามการประเมนความ พงพอใจของผรบบรการหรอไม 4.สอบทานมการรายงานผลการตดตามตอผบรหารหรอไม

/

/ / /

มการรวบรวมขอมลเพอก าหนดตวชวดประสทธ-ภาพ โดยมการก าหนด KPI ของงาน

DPU

ตารางท 4.36 (ตอ)

AI2 : การจดหาและบ ารงรกษาซอฟตแวรประยกต ทดสอบ/ตรวจสอบ

ผลการ ตรวจสอบ

บนทกของผตรวจสอบ ผลกระทบ

ขอเสนอแนะ

ม ไมม

1. สอบทานวาองคกรมการก าหนดข นตอนวธปฏบตเกยวกบการจดหาระบบงานประยกตทองคกรน ามา ใชหรอไม

/

กรณเปนระบบงานทมความซบซอน จะใชวธการวาจางบคคลภายนอกในการพฒนาระบบงาน ซงจะมการระบในสญญาวาจางถงข น-ตอนตาง ๆ ในการพฒนาระบบงานต งแตการออก -แบบระบบงาน การอนมตการออกแบบ การก าหนดความตองการเกยวกบแฟมขอมล ขอก าหนดของโปรแกรม ความตองการเกยวกบขอมลน าเขา การประมวลผล และ ผลลพธ

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

2. สอบทานวาองคกรมการก าหนดข นตอนวธปฏบตเกยวกบการดแลรกษาระบบงานประยกตทองคกรน ามาใชหรอไม 3. สอบทานวาองคกรมขอก าหนด เกยวกบความครบถวนถกตองของ โปรแกรมระบบงานประยกตหรอไม 3. สอบทานวามการทดสอบโปรแกรมระบบงานประยกตดวยวธการทดสอบทเหมาะสมหรอไม

/ / /

มการก าหนดข นตอนการเขาถงโปรแกรมระบบงานประยกต การดแล version ของโปรแกรมทใชงานจรง มการก าหนดอยางละเอยดชดเจนในสญญาการจางบรษทบคคลภายนอกในการพฒนาระบบงาน มการทดสอบโปรแกรมระบบงานประยกต โดยจะมการทดสอบโปรแกรมและระบบงานโดยเจาหนาทหนวยงานเทคโนโลยสาร –

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

4. สอบทานวาผใชระบบงานมสวนรวมในการทดสอบหรอไม 5. สอบทานค มอผใชระบบและค มอสนบสนนการปฏบตงานวามความละเอยด ชดเจน เพยงพอหรอไม

/ /

สนเทศกอน หลงจากน นจะมการใหผใชระบบงานเขาทดสอบระบบงานอกครงหนง และกอนจะยกเลกระบบงานเดมจะมการท างานค ขนานกอนจนกวาจะมนใจในความถกตองของโปรแกรมระบบงานใหม

DPU

ตารางท 4.36 (ตอ)

ทดสอบ/ตรวจสอบ ผลการ

ตรวจสอบ บนทกของผตรวจสอบ

ผลกระทบ ขอเสนอแนะ

ม

ไมม

6. สอบทานวาเมอมขอขดแยงทางดานเทคนคหรอลอจกเกดข นระหวางการบ ารงรกษาหรอการพฒนา การออกแบบจะถกประเมนซ าอกครงหนง

/

DPU

บทท 5 สรปผลการวจย

5.1 สรปผลการวจย

การตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT เกยวของกบการศกษารวบรวมขอมลเกยวกบเทคโนโลยสารสนเทศ ความเสยงดานเทคโนโลยสารสนเทศ ความเสยหายทอาจเกดข นจากการใชเทคโนโลยสารสนเทศ และการตรวจสอบระบบเทคโนโลยสารสนเทศ และ COBIT FRAMEWORK เพอน ากรอบมาตรฐานของ COBIT มาใชเปนแนวทางในการจดท าแนวการตรวจสอบระบบเทคโนโลยสารสนเทศ โดยไดพจารณาจดท าแนวการตรวจสอบโดยแบงการตรวจสอบตามโครงสรางของมาตรฐาน COBIT บนพนฐานของกระบวนการทางธรกจ 4 กระบวนการหลก (Domain) ไดแก การวางแผนและการจดการองคกร (PO : Planning and Organization) การจดหาและตดตง (AI : Acquisition and Implementation) การสงมอบและบ ารงรกษา (DS : Delivery and Support) การตดตามผล (M : Monitoring) ทงนแนวการตรวจสอบระบบเทคโนโลยสารสนเทศ (Audit Program) จะประกอบดวย หวขอการตรวจสอบ วตถประสงคการตรวจสอบ ความเสยง การควบคมทควรม และวธการทดสอบ /ตรวจสอบ ซงสามารถใชเปนเครองมอชวยผตรวจสอบระบบเทคโนโลยสารสนเทศในการปฏบตงานตรวจสอบ และท าใหหวหนาหนวยงานตรวจสอบระบบเทคโนโลยสารสนเทศสามารถใชเปนเครองมอในการสอบทานและควบคมงานตรวจสอบใหสามารถด าเนนการไดบรรลวตถประสงคของการตรวจสอบ

มาตรฐาน COBIT นนมจดประสงคในการสรางความมนใจวาการใชทรพยากรดานเทคโนโลยสารสนเทศสอดคลองกบวตถประสงคเชงธรกจขององคกร (Business Objectives) เพอใหเกดการใชทรพยากรอยางมประสทธผลอนจะสงประโยชนสงสดแกองคกร ชวยใหเกดความสมดลระหวางความเสยงดานเทคโนโลยสารสนเทศและผลตอบแทนของการลงทนในระบบสารสนเทศ โดยมาตรฐาน COBIT มพนฐานมาจาก FRAMEWORK ชนน าตาง ๆ มากมาย ไดแก The Software Engineering Institute’s Capability Maturity Model (CMM), ISO 9000, The Information Technology Infrastructure Library (ITIL) ของประเทศองกฤษ อยางไรกตาม COBIT ยงขาดในสวนของ Guideline เพอใชในทางปฏบต เนองจาก COBIT เปน FRAMEWORK ทเนนในเรองของการควบคม (Control) เปนหลก COBIT จะมงประเดนในการบอกวาองคกรตองการอะไรบาง (What) แตไมมรายละเอยดในแงของวธการทจะน าไปสจดนน (How) ซงเหมาะกบผ

DPU

135

ตรวจสอบระบบเทคโนโลยสารสนเทศทจะน ามาตรฐาน COBIT มาใชเพอท าเปน Audit Program แตในกรณผตรวจสอบระบบเทคโนโลยสารสนเทศมประเดนทพบจากการตรวจสอบ และพจารณาขอเสนอแนะเพอการปรบปรง จะตองน า FRAMEWORK อน ๆ เขารวมเพอเพมเตมรายละเอยดของการน าไปปฏบต เชน รายละเอยดในกระบวนการของ ITIL สามารถน าไปใชเปนรายละเอยดในขอเสนอแนะเพอการปรบปรงหากมประเดนทพบจากการตรวจสอบในกระบวนการการสงมอบและบ ารงรกษา (DS : Delivery and Support) 5.2 อภปรายผลการศกษา

ผลการศกษาพบวา แนวการตรวจสอบระบบเทคโนโลยสารสนเทศตามแนวทางของ COBIT ผตรวจสอบเทคโนโลยสารสนเทศสามารถน ามาใชเปนเครองมอในการปฏบตงานตรวจสอบ และหวหนาหนวยงานตรวจสอบสามารถใชเปนเครองมอในการสอบทานและควบคมงาน ซงท าใหการตรวจสอบเทคโนโลยสารสนเทศสามารถด าเนนการไดอยางครอบคลมตามระดบความเสยงดานเทคโนโลยสารสนเทศขององคกร และบรรลวตถประสงคของการตรวจสอบ อยางไรกตาม รายละเอยดของการน าไปปฏบตในกระบวนการตาง ๆ ในมาตรฐาน COBIT ผ ตรวจสอบจะตองพจารณาขอมล เพม เตมจาก FRAMEWORK อน ๆ เชน มาตรฐาน ISO/IEC27001 ,ISO/IEC17799 ทมงเนนดานการรกษาความมนคงปลอดภยใหกบระบบสารสนเทศขององคกร, ISO/IEC 13335 ซงเปนมาตรฐานวาดวยแนวทางปฏบตในการบรหารจดการความมนคงปลอดภย, ISO/IEC 15408 ซงเปนมาตรฐานวาดวยเรองเทคนควธดานความมนคงปลอดภยซงจะถกใชเปนเงอนไขกลางหรอเกณฑกลาง (Common Criteria) ในการประเมนระบบในเรองของความมนคงปลอดภย , ITIL (IT Infrastructure Library) ซงเปนแนวทางปฏบตวาดวยเรองเกยวกบโครงสรางพนฐานเทคโนโลยสารสนเทศ ซง ITIL นเปนแนวทางปฏบตทดเยยม (best practice) ในการบรหารจดการดาน IT Service ตลอดจนเครองมอตาง ๆ ทใชส าหรบบรหารจดการระบบเทคโนโลยสารสนเทศ เชน PRINCE2, PMBOX, TickIT, TOGAF8.1

DPU

136

5.3 ขอเสนอแนะ ผตรวจสอบเทคโนโลยสารสนเทศสามารถใชแนวการตรวจสอบระบบเทคโนโลย

สารสนเทศเปนเครองมอในการปฏบตงานตรวจสอบ อยางไรกตาม หากสามารถรวบรวมขอมลเกยวกบรายละเอยดการน าไปปฏบตส าหรบกระบวนการทางธรกจทง 4 กระบวนการหลก (Domain) ไมวาจะเปนกระบวนการ การวางแผนและการจดการองคกร (PO : Planning and Organization) การจดหาและตดตง (AI : Acquisition and Implementation) การสงมอบและบ ารงรกษา (DS : Delivery and Support) การตดตามผล (M : Monitoring) จะชวยใหการปฏบตงานตรวจสอบระบบเทคโนโลยสารสนเทศใชระยะเวลานอยลง

DPU

137

บรรณานกรม

DPU

138

บรรณานกรม ภาษาไทย

หนงสอ

จนทนา สาขากร นพนธ เหนโชคชยชนะ และ ศลปะพร ศรจนเพชร. (2548). การควบคมภายใน และการตรวจสอบภายใน. กรงเทพฯ : ท พ เอน เพรส. ตลาดหลกทรพยแหงประเทศไทย. (2540). แนวทางการจดระบบการควบคมภายใน. กรงเทพฯ : บญศรการพมพ. ตลาดหลกทรพยแหงประเทศไทยและสมาคมผตรวจสอบภายในแหงประเทศไทย. (2548) .แนว

ทางการตรวจสอบภายใน .กรงเทพฯ : ผแตง. ประทกษ วงศสนคงมน และ คณะ. (2545). การตรวจสอบระบบงานคอมพวเตอรและการควบคม ภายใน. นนทบร : โรงพมพมหาวทยาลยสโขทยธรรมาธราช. เมธา สวรรณสาร. (2545). IT Governance. กรงเทพฯ : ชมรม IT ประกนภย สมาคมประกน

วนาศภย. วศน เพมทรพย และ วโรจน ชยมล. (2548). ความรเบองตนเกยวกบคอมพวเตอรและเทคโนโลย สารสนเทศ. กรงเทพฯ : โปรวชน. ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต. (2550). มาตรฐานการรกษาความมนคง ปลอดภยในการประกอบธรกรรมทางอเลกทรอนกศ (เวอรชน 2.5) ประจ าป 2550. กรงเทพฯ : หนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงของประเทศ ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต. ศรญญา เปยมศลป และ คณะ. (2547). COBIT บทสรปส าหรบผบรหาร. กรงเทพฯ : สถาบนเทคโนโลยสารสนเทศาภบาล. สมาคมนกบญชและผสอบบญชรบอนญาตแหงประเทศไทย. การใชคอมพวเตอรในการจดท าและ ตรวจสอบบญช (เอกสารประกอบการเตรยมตวเปนผสอบบญชรบอนญาต). กรงเทพฯ : พ.เอ. ลฟวง อภณหพร เมธาวชนานนท. (2551). การตรวจสอบเทคโนโลยสารสนเทศ (เอกสารการสอน). กรงเทพฯ : คณะวศวกรรมศาสตร มหาวทยาลยธรกจบณฑตย.

DPU

139

อษณา ภทรมนตร. (2551). การตรวจสอบและการควบคมดานคอมพวเตอรทางบญช . กรงเทพฯ : จามจรโปรดกท.

อษณา ภทรมนตร. (2552). การตรวจสอบภายในสมยใหม . กรงเทพฯ : จามจรโปรดกท.

งานคนควาอสระ กฤษฎา แกวผดผอง.(2551). ระบบตนแบบการจดการความเสยงส าหรบทรพยสนสารสนเทศใน

องคกรตามมาตรฐานสากล BS 7799 กรณศกษา : ส านกหอสมด มหาวทยาลยมหดล. งานคนควาอสระปรญญามหาบณฑต สาขาวชาเทคโนโลยคอมพวเตอรและการสอสาร.

กรงเทพฯ : มหาวทยาลยธรกจบณฑตย. จตพล จตรพงษ.(2548). การตรวจสอบระบบสารสนเทศเพอประสทธผลโดยรวมขององคกรดาน

ซอฟตแวรและฮารดแวร. งานคนควาอสระปรญญามหาบณฑต สาขาวชาเทคโนโลย สารสนเทศ. กรงเทพฯ : มหาวทยาลยเกษตรศาสตร.

เบญจมาศ ฮะยม.(2548). การศกษาการควบคมภายในโดยการประเมนตนเอง (Control Self Assessment : CSA). งานคนควาอสระปรญญามหาบณฑต สาขาวชาการจดการ

เทคโนโลยสารสนเทศและการสอสาร. กรงเทพฯ : มหาวทยาลยหอการคาไทย. พมพกมล ศรสวสด. (2551). การประเมนความเสยงจากการใชเทคโนโลยดวย Cobit. งานคนควาอสระปรญญามหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ. กรงเทพฯ : มหาวทยาลยเกษตรศาสตร. อรพรรณ เชาวสวรรณกจ. (2549). การพฒนาโมเดลและเครองมอส าหรบการตรวจประเมน ทรพยากรสารสนเทศ ส าหรบการบรหารจดการขอมลทด. งานคนควาอสระ

ปรญญามหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ. กรงเทพ: มหาวทยาลยเกษตรศาสตร.

DPU

140

สารสนเทศจากสออเลกทรอนกส

ดวงกมล ทรพยพทยากร. (2550, กมภาพนธ). มาตรฐาน แนวทางปฏบต และกรอบวธปฏบตตางๆ ทเกยวของกบระบบเทคโนโลยสารสนเทศ. สบคนเมอ 31 กรกฎาคม 2552, จาก http:/www.thaicert.org ปรญญา หอมเอนก. (2548). การเตรยมองคกรใหพรอมเขาสยค IT Governance ดวยมาตรฐาน Cobit และ ITIL. สบคนเมอ 23 กรกฎาคม 2552, จาก http://www.acisonline.net

DPU

141

ภาษาตางประเทศ

BOOKS

Chambers,D.A., and Court, M.J. (1991). Computer Auditing (3ed). London:Pitman Publishing. Donald A. Watne and Peter B.B. Turney. (1990). Auditing EDP Systems. 2nd ed. New York : Prentice Hall Internatioanl, Inc.

DPU

142

ประวตผเขยน ชอ-นามสกล นางภาพร ภยโยดลกชย ประวตการศกษา บญชบณฑต คณะบญช มหาวทยาลยกรงเทพ, 2532 บรหารธรกจบณฑต สาขาวชาคอมพวเตอรธรกจ

คณะบรหารธรกจ มหาวทยาลยสยาม, 2534 นตศาสตรบณฑต คณะนตศาสตร มหาวทยาลยสโขทยธรรมาธราช, 2543 บญชมหาบณฑต คณะพาณชยศาสตรและการบญช จฬาลงกรณมหาวทยาลย, 2539 นตศาสตรมหาบณฑต คณะนตศาสตร มหาวทยาลยธรกจบณฑตย, 2548 สถานทท างานปจจบน ผสอบบญชรบอนญาต ส านกงานกฎหมายและการบญช พพแอนดแอสโซซเอทส

DPU