1 / 0

IT Auditing

IT Auditing. วัตถุประสงค์ เพื่อสร้างความเข้าใจเกี่ยวกับ. ผลกระทบของระบบสารสนเทศที่มีต่อหน่วยตรวจสอบภายใน บทบาทของหน่วยตรวจสอบภายในต่อระบบสารสนเทศขององค์กร การควบคุมทั่วไป ( General Controls ) การควบคุมเฉพาะระบบงาน ( Application Controls ) ขั้นตอนการตรวจสอบระบบสารสนเทศเบื้องต้น. หัวข้อ.

arlo
Download Presentation

IT Auditing

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IT Auditing

  2. วัตถุประสงค์เพื่อสร้างความเข้าใจเกี่ยวกับ วัตถุประสงค์เพื่อสร้างความเข้าใจเกี่ยวกับ ผลกระทบของระบบสารสนเทศที่มีต่อหน่วยตรวจสอบภายใน บทบาทของหน่วยตรวจสอบภายในต่อระบบสารสนเทศขององค์กร การควบคุมทั่วไป (General Controls) การควบคุมเฉพาะระบบงาน (Application Controls) ขั้นตอนการตรวจสอบระบบสารสนเทศเบื้องต้น
  3. หัวข้อ

    ความหมาย: - ระบบสารสนเทศ - การตรวจสอบระบบสารสนเทศ 2. การควบคุมภายในระบบสารสนเทศ - การควบคุมทั่วไป - การควบคุมเฉพาะระบบงาน 3. การตรวจสอบระบบสารสนเทศ - ขั้นตอนการตรวจสอบ - เทคนิคการตรวจสอบ
  4. ความหมายของระบบสารสนเทศ ความหมายของระบบสารสนเทศ ระบบงานที่ออกแบบมา เพื่อประมวลผลข้อมูลให้เป็นสารสนเทศ ที่มีประโยชน์ในการตัดสินใจของผู้ใช้ระบบหรือ A system that collects, records, stores, and processes data to produce information for decision makers.
  5. ส่วนประกอบของระบบสารสนเทศ ส่วนประกอบของระบบสารสนเทศ Data Software People Procedure and Instructions Information Technology Infrastructure Internal Controls and Security Measures
  6. ความหมายของการตรวจสอบระบบสารสนเทศ ความหมายของการตรวจสอบระบบสารสนเทศ กระบวนการที่ใช้ในการเก็บรวบรวมและ ประเมินหลักฐาน เพื่อที่จะพิจารณาว่า ระบบสารสนเทศนั้นสามารถที่จะบรรลุ วัตถุประสงค์หลัก 4 ประการ ได้มากน้อยเพียงใด
  7. วัตถุประสงค์หลักของระบบสารสนเทศ วัตถุประสงค์หลักของระบบสารสนเทศ ป้องกันการทุจริตเเละความผิดพลาดที่อาจเกิดขึ้นกับสินทรัพย์ (Assets Safeguarding) รักษาความถูกต้องของข้อมูล (Data Integrity) ความมีประสิทธิผลของระบบงาน (System Effectiveness) ความมีประสิทธิภาพในการใช้ทรัพยากรของระบบ (System Efficiency)
  8. ความจำเป็นที่ต้องมีการควบคุมและตรวจสอบระบบสารสนทศ ความจำเป็นที่ต้องมีการควบคุมและตรวจสอบระบบสารสนทศ

    1. ค่าใช้จ่ายที่อาจเกิดขึ้นจากการสูญเสียข้อมูล 2. การตัดสินใจที่ผิดพลาด 3. ค่าใช้จ่ายที่เพิ่มขึ้นจากการใช้คอมพิวเตอร์ใน ทางมิชอบ 4. อุปกรณ์คอมพิวเตอร์ ซอฟต์แวร์ และ บุคลากรมีมูลค่าสูง
  9. ผลกระทบของการประมวลผลโดยใช้คอมพิวเตอร์ต่อการตรวจสอบ ผลกระทบของการประมวลผลโดยใช้คอมพิวเตอร์ต่อการตรวจสอบ

    1. การเปลี่ยนแปลงในการเก็บหลักฐาน (Changes to Evidence Collection) 2. การเปลี่ยนแปลงในการประเมินหลักฐาน(Changes to Evidence Evaluation)
  10. การจำแนกประเภทการควบคุมตามวัตถุประสงค์ของการควบคุม การจำแนกประเภทการควบคุมตามวัตถุประสงค์ของการควบคุม การควบคุมเชิงป้องกัน (Preventive Control) การควบคุมเชิงตรวจพบ (Detective Control) การควบคุมเชิงแก้ไข (Corrective Control)
  11. การควบคุมในระบบสารสนเทศ การควบคุมในระบบสารสนเทศ การควบคุมทั่วไป (General Controls) การควบคุมระบบงาน (Application Controls)
  12. การควบคุมทั่วไป เป็นการควบคุมที่กำหนดขึ้นเพื่อใช้ในหน่วยงานต่างๆ ขององค์กรที่เกี่ยวข้องกับการประมวลผลด้วย IT ให้มั่นใจว่าการประมวลผลข้อมูลด้วย IT จะเป็นไปอย่างเหมาะสม และการลงทุนในด้าน IT เหมาะสม และคุ้มค่า มีผลกระทบในวงกว้าง ในหลายๆ หน่วยงานในองค์กร และหลายระบบงานที่มีการใช้งาน
  13. การควบคุมทั่วไป (General Control) การกำหนดนโยบายในการใช้สารสนเทศ การแบ่งแยกหน้าที่งานในระบบสารสนเทศ การควบคุมโครงการพัฒนาระบบสารสนเทศ การควบคุมการเปลี่ยนแปลงแก้ไขระบบ การควบคุมการปฏิบัติงานในศูนย์คอมพิวเตอร์ การควบคุมการเข้าถึงอุปกรณ์คอมพิวเตอร์ การควบคุมการเข้าถึงข้อมูลและทรัพยากรสารสนเทศ
  14. การควบคุมทั่วไป (General Control) (ต่อ) การควบคุมเข้าถึงระบบงาน การควบคุมการจัดเก็บข้อมูล การควบคุมการสื่อสารข้อมูล การกำหนดมาตรฐานของเอกสารระบบสารสนเทศ การลดความเสียหายที่อาจเกิดขึ้นกับระบบคอมพิวเตอร์ การวางแผนกู้ระบบจากภัยพิบัติ
  15. 1. การกำหนดนโยบายสารสนเทศ มีนโยบายที่ชัดเจนว่าใครต้องการเข้าถึง ข้อมูลอะไร เมื่อไร ในระบบงานใด การให้สิทธิในการเข้าถึงจะใช้หลัก “need to know”
  16. 2. การแบ่งแยกหน้าที่งานในระบบสารสนเทศ แบ่งแยกหน้าที่ความรับผิดชอบของผู้ปฏิบัติงานระบบงานคอมพิวเตอร์ให้ชัดเจนและ ไม่ให้คนหนึ่งทำงานที่ต้องแบ่งแยกหน้าที่กัน งานวิเคราะห์ระบบ (System Analysis) งานเขียนโปรแกรม (Programming) งานปฏิบัติการคอมพิวเตอร์ (Computer Operation) งาน Master Data Maintenance งานบรรณารักษ์ระบบ (System Library) งานควบคุมข้อมูล (Data Control)
  17. 3. การควบคุมโครงการพัฒนาระบบสารสนเทศ แผนแม่บทระยะยาว แผนงานพัฒนาระบบ การมอบหมายหน้าที่และความรับผิดชอบ การควบคุมในแต่ละขั้นตอนของการพัฒนาระบบ การประเมินผลงานระหว่างการดำเนินโครงการ การสอบทานภายหลังการติดตั้งระบบและนำระบบมาใช้งาน การวัดผลการดำเนินงานของระบบ
  18. 4. การควบคุมการเปลี่ยนแปลงแก้ไขระบบ การกำหนดระเบียบวิธีปฏิบัติในการแก้ไขระบบที่เป็นลายลักษณ์อักษร มีการศึกษาถึงผลกระทบต่าง ๆ มีการทดสอบระบบที่แก้ไขแล้วก่อนนำไปใช้ จัดทำเอกสารคู่มือประกอบการแก้ไข ประเมินผลและสอบทานระบบงานภายหลังเริ่มใช้
  19. 5. การควบคุมการปฎิบัติงานในศูนย์คอมพิวเตอร์ การประมวลผลระบบงาน การสำรองข้อมูล การจัดการปัญหาของระบบ
  20. 6. การควบคุมเข้าถึงอุปกรณ์คอมพิวเตอร์ สถานที่มิดชิด มีการรักษาความปลอดภัยหนาแน่น เข้าออกได้เฉพาะผู้เกี่ยวข้อง กำหนดนโยบายรักษาความปลอดภัยที่ชัดเจน ติดระบบเตือนภัยกรณีมีผู้บุกรุก จำกัดให้ใช้โทรศัพท์เฉพาะเรื่องที่เกี่ยวกับงาน ติดอุปกรณ์ป้องกันเครื่องคอมพิวเตอร์ ควบคุมสภาพแวดล้อมในการทำงาน
  21. 7. การควบคุมการเข้าถึงข้อมูลและทรัพยากรสารสนเทศ User Views or Subschema ตารางการอนุญาติให้เข้าถึงฐานข้อมูล (Database Authorization Table) การเข้ารหัสข้อมูล (Data Encryption) การควบคุมการอนุมานข้อมูล (Inference Controls)
  22. 8. การควบคุมการเข้าถึงระบบงาน การตรวจสอบความเท็จจริง (Authentication) รหัสผ่าน (Password) การระบุตัวตนด้วยส่งที่มีทางกายภาพ (Physical Possession Identification) การระบุตัวตนด้วยค่าทางชีวภาพ (Biometric Identification) การกำหนดสิทธิ (Authorization) การบันทึกกิจกรรมต่าง ๆ ในระบบเพื่อใช้ในการตรวจสอบ (Audit Log)
  23. 9. การควบคุมการจัดเก็บข้อมูล ร่องรอยการตรวจสอบ ห้องสมุดแฟ้มข้อมูล ป้ายชื่อแฟ้ม(external and internal labels) ผู้บริหารฐานข้อมูล (Database Administrator) พจนานุกรมข้อมูล (Data Dictionary-DDIC)
  24. 10. การควบคุมการสื่อสารข้อมูล Encryption Callback system Parity bit
  25. 11. การกำหนดมาตรฐานเอกสารระบบสารสนเทศ(Documentation Standard) การจัดทำเอกสารทางการบริหาร การจัดทำเอกสารระบบงาน การจัดทำเอกสารประกอบการปฏิบัติการ
  26. 12. การลดความเสียหายที่อาจเกิดขึ้นกับระบบ การบำรุงรักษาในเชิงป้องกัน (Preventive Maintenance) อุปกรณ์ไฟฟ้าสำรอง (Uninterrupted Power Supply) ระบบที่ทนต่อความบกพร่อง (Fault Tolerant)
  27. 13. การวางแผนกู้ระบบจากภัยพิบัติ แผนควรรวมถึง Backup files, facilities, and stationery การจัดลำดับความสำคัญของงานที่ต้องกู้ก่อน การกำหนดทีมที่รับผิดชอบการกู้ระบบ การฝึกซ้อมการกู้ระบบ Second-site
  28. ความเสี่ยงจากการขาดการควบคุมทั่วไปที่ดี ความเสี่ยงจากการขาดการควบคุมทั่วไปที่ดี ภาพรวมของการควบคุมภายในขาดประสิทธิภาพ ข้อมูลหรือโปรแกรมอาจเกิดความเสียหาย ข้อมูลหรือโปรแกรมอาจเกนำไปใช้โดยไม่ได้รับอนุญาต ระบบงานหยุดชะงัก
  29. การควบคุมระบบงานApplication Controls การควบคุมในส่วนของ input, process, และ output ในระบบงานหนึ่ง ๆ เท่านั้น การควบคุมในระบบงานจะมีประสิทธิผลได้ การควบคุมทั่วไปที่เกี่ยวข้องต้องมีประสิทธิผลเสียก่อน การควบคุมบางประเภทอาจเป็นทั้งการควบคุมทั่วไป และการควบคุมในระบบงาน
  30. การควบคุมข้อมูลนำเข้า (input controls) กำหนดขึ้นเพื่อให้มั่นใจในความครบถ้วน สมบูรณ์ ถูกต้อง ได้รับการอนุมัติ และเกิดขึ้นอย่างถูกต้องตามกฎหมาย ระเบียบและนโยบาย ของรายการทั้งหมดที่นำเข้าสู่การประมวลผลของระบบงาน
  31. ตัวอย่างของการควบคุมเฉพาะระบบบงาน ตัวอย่างของการควบคุมเฉพาะระบบบงาน Existence or Validity Check Type Check Sign Check Reasonableness Check Limit Check Range Check Sequence Check Label Check
  32. การควบคุมเฉพาะระบบบงาน (application controls) Matching Check Posting or Update Check Record Count Check Amount Control Total Check Hash Total Check Crossfoot Balance Check Zero-Balance Check Self-checking Digit Check
  33. การตรวจสอบระบบสารสนเทศ การตรวจสอบระบบสารสนเทศ ขั้นตอนการตรวจสอบ ดูเอกสาร Exhibit 4.2 Audit Workflow เทคนิคการตรวจสอบ
  34. การทดสอบในการตรวจสอบ(Audit Tests) การทดสอบการควบคุม (Test of Controls) การตรวจสอบเนื้อหาสาระ (Substantive Tests)
  35. การประเมินการควบคุมภายใน การประเมินการควบคุมภายใน 1. ดูว่ามีการควบคุมภายในที่เพียงพอ (adequate controls) หรือไม่ 2. ดูว่าการควบคุมภายในที่มีนั้นมีประสิทธิผล (Control effectiveness) หรือไม่
  36. Control Matrix Controls
  37. ความสัมพันธ์ระหว่างการควบคุมภายในการและการทดสอบในการสอบบัญชี ความสัมพันธ์ระหว่างการควบคุมภายในการและการทดสอบในการสอบบัญชี ถ้าโครงสร้างการควบคุมภายในเข้มแข็ง ผู้สอบบัญชีจะทำการทดสอบการควบคุมเพื่อดูว่าการควบคุมมีประสิทธิผล ซึ่งถ้าเป็นจริงก็จะสามารถลดการตรวจสอบเนื้อหาสาระได้
  38. เทคนิคการใช้คอมพิวเตอร์ช่วยในการตรวจสอบ เทคนิคการใช้คอมพิวเตอร์ช่วยในการตรวจสอบ Computer-Assisted Auditing Tools and Techniques (CAATTs) ที่นิยมใช้กันทั่วไป - Test Dataใช้สำหรับการทดสอบการควบคุม - Generalized Audit Software (GAS) ใช้สำหรับการตรวจสอบเนื้อหาสาระ (เช่น โปรแกรม ACL, IDEA)
  39. Test Data แบบ Integrated Test Facility (ITF)
  40. Substantive Testing: Generalized Audit Software
  41. ISACA IS Auditing Standards Framework Standards Guidelines Procedures www.isaca.org/standards
  42. COSO Models Internal Controls vs. Risk Management REPORTING COMPLIANCE OPERATIONS STRATEGIC Internal Environment Objective Setting Subsidiary Event Identification Business Unit Division Risk Assessment Entity-Level Risk Response ControlActivities Information and Communication Monitoring
  43. COBIT Framework Definition “To provide the information that the organisation needs to achieve its objectives, IT resources need to be managed by a set of naturally grouped processes.” A process orientation is a proven management approach to efficiently exercise responsibilities, achieve set goals and reasonably manage risks. WHY
  44. COBIT: An IT control framework How IT is organised to respond to the requirements The resources made available to, and built up by, IT What the stakeholders expect from IT HOW DO THEY RELATE ? Business Requirements IT Resources IT Processes Data Information systems Technology Facilities Human resources Plan and organise Aquire and implement Deliver and support Monitor and evaluate Effectiveness Efficiency Confidentiality Integrity Availability Compliance Information reliability
  45. Business Requirements Quality Requirements: •Quality •Delivery •Cost Security Requirements •Confidentiality •Integrity •Availability Fiduciary Requirements (COSO Report) •Effectiveness and efficiency of operations •Compliance with laws and regulations •Reliability of financial reporting Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability of information
  46. Business Requirements Effectiveness –Deals with information being relevant and pertinent to the business process as well as being delivered in a timely, correct, consistent and usable manner Efficiency –Concerns the provision of information through the optimal (most productive and economical) usage of resources Confidentiality –Concerns protection of sensitive information from unauthorised disclosure Integrity –Relates to the accuracy and completeness of information as well as to its validity in accordance with the business‘s set of values and expectations Availability –Relates to information being available when required by the business process, and hence also concerns the safeguarding of resources Compliance –Deals with complying with those laws, regulations and contractual arrangements to which the business process is subject, i.e., externally imposed business criteria Reliability of information–Relates to systems providing management with appropriate information for it to use in operating the entity, providing financial reporting to users of the financial information, and providing information to report to regulatory bodies with regard to compliance with laws and regulations
  47. Criteria Effectiveness Efficiency Confidenciality Integrity Availability Compliance Reliability IT RESOURCES Data Application systems Technology Facilities People PLAN AND ORGANISE ACQUIRE AND IMPLEMENT DELIVER AND SUPPORT Business Objectives COBIT Framework PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage human resources PO8 Ensure compliance with external requirements PO9 Assess risks PO10 Manage projects PO11 Manage quality M1 Monitor the process M2 Assess internal control adequacy M3 Obtain independent assurance M4 Provide for independent audit MONITOR AND EVALUATE DS1 Define service levels DS2 Manage third-party services DS3 Manage peformance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and attribute costs DS7 Educate and train users DS8 Assist and advise IT customers DS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations AI1 Identify automated solutions AI2 Acquire and mantain application software AI3 Acquire and maintain technology infrastructure AI4 Develop and maintain IT procedures AI5 Install and accredit systems AI6 Manage changes
  48. Management Guidelines Framework Process Description Information Criteria Resources Maturity Model Key Goal Indicators 0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. 2 - Processes follow a regular pattern. 3 - Processes are documented and communicated. 4 - Processes are monitored and measured. 5 - Best practices are followed and automated. Critical Success Factors Key Performance Indicators
  49. CriticalSuccessFactors Definitions Are the most important things to do to increase the probability of success of the process Are observable—usually measurable—characteristics of the organisation and process Focus on obtaining, maintaining and leveraging capability, skills and behaviour
  50. MaturityModels Definitions Refer to business requirements (KGIs) and the enabling aspects (KPIs) at the different levels Are a scale that lend themselves to pragmatic comparison, where the difference can be made measurable in an easy manner Are recognisable as a profile of the enterprise in relation to IT governance and control Assist in determining as-is and to-be positions relative to IT governance and control maturity and analyse the gap Are not industry-specific nor generally applicable. The nature of the business determines what is an appropriate level.
  51. Nonexistent Initial Repeatable Defined Managed Optimised 0 1 2 3 4 5 Legend for Symbols Used Legend for Rankings Used 0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. 2 - Processes follow a regular pattern. 3 - Processes are documented and communicated. 4 - Processes are monitored and measured. 5 - Best practices are followed and automated. Enterprise current status International standard guidelines Industry best practice Enterprise strategy MaturityModels Usage
  52. How Audit Guidelines and All Other COBIT Elements Are Linked Business requirements information IT Processes controlled by Control Objectives made effective and efficient with audited by measured by implemented with translated into Critical Success Factors Audit Guidelines Control Practices for maturity for performance for outcome Key Performance Indicators Maturity Models Key Goal Indicators = takes into consideration
  53. IT Governance Domains Strategic alignment of IT with the business Value delivery of IT Management of IT risks IT resource management Performance measurement of IT
  54. ISO 17799 ISO 17799 ได้มีการเปลี่ยนชื่อเป็น ISO 27002 เป็นการระบุการควบคุมที่เป็นไปได้ (potential controls)และ กลไกการควบคุม (control mechanisms)จำนวนนับร้อยที่อาจมีการนำมาใช้ ตามแนวทางที่กำหนดไว้ใน ISO 27001
  55. ISO 27001 Information technolgoy - Security techniques – Information Security Management Systems – Requirements เป็นข้อกำหนดในการจัดระบบให้มีความมั่นคงปลอดภัยตามมาตรฐาน โดยมีวัตถุประสงค์เพื่อ Confidentiality, Integrity และ Availability (CIA) ของสารสนเทศ
  56. ISO 27001 และ ISO 27002 มาตรฐานทั้งสองนี้กำหนดขึ้นมาเพื่อให้ใช้ร่วมกัน โดย ISO 27001 เป็นข้อกำหนดสิ่งที่องค์กรต้องปฏิบัติ ส่วน ISO 27002 เป็น good practice ที่องค์กรควรปฏิบัติ
  57. ISO 27002 Content sections สิ่งที่ระบบควรมี Structure Risk Assessment and Treatment Security policy – มีนโยบายเรื่องความปลอดภัย Organization of information security – จัดโครงสร้างด้านความปลอดภัย Asset classification and control – การจัดการสินทรัพย์
  58. ISO 27002 Content sections (ต่อ) 6. Personnel security - มีระบบรักษาความปลอดภัยของบุคลากร 7. Physical and environmental security – ความปลอดภัยของสภาพแวดล้อม 8. Communications and operation management การจัดการสื่อสารและดำเนินงาน 9. Access control – การควบคุมการเข้าถึงระบบ ทั้ง Hardware และ software
  59. ISO 27002 Content sections (ต่อ) 10. Systems development and maintenance การพัฒนาและปรับเปลี่ยนระบบ 11. Information Security Incident Management 12. Business continuity management –การ บริหารความต่อเนื่องของธุรกิจ เช่น ระบบสำรอง Compliance – การปฏิบัติตามกฎหมาย และ ระเบียบที่ เกี่ยวข้อง
  60. เว็บไซต์ที่เกี่ยวข้อง เว็บไซต์ที่เกี่ยวข้อง http://www.isaca.org http://www.isaca-bangkokchapter.org http://www.aicpa.org http://www.theiia.org http://www.ITaudit.org
  61. องค์กรที่เกี่ยวข้องกับ information security SANS (SysAdmin, Audit, Network, Security Institute) http://www.sans.org Computer Security Resource Center http://csrc.nist.gov/publications/nistpubs/index.html Center for Internet Security (CIS) http://www.cisecurity.org Microsoft Security Guidance Center http://www.microsoft.com/security.guidance/ default.mspx
  62. เอกสารอ้างอิง Hall, James. Information Technology Auditing, 3 ed., South-Western, 2011. Senft, Sandra and Frederick Gallegos. Information Technology Control and Audit, 3 ed., New York: CRC Press, 2009. Weber, Ron. Information Systems Control and Audit, New Jersey: Prentice Hall, 1999. www.iso27000.org/iso-27002.htm
More Related