1 / 74

การสอบบัญชีสหกรณ์ที่ใช้โปรแกรมระบบบัญชี

การสอบบัญชีสหกรณ์ที่ใช้โปรแกรมระบบบัญชี. จิรทรัพย์ ปลอดกระโทก ผู้เชี่ยวชาญด้านโปรแกรมระบบบัญชีสหกรณ์. ระบบเทคโนโลยีสารสนเทศ. สารสนเทศ หมายถึง ... ข้อมูลที่ผ่านการประมวลผล วิเคราะห์ และแปรผล เพื่อให้มีความหมาย มีรูปแบบที่เป็นประโยชน์และตรงต่อความต้องการของผู้ใช้งาน และผู้บริหาร

iden
Download Presentation

การสอบบัญชีสหกรณ์ที่ใช้โปรแกรมระบบบัญชี

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. การสอบบัญชีสหกรณ์ที่ใช้โปรแกรมระบบบัญชีการสอบบัญชีสหกรณ์ที่ใช้โปรแกรมระบบบัญชี จิรทรัพย์ ปลอดกระโทก ผู้เชี่ยวชาญด้านโปรแกรมระบบบัญชีสหกรณ์

  2. ระบบเทคโนโลยีสารสนเทศระบบเทคโนโลยีสารสนเทศ • สารสนเทศ • หมายถึง ... ข้อมูลที่ผ่านการประมวลผล วิเคราะห์ และแปรผล เพื่อให้มีความหมาย มีรูปแบบที่เป็นประโยชน์และตรงต่อความต้องการของผู้ใช้งาน และผู้บริหาร • ระบบสารสนเทศ • หมายถึง ... ระบบที่ประกอบขึ้นด้วย ฮาร์ดแวร์ ซอฟต์แวร์ บุคลากร ข้อมูลและนโยบายวิธีการปฏิบัติงาน เพื่อทำการจัดเก็บข้อมูลและประมวลผลข้อมูล เป็นสารสนเทศที่มีความถูกต้อง และตรงตามความต้องการใช้งาน

  3. Results of Financial Accounting Applications Infrastructure influences Data Business processes/ IT business processes PR PO Loan Inv. Deposit Business Processes influences Environment / Strategy / Organisation Functional/Module Oriented Application Deposit Member & Loan IT Organization G/L Applications/ IT applications Inventory FAS DBMS OS influences Hardware Equipment/ IT infrastructure Communication Network Element of IT Environment

  4. ความจำเป็นของการควบคุมและตรวจสอบระบบสารสนเทศความจำเป็นของการควบคุมและตรวจสอบระบบสารสนเทศ • ผลกระทบและความเสี่ยงที่เกิดขึ้นจากการใช้ระบบสารสนเทศ • ลักษณะการใช้งานในระบบงานที่มีความซับซ้อน • ความผิดพลาดที่มีค่าความเสียหายสูง • การรักษาความลับ • ทุจริตในระบบสารสนเทศ

  5. การควบคุมภายในระบบเทคโนโลยีสารสนเทศการควบคุมภายในระบบเทคโนโลยีสารสนเทศ - การควบคุมทั่วไปของเทคโนโลยีสารสนเทศ (IT General Control : ITGC)- การควบคุมเฉพาะระบบงาน (Application Control)

  6. การควบคุมทั่วไปของเทคโนโลยีสารสนเทศการควบคุมทั่วไปของเทคโนโลยีสารสนเทศ (IT General Control : ITGC) หมายถึง ... “ นโยบายและระเบียบปฏิบัติที่ใช้ในการบริหารจัดการกิจกรรมทางด้านเทคโนโลยีสารสนเทศ และ สภาพแวดล้อมของระบบคอมพิวเตอร์ รวมทั้งระบบงานสารสนเทศต่างๆ ที่ช่วยสนับสนุนความมีประสิทธิผลของการควบคุมภายในของระบบงาน ”

  7. การควบคุมทั่วไปของเทคโนโลยีสารสนเทศการควบคุมทั่วไปของเทคโนโลยีสารสนเทศ วัตถุประสงค์ ... • เป็นการควบคุมพื้นฐานของระบบสารสนเทศเพื่อให้มั่นใจว่าระบบสารสนเทศโดยรวมขององค์กรมีการจัดการที่ดี และเป็นส่วนหนึ่งที่จะก่อให้เกิดบูรณภาพของระบบ (IT Governance) • เป็นการควบคุมพื้นฐานที่ต้องมีเพื่อทำให้การควบคุมระบบงานมีประสิทธิภาพและประสิทธิผล ซึ่งมีผลต่อความถูกต้องของข้อมูลในทุกระบบงาน

  8. ความสำคัญของการควบคุมทั่วไปในระบบสารสนเทศความสำคัญของการควบคุมทั่วไปในระบบสารสนเทศ เปรียบเทียบผลกระทบของการควบคุมทั่วไปในระบบสารสนเทศ IT General Controls IT General Controls Strong IT General Controls Weak IT General Controls หากการควบคุมทั่วไปในระบบสารสนเทศไม่น่าเชื่อถือจะส่งผลให้การควบคุมเฉพาะระบบงานไม่น่าเชื่อถือไปด้วย

  9. การควบคุมทั่วไปของเทคโนโลยีสารสนเทศการควบคุมทั่วไปของเทคโนโลยีสารสนเทศ ประกอบด้วย ... การควบคุมทั่วไปของเทคโนโลยีสารสนเทศ การเปลี่ยนแปลงแก้ไขระบบสารสนเทศ (System changes) การเข้าถึงโปรแกรมและข้อมูล (ความปลอดภัยระบบสารสนเทศ)(Access to programs and data) การปฏิบัติการคอมพิวเตอร์ (Computer operations) การพัฒนาระบบสารสนเทศ (System development) การพัฒนาโปรแกรม/แก้ไขระบบ สำรองข้อมูลและบริหารจัดการสื่อ รวบรวมความต้องการ/ออกแบบระบบ ขอพัฒนา/ศึกษาความเป็นไปได้ ขอเปลี่ยนแปลงแก้ไขระบบ ประมวลผลข้อมูล การบริหารจัดการความปลอดภัย บริหารจัดการบัญชีผู้ใช้งาน การพัฒนาโปรแกรม/พัฒนาระบบ ตรวจสอบประสิทธิภาพของระบบ ติดตั้งโปรแกรมเพื่อใช้งาน สภาพแวดล้อมในศูนย์คอมฯ บริหารบัญชีผู้ใช้งานที่มีสิทธิ์สูงสุด ความปลอดภัยทางตรรกะ ทดสอบและแปลงข้อมูล การทดสอบ ติดตั้งโปรแกรมเพื่อใช้งาน ฝึกอบรมผู้ใช้งานและจัดทำคู่มือ ฝึกอบรมผู้ใช้งานและปรับปรุงคู่มือ แผนการกู้คืนระบบสารสนเทศ ความปลอดภัยทางกายภาพ

  10. การพัฒนาระบบสารสนเทศ (System Development) วัตถุประสงค์ ... เพื่อให้มั่นใจว่า • มีการสรรหาและพัฒนาระบบงานที่ตรงกับความต้องการทางธุรกิจ • มีการบริหารจัดการโครงการพัฒนาระบบอย่างมีประสิทธิผล • มีการกำหนดกระบวนการหรือระเบียบปฏิบัติในการพัฒนาระบบสารสนเทศเพื่อเป็นแนวทางปฏิบัติที่เหมาะสมและเป็นมาตรฐานเดียวกัน

  11. การพัฒนาระบบสารสนเทศ ทดสอบระบบ แปลงข้อมูล พัฒนาโปรแกรม/พัฒนาระบบ ติดตั้งโปรแกรม เพื่อใช้งาน เก็บความต้องการ/ออกแบบระบบ ขอพัฒนาระบบ การแบ่งแยกหน้าที่ การบริหารจัดการโครงการ

  12. บทบาทและหน้าที่ของบุคคลที่เกี่ยวข้องกับการพัฒนาระบบบทบาทและหน้าที่ของบุคคลที่เกี่ยวข้องกับการพัฒนาระบบ

  13. การเปลี่ยนแปลงแก้ไขระบบสารสนเทศ (System Change) วัตถุประสงค์ ... เพื่อให้มั่นใจว่า • การเปลี่ยนแปลงแก้ไขระบบงานถูกต้องตรงกับความต้องการทางธุรกิจ • มีกระบวนการหรือมาตรการในการเปลี่ยนแปลงแก้ไขระบบงานเพื่อเป็นแนวทางในการปฏิบัติที่ถูกต้องตรงกัน • มีกระบวนการควบคุมเพื่อลดผลกระทบอันเกิดจากความผิดพลาดของการแก้ไข และการเปลี่ยนแปลงโปรแกรมโดยมิได้รับอนุญาต

  14. การเปลี่ยนแปลงแก้ไขระบบสารสนเทศ ทดสอบระบบ แก้ไขโปรแกรม/แก้ไขระบบ ติดตั้งโปรแกรม เพื่อใช้งาน ขอเปลี่ยนแปลงแก้ไขโปรแกรม การแบ่งแยกหน้าที่ การติดตามภาพรวมการแก้ไขโปรแกรม

  15. ความแตกต่างระหว่างการพัฒนาระบบสารสนเทศและการเปลี่ยนแปลงแก้ไขระบบสารสนเทศความแตกต่างระหว่างการพัฒนาระบบสารสนเทศและการเปลี่ยนแปลงแก้ไขระบบสารสนเทศ • การตกแต่งห้องรับแขกเพิ่มเติม • การซ่อมแซมหลังคา • การเดินสายไฟภายในบ้านใหม่ • การซ่อมแซมท่อประปา • การเปลี่ยนพื้นบ้านใหม่ ถ้าสมมติว่าการสร้างบ้านขึ้นมาหนึ่งหลังคือการพัฒนาระบบสารสนเทศหนึ่งระบบ ให้ลองคิดว่าการเปลี่ยนแปลงแก้ไขระบบสามารถเป็นอะไรได้บ้าง

  16. ทดสอบระบบ แก้ไขโปรแกรม/แก้ไขระบบ ติดตั้งโปรแกรม เพื่อใช้งาน ขอเปลี่ยนแปลงแก้ไขโปรแกรม การแบ่งแยกหน้าที่ การติดตามภาพรวมการแก้ไขโปรแกรม ความแตกต่างระหว่างการพัฒนาระบบสารสนเทศและการเปลี่ยนแปลงแก้ไขระบบสารสนเทศ ทดสอบระบบ แปลงข้อมูล พัฒนาโปรแกรม/พัฒนาระบบ ติดตั้งโปรแกรม เพื่อใช้งาน เก็บความต้องการ/ออกแบบระบบ ขอพัฒนาระบบ การแบ่งแยกหน้าที่ การบริหารจัดการโครงการ

  17. การปฏิบัติการคอมพิวเตอร์ (Computer Operations) วัตถุประสงค์ ... เพื่อให้มั่นใจว่า • มีการควบคุมการปฏิบัติงานของฝ่ายปฏิบัติการเพื่อสนับสนุนการทำงานของระบบประจำวันอย่างเพียงพอ • การประมวลผลมีความครบถ้วนถูกต้อง • การประมวลผลที่ผิดพลาดสามารถถูกค้นพบ และแก้ไขได้ทันการณ์ • ข้อมูลและระบบสารสนเทศมีความพร้อมใช้งานอยู่เสมอ • มีมาตรการในการกู้ระบบสารสนเทศให้กลับมาใช้งานได้อย่างทันการณ์ และเพียงพอกับความต้องการทางธุรกิจภายหลังจากที่ประสบกับสถานการณ์ฉุกเฉิน

  18. ประมวลผลข้อมูล เชื่อมโยงข้อมูล (Data Interface) สำรองข้อมูลและบริหารจัดการสื่อ แผนการกู้คืนระบบสารสนเทศ สภาพแวดล้อมในศูนย์คอมพิวเตอร์ องค์ประกอบของการปฏิบัติการคอมพิวเตอร์ ตรวจสอบประสิทธิภาพของระบบ การบริหารจัดการการปฏิบัติงานในภาพรวม

  19. ประเภทของการประมวลผลของระบบคอมพิวเตอร์มีดังต่อไปนี้ประเภทของการประมวลผลของระบบคอมพิวเตอร์มีดังต่อไปนี้ • การประมวลผลแบบ Batch • การประมวลผลแบบ Real-time processing

  20. การเชื่อมโยงข้อมูล (Data Interface) • เป็นการส่งผ่านข้อมูลจากระบบสู่ระบบ • การเชื่อมโยงข้อมูลอาจทำพร้อมกับการประมวลผลแบบ Batch • จะต้องมีกระบวนการในการควบคุมความครบถ้วนถูกต้องของการเชื่อมโยงข้อมูล • จะต้องมีการควบคุมเพื่อป้องกันการเข้าเปลี่ยนแปลงแก้ไขค่าคงที่ของการเชื่อมโยงข้อมูลในระบบ Application A Application B Data file

  21. สำรองข้อมูลและบริหารจัดการสื่อสำรองข้อมูลและบริหารจัดการสื่อ • รายละเอียดของการสำรองข้อมูล (Full backup/ Incremental backup) และความถี่ในการสำรองข้อมูลต้องสอดคล้องกับความต้องการทางธุรกิจ • สื่อสำรองข้อมูลต้องมีความพร้อมใช้ในกรณีที่เกิดเหตุการณ์ฉุกเฉิน • มีการจัดเก็บสื่อสำรองข้อมูลไว้ในสถานที่ปลอดภัย และอยู่ในสภาพแวดล้อมที่ไม่ได้มีความเสี่ยงเดียวกันกับศูนย์คอมพิวเตอร์ เช่น จัดเก็บไว้นอกสถานที่ เป็นต้น • การสำรองข้อมูลที่ผิดพลาดต้องได้รับการแก้ไขอย่างทันเวลา

  22. แผนการกู้คืนระบบสารสนเทศแผนการกู้คืนระบบสารสนเทศ • เป็นแผนที่ช่วยกู้คืนระบบสารสนเทศให้สามารถกลับมาใช้งานได้ • บางองค์กรแผนการกู้คืนระบบสารสนเทศ (IT Disaster Recovery plan) เป็นส่วนหนึ่งของแผนการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan) • มีการกำหนดแผนการกู้คืนระบบสารสนเทศที่ครอบคลุมระบบที่สำคัญ • มีการกำหนดลำดับของการกู้คืนระบบตามความสำคัญของระบบ • มีการพิจารณาปรับปรุงแผนตามความเสี่ยงที่เปลี่ยนไปอย่างน้อยปีละหนึ่งครั้ง • มีการทดสอบการกู้คืนระบบตามแผนเพื่อให้มั่นใจว่าสามารถใช้แผนเพื่อช่วยกู้คืนระบบได้ภายในเวลาที่กำหนด

  23. สภาพแวดล้อมในศูนย์คอมพิวเตอร์สภาพแวดล้อมในศูนย์คอมพิวเตอร์ • การติดตั้งอุปกรณ์เพื่อช่วยให้ระบบสารสนเทศสามารถทำงานได้อย่างต่อเนื่อง ยกตัวอย่างเช่น- ระบบปรับอากาศ- ระบบสำรองไฟฟ้า- ระบบดับเพลิง • การจัดทำสัญญาเพื่อบำรุงรักษาอุปกรณ์คอมพิวเตอร์เพื่อให้มั่นใจว่าอุปกรณ์ดังกล่าวมีความพร้อมใช้อยู่เสมอ

  24. ตรวจสอบประสิทธิภาพของระบบตรวจสอบประสิทธิภาพของระบบ ประสิทธิภาพ และ ความสามารถในการรองรับการปฏิบัติการ ประสิทธิภาพ และ ความสามารถในการรองรับการปฏิบัติการ (Performance and Capacity) เป็นส่วนประกอบของการตรวจสอบระบบโดยเน้นไปที่ความสามารถการใช้งานและการใช้ทรัพยากรของเทคโนโลยีสารสนเทศ การติดตามและการตรวจสอบประสิทธิภาพ และ ความสามารถในการปฏิบัติการช่วยฝ่ายบริหารในการ • ให้ความมั่นใจว่าทรัพยากรในปัจจุบันสามารถใช้งานได้ • การวางแผนปรับเปลี่ยนแก้ไขเพื่อความเหมาะสมสำหรับธุรกิจในอนาคต ข้อมูลที่ได้มาตรฐานจะช่วยฝ่ายสารสนเทศในการวางแผนสำหรับการปรับปรุงระบบและวางแผนสำหรับรายจ่ายในอนาคต

  25. การรักษาความปลอดภัยระบบสารสนเทศ วัตถุประสงค์ ... เพื่อให้มั่นใจว่า • มีการกำหนดนโยบายหรือกระบวนการรักษาความปลอดภัยระบบสารสนเทศ • มีการกำหนดการควบคุมในการเข้าถึงโปรแกรมและข้อมูล รวมทั้งมีการพิสูจน์ตัวตนของผู้ใช้ระบบอย่างเหมาะสม • มีการกำหนดเจ้าของระบบสารสนเทศ และบทบาทหน้าที่อย่างชัดเจน • มีการกำหนดผู้ดูแลความปลอดภัยระบบสารสนเทศ และบทบาทหน้าที่อย่างชัดเจน • มีมาตรการทีดีเพียงพอในการรักษาความปลอดภัยระบบสารสนเทศทั้งการควบคุมในระดับตรรกะ (Logical Security) และการควบคุมทางกายภาพ (Physical Security)

  26. Crust Upper Mantle Lower Mantle Outer Core Inner Core การรักษาความปลอดภัยระบบสารสนเทศ ระดับชั้นเปลือกโลกกับระดับชั้นของการรักษาความปลอดภัย The layers of the Earth are similar to the layers of system security.

  27. องค์ประกอบของการรักษาความปลอดภัยองค์ประกอบของการรักษาความปลอดภัย การบริหารจัดการด้านการรักษาความปลอดภัย ข้อมูล ระบบงาน ระบบปฏิบัติการ ระบบเครือข่ายภายใน ระบบเครือข่ายภายนอก การบริหารจัดการบัญชีผู้ใช้งาน การบริหารจัดการบัญชีผู้ใช้งานที่มีสิทธิ์สูงสุด การรักษาความปลอดภัยทางตรรกะ การรักษาความปลอดภัยทางกายภาพ

  28. การบริหารจัดการด้านการรักษาความปลอดภัยการบริหารจัดการด้านการรักษาความปลอดภัย • การกำหนดเจ้าของระบบงานและหน้าที่ความรับผิดชอบ • การจัดชั้นความสำคัญของข้อมูลหรือสารสนเทศ • การกำหนดผู้ดูแลความปลอดภัยระบบสารสนเทศและความรับผิดชอบ • การสื่อสารถึงความสำคัญของนโยบายรักษาความปลอดภัยสารสนเทศให้พนักงานรับทราบและปฏิบัติตาม • การควบคุมการละเมิดลิขสิทธิ์ซอฟท์แวร์ • การควบคุมการใช้ระบบสารสนเทศผ่านระบบเครือข่าย

  29. การรักษาความปลอดภัยของเครือข่ายภายนอกการรักษาความปลอดภัยของเครือข่ายภายนอก • ติดตั้งการควบคุมภายนอกเพื่อลดความเสี่ยงเกี่ยวกับการเชื่อมต่อระหว่างเครือข่ายกับเครือข่ายภายนอกเช่น Wireless, Internet หรือ E-mail เป็นต้น • การจัดการการติดตั้งและการตั้งค่าอุปกรณ์ดังกล่าวเพื่อความปลอดภัยของระบบเครือข่ายภายนอก เช่น Firewallsเป็นต้น

  30. การรักษาความปลอดภัยของเครือข่ายภายในการรักษาความปลอดภัยของเครือข่ายภายใน • การออกแบบระบบเครือข่ายภายในควรเป็นไปตามการประเมินการเชื่อมต่อสื่อสารที่ต้องการใช้ และ ความเสี่ยงในสภาพแวดล้อมที่ใช้งาน • การจัดการการติดตั้งและการตั้งค่า Policy อุปกรณ์ดังกล่าวเพื่อความปลอดภัยของระบบเครือข่ายภายใน

  31. การรักษาความปลอดภัยของระบบปฏิบัติการการรักษาความปลอดภัยของระบบปฏิบัติการ • ระบุถึงความเสี่ยงในสภาพแวดล้อมที่ใช้งาน • ระบุถึงมาตรฐานความปลอดภัยของระบบปฏิบัติการตามความเสี่ยงที่กำหนด • การตั้งค่าทางด้านความปลอดภัย (Security ConfigurationsBaseline)การกำหนดค่าความปลอดภัย และการสอบทานค่าความปลอดภัย • สอดส่องดูแลการปฏิบัติให้เป็นไปตามมาตรฐานที่กำหนดไว้ • สอดส่องดูแลเพื่อระบุกิจกรรมไม่ได้รับอนุญาตที่อาจเกิดขึ้น • Password Controls : - Length 6-8 Characters - Expired Interval 30-90 Days - Invalid Sign-on 3-5 Times- Password history 5 Passwords

  32. การรักษาความปลอดภัยในระบบงาน (Application) Data • กระบวนการจัดการเกี่ยวกับบัญชีผู้ใช้ (User Administration) • การสอบทานบัญชีผู้ใช้ระบบและสิทธิในการใช้ระบบ (Regular Review) • การกำหนดตำแหน่งงานด้านสารสนเทศให้เหมาะสม และมีความสอดคล้องกับลักษณะการใช้สารสนเทศขององค์กร • ในกรณีที่มี Conflict ในหน้าที่งานบางงาน ควรจัดให้มีการควบคุมทดแทน เช่น การแยกบัญชีผู้ใช้งาน และการตรวจทานร่องรอยการตรวจสอบ หรือใช้การควบคุมโดยบุคคล (Manual control) แทน Application Business Users

  33. การรักษาความปลอดภัยของข้อมูล (Data) Data Application Business Users IT Staff • การรักษาความปลอดภัยของข้อมูลเกี่ยวข้องกับ: • การควบคุมการเข้าถึงระบบฐานข้อมูล และข้อมูลโดยตรง โดยไม่ได้เข้าผ่านระบบงาน • การควบคุมการเข้าถึงข้อมูลโดยใช้ special system utilities • หมายเหตุ: การเข้าถึงข้อมูลใน ITGC ไม่ได้ครอบคลุมถึงการเข้าถึงข้อมูลผ่านระบบงาน

  34. การบริหารจัดการบัญชีผู้ใช้งานการบริหารจัดการบัญชีผู้ใช้งาน • การจัดการเกี่ยวกับสิทธิในการเข้าถึงข้อมูลและระบบงาน • มาตรการควบคุมการเข้าถึงระบบสารสนเทศ- การแสดงตน เช่นรหัสผู้ใช้งาน (User ID) 1 user : 1 ID- การพิสูจน์ตน (Authentication) o การพิสูจน์ค่ารหัสผ่าน (Password) o การพิสูจน์ค่าทางชีวภาพ เช่น ลายนิ้วมือ เสียง เนื้อเยื้อลูกตา เป็นต้น • จัดทำตารางกำหนดสิทธิ์การใช้งานบนระบบสารสนเทศ (User Access Matrix) • การเฝ้าติดตาม

  35. การบริหารจัดการบัญชีผู้ใช้งานที่มีสิทธิ์สูงสุดการบริหารจัดการบัญชีผู้ใช้งานที่มีสิทธิ์สูงสุด • ทุกระบบสารสนเทศทั้งระบบงาน ระบบปฏิบัติการ ระบบฐานข้อมูลและอุปกรณ์เครือข่ายจะต้องมีบัญชีผู้ใช้งานที่มีสิทธิ์สูงสุดในระบบเช่น • Windows = Administrator • UNIX = Root • SQL Server database = DBA • บัญชีผู้ใช้งานเหล่านี้จะต้องมีการควบคุมทั้งในเรื่อง- การเก็บรักษารหัสผ่าน และ- การขอเข้าใช้งาน- การเปลี่ยนรหัสผ่านทุกครั้งหลังใช้งาน - การจัดเก็บบันทึกการเข้าใช้งาน หน้า35

  36. การรักษาความปลอดภัยระบบสารสนเทศการรักษาความปลอดภัยระบบสารสนเทศ • ความเสี่ยง • ข้อมูลสำคัญทางธุรกิจถูกเปิดเผย การนำข้อมูลไปใช้ในทางที่ผิด การทำลายข้อมูล • เกิดช่องทางในการทุจริต การขโมยข้อมูล • ข้อมูลถูกแก้ไขโดยไม่ได้รับอนุญาต 33 หน้า36

  37. การรักษาความปลอดภัยทางกายภาพการรักษาความปลอดภัยทางกายภาพ • การกำหนดมาตรการในการรักษาความปลอดภัยในการเข้าถึงอาคาร ศูนย์คอมพิวเตอร์และสถานที่จัดเก็บสื่อสำรองข้อมูลโดยอาจใช้- บัตรผ่าน- รหัสผ่าน- Biometric control system • การป้องกันการเข้าเอกสารสำคัญของระบบ หน้า37

  38. การรักษาความปลอดภัยทางกายภาพการรักษาความปลอดภัยทางกายภาพ • ความเสี่ยง • อุปกรณ์คอมพิวเตอร์อาจได้รับความเสียหาย ถูกขโมย • เกิดความขัดข้องในการประมวลผล เนื่องจากสภาพแวดล้อมไม่เหมาะสม 30 หน้า38

  39. การควบคุมเฉพาะระบบงาน(Application Control)

  40. การควบคุมเฉพาะระบบงานการควบคุมเฉพาะระบบงาน • หมายถึง การควบคุมแบบ Manual หรือการควบคุมแบบ Automatic โดยโปรแกรม ซึ่งเป็นการควบคุมในระดับกระบวนการหรือรายการทางธุรกิจ • มีวัตถุประสงค์เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่ารายการทางธุรกิจทุกรายการ ได้รับการอนุมัติ บันทึกเข้า และประมวลผลอย่างสมบูรณ์เพียงครั้งเดียวอย่างถูกต้อง ภายในระยะเวลาที่เหมาะสม

  41. การควบคุมเชิงป้องกัน (Preventive Control) การควบคุมเชิงตรวจสอบ (Detective Control) การควบคุมเชิงแก้ไข (Corrective Control) ประเภทของการควบคุมภายในด้านคอมพิวเตอร์

  42. ความครบถ้วน (Completeness) ความถูกต้อง (Accuracy) การอนุมัติ (Validity) การจำกัดการเข้าถึงข้อมูล (Restricted Access) วัตถุประสงค์ของการควบคุมเฉพาะระบบงาน

  43. รายการทุกรายการได้รับการบันทึกเข้าระบบ และประมวลผลอย่างสมบูรณ์เพียงครั้งเดียว ระบบปฏิเสธการบันทึกและการประมวลผลรายการซ้ำ รายการทุกรายการที่ระบบปฏิเสธการบันทึกและการประมวลผลได้รับการตรวจสอบและแก้ไขทันเวลา ความครบถ้วน (Completeness)

  44. Batch Totals Sequence Checking Matching One-for-One Checking เทคนิคการควบคุมความครบถ้วน

  45. เทคนิคการควบคุมความครบถ้วน - Batch Totals ควบคุมความครบถ้วนของรายการโดยเปรียบเทียบยอดรวมระหว่างต้นทางและปลายทาง เช่น • การเปรียบเทียบจำนวนรายการกับเอกสารต้นฉบับ • การเปรียบเทียบยอดรวมจำนวนเงิน • การเปรียบเทียบยอดรวมจำนวนของฟิลด์พิเศษหรือแฮช (hash total) • การเปรียบเทียบยอดรวมในแต่ละ batch กับยอดรวมรายการทั้งหมด

  46. เทคนิคการควบคุมความครบถ้วน - Sequence Checking • การกำหนดหมายเลขของเอกสาร • ระบบปฏิเสธการประมวลผลรายการที่มีหมายเลขซ้ำ • การจัดทำรายงานหมายเลขที่หายไปเพื่อใช้สำหรับตรวจสอบและติดตาม ควบคุมความครบถ้วนของรายการโดยการตรวจสอบการเรียงลำดับตามหมายเลข ตามตัวอักษร หรือตามวันที่ เช่น

  47. เทคนิคการควบคุมความครบถ้วน - Matching ควบคุมความครบถ้วนของรายการโดยการจับคู่รายการก่อนประมวลผล ควบคุมการใส่ข้อมูลที่ไม่ครบถ้วนหรือไม่สามารถพบข้อมูลอ้างอิงในระบบได้ เช่น • บันทึกบัญชีทั้งสองด้าน (DR/CR) • การรับของต้องมีเลขที่ใบสั่งซื้ออ้างอิง

  48. เทคนิคการควบคุมความครบถ้วน - One-for-One Checking ตรวจสอบรายการที่ประมวลผลกับเอกสารต้นฉบับ ซึ่งอาจจะเป็นการตรวจสอบเอกสารกับรายงานจากระบบ หรือการตรวจสอบเอกสารกับรายการที่ปรากฏบนหน้าจอคอมพิวเตอร์

  49. ความถูกต้อง (Accuracy) • การควบคุมให้มีการบันทึกข้อมูลให้ครบทุกฟิลด์ และถูกต้องระบบงานจึงจะรับรายการเข้าไปประมวลผล

  50. Batch Totals Matching One-for-One Checking Programmed Check เทคนิคการควบคุมความถูกต้อง

More Related