Developing the IT Audit Plan คลนค ไอเอ ครงท 4 / 2556 วนเสารท 18 พฤษภาคม 2556 เวลา 9: 00 - 12: 00 สถานท หองสมมนา 1104 ชน 11 ตลาดหลกทรพยแหงประเทศไทย ถ. รชดาภเษก กทม. “บทบาททแตกตางของผตรวจส อบ” โดย อ. เมธา สวรรณสาร CGEIT; CRMA; CRISC; CIA ; CPA www. itgthailan Email :
Metha Suvanasarn Profile Mr. Metha Suvanasarn is a specialist in IT Governance, IT Audit and Enterprise Risk Management areas. Currently, he is a freelance consultant as well as a committee member, for example, Audit Committee, Risk Management Committee etc. in leading organizations. Usually, he has been invited to conduct seminars and symposium both for public and in-house events, especially on the topic of IT Governance and Enterprise Risk Management and very active for Integrated GRC. Moreover, he is an invited lecturer for doctoral degree in the subject of Enterprise Risk Management at Khonkaen University and GRC Thesis for doctoral degree at Chiengmai University-CMU. He always publicizes several knowledgeable articles on the above areas. He was a senior CIO, and also a core founder of EDP/IS Examination in 1984, at the BOT and announced essential rules and regulations which most of them are currently in use. He was a former Vice Chairman of The Institute of Internal Auditors, Thailand. He is currently Audit Chair at ISACA Bangkok Chapter, Thailand. And also currently, Vice Chairman at TISA-Thailand Information Security Association. Since the year 2007, he has been invited by Bank of Thailand (BOT) as an expert in IT Examination area. He has to share his idea and give recommendation during IT Examination Manual Draft before making formally public in website. He is the owner of www. itgthailand. com and www. itgthailand. wordpress. com 2 Metha Suvanasarn CGEIT; CRISC; CRMA; CIA; CPA 2
การวางแผนการตรวจสอบองคกร IT / Non-IT and Integrated Audit เพอกาวสการปฏบตจรง ในการสรางคณคาเพมใหองคกร มาคยกนตามแนวทางของ IA Clinic ในเวลาทจำกด ภายใตหวขอตอไปน : 1. GTAG and COBIT 5 กบ การวางแผนการตรวจสอบทแตกตางกนบางมมมอง 2. ความตองการของผมผลประโยชนรวมทไดดลยภา พ กบ การบรรลวตถประสงคขององคกร 3. การพจารณา การสรางคณคาเพมกบความสมพนธของกระบวนการจ ดการทดและการบรหาร กบการวางแผนการตรวจสอบในเชงรก เพอกาวส Assured Organization 3
Developing the IT Audit Plan นายเมธา สวรรณสาร 4
IT Audit Plan-COBIT 5 - Process -> Performing and Risk Assessment CSA Source : GTAG 5
Integrated GRC and Governance of Enterprise IT จะใช Integrated – Single Framework ของ COBIT 5 เปนแนวการบ รรยายเสรม Developing IT Audit Plan (GTAG) 6 Source : ISACA
7 www. itgthailand. com
Change Change Source: www. itgthailand. com กอน ทคดจะ เปลยน อยางอน ควรเปลยน ทศนค ต 8
Attitude & Key Success Factors กรอบความคด ความเขาใจ เปนกระดมเมดแรก ของการกาวไปสทศนคตทด -> กบการตรวจสอบ Source : www. itgthailand. com 9
IT Audit and Non – IT Auditor Integrity / Mismanagement/Fraud / Value Creation? Transparency & Controls ตรวจแบบสร างสรรค ไมจบผด !เปาประสงค หลกเพ อสรางคณ คาเพม 10 www. itgthailand. com; www. itgthailandwordpress. com
Trends for Management- GRC & Auditing Integrated Management - Audit GRC Mgmt. ERM: Enterprise Risk Management +Controls +Audit CSA: Control Self Assessment Risk- Based Auditing IT Non-IT Traditional Auditing 11
Auditors and Audit Approach Tradition Approach New Approach LDetection LPolicemen LAudit Focus LCost Focus LFunctional Focus LCareer Auditors LHierarchical LQuill pen JPrevention JBusiness Partners JBusiness Focus JCustomer Focus JProcess Focus JCareer Development JTeam JUses Technology 12
Changing the Internal Auditor’s Para Characteristic Old Paradigm New Paradigm Internal Control Business Risk Internal Audit Focus Reactive, after-the-fact, Proactive real-time, Internal Audit Response discontinuous, observers continuous monitoring, of strategic planning participants in strategic pla initiatives Scenario Planning Risk Assessment Risk Factors Internal Audit Tests Important Controls Important Risks Emphasis on the Internal Audit Methods Completeness of Detail Significance of Broad Controls Testing Business Risk Covered Internal Control: Risk Management: * Strengthened * Avoid/Diversify Risk * Cost-Benefit * Share/Transfer Risk * Efficient/Effective * Control/Accept Risk Addressing the Process R Internal Audit Reports Functional Controls Independent Appraisal Integrated Risk Manageme Internal Audit Role in and corporate Governance the Organization Functional 13 ทมา : IIA Institute
Audit Management Process To Identify, Measure, Monitor, Control MGT (incl. Audits & MIS) (Security) Integrity Central IT Dept. EBanking FX Availability Loan ทมา : การตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการประเมนความเสยง (IT ประยกตใชไดกบทกอ -RBS) IT - RBS Deposit E-Banking FX Loan Deposit FFIEC 1996 Central IT Dept. Transactional Approach Operational Risk Management เปรยบเทยบการตรวจสอบแนวทางเด มกบแนวทางใหม FI Bus. Tech Platform 14
จดการองคกรแบบบรณาการกบการตรวจสอบ ตวอยางระบบงานเ บองตน ทมา WWW : . itgthailand ระบบงานแบบงายทสด เพอ IT Auditors 15 IT Audit for Non-
ntegrated GRC and Governance of Enterp Value Creation 16
COBIT 5 - Summary & Conclusions Governance and Management in COBIT 5 Key Roles, Activities and Relationships 17
ฐานความเสยงขององคกร. 1กลม Vision/ /ระดบชนความเสยง Mission ge/ plie Sup er/ tom Cus ation Oper Bra nd Objective/Goals HR Ima ความเสยงในเหตการณFinance ) Event Risk) r Finance BG 1 BG 3 BG 2 Planning &Acc. R&D HR ความเสยงระดบอง )Enterprise Risk ความเสยงระดบ )Business Risk ความเสยงในการปฏ B Strategic HR MKT OM ICT Dev. Acc. Finance +++ us. Planning Mgt. )Functional Ris 19 หนา 3 / 23
People How Does the business work? Things Enterprise Resour Supply AR/AP Sales Process Cost Information Security ce Architecture Market Work Transfo Invento Collect Shrinka Flow rm ry ge to Integrated Audit & Au Brand Results Value Transp Write Collaps ort Off e Executive Security Oversi Business Risk Management Brand, Technical / Human ght Management Organizatio Capabiliti es & Internet Laws Owne rs Board Audit ors CEO Value, Time, Costs Threats Vulnerabilities Consequences Accept / Transfer / Avoid / Mitigate Control Architecture Testi R & D ng Change Testi Producti ng Control on Functional Less units Out Inp ut put sure Sta Err te Cont rol Structural / Organizational or Aud it More Que Repl ry sure Access y Les Classificat s Control ion U U SCS e U Ce S C e C More Consequence Clearance s Life cycles Busin ess People Risk and Surety Level and Matching Technical Security Architecture Syste Protection Processes ms Process Deter Protective Mechanisms Preve Data Perception : - obscurity - Behavior : nt profile Detect - appearance - deception - change Context - time React Time Adapt Structure : - M/D-A/C - - tail-safe Locati POsets Data - FTC Purpo on - diodes - firewalls - Content : - transforms - - I/A-DRS Behav barriers State se At rest filters - human Identi ior In - markings - syntax - Content and its Business In Use Metho ty situation Motio Utility d n Source/Cha Identify nge Objectives. Intolerance Authenticat Access Reflects Attribution. Redundanc Utility y e Confidentia reality Situation Availability Integrity Activity Authorize lity Accountabi Use Control lity Source : IT Security Governance Guidebook / FRED COHEN nal Governance Architectur Organizatio e nal Perspective s & Business Actua Sense Processes te Manageme nt Policy Standards Procedures Documenta tion Auditing Testing Technology Personnel Incidents Legal Physical Knowledge Awareness Organizatio n 20
ICT Enable Governance ASEAN ICT Master Plan IT GOVERNANCE CORPORATE GOVERNANCE Traditionally includes: Duties of Directors Leaders Legislative/Fiduciary Compliance & Control Ethics & Integrity Business Operational Risks & Control Financial Accounting & Reporting Asset Management Risks & Their Management Enterprise Governance focuses on the enterprise’ s: - Future - Sustainability and potential - Health www. itgthailand. com Cover: ENTERPRISE GOVERNANCE CORPORATE GOVERNANCE IT GOVERNANCE Enterprise Goals Objectives Enterprise Activities & Process Innovations Research Capabilities Knowledge & Intellectual Capital Information & its Management Human Resource Management Customer Service & Relationships Enterprise Communication Internal/External Enterprise/IT Objective Legislative/Fiduciary Compliance&Control IT Resources Information Knowledge Management System Communications Net Centric Technology IT Operations, Risks & Control e-Commerce/EDI/EFT IT Asset Management Risks & Their Management IT Governance focuses on IT’ s: - Alignment with enterprise objectives - Use of IT Resources - Management of IT 21 related risks
Steps 1 2 3 4 Internal Auditing Standards and Practices VS CSA/QAR Step in the Internal Auditing Process Task Flow Selection of Auditee (Select riskiest area ) Audit Planning (Reassess risk) Steps Task Flow Preliminary Survey of 7 Operations Reporting 8 Follow-up 9 Audit Evaluation Internal Control Description & Analysis (Reassess risk) Expanded Tests of 5 Control System Develop Findings & 6 Recommendations (Recommendations based on risk) Source : The Institute of Internal Auditors 22
IT Audit Plan Development Process CAE & C-level 23 Source: GTAG
IA - IT and Business Understanding Business Processes HR purchase IT General Controls • Systems Development • Change Management • Logical Access • Physical controls • Service & Support Processes • Backup & Restore IT support Finance Production Operation Marketing …. Sales R&D …. Application Controls Application A Application B IT Infrastructure Database Services Application C • Authorization • Integrity • Availability • Confidentiality • Segregation of duties Operating System Network/Physical 24 Source: GTAG
surance of real depth and Unders IT General Controls Applicat Busines ion s Controls ผมผล ประโยชน รวมค ดอยางไร Business Processes ? ไดอะไรจาก audit approach ภาพน ? Financial Statements Impact Loan Origination Collateral Operation Settlement Loan Disbursement Payment Regulation Monitoring ATM Collateral Core Loan IT System Application Deposit System Core GL s Hardware Equipment s/ Data IT Base infrastruct ure Program Developm ent Impact Treasury System Impact Hardware Data Base Network IT organization/Processes Access to Program Change data and Computer 25 Operation
X-Ray ความรเทาทนในการบรหารความเสยงกบขอมลการ ปฎบตทไมเหมาะสม / การประพฤตมชอบ การทจรตตามระเบยบ ความเสยหาย กบ Whistleblowing จดออน ความเสยง ความเสยหาย และโอกาส สราง Value ++++++ จดแขง การ แกไข โอกาส ถก เปน ผด หรอ ผด เปนถก กทำได ++ กฎหมาย พรบพรกฯลฯ. . ผลประโยชน ผล กระท บ นโยบาย , ระเบยบ , คำสง ผล กตกา เงอนไข , อำนาจ ฯลฯ กระทบ , TOR , , ขนตอน , หนาทลฯ ฯ ++++ ความเขาใจ และการปฏบตจรง +++++++ กระบวนการบรหารเชงรก 26 www. itgthailand. com; www. itgthailandwordpress. com
อดความคดทเปนกระบวนการไปสการปฏบต ขององคกร /ประ สายงาน N สายงาน 4 สายงาน 3 Process 3 …. Process N สายงาน 2 Process 2 สายงาน 1 Process 1 (กำไร /สงคม +ประสทธผล Common Data Structure P-D-CCommon Technology Architecture A Common Risk & Control & Audit Processes 27
GRC : IT Controls & Understanding • IT control is a process that provide assurance for information and information services, and help to mitigate risks associated with use of technology. • Two components – Automation of business controls – Control of IT 28 Source : GTAG
A Consolidated-Integrated Single Framework on Business Model GRC กบความทาทาย ศกยภาพขององคกร IT Risk & GRC and tools Common Challenges & errors Tools & Implementation by vendors? & Criteria concerned GRC is IT -Based Source: KPMG IT Risk & its Impact to Business/Auditors 29
& Its impacts to controls / Audit 30 Source : IIA 30
GRC & Risk IT Practitioner Guide ING A RISK UNIVERSE AND SCOPING RISK MANAGE IT Risk in the Risk Hierarchy Where are we in practice? IT Risk and COSO-ERM Source : ISACA 31
GRC & Risk IT Practitioner Guide RISK SCENARIOS IT Risk Scenario Components 32 Source : ISACA
33 Source : www. itgthailand. com
Cobi. T 4. 1 องคกรขอ งเราไดด ำเนนกา รแลว ? 34
GRC and Insurance Business Architecture Approaching to GRC and SFI-FI Perspectives Supplier/ Alliance Mgt. Channel Agents/ Brokers Customers Third Party Customer Interaction Strategic Enterprise Management Business Processing (New & Renew) Data Warehouse Channel Mgmt. Underwriting/ Pricing Branch Walk-in Phone CRM Corporate Performance Mgmt. Knowledge Exchange Adjusters/ Surveyors Core Business Operations Product Development Claims Service Delivery Underwriting Call Center Services Reinsurance Claims Accounting Interface MIS Reports Outsource Billing & Collection & Disbursement Co-insurance Third Party Accounts Policy Services Marketing Supplier Garage/ Repair Shop Support Operations Internet/ E-mail Sales Support Mail & Fax Accounting Finance & Treasury Human Resource Research & Development Investors Infrastructure Corporate Database Batch Processing Intranet User Authentication Regulator Data Encryption Documents & Images จากภาพรวมของระบบงานประกนภยแลว ปรบเปลยนเปนสถาบนการเงน มสวนใดบางทเกยวของกบระบบงานสารสนเทศ เพอกาวส IT-GRC Re-assurance 35
ขนตอนการตรวจสอบงานในองคกรทใชคอมพวเตอร เรมตน การสอบทานในขนตน การประเมนคาการสอบทานขนตน เชอมน ไมใช การควบคมในสวนของการประมวลผล บางสวน การสอบทานขนสมบรณในดานการควบคมทวไป (1. . . . . (2. . . . . (3. . . . . การสอบทานขนสมบรณในดานการควบคมเฉพาะระบบงาน (4. . . . . การประเมนคาการสอบทานขนสมบรณ เชอมน ไมใช การควบคมในสวนของการประมวลผล บางสวน การทดสอบวามการปฏบตตามระบบการควบคม (5. . . . . (6. . . . . (7. . . . . ประเมนคาการควบคมทางบญช กำหนดขอบเขตของความนาเชอถอของ การควบคมดานบญชในสวนงานประมวลผล เชอมน ไมใช การควบคมในสวนของผใชงาน บางสวน สอบทาน ทดสอบ และประเมนผล การควบคมในสวนของผใชงาน กำหนดรปแบบการทดสอบยอดคงเหลอใหเสรจสน จบ 36
Impact of IT on cost and revenue drivers -> Enterprise Goals 37 Kaplan & Norton 2004
การวางแผนการตรวจสอบองคกรIT / Non-IT and Integrated Audit เพอกาวสการปฎบตจรง ในการสรางคณคาเพมใหองคกร 38 Source: www. itgthailand. com
Integrated Audit เพอกาวสการปฎบตจรง ในการสรางคณคาเพมใหองคกร )ตวอยาง -แนวคดเกยวกบการวางแผนการตรวจสอบ การกาวส Cloud บางประการ ) ทบทวนความเขาใจข อง IA บางมมมอง / รวมกรณกาวส C loud Source: www. itgthailand. com 39
Integrated Audit เพอกาวสการปฎบตจรง ในการสรางคณคาเพมใหองคกร )ตวอยาง -แนวคดเกยวกบการวางแผนการตรวจสอบ การกาวส Cloud บางประการ ) 40 Source: www. itgthailand. com
Impact of IT on cost and revenue drivers-> Risk Drivers->Value FB Regulators and Source: www. itgthailand. com and FB->Methasu su Auditors 41
5 ปรบเกณฑการวดแบบระดบ เปนการผสมผสาน IT Risk & วดแบบระดบกบการวดแบบเกณฑยอยของ Cobi. T / สคร ITG กาวส GRC- Integrated Driven Performance ระดบ 1 - 3 ระดบ 4 - 5 ผานการป ระเมน ระดบท 3 Linkage between risk and policy IT&ITG Culture Incentive Risk Result สวนท Value Enhancement Portfolio View of Risk Revise Value Creation GRC 1 : ระดบ การบรหารความเสยงทดตามอง คประกอบหลกของ COSO ERM และ เกณฑการพจารณาอน ทมความสำคญ สวนท 2 : คะแนนถวงนำหนก เกณฑเพมเตมเพอสนบสนนระบบการบรหารความเสยง ใหมประสทธภาพมากยงขน กบ การประเมนรฐวส าหกจ กบ GRC/Cobi. T 42 42
หลกเกณฑการประเมนการบรหารจดการองคกร ของรฐวสาหกจ และ การกาวส GRC-COBIT ในแงมมการกำกบ / การปฎบต 43 43
GRC: ICT Enabled Governance and The Role of ICT in ASEAN AEC 2015 As Is ASEAN ICT 2015 As Is Visio n, Strate AEC / gy Busine ss Vision ASEAN / BUSINE SS ICT Vision www. itgthailand. com AEC Objectives and Operatio Develop Architec common goals n, tural Design Integrate d Architect ure Framewo rk ment, Ch ange ASEAN / Business and ICT Transfor mation Mainten ASEAN ance ICT enable d Govern ance / Enterp rise ICT-AEC Objectives and common goals Your GRC Driver/ Country – Technology 44 Our ASEAN
The ICT enabled Enterprise Busines s System Business Processes Collaboration of Human Beings Information Provision Collaboration of Human Beings business products, services information services External Relations information services IS services Information Systems Co-operation of SW Components ICT System TI services Technology Infrastructure Co-operation of SW&HW Components External ICT Systems 45
. 2. 4. 11 การพจารณาผงทางเดนของกจกรรมและความสมพนธก ผลกระทบของคอมพวเตอรตอกระบวนการตรวจสอบ บขอผดพลาดหรอการควบคม (ตอ ) ทเกยวของกบการตรวจสอบ 46 ทมา : การดำเนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร เลมท 2 ภาคการตรวจสอบ / หนา 140
47
. 2. 4. 18การทดสอบขอมลสารสนเทศโดยวธ Test Data และตวอยางทเกยวของ )ตอ การนำ Test Data มาใชในการตรวจสอบ (. 1ขนตอนการตรวจสอบงานดานคอมพวเตอร ทมา : การดำเนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร ª การจดทำ Compliance Test และ Substantive Test สามารถเลอกใชวธการต รวจสอบทมอยอยางม ากมายไดตามความเหมาะสม ª “Test Data” เปนเทคนคอยางหนงท สามารถเลอกใชในการท ำ Compliance Test ภายหลงจากทำการศกษา และประเมนประสทธภาพ การควบคมภายในแลวมค วามเชอถอในระบบพอสม ควรกจะใช Test Data เพอทดสอบการปฏบต ตามระบบการควบคมภายใน 48 ทกำหนดไว / เมธา สวรรณสาร ª เทคนค Test Data น
. 2. 4. 20 การตรวจสอบการทจรตและจดออนของระบบงานใ การเขาใจประเดนคำถามทเกยวของกบองคประ นองคกรทใชคอมพวเตอร (ตอ ( กอบในการตรวจสอบ 49 ทมา : การดำเนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร / เมธา สวรรณสาร
131 ทบทวน การวางแผนกา รตรวจสอบ )หากเวลาอำน วย( 50
1 ยงไมเ ขาใจ ศกษาระบบง าน เขาใจระบบงาน หรอไม เขาใจด แลว สงเกตการปฏบต งานและสอบถาม ประเมนประสทธ ภาพของระบบการคว บคม และกระบวนการปฏ บตงาน กำหนดขอบเขตและ วางแผน การตรวจสอบ ผบรหาร และผตรว จสอบควรทรา บความหมาย Total System +++ Approaches สวนทใชคอ มพวเตอร สวนทไมใช คอมพวเตอร สวนทเปนแ บบผสม การประเมนผลการควบค มภายในศนยคอมพ วเตอร (DATA CENTER CONTROLS) การประเมนผลการควบค มเฉพาะงาน (APPLICATION CONTROLS) 4 ทมา : การดำเนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร 2 3 51 / เมธา สวรรณสาร
4 ไมใชคอมพวเตอรใ นการตรวจสอบ (AROUND THE COMPUTER) ใชคอมพวเตอรในกา รตรวจสอบ )THROUGH THE COMPUTER) คดเลอกเทคนคก ารตรวจสอบ ดำเนนการตรวจส อบ ตามเทคนคทค ดเลอกไว วเคราะหผลการตร วจสอบ ไมตงเปนขอส ผลการตรวจสอบ งเกต ไมเปนทน ไวในรายงานการตร เปนทนาพอใจหรอไม าพอใจ วจสอบ ตงเปนขอสงเ กต ไวในรายงานการตร วจสอบ 52 ทมา : การดำเนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร / เมธา สวรรณสาร
53 Audit and Control Functions in a Computerized Org. General Controls Work Programe )Data Center Operations( Application Controls Input Control Process Output Control 53 Source: www. itgthailand. com
ดเรอง Application Controls 3 การประเมนผลการ ควบคม เฉพาะงาน ระบบงาน ขอมลทปอน เขาสระบบ คอมพวเตอร เปนแผนภาพพนฐ านงายๆ เพอการศกษาและ ความเขาใจเบองต น โปรแกรม ขอมลทไดจาก โปรแกรมทใชใน การประมวลผล การควบคมขอมล การประมวลผล 54 ทมา : การดำเนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร / เมธา สว
ตรวจสอบแบบ AROUND/THROUGH THE COMPU ยอดคมขอมล นำเขา AUDITING AROUND THE COMPUTER ตรวจสอบ รายการขอมล นำเขา ประมวลผล ผลลพธ 55
การนำ Test Data มาใชในการตรวจสอบ -> ใชไดกบทกองคกร Test Data คอ อะไร? Test Data เปนขอมลทผตรวจสอบจดทำขน เพอใชตรวจสอบความถกตองของการทำงานและการควบคมของโปรแ กรมระบบงาน โดยนำขอมลทสมมตขนไปประมวลผลกบโปรแกรมทองคกรใ Test Data ชงานอยจรง แลวนำผลลพธทไดไปเปรยบเทยบกบผลลพธทผตรวจส ขอมลทดสอบ อบคำนวณหรอคาดไวลวงหนา ดวย Manual คำนวนดวยมอ แฟม ขอมลห ลก ผลลพธ ประมวลดวย คอมพวเตอร ผลลพธ เปรยบเทยบ ทมา : การดำเนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร 56 / เมธา สวรรณสาร
ผนภาพการตรวจสอบระบบงานทใชเทคโนโลยสารสนเทศ (1) ศกษางานกอนการตรวจสอบ วตถประสงค เพอทำความเขาใจระบบงานและระบบบญชทใชคอ มพวเตอร และสวนทไมใชคอมพวเตอรโดยศกษา - ทางเดนของรายการและรายงานทมความสำคญ - ขอบเขตการใชคอมพวเตอรของฝายบรหารและงานบญ ชทมความสำคญ - โครงสรางพนฐานของการควบคมทางการบญชการควบค มภายในดานคอมพวเตอร และการควบคมผใชขอมล วธการ โดยการสอบถาม สงเกตการณ ศกษาจากเอกสารทพอจะหาไดตดตามความเคลอนไหวขอ งรายการ เชน ใชแบบสอบถามการควบคมภายใน และ Check list (2)กำหนดขอบเขตการตรวจสอบ วตถประสงค เพอประเมนขอบเขตการควบคมภายในดานคอมพวเตอรแ ละดานอน ๆ เชน การทจรต - เพอกำหนดขอบเขตการตรวจสอบในสวนทเกยวของ วธการ - ขนอยกบการตดสนใจของผตรวจสอบ 57 (3)สอบทานการควบคมภายในทวไป (Review of general controls)
พการตรวจสอบระบบงานทใชสารสนเทศ /เทคโนโลยสาร (4) สอบทานการควบคมภายในเฉพาะงาน )Application Controls) วตถประสงค -เพอศกษาการควบคมภายในเฉพาะงาน และลกษณะการทำงานของการควบคม โดยเฉพาะจดทเปนเปาหมายหลก เชน จดทเปนจดออน /อาจกอใหเกดการทจรตได - พจารณาถงความจำเปนในการทดสอบการควบคมภา ยในเฉพาะงานบางประเภทโดยเพงเลงไปถงความผดพ ลาด ความเสยหายทเปนผลกระทบตอเปาหมายหรอต อฐานะทางการเงน และการดำเนนงานทเกยวของ ซงมผลกระทบตอ Stakeholders วธการ ศกษาเอกสารในรปแบบทเกยวของกบระบบงาน 58 และโปรแกรมระเบยบ ขอบงคบ หรอคมอปฏบตงานของหนวยงานผใชขอ ทมา : การดำเนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร / เมธา สว
พการตรวจสอบระบบงานทใชสารสนเทศ (6) ทมา /เทคโนโลยสาร ทดสอบการปฏบตงานตามระเบยบขอบงคบหรอ ขอกำหนดในการประมวลผลขอมล วตถประสงค -เพอพจารณาวามการปฏบตตามระเบยบ ขอบงคบ หรอขอกำหนดในการประมวลผลขอมลเพยงใด เพอหาเหตผลสนบสนนกอนทจะแนใจวาการคว บคมภายในทตองการทดสอบทำหนาทไดอยางเ หมาะสม เพอพจารณาความเหมาะสมของขอบเขตการควบคมภาย ในเอกสารหลกฐานผรบผดชอบกำหนดเวลา และวธการทใชเพอประโยชนในการควบคมภายใ น วธการ -ตรวจสอบบนทกการปฏบตงาน ทดสอบวธการควบคมดวยวธการทเหมาะสม สอบถามและสงเกตการณ (7)ประเมนสรปผลการควบคมภายใน 59 วตถประสงค : การดำเนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร / เมธา สว -
สรป ขนตอนท 1 และ 2 ของการวางแผนงานตรวจสอบ ขนท 1 ทำความเขาใจอำนาจหนาท การวางแผน )ขอบเขต )ในการตรวจสอบ ประเภทของการตรวจสอบ - ดานทางการเงนและ ระเบยบปฏบตงาน - การดำเนนงาน - โปรแกรม - การทจรต ความหมายของขอบเขต ในการตรวจสอบ - ผตรวจสอบ - องคการ - ขอสงสยความสามารถ ในการตรวจสอบ ขนท 2 ทำความเขาใจขนตนใน 3 -1 ลกษณะขององคการและ ขนท ประเมนความสามารถใน )โปรดดหนาตอไ การตรวจสอบ ปจจยทางสภาพแวดลอม ปจจยในระบบงาน ประเมนผลความสาม ทวไป - สวนประกอบทเกยวพน ในการตรวจสอบ - ประเภทธรกจ กนในแตละระบบงาน - สภาพแวดลอมทวไ - ตวเลขทสำคญและ ประเภทของรายการท และผลกระทบของส โอกาสทจะเกดขอ ประมวลผล และโอกาส แวดลอมตอระบบงา ผดพลาด ทจะเกดขอผดพลาด -Functional or Acro - ความสามารถของ- ระดบการควบคมภายใน functional พนกงาน ระบบงานทมอย -Alignment of IT au - ลกษณะและทศทางการ Manual ดำเนนงาน ดาน ICT -Paradigm of Audit - ระดบการควบคมสภาพ แวดลอมทวไป เนนงานและการตรวจสอบสถาบนการเงนดานคอมพวเตอร 60 เลมท 2 ภาคการตรวจสอบ / หนา 1
บทาน ประเมนผลการควบคมภายใน เพอใชพจารณากำหนดวธการตรวจสอบความถกตอ ขนตอนและรายละเอยดในแตละขนตอน ตอนท 1 ขนท 2 ขนท 3 ขนท 4 ขนท 5 ทำความเขาใจ กำหนดเปา -กำหนดสงท กำหนดวธการ อำนาจหนาท ขนตนใน หมายและ จำเปนตองใช ในการ )ขอบเขต )ใน ลกษณะของ วตถประสงค ในการตรวจ ประเมนและ รวางแผน การตรวจสอบองคการและ ในการตรวจ สอบ วเคราะห ประเมนความ สอบราย การควบคม สามารถใน ละเอยด การตรวจสอบ ำเนนงาน ขนท 6 ขนท 7 ขนท 8 หารายละเอยด สอบทานการ เกยวกบศนยฯควบคมตาง ๆ ควบคมใน และระบบงาน ของศนย ระบบงาน ตาง ๆ พรอม ทตรวจสอบ ทงระบแหลง ทมาของ เอกสาร ประเมนผล ะการตรวจสอบสถาบนการเงนดานคอมพวเตอร เลมท 11 ตอนท 2 และ 3 วางแผนวธการ ทดสอบการ ปฏบตในการ ควบคม ตรวจสอบความ ภายใน ถกตอง วเคราะห หรอความ การควบคม บนทกการตรวจ ถกตองของ สอบในกระดาษ ระบบงาน ทำการเตรยม ทำงาน ขนท 10 ออกแบบวธ การตรวจสอบ โดยคำนงถง ผลการ ประเมนการ ควบคม ภายใน ขนท 9 ประเมนความ เพยงพอใน การควบคม ความสามารถ ในการตรวจ สอบและ ความเสยง 61 2 ภาคการตรวจสอบ / หนา 109ของ น
แสดงขนตอนความเกยวพนในการวางแผนและการปฏบตงานตรวจสอบ ชนดของเอกสารท ขนตาง ๆ ทสำคญใน ขนตอนในการ สงทตองใชในการ ตองรวบรวมหรอ การตรวจสอบและ รวบรวมหรอจดทำ บรหารงานตรวจสอบ จดทำในการตรวจสอบ จดทจะตองตดสนใจ เอกสาร จดทำแผนงานวตถ รางแผนงาน ประสงคและแนว ตรวจสอบ ทางการตรวจสอบ วตถประสงค การตรวจสอบ จดทำเอกสารการ ตรวจสอบสวนท เกยวกบเรองทว ทบทวนแนวทาง การตรวจสอบ ทำความเขาใจกบวตถ ขอมลเบองตน ประสงคของกจการและ ๆ ไป ขอเสยหายทอาจมขน ไมม มเรองท ขนท 2 ทำความเขาใจ องคประกอบและการประเมน ความสามารถในการตรวจส สำคญหรอไม ม บนทกการประเมน เรองทสำคญของ ขอเสยหาย ประเมนผลและ หาวธอนในการ ตรวจสอบ จดลำดบความสำคญ ของระบบและรายการ ทอาจมขอเสยหายได ขนท 3 กำหนดเปาหมาย และวตถประสงคในการ ตรวจสอบอยางละเอยด บนทกเรองราวตาง ไมได ๆ สามารถ ตรวจสอบได ทสามารถทำการ หรอไม ตรวจสอบได ได บนทกเกยวกบ ระบบงานทสำคญ ทำความเขาใจระบบ งาน รายงานกจกรรมขอมลพนฐาน และกระบวนการ บนทกหรอทำกระดาษ การประเมนขนตน ทำการเกยวกบการ สวนทเกยวกบศนยฯ ประเมนศนยคอมฯ ะการตรวจสอบสถาบนการเงนดานคอมพวเตอร ขนตอนตาง ๆ ในการตรวจสอบ โดยยอ ตอนท 1 ขนท 1 ทำความเขาใจ ขอบเขตการตรวจสอบ A เลมท ขนท 4 กำหนดปจจย ขอมลเกยวกบศนยคอมฯ ตาง ๆ ทจำเปนตองใช ขอมลเกยวกบระบบ ในการตรวจสอบ งานตาง ๆ 62 2 ภาคการตรวจสอบ / หนา 110ของ น
แสดงขนตอนความเกยวพนในการวางแผนและการปฏบตงานตรวจสอบ (ตอ ( A ขนท 5 จดทำวธการ ประเมนผลการควบคมตาง ๆ ไมได ของศนยคอมฯ ใชไดหรอไมได ได ทบทวนความสามารถ ในการตรวจสอบ ตอนท 3 ประเมนผล แผนการตรวจสอบ บนทกเกยวกบ ไมม วธการ การประเมนเรองนตรวจสอบอยางอน ทใชไดหรอไม ระบบการควบคม ตาง ไมม ๆ เปนไปตาม หลกการและจดทำ เอกสารประกอบหรอไม แผนการตรวจสอบ ยตการสอบทางการ ควบคมภายในและ เตรยมแผนการตรวจ แบบอน สอบแบบอน ชขอผดพลาดทอาจจะ เกดขนได ซงจะเปนสา เหตใหเกดความเสยหาย รายละเอยดชนด ของขอผดพลาดท อาจจะเกดขน - ขอผดพลาดทอาจจะ ทบทวนแนวทาง การตรวจสอบ ะการตรวจสอบสถาบนการเงนดานคอมพวเตอร ม ไมม เกดขนนมสาระสำคญ หรอไม ม B เลมท 63 2 ภาคการตรวจสอบ / หนา 111ของ น
แสดงขนตอนความเกยวพนในการวางแผนและการปฏบตงานตรวจสอบ (ตอ ( B ขนท 6 หารายละเอยดเกย ศนยและระบบงานตาง ชใหเหนการควบคม รายละเอยดขอมล ตาง ๆ สามารถปองกนทว ๆ ไป พรอมทงระบแหลงทมาของ ขอผดพลาดทสำคญได หลกฐานไวดวย รายละเอยดรายการ ควบคมตาง ๆ ขอมลเกยวกบศนยคอมฯ ขอมลเกยวกบระบบ ประเมนความสามารถ งาน ในการปองกน ตรวจสอบ จบขอผดพลาดนน พจารณาความจำเปนทจะ รายงานใหผบรหารทราบ ประเมนจดออน มการควบคม ไมม อยางอนทจะนำมา )และทดสอบ ( แตละสวนไดผลดและ ทดแทนใหใหม มประสทธภาพหรอไม โครงสราง ไมม ทบทวนความสามารถ บนทกการประเมนผล มวธการตรวจสอบ ไมม การควบคมมเพยงพอ และเรองอน แบบอนทใชไดดกวา ๆ ในการตรวจสอบ หรอไม ม ประเมนแผนงาน การตรวจสอบ ขนท 7 สอบทาน การควบคมของศนยคอมฯ ไมมการควบคมใน ม ตอนท 3 และแกไข ๆ พอ จดทำแผนการตรวจสอบแบบอน ะการตรวจสอบสถาบนการเงนดานคอมพวเตอร ขนท 8 สอบทาน การควบคมในระบบงาน C เลมท 64 2 ภาคการตรวจสอบ / หนา 112ของ น
แสดงขนตอนความเกยวพนในการวางแผนและการปฏบตงานตรวจสอบ (ตอ ( C บนทกการวเคราะห การควบคม ชการควบคมหลก และการควบคมอน รวบรวมขอมล เพมเตม ขนท สอบทานประเมน ความเชอถอไดของ การควบคมภายใน ตอนท 3 ทดสอบวาการ บนทกการประเมนผล ไมพอ เมอรวมการควบคม ไมม ควบคมหลกม และเรองอน ๆ อยางอนทมอยจะ ประสทธภาพหรอไม เพยงพอหรอไม พอ 9 ประเมนความเพย ในการควบคมภายใน ความสามารถในการตรวจ และความเสยงทงหมด ม สอบทานการประเมนผล แผนการตรวจสอบ จดทำแผนการ และแผนการตรวจสอบแบบอน และการตรวจสอบสถาบนการเงนดานคอมพวเตอร D เลมท 65 2 ภาคการตรวจสอบ / หนา 113ของ
แสดงขนตอนความเกยวพนในการวางแผนและการปฏบตงานตรวจสอบ D สอบทานแผนและ ประเมนความสามารถ ขนตอน การตรวจสอบ ทจะไดเอกสารหลกฐาน อยางเพยงพอ บนทกผล การทดสอบ ตอนท 3 ขนท เตรยมแผนการ ทดสอบ ดำเนนการทดสอบ การควบคมตาง ๆ ประเมนแผนการตรวจสอบเตรยมแผนการไม การควบคมตาง ๆ ตรวจสอบรายงานตอ ตรวจสอบแบบอน เชอถอไดหรอไม ฝายบรหาร และรายงานจดออน ได สอบทานผลและ ประเมนขอบเขตของ แผนการตรวจสอบ ขนตอนการตรวจสอบ ดานความถกตอง 10 ออกแบบวธการตรว โดยคำนงถงผลการประเมน การควบคมภายใน เอกสารทางเทคนคท จำเปนตองใชในการ ออกแบบและดำเนน การทดสอบ ขนท 11 วางแผนวธการปฏบต ตรวจสอบความถกตองของระบ วเคราะหการควบคมภายใน บนทกกระดาษทำการและเตรยม รายงานการตรวจสอบ ตอนท 2 การทดสอบ การควบคมภายใน ทำการลดขอบเขต เอกสารอน ๆ ท แผนการทดสอบ จำเปน ดานความถกตอง ตอนท 3 การทดสอบ ความถกตอง จดทำแผนการตรวจสอบ แบบอนในกรณทการ ขนตอน ควบคมภายในไมนา การตรวจสอบ เชอถอ และการตรวจสอบสถาบนการเงนดานคอมพวเตอร (ตอ ( E เลมท 66 2 ภาคการตรวจสอบ / หนา 114ของ
แสดงขนตอนความเกยวพนในการวางแผนและการปฏบตงานตรวจสอบ (ตอ ( E กระดาษทำงานในการ ตรวจสอบความถกตอง ดำเนนการตรวจสอบ ความถกตอง ผลลพธถกตอง หรอไม การตรวจสอบความถกตอง ของรายงานในงบการเงน ใช สอบทานและ ประเมนผลลพธ พจารณาความเหน บนทกสรปผลตรวจสอบ และกระดาษทำการเพอ สนบสนนความเหน และการตรวจสอบสถาบนการเงนดานคอมพวเตอร แสดงความเหน ในการตรวจสอบ เลมท 67 2 ภาคการตรวจสอบ / หนา 115ของ
131 ทบทวน การวางแผนกา รตรวจสอบ )หากเวลาอำน วย( 68
การบรหารความเสยงและการควบคม /ตรวจสอบการทจรตโด ดความเสยง ซงจะนำไปสความเสยหาย จากแนว ขอบเขตของระบบ งานตาง ๆ ทเกยวของ กบการทจรต ปจจยอะไรบาง ทอาจกอใหเกด การทจรตได การกำกบดแลกจการทด องครวมของระบบเ ทคโนโลยสารสนเท ศ การบรหารความเส การควบ การตรวจ คมภาย ยง ใน )COSO) สอบภายใ น (Riskbased) ระบจดตาง ๆ ของการบรหารความเสยง และกระบวนการควบคม จดออนตาง ๆ ตรวจสอบการท จรต มาตรฐานการปฏ บต วชาชพตรวจสอ บภายใน ทเกยวของ 69
Enterprise Goals and IT-related Goals for GEIT 70
การควบคมและตรวจสอบระบบสารสนเทศ รปและทบทวนกระบวนการบรหาร IT Governance – COBIT เปรยบเทยบกบ COSO บาง วาแตละกระบวนการและโดเมนมผลกระทบในระดบตน (Primary) หรอระดบรอง รหารและการควบคมสารสนเทศทด ทมผลตอ Business Process และ Business ภาพในแนวกวางของการบรหาร /ควบคมระบบสารสนเทศ 71 ทมา : www. itgthailand. com
การควบคมและตรวจสอบระบบสารสนเทศ รปและทบทวนกระบวนการบรหาร IT Governance – COBIT เปรยบเทยบกบ COSO บาง วาแตละกระบวนการและโดเมนมผลกระทบในระดบตน (Primary) หรอระดบรอง รหารและการควบคมสารสนเทศทด ทมผลตอ Business Process และ Business ภาพในแนวกวางของการบรหาร /ควบคมระบบสารสนเทศ 72 ทมา : www. itgthailand. com
การควบคมและตรวจสอบระบบสารสนเทศ รปและทบทวนกระบวนการบรหาร IT Governance – COBIT เปรยบเทยบกบ COSO บาง วาแตละกระบวนการและโดเมนมผลกระทบในระดบตน (Primary) หรอระดบรอง รหารและการควบคมสารสนเทศทด ทมผลตอ Business Process และ Business ภาพในแนวกวางของการบรหาร /ควบคมระบบสารสนเทศ 73 ทมา : www. itgthailand. com
การควบคมและตรวจสอบระบบสารสนเทศ รปและทบทวนกระบวนการบรหาร IT Governance – COBIT เปรยบเทยบกบ COSO บาง วาแตละกระบวนการและโดเมนมผลกระทบในระดบตน (Primary) หรอระดบรอง รหารและการควบคมสารสนเทศทด ทมผลตอ Business Process และ Business ภาพในแนวกวางของการบรหาร /ควบคมระบบสารสนเทศ 74 ทมา : www. itgthailand. com
E-mail <suvanasarn@gmail. com> 75
Скачать презентацию Developing the IT Audit Plan คลนค ไอเอ ครงท
72c3a43ca1fbb3a43a486e16e7a62250.ppt