วันจันทร์ที่ 26 เมษายน พ.ศ. 2553

IT Audit

สวัสดีครับ
เดิมทีวันนี้ ผมมีกำหนดไปเปิดการสัมมนาที่จังหวัดสุรินทร์ และบรรยายเรื่อง IT Audit แต่บังเอิญต้องเข้าประชุมคณะกรรมการ คตป. ที่กพร. ก็เลยต้องอัดเสียงและภาพคำบรรยายลงดีวีดี ไปเปิดให้ผู้เข้าร่วมสัมมนาฟัง. ต้องขออภัยท่านที่ต้องอดทนดูคำบรรยายแห้ง ๆ ไว้ด้วย.

การตรวจสอบไอที เป็นเรื่องสำคัญ แต่หน่วยงานไทยยังไม่ค่อยได้สนใจนัก. ผู้ตรวจสอบภายในเองก็ยังไม่ค่อยทราบรายละเอียดว่าจะต้องทำอย่างไร. ความจริงทาง กพร. ได้กำหนดเรื่องการใช้ไอทีไว้เป็นหมวดที่ ๔ ในงาน PMQA ที่กำหนดให้หน่วยงานต่าง ๆ ต้องทำ. ผมจึงนำหมวดที่ ๔ นี้มาขยายความให้ทราบว่า ผู้ตรวจสอบภายในควรจะดูเอกสารอะไรบ้าง จึงจะบอกได้ว่าหน่วยงานทำหมวดที่ ๔ ครบถ้วน.

โดยหลักการแล้ว การตรวจสอบไอทีมีงานที่จะต้องทำขั้นต้นสองกลุ่ม. กลุ่มแรกก็คือการตรวตสอบทั่วไป หรือ General Audit ซึ่งก็คือการตรวจว่า หน่วยงานได้วางแผนงานด้านไอที, มีการจัดทำระบบต่าง ๆ ที่จำเป็น, มีการจัดเก็บข้อมูลที่จำเป็น, การจัดอุปกรณ์ในหน่วยงานได้รับการปกป้องให้มีความมั่นคงที่ดี, การจัดตำแหน่งและหน้าที่เป็นไปอย่างถูกหลักการ, การใช้งานมีการกำหนดสิทธิในการใช้อย่างถูกต้อง และ มีการควบคุมภายในที่ดี ฯลฯ. เนื้อหาอย่างนี้ ไม่เหลือวิสัยที่ผู้ตรวจสอบภายในจะทำความเข้าใจได้ในขั้นต้น. แต่ต่อไป ก็จะต้องอ่านลึกเข้าไปในเอกสาร เช่น แผนงานด้านไอที ต้องตรวจสอบด้วยว่า วางแผนไอทีไว้เหมาะสมกับภาระหน้าที่หรือไม่, กำหนดกิจกรรมที่ควรทำครบหรือไม่ ฯลฯ. เรื่องนี้ก็จะยากมากขึ้น แต่ไม่ยากเกินกว่าจะศึกษาทำความเข้าใจต่อไปได้ด้วยตัวเอง.

กลุ่มที่สองก็คือ Application Audit ซึ่งยากมากขึ้นไปอีก เพราะจะต้องรู้รายละเอียดด้านซอฟต์แวร์และการออกแบบซอฟต์แวร์ด้วยย. การตรวจสอบในขั้นนี้อาจรวมทั้ง การพัฒนาและการจัดซื้อจัดหาระบบซอฟต์แวร์ (รวมฮาร์ดแวร์ ฯลฯ), การออกแบบ และ การเขียนโปรแกรม ว่ามีการกำหนดความมั่นคงไว้ในระบบครบถ้วน, ไม่มีการแอบฝังคำสั่งอันตรายไว้คอยจารกรรมแจ้งข่าวและข้อมูลของหน่วยงานไปให้คนนอกใช้, มีการควบคุมการบำรุงรักษาระบบอย่างเหมาะสม, มีการตรวจสอบการใช้งานของซอฟต์แวร์ทุกระบบว่าไม่มีใครทำอะไรที่ทุจริต.

นับวันเราก็ยิ่งต้องฝากอนาคตของหน่วยงานไว้กับระบบไอทีมากขึ้น. ดังนั้นการตรวจสอบจึงเป็นเครื่องมือสำคัญที่ช่วยให้ผู้บริหารระดับสูง และ ผู้บริหารที่อยู่เหนือหน่วยงานขึ้นไปอีก (รวมทั้ง สส., สว. และ ประชาชน) มีความมั่นใจว่าหน่วยงานมีความมั่นคง และทำงานอย่างถูกต้องตรงกับวัตถุประสงค์และเป้าหมายที่กำหนดไว้.

หากท่านยังไม่ได้สนใจเรื่องนี้มาก่อน ก็ขอให้เริ่มศึกษาได้แล้วครับ

ครรชิต

1 ความคิดเห็น:

  1. IT Audit ระดับกรม

    ควรจะเป็นหน่วยงานใหม่ขึ้นตรงกับ อธิบดีหรือไม่

    ปัจจุบัน
    1. General Audit เป็นหน้าที่ของ ตรวจสอบภายใน แต่หน่วยงานไทยยังไม่ค่อยสนใจ
    2. Application Audit ดังที่อาจารย์กล่าวว่า ยากกว่า General Audit ซึ่งปัจจุบัน ให้ สำนักเทคโนโลยีสารสนเทศเป็นผู้ดำเนินการตรวจสอบ
    จึง มีข้อสงสัยว่า จะถูกต้องหรือไม่ตามลักษณะของการจัดองค์กร เพราะ สำนักเทคโนโลยีสารสนเทศเป็นหน่วยงานปฏิบัติ ซึ่งต้องถูกตรวจสอบ ด้วยเช่นกัน แต่เมื่อ Application Audit อยู่ที่ สำนักเทคโนโลยีสารสนเทศ ดังนั้น หน่วยงานเดียวกัน ตรวจสอบโดยหน่วยงานเดียวกัน จะถูกต้องตามหลักการบริหารหรือไม่
    3. คณะผู้ตรวจราชการ ปัจจุบัน จะตรวจ IT ทางด้าน กายภาพ ว่าการเก็บรักษาเครื่องและอุปกรณ์เป็นอย่างไร และวัดระดับ ความรู้ด้าน IT โดยให้ทำแบบทดสอบผ่าน Intranet ซึ่ง อาจจะเป็นระเบียบเกี่ยวกับความปลอดภัย IT ของหน่วยงาน เป็นต้น

    หากต้องการให้เกิด IT Audit ที่ดี และเป็นเครื่องมือผู้บริหาร ควรจะ
    1. ตั้งหน่วยงาน IT Audit อยู่ในหน่วยงานตรวจสอบภายใน หรือ คณะผู้ตรวจราชการกรม หรือ ตั้งหน่วยงาน IT Audit เป็นหน่วยงานใหม่สายงานสนับสนุนขึ้นตรงต่อ อธิบดี
    2. จะต้องมีผู้มีความรู้ด้าน IT เช่น นักวิชาการคอมพิวเตอร์ หรือ ผู้ตรวจสอบภายใน ที่สอบได้ Certificate ต้านการตรวจสอบ IT หรือไม่
    3. เงินเดือนข้าราชการที่ปฏิบัติงาน เท่าข้าราชการทั่วไป แต่ หากได้ Certificate ต้านการตรวจสอบ IT ควรจะมีเงินเพิ่มพิเศษให้ เพื่อให้ข้าราชการมีความตื่นตัวในการหาความรู้ และรักษาข้าราชการไว้กับราชการ

    การตั้งหน่วยงาน IT Audit เป็นหน่วยงานใหม่ ควรจะแบ่งงานเป็น 2 ด้าน คือ
    1. IT Audit ตรวจสอบ ตามที่อาจารย์กล่าวไว้ คือGeneral Audit และ Application Audit
    2. Certificate Agent จะเป็นหน่วยงานที่ทำการรับรองเอกสารและพิสูจน์เอกสารอิเล็กทรอนิคส์ กรณีที่มีปัญหาระหว่าง หน่วยงาน ในกรมเดียวกัน หรือ กับหน่วยงานภายนอก หน่วยงานราชการน่าจะมีการเตรียมตัวไว้ตั้งแต่ปัจจุบัน

    ตอบกลับลบ