การตรวจสอบความก�าวหน้�าของโครงการ

ดร . ครรชิ�ต มาลั�ยวงศ์� ราชิบั�ณฑิ�ต

เน้��อหาค�าบรรยาย

ต�วอย�างโครงการด�านไอที�

ความเสี่��ยงของโครงการไอที�

การควบัค!มโครงการไอที�

การตรวจสี่อบัโครงการไอที�

ต�วอย�างการตรวจสี่อบัโครงการไอที�

สี่ร!ป

ต�วอย�างโครงการทางด้�าน้ไอท�

โครงการจ�ดซื้%&อจ�ดหาแลัะต�ดต�&งอ!ปกรณ�ไอที�ที��เป*นลั+กข�ายหร%อแม�ข�ายใหม�เพื่%�อทีดแทีนอ!ปกรณ�เด�ม โดยไม�เปลั��ยนซื้อฟต�แวร� หร%อเปลั��ยนเลั/กน�อย

โครงการจ�ดซื้%&อจ�ดหาแลัะต�ดต�&งซื้อฟต�แวร�ในเคร%�องแม�ข�ายแลัะลั+กข�ายที��ม�อย+�เด�ม

โครงการพื่�ฒนาระบับัสี่ารสี่นเทีศ์ใหม� โครงการพื่�ฒนาระบับัสี่ารสี่นเทีศ์สี่�วนขยาย โครงการพื่�ฒนาระบับังานประย!กต�ในเว/บั โครงการต�ดต�&งระบับัสี่ารสี่นเทีศ์จากสี่�วนกลัาง เชิ�น GFMIS,

GSMS

ลั�กษณะของโครงการท�!ด้�

เป*นโครงการที��สี่น�บัสี่น!นการด1าเน�นงานของหน�วยงานให�ด�ข2&น เป*นโครงการที��อย+�ในแผนแม�บัทีแลัะแผนปฏิ�บั�ต�การที��ถอดจากแผน

แม�บัที เป*นโครงการที��ได�ร�บัการศ์2กษาความเหมาะสี่มอย�างลัะเอ�ยดรอบัคอบั เป*นโครงการที��ม�การจ�ดหาบัร�ษ�ทีที��ปร2กษามาด1าเน�นการอย�างเหมาะ

สี่มแลัะตรงก�บัระเบั�ยบัที��ได�ก1าหนดไว� เป*นโครงการที��ม�การจ�ดที1าเอกสี่ารที��จ1าเป*นครบัถ�วน เป*นโครงการที��ม�ห�วหน�าโครงการร�บัผ�ดชิอบั

ความเส�!ยงใน้ด้�าน้การท�าโครงการไอท�

โครงการไอที�จ1านวนมากประสี่บัความลั�มเหลัว ข�อก1าหนดความต�องการไม�ชิ�ดเจน ผ+�บัร�หารไม�สี่น�บัสี่น!นในด�านที��จ1าเป*น ผ+�บัร�หารโครงการไม�ร+ �ว�ธี�บัร�หารโครงการตามหลั�กการปฏิ�บั�ต�ที��ด� ที�มงานโครงการไม�ม�ความสี่ามารถ งบัประมาณไม�พื่อเม%�อเที�ยบัก�บัขอบัเขต เทีคโนโลัย�เปลั��ยนแปลังเร/ว เม%�อที1าโครงการเสี่ร/จก/ไม�สี่ามารถจะ

น1าไปใชิ�ได� ฯลัฯ

การควบค#มการท�าโครงการ

ม�หลั�กการเด�ยวก�นก�บัที��ได�อธี�บัายไปแลั�วในเร%�องการตรวจสี่อบัระบับัสี่ารสี่นเทีศ์ เพื่ราะการพื่�ฒนาระบับัสี่ารสี่นเทีศ์สี่�วนใหญ่�จะด1าเน�นการเหม%อนเป*นโครงการหน2�งน��นเอง

ม�นโยบัายให�ใชิ�หลั�กการจ�ดการโครงการมาใชิ�อย�างจร�งจ�ง เชิ�น ใชิ� PMBOK (Project Management Body of Knowledge) หร%อ โมเดลั CMMI (Capability Maturity Model Integration) เป*นต�นแบับั

จ�ดที1าแลัะใชิ�กระบัวนการบัร�หารจ�ดการโครงการอย�างจร�งจ�ง

การตรวจสอบความก�าวหน้�าของโครงการ ค%อ การสี่ร�างความม��นใจแลัะให�ค1าปร2กษาในการที1างาน

โครงการที��ย�งไม�เสี่ร/จสี่�&น เพื่%�อให�ได�โครงการประสี่บัความสี่1าเร/จ น��นค%อสี่ามารถสี่ร�างผลังานที��ม�ค!ณภาพื่

ม�ประสี่�ทีธี�ภาพื่แลัะใชิ�การได�จร�ง

เฟสท�!ควรตรวจสอบ

ชิ�วงการวางแผนโครงการ ค%อการตรวจสี่อบัในชิ�วงที��เร��มวางแผนว�าจะด1าเน�นโครงการว�าได�จ�ดที1าข�อก1าหนดครบัถ�วนหร%อไม�

ในชิ�วงการจ�ดหาบัร�ษ�ทีที��ปร2กษา ค%อการตรวจสี่อบัว�าได�จ�ดหาบัร�ษ�ทีที��ปร2กษามาอย�างถ+กต�องตามหลั�กเกณฑิ�หร%อไม�

ในชิ�วงการด1าเน�นโครงการ ค%อการตรวจสี่อบัการที1าโครงการว�าถ+กต�องหร%อไม�

ในชิ�วงหลั�งการต�ดต�&งใชิ�งานผลัของโครงการ ค%อการตรวจสี่อบัว�าโครงการได�ผลัตามที��ต�องการหร%อไม�

แน้วทางการตรวจสอบ

ที1าความเข�าใจสี่��งแวดลั�อมของโครงการ (Hardware Software Network ระบับัต�าง ๆ ข�อม+ลั คน)

พื่�จารณาความเสี่��ยงที��จะม�ผลัต�อโครงการ (งบัประมาณ นโยบัาย กระบัวนการ ก�จกรรม ค�าใชิ�จ�าย การเม%อง มาตรฐาน ผ+�ใชิ� การบัร�หารจ�ดการบั!คลัากรโครงการ)

พื่�จารณาแนวทีางจากกว�างไปสี่+�แคบั

ต�วอย�างการท�า IT Audit

1 . การควบค#มท�!วไป – เน�นด�านความม��นคงของระบับั

2. การควบค#มการประย#กต( เลั%อกระบับัการ–

จ�ดการยานพื่าหนะ

3. การตรวจสอบความก�าวหน้�าของโครงการ เลั%อกเฟสี่การวางแผนแลัะจ�ดหาบัร�ษ�ทีที��ปร2กษา

การควบค#มท�!วไป

ด�านความม��นคงของระบับัว�ตถ!ประสี่งค�

ที1าความเข�าใจระบับัเคร%อข�ายที��จะใชิ�ในระบับั พื่�จารณาตรวจสี่อบัเสี่�นทีางการเข�าถ2งระบับัด�วยโปรแกรม พื่�จารณาว�าม�นโยบัายแลัะว�ธี�ปฏิ�บั�ต�ที��พื่อเพื่�ยงหร%อไม� พื่�จารณาจ!ดควบัค!มความม��นคงที��ฝ่>ายบัร�หารเชิ%�อว�าม�อย+�แลั�ว ม�การควบัค!มอะไรในเคร%อข�ายบั�างที��ป?องก�นไม�ให�

ผ+�ไม�เก��ยวข�องเข�าสี่+�ระบับัเคร%อข�ายได� ม�ว�ธี�การที��จะเข�าถ2งข�อม+ลัที��ก1าหนดให�เป*นความลั�บั

ต�วอย�างการตรวจสอบGeneral control ทางด้�าน้ความม�!น้คง

ว�ธี�การตรวจสี่อบั สี่�มภาษณ�พื่น�กงานศ์+นย�ไอที�แลัะพื่น�กงานอ%�น ๆ

ทีบัทีวนตรวจสี่อบัแผนผ�งเคร%อข�าย ตรวจสี่อบัระบับัความม��นคงของระบับั แลัะการต�&งค�าใน

เคร%�องของผ+�ใชิ� พื่�จารณากฎหมาย ระเบั�ยบั นโยบัาย ที��เก��ยวข�องก�บัการ

ร�กษาความลั�บัของข�อม+ลั ตรวจสี่อบัแลัะทีดสี่อบัความม��นคงของเคร%�องผ+�ใชิ�ในเคร%อ

ข�าย การเข�าถ2งข�อม+ลั แลัะ ระบับัสี่ารสี่นเทีศ์ ตรวจหาจ!ดอ�อนของระบับั

การควบค#มการประย#กต( (Application control)

การประย!กต�ระบับัยานพื่าหนะว�ตถ!ประสี่งค�

ที1าความเข�าใจสี่�วนประกอบัของการควบัค!มภายใน

ประเม�นการควบัค!มงานประย!กต�

ประเม�นการควบัค!มที��วไปบัางประเด/น

ต�วอย�างการตรวจสอบ Application Control

ระบับัยานพื่าหนะ ว�ธี�การ

ทีบัทีวนตรวจสี่อบัเอกสี่าร

พื่�จารณาจ1าแนกแลัะก1าหนดลั1าด�บัความสี่1าค�ญ่ของจ!ดควบัค!มต�าง ๆ

ทีดสี่อบัว�าการควบัค!มน�&นได�ผลั

ตรวจสี่อบัโปรแกรมเชิ%�อมต�อแลัะทีดสี่อบัการเชิ%�อมต�อ

ทีดสี่อบัความแม�นย1าแลัะสี่มบั+รณ�ของรายงาน

ต�วอย�างการตรวจสอบ Application Control

ระบับัยานพื่าหนะ ประเด/นที��พื่บั

การควบัค!มอ�นพื่!ตไม�ค�อยด� (เชิ�นขาดการสี่อบัทีาน ฯลัฯ.)

การควบัค!มบัางเร%�องไม�ที1างาน

การค1านวณไม�ถ+กต�อง

รายงานไม�สี่มบั+รณ�หร%อไม�ถ+กต�อง

การเชิ%�อมต�อไม�สี่ามารถที1าได�เหม%อนที��ต�องการ

ต�วอย�างการตรวจสอบ Application Control

ระบับัยานพื่าหนะ ประเด/นที��พื่บั (ต�อ)

ไม�ม�การแบั�งแยกหน�าที��ระหว�างผ+�ใชิ�ก�บัพื่น�กงานระบับัสี่ารสี่นเทีศ์ให�ชิ�ดเจน

ไม�ม�กระบัวนการจ�ดการขอเปลั��ยนแปลังโปรแกรมในโครงการ

ไม�ได�เข�ยนกระบัวนการสี่1ารองแลัะก+�ระบับัสี่1าหร�บัใชิ�งาน

ต�วอย�างการตรวจสอบความก�าวหน้�าของโครงการระบบซ่�อมบ�าร#งยาน้พาหน้ะ

เฟสี่ : การวางแผนแลัะจ�ดซื้%&อจ�ดหาว�ตถ!ประสี่งค�

ความสี่อดคลั�องก�บันโยบัายแลัะเง%�อนไขการจ�ดซื้%&อจ�ดหา รวมที�&งการที1าสี่�ญ่ญ่า

ประเม�นความเสี่��ยงของการจ�ดการแลัะการควบัค!มโครงการ

สี่ถานภาพื่ของโครงการแลัะผลังานที��ที1าสี่1าเร/จ

ประเด/นปAญ่หาแลัะสี่ถานภาพื่การแก�ไข

ต�วอย�างการตรวจสอบความก�าวหน้�าของโครงการระบบซ่�อมบ�าร#งยาน้พาหน้ะ

ว�ธี�การ สี่อบัถามกรรมการ แลัะที��ปร2กษาโครงการ ตรวจสี่อบัเอกสี่ารสี่1าค�ญ่ (เชิ�น เอกสี่ารข�อก1าหนดความต�องการ

เอกสี่ารการประม+ลั สี่�ญ่ญ่า) ตรวจสี่อบัรายการบั�นที2กต�าง ๆ ว�าเหมาะสี่มหร%อไม� สี่�มภาษณ�บั!คลัากรระด�บัห�วหน�าในศ์+นย�ไอที� แลัะในฝ่>ายผ+�ใชิ�ระบับั สี่�งเกตการเจรจาต�อรองเก��ยวก�บัสี่�ญ่ญ่าแลัะรายลัะเอ�ยดในสี่�ญ่ญ่า

ต�วอย�างการตรวจสอบความก�าวหน้�าของโครงการระบบซ่�อมบ�าร#งยาน้พาหน้ะประเด/นที��ค�นพื่บั:

ไม�ม�การว�เคราะห�ต�นที!นแลัะก1าไร

ไม�ได�บั�นที2กการประเม�นความต�องการไว�เป*นลัายลั�กษณ�อ�กษร

ไม�ได�บั�นที2กการต�ดสี่�นใจสี่1าค�ญ่เอาไว�

ไม�ม�การก1าก�บัด+แลังบัประมาณ

ผ+�บัร�หารไม�ได�บัร�หารภาพื่รวม

ไม�ม�การสี่%�อสี่ารระหว�างที�มงานโครงการก�บัฝ่>ายบัร�หาร

ต�วอย�างการตรวจสอบความก�าวหน้�าของโครงการระบบซ่�อมบ�าร#งยาน้พาหน้ะประเด/นที��ค�นพื่บั (ต�อ)

ความต�องการแลัะความคาดหว�งในโครงการเก�นขอบัเขตที��ก1าหนดไว�

ไม�ม�การสี่%�อสี่ารระหว�างโครงการ

ไม�ม�แผนงานรองร�บัหากโครงสี่ร�างพื่%&นฐานไม�พื่อเพื่�ยงที��จะใชิ�ก�บัระบับัใหม�

ระบับัใหม�ต�องการบั!คลัากรที��ม�ความเชิ��ยวชิาญ่ด�านเทีคน�คมากกว�าที��ม�อย+�ในหน�วยงาน

สร#ป

การตรวจสี่อบัความก�าวหน�าของโครงการเป*นงานที��ม�ความสี่1าค�ญ่อย�างหน2�งของ IT Audit

การตรวจสี่อบัน�&หน�วยงานสี่�วนมากย�งไม�ได�ด1าเน�นการ ด�งน�&นจ2งม�กจะพื่บัว�าโครงการไอที�ในหน�วยงานหลัายแห�งลั�มเหลัว แลัะหน�วยงานต�องสี่+ญ่เสี่�ยงบัประมาณไปโดยไม�ได�อะไรตอบัแทีน

เราจ2งควรสี่นใจในเร%�องน�&มากข2&น

Reference

Beth Breier, IT Auditing in the Small Audit Shop, สี่%บัค�นเม%�อ 3 มกราคม 2554 จากhttp://talgov.com/citytlh/auditing/index.html