› pes › assets › document › file › ... ·...
TRANSCRIPT
แนวทางตรวจสอบระบบเทคโนโลยสารสนเทศ ฝายตรวจสอบระบบเทคโนโลยสารสนเทศ
ธนาคารอาคารสงเคราะห
สมภพ เตชเสนสกล
ผอ านวยการฝายตรวจสอบระบบเทคโนโลยสารสนเทศ
ธนาคารอาคารสงเคราะห
หวขอการบรรยาย :
2
1. ความจ าเปนของงานตรวจสอบระบบเทคโนโลยสารสนเทศ
2. หลกการตรวจสอบระบบเทคโนโลยสารสนเทศ (IT Auditing)
3. กระบวนการตรวจสอบระบบเทคโนโลยสารสนเทศ
4. ระบบฐานขอมลเพอการตรวจสอบ (Audit Analysis Database)
5. ผตรวจสอบระบบเทคโนโลยสารสนเทศ (IT Auditor)
6. การบรหารจดการความเสยงดานระบบงานเทคโนโลยสารสนเทศ
ความหมาย/ค านยามของการตรวจสอบระบบเทคโนโลยสารสนเทศ (Defining IT Audit)
• การตรวจสอบระบบเทคโนโลยสารสนเทศ (IT Auditing) หมายถง
การคนหาหลกฐานส าหรบส งผดปกตท เกดขนในระบบเทคโนโลยสารสนเทศ (IT) โดยมวตถประสงคเพอประเมนความเพยงพอของการควบคมภายในดาน IT และการจดการความเสยงดาน IT
ความจ าเปนของงานตรวจสอบ
ระบบเทคโนโลยสารสนเทศ
ความจ าเปนของงานตรวจสอบ :
5 PwC’s 2016 Global Economic Crime Survey, “Economic Crime in Thailand” P.8
ผลงานวจยการเกด Fraud :
6 PwC’s 2016 Global Economic Crime Survey, “Economic Crime in Thailand” P.9
ผลงานวจยการเกด Fraud (ตามประเภทธรกจ) :
7 PwC’s 2016 Global Economic Crime Survey, “Economic Crime in Thailand” P.10
ผลการเปรยบเทยบการเกด Fraud :
8 PwC’s 2016 Global Economic Crime Survey, “Economic Crime in Thailand” P.11
หลกการตรวจสอบระบบเทคโนโลยสารสนเทศ
10
หลกการตรวจสอบระบบเทคโนโลยสารสนเทศ
การตรวจสอบระบบเทคโนโลยสารสนเทศ จะเปนการตรวจสอบการควบคมภายในดานคอมพวเตอร ทแบงออกไดเปน 2 ลกษณะ คอ 1. การควบคมภายในทวไป (General Controls)
เปนการควบคมทอาศยนโยบาย และระเบยบปฏบตงาน เปนหลกในการควบคมกจกรรมของหนวยงานคอมพวเตอร
2. การควบคมภายในเฉพาะงาน (Application Controls)
เปนการควบคมรายการขอมลในแตละระบบงานใหมความถกตองและครบถวน โดยอาศยทางเดนของขอมลเปนแนวทางในการก าหนดขอบเขตการควบคม
3. การตรวจสอบโครงการเทคโนโลยสารสนเทศ (Quality Assurance IT
Project) เปนการเขารวมสงเกตการณ ใหขอเสนอแนะโครงการ ตงแตเรมโครงการ
การตรวจสอบระบบเทคโนโลยสารสนเทศ
11
1. การควบคมภายในทวไป(General Controls)
• IT Planning and Organization – IT Steering Committee
• ก าหนดนโยบายดานเทคโนโลยสารสนเทศ
• พจารณาโครงการและงบประมาณ IT
• ตดตามผลการด าเนนการดานสารสนเทศขององคกร
12
การตรวจสอบระบบเทคโนโลยสารสนเทศ
13
Computer
Developments
System Analysis
Data Backup
Security Admin DC. Operation
Librarian
Network Admin
Database Admin Appl. Program
System Program
Computer
Opreations
Computer
Administrators
C B A
CIO
- IT Organization Control
กลม A ท างาน Programmer
หามไปท างานกลมอนดวย โดย
เฉพาะงานกลม B
Audit Concern
การตรวจสอบระบบเทคโนโลยสารสนเทศ
• Development and Implementation
Control – Business Requirement
– Feasibility Study (User agree & signoff)
– System Analysis and Design (Documentation & User signoff)
– Coding Program
– Program Testing (Test Scenario , UAT , User Signoff)
– Data Conversion (Data Reconciliation & User signoff )
– Implementation (System doc. & Training Manual)
– Post Implementation Review
(Problem logging & Change Procedure) 14
การตรวจสอบระบบเทคโนโลยสารสนเทศ
• Information Security Control
– IT security Policy and Procedure
• นโยบายดานความปลอดภยและระเบยบปฏบต
• จดความส าคญของระบบและขอมล
• มการก าหนดหนาทรบผดชอบ
– User Access Control Feature • Password Policy
• User Authorized Matrix
– Logging and Monitoring
• ระยะเวลาการเกบ Log
– Physical Security
• การควบคมการเขาออก , Room Environment 15
การตรวจสอบระบบเทคโนโลยสารสนเทศ
• Maintenance of Existing System Control
– ตรวจการปฏบตตามระเบยบการพฒนาระบบ (SDLC)
– Change Management
• Changed Detection Program
• Changed Request Form
16
การตรวจสอบระบบเทคโนโลยสารสนเทศ
ทกการเปลยนแปลงในระบบ จะตองม Request Form
• Computer Operation Control
– Operation Schedule/Time table/Control Procedure
• ตองท างานตามคมอและขนตอนการปฏบตงาน
– Service Level Agreement: SLA
– Data Backup Procedure
– Disaster and Recovery Plan: DRP
• การเขยนแผน การทดสอบแผน และการปรบปรงแผน
17
การตรวจสอบระบบเทคโนโลยสารสนเทศ
วตถประสงค
- Completeness (ใหความมนใจในความสมบรณของขอมล)
- Accuracy ( ความถกตองตรงกนทกประการของขอมล)
- Validity ( ความสมเหตสมผลของขอมล)
- Restricted Access to Data and Physical asset
( การจ ากดการเขาถงขอมลและสนทรพย)
C A V R 18
การตรวจสอบระบบเทคโนโลยสารสนเทศ
2. การควบคมภายในเฉพาะงาน (Application Controls)
C A V R ท าไดโดยการควบคมขอมล
– ขอมลน าเขา (Input Control) วธการ ทมา ความถกตอง
– การประมวลผล (Processing Control)
– ขอมลผลลพธ (Output Control)
19
การตรวจสอบระบบเทคโนโลยสารสนเทศ
• ตวอยางการควบคมความถกตองของรายการขอมล
– Check digit validation (การค านวณเลขหลกสดทายของเลขบญช)
– Range Check (เชน ขอมลชวงอายของลกคา )
– Limit Check (เชน จ ากดวงเงนในการถอนจากต ATM)
– Sequence Check ( เชนเลขทเอกสารไมซ ากน )
20
การตรวจสอบระบบเทคโนโลยสารสนเทศ
• เทคนคการใชระบบคอมพวเตอรชวยในการตรวจสอบ เพอหาสาระในเชงลก (Substantive Test) ไมมความเชอถอในระบบการควบคมภายใน และตองท าการทดสอบความถกตองของรายการ
– Generalized Audit Software: GAS เชน ACL software
– Custom Audit Software: เขยนหรอพฒนาขนมาเอง เพอเปรยบเทยบ
Output ก บรายงาน User
– Test Data โดยการสราง Test script และน า Program
ของ User มา Run กบ Data test
– Concurrent Auditing การตรวจสอบหาความผดปกตของขอมล
Techniques ทเกดขนในระบบ
21
การตรวจสอบระบบเทคโนโลยสารสนเทศ
• Concurrent Auditing Techniques
เปนการตรวจสอบขอมลในระบบเพอหา ขอผดพลาด ความผดปกตของขอมลทสอในทางทจรต หรอความบกพรองของระบบควบคมภายในและระเบยบ
ผลทจะได
22
การตรวจสอบระบบเทคโนโลยสารสนเทศ
-พบวาไมปฏบตตามระเบยบ
-ขอมลสอในทางทจรต
-พบขอบกพรองของระบบ IT
-พบขอบกพรองของการควบคมภายใน
-ไดทราบถงพฤตกรรมของผปฏบตงาน
-ฯลฯ
• การตรวจสอบความถกตองของอตราดอกเบยในระบบเปรยบเทยบกบผลตภณฑ
– กวาดขอมลตามผลตภณฑ ดวามรายใดทมอตราดอกเบยไมตรงตามขอก าหนด
– เปรยบเทยบดอกเบยสะสมประจ าเดอน วามรายใดทมการเปลยนแปลงสง
– ด Audittrail Log ทแกไขอตราดอกเบย
• การตรวจขอมลการจายเงนเดอน คารกษาพยาบาล
– ดยอดเบกจายทสงและมความถสง และดความสมพนธของผท ารายการกบผ เบก
• การดการเคลอนไหวของรายการทสงผดปกต หรอการเกดซ า เกดนอกเวลาท าการ
• ดจากบญชเงนฝากทมเงนเขาแตละเดอนสงกวารายรบทควรจะเปน และเกดตอเนอง
• มการท ารายการทางการเงน นอกเวลาท าการ
23
ตวอยางการน าเทคนคทางดาน IT มาใชตรวจสอบเพอหาความผดปกต
• วตถประสงค
– การสรางความมนใจและใหค าปรกษาในการท างานโครงการทยงไมเสรจสน เพอใหไดโครงการประสบความส าเรจ
• ระยะเวลาการตรวจสอบ
– ชวงการวางแผนโครงการ คอการตรวจสอบในชวงทเรมวางแผนวาจะด าเนนโครงการวาไดจดท าขอก าหนดครบถวนหรอไม
– ในชวงการจดหาบรษททปรกษา คอการตรวจสอบวาไดจดหาบรษททปรกษามาอยางถกตองตามหลกเกณฑหรอไม
– ในชวงการด าเนนโครงการ คอการตรวจสอบการท าโครงการวาถกตองหรอไม
– ในชวงหลงการตดตงใชงานผลของโครงการ คอการตรวจสอบวาโครงการไดผลตามทตองการหรอไม
24
3. การตรวจสอบโครงการเทคโนโลยสารสนเทศ (Quality Assurance IT Project)
25
กระบวนการตรวจสอบระบบเทคโนโลยสารสนเทศ
วธการตรวจสอบระบบเทคโนโลยสารสนเทศ
(Steps of an IT Audit)
การวางแผน
การปฏบตงานตรวจสอบ
การจดท ารายงาน
26
การส ารวจขอมลเบองตน
การประเมนการควบคมภายใน
การประเมนความเสยง
การวางแผนการตรวจสอบ
การปฏบตงานตรวจสอบ
สรปผลการตรวจสอบ
รายงานผลการตรวจสอบ
การตดตามผลการแกไข
รวบรวมขอมลเบองตนทเกยวของกบการตรวจสอบจากแหลงตางๆ วเคราะห & ประเมนการควบคมทมอย
ระบ & ประเมนความเสยงเปนระดบ สง/กลาง/ต า โดย Heat
Map
น าผลจากประเมนการควบคมและความเสยง มาจดล าดบวางแผนในการตรวจสอบ
- Interim Report (รายงานระหวางกาล)
- Final Audit Report
- Summary Report (รายงานส าหรบผบรหาร)
- กฎหมาย, ขอบงคบจากทางราชการฯลฯ
- IT Standard, IT Best Practices - IT Control : IT General & Application Control
- เพอใหแนใจวา ผรบตรวจมการแกไข/
ปรบปรงตามขอเสนอแนะ
เรองทตรวจพบ, ขอสงเกต, สาเหต,
ผลกระทบ และขอเสนอแนะ
การตดตามผล
วธการตรวจสอบระบบเทคโนโลยสารสนเทศ
(Steps of an IT Audit)
การวางแผน (Planning)
การปฏบตงานภาคสนาม (Field Work)
การรายงานผลงาน (Communicating Results)
การตดตามผล (Follow-Up)
แนวการตรวจสอบ (Audit Program)
สงทตรวจพบ (Audit Findings)
รายงานผลการเสนอแนะ (Report of Recommendation)
รายงานการตรวจสอบ (Audit Report)
27
วธการตรวจสอบระบบเทคโนโลยสารสนเทศ
(Steps of an IT Audit)
28
ระบบฐานขอมลเพอการตรวจสอบ
Audit Analysis Database
ระบบฐานขอมลเพอการตรวจสอบ (Audit Analysis Database)
CDM
Analysis IT Auditor
(Collective Data Module)
Core Banking
HR
Back Office ,etc Audit Analysis Database
Data
Gath
erin
g
- Master Data
- Transaction Data
- Configurations Data
- Logs
30
ผตรวจสอบระบบเทคโนโลยสารสนเทศ (IT Auditor)
1. ทกษะดานการตรวจสอบ
• ผานงานผตรวจสอบ
• ม Certificated ผตรวจสอบ IT
2. ทกษะดาน IT
• ผานงานดาน IT
• จบการศกษาดาน IT
3. ทกษะดานธรกรรมหลกของธนาคาร
• ผานงานดานธรกรรมหลกขององคกร
ในระดบ Supervisor
• Internal Auditor ->
• Information Technology Auditor ->
• Information Security Auditor ->
6. สมาคมผตรวจสอบระบบเทคโนโลยสารสนเทศ (Information Technology Auditor)
การบรหารจดการความเสยง ดานระบบงานเทคโนโลยสารสนเทศ
ธนาคารอาคารสงเคราะห
อครเดช ภาพน า
หวหนาสวนตรวจสอบการปฏบตงานดาน IT
ธนาคารอาคารสงเคราะห
2.1 IT Risk
2.2 กระบวนการบรหารความเสยง
(ความเสยง – ปจจยเสยง – ประเมนความเสยง – จดการความเสยง)
2.3 กรณตวอยาง- การประเมนความเสยงดาน IT ของ ธอส.
2. การบรหารจดการความเสยงดาน IT (IT Risk Management)
2.1 IT Risk -> ความเสยงทองคกรน า IT มาใชในการขบเคลอนองคกร
ความไมพรอมของระบบ IT (Available)
การเขาถงขอมลในระบบ IT (Confidentiality)
ความถกตองขอมลในระบบ IT ( Integrity)
2. การบรหารจดการความเสยงดาน IT (IT Risk Management)
2.2 กระบวนการบรหารความเสยง
(ความเสยง – ปจจยเสยง – ประเมนความเสยง – จดการความเสยง)
2. การบรหารจดการความเสยงดาน IT (IT Risk Management)
1.การวางแผนกลยทธ นโยบายและแผนการปฏบตงานดาน
IT
ปจจยความเสยง ดานการบรหารและการปฏบตการเทคโนโลยสารสนเทศ
2.นโยบายและคณภาพการรกษาความปลอดภย
3.ความเหมาะสมของโครงสรางระบบ IT และเครอขายการสอสารเพอรองรบระบบ IT
4.จดออนของระบบการควบคมภายในและการรกษาความปลอดภย
5.ขอผดพลาดของขอมลและรายงานทออกจากระบบ
6.การเชอมโยง แกไข หรอเปลยนแปลงระบบงานทกอใหเกดความผดพลาด
7.การจดท าแผนรองรบการด าเนนธรกจตอเนองและการกคนระบบ
ผลกระทบ
(1 - 5) โอกาสเกด
(1 - 5)
คะแนนรวม
ระดบความเสยง
คะแนนรวม ระดบความเสยง
การตรวจสอบ
1-3 ต า ตรวจทก 3 ป
4 – 8 ปานกลาง ตรวจทก 2 ป
9 – 15 สง ตรวจ ป เวน ป
16 – 25 สงมาก ตรวจทกป
Back
หลกเกณฑประเมนความเสยงเพอจดท าแผนตรวจสอบ
1.นโยบายและคณภาพของการรกษาความปลอดภยระบบงาน
(กระทบตอการใหบรการลกคา)
2.ปรมาณ ประเภท และ ความซบซอนของรายการ/ธรกรรมผลตภณฑและการบรการ (ผลกระทบทางการเงน)
3.ความเหมาะสมของโครงสรางระบบ IT และเครอขายเพอรองรบการใหบรการ
4. ความผดพลาด บกพรองและการทจรตทเกดสภาพแวดลอมความปลอดภย (การเปลยนแปลงแกไขระบบงาน)
5. จดออนของระบบการควบคมภายในและการรกษาความปลอดภย (จดออนทพบจากการตรวจสอบ)
6.ความส าคญและความถกตองของขอมล
7.การจดท าแผนรองรบการด าเนนธรกจ/การกคน
ผลกระทบ
(1 - 5) โอกาสเกด
(1 - 5)
คะแนนรวม
ระดบความเสยง
คะแนนรวม ระดบความเสยง
การตรวจสอบ
1-3 ต า ตรวจทก 3 ป
4 – 8 ปานกลาง ตรวจทก 2 ป
9 – 15 สง ตรวจ ป เวน ป
16 – 25 สงมาก ตรวจทกป
Next
หลกเกณฑประเมนความเสยงเพอจดท าแผนตรวจสอบ (ตอ)
ปจจยความเสยง ดานร ะบบงานเทคโนโลย
38