ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

ยังพอจำกันได้ใช่ไหมครับ ในเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ที่แบ่งออกได้เป็น 2 ลักษณะ ก็คือ การควบคุมภายในทั่วไป(General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งครั้งที่แล้วผมได้กล่าวถึงการควบคุมภายในทั่วไป (General Controls) คงพอจะทำให้ท่านผู้อ่านมองเห็นภาพกว้างของการควบคุมภายในทั่วไปได้ชัดเจนและเข้าใจยิ่งขึ้น

สำหรับวันนี้ผมจะขอพูดถึงการควบคุมภายในเฉพาะงาน หรือ Application Controls ซึ่งเป็นการควบคุมภายในอีกลักษณะหนึ่งจากที่ได้กล่าวถึงในข้างต้น

2. การควบคุมภายในเฉพาะงาน (Application Controls)
การควบคุมภายในเฉพาะงาน คือ การควบคุมรายการข้อมูลในแต่ละระบบงานให้มีความถูกต้องและครบถ้วน โดยอาศัยทางเดินของข้อมูลเป็นแนวทางในการกำหนดขอบเขตการควบคุม ซึ่งส่วนใหญ่มี 6 ขั้นตอน ดังนี้

1) การควบคุมแหล่งกำเนิดรายการ ได้แก่
การควบคุมเกี่ยวกับงานจัดทำข้อมูลก่อนป้อนเข้าสู่ระบบคอมพิวเตอร์ ซึ่งส่วนใหญ่เป็นงานด้าน Manual และอาจมีบุคคลหลายฝ่ายเข้ามาเกี่ยวข้อง เริ่มตั้งแต่จุดเริ่มต้นของแหล่งกำเนิดรายการ การจัดทำเอกสาขั้นต้นประกอบรายการ การขอความเห็นชอบในการจัดทำรายการ การเตรียมข้อมูลนำเข้า การป้องกันข้อผิดพลาด การค้นหาข้อผิดพลาด และการแก้ไขข้อผิดพลาด

2) การควบคุมการทำรายการป้อนเข้าสู่ระบบงาน ได้แก่
การควบคุมการทำรายการป้อนเข้าสู่ระบบ ซึ่งอาจทำได้ 2 วิธี คือแบบ Remote Terminal Data Entry และแบบ Batch Data Entry โดยข้อมูลที่ป้อนเข้าสู่ระบบจะต้องถูกหลักเกณฑ์ในการทำรายการ นอกจากนี้ยังรวมถึงเรื่องที่เกี่ยวกับการกระทบยอดข้อมูลนำเข้าเพื่อพิสูจน์ความถูกต้อง การชี้แนะให้เห็นข้อผิดพลาดการทำรายการแก้ไขข้อผิดพลาด และการนำข้อมูลที่มีการแก้ไขข้อผิดพลาดป้อนเข้าสู่ระบบใหม่อีกครั้ง

3) การควบคุมการสื่อสารข้อมูล
เป็นการควบคุมข้อมูลและข่าวสาร ที่ผ่านระบบสื่อสารให้มีความถูกต้องและครบถ้วน ซึ่งจะต้องคำนึงถึง Hardware และ Software ที่ใช้ในการสื่อสารข้อมูลการมอบอำนาจ

4) การควบคุมการประมวลผลด้วยคอมพิวเตอร์ ได้แก่
การควบคุมการประมวลผลข้อมูลให้มีความแม่นยำ ถูกต้อง และครบถ้วนเป็นไปตามหลักเกณฑ์การใช้แฟ้มข้อมูล การชี้แนะให้เห็นข้อผิดพลาด และการรายงาน

5) การควบคุมการจัดเก็บข้อมูลไว้ในระบบ และการนำข้อมูลที่เก็บไว้ในระบบไปใช้งาน
เป็นการควบคุมที่เกี่ยวกับแฟ้มข้อมูล การตัดตอนข้อมูลเพื่อจัดเก็บหรือเลิกเก็บไว้ในแฟ้มข้อมูล การกำหนดสิทธิการใช้ข้อมูล การรักษาความปลอดภัย การแก้ไขข้อผิดพลาด การตระเตรียมแฟ้มข้อมูลชุดสำรอง ไว้ใช้ทดแทนการแก้ไขสถานการณ์ที่เลวร้ายให้กลับคืนสู่สภาพปกติ และการกำหนดอายุการจัดเก็บแฟ้มข้อมูล

6) การควบคุมผลลัพธ์ ได้แก่
การกระทบยอดข้อมูลนำเข้าและผลลัพธ์ เพื่อพิสูจน์ความถูกต้องด้วยระบบ Manual ซึ่งเป็นหน้าที่โดยตรงของหน่วยงานควบคุมคุณภาพข้อมูล และหน่วยงานผู้ใช้ข้อมูล การจัดส่งข้อมูลจากศูนย์คอมพิวเตอร์ให้หน่วยงานอื่น ความปลอดภัยในการจัดเก็บเอกสารสำคัญในศูนย์คอมพิวเตอร์และหน่วยงานผู้ใช้ข้อมูล และการกำหนดอายุการจัดเก็บข้อมูลที่ได้จากการประมวลผล

ขอทิ้งท้ายสำหรับวันนี้ด้วยแผนภาพ แนวทางในการกำหนดขอบเขตการควบคุมภายในเฉพาะด้าน และในครั้งหน้าผมจะมาเล่าถึงการจัดทำรายงานการตรวจสอบ โปรดติดตามต่อไปนะครับ

 

Leave a Reply