นักบัญชีกับการตรวจสอบไอที

ข่าวสารด้านบัญชีและภาษีอากร

ข่าวสารด้านบัญชีและภาษีอากร

 

        การแข่งขันทางธุรกิจในปัจจุบันนี้ทำให้องค์กรธุรกิจต่างๆไม่ว่าจะเป็นขนาดเล็กขนาดกลางหรือขนาดใหญ่ต่างหาระบบเทคโนโลยีสารสนเทศเข้ามาใช้ภายในองค์กรทำให้องค์กรมีลักษณะการบริหารงานที่จะต้องพึ่งพาเทคโนโลยีสารสนเทศกันมากขึ้นข้อมูลทางบัญชีเป็นส่วนประกอบหนึ่งที่สำคัญต่อการดำเนินกลยุทธ์ทางธุรกิจนักบัญชีจึงเป็นผู้หนึ่งที่มีบทบาทสำคัญทำให้ต้องปรับตัวให้มีความรู้มีความเข้าใจพื้นฐานทางด้านเทคโนโลยีสารสนเทศสามารถนำข้อมูลทั้งภายในและภายนอกองค์กรมาวิเคราะห์ประมวลผลเพื่อให้ได้ข้อมูลมาสนับสนุนการตัดสินใจในการดำเนินธุรกิจได้ทันเวลาที่ต้องการซึ่งหากมีการจัดเก็บข้อมูลให้ครบถ้วนพร้อมใช้งานเมื่อนำไปวิเคราะห์ก็จะได้ผลที่ถูกต้องและรวดเร็วสามารถเพิ่มรายได้และลดความสูญเสียได้อย่างมากมายจะเห็นได้ว่าประสิทธิภาพของเทคโนโลยีสารสนเทศนั้นมีผลกระทบต่อความสามารถในการแข่งขันเพื่อดำรงอยู่และเติบโตขององค์กรธุรกิจเป็นอย่างยิ่งดังนั้นเพื่อให้แน่ใจว่าข้อมูลสารสนเทศที่ออกจากระบบที่องค์กรใช้อยู่จะให้ข้อมูลที่ถูกต้องและเชื่อถือได้รวมถึงความปลอดภัยของข้อมูลซึ่งผู้ที่ไม่มีหน้าที่เกี่ยวข้องจะไม่สามารถเข้าไปเปลี่ยนแปลงแก้ไขข้อมูลหรือนำข้อมูลไปใช้โดยไม่ถูกต้องนักบัญชีจึงควรต้องทำความเข้าใจในกระบวนการตรวจสอบและผลักดันให้องค์กรมีการตรวจระบบสารสนเทศอย่างสม่ำเสมอการแข่งขันทางธุรกิจในปัจจุบันนี้ทำให้องค์กรธุรกิจต่างๆไม่ว่าจะเป็นขนาดเล็กขนาดกลางหรือขนาดใหญ่ต่างหาระบบเทคโนโลยีสารสนเทศเข้ามาใช้ภายในองค์กรทำให้องค์กรมีลักษณะการบริหารงานที่  จะต้องพึ่งพาเทคโนโลยีสารสนเทศกันมากขึ้น

 

          ข้อมูลทางบัญชีเป็นส่วนประกอบหนึ่งที่สำคัญต่อการดำเนินกลยุทธ์ทางธุรกิจนักบัญชีจึงเป็นผู้หนึ่งที่มีบทบาทสำคัญทำให้ต้องปรับตัวให้มีความรู้มีความเข้าใจพื้นฐานทางด้านเทคโนโลยีสารสนเทศสามารถนำข้อมูลทั้งภายในและภายนอกองค์กรมาวิเคราะห์ประมวลผลเพื่อให้ได้ข้อมูลมาสนับสนุนการตัดสินใจในการดำเนินธุรกิจได้ทันเวลาที่ต้องการซึ่งหากมีการจัดเก็บข้อมูลให้ครบถ้วนพร้อมใช้งานเมื่อนำไปวิเคราะห์ก็จะได้ผลที่ถูกต้องและรวดเร็วสามารถเพิ่มรายได้และลดความสูญเสียได้อย่างมากมายจะเห็นได้ว่าประสิทธิภาพของเทคโนโลยีสารสนเทศนั้นมีผลกระทบต่อความสามารถในการแข่งขันเพื่อดำรงอยู่และเติบโตขององค์กรธุรกิจเป็นอย่างยิ่งดังนั้นเพื่อให้แน่ใจว่าข้อมูลสารสนเทศที่ออกจากระบบที่องค์กรใช้อยู่จะให้ข้อมูลที่ถูกต้องและเชื่อถือได้รวมถึงความปลอดภัยของข้อมูลซึ่งผู้ที่ไม่มีหน้าที่เกี่ยวข้องจะไม่สามารถเข้าไปเปลี่ยนแปลงแก้ไขข้อมูลหรือนำข้อมูลไปใช้โดยไม่ถูกต้องนักบัญชีจึงควรต้องทำความเข้าใจในกระบวนการตรวจสอบและผลักดันให้องค์กรมีการตรวจระบบสารสนเทศอย่างสม่ำเสมอ

 

          หลายคนอาจจะคุ้นเคยกันดีกับคำว่า IT Audit (Information Technology Audit)หรือ IS Audit (Information System Audit) ซึ่งเป็นกระบวนการของการรวบรวมหลักฐานและประเมินหลักฐานที่ได้เพื่อใช้ในการพิจารณาเกี่ยวกับความถูกต้องครบถ้วน (Integrity)ความเชื่อถือได้(Reliability)ความปลอดภัย(Security)ความลับ(Confidentiality)ความพร้อมในการใช้งาน (Availability)และการใช้ทรัพยากรภายในองค์กรอย่างมีประสิทธิภาพ (Effectiveness)และมีประสิทธิผล (Efficiency)

 

โดยการตรวจสอบระบบสารสนเทศแบ่งออกเป็น 2 ประเภท ได้แก่

 

          1.การควบคุมทั่วไป (General Control) (ไอทีจีซีITGC) (Information Technology General Control) เป็นการควบคุมที่เกี่ยวกับการจัดการของหน่วยงานคอมพิวเตอร์ ไม่ว่าจะเป็นการกำหนดนโยบาย กลยุทธ์ และกระบวนการทำงานของระบบคอมพิวเตอร์ เพื่อทำให้การปฏิบัติงานในทุกระบบงานมีประสิทธิผลสามารถใช้ระบบงานได้อย่างต่อเนื่องและมีประสิทธิภาพสูงสุด

 

           2.การควบคุมระบบงานประยุกต์ (Application Control) เป็นการควบคุมโดยตรงในแต่ละระบบงานโปรแกรมประยุกต์เพื่อสร้างความมั่นใจว่ารายการที่บันทึกเข้าไปมีความครบถ้วนถูกต้อง มีการควบคุมและป้องกันการเข้าถึงข้อมูล

 

การตรวจสอบระบบสารสนเทศ

     ควรมีมาตรฐานสากลอ้างอิงในการตรวจสอบ 

           1.COBIT Framework– โคบิต (Control Objectives for Information and Related Technology) เป็นมาตรฐานหรือกรอบแนวคิดในการนำสารสนเทศและเทคโนโลยีที่เกี่ยวข้องมาใช้งานในองค์กร ที่มีวัตถุประสงค์ในการกำกับดูแลอย่างชัดเจน เป็นไปอย่างถูกต้องและมีประสิทธิผลบรรลุเป้าหมายทางธุรกิจที่วางไว้ได้

          2.ITILFramework – ไอทิล (Information Technology Infrastructure Library) เป็นมาตรฐานหรือกรอบแนวคิดในการวางแผนกระบวนการบริหารจัดการงานบริการทางด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ

          3.ISO/IEC 17799 และ ISO/IEC 27001เป็นมาตรฐานในการจัดระบบบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Information Security Management) ให้กับองค์กรอย่างมีระบบและเหมาะสมเพียงพอต่อการดำเนินธุรกิจขององค์กร รวมถึงแผนรับมือเมื่อเกิดเหตุฉุกเฉิน เช่น ไฟดับ น้ำท่วม เครื่องคอมพิวเตอร์หยุดชะงักระบบเครือข่ายขัดข้อง เป็นต้น

          4.PRINCE2 (Projects in Controlled Environments 2) เป็นมาตรฐานที่เน้นเรื่องการบริหารจัดการโครงการที่มีประสิทธิภาพ

          5.CMMI (Capability Maturity Model Integration) เป็นมาตรฐานที่เน้นในเรื่องของการพัฒนาและผลิตซอฟต์แวร์ที่มีคุณภาพ

 

ส่วนวิธีการตรวจสอบจะต้องเริ่มต้นและดำเนินการอย่างไรนั้น โปรดติดตามในตอนต่อไปครับ

 

เขียนโดย  : MR.CPD

ข้อมูลจาก : วารสาร CPD & Account ฉบับเดือนมีนาคม 2558