IT_audit
advertisement
IT Auditing 1 วัตถุประสงค์ เพือ ่ สร ้างความเข ้าใจเกีย ่ วกับ • ผลกระทบของระบบสารสนเทศทีม ่ ต ี อ ่ หน่วยตรวจสอบ ภายใน • บทบาทของหน่วยตรวจสอบภายในต่อระบบสารสนเทศ ขององค์กร • การควบคุมทั่วไป (General Controls) • การควบคุมเฉพาะระบบงาน (Application Controls) • ขัน ้ ตอนการตรวจสอบระบบสารสนเทศเบือ ้ งต ้น 2 หัวข ้อ 1. ความหมาย: - ระบบสารสนเทศ - การตรวจสอบระบบสารสนเทศ 2. การควบคุมภายในระบบสารสนเทศ - การควบคุมทัว่ ไป - การควบคุมเฉพาะระบบงาน 3. การตรวจสอบระบบสารสนเทศ - ขัน ้ ตอนการตรวจสอบ - เทคนิคการตรวจสอบ 3 ความหมายของ ระบบสารสนเทศ ระบบงานทีอ ่ อกแบบมา เพือ ่ ประมวลผลข ้อมูลให ้ ิ ใจของ เป็ นสารสนเทศ ทีม ่ ป ี ระโยชน์ในการตัดสน ้ ผู ้ใชระบบ หรือ A system that collects, records, stores, and processes data to produce information for decision makers. 4 สว่ นประกอบของระบบสารสนเทศ 1. 2. 3. 4. 5. 6. Data Software People Procedure and Instructions Information Technology Infrastructure Internal Controls and Security Measures 5 ความหมายของ การตรวจสอบระบบสารสนเทศ ้ กระบวนการทีใ่ ชในการเก็ บรวบรวมและ ประเมินหลักฐาน เพือ ่ ทีจ ่ ะพิจารณาว่า ระบบสารสนเทศนัน ้ สามารถทีจ ่ ะบรรลุ วัตถุประสงค์หลัก 4 ประการ ได ้มากน ้อยเพียงใด 6 วัตถุประสงค์หลักของ ระบบสารสนเทศ – ป้ องกันการทุจริตเเละความผิดพลาดทีอ ่ าจเกิด ิ ทรัพย์ (Assets Safeguarding) ขึน ้ กับสน – รักษาความถูกต ้องของข ้อมูล (Data Integrity) ิ ธิผลของระบบงาน (System – ความมีประสท Effectiveness) ิ ธิภาพในการใชทรั ้ พยากรของระบบ – ความมีประสท (System Efficiency) 7 ความจาเป็ นทีต ่ ้องมีการควบคุม และตรวจสอบระบบสารสนทศ ี ข ้อมูล 1. ค่าใชจ่้ ายทีอ ่ าจเกิดขึน ้ จากการสูญเสย ิ ใจทีผ 2. การตัดสน ่ ด ิ พลาด ้ 3. ค่าใชจ่้ ายทีเ่ พิม ่ ขึน ้ จากการใชคอมพิ วเตอร์ใน ทางมิชอบ 4. อุปกรณ์คอมพิวเตอร์ ซอฟต์แวร์ และ บุคลากรมีมล ู ค่าสูง 8 ผลกระทบของการประมวลผล ้ โดยใชคอมพิ วเตอร์ตอ ่ การตรวจสอบ 1. การเปลีย ่ นแปลงในการเก็บหลักฐาน (Changes to Evidence Collection) 2. การเปลีย ่ นแปลงในการประเมินหลักฐาน (Changes to Evidence Evaluation) 9 การจาแนกประเภทการควบคุมตาม วัตถุประสงค์ของการควบคุม การควบคุมเชงิ ป้ องกัน (Preventive Control) การควบคุมเชงิ ตรวจพบ (Detective Control) การควบคุมเชงิ แก ้ไข (Corrective Control) 10 การควบคุมในระบบสารสนเทศ การควบคุมทั่วไป (General Controls) การควบคุมระบบงาน (Application Controls) 11 การควบคุมทั่วไป ้ • เป็ นการควบคุมทีก ่ าหนดขึน ้ เพือ ่ ใชในหน่ วยงานต่างๆ ของ องค์กรทีเ่ กีย ่ วข ้องกับการประมวลผลด ้วย IT ให ้มัน ่ ใจว่าการ ประมวลผลข ้อมูลด ้วย IT จะเป็ นไปอย่างเหมาะสม และการ ลงทุนในด ้าน IT เหมาะสม และคุ ้มค่า • มีผลกระทบในวงกว ้าง ในหลายๆ หน่วยงานในองค์กร และ ้ หลายระบบงานทีม ่ ก ี ารใชงาน 12 การควบคุมทั่วไป (General Control) ้ 1. การกาหนดนโยบายในการใชสารสนเทศ 2. การแบ่งแยกหน ้าทีง่ านในระบบสารสนเทศ 3. การควบคุมโครงการพัฒนาระบบสารสนเทศ 4. การควบคุมการเปลีย ่ นแปลงแก ้ไขระบบ 5. การควบคุมการปฏิบต ั งิ านในศูนย์คอมพิวเตอร์ 6. การควบคุมการเข ้าถึงอุปกรณ์คอมพิวเตอร์ 7. การควบคุมการเข ้าถึงข ้อมูลและทรัพยากรสารสนเทศ 13 การควบคุมทั่วไป (General Control) (ต่อ) 8. การควบคุมเข ้าถึงระบบงาน 9. การควบคุมการจัดเก็บข ้อมูล ื่ สารข ้อมูล 10.การควบคุมการสอ 11.การกาหนดมาตรฐานของเอกสารระบบสารสนเทศ ี หายทีอ 12.การลดความเสย ่ าจเกิดขึน ้ กับระบบ คอมพิวเตอร์ 13.การวางแผนกู ้ระบบจากภัยพิบต ั ิ 14 1. การกาหนดนโยบายสารสนเทศ ั เจนว่าใครต ้องการเข ้าถึง มีนโยบายทีช ่ ด ข ้อมูลอะไร เมือ ่ ไร ในระบบงานใด ิ ธิในการเข ้าถึงจะใชหลั ้ ก “need to การให ้สท know” 15 2. การแบ่งแยกหน ้าทีง่ านในระบบสารสนเทศ แบ่งแยกหน ้าทีค ่ วามรับผิดชอบของผู ้ปฏิบต ั งิ านระบบงาน ั เจนและ ไม่ให ้คนหนึง่ ทางานทีต คอมพิวเตอร์ให ้ชด ่ ้อง แบ่งแยกหน ้าทีก ่ น ั – – – – – – งานวิเคราะห์ระบบ (System Analysis) งานเขียนโปรแกรม (Programming) งานปฏิบตั ิการคอมพิวเตอร์ (Computer Operation) งาน Master Data Maintenance งานบรรณารักษ์ระบบ (System Library) งานควบคุมข้อมูล (Data Control) 16 3. การควบคุมโครงการพัฒนาระบบสารสนเทศ • • • • • • • แผนแม่บทระยะยาว แผนงานพัฒนาระบบ การมอบหมายหน ้าทีแ ่ ละความรับผิดชอบ การควบคุมในแต่ละขัน ้ ตอนของการพัฒนาระบบ การประเมินผลงานระหว่างการดาเนินโครงการ การสอบทานภายหลังการติดตัง้ ระบบและนาระบบ ้ มาใชงาน การวัดผลการดาเนินงานของระบบ 17 4. การควบคุมการเปลีย ่ นแปลงแก ้ไขระบบ • การกาหนดระเบียบวิธป ี ฏิบัตใิ นการแก ้ไข ระบบทีเ่ ป็ นลายลักษณ์อก ั ษร ึ ษาถึงผลกระทบต่าง ๆ • มีการศก • มีการทดสอบระบบทีแ ่ ก ้ไขแล ้วก่อนนาไปใช ้ • จัดทาเอกสารคูม ่ อ ื ประกอบการแก ้ไข • ประเมินผลและสอบทานระบบงานภายหลัง เริม ่ ใช ้ 18 5. การควบคุมการปฎิบต ั งิ านในศูนย์ คอมพิวเตอร์ • การประมวลผลระบบงาน • การสารองข ้อมูล • การจัดการปั ญหาของระบบ 19 6. การควบคุมเข ้าถึงอุปกรณ์คอมพิวเตอร์ • สถานทีม่ ดิ ชดิ • • • • • • • มีการรักษาความปลอดภัยหนาแน่น เข ้าออกได ้เฉพาะผู ้เกีย ่ วข ้อง ั เจน กาหนดนโยบายรักษาความปลอดภัยทีช ่ ด ติดระบบเตือนภัยกรณีมผ ี ู ้บุกรุก ้ ั ท์เฉพาะเรือ จากัดให ้ใชโทรศ พ ่ งทีเ่ กีย ่ วกับงาน ติดอุปกรณ์ป้องกันเครือ ่ งคอมพิวเตอร์ ควบคุมสภาพแวดล ้อมในการทางาน 20 7. การควบคุมการเข ้าถึงข ้อมูลและ ทรัพยากรสารสนเทศ • User Views or Subschema • ตารางการอนุญาติให ้เข ้าถึงฐานข ้อมูล (Database Authorization Table) • การเข ้ารหัสข ้อมูล (Data Encryption) • การควบคุมการอนุมานข ้อมูล (Inference Controls) 21 8. การควบคุมการเข ้าถึงระบบงาน • การตรวจสอบความเท็จจริง (Authentication) – รหัสผ่าน (Password) – การระบุตวั ตนด้วยส่ งที่มีทางกายภาพ (Physical Possession Identification) – การระบุตวั ตนด้วยค่าทางชีวภาพ (Biometric Identification) ิ ธิ (Authorization) • การกาหนดสท ้ • การบันทึกกิจกรรมต่าง ๆ ในระบบเพือ ่ ใชในการ ตรวจสอบ (Audit Log) 22 9. การควบคุมการจัดเก็บข ้อมูล • ร่องรอยการตรวจสอบ • ห ้องสมุดแฟ้ มข ้อมูล ื่ แฟ้ ม (external and internal labels) • ป้ ายชอ • ผู ้บริหารฐานข ้อมูล (Database Administrator) • พจนานุกรมข ้อมูล (Data Dictionary-DDIC) 23 ื่ สารข ้อมูล 10. การควบคุมการสอ • Encryption • Callback system • Parity bit 24 11. การกาหนดมาตรฐานเอกสารระบบสารสนเทศ (Documentation Standard) • การจัดทาเอกสารทางการบริหาร • การจัดทาเอกสารระบบงาน • การจัดทาเอกสารประกอบการปฏิบต ั ก ิ าร 25 ี หายทีอ 12. การลดความเสย ่ าจเกิดขึน ้ กับระบบ • การบารุงรักษาในเชงิ ป้ องกัน (Preventive Maintenance) • อุปกรณ์ไฟฟ้ าสารอง (Uninterrupted Power Supply) • ระบบทีท ่ นต่อความบกพร่อง (Fault Tolerant) 26 13. การวางแผนกู ้ระบบจากภัยพิบต ั ิ แผนควรรวมถึง • Backup files, facilities, and stationery • การจัดลาดับความสาคัญของงานทีต ่ ้องกู ้ก่อน • การกาหนดทีมทีร่ ับผิดชอบการกู ้ระบบ ้ • การฝึ กซอมการกู ้ระบบ • Second-site 27 ความเสี่ ยงจากการขาดการควบคุมทัว่ ไปที่ดี • ภาพรวมของการควบคุมภายในขาดประสิ ทธิภาพ • ข้อมูลหรื อโปรแกรมอาจเกิดความเสี ยหาย • ข้อมูลหรื อโปรแกรมอาจเกนาไปใช้โดยไม่ได้รับ อนุญาต • ระบบงานหยุดชะงัก 28 การควบคุมระบบงาน Application Controls • การควบคุมในสว่ นของ input, process, และ output ในระบบงานหนึง่ ๆ เท่านัน ้ ิ ธิผลได ้ การ • การควบคุมในระบบงานจะมีประสท ิ ธิผลเสย ี ก่อน ควบคุมทั่วไปทีเ่ กีย ่ วข ้องต ้องมีประสท • การควบคุมบางประเภทอาจเป็ นทัง้ การควบคุม ทั่วไป และการควบคุมในระบบงาน 29 การควบคุมข ้อมูลนาเข ้า (input controls) กาหนดขึน ้ เพือ ่ ให ้มัน ่ ใจในความครบถ ้วน สมบูรณ์ ถูกต ้อง ได ้รับการอนุมต ั ิ และเกิดขึน ้ อย่างถูกต ้องตามกฎหมาย ่ าร ระเบียบและนโยบาย ของรายการทัง้ หมดทีน ่ าเข ้าสูก ประมวลผลของระบบงาน 30 ตัวอย่ างของการควบคุมเฉพาะระบบบงาน • • • • • • • • Existence or Validity Check Type Check Sign Check Reasonableness Check Limit Check Range Check Sequence Check Label Check 31 การควบคุมเฉพาะระบบบงาน (application controls) • • • • • • • • Matching Check Posting or Update Check Record Count Check Amount Control Total Check Hash Total Check Crossfoot Balance Check Zero-Balance Check Self-checking Digit Check 32 การตรวจสอบระบบสารสนเทศ • ขัน ้ ตอนการตรวจสอบ ดูเอกสาร Exhibit 4.2 Audit Workflow • เทคนิคการตรวจสอบ 33 การทดสอบในการตรวจสอบ (Audit Tests) • การทดสอบการควบคุม (Test of Controls) • การตรวจสอบเนื้อหาสาระ (Substantive Tests) 34 การประเมินการควบคุมภายใน 1. ดูวา่ มีการควบคุมภายในที่เพียงพอ (adequate controls) หรื อไม่ 2. ดูวา่ การควบคุมภายในที่มีน้ นั มีประสิ ทธิผล (Control effectiveness) หรื อไม่ 35 Control Matrix Errors Controls 36 ความสัมพันธ์ระหว่างการควบคุมภายในการและการ ทดสอบในการสอบบัญชี ถ้าโครงสร้างการควบคุมภายในเข้มแข็ง ผูส้ อบบัญชี จะทาการทดสอบการควบคุมเพื่อดูวา่ การควบคุมมี ประสิ ทธิผล ซึ่ งถ้าเป็ นจริ งก็จะสามารถลดการ ตรวจสอบเนื้อหาสาระได้ 37 ้ เทคนิคการใชคอมพิ วเตอร์ชว่ ยในการตรวจสอบ Computer-Assisted Auditing Tools and Techniques (CAATTs) ที่นิยมใช้กนั ทัว่ ไป - Test Data ใช้สาหรับการทดสอบการควบคุม - Generalized Audit Software (GAS) ใช้สาหรับการ ตรวจสอบเนื้อหาสาระ (เช่น โปรแกรม ACL, IDEA) 38 Test Data แบบ Integrated Test Facility (ITF) 39 Substantive Testing: Generalized Audit Software 40 ISACA IS Auditing Standards Framework • Standards • Guidelines • Procedures www.isaca.org/standards 41 42 COSO Models Internal Controls vs. Risk Management Business Unit Subsidiary Internal Environment Event Identification Risk Assessment Risk Response Control Activities Entity-Level Division Objective Setting Information and Communication Monitoring 43 COBIT Framework Definition Business Requirements IT Processes IT Resources BUSINESS BUSINESS REQUIREMENTS REQUIREMENTS IT IT PROCESSES PROCESSES IT IT RESOURCES RESOURCES “To provide the information that the organisation needs to achieve its objectives, IT resources need to be managed by a set of naturally grouped processes.” WHY A process orientation is a proven management approach to efficiently exercise responsibilities, achieve set goals and reasonably manage risks. 44 COBIT: An IT control framework HOW DO THEY RELATE ? The resources made available to, and built up by, IT IT Resources How IT is organised to respond to the requirements IT Processes Data Plan and organise Information systems Aquire and implement Technology Deliver and Facilities support Human resources Monitor and evaluate What the stakeholders expect from IT Business Requirements Effectiveness Efficiency Confidentiality Integrity Availability Compliance Information reliability 45 Business Requirements Business Requirements Quality Requirements: • Quality • Delivery • Cost Security Requirements • Confidentiality • Integrity • Availability Fiduciary Requirements (COSO Report) • Effectiveness and efficiency of operations • Compliance with laws and regulations • Reliability of financial reporting IT Processes IT Resources Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability of information 46 Business Requirements Business Requirements IT Processes IT Resources Effectiveness –Deals with information being relevant and pertinent to the business process as well as being delivered in a timely, correct, consistent and usable manner Efficiency –Concerns the provision of information through the optimal (most productive and economical) usage of resources Confidentiality –Concerns protection of sensitive information from unauthorised disclosure Integrity –Relates to the accuracy and completeness of information as well as to its validity in accordance with the business‘s set of values and expectations Availability –Relates to information being available when required by the business process, and hence also concerns the safeguarding of resources Compliance –Deals with complying with those laws, regulations and contractual arrangements to which the business process is subject, i.e., externally imposed business criteria Reliability of information–Relates to systems providing management with appropriate information for it to use in operating the entity, providing financial reporting to users of the financial information, and providing information to report to regulatory bodies with regard to compliance with laws and regulations 47 COBIT Framework M1 M2 M3 M4 Monitor the process Assess internal control adequacy Obtain independent assurance Provide for independent audit PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage human resources PO8 Ensure compliance with external requirements PO9 Assess risks PO10 Manage projects PO11 Manage quality Criteria • • • • • • • Effectiveness Efficiency Confidenciality Integrity Availability Compliance Reliability IT RESOURCES • • • • • Data Application systems Technology Facilities People PLAN AND ORGANISE MONITOR AND EVALUATE DS1 Define service levels DS2 Manage third-party services DS3 Manage peformance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and attribute costs DS7 Educate and train users DS8 Assist and advise IT customers DS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations ACQUIRE AND IMPLEMENT DELIVER AND SUPPORT AI1 AI2 AI3 AI4 AI5 AI6 Identify automated solutions Acquire and mantain application software Acquire and maintain technology infrastructure Develop and maintain IT procedures Install and accredit systems Manage changes 48 Management Guidelines Framework Process Description Information Criteria The control of IT Processes which satisfy Business Requirements is enabled by Control Statements Resources and considers Control Practices Critical Success Factors Key Goal Indicators Key Performance Indicators Maturity Model 0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. 2 - Processes follow a regular pattern. 3 - Processes are documented and communicated. 4 - Processes are monitored and measured. 5 - Best practices are followed and automated. 49 Critical Success Factors Definitions Are the most important things to do to increase the probability of success of the process Are observable—usually measurable—characteristics of the organisation and process Focus on obtaining, maintaining and leveraging capability, skills and behaviour The co ntr ol of IT P roces ses which sa tis fy Bus ines s Requirements is en ab led b y Control Statements a nd co ns id ers Cont rol P ract ices 50 Maturity Models Definitions Refer to business requirements (KGIs) and the enabling aspects (KPIs) at the different levels Are a scale that lend themselves to pragmatic comparison, where the difference can be made measurable in an easy manner Are recognisable as a profile of the enterprise in relation to IT governance and control Assist in determining as-is and to-be positions relative to IT governance and control maturity and analyse the gap Are not industry-specific nor generally applicable. The nature of the business determines what is an appropriate level. 51 Maturity Models Usage Nonexistent Initial Repeatable Defined Managed Optimised 0 1 2 3 4 5 Legend for Symbols Used Enterprise current status International standard guidelines Industry best practice Enterprise strategy Legend for Rankings Used 0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. 2 - Processes follow a regular pattern. 3 - Processes are documented and communicated. 4 - Processes are monitored and measured. 5 - Best practices are followed and automated. 52 How Audit Guidelines and All Other COBIT Elements Are Linked Business requirements information IT Processes Control Objectives Critical Success Factors Key Performance Indicators Key Goal Indicators Maturity Models Audit Guidelines Control Practices = takes into consideration 53 IT Governance Domains 1. Strategic alignment of IT with the business 2. Value delivery of IT 3. Management of IT risks 4. IT resource management 5. Performance measurement of IT 54 55 ISO 17799 • ISO 17799 ได้มีการเปลี่ยนชื่อเป็ น ISO 27002 • เป็ นการระบุการควบคุมที่เป็ นไปได้ (potential controls) และ กลไกการควบคุม (control mechanisms) จานวนนับ ร้อยที่อาจมีการนามาใช้ ตามแนวทางที่กาหนดไว้ใน ISO 27001 56 ISO 27001 Information technolgoy - Security techniques – Information Security Management Systems – Requirements • เป็ นข้อกาหนดในการจัดระบบให้มีความมัน่ คงปลอดภัยตาม มาตรฐาน โดยมีวตั ถุประสงค์เพื่อ Confidentiality, Integrity และ Availability (CIA) ของสารสนเทศ 57 ISO 27001 และ ISO 27002 • มาตรฐานทั้งสองนี้กาหนดขึ้นมาเพื่อให้ใช้ร่วมกัน โดย ISO 27001 เป็ นข้อกาหนดสิ่ งที่องค์กรต้องปฏิบตั ิ ส่ วน ISO 27002 เป็ น good practice ที่องค์กรควรปฏิบตั ิ 58 ISO 27002 Content sections สงิ่ ทีร่ ะบบควรมี 1. Structure 2. Risk Assessment and Treatment 3. Security policy – มีนโยบายเรือ ่ งความปลอดภัย 4. Organization of information security – จัด โครงสร ้างด ้านความปลอดภัย 5. Asset classification and control – การจัดการ ิ ทรัพย์ สน 59 ISO 27002 Content sections (ต่อ) 6. Personnel security - มีระบบรักษาความปลอดภัย ของบุคลากร 7. Physical and environmental security – ความ ปลอดภัยของสภาพแวดล ้อม 8. Communications and operation management ื่ สารและดาเนินงาน การจัดการสอ 9. Access control – การควบคุมการเข ้าถึงระบบ ทัง้ Hardware และ software 60 ISO 27002 Content sections (ต่อ) 10. Systems development and maintenance การพัฒนาและปรับเปลีย ่ นระบบ 11. Information Security Incident Management 12. Business continuity management – การ ่ ระบบสารอง บริหารความต่อเนือ ่ งของธุรกิจ เชน 13. Compliance – การปฏิบต ั ต ิ ามกฎหมาย และ ระเบียบที่ เกีย ่ วข ้อง 61 เว็บไซต์ทเี่ กีย ่ วข ้อง • • • • • http://www.isaca.org http://www.isaca-bangkokchapter.org http://www.aicpa.org http://www.theiia.org http://www.ITaudit.org 62 องค์กรที่เกี่ยวข้ องกับ information security • SANS (SysAdmin, Audit, Network, Security Institute) http://www.sans.org • Computer Security Resource Center http://csrc.nist.gov/publications/nistpubs/index.html • Center for Internet Security (CIS) http://www.cisecurity.org • Microsoft Security Guidance Center http://www.microsoft.com/security.guidance/ default.mspx 63 เอกสารอ ้างอิง • Hall, James. Information Technology Auditing, 3 ed., SouthWestern, 2011. • Senft, Sandra and Frederick Gallegos. Information Technology Control and Audit, 3 ed., New York: CRC Press, 2009. • Weber, Ron. Information Systems Control and Audit, New Jersey: Prentice Hall, 1999. • www.iso27000.org/iso-27002.htm 64
