<เชิญดู บทนำ ซึ่งชี้แจงวัตถุประสงค์ของเนื้อหาในหมวด IT Auditing>
<สารบัญ (กำลังตามมาใน 2-3 อาทิตย์)>
ความหมายและวัตถุประสงค์ขององค์กร
ISACA (Information Systems Audit and Control Association) เป็นองค์กรในเครือของ IFAC ที่ดูแลเกี่ยวกับมาตรฐานและการทดสอบสำหรับสายงานทางด้านการตรวจสอบและการควบคุมระบบ IT
กิจกรรมและชิ้นงานที่เป็นที่รู้จักในวงกว้าง
- จัดทำการทดสอบรับรองความเชี่ยวชาญทางด้าน IT Audit โดยการรับรองที่เป็นที่รู้จักกันดีคือ CISA (Certified Information Systems Auditor) ซึ่งถ้าเทียบกับสายงาน Audit ทางบัญชี "เหมือนจะ" เทียบเท่า CPA (Certified Public Accountant) ของ AICPA
- นอกจากนัันจะมี CISM, CRISC, และ CGEIT แต่ไม่เป็นที่นิยมแพร่หลายในปัจจุบัน เนื่องจากหัวข้อดังกล่าวเน้นไปทางสายงานบริหารไม่ใช่สายงานผู้เชี่ยวชาญ
- สำหรับความ "เหมือนจะ" กลับไปดูเหตุผลที่ บทนำ ได้ในช่วงที่กล่าวถึง IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals [ลิ๊งค์เอกสาร] หรือคลิ๊ก Link ไปหา Standard ดังกล่าวที่ หน้า 43 หัวข้อ 3.1.4 ซึ่งใจความคือ
- "3.1.4 กรณีที่ทำ IT Audit หากระบบดังกล่าวเกี่ยวกับธุรกรรมทางการเงิน (Financial Transaction) ต้องพิจารณานำมาตรวัดทางสาระสำคัญ (Materiality [ลิ๊งค์นิยาม]) ของการทำ Financial Audit มาประกอบกับการ IT Audit ระบบดังกล่าวด้วย"
- CObIT [ลิ๊งค์เอกสาร] (Control Objectives for Information and related Technology) Framework ซึ่งเป็นกรอบงานที่แนะนำการ Implement IT Governance ซึ่งถ้าเทียบกับด้านการบัญชีจะเทียบเท่ากับ Internal Control - Integrated Framework [ลิ๊งค์เอกสาร] ของ COSO (Committee of Sponsoring Organisations of the Treadway Commission’s) หรือใน Version ที่ใหม่กว่าจะเป็น Enterprise Risk Management - Integrated Framework [ลิ๊งค์เอกสาร]
- ในเอกสารของทาง CObIT หน้า 5 ย่อหน้าที่ 4 กล่าวว่า Framework ของ COSO (หรือของสถาบันอื่นเทียบเท่า) จะเป็น Internal Control Framework ของทั้งองค์กร (Enterprise) ส่วน CObIT จะเป็น Internal Control [ลิ๊งค์นิยาม] Framework ของแผนก IT
- ตัวอย่างของ Internal Control เช่น Segregation of Duties, Input Validation, Business Continuity Plan ฯลฯ
- IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals [ลิ๊งค์เอกสาร] ซึ่งเป็นมาตรฐานที่จัดทำขึ้นเพื่อให้ผู้เป็น CISA รวมทั้งผู้ที่เกี่ยวข้องในการ Audit มีหลักเกณฑ์ที่ชัดเจนว่าจำเป็นต้องพิจารณาทำการ IT Audit ในหัวข้อใดบ้าง โดยจะมีการอ้างอิงถึง CObIT ในแต่ละหัวข้อภายใน Standard ดังกล่าว
- ในหน้าที่ 6 หัวข้อ IT Audit and Assurance Standards Overview ของ Standard อธิบายแนวทางอย่างชัดเจนของการใช้ CObIT ในการทำ IT Audit ดังนี้
- Control Objectives แต่ละหัวข้อ (เช่น PO9, AI4, DS3 ฯลฯ) อธิบายถึงการควบคุมที่ดีขั้นน้อยที่สุด (minimum good control) ในกระบวนการด้าน IT ที่ต้องการทำ Audit
- Management Guidelines ที่ประกอบ Control Objectives แต่ละหัวข้อจะใช้ประเมินและพัฒนา (assess and improve) สมรรถนะของกระบวนการด้าน IT
- Standard ดังกล่าวจึงสรุปใจความการประยุกต์ใช้ CObIT ว่าสามารถใช้ได้ทั้งการเป็น IT Process Audit และ IT Process Improvement ได้ทั้งสองรูปแบบ
ถ้าต้องการอาจารย์ผู้สอนต้องติดต่อที่ใครคะ
ตอบลบถ้าต้องการอาจารย์ผู้สอนต้องติดต่อที่ใครคะ
ตอบลบ