การตรวจสอบและการควบคุมด้านคอมพิวเตอร์ทางบัญชี images

บทที่ 1: ความรู้ทั่วไปเกี่ยวกับระบบสารสนเทศ

👥 ระบบสารสนเทศทางการบัญชี (Accounting Information System: AIS) เป็นระบบสารสนเทศทางบัญชีที่ใช้โปรแกรมระบบงานบัญชีในการบันทึก ประมวลผล
จัดประเภท วิเคราะห์ และจัดทำรายงาน เช่น ระบบงานบัญชีรายได้ ประกอบด้วย ระบบงานย่อยในการรับคำสั่งซื้อ การส่งมอบสินค้า การจัดทำบิล การเรียกเก็บหนี้ เป็นต้น 

                                       🚩 การใช้เทคโนโลยีสารสนเทศในธุรกิจในปัจจุบัน ตัวอย่างเช่น
  • การพาณิชย์อิเล็กทรอนิกส์: ใช้อินเทอร์เน็ตในการสื่อสารและติดต่อเชิงพาณิชย์
  • ระบบงานการวางแผนทรัพยากรองค์กร: ระบบงานในการบันทึกและประมวลผลที่ประกอบด้วยหลาย ๆ ระบบงานย่อย
  • การบริหารความรู้สารสนเทศ: เป็นวิชาการแขนงใหม่ที่ประกอบด้วย การจัดการปริมาณข้อมูล คุณภาพข่าวสาร การได้มา การสังเคราะห์
    เผยแพร่ความรู้ และการสร้างมูลค่าเพิ่มจากความรู้
  • เครื่อข่ายไร้สาย: เป็นการใช้เทคโนโลยีการสื่อสารทางคลื่นวิทยุในการติดต่อรับส่งข้อมูล
  • ระบบสำนักงานอัตโนมัติ: เป็นระบบสารสนเทศเพื่อการสื่อสารภายในสำนักงาน เพื่อเพิ่มประสิทธิภาพและช่วยในการบริหารสำนักงาน
  • การประมวลผลบนระบบคลาวด์: เป็นความต้องการของผู้ใช้ โดยผู้ใช้จะเป็นผู้เช่าหรือซื้อบริการจากระบบคลาวด์คอมพิวเตอร์
  • การวิเคราะห์ข้อมูลเชิงลึก หรือการวิเคราะห์ข้อมูลปริมารมาก: เป็นการวิเคราะห์ข้อมูลที่มีปริมาณมาก :
 ✏ วัตถุประสงค์หลักในการควบคุมด้านเทคโนโลยีสารสนเทศ เพื่อสร้างความเชื่อมั่นเรื่องต่อไปนี้
  • ความครบถ้วนถูกต้อง หรือความคงสภาพของข้อมูล
  • การรักษาความลับ จะต้องได้รับการเก็บรักษาความลับทั้งจากผู้ใช้งานภายในและภายนอกองค์กร
  • การพร้อมใช้งาน คือ การควบคุมเพื่อให้มั่นใจว่าระบบเทคโนโลยีสารสนเทศและการสื่อสารต่าง ๆ พร้อมที่จะใช้งาน
  🔒 การควบคุมและการตรวจสอบระบบสารสนเทศ
  • การควบคุมด้านคอมพิวเตอร์
  • เทคนิคการตรวจสอบด้านคอมพิวเตอร์
  • มาตรฐานการตรวจสอบที่เกี่ยวข้อง

บทที่ 2: ความเสี่ยงและการควบคุมด้านเทคโนโลยีสารสนเทศ

ความเสี่ยง หมายถึง ความไม่แน่นอนของเหตุการณ์ที่อาจเกิดขึ้น ซึ่งหากเกิดขึ้นจะมีผลกระทบทางด้านลบ ส่งผลให้ไม่บรรลุวัตถุประสงค์ที่ต้องการ ซึ่งแบ่งออกเป็น 3 ประเภท ได้แก่ ความเสี่ยงด้านธุรกิจ, ความเสี่ยงด้านเทคโนโลยีสารสนเทศ และความเสี่ยงด้านการตรวจสอบ

💥 การควบคุมด้านเทคโนโลยีสารสนเทศ หมายถึง กระบวนการหรือกิจกรรมที่สร้างความมั่นใจในความถูกต้องเชื่อถือได้ของสารสนเทศและการให้บริการด้านสารสนเทศ ซึ่งแบ่งออกเป็น 3 ประเภท ดังนี้

  1. การควบคุมทั่วไปกับการควบคุมระบบงาน ตัวอย่างเช่น
    • นโยบายการบริหารจัดการด้านความปลอดภัย
    • การบริหารการเปลี่ยนแปลง
    • การบริหารการจัดหาและการนำระบบมาใช้งาน
    • การแบ่งแยกหน้าที่ของแต่ละฝ่าย
    • การรายงานสื่งผิดปกติที่เกิดในระบบงาน
  2. การควบคุมตามวัตถุประสงค์หรือหน้าที่ ได้แก่ การควบคุมแบบป้องกัน, แบบค้นพบ
    และแบบแก้ไข ตัวอย่างเช่น
    • การควบคุมการเข้าถึงของข้อมูล
    • การมีระบบติดตามและวิเคราะห์รายการหรือกิจกรรมที่ผิดปกติ
    • การปฏิเสธไม่ยอมรับข้อมูลเข้าระบบทันทีที่เกิด
  3. การควบคุมตามระดับการบริหาร ได้แก่ การควบคุมระดับการกำกับดูแล, ระดับการ
    บริหาร และระดับเทคนิค ตัวอย่างเช่น
    • การกำหนดรูปแบบและวิธีการรายงานที่ฝ่ายบริหารจะต้องรายงานต่อคณะกรรมการของกิจการ
    • การสร้างสภาพแวดล้อมการควบคุมด้านเทคโนโลยีสารสนเทศ
    • การระบุผู้ใช้และความมีตัวตนจริง

👥 ดังนั้นกล่าวได้ว่า การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ และการกำกับดูแลด้านเทคโนโลยีสารสนเทศ ในปัจจุบันมีความสำคัญมาก และเป็นความรับผิดชอบของคณะกรรมการกำกับดูแลและฝ่ายบริหารระดับสูง ในการจัดบริหารให้เกิดมูลค่าเพิ่ม เป็นที่น่าเชื่อถือต่อผู้มีส่วนเกี่ยวข้องในการดำเนินงานขององค์กรตามหลักการกำกับดูแลที่ดี ซึ่งสถาบัญวิชาชีพได้พัฒนากรอบการควบคุมด้านเทคโนโลยีสารสนเทศ เป็นกรอบงานที่ใช้อ้างอิงได้สากล โดยผู้บริหารสามารถใข้เป็นแนวทางในการพัฒนา และผู้ตรวจสอบสามารถใช้เป็นแนวทางในการตรวจสอบได้

กรอบงานการควบคุมแนว COSO เป็นรูปสี่เหลี่ยมลูกบาศก์ด้านหน้าจะแสดงองค์ประกอบการควบคุม 5 ด้าน ได้แก่

  1. สภาพแวดล้อมของการควบคุม (Control Environment)
  2. การประเมินความเสี่ยง (Risk Assessment)
  3. กิจกรรมการควบคุม (Control Activities)
  4. สารสนเทศและการสื่อสาร (Information and Communication)
  5. การติดตามผล (Monitoring)

บทที่ 3: การควบคุมทั่วไปด้านไอทีและการตรวจสอบ

💥 การควบคุมทั่วไปด้านไอที หมายถึง นโยบายและวิธีปฏิบัติงานที่เกี่ยวข้องกับหลายระบบงาน และสนับสนุนให้การควบคุมระบบงานมีประสิทธิผล โดยช่วยให้มั่นใจเกี่ยวกับการปฏิบัติงานในระบบสารสนเทศอย่างต่อเนื่อง รวมถึงการควบคุมในศูนย์ข้อมูล การปฏิบัติการของระบบเครือข่าย การรักษาความปลอดภัยด้านการเข้าถึง การจัดหาการเปลี่ยนแปลงและบำรุงรักษาซอฟต์แวร์ระบบและโปรแกรมระบบงาน

ตัวอย่างวัตถุประสงค์ ความเสี่ยงและปัจจัยเสี่ยงของการควบคุมทั่วไป

1. การรักษาความลับ

2, การคงสภาพ หรือความครบถ้วนถูกต้องของข้อมูลสารสนเทศ

3. การพร้อมใช้งาน

4. ประสิทธิภาพของระบบ

5. ประสิทธิผล หรือความสำเร็จตามแผนที่ต้องการ

บทที่ 4: ระบบเครือข่ายและเทคโนโลยีการสื่อสารและการตรวจสอบ

😃 โดยรวมในบทนี้จะเรียนเกี่ยวกับระบบการปฏิบัติการเครือข่าย (NetWare) จะเป็นเรื่องความเสี่ยงการรับ - ส่งข้อมูล ความไม่ครบถ้วน การรั่วไหล และการบุกรุกโจมตีเครือข่าย เป็นต้น ซึ่งระบบเครือข่ายเป็นระบบที่มีแนวโน้มของการพัฒนาใช้งานสูงสุด เนื่องจากสะดวกและเสียค่าใช้จ่ายไม่มาก แต่ก็มีข้อเสียในเรื่องถัยอันตรายที่มาจากการบุกรุกโจมตี การเกิดไวรัส ดังนั้นกิจการควรมีระบบการป้องกันทางเครือข่ายที่ดี มีระบบรักษาความปลอดภัยที่มีประสิทธิภาพ อย่างเช่น ควรมีระบบกำแพงไฟ ทำให้ยากต่อการบุกรุก 

              👤 ประเภทระบบเครือข่าย มีดังนี้
  1. LAN: Local Area Network เป็นเครือข่ายรับส่งในอาคาร
    ระยะส่งประมาณ 100 เมตร
  2. MAN: Metropolitan Area Network เป็นเครือข่ายรับส่งภายในพื้นที่เมืองหรือในประเทศ ระยะรับส่งประมาณ 10 กิโลเมตร
  3. WAN: Wide Area Network เป็นเครือข่ายรับส่งระหว่างประเทศ ระยะรับส่งประมาณ 10,000 กิโลเมตร
                            🚩 เทคโนโลยีและอุปกรณ์เครือข่าย
  1. รูปแบบในการเชื่อมต่อเครือข่าย: การออกแบบสายสื่อสารที่ใช้ในการเชื่อมจุดต่าง ๆ ในเครือข่าย ทำได้หลายรูปแบบ เช่น แบบบัส, แบบวงแหวน, แบบเมซ และแบบดาว
  2. โพรโทคอล: ช่วยให้การสื่อสารระหว่างระบบเครือข่ายถูกต้องครบถ้วน สามารถระบุวิธีการและกฎเกณฑ์ที่ถูกต้องในการส่ง - รับข้อมูล และการสื่อสาร
  3. แบบจำลองและลำดับชั้นของเครือข่ายมาตรฐาน: จะแบ่งออกเป็น 7 ลำดับ ได้แก่ Application, Presentation, Session, Transport, Network, Data Link และ Physical
  4. อุปกรณ์เครือข่าย: จะแบ่งออกเป็น 5 อย่าง ได้แก่ ฮับ (Hubs), บริดจ์ (Bridge), เราท์เตอร์ (Router), เกตเวย์ (Gateway) และ เน็ตเวิร์คสวิตซ์ (Switch)
                                                              🔓 การควบคุมการรับส่งสื่อสารข้อมูล
  1. การควบคุมโดยอุปกรณ์ซอฟต์แวร์และระบบการสื่อสาร เช่น สายใยแก้ว ระบบไมโครเวฟ ระบบดาวเทียว ฯลฯ
  2. เทคนิดการตรวจพบและแก้ไขข้อผิดพลาด ได้แก่ การตรวจทานซ้ำหรือการสะท้อนกลับ, การตรวจพาริบิตี้บิต และการแก้ไขข้อผิดพลาด
  3. การควบคุมโดยการเข้ารหัสลับ ได้แก่ การสลับลำดับ, การแทนที่ และการแปลงรหัสหรือการสร้างกุญแจข้อมูล
  4. การใช้ลายมือชื่ออิเล็กทรอนิกส์ลายเซ็นดิจิตอล

บทที่ 5: การจัดการข้อมูลและการตรวจสอบ

✅ โดยรวมในบทนี้ จะเรียนเกี่ยวกับวิธีการจัดเก็บข้อมูล มีวิธีอย่างไร ? และ เรื่องของ Dataware ที่บอกเกี่ยวกับความเสี่ยงของการจัดเก็บข้อมูล ไม่ได้มาตรฐาน ซ้ำซ้อน และการบันทึก แก้ไข ลบ ที่ไม่ได้รับอนุญาต

🌼 การประมวลผลข้อมูล ประกอบด้วยการบันทึกนำเข้า การประมวลผลตามขั้นตอนต่าง ๆ และการปรับยอดในแฟ้มข้อมูลหลักให้เป็นปัจจุบัน ซึ่งแต่ละขั้นตอนมีความสำคัญและต้องได้รับการควบคุม

แฟ้มข้อมูล

เป็นที่จัดเก็บสารสนเทศที่ผ่านการประมวลผลแล้ว สามารถแยกเป็นแฟ้มข้อมูลที่สำคัญ ได้ดังนี้

  1. แฟ้มข้อมูลหลัก
  1. แฟ้มข้อมูลรายการ

บทที่ 6: การควบคุมระบบงานและการตรวจสอบ

วัตถุประสงค์ของการควบคุมระบบงาน คือ การได้ข้อมูลสารสนเทศจากระบบงานที่ถูกต้อง ครบถ้วน เชื่อถือได้ ทันกาล เป็นประโยชน์เกี่ยวข้องกับการบริหารตัดสินใจ และมีการเก็บรักษาที่ปลอดภัย
ความเสี่ยงของการของการควบคุมระบบงาน คือ ข้อมูลสารสนเทศจากระบบงานที่ไม่ครบถ้วน ไม่ถูกต้อง ไม่น่าเชื่อถือได้


การควบคุมระบบงาน มีหลายวิธีแบ่งตามขั้นตอนในการบันทึกข้อมูลนำเข้า การประมวลผล และข้อมูลผลลัพธ์ ซึ่งผู้ตรวจสอบต้องเข้าใจว่าในระบบงานนั้น ๆ

ประเภทของการควบคุมระบบงาน สามารถจัดเป็น 4 ประเภท ดังนี้

1. การควบคุมการนำเข้าข้อมูล (Input Controls) เช่น การสร้างและการบันทึกนำเข้าข้อมูล

3. การควบคุมข้อมูลผลลัพธ์ (Output Controls) เช่น การนำส่งรายงานและแฟ้มข้อมูลผลลัพธ์

2. การควบคุมการประมวลผล (Processing Controls) เช่น การประมวลผลรายการค้า

4. การรักษาความปลอดภัยในระบบงาน (Application Security Controls) เช่น แฟ้มทะเบียน การสื่อสาร การจัดเก็บข้อมูล ฯลฯ

บทที่ 7 กระบวนการตรวจสอบระบบสารสนเทศตามความเสี่ยง

การตรวจสอบสมัยใหม่เป็นการตรวจสอบผลการประเมินความเสี่ยง ซึ่งในกระบวนการตรวจสอบ ผู้ตรวจสอบต้องมีการประเมินความเสี่ยงและใช้วิธีการตรวจสอบที่ตอบสนองตามผลประเมินความเสี่ยง โดยการกำหนดลักษณะวิธีการตรวจสอบ ขอบเขต และเวลาในการตรวจสอบที่เหมาะสม


🧁 สิ่งที่ผู้สอบบัญชีต้องให้ความสนใจ คือ ความถูกต้องของข้อมูลในงบการเงินตามสิ่งที่ผู้บริหารรับรอง เช่น การมีอยู่จริง ความครบถ้วน กรรมสิทธิและภาระผูกพัน และการแสดงมูลค่า ฯลฯ

🍄: ขั้นตอนการตรวจสอบที่สำคัญ มีดังนี้

3. การประเมินความเสี่ยง เป็นการระบุปัจจัยเสี่ยง การจัดลำดับความเสี่ยง และโปรแกรมการตรวจสอบ

2. การทำความเข้าใจ เป็นความเสี่ยงสืบเนื่อง, ความเสี่ยงจากการควบคุม และความเสี่ยงจากวิธีการตรวจสอบ

4. การตรวจสอบเนื้อหาสาระ

6. การปฏิบัติงาน รวบรวมหลักฐาน เป็นวิธีการตอบสนองความเสี่ยง

9. การติดตามผล

5. การทดสอบการควบคุม

8. การแจ้งจุดอ่อนการควบคุมภายใน

1. การวางแผน เป็นการกำหนดวัตถุประสงค์และขอบเขต รวมถึงการกำหนดระดับสาระสำคัญ

7. การรายงานในรายงานสอบบัญชี