Please enable JavaScript.
Coggle requires JavaScript to display documents.
บทที่ 2 ความเสี่ยงและการควบคุมด้านเทคโนโลยีสารสนเทศ - Coggle Diagram
บทที่ 2 ความเสี่ยงและการควบคุมด้านเทคโนโลยีสารสนเทศ
ความเสี่ยง
หมายถึง ความไม่แน่นอนของเหตุการณ์ที่อาจเกิดขึ้น ซึ่งจะมีผลกระทบทางลบ
ประเภทของความเสี่ยง
ความเสี่ยงด้านธุรกิจ หมายถึง ความเสี่ยงด้านสารสนเทศที่มีผลต่อธุรกิจ
ความเสี่ยงด้านเทคโนโลยีสารสนเทศ หมายถึง ความเสี่ยงที่เกิดในระบบเทคโนโลยีสารสนเทศ
ความเสี่ยงด้านการตรวจสอบ หมายถึง ความเสี่ยงที่ผู้ตรวจสอบอาจแสดงความคิดเห็นผิดจากข้อเท็จจริง
1)ความเสี่ยงสืบเนื่อง (Inherent Risk)
2)ความเสี่ยงจากการควบคุมหรือความเสี่ยงคงเหลือ (Control Risk or Residual Risk)
3)ความเสี่ยงจากวิธีการตรวจสอบ(Detective Risk)
การควบคุมด้านเทคโนโลยีสารสนเทศ
หมายถึง กระบวนการหรือกิจกรรมที่สร้างความมั่นใจในความถูกต้องเชื่อถือได้ของสารสนเทศและการให้บริการด้านสารสนเทศ
ประเภทของการควบคุมด้านเทคโนโลยีสารสนเทศ
1.การควบคุมทั่วไปกับการคุมระบบงาน
1.1 การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (IT General Controls) หมายถึง การควบคุมทั่วไปที่เกี่ยวกับสภาพแวดล้อมของควบคุม การควบคุมทางนโยบาย การบริหาร และการควบคุมด้านโครงสร้างทางเทคนิค
1.2 การควบคุมระบบงาน (Application Controls) หมายถึง การควบคุมที่มีเฉพาะในแต่ละระบบงาน เพื่อควบคุมความถูกต้องครบถ้วนข้อมูล ระหว่างการนำเข้า การประมวลผล
2.การควบคุมตามวัตถุประสงค์หรือหน้าที่
2.1 การควบคุมแบบป้องกัน (Preventive Controls) หมายถึง การควบคุมที่สร้างขึ้นเพื่อป้องกันความผิดพลาด
2.2 การควบคุมแบบค้นพบ (Detective Controls) หมายถึง การควบคุมที่สร้างขึ้นเพื่อค้นพบความผิดพลาด
2.3 การควบคุมแบบแก้ไข (Corrective Controls) หมายถึง การควบคุมที่สร้างขึ้นเพื่อแก้ไขความผิดพลาด
3.การควบคุมตามระดับของผู้รับผิดชอบ
3.1 การควบคุมระดับการกำกับดูแล (Governance Controls) หมายถึง การควบคุมโดยคณะกรรมการองค์กรผู้บริหารระดับสูงของกิจการ
3.2 การควบคุมระดับการบริหาร หมายถึง การควบคุมที่ฝ่ายบริหารภายใต้การกำกับดูแลของคณะกรรมการองค์กร
3.3 การควบคุมระดับเทคนิค หมายถึง การควบคุมในระดับรายละเอียดเพื่อสร้างความเชื่อถือของการควบคุมที่ไม่ได้อยู่ในความรับผิดชอบในระดับสูง
การจัดการควบคุมตามระดับความเสี่ยง
การจัดการควบคุมระดับความเสี่ยง มีแนวทางปฏิบัติหลายแนวทาง เช่น การควบคุมด้านเทคโนโลยีสารสนเทศขั้นพื้นฐาน การจัดให้ระดับการควบคุมเท่ากับระดับความเสี่ยง
การควบคุมด้านเทคโนโลยีสารสนเทศขั้นพื้นฐาน
เป็นการควบคุมเกี่ยวกับโครงสร้างระบบเทคโนโลยีสารสนเทศพื้นฐาน ที่มีผลกระทบระดับกว้างหรือกระทบต่อวัตถุประสงค์โดยรวม
ความสำคัญของการประเมินความเสี่ยงและการควบคุม
ความรับผิดชอบของผู้บริหารในการจัดให้มีการควบคุมภายในในการจัดทำรายงานทางการเงินที่เพียงพอ
กรอบการประเมินประสิทธิผลของการควบคุมในการจัดทำรายงานทางการเงิน
การประเมินประสิทธิผลของการควบคุมภายใน
การเปิดเผยข้อมูลที่เป็นจุดอ่อน
ความเป็นอิสระของผู้สอบบัญชีรายงานการประเมิน
รายงานของผู้สอบบัญชีการตรวจสอบการประเมินประสิทธิผลของการควบคุมภายในโดยผู้บริหาร