Please enable JavaScript.
Coggle requires JavaScript to display documents.
บทที่ 2 ความเสี่ยงและการควบคุมด้านเทคโนโลยีสารสนเทศ - Coggle Diagram
บทที่ 2 ความเสี่ยงและการควบคุมด้านเทคโนโลยีสารสนเทศ
กรอบงานการควบคุมด้านเทคโนโลยีสารสนเทศ
กรอบงาน หมายถึง แนวคิดวัตถุประสงค์ ระบบ โมเดล โครงสร้างและองค์ประกอบด้านต่างๆที่สถาบันวิชาชีพกำหนดขึ้น
กรอบงานการควบคุมภายในตามแนว COSO
1)สภาพแวดล้อมโครงการควบคุม
2)การประเมินความเสี่ยง
3)กิจกรรมการควบคุม
4)สารสนเทศและการสื่อสาร
5)การติดตามผล
หลักการควบคุมด้านเทคโนโลยีตามกรอบงาน COSO
1.การพิจารณาใช้เทคโนโลยีในกระบวนการธุรกิจและการควบคุมทั่วไป
2.การเลือกและพัฒนากิจกรรมควบคุมด้านโครงสร้างเทคโนโลยี
3.การเลือกและพัฒนากิจกรรมควบคุมด้านความปลอดภัย
4.การเลือกและพัฒนากิจกรรมควบคุมด้านการจัดหา การพัฒนา การบำรุงรักษากระบวนการควบคุม
กรอบงานโคบิต
เป็นกรอบงานและแนวปฏิบัติที่ดีที่สุดด้านเทคโนโลยีที่ใช้อ้างอิงระดับสากลทั่วโลก ประกอบด้วยแนวคิดและกลยุทธ์ในการกำกับดูแลการบริหารความเสี่ยงการควบคุมด้านเทคโนโลยีสารสนเทศ
สัญลักษณ์ของกรอบงานโคบิต
สัญญาลักษณ์ด้านบน
1.ประสิทธิภาพ หมายถึง มีการใช้ข้อมูลอย่างได้ผลสามารถส่งมอบข้อมูลให้แก่ผู้ใช้ได้อย่างถูกต้อง
2.ประสิทธิภาพ หมายถึง มีการใช้ประโยชน์จากทรัพยากร
3.การรักษาความลับ หมายถึง มีการป้องกันการเปิดเผยข้อมูล
4.ความสมบูรณ์ของข้อมูล หมายถึง ความถูกต้องตรงกันและความครบถ้วนสมบูรณ์
5.ความพร้อมใช้งานของข้อมูล หมายถึง การที่สามารถเรียกใช้ข้อมูลสารสนเทศได้ตรงเวลาเมื่อผู้ใช้ต้องการ
6.การปฏิบัติตามกฎระเบียบ หมายถึง การที่องค์กรปฏิบัติตามกฎระเบียบข้อบังคับหลักเกณฑ์ข้อตกลง
7.ความน่าเชื่อถือของข้อมูล หมายถึง ข้อมูลเหมาะสมและเชื่อถือได้
สัญญาลักษณ์ด้านข้าง
1.บุคลากร
2.ข้อมูล
3.ระบบงานประยุกต์
4.โครงสร้างพื้นฐาน
สัญญาลักษณ์ด้านหน้า
1.การวางแผนและการจัดองค์กร
2.การจัดหาและนำระบบออกใช้งานจริง
3.การส่งมอบและการสนับสนุน
4.การติดตามและประเมินผล
ความสัมพันธ์ระหว่างวัตถุประสงค์หลักกับกระบวนการควบคุมของCOBIT
1.การรักษความลับ หมายถึง การรักษาความลับจากผู้ใช้ทั้งภายในและภายนอกกิจการ
2.ความครบถ้วนถูกต้องของข้อมูล หมายถึง สิ่งที่ผู้บริหารให้การรับรอง การเกิดขึ้นจริง กรรมสิทธิ์และข้อผูกพันตามกฎหมาย
3.ความพร้อมใช้งาน เน้นถึงประโยชน์ในการใช้งานการควบคุมด้านไอทีที่เกี่ยวข้อง
มาตรฐานด้านสารสนเทศของCOSO
ได้จัดทำมาตรฐานเกี่ยวกับระบบสารสนเทศอีกหลายมาตรฐาน ซึ่งผู้ตรวจสอบระบบสารสนเทศนิยมนำมาใช้อ้างอิงในการปฏิบัติงาน
การประเมินผลการควบคุม
1.การควบคุมนั้นที่อยู่จริงหรือไม่
2.การควบคุมมีการปฏิบัติตามจริงและทำหน้าที่ได้ผลตามที่กำหนดไว้หรือไม่
3.การควบคุมประกอบด้วยการควบคุมทั้งแบบป้องกันค้นพบและแก้ไข
4.การควบคุมนั้นมีหลักฐานแสดงความคลาดเคลื่อนที่เกิดขึ้น
5.หากระบบการควบคุมล้มเหลว มีการควบคุมใดที่ชดเชย
6.มีการสร้างระบบร่องรอยและจัดเก็บหลักฐานไว้หรือไม่
การตรวจสอบความสัมพันธ์ของความเสี่ยงและการควบคุม
ตารางความเสี่ยงและการควบคุม หรือตารางการควบคุม เป็นเครื่องมือที่ช่วยสร้างความมั่นใจว่า ทุกความเสี่ยงหลักมีการควบคุมหลักอย่างเหมาะสมแล้วหรือไม่