บทที่ 11 ขั้นตอนและกระบวนการตรวจสอบ IT

(ที่มา : http://intermindconsulting.com)

         เทคโนโลยีสารสนเทศ (Information Technology: IT) หมายถึง  การนำเอาเทคโนโลยีมาใช้สร้างมูลค่าเพิ่มให้กับสารสนเทศทำให้สารสนเทศมีประโยชน์และใช้งานได้กว้างขวางมากขึ้นเทคโนโลยีสารสนเทศรวมไปถึงการใช้เทคโนโลยีด้านต่าง ๆ ที่จะรวบรวม จัดเก็บ ใช้งาน ส่งต่อ หรือสื่อสารระหว่างกัน เทคโนโลยีสารสนเทศเกี่ยวข้องโดยตรงกับเครื่องมือเครื่องใช้ในการจัดการสารสนเทศ ซึ่งได้แก่ เครื่องคอมพิวเตอร์ และอุปกรณ์รอบข้าง ขั้นตอน วิธีการดำเนินการ ซึ่งเกี่ยวข้องกับซอฟต์แวร์ เกี่ยวข้องกับตัวข้อมูล เกี่ยวข้องกับบุคลากร เกี่ยวข้องกับกรรมวิธีการดำเนินงานเพื่อให้ข้อมูลเกิดประโยชน์สูงสุด นอกจากนี้แล้วยังรวมไปถึง โทรทัศน์ วิทยุ โทรศัพท์ โทรสาร หนังสือพิมพ์ นิตยสารต่าง ๆ

เทคโนโลยีสารสนเทศ คือ เทคโนโลยีในการจัดหาและได้มาซึ่งข้อมูลต่างๆ ตลอดจนการสร้างสรรค์ จัดเก็บ แสดงผล แลกเปลี่ยน เผยแพร่และจัดการข้อมูลในรูปแบบเสียง ภาพ ข้อความหรือตัวเลขด้วยการใช้คอมพิวเตอร์และการสื่อสาร

          Information Technology หรือ IT คือ การประยุกต์ความรู้ทางวิทยาศาสตร์มาใช้ในระบบสารสนเทศ ตั้งแต่กระบวนการจัดเก็บ ประมวลผล และการเผยแพร่สารสนเทศ เพื่อช่วยให้ได้สารสนเทศที่มีประสิทธิภาพและรวดเร็วทันต่อเหตุการณ์ โดยเทคโนโลยีสารสนเทศ อาจประกอบด้วย

เครื่องมือและอุปกรณ์ต่างๆ เช่น เครื่องคอมพิวเตอร์ เครื่องใช้สำนักงาน อุปกรณ์สื่อสารโทรคมนาคมต่างๆ รวมทั้งซอฟท์แวร์ทั้งแบบสำเร็จรูปและแบบพัฒนาขึ้นเพื่อใช้ในงานเฉพาะด้าน ซึ่งเครื่องมือเหล่านี้จัดเป็นเครื่องมือทันสมัย และใช้เทคโนโลยีระดับสูง (High Technology)

กระบวนการในการนำอุปกรณ์เครื่องมือต่างๆ ข้างต้นมาใช้งาน เพื่อรวบรวม จัดเก็บ ประมวลผล และแสดงผลลัพธ์เป็นสารสนเทศในรูปแบบต่างๆ ที่สามารถนำไปใช้ประโยชน์ได้ต่อไป เช่น การจัดเก็บข้อมูลในลักษณะของฐานข้อมูล เป็นต้น

(ที่มา : http://5704235mos.wordpress.com)

IT Audit

ทำไม..ต้องมี IT Audit เข้ามาเกี่ยวข้องในการตรวจสอบบัญชี

ปัจจุบันในยุค 4.0 หลายท่านคงได้ทราบข่าวกันมาบ้างแล้วว่า การใช้งานระบบ IT มีผลดีต่อธุรกิจ แต่ก็ต้องยอมรับว่า IT ก็มีความเสี่ยงต่อธุรกิจเช่นกัน ดังนั้นจึงต้องมีระบบควบคุมรักษาความปลอดภัย รวมถึง มี IT Audit ที่วางใจได้

          ในปีที่ผ่านมามีระบบ IT ของหลายองค์กรถูกคุกคาม บุกรุกเข้าไปในระบบ เข้าไปทำให้ระบบใช้งานไม่ได้บ้าง เข้าไปเปลี่ยนแปลงโปรแกรมและแก้ไขข้อมูลทางด้านการเงินจนสร้างความเสียหายให้กับองค์กรเป็นจำนวนหลายสิบล้านบาท หรือทำการบุกรุกเพื่อโจรกรรมข้อมูล ลักลอบดักฟังข้อมูลที่เป็นความลับขององค์กร ยิ่งนับวันความเสี่ยงด้าน IT ก็ยิ่งพัฒนาเพิ่มมากขึ้น จึงมีความจำเป็นที่แต่ละองค์กรจะต้องมีระบบควบคุมและรักษาความปลอดภัยที่ดี เพื่อหลีกเลี่ยงจากความเสี่ยงต่าง ๆ

เนื่องจากข้อมูลบัญชีและการเงินของแต่ละองค์กรส่วนใหญ่ต่างก็อยู่บนระบบ IT โดยผู้ดูแลระบบอาจจะเป็นเจ้าหน้าที่บัญชี หรือเจ้าหน้าที่ IT โดยมักไม่ค่อยมีความชำนาญในการควบคุมดูแลรักษาข้อมูลอย่างเป็นแบบแผน เนื่องจากขาดความเข้าใจในการควบคุมภายในที่มีระบบ ระเบียบซับซ้อน ดังนั้นในการตรวจสอบบัญชีจึงต้องอาศัยบทบาทของผู้ตรวจสอบ IT เข้ามาช่วยประเมินและควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศของหน่วยงานหรือองค์กร เพื่อสร้างความเชื่อมั่นอย่างมีเหตุผลต่อฝ่ายบริหารในการจัดการ ควบคุม และการรักษา

ความปลอดภัยที่ดี

          ความปลอดภัย มีมาตรฐานการป้องกันผู้บุกรุกจากภายนอก มีระบบป้องกันความปลอดภัยของData Center หรือ Data Warehouse และการออกแบบระบบปฏิบัติการที่มีความเหมาะสมหรือตรวจสอบด้าน IT Governance และตรวจสอบเพื่อสนับสนุนการตรวจสอบทางการเงินด้วย โดยการตรวจสอบการเงินจะตรวจสอบการควบคุมที่สำคัญแบบ Manual การตรวจสอบ IT จะตรวจสอบการควบคุมที่สำคัญแบบ Automated

ถ้าให้กล่าวถึงคุณสมบัติหรือบทบาท หน้าที่ที่ IT Auditor ทุกคนต้องมีในแบบสรุปเลยก็คือ

1.ตรวจสอบด้านเทคโนโลยีสารสนเทศ ตามหลักการบริหารความเสี่ยงยุคใหม่ได้สอดคล้องตามมาตรฐานและเทคนิคการตรวจสอบที่เกี่ยวข้องเพื่อสนองความต้องการของผู้บริหารทุกระดับได้

2. วางแผนการตรวจสอบ ตามหลักการบริหารความเสี่ยงทั่วไปและทางด้านเทคโนโลยีสารสนเทศที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรได้อย่างมั่นใจ

3. เข้าใจและสื่อสาร ความหมายของกระบวนการทำงานเทคโนโลยีสารสนเทศในการบริหารจัดการเชิงกลยุทธ์ให้กับบุคคลอื่น

(ที่มา : https://www.daa.co.th)

         

          การลงทุนในเทคโนโลยีสารสนเทศมีมูลค่าเพิ่มขึ้นในทุกปี แต่ก็ยังไม่มีหลักฐานที่แน่ชัดว่าหน่วยงานจะสามารถคืนทุนจากการลงทุนนี้รวมทั้งได้กำไรจากการใช้จ่ายหรือการลงทุนปริมาณมากในเทคโนโลยีสารสนเทศ หน่วยงานต่างๆ ไม่สามารถที่จะระบุจำนวนเงินที่เทคโนโลยีสารสนเทศสร้างให้ได้รวมทั้งก็ไม่สามารถระบุปริมาณค่าใช้จ่ายที่ลดลงเนื่องจากการนำเทคโนโลยีสารสนเทศมาใช้เช่นกันส่วนมากทุกคนจะยอมรับว่าเทคโนโลยีสารสนเทศถูกนำมาช่วยให้การทำงานมี

ระบบสารสนเทศที่ดีและคุ้มค่าต้องมีการตรวจสอบ

          ประสิทธิภาพมากขึ้น เพราะลดเวลาในการทำงานและลดปัญหาบางอย่างในการทำงาน แต่ที่ผ่านมาก็ยังไม่มีการจัดเก็บหรือรวบรวมระยะเวลาในการทำงานในแต่ละช่วงของกระบวนการทำงาน ทำให้ไม่สามารถระบุเวลาทำงานที่ลดไปหลังจากนำเทคโนโลยีสารสนเทศมาใช้

          นอกจากนี้ แม้ระบบสารสนเทศจะสามารถลดปัญหาการทำงานบางอย่างได้ เนื่องจากระบบสารสนเทศจะสามารถสนับสนุนการทำงานบางอย่างได้เท่านั้น ไม่สามารถนำมาทดแทนการทำงานทั้งกระบวนการของคนได้ทั้งหมด จึงยังคงต้องมีคนเข้ามาเกี่ยวข้องในการดำเนินงานอยู่ โดยเฉพาะส่วนที่ต้องตัดสินใจปัญหาซึ่งเกี่ยวกับการข้อจำกัดของคนหรือความบกพร่องตามศักยภาพของบุคคลจึงไม่สามารถจะทำให้ลดลงด้วยระบบสารสนเทศที่นำมาใช้ อีกประเด็นที่ต้องพิจารณาคือในการนำเทคโนโลยีสารสนเทศมาใช้จะมีค่าใช้จ่ายที่เกี่ยวกับเทคโนโลยีสารสนเทศเอง แม้ว่าราคาเทคโนโลยีสารสนเทศจะลดลงมาอย่างมากแล้วก็ตามในปัจจุบัน แต่ปรากฏว่าค่าใช้จ่ายในการบำรุงรักษากลับมีราคาสูงขึ้น ไม่รวมถึงหากมีการเปลี่ยนถ่ายเทคโนโลยีจากเก่าไปใหม่ จะมีค่าใช้จ่ายในการเปลี่ยนถ่ายที่สูงมากเลยทีเดียว การจัดเก็บข้อมูลในระบบสารสนเทศเป็นเวลากว่า 5 ปีตามกฎหมายทำให้ค่าใช้จ่ายบำรุงรักษาทางเทคโนโลยีสารสนเทศสูงมากจากประเด็นต่าง ๆ ที่ระบุข้างต้น จะพบว่าการลงทุนในเทคโนโลยีสารสนเทศเพื่อนำมาใช้งานในระดับ automation หรือนำมาสนับสนุนการทำงานโดยที่ไม่มีการเปลี่ยนแปลงกระบวนการ หรือพฤติกรรมการทำงาน รวมถึงกฎระเบียบ สภาพแวดล้อมในการทำงาน ไม่สามารถคืนทุนหรือสร้างกำไรจากการลงทุนได้ ยิ่งหากไม่มีการวางแผนในการนำเทคโนโลยีสารสนเทศมาใช้งานในองค์การให้ดี จะทำให้เกิดปัญหาเกี่ยวกับการลงทุนซ้ำซ้อน การมีข้อมูลที่ผิดปกติ ซ้ำซ้อน และขัดแย้งกัน ซึ่งไม่สามารถนำข้อมูลเหล่านั้นมาสร้างเป็นสารสนเทศสำหรับสนับสนุนการตัดสินใจในเชิงธุรกิจ หรือไม่สามารถนำไปใช้หาองค์ความรู้ เพื่อสร้างศักยภาพหรือยุทธศาสตร์ในการแข่งขันทางธุรกิจได้ การนำเทคโนโลยีสารสนเทศมาสนับสนุนการทำงานในองค์การ จึงต้องวิเคราะห์ตั้งแต่พันธ์กิจขององค์การ การวิเคราะห์สภาพแวดล้อมทางธุรกิจขององค์การตั้งแต่ภายในและภายนอก การทำความเข้าใจและการกำหนดยุทธศาสตร์ทางธุรกิจขององค์การ กิจกรรมหลักแห่งความสำเร็จเพื่อให้ได้ยุทธศาสตร์ที่วางไว้ ตัวบ่งชี้หรือ key performance indexes ขององค์การและการระบุเป้าหมายที่สอดคล้องกับวิสัยทัศน์ รวมทั้งกลยุทธ์ทางธุรกิจและแผนงานต่าง ๆ ที่จะทำให้บรรลุเป้าหมายที่องค์การได้วางไว้ สุดท้ายถึงจะสามารถระบุเทคโนโลยีสารสนเทศหรือระบบสารสนเทศที่จำเป็นสำหรับองค์การนั้น ๆ ได้ จะเห็นได้ว่าระบบสารสนเทศหรือเทคโนโลยีสารสนเทศที่ได้นี้จะสอดคล้องกับกระบวนการทำงานขององค์การที่จะต้องมีหลายหน่วยงานย่อยภายในเกี่ยวข้องเพื่อให้ได้ผลลัพธ์ลุล่วง ระบบสารสนเทศเหล่านี้จึงไม่มีหน่วยงานภายในหน่วยงานเดียวเป็นเจ้าของ เพียงแต่แต่ละหน่วยงานจะมีอำนาจในการจัดการข้อมูลที่จะจัดเก็บลงในฐานข้อมูลต่างกันตามภาระรับผิดชอบทีถูกกำหนดไว้ในภารกิจและโครงสร้างองค์การ ข้อมูลจึงเป็นทรัพยากรของส่วนรวม ไม่เกิดการซ้ำซ้อน ไม่เกิดความผิดปกติ ครบถ้วน เพราะแต่ละหน่วยงานภายในจะรับผิดชอบจัดเก็บ แก้ไข ข้อมูลในส่วนที่ตนเองรับผิดชอบ ทำให้เนื้อที่ในการจัดเก็บน้อยลง ลดค่าใช้จ่ายในการดูแลระบบฐานข้อมูล ข้อมูลที่ดี ครบถ้วนสมบูรณ์ ถูกต้อง จะสามารถนำไปใช้ในการวิเคราะห์ให้เกิดสารสนเทศ และองค์ความรู้ให้กับองค์การต่อไป ซึ่งถือเป็นการสร้างมูลค่าโดยอาจจะเป็นการสร้างรายได้ทางอ้อมให้กับองค์การนั้นๆ หรืออาจจะนำมาใช้ลดค่าใช้จ่ายในการดำเนินงานก็อาจเป็นได้เช่นกันเพื่อให้เกิดความคุ้มค่าในการลงทุนเทคโนโลยีสารสนเทศ การตรวจสอบเทคโนโลยีสารสนเทศ (IT Auditing) จึงมีความสำคัญในการที่จะทำให้เกิดความมั่นใจว่าองค์การมีระบบสารสนเทศที่ถูกต้อง เป็นประโยชน์ สอดคล้องกับพันธ์กิจ วิสัยทัศน์ และยุทธศาสตร์ขององค์การ โดยระบบสารสนเทศจะต้องสามารถเก็บรวบรวมข้อมูลต่างๆ ให้ครบถ้วน ถูกต้อง เพื่อที่จะสามารถนำมาใช้วิเคราะห์ต่อให้เกิดความสามารถในการแข่งขันขององค์การ ทั้งนี้จะต้องมีการรักษาความปลอดภัยของระบบสารสนเทศและข้อมูลที่ดี เนื่องจากข้อมูลเหล่านี้คือทรัพยากรที่สำคัญสำหรับอนาคตขององค์การ และใช้ในการสร้างความได้เปรียบทางธุรกิจหากสามารถนำมาวิเคราะห์ให้เกิดองค์ความรู้ ระบบสารสนเทศต่างๆ รวมทั้งอุปกรณ์ที่เกี่ยวข้อง เครื่องคอมพิวเตอร์ servers ฐานข้อมูล เครือข่ายคอมพิวเตอร์ จะต้องมีศักยภาพที่สอดคล้องกับการใช้งานเช่นกัน การดูแลบำรุงรักษา การเปลี่ยนถ่ายเทคโนโลยีสารสนเทศในอนาคต การแก้ไขในกรณีเกิดปัญหาและวิกฤต เพื่อให้องค์การสามารถดำเนินงานต่อไปได้อย่างรวดเร็วเป็นสิ่งสำคัญเช่นกัน ดังนั้นการตรวจสอบเทคโนโลยีสารสนเทศจึงมีความจำเป็นอย่างมาก ผู้ตรวจสอบจึงต้องเข้าใจตั้งแต่การบริหารและการจัดการธุรกิจ กระบวนการทำงาน เทคโนโลยีสารสนเทศ การสร้างองค์ความรู้ กฎหมายต่างๆ ที่เกี่ยวข้อง และสามารถวิเคราะห์ความเสี่ยงที่จะเกิดขึ้นได้เช่นกัน

(ที่มา : http://as.nida.ac.th)

          การตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2 ประเภท คือ การตรวจสอบกิจกรรม หรือการดำเนินงานของหน่วยงานคอมพิวเตอร์ และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล

1. การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ (General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ซึ่งส่วนใหญ่เป็นเรื่องเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง มีหัวข้อการตรวจสอบดังนี้

          1.1 การตรวจสอบภายในและการสอบบัญชี เป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชี ซึ่งได้รับมอบหมายจากฝ่ายบริหาร และผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบ มีขอบเขตการปฏิบัติงานครอบคลุมในเรื่องต่าง ๆ เพียงพอหรือไม่ และเชื่อถือได้เพียงใด

          1.2 การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์ ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน

          1.3 การพัฒนาระบบงานและโปรแกรม เป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม การแก้ไขระบบงานและโปรแกรม และความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน

          1.4 การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูล และการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้อง ครบถ้วนและเชื่อถือได้เพียงใด

         1.5 การปฏิบัติงานคอมพิวเตอร์ เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์ การจัดเก็บแฟ้มข้อมูล การรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน

         1.6 การสื่อสารข้อมูล (กรณีใช้ Hardware และ/หรือ Software ร่วมกันหลายระบบงาน) เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร

          1.7 การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการ กรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง ควรมีการตรวจสอบสัญญาการใช้บริการ การคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์ นอกเหนือจากการตรวจสอบตามหัวข้อที่กล่าวมาแล้วด้วย เพื่อป้องกันธุรกิจที่จำเป็นต้องใช้ข้อมูลที่ประมวลผลด้วยคอมพิวเตอร์ต้องหยุดชะงัก หากศูนย์คอมพิวเตอร์ไม่สามารถให้บริการได้ตามปกติด้วยเหตุใดก็ตาม

2. การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (Application Controls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงาน ซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบ ในแต่ละระบบมากกว่าการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ มีหัวข้อการตรวจสอบดังนี้

          2.1 แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ

                   – การจัดทำเอกสารขั้นต้น หรือเอกสารประกอบรายการ

                   – การอนุมัติรายการ

                   – การเตรียมข้อมูลนำเข้า

                   – การเก็บรักษาเอกสารขั้นต้น

                   – การแก้ไขเอกสารที่มีข้อผิดพลาด

          2.2 การทำรายการป้อนเข้าสู่ระบบงาน เป็นการตรวจสอบ

                   – การทำรายการป้อนข้อมูลเข้าสู่ระบบงาน ซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry

                   – หลักเกณฑ์ที่ใช้ในการควบคุมการทำรายการ เพื่อให้ได้ข้อมูลที่ถูกต้องและครบถ้วน

                   – การแก้ไขข้อผิดพลาดในการทำรายการป้อนเข้าสู่ระบบงาน

          2.3 การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ซึ่งประกอบด้วย

                   – การใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน

                   – การเคลื่อนย้ายข้อมูลในระบบสื่อสาร ซึ่งต้องอาศัย Hardware และ Software ควบคุมการเคลื่อนย้ายข้อมูล

                   – การบันทึกรายละเอียดในการติดต่อสื่อสารระหว่างเครื่อง Terminal กับ CPU ไว้ที่ศูนย์คอมพิวเตอร์

          2.4 การประมวลผล ได้แก่ การตรวจสอบ

                   – ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือได้เพียงใด

                   – การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง

                   – ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล

                   – การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล

                   – การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล

                   – การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล

          2.5 การเก็บรักษาข้อมูลและการนำข้อมูลไปใช้งาน เป็นการตรวจสอบ

                  – การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล

                  – การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน

                  – การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล

                  – การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล

          2.6 ผลลัพธ์ที่ได้จากการประมวลผล เป็นการตรวจสอบ

                   – การกระทบยอดข้อมูล

                   – การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล

                   – การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน

                   – การเก็บรักษาข้อมูลที่ได้จากการประมวลผล

                   – การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด

(ที่มา : https://itgthailand.wordpress.com)

 คุณสมบัติหรือบทบาท หน้าที่ที่ IT Auditor 

          1. ตรวจสอบด้านเทคโนโลยีสารสนเทศ ตามหลักการบริหารความเสี่ยงยุคใหม่ได้สอดคล้องตามมาตรฐานและเทคนิคการตรวจสอบที่เกี่ยวข้องเพื่อสนองความต้องการของผู้บริหารทุกระดับได้

          2. วางแผนการตรวจสอบ ตามหลักการบริหารความเสี่ยงทั่วไปและทางด้านเทคโนโลยีสารสนเทศที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรได้อย่างมั่นใจ

          3. เข้าใจและสื่อสาร ความหมายของกระบวนการทำงานเทคโนโลยีสารสนเทศในการบริหารจัดการเชิงกลยุทธ์ให้กับบุคคลอื่น

(ที่มา : https://www.daa.co.th)