วิชา การควบคุมและตรวจสอบภายใน 3201 - 2103 หน่วยที่ 9 การตรวจสอบเทคโนโลยี สารสนเทศ โดย ครูกรรณิการ์ ผวิ สะอาด
หน่วยท่ี 9 การตรวจสอบเทคโนโลยสี ารสนเทศ สาระการเรียนรู้ (Chapter Objective) 9.1 ความเสี่ยงของการใช้ระบบสารสนเทศ 9.2 การควบคุมของระบบสารสนเทศ 9.3 การจาแนกประเภทการควบคุมตามระดบั ความเสี่ยง 9.4 การจาแนกประเภทการควบคุมตามลกั ษณะของการควบคุม 9.5 การตรวจสอบระบบสารสนเทศ 9.6 ประเภทของการตรวจสอบระบบสารสนเทศ 9.7 กระบวนการตรวจสอบระบบสารสนเทศ 9.8 แนวทางการตรวจสอบระบบสารสนเทศ
ผลการเรียนรู้ทค่ี าดหวงั (Learning Objective) 1. สามารถอธิบายความเส่ียงของการใช้สารสนเทศได้ 2. สามารถจาแนกประเภทของการควบคุมได้ 3. สามารถอธิบายเกยี่ วกบั ประเภทของการตรวจสอบได้ 4. สามารถอธิบายถึงกระบวนการและแนวทางในการตรวจสอบ สารสนเทศได้
9.1 ความเส่ียงของการใช้ระบบสารสนเทศ ประกอบด้วย 1. ความเส่ียงด้านการควบคุมทวั่ ไป 2. ความเสี่ยงด้านการควบคุมเฉพาะระบบงาน
ความเส่ียงด้านการควบคุมทั่วไป ได้แก่ 1) ขาดการจัดโครงสร้างขององค์กรท่ีเพยี งพอทาให้ร่วมมือกันทุจริต 2) ไม่มีการควบคุมการพฒั นาระบบสารสนเทศทาให้การทางานไม่มีประสิทธิภาพ 3) การแก้ไขข้อมูลและการเข้าถึงข้อมูลโดยผู้ท่ไี ม่ได้รับอนุญาต 4) การเปิ ดเผยข้อมูลให้กบั บุคคลท่ีไม่ได้รับอนุญาต 5) เกิดข้อผดิ พลาดในการสื่อสารข้อมูลสารสนเทศ 6) ระบบล้มเหลว ทาให้ธุรกิจหยุดชะงกั
ความเส่ียงด้านการควบคุมเฉพาะระบบงาน ได้แก่ 1) การทดสอบระบบงานไม่เพยี งพอทาให้โปรแกรมทางานไม่ถกู ต้อง 2) การนาเข้าข้อมูลผดิ พลาด ไม่ครบถ้วน 3) การประมวลผลข้อมูลผดิ พลาด ไม่สมบูรณ์ 4) การประมวลผลซ้าซ้อน 5) การนาข้อมูลที่ไม่ถูกต้องไปใช้ในการตัดสินใจ 6) การนาข้อมูลไปใช้โดยบุคคลที่ไม่ได้รับอนุญาต
9.2 การควบคุมของระบบสารสนเทศ การจดั ประเภทการควบคุมในระบบสารสนเทศ อาจจัดเป็ นประเภทต่าง ๆ ได้หลาย วธิ ี วธิ ีท่ีนิยมได้แก่ การจาแนกประเภทการควบคุมตามระดับความเส่ียง และการจาแนก ประเภทการควบควบคุมตามลกั ษณะงาน
9.3 การจาแนกประเภทการควบคุมตามระดบั ความเส่ียงแบ่งได้ 3 ประเภท ได้แก่ 1) การควบคุมเชิงป้องกัน (Preventive Controls) เป็ นการดาเนินการล่วงหน้าเพ่ือ ป้องกันไม่ให้เกดิ ข้อผดิ พลาดหรือความเสียหายขนึ้ เช่น จัดให้มคี ู่มือการ ปฏิบัติงานเพ่ือป้องกนั ความผิดพลาด เป็ นต้น 2) การควบคุมเชิงตรวจพบ (Detective Controls) เป็ นการดาเนินการเพ่ือให้ สามารถตรวจพบภัยคุกคามหรือข้อผิดพลาดที่เกดิ ขึน้ เช่น การสอบทานความ ถูกต้องของข้อมูลก่อนทาการประมวลผลข้อมูล เป็ นต้น 3) การควบคุมเชิงแก้ไข (Corrective Controls) เป็ นการดาเนินการเพ่ือแก้ไข ข้อผดิ พลาดหรือความเสียหายที่ตรวจพบ เช่น การปรับปรุงแก้ไขทางการบัญชีเม่ือ ตรวจพบข้อผิดพลาด เป็ นต้น
9.4 การจาแนกประเภทการควบคุมตามลกั ษณะของการควบคุม สามารถ จาแนกการควบคุมออกเป็ น 2 ประเภท ได้แก่ 1. การควบคุมทั่วไป (General Controls) 2. การควบคุมในระบบงาน (Application Controls)
1. การควบคุมท่ัวไป (General Controls) การควบคุมท่ัวไปในส่วนของระบบสารสนเทศ หมายถึง การควบคุมในส่วนท่ี เกีย่ วข้องกบั สภาพแวดล้อมของการควบคุมภายใน นโยบายและวธิ ีการในการควบคุม ระบบสารสนเทศ การจัดแบ่งส่วนงาน การควบคุมความปลอดภัย การควบคุมการ พฒั นาระบบ และการป้องกันความเสียหายหรือลดความเสียหายของระบบ การควบคุม ท่ัวไปเป็ นการควบคุมภายในสาหรับระดับองค์กร โดยมวี ตั ถุประสงค์เพื่อให้เกดิ ความ มั่นใจว่าระบบคอมพวิ เตอร์โดยรวมขององค์กรมคี วามเป็ นเสถยี รภาพและมีการจัดการ ท่ีดี
การควบคุมท่ัวไป ประกอบด้วยกจิ กรรมต่าง ๆ ดงั ต่อไปนี้ 1) การกาหนดนโยบายการใช้สารสนเทศ ได้แก่ - การกาหนดนโยบายการรักษาความปลอดภัย - การกาหนดนโยบายการใช้งาน - จัดทาเป็ นแผนงานและทบทวนอย่างสมา่ เสมอ 2) การแบ่งแยกหน้าท่ีงานในระบบสารสนเทศ ได้แก่ มกี ารแยกอานาจหน้าท่ี และความรับผิดชอบอย่างชัดเจนระหว่างนักวเิ คราะห์ ระบบ โปรแกรมเมอร์ ผู้ปฏิบัติงานคอมพวิ เตอร์ ผู้ใช้คอมพวิ เตอร์ บรรณารักษ์ข้อมูล และกลุ่มผู้ควบคุมข้อมูล
3) การควบคุมโครงการพฒั นาระบบสารสนเทศ ได้แก่ - จดั ทาแผนแม่บทสารสนเทศระยะยาว - จัดทาแผนงานโครงการพฒั นาระบบ - กาหนดการประมวลผล - การมอบหมายหน้าที่ความรับผดิ ชอบต่อผู้จดั การโครงการและทีมงานพฒั นา ระบบ - มีการประเมินผลเป็ นระยะ ๆ - การสอบทานหลงั การติดต้ังและนาระบบมาใช้งาน - การวดั ผลการดาเนินงานของระบบ
4) การควบคุมการเปลี่ยนแปลงแก้ไขระบบ ได้แก่ - มกี ารกาหนดระเบียบวธิ ีการปฏิบัติในการเปลยี่ นแปลงแก้ไขโปรแกรมท่ีเป็ น ลายลกั ษณ์อกั ษรและมกี ารอนุมัติจากเจ้าของระบบงาน - ศึกษาผลกระทบต่าง ๆ ท้ังผลกระทบงานด้านเทคนิค ผลกระทบท่ีมีต่อโปรแกรม อื่น และความเส่ียงจากการเปลย่ี นแปลง - ทดสอบโปรแกรมที่แก้ไขแล้วก่อนนามาใช้งาน - จดั ทาเอกสารคู่มือประกอบการแก้ไขเปลย่ี นแปลงท้ังหมด - ประเมนิ และสอบทานระบบงานหรือโปรแกรมภายหลงั จากเริ่มใช้งานในระยะ หน่ึง
5) การควบคุมการปฏิบัติงานในศูนย์คอมพวิ เตอร์ ได้แก่ - จดั ทาตารางการประมวลผล - มีการสารองข้อมูล - การจดั การปัญหาของระบบ
6) การควบคุมการเข้าถึงอุปกรณ์คอมพวิ เตอร์ ได้แก่ - เก็บรักษาคอมพวิ เตอร์ในห้องที่มีกุญแจล็อก - จากดั สิทธิในการเข้าถงึ อุปกรณ์คอมพวิ เตอร์ - ห้องคอมพวิ เตอร์ควรมที างออกเพยี ง 1-2 ทาง และมีการกากบั ดูแลการผ่าน เข้าออก - มกี ารตรวจบัตรประจาตัวพนักงานเม่ือมกี ารผ่านเข้าห้องคอมพวิ เตอร์ - ติดต้ังระบบสัญญาเตือนภัย - ติดต้ังกุญแจล็อกเคร่ืองคอมพวิ เตอร์ - ควบคุมสภาพแวดล้อมในห้องคอมพวิ เตอร์ในเรื่อง อุณหภูมิ แสง และความชื้น ให้อยู่ในสภาพท่ีเหมาะสม
7) การควบคุมการเข้าถึงข้อมูลและทรัพยากรสารสนเทศ ได้แก่ - การกาหนดทรรศนะของผู้ใช้งาน (User View) - การจดั ทาตารางการกาหนดสิทธิของผู้ใช้ฐานข้อมูล - การเข้ารหัสข้อมูล (Data Encryption) - การควบคุมการอนุมานข้อมูล (Inference Controls) 8) การควบคุมการเข้าถึงระบบงาน ได้แก่ - การตรวจสอบความแท้จริง เช่น การใช้รหัสผ่าน การสแกนลายนิว้ มือ การใช้ บัตรประชาชน เป็ นต้น - การกาหนดสิทธิ เป็ นการกาหนดสิทธิในการเข้าถึงข้อมูลในแต่ละระดับ - การบันทึกกิจกรรมต่าง ๆ ในระบบเพ่ือการตรวจสอบ
9) การควบคุมการจดั เกบ็ ข้อมูล ได้แก่ - การกาหนดความต้องการของข้อมูลท่ีจะจดั เกบ็ - จดบันทึกและสอบทานการใช้ข้อมูลที่เป็ นความลับ - จัดทาระเบียบแฟ้มข้อมูล ป้ายช่ือแฟ้มข้อมูล - ใช้กลไกป้องกนั การเขียนทับ - การกากับดูแลและป้องกันแฟ้มข้อมูลจากเพลงิ ไหม้ ความร้อน หรือความชื้น
10) การควบคุมการสื่อสารข้อมูล ได้แก่ - การกากบั ดูแลเครือข่าย - การออกแบบระบบเครือข่าย - การบารุงรักษาเชิงป้องกนั - การเข้ารหัสข้อมูล - การตรวจสอบเส้นทางการสื่อสาร - การตรวจสอบความมตี ัวตนของผู้ติดต่อสื่อสาร
11) การกาหนดมาตรฐานเอกสารระบบสารสนเทศ ได้แก่ - การควบคุมด้านการบริหาร เช่น การกาหนดมาตรฐานและกระบวนการในการ ประมวลผล - การควบคุมระบบงาน เช่น การควบคุมข้อมูลนาเข้า การควบคุมข้ันตอนในการ ประมวลผล และการควบคุมผลลพั ธ์ - การควบคุมการปฏิบัติงาน เช่น การกาหนดโครงสร้างอุปกรณ์โปรแกรม แฟ้มข้อมูล กระบวนการติดต้ัง และการปฏิบัติงาน เป็ นต้น
12) การลดความเสียหายท่ีอาจเกิดขนึ้ กับระบบคอมพวิ เตอร์ ได้แก่ - การบารุงรักษาเชิงป้องกัน - การใช้อุปกรณ์ไฟฟ้าสารอง - การใช้ระบบที่ทนต่อความบกพร่อง โดยใช้เคร่ืองคอมพวิ เตอร์ท่ีสามารถทางาน ต่อได้แม้ว่าจะมีส่วนประกอบบางส่วนเสียหาย
13) การวางแผนแก้ไขความเสียหายจากเหตุฉุกเฉิน ได้แก่ - การกาหนดผู้ประสานงานท่ีรับผิดชอบในการดาเนินงานตามแผน - การจดั ลาดบั ความสาคัญของการก้รู ะบบ - การจัดเก็บและสารองข้อมูลและโปรแกรมไว้ในท่ีห่างไกลกนั - จดั ทาประกันภัย
2. การควบคุมในระบบงาน (Application Controls) หมายถงึ การควบคุมเก่ยี วกับความ ครบถ้วนและความถูกต้องของข้อมูลในแต่ละระบบงาน การควบคุมระบบงาน อาจแบ่ง ตามวธิ ีการควบคุมได้เป็ น 2 ประเภท คือ การควบคุมโดยโปรแกรม และการควบคุมโดย ผู้ปฏิบัติงาน 2.1 การควบคุมโดยโปรแกรม การควบคุมโดยโปรแกรมเป็ นการควบคุมในลกั ษณะของการตรวจสอบโดยอาศัย ความสามารถทางด้านตรรกะของคอมพวิ เตอร์ เปรียบเทียบข้อมูลจริงกับเกณฑ์หรือ เงื่อนไขท่ีกาหนดไว้ล่วงหน้าในระบบคอมพวิ เตอร์
ตัวอย่างการควบคุมโดยโปรแกรม 1) Type Check เป็ นการควบคุมโดยใช้โปรแกรมตรวจสอบฟิ ลด์หรือเขตข้อมูล ท่ีกาหนดเพื่อสอบทานว่าลักษณะของข้อมูลที่ประกอบขึน้ เป็ นฟิ ลด์ข้อมูลน้ันถูกต้อง เหมาะสมหรือไม่ เช่น เป็ นตัวเลข อักขระ หรือเคร่ืองหมายพเิ ศษ เป็ นต้น 2) Self-checking digit check เป็ นการควบคุมโดยโปรแกรมจะกาหนดตัวอกั ษร ตัวสุดท้ายเพ่ือใช้ในการตรวจสอบ เช่น เลขที่บัญชีของธนาคาร 120-5-50012-3 ตัวท่ีใช้ ในการทดสอบว่าคีย์ข้อมูลถูกต้องหรือไม่คือเลข 3 เป็ นต้น 3) Sequence Check เป็ นการควบคุมโดยใช้โปรแกรมเรียงลาดบั เลขที่เอกสารไว้ ล่วงหน้า เพ่ือป้องกนั การคีย์หมายเลขข้าม หรือคยี ์หมายเลขซ้ากนั
4) Range Check เป็ นการควบคุมโดยโปรแกรมใช้ค่าของข้อมูลนาเข้าหรือค่าของ ข้อมูลที่ได้จากการคานวณโดยโปรแกรม เปรียบเทียบกบั ช่วงของค่าท่ีควรจะเป็ นท่ีได้ กาหนดไว้ล่วงหน้าเพื่อตรวจสอบความเป็ นไปได้และความสมเหตุสมผลของค่าของ ข้อมูลน้ัน เช่น การกาหนดการให้ส่วนลดสินค้าไม่เกิน 5% หากบันทึกส่วนลดเกินเมื่อ โปรแกรมตรวจพบระบบจะมีการเตือนให้ทราบและให้บันทึกใหม่ 5) Limit Check เป็ นการควบคุมโดยโปรแกรมใช้ค่าของข้อมูลนาเข้า หรือค่าของ ข้อมูลท่ีได้จากการคานวณโดยโปรแกรม เปรียบเทียบกบั หลักเกณฑ์หรือข้อจากดั เกย่ี วกับค่าของข้อมูลที่กาหนดไว้ โดยหลกั เกณฑ์หรือข้อจากัดที่อาจเป็ นค่าสูงสุดหรือ ค่าต่าสุด หรือใช้ท้ังสองอย่างประกอบกันเพ่ือให้มนั่ ใจว่ารายการสมเหตุสมผลและ เป็ นไปตามนโยบายและข้อจากัด เช่น การกาหนดวงเงนิ เครดิตของลูกค้าไม่เกิน 1 ล้าน บาท หากมกี ารใช้เกินวงเงินเม่ือโปรแกรมตรวจพบระบบกจ็ ะมกี ารเตือนและให้ทบทวน วงเงินใหม่
6) Validity Check เป็ นการควบคุมโดยโปรแกรมตรวจสอบข้อมูลที่นาเข้าในรูป รหัสกบั รายการรหัสทถ่ี ูกต้องซ่ึงได้รับการบันทึกเกบ็ ไว้ในระบบงานคอมพวิ เตอร์ ให้ เป็ นรหัสท่ีใช้ทารายการต่าง ๆ กบั ระบบงานน้ันได้ เช่น ในระบบขายเชื่อเมื่อพนักงาน ป้อนรหัสลูกค้าเข้าสู่ระบบโปรแกรมจะเปรียบเทียบรหัสลูกค้าน้ันกบั รหัสในบันทึก รายการรหัสลูกค้าที่ได้รับอนุมตั ิให้ขายเชื่อเพื่อตรวจสอบว่ามรี หัสลกู ค้าน้ันอยู่หรือไม่ จงึ จะอนุญาตให้ทารายการข้นั ต่อไป
2.2 การควบคุมโดยผู้ปฏิบัติงาน แบ่งออกเป็ น 2.2.1 การควบคุมการนาเข้าข้อมูล 1) การอนุมัติรายการ เช่น การอนุมัติโดยการใช้รหัสประจาตัว และรหัสผ่าน 2) การบันทึกรายการ เช่น การกาหนดรูปแบบเอกสารไว้ล่วงหน้า 3) การรวบรวมข้อมูลรายการ เช่น การรวบรวมจานวนรายการ ยอดรวมเลข ประจาตัวพนักงาน ยอดรวมจานวนนับรายการ เป็ นต้น 4) การแปลงสภาพข้อมูลรายการ 5) การตรวจสอบความถูกต้องของข้อมูลรายการ 6) การส่งผ่านรายการ
2.2.2 ควบคุมการประมวลผล การควบคุมในส่วนการประมวลผล มขี นึ้ เพ่ือให้มน่ั ใจได้ว่า รายการต่าง ๆ ท่ีนาเข้า ได้รับการประมวลผลอย่างถูกต้องและครบถ้วน ตัวอย่างการควบคุมการประมวลผล 1) การควบคุมยอดรวม เป็ นการสอบทานความถูกต้องและครบถ้วนของการ ประมวลผล โดยทาการตรวจสอบยอดรวมของรายการท้ังก่อนและหลงั การประมวลผล 2) การควบคุมความถูกต้อง มกี ารตรวจสอบป้ายช่ือท้ังภายในและภายนอกก่อนท่ี จะนาข้อมูลไปประมวลผล 3) ควบคุมการเข้าถึง เป็ นการสอบทานการทางานของผู้ใช้จากรายการการใช้งาน
2.2.3 การควบคุมข้อมูลส่งออก การควบคุมข้อมูลส่งออก มวี ตั ถุประสงค์เพ่ือสร้างความม่ันใจว่าผลลัพธ์จากการ ประมวลผลถูกต้อง ครบถ้วน ได้รับการนาส่งถงึ ผู้รับที่ได้รับอนุมตั ิภายในเวลาที่กาหนด และมีการเกบ็ รักษาและทาลายอย่างเหมาะสม
9.6 ประเภทของการตรวจสอบระบบสารสนเทศ การตรวจสอบระบบสารสนเทศสามารถแบ่งออกเป็ น 4 ส่วน คือ 1) การตรวจสอบการควบคุมท่ัวไป 2) การตรวจสอบการควบคุมทางด้านเทคนิค 3) การตรวจสอบระบบงาน 4) การใช้เทคนิคคอมพวิ เตอร์ช่วยในการตรวจสอบ
9.7 กระบวนการตรวจสอบระบบสารสนเทศ 1) การวางแผนและคดั เลือกโครงการที่จะตรวจสอบ 2) เทคนิคและวธิ ีการตรวจสอบ 9.8 แนวทางการตรวจสอบระบบสารสนเทศ แนวทางการตรวจสอบระบบสารสนเทศ มี 4 ประเภท คือ 1) การตรวจสอบการควบคุมท่ัวไป 2) การตรวจสอบการควบคุมทางด้านเทคนิค 3) การตรวจสอบระบบงาน 4) การใช้เทคนิคคอมพวิ เตอร์ช่วยในการตรวจสอบ เป็ นการนาเอาเทคนิค คอมพวิ เตอร์มาใช้ในการตรวจสอบ
กจิ กรรมเสนอแนะ ให้นักศึกษายกตวั อย่างการควบคุมท่ัวไป และการควบคุมในระบบงานที่ สถาบันจดั ให้มีขนึ้ พร้อมท้งั ข้อเสนอแนะเกยี่ วกบั ข้อดี และข้อเสียของการ ควบคุมทว่ั ไป และการควบคุมในระบบงานของสถาบัน
ใบงาน 9 การตรวจสอบเทคโนโลยสี ารสนเทศ กจิ กรรมการเรียนรู้ 1. ให้นักศึกษาแบ่งกลุ่ม ๆ ละ 5-7 คน 2. นาบริษัทท่ีจดั ต้ังในหน่วยท่ี 4 3. มาออกแบบการควบคุมท้ังการควบคุมท่ัวไป และการควบคุมในระบบงาน 4. นาเสนอผลงาน 5. ให้นักศึกษากลุ่มอื่น ๆ ประเมินผลตามแบบประเมิน
คาถามท้ายหน่วยท่ี 9 ตอนที่ 1 จงเติมคาหรือข้อความในช่องว่างให้ถูกต้อง 1. ระบบสารสนเทศหมายถงึ อะไร ตอบ กระบวนการจัดเกบ็ รวบรวมข้อมูลเพ่ือทาให้เป็ นสารสนเทศ การจัดเกบ็ และ การนาเสนอสารสนเทศให้เป็ นปัจจุบันทันต่อเหตุการณ์ 2. การรวบรวมข้อมูลรายการเป็ นการควบคุมแบบใด ตอบ การควบคุมการนาเข้าข้อมูล 3. เป็ นการควบคุมโดยใช้โปรแกรมเรียงลาดับเลขที่เอกสารไว้ล่วงหน้า เพ่ือปอ้ งกันการ คีย์หมายเลขข้าม หรือคีย์หมายเลขซ้ากัน หมายถึงการควบคุมโดยโปรแกรมประเภทใด ตอบ Sequence Check
4. เป็ นการตรวจสอบเฉพาะระบบปฏิบัติการ ระบบฐานข้อมูล หรือในแต่ละอุปกรณ์ ทางการส่ือสาร และเครือข่าย หมายถงึ การตรวจสอบประเภทใด ตอบ การตรวจสอบการควบคุมทางด้านเทคนิค 5. การอนุมตั ิรายการเป็ นการควบคุมด้านใด ตอบ การควบคุมการนาเข้าข้อมูล 6. เป็ นการนาเอาเทคโนโลยีหรือโปรแกรมคอมพวิ เตอร์มาใช้เพื่อดึงข้อมูลทจี่ ัดเกบ็ ใน ระบบฐานข้อมูลออกมาตรวจสอบและวเิ คราะห์ซึ่งไม่สามารถตรวจสอบด้วยมือได้ หมายถงึ อะไร ตอบ การใช้เทคนิคคอมพวิ เตอร์ช่วยในการตรวจสอบ
7. เป็ นการควบคุมโดยโปรแกรมจะกาหนดตวั อักษรตัวสุดท้ายเพ่ือใช้ในการตรวจสอบ หมายถึงการควบคุมโดยโปรแกรมประเภทใด ตอบ Self – checking digit check 8. การควบคุมยอดรวม เป็ นการควบคุมแบบใด ตอบ การควบคุมการประมวลผล 9. การวางแผนแก้ไขความเสียหายจากเหตุฉุกเฉิน สิ่งใดควรทาเป็ นอนั ดับแรก ตอบ การกาหนดผู้ประสานงานท่ีรับผดิ ชอบในการดาเนินงานตามแผน 10. แผนรองรับเหตุฉุกเฉินจะไม่สมบูรณ์จนกว่าแผนน้ันจะผ่านข้ันตอนใด ตอบ ผ่านการทดสอบโดยการจาลองสถานการณ์ฉุกเฉิน
ตอนท่ี 2 จงทาเคร่ืองหมาย (√) ลงหน้าข้อท่ีถูกต้อง 1. ข้อใดกล่าว ไม่ ถูกต้องเกย่ี วกบั การควบคมุ การเข้าถงึ อุปกรณ์คอมพวิ เตอร์ ก. เกบ็ รักษาคอมพวิ เตอร์ในห้องที่มกี ญุ แจลอ็ ก √ข. มปี ระตเู ข้าออกมากกว่า 1-2 ทาง ค. ควบคมุ สภาพแวดล้อมในห้องคอมพวิ เตอร์ ง. มกี ารตรวจบัตรประจาตวั ผู้ท่เี ข้าไปใช้ห้องคอมพวิ เตอร์ 2. ข้อใด ไม่ใช่ ประเภทของการตรวจสอบระบบสารสนเทศ ก. การตรวจสอบการควบคุมท่วั ไป ข. การตรวจสอบการควบคมุ ด้านเทคนิค √ค. การตรวจสอบภายใน ง. การตรวจสอบระบบงาน
3. ข้อใด ไม่ใช่ ความเส่ียงด้านการควบคมุ ทวั่ ไป ก. ขาดการจัดโครงสร้างขององค์กร ข. ร่วมมือกนั ทุจริต ค. ระบบล้มเหลว ทาให้ธุรกจิ หยุดชะงกั √ง. ขาดการเกบ็ รักษาเอกสาร และการทาลายเอกสารอย่างเหมาะสม 4. ข้อใดกล่าว ไม่ ถูกต้องเกย่ี วกบั ควบคมุ การจัดเกบ็ ข้อมลู ก. ใช้กลไกป้องกนั การเขยี นทบั ข. กาหนดความต้องการของข้อมูลท่ีจะจัดเกบ็ ค. จดั ทาป้ายช่ือแฟ้มข้อมลู √ง. ตดิ ต้งั ระบบสัญญาเตือนภยั
5. ข้อใด ไม่ใช่ การควบคมุ การปฏิบัตงิ านในศูนย์คอมพวิ เตอร์ √ก. จัดทาตารางการเข้าถึงข้อมลู ข. มกี ารสารองข้อมลู ค. จดั ทาตารางการประมวลผล ง. การจดั การปัญหาของระบบ 6. การร่วมมือกนั ทุจริตของเจ้าหน้าที่ ถือว่าการควบคมุ ใดบกพร่อง ก. การกาหนดนโยบายการใช้สารสนเทศ ข. การควบคมุ การเปลย่ี นแปลงแก้ไข √ค. การแบ่งแยกหน้าทใี่ นระบบสารสนเทศ ง. การควบคมุ การเข้าถงึ ระบบคอมพวิ เตอร์
7. การทร่ี ะบบคอมพวิ เตอร์มกี ารบันทกึ ข้อมลู เกย่ี วกบั รหัสผ้ใู ช้ รหัสผ่าน ข้อมูลท่เี ข้าไปใช้ และเวลา เท่าไหร่ เป็ นการควบคมุ แบบใด √ก. การควบคมุ การเข้าถึงระบบ ข. การควบคุมการเข้าถึงอุปกรณ์คอมพวิ เตอร์ ค. การควบคุมการจัดเกบ็ ข้อมูล ง. การควบคมุ การส่ือสารข้อมลู 8. การควบคุมทอี่ อกแบบเพื่อให้แน่ใจว่าสภาพแวดล้อมของการควบคมุ ภายในสาหรับระบบ สารสนเทศมกี ารจัดการทดี่ ี เรียกว่า ก. การควบคมุ เชิงป้องกนั √ข. การควบคมุ ทว่ั ไป ค. การควบคุมระบบงาน ง. การควบคมุ เชิงค้นพบ
9. ข้อใดเป็ นการควบคุมเชิงป้องกนั √ก. Sequence Check ข. Range Check ค. Limit Check ง. ผดิ ทุกข้อ 10. Self – Checking Digit Check เป็ นการควบคุมแบบใด ก. การควบคมุ เชิงป้องกนั √ ข. การควบคมุ เชิงตรวจสอบ ค. การควบคุมเชิงตรวจพบ ง. การควบคุมเชิงแก้ไข
ตอนที่ 3 จงตอบคาถามต่อไปนีใ้ ห้ได้ใจความท่ีสมบูรณ์ 1. กระบวนการตรวจสอบระบบสารสนเทศประกอบด้วยอะไรบ้าง ตอบ 1) การวางแผนและคดั เลือกโครงการที่จะตรวจสอบ ในการวางแผนและคัดเลือกโครงการท่ีจะตรวจสอบประจาปี จะพจิ ารณาจากผล การประเมินความเสี่ยงเพื่อกาหนดลาดับความสาคญั ของแต่ละโครงการ 2) เทคนิคและวธิ ีการตรวจสอบ ในการตรวจสอบระบบสารสนเทศจาเป็ นที่จะต้องใช้เทคโนโลยี สารสนเทศรวมท้ังเทคนิคการตรวจสอบระบบสารสนเทศ เช่น การใช้โปรแกรม คอมพวิ เตอร์มาทาการตรวจสอบเป็ นต้น
2. ความเสี่ยงด้านการควบคุมเฉพาะระบบงานได้แก่อะไรบ้าง ตอบ - การทดสอบระบบงานไม่เพยี งพอทาให้โปรแกรมทางานไม่ถูกต้อง - การนาเข้าข้อมูลผิดพลาด ไม่ครบถ้วน - การประมวลผลข้อมูลผิดพลาด ไม่สมบูรณ์ - การประมวลผลซ้าซ้อน - การนาข้อมูลที่ไม่ถูกต้องไปใช้ในการตัดสินใจ - การนาข้อมูลไปใช้โดยบุคคลท่ีไม่ได้รับอนุญาต
3. การควบคุมการเข้าถงึ ระบบได้แก่อะไรบ้าง ตอบ - การตรวจสอบความแท้จริง เช่น การใช้รหัสผ่าน การสแกนลายนิว้ มือ การใช้บัตรประชาชน เป็ นต้น - การกาหนดสิทธิ เป็ นการกาหนดสิทธิในการเข้าถงึ ข้อมูลในแต่ละ ระดบั - การบันทึกกิจกรรมต่าง ๆ ในระบบเพ่ือการตรวจสอบ
4. การควบคุมข้อมูลส่งออกมีวตั ถุประสงค์อะไร ตอบ เพื่อสร้างความม่ันใจว่าผลลัพธ์จากการประมวลผลถูกต้อง ครบถ้วน ได้รับการ นาส่งถงึ ผู้รับท่ีได้รับอนุมตั ิภายในเวลาท่ีกาหนด และมีการเก็บรักษาและทาลายอย่าง เหมาะสม
5. การตรวจสอบระบบสารสนเทศ หมายถงึ อะไร ตอบ ข้ันตอนการตรวจสอบข้อมูลในลักษณะต่าง ๆ เช่นการตรวจสอบเพ่ือหา ข้อผดิ พลาด ความน่าเชื่อถือ ความสมเหตุสมผล เพ่ือให้มคี วามมน่ั ใจได้ว่าข้อมูล ที่ได้รับการรวบรวมและบันทึกไว้อย่างถูกต้อง THE END