1. สาระดีดี โดย DR.P&L
  2. การตรวจสอบการควบคุมของระบบสารสนเทศ ด้วย COSO Framework (ตอนที่ 1)
บริษัทตรวจสอบภายใน

เรื่อง การตรวจสอบการควบคุมของระบบสารสนเทศ ด้วย COSO Framework (ตอนที่ 1)

มีคำถามจากผู้รับการตรวจสอบทั้งจาก บริษัทตรวจสอบภายใน ภายนอก ว่าการตรวจสอบการควบคุมด้านความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ (IT General Control) นั้นมีหลักการ และหัวข้อในการตรวจสอบอะไรบ้าง และผู้รับการตรวจสอบจะต้องจัดเตรียมอะไรก่อนการตรวจสอบ สำหรับบริษัทที่กำลังเตรียมตัวเข้าสู่ตลาดหลักทรัพย์ และบริษัทที่อยู่ในตลาดหลักทรัพย์อยู่แล้ว สามารถใช้ COSO Framework เป็นตัวตั้งต้นในการตรวจสอบตัวเองก่อนว่ามีการควบคุมด้าน IT ที่เพียงพอหรือไม่


COSO Framework หรือเรียกอีกชื่อหนึ่งว่า “แบบประเมินความเพียงพอของระบบควบคุมภายใน” เปรียบเสมือนเครื่องมือสำหรับบริษัทใช้ในการตรวจสอบความเหมาะสมของการควบคุมกิจกรรม และกระบวนการที่สำคัญต่าง ๆ ขององค์กร ซึ่งใน COSO Framework ปี 2556 มีการแบ่งการควบคุมกิจกรรม และกระบวนการออกเป็น เป็น 17 เรื่อง 85 คำถาม ในเรื่องที่ 11 จะเป็นเป็นเรื่อง การควบคุมด้านระบบเทคโนโลยีสารสนเทศและการสื่อสาร (Information and Communication) โดยเฉพาะ ประกอบไปด้วยคำถาม 4 คำถาม ดังนี้


1. บริษัทมีการกำหนด ความเกี่ยวข้องกันระหว่างการใช้เทคโนโลยีสารสนเทศ กระบวนการปฏิบัติงาน และการควบคุมทั่วไปของระบบสารสนเทศ หรือไม่ ?

2. บริษัทมีการกำหนด การควบคุม ด้านโครงสร้างพื้นฐาน ระบบเทคโนโลยีสารสนเทศ ให้มีความเหมาะสม หรือไม่ ?

3. บริษัทมีการกำหนด การควบคุม ด้านความปลอดภัย ระบบเทคโนโลยีสารสนเทศ ให้มีความเหมาะสม หรือไม่ ?

4. บริษัทมีการกำหนด การควบคุม ด้านการพัฒนาและการบำรุงรักษา ระบบเทคโนโลยีสารสนเทศ ให้มีความเหมาะสม หรือไม่ ?


ในตอนถัดไปจะมาลงรายละเอียดสักเล็กน้อยว่าแต่ละหัวข้อทั้ง 4 หัวข้อนั้น บริษัท จะต้องมีการเตรียมตัวในเรื่องอะไรบ้าง สำหรับรับการตรวจสอบจาก บริษัทตรวจสอบภายใน ภายนอก หรือหน่วยงานตรวจสอบภายใน


ท่านสามารถค้นหา ตัวอย่างแบบประเมิน COSO เพื่อทำความเข้าใจหัวข้อ และคำถามต่าง ๆ ผ่าน Google โดยพิมพ์คำว่า “แบบประเมินความเพียงพอของระบบควบคุมภายใน COSO”



ดร. สุรพรรษ์ เพ็ญจำรัส
อังคารที่ 4 กรกฎาคม 2560


“ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง เพื่อการพาณิชย์โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฎหมายบัญญัติไว้สูงสุด ในกรณีต้องการอ้างอิงเพื่อการศึกษา กรุณาให้เครดิตโดยอ้างอิงถึงผู้เรียบเรียงและบริษัทเจ้าของเว็บไซด์ด้วย”