การใช้คอมพิวเตอร์ในงานบัญชี หน่วยที่ 9

การใช้คอมพิวเตอร์เป็นเครื่องมือ

กิจการที่นําคอมพิวเตอร์หรือระบบสารสนเทศทางการบัญชีไปใช้ ในการควบคุมภายในต้องกําหนดให้มีการควบคุมภายใน เพื่อให้ มั่นใจว่า ข้อมูลที่บันทึกมีความครบถ้วน ถูกต้อง ประมวลผลตาม ขั้นตอน การเข้าถึงข้อมูลหรือแฟ้มข้อมูลกระทําได้เฉพาะผู้ได้รับอนุญาต รวมทั้งการจะพัฒนาหรือการเปลี่ยนแปลงโปรแกรมได้ ต้องผ่านการตรวจสอบและอนุมัติจากผู้มีอํานาจเรียบร้อยแล้ว

การควบคุมภายในของกิจการที่ใช้คอมพิวเตอร์ในการจัดเก็บบันทึกประมวลผลและจัดทำรายงานนั้นในหนังสือเล่มนี้เรียกว่า การควบคุมระบบ (System Controls)

นักบัญชีได้จัดแบ่งการควบคุมระบบออกเป็น 2 ประเภท

ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม (By Objective)

ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope)

ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม ตามเกณฑ์นี้ได้แบ่งวิธีการควบคุมออกเป็น 3 ส่วน

1. การควบคุมเชิงป้องกัน (Prevention Controls)

2. การควบคุมเชิงตรวจสอบ (Detection Controls)

3. การควบคุมเชิงแก้ไข (Corrective Controls)

ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope)จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุมว่าขอบเขตงานนั้นมีผลกระทบต่อระบบงานทั้งหมดของกิจการหรือมีผลกระทบเฉพาะระบบงานใดงานหนึ่งเท่านั้น ในกรณีที่ขอบเขตงานของการควบคุมมีผลกระทบต่อระบบงานทั้งหมดจะเรียกการปฏิบัติงานเพื่อการควบคุมนั้นว่า การควบคุมทั่วไป (General Controls) เป็นการควบคุมที่มีขึ้นเพื่อให้มั่นใจว่า สภาพแวดล้อมของการควบคุมภายในของกิจการได้มีการจัดการ และดูแลอย่างดีตลอดเวลาทำให้การควบคุมเฉพาะระบบงานดำเนินไปได้อย่างมีประสิทธิภาพ การควบคุมทั่วไปของกิจการที่ใช้คอมพิวเตอร์นั้น แบ่งออกเป็น 4 ประเภท คือ

1. การควบคุมปฏิบัติงานของพนักงาน (Personnel controls)

2. การควบคุมการปฏิบัติงานของศูนย์ข้อมูล (Data Center Operations Controls)

3. การควบคุมการจัดหาและบำรุงรักษาซอฟต์แวร์ของระบบ (System Software Acquisition and Maintenance Controls)

4. การควบคุมในเรื่องการรักษาความปลอดภัยของการเข้าถึงระบบและข้อมูล (Access Controls)

เทคโนโลยีสารสนเทศการควบคุมทั่วไป

· ความปลอดภัยสำหรับเทคโนโลยีไร้สาย

· การควบคุมสำหรับระบบเครือข่ายเดินสา

· ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์

· วัตถุประสงค์การควบคุมด้านไอทีสำหรับ Sarbanes-Oxley

การควบคุมแอปพริเคชันสำหรับการประมวลผลธุรกรรม

· การควบคุมการป้อนข้อมูลการประมวลผลและการส่งออก

ระบบการควบคุมภายในที่มุ่งเน้น

· ความปลอดภัยเฉพาะในองค์กร

· ขั้นตอนการควบคุมเพื่อให้แน่ใจว่า

· การใช้ทรัพยากรอย่างมีประสิทธิภาพ

การควบคุมทั่วไปสำหรับองค์กร

การพัฒนานโยบายความปลอดภัยที่เหมาะสมเกี่ยวข้องกับ

· การระบุและประเมินสินทรัพย์

· การระบุภัยความเสี่ยง

· การมอบหมายความรับผิดชอบ

· การสร้างแพลตฟอร์มนโยบายความปลอดภัย

· การใช้งานทั่วทั้งองค์กร

· การจัดการโปรแกรมความปลอดภัย

ความปลอดภัยแบบบูรณาการสำหรับองค์กร

องค์กร

· ขึ้นอยู่กับเครือข่ายสำหรับการทำธุรกรรมการแบ่งปันข้อมูลและการสื่อสาร

· จำเป็นต้องให้สิทธิ์เข้าถึงลูกค้าซัพพลายเออร์พันธมิตรและอื่นๆ

ภัยคุมคามความปลอดภัยสำหรับองค์กรเกิดขึ้นจาก

· ความซับซ้อนของเครือข่ายเหล่านี้

· ข้อกำหนดการช่วยสำหรับการเข้าถึงปัจจุบัน

เทคโนโลยีความปลอดภัยที่สำคัญสามารถบูรณาการรวมถึง

· ระบบตรวจจับการบุกรุก

· ไฟร์วอลล์และอื่นๆ

ระบบรักษาความปลอดภัยแบบรวม

· ลดความเสี่ยงของการถูกโจมตี

· เพิ่มค่าใช้จ่ายและทรัพยากรที่ผู้บุกรุกต้องการ

การควบคุมทั่วไปภายในสภาพแวดล้อมด้านไอที

· การควบคุมระดับองค์กร

· การควบคุมบุคลากร

· การควบคุมความปลอดภัยของไฟล์

· ระบบป้องกันความผิดพลาดการสำรองข้อมูลและการวางแผนฉุกเฉิน

· การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์

· การเข้าถึงไฟล์คอมพิวเตอร์

การสำรองข้อมูล

การสำรองข้อมูล

· จำเป็นสำหรับเอกสารสำคัญ

· มีการดำเนินการแบทช์โดยใช้กระบวรการ

· สามารถส่งทางอิเล็กทรอนิกส์ไปยังไซต์ระยะไกล (กระโดดข้าม)

· ต้องการระบบไฟฟ้าสำรอง (UPS) เป็นแหล่งจ่ายไฟฟ้า

การวางแผนฉุกเฉิน

การวางแผนฉุกเฉิน

· รวมถึงการพัฒนาแผนกู้คืนความเสียหายอย่างเป็นทางการ

· อธิบายขั้นตอนที่ต้องปฏิบัติในกรณีฉุกเฉิน

· อธิบายถึงบทบาทของสมาชิกทีมแต่ละคน

· แต่งตั้งบุคคลหนึ่งให้เป็นผู้บังคับบัญชาที่สอง

· เกี่ยวข้องกับไซต์การกู้คืนที่อาจเป็นไซต์ร้อนหรือไซต์เย็น

การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์

ค้นหาศูนย์ประมวลข้อมูลในที่ที่ปลอดภัย

· ประชาชนไม่สามารถเข้าถึงได้

· มันได้รับการป้องกันโดยบุคลากร

· มีทางเข้าที่ปลอดภัยจำนวน จำกัด

· มีการป้องกันภัยธรรมชาติ

จำกัด การเข้าถึงของพนักงานโดย

· การผสมผสานป้ายระบุรหัสแม่เหล็กอิเล็กทรอนิกส์หรือออปติคัล

การเข้าถึงไฟล์คอมพิวเตอร์

การเข้าถึงข้อมูลอย่างมีเหคุผลถูก จำกัด

· การระบุรหัสผ่าน (สนับสนุนรหัสผ่านที่คาดเดายาก)

· การระบุทางชีวภาพด้วย

- รูปแบบเสียง

- ลายนิ้วมือ

- จอประสาทตาพิมพ์

การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ

การวัตถุประสงค์ของการควบคุมคือการให้ความมั่นใจว่า

· การพัฒนาและเปลี่ยนแปลงโปรแกรมคอมพิวเตอร์นั้นได้รับอนุญาตทดสอบและอนุมัติก่อนการใช้งาน

· การเข้าถึงไฟล์ข้อมูลถูก จำกัด

· ข้อมูลการประมวลผลทางบัญชีนั้นถูกต้องและครบถ้วน

ความปลอดภัยสำหรับเทคโนโลยีไร้สาย

ความปลอดภัยสำหรับเทคโนโลยีไร้สายนั้นเกี่ยวข้องกับ

· เครือข่ายส่วนตัวเสมือน (VPN)

· การเข้าถึงรหัสข้อมูล

ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์

· ขั้นตอนการควบคุมทั่วไปและแอปพริเคชั่นมีความสำคัญต่อไมโครคอมพิวเตอร์

· ความเสี่ยงส่วนใหญ่ที่เกี่ยวข้องกับ AIS เกิดจาก

- ข้อผิดพลาด

- ความผิดปกติหรือฉ้อโกง

- ภัยคุกคามทั่วไปเกี่ยวกับความปลอดภัย (เช่น ไวรัสคอมพิวเตอร์)

· ความเสี่ยง บางอย่างที่มีลักษณะเฉพาะกับไมโครคอมพิวเตอร์คือ

- ฮาร์ดแวร์ - ไมโครคอมพิวเตอร์สามารถถูกขโมยหรือทำลายได้ง่าย

- ข้อมูลและซอฟต์แวร์ - ง่ายต่อการเข้าถึงแก้ไขคัดลอกหรือทำลาย จึงควบคุมได้ยาก

การควบคุมแอปพริเคชันสำหรับการประมวลผลธุรกรรม

· การควบคุมแอปพริเคชันได้รับการออกแบบมาเพื่อ

- ป้องกัน

- ตรวจจับและ

- แก้ไขข้อผิดพลาดและความผิดปกติ

· ในการทำธุรกรรม

- อินพุต

- การประมวลผล

- ขั้นตอนการส่งออกของการประมวลผลข้อมูล

การควบคุมอินพุต

การควบคุมการป้องกันข้อมูลพยายามที่จะให้แน่ใจว่า

· ความถูกต้อง

· ความครบถ้วนของข้อมูลที่ป้อนเข้าสู่ AIS

หมวดหมู่ของการควบคุมการป้องกันข้อมูลรวมถึง

· การสังเกตการบันทึกและการถอดความของข้อมูล

· แก้ไขการทดสอบ

· การควบคุมอินพุตเพิ่มเติม

การควบคุมการประมวลผล

· การควบคุมการประมวลผล มุ่งเน้นไปที่การจัดการข้อมูลบัญชีหลักจากที่ป้อนเข้าสู่ระบบคอมพิวเตอร์

· วัตถุประสงค์หลักคือแนวทางการตรวจสอบที่ชัดเจน

· การควบคุมการประมวลผลมี 2 ประเภท

- การควบคุมการเข้าถึงข้อมูล

- การควบคุมการจัดการข้อมูล

การควบคุมการส่งออก

วัตถุประสงค์ของการควบคุมผลลัพธ์คือเพื่อให้มั่นใจ

· ความถูกต้อง

· ความสมบูรณ์

แอปพริเคชันควบคุมเอาต์พุต หลัก 2 ประเภท คือ

· ตรวจสอบผลการประมวลผลโดย

· รายชื่อกิจกรรม (หรือหลักฐาน)

อ้างอิง

accounting.crru.ac.th/worksheets/28-worksheets.pptx

เอกสารประกอบการเรียนวิชาระบบสารสนเทศทางการบัญชี มหาวิทยาลัยเทคโนโลยีราชมงคลสุวรรณภูมิ ศูนย์สุพรรณบุรี