การใช้คอมพิวเตอร์เป็นเครื่องมือ กิจการที่นําคอมพิวเตอร์หรือระบบสารสนเทศทางการบัญชีไปใช้ ในการควบคุมภายในต้องกําหนดให้มีการควบคุมภายใน เพื่อให้ มั่นใจว่า ข้อมูลที่บันทึกมีความครบถ้วน ถูกต้อง ประมวลผลตาม ขั้นตอน การเข้าถึงข้อมูลหรือแฟ้มข้อมูลกระทําได้เฉพาะผู้ได้รับอนุญาต
รวมทั้งการจะพัฒนาหรือการเปลี่ยนแปลงโปรแกรมได้ ต้องผ่านการตรวจสอบและอนุมัติจากผู้มีอํานาจเรียบร้อยแล้ว การควบคุมภายในของกิจการที่ใช้คอมพิวเตอร์ในการจัดเก็บบันทึกประมวลผลและจัดทำรายงานนั้นในหนังสือเล่มนี้เรียกว่า การควบคุมระบบ (System Controls) นักบัญชีได้จัดแบ่งการควบคุมระบบออกเป็น 2 ประเภท ประเภทที่ 1
จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม (By Objective) ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope) ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม ตามเกณฑ์นี้ได้แบ่งวิธีการควบคุมออกเป็น 3 ส่วน 1. การควบคุมเชิงป้องกัน (Prevention Controls) 2. การควบคุมเชิงตรวจสอบ
(Detection Controls) 3. การควบคุมเชิงแก้ไข (Corrective Controls) ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope)จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุมว่าขอบเขตงานนั้นมีผลกระทบต่อระบบงานทั้งหมดของกิจการหรือมีผลกระทบเฉพาะระบบงานใดงานหนึ่งเท่านั้น ในกรณีที่ขอบเขตงานของการควบคุมมีผลกระทบต่อระบบงานทั้งหมดจะเรียกการปฏิบัติงานเพื่อการควบคุมนั้นว่า การควบคุมทั่วไป (General
Controls) เป็นการควบคุมที่มีขึ้นเพื่อให้มั่นใจว่า สภาพแวดล้อมของการควบคุมภายในของกิจการได้มีการจัดการ และดูแลอย่างดีตลอดเวลาทำให้การควบคุมเฉพาะระบบงานดำเนินไปได้อย่างมีประสิทธิภาพ การควบคุมทั่วไปของกิจการที่ใช้คอมพิวเตอร์นั้น แบ่งออกเป็น 4 ประเภท คือ 1. การควบคุมปฏิบัติงานของพนักงาน (Personnel controls) 2. การควบคุมการปฏิบัติงานของศูนย์ข้อมูล (Data Center Operations Controls) 3. การควบคุมการจัดหาและบำรุงรักษาซอฟต์แวร์ของระบบ (System Software Acquisition and Maintenance Controls) 4. การควบคุมในเรื่องการรักษาความปลอดภัยของการเข้าถึงระบบและข้อมูล (Access Controls) เทคโนโลยีสารสนเทศการควบคุมทั่วไป · ความปลอดภัยสำหรับเทคโนโลยีไร้สาย
· การควบคุมสำหรับระบบเครือข่ายเดินสา · ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์ · วัตถุประสงค์การควบคุมด้านไอทีสำหรับ Sarbanes-Oxley การควบคุมแอปพริเคชันสำหรับการประมวลผลธุรกรรม · การควบคุมการป้อนข้อมูลการประมวลผลและการส่งออก ระบบการควบคุมภายในที่มุ่งเน้น
· ความปลอดภัยเฉพาะในองค์กร · ขั้นตอนการควบคุมเพื่อให้แน่ใจว่า · การใช้ทรัพยากรอย่างมีประสิทธิภาพ การควบคุมทั่วไปสำหรับองค์กร การพัฒนานโยบายความปลอดภัยที่เหมาะสมเกี่ยวข้องกับ · การระบุและประเมินสินทรัพย์ · การระบุภัยความเสี่ยง · การมอบหมายความรับผิดชอบ · การสร้างแพลตฟอร์มนโยบายความปลอดภัย · การใช้งานทั่วทั้งองค์กร · การจัดการโปรแกรมความปลอดภัย ความปลอดภัยแบบบูรณาการสำหรับองค์กร องค์กร · ขึ้นอยู่กับเครือข่ายสำหรับการทำธุรกรรมการแบ่งปันข้อมูลและการสื่อสาร · จำเป็นต้องให้สิทธิ์เข้าถึงลูกค้าซัพพลายเออร์พันธมิตรและอื่นๆ ภัยคุมคามความปลอดภัยสำหรับองค์กรเกิดขึ้นจาก · ความซับซ้อนของเครือข่ายเหล่านี้ · ข้อกำหนดการช่วยสำหรับการเข้าถึงปัจจุบัน เทคโนโลยีความปลอดภัยที่สำคัญสามารถบูรณาการรวมถึง · ระบบตรวจจับการบุกรุก · ไฟร์วอลล์และอื่นๆ ระบบรักษาความปลอดภัยแบบรวม · ลดความเสี่ยงของการถูกโจมตี · เพิ่มค่าใช้จ่ายและทรัพยากรที่ผู้บุกรุกต้องการ การควบคุมทั่วไปภายในสภาพแวดล้อมด้านไอที · การควบคุมระดับองค์กร · การควบคุมบุคลากร · การควบคุมความปลอดภัยของไฟล์ · ระบบป้องกันความผิดพลาดการสำรองข้อมูลและการวางแผนฉุกเฉิน · การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์ · การเข้าถึงไฟล์คอมพิวเตอร์ การสำรองข้อมูล การสำรองข้อมูล · จำเป็นสำหรับเอกสารสำคัญ · มีการดำเนินการแบทช์โดยใช้กระบวรการ · สามารถส่งทางอิเล็กทรอนิกส์ไปยังไซต์ระยะไกล (กระโดดข้าม) · ต้องการระบบไฟฟ้าสำรอง (UPS) เป็นแหล่งจ่ายไฟฟ้า การวางแผนฉุกเฉิน การวางแผนฉุกเฉิน · รวมถึงการพัฒนาแผนกู้คืนความเสียหายอย่างเป็นทางการ · อธิบายขั้นตอนที่ต้องปฏิบัติในกรณีฉุกเฉิน · อธิบายถึงบทบาทของสมาชิกทีมแต่ละคน · แต่งตั้งบุคคลหนึ่งให้เป็นผู้บังคับบัญชาที่สอง · เกี่ยวข้องกับไซต์การกู้คืนที่อาจเป็นไซต์ร้อนหรือไซต์เย็น การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์ ค้นหาศูนย์ประมวลข้อมูลในที่ที่ปลอดภัย · ประชาชนไม่สามารถเข้าถึงได้ · มันได้รับการป้องกันโดยบุคลากร · มีทางเข้าที่ปลอดภัยจำนวน จำกัด · มีการป้องกันภัยธรรมชาติ จำกัด การเข้าถึงของพนักงานโดย · การผสมผสานป้ายระบุรหัสแม่เหล็กอิเล็กทรอนิกส์หรือออปติคัล การเข้าถึงไฟล์คอมพิวเตอร์ การเข้าถึงข้อมูลอย่างมีเหคุผลถูก จำกัด · การระบุรหัสผ่าน (สนับสนุนรหัสผ่านที่คาดเดายาก) · การระบุทางชีวภาพด้วย - รูปแบบเสียง - ลายนิ้วมือ - จอประสาทตาพิมพ์ การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ การวัตถุประสงค์ของการควบคุมคือการให้ความมั่นใจว่า · การพัฒนาและเปลี่ยนแปลงโปรแกรมคอมพิวเตอร์นั้นได้รับอนุญาตทดสอบและอนุมัติก่อนการใช้งาน · การเข้าถึงไฟล์ข้อมูลถูก จำกัด · ข้อมูลการประมวลผลทางบัญชีนั้นถูกต้องและครบถ้วน ความปลอดภัยสำหรับเทคโนโลยีไร้สาย ความปลอดภัยสำหรับเทคโนโลยีไร้สายนั้นเกี่ยวข้องกับ · เครือข่ายส่วนตัวเสมือน (VPN) · การเข้าถึงรหัสข้อมูล ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์ · ขั้นตอนการควบคุมทั่วไปและแอปพริเคชั่นมีความสำคัญต่อไมโครคอมพิวเตอร์ · ความเสี่ยงส่วนใหญ่ที่เกี่ยวข้องกับ AIS เกิดจาก - ข้อผิดพลาด - ความผิดปกติหรือฉ้อโกง - ภัยคุกคามทั่วไปเกี่ยวกับความปลอดภัย (เช่น ไวรัสคอมพิวเตอร์) · ความเสี่ยง บางอย่างที่มีลักษณะเฉพาะกับไมโครคอมพิวเตอร์คือ - ฮาร์ดแวร์ - ไมโครคอมพิวเตอร์สามารถถูกขโมยหรือทำลายได้ง่าย - ข้อมูลและซอฟต์แวร์ - ง่ายต่อการเข้าถึงแก้ไขคัดลอกหรือทำลาย จึงควบคุมได้ยาก การควบคุมแอปพริเคชันสำหรับการประมวลผลธุรกรรม · การควบคุมแอปพริเคชันได้รับการออกแบบมาเพื่อ - ป้องกัน - ตรวจจับและ - แก้ไขข้อผิดพลาดและความผิดปกติ · ในการทำธุรกรรม - อินพุต - การประมวลผล - ขั้นตอนการส่งออกของการประมวลผลข้อมูล การควบคุมอินพุต การควบคุมการป้องกันข้อมูลพยายามที่จะให้แน่ใจว่า · ความถูกต้อง · ความครบถ้วนของข้อมูลที่ป้อนเข้าสู่ AIS หมวดหมู่ของการควบคุมการป้องกันข้อมูลรวมถึง · การสังเกตการบันทึกและการถอดความของข้อมูล · แก้ไขการทดสอบ · การควบคุมอินพุตเพิ่มเติม การควบคุมการประมวลผล · การควบคุมการประมวลผล มุ่งเน้นไปที่การจัดการข้อมูลบัญชีหลักจากที่ป้อนเข้าสู่ระบบคอมพิวเตอร์ · วัตถุประสงค์หลักคือแนวทางการตรวจสอบที่ชัดเจน · การควบคุมการประมวลผลมี 2 ประเภท - การควบคุมการเข้าถึงข้อมูล - การควบคุมการจัดการข้อมูล การควบคุมการส่งออก วัตถุประสงค์ของการควบคุมผลลัพธ์คือเพื่อให้มั่นใจ · ความถูกต้อง · ความสมบูรณ์ แอปพริเคชันควบคุมเอาต์พุต หลัก 2 ประเภท คือ · ตรวจสอบผลการประมวลผลโดย · รายชื่อกิจกรรม (หรือหลักฐาน) อ้างอิง accounting.crru.ac.th/worksheets/28-worksheets.pptx เอกสารประกอบการเรียนวิชาระบบสารสนเทศทางการบัญชี มหาวิทยาลัยเทคโนโลยีราชมงคลสุวรรณภูมิ ศูนย์สุพรรณบุรี |