Page 24 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 24
ห้องสมุดกรมพัฒนาที่ดิน
เพื่อหาข้อมูลหลักฐานเพิ่มเติมที่จะกำหนดประเด็นของการตรวจสอบว่าประเด็นใดควรตรวจสอบในรายละเอียด
เพื่อจะได้กำหนดวัตถุประสงค์ ขอบเขต และแนวทางการปฏิบัติตรวจสอบในรายละเอียดต่อไป
5.1.2 การกำหนดวัตถุประสงค์ในการปฏิบัติงาน เมื่อได้ประเด็นการตรวจสอบแล้ว
ผู้ตรวจสอบภายในควรกำหนดวัตถุประสงค์ให้ครอบคลุมประเด็นการตรวจสอบที่กำหนด โดยควรดำเนินเรื่อง
การประเมินความเสี่ยง การควบคุม กระบวนการกำกับดูแล
5.1.3 การกำหนดขอบเขตการปฏิบัติงาน ควรกำหนดให้เพียงพอที่จะบรรลุวัตถุประสงค์
ที่กำหนดไว้ให้ครอบคลุมถึงระบบการทำงานต่าง ๆ เอกสารหลักฐาน รายงาน บุคลากร และทรัพย์สินที่เกี่ยวข้อง
รวมถึงควรคำนึงถึงทรัพยากรด้านการตรวจสอบภายในที่จะใช้ในการตรวจสอบด้วย
5.1.4 การกำหนดแนวทางการปฏิบัติงาน เป็นการกำหนดวิธีปฏิบัติงานในรายละเอียด
ที่ผู้ตรวจสอบภายในต้องทำเป็นลายลักษณ์อักษร ซึ่งเป็นส่วนหนึ่งของการปฏิบัติงาน เพื่อใช้เป็นแนวทางในการปฏิบัติงาน
ในรายละเอียดว่าในการตรวจสอบแต่ละเรื่องจะต้องตรวจสอบอะไรบ้าง ด้วยวัตถุประสงค์อะไร ที่หน่วยรับตรวจใด
ณ เวลาใด และใช้วิธีการและเทคนิคการตรวจสอบใด ซึ่งจะช่วยในการรวบรวมหลักฐานในรายละเอียดเป็นไปอย่าง
มีประสิทธิภาพ โดยรายละเอียดขั้นตอนหรือวิธีการปฏิบัติงานตรวจสอบ ประกอบด้วย
(1) เรื่องและหน่วยรับตรวจควรกำหนดว่าเป็นแผนการปฏิบัติงานตรวจสอบในเรื่องใด
ณ หน่วยรับตรวจใดบ้าง
(2) วัตถุประสงค์ในการปฏิบัติงาน กำหนดให้ทราบว่าผู้ตรวจสอบภายในจะทราบประเด็น
ข้อตรวจพบอย่างไรบ้าง เมื่อเสร็จสิ้นการตรวจสอบ
(3) ขอบเขตการปฏิบัติงาน ควรกำหนดขอบเขตประเด็นและปริมาณงานเพื่อแสดง
ให้เห็นถึงผลสำเร็จตามวัตถุประสงค์ในการปฏิบัติงานที่กำหนดไว้
(4) แนวทางการปฏิบัติงาน กำหนดขั้นตอนหรือวิธีการปฏิบัติงานตรวจสอบในแต่ละเรื่อง
ให้ชัดเจนและเพียงพอ ระบุวิธีการในการคัดเลือกข้อมูล การวิเคราะห์ การประเมินผล และการบันทึกข้อมูล
ที่ได้รับระหว่างการบริหารงานตรวจสอบ รวมทั้งการกำหนดเทคนิคการตรวจสอบที่เหมาะสมจะช่วยให้การตรวจสอบ
ได้หลักฐานครบถ้วนและเพียงพอที่จะบรรลุวัตถุประสงค์ที่กำหนดไว้
(5) ชื่อผู้ตรวจสอบภายในและระยะเวลาที่ตรวจสอบ เพื่อให้ทราบว่าใครเป็นผู้รับผิดชอบ
ตรวจสอบเรื่องใด และตรวจสอบเมื่อใด
(6) สรุปผลการตรวจสอบ เพื่อใช้บันทึกผลการตรวจสอบโดยสรุปเฉพาะประเด็น
การตรวจสอบที่สำคัญพร้อมระบุรหัสกระดาษทำการที่ใช้บันทึกผลการตรวจสอบ เพื่อสะดวกในการอ้างอิงและ
การค้นหากระดาษทำการ นอกจากนี้ ควรลงลายมือชื่อผู้ตรวจสอบและผู้สอบทานพร้อมทั้งวันที่ตรวจสอบ
หรือสอบทานไว้ด้วย เพื่อแสดงให้เห็นว่าใครเป็นผู้ตรวจสอบและผู้สอบทาน
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 16