Page 42 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 42
ห้องสมุดกรมพัฒนาที่ดิน
บทที่ 4
กรณีศึกษา การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
สำหรับกรณีศึกษาการตรวจสอบเทคโนโลยีสารสนเทศ ซึ่งเป็นหนึ่งในประเภทของงานตรวจสอบภายใน
ที่กรมบัญชีกลางได้กำหนดให้มีการตรวจสอบความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศโดยการประเมินความเสี่ยง
และการควบคุมภายในด้านเทคโนโลยีสารสนเทศ (หนังสือกรมบัญชีกลาง ที่ กค 0409.2/ ว 614 ลว. 23 ธ.ค. 2563
การกำหนดประเภทของงานตรวจสอบภายใน) ดังนั้น เพื่อให้ผู้ตรวจสอบภายในเกิดความเข้าใจในกระบวนการ
ตรวจสอบการควบคุมด้านเทคโนโลยีสารสนเทศ จึงนำการดำเนินการตรวจสอบเทคโนโลยีสารสนเทศของกรม A
เป็นกรณีศึกษา โดยมีรายละเอียด ดังนี้
1. การกำหนดประเด็นการตรวจสอบ
การกำหนดประเด็นการตรวจสอบเป็นโดยใช้ข้อมูลจากการสำรวจข้อมูลเบื้องต้น ศึกษาทำความเข้าใจ
ระบบงานสารสนเทศ (การควบคุมและความเสี่ยง) ประเมินผลความเสี่ยง โดยมีเกณฑ์การประเมินความเสี่ยงเบื้องต้น
ดังนี้
เกณฑ์สำหรับใช้ในการประเมินความเสี่ยงของกระบวนงานกิจกรรม/โครงการ พิจารณาจาก 2 ปัจจัย
คือ ด้านโอกาส และด้านผลกระทบ และการให้คะแนนทั้ง 2 ปัจจัย ดังนี้
- โอกาสที่จะเกิด (Likelihood) พิจารณาความเป็นไปได้ที่จะเกิดเหตุการณ์ความเสี่ยงในช่วงเวลาหนึ่ง
ในรูปแบบความถี่ หรือความน่าจะเป็นที่จะเกิดเหตุการณ์นั้น ๆ
- ผลกระทบ (Impact) การวัดระดับของความเสียหายที่จะเกิดขึ้นจากความเสี่ยงนั้น โดยสามารถแบ่งเป็น
ผลกระทบทางด้านการเงินและผลกระทบที่ไม่ใช่การเงิน
1. เกณฑ์โอกาสเกิดความเสี่ยง (Likelihood)
โอกาสเกิดการทุจริต (Likelihood)
3 เหตุการณ์ที่อาจเกิดได้สูง
2 เหตุการณ์ที่อาจเกิดขึ้นได้ไม่สูงมาก
1 เหตุการณ์ไม่น่ามีโอกาสเกิดขึ้น
2. เกณฑ์ผลกระทบ (Impact)
ระดับของผลกระทบ (Impact)
3 มีผลกระทบต่อหน่วยงาน AA /กรม A ในระดับสูง
2 มีผลกระทบต่อหน่วยงาน AA /กรม A ในระดับปานกลาง
1 มีผลกระทบต่อกระบวนการภายใน/การเรียนรู้/องค์ความรู้
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 34
