#CIA Coach Q&A : "การตรวจสอบ IT กรณีมีข้อจำกัดของทรัพยากร"
มีท่านหนึ่งถามมาใน #กลุ่มLine ที่ผมจัดตั้งขึ้น ชื่อ
"#CIA Coach Consulting" เกี่ยวกับเรื่อง
"#การตรวจสอบ IT กรณีมีข้อจำกัดของทรัพยากร"
ซึ่งมีหลายท่านเข้ามาช่วยกันตอบคำถามกันอย่างกว้างขวางและเป็นประโยชน์มากๆ ครับ
จึงขออนุญาตนำคำถาม-คำตอบมาแชร์นะครับ
ขอบคุณทุกท่านมากๆ ครับ
#Q : ขออนุญาตสอบถามหน่อยครับ เรื่องการตรวจสอบ IT น่ะครับ กรณีที่ IA ไม่มีความรู้ด้าน IT เลย แต่มีข้อจำกัดไม่สามารถจ้าง outsource ได้เลย แบบนี้ ทาง IA จะตรวจสอบเบื้องต้นในประเด็นใด ๆ บ้างอ่ะครับ เพื่อให้เกิดการควบคุมด้าน IT น่ะครับ รบกวนผู้รู้ช่วยชี้แนะ _/|\_
#A : ผมขอตอบอย่างนี้ครับว่า...
1) อาจจะตรวจได้ในส่วนของ General Control (หัวข้อ ตามภาพ Slide ครับ) สำหรับในส่วนของ Application Control จำเป็นต้องใช้
ผู้ที่มีความรู้ และประสบการณ์โดยตรง. ซึ่งในส่วนนี้อาจต้องจัดหา IT Auditor โดยตรงมาทำงานในลักษณะพนักงานประจำ หรือจ้างเป็น Outsource ก็แล้วแต่นโยบายและงบประมาณขององค์กรแต่ละแห่งครับ
2) อาจจำเป็นต้องแจ้งข้อกำกัดตรงนี้ เสนอต่อ Board /AC และ Management. ให้พิจารณา
(ตามหลักการรายงานแบบควบคู่ / Dual Reporting ซึ่งข้อสอบ CIA ออกเยอะ อยู่ในหลาย part เลยครับ)
#สำหรับท่านอื่นๆ ได้ตอบคำถามดังนี้ครับ
1) ถ้าพื้นฐานเลย ก็ลองศึกษาจากในเวบ isaca หรือ iia มีแนวตรวจสอบ it general control อยู่ครับ ซึ่งไม่ลงเทคนิคมาก
แต่ นะครับ แต่ ถ้าคิดว่าเอาไม่อยู่ ก็ไม่ควรตรวจครับ ควรรายงาน AC ตามตรงว่า เราไม่มีความเข้าใจพอ และนำเสนอแนวทางอื่นไป ไม่ควรฝืนตรวจทั้งที่ไม่เข้าใจจริงๆครับ
2) คงตรวจได้ไม่ครบตามมาตรฐานสากล Cobit ไม่สามารถรับรองออกรายงานการตรวจสอบได้อย่างเต้มปาก ว่าระบบit ของบริษัทถุกต้อง เชื่อถือได้ ตามมาตรฐาน ควรรายงานให้ACรับทราบความเสี่ยงเรื่องนี้ เพื่อหาทางแก้ไขต่อไป
3) จาก ERM มี Visibility มั้ยค่ะ ว่า อะไรคือ Red Flag 🚩 ของ IT risks
Scoping การตรวจสอบ จากมองภาพใหญ่ก่อนก็ได้ค่ะ เช่น
1. การให้บริการด้านสารสนเทศ Model เป็น Insource or Outsouce
2. ลักษณะของธุรกิจ พึ่งพา Technology เป็น Key enabler มากขนาดไหน
3. มี compliance requirement ?
4. ดู IT risks profile ที่เป็น zone red flag 🚩 ก่อนค่ะ
เริ่มที่ตรงนี้ก่อนค่ะ
ไม่แนะนำให้ Do by check list ถ้าเป็น SME ควรใช้ COBIT 2019 มี DesignFactor 10 ตัว ช่วย IA scope IT processes / Domain ที่ควรเป็น Focus point และ มี control guidline ให้เป็นแนวทางการตรวจได้ค่ะ
เรื่องภาษา สามารถ นำหัวข้อ ใน COBIT 2019 ไป Mapping กับ COBIT 5 Thai version ได้ค่ะ Free down load ทั้งคู่ค่ะ
ล่าสุดที่ใช้ COBIT 2019 Tailor Procedure ที่ใช้ IT Outsource Model ค่อนข้างเยอะ จะ Focus อยู่ที่ 6-7 Domain จาก 40 Domain ค่ะ ถ้าขับ Cobit 2019 คล่อง จะเห็นได้ค่ะ ว่าใช้ไม่ยากเลย ลองดูนะค่ะ
#หวังว่าคงเป็นประโยชน์ต่อท่านอื่นๆ นะครับ
#โค้ชเม้ง
............................................................................
#ท่านใดสนใจสมัครอบรมหรือต้องการสอบถาม
รายละเอียดเพิ่มเติมติดต่อมาได้เลยครับ
#ติดตามรายละเอียดของหลักสูตรต่างๆ ได้ใน #FBpageของบริษัท CIA Coach Consulting Co., Ltd. ตาม link นี้ครับ
https://www.facebook.com/CIA-Coach-Consulting-Co-Ltd-by-Coach-Meng-466788616782555/
#ติดตาม #Blog และ ช่อง #Youtube เพื่อนำเสนอผลงานของผม ทั้งงานเขียนบทความ และ Clip VDO รวมถึง Clip เสียง เพื่อเผยแพร่ความรู้ที่เป็นประโยชน์ต่อผู้ที่สนใจ ทั้งประเภทวิชาการ และ How-to ในการพัฒนาตนเองต่างๆ ครับ
#ชื่อBlog : CIA-Coach-Consulting
#ตามlinkนี้ครับ
CIA-Coach-Consulting.blogspot.com
#ชื่อช่องYoutube : CIA Coach Consulting Co., Ltd. by Coach Meng
#ตามlinkนี้ครับ
https://www.youtube.com/channel/UCyO2UYgDeFBEcGTkM2A_mAw
#ยินดีให้บริการและคำปรึกษาครับ
#โค้ชเม้ง
#นายสิริชัย สกุลแพร่พาณิชย์
#ผู้ตรวจสอบอิสระ โครงการ #CAC SME Certification
ถือวุฒิบัตร #CIA #CRMA #CPIAT และ
#C-PA (Certified Performance Audit Professional)
#CoachMeng
#CIACoachConsultingCoLtd
#CleanOceanStrategy
เบอร์โทรศัพท์ & Line :
087-359-3331
ไม่มีความคิดเห็น:
แสดงความคิดเห็น