การตรวจสอบด้านเทคโนโลยีสารสนเทศ

ปัจจุบันเทคโนโลยีสารสนเทศได้มีบทบาทสำคัญในการดำเนินงานของบริษัท ทั้งในส่วนของการบริหารจัดการ การจัดเก็บข้อมูลและการประมวลผลระบบงานสำคัญ ต่างๆ อย่างไรก็ดี การใช้ เทคโนโลยีสารสนเทศก็มีความเสี่ยงหลายประการที่ควรคำนึงถึง โดยหากบริษัทไม่มี การบริหารจัดการและการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศที่รัดกุมเพียงพอ ก็อาจ ส่งผลกระทบต่อการดำเนินงานหรือสร้างความเสียหายต่อบริษัทได้ ดังนั้น การควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศจึงเป็นเรื่องที่สำคัญ 

ความ เสี่ยงด้านเทคโนโลยีสารสนเทศ สามารถ แบ่งออกเป็น 4 ประเภทหลัก ดังนี้ 

1. Access Risk : เป็นความเสี่ยงเกี่ยวกับการเข้าถึงข้อมูล และระบบคอมพิวเตอร์ โดยบุคคล ที่ไม่มีอำนาจหน้าที่เกี่ยวข้อง หรือเป็นความเสี่ยงในกรณีที่บุคคลที่มีอำนาจหน้าที่ไม่สามารถเข้าถึง ข้อมูลและระบบคอมพิวเตอร์ในส่วนที่เกี่ยวข้องกับงานที่รับผิดชอบ การควบคุมที่ไม่เพียงพอ อาจทำให้บุคคล ที่ไม่มีอำนาจหน้าที่เกี่ยวข้องได้ล่วงรู้ข้อมูล และอาจนำข้อมูลไปแสวงหาประโยชน์โดยมิชอบ อีกทั้ง ข้อมูลและการทำงานของระบบคอมพิวเตอร์ ก็อาจถูกแก้ไขเปลี่ยนแปลงได้ ส่วนกรณีบุคคลที่มีอำนาจหน้าที่ไม่สามารถเข้าถึงข้อมูลและระบบคอมพิวเตอร์ในส่วนที่เกี่ยวข้องกับงานที่รับผิดชอบได้นั้น อาจทำให้การปฏิบัติงานไม่มีประสิทธิภาพเท่าที่ควร 

โดยที่ความเสี่ยงด้าน access risk อาจเกิดจากหลาย สาเหตุ เช่น การกำหนดสิทธิในการเข้าถึงข้อมูลและระบบคอมพิวเตอร์ที่ไม่เหมาะสมกับหน้าที่และ ความรับผิดชอบหรือเกินความจำเป็นในการใช้งาน การมิได้มีการกำหนดรหัสผ่าน (password)ในการเข้าสู่ระบบงานคอมพิวเตอร์อย่างรัดกุมเพียงพอ การมิได้จำกัดและควบคุมให้เฉพาะเจ้าหน้าที่ที่มี อำนาจหน้าที่เกี่ยวข้องในการเข้าออกศูนย์คอมพิวเตอร์ เป็นต้น 

2. Integrity Risk: เป็นความเสี่ยงเกี่ยวกับความไม่ถูกต้องครบถ้วนของข้อมูลและการทำงาน ของระบบคอมพิวเตอร์ซึ่งอาจเกิดจากการถูกแก้ไขเปลี่ยนแปลงโดยบุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้อง หรือมีการบันทึกข้อมูล การประมวลผล และการแสดงผลที่ผิดพลาด โดยอาจมีสาเหตุมาจากการที่มิได้มีการควบคุมเกี่ยวกับการเข้าถึงข้อมูลและระบบคอมพิวเตอร์โดยบุคคลที่ไม่มีอำนาจ หน้าที่เกี่ยวข้องที่รอบคอบและรัดกุมเพียงพอ (access risk) 

3. Availability Risk : เป็นความเสี่ยงเกี่ยวกับการไม่สามารถใช้ข้อมูลหรือระบบคอมพิวเตอร์ ได้อย่างต่อเนื่องหรือในเวลาที่ต้องการ ซึ่งอาจทำให้การปฏิบัติงานหรือการดำเนินธุรกิจของบริษัทหยุดชะงักได้ โดยความเสี่ยงนี้อาจเกิดจากการมิได้ควบคุมดูแลการทำงานของระบบ คอมพิวเตอร์และป้องกันความเสียหายอย่างเพียงพอ และยังรวมไปถึงการมิได้มีการสำรองข้อมูล และ ระบบงานคอมพิวเตอร์ และจัดให้มีแผนรองรับเหตุการณ์ฉุกเฉิน นอกจากนี้หากบริษัทมิได้มี การควบคุมเกี่ยวกับการเข้าถึงข้อมูล และระบบคอมพิวเตอร์ที่รอบคอบและรัดกุมเพียงพอแล้ว (ระบบคอมพิวเตอร์หมายถึง โปรแกรม ระบบงาน เครือข่าย และอุปกรณ์คอมพิวเตอร์)

4. Infrastructure Risk : เป็นความเสี่ยงเกี่ยวกับการที่บริษัทหลักทรัพย์มิได้จัดให้มี การบริหารจัดการด้านเทคโนโลยีสารสนเทศที่สะท้อนระบบควบคุมภายในที่ดี รวมทั้งมิได้จัดให้ มีระบบคอมพิวเตอร์ และบุคลากร ให้เหมาะสมและเพียงพอแก่การสนับสนุนการประกอบธุรกิจ โดยความเสี่ยงนี้อาจเกิดจากการแบ่งแยกอำนาจหน้าที่ที่ไม่เหมาะสม ซึ่งทำให้ขาดระบบการสอบยันและ การตรวจสอบการปฏิบัติงานที่เพียงพอ รวมถึงการมิได้จัดให้มีนโยบายเกี่ยวกับการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT security policy) ซึ่งทำให้ไม่มีแนวทางในการควบคุมความเสี่ยงต่างๆ หรือเกิดจากการไม่มีแผนงานและขั้นตอนการปฏิบัติงานที่ครอบคลุมงานสำคัญทุกด้านและมีรายละเอียดเพียงพอเพื่อใช้เป็นแนวทางในการปฏิบัติงาน นอกจากนี้ ก็อาจเกิดจากการ มิได้จัดให้มีระบบคอมพิวเตอร์ที่มีประสิทธิภาพเพียงพอแก่การสนับสนุนการดำเนินธุรกิจ และการ มิได้จัดให้มีการอบรมบุคลากรด้านคอมพิวเตอร์อย่างเพียงพอเพื่อให้มีความรอบรู้และเชี่ยวชาญใน งานที่รับผิดชอบ 

นอกจากความเสี่ยง 4 ประเภทหลักตามที่กล่าวข้างต้น ยังมีความเสี่ยงเกี่ยวกับการที่ผู้บริหารของบริษัท มิได้รับข้อมูลที่เกี่ยวข้องอย่างถูกต้องและทันเวลาเพื่อใช้ประกอบการตัดสินใจ ทางธุรกิจ 

ดังนั้น การตรวจสอบการบริหารจัดการและการควบคุม ความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทหลักทรัพย์ จึงจำเป็นต้องตรวจสอบในเรื่องดังต่อไปนี้ 

1. โครงสร้างหน่วยงานและการบริหารจัดการ หากหน่วยงานเทคโนโลยีสารสนเทศมิได้ มีการจัดโครงสร้างและการบริหารจัดการที่ดีเพียงพอ ก็อาจก่อให้เกิดความเสี่ยงด้าน infrastructure risk ได้ ซึ่งการควบคุมการปฏิบัติงาน มีดังนี้ 

1.1 การแบ่งแยกอำนาจหน้าที่และความรับผิดชอบ ภายในหน่วยงานเทคโนโลยีสารสนเทศนั้น ควรเป็นไปตามหลักการควบคุมภายในที่ดี โดยไม่ควร มอบหมายให้บุคลากรคนหนึ่งคนใดรับผิดชอบการปฏิบัติงานตลอดกระบวนการ ซึ่งการมอบหมาย ให้บุคลากรคนหนึ่งคนใดปฏิบัติงานหลายหน้าที่ควบคู่กันในบางกรณี ยังอาจเป็นช่องทางให้ข้อมูล หรือการทำงานของระบบคอมพิวเตอร์ถูกแก้ไขหรือเปลี่ยนแปลงได้โดยง่าย (integrity risk) เช่น การมอบหมายเจ้าหน้าที่พัฒนาระบบงาน (system developer) ซึ่งควรปฏิบัติงานเฉพาะในส่วนที่มี ไว้สำหรับการพัฒนาระบบงาน (test environment) ให้ปฏิบัติหน้าที่อื่นที่เกี่ยวข้องกับส่วนของการใช้งานจริง (production environment) ควบคู่กัน ซึ่งมีความเสี่ยงในกรณีที่เจ้าหน้าที่พัฒนาระบบงาน อาจแก้ไขเปลี่ยนแปลงข้อมูลจริงหรือการทำงานของระบบคอมพิวเตอร์ได้โดยง่าย 

ทั้งนี้ หากบริษัทมีข้อจำกัดด้านบุคลากร โดยมีความจ าเป็นต้องมอบหมายให้บุคลากรคนหนึ่งคนใดปฏิบัติงานหลายหน้าที่ควบคู่กัน บริษัท ก็ควรกำหนดมาตรการควบคุมการปฏิบัติงานของบุคลากรให้รอบคอบและรัดกุมเพียงพอ เช่น กำหนดให้มีบันทึกการทำงาน (log files) ของบุคลากร รายดังกล่าว และมีการตรวจสอบบันทึกดังกล่าวอย่างสม่ำเสมอ เป็นต้น 

1.2 การกำหนดนโยบาย แผนงานและขั้นตอนการปฏิบัติงาน ที่ชัดเจน จะทำให้บุคลากรสามารถปฏิบัติงานได้อย่างถูกต้อง ครบถ้วน และเป็นไปในแนวทางเดียวกัน ซึ่งจะส่งผลให้การปฏิบัติงานโดยรวมมีประสิทธิภาพ นอกจากนี้ ยังลดโอกาสการปฏิบัติงานผิดพลาดในกรณีที่มีการสับเปลี่ยนหน้าที่และความรับผิดชอบ หรือมีการมอบหมายงานให้บุคลากรรายใหม่ 

1.3 การตรวจสอบการปฏิบัติงานของพนักงานระดับปฏิบัติการอย่างใกล้ชิดโดยผู้บังคับบัญชา จะทำให้การปฏิบัติงาน โดยรวมมีความถูกต้องและละเอียดรอบคอบมากขึ้น ซึ่งจะเป็นการลดโอกาสการเกิดข้อผิดพลาด และป้องกันการปฏิบัติงาน นอกเหนืออำนาจหน้าที่และความรับผิดชอบที่ได้รับมอบหมาย 

นอกจากนี้ ในกรณีที่บริษัทได้ใช้บริการงานสนับสนุนด้านเทคโนโลยีสารสนเทศจากบุคคลภายนอก ไม่ว่าทั้งหมดหรือบางส่วน โดยบริษั ควรมี ระบบการตรวจสอบการปฏิบัติงานของบุคคลภายนอกอย่างรอบคอบและรัดกุมเพียงพอ เช่น มีการ ตรวจสอบบันทึกการทำงาน (log files) ของบุคคลภายนอก และกำหนดให้บุคคลภายนอกรายงาน การปฏิบัติงาน เป็นต้น 

2. การรักษาความปลอดภัยข้อมูลและระบบคอมพิวเตอร์ ในการดำเนินธุรกิจ บริษัท มักจะรับรู้ข้อมูลของลูกค้า ซึ่งเป็นข้อมูลที่ไม่ควรเปิดเผย ดังนั้น การรักษาความปลอดภัยข้อมูล และระบบคอมพิวเตอร์ จึงเป็นเรื่องที่ส าคัญอย่างมาก โดยในการควบคุมการเข้าออกศูนย์คอมพิวเตอร์และการป้องกันความเสียหายและการควบคุมการใช้ข้อมูลและระบบคอมพิวเตอร์ รวมทั้งการป้องกันการบุกรุก ระบบเครือข่าย ดังนี้ 

2.1 การควบคุมการเข้าออกศูนย์คอมพิวเตอร์และการป้องกันความเสียหาย (Physical Security) เนื่องด้วยข้อมูลที่เกี่ยวข้องกับการดำเนินธุรกิจได้ถูกจัดเก็บไว้ในระบบคอมพิวเตอร์ และในสื่อบันทึกข้อมูลทางอิเล็กทรอนิกส์เป็นส่วนใหญ่ตามที่กล่าวข้างต้น ดังนั้น การควบคุมการเข้าออกศูนย์คอมพิวเตอร์ซึ่งเป็นสถานที่ตั้งของเครื่องแม่ข่ายที่ใช้เก็บฐานข้อมูล และยังเป็นสถานที่ในการ ประมวลผลและจัดท ารายงานต่างๆ จึงมีความสำคัญอย่างมากในการป้องกันมิให้บุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้องเข้าถึง ล่วงรู้  (access risk) แก้ไขเปลี่ยนแปลง (integrity risk) หรือก่อให้เกิดความเสียหาย ต่อข้อมูลและระบบคอมพิวเตอร์ (availability risk) 

นอกจากนี้ ระบบป้องกันความเสียหายภายในศูนย์คอมพิวเตอร์ก็มีความส าคัญในการป้องกันมิให้ข้อมูลและระบบคอมพิวเตอร์ได้รับความเสียหายจาก ปัจจัยสภาวะแวดล้อมหรือภัยพิบัติต่างๆ (availability risk) และควรจัดให้มีระบบป้องกันความเสียหายภายในศูนย์คอมพิวเตอร์จากปัจจัยสภาวะ แวดล้อมและภัยพิบัติต่างๆ เช่น ระบบป้องกันไฟไหม้ ระบบควบคุมอุณหภูมิ ระบบไฟฟ้าส ารอง เป็นต้น 

2.2 การควบคุมการใช้ข้อมูลและระบบงานคอมพิวเตอร์ และการป้องกันการบุกรุก ผ่านระบบเครือข่าย (Logical Security) เช่น การกำหนดรหัสผ่านในการเข้าสู่ระบบงานอย่างรัดกุม หรือกำหนดสิทธิให้แก่ผู้ใช้งานภายในเพื่อเข้าถึงข้อมูลและระบบงานคอมพิวเตอร์ตามความจำเป็น (As need basis) เป็นต้น และความให้ความส าคัญกับการจัดให้มีระบบการตรวจสอบ ผู้ใช้งานก่อนเข้าสู่ระบบคอมพิวเตอร์ (authentication) และการกำหนดให้มีการใส่รหัสผ่านก่อนเข้าสู่ ระบบคอมพิวเตอร์โดยรหัสผ่านดังกล่าว ควรมีการกำหนดความยาวขั้นต่ำ อายุ จำนวนครั้งที่ยอมให้ใส่รหัสผ่านผิด และควรกำหนดรหัสผ่านให้มีความยากแก่การคาดเดา 

3. การควบคุมการพัฒนา การแก้ไขหรือเปลี่ยนแปลงระบบงานคอมพิวเตอร์ (Change Management)

4. การสำรองข้อมูลและระบบงานคอมพิวเตอร์ และการเตรียมพร้อมกรณีฉุกเฉิน เช่น การติดไวรัส สภาวะแวดล้อมหรือภัยพิบัติต่างๆ หรืออาจเกิดจากการปฏิบัติงานที่ผิดพลาดของผู้ใช้งาน เป็นต้น ทั้งนี้ การเตรียมพร้อมกรณีฉุกเฉินต่างๆ ดังนี้

4.1 การสำรองข้อมูลและระบบงานคอมพิวเตอร์ หากมิได้มีการสำรองข้อมูล และระบบงานคอมพิวเตอร์ที่เพียงพอในกรณีที่เกิดเหตุการณ์ที่ทำให้ข้อมูลหรือระบบงานคอมพิวเตอร์ เสียหาย บริษัทอาจไม่มีข้อมูลหรือระบบงานคอมพิวเตอร์สำหรับการใช้งานได้อย่างต่อเนื่อง มีประสิทธิภาพ และในเวลาที่ต้องการ (availability risk) ซึ่งอาจส่งผลกระทบต่อการดำเนินงานของบริษัทและอาจก่อให้เกิดความเสียหายต่อลูกค้าได้ จึงควรมีการทบทวนวิธีการเก็บรักษาสื่อที่ใช้บันทึกข้อมูลและระบบงานคอมพิวเตอร์ และการทดสอบความถูกต้องครบถ้วนของข้อมูลและการท างานของระบบงานคอมพิวเตอร์ที่ได้สำรองไว้ 

4.2 การเตรียมพร้อมกรณีฉุกเฉิน การจัดให้มีแผนฉุกเฉินเพื่อรองรับในกรณีที่อาจเกิดเหตุการณ์ฉุกเฉิน จะทำให้การควบคุมความเสี่ยงด้าน availability risk มีประสิทธิภาพมากขึ้น ซึ่งแผนดังกล่าวควรมีรายละเอียดที่ชัดเจนเกี่ยวกับขั้นตอนปฏิบัติและผู้รับผิดชอบ ควรมี การสื่อสารให้ผู้เกี่ยวข้องเข้าใจและรับทราบหน้าที่ความรับผิดชอบ รวมทั้งควรมีการทดสอบแผน ดังกล่าวเพื่อให้มั่นใจได้ว่าสามารถน าไปใช้ได้จริงในทางปฏิบัติ 

5. การควบคุมการปฏิบัติงานประจำด้านคอมพิวเตอร์ ที่สำคัญคือ การควบคุมการประมวลผลข้อมูล ซึ่งการประมวลผลข้อมูลต้องมีความถูกต้องและครบถ้วน เพราะอาจทำให้ข้อมูลไม่ถูกต้องหรือไม่ครบถ้วน (integrity risk) ซึ่งอาจก่อให้เกิดความเสียหายต่อบริษัทและลูกค้าได้ นอกจากที่กล่าว ยังมีงานประจำอื่นที่ส าคัญ เช่น การดูแลการทำงานของระบบคอมพิวเตอร์ การย้ายโปรแกรมที่พัฒนาแล้วสู่ระบบงานจริง การสำรองข้อมูลและระบบงานคอมพิวเตอร์ เป็นต้น