IT Audit
วันที่ 21 กันยายน 2551 โดย
ประทักษ์ วงศ์สินคงมั่น
page 1
�NEED
1. ORGANIZATIONAL COSTS OF DATA LOSS 2. INCORRECT DECISION MAKING 3. COMPUTER ABUSE 4. VALUE OF COMPUTER H/W, S/W, AND PERSONNEL 5. HIGH COSTS OF COMPUTER ERROR 6. PRIVACY
page 2
�New Technologies
Internet and intranet
E-commerce Mobile computing
Workflow technology Knowledge systems, etc.
page 3
�More Concern
IT has become of critical importance to the survival and long-term success of any organization because The increasing dependence on information and the associated systems that deliver the information. The cost and size of future use of IT. The increasing potential from threats. The potential for technology to revolutionize organizations and their business practices crate new business opportunities. Laws and Regulations
page 4
�IT Control
ระบบสารสนเทศที่พัฒนาขึนมานั้นจาเป็นต้องมีการควบคุมและตรวจสอบ ้
อย่างใกล้ชิดและรัดกุมมากขึน ตั้งแต่ขั้นตอนก่อนการพัฒนาระบบ ขั้นตอน ้ ระหว่างที่พัฒนาระบบและขั้นตอนหลังจากที่ระบบได้รับการพัฒนาเสร็จ เรียบร้อยแล้วและนาไปใช้งาน
การควบคุมระบบสารสนเทศ เป็นวิธีการที่ใช้สาหรับป้องกัน ค้นหา และแก้ไข เหตุการณ์ที่เกิดขึ้นจากข้อผิดพลาดหรือเหตุผิดปกติอันเกิดขึ้นจากส่วนประกอบต่าง ๆ ของระบบสารสนเทศ เพื่อให้องค์การมีระบบการควบคุมภายในที่ดีตั้งแต่เริ่มต้น จึง ควรกาหนดการควบคุมระบบสารสนเทศไว้ในทุกขั้นตอนตั้งแต่เริ่มนาข้อมูลเข้าสู่ ระบบคอมพิวเตอร์ ระบบทาการประมวลผลข้อมูล จนกระทั่งระบบแสดงผลลัพธ์ ออกมา
page 5
�Area related to Controls
APPLICATION SYSTEMS DEVELOPMENT
IT Control OBJECTIVES COMPUTER SERVICE CENTER COMPUTER APPLICATION SYSTEMS
page 6
�การจัดมาตรฐานการควบคุมภายในด้านระบบสารสนเทศ (Information System Internal Controls) โดยแบ่ง ออกเป็น 2 ลักษณะใหญ่ ๆ คือ
(General Control) 2.2 การควบคุมภายในระบบงาน (Application Control)
2.1 การควบคุมภายในทัวไป ่
page 7
�2.1 การควบคุมภายในทัวไป (General Controls) ่
การควบคุมภายในทั่วไป เป็นมาตรฐานการควบคุมที่ไม่อิงเฉพาะระบบงานใดระบบงาน หนึ่ง แต่จะเป็นการควบคุมที่อาศัย นโยบาย ระเบียบหรือ กฎเกณฑ์ การกาหนดขั้นตอนการ ปฏิบัติงาน (Policy, Regulation & Procedure) เป็นหลักในการควบคุมกิจกรรมของงานที่มี ความสัมพันธ์กับองค์ประกอบของการประมวลผลข้อมูล ซึ่งรับผิดชอบโดยตรงโดย หน่วยงานคอมพิวเตอร์ ทั้งนี้การควบคุมภายในทั่วไปประกอบด้วย
1) การควบคุมภายในของการพัฒนาระบบงาน
(Application System Development Control) 2) การควบคุมภายในของการดาเนินงานของศูนย์คอมพิวเตอร์ (Computer Service Center Control)
page 8
�2.2 การควบคุมระบบสารสนเทศ (Application Control)
หมายถึง การควบคุมโดยตรงในแต่ละระบบงาน เพื่อสร้างความมั่นใจว่าทุกรายการได้รับการบันทึก ข้อมูลนาเข้า ได้รับการอนุมัติ และได้รับการประมวลผล อย่างถูกต้อง ภายในระยะเวลาที่เหมาะสม และมีการ ป้องกันดูแลรักษาผลลัพธ์และแฟ้มข้อมูลที่ได้ รวมทั้ง ลดความสูญเสียที่อาจเกิดขึ้นจากการใช้
page 9
�องค์ประกอบ - Key components of Application Controls
ACCESS INPUT
Manual input
PROCESS
Process Control
OUTPUT
Disk file
Form
Disk file Report
page 10
�Control Frameworks
page 11
�Control Framework
Governance Governance Layer Management Layer
COSO
COBIT
Layer
IT
ITIL
CMM/CMMI
page 12
IT
ISO 17799
�Control Frameworks
COSO Committee of Sponsoring Organisation of the Treadway Commission (Internal ControlIntegrated Framework 1992) COBIT Control Objectives for Information and related Technology (IT Governance framework) by IT Governance Institute
ITIL The UK Office of Government commerce (OGC) IT Infrastructure Library; a set of guides on the management and provision of Operational IT services
page 13
�Control Frameworks
ISO 17799 An international standard that defines information confidentiality, integrity and availability controls CMM/CMMI Capability Maturity Model. A model used by many organizations to identify good practices useful in helping them assess and increase the maturity of their software development processes
page 14
�September 16, 2008 page 15
�วัตถุประสงค์ของธุรกิจ
การกากับดูแลที่ดีด้านเทคโนโลยีสารสนเทศ
COBIT
วัตถุประสงค์ด้านสารสนเทศ ประสิทธิภาพ ประสิทธิผล การรักษาความลับ ความถูกต้องครบถ้วน สภาพพร้อมใช้งาน การปฏิบัติตาม ความเชื่อถือได้
การเฝ้าติดตาม
การวางแผนและการจัดองค์การ
ทรัพยากรด้านเทคโนโลยีสารสนเทศ บุคลากร ระบบงานประยุกต์ เทคโนโลยี สิ่งอานวยความสะดวก การส่งมอบและการสนับสนุน ข้อมูล
page 16
การจัดหาและการนาระบบออกใช้งานจริง
�page 17
�CobiT Cube
IT Processes : Domains, Processes, Activities IT resources : Infrastructure, Applications, Information, People
Information Criteria : Business requirements of information: Quality : Effectiveness, Efficiency Fiduciary : Compliance, Reliability Security : C I A
page 18
�Business Requirements = Information Criteria
effectiveness – ประสิทธิผล สารสนเทศในกระบวนการทางธุรกิจที่ได้รับมา อย่างถูกต้อง ตรงเวลา และเชื่อถือได้ efficiency – ประสิทธิภาพ การใช้ทรัพยากรอย่างคุ้มค่า confidentiality – ความลับ การป้องกันสารสนเทศที่สาคัญไม่ให้เปิดเผยโดย ผู้ที่ไม่มีอานาจหน้าที่ integrity – ความถูกต้องเชื่อถือได้ มีสารสนเทศที่ครบถ้วนโดยมีการสอบทานให้ สอดคล้องกันความต้องการขององค์กร availability – ความพร้อม ความพร้อม เกี่ยวกับสารสนเทศที่มีพร้อมเมื่อ ธุรกิจต้องการ และรวมถึงการรักษาความปลอดภัยของทรัพย์สิน compliance – การกากับ เกี่ยวกับการปฏิบัติให้ตรงตาม กฏ, ระเบียบ และ สัญญา reliability of information - ความเชื่อมั่นในสารสนเทศ เกี่ยวข้องกับ ระบบที่ให้สารสนเทศที่เหมาะสมต่อการใช้งาน
page 19
�IT Domains & Processes
Domains
Natural grouping of processes, often matching an organisational domain of responsibility. A series of joined activities with natural (control) breaks. Actions needed to achieve a measurable result. Activities have a life-cycle whereas tasks are discreet.
Processes
Activities
page 20
�page 21
�page 22
�page 23
�page 24
�Auditor Associations…in Thailand..
ICAAT (The Institute of Certified Accountants and Auditors of Thailand) www.icaat.or.th สมาคมนักบัญชีและผูสอบบัญชีรับอนุญาตแห่งประเทศไทย ้ IIAT (The Institute of Internal Auditors of Thailand)
www.theiiat.or.th สมาคมผูตรวจสอบภายในแห่งประเทศไทย (สตท) ้
ISACA (Information System Audit and Control Association)
www.isaca-bangkok.org สมาคมผูตรวจสอบและควบคุม ้ ระบบ สารสนเทศ ภาคพื้นกรุงเทพ
page 25
�Certifications (Audit and Security)
CPA CIA CISM Certified Public Accountant Certified Internal Auditor Certified Information Security Manager
CISA Certified Information System Auditor
CGEIT Certified in the Governance of Enterprise IT CISSP Certified Information Systems Security Professional
page 26
�IT General Controls Audit
27 page 27
�Boundaries of Business, General and Application Controls
Controls embedded in IT Processes and services
28 page 28
�Phrases of An IS Audit
Audit Planning
1. 4.
Tests of Controls
*Substantive Testing
7.
ReviewofOrganization’s Policies, Practices, and Structure
Perform Tests of Controls
Perform Substantive Tests
2.
Review General controls and Application Controls
5.
8.
Evaluate Test Results
Evaluate Results and Issue Auditor’sReport
3.
6.
Plan Tests of Controls and Substantive Testing Procedure
Determine Degree of Reliance on Controls
9.
Audit Report
* Substantive testing is the process of obtaining evidence in support of transactions and balances.
page 29
�Plan
1. Perform a quick risk assessment 2. Assess threat, vulnerability and business impact 3. Diagnose operational and project risk 4. Plan risk-based assurance initiatives
5. Identify critical IT processes based on value drivers
6. Assess process maturity
page 30
�Scope
1. Scope and plan assurance initiatives 2. Select the control objectives for critical processes
3. Customise control objectives
31 page 31
�Execute
1. Refine the understanding of the IT assurance subject
2. Refine the scope of the key control objectives for the IT assurance subject
3. Test the effectiveness of the control design of the key control objectives
4. Test the outcome of the key control objectives
5. Document the impact of control weaknesses
6. Develop and communicate overall conclusion and recommendations
page 32
�General Controls Reviews
IT Security Policy Users/Passwords Change Management Control Disaster Recovery Physical Management
page 33
�Technology Reviews
Servers, Networks, VPN, etc.
Requires more expertise Needs specialists Rapid, continuous change Periodic
Hardware Interaction
Processors (mainframes, desktops, laptops) Input devices (tape, cartridge) Output devices
page 34
�Penetration Tests
Highly Specialized Skill-Set Periodic (not one-off) External: No Knowledge of Network Internal: in Cooperation with Insiders Typically, Outsource
page 35
�General Controls Operations
Data center operations Scheduling Media management Facilities Production environment
page 36
�General Controls - Continuity Planning
Proper planning Testing Scenarios Sufficient resources and commitment Human side, responsible persons Media management inventory processes onsite/offsite
page 37
�General Controls -Networking
Basics of Networking topologies protocols Components Internal connectivity Performance
page 38
�System Development Life Cycle Audit
39 page 39
�System Development Life Cycle
page 40
�Testing Lifecycle
Unit Test User Acceptance Test
Functional testing
System Integration Test
Performance test /Stress Test
Testing Lifecycle Activities
Test Analysis Test Planning Test Execution Test Maintenance
Test Requirements
Application Walkthrough Gap Analysis
Acceptance Criteria
Test Strategy Tool Selection
Test Plan Resource planning Test environment set-up Test case design
Test Cases & Test Script
Test execution Internal Reviews Reporting and Sign-off
Test Cases & Test
Script maintenance Test pack re-engineering
Test Execution
Manual
Semi - Automated
page 41
Automated
�Systems Development Life Cycle (SDLC)
Review Controls During Development Best if Development Standards are Used Needs CONTINUOUS Availability Use Non-IT Auditors or Ex-Developers or Both Need Team Players Typically, Do NOT Outsource Continuous Until Completion
42 page 42
�Auditor’s Role in IT Development Projects
1. Safeguard capital investments
1. Proactively recommend internal controls
43 page 43
�Auditor’s Role in IT Development Projects
1. Safeguard capital investments Should evaluate controls within the project management processes and proactively make recommendations to mitigate risks that may hinder achieving project objectives and goals.
page 44
�Auditor’s Role in IT Development Projects
1. Proactively recommend internal controls. Ensure that adequate controls are incorporated during the development phases of business and system processes before they are introduced to the business operation.
page 45
�Project Structure
page 46
�Questions?
page 47
�