การใช้โปรแกรมตรวจสอบใน งาน IT Audit

บรรยาย โดย
ประเสริฐ แซเ่ จีย
่
FLS Services (Thailand) Ltd.,
prasert@wilnetc.com
Tel: 02-634-8900; 081-842-8145
Agenda

 โปรแกรมตรวจสอบที่ใช้ ใน ปั จจุบนั

 ประโยชน์ของโปรแกรมตรวจสอบทัว่ ไป

 Technology สําหรับ Continuous Auditing / Monitoring

 ตัวอย่างข้ อควรตรวจสอบ ในการตรวจแต่ละกระบวนการ (Top 10 Recommended Analysis)

 ตัวอย่างการตรวจสอบ ในการตรวจ IT Audit

 Q&A

2
 Data Analysis –สําหรับทํางานแต่ละบุคคล

ผู้ตรวจสอบ
• Data จะทําการตรวจเฉพาะเรื
Analysis ่ องที่ต้องการofโดยทํ
– Ad-hoc analysis dataาการนํ าข้ อมูลเข้ าและตรวจวิ
populations เคราะห์
to detect
transactions that fall outside of business norms, internal
งาน เพื่อตรวจหาความผิ
control standards ดor
ปกติregulatory
ของข้ อมูล ที่ผิดไปจากกฎระเบี
requirements. ยบและมาตรฐาน

 ACL™ Analytics (Desktop)

 Data Analysis – สําหรับทํางานเป็ นกลุ่ม
ผู้ตรวจสอบ
• Data สามารถใช้ โ–ปรแกรมวิ
Analysis the เคราะห์ การตรวจงานร่
ability วมกัน สามารถกํ
to share าหนดตารางเวลาในการนํ
analytic tests, scheduleาข้ อมูลเข้ า
data to be imported for repetitive analysis and want the extra
และตรวจวิเคราะห์งานได้ มีความปลอดภัยและความสามารถประมวลผลได้ ดี
security and power of the ACL™ Analytics Exchange server.

 ACL™ Analytics Exchange Server

Server Centralised Centralised

Based Data Analytic Repository
• Communication • Standard Data • Store all
among servers Analytics analysis result
• Higher Security • Best Practise/ • Store all related
Knowledge base documents and
evidence
 GRC (Governance Risk และ Compliance)

เป็ นวิธ–ีการจั
• GRC ดการและประเมินผล
Management and ความเสี ่ยงและตัวควบคุมof
measurement ให้ สrisks
อดคล้ องกับand
วัตถุปcontrols
ระสงค์ของธุรกิจagainst
หรื อ หน่วยงาน
business objectives
โดยจะต้ องกําหนดวั ตถุประสงค์ของธุin accordance
รกิจเป็ with regulations,
นไปตามข้ อกําหนดกฎระเบี ยบตามมาตรฐานต่างๆstandards,
policies and business decisions.

 ACL™
 ่
ประโยชน์ของโปรแกรมตรวจสอบทัวไป
 ประโยชน์ ของโปรแกรมตรวจสอบทั่วไปที่ผ้ ูตรวจสอบต้ องการ

 ใช้ งานง่ าย

 สามารถตรวจสอบความถูกต้ องของข้ อมูล

 สามารถเข้ าถึงข้ อมูลได้ หลากหลาย และ สามารถแปลงข้ อมูลให้ ใช้ งานได้

 สามารถตรวจสอบข้ อมูลจํานวนมากได้

 ข้ อมูลที่ตรวจต้ องมีความปลอดภัย ไม่ สามารรถแก้ ไขได้

 สามารถนําเข้ าข้ อมูล และ ส่ งออกข้ อมูลได้ หลากหลายรูปแบบ

 ประโยชน์ ของโปรแกรมตรวจสอบทั่วไปที่ผ้ ูตรวจสอบต้ องการ

 จัดการข้ อมูลขนาดใหญ่ ได้ อย่ างมีประสิทธิภาพ

 มีคาํ สั่งที่ช่วยในการวิเคราะห์ หรือฟั งก์ ชัน ต่ างๆครบถ้ วน

 สามารถโปรแกรมได้

 มี log เก็บขัน้ ตอนต่ างๆ

 สามารถตรวจสอบซํา้ ได้ ง่าย

 โปรแกรมตรวจสอบที่ใช้ ในปั จจุบนั

 Spreadsheet software เช่น excel

 ฐานข้ อมูล (Databases)

 Desktop software (Microsoft Access)
 Server-based (SQL/Oracle)

 โปรแกรมช่วยในการตรวจสอบ (Generalized Auditing Software)

 ACL
 IDEA

 เครื่ องมืออื่นๆ ช่วยในการตรวจสอบ

 SAA
 SPSS
 ่ ในปั จจุบน
โปรแกรมตรวจสอบทีใช้ ั

(SQL/ORACLE)
ปริมาณของข้ อมูล

(ACL/IDEA)

(MS ACCESS)

(EXCEL)

ความซับซ้ อนของการตรวจ
10
 โปรแกรมช่ วยในการตรวจสอบ (Generalized Auditing Software)

โปรแกรมช่วยในการตรวจสอบ ( ACL, IDEA)

 เป็ นเครื่ องมือที่ใช้ กนั แพร่หลายในงานตรวจสอบ (CAAT)

 ไม่ สามารรถแก้ ไขได้ (Read only-does not modify source data)

 มี log เก็บขัน้ ตอนต่ างๆ(Audit log - all commands are traceable and repeatable)

 สามารถโปรแกรมได้ (Scripting for automated or repetitive audits)

 สามารถเข้ าถึงข้ อมูลได้ หลากหลาย (Powerful data connectivity-can access almost

any data, even text-based reports and flat files)

คุณลักษณะเด่นของโปรแกรมตรวจสอบ ACL Analytics

• การเข้ าถึงข้ อมูล

• สามารถตรวจสอบข้ อมูลได้ ครบถ้ วน 100%
• สามารถจัดการข้ อมูลขนาดใหญ่ได้ อย่างมี
ประสิทธิภาพ
• สามารถเข้ าถึงข้ อมูลได้ หลากหลาย

• ความถูกต้ องของข้ อมูล

• ไม่สามารรถแก้ ไขได้
• สามารถตรวจสอบความถูกต้ องของข้ อมูล.

• เครื่ องมือช่ วยในการวิเคราะห์

• มีคําสัง่ ที่ช่วยในการวิเคราะห์หรื อฟั งก์ชน
ั
ต่างๆครบถ้ วน

12
คุณลักษณะเด่นของโปรแกรมตรวจสอบ ACL Analytics

• มี Log ไฟล์ เก็บขัน้ ตอนการตรวจ

• สามารถตรวจสอบย้ อนหลังได้
• เป็ นหลักฐานอ้ างอิงในการตรวจสอบ

• ทํางานอย่ างอัตโนมัตไิ ด้
• สามารถเขียน Scripts หรื อ โปรแกรม ให้ ทํางานได้ กบั
ข้ อมูลหลากหลาย
• ทํางานอย่างอัตโนมัติได้

13
คุณลักษณะเด่นของโปรแกรมตรวจสอบ ACL Analytics

• สามารถแชร์ ผลตรวจได้
• สามารถแชร์ ผลตรวจข้ อมูลได้ โดยผ่าน
Analysis Apps
• สามารถแชร์ กราฟผลตรวจข้ อมูลได้ โดย
ผ่าน Analysis App

14
คําสัง่ ของโปรแกรมตรวจสอบ ACL Analytics
 ่
คําสังของโปรแกรม ACL Analytics

ACL มีคําสัง่ ต่างๆ ที่ใช้ ในการตรวจวิเคราะห์ข้อมูลซึง่ รวมถึง ฟั งก์ชนั ทางสถิติ (statistical function), คําสัง่ ใน
การจัดแบ่งข้ อมูลออกเป็ นช่วงชัน้ (stratification), และ คําสัง่ ในการจัดแบ่งข้ อมูลออกเป็ นช่วงระยะเวลา (aging).
ผลของคําสัง่ สามารถจัดเก็บเป็ น ไฟล์ หรื อ ตาราง (table), แสดงผลทางจอ, พิมพ์, และสามารถแสดงผลเป็ น กราฟ
ได้

คําสัง่ ต่างๆของ ACL สามารถจะทํางานได้ดงั นี ้ :

• การตรวจความสมบูรณ์ ของข้ อมูล (Verify data integrity)
• การสรูปข้ อมูลโดยรวม (Profile data)
• การแยกข้ อมูล (Isolate data)
• การเรียงลําดับข้ อมูล (Reorder tables)
• การรวมข้ อมูลเข้ าด้ วยกัน (Combine tables)
การตรวจความสมบู รณ์ของข้อมู ล (Verify data integrity)
เป็ นขันตอนแรกในการตรวจข้
้ อมูล เพื่อให้ มนั่ ใจได้ วา่ ข้ อมูลที่จะตรวจมีความถูกต้ อง และ สมบูรณ์ :
1. ขันแรก้ ให้ ตรวจสอบข้ อมูลว่า ข้ อมูลถูกต้ อง ตรงกับชนิดของข้ อมูลที่กําหนดไว้ หรื อไม่
2. ตรวจให้ แน่ใจว่ามีรายการข้ อมูลที่ต้องการครบถ้ วนทังหมด,ไม่ ้ มีรายการที่ไม่ต้องการปะปน และ ผลรวมของฟิ ลด์
ข้ อมูลที่เป็ นตัวเลข ถูกต้ องทุกฟิ ลด์.
3. ตรวจดูข้อมูลว่า มีข้อมูลเฉพาะช่วงที่ต้องการหรื อไม่
4. ตรวจสอบดูวา่ มีข้อมูลขาดหรื อหายไปหรื อไม่ มีข้อมูลซํ ้าหรื อรายการซํ ้าหรื อไม่.
การสรุปข้อมู ลโดยรวม (Profile data)
การสรุปข้ อมูลโดยรวม จะช่วยให้ เราเห็นภาพว่า ลักษณะข้ อมูลมีแนวโน้ มเป็ นอย่างไร และ มีอะไรที่ผิดปกติเกิดขึ ้นบ้ าง
คําสัง่ ในกลุม่ นี ้จะช่วยสรุปผลข้ อมูลให้ เห็นภาพภายใน 1หน้ าไม่วา่ ข้ อมูลจะมีขนาดใหญ่เท่าไรก็ตาม
คําสัง่ ที่ชว่ ยในการสรูปข้ อมูลโดยรวม ดังนี ้ :
การแยกข้อมู ล (Isolate data)
ในการตรวจสอบข้ อมูล, เรามักจะพบว่ามีข้อมูลที่ไม่เกี่ยวข้ องกับวัตถุประสงค์ในการตรวจปะปนกับข้ อมูลที่เราต้ องการ
จะตรวจสอบ เรามีความจําเป็ นที่จะต้ องแยกข้ อมูลที่ไม่เกี่ยวข้ องกับวัตถุประสงค์ออกไปให้ เหลือข้ อมูลที่ต้องการจะ
ตรวจสอบ เท่านัน้
วิธี ในการแยกข้ อมูลออกมาดังนี ้ :
การเรียงลําด ับข้อมู ล (Reorder tables)
บ่อยครัง้ ที่เรามีความจําเป็ นที่จะต้ องเรี ยงลําดับข้ อมูลเพื่อที่จะทําความเข้ าใจข้ อมูลให้ มากขึ ้น หรื อ เรี ยงลําดับข้ อมูล
เพื่อที่จะส่งต่อให้ คําสัง่ ถัดไป.
วิธี ในการเรี ยงลําดับข้ อมูลดังนี:้
การรวมข้อมู ลเข้าด้วยกัน (Combine tables)
บางครัง้ ที่เรามีความจําเป็ นที่จะต้ องรวม หรื อดึงข้ อมูลมาจากหลายตาราง(tables) เพื่อที่จะนําข้ อมูลมาวิเคราะห์
เสมือนเป็ นหนึง่ ตาราง (table).
วิธี ในการรวมข้ อมูลเข้ าด้ วยกัน ดังนี:้
ฟิ ลด ์คํานวณ (Computed fields)
ฟิ ลด์ คาํ นวณ (Computed field) เป็ น ฟิ ลด์เสมือน (Virtual data) ที่เกิดจากการคํานวณ หรื อ ประมวลผล
คําสัง่ จาก ฟิ ลด์ข้อมูลที่มีอยูเ่ ดิม สามารถมีคา่ เป็ นชนิด ตัวอักษร ตัวเลข วันที่ หรื อ ค่าตรรกะ ได้ และ
สามารถมีคา่ แบบมีเงื่อนไข (Conditional) หรื อ ไม่มีเงื่อนไข(Unconditional) ได้
มีการใช้ computed field ใน 4 รูปแบบ ดังนี ้:
• ใช้ ในการคํานวณทางคณิตศาสตร์ (Mathematic Computation)
• ใช้ ในการแปลงชนิดของข้ อมูล (Data type conversion)
• ใช้ ในการเปลีย่ นแปลงตัวอักษร หรื อ คํา (Word substitution)
• ใช้ ทดสอบตรรกะ เพื่อที่จะกรองข้ อมูล (Logical Test)
1. การสร ้างฟิ ลด ์คํานวณแบบไม่มเี งือนไข (Unconditional Computed Fields)

กําหนดสูตร หรื อ นิพจน์

ชื่อฟิ ลด์

คลิกเมื่อเสร็จสิ ้น

ฟอร์ แมทที่แสดงข้ อมูล

ชื่อของคอลัมน์
1. ฟิ ลด ์คํานวณแบบไม่มเี งือนไข
1. ฟิ ลด ์คํานวณแบบไม่มเี งือนไข
2. การสร ้างฟิ ลด ์คํานวณแบบมีเงือนไข (Conditional Computed Fields)

กําหนดค่า โดยปริ ยาย

เมื่อไม่ตรงตามเงื่อนไข

กําหนดค่า เมื่อตรงตามเงื่อนไข
กําหนดเงื่อนไข
Technology สําหร ับ Continuous Auditing / Monitoring
Audit Analytic Capability Model

Level 5
Monitoring

Solution 1 Solution 2 Level 4

Data Applied Automated
Analysis Analytics
Solution 5
Level 3 Continuous
Monitoring
Managed

Level 2
Applied
Level 1 Solution 3 Solution 4
Basic Managed Continuous
Analytics Auditing
การทํางานของ Continuous Auditing / Monitoring

30
ทําไมถึงต้องทํา Continuous Auditing / Monitoring?

 ลดค่าใช้ จา่ ยด้ านการปฏิบตั งิ านตามข้ อกําหนด (Lowering compliance costs)

 ลดค่าใช้ จา่ ยด้ านการตรวจ

 ลดการรั่วไหลของเงิน/สินทรัพย์ (Lowering revenue leakage impact)

 สามารถสัง่ งานและแก้ ไขได้ ทนั ถ่วงที เมื่อมีปัญหาเกิดขึ ้น

 ปรับปรุงการกํากับดูแลด้ านการเงินดีขึ ้น (Improving financial governance)

 เพิ่มความน่าเชื่อถือ และ ประสิทธิภาพด้ านการควบคุมต่างๆ (transactional controls,
anti-fraud controls).

 ปรับปรุงด้ านการดําเนินงานดีขึ ้น (Improving operational performance)

 ปรับปรุ งขบวนการด้ านการเงิน และ เพิ่มเงินทุนหมุนเวียนได้ ดีขึ ้น

Source: Gartner, Publication Date: 23 March 2010/ID Number: G00174594

ACL For Continuous Auditing / Monitoring

32
ตัวอย่ างข้ อควรตรวจสอบ ในการตรวจแต่ ละกระบวนการ
(Top 10 Recommended Analytics by Process)
Top 10 – ANTI-BRIBERY ANALYTICS

การต่ อต้ านการติดสินบน (Anti-Bribery)

 ตรวจสอบรายชื่อผู้ค้า หรื อ บริ ษัท ตรงกับ รายชื่อบริ ษัทต้ องห้ าม (Sanctioned Providers Name Matching)
 ตรวจสอบคําอธิบายประกอบการเบิกจ่าย (Suspicious Key Word Matching)
 ตรวจสอบรายการที่มีการทําธุรกรรมกับประเทศที่มีความเสี่ยงสูง (Transactions with High Risk Countries)
 ตรวจสอบรายการที่มีคา่ เบิกจ่าย เป็ นตัวเลขลงตัว (Repeat Even Dollar Transactions)
 ตรวจสอบเลขบัญชี ที่มีการเปลี่ยนกลับไปกลับมา (Flip-Flop Bank Accounts)
 ตรวจสอบการแก้ ไขข้ อมูลผู้ค้า (Unauthorized Vendor Data Changes)
 ตรวจสอบการจ่ายเงินเกินกว่าจํานวนเงินของการสัง่ ซื ้อ (Overpaid Purchase Orders)
 ตรวจสอบจํานวนสินค้ าในใบวางบิล/ใบเสร็ จเกินกว่าจํานวนสินค้ าในใบส่งของ (Invoice Receipt Greater than Goods
Receipt)
 ตรวจสอบชื่อผู้รับเงิน ที่มีการเปลี่ยนกลับไปกลับมา (Flip-Flop Payee Names)
 ตรวจสอบการแยกบิลชําระเงิน (Split Payments)
Top 10 – Purchase-To-Pay Analytics

กระบวนจัดซือ้ จัดจ้ างและการชําระเงิน (Purchase-To-Pay)

 ตรวจสอบการจ่ายซํ ้า (Duplicate Payments)
 ตรวจสอบการวางบิลซํ ้า (Duplicate Invoices)
 ตรวจสอบผู้ค้าซํ ้า หรื อไม่มี ในฐานข้ อมูล (Duplicate / Ghost Vendors)
 ตรวจสอบพนักงานเป็ นผู้ค้าหรื อไม่ (Employee-Vendor Match)
 ตรวจสอบการแยกใบสัง่ ซื ้อ (Split Purchase Requisitions)
 ตรวจสอบการอนุมตั ิการสัง่ ซื ้อ (Appropriate Approval)
 ตรวจสอบการวางบิลหลายครัง้ จากผู้ค้าครัง้ เดียว (one-time Multiple Invoices from One-time Vendors)
 ตรวจสอบรูปแบบของเลขใบวางบิล (Invoice Layout)
 ตรวจสอบผู้ค้าที่มีการแก้ ไขข้ อมูลผู้ค้าบ่อย (Frequent Changes to Vendor Master)
 ตรวจสอบใบวางบิลที่อ้างถึงใบสัง่ ซื ้อที่เก่าหรื อยกเลิกแล้ ว (Invoices to Stale P.O.s)
Top 10 – Travel & Entertainment Expenses Analytics

ค่ าใช้ จ่ายในการเดินทางและเลีย้ งรับรอง (T&E Expenses)

 ตรวจสอบการเบิกจ่ายซํ ้า (Duplicate Charges: Corporate Card and Out-of-pocket)
 ตรวจสอบคําอธิบายประกอบการเบิกจ่าย (Suspicious Keyword Match)
 ตรวจสอบรายการที่มีคา่ เบิกจ่าย เป็ นตัวเลขลงตัว (Round Amounts)
 ตรวจสอบการใช้ จา่ ยที่สงู เกินในหมวดอื่นๆ (Excessive High-Risk Expense Categories)
 ตรวจสอบค่าเฉลี่ยอาหารต่อท่านเกินกว่าที่กําหนด (Group Meal Amount per Attendee)
 ตรวจสอบการเบิกค่านํ ้ามัน โดยมิได้ มีการใช้ รถ (Petrol / Gas without Rental)
 ตรวจสอบการใช้ จา่ ยใน สินค้ า/บริ การต้ องห้ าม (Unusual Merchant Category Codes (MCC))
 ตรวจสอบการเบิกจ่ายในวันหยุด/วันลา (Charges made on Vacation / Holidays)
 ตรวจสอบค่าใช้ จา่ ยห้ องพัก/โรงแรม เกินกว่าที่กําหนด (Expenses per Hotel Ratio)
 ตรวจสอบค่าอาหารเกินกว่าที่กําหนด (Meals over Threshold)
Top 10 – Order-to-Cash Analytics

กระบวนการขายและการรับชําระเงิน(Order-To-Cash)
 ตรวจสอบระยะเวลาการครบชําระหนี ้ (Aging Accounts Receivable)
 ตรวจสอบชื่อ หรื อ ที่อยูข่ องลูกค้ าซํ ้า (Duplicate Customers – Same Name or Address)
 ตรวจสอบความถูกต้ องข้ อมูลของลูกค้ า (Data Validity – Customers)
 ตรวจสอบความถูกต้ องของราคา (Invalid Prices)
 ตรวจสอบความผิดปกติของการลดราคาและระยะเวลาการชําระเงิน (Kick Backs)
 ตรวจสอบความผิดปกติของระยะเวลาในการวางบิล (Days Billing Outstanding)
 ตรวจสอบรายชื่อลูกค้ าหรื อบริ ษัท ตรงกับ รายชื่อบริ ษัทต้ องห้ าม (Prohibited Customers)
 ตรวจสอบการแก้ ไขข้ อมูลราคา (Unauthorised Price Changes)
 ตรวจสอบความถูกต้ องของวงเงิน (Validate Credit Limits)
 หมัน่ ตรวจสอบการชําระเงินของลูกค้ า (AR Billing Review)
Top 10 – Payroll

ระบบเงินเดือน (Payroll)
 เปรี ยบเทียบค่าใช้ จา่ ยเงินเดือนในแต่ละช่วงเวลา (Compare payroll expense from one period to another)
 ตรวจสอบการจ่ายเงินเดือนซํ ้า (Duplicate payments to same employee within same period)
 ตรวจสอบช่องว่างของเลขที่เช็ค (Gaps in check numbers)
 ตรวจสอบการไม่ได้ จา่ ยเงินเดือนให้ พนักงาน (Employees not paid within a single period)
 ตรวจสอบอัตราการขึ ้นเงินเดือน (Different salary rate used in payroll with what has been stipulated in HR
Master)
 ตรวจสอบเงินเดือนรับสุทธิ (Error in employee net salary amount)
 ตรวจสอบความถูกต้ องของเงินเดือน (Error in employee gross salary amount)
 ตรวจสอบชัว่ โมงการทํางานของพนักงาน (Employee working more than total number of hours available in a
week)
 ตรวจสอบพนักงานที่ไม่มีในฐานเงินเดือน (Identify ghost employees)
 ตรวจสอบความถูกต้ องชองค่าล่วงเวลา (Hours clocked as overtime rate of 1.5/2.0/ etc..)
 ี่ จากการใช้โปรแกรมตรวจสอบ
ประโยชน์ทได้

39
ประโยชน์ของโปรแกรมตรวจสอบ

• ให้ ความเชื่อมัน่ ในองค์กร

• ช่วยค้ นหา และ ลดความเสี่ยงลง
• ปกป้องคุณค่าขององค์กร
ประโยชน์ของโปรแกรมตรวจสอบ

เพิ่มประสิทธิภาพ:
• ลดระยะเวลาการตรวจสอบ

• สามารถตรวจสอบได้ มากขึ ้น

เพิ่มประสิทธิผล:
• สามารถตรวจสอบข้ อมูลได้ ครบถ้ วน 100%

• เพิ่มความถูกต้ องและความน่าเชื่อถือ ของผลตรวจ

• ให้ ข้อมูลที่ถก
ู ต้ อง ช่วยในการตัดสินใจได้ ดีขึ ้น
• ช่วยลดการรั่วไหลของเงิน
ตัวอย่างการใช้ โปรแกรมตรวจสอบ ในการตรวจด้าน IT Audit

42
Operational Risk Management for IT teams

หมัน่ ตรวจสอบและติดตาม การปฏิบตั ิ

ตามนโยบายการรักษาความปลอดภัย
เพื่อให้ มนั่ ใจว่าองค์กรได้ ปฏิบตั ิตาม
กฎระเบียบที่วางไว้
การตรวจสอบ – IT Audit (1)

IT Audit
 ตรวจสอบการการเปลี่ยนแปลงในกลุม่ ผู้ใช้ มีการกําหนดสิทธิการใช้ งานถูกต้ องไหม(Active Directory: Changes to critical
security groups)
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการสัง่ ซื ้อและการอนุมตั ิ (Segregation of duties: PO)
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการแก้ ไขข้ อมูลระบบเงินเดือนและการอนุมตั ิ (Segregation of duties: Adjustments
and approval in Payroll)
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการขอบัตรสินเชื่อและการอนุมตั ิ (Segregation of duties: Cardholder creation)
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการแก้ ไขใบเสนอราคาและการอนุมตั ิ (Segregation of duties: Price adjustments )
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการลงบัญชีและการอนุมตั ิ (Segregation of duties: Parked vs posted)
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการออกบลิและการอนุมตั ิ (Segregation of duties: Invoices)
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการขอเบิกค่าใช้ จา่ ยและการอนุมตั ิ (Segregation of duties: Submission and
approval)
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการขออนุมตั ิใบสัง่ ซ้ อของลูกค้ าและการสร้ างฐานข้ อมูลลูกค้ า(Segregation of
duties: Order vs customer creation)
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการแก้ ไขวงเงิน และการอนุมตั ิ (Segregation of duties: Updating vs approving
credit limits)
การตรวจสอบ– IT Audit (2)

IT Audit
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการส่งของ และ การออกบลิ (Segregation of duties: Shipping vs billing creation)
 ตรวจสอบการแบ่งแยกหน้ าที่ของพนักงานในการแก้ ไขใบสัง่ ซื ้อของลูกค้ าและการออกบลิลกู ค้ า(Segregation of duties:
Adjustments vs invoices creation)
 ข้ อบ่ งชี ้
มีผ้ ูไม่ มีสิทธิใช้ งาน

มีความผิดปกติ

46
 ข้ อบ่ งชี ้
มีการเปลี่ยนแปลงข้ อมูลสําคัญ เช่ น ชื่อ ที่อยู่ เลขที่บัญชีธนาคาร เลขที่ผ้ ูเสียภาษี

ฟิ ลด์ที่มีการเปลีย่ นแปลง

47
 ข้ อบ่ งชี ้
พนักงานที่อนุมัตแิ ละดําเนินงานเป็ นบุคคลเดียวกัน

พนักงาน เป็ นบุคคลเดียวกัน

ในการสร้ างข้ อมูลผู้ค้า และ
ดําเนินการรับการวางบิล

48
 ข้ อบ่ งชี ้
มีการเปลี่ยนแปลงคอนฟิ กเกอเรชั่นของระบบ

มีการเปลีย่ นแปลง คอนฟิ กเกอ

เรชัน่ ของระบบ รายงานลูกหนี ้

49
 ข้ อบ่ งชี ้
เวลาที่พนักงานเข้ าออกในเขตหวงห้ าม

มีความผิดปกติในการ
เข้ าเขตหวงห้ าม

50
 ข้ อบ่ งชี ้
พนักงานที่ถูกเลิกจ้ างยังสามารถเข้ าระบบของหน่ วยงาน/บริษัทได้

พนักงาน ที่เลิกจ้ างยัง

ไม่ได้ มีการยกเลิก
บัญชีผ้ ใู ช้ งาน

51
ถ้ าต้ องการข้ อมูลเพิ่มสามารถติดต่ อ:

ประเสริฐ แซ่ เจี่ย

prasert@wilnetc.com