แนวทางการก ากับดูแล ด้าน ... · 2019. 10. 9. ·...
TRANSCRIPT
www.cgd.go.th ปท 21 ฉบบท 116 ประจ ำเดอน กมภำพนธ – มนำคม 2560
แนวทางการก ากบดแล
ดานเทคโนโลยสารสนเทศ
สวสดคะ ฉบบน บก. ไดเกบเกยวความรมาฝาก เรอง “แนวทางการก ากบดแลดานเทคโนโลยสารสนเทศ”
Integrity Risk : ความเสยงจากความไมถกตองครบถวนของขอมลและการท างานของระบบคอมพวเตอร สาเหต : การถกแกไขเปลยนแปลงโดยบคคลทไมมอ านาจหนาทเกยวของ ไมมระบบควบคมและตรวจสอบ การบนทกขอมล การประมวลผล และการแสดงผลอยางเพยงพอ การจดการและควบคมการพฒนาระบบคอมพวเตอรไมรอบคอบและรดกมเพยงพอ
Access Risk : ความเสยงจากการเขาถงขอมลและระบบคอมพวเตอรโดยบคคลทไมมอ านาจหนาท หรอบคคลทมอ านาจหนาทไมสามารถเขาถงขอมลและระบบคอมพวเตอรในสวนทเกยวของกบงานทรบผดชอบ สาเหต : การก าหนดสทธในการเขาถงขอมลและระบบคอมพวเตอรทไมเหมาะสมกบหนาทและความรบผดชอบหรอเกนความจ าเปนการใชงาน การไมก าหนดรหสผาน (password) ในการเขาสระบบงานคอมพวเตอรอยางรดกมเพยงพอ การไมจ ากดและควบคมใหเฉพาะเจาหนาททมอ านาจหนาทเกยวของในการเขาออกศนยคอมพวเตอร
ความเสยง
ดานเทคโนโลยสารสนเทศ
ปจจบนเทคโนโลยสารสนเทศไดเขามามบทบาทส าคญในการด าเนนงานขององคกร ทงในสวนของการบรหารจดการ การจดเกบขอมล และการประมวลผลระบบงานส าคญตางๆ เทคโนโลยสารสนเทศท าใหการด าเนนงานขององคกรมความสะดวกรวดเรว มประสทธภาพ และเพมโอกาสใหกบองคกร อยางไรกด การใชเทคโนโลยสารสนเทศกมความเสยงหลายประการดงน น การควบคมความเสยงดานเทคโนโลยสารสนเทศจงเปนเรองทผตรวจสอบภายในตองใหความส าคญกบนโยบายทจะก ากบดแลและตรวจสอบเกยวกบการบรหารจดการ การควบคมความเสยงอยางจรงจง เ พอใหการน าเทคโนโลยสารสนเทศมาสนบสนนการด าเนนงานขององคกรใหเกดประโยชนสงสด
ซงเปนบทความจากสมาคมผตรวจสอบภายในแหงประเทศไทย
หวงเปนอยางยงวาจะเปนประโยชนกบผตรวจสอบภายใน ในการน าไปประยกตใชตรวจสอบดาน IT
นอกจากนได update กฎหมายใหมๆ ของกรมบญชกลาง
ทจะเปนประโยชนกบการปฏบตงานของผตรวจสอบภายใน มาใหรบทราบทวกนคะ
ชวงนอากาศแปรปรวน อณหภมสงขน รกษาสขภาพกนดวยนะคะ
แลวพบกนฉบบหนาคะ ...
Infrastructure Risk :
ความเสยงจากการไมจดใหมการบรหารจดการดานเทคโนโลยสารสนเทศทสะทอนระบบควบคมภายในทด สาเหต : การแบงแยกอ านาจหนาททไมเหมาะสม ไมมนโยบายการรกษาความปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) ไมมแผนงานและขนตอนการปฏบตงานทละเอยดเพยงพอในงานทส าคญ ไมจดใหมระบบคอมพวเตอรและบคลากรใหเหมาะสมและเพยงพอแกการสนบสนนการด าเนนงาน
มตอหนาถดไป
Availability Risk : ความเสยงจากการไมสามารถใชขอมลหรอระบบคอมพวเตอรไดอยางตอเนองหรอในเวลาทตองการ สาเหต : การไมควบคมดแลการท างานของระบบคอมพวเตอรและปองกนความเสยหายอยางเพยงพอ ไมมการส ารองขอมลและระบบงานคอมพวเตอร และไมจดใหมแผนรองรบเหตการณฉกเฉน
การแบงแยกอ านาจหนาท ควรเปนไปตามหลกการควบคมภายในทด
โดยไมควรมอบหมายใหบคลากรคนหนงคนใดรบผดชอบการปฏบตงาน
ตลอดกระบวนการ ซงการมอบหมายใหบคลากรคนหนงคนใดปฏบตงาน
หลายหนาทควบคกนในบางกรณ ยงอาจเปนชองทางใหขอมลหรอ
การท างานของระบบคอมพวเตอรถกแกไขหรอเปลยนแปลงไดโดยงาย
(integrity risk)
การก าหนดนโยบาย แผนงานและขนตอนการปฏบตงาน จะท าให
บคลากรสามารถปฏบตงานไดอยางถกตอง ครบถวน และเปนไปในแนวทางเดยวกน
ซงจะสงผลใหการปฏบตงานโดยรวมมประสทธภาพ นอกจากน ยงลดโอกาส
การปฏบตงานผดพลาดในกรณทมการสบเปลยนหนาทและความรบผดชอบ
หรอมการมอบหมายงานใหบคลากรรายใหม
การก ากบดแลและตรวจสอบการปฏบตงานของพนกงานระดบ
ปฏบตการอยางใกลชดโดยผบงคบบญชา จะท าใหการปฏบตงานโดยรวม
มความถกตองและละเอยดรอบคอบมากขน ซงจะเปนการลดโอกาส
การเกดขอผดพลาดและปองกนการปฏบตงานนอกเหนออ านาจหนาทและ
ความรบผดชอบทไดรบมอบหมาย
1. โครงสรางหนวยงานและการบรหารจดการ
แนวทางการก ากบดแล ใหความส าคญกบระบบการสอบยน
การปฏบตงานระหวางบคลากรภายในหนวยงาน
กรณมขอจ ากดของบคลากร กควรก าหนดวธการก ากบดแลและ
ควบคมการปฏบตงานของบคลากรดงกลาวอยางรอบคอบและรดกม
แนวทางการก ากบดแล ใหความส าคญกบความครบถวนและ
ความชดเจนของนโยบาย แผนงาน และขนตอนการปฏบตงาน
ทเกยวของกบการรกษาความปลอดภยของขอมลและระบบคอมพวเตอร
การพฒนา แกไขหรอเปลยนแปลง การส ารองขอมลและ
ระบบงานคอมพวเตอร และการปฏบตงานประจ าอนทส าคญ
แนวทางการก ากบดแล ใหความส าคญกบการรายงาน
การปฏบตงานและตรวจสอบการปฏบตงาน เพอใหมนใจไดวา
การปฏบตงานถกตอง ครบถวน เปนไปตามนโยบายและขนตอน
การปฏบตงาน และอยในกรอบอ านาจหนาทและความรบผดชอบ
ตามทองคกรก าหนด
แนวทางการก ากบดแล ใหความส าคญกบการควบคมการเขาออก
ศนยคอมพวเตอรทรดกมเพยงพอ โดยจ ากดสทธการเขาออกและ
การตรวจสอบการเขาออกอยางสม าเสมอ รวมทงจดใหม
ระบบปองกนความเสยหายจากปจจยสภาวะแวดลอมและภยพบต
ทอาจเกดขน
แนวทางการก ากบดแล ใหความส าคญกบการจดใหมระบบ
การตรวจสอบผใชงานกอนเขาสระบบคอมพวเตอร (authentication)
การก าหนดใหมการใสรหสผานกอนเขาสระบบคอมพวเตอร
การก าหนดสทธผใชงานใหเหมาะสมกบหนาทความรบผดชอบ
และระบบปองกนการบกรกจากบคคลภายนอกผานระบบเครอขาย
การควบคมการใชขอมลและระบบงานคอมพวเตอร และการปองกน
การบกรกผานระบบเครอขาย (Logical Security) อาจเกดจากบคคล
ภายในองคกร เชน ไมไดมการก าหนดรหสผานในการเขาสระบบงานอยางรดกม
หรอก าหนดสทธใหแกผใชงานภายในเพอเขาถงขอมลและระบบงานคอมพวเตอร
ทมากเกนความจ าเปน เปนตน อาจเกดจากการเชอมตอระบบเครอขายภายใน
กบภายนอก ทจะเปนชองทางใหบคคลภายนอกเขาถงขอมลและระบบคอมพวเตอร
รวมทงไวรสหรอ malicious code อนๆ ผานเขามาทางระบบเครอขาย
การควบคมการเขาออกศนยคอมพวเตอรและการปองกนความเสยหาย
(Physical Security) จะเปนการปองกนไมใหบคคลทไมมอ านาจหนาท
เกยวของเขาถง ลวงร (access risk) แกไขเปลยนแปลง (integrity risk)
หรอกอใหเกดความเสยหายตอขอมลและระบบคอมพวเตอร ซงรวมถง
ความเสยหายจากปจจยสภาวะแวดลอมหรอภยพบตตางๆ (availability risk)
2. การรกษาความปลอดภยขอมลและระบบคอมพวเตอร
มตอหนาถดไป
การส ารองขอมลและระบบงานคอมพวเตอร หากมไดด าเนนการทเพยงพอ
จะท าใหไมมขอมลหรอระบบงานคอมพวเตอรส าหรบใชงานไดอยางตอเนอง
มประสทธภาพและในเวลาทตองการ
การเตรยมพรอมกรณฉกเฉน เปนการจดท าแผนฉกเฉน
เพอรองรบเหตการณฉกเฉนทอาจเกดขน ซงจะท าใหการควบคมความเสยง
ดาน availability risk มประสทธภาพมากขน
แนวทางการก ากบดแล ใหความส าคญกบการส ารองขอมลและ
การท างานของระบบงานคอมพวเตอร ในเรองความครบถวน
ของการเกบรกษาสอทใชบนทก และการทดสอบความถกตอง
ครบถวนของขอมลและระบบงานคอมพวเตอรทส ารองไว
แนวทางการก ากบดแล ใหความส าคญกบการจดท าแผนรองรบ
เหตการณฉกเฉนตางๆ ทควรมรายละเอยดทชดเจนเกยวกบ
ขนตอนปฏบตและผรบผดชอบ ควรมการสอสารใหผเกยวของ
เขาใจและรบทราบหนาทความรบผดชอบ รวมทงการทดสอบแผนดงกลาว
เพอใหมนใจวาสามารถน าไปใชไดจรงในทางปฏบต
Update
แนวทางการก ากบดแล ใหความส าคญกบการก ากบดแลและควบคม
การปฏบตงานประจ าดานคอมพวเตอรอยางใกลชดของผบงคบบญชา
การปฏบตงานทมขนตอนทชดเจนและสามารถตรวจสอบได
รวมทงควรจดใหมระบบการรายงาน และการตรวจสอบการ
ปฏบตงานประจ าดงกลาวอยางสม าเสมอ
เปนเรองของการควบคมการประมวลผล การดแลการท างานของระบบคอมพวเตอร
การยายโปรแกรมทพฒนาแลวสระบบงานจรง การส ารองขอมลและ
ระบบงานคอมพวเตอร และงานประจ าอนๆ หากไมไดมวธการปฏบตและ
ควบคมทรอบคอบและรดกมเพยงพอ อาจกอใหเกดความเสยงในดานตางๆ
เชน ความเสยงดาน integrity risk ในกรณทยายโปรแกรมทพฒนาแลว
สระบบงานจรงไมครบถวน ความเสยงดาน availability risk ในกรณท
มไดมการดแลการท างานของระบบคอมพวเตอรอยางเพยงพอ เปนตน
จดเกบ น ำสงรำยไดแทนกน ในระบบ GFMIS
การเรยกรายงาน
กรมบญชกลาง ไดมการพฒนารายงานจดเกบ น าสงรายไดแทนกน ในระบบ GFMIS ทงในระบบปฏบตการ (SAP R3)และในระบบ GFMIS Web Online และไดจดท าหนงสอเวยนแจงวธการเรยกรายงานจดเกบ น าสงรายไดแทนกนในระบบ GFMISตามหนงสอกรมบญชกลาง ท กค 0414.3/ว 103 ลงวนท 27 มนาคม 2560 ทงน สามารถศกษารายละเอยดของหนงสอไดทเวบไซตกรมบญชกลางwww.cgd.go.thหวขอ กฎหมาย/ระเบยบ/หนงสอเวยน ภารกจการควบคมการเบกจายเงนแผนดน
5. การควบคมการปฏบตงานประจ าดานคอมพวเตอร
เปนเรองทตองใหความส าคญ โดยหากไมมวธการจดการและการควบคมทรอบคอบ
และรดกมเพยงพอ อาจท าใหระบบงานคอมพวเตอรมการประมวลผลทไมถกตอง
หรออาจไมเปนไปตามความตองการของผใชงานได (integrity risk)
แนวทางการก ากบดแล ใหความส าคญกบการจดใหมระบบการตรวจสอบ
ผใชงานกอนเขาสระบบคอมพวเตอร (authentication)
และการก าหนดใหมการใสรหสผานกอนเขาสระบบคอมพวเตอร
โดยรหสดงกลาว ควรมการก าหนดความยาวขนต า อายการใชงาน
จ านวนครงทยอมใหใสรหสผานผด และควรก าหนดรหสผาน
ใหมความยากแกการคาดเดา และควรมการก าหนดสทธผใชงาน
ใหเหมาะสมกบหนาทความรบผดชอบ
3. การควบคมการพฒนา การแกไขหรอเปลยนแปลงระบบคอมพวเตอร (Change Management)
... อางอง: แนวทางการก ากบดแลเทคโนโลยสารสนเทศ จากเวบไซต สมาคมผตรวจสอบภายในแหงประเทศไทย ...
4. การส ารองขอมลและระบบงานคอมพวเตอร และการเตรยมพรอมกรณฉกเฉน
ใหสวนราชการ รฐวสาหกจ และหนวยงานอนของรฐ ตรวจสอบผลการพจารณาเรองดงกลาว ในระบบ GFMIS
โดยใชค าสงงานตามทกรมบญชกลางก าหนด
“จลสารตรวจสอบภายใน” จดท ำขนเพอเปนสอกลำงในกำรเผยแพรขอมลขำวสำรบทควำมเชงวชำกำร และกจกรรมตำง ๆ
ทเกยวกบกำรตรวจสอบภำยในภำครฐ ตลอดจนกำรเผยแพรผลงำนของกรมบญชกลำงในกำรพฒนำงำนตรวจสอบภำยใน
หำกทำนใดมขอตชมหรอตองกำรแสดงควำมเหนหรอมปญหำเกยวกบงำนตรวจสอบภำยใน สำมำรถตดตอไดท :
กองบรรณำธกำร โทร. 0 2127 7285 โทรสำร 0 2127 7127
E-mail : [email protected] และ เวบไซต http : // www.cgd.go.th /เรองทนำสนใจ/ตรวจสอบภำยใน /จลสำรตรวจสอบภำยใน
ทปรกษำ : นำยณพงศ ศรขนตยกล บรรณำธกำร : นำงสรพร ศรขนตยกล
กองบรรณำธกำร : นำงนพรตน พรหมนำรท นำงสำวกชพร รกอย นำงวลนำ ภส ำล และนำยสมพล ลมปมำลยพร
เลขำนกำรกองบรรณำธกำร : นำงสำวน ำเพชร วงษประทป นำงรชดำภรณ อดศรสมบรณ นำงสำวปภำสน คลอวฒเสถยร
นำงอญชล เพชรสกใส และนำงสำวเจนจรำ เววำ
ผจดสง : นำงระววรรณ จนทรอนทร นำงธญญำรตน สโสภำพนธ และนำงสำวพรรณนภำ อ ำพนกำญจน
กองตรวจสอบภำครฐ กรมบญชกลำง ถนนพระรำมท 6 เขตพญำไท กรงเทพฯ 10400
ช ำระคำฝำกสงเปนรำยเดอน ใบอนญำตท 21/2530ปทฝ.กระทรวงกำรคลง
Update
เบกจายเงนงบประมาณกระทรวงการคลงไดมการขยายเวลาเบกจายเงนงบประมาณ
เนองจากสวนราชการ รฐวสาหกจ และหนวยงานอนของรฐ
ไมสามารถเบกจายเงนงบประมาณไดเสรจสนภายในวนท าการสดทายของเดอนมนาคม 2560
ดงนน เพอใหสามารถใชจายเงนงบประมาณไดอยางตอเนองและบรรลวตถประสงค
กระทรวงการคลงจงไดมหนงสอเวยนแจงการขยายเวลาเบกจายเงนงบประมาณ ตามหนงสอกระทรวงการคลง
ท กค 0402.5/ว 42 ลงวนท 30 มนาคม 2560 โดยไดก าหนดหลกเกณฑการขยายเวลาเบกจายเงนงบประมาณ ดงน
อนมตใหขยายเวลาเบกจายเงนงบประมาณป พ.ศ. 2552 - 2559 กรณมหนผกพนและกรณไมมหนผกพนทกรายการ
ทไดรบอนมตใหขยายเวลาเบกจายเงนและกนเงนไวเบกเหลอมปถงวนท าการสดทายของเดอนมนาคม 2560 ตอไปได
ถงวนท าการสดทายของเดอนกนยายน 2560 ทงน ไมรวมถงเงนงบประมาณรายการตอไปน
• รายการเงนงบประมาณสมทบโครงการเงนกจากตางประเทศ
• รายการตามโครงการตามมาตรการกระตนการลงทนขนาดเลกทวประเทศ
(1) งบกลาง รายการเงนส ารองจายเพอกรณฉกเฉนหรอจ าเปน
(2) งบกลาง รายการคาใชจายเสรมสรางความเขมแขงและกาวหนาของประเทศตามแนวทางปฏรป
• รายการทกอหนผกพนไวกอนสนปงบประมาณ พ.ศ. 2559 และวนครบก าหนดอายสญญาเกนวนท าการสดทายของเดอนมนาคม 2560
ไดรบอนมตใหกนเงนไวเบกเหลอมปและขยายเวลาเบกจายเงนกรณมหนผกพนถงวนท าการสดทายของเดอนกนยายน 2560
ตามหนงสอกระทรวงการคลง ดวนทสด ท กค 0402.5/ว 112 ลงวนท 15 กนยายน 2559
เงนงบประมาณป พ.ศ. 2558
เงนงบประมาณป พ.ศ. 2559
• รายการทคณะรฐมนตรอนมตใหขยายระยะเวลากอหนผกพนไดถงวนท าการสดทายของเดอนมนาคม 2560
เงนงบประมาณป พ.ศ. 2555 - 2558