1. วัต ถุป ระสงค์เ พือ ให้ผ ู้เ รีย นสามารถ
่
1. อธิบาย ความหมายของการตรวจสอบระบบ
สารสนเทศ
2. อธิบาย ขั้นตอนการตรวจสอบและเขียนภาพ
ประกอบคำาอธิบาย
3. อธิบาย “ผู้ตรวจสอบเทคโนโลยี
สารสนเทศ”เกี่ยวกับอะไรบ้าง

2. 
การตรวจสอบระบบสารสนเทศ (Audit) หมายถึง
การค้นหาหลักฐานสำาหรับสิ่งผิดปกติที่เกิดขึ้นกับระบบ
สารสนเทศของทั้งผู้ตรวจสอบภายในและภายนอก โดย
มีวัตถุประเมินระบบควบคุมภายในหรือระบบรักษาความ
ปลอดภัยที่กิจการกำาหนดขึ้นมา ส่วนผู้ตรวจสอบด้าน
เทคโนโลยีสารสนเทศ (IT auditor) นับเป็นเป็นอาชีพที่
สามารถใช้ทักษะในการทำางานที่แตกต่างกัน กล่าวคือ
สามารถเป็นส่วนหนึ่งของการตรวจสอบภายในของ
กิจการขนาดเล็กเพือตรวจสอบหน่วงงานด้านเทคโนโลยี
่
สารสนเทศ สำาหรับกิจการขนาดใหญ่ขึ้นมาก็จะมีงานที่
เกียวข้องกับเทคโนโลยีสารสนเทศให้ปฏิบัติอย่างหลาก
่
หลาย

3. ผู้ต รวจสอบจะปฏิบ ัต ิง านตรวจสอบระบบ
สารสนเทศอย่า งไรเพื่อ ให้ห มั่น ใจอย่า งสมเหตุส ม
ผลว่า องค์ก รมี
1) การรักษาความปลอดภัย (ประกอบด้วย ทรัพย์สิน
ที่ทำาการประมวลผล การรักษาความลับของข้อมูลของ
กิจการ การบำารุงรักษาความสมบูรณ์ของข้อมูล และการ
มีใช้เมื่อต้องการ)
2) การบรรจุความมีประสิทธิภาพและประสิทธิผลของระบบ
3) การปฏิบัติตามกฎหมายและกฎข้อบังคับต่างๆ
4) ความรับผิดชอบต่อสังคม (Social responsibility) และ
ความสามารถอธิบายได้ (Kanhere, 2009)


4. 
การตรวจสอบสารสนเทศ คือ กระบวนการของการของ
การเก็บรวบรวมและประเมินหลักฐานเพื่อพิจารณาว่า
ระบบคอมพิวเตอร์มีการรักษาทรัพย์สิน ความสมบูรณ์
ของข้อมูลและทำาให้วัตถุประสงค์ขององค์กรบรรลุผล
สำาเร็จอย่างมีประสิทธิและใช้ทรัพยากรอย่างมี
ประสิทธิผล
ภาพที่ 1 ความเสี่ยงจากการตรวจสอ
บระบบสรสนเทศ

5. - ในการตรวจสอบ
โดยปกติผู้ตรวจสอบ
จะเก็บรวบรวมหลัก
ฐานต่างๆ
- นำามาใช้ในกา
ประเมินองค์กรตาม
วัตถุประสงค์ของการ
ตรวจสอบ
ภาพที่ 2 ขั้นตอนในการตรวจสอบ

6. 
วัต ถุป ระสงค์ข องการตรวจสอบจะเป็น อะไรก็ต าม
ผู้ต รวจสอบมัก ใช้ว ิธ ีก าร 5 ประเภทในการ
รวบรวมหลัก ฐานดัง นี้
1) การทำาความเข้าใจการควบคุณที่องค์กรกำาหนดไว้
ผู้
ตรวจสอบอาจใช้วิธีการใดวิธีการหนึ่งหรือหลายวิธีร่วม
กันในการจักเก็บและทำาความเข้าใจการควบคุมของ
องค์กร
2) การทดสอบการควบคุม (Tests of controls) ผู้ตรวจสอบ
สามารถใช้ การสอบถาม การสอบทาน การ
สังเกตการณ์ และการปฏิบัติตามจุดควบคุมที่กำาหนดไว้

7. 3)
4)
5)
การทดสอบรายละเอียดของรายการ (Tests of details
of transactions) เป็นการทดสอบว่ามีรายการประจำา
วัน รายการใดที่มีความผิดปกติ
การทดสอบยอดคงเหลือหรือผลลัพธ์โดยรวม (Tests of
details of account balances or overall results)
เป็นการทดสอบยอดคงเหลือที่จะนำาไปแสดงในรายงาน
ทางการเงิน
การวิเคราะห์เปรียบเทียบ (Analytical review) เป็นการ
ทดสอบโดยดูความสัมพันธ์ระหว่างข้อมูลโดยมี
วัตถุประสงค์เพือระบุจุดที่ต้องการตรวจสอบในราย
่
ละเอียดต่อไป

8. การตระหนักถึงความจำาเป็นที่จะต้องมีหน้าที่เกี่ยวกับการ
ตรวจสอบระบบสารสนเทศมาจาก 2 ทิศทางด้วยกันคือ
ประการแรก ผู้ตรวจสอบตระหนักว่าคอมพิวเตอร์ส่งผลก
ระทบต่อความสามารถของผู้ตรวจสอบในหน้าที่เกียวกับ
่
การรับรองความถูต้องประการที่สอง ทั้งบริษทและผู้
ั
บริการสารสนเทศตระหนักว่าคอมพิวเตอร์เป็นทรัพยากร
ที่มีค่าที่จำาเป็นต้องมีการควบคุมเช่นเดียวกับทรัพยากร
อื่นๆขององค์กร
 การตรวจสอบระบบสารสนเทศเกี่ย วข้อ งกับ ความ
รู้ใ นสาขาต่า งๆ
1) การตรวจสอบแบบเดิม (Traditional auditing)
2) การจัดการระบบสารสนเทศ (Information systems
management)
3) ศาสตร์ทางพฤติกรรม (Behavioral science)


9. ภาพที่ 3 การตรวจสอบระบบสารสนเทศกับความสัมพ
สาขาวิชาอื่น

10. อย่างไรก็ตาม Parker (2010) กล่าวว่า ผู้ตรวจสอบ
เทคโนโลยีสารสนเทศ (IT audit) ควรมีทักษะด้านธุรกิจ
นอกเหนือจากความรู้ทางเทคโนโลยีสารสนเทศ แต่
ต้องการทราบว่ากรรมวิธีทางธุรกิจใด (Business
process) ที่อาจเป็นอันตราย โดย Parker กล่าวว่าผู้
ตรวจสอบเทคโนโลยีสารสนเทศจำาเป็นต้องเข้าใจเกี่ยว
กับ
1) ความแตกต่า งของรูป แบบขององค์ก ร เช่น บริษท
ั
จำากัด บริษทต่างชาติ บริษทแม่และบริษัทลูก ห้างหุ้นส่วน
ั
ั
เป็นต้น
2) ระบบการบริห ารจัด การ (Governance)
โครงสร้างขององค์กร (อำานาจและสายการบังคับบัญชา)


11. กฎหมายและข้อบังคับ ที่เกี่ยวกับและกระทบต่อกรรม
วิธีทางธุรกิจ
4) กรรมวิธีทางธุรกิจ (Business process) (การได้มาซึ้ง
มาวัตถุดิบ การผลิตสินค้า การตลาดและขายสินค้าหรือ
บริการ การจักเก็บเงิน และการลงทุน)
5) การปฏิบัติ (Operations) (การวางแผนและการจัด
องค์กร การจัดกาลำานำาระบบออกใช้งานจริง การส่ง
มอบและการสนับสนุน การติดตามและการประเมินผล)
6) การใช้เทคโนโลยี เพือสนับสนุนกรรมวิธีทางธุรกิจ
่
7) สารสนเทศทางการเงิน การบันทึกรายการทางการ
ทางการเงินในแต่ละกรรมวิธีทางธุรกิจ
8) การวักความสำาเร็จของธุรกิจ เช่น ผลตอบแทนจาก
3)