วิชาระบบสารสนเทศทางการบัญชี (Accounting Information System): บทที่ 9 การควบคุมระบบสารสนเทศทางการบัญชี

บทที่ 9 การควบคุมระบบสารสนเทศทางการบัญชี

การควบคุมระบบ

การควบคุมระบบสารสนเทศอาจจัดเป็นประเภทต่าง ๆ ได้หลายวิธี วิธีที่เป็นที่นิยม เช่น การจำแนกประเภทการควบคุมตามลักษณะ (Classification by setting)และการจำแนกประเภทการควบคุมตามระดับความเสี่ยง (Classification by risk aversion)

นักบัญชีได้จัดแบ่งการควบคุมระบบออกเป็น 2 ประเภท

ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม (By Objective)

ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope)

ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม ตามเกณฑ์นี้ได้แบ่งวิธีการควบคุมออกเป็น 3 ส่วน

1. การควบคุมเชิงป้องกัน (Prevention Controls)

2. การควบคุมเชิงตรวจสอบ (Detection Controls)

3. การควบคุมเชิงแก้ไข (Corrective Controls)

1. การควบคุมเชิงป้องกัน (Prevention Controls)

2. การควบคุมเชิงตรวจสอบ (Detection Controls)

3. การควบคุมเชิงแก้ไข (Corrective Controls)

การจำแนกประเภทการควบคุม

หน้าที่ของการควบคุมภายใน

ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope)

จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุมว่าขอบเขตงานนั้นมีผลกระทบต่อระบบงานทั้งหมดของกิจการหรือมีผลกระทบเฉพาะระบบงานใดงานหนึ่งเท่านั้น ในกรณีที่ขอบเขตงานของการควบคุมมีผลกระทบต่อระบบงานทั้งหมดจะเรียกการปฏิบัติงานเพื่อการควบคุมนั้นว่า การควบคุมทั่วไป (General Controls)

การควบคุมทั่วไป

เป็นการควบคุมที่มีขึ้นเพื่อให้มั่นใจว่า สภาพแวดล้อมของการควบคุมภายในของกิจการได้มีการจัดการ และดูแลอย่างดีตลอดเวลาทำให้การควบคุมเฉพาะระบบงานดำเนินไปได้อย่างมีประสิทธิภาพ การควบคุมทั่วไปของกิจการที่ใช้คอมพิวเตอร์นั้น แบ่งออกเป็น 4 ประเภท คือ

1. การควบคุมปฏิบัติงานของพนักงาน (Personnel controls)

พนักงานเป็นองค์ประกอบที่มีความสำคัญอย่างยิ่งในการดำเนินงานของกิจการที่ใช้คอมพิวเตอร์ในการจัดเก็บ บันทึกและประมวลผลเพราะพนักงานมีหน้าที่ในการ นำเข้าข้อมูล ควบคุมการปฏิบัติงานของเครื่องคอมพิวเตอร์ ส่งสารสนเทศไปยังผู้ใช้ที่เกี่ยวข้อง และควบคุมระบบเพื่อให้มั่นใจว่ากิจการมีการควบคุมภายในที่มีประสิทธิภาพ

การควบคุมการปฏิบัติงานของพนักงานนี้ แบ่งเป็น 3 ส่วนคือ

1) การกำหนดให้มีการแบ่งแยกหน้าที่งาน

2) การกำหนดให้มีวันหยุดพักผ่อนเป็นช่วงระยะเวลา

3) การกำหนดรหัสผ่าน ( Password Code )

2. การควบคุมการปฏิบัติงานของศูนย์ข้อมูล (Data Center Operations Controls)

ในส่วนงานที่มีการจัดเก็บและประมวลผลด้วยคอมพิวเตอร์นั้น การดูแลรักษาความปลอดภัย ข้อมูลในคลังข้อมูล หรือแฟ้มข้อมูล เป็นสิ่งจำเป็นอย่างยิ่งเพราะข้อมูลเหล่านี้อาจสูญหาย ถูกขโมย หรือถูกทำลาย โดยบุคคลภายนอกที่ไม่หวังดี หรืออาจเกิดจากการกระทำของพนักงานที่ปฏิบัติงานบกพร่องในหน้าที่ หรือเจตนาทุจริต

กิจการจึงต้องกำหนดให้มีการควบคุมการปฏิบัติงานของศูนย์ข้อมูล เพื่อให้มั่นใจว่าข้อมูลที่ถือเป็นส่วนหนึ่งของทรัพย์สินของกิจการได้เก็บรักษาไว้ในสถานที่ที่ปลอดภัยและผู้บริหารสามารถนำข้อมูล ที่ถูกต้อง ครบถ้วน มาใช้ในการวางแผน ควบคุม และตัดสินใจได้อย่างทันเวลา

การควบคุมการปฏิบัติงานของศูนย์ข้อมูลนั้น สามารถแบ่งออกได้เป็น 2 ส่วนคือ

ส่วนแรก เป็นการควบคุมการปฏิบัติงานของพนักงานในศูนย์ข้อมูล

ส่วนที่สอง เป็นการเก็บรักษาข้อมูลไว้ในสถานที่ที่ปลอดภัย

- จัดทำแฟ้มสำรอง (File Backup)

- การวางแผนฉุกเฉิน (Contingency plan)

2. การควบคุมการจัดหาและบำรุงรักษาซอฟต์แวร์ของระบบ (System Software Acquisition and Maintenance Controls)

ในการควบคุมการจัดหาและบำรุงรักษาซอฟต์แวร์ของระบบนี้ผู้บริหารควรกำหนดความรับผิดชอบให้แก่ผู้ที่มีความชำนาญเฉพาะด้าน รวมทั้งควรกำหนดนโยบายและกระบวนการที่ใช้ในการควบคุมการจัดหาและการบำรุงรักษาซอฟต์แวร์ของระบบเอาไว้อย่างชัดเจน

ความรับผิดชอบหลักที่ควรมอบหมายให้แก่ผู้มีความชำนาญเฉพาะด้าน ประกอบด้วย

ประการที่หนึ่ง การบริหารเครือข่าย (Network Administration) ทำหน้าที่เลือก และปรับปรุงซอฟต์แวร์เครือข่าย (Network Communication software)ให้ทันสมัยและปลอดภัยอยู่ตลอดเวลาความรับผิดชอบหลักที่ควรมอบหมายให้แก่ผู้มีความชำนาญเฉพาะด้าน ประกอบด้วย

ประการที่สอง การสนับสนุนด้านเทคนิคในการปฏิบัติงาน (Technical Support) ทำหน้าที่แก้ไขปัญหาและให้คำแนะนำทางด้านเทคนิคเมื่อเกิดเหตุขัดข้องระหว่างการปฏิบัติงานของเครื่องคอมพิวเตอร์ รวมทั้งยังทำหน้าที่บำรุงรักษาฮาร์ดแวร์และซอฟต์แวร์ตามตารางที่กำหนด

ประการที่สาม การบริหารฐานข้อมูล (Database management)ทำหน้าที่เลือกและปรับปรุงซอฟต์แวร์ให้ทันสมัย เหมาะสมกับการใช้งานของระบบ

ประการที่สี่ การบริหารเว็บ (Web administration) ทำหน้าที่กำหนดความจุของที่อยู่เว็บ (Web Site)รวมทั้งนำระบบการรักษาความปลอดภัยมาใช้งานสำหรับการพาณิชย์อิเล็กทรอนิกส์ (Electronic Commerce)

นโยบายและกระบวนการที่ใช้ในการควบคุมการจัดหาและการบำรุงรักษาซอฟต์แวร์ของระบบ แบ่งได้เป็น 3 ส่วนคือ

ส่วนที่หนึ่ง กำหนดให้มีการคัดเลือกพนักงานเข้าทำงานในหน้าที่ที่ต้องการความชำนาญเฉพาะด้านเพื่อให้มั่นใจว่าพนักงานของกิจการมีความรู้ความสามารถเพียงพอที่จะปฏิบัติงานในส่วนที่เกี่ยวข้องกับเทคโนโลยีที่เปลี่ยนแปลงอยู่ตลอดเวลา

ส่วนที่สอง กำหนดให้มีคณะกรรมการสารสนเทศ เพื่อตรวจสอบและอนุมัติการจัดหาซอฟต์แวร์ คณะกรรมการชุดนี้จะต้องมีความเชี่ยวชาญและมีความรู้ในด้านเทคโนโลยีเป็นอย่างดี อาจเป็นบุคคลภายในหรือบุคคลภายนอกที่จ้างมาเป็นที่ปรึกษาของกิจการก็ได้

ส่วนที่สาม การกำหนดให้มีรูปแบบมาตรฐานของระบบคอมพิวเตอร์ (Standard Configuration)ทั้งในส่วนของซอฟต์แวร์และฮาร์ดแวร์ที่เกี่ยวข้อง เพื่อเป็นแนวทางในการตัดสินใจจัดซื้อซอฟต์แวร์ที่เหมาะสมกับลักษณะและประเภทการใช้งานในกิจการ

4. การควบคุมในเรื่องการรักษาความปลอดภัยของการเข้าถึงระบบและข้อมูล (Access Controls)

การรักษาความปลอดภัยของการเข้าถึงระบบ(System Access)และการเข้าถึงข้อมูล (Data Access) มีความสำคัญเป็นอย่างมาก โดยทั่วไปมักนิยมใช้รหัสผ่าน เป็นเครื่องมือในการตรวจสอบการมีสิทธิในการเข้าถึงระบบ และการเข้าถึงข้อมูลในแฟ้มข้อมูล การกำหนดรหัสผ่านนี้มักกำหนดให้พนักงานแต่ละระดับชั้นมีสิทธิในการเข้าถึงระบบหรือข้อมูลในแฟ้มข้อมูลได้ต่างกัน

สรุป การควบคุมระบบสารสนเทศอาจจัดเป็นประเภทต่าง ๆ ได้หลายวิธี วิธีที่เป็นที่นิยม เช่น การจำแนกประเภทการควบคุมตามลักษณะ (Classification by setting)และการจำแนกประเภทการควบคุมตามระดับความเสี่ยง (Classification by risk aversion)

นักบัญชีได้จัดแบ่งการควบคุมระบบออกเป็น 2 ประเภท

ประเภทที่ 1 จัดแบ่งโดยใช้เกณฑ์วัตถุประสงค์ของการควบคุม (By Objective)

ประเภทที่ 2 จัดแบ่งโดยใช้เกณฑ์ขอบเขตงานของการควบคุม (By Scope)

1. การควบคุมเชิงป้องกัน (Prevention Controls)

2. การควบคุมเชิงตรวจสอบ (Detection Controls)

3. การควบคุมเชิงแก้ไข (Corrective Controls)

1. การควบคุมเชิงป้องกัน (Prevention Controls)

2. การควบคุมเชิงตรวจสอบ (Detection Controls)

3. การควบคุมเชิงแก้ไข (Corrective Controls)

บรรณนุกรม
Accounting.crru.ac.th.การควบคุมระบบสารสนเทศทางการบัญชี.วันที่สืบค้น 27 มกราคม 2563,จาก www.Accounting.crru.ac.th.