อาชีพไอทีออดิท (IT Auditor) ทำอะไรบ้าง?

ไอทีออดิทกับลูกค้า

หลังจากผมทำงานเป็นไอทีออดิทมาเกิน10ปีในบริษัท KPMG กับ Deloitte ผมพบว่าคนจำนวนนึงชอบมีคำถามว่าอาชีพไอทีออดิทมันคืออะไรกันแน่ เนื้องานเป็นยังไง อาชีพนี้จำเป็นแค่ไหนในองค์กร บทความนี้จะมาช่วยคลายข้อสงสัยทุกอย่างครับ

ในยุค Generative AI ที่เทคโนโลยีมีบทบาทสำคัญต่อองค์กรมากขึ้น บทบาทของไอทีออดิท (IT Auditor) หรือ ผู้ตรวจสอบระบบสารสนเทศ ก็ยิ่งมีความสำคัญมากขึ้นเช่นกัน เราช่วยตรวจสอบและให้คำแนะนำในการปกป้องข้อมูลและระบบไอทีขององค์กรให้ปลอดภัย มีประสิทธิภาพ และสอดคล้องกับกฎหมายและข้อบังคับที่เกี่ยวข้อง

อาชีพไอทีออดิทแบ่งเป็น2อย่างกว้างๆ คือ

  1. ไอทีออดิทที่เป็นคนนอกบริษัท (External IT Auditor)
    • เป็นคนนอกที่บริษัทจ้างมาเพื่อตรวจสอบระบบไอทีของเรา เช่น ธนาคารแห่งนึงจ้างบริษัทบิ๊กโฟร์มาตรวจสอบระบบไอทีให้ธนาคาร หรือจ้างมาทดสอบการเจาะระบบ ตามขอบเขตงานที่ตกลงกัน
    • วัตถุประสงค์ของการตรวจสอบมีหลากหลาย เช่น
      • ตรวจสอบเพื่อรับรองความถูกต้องครบถ้วนของงบการเงิน หรือตรวจสอบเพื่อสนับสนุนทีม External Auditor หรือผู้สอบบัญชีของบริษัทนั่นเอง
      • ถ้าเป็นการตรวจสอบนอกเหนือจากขอบเขตปกติ เช่น ทดสอบการเจาะระบบ ก็จะมีวัตถุประสงค์ของการตรวจสอบล้อไปตามหัวเรื่องนั้นๆ เช่น ตรวจสอบเพื่อหาช่องโหว่ของระบบไอที เพื่อที่จะได้ปิดช่องโหว่ที่มีอยู่ และลดความเสี่ยงหรือความเสียหายที่อาจเกิดขึ้นถ้าถูกแฮกระบบ
    • ตามปกติบริษัทจะจ้าง External IT Auditor กับ External Auditor จากบริษัทเดียวกัน เช่น จ้าง KPMG เพื่อมาตรวจทั้ง 2 scope งานไปเลย ซึ่งรายละเอียดในการจ้างงานจะแยก cost center ออกจากกัน แต่การเจรจาต่อรองค่าธรรมเนียมในการตรวจสอบจะต่อรองเป็นแพ็คเกจรวมไปเลยเป็นตัวเลขกลมๆ
    • ถ้าลูกค้าคิดว่าค่าธรรมเนียมในการตรวจสอบแพงเกินไป ลูกค้าจะคุยกับ Audit Partner ของทีม External Auditor เพื่อเจรจาต่อรอง หลังจากนั้น Audit Partner ของทั้งสองทีมก็จะไปตกลงกันเองหลังฉาก แล้วค่อยเสนอ Proposal ให้ลูกค้าเป็นตัวเลขที่ลดราคาเรียบร้อยแล้ว
    • กิจกรรมในการต่อรองค่า fee หลังฉากเป็นกิจกรรมที่ท้าทาย เพราะเราต้องบาลานซ์ระหว่างความต้องการของลูกค้ากับรายได้ของบริษัท เช่น ลูกค้ามักต้องการให้คิดค่าธรรมเนียมถูกลง แต่อยากให้ตรวจ scope เพิ่มทุกปีก็มี ออดิทเมเนอเจอร์จะต้องขบคิดว่าเราจะเพิ่มคุณค่าในงานตรวจสอบให้ลูกค้าได้ยังไงบ้างในแต่ละปี
    • External IT Auditor มักจะอยู่ภายใต้บริษัทที่ปรึกษา ส่วน External Auditor จะอยู่ภายใต้บริษัทสอบบัญชี
  2. ไอทีออดิทที่มาตรวจสอบระบบควบคุมภายในของบริษัท (Internal IT Auditor)
    • เป็นได้ทั้งคนนอกที่บริษัทจ้างมาตรวจสอบ หรือจะเป็นคนในบริษัทเองก็ได้ที่สังกัดแผนกตรวจสอบภายใน
    • การตรวจสอบภายในเป็นกิจกรรมให้คำปรึกษาและให้การรับรองอย่างเป็นอิสระ ซึ่งออกแบบมาเพื่อเพิ่มคุณค่าและปรับปรุงการดำเนินงานขององค์กร

ต้องเรียนจบคณะอะไรถึงจะเป็นไอทีออดิทได้?

บริษัทมักจะรับคนที่เรียนจบปริญญาตรี (เป็นอย่างน้อย) จาก:

  • คณะวิทยาการคอมพิวเตอร์
  • คณะวิศวะคอมพิวเตอร์
  • คณะเทคโนโลยีสารสนเทศ
  • คณะบัญชี AIS
  • คณะบริหาร MIS

ถ้าเรียนจบจากคณะอื่นถือว่าไม่ตรงสาย แต่ไม่ได้หมายความว่าคนที่จบจากคณะอื่นๆ จะเป็นไอทีออดิทไม่ได้ เพราะมีปัจจัยอื่นๆ ในการพิจารณาคนเข้าทำงานด้วย เช่น ความรู้และประสบการณ์

ไอทีออดิทกำลังตรวจห้องเซิฟเวอร์

รายละเอียดงานหลักของไอทีออดิท ประกอบด้วย:

1. การตรวจสอบการควบคุมทั่วไปด้านไอที (IT General Controls – ITGC):

  • กิจกรรมการตรวจสอบมีหลากหลาย เช่น
    • ตรวจสอบนโยบายด้านไอทีของบริษัท
    • การตั้งค่าพาสเวิร์ดในระบบ
    • การสำรองข้อมูล
    • การพัฒนาระบบ
    • การเปลี่ยนแปลงแก้ไขโปรแกรม หรือแอปพลิเคชันของบริษัท
  • การตรวจสอบมีทั้งในระดับ Active Directory, แอปพลิเคชั่น, ระบบปฏิบัติการ และฐานข้อมูล
  • ประเมินความเหมาะสมและประสิทธิภาพของระบบควบคุมทั่วไปด้านไอทีขององค์กร
  • ตรวจสอบว่าระบบควบคุมเหล่านี้มีการออกแบบและนำไปใช้ตามมาตรฐาน
  • วิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นจากระบบควบคุมที่ไม่เพียงพอ
  • เสนอแนะแนวทางการปรับปรุงระบบควบคุม

2. การตรวจสอบระบบควบคุมแอปพลิเคชัน (IT Application Controls – ITAC):

  • เน้นการตรวจไปที่แอปพลิเคชันหลักๆ ที่เกี่ยวข้องกับงบการเงินทั้งหมด เช่น ถ้าบริษัทใช้ ERP ยี่ห้อ SAP ออกงบการเงิน ไอทีออดิทก็จะตรวจสอบระบบ SAP
  • ตัวอย่างหัวข้อที่จะตรวจ เช่น
    • ตรวจสอบระบบจัดซื้อ (Purchase to Pay)
    • ตรวจสอบระบบขาย (Order to Cash)
    • ตรวจสอบระบบบริหารงานบุคคล (Human Capital Management)
  • เรามักจะพิจารณาเรื่อง
    • การแบ่งแยกหน้าที่ที่ดีในแต่ละกระบวนการทำงาน เช่น มีใครได้สิทธิ์เกินกว่าหน้าที่งานหรือไม่ หรือคนทำเอกสารกับคนอนุมัติเอกสารเป็นคนเดียวกันมั้ย
    • การอนุมัติวงเงินต่างๆ เป็นไปตามนโยบายของบริษัทหรือไม่
    • การสอบทาน Access Matrix ของผู้บริหารมีความสม่ำเสมอหรือไม่
    • เอกสารที่ถูกระบบพักเอาไว้ เนื่องจากไม่ผ่าน 3 ways match
    • มีการสอบทาน Audit Log อย่างสม่ำเสมอหรือไม่
    • คนที่ได้สิทธิ์ของ Super User เช่น SAP*, SAP_NEW, SAP_ALL มีความเหมาะสมหรือไม่
  • ตรวจสอบความปลอดภัยและความน่าเชื่อถือของแอปพลิเคชัน
  • วิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่ของแอปพลิเคชัน
  • ทดสอบการทำงานของแอปพลิเคชันเพื่อหาข้อผิดพลาด
  • เสนอแนะแนวทางการแก้ไขช่องโหว่และปรับปรุงแอปพลิเคชัน

3. การวิเคราะห์ข้อมูล (Data Analytics):

  • นำเครื่องมือและเทคนิคการวิเคราะห์ข้อมูลมาใช้เพื่อตรวจสอบข้อมูลขององค์กร เช่น ACL, IDEA, Python, Tableau, Power BI, QlikView และ Alteryx
  • ค้นหาความผิดปกติ รูปแบบ และข้อมูลเชิงลึกจากข้อมูล
    • ความผิดปกติที่เกิดจาก human error
    • ความผิดปกติที่เกิดจากบัคของโปรแกรม
    • ความผิดปกติที่เกิดจากการทุจริต
  • วิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นจากข้อมูล
  • เสนอแนะแนวทางการจัดการข้อมูลอย่างมีประสิทธิภาพ

4. การตรวจสอบตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA):

  • ตรวจสอบว่าองค์กรมีการปฏิบัติตามข้อกำหนดของ PDPA หรือไม่
  • ประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
  • เสนอแนะแนวทางการปฏิบัติตาม PDPA

5. การตรวจสอบนโยบายและแนวปฏิบัติด้านการต่อต้านการทุจริตคอร์รัปชั่น (Anti-Corruption):

  • สอบทานนโยบายและแนวปฏิบัติด้านการต่อต้านการทุจริตคอร์รัปชั่น
    • กำหนดนโยบายและแนวปฏิบัติที่ชัดเจน สื่อสารและสร้างความตระหนักให้กับพนักงานทุกระดับ
    • กำหนดช่องทางการรับข้อร้องเรียนและการคุ้มครองผู้แจ้งเบาะแส
  • มีการประเมินความเสี่ยงด้านการทุจริตหรือไม่
    • ระบุและประเมินความเสี่ยงจากกิจกรรม กระบวนการทำงาน และการดำเนินธุรกิจ
    • วางมาตรการควบคุมเพื่อป้องกันหรือลดความเสี่ยง
  • มีระบบควบคุมภายในเพื่อป้องกันการทุจริตหรือไม่
    • แบ่งแยกหน้าที่งานที่สำคัญอย่างเหมาะสม
    • กำหนดขั้นตอนการอนุมัติและสอบทานรายการต่างๆ อย่างรัดกุม
    • ควบคุมการเข้าถึงข้อมูลและสินทรัพย์ขององค์กร
  • มีการสื่อสารและการฝึกอบรมหรือไม่
    • สื่อสารนโยบายและแนวทางปฏิบัติต่อคู่ค้าและผู้มีส่วนได้เสีย
    • ฝึกอบรมและสร้างความรู้ความเข้าใจด้านการต่อต้านการทุจริตให้พนักงาน
  • มีการติดตามและประเมินผลการควบคุมหรือไม่
    • กำหนดตัวชี้วัดและติดตามผลการปฏิบัติตามมาตรการควบคุม
    • ตรวจสอบและรายงานการบริหารความเสี่ยงด้านทุจริตต่อคณะกรรมการตรวจสอบ

6. การตรวจสอบตาม พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2551:

  • ตรวจสอบว่าองค์กรมีการปฏิบัติตามข้อกำหนดของ พ.ร.บ. คอมพิวเตอร์ หรือไม่
  • ประเมินความเสี่ยงที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์
  • เสนอแนะแนวทางการป้องกันอาชญากรรมทางคอมพิวเตอร์

7. การตรวจสอบธรรมาภิบาลด้านปัญญาประดิษฐ์ (AI Governance):

  • ตรวจสอบว่าองค์กรมีการใช้งาน AI อย่างมีจริยธรรมและโปร่งใสหรือไม่
  • ประเมินความเสี่ยงของการเชื่อมต่อ AI กับระบบไอทีของบริษัท

ตามปกติ IT External Audit จะตรวจ3หัวข้อแรกเป็นหลัก ส่วน IT Internal Audit จะตรวจหมดทุกข้อ และนี่เป็นแค่ส่วนนึงของรายละเอียดงานของไอทีออดิทเท่านั้น ของจริงยังมีมากกว่านี้อีกเยอะ ไว้ว่างๆ ผมจะมาเขียนเพิ่มครับ

อาชีพไอทีออดิททำอะไรบ้าง?

สั่งซื้ออีบุ๊ค:

อีบุ๊คคู่มือออดิทมือใหม่

อีบุ๊คไอทีออดิท101

อีบุ๊คตรวจสอบภายใน101

เป้ แนะแนว
เป้ แนะแนว

เป้ แนะแนวจบปริญญาตรีจากคณะบัญชี จุฬาฯ มีประสบการณ์ทำงานด้านไอทีออดิทมากว่าสิบปีในบริษัทบิ๊กโฟร์อย่าง KPMG กับ Deloitte จนเป็น Certified Information Systems Auditor (CISA) เคยเป็นทหารเกณฑ์ ปัจจุบันเป็นเน็ตไอดอลช่องติ๊กต่อกเป้ แนะแนวการศึกษาและอาชีพ และเจ้าของเพจรีวิวซีรีส์เกาหลีอย่าง Netflix Addict

Articles: 63

Leave a Reply

Your email address will not be published. Required fields are marked *

บทความติดเทรนด์

6 เคล็ดลับหางานที่ใช่
ใบประกอบวิชาชีพออดิทในประเทศไทย: CPA, CISA และ CIA
คนที่หนีทหาร จะแจ้งย้ายชื่อออกจากทะเบียนบ้านยังไง?
5 สาขาสุดปังของคณะบริหารธุรกิจ เลือกอันไหนดี?