หลังจากผมทำงานเป็นไอทีออดิทมาเกิน10ปีในบริษัท KPMG กับ Deloitte ผมพบว่าคนจำนวนนึงชอบมีคำถามว่าอาชีพไอทีออดิทมันคืออะไรกันแน่ เนื้องานเป็นยังไง อาชีพนี้จำเป็นแค่ไหนในองค์กร บทความนี้จะมาช่วยคลายข้อสงสัยทุกอย่างครับ
ในยุค Generative AI ที่เทคโนโลยีมีบทบาทสำคัญต่อองค์กรมากขึ้น บทบาทของไอทีออดิท (IT Auditor) หรือ ผู้ตรวจสอบระบบสารสนเทศ ก็ยิ่งมีความสำคัญมากขึ้นเช่นกัน เราช่วยตรวจสอบและให้คำแนะนำในการปกป้องข้อมูลและระบบไอทีขององค์กรให้ปลอดภัย มีประสิทธิภาพ และสอดคล้องกับกฎหมายและข้อบังคับที่เกี่ยวข้อง
อาชีพไอทีออดิทแบ่งเป็น2อย่างกว้างๆ คือ
- ไอทีออดิทที่เป็นคนนอกบริษัท (External IT Auditor)
- เป็นคนนอกที่บริษัทจ้างมาเพื่อตรวจสอบระบบไอทีของเรา เช่น ธนาคารแห่งนึงจ้างบริษัทบิ๊กโฟร์มาตรวจสอบระบบไอทีให้ธนาคาร หรือจ้างมาทดสอบการเจาะระบบ ตามขอบเขตงานที่ตกลงกัน
- วัตถุประสงค์ของการตรวจสอบมีหลากหลาย เช่น
- ตรวจสอบเพื่อรับรองความถูกต้องครบถ้วนของงบการเงิน หรือตรวจสอบเพื่อสนับสนุนทีม External Auditor หรือผู้สอบบัญชีของบริษัทนั่นเอง
- ถ้าเป็นการตรวจสอบนอกเหนือจากขอบเขตปกติ เช่น ทดสอบการเจาะระบบ ก็จะมีวัตถุประสงค์ของการตรวจสอบล้อไปตามหัวเรื่องนั้นๆ เช่น ตรวจสอบเพื่อหาช่องโหว่ของระบบไอที เพื่อที่จะได้ปิดช่องโหว่ที่มีอยู่ และลดความเสี่ยงหรือความเสียหายที่อาจเกิดขึ้นถ้าถูกแฮกระบบ
- ตามปกติบริษัทจะจ้าง External IT Auditor กับ External Auditor จากบริษัทเดียวกัน เช่น จ้าง KPMG เพื่อมาตรวจทั้ง 2 scope งานไปเลย ซึ่งรายละเอียดในการจ้างงานจะแยก cost center ออกจากกัน แต่การเจรจาต่อรองค่าธรรมเนียมในการตรวจสอบจะต่อรองเป็นแพ็คเกจรวมไปเลยเป็นตัวเลขกลมๆ
- ถ้าลูกค้าคิดว่าค่าธรรมเนียมในการตรวจสอบแพงเกินไป ลูกค้าจะคุยกับ Audit Partner ของทีม External Auditor เพื่อเจรจาต่อรอง หลังจากนั้น Audit Partner ของทั้งสองทีมก็จะไปตกลงกันเองหลังฉาก แล้วค่อยเสนอ Proposal ให้ลูกค้าเป็นตัวเลขที่ลดราคาเรียบร้อยแล้ว
- กิจกรรมในการต่อรองค่า fee หลังฉากเป็นกิจกรรมที่ท้าทาย เพราะเราต้องบาลานซ์ระหว่างความต้องการของลูกค้ากับรายได้ของบริษัท เช่น ลูกค้ามักต้องการให้คิดค่าธรรมเนียมถูกลง แต่อยากให้ตรวจ scope เพิ่มทุกปีก็มี ออดิทเมเนอเจอร์จะต้องขบคิดว่าเราจะเพิ่มคุณค่าในงานตรวจสอบให้ลูกค้าได้ยังไงบ้างในแต่ละปี
- External IT Auditor มักจะอยู่ภายใต้บริษัทที่ปรึกษา ส่วน External Auditor จะอยู่ภายใต้บริษัทสอบบัญชี
- ไอทีออดิทที่มาตรวจสอบระบบควบคุมภายในของบริษัท (Internal IT Auditor)
- เป็นได้ทั้งคนนอกที่บริษัทจ้างมาตรวจสอบ หรือจะเป็นคนในบริษัทเองก็ได้ที่สังกัดแผนกตรวจสอบภายใน
- การตรวจสอบภายในเป็นกิจกรรมให้คำปรึกษาและให้การรับรองอย่างเป็นอิสระ ซึ่งออกแบบมาเพื่อเพิ่มคุณค่าและปรับปรุงการดำเนินงานขององค์กร
ต้องเรียนจบคณะอะไรถึงจะเป็นไอทีออดิทได้?
บริษัทมักจะรับคนที่เรียนจบปริญญาตรี (เป็นอย่างน้อย) จาก:
- คณะวิทยาการคอมพิวเตอร์
- คณะวิศวะคอมพิวเตอร์
- คณะเทคโนโลยีสารสนเทศ
- คณะบัญชี AIS
- คณะบริหาร MIS
ถ้าเรียนจบจากคณะอื่นถือว่าไม่ตรงสาย แต่ไม่ได้หมายความว่าคนที่จบจากคณะอื่นๆ จะเป็นไอทีออดิทไม่ได้ เพราะมีปัจจัยอื่นๆ ในการพิจารณาคนเข้าทำงานด้วย เช่น ความรู้และประสบการณ์
รายละเอียดงานหลักของไอทีออดิท ประกอบด้วย:
1. การตรวจสอบการควบคุมทั่วไปด้านไอที (IT General Controls – ITGC):
- กิจกรรมการตรวจสอบมีหลากหลาย เช่น
- ตรวจสอบนโยบายด้านไอทีของบริษัท
- การตั้งค่าพาสเวิร์ดในระบบ
- การสำรองข้อมูล
- การพัฒนาระบบ
- การเปลี่ยนแปลงแก้ไขโปรแกรม หรือแอปพลิเคชันของบริษัท
- การตรวจสอบมีทั้งในระดับ Active Directory, แอปพลิเคชั่น, ระบบปฏิบัติการ และฐานข้อมูล
- ประเมินความเหมาะสมและประสิทธิภาพของระบบควบคุมทั่วไปด้านไอทีขององค์กร
- ตรวจสอบว่าระบบควบคุมเหล่านี้มีการออกแบบและนำไปใช้ตามมาตรฐาน
- วิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นจากระบบควบคุมที่ไม่เพียงพอ
- เสนอแนะแนวทางการปรับปรุงระบบควบคุม
2. การตรวจสอบระบบควบคุมแอปพลิเคชัน (IT Application Controls – ITAC):
- เน้นการตรวจไปที่แอปพลิเคชันหลักๆ ที่เกี่ยวข้องกับงบการเงินทั้งหมด เช่น ถ้าบริษัทใช้ ERP ยี่ห้อ SAP ออกงบการเงิน ไอทีออดิทก็จะตรวจสอบระบบ SAP
- ตัวอย่างหัวข้อที่จะตรวจ เช่น
- ตรวจสอบระบบจัดซื้อ (Purchase to Pay)
- ตรวจสอบระบบขาย (Order to Cash)
- ตรวจสอบระบบบริหารงานบุคคล (Human Capital Management)
- เรามักจะพิจารณาเรื่อง
- การแบ่งแยกหน้าที่ที่ดีในแต่ละกระบวนการทำงาน เช่น มีใครได้สิทธิ์เกินกว่าหน้าที่งานหรือไม่ หรือคนทำเอกสารกับคนอนุมัติเอกสารเป็นคนเดียวกันมั้ย
- การอนุมัติวงเงินต่างๆ เป็นไปตามนโยบายของบริษัทหรือไม่
- การสอบทาน Access Matrix ของผู้บริหารมีความสม่ำเสมอหรือไม่
- เอกสารที่ถูกระบบพักเอาไว้ เนื่องจากไม่ผ่าน 3 ways match
- มีการสอบทาน Audit Log อย่างสม่ำเสมอหรือไม่
- คนที่ได้สิทธิ์ของ Super User เช่น SAP*, SAP_NEW, SAP_ALL มีความเหมาะสมหรือไม่
- ตรวจสอบความปลอดภัยและความน่าเชื่อถือของแอปพลิเคชัน
- วิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่ของแอปพลิเคชัน
- ทดสอบการทำงานของแอปพลิเคชันเพื่อหาข้อผิดพลาด
- เสนอแนะแนวทางการแก้ไขช่องโหว่และปรับปรุงแอปพลิเคชัน
3. การวิเคราะห์ข้อมูล (Data Analytics):
- นำเครื่องมือและเทคนิคการวิเคราะห์ข้อมูลมาใช้เพื่อตรวจสอบข้อมูลขององค์กร เช่น ACL, IDEA, Python, Tableau, Power BI, QlikView และ Alteryx
- ค้นหาความผิดปกติ รูปแบบ และข้อมูลเชิงลึกจากข้อมูล
- ความผิดปกติที่เกิดจาก human error
- ความผิดปกติที่เกิดจากบัคของโปรแกรม
- ความผิดปกติที่เกิดจากการทุจริต
- วิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นจากข้อมูล
- เสนอแนะแนวทางการจัดการข้อมูลอย่างมีประสิทธิภาพ
4. การตรวจสอบตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA):
- ตรวจสอบว่าองค์กรมีการปฏิบัติตามข้อกำหนดของ PDPA หรือไม่
- ประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
- เสนอแนะแนวทางการปฏิบัติตาม PDPA
5. การตรวจสอบนโยบายและแนวปฏิบัติด้านการต่อต้านการทุจริตคอร์รัปชั่น (Anti-Corruption):
- สอบทานนโยบายและแนวปฏิบัติด้านการต่อต้านการทุจริตคอร์รัปชั่น
- กำหนดนโยบายและแนวปฏิบัติที่ชัดเจน สื่อสารและสร้างความตระหนักให้กับพนักงานทุกระดับ
- กำหนดช่องทางการรับข้อร้องเรียนและการคุ้มครองผู้แจ้งเบาะแส
- มีการประเมินความเสี่ยงด้านการทุจริตหรือไม่
- ระบุและประเมินความเสี่ยงจากกิจกรรม กระบวนการทำงาน และการดำเนินธุรกิจ
- วางมาตรการควบคุมเพื่อป้องกันหรือลดความเสี่ยง
- มีระบบควบคุมภายในเพื่อป้องกันการทุจริตหรือไม่
- แบ่งแยกหน้าที่งานที่สำคัญอย่างเหมาะสม
- กำหนดขั้นตอนการอนุมัติและสอบทานรายการต่างๆ อย่างรัดกุม
- ควบคุมการเข้าถึงข้อมูลและสินทรัพย์ขององค์กร
- มีการสื่อสารและการฝึกอบรมหรือไม่
- สื่อสารนโยบายและแนวทางปฏิบัติต่อคู่ค้าและผู้มีส่วนได้เสีย
- ฝึกอบรมและสร้างความรู้ความเข้าใจด้านการต่อต้านการทุจริตให้พนักงาน
- มีการติดตามและประเมินผลการควบคุมหรือไม่
- กำหนดตัวชี้วัดและติดตามผลการปฏิบัติตามมาตรการควบคุม
- ตรวจสอบและรายงานการบริหารความเสี่ยงด้านทุจริตต่อคณะกรรมการตรวจสอบ
6. การตรวจสอบตาม พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2551:
- ตรวจสอบว่าองค์กรมีการปฏิบัติตามข้อกำหนดของ พ.ร.บ. คอมพิวเตอร์ หรือไม่
- ประเมินความเสี่ยงที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์
- เสนอแนะแนวทางการป้องกันอาชญากรรมทางคอมพิวเตอร์
7. การตรวจสอบธรรมาภิบาลด้านปัญญาประดิษฐ์ (AI Governance):
- ตรวจสอบว่าองค์กรมีการใช้งาน AI อย่างมีจริยธรรมและโปร่งใสหรือไม่
- ประเมินความเสี่ยงของการเชื่อมต่อ AI กับระบบไอทีของบริษัท
ตามปกติ IT External Audit จะตรวจ3หัวข้อแรกเป็นหลัก ส่วน IT Internal Audit จะตรวจหมดทุกข้อ และนี่เป็นแค่ส่วนนึงของรายละเอียดงานของไอทีออดิทเท่านั้น ของจริงยังมีมากกว่านี้อีกเยอะ ไว้ว่างๆ ผมจะมาเขียนเพิ่มครับ
สั่งซื้ออีบุ๊ค: