การควบคุมเชิงป้องกัน ตัวอย่าง

การควบคุมในระบบสารสนเทศ การควบคุมระบบสารสนเทศอาจจัดเป็นประเภทต่าง ๆ ได้หลายวิธี วิธีที่เป็นที่นิยม เช่น การ จำแนกประเภทการควบคุมตามลักษณะ (Classification by setting)และการจำแนกประเภทการควบคุม ตามระดับความเสี่ยง (Classification by risk aversion)

การจำแนกประเภทการควบคุมตามลักษณะของการควบคุม สามารถจำแนกเป็น 2 ประเภท ได้แก่

1) การควบคุมทั่วไป

2) การควบคุมระบบงาน การจำแนกประเภท

การควบคุมตามระดับความเสี่ยงอาจแบ่งได้เป็น 3 ประเภท ได้แก่

1) การควบคุมเชิงป้องกัน (Preventive control) เป็นการดำเนินการล่วงหน้าเพื่อป้องกันไม่ให้เกิด ข้อผิดพลาดหรือความเสียหายขึ้น ตัวอย่างเช่น การจัดให้มีคู่มือปฏิบัติงานเพื่อป้องกันความผิดพลาดที่เกิดขึ้นในการปฏิบัติงาน เป็นต้น

2) การควบคุมเชิงตรวจพบ (Detective control) เป็นการดำเนินการเพื่อให้สามารถตรวจพบภัย คุกคามหรือข้อผิดพลาดที่เกิดขึ้น ตัวอย่างเช่น การสอบทานความถูกต้องของข้อมูลที่ได้มีการบันทึกใน ระบบคอมพิวเตอร์ก่อนการประมวลผล เป็นต้น

3) การควบคุมเชิงแก้ไข (Corrective control) เป็นการดำเนินการเพื่อแก้ไขข้อผิดพลาดหรือความ เสียหายที่ตรวจพบ เช่น การปรับปรุงรายการเพื่อแก้ไขข้อผิดพลาดทางการบัญชี เมื่อตรวจพบข้อผิดพลาด จากการตรวจสอบงบทดลอง เป็นต้น

(http://elearning.psru.ac.th/courses/pdf)

การควบคุมทั่วไปในระบบสารสนเทศ

การควบคุมทั่วไปในระบบสารสนเทศ หมายถึงการควบคุมในส่วนที่เกี่ยวข้องกับสภาพแวดล้อม ของการควบคุมภายใน (internal control environment) นโยบายและวิธีการในการควบคุมระบบ สารสนเทศ การจัดแบ่งส่วนงานและหน้าที่ รวมทั้งวิธีการปฏิบัติงานของผู้ที่เกี่ยวข้องกับระบบสารสนเทศ การควบคุมความปลอดภัยระบบ การควบคุมการพัฒนาและปรับปรุงระบบ และการป้องกันความเสียหาย หรือลดความเสียหายของระบบ การควบคุมทั่วไปเป็นกา รควบคุมภายในสำหรับระดับองค์กร หรือการ ควบคุมที่ควรมีในทุก ๆ ส่วนของระบบสารสนเทศ โดยมีวัตถุประสงค์เพื่อให้เกิดความมั่นใจว่าระบบ คอมพิวเตอร์โดยรวมขององค์กรมีความเสถียร (stable) มีการจัดการที่ดี และเป็นส่วนหนึ่งที่จะก่อให้เกิด บูรณภาพ (integrity)ของระบบสารสนเทศของกิจการ ซึ่งแตกต่างจากการควบคุมภายในของระบบงาน ซึ่ง ใช้เฉพาะในระบบงานแต่ละระบบ เช่น ระบบลูกหนี ้ หรือระบบเงินเดือนและค่าแรง เป็นต้น

การควบคุมทั่วไปในระบบสารสนเทศประกอบด้วยกิจกรรมต่าง ๆ ได้แก่ การกำหนดนโยบายการ ใช้สารสนเทศ การแบ่งแยกหน้าที่งานในระบบสารสนเทศ การควบคุมโครงการพัฒนาระบบสารสนเทศ การควบคุมการเปลี่ยนแปลงแก้ไขระบบ การควบคุมการปฏิบัติงานในศูนย์คอมพิวเตอร์ การควบคุมการ เข้าถึงอุปกรณ์คอมพิวเตอร์ การควบคุมการเข้าถึงระบบงาน การควบคุมการเข้าถึงข้อมูลและทรัพยากร สารสนเทศ การควบคุมการจัดเก็บข้อมูล การควบคุมการ สื่อสารข้อมูล การกำหนดมาตรฐานของเอกสาร ระบบสารสนเทศ การลดความเสียหายที่อาจเกิดขึ้นกับระบบคอมพิวเตอร์ และการวางแผนแก้ไขความ เสียหายจากเหตุฉุกเฉิน

(พลพธู ปียวรรณ และกัญนิภัทธิ์ นิธิโรจน์ธนัท. (2557). ระบบสารสนเทศทางการบัญชี.พิมพ์ครั้งที่ 3. หน้า 138 – 172 .กรุงเทพฯ : วิทยพัฒน์.)

การกำหนดนโยบายการใช้สารสนเทศ

การรักษาความปลอดภัยของข้อมูลและสารสนเทศเป็นการควบคุมที่สำคัญอย่างหนึ่ง จึงต้องมีการ กำหนดเป็น นโยบาย โดยมีการทบทวนเพื่อทำการปรับปรุงอย่างต่อเนื่องในการกำหนดนโยบายเกี่ยวกับ ความปลอดภัยของข้อมูลและการใช้งานนั้น เริ่มจาการพิจารณาว่า ใคร ต้อง เข้าถึงข้อมูลอะไร เมื่อไร และ ข้อมูลนั้นอยู่ใน ระบบงานใด ซึ่งการพิจารณาดังกล่าวจะเป็นปัจจัยใ นการระบุภัยคุกคาม (threat) ความ เสี่ยง (risk) และผลของความเสี่ยง (exposure) ที่จะมีต่อระบบสารสนเทศ เพื่อให้สามารถเลือกวิธีการ รักษาความปลอดภัยที่เหมาะสมที่สุด และคุ้มค่ากับการลงทุน (cost-effective) โดยผู้บริหารระดับสูง ควร มีหน้าที่ในการกำหนดนโยบาย กำกับดูแล และควบคุมให้เป็นไปตามนโยบายที่กำหนดไว้ โดยมีการ ทบทวนและปรับปรุงอย่างต่อเนื่อง รวมทั้งชี้แจงให้ผู้ปฏิบัติงานที่เกี่ยวข้องทุกคนรับทราบ

(http://www.bablog.mju.ac.th)

การแบ่งแยกหน้าที่งานในระบบสารสนเทศ

วิธีการหนึ่งในการควบคุมระบบสารสนเทศขององค์กร คือการแบ่งแยกหน้าที่ความรับผิดชอบของ ผู้ปฏิบัติงานระบบงานคอมพิวเตอร์ให้ชัดเจน เพื่อลดโอกาสที่จะเกิดความผิดพลาดจากการปฏิบัติงานและ โอกาสการทุจริตของผู้ปฏิบัติงานที่ไม่ถูกจำกัดสิทธิในการเข้าถึงระบบงาน โปรแกรม และข้อมูล โดยมี ประเภทงานที่ควรมีการแบ่งแยกผู้ปฏิบัติงานดังนี้

1) งานวิเคราะห์ระบบ (system analysis) นักวิเคราะห์ระบบ (system analyst) เป็นผู้ที่ทำงาน ร่วมกับผู้ใช้ ในการพิจารณาถึงสารสนเทศที่ผู้ใช้ต้องการใช้งาน และออกแบบระบบงานให้ตรงกับความ ต้องการใช้งาน

2) งานเขียนโปรแกรม (programming) โปรแกรมเมอร์ (programmer) เป็นผู้นำระบบงานที่ นักวิเคราะห์ระบบออกแบบไว้มาเขียนโปรแกรมสร้างระบบงาน

3) งานปฏิบัติการคอมพิวเตอร์ (computer operation) ผู้ปฏิบัติงานคอมพิวเตอร์ (computer operator) เป็นผู้เปิดระบบงานในการท างานโปรแกรมประยุกต์ในเครื่องคอมพิวเตอร์ และเป็นผู้ดำเนินการ ประมวลผลสิ้นวัน เพื่อสร้างความมั่นใจว่าการนำเข้าข้อมูลเป็นไปอย่างเหมาะสม การประมวลผลเป็นไป โดยถูกต้อง และได้ผลลัพธ์หรือข้อมูลตรงกับความต้องการ

4) งานของผู้ใช้ (user) หน่วยงานของผู้ใช้เป็นหน่วยงานที่สร้างข้อมูลรายการธุรกิจ กำกับดูแล ข้อมูลที่ใช้ประมวลผล และใช้ผลลัพธ์จากการประมวลของระบบงาน

5) งานบรรณารักษ์ระบบ (system library) บรรณารักษ์ระบบ (system librarian) เป็นผู้เก็บ รักษาและดูแลแฟ้มข้อมูลที่มีการจัดเก็บไว้ในเทปแม่เหล็กและจานแม่เหล็กในขณะที่ไม่ได้เชื่อมตรงกับ ระบบคอมพิวเตอร์ (offline)

6) งานควบคุมข้อมูล (data control) กลุ่มผู้ควบคุมข้อมูล (data control group) มีหน้าที่ในการ รับรองความถูกต้อง สอบทานการท างานผ่านเครื่องคอมพิวเตอร์ยืนยันข้อมูลเข้าและผลลัพธ์ที่ได้จากการ ประมวลผล แก้ไขรายการนำเข้าที่ผิดพลาด และแจกจ่ายผลลัพธ์ที่ได้จากการประมวลผล

ทั้งนี้การอนุญาตให้ผู้ปฏิบัติงานท างานได้หลายประเภทงาน จะเป็นการเปิดโอกาสให้ มีการทุจริต ได้ง่าย ตัวอย่างเช่น นักเขียนโปรแกรมของหน่วยงานที่ได้รับสิทธิให้เข้าถึงและนำข้อมูลจริงมาใช้ในการ ทดสอบโปรแกรม อาจทำการลบหรือแก้ไขเปลี่ยนแปลงรายการเงินกู้ของตนเอง หรือนักปฏิบัติการ คอมพิวเตอร์ที่สามารถเข้าถึงโปรแกรมที่ติดตั้งในระดับตรรกะ (logic) อาจทำการแก้ไขเปลี่ยนแปลง โปรแกรมเพื่อให้ประมวลผลเพิ่มเงินค่าจ้างของตนเอง เป็นต้น

(http://www.elfms.ssru.ac.th)

การควบคุมโครงการพัฒนาระบบสารสนเทศ

การพัฒนาระบบสารสนเทศที่ขาดการควบคุมการบริหารจัดการที่ดี ก่อให้เกิดความเสี่ยงในการที่ ระบบไม่สามารถตอบสนองความต้องการทางธุรกิจ และระบบงานที่พัฒนาขึ้นอาจไม่มีการควบคุมภายใน ที่เพียงพอ ทำให้ทำงานผิดพลาด นอกจากนั้น ยังเป็นผลให้กิจการสูญเสียเงินลงทุนจำนวนมากในโครงการ พัฒนาระบบสารสนเทศ การควบคุมโครงการพัฒนาระบบสารสนเทศ ประกอบด้วย

1) แผนแม่บทระยะยาว (long-rage master plan) เป็นแผนงานที่แสดงใ ห้เห็นทิศทางของ เทคโนโลยีและโครงร่างของโครงการต่าง ๆ ที่จะตอบสนองความต้องการเป้ าหมายขององค์กร ในระยะยาวซึ่งส่วนใหญ่จะเป็นแผนงานในระยะ 3-5 ปี

2) แผนงานพัฒนาระบบ (project development plan) เป็นแผนงานที่แสดงให้เห็นว่าจะดำเนิน โครงการอย่างไร ประกอบด้วย รายละเอียดขั้นตอนของงาน ผู้ปฏิบัติงานในแต่ละขั้นตอน ช่วงเวลาในการปฏิบัติงาน ค่าใช้จ่ายโครงการในแต่ละขั้นตอนและรายการอื่น ๆ โดยใน แผนงานนั้นควรระบุการวัดความก้าวหน้าของโครงการ (project milestone) หรือจุดสำคัญที่ จะใช้ในการสอบทานความก้าวหน้าของโครงการ และใช้ในการเปรียบเทียบระยะเวลาที่ใช้ จริงกับประมาณการ

3) กำหนดการประมวลผลข้อมูล (data processing schedule) เพื่อให้มีการใช้ทรัพยากร สารสนเทศในองค์กรให้เกิดประโยชน์สูงสุด ควรกำหนดให้งานประมวลผลข้อมูลทุกงานที่การ ดำเนินการตามตารางเวลาที่กำหนดไว้

4) การมอบหมายหน้าที่และความรับผิดชอบ (assignment of responsibility) โครงการพัฒนา ระบบแต่ละโครงการจะต้องมีการกำหนดผู้จัดการโครงการและทีมงาน รวมถึงหน้าที่และ ความรับผิดชอบของแต่ละคน โดยผู้จัดการโครงการและทีมงานจะมีหน้าที่รับผิดชอบโดยตรง ต่อความสำเร็จหรือความล้มเหลวของโครงการ

5) การประเมินผลงานระหว่างการดำเนินโครงการ (periodic performance evaluation) โดย ควรมีการแบ่งแยกงานออกเป็นแต่ละส่วน (module หรือtask) ซึ่งจะแยกย่อยมาจาก ประเภท งานต่าง ๆ ตามแผนงาน เพื่อประเมินผลการดำเนินงานของบุคคลที่รับผิดชอบงานในแต่ละ ส่วน

6) การสอบทานภายหลังการติดตั้งระบบและนำระบบมาใช้งาน (post-implementation review) หลังจากโครงการพัฒนาระบบได้เสร็จสิ้นลง ควรมีการสอบทานเพื่อพิจารณาว่าผลประโยชน์ ที่ได้รับเป็นไปตามที่คาดหวังไว้หรือไม่ การสอบทานดังกล่าวจะช่วยในการควบคุมกิจกรรม การพัฒนาระบบ และส่งเสริมให้มีการประมาณการต้น ทุนและผลประโยชน์อย่างถูกต้อง แม่นยำ และมีหลักการตั้งแต่ในระยะเริ่มต้นโครงการ

7) การวัดผลการดำเนินงานของระบบ (system performance measurement) เพื่อให้มีการ ประเมินระบบงานที่พัฒนาขึ้นอย่างเหมาะสม การวัดผลโดยทั่วไปอาจรวมถึงการวัดปริมาณ งาน (throughput) การวัดอรรถประโยชน์ (utilization) และการวัดระยะเวลาตอบสนอง (response time) เป็นต้น

(http://www.ex-mba.buu.ac.th)

https://www.youtube.com/watch?v=g4-2MlVTwXE