การควบคุมในระบบสารสนเทศ การควบคุมระบบสารสนเทศอาจจัดเป็นประเภทต่าง ๆ ได้หลายวิธี วิธีที่เป็นที่นิยม เช่น การ จำแนกประเภทการควบคุมตามลักษณะ (Classification by setting)และการจำแนกประเภทการควบคุม ตามระดับความเสี่ยง (Classification by risk aversion)
การจำแนกประเภทการควบคุมตามลักษณะของการควบคุม สามารถจำแนกเป็น 2 ประเภท ได้แก่
1) การควบคุมทั่วไป
2) การควบคุมระบบงาน การจำแนกประเภท
การควบคุมตามระดับความเสี่ยงอาจแบ่งได้เป็น 3 ประเภท ได้แก่
1) การควบคุมเชิงป้องกัน (Preventive control) เป็นการดำเนินการล่วงหน้าเพื่อป้องกันไม่ให้เกิด ข้อผิดพลาดหรือความเสียหายขึ้น ตัวอย่างเช่น การจัดให้มีคู่มือปฏิบัติงานเพื่อป้องกันความผิดพลาดที่เกิดขึ้นในการปฏิบัติงาน เป็นต้น
2) การควบคุมเชิงตรวจพบ (Detective control) เป็นการดำเนินการเพื่อให้สามารถตรวจพบภัย คุกคามหรือข้อผิดพลาดที่เกิดขึ้น ตัวอย่างเช่น การสอบทานความถูกต้องของข้อมูลที่ได้มีการบันทึกใน ระบบคอมพิวเตอร์ก่อนการประมวลผล เป็นต้น
3) การควบคุมเชิงแก้ไข (Corrective control) เป็นการดำเนินการเพื่อแก้ไขข้อผิดพลาดหรือความ เสียหายที่ตรวจพบ เช่น การปรับปรุงรายการเพื่อแก้ไขข้อผิดพลาดทางการบัญชี เมื่อตรวจพบข้อผิดพลาด จากการตรวจสอบงบทดลอง เป็นต้น
การควบคุมทั่วไปในระบบสารสนเทศ
การควบคุมทั่วไปในระบบสารสนเทศ หมายถึงการควบคุมในส่วนที่เกี่ยวข้องกับสภาพแวดล้อม ของการควบคุมภายใน (internal control environment) นโยบายและวิธีการในการควบคุมระบบ สารสนเทศ การจัดแบ่งส่วนงานและหน้าที่ รวมทั้งวิธีการปฏิบัติงานของผู้ที่เกี่ยวข้องกับระบบสารสนเทศ การควบคุมความปลอดภัยระบบ การควบคุมการพัฒนาและปรับปรุงระบบ และการป้องกันความเสียหาย หรือลดความเสียหายของระบบ การควบคุมทั่วไปเป็นกา รควบคุมภายในสำหรับระดับองค์กร หรือการ ควบคุมที่ควรมีในทุก ๆ ส่วนของระบบสารสนเทศ โดยมีวัตถุประสงค์เพื่อให้เกิดความมั่นใจว่าระบบ คอมพิวเตอร์โดยรวมขององค์กรมีความเสถียร (stable) มีการจัดการที่ดี และเป็นส่วนหนึ่งที่จะก่อให้เกิด บูรณภาพ (integrity)ของระบบสารสนเทศของกิจการ ซึ่งแตกต่างจากการควบคุมภายในของระบบงาน ซึ่ง ใช้เฉพาะในระบบงานแต่ละระบบ เช่น ระบบลูกหนี ้ หรือระบบเงินเดือนและค่าแรง เป็นต้น
การควบคุมทั่วไปในระบบสารสนเทศประกอบด้วยกิจกรรมต่าง ๆ ได้แก่ การกำหนดนโยบายการ ใช้สารสนเทศ การแบ่งแยกหน้าที่งานในระบบสารสนเทศ การควบคุมโครงการพัฒนาระบบสารสนเทศ การควบคุมการเปลี่ยนแปลงแก้ไขระบบ การควบคุมการปฏิบัติงานในศูนย์คอมพิวเตอร์ การควบคุมการ เข้าถึงอุปกรณ์คอมพิวเตอร์ การควบคุมการเข้าถึงระบบงาน การควบคุมการเข้าถึงข้อมูลและทรัพยากร สารสนเทศ การควบคุมการจัดเก็บข้อมูล การควบคุมการ สื่อสารข้อมูล การกำหนดมาตรฐานของเอกสาร ระบบสารสนเทศ การลดความเสียหายที่อาจเกิดขึ้นกับระบบคอมพิวเตอร์ และการวางแผนแก้ไขความ เสียหายจากเหตุฉุกเฉิน
(พลพธู ปียวรรณ และกัญนิภัทธิ์ นิธิโรจน์ธนัท. (2557). ระบบสารสนเทศทางการบัญชี.พิมพ์ครั้งที่ 3. หน้า 138 – 172 .กรุงเทพฯ : วิทยพัฒน์.)
การกำหนดนโยบายการใช้สารสนเทศ
การรักษาความปลอดภัยของข้อมูลและสารสนเทศเป็นการควบคุมที่สำคัญอย่างหนึ่ง จึงต้องมีการ กำหนดเป็น นโยบาย โดยมีการทบทวนเพื่อทำการปรับปรุงอย่างต่อเนื่องในการกำหนดนโยบายเกี่ยวกับ ความปลอดภัยของข้อมูลและการใช้งานนั้น เริ่มจาการพิจารณาว่า ใคร ต้อง เข้าถึงข้อมูลอะไร เมื่อไร และ ข้อมูลนั้นอยู่ใน ระบบงานใด ซึ่งการพิจารณาดังกล่าวจะเป็นปัจจัยใ นการระบุภัยคุกคาม (threat) ความ เสี่ยง (risk) และผลของความเสี่ยง (exposure) ที่จะมีต่อระบบสารสนเทศ เพื่อให้สามารถเลือกวิธีการ รักษาความปลอดภัยที่เหมาะสมที่สุด และคุ้มค่ากับการลงทุน (cost-effective) โดยผู้บริหารระดับสูง ควร มีหน้าที่ในการกำหนดนโยบาย กำกับดูแล และควบคุมให้เป็นไปตามนโยบายที่กำหนดไว้ โดยมีการ ทบทวนและปรับปรุงอย่างต่อเนื่อง รวมทั้งชี้แจงให้ผู้ปฏิบัติงานที่เกี่ยวข้องทุกคนรับทราบ
การแบ่งแยกหน้าที่งานในระบบสารสนเทศ
วิธีการหนึ่งในการควบคุมระบบสารสนเทศขององค์กร คือการแบ่งแยกหน้าที่ความรับผิดชอบของ ผู้ปฏิบัติงานระบบงานคอมพิวเตอร์ให้ชัดเจน เพื่อลดโอกาสที่จะเกิดความผิดพลาดจากการปฏิบัติงานและ โอกาสการทุจริตของผู้ปฏิบัติงานที่ไม่ถูกจำกัดสิทธิในการเข้าถึงระบบงาน โปรแกรม และข้อมูล โดยมี ประเภทงานที่ควรมีการแบ่งแยกผู้ปฏิบัติงานดังนี้
1) งานวิเคราะห์ระบบ (system analysis) นักวิเคราะห์ระบบ (system analyst) เป็นผู้ที่ทำงาน ร่วมกับผู้ใช้ ในการพิจารณาถึงสารสนเทศที่ผู้ใช้ต้องการใช้งาน และออกแบบระบบงานให้ตรงกับความ ต้องการใช้งาน
2) งานเขียนโปรแกรม (programming) โปรแกรมเมอร์ (programmer) เป็นผู้นำระบบงานที่ นักวิเคราะห์ระบบออกแบบไว้มาเขียนโปรแกรมสร้างระบบงาน
3) งานปฏิบัติการคอมพิวเตอร์ (computer operation) ผู้ปฏิบัติงานคอมพิวเตอร์ (computer operator) เป็นผู้เปิดระบบงานในการท างานโปรแกรมประยุกต์ในเครื่องคอมพิวเตอร์ และเป็นผู้ดำเนินการ ประมวลผลสิ้นวัน เพื่อสร้างความมั่นใจว่าการนำเข้าข้อมูลเป็นไปอย่างเหมาะสม การประมวลผลเป็นไป โดยถูกต้อง และได้ผลลัพธ์หรือข้อมูลตรงกับความต้องการ
4) งานของผู้ใช้ (user) หน่วยงานของผู้ใช้เป็นหน่วยงานที่สร้างข้อมูลรายการธุรกิจ กำกับดูแล ข้อมูลที่ใช้ประมวลผล และใช้ผลลัพธ์จากการประมวลของระบบงาน
5) งานบรรณารักษ์ระบบ (system library) บรรณารักษ์ระบบ (system librarian) เป็นผู้เก็บ รักษาและดูแลแฟ้มข้อมูลที่มีการจัดเก็บไว้ในเทปแม่เหล็กและจานแม่เหล็กในขณะที่ไม่ได้เชื่อมตรงกับ ระบบคอมพิวเตอร์ (offline)
6) งานควบคุมข้อมูล (data control) กลุ่มผู้ควบคุมข้อมูล (data control group) มีหน้าที่ในการ รับรองความถูกต้อง สอบทานการท างานผ่านเครื่องคอมพิวเตอร์ยืนยันข้อมูลเข้าและผลลัพธ์ที่ได้จากการ ประมวลผล แก้ไขรายการนำเข้าที่ผิดพลาด และแจกจ่ายผลลัพธ์ที่ได้จากการประมวลผล
ทั้งนี้การอนุญาตให้ผู้ปฏิบัติงานท างานได้หลายประเภทงาน จะเป็นการเปิดโอกาสให้ มีการทุจริต ได้ง่าย ตัวอย่างเช่น นักเขียนโปรแกรมของหน่วยงานที่ได้รับสิทธิให้เข้าถึงและนำข้อมูลจริงมาใช้ในการ ทดสอบโปรแกรม อาจทำการลบหรือแก้ไขเปลี่ยนแปลงรายการเงินกู้ของตนเอง หรือนักปฏิบัติการ คอมพิวเตอร์ที่สามารถเข้าถึงโปรแกรมที่ติดตั้งในระดับตรรกะ (logic) อาจทำการแก้ไขเปลี่ยนแปลง โปรแกรมเพื่อให้ประมวลผลเพิ่มเงินค่าจ้างของตนเอง เป็นต้น
การควบคุมโครงการพัฒนาระบบสารสนเทศ
การพัฒนาระบบสารสนเทศที่ขาดการควบคุมการบริหารจัดการที่ดี ก่อให้เกิดความเสี่ยงในการที่ ระบบไม่สามารถตอบสนองความต้องการทางธุรกิจ และระบบงานที่พัฒนาขึ้นอาจไม่มีการควบคุมภายใน ที่เพียงพอ ทำให้ทำงานผิดพลาด นอกจากนั้น ยังเป็นผลให้กิจการสูญเสียเงินลงทุนจำนวนมากในโครงการ พัฒนาระบบสารสนเทศ การควบคุมโครงการพัฒนาระบบสารสนเทศ ประกอบด้วย
1) แผนแม่บทระยะยาว (long-rage master plan) เป็นแผนงานที่แสดงใ ห้เห็นทิศทางของ เทคโนโลยีและโครงร่างของโครงการต่าง ๆ ที่จะตอบสนองความต้องการเป้ าหมายขององค์กร ในระยะยาวซึ่งส่วนใหญ่จะเป็นแผนงานในระยะ 3-5 ปี
2) แผนงานพัฒนาระบบ (project development plan) เป็นแผนงานที่แสดงให้เห็นว่าจะดำเนิน โครงการอย่างไร ประกอบด้วย รายละเอียดขั้นตอนของงาน ผู้ปฏิบัติงานในแต่ละขั้นตอน ช่วงเวลาในการปฏิบัติงาน ค่าใช้จ่ายโครงการในแต่ละขั้นตอนและรายการอื่น ๆ โดยใน แผนงานนั้นควรระบุการวัดความก้าวหน้าของโครงการ (project milestone) หรือจุดสำคัญที่ จะใช้ในการสอบทานความก้าวหน้าของโครงการ และใช้ในการเปรียบเทียบระยะเวลาที่ใช้ จริงกับประมาณการ
3) กำหนดการประมวลผลข้อมูล (data processing schedule) เพื่อให้มีการใช้ทรัพยากร สารสนเทศในองค์กรให้เกิดประโยชน์สูงสุด ควรกำหนดให้งานประมวลผลข้อมูลทุกงานที่การ ดำเนินการตามตารางเวลาที่กำหนดไว้
4) การมอบหมายหน้าที่และความรับผิดชอบ (assignment of responsibility) โครงการพัฒนา ระบบแต่ละโครงการจะต้องมีการกำหนดผู้จัดการโครงการและทีมงาน รวมถึงหน้าที่และ ความรับผิดชอบของแต่ละคน โดยผู้จัดการโครงการและทีมงานจะมีหน้าที่รับผิดชอบโดยตรง ต่อความสำเร็จหรือความล้มเหลวของโครงการ
5) การประเมินผลงานระหว่างการดำเนินโครงการ (periodic performance evaluation) โดย ควรมีการแบ่งแยกงานออกเป็นแต่ละส่วน (module หรือtask) ซึ่งจะแยกย่อยมาจาก ประเภท งานต่าง ๆ ตามแผนงาน เพื่อประเมินผลการดำเนินงานของบุคคลที่รับผิดชอบงานในแต่ละ ส่วน
6) การสอบทานภายหลังการติดตั้งระบบและนำระบบมาใช้งาน (post-implementation review) หลังจากโครงการพัฒนาระบบได้เสร็จสิ้นลง ควรมีการสอบทานเพื่อพิจารณาว่าผลประโยชน์ ที่ได้รับเป็นไปตามที่คาดหวังไว้หรือไม่ การสอบทานดังกล่าวจะช่วยในการควบคุมกิจกรรม การพัฒนาระบบ และส่งเสริมให้มีการประมาณการต้น ทุนและผลประโยชน์อย่างถูกต้อง แม่นยำ และมีหลักการตั้งแต่ในระยะเริ่มต้นโครงการ
7) การวัดผลการดำเนินงานของระบบ (system performance measurement) เพื่อให้มีการ ประเมินระบบงานที่พัฒนาขึ้นอย่างเหมาะสม การวัดผลโดยทั่วไปอาจรวมถึงการวัดปริมาณ งาน (throughput) การวัดอรรถประโยชน์ (utilization) และการวัดระยะเวลาตอบสนอง (response time) เป็นต้น
Comentários