ความหมายของ "IT Audit" ปรัชญาของ "IT Audit" แตกต่างจากปรัชญาของ "Internal Audit" กล่าวคือ องค์ความรู้ของ "Internal Audit" เน้นเรื่องการประยุกต์ใช้ "COSO Framework" และการมองภาพรวมในลักษณะของ "Enterprise Risk Management" หรือ "ERM" ซึ่งเป็นภาพใหญ่ขององค์กร แต่ "IT Audit" นั้น จะเน้นไปที่ "CobiT Framework" หรือ อีกชื่อหนึ่งคือ "IT Governance Framework" โดยปรัชญาก็คือ การใช้งานระบบสารสนเทศให้สอดคล้อง หรือ "Align" กับวัตถุประสงค์ทางด้านธุรกิจหรือ "Business Objective" ตลอดจน "Governance Objective" ซึ่งได้แก่เรื่อง "Regulatory Compliance" ต่าง ๆ โดยการตรวจสอบระบบสารสนเทศมีลักษณะคล้ายกับการตรวจสอบภายใน ก็คือ การนำหลักการ "GRC" หรือ "Governance , Risk Management and Compliance" มาประยุกต์ใช้ และมีลักษณะการตรวจสอบในแบบ "Risk-Based Approach" แต่การตรวจสอบระบบสารสนเทศจำเป็นต้องมีองค์ความรู้เรื่อง "Information System Audit Process or IS Audit Process" เป็นองค์ความรู้หลัก ซึ่งองค์ความรู้ที่จำเป็นต้องศึกษามีทั้งหมด 6 องค์ความรู้ ได้แก่ 1. IS Audit Process 2. IT Governance 3. Systems and Infrastructure Lifecycle Management 4. IT Service Delivery and Support 5. Protection of Information Assets 6. Business Continuity and Disaster Recovery โดยองค์ความรู้ทั้ง 6 เป็นองค์ความรู้ที่ใช้ในการทดสอบผู้ที่ต้องการได้รับใบรับรองผู้เชี่ยวชาญด้านการตรวจสอบระบบสารสนเทศ หรือ CISA (Certified Information System Auditor) จาก ISACA ผู้ที่สอบผ่าน "CISA" นั้น เป็นการพิสูจน์ในระดับหนึ่งว่ามีความรู้ความเชี่ยวชาญที่สามารถเป็นผู้ตรวจสอบระบบสารสนเทศที่แม่นยำในหลักวิชาการ (เหมือนผู้สอบผ่าน CIA) แต่ก็ยังต้องหาความรู้เฉพาะทางเพิ่มเติมอีก เช่น การตรวจสอบระบบฐานข้อมูล RDBMS เช่น Audit Oracle , Audit MS SQL Server หรือ การตรวจสอบ Network และ System ต่าง ๆ เช่น การตรวจสอบ Microsoft Windows , UNIX/Linux Operating System ,การตรวจสอบ Wireless, การตรวจสอบ Router และ Switching เป็นต้น
จึงสรุปได้ว่า การศึกษาองค์ความรู้พื้นฐานและการสอบผ่าน CIA หรือ CISA นั้นนับเป็น "จุดเริ่มต้นที่ดี" สำหรับการเป็น "ผู้ตรวจสอบภายใน" หรือ "ผู้ตรวจสอบระบบสารสนเทศ" ที่มีประสิทธิภาพสูง แต่ไม่ได้หมายความว่าผู้สอบผ่าน CIA และ CISA จะปฏิบัติงานด้านการตรวจสอบได้ครบทุกเรื่อง เพราะจำเป็นต้องมีความรู้เฉพาะทางในเรื่องต่าง ๆ ดังที่กล่าวมาแล้วในตอนต้น อีกทั้งยังต้องอาศัยประสบการณ์หรือชั่วโมงบินในการตรวจสอบอีกด้วย (http://www.acisonline.net/article/?p=5)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น