การควบคมการบรหารการเปลยนแปลงและตดตงซอฟต�แวร�ทใช�แก� ไข

ป�จจยสำคญส�ความสำเรจขององค�กร

การควบคมการบรหารการเปลยนแปลงและตดตงซอฟต�แวร�ทใช�แก�ไข ป�จจยสำคญส�ความสำเรจขององค�กร

Change and Patch Management Controls Critical for Organizational Success

02

225.-

อาคารตลาดหลกทรพย�แห�งประเทศไทย62 ถนนรชดาภเษก แขวงคลองเตย เขตคลองเตย กรงเทพฯ 10110S-E-T Call Center 0-2229-2222 โทรสาร 0-2654-5399www.set.or.th

อาคารมลนธคณะเซนต�คาเบรยลแห�งประเทศไทย2 ซอยทองหล�อ 25 ถนนสขมวท 55 เขตวฒนา กรงเทพฯ 10110โทร. 0-2712-9124-7 โทรสาร 0-2712-9128www.theiiat.or.th E-mail: auditor@theiiat.or.th

101111000111101101 110101 00110101010111111111111 11011110100010011111 011011011010101000111110 001111010001111111010111011111111011110111 0100110001011111111100111 10110001111111110101011101 11010100010001 1111111 10111001101 11111110010101010100011111000 11110100011111110101110111 111110110001110111110 110101001111101010100 011111000111101000111111101011101 1111111010110110011010110 10101110111

11 000111101101 11010100010001111111111010010111101 1110111 01111100110110111111

1010001 1111000111101000111111101000101111101111 111101111011 01000100011111011

00111 10110001111111110101011101 11010100010001 1111111 10111001101 11111110010101010100011111000 11110100011111110101110111 111110110001110111110 110101001111101010100 011111000111101000111111101011101 1111111010110110011010110 101011101111010001 1111000111101000111111101000101111101111 111101111011 01000100011111011

011110110001111111110101011101 1101010001110110000111111 111010111 1011000111111

1010100011111 0001111010001111111010111011111 11101100110011011 0101111111111111101111000111101101 110101 00110101010111111111111 11011110100010011111 011011011

010101000111110 001111010001111111010111011111111011110111 0100110001011111111100111 10110001111111110101011101 11010100010001 1111111 10111001101 111111100101

01010100011111000 11110100011111110101110111 111110110001110111110 110101001111101010100 011111000111101000111111101011101 1111111010110110011010110 10101110111

11 000111101101 11010100010001111111111010010111101 1110111 01111100110110111111IPPF

- PracticeGuide

ชด “แนวทางการตรวจสอบเทคโนโลยในระดบสากล”กรอบการปฏบตงานวชาชพตรวจสอบภายในระดบสากล – แนวทางปฏบตการควบคมการบรหารการเปลยนแปลงและตดตงซอฟตแวรทใชแกไข: ปจจยสำคญสความสำเรจขององคกร

ผแปล สมาคมผตรวจสอบภายในแหงประเทศไทย และตลาดหลกทรพยแหงประเทศไทยอำนวยการผลต ฝายศนยการเรยนร ศนยสงเสรมการพฒนาความรตลาดทน ตลาดหลกทรพยแหงประเทศไทยกองบรรณาธการอำนวยการ ผาณต เกดโชคชย ปนดดา เพมประโยชน ศศวรรณ เวชเจรญ พมพนารา จรวรดาเกยรตพมพครงท 1 พฤศจกายน 2555 จำนวน 3,000 เลม ราคา 225 บาทขอมลทางบรรณานกรมของสำนกหอสมดแหงชาต

จดจำหนายโดย ตลาดหลกทรพยแหงประเทศไทย 62 ถนนรชดาภเษก คลองเตย กรงเทพฯ 10110 โทรศพท 0 2229 2222 โทรสาร 0 2654 5399 http://www.set.or.th http://www.setfinmart.comพมพท บรษท เมจกเพรส จำกด 178 ซอยสรนธร 7 ถนนสรนธร แขวงบางบำหร เขตบางพลด กรงเทพฯ 10700 โทรศพท 0 2886 5100 โทรสาร 0 2886 4499 http://www.magicpress.co.th

“Copyright C 2009-2012 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte

Springs, Florida 32701-4201, USA. All rights reserved.”

“Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247

Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, to publish this translation, which is the same

in all material respects, as the original unless approved as changed. No part of this document may be reproduced,

stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical,

photocopying, recording, or otherwise, without prior written permission of IIA, Inc.”

สมาคมผตรวจสอบภายในแหงประเทศไทย ไดรบอนญาตจากเจาของลขสทธ คอ The Institute of Internal

Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA ใหดำเนนการจดพมพ GTAG 2:

Change and Patch Management Controls: Critical for Organizational Success, 2nd Editionฉบบภาษาไทย ซงม

เนอหาเชนเดยวกบตนฉบบภาษาองกฤษ โดยจดพมพในชอ “การควบคมการบรหารการเปลยนแปลงและตดตงซอฟตแวร

ทใชแกไข: ปจจยสำคญสความสำเรจขององคกร” ทงน The Institute of Internal Auditors ไมอนญาตใหผลต

ซำหรอจดเกบเนอหาของเอกสารนในระบบใด ๆ หรอโอนถายเนอหา ในรปแบบหรอโดยนยตาง ๆ ทงทางอเลกทรอนกส

อปกรณ การถายเอกสาร การบนทก หรอวธการอนๆ หากปราศจากการอนญาตอยางเปนลายลกษณอกษรจาก The Institute

of Internal Auditors

การควบคมการบรหารการเปลยนแปลงและตดตงซอฟตแวรทใชแกไข: ปจจยสำคญสความสำเรจขององคกร.-- กรงเทพฯ: ตลาดหลกทรพยแหงประเทศไทย, 2555. 92 หนา. 1. ระบบสารสนเทศเพอการจดการ. 2. การบรหารความเสยง. 3. ซอฟตแวร--การพฒนา. I. สมาคมผตรวจสอบภายในแหงประเทศไทย II. ตลาดหลกทรพยแหงประเทศไทย III. ชอเรอง.658.403 ISBN 978-616-7227-40-5

“ "

“ ”

“Global Technology Audit Guide (GTAG)

”

( )

”

คำนำ

นบตงแตป 2552 สมาคมผตรวจสอบภายในสากล (The Institute of Internal Auditors–

IIA) ไดพฒนากรอบการปฏบตงานวชาชพตรวจสอบภายในระดบสากล (International Professional

Practices Framework – IPPF) เพอใหแนวทางในการปฏบตงานตรวจสอบภายในของผประกอบวชาชพท

ครอบคลมขอบเขตการปฏบตงานตรวจสอบภายใน โดยไดออกมาตรฐานการปฏบตงานและมการปรบปรง

มาตรฐานดงกลาวมาอยางตอเนอง พรอมทงไดจดทำแนวทางปฏบตงานและขอแนะนำตางๆ ซงเปน

ประโยชนตอการดำเนนงานขององคกรและผประกอบวชาชพตรวจสอบภายในเสมอมา

กรอบการปฏบตงานวชาชพตรวจสอบภายในระดบสากลดงกลาวน มเนอหาสำคญแบงเปน

2 สวน คอ

สวนท 1 แนวทางบงคบใช (Mandatory Guidance) ประกอบดวย คำจำกดความของการ

ตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานสากลการปฏบตงานวชาชพตรวจสอบภายใน

ซงเปนหลกเกณฑพนฐานทผตรวจสอบภายในตองทราบและปฏบตตาม

สวนท 2 แนวทางทแนะนำใหตองนำไปใช (Strongly Recommended Guidance) ประกอบดวย

เอกสารแสดงความคดเหน (Position Papers) ขอแนะนำในการนำมาตรฐานไปใช (Practice Advisories)

และแนวปฏบต (Practice Guides) ซงแนวทางเหลานจะชวยอธบายถงวธการปฏบตตามคำจำกดความ

ของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานฯ ไดอยางมประสทธภาพ

หนงสอชด Global Technology Audit Guide (GTAG) น เปนแนวปฏบต หรอ Practice

Guides ท IIA จดทำขนเพอชประเดนทนาสนใจเกยวกบความเสยงและแนวทางการบรหารความเสยง

ดานเทคโนโลย ซงคณะกรรมการ กรรมการตรวจสอบ ผบรหารงานระดบสง โดยเฉพาะอยางยงผบรหาร

งานดานตรวจสอบภายในและผบรหารทรบผดชอบตรวจสอบระบบเทคโนโลยสารสนเทศสามารถ

นำไปประยกตใช เพอเพมประสทธภาพและเพมมลคาใหแกองคกร ทงในเชงการบรหารจดการ

การควบคมและการรกษาความปลอดภยของเทคโนโลยสารสนเทศ อกทงไดรบทราบถงแหลงขอมลพรอม

ใชในการบรหารจดการดงทกลาวไวดวย โดย IIA ไดประกาศใชแนวปฏบตชดน ตงแต พ.ศ. 2548

โดยหนงสอแปลชด GTAG ฉบบนเปนฉบบทเปนปจจบน ประกาศใชเมอเดอนมนาคม 2555 ทผานมา

ซงสมาคมผตรวจสอบภายในแหงประเทศไทย (สตท.) ไดรบลขสทธจาก IIA อยางถกตอง

ในการดำเนนงานโครงการแปลน สตท. ขอขอบคณตลาดหลกทรพยแหงประเทศไทย

สมาคมผตรวจสอบและควบคมระบบสารสนเทศ – ภาคพนกรงเทพฯ (Information Systems Audit

and Control Association Bangkok Chapter – ISACA Bangkok Chapter)หนวยงานทเกยวของ

และผทรงคณวฒทกทาน ดงรายนามทปรากฏในคณะทำงานโครงการจดทำหนงสอแปลชด “แนวทางการ

ตรวจสอบเทคโนโลยในระดบสากล” ซ งแตงต งโดย สตท. ISACA และตลาดหลกทรพยฯ ท ได

กรณาสละเวลาและใชความวรยะอตสาหะใหโครงการหนงสอแปลชดนไดสำเรจลลวงดวยด สมดง

เจตนารมณทตงไว และหวงเปนอยางยงวาแนวปฏบตชดน จะอำนวยประโยชนทดทสดใหแกผอาน

และองคกรทนำไปประยกตใช

(นายสวรรณ ดำเนนทอง) รกษาการ นายกสมาคมผตรวจสอบภายในแหงประเทศไทย พฤศจกายน 2555

คณะทำงานโครงการจดทำหนงสอแปลชด“แนวทางการตรวจสอบเทคโนโลยในระดบสากล”

ตลาดหลกทรพยแหงประเทศไทย

ศาสตราจารยหรญ รดศร ประธานคณะทำงาน

ศาสตราจารย ดร.ธวช ภษตโภยไคย คณะทำงาน

คณสวรรณ ดำเนนทอง คณะทำงาน

ดร.เยาวลกษณ ชาตบญชาชย คณะทำงาน

คณวรางคณา มสกะสงข คณะทำงาน

รองศาสตราจารย ดร.นตยา วงศภนนทวฒนา คณะทำงาน

คณผาณต เกดโชคชย เลขานการคณะทำงาน

ผประสานงานการแปล

คณปนดดา เพมประโยชน

คณศศวรรณ เวชเจรญ

คณพมพนารา จรวรดาเกยรต

สมาคมผตรวจสอบและควบคมระบบสารสนเทศ ภาคพนกรงเทพฯ

(ISACA – Bangkok Chapter)

คณวรางคณา มสกะสงข (นายกสมาคมฯ)

PricewaterhouseCoopers

คณเสนย วชรศรธรรม (อปนายก)

ธนาคารไทยพาณชย จำกด (มหาชน)

คณชชย วชระบรรจง (อปนายก)

บรษท ประกนคมภย จำกด (มหาชน)

คณสวฒน หลายเจรญทรพย (ทปรกษาสมาคมฯ)

ศาลทรพยสนทางปญญาและการคาระหวางประเทศกลาง

สมาคมไอทเอสเอมเอฟ ประเทศไทย

คณสธนย ประเสรฐสรรพ (ประธานดานปฏคม)

ธนาคารไทยธนาคาร จำกด (มหาชน)

ดร.ประจต หาวตร (ประธานดานการศกษา)

คณะพาณชยศาสตรและการบญช จฬาลงกรณมหาวทยาลย

คณปรญญา หอมเอนก (ประธานดานวจยและพฒนา)

บรษท เอซส โปรเฟสชนนล เซนเตอร จำกด

คณวาสนา โรจนพเชฐ (ประธานดานสมาชก)

บรษท ดจเวลท จำกด

คณสมชย แพทยวบลย (ผชวยดานสมาชก)

ธนาคารทสโก จำกด (มหาชน)

คณเมธา สวรรณสาร (Audit Chair)

บรษท ศรอยธยาประกนภย จำกด (มหาชน)

ดร.เยาวลกษณ ชาตบญชาชย (IT Gl liaison)

Ernst & Young Corporate Ltd.

คณประทกษ วงศสนคงมน (เหรญญก)

ธนาคารไทยพาณชย จำกด (มหาชน)

คณณฐชา เฉลมไชยโกศล (ผชวยเหรญญก)

คณสมหมาย ฟองนำทพย (ผประสานงาน CISA และเลขานการสมาคมฯ)

ธนาคารกรงศรอยธยา จำกด (มหาชน)

คณณฐ สงหลกะ (ผชวยเลขานการสมาคมฯ)

PricewaterhouseCoopers

คณนพนธ นาชน (Web Master)

บรษท เอซส โปรเฟสชนนล เซนเตอร จำกด

สมาคมผตรวจสอบภายในแหงประเทศไทย

คณะผแปล

คณพสทธ ธารจนดาวงศ

ผบรหารสวน ฝายตรวจสอบกจการภายในและตดตามการปฏบตงาน

ธนาคารแหงประเทศไทย

คณรณชย ธรรมรตนะศร, CISA

ผบรหารทม ฝายตรวจสอบกจการภายในและตดตามการปฏบตงาน

ธนาคารแหงประเทศไทย

คณสกมา อดลยวจตร, CISA

ผบรหารทม ฝายตรวจสอบกจการภายในและตดตามการปฏบตงาน

ธนาคารแหงประเทศไทย

ผสอบทาน

ผชวยศาสตราจารย ดร.อรนช สงสวาง

คณะพาณชยศาสตรและการบญช จฬาลงกรณมหาวทยาลย

สารบญ

บทสรปผบรหาร.................................................................................. 1

บทนำ................................................................................................. 5

ทำไมผตรวจสอบภายในจงควรใสใจกบวธการบรหารการเปลยนแปลงขององคกร............................................. 19

ความหมายของการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศ.................................................................... 29

คำถามอะไรทผ ตรวจสอบภายในควรถามเกยวกบการบรหารการเปลยนแปลงและตดตงซอฟตแวรทใชแกไข...................... 51

ผตรวจสอบภายในควรเรมตนทไหน...................................................... 61

ผเขยนและผอานทบทวน..................................................................... 67

ภาคผนก A ตวอยางเหตผลทางธรกจสำหรบการบรหารการเปลยนแปลง...................................................... 69

ภาคผนวก B ตวอยางแนวการตรวจสอบ.............................................. 73

หนา

�

แตละ “ความเสยงดานเทคโนโลยสารสนเทศ (IT risk)” อาจกอใหเกด ความเสยงทางธรกจ (business risk) ในระดบหนง จงเปนเรองสำคญทหวหนาผบรหารงาน

ตรวจสอบภายในจะตองเขาใจประเดนตางๆ ทเกยวของกบการบรหารการเปลยนแปลงดาน

เทคโนโลยสารสนเทศและการตดตงซอฟตแวรทใชแกไข (patch) อยางถองแท

คำนยามของการบรหารการเปลยนแปลงและการตดตงซอฟตแวรทใชแกไขดาน

เทคโนโลยสารสนเทศ (IT change and patch management) คอ กลมของกระบวนการ

ทดำเนนการภายในหนวยงานดานเทคโนโลยสารสนเทศขององคกร ซงไดรบการออกแบบมา

เพอการบรหารจดการการปรบปรงใหดขน การปรบปรงใหเปนปจจบน การแกไขเพมเตมและ

การตดตงซอฟตแวรทใชแกไขของระบบทใชงานจรง ซงประกอบดวย

การปรบปรงโปรแกรมระบบงาน (application code revisions)

การยกระดบระบบ (upgrade) (เชน ระบบงาน ระบบปฏบตการ และฐานขอมล)

การปรบเปลยนโครงสรางพนฐาน [(เชน เครองแมขาย (servers) สายเคเบลสอสาร

(cabling) อปกรณกำหนดเสนทางในระบบเครอขาย(routers)และดานกนบกรก

(firewalls)]

บทสรปผบรหาร

�

บทสรปผบรหาร

สภาพแวดลอมของระบบดานเทคโนโลยสารสนเทศทใชงานจรง (IT production

environment) ทมเสถยรภาพและสามารถบรหารจดการไดนน ตองเกดจากการทการนำ

การเปลยนแปลงไปใช (implementation of change) นนสามารถคาดการณได และ

ดำเนนการเชนเดมอกได อกทงเปนไปตามกระบวนการทมการควบคมซงกำหนดไวอยาง

ชดเจน มการเฝาตดตามและการบงคบใชอยางจรงจง การแบงแยกหนาทความรบผดชอบ

(เชน การแบงแยกบทบาทของผเตรยมการ ผทดสอบ ผนำไปใชงาน และผอนมต) และ

การควบคมการตดตามดแล จะชวยลดความเสยงจากการทจรตและการดำเนนงานทผดพลาด

ทอาจเกดขนในกระบวนการได

ผตรวจสอบภายในควรมความคนเคยกบการควบคมหลกในกระบวนการบรหาร

การเปลยนแปลงดานเทคโนโลยสารสนเทศ ซงมดงน

มพนกงานดานเทคโนโลยสารสนเทศจำนวนนอยทสดท จะมสทธเขาถง

สภาพแวดลอมในการใชงานจรง (production environment) เพอดำเนนการ

เปลยนแปลงดานเทคโนโลยสารสนเทศดงกลาว (การควบคมแบบปองกน)

กระบวนการอนมตในการดำเนนการเปลยนแปลงควรกำหนดใหผมสวนไดเสย

(stakeholders) ทำการประเมนและลดความเสยงทเกยวของกบการเปลยนแปลง

ทเสนอขออนมต (การควบคมแบบปองกน)

กระบวนการในการควบคมดแล (supervisory) ควรสงเสรมใหผบรหาร

และพนกงานดานเทคโนโลยสารสนเทศ ปฏบตหนาทดวยความรบผดชอบ

(การควบคมแบบปองกน) และสามารถตรวจพบการดำเนนงานทผดพลาดได

(การควบคมแบบสบคน)

แนวทางการตรวจสอบเทคโนโลยในระดบสากล (GTAG) นจดทำขนเพอชวย

ใหผตรวจสอบภายในตงคำถามทตรงประเดนเกยวกบกจกรรมดานเทคโนโลยสารสนเทศ

เพอใชประเมนขดความสามารถดานการบรหารการเปลยนแปลงขององคกร และเพอใช

ประเมนระดบความเสยงของกระบวนการในภาพรวม รวมทงเพอใหสามารถระบถงความ

จำเปนทจะตองสอบทานกระบวนการในรายละเอยดทมากขนดวย

�

หลงจากศกษาแนวทางฉบบน ผตรวจสอบภายในจะ

ไดรบความรทใชในการปฏบตงานไดเกยวกบกระบวนการบรหารการเปลยนแปลง

ดานเทคโนโลยสารสนเทศ

สามารถระบกระบวนการบรหารการเปลยนแปลงทมประสทธผลกบทไมม

ประสทธผลไดอยางรวดเรว

สามารถทราบและระบไดอยางรวดเรวถงสญญาณอนตรายและสงทบงชวา

สภาพแวดลอมดานเทคโนโลยสารสนเทศกำลงมประเดนดานการควบคมท

เกยวของกบการบรหารการเปลยนแปลง

มความเขาใจวาการบรหารการเปล ยนแปลงท มประสทธผลน นข นอย กบ

การนำการควบคมแบบปองกน แบบสบคน และแบบแกไขไปใช เพอควบคม

ใหมการแบงแยกหนาทและเพอใหมนใจไดวามการควบคมดแลจากระดบผบรหาร

(management supervision) อยางเพยงพอ

อยในฐานะทจะใหคำแนะนำแนวปฏบตซงเปนทยอมรบมากทสด (best known

practice) เกยวกบประเดนตางๆ ทกลาวมา ทงในสวนของการใหความเชอมน

(assurance) เกยวกบประเดนดานความเสยง [รวมถงการรบรองดานการควบคม

(control attestations)] ตลอดจนการเพมประสทธผลและประสทธภาพ

สามารถใหขอเสนอแนะแกหวหนาเจาหนาทดานสารสนเทศ (CIO) ประธานเจาหนาท

บรหาร (CEO) และ/หรอหวหนาเจาหนาทดานการเงน (CFO) ไดอยางมประสทธผล

มากขน

�

แนวทาง GTAG ฉบบนกลาวถงการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศ

และการตดตงซอฟตแวรทใชแกไข (IT change and patch management) ในแงทเปนเครองมอ

ในการบรหารงาน และมงเนนถงเรองตอไปน

ทำไมการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศและการตดตงซอฟตแวร

ทใชแกไขจงมความสำคญ

การบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศและการตดตงซอฟตแวรทใช

แกไขจะชวยควบคมความเสยงและคาใชจายดานเทคโนโลยสารสนเทศไดอยางไร

เกณฑวดและดชนจะชวยบงชถงกระบวนการบรหารการเปลยนแปลงทใชไดผลและ

ไมไดผลไดอยางไร

จะทราบไดอยางไรวาการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศและ

การตดตงซอฟตแวรทใชแกไขไดผล

จะลดความเสยงดานการเปลยนแปลงดานเทคโนโลยสารสนเทศไดอยางไร

ความรบผดชอบของผตรวจสอบภายใน

บทนำ

�

บทนำ

คำวา คณะกรรมการ ในแนวทาง GTAG ฉบบน ใชตามความหมายทระบไวใน

International Standards for the Professional Practice of Internal Audit (Standards) วา

“คณะกรรมการ หมายถง คณะบคคลทกำกบดแลองคกร เชน คณะกรรมการบรษท (board of

directors) คณะกรรมการอำนวยการ (supervisory board) หวหนาหนวยงานหรอหนวยงาน

ทมอำนาจตามกฎหมาย (head of an agency or legislative body) คณะผวาการหรอทรสต

ขององคกรทไมแสวงหากำไร (board of governors or trustees of a nonprofit organization)

หรอคณะกรรมการอนๆ ขององคกรทไดรบการแตงตง รวมทงคณะกรรมการตรวจสอบซงหวหนา

ผบรหารงานตรวจสอบภายในอาจตองรายงานตามหนาทงาน”

ทำไมการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศและการตดตงซอฟตแวรทใชแกไขจงมความสำคญ

จากการวจยเมอเรวๆ น พบวา การบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศ

และการตดตงซอฟตแวรทใชแกไขทไมมประสทธผล สงผลใหการทำงานของระบบเทคโนโลย

สารสนเทศหยดชะงกและสญเสยคาใชจายมากขน ในชวงหลายปมาน มกจกรรมดานเทคโนโลย

สารสนเทศในหลายๆ องคกรชใหเหนวา การเปลยนแปลงเพยงเลกนอยกเปนสาเหตใหเกดภาวะ

การหยดชะงกครงใหญและยดเยอได แลวจะเรมประมวลคาใชจายของปญหาดงกลาวจากจดใด

เมอพจารณาองคกรทมการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศและการ

ตดตงซอฟตแวรทใชแกไขทด จะพบวา

เสยคาใชจายและแรงงานดานเทคโนโลยสารสนเทศนอยลงกบงานนอกแผน

(unplanned work)

มเงนและแรงงานดานเทคโนโลยสารสนเทศไปใชในการดำเนนงานใหมๆ

ไดมากขน และบรรลวตถประสงคทางธรกจขององคกร

การหยดชะงกของระบบเทคโนโลยสารสนเทศลดนอยลง

ระบบทใหบรการมการหยดชะงกเพอตดตงซอฟตแวรทใชแกไขนอยทสด

มงเนนเรองการปรบปรงการใหบรการมากขน และการ “แกไขปญหา” นอยลง

�

เพอสรางแรงจงใจใหองคกรมากขน ในหลายประเทศจงมการออกกฎหมาย

เฉพาะทกำหนดใหผบรหารระดบสงขององคกรมความเขาใจและลงนามรบรอง (sign-off)

การควบคมดานการจดทำรายงานทางการเงน รวมทงการควบคมดานเทคโนโลยสารสนเทศ

ดวย หากขาดการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศทมประสทธผล กเปน

เร องยากท องคกรจะสามารถปฏบตตามขอกำหนดของกฎหมายดงกลาวและรบรอง

ความถกตองครบถวนของงบการเงนได

การบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศ และการตดตงซอฟตแวรทใชแกไขจะชวยควบคมความเสยงและคาใชจายดานเทคโนโลยสารสนเทศไดอยางไร

ความเสยงดานเทคโนโลยสารสนเทศอาจเลวรายยงขน หากการบรหารการเปลยนแปลง

ดานเทคโนโลยสารสนเทศขาดประสทธผล แตในทางตรงกนขาม ความเสยงกสามารถ

ควบคมได หากกระบวนการบรหารการเปลยนแปลงและการตดตงซอฟตแวรทใชแกไขได

กระทำอยางรดกมและมการออกแบบไวอยางด แตการบรหารการเปลยนแปลงดานเทคโนโลย

สารสนเทศและการตดตงซอฟตแวรทใชแกไข อาจไมเหนผลในดานการลดคาใชจายชดเจน

มากนก

หากขาดการควบคมและการแสดงใหเหนอยางชดเจนทเพยงพอ องคกรอาจตอง

สญเสยทงงบประมาณและความพยายามไปกบการเปลยนแปลงทไมจำเปนหรอมลำดบ

ความสำคญนอยกวา ในขณะทตองละทงงานรเรมทสำคญกวา การเปลยนแปลงทไมไดรบ

การออกแบบมาอยางดหรอไมมการพจารณาอยางรอบคอบอาจเปนสาเหตใหระบบ

เทคโนโลยสารสนเทศหยดชะงก ซงตองดำเนนการแกปญหาในภายหลง หรอตอง

“ยกเลก” การเปลยนแปลงดงกลาว การเปลยนแปลงดานเทคโนโลยสารสนเทศใน

องคประกอบหนงของระบบอาจสงผลกระทบตอองคประกอบอนๆ ได ซงอาจทำใหเกด

ความสญเสยตอเวลา และคาใชจาย แตการหยดชะงกดงกลาวสามารถลดลงได หากม

กระบวนการทเหมาะสมสำหรบการบรหารการเปลยนแปลงและการตดตงซอฟตแวรทใชแกไข

�

บทนำ

ทายทสดแลว การบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศทไมมประสทธผล

หรอประสทธภาพ อาจเปนสาเหตใหองคกรเกดความสญเสยดงตอไปน

สญเสยบคลากรดานเทคโนโลยสารสนเทศทมคณภาพสงเนองจากคบของใจ

(frustration) ในผลงานทมคณภาพตำ

เกดระบบทดอยคณภาพซงสงผลใหพนกงานปฏบตงานอยางไมมประสทธผล

และประสทธภาพ และสงผลกระทบตอลกคา

พลาดโอกาสในการนำเสนอผลตภณฑและบรการรปแบบใหมๆ หรอทมประสทธภาพ

ดขนใหแกลกคา

กระบวนการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศทไดรบการออกแบบ

มาอยางดและนำมาใชอยางรอบคอบ สามารถทำใหเกดผลในทางตรงขาม การดำเนนงาน

ดานเทคโนโลยสารสนเทศสามารถมงเนนไปทเรองทมความสำคญทางธรกจได “การแก

ปญหาเฉพาะหนา(firefighting)” อาจเกดขนนอยลง บคลากรดานเทคโนโลยสารสนเทศ

อาจอยกบองคกรและมแรงจงใจทจะกาวไปสความเปนเลศ พนกงานอาจมเครองมอทชวย

ใหการทำงานมประสทธภาพมากขน รวมทงลกคาและผใชงานอาจไดรบความพงพอใจตอ

การใหบรการของระบบทตรงตามความตองการ

อะไรทใชไดผลและใชไมไดผล

การบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศทมประสทธผลนนจะตอง

สามารถแสดงใหผบรหารขององคกรเหนอยางชดเจน ในเรองตอไปน

จะเปลยนแปลงเรองอะไร ทำไมตองเปลยนและจะเปลยนเมอใด

จะดำเนนการเปลยนแปลงอยางไรใหเกดประสทธผลและประสทธภาพ

ปญหาทอาจเกดขนจากการเปลยนแปลงและระดบความรนแรงของปญหาดงกลาว

คาใชจายของการเปลยนแปลง

ประโยชนทจะไดรบจากการเปลยนแปลง

�

ความชดเจนดงกลาวอาจนำเสนอในรปของเกณฑวด (metrics) และดชน

(indicators) ทมการรายงานตามขอเทจจรง (objectively) และสมำเสมอ ซงจะทำให

ผบรหารสามารถใชเสมอนเปนมาตรวดบนแผงหนาปด (dashboard gauges) ทใหขอมลท

จำเปน

การบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศเปรยบเสมอนกลไกทใช

ควบคมการขบเคลอนระบบเทคโนโลยสารสนเทศ ซงมทงคนเรง เบรก พวงมาลยทใชบงคบ

ทศทาง (รวมทงเกยรถอยหลงสำหรบการยอนกลบสสภาพกอนการเปลยนแปลงในบางครง)

โดยดำเนนการดงน

การมสวนรวมของผบรหารและผใชงานตงแตเรมตนและสมำเสมอ เพอใหการ

เปลยนแปลงดานเทคโนโลยสารสนเทศสอดคลองกบความตองการทางธรกจ

กระบวนการทไดกำหนดไว สามารถคาดการณและดำเนนการซำได (predictable

and repeatable) โดยเกดผลลพธตามทกำหนด สามารถคาดการณและใหผล

เชนเดม

การประสานงานและการตดตอสอสารกบผเกยวของทไดรบผลกระทบจากการ

เปลยนแปลง

จะทราบไดอยางไรวาการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศและการตดตงซอฟตแวรทใชแกไขไดผล

แนวปฏบตโดยคราวๆ ดงตอไปนจะชวยใหผบรหาร (ซงรวมถงผบรหารดาน

เทคโนโลยสารสนเทศดวย) สามารถทราบไดวา การบรหารการเปลยนแปลงและการตดตง

ซอฟตแวรทใชแกไขขององคกรทำงานอยางไดผลหรอไม จากการตงคำถามงายๆ และ

วเคราะหคำตอบทไดรบ ดงตอไปน

องคกรมกระบวนการบรหารการเปลยนแปลงทมประสทธผลหรอไม คำตอบ

ท ได ร บเปนการปฏเสธความสำคญของการบรหารการเปล ยนแปลงดาน

เทคโนโลยสารสนเทศ หรอเปนการรบรองถงความสำคญและรบทราบวากำลง

อยในระหวางการปรบปรง

�0

บทนำ

มการควบคมอะไรบางในกระบวนการบรหารการเปลยนแปลงขององคกร

เปนการ ควบคมและกำลงอยในระหวางการปรบปรง หรอเปนเพยงการประเมน

การควบคม และตองรอจนกวา “การแกไขปญหาเฉพาะหนา” จะลดนอยลง

องคกรไดเหนประโยชนจากกระบวนการบรหารการเปลยนแปลงนหรอไม มการ

วดผลประโยชนทไดรบหรอไม หรอเปนการเนนเรองคาใชจายในการดำเนนงานของ

กระบวนการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศ

จำเหตการณทระบบเทคโนโลยสารสนเทศหยดชะงกทวทงองคกรในสปดาหทผานมา

เนองจากการเปลยนแปลงไดหรอไม เกดอะไรขน ผบรหารรบทราบถงสาเหตของ

ปญหาททำใหระบบหยดชะงกมากนอยเพยงใด ผบรหารมการควบคมไดดเพยงใด

ทจะปองกนไมใหเกดเหตการณดงกลาวขนอก

ใชกระบวนการอะไรในการระบสาเหตททำใหระบบหยดชะงก เปนกระบวนการแบบ

เฉพาะกจ หรอมแบบแผน ปญหาทเกดขนสามารถวเคราะหไดอยางรวดเรววา

ระบบทหยดชะงก มสาเหตเกดจากการเปล ยนแปลงหรอไม และถาใช

การเปลยนแปลงใดททำใหระบบหยดชะงก

มการใชระบบเทคโนโลยสารสนเทศเพอตดตามดแล (monitor) คณภาพของ

กระบวนการดานการเปลยนแปลงดานเทคโนโลยสารสนเทศและการตดตง

ซอฟตแวรทใชแกไขอยางไร โดยดชนหรอเกณฑการวดนนเทยงตรง และ

สามารถบงบอกไดอยางถกตอง หรอเปนเรองทขนอยกบตวบคคลและยงเปนท

นาสงสย

เปาหมายของกระบวนการบรหารการเปลยนแปลงขององคกรคออะไร โดยมงเนน

ทความนาเชอถอ ความพรอมในการใชงาน และประสทธภาพ หรอมงเนนเปาหมาย

อนทมความสำคญนอยกวา หรอไมมงเนนอะไรเลย

กระบวนการตดตงซอฟตแวรทใชแกไข (patching process) สรางความปนปวน

ใหกบองคกรมากนอยเพยงใด การบรหารการตดตงซอฟตแวรทใชแกไข

(patch management) เปนสวนหนงของกระบวนการเปลยนแปลงและ

การนำออกใช (release) ซงไดมการกำหนดไว และสามารถดำเนนการซำ

เชนเดมไดอก หรอเปนการดำเนนงานแบบเฉพาะกจ ไมเปนทางการ และขนกบ

ความจำเปนเรงดวน

��

ดชนความเสยง (risk indicators) 5 ลำดบแรกทช ใหเหนถงการบรหารการ

เปลยนแปลงทดอยคณภาพ

การเปลยนแปลงโดยไมไดรบการอนมต (ถามคามากกวาศนยถอวายอมรบไมได)

ระบบหยดทำงานโดยไมไดวางแผนไวลวงหนา

อตราความสำเรจในการเปลยนแปลงตำ

จำนวนครงของการเปลยนแปลงแบบ©กเ©นสง

มความลาชาของการดำเนนงานตามโครงการ

สญญาณและขอบงชทเหนไดโดยงายของการควบคมทลมเหลว อนเนองมาจาก

การควบคมการเปลยนแปลงดานเทคโนโลยสารสนเทศทไมรดกม มดงน

ไมสามารถใหบรการและปฏบตหนาททสำคญของระบบได แมเพยงชวงเวลาสนๆ

การหยดทำงานของระบบและเครอขายโดยไมไดวางแผนลวงหนา ซงทำให

กระบวนการทางธรกจทสำคญ เชน ตารางนดหมายหรอการประสานงานกบ

ผขาย และการตอบรบรายการสงซอจากลกคาหยดชะงก

การหยดใหบรการของระบบงาน ฐานขอมล หรอเครองแมขายทใหบรการเวบท

มความสำคญ ทำใหผใชงานไมสามารถปฏบตงานทสำคญได

ตกเปนขาวในเชงลบและอยในความสนใจทไมพงปรารถนาของคณะกรรมการ

ขอบงชในระดบองคกรทแสดงใหเหนวา กจกรรมดานเทคโนโลยสารสนเทศกำลงม

ประเดนปญหาทเปนระบบเกยวกบการควบคมดานการบรหารการเปลยนแปลง (systemic

change management control issues) มดงน

หนวยงานดานเทคโนโลยสารสนเทศขององคกรมกใชเวลาสวนใหญไปใน

การปฏบตงานและการบำรงรกษา (>70%) แทนทจะเปนการพฒนาเทคโนโลย

ใหมๆ เพอสนบสนนศกยภาพทางธรกจขององคกร

ความลมเหลวของการดำเนนโครงการหรอแผนงานใหสำเรจ (เนองจากปรมาณ

การแกไขปญหาเฉพาะหนาและงานนอกแผนมจำนวนมาก)

ผบรหารดานเทคโนโลยสารสนเทศถกตามตวในยามวกาล เพอชวยแกไขปญหา

ทเกดขน

��

บทนำ

อตราการลาออกของพนกงานดานเทคโนโลยสารสนเทศสง

ความขดแยงระหวางเจาหนาท สนบสนนงานดานเทคโนโลยสารสนเทศ

ผพฒนาระบบงาน และผใชงานทางธรกจ (ทงภายในและภายนอก) มกจะเกดจาก

การใหบรการทดอยคณภาพหรอการสงมอบงานลาชา

ผบรหารดานเทคโนโลยสารสนเทศใชเวลานาน สำหรบการเตรยมการเพอการ

ตรวจสอบดานเทคโนโลยสารสนเทศ และเพอดำเนนการปรบปรงแกไขประเดน

ทพบจากการตรวจสอบ

องคกรทมกระบวนการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศและ

การตดตงซอฟตแวรทใชแกไขทดกวาจะมจำนวนผดแลระบบ (system administrators) ท

นอยกวา เมอการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศและการตดตงซอฟตแวร

ทใชแกไขมประสทธผล บคลากรดานเทคโนโลยสารสนเทศกจะสามารถปฏบตงานไดอยางม

ประสทธผลและประสทธภาพมากขน

ตววดทรดกมและเปนทางการมากขนควรไดรบการรายงาน เพอใหเหนไดอยางชดเจน

ทสดถงความมประสทธผลของการบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศและ

การตดตงซอฟตแวรทใชแกไขดานเทคโนโลยสารสนเทศ เชน

การเปลยนแปลงทไดรบการอนมตใหดำเนนการตอสปดาห

การเปลยนแปลงทดำเนนการสำเรจตอสปดาห

จำนวนการเปลยนแปลงทดำเนนการโดยไมไดรบการอนมตซงมการลด

ขนตอนในกระบวนการดำเนนงาน

อตราการเปลยนแปลงทดำเนนการสำเรจ (เปอรเซนตของการเปลยนแปลง

ทเกดขนจรงทไมกอใหเกดการหยดชะงกของระบบ ความบกพรองในการให

บรการ หรองานนอกแผน)

จำนวนการเปลยนแปลงทเกดขนอยางฉกเฉน (รวมทงการตดตงซอฟตแวรทใช

แกไข)

เปอรเซนตของการตดตงซอฟตแวรทใชแกไขตามแผนงานไดกำหนดไวสำหรบ

การนำซอฟตแวรรนใหมออกสตลาดหรอสการใชงานจรง (software release)

��

เปอรเซนตของเวลาทใชไปกบงานนอกแผน

เปอรเซนตของโครงการทสงมอบงานลาชากวาแผนทกำหนด

จะลดความเสยงดานการเปลยนแปลงดานเทคโนโลยสารสนเทศไดอยางไร

แนวทาง GTAG ฉบบน นำเสนอแนวปฏบตทเปนทยอมรบมากทสด (best known

practices) สำหรบกระบวนการบรหารการเปลยนแปลงทจะชวยลดความเสยงทางธรกจ

และเพมประสทธผลและประสทธภาพของเทคโนโลยสารสนเทศ โดยสรปแลว แนวปฏบต

ทองคกรตางๆ สามารถประยกตใชไดทนท เพอปรบปรงกระบวนการบรหารการเปลยนแปลง

ประกอบดวย 5 ขนตอน ดงน

สงสญญาณจากผบรหารระดบสง (tone at the top) ทจะจงใจใหเหนถงความ

จำเปนทจะตองสรางวฒนธรรมขององคกรในเรองการบรหารการเปลยนแปลง

ซงสนบสนนดวยการทผบรหารดานเทคโนโลยสารสนเทศประกาศอยางเปน

ทางการวาจำนวนของการเปลยนแปลงทไมไดรบการอนมตตองเปนศนย

การควบคมทงแบบปองกนและแบบสบคนจงสามารถนำมาใชเพอชวยใหบรรล

และรกษาไวซงวตถประสงคขององคกร และยงทำใหมนใจวา การเปลยนแปลง

ทงหมดทนำไปใชกบระบบทใชงานจรง (production changes) สามารถสอบยนได

กบคำสงงาน (work order) ทไดรบอนมตแลวเทานน

ตดตามดแลอยางตอเนอง เพอตรวจสอบจำนวนการหยดใหบรการของระบบซง

ไมไดมการวางแผนไวกอน ซงขอมลดงกลาวเปนดชนทดเยยมทจะชใหเหนถง

การเปล ยนแปลงท ไมไดรบการอนมต และความลมเหลวของการควบคม

การเปลยนแปลง

ลดจำนวนของการเปลยนแปลงทมความเสยง ดวยการกำหนดชวงเวลาทหามม

การเปลยนแปลง (change freeze) และชวงเวลาทอนญาตใหบำรงรกษาทชดเจน

และมการบงคบใชจรง ซงจะทำใหระบบมเสถยรภาพและประสทธภาพสงสดใน

การใชงานจรง การหยดใหบรการโดยไมมการวางแผนไวลวงหนาเปนขอบงช

ไดดวากระบวนการเปลยนแปลงไมเปนไปตามทกำหนดไว

�4

บทนำ

กำหนดใหอตราการเปลยนแปลงทดำเนนการสำเรจ เปนดชนวดผลการปฏบตงาน

หลก (key performance indicator) ของผบรหารดานเทคโนโลยสารสนเทศ

ซงโดยทวไปแลว หากการเปลยนแปลงขาดการบรหารจดการทด ขาดการเฝาตดตาม

การดำเนนงาน และขาดการควบคม มกจะสงผลใหอตรานตำกวา 70 เปอรเซนต

ซงความลมเหลวในการบรหารการเปลยนแปลงแตละครง จะทำใหระบบเทคโนโลย

สารสนเทศหยดชะงก เกดงานนอกแผนและตองปฏบตงานแบบฉกเฉน การดำเนนงาน

เบยงเบนจากแผนทกำหนดไว และกอใหเกดความเสยงทางธรกจ ในการเพมอตรา

ความสำเรจนน องคกรจะตองมการควบคมทงแบบปองกน แบบสบคน และแบบ

แกไขทมประสทธผล

กำหนดใหจำนวนของงานนอกแผนเปนดชนวดประสทธผลของกระบวนการบรหาร

จดการดานเทคโนโลยสารสนเทศและการควบคม หนวยงานดานเทคโนโลย

สารสนเทศทมศกยภาพสง มกจะใชเวลาไปกบงานนอกแผนนอยกวา 5 เปอรเซนต

ในขณะทองคกรโดยทวไป มกจะใชเวลาประมาณ 45 - 55 เปอรเซนตสำหรบ

งานนอกแผน (และเปนงานเรงดวน)

สงทผตรวจสอบภายในควรทำ

แนวทาง GTAG ฉบบน เปนแนวทางทเกยวของกบการบรหารความเสยงซงไดรบ

ความสนใจมากขนจากผเกยวของในกระบวนการกำกบดแลองคกร เชนเดยวกบการรกษา

ความมนคงปลอดภยดานสารสนเทศ การบรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศ

เปนกระบวนการขนพนฐาน ซงถาบรหารอยางไมมประสทธผล อาจทำใหทวทงองคกรได

รบความเสยหายได ผลกระทบดงกลาวจงเปนทสนใจของคณะกรรมการตางๆ และผบรหาร

ระดบสงขององคกรในทสดดวย

แนวทางนนำเสนอเครองมอทชวยใหผตรวจสอบภายในไดมาซงหลกฐานและ

ประเมนหลกฐานเพอพสจนวาคำรบรอง (assertions) ของผบรหารดานเทคโนโลยสารสนเทศ

นนถกตองเปนจรง (เชน การปฏบตงาน ประสทธผล และประสทธภาพในการดำเนนงาน)

เชนเดยวกบกระบวนการตรวจสอบงบการเงน1 ผตรวจสอบดานเทคโนโลยสารสนเทศควร

1Vincent M. O’Reilly et al., “Overview of Auditing,” in Montgomery’s Auditing: 12th Edition (New Jersey: John Wiley &Sons Inc., 1998).

��

ไดรบขอมลทเกยวของกบการอนมต (เชน รายงานการเปลยนแปลงทไดรบการอนมต)

และหลกฐานเพอสนบสนนขอมลดงกลาว (เชน รายงานการเปลยนแปลงในระบบทใชงานจรง

(production change) ซงไดจากการควบคมแบบสบคน การสอบยนการเปลยนแปลง

ในระบบทใชงานจรงกบการเปลยนแปลงทไดรบอนมต และการขดของของระบบ) จากการ

ดำเนนการดงกลาว ผตรวจสอบสามารถแสดงความเหนไดอยางรจรงตอคำรบรอง(assertion)

ของผบรหารดานเทคโนโลยสารสนเทศ ในเรองกระบวนการบรหารการเปลยนแปลง รวมทงความ

สามารถในการลดความเสยงทมตองบการเงน

ผตรวจสอบภายในสามารถชวยผบรหารและคณะกรรมการไดโดย

ทำความเขาใจวตถประสงคขององคกร ในดานการรกษาความลบของขอมล

(confidentiality) ความถกตองครบถวน (integrity) และความพรอมใชงาน

(availability) สำหรบการประมวลผลของเทคโนโลยสารสนเทศ

ชวยระบความเสยงทเกดจากการเปลยนแปลงและพจารณาวา ความเสยงดงกลาว

สอดคลองกบความเสยงทองคกรยอมรบไดและชวงความเบยงเบนของความเสยง

ทองคกรยอมรบได (risk appetite and tolerance) ขององคกรหรอไม

ชวยในการตดสนใจในเรองของวธการตางๆ ทจะนำมาใชรวมกนอยางเหมาะสมใน

การจดการความเสยง (portfolio of risk management response)

มองหาและใหการสนบสนนวฒนธรรมในความมวนยดานการบรหารการเปลยนแปลง

รวมทงสงเสรมใหเหนถงประโยชนของการบรหารการเปลยนแปลงทด

ทำความเขาใจการควบคมทมความจำเปนตอแนวทางการดำเนนงานสำหรบการ

บรหารการเปลยนแปลงดานเทคโนโลยสารสนเทศทมนใจได

การควบคมแบบปองกน

* การอนมตทเหมาะสม

* การแบงแยกหนาท

* การควบคมดแล (supervision)

การควบคมแบบสบคน

* การสบคนการเปลยนแปลงทไมไดรบการอนมต

��

บทนำ

*การตดตามดแลเกณฑวด (metrics) สำหรบการบรหารการเปลยนแปลง

ทใชวดไดจรงและเทยงธรรม

การควบคมแบบแกไข

* การสอบทานภายหลงการเปลยนแปลง (post - implementation review)

* การใหขอมลการเปลยนแปลงตงแตในชวงตนของขนตอนการวเคราะห

ปญหา

ตดตามข อม ลล าส ดเก ยวก บกระบวนการท นำสมยสำหร บการบร หาร

การเปลยนแปลงดานเทคโนโลยสารสนเทศและการตดตงซอฟตแวรทใชแกไข

และแนะนำใหองคกรพจารณารบกระบวนการดงกลาวมาใช

แสดงใหผบรหารเหนถงประโยชนทจะไดรบจากการมการบรหารความเสยงทด

กวา การทำงานทมประสทธผลกวา และมคาใชจายทตำกวา

ชวยผบรหารหาแนวทางการดำเนนงาน (approach) สำหรบการบรหารการ

เปลยนแปลงดานเทคโนโลยสารสนเทศทมประสทธผลและสามารถนำไปใชงาน

ไดจรง

การบรหารการเปลยนแปลงของสมาคมผตรวจสอบภายใน – มาตรฐาน และแนวทางทเกยวของ

แนวทางของสมาคมผตรวจสอบภายในตอไปน อธบายถงบทบาทและความรบผดชอบ

ของผตรวจสอบภายในเกยวกบการบรหารการเปลยนแปลงและการตดตงซอฟตแวรทใชแกไข

ภายในองคกร

มาตรฐาน 2120: การบรหารความเสยง

ขอแนะนำในการนำมาตรฐานไปใช 2120-1: การประเมนความเพยงพอของ

กระบวนการบรหารความเสยง

มาตรฐาน 2130: การควบคม

ขอแนะนำในการนำมาตรฐานไปใช 2130-1: การประเมนความเพยงพอของ

กระบวนการควบคม

ขอแนะนำในการนำมาตรฐานไปใช 2130-A1-1: ความนาเชอถอและความถกตอง

ครบถวนของสารสนเทศ

��

นอกจากน ยงมแนวทางของสมาคมผตรวจสอบภายในตอไปนทอาจนำไปใช

อางองได

GTAG 1: Information Technology Risk and Controls

GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring,

and Risk Assessment

GTAG 9: Identity and Access Management

GTAG 17: IT Governance

Practice Guide, Auditing the Control Environment

Practice Guide, Assessing the Adequacy of Risk Management