1. สาระดีดี โดย DR.P&L
  2. การควบคุม ความสอดคล้อง (Compliance)
บริษัทตรวจสอบภายใน

เรื่อง การควบคุม ความสอดคล้อง (Compliance)

ในส่วนนี้เป็นส่วนของการแสดงให้ บริษัทตรวจสอบภายใน ผู้ตรวจสอบภายใน หรือภายนอก ได้เห็นว่าฝ่ายเทคโนโลยีสารสนเทศ ได้ปฏิบัติตามนโยบายอย่างเคร่งครัด ในขณะเดียวกันพนักงาน รวมถึงผู้ประกอบการต่าง ๆ ที่เกี่ยวข้องกับบริษัทได้ปฏิบัติตามนโยบาย และกฎระเบียบที่กำหนดไว้อย่างเคร่งครัด


เพื่อให้สอดคล้องกับข้อกำหนดของ COSO Framework เราควรกำหนดลงไปในนโยบายเลยว่า เราจะมีการนำผลการทำงานในเรื่องต่าง ๆ ที่เขียนไว้ในนโยบาย มานำเสนอต่อผู้บริหารระดับสูง หรือคณะกรรมการความมั่นคงปลอดภัยสารสนเทศ (บางองค์กรมีการจัดตั้งคณะกรรมการนี้เพิ่มขึ้น) อย่างไร เช่น การนำเสนอ Incident ที่เกิดขึ้นและแนวทางในการแก้ไขปัญหา จะถูกทำสรุปเป็นรายงาน และนำเสนอให้ผู้บริหารทราบทุก ๆ 3 เดือน การนำเสนอสถานการณ์ทำงานของ Server ต่าง ๆ รวมถึง Exception Log ถูกจัดทำให้ผู้บริหารระดับสูง ทุก ๆ 6 เดือน การนำเสนอ IT Master Plan จะทำทุก ๆ 1 ปี ซึ่งควรระบุให้ครบถ้วนทุกเรื่อง


นอกจากระบุไว้อย่างเป็นลายลักษณ์อักษรในนโยบายแล้ว จะต้องแสดงให้ บริษัทผู้ตรวจสอบภายใน ผู้ตรวจสอบภายในหรือภายนอก อย่างเป็นรูปธรรม เช่น มีรายงานการประชุมประกอบ มีรายงานและเอกสารที่นำเสนอผู้บริหารและมีการเซ็นรับทราบ เป็นต้น ดังนั้นหากเรามีการกำหนดช่วงเวลาที่จะต้องรายงานผลการทำงาน และมีการรายงานหรือเอกสารประกอบจริงทุกขั้นตอน ในหัวข้อนี้ก็ไม่น่าจะมีปัญหาอะไร



ดร. สุรพรรษ์ เพ็ญจำรัส
อังคารที่ 25 กรกฎาคม 2560


“ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง เพื่อการพาณิชย์โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฎหมายบัญญัติไว้สูงสุด ในกรณีต้องการอ้างอิงเพื่อการศึกษา กรุณาให้เครดิตโดยอ้างอิงถึงผู้เรียบเรียงและบริษัทเจ้าของเว็บไซด์ด้วย”