IT General Controls (ITGC) เป็นองค์ประกอบสำคัญของการควบคุมภายในด้านเทคโนโลยีสารสนเทศ ที่ช่วยให้องค์กรสามารถบริหารจัดการระบบ IT ได้อย่างปลอดภัยและมีประสิทธิภาพ

ในงานตรวจสอบระบบ IT (IT Audit) การประเมิน ITGC ถือเป็นพื้นฐานสำคัญที่ช่วยให้มั่นใจว่าระบบ IT มีการควบคุมที่เหมาะสม

หากคุณยังไม่เข้าใจพื้นฐาน แนะนำให้อ่าน:
การตรวจสอบระบบเทคโนโลยีสารสนเทศ (IT Audit) คืออะไร
IT Audit Checklist

IT General Controls (ITGC) คืออะไร

IT General Controls (ITGC) คือการควบคุมทั่วไปที่ใช้กับระบบเทคโนโลยีสารสนเทศ เพื่อให้มั่นใจว่า:

• ระบบมีความปลอดภัย
• ข้อมูลมีความถูกต้อง
• ระบบทำงานได้อย่างต่อเนื่อง

ITGC เป็นส่วนหนึ่งของระบบควบคุมภายในตามแนวทางของ COSO

วัตถุประสงค์ของ ITGC

• ป้องกันการเข้าถึงระบบโดยไม่ได้รับอนุญาต
• ลดความเสี่ยงด้าน IT
• สนับสนุนความถูกต้องของข้อมูล
• เพิ่มความน่าเชื่อถือของระบบ

องค์ประกอบหลักของ IT General Controls

ITGC มักแบ่งออกเป็น 4 ด้านหลัก ได้แก่:

1. Access Control (การควบคุมการเข้าถึง)

• การกำหนดสิทธิ์ผู้ใช้งาน
• การใช้รหัสผ่าน
• การยกเลิกสิทธิ์เมื่อพนักงานออก

2. Change Management

• การควบคุมการเปลี่ยนแปลงระบบ
• การอนุมัติการแก้ไข
• การทดสอบก่อนใช้งานจริง

3. IT Operations

• การดูแลระบบประจำวัน
• การ monitoring ระบบ
• การจัดการ incident

4. Backup and Recovery

• การสำรองข้อมูล
• การกู้คืนข้อมูล
• การทดสอบระบบสำรอง

ตัวอย่าง IT General Controls

– ตัวอย่างในองค์กร:

• จำกัดสิทธิ์การเข้าถึงระบบบัญชี
• มีการ backup ข้อมูลทุกวัน
• มีการอนุมัติการแก้ไขระบบ
• มีการตรวจสอบ log

ITGC สำคัญอย่างไร

• ลดความเสี่ยงจาก Cyber Attack
• ป้องกันข้อมูลสูญหาย
• สนับสนุนระบบบัญชีและการเงิน
• เพิ่มความน่าเชื่อถือขององค์กร

ITGC กับ Application Controls ต่างกันอย่างไร

ข้อผิดพลาดที่พบบ่อย

• ไม่มีการทบทวนสิทธิ์
• ไม่ทดสอบ backup
• ไม่มี change control
• ไม่ monitor log

คำถามที่พบบ่อย (FAQ)

❓ ITGC จำเป็นไหม?

จำเป็นมากสำหรับองค์กรที่ใช้ระบบ IT

❓ ใครรับผิดชอบ?

IT + Internal Audit

❓ ต้องทำบ่อยแค่ไหน?

ควรตรวจสอบอย่างน้อยปีละครั้ง

สรุป

IT General Controls (ITGC) เป็นพื้นฐานสำคัญของการควบคุมด้านเทคโนโลยีสารสนเทศ ที่ช่วยให้องค์กรสามารถดำเนินงานได้อย่างปลอดภัย มีประสิทธิภาพ และลดความเสี่ยงจากระบบ IT