เรื่องน่ารู้เกี่ยวกับความหมาย มุมมองที่เหมือนและแตกต่าง ของ "การตรวจสอบภายใน" (Internal Audit) , "การตรวจสอบระบบสารสนเทศ" (IT Audit) และ "การตรวจสอบด้านความปลอดภัยข้อมูล" (Information Security Audit)
Thu, 19 Mar 2009

จากปัญหาสภาวะเศรษฐกิจของโลกในปัจจุบัน พบว่าปัญหาส่วนใหญ่ที่เกิดขึ้นกับองค์กร ได้แก่ ปัญหาด้านการทุจริต ทางด้านการเงิน (Financial Fraud) ที่มีอัตราการเกิดอย่างต่อเนื่อง ไม่ว่าจะเป็นกรณีบริษัท ENRON ในสหรัฐอเมริกา หรือ บริษัท SATYAM ที่เป็นบริษัทยักษ์ใหญ่ด้าน IT Outsourcing ในอินเดีย ก็ล้วนเกิดปัญหาจากการบริหารองค์กรที่ไม่โปร่งใสโดยมีต้นตอมาจากการบริหารงานที่ไม่ตรงไปตรงมาของผู้บริหารระดับสูง (Board of Director) ซึ่งสามารถหลอกลวงผ่านการตรวจสอบทั้งผู้ตรวจสอบภายใน และ ผู้ตรวจสอบภายนอก ได้อย่างไม่น่าเชื่อ สำหรับในประเทศไทยเรา ยกตัวอย่างกรณีที่ ก.ล.ต.สั่งอายัดทรัพย์ผู้บริหารบริษัท เอส.อี.ซี. ออโต้เซลส์ แอนด์ เซอร์วิส จำกัด (มหาชน) ที่ทำให้ผู้ถือหุ้นเกิดความเสียหายเป็นต้น ดังนั้น ความสำคัญของการตรวจสอบภายใน (Internal Audit) ผู้ตรวจสอบภายใน (Internal Auditor) ผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) และ ฝ่ายตรวจสอบภายใน (Internal Audit Department) ในองค์กร จึงกลายเป็นประเด็นสำคัญที่ผู้บริหารระดับสูงขององค์กรต้องให้ความสำคัญอย่างยิ่งยวด เพื่อให้เกิดความมั่นใจต่อผู้ถือหุ้น ตลอดจนบทบาทของ ผู้ตรวจสอบอิสระจากภายนอก หรือ "External Auditor" ไม่ว่าจะเป็นผู้ตรวจสอบจาก Certification Body (CB) ที่มีหน้าที่ตรวจสอบตามมาตรฐาน ISO/IEC เช่น มาตรฐาน ISO/IEC 27001 ยกตัวอย่าง เช่น บริษัท Bureau Veritas หรือ บริษัท Tuv Nord ซึ่งเรามักเรียกกันติดปากว่า "Lead Auditor" ตลอดจน ผู้ตรวจสอบจากบริษัทที่ปรึกษาที่มีหน้าที่ในการตรวจสอบเทคนิคเชิงลึก เช่น การทำ Vulnerability Assessment หรือ การทำ Penetration Testing เป็นต้น ซึ่ง ตามข้อกำหนดในการตรวจสอบของมาตรฐาน ISO/IEC 27001 นั้น กำหนดให้องค์กรต้องได้รับการตรวจสอบจากทั้งผู้ตรวจสอบภายใน (Internal Auditor) และผู้ตรวจสอบภายนอก (External Auditor) ตลอดจนต้องมีการทบทวนโดยผู้บริหารระดับสูง (Management Review) ในการเรียนรู้และแก้ไขข้อบกพร่องต่าง ๆ ในระบบขององค์กรที่ไม่เป็นไปตามที่มาตรฐานได้กำหนดไว้ เป็นต้น

ความหมายของ "Internal Audit"

หมายถึง การตรวจสอบภายใน โดยฝ่ายตรวจสอบภายในของบริษัทเองซึ่ง "ผู้ตรวจสอบภายใน" ควรศึกษาองค์ความรู้ที่จำเป็นต้องใช้ในการปฏิบัติงานตรวจสอบภายใน ได้แก่ "Corporate Governance Framework", "COSO ERM Framework" , "COSO Based Audit", "Risk-Based Audit" ซึ่งผู้ตรวจสอบภายในควรสอบวัดความรู้เป็นผู้ตรวจสอบภายในที่ได้รับการรับรองแบบสากล ได้แก่ การสอบ "CIA" หรือ "Certified Internal Auditor" ซึ่งได้รับการรับรองโดย The Institute of Internal Auditors หรือ IIA การสอบ "CIA" นั้น เป็นการวัดความรู้ทั้ง 4 ด้าน ได้แก่

1. The Internal Audit Activity's Role in Governance, Risk, and Control
2. Conducting the Internal Audit Engagement
3. Business Analysis and Information Technology (IT)
4. Business Management Skills

ผู้ตรวจสอบภายในที่สอบผ่าน CIA ก็สามารถแสดงให้เห็นถึงความแม่นยำในหลักการและองค์ความรู้ที่จะนำมาประยุกต์ใช้ในการตรวจสอบภายใน ซึ่งจะเห็นได้ว่า องค์ความรู้เฉพาะทางด้าน "Information Technology (IT)" หรือ "Information Security" นั้น ผู้สอบผ่าน CIA ยังมีความจำเป็นต้องศึกษาความรู้เพิ่มเติมเพื่อพัฒนาตัวเองเป็น "ผู้ตรวจสอบสารสนเทศ" (IT Auditor), "ผู้ตรวจสอบด้านความปลอดภัยข้อมูล" (Information Security Auditor) หรือ ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล (Information Security Specialist/Professional) คำถามก็คือ ผู้ตรวจสอบภายใน (Internal Auditor) จำเป็นต้องเป็น "IT Auditor" หรือ "Information Security Auditor" หรือไม่? คำตอบก็คือ ในปัจจุบัน ทุกองค์กรมีความจำเป็นต้องนำระบบสารสนเทศมาใช้งานในแทบทุกส่วนขององค์กร ดังนั้น องค์ความรู้ทางด้านการตรวจสอบระบบสารสนเทศจึงเป็นสิ่งสำคัญที่ผู้ตรวจสอบภายในจำเป็นต้องศึกษาหาความรู้เพิ่มเติม แต่ผู้ตรวจสอบภายในสามารถจำกัดบทบาทของตนเป็นเพียง "ผู้ตรวจสอบภายใน" ไม่จำเป็นต้องเป็น "ผู้ตรวจสอบสารสนเทศ" หรือ "ผู้ตรวจสอบด้านความปลอดภัยข้อมูล" ก็ได้ ถ้าหากงานที่ทำอยู่นั้นไม่มีความจำเป็นต้องใช้ความรู้ทางด้านระบบสารสนเทศ หรือ ความรู้ทางด้านความปลอดภัยข้อมูล เช่น การตรวจสอบเรื่อง Finance เป็นต้น

จะสังเกตว่าผู้สอบผ่าน CIA ส่วนใหญ่นิยมสอบเป็นผู้เชี่ยวชาญด้านการตรวจสอบระบบสารสนเทศ Certified Information System Auditor (CISA) หรือ อาจสอบวัดความรู้ด้านความปลอดภัยข้อมูลเพิ่มเติม ได้แก่ Certified Information System Security Professional (CISSP) เป็นต้น

ความหมายของ "IT Audit"

ปรัชญาของ "IT Audit" แตกต่างจากปรัชญาของ "Internal Audit" กล่าวคือ องค์ความรู้ของ "Internal Audit" เน้นเรื่องการประยุกต์ใช้ "COSO Framework" และการมองภาพรวมในลักษณะของ "Enterprise Risk Management" หรือ "ERM" ซึ่งเป็นภาพใหญ่ขององค์กร แต่ "IT Audit" นั้น จะเน้นไปที่ "CobiT Framework" หรือ อีกชื่อหนึ่งคือ "IT Governance Framework" โดยปรัชญาก็คือ การใช้งานระบบสารสนเทศให้สอดคล้อง หรือ "Align" กับวัตถุประสงค์ทางด้านธุรกิจหรือ "Business Objective" ตลอดจน "Governance Objective" ซึ่งได้แก่เรื่อง "Regulatory Compliance" ต่าง ๆ โดยการตรวจสอบระบบสารสนเทศมีลักษณะคล้ายกับการตรวจสอบภายใน ก็คือ การนำหลักการ "GRC" หรือ "Governance , Risk Management and Compliance" มาประยุกต์ใช้ และมีลักษณะการตรวจสอบในแบบ "Risk-Based Approach" แต่การตรวจสอบระบบสารสนเทศจำเป็นต้องมีองค์ความรู้เรื่อง "Information System Audit Process or IS Audit Process" เป็นองค์ความรู้หลัก ซึ่งองค์ความรู้ที่จำเป็นต้องศึกษามีทั้งหมด 6 องค์ความรู้ ได้แก่

1. IS Audit Process
2. IT Governance
3. Systems and Infrastructure Lifecycle Management
4. IT Service Delivery and Support
5. Protection of Information Assets
6. Business Continuity and Disaster Recovery

โดยองค์ความรู้ทั้ง 6 เป็นองค์ความรู้ที่ใช้ในการทดสอบผู้ที่ต้องการได้รับใบรับรองผู้เชี่ยวชาญด้านการตรวจสอบระบบสารสนเทศ หรือ CISA (Certified Information System Auditor) จาก ISACA ผู้ที่สอบผ่าน "CISA" นั้น เป็นการพิสูจน์ในระดับหนึ่งว่ามีความรู้ความเชี่ยวชาญที่สามารถเป็นผู้ตรวจสอบระบบสารสนเทศที่แม่นยำในหลักวิชาการ (เหมือนผู้สอบผ่าน CIA) แต่ก็ยังต้องหาความรู้เฉพาะทางเพิ่มเติมอีก เช่น การตรวจสอบระบบฐานข้อมูล RDBMS เช่น Audit Oracle , Audit MS SQL Server หรือ การตรวจสอบ Network และ System ต่าง ๆ เช่น การตรวจสอบ Microsoft Windows , UNIX/Linux Operating System ,การตรวจสอบ Wireless, การตรวจสอบ Router และ Switching เป็นต้น

จึงสรุปได้ว่า การศึกษาองค์ความรู้พื้นฐานและการสอบผ่าน CIA หรือ CISA นั้นนับเป็น "จุดเริ่มต้นที่ดี" สำหรับการเป็น "ผู้ตรวจสอบภายใน" หรือ "ผู้ตรวจสอบระบบสารสนเทศ" ที่มีประสิทธิภาพสูง แต่ไม่ได้หมายความว่าผู้สอบผ่าน CIA และ CISA จะปฏิบัติงานด้านการตรวจสอบได้ครบทุกเรื่อง เพราะจำเป็นต้องมีความรู้เฉพาะทางในเรื่องต่าง ๆ ดังที่กล่าวมาแล้วในตอนต้น อีกทั้งยังต้องอาศัยประสบการณ์หรือชั่วโมงบินในการตรวจสอบอีกด้วย

ความหมายของ "Information Security Audit"

กล่าวถึงองค์ความรู้ทางด้าน Information Security ก็คงหนีไม่พ้น "CBK" หรือ "Common Body of Knowledge"
จาก (ISC)2 ซึ่งเป็นผู้จัดสอบผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล หรือ "CISSP" (Certified Information System Security Professional) โดยองค์ความรู้ทั้ง 10 องค์ความรู้ ได้แก่

1. Access Control
2. Application Security
3. Business Continuity and Disaster Recovery Planning
4. Cryptography
5. Information Security and Risk Management
6. Legal, Regulations, Compliance and Investigation
7. Operations Security
8. Physical (Environmental) Security
9. Security Architecture and Design
10. Telecommunications and Network Security

ซึ่งเป็นองค์ความรู้ที่ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลจำเป็นต้องรู้เพื่อนำไปประยุกต์ใช้ในการปฏิบัติงานในบทบาทของ ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล (Information Security Specialist)

สำหรับตำแหน่ง "ผู้ตรวจสอบด้านความปลอดภัยข้อมูล" (Information Security Auditor) นั้นเรามักจะไม่ค่อยได้ยินตำแหน่งนี้แต่มักจะได้ยินแต่ตำแหน่งผู้ตรวจสอบระบบสารสนเทศ หรือ "IT Auditor" โดยในปัจจุบัน “IT Auditor” จำเป็นต้องมีความรู้ด้านความปลอดภัยข้อมูลเป็นความรู้เสริม เพราะต้องไปตรวจเรื่อง Business Continuity Management (BCM) , ตรวจเรื่องนโยบายด้านความปลอดภัยขององค์กร (Corporate Information Security Policy) , ตรวจเรื่องหนังสือยินยอมรับเงื่อนไขนโยบายเกี่ยวกับความปลอดภัยระบบสารสนเทศ "Acceptable Use Policy" หรือ "AUP" ตลอดจนต้องตรวจสอบความปลอดภัยของ "Network Perimeter" เช่น การตรวจสอบ Firewall , IPS/IDS , VPN หรือ Anti-Virus ซึ่งจำเป็นต้องมีความรู้ทางด้านความปลอดภัยข้อมูลอย่างหลีกเลี่ยงไม่ได้
การตรวจสอบตามมาตรฐานการบริหารจัดการด้านความปลอดภัยข้อมูลที่ได้รับการยอมรับกันในปัจจุบันก็คือ การตรวจสอบตามมาตรฐาน ISO/IEC 27001 Information Security Management System (ISMS) โดย ISMS Lead Auditor ที่มาจาก Certification Body (CB) ผู้ตรวจสอบด้านความปลอดภัยข้อมูลมีหน้าที่ในการพิสูจน์ทราบว่า องค์กรได้ปฏิบัติตาม "Control" ต่างๆ ที่อยู่ในมาตรฐาน ISO/IEC 27001 ได้อย่างเกิดประสิทธิผล (Effectiveness) หรือไม่? โดยอ้างอิงจากองค์ความรู้ทั้ง 11 องค์ความรู้ ได้แก่

1. Security Policy
2. Organization of Information Security
3. Asset management
4. Human resources security
5. Physical and environmental security
6. Communications and Operations Management
7. Access Control
8. Information Systems Acquisition, Development and Maintenance
9. Information Security Incident Management
10. Business Continuity Management (BCM)
11. Compliance

จะเห็นได้ว่ามีหลายเรื่องที่ตรงกับ CBK ของ (ISC)2 ดังนั้น ผู้ที่สอบผ่าน CISSP จึงมีพื้นฐานที่จะเป็นผู้ตรวจสอบด้านความปลอดภัยข้อมูลที่ดีกว่าผู้ที่ยังไม่มีความรู้ตาม CBK ดังกล่าว โดยหลักการของผู้ตรวจสอบระบบความปลอดภัยข้อมูลตามมาตรฐาน ISO/IEC 27001 หรือ "ISMS Lead Auditor" นั้น จะยึดหลักการ "3E" ได้แก่

1. E = Existing
หมายถึง เอกสารสำคัญทั้งหมดในกระบวนการ ISMS จะต้องถูกจัดทำให้เสร็จสมบูรณ์ได้แก่ เอกสาร ISMS scope, ISMS Policy, Risk Assessment Methodology, Risk Assessment Report, Risk Treatment Plan และ Statement of Applicability (SOA) โดยจะอยู่ในรูปแบบของ Hard-copy หรือ Soft-copy เป็นไฟล์ PDF ก็ได้

2. E = Execute
หมายถึง องค์กรต้องปฏิบัติตามกระบวนการที่อยู่ในเอกสารในข้อหนึ่งมาในช่วงระยะเวลาหนึ่ง โดยปกติประมาณ 3-6 เดือน เพื่อให้แน่ใจว่า เอกสารทุกอย่างที่เกี่ยวข้องได้ถูกนำมาใช้ปฏิบัติงานเป็น "Process" หรือ "Procedure" จริงๆ โดยไม่ใช่เป็นเพียงเอกสารที่ทำขึ้นมาแต่ไม่ได้นำมาใช้ให้เกิดประโยชน์แก่องค์กร

3. E = Effectiveness
หมายถึง ต้องมีกระบวนการในการวัดประสิทธิผล "Effectiveness" ได้ว่า ก่อนการปฏิบัติตามกระบวนการ ISMS (Before ISMS) เปรียบเทียบกับหลังการปฏิบัติตามกระบวนการ ISMS (After ISMS) มีประสิทธิผลเกิดขึ้นและสามารถวัดได้เป็นรูปธรรม เช่น ก่อนการฝึกอบรม Information Security Awareness Training พนักงานในองค์กรทำข้อสอบ Pre-Test ได้คะแนนต่ำกว่าเกณฑ์ แต่หลังจากที่ฝึกอบรม Information Security Awareness Training ไปแล้ว กลับมาทำข้อสอบ Post-Test มีผลคะแนนที่ดีขึ้น เป็นต้น

มองในภาพรวมจะเห็นได้ว่า ลักษณะการตรวจสอบของ "Internal Audit" , "IT Audit" และ "Information Security Audit" นั้น จะมีลักษณะบางอย่างที่เหมือนกัน และมีหลายอย่างที่แตกต่างกัน ดังนั้น "Role" หรือ "บทบาท" ของผู้ตรวจสอบจึงจำเป็นที่จะต้องกำหนดลงไปให้ชัดเจนก่อนการตรวจสอบเพื่อไม่ให้ผู้ถูกตรวจสอบ (Auditee) เกิดความเข้าใจผิดและให้ข้อมูลไม่ตรงกับรูปแบบของการตรวจสอบ ทำให้ผลลัพธ์ที่ได้จากการตรวจสอบไม่สัมฤทธิ์ผลเท่าที่ควรจะเป็น

สำหรับส่วนที่เหมือนกันของการตรวจสอบทั้ง 3 ลักษณะ ก็คือ ควรจะตรวจสอบให้ได้ผลการตรวจสอบที่สามารถถ่ายทอดในภาพรวม หรือ "Holistic Approach" และ สามารถตอบโจทย์ของผู้บริหารตามหลัก "GRC" ได้อย่างชัดเจน เช่น "Internal Audit" สามารถแสดงผลการตรวจสอบให้สอดคล้องกับหลัก "CG" หรือ "Corporate Governance" สามารถทำให้ Board Of Director เกิดความเข้าใจถึงต้นตอของปัญหาและทางแก้ไขที่ถูกต้องตามแนวทาง CG

ขณะเดียวกัน "IT Audit" ก็สามารถนำหลัก "ITG" หรือ "IT Governance" โดยนำ "CobiT Framework" มาประยุกต์ใช้ให้เกิดผลลัพธ์จากการตรวจสอบที่มีประโยชน์ต่อการตัดสินใจของผู้บริการระดับสูงโดยอ้างอิง IT Goal กับ Business Goal ใน concept ของ Balanced Scorecard (BSC) ตามหลัก "GRC" ที่ถูกต้อง เพราะถ้าหากผู้บริหารระดับสูงไม่สามารถนำข้อมูลจากการตรวจสอบไปใช้ให้เกิดประโยชน์เป็นรูปธรรม การที่ผู้บริหารระดับสูงจะกล่าวว่าองค์กรของตน "Governance" ก็คงยังไม่สามารถพูดได้เต็มปาก

สำหรับในส่วนของ "Information Security Audit" ก็เช่นเดียวกัน ควรมีการนำหลักการ "Information Security Governance" มาประยุกต์ใช้เพื่อให้สามารถนำผลลัพธ์จากการตรวจสอบด้านความปลอดภัยข้อมูลมาเป็นข้อมูลประกอบการตัดสินใจของผู้บริหารระดับสูง (Align with Business) ในลักษณะเดียวกับการตรวจสอบภายในและการตรวจสอบระบบสารสนเทศเช่นกัน

ปัญหาของบ้านเราในปัจจุบันก็คือ ผู้ตรวจสอบภายในองค์กรและผู้ตรวจสอบอิสระจากภายนอกส่วนใหญ่ยังไม่สามารถนำข้อมูลผลลัพธ์จากการตรวจสอบ เช่น รายงาน Risk Assessment หรือ Risk Map มานำเสนอต่อผู้บริหารระดับสูง และ ผู้เกี่ยวข้องในองค์กรได้อย่างมีประสิทธิภาพ เนื่องจากมีปัญหาด้านการ "Communication" ระหว่างผู้ตรวจสอบและผู้บริหารระดับสูง ตลอดจนการทำงานของฝ่ายต่างๆภายในองค์กรมีลักษณะเป็นเอกภาพสูงมากเสียจนไม่ค่อยได้ร่วมงานกัน เท่าที่ควร ก็เป็นปัญหาเรื่อง "Communication" ระหว่างฝ่ายเช่นกัน ทางแก้ปัญหาคือ การจัดประชุม โดยจัดตั้งเป็น "Steering Committee" ที่ประกอบด้วยตัวแทนจากหลายฝ่ายและมีผู้นำการประชุมที่มี "Leadership" และองค์ความรู้ที่สามารถ "นำ" หรือ "Lead" ที่ประชุมร่วมกับการทำงานของที่ปรึกษาจากภายนอก (External Consultant/Specialist) เพื่อให้องค์กรสามารถนำผลลัพธ์จากการตรวจสอบทั้ง 3 ด้านมา "บูรณาการ" ให้เกิดประโยชน์อย่างแท้จริงเป็นรูปธรรมให้แก่องค์กรในที่สุด




new The OpenSSL Heartbleed Bug Alert "ปัญหาของ OpenSSL และแนวทางแก้ไข" "รู้จักกับ Heartbleed Bug ก่อนที่เลือดจะไหลหมดหัวใจ"
Sun, 13 Apr 2014

new "บทวิเคราะห์กรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ระดับโลก" - NIST’s Framework for Improving Critical Infrastructure Cybersecurity "โอกาส ภัยคุกคาม และความเสี่ยงที่ผู้บริหารองค์กรต้องตระหนัก"
Fri, 11 Apr 2014

ช่องโหว่ของเร้าเตอร์ กับผลกระทบต่อความมั่นคงของชาติ
Fri, 21 Feb 2014

สิบภัยด้านความมั่นคงปลอดภัยไซเบอร์ประจำปี พ.ศ. 2557 ที่ทุกคนควรรู้ :: Top Ten Cybersecurity Threats for 2014 From ACIS Research LAB; Are You Ready ?
Tue, 21 Jan 2014

ถ่ายทอดประสบการณ์ Cybersecurity ระดับโลกจากโครงการทุน Eisenhower Fellowships Southeast Asia Regional Program 51 วันในประเทศสหรัฐอเมริกา :: Eisenhower Fellowships Southeast Asia Regional Program: The World-class Cybersecurity Experience in USA
Tue, 21 Jan 2014