ความเสยงและการควบคมดานเทคโนโลยสารสนเทศ

07

101111000111101101 110101 00110101010111111111111 11011110100010011111 011011011010101000111110 001111010001111111010111011111111011110111 0100110001011111111100111 10110001111111110101011101 11010100010001 1111111 10111001101 11111110010101010100011111000 11110100011111110101110111 111110110001110111110 11010100111111010100 011111000111101000111111101011101 1111111010110110011010110 10101110111

11 000111101101 11010100010001111111111010010111101 1110111 01111100110110111111

1010001 1111000111101000111111101000101111101111 111101111011 01000100011111011

00111 10110001111111110101011101 11010100010001 1111111 10111001101 11111110010101010100011111000 11110100011111110101110111 111110110001110111110 11010100111111010100 011111000111101000111111101011101 1111111010110110011010110 101011101111010001 1111000111101000111111101000101111101111 111101111011 01000100011111011

011110110001111111110101011101 1101010001110110000111111 111010111 1011000111111

010100011111 0001111010001111111010111011111 11101100110011011 0101111111111111101111000111101101 110101 00110101010111111111111 11011110100010011111 011011011

010101000111110 001111010001111111010111011111111011110111 0100110001011111111100111 10110001111111110101011101 11010100010001 1111111 10111001101 111111100101

01010100011111000 11110100011111110101110111 111110110001110111110 11010100111111010100 011111000111101000111111101011101 1111111010110110011010110 10101110111

11 000111101101 11010100010001111111111010010111101 1110111 01111100110110111111

การใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก

Information Technology Outsourcing

ตลาดหลกทรพยแหงประเทศไทย.การใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก.- - กรงเทพฯ : ตลาดหลกทรพยแหงประเทศไทย, 2556. 92 หนา. 1. เทคโนโลยสารสนเทศ. I. ชอเรอง.303.4833 ISBN 978-616-7227-50-4

ชด “แนวทางการตรวจสอบเทคโนโลยในระดบสากล”การใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก

อำานวยการผลต ตลาดหลกทรพยแหงประเทศไทย โดยฝายศนยการเรยนร ศนยสงเสรมการพฒนาความรตลาดทนพมพครงท 1 กนยายน 2556 จำานวน 3,000 เลม ราคา 225 บาทขอมลทางบรรณานกรมของสำานกหอสมดแหงชาต

จดจำาหนายโดย ตลาดหลกทรพยแหงประเทศไทย

เลขท 62 ถนนรชดาภเษก คลองเตย กรงเทพฯ 10110

โทรศพท 0 2229 2222 โทรสาร 0 2654 5399

www.set.or.th www.setfinmart.com

พมพท บรษท เมจกเพรส จำากด

เลขท 178 ซอยสรนธร 7 ถนนสรนธร แขวงบางบำาหร เขตบางพลด กรงเทพฯ 10700

โทรศพท 0 2886 5100 โทรสาร 0 2886 4499 www.magicpress.co.th

“Copyright © 2009-2012 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte

Springs, Florida 32701-4201, USA. All rights reserved.”

“Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247

Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., to publish this translation, which is the same in

all material respects, as the original unless approved as changed. No part of this document may be reproduced,

stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying,

recording, or otherwise, without prior written permission of IIA, Inc.”

สมาคมผตรวจสอบภายในแหงประเทศไทย ไดรบอนญาตจากเจาของลขสทธ คอ The Institute of Internal

Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. ใหดำาเนนการจดพมพ GTAG 7:

Information Technology Outsourcing, 2nd Edition ฉบบภาษาไทย ซงมเนอหาเชนเดยวกบตนฉบบภาษาองกฤษ โดย

จดพมพในชอ “การใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก” ทงน The Institute of Internal Auditors

ไมอนญาตใหผลตซำาหรอจดเกบเนอหาของเอกสารนในระบบใดๆ หรอโอนถายเนอหาในรปแบบหรอโดยนยตางๆ ทงทาง

อเลกทรอนกส อปกรณ การถายเอกสาร การบนทก หรอวธการอนๆ หากปราศจากการอนญาตอยางเปนลายลกษณอกษร

จาก The Institute of Internal Auditors

สารจากกรรมการและผจดการ ตลาดหลกทรพยแหงประเทศไทย

ดวยความกาวหนาดาน “เทคโนโลยสารสนเทศ” ทำาใหองคกรธรกจเลอกใชเทคโนโลย

สารสนเทศเปนกลยทธเพอสรางการเตบโตและความสำาเรจใหแกองคกรในการเพมผลผลต ลดตนทน

และเพมประสทธภาพในการดำาเนนงาน การสรางความร ความเขาใจทถกตอง เหมาะสม และตาม

ความจำาเปนในดานเทคโนโลยสารสนเทศและการควบคมใหแก คณะกรรมการ ผบรหารระดบสง บคลากร

ทเกยวของในทกระดบเปนรากฐานทสำาคญ รวมตลอดถงการจดใหมองคประกอบดานเทคโนโลย

กระบวนการบรหารจดการเทคโนโลยสารสนเทศ โครงสรางองคกรและสถาปตยกรรมดานเทคโนโลย

สารสนเทศหรอทเรยกรวมกนวา “โครงสรางพนฐานดานเทคโนโลยสารสนเทศ” ทด จะสนบสนนวสยทศน

พนธกจ และวตถประสงคของการขบเคลอนธรกจใหดำาเนนไปอยางมนคงและยงยนดวยความไววางใจ

ในความนาเชอถออยางสมเหตสมผลเมอใชขอมลและสารสนเทศขององคกรเพอการตดสนใจของผท

เกยวของทกฝาย สำาหรบการควบคมเทคโนโลยสารสนเทศนน แมไมใชวตถประสงคหลกขององคกร

เปนตนทนในการดำาเนนธรกจ และอาจมราคาแพง แตกอาจไมแพงเทากบผลกระทบทอาจเกดขน

หากองคกรไมมหรอมการควบคมหรอมการบรหารจดการความเสยงและภยคกคามทไมอาจ

หลกเลยงไดไมดเพยงพอ

องคกรธรกจจงจำาเปนตองเตรยมความพรอมและพฒนากลยทธเชงรกในการสนองตอบทง

ตอโอกาสใหมๆ ทจะเกดขน และโตตอบตอภยคกคามทงแบบปองกน แบบสบคน และแบบแกไข

พรอมทงกำาหนดนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศโดยเรมจาก การระบ การประเมน

การสอสาร การดำาเนนการแกไข ตลอดจนดำาเนนการตรวจสอบอยางเหมาะสม ตลาดหลกทรพยฯ

หวงเปนอยางยงวา หนงสอชด “Global Technology Audit Guide (GTAG) หรอแนวทางการ

ตรวจสอบเทคโนโลยในระดบสากล” น จะเปนประโยชนตอคณะกรรมการ ผบรหารองคกร ผบรหาร

งานตรวจสอบภายใน ผมสวนเกยวของ และบคลากรทกคนในองคกร ทจะนำาไปปรบใชเพอสราง

ความเชอถอและสรางมลคาเพมใหแกองคกรของตน และเพอใหเกดประโยชนสงสด ผใชหนงสอ

ชดนควรศกษาตดตามพฒนาการใหมๆ เพมเตมอยเสมอ เนองจากอาจมการเปลยนแปลงมาตรฐาน

ขอบงคบหรอขอมลตางๆ ทมการอางองในหนงสอชดน

ในโอกาสน ตลาดหลกทรพยฯ ใครขอขอบพระคณคณะทำางานผทรงคณวฒของตลาดหลกทรพยฯ

คณะทำางานของสมาคมผตรวจสอบภายในแหงประเทศไทย คณะทำางานของสมาคมผตรวจสอบและ

ควบคมระบบสารสนเทศภาคพน กรงเทพฯ คณบรนทร กนตะบตร ผเชยวชาญดานภาษาองกฤษ

ตลาดหลกทรพยฯ และผเกยวของทกฝายททำาใหการพฒนาและเผยแพรองคความรดานการบรหาร

จดการเทคโนโลยสารสนเทศครงนสำาเรจลลวงอยางครบถวนสมบรณ

(นายจรมพร โชตกเสถยร)

กรรมการและผจดการ

ตลาดหลกทรพยแหงประเทศไทย

สารจากนายกสมาคมผตรวจสอบภายในแหงประเทศไทย

สมาคมผตรวจสอบภายในแหงประเทศไทย มหลกการทแนวแนและตระหนกดถงหนาท

ในการอำานวยโอกาสใหสมาชกของสมาคมฯ ไดมความรททนกาล รเทาทนสงคม โดยไดรบ

โอกาสเขาถงแหลงความร และสามารถแสวงหาประสบการณไดอยางเหมาะสม

โครงการจดทำาหนงสอแปลชด Global Technology Audit Guide (GTAG) หรอ

หนงสอแนวทางการตรวจสอบเทคโนโลยในระดบสากลชดน ม ทมาทคอนขางยาวนาน

สบเนองจากสมาคมผตรวจสอบภายในแหงประเทศไทยไดมงเนนการพฒนาดานวชาการ

ซงนบเปนหวใจสำาคญในการสงเสรมและสนบสนนผปฏบตงาน รวมถงวชาชพตรวจสอบ

ภายในใหมความแขงแรงและทดเทยมสากล คณะกรรมการสมาคมฯ จงพจารณาคดเลอก

หนงสอและเอกสารวชาการของหนวยงานตางประเทศทเหนวาเหมาะสมและเปนประโยชน

ตอวชาชพของผตรวจสอบภายใน โดยเสนอตอตลาดหลกทรพยแหงประเทศไทย เพอ

ขอความรวมมอและการสนบสนนการจดทำาหนงสอวชาการพรอมเผยแพร ซ งเปนท

นายนดทสมาคมฯ ไดรบการตอบรบดวยดเสมอมา

ยอนกลบไปในป พ.ศ. 2552 คณะกรรมการของสมาคมฯ มมตวา หนงสอชด

Global Technology Audit Guide (GTAG) ทพฒนาขนโดย The Institute of Internal

Auditors (IIA) เหมาะทจะเปนแนวปฏบตเกยวกบความเสยงดานเทคโนโลยสารสนเทศ

สำาหรบหวหนาผบรหารหนวยงานตรวจสอบภายในและผตรวจสอบภายใน อกทงยงม

คำาแนะนำาท เปนประโยชนอยางมากแกกรรมการ คณะกรรมการตรวจสอบฝายบรหาร

เจ าหนาทบรหารความเสยง และบคคลท เกยวของในกระบวนงานตางๆ ในองคกร

สมาคมฯ จงเสนอโครงการแปลหนงสอชด GTAG ตอตลาดหลกทรพยแหงประเทศไทย เพอขอ

ความรวมมอและการสนบสนนการจดทำาหนงสอชดดงกลาวเปนภาคภาษาไทยและพมพเผยแพร

เพอเปนประโยชนตอไป

โครงการฯ ดงกลาวน สมาคมฯ ไดรบลขสทธการแปลจาก IIA โดยถกตอง และ

ไดรวมกบตลาดหลกทรพยแหงประเทศไทย จดตงคณะทำางานโครงการฯ แตดวยการแปล

คำาศพทเฉพาะ หรอ Technical Terms ดาน IT ใหเปนภาษาไทยนนเปนเรองทคอนขางยาก

และตองใชความระมดระวงเปนพเศษ เพอใหไดคำาทท งสละสลวยและสอความหมาย

ไดตรงตามตนฉบบ คณะทำางานจงจำาเปนตองใช เวลามากพอสมควรในการแปลและ

สอบทานหนงสอชด GTAG ใหออกมาครบถวนสมบรณทสด

สมาคมฯ หวงเปนอยางยงวา องคความรในหนงสอ GTAG น จะชวยสงเสรม

และเพมพนความร ความสามารถเกยวกบการบรหารจดการ การควบคม การรกษา

ความปลอดภย และการบรหารความเสยงทางดาน IT ของทกๆ ทานไดเปนอยางด และ

ยงประโยชนใหเกดความเจรญกาวหนาทงดานวชาการและดานธรกจการคาของประเทศ

ชาตไทยสบไป

(คณหญงจารวรรณ เมณฑกา)

นายกสมาคมผตรวจสอบภายในแหงประเทศไทย

คณะทำางานโครงการจดทำาหนงสอแปลชด

“แนวทางการตรวจสอบเทคโนโลยในระดบสากล”

ตลาดหลกทรพยแหงประเทศไทย

ศาสตราจารย ดร.ธวช ภษตโภยไคย ประธานคณะทำางาน

คณหญงจารวรรณ เมณฑกา คณะทำางาน

(นายกสมาคมผตรวจสอบภายในแหงประเทศไทย)

คณวรางคณา มสกะสงข คณะทำางาน

(นายกสมาคมผตรวจสอบและควบคมระบบสารสนเทศภาคพนกรงเทพฯ -

ISACA Bangkok Chapter)

คณสพจน สงหเสนห คณะทำางาน

ดร. เยาวลกษณ ชาตบญชาชย คณะทำางาน

รองศาสตราจารย ดร.นตยา วงศภนนทวฒนา คณะทำางาน

คณผาณต เกดโชคชย เลขานการคณะทำางาน

ผประสานงานการแปล

คณปนดดา เพมประโยชน

คณพมพนารา จรวรดาเกยรต

สมาคมผตรวจสอบและควบคมระบบสารสนเทศ ภาคพนกรงเทพฯ

(ISACA – Bangkok Chapter)

คณวรางคณา มสกะสงข (นายกสมาคมฯ)

คณเสนย วชรศรธรรม (อปนายก)

คณชชย วชระบรรจง (อปนายก)

คณสวฒน หลายเจรญทรพย (ทปรกษาสมาคมฯ)

คณสธนย ประเสรฐสรรพ (ประธานดานปฏคม)

ดร.ประจต หาวตร (ประธานดานการศกษา)

คณปรญญา หอมเอนก (ประธานดานวจยและพฒนา)

คณวาสนา โรจนพเชฐ (ประธานดานสมาชก)

คณสมชย แพทยวบลย (ผชวยดานสมาชก)

คณเมธา สวรรณสาร (Audit Chair)

ดร.เยาวลกษณ ชาตบญชาชย (IT Gl liaison)

คณประทกษ วงศสนคงมน (เหรญญก)

คณณฐชา เฉลมไชยโกศล (ผชวยเหรญญก)

คณสมหมาย ฟองนำาทพย (ผประสานงาน CISAและเลขานการสมาคมฯ)

คณณฐ สงหลกะ (ผชวยเลขานการสมาคมฯ)

คณนพนธ นาชน (Web Master)

สมาคมผตรวจสอบภายในแหงประเทศไทย

คณะผแปล

คณพสทธ ธารจนดาวงศ

คณรณชย ธรรมรตนะศร, CISA

คณสกมา อดลยวจตร, CISA

ผสอบทาน

ผชวยศาสตราจารย ดร.อรนช สงสวาง

คณะพาณชยศาสตรและการบญช จฬาลงกรณมหาวทยาลย

สารบญ

บทสรปผบรหาร………………………………………………….….………… 1

บทนำา…………………………………………………………………………… 3

บทท 1 ประเภทของการใชบรการ ดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก........…......….. 7

บทท 2 วงจรการใชบรการดานเทคโนโลยสารสนเทศจากหนวยงาน ภายนอก: การพจารณาความเสยงและการควบคม………........... 15

บทท 3 การใหบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก: การพจารณาความเสยงและการควบคม….......……….....…….… 37

ผเขยนและผอานทบทวน……………….………………………………..…... 65

ภาคผนวก A แผนการตรวจสอบวงจรการใชบรการ ดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก….......... 67

ภาคผนวก B แผนการตรวจสอบการใหบรการ ดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก….......… 73

หนา

1

จดประสงคของแนวทางการตรวจสอบเทคโนโลยในระดบสากล “การใชบรการ

ดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก (IT Outsourcing: ITO)” กเพอชวยให

หวหนาผบรหารงานตรวจสอบภายใน (Chief Audit Executive: CAE) และทมผตรวจสอบ

กำาหนดขอบเขตของการมสวนรวมของผตรวจสอบภายใน เมอหนวยงานขององคกรม

การใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอกเปนบางสวนหรอทงหมด

แนวทางฉบบนใหขอมลเกยวกบประเภทและวงจรของการใชบรการดานเทคโนโลย

สารสนเทศจากหนวยงานภายนอก และผตรวจสอบภายในจะวางแนวทางเพอเผชญกบ

ความเสยงทสมพนธกบการใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก

อยางไร

การใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก คอ การจดจาง

หนวยงานภายนอกเพอทำางานดานเทคโนโลยสารสนเทศ ซงเคยดำาเนนการโดยหนวยงาน

ภายในมากอน ดวยแรงกระตนดานเศรษฐกจ ทำาใหมองคกรจำานวนมากขนใชบรการจาก

หนวยงานภายนอกในกระบวนการดานเทคโนโลยสารสนเทศบางสวนเพอมงเนนธรกจหลก

ในสภาพแวดลอมขององคกรภาครฐ มการใชบรการดานเทคโนโลยสารสนเทศจากองคกร

บทสรปผบรหาร

2

บทสรปผบรหาร

ภาครฐทใหบรการรวมแกหนวยงานภาครฐตางๆ บางองคกรใชบรการดานเทคโนโลย

สารสนเทศจากผใหบรการภายนอกเพยงรายเดยว บางองคกรกใชบรการจากหลายราย

นนคอ การสรางและการผสมผสานของธรกจและบรการดานเทคโนโลยสารสนเทศทผให

บรการภายในและภายนอกสามารถรวมงานกนอยางลงตว การใชบรการจากผใหบรการ

หลายรายจะเพมความซบซอนขน

ประเดนสำาคญทผตรวจสอบภายในควรพจารณาหาคำาตอบใหไดในระหวางการ

ตรวจสอบกจกรรมการใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก ไดแก

กจกรรมการควบคมเทคโนโลยสารสนเทศทมการใชบรการจากหนวยงาน

ภายนอกมความสอดคลองกบกระบวนการทางธรกจอยางไร

ผตรวจสอบภายในมสวนรวมอยางเหมาะสมในขนตอนสำาคญของวงจรการใช

บรการจากหนวยงานภายนอกหรอไม

ผตรวจสอบภายในมความรและประสบการณดานเทคโนโลยสารสนเทศ

เพยงพอทจะพจารณาความเสยงและใหขอมลทถกตองเหมาะสมหรอไม

ถากจกรรมการควบคมดานเทคโนโลยสารสนเทศถกถายโอนไปอยกบ

ผใหบรการภายนอก ผใหบรการดงกลาวเขาใจบทบาทและความคาดหวงของ

ผมสวนไดเสยดานการตรวจสอบภายในหรอไม ผตรวจสอบภายในสามารถ

เหนถงความเสยงดานเทคโนโลยสารสนเทศและใหขอเสนอแนะสำาหรบ

กระบวนการตางๆ ทไดถายโอนไปหรอไม

ทมผตรวจสอบภายในมบทบาทอะไรในการตอรองใหม การเลก และการตอ

สญญาการใชบรการจากหนวยงานภายนอก

3

องคกรอาจใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอกดวย

เหตผลหลายประการ ซงรวมทงความเชยวชาญ การปรบโครงสรางตนทน การบรหารขด

ความสามารถ และการบรหารความเสยง อยางไรกตาม ผบรหารของหนวยงานผใชงาน

ยงคงตองรบผดชอบในกจกรรมการควบคมและผลการปฏบตงาน

บอยครงทกระบวนการหลกดานการเงนและการปฏบตการตองพงพาเทคโนโลย

ทองคกรใชบรการจากหนวยงานภายนอก เมอมการใชบรการจากหนวยงานภายนอกใน

กระบวนการดานเทคโนโลยสารสนเทศ เชน การรกษาความมนคงปลอดภย การบรหาร

การเปลยนแปลง และการปฏบตงานทสนบสนนกระบวนการทางธรกจหลก ผตรวจสอบ

ภายในอาจตองพจารณาผลกระทบตอกจกรรมการควบคมตางๆ ซงหนวยงานผใหบรการ

ภายนอกจะแสดงใหหนวยงานผใชงานเหนวามการดำาเนนการควบคมอยางตอเนองได

อยางไร ทงนเทคโนโลยเชนการประมวลผลแบบกลมเมฆ (cloud computing) จะชวยให

หนวยงานผใชงานบรรลกลยทธทกำาหนดไว แตอาจจำากดการแสดงใหเหนถงประสทธผล

ของกจกรรมการควบคมได

บทนำา

4

บทนำา

กจกรรมการตรวจสอบภายในอาจจำาเปนตองประเมนความเพยงพอและประสทธผล

ของการควบคมดานเทคโนโลยสารสนเทศซงดำาเนนการโดยผใหบรการภายนอก ทงน ขนอย

กบลกษณะของกระบวนการทใชบรการจากหนวยงานภายนอก โดยดำาเนนการตามมาตรฐาน

ปฏบตงาน Standard 2130. A1: Control ดงนน เพอใหเกดความเชอมน จำาเปนตองพจารณา

วา มการควบคมภายในอยางเพยงพอหรอไมในการประมวลผลซงดำาเนนการโดยผใหบรการ

ภายนอก เพราะการควบคมทวไปดานเทคโนโลยสารสนเทศเปนสวนหนงของการประเมน

ความเสยงเกยวกบความนาเชอถอของขอมล การปฏบตงาน และการปฏบตตามกฎระเบยบ

ขอบงคบ

ความซบซอนของหนาทงานดานเทคโนโลยสารสนเทศ การเปลยนแปลงของ

เทคโนโลย และความเชยวชาญ จะผลกดนให CAE ของหนวยงานผใชงานตองประเมน

ความเสยงตอธรกจและประสทธผลของการดำาเนนกจกรรมการควบคมซงดำาเนนการโดย

ผใหบรการภายนอก

การมสวนรวมของผตรวจสอบภายในจะแตกตางกน โดยขนอยกบ

1. ขดความสามารถของผบรหารและโครงสรางการกำากบดแลทใชจดการกบ

ความเสยงของธรกจและเทคโนโลยสารสนเทศ

2. ประสบการณของผบรหารในการใชบรการจากหนวยงานภายนอกสำาหรบ

กจกรรมทซบซอนและในการบรหารโครงการขนาดใหญ

3. การมสวนรวมของหนวยงานอนๆ เชน ฝายบรหารความเสยง กลมงานดาน

การปฏบตตามกฎระเบยบ (compliance groups) หรอหนวยงานตรวจสอบภายในอนๆ

4. ลกษณะโดยทวไปของกจกรรมการควบคมทดำาเนนการโดยผใหบรการดาน

เทคโนโลยสารสนเทศ

5. ความคาดหวงของผมสวนไดเสยหลกจากการตรวจสอบภายใน

แนวทางนจะ

ใหเคาโครงเกยวกบความเสยงทวไปของการใชบรการดานเทคโนโลยสารสนเทศ

จากหนวยงานภายนอก เพอให CAE พจารณาและกำาหนดกลไกในการให

ความเชอมน

5

ใหแนวทางแกผตรวจสอบภายในเกยวกบประเภทของการใชบรการดาน

เทคโนโลยสารสนเทศจากหนวยงานภายนอกทอาจพบไดบอยทสด และ

อธบายวงจรทมกใชในการพจารณาการใชบรการดานเทคโนโลยสารสนเทศ

จากหนวยงานภายนอก ซงประกอบดวย 7 ขนตอน ดงน

1. การสอดรบกนกบกลยทธและการประเมนการจดหา

(Strategic fit and sourcing evaluation)

2. กระบวนการตดสนใจและเหตผลทางธรกจ

(Decision-making process and business case)

3. กระบวนการประกาศประกวดราคาและการทำาสญญา

(Tender process and contracting)

4. การนำาไปใชและการถายโอน

(Implementation and transition)

5. การตดตามดแลและการรายงานผล

(Monitoring and reporting)

6. การตอรองใหม

(Renegotiation)

7. การเปลยนกลบคน

(Reversibility)

ใหแนวทางแกหนวยงานผใชงานเกยวกบการพจารณาความเสยงและการ

ควบคมเมอตองตดสนใจใชบรการดานเทคโนโลยสารสนเทศจากผใหบรการ

ภายนอก

ใหแนวทางแกผใหบรการภายนอกเกยวกบการพจารณาความเสยงและการ

ควบคมในสวนทเกยวกบกระบวนการการใหบรการดานเทคโนโลยสารสนเทศ

ภาคผนวกจะกลาวถงแผนการตรวจสอบวงจรการใชบรการดานเทคโนโลย

สารสนเทศจากหนวยงานภายนอกและการใหบรการดานเทคโนโลยสารสนเทศของ

หนวยงานภายนอก

6

บทนำา

แนวทางฉบบนจะระบถงความเสยงและกระบวนการของการใชบรการดาน

เทคโนโลยสารสนเทศจากหนวยงานภายนอก ในขณะทธรกจตองพงพากน และยงม

ความสมพนธกบธรกจภายนอกและธรกจทมการตอเชอมขยายตวออกไป (“external”

and “extended” business relationships) ผตรวจสอบภายในอาจจะใชประโยชนจาก

แนวปฏบต “การตรวจสอบความสมพนธกบธรกจภายนอก” (Practice Guide, Auditing

External Business Relationships)

มาตรฐานการปฏบตงาน

2130 - Control กจกรรมการตรวจสอบภายในตองชวยใหองคกรดำารงไวซงการควบคมทม

ประสทธผล โดยการประเมนประสทธผลและประสทธภาพของการควบคมและโดยการ

สงเสรมใหมการปรบปรงการควบคมอยางตอเนอง

2130. A1 กจกรรมการตรวจสอบภายในตองประเมนความเพยงพอและประสทธผลของการ

ควบคมเพอสนองตอบตอความเสยงในการกำากบดแล การดำาเนนงานและระบบสารสนเทศ

ขององคกรเกยวกบ

ความนาเชอถอและความถกตองครบถวนของขอมลสารสนเทศดานการเงน

และการดำาเนนงาน

ประสทธผลและประสทธภาพการดำาเนนงานและแผนงาน

การปกปองคมครองสนทรพย

การปฏบตตามกฎหมาย กฎระเบยบ นโยบาย ขนตอนการปฏบตงาน

และสญญา

7

การใชบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอกไดเปลยน

จากการใชบรการในรปแบบดงเดม เชน การพฒนาระบบงานและกจกรรมของศนยให

ความชวยเหลอดานเทคโนโลยสารสนเทศ (IT help desk) ไปสการใหบรการในระดบ

สง เชน การพฒนาผลตภณฑ การวจยและพฒนาเฉพาะทาง และการสนบสนนงาน

ดานคอมพวเตอรแบบกระจายศนย ซงองคกรตางๆ ไดมการใชบรการดานเทคโนโลย

สารสนเทศจากหนวยงานภายนอกอยางตอเนอง เนองจากมเทคโนโลยใหมๆ เกดขน

ในบางครง คำาวา “การใชบรการจากหนวยงานภายนอก (outsourcing)” กสบสน

กบคำาวา “การดำาเนนการในตางประเทศ (off-shoring)” ซงความแตกตางคอ

บทท 1ประเภทของการใชบรการดานเทคโนโลยสารสนเทศ

จากหนวยงานภายนอก

8

บทท 1 ประเภทของการใชบรการดานเทคโนโลยสารสนเทศ

จากหนวยงานภายนอก

การใชบรการจากหนวยงานภายนอก (outsourcing) คอ การทำาสญญากบ

หนวยงานผใหบรการภายนอกเกยวกบการปฏบตงานทางธรกจเฉพาะอยางหรองานท

เกยวของกบความรเฉพาะทาง

การดำาเนนการในตางประเทศ (off-shoring) คอ การโยกยายกจกรรมทเคย

ดำาเนนการภายในประเทศไปยงตางประเทศ

ขอบเขตของแนวทางฉบบนจะเกยวของกบการใชบรการดานเทคโนโลย

สารสนเทศจากหนวยงานภายนอก ไมวาจะอยในประเทศหรอตางประเทศ อยางไรกตาม

ในการจดทำาเหตผลทางธรกจทจะใชบรการจากภายนอก ควรพจารณาความเสยงของ

ผใหบรการในประเทศเปรยบเทยบกบผใหบรการในตางประเทศ แนวทางฉบบนไม

สามารถประยกตใชไดกบกจกรรมการดำาเนนการในตางประเทศ (off-shoring) แมวาการ

พจารณาในหลายประเดนอาจคลายคลงกน

การบรการดานเทคโนโลยสารสนเทศทวๆ ไปจะรวมถง:

การพฒนาและบำารงรกษาระบบงาน (application development and maintenance)

การบรหารโครงสรางพนฐาน (infrastructure management)

ศนยบรการใหความชวยเหลอ (help desk)

การทดสอบและการตรวจสอบความถกตองสมเหตสมผลโดยอสระ (independent

testing and validation)

การบรหารศนยคอมพวเตอร (data center management)

การบรณาการระบบ (systems integration)

การวจยและพฒนา (R&D)

การบรหารการรกษาความมนคงปลอดภย (managed security)

การประมวลผลแบบกลมเมฆ (cloud computing)

อยางไรกด ผใหบรการภายนอกและหนวยงานผใชงานอาจเรยกชอประเภทของ

กจกรรมการใชบรการจากหนวยงานภายนอกแตกตางกน นอกจากน หนวยงานผใชงาน

อาจใชบรการจากหนวยงานภายนอกเพยงบรการเดยวหรอมากกวานน จากผใหบรการ

หลายรายกได