Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

IT Audit กลไกสำคัญในการบริหารงานของสำนักวิชาการบัญชีและการเงินในยุคดิจิทัล

ปัจจุบันเทคโนโลยีสารสนเทศเข้ามาเป็นส่วนหนึ่งของการทำงานในหลายองค์กร ตั้งแต่การติดต่อสื่อสาร การจัดเก็บเอกสาร การบริหารงบประมาณ ไปจนถึงการนำข้อมูลมาใช้ประกอบการตัดสินใจ สำหรับหน่วยงาน เทคโนโลยียังถูกนำมาใช้ในการรับสมัครนักศึกษา การลงทะเบียนเรียน การจัดตารางเรียน การบันทึกผลการศึกษา การบริหารหลักสูตร และการประกันคุณภาพการศึกษา

แม้ระบบดิจิทัลจะช่วยให้การทำงานสะดวกและรวดเร็วขึ้น แต่ก็มีความเสี่ยงตามมา เช่น ข้อมูลสูญหาย ข้อมูลรั่วไหล บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลได้ หรือระบบไม่สามารถใช้งานได้ในช่วงเวลาสำคัญ ด้วยเหตุนี้ การตรวจสอบเทคโนโลยีสารสนเทศ หรือ Information Technology Audit: IT Audit จึงมีบทบาทสำคัญต่อการบริหารจัดการองค์กรในปัจจุบัน

IT Audit คืออะไร

IT Audit คือ การตรวจสอบและประเมินว่าองค์กรมีการใช้เทคโนโลยี ระบบสารสนเทศ และข้อมูลอย่างเหมาะสมหรือไม่ โดยพิจารณาทั้งด้านความถูกต้อง ความปลอดภัย ความพร้อมใช้งาน และประสิทธิภาพของระบบ

การตรวจสอบไม่ได้จำกัดอยู่เพียงเครื่องคอมพิวเตอร์ โปรแกรม หรือระบบเครือข่ายเท่านั้น แต่ยังครอบคลุมถึงบุคลากร วิธีการทำงาน การกำหนดสิทธิ์เข้าถึงข้อมูล การสำรองข้อมูล การรักษารหัสผ่าน และการรับมือเมื่อเกิดเหตุการณ์ผิดปกติ

กล่าวอย่างง่าย IT Audit คือ การตรวจสอบว่า

  • ระบบที่องค์กรใช้งานมีความปลอดภัยหรือไม่
  • ข้อมูลในระบบมีความถูกต้องและเชื่อถือได้หรือไม่
  • บุคลากรเข้าถึงเฉพาะข้อมูลที่เกี่ยวข้องกับหน้าที่หรือไม่
  • หากข้อมูลสูญหายหรือระบบขัดข้อง องค์กรสามารถกลับมาทำงานได้หรือไม่
  • การใช้และเปิดเผยข้อมูลเป็นไปตามกฎหมายหรือระเบียบที่เกี่ยวข้องหรือไม่

กรอบการตรวจสอบเทคโนโลยีสารสนเทศ หรือ Information Technology Audit Framework: ITAF ของ ISACA กำหนดมาตรฐานเกี่ยวกับบทบาท ความรับผิดชอบ ความรู้ และแนวทางในการวางแผน ปฏิบัติงาน และรายงานผลการตรวจสอบด้านเทคโนโลยีสารสนเทศ (ISACA, 2026)

ทำไม IT Audit จึงสำคัญต่อการบริหารองค์กร

ประการแรก IT Audit ช่วยให้องค์กรมั่นใจได้ว่าข้อมูลที่นำมาใช้นั้นมีความถูกต้องและเป็นปัจจุบัน เพราะหากข้อมูลผิดพลาด อาจส่งผลต่อการวางแผน การบริหารงบประมาณ และการตัดสินใจของผู้บริหาร

ประการที่สอง IT Audit ช่วยลดความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ เช่น การขโมยรหัสผ่าน การหลอกลวงผ่านอีเมล การเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือการโจมตีที่ทำให้ระบบไม่สามารถใช้งานได้

กรอบ NIST Cybersecurity Framework 2.0 เสนอแนวทางการบริหารความเสี่ยงทางไซเบอร์ผ่านหน้าที่สำคัญ 6 ด้าน ได้แก่ การกำกับดูแล การระบุความเสี่ยง การป้องกัน การตรวจจับ การตอบสนอง และการกู้คืน หรือ Govern, Identify, Protect, Detect, Respond และ Recover (National Institute of Standards and Technology [NIST], 2024)

ประการที่สาม IT Audit ช่วยส่งเสริมให้หน่วยงานมีระบบควบคุมภายในที่เหมาะสม เช่น การแยกหน้าที่ระหว่างผู้จัดทำและผู้อนุมัติรายการ การจำกัดสิทธิ์เข้าถึงข้อมูล และการจัดเก็บหลักฐานเพื่อให้สามารถตรวจสอบย้อนหลังได้

IT Audit กับการบริหารงานของสำนักวิชาการบัญชีและการเงิน

สำนักวิชาการบัญชีและการเงินมีการจัดเก็บและใช้งานข้อมูลหลายประเภท เช่น ข้อมูลนักศึกษา ข้อมูลอาจารย์ ผลการศึกษา ข้อมูลหลักสูตร งบประมาณ เอกสารโครงการ และข้อมูลการประกันคุณภาพการศึกษา ข้อมูลเหล่านี้ถูกจัดเก็บอยู่ใน ระบบจัดเก็บเอกสารออนไลน์ หรือไฟล์ที่ใช้ร่วมกันภายในหน่วยงาน

การนำแนวคิด IT Audit มาใช้กับการบริหารงานของสำนักวิชาการบัญชีและการเงิน จึงหมายถึง การตรวจสอบว่าหน่วยงานมีวิธีจัดการข้อมูลและระบบสารสนเทศอย่างเหมาะสมหรือไม่ เช่น มีผู้รับผิดชอบข้อมูลที่ชัดเจน กำหนดสิทธิ์ให้เฉพาะผู้ที่เกี่ยวข้องเข้าถึงข้อมูล มีการสำรองไฟล์สำคัญ และสามารถตรวจสอบได้ว่าใครเป็นผู้เพิ่ม แก้ไข หรือลบข้อมูล

ตัวอย่างเช่น หากสำนักวิชาจัดเก็บข้อมูลงบประมาณการเงิน ควรกำหนดให้ผู้รับผิดชอบสามารถแก้ไขข้อมูลได้ ส่วนผู้ที่มีหน้าที่เพียงตรวจสอบข้อมูลอาจได้รับสิทธิ์ให้เปิดดูได้เท่านั้น ไม่ควรเปิดให้บุคลากรทุกคนหรือบุคคลทั่วไปสามารถแก้ไขไฟล์ได้

ตัวอย่างเช่น หากสำนักวิชาการบัญชีและการเงินต้องเผยแพร่งบการเงินหรือรายงานข้อมูลทางการเงิน ควรเปิดเผยเฉพาะข้อมูลที่จำเป็นและเกี่ยวข้องกับวัตถุประสงค์ของการเผยแพร่ พร้อมตรวจสอบและปกปิดข้อมูลส่วนบุคคลที่อาจปรากฏอยู่ในเอกสาร เช่น เลขประจำตัวประชาชน หมายเลขโทรศัพท์ เลขที่บัญชีธนาคาร หรือลายมือชื่อของผู้เกี่ยวข้อง เพื่อลดความเสี่ยงจากการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาต

ความเสี่ยงที่อาจเกิดขึ้นภายในหน่วยงาน

ความเสี่ยงด้านเทคโนโลยีสารสนเทศไม่ได้เกิดจากการโจมตีทางไซเบอร์เพียงอย่างเดียว แต่อาจเกิดจากวิธีการทำงานภายในหน่วยงานด้วย ตัวอย่างเช่น

  • การใช้บัญชีผู้ใช้งานหรือรหัสผ่านร่วมกันหลายคน
  • การเปิดสิทธิ์ให้บุคลากรเข้าถึงข้อมูลเกินความจำเป็น
  • การเก็บข้อมูลชุดเดียวกันไว้หลายไฟล์จนไม่ทราบว่าไฟล์ใดเป็นฉบับล่าสุด
  • การส่งข้อมูลส่วนบุคคลผ่านช่องทางที่ไม่เหมาะสม
  • การไม่มีระบบสำรองข้อมูลหรือไม่เคยทดสอบการกู้คืนข้อมูล
  • การพึ่งพาบุคลากรเพียงคนเดียวในการดูแลระบบหรือข้อมูลสำคัญ
  • การไม่ยกเลิกสิทธิ์เข้าถึงข้อมูลเมื่อบุคลากรย้ายงานหรือสิ้นสุดหน้าที่
  • การแก้ไขหรือลบข้อมูลโดยไม่สามารถตรวจสอบได้ว่าใครเป็นผู้ดำเนินการ

หากไม่มีการควบคุมที่เหมาะสม ความเสี่ยงเหล่านี้อาจทำให้ข้อมูลผิดพลาด สูญหาย รั่วไหล หรือส่งผลให้การดำเนินงานของหน่วยงานหยุดชะงักได้

สำนักวิชาการบัญชีและการเงินควรเริ่มต้นอย่างไร

การนำแนวคิด IT Audit มาใช้ไม่จำเป็นต้องเริ่มจากการจัดซื้อระบบใหม่หรือใช้เทคโนโลยีที่ซับซ้อน หน่วยงานสามารถเริ่มต้นจากการปรับปรุงวิธีการทำงานพื้นฐานได้ ดังนี้

1. สำรวจข้อมูลและระบบที่ใช้งาน

หน่วยงานควรทราบว่ามีข้อมูลสำคัญประเภทใดบ้าง ข้อมูลนั้นจัดเก็บไว้ที่ใด และใครเป็นผู้รับผิดชอบ เช่น ข้อมูลนักศึกษา เอกสารหลักสูตร เอกสารงบประมาณ และข้อมูลโครงการ

2. กำหนดสิทธิ์ตามหน้าที่

บุคลากรควรเข้าถึงเฉพาะข้อมูลที่จำเป็นต่อการปฏิบัติงาน ไม่ควรกำหนดให้ทุกคนสามารถดูหรือแก้ไขข้อมูลทุกประเภทได้

3. หลีกเลี่ยงการใช้รหัสผ่านร่วมกัน

บุคลากรแต่ละคนควรใช้บัญชีผู้ใช้งานของตนเอง เพื่อให้สามารถตรวจสอบได้ว่าใครเป็นผู้ดำเนินการในระบบ และควรเปิดใช้การยืนยันตัวตนมากกว่าหนึ่งขั้นตอนในระบบที่รองรับ

4. จัดเก็บและสำรองข้อมูลอย่างเป็นระบบ

หน่วยงานควรกำหนดพื้นที่จัดเก็บเอกสารหลัก ลดการจัดเก็บไฟล์ซ้ำซ้อน และสำรองข้อมูลสำคัญอย่างสม่ำเสมอ นอกจากนี้ ควรทดสอบด้วยว่าสามารถนำข้อมูลที่สำรองไว้กลับมาใช้งานได้จริง

5. จัดทำคู่มือการปฏิบัติงาน

งานที่เกี่ยวข้องกับระบบหรือข้อมูลสำคัญไม่ควรขึ้นอยู่กับความรู้ของบุคคลเพียงคนเดียว ควรมีขั้นตอนการปฏิบัติงานที่ชัดเจน เพื่อให้บุคลากรคนอื่นสามารถปฏิบัติงานแทนได้เมื่อจำเป็น

6. สร้างความรู้ความเข้าใจแก่บุคลากร

บุคลากรควรได้รับความรู้เกี่ยวกับการตั้งรหัสผ่าน การตรวจสอบอีเมลหรือข้อความหลอกลวง การจัดการข้อมูลส่วนบุคคล และวิธีแจ้งเหตุเมื่อพบความผิดปกติ

แนวทางดังกล่าวสอดคล้องกับ ISO/IEC 27001:2022 ซึ่งเป็นมาตรฐานสำหรับระบบบริหารความมั่นคงปลอดภัยสารสนเทศ โดยมุ่งให้องค์กรสามารถระบุ ประเมิน และบริหารความเสี่ยงด้านข้อมูลได้อย่างเป็นระบบ (International Organization for Standardization [ISO], 2022)

IT Audit กับการคุ้มครองข้อมูลส่วนบุคคล

สำนักวิชาการบัญชีและการเงินมีการจัดเก็บข้อมูลส่วนบุคคลของนักศึกษา อาจารย์ บุคลากร และผู้เข้าร่วมกิจกรรม จึงต้องให้ความสำคัญกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

การจัดการข้อมูลส่วนบุคคลไม่ใช่เพียงการขอความยินยอมเท่านั้น แต่ยังรวมถึงการเก็บข้อมูลเท่าที่จำเป็น การกำหนดผู้มีสิทธิ์เข้าถึง การใช้ข้อมูลตามวัตถุประสงค์ และการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

ตัวอย่างเช่น แบบฟอร์มลงทะเบียนกิจกรรมควรเก็บเฉพาะข้อมูลที่จำเป็นต่อการดำเนินงาน เมื่อสิ้นสุดกิจกรรมแล้วควรพิจารณาว่ายังจำเป็นต้องจัดเก็บข้อมูลดังกล่าวต่อไปหรือไม่ และหากต้องเผยแพร่รายชื่อผู้เข้าร่วม ก็ควรเปิดเผยเฉพาะข้อมูลที่จำเป็น

IT Audit ไม่ใช่การจับผิด

หลายคนอาจมองว่าการตรวจสอบเป็นกระบวนการค้นหาความผิดของผู้ปฏิบัติงาน แต่จุดมุ่งหมายที่แท้จริงของ IT Audit คือ การค้นหาความเสี่ยงและช่วยปรับปรุงกระบวนการทำงานให้ปลอดภัยและมีประสิทธิภาพมากขึ้น

ผลการตรวจสอบช่วยให้ผู้บริหารทราบว่าระบบใดมีจุดอ่อน ข้อมูลประเภทใดต้องได้รับการดูแลเป็นพิเศษ และควรปรับปรุงกระบวนการใดก่อน การตรวจสอบจึงเป็นทั้งเครื่องมือควบคุมความเสี่ยงและเครื่องมือสนับสนุนการพัฒนาองค์กร

นอกจากนี้ ความปลอดภัยของข้อมูลไม่ใช่หน้าที่ของฝ่ายเทคโนโลยีสารสนเทศเพียงฝ่ายเดียว แต่เป็นความรับผิดชอบร่วมกันของบุคลากรทุกคน เพราะแม้องค์กรจะมีระบบที่ทันสมัยเพียงใด หากผู้ใช้งานเปิดเผยรหัสผ่าน ส่งข้อมูลผิดคน หรือกดลิงก์หลอกลวง ความเสียหายก็ยังสามารถเกิดขึ้นได้

บทสรุป

IT Audit เป็นกลไกสำคัญในการบริหารงานของสำนักวิชาการบัญชีและการเงิน เพราะช่วยสร้างความเชื่อมั่นว่าระบบและข้อมูลของหน่วยงานมีความถูกต้อง ปลอดภัย และพร้อมใช้งาน ช่วยลดความเสี่ยงจากข้อมูลสูญหาย ข้อมูลรั่วไหล และความผิดพลาดในการปฏิบัติงาน

การนำแนวคิด IT Audit มาใช้ไม่จำเป็นต้องเริ่มต้นจากเรื่องที่ซับซ้อน แต่สามารถเริ่มได้จากการสำรวจข้อมูล กำหนดผู้รับผิดชอบ ทบทวนสิทธิ์ผู้ใช้งาน สำรองข้อมูล และจัดทำขั้นตอนการทำงานให้ชัดเจน

เมื่อหน่วยงานมีการจัดการข้อมูลและระบบสารสนเทศที่ดี ย่อมช่วยให้การปฏิบัติงานมีความรัดกุม โปร่งใส ตรวจสอบได้ และสามารถให้บริการแก่นักศึกษา อาจารย์ บุคลากร และผู้มีส่วนเกี่ยวข้องได้อย่างมีประสิทธิภาพ

ท้ายที่สุด IT Audit จึงไม่ใช่เพียงการตรวจสอบว่าระบบคอมพิวเตอร์สามารถทำงานได้หรือไม่ แต่เป็นการตรวจสอบว่าเทคโนโลยีและข้อมูลที่หน่วยงานใช้อยู่นั้น สามารถสนับสนุนการบริหารงานให้บรรลุเป้าหมายได้อย่างปลอดภัยและน่าเชื่อถือเพียงใด

เอกสารอ้างอิง

International Organization for Standardization. (2022). ISO/IEC 27001:2022 information security, cybersecurity and privacy protection—Information security management systems—Requirements. ISO.

ISACA. (2026). Information Technology Audit Framework: ITAF (5th ed.). ISACA.

National Institute of Standards and Technology. (2024). The NIST Cybersecurity Framework (CSF) 2.0. U.S. Department of Commerce.

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562. (2562, 27 พฤษภาคม). ราชกิจจานุเบกษา, 136(ตอนที่ 69 ก), 52–95.

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565. (2565, 20 มิถุนายน). ราชกิจจานุเบกษา, 139(ตอนพิเศษ 140 ง), 28–31.

Facebook Comments Box
Picture of ณัฏวัตร สุวรรณพันธ์

ณัฏวัตร สุวรรณพันธ์