1. จัดทำแผนการตรวจสอบในรายละเอียด (Audit Plan) โดยกำหนดวัตถุประสงค์ ขอบเขตการตรวจสอบ แผนงาน ขั้นตอนรายละเอียดการดำเนินงาน ซึ่งครอบคลุม 3 งานตรวจสอบหลักสำหรับระบบงาน ดังต่อไปนี้
 

งานตรวจสอบการควบคุมทั่วไปเทคโนโลยีสารสนเทศ (ITGCs) อ้างอิงการควบคุมหลัก (Key controls) ตามประกาศของ กลต. ที่ สธ. 38/2565 หรือ คปภ. หรือ ธปท. และตามมาตรฐาน ISO/IEC 27001: 2022 Cloud Control Matrix (CCM) PDPA และ ISO 27701 ทั้งนี้ จะครอบคลุมถึงการกำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กร ได้แก่

• การจัดทำแผนกลยุทธ์และงบประมาณ

• การบริหารและจัดการความเสี่ยง

• การวัดผลและการประเมินผลการปฏิบัติงาน และ

• การรายงานการปฏิบัติตามนโยบายที่เกี่ยวข้อง

 

งานตรวจสอบการควบคุมเฉพาะระบบงาน (IT Application Controls) โดยจะดำเนินการตรวจสอบเฉพาะการควบคุมที่ถูกออกแบบไว้ในโปรแกรมระบบงาน

และมีการควบคุมโดยอัตโนมัติ (Automated Controls) เพื่อให้มั่นใจว่าระบบมีการควบคุมอย่างเพียงพอ ถูกต้อง และเชื่อถือได้ ได้แก่

• การควบคุมสิทธิการเข้าถึง (Logical Access Controls)

• กฎเกณฑ์ของระบบกระแสงานอัตโนมัติ (Automated Work Flow Rules) เช่น PR/PO approval workflow

• การตรวจสอบยืนยันตามค่าที่กำหนดไว้ (Field entries being enforced based on predefined values) เช่น การตรวจเช็คระดับวงเงินสินเชื่อโดยอัตโนมัติ การกำหนดค่าการลงบัญชีแบบอัตโนมัติ และการกำหนดค่าตรวจขาดหรือเกิน (Tolerance Limit) ของผลต่างของราคาและปริมาณสำหรับการตั้งหนี้ในระบบ (3-way match) เป็นต้น

• การคำนวณ (Automated calculations) เช่น การคำนวณราคาขาย การคำนวณต้นทุนของวัตถุดิบและสินค้า

 

งานตรวจสอบด้านการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Audit) เพื่อให้มั่นใจว่า องค์กรมีมาตรการคุ้มครองข้อมูลส่วนบุคคลทางด้าน      เทคโนโลยีสารสนเทศที่เพียงพอและเหมาะสม เพื่อป้องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือผิดวัตถุประสงค์ และให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยครอบคลุมในหัวข้อ ดังต่อไปนี้

• การจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy) และการแจ้งข้อมูลการประมวลผลข้อมูล (Privacy Notice)

• การจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

• การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล

• การบริหารจัดการในการขอและถอนความยินยอม (รวมถึง Cookie Consent)

• การบริหารจัดการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล

• การลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม

• การบริหารจัดการเหตุการละเมิดข้อมูลส่วนบุคคล

• การจัดทำข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูล (Data Processing Agreement)
   

2. ดำเนินการตรวจสอบงานด้านเทคโนโลยีสารสนเทศตามขอบเขตการตรวจสอบในข้อ 1 ซึ่งครอบคลุมงานตรวจสอบการควบคุมทั่วไปเทคโนโลยีสารสนเทศ งานตรวจสอบการควบคุมเฉพาะระบบงาน และงานตรวจสอบด้านการคุ้มครองข้อมูลส่วนบุคคล

​

3. ประชุมหารือปิดการตรวจและสรุปผลการตรวจสอบกับเจ้าหน้าที่และฝ่ายบริหารขององค์กรเพื่อยืนยันในความถูกต้องของประเด็นที่ตรวจพบและหาแนวทางในการแก้ไข พร้อมจัดทำร่างรายงานผลการตรวจสอบ (Draft Audit Report) ที่แสดงข้อตรวจพบ คำชี้แจงของผู้บริหารที่เกี่ยวข้องขององค์กร ความเสี่ยง ผลกระทบ และข้อเสนอแนะในการปรับปรุงแก้ไขที่ชัดเจนและสามารถนำไปปฏิบัติได้ให้กับผู้บริหารขององค์กรทราบ

​

4. จัดทำรายงานผลการตรวจสอบฉบับสมบูรณ์ (Final Audit Report) พร้อมการนำเสนอรายงานดังกล่าวให้คณะกรรมการตรวจสอบทราบ รวมทั้งการให้คำปรึกษา ตอบปัญหา ข้อหารือต่าง ๆ ของคณะกรรมการตรวจสอบ เพื่อการปรับปรุงซึ่งเป็นประโยชน์ต่อการปฏิบัติงานขององค์กร