ต่อไป »

[darkas]

อยากจะสอบถามนะครับ

พอดีกำลังสนใจอยากจะทำงานด้านนี้  เลยอยากจะหาข้อมูลไว้ก่อน
 

[xfiles]

ทำสายนี้ต้องฝึกตัวเองให้เป็นคนคิดมากก่อน 

[darkas]

ทำสายนี้ต้องฝึกตัวเองให้เป็นคนคิดมากก่อน 

คิดมากยังไงครับ


จากที่อ่านๆดู จะต้องรู้เรื่อง it ทั้งหมด แต่ไม่ต้องถึงขั้นลงมือทำจริง แต่เน้นงานเอกสารใช่ไหมครับ

[eable]

ควรมีความรู้ด้าน network & security แน่น ๆ ครับ
และจะต้องรู้่เรื่อง IT ทั้งหมดด้วยเป็นองค์ประกอบ

ผมเคยทำ แต่ไม่ชอบ เนื่องจากมาตรฐานการตรวจสอบบางครั้งมันเข้มเกินไป ทำให้ลำบากใจในการตั้งคำถาม
เช่นลูกค้าเป็นบริษัทไม่ใหญ่มาก ใช้โปรแกรมบัญชีสำเร็จรูปเล็ก ๆ แต่ auditor จะให้มี transaction log แบบทุกขั้นตอน แบบนี้เป็นต้น
ซึ่งการจะให้มีแบบที่ว่า มันต้องใช้เงินทุนสูง บางครั้งบริษัทก็ไม่ยินดีที่จะลงทุน อะไรเทือกนี้ ... มีอีกเยอะที่ไม่ชอบ

[kazama]

สายนี้ก้ำกึ่งระหว่างบัญชีกับ it

คนที่มีคุณสมบัติของนักบัญชีกับมีความรู้ด้าน it จะทำงานได้ดี
แต่ความรู้เรื่อง it น่าจะเฉพาะไปในส่วน security กับพวก Management Information System (MIS)
และความรู้เรื่อง ERP น่าจะโอเค

[darkas]

ควรมีความรู้ด้าน network & security แน่น ๆ ครับ
และจะต้องรู้่เรื่อง IT ทั้งหมดด้วยเป็นองค์ประกอบ

ผมเคยทำ แต่ไม่ชอบ เนื่องจากมาตรฐานการตรวจสอบบางครั้งมันเข้มเกินไป ทำให้ลำบากใจในการตั้งคำถาม
เช่นลูกค้าเป็นบริษัทไม่ใหญ่มาก ใช้โปรแกรมบัญชีสำเร็จรูปเล็ก ๆ แต่ auditor จะให้มี transaction log แบบทุกขั้นตอน แบบนี้เป็นต้น
ซึ่งการจะให้มีแบบที่ว่า มันต้องใช้เงินทุนสูง บางครั้งบริษัทก็ไม่ยินดีที่จะลงทุน อะไรเทือกนี้ ... มีอีกเยอะที่ไม่ชอบ

ทำไมอ่านแล้ว it audit เหมือนกับถูก admin ต่างๆเหม็นหน้าเอา

สายนี้ก้ำกึ่งระหว่างบัญชีกับ it

คนที่มีคุณสมบัติของนักบัญชีกับมีความรู้ด้าน it จะทำงานได้ดี
แต่ความรู้เรื่อง it น่าจะเฉพาะไปในส่วน security กับพวก Management Information System (MIS)
และความรู้เรื่อง ERP น่าจะโอเค

คล้ายกับพวกผู้ตรวจบัญชีป่าวครับ

[mahaboyd]

จะบอกว่าที่แรกผมอ่านว่า IT Adult 

[darkas]

จะบอกว่าที่แรกผมอ่านว่า IT Adult 

อ่านดีๆคับท่าน ความหมายเปลี่ยนหมด ฮ่าๆ 

[eable]

ทำไมอ่านแล้ว it audit เหมือนกับถูก admin ต่างๆเหม็นหน้าเอา

ประมาณนั้นมั๊งครับ ลองอ่านที่เค้าบ่น ๆ กันดู

ผมเคยเป็น auditor ใน big 4 แห่งนึงมาก่อน อิอิอิอิ พอจะเข้าใจว่า ทำไมถึงไม่ค่อยถูกชะตากัน
สาเหตุใหญ่ที่สุด คือ การสื่อสาร
นั่นคือ auditor สื่อไปทาง admin เข้าใจไปอีกทาง หรือ แอดมินชี้แจงอย่างนึง auditor เข้าใจไปอีกทางนึง
กลายเป็นว่า คุยกันไม่รู้เรื่องไปซะ

สาเหตุต่อมาคือ standard

Issue ต่างๆ บางที่บางแห่ง เอามาจาก best practice ไม่ได้คำนึงถึงการใช้งานจริงในแง่มุมของ security
ซึ่ง จากทฤษฎี(อะไรก็ไม่รู้) หาก security แข็งเกินไป จะทำให้ผู้ใช้ ทำงานไม่ได้

ยกตัวอย่างให้เห็นภาพ

สมมติ มาตรฐานดาวนาเม็ก
ให้ตั้งพาสเวิร์ด 64 ตัวอักษร ด้วยตัวหนังสือ ตัวเลขอักขระพิเศษ บลาๆๆๆ ก็ว่าไป 
เพราะมันเป็น best practice ของดาวดวงนี้ เนื่องจาก แคร๊ก ยากโคตรๆ h a c k ยังไงก็ไม่ได้ แนวๆนั้น
แล้วคราวนี้ ปรากฎว่า auditor ต้อง raise issue หากตรวจเจอว่าไม่เป็นตามมาตรฐานนั้น
งานก็เข้าแอดมินอีก แอดมินก็เถียงๆๆ ว่ามันมากเกิน user ทำงานลำบาก บลาๆๆ
Auditor ก็ เถียงๆๆว่า มาตรฐานมันมาแบบนั้นแบบนี้ ไม่เช็ตผมก็ต้อง raise issue หากตรวจเจอ
ความเสี่ยงคือ ถ้าน้อยกว่านี้ มันแคร๊กง่ายแคร๊กเร็ว แคร๊กๆๆ
เถียงกันไม่จบ

สิ่งที่เกิดขึ้นคือ audit issue ใหญ่กว่าแอดมินเสมอ
ผู้บริหารเห็นเป็น  issue สั่งแอดมินเซ็ตด่วน เพื่อปิด issue นี้โดยไว ตอบกลับ ML ว่าปิดแล้ว 5555 เนียนละ 

ผลคือ
User ทำงานช้าลง เนื่องจาก จำพาสเวิร์ดไม่ได้ แอดมินทำงานมากขึ้น เพราะ user ขอ reset password มากขึ้น
ผลอีกอย่างนึง คือ user เขียนพาสเวิร์ดแปะไว้ที่หน้าจอซะเลย 5555 เพราะจำไม่ได้
เป็นไงละ ความเสี่ยงที่ว่า  ถ้าน้อยกว่านี้ มันแคร๊กง่ายแคร๊กเร็ว แคร๊กๆๆ  ตอนนี้ กลายเป็น ไม่ต้องแคร๊กไปซะก็ได้พาสเวิร์ดมาแล้ว
(จริงๆ case นี้ มี control มาปิดอีกหลายอยู่ครับ ไม่ขอกล่าวถึง)

เพื่อให้ auditor และ แอดมิน ทำงานได้สะดวก
ทาง auditor ควรศึกษาระบบของทางลูกค้ามาให้ดีก่อน ก่อนจะมากาง checklist ขอหลักฐานหรือขอตรวจ
และ checklist ของทาง auditor ก็ควรจะยืดหยุ่นเข้ากับระบบลูกค้าด้วย นั่นจะดีมาก
และหากลูกค้าติดปัญหา ไม่สามารถ แก้ issue ได้ ด้วยเงิน หรือ เทคโนโลยีที่มีอยู่
ก็ควรจะแนะนำ ในส่วนของ control ที่สามารถเอามาใช้ทดแทนได้ (compensate control ) ก็จะดีมาก
เพราะ บางทีให้ลูกค้าคิดเอง คงยาก แอดมินงานเยอะอยู่แล้ว ส่วน auditor น่าจะเจอลูกค้าที่อื่นใช้ compensate control มาไม่มากก็น้อย ก็น่าจะพอแนะนำได้

[darkas]

ทำไมอ่านแล้ว it audit เหมือนกับถูก admin ต่างๆเหม็นหน้าเอา

ประมาณนั้นมั๊งครับ ลองอ่านที่เค้าบ่น ๆ กันดู

ผมเคยเป็น auditor ใน big 4 แห่งนึงมาก่อน อิอิอิอิ พอจะเข้าใจว่า ทำไมถึงไม่ค่อยถูกชะตากัน
สาเหตุใหญ่ที่สุด คือ การสื่อสาร
นั่นคือ auditor สื่อไปทาง admin เข้าใจไปอีกทาง หรือ แอดมินชี้แจงอย่างนึง auditor เข้าใจไปอีกทางนึง
กลายเป็นว่า คุยกันไม่รู้เรื่องไปซะ

สาเหตุต่อมาคือ standard

Issue ต่างๆ บางที่บางแห่ง เอามาจาก best practice ไม่ได้คำนึงถึงการใช้งานจริงในแง่มุมของ security
ซึ่ง จากทฤษฎี(อะไรก็ไม่รู้) หาก security แข็งเกินไป จะทำให้ผู้ใช้ ทำงานไม่ได้

ยกตัวอย่างให้เห็นภาพ

สมมติ มาตรฐานดาวนาเม็ก
ให้ตั้งพาสเวิร์ด 64 ตัวอักษร ด้วยตัวหนังสือ ตัวเลขอักขระพิเศษ บลาๆๆๆ ก็ว่าไป 
เพราะมันเป็น best practice ของดาวดวงนี้ เนื่องจาก แคร๊ก ยากโคตรๆ h a c k ยังไงก็ไม่ได้ แนวๆนั้น
แล้วคราวนี้ ปรากฎว่า auditor ต้อง raise issue หากตรวจเจอว่าไม่เป็นตามมาตรฐานนั้น
งานก็เข้าแอดมินอีก แอดมินก็เถียงๆๆ ว่ามันมากเกิน user ทำงานลำบาก บลาๆๆ
Auditor ก็ เถียงๆๆว่า มาตรฐานมันมาแบบนั้นแบบนี้ ไม่เช็ตผมก็ต้อง raise issue หากตรวจเจอ
ความเสี่ยงคือ ถ้าน้อยกว่านี้ มันแคร๊กง่ายแคร๊กเร็ว แคร๊กๆๆ
เถียงกันไม่จบ

สิ่งที่เกิดขึ้นคือ audit issue ใหญ่กว่าแอดมินเสมอ
ผู้บริหารเห็นเป็น  issue สั่งแอดมินเซ็ตด่วน เพื่อปิด issue นี้โดยไว ตอบกลับ ML ว่าปิดแล้ว 5555 เนียนละ 

ผลคือ
User ทำงานช้าลง เนื่องจาก จำพาสเวิร์ดไม่ได้ แอดมินทำงานมากขึ้น เพราะ user ขอ reset password มากขึ้น
ผลอีกอย่างนึง คือ user เขียนพาสเวิร์ดแปะไว้ที่หน้าจอซะเลย 5555 เพราะจำไม่ได้
เป็นไงละ ความเสี่ยงที่ว่า  ถ้าน้อยกว่านี้ มันแคร๊กง่ายแคร๊กเร็ว แคร๊กๆๆ  ตอนนี้ กลายเป็น ไม่ต้องแคร๊กไปซะก็ได้พาสเวิร์ดมาแล้ว
(จริงๆ case นี้ มี control มาปิดอีกหลายอยู่ครับ ไม่ขอกล่าวถึง)

เพื่อให้ auditor และ แอดมิน ทำงานได้สะดวก
ทาง auditor ควรศึกษาระบบของทางลูกค้ามาให้ดีก่อน ก่อนจะมากาง checklist ขอหลักฐานหรือขอตรวจ
และ checklist ของทาง auditor ก็ควรจะยืดหยุ่นเข้ากับระบบลูกค้าด้วย นั่นจะดีมาก
และหากลูกค้าติดปัญหา ไม่สามารถ แก้ issue ได้ ด้วยเงิน หรือ เทคโนโลยีที่มีอยู่
ก็ควรจะแนะนำ ในส่วนของ control ที่สามารถเอามาใช้ทดแทนได้ (compensate control ) ก็จะดีมาก
เพราะ บางทีให้ลูกค้าคิดเอง คงยาก แอดมินงานเยอะอยู่แล้ว ส่วน auditor น่าจะเจอลูกค้าที่อื่นใช้ compensate control มาไม่มากก็น้อย ก็น่าจะพอแนะนำได้

big 4 คืออะไร บริษัท?

[darkas]

อัพหน่อย อยากได้ความรู้เพิ่ม

[anakinta]

 :wanwan019:กำลังรับสมัครด่วน IT Audi ใครสนใจสมัครร่วมงานกับบริษัทมหาชน รบกวนติดต่อกลับด่วนนะครับ
ประสบการณ์ 1-2 ปี ก็รับพิจารณานะครับ

Recruitment Specialist

[darkas]

ดันหน่อยคร๊าบ อีกเดือนเดียวจะเรียนจบแล้ว อยากจะไปทางนี้จริงๆ

[magka]

ถ้าอยากรู้คุณสมบัติคร่าวๆ แนะนำให้ลองเข้าเว็บสมัครงาน แล้วดูตำแหน่งนั้นว่าที่เขาต้องการประมาณไหนครับ

เอามาจาก google guru

ปัจจุบันผู้ตรวจสอบระบบสารสนเทศ หรือ IT/IS Auditor เป็นอาชีพที่ต้องการผู้เชี่ยวชาญเฉพาะทางมาทำหน้าที่ตรวจสอบฝ่ายปฏิบัติการและฝ่ายพัฒนาระบบสารสนเทศ ซึ่งปัญหาใหญ่ ก็คือ ปัญหาการขาดแคลนผู้ตรวจสอบระบบสารสนเทศทั่วโลก ในขณะนี้หลายคนยังคงเข้าใจว่า “ผู้ตรวจสอบภายใน” หมายถึง “ผู้ตรวจสอบระบบสารสนเทศ” คำกล่าวนี้ไม่ผิดแต่ก็ไม่ถูก หมายความว่า ผู้ตรวจสอบระบบสารสนเทศนั้น แบ่งออกเป็นสองประเภท ได้แก่ ผู้ตรวจสอบระบบสารสนเทศภายใน (IT/IS Internal Auditor) และผู้ตรวจสอบระบบสารสนเทศภายนอก (IT/IS External Auditor) ซึ่งความแตกต่างก็คือ ผู้ตรวจสอบระบบสารสนเทศภายในนั้น เป็นพนักงานขององค์กรเองไม่ได้มาจากคนนอก ปกติโดยผู้ตรวจสอบระบบสารสนเทศภายในจะสังกัดแผนกตรวจสอบระบบสารสนเทศภายใน  ซึ่งจะขึ้นตรงกับ Board of director มีหน้าที่ในการตรวจสอบระบบสารสนเทศโดยรวมในองค์กร โดยมีความอิสระจากการควบคุมของฝ่ายระบบสารสนเทศ หรือ อิสระจากการควบคุมของ CIO  ส่วนผู้ตรวจสอบระบบสารสนเทศภายนอกนั้น องค์กรมักจะทำการจัดจ้างหน่วยงานมืออาชีพภายนอก (3rd Party Security Audit Firm) มาทำหน้าที่เป็นผู้ตรวจสอบระบบสารสนเทศในมุมมองของคนนอกองค์กร  ซึ่งความแตกต่างที่เห็นได้ชัดเจน คือ ความเป็นมืออาชีพ และความเป็นอิสระของ IT External Auditor



กล่าวโดยสรุปคือ ทั้ง IT Internal Auditor และ IT External Auditor ล้วนมีบทบาทสำคัญในการตรวจสอบระบบสารสนเทศขององค์กร แต่อาจอยู่ในมุมมอง และ หน้าที่ที่แตกต่างกัน  โดย IT Internal Auditor จะเน้นที่การตรวจสอบเป็นระยะๆ ตามตารางการตรวจสอบประจำปี จุดมุ่งหมายโดยส่วนใหญ่เพื่อตรวจสอบการปฏิบัติงานของฝ่ายสารสนเทศ ว่าเป็นไปตาม “IT Security Best Practices” ต่างๆ เช่น ISO/IEC17799 หรือ ISO/IEC 27001 ตลอดจนการตรวจสอบตาม IT Governance Framework เช่น CobiT 4.0 ของ ITGI  (IT Governance Institute)  โดยนำมาเป็น Audit Guideline เป็นต้น ในส่วนของ IT External Audit จุดมุ่งหมายจะเน้นไปที่ความปลอดภัยของระบบสารสนเทศในมุมมองของผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล โดยรูปแบบและเทคนิคของการตรวจสอบแบ่งออกเป็น 3 ระดับขั้นดังนี้

[seowizard]

ส่วนใหญ่เขาัรับคนมีประสบการณ์ครับ

[wizmagna]

อย่างบริษัทผม Audit ตรวจสอบเข้มมาก เป็นบริษัทเกมส์ออนไลน์ ตรวจระดับ Log ทั้งฝ่าย System Engineer, DB, และผู้ดูแลเกมส์ ( GM ) และเอกสารยืนยันต้องมีทุกอย่าง ป้องกันระดับสูง ต้องมีความรู้ด้าน IT และระบบความปลอดภัยต่างๆ ด้วย

ความรู้คนที่เป็น Audit ต้องมีประสบการณ์ในสายงาน IT มาบ้างถึงจะเข้าใจงานได้ลึกว่าช่องโหว่ของงานมีจุดไหน และตรวจสอบให้ละเอียดนะครับ

[hengworld]

น่าสนใจมากเลยครับ

[arty7221]

ดันหน่อยคร๊าบ อีกเดือนเดียวจะเรียนจบแล้ว อยากจะไปทางนี้จริงๆ

ดูตัวอย่างจากอาจารย์ที่ปรึกษาท่านนี้ พอดีเราช่วยงานอาจารย์ท่านอยู่ ได้อะไรดี ๆ จากท่านเยอะมาก
(ทั้งที่ไม่เคยเรียนสายนี้มาก่อน) ท่านได้วุฒิบัตรเยอะมากอ่ะ ของต่างประเทศก็มี หน่วยงานทั้งราชการ รัฐวิสาหกิจ
เอกชนส่วนใหญ่จะรู้จักท่านเป็นอย่างดี ประสบการณ์เยอะมาก ถ้าจะเอาดีด้านนี้ก็ต้องดูคุณสมบัติของ auditor อ่ะว่ามีอะไร
แล้วควรไปสอบเอาวุฒิบัตรมาด้วย เพราะส่วนใหญ่ต้องใช้ความน่าเชื่อถืออ่ะ ประสบการณ์อย่างเดียวคงไม่พอ

ลองดูเว็บนี้ละกัน hปปp://www.itgthailand.com

[darkas]

อย่างบริษัทผม Audit ตรวจสอบเข้มมาก เป็นบริษัทเกมส์ออนไลน์ ตรวจระดับ Log ทั้งฝ่าย System Engineer, DB, และผู้ดูแลเกมส์ ( GM ) และเอกสารยืนยันต้องมีทุกอย่าง ป้องกันระดับสูง ต้องมีความรู้ด้าน IT และระบบความปลอดภัยต่างๆ ด้วย

ความรู้คนที่เป็น Audit ต้องมีประสบการณ์ในสายงาน IT มาบ้างถึงจะเข้าใจงานได้ลึกว่าช่องโหว่ของงานมีจุดไหน และตรวจสอบให้ละเอียดนะครับ

ส่วนใหญ่เขาัรับคนมีประสบการณ์ครับ

นี่ละครับที่สนใจ คือดูมาคร่าวๆแล้วรับแต่คนมีประสบการณ์ แล้วเด็กจบใหม่จะไปหประสบการณ์จากไหน ในเมื่อทุกบริษัทต่างรับคนมีประสบการณ์

[darkas]

ดันต่อไปครับ