9. ควบคุมภายใน + IT Security (พ.ศ. 2553) ⭐¶
เนื้อหาในหน้านี้
ระเบียบนายทะเบียนสหกรณ์ ว่าด้วยมาตรฐานขั้นต่ำในการควบคุมภายในและการรักษาความปลอดภัย สำหรับสหกรณ์และกลุ่มเกษตรกรที่ใช้โปรแกรมระบบบัญชีคอมพิวเตอร์ประมวลผลข้อมูล พ.ศ. 2553
🎯 ความสำคัญ: - กำหนด 9 มาตรฐานขั้นต่ำของ IT Control + Cybersecurity - ผู้สอบบัญชีต้องประเมิน 3 ครั้ง/ปี + รายงานผ่าน Intranet กตส. - ครอบคลุม Data Dictionary 21 ตาราง สำหรับระบบบัญชี - ใช้กับทุกสหกรณ์ที่ใช้คอมพิวเตอร์ในระบบบัญชี (ส่วนใหญ่ในปัจจุบัน)
📅 ข้อมูลพื้นฐาน¶
| รายการ | รายละเอียด |
|---|---|
| ชื่อ | ระเบียบนายทะเบียนสหกรณ์ ว่าด้วยมาตรฐานขั้นต่ำในการควบคุมภายในและการรักษาความปลอดภัยฯ พ.ศ. 2553 |
| ผู้ลงนาม | นายสิงห์ทอง ชินวรรังสี — อธิบดีกรมตรวจบัญชีสหกรณ์ ปฏิบัติการแทนนายทะเบียนสหกรณ์ |
| วันที่ลงนาม | 17 ธันวาคม 2553 |
| อำนาจตาม | ม.16(2) + ม.16(4) + ม.65 ของ พ.ร.บ.สหกรณ์ พ.ศ. 2542 |
| เริ่มบังคับ | วันถัดจากวันประกาศ + เริ่มประเมินตั้งแต่ 1 ม.ค. 2554 |
ระเบียบเก่าแต่ยังบังคับใช้
แม้ระเบียบจะออกตั้งแต่ปี 2553 (เก่า 16 ปี) แต่ยังคงเป็นมาตรฐานหลักด้าน IT Control ของสหกรณ์
→ ผู้สอบบัญชีต้องปฏิบัติตามในการตรวจ — ไม่มีการยกเลิก แม้สภาพแวดล้อม IT จะเปลี่ยนไปมาก
⚖️ ข้อ 5 — มาตรฐานขั้นต่ำ 9 ข้อ ⭐⭐⭐¶
สหกรณ์ที่ใช้โปรแกรมระบบบัญชีคอมพิวเตอร์ต้องจัดให้มี 9 มาตรฐาน:
🎯 ภาพรวม 9 มาตรฐาน¶
┌──────────────────────────────────────────────────┐
│ Layer 1: นโยบายและการกำกับ │
│ (1) นโยบาย/ระเบียบเป็นลายลักษณ์อักษร │
└──────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────┐
│ Layer 2: ความปลอดภัยทางกายภาพ │
│ (2) Physical Security │
└──────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────┐
│ Layer 3: ความปลอดภัยข้อมูล + เครือข่าย │
│ (3) Data + Network Security │
└──────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────┐
│ Layer 4: System Development │
│ (4) Change Management │
│ (5) เอกสารสนับสนุน + Data Dictionary │
└──────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────┐
│ Layer 5: Data Access + Backup │
│ (6) Database Access │
│ (7) Backup + Disaster Recovery │
└──────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────┐
│ Layer 6: Outsourcing + Audit │
│ (8) Outsourcing Control │
│ (9) IT Audit │
└──────────────────────────────────────────────────┘
🎯 มาตรฐาน 1 — นโยบายเป็นลายลักษณ์อักษร¶
"จัดให้มีนโยบายหรือระเบียบปฏิบัติในการควบคุมการปฏิบัติงานเกี่ยวกับการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของสหกรณ์ที่เป็นลายลักษณ์อักษร"
4 ประเด็นที่ต้องตรวจ¶
| # | รายการ |
|---|---|
| 1.1 | นโยบาย IT Security เป็นลายลักษณ์อักษร + ชัดเจน |
| 1.2 | สื่อสาร ภายในสหกรณ์ให้ทราบทั่วกัน |
| 1.3 | ฝึกอบรม พนักงานอย่างต่อเนื่อง |
| 1.4 | ติดตามการปฏิบัติตามนโยบาย |
🎯 มาตรฐาน 2 — Physical Security¶
"ระบบการรักษาความปลอดภัยทางกายภาพที่เพียงพอ + ป้องกันความเสียหายจากสภาวะแวดล้อม/ภัยพิบัติ"
4 ประเด็นที่ต้องตรวจ¶
| # | รายการ |
|---|---|
| 2.1 | ควบคุมการเข้าถึงอุปกรณ์คอมพิวเตอร์สำคัญ |
| 2.2 | ระบบเตือนไฟไหม้ + อุปกรณ์ดับเพลิง |
| 2.3 | ระบบสำรองไฟฟ้า (UPS) |
| 2.4 | ระบบปรับอากาศ ในห้อง Server |
🎯 มาตรฐาน 3 — Data + Network Security ⭐⭐⭐¶
"ระบบการรักษาความปลอดภัยของข้อมูลในระบบคอมพิวเตอร์และเครือข่าย"
13 ประเด็นที่ต้องตรวจ — รายละเอียดมากที่สุด¶
| # | รายการ |
|---|---|
| 3.1 | การจัดการ User Account (Create / Change / Delete) |
| 3.2 | User เป็นของตัวเอง ไม่ใช้ร่วมกับผู้อื่น |
| 3.3 | รหัสผ่าน ≥ 6 ตัวอักษร |
| 3.4 | เปลี่ยนรหัสผ่านทุก 6 เดือน |
| 3.5 | เปลี่ยนรหัสผ่าน First-Login ทันที |
| 3.6 | เก็บรหัสผ่านเป็นความลับ |
| 3.7 | กำหนดสิทธิ์ตามหน้าที่ + Segregation of Duties |
| 3.8 | สอบทานสิทธิ์ปีละครั้ง |
| 3.9 ⭐ | ควบคุม Administrator — เก็บซอง Password ในตู้เซฟ |
| 3.10 | เปลี่ยนรหัส Admin ปีละครั้ง |
| 3.11 | Monitoring Server อย่างสม่ำเสมอ |
| 3.12 ⭐ | Firewall สำหรับการเชื่อมต่อภายนอก |
| 3.13 | Anti-virus + อัปเดตสม่ำเสมอ |
Red Flag — User Sharing
🚨 พบบ่อยในสหกรณ์ขนาดเล็ก: เจ้าหน้าที่ใช้ User เดียวกัน เพื่อสะดวก
→ ผิดข้อ 3.2 — finding ที่ต้อง report → ทำให้ trace audit log ไม่ได้ → กระทบ TSA 315 (Risk Assessment)
🎯 มาตรฐาน 4 — Change Management¶
"มาตรการควบคุมการพัฒนาหรือเปลี่ยนแปลงแก้ไข"
14 ประเด็นที่ต้องตรวจ¶
ครอบคลุม System Development Life Cycle (SDLC):
| กลุ่ม | รายการ |
|---|---|
| Planning | 4.1 วิธีปฏิบัติพัฒนาระบบเป็นลายลักษณ์อักษร / 4.2 แผนการทำงาน / 4.3 หน้าที่ความรับผิดชอบ |
| Requirements | 4.4 User Requirements ชัดเจน / 4.5 Data Migration |
| Testing | 4.6 ทดสอบก่อนใช้งานจริง |
| Approval | 4.7 อนุมัติทุกขั้นตอน |
| Training | 4.8 ฝึกอบรมผู้ใช้งาน |
| Change Process | 4.9-4.11 วิธีขอเปลี่ยน + อนุมัติ + ทดสอบ |
| Segregation | 4.12 แบ่งแยกผู้พัฒนา/ผู้โอนย้าย / 4.13 แบ่ง Dev/Test/Prod |
| Communication | 4.14 สื่อสารการเปลี่ยนแปลง |
🎯 มาตรฐาน 5 — เอกสารสนับสนุน + Data Dictionary ⭐¶
"เอกสารสนับสนุนการปฏิบัติงาน — โครงสร้างฐานข้อมูล (Data Structure) หรือพจนานุกรมข้อมูล (Data Dictionary)"
5 ประเด็นที่ต้องตรวจ¶
| # | รายการ |
|---|---|
| 5.1 | เอกสาร Data Dictionary — ตามแบบ กตส. (21 ตาราง) |
| 5.2 | คู่มือการใช้ระบบ (User Manual) |
| 5.3 | จัดเก็บ (Hard copy หรือ Electronic) |
| 5.4 | ปรับปรุงให้เป็นปัจจุบัน |
| 5.5 | เก็บในที่ปลอดภัย + เรียกใช้ได้ |
Data Dictionary 21 ตาราง
เอกสารแนบท้ายระเบียบกำหนด 21 ตาราง ที่ระบบบัญชีต้องเก็บ:
| ตาราง | เรื่อง |
|---|---|
| 1 | สมาชิก |
| 2 | ทะเบียนหุ้น |
| 3-4 | บัญชีเงินฝาก + รายการเคลื่อนไหว |
| 5-6 | สัญญาเงินกู้ + รายการเคลื่อนไหว |
| 7 | ดอกเบี้ย |
| 8 | การขายสินค้า |
| 9-10 | ลูกหนี้ + การรับชำระ |
| 11-13 | การซื้อ + เจ้าหนี้ + การจ่ายชำระ |
| 14-15 | สินค้า + รายการเคลื่อนไหว |
| 16-17 | ผังบัญชี + รายการผ่านบัญชี |
| 18-19 | อัตรา + การจ่ายเงินปันผล |
| 20-21 | อัตรา + การจ่ายเงินเฉลี่ยคืน |
🎯 มาตรฐาน 6 — Database Access¶
"เข้าถึงฐานข้อมูลของระบบบัญชีคอมพิวเตอร์ได้ + นำข้อมูลออกในรูปแบบที่อ่านเข้าใจได้"
ประเด็นที่ต้องตรวจ¶
| # | รายการ |
|---|---|
| 6.1 ⭐ | ฐานข้อมูลไม่เข้ารหัส + ดึงข้อมูลออกได้ — ครอบคลุม 5 ระบบหลัก: • สมาชิก + หุ้น • เงินให้กู้ • เงินรับฝาก • สินค้า • บัญชีแยกประเภท |
| 6.2 | User + Password เข้าถึงฐานข้อมูลรัดกุม |
| 6.3 | อนุมัติการเข้าถึงโดยตรง จากผู้บริหาร |
| 6.4 | Log การเข้าถึงฐานข้อมูล |
ทำไมต้อง 'ไม่เข้ารหัส'?
เพราะผู้สอบบัญชีและกตส.ต้องสามารถเข้าถึงข้อมูลเพื่อตรวจสอบได้
→ ถ้าฐานข้อมูลถูก encrypted แบบที่ไม่มี key → audit ไม่ได้ → ผิดข้อ 6.1
🎯 มาตรฐาน 7 — Backup + Disaster Recovery ⭐⭐⭐¶
"การสำรองข้อมูล + การดูแลรักษาข้อมูลชุดสำรอง + การป้องกันไม่ให้ใช้อย่างไม่ถูกต้อง"
11 ประเด็นที่ต้องตรวจ¶
| # | รายการ |
|---|---|
| 7.1 | ขั้นตอน Backup เป็นลายลักษณ์อักษร — รวมข้อมูล/ความถี่/สื่อ/จำนวน/สถานที่เก็บ |
| 7.2 ⭐ | Backup ข้อมูลอย่างน้อยวันละครั้ง |
| 7.3 | Backup โปรแกรม + OS อย่างน้อยเดือนละครั้ง |
| 7.4 ⭐ | เก็บสื่อ Backup ในและนอกสถานที่ (Off-site) |
| 7.5 | ทดสอบการ Restore ปีละครั้ง |
| 7.6 | ระยะเวลาเก็บข้อมูลสำหรับอ้างอิง |
| 7.7 | ติดฉลากสื่อ Backup ชัดเจน |
| 7.8 | ควบคุมการนำ Backup ออกใช้ |
| 7.9 ⭐ | แผนสำรองฉุกเฉน (Disaster Recovery Plan) |
| 7.10 | ทดสอบแผนปีละครั้ง |
| 7.11 | ปรับปรุงแผนให้เป็นปัจจุบัน |
ความสำคัญที่สุด — ข้อ 7.4 + 7.9
🚨 ความเสี่ยงสำคัญ:
- Off-site Backup → ป้องกันสถานที่หลักเกิดเหตุ (ไฟไหม้/น้ำท่วม/Ransomware)
- DR Plan → ต้องมีแผนเขียนไว้ล่วงหน้า — รู้ใครทำอะไรเมื่อเกิดเหตุ
🔍 ผู้สอบบัญชีต้องตรวจ: - มี Backup off-site จริง? - ทดสอบ Restore แล้วใช้ได้จริง? - DR Plan มีรายละเอียดครบ 5 หัวข้อ?
🎯 มาตรฐาน 8 — Outsourcing Control¶
"กรณีใช้บริการ IT จากบุคคลภายนอก — ต้องมีหลักเกณฑ์คัดเลือก + ควบคุม + ตรวจสอบ"
6 ประเด็นที่ต้องตรวจ¶
| # | รายการ |
|---|---|
| 8.1 | กฎเกณฑ์คัดเลือก Provider |
| 8.2 ⭐ | สัญญาระบุการรักษาความลับ + ขอบเขตงาน |
| 8.3 | ควบคุม Provider ตามระเบียบของสหกรณ์ |
| 8.4 | คู่มือ + เอกสารที่ Provider จัดทำ |
| 8.5 | รายงานเดือนละครั้ง จาก Provider |
| 8.6 | ตรวจรับงาน Provider |
ตัวอย่างที่พบบ่อย
สหกรณ์หลายแห่งใช้บริการ: - Cloud hosting (AWS, Azure) - Backup service ภายนอก - Software-as-a-Service (SaaS)
→ ต้องมีสัญญาที่ครอบคลุม IT Security ตามมาตรฐานนี้
🎯 มาตรฐาน 9 — IT Audit¶
"ตรวจสอบคอมพิวเตอร์โดยหน่วยงานภายในของสหกรณ์ หรือผู้ตรวจสอบบุคคลภายนอก"
2 ประเด็นที่ต้องตรวจ¶
| # | รายการ |
|---|---|
| 9.1 | General IT Controls Audit — Data Security + Physical Security |
| 9.2 | CAATs — ใช้คอมพิวเตอร์ช่วยตรวจสอบ (Computer-Assisted Audit Techniques) |
📋 บทบาทของผู้สอบบัญชี ⭐⭐⭐¶
ตามจดหมาย กตส. ที่ออกพร้อมระเบียบ — ผู้สอบบัญชีมีหน้าที่ 4 ขั้นตอน:
ขั้นที่ 1: ศึกษาระเบียบ + เข้ารับการอบรม¶
- ภาคเอกชน: เข้าประชุมซักซ้อมที่ กตส.
- ภาครัฐ: VDO Conference
ขั้นที่ 2: ชี้แจงให้สหกรณ์¶
- เข้าไปชี้แจงทำความเข้าใจให้สหกรณ์
- ให้สหกรณ์รับทราบ + ปฏิบัติตามระเบียบ
ขั้นที่ 3: ติดตามผลการปฏิบัติ ⭐¶
- ใช้ Checklist ของกตส.
- ประเมิน 3 ครั้ง / รอบปีบัญชี
- เริ่มตั้งแต่ 1 ม.ค. 2554 เป็นต้นไป
ขั้นที่ 4: รายงานผล¶
- บันทึกใน "ระบบติดตามผลการปฏิบัติตามระเบียบนายทะเบียนสหกรณ์"
- รายงานผ่าน Intranet ของกตส.
- รายงานทันทีหลังเข้าตรวจ
📊 Checklist Format ⭐¶
ระเบียบใช้ Checklist รูปแบบ 4 ระดับการควบคุม:
| ระดับ | ความหมาย |
|---|---|
| N/A | การควบคุมไม่สอดคล้องกับสภาพแวดล้อมของสหกรณ์ |
| น้อย | ไม่มีระเบียบ ขั้นตอน และการควบคุมอย่างเป็นทางการ |
| ปานกลาง | มีระเบียบ ขั้นตอน แต่ยังไม่ถือปฏิบัติต่อเนื่อง / ควรปรับปรุง |
| มาก | มีระเบียบ ขั้นตอน + ปฏิบัติตามอย่างสม่ำเสมอ |
📋 ข้อมูลที่ต้องระบุก่อน Checklist¶
- ชื่อสหกรณ์
- ปีบัญชี
- ข้อมูลทั่วไป 7 ข้อ (Yes/No):
- มีบุคลากรตรวจสอบ Server?
- มีจ้างพัฒนาโปรแกรม?
- มีพัฒนา/เปลี่ยนระบบใหม่?
- ใช้โปรแกรมสำเร็จรูป / โปรแกรมของกตส.?
- มีบุคลากรวิเคราะห์ Log?
- มีเชื่อมต่อภายนอก?
- ใช้บริการ IT ภายนอก?
- ข้อมูลโปรแกรมที่ใช้ (5 ระบบหลัก):
- สมาชิกและหุ้น (Member)
- เงินให้กู้ (Loan)
- เงินรับฝาก (Deposit)
- สินค้า (Inventory)
- บัญชีแยกประเภท (GL)
🎯 ดุลพินิจในการตรวจสอบ — Detailed¶
🔍 Checklist สรุป Top 10¶
| # | รายการตรวจ | Severity |
|---|---|---|
| 1 | นโยบาย IT Security เป็นลายลักษณ์อักษร | ⭐⭐ |
| 2 | User แยกตามคน (ไม่แชร์ User) | ⭐⭐⭐ |
| 3 | รหัสผ่าน ≥ 6 ตัว + เปลี่ยนทุก 6 เดือน | ⭐⭐ |
| 4 | Segregation of Duties | ⭐⭐⭐ |
| 5 | Firewall + Anti-virus | ⭐⭐⭐ |
| 6 | Data Dictionary ครบ 21 ตาราง | ⭐⭐ |
| 7 | Backup รายวัน | ⭐⭐⭐ |
| 8 | Off-site Backup | ⭐⭐⭐ |
| 9 | DR Plan + ทดสอบปีละครั้ง | ⭐⭐⭐ |
| 10 | IT Audit | ⭐⭐ |
🚨 Red Flags ที่พบบ่อย¶
| Red Flag | ผลกระทบ |
|---|---|
| User สำหรับ "ส่วนกลาง" ใช้ร่วมกัน | ผิดข้อ 3.2 — trace audit log ไม่ได้ |
| Admin Password ไม่เคยเปลี่ยน | ผิดข้อ 3.10 — ความเสี่ยงสูง |
| Backup เก็บที่เดียวกับ Server | ผิดข้อ 7.4 — ถ้าไฟไหม้หาย 100% |
| ไม่เคยทดสอบ Restore | ผิดข้อ 7.5 — ไม่รู้ว่า backup ใช้ได้จริง? |
| ไม่มี DR Plan | ผิดข้อ 7.9 — ไม่รู้ว่าจะทำอะไรเมื่อเกิดเหตุ |
| ที่ปรึกษา IT มี Admin Access | weakness — รั่ว access |
📊 Audit Procedures¶
| Procedure | สิ่งที่ทำ |
|---|---|
| Inquiry | สอบถามฝ่ายจัดการ — มีนโยบาย IT? ใครรับผิดชอบ? |
| Inspection | ดูเอกสารนโยบาย + คู่มือ + Data Dictionary |
| Observation | สังเกต — Server room locked? UPS ทำงาน? Anti-virus active? |
| Re-performance | ลอง login ตาม User → ดู permission |
| Test of Controls | ขอดู Backup จริง + restore สักไฟล์ |
| CAATs | ใช้ Excel/IDEA ตรวจ data integrity |
📝 Management Letter Finding (ตัวอย่าง)¶
Finding: ระบบ IT Control มีจุดอ่อนสำคัญ 3 ข้อ
จากการประเมินตามระเบียบนายทะเบียนสหกรณ์ 2553 พบว่า:
1. ผิดข้อ 3.2 — User Account
• พบ User "shared" 1 บัญชีใช้โดยเจ้าหน้าที่ 5 คน
• ผลกระทบ: ไม่สามารถ trace ผู้กระทำรายการได้
• ระดับการควบคุม: น้อย
2. ผิดข้อ 7.4 — Off-site Backup
• Backup ทุกวันมีเก็บใน Server Room เดียวกัน
• ไม่มี off-site copy
• ผลกระทบ: ถ้าสถานที่หลักเกิดเหตุ → สูญหาย 100%
• ระดับการควบคุม: น้อย
3. ผิดข้อ 7.9 — DR Plan
• ไม่มี Disaster Recovery Plan เป็นลายลักษณ์อักษร
• ผลกระทบ: ไม่รู้ขั้นตอน recovery เมื่อเกิดเหตุ
• ระดับการควบคุม: น้อย
ข้อเสนอแนะ:
1. แยก User ตามคน — ทุกคนมี User ของตัวเอง + ลบ shared user
2. Backup ออกไปนอกสถานที่ — เช่น Cloud Storage หรือสาขา
3. จัดทำ DR Plan ครอบคลุม 5 หัวข้อตามข้อ 7.9 + ทดสอบปีละครั้ง
อ้างอิง: ระเบียบนายทะเบียนสหกรณ์ ว่าด้วยมาตรฐานขั้นต่ำในการควบคุม
ภายในและการรักษาความปลอดภัยฯ พ.ศ. 2553
📚 ข้อที่อ้างถึงในการตรวจสอบ¶
| ข้อ | เนื้อหา | สำคัญ |
|---|---|---|
| ข้อ 5(1) | นโยบาย IT Security | ⭐⭐ |
| ข้อ 5(3) ⭐⭐⭐ | Data Security 13 ข้อย่อย | ตรวจ User + Password |
| ข้อ 5(5) | Data Dictionary 21 ตาราง | ตรวจเอกสาร |
| ข้อ 5(7) ⭐⭐⭐ | Backup + DR | ความเสี่ยงสูง |
| ข้อ 5(9) | IT Audit | ตรวจ governance |
🧭 Footer Navigation¶
⬅️ ก่อนหน้า: 8. สมาชิกสมทบ
🏠 ขึ้นบน: Group 3: การดำเนินงาน + กำกับดูแล สอ./คย.
🎉 จบ Group 3 แล้ว!
แหล่งอ้างอิง
- ระเบียบนายทะเบียนสหกรณ์ พ.ศ. 2553 — มาตรฐานขั้นต่ำในการควบคุมภายในและการรักษาความปลอดภัยฯ
- พ.ร.บ.สหกรณ์ พ.ศ. 2542 ม.16(2) + ม.16(4) + ม.65 — แม่บท
- คำสั่งนายทะเบียนสหกรณ์ ที่ 598/2552 — มอบอำนาจให้อธิบดี กตส.
- TSA 315 — Risk Assessment (รวม IT Risk)
- TSA 330 — Audit Response (รวม CAATs)
- ISO/IEC 27001 — Information Security Management System (อ้างอิงสากล)