Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
CG+ITG+GRC Perspectivesand
COSO - Enterprise Risk ManagementSept 17 2008
โดย : เมธา สวรรณสารMetha Suvanasarn CIA;CPA
กรอบ CG กบแนวนโยบายของผถอหน (SOD) และกลยทธส Action Plan
หลกธรรมาภบาล และการกากบดแลการบรหารจดการ
ทมงประสทธภาพไดมาตรฐานระดบสากล (World Class)
PROM
OTIO
N OF B
EST P
RACT
ICES
สงเสร
มการป
ฏบตอ
นเปนเล
ศ แล
ะการม
จรรยาบรรณท
ดในก
ารประกอ
บธรกจ
ACCO
UNTA
BILITY
แสดงคว
ามยอมร
บผด
และรบช
อบตอ
ผลการป
ฏบตห
นาท
RESP
ONSIB
ILITY
มความ
เขาใจแ
ละมข
ดความ
สามารถใน
การ
ประพ
ฤตปฏ
บตได
ตามห
นาทแ
ละคว
ามรบ
ผดชอ
บ
CREA
TION O
F LON
G TER
M VA
LUE
แสดงกล
ยทธแ
ละขด
ความสามารถ
ในการ
สรางม
ลคาเพ
มใหก
บกจก
ารในร
ะยะยาว
TRAN
SPAR
ENCY
แสดงคว
ามโป
รงใสในก
ารดาเน
นงาน
สามารถอธ
บายและ
ตรวจสอ
บได
EQUI
TABL
E TRE
ATME
NTปฏ
บตตอ
ผมสว
นไดส
วนเสย
ทกกล
มอยางเ
ทาเทย
ม และ
เปนธรรม
SOCI
AL &
ENVI
RONM
ENTA
L AWA
RENE
SSมค
วามสานก
ทตองรบ
ผดชอ
บตอส
งคม
และส
งแวด
ลอม
แนวนโยบายผถอหน (Statement of Direction - SOD) ผสมผสานกบหลกการ Balanced Scorecardวสยทศน+พนธกจ+นโยบาย+กลยทธส Action Plan เพอวดประสทธภาพของการบรหารและการจดการ (ด Slide ประกอบ)การประเมนตนเอง (CSA/CSR) ทม KPI ทชดเจน ไมกากวม ตรงกบเปาหมาย โดยใชมาตรฐานสากลทเปนทยอมรบทวไป (ถาม)
Vision, Mission and ValuesBusiness Model
Strategic Objectives for Measurement
Performance Measures for SMART Objectives
State Enterprise Performance TargetsInitiatives / Plans of Action
LinkagesActions for Quality Cycle / P-D-A-C
Organizational CapabilityInternal ProcessCustomerFinancial /CSR
Driven by Owners Output/Outcomes
Translating Vision and Strategy to Performance Measurement – Drivers & Output/Outcome
What we want to be?
How will it get there?
How will we get there specifically?
What more precise details must weaim for?
What are the cause and effects of long term value?
What levels of targets should be set forOrg. by Owner ?What initiatives are required to achievethese targets by Org.?Do these measures summarize ourExistence actions ? Org. & Owner.
Promotion of Best Practices and other to CG and ITG
Do we want to meet acceptable international standard concerned?CG & ITG,COSO-ERM,IAS 39, AML, ITIL,
ISO/ 27001, CMMI, + +Basel II,++ etc.
ทมา : ดดแปลงบางสวนจาก Hewitt Institute
• ระดบวสยทศน โดยคณะผบรหารระดบสง หรอคณะกรรมการบรหาร
การบรหาร IT Governance• ระดบการบรหารโดยผอานวยการ และรองผอานวยการ
• ระดบปฏบตการโดยผบรหารลงไปถงผปฏบต
การกากบดแลกจการทดขององคกร
(จตวญญาณ/ความยงยน)
ระบบการควบคม(ศนยรวมประสาท)
ระบบการบรหารความเสยง
(ภมคมกน)
ระบบการตรวจสอบภายใน (การตอบสนอง)
ระบบงานภายนอก
ระบบงานสวนหนา
ระบบงานสวนกลาง
ระบบงานสวนหลง
ระบบเทคโนโลยสารสนเทศ-IT(โครงกระดก)
กรอบการกากบดแลกจการทด CG&ITG และการบรหารเพอสรางคณคาเพมกบ Soft Controls
Tone at the Top
Understanding IT Controls & IT Risk
• A top-down approach used when considering controls to implement and determining areas on which to focus.
IT Risk factors aligned with their tiers in the pyramid
Poor IT-business relationsPoor project delivery+++
Applications do not meet business requirementsManual data integration required+++
Applications need standardizationLack of internal controls in applicationsNetwork not reliable at all locations+++
Infrastructure not standardizedOld technologyPoor backup/recoveryPoor understood processes and applications+++
Agility
Accuracy
Access
Availability
ISMS/ISO27001&
CIA
Source: Adopt from IT Risk –turning business threats into competitive advantage by George Westerman & Richard Hunter
IT Governance เปนสวนหนงทสาคญยงของ Good Corporate Governanceของ องคกร
Enterprise Risk Mgmt.covering corporate or business support mgmt. ทเกยวของกบความเสยง ในการใชเทคโนโลยสารสนเทศ
องคประกอบการควบคมภายในทง 8 และวตถประสงค+การตรวจสอบตามวตถประสงคหลก ทง 4 ประการของ COSO-ERMArea Potential Concerns
Financial statements, Operational, Compliance, Logical, Program, Management result, etc.,… Results
Results may or may not be accurate depending upon how processing takes place and what impacts that processing has...
(what can go wrong? what should be right?)
... …
IT installation environmentThe IT installation may contain control aspects which can interrupt or change the results of either individual or common system processing
System softwareOne or more system may be dependent upon common IT system software such as database management or communications software
Common systems may cut across individual systems, partially using their results
Individual application system environment
Individual systems Feed results upwards IT processing is input and accurate
Common application systems
Transactions may cut across system lines
Transactions
The horizontal and vertical impacts of Information Technology (IT) on the organization and risk management
: แสดงถง Total System Approaches ของระบบงานในภาพกวางๆ ขององคกรทใชเทคโนโลยสารสนเทศซงตองการความเขาใจและการประสานงานจากผเกยวของกบผบรหารงานขององคกรอยางเขาใจจรงทงทางดาน IT , non-IT และITG โดยรวมและตองการบรหารความเสยงแบบ Convergenceขององคกรเพมขนอกมากในเรองการกากบดแลกจการทด (Good Corporate Governance) + IT Governance ซงองคกร ควรจะไดพจารณาในการบรหารแบบบรณาการทเกยวของกบ business processes เพอกาวไปส Objectives ตามหลก SMART โดยรวม + +
Information Security – International Standard (ISO 27001) to IT Audit perspectives
1. Security policy
2. Organization of information security
3. Asset management
4. Human resources security
5. Physical and environmental security6. Communications and operations management
7. Access control8. Information systems acquisition,
development and maintenance9. Information security incident
management10. Business continuity managementBusiness continuity management
11. Compliance
ISO 27001Objectives
...
Supervision / Monitoring / Across Criteria / Functions
...
Interdependent Approaches / Consideration
Processes & Activities
Domains
CEO – CIO – CFO – COO – and…
Consideration of common errors in identifying objectives & negative consequences Identifying a means as an end.
Failing to consider each type & all types of objectives.Failing to consider the relationships between objectives.
IT Governance & GRC + Risk Convergence Framework
Office of The Auditor GeneralThai OAG
COSOS-O-F-C
Rules & Regulations by Regulators
Rules & Regulations by Regulators & International Standard
Thai E-Transaction Laws / Thai Laws
COBIT ISO / IEC ITIL (IT Infrastructure Library)
Lessons Learned/Other Standard
Balancing Strategies on Balance Scorecard & S-O-F-C (People –Process Technology& Other IT Resources)
สวนประกอบของ Enterprise Risk Management (ERM)1. สภาพแวดลอมภายในองคกร (Internal Environment)
Risk Management Philosophy – Risk Culture – Board of director – Integrity and Ethical Values – Committee to Competence – Management’s Philosophy and Operation Style – Risk Appetite – Organization – Assignment of Authority and responsibility – Human Resource Policy
2. การกาหนดเปาหมาย (Objective Setting)Strategic Objective – Related Objectives – Selected Objectives – Risk Appetite – Risk Tolerance
3. การระบเหตการณ (Event Identification)Events – Factors Influencing Strategy and Objectives – Methodologies and Techniques – Event Interdependencies – Event Categories –
- Risk and Opportunities
5. การตอบสนองความเสยง (Risk Response)Identify Risk Response – Evaluate Possible Risk Responses – Select Risk Responses – Portfolio View
4. การประเมนความเสยง (Risk Assessment)Inherent and Residual Risk – Likelihood and Impact – Methodologies and Techniques - Correlation
6. กจกรรมควบคม (Control Activities)Integration with risk response – Types of Control Activities – General Controls – Application Controls – Entity Specific
7. ระบบสารสนเทศและการตดตอสอสาร (Information and Communication)Information – Strategic and Integrated Systems - Communication
8. การตดตามและประเมนผล (Monitoring)Separate Evaluation – Ongoing Evaluation
External – regulators, analysts, investors, stakeholders
Board/senior management oversight
Auditcommittee
Riskcommittee
Othercommittee
BusinessUnit
BusinessUnit
BusinessUnit
BusinessUnit
Riskmanagement
Internalaudit
Legal/compliance
Finance/Sox
Informationtechnology Other
Source : Ernst & Young
Corporate Governance + ERM + Compliance
Enterprise Risk Mgmt.Enterprise Risk Mgmt.<COSO<COSO--SS--OO--FF--CC>>
External & InternalExternal & Internal< Rules & Regulators & Int< Rules & Regulators & Int’’l standards>l standards>
<tools><tools> Internal controls & audit<Reasonable Assurance>
Inf. Security Mgmt.Inf. Security Mgmt.IT Risk Mgmt.
Value creation & Performance Measurement
IT & Non IT processes
Consultative Approach for fundamental /
standards processesComputer Audit<tools>
Translating Vision-Mission & Strategy to Balanced Scorecard for Performance Measurement Linkages to action for Quality Cycle / P-D-C-A
GAP ANALYSIS฿ VALUE
CREATION
Level 1 – Internal Control Framework – COSO / Enterprise Risk Mgmt.
Level 2 – Internal Control Framework – IT Governance/ISO(Enterprise Wide-What to do/ Check list)
Level 0 – Laws & Regulations
Level 3 – IT Best Practices, Standard and Lessons Learned( How to do…Lesson learned …What can go wrong ? )
Self-assessment focuses on objectives, risks and controls Management :
Objectivesare things and organization wants to accomplish.
Risksare things that might prevent accomplishing and objective.
Controlare things that help meet an objective by managing that risk.
If objectives are not clear,…What can go wrong? What is/are consequences to risks & controls & ERM?
What can go wrong & it consequences …if we fail to identify risks from the causes.?
Then…What is/are the end results of ERM to Objectives & Business?
IT Governance / GRC / Compliance & ORCA UnderstandingBalancing Strategies on Balance Scorecard & S-O-F-C
(People –Process Technology& Other IT Resources)
เปรยบเทยบการตรวจสอบแนวทางเดมกบแนวทางใหม กบ มมมองของ ITG&GRCเพอสรางคณคาเพมในการตรวจสอบ ใหกบ Stakeholders
SR98-9 IT Risks
Audit Management Process to
identify, Measure, Monitor, Control
MGT. (incl. Audits & MIS)SecurityIntegrity/Privacy (icl.SDLC)Availability
FI Bus.Tech Platform
IT-RBS
Dep
osit
Loan
FX E-
Ban
king
Cen
tral
IT D
ept.
Dep
osit
Loan
FX Cen
tral I
T D
ept.
E-B
anki
ng
FFIEC 1996
Transactional Approach
Ope
ratio
nal R
isk
Man
agem
ent
ทมา : ธนาคารแหงประเทศไทย
IT Risks VS Risk-based Audit and Supervision/Audit Approaches for IT Governance / GRC
COSO/ERMBOTFFIECความเสยงดานเทคโนโลยสารสนเทศ
(IT Risks)ความเสยงของ สง. 5 ดาน ERM
ความเสยงดานการบรหารงานเทคโนโลยสารสนเทศ
ความเสยงดานการปฏบตการการรกษาความปลอดภย
ความถกตองเชอถอไดของขอมลความพรอมใชงาน
ความเสยงดานชอเสยงความเสยงดานการปฏบตตามกฎหมาย
ความเสยงดานกลยทธ
ความเสยงดานการปฏบตงาน
ความเสยงดานเครดต
ความเสยงดานสภาพคลอง
ความเสยงดานตลาด
S -ความเสยงดานกลยทธ
O - ความเสยง ดานการปฏบตงาน
C -ความเสยงการปฏบต
ดานกฎหมาย กฎเกณฑ ฯ
F -ความเสยงการรายงาน/การเงน
ทมา : ปรบปรง/ดดแปลง จากธนาคารแหงประเทศไทย
บทเรยน จากการ ทจรต 240,000.00 ลานบาท[us$7000ลาน] ทางดาน IT Riskกบ การบรหารความเสยง ของธนาคาร โซซเอเต เจเนอราล [Soc Gen]/ ฝรงเศส/ Jan.08 + +
ความร ความเขาใจในกระบวนการ / ขนตอน ระบบงาน การตรวจสอบและการควบคมภายใน + ของนาย Kerviel ผบรหาร และ คณะกรรมการตางๆ
รวมกนทบทวน กาหนด นโยบาย กลยทธ กระบวนการทางาน++ จากบทเรยนน
วฒนธรรมองคกร +
Corporate Value +
การแขงขน+
ความตองการการยอมรบ
People-Process-Technology
COSO/ERM &
ITG+ISO&
GRC+ Tools
++ปญหาสถาบนการเงนกบ GRC .ใน US สาสด++
Changing the Internal Auditor’s Paradigm
Internal Audit Focus Internal Control Business RiskInternal Audit Response Reactive, after-the-fact, Proactive real-time,
discontinuous, observers continuous monitoring,of strategic planning participants in strategic plansinitiatives
Risk Assessment Risk Factors Scenario PlanningInternal Audit Tests Important Controls Important RisksInternal Audit Methods Emphasis on the Emphasis on the
Completeness of Detail Significance of BroadControls Testing Business Risk CoveredInternal Control: Risk Management :
* Strengthened * Avoid/Diversify Risk* Cost-Benefit * Share/Transfer Risk* Efficient/Effective * Control/Accept Risk
Internal Audit Reports Addressing the Addressing the Process RiskFunctional Controls
Internal Audit Role in Independent Appraisal Integrated Risk Managementthe Organization Functional and corporate Governance
Characteristic Old Paradigm New Paradigm
ทมา : IIA Institute
มตท4 การเรยนรและการพฒนา
การกากบดแลกจการและเทคโนโลยสารสนเทศทดเพอการบรรลผลการปฏบตราชการของกรมศลกากร
Responsib
ility
มความเขา
ใจและมขด
ความสามา
รถใน
การประพฤ
ตปฏบตได
ตามหนาทแ
ละความรบ
ผดชอบ
Accoun
tability
แสดงความรบผด
และรบชอบต
อผล
การปฏบ
ตหนาท
Promo
tion of
Best P
ractice
s
สงเสรม
การปฏบตอ
นเปนเลศ
และการมจร
รยาบรรณทด
ในการป
ระกอบธ
รกจ
Socia
l and
Envir
onme
ntal
Aware
ness
มความ
สานกทตองรบ
ผดชอบตอสงคม
และสงแว
ดลอม
Equita
ble Tr
eatme
nt
ปฏบตตอผ
มสวนไ
ดสวนเสยท
กกลม
อยางเทาเทยมและ
เปนธรรม
การกากบดแลกจการทดเพอการเตบโตอยางยงยนขององคกร/รฐวสาหกจ
Transp
arency
แสดงความโปรงใสในกา
รดาเนนงาน
สามารถอธบ
ายและต
รวจสอบ
ได
มตท1 ความมนคงทางการเงน&CSR
มตท2 ความพงพอใจของลกคา
มตท3 กระบวนการภายใน /Business Processes
Crea
tion o
f Lon
g Term
Valu
eแส
ดงกล
ยทธแ
ละขด
ความสามารถ
ในการส
รางมล
คาเพม
ใหกบ
กจการใน
ระยะยาว
ความมนคงขององคกร ทมาจากการบรหารความเสยงและการควบคมภายใน/การตรวจสอบแบบ Cross Functional
ความเสยงของ สง. 5 ดาน
ความเสยงดานกลยทธ
ความเสยงดานการปฏบตงาน
ความเสยงดานเครดต
ความเสยงดานสภาพคลอง
ความเสยงดานตลาด
S -ความเสยงดานกลยทธ
COSO-ERM
O - ความเสยง ดานการปฏบตงาน
C -ความเสยงการปฏบต
ดานกฎหมาย กฎเกณฑ ฯ
F -ความเสยงการรายงาน/การเงน
ความเสยงดานเทคโนโลยสารสนเทศ (IT Risks)/Principle-based
ความเสยงดานการบรหารงานเทคโนโลยสารสนเทศ
ความเสยงดานการปฏบตการการรกษาความปลอดภย
ความถกตองเชอถอไดของขอมลความพรอมใชงาน
ความเสยงดานชอเสยงความเสยงดานการปฏบตตามกฎหมาย
บรรษทภบาล (CG) เปนแกนแทของการเตบโตอยางยงยนของทกองคกร
Vision & Mission ขององคกรแผนงานและโครงการตาง ๆตาม SMARTKSF & KPIการควบคมภายในและการตรวจสอบการปรบปรงและการรายงานผล
131
การกาหนด Statement Of Direction หรอ ทศทางการบรหารของ ผกากบกฎเกณฑ กบ องคกรท
เกยวของ