CG+ITG+GRC Perspectivesand

COSO - Enterprise Risk ManagementSept 17 2008

โดย : เมธา สวรรณสารMetha Suvanasarn CIA;CPA

กรอบ CG กบแนวนโยบายของผถอหน (SOD) และกลยทธส Action Plan

หลกธรรมาภบาล และการกากบดแลการบรหารจดการ

ทมงประสทธภาพไดมาตรฐานระดบสากล (World Class)

PROM

OTIO

N OF B

EST P

RACT

ICES

สงเสร

มการป

ฏบตอ

นเปนเล

ศ แล

ะการม

จรรยาบรรณท

ดในก

ารประกอ

บธรกจ

ACCO

UNTA

BILITY

แสดงคว

ามยอมร

บผด

และรบช

อบตอ

ผลการป

ฏบตห

นาท

RESP

ONSIB

ILITY

มความ

เขาใจแ

ละมข

ดความ

สามารถใน

การ

ประพ

ฤตปฏ

บตได

ตามห

นาทแ

ละคว

ามรบ

ผดชอ

บ

CREA

TION O

F LON

G TER

M VA

LUE

แสดงกล

ยทธแ

ละขด

ความสามารถ

ในการ

สรางม

ลคาเพ

มใหก

บกจก

ารในร

ะยะยาว

TRAN

SPAR

ENCY

แสดงคว

ามโป

รงใสในก

ารดาเน

นงาน

สามารถอธ

บายและ

ตรวจสอ

บได

EQUI

TABL

E TRE

ATME

NTปฏ

บตตอ

ผมสว

นไดส

วนเสย

ทกกล

มอยางเ

ทาเทย

ม และ

เปนธรรม

SOCI

AL &

ENVI

RONM

ENTA

L AWA

RENE

SSมค

วามสานก

ทตองรบ

ผดชอ

บตอส

งคม

และส

งแวด

ลอม

แนวนโยบายผถอหน (Statement of Direction - SOD) ผสมผสานกบหลกการ Balanced Scorecardวสยทศน+พนธกจ+นโยบาย+กลยทธส Action Plan เพอวดประสทธภาพของการบรหารและการจดการ (ด Slide ประกอบ)การประเมนตนเอง (CSA/CSR) ทม KPI ทชดเจน ไมกากวม ตรงกบเปาหมาย โดยใชมาตรฐานสากลทเปนทยอมรบทวไป (ถาม)

Vision, Mission and ValuesBusiness Model

Strategic Objectives for Measurement

Performance Measures for SMART Objectives

State Enterprise Performance TargetsInitiatives / Plans of Action

LinkagesActions for Quality Cycle / P-D-A-C

Organizational CapabilityInternal ProcessCustomerFinancial /CSR

Driven by Owners Output/Outcomes

Translating Vision and Strategy to Performance Measurement – Drivers & Output/Outcome

What we want to be?

How will it get there?

How will we get there specifically?

What more precise details must weaim for?

What are the cause and effects of long term value?

What levels of targets should be set forOrg. by Owner ?What initiatives are required to achievethese targets by Org.?Do these measures summarize ourExistence actions ? Org. & Owner.

Promotion of Best Practices and other to CG and ITG

Do we want to meet acceptable international standard concerned?CG & ITG,COSO-ERM,IAS 39, AML, ITIL,

ISO/ 27001, CMMI, + +Basel II,++ etc.

ทมา : ดดแปลงบางสวนจาก Hewitt Institute

• ระดบวสยทศน โดยคณะผบรหารระดบสง หรอคณะกรรมการบรหาร

การบรหาร IT Governance• ระดบการบรหารโดยผอานวยการ และรองผอานวยการ

• ระดบปฏบตการโดยผบรหารลงไปถงผปฏบต

การกากบดแลกจการทดขององคกร

(จตวญญาณ/ความยงยน)

ระบบการควบคม(ศนยรวมประสาท)

ระบบการบรหารความเสยง

(ภมคมกน)

ระบบการตรวจสอบภายใน (การตอบสนอง)

ระบบงานภายนอก

ระบบงานสวนหนา

ระบบงานสวนกลาง

ระบบงานสวนหลง

ระบบเทคโนโลยสารสนเทศ-IT(โครงกระดก)

กรอบการกากบดแลกจการทด CG&ITG และการบรหารเพอสรางคณคาเพมกบ Soft Controls

Tone at the Top

Understanding IT Controls & IT Risk

• A top-down approach used when considering controls to implement and determining areas on which to focus.

IT Risk factors aligned with their tiers in the pyramid

Poor IT-business relationsPoor project delivery+++

Applications do not meet business requirementsManual data integration required+++

Applications need standardizationLack of internal controls in applicationsNetwork not reliable at all locations+++

Infrastructure not standardizedOld technologyPoor backup/recoveryPoor understood processes and applications+++

Agility

Accuracy

Access

Availability

ISMS/ISO27001&

CIA

Source: Adopt from IT Risk –turning business threats into competitive advantage by George Westerman & Richard Hunter

IT Governance เปนสวนหนงทสาคญยงของ Good Corporate Governanceของ องคกร

Enterprise Risk Mgmt.covering corporate or business support mgmt. ทเกยวของกบความเสยง ในการใชเทคโนโลยสารสนเทศ

องคประกอบการควบคมภายในทง 8 และวตถประสงค+การตรวจสอบตามวตถประสงคหลก ทง 4 ประการของ COSO-ERMArea Potential Concerns

Financial statements, Operational, Compliance, Logical, Program, Management result, etc.,… Results

Results may or may not be accurate depending upon how processing takes place and what impacts that processing has...

(what can go wrong? what should be right?)

... …

IT installation environmentThe IT installation may contain control aspects which can interrupt or change the results of either individual or common system processing

System softwareOne or more system may be dependent upon common IT system software such as database management or communications software

Common systems may cut across individual systems, partially using their results

Individual application system environment

Individual systems Feed results upwards IT processing is input and accurate

Common application systems

Transactions may cut across system lines

Transactions

The horizontal and vertical impacts of Information Technology (IT) on the organization and risk management

: แสดงถง Total System Approaches ของระบบงานในภาพกวางๆ ขององคกรทใชเทคโนโลยสารสนเทศซงตองการความเขาใจและการประสานงานจากผเกยวของกบผบรหารงานขององคกรอยางเขาใจจรงทงทางดาน IT , non-IT และITG โดยรวมและตองการบรหารความเสยงแบบ Convergenceขององคกรเพมขนอกมากในเรองการกากบดแลกจการทด (Good Corporate Governance) + IT Governance ซงองคกร ควรจะไดพจารณาในการบรหารแบบบรณาการทเกยวของกบ business processes เพอกาวไปส Objectives ตามหลก SMART โดยรวม + +

Information Security – International Standard (ISO 27001) to IT Audit perspectives

1. Security policy

2. Organization of information security

3. Asset management

4. Human resources security

5. Physical and environmental security6. Communications and operations management

7. Access control8. Information systems acquisition,

development and maintenance9. Information security incident

management10. Business continuity managementBusiness continuity management

11. Compliance

ISO 27001Objectives

...

Supervision / Monitoring / Across Criteria / Functions

...

Interdependent Approaches / Consideration

Processes & Activities

Domains

CEO – CIO – CFO – COO – and…

Consideration of common errors in identifying objectives & negative consequences Identifying a means as an end.

Failing to consider each type & all types of objectives.Failing to consider the relationships between objectives.

IT Governance & GRC + Risk Convergence Framework

Office of The Auditor GeneralThai OAG

COSOS-O-F-C

Rules & Regulations by Regulators

Rules & Regulations by Regulators & International Standard

Thai E-Transaction Laws / Thai Laws

COBIT ISO / IEC ITIL (IT Infrastructure Library)

Lessons Learned/Other Standard

Balancing Strategies on Balance Scorecard & S-O-F-C (People –Process Technology& Other IT Resources)

สวนประกอบของ Enterprise Risk Management (ERM)1. สภาพแวดลอมภายในองคกร (Internal Environment)

Risk Management Philosophy – Risk Culture – Board of director – Integrity and Ethical Values – Committee to Competence – Management’s Philosophy and Operation Style – Risk Appetite – Organization – Assignment of Authority and responsibility – Human Resource Policy

2. การกาหนดเปาหมาย (Objective Setting)Strategic Objective – Related Objectives – Selected Objectives – Risk Appetite – Risk Tolerance

3. การระบเหตการณ (Event Identification)Events – Factors Influencing Strategy and Objectives – Methodologies and Techniques – Event Interdependencies – Event Categories –

- Risk and Opportunities

5. การตอบสนองความเสยง (Risk Response)Identify Risk Response – Evaluate Possible Risk Responses – Select Risk Responses – Portfolio View

4. การประเมนความเสยง (Risk Assessment)Inherent and Residual Risk – Likelihood and Impact – Methodologies and Techniques - Correlation

6. กจกรรมควบคม (Control Activities)Integration with risk response – Types of Control Activities – General Controls – Application Controls – Entity Specific

7. ระบบสารสนเทศและการตดตอสอสาร (Information and Communication)Information – Strategic and Integrated Systems - Communication

8. การตดตามและประเมนผล (Monitoring)Separate Evaluation – Ongoing Evaluation

External – regulators, analysts, investors, stakeholders 

Board/senior management oversight

Auditcommittee

Riskcommittee

Othercommittee

BusinessUnit

BusinessUnit

BusinessUnit

BusinessUnit

Riskmanagement

Internalaudit

Legal/compliance

Finance/Sox

Informationtechnology Other

Source : Ernst & Young

Corporate Governance + ERM + Compliance

Enterprise Risk Mgmt.Enterprise Risk Mgmt.<COSO<COSO--SS--OO--FF--CC>>

External & InternalExternal & Internal< Rules & Regulators & Int< Rules & Regulators & Int’’l standards>l standards>

<tools><tools> Internal controls & audit<Reasonable Assurance>

Inf. Security Mgmt.Inf. Security Mgmt.IT Risk Mgmt.

Value creation & Performance Measurement

IT & Non IT processes

Consultative Approach for fundamental /

standards processesComputer Audit<tools>

Translating Vision-Mission & Strategy to Balanced Scorecard for Performance Measurement Linkages to action for Quality Cycle / P-D-C-A

GAP ANALYSIS฿ VALUE

CREATION

Level 1 – Internal Control Framework – COSO / Enterprise Risk Mgmt.

Level 2 – Internal Control Framework – IT Governance/ISO(Enterprise Wide-What to do/ Check list)

Level 0 – Laws & Regulations

Level 3 – IT Best Practices, Standard and Lessons Learned( How to do…Lesson learned …What can go wrong ? )

Self-assessment focuses on objectives, risks and controls Management :

Objectivesare things and organization wants to accomplish.

Risksare things that might prevent accomplishing and objective.

Controlare things that help meet an objective by managing that risk.

If objectives are not clear,…What can go wrong? What is/are consequences to risks & controls & ERM?

What can go wrong & it consequences …if we fail to identify risks from the causes.?

Then…What is/are the end results of ERM to Objectives & Business?

IT Governance / GRC / Compliance & ORCA UnderstandingBalancing Strategies on Balance Scorecard & S-O-F-C

(People –Process Technology& Other IT Resources)

เปรยบเทยบการตรวจสอบแนวทางเดมกบแนวทางใหม กบ มมมองของ ITG&GRCเพอสรางคณคาเพมในการตรวจสอบ ใหกบ Stakeholders

SR98-9 IT Risks

Audit Management Process to

identify, Measure, Monitor, Control

MGT. (incl. Audits & MIS)SecurityIntegrity/Privacy (icl.SDLC)Availability

FI Bus.Tech Platform

IT-RBS

Dep

osit

Loan

FX E-

Ban

king

Cen

tral

IT D

ept.

Dep

osit

Loan

FX Cen

tral I

T D

ept.

E-B

anki

ng

FFIEC 1996

Transactional Approach

Ope

ratio

nal R

isk

Man

agem

ent

ทมา : ธนาคารแหงประเทศไทย

IT Risks VS Risk-based Audit and Supervision/Audit Approaches for IT Governance / GRC

COSO/ERMBOTFFIECความเสยงดานเทคโนโลยสารสนเทศ

(IT Risks)ความเสยงของ สง. 5 ดาน ERM

ความเสยงดานการบรหารงานเทคโนโลยสารสนเทศ

ความเสยงดานการปฏบตการการรกษาความปลอดภย

ความถกตองเชอถอไดของขอมลความพรอมใชงาน

ความเสยงดานชอเสยงความเสยงดานการปฏบตตามกฎหมาย

ความเสยงดานกลยทธ

ความเสยงดานการปฏบตงาน

ความเสยงดานเครดต

ความเสยงดานสภาพคลอง

ความเสยงดานตลาด

S -ความเสยงดานกลยทธ

O - ความเสยง ดานการปฏบตงาน

C -ความเสยงการปฏบต

ดานกฎหมาย กฎเกณฑ ฯ

F -ความเสยงการรายงาน/การเงน

ทมา : ปรบปรง/ดดแปลง จากธนาคารแหงประเทศไทย

บทเรยน จากการ ทจรต 240,000.00 ลานบาท[us$7000ลาน] ทางดาน IT Riskกบ การบรหารความเสยง ของธนาคาร โซซเอเต เจเนอราล [Soc Gen]/ ฝรงเศส/ Jan.08 + +

ความร ความเขาใจในกระบวนการ / ขนตอน ระบบงาน การตรวจสอบและการควบคมภายใน + ของนาย Kerviel ผบรหาร และ คณะกรรมการตางๆ

รวมกนทบทวน กาหนด นโยบาย กลยทธ กระบวนการทางาน++ จากบทเรยนน

วฒนธรรมองคกร +

Corporate Value +

การแขงขน+

ความตองการการยอมรบ

People-Process-Technology

COSO/ERM &

ITG+ISO&

GRC+ Tools

++ปญหาสถาบนการเงนกบ GRC .ใน US สาสด++

Changing the Internal Auditor’s Paradigm

Internal Audit Focus Internal Control Business RiskInternal Audit Response Reactive, after-the-fact, Proactive real-time,

discontinuous, observers continuous monitoring,of strategic planning participants in strategic plansinitiatives

Risk Assessment Risk Factors Scenario PlanningInternal Audit Tests Important Controls Important RisksInternal Audit Methods Emphasis on the Emphasis on the

Completeness of Detail Significance of BroadControls Testing Business Risk CoveredInternal Control: Risk Management :

* Strengthened * Avoid/Diversify Risk* Cost-Benefit * Share/Transfer Risk* Efficient/Effective * Control/Accept Risk

Internal Audit Reports Addressing the Addressing the Process RiskFunctional Controls

Internal Audit Role in Independent Appraisal Integrated Risk Managementthe Organization Functional and corporate Governance

Characteristic Old Paradigm New Paradigm

ทมา : IIA Institute

มตท4 การเรยนรและการพฒนา

การกากบดแลกจการและเทคโนโลยสารสนเทศทดเพอการบรรลผลการปฏบตราชการของกรมศลกากร

Responsib

ility

มความเขา

ใจและมขด

ความสามา

รถใน

การประพฤ

ตปฏบตได

ตามหนาทแ

ละความรบ

ผดชอบ

Accoun

tability

แสดงความรบผด

และรบชอบต

อผล

การปฏบ

ตหนาท

Promo

tion of

Best P

ractice

s

สงเสรม

การปฏบตอ

นเปนเลศ

และการมจร

รยาบรรณทด

ในการป

ระกอบธ

รกจ

Socia

l and

Envir

onme

ntal

Aware

ness

มความ

สานกทตองรบ

ผดชอบตอสงคม

และสงแว

ดลอม

Equita

ble Tr

eatme

nt

ปฏบตตอผ

มสวนไ

ดสวนเสยท

กกลม

อยางเทาเทยมและ

เปนธรรม

การกากบดแลกจการทดเพอการเตบโตอยางยงยนขององคกร/รฐวสาหกจ

Transp

arency

แสดงความโปรงใสในกา

รดาเนนงาน

สามารถอธบ

ายและต

รวจสอบ

ได

มตท1 ความมนคงทางการเงน&CSR

มตท2 ความพงพอใจของลกคา

มตท3 กระบวนการภายใน /Business Processes

Crea

tion o

f Lon

g Term

Valu

eแส

ดงกล

ยทธแ

ละขด

ความสามารถ

ในการส

รางมล

คาเพม

ใหกบ

กจการใน

ระยะยาว

ความมนคงขององคกร ทมาจากการบรหารความเสยงและการควบคมภายใน/การตรวจสอบแบบ Cross Functional

ความเสยงของ สง. 5 ดาน

ความเสยงดานกลยทธ

ความเสยงดานการปฏบตงาน

ความเสยงดานเครดต

ความเสยงดานสภาพคลอง

ความเสยงดานตลาด

S -ความเสยงดานกลยทธ

COSO-ERM

O - ความเสยง ดานการปฏบตงาน

C -ความเสยงการปฏบต

ดานกฎหมาย กฎเกณฑ ฯ

F -ความเสยงการรายงาน/การเงน

ความเสยงดานเทคโนโลยสารสนเทศ (IT Risks)/Principle-based

ความเสยงดานการบรหารงานเทคโนโลยสารสนเทศ

ความเสยงดานการปฏบตการการรกษาความปลอดภย

ความถกตองเชอถอไดของขอมลความพรอมใชงาน

ความเสยงดานชอเสยงความเสยงดานการปฏบตตามกฎหมาย

บรรษทภบาล (CG) เปนแกนแทของการเตบโตอยางยงยนของทกองคกร

Vision & Mission ขององคกรแผนงานและโครงการตาง ๆตาม SMARTKSF & KPIการควบคมภายในและการตรวจสอบการปรบปรงและการรายงานผล

131

การกาหนด Statement Of Direction หรอ ทศทางการบรหารของ ผกากบกฎเกณฑ กบ องคกรท

เกยวของ