IA Clinic 2/2016 COBIT5 and Lesson learned from …file.sogoodweb.com/upload/3712/IKMBqzJwXF.pdf ·...

COBIT5 and Lesson learned

from Implementation

KRITPAT CHALEARNLAP

VP. – IT Audit, KTC

27 February 2016

IA Clinic 2/2016

1

วตถประสงค

2

เพอแนะน าโมเดลประเมนความเสยงตนเองดานเทคโนโลยสารสนเทศ (IT Risk Control Self Assessment : IT RCSA) โดยประยกตใช COBIT5 มาเปนกรอบในการด าเนนงาน

ปญหาและอปสรรคจาก Implementation

เพอแสดงตวอยางการประเมนความเสยงตนเองดาน IT

Agenda

3

1. IT Governance (ITG) Overview2. COBIT5 Overview

3. ITG - IT RCSA Implementation Approach

4. IT RCSA Form

5. Q & A

ธรรมาภบาลดาน IT เปนโครงสรางของความสมพนธ และการน าเสนอ

กระบวนการ และการควบคมทศทางขององคกร โดยการเพมมลคา และ

การจดการความเสยงดาน IT เพอใหเปนไปตามวตถประสงคขององคกร

“The responsibility of executives and the board of directors; consists of

the leadership, organizational structures and processes that ensure that the

enterprise’s IT sustains and extends the enterprise’s strategies and objectives”

The Information Systems Audit and Control Association,

IT Governance Overview

4

IT Governance (ITG) is subset of Corporate Governance (CG)

IT Governance Overview

5

Corporate Governance

(CG)

IT

Governance

(ITG)

“Enterprise Governance is the system by which business corporation and controlled”

IT Governance using COBIT5

6

Compliance

Corporate Governance

IT Governance

Information Security Governance

Enterprise Risk Management

IT Risks

Information Security Risks

Risk Management

G R

Governance

Laws / Regulations

Standards / Rules

Policies / Procedures

C

กรอบการด าเนนงานก ากบดแล และการบรหาร

จดการดาน IT ในระดบองคกรโดยใช COBIT5

GRC and IT-related Frameworks

COSO & COBIT

acting as the consolidator („UmbrellA‟)

COSO

COBIT

WHAT

SCOPE OF COVERAGE

HOW

ITILISO 20000

CMM

BCMISO 17799ISO 27001 ISO 9000

7

Agenda

8

1. IT Governance (ITG) Overview

2.COBIT5 Overview


4. IT RCSA Form

5. Q & A

2.1 What‟s COBIT5 ?

Control Objectives

for Information and Related Technology

(COBIT)

9

Governance of Enterprise IT

COBIT5

IT Governance

COBIT4.0/4.1

IT Management

COBIT3

Control

COBIT2

An business framework from ISACA, at www.isaca.org/cobit

Audit

COBIT1

COBIT5 Evolution of Scope(Principle 3. Applying a Single Integrated Framework)

200520001998

Ind

ivid

ual

Kn

ow

led

ge(I

nst

ant

Vie

w)

1996

Val IT 2.0(2008)

Risk IT(2009)

Corporate Knowledge (Enterprise View)

2012

10

Hype Cycle for Education, 2013

11

COBIT5 Principles

12

4. Enabling

a Holistic

Approach

5. Separating

Governance From

Management

2. Covering

the Enterprise

End-to-end

3. Applying a

Single Integrated

Framework

1. Meeting Stakeholder Needs

COBIT5

Principles

Stakeholder needs have to be transformed into Enterprise’s Practical Strategy.

The COBIT5 goals cascade translates stakeholder needs into specific, practical and customised goals within the context of the Enterprise, IT-related and Enabler goals.

Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.

Principle 1. Meeting Stakeholder Needs :

13

Key components of Governance System



Principle 2. Covering the Enterprise End-to-end :

14

COBIT5 aligns with the latest relevant other standards and frameworks used by enterprises:

Enterprise : COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000

IT-related : ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI

This allows the enterprise to use COBIT5 as the overarching governance and management framework integrator.

ISACA plans a capability to facilitate COBIT user mapping of practices and activities to third-party references.

Principle 3. Applying a Single Integrated Framework :

15

5. Information

1. Principles, Policies and Frameworks

IT Resources

4. Culture, Ethics and Behavior

3. Organizational Structures

2. Processes

6. Services, Infrastructure and Applications

7. People, Skills and Competencies

Principle 4. Enabling a Holistic Approach :

16

Evaluate

IT Governance (Domain 1 : EDM)5/15/79

Management Feedback

5 Processes15 Practices79 Activities

Plan (Domain 2

APO)

Build(Domain 3

BAI)

Run(Domain 4

DSS)

Monitor(Domain 5

MEA)13 Processes72 Practices

395 Activities

10 Processes68 Practices

345 Activities

6 Processes38 Practices

205 Activities

3 Processes17 Practices88 Activities

17

Principle 5. Separating Governance From Management :

Direct

IT Management32/195/1033

Monitor

Domains (5) Processes (37) Practices (210*) Activities (1,112*)

Governance of Enterprise ITDomain 1 : Evaluate, Direct and Monitor (EDM)

EDM01 Ensure Governance Framework Setting and

Maintenance

EDM02 EnsureBenefits Delivery

EDM03 Ensure Risk

Optimisation

EDM04 Ensure Resource

Optimisation

EDM05 Ensure Stakeholder

Transparency

APO01 Manage the IT Management Framework

APO03 Manage Enterprise

Architecture

APO02 ManageStrategy

MEA03 Monitor, Evaluate

and Assess Compliance With

External Requirements


and Assess the System of Internal

Control

MEA01 Monitor, Evaluate and

Assess Performance and

Conformance

APO04 ManageInnovation

APO05 ManagePortfolio

APO06 ManageBudget and

Costs

APO07 ManageHuman

Resources

APO08 ManageRelationships

APO10 ManageSuppliers

APO09 Manage Service

Agreements

APO11 ManageQuality

APO12 Manage

Risk

APO13 ManageSecurity

BAI01 Manage Programmes and Projects

BAI03 Manage Solutions

Identification and Build

BAI02 Manage Requirements

Definition

BAI04 ManageAvailability

and Capacity

BAI05 Manage Organizational

Change Enablement

BAI06 ManageChanges

BAI07 Manage Change

Acceptance and Transitioning

BAI08 ManageKnowledge

BAI10 ManageConfiguration

BAI09 ManageAssets

DSS01 Manage Operations

DSS03 Manage Problems

DSS02 Manage Service Requests

and Incidents

DSS04 Manage Continuity

DSS05 Manage Security Services

DSS06 Manage Business Process

Controls

Domain 2 : Align, Plan and Organise (APO)

Domain 3 : Build, Acquire and Implement (BAI)

Domain 4 : Deliver, Service and Support (DSS)

Management of Enterprise IT

Domain 5 : Monitor, Evaluate and Assess (MEA)


Compliance

2.2 How COBIT5 ties to BSC(Balanced Scorecard) ?

19

Governance and

Management

Process

5 Domains

37 Processes

210 Practices

1112 Activities

7 Enabler Goals

Principles, Policies

and Frameworks

Processes

Organizational

Structures

Culture, Ethics and

Behavior

Information

Services,

Infrastructure and

Applications

People, Skills

and Competencies

BSC17 Enterprise

Goals

17 IT-related

Goals

Financial 5 6

Customer 5 2

Internal Process 5 7

Learning & Growth 2 2

Enterprise Goals

IT-related Goals

Enabler Goals

Pain Point

Consideration

•………………

•………………

Risk

2.3 Where‟s COBIT5 for IT Strategy ?

20

None of …

Other

ISO 27000

CMI

ISO 20000

COBIT

BSM

Six Sigma

ITIL

What IT strategies are you trying to implement in your company? (check all that apply)

12%

COBIT

71%

22%

18%

15%

14%

12%

7%

16%

n= 616 © Copyright BMC Software, Inc.

2.4 Why we are using COBIT5 ?

21

Enterprise Risk Management / Compliance :o Respond to increasing Compliance requirementso Balance the Risk and Control in IT business

IT / Business :o Mitigate risk with effective Strategy Plan o Obtain Assurance on the security and control of services & products

provided by internal and third parties or services providero Benchmark existing and future of IT environments

Auditors / Management :o What are Residual Risks and necessary Controls ?o Substantiate opinions to Senior Management on Internal Controls

Other Enabler Guides

COBIT5 Product Family

COBIT5 Enabling Processes

COBIT5Enabling Information

COBIT5 Framework

COBIT5for Information

Security

COBIT5 for Assurance

COBIT5for Risk

Other Professional Guides

Other Enabler Guides

COBIT5 Enabler Guides

COBIT5 Professional Guides

Pain Point for ITG & IT General Computer Control (IT GCC)

ITG - IT RCSA / IT Risk-Based Audit

IT RCSA & IT Risk-Based Audit

COBIT5 - ITG and IT Risk Base Audit

22

Governance of Enterprise ITDomain 1 : Evaluate, Direct and Monitor (EDM)

EDM01 Ensure Governance Framework Setting and

Maintenance

EDM02 EnsureBenefits Delivery

EDM03 Ensure Risk

Optimisation

EDM04 Ensure Resource

Optimisation

EDM05 Ensure Stakeholder

Transparency

APO01 Manage the IT Management Framework

APO03 Manage Enterprise

Architecture

APO02 ManageStrategy


and Assess Compliance With

External Requirements


and Assess the System of Internal

Control


and Assess Performance and

Conformance

APO04 ManageInnovation

APO05 ManagePortfolio

APO06 ManageBudget and

Costs

APO07 ManageHuman

Resources

APO08 ManageRelationships

APO10 ManageSuppliers

APO09 Manage Service

Agreements

APO11 ManageQuality

APO12 Manage

Risk

APO13 ManageSecurity

BAI01 Manage Programmes and Projects

BAI03 Manage Solutions

Identification and Build

BAI02 Manage Requirements

Definition

BAI04 ManageAvailability

and Capacity

BAI05 Manage Organizational

Change Enablement

BAI06 ManageChanges

BAI07 Manage Change

Acceptance and Transitioning

BAI08 ManageKnowledge

BAI10 ManageConfiguration

BAI09 ManageAssets

DSS01 Manage Operations

DSS03 Manage Problems

DSS02 Manage Service Requests

and Incidents

DSS04 Manage Continuity

DSS05 Manage Security Services

DSS06 Manage Business Process

Controls

Domain 2 : Align, Plan and Organise (APO)

Domain 3 : Build, Acquire and Implement (BAI)

Domain 4 : Deliver, Service and Support (DSS)

Management of Enterprise IT

Domain 5 : Monitor, Evaluate and Assess (MEA)


Compliance

2.5 When do we

“Communicate / Educate” ?

24

IT Governance using COBIT5

AFAS

Agenda

25


2. COBIT5 Overview


4. IT RCSA Form

5. Q & A

ITG Model (RACI chart)

IA Model(PCDA chart)

ComplianceIT /

Business


(ERM)

ITG Compliance

ITG - IT RCSA / RCSA

RCSA / ITG – IT RCSA

Enterprise Goals

7 Enabler Goals& 7 IT Challenge

IT-related Goals

COBIT5

Model

BenefitsRealization

ResourceOptimization

RiskOptimization

CG Objectives Value Creation

IA RCSA / ITG - IT Risk Base Audit /

IT GCC

Internal Audit

Scope of Work

Business /

Department

IT RCSA Mapping Model (BSC)

26

ITG - IT RCSA Approach

ITG using COBIT5 IT RCSA Model Mapping / Value Creation

27

Pain Points in IT RCSA

Driver

Stakeholders Needs

Governance Objective

Value Creation

BenefitsRealization

(30 %)

ResourceOptimization

(20%)

Risk Optimization

(50 %)

Enterprise Goals

Information and Related Technology Goals

Mapping

Mapping

Mapping

28

ITG using COBIT5 IT RCSA Model Mapping / Value Creation

Problem / Risk 7 Enabler Goals

Principles, Policies and

Frameworks

Processes

Organizational Structures

Culture, Ethics and Behavior

Information

Services, Infrastructure and

Applications

People, Skills and

Competencies

Domains, Processes, Practices and Activities

7 IT Challenges

Keeping IT running

Value

Cost

Mastering Complexity

Aligning IT with the

Business

Regulatory Compliance

Security

1

2

3

4

56

7

IT Risk

29

BSC Enterprise Goals

Remark : P – Primary relationship, S – Secondary relationship

ตารางท 1 - เปาหมายระดบองคกรของ COBIT5

มตการวดผลแบบสมดล

เปาหมายระดบองคกร

ความเชอมโยงกบวตถประสงคในการก ากบดแล

การไดรบผลประโยชน

(30%)

ความเสยงทเหมาะสม

(50%)

ทรพยากรทใหประโยชน

สงสด(20%)

ดานการเงน

1 คณคาจากการลงทนในธรกจของผมสวนไดเสย P S2 กลม (Portfolio) ของผลตภณฑและบรการทมความสามารถในการแขงขน P P S3 ความเสยงทางธรกจทไดรบการจดการ (การปกปองคมครองสนทรพย) P S4 การปฏบตตามกฎหมายและกฎระเบยบขอบงคบจากภายนอก P5 ความโปรงใสทางการเงน P S S

ดานลกคา

6 วฒนธรรมทเนนการบรการลกคา P S7 บรการของธรกจมความตอเนองและความพรอมใหบรการ P8 การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมทางธรกจ P S9 การตดสนใจเชงกลยทธบนพนฐานของสารสนเทศ P P P10 ตนทนในการสงมอบบรการทใหประโยชนสงสด P P

ดานกระบวนการภายใน

11 หนาทงานในกระบวนการทางธรกจทใหประโยชนสงสด P P12 ตนทนของกระบวนการทางธรกจทใหประโยชนสงสด P P13 ชดโครงการเพอการเปลยนแปลงทางธรกจทไดรบการบรหารจดการ P P S14 การปฏบตงานและบคลากรทมประสทธภาพ P P15 การปฏบตตามนโยบายภายในองคกร P

ดานการเรยนรและเตบโต

16 บคลากรทมทกษะและแรงจงใจ S P P17 วฒนธรรมทสงเสรมนวตกรรมส าหรบผลตภณฑและการด าเนนธรกจ P

ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล< เลอกใช Model 1 คาน าหนก 30:50:20 >

30

ผลรวมความเชอมโยง

ระดบความเชอมโยงกบ

วตถประสงคในการก ากบดแล

86 – 100 571 – 85 456 – 70 341 – 55 2<= 40 1



ระดบความเชอมโยงกบวตถประสงคในการก ากบ

ดแล


(คาน าหนก 30%)



ทรพยากรทใหประโยชนสงสด(คาน าหนก 20%)

P P P 100 5P P S 90 5P S S 65 3P - P 50 2P - S 40 1P - - 30 1S P P 85 4- P S 60 3- P - 50 2 Model

1

Remark : P – Primary Relationship, S – Secondary Relationship







Choose !

ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล

31




86-100 571-8556-70 341-55 2<=40 1




ดแล






P P P 100 5P P S 87.5 5P S S 62.5 3P - P 50 2P - S 37.5 1P - - 25 1S P P 87.5 5- P S 62.5 3- P - 50 2

ไมม Rank 4

Model 2



32




86-100 571-8556-70 341-55<=40 1




ดแล






P P P 100 5P P S 90 5P S S 60 3P - P 40 1P - S 30 1P - - 20 1S P P 90 5- P S 70 3- P - 60 3

ไมม Rank 2 & 4

และ Rank กระจกตว

Model 3



33




81-100 571-80 461-70 351-60 2<=50 1




ดแล






P P P 100 5P P S 92.5 5P S S 60 2P - P 35 1P - S 27.5 1P - - 20 1S P P 90 5- P S 72.5 4- P - 65 3

Model 4

คาน าหนก 20:65:15

อนตรภาคชนไมเทากนRemark : P – Primary Relationship, S – Secondary Relationship


34




91-100 581-90 471-80 361-70 2<=60 1




ดแล






P P P 100 5P P S 92.5 5P S S 60 1P - P 35 1P - S 27.5 1P - - 20 1S P P 90 4- P S 72.5 3- P - 65 2

Model 5

คาน าหนก 20:65:15

Rank ไมกระจายตวRemark : P – Primary Relationship, S – Secondary Relationship

1. ระบความเสยงทเกดจากปจจยทางธรกจทงภายใน และภายนอก (Drivers) ทมผลตอการด าเนนงานขององคกร / หนวยงาน โดยใช 7 Enabler Goals และ 7 IT Challenges

2. ระบความเสยงทไมสามารถตอบสนองความตองการของผทเกยวของกบการด าเนนงานขององคกร / หนวยงานทงภายใน และภายนอก (Stakeholder Needs)

3. ระบความเสยงทไมเปนไปตามวตถประสงคในระดบองคกร / หนวยงานทตองการบรรล (Governance Objective)

4. ใชขอมลจากขอ 1-3 เพอพจารณาผลกระทบของปญหา / ความเสยงทไมเปนไปตามเปาหมายระดบองคกร / หนวยงาน (Enterprise Goals)

5. เชอมโยงความเสยงของเปาหมายระดบองคกร / หนวยงาน กบเปาหมายทเกยวของกบเทคโนโลยสารสนเทศ (IT-related Goals) และความเสยงดาน IT (IT Risk)

6. เชอมโยงความเสยงของเปาหมายทเกยวของกบเทคโนโลยสารสนเทศกบกระบวนการดานเทคโนโลยสารสนเทศ / ธรกจ (IT / Business Processes)

7. ประเมนการควบคมความเสยงตนเองดาน IT (IT RCSA) ตามกรอบการด าเนนงานก ากบดแล และการบรหารจดการดาน IT ในระดบองคกร / หนวยงานโดยใช COBIT5

ขนตอนในการจดท า ITG - IT RCSA

35

ความสมพนธระหวางความเสยงดานเทคโนโลยสารสนเทศกบความเสยงดานฐานะ และการด าเนนงาน

36

37

BSC Enterprise Goals

Remark : P – Primary relationship, S – Secondary relationship

ตารางท 1 - เปาหมายระดบองคกรของ COBIT5

มตการวดผลแบบสมดล




(30%)


(50%)

ทรพยากรทใหประโยชน

สงสด(20%)


1 คณคาจากการลงทนในธรกจของผมสวนไดเสย P S2 กลม (Portfolio) ของผลตภณฑและบรการทมความสามารถในการแขงขน P P S3 ความเสยงทางธรกจทไดรบการจดการ (การปกปองคมครองสนทรพย) P S4 การปฏบตตามกฎหมายและกฎระเบยบขอบงคบจากภายนอก P5 ความโปรงใสทางการเงน P S S

ดานลกคา

6 วฒนธรรมทเนนการบรการลกคา P S7 บรการของธรกจมความตอเนองและความพรอมใหบรการ P8 การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมทางธรกจ P S9 การตดสนใจเชงกลยทธบนพนฐานของสารสนเทศ P P P10 ตนทนในการสงมอบบรการทใหประโยชนสงสด P P


11 หนาทงานในกระบวนการทางธรกจทใหประโยชนสงสด P P12 ตนทนของกระบวนการทางธรกจทใหประโยชนสงสด P P13 ชดโครงการเพอการเปลยนแปลงทางธรกจทไดรบการบรหารจดการ P P S14 การปฏบตงานและบคลากรทมประสทธภาพ P P15 การปฏบตตามนโยบายภายในองคกร P


16 บคลากรทมทกษะและแรงจงใจ S P P17 วฒนธรรมทสงเสรมนวตกรรมส าหรบผลตภณฑและการด าเนนธรกจ P

BSC IT-related Goalsตารางท 2 – เปาหมายทเกยวของกบ IT

มตการวดผลแบบสมดลดาน IT

เปาหมายของสารสนเทศและเทคโนโลยทเกยวของ


1 กลยทธดาน IT สอดคลองไปในแนวทางเดยวกนกบกลยทธดานธรกจ 2 IT เอออ านวยและสนบสนนใหธรกจสามารถปฏบตตามกฎหมาย และกฎระเบยบขอบงคบของหนวยงานภายนอก3 ผบรหารระดบสงใหค ามนในการตดสนใจตางๆ ทเกยวของกบ IT4 ความเสยงของธรกจทเกยวของกบ IT สามารถบรหารจดการได5 ประโยชนทไดรบจรงจากกลมของการลงทนและการใหบรการในดานตางๆ ท ม IT เปนปจจยเออ6 ตนทน ประโยชน และความเสยงทางดาน IT มความโปรงใส

ดานลกคา7 การสงมอบบรการดาน IT เปนไปตามความตองการของธรกจ8 การใชระบบงานสารสนเทศและเทคโนโลยอยางเหมาะสม


9 ความคลองตวทางดาน IT10 ความมนคงปลอดภยของสารสนเทศ โครงสรางพนฐานในการประมวลผล และระบบงาน11 การใชสนทรพย ทรพยากร และสมรรถนะทางดาน IT ใหไดประโยชนสงสด12 การเอออ านวยและสนบสนนการท างานของกระบวนการทางธรกจโดยบรณาการระบบงานและเทคโนโลยเขาไปใช

ในกระบวนการทางธรกจ13 การสงมอบชดโครงการตางๆ กอใหเกดประโยชน ตรงเวลา ตามงบประมาณทตงไว และตามความตองการ

และมาตรฐานดานคณภาพ14 ความพรอมใชของสารสนเทศทเชอถอได และมประโยชนในการตดสนใจ15 IT ทปฏบตตามนโยบายภายในขององคกร


16 บคลากรทงทางดาน IT และดานธรกจทมความสามารถ และมแรงจงใจ17 ความร ความเชยวชาญ และการรเรมด าเนนการเพอนวตกรรมทางธรกจ

38

39

ตารางท 3 - ความสมพนธระหวางเปาหมายระดบองคกรใน COBIT5 กบเปาหมายทเกยวของกบ IT

Mapping COBIT5 Enterprise Goals to IT-related Goals


คณคาจากการลงทนในธรกจของผมสวนไดเสย

กลม (P

ortfol

io) ขอ

งผลตภณ

ฑและบรการทมความสามารถในการ

แขงขน

ความเสยงทางธรกจทไดรบการจดการ (การปกปองคมครองสนทรพย

)

การปฏ

บตตามกฎห

มายและกฎระเบยบขอบงคบ

จากภายนอก

ความโปรงใสทางการเงน

วฒนธรรมท

เนนการบรการลกคา

บรการของธรกจมความตอเนองและความพ

รอมใหบรการ

การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมท

างธรกจ

การตดสนใจเชงกลยทธบน

พนฐานของสารสนเทศ

ตนทนในการสงมอบบ

รการทใหประโยชนสงสด

หนาทงานในกระบวนการทางธรกจทใหประโยชนสงสด

ตนทนของกระบวนการทางธรกจทใหประโยชนสงสด

ชดโครงการเพ

อการเปลยนแปลงทางธรกจทไดรบการบรหารจดการ

การปฏ

บตงานและบคลากรทม

ประสทธภาพ

การปฏ

บตตามน

โยบายภายในองคกร

บคลากรทมทกษ

ะและแรงจงใจ

วฒนธรรมท

สงเสรมนวตกรรมส าหรบผลตภณฑแ

ละการด าเน

นธรกจ

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

เปาหมายทเกยวของกบ IT ดานการเงน ดานลกคา ดานกระบวนการภายใน ดานการเรยนร

และเตบโต

ดานก

ารเงน

1 กลยทธดาน IT สอดคลองไปในแนวทางเดยวกนกบกลยทธดานธรกจ P P S P S P P S P S P S S2 IT เอออ านวยและสนบสนนใหธรกจสามารถปฏบตตามกฎหมาย และกฎระเบยบขอบงคบของหนวยงานภายนอก S P P3 ผบรหารระดบสงใหค ามนในการตดสนใจตางๆ ทเกยวของกบ IT P S S S S S P S S4 ความเสยงของธรกจทเกยวของกบ IT สามารถบรหารจดการได P S P S P S S S5 ประโยชนทไดรบจรงจากกลมของการลงทนและการใหบรการในดานตางๆ ท ม IT เปนปจจยเออ P P S S S S P S S6 ตนทน ประโยชน และความเสยงทางดาน IT มความโปรงใส S S P S P P

ดานล

กคา 7 การสงมอบบรการดาน IT เปนไปตามความตองการของธรกจ P P S S P S P S P S S S S

8 การใชระบบงานสารสนเทศและเทคโนโลยอยางเหมาะสม S S S S S S S P S P S S

ดานก

ระบว

นการภา

ยใน

9 ความคลองตวทางดาน IT S P S S P P S S S P10 ความมนคงปลอดภยของสารสนเทศ โครงสรางพนฐานในการประมวลผล และระบบงาน P P P P11 การใชสนทรพย ทรพยากร และสมรรถนะทางดาน IT ใหไดประโยชนสงสด P S S P S P S S S

12การเอออ านวยและสนบสนนการท างานของกระบวนการทางธรกจโดยบรณาการระบบงานและเทคโนโลยเขาไปใชในกระบวนการทางธรกจ

S P S S S S P S S S S

13การสงมอบชดโครงการตางๆ กอใหเกดประโยชน ตรงเวลาตามงบประมาณทตงไว และตามความตองการ และมาตรฐานดานคณภาพ

P S S S S S P

14 ความพรอมใชของสารสนเทศทเชอถอได และมประโยชนในการตดสนใจ S S S S P P S15 IT ทปฏบตตามนโยบายภายในขององคกร S S P

ดานก

ารเรยน

รแล

ะเตบโต 16 บคลากรทงทางดาน IT และดานธรกจทมความสามารถและมแรงจงใจ S S P S S P P S

17 ความร ความเชยวชาญ และการรเรมด าเนนการเพอนวตกรรมทางธรกจ S P S P S S S S P

1. Mapping Enterprise Goals to

IT-related Goals

2. Mapping IT-relatedGoals to Processes

7 Enabler Goals

Principles, Policies

and Frameworks

Processes

Organizational

Structures

Culture, Ethics and

Behavior

Information

Services,

Infrastructure and

Applications

People, Skills

and Competencies

E2 Control Risk

Co

ntr

ol

Evalu

ati

on

Effectiveness

Effic

icie

ncy

Co

nfid

entiality

Inte

grity

Availib

ility

Co

mp

liance

Re

liability

Materiality 4 4 3 3 3 2 3

Planning and organisation Legends

PO 1 Define a strategic IT plan 1 E C Exposure

PO 2 Define the information architecture 1 E C C C Concern

PO 3 Determine the technological direction 1 E C Housekeeping

PO 4 Define organisation and relationships 2 C C OK

PO 5 Manage the investment 2 C C H Overprotected

PO 6 Communicate management aims and direction 2 C O

PO 7 Manage human resources 2 C C

PO 8 Ensure compliance with external requirements 1 E H C

PO 9 Assess risk 0 E C E E E C C

PO 10 Manage projects 1 E E

PO 11 Manage quality 2 C C H H

Acquisition and implementation

AI 1 Identify automated solutions 1 E C

AI 2 Acquire and maintain application software 2 C C H O H

AI 3 Acquire and maintain technology architecture 1 E E C

AI 4 Develop and maintain procedures 2 C C H O H

AI 5 Install and accredit systems 1 E C C

AI 6 Managing changes 1 E E C C C

Delivery and support

DS 1 Define service levels 1 E E C C C H C

DS 2 Manage third-party services 2 C C H H H O H

DS 3 Manage performance and capacity 2 C C H

DS 4 Ensure continuous service 2 C C H

DS 5 Ensure systems security 2 H H H O H

DS 6 Identify and allocate costs 0 E E

DS 7 Educate and train users 1 E C

DS 8 Assist and advice customers 2 C C

DS 9 Manage the configuration 1 E C C

DS 10 Manage problems and incidents 1 E E C

DS 11 Manage data 1 C C

DS 12 Manage facilities 1 C C

DS 13 Manage operations 2 C C H H

Monitoring

M 1 Monitor the process 1 E E C C C H C

M 2 Assess internal control adequacy 1 E E C C C H C

M 3 Obtain independent assurance 0 E E C C C C C

M 4 Provide for Independent Audit 2 C C H H H O H 40

Mapping Model Enterprise / IT-related Goals to Processes

Risks = Pain Points

แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ

41

74 5 6 9 11

ระบขอมล*Automated* *Automated*

คลก Drop Down เลอก 1 – 17 คลก Drop Down เลอก 1 – 17

1 2 3

1..17

8

1..17

10


42

12345

12

คลก Drop Down เลอก 1 – 5

*Automated*

คลกเลอก Drop Down

*Automated*

13 14 15 16 18 19

12

17 20

ระบขอมล


43

21


12345

12

คลก Drop Down เลอก 1 – 5

2223 24 25

*Automated*

คลกเลอก Drop Down

2726 28


ITG using COBIT5

Threats / Opportunity

44

คณคา จะเกดขนกตอเมอฝายบรหารก าหนดกลยทธ เพอใหเกดความสมดลทดทสดระหวางเปาหมายในเรองการเจรญเตบโต และผลตอบแทนขององคกรกบความเสยงทเกยวของ รวมทงไดใชทรพยากรในการทจะบรรลเปาหมายขององคกรอยางมประสทธภาพ ประสทธผล

การประเมนความเสยง แมจะใหผลเปนตวเลขทดเหมอนวดคาได แตความจรงแลวเปนผลจากการใชวจารณญานตคาในเชงโอกาสเกด และผลกระทบ

Communication (Education) & Consult เปนสวนประกอบทส าคญในกระบวนการทจะน าไปสความส าเรจ

Moving forward / Sustainการตระหนกรบรความเสยง และการตดตามประเมนผลอยางตอเนองเพอใหเกดความยงยน

Agenda

45


2. COBIT5 Overview


4. IT RCSA Form

5. Q & A

46

การประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศแบงออกเปน 3 สวน ดงน

สวนท 1 ใบปะหนา

สวนท 2 การระบ / ประเมน / ควบคมความเสยง2.1 การระบความเสยง2.2 การประเมนความเสยง2.3 การควบคมความเสยง

สวนท 3 การจดการความเสยง (Action Plan)


ความแตกตางระหวาง IT RCSA

กบ RCSA


47

สวนท 1 ใบปะหนาตวอยาง

48

สวนท 2 :


2.1) การระบความเสยง 2.2) การประเมนความเสยง 2.3) การควบคมความเสยง

4 51-2

Automated

3

Automated

Automated

Automated

Automated

ความเสยงดานเทคโนโลยสารสนเทศ หมายถง ความเปนไปไดทจะเกดเหตการณทคาดหวง หรอไมคาดหวง อนเนองมาจากการน าเทคโนโลยมาใช โดยมผลกระทบถงระบบงาน และการปฏบตงานซงอาจกอใหเกดความเสยหายตอบรษทฯ

ประเภทความเสยงดานเทคโนโลยสารสนเทศในองคกร (IT Risk Type)1. ความเสยงดานการบรหารงานเทคโนโลยสารสนเทศ

1.1 การจดการดานเทคโนโลยสารสนเทศ (IT Management)1.2 การตรวจสอบภายในดานเทคโนโลยสารสนเทศ (IT Audit)1.3 ระบบสารสนเทศเพอการบรหาร (MIS)1.4 แผนส ารองฉกเฉน (BCM – BCP & DRP)

2. ความเสยงดานการปฏบตงานเทคโนโลยสารสนเทศ2.1 การรกษาความปลอดภยดานเทคโนโลยสารสนเทศ (Security)2.2 ความถกตองเชอถอไดของขอมล (Data Integrity)2.3 ความพรอมใชงานดานเทคโนโลยสารสนเทศ (Availability)2.4 ความเสยงดานชอเสยง (Reputation)*2.5 ความเสยงดานการปฏบตตามกฎหมาย (Regulation)*

*อางองทมา : ธนาคารแหงประเทศไทย49

ความเสยงดานเทคโนโลยสารสนเทศ (IT Risk)


50

สวนท 2.1 การระบความเสยง

หนวยงานเจาของความเสยงตองมการระบจดทมความเสยง โดยเลอกขนตอนการปฏบตงานทมความเสยง ระบประเดนความเสยงทเกดขน และสาเหต หรอปจจยของความเสยง รวมทงผลกระทบจากความเสยง

ขอมลในการระบความเสยง :-1) ความเสยงดาน IT ตามกรอบการด าเนนงานก ากบดแล และการบรหารจดการดาน IT

ในระดบองคกร / หนวยงานโดยใช COBIT52) SOP, Sub Process, เอกสารคมอตางๆ3) รายงานขอมลความเสยหายทเคยเกดขน (Operational Loss Data)4) ขอสงเกตทไดรบจากหนวยงานตรวจสอบภายใน (Internal Audit)5) ขอสงเกตทไดรบจากหนวยงาน / ผตรวจสอบภายนอก

51

สวนท 2.2 การประเมนความเสยง


ความเชอมโยงกบวตถประสงคการก ากบ

การไดรบผลประโยชน (30%)

ความถทเกดขนในอดต

ระดบความเสยงดาน IT(ITG Risk Level)

ระดบโอกาส / ความถทจะเกดความเสยง

• กระบวนการปฏบตงานทซบซอน• มบคลากรใหมๆ ในการปฏบตงาน • เปนกระบวนการปฏบตงานใหม• โปรแกรม / ระบบงานใหม เปนตน

ทรพยากรทใหประโยชนสงสด (20%)

ความเสยงทเหมาะสม (50%)

โอกาสทจะเกดในอนาคต

ความเสยหายทางการเงน

52

สวนท 2.2 การประเมนความเสยง (ตอ)

การค านวณระดบความเสยงดาน IT (ITG Risk Level)




DB

Eทรพยากรทใหประโยชนสงสด


C

30%

50%

20%

DC += + EB ( x 0.3) ( x 0.5) ( x 0.2)

*

*

เปาหมายองคกร / หนวยงาน

53


การหาระดบความเสยงดาน IT (ITG Risk Level)



ระดบความเสยงดาน IT

x


A

B

A B

L M S H*

• H : High Risk (สงมาก) ตองจดการความเสยงโดยทนท• S : Significant Risk (มนยส าคญ) จะตองด าเนนการจดการเปนล าดบถดไป• M : Moderate Risk (ปานกลาง) ด าเนนการตามมาตรการควบคมความเสยงทมอยางตอเนอง• L : Low Risk (ต า) อยในสถานะทยอมรบได



นอยมาก (1) นอย (2) ปานกลาง (3) สง (4) สงมาก (5)

สงมาก (5) S(5x1)

S(5x2)

H(5x3)

H(5x4)

H(5x5)

สง (4) M(4x1)

S(4x2)

S(4x3)

H(4x4)

H(4x5)

ปานกลาง (3) L(3x1)

M(3x2)

S(3x3)

H(3x4)

H(3x5)

นอย (2) L(2x1)

L(2x2)

M(2x3)

S(2x4)

H(2x5)

นอยมาก (1) L(1x1)

L(1x2)

M(1x3)

S(1x4)

S(1x5)

ITG – IT RCSA Risk Matrix

54


ITG - IT RCSA Threshold

55


ลกษณะโอกาส หรอความถทเกดความเสยงคาความเสยหาย

(บาท)

1 โอกาสเกดนอยมาก เปนเหตการณทคาดวามโอกาสทจะเกดขน < 1 ครง / ป < 5,000

2 โอกาสเกดนอย เปนเหตการณทคาดวามโอกาสทจะเกดขน 1 – 2 ครง / ป > 5,000 - 20,000

3 โอกาสเกดปานกลาง เปนเหตการณทคาดวามโอกาสทจะเกดขน 3 – 5 ครง / ป > 20,000 - 50,000

4 โอกาสเกดสง เปนเหตการณทคาดวามโอกาสทจะเกดขน 6 – 12 ครง / ป > 50,000 - 100,000

5 โอกาสเกดสงมาก เปนเหตการณทคาดวามโอกาสทจะเกดขน > 12 ครง / ป > 100,000

56


ระดบความเสยงดาน IT (ITG Risk Level)


H

S

M

L

ระดบความเสยงดาน IT (ITG Risk Level)

•H : Very High Risk [สงมาก]•S : Significant Risk [มนยส าคญ]•M : Moderate Risk [ปานกลาง]•L : Low Risk [นอย]

เขาสขนตอนการประเมนการควบคมภายใน

ปฏบตตามมาตรการควบคมทหนวยงานมอย

ระบมาตรการควบคมความเสยงทหนวยงานมอยในปจจบนRใชแบบฟอรมการระบ และประเมนความเสยง

** แนะน าใหระบ Control Point ใน SOP หากมการประเมน IT RCSA แลวพบวามความเสยงอยในระดบสง หรอมนยส าคญ **

57

สวนท 2.3 การควบคมความเสยง


การลดผลกระทบ

ลดผลกระทบทางการเงน

ลดความถทเกดขนในอดต

มาตรการควบคมทมอย

การลดโอกาส / ความถทจะเกดความเสยง

ลดผลกระทบดานลกคา / ภาพพจนบรษท

ลดผลกระทบดานการปฏบตงาน / กฎระเบยบ

ลดโอกาสทจะเกดในอนาคต

58

สวนท 2.3 การควบคมความเสยง


ระดบความเสยงดาน IT (ITG Risk Level) ระดบสง (High Risk) ระดบมนยส าคญ (Significant Risk)

H

SRisk Matrix

Action Plan คอ ระบแนวทางการแกไขแผนการด าเนนงาน ระยะเวลา และผรบผดชอบ

ประเมนการควบคมภายใน

Control Matrix

ระดบการควบคม (Control Level) ระดบสง (High Control) ระดบมนยส าคญ (Significant Control)

H

S

ระดบการควบคม (Control Level) ระดบต า (Low Control) ระดบปานกลาง (Medium Control)

L

M

ผลประเมนการควบคม : ไมเพยงพอ

ผลประเมนการควบคม : เพยงพอแตไมสามารถปฏบตตาม

ผลประเมนการควบคม : เพยงพอ

59


ลดผลกระทบดาน

การปฏบตงาน / กฎระเบยบ

ลดผลกระทบD

B

Eลดผลกระทบดานลกคา / ภาพพจนบรษท

ลดผลกระทบทางการเงน

C

ลดโอกาสทจะเกดความเสยง A ระดบมาตรการควบคมทมอย

xA B

ท า Action Plan กรณระดบการควบคมไมเพยงพอ / เพยงพอแตไมสามารถปฏบตตาม

สวนท 2.3 การควบคมความเสยง (ตอ)

การค านวณระดบมาตรการควบคมทมอย (Control Level)

L M S H

ไมเพยงพอ - เพยงพอ- เพยงพอแต ไมสามารถ ปฏบตตาม

• H : High Control (สงมาก) มาตรการควบคมเหมาะสมสงมากในการปฏบต เพอจดการความเสยง

• S : Significant Control (มนยส าคญ) มาตรการควบคมเหมาะสมอยางมนยส าคญในการปฏบต เพอจดการความเสยง

• M : Moderate Control (ปานกลาง) มาตรการควบคมเหมาะสมไมเพยงพอในการปฏบต เพอจดการความเสยง• L : Low Control (ต า) มาตรการควบคมไมเหมาะสมในการปฏบต เพอจดการความเสยง

การลดระดบโอกาส / ความถทจะเกดความ

เสยง


นอยมาก (1) นอย (2) ปานกลาง (3) สง (4) สงมาก (5)

สงมาก (5) S(5x1)

S(5x2)

H(5x3)

H(5x4)

H(5x5)

สง (4) M(4x1)

S(4x2)

S(4x3)

H(4x4)

H(4x5)

ปานกลาง (3) L(3x1)

M(3x2)

S(3x3)

H(3x4)

H(3x5)

นอย (2) L(2x1)

L(2x2)

M(2x3)

S(2x4)

H(2x5)

นอยมาก (1) L(1x1)

L(1x2)

M(1x3)

S(1x4)

S(1x5)

ITG – IT RCSA Control Matrix

60

การลดระดบความรนแรงของผลกระทบ

ITG - IT RCSA

Control Threshold (Likelihood / Frequency)

61

ระดบมาตรการควบคมทมอย

การลดลกษณะโอกาส หรอความถทเกดความเสยง

1 (นอยมาก) สามารถลดโอกาส / ความถทเกดความเสยงไดนอยมากยงมโอกาสเกดความเสยง > 12 ครง / ป

2 (นอย) สามารถลดโอกาส / ความถทเกดความเสยงไดนอยยงมโอกาสเกดความเสยง 6 - 12 ครง / ป

3 (ปานกลาง) สามารถลดโอกาส / ความถทเกดความเสยงไดปานกลางยงมโอกาสเกดความเสยง 3 - 5 ครง / ป

4 (สง) สามารถลดโอกาส / ความถทเกดความเสยงไดสงยงมโอกาสเกดความเสยง 1 - 2 ครง / ป

5 (สงมาก) สามารถลดโอกาส / ความถทเกดความเสยงไดสงมากยงมโอกาสเกดความเสยง < 1 ครง / ป

ITG - IT RCSA

Control Threshold (Impact)

62

ระดบมาตรการควบคมทมอย

การลดผลกระทบ

การเงน การปฏบตงาน / กฏระเบยบ ลกคา / ภาพพจนบรษท

1 (นอยมาก) ลดมลคาความเสยหายทจะเกดขนไดนอยมาก หรอไมเกน 10% ของมลคาความเสยหายทเกดขน

ไมมผลตอการแกไขปญหาในการปฏบตงาน / ไมสามารถลดการถกตกเตอน และถกปรบจากทางการ

ไมสามารถสรางความนาเชอถอของบรษทฯ ใหกบลกคา

2 (นอย) ลดมลคาความเสยหายทจะเกดขนไดนอย หรอไมเกน 25% ของมลคาความเสยหายทเกดขน

มผลตอการแกไขปญหาในการปฏบตงานนอย / ลดการถกตกเตอนจากทางการ

สรางความนาเชอถอของบรษทฯ ใหกบลกคาไดนอย

3 (ปานกลาง) ลดมลคาความเสยหายทจะเกดขนไดปานกลาง หรอไมเกน 50% ของมลคาความเสยหายทเกดขน

มผลตอการแกไขปญหาในการปฏบตงานปานกลาง / ลดการถกตกเตอน และถกปรบจากทางการไดบางสวน

สรางความนาเชอถอของบรษทฯ ใหกบสอมวลชนในประเทศ และลกคาบางสวน

4 (สง) ลดมลคาความเสยหายทจะเกดขนไดสง หรอไมเกน 75% ของมลคาความเสยหายทเกดขน

มผลตอการแกไขปญหาในการปฏบตงานสง / ลดการถกปรบ และท าใหผลประเมนการปฏบตงานดขน

สรางความนาเชอถอของบรษทฯ ใหกบสอมวลชนใน และ/หรอนอกประเทศ และลกคาสวนใหญได

5 (สงมาก) ลดมลคาความเสยหายทจะเกดขนไดสงมาก หรอเกน 75% ของมลคาความเสยหายทเกดขน

มผลตอการแกไขปญหาในการปฏบตงานสงมาก / ลดการถกปรบ และท าใหผลประเมนการปฏบตงานดขนอยางมสาระส าคญ

สรางความนาเชอถอของบรษทฯ ใหกบสอมวลชนใน และ/หรอนอกประเทศ, ลกคาเกอบทงหมด, ธนาคารและกลมธรกจ ตลอดจนสงคมในระยะยาว

63

สวนท 3 การจดการความเสยง (Action Plan)


ตวอยาง

Agenda

64


2. COBIT5 Overview


4. IT RCSA Form

5. Q & A

Q&A

65

IA Clinic 2/2016 COBIT5 and Lesson learned from …file.sogoodweb.com/upload/3712/IKMBqzJwXF.pdf ·...

Documents

Transcript of IA Clinic 2/2016 COBIT5 and Lesson learned from …file.sogoodweb.com/upload/3712/IKMBqzJwXF.pdf ·...