COBIT5 and Lesson learned
from Implementation
KRITPAT CHALEARNLAP
VP. – IT Audit, KTC
27 February 2016
IA Clinic 2/2016
1
วตถประสงค
2
เพอแนะน าโมเดลประเมนความเสยงตนเองดานเทคโนโลยสารสนเทศ (IT Risk Control Self Assessment : IT RCSA) โดยประยกตใช COBIT5 มาเปนกรอบในการด าเนนงาน
ปญหาและอปสรรคจาก Implementation
เพอแสดงตวอยางการประเมนความเสยงตนเองดาน IT
Agenda
3
1. IT Governance (ITG) Overview2. COBIT5 Overview
3. ITG - IT RCSA Implementation Approach
4. IT RCSA Form
5. Q & A
ธรรมาภบาลดาน IT เปนโครงสรางของความสมพนธ และการน าเสนอ
กระบวนการ และการควบคมทศทางขององคกร โดยการเพมมลคา และ
การจดการความเสยงดาน IT เพอใหเปนไปตามวตถประสงคขององคกร
“The responsibility of executives and the board of directors; consists of
the leadership, organizational structures and processes that ensure that the
enterprise’s IT sustains and extends the enterprise’s strategies and objectives”
The Information Systems Audit and Control Association,
IT Governance Overview
4
IT Governance (ITG) is subset of Corporate Governance (CG)
IT Governance Overview
5
Corporate Governance
(CG)
IT
Governance
(ITG)
“Enterprise Governance is the system by which business corporation and controlled”
IT Governance using COBIT5
6
Compliance
Corporate Governance
IT Governance
Information Security Governance
Enterprise Risk Management
IT Risks
Information Security Risks
Risk Management
G R
Governance
Laws / Regulations
Standards / Rules
Policies / Procedures
C
กรอบการด าเนนงานก ากบดแล และการบรหาร
จดการดาน IT ในระดบองคกรโดยใช COBIT5
GRC and IT-related Frameworks
COSO & COBIT
acting as the consolidator („UmbrellA‟)
COSO
COBIT
WHAT
SCOPE OF COVERAGE
HOW
ITILISO 20000
CMM
BCMISO 17799ISO 27001 ISO 9000
7
Agenda
8
1. IT Governance (ITG) Overview
2.COBIT5 Overview
3. ITG - IT RCSA Implementation Approach
4. IT RCSA Form
5. Q & A
Governance of Enterprise IT
COBIT5
IT Governance
COBIT4.0/4.1
IT Management
COBIT3
Control
COBIT2
An business framework from ISACA, at www.isaca.org/cobit
Audit
COBIT1
COBIT5 Evolution of Scope(Principle 3. Applying a Single Integrated Framework)
200520001998
Ind
ivid
ual
Kn
ow
led
ge(I
nst
ant
Vie
w)
1996
Val IT 2.0(2008)
Risk IT(2009)
Corporate Knowledge (Enterprise View)
2012
10
COBIT5 Principles
12
4. Enabling
a Holistic
Approach
5. Separating
Governance From
Management
2. Covering
the Enterprise
End-to-end
3. Applying a
Single Integrated
Framework
1. Meeting Stakeholder Needs
COBIT5
Principles
Stakeholder needs have to be transformed into Enterprise’s Practical Strategy.
The COBIT5 goals cascade translates stakeholder needs into specific, practical and customised goals within the context of the Enterprise, IT-related and Enabler goals.
Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.
Principle 1. Meeting Stakeholder Needs :
13
Key components of Governance System
Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved.
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
Principle 2. Covering the Enterprise End-to-end :
14
COBIT5 aligns with the latest relevant other standards and frameworks used by enterprises:
Enterprise : COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
IT-related : ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI
This allows the enterprise to use COBIT5 as the overarching governance and management framework integrator.
ISACA plans a capability to facilitate COBIT user mapping of practices and activities to third-party references.
Principle 3. Applying a Single Integrated Framework :
15
5. Information
1. Principles, Policies and Frameworks
IT Resources
4. Culture, Ethics and Behavior
3. Organizational Structures
2. Processes
6. Services, Infrastructure and Applications
7. People, Skills and Competencies
Principle 4. Enabling a Holistic Approach :
16
Evaluate
IT Governance (Domain 1 : EDM)5/15/79
Management Feedback
5 Processes15 Practices79 Activities
Plan (Domain 2
APO)
Build(Domain 3
BAI)
Run(Domain 4
DSS)
Monitor(Domain 5
MEA)13 Processes72 Practices
395 Activities
10 Processes68 Practices
345 Activities
6 Processes38 Practices
205 Activities
3 Processes17 Practices88 Activities
17
Principle 5. Separating Governance From Management :
Direct
IT Management32/195/1033
Monitor
Domains (5) Processes (37) Practices (210*) Activities (1,112*)
Governance of Enterprise ITDomain 1 : Evaluate, Direct and Monitor (EDM)
EDM01 Ensure Governance Framework Setting and
Maintenance
EDM02 EnsureBenefits Delivery
EDM03 Ensure Risk
Optimisation
EDM04 Ensure Resource
Optimisation
EDM05 Ensure Stakeholder
Transparency
APO01 Manage the IT Management Framework
APO03 Manage Enterprise
Architecture
APO02 ManageStrategy
MEA03 Monitor, Evaluate
and Assess Compliance With
External Requirements
MEA02 Monitor, Evaluate
and Assess the System of Internal
Control
MEA01 Monitor, Evaluate and
Assess Performance and
Conformance
APO04 ManageInnovation
APO05 ManagePortfolio
APO06 ManageBudget and
Costs
APO07 ManageHuman
Resources
APO08 ManageRelationships
APO10 ManageSuppliers
APO09 Manage Service
Agreements
APO11 ManageQuality
APO12 Manage
Risk
APO13 ManageSecurity
BAI01 Manage Programmes and Projects
BAI03 Manage Solutions
Identification and Build
BAI02 Manage Requirements
Definition
BAI04 ManageAvailability
and Capacity
BAI05 Manage Organizational
Change Enablement
BAI06 ManageChanges
BAI07 Manage Change
Acceptance and Transitioning
BAI08 ManageKnowledge
BAI10 ManageConfiguration
BAI09 ManageAssets
DSS01 Manage Operations
DSS03 Manage Problems
DSS02 Manage Service Requests
and Incidents
DSS04 Manage Continuity
DSS05 Manage Security Services
DSS06 Manage Business Process
Controls
Domain 2 : Align, Plan and Organise (APO)
Domain 3 : Build, Acquire and Implement (BAI)
Domain 4 : Deliver, Service and Support (DSS)
Management of Enterprise IT
Domain 5 : Monitor, Evaluate and Assess (MEA)
Enterprise Risk Management
Compliance
2.2 How COBIT5 ties to BSC(Balanced Scorecard) ?
19
Governance and
Management
Process
5 Domains
37 Processes
210 Practices
1112 Activities
7 Enabler Goals
Principles, Policies
and Frameworks
Processes
Organizational
Structures
Culture, Ethics and
Behavior
Information
Services,
Infrastructure and
Applications
People, Skills
and Competencies
BSC17 Enterprise
Goals
17 IT-related
Goals
Financial 5 6
Customer 5 2
Internal Process 5 7
Learning & Growth 2 2
Enterprise Goals
IT-related Goals
Enabler Goals
Pain Point
Consideration
•………………
•………………
Risk
2.3 Where‟s COBIT5 for IT Strategy ?
20
None of …
Other
ISO 27000
CMI
ISO 20000
COBIT
BSM
Six Sigma
ITIL
What IT strategies are you trying to implement in your company? (check all that apply)
12%
COBIT
71%
22%
18%
15%
14%
12%
7%
16%
n= 616 © Copyright BMC Software, Inc.
2.4 Why we are using COBIT5 ?
21
Enterprise Risk Management / Compliance :o Respond to increasing Compliance requirementso Balance the Risk and Control in IT business
IT / Business :o Mitigate risk with effective Strategy Plan o Obtain Assurance on the security and control of services & products
provided by internal and third parties or services providero Benchmark existing and future of IT environments
Auditors / Management :o What are Residual Risks and necessary Controls ?o Substantiate opinions to Senior Management on Internal Controls
Other Enabler Guides
COBIT5 Product Family
COBIT5 Enabling Processes
COBIT5Enabling Information
COBIT5 Framework
COBIT5for Information
Security
COBIT5 for Assurance
COBIT5for Risk
Other Professional Guides
Other Enabler Guides
COBIT5 Enabler Guides
COBIT5 Professional Guides
Pain Point for ITG & IT General Computer Control (IT GCC)
ITG - IT RCSA / IT Risk-Based Audit
IT RCSA & IT Risk-Based Audit
COBIT5 - ITG and IT Risk Base Audit
22
Governance of Enterprise ITDomain 1 : Evaluate, Direct and Monitor (EDM)
EDM01 Ensure Governance Framework Setting and
Maintenance
EDM02 EnsureBenefits Delivery
EDM03 Ensure Risk
Optimisation
EDM04 Ensure Resource
Optimisation
EDM05 Ensure Stakeholder
Transparency
APO01 Manage the IT Management Framework
APO03 Manage Enterprise
Architecture
APO02 ManageStrategy
MEA03 Monitor, Evaluate
and Assess Compliance With
External Requirements
MEA02 Monitor, Evaluate
and Assess the System of Internal
Control
MEA01 Monitor, Evaluate
and Assess Performance and
Conformance
APO04 ManageInnovation
APO05 ManagePortfolio
APO06 ManageBudget and
Costs
APO07 ManageHuman
Resources
APO08 ManageRelationships
APO10 ManageSuppliers
APO09 Manage Service
Agreements
APO11 ManageQuality
APO12 Manage
Risk
APO13 ManageSecurity
BAI01 Manage Programmes and Projects
BAI03 Manage Solutions
Identification and Build
BAI02 Manage Requirements
Definition
BAI04 ManageAvailability
and Capacity
BAI05 Manage Organizational
Change Enablement
BAI06 ManageChanges
BAI07 Manage Change
Acceptance and Transitioning
BAI08 ManageKnowledge
BAI10 ManageConfiguration
BAI09 ManageAssets
DSS01 Manage Operations
DSS03 Manage Problems
DSS02 Manage Service Requests
and Incidents
DSS04 Manage Continuity
DSS05 Manage Security Services
DSS06 Manage Business Process
Controls
Domain 2 : Align, Plan and Organise (APO)
Domain 3 : Build, Acquire and Implement (BAI)
Domain 4 : Deliver, Service and Support (DSS)
Management of Enterprise IT
Domain 5 : Monitor, Evaluate and Assess (MEA)
Enterprise Risk Management
Compliance
Agenda
25
1. IT Governance (ITG) Overview
2. COBIT5 Overview
3. ITG - IT RCSA Implementation Approach
4. IT RCSA Form
5. Q & A
ITG Model (RACI chart)
IA Model(PCDA chart)
ComplianceIT /
Business
Enterprise Risk Management
(ERM)
ITG Compliance
ITG - IT RCSA / RCSA
RCSA / ITG – IT RCSA
Enterprise Goals
7 Enabler Goals& 7 IT Challenge
IT-related Goals
COBIT5
Model
BenefitsRealization
ResourceOptimization
RiskOptimization
CG Objectives Value Creation
IA RCSA / ITG - IT Risk Base Audit /
IT GCC
Internal Audit
Scope of Work
Business /
Department
IT RCSA Mapping Model (BSC)
26
ITG - IT RCSA Approach
Pain Points in IT RCSA
Driver
Stakeholders Needs
Governance Objective
Value Creation
BenefitsRealization
(30 %)
ResourceOptimization
(20%)
Risk Optimization
(50 %)
Enterprise Goals
Information and Related Technology Goals
Mapping
Mapping
Mapping
28
ITG using COBIT5 IT RCSA Model Mapping / Value Creation
Problem / Risk 7 Enabler Goals
Principles, Policies and
Frameworks
Processes
Organizational Structures
Culture, Ethics and Behavior
Information
Services, Infrastructure and
Applications
People, Skills and
Competencies
Domains, Processes, Practices and Activities
7 IT Challenges
Keeping IT running
Value
Cost
Mastering Complexity
Aligning IT with the
Business
Regulatory Compliance
Security
1
2
3
4
56
7
IT Risk
29
BSC Enterprise Goals
Remark : P – Primary relationship, S – Secondary relationship
ตารางท 1 - เปาหมายระดบองคกรของ COBIT5
มตการวดผลแบบสมดล
เปาหมายระดบองคกร
ความเชอมโยงกบวตถประสงคในการก ากบดแล
การไดรบผลประโยชน
(30%)
ความเสยงทเหมาะสม
(50%)
ทรพยากรทใหประโยชน
สงสด(20%)
ดานการเงน
1 คณคาจากการลงทนในธรกจของผมสวนไดเสย P S2 กลม (Portfolio) ของผลตภณฑและบรการทมความสามารถในการแขงขน P P S3 ความเสยงทางธรกจทไดรบการจดการ (การปกปองคมครองสนทรพย) P S4 การปฏบตตามกฎหมายและกฎระเบยบขอบงคบจากภายนอก P5 ความโปรงใสทางการเงน P S S
ดานลกคา
6 วฒนธรรมทเนนการบรการลกคา P S7 บรการของธรกจมความตอเนองและความพรอมใหบรการ P8 การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมทางธรกจ P S9 การตดสนใจเชงกลยทธบนพนฐานของสารสนเทศ P P P10 ตนทนในการสงมอบบรการทใหประโยชนสงสด P P
ดานกระบวนการภายใน
11 หนาทงานในกระบวนการทางธรกจทใหประโยชนสงสด P P12 ตนทนของกระบวนการทางธรกจทใหประโยชนสงสด P P13 ชดโครงการเพอการเปลยนแปลงทางธรกจทไดรบการบรหารจดการ P P S14 การปฏบตงานและบคลากรทมประสทธภาพ P P15 การปฏบตตามนโยบายภายในองคกร P
ดานการเรยนรและเตบโต
16 บคลากรทมทกษะและแรงจงใจ S P P17 วฒนธรรมทสงเสรมนวตกรรมส าหรบผลตภณฑและการด าเนนธรกจ P
ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล< เลอกใช Model 1 คาน าหนก 30:50:20 >
30
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบ
วตถประสงคในการก ากบดแล
86 – 100 571 – 85 456 – 70 341 – 55 2<= 40 1
ความเชอมโยงกบวตถประสงคในการก ากบดแล
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบวตถประสงคในการก ากบ
ดแล
การไดรบผลประโยชน
(คาน าหนก 30%)
ความเสยงทเหมาะสม
(คาน าหนก 50%)
ทรพยากรทใหประโยชนสงสด(คาน าหนก 20%)
P P P 100 5P P S 90 5P S S 65 3P - P 50 2P - S 40 1P - - 30 1S P P 85 4- P S 60 3- P - 50 2 Model
1
Remark : P – Primary Relationship, S – Secondary Relationship
ความเชอมโยงกบวตถประสงคในการก ากบดแล
การไดรบผลประโยชน
(คาน าหนก 30%)
ความเสยงทเหมาะสม
(คาน าหนก 50%)
ทรพยากรทใหประโยชนสงสด(คาน าหนก 20%)
Choose !
ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล
31
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบ
วตถประสงคในการก ากบดแล
86-100 571-8556-70 341-55 2<=40 1
ความเชอมโยงกบวตถประสงคในการก ากบดแล
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบวตถประสงคในการก ากบ
ดแล
การไดรบผลประโยชน
(คาน าหนก 25%)
ความเสยงทเหมาะสม
(คาน าหนก 50%)
ทรพยากรทใหประโยชนสงสด(คาน าหนก 25%)
P P P 100 5P P S 87.5 5P S S 62.5 3P - P 50 2P - S 37.5 1P - - 25 1S P P 87.5 5- P S 62.5 3- P - 50 2
ไมม Rank 4
Model 2
Remark : P – Primary Relationship, S – Secondary Relationship
ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล
32
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบ
วตถประสงคในการก ากบดแล
86-100 571-8556-70 341-55<=40 1
ความเชอมโยงกบวตถประสงคในการก ากบดแล
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบวตถประสงคในการก ากบ
ดแล
การไดรบผลประโยชน
(คาน าหนก 20%)
ความเสยงทเหมาะสม
(คาน าหนก 60%)
ทรพยากรทใหประโยชนสงสด(คาน าหนก 20%)
P P P 100 5P P S 90 5P S S 60 3P - P 40 1P - S 30 1P - - 20 1S P P 90 5- P S 70 3- P - 60 3
ไมม Rank 2 & 4
และ Rank กระจกตว
Model 3
Remark : P – Primary Relationship, S – Secondary Relationship
ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล
33
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบ
วตถประสงคในการก ากบดแล
81-100 571-80 461-70 351-60 2<=50 1
ความเชอมโยงกบวตถประสงคในการก ากบดแล
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบวตถประสงคในการก ากบ
ดแล
การไดรบผลประโยชน
(คาน าหนก 20%)
ความเสยงทเหมาะสม
(คาน าหนก 65%)
ทรพยากรทใหประโยชนสงสด(คาน าหนก 15%)
P P P 100 5P P S 92.5 5P S S 60 2P - P 35 1P - S 27.5 1P - - 20 1S P P 90 5- P S 72.5 4- P - 65 3
Model 4
คาน าหนก 20:65:15
อนตรภาคชนไมเทากนRemark : P – Primary Relationship, S – Secondary Relationship
ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล
34
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบ
วตถประสงคในการก ากบดแล
91-100 581-90 471-80 361-70 2<=60 1
ความเชอมโยงกบวตถประสงคในการก ากบดแล
ผลรวมความเชอมโยง
ระดบความเชอมโยงกบวตถประสงคในการก ากบ
ดแล
การไดรบผลประโยชน
(คาน าหนก 20%)
ความเสยงทเหมาะสม
(คาน าหนก 65%)
ทรพยากรทใหประโยชนสงสด(คาน าหนก 15%)
P P P 100 5P P S 92.5 5P S S 60 1P - P 35 1P - S 27.5 1P - - 20 1S P P 90 4- P S 72.5 3- P - 65 2
Model 5
คาน าหนก 20:65:15
Rank ไมกระจายตวRemark : P – Primary Relationship, S – Secondary Relationship
1. ระบความเสยงทเกดจากปจจยทางธรกจทงภายใน และภายนอก (Drivers) ทมผลตอการด าเนนงานขององคกร / หนวยงาน โดยใช 7 Enabler Goals และ 7 IT Challenges
2. ระบความเสยงทไมสามารถตอบสนองความตองการของผทเกยวของกบการด าเนนงานขององคกร / หนวยงานทงภายใน และภายนอก (Stakeholder Needs)
3. ระบความเสยงทไมเปนไปตามวตถประสงคในระดบองคกร / หนวยงานทตองการบรรล (Governance Objective)
4. ใชขอมลจากขอ 1-3 เพอพจารณาผลกระทบของปญหา / ความเสยงทไมเปนไปตามเปาหมายระดบองคกร / หนวยงาน (Enterprise Goals)
5. เชอมโยงความเสยงของเปาหมายระดบองคกร / หนวยงาน กบเปาหมายทเกยวของกบเทคโนโลยสารสนเทศ (IT-related Goals) และความเสยงดาน IT (IT Risk)
6. เชอมโยงความเสยงของเปาหมายทเกยวของกบเทคโนโลยสารสนเทศกบกระบวนการดานเทคโนโลยสารสนเทศ / ธรกจ (IT / Business Processes)
7. ประเมนการควบคมความเสยงตนเองดาน IT (IT RCSA) ตามกรอบการด าเนนงานก ากบดแล และการบรหารจดการดาน IT ในระดบองคกร / หนวยงานโดยใช COBIT5
ขนตอนในการจดท า ITG - IT RCSA
35
37
BSC Enterprise Goals
Remark : P – Primary relationship, S – Secondary relationship
ตารางท 1 - เปาหมายระดบองคกรของ COBIT5
มตการวดผลแบบสมดล
เปาหมายระดบองคกร
ความเชอมโยงกบวตถประสงคในการก ากบดแล
การไดรบผลประโยชน
(30%)
ความเสยงทเหมาะสม
(50%)
ทรพยากรทใหประโยชน
สงสด(20%)
ดานการเงน
1 คณคาจากการลงทนในธรกจของผมสวนไดเสย P S2 กลม (Portfolio) ของผลตภณฑและบรการทมความสามารถในการแขงขน P P S3 ความเสยงทางธรกจทไดรบการจดการ (การปกปองคมครองสนทรพย) P S4 การปฏบตตามกฎหมายและกฎระเบยบขอบงคบจากภายนอก P5 ความโปรงใสทางการเงน P S S
ดานลกคา
6 วฒนธรรมทเนนการบรการลกคา P S7 บรการของธรกจมความตอเนองและความพรอมใหบรการ P8 การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมทางธรกจ P S9 การตดสนใจเชงกลยทธบนพนฐานของสารสนเทศ P P P10 ตนทนในการสงมอบบรการทใหประโยชนสงสด P P
ดานกระบวนการภายใน
11 หนาทงานในกระบวนการทางธรกจทใหประโยชนสงสด P P12 ตนทนของกระบวนการทางธรกจทใหประโยชนสงสด P P13 ชดโครงการเพอการเปลยนแปลงทางธรกจทไดรบการบรหารจดการ P P S14 การปฏบตงานและบคลากรทมประสทธภาพ P P15 การปฏบตตามนโยบายภายในองคกร P
ดานการเรยนรและเตบโต
16 บคลากรทมทกษะและแรงจงใจ S P P17 วฒนธรรมทสงเสรมนวตกรรมส าหรบผลตภณฑและการด าเนนธรกจ P
BSC IT-related Goalsตารางท 2 – เปาหมายทเกยวของกบ IT
มตการวดผลแบบสมดลดาน IT
เปาหมายของสารสนเทศและเทคโนโลยทเกยวของ
ดานการเงน
1 กลยทธดาน IT สอดคลองไปในแนวทางเดยวกนกบกลยทธดานธรกจ 2 IT เอออ านวยและสนบสนนใหธรกจสามารถปฏบตตามกฎหมาย และกฎระเบยบขอบงคบของหนวยงานภายนอก3 ผบรหารระดบสงใหค ามนในการตดสนใจตางๆ ทเกยวของกบ IT4 ความเสยงของธรกจทเกยวของกบ IT สามารถบรหารจดการได5 ประโยชนทไดรบจรงจากกลมของการลงทนและการใหบรการในดานตางๆ ท ม IT เปนปจจยเออ6 ตนทน ประโยชน และความเสยงทางดาน IT มความโปรงใส
ดานลกคา7 การสงมอบบรการดาน IT เปนไปตามความตองการของธรกจ8 การใชระบบงานสารสนเทศและเทคโนโลยอยางเหมาะสม
ดานกระบวนการภายใน
9 ความคลองตวทางดาน IT10 ความมนคงปลอดภยของสารสนเทศ โครงสรางพนฐานในการประมวลผล และระบบงาน11 การใชสนทรพย ทรพยากร และสมรรถนะทางดาน IT ใหไดประโยชนสงสด12 การเอออ านวยและสนบสนนการท างานของกระบวนการทางธรกจโดยบรณาการระบบงานและเทคโนโลยเขาไปใช
ในกระบวนการทางธรกจ13 การสงมอบชดโครงการตางๆ กอใหเกดประโยชน ตรงเวลา ตามงบประมาณทตงไว และตามความตองการ
และมาตรฐานดานคณภาพ14 ความพรอมใชของสารสนเทศทเชอถอได และมประโยชนในการตดสนใจ15 IT ทปฏบตตามนโยบายภายในขององคกร
ดานการเรยนรและเตบโต
16 บคลากรทงทางดาน IT และดานธรกจทมความสามารถ และมแรงจงใจ17 ความร ความเชยวชาญ และการรเรมด าเนนการเพอนวตกรรมทางธรกจ
38
39
ตารางท 3 - ความสมพนธระหวางเปาหมายระดบองคกรใน COBIT5 กบเปาหมายทเกยวของกบ IT
Mapping COBIT5 Enterprise Goals to IT-related Goals
เปาหมายระดบองคกร
คณคาจากการลงทนในธรกจของผมสวนไดเสย
กลม (P
ortfol
io) ขอ
งผลตภณ
ฑและบรการทมความสามารถในการ
แขงขน
ความเสยงทางธรกจทไดรบการจดการ (การปกปองคมครองสนทรพย
)
การปฏ
บตตามกฎห
มายและกฎระเบยบขอบงคบ
จากภายนอก
ความโปรงใสทางการเงน
วฒนธรรมท
เนนการบรการลกคา
บรการของธรกจมความตอเนองและความพ
รอมใหบรการ
การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมท
างธรกจ
การตดสนใจเชงกลยทธบน
พนฐานของสารสนเทศ
ตนทนในการสงมอบบ
รการทใหประโยชนสงสด
หนาทงานในกระบวนการทางธรกจทใหประโยชนสงสด
ตนทนของกระบวนการทางธรกจทใหประโยชนสงสด
ชดโครงการเพ
อการเปลยนแปลงทางธรกจทไดรบการบรหารจดการ
การปฏ
บตงานและบคลากรทม
ประสทธภาพ
การปฏ
บตตามน
โยบายภายในองคกร
บคลากรทมทกษ
ะและแรงจงใจ
วฒนธรรมท
สงเสรมนวตกรรมส าหรบผลตภณฑแ
ละการด าเน
นธรกจ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
เปาหมายทเกยวของกบ IT ดานการเงน ดานลกคา ดานกระบวนการภายใน ดานการเรยนร
และเตบโต
ดานก
ารเงน
1 กลยทธดาน IT สอดคลองไปในแนวทางเดยวกนกบกลยทธดานธรกจ P P S P S P P S P S P S S2 IT เอออ านวยและสนบสนนใหธรกจสามารถปฏบตตามกฎหมาย และกฎระเบยบขอบงคบของหนวยงานภายนอก S P P3 ผบรหารระดบสงใหค ามนในการตดสนใจตางๆ ทเกยวของกบ IT P S S S S S P S S4 ความเสยงของธรกจทเกยวของกบ IT สามารถบรหารจดการได P S P S P S S S5 ประโยชนทไดรบจรงจากกลมของการลงทนและการใหบรการในดานตางๆ ท ม IT เปนปจจยเออ P P S S S S P S S6 ตนทน ประโยชน และความเสยงทางดาน IT มความโปรงใส S S P S P P
ดานล
กคา 7 การสงมอบบรการดาน IT เปนไปตามความตองการของธรกจ P P S S P S P S P S S S S
8 การใชระบบงานสารสนเทศและเทคโนโลยอยางเหมาะสม S S S S S S S P S P S S
ดานก
ระบว
นการภา
ยใน
9 ความคลองตวทางดาน IT S P S S P P S S S P10 ความมนคงปลอดภยของสารสนเทศ โครงสรางพนฐานในการประมวลผล และระบบงาน P P P P11 การใชสนทรพย ทรพยากร และสมรรถนะทางดาน IT ใหไดประโยชนสงสด P S S P S P S S S
12การเอออ านวยและสนบสนนการท างานของกระบวนการทางธรกจโดยบรณาการระบบงานและเทคโนโลยเขาไปใชในกระบวนการทางธรกจ
S P S S S S P S S S S
13การสงมอบชดโครงการตางๆ กอใหเกดประโยชน ตรงเวลาตามงบประมาณทตงไว และตามความตองการ และมาตรฐานดานคณภาพ
P S S S S S P
14 ความพรอมใชของสารสนเทศทเชอถอได และมประโยชนในการตดสนใจ S S S S P P S15 IT ทปฏบตตามนโยบายภายในขององคกร S S P
ดานก
ารเรยน
รแล
ะเตบโต 16 บคลากรทงทางดาน IT และดานธรกจทมความสามารถและมแรงจงใจ S S P S S P P S
17 ความร ความเชยวชาญ และการรเรมด าเนนการเพอนวตกรรมทางธรกจ S P S P S S S S P
1. Mapping Enterprise Goals to
IT-related Goals
2. Mapping IT-relatedGoals to Processes
7 Enabler Goals
Principles, Policies
and Frameworks
Processes
Organizational
Structures
Culture, Ethics and
Behavior
Information
Services,
Infrastructure and
Applications
People, Skills
and Competencies
E2 Control Risk
Co
ntr
ol
Evalu
ati
on
Effectiveness
Effic
icie
ncy
Co
nfid
entiality
Inte
grity
Availib
ility
Co
mp
liance
Re
liability
Materiality 4 4 3 3 3 2 3
Planning and organisation Legends
PO 1 Define a strategic IT plan 1 E C Exposure
PO 2 Define the information architecture 1 E C C C Concern
PO 3 Determine the technological direction 1 E C Housekeeping
PO 4 Define organisation and relationships 2 C C OK
PO 5 Manage the investment 2 C C H Overprotected
PO 6 Communicate management aims and direction 2 C O
PO 7 Manage human resources 2 C C
PO 8 Ensure compliance with external requirements 1 E H C
PO 9 Assess risk 0 E C E E E C C
PO 10 Manage projects 1 E E
PO 11 Manage quality 2 C C H H
Acquisition and implementation
AI 1 Identify automated solutions 1 E C
AI 2 Acquire and maintain application software 2 C C H O H
AI 3 Acquire and maintain technology architecture 1 E E C
AI 4 Develop and maintain procedures 2 C C H O H
AI 5 Install and accredit systems 1 E C C
AI 6 Managing changes 1 E E C C C
Delivery and support
DS 1 Define service levels 1 E E C C C H C
DS 2 Manage third-party services 2 C C H H H O H
DS 3 Manage performance and capacity 2 C C H
DS 4 Ensure continuous service 2 C C H
DS 5 Ensure systems security 2 H H H O H
DS 6 Identify and allocate costs 0 E E
DS 7 Educate and train users 1 E C
DS 8 Assist and advice customers 2 C C
DS 9 Manage the configuration 1 E C C
DS 10 Manage problems and incidents 1 E E C
DS 11 Manage data 1 C C
DS 12 Manage facilities 1 C C
DS 13 Manage operations 2 C C H H
Monitoring
M 1 Monitor the process 1 E E C C C H C
M 2 Assess internal control adequacy 1 E E C C C H C
M 3 Obtain independent assurance 0 E E C C C C C
M 4 Provide for Independent Audit 2 C C H H H O H 40
Mapping Model Enterprise / IT-related Goals to Processes
Risks = Pain Points
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
41
74 5 6 9 11
ระบขอมล*Automated* *Automated*
คลก Drop Down เลอก 1 – 17 คลก Drop Down เลอก 1 – 17
1 2 3
1..17
8
1..17
10
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
42
12345
12
คลก Drop Down เลอก 1 – 5
*Automated*
คลกเลอก Drop Down
*Automated*
13 14 15 16 18 19
12
17 20
ระบขอมล
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
43
21
ระบขอมล
12345
12
คลก Drop Down เลอก 1 – 5
2223 24 25
*Automated*
คลกเลอก Drop Down
2726 28
ระบขอมล
ITG using COBIT5
Threats / Opportunity
44
คณคา จะเกดขนกตอเมอฝายบรหารก าหนดกลยทธ เพอใหเกดความสมดลทดทสดระหวางเปาหมายในเรองการเจรญเตบโต และผลตอบแทนขององคกรกบความเสยงทเกยวของ รวมทงไดใชทรพยากรในการทจะบรรลเปาหมายขององคกรอยางมประสทธภาพ ประสทธผล
การประเมนความเสยง แมจะใหผลเปนตวเลขทดเหมอนวดคาได แตความจรงแลวเปนผลจากการใชวจารณญานตคาในเชงโอกาสเกด และผลกระทบ
Communication (Education) & Consult เปนสวนประกอบทส าคญในกระบวนการทจะน าไปสความส าเรจ
Moving forward / Sustainการตระหนกรบรความเสยง และการตดตามประเมนผลอยางตอเนองเพอใหเกดความยงยน
Agenda
45
1. IT Governance (ITG) Overview
2. COBIT5 Overview
3. ITG - IT RCSA Implementation Approach
4. IT RCSA Form
5. Q & A
46
การประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศแบงออกเปน 3 สวน ดงน
สวนท 1 ใบปะหนา
สวนท 2 การระบ / ประเมน / ควบคมความเสยง2.1 การระบความเสยง2.2 การประเมนความเสยง2.3 การควบคมความเสยง
สวนท 3 การจดการความเสยง (Action Plan)
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
ความแตกตางระหวาง IT RCSA
กบ RCSA
48
สวนท 2 :
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
2.1) การระบความเสยง 2.2) การประเมนความเสยง 2.3) การควบคมความเสยง
4 51-2
Automated
3
Automated
Automated
Automated
Automated
ความเสยงดานเทคโนโลยสารสนเทศ หมายถง ความเปนไปไดทจะเกดเหตการณทคาดหวง หรอไมคาดหวง อนเนองมาจากการน าเทคโนโลยมาใช โดยมผลกระทบถงระบบงาน และการปฏบตงานซงอาจกอใหเกดความเสยหายตอบรษทฯ
ประเภทความเสยงดานเทคโนโลยสารสนเทศในองคกร (IT Risk Type)1. ความเสยงดานการบรหารงานเทคโนโลยสารสนเทศ
1.1 การจดการดานเทคโนโลยสารสนเทศ (IT Management)1.2 การตรวจสอบภายในดานเทคโนโลยสารสนเทศ (IT Audit)1.3 ระบบสารสนเทศเพอการบรหาร (MIS)1.4 แผนส ารองฉกเฉน (BCM – BCP & DRP)
2. ความเสยงดานการปฏบตงานเทคโนโลยสารสนเทศ2.1 การรกษาความปลอดภยดานเทคโนโลยสารสนเทศ (Security)2.2 ความถกตองเชอถอไดของขอมล (Data Integrity)2.3 ความพรอมใชงานดานเทคโนโลยสารสนเทศ (Availability)2.4 ความเสยงดานชอเสยง (Reputation)*2.5 ความเสยงดานการปฏบตตามกฎหมาย (Regulation)*
*อางองทมา : ธนาคารแหงประเทศไทย49
ความเสยงดานเทคโนโลยสารสนเทศ (IT Risk)
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
50
สวนท 2.1 การระบความเสยง
หนวยงานเจาของความเสยงตองมการระบจดทมความเสยง โดยเลอกขนตอนการปฏบตงานทมความเสยง ระบประเดนความเสยงทเกดขน และสาเหต หรอปจจยของความเสยง รวมทงผลกระทบจากความเสยง
ขอมลในการระบความเสยง :-1) ความเสยงดาน IT ตามกรอบการด าเนนงานก ากบดแล และการบรหารจดการดาน IT
ในระดบองคกร / หนวยงานโดยใช COBIT52) SOP, Sub Process, เอกสารคมอตางๆ3) รายงานขอมลความเสยหายทเคยเกดขน (Operational Loss Data)4) ขอสงเกตทไดรบจากหนวยงานตรวจสอบภายใน (Internal Audit)5) ขอสงเกตทไดรบจากหนวยงาน / ผตรวจสอบภายนอก
51
สวนท 2.2 การประเมนความเสยง
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
ความเชอมโยงกบวตถประสงคการก ากบ
การไดรบผลประโยชน (30%)
ความถทเกดขนในอดต
ระดบความเสยงดาน IT(ITG Risk Level)
ระดบโอกาส / ความถทจะเกดความเสยง
• กระบวนการปฏบตงานทซบซอน• มบคลากรใหมๆ ในการปฏบตงาน • เปนกระบวนการปฏบตงานใหม• โปรแกรม / ระบบงานใหม เปนตน
ทรพยากรทใหประโยชนสงสด (20%)
ความเสยงทเหมาะสม (50%)
โอกาสทจะเกดในอนาคต
ความเสยหายทางการเงน
52
สวนท 2.2 การประเมนความเสยง (ตอ)
การค านวณระดบความเสยงดาน IT (ITG Risk Level)
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
ความเสยงทเหมาะสม
ความเชอมโยงกบวตถประสงคในการก ากบดแล
DB
Eทรพยากรทใหประโยชนสงสด
การไดรบผลประโยชน
C
30%
50%
20%
DC += + EB ( x 0.3) ( x 0.5) ( x 0.2)
*
*
เปาหมายองคกร / หนวยงาน
53
สวนท 2.2 การประเมนความเสยง (ตอ)
การหาระดบความเสยงดาน IT (ITG Risk Level)
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
ระดบโอกาส / ความถทจะเกดความเสยง
ระดบความเสยงดาน IT
x
ความเชอมโยงกบวตถประสงคในการก ากบดแล
A
B
A B
L M S H*
• H : High Risk (สงมาก) ตองจดการความเสยงโดยทนท• S : Significant Risk (มนยส าคญ) จะตองด าเนนการจดการเปนล าดบถดไป• M : Moderate Risk (ปานกลาง) ด าเนนการตามมาตรการควบคมความเสยงทมอยางตอเนอง• L : Low Risk (ต า) อยในสถานะทยอมรบได
ระดบโอกาส / ความถทจะเกดความเสยง
ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล
นอยมาก (1) นอย (2) ปานกลาง (3) สง (4) สงมาก (5)
สงมาก (5) S(5x1)
S(5x2)
H(5x3)
H(5x4)
H(5x5)
สง (4) M(4x1)
S(4x2)
S(4x3)
H(4x4)
H(4x5)
ปานกลาง (3) L(3x1)
M(3x2)
S(3x3)
H(3x4)
H(3x5)
นอย (2) L(2x1)
L(2x2)
M(2x3)
S(2x4)
H(2x5)
นอยมาก (1) L(1x1)
L(1x2)
M(1x3)
S(1x4)
S(1x5)
ITG – IT RCSA Risk Matrix
54
ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล
ITG - IT RCSA Threshold
55
ระดบโอกาส / ความถทจะเกดความเสยง
ลกษณะโอกาส หรอความถทเกดความเสยงคาความเสยหาย
(บาท)
1 โอกาสเกดนอยมาก เปนเหตการณทคาดวามโอกาสทจะเกดขน < 1 ครง / ป < 5,000
2 โอกาสเกดนอย เปนเหตการณทคาดวามโอกาสทจะเกดขน 1 – 2 ครง / ป > 5,000 - 20,000
3 โอกาสเกดปานกลาง เปนเหตการณทคาดวามโอกาสทจะเกดขน 3 – 5 ครง / ป > 20,000 - 50,000
4 โอกาสเกดสง เปนเหตการณทคาดวามโอกาสทจะเกดขน 6 – 12 ครง / ป > 50,000 - 100,000
5 โอกาสเกดสงมาก เปนเหตการณทคาดวามโอกาสทจะเกดขน > 12 ครง / ป > 100,000
56
สวนท 2.2 การประเมนความเสยง (ตอ)
ระดบความเสยงดาน IT (ITG Risk Level)
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
H
S
M
L
ระดบความเสยงดาน IT (ITG Risk Level)
•H : Very High Risk [สงมาก]•S : Significant Risk [มนยส าคญ]•M : Moderate Risk [ปานกลาง]•L : Low Risk [นอย]
เขาสขนตอนการประเมนการควบคมภายใน
ปฏบตตามมาตรการควบคมทหนวยงานมอย
ระบมาตรการควบคมความเสยงทหนวยงานมอยในปจจบนRใชแบบฟอรมการระบ และประเมนความเสยง
** แนะน าใหระบ Control Point ใน SOP หากมการประเมน IT RCSA แลวพบวามความเสยงอยในระดบสง หรอมนยส าคญ **
57
สวนท 2.3 การควบคมความเสยง
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
การลดผลกระทบ
ลดผลกระทบทางการเงน
ลดความถทเกดขนในอดต
มาตรการควบคมทมอย
การลดโอกาส / ความถทจะเกดความเสยง
ลดผลกระทบดานลกคา / ภาพพจนบรษท
ลดผลกระทบดานการปฏบตงาน / กฎระเบยบ
ลดโอกาสทจะเกดในอนาคต
58
สวนท 2.3 การควบคมความเสยง
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
ระดบความเสยงดาน IT (ITG Risk Level) ระดบสง (High Risk) ระดบมนยส าคญ (Significant Risk)
H
SRisk Matrix
Action Plan คอ ระบแนวทางการแกไขแผนการด าเนนงาน ระยะเวลา และผรบผดชอบ
ประเมนการควบคมภายใน
Control Matrix
ระดบการควบคม (Control Level) ระดบสง (High Control) ระดบมนยส าคญ (Significant Control)
H
S
ระดบการควบคม (Control Level) ระดบต า (Low Control) ระดบปานกลาง (Medium Control)
L
M
ผลประเมนการควบคม : ไมเพยงพอ
ผลประเมนการควบคม : เพยงพอแตไมสามารถปฏบตตาม
ผลประเมนการควบคม : เพยงพอ
59
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
ลดผลกระทบดาน
การปฏบตงาน / กฎระเบยบ
ลดผลกระทบD
B
Eลดผลกระทบดานลกคา / ภาพพจนบรษท
ลดผลกระทบทางการเงน
C
ลดโอกาสทจะเกดความเสยง A ระดบมาตรการควบคมทมอย
xA B
ท า Action Plan กรณระดบการควบคมไมเพยงพอ / เพยงพอแตไมสามารถปฏบตตาม
สวนท 2.3 การควบคมความเสยง (ตอ)
การค านวณระดบมาตรการควบคมทมอย (Control Level)
L M S H
ไมเพยงพอ - เพยงพอ- เพยงพอแต ไมสามารถ ปฏบตตาม
• H : High Control (สงมาก) มาตรการควบคมเหมาะสมสงมากในการปฏบต เพอจดการความเสยง
• S : Significant Control (มนยส าคญ) มาตรการควบคมเหมาะสมอยางมนยส าคญในการปฏบต เพอจดการความเสยง
• M : Moderate Control (ปานกลาง) มาตรการควบคมเหมาะสมไมเพยงพอในการปฏบต เพอจดการความเสยง• L : Low Control (ต า) มาตรการควบคมไมเหมาะสมในการปฏบต เพอจดการความเสยง
การลดระดบโอกาส / ความถทจะเกดความ
เสยง
ระดบความเชอมโยงกบวตถประสงคในการก ากบดแล
นอยมาก (1) นอย (2) ปานกลาง (3) สง (4) สงมาก (5)
สงมาก (5) S(5x1)
S(5x2)
H(5x3)
H(5x4)
H(5x5)
สง (4) M(4x1)
S(4x2)
S(4x3)
H(4x4)
H(4x5)
ปานกลาง (3) L(3x1)
M(3x2)
S(3x3)
H(3x4)
H(3x5)
นอย (2) L(2x1)
L(2x2)
M(2x3)
S(2x4)
H(2x5)
นอยมาก (1) L(1x1)
L(1x2)
M(1x3)
S(1x4)
S(1x5)
ITG – IT RCSA Control Matrix
60
การลดระดบความรนแรงของผลกระทบ
ITG - IT RCSA
Control Threshold (Likelihood / Frequency)
61
ระดบมาตรการควบคมทมอย
การลดลกษณะโอกาส หรอความถทเกดความเสยง
1 (นอยมาก) สามารถลดโอกาส / ความถทเกดความเสยงไดนอยมากยงมโอกาสเกดความเสยง > 12 ครง / ป
2 (นอย) สามารถลดโอกาส / ความถทเกดความเสยงไดนอยยงมโอกาสเกดความเสยง 6 - 12 ครง / ป
3 (ปานกลาง) สามารถลดโอกาส / ความถทเกดความเสยงไดปานกลางยงมโอกาสเกดความเสยง 3 - 5 ครง / ป
4 (สง) สามารถลดโอกาส / ความถทเกดความเสยงไดสงยงมโอกาสเกดความเสยง 1 - 2 ครง / ป
5 (สงมาก) สามารถลดโอกาส / ความถทเกดความเสยงไดสงมากยงมโอกาสเกดความเสยง < 1 ครง / ป
ITG - IT RCSA
Control Threshold (Impact)
62
ระดบมาตรการควบคมทมอย
การลดผลกระทบ
การเงน การปฏบตงาน / กฏระเบยบ ลกคา / ภาพพจนบรษท
1 (นอยมาก) ลดมลคาความเสยหายทจะเกดขนไดนอยมาก หรอไมเกน 10% ของมลคาความเสยหายทเกดขน
ไมมผลตอการแกไขปญหาในการปฏบตงาน / ไมสามารถลดการถกตกเตอน และถกปรบจากทางการ
ไมสามารถสรางความนาเชอถอของบรษทฯ ใหกบลกคา
2 (นอย) ลดมลคาความเสยหายทจะเกดขนไดนอย หรอไมเกน 25% ของมลคาความเสยหายทเกดขน
มผลตอการแกไขปญหาในการปฏบตงานนอย / ลดการถกตกเตอนจากทางการ
สรางความนาเชอถอของบรษทฯ ใหกบลกคาไดนอย
3 (ปานกลาง) ลดมลคาความเสยหายทจะเกดขนไดปานกลาง หรอไมเกน 50% ของมลคาความเสยหายทเกดขน
มผลตอการแกไขปญหาในการปฏบตงานปานกลาง / ลดการถกตกเตอน และถกปรบจากทางการไดบางสวน
สรางความนาเชอถอของบรษทฯ ใหกบสอมวลชนในประเทศ และลกคาบางสวน
4 (สง) ลดมลคาความเสยหายทจะเกดขนไดสง หรอไมเกน 75% ของมลคาความเสยหายทเกดขน
มผลตอการแกไขปญหาในการปฏบตงานสง / ลดการถกปรบ และท าใหผลประเมนการปฏบตงานดขน
สรางความนาเชอถอของบรษทฯ ใหกบสอมวลชนใน และ/หรอนอกประเทศ และลกคาสวนใหญได
5 (สงมาก) ลดมลคาความเสยหายทจะเกดขนไดสงมาก หรอเกน 75% ของมลคาความเสยหายทเกดขน
มผลตอการแกไขปญหาในการปฏบตงานสงมาก / ลดการถกปรบ และท าใหผลประเมนการปฏบตงานดขนอยางมสาระส าคญ
สรางความนาเชอถอของบรษทฯ ใหกบสอมวลชนใน และ/หรอนอกประเทศ, ลกคาเกอบทงหมด, ธนาคารและกลมธรกจ ตลอดจนสงคมในระยะยาว
63
สวนท 3 การจดการความเสยง (Action Plan)
แบบฟอรมการประเมนการควบคมความเสยงตนเองดานเทคโนโลยสารสนเทศ
ตวอยาง
Agenda
64
1. IT Governance (ITG) Overview
2. COBIT5 Overview
3. ITG - IT RCSA Implementation Approach
4. IT RCSA Form
5. Q & A