1 / 39

การจัดทำระบบบริหารความเสี่ยงระบบข้อมูลและสารสนเทศ

การจัดทำระบบบริหารความเสี่ยงระบบข้อมูลและสารสนเทศ. Outlines. Risk Risk management frameworks COSO risk management framework Information risk Information risk management. การบริหารความ เสี่ยง (Risk Management).

iniko
Download Presentation

การจัดทำระบบบริหารความเสี่ยงระบบข้อมูลและสารสนเทศ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. การจัดทำระบบบริหารความเสี่ยงระบบข้อมูลและสารสนเทศการจัดทำระบบบริหารความเสี่ยงระบบข้อมูลและสารสนเทศ

  2. Outlines • Risk • Risk management frameworks • COSO risk management framework • Information risk • Information risk management

  3. การบริหารความเสี่ยง (Risk Management) ความเสี่ยง (Risk) คือปัจจัยที่มีผลกระทบต่อการบรรลุวัตถุประสงค์และเป้าหมายขององค์กร *** ปัจจัยเสี่ยง (Risk Factor) ต้นเหตุที่มาของความเสี่ยง โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใด และเกิดขึ้นได้อย่างไร และทำไม การบริหารความเสี่ยง คือกระบวนการที่ใช้ในการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการกำหนดแนวทางการควบคุม เพื่อป้องกันหรือลดความเสี่ยง *** http://www.opdcacademy.com/moi/images/stories/docs/paper310.pdf

  4. การบริหารความเสี่ยง (Risk Management) การประเมินความเสี่ยง (Risk Analysis) คือการประเมินการปฏิบัติงานในภาพรวมของหน่วยงาน เพื่อให้ทราบเหตุการณ์ของความเสี่ยง และหาทางแก้ไข ควบคุมให้ความเสี่ยงอยู่ในระดับที่เกิดความเสียหายน้อยที่สุด การควบคุมความเสี่ยง(Risk Control) แนวทางหรือขั้นตอนปฏิบัติต่างๆ เพื่อลดความเสี่ยง และทำให้การดำเนินการบรรลุวัตถุประสงค์ การควบคุมเพื่อการป้องกัน การควบคุมเพื่อให้ตรวจสอบ การควบคุมโดยการชี้แนะ การควบคุมเพื่อการแก้ไข

  5. Risk management frameworks • Provide balance: • enable the organization to move forward • achieve its goals whilst ensuring that information risk issues receive appropriate attention • Set the direction: • provide the vehicle by which directors • articulate the organization’s information risk objectives • set the risk management principles and policy to be followed by all staff • Maintain the course: • enable directors, through effective reporting arrangements, to • verify that directives are being followed • information risks are being appropriately mitigated

  6. Risk management frameworks • Risk management frameworks : establish • Scope. • Identify the nature of the organization’s information assets • The stakeholders (specific and general) who have an interest in how the organization uses and safeguards those assets • Ownership. • Identify who owns the different types of information • Some information will be owned by customers, or • by the person about whom the information relates, or • by third parties providing the information as part of fulfilling a service • Risk tolerance. • Document the organization’s information risk objectives, and its tolerance for information risk • This will dictate the priority afforded to information risk mitigation in comparison with other types of risk.

  7. Risk management frameworks • Risk management frameworks : establish • Setting direction. • Describe the means by which directors set the information risk principles and policy to be followed by all staff • Allocation of accountability. • Specify how accountability for the use and protection of information is allocated • Risk management accountability will follow operational accountability, i.e. • those in control of the organization’s operations are accountable both for the uses made of information within those operations and for the safeguarding of that information • Each person should be held accountable for the actions they as individuals perform on information, and for not using information illegally.

  8. Risk management frameworks • Risk management frameworks : establish • Delegated authority. • Describe the processes by which decisions affecting the use and protection of information are to • be made, • be monitored and • reviewed • Allocation of responsibility. • Define the responsibilities needed to ensure information is properly safeguarded • Reporting and assurance. • Define the reporting and assurance arrangements • ensure that their mandates and policies are being followed correctly • information control and protection obligations are being fulfilled

  9. Information Governance Frameworks

  10. Governance Frameworks COSO CEO COSO CobiT CIO Financial reporting function ISO 27000 family ITIL Specific IT function IT security function Security Guidelines Governance Frameworks

  11. Governance Frameworks • CobiT (Control Objectives for Information and Related Technology) • is a framework created by ISACA ( Information Systems Audit and Control Association  ) for information technology (IT) management and IT governance • focuses specially on controlling the entire IT function • defines a set of generic processes for the management of IT • Dominance in the United States

  12. Governance Frameworks • ISO/IEC 27000 family of standardsspecially addresses IT security • a family of ISO/IEC Information Security Management Systems (ISMS) standards, • explains the purpose of an Information Security Management System • used to manage information security risks and controls within an organization • พระราชกฤษฎีกา ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓

  13. Governance Frameworks • ISO/IEC 27000 family of standards • Eleven areas • Security policy • Organization of information security • Asset management • Human resources security • Physical and environmental security • Communication and operations management • Assess control

  14. Governance Frameworks • ISO/IEC 27000 family of standards • Eleven areas • Information system acquisition, development, and maintenance • Information security incident management • Business continuity management • compliance

  15. Governance Frameworks • ITIL : Information Technology Infrastructure Library • a set of practices for IT service management (ITSM) (financial) • focuses on aligning IT services with the needs of business • describes processes, procedures, tasks and checklists that are not organization-specific, • used by an organization for establishing integration with the organization's strategy  

  16. COSO • The Committee of Sponsoring Organizations of the Treadway Commission (COSO) • A joint initiative of 5 private sector organizations • American Accounting Association (http://aaahq.org/) • American Institute of CPAs (http://www.aicpa.org/Pages/default.aspx) • Financial Executives International (http://www.financialexecutives.org/KenticoCMS/home.aspx) • The Association of Accountants and Financial Professionals in Business (http://www.imanet.org/ima_home.aspx) • The Institute of Internal Auditors (https://na.theiia.org/Pages/IIAHome.aspx)

  17. COSO • Objective : • to providing thought leadership through the development of frameworks and guidance on enterprise risk management, internal control and fraud deterrence. • Report of the National Commission on Fraudulent Financial Reporting (1987) • Internal Control Issues in Derivatives Usage (1996)  • Internal Control over Financial Reporting — Guidance for Smaller Public Companies (2006)  • Enterprise Risk Management — Integrated Framework (2004)  • Internal Control — Integrated Framework (2013)

  18. COSO Risk Management Framework http://www.coso.org/documents/COSO%20McNallyTransition%20Article-Final%20COSO%20Version%20Proof_5-31-13.pdf

  19. COSO Risk Management Framework • Objectives : Strategic objectives – กำหนดวัตถุประสงค์เชิงกลยุทธ์ขององค์กร  เป้าหมายของการประสบความสำเร็จ Operational objectives – effective and efficient use of resources Reporting objectives – reliable internal and external reporting Compliance objectives – conformance with applicable laws and regulations

  20. COSO Risk Management Framework Risk Management Framework Activities Internal Environment : 1. risk management philosophy 7. assignment of authority & responsibility 6. commitment to competence 2. risk appetite 3. board of directors 5. integrity and ethical values 4. organization structure

  21. COSO Risk Management Framework Risk Management Framework Activities Objective setting The process of establishing strategic goals for an entity. The achievement of strategic goals necessitates development of operational, reporting, and compliance objectives. Objectives are set taking into consideration the risk tolerance and risk appetite of the entity. ตัวอย่าง การเดินทางไป กทม. ไปอย่างไร ไปถึงเมื่อไหร่ จะทำอย่างไรหากเกิดปัญหา ต่างๆ

  22. COSO Risk Management Framework Event identification Determines which events may affect an entity and whether these events represent opportunities or risks to the achievement of objectives. Opportunities factor into setting the strategic objectives. Risks require management attention for assessment and response.

  23. Event identification ระบุว่ามีความเสี่ยงอะไรบ้าง มองโลกในแง่ร้าย !!! แนวทางในการระบุความเสี่ยง • จากเป้าประสงค์ เป้าหมายที่ต้องการบรรลุ • พิจารณาพันธกิจ บทบาทหน้าที่งาน

  24. COSO Risk Management Framework Risk assessment Occurs when management evaluates the potential impact of specific risks on the entity. There are two dimensions that are considered using qualitative and quantitative analysis: Likelihood (probability) Impact (amount)

  25. COSO Risk Management Framework Risk assessment level analysis table Extreme High Medium Low Negligible Impact Remote unlikely possible probable certain 0-10% 10-25% 25-50% 50-90% 90-100% Likelihood

  26. Risk assessment ความเสี่ยงแต่ละประเภท มีระดับความรุนแรงและโอกาสในการเกิดที่แตกต่างกัน การบริหารจัดการความเสี่ยงนั้น ไม่ต้องดำเนินการทุกประการ เลือกใช้เทคนิคการวิเคราะห์ความเสี่ยงที่เหมาะสม บางครั้งไม่จำเป็นต้องวิเคราะห์ในรูปตัวเลข แต่อาจวิเคราะห์ออกมาเป็นระดับต่าง ๆ เช่น สำคัญมาก ปานกลาง หรือ น้อย เป็นต้น

  27. Risk assessment Probability, Opportunity โอกาสที่จะเกิด (Likelihood) พิจารณาว่าปัจจัยเสี่ยงที่ได้เรียงลำดับความสำคัญไว้แล้วนั้น มีโอกาสเกิดขึ้นในระดับไหน (น้อย ปานกลาง มาก ) Severity, seriousness ผลกระทบ (Impact) นำปัจจัยเสี่ยงแต่ละปัจจัยมาพิจารณาว่า หากเกิดขึ้นแล้วมีผลกระทบต่อหน่วยงานมากน้อยแค่ไหน (อาจจะวัดเป็นระดับ น้อย ปานกลาง สูง หรือ กำหนดเป็นตัวเลขก็ได้ หากกำหนดได้)

  28. ตัวอย่างเกณฑ์การประเมินความเสี่ยงตัวอย่างเกณฑ์การประเมินความเสี่ยง โอกาสที่จะเกิดเหตุการณ์

  29. ตัวอย่างเกณฑ์การประเมินความเสี่ยงตัวอย่างเกณฑ์การประเมินความเสี่ยง กำหนดเกณฑ์ความเสี่ยงแบบต่อเนื่อง (Consequence Ranking)

  30. ตัวอย่างเกณฑ์การประเมินความเสี่ยงตัวอย่างเกณฑ์การประเมินความเสี่ยง กำหนดเป็นเกรดในการประเมินความเสี่ยง Grade: Combined effect of Likelihood/Seriousness

  31. COSO Risk Management Framework Risk responses Avoidance. Exiting or divesting of the activities giving rise to the risk Reduction. Actions are taken to reduce risk by for example, implementing controls Sharing. Actions are taken to transfer or share risk for example by: purchasing insurance, engaging in hedging, or outsourcing an activity Acceptance. No action is taken and the entity accepts the risk rather than deploy resources to address

  32. COSO Risk Management Framework Risk responses Extreme High Medium Low Negligible Avoidance Impact Reduction & Sharing Acceptance Remote unlikely possible probable certain 0-10% 10-25% 25-50% 50-90% 90-100% Likelihood

  33. การจัดการกับความเสี่ยงการจัดการกับความเสี่ยง Risk avoidance หลีกเลี่ยงจากความเสี่ยง Risk reduction ลดโอกาสที่จะเกิดความเสี่ยง โดยการกระทำบางอย่างก่อน เพื่อให้โอกาสที่จะเกิดความเสี่ยงน้อยลง Risk mitigation การหาแนวทางในการลดระดับความรุนแรงของความเสี่ยง เมื่อเกิดขึ้น ตัดสินใจว่าจะทำอย่างไรกับความเสี่ยง แต่ละประเภท Risk acceptance ยอมรับความเสี่ยงนั้น ถึงแม้ว่าความเสี่ยงจะเกิดขึ้นและไม่ทำอะไรก่อนที่ความเสี่ยงจะเกิด Risk transfer โอนความเสี่ยง เช่นการซื้อประกัน

  34. COSO Risk Management Framework Control activities  • The policies and procedures that • - help ensure the risk responses are carried out, and • - are most often associated with risk reduction strategies • Occur at all levels and in all functions throughout the organization Control activities Preventive Detective Manual Automated Entity level Process level. Inherent risk = the total amount of the risk in the absence of any management actions.  Residual risk = amount of risk left over after management takes actions to alter either the likelihood or the impact of a risk.

  35. COSO Risk Management Framework Information and Communication Information must embody these characteristics: • Appropriate and at the right level of detail • Available when needed • Timely, current, and recent • Accurate and reliable • Accessible to those who need it • top down • bottom up • across the organization • between internal and external stakeholders ( suppliers and customers) Communication streams must be established for efficient delivery of information

  36. COSO Risk Management Framework Monitoring  Change !! • The assessment of the ERM continuously • to ensure it continues to function as designed and is effective • Monitoring activities • done by internal auditors • any deficiencies are reported to • the appropriate level of management, or • the board • depending on the severity.  Change !!

  37. COSO 2013 Framework

  38. สรุปขั้นตอนในการบริหารความเสี่ยงสรุปขั้นตอนในการบริหารความเสี่ยง กำหนดวัตถุประสงค์ (Objective setting) ระบุความเสี่ยง (Risk identification) ประเมินความเสี่ยง (Risk assessment) การตรวจสอบ ทวนสอบ (Monitoring & Review) ตอบสนองต่อความเสี่ยง (Risk response) การให้ข้อมูลและการสื่อสาร (Information & communication) กิจกรรมควบคุม (Control activities)

  39. References • http://www.etcommission.go.th/law.html • http://www.coso.org/ • http://standards.iso.org/ittf/licence.html • http://www.itil-officialsite.com/home/home.asp • http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx • http://www.financelearningacademy.com/riskmanagement.html

More Related