Chapter 3: Roles of Management, User & Auditor

งานนำเสนอเรื่อง: "Chapter 3: Roles of Management, User & Auditor"— ใบสำเนางานนำเสนอ:

1 Chapter 3: Roles of Management, User & Auditor

2 Chapter 3 Learning Objectives
Stakeholder in a firm View from each group of players Role from each group of players Limitations, obstacles and difficulties Intro: COBIT Framework

3 Enterprise Governance: Stake holders
Shareholders Board Management employees ผู้ที่มีความเกี่ยวข้องกับองค์กรและมีผลกระทบจากองค์กร

4 IT Governance: Stakeholders
IT Management Executives Middle management Project managers/1st line managers User Auditor

5 Roles Executives Enterprise governance ร่วมพิจารณา project IT
ต้องปฏิบัติตามกฎหมาย ข้อบังคับที่ถูกกำกับดูแลจากทางรัฐ IT Organization People management & career development เสี่ยงต่อากรเข้าคุก

6 Roles Middle management
แสดงให้ผู้บริหารเห็น ว่าบริหาร ทรัพยากรต่างได้อย่างมีประสิทธิภาพ สื่อสารกับลูกน้องถึงความต้องการของ user ต้องการความชัดเจนจากนโยบาย และแนวปฏิบัติ ปรับปรุงความสัมพันธ์กับ user ส่งมอบงานได้ตรงเวลาและสม่ำเสมอ People management & career development ตำแหน่งที่ทำงานยากที่สุด

7 Roles Project managers / 1st line managers
แก้ปัญหาการพัฒนา application ติดตามความคืบหน้าของ project IT ตัดสินใจทางเลือกด้านเทคนิค / เรื่องบุคลากร ให้รวดเร็ว People management & career development

8 Roles Users ธุรกิจดำเนินไปได้ราบรื่นไม่ติดขัด
More functionality at lower cost Greater ease of use แก้ปัญหาทางธุรกิจได้รวดเร็วด้วย โดยใช้ IT เป็นเครื่องมือ ประสานงานและแก้ปัญหา ใน project IT ได้รวดเร็ว สื่อสารกับ IT ได้เข้าใจถูกต้องตรงกัน เลือกชื้อ Software ได้ถูกต้องตามความต้องการ

9 Case: Governance AIG บริษัทประกันภัยใหญ่ที่สุดในโลก แจ้งรายได้มากกว่าที่เป็นจริง 3,900 ล้าน$ (10%) เพื่อปิดบังข่าวลือว่าเงินทุนสำรองลดลงมาก กลต.ฟ้องร้องบริษัทและมีการยอมความโดย AIG จ่ายค่าเสียหาย CFO ยังถูกดำเนินคดีในศาล

10 Case: Governance cont. Enron, 2001 Arthur Andersen 2002
ผู้บริหาร Enron: Ken, Jeffrey, Andrew, Lea, Ben & Dan ถูกศาลตัดสินว่ามีความผิดในคดีฉ้อโกงใหญ่ที่สุดในโลก Arthur Andersen 2002 ผู้บริหาร Arthur Andersen ละเมิดธรรมาภิบาลของ auditor โดยร่วมมือกับ ลูกค้าของตน CFO ของ Enron ทำลายเอกสารหลายฉบับเพื่อปกปิดการตรวจสอบจากทางรัฐบาลสหรัฐ ถูกยึดใบอนุญาต CPA

11 Case: Governance cont. US Securities & Exchange commission (SEC) กลต: fraud 92 Presidents 86 CEOs 40 CFOs 14 COOs 98 VPs 17 Lawyers

12 Internal threat IT people Cause Errors Fraud Confidentiality
Malicious damage Cause Too much power because of knowledge granted to live data Poor change control Division of duty

13 Internal threat User Cause Errors Fraud Confidentiality
Malicious damage Poor disposal of output Careless talk Cause Poor supervise Too much power Too little power In-depth knowledge of control weakness

14 Internal threat Auditor Cause Errors Fraud Confidentiality
Malicious damage Cause Most cases Poor supervise The right to attempt to break system

15 Auditors Public sector auditor External auditor Independent auditor
ตามกฎหมาย/พรบที่เกี่ยวข้องกับนิติบุคคลนั้น External auditor customer ตรวจ supplier ให้เป็นไปตามสัญญาต่างๆ Independent auditor บุคคลที่ 3 ได้รับการว่าจ้างให้ตรวจงานภายใน องค์กร Internal auditor ความถูกต้องและประสิทธิภาพของ ระบบการบริหารงานและการควบคุมงานภายในองค์กร IS/IT auditor ความถูกต้องและประสิทธิภาพของ ระบบการบริหารงานและการควบคุมงาน IT ภายในองค์กร

16 Auditor - Auditee Independency Yes/no Help auditee develop? Conflict?
Personal life. financial gain affecting judgment? Business deals, pending legal actions Job conflict, work under auditee Gift, reward, flavor Yes/no

17 Auditor - Auditee Executive position Speech Mannerism
Clothing - 1 level more Grooming Humor- professional

18 Auditor - Auditee Agree on standard / framework Executive position
Confidentiality Good communication Leadership

19 Obstacles / Difficulties
เวลา เงิน ทรัพยากร ทัศนคติ

20 Audit committee Report to board Outside normal business operation
Full authority over executives Can hire Internal/external auditors

21 Consulting firm organization structure
Engagement manager Customer relationship Consulting/audit project’s overall execution and staff Generate new consultation/ audit projects Senior consultant Leading daily audit activity Observation Managing staff Consultant Audit without supervision System analyst Entry-level , Low level administrative task

22 What Does COBIT Stand For?
C Control OB OBjectives I for Information T and Related Technology

23 Stakeholders need One common business oriented framework of Standards Flexible to suit different needs, multiple levels for multiple needs Incorporating the related assurance framework Aimed at business process owners/management users (customers) service providers auditors To assist them in obtaining reasonable assurance on IT’s contribution to the business objectives

24 IT Manageability Need tools that allow management to self-assess and make choices for control implementation and improvements Ability to align the IT organisation with the goals of the enterprise Performance measurements that ensure that these goals are achieved

25 Information Systems Audit and Control Association ISACA
Leading Global Professional IT Control Organisation Comprises all levels of IT Focuses on audit, control and security Issues Works closely with its more than 150 Chapters in over 50 Countries Services and Programs Designed to Establish Excellence Research Conducted through Foundation Projects selected to help members and the profession keep pace with an ever-changing IT environment

26 ISACA certification Certified Information Systems Auditor (CISA)
The Certified Information Security Manager (CISM) its introduction in 2003 The Certified in the Governance of Enterprise IT (CGEIT) certification The Certified in Risk and Information Systems Control certification (CRISC) Since 1978, the CISA program has been the globally accepted standard of achievement among information systems (IS) audit, control and security professionals. The Certified Information Security Manager (CISM) certification is a unique management-focused certification that has been earned by more than 13,000 professionals since its introduction in 2003 Information Security Governance Information Risk Management Information Security Program Development Information Security Program Management Incident Management and Response   The Certified in the Governance of Enterprise IT (CGEIT) certification Introduced in 2010, The Certified in Risk and Information Systems Control certification (CRISC), pronounced “see-risk,” is intended to recognize a wide range of IT and business professionals for their knowledge of enterprise risk and their ability to design, implement, monitor and maintain information system (IS) controls to mitigate such risk.

27 Cobit Mission To research, develop, publicise and promote an authoritative, up-to-date, international set of generally accepted IT Control Objectives for day-to-day use by business managers and auditors. Vision To be the model for IT governance

28 Who is the certification intended for?
Chief Executive Officer (CEO)/President Chief Information Officer (CIO) Chief Technology Officer (CTO) Chief Audit Executive (CAE)/Partner/Principal Chief Information Risk Strategist Chief Information Security Officer (CISO) Chief Security Officer (CSO) IT Governance Director/Manager IS/IT Director/Manager IS/IT Consultant IS/IT Audit Director/Manager IS/IT Security Director/Manager IS/IT Compliance Director/Manager Project Manager Business Manager General Manager

29 Cobit scope Generally applicable and accepted international standard
Good practice for Information Technology controls For application to enterprise-wide information systems, regardless of technology employed (Generic use) User - business requirements for information management -business process owner Aligned with the de jure and de facto standards and regulations Based on critical review of tasks and activities or function Emerging industry specific requirements such as from banking, electronic commerce and IT manufacturing

30 Definition of Control “The Policies, Procedures, Practices and Organisational Structures, Designed to Provide Reasonable Assurance that Business Objectives will be Achieved and that Undesired Events will be Prevented or Detected and Corrected.”

31 Definition of IT Control Objective
“A Statement of the Desired Result or Purpose to be Achieved by Implementing Control Procedures in a Particular IT Activity.”

32 Who needs an IT Governance and Control Model ?
IT Management IT investment decisions balance risk and control investment benchmark existing and future IT environment User to obtain assurance on security and control of products and services they acquire internally or externally Auditor to substantiate opinions to management on internal controls to advise on what minimum controls are necessary

33 ค้นคว้าเพิ่มเติม ISACA engages in the development, adoption and use of globally accepted, industry-leading knowledge and practices for information systems. Enron Creditors Recovery Corp. ("ECRC") is the new name for Enron Corp The true story of real fake