งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

การจัดทำระบบบริหาร ความเสี่ยงระบบข้อมูลและ สารสนเทศ.

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "การจัดทำระบบบริหาร ความเสี่ยงระบบข้อมูลและ สารสนเทศ."— ใบสำเนางานนำเสนอ:

1 การจัดทำระบบบริหาร ความเสี่ยงระบบข้อมูลและ สารสนเทศ

2 Outlines Risk Risk management frameworks COSO risk management framework Information risk Information risk management

3 การบริหารความเสี่ยง (Risk Management) *** ความเสี่ยง (Risk) คือ ปัจจัยที่มีผลกระทบ ต่อการบรรลุวัตถุประสงค์และเป้าหมายของ องค์กร *** ปัจจัยเสี่ยง (Risk Factor) ต้นเหตุที่มาของความเสี่ยง โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใด และเกิดขึ้นได้อย่างไร และทำไม การบริหารความเสี่ยง คือกระบวนการที่ใช้ในการระบุความ เสี่ยง การวิเคราะห์ความเสี่ยง และการกำหนดแนวทางการ ควบคุม เพื่อป้องกันหรือลดความเสี่ยง

4 การบริหารความเสี่ยง (Risk Management) การประเมินความเสี่ยง (Risk Analysis) คือการประเมินการปฏิบัติงานในภาพรวมของ หน่วยงาน เพื่อให้ทราบเหตุการณ์ของความเสี่ยง และหาทางแก้ไข ควบคุมให้ความเสี่ยงอยู่ในระดับที่ เกิดความเสียหายน้อยที่สุด การประเมินความเสี่ยง (Risk Analysis) คือการประเมินการปฏิบัติงานในภาพรวมของ หน่วยงาน เพื่อให้ทราบเหตุการณ์ของความเสี่ยง และหาทางแก้ไข ควบคุมให้ความเสี่ยงอยู่ในระดับที่ เกิดความเสียหายน้อยที่สุด การควบคุมความเสี่ยง (Risk Control) แนวทางหรือขั้นตอนปฏิบัติต่างๆ เพื่อลดความเสี่ยง และทำให้การดำเนินการบรรลุวัตถุประสงค์ การควบคุมเพื่อการป้องกัน การควบคุมเพื่อให้ตรวจสอบ การควบคุมโดยการชี้แนะ การควบคุมเพื่อการแก้ไข

5 Risk management frameworks Provide balance: – enable the organization to move forward – achieve its goals whilst ensuring that information risk issues receive appropriate attention Set the direction: – provide the vehicle by which directors articulate the organization’s information risk objectives set the risk management principles and policy to be followed by all staff Maintain the course: – enable directors, through effective reporting arrangements, to verify that directives are being followed information risks are being appropriately mitigated

6 Risk management frameworks Risk management frameworks : establish – Scope. Identify the nature of the organization’s information assets The stakeholders (specific and general) who have an interest in how the organization uses and safeguards those assets – Ownership. Identify who owns the different types of information – Some information will be owned by customers, or – by the person about whom the information relates, or – by third parties providing the information as part of fulfilling a service – Risk tolerance. Document the organization’s information risk objectives, and its tolerance for information risk This will dictate the priority afforded to information risk mitigation in comparison with other types of risk.

7 Risk management frameworks Risk management frameworks : establish – Setting direction. Describe the means by which directors set the information risk principles and policy to be followed by all staff – Allocation of accountability. Specify how accountability for the use and protection of information is allocated Risk management accountability will follow operational accountability, i.e. – those in control of the organization’s operations are accountable both for the uses made of information within those operations and for the safeguarding of that information – Each person should be held accountable for the actions they as individuals perform on information, and for not using information illegally.

8 Risk management frameworks Risk management frameworks : establish – Delegated authority. Describe the processes by which decisions affecting the use and protection of information are to – be made, – be monitored and – reviewed – Allocation of responsibility. Define the responsibilities needed to ensure information is properly safeguarded – Reporting and assurance. Define the reporting and assurance arrangements – ensure that their mandates and policies are being followed correctly – information control and protection obligations are being fulfilled

9 Information Governance Frameworks

10 Governance Frameworks CEO Financial reporting function CIO Specific IT function IT security function COSO ITIL CobiT ISO family Security Guidelines Governance Frameworks

11 Governance Frameworks CobiT (Control Objectives for Information and Related Technology) – is a framework created by ISACA ( Information Systems Audit and Control Association ) for information technology (IT) management and IT governance – focuses specially on controlling the entire IT function – defines a set of generic processes for the management of IT – Dominance in the United States

12 Governance Frameworks ISO/IEC family of standards specially addresses IT security – a family of ISO/IEC Information Security Management Systems (ISMS) standards, – explains the purpose of an Information Security Management System – used to manage information security risks and controls within an organization พระราชกฤษฎีกา ว่าด้วยวิธีการแบบปลอดภัยในการ ทําธุรกรรมทางอิเล็กทรอนิกส์ พ. ศ. ๒๕๕๓

13 Governance Frameworks ISO/IEC family of standards – Eleven areas Security policy Organization of information security Asset management Human resources security Physical and environmental security Communication and operations management Assess control

14 Governance Frameworks ISO/IEC family of standards – Eleven areas Information system acquisition, development, and maintenance Information security incident management Business continuity management compliance

15 Governance Frameworks ITIL : Information Technology Infrastructure Library – a set of practices for IT service management (ITSM) (financial)IT service management (financial) – focuses on aligning IT services with the needs of business – describes processes, procedures, tasks and checklists that are not organization-specific, used by an organization for establishing integration with the organization's strategy

16 COSO The Committee of Sponsoring Organizations of the Treadway Commission (COSO) A joint initiative of 5 private sector organizations – American Accounting Association (http://aaahq.org/)http://aaahq.org/ – American Institute of CPAs (http://www.aicpa.org/Pages/default.aspx)http://www.aicpa.org/Pages/default.aspx – Financial Executives International (http://www.financialexecutives.org/KenticoCMS/home.asp x)http://www.financialexecutives.org/KenticoCMS/home.asp x – The Association of Accountants and Financial Professionals in Business (http://www.imanet.org/ima_home.aspx)http://www.imanet.org/ima_home.aspx – The Institute of Internal Auditors (https://na.theiia.org/Pages/IIAHome.aspx)https://na.theiia.org/Pages/IIAHome.aspx

17 COSO Objective : – to providing thought leadership through the development of frameworks and guidance on enterprise risk management, internal control and fraud deterrence. Report of the National Commission on Fraudulent Financial Reporting (1987) Internal Control Issues in Derivatives Usage (1996) Internal Control over Financial Reporting — Guidance for Smaller Public Companies (2006) Enterprise Risk Management — Integrated Framework (2004) Internal Control — Integrated Framework (2013)

18 COSO Risk Management Framework sition%20Article-Final%20COSO%20Version%20Proof_ pdf

19 COSO Risk Management Framework Strategic objectives – กำหนดวัตถุประสงค์เชิงกลยุทธ์ ขององค์กร  เป้าหมายของการประสบความสำเร็จ Operational objectives – effective and efficient use of resources Reporting objectives – reliable internal and external reporting Compliance objectives – conformance with applicable laws and regulations

20 COSO Risk Management Framework 1. risk management philosophy 2. risk appetite 3. board of directors 5. integrity and ethical values 6. commitment to competence 4. organization structure 7. assignment of authority & responsibility

21 COSO Risk Management Framework The process of establishing strategic goals for an entity. The achievement of strategic goals necessitates development of operational, reporting, and compliance objectives. Objectives are set taking into consideration the risk tolerance and risk appetite of the entity. ตัวอย่าง การเดินทางไป กทม. ไปอย่างไร ไปถึงเมื่อไหร่ จะทำอย่างไร หากเกิดปัญหา ต่างๆ

22 COSO Risk Management Framework Determines which events may affect an entity and whether these events represent opportunities or risks to the achievement of objectives. Opportunities factor into setting the strategic objectives. Risks require management attention for assessment and response.

23 ระบุว่ามีความ เสี่ยงอะไรบ้าง มองโลกในแง่ร้าย !!! แนวทางในการ ระบุความเสี่ยง จากเป้าประสงค์ เป้าหมายที่ ต้องการบรรลุ พิจารณาพันธกิจ บทบาทหน้าที่ งาน

24 COSO Risk Management Framework Occurs when management evaluates the potential impact of specific risks on the entity. There are two dimensions that are considered using qualitative and quantitative analysis: Likelihood (probability) Impact (amount)

25 COSO Risk Management Framework Likelihood Impact Extreme High Medium Low Negligible Remote unlikely possible probable certain 0-10% 10-25% 25-50% 50-90% %

26 ความเสี่ยงแต่ละประเภท มีระดับความรุนแรงและโอกาส ในการเกิดที่แตกต่างกัน การบริหารจัดการความเสี่ยงนั้น ไม่ต้อง ดำเนินการทุกประการ เลือกใช้เทคนิคการวิเคราะห์ความเสี่ยงที่เหมาะสม บางครั้งไม่จำเป็นต้องวิเคราะห์ในรูปตัวเลข แต่อาจ วิเคราะห์ออกมาเป็นระดับต่าง ๆ เช่น สำคัญมาก ปาน กลาง หรือ น้อย เป็นต้น

27 โอกาสที่จะเกิด (Likelihood) พิจารณาว่าปัจจัยเสี่ยงที่ได้เรียงลำดับ ความสำคัญไว้แล้วนั้น มีโอกาสเกิดขึ้นใน ระดับไหน ( น้อย ปานกลาง มาก ) Probability, Opportunity ผลกระทบ (Impact) นำปัจจัยเสี่ยงแต่ละปัจจัยมาพิจารณาว่า หากเกิดขึ้นแล้วมีผลกระทบต่อหน่วยงาน มากน้อยแค่ไหน ( อาจจะวัดเป็นระดับ น้อย ปานกลาง สูง หรือ กำหนดเป็นตัวเลขก็ได้ หากกำหนดได้ ) Severity, seriousness

28 ตัวอย่างเกณฑ์การประเมินความเสี่ยง โอกาสที่จะเกิดเหตุการณ์ โอกาสที่จะเกิดความเสี่ยงความถี่โดยเฉลี่ยคะแน น น่าจะเกิดได้มากที่สุด หรือเกิด ประจำ (certain, extremely likely) เกิดได้ทุกวัน หรือ เดือนละหลายครั้ง 5 น่าจะเกิดได้ หรือบ่อยครั้ง (probable, likely) อาจจะเกิดได้เดือน ละครั้ง 4 เป็นไปได้ หรือ เกิดขึ้นบ้าง (Possible) 1 ครั้งต่อปี 3 ไม่น่าจะเกิดขึ้นได้ หรือเกิดได้ น้อย (Unlikely) 2-3 ปีต่อครั้ง 2 ยากที่จะเกิดขึ้น (remote, rare) 5 ปี ต่อครั้ง 1

29 ตัวอย่างเกณฑ์การประเมินความเสี่ยง กำหนดเกณฑ์ความเสี่ยงแบบต่อเนื่อง (Consequence Ranking) LevelDescription ด้านการเงินด้านความปลอดภัย 1Insignificant ไม่มีผล Low financial lossNo injuries 2Minor เล็กน้อย Medium financial loss First aid treatment, on-site release immediately contained 3 Moderate ปานกลาง High financial lossMedium treatment required, on-site release contained with outside assistance 4 Major มาก Major financial lossExtensive required, off-side release with no detrimental effects 5 Catastrophic สูงมาก Huge financial lossDeath, toxic release, off-side with detrimental effects ( เป็นอันตราย )

30 ตัวอย่างเกณฑ์การประเมินความเสี่ยง กำหนดเป็นเกรดในการประเมิน ความเสี่ยง Likelihood seriousness LowMediumHighextreme LowEDCA MediumDCBA HighCBAA Grade: Combined effect of Likelihood/Seriousness

31 COSO Risk Management Framework Acceptance. No action is taken and the entity accepts the risk rather than deploy resources to address Avoidance. Exiting or divesting of the activities giving rise to the risk Reduction. Actions are taken to reduce risk by for example, implementing controls Sharing. Actions are taken to transfer or share risk for example by: purchasing insurance, engaging in hedging, or outsourcing an activity

32 COSO Risk Management Framework Likelihood Impact Extreme High Medium Low Negligible Remote unlikely possible probable certain 0-10% 10-25% 25-50% 50-90% % Avoidance Reduction & Sharing Acceptance

33 การจัดการกับความเสี่ยง ตัดสินใจว่า จะทำ อย่างไรกับ ความเสี่ยง แต่ละ ประเภท Risk avoidance หลีกเลี่ยงจากความ เสี่ยง Risk reduction ลด โอกาสที่จะเกิดความเสี่ยง โดยการกระทำบางอย่างก่อน เพื่อให้โอกาสที่จะเกิดความ เสี่ยงน้อยลง Risk acceptance ยอมรับ ความเสี่ยงนั้น ถึงแม้ว่าความ เสี่ยงจะเกิดขึ้นและไม่ทำอะไร ก่อนที่ความเสี่ยงจะเกิด Risk transfer โอนความเสี่ยง เช่น การซื้อประกัน Risk mitigation การ หาแนวทางในการลด ระดับความรุนแรงของ ความเสี่ยง เมื่อเกิดขึ้น

34 COSO Risk Management Framework Inherent risk = the total amount of the risk in the absence of any management actions. Residual risk = amount of risk left over after management takes actions to alter either the likelihood or the impact of a risk. The policies and procedures that - help ensure the risk responses are carried out, and - are most often associated with risk reduction strategies Occur at all levels and in all functions throughout the organization Control activities Preventive Detective Manual Automated Entity level Process level. Control activities Preventive Detective Manual Automated Entity level Process level.

35 COSO Risk Management Framework Information must embody these characteristics: Appropriate and at the right level of detail Available when needed Timely, current, and recent Accurate and reliable Accessible to those who need it Communication streams must be established for efficient delivery of information top down bottom up across the organization between internal and external stakeholders ( suppliers and customers) top down bottom up across the organization between internal and external stakeholders ( suppliers and customers)

36 COSO Risk Management Framework The assessment of the ERM continuously to ensure it continues to function as designed and is effective Monitoring activities done by internal auditors any deficiencies are reported to the appropriate level of management, or the board depending on the severity. Change !!

37 COSO 2013 Framework

38 สรุปขั้นตอนในการบริหารความ เสี่ยง ระบุความเสี่ยง (Risk identification) กำหนด วัตถุประสงค์ (Objective setting) ประเมินความเสี่ยง (Risk assessment) ตอบสนองต่อความ เสี่ยง (Risk response) กิจกรรมควบคุม (Control activities) การให้ข้อมูลและการ สื่อสาร (Information & communication) การตรวจสอบ ทวนสอบ (Monitoring & Review)

39 References Center/COBIT/Pages/Overview.aspx Center/COBIT/Pages/Overview.aspx agement.html agement.html


ดาวน์โหลด ppt การจัดทำระบบบริหาร ความเสี่ยงระบบข้อมูลและ สารสนเทศ.

งานนำเสนอที่คล้ายกัน


Ads by Google