การจัดทำระบบบริหารความเสี่ยงระบบข้อมูลและสารสนเทศ

งานนำเสนอเรื่อง: "การจัดทำระบบบริหารความเสี่ยงระบบข้อมูลและสารสนเทศ"— ใบสำเนางานนำเสนอ:

1 การจัดทำระบบบริหารความเสี่ยงระบบข้อมูลและสารสนเทศ

2 Outlines Risk Risk management frameworks
COSO risk management framework Information risk Information risk management

3 การบริหารความเสี่ยง (Risk Management)
ปัจจัยเสี่ยง (Risk Factor) ต้นเหตุที่มาของความเสี่ยง โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใด และเกิดขึ้นได้อย่างไร และทำไม การบริหารความเสี่ยง คือกระบวนการที่ใช้ในการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการกำหนดแนวทางการควบคุม เพื่อป้องกันหรือลดความเสี่ยง ***

4 การบริหารความเสี่ยง (Risk Management)
การประเมินความเสี่ยง (Risk Analysis) คือการประเมินการปฏิบัติงานในภาพรวมของหน่วยงาน เพื่อให้ทราบเหตุการณ์ของความเสี่ยง และหาทางแก้ไข ควบคุมให้ความเสี่ยงอยู่ในระดับที่เกิดความเสียหายน้อยที่สุด การควบคุมความเสี่ยง (Risk Control) แนวทางหรือขั้นตอนปฏิบัติต่างๆ เพื่อลดความเสี่ยง และทำให้การดำเนินการบรรลุวัตถุประสงค์ การควบคุมเพื่อการป้องกัน การควบคุมเพื่อให้ตรวจสอบ การควบคุมโดยการชี้แนะ การควบคุมเพื่อการแก้ไข

5 Risk management frameworks
Provide balance: enable the organization to move forward achieve its goals whilst ensuring that information risk issues receive appropriate attention Set the direction: provide the vehicle by which directors articulate the organization’s information risk objectives set the risk management principles and policy to be followed by all staff Maintain the course: enable directors, through effective reporting arrangements, to verify that directives are being followed information risks are being appropriately mitigated

6 Risk management frameworks
Risk management frameworks : establish Scope. Identify the nature of the organization’s information assets The stakeholders (specific and general) who have an interest in how the organization uses and safeguards those assets Ownership. Identify who owns the different types of information Some information will be owned by customers, or by the person about whom the information relates, or by third parties providing the information as part of fulfilling a service Risk tolerance. Document the organization’s information risk objectives, and its tolerance for information risk This will dictate the priority afforded to information risk mitigation in comparison with other types of risk.

7 Risk management frameworks
Risk management frameworks : establish Setting direction. Describe the means by which directors set the information risk principles and policy to be followed by all staff Allocation of accountability. Specify how accountability for the use and protection of information is allocated Risk management accountability will follow operational accountability, i.e. those in control of the organization’s operations are accountable both for the uses made of information within those operations and for the safeguarding of that information Each person should be held accountable for the actions they as individuals perform on information, and for not using information illegally.

8 Risk management frameworks
Risk management frameworks : establish Delegated authority. Describe the processes by which decisions affecting the use and protection of information are to be made, be monitored and reviewed Allocation of responsibility. Define the responsibilities needed to ensure information is properly safeguarded Reporting and assurance. Define the reporting and assurance arrangements ensure that their mandates and policies are being followed correctly information control and protection obligations are being fulfilled

9 Information Governance Frameworks

10 Governance Frameworks
COSO CEO COSO CobiT CIO Financial reporting function ISO family ITIL Several security governance frameworks -> baseline/guideline that specify how to do security planning and implementation. Specific IT function IT security function Security Guidelines Governance Frameworks

11 Governance Frameworks
CobiT (Control Objectives for Information and Related Technology) is a framework created by ISACA ( Information Systems Audit and Control Association  ) for information technology (IT) management and IT governance focuses specially on controlling the entire IT function defines a set of generic processes for the management of IT Dominance in the United States

12 Governance Frameworks
ISO/IEC family of standards specially addresses IT security a family of ISO/IEC Information Security Management Systems (ISMS) standards, explains the purpose of an Information Security Management System used to manage information security risks and controls within an organization พระราชกฤษฎีกา ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓

13 Governance Frameworks
ISO/IEC family of standards Eleven areas Security policy Organization of information security Asset management Human resources security Physical and environmental security Communication and operations management Assess control

14 Governance Frameworks
ISO/IEC family of standards Eleven areas Information system acquisition, development, and maintenance Information security incident management Business continuity management compliance

15 Governance Frameworks
ITIL : Information Technology Infrastructure Library a set of practices for IT service management (ITSM) (financial) focuses on aligning IT services with the needs of business describes processes, procedures, tasks and checklists that are not organization-specific, used by an organization for establishing integration with the organization's strategy  

16 COSO The Committee of Sponsoring Organizations of the Treadway Commission (COSO) A joint initiative of 5 private sector organizations American Accounting Association ( American Institute of CPAs ( Financial Executives International ( The Association of Accountants and Financial Professionals in Business ( The Institute of Internal Auditors ( CPA = certified public accountant

17 COSO Objective : to providing thought leadership through the development of frameworks and guidance on enterprise risk management, internal control and fraud deterrence. Report of the National Commission on Fraudulent Financial Reporting (1987) Internal Control Issues in Derivatives Usage (1996)  Internal Control over Financial Reporting — Guidance for Smaller Public Companies (2006)  Enterprise Risk Management — Integrated Framework (2004)  Internal Control — Integrated Framework (2013)

18 COSO Risk Management Framework

19 COSO Risk Management Framework
Objectives : Strategic objectives – กำหนดวัตถุประสงค์เชิงกลยุทธ์ขององค์กร  เป้าหมายของการประสบความสำเร็จ Operational objectives – effective and efficient use of resources Reporting objectives – reliable internal and external reporting Compliance objectives – conformance with applicable laws and regulations

20 COSO Risk Management Framework
Risk Management Framework Activities Internal Environment : 1. risk management philosophy 7. assignment of authority & responsibility 6. commitment to competence 2. risk appetite 3. board of directors 5. integrity and ethical values 4. organization structure

21 COSO Risk Management Framework
Risk Management Framework Activities Objective setting The process of establishing strategic goals for an entity. The achievement of strategic goals necessitates development of operational, reporting, and compliance objectives. Objectives are set taking into consideration the risk tolerance and risk appetite of the entity. ตัวอย่าง การเดินทางไป กทม. ไปอย่างไร ไปถึงเมื่อไหร่ จะทำอย่างไรหากเกิดปัญหา ต่างๆ

22 COSO Risk Management Framework
Event identification Determines which events may affect an entity and whether these events represent opportunities or risks to the achievement of objectives. Opportunities factor into setting the strategic objectives. Risks require management attention for assessment and response.

23 Event identification ระบุว่ามีความเสี่ยงอะไรบ้าง มองโลกในแง่ร้าย !!!
แนวทางในการระบุความเสี่ยง จากเป้าประสงค์ เป้าหมายที่ต้องการบรรลุ พิจารณาพันธกิจ บทบาทหน้าที่งาน

24 COSO Risk Management Framework
Risk assessment Occurs when management evaluates the potential impact of specific risks on the entity. There are two dimensions that are considered using qualitative and quantitative analysis: Likelihood (probability) Impact (amount)

25 COSO Risk Management Framework
Risk assessment level analysis table Extreme High Medium Low Negligible Impact Remote unlikely possible probable certain 0-10% % % % % Likelihood

26 การบริหารจัดการความเสี่ยงนั้น ไม่ต้องดำเนินการทุกประการ
Risk assessment ความเสี่ยงแต่ละประเภท มีระดับความรุนแรงและโอกาสในการเกิดที่แตกต่างกัน การบริหารจัดการความเสี่ยงนั้น ไม่ต้องดำเนินการทุกประการ เลือกใช้เทคนิคการวิเคราะห์ความเสี่ยงที่เหมาะสม บางครั้งไม่จำเป็นต้องวิเคราะห์ในรูปตัวเลข แต่อาจวิเคราะห์ออกมาเป็นระดับต่าง ๆ เช่น สำคัญมาก ปานกลาง หรือ น้อย เป็นต้น

27 โอกาสที่จะเกิด (Likelihood)
Risk assessment Probability, Opportunity โอกาสที่จะเกิด (Likelihood) พิจารณาว่าปัจจัยเสี่ยงที่ได้เรียงลำดับความสำคัญไว้แล้วนั้น มีโอกาสเกิดขึ้นในระดับไหน (น้อย ปานกลาง มาก ) Severity, seriousness ผลกระทบ (Impact) นำปัจจัยเสี่ยงแต่ละปัจจัยมาพิจารณาว่า หากเกิดขึ้นแล้วมีผลกระทบต่อหน่วยงานมากน้อยแค่ไหน (อาจจะวัดเป็นระดับ น้อย ปานกลาง สูง หรือ กำหนดเป็นตัวเลขก็ได้ หากกำหนดได้)

28 ตัวอย่างเกณฑ์การประเมินความเสี่ยง
โอกาสที่จะเกิดเหตุการณ์ โอกาสที่จะเกิดความเสี่ยง ความถี่โดยเฉลี่ย คะแนน น่าจะเกิดได้มากที่สุด หรือเกิดประจำ (certain, extremely likely) เกิดได้ทุกวัน หรือ เดือนละหลายครั้ง 5 น่าจะเกิดได้ หรือบ่อยครั้ง (probable, likely) อาจจะเกิดได้เดือนละครั้ง 4 เป็นไปได้ หรือ เกิดขึ้นบ้าง (Possible) 1 ครั้งต่อปี 3 ไม่น่าจะเกิดขึ้นได้ หรือเกิดได้น้อย (Unlikely) 2-3 ปีต่อครั้ง 2 ยากที่จะเกิดขึ้น (remote, rare) 5 ปี ต่อครั้ง 1

29 ตัวอย่างเกณฑ์การประเมินความเสี่ยง
กำหนดเกณฑ์ความเสี่ยงแบบต่อเนื่อง (Consequence Ranking) Level Description ด้านการเงิน ด้านความปลอดภัย 1 Insignificant ไม่มีผล Low financial loss No injuries 2 Minor เล็กน้อย Medium financial loss First aid treatment, on-site release immediately contained 3 Moderate ปานกลาง High financial loss Medium treatment required, on-site release contained with outside assistance 4 Major มาก Major financial loss Extensive required, off-side release with no detrimental effects 5 Catastrophic สูงมาก Huge financial loss Death, toxic release, off-side with detrimental effects (เป็นอันตราย)

30 ตัวอย่างเกณฑ์การประเมินความเสี่ยง
กำหนดเป็นเกรดในการประเมินความเสี่ยง Grade: Combined effect of Likelihood/Seriousness Likelihood seriousness Low Medium High extreme E D C A B

31 COSO Risk Management Framework
Risk responses Avoidance. Exiting or divesting of the activities giving rise to the risk Reduction. Actions are taken to reduce risk by for example, implementing controls Sharing. Actions are taken to transfer or share risk for example by: purchasing insurance, engaging in hedging, or outsourcing an activity Acceptance. No action is taken and the entity accepts the risk rather than deploy resources to address

32 COSO Risk Management Framework
Risk responses Extreme High Medium Low Negligible Avoidance Impact Reduction & Sharing Acceptance Remote unlikely possible probable certain 0-10% % % % % Likelihood

33 การจัดการกับความเสี่ยง
Risk avoidance หลีกเลี่ยงจากความเสี่ยง Risk reduction ลดโอกาสที่จะเกิดความเสี่ยง โดยการกระทำบางอย่างก่อน เพื่อให้โอกาสที่จะเกิดความเสี่ยงน้อยลง Risk mitigation การหาแนวทางในการลดระดับความรุนแรงของความเสี่ยง เมื่อเกิดขึ้น ตัดสินใจว่าจะทำอย่างไรกับความเสี่ยง แต่ละประเภท Risk acceptance ยอมรับความเสี่ยงนั้น ถึงแม้ว่าความเสี่ยงจะเกิดขึ้นและไม่ทำอะไรก่อนที่ความเสี่ยงจะเกิด Risk transfer โอนความเสี่ยง เช่นการซื้อประกัน

34 COSO Risk Management Framework
Control activities  The policies and procedures that - help ensure the risk responses are carried out, and - are most often associated with risk reduction strategies Occur at all levels and in all functions throughout the organization Control activities Preventive Detective Manual Automated Entity level Process level. Inherent risk = the total amount of the risk in the absence of any management actions.  Residual risk = amount of risk left over after management takes actions to alter either the likelihood or the impact of a risk.

35 COSO Risk Management Framework
Information and Communication Information must embody these characteristics: Appropriate and at the right level of detail Available when needed Timely, current, and recent Accurate and reliable Accessible to those who need it top down bottom up across the organization between internal and external stakeholders ( suppliers and customers) Communication streams must be established for efficient delivery of information

36 COSO Risk Management Framework
Monitoring  Change !! The assessment of the ERM continuously to ensure it continues to function as designed and is effective Monitoring activities done by internal auditors any deficiencies are reported to the appropriate level of management, or the board depending on the severity.  Change !!

37 COSO 2013 Framework

38 สรุปขั้นตอนในการบริหารความเสี่ยง
กำหนดวัตถุประสงค์ (Objective setting) ระบุความเสี่ยง (Risk identification) ประเมินความเสี่ยง (Risk assessment) การตรวจสอบ ทวนสอบ (Monitoring & Review) ตอบสนองต่อความเสี่ยง (Risk response) การให้ข้อมูลและการสื่อสาร (Information & communication) กิจกรรมควบคุม (Control activities)

39 References http://www.etcommission.go.th/law.html http://www.coso.org/