การจัดทำระบบบริหารความเสี่ยงระบบข้อมูลและสารสนเทศ

Outlines Risk Risk management frameworks COSO risk management framework Information risk Information risk management

การบริหารความเสี่ยง (Risk Management) ปัจจัยเสี่ยง (Risk Factor) ต้นเหตุที่มาของความเสี่ยง โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใด และเกิดขึ้นได้อย่างไร และทำไม การบริหารความเสี่ยง คือกระบวนการที่ใช้ในการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการกำหนดแนวทางการควบคุม เพื่อป้องกันหรือลดความเสี่ยง *** http://www.opdcacademy.com/moi/images/stories/docs/paper310.pdf

การบริหารความเสี่ยง (Risk Management) การประเมินความเสี่ยง (Risk Analysis) คือการประเมินการปฏิบัติงานในภาพรวมของหน่วยงาน เพื่อให้ทราบเหตุการณ์ของความเสี่ยง และหาทางแก้ไข ควบคุมให้ความเสี่ยงอยู่ในระดับที่เกิดความเสียหายน้อยที่สุด การควบคุมความเสี่ยง (Risk Control) แนวทางหรือขั้นตอนปฏิบัติต่างๆ เพื่อลดความเสี่ยง และทำให้การดำเนินการบรรลุวัตถุประสงค์ การควบคุมเพื่อการป้องกัน การควบคุมเพื่อให้ตรวจสอบ การควบคุมโดยการชี้แนะ การควบคุมเพื่อการแก้ไข

Risk management frameworks Provide balance: enable the organization to move forward achieve its goals whilst ensuring that information risk issues receive appropriate attention Set the direction: provide the vehicle by which directors articulate the organization’s information risk objectives set the risk management principles and policy to be followed by all staff Maintain the course: enable directors, through effective reporting arrangements, to verify that directives are being followed information risks are being appropriately mitigated

Risk management frameworks Risk management frameworks : establish Scope. Identify the nature of the organization’s information assets The stakeholders (specific and general) who have an interest in how the organization uses and safeguards those assets Ownership. Identify who owns the different types of information Some information will be owned by customers, or by the person about whom the information relates, or by third parties providing the information as part of fulfilling a service Risk tolerance. Document the organization’s information risk objectives, and its tolerance for information risk This will dictate the priority afforded to information risk mitigation in comparison with other types of risk.

Risk management frameworks Risk management frameworks : establish Setting direction. Describe the means by which directors set the information risk principles and policy to be followed by all staff Allocation of accountability. Specify how accountability for the use and protection of information is allocated Risk management accountability will follow operational accountability, i.e. those in control of the organization’s operations are accountable both for the uses made of information within those operations and for the safeguarding of that information Each person should be held accountable for the actions they as individuals perform on information, and for not using information illegally.

Risk management frameworks Risk management frameworks : establish Delegated authority. Describe the processes by which decisions affecting the use and protection of information are to be made, be monitored and reviewed Allocation of responsibility. Define the responsibilities needed to ensure information is properly safeguarded Reporting and assurance. Define the reporting and assurance arrangements ensure that their mandates and policies are being followed correctly information control and protection obligations are being fulfilled

Information Governance Frameworks

Governance Frameworks COSO CEO COSO CobiT CIO Financial reporting function ISO 27000 family ITIL Several security governance frameworks -> baseline/guideline that specify how to do security planning and implementation. Specific IT function IT security function Security Guidelines Governance Frameworks

Governance Frameworks CobiT (Control Objectives for Information and Related Technology) is a framework created by ISACA ( Information Systems Audit and Control Association  ) for information technology (IT) management and IT governance focuses specially on controlling the entire IT function defines a set of generic processes for the management of IT Dominance in the United States

Governance Frameworks ISO/IEC 27000 family of standards specially addresses IT security a family of ISO/IEC Information Security Management Systems (ISMS) standards, explains the purpose of an Information Security Management System used to manage information security risks and controls within an organization พระราชกฤษฎีกา ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓

Governance Frameworks ISO/IEC 27000 family of standards Eleven areas Security policy Organization of information security Asset management Human resources security Physical and environmental security Communication and operations management Assess control

Governance Frameworks ISO/IEC 27000 family of standards Eleven areas Information system acquisition, development, and maintenance Information security incident management Business continuity management compliance

Governance Frameworks ITIL : Information Technology Infrastructure Library a set of practices for IT service management (ITSM) (financial) focuses on aligning IT services with the needs of business describes processes, procedures, tasks and checklists that are not organization-specific, used by an organization for establishing integration with the organization's strategy  

COSO The Committee of Sponsoring Organizations of the Treadway Commission (COSO) A joint initiative of 5 private sector organizations American Accounting Association (http://aaahq.org/) American Institute of CPAs (http://www.aicpa.org/Pages/default.aspx) Financial Executives International (http://www.financialexecutives.org/KenticoCMS/home.aspx) The Association of Accountants and Financial Professionals in Business (http://www.imanet.org/ima_home.aspx) The Institute of Internal Auditors (https://na.theiia.org/Pages/IIAHome.aspx) CPA = certified public accountant

COSO Objective : to providing thought leadership through the development of frameworks and guidance on enterprise risk management, internal control and fraud deterrence. Report of the National Commission on Fraudulent Financial Reporting (1987) Internal Control Issues in Derivatives Usage (1996)  Internal Control over Financial Reporting — Guidance for Smaller Public Companies (2006)  Enterprise Risk Management — Integrated Framework (2004)  Internal Control — Integrated Framework (2013)

COSO Risk Management Framework http://www.coso.org/documents/COSO%20McNallyTransition%20Article-Final%20COSO%20Version%20Proof_5-31-13.pdf

COSO Risk Management Framework Objectives : Strategic objectives – กำหนดวัตถุประสงค์เชิงกลยุทธ์ขององค์กร  เป้าหมายของการประสบความสำเร็จ Operational objectives – effective and efficient use of resources Reporting objectives – reliable internal and external reporting Compliance objectives – conformance with applicable laws and regulations

COSO Risk Management Framework Risk Management Framework Activities Internal Environment : 1. risk management philosophy 7. assignment of authority & responsibility 6. commitment to competence 2. risk appetite 3. board of directors 5. integrity and ethical values 4. organization structure

COSO Risk Management Framework Risk Management Framework Activities Objective setting The process of establishing strategic goals for an entity. The achievement of strategic goals necessitates development of operational, reporting, and compliance objectives. Objectives are set taking into consideration the risk tolerance and risk appetite of the entity. ตัวอย่าง การเดินทางไป กทม. ไปอย่างไร ไปถึงเมื่อไหร่ จะทำอย่างไรหากเกิดปัญหา ต่างๆ

COSO Risk Management Framework Event identification Determines which events may affect an entity and whether these events represent opportunities or risks to the achievement of objectives. Opportunities factor into setting the strategic objectives. Risks require management attention for assessment and response.

Event identification ระบุว่ามีความเสี่ยงอะไรบ้าง มองโลกในแง่ร้าย !!! แนวทางในการระบุความเสี่ยง จากเป้าประสงค์ เป้าหมายที่ต้องการบรรลุ พิจารณาพันธกิจ บทบาทหน้าที่งาน

COSO Risk Management Framework Risk assessment Occurs when management evaluates the potential impact of specific risks on the entity. There are two dimensions that are considered using qualitative and quantitative analysis: Likelihood (probability) Impact (amount)

COSO Risk Management Framework Risk assessment level analysis table Extreme High Medium Low Negligible Impact Remote unlikely possible probable certain 0-10% 10-25% 25-50% 50-90% 90-100% Likelihood

การบริหารจัดการความเสี่ยงนั้น ไม่ต้องดำเนินการทุกประการ Risk assessment ความเสี่ยงแต่ละประเภท มีระดับความรุนแรงและโอกาสในการเกิดที่แตกต่างกัน การบริหารจัดการความเสี่ยงนั้น ไม่ต้องดำเนินการทุกประการ เลือกใช้เทคนิคการวิเคราะห์ความเสี่ยงที่เหมาะสม บางครั้งไม่จำเป็นต้องวิเคราะห์ในรูปตัวเลข แต่อาจวิเคราะห์ออกมาเป็นระดับต่าง ๆ เช่น สำคัญมาก ปานกลาง หรือ น้อย เป็นต้น

โอกาสที่จะเกิด (Likelihood) Risk assessment Probability, Opportunity โอกาสที่จะเกิด (Likelihood) พิจารณาว่าปัจจัยเสี่ยงที่ได้เรียงลำดับความสำคัญไว้แล้วนั้น มีโอกาสเกิดขึ้นในระดับไหน (น้อย ปานกลาง มาก ) Severity, seriousness ผลกระทบ (Impact) นำปัจจัยเสี่ยงแต่ละปัจจัยมาพิจารณาว่า หากเกิดขึ้นแล้วมีผลกระทบต่อหน่วยงานมากน้อยแค่ไหน (อาจจะวัดเป็นระดับ น้อย ปานกลาง สูง หรือ กำหนดเป็นตัวเลขก็ได้ หากกำหนดได้)

ตัวอย่างเกณฑ์การประเมินความเสี่ยง โอกาสที่จะเกิดเหตุการณ์ โอกาสที่จะเกิดความเสี่ยง ความถี่โดยเฉลี่ย คะแนน น่าจะเกิดได้มากที่สุด หรือเกิดประจำ (certain, extremely likely) เกิดได้ทุกวัน หรือ เดือนละหลายครั้ง 5 น่าจะเกิดได้ หรือบ่อยครั้ง (probable, likely) อาจจะเกิดได้เดือนละครั้ง 4 เป็นไปได้ หรือ เกิดขึ้นบ้าง (Possible) 1 ครั้งต่อปี 3 ไม่น่าจะเกิดขึ้นได้ หรือเกิดได้น้อย (Unlikely) 2-3 ปีต่อครั้ง 2 ยากที่จะเกิดขึ้น (remote, rare) 5 ปี ต่อครั้ง 1

ตัวอย่างเกณฑ์การประเมินความเสี่ยง กำหนดเกณฑ์ความเสี่ยงแบบต่อเนื่อง (Consequence Ranking) Level Description ด้านการเงิน ด้านความปลอดภัย 1 Insignificant ไม่มีผล Low financial loss No injuries 2 Minor เล็กน้อย Medium financial loss First aid treatment, on-site release immediately contained 3 Moderate ปานกลาง High financial loss Medium treatment required, on-site release contained with outside assistance 4 Major มาก Major financial loss Extensive required, off-side release with no detrimental effects 5 Catastrophic สูงมาก Huge financial loss Death, toxic release, off-side with detrimental effects (เป็นอันตราย)

ตัวอย่างเกณฑ์การประเมินความเสี่ยง กำหนดเป็นเกรดในการประเมินความเสี่ยง Grade: Combined effect of Likelihood/Seriousness Likelihood seriousness Low Medium High extreme E D C A B

COSO Risk Management Framework Risk responses Avoidance. Exiting or divesting of the activities giving rise to the risk Reduction. Actions are taken to reduce risk by for example, implementing controls Sharing. Actions are taken to transfer or share risk for example by: purchasing insurance, engaging in hedging, or outsourcing an activity Acceptance. No action is taken and the entity accepts the risk rather than deploy resources to address

COSO Risk Management Framework Risk responses Extreme High Medium Low Negligible Avoidance Impact Reduction & Sharing Acceptance Remote unlikely possible probable certain 0-10% 10-25% 25-50% 50-90% 90-100% Likelihood

การจัดการกับความเสี่ยง Risk avoidance หลีกเลี่ยงจากความเสี่ยง Risk reduction ลดโอกาสที่จะเกิดความเสี่ยง โดยการกระทำบางอย่างก่อน เพื่อให้โอกาสที่จะเกิดความเสี่ยงน้อยลง Risk mitigation การหาแนวทางในการลดระดับความรุนแรงของความเสี่ยง เมื่อเกิดขึ้น ตัดสินใจว่าจะทำอย่างไรกับความเสี่ยง แต่ละประเภท Risk acceptance ยอมรับความเสี่ยงนั้น ถึงแม้ว่าความเสี่ยงจะเกิดขึ้นและไม่ทำอะไรก่อนที่ความเสี่ยงจะเกิด Risk transfer โอนความเสี่ยง เช่นการซื้อประกัน

COSO Risk Management Framework Control activities  The policies and procedures that - help ensure the risk responses are carried out, and - are most often associated with risk reduction strategies Occur at all levels and in all functions throughout the organization Control activities Preventive Detective Manual Automated Entity level Process level. Inherent risk = the total amount of the risk in the absence of any management actions.  Residual risk = amount of risk left over after management takes actions to alter either the likelihood or the impact of a risk.

COSO Risk Management Framework Information and Communication Information must embody these characteristics: Appropriate and at the right level of detail Available when needed Timely, current, and recent Accurate and reliable Accessible to those who need it top down bottom up across the organization between internal and external stakeholders ( suppliers and customers) Communication streams must be established for efficient delivery of information

COSO Risk Management Framework Monitoring  Change !! The assessment of the ERM continuously to ensure it continues to function as designed and is effective Monitoring activities done by internal auditors any deficiencies are reported to the appropriate level of management, or the board depending on the severity.  Change !!

COSO 2013 Framework

สรุปขั้นตอนในการบริหารความเสี่ยง กำหนดวัตถุประสงค์ (Objective setting) ระบุความเสี่ยง (Risk identification) ประเมินความเสี่ยง (Risk assessment) การตรวจสอบ ทวนสอบ (Monitoring & Review) ตอบสนองต่อความเสี่ยง (Risk response) การให้ข้อมูลและการสื่อสาร (Information & communication) กิจกรรมควบคุม (Control activities)

References http://www.etcommission.go.th/law.html http://www.coso.org/ http://standards.iso.org/ittf/licence.html http://www.itil-officialsite.com/home/home.asp http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx http://www.financelearningacademy.com/riskmanagement.html