Chapter 3: Roles of Management, User & Auditor

Chapter 3 Learning Objectives Stakeholder in a firm View from each group of players Role from each group of players Limitations, obstacles and difficulties Intro: COBIT Framework

Enterprise Governance: Stake holders Shareholders Board Management employees ผู้ที่มีความเกี่ยวข้องกับองค์กรและมีผลกระทบจากองค์กร

IT Governance: Stakeholders IT Management Executives Middle management Project managers/1st line managers User Auditor

Roles Executives Enterprise governance ร่วมพิจารณา project IT ต้องปฏิบัติตามกฎหมาย ข้อบังคับที่ถูกกำกับดูแลจากทางรัฐ IT Organization People management & career development เสี่ยงต่อากรเข้าคุก

Roles Middle management แสดงให้ผู้บริหารเห็น ว่าบริหาร ทรัพยากรต่างได้อย่างมีประสิทธิภาพ สื่อสารกับลูกน้องถึงความต้องการของ user ต้องการความชัดเจนจากนโยบาย และแนวปฏิบัติ ปรับปรุงความสัมพันธ์กับ user ส่งมอบงานได้ตรงเวลาและสม่ำเสมอ People management & career development ตำแหน่งที่ทำงานยากที่สุด

Roles Project managers / 1st line managers แก้ปัญหาการพัฒนา application ติดตามความคืบหน้าของ project IT ตัดสินใจทางเลือกด้านเทคนิค / เรื่องบุคลากร ให้รวดเร็ว People management & career development

Roles Users ธุรกิจดำเนินไปได้ราบรื่นไม่ติดขัด More functionality at lower cost Greater ease of use แก้ปัญหาทางธุรกิจได้รวดเร็วด้วย โดยใช้ IT เป็นเครื่องมือ ประสานงานและแก้ปัญหา ใน project IT ได้รวดเร็ว สื่อสารกับ IT ได้เข้าใจถูกต้องตรงกัน เลือกชื้อ Software ได้ถูกต้องตามความต้องการ

Case: Governance AIG บริษัทประกันภัยใหญ่ที่สุดในโลก แจ้งรายได้มากกว่าที่เป็นจริง 3,900 ล้าน$ (10%) เพื่อปิดบังข่าวลือว่าเงินทุนสำรองลดลงมาก กลต.ฟ้องร้องบริษัทและมีการยอมความโดย AIG จ่ายค่าเสียหาย CFO ยังถูกดำเนินคดีในศาล

Case: Governance cont. Enron, 2001 Arthur Andersen 2002 ผู้บริหาร Enron: Ken, Jeffrey, Andrew, Lea, Ben & Dan ถูกศาลตัดสินว่ามีความผิดในคดีฉ้อโกงใหญ่ที่สุดในโลก Arthur Andersen 2002 ผู้บริหาร Arthur Andersen ละเมิดธรรมาภิบาลของ auditor โดยร่วมมือกับ ลูกค้าของตน CFO ของ Enron ทำลายเอกสารหลายฉบับเพื่อปกปิดการตรวจสอบจากทางรัฐบาลสหรัฐ ถูกยึดใบอนุญาต CPA

Case: Governance cont. US Securities & Exchange commission (SEC) กลต: fraud 2002-2005 92 Presidents 86 CEOs 40 CFOs 14 COOs 98 VPs 17 Lawyers

Internal threat IT people Cause Errors Fraud Confidentiality Malicious damage Cause Too much power because of knowledge granted to live data Poor change control Division of duty

Internal threat User Cause Errors Fraud Confidentiality Malicious damage Poor disposal of output Careless talk Cause Poor supervise Too much power Too little power In-depth knowledge of control weakness

Internal threat Auditor Cause Errors Fraud Confidentiality Malicious damage Cause Most cases Poor supervise The right to attempt to break system

Auditors Public sector auditor External auditor Independent auditor ตามกฎหมาย/พรบที่เกี่ยวข้องกับนิติบุคคลนั้น External auditor customer ตรวจ supplier ให้เป็นไปตามสัญญาต่างๆ Independent auditor บุคคลที่ 3 ได้รับการว่าจ้างให้ตรวจงานภายใน องค์กร Internal auditor ความถูกต้องและประสิทธิภาพของ ระบบการบริหารงานและการควบคุมงานภายในองค์กร IS/IT auditor ความถูกต้องและประสิทธิภาพของ ระบบการบริหารงานและการควบคุมงาน IT ภายในองค์กร

Auditor - Auditee Independency Yes/no Help auditee develop? Conflict? Personal life. financial gain affecting judgment? Business deals, pending legal actions Job conflict, work under auditee Gift, reward, flavor Yes/no

Auditor - Auditee Executive position Speech Mannerism Clothing - 1 level more Grooming Humor- professional

Auditor - Auditee Agree on standard / framework Executive position Confidentiality Good communication Leadership

Obstacles / Difficulties เวลา เงิน ทรัพยากร ทัศนคติ

Audit committee Report to board Outside normal business operation Full authority over executives Can hire Internal/external auditors

Consulting firm organization structure Engagement manager Customer relationship Consulting/audit project’s overall execution and staff Generate new consultation/ audit projects Senior consultant Leading daily audit activity Observation Managing staff Consultant Audit without supervision System analyst Entry-level , Low level administrative task

What Does COBIT Stand For? C Control OB OBjectives I for Information T and Related Technology

Stakeholders need One common business oriented framework of Standards Flexible to suit different needs, multiple levels for multiple needs Incorporating the related assurance framework Aimed at business process owners/management users (customers) service providers auditors To assist them in obtaining reasonable assurance on IT’s contribution to the business objectives

IT Manageability Need tools that allow management to self-assess and make choices for control implementation and improvements Ability to align the IT organisation with the goals of the enterprise Performance measurements that ensure that these goals are achieved

Information Systems Audit and Control Association ISACA Leading Global Professional IT Control Organisation Comprises all levels of IT Focuses on audit, control and security Issues Works closely with its more than 150 Chapters in over 50 Countries Services and Programs Designed to Establish Excellence Research Conducted through Foundation Projects selected to help members and the profession keep pace with an ever-changing IT environment

ISACA certification Certified Information Systems Auditor (CISA) The Certified Information Security Manager (CISM) its introduction in 2003 The Certified in the Governance of Enterprise IT (CGEIT) certification The Certified in Risk and Information Systems Control certification (CRISC) Since 1978, the CISA program has been the globally accepted standard of achievement among information systems (IS) audit, control and security professionals. The Certified Information Security Manager (CISM) certification is a unique management-focused certification that has been earned by more than 13,000 professionals since its introduction in 2003 Information Security Governance Information Risk Management Information Security Program Development Information Security Program Management Incident Management and Response   The Certified in the Governance of Enterprise IT (CGEIT) certification Introduced in 2010, The Certified in Risk and Information Systems Control certification (CRISC), pronounced “see-risk,” is intended to recognize a wide range of IT and business professionals for their knowledge of enterprise risk and their ability to design, implement, monitor and maintain information system (IS) controls to mitigate such risk.

Cobit Mission To research, develop, publicise and promote an authoritative, up-to-date, international set of generally accepted IT Control Objectives for day-to-day use by business managers and auditors. Vision To be the model for IT governance

Who is the certification intended for? Chief Executive Officer (CEO)/President Chief Information Officer (CIO) Chief Technology Officer (CTO) Chief Audit Executive (CAE)/Partner/Principal Chief Information Risk Strategist Chief Information Security Officer (CISO) Chief Security Officer (CSO) IT Governance Director/Manager IS/IT Director/Manager IS/IT Consultant IS/IT Audit Director/Manager IS/IT Security Director/Manager IS/IT Compliance Director/Manager Project Manager Business Manager General Manager

Cobit scope Generally applicable and accepted international standard Good practice for Information Technology controls For application to enterprise-wide information systems, regardless of technology employed (Generic use) User - business requirements for information management -business process owner Aligned with the de jure and de facto standards and regulations Based on critical review of tasks and activities or function Emerging industry specific requirements such as from banking, electronic commerce and IT manufacturing

Definition of Control “The Policies, Procedures, Practices and Organisational Structures, Designed to Provide Reasonable Assurance that Business Objectives will be Achieved and that Undesired Events will be Prevented or Detected and Corrected.”

Definition of IT Control Objective “A Statement of the Desired Result or Purpose to be Achieved by Implementing Control Procedures in a Particular IT Activity.”

Who needs an IT Governance and Control Model ? IT Management IT investment decisions balance risk and control investment benchmark existing and future IT environment User to obtain assurance on security and control of products and services they acquire internally or externally Auditor to substantiate opinions to management on internal controls to advise on what minimum controls are necessary

ค้นคว้าเพิ่มเติม https://www.isaca.org ISACA engages in the development, adoption and use of globally accepted, industry-leading knowledge and practices for information systems. http://www.enron.com Enron Creditors Recovery Corp. ("ECRC") is the new name for Enron Corp http://www.dreamworks.com/catchthem The true story of real fake