GRC & Career path – ICT Ministry
Chulabhorn Research Institute
5 August 2010
www.itgthailand.com
By: Metha Suvanasarn
1
CGEIT; CIA; CPA
หลายคนคิดทีจ
่ ะเปลีย
่ นโลก
แต่ไม่มใี ครเลยทีค
่ ด
ิ จะเปลีย
่ นต ัวเอง
ลีโอ ตอล์สตอย
ATTITUDE
can change the World
ท ัศนคติ สามารถเปลีย่ นแปลงโลกแห่งการบริหารได้
GRC : Value Creation for Effectiveness &
Efficiency of Operations
Sustainable
growth
2
การบริหาร
ความเสี่ ยง (ERM)
1/1
1
การบริหาร
IT Governance
การกากับดูแลกิจการที่ดี
(Corporate Governance)
4
GRC
การตรวจสอบภายใน
(RBIA)
3
การควบคุมภายใน
(COSO)
GRC : Holistic Understanding for CG &
ITG+GRC and CIO / C-Levels
กรอบการกากับดูแลกิจการที่ดี
CG&ITG
และการบริหารเพือ่ สร้ างคุณค่ าเพิม่ กับ
Soft Controls
Tone at the Top
 ระดับวิสัยทัศน์
โดยคณะผูบ้ ริ หารระดับสู ง
หรื อคณะกรรมการบริ หาร
 ระดับการบริ หาร
โดยผูอ้ านวยการ และ
รองผูอ้ านวยการ
 ระดับปฏิบัติการ
โดยผูบ้ ริ หารลงไปถึง
ผูป้ ฏิบตั ิ
ระบบงาน
ภายนอก
การกากับ
ดูแลกิจการที่ดี
ขององค์กร
(จิตวิญญาณ/ความยั่งยืน)
การบริ หาร IT Governance
Soft controls
ระบบการ ระบบการควบคุม ระบบการ
บริ หารความเสี่ ยง (ศู นย์ รวมประสาท) ตรวจสอบภายใน
(ภูมิค้ มุ กัน)
(การตอบสนอง)
ระบบเทคโนโลยีสารสนเทศ-IT
(โครงกระดูก)
ระบบงาน
ส่ วนหน้า
ระบบงาน
ส่ วนกลาง
ระบบงาน
ส่ วนหลัง
Where are we ..to GRC ?
Evolution of three ways of managing companies: by instructions, by objectives and by values
Trend for manager to become leaders and facilitators
MBV
Organizational Complexity
Trend
towards
Product
Quality
and
clients’
satisfaction
XXI
Century
MBO 1980
MBI
1960
Need for “Organizational Development”
Trend towards autonomy and professional responsibility
MBI = Management by Instructions; MBO = Management by Objectives;
Source : Management by Values : Simon L. Dolan, MBV = Management by Values
Salvador Garcia and Bonnie Richley
Source : Sun Microsystems, Inc.
Trend
towards
team,
Networks
& flat
structure
GRC
: Value Creation for Effectiveness &
Efficiency of Operations
Composite Model
Good Governance
Self Discipline
Market Discipline
Regulatory Discipline
Governance is
about identifying
and controlling
risks
Knowledge
Board of
Directors
External Audit
Internal Audit
Management
Corporate Reporting
Investor Diligence
Enforcement
Regulator
Image : IIA Australia 1 Nov.08
ความเข้ มแข็งในการบริหารองค์ กรและประเทศแบบบูรณาการ
GRC / Governance – Risk Mgmt. – Compliance & Integrity Management
ไม่ มีระบบใดเลย
(ขาดความเข้าใจใน
การบริ หารเชิงกล
ยุทธ์อย่างสิ้ นเชิง)
2
แก้ ปัญหาเฉพาะหน้ า
(เป็ นเรื่ อง ๆ เป็ นกลุ่ม ๆ)
Stakeholders
แนวทางบูรณาการ
(สร้างความเชื่ อมัน่ ของ
Stakeholder)
แนวทางเริ่ มเป็ นระบบ
(เริ่ มต้นจากรัฐบาลและองค์กร)
Country / Organization
(Trust / Value / Survival / Assurance)
COSO - Operational
5
COSO - Strategic
3
Reporting &
Information
1
มุ่งเป็ นทิศทางเดียวกัน
(โดยกระบวนการเรี ยนรู้ )
Sustainable
Growth
Society & Belief
(CG / ITG / GRC)
COSO - Compliance
Individual?
4
6
บูรณาการเป็ นหนึง่ เดียว
(เพื่อการเติบโตอย่างยัง่ ยืน
ของประเทศชาติ)
Enterprise GRC คืออะไร ?
Enterprise GRC คือ
กระบวนหลอมรวมเป็ นหนึ่งเดียวของหลัก และกรอบการบริ หารที่
เกี่ยวกับการกากับและดูแลกิจการที่ดี ทั้งทางด้านทัว่ ไป (CG – Corporate
Governance) และบรรษัทภิบาลทางด้าน IT (CG of IT หรื อ IT Governance)
กับกรอบการบริ หารความเสี่ ยงระดับองค์กร (Risk หรื อ ERM – Enterprise
Risk Management) และการปฏิบตั ิตามกฎหมาย กฎเกณฑ์ ระเบียบ คาสัง่
รวมทั้งนโยบายของ External Parties และ Internal Body รวมทั้งมาตรฐาน
ที่เกี่ยวข้องทัว่ ทั้งองค์กร และ/หรื อธุรกิจ (Across the Business) ในภาพ
โดยรวม หรือ
Source: www.itgthailand.com :Metha Suvanasarn
Enterprise GRC คืออะไร ?
Enterprise GRC คือ
กระบวนการบริ หารที่รวมเป็ นชุด ที่มีความสัมพันธ์กนั และกัน
ในองค์ประกอบหลักการบริ หารด้านการกากับดูแลกิจการที่ดี
(Governance – CG + ITG) การบริ หารความเสี่ ยงระดับองค์กร (Risk
หรื อ ERM) และการปฏิบตั ิตามกฎเกณฑ์ และกติกาสังคม ทั้งใน
ระดับประเทศ และระหว่างประเทศ (Compliance) เพื่อสร้างความพึง
พอใจให้กบั ผูม้ ีผลประโยชน์ร่วม (Stakeholders) ทั้งในระยะสั้น และ
ในระยะยาว หรือ
Source: www.itgthailand.com :Metha Suvanasarn
Enterprise GRC คืออะไร ?
Enterprise GRC คือ
กระบวนขับเคลื่อนการบริ หารที่เน้น “กระบวนการ” หรื อ “Process” ที่หลอม
รวมการบริ หาร PPT หรื อ People + Process + Technology ที่เน้น Operational
Management และเป็ น Core Function ในการผลักดันองค์กรไปสู่ Integrity – Driven
Performance ภายใต้องค์ประกอบหลัก GRC เพื่อสนองตอบความต้องการของผูม้ ี
ผลประโยชน์ร่วมอย่างผสมผสานเป็ นหนึ่ งเดียวของธุรกิจ
หรือ อาจอธิ บายได้วา่ Enterprise GRC คือ การหลอมรวมการบริ หารเพื่อให้เกิด
เอกภาพในการบรรลุเป้ าประสงค์สุดท้ายของธุรกิจ ในมุมมองต่าง ๆ ที่ก่อให้เกิดคุณค่า
เพิ่ม และความน่าเชื่อถือ เชื่อมัน่ อย่างต่อเนื่องจากกระบวนการบริ หารงานที่ได้มาตรฐาน
ตามกฎเกณฑ์ กติกา ของสังคมโลก เพื่อผูม้ ีผลประโยชน์ร่วมภายใต้ความเสี่ ยงที่ยอมรับ
ได้อย่างมีดุลยภาพตามหลักการGRC – Governance + Risk Management + Compliance
Enterprise GRC คืออะไร ?
Enterprise GRC คือ
หรือ อธิ บายได้วา่ Enterprise GRC คือ กระบวนการหลอมรวมการ
บริ หารธุรกิจให้สัมพันธ์เป็ นหนึ่ งเดียวกับการหลอมรวมความเสี่ ยงจากองค์ประกอบ
หลัก 3 ด้านใหญ่ คือ Governance (CG + ITG) และ Enterprise Risk Management – R
(Risk IT & Risk & Business Risk) รวม Compliance และการปฏิบตั ิตามมาตรฐาน
กฎหมาย กฎเกณฑ์ กติกาสากลของผูม้ ีผลประโยชน์ร่วมอย่างได้ดุลยภาพ และมีคุณภาพ
ที่ไว้ใจได้
หรือ Enterprise GRC คือ กระบวนการบริ หารธุรกิจที่ผสมผสานเป็ นหนึ่ งเดียว
ของ Governance + Risk Management และ Compliance อย่างมีมาตรฐาน ไว้วางใจ เป็ น
ที่พอใจ ของผูม้ ีผลประโยชน์ร่วม เพื่อการเติบโตอย่างยัง่ ยืนที่ควบคุมได้ และตรวจสอบ
ได้
Source: www.itgthailand.com :Metha Suvanasarn
GRC ≠ G + R+ C & Understanding
1.
GRC เป็ นกระบวนการใหม่ ที่รวมหลายกระบวนการที่ดีในการจัดการทั้งมวล
ของ G+R+C เป็ น Consolidated-Single Framework
2. GRC มิใช่ G +R+C
3. GRC มีวตั ถุประสงค์ เพือ่ ขับเคลือ่ นกลยุทธ์ ขององค์กร
สร้ าง Value ในลักษณะ Integrety - Driven Performance เพือ่ ประโยชน์
ของ Stakeholders ทั้งภายในและภายนอกองค์ กร มิใช่ เพียง Shareholders
ตามแนวทางของ IMP-Integrated Performance Management
4. GRC ขับเคลือ่ นโดย IT เป็ นส่ วนใหญ่ และ เป็ นกระบวนในภาคปฏิบัติ
Source: www.itgthailand.com :Metha Suvanasarn
GRC ≠ G + R+ C & Understanding-cont.
5. GRC ทีใ่ ช้ มคี าจากัดความใหม่ ทแี่ ตกต่ างจาก G+R+C
6. GRC จะส่ งผลต่ อการกาหนด วิสัยทัศน์ ใหม่ + พันธกิจใหม่ +
นโยบายใหม่ ทีส่ ร้ างกลยุทธใหม่ เพือ่ ก้ าวสู่ Business Bsc.
และ Information Bsc. ทั้ง 4 มุมมอง
7. GRC ทีถ่ ่ ายทอกเป็ น Action Plan และโครงการต่ างๆนั้นจะ
พิจารณาในลักษณะความเชื่อมโยงกันและกัน มีความสั มพันธ์
ต่ อกันในทุก Management Universe และ Audit Universe ตาม
แนวคิด/กรอบของ Interdependent ในกระบวนการจัดการ
Source:
www.itgthailand.com :Metha Suvanasarn
GRC ≠ G + R+ C & Understanding-cont.
8.
G
Audit Universe
R
CG + ITG
ทีม่ ปี ัจจัยต่ างๆทีเ่ ป็ นส่ วนหลักๆ ส่ งเสริม
กันและกันในทุกเรื่องไม่ ว่าจะพิจารณา
มุมมองใดของ Business BSc.
S + O + F + C ก็เช่ นกัน ต้ องพิจารณาในหลัก
Management & Audit Universe
IT/NON - IT
C
Compliance
ภายนอก
มาตรฐาน &
ภายใน
Best Practice
ทุก Compliance
จะเกีย่ วข้ องและสั มพันธ์ กนั เสมอ
GRC ≠ G + R+ C & Understanding-cont.
9. GRC : อาจอธิบายได้ หลายมุมมองของทุกระดับในกระบวนการจัดการ หาก
ขาดการสอดประสานและบูรณาการ ในขั้นตอนใดขั้นตอนหนึ่งของ
กระบวนการใดกระบวนการหนึ่ง และในกิจกรรมใดกิจกรรมหนึ่ง ทั้งในระดับ
แนวนอนและแนวตั้ง ที่ผสมผสานระหว่ าง IT และ NON-IT เป็ นหนึ่งเดียว
ตามหลัก Interdependent ก็อาจพิจารณาได้ ว่า GRC ในองค์ กรนั้นขาด
ประสิ ทธิภาพในการบริหารองค์ กรในภาพโดยรวม
10. GRC : เช่ นเดียวกับการบริหารอืน่ ๆในอดีต ที่มีกรอบความคิด ความเชื่อ การ
ปฏิบัติ จากทัศนคติทแี่ ตกต่ างกันมากกับ การบริหารงานขององค์ กรใน
ปัจจุบัน แต่ สิ่งทีเ่ หมือนๆกันก็คอื การติดตามและการตรวจสอบทีใ่ ช้ เป็ นกรอบ
ในการประเมินประสิ ทธิภาพและประสิ ทธิผลของการบริหารซึ่งในยุคปัจจุบนั
อาจเรียกว่ า การบริหารความเสี่ ยงของธุรกิจ ทุกระดับของการจัดการจึงควร
เข้ าใจการควบคุมและการตรวจสอบทั้งด้ าน IT & Non-IT
GRC ≠ G + R+ C & Understanding-cont.
ดังนั้น ถ้ าหากองค์ กรโดยคณะกรรมการ ผู้บริหารฯ + + เข้ าใจ
หลักการและประโยชน์ ทไี่ ด้ จากกระบวนการควบคุมและตรวจสอบ
ทั้งทางด้ าน IT และ NON – IT ทีแ่ ตกต่ างกัน จะนาไปสู่ ความ
ล้ มเหลวเพราะไปเพิม่ ความเสี่ ยงด้ านการบริหารที่
ทาให้ องค์ กรขาดความเชื่อมั่นจากผู้มผี ลประโยชน์ ร่วม
GRC : หากองค์กรหรือบุคลากรระดับต่างๆไม่ เห็นความสาคัญของ
Risk IT และ IT Risk ซึ่งมีผลกระทบต่ อ Business Risk ภาพโดยรวมของ
การบริหารความเสี่ ยง การบริหารจัดการองค์ กรในทุกมุมมองจะไม่ อาจก้ าว
ไปสู่ GRC เพือ่ ขับเคลือ่ น Integrity-Driven Performance ได้
Source: www.itgthailand.com :Metha Suvanasarn
An Integrated Approach To Governance,
Risk & Compliance-GRC
Stakeholder Expectations
Governance
Key linkage
Objectives &
Risk
Appetite
Setting objectives, tone, policies, risk appetite
and accountabilities. Monitoring performance.
Enterprise Risk Management
Identifying and assessing risks that may affect the
ability to achieve objectives and determining risk
response strategies and control activities.
Key linkage
Risk
Response &
Control
Activities
Compliance
Operating in accordance with objectives and ensuring
adherence with laws and regulations, internal policies
and procedures, and stakeholder commitments.
Policies
Procedures
Processes/system
People
Tools &Technologies
Effective Integration of GRC to Sustainable Growth
Source : Price Waterhouse Coopers
Information Security – International Standard (ISO 27001)
1. Security policy
2. Organization of information security
ISO 27001
Objectives
3. Asset management
Processes &
Activities
4. Human resources security
5. Physical and environmental security
6. Communications and
operations management
7. Access control
8. Information systems acquisition,
development and maintenance
9. Information security incident
management
10. Business continuity management
11. Compliance
Interdependent Approaches / Consideration
...
...
Supervision / Monitoring / Across Criteria / Functions
Consideration of common errors in identifying objectives –
Identifying a means as an end.
Failing to consider each type & all types of objectives.
Failing to consider the relationships between objectives.
Domains
COBIT Framework is the control in IT by looking at Information and IT resources*
Activities control and Risk Assessment for Risk Identification
Domains
Business Objectives
IT Processes and
Information
Process
34
Activities/Tasks
15
7
318 activities
ITG/ GRC : Value Creation for Effectiveness &
Efficiency of Operations
IT Risk factors aligned with their tiers in the pyramid
ISMS/
ISO27001
&
CIA
Poor IT-business relations
Poor project delivery
+++
Accuracy
Applications do not meet business requirements
Manual data integration required
+++
Applications need standardization
Lack of internal controls in applications
Network not reliable at all locations
+++
Infrastructure not standardized
Old technology
Poor backup/recovery
Poor understood processes and applications
+++
Source: Adopt
Agility
Access
Availability
from IT Risk –turning business threats into competitive advantage by George Westerman & Richard Hunter
Unlocking Value & Val IT
How is Effective IT Governance Best Accomplished?
Asking—and Answering—Four Fundamental Questions
1. The strategic question: Are we doing the right things?
2. The architecture question: Are we doing these things the right way?
3. The delivery question: Are we getting these things done well?
4. The value question: Are we getting the benefits?
Using a Comprehensive
IT Governance Framework
COBIT
 Val IT
Resource : IT Governance Institute
You are
here…
Is IT Creating Value?
Make Sure to Ask the Right Questions.
CG/ITG & GRC Framework + Convergence Risk & Mgmt.
Rules & Regulations by Regulators Office of The Auditor General
Thai OAG
Rules & Regulations by Regulators & International Standards
COBIT ISO / IEC
ITIL
(IT Infrastructure Library)
Lessons Learned/
Other Standard
ส่ วนประกอบของ Enterprise Risk Management (ERM)
1. สภาพแวดล้ อมภายในองค์ กร (Internal Environment)
Risk Management Philosophy – Risk Culture – Board of director – Integrity and Ethical Values – Committee to Competence – Management’s Philosophy
and Operation Style – Risk Appetite – Organization – Assignment of Authority and responsibility – Human Resource Policy
COSO
S-O-F-C
2. การกาหนดเป้าหมาย (Objective Setting)
Strategic Objective – Related Objectives – Selected Objectives – Risk Appetite – Risk Tolerance
3. การระบุเหตุการณ์ (Event Identification)
Events – Factors Influencing Strategy and Objectives – Methodologies and Techniques – Event Interdependencies – Event Categories –
- Risk and Opportunities
4. การประเมินความเสี่ ยง (Risk Assessment)
Inherent and Residual Risk – Likelihood and Impact – Methodologies and Techniques - Correlation
5. การตอบสนองความเสี่ ยง (Risk Response)
Identify Risk Response – Evaluate Possible Risk Responses – Select Risk Responses – Portfolio View
6. กิจกรรมควบคุม (Control Activities)
Integration with risk response – Types of Control Activities – General Controls – Application Controls – Entity Specific
7. ระบบสารสนเทศและการติดต่ อสื่ อสาร (Information and Communication)
Information – Strategic and Integrated Systems - Communication
8. การติดตามและประเมินผล (Monitoring)
Separate Evaluation – Ongoing Evaluation
Balancing Strategies on Balance Scorecard & S-O-F-C
(People – Process Technology & Other IT Resources)
Thai E-Transaction Laws / Thai Laws
How Does the business work?
People
Sales
Market
Brand
Process
Work Flow
Results
Oversight
Capabilities
& Internet
Laws
Owners
Board
Auditors
CEO
Threats
Supply
Inventory
Transport
AR/AP
Collect
Write Off
Business Risk Management
Technical / Human
Structural / Organizational
Vulnerabilities
R&D
Testing
Change Control Testing
Production
Functional units
Less sure
Input
Output
State
Error
Audit
Control
More sure Query
Reply
Access Control
Classification Less
U U
S C S
Ue C e
S C
e C
More
Consequences
Enterprise
Information Security
Architecture
GRC & Holistic
Understanding
Executive Security Management
Brand, Value,
Time, Costs
Consequences
Accept / Transfer / Avoid /
Mitigate
Control Architecture
Clearance
Resource
Transform
Value
Things
Cost
Shrinkage
Collapse
Risk and Surety Level and Matching
Technical Security Architecture
Protection Processes
Process
Deter
Protective Mechanisms
Prevent
Perception : - obscurity - profile
Behavior :
- appearance - deception
Detect
- change
React
- time
Structure
:
M/D-A/C
POsets
- tail-safe
Adapt
- diodes - firewalls - barriers
- FTC
Data State
Content : - transforms - filters
- I/A-DRS
At rest
- markings - syntax - situation
- human
In Use
Content and its Business Utility
In Motion
Source/Change Objectives
Reflects reality Attribution
Situation
Activity
Integrity
Accountability
Source : IT Security Governance Guidebook / FRED COHEN
Intolerance
Redundancy
Availability
Identify
Authenticate
Authorize
Use Control
Life cycles
Business
People
Systems
Data
Context
Time
Location
Purpose
Behavior
Identity
Method
Access
Utility
Confidentiality
Organizational
Governance
Architecture
Organizational
Perspectives &
Business
Processes
Actuate
Sense
Management
Policy
Standards
Procedures
Documentation
Auditing
Testing
Technology
Personnel
Incidents
Legal
Physical
Knowledge
Awareness
Organization
Insurance Business Architecture or any Org.
& Understanding Core Business for P-D-C-A & GRC
Insurance Business Architecture
Channel
Agents/
Brokers
Third
Party
Customer
Interaction
Strategic Enterprise Management
Business
Processing
(New & Renew)
Data
Warehouse
Channel
Mgmt.
Underwriting/
Pricing
Branc
h
CRM
Corporate
Performance
Mgmt.
Phone
Knowledge
Exchange
Core Business Operations
Underwriting
Call Center
Services
Supplier
Claims
Billing &
Collection &
Disbursement
Accounting
Interface
MIS Reports
Co-insurance
Third Party
Accounts
Policy
Services
Marketing
Support Operations
Internet/
E-mail
Sales Support
Mail &
Fax
Accounting
Finance &
Treasury
Human
Resource
Batch
Processing
Intranet
User
Authentication
Outsourc
e
Garage/ Repair Shop
Regulator
Research &
Development
Investors
Infrastructure
Corporate
Database
Adjusters/
Surveyors
Product Development
Claims
Service Delivery
Reinsurance
Walk-in
Supplier/
Alliance Mgt.
Data
Encryption
Documents
& Images
Re-assurance
จากภาพรวมของระบบงานประกันภัย มีส่วนใดบ้ างที่เกีย่ วข้ องกับระบบงานสารสนเทศ การควบคุม และการตรวจสอบ ความมั่นคง
CG + GRC + Effective Boards
Controls Over Compliance with Laws and Regulations and Operations
Operation Risk
(Non – IT process)
 COSO - ERM
IT Governance (IT
Process)
 CobiT
CG/ITG /GRC and Drivers to Success
Drivers
Enterprise Governance
Balanced
Scorecard
IT Governance
Best Practice Standards
Processes and
Procedures
CONFORMANCE
Basel II, SarbanesOxley Act, etc.
PERFORMANCE:
Business Goals
COSO
COBIT
ISO
9001:2000
QA
Procedure
s
ISO
27001
ISO
20000
Security
Principles
ITIL
Source: ITGI
28
GRC - Governance; Risk Mgmt; Compliance
Enterprise Model & Integrity-Driven Performance
Governance, Risk & Compliance
Operating ModelTM
Enterprise
vision and
objectives
Integrity-Driven PerformanceTM
Input
Process
Achievement
of Enterprise
vision and
objectives
Output
Adopt from: A New Strategy for Success Through Integrated Governance, Risk and Compliance Management---- PWC
Integrated Governance, Risk and Compliance
 การบูรณาการระหว่าง 3 องค์ประกอบหล ัก
 Governance
น โ ย บ า ย ว ัฒ น ธ ร ร ม อ ง ค์ ก ร ก ร ะ บ ว น ก า ร
ขนตอนการปฏิ
ั้
บ ัติงาน ทีถ
่ ก
ู กาหนด
ั เจนในการบริห ารจ ด
ออกมาอย่ า งช ด
ั การและ
กากบ
ั ดู แ ล อ ง ค์ ก ร โ ด ย ค ณ ะ ก ร ร ม ก า ร แ ล ะ
ผู ้ บ ริ ห า ร ร ะ ด บ
ั สู ง เ พื่ อ ก า ร บ ริ ห า ร อ ง ค์ ก ร ที่
โปร่งใส ตรวจสอบได้
 Risk management
 Compliance
การบริห ารจ ด
ั การความเส ี่ย งที่ม ีเ ป้ าหมายใน
ก า ร ล ด ผ ล ก ร ะ ท บ จ า ก ค ว า ม เ ส ี่ ย ง ที่ อ า จ มี
โ อ ก า ส เ กิ ด ขึ้ น ไ ด้ ใ น อ ง ค์ ก ร ห า ก ไ ม่ มี ก า ร
ี่ งทีด
บริหารจ ัดการความเสย
่ พ
ี อ
ก า ร ป ฏิ บ ัต ิ ต า ม ก ฎ ร ะ เ บี ย บ ข้ อ บ ัง ค ับ แ ล ะ
กฎหมาย ตลอดจนการปฏิบ ัติตามนโยบายด้านที่
สาค ัญของ Regulator ได้อย่างถูกต้อง ครบถ้วน
30
การประเมิน GRC
เน้น การ
กาก ับดูแลทีด
่ เี พิม
่ เติม ซงึ่ เป็น
บทบาท ของคณ ะกรรมการ
และผูบ
้ ริหาร
ประเมินระบบบริหาร
ี่ ง
ความเสย
ประเมินคุณภาพปัจจ ัย
ี่ งตาม COSO ERM
เสย
ี่ งปี 2553 ของ ก.คล ัง/สคร
การว ัดระด ับการบริหารความเสย
ระด ับ 1
ระด ับ 2
ระด ับ 3
ี่ ง
การบริหารความเสย
ี่ ง
การบริหารความเสย
ี่ ง
การบริหารความเสย
น้อยมาก :
- บริหารเชิงรับเป็ น
ส่วนใหญ่
–มีการบริหารเป็ นกลยุทธ์
้ (15%)
ระยะสัน
- ไม่มค
ี ณะทางานเพือ
่ –มีคณะทางาน/กอง/งาน/
่ งใน
จัดการความเสีย
่ ง
ฝ่ ายเพือ
่ จัดการความเสีย
รูปแบบบูรณาการ
ในรูปแบบบูรณาการ
- มีองค์ประกอบใน
การบริหารความ
(10%)
–มีองค์ประกอบในการบริหาร
่ งไม่ครบถ ้วน
เสีย
่ งทีด
ความเสีย
่ ค
ี รบถ ้วน
- ไม่มค
ี ม
ู่ อ
ื การบริหาร
โดยมีการวิเคราะห์ระดับ
่ ง
ความเสีย
ในเชงิ บูรณาการ:
้ งต้นทีม
เบือ
่ รี ะบบ:
–มีการดาเนินงานครบถ ้วนในระดับที่ 2
่ งทีเ่ ป็ นกลยุทธ์
–มีการบริหารความเสีย
หรือการดาเนินงานทีต
่ อ
่ เนือ
่ งทัง้ องค์กร
(20%)
–มีคณะทางาน/กอง/งาน/ฝ่ ายเพือ
่ จัดการ
่ ง มีแผนงานทีช
ั เจน รวมถึง
ความเสีย
่ ด
่ งทีเ่ ชือ
่ มโยงกับการ
- มีกลยุทธ์การบริหารความเสีย
กาหนดนโยบาย/กลยุทธ์/การวางแผน/ การลงทุน
่ ง
- มีการทบทวนและปรับปรุงการบริหารความเสีย
สมา่ เสมอ
- จัดให ้มีบรรยากาศและวัฒนธรรมทีส
่ นับสนุนการบริหาร
่ ง
ความเสีย
- มีการสนับสนุนการบริหารฯเพือ
่ เพิม
่ มูลค่า
ครบถ ้วน (20%)
่ งเป็ นกิจกรรมประจาวันของ
- กระบวนการบริหารความเสีย
–มีการกาหนดเกณฑ์ระดับความรุนแรง
่ ง กาหนดเป้ าหมาย
แยกรายปั จจัยเสีย
ชัดเจนเป็ นระบบ (55%)
ในเชิงระดับความรุนแรงทีค
่ าดหวัง และ
่ ง
–มีคม
ู่ อ
ื การบริหารความเสีย
สามารถรายงานระดับความรุนแรงของ
พนักงานทุกระดับ (20%)
- มีการบริหารเทคโนโลยีสารสนเทศทีด
่ ี
สามารถบรรลุเป้ าหมายในแผนงานได ้
ความรุนแรง (I/L) ที่
ตามเกณฑ์ และเผยแพร่ให ้
ระด ับ 4 - 5
่ งรายไตรมาส (20%)
แต่ละปั จจัยเสีย
– มีการกาหนด Risk Appetite และ Risk
่ ง (20%)
Tolerance ทุกปั จจัยเสีย
่ งแบบบูรณาการ
– มีการบริหารความเสีย
(20%)
ทุกหน่วยงานและสัมพันธ์กบ
ั ค่าตอบแทน
่ งเป็ นการสนับสนุนการบริหารเพือ
- การบริหารความเสีย
่
สร ้างสรรค์มล
ู ค่าให ้กับองค์กร (Value Creation)
่ งทีเ่ กิดขึน
- ผลการบริหารความเสีย
้ จริง
- Portfolio View of Risk
- Integrated Governance, Risk and
Compliance
- [ GRC ]
เกณฑ์การประเมิน การบริหารความเสี่ยง ประจาปี บัญชี 2552
ระดับที่ 4
ระดับที่ 3
ระดับที่ 2
ระดับที่ 1
การบริหารความ
เสีย่ งน้อยมาก :
- บริหารเชิงรับเป็ น
ส่วนใหญ่
-มีแนวทางการ
บริหารความเสี่ยงที่
ไม่เป็ นระบบ
-ไม่มีคณะทางานเพือ่
จัดการความเสี่ยงใน
รูปแบบบูรณาการ
-ไม่มีค่มู ือการบริหาร
ความเสี่ยง
การบริหารความเสีย่ ง
เบื้ องต้นที่มีระบบ:
-มีการบริหารเป็ น
กลยุทธ์ระยะสั้น
(20 %)
- มีกระบวนการ
บริหารความเสี่ยงแยก
ออกเป็ นส่วนๆ
(40%)
- มีค่มู ือการบริหาร
ความเสี่ยงตามเกณฑ์
(40%)
มีการเชื่อมโยงและบูรณา
การความเสีย่ งกับ ITG
:
- มีการกาหนด risk
appetite และ risk
tolerance ครอบคลุม
ความเสี่ยงที่เป็ น S-O-FC (10%)
-มีการบริหารความเสี่ยงที่
เป็ นกลยุทธ์หรือการ
ดาเนิ นงานที่ต่อเนื่ องทั้ง
องค์กร (20%)
-มีการบริหารความเสี่ยง
แบบบูรณาการ (30%)
-มีการบริหารเทคโนโลยี
สารสนเทศที่ดีตามเกณฑ์ฯ
(25%)
-ผลการบริหารความเสี่ยงที่
เกิดขึ้ นจริงเป็ นไปตามแผนฯ
(15%)
32
การบริหารความเสี่ยงที่
สร้างมูลค่าเพิ่มแก่องค์กร:
- มีกลยุทธ์การบริหารความ
เสี่ยงที่เชื่อมโยงกับการ
กาหนดนโยบาย/กลยุทธ์/
การวางแผน/การลงทุน
(10%)
-มีการสนับสนุ นการบริหารฯ
เพื่อเพิ่มมูลค่า(25%)
- มีการทบทวนและปรับปรุง
การบริหารความเสี่ยง
สมา่ เสมอ(10%)
-จัดให้มีบรรยากาศและ
วัฒนธรรมที่สนับสนุ นการ
บริหารความเสี่ยง(15%)
-มีการบริหารเทคโนโลยี
สารสนเทศที่ดีตามเกณฑ์
(30%)
-ผลการบริหารความเสี่ยงที่
เกิดขึ้ นดีกว่าแผน(10%)
ระดับที่ 5
ปลูกฝังให้การบริหาร
ความเสี่ยงเป็ นส่วนหนึ่ง
ของวัฒนธรรมนาไปสู่
การสร้าง Value
Creation :
-กระบวนการบริหารความ
เสี่ยงเป็ นกิจกรรม
ประจาวันของทุก
หน่ วยงานและสัมพันธ์กบั
ค่าตอบแทน (40%)
-มีการบริหารเทคโนโลยี
สารสนเทศที่ดีตามเกณฑ์ฯ
(40%)
- การบริหารความเสี่ยง
เป็ นการสนับสนุ นการ
บริหารเพื่อสร้างสรรค์
มูลค่าให้กบั องค์กร
(Value Creation)
(20%)
GRC : Governance-Risk Management Compliance
การบูรณาการระหว่าง Governance - Risk management - Compliance (GRC)
กับบทบาทของคณะกรรมการและผูบ้ ริหารบางประการ
บทบาทของคณะกรรมการ
1. มีการกาหนดนโยบายด้าน GRC
2. มีการร่วมกาหนดกลยุทธ์ขององค์กรและนโยบายในการปฏิบตั ิงาน ติดตามดูแล
การปฏิบตั ิหน้าที่ของฝ่ ายบริหารให้เป็ นไปตามกลยุทธ์และนโยบายที่ กาหนดไว้
3. มีการกาหนดอานาจหน้าที่ของคณะกรรมการที่เกี่ยวข้องกับ GRC
4. มีการกาหนดนโยบายและกลยุทธ์ในการบริหารจัดการความเสี่ยงอย่างชัดเจน
เป็ นลายลักษณ์อกั ษร มีประสิทธิภาพ และเหมาะสมกับสภาพแวดล้อมในการ
ดาเนิ นธุรกิจ
5. มีการสร้างกระบวนการเพื่อให้เกิดความมัน่ ใจได้ถึงการที่ รส. ได้มีการวิเคราะห์
ถึงเหตุการณ์ที่จะทาให้ปัจจัยที่เป็ นความเสี่ยงได้เกิดขึ้ น
6. มีการสร้างกระบวนการเพื่อให้เกิดความมัน่ ใจได้ถึงการที่ รส. ได้กาหนด
มาตรการในการติดตามเหตุการณ์ที่เป็ นสาเหตุของปั จจัยความเสี่ยง รวมทั้ง
มาตรการในการลดความเสี่ยงเหล่านั้น
7. มีการสร้างกระบวนการเพื่อให้เกิดความมัน่ ใจได้ถึงการที่ รส. ได้แจ้งให้
พนักงานทุกคนที่เกี่ยวข้องรับทราบ และปฏิบตั ิตามมาตรการบริหารความเสี่ยง
ที่กาหนดไว้
8. มีการสร้างกระบวนการเพื่อให้เกิดความมัน่ ใจได้ถึงการที่ รส. มีการติดตามการ
ปฏิบตั ิตามแผนการบริหารความเสี่ยงที่กาหนดไว้
เป้าหมายในด้าน GRC
10.ดูแลการบริหารความเสี่ยงขององค์กร โดยรับรูถ้ ึงระดับความมีประสิ ทธิผล
ของการบริหารความเสี่ยงที่ฝ่ายบริหารได้จดั ให้มีขนในองค์
ึ้
กร ตระหนักและ
ให้ความเห็นชอบกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร สอบทานความ
เสี่ยงในภาพรวมขององค์กรและพิจารณาเปรียบเทียบกับระดับความเสี่ยงที่
องค์กรยอมรับได้
ระดับ C-Level
11.รส. มีการกาหนดคณะทางานที่รบั ผิดชอบดาเนิ นงานในด้าน GRC โดยมี
ผูบ้ ริหารสูงสุดเป็ นประธานคณะทางาน และมีแผนงานที่ชดั เจนในการ
ดาเนิ นการด้าน GRC รวมถึงนาเสนอคณะกรรมการเพื่อพิจารณา
12.รส. มีการประเมินอย่างสมา่ เสมอถึงการประกอบธุรกิจขององค์กรว่ามีปัจจัย
ในบ้างที่เป็ นปั จจัยความเสี่ยงทั้งที่มาจากภายนอกและภายใน ซึ่งอาจมี
ผลกระทบต่อการดาเนิ นธุรกิจอย่างมีนัยสาคัญ
13.รส. ต้องมีการระบุปัจจัยเสี่ยงและกระบวนการในการบริหารความเสี่ยงใน
ด้าน Compliance ให้ครบถ้วน
14.รส. ต้องมีการเปิ ดเผยข้อมูลสาคัญๆ อย่างครบถ้วน ถูกต้อง เพียงพอ และทัน
ต่อเหตุการณ์
9. มีการสร้างกระบวนการเพื่อให้เกิดความมัน่ ใจได้ถึงการที่ รส. ได้มี
กระบวนการระบุปัจจัยเสี่ยงที่เกี่ยงที่เกี่ยวข้องกับการที่จะทาให้องค์กรไม่บรรลุ
ที่มา : สคร.- ก.คลัง
33
GRC / Risk Convergence & Management Model
External – regulators, operators, analysts, investors+ Stakeholders++
Board / senior management oversight
Audit
committee
GCG + Risk
Mgmt. +
Internal Audit
Sustainable
+ Ethics
Risk Mgmt.
committee
Legal/
compliance
Financial
+ CSR
Other
Committee
Information
technology
Bsc : +
Other
Common Data Structure
Common Technology Architecture
Common Risk & Control Processes
Business
Unit
Source : Adapt from Deloitte
Business
Unit
Business
Unit
Business
Unit
IT Process and Control 9
IT Process and Control 8
IT Process and Control 6
IT Process and Control 5
Royal Decree
under Section
35
IT Process and Control 7
E-Transaction
Act
Computer
Related Crime
Act
IT Process and Control 4
IT Process and Control 3
IT Process and Control 2
IT Process and Control 1
Compliance & Integrated Approach
การถ่ ายทอดความคิดทีเ่ ป็ นกระบวนการไปสู่ การบริหาร/การปฏิบัติ
วัตถุประสงค์ ขององค์ กร (กาไร/ความมั่นคง/สั งคม/ประสิ ทธิผล/ประสิ ทธิภาพ
Process 1
สายงาน N
สายงาน 4
สายงาน 3
สายงาน 2
Process 3
….
Process N
สายงาน 1
Process 2
Common Data Structure
Common Technology Architecture
Common Risk & Control Processes
P-D-C-A
IT Balanced Scorecard (IT BSC) & Information
Trust+
Value
Assurance
+ survival
แผนทีก่ ลยุทธ์เพือ่ แปลงวิสยั ทัศน์และยุทธศาสตร์ไปสู่การปฏิ บตั ิ สู่ Value
พันธกิจ
Why We Exist
คุณค่า
What’s Important to Us
วิสยั ทัศน์
What We Want to Be
ยุทธศาสตร์
Our Game Plan
แผนทีก่ ลยุทธ์
Translate the Strategy
Balanced Scorecard
Measure and Focus
เป้าหมายและกิจกรรม
What We Need to Do
เป้าหมายระดับบุคคล
What I Need to Do
ผลลัพธ์เชิงยุทธศาสตร์ Strategic Outcomes
ผูถ้ อื หุน้ พึงพอใจ
©2004 Robert S. Kaplan and David P. Norton
ลูกค้าพึงพอใจ
กระบวนการทางานมีประสิทธิภาพ
และประสิทธิผล
กาลังคนมีแรงจูงใจ
และมีความพร้อม
การไหลเวียนของสารสนเทศในการบริหารความเสี่ ยงองค์ กร
สภาพแวดล้ อมภายใน
• ปรัชญาการบริหารความเสี่ ยง
• ระดับความเสี่ ยงทีอ่ งค์ กรยอมรับได้
การกาหนดวัตถุประสงค์
• วัตถุประสงค์
• หน่ วยวัด
• คลังข้ อมูลโอกาส
การระบุเหตุการณ์
• คลังข้ อมูลความเสี่ ยง
การประเมินความเสี่ ยง
• ประเมินความเสี่ ยง
ทีม่ อี ยูตามธรรมชาติ
• ตอบสนองต่ อ
ความเสี่ ยง
• ประเมินความเสี่ ยง
ทีเ่ หลืออยู่
การตอบสนองต่ อความเสี่ ยง
• การตอบสนองต่ อความเสี่ ยง
• มุมมองในภาพรวม
กิจกรรมควบคุม
Source : Enterprise Risk Management – Integrated Framework /
The Stock Exchange of Thailand
• ผลลัพธ์
• ตัวชี้วดั
• รายงาน
การติดตามประเมินผล
Audit assurance of real depth and rigour
audit approach
Understanding your
key business drivers
and issues that matter
to management
Our tailored
audit
approach
 Org. Strategy and business objectives
 Risk assessments
 Evaluate the control environment and control
activities
 Information Technology General Control review
 Understand the scope of Internal Audit works and
plan for rely on
Source : The PwC Experience*
Pricewaterhouse Coopers / Nov. 2008
Forthright reporting
reflecting the business
substance
 Statutory Financial Statements
 Internal Control report which shown a
comprehensive summary of results of the audit with
issues discussed upfront and recommended solutions
 Audit Committee report
Audit assurance of real depth and rigour
audit approach
UNDERSTANDING
SCOPING
AUDIT COMFORT CYCLE
VALIDATING
Industry
expertise
Your needs and
expectations
Risks
Top Down Approach
Business
Objectives
Source : The PwC Experience*
Pricewaterhouse Coopers / Nov. 2008
EVALUATING
Best
practices
Controls
Board
Department
Heads
Operations
Transaction
Processing
- Audit Response
- Client Service Opportunities
- Recommendations to Management
Audit assurance of real depth and rigour
audit approach
Financial Statement
Line Item
(Significant Account)
2
Transaction
Transaction Class/
Sub-Process
3
4
Business Process
5
Information
Processing
Objectives
(CAVR)
1
6
Risks
Financial Statement
Assertions
 Occurrence
 Completeness
 Accuracy
 Cutoff
 Existence
 Rights/Obligations
 Valuation
 Presentation/
Disclosure
8
12
Source : The PwC Experience*
Pricewaterhouse Coopers / Nov. 2008
7
Application Controls
Automated
Manual
Application Controls
Application
Automated
Accounting
Controls
Procedures
9
Business
Performance
Reviews
10
Application-Generated Reports
11
Application-Generated Reports
Audit assurance of real depth and rigour
audit approach
Financial Statements
Application
Controls
Business
Controls
Impact
Loan
Loan
Loan
Loan
Origination Operation Collateral Settlement
Loan
Loan
Loan
Loan
Disbursement Payment Monitoring Regulation
Business Processes
ATM
IT Applications
Collateral
Deposit System
Core Loan
System
Impact
Treasury
System
Hardware
Core GL
IT General Controls
Impact
Equipments/
IT infrastructure
Data
Base
Hardware
Data
Base
Network
Program
Development
IT organization/Processes
Program Change
Source : The PwC Experience* / Pricewaterhouse Coopers / Nov. 2008
Access to data
and program
Computer
Operation
and
Financial Reporting Strategies under
Currents Sarbanes-Oxley (SOX-US) & Thai
CG + GRC + Effective Boards
Executive Overconfidence and the Slippery Slope to Fraud
 Current SOX vs. Thai legislation: Challenges & directions
 Practical roadmap to gain best SOX compliance
 Auditors’ roles toward the accuracy and transparency of financial report
 Key issues in today’s internal control of financial reporting for international
companies
 Strategic advice on how to effectively integrating governance, risks & compliance
for SOX process
CG + GRC + Effective Boards
Why SOX is established
ENRON
 ความล้มเหลวทางการบัญชีและการ
ล้มละลายของบริ ษทั Enron,
WorldCom, Arthur Anderson, etc.
WORLDCOM
 Sarbanes-Oxley Act 2002
(522:3 votes)
ANDERSEN
 บังคับใช้กบั บริ ษทั ในตลาดหลักทรัพย์ US ใต้
การกากับดูแลของ US SEC รวมบริ ษทั ลูก
ในต่างประเทศ
CG + GRC + Effective Boards
Currents SOX vs. Thai Legislation
U.S.
Thai
Sarbanes – Oxley Act 2002
Securities and Exchange Act B.E.
2535 and Securities and Exchange
Act (No.4) B.E. 2551
Auditing Standard No.5 (PCAOB) Thai Standards of Auditing (TSA)
Bank of Thailand : Commercial Banking Act B.E. 2551
CG + GRC + Effective Boards
Sample CEO/CFO Sub-Certifications
 Section 302 : require the CEO and CFO of public companies to certify in each
annual or quarterly report filed or submitted to the Commission
 the signing officer has reviewed the reports
 Key of certify report based on the officer’s knowledge
the report does not contain any untrue statement of a material fact necessary in
order to make the statements made, in light of the circumstances under which such
statements were made, not misleading
 the financial statements and other financial information included in the report,
fairly present, in all material respects the financial condition and results of operations
of the issuer as of, and for, the periods presented in the report
CG + GRC + Effective Boards
Sample CEO/CFO Sub-Certifications
Full responsibility of internal Control
 are responsible for establishing and maintaining internal controls
 have designed such internal controls to ensure that material information
relating to the issuer and its consolidated subsidiaries is made known to such
officers by others within those entities, particularly during the period in which the
periodic reports are being prepared
 have evaluated the effectiveness of the issuer’s internal controls as of a date
within 90 days prior to the report, and
 have presented in the report their conclusions about the effectiveness of
their internal controls based on their evaluation of that date
CG + GRC + Effective Boards
Securities and Exchange Act (No.4) B.E. 2551
Key of SECTION 89/1 which is a part of CHAPTER 3/1 GOVERNANCE OF
PUBLICLY TRADED COMPANY
 Protection against who gives information to SEC.
 Director and an executive shall perform his duty with responsibility, due care
and loyalty, and shall comply with all laws, the objectives, the articles of association of
the company
 False statement or concealing material facts shall not be allowed to make use of
an approval or ratification by the shareholders’ meeting or the board of directors in
order to release him from liabilities.
 Related person may enter into any transaction with the company or the
subsidiary only after obtaining approval from the shareholders meeting
CG + GRC + Effective Boards
Securities and Exchange Act (No.4) B.E. 2551
 Auditor shall inform the fact relating to such circumstance within
thirty days.
 Not be allowed to make use of an approval or ratification by the
shareholders’ meeting or the board of directors in order to release him from
liabilities who acts or omits to act in bad faith or with gross negligence
which causes damage to the company or causes the company to lose benefit
 Five percent of the total number of the voting rights of the company
may submit a written proposal in order to request the board of directors to
include such proposal as an agenda of the shareholders’ meeting.
CG + GRC + Effective Boards
SOX vs. Thai legislation : Challenges & Directions
 Documentation and Control Evidence
 Control Environment
 IT Controls
 Risk Management
 Control Awareness
 Management Responsibilities
CG + GRC + Effective Boards
Discovering opportunities to achieve SOX efficiency
 To increase internal control by apply international standard such as ISO standard
will reduce the operation cost of the company.
 To improve all financial operation and reach to standard practice will reduce
duplicate transactions related with IT system.
 To emphasize job responsibility regarding internal control or pay less attention of
internal control in insignificant areas.
 New staff can immediately perform their job responsibilities and understanding of
work operation.
 To mitigate error caused from record and consolidation.
CG + GRC + Effective Boards
Reasons for the High Costs
1. Learning Curve
2. Time Pressure and Fees
3. Uncertainty
4. Attestation Requirement
5. Compliance, Not improvement, Effort
CG + GRC + Effective Boards
Practical roadmap to gain best SOX compliance
 Role of Management
 Accept responsibility for the effectiveness of the company’s internal control
 Evaluate the effectiveness of the company’s internal control using suitable
control criteria (e.g. COSO, CobiT)
 Support its evaluation with sufficient evidence
 Make written assertion about the effectiveness of the company’s internal
control
CG + GRC + Effective Boards
Practical roadmap to gain best SOX compliance
Select Priority
Elements
• Select the priority accounts and disclosures
• Consider significance to financial reporting and risk of misstatement
• Document the transaction flows that materially impact the
priority financial reporting elements
Document
Processes
• What are the risks?
• Use financial reporting assertions to source
“what can go wrong” within the processes
Source
Risks
• What are the Controls?
• Who owns the controls?
Document
Controls
• How is the controls
design rated?
• Document entity controls (“tone at the top”
• Document the controls at the source of the risk
(preventive) or downstream in the process
(detective and corrective)
• Assess effectiveness of controls design at
Assess
entity and process levels
Design
• How are the controls
performing?
Validate
Operation
• Test effectiveness of controls
operation at entity and process
levels
• Conclude
• Disclose
Report
• Report
CG + GRC + Effective Boards
Professional Auditing Standard
The Institute of
Internal Auditors
PCAOB
Public Company Accounting Oversight Board
1. Internal Audit Standard
(Flowchart/Risk
Management/Evaluated Working
Paper/Evidence document
2. An Audit of Internal Control Over
Financial Reporting That is Integrated
with An Audit of Financial Statements
(“Auditing Standard No.5”)
CG + GRC + Effective Boards
Auditors’ roles toward the accuracy and transparency of financial report
Integrated Audits
 Under the PCAOB audit
standard
 Evaluate both design and
operating effectiveness
 Issue an attestation report on
management’s assessment of
internal control over financial
reporting
Internal Audit
 SOX Roles
 Internal Audit Service
 Professional Auditing
Standard
 Controls Over Compliance
with Laws and Regulations and
Operations
CG + GRC + Effective Boards
Internal control of financial reporting for international companies
 Often-manipulated accounting areas
 Revenue recognition
 Accounting estimates to manage earning
 Closing process and unusual journal entries
 Routine accounting controls
 Audit trail
 Asset safeguarding and property accounting
 Expense classification and accounting
CG + GRC + Effective Boards
Integrating of, risk & compliance for sustainable SOX process
 Definition
 Business Discipline
 Leadership of Top Management
IT Compliance Road Map…Approach to GRC
Sarbanes-Oxley Compliance
IT Compliance Road Map
Source : IT Governance Institute
1. CobiT Controls
www.itgthailand.com
ITG/ GRC : Value Creation for Effectiveness & Efficiency of Operations
Source : ISACA
ITG/ GRC : Value Creation for Effectiveness & Efficiency of Operations
Source : ISACA
ITG/GRC+COSO : Value Creation for
Effectiveness & Efficiency of Operations
ks
Source : IIA Australia
l
ew
p ro
tit
e
ap
pe
rd
ap
Bo
a
ri s
k
for
Se
tti
n
g
th
e
gy
ate
str
RM
ing
va
fram
eE
RM
g th
atin
Op
er
lop
ve
ks
Legitimate Internal Audit
roles with safeguards
o rk
n ri s
ng o
porti
tic re
Holis
cross the
g risks a
ri s
Source : IIA
ri s
De
ing
at
Core Internal Audit roles
al
risks
RM
fE
alu
ana
ter
i
Monitorin
to
ev
fm
at
er
ial
gem
ks
ri s
a ssu
e
nt p
ra n c
ks
e th
ro c
a t ri
e
sse
sks
s
a re
Giving
c
o
a ssu r a
rre c
n ce o n
tly e
the Ris
va l u
k Ma n a
ated
g e me n
t p r o ce
sse s
Giving assurance that the
control systems are effectiv
e
Givi
ng
kM
onse to
en
&
to
t’s resp
hm
ma
en
ops
blis
em
ing
of
ag
g e me n
sta
o rt
ing
an
ify
nt
m
r ksh
ge
k wo
nin
ide
re p
th
e
Central coordinating point for ERM
g ri s
pio
ng
on
Ris
e
tin
g
vi c
uat
ing
ad
Ev
al
lua
wi
g Ma n a
tatin
am
ng
Ev
a
vi e
tin
Facilita
ili
Fac
Ch
vi
Gi
Re
business
Internal Audit Role in Risk Management
t
en
pr
o
s
ce
se
s
on
nt
e
m
ge
an
n a i sks
m
a
k
ym d r
ri s
e b ls an
g
c
s
ro
n se
ra n
si n
su co n t
sp o
e
s
po
r
A
i sk
Im
on r
s
n
i si o
dec
g
n
i
alf
Tak
t’s beh
n
e
m
e
Ma n a g
ks o n
is
r
g
in
Ma n a g
Accountability for risks and controls
e
ag
m
Roles Internal Audit should
not undertake
ผังการไหลของข้ อมูลในกระบวนการขาย กับระบบงานโดยรวม
Business Process
Orders
Operation Data
•Purchasing
patterns
• Forecasts
• Sales targets
• Customer
relationship
management
(CRM)
objectives
Buy
Inventory
Mfg Product
Ship Product
• Select suppliers
• Order materials
• Warehousing
• Inventory
control
• Material costs
• Inventory
levels
• Manage pricing
• Production rates
• Quality/defect
rates
• Process
procedures and
efficiencies
• Health and
safety
• Production
control and
management
• Compliance
with regulations
• Materials
handing
• Order
processing and
scheduling
• Complaints/
warranties/claims/
returns
•Measure
customer
satisfaction
Enterprise Risk Management Components
Internal Environment Objective setting Event Identification
•Internal and
•Strategic (e.g.
•Risk appetite
external factors
customer growth),
(e.g. target
• Event
Operational (e.g.
customers)
customer retention), identification
• Integrity and
(e.g.
reporting (e.g. sales techniques
ethical values
escalation triggers
targets in the
(e.g. code of
on sales volume
MD&A),
measures, changing
conduct and
compliance
(e.g.
purchasing
statements
predatory practices) patterns)
around customer objectives
• Event
gifts)
• Risk tolerances
interdependencies
Risk Assessment
• Estimate risk
likelihood and
impact (e.g. credit
worthiness)
• Risk
interdependencies
( e.g. declining
purchasing
patterns linked to
product defects)
Bill
Collect
• Process
customer
credit
• Process
accounts
receivable
• Manage and
process
collections
• Nonpayments
• Outstanding
receivables
• Over-due
accounts
Risk Response
• Selected risk
response (e.g.
marketing
campaigns to
support sales
growth targets)
• Cost/benefits of
responses
• Portfolio view
• Residual risks
aligned to
tolerances
Control Activities
• Policies and
procedures (e.g.
over sales practices)
• General computer
controls
• Application
controls
Information and Communication – Information provided to individuals in a format and timeframe to allow them to carry out
responsibilities (e.g. payment defaults available to client service representatives; orders provided to plant supervisors to align staffing levels)
Monitoring – Ongoing monitoring and separate evaluations
Functional Perspectives & Competency to
drive IT Security + Successful Business
1.Manage
2.Design
3.Implement
4.Evaluate
Source: EBK-Essential Body of Knowledge
131
www.itgthailand.com