Presentation : CIO challenges by Metha Suvanasarn ในงานสัมมนาผู้บริหารไอที เมื่อวันที่ 24 กุมภาพันธ์ 2554

1. CIO Challenges …..Forever Metha Suvanasarn : CGEIT,CRISC;CIA,CPA 240211 Monitoring & Auditing for Business Perspectives

2. What is Integrated Audit and Management ? Why Integrated Audit / Management ? What is the roles of CIO++ Understanding Career Path of CIO +++ And Capabilities What do you want to be ? Collaborative e - Business/e-Government GRC+++ Monitor / Audit Perspectives & CIO

3. Continuous Controls & Audit vs. Infrastructure Source: The Institute of Internal Auditors Continuous Auditing Inverse Relationship: Level of Effort Expended by Management and the Audit Activity. Relationship of Continuous Auditing to Continuous Assurance and Continuous Monitoring

4. Roles to Competencies to Functions Mapping Diagram (Conceptual) FUNCTIONS Manage Implement Design Evaluate ROLES C O M P E T E N C I E S Information Technology (IT) Security and TISA Source : Office of Cybersecurity and Communications National Cyber Security Division United States Department of Homeland Security , Washington, D.C. 20528

5. การถ่ายทอดความคิดที่เป็นกระบวนการไปสู่การบริหาร / การปฏิบัติ วัตถุประสงค์ขององค์กร ( กำไร / ความมั่นคง / สังคม / ประสิทธิผล / ประสิทธิภาพ Common Data Structure Common Technology Architecture Common Risk & Control Processes สายงาน 1 สายงาน N สายงาน 2 สายงาน 3 สายงาน 4 Process 1 Process 2 Process 3 Process N … . P-D-C-A

8. IT organization/Processes Audit assurance of real depth and rigour Program Development Program Change Access to data and program Computer Operation IT General Controls Application Controls Business Controls Equipments/ IT infrastructure IT Applications Data Base Data Base Hardware Network Impact Hardware Impact Core GL Core Loan System Collateral Treasury System ATM Deposit System Loan Origination Loan Operation Loan Collateral Loan Settlement Loan Disbursement Loan Payment Loan Monitoring Loan Regulation Business Processes Impact Financial Statements audit approach Source : The PwC Experience* / Pricewaterhouse Coopers / Nov. 2008

9. Source: The Institute of Internal Auditors Understanding the IT environment in a business context CIO & Understanding the Business IT Environment Factors Developing the IT Audit Plan & Audit / Management Universe Critical& Controls?

10. เปรียบเทียบการตรวจสอบแนวทางเดิมกับแนวทางใหม่ที่ได้ผลมาก Operational Risk Management SR98-9 IT Risks แนวการตรวจสอบข้ามสายงาน - ยุค ปัจจุบัน IT Audit & Non-IT Audit Integrated Audit Deposit Loan FX Central IT Dept. E-Banking FFIEC 1996 Transactional Approach Audit Management Process to identify, Measure, Monitor, Control MGT. (incl. Audits & MIS) Security Integrity/Privacy (icl.SDLC) Availability FI Bus.Tech Platform IT-RBS Deposit Loan FX E- Banking Central IT Dept.

11. วิสัยทัศน์ VISION ภารกิจ MISSION เป้าหมายหลัก CORPORATE GOALS แผนยุทธศาสตร์ CORPORATE STRATEGIES เป้าหมาย งานโครงการ / งานพัฒนา แผนธุรกิจ แผนงาน / โครงการ / งานประจำ & งบประมาณ INDICATORS & TARGETS BUSINESS PLAN PROGRAM / PROJECT / TASK & BUDGET แผนบริหารความเสี่ยงระดับองค์กร ระบบควบคุมภายในระดับสายงานและฝ่ายงาน แผนบริหารความเสี่ยงระดับสายงานและฝ่ายงาน ระบบควบคุมภายในระดับระดับองค์กร การบริหารความเสี่ยงกับการควบคุมภายใน IT &Business Alignment

12. The Role of the Integrated Architecture Framework & Infrastructure Business As Is Integrated Architecture Framework ICT enabled Enterprise ICT As Is Business and ICT Transformation ICT Vision Business Vision Vision, Strategy Architectural Design Development,Change Operation, Maintenance Source: IAF

13. The ICT enabled Enterprise & Infrastructure Information Systems Co-operation of SW Components Technology Infrastructure Co-operation of SW&HW Components Business Processes Collaboration of Human Beings IS services TI services External Relations Information Provision Collaboration of Human Beings Business System ICT System information services business products, services information services External ICT Systems Source: IAF

14. GRC & Single Umbrella Mangement & Audit RBIA – Integrated Audit

15. Source : IT Security Governance Guidebook / FRED COHEN Integrated Audit & IT Security Governance / CIO / CISO+ Business Perspectives Top Executives / Board of Directors Policy Standards Procedures CISO - Chief Information Security Officer Functions and Management HR Legal Risk Testing and Change Control Incident Handling Audit Knowledge Awareness Documents Business Function Operations Assurance Process Project Management Project Teams Security Technology Systems Administrators Developers Risk team Change Users Incidents Auditors Trainers Experts Everyone documents HR Legal Policy Team Technical Safeguards Physical Information Systems Technologies Content

17. แผนบริหารความเสี่ยงกับแผนการควบคุมภายใน ยุทธศาสตร์ วิสัยทัศน์ กิจกรรม ขั้นตอน ปฏิบัติงาน วิสัยทัศน์ พันธกิจ ประเด็นยุทธศาสตร์ วัตถุประสงค์เชิงกลยุทธ์ กลยุทธ์ โครงการ ตัวชี้วัด แผนปฏิบัติการ แผนบริหารความเสี่ยง ความเสี่ยง มาตรการจัดการ ความเสี่ยงเดิม มาตรการจัดการ ความเสี่ยงเพิ่มเติม งานประจำ แผนงาน กิจกรรม 1 กิจกรรม 3 กิจกรรม 2 กิจกรรม 4 กิจกรรม 5 แผนการควบคุมภายใน ความเสี่ยง มาตรการควบคุม มาตรการควบคุม เพิ่มเติม

19. External – regulators, operators, analysts, investors+ Stakeholders++ Business Unit Business Unit Business Unit Business Unit GCG + Risk Mgmt. + Internal Audit Financial + CSR Legal/ compliance Sustainable + Ethics Information technology Bsc : + Other Risk Convergence & Management Model Common Data Structure Common Technology Architecture Common Risk & Control Processes Board / senior management oversight Audit committee Risk Mgmt. committee Other Committee

20. Risk IT Practitioner Guide Source : ISACA DEFINING A RISK UNIVERSE AND SCOPING RISK MANAGEMENT IT Risk in the Risk Hierarchy

21. GRC & Risk IT Practitioner Guide Source : ISACA IT Risk Scenario Development RISK SCENARIOS

22. GRC & Risk IT Practitioner Guide Source : ISACA IT Risk Scenario Components RISK SCENARIOS

23. IT Control Source: The Institute of Internal Auditors Information Technology Control and Audit

24. A Consolidated-Integrated Single Framework on COSO Model Source: KPMG Common Challenges & errors

26. Source: Metha Suvanasarn IT for Business Objectives

27. การตรวจสอบภายใน (RBIA) การบริหาร IT G overnance การควบคุมภายใน (COSO) การกำกับดูแลกิจการที่ดี ( Corporate Governance) การบริหาร ความเสี่ยง ( RM) องค์ประกอบของการกำกับดูแลกิจการที่ดีกับการบริหารความเสี่ยง และ SOD เพื่อก้าวสู่ การบรรลุเป้าหมาย

28. Q & A 131 ติดตามอ่าน CG+ITG+GRC+COSO-ERM+IC+IA [IT & Non-IT] ++ รวมทั้ง นโยบายด้านความมั่นคงปลอดภัยสารสนเทศของ ก . ICT และ ระเบียบ คตง . ว่าด้วยการปฎิบัติหน้าที่ ของผู้ตรวจสอบภายใน ทั้งทางด้าน IT และ Non-IT ++ ที่ www.itgthailand.com

30. ภาพรวมของ TH e-GIF TH e-GIF - Framework TH e-GIF - Technical Standards TH e-GIF - Guideline National Standard Committee National Standardize Data Set National Service Registry National Repository Domain Working Group e-Government Promotion and Development Bureau - Ministry of Information and Communication Technology M-D-I-E & Business The Roles of CIO อนุกรรมการมาตรฐาน กับ e-GIF

31. วิธีการพัฒนาระบบบูรณาการเชื่อมโยงรัฐบาลอิเล็กทรอนิกส์ Vision Business Architecture Data Architecture Application Architecture Technology Architecture Enterprise Architecture e-Government Promotion and Development Bureau - Ministry of Information and Communication Technology

32. มาตรฐานระดับประเทศ มาตรฐานรายสาขา สารบรรณอิเล็กทรอนิกส์ 1. มาตรฐานรายการข้อมูล 19 รายการ 2. มาตรฐานกระบวนการรับส่ง หนังสือราชการ 3. มาตรฐานกระบวนการ Time Stamp 4. มาตรฐานการลงลายมือชื่อ การพัฒนาระบบงานจริง ก . ไอซีที สนับสนุนงบฯ พัฒนาการเชื่อมโยงระหว่าง ระบบสารบรรณของ 20 กระทรวง ( สำนักงานปลัด ) และ 20 กรม แต่ยังไม่ได้มีการใช้ Digital Signature ของผู้ลงนามในหนังสือ อย่างเต็มรูป ความปลอดภัยในการขนส่ง มวลชนสาธารณะ 1. มาตรฐานรายการข้อมูล คนประจำรถประจำทางสาธารณะ 2. มาตรฐานรายการข้อมูล รถประจำทางสาธารณะ 3. มาตรฐานกระบวนการรับส่งข้อมูล ระหว่างหน่วยงานขนส่ง ก . ไอซีที จัดสรรงบประมาณ ในการพัฒนาระบบแลกเปลี่ยนข้อมูล ระหว่าง 4 หน่วยงาน คือ สำนักงานปลัด ก . คมนาคม กรมการขนส่งทางบก บขส และ ขสมก ( มีข้อมูลผู้ประจำรถ 40,000 คน และ ข้อมูลรถประจำทาง 40,000 คัน ) National Single Window โลจิสติกส์ส่งออก - นำเข้าสินค้า 1. สถาปัตยกรรมของประเทศ NSW Architecture by MICT 2. การใช้มาตรฐาน ebXML Messaging Services (THeGIF) 3. Data Harmonization จาก 189 แบบฟอร์ม 21 หน่วยราชการ 6,765 รายการข้อมูล ลดรูปเหลือ 259 รายการข้อมูล 35 หน่วยงานราชการ กำลังพัฒนาระบบ Backend-IT และ ระบบเชื่อมโยงด้วย ebXML กับ NSW, กรมศุลกากร และ ASEAN Single Window - ก . ไอซีที สนับสนุนงบประมาณ 170 ล้านบาท แก่ 15 หน่วยงาน ในการพัฒนาระบบเชื่อมโยง ดังกล่าว ฐานข้อมูลงานวิจัย มาตรฐาน 65 รายการข้อมูล เพื่อสืบค้น งานวิจัย โดยใช้แนวทาง ของ TH e-GIF สภาวิจัยฯ เป็น เจ้าภาพพัฒนาระบบ ร่วมกับ 17 หน่วยงาน ( ห้องสมุด และ ศูนย์วัจัยทั่วประเทศ ) เชื่อมโยง 42 ฐานข้อมูล MICT ไม่เคยจัดสรร งบและยังขาดงบฯ พัฒนาต่อยอด ข้อมูลการศึกษา มาตรฐานข้อมูล นักเรียน 46 รายการ ครู 33 รายการ สถานศึกษา 41 รายการ โดยใช้แนวทาง ของ TH e-GIF ก . ศึกษาฯ เป็นเจ้าภาพ พัฒนาระบบ เชื่อมโยงกับ 38,000 สถานศึกษา ( ของ 9 กระทรวง 22 หน่วยงาน ) ข้อมูล โรงพยาบาล NHIS มาตรฐาน 35 แฟ้ม ข้อมูล เพื่อส่งตัว ผู้ป่วย ระหว่าง โรงพยาบาล ใช้งานจริง ใน 300 โรงพยาบาล แต่ ก . สาธารณสุข ยังไม่ให้การ สนับสนุน เท่าที่ควร ข้อมูลสถิติ ของประเทศ StatXML สำนักงาน สถิติแห่งชาติ จัดทำ มาตรฐาน รายงานสถิติ ของประเทศ จัดทำโดย ดร . สมนึก คีรีโต ผอ . สถาบันนวัตกรรมไอที มหาวิทยาลัยเกษตรศาสตร์ 2 พ . ย . 2010 พัฒนาการของ ระบบเชื่อมโยง e-Government ของประเทศไทย TH e-GIF 1. กรอบนโยบายการพัฒนาระบบเชื่อมโยง e-Gov 2. ขั้นตอนการพัฒนาระบบเชื่อมโยงด้วยหลักการ EA 3. วิธีการวิเคราะห์กระบวนการ 4. วิธีการทำมาตรฐานรายการข้อมูล และ โมเดลเอกสาร 5. มาตรฐานที่เป็นข้อกำหนดทางเทคนิคที่แนะนำให้ใช้ 95 ด้านใน 7 หมวด คือ Interconnection Specification, Data Exchange Spec, Storage & Presentation Spec, Web Tech Spec, Business Service Spec, Security Spec, Other Spec

34. ระดับความเข้มข้น ในบทบาท การส่งเสริมธุรกรรมทางอิเล็กทรอนิกส์ ระดับที่ 1 – จัดทำกรอบมาตรฐาน และ คู่มือ การทำมาตรฐานในระดับประเทศ , ส่งเสริมการใช้มาตรฐานกลางทางเทคนิค , จัดทำและแนะนำการใช้คู่มือการจัดทำมาตรฐานรายการข้อมูล และกระบวนการ , ช่วยจัดทำแผนงาน , จัดสัมมนาให้ความรู้ และ การจัดฝึกอบรม ระดับที่ 2 – ร่วมจัดทำมาตรฐาน “มาตรฐานรายการข้อมูล” และ “มาตรฐานด้านกระบวนการ” , … สำหรับรายสาขา ( Application Domains ) เช่น ด้านเกษตร , โลจิสติกส์ , การเงิน , สาธารณสุข , การจัดการภัยพิบัติ , Retailing Store, Manufacturing,… ระดับที่ 3 – จัดสรรงบประมาณเพื่อช่วยพัฒนาระบบ เชื่อมโยงใน รายสาขาที่คัดเลือก เช่น ระบบสารบรรณอิเล็กทรอนิกส์ , ระบบ National Single Window ฯลฯ e-Government Promotion and Development Bureau - Ministry of Information and Communication Technology

35. ตัวอย่าง ภาพรวมการทำงานของระบบ Modern Trade ในปัจจุบัน 3 ตัวแทนผู้ประกอบการ ICE Solution 2 กลุ่ม Modern Trade (Central, Tesco Lotus, Tops, Big C, 7-11, คาร์ฟูร์ , ฯลฯ ) Thai Trade Net หน่วยงานกลาง Tiffa EDI GE EDI Service ส่งข้อมูล ใบสั่งซื้อ 1 2 ดึงข้อมูล ใบสั่งซื้อ ส่งข้อมูล ใบสั่งซื้อ ดึงข้อมูล ใบสั่งซื้อ Advance Integration มีระบบการแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ เพื่อความสะดวกในการเข้าถึงข้อมูลเท่านั้น แต่เมื่อ ถึงเวลาที่ต้องจัดทำธุรกรรมสัญญา ก็จะกลับเข้าสู่ โหมดของการใช้ “ เอกสารกระดาษ” เหมือนเดิม ( เช่น ใช้เอกสารใบกำกับฯ สำเนา 4-6 ก๊อปปี้ ) สำรวจโดย ดร . สมนึก คีรีโต ผอ . สถาบันนวัตกรรมไอที มหาวิทยาลัยเกษตรศาสตร์ ผู้ประกอบการ / ผู้ผลิต ( กลุ่ม Fully Automate, Partial Automate, Non Automate ) 1 ส่งข้อมูล ใบสั่งซื้อ 1 ส่งข้อมูล ใบสั่งซื้อ

36. ตัวอย่าง การทำงานของระบบอุตสาหกรรมยานยนต์ในปัจจุบัน บริษัทแม่ของโรงงานผลิต ในต่างประเทศ หมายเหตุ ข้อมูลส่งผ่านระบบ ข้อมูลไม่ได้ส่งผ่านระบบ Order Delivery Order Stock Stock Delivery Order Order Report SSL SSL Web Application Web Application Web Service อ้างอิงข้อมูลจากการสัมภาษณ์ทีมงานบริษํทผู้พัฒนาระบบของบริษัท เอ . พี . ฮอนด้า จำกัด มีระบบการแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ เพื่อความสะดวกในการเข้าถึงข้อมูล เช่นกัน แต่เมื่อ ถึงเวลาที่ต้องจัดทำธุรกรรมสัญญา ก็จะกลับเข้าสู่ โหมดของการใช้ “ เอกสารกระดาษ” เหมือนเดิม เช่น การวางบิล และ เอกสาร ใบกำกับภาษี เป็นต้น สำรวจโดย ดร . สมนึก คีรีโต ผอ . สถาบันนวัตกรรมไอที มหาวิทยาลัยเกษตรศาสตร์ บริษัทผู้จัดจำหน่าย / โรงงานผลิต ในประเทศไทย ตัวแทนจัดจำหน่าย สาขาย่อย ตัวแทนจัดจำหน่าย สาขาย่อย ตัวแทนจัดจำหน่าย รายใหญ่ ( สำนักงานใหญ่ ) ตัวแทนจัดจำหน่าย รายย่อย 1 2 3 1 2 3

37. มาตรฐานระดับประเทศ ( เกี่ยวกับ Collaborative e-Business) มาตรฐานรายสาขา โรงงานผู้ผลิต และ ซัพพลายเออร์ 1. มาตรฐานรายการข้อมูล 2. มาตรฐานกระบวนการรับส่ง การส่งเสริมการพัฒนาระบบงานจริง ห้างสรรพสินค้า และ ซัพพลายเออร์ มาตรฐานเพื่อ การประยุกต์ใช้ บัตร Smart Card โลจิสติกส์ เกษตรฯ 1. มาตรฐานรายการข้อมูล 2. มาตรฐานกระบวนการรับส่ง Collaborative e-Business Framework 1. กรอบนโยบายการพัฒนาระบบเชื่อมโยง Collaborative e-Business 2. ขั้นตอนการพัฒนาระบบเชื่อมโยงด้วยหลักการ Enterprise Architecture 3. วิธีการวิเคราะห์กระบวนการ 4. วิธีการทำมาตรฐานรายการข้อมูล และ โมเดลเอกสาร 5. มาตรฐานที่เป็นข้อกำหนดทางเทคนิคที่แนะนำให้ใช้ 95 ด้านใน 7 หมวด คือ Interconnection Specification, Data Exchange Spec, Storage & Presentation Spec, Web Tech Spec, Business Service Spec, Security Spec, Other Spec

40. ตัวอย่าง กลไก ( ของ ประเทศเกาหลีใต้ ) Certified e-Document Authority (CeDA)

41. ขอขอบคุณ คณะอนุกรรมการมาตรฐาน พัฒนา วิจัยเกี่ยวกับการทำธุรกรรมทางอิเล็กทรอนิกส์

42. ขอบคุณครับ www.itgthailand.com เมธา สุวรรณสาร