Presentation : CIO challenges by Metha Suvanasarn...
-
Upload
software-park-thailand -
Category
Technology
-
view
2.229 -
download
7
description
Transcript of Presentation : CIO challenges by Metha Suvanasarn...
CIO Challenges …..Forever
Metha Suvanasarn : CGEIT,CRISC;CIA,CPA240211
Monitoring & Auditing for Business Perspectives
What is Integrated Audit and Management ?
Why Integrated Audit/ Management ?
What is the roles of CIO++
Understanding
Career Path of CIO+++
And Capabilities
What do you want to
be ?
Collaborative e - Business/e-Government
GRC+++ Monitor/Audit
Perspectives & CIO
Continuous Controls & Audit vs. Infrastructure
Source: The Institute of Internal Auditors
Continuous Auditing
Inverse Relationship: Level of Effort Expended by Management and the Audit Activity.
Relationship of Continuous Auditing to Continuous
Assurance and Continuous Monitoring
Roles to Competencies to Functions Mapping Diagram (Conceptual)
FUNCTIONS
Manage
Implement
Design
Evaluate
ROLESCOMPETENCIES
Information Technology (IT) Security and TISA
Source : Office of Cybersecurity and Communications National Cyber Security Division United States Department of Homeland Security, Washington, D.C. 2 0 5 2 8
การถ่�ายทอดความค ดท��เป็�นกระบวนการไป็สู่��การบร หาร/การป็ฏิ บ�ติ ว�ติถ่�ป็ระสู่งค�ขององค�กร (ก!าไร/ความม��นคง/สู่�งคม/ป็ระสู่ ทธิ ผล/ป็ระสู่ ทธิ ภาพ
Common Data StructureCommon Technology ArchitectureCommon Risk & Control Processes
สู่ายงาน 1
สู่ายงาน N
สู่ายงาน 2
สู่ายงาน 3
สู่ายงาน 4
Process 1
Process 2
Process 3
Process N….
P-D-C-A
What is What is Integrated Audit? Integrated Audit? 1 . การหลอมรวม / บู�รณาการ (Integrated) การตรวจสอบูระหว�าง IT
Audit/Non – IT Audit ก�บู Financial Audit และ Audit ประเภทอ��น ๆ ท�กประเภท
2. การหลอมรวม / บู�รณาการ (Integrated) กระบูวนการตรวจสอบู ตามเป�าประสงค์ หล�กของการตรวจสอบูทางด้#าน IT Audit ท$�ค์%าน&งถึ&งผลกระทบูของ IT Risks ต�อ Business Risks
3. การหลอมรวม / บู�รณาการ กระบูวนการตรวจสอบูตามเป�าประสงค์ หล�กของการตรวจสอบูทางด้#าน Financial Audit และ Audit อ��น ๆ ท�กประเภท โด้ยค์%าน&งถึ&งผลกระทบูของ IT Risks ท$�ม$ต�อ Business Risks เพื่��อการบูรรล�แผนงาน พื่�นธก-จ กลย�ทธ และว-ส�ยท�ศน ขององค์ กร
4. การผสมผสานแนวค์วามค์-ด้ของกระบูวนการบูร-หาร การต-ด้ตามผลการด้%าเน-นงาน และผลกระทบูของการบูร-หารค์วามเส$�ยง จากกลย�ทธ ต�าง ๆ ท�/งด้#าน IT และ Non – IT ท$�ค์วรสอด้ค์ล#อง และส�มพื่�นธ ก�บูเป�าประสงค์ ขององค์ กร ตามหล�กการ Business BSC. และ Information Balanced Scorecard
5. การน%าแนวค์วามค์-ด้การบูร-หารตามหล�กการ GRC – Integrity Driven Performance ซึ่&�งใช้#ฐาน IT – Based ในการต-ด้ตามผลการด้%าเน-นงาน และการตรวจสอบู ตามมาตรฐานและองค์ ประกอบูท$�เก$�ยวข#อง ++
6. การค์%าน&งถึ&งผ�#ม$ผลประโยช้น ร�วม (Stakeholders) และ Sustainable Development (CSR) และกต-กาของส�งค์มนานาช้าต- และของประเทศ ในองค์ ประกอบูท$�เก$�ยวข#อง เพื่��อการเต-บูโตอย�างย��งย�น
Why Integrated Audit Why Integrated Audit 1 . เพื่��อให#สอด้ค์ล#องก�บูหล�กการบูร-หาร GRC ซึ่&�งเป4นแนวทางการบูร-หารย�ค์ใหม�ใน
ป5จจ�บู�น ท$�ใช้#หล�กการบู�รณาการการบูร-หาร (Integrated Management) เพื่��อสร#างค์�ณค์�าเพื่-�ม / ประโยช้น (Value) ให#ก�บูองค์ กรและประเทศช้าต-โด้ยรวม
2. เพื่��อให#สอด้ค์ล#องก�บูหล�กการ Interdependency และแนวค์วามค์-ด้ท$�ว�า องค์ ประกอบูของช้$ว-ตและการบูร-หารการจ�ด้การท$�ไม�ค์วรพื่-จารณาตาม Silo – Based
3. Business Strategies เป4นผ�#ข�บูเค์ล��อน IT Strategies และนโยบูายทางด้#าน IT ต#องส�มพื่�นธ ก�บูนโยบูายทางด้#าน Business ในท�กม�มมอง และในท�กระด้�บูของกระบูวนการจ�ด้การท$�ด้$ (CG + ITG / GRC)
4. IT Risks ก7ค์�อ Business Risks ซึ่&�งองค์ กรจะต#องม$นโยบูาย กลย�ทธ กระบูวนการจ�ด้การ ว-ธ$การปฏิ-บู�ต- เพื่��อน%าไปส��การข�บูเค์ล��อนพื่�นธก-จ และว-ส�ยท�ศน ขององค์ กร และของประเทศท$�สอด้ค์ล#องก�น และแยกก�นพื่-จารณาไม�ได้#
5. Monitoring โด้ยผ�#บูร-หาร และการ Auditing โด้ยผ�#ตรวจสอบูท�กประเภท เป4นเร��องเด้$ยวก�นแต�ม$ม�มมองในการจ�ด้การและ Accountability / Responsibility ท$�แตกต�างก�น แต�ต#องการการประสานงานท$�ใกล#ช้-ด้ ตามม�มมองขององค์ กรย�ค์ใหม�ท$�ใช้#ค์อมพื่-วเตอร ในการข�บูเค์ล��อนเป4นหล�ก
6. Continuous Management / Continuous Controls ก�บู Continuous Auditing ตามมาตรฐานของ IIA และ ISACA จะใช้#กระบูวนการทาง IT เป4นส%าค์�ญ
7. เพื่��อให#เก-ด้การ Assurance ของ Business โด้ยผ�#ตรวจสอบู ต�อกระบูวนการต�ด้ส-นใจจากรายงานท$�ได้#ร�บู
8. เพื่��อสร#างค์วามม��นใจอย�างสมเหต�สมผลต�อ Stakeholders ถึ&งข#อม�ลและสารสนเทศ ม$องค์ ประกอบูท$�ด้$และถึ�กต#อง เช้��อถึ�อได้# และม$สารสนเทศใช้#เพื่��อการต�ด้ส-นใจได้#ท�กเวลา และม��นใจได้#ว�า ธ�รก-จสามารถึข�บูเค์ล��อนไปได้#อย�างต�อเน��อง จากการบูร-หารท$�ได้#มาตรฐาน
IT organization/Processes
Audit assurance of real depth and rigour
ProgramDevelop
mentProgram Change
Access to data
and program
Computer
Operation
IT G
en
era
l C
on
trols
Ap
plic
ati
on
C
on
tro
ls
Bu
sin
ess
Con
tro
ls
Equipments/IT
infrastructure
IT Applicati
ons
DataBase Data
BaseHardware
Network
Impact
Hardware
Impact
Core GL
Core LoanSystem
CollateralTreasurySystem
ATM
Deposit System
LoanOrigination
LoanOperation
LoanCollateral
LoanSettlement
LoanDisbursement
LoanPayment
LoanMonitoring
LoanRegulation
Business Processe
s
ImpactFinancial Statementsaudit approach
Source : The PwC Experience* / Pricewaterhouse Coopers / Nov. 2008
Source: The Institute of Internal Auditors
Understanding the IT environment in a business context
CIO & Understanding the BusinessIT Environment Factors
Developing the IT Audit Plan & Audit / Management Universe
Critical& Controls?
เปร$ยบูเท$ยบูการตรวจสอบูแนวทางเด้-มก�บูแนวทางใหม�ท$�ได้#ผลมาก
Dep
osit
Loan
FX
Cen
tral
IT
Dep
t.
E-B
anki
ng
FFIEC 1996
Transactional Approach
Audit Management Process to
identify, Measure, Monitor, Control
MGT. (incl. Audits & MIS)
SecurityIntegrity/Privacy (icl.SDLC)Availability
FI Bus.Tech Platform
IT-RBS
Dep
osit
Loa
n
FX
E-
Ban
king
Cen
tral
IT
Dep
t.
Op
erat
ion
al R
isk
Man
agem
ent
SR98-9 IT Risks
แนวการตรวจสอบูข#ามสาย
งาน-ย�ค์ป5จจ�บู�นIT Audit &
Non-IT Audit
Integrated Audit
11
ว-ส�ยท�ศน VISION
ภารก-จMISSION
เป�าหมายหล�กCORPORATE GOALS
แผนย�ทธศาสตร CORPORATE STRATEGIES
เป�าหมาย งานโค์รงการ/ งานพื่�ฒนา
แผนธ�รก-จ
แผนงาน / โค์รงการ / งานประจ%า & งบูประมาณ
INDICATORS & TARGETS
BUSINESS PLAN
PROGRAM / PROJECT / TASK & BUDGET
แผนบูร-หารค์วามเส$�ยงระด้�บูองค์ กร
ระบูบูค์วบูค์�มภายในระด้�บูสายงานและฝ่<ายงาน
แผนบูร-หารค์วามเส$�ยงระด้�บูสายงานและฝ่<ายงาน
ระบูบูค์วบูค์�มภายในระด้�บูระด้�บูองค์ กร
การบร หารความเสู่��ยงก�บการควบค�มภายในการบร หารความเสู่��ยงก�บการควบค�มภายในIT &Business Alignment
The Role of the Integrated Architecture Framework & Infrastructure
BusinessBusiness
As IsAs Is
Integrated Integrated ArchitecturArchitectur
e e FrameworkFramework
ICT ICT enabledenabled
EnterpriseEnterprise
ICTICT
As IsAs Is
BusinessBusiness
andand
ICTICT
TransformatioTransformationn
ICT VisionICT Vision
Business Business VisionVision
Vision, Vision, StrategyStrategy
ArchitecturArchitectural Designal Design
DevelopmenDevelopment,Changet,Change
Operation, Operation, MaintenancMaintenanc
ee
Source: IAF
The ICT enabled Enterprise & Infrastructure
Information SystemsInformation SystemsCo-operation of
SW Components
Technology InfrastructureTechnology InfrastructureCo-operation of
SW&HW Components
Business ProcessesBusiness Processes Collaboration ofHuman Beings
IS services
TI services
C a r e l S a n d e r s
C a r l S a n d e r s 1 4 : 5 0 : 2 2F i l e E d i t F o n t S i z e S t y l e F o r m a t S p e l l
D e c i s i o n
I n t e r v i e wR e j e c tH o l d u n t i l
: Y e s: N o:
( y / n ) ( y / n ) ( d a t e )
A p p l . n o N a m e D a t e o f b i r t h
: 3 3 5 6 : J . H e n d e r s o n : 2 3 - 0 5 - 1 9 4 8
A p p l i c a n t
G . B a k e r
A r c h i v e
F i r s t S e l e c t i o n P r o c e d u r e
L e t t e r o f A p p l i c a t i o n
P . O . B o x 2 3 5 01 0 2 0 A B A m s t e r d a m
D e a r S i r ,
M r . H e n d e r s o n h a s t h e r i g h t q u a l
E x p l a n a t i o nE x p l a n a t i on
C a r e l S a n d e r s
C a r l S a n d e r s 1 4 : 5 0 : 2 2F i l e E d i t F o n t S i z e S t y l e F o r m a t S p e l l
D e c i s i o n
I n t e r v i e wR e j e c tH o l d u n t i l
: Y e s: N o:
( y / n ) ( y / n ) ( d a t e )
A p p l . n o N a m e D a t e o f b i r t h
: 3 3 5 6 : J . H e n d e r s o n : 2 3 - 0 5 - 1 9 4 8
A p p l i c a n t
G . B a k e r
A r c h i v e
F i r s t S e l e c t i o n P r o c e d u r e
L e t t e r o f A p p l i c a t i o n
P . O . B o x 2 3 5 01 0 2 0 A B A m s t e r d a m
D e a r S i r ,
M r . H e n d e r s o n h a s t h e r i g h t q u a l
E x p l a n a t i o nE x p l a n a t i on
C a r e l S a n d e r s
C a r l S a n d e r s 1 4 : 5 0 : 2 2F i l e E d i t F o n t S i z e S t y l e F o r m a t S p e l l
D e c i s i o n
I n t e r v i e wR e j e c tH o l d u n t i l
: Y e s: N o:
( y / n ) ( y / n ) ( d a t e )
A p p l . n o N a m e D a t e o f b i r t h
: 3 3 5 6 : J . H e n d e r s o n : 2 3 - 0 5 - 1 9 4 8
A p p l i c a n t
G . B a k e r
A r c h i v e
F i r s t S e l e c t i o n P r o c e d u r e
L e t t e r o f A p p l i c a t i o n
P . O . B o x 2 3 5 01 0 2 0 A B A m s t e r d a m
D e a r S i r ,
M r . H e n d e r s o n h a s t h e r i g h t q u a l
E x p l a n a t i o nE x p l a n a t i on
ExternalRelationsInformation ProvisionInformation Provision
Collaboration ofHuman Beings
BusinesBusiness s
SystemSystem
ICT ICT SystemSystem
information services
businessproducts,services
informationservices
ExternalICT
Systems
Source: IAF
GRC & Single Umbrella Mangement & Audit
14
RBIA – Integrated Audit
Source : IT Security Governance Guidebook / FRED COHEN
Integrated Audit & IT Security Governance / CIO/CISO+Top Executives / Board of Directors
Policy Standards Procedures
CISO - Chief Information Security Officer Functions and Management
HR Legal Risk
Testing and Chang
e Contr
ol
Incident
Handling
AuditKnowledge
Awareness
Documents
Business Function Operations Assurance ProcessProject Management
Project TeamsSecurity Technology
Systems AdministratorsDevelopers
Risk teamChangeUsersIncidentsAuditors
Trainers
ExpertsEveryone documents
HR
LegalPolicy Team
Technical
Safeguards Physic
al Information
SystemsTechnologies
Content
Business Perspectives
ผ�งการไหลของข)อม�ลในกระบวนการขาย ก�บระบบงานโดยรวม
Orders
• Select suppliers• Order materials• Warehousing • Inventory control• Material costs• Inventory levels• Manage pricing
• Production rates• Quality/defect rates• Process procedures and efficiencies• Health and safety• Production control and management• Compliance with regulations
• Materials handing• Order processing and scheduling• Complaints/warranties/claims/returns•Measure customer satisfaction
• Process customer credit• Process accounts receivable
• Manage and process collections• Non-payments • Outstanding receivables• Over-due accounts
Ship ProductMfg ProductBuyInventory CollectBill
Business Process
Operation Data•Purchasing patterns• Forecasts• Sales targets• Customer relationship management (CRM) objectives
Enterprise Risk Management Components to Internal controls / Internal Auditing•Risk appetite (e.g. target customers)• Integrity and ethical values (e.g. code of conduct and statements around customer gifts)
•Strategic (e.g. customer growth), Operational (e.g. customer retention), reporting (e.g. sales targets in the MD&A), compliance (e.g. predatory practices) objectives• Risk tolerances
•Internal and external factors• Event identification techniques (e.g. escalation triggers on sales volume measures, changing purchasing patterns)• Event interdependencies
• Estimate risk likelihood and impact (e.g. credit worthiness)• Risk interdependencies ( e.g. declining purchasing patterns linked to product defects)
• Selected risk response (e.g. marketing campaigns to support sales growth targets)• Cost/benefits of responses • Portfolio view• Residual risks aligned to tolerances
• Policies and procedures (e.g. over sales practices)• General computer controls• Application controls
Information and Communication – Information provided to individuals in a format and timeframe to allow them to carry out responsibilities (e.g. payment defaults available to client service
representatives; orders provided to plant supervisors to align staffing levels)Monitoring – Ongoing monitoring and separate evaluations
Internal Environment
Objective setting
Event Identificat
ionRisk
Assessment
Risk Respons
eControl
Activities
17
แผนบร หารความเสู่��ยงก�บแผนการแผนบร หารความเสู่��ยงก�บแผนการควบค�มภายในควบค�มภายใน
ย�ทธิศาสู่ติร�ย�ทธิศาสู่ติร�
ว สู่�ยท�ศน� ว สู่�ยท�ศน�
ก จกรรมก จกรรม
ข�.นติอนข�.นติอนป็ฏิ บ�ติ งานป็ฏิ บ�ติ งาน
ว สู่�ยท�ศน� ว สู่�ยท�ศน�
พ�นธิก จพ�นธิก จ
ป็ระเด/นย�ทธิศาสู่ติร�ป็ระเด/นย�ทธิศาสู่ติร�ว�ติถ่�ป็ระสู่งค�เชิ งกลย�ทธิ�ว�ติถ่�ป็ระสู่งค�เชิ งกลย�ทธิ�
กลย�ทธิ�กลย�ทธิ�โครงการโครงการติ�วชิ�.ว�ดติ�วชิ�.ว�ด
แผนป็ฏิ บ�ติ การแผนป็ฏิ บ�ติ การ
แผนบร หารความเสู่��ยงแผนบร หารความเสู่��ยง
ความเสู่��ยงความเสู่��ยง มาติรการจ�ดการมาติรการจ�ดการความเสู่��ยงเด มความเสู่��ยงเด ม
มาติรการจ�ดการมาติรการจ�ดการความเสู่��ยงเพ �มเติ มความเสู่��ยงเพ �มเติ ม
งานป็ระจ!างานป็ระจ!าแผนงานแผนงาน
ก จกรรมก จกรรม11 ก จกรรมก จกรรม33 ก จกรรมก จกรรม22 ก จกรรมก จกรรม44 ก จกรรมก จกรรม55
แผนการควบค�มภายในแผนการควบค�มภายใน
ความเสู่��ยงความเสู่��ยงมาติรการควบค�มมาติรการควบค�มมาติรการควบค�มมาติรการควบค�ม
เพ �มเติ มเพ �มเติ ม
Source : IT Security Governance Guidebook / FRED COHEN
IntegrityAccountability
Availability Use
Control
Confidentiality
Source/ChangeReflects reality
Intolerance
Redundancy
AccessUtility
Objectives
Attribution
SituationActivity
IdentifyAuthentic
ateAuthorize Organizat
ion
Awareness
Knowledge
PhysicalLegal
IncidentsPersonnelTechnolo
gyTestingAuditingDocumen
tation
Procedures
Standards
PolicyManagem
ent
Actuate
Sense
Organizational
Perspectives &
Business Process
es
Organizational
Governance
Architecture
In Motio
n
In Use
At rest
Data State
Adapt
React
Detect
Prevent
DeterProces
s
Identity
Behavior
Purpose
Location
TimeConte
xt
Method
Systems
Data
Technical Security Architecture
Content and its Business Utility
Content : - transforms - filters
- markings - syntax - situation
Structure : - M/D-A/C - POsets
- diodes - firewalls - barriers
Perception : - obscurity - profile
- appearance - deception
Protective MechanismsBehavior :- change- time- tail-safe- FTC- I/A-DRS- human
Protection Processes
Access Control
CCCC
USe
USeU
Se
Classific
ation
Clearance
Les
s
More Consequences
Functional units Less
sure
More sure
Control
Audit
Input
Output
Query
Reply
State
Error
Control Architectu
reR & DChange ControlProduct
ion
TestingTesting
CEO
Auditors
Board
Owners
Laws
Oversigh
t
Life cycles
Executive Security Management
People
Business
VulnerabilitiesThreats ConsequencesAccept / Transfer / Avoid /
MitigateRisk and Surety Level and
Matching
Capabilities&
Internet
Brand, Value,Time, Costs
Technical / HumanStructural /
Organizational
Business Risk Management
Brand
Market
SalesPeople
Results
Work Flow
Process
Value
Transform
Resource
Transport
Inventory
Supply
Write Off
Collect
AR/AP
Collapse
Shrinkage
CostThingsHow Does the
business work? EnterpriseInformation Security
ArchitectureGRC & Holistic Understanding
External – regulators, operators, analysts, investors+ Stakeholders++
Board / senior management oversight
Auditcommittee
Risk Mgmt.committee
OtherCommittee
BusinessUnit
BusinessUnit
BusinessUnit
BusinessUnit
GCG + Risk Mgmt. +
Internal AuditFinancial
+ CSR
Legal/compliance
Sustainable + Ethics
Informationtechnology
Bsc : + Other
Risk Convergence & Management Model
Common Data Structure
Common Technology Architecture
Common Risk & Control Processes
Risk IT Practitioner Guide
Source : ISACA
DEFINING A RISK UNIVERSE AND SCOPING RISK MANAGEMENT
IT Risk in the Risk Hierarchy
GRC & Risk IT Practitioner Guide
Source : ISACA
IT Risk Scenario Development
RISK SCENARIOS
GRC & Risk IT Practitioner Guide
Source : ISACA
IT Risk Scenario Components
RISK SCENARIOS
IT Control
Source: The Institute of Internal Auditors
Information Technology Control and Audit
A Consolidated-Integrated Single Framework on COSO Model
Source: KPMG
Common Challenges
& errors
• การติอบสู่นองติ�อความเสู่��ยง• ม�มมองในภาพรวม
• ว�ติถ่�ป็ระสู่งค�• หน�วยว�ด
Source : Enterprise Risk Management – Integrated Framework / The Stock Exchange of Thailand
การไหลเว�ยนของสู่ารสู่นเทศในการบร หารความเสู่��ยงองค�กร
สู่ภาพแวดล)อมภายใน
การก!าหนดว�ติถ่�ป็ระสู่งค�
การระบ�เหติ�การณ์�
การป็ระเม นความเสู่��ยง
การติอบสู่นองติ�อความเสู่��ยง
ก จกรรมควบค�ม
การติ ดติามป็ระเม นผล
• คล�งข)อม�ลโอกาสู่
• ป็ร�ชิญาการบร หารความเสู่��ยง• ระด�บความเสู่��ยงท��องค�กรยอมร�บได)
• คล�งข)อม�ลความเสู่��ยง
• ป็ระเม นความเสู่��ยงท��ม�อย�ติามธิรรมชิาติ
• ป็ระเม นความเสู่��ยงท��เหล3ออย��
• ติอบสู่นองติ�อความเสู่��ยง
• ผลล�พธิ�• ติ�วชิ�.ว�ด• รายงาน
Information Security –International Standard (ISO 27001)
1. Security policy
2. Organization of information security
3. Asset management
4. Human resources security
5. Physical and environmental security
6. Communications and operations management
7. Access control
8. Information systems acquisition, development and maintenance9. Information security incident
management
10. Business continuity management
11. Compliance
ISO 27001Objectives
...
Supervision / Monitoring / Across Criteria / Functions
...
Interdependent Approaches / Consideration
Processes & Activities
Domains
Consideration of common errors in identifying objectives –
Identifying a means as an end.
Failing to consider each type & all types of objectives.
Failing to consider the relationships between objectives.
Source: Metha Suvanasarn
IT for Business
Objectives
การติรวจสู่อบภายใน(RBIA)
การบร หารIT Governance
การควบค�มภายใน(COSO)การก!าก�บด�แล
ก จการท��ด�(Corporate
Governance)
การบร หาร ความเสู่��ยง
(RM)
องค�ป็ระกอบของการก!าก�บด�แลก จการท��ด�ก�บการบร หารความเสู่��ยง และ SOD
เพ3�อก)าวสู่��
การบรรล�เป็4า
หมาย
131
ต-ด้ตามอ�าน CG+ITG+GRC+COSO-ERM+IC+IA [IT & Non-IT] ++
รวมท�/ง นโยบูายด้#านค์วามม��นค์งปลอด้ภ�ยสารสนเทศของ ก. ICT และ ระเบู$ยบู ค์ตง. ว�าด้#วยการปฎิ-บู�ต-หน#าท$�
ของผ�#ตรวจสอบูภายใน ท�/งทางด้#าน IT และ Non-IT ++ ท$� www.itgthailand.com
PERFORMANCE: Business Goals
CONFORMANCEBasel II, Sarbanes-
Oxley Act, etc.
Enterprise Governance
IT Governance
ISO 9001:2000
ISO 27001
ISO 20000
Best Practice Standards
QAProcedure
s
Processes and Procedures
Drivers
COBIT
COSO
Security Principles
ITIL
Balanced Scorecard
Where Does COBIT Fit for Business Management?
Source: ITGI
ITG & CobiT
ภาพรวมของ ภาพรวมของ TH e-GIFTH e-GIF
TH e-GIF - FrameworkTH e-GIF -
FrameworkTH e-GIF - Technical
StandardsTH e-GIF - Technical
StandardsTH e-GIF - GuidelineTH e-GIF - Guideline
National Standard Committee
National Standard Committee
National Standardize Data Set
National Standardize Data Set
National Service Registry
National Service Registry
National RepositoryNational Repository
Domain Working Group
Domain Working Group
e-Government Promotion and Development Bureau - Ministry of Information and Communication Technology
M-D-I-E & Business
The Roles of CIO
อน�กรรมการมาตรฐาน ก�บู
e-GIF
ว ธิ�การพ�ฒนาระบบบ�รณ์าการเชิ3�อมโยงร�ฐบาลว ธิ�การพ�ฒนาระบบบ�รณ์าการเชิ3�อมโยงร�ฐบาลอ เล/กทรอน กสู่�อ เล/กทรอน กสู่�
Vision
Vision
Business
ArchitectureBusin
ess
Architecture
Data
ArchitectureData
Architecture
Application
ArchitectureApplication
Architecture
Technology ArchitectureTechnology Architecture
Enterpri
se
Archite
cture
Enterpri
se
Archite
cture
e-Government Promotion and Development Bureau - Ministry of Information and Communication Technology
มาตรฐานระด้�บูประเทศ
มาตรฐานรายสาขาสารบูรรณอ-เล7กทรอน-กส
1. มาตรฐานรายการข#อม�ล 19 รายการ2. มาตรฐานกระบูวนการร�บูส�ง หน�งส�อราช้การ3. มาตรฐานกระบูวนการ Time Stamp4. มาตรฐานการลงลายม�อช้��อ
การพื่�ฒนาระบูบูงานจร-งก.ไอซึ่$ท$ สน�บูสน�นงบูฯ
พื่�ฒนาการเช้��อมโยงระหว�างระบูบูสารบูรรณของ 20
กระทรวง (ส%าน�กงานปล�ด้ ) และ 20 กรม แต�ย�งไม�ได้#ม$การใช้#
Digital Signature ของผ�#ลงนามในหน�งส�อ
อย�างเต7มร�ป
ค์วามปลอด้ภ�ยในการขนส�งมวลช้นสาธารณะ
1. มาตรฐานรายการข#อม�ล ค์นประจ%ารถึประจ%าทางสาธารณะ2. มาตรฐานรายการข#อม�ล รถึประจ%าทางสาธารณะ3. มาตรฐานกระบูวนการร�บูส�งข#อม�ล ระหว�างหน�วยงานขนส�ง
ก.ไอซึ่$ท$ จ�ด้สรรงบูประมาณ ในการพื่�ฒนาระบูบูแลกเปล$�ยนข#อม�ล
ระหว�าง 4 หน�วยงาน ค์�อ ส%าน�กงานปล�ด้ ก.ค์มนาค์ม กรมการขนส�งทางบูก
บูขส และ ขสมก
(ม$ข#อม�ลผ�#ประจ%ารถึ 40,000 ค์น และ ข#อม�ลรถึประจ%าทาง 40,000 ค์�น)
National Single Windowโลจ-สต-กส ส�งออก-น%าเข#าส-นค์#า
1. สถึาป5ตยกรรมของประเทศ NSW Architecture by MICT2. การใช้#มาตรฐาน ebXML Messaging Services (THeGIF)3. Data Harmonization จาก 189 แบูบูฟอร ม 21 หน�วยราช้การ 6,765 รายการข#อม�ล ลด้ร�ปเหล�อ 259 รายการข#อม�ล
35 หน�วยงานราช้การ ก%าล�งพื่�ฒนาระบูบู Backend-IT และ ระบูบูเช้��อมโยงด้#วย ebXML ก�บูNSW, กรมศ�ลกากร และ ASEAN Single Window- ก.ไอซึ่$ท$ สน�บูสน�นงบูประมาณ 170 ล#านบูาท แก� 15 หน�วยงาน ในการพื่�ฒนาระบูบูเช้��อมโยง ด้�งกล�าว
ฐานข#อม�ลงานว-จ�ย
มาตรฐาน 65 รายการข#อม�ล เพื่��อส�บูค์#น งานว-จ�ย โด้ยใช้#แนวทาง ของ TH e-GIF
สภาว-จ�ยฯ เป4นเจ#าภาพื่พื่�ฒนาระบูบู
ร�วมก�บู 17 หน�วยงาน(ห#องสม�ด้ และ
ศ�นย ว�จ�ยท��วประเทศ)เช้��อมโยง
42 ฐานข#อม�ลMICT ไม�เค์ยจ�ด้สรร งบูและย�งขาด้งบูฯ
พื่�ฒนาต�อยอด้
ข#อม�ลการศ&กษา
มาตรฐานข#อม�ลน�กเร$ยน 46 รายการค์ร� 33 รายการสถึานศ&กษา 41 รายการ โด้ยใช้#แนวทาง ของ TH e-GIF
ก.ศ&กษาฯ เป4นเจ#าภาพื่พื่�ฒนาระบูบูเช้��อมโยงก�บู38,000
สถึานศ&กษา(ของ 9 กระทรวง22 หน�วยงาน)
ข#อม�ลโรงพื่ยาบูาลNHIS
มาตรฐาน35 แฟ�มข#อม�ลเพื่��อส�งต�วผ�#ป<วยระหว�างโรงพื่ยาบูาล
ใช้#งานจร-งใน 300
โรงพื่ยาบูาลแต�
ก.สาธารณส�ขย�งไม�ให#การสน�บูสน�นเท�าท$�ค์วร
ข#อม�ลสถึ-ต-ของประเทศStatXML
ส%าน�กงานสถึ-ต-แห�งช้าต-จ�ด้ท%ามาตรฐานรายงานสถึ-ต-ของประเทศ
จ�ด้ท%าโด้ย ด้ร. สมน&ก ค์$ร$โต ผอ. สถึาบู�นนว�ตกรรมไอท$ มหาว-ทยาล�ยเกษตรศาสตร 2 พื่.ย . 2010
TH e-GIF1. กรอบูนโยบูายการพื่�ฒนาระบูบูเช้��อมโยง e-Gov2. ข�/นตอนการพื่�ฒนาระบูบูเช้��อมโยงด้#วยหล�กการ EA3. ว-ธ$การว-เค์ราะห กระบูวนการ 4. ว-ธ$การท%ามาตรฐานรายการข#อม�ล และ โมเด้ลเอกสาร5. มาตรฐานท$�เป4นข#อก%าหนด้ทางเทค์น-ค์ท$�แนะน%าให#ใช้# 95 ด้#านใน 7 หมวด้ ค์�อ Interconnection Specification, Data Exchange Spec, Storage & Presentation Spec, Web Tech Spec, Business Service Spec, Security Spec, Other Spec
32
พื่�ฒนาการของระบูบูเช้��อมโยง
e-Governmentของประเทศไทย
Collaborative e-Business/e-Government
ประส-ทธ-ภาพื่ในการจ�ด้การธิ�รกรรมเอกสู่ารระหว�างองค�กรท�.ง ระหว�างภาคร�ฐ และ ภาคเอกชิน เป4น ด้�ช้น$ช้$/ว�ด้ ข$ด้ค์วามสามารถึ “ ” (ในการแข�งข�น ) ของประเทศ เช้�น
ธ�รกรรมเอกสารเพื่��อการส�งออก และน%าเข#าส-นค์#า และ โลจ-สต-กส (เก$�ยวข#องก�บูประส-ทธ-ภาพื่ของหน�วยภาค์ร�ฐ 35 หน�วยงาน และ เอกช้นอย�างน#อย 8 กล��ม ในกระบูวนการน%าเข#า-ส�งออกส-นค์#า ) ช้$/ว�ด้ข$ด้ค์วามสามารถึด้#านการค์#าของประเทศ ท�/งด้#านต#นท�นและค์วามรวด้เร7วในการตอบูสนองก�บูตลาด้โลก
ข#อม�ลเพื่��อเต�อนภ�ย และ บูร-หารจ�ด้การเม��อม$อ�ทกภ�ย-ภ�ยพื่-บู�ต-ต�างๆ (เก$�ยวข#องก�บูการแลกเปล$�ยนข#อม�ลระหว�างหน�วยงานมากกว�า 30 หน�วย ) เพื่��อการป�องก�น และบูรรเทาสาธารณภ�ยให#ส�มฤทธ-Cผล
ข#อม�ลระหว�าง ห#างสรรพื่ส-นค์#า (หร�อโรงงานผล-ต ) ก�บูซึ่�พื่พื่ลายเออร ท$�ต#องท%าเอกสารซึ่�/อ-ขาย และใบูก%าก�บูภาษ$เพื่��อบูร-หารโซึ่�อ�ปทานให#ม$ประส-ทธ-ภาพื่ ....... ฯลฯ
33
ระด้�บูค์วามเข#มข#น ในบูทบูาทการส�งเสร-มธ�รกรรมทางอ-เล7กทรอน-กส
ระด้�บูท$� 1 – จ�ด้ท%ากรอบูมาตรฐาน และค์��ม�อการท%ามาตรฐานในระด้�บูประเทศ,
ส�งเสร-มการใช้#มาตรฐานกลางทางเทค์น-ค์, จ�ด้ท%าและแนะน%าการใช้#ค์��ม�อการจ�ด้ท%ามาตรฐาน
รายการข#อม�ล และกระบูวนการ, ช้�วยจ�ด้ท%าแผนงาน, จ�ด้ส�มมนาให#ค์วามร� # และ
การจ�ด้ฝ่Dกอบูรม
ระด้�บูท$� 2 – ร�วมจ�ด้ท%ามาตรฐาน มาตรฐานรายการข#อม�ล และ “ ”
มาตรฐานด้#านกระบูวนการ“ ”, … ส%าหร�บูรายสาขา (Application Domains
) เช้�น ด้#านเกษตร, โลจ-สต-กส ,การเง-น,สาธารณส�ข, การจ�ด้การภ�ยพื่-บู�ต-,
Retailing Store, Manufacturing,…
ระด้�บูท$� 3 – จ�ด้สรรงบูประมาณเพื่��อช้�วยพื่�ฒนาระบูบูเช้��อมโยงใน รายสาขาท$�ค์�ด้
เล�อก เช้�น ระบูบูสารบูรรณอ-เล7กทรอน-กส , ระบูบู National
Single Window ฯลฯ
34e-Government Promotion and Development Bureau - Ministry of Information and
Communication Technology
ต�วอย�าง ภาพื่รวมการท%างานของระบูบู ต�วอย�าง ภาพื่รวมการท%างานของระบูบู Modern Trade Modern Trade ในในป5จจ�บู�นป5จจ�บู�น
35
ผ�)ป็ระกอบการ/ผ�)ผล ติ(กล��ม Fully Automate, Partial Automate,
Non Automate)
3
ติ�วแทนผ�)ป็ระกอบการICE Solution
2
กล��ม Modern Trade(Central, Tesco Lotus,
Tops, Big C, 7-11,คาร�ฟู�ร�, ฯลฯ)
Thai Trade Net
หน�วยงานกลาง
Tiffa EDI
GE EDI Service
1ส�งข#อม�ลใบูส��งซึ่�/อ
1
ส�งข#อม�ลใบูส��งซึ่�/อ
ส�งข#อม�ลใบูส��งซึ่�/อ
1
2 ด้&งข#อม�ลใบูส��งซึ่�/อ
ส�งข#อม�ลใบูส��งซึ่�/อ
ด้&งข#อม�ลใบูส��งซึ่�/อ
Advance Integration
ม$ระบูบูการแลกเปล$�ยนข#อม�ลอ-เล7กทรอน-กส เพื่��อค์วามสะด้วกในการเข#าถึ&งข#อม�ลเท�าน�/น
แต�เม��อ ถึ&งเวลาท$�ต#องจ�ด้ท%าธ�รกรรมส�ญญาก7จะกล�บูเข#าส�� โหมด้ของการใช้#“เอกสารกระด้าษ เหม�อนเด้-ม”(เช้�น ใช้#เอกสารใบูก%าก�บูฯ ส%าเนา 4-6 กEอปปF/ )
ส%ารวจโด้ย ด้ร. สมน&ก ค์$ร$โต ผอ. สถึาบู�นนว�ตกรรมไอท$ มหาว-ทยาล�ยเกษตรศาสตร
ต�วอย�าง การท%างานของระบูบูอ�ตสาหกรรมยานยนต ในป5จจ�บู�น ต�วอย�าง การท%างานของระบูบูอ�ตสาหกรรมยานยนต ในป5จจ�บู�น
บร ษั�ทผ�)จ�ดจ!าหน�าย/โรงงานผล ติในป็ระเทศไทย
ต�วแทนจ�ด้จ%าหน�ายสาขาย�อย
ต�วแทนจ�ด้จ%าหน�ายสาขาย�อย
ติ�วแทนจ�ดจ!าหน�าย รายใหญ� (สู่!าน�กงานใหญ�)
ติ�วแทนจ�ดจ!าหน�ายรายย�อย
บร ษั�ทแม�ของโรงงานผล ติในติ�างป็ระเทศ
หมายเหต�ข#อม�ลส�งผ�านระบูบู
ข#อม�ลไม�ได้#ส�งผ�านระบูบู
Order
11Deli
very
Ord
er
22Sto
ck
33
1122
33Stock
Delivery Order
Order
Report
SSL
SSL SSL
SSLWeb ApplicationWeb Application Web ApplicationWeb Application
Web ServiceWeb Service
อ#างอ-งข#อม�ลจากการส�มภาษณ ท$มงานบูร-ษ%ทผ�#พื่�ฒนาระบูบูของบูร-ษ�ท เอ.พื่$ . ฮอนด้#า จ%าก�ด้
36
ม$ระบูบูการแลกเปล$�ยนข#อม�ลอ-เล7กทรอน-กส เพื่��อค์วามสะด้วกในการเข#าถึ&งข#อม�ล เช้�นก�น
แต�เม��อ ถึ&งเวลาท$�ต#องจ�ด้ท%าธ�รกรรมส�ญญาก7จะกล�บูเข#าส�� โหมด้ของการใช้#“เอกสารกระด้าษ เหม�อนเด้-ม”เช้�น การวางบู-ล และ เอกสาร
ใบูก%าก�บูภาษ$ เป4นต#น
ส%ารวจโด้ย ด้ร. สมน&ก ค์$ร$โต ผอ. สถึาบู�นนว�ตกรรมไอท$ มหาว-ทยาล�ยเกษตรศาสตร
มาตรฐานระด้�บูประเทศ (เก$�ยวก�บู Collaborative e-Business)
มาตรฐานรายสาขา
โรงงานผ�#ผล-ต และ ซึ่�พื่พื่ลายเออร
1. มาตรฐานรายการข#อม�ล 2. มาตรฐานกระบูวนการร�บูส�ง
การส�งเสร-มการพื่�ฒนาระบูบูงานจร-ง
ห#างสรรพื่ส-นค์#า และ ซึ่�พื่พื่ลายเออร
มาตรฐานเพื่��อการประย�กต ใช้#บู�ตร Smart
Card
Collaborative e-Business Framework
1. กรอบูนโยบูายการพื่�ฒนาระบูบูเช้��อมโยง Collaborative e-Business2. ข�/นตอนการพื่�ฒนาระบูบูเช้��อมโยงด้#วยหล�กการ Enterprise Architecture3. ว-ธ$การว-เค์ราะห กระบูวนการ 4. ว-ธ$การท%ามาตรฐานรายการข#อม�ล และ โมเด้ลเอกสาร5. มาตรฐานท$�เป4นข#อก%าหนด้ทางเทค์น-ค์ท$�แนะน%าให#ใช้# 95 ด้#านใน 7 หมวด้ ค์�อ Interconnection Specification, Data Exchange Spec, Storage & Presentation Spec, Web Tech Spec, Business Service Spec, Security Spec, Other Spec
โลจ-สต-กส เกษตรฯ
37
1. มาตรฐานรายการข#อม�ล 2. มาตรฐานกระบูวนการร�บูส�ง
ต�วอย�างโมเด้ล ของ Trusted B2B2G Single Window for Trade Logistics
Trusted e-DocumentSharing &
Guardian Services
ERP Systems
Large Exporters& Importers
1. Provide PaperlessInvoice & Packing-List
e-Documents
SME Exporters& Importers
1. Key-in Invoice & Packing List
electronically (web applications)
A. Traders could choose a freight forwarder or a
broker, and track their service status.
B. Freight Forwarders & Customs Brokers log in to see whether there are any job assignments, re-use e-data elements
without re-keying to prepare Customs declaration, application forms for permit & certificates, container & ship booking,
pre-advice for the port, vehicle arrangement,e-Payment and Surveyer services (Single Window Entry)
National Single
Window
(NSW)
GatewayOperators
TradeSiam
CAT
NetBay
CustomsDept
Foreign Trade Dept
Disease Control Dept
FisheriesDept
PortAuthority
Air PortAuthority
Public and PrivateRegulatory Agencies
(35 agencies)
Other Agencies…….
ebMS
ebMS
ebMS
ebMS
ebMS
ebMS
2. Freight Forwarders log in, check and re-use e-documentsfor regulatory & transport amanagement.
3. Submit e-Docwith
DigitalSignature
s
G2G Regulatory
NSW
B2BSingle Window
Entry
38 จ�ด้ท%าโด้ย ด้ร. สมน&ก ค์$ร$โต ผอ. สถึาบู�นนว�ตกรรมไอท$ มหาว-ทยาล�ยเกษตรศาสตร
ต�วอย�าง ข#อเสนอแนะเก$�ยวก�บู ผ�#ให#บูร-การ “ Certified e-Document Services”
ท$�ต#องว-จ�ย และน%าเสนอเพื่��อพื่-จารณาในรายละเอ$ยด้ต�อไป
ค์ณะกรรมการธ�รกรรมฯ (ก . ไอซึ่$ท$ – as a regulator ) ท%าหน#าท$�จ�ด้ท%าข#อก%าหนด้ และ ประกาศข#อก%าหนด้ต�างๆ เช้�น กฎิหมายล%าด้�บูรอง หล�กเกณฑ์ -ว-ธ$การ ว-ธ$การตรวจร�บูรอง การฝ่Dกอบูรมให#ค์วามร� # การค์�ด้เล�อกและประกาศแต�งต�/งหน�วยงานร�บูรองฯ
ภาค์ร�ฐ และ ภาค์เอกช้น ท$�ผ�านกระบูวนการค์�ด้เล�อกและได้#ร�บูแต�งต�/งให#เป4นหน�วยงานร�บูรองฯ (Certified Auditor)
Certified Auditor ท%าหน#าท$�ไปตรวจร�บูรองภาค์ร�ฐหร�อภาค์เอกช้นท$�ม$ ระบูบู Certified e-Document Systemsเป4นระยะๆ ตามท$�ก%าหนด้โด้ยค์ณะกรรมการธ�รกรรมฯ
หน�วยงานร�บูรองฯ สามารถึแสด้งหล�กฐานพื่ยานในช้�/นศาล ...เพื่��อช้�วยให#ศาลม$ข#อม�ลในการพื่-จาณาให#น%/าหน�กของหล�กฐาน
39
ติ�วอย�าง กลไก (ของ ป็ระเทศเกาหล�ใติ))Certified e-Document Authority (CeDA)
40
ขอขอบูค์�ณ
คณ์ะอน�กรรมการมาติรฐาน พ�ฒนา ว จ�ยเก��ยวก�บการท!าธิ�รกรรมทางอ เล/กทรอน กสู่�
42www.itgthailand.com เมธา
ส�วรรณสาร