1 / 33

Chapter 3: Roles of Management , User & Auditor

Chapter 3: Roles of Management , User & Auditor. Chapter 3 Learning Objectives. Stakeholder in a firm View from each group of players Role from each group of players Limitations, obstacles and difficulties Intro: COBIT Framework. Enterprise Governance: Stake holders. Shareholders

adonis
Download Presentation

Chapter 3: Roles of Management , User & Auditor

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chapter 3: RolesofManagement, User & Auditor

  2. Chapter 3 Learning Objectives • Stakeholder in a firm • View from each group of players • Role from each group of players • Limitations, obstacles and difficulties • Intro: COBIT Framework

  3. Enterprise Governance: Stake holders • Shareholders • Board • Management • employees

  4. IT Governance: Stakeholders • IT Management • Executives • Middle management • Project managers/1st line managers • User • Auditor

  5. Roles • Executives • Enterprise governance • ร่วมพิจารณา project IT • ลดความเสี่ยงและความล้มเหลวของ Project IT • คาดหวังผลประโยชน์จากการลงทุน IT • ต้องปฏิบัติตามกฎหมาย ข้อบังคับที่ถูกกำกับดูแลจากทางรัฐ • IT Organization • People management & career development

  6. Roles • Middle management • แสดงให้ผู้บริหารเห็น ว่าบริหาร ทรัพยากรต่างได้อย่างมีประสิทธิภาพ • สื่อสารกับลูกน้องถึงความต้องการของ user • ต้องการความชัดเจนจากนโยบาย และแนวปฏิบัติ • ปรับปรุงความสัมพันธ์กับ user • ส่งมอบงานได้ตรงเวลาและสม่ำเสมอ • People management & career development

  7. Roles • Project managers / 1st line managers • แก้ปัญหาการพัฒนา application • ติดตามความคืบหน้าของ project IT • ตัดสินใจทางเลือกด้านเทคนิค / เรื่องบุคลากร ให้รวดเร็ว • People management & career development

  8. Roles • Users • ธุรกิจดำเนินไปได้ราบรื่นไม่ติดขัด • More functionality at lower cost • Greater ease of use • แก้ปัญหาทางธุรกิจได้รวดเร็วด้วย โดยใช้ IT เป็นเครื่องมือ • ประสานงานและแก้ปัญหา ใน project IT ได้รวดเร็ว • สื่อสารกับ IT ได้เข้าใจถูกต้องตรงกัน • เลือกชื้อ Software ได้ถูกต้องตามความต้องการ

  9. Case: Governance • AIG • บริษัทประกันภัยใหญ่ที่สุดในโลก แจ้งรายได้มากกว่าที่เป็นจริง 3,900 ล้าน$ (10%) เพื่อปิดบังข่าวลือว่าเงินทุนสำรองลดลงมาก • กลต.ฟ้องร้องบริษัทและมีการยอมความโดย AIG จ่ายค่าเสียหาย • CFO ยังถูกดำเนินคดีในศาล

  10. Case: Governance cont. • Enron, 2001 • ผู้บริหาร Enron: Ken, Jeffrey, Andrew, Lea, Ben & Dan ถูกศาลตัดสินว่ามีความผิดในคดีฉ้อโกงใหญ่ที่สุดในโลก • Arthur Andersen 2002 • ผู้บริหาร Arthur Andersen ละเมิดธรรมาภิบาลของ auditor โดยร่วมมือกับ ลูกค้าของตน CFO ของ Enron ทำลายเอกสารหลายฉบับเพื่อปกปิดการตรวจสอบจากทางรัฐบาลสหรัฐ • ถูกยึดใบอนุญาต CPA

  11. Case: Governancecont. • US Securities & Exchange commission (SEC) กลต: fraud 2002-2005 • 92 Presidents • 86 CEOs • 40 CFOs • 14 COOs • 98 VPs • 17 Lawyers

  12. Internal threat • IT people • Errors • Fraud • Confidentiality • Malicious damage • Cause • Too much power because of knowledge • granted to live data • Poor change control • Division of duty

  13. Internal threat • User • Errors • Fraud • Confidentiality • Malicious damage • Poor disposal of output • Careless talk • Cause • Poor supervise • Too much power • Too little power • In-depth knowledge of control weakness

  14. Internal threat • Auditor • Errors • Fraud • Confidentiality • Malicious damage • Cause • Most cases Poor supervise • The right to attempt to break system

  15. Auditors • Public sector auditor • ตามกฎหมาย/พรบที่เกี่ยวข้องกับนิติบุคคลนั้น • External auditor • customer ตรวจ supplier ให้เป็นไปตามสัญญาต่างๆ • Independent auditor • บุคคลที่ 3 ได้รับการว่าจ้างให้ตรวจงานภายใน องค์กร • Internal auditor • ความถูกต้องและประสิทธิภาพของ ระบบการบริหารงานและการควบคุมงานภายในองค์กร • IS/IT auditor • ความถูกต้องและประสิทธิภาพของ ระบบการบริหารงานและการควบคุมงาน IT ภายในองค์กร

  16. Auditor - Auditee • Independency • Help auditee develop? • Conflict? • Personal life. financial gain affecting judgment? • Business deals, pending legal actions • Job conflict, work under auditee • Gift, reward, flavor • Yes/no

  17. Auditor - Auditee • Executive position • Speech • Mannerism • Clothing - 1 level more • Grooming • Humor- professional

  18. Auditor - Auditee • Agree on standard / framework • Executive position • Confidentiality • Good communication • Leadership

  19. Obstacles / Difficulties • เวลา • เงิน • ทรัพยากร • ทัศนคติ

  20. Audit committee • Report to board • Outside normal business operation • Full authority over executives • Can hire Internal/external auditors

  21. Consulting firmorganization structure • Engagement manager • Customer relationship • Consulting/audit project’s overall execution and staff • Generate new consultation/ audit projects • Senior consultant • Leading daily audit activity • Observation • Managing staff • Consultant • Audit without supervision • System analyst • Entry-level , Low level administrative task

  22. What Does COBIT Stand For? C Control OBOBjectives I for Information T and Related Technology

  23. Stakeholders need • One common business oriented framework of Standards Flexible to suit different needs, multiple levels for multiple needs • Incorporating the related assurance framework Aimed at • business process owners/management • users (customers) • service providers • auditors • To assist them in obtaining reasonable assurance on IT’s contribution to the business objectives

  24. IT Manageability • Need tools that allow management to self-assess and make • choices for control implementation and improvements • Ability to align the IT organisation with the goals of the enterprise • Performance measurements that ensure that these goals are achieved

  25. Information Systems Audit and Control Association ISACA • Leading Global Professional IT Control Organisation • Comprises all levels of IT • Focuses on audit, control and security Issues • Works closely with its more than 150 Chapters in • over 50 Countries • Services and Programs Designed to Establish Excellence • Research Conducted through Foundation • Projects selected to help members and the profession keep pace with an ever-changing IT environment

  26. ISACA certification • Certified Information Systems Auditor (CISA) • The Certified Information Security Manager (CISM) its introduction in 2003 • The Certified in the Governance of Enterprise IT (CGEIT) certification • The Certified in Risk and Information Systems Control certification (CRISC)

  27. Cobit • Mission • To research, develop, publicise and promote an authoritative, up-to-date, international set of generally accepted IT Control Objectives for day-to-day use by business managers and auditors. • Vision • To be the model for IT governance

  28. Who is the certification intended for? • Chief Executive Officer (CEO)/President • Chief Information Officer (CIO) • Chief Technology Officer (CTO) • Chief Audit Executive (CAE)/Partner/Principal • Chief Information Risk Strategist • Chief Information Security Officer (CISO) • Chief Security Officer (CSO) • IT Governance Director/Manager • IS/IT Director/Manager • IS/IT Consultant • IS/IT Audit Director/Manager • IS/IT Security Director/Manager • IS/IT Compliance Director/Manager • Project Manager • Business Manager • General Manager

  29. Cobit scope • Generally applicable and accepted international standard • Good practice for Information Technology controls • For application to enterprise-wide information systems, regardless of technology employed (Generic use) • User - business requirements for information • management -business process owner • Aligned with the de jure and de facto standards and regulations • Based on critical review of tasks and activities or function • Emerging industry specific requirements such as from banking, electronic commerce and IT manufacturing

  30. Definition of Control • “The Policies, Procedures, Practices and Organisational Structures, Designed to Provide Reasonable Assurance that Business Objectives will be Achieved and that Undesired Events will be Prevented or Detected and Corrected.”

  31. Definition of IT Control Objective • “A Statement of the Desired Result or Purpose to be Achieved by Implementing Control Procedures in a Particular IT Activity.”

  32. Who needs an IT Governance and Control Model ? • IT Management • IT investment decisions • balance risk and control investment • benchmark existing and future IT environment • User • to obtain assurance on security and control of products and services they acquire internally or externally • Auditor • to substantiate opinions to management on internal controls • to advise on what minimum controls are necessary

  33. ค้นคว้าเพิ่มเติม • https://www.isaca.org ISACA engages in the development, adoption and use of globally accepted, industry-leading knowledge and practices for information systems. • http://www.enron.com Enron Creditors Recovery Corp. ("ECRC") is the new name for Enron Corp • http://www.dreamworks.com/catchthem The true story of real fake

More Related