presentation : cio challenges by metha suvanasarn...

CIO Challenges …..Forever

Metha Suvanasarn : CGEIT,CRISC;CIA,CPA240211

Monitoring & Auditing for Business Perspectives

What is Integrated Audit and Management ?

Why Integrated Audit/ Management ?

What is the roles of CIO++

Understanding

Career Path of CIO+++

And Capabilities

What do you want to

be ?

Collaborative e - Business/e-Government

GRC+++ Monitor/Audit

Perspectives & CIO

Continuous Controls & Audit vs. Infrastructure

Source: The Institute of Internal Auditors

Continuous Auditing

Inverse Relationship: Level of Effort Expended by Management and the Audit Activity.

Relationship of Continuous Auditing to Continuous

Assurance and Continuous Monitoring

Roles to Competencies to Functions Mapping Diagram (Conceptual)

FUNCTIONS

Manage

Implement

Design

Evaluate

ROLESCOMPETENCIES

Information Technology (IT) Security and TISA

Source : Office of Cybersecurity and Communications National Cyber Security Division United States Department of Homeland Security, Washington, D.C. 2 0 5 2 8

การถ่�ายทอดความค ดท��เป็�นกระบวนการไป็สู่��การบร หาร/การป็ฏิ บ�ติ ว�ติถ่�ป็ระสู่งค�ขององค�กร (ก!าไร/ความม��นคง/สู่�งคม/ป็ระสู่ ทธิ ผล/ป็ระสู่ ทธิ ภาพ

Common Data StructureCommon Technology ArchitectureCommon Risk & Control Processes

สู่ายงาน 1

สู่ายงาน N




Process 1

Process 2

Process 3

Process N….

P-D-C-A

What is What is Integrated Audit? Integrated Audit? 1 . การหลอมรวม / บู�รณาการ (Integrated) การตรวจสอบูระหว�าง IT

Audit/Non – IT Audit ก�บู Financial Audit และ Audit ประเภทอ��น ๆ ท�กประเภท

2. การหลอมรวม / บู�รณาการ (Integrated) กระบูวนการตรวจสอบู ตามเป�าประสงค์ หล�กของการตรวจสอบูทางด้#าน IT Audit ท$�ค์%าน&งถึ&งผลกระทบูของ IT Risks ต�อ Business Risks

3. การหลอมรวม / บู�รณาการ กระบูวนการตรวจสอบูตามเป�าประสงค์ หล�กของการตรวจสอบูทางด้#าน Financial Audit และ Audit อ��น ๆ ท�กประเภท โด้ยค์%าน&งถึ&งผลกระทบูของ IT Risks ท$�ม$ต�อ Business Risks เพื่��อการบูรรล�แผนงาน พื่�นธก-จ กลย�ทธ และว-ส�ยท�ศน ขององค์ กร

4. การผสมผสานแนวค์วามค์-ด้ของกระบูวนการบูร-หาร การต-ด้ตามผลการด้%าเน-นงาน และผลกระทบูของการบูร-หารค์วามเส$�ยง จากกลย�ทธ ต�าง ๆ ท�/งด้#าน IT และ Non – IT ท$�ค์วรสอด้ค์ล#อง และส�มพื่�นธ ก�บูเป�าประสงค์ ขององค์ กร ตามหล�กการ Business BSC. และ Information Balanced Scorecard

5. การน%าแนวค์วามค์-ด้การบูร-หารตามหล�กการ GRC – Integrity Driven Performance ซึ่&�งใช้#ฐาน IT – Based ในการต-ด้ตามผลการด้%าเน-นงาน และการตรวจสอบู ตามมาตรฐานและองค์ ประกอบูท$�เก$�ยวข#อง ++

6. การค์%าน&งถึ&งผ�#ม$ผลประโยช้น ร�วม (Stakeholders) และ Sustainable Development (CSR) และกต-กาของส�งค์มนานาช้าต- และของประเทศ ในองค์ ประกอบูท$�เก$�ยวข#อง เพื่��อการเต-บูโตอย�างย��งย�น

Why Integrated Audit Why Integrated Audit 1 . เพื่��อให#สอด้ค์ล#องก�บูหล�กการบูร-หาร GRC ซึ่&�งเป4นแนวทางการบูร-หารย�ค์ใหม�ใน

ป5จจ�บู�น ท$�ใช้#หล�กการบู�รณาการการบูร-หาร (Integrated Management) เพื่��อสร#างค์�ณค์�าเพื่-�ม / ประโยช้น (Value) ให#ก�บูองค์ กรและประเทศช้าต-โด้ยรวม

2. เพื่��อให#สอด้ค์ล#องก�บูหล�กการ Interdependency และแนวค์วามค์-ด้ท$�ว�า องค์ ประกอบูของช้$ว-ตและการบูร-หารการจ�ด้การท$�ไม�ค์วรพื่-จารณาตาม Silo – Based

3. Business Strategies เป4นผ�#ข�บูเค์ล��อน IT Strategies และนโยบูายทางด้#าน IT ต#องส�มพื่�นธ ก�บูนโยบูายทางด้#าน Business ในท�กม�มมอง และในท�กระด้�บูของกระบูวนการจ�ด้การท$�ด้$ (CG + ITG / GRC)

4. IT Risks ก7ค์�อ Business Risks ซึ่&�งองค์ กรจะต#องม$นโยบูาย กลย�ทธ กระบูวนการจ�ด้การ ว-ธ$การปฏิ-บู�ต- เพื่��อน%าไปส��การข�บูเค์ล��อนพื่�นธก-จ และว-ส�ยท�ศน ขององค์ กร และของประเทศท$�สอด้ค์ล#องก�น และแยกก�นพื่-จารณาไม�ได้#

5. Monitoring โด้ยผ�#บูร-หาร และการ Auditing โด้ยผ�#ตรวจสอบูท�กประเภท เป4นเร��องเด้$ยวก�นแต�ม$ม�มมองในการจ�ด้การและ Accountability / Responsibility ท$�แตกต�างก�น แต�ต#องการการประสานงานท$�ใกล#ช้-ด้ ตามม�มมองขององค์ กรย�ค์ใหม�ท$�ใช้#ค์อมพื่-วเตอร ในการข�บูเค์ล��อนเป4นหล�ก

6. Continuous Management / Continuous Controls ก�บู Continuous Auditing ตามมาตรฐานของ IIA และ ISACA จะใช้#กระบูวนการทาง IT เป4นส%าค์�ญ

7. เพื่��อให#เก-ด้การ Assurance ของ Business โด้ยผ�#ตรวจสอบู ต�อกระบูวนการต�ด้ส-นใจจากรายงานท$�ได้#ร�บู

8. เพื่��อสร#างค์วามม��นใจอย�างสมเหต�สมผลต�อ Stakeholders ถึ&งข#อม�ลและสารสนเทศ ม$องค์ ประกอบูท$�ด้$และถึ�กต#อง เช้��อถึ�อได้# และม$สารสนเทศใช้#เพื่��อการต�ด้ส-นใจได้#ท�กเวลา และม��นใจได้#ว�า ธ�รก-จสามารถึข�บูเค์ล��อนไปได้#อย�างต�อเน��อง จากการบูร-หารท$�ได้#มาตรฐาน

IT organization/Processes

Audit assurance of real depth and rigour

ProgramDevelop

mentProgram Change

Access to data

and program

Computer

Operation

IT G

en

era

l C

on

trols

Ap

plic

ati

on

C

on

tro

ls

Bu

sin

ess

Con

tro

ls

Equipments/IT

infrastructure

IT Applicati

ons

DataBase Data

BaseHardware

Network

Impact

Hardware

Impact

Core GL

Core LoanSystem

CollateralTreasurySystem

ATM

Deposit System

LoanOrigination

LoanOperation

LoanCollateral

LoanSettlement

LoanDisbursement

LoanPayment

LoanMonitoring

LoanRegulation

Business Processe

s

ImpactFinancial Statementsaudit approach

Source : The PwC Experience* / Pricewaterhouse Coopers / Nov. 2008


Understanding the IT environment in a business context

CIO & Understanding the BusinessIT Environment Factors

Developing the IT Audit Plan & Audit / Management Universe

Critical& Controls?

เปร$ยบูเท$ยบูการตรวจสอบูแนวทางเด้-มก�บูแนวทางใหม�ท$�ได้#ผลมาก

Dep

osit

Loan

FX

Cen

tral

IT

Dep

t.

E-B

anki

ng

FFIEC 1996

Transactional Approach

Audit Management Process to

identify, Measure, Monitor, Control

MGT. (incl. Audits & MIS)

SecurityIntegrity/Privacy (icl.SDLC)Availability

FI Bus.Tech Platform

IT-RBS

Dep

osit

Loa

n

FX

E-

Ban

king

Cen

tral

IT

Dep

t.

Op

erat

ion

al R

isk

Man

agem

ent

SR98-9 IT Risks

แนวการตรวจสอบูข#ามสาย

งาน-ย�ค์ป5จจ�บู�นIT Audit &

Non-IT Audit

Integrated Audit

11

ว-ส�ยท�ศน VISION

ภารก-จMISSION

เป�าหมายหล�กCORPORATE GOALS

แผนย�ทธศาสตร CORPORATE STRATEGIES

เป�าหมาย งานโค์รงการ/ งานพื่�ฒนา

แผนธ�รก-จ

แผนงาน / โค์รงการ / งานประจ%า & งบูประมาณ

INDICATORS & TARGETS

BUSINESS PLAN

PROGRAM / PROJECT / TASK & BUDGET

แผนบูร-หารค์วามเส$�ยงระด้�บูองค์ กร

ระบูบูค์วบูค์�มภายในระด้�บูสายงานและฝ่<ายงาน

แผนบูร-หารค์วามเส$�ยงระด้�บูสายงานและฝ่<ายงาน

ระบูบูค์วบูค์�มภายในระด้�บูระด้�บูองค์ กร

การบร หารความเสู่��ยงก�บการควบค�มภายในการบร หารความเสู่��ยงก�บการควบค�มภายในIT &Business Alignment

The Role of the Integrated Architecture Framework & Infrastructure

BusinessBusiness

As IsAs Is

Integrated Integrated ArchitecturArchitectur

e e FrameworkFramework

ICT ICT enabledenabled

EnterpriseEnterprise

ICTICT

As IsAs Is

BusinessBusiness

andand

ICTICT

TransformatioTransformationn

ICT VisionICT Vision

Business Business VisionVision

Vision, Vision, StrategyStrategy

ArchitecturArchitectural Designal Design

DevelopmenDevelopment,Changet,Change

Operation, Operation, MaintenancMaintenanc

ee

Source: IAF

The ICT enabled Enterprise & Infrastructure

Information SystemsInformation SystemsCo-operation of

SW Components

Technology InfrastructureTechnology InfrastructureCo-operation of

SW&HW Components

Business ProcessesBusiness Processes Collaboration ofHuman Beings

IS services

TI services

C a r e l S a n d e r s

C a r l S a n d e r s 1 4 : 5 0 : 2 2F i l e E d i t F o n t S i z e S t y l e F o r m a t S p e l l

D e c i s i o n

I n t e r v i e wR e j e c tH o l d u n t i l

: Y e s: N o:

( y / n ) ( y / n ) ( d a t e )

A p p l . n o N a m e D a t e o f b i r t h

: 3 3 5 6 : J . H e n d e r s o n : 2 3 - 0 5 - 1 9 4 8

A p p l i c a n t

G . B a k e r

A r c h i v e

F i r s t S e l e c t i o n P r o c e d u r e

L e t t e r o f A p p l i c a t i o n

P . O . B o x 2 3 5 01 0 2 0 A B A m s t e r d a m

D e a r S i r ,

M r . H e n d e r s o n h a s t h e r i g h t q u a l

E x p l a n a t i o nE x p l a n a t i on



D e c i s i o n


: Y e s: N o:

( y / n ) ( y / n ) ( d a t e )


: 3 3 5 6 : J . H e n d e r s o n : 2 3 - 0 5 - 1 9 4 8

A p p l i c a n t

G . B a k e r

A r c h i v e




D e a r S i r ,





D e c i s i o n


: Y e s: N o:

( y / n ) ( y / n ) ( d a t e )


: 3 3 5 6 : J . H e n d e r s o n : 2 3 - 0 5 - 1 9 4 8

A p p l i c a n t

G . B a k e r

A r c h i v e




D e a r S i r ,



ExternalRelationsInformation ProvisionInformation Provision

Collaboration ofHuman Beings

BusinesBusiness s

SystemSystem

ICT ICT SystemSystem

information services

businessproducts,services

informationservices

ExternalICT

Systems

Source: IAF

GRC & Single Umbrella Mangement & Audit

14

RBIA – Integrated Audit

Source : IT Security Governance Guidebook / FRED COHEN

Integrated Audit & IT Security Governance / CIO/CISO+Top Executives / Board of Directors

Policy Standards Procedures

CISO - Chief Information Security Officer Functions and Management

HR Legal Risk

Testing and Chang

e Contr

ol

Incident

Handling

AuditKnowledge

Awareness

Documents

Business Function Operations Assurance ProcessProject Management

Project TeamsSecurity Technology

Systems AdministratorsDevelopers

Risk teamChangeUsersIncidentsAuditors

Trainers

ExpertsEveryone documents

HR

LegalPolicy Team

Technical

Safeguards Physic

al Information

SystemsTechnologies

Content

Business Perspectives

ผ�งการไหลของข)อม�ลในกระบวนการขาย ก�บระบบงานโดยรวม

Orders

• Select suppliers• Order materials• Warehousing • Inventory control• Material costs• Inventory levels• Manage pricing

• Production rates• Quality/defect rates• Process procedures and efficiencies• Health and safety• Production control and management• Compliance with regulations

• Materials handing• Order processing and scheduling• Complaints/warranties/claims/returns•Measure customer satisfaction

• Process customer credit• Process accounts receivable

• Manage and process collections• Non-payments • Outstanding receivables• Over-due accounts

Ship ProductMfg ProductBuyInventory CollectBill

Business Process

Operation Data•Purchasing patterns• Forecasts• Sales targets• Customer relationship management (CRM) objectives

Enterprise Risk Management Components to Internal controls / Internal Auditing•Risk appetite (e.g. target customers)• Integrity and ethical values (e.g. code of conduct and statements around customer gifts)

•Strategic (e.g. customer growth), Operational (e.g. customer retention), reporting (e.g. sales targets in the MD&A), compliance (e.g. predatory practices) objectives• Risk tolerances

•Internal and external factors• Event identification techniques (e.g. escalation triggers on sales volume measures, changing purchasing patterns)• Event interdependencies

• Estimate risk likelihood and impact (e.g. credit worthiness)• Risk interdependencies ( e.g. declining purchasing patterns linked to product defects)

• Selected risk response (e.g. marketing campaigns to support sales growth targets)• Cost/benefits of responses • Portfolio view• Residual risks aligned to tolerances

• Policies and procedures (e.g. over sales practices)• General computer controls• Application controls

Information and Communication – Information provided to individuals in a format and timeframe to allow them to carry out responsibilities (e.g. payment defaults available to client service

representatives; orders provided to plant supervisors to align staffing levels)Monitoring – Ongoing monitoring and separate evaluations

Internal Environment

Objective setting

Event Identificat

ionRisk

Assessment

Risk Respons

eControl

Activities

17

แผนบร หารความเสู่��ยงก�บแผนการแผนบร หารความเสู่��ยงก�บแผนการควบค�มภายในควบค�มภายใน

ย�ทธิศาสู่ติร�ย�ทธิศาสู่ติร�

ว สู่�ยท�ศน� ว สู่�ยท�ศน�

ก จกรรมก จกรรม

ข�.นติอนข�.นติอนป็ฏิ บ�ติ งานป็ฏิ บ�ติ งาน

ว สู่�ยท�ศน� ว สู่�ยท�ศน�

พ�นธิก จพ�นธิก จ

ป็ระเด/นย�ทธิศาสู่ติร�ป็ระเด/นย�ทธิศาสู่ติร�ว�ติถ่�ป็ระสู่งค�เชิ งกลย�ทธิ�ว�ติถ่�ป็ระสู่งค�เชิ งกลย�ทธิ�

กลย�ทธิ�กลย�ทธิ�โครงการโครงการติ�วชิ�.ว�ดติ�วชิ�.ว�ด

แผนป็ฏิ บ�ติ การแผนป็ฏิ บ�ติ การ

แผนบร หารความเสู่��ยงแผนบร หารความเสู่��ยง

ความเสู่��ยงความเสู่��ยง มาติรการจ�ดการมาติรการจ�ดการความเสู่��ยงเด มความเสู่��ยงเด ม

มาติรการจ�ดการมาติรการจ�ดการความเสู่��ยงเพ �มเติ มความเสู่��ยงเพ �มเติ ม

งานป็ระจ!างานป็ระจ!าแผนงานแผนงาน

ก จกรรมก จกรรม11 ก จกรรมก จกรรม33 ก จกรรมก จกรรม22 ก จกรรมก จกรรม44 ก จกรรมก จกรรม55

แผนการควบค�มภายในแผนการควบค�มภายใน

ความเสู่��ยงความเสู่��ยงมาติรการควบค�มมาติรการควบค�มมาติรการควบค�มมาติรการควบค�ม

เพ �มเติ มเพ �มเติ ม

Source : IT Security Governance Guidebook / FRED COHEN

IntegrityAccountability

Availability Use

Control

Confidentiality

Source/ChangeReflects reality

Intolerance

Redundancy

AccessUtility

Objectives

Attribution

SituationActivity

IdentifyAuthentic

ateAuthorize Organizat

ion

Awareness

Knowledge

PhysicalLegal

IncidentsPersonnelTechnolo

gyTestingAuditingDocumen

tation

Procedures

Standards

PolicyManagem

ent

Actuate

Sense

Organizational

Perspectives &

Business Process

es

Organizational

Governance

Architecture

In Motio

n

In Use

At rest

Data State

Adapt

React

Detect

Prevent

DeterProces

s

Identity

Behavior

Purpose

Location

TimeConte

xt

Method

Systems

Data

Technical Security Architecture

Content and its Business Utility

Content : - transforms - filters

- markings - syntax - situation

Structure : - M/D-A/C - POsets

- diodes - firewalls - barriers

Perception : - obscurity - profile

- appearance - deception

Protective MechanismsBehavior :- change- time- tail-safe- FTC- I/A-DRS- human

Protection Processes

Access Control

CCCC

USe

USeU

Se

Classific

ation

Clearance

Les

s

More Consequences

Functional units Less

sure

More sure

Control

Audit

Input

Output

Query

Reply

State

Error

Control Architectu

reR & DChange ControlProduct

ion

TestingTesting

CEO

Auditors

Board

Owners

Laws

Oversigh

t

Life cycles

Executive Security Management

People

Business

VulnerabilitiesThreats ConsequencesAccept / Transfer / Avoid /

MitigateRisk and Surety Level and

Matching

Capabilities&

Internet

Brand, Value,Time, Costs

Technical / HumanStructural /

Organizational

Business Risk Management

Brand

Market

SalesPeople

Results

Work Flow

Process

Value

Transform

Resource

Transport

Inventory

Supply

Write Off

Collect

AR/AP

Collapse

Shrinkage

CostThingsHow Does the

business work? EnterpriseInformation Security

ArchitectureGRC & Holistic Understanding

External – regulators, operators, analysts, investors+ Stakeholders++

Board / senior management oversight

Auditcommittee

Risk Mgmt.committee

OtherCommittee

BusinessUnit

BusinessUnit

BusinessUnit

BusinessUnit

GCG + Risk Mgmt. +

Internal AuditFinancial

+ CSR

Legal/compliance

Sustainable + Ethics

Informationtechnology

Bsc : + Other

Risk Convergence & Management Model

Common Data Structure

Common Technology Architecture

Common Risk & Control Processes

Risk IT Practitioner Guide

Source : ISACA

DEFINING A RISK UNIVERSE AND SCOPING RISK MANAGEMENT

IT Risk in the Risk Hierarchy

GRC & Risk IT Practitioner Guide

Source : ISACA

IT Risk Scenario Development

RISK SCENARIOS

GRC & Risk IT Practitioner Guide

Source : ISACA

IT Risk Scenario Components

RISK SCENARIOS

IT Control


Information Technology Control and Audit

A Consolidated-Integrated Single Framework on COSO Model

Source: KPMG

Common Challenges

& errors

• การติอบสู่นองติ�อความเสู่��ยง• ม�มมองในภาพรวม

• ว�ติถ่�ป็ระสู่งค�• หน�วยว�ด

Source : Enterprise Risk Management – Integrated Framework / The Stock Exchange of Thailand

การไหลเว�ยนของสู่ารสู่นเทศในการบร หารความเสู่��ยงองค�กร

สู่ภาพแวดล)อมภายใน

การก!าหนดว�ติถ่�ป็ระสู่งค�

การระบ�เหติ�การณ์�

การป็ระเม นความเสู่��ยง

การติอบสู่นองติ�อความเสู่��ยง

ก จกรรมควบค�ม

การติ ดติามป็ระเม นผล

• คล�งข)อม�ลโอกาสู่

• ป็ร�ชิญาการบร หารความเสู่��ยง• ระด�บความเสู่��ยงท��องค�กรยอมร�บได)

• คล�งข)อม�ลความเสู่��ยง

• ป็ระเม นความเสู่��ยงท��ม�อย�ติามธิรรมชิาติ

• ป็ระเม นความเสู่��ยงท��เหล3ออย��

• ติอบสู่นองติ�อความเสู่��ยง

• ผลล�พธิ�• ติ�วชิ�.ว�ด• รายงาน

Information Security –International Standard (ISO 27001)

1. Security policy

2. Organization of information security

3. Asset management

4. Human resources security

5. Physical and environmental security

6. Communications and operations management

7. Access control

8. Information systems acquisition, development and maintenance9. Information security incident

management

10. Business continuity management

11. Compliance

ISO 27001Objectives

...

Supervision / Monitoring / Across Criteria / Functions

...

Interdependent Approaches / Consideration

Processes & Activities

Domains

Consideration of common errors in identifying objectives –

Identifying a means as an end.

Failing to consider each type & all types of objectives.

Failing to consider the relationships between objectives.

Source: Metha Suvanasarn

IT for Business

Objectives

การติรวจสู่อบภายใน(RBIA)

การบร หารIT Governance

การควบค�มภายใน(COSO)การก!าก�บด�แล

ก จการท��ด�(Corporate

Governance)

การบร หาร ความเสู่��ยง

(RM)

องค�ป็ระกอบของการก!าก�บด�แลก จการท��ด�ก�บการบร หารความเสู่��ยง และ SOD

เพ3�อก)าวสู่��

การบรรล�เป็4า

หมาย

131

ต-ด้ตามอ�าน CG+ITG+GRC+COSO-ERM+IC+IA [IT & Non-IT] ++

รวมท�/ง นโยบูายด้#านค์วามม��นค์งปลอด้ภ�ยสารสนเทศของ ก. ICT และ ระเบู$ยบู ค์ตง. ว�าด้#วยการปฎิ-บู�ต-หน#าท$�

ของผ�#ตรวจสอบูภายใน ท�/งทางด้#าน IT และ Non-IT ++ ท$� www.itgthailand.com

PERFORMANCE: Business Goals

CONFORMANCEBasel II, Sarbanes-

Oxley Act, etc.

Enterprise Governance

IT Governance

ISO 9001:2000

ISO 27001

ISO 20000

Best Practice Standards

QAProcedure

s

Processes and Procedures

Drivers

COBIT

COSO

Security Principles

ITIL

Balanced Scorecard

Where Does COBIT Fit for Business Management?

Source: ITGI

ITG & CobiT

ภาพรวมของ ภาพรวมของ TH e-GIFTH e-GIF

TH e-GIF - FrameworkTH e-GIF -

FrameworkTH e-GIF - Technical

StandardsTH e-GIF - Technical

StandardsTH e-GIF - GuidelineTH e-GIF - Guideline

National Standard Committee

National Standard Committee

National Standardize Data Set

National Standardize Data Set

National Service Registry

National Service Registry

National RepositoryNational Repository

Domain Working Group

Domain Working Group

e-Government Promotion and Development Bureau - Ministry of Information and Communication Technology

M-D-I-E & Business

The Roles of CIO

อน�กรรมการมาตรฐาน ก�บู

e-GIF

ว ธิ�การพ�ฒนาระบบบ�รณ์าการเชิ3�อมโยงร�ฐบาลว ธิ�การพ�ฒนาระบบบ�รณ์าการเชิ3�อมโยงร�ฐบาลอ เล/กทรอน กสู่�อ เล/กทรอน กสู่�

Vision

Vision

Business

ArchitectureBusin

ess

Architecture

Data

ArchitectureData

Architecture

Application

ArchitectureApplication

Architecture

Technology ArchitectureTechnology Architecture

Enterpri

se

Archite

cture

Enterpri

se

Archite

cture

e-Government Promotion and Development Bureau - Ministry of Information and Communication Technology

มาตรฐานระด้�บูประเทศ

มาตรฐานรายสาขาสารบูรรณอ-เล7กทรอน-กส

1. มาตรฐานรายการข#อม�ล 19 รายการ2. มาตรฐานกระบูวนการร�บูส�ง หน�งส�อราช้การ3. มาตรฐานกระบูวนการ Time Stamp4. มาตรฐานการลงลายม�อช้��อ

การพื่�ฒนาระบูบูงานจร-งก.ไอซึ่$ท$ สน�บูสน�นงบูฯ

พื่�ฒนาการเช้��อมโยงระหว�างระบูบูสารบูรรณของ 20

กระทรวง (ส%าน�กงานปล�ด้ ) และ 20 กรม แต�ย�งไม�ได้#ม$การใช้#

Digital Signature ของผ�#ลงนามในหน�งส�อ

อย�างเต7มร�ป

ค์วามปลอด้ภ�ยในการขนส�งมวลช้นสาธารณะ

1. มาตรฐานรายการข#อม�ล ค์นประจ%ารถึประจ%าทางสาธารณะ2. มาตรฐานรายการข#อม�ล รถึประจ%าทางสาธารณะ3. มาตรฐานกระบูวนการร�บูส�งข#อม�ล ระหว�างหน�วยงานขนส�ง

ก.ไอซึ่$ท$ จ�ด้สรรงบูประมาณ ในการพื่�ฒนาระบูบูแลกเปล$�ยนข#อม�ล

ระหว�าง 4 หน�วยงาน ค์�อ ส%าน�กงานปล�ด้ ก.ค์มนาค์ม กรมการขนส�งทางบูก

บูขส และ ขสมก

(ม$ข#อม�ลผ�#ประจ%ารถึ 40,000 ค์น และ ข#อม�ลรถึประจ%าทาง 40,000 ค์�น)

National Single Windowโลจ-สต-กส ส�งออก-น%าเข#าส-นค์#า

1. สถึาป5ตยกรรมของประเทศ NSW Architecture by MICT2. การใช้#มาตรฐาน ebXML Messaging Services (THeGIF)3. Data Harmonization จาก 189 แบูบูฟอร ม 21 หน�วยราช้การ 6,765 รายการข#อม�ล ลด้ร�ปเหล�อ 259 รายการข#อม�ล

35 หน�วยงานราช้การ ก%าล�งพื่�ฒนาระบูบู Backend-IT และ ระบูบูเช้��อมโยงด้#วย ebXML ก�บูNSW, กรมศ�ลกากร และ ASEAN Single Window- ก.ไอซึ่$ท$ สน�บูสน�นงบูประมาณ 170 ล#านบูาท แก� 15 หน�วยงาน ในการพื่�ฒนาระบูบูเช้��อมโยง ด้�งกล�าว

ฐานข#อม�ลงานว-จ�ย

มาตรฐาน 65 รายการข#อม�ล เพื่��อส�บูค์#น งานว-จ�ย โด้ยใช้#แนวทาง ของ TH e-GIF

สภาว-จ�ยฯ เป4นเจ#าภาพื่พื่�ฒนาระบูบู

ร�วมก�บู 17 หน�วยงาน(ห#องสม�ด้ และ

ศ�นย ว�จ�ยท��วประเทศ)เช้��อมโยง

42 ฐานข#อม�ลMICT ไม�เค์ยจ�ด้สรร งบูและย�งขาด้งบูฯ

พื่�ฒนาต�อยอด้

ข#อม�ลการศ&กษา

มาตรฐานข#อม�ลน�กเร$ยน 46 รายการค์ร� 33 รายการสถึานศ&กษา 41 รายการ โด้ยใช้#แนวทาง ของ TH e-GIF

ก.ศ&กษาฯ เป4นเจ#าภาพื่พื่�ฒนาระบูบูเช้��อมโยงก�บู38,000

สถึานศ&กษา(ของ 9 กระทรวง22 หน�วยงาน)

ข#อม�ลโรงพื่ยาบูาลNHIS

มาตรฐาน35 แฟ�มข#อม�ลเพื่��อส�งต�วผ�#ป<วยระหว�างโรงพื่ยาบูาล

ใช้#งานจร-งใน 300

โรงพื่ยาบูาลแต�

ก.สาธารณส�ขย�งไม�ให#การสน�บูสน�นเท�าท$�ค์วร

ข#อม�ลสถึ-ต-ของประเทศStatXML

ส%าน�กงานสถึ-ต-แห�งช้าต-จ�ด้ท%ามาตรฐานรายงานสถึ-ต-ของประเทศ

จ�ด้ท%าโด้ย ด้ร. สมน&ก ค์$ร$โต ผอ. สถึาบู�นนว�ตกรรมไอท$ มหาว-ทยาล�ยเกษตรศาสตร 2 พื่.ย . 2010

TH e-GIF1. กรอบูนโยบูายการพื่�ฒนาระบูบูเช้��อมโยง e-Gov2. ข�/นตอนการพื่�ฒนาระบูบูเช้��อมโยงด้#วยหล�กการ EA3. ว-ธ$การว-เค์ราะห กระบูวนการ 4. ว-ธ$การท%ามาตรฐานรายการข#อม�ล และ โมเด้ลเอกสาร5. มาตรฐานท$�เป4นข#อก%าหนด้ทางเทค์น-ค์ท$�แนะน%าให#ใช้# 95 ด้#านใน 7 หมวด้ ค์�อ Interconnection Specification, Data Exchange Spec, Storage & Presentation Spec, Web Tech Spec, Business Service Spec, Security Spec, Other Spec

32

พื่�ฒนาการของระบูบูเช้��อมโยง

e-Governmentของประเทศไทย

Collaborative e-Business/e-Government

ประส-ทธ-ภาพื่ในการจ�ด้การธิ�รกรรมเอกสู่ารระหว�างองค�กรท�.ง ระหว�างภาคร�ฐ และ ภาคเอกชิน เป4น ด้�ช้น$ช้$/ว�ด้ ข$ด้ค์วามสามารถึ “ ” (ในการแข�งข�น ) ของประเทศ เช้�น

ธ�รกรรมเอกสารเพื่��อการส�งออก และน%าเข#าส-นค์#า และ โลจ-สต-กส (เก$�ยวข#องก�บูประส-ทธ-ภาพื่ของหน�วยภาค์ร�ฐ 35 หน�วยงาน และ เอกช้นอย�างน#อย 8 กล��ม ในกระบูวนการน%าเข#า-ส�งออกส-นค์#า ) ช้$/ว�ด้ข$ด้ค์วามสามารถึด้#านการค์#าของประเทศ ท�/งด้#านต#นท�นและค์วามรวด้เร7วในการตอบูสนองก�บูตลาด้โลก

ข#อม�ลเพื่��อเต�อนภ�ย และ บูร-หารจ�ด้การเม��อม$อ�ทกภ�ย-ภ�ยพื่-บู�ต-ต�างๆ (เก$�ยวข#องก�บูการแลกเปล$�ยนข#อม�ลระหว�างหน�วยงานมากกว�า 30 หน�วย ) เพื่��อการป�องก�น และบูรรเทาสาธารณภ�ยให#ส�มฤทธ-Cผล

ข#อม�ลระหว�าง ห#างสรรพื่ส-นค์#า (หร�อโรงงานผล-ต ) ก�บูซึ่�พื่พื่ลายเออร ท$�ต#องท%าเอกสารซึ่�/อ-ขาย และใบูก%าก�บูภาษ$เพื่��อบูร-หารโซึ่�อ�ปทานให#ม$ประส-ทธ-ภาพื่ ....... ฯลฯ

33

ระด้�บูค์วามเข#มข#น ในบูทบูาทการส�งเสร-มธ�รกรรมทางอ-เล7กทรอน-กส

ระด้�บูท$� 1 – จ�ด้ท%ากรอบูมาตรฐาน และค์��ม�อการท%ามาตรฐานในระด้�บูประเทศ,

ส�งเสร-มการใช้#มาตรฐานกลางทางเทค์น-ค์, จ�ด้ท%าและแนะน%าการใช้#ค์��ม�อการจ�ด้ท%ามาตรฐาน

รายการข#อม�ล และกระบูวนการ, ช้�วยจ�ด้ท%าแผนงาน, จ�ด้ส�มมนาให#ค์วามร� # และ

การจ�ด้ฝ่Dกอบูรม

ระด้�บูท$� 2 – ร�วมจ�ด้ท%ามาตรฐาน มาตรฐานรายการข#อม�ล และ “ ”

มาตรฐานด้#านกระบูวนการ“ ”, … ส%าหร�บูรายสาขา (Application Domains

) เช้�น ด้#านเกษตร, โลจ-สต-กส ,การเง-น,สาธารณส�ข, การจ�ด้การภ�ยพื่-บู�ต-,

Retailing Store, Manufacturing,…

ระด้�บูท$� 3 – จ�ด้สรรงบูประมาณเพื่��อช้�วยพื่�ฒนาระบูบูเช้��อมโยงใน รายสาขาท$�ค์�ด้

เล�อก เช้�น ระบูบูสารบูรรณอ-เล7กทรอน-กส , ระบูบู National

Single Window ฯลฯ

34e-Government Promotion and Development Bureau - Ministry of Information and

Communication Technology

ต�วอย�าง ภาพื่รวมการท%างานของระบูบู ต�วอย�าง ภาพื่รวมการท%างานของระบูบู Modern Trade Modern Trade ในในป5จจ�บู�นป5จจ�บู�น

35

ผ�)ป็ระกอบการ/ผ�)ผล ติ(กล��ม Fully Automate, Partial Automate,

Non Automate)

3

ติ�วแทนผ�)ป็ระกอบการICE Solution

2

กล��ม Modern Trade(Central, Tesco Lotus,

Tops, Big C, 7-11,คาร�ฟู�ร�, ฯลฯ)

Thai Trade Net

หน�วยงานกลาง

Tiffa EDI

GE EDI Service

1ส�งข#อม�ลใบูส��งซึ่�/อ

1

ส�งข#อม�ลใบูส��งซึ่�/อ


1

2 ด้&งข#อม�ลใบูส��งซึ่�/อ


ด้&งข#อม�ลใบูส��งซึ่�/อ

Advance Integration

ม$ระบูบูการแลกเปล$�ยนข#อม�ลอ-เล7กทรอน-กส เพื่��อค์วามสะด้วกในการเข#าถึ&งข#อม�ลเท�าน�/น

แต�เม��อ ถึ&งเวลาท$�ต#องจ�ด้ท%าธ�รกรรมส�ญญาก7จะกล�บูเข#าส�� โหมด้ของการใช้#“เอกสารกระด้าษ เหม�อนเด้-ม”(เช้�น ใช้#เอกสารใบูก%าก�บูฯ ส%าเนา 4-6 กEอปปF/ )

ส%ารวจโด้ย ด้ร. สมน&ก ค์$ร$โต ผอ. สถึาบู�นนว�ตกรรมไอท$ มหาว-ทยาล�ยเกษตรศาสตร

ต�วอย�าง การท%างานของระบูบูอ�ตสาหกรรมยานยนต ในป5จจ�บู�น ต�วอย�าง การท%างานของระบูบูอ�ตสาหกรรมยานยนต ในป5จจ�บู�น

บร ษั�ทผ�)จ�ดจ!าหน�าย/โรงงานผล ติในป็ระเทศไทย

ต�วแทนจ�ด้จ%าหน�ายสาขาย�อย

ต�วแทนจ�ด้จ%าหน�ายสาขาย�อย

ติ�วแทนจ�ดจ!าหน�าย รายใหญ� (สู่!าน�กงานใหญ�)

ติ�วแทนจ�ดจ!าหน�ายรายย�อย

บร ษั�ทแม�ของโรงงานผล ติในติ�างป็ระเทศ

หมายเหต�ข#อม�ลส�งผ�านระบูบู

ข#อม�ลไม�ได้#ส�งผ�านระบูบู

Order

11Deli

very

Ord

er

22Sto

ck

33

1122

33Stock

Delivery Order

Order

Report

SSL

SSL SSL

SSLWeb ApplicationWeb Application Web ApplicationWeb Application

Web ServiceWeb Service

อ#างอ-งข#อม�ลจากการส�มภาษณ ท$มงานบูร-ษ%ทผ�#พื่�ฒนาระบูบูของบูร-ษ�ท เอ.พื่$ . ฮอนด้#า จ%าก�ด้

36

ม$ระบูบูการแลกเปล$�ยนข#อม�ลอ-เล7กทรอน-กส เพื่��อค์วามสะด้วกในการเข#าถึ&งข#อม�ล เช้�นก�น

แต�เม��อ ถึ&งเวลาท$�ต#องจ�ด้ท%าธ�รกรรมส�ญญาก7จะกล�บูเข#าส�� โหมด้ของการใช้#“เอกสารกระด้าษ เหม�อนเด้-ม”เช้�น การวางบู-ล และ เอกสาร

ใบูก%าก�บูภาษ$ เป4นต#น

ส%ารวจโด้ย ด้ร. สมน&ก ค์$ร$โต ผอ. สถึาบู�นนว�ตกรรมไอท$ มหาว-ทยาล�ยเกษตรศาสตร

มาตรฐานระด้�บูประเทศ (เก$�ยวก�บู Collaborative e-Business)

มาตรฐานรายสาขา

โรงงานผ�#ผล-ต และ ซึ่�พื่พื่ลายเออร

1. มาตรฐานรายการข#อม�ล 2. มาตรฐานกระบูวนการร�บูส�ง

การส�งเสร-มการพื่�ฒนาระบูบูงานจร-ง

ห#างสรรพื่ส-นค์#า และ ซึ่�พื่พื่ลายเออร

มาตรฐานเพื่��อการประย�กต ใช้#บู�ตร Smart

Card

Collaborative e-Business Framework

1. กรอบูนโยบูายการพื่�ฒนาระบูบูเช้��อมโยง Collaborative e-Business2. ข�/นตอนการพื่�ฒนาระบูบูเช้��อมโยงด้#วยหล�กการ Enterprise Architecture3. ว-ธ$การว-เค์ราะห กระบูวนการ 4. ว-ธ$การท%ามาตรฐานรายการข#อม�ล และ โมเด้ลเอกสาร5. มาตรฐานท$�เป4นข#อก%าหนด้ทางเทค์น-ค์ท$�แนะน%าให#ใช้# 95 ด้#านใน 7 หมวด้ ค์�อ Interconnection Specification, Data Exchange Spec, Storage & Presentation Spec, Web Tech Spec, Business Service Spec, Security Spec, Other Spec

โลจ-สต-กส เกษตรฯ

37

1. มาตรฐานรายการข#อม�ล 2. มาตรฐานกระบูวนการร�บูส�ง

ต�วอย�างโมเด้ล ของ Trusted B2B2G Single Window for Trade Logistics

Trusted e-DocumentSharing &

Guardian Services

ERP Systems

Large Exporters& Importers

1. Provide PaperlessInvoice & Packing-List

e-Documents

SME Exporters& Importers

1. Key-in Invoice & Packing List

electronically (web applications)

A. Traders could choose a freight forwarder or a

broker, and track their service status.

B. Freight Forwarders & Customs Brokers log in to see whether there are any job assignments, re-use e-data elements

without re-keying to prepare Customs declaration, application forms for permit & certificates, container & ship booking,

pre-advice for the port, vehicle arrangement,e-Payment and Surveyer services (Single Window Entry)

National Single

Window

(NSW)

GatewayOperators

TradeSiam

CAT

NetBay

CustomsDept

Foreign Trade Dept

Disease Control Dept

FisheriesDept

PortAuthority

Air PortAuthority

Public and PrivateRegulatory Agencies

(35 agencies)

Other Agencies…….

ebMS

ebMS

ebMS

ebMS

ebMS

ebMS

2. Freight Forwarders log in, check and re-use e-documentsfor regulatory & transport amanagement.

3. Submit e-Docwith

DigitalSignature

s

G2G Regulatory

NSW

B2BSingle Window

Entry

38 จ�ด้ท%าโด้ย ด้ร. สมน&ก ค์$ร$โต ผอ. สถึาบู�นนว�ตกรรมไอท$ มหาว-ทยาล�ยเกษตรศาสตร

ต�วอย�าง ข#อเสนอแนะเก$�ยวก�บู ผ�#ให#บูร-การ “ Certified e-Document Services”

ท$�ต#องว-จ�ย และน%าเสนอเพื่��อพื่-จารณาในรายละเอ$ยด้ต�อไป

ค์ณะกรรมการธ�รกรรมฯ (ก . ไอซึ่$ท$ – as a regulator ) ท%าหน#าท$�จ�ด้ท%าข#อก%าหนด้ และ ประกาศข#อก%าหนด้ต�างๆ เช้�น กฎิหมายล%าด้�บูรอง หล�กเกณฑ์ -ว-ธ$การ ว-ธ$การตรวจร�บูรอง การฝ่Dกอบูรมให#ค์วามร� # การค์�ด้เล�อกและประกาศแต�งต�/งหน�วยงานร�บูรองฯ

ภาค์ร�ฐ และ ภาค์เอกช้น ท$�ผ�านกระบูวนการค์�ด้เล�อกและได้#ร�บูแต�งต�/งให#เป4นหน�วยงานร�บูรองฯ (Certified Auditor)

Certified Auditor ท%าหน#าท$�ไปตรวจร�บูรองภาค์ร�ฐหร�อภาค์เอกช้นท$�ม$ ระบูบู Certified e-Document Systemsเป4นระยะๆ ตามท$�ก%าหนด้โด้ยค์ณะกรรมการธ�รกรรมฯ

หน�วยงานร�บูรองฯ สามารถึแสด้งหล�กฐานพื่ยานในช้�/นศาล ...เพื่��อช้�วยให#ศาลม$ข#อม�ลในการพื่-จาณาให#น%/าหน�กของหล�กฐาน

39

ติ�วอย�าง กลไก (ของ ป็ระเทศเกาหล�ใติ))Certified e-Document Authority (CeDA)

40

ขอขอบูค์�ณ

คณ์ะอน�กรรมการมาติรฐาน พ�ฒนา ว จ�ยเก��ยวก�บการท!าธิ�รกรรมทางอ เล/กทรอน กสู่�

42www.itgthailand.com เมธา

ส�วรรณสาร