บริการให้คำปรึกษา และตรวจสอบด้านเทคโนโลยีสารสนเทศ
IT RISK Management Audit
ตามประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่อง หลักเกณฑ์การกำกับดูแลและบริหาร จัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ.2563

ที่มาและความสำคัญ

ด้วยเหตุที่บริษัทประกันชีวิต / ประกันวินาศภัย หลายแห่ง ได้นำเทคโนโลยีเข้ามาช่วยในการดำเนินงาน พัฒนาผลิตภัณฑ์ และบริการลูกค้า เช่น การขายผลิตภัณฑ์ประกันภัยผ่านช่องทางออนไลน์ ระบบการจัดเก็บข้อมูลลูกค้า ระบบการพิจารณารับประกันภัย ระบบการเงินและบัญชี ระบบการจ่ายค่าสินไหมทดแทนและการจ่ายผลประโยชน์ตามกรมธรรม์ประกันชีวิต ซึ่งการนำเทคโนโลยีเข้ามามีบทบาทในการดำเนินธุรกิจมากขึ้นย่อมนำความเสี่ยงแฝงมาด้วย

กระบวนการ ตรวจสอบด้านเทคโนโลยีสารสนเทศ IT RISK Management Audit

สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) จึงได้ประกาศการกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2564 เพื่อให้บริษัทประกันภัยมีการกำกับดูแล บริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ และภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นอย่างเป็นระบบสอดคล้องกับมาตรฐานสากล เหมาะสมตาม ลักษณะ ขนาด ความซับซ้อน ของเทคโนโลยีที่ใช้ในการดำเนินธุรกิจตามความเสี่ยงที่อาจเกิดขึ้นได้ และดำเนินการตามแนวปฏิบัติที่ต้องมีการจัดโครงสร้างการกำกับดูแล และการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อให้มีการถ่วงดุลอย่างเป็นอิสระ สอดคล้องตามหลักการผู้รับผิดชอบ สามระดับ (Three Lines of Defense) ซึ่ง 1 ใน 3 ระดับนั้นคือ การกำหนดให้มีหน่วยงานที่ทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศของบริษัท โดยเป็นหน่วยงานตรวจสอบจากภายในหรือภายนอกองค์กร ที่สามารถทำหน้าที่ในการตรวจสอบด้วยความเป็นอิสระ

สำนักงาน คปภ. คาดหวังให้บริษัทประกันภัยมีความพร้อมอย่างน้อยในระดับ Bronze ภายใน 3 ปี (31 ธันวาคม 2566) และมีแผนการดำเนินการยกระดับการกำกับดูแลอย่างต่อเนื่อง โดยมีขอบเขตการตรวจสอบ ประกอบด้วย 8 หมวด ดังนี้

การให้บริการกับ ACinfotec

ACinfotec ในฐานะที่ปรึกษาด้าน IT GRC ที่มีประสบการณ์โดยผู้ตรวจสอบอิสระที่มีประกาศนียบัตร CISA,CISM,CISSP, ISO 27001 หรือ ISO22301 และเป็นผู้เชี่ยวชาญดำเนินการพัฒนาแนวทาง เกณฑ์การประเมิน และกรอบการตรวจสอบ (IT RISK AUDIT FRAMEWORK) ให้แก่ สำนักงาน คปภ.  จึงสามารถช่วยให้องค์กรของท่านเตรียมพร้อมตามแนวทางการกำกับดูแลตามความเสี่ยงได้อย่างเหมาะสม และพร้อมสำหรับการตรวจตามเป้าหมายอย่างมีประสิทธิภาพ โดยมีบริการดังต่อไปนี้

  • การประเมินด้าน Gap Analysis พร้อมให้คำแนะนำในการดำเนินการต่อไป
  • ให้คำแนะนำด้านเอกสารที่เกี่ยวข้อง
  • ให้คำแนะนำด้านการปฏิบัติตามนโยบายให้เหมาะสม
  • การอบรมด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ และอบรมพัฒนาทักษะด้านการบริหารจัดการความเสี่ยง
  • บริการเพิ่มเติม (Optional Service) ให้คำแนะนำด้าน Risk Monitoring ด้วยเครื่องมือการประเมินความเสี่ยงด้วย Security Score/Rating

นอกจากนี้ ACinfotec สามารถให้บริการการตรวจสอบด้านเทคโนโลยีสารสนเทศตามหลักเกณฑ์ IT RISK AUDIT โดยมีขั้นตอนการตรวจดังนี้

  • การกำหนดขอบเขตงานตรวจสอบระบบเทคโนโลยีสารสนเทศ
  • การวางแผนงานตรวจสอบระบบเทคโนโลยีสารสนเทศ
  • การปฏิบัติงานตรวจสอบระบบเทคโนโลยีสารสนเทศ
  • การสรุปผลงานตรวจสอบระบบเทคโนโลยีสารสนเทศ
  • การติดตามผลการตรวจสอบ

ติดต่อ ACinfotec

หากองค์กร หรือผู้ที่สนใจสามารถติดต่อสอบถามรายละเอียดของบริการที่ปรึกษาและการฝึกอบรมได้ที่ [email protected] หรือ โทร 02-670-8980 ถึง 3 (จันทร์ – ศุกร์, 09:00น. – 18:00น.)

อ้างอิง

*แหล่งที่มาข้อมูล เอกสารแนวปฏิบัติ เรื่อง การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2564

ท่านสามารถดาวน์โหลดเอกสาร ที่เกี่ยวข้องและประกาศได้ โดย คลิกที่นี่