ประกาศธนาคารแห่งประเทศไทย ที่ สกช. 5/2566
หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk)
ของสถาบันการเงิน และสถาบันการเงินเฉพาะกิจ
ธนาคารแห่งประเทศไทย (ธปท.) ได้มีการปรับปรุงหลักเกณฑ์การกำกับดูแลความเสี่ยง ด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) เพื่อให้สถาบันการเงิน และสถาบันการเงินเฉพาะกิจ มีการกำกับดูแลและบริหารจัดการเท่าทันความเสี่ยงจากการใช้เทคโนโลยีที่เปลี่ยนแปลงไป ซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 16 ตุลาคม 2566
ประกาศฉบับนี้ใช้บังคับใครบ้าง:
- สถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงินทุกแห่ง
- สถาบันการเงินเฉพาะกิจตามกฎหมายว่าด้วยธุรกิจสถาบันการเงินทุกแห่ง
วัตถุประสงค์:
- กำหนดบทบาทหน้าที่ของหน่วยงานกำกับการปฏิบัติตามกฎเกณฑ์
- ส่งเสริมให้สถาบันการเงินและกลุ่มธุรกิจทางการเงินปฏิบัติตามกฎหมายหรือกฎเกณฑ์ที่เกี่ยวข้องได้อย่างถูกต้องและครบถ้วน
สถาบันการเงิน ฯ มีหน้าที่เกี่ยวกับการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างไรบ้าง
1. ดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ รวมถึงโครงการด้านเทคโนโลยีสารสนเทศอย่างมีประสิทธิภาพและรัดกุม ภายใต้กรอบหลักการที่สำคัญ 3 ประการ คือ
(1.1) การรักษาความลับของระบบและข้อมูล (Confidentiality)
(1.2) ความถูกต้องเชื่อถือได้ของระบบและข้อมูล (Integrity)
(1.3) ความพร้อมใช้งานของเทคโนโลยีสารสนเทศ (Availability)
โดยอยู่บนพื้นฐานของการคุ้มครองข้อมูลและรักษาผลประโยชน์ของลูกค้า
2. กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับลักษณะการดำเนินธุรกิจปริมาณธุรกรรม ความซับซ้อนของเทคโนโลยีสารสนเทศ และความเสี่ยงที่เกี่ยวข้อง3. มีโครงสร้างการกำกับดูแลในภาพรวมที่เอื้อต่อการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศอย่างเหมาะสม และสอดคล้องตามหลักการแบ่งแยกหน้าที่ความรับผิดชอบ 3 ระดับ (three lines of defense)
การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ มีหลักเกณฑ์ด้านใดบ้าง
- ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (IT governance)
- การบริหารจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT security management)
- การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk management)
- การปฏิบัติตามกฎเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT compliance)
- การตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT audit)
- การบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ (IT project management)
สถาบันการเงินฯ ต้องดำเนินการอย่างไรบ้าง
1. สถาบันการเงินและสถาบันการเงินเฉพาะกิจต้องดูแลระบบงานที่รองรับช่องทางการให้บริการผ่านอุปกรณ์เคลื่อนที่ (mobile banking) ให้สามารถให้บริการได้อย่างต่อเนื่องโดยต้องหยุดชะงักไม่เกิน 8 ชั่วโมง ในรอบ 1 ปีปฏิทิน
2. สถาบันการเงินและสถาบันการเงินเฉพาะกิจต้องรายงานผลการประเมินการปฏิบัติ ตามหลักเกณฑ์กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk self-assessment) ให้ ธปท. ภายใน 30 วัน นับแต่วันสิ้นปีปฏิทิน ตามรูปแบบและช่องทางที่ ธปท. กำหนด
3. ต้องผ่านการพิจารณาความมีนัยสำคัญร่วมกันจากหน่วยงานที่เกี่ยวข้อง โดยเฉพาะหน่วยงานที่มีหน้าที่ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ (first line of defense) และหน่วยงานที่มีหน้าที่บริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและกำกับดูแลการปฏิบัติตามกฎเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (second line of defense) รวมทั้งต้องได้รับอนุมัติจากคณะกรรมการที่ได้รับมอบหมาย42. ต้องพิจารณาภายใต้กรอบหลักการที่คำนึงถึงความเสี่ยงและผลกระทบต่อการให้บริการหรือดำเนินธุรกิจของสถาบันการเงินและสถาบันการเงินเฉพาะกิจในวงกว้าง (bank wide impact) และผลกระทบต่อระบบสถาบันการเงินในวงกว้าง (banking system wide impact)
4. ต้องสื่อสารและเผยแพร่ข้อกำหนดดังกล่าวให้หน่วยงานที่เกี่ยวข้องทราบโดยทั่วกันและนำไปปฏิบัติ
5. ต้องสอบทานการดำเนินการตามข้อกำหนดอย่างน้อยปีละ 1 ครั้ง
6. ต้องทบทวนข้อกำหนดอย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญเพื่อให้มั่นใจว่าข้อกำหนดดังกล่าวสอดคล้องกับระดับความเสี่ยง และผลกระทบต่อสถาบันการเงินหรือสถาบันการเงินเฉพาะกิจและระบบสถาบันการเงิน
เอซีอินโฟเทค มีบริการที่ช่วยดำเนินการให้สอดคล้องกับประกาศ สกช. 5/2566 การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk)
เอซีอินโฟเทค ในฐานะที่ปรึกษาด้าน IT GRC ที่มีประสบการณ์ยาวนานกว่า 20 ปี พร้อมด้วยทีมผู้ตรวจสอบอิสระที่มีประสบการณ์ ความรู้ความสามารถ เป็นผู้เชี่ยวชาญดำเนินการพัฒนาแนวทางเกณฑ์การประเมิน และกรอบการตรวจสอบ (IT RISK AUDIT FRAMEWORK) ให้แก่หลายหน่วยงาน Regulator จึงสามารถช่วยให้องค์กรของท่านเตรียมพร้อมตามแนวกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ ตามประกาศ สกช. 5/2566 ได้อย่างเหมาะสม เพื่อให้สามารถรายงานผลการประเมินการปฏิบัติ ตามหลักเกณฑ์กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk self-assessment) ได้อย่างถูกต้อง และช่วยดำเนินการสอบทาน (IT Risk Audit) การดำเนินการตามข้อกำหนด โดยทีมผู้ตรวจสอบของเอซีอินโฟเทค ที่มีประกาศนียบัตรรับรองด้านเทคโนโลยีสารสนเทศ และมีประสบการณ์ความเชี่ยวชาญด้านการบริหารจัดการความเสี่ยง
อ้างอิงแหล่งที่มาข้อมูล: หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk)
ของสถาบันการเงิน และสถาบันการเงินเฉพาะกิจ https://www.bot.or.th/content/dam/bot/fipcs/documents/FOG/2566/ThaiPDF/25660202.pdf
