กระบวนการบริหารความเสี่ยงด้านสภาพคล่อง 4. การรายงานความเส่ียง (Risk Reporting) ฝ่ ายบริหารความเส่ียงมีหนา้ ที่จดั ทารายงานที่เก่ียวขอ้ งกบั การบริหารความเส่ียงดา้ นสภาพคล่อง ที่สาคญั ดงั น้ี 4.1) รายงานสถานะความเสี่ยงดา้ นสภาพคลอ่ ง รายวนั 4.2) รายงานสถานะความเส่ียงดา้ นสภาพคล่อง รายเดือน ประกอบดว้ ย รายงานท่ีสาคญั ดงั น้ี - รายงานแสดงการกระจุกตวั ของลูกคา้ เงินฝาก - รายงานฐานะสภาพคลอ่ งสุทธิตามสญั ญา (Contractual Liquidity Gap) - รายงานฐานะสภาพคลอ่ งสุทธิตามพฤติกรรม (Behavioural Liquidity Gap) - รายงานแสดงสถานะเปรียบเทียบกบั เพดานความเส่ียง 4.3) รายงานการกระจุกตวั ของแหล่งเงิน 4.4) รายงานการทดสอบสภาพคลอ่ งในภาวะวกิ ฤต รายไตรมาส 4.5) รายงานการสอบทาน (Back Test) รายไตรมาส สาหรับ “สมมติฐานการปรับขอ้ มูลตามพฤติกรรม” ที่นาไปใชป้ รับขอ้ มูลใหส้ อดคลอ้ งกบั พฤติกรรมของลูกคา้ ใน “แบบรายงานฐานะ สภาพคลอ่ งสุทธิตามพฤติกรรม (Behavioural Liquidity Gap)” รายเดือน
กระบวนการบริหารความเส่ียงด้านสภาพคล่อง 5. การควบคุมความเส่ียง (Risk Control Assessment) ธนาคารมีการควบคุมความเส่ียงดา้ นสภาพคล่อง โดยคณะกรรมการธนาคาร จะอนุมตั ิการกาหนดเพดานความเส่ียงหรือระดบั ความเสี่ยงดา้ นสภาพคล่อง ดว้ ยความเห็นชอบของ คณะอนุกรรมการกากบั ความเส่ียงเพื่อใชใ้ นการควบคุมความเส่ียงดา้ นสภาพคล่องให้อยู่ในระดบั ที่ยอมรับได้ และกาหนดใหม้ ีการทบทวนและปรับปรุงเป็ นระยะ เม่ือสถานการณ์หรือ ระดบั ความเส่ียงท่ียอมรับไดเ้ ปลย่ี นไป เพดานความเสี่ยงด้านสภาพคล่องที่สาคญั มีดงั นี 5.1) จานวนเดือนท่ีฐานะสภาพคลอ่ งสะสมสุทธิ (ตามพฤติกรรม) เริ่มเป็ นค่าติดลบ 5.2) อตั ราการกระจุกตวั ของลกู คา้ เงินฝากรายใหญ่ 5.3) การดารงสินทรัพยส์ ภาพคล่อง 5.4) สดั ส่วนของปริมาณเงินฝากไหลออกสุทธิใน 1 วนั เทียบกบั ปริมาณสภาพคลอ่ ง 5.5) สดั ส่วนของปริมาณเงินฝากไหลออกสุทธิสะสมใน 3 วนั เทียบกบั ปริมาณสภาพคลอ่ ง
แผนบริหารสภาพคล่อง 1. แผนบริหารสภาพคล่องในภาวะปกติ) 2. แผนบริหารสภาพคล่องฉุกเฉิน ธนาคารกาหนดแผนบริหารสภาพคล่องในภาวะปกติเพ่อื ใชเ้ ป็นแนวทางบริหาร ธนาคารจะกาหนดแผนบริหารสภาพคล่องฉุกเฉินเพื่อใชเ้ ป็ นแผนรองรับการขาดสภาพ สภาพคล่องของธนาคาร คล่องของธนาคารในกรณีฉุกเฉิน ทงั นี เพ่ือใหธ้ นาคารสามารถป้องกนั และแกไ้ ขปัญหาวิกฤต ในสภาพคล่องไดอ้ ยา่ งทนั เวลา และดว้ ยตน้ ทุนการเงินท่ีสมเหตุสมผล ซ่งสาระสาคญั ของแผน ซ่งสาระสาคญั ของแผนไดแ้ ก่ ไดแ้ ก่ 1.1) วตั ถุประสงค์ แนวทาง และกระบวนการในการบริหารสภาพคล่อง 1.2 ) กาหนดผรู้ ับผดิ ชอบในการบริหารสภาพคล่องในภาวะปกติ 2.1) กระบวนการและขนั ตอนการปฏิบตั ิในการบริหารสภาพคล่องในภาวะวิกฤต โดยระบุ 1.3) ระบุเพดานความเส่ียงในลกั ษณะท่ีเป็นตวั บ่งชี (Trigger Point) หรืออตั ราส่วนต่างๆ ผรู้ ับผดิ ชอบและบทบาทหนา้ ที่ท่ีชดั เจน ท่ีใชค้ วบคุมการบริหารความเส่ียงดา้ นสภาพคล่อง 2.2) ระบบการเตือนภยั ล่วงหนา้ (Early Warning System) หรือตวั บ่งชี (Trigger Point) ท่ีทาให้ 1.4) ระบบการกากบั ควบคุม ตลอดจนขอบเขตและความถี่ของการรายงาน ทราบถงระดบั ของภาวะวิกฤต เพื่อให้มีการปฏิบตั ิตามแผนการปฏิบตั ิการเพื่อแก้ไข ปัญหาวกิ ฤตสภาพคล่อง 2.3) แผนการปฏิบัติการเพ่ือแก้ไขปัญหาวิกฤตสภาพคล่อง (ทังด้านสภาพคล่องและ ดา้ นภาพลกั ษณ์) ตามระดบั ความรุนแรงของปัญหา
Information Technology Risk Management Division
การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ Information Technology Risk 1) วตั ถุประสงคข์ องการบริหารเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ 2) ทาไมตอ้ งมีบริหารความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ 3) บริหารความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศเก่ียวขอ้ งกบั ใคร 4) โครงสร้างความเส่ียงดา้ นเทคโนโลยสี ารสนเทศ 5) บริหารความเส่ียงดา้ นเทคโนโลยสี ารสนเทศทาอะไร 1.วตั ถุประสงค์ของการบริหารเส่ียงด้านเทคโนโลยสี ารสนเทศ 1.1 เพื่อใหธ้ นาคารสามารถดูแลและบริหารจดั การความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ รวมถงโครงการดา้ นเทคโนโลยสี ารสนเทศ อยา่ งมีประสิทธิภาพและรัดกมุ ภายใตก้ รอบหลกั การ ท่ีสาคญั 3 ประการ คือ (1) การรักษาความลบั ของระบบและขอ้ มูล (confidentiality) (2) ความถูกตอ้ งเชื่อถือไดข้ องระบบและขอ้ มูล (integrity) และ (3) ความพร้อมใชง้ านของเทคโนโลยี สารสนเทศ (availability) โดยอยบู่ นพืนฐานของการคุม้ ครองขอ้ มูลและรักษาผลประโยชน์ของลูกคา้ 1.2 เพื่อใหม้ ีการบริหารความเส่ียงดา้ นเทคโนโลยีสารสนเทศ (Information Technology Risk) ซ่งสอดคลอ้ งกบั ลกั ษณะการดาเนินธุรกิจ ปริมาณธุรกรรม ความซบั ซอ้ นของเทคโนโลยี สารสนเทศ และความเสี่ยงท่ีเกี่ยวขอ้ ง ไดแ้ ก่ ความเส่ียงดา้ นชะรีอะฮ์ (Shariah Risk) ความเสี่ยงดา้ นกลยทุ ธ์ (Strategic Risk) ความเส่ียงดา้ นเครดิต (Credit/Default Risk) ความเส่ียง ดา้ นตลาด (Market Risk) ความเส่ียงดา้ นสภาพคล่อง (Liquidity Risk) ความเส่ียงดา้ นปฏิบตั ิการ (Operational Risk) 1.3 เพื่อเป็นแนวทางในการจดั การความเส่ียง และคาสง่ั ดา้ นเทคโนโลยสี ารสนเทศ ในการป้องกนั สินทรัพยข์ อ้ มูลของธนาคารทงั หมด รวมถงครอบคลุมผทู้ าสญั ญาเพ่ือใหบ้ ริการ
2. ทาไมต้องมบี ริหารความเส่ียงด้านเทคโนโลยสี ารสนเทศ “เพื่อเป็นแนวทางในการจดั การบริหารความเส่ียงเทคโนโลยสี ารสนเทศ ป้องกนั ทรัพยส์ ินของธนาคารฯ ดา้ นขอ้ มูล,แอพพลิเคชนั่ ท่ีสนบั สนุนการปฏิบตั ิงานทางธุรกิจ, ฐานขอ้ มูล และ โครงสร้างพืนฐานทางเทคโนโลยสี ารสนเทศ” 3. บริหารความเส่ียงด้านเทคโนโลยสี ารสนเทศเกยี่ วข้องกบั ใคร The Three Lines of Defense Model แหล่งท่ีมา : https://na.theiia.org/
3. บริหารความเส่ียงด้านเทคโนโลยสี ารสนเทศเกยี่ วข้องกบั ใคร (ต่อ) Second Line of Defense Third Line of Defense First Line of Defense ส่วนตรวจสอบเทคโนโลยสี ารสนเทศ ฝ่ ายตรวจสอบ (Implementation and operation) ภ า ย ใ น มี ห น้ า ท่ี ใ น ก า ร ใ ห้ ค ว า ม เ ช่ื อ ม่ัน โ ด ย ก า ร ตรวจสอบที่เป็นอิสระ ต่อการออกแบบประสิทธิภาพ ▪ หวั หนา้ ธุรกิจ (Heads of Business) ▪ ส่วนบริหารจดั การดา้ นความมน่ั คง ของการควบคุมภายใน ตลอดจนต่อความเสี่ยง และ ▪ เจา้ ของสินทรัพยด์ า้ นสารสนเทศ ปลอดภยั สารสนเทศ ผลการดาเนินงานของธนาคาร (Information Asset Owners) ▪ ส่วนบริหารความเสี่ยงดา้ น ▪ ผดู้ ูแลทรัพยส์ ินดา้ นเทคโนโลยี เทคโนโลยสี ารสนเทศ สารสนเทศ (Information Technology ▪ ส่วนกากบั การปฏิบตั ิงานและ Asset Custodian) ระเบียบเทคโนโลยสี ารสนเทศ ▪ ผใู้ หบ้ ริการโครงสร้างพืนฐานดา้ น เทคโนโลยี (Technology Infrastructure ▪ ทีมตอบสนองเหตุการณ์คอมพวิ เตอร์ Service Providers) (Cybersecurity Incident Response ▪ นกั พฒั นาแอปพลิเคชนั (Applications Team) Developers) ▪ ผใู้ ช้ (Users)
4. โครงสร้างความเส่ียงด้านเทคโนโลยสี ารสนเทศ
5.บริหารความเส่ียงด้านเทคโนโลยสี ารสนเทศทาอะไร 1. เพ่ือใหเ้ ป็นไปตามมาตรฐานการบริหารความเส่ียงในระดบั สากล และปฏิบตั ิตามแนวทางเพื่อรักษาความมน่ั คงปลอดภยั ระบบสารสนเทศ เช่น มาตรฐาน ISO/IEC 27001 : 2013 ISO/IEC 27002: 2013, ISO/IEC 27005: 2018 และ COBIT5 เป็นตน้ 2. กระบวนการบริหารความเส่ียง แบ่งเป็น 3 กระบวนการ ➢ การระบุความเส่ียง (Risk Identification) ➢ การประเมินความเส่ียงดา้ นเทคโนโลยสี ารสนเทศ (IT Risk Assessment) ➢ การบรรเทาความเสี่ยงของระบบเทคโนโลยสี ารสนเทศ (IT Risk mitigation) ดงั นี • การควบคุมพืนฐาน (Foundation Controls) • การเขา้ ถงของผใู้ ช้ (User Access) • ความปลอดภยั ของแพลตฟอร์ม (Platform Security) • ความพร้อมใชด้ า้ นเทคโนโลยสี ารสนเทศ (IT Resilience) • การบริหารการเปล่ียนแปลง (Change Management) • การเฝ้าระวงั ความปลอดภยั (Security Monitoring) • การจดั หาเทคโนโลยสี ารสนเทศ (IT Sourcing) • การบริหารความเสี่ยงโครงการดา้ นเทคโนโลยสี ารสนเทศ (IT Project Risk Management) • พืนท่ีความเสี่ยงอื่น ๆ (Other Risk Areas)
กระบวนการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ 1.1 การระบุความเสี่ยง (Risk Identification) ให้ทุกหน่วยงานของธนาคาร และพนกั งานตงั แต่ระดบั ปฏิบตั ิการไปจนถงระดบั บริหาร ในฐานะที่เป็ นผูท้ ราบ และเขา้ ใจกระบวนการหรือขนั ตอนการปฏิบตั ิงาน ตอ้ งระบุจุด ที่มีความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ ในแต่ละผลิตภณั ฑ/์ บริการ โดยพิจารณาจากปัจจยั ต่าง ๆ ทงั นี ส่ิงสาคญั ที่ควรคานงถงคือ สาเหตุที่แทจ้ ริงท่ีทาใหเ้ กิดความเสี่ยงนนั ๆ ซ่งขอ้ มูลที่จะใช้ ช่วยในการระบุความเส่ียงเบืองตน้ เช่น ขอ้ มูลเหตุการณ์ความเสียหายที่เคยเกิดขน ทงั เหตุการณ์ที่สามารถป้องกนั ไดแ้ ละไม่สามารถป้องกนั ได้ ดชั นีชีวดั ความเส่ียง เป็ นเคร่ืองมือที่คาดคะเน ความเส่ียงท่ีอาจเกิดขนในอนาคตจากระดบั ความรุนแรงของปัจจยั เสี่ยงที่ชีวดั ขนั ตอนการปฏิบตั ิงาน ประสิทธิภาพของระบบควบคุมภายใน วฒั นธรรมองคก์ รในการบริหารความเส่ียงดา้ น เทคโนโลยสี ารสนเทศ ความพร้อมของบุคลากรและทรัพยากรที่ใชใ้ นการปฏิบตั ิงาน เป็นตน้ 1.2 การประเมนิ ความเส่ียงด้านเทคโนโลยสี ารสนเทศ (IT Risk Assessment) สามารถจาแนกได้ ดงั นี้ 1.2.1 การประเมินความเส่ียงแบบรวม (Integrated Risk Assessment) หมายถง การประเมินความเสี่ยงจะตอ้ งดาเนินการเพื่อระบุภยั คุกคามที่เก่ียวขอ้ ง ขอบเขตของความเสี่ยงต่อภยั คุกคาม โอกาสท่ีจะเกิด และผลกระทบที่อาจเกิดขนจากภยั คุกคาม เพ่ือบริหารจดั การตามกลยทุ ธ์การบริหารความเสี่ยง ไดแ้ ก่ การยอมรับความเส่ียง (Acceptable Risk) การถ่ายโอนความเส่ียง (Transferable Risk) การหลีกเล่ียงความเส่ียง (Avoidable Risk) การแบ่งปันความเส่ียง (Sharing Risk) เพื่อบริหารจดั การใหอ้ ยใู่ นระดบั เพดานความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศที่ยอมรับได้ (IT Risk Appetite) ของธนาคาร 1.2.2 การประเมินความเส่ียงสารสนเทศ (Information Risk Assessment) หมายถง การประเมินความเสี่ยงโดยละเอียดสาหรับความเส่ียงของขอ้ มูล เช่น การประเมินความเสย่ี งของ แอปพลิชน่ั การประเมินความเสี่ยงของเครือข่าย เป็นตน้ ซ่งขนอยกู่ บั ระดบั การจาแนกประเภทผลกระทบทางธุรกิจท่ีธนาคารกาหนด การจดั การความเสี่ยงดา้ นขอ้ มูลจะเป็ นไปตามหลกั การเพ่ิมประสิทธิภาพความเสี่ยง การลดความเสี่ยงดา้ นขอ้ มูลจะตอ้ งสอดคลอ้ งกบั มูลค่าของสินทรัพยข์ อ้ มูลสาหรับธุรกิจโดย จดั ลาดบั ความสาคญั ของการควบคุมการลงทุนและการใชง้ าน ณ จุดท่ีสินทรัพยด์ า้ นขอ้ มูลมีความเส่ียงมากที่สุดและคานงถงความเสี่ยงทางธุรกิจ เจา้ ของสินทรัพยธ์ ุรกิจจะยอมรับความเสี่ยงของขอ้ มูลตามกฎในมาตรฐานขนั ต่าที่ยอมรับความเส่ียงทนั ทีที่ระดบั ความเส่ียงที่ไดร้ ับการจดั การ (As-Is) ถูกนาไปสู่ระดบั ความเส่ียงท่ี เหลือโดยการใชม้ าตรการตอบสนอง การไม่ยอมรับหรือไม่ปฏิบตั ิตามนโยบายบางส่วนหรือมาตรฐานขนั ต่าจะขนอยกู่ บั การประเมินความเส่ียงปฏิบตั ิตามขนั ตอนความเสี่ยงท่ียอมรับได้
กระบวนการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ 1.2.3 ความสามารถท่จี าเป็ นสาหรับการประเมินความเสี่ยงด้านเทคโนโลยสี ารสนเทศ (Capabilities Required for Performing IT Risk Assessments) หมายถง ผดู้ าเนินการ ประเมินความเสี่ยงของขอ้ มูลดา้ นเทคโนโลยสี ารสนเทศ ควรมีความเขา้ ใจเกี่ยวกบั การควบคุมความปลอดภยั ดา้ นเทคโนโลยีสารสนเทศชนิดต่างๆ ภยั คุกคาม ช่องโหว่ โอกาส ๆ วิธีการ ทางาน และข้อจากัดที่เก่ียวขอ้ ง เป็ นอย่างดี เพ่ือให้มนั่ ใจได้ว่าหน่วยงานบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศมีความรู้ ความเขา้ ใจเพียงพอ จงควรมีการฝกอบรม และ มีประกาศนียบตั รที่เก่ียวขอ้ ง เช่น Certified in Risk and Information Systems Control : CRISC, Certified Information Systems Security Professional : CISSP ,Certified Information Security Management : CISM, ISMS Lead Auditor เป็นตน้ 1.3 การบรรเทาความเส่ียงของระบบเทคโนโลยสี ารสนเทศ (IT Risk mitigation) การบรรเทาผลกระทบท่ีไม่พงประสงค์ ท่ีเกิดจากเหตุการณ์ความมนั่ คงปลอดภยั ดา้ นเทคโนโลยสี ารสนเทศตอ้ งกาหนดระดบั เพดานความเสี่ยงท่ียอมรับได้ และกาหนดแนวปฏิบตั ิท่ีดีของ ธนาคาร ในการจดั การความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ โดยมีการดาเนินการลดความเสี่ยงของขอ้ มูลเป็ นความรับผิดชอบของ The First Line of Defense ซ่งขอ้ กาหนดการควบคุม ขนั พืนฐานอยภู่ ายใตม้ าตรฐานการบริหารความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศในระดบั สากล การปฏิบตั ิตามขอ้ กาหนดการควบคุม จะตอ้ งไดร้ ับการตรวจสอบอยา่ งต่อเน่ืองและรายงานต่อ คณะอนุกรรมการบริหารความเส่ียง การบริหารความเสี่ยงดา้ นเทคโนโลยโี ดยรวม จะครอบคลุมในแต่ละส่วนดงั ต่อไปนี 1.3.1 การควบคุมพืน้ ฐาน (Foundation Controls) การควบคุมพืนฐานเป็ นเง่ือนไขเบืองตน้ สาหรับการลดความเส่ียงท่ีเก่ียวขอ้ งกบั ความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ องคป์ ระกอบสาคญั ของการควบคุมพืนฐานประกอบดว้ ย ความเป็ นเจา้ ของสินทรัพย์ การจดั ประเภทขอ้ มูล ขอ้ มูลสถาปัตยกรรมเทคโนโลยีสารสนเทศ การจดั การการกาหนดค่า ขนั ตอนการปฏิบตั ิงานและความรับผิดชอบ การเผยแพร่และ การส่ือสาร การปฏิบตั ิตามนโยบายของธนาคารและมาตรฐานขนั พืนฐาน และการตระหนกั ถงความมน่ั คงปลอดภยั ของขอ้ มูล
กระบวนการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ 1.3.2 การเข้าถงึ ของผู้ใช้ (User Access) แนวปฏิบตั ิในการใหก้ ารเขา้ ถงสินทรัพยห์ รือระบบไดเ้ ฉพาะผูท้ ่ีไดร้ ับอนุญาต โดยตอ้ งทาให้มน่ั ใจว่าการระบุผูใ้ ช้ การพิสูจน์ตวั ตน การลงทะเบียน รวมถงการจดั การสิทธิ ดาเนินการไปอย่างมีประสิทธิภาพและประสิทธิผล องค์ประกอบสาคญั ของการควบคุมการเขา้ ถงของผูใ้ ชป้ ระกอบดว้ ย การจดั การการเขา้ ถงของผูใ้ ช้ การแบ่งแยกหนา้ ท่ี ขอ้ จากดั การเขา้ ถงขอ้ มูล และการจดั การการเขา้ ถงและระบุตวั ตน 1.3.3 ความปลอดภยั ของแพลตฟอร์ม (Platform Security) แนวปฏิบตั ิในการรับรองวา่ แอปพลิเคชน่ั พนื ฐานและโครงสร้างพืนฐานดา้ นเทคโนโลยสี ารสนเทศท่ีสนบั สนุนกิจกรรมทางธุรกิจ มีความเหมาะสมกบั วตั ถุประสงคข์ องธนาคาร และจดั หา 'แพลตฟอร์ม’ ที่มีความมนั่ คงปลอดภยั ซ่งธนาคารสามารถดาเนินการได้ การปกป้องขอ้ มูล (Cryptographic) หมายถง การปกป้องความลบั ความถูกตอ้ ง และความสมบูรณ์ของ ขอ้ มูลระหว่างการถ่ายโอน และการจดั เก็บขอ้ มูลท่ีมีโครงสร้างและไม่มีโครงสร้างตามการจาแนกประเภทขอ้ มูลท่ีกาหนดโดยธุรกิจกฎหมาย และระเบียบ องคป์ ระกอบที่สาคญั ของ การควบคุมความมนั่ คงปลอดภยั ของแพลตฟอร์ม ประกอบดว้ ยการปรับปรุง ระบบปฏิบตั ิการ การปรับปรุงเครือข่าย จาพวกการรักษาความมนั่ คงปลอดภยั ของแอปพลิเคชันและ ฐานขอ้ มูล แอปพลเิ คชนั ธุรกิจ พืนที่ปฏิบตั ิงาน และอุปกรณ์พกพา 1.3.4 ความพร้อมใช้ด้านเทคโนโลยสี ารสนเทศ (IT Resilience) ในการใชง้ านระบบเทคโนโลยสี ารสนเทศของธนาคาร จะตอ้ งมีการออกแบบ และ/หรือ จดั ทาแผน เพื่อรองรับการทางานเพื่อใหม้ ีความสามารถในการตา้ นทานต่อผลกระทบท่ี เกิดจากจากการหยดุ ชะงกั เวน้ เสียแต่วา่ จะประสบกบั สถานการณ์ท่ีรุนแรงเป้าหมายของการควบคุมความยดื หยนุ่ ของเทคโนโลยสี ารสนเทศ เพื่อป้องกนั การหยดุ ชะงกั ของฮาร์ดแวร์และ ซอฟตแ์ วร์ และศูนยข์ อ้ มูล โดยจะตอ้ งไดร้ ับการออกแบบ เพ่อื ใหส้ ามารถกคู้ ืนการทางานใหก้ บั มาอยใู่ นระดบั ปกติ ตามขอ้ กาหนดของการจดั ประเภทการพร้อมใชง้ าน เมื่อเกิดเหตุการณ์ ที่ส่วนประกอบลม้ เหลว กระบวนการรักษาความพร้อมใชข้ องบริการเทคโนโลยสี ารสนเทศ ตอ้ งช่วยลดผลกระทบจากเหตุการณ์ ไม่พงประสงคท์ ่ีเกิดขนในส่วนของธุรกิจ และสามารถกูค้ ืนสินทรัพย์ ขอ้ มูลจากการสูญเสียไปสู่ระดบั ที่ยอมรับได้ ผ่านการผสมผสานระหว่างการควบคุมเชิงป้องกนั และการกูค้ ืน เช่น แผนบริหารความต่อเน่ืองทางธุรกิจ (BCP) แผนการกอบกูร้ ะบบ สารสนเทศ (IT DRP) แผนการตอบสนองต่อภยั คุกคามทางไซเบอร์ (CSIRP) เป็ นตน้
กระบวนการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ 1.3.5 การบริหารการเปลยี่ นแปลง (Change Management) แนวปฏิบตั ิ ที่ทาใหม้ น่ั ใจว่าการเปล่ียนแปลงในขนั ตอนการปฏิบตั ิงาน กระบวนการทางานของคอมพิวเตอร์ธุรกิจและเทคโนโลยสี ารสนเทศ เป็ นไปอยา่ งมีประสิทธิภาพและเป็ น ระบบ การจดั การการเปล่ียนแปลงครอบคลุมทงั การเปล่ียนแปลงที่เพ่ิมขนของระบบเทคโนโลยสี ารสนเทศที่ใชง้ านอยแู่ ละการพฒั นาและการปรับใชร้ ะบบใหม่ 1.3.6 การเฝ้าระวงั ความปลอดภยั (Security Monitoring) การปฏิบัติสาหรับการติดตามเฝ้าระวงั กิจกรรมท่ีเป็ นภยั คุกคาม ได้แก่ (1) การรักษาความลับของระบบและขอ้ มูล (2) ความถูกต้องเช่ือถือได้ของระบบและข้อมูล และ (3) ความพร้อมใชง้ านของเทคโนโลยีสารสนเทศ ของสินทรัพยข์ อ้ มูลธนาคาร รวมถง การเฝ้าระวงั การเปลี่ยนแปลงขอ้ มูลที่ไม่ไดร้ ับอนุญาต เช่น การตงั ค่าความปลอดภยั ที่สาคญั ความ พยายามเขา้ สู่ระบบไม่สาเร็จหลายครัง และการแทรกแซงของซอฟตแ์ วร์ท่ีเป็นอนั ตราย เป็นตน้ ส่วนประกอบสาคญั ของการติดตามเฝ้าระวงั ความมนั่ คงปลอดภยั ไดแ้ ก่ กรอบการทางานของพนั ธกิจองค์กร นโยบายขนั ตอน กระบวนการ ฟังก์ชัน่ ของซอฟต์แวร์ และ สภาพแวดลอ้ มทางดา้ นเทคนิค (Technical Environments)ในเหตุการณ์ความปลอดภยั และการเฝ้าระวงั เหตุการณ์ไม่พงประสงค์ การปฏิบตั ิตามขอ้ กาหนดทางเทคนิค และการทดสอบการเจาะ ระบบ ซ่งการดาเนินงานติดตามเฝ้าระวงั ความปลอดภยั เป็ นงานหลกั ประจาวนั ของ First Line of Defense เหตุการณ์ไม่พงประสงคด์ า้ นความปลอดภยั และการละเมิดความปลอดภยั ที่ถูก ตรวจจบั ได้ จะตอ้ งรายงานต่อคณะอนุกรรมการกากบั ความเสี่ยง อยา่ งทนั ที 1.3.7 การจดั หาเทคโนโลยสี ารสนเทศ (IT Sourcing) ธนาคารจะตอ้ งมน่ั ใจวา่ ขนั ตอนท่ีจาเป็นทุกขนั ตอนเหมาะสมกบั วตั ถุประสงคก์ ารควบคุมเทคโนโลยสี ารสนเทศตามท่ีกาหนดไว้ ตามที่มีการตกลงกนั ไวอ้ ยา่ งเป็นทางการ เม่ือมีการ นาไปดาเนินการ และการติดตามเฝ้าระวงั ทุกการจดั หาทงั หมด และความเปลี่ยนแปลงที่ตามมาจากการจดั การท่ีเหมาะสม ทงั ในการพฒั นาระบบภายในเอง (IT Insourcing) และ การใชผ้ ใู้ ห้ บริการภายนอกดา้ นเทคโนโลยสี ารสนเทศ (IT Outsourcing) โดยเฉพาะตงั แต่ช่วงเริ่มตน้ ระหวา่ งใชง้ าน ไปจนถงการยกเลิก หรือหมดสญั ญา การจดั การความเสี่ยงดา้ นขอ้ มูลอยา่ งมีประสิทธิภาพในการจดั หาดา้ นเทคโนโลยสี ารสนเทศ จะตอ้ ง อยบู่ นพืนฐานความเขา้ ใจที่ชดั เจนของความเส่ียงทางธุรกิจที่เก่ียวขอ้ งกบั การรักษาความลบั ความสมบูรณ์ และความพร้อมใชง้ านของสินทรัพยข์ องธนาคารดว้ ย ทงั นีในการใชผ้ ใู้ หบ้ ริการภายนอกดา้ นเทคโนโลยสี ารสนเทศ (IT Outsourcing) นนั เพ่ือธนาคารจะสามารถมน่ั ใจวา่ ผใู้ หบ้ ริการสามารถใหบ้ ริการไดอ้ ยา่ งต่อเนื่อง ผบู้ ริการจะตอ้ ง จดั ทาแผนบริหารความต่อเนื่องทางธุรกิจ ตามมาตรฐานสากล ISO/IEC 22301 เพ่ือใหธ้ นาคารตรวจสอบ ก่อนจะมีการลงนามในสญั ญาการใหบ้ ริการดว้ ย
กระบวนการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ 1.3.8 การบริหารความเสี่ยงโครงการด้านเทคโนโลยสี ารสนเทศ (IT Project Risk Management) ในการจดั ทาโครงการดา้ นเทคโนโลยสี ารสนเทศ จะตอ้ งมีการดาเนินการอยา่ งนอ้ ยดงั ต่อไปนี (1) การริเร่ิมโครงการ (Project Initiation) ผจู้ ดั ทาโครงการ จะตอ้ งทาการศกษาความเป็นไปได้ รวมถงความเส่ียงที่อาจจะเกิดขนจากการจดั ทาโครงการ พร้อมแนวทางการบรรเทาความเสี่ยง (Risk Mitigation) ในฐานะเจา้ ของความเส่ียง (Risk Owner) พร้อมทงั ส่งใหส้ ่วนงานบริหารความเส่ียงดา้ นเทคโนโลยสี ารสนเทศ ฝ่ ายบริหารความเสี่ยง เพอ่ื พจิ ารณาใหค้ วามเห็นในส่วนที่เกี่ยวขอ้ ง (2) การจดั ทาแผนโครงการ (Project Plan) ผจู้ ดั ทาโครงการ จะตอ้ งจดั ทาแผนการดาเนินการโครงการ ซ่งประกอบดว้ ย ช่ือชินงาน (Task Name) ระยะเวลาท่ีดาเนินการ (Time Line) จุดเชื่อมต่องานที่สาคญั (Critical Path) ที่กระทบ ต่อระยะเวลาเสร็จสินโครงการ ผรู้ ับผดิ ชอบชินงาน (Person to Action: PTA) พร้อมทงั ส่งใหส้ ่วนงานบริหารความเส่ียงดา้ นเทคโนโลยสี ารสนเทศ ฝ่ ายบริหารความเสี่ยง เพ่อื ทราบ (3) การดาเนินโครงการ (Project Execution) ผจู้ ดั การโครงการ จะตอ้ งบริหารจดั การความเสี่ยงของโครงการ ใหส้ อดคลอ้ งกบั แผนโครงการ พร้อมรายงานส่งใหส้ ่วนงานบริหารความเส่ียงดา้ นเทคโนโลยสี ารสนเทศ ฝ่ ายบริหารความ เสี่ยง เม่ือเกิดความเส่ียงท่ีมีผลกระทบกบั ระยะเวลาโครงการ (Time) ค่าใชจ้ ่ายในโครงการ (Cost) และ คุณภาพของโครงการ (Quality) (4) การประเมินวดั ผล และปิ ดโครงการ (Project Measurable and Closure) ผจู้ ดั การโครงการ จะตอ้ งทาการประเมินผลโครงการ คุณภาพของโครงการ ปัญหาและอุปสรรค วิธีการแกไ้ ขใหส้ าเร็จ พร้อมทงั ส่งใหส้ ่วนงานบริหารความเส่ียงดา้ นเทคโนโลยสี ารสนเทศ ฝ่ ายบริหารความเส่ียง เพอ่ื จดั ทา Lesson Learned 1.3.9 พืน้ ทค่ี วามเส่ียงอ่ืน ๆ (Other Risk Areas) พืนที่ความเสี่ยงทงั หมดท่ีไม่รวมถงพืนท่ีความเสี่ยงที่ระบุไวก้ ่อนหน้า หรืออาจมีการเกิดขนใหม่ในอนาคต เช่น ภยั คุกคามดา้ นไซเบอร์ การกากบั ด้านเทคโนโลยีสารสนเทศ (IT Governance) คุณภาพของขอ้ มูล (Data Quality) การละเมิดขอ้ มูลสาคญั (Sensitive Data Violation) ของธนาคาร เป็นตน้ โดยธนาคารจะดาเนินการตามหลกั เกณฑท์ ี่หน่วยงานกากบั ดูแล กาหนด เช่น ความมน่ั คงปลอดภยั ทางไซเบอร์ (Cyber Security) การกากบั ดูแลตามหลกั ธรรมาภิบาลดา้ นเทคโนโลยสี ารสนเทศ (IT Governance) การกากบั ดูแลขอ้ มูล (Data Governance) เป็ นตน้
“OPERATION & INTERNAL CONTROL” DIVISION
1. การบริหารความเส่ียงด้านปฏบิ ัติการและควบคุมภายใน ความเสี่ยงด้านปฏบิ ตั ิการ : ความเสี่ยงทจ่ี ะเกดิ ความสูญเสียอนั เนื่องมาจากความไม่เพยี งพอหรือ ล้มเหลวของกระบวนการปฏบิ ัตงิ าน บุคลากร ระบบงาน หรือปัจจัยภายนอก • ความสามารถไม่เพยี งพอ • ความผดิ พลาดจากวิธีการ • ประมาทเลินเล่อ • ทจุ รติ • ความผดิ พลาดจากการทา • พง่ึ พาบุคคลหลัก รายการ • การอนุมัตริ ายการ บคุ ลากร กระบวนการ ปฏบิ ตั ิงาน • ระบบงานขัดข้อง เทคโนโลยี ปจั จยั ภายนอก • การปฏบิ ัตไิ ม่เป็ นไปตาม • ระบบสื่อสารขัดข้อง • ความปลอดภยั ของข้อมูล • สัญญาของ • Programming Error Vendors/Suppliers • ภยั พบิ ตั ติ า่ ง ๆ
1. การบริหารความเส่ียงด้านปฏบิ ตั กิ ารและควบคุมภายใน ประโยชน์ของเครื่องมือในการจดั การความเสี่ยงด้านปฏิบตั ิการ การขาดการกากบั ดูแลกจิ การทด่ี ี หรือขาดธรรมาภบิ าลในองค์กร ได้ กาหนดเครื่องมือไว้ 2 ชนิด การจัดเกบ็ เหตุการณค์ วาม การประเมินความเสย่ี งดว้ ย ความโปร่งใสในการดาเนินงาน การปฏิบัตติ ามหลักเกณฑข์ องผู้ เสยี หาย (Loss data Report) ตนเอง (RCSA& KRI) กากับดูแล • วเิ คราะหห์ าสาเหตุ และเป็น • ช่วยในการคน้ หาความเส่ียง • ระบสุ าเหตหุ ลกั และตน้ ทนุ ท่ีเกิดขนึ้ • ปฏิบตั ติ ามเกณฑ์ ธปท. ขอ้ มลู ท่ีใชใ้ นการปอ้ งกนั ท่ีเกิดขนึ้ กบั หน่วยงาน จากความเส่ียง • เพ่ือเตรยี มความพรอ้ มในการรองรบั และบรหิ ารความเส่ียง • จดั ลาดบั ความสาคญั ของกิจกรรมท่ี การคานวณเงินกองทนุ Advanced ทาใหเ้ กิดความเส่ียง Approaches ในอนาคต • ปรบั ปรุงกระบวนการทางานได้ อยา่ งมีประสิทธิภาพ การบรกิ ารลูกค้า ผลประโยชนด์ า้ นการเงนิ - แกป้ ัญหาใหแ้ ก่ลกู คา้ ไดอ้ ย่าง - ลดตน้ ทนุ ในการดาเนินงาน ถกู ตอ้ ง • ลดเงินกองทนุ ท่ีธนาคารตอ้ งดารงไว้ • สนบั สนนุ บรกิ ารลกู คา้ ไดอ้ ย่างดี ตามท่ี ธปท. กาหนด มากย่งิ ขนึ้
Loss Event Type Let2 Let4 Let7 Let1 Let6 Let3 Let5
2. ตารางการจาแนกประเภทเหตุการณ์ความเสียหายด้านปฏบิ ัติการ ประเภทเหตุการณ์ คาจากดั ความ ประเภทเหตุการณ์ย่อย ตัวอย่างกจิ กรรม ควา ม เ สี ย หา ย ท่ี เ กิ ด จา ก ก า รก ระ ท า โ ดย เจ ตนา ขอ งบุ คค ล (ระดับท่ี 2) (ระดบั ที่ 1) ภายในหรือบุคคลท่ีเก่ียวขอ้ งกบั ธนาคาร ตงั แต่ 1 คนขนไป (ระดบั ที่ 3) 1. ความเสียหายจากการฉ้อโกง เพือ่ ฉอ้ โกง เพอ่ื ใชท้ รัพยส์ ินของธนาคารในทางท่ีไม่เหมาะสม ▪ การทาธุรกรรมโดยไม่ไดร้ ับ ▪ การทาธุรกรรมโดยไมไ่ ดร้ ายงาน (โดยเจตนา) โ ด ย บุ ค ค ล ภ า ย ใ น (Internal หรือเพื่อหลีกเล่ียง กฎหมาย หลักเกณฑ์ของทางการ หรื อ อนุญาต ▪ การทาธุรกรรมโดยไม่ไดร้ ับอนุญาต (มีความเสียหายท่ีเป็ นตวั เงิน Fraud) นโยบายของธนาคารโดยไม่รวมถงกรณีท่ีธนาคารถูกฟ้องร้อง เรียกค่าเสียหายจากการไม่ปฏิบตั ิตาม ขอ้ กาหนดดา้ นความ ▪ การขโมยและการฉอ้ โกง เกิดขน) หลากหลายของพนกั งาน (Diversity) หรือการเลือกปฏิบตั ิ ▪ การบนั ทกธุรกรรมหรือฐานะไมถ่ ูกตอ้ ง (โดยเจตนา) ▪ การฉอ้ โกง การฉอ้ โกงดา้ นเครดิต การฝากเงินโดยไม่มี เมด็ เงินท่ีแทจ้ ริง ▪ การขโมย การข่กู รรโชก การยกั ยอก การโจรกรรม ▪ การใชท้ รัพยส์ ินของธนาคารในทางที่ไม่ เหมาะสม ▪ การทาลายทรัพยส์ ินของธนาคารโดยเจตนา ▪ การปลอมแปลงต่าง ๆ ▪ การโอนเงินผ่านเช็คโดยไม่มีเม็ดเงินท่ีแท้จริ ง (Check Kiting) ▪ การลกั ลอบนาสิ่งของเขา้ หรือออกจากธนาคารโดยไม่ไดร้ ับ อนุญาต ▪ การลกั ลอบใชบ้ ญั ชีของผอู้ ่ืน (Account Take-Over) หรือ การ ปลอมเป็นบุคคลอ่ืน (Impersonation) ▪ การไม่ปฏิบตั ิตามหลกั เกณฑท์ างดา้ นภาษีหรือการหลบเล่ียง ภาษี (โดยเจตนา) ▪ การติดสินบน หรือการใหเ้ งินใตโ้ ตะ๊ ▪ การทาธุรกรรมซือขายหลกั ทรัพยโ์ ดยใชข้ อ้ มูลภายใน (Insider Trading) (ไมไ่ ดท้ าผา่ นบญั ชีของธนาคาร)
2. ตารางการจาแนกประเภทเหตุการณ์ความเสียหายด้านปฏบิ ตั ิการ ประเภทเหตุการณ์ คาจากดั ความ ประเภทเหตุการณ์ย่อย ตัวอย่างกจิ กรรม (ระดับที่ 1) ความเสียหายท่ีเกิดจากการกระทาโดยเจตนาของบุคคล ที่ไม่ (ระดับท่ี 2) (ระดบั ท่ี 3) มีความเก่ียวขอ้ งกบั ธนาคาร เพ่ือ ฉอ้ โกง เพ่ือใชท้ รัพยส์ ินของ 2. ความเสียหายจากการฉ้อโกง ธนาคาร ในทางท่ีไม่เหมาะสม หรือเพ่ือหลีกเล่ียงกฎหมาย ▪ การขโมยและการฉอ้ โกง ▪ การขโมย การโจรกรรม โดยบุคคลภายนอก (External ▪ การปลอมแปลงต่าง ๆ Fraud) ความเสียหายที่เกิดจากการกระทาที่ไม่สอดคลอ้ งกบั กฎหมาย ▪ ความปลอดภยั ของระบบงาน ▪ การโอนเงินผา่ นเช็คโดยไม่มีเมด็ เงินท่ีแทจ้ ริง (Check Kiting) หรื อข้อตกลงท่ีเก่ียวข้องกับการจ้างงาน สุขภาพ หรื อ ▪ ความเสียหายจากการถกู ลกั ลอบเขา้ ระบบ 3. ความเสียหายจากแนวปฏบิ ัติ ความปลอดภยั ในที่ทางาน หรือเกิดจากการจ่าย ค่าชดเชย ▪ ความสมั พนั ธก์ บั พนกั งาน ▪ การขโมยขอ้ มลู (มีความเสียหายท่ีเป็นตวั เงินเกิดขน) เกยี่ วกบั การจ้างงานและความ ให้แก่พนกั งานท่ีไดร้ ับบาดเจ็บจากการทางาน หรือเกิดจาก ▪ ประเดน็ เก่ียวกบั ค่าตอบแทน ผลประโยชน์ และการเลิกจา้ งงาน ปลอดภัยของพนักงาน การไม่ปฏิบัติตามข้อกาหนดด้านความ หลากหลายของ ▪ สภาพแวดลอ้ มการทางานท่ี ▪ กิจกรรมของสหภาพแรงงานหรือการรวมตวั ของพนกั งาน (Employment Practices and พนกั งานหรือการเลือกปฏิบตั ิ ปลอดภยั ▪ ภาระความรับผิดทวั่ ไป (เช่น การลื่นหกลม้ ) Workplace Safety) ▪ เหตุการณ์เก่ียวกบั ระเบียบขอ้ บงั คบั ดา้ นสุขภาพและความ ปลอดภยั ความเสียหายที่เกิดจากการไม่สามารถปฏิบตั ิตามขอ้ ผูกพนั ที่มี ▪ ความหลากหลายของพนกั งานและ 4. ความเสียหายจากแนวปฏิบตั ิ กบั ลูกคา้ (รวมถง ขอ้ กาหนดเก่ียวกบั การทาหน้าที่ ผูไ้ ดร้ ับ การเลือกปฏิบตั ิ ของพนกั งาน เกย่ี วกบั ลูกค้า ผลติ ภณั ฑ์ และ การ มอบหมายให้จดั การดูแลทรัพยส์ ิน และความ เหมาะสมของ ▪ การจ่ายค่าชดเชยใหแ้ ก่พนกั งาน ดาเนินธุรกจิ (Clients, Products การปฏิบตั ิหนา้ ที่) โดยไม่ไดต้ งั ใจ หรือเพราะ ความละเลย หรือ ▪ ความเหมาะสมของการปฏิบตั ิ ▪ การเลือกปฏิบตั ิทุกประเภท and Business Practices) เกิดจากลกั ษณะของผลิตภณั ฑ์ หรือการ ออกแบบผลิตภณั ฑ์ หนา้ ที่ การเปิ ดเผยขอ้ มูล และ การทาหนา้ ท่ีผไู้ ดร้ ับมอบหมาย ▪ การไม่ปฏิบตั ิตามขอ้ กาหนดเก่ียวกบั การทาหนา้ ที่ผไู้ ดร้ ับมอบหมาย ใหจ้ ดั การดูแลทรัพยส์ ิน ใหจ้ ดั การดูแลทรัพยส์ ิน และการฝ่ าฝื นแนวปฏิบตั ิ ▪ ประเดน็ เก่ียวกบั ความเหมาะสมของการปฏิบตั ิหนา้ ท่ีและ การเปิ ดเผย ขอ้ มลู ▪ การฝ่ าฝื นหลกั เกณฑก์ ารเปิ ดเผยขอ้ มลู ของลูกคา้ รายยอ่ ย ▪ การละเมิดสิทธิส่วนบุคคล (Breach of Privacy) ▪ การเสนอขายที่มีลกั ษณะคุกคามลกู คา้ ▪ การทาธุรกรรมเพ่ือบัญชีลูกคา้ เป็ นจานวนมาก เพ่ือให้ได้ค่านายหน้า สูงขน (Account Churning) ▪ การนาขอ้ มลู ที่ควรปกปิ ดเป็นความลบั ไปใชใ้ นทางที่ผิด ▪ ภาระความรับผดิ ชอบของผใู้ หก้ ู้
2. ตารางการจาแนกประเภทเหตุการณ์ความเสียหายด้านปฏบิ ัติการ ประเภทเหตุการณ์ คาจากดั ความ ประเภทเหตุการณ์ย่อย ตวั อย่างกจิ กรรม (ระดบั ที่ 1) (ระดับท่ี 2) (ระดบั ท่ี 3) 4. ความเสียหายจากแนวปฏบิ ตั ิ เกย่ี วกบั ▪ วธิ ีปฏิบตั ิเก่ียวกบั การดาเนินธุรกิจ ▪ การผกู ขาดผลิตภณั ฑห์ รือบริการ ลกู ค้า ผลติ ภัณฑ์ และ การดาเนินธุรกจิ หรือการตลาดท่ีไม่เหมาะสม ▪ วธิ ีปฏิบตั ิดา้ นการท าธุรกรรมหรือการตลาดที่ไม่เหมาะสม (Clients, Products and Business ▪ การป่ันหุน้ หรือตลาดอื่น ๆ (Market Manipulation) Practices) ▪ ขอ้ บกพร่องของผลิตภณั ฑ์ ▪ การทาธุรกรรมซือขายหลกั ทรัพยโ์ ดยใชข้ อ้ มูลภายใน (โดยทา ผา่ นบญั ชีของสถาบนั การเงินเฉพาะกิจเอง) ▪ การทาธุรกรรมท่ีไมไ่ ดร้ ับอนุญาตจากทางการ ▪ การฟอกเงิน ▪ ขอ้ บกพร่องของผลิตภณั ฑ์ (เช่น ยงั ไมไ่ ดร้ ับอนุญาต) ▪ ขอ้ ผดิ พลาดของแบบจาลอง (ถา้ มี) ▪ การคดั เลือกการใหก้ ารสนบั สนุน ▪ การไม่สามารถตรวจสอบลูกคา้ ไดต้ ามหลกั เกณฑท์ ่ีกาหนด และ การทาธุรกรรมหรือมีฐานะ ▪ การทาธุรกรรมหรือมีฐานะ (Exposure) กบั ลูกคา้ เกินกวา่ ระดบั (Exposure) กบั ลูกคา้ ท่ีกาหนด ▪ การทาหนา้ ท่ีใหค้ าปรกษา ▪ เกิดกรณี โต้แย้งในเรื่ องผลงานจากการปฏิบัติหน้าท่ีให้ คาปรกษา
2. ตารางการจาแนกประเภทเหตุการณ์ความเสียหายด้านปฏบิ ัติการ ประเภทเหตุการณ์ คาจากดั ความ ประเภทเหตุการณ์ย่อย ตวั อย่างกจิ กรรม (ระดบั ที่ 1) ค ว า ม เ สี ย ห า ย ต่ อ ท รั พ ย์ สิ น อั น (ระดบั ท่ี 2) (ระดบั ที่ 3) เนื่องมาจากภยั พิบตั ิ ทางธรรมชาติหรือ 5. ความเสียหายต่อทรัพย์สิน (Damage to เหตุการณ์อื่น ๆ ▪ ภยั พิบตั ิหรือเหตุการณ์อ่ืน ๆ ▪ ความเสียหายจากภยั พิบตั ิทางธรรมชาติ Physical Assets) ความเสียหายจากการที่ธุรกิจหยดุ ชะงกั หรือ ▪ ความเสียหายที่เกิดขนจากการกระทาของบุคคลภายนอกองคก์ ร ระบบงาน ขดั ขอ้ งโดยไม่สามารถใชง้ านได้ ▪ ระบบงาน 6.ความเสียหายจากการท่ธี ุรกจิ หยดุ ชะงกั และ ตามปกติ เช่น การก่อการร้าย การทาลายทรัพยส์ ิน ระบบงานขดั ข้อง โดยไม่สามารถใช้งานได้ ▪ การนาขอ้ มูลเขา้ สู่ระบบ การปฏิบตั ิการ ตามปกติ (Business Disruption and System และการเกบ็ รักษาขอ้ มูลเก่ียวกบั การทาง ▪ เครื่องมือ อุปกรณ์ (Hardware) Failures) ธุรกรรม ▪ โปรแกรม (Software) ▪ โทรคมนาคม 7. ความเสียหายจากการปฏบิ ตั กิ ารส่งมอบและ ความเสียหายที่เกิดจากความลม้ เหลวของ ▪ การหยดุ ชะงกั หรือการไมม่ ีสาธารณูปโภคต่าง ๆ ใชใ้ นช่วง การจดั การกระบวนการ (Execution, Delivery การประมวลผล การทาธุรกรรม หรือการ and Process Management) จัดการกระบ วนการ หรื อท่ี เ กิ ด จา ก เวลาหน่ง ความสมั พนั ธ์กบั คู่สญั ญาและผใู้ ห้ บริการ ▪ การส่ือสารผดิ พลาด ▪ ความผิดพลาดในการนาขอ้ มลู เขา้ สู่ระบบ การเกบ็ รักษา หรือการ ดงขอ้ มลู ▪ ไม่สามารถปฏิบตั ิงานไดต้ ามกาหนดเวลา หรือตามหนา้ ท่ี ที่ ไดร้ ับมอบหมาย ▪ การปฏิบตั ิงานของระบบงานหรือแบบจาลอง (ถา้ มี) ผิดพลาด ▪ ความผดิ พลาดทางดา้ นบญั ชี ▪ ความผดิ พลาดของการปฏิบตั ิงานอ่ืนๆ ▪ ความลม้ เหลวในการส่งมอบ ▪ ความลม้ เหลวในการบริหารหลกั ประกนั ▪ ความเสียหายหรือความผดิ พลาดในการเกบ็ รักษาขอ้ มูลที่ใชอ้ า้ งอิง
2. ตารางการจาแนกประเภทเหตุการณ์ความเสียหายด้านปฏบิ ตั ิการ ประเภทเหตุการณ์ คาจากดั ความ ประเภทเหตุการณ์ย่อย ตัวอย่างกจิ กรรม (ระดับที่ 2) (ระดบั ท่ี 1) (ระดบั ท่ี 3) 7. ความเสียหายจากการปฏบิ ตั กิ ารส่ง ▪ การติดตามและการรายงาน ▪ การไม่สามารถรายงานขอ้ มูลไดต้ ามขอ้ กาหนด มอบและการจัดการกระบวนการ ▪ การรับคาส่ังของลูกคา้ และการจดั ทาเอกสาร ▪ รายงานที่ส่งออกไปยงั ภายนอกไม่ถูกตอ้ ง (มีความเสียหาย (Execution, Delivery and Process ▪ การบริหารจดั การบญั ชีของลูกคา้ Management) เกิดขน) ▪ คู่สญั ญาของสถาบนั การเงินเฉพาะกิจ ▪ เอกสารหรือข้อความเกี่ยวกับการให้ความยินยอมของ ลูกคา้ หรือการปฏิเสธความรับผดิ สูญหาย ▪ เอกสารทางดา้ นกฎหมายสูญหายหรือไมค่ รบถว้ น ▪ การเขา้ ถงบญั ชีของลูกคา้ โดยไม่ไดร้ ับอนุญาต ▪ การบนั ทกขอ้ มูลลูกคา้ ไม่ถูกตอ้ ง (มีความเสียหายเกิดขน) ▪ ทรัพยส์ ินของลูกคา้ สูญหายหรือเสียหายเพราะความละเลย ของ ธนาคาร ▪ ความผดิ พลาดจากการปฏิบตั ิงานของคู่สญั ญาที่ไมใ่ ช่ลูกคา้ ▪ เกิดกรณีโตแ้ ยง้ กบั คู่สัญญาที่ไม่ใช่ลูกคา้ ▪ ผใู้ หบ้ ริการ หรือผจู้ ดั หาบริการใหก้ บั ▪ การใช้บริการจากผูใ้ ห้บริการสนับสนุนการประกอบธุ รกิจ ธนาคาร (Business Facilitator) ▪ เกิดกรณีโตแ้ ยง้ กบั ผใู้ หบ้ ริการ
3. เหตุการณ์ทต่ี ้องรายงานเหตุการณ์ความเสียหาย
4.นโยบายการบริหารความต่อเน่ืองทางธุรกจิ (Business Continuity Management: BCM) นโยบายการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) ถือเป็ นส่วนหน่งของ นโยบายและแนวทางการบริหารความเส่ียงดา้ นปฏิบตั ิการ ( Operation Risk Management Policy & Guideline ) ของ ธนาคาร เพอ่ื ใชเ้ ป็นแนวทางในการจดั ทาแผนรองรับการดาเนินธุรกิจอยา่ งต่อเนื่อง ( Business Continuity Plan ) เม่ือ เกิดเหตุการณ์หรือภาวะวิกฤตต่างๆ มีผลใหก้ ารดาเนินงานท่ีสาคญั ของธนาคารหยุดชะงกั และอาจก่อใหเ้ กิดความ เสียหายของธนาคารได้ และใหเ้ ป็นไปตามแนวปฏิบตั ิธนาคารแห่งประเทศไทย เร่ือง การบริหารความต่อเน่ืองทาง ธุรกิจ (Business Continuity Management: BCM) และการจดั ทาแผนรองรับการดาเนินธุรกิจอยา่ งต่อเนื่อง (Business Continuity Plan: BCP) วงจรการบริหารความต่อเนื่องทางธุรกจิ (Business Continuity Management Lifecycle : BCM Lifecycle) หมายถง กระบวนการดาเนินการในการบริหารความต่อเนื่องทางธุรกิจขององคก์ รท่ีครอบคลุมทงั ระดบั การจดั ทา นโยบาย และมีกระบวนการดาเนินงานที่ต่อเน่ืองเป็นวงจร ตงั แต่การวางแผน การดาเนินการตามแผน การติดตาม และการประเมินและทบทวนแผน เพ่ือใหส้ ามารถรองรับเหตุการณ์หยดุ ชะงกั ทางธุรกิจไดอ้ ยา่ งมีประสิทธิภาพ และ มีการพฒั นาปรับปรุงอยา่ งสม่าเสมอ
5. แผนรองรับการดาเนินธุรกจิ อย่างต่อเน่ือง (Business Continuity Plan: BCP) แผนรองรับการดาเนินธุรกจิ อย่างต่อเน่ือง (Business Continuity Plan: BCP) กระบวนการรองรับภาวะวิกฤติ หรือเหตุการณ์ความเสียหายดงั กล่าวขา้ งตน้ จงเป็ นสิ่งสาคญั ท่ีจะช่วยรับมือกบั เหตุการณ์ที่ไม่คาดคิด และช่วยใหธ้ ุรกรรมงานที่สาคญั ของธนาคาร (Critical Business Functions) กลบั มาดาเนินการ ไดใ้ นเวลาท่ีเหมาะสม ซ่งจะช่วยลดผลกระทบทางการเงิน กฎหมาย ชื่อเสียง และผลกระทบอ่ืน ๆ ที่อาจเกิดขนกบั ธนาคาร ดงั นนั ธนาคารจงจาเป็นตอ้ งมี BCP ที่มีประสิทธิภาพ และสามารถนามาใชง้ านไดจ้ ริงเม่ือเกิดภาวะวิกฤติ หรือ เหตุการณ์ฉุกเฉินขน โดยให้บรรลุเป้าหมายสาคญั ที่ตงั ไว้ คือสามารถกลบั มาดาเนินธุรกิจและให้บริการอย่างต่อเนื่อง หรืออยา่ งนอ้ ยกใ็ กลเ้ คียงกบั ในสภาวะปกติ แผนรองรับขณะเกิดภาวะวิกฤติหรือเหตุการณ์ฉุกเฉิน (Emergency Plan) แนวทางการปฏิบตั ิในการดาเนินการเม่ือเกิดเหตุการณ์วิกฤติร้ายแรง เพ่ือให้สามารถระงบั เหตุไดอ้ ยา่ งมีประสิทธิภาพ โดยเป็นแผนระดบั องคก์ ร ซ่งเป็นแนวทางปฏิบตั ิสาหรับพนกั งานทวั่ ทงั องคก์ ร ใหป้ ฏิบตั ิไปในแนวทางเดียวกนั ไดแ้ ก่ 1) กรณีเกิดเหตุการณ์ทางเศรษฐกิจ / กายภาพ เช่น การประทว้ งของพนกั งานและการชุมนุมทางการเมือง เป็นตน้ 2) กรณีเกิดเหตุการณ์ภยั ธรรมชาติ อาทิ อุทกภยั อคั คีภยั วาตภยั สนามิ และโรคระบาด เป็นตน้ 3) กรณีเกิดเหตุการณ์จากภยั มนุษย์ เช่น การก่อการร้าย การก่อวินาศกรรม เป็นตน้ 4) กรณีเกิดจากระบบคอมพิวเตอร์ เช่น ศูนยค์ อมพิวเตอร์เกิดDisaster ขอ้ มูลถูกโจรกรรม ระบบ Network ล่ม เป็นตน้ กรณีเกิดจากการเส่ือมเสียชื่อเสียง เช่น ถูกฟ้องร้องดาเนินคดีท่ีร้ายแรง ขา่ วลือในทางเสียหายแก่ธนาคาร เป็นตน้ กรณีเกิดการระบาดของโรคติดต่อยา่ งร้ายแรง เช่น เกิดการติดเชือไวรัสโรคระบาดในสตั ว์ เกิดการระบาดของเชือไวรัส โรคระบาดติดต่อจากคนสู่คน เป็นตน้
6. . การควบคุมภายใน (Internal Control) ระบบการควบคมุ ภายในซ่ึงเป็นหวั ใจสาคญั ในการบรหิ ารจดั การภายในองคก์ ร ท่ีผบู้ ริหารและพนักงานทุก ระดบั ตอ้ งกากบั ดแู ล ตรวจสอบ ควบคมุ และถือเป็นสว่ นหน่งึ ในการปฏิบตั ิงานปกตใิ นการดาเนินงาน โครงสรา้ งระบบ การควบคมุ ภายในท่ีดีเป็นพืน้ ฐานสาคญั ของการบริหารงานใหเ้ กิดประโยชนส์ งู สดุ ตอ่ ธนาคารโดยรวม เพ่ื อใหเ้ ป็นไป ตามแนวทางของ The Committee of Sponsoring Organization of the Treadway Commission (COSO) ธนาคาร แหง่ ประเทศไทย และกระทรวงการคลงั ดงั นนั้ การมีกระบวนการการควบคมุ ภายในท่ีดี จงึ เป็นปัจจยั สาคญั ย่ิงท่ีจะทาใหธ้ นาคารอิสลามแห่งประเทศ ไทย มีความพรอ้ มท่ีจะสามารถรับมือกับการเปล่ียนแปลงต่าง ๆ ได้ นอกจากนีธ้ นาคารอิสลามแห่งประเทศไทย มีหนา้ ท่ีปฏิบตั ิตามพระราชบญั ญัติวินยั การเงินการคลงั ของรฐั พ.ศ. 2561 ตามหลกั เกณฑก์ ระทรวงการคลงั ว่าดว้ ย มาตราฐานและหลกั เกณฑป์ ฏิบตั กิ ารควบคมุ ภายในสาหรบั หนว่ ยงานของรฐั พ.ศ. 2561 การควบคุมภายใน (Internal Control) หมายถึง กระบวนการปฏิบตั งิ านท่ีผกู้ ากบั ดแู ล ฝ่ ายบรหิ ารและบุคลากร แผนการควบคุมภายใน แบ่งองคป์ ระกอบของการควบคุมภายใน 5 องคป์ ระกอบ ของธนาคารจดั ใหม้ ีขึน้ เพ่ือสรา้ งความม่นั ใจอย่างสมเหตสุ มผลว่าการดาเนินงานของธนาคารอิสลามแห่งประเทศไทย ตามหลกั เกณฑก์ ระทรวงการคลงั ว่าดว้ ยมาตรฐานและหลกั เกณฑป์ ฏิบตั ิการควบคมุ จะบรรลุวัตถุประสงค์ ด้านการดาเนินงาน ด้านการรายงาน และดา้ นการปฏิบัติตามกฎหมาย ระเบียบ และบังคับ ภายในสาหรบั หนว่ ยงานของรฐั พ.ศ.2561 ดงั นี้ ดงั ตอ่ ไปนี้ 1. สภาพแวดลอ้ มการควบคมุ (Control Environment) 1. ดา้ นการดาเนนิ งาน ( Operation : O ) หมายถึง ความมีประสทิ ธิผลและประสทิ ธิภาพของการดาเนนิ งาน รวมถงึ 2. การประเมินความเส่ียง (Risk Assessment) บรรลเุ ปา้ หมายดา้ นการดาเนินงานดา้ นการเงิน ตลอดจนการใชท้ รพั ยากร การดแู ลรกั ษาทรพั ยส์ นิ การป้องกนั หรือ 3. กิจกรรมการควบคมุ (Control Activities) ลดความผิดพลาดของธนาคาร ตลอดจนความเสียหาย การร่วั ไหล การสนิ้ เปลือง หรือการทจุ รติ ภภายในธนาคาร 4. สารสนเทศและการส่ือสาร (Information and Communication) 5. กิจกรรมการตดิ ตามผล (Monitoring Activities) 2. ดา้ นการรายงาน (Reporting Objectives) หมายถึง การรายงานทางการเงิน และไมใ่ ชท่ างการเงินท่ีใชภ้ ายใน และภายนอกหนว่ ยงานของรฐั รวมถงึ การรายงานท่ีเช่ือถือไดท้ นั เวลา โปรง่ ใส หรือขอ้ กาหนดอ่ืนของธนาคาร 3. การปฏิบตั ติ ามกฎหมาย และระเบยี บบงั คบั ท่ีเก่ียวขอ้ ง ( Compliance : C ) ไดแ้ ก่ การปฏิบตั ติ ามกฎหมาย ระเบียบ ขอ้ บงั คบั หรอื มตทิ ่ีประชมุ คณะรฐั มนตรที ่ีเก่ียวขอ้ งกบั การดาเนินงาน รวมทงั้ ขอ้ กาหนดอ่ืนของธนาคาร
7. แผนการควบคุมภายใน ปี 2564 แนวทางการประเมนิ ความเสี่ยงดว้ ยตนเอง (RCSA) และการกาหนดดชั นีชวี้ ดั KRIs ธนาคารไดม้ ีการจดั ทาค่มู ือการปฏิบัติงานการประเมินความเส่ียงดว้ ยตนเอง ( RCSA) และการกาหนด ดัชนีชีว้ ัด KRIs ไว้ ซ่ึงครอบคลุมถึงแผนผงั การดาเนินงานโดยรวม ขั้นตอนการปฏิบัติงาน หนา้ ท่ีความ รบั ผดิ ชอบ ในกระบวนการประเมินความเส่ียงดว้ ยตนเอง (RCSA) รวมทง้ั การกาหนดและการรายงานแผน จดั การความเส่ียงและขอ้ มลู ดชั นีชีว้ ดั ความเส่ียง(KRIs) และระยะเวลาในการนาส่งรายงานความคืบหนา้ แผนจดั การความเส่ียง และรายงานการจดั เก็บดชั นีชีว้ ดั ความเส่ียง (KRIs) เพ่ือใหห้ น่วยงานต่าง ๆ นาไป ปฏบิ ตั ิใหเ้ ป็นไปในแนวทางเดียวกนั ‘’Operation risk & Internal Control Division’’ ส่วนบริหารความเส่ยี งด้านปฏบิ ตั กิ ารและควบคุมภายใน ฝ่ ายบริหารความเส่ียง
Internal Control
แนวคดิ ความหมาย ❖ กลไกทจี่ ะทาให้บรรลุวตั ถุประสงค์ การควบคุม ด้านการดาเนินงาน การรายงาน การปฏบิ ตั ติ ามกฎ ระเบียบ ด้านใดด้านหนึ่ง หรือหลายด้าน ❖ ส่วนประกอบทแี่ ทรกอย่ใู นงานตามปกติ ทาเป็ นข้ันตอนต่อเนื่อง ❖ เกดิ ขึน้ ได้โดยผ้กู ากบั ดูแล ฝ่ ายบริหาร ผ้ปู ฏิบตั ิงาน และผ้ตู รวจสอบภายใน มิใช่เพยี ง นโยบาย ระบบงาน คู่มือการปฏบิ ัติงาน แบบฟอร์มดาเนินงานเท่าน้ัน ต้องมกี ารปฏิบัติ ❖ ให้ความเช่ือมน่ั อย่างสมเหตุสมผลว่าจะบรรลวุ ตั ถุประสงค์ของหน่วยงาน ❖ ควรกาหนดให้เหมาะสมกบั โครงสร้างองค์กรและภารกจิ ของหน่วยงาน การควบคุมภายใน กระบวนการปฏบิ ตั ิงานทีผ่ ้กู ากบั ดูแล หวั หน้าหน่วยงาน ฝ่ ายบริหาร บุคลากรของหน่วยงาน จัดให้มี ขนึ้ เพ่ือสร้างความม่ันใจอย่างสมเหตุสมผลว่าการดาเนินงานจะบรรลวุ ตั ถุประสงค์ด้านการดาเนินงาน ด้านการรายงาน และด้านการปฏบิ ัตติ ามกฎหมาย ระเบยี บ และข้อบังคับ ความเส่ียง ความเป็ นไปได้ของเหตุการณ์ทอี่ าจเกดิ ขนึ้ และเป็ นอปุ สรรคต่อการบรรลุวตั ถุประสงค์ของหน่วยงาน
ความเส่ียง กบั การควบคุม
วตั ถุประสงค์ ❑ การดาเนินงาน (Operations Objectives) ความมีประสิทธิผลและประสิทธิภาพการบรรลุเป้าหมายด้านการดาเนินงาน ด้านการเงิน การใช้ทรัพยากร การดูแลรักษาทรัพย์สิน การป้องกนั /ลดความผิดพลาด ความเสียหาย การร่ัวไหล การสิ้นเปลือง การทจุ ริตในหน่วยงานของรัฐ ❑ การรายงาน (Reporting Objectives) การรายงานทางการเงิน ไม่ใช่การเงิน ทใี่ ช้ภายใน ภายนอกหน่วยงาน รายงานทีเ่ ช่ือถือได้ ทนั เวลา โปร่งใส หรือ ข้อกาหนดอ่ืนของทางราชการ ❑ การปฏบิ ตั ติ ามกฎหมาย ระเบยี บและข้อบังคบั (Compliance Objectives) การปฏบิ ัติตาม กฎหมาย ระเบียบ ข้อบังคับ มติคณะรัฐมนตรีท่ีเกย่ี วข้องกบั การดาเนินงานข้อกานดอื่นของทาง ราชการ
ตวั อย่างความเส่ียง ปัจจยั เสี่ยง การควบคมุ ภายใน วตั ถุประสงค์/ เป้าหมาย เดนิ ทางรถยนต์ส่วนบุคคลไปถึงปลายทางโดยปลอดภยั ทนั เวลา ประหยดั ค่าใช้จ่าย รักษาคณุ ภาพของเนื้อสดแช่แขง็ ความเส่ียง (Risk) 1. รถยนต์เสียระหว่างทาง 1. ห้องแช่แขง็ ไม่สามารถรักษาอณุ หภูมไิ ด้ตามมาตรฐาน ปัจจยั เส่ียง (Risk Factor) 2. ประสบอุบัตเิ หตุระหว่างทาง 2. ห้องแช่แขง็ มรี อยแตกรั่ว ควบคมุ ภายใน 3. ขบั หลงทาง/ไปเส้นทางอ้อม 3. ผดิ พลาดปิ ดระบบความเยน็ /เปิ ดประตูห้องแช่แขง็ ทงิ้ ไว้ 4. มกี ารแวะสถานทรี่ ะหว่างทาง 4. ไฟฟ้าดบั เป็ นเวลานาน 5. ระบบห้องแช่แขง็ ไม่มมี าตรฐาน/ประสิทธิภาพ 1. รถยนต์มสี ภาพไม่พร้อม/อายมุ าก/ชิ้นส่วนเส่ือมสภาพ 1. ระบบท าความเยน็ เสียหาย/ขดั ข้อง-หยุดท างานกระทนั หนั 2. ขับรถเร็ว เมา/ง่วงนอนแล้วขับ 2. ห้องช ารุดเสียหาย 3. ไม่ช านาญเส้นทาง 3. ความเผอเรอ ประมาทเลนิ เล่อ ขาดความรู้ช านาญใช้งาน 4. ความพอใจส่วนตวั ไม่แน่นอนชัดเจนในการแวะเทย่ี ว 4. ระบบไฟฟ้าเสียหาย อุบัตเิ หตุ 5. การจดั ซื้อจดั สร้าง/ตดิ ต้งั ไม่ได้ตามมาตรฐาน/ไม่เป็ นไปตาม ระเบยี บ 1. ตรวจสภาพรถยนต์กอนเดนิ ทาง (Hard Control+Preventive Control) เตรียมข้อมูลอู่ซ่อมในเส้นทาง 1. ระบบซ่อมบ ารุง (Hard Control+PC) เดนิ ทาง(HC+Corrective Control) 2. ระบบความเยน็ +ไฟฟ้าส ารอง (HC+Corrective Control) 3. ควบคุมการเข้าถงึ ห้องเยน็ +แผงควบคมุ 2. เคารพกฎจราจร (Soft Control+PC) ขับรถไม่ประมาท + เตรียมร่างกายให้พร้อมก่อนเดนิ ทาง ระบบท าความเยน็ + มแี ผ่นป้ายค าเตือน/คู่มือการใช้แผงควบคมุ ระบบความเยน็ (HC+PC) (HC+PC) 4. มกี ารเดนิ ตรวจตราสภาพห้องเยน็ /ตรวจวดั ระดบั อุณหภูมิ (HC+DD) 3. ศึกษา/เตรียมคู่มือ/แผนทเ่ี ส้นทางไว้ในรถยนต์ 5. กาหนด/ควบคมุ ก ากบั ดแลการปฏบิ ตั ติ ามระเบยี บจดั ซื้อ จดั จ้างห้องเยน็ /ระบบทาความเยน็ 4. กาหนดแผนการเดนิ ทางให้ชัดเจน(Hard Control+PC) (HC+PC)
องคป์ ระกอบของมาตรฐานการควบคมภายใน การควบคุมภายในจะประกอบด้วย ๕ องค์ประกอบ ๑๗ หลกั การ ดงั นี้ ๕ หลกั การ ๑. สภาพแวดลอ้ มการควบคุม (Control Environment) ๔ หลกั การ ๒. การประเมินความเสี่ยง (Risk Assessment) ๓ หลกั การ ๓. กิจกรรมการควบคุม (Control Activities) ๓ หลกั การ ๔. สารสนเทศและการสื่อสาร (Information and Communication) ๒ หลกั การ ๕. กิจกรรมการติดตามผล (Monitoring Activities)
๑. สภาพแวดล้อมการควบคมุ - ปัจจยั พืนฐานในการดาเนินงานที่ส่งผลใหม้ ีการนาการควบคุมภายในมาปฏิบตั ิทว่ั ทงั หน่วยงาน - ผูก้ ากบั ดูแลฝ่ ายบริหารตอ้ งสร้างบรรยากาศให้ทุกระดับตระหนักถงความสาคญั ของการควบคุมภายใน การดาเนินงานท่ีคาดหวงั ของผูก้ ากบั ดูแล ฝ่ ายบริหาร - เป็นพนื ฐานสาคญั ท่ีส่งผลกระทบต่อองคป์ ระกอบของการควบคุมภายในอ่ืนๆ สภาพแวดล้อมการควบคุม ประกอบด้วย ๕ หลกั การ ดงั นี้ (๑) หน่วยงานของรัฐแสดงใหเ้ ห็นถงการยดมน่ั ในคุณค่าของความซื่อตรง จริยธรรม (๒) ผูก้ ากบั ดูแลของหน่วยงานของรัฐแสดงให้เห็นถงความเป็นอิสระจากฝ่ ายบริหารมีหนา้ ท่ีกากบั ดูแลให้มีการพฒั นาปรับปรุงการควบคุม ภายใน การดาเนินการเก่ียวกบั การควบคุมภายใน (๓) หวั หนา้ หน่วยงานของรัฐจดั ใหม้ ีโครงสร้างองคก์ ร สายการบงั คบั บญั ชาอานาจหนา้ ท่ีความรับผดิ ชอบเหมาะสมในการบรรลุวตั ถุประสงค์ ภายใตก้ ารกากบั ดูแลของผกู้ ากบั ดูแล (๔) หน่วยงานของรัฐแสดงใหเ้ ห็นถงความมุ่งมนั่ ในการสร้างแรงจูงใจพฒั นารักษาบุคลากรที่มีความรู้ความสามารถที่สอดคลอ้ งกบั วตั ถุประสงค์ ของหน่วยงาน (๕) หน่วยงานของรัฐกาหนดใหบ้ ุคลากรมีหนา้ ที่ความรับผดิ ชอบต่อผลการปฏิบตั ิงานตามระบบการควบคุมภายในเพ่อื ใหบ้ รรลุวตั ถุประสงคข์ อง หน่วยงาน
๒. การประเมินความเสี่ยง - เป็นกระบวนการท่ีดาเนินการอยา่ งต่อเนื่องและเป็นประจา - เพื่อระบุ วเิ คราะหค์ วามเส่ียงท่ีมีผลกระทบต่อการบรรลุวตั ถุประสงคข์ องหน่วยงาน กาหนด วธิ ีการจดั การความเสี่ยง - ฝ่ ายบริหารควรคานงถงการเปล่ียนแปลงของสภาพแวดลอ้ มภายนอกและภารกิจภายในทงั หมดท่ีมีผลต่อการ บรรลุวตั ถุประสงคข์ องหน่วยงานของรัฐ การประเมนิ ความเสี่ยง ประกอบด้วย ๔ หลกั การ ดังนี้ (๖) หน่วยงานของรัฐระบุวตั ถุประสงคก์ ารควบคุมภายในของการปฏิบตั ิงานใหส้ อดคลอ้ งกบั วตั ถุประสงคข์ อง องคก์ รไวอ้ ยา่ งชดั เจนและเพียงพอท่ีจะสามารถระบุและประเมินความเสี่ยงที่เก่ียวขอ้ งกบั วตั ถุประสงค์ (๗) หน่วยงานของรัฐระบุความเส่ียงที่มีผลต่อการบรรลุวตั ถุประสงคก์ ารควบคุมภายในอยา่ งครอบคลุม ทงั หน่วยงานของรัฐ และวเิ คราะหค์ วามเสี่ยงเพ่ือกาหนดวธิ ีการจดั การความเส่ียงนนั (๘) หน่วยงานของรัฐพิจารณาโอกาสท่ีอาจเกิดการทุจริต เพ่ือประกอบการประเมินความเสี่ยงที่ส่งผลต่อ การบรรลุวตั ถุประสงค์ (๙) หน่วยงานของรัฐระบุและประเมินการเปล่ียนแปลงท่ีอาจมีผลกระทบอย่างมีนยั สาคญั ต่อระบบการควบคุม ภายใน
๓. กิจกรรมการควบคมุ กิจกรรมการควบคุมเป็ นการปฏิบตั ิที่กาหนดไวใ้ นนโยบายและกระบวนการ ประเภทของการควบคุม ดาเนินงาน เพื่อให้มนั่ ใจว่าการปฏิบตั ิตามการสั่งการของฝ่ ายบริหารจะลดหรือควบคุม ความเส่ียงให้สามารถบรรลุ วตั ถุประสงค์ กิจกรรมการควบคุมควรไดร้ ับการนาไป 1. การควบคุมแบบป้องกนั ( Preventive Control ) แบ่งแยกหนา้ ที่คุมดว้ ยรหสั ปฏิบัติท่ัวทุกระดับของหน่วยงานของรัฐในกระบวนการปฏิบัติงาน ขันตอนการ กาหนดระดบั อนุมตั ิ/อนุมตั ิก่อนทารายการเกบ็ รักษาทรัพยส์ ิน/ขอ้ มูล การจดั ทา ดาเนินงานต่างๆ รวมถงการนาเทคโนโลยมี าใชใ้ นการดาเนินงาน เอกสารหลกั ฐาน กจิ กรรมการควบคุม ประกอบด้วย ๓ หลกั การ ดังนี้ 2. การควบคุมแบบคน้ พบ ( Detective Control ) สอบทานรายงาน สอบทานโดย หวั หนา้ รายงานสิ่งผดิ ปกติ กระทบยอด ตรวจนบั (๑๐) หน่วยงานของรัฐระบุและพฒั นากิจกรรมการควบคุม เพ่ือลดความเสี่ยงใน การบรรลุวตั ถุประสงคใ์ หอ้ ยใู่ นระดบั ท่ียอมรับได้ 3. การควบคุมแบบแกไ้ ข ( Corrective Control ) ปรับปรุงรายการ ปรับปรุงระบบ จ่ายเงินชดเชย เรียกชดใช้ (๑๑) หน่วยงานของรัฐระบุและพฒั นากิจกรรมการควบคุมทว่ั ไปดา้ นเทคโนโลยเี พื่อ สนบั สนุนการบรรลุวตั ถุประสงค์ 4. การควบคุมแบบส่งเสริม ( Directive Control ) กาหนดนโยบาย แนวทาง/คู่มือ ปฏิบตั ิ ฝกอบรม โบนสั /รางวลั (๑๒) หน่วยงานของรัฐจัดให้มีกิจกรรมการควบคุม โดยกาหนดไวใ้ นนโยบาย ประกอบด้วยผลสาเร็จที่คาดหวังและขันตอนการปฏิบัติงาน เพ่ือนานโยบายไปสู่ การปฏิบตั ิจริง
๔. สารสนเทศและการส่ือสาร สารสนเทศเป็นสิ่งจาเป็นสาหรับหน่วยงานของรัฐที่จะช่วยใหม้ ีการดาเนินการตามการควบคุมภายใน ท่ีกาหนดเพื่อสนบั สนุนใหบ้ รรลุวตั ถุประสงคข์ องหน่วยงานของรัฐ การสื่อสารเกิดขนไดท้ งั จากภายใน และ ภายนอก และเป็นช่องทางเพ่ือให้ทราบถงสารสนเทศที่สาคญั ในการควบคุมการดาเนินงานของหน่วยงาน ของรัฐ การส่ือสารจะช่วยให้บุคลากรในหน่วยงานมีความเขา้ ใจถงความรับผิดชอบ และ ความสาคญั ของ การควบคุมภายในท่ีมีต่อการบรรลุวตั ถุประสงค์ สารสนเทศและการสื่อสาร ประกอบด้วย ๓ หลกั การ ดงั นี้ (๑๓) หน่วยงานของรัฐจดั ทาหรือจดั หาและใชส้ ารสนเทศท่ีเกี่ยวขอ้ งและมีคุณภาพ เพื่อสนบั สนุนให้มีการ ปฏิบตั ิตามการควบคุมภายในที่กาหนด (๑๔) หน่วยงานของรัฐมีการส่ือสารภายในเก่ียวกบั สารสนเทศ รวมถงวตั ถุประสงคแ์ ละความ รับผดิ ชอบท่ี มีต่อการควบคุมภายในซ่งมีความจาเป็นในการสนบั สนุนใหม้ ีการปฏิบตั ิตามการควบคุมภายในที่กาหนด (๑๕) หน่วยงานของรัฐมีการสื่อสารกับบุคคลภายนอกเก่ียวกบั เร่ืองท่ีมีผลกระทบต่อการปฏิบตั ิตามการ ควบคุมภายในท่ีกาหนด
๕. กิจกรรมการติดตามผล กิจกรรมการติดตามผลเป็ นการประเมินผลระหว่างการปฏิบตั ิงาน การประเมินผลเป็นรายครัง หรือ เป็นการประเมินผลทงั สองวธิ ีร่วมกนั เพ่ือใหเ้ กิดความมนั่ ใจว่าไดม้ ีการปฏิบตั ิตามหลกั การในแต่ละ องค์ประกอบของการควบคุมภายในทงั ๕ องค์ประกอบ กรณีท่ีผลการประเมินการควบคุมภายใน จะก่อใหเ้ กิดความเสียหายต่อหน่วยงานของรัฐ ใหร้ ายงานต่อฝ่ ายบริหาร และผกู้ ากบั ดูแลอยา่ งทนั เวลา กจิ กรรมการติดตามผล ประกอบด้วย ๒ หลกั การ ดงั นี้ (๑๖) หน่วยงานของรัฐระบุ พฒั นา และดาเนินการประเมินผลระหว่างการ ปฏิบตั ิงาน และหรือการ ประเมินผลเป็ นรายครังตามท่ีกาหนด เพื่อให้เกิดความมน่ั ใจว่าไดม้ ีการปฏิบตั ิตามองค์ประกอบของการ ควบคุมภายใน (๑๗) หน่วยงานของรัฐประเมินผลและสื่อสารขอ้ บกพร่อง หรือจุดอ่อนของการควบคุมภายในอยา่ งทนั เวลา ต่อฝ่ ายบริหารและผกู้ ากบั ดูแล เพ่อื ใหผ้ รู้ ับผดิ ชอบสามารถสง่ั การแกไ้ ขไดอ้ ยา่ งเหมาะสม
กระบวนการบริหารความเส่ียงด้านปฏิบตั ิการ การระบุความเสี่ยง ธนาคารกาหนดให้พนักงานทุกหน่วยงานของธนาคาร ตงั แต่ระดบั ปฏิบตั ิการไปจนถงระดบั บริหารในฐานะที่เป็ นผูป้ ฏิบตั ิทราบและเขา้ ใจ กระบวนการทางานหรือขนั ตอนการปฏิบตั ิงาน ตอ้ งระบุจุดที่มีความเสี่ยงในแต่ละผลิตภณั ฑ์ บริการทางการเงิน ระบบงานหรือจุดท่ีมีความเสี่ยงในแต่ ละหน่วยงาน โดยพิจารณาปัจจยั ต่างๆมาประกอบการระบุความเสี่ยง แต่ทงั นีส่ิงสาคญั ท่ีควรคานงถง คือ ในการระบุความเสี่ยงควรพิจารณาถงตน้ เหตุ ที่แทจ้ ริงท่ีทาใหเ้ กิดความเส่ียงนนั ๆ รวมถงผลกระทบของความเส่ียงดงั กล่าวดว้ ย ซ่งขอ้ มูลที่จะใชช้ ่วยในการระบุความเส่ียงในเบืองตน้ ไดแ้ ก่ • ปัจจยั ภายใน เช่น 1.1 ขอ้ มูลเหตุการณ์ความเสียหาย(Loss Data)ที่เคยเกิดขนมาแลว้ ในอดีตรวมทงั เหตุการณ์ท่ีเกิดขนแต่สามารถป้องกนั ความเสียหายไวไ้ ด้ (Near- Miss) (1) ดชั นีชีวดั ความเสี่ยง ซ่งเคร่ืองมือที่ทาหนา้ ที่เตือนภยั ล่วงหนา้ เพอื่ ใหท้ ราบระดบั ความรุนแรงของปัจจยั เส่ียงและสะทอ้ นใหท้ ราบถงความเสี่ยงท่ีเคย เกิดขนมาแลว้ ในอดีต รวมถงคาดคะเนความเส่ียงที่อาจเกิดขนในอนาคตจากระดบั ความรุนแรงของปัจจยั เสี่ยงท่ีชีวดั (2) ขนั ตอนการปฏิบตั ิงาน (3) ประสิทธิภาพของระบบควบคุมภายใน วฒั นธรรมองคก์ รในการบริหารความเส่ียงดา้ นปฏิบตั ิการ ความพร้อมของบุคลากรและทรัพยากร ที่ใชใ้ น การปฏิบตั ิงาน
กระบวนการบริหารความเส่ียงด้านปฏิบตั ิการ 1.2 การประเมินความเส่ียง การประเมินระดบั ความรุนแรงของความเสี่ยง โดยใช้ Risk Matrix เป็นการคานวณผลเปรียบเทียบระหว่างโอกาสที่จะเกิดความเสี่ยง (Likelihood) และความรุนแรงของผลกระทบ (Impact) ที่อาจเกิดขนจากความเส่ียงนนั โดยมีการกาหนดเกณฑใ์ นการพิจารณาระดบั ความรุนแรงของแต่ละปัจจยั เส่ียง ดงั นี เกณฑใ์ นการพิจารณาระดบั ความรุนแรงของแต่ละปัจจยั เส่ียง (Risk Factor) ความเส่ียง ระดบั ความรุนแรง ระดบั คะแนน ความหมาย ต่า 1-3 ระดบั ท่ียอมรับได้ โดยไม่ตอ้ งควบคุมความเสี่ยง 4-9 ไม่ตอ้ งมีการจดั การเพ่ิมเติม ปานกลาง 10-16 ระดบั ท่ีพอยอมรับไดแ้ ต่ตอ้ งมีการควบคุม เพื่อป้องกนั ไม่ใหค้ วามเส่ียงเคลื่อนยา้ ยไปยงั ระดบั ท่ียอมรับไมไ่ ด้ สูง 17-25 ระดบั ท่ีไมส่ ามารถยอมรับได้ โดยตอ้ งจดั การความเสี่ยง สูงมาก เพ่ือใหอ้ ยใู่ นระดบั ที่ยอมรับไดต้ ่อไป ระดบั ท่ีไมส่ ามารถยอมรับได้ จาเป็นตอ้ งเร่ง จดั การความเสี่ยงใหอ้ ยใู่ นระดบั ที่ยอมรับไดท้ นั ที ทงั นี ธนาคารมีเคร่ืองมือสาหรับช่วยระบุและประเมินความเสี่ยง เช่น Risk Control Self-Assessment หรือ Risk Mapping และการประเมินความเสี่ยง ควรดาเนินการอยา่ งต่อเนื่อง และทบทวนความเหมาะสมเป็นระยะ รวมถงประเมินความเส่ียงดา้ นปฏิบตั ิการกรณีมีการออกผลิตภณั ฑใ์ หม่ดว้ ย
กระบวนการบริหารความเสี่ยงด้านปฏิบตั ิการ 1.3 การตดิ ตามความเสี่ยง ธนาคารมีกา รติดตามความเสี่ ยงรวมถงการรายงานข้อมูลปั จจัยเส่ี ยงแ ละข้อมูลสถานะความเส่ี ยงในภาพรวมให้คณะกรรมการและ คณะอนุกรรมการท่ีเกี่ยวขอ้ ง รวมถงผูบ้ ริหารระดบั สูงรับทราบอย่างต่อเนื่องและสม่าเสมอ โดยความถี่ในการติดตามสถานะความเสี่ยง สามารถปรับเปล่ียนได้ตามความเหมาะสม โดยขนอยู่กบั การเปล่ียนแปลงของขอ้ มูลปัจจยั เสี่ยงว่ามีการเปลี่ยนแปลงอย่างรวดเร็วและ ตลอดเวลาหรือค่อนขา้ งชา้ ทงั นี ขอ้ มูลที่ธนาคารใชใ้ นการติดตามความเส่ียง ไดแ้ ก่ ดชั นีชีวดั ความเส่ียง และเหตุการณ์ความเสียหาย เป็นตน้
Thank you
Search
