ISO 27001

COBIT COSO

ฝายตรวจสอบเทคโนโลยสารสนเทศ สายนโยบายระบบการช าระเงนและเทคโนโลยทางการเงน

SA-IT Examination Guideline แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

IR

QRM Integrity SA-IT Security

Availability

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

สารบญ

Executive Summary…………………………………………………………………………………………………………….1

สวนท 1 ระบบเทคโนโลยสารสนเทศ (Information Technology)…………………………………………….. 3

ค าจ ากดความ…………………………………………………………………………………………………………….3

โครงสรางระบบ IT ทส าคญ……………………………………………………………………………………..…. 3

แผนภาพ High-Level IT System Process Flow……………………………………………………….. 4

สวนท 2 การประเมน Inherent Risk (IR)……………………………………………………………………………….… 5

ความเสยงดานปฏบตการ……………………………………………………………………………………………. 5

ความเสยงดานกลยทธ………………………………………………….…………………………………………...10

สวนท 3 การประเมน Quality of Risk Management (QRM)…….…………………………………………...11

การประเมน Operational Management (OM)……………………………..…………………..….…12

ดานการรกษาความปลอดภย (Security)………………………………………………………….….12

ดานความถกตองและความนาเชอถอ (Integrity)………………………………………………… 15

ดานความพรอมใชงาน (Availability)……………………………………………………………….. 16

การประเมน Oversight Functions (OF)…………………………………………………………………..19

คณะกรรมการธนาคาร (Board of Director : BOD)…………………………………………… 19

ผบรหารระดบสง (Senior Management)………………………………………………………….21

Risk Management………………………………………………………………………………………… 23

Compliance………………………………………………………………………………………………….. 25

Internal Audit………………………………………………………………………………………………. 26

สวนท 4 การประเมน Net Risk………………………………………………………………………………………………. 27

สวนท 5 แนวโนมความเสยง (Direction of Net Risk)……………………………………………………………..27

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-1 -

Executive Summary

ทมาและเหตผลความจ าเปน สายก ากบสถาบนการเงน (สกส.) ไดปรบปรงแนวทาง

การตรวจสอบแบบเนนธรกรรมทมนยส าคญ (Significant Activities - SA) โดยระบบเทคโนโลยสารสนเทศ (IT) ถอเปน SA หนง (SA-IT) ของการตรวจสอบสถาบนการเงน (สง.)

ฝายตรวจสอบเทคโนโลยสารสนเทศ (ฝตท.) จงไดพฒนาแนวทางการตรวจสอบ SA-IT ใหสอดคลองตาม กรอบหลกการมาตรฐานสากล รวมถงปรบปรงปจจยทใชในการประเมนระดบความเสยงทมอย (Inherent Risk - IR) และประเมนคณภาพการจดการความเสยง (Quality of Risk Management - QRM) ของ SA-IT เพอใชเปนแนวทางในการประเมนระดบความเสยงดาน IT ของ สง. โดยไดศกษาเปรยบเทยบแนวทางการตรวจสอบของหนวยงานก ากบดแลในตางประเทศทมการพฒนาแนวทางการตรวจสอบดาน IT เปนทยอมรบในระดบสากล ไดแก FFIEC (สหรฐอเมรกา) และ MAS (ส ง ค โปร ) เ พ อน า มาปร บปร ง แน ว ทา ง การตรวจสอบดาน IT ของ ฝตท. ใหเหมาะสมกบระบบ สง. ในไทย

สรปกรอบเนอหา

สาระส าคญของแนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศ แบงออกเปน 5 สวน คอ

1. ค าจ ากดความของระบบ IT และโครงสรางระบบ IT ทส าคญของสถาบนการเงน ไดแก ศนยคอมพวเตอร (Data Center) ระบบเครอขายสอสาร (Network) ระบบ Core Banking ระบบงานการใหบรการแกลกคา

2. การประเมน Inherent Risk (IR) ซงเปนความเสยงทมอยในระบบ IT ทใชรองรบกระบวนการด าเนนธรกจดานตาง ๆ ดงน

2.1 ความเสยงดานปฏบตการ (Operational Risk) พจารณาครอบคลมถงการพฒนาหรอปรบปรงดานการรกษาความปลอดภยของโครงสรางพนฐานหรอระบบ IT การใชบรการ IT Outsourcing ทส าคญจากผ ใหบรการภายนอกทงในประเทศและตางประเทศ และการเชอมโยงเครอขาย/ระบบงานกบภายนอก การน าอปกรณสวนตว

เชอมตอเขาเครอขาย/ระบบงานของธนาคาร การพฒนาหรอเปลยนแปลงระบบงานทส าคญหรอเกยวของกบการใหบรการลกคา/การท าธรกรรมการเงนของลกคา ความซบซอนของระบบ IT การใชเทคโนโลยสมยใหมทยงไมไดรบการรบรองตามมาตรฐาน ความพรอมของศนยคอมพวเตอรหลกและศนยส ารอง ระบบเครอขายสอสารและอปกรณเครอขายยงมจดทเปน single point of failure ความพรอมของระบบงานทใชรองรบการประมวลผลไดอยางตอเนองตามความตองการของหนวยงานธรกจทงในภาวะปกตและภาวะฉกเฉน

2.2 ความเสยงดานกลยทธ (Strategic Risk) พจารณาครอบคลมถงนโยบาย/แผนกลยทธ และการจดสรรงบประมาณโครงการดาน IT ทส าคญสอดคลองกบเปาหมายเชงกลยทธทางธรกจ

3. การประเมน Quality of Risk Management (QRM) เ พอให สง. มระบบการบรหารจดการความเสยงทมประสทธภาพ เพอสามารถลดหรอควบคมความเสยงทมอยของระบบ IT โดยม QRM ใน 2 ระดบ ดงน

3.1 ระดบ Operational Management (OM) เปนการควบคมเพอจดการความเสยงทมอยของการปฏบตงานประจ าวน (Day-to-Day Operation) โดยการประ เมนครอบคล มตามกรอบหล กการ Security - Integrity - Availability (SIA) เพอใหระบบ IT ของ สง. มการรกษาความปลอดภยทเพยงพอและสอดคลองตามมาตรฐาน มความถกตองและความนาเชอถอ และมความพรอมใชงาน

3.2 ระดบ Oversight Functions (OF) ใน 5 ดาน ไดแก คณะกรรมการ สง. ผบรหารระดบสง งานบรหารความเสยง งานก ากบการปฏบตตามกฎเกณฑ และงานตรวจสอบภายใน เพอใหเกดความมนใจวา สง. มการก ากบดแล การด าเนนงานและการบรหารความเสยงดาน IT ทเหมาะสมสอดคลองกบมาตรฐานและแนวปฏบตทด

4. การประเมน Net Risk ซงเปนความเสยงสทธของระบบ IT ทคงเหลออย ภายหลงจากการบรหารจดการ Inherent Risk แลว

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-2 -

5. การประเมนแนวโนมความเสยง (Direction of Net Risk) ซงเปนโอกาสทความเสยงสทธของระบบ IT จะเปลยนแปลงไปจากเดมทไดประเมนไวในอก 1 ปขางหนา จากการเปลยนแปลงของความเสยงทมอย (IR) ของระบบ IT และ/หรอคณภาพการบรหารจดการความเสยง (QRM) ประโยชนของการจดท าแนวทางการตรวจสอบ

ฝตท . ม งหว ง ใหแนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศน เกดประโยชนในวงกวาง โดยด าเนนการเผยแพรใน Web Portal ของ สกส. เพอเปนแหลงขอมลใหผตรวจสอบดาน IT ของ ธปท . สามารถ download ไปใชในการปฏบตงาน และเพอใหคณะท างาน FSAP สกส. สามารถใชอางองในการประเมน FSAP การก ากบดแล สง. ดาน IT ตอไป

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-3 -

สวนท 1 ระบบเทคโนโลยสารสนเทศ (Information Technology)

1.1 ค าจ ากดความ ระบบเทคโนโลยสารสนเทศ (IT) หมายถง อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการ

ท างานเขาดวยกน โดยไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณท าหนาทประมวลผลขอมลโดยอตโนมต

ขอมลสารสนเทศ หมายถง ขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกสดวย

1.2 โครงสรางระบบ IT ทส าคญ ศนยคอมพวเตอร (Data Center) ศนยรวมของเครองและอปกรณคอมพวเตอรส าคญของธนาคารทใชประมวลผลกลางรองรบการด าเนนธรกจและการใหบรการของธนาคาร เชน ระบบ Core Banking เปนตน

ระบบเครอขายสอสาร (Network) ระบบเครองมอสอสารทใชรองรบการเชอมโยงเครองคอมพวเตอร อปกรณ ระบบงาน และชองทางบรการจากทตาง ๆ เขาหากน

ระบบ Core Banking ระบบประมวลผลกลางทมความส าคญอยางยงส าหรบรองรบการประมวลผลธรกรรมหลกของธนาคาร เชน ธรกรรมฝาก ถอน และโอนเงน รวมทงสามารถรองรบการท าธรกรรมจากชองทางตาง ๆ ของธนาคาร เชน สาขา ATM และ Internet Banking เปนตน

ระบบงานการใหบรการแกลกคา เครองคอมพวเตอร อปกรณ หรอระบบทใชรบรายการธรกรรมของลกคาเพอสงไปประมวลผลทระบบประมวลผลกลาง เชน เครองคอมพวเตอรทเจาหนาทสาขาใชปฏบตงาน ต ATM ระบบ Internet Banking เปนตน

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-4 -

1.3 แผนภาพแสดง High-Level IT System Process Flow

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-5 -

สวนท 2 การประเมน Inherent Risk (IR)

2.1 ค าจ ากดความ Inherent Risk (IR) หมายถง ความเสยงทมอยในระบบ IT ทใชรองรบกระบวนการด าเนนธรกจดานตาง ๆ (Business Process) ทอาจกอใหเกดความสญเสยจากปจจยภายในและภายนอก ทอาจสงผลกระทบตอรายไดและเงนกองทนของ สง.

2.2 หลกการพจารณา 1. เขาใจลกษณะโครงสรางพนฐานและระบบงาน IT

2. เขาใจปจจยทกอใหเกดความเสยง (Risk Factors & Risk Drivers) จากระบบ IT

3. ผลกระทบจากสภาพแวดลอมตอระดบความเสยงของ Inherent Risk

ทงน การประเมน IR จะประเมนเฉพาะความเสยงหลกทมผลกระทบตอโครงสรางพนฐานและระบบงาน IT เทานน ไดแก

1. ความเสยงดานปฏบตการ

2. ความเสยงดานกลยทธ (ประเมนเฉพาะเมอมระบบงานใหมหรอการเปลยนแปลงทมนยส าคญ)

2.2.1 ปจจยการประเมน IR ดานปฏบตการ

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-6 -

ปจจยทใชพจารณา การประเมนระดบ IR Operational

ต า ปานกลาง สง 1. Security 1.1 การพฒนาหรอปรบปรงดานการรกษาความปลอดภยของโครงสรางพนฐานหรอระบบ IT ใหเทยบเคยงกบมาตรฐานสากล

ธนาคารมแผนงานและกรอบแนวทางในการยกระดบดาน IT Security ขององคกร (Enterprise Security) ทงระยะสนและระยะยาวทมความชดเจน และมการอางอง/สอดคลองกบมาตรฐานสากล เชน TIA942, ISO27001, IT Best Practices เปนตน

ขอสงเกตทตรวจพบไมสงผลเสยหาย หรอเปนขอสงเกตทสามารถแกไขใหส าเรจเปนเรองได

ธนาคารมแผนงานการพฒนาดาน IT Security เพอยกระดบ IT Security สวนทมความส าคญหรอใหเปนตามเกณฑ/ขอก าหนดของทางการ แตยงไมพบวามแผน Enterprise Security ในระยะยาวทชดเจน

ขอสงเกตทตรวจพบมความเสยงระดบปานกลาง หรอเปนขอสงเกตทเมอด าเนนการแกไขแลวตองตดตามผลในทางปฏบตในระยะยาวเพอเหนผลลพธทเปนรปธรรม

แผนงานการพฒนาดาน IT Security ยงไมชดเจนมากนก รวมทงยงไมพบวามแผนการปรบปรง IT Security ในระยะยาว

ขอสงเกตทตรวจพบมความเสยงสง และสงผลเสยหายตอองคกร เชน Data Breach, Hack, Reputation Risk เปนตน หรอเปนขอสงเกตทตองปรบปรงแกไขทกระบวนการด าเนนการ

1.2 การใชบรการ IT Outsourcing ทส าคญจากผใหบรการภายนอกทงในประเทศและตางประเทศ และการเชอมโยงเครอขาย/ระบบงานกบภายนอก (เชน Data Center Operation, Cloud Computing เปนตน)

ไมมการใชบรการจาก IT Outsource ทส าคญ

มการใชบรการ IT Outsource หรอมการเชอมโยงระบบกบภายนอก แตไมใชระบบทรองรบการใหบรการธรกจหลก และไมสงผลกระทบตอการใหบรการการเงนแกลกคา รวมทงไมมการสงขอมลลกคาไปจดเกบไวภายนอก

พบ incident ทเกยวของกบผใหบรการภายนอก แตไมสงผลกระทบตอความปลอดภย ความถกตองของขอมล และความตอเนองในการใหบรการแกลกคา หรอสงผลกระทบตอระบบงานอน

มการใชบรการ IT Outsource หรอมการเชอมโยงระบบกบภายนอก ในสวนทเปนระบบรองรบการใหบรการธรกจหลกและมการสงขอมลความส าคญ เชน ขอมลสวนบคคลของลกคา ไปประมวลผลและจดเกบไวภายนอก

พบ incident ทเกยวของกบผใหบรการภายนอก ซงสงผลตอความปลอดภย ความถกตองของขอมลทจดเกบไวภายนอก และความตอเนองในการใหบรการแกลกคา หรอสงผลกระทบตอระบบงานอนในลกษณะ domino effect

1.3 การน าอปกรณสวนตวเชอมตอเขาเครอขาย/ระบบงานของธนาคาร (Bring Your Own Device : BYOD)

ไมอนญาตใหพนกงานน าอปกรณสวนตวเชอมตอเขาเครอขาย/ระบบงานของธนาคารได

มการอนญาตใหพนกงานบางรายเฉพาะทมความจ าเปนตองใชอปกรณสวนตวเชอมตอเขาเครอขาย/ระบบงานของธนาคาร แตไมมขอมลของลกคาหรอขอมลส าคญของธนาคารทอาจสงผลกระทบใหเกดความเสยหายได

มการอนญาตใหพนกงานทกคนสามารถใชอปกรณสวนตวเชอมตอเขาเครอขาย/ระบบงานของธนาคารได

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-7 -

ปจจยทใชพจารณา การประเมนระดบ IR Operational

ต า ปานกลาง สง 1.4 Incidents/Loss/ Complaint related to Security

ไมพบวาม Incident/ความเสยหาย/ขอรองเรยน เกยวกบการถกบกรก/เจาะระบบงาน/หรอโจรกรรมขอมลลกคาหรอขอมลธรกรรมทางการเงนในปทผานมา

พบวาม Incident/ความเสยหาย/ขอรองเรยน เกยวกบการถกบกรก/เจาะระบบงาน/หรอโจรกรรมขอมลลกคาหรอขอมลธรกรรมทางการเงนทสงผลกระทบตอลกคาบางรายในวงจ ากด และไมสงผลกระทบตอชอเสยงของธนาคาร

พบวาม Incident/ความเสยหาย/ขอรองเรยน เกยวกบการถกบกรก/เจาะระบบงาน/หรอโจรกรรมขอมลลกคาหรอขอมลธรกรรมทางการเงนทสงผลกระทบตอลกคาลกคาในวงกวาง และสงผลกระทบตอชอเสยงของธนาคาร

2. Integrity 2.1 การพฒนาหรอเปลยนแปลงระบบงานทส าคญหรอเกยวของกบการใหบรการลกคา/การท าธรกรรมการเงนของลกคาวงกวาง

ไมมการเปลยนแปลงทมนยส าคญ มเพยงการปรบปรงเลกนอย เชน การเปลยนรปลกษณหนาจอแสดงผล การเพม Feature/Function เลกนอย เปนตน

ไมมการเปลยนแปลงโครงสรางระบบงาน การประมวลผล หรอเปลยนอปกรณ Hardware ทส าคญ

มการเปลยนแปลง/แกไขโปรแกรมระบบงานทมนยส าคญอยบาง เชน การเปลยน Program Version การแกไขขอบกพรอง (bug) เปนตน

มการเปลยนแปลงอปกรณ Hardware บางสวนเพอทดแทนอปกรณเดม

มการพฒนาหรอเปลยนแปลงระบบงานทส าคญ เพอใชทดแทนระบบงานทใชงานอยเดม เนองจากมความลาสมยหรอไมสามารถรองรบการปรบเปลยนตาม requirement ใหมๆ เพมเตมของผใชงานได

มการเปลยนแปลงโครงสรางระบบงาน การประมวลผล หรอเปลยนอปกรณ Hardware ทส าคญทใชรองรบระบบงานทส าคญหรอเกยวของกบการใหบรการลกคา

2.2 ความซบซอนของระบบ IT เชน ซ าซอน และยงยากตอการปรบเปลยน มระบบทเกยวของ

โครงสรางระบบ IT ไมซบซอน ใชรปแบบ platform เปนมาตรฐานเดยวกน อกทงระบบงานทเกยวของมการเชอมโยงระบบถงกนแบบ Automated หรอเปนลกษณะ Straight Through Process

โครงสรางระบบ IT มความซบซอน ระบบงานมการเชอมโยงขอมลกนบางสวน แตยงมการ rekey ขอมลบางสวน ซงอาจสงผลใหขอมลทจดเกบแตละระบบไมตรงกนอยบาง แตหากเกดขอผดพลาดจะไมสงผลกระทบตอการปฏบตตามเกณฑทางการ เชน การรายงานขอมล เปนตน

โครงสรางระบบ IT มความซบซอนมาก มระบบงานทเชอมโยงเกยวของกนหลายระบบ และมหลาย platform โดยไมมการเชอมโยงขอมลกน ตองมการ rekey ขอมลหลายครง จงมสญญาณบงชทมโอกาสเกดความเสยงจากการปฏบตงานผดพลาด และสงผลกระทบตอความถกตองของขอมล ตลอดจนมความเสยงตอการรายงานขอมลไมถกตองตามเกณฑทางการ

2.3 การใชเทคโนโลยสมยใหมทยงไมไดรบการ

มการใชเทคโนโลย/ระบบงานทเปน Proven

มการใชเทคโนโลย/ระบบงานทเปน Unproven technology

มการใชเทคโนโลย/ระบบงานทเปน Unproven

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-8 -

ปจจยทใชพจารณา การประเมนระดบ IR Operational

ต า ปานกลาง สง รบรองตามมาตรฐาน (Unproven technology)

technology ซงการพฒนาผานขนตอนทไดรบการรบรองตามมาตรฐาน

ระบบงานทไมส าคญ และไมใชระบบทใชรองรบการใหบรการธรกจหลก และไมสงผลกระทบตอการใหบรการการเงนแกลกคา

technology ส าหรบระบบทใชรองรบการใหบรการธรกจหลก หรอระบบทสงผลกระทบตอการใหบรการการเงนแกลกคา

2.4 Incidents/Loss/ Complaint related to data integrity

ไมพบวาม Incidents/ความเสยหาย/ขอรองเรยน ทเกยวกบระบบท างานไมถกตอง หรอความผดพลาดจากการปฏบตงานของพนกงานทสงผลกระทบตอความถกตองของขอมลลกคาหรอการท าธรกรรม

พบวาม Incidents/ความเสยหาย/ขอรองเรยน ทเกยวกบระบบท างานไมถกตองโดยยงไมสงผลตอการปฏบตทไมเปนไปตามหลกเกณฑของทางการ หรอเกดความผดพลาดจากการปฏบตงานของพนกงานทสงผลกระทบตอความถกตองของขอมลลกคาหรอการท าธรกรรมแตอยในวงจ ากด และไมสงผลกระทบตอชอเสยงของธนาคาร

พบวาม Incidents/ความเสยหาย/ขอรองเรยน ทเกยวกบระบบท างานไมถกตองทสงผลตอการปฏบตทไมเปนไปตามหลกเกณฑของทางการ หรอเกดความผดพลาดจากการปฏบตงานของพนกงานทสงผลกระทบตอความถกตองของขอมลลกคาหรอการท าธรกรรม และสงผลกระทบตอชอเสยงของธนาคาร

3. Availability 3.1 ความพรอมของศนยคอมพวเตอรหลกและศนยส ารอง รวมถงความพรอมใชของขอมล (Backup data) เพอรองรบการใหบรการทงในภาวะปกตและภาวะฉกเฉน

ไมมการเปลยนแปลงทมนยส าคญภายในศนยคอมพวเตอรในชวงปทผานมา

ธนาคารมศนยคอมพวเตอรส ารองของธนาคารเอง โดยไมไดเชาอาคารสถานทและไมไดใชบรการศนยคอมพวเตอรส ารองจากผใหบรการภายนอก

ระบบงานส าคญของธนาคารมการใชเทคโนโลยการ backup ททนสมย และมการ replicate ขอมลแบบ real-time ไปจดเกบทศนยส ารอง และมการจดท าขอมล backup อกชดไปจดเกบทภายนอกแยกออกจากศนยคอมพวเตอรหลกและศนยส ารอง

มการเปลยนแปลงภายในศนยคอมพวเตอรในชวงปทผานมา โดยสวนใหญเปนการปรบปรงเพอเพมประสทธภาพ

ธนาคารมการเชาอาคารสถานทตงศนยส ารอง หรอใชบรการศนยคอมพวเตอรส ารองจากผใหบรการภายนอก แตมการใช Facilities ตาง ๆ เฉพาะส าหรบธนาคาร โดยแยกออกจากผใชบรการรายอน ๆ

ระบบงานส าคญของธนาคารมการใชเทคโนโลยการ backup ขอมลทคอนขางทนสมย ไปจดเกบทศนยส ารอง (นอกจากการ backup ขอมลโดยใช Tape backup)

มการเปลยนแปลงทมนยส าคญภายในศนยคอมพวเตอรในชวงปทผานมา (เชน ปรบปรง facilities ภายในศนยฯ ยายศนยคอมพวเตอร เปนตน)

ธนาคารมการเชาอาคารสถานทตงศนยส ารอง หรอใชบรการศนยคอมพวเตอรส ารองจากผใหบรการภายนอก ซงมการใช Facilities ตาง ๆ ภายในอาคารหรอภายในศนยฯ รวมกบผใชบรการรายอน ๆ

ระบบงานส าคญของธนาคารมการ backup ขอมลโดยใช Tape backup เทานน

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-9 -

ปจจยทใชพจารณา การประเมนระดบ IR Operational

ต า ปานกลาง สง 3.2 ระบบเครอขายสอสารและอปกรณเครอขาย ยงมจดทเปน single point of failure ในสวนทส าคญ

ระบบเครอขายและอปกรณเครอขายสอสาร มอปกรณ 2 ชด ส ารองซงกนและกน และมประสทธภาพความพรอมใชงานทดแทนกนไดทนท อกทงสามารถรองรบปรมาณธรกรรมทงในชวงปกตและชวง peak time ไดอยางเพยงพอ

ระบบเครอขายและอปกรณเครอขายสอสาร มอปกรณ 2 ชด ส ารองซงกนและกน มเพยงอปกรณบางสวนทอาจไมมการส ารองเอาไว แตไมใชจดทมความส าคญ อกทงสามารถรองรบปรมาณธรกรรมทงในชวงปกตและชวง peak time ไดอยางเพยงพอ

ระบบเครอขายและอปกรณเครอขายสอสาร มอปกรณชดเดยวในจดทมความส าคญ สามารถรองรบปรมาณธรกรรมในชวงปกต

3.3 ระบบงานมความพรอมรองรบการประมวลผลงานไดอยางตอเนองตามความตองการของหนวยงานธรกจทงในภาวะปกตและภาวะฉกเฉน หมายเหต *ระบบงานส าคญ ไดแก ระบบรองรบการด าเนนธรกจหลกของ สง. เชน Core Banking (เงนฝาก สนเชอ) , payment system, สาขา, ATM , Credit Card , Internet Banking , Mobile Banking เปนตน

ระบบงานมความทนสมยหรอมการ upgrade เพอใหเพยงพอรองรบการด าเนนธรกจในอนาคต ตลอดจนจดใหมเครองประมวลผลและโปรแกรมระบบงานไว 2 ชด ซงชดส ารองสามารถรองรบปรมาณธรกรรมไดเทยบเทาชดหลกทงในชวงปกตและชวง peak time

ระบบงานใชงานมาไมนาน อาจมบางสวนมความลาสมยบาง แตยงสามารถรองรบการด าเนนธรกจปจจบนตอได อาจตองปรบปรงตามกระบวนการปรบปรงเปลยนแปลงระบบงานตามรอบระยะเวลาทก าหนด ตลอดจนมเครองประมวลผลและโปรแกรมระบบงานไว 2 ชด ส ารองซงกนและกน แตยงมอปกรณบางสวนทอาจไมมการส ารองเอาไวหรอชดส ารองมประสทธภาพไมเทยบเทาชดหลก 100% แตยงสามารถรองรบปรมาณธรกรรมทงในชวงปกตและชวง peak time ไดอยางเพยงพอ

ระบบงานมการใชงานมานาน บางสวนมความลาสมย แลว อกทงมเครองประมวลผลและโปรแกรมระบบงานเพยงชดเดยว ไมมการจดเตรยมชดส ารองเอาไว

3.4 Incidents/Loss/ Complaint related to service disruption

ไมพบวาม Incidents/ความเสยหาย/ขอรองเรยน ทเกยวกบระบบงานส าคญของธนาคารหยดชะงก เชน Core Banking, ระบบงานสาขา, ATM, Internet Banking, Mobile Banking เปนตน ทสงผลตอการใหบรการลกคา

พบวาม Incidents/ความเสยหาย/ขอรองเรยน ทเกยวกบระบบงานส าคญของธนาคารหยดชะงก เชน Core Banking, ระบบงานสาขา, ATM, Internet Banking, Mobile Banking เปนตน ทสงผลตอการใหบรการลกคาแตอยในวงจ ากด แตไมสงผลกระทบตอชอเสยงของธนาคาร และสามารถกคนระบบไดตาม RTO ทก าหนดไว

พบวาม Incidents/ความเสยหาย/ขอรองเรยน ทเกยวกบระบบงานส าคญของธนาคารหยดชะงก เชน Core Banking, ระบบงานสาขา, ATM, Internet Banking, Mobile Banking เปนตน ทสงผลตอการใหบรการลกคาแตอยในวงกวาง สงผลกระทบตอชอเสยงของธนาคาร และระบบงานหยดชะงกเปนเวลานานเกนกวา RTO ทก าหนดไว

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-10 -

2.2.2 ปจจยการประเมน IR ดานกลยทธ

ปจจยทใชพจารณา การประเมนระดบ IR Strategic

ต า ปานกลาง สง IT Business Alignment นโยบาย/แผนกลยทธ และการจดสรรงบประมาณโครงการดาน IT ทส าคญสอดคลองกบเปาหมายเชงกลยทธทางธรกจ

ธนาคารก าหนดนโยบาย/แผนกลยทธ และการจดสรรงบประมาณลงทนดาน IT มความสอดคลองกบเปาหมายเชงกลยทธธรกจ และมแผนงาน/โครงการในการพฒนาปรบปรงระบบ IT ทชดเจนในการรองรบการเตบโตทางธรกจระยะยาว ทงในดาน Digitization และ Regionalization

ธนาคารมโครงการดาน IT ทส าคญทอยระหวางด าเนนการอยบาง และไมมโครงการทลาชา

ธนาคารก าหนดนโยบาย/แผนกลยทธ และการจดสรรงบประมาณลงทนดาน IT สอดคลองกบเปาหมายเชงกลยทธธรกจอยบาง แตแผนงาน/โครงการในการพฒนาปรบปรงระบบ IT ทจะน ามาสนบสนนการท าธรกจระยะยาวยงไมชดเจน

ธนาคารมโครงการดาน IT ทส าคญทอยระหวางด าเนนการ แตเปนเพยงการปรบปรงหรอเพมประสทธภาพ ซงหากโครงการมความลาชา กไมสงผลกระทบตอเปาหมายกลยทธการด าเนนธรกจหรอสงผลกระทบตอการใหบรการลกคา

ธนาคารมนโยบาย/แผนกลยทธในการพฒนาดาน IT แตแผนอาจไมมความชดเจนและไมเพยงพอรองรบในการสนบสนนแผนกลยทธเชงธรกจได

ธนาคารมโครงการดาน IT ทส าคญใหม ๆ ทอยระหวางด าเนนการเปนจ านวนมาก และหากโครงการมความลาชาหรอมการเลอนแผนงานจะสงผลกระทบตอเปาหมายกลยทธการด าเนนธรกจหรอสงผลกระทบตอการใหบรการลกคา

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-11 -

สวนท 3 การประเมน Quality of Risk Management (QRM)

3.1 ค าจ ากดความ Quality of Risk Management (QRM) หมายถง การบรหารจดการเพอลดความเสยงทมอย

ของแตละ SA นน โดยจะแบงการประเมนออกตามระดบการควบคมเปน 2 ระดบ คอ

1. ระดบการปฏบตงานประจ าวน (Operational Management : OM) เปนการควบคมเพอจดการความเสยงทมอยของการท าธรกรรมในแตละวน (Day-to-Day Operation) เพอใหมนใจวาผปฏบตงานเขาใจความเสยงทเกดขนและสามารถจดการกบความเสยงนนได โดยมนโยบาย ขนตอนการปฏบตงาน และบคลากรเพยงพอและมประสทธภาพในการจดการความเสยง ถอเปน “แนวปองกนความเสยงชนแรก (First Line of Defense)”

2. ระดบการควบคมดแล (Oversight Functions : OF) เปนการควบคมดแลการจดการเชงปฏบตการโดยรวมของ สง. โดยมหนวยงานหรอผทมความเปนอสระของ สง. ซงไมมหนาทรบผดชอบการปฏบตงานประจ าวน ท าหนาทดงกลาว ประกอบดวยงาน 5 ดาน ไดแก คณะกรรมการ สง. ผบรหารระดบสง งานบรหารความเสยง งานก ากบการปฏบตตามกฎเกณฑ และงานตรวจสอบภายใน เพอใหเกดความมนใจวาระบบ IT ของ สง. มการด าเนนการทสอดคลองกบมาตรฐานและแนวปฏบตทด

3.2 การประเมน QRM (OM + OF) สง. จะตองจดใหมระบบการบรหารจดการความเสยงทมประสทธภาพ เพอสามารถลดหรอควบคมความเสยงทมอยของระบบงาน IT โดยม QRM ในแตละระดบ ดงน

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-12 -

3.2.1 การประเมน Operational Management (OM)

(1) ดานการรกษาความปลอดภย (Security)

ปจจยทใชประเมน วธการประเมน การก ากบดแลนโยบายดานการรกษาความปลอดภย

ประเมนการก าหนด Policy/ Standard/ Procedure ทครอบคลมกจกรรมงาน IT ของ สง. อยางชดเจนเปนลายลกษณ และไดรบการอนมตจากคณะกรรมการทไดรบมอบหมาย ตลอดจนมกระบวนการทบทวนปรบปรงอยางสม าเสมอใหทนสมยและสอดคลองตามมาตรฐานสากล (ขอบเขตครอบคลมตาม ISO) อกทงมการควบคมดแลใหมการปฏบตงานใหเปนไปตาม Policy/ Standard/ Procedure ทก าหนด และมกระบวนการ exception อยางชดเจนและตรวจสอบได

สอบทานการทบทวนนโยบายดานการรกษาความปลอดภย สอบทานรายงานการปฏบต/ไมปฏบตตามนโยบายทก าหนด

การก าหนดนโยบาย ดานการรกษาความปลอดภยและการน าไปก าหนดกรอบเปนแนวทางการปฏบตงาน

นโยบายดานการรกษาความปลอดภยฉบบลาสดไดรบอนมตจาก คณะกรรมการ สง. โดยอางองตามมาตรฐาน ISO27001/ ISO17799:2005

มรายละเอยดครอบคลมเรอง Security, Integrity, Availability และ Data Confidentiality เปนตน

นโยบาย มาตรฐาน ระเบยบ ประกาศใชเปนการทวไป ใหพนกงานทกคนเขาถงได และมการสอสารใหพนกงานรบทราบ

นโยบาย มาตรฐาน ระเบยบ มความสอดคลองกนและครอบคลมเรองส าคญ/เทคโนโลยใหมๆ ท สง. น ามาใชแลว เชน เรอง Privileged User ID Management, Data Leak Protection, Wireless Network, BYOD, Cloud Computing เปนตน

มหนวยงานควบคมดแลใหมการปฏบตตามนโยบายดงกลาว และการขอยกเวนไมปฏบตตามนโยบาย มาตรฐาน หรอระเบยบ ตองไดรบความเหนชอบจากผทมอ านาจ

มาตรการรกษาความปลอดภยดาน Physical และการปฏบตตามนโยบาย

ประเมนและสอบทานการรกษาความปลอดภยทางกายภาพของ Area อน ๆ ทส าคญของธนาคาร/บรษท เชน การใช Access Control System (บตร/รหสผาน/สแกนลายนวมอ) การจดแบงโซน (Zoning), Guard และการจดเกบทะเบยนและสอบทาน log การผานเขาออก เปนตน

มาตรการรกษาความ ปลอดภยดาน Logical และการปฏบตตามนโยบาย

ประเมนมาตรการ เทคโนโลย และเครองมอทใชในการรกษาความปลอดภยดาน Logical แบบ End-to-End ใหครอบคลมมาตรการทงในเชงปองกน (Prevent) ตดตาม (Detect) และแกไข (Correct) หากเกดการบกรก/ภยคกคามตางๆ ดงน (1) ระบบเครอขายสอสาร (Network Infrastructure)

o Network Diagram : ระบบและขอมลส าคญมความปลอดภยจากการถกบกรกทางเครอขายทงภายในภายนอก การออกแบบระบบ

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-13 -

ปจจยทใชประเมน วธการประเมน เครอขายสอดคลองตามหลกมาตรฐานสากล และมจดใดทจะกอใหเกด Single Point of Failure หรอไม

o การประเมนชองโหว (VA) ของอปกรณระบบเครอขายสอสาร o แนวปฏบตทด : การแบงเครอขายยอยออกเปน DMZ zone,

database zone, server zone, extranet zone, BOT zone, UAT and Dev zone และ WAN zone เปนตน เพอก าหนดมาตรการรกษาความปลอดภยใหเหมาะสม โดยใชฟงกชน Virtual Local Area Network (VLAN) ในอปกรณ Switch

o ธนาคารแยกเครอขาย internet ออกจากเครอขาย intranet อยางชดเจน รวมทงมการแยกเครอขาย Internet ทใหพนกงานใชทวไปกบเครอขาย internet ทใชส าหรบงานของธนาคาร เชน การ update patch, virus signature, IPS signature เปนตน มการตดตง firewall ปองกนทจดเชอมตอไปยงเครอขาย internet อยางเหมาะสม

o มการใช IPS เพอตรวจจบ และปองกนการบกรก ผานชองทางส าคญ o Network Security Monitoring : ประเมนความชดเจนของ

หนวยงานผรบผดชอบ ความครอบคลมของการ Monitor เครองมอทใช และกระบวนการด าเนนการหากพบความผดปกตหรอทนาสงสย หากมการ outsource งานดาน Network Security Monitoring ประเมนตามแนวทาง IT Outsource และใหความส าคญกบประเมนความเสยงทผใหบรการสามารถเขาถงระบบงาน/ขอมลภายในของธนาคาร

o [Refer to Best Practices Phase I : 2.2.1 Network Access Control, 2.2.2 Network Security Management]

(2) ระบบปฏบตการ (OS) และโปรแกรมระบบงาน (Application) o ประเมนกระบวนการ/วธการในการก าหนด/ควบคม/สอบทานสทธ

การใชงาน OS/Application การตงคาและปรบแตงคา parameter การจดเกบและสอบทาน log และการจดการ patch โดยครอบคลมถง กระบวนการควบคมสทธ หนวยงานผก าหนดสทธ หนวยงานผสอบทานสทธ ความถในการสอบทาน

o สอบทานการ set policy ใน AD เชน รหสผานขนต า 8 ตวอกษร บงคบเปลยนรหสผานทก 90 วน และตงรหสผานหามซ ากบของเดม 5 ครงกอนหนา พมพรหสผานผดไดไมเกน 3 ครง และท าการ lock screen server อตโนมตเมอไมไดใชงานหนาจอเกน 15 นาท เปนตน

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-14 -

ปจจยทใชประเมน วธการประเมน o สอบทานการควบคมสทธ Privilege User เชน หนวยงานทควบคม/

ใชระบบ Vault เพอควบคมการขอเขาใชงาน การจดเกบ Log ของการใชงาน Privilege User หนวยงานทสอบทาน เปนตน

o Non-Repudiation, Session Control, Audit Trail, Logging o Administration : System Admin, Application Admin,

Security Admin o การตงคาความปลอดภยของเครอง เชน การสอบทาน firewall rule o การ maintenance : Hardening : พนกงานออกและสอบทาน

hardening checklist การตดตามและปรบปรง patch ของระบบปฏบตการ Windows

o การประเมนชองโหว (VA) ของ OS และ Application ตางๆ o [Refer to Best Practices Phase I : 2.3.1 Logical Access

Control, 2.3.2 System Security Management] (3) Information/Data Confidentiality o การจดล าดบความส าคญของขอมล มมาตรการและเครองมอในการ

รกษาความปลอดภยและความลบใหเหมาะสมและสอดคลองกบล าดบความส าคญของขอมล (Data at Rest, Data in Transit, Data in use) และทบทวนอยางสม าเสมอ ใหเปนปจจบน เชน การเขารหสขอมลบนเครอขายสอสาร บน Disk เชน เขารหส

แบบ end-to-end encryption ดวยมาตรฐาน SSL (Secure Socket Layer)

การสงขอมลบรษทไปยงภายนอก ใช PGP Standard ในการ encrypt รปแบบ Algorithm เปน RSA (2048 bits) และมการแลกเปลยน Public Key ทกป

การรายงาน Security Violation Report ตอ ITSC ทกเดอน ขอสงเกตจากการสมตรวจสอบมาตรการรกษาความปลอดภย

ของบรษทภายนอก การทดสอบการเจาะระบบงานโดยทปรกษาภายนอก เพอตรวจหา ชองโหวของระบบรกษา ความปลอดภย

สอบทานรายงานผลการทดสอบเจาะระบบโดยบรษททเชยวชาญภายนอก หรอโดยหนวยงานภายในบรษท ประเดนทมความเสยงและการแกไข

ประเมนความครอบคลมของการทดสอบ (เทยบกบ OWASP)

Loss incident ทเกยวของ สอบทานรายงาน Loss Incident ทส าคญทเปนการ Attack ดาน Security เชน Malware, DDoS เปนตน

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-15 -

(2) ดานความถกตองและความนาเชอถอ (Integrity)

ปจจยทใชประเมน วธการประเมน การก ากบดแลดานความถกตองและความนาเชอถอ

องคประกอบ และบทบาทหนาทของคณะกรรมการ/หนวยงานทเกยวของกบความถกตองและความนาเชอถอของขอมลและระบบงาน ครอบคลมหวขอดงตอไปน

o การควบคมการพฒนา การเปลยนแปลงโปรแกรม/ระบบงาน o การควบคมการเปลยนแปลง Parameter และคา configuration

ตาง ๆ o การควบคมการเปลยนแปลงอตราดอกเบยและคาธรรมเนยมตาง ๆ o การควบคมไมใหมการแกไขขอมลจรงบน Production โดยตรง o การควบคม Version ของการออกใช Software

การก าหนดนโยบาย ดานความถกตองและนาเชอถอ

มนโยบาย ระเบยบก าหนดขนตอนควบคม ครอบคลมเพยงพอกบการปฏบตงานในการพฒนา เปลยนแปลงระบบงานหรอการจดหาระบบงานใหม เชน คมอพฒนาระบบ Change Management Policy & Procedure , Incident Management Policy & Procedure โดยไดรบอนมตจากคณะกรรมการทเกยวของ

กระบวนการหรอมาตรการทใชในการทดสอบความถกตองและความนาเชอถอ

(1) SDLC ประเมนกระบวนควบคมการพฒนา/เปลยนแปลงระบบงาน IT รวมถงการน า

ระบบงานออกใชใน Production อยางเหมาะสมและสอดคลองตามนโยบายและระเบยบทก าหนด [Refer to Best Practices Phase II : ตารางการควบคมทส าคญ 6. Switching/Clearing ขอ 6.8]

ประเมนกระบวนการ โดยเลอกสมขนตอนตาง ๆ ไดแก Feasibility Study, Develop, Test, Go live

มาตรฐานการทดสอบทครอบคลม Unit Test, System Test, System Integrated Test (SIT), User Acceptance Test (UAT), Operation Acceptance Test (OAT)

(2) Batch Processing การประมวลผลสนวนมมาตรการ ขนตอน/เครองมอ ในการควบคมการ

ประมวลผลสนวน [Refer to Best Practices Phase II : ตารางการควบคมทส าคญ 6. Switching/Clearing ขอ 6.9 – 6.12]

(3) Application Control Switching/Clearing ครอบคลมการท าธรกรรมแบบ End-to-End [Refer

to Best Practices Phase II : ตารางการควบคมทส าคญ 6. Switching/Clearing ขอ 6.1- 6.5, 6.9-6.15]

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-16 -

ปจจยทใชประเมน วธการประเมน Payment Gateway ครอบคลมการท าธรกรรมแบบ End-to-End [Refer

to Best Practices Phase II : ตารางควบคมทส าคญ 5. e-commerce (payment gateway) ขอ 5.1-5.6]

Loss Incident ทเกยวของ สอบทานรายงาน Loss Incident ทส าคญ ทอาจกระทบตอความถกตองเชอถอไดของขอมล ระบบงาน เชน การตดตงโปรแกรมผดพลาดบน Production การเปลยน Table/Parameter เกยวกบอตราดอกเบยผด การน า Tape Backup ผดมา install เปนตน

(3) ดานความพรอมใชงาน (Availability)

ปจจยทใชประเมน วธการประเมน ความพรอมของศนยคอมพวเตอรหลก

ประเมนความพรอมของศนยคอมพวเตอร โดยดปจจย ไดแก ทตงศนยคอมพวเตอร ลกษณะโครงสรางอาคาร การบรหารจดการศนย [Refer to Best Practices Phase I : 2.1 ศนยคอมพวเตอร (Data Center)]

มาตรการดานการรกษาความปลอดภยทส าคญ ไดแก ผลการประเมนศนยเทยบมาตรฐานสากลไดระดบ Tier ตามมาตรฐานของ TIA942

ประเมนดาน Physical Security ไดแก o Access Control o Guard o CCTV o Fire Protection o สภาพแวดลอมอน ๆ เชน ความเสยงตออคคภย หรอภยธรรมชาต o การยกพนหองสงและตดตงอปกรณปองกนไฟฟาสถต (High

Pressure laminate: HPL) ระบบไฟฟาและไฟฟาส ารอง ไดแก

o Flow ของระบบไฟฟา o รายละเอยด UPS o รายละเอยด Generator และน ามนส ารอง

ระบบปรบอากาศ/ท าความเยน ระบบปองกนไฟไหมและน ารว ความพรอมใชของระบบเครอขายสอสาร [Refer to Best Practices Phase

I : 2.2.3 Network Availability Management] o เครอขายสอสารระหวางศนยหลก และศนยส ารอง o เครอขายสอสารจากสาขาทเชอมตอเขาสศนยหลก o มการประเมน Single Point of Failure เปนระยะ และทกครงทม

การตดตงอปกรณหรอเปลยนแปลงโครงสรางดานเครอขาย o การส ารองขอมลระหวางศนยหลกและศนยส ารอง

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-17 -

ปจจยทใชประเมน วธการประเมน o การบ ารงรกษา Hardware อปกรณภายในศนย และระบบ Facility

ตาง ๆ o การตดตามเฝาระวงทส าคญ และเครองมอทใชในการตดตาม

Security Monitoring o มแผนปฏบตการกรณเหตการณฉกเฉนครอบคลมกรณตาง ๆ เชน

อปกรณเครอขายสอสารตวใดตวหนงขดของ หรอระบบเครอขายสอสารขดของ เปนตน โดยจดท าแผนฯ เปนลายลกษณอกษรและเปนปจจบน และครอบคลมรายชอผใหบรการระบบเครอขายสอสารและเบอรตดตอ

o มการทดสอบแผน DRP กรณระบบเครอขายสอสารขดของรวมกบผใหบรการ

o มการประเมนประสทธภาพของผใหบรการเครอขายสอสารและมแผนรองรบกรณผใหบรการไมสามารถใหบรการได

ความพรอมของศนยคอมพวเตอรส ารอง

ขอมลศนยคอมพวเตอรส ารอง ในหวขอเชนเดยวกนกบศนยหลก วธการ/ขนตอนการส ารองขอมลประจ าวนของระบบงานส าคญ ประเมน

ความสอดคลองกบนโยบาย DRP การแบงประเภทและจดเตรยมความพรอมใชงานของระบบงานและขอมล กลยทธการกคน (Recovery Strategy) รปแบบ วธการ เทคโนโลย และ

ความถทใชในการส ารองขอมล การตดตามดแล Capacity ของเครองประมวลผลส าคญ

ประเมนการตดตามดแล Utilization & Capacity Management ของศนยคอมพวเตอรหลกและส ารอง อปกรณ Switching, Access Node และการเชอมตอทเกยวของกบสมาชกทงระบบหลกและส ารอง ในการใหบรการทงภาวะปกตและฉกเฉน รวมถง stress volume โดยสอบทานจากรายงาน เชน IT Dashboard, IT Service Management Monthly Report และการวด Capacity ของอปกรณคอมพวเตอร ระบบเครอขาย, Database Utilization, CPU & Memory Usage และ Incident Report เปนตน[Refer to Best Practices Phase I : 2.1.2 การบรหารจดการศนยฯ (Facility Management) + Phase II : ตารางการควบคมทส าคญ 6. Switching/Clearing ขอ 6.6]

กระบวนการตดตามดแลบ ารงรกษาอปกรณทเกยวของภายในศนยคอมพวเตอรหลกและส ารอง รวมถงอปกรณทเกยวของและเชอมตอ switching/clearing เพอใหมนใจวามความพรอมรองรบการใหบรการอยางตอเนอง [Refer to Best Practices Phase I : 2.1.2 การบรหารจดการศนยฯ (Facility Management) + Phase II : ตารางการควบคมทส าคญ 6. Switching/Clearing ขอ 6.7]

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-18 -

ปจจยทใชประเมน วธการประเมน การควบคมทรพยสนดาน IT

(1) การบนทกรายการทรพยสนคอมพวเตอร (Inventory List) ของ Hardware และ Software ควรมการก าหนดนโยบายในเรองระบบการบนทกขอมลรายการทรพยสน

คอมพวเตอรทไดจดซอ, เชา, และเชาซอมาอยางถกกฎหมาย ควรจดท าเครองมอ/ระบบบนทก/ทะเบยนรายการของทรพยสนคอมพวเตอร

ทไดจดหามา เพอควบคมทรพยสน ควรมการเกบขอมลลกษณะของรายการทรพยสนทมการเปลยนแปลง เชน

ทรพยสนรายการใหม สถานะภาพของการเปลยนแปลงจากของเดม (2) การควบคมทรพยสนคอมพวเตอร ควรมการตรวจสอบรายการทรพยสนจรงของศนยสารสนเทศทมอยทงหมด

กบทไดบนทกไวเปนระยะอยางสม าเสมอ ควรมการจดท ารายงานเพอใชควบคมดแลระบบควบคม ทรพยสน

คอมพวเตอรทกครงทมการเพม/ยกเลก/เปลยนแปลง Loss Incident ทเกยวของ สอบทาน Loss Incident ทส าคญ ทอาจกระทบตอความพรอมใชของ

ระบบงานและขอมล การก ากบดแลดานการบรหารความตอเนองทางธรกจดานเทคโนโลยสารสนเทศ (DRP)

บทบาทหนาทของคณะกรรมการ/คณะกรรมการยอย ผบรหารระดบสง และฝายงานทเกยวของในการก ากบดแลการบรหารความตอเนองทางธรกจตามสภาวะปกต

การแตงตงคณะกรรมการหรอทมงานเฉพาะกจเพอบรหารจดการขณะเกดเหตวกฤตพรอมบทบาทหนาทดงกลาว

การก าหนดนโยบายการบรหารความตอเนองทางธรกจ แผนฉกเฉนดาน IT (BCM Policy, BCP Policy, DR Policy)

ความชดเจนและความครอบคลมของการจดท าแผนฉกเฉนดาน IT ใหสอดคลองกบนโยบาย BCM/BCP รวมถงการประเมนการทดสอบระบบ ใน scenario ตางๆ เพอใหมนใจไดวาระบบมความพรอมในการรองรบการใหบรการแกสมาชกภายใต สถานการณฉกเฉนตาง ๆ [Refer to Best Practices Phase II : ตารางการควบคมทส าคญ 6. Switching/Clearing ขอ 6.6]

การจดท าแผน Disaster Recovery Plan (DRP) ของระบบงาน

รายละเอยดแผน DRP ของระบบงานส าคญ มรายละเอยดครอบคลมหวขอดงตอไปน

o หนาทความรบผดชอบของหนวยงานทเกยวของ o การวเคราะหผลกระทบตอธรกจ (BIA) o การประเมนความเสยง (Risk Assessment) และลดความเสยง o การจดล าดบระบบงานทส าคญและการจดสรรทรพยากร o การก าหนด trigger event และอ านาจการตดสนใจทชดเจน o Scenario ของการจดท าแผน ควรครอบคลม

ความรนแรงนอย เชน กรณเกดความเสยหายเปนบางเครอง/อปกรณ/ระบบงาน

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-19 -

ปจจยทใชประเมน วธการประเมน ความรนแรงปานกลาง เชน กรณระบบเครอขายสอสารขดของ ความรนแรงสง เชน กรณทตองยายไปใชงานศนยคอมพวเตอร

ส ารอง o Recovery Time Objective (RTO), Recovery Point Objective

(RPO) ของระบบงาน o ขนตอนการปฏบตเพอกคนระบบงานตงแตเกดเหตจนถงการกลบคน

สภาวะปกต o รายการอปกรณ และเบอรโทรศพทของผทเกยวของ (call tree)

รวมถง service providers คคา หรอ vendors o การทบทวนและปรบปรงแผน o ความสอดคลองและเปนไปไดของ DRP กบ BCP ของหนวยงาน IT,

service providers และฝายงานทเกยวของอน ๆ การทดสอบและการรายงานผลการทดสอบ Disaster Recovery Plan (DRP) ของระบบงานส าคญ

กระบวนการก าหนดแผนและการอนมตแผนการทดสอบประจ าป รายละเอยดแผนการทดสอบ scenario ทใช และความครอบคลมของ

ระบบงานและเครอขายสอสารทส าคญ การมสวนรวมของผทเกยวของ เชน user, vendors/counterparties หรอ

service providers ผลการทดสอบ (actual RTO/target RTO) และขอบกพรองหรอปญหาทพบ

ในการทดสอบ รวมถง การด าเนนการแกไข กระบวนการรายงานผลการทดสอบใหกรรมการหรอผบรหารระดบสง กระบวนการประเมนผลการทดสอบโดยหนวยงานทเปนอสระ

การทบทวนและปรบปรงแผนฉกเฉนดาน IT

การทบทวนและปรบปรงแผน DRP ตามสภาพแวดลอมทเปลยนแปลง / ตามขอสงเกตจากผลการทดสอบครงลาสด

3.2.2 การประเมน Oversight Functions (OF)

(1) คณะกรรมการธนาคาร (Board of Director : BOD)

หลกการ 1. เพอใหการบรหารจดการ สง. มความมนคง โปรงใส มธรรมาภบาล และปฏบตตามกฎเกณฑทางการ 2. ควบคมและตดตามการบรหารจดการ สง. ใหเปนไปตามนโยบาย แผนงานดาน IT และสอดคลองกบเปาหมายกลยทธทางธรกจทก าหนด

ปจจยทใชประเมน วธการประเมน บทบาทหนาทของคณะกรรมการธนาคารในการสนบสนนการด าเนนกลยทธ

คณะกรรมการมการก าหนดเปาหมาย วสยทศน พนธกจของ สง. อยางชดเจน และค านง Safety & Efficiency ของระบบ

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-20 -

ปจจยทใชประเมน วธการประเมน ดานเทคโนโลยสารสนเทศ คณะกรรมการก ากบดแลการด าเนนงานดาน IT สอดคลองกบธรรมาภบาล

และค านง Stakeholder ทเกยวของ ไดแก ธนาคารสมาชก ลกคาประชาชน และหนวยงานทางการ

บทบาทหนาทความรบผดชอบและองคประกอบของคณะกรรมการมความชดเจน เหมาะสม ถวงดล และตรวจสอบได ไมม Conflict of Interest

การก าหนดนโยบายและกรอบแนวทางการด าเนนงานดาน IT ทสอดคลองและสามารถสนบสนนนโยบายของธรกจ

การก าหนดนโยบายและกรอบแนวทางดานการบรหารจดการความเสยงใหอยในระดบทยอมรบได โดยค านงถงเรองการดแลผลกระทบตอลกคาผบรโภค

บทบาทของคณะกรรมการทเกยวของกบการสนบสนนและการบรหารจดการดาน IT โดยประเมนระดบการใหความส าคญและการสนบสนนในดานตาง ๆ ในลกษณะ High level ดงน

o การก าหนดกลยทธและงบประมาณดาน IT : คณะกรรมการใหความส าคญกบการก าหนดกลยทธดาน IT รวมทงมการดแลการจดสรรงบประมาณดาน IT ใหสอดคลองกบเปาหมายเชงกลยทธ เชน การ Support Business การเพม Efficiency ของ Infrastructure และ Security เปนตน

o บคลากร : มการก าหนดใหมโครงสรางหนวยงานทรบผดชอบ และมแผนการจดการบคลากรดาน IT อยางเพยงพอและเหมาะสม

o กระบวนการท างาน : มการจดใหมกระบวนการตรวจสอบและตดตามความเสยงดาน IT อยางเพยงพอเหมาะสมตามหลกการ 3 Lines of Defense

รายละเอยดแผนกลยทธและแผนงานประจ าปดาน IT ทส าคญ นโยบายและเปาหมายดาน IT ทส าคญ เชน

o นโยบายดานการรกษาความปลอดภย : ควรก าหนดใหคณะกรรมการบรษทจดใหมการประเมนประสทธภาพของนโยบายและกระบวนการรกษาความปลอดภยอยางนอยปละ 1 ครง หรอเมอมการเปลยนแปลงทกระทบตอการรกษาความปลอดภยทส าคญ และน าเสนอคณะกรรมการบรษทหรอคณะกรรมการทไดรบมอบหมาย

o นโยบาย Outsourcing/Insourcing IT : ควรก าหนดใหมการประเมนความเสยงกอนการใชบรการจากบคคลภายนอกและครอบคลมความเสยงดาน IT ทส าคญ รวมทง มการทบทวนความเสยงเปนประจ าอยางนอยปละครง

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-21 -

ปจจยทใชประเมน วธการประเมน o นโยบายการตรวจสอบดาน IT : ควรก าหนดใหมการตรวจสอบ

ศนยคอมพวเตอรอยางนอยทกรอบ 12 เดอน o นโยบาย BCM/BCP : ควรจดใหมการประเมนและทบทวนแผน

BCP จากหนวยงานภายนอกทมความเชยวชาญ หรอหนวยงานภายในทมความรความสามารถและมความเปนอสระ และรายงานผลการประเมนตอคณะกรรมการ นอกจากน ควรปรบปรงแผน BCP อยางนอยปละ 1 ครง หรอเมอมการเปลยนแปลงทส าคญ ควรทดสอบรวมกบผใหบรการและผใชบรการหลก รวมทงปรบปรงขอมลหรอเอกสารทไดเผยแพรแกพนกงานหรอบคคลภายนอกใหมความเปนปจจบนและสอดคลองกน

สรปการใชบรการ Outsourcing/Insourcing ทส าคญ การตดตามประเมนผล และตรวจสอบการปฏบตงานของผใหบรการภายนอก (Service Providers)

(2) ผบรหารระดบสง (Senior Management) หมายถง คณะกรรมการหรอหวหนาสายงาน ทท าหนาทรบนโยบาย เปาหมาย ไปปฏบตใหเกดผลส าเรจตามทก าหนด เชน Executive Committee แตไมรวมถง Audit Committee และ Risk Management Committee

หลกการ 1. การบรหารจดการอยางมประสทธภาพเพอใหผลการด าเนนงานใหเปนไปตามเปาหมาย ภายใตระดบความเสยงทยอมรบได 2. ก าหนด Infrastructure ใหสอดรบกบนโยบายและกลยทธ ไดแก กระบวนการท างาน ระบบ IT และบคลากร

3. ก าหนด Framework ในการบรหารความเสยง ไดแก ระบ วด ตดตาม ควบคม 4. การควบคมและตดตามการด าเนนงานใหเปนไปตามเปาหมาย รวมถงสงการแกไขปญหาอยางทนกาล 5. การบรหารงานดวยความโปรงใส มธรรมาภบาล และควบคมดแลใหการปฏบตงานเปนไปตามกฎเกณฑทงของ สง. และทางการ

ปจจยทใชประเมน วธการประเมน

บทบาทหนาทของคณะกรรมการดานเทคโนโลยสารสนเทศ ในการก ากบดแลงานดานเทคโนโลยสารสนเทศ

(1) โครงสรางสายงาน IT และบคลากร ประเมนความเหมาะสมของโครงสรางการก ากบดแลงานดาน IT โครงสราง

องคกรและสายการบงคบบญชาในการสนบสนนใหการด าเนนงาน IT สามารถสนบสนนธรกจตามเปาหมาย/แผนกลยทธ

บทบาทหนาทความรบผดชอบของผบรหารระดบสงของสายงาน IT และทเกยวของมก าหนดไวอยางชดเจน โดยครอบคลมกจกรรมงานดาน IT ตางๆ

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-22 -

ปจจยทใชประเมน วธการประเมน ตามโครงสรางองคกรทมการแบงแยกหนาทดตามหลกการควบคมงานดาน IT ทด โดยมการถวงดลอยางเหมาะสม

ผบรหารจดใหมการพฒนาบคลากรอยางครอบคลมและตอเนอง รวมถงการพฒนาบคลากรของธนาคารสมาชกใหสามารถดแลระบบในสวนทเกยวของรวมกน

(2) กระบวนการและเครองมอ ผบรหารจดใหมกระบวนการและชองทางประสานงานรวมกนเพอก ากบดแล

งานดานตาง ๆ รวมถงกรณเกดเหตการณปญหา/ความเสยงทเกดขน (ประเมนประสทธภาพของ Incident Escalation Process)

มกระบวนการ ระบบสารสนเทศ และเครองมอเพอการบรหารและปรบปรงประสทธภาพของการด าเนนงานดาน IT เพอใหระบบ IT สามารถสนบสนนธรกจไดดยงขน

ประเมนกระบวนการจดท าและทบทวนแผนกลยทธดาน IT การก าหนดแผนงาน/โครงการตางๆ มหนวยงานธรกจเขามามสวนรวม

ประเมนแผนกลยทธดาน IT ทงในระยะสนและระยะยาว เพอใหแผนกลยทธดาน IT มความสอดคลองกบนโยบายและกลยทธของธรกจ

มกระบวนการและเครองมอในการตดตามดแลแผนงาน/โครงการอยางใกลชดและตอเนอง พรอมทงมกระบวนการ/เครองมอทสามารถระบและประเมนความเสยงของแผนงาน/โครงการ เพอใหผบรหารควบคมดแลไดทนกาล

(3) คณะกรรมการเทคโนโลยสารสนเทศ (IT Committee) บทบาทหนาท : ก าหนดทศทางและนโยบายการบรหารจดการดาน IT ตาม

แผนกลยทธทางธรกจของธนาคาร รวมถงก ากบดแลการด าเนนงานโครงการดาน IT และการปฏบตงานของหนวยงานดาน IT โดยมการประชมอยางนอยเดอนละครง

องคประกอบ : มตวแทน/กรรมการจากสายงานธรกจ ฝายบรหารความเสยงรวมดวย มสมาชกประกอบดวยผเชยวชาญทไดรบการแตงตงโดยคณะกรรมการบรหาร หวหนาสายงานบรหารความเสยง และหวหนาฝายงานเทคโนโลยสารสนเทศ

ประเมนจากรายงานประชมของคณะกรรมการชดตาง ๆ วาคณะกรรมการ มการก ากบดแลและใสใจในงานดาน IT อยางเพยงพอ

บทบาทหนาทของผบรหารระดบสงในการก าหนดแผน กลยทธใหสอดคลองกบเปาหมายขององคกร รวมทง

การก าหนดทศทางการด าเนนงาน แนวนโยบายเพอผลกดนใหแผนงานตาง ๆ บรรลวตถประสงคขององคกร โดยพจารณาจากกระบวนการจดท าแผนกลยทธโดยมหนวยงานธรกจเขารวม มการก าหนดแผนกลยทธดาน IT (IT Roadmap) ทงในระยะสนและระยะยาว

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-23 -

ปจจยทใชประเมน วธการประเมน การก ากบดแลการด าเนนงานดานเทคโนโลยสารสนเทศ

การตดตามแผนงาน Project Management มการก าหนดใหมหนวยงานทมความเปนอสระท าหนาทตดตามความคบหนาการด าเนนโครงการดาน IT เพอเสนอตอคณะกรรมการเทคโนโลยสารสนเทศอยางสม าเสมออยางนอยเดอนละครง

การก าหนด SLA เพอใชในการตดตามประสทธภาพของระบบ IT บทบาทหนาทของหนวยงานดาน IT และผบรหารระดบสงในหนวยงานดาน IT

การจดโครงสรางองคกรและการแบงหนาทการท างานในภาพรวม บทบาทหนาทของแตละหนวยงาน ชอหวหนาหนวยงานพรอมประวต

การศกษาและประสบการณท างาน อตราก าลง และจ านวนพนกงานของสายงานทเกยวของตาง ๆ ดงน

o สายงาน IT & IT Security o สายบรหารความเสยง และบทบาทหนาท เฉพาะหนวยงานท

เกยวของกบความเสยงดาน IT & ความเสยงดานปฏบตการ o สายก ากบการปฏบตงาน (Compliance) และบทบาทหนาท เฉพาะ

หนวยงานทเกยวของกบการก ากบความเสยงดาน IT & ความเสยงดานปฏบตการ

o สายงานตรวจสอบภายใน และบทบาทหนาท เฉพาะหนวยงานตรวจสอบดาน IT

สอบทานการแบงแยกหนาทอยางเหมาะสมทงระดบองคกร (เชน มการแบงแยกการควบคมดาน IT ออกเปน 3 Lines of Defense ประกอบดวยการบรหารจดการดาน IT การบรหารความเสยง การก ากบดแลการปฏบตงาน และการสอบทานผลการปฏบตงาน และการแบงแยกหนาทภายในสายงาน IT วาไมม Conflict of Interest

สอบทานความเปนอสระของหนวยงาน Audit & Compliance โดยดจากสายการบงคบบญชา การรายงาน การประเมนผลงาน เปนตน

(3) Risk Management หมายถง ฝายบรหารความเสยง และคณะกรรมการบรหารความเสยง (Risk Management Committee)

หลกการ 1. เพอให สง. มการบรหารความเสยงดาน IT ทเหมาะสมกบการท าธรกรรม และความซบซอนของระบบงาน 2. การเปดเผยขอมลเกยวกบการบรหารความเสยงตอสาธารณชนอยางเพยงพอ

ปจจยทใชประเมน วธการประเมน บทบาทหนาทของหนวยงานทเกยวของกบการบรหารความเสยง

โครงสรางและบคลากรในหนวยงานบรหารความเสยง (ดาน IT และดานการทจรต)

o โครงสรางของหนวยงานมความเปนอสระและครอบคลมใหสามารถเชอมโยงความเสยงดาน IT และความเสยงดานตางๆ

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-24 -

ปจจยทใชประเมน วธการประเมน o การก าหนดบทบาทหนาทความรบผดชอบทชดเจนเปนลายลกษณ

อกษร o บคลากรมความเพยงพอสอดคลองกบขนาดของธรกจ

บทบาทหนาทของหนวยงานทดแลความเสยงดาน IT บทบาทหนาทของหนวยงานทดแลความเสยงดานการทจรต

นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศและการทจรต (เชง Preventive)

นโยบาย/การประเมนความเสยงดาน IT และแนวทางการควบคมความเสยงใหอยในระดบทยอมรบได ไดแก

o ผลการประเมนความเสยงดาน IT ลาสด และการจดล าดบความเสยงดาน IT

o แผนการลดความเสยงดาน IT ใหอยในระดบทยอมรบได o การด าเนนการตามแผนลดความเสยงดาน IT o การตดตามและรายงานความเสยงดาน IT

นโยบายการควบคมการทจรต เชน มนโยบายหรอแผนในการควบคม Loss ทเกดจากการทจรตทงป ไมใหเกน 0.03% ของรายได

กระบวนการและเครองมอทใชในการบรหารความเสยงดานเทคโนโลยสารสนเทศ และการทจรต (เชง Detective)

(1) กระบวนการ กระบวนการระบ ประเมน ควบคมและตดตามความเสยงดาน IT และ

ประสทธภาพของแนวทางการควบคมความเสยงเพอใหมนใจวามการบรหารจดการความเสยงภายใตระดบทยอมรบได (Risk Tolerance Level) โดยกระบวนการดงกลาวควรครอบคลมระบบของบรษทและทเชอมโยงกบระบบของสมาชก

ผลการประเมนความเสยงดาน IT ลาสด และการจดล าดบความเสยงดาน IT กระบวนการรายงานผลประเมนและการทดสอบความเสยงในดานตาง ๆ ให

คณะกรรมการทไดรบมอบหมายรบทราบ เชน Risk Assessment, ผลการทดสอบแผนฉกเฉน หรอรายงาน Loss/Incident เปนตน

กรอบแนวทางในการจดการความเสยงดาน IT ทชดเจนเปนลายลกษณอกษร มการทบทวนความเหมาะสมอยางตอเนองเปนประจ า เพอใหมนใจวามการควบคมความเสยงสอดคลองตามมาตรฐานทก าหนด [ส าหรบผใหบรการ Switching/Clearing Refer to Best Practices Phase II : ตารางการควบคมทส าคญ 6. Switching/ Clearing ขอ 6.1-6.3, 6.14-6.15]

(2) เครองมอ เครองมอทใช ความเพยงพอและเหมาะสมของเครองมอหรอวธการทใชใน

ระบ ชวด ตดตามและรายงานความเสยงดาน IT และปญหาทเกดขน เชน RCSA, KRI, Loss Data หรอ Incident & Problem Report เปนตน

เครองมอในการตดตามความปลอดภยตาง ๆ Fraud Monitoring มกระบวนการหรอระบบทใชในการเฝาระวงและ

ตดตามการทจรต

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-25 -

ปจจยทใชประเมน วธการประเมน (3) การใชบรการ IT Outsourcing แนวทางการบรหารความเสยงจากการใชบรการ IT Outsourcing สอดคลอง

ตามประกาศ ธปท. ขอบเขตงานหรอบรการทมการใช IT Outsourcing จาก Service

Providers สอบทานความเพยงพอของรายงานการตดตาม ประเมนผล และตรวจสอบ

การปฏบตงานของ Service IT incident & Problem Management (เชง Corrective)

กระบวนการบรหารจดการ Incident & Problem Management ครอบคลมหนวยงาน/ฝายงานรบผดชอบ คมอปฏบตงาน กระบวนการ และเครองมอรองรบการปฏบตงาน ตงแตการรบแจงจนถงการแกไข [Refer to Best Practices Phase II : ตารางการควบคมทส าคญ 6. Switching/ Clearing ขอ 6.4, 6.5, 6.7]

โครงสรางการก ากบดแลและควบคมตดตาม Incident & Problem Management Process ตลอดจนการรายงานใหคณะกรรมการ ผบรหารระดบสง และหนวยงานบรหารความเสยง

Loss Incident ทเกยวของ สอบทานรายงาน Loss Data, รายงาน Incident, รายงาน Problem จาก Help Desk (ถาม) Loss Incident ทส าคญ ใหสรปเรอง สาเหตและการแกไข หรอแนบไฟลสรปเรองของธนาคาร

(4) Compliance หมายถง หนวยงานก ากบการปฏบตตามกฎเกณฑ

หลกการ การด าเนนธรกจภายใตกฎหมาย กฎเกณฑ ขอบงคบ มาตรฐานและแนวปฏบตทบงคบใชกบธรกรรมตาง ๆ ของ สง.

ปจจยทใชประเมน วธการประเมน

บทบาทหนาทของหนวยงานดานการก ากบดแลการปฏบตตามกฎเกณฑทางการ

(1) โครงสรางและบคลากร หนวยงาน Compliance สอบทานโครงสรางองคกรสายการบงคบบญชาและการรายงานตอผท

เกยวของโดยพจารณาถงความเปนอสระจากหนวยงานธรกจ มการก าหนดบทบาทหนาท ความรบผดชอบทชดเจน เปนลายลกษณอกษร บคลากรมความเพยงพอสอดคลองกบขนาดของธรกจ (2) กระบวนการ สอบทานการปฏบตงานของหนวยงานธรกจ (Business Unit) วามความ

สอดคลองกบกฎหมาย กฎเกณฑทางการและมาตรฐานสากลดาน IT ทเกยวของ

มกระบวนการตดตามและรายงานความคบหนาขอสงเกตทตรวจพบใหคณะกรรมการทไดรบมอบหมายรบทราบ

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-26 -

ปจจยทใชประเมน วธการประเมน (3) เครองมอ สอบทานความเพยงพอและเหมาะสมของเครองมอทใช มกระบวนการแจง ธปท. ในเรองทเกยวของกบระบบงานสารสนเทศทม

นยส าคญ เชน การเปลยนแปลงเทคโนโลย การแจง IT Incident ทส าคญ ความคบหนาและการแกไขตามขอสงเกตหรอค าแนะน าของ ธปท.

สอบทานรายงานความคบหนาการแกไขขอสงเกตของ ธปท. เฉพาะขอสงเกตทยงแกไขไมแลวเสรจ

(5) Internal Audit หมายถง หนวยงานตรวจสอบภายใน

หลกการ 1. การสอบทานและประเมนประสทธภาพการด าเนนงานขององคกร เพอสนบสนนใหผปฏบตงานทกระดบขององคกรสามารถปฏบตหนาทเปนไปตามกฎหมาย ระเบยบ ขอบงคบทเกยวของอยางมประสทธภาพยงขน รวมถงการปองกนไมใหเกดการทจรต 2. รายงานผลการตรวจสอบมประโยชนตอการตดสนใจของผบรหาร รวมถงสนบสนนใหมระบบการควบคมภายในทมประสทธภาพ

ปจจยทใชประเมน วธการประเมน บทบาทหนาทของหนวยงานตรวจสอบภายใน

โครงสรางและบคลากร หนวยงานตรวจสอบภายใน โครงสรางของหนวยงานและสายการบงคบบญชามความชดเจนและเปน

อสระ มการก าหนดบทบาทหนาท ความรบผดชอบทชดเจนเปนลายลกษณอกษร

บคลากรมความเพยงพอสอดคลองกบขนาดของธรกจ การสอบทานโดยผตรวจสอบภายใน

ประเมนความเปนอสระ นโยบายและแผนการตรวจสอบครอบคลมเหมาะสม (ควรครอบคลมกจกรรมงาน IT ทมความเสยง) เครองมอทใชตรวจ และประสทธภาพในการตดตามและปดขอสงเกต

กระบวนการ มกระบวนการตรวจสอบทครอบคลมกจกรรมงาน IT ทส าคญ ตงแตการก าหนดนโยบาย การจดท าแผนการตรวจสอบ การรายงานใหคณะกรรมการทไดรบมอบหมายใหรบทราบ รวมถงการตดตามการแกไขประเดนทพบจากการตรวจสอบ

เครองมอ ความเพยงพอและเหมาะสมของเครองมอทใชในการตรวจสอบและตดตามการแกไขขอสงเกต ทงของหนวยงานตรวจสอบภายใน ผตรวจสอบภายนอก และ ธปท. และหนวยงานก ากบดแลอน ๆ

ประเมนคณภาพของการตรวจสอบ ขอเสนอแนะ และการรายงานตอคณะกรรมการตรวจสอบ รวมถงการสงการและการตดตามการแกไขปญหาของคณะกรรมการตรวจสอบ

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-27 -

สวนท 4 การประเมนความเสยงสทธ (Net Risk)

Net Risk หมายถง ความเสยงสทธของระบบ IT ทคงเหลออย ภายหลงจาก QRM ไดบรหารจดการ Inherent risk แลว หาก Net Risk อยในระดบสง สง. ควรด าเนนการแกไขปรบปรง QRM ใหมประสทธภาพมากขน หรอลด Inherent Risk ลง

สวนท 5 การประเมนแนวโนมความเสยง (Direction of Net Risk)

5.1 ค าจ ากดความ แนวโนมความเสยง หมายถง โอกาสทความเสยงสทธของระบบ IT จะเปลยนแปลงไปจากเดมทไดประเมนไว (ใน 1 ปขางหนา) ซงเกดจากการเปลยนแปลงของความเสยงทมอยของระบบ IT (Inherent Risk : IR) และ/หรอคณภาพการบรหารจดการความเสยง (Quality of Risk Management : QRM)

5.2 หลกการพจารณา

ปจจยทใชประเมน แนวโนมความเสยง

ลดลง คงท เพมขน ปจจยภายใน การเปลยนแปลง เทคโนโลย

โครงสรางระบบ IT ทส าคญ ไดผานการปรบปรงในดานการเพมประสทธภาพ (S,I,A) และความทนสมยตอการรองรบการด าเนนธรกจ รวมถงแนวโนมธรกจในอนาคต

โครงสรางระบบ IT ปจจบนเพยงพอรองรบการด าเนนธรกจตามแผนกลยทธ อยางไรกด ธนาคารมแผนจะด าเนนการเปลยนแปลงดาน IT เพอเพมประสทธภาพและความทนสมยในการรองรบแนวโนมธรกจในอนาคต

โครงสรางระบบ IT ทส าคญมการใชงานมานาน โดยยงไมมแผน / แนวทางจะปรบปรงแกไข อกทงมสญญาณบงชวาอาจมความเสยงทสงผลกระทบตอประสทธภาพในการปฏบตงานดาน IT (S,I,A) ใหรองรบการด าเนนธรกจรวมถงแนวโนมธรกจในอนาคต เชน ผผลตยกเลกการ support ระบบ IT ส าคญ

แนวทางการตรวจสอบดานเทคโนโลยสารสนเทศ

-28 -

มการก ากบดแลและกระบวนการในการตดตามดแลความเสยง/ปญหาตางๆ ภายหลงการปรบปรงโดยใกลชด เพอใหสามารถรบทราบปญหาและแกไขไดเรวและมประสทธภาพ

มการก าหนดโครงสรางการก ากบดแล กระบวนการและแนวทางการควบคมดแลการปฏบตงานตามแผนและความเสยงไวชดเจนเพยงพอตามสมควร

ธนาคารยงไมมแนวทางแกไขปญหาดาน IT ทสงผลกระทบตอการใหบรการอยางชดเจน

ปจจยภายนอก ภยคกคามรปแบบใหม ๆ ทมผลตอระบบงานส าคญ(New Technology Threat)

สง. ไดด าเนนการปรบปรงแกไข โดยปดชองโหวความเสยงของภยคกคามรปแบบใหม ๆ แลว

สง. ทราบถงความเสยง และมแนวทางทจะปรบปรงแกไขทสามารถปองกนความเสยงทชดเจนแลว

สง. อาจยงไมทราบถงความเสยง หรอยงไมมแนวทางจะปรบปรงแกไขชองโหวในระบบงาน