แนวทางการกำกับดูแลด้านเทคโนโลยีสารสนเทศ (จากกลต.บทความการกำกับดูแลบริษัทหลักทรัพย์)
ความเสี่ยงด้านเทคโนโลยีสารสนเทศ
ความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับการประกอบธุรกิจของบริษัทหลักทรัพย์ สามารถ แบ่งออกเป็น 4 ประเภทหลัก ดังนี้
1. Access Risk : เป็นความเสี่ยงเกี่ยวกับการเข้าถึงข้อมูล และระบบคอมพิวเตอร์ โดยบุคคล ที่ไม่มีอำนาจหน้าที่เกี่ยวข้อง งหากบริษัทหลักทรัพย์มิได้มี วิธีการจัดการและควบคุมความเสี่ยงด้าน access risk ที่รอบคอบและรัดกุมเพียงพอแล้ว อาจทำให้บุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้องได้ล่วงรู้ข้อมูล และอาจนำข้อมูลไปแสวงหาประโยชน์โดยมิชอบ
2. Integrity Risk : เป็นความเสี่ยงเกี่ยวกับความไม่ถูกต้องครบถ้วนของข้อมูลและการทำงานของระบบคอมพิวเตอร์ อาจมีสาเหตุมาจากการที่บริษัทหลักทรัพย์มิได้มีการควบคุมเกี่ยวกับการเข้าถึงข้อมูลและระบบคอมพิวเตอร์โดยบุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้องที่รอบคอบและรัดกุมเพียงพอ (access risk) ซึ่งส่งผลให้ข้อมูล รวมทั้งการทำงานของระบบคอมพิวเตอร์ อาจถูกแก้ไขเปลี่ยนแปลงโดยมิชอบก็อาจส่งผลให้ระบบคอมพิวเตอร์มีการประมวลผลที่ไม่ถูกต้องครบถ้วน หรือไม่สอดคล้องกับความต้องการของผู้ใช้งานได้
3. Availability Risk : เป็นความเสี่ยงเกี่ยวกับการไม่สามารถใช้ข้อมูลหรือระบบคอมพิวเตอร์ได้อย่างต่อเนื่องหรือในเวลาที่ต้องการ ซึ่งอาจทำให้การปฏิบัติงานหรือการดำเนินธุรกิจของบริษัท หลักทรัพย์หยุดชะงักได้
4. Infrastructure Risk : เป็นความเสี่ยงเกี่ยวกับการที่บริษัทหลักทรัพย์มิได้จัดให้มีการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่สะท้อนระบบควบคุมภายในที่ดี รวมถึงการมิได้จัดให้มีนโยบายเกี่ยวกับการรักษา ความปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT security policy) ซึ่งทำให้ไม่มีแนวทางในการควบคุมความเสี่ยงต่างๆ หรือเกิดจากการไม่มีแผนงานและขั้นตอนการปฏิบัติงานที่ครอบคลุมงานสำคัญ
แนวทางการกำกับดูแลด้านเทคโนโลยีสารสนเทศ
ความเสี่ยงด้านเทคโนโลยีสารสนเทศเป็นความเสี่ยงหนึ่งที่สำนักงานให้ความสำคัญ เนื่องด้วยความเสี่ยงดังกล่าวอาจทำให้การประกอบธุรกิจของบริษัทหลักทรัพย์ขาดความน่าเชื่อถือและไม่มีประสิทธิภาพ ซึ่งจะส่งผลกระทบต่อการประกอบธุรกิจของบริษัทหลักทรัพย์เองและลูกค้า สำนักงานจึงมีนโยบายที่จะกำกับดูแลและตรวจสอบเกี่ยวกับการบริหารจัดการและการควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทหลักทรัพย์อย่างจริงจัง โดยให้ความสำคัญกับการบริหารจัดการและการควบคุมความเสี่ยงที่เกี่ยวข้องกับระบบซื้อขายหลักทรัพย์ ระบบปฏิบัติการ หลักทรัพย์ และระบบงานสำคัญอื่น ในเรื่องดังต่อไปนี้
1. โครงสร้างหน่วยงานและการบริหารจัดการ
1.1 การแบ่งแยกอำนาจหน้าที่ แนวทางการกำกับดูแล สำนักงานให้ความสำคัญกับระบบการสอบยันการปฏิบัติงานระหว่างบุคลากรภายในหน่วยงานเทคโนโลยีสารสนเทศ โดยไม่ควรมอบหมายให้บุคลากรคนหนึ่ง คนใดรับผิดชอบการปฏิบัติงานตลอดกระบวนการ
1.2 การกำหนดนโยบาย แผนงานและขั้นตอนการปฏิบัติงาน แนวทางการกำกับดูแล สำนักงานให้ความสำคัญกับความครบถ้วนและความ ชัดเจนของนโยบาย แผนงานและขั้นตอนการปฏิบัติงาน โดยเฉพาะนโยบาย แผนงาน และขั้นตอนการปฏิบัติงานที่เกี่ยวข้องกับการรักษาความปลอดภัยของข้อมูลและระบบคอมพิวเตอร์
1.3 การกำกับดูแลและตรวจสอบการปฏิบัติงาน แนวทางการกำกับดูแล สำนักงานให้ความสำคัญกับการรายงานการปฏิบัติงานและการตรวจสอบการปฏิบัติงาน เพื่อให้มั่นใจได้ว่าการปฏิบัติงานถูกต้อง ครบถ้วน เป็นไปตามนโยบายและขั้นตอนการปฏิบัติงาน และอยู่ในกรอบอำนาจหน้าที่และความรับผิดชอบตามที่ บริษัทกำหนดไว้
2. การรักษาความปลอดภัยข้อมูลและระบบคอมพิวเตอร์
2.1 การควบคุมการเข้าออกศูนย์คอมพิวเตอร์และการป้องกันความเสียหาย (Physical Security) แนวทางการกำกับดูแล สำนักงานให้ความสำคัญกับการควบคุมการเข้าออก ศูนย์คอมพิวเตอร์ที่รัดกุมเพียงพอ โดยควรจำกัดสิทธิการเข้าออกศูนย์คอมพิวเตอร์เฉพาะผู้ที่มีหน้าที่ เกี่ยวข้อง และควรมีการตรวจสอบการเข้าออกศูนย์คอมพิวเตอร์อย่างสม่ำเสมอ
2.2 การควบคุมการใช้ข้อมูลและระบบงานคอมพิวเตอร์ และการป้องกันการบุกรุกผ่านระบบเครือข่าย (Logical Security) แนวทางการกำกับดูแล สำนักงานให้ความสำคัญกับการจัดให้มีระบบการตรวจสอบ ผู้ใช้งานก่อนเข้าสู่ระบบคอมพิวเตอร์ (authentication) และการกำหนดให้มีการใส่รหัสผ่านก่อนเข้าสู่ระบบคอมพิวเตอร์
3. การควบคุมการพัฒนา การแก้ไขหรือเปลี่ยนแปลงระบบงานคอมพิวเตอร์ (Change Management) แนวทางการกำกับดูแล สำนักงานให้ความสำคัญกับวิธีการจัดการและการควบคุมที่รอบคอบและรัดกุมเพียงพอ โดยหากการพัฒนา แก้ไขหรือเปลี่ยนแปลงระบบงานคอมพิวเตอร์มีการร้องขอจากผู้ใช้งาน การร้องขอนั้น ก็ควรได้รับความเห็นชอบจากผู้มีอำนาจหน้าที่ ควรจัดทำให้เป็น
ลายลักษณ์อักษร และควรกำหนดให้มีการทดสอบก่อนการใช้งานจริงทั้งจากเจ้าหน้าที่พัฒนาระบบและผู้ใช้งาน เพื่อให้มั่นใจว่าระบบงานคอมพิวเตอร์ที่ได้รับการพัฒนา แก้ไขหรือเปลี่ยนแปลง มี
การทำงานที่มีประสิทธิภาพ มีการประมวลผลที่ถูกต้องครบถ้วน และเป็นไปตามความต้องการ
ของผู้ใช้งาน
4. การสำรองข้อมูลและระบบงานคอมพิวเตอร์ และการเตรียมพร้อมกรณีฉุกเฉิน
4.1 การสำรองข้อมูลและระบบงานคอมพิวเตอร์ แนวทางการกำกับดูแล สำนักงานให้ความสำคัญกับความครบถ้วนของการสำรองข้อมูลและระบบงานคอมพิวเตอร์ วิธีการเก็บรักษาสื่อที่ใช้บันทึกข้อมูลและระบบงานคอมพิวเตอร์ และการทดสอบความถูกต้องครบถ้วนของข้อมูลและการทำงานของระบบงานคอมพิวเตอร์ที่ได้สำรองไว้
4.2 การเตรียมพร้อมกรณีฉุกเฉิน แนวทางการกำกับดูแล สำนักงานให้ความสำคัญกับการจัดให้มีแผนรองรับเหตุการณ์ฉุกเฉินต่างๆ ซึ่งแผนดังกล่าวควรมีรายละเอียดที่ชัดเจนเกี่ยวกับขั้นตอนปฏิบัติและผู้รับผิดชอบ ควรมีการสื่อสารให้ผู้เกี่ยวข้องเข้าใจและรับทราบหน้าที่ความรับผิดชอบ
5. การควบคุมการปฏิบัติงานประจำด้านคอมพิวเตอร์ แนวทางการกำกับดูแล สำนักงานให้ความสำคัญกับการกำกับดูแลและควบคุมการปฏิบัติงาน ประจำด้านคอมพิวเตอร์อย่างใกล้ชิดของผู้บังคับบัญชา การปฏิบัติงานที่มีขั้นตอนที่ชัดเจนและสามารถตรวจสอบได้ รวมทั้งควรจัดให้มีระบบการรายงาน และการตรวจสอบการปฏิบัติงานประจำดังกล่าวอย่างสม่ำเสมอ
Download เอกสารเพิ่มเติม ที่นี่ IT Manage.pdf
ขอขอบคุณแหล่งที่มา : สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย
หากท่านมีความสนใจบริการของตรวจสอบภายใน สามารถติตต่อได้ที่
เบอร์ 02-5878080 ต่อ 209 ด้วยความยินดียิ่ง