การกำกับดูแลความเสี่ยง IT ของธุรกิจประกันภัย
ในปี 2566 ธุรกิจต่าง ๆ และธุรกิจประกันภัยเอง ต้องเผชิญความท้าทายจากสภาวะการแข่งขันที่รุนแรง และเทคโนโลยีที่เติบโตอย่างรวดเร็ว ทำให้หลายบริษัทในแวดวงธุรกิจต่างๆ ต้องเร่งปรับตัวให้ทันต่อการเปลี่ยนแปลง และเพื่อให้สามารถดำเนินธุรกิจต่อไปได้ หลายบริษัทจึงได้นำเทคโนโลยีใหม่ ๆ เข้ามาช่วยในการดำเนินงาน ไม่ว่าจะเป็นการพัฒนาผลิตภัณฑ์ใหม่ ๆ ช่องทางในการเข้าถึงบริการของลูกค้า ซึ่งจะเห็นได้ว่าเทคโนโลยีสารสนเทศเข้ามามีบทบาทอย่างมากในการดำเนินธุรกิจ แต่การนั้นก็ย่อมมีความเสี่ยงที่แฝงมาด้วยเช่นกัน
ในช่วงไม่กี่เดือนที่ผ่านมานี้หลายๆ ท่านคงเคยได้ยินมาบ้างแล้ว เนื่องจากผลกระทบจากกรณีที่ข้อมูลส่วนบุคคลหลุด หรือรั่วไหล ซึ่งนั่นก็นับว่าเป็นหนึ่งในความเสี่ยงทางด้านเทคโนโลยีสารสนเทศและอาจจะเป็นความเสี่ยงที่เกิดจากภัยคุกคามทางไซเบอร์ที่ปัจจุบันมีแนวโน้มเพิ่มสูงขึ้นเป็นอย่างมาก นั่นคือสาเหตุหลักที่ก่อให้เกิดความเสียหาย และมีผลกระทบต่อความเชื่อมั่นของลูกค้าอย่างปฏิเสธไม่ได้
ดังนั้น หน่วยงานภาครัฐ หน่วยงานที่กำกับดูแลภาคเอกสาร และหน่วยงานความมั่นคงต่าง ๆ รวมถึงสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย หรือ OIC ซึ่งเป็นหน่วยงานที่กำกับดูแลภาคธุรกิจประกันภัย จึงได้กำหนดให้มีหลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อให้บริษัทประกันภัยมีการกำกับดูแลที่ดี สามารถบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ และภัยคุกคามทางไซเบอร์ได้อย่างเหมาะสม รวมทั้งมีการควบคุม และรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสมควบคู่กันไป สอดคล้องกับมาตรฐานสากล ตลอดจนการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ และการตรวจสอบด้านเทคโนโลยีสารสนเทศ
จริง ๆ แล้วทางสำนักงาน คปภ. เองก็ได้ร่วมผลักดันเกี่ยวกับการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ และภัยคุกคามทางไซเบอร์กับหน่วยงานกำกับดูแลต่าง ๆ ในประเทศไทยมาตั้งแต่ปี 2560 และได้มีการออกร่างประกาศหลักเกณฑ์ และแนวทางในการปฏิบัติต่าง ๆ เพื่อเป็นแนวทางในการศึกษา และหารือเกี่ยวกับการนำเอาข้อกำหนดต่าง ๆ เข้ามาใช้ในการปฏิบัติ และในปี 2563 ที่ผ่านมา ทางสำนักงาน คปภ. ได้ออกประกาศฯ เรื่อง หลักเกณฑ์การกำกับดูแล และบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต ซึ่งได้มีการกำหนดหลักเกณฑ์การปฏิบัติในการกำกับดูแล และบริหารจัดการความเสี่ยงทางด้าน IT โดยจำแนกออกเป็น 8 หมวดหมู่ที่สำคัญ ได้แก่ การกำกับดูแลด้านเทคโนโลยีสารสนเทศ การบริหารโครงการด้านเทคโนโลยีสารสนเทศ การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ การปฏิบัติตามกฎหมาย และหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ การตรวจสอบด้านเทคโนโลยีสารสนเทศ การกำกับดูแล และการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ และการรายงานเหตุการณ์ภัยคุกคามทางไซเบอร์ หรือภัยคุกคามที่มีต่อระบบเทคโนโลยีสารสนเทศ และในปี 2564 ได้มีการออกคู่มือแนวปฏิบัติ เรื่อง การกำกับดูแลและบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย เพื่อเป็นแนวทางให้บริษัทประกันภัยสามารถทำความเข้าใจ และสามารถปฏิบัติตามข้อกำหนดในประกาศ IT Risk Management ได้อย่างถูกต้องครบถ้วน
ซึ่งจะเห็นได้ว่าทั้งประกาศหลักเกณฑ์ฯ และแนวปฏิบัติฯ นั้น ครอบคลุมการปฏิบัติงานภายใต้หลักการ Three Lines of Defense Model ซึ่งจะมีทั้งภาพของการกำกับดูแลในเชิงนโยบายภาพรวม ภาพของการดำเนินการของระดับบริหาร ระดับปฏิบัติการ และหน่วยงานที่เกี่ยวข้อง และภาพของการตรวจสอบที่เป็นต้องมีความเป็นอิสระ และการให้ความเชื่อมั่นต่อระบบการควบคุมภายในที่ดี ซึ่งเป็นสิ่งที่สะท้อนให้เห็นถึงประสิทธิภาพในการกำกับดูแลที่ดีขององค์กรนั่นเอง
ทั้งนี้ สำหรับผู้ประกอบการธุรกิจประกันภัย ภายใต้การกำกับดูแลของสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย หรือ OIC จำเป็นจะต้องมีการตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit) ทุกปี โดยขอบเขตที่ใช้ในการตรวจสอบฯ นั้นจะต้องครอบคลุม และสอดคล้องกับประกาศฯ เรื่อง หลักเกณฑ์การกำกับดูแล และบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / บริษัทประกันวินาศภัยที่สำนักงาน คปภ. กำหนดข้างต้น และจัดทำรายงานผลการตรวจสอบตามรูปแบบที่ คปภ. กำหนด เพื่อใช้ในการนำส่งให้กับทางสำนักงาน คปภ. เมื่อมีการร้องขอ
และนอกเหนือจากการที่ต้องนำส่งรายงานให้สำนักงาน คปภ. ตามระเบียบที่กำหนดแล้ว ผู้ประกอบการธุรกิจประกันภัยก็ยังสามารถใช้ประโยชน์จากรายงานผลการตรวจสอบมาใช้ในการวิเคราะห์ความเสี่ยง และผลกระทบที่อาจเกิดขึ้นจากช่องโหว่ต่าง ๆ และการควบคุมภายในที่ยังไม่เพียงพอ เพื่อนำมาใช้ในการปรับปรุงกระบวนการควบคุมภายใน ระบบเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินธุรกิจให้มีความปลอดภัยมากยิ่งขึ้นนั่นเอง
สำหรับท่านที่อ่านมาถึงตรงนี้แล้ว กำลังสนใจ และมองหาบริการที่เกี่ยวข้องกับการตรวจสอบระบบเทคโนโลยีสารสนเทศ (IT Audit) การตรวจสอบการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA Audit) หรือบริการอื่นๆ ที่เกี่ยวข้องกับด้านการตรวจสอบภายใน สามารถติดต่อเพื่อสอบถามรายละเอียดได้ที่ dir.co.th
ถ้าชอบก็อย่าลืมกด Like และกดติดตาม Facebook Fan Page “บริษัท ตรวจสอบภายในธรรมนิติ จำกัด” ของเราด้วยนะครับ ท่านจะได้ไม่พลาดเนื้อหาดี ๆ ในครั้งถัดไป สำหรับวันนี้ก็ขอกล่าวคำว่า “ขอบคุณ และสวัสดีครับ”
ที่มา สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.)
เว็บไซต์ : https://www.oic.or.th/th/consumer
เรียบเรียง โดยฝ่ายเทคโนโลยีสารสนเทศ DIR