(IT Risk Management Practice) - SECกรอบการกำก บด...

24
แนวทางการบริหารและจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk Management Practice) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ พฤศจิกายน 2562

Transcript of (IT Risk Management Practice) - SECกรอบการกำก บด...

Page 1: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

แนวทางการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศ

(IT Risk Management Practice)

สำนกงานคณะกรรมการกำกบหลกทรพยและตลาดหลกทรพย พฤศจกายน 2562

Page 2: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

สารบญ 1. บทนำ ............................................................................................................................................................................ 1

1.1 วตถประสงค ...................................................................................................................................................... 1

1.2 การจดทำแนวทางการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศของ ก.ล.ต. ....................... 2

1.3 บทนยาม ............................................................................................................................................................ 3

2. แนวทางปฏบตในการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศ ................................................... 4

2.1 การระบความเสยงทเกยวของกบเทคโนโลยสารสนเทศ (IT-Related Risk Identification) ............................. 4

2.2 ความเสยงทสามารถยอมรบได (Risk Appetite) ............................................................................................... 7

2.3 การประเมนความเสยงทางดานเทคโนโลยสารสนเทศ (IT Risk Assessment) ................................................. 8

2.4 การบรหารจดการเพอตอบสนองตอความเสยงทางดานเทคโนโลยสารสนเทศ (Risk Response) .................. 10

2.5 การกำหนดตวชวดความเสยง (IT Risk Indicator), การตดตาม และรายงานผลการบรหารและ

จดการความเสยง (IT Risk Monitoring / Reporting) ................................................................................. 12

3. การกำหนดหนาทและความรบผดชอบ และผทำหนาทในการบรหารและจดการความเสยง

ทางดานเทคโนโลยสารสนเทศ .................................................................................................................................. 14

3.1 ระดบท 1: หนวยงานททำหนาทปฏบตงานดานเทคโนโลยสารสนเทศ (First line of defence) .................. 14

3.2 ระดบท 2: หนวยงานททำหนาทบรหารความเสยง (Second line of defence) .......................................... 14

3.3 ระดบท 3: หนวยงานททำหนาทตรวจสอบดานเทคโนโลยสารสนเทศ (Third line of defence) ................. 15

ภาคผนวก 1 แนวทางการกำหนดเหตการณความเสยง ....................................................................................................... 16

ภาคผนวก 2 ตวอยาง แผนภาพความเสยง และทะเบยนความเสยง .................................................................................. 20

ภาคผนวก 3 ตวอยางของตวชวดความเสยงหลก ................................................................................................................ 22

Page 3: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

1

1. บทนำ

ในปจจบนความกาวหนาของเทคโนโลยสารสนเทศมบทบาทอยางมากในการขบเคลอนธรกจในตลาดทนไทย

ในขณะเดยวกนความซบซอนและขยายตวทางดานเทคโนโลยสารสนเทศนทำใหผประกอบธรกจเผชญความเสยงตาง ๆ

ในหลายมตมากขน ไดแก ความเสยงทางดานเทคโนโลยสารสนเทศ ซงหมายถง ความเสยงทอาจเกดขนจากการนำเทคโนโลย

สารสนเทศมาใชในการดำเนนธรกจ และความเสยงทเกดจากภยคกคามทางไซเบอร ทงน ความเสยงทางดานเทคโนโลย

สารสนเทศเดมถอเปนสวนหนงของความเสยงดานปฏบตการ แตในปจจบนความเสยงทางดานเทคโนโลยสารสนเทศ

เปนความเสยงทมความสำคญมากขนสบเนองจากโครงการการลงทนทางดานเทคโนโลยสารสนเทศทนบวนจะยงมจำนวนมากขน

รวมทงภยคกคามทางดานเทคโนโลยสารสนเทศ หรอทางดานไซเบอรทไดสงผลกระทบตอการดำเนนธรกจ ชอเสยง และ

ความเชอมนในการใชบรการและผลตภณฑตาง ๆ ในตลาดทน

แนวทางการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศฉบบน ถอเปนสวนหนงของนโยบาย

ของสำนกงานคณะกรรมการกำกบหลกทรพยและตลาดหลกทรพย (“สำนกงาน”) ในการสงเสรมใหผประกอบธรกจยกระดบ

การใหความสำคญดานการบรหารและจดการความเสยงดานเทคโนโลยสารสนเทศ ตงแตการวางกรอบนโยบายทชดเจน

การระบความเสยง การประเมนความเสยง รวมถงการบรหารและจดการความเสยงเพอใหอยในระดบทองคกรยอมรบได

ทงน เพอสรางความมนใจในการใชบรการและผลตภณฑทเกยวของกบเทคโนโลยสารสนเทศของตลาดทนในภาพรวม

รวมทงยงชวยเสรมสรางความเชอมนตอมาตรฐานการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศ

ของผประกอบธรกจ ใหเปนทยอมรบในระดบสากล

1.1 วตถประสงค

แนวทางปฏบตเกยวกบการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศไดจดทำขนเพอเปนแนวทาง

ในการวางกรอบและกระบวนการการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศของผประกอบธรกจ

ในการปฏบตตามหลกเกณฑวาดวยการจดใหมระบบเทคโนโลยสารสนเทศ ซงการบรหารและจดการความเสยงทางดาน

เทคโนโลยสารสนเทศถอเปนสวนสำคญในการกำกบดแลและบรหารจดการเทคโนโลยสารสนเทศ โดยมงเนนให

ผประกอบธรกจมการกำหนดนโยบาย กระบวนการ และบทบาทหนาทอยางเหมาะสมในการบรหารและจดการความเสยง

โดยพจารณาถงลกษณะความเสยงทางดานเทคโนโลยสารสนเทศ 3 ประการ ไดแก

• ความเสยงอนเนองมาจากการพลาดโอกาสในการใชเทคโนโลยสารสนเทศใหเกดประสทธภาพ และประสทธผล

ตอการดำเนนงาน หรอสรางนวตกรรมใหแกองคกร รวมถงความเสยงอนเนองมาจากเทคโนโลยสารสนเทศ

ทไมตอบสนองตอการดำเนนธรกจ ซงสงผลโดยตรงตอศกยภาพในการแขงขนของผประกอบธรกจ

(IT Benefits/Value Enhancement Risk)

• ความเสยงอนเนองมาจากการไมสามารถนำเทคโนโลยสารสนเทศมาใชในการพฒนาบรการหรอผลตภณฑใหม

โดยรวมถงความเสยงทไมสามารถจดการโครงการไดอยางมประสทธภาพ หรอตามเปาหมายทกำหนด

(IT Programme and Project Delivery Risk)

• ความเสยงอนเนองมาจากการปฏบตงานประจำวนทางดานเทคโนโลยสารสนเทศ เชน ความเสยงสบเนองมาจาก

การควบคมทไมเพยงพอ หรอมการดำเนนงานทอาจขดตอกฎหมายและระเบยบขอบงคบตาง ๆ (IT Operations

and Services Delivery Risk)

Page 4: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

2

โดยเมอผประกอบธรกจมการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศทเพยงพอเหมาะสมแลว

ยอมสงผลตอองคกรในการสรางความมนใจในการปรบใชหรอพฒนาเทคโนโลยสารสนเทศ ในบรการหรอผลตภณฑใหม

รวมทงเสรมสรางหรอพฒนากระบวนการการดำเนนธรกจในปจจบน นอกจากน ยงเปนการสรางขอไดเปรยบทางดานธรกจ

ทยงยน เนองจาก

• ผประกอบธรกจสามารถระบความเสยงทางดานเทคโนโลยสารสนเทศไดอยางชดเจนมากขน รวมถงสามารถ

วดระดบของความเสยงทระบไว

• ผประกอบธรกจสามารถเขาใจถงผลกระทบของความเสยงทางดานเทคโนโลยสารสนเทศตอองคกร

• ผประกอบธรกจสามารถประเมนประโยชนและโอกาสเกดของความเสยงในการลงทนทางดานเทคโนโลยสารสนเทศ

• ผประกอบธรกจทมกระบวนการบรหารและจดการความเสยงทมประสทธผลสงผลตอความมประสทธภาพและ

ประสทธผลของกระบวนการทางธรกจ

• ผประกอบธรกจมการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศในแนวทางเดยวกบการบรหารและ

จดการความเสยงขององคกร ชวยใหการสอสารความเสยงทางดานเทคโนโลยสารสนเทศไปยงผมสวนไดเสย

ทงภายในและภายนอกเปนไปในรปแบบเดยวกน รวมทงกอใหเกดความตระหนกถงความเสยงทางดานเทคโนโลย

สารสนเทศทอาจเกดขน

• ผทมหนาทรบผดชอบในแตละความเสยงรบทราบบทบาทหนาทและกจกรรมทเกยวของเพอนำไปปฏบต

อยางเหมาะสม

1.2 การจดทำแนวทางการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศของ ก.ล.ต.

สำนกงานไดจดทำแนวทางการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศโดยอางองกรอบ

ของ COBIT1 ซงเปนกรอบการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศทเปนทยอมรบในระดบสากล

ซงสามารถเทยบเคยงกบประกาศสำนกงานคณะกรรมการกำกบหลกทรพยและตลาดหลกทรพยท สธ. 37/2559

เรอง ขอกำหนดในรายละเอยดเกยวกบการจดใหมระบบเทคโนโลยสารสนเทศ ขอ 5 (1)

1 ผประกอบธรกจสามารถอางองขอมลเกยวกบแนวทางและกรอบการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศตามกรอบของ COBIT จาก Information System Audit and Control Association (www.isaca.org) และ NIST- National Institute of Standard and Technology: Guide for Conducting Risk Assessment, (https://www.nist.gov) นอกจากน ผประกอบธรกจยงสามารถอางองแนวทางและกรอบการกำกบดแลและกรอบการบรหารและจดการความเสยงอน ๆ เพมเตม เชน ISO/IEC 31000:2009 Risk Management Principle and guideline (www.Iso.org) และ The Committee of Sponsoring Organizations of the Treadway Commission (COSO): Enterprise Risk Management (www.coso.org)

Page 5: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

3

1.3 บทนยาม

ผประกอบธรกจ หมายถง บรษทและหนวยงานภายใตการกำกบดแลของสำนกงานคณะกรรมการกำกบ

หลกทรพยและตลาดหลกทรพยทไดรบใบอนญาตประกอบธรกจหลกทรพย หรอ

ธรกจสญญาซอขายลวงหนาตามทระบไวในหลกเกณฑวาดวยการจดใหมระบบ

เทคโนโลยสารสนเทศ

ทรพยสนสารสนเทศ หมายถง 1. ทรพยสนสารสนเทศประเภทระบบ ซงไดแก ระบบเครอขายคอมพวเตอร

ระบบคอมพวเตอร ระบบงานคอมพวเตอร และระบบสารสนเทศ

2. ทรพยสนสารสนเทศประเภทอปกรณ ซงไดแก ตวเครองคอมพวเตอร

อปกรณคอมพวเตอร เครองบนทกขอมล และ อปกรณอนใด

3. ทรพยสนสารสนเทศประเภทขอมล ซงไดแก ขอมลสารสนเทศ

ขอมลอเลกทรอนกส และขอมลคอมพวเตอร

ทรพยากรสารสนเทศ หมายถง ทรพยากรสารสนเทศ ประกอบดวย ทรพยสนสารสนเทศ (ระบบ อปกรณ และขอมล) บคลากรทางดานเทคโนโลยสารสนเทศ ความรความสามารถทางดานเทคโนโลยสารสนเทศ งบประมาณ

ผรบผดชอบ หมายถง Accountable person หรอ ผทมหนาทรบผดชอบในผลสำเรจหรอผลลพธของ การดำเนนงานตามขอบเขตงานทกำหนด โดยผรบผดชอบมหนาทในการวางกรอบหรอ แนวทางการดำเนนงาน อนมตและบงคบใช รวมถงตดตามผลการดำเนนงานตามกรอบทไดวางไว

ผทำหนาท หมายถง Responsible person หรอผทมหนาทในการดำเนนงานตามกรอบการปฏบตงาน ทกำหนดโดยผรบผดชอบ

Page 6: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

4

2. แนวทางปฏบตในการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศ

เพอใหผประกอบธรกจสามารถบรหารและจดการความเสยงดานเทคโนโลยสารสนเทศไดอยางมประสทธผล

ผประกอบธรกจตองจดใหมนโยบายการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศ ซงไดรบความเหนชอบ

จากคณะกรรมการของผประกอบธรกจ รวมทงสอสารทำความเขาใจไปยงผทเกยวของ และดำเนนการทบทวนหรอปรบปรง

นโยบายดงกลาวอยางสมำเสมอ โดยควรมการกำหนดขนตอนและวธปฏบตงานสำหรบการบรหารและจดการความเสยง

ทสอดคลองกบนโยบายการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศทวางไว โดยกระบวนในการบรหาร

และจดการความเสยงทางดานเทคโนโลยสารสนเทศนน เปนกระบวนการทควรมการดำเนนการอยางตอเนอง

ประกอบดวยกระบวนการดงสรปในภาพประกอบท 1 ดานลาง

ภาพประกอบท 1 – กรอบการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศ

2.1 การระบความเสยงทเกยวของกบเทคโนโลยสารสนเทศ (IT-related Risk Identification) การระบความเสยงทเกยวของกบเทคโนโลยสารสนเทศ (IT related Risk) อาจประกอบดวย 3 ขนตอนยอย

กลาวคอ (1) การระบความเสยงทเปนไปไดทงหมด (Risk Universe) เพอเปนการกำหนดขอบเขตการบรหารและจดการ

ความเสยงรวมถงรวบรวมขอมลความเสยงดานเทคโนโลยสารสนเทศทเกยวของทงหมด (2) การกำหนดเหตการณความเสยง

(Risk Scenario) โดยการนำความเสยงทระบไวในความเสยงทเปนไปไดทงหมดมาจดทำเหตการณความเสยง โดยระบ

รายละเอยดสำคญเพอการบรหารจดการ เชน ผกระทำใหเกดความเสยง ประเภท สนทรพย หรอทรพยากรทเกยวของ

และ ชวงเวลา (3) ระบปจจยความสยง (Risk Factors) ซงเปนการระบปจจยหรอสาเหตทกอใหเกดความเสยง

โดยปจจยความเสยงถกกำหนดขนเพอประกอบการพจารณาความสำคญของเหตการณความเสยง

Page 7: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

5

ภาพประกอบท 2 – การระบความเสยง

2.1.1 ความเสยงทเปนไปไดทงหมด (Risk Universe)

การบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศควรเรมตนจากการระบความเสยงทเปนไปไดทงหมด

(Risk Universe) ของผประกอบธรกจ ซงจะชวยในการกำหนดขอบเขตในการบรหารและจดการความเสยง และเปนเครองมอ

ชวยในการบรหารจดการความครบถวนของความเสยงทตองมการบรหารจดการ ตลอดจนเปนเครองมอทใหผบรหารความเสยง

เหนภาพรวมของความเสยงดานเทคโนโลยสารสนเทศทงหมด โดยความเสยงทเปนไปไดทงหมดอาจเรมพจารณาจาก

วตถประสงค แผนกลยทธ กระบวนการทางธรกจ ระบบสารสนเทศทสนบสนนกจกรรมทางธรกจ และโครงสรางพนฐาน

ทางดานเทคโนโลยสารสนเทศทสนบสนนวตถประสงคและกระบวนการดงกลาว โดยความเสยงทางดานเทคโนโลยสารสนเทศ

ทเปนไปไดทงหมดควรพจารณาครอบคลมถง

• กระบวนการทเกยวของ ทงกระบวนการทางดานเทคโนโลยสารสนเทศและกระบวนการทางธรกจ

• ขอบเขตของหนวยงานทเกยวของ ซงอาจรวมถงหนวยงานภายในและภายนอกองคกร เชน สาขา บรษททเกยวของ ลกคา ผใหบรการ

• กจกรรมทางดานเทคโนโลยสารสนเทศทเกยวของทมการดำเนนการทงภายในและภายนอกองคกร ซงอาจรวมถง การปรบปรงเปลยนแปลงระบบงาน การลงทนและโครงการทางดานเทคโนโลยสารสนเทศ หรอการปฏบตงานทางดานเทคโนโลยสารสนเทศ

• กจกรรมและความเสยงทเกดขนใหม อาท ภยคกคามและความเสยงทางดานไซเบอร

• ความหลากหลายของสภาพแวดลอมทางดานเทคโนโลยสารสนเทศ โดยเฉพาะในองคกรทมสถานทปฏบตการ ในหลายพนท หรอมการใหบรการระบบเทคโนโลยสารสนเทศจำนวนมาก โดยควรมการรวบรวมความเสยง เพอพจารณาจดระดบความสำคญ รวมทงพจารณาความเสยงทอาจซำซอนหรอขาดหายไป

ความเสยงทเปนไปไดทงหมดควรไดรบการพจารณาปรบปรงใหเปนปจจบนอยเสมอตามสภาพแวดลอมทงภายใน

และภายนอกทเปลยนแปลงไป

Page 8: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

6

2.1.2 เหตการณความเสยง (Risk Scenario)

เหตการณความเสยง คอ เหตการณทอาจเกดขน ซงเมอเกดขนแลวจะมผลใหเกดความไมแนนอนอนอาจสงผลตอการ

บรรลวตถประสงคของผประกอบธรกจทงในดานบวกและดานลบ โดยเหตการณความเสยงทางเทคโนโลยสารสนเทศควรระบ

ครอบคลมองคประกอบเหลาน

1) ผกระทำใหเกดความเสยง หรอผกระทำใหเกดเหตการณความเสยง (Actor) หมายถง บคคล กลมบคคล

หรอองคกรทมสวนรวมในการกอใหเกดภยคกคาม โดยภยคกคามนนอาจกอใหเกดชองโหวทางดานเทคโนโลย

สารสนเทศ เชน พนกงาน ลกจาง หนสวน ผใหบรการภายนอก คแขง คคา หนวยงานกำกบดแล

2) ประเภทของภยคกคาม หรอประเภทของความเสยง (Threat type or Risk type) หมายถง ลกษณะทมา

ของความเสยงหรอภยคกคาม อาท ความเสยงหรอภยคกคามจากการปฏบตงานในกระบวนการทำงาน

ความเสยงหรอภยคกคามจากบคลากรภายใน บคคลภายนอก หรอผไมประสงคด ความเสยงดานโปรแกรม

ขอมล เปนตน โดยรวมถงความเสยงทเกดขนตามธรรมชาต เชน ขอผดพลาด หรออบตเหตตาง ๆ

3) เหตการณทอาจเกดขน (Event) ตวอยางเชน มการรวไหลของขอมลสำคญ มการหยดชะงกของระบบสารสนเทศ

มการขโมยหรอสญหายของทรพยากรสารสนเทศ การละเมดกฎระเบยบขอบงคบตางๆ รวมทง

การใชทรพยากรสารสนเทศอยางไมเหมาะสม

4) สนทรพยหรอทรพยากรทเกยวของ (Asset/Resource) หมายถง สนทรพยหรอทรพยากรทไดรบผลกระทบ

จากความเสยงทระบไว โดยการระบสนทรพยทเกยวของนนสามารถชวยใหเชอมโยงไปยงผลกระทบทางธรกจ

ทเกยวของ สนทรพยหรอทรพยากรในทน อาจประกอบดวย บคลากร ความสามารถของบคลากร โครงสราง

องคกร กระบวนการทางดานเทคโนโลยสารสนเทศ อปกรณ และอปกรณทางดานเทคโนโลยสารสนเทศ

นอกจากน ยงรวมถงสวนประกอบอน ๆ ในระบบสารสนเทศ เชน ขอมล โปรแกรม และ ระบบงานตาง ๆ

5) ชวงเวลา หรอระยะเวลาทเกดเหตการณ (Time) อนไดแก ความยาวของระยะเวลาของเหตการณความเสยง

ชวงเวลาทเหตการณความเสยงอาจเกดขน โดยอาจรวมถงระยะเวลาในการตรวจพบเหตการณความเสยง

หรอระยะเวลาทผลกระทบจากเหตการณความเสยงนนเกดขน

โดยรายละเอยดแนวทางการกำหนดเหตการณความเสยงแสดงในภาคผนวก 1

2.1.3 ปจจยความเสยง (Risk Factors)

ปจจยความเสยง คอ ปจจยทมผลกระทบตอความถและผลกระทบของเหตการณความเสยง (Risk Scenario)

ซงอาจมลกษณะทแตกตางกน โดยสามารถจดประเภทได 2 กลม ไดแก

1) สภาพแวดลอมการดำเนนงานขององคกร คอ สภาพแวดลอมหรอเหตการณของแตละองคกรทสามารถ

เพมโอกาสเกดหรอผลกระทบจากเหตการณความเสยงทไดกำหนดไว โดยสามารถแบงเปน 2 สวนหลก ไดแก

• สภาพแวดลอมภายนอก เชน ปจจยทางดานประเภทธรกจ การตลาดหรอเศรษฐกจขององคกร ปจจยทางดาน

การแขงขน ปจจยทางดานภมศาสตรและรฐศาสตร ปจจยทางดานกฎระเบยบขอบงคบทองคกรตองปฏบต

ตาม ปจจยทางดานการใชระบบสารสนเทศขององคกร และปจจยทางดานภยคกคามทเกยวของ

• สภาพแวดลอมภายใน เชน เปาหมายและวตถประสงคขององคกร กลยทธทางดานเทคโนโลยสารสนเทศ

ความซบซอนของระบบสารสนเทศ ขนาดและโครงสรางขององคกร การเปลยนแปลงในองคกร โครงสราง

การปฏบตงานและกระบวนการตาง ๆ ภายในองคกร วฒนธรรมองคกร รวมถงสถานะทางการเงนขององคกร

Page 9: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

7

2) ความสามารถในการบรหารจดการทางดานเทคโนโลยสารสนเทศขององคกร โดยสามารถแบงออกเปน 2 สวน ไดแก

• ความสามารถในการบรหารและจดการความเสยง เนองจากความเสยงทางดานเทคโนโลยสารสนเทศ

อาจถอเปนสวนหนงของความเสยงดานปฏบตการ (operational risk) ดงนน ความสามารถในการบรหาร

จดการความเสยงทางดานเทคโนโลยสารสนเทศจงเกยวเนองกบความสามารถในการบรหารและจดการความ

เสยงโดยรวมของแตละองคกร ซงรวมถงกรอบวธการบรหารและจดการความเสยงทใช หรอการวดผล

การประเมนความเสยง ซงสงผลตอความสามารถในการระบ และ ประเมนผลกระทบจากความเสยงทเกดขน

• ความสามารถทางดานเทคโนโลยสารสนเทศ และการควบคมทางดานเทคโนโลยสารสนเทศ ซงสงผล

ในทางบวกตอโอกาสเกดของเหตการณความเสยง และการจำกดผลกระทบจากเหตการณความเสยง

ใหอยในระดบทยอมรบได

เนองจากปจจยความเสยงมอทธพลตอความถและผลกระทบของเหตการณความเสยง ดงนนจงควรนำมาพจารณา

ประกอบในการประเมนความเสยงทางดานเทคโนโลยสารสนเทศ

2.2 ความเสยงทสามารถยอมรบได (Risk Appetite)

ความเสยงทสามารถยอมรบได (Risk Appetite) คอ ปรมาณความเสยงทองคกรสามารถยอมรบเมอมความเสยง

เกดขน โดยการพจารณาระดบของปรมาณความเสยงทองคกรยอมรบได ประกอบดวย

• ระดบความสญเสยทองคกรสามารถยอมรบได ไมวาจะเปนความสญเสยทางดานการเงนหรอชอเสยง

• วฒนธรรมขององคกร หรอระดบการยอมรบความเสยงของผบรหาร ซงอาจหมายรวมถงลกษณะการบรหารดวยความระมดระวงและความกลาไดกลาเสยของผบรหาร หรอปรมาณการสญเสยทองคกรสามารถยอมรบ เพอสรางผลตอบแทนในอนาคต

ทงน ความเสยงทสามารถยอมรบไดควรไดรบการพจารณาอนมตจากคณะกรรมการของผประกอบธรกจ

รวมทงมการสอสารใหผทเกยวของรบทราบ

ภาพประกอบท 3 – การกำหนดระดบความเสยงทยอมรบได

Page 10: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

8

2.3 การประเมนความเสยงทางดานเทคโนโลยสารสนเทศ (IT Risk Assessment) จากเหตการณความเสยงทระบไว ผประกอบธรกจควรมกระบวนการในการประเมนความเสยงทางดานเทคโนโลย

สารสนเทศเพอประเมนระดบความสำคญ โดยผประกอบธรกจควรดำเนนการโดยมขนตอนดงน

• ประเมนโอกาสเกดและผลกระทบทอาจเกดขนทงในดานบวกและดานลบของแตละเหตการณความเสยง ทงน ผลการประเมนอาจนำเสนอในรปแบบของแผนภาพความเสยง (Risk Map) ทสามารถนำเสนอระดบของโอกาสเกดและผลกระทบ (Risk Scale) ของแตละเหตการณความเสยงได จากนนจงจดทำทะเบยนความเสยง (Risk Register) ซงบรรยายขอมลรายละเอยดของความเสยงทระบไว

• จากนนจงจดทำโครงรางของความเสยง (Risk Profile) ซงเปนการรวบรวมความเสยงทงหมด รวมทงแสดงสถานะของความเสยงในปจจบน ทงน การประเมนความเสยงเพอจดทำโครงรางของความเสยงควรพจารณาใหครอบคลมทกปจจยความเสยงทเกยวของ รวมทงกำหนดตวควบคมและความเสยงทยงเหลออยภายหลงการควบคมดวย

• เปรยบเทยบความเสยงทยงเหลออยภายหลงการควบคมกบความเสยงทองคกรยอมรบได โดยถาความเสยง อยในระดบทเกนกวาทองคกรยอมรบได ควรมการกำหนดวธการปฏบตเพอจดการกบความเสยงนน

• วเคราะหตนทนและประโยชนทจะไดรบจากการจดการความเสยงในแตละรปแบบ

• ระบความตองการในภาพรวมของโครงการหรอระบบงานเพอระบความสยงและความคาดหวงจากการควบคมหลก ทใชในการลดความเสยงทตอบสนองตอความตองการของโครงการหรอระบบงานนน ๆ

• ประเมนผลการวเคราะหความเสยงกอนการตดสนใจดำเนนการบรหารและจดการความเสยง เพอใหมนใจวา การวเคราะหสอดคลองกบความตองการขององคกรและการประเมนความเสยงเปนไปอยางเหมาะสม และสมเหตสมผล

ภาพประกอบท 4 – การประเมนความเสยงดานเทคโนโลยสารสนเทศ

Page 11: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

9

2.3.1 แผนภาพความเสยง (Risk Map)

เพอประเมนระดบความสำคญของความเสยงทระบไว และเพอใหผทเกยวของในการบรหารและจดการความเสยง

สามารถใชเพอการจดกลมความเสยงและบรหารจดการไดอยางมประสทธผล การประเมนความเสยงควรพจารณาถง

2 สวนประกอบหลก คอ โอกาสเกดและผลกระทบ ซงเทคนคในการนำเสนอความเสยงทเปนทนยม คอ การใชแผนภาพ

ความเสยง โดยในการจดทำแผนภาพความเสยงอาจพจารณาใหครอบคลมถง

• พจารณาเหตการณความเสยงทเกยวของทงหมดเพอใหมนใจวาแผนภาพความเสยงไดแสดงความเสยง ทางดานเทคโนโลยสารสนเทศอยางครบถวน

• แยกสวนการพจารณาผลกระทบและโอกาสเกดออกจากกน เนองจากทงโอกาสเกดและผลกระทบ อาจตองการกจกรรมและวธการบรหารจดการทแตกตางกน

• การกำหนดระดบตวเลขความสำคญของโอกาสเกดหรอผลกระทบนนเปนเพยงตวเลขทกำหนดขนเพอใหเหนขอบเขตขอมลเพอการเปรยบเทยบระดบของความเสยงทางดานเทคโนโลยสารสนเทศทมการระบ ทงน เพอใหผทเกยวของในกระบวนการบรหารจดการความเสยงสามารถเหนภาพรวมเชงเปรยบเทยบของความเสยงทางดานเทคโนโลยสารสนเทศภายในองคกร และเพอใหผบรหารความเสยงสามารถกำหนดความเสยงสำคญ เพอการบรหารจดการและการตอบสนองตอความเสยงทางดานเทคโนโลยสารสนเทศเปนไปอยางมประสทธผล เทานน ทงน ระดบตวเลขความสำคญไมไดสอความหมายของความเสยงทเกดขน รวมทงไมสามารถนำไปใช เพอการคำนวณอน ๆ ได

ในการจดทำแผนภาพความเสยง อาจมการกำหนดชวงของระดบของโอกาสเกดหรอผลกระทบไดในหลายระดบ

เชน ในองคกรทยงไมมประสบการณหรอมความเสยงทางดานเทคโนโลยสารสนเทศทไมซบซอน อาจใชระดบความสำคญ

ของโอกาสเกดหรอผลกระทบ เพยง 3 ระดบ หรอเมอความเสยงทางดานเทคโนโลยสารสนเทศมความซบซอนมากขน

และมความตองการจำแนกระดบความเสยงในรายละเอยดเพอเพมประสทธผลของการจดการความเสยง ผประกอบธรกจ

อาจพจารณาเพมระดบของโอกาสเกดหรอผลกระทบจาก 3 เปน 4 หรอ 5 ระดบ เพอใหสามารถจดกลมไดละเอยดมากขน

รวมทงควรมการพจารณาเปรยบเทยบระดบความเสยงในปจจบนกบระดบความเสยงทสามารถยอมรบได และความเสยง

ทตองการการบรหารจดการเพมเตม

2.3.2 ทะเบยนความเสยง (Risk Register)

จดขนเพอเปนการบรรยายรายละเอยดและสวนประกอบทเกยวของของแตละความเสยงทไดระบไว หลงจากจดทำ

แผนภาพความเสยงแลว โดยรายละเอยดของทะเบยนความเสยงอาจประกอบดวย เจาของความเสยง รายละเอยดเหตการณ

ความเสยง ผลจากการวเคราะหความเสยง รายละเอยดการควบคม หรอกจกรรม เพอตอบสนองหรอการบรหารและจดการ

ความเสยง รวมถงสถานะการดำเนนงานในปจจบน โดยสามารถอางองตวอยาง แผนภาพความเสยงและทะเบยนความเสยง

ในภาคผนวก 2

2.3.3 โครงรางของความเสยง (Risk Profile)

เมอองคกรมการจดทำแผนภาพความเสยงและทะเบยนความเสยงแลว เพอเปนการรวบรวมแผนภาพความเสยงและ

ทะเบยนความเสยงทระบขน รวมทงแสดงใหเหนถงสถานะปจจบนของความเสยงขององคกร องคกรควรจดทำโครงรางของ

ความเสยง ซงโครงรางของความเสยงนสามารถใชเพอประโยชนในการรายงานผลความเสยง เนองจากโครงรางของความเสยง

Page 12: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

10

จดทำโดยอาศยขอมลของแผนภาพความเสยง ทะเบยนความเสยง ผลการวเคราะหความเสยง และตวชวดผลการปฏบตงาน

ขององคกร ทงน ในกระบวนการในการจดทำโครงรางของความเสยงทางดานเทคโนโลยสารสนเทศควรเปนกระบวนการ

เดยวกนกบกระบวนการจดทำโครงรางของความเสยงของกระบวนการทางธรกจขององคกร และควรมการปรบปรงเพอให

ความเสยงเปนปจจบนอยเสมอ ทงน ความถในการปรบปรงควรดำเนนการอยางนอยปละ 1 ครง โดยขนอยกบสภาพแวดลอม

ทงภายในและภายนอกขององคกร โดยในโครงรางของความเสยงควรประกอบดวยขอมลอยางนอย ดงน

• ปจจยเสยง โดยพจารณาในมมของสภาพแวดลอมการดำเนนงานขององคกร และความสามารถในการบรหารจดการทางดานเทคโนโลยสารสนเทศขององคกร

• ผลการประเมนความเสยง การวเคราะหความเสยง และแผนภาพความเสยงในระดบองคกร รวมทงทะเบยนความเสยง

• ขอมลเกยวกบผลเสยหายทเคยเกดขนในอดต เพอแสดงถงความเสยงทเคยเกดขน

• ตวชวดผลการปฏบตงานขององคกร เพอแสดงถงระดบโอกาสเกดทความเสยงอาจสงผลกระทบทสำคญ ตอองคกร

• ผลการตรวจสอบโดยผตรวจสอบครงลาสดในสวนทเกยวของกบความเสยง โดยผลการตรวจสอบอาจสามารถใชในการพจารณาเพมเตมในสวนของความสามารถในการบรหารจดการทางดานเทคโนโลยสารสนเทศขององคกร

2.4 การบรหารจดการเพอตอบสนองตอความเสยงทางดานเทคโนโลยสารสนเทศ (Risk Response) เพอการวางแผนการจดการความเสยงทเหมาะสมและตอบสนองตอเหตการณความเสยงทอาจเกดขน องคกรสามารถ

พจารณาวธการในการรบมอกบความเสยงใน 4 รปแบบ ประกอบดวย การหลกเลยงความเสยง การยอมรบความเสยง

การรวมจดการหรอการถายโอนความเสยง และการลดความเสยง ดงแสดงในภาพประกอบท 5

ภาพประกอบท 5 – แนวทางการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

Page 13: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

11

2.4.1 การหลกเลยงความเสยง (Risk Avoidance)

การหลกเลยงความเสยง คอ การหลกเลยงกจกรรมหรอสาเหตทอาจกอใหเกดความเสยง ซงโดยสวนมากจะใชวธการน

ในกรณทไมมการจดการความเสยงทเหมาะสมในรปแบบอนอกแลว รวมทงผลกระทบจากความเสยงนนอาจสงเกนกวาระดบ

ทองคกรยอมรบได

2.4.2 การยอมรบความเสยง (Risk Acceptance)

การยอมรบความเสยง คอ การทบรษทไมมการกำหนดกจกรรมใด ๆ เพอตอบสนองตอความเสยงทอาจเกดขน

โดยผบรหารยอมรบผลทอาจเกดขนจากความเสยงนน ๆ ซงโดยสวนมากจะใชวธการนในกรณทผลกระทบจากความเสยงตำ

กวาตนทนในกจกรรมทใชบรหารและจดการความเสยงนน ขอควรระวงในการวางแผนการจดการความเสยงแบบการยอมรบ

ความเสยง คอ การกำหนดผทสามารถตดสนใจยอมรบความเสยงนน เนองจากความเสยงทางดานเทคโนโลยสารสนเทศ

มผลกระทบตอการดำเนนงานทางธรกจในภาพรวม ดงนน องคกรอาจตองมกระบวนการทชดเจนในการระบระดบ

ของความเสยงทยอมรบได รวมทงผทสามารถตดสนใจยอมรบความเสยงทางดานเทคโนโลยสารสนเทศในกรณตาง ๆ

2.4.3 การรวมจดการความเสยง/ถายโอนความเสยง (Risk Sharing/Transfer)

การรวมจดการความเสยง คอ การลดความถในการเกดหรอลดผลกระทบจากความเสยงทอาจเกดขน โดยกระจายหรอ

โอนไปยงบคคลอน เชน การทำประกนหรอการใชงานผใหบรการภายนอกในราคาคงท (fixed price) โดยเปนการถายโอน

ความเสยหายนอกเหนอจากวงเงนหรอขอบเขตทกำหนดไปยงบรษทประกนหรอผใหบรการภายนอก ทงน การรวมจดการ

ความเสยงนนไมสามารถถายโอนความรบผดชอบจากความเสยง ซงผประกอบธรกจยงคงเปนผมหนาทรบผดชอบในความเสยง

ทางดานเทคโนโลยสารสนเทศทอาจเกดขนได

2.4.4 การลดความเสยง (Risk Mitigation)

การลดความเสยง สามารถทำไดโดยการจดใหมกจกรรมการควบคมเพอลดความถในการเกดหรอลดผลกระทบจาก

ความเสยงทอาจเกดขน โดยอาจทำไดใน 2 รปแบบคอ แบบท 1 กำหนดใหมการบรหารและจดการความเสยงอยางรดกม และ

แบบท 2 มกจกรรมการควบคมเพอลดโอกาสเกดหรอผลกระทบจากความเสยงนน ๆ นอกจากน ยงอาจรวมถงกจกรรมอน ๆ

ในการลดความเสยง เชน การกำกบดแลและบรหารจดการเทคโนโลยสารสนเทศทเหมาะสมและการปรบใชมาตรฐานตาง ๆ

ในการบรหารจดการทางดานเทคโนโลยสารสนเทศ

โดยปจจยในการเลอกวธการบรหารจดการความเสยงทเหมาะสม อาจประกอบดวย

• ระดบความสำคญของโอกาสเกดและผลกระทบจากความเสยง ซงแสดงในแผนภาพความเสยง

• ประสทธผลของการจดการความเสยง คอ การเปรยบเทยบประโยชนทจะไดรบจากกจกรรมเพอจดการ

ความเสยงในแบบตาง ๆ กบตนทนทตองใชเพอจดใหมกจกรรมเพอจดการความเสยงนน ๆ

• ความสามารถของผประกอบธรกจในการดำเนนกจกรรมเพอจดการกบความเสยง อาท ผประกอบธรกจ

ทมความเชยวชาญในการบรหารและจดการความเสยงยอมสามารถดำเนนกจกรรมเพอจดการความเสยง

ทซบซอนไดมประสทธภาพกวาผประกอบธรกจทยงไมมประสบการณในการบรหารและจดการความเสยง

• ประสทธผลของกจกรรม หรอการควบคมเพอจดการความเสยง หรอความสามารถของกจกรรมหรอการควบคม

ในการลดโอกาสเกด หรอลดผลกระทบจากความเสยงทอาจเกดขน

Page 14: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

12

ทงน ผประกอบธรกจควรพจารณาจดระดบความสำคญของรายการกจกรรมเพอจดการความเสยง และเรยงลำดบ

ในการจดการความเสยงตามระดบความสำคญ เนองจากรายการกจกรรมเพอจดการความเสยงทงหมดอาจใชทรพยากร

มากกวาทรพยากรทองคกรมอย โดยผประกอบธรกจอาจแยกเปน 3 ระดบความสำคญ ไดแก

1) ความสำคญสง ซงเปนกจกรรมทมประสทธภาพและประสทธผลสงในการลดความเสยง หรอเปนกจกรรมท

จดการตอความเสยงทมความสำคญ

2) ความสำคญปานกลาง ซงเปนกจกรรมทจดการตอความเสยงทสำคญแตอาจตองใชทรพยากรมากหรอดำเนนการ

ไดยาก หรอเปนกจกรรมทมประสทธภาพและประสทธผลทจดการกบความเสยงในระดบทรองลงมา

ความสำคญในระดบนจงควรไดรบการพจารณาความเหมาะสมจากผบรหารอกครง

3) ความสำคญตำ ซงเปนกจกรรมทจดการตอความเสยงทสำคญนอย หรอเปนกจกรรมทอาจไมคมคา

ในการดำเนนการ

ในการพจารณาทางเลอกในการจดการความเสยงทเหมาะสม ผประกอบธรกจควรมกระบวนการดงตอไปน

• รวบรวมกจกรรมการควบคมและทรพยากรทใชในการบรหารและจดการความเสยง เพอใหความเสยง

ทหลงเหลออย อยภายใตความเสยงทองคกรยอมรบได รวมทงจำแนกประเภทของกจกรรมการควบคม

เพอใหสามารถเชอมโยงกบภาพรวมของความเสยงขององคกร

• พจารณาการตดตามความเสยงของแตละสวนงาน รวมถงความรบผดชอบเปนเจาของความเสยง

ของแตละสวนงานเพอใหความเสยงในความรบผดชอบของสวนงานอยในระดบทยอมรบได

• ประเมนความเหมาะสมระหวางการออกแบบการควบคมหรอกจกรรมเพอลดความเสยง และกระบวนการ

ทสรางโอกาสในการดำเนนธรกจการตามกลยทธขององคกร โดยพจารณาถงตนทน ผลทไดรบ ผลกระทบกบ

รายการความเสยง และกฎระเบยบขอบงคบตาง ๆ

• จดเตรยม ปรบปรง และทดสอบ แผนงานทใชในการจดการความเสยงทมความสำคญ หรอความเสยงทม

ผลกระทบตอการดำเนนธรกจ เพอใหมนใจในประสทธภาพและประสทธผลของแผนงาน รวมถงขนตอน

และการรายงานภายในองคกรอยางทวถง

• แยกกลมเหตการณความเสยงและเปรยบเทยบผลกระทบทอาจเกดขนกบความเสยงทยอมรบได

รวมทงมการสอสารผลกระทบทางดานธรกจไปยงผมอำนาจตดสนใจ ซงถอเปนสวนหนงของกระบวนการ

รายงานผลและปรบปรงโครงรางของความเสยง

• ประเมนผลความสญเสยหรอผลกระทบจากเหตการณทเคยเกดขนในอดตเพอหาสาเหตทแทจรง

จากนนมการสอสารสาเหต การดำเนนงานเพอตอบตอความเสยงเพมเตม และการปรบปรงกระบวนการไปยง

ผมอำนาจตดสนใจ ทงน เพอใหมนใจวา สาเหต การตอบสนองตอความเสยง และการปรบปรงกระบวนการ

ไดบรรจอยในกระบวนการบรหารและจดการความเสยงอยางเหมาะสม

2.5 การกำหนดตวชวดความเสยง (IT risk indicator) การตดตาม และรายงานผลการบรหารและจดการความเสยง

(IT risk monitoring / reporting) จากโครงรางของความเสยงทจดทำขน ผประกอบธรกจควรกำหนดตวชวดความเสยง (risk indicator) เพอสามารถ

ชวดและตดตามแนวโนมของความเสยงทอาจเกดขน โดยการคดเลอกตวชวดทเหมาะสม ควรมสดสวนระหวางตวชวด

Page 15: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

13

ผลการดำเนนงาน (performance indicator) ซงเปนตวทวดเหตการณทเกดขนแลว และตวชวดนำ (lead indicator)

ซงเปนตวชวดความสามารถขององคกรในการปองกนไมใหเหตการณความเสยงเกดขน รวมถงบงชแนวโนมเหตการณ

ความเสยงทอาจเกดขนในอนาคต นอกจากน ตวชวดทกำหนดควรเปนตวชวดทสามารถเชอมโยงถงสาเหตทแทจรง

ของเหตการณความเสยงนน ๆ

ภาพประกอบท 6 – การกำหนดตวชวดความเสยง การตดตาม และรายงานผลการบรหารและจดการความเสยง

ทงน ผประกอบธรกจควรมการพฒนาตารางเพอเปรยบเทยบตวชวดความเสยง และจดทำตวชวดความเสยงหลก

(Key risk Indicator) โดยตวชวดความเสยงหลกอาจคดเลอกมาจาก (1) ผลกระทบจากความเสยงของตวชวดความเสยงนน

(2) ความยากงายในการใชงานตวชวดความเสยง โดยในตวชวดทสามารถบงชความเสยงไดเหมอนกน ตวชวดทสามารถ

จดทำ บงช และรายงานไดงายกวาควรถกกำหนดเปนตวชวดความเสยงหลก (3) ความนาเชอถอ โดยอาจเลอกตวชวดทม

ความเชอมโยงกบความเสยงสง หรอมความแมนยำในการคาดการณความเสยงมากกวา (4) การตอบสนองตอการเปลยนแปลง

ของความเสยง โดยอาจเลอกตวชวดทสามารถสะทอนการเปลยนแปลงของความเสยงเมอความเสยงมการเปลยนแปลงเกดขน

โดยทายทสดนน ตวชวดความเสยงหลกทงหมดควรชวดความเสยง สาเหตทแทจรง และผลกระทบอยางเหมาะสม

โดยสามารถอางองตวอยางของตวชวดความเสยงหลกได ในภาคผนวก 3

การรายงานผลการบรหารและจดการความเสยง (reporting) ผประกอบธรกจควรมกระบวนการดงตอไปน

• รายงานผลการประเมนความเสยงทมผลตอผทมสวนไดเสยทเกยวของทงหมดในรปแบบทสามารถนำไป

ประกอบการตดสนใจได เชน ความเปนไปไดของผลประโยชน หรอการสญเสยทอาจเกด เปรยบเทยบกบ

ระดบความมนใจทผบรหารพจารณาระหวางความเสยงและประโยชนทอาจไดรบ

• นำเสนอขอมลทเกยวของกบผมหนาทตดสนใจ โดยขอมลอาจรวมถงเหตการณทแยหรอดทสดทอาจเกดขน

การทำความเขาใจผลกระทบ รวมทงพจารณาถงภาพลกษณ ชอเสยง กฎหมาย และ กฎระเบยบขอบงคบตาง ๆ

Page 16: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

14

• รายงานรายการความเสยงในปจจบนใหกบผมสวนไดสวนเสย รวมถงรายงานผลการบรหารและจดการ

ความเสยง ประสทธผลของการควบคม ขอตรวจพบ หรอขอปรบปรง รวมทงผลกระทบกบรายการความเสยง

• สอบทานวตถประสงคจากการตรวจสอบโดยผตรวจสอบอสระ ผตรวจสอบภายใน และ การตรวจสอบ

เพอวดคณภาพ โดยเชอมโยงกบรายการความเสยงและพจารณาถงความเสยงเพมเตม

• ควรมการสอสารเปนประจำกบผทเกยวของในเรองของความเสยงและโอกาสทางดานเทคโนโลยสารสนเทศ

เพอการพจารณาถงการพฒนาหรอผลกำไรทเพมขนจากการยอมรบความเสยงทางดานเทคโนโลยสารสนเทศ

ทเพมขน

3. การกำหนดหนาทและความรบผดชอบ และผทำหนาทในการบรหารและจดการความเสยงทางดานเทคโนโลย

สารสนเทศ

คณะกรรมการของผประกอบธรกจ (Board of Director) ควรเปนผรบผดชอบ (Accountable person) ในการ

บรหารและจดการความเสยงดานเทคโนโลยสารสนเทศโดยมหนาทในการใหแนวทางและอนมตเหนชอบในนโยบายการบรหาร

และจดการความเสยงขององคกร ซงรวมถงความเสยงทางดานเทคโนโลยสารสนเทศ รวมทงตดตามผลการดำเนนงานตาม

นโยบายการบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศ เพอใหมนใจวาผประกอบธรกจมการระบความเสยง

ทางดานเทคโนโลยสารสนเทศอยางครบถวน มการประเมนความเสยงทางดานเทคโนโลยสารสนเทศ และบรหารจดการ

เพอใหความเสยงดานเทคโนโลยสารสนเทศอยในระดบทยอมรบได

ทงน ผประกอบธรกจควรมการมอบหมายบทบาทหนาททเกยวของในการบรหารและจดการความเสยง

ดานเทคโนโลยสารสนเทศอยางเปนทางการ โดยคำนงถงหลกการถวงดล (Check and Balance) และการแบงแยกหนาท

ความรบผดชอบทเหมาะสม (Segregation of duties) เปน 3 ระดบ ไดแก ผปฏบตงาน (First line of defence) ผททำ

หนาทบรหารความเสยง (Second line of defence) และผตรวจสอบ (Third line of defence) โดยบทบาทหนาท

ของผทเกยวของอาจมดงตอไปน

3.1 ระดบท 1: หนวยงานททำหนาทปฏบตงานดานเทคโนโลยสารสนเทศ (First line of defence)

หนวยงานททำหนาทปฏบตงานดานเทคโนโลยสารสนเทศ เปนผทำหนาท (Responsible person) ในการบรหารและ

จดการความเสยงทางดานเทคโนโลยสารสนเทศ ตงแตการเกบรวบรวมขอมล การวเคราะหและประเมนความเสยง การจดทำ

และปรบปรงรายการความเสยง จดทำรายการกจกรรมการบรหารและจดการความเสยง รวมถงกำหนดกจกรรมเพอตอบสนอง

ตอความเสยงทางดานเทคโนโลยสารสนเทศ

โดยหนวยงานททำหนาทปฏบตงานดานเทคโนโลยสารสนเทศนยงอาจรวมถง หนวยงานทใชงานระบบเทคโนโลย

สารสนเทศ (user) ซงทำหนาทในการรวมบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศทเกยวเนองกบ

การใชงานระบบเทคโนโลยสารสนเทศ

3.2 ระดบท 2: หนวยงานททำหนาทบรหารความเสยง (Second line of defence)

หนวยงานททำหนาทบรหารความเสยง เปนผทำหนาท (Responsible person) ในการกำหนดกรอบและกระบวนการ

การบรหารและจดการความเสยงทางดานเทคโนโลยสารสนเทศ รวมทงสนบสนนใหมการดำเนนงานดงกลาว โดยหนวยงาน

Page 17: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

15

ททำหนาทบรหารความเสยงนจะเปนผรบผดชอบ (Accountable person) ในผลการบรหารและจดการความเสยงทกรปแบบ

ทวทงองคกร รวมถงรบผดชอบใหมการจดทำและปรบปรงความเสยงและกจกรรมการบรหารความเสยง

โดยรวมถงหนวยงานกำกบการปฏบตตามกฎหมายและหลกเกณฑ (Compliance) ซงเปนผใหคำปรกษา และ

สอบทานการดำเนนงานตามกฎหมายและระเบยบขอบงคบตาง ๆ

3.3 ระดบท 3: หนวยงานททำหนาทตรวจสอบดานเทคโนโลยสารสนเทศ (Third line of defence)

หนวยงานททำหนาทตรวจสอบดานเทคโนโลยสารสนเทศทงหนวยงานตรวจสอบภายในหรอผตรวจสอบภายนอก

ทเปนอสระจากหนวยงานทปฏบตหนาทดานเทคโนโลยสารสนเทศ เปนผทำหนาท (Responsible person) ตรวจสอบ

การปฏบตงานและการบรหารความเสยง เพอใหมนใจวามการปฏบตตามกรอบและกระบวนการการบรหารและจดการความ

เสยงทางดานเทคโนโลยสารสนเทศอยางเหมาะสม

Page 18: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

16

ภาคผนวก 1 แนวทางการกำหนดเหตการณความเสยง

แนวทางการกำหนดเหตการณความเสยงอาจประกอบดวย 2 แนวทาง ซงทง 2 แนวทางควรมการนำมาพจารณา

รวมกน ดงน

1. วธการแบบบนลงลาง (Top-down Approach) – โดยเรมวเคราะหจากวตถประสงคโดยรวมขององคกร แผนกลยทธ

ทางธรกจขององคกร แผนกลยทธทางดานเทคโนโลยสารสนเทศ และระบถงเหตการณทางดานเทคโนโลยสารสนเทศ

ทอาจสงผลกระทบในทางลบตอวตถประสงคและแผนกลยทธนน ทงน เพอใหมนใจวาเหตการณความเสยงทางดาน

เทคโนโลยสารสนเทศทกำหนดมความเชอมโยงกบความเสยงขององคกร

2. วธการแบบลางขนบน (Bottom-up Approach) – วเคราะหจากรายการเหตการณความเสยงทวไปทางดาน

เทคโนโลยสารสนเทศ และมาประยกตใหเขากบเหตการณขององคกรผประกอบธรกจ ทงน เพอใหมนใจวาเหตการณ

ความเสยงทนำมาพจารณานนมความครอบคลมถงเหตการณความเสยงทวไปทางดานเทคโนโลยสารสนเทศ ตวอยาง

ประเภทของเหตการณความเสยงทวไปแสดงในตารางดานลาง

ประเภทของเหตการณ ตวอยางเหตการณความเสยง

1. รายการการลงทนและ

การดำเนนงานทางดาน

เทคโนโลยสารสนเทศ

• การเลอกใชระบบงาน หรอเลอกพฒนาระบบงานทไมเปนไปตามกลยทธ หรอระดบ

ความสำคญขององคกร

• มการเลอกใชเทคโนโลยสารสนเทศทซำซอนกน

• การเลอกเทคโนโลยสารสนเทศใหมทไมสามารถใชงานกบเทคโนโลยสารสนเทศในปจจบน

หรอไมสามารถใชงานไดในระยะยาว

• การจดสรรทรพยากรสารสนเทศโดยไมตรงตามลำดบความสำคญทางธรกจ

2. การบรหารจดการ

ระบบงาน หรอ

โครงการทางดาน

เทคโนโลยสารสนเทศ

• โครงการทางดานเทคโนโลยสารสนเทศไมประสบความสำเรจ ลาชา ตองหยดชะงก

• โครงการทางดานเทคโนโลยสารสนเทศใชงบประมาณและทรพยากรเกนกวาทกำหนด

• โครงการทางดานเทคโนโลยสารสนเทศไมไดรบการสนบสนนหรอมสวนรวม

โดยผทมสวนไดเสยอยางเหมาะสม

3. การตดสนใจลงทน

ทางดานเทคโนโลย

สารสนเทศ

• ผบรหารทเกยวของไมมสวนรวมในการตดสนใจ

• มการตดสนใจเลอกลงทนในเทคโนโลยทไมเหมาะสมในแงของตนทน ความสามารถ

ในการทำงาน และการใชงานรวมกบระบบงานในปจจบนขององคกร

4. ความรความสามารถ

ทางดานเทคโนโลย

สารสนเทศ

• พนกงานขาดความรความสามารถในเทคโนโลยสารสนเทศทบรษทเลอกใช

• พนกงานขาดความเขาใจในการดำเนนธรกจและความตองการทางธรกจขององคกร

• ไมสามารถจดหาบคลากรทางดานเทคโนโลยสารสนเทศไดอยางเพยงพอ

• กระบวนการจดหาพนกงานไมเหมาะสม เชน ขาดการตรวจสอบประวต

• การอบรมและถายทอดความรทางดานเทคโนโลยสารสนเทศไมเพยงพอ

• การดำเนนงานพงพาบคคลากรมากเกนไป

Page 19: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

17

ประเภทของเหตการณ ตวอยางเหตการณความเสยง

5. ความผดพลาดในการ

ปฏบตงานของ

เจาหนาทสารสนเทศ

(ทงความผดพลาดทงท

ตงใจและไมตงใจ)

• ขอผดพลาดจากการปฏบตงานประจำวน

• ขอผดพลาดจากการบนทกขอมลผดพลาด หรอการตงคาในระบบ

• อบตเหตตาง ๆ ททำใหสนทรพยสารสนเทศเสยหาย

• การใชสทธการเขาถงระบบอยางไมเหมาะสม

• การโจรกรรมทรพยสนสารสนเทศ

• การจงใจทำลายสรางความเสยหายแกทรพยสนสารสนเทศ

6. ขอมลสารสนเทศ

(การเขาถงขอมล

การรวไหลของขอมล

หรอการสญหายของ

ขอมล)

• การไมสามารถเขาถงขอมลทจำเปน

• การรวไหล หรอการสญหายของขอมลเนองจากอปกรณเครองมอทางดานเทคโนโลย

สารสนเทศ ระบบงาน และระบบฐานขอมลตาง ๆ สญหายหรอถกทำลาย

• มความผดพลาดในการสำรองขอมล

• ขอมลถกปรบเปลยน

• มการเปดเผยขอมลสำคญอยางไมเหมาะสม ทงโดยตงใจและไมตงใจ

• การขาดการบรหารจดการขอมลทเหมาะสมทำใหไมสามารถนำขอมลทเกบไวมาใชงานได

• ลขสทธ หรอทรพยสนทางปญญารวไหลเนองจากพนกงานลาออก

7. การออกแบบโครงสราง

ของระบบงานทางดาน

เทคโนโลยสารสนเทศ

• การออกแบบโครงสรางเทคโนโลยสารสนเทศมความซบซอน ไมยดหยน

ไมรองรบการขยายตวในอนาคต สงผลตอการพลาดโอกาสทางธรกจ

• การออกแบบโครงสรางเทคโนโลยสารสนเทศไมสนบสนนการทำงานในเชงธรกจ

• การออกแบบโครงสรางเทคโนโลยสารสนเทศไมตอบสนองตอการปรบใชกบอปกรณ

สารสนเทศ หรอระบบงานใหม ๆ

8. สาธารณปโภคทางดาน

เทคโนโลยสารสนเทศ

(เครองคอมพวเตอร

ระบบปฏบตการ และ

เทคโนโลยตาง ๆ ทชวย

ในการดำเนนงาน)

• การใชระบบงานสาธารณปโภคทางดานเทคโนโลยสารสนเทศใหม ๆ ยงไมเสถยร

• ระบบงานสาธารณปโภคทางดานเทคโนโลยสารสนเทศไมรองรบการใชงานในปรมาณมาก

• ระบบสาธารณปโภคพนฐานเชน ไฟฟา โทรศพท ไมสามารถใชงานได

• เทคโนโลยมความลาสมย

9. ระบบงานสารสนเทศ

(Software) • ระบบงานไมสามารถทำงานไดตามทตองการ

• ผใชงานไมสามารถใชงานระบบงานใหมได

• การแกไข หรอปรบแตงโปรแกรมทไมเหมาะสมทอาจกอใหเกดการทจรตหรอการทำงาน

ของโปรแกรมผดพลาด

• ปญหาการใชงานโปรแกรม โปรแกรมเกาทไมมการสนบสนนโดยผผลต

• การไมสามารถกลบไปใชงานโปรแกรมชดเกาในกรณทโปรแกรมชดใหมมปญหา

Page 20: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

18

ประเภทของเหตการณ ตวอยางเหตการณความเสยง

10. ความรบผดชอบของ

หนวยงานธรกจ • หนวยงานทางธรกจไมมสวนรวมรบผดชอบในการพฒนาหรอจดหาโปรแกรมใหม

• มการใชโปรแกรมหรอการคำนวณภายนอกระบบงานหลกเปนจำนวนมาก ซงอาจสงผล

ตอความปลอดภยและความถกตองของขอมล รวมทงการใชทรพยากรทางดานเทคโนโลย

สารสนเทศอยางไมคมคา

• มการจดซอทางดานเทคโนโลยสารสนเทศทไมไดผานกระบวนการการจดซอทเหมาะสม

• การใหความตองการในการใชระบบงานไมเพยงพอ สงผลตอการบรการทางดาน

เทคโนโลยสารสนเทศทไมมประสทธภาพ

11. การบรหารจดการ

ผใหบรการภายนอก • ไมมการสอบประวตและความเหมาะสมของผใหบรการภายนอก

• เงอนไขการใหบรการ หรอเงอนไขในสญญากบผใหบรการภายนอกไมเหมาะสม

• การใหบรการของผใหบรการภายนอกไมตรงตามมาตรฐานการใหบรการขององคกร

• ผใหบรการภายนอกไมสามารถสนบสนนการดำเนนงานในระยะยาวขององคกรได

• มการใชงานโปรแกรมทไมไดมาตรฐานหรอลขสทธไมถกตองโดยผใหบรการภายนอก

• ไมสามารถเปลยนผใหบรการภายนอกได เนองจากมการพงพงผใหบรการภายนอก

มากเกนไป

• มการใชงานระบบสารสนเทศรวมกนบนระบบเครอขายคอมพวเตอร เพอการประมวลผล

ความตองการของผใชงาน (cloud computing) โดยไมไดรบคำปรกษาจากหนวยงาน

เทคโนโลยสารสนเทศ ทำใหไมสามารถใชงานรวมกบระบบสารสนเทศอน ๆ ขององคกรได

12. การปฏบตตาม

กฎระเบยบขอบงคบ • ไมสามารถปฏบตตามกฎระเบยบขอบงคบตาง ๆ

• ไมตระหนกถงกฎระเบยบขอบงคบทอาจเกดขน และผลกระทบตอการดำเนนงาน

ทางดานเทคโนโลยสารสนเทศ

• ผออกกฎไมอนญาตใหดำเนนงาน เนองจากมการควบคมทไมเพยงพอ

13. สภาพทางดาน

ภมรฐศาสตร • ไมสามารถเขาถงระบบสารสนเทศเนองจากสภาวการณผดปกตในสถานทตาง ๆ

• นโยบายของรฐ หรอ การแทรกแซงจากหนวยงานราชการททำใหไมสามารถใหบรการ

เทคโนโลยสารสนเทศได

• ระบบสาธารณปโภคถกทำลายจากเหตการณทางการเมอง

14. การโจรกรรม และ

ทำลายสาธารณปโภค

ทางดานเทคโนโลย

สารสนเทศ

• การโจรกรรมอปกรณทางดานเทคโนโลยสารสนเทศทำใหขอมลสำคญสญหาย

• ศนยคอมพวเตอรถกทำลาย

• อปกรณสารสนเทศสวนบคคลไดรบความเสยหาย

Page 21: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

19

ประเภทของเหตการณ ตวอยางเหตการณความเสยง

15. ชดคำสงทไมประสงคด

ตอระบบสารสนเทศ • มการตดตงชดคำสงทไมประสงคดในเครองแมขาย

• มการตดตงชดคำสงทไมประสงคดในเครองคอมพวเตอรในระบบงานบอยครง

• พนกงานตดตงชดคำสงทไมประสงคดในระบบงานเพอกอใหเกดความเสยหายในอนาคต

• ขอมลสำคญของบรษทรวไหลเนองจากมการปลอมแปลงเปนผใชงานภายในองคกร

(phishing attack)

16. การบกรกโจมต

ในระบบงานและ

ระบบเครอขาย

• พบการพยายามเขาถงระบบสารสนเทศโดยผไมมสทธ

• การใหบรการทางดานเทคโนโลยสารสนเทศหยดชะงกเนองจากการโจมตระบบ

สารสนเทศ

• การเปลยนแปลงขอมลในเวบไซตของบรษท

• พบการแพรของไวรสคอมพวเตอร

• การพยายามบกรกโจมตระบบ (hacking)

17. กจกรรมทไมคาดฝน

ในอตสาหกรรมตางๆ

(เชนการประทวง)

• เกดการประทวงในบรษททำใหไมสามารถเขาถงอปกรณสารสนเทศได

• พนกงานไมสามารถมาทำงานเนองจากระบบขนสง หรอสาธารณปโภคอน ๆ หยด

ดำเนนการเนองจากการประทวง

• ผใหบรการภายนอกไมสามารถดำเนนงานไดเนองจากการประทวง

• ไมสามารถเบกจายเงนเนองจากมการประทวงในธรกจธนาคาร

18. ผลกระทบตอ

สงแวดลอม • อปกรณทางดานเทคโนโลยสารสนเทศ หรออปกรณทเกยวของไมเปนมตรตอสงแวดลอม

19. ภยธรรมชาต • เหตการณภยธรรมชาต เชน แผนดนไหว นำทวม พาย

20. นวตกรรม • นวตกรรม และแนวโนมทางดานสารสนเทศไมไดรบการพจารณา

• ไมสามารถปรบใชเทคโนโลยใหม ๆ ไดทนเวลา

• เทคโนโลยใหม ๆ ทสำคญไมไดรบการพจารณานำมาใชงาน

Page 22: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

20

ภาคผนวก 2 ตวอยาง แผนภาพความเสยง และทะเบยนความเสยง

ตวอยางแผนภาพความเสยง

ผล

กระท

ตำ

อนขา

งตำ

อนขา

งสง

สง

ตำ คอนขางตำ คอนขางสง สง

โอกาสเกด

หมายเหต: จำนวนระดบความสำคญของโอกาสเกด หรอผลกระทบ รวมทงการแบงระดบความสำคญของความเสยง

สามารถเปลยนแปลงไดตามกระบวนการและวธการประเมนความเสยงของแตละองคกร หรอตามความเหมาะสม

ตามสภาพแวดลอม และความสามารถขององคกร โดยพนทสเขยวอาจกำหนดใหเปนพนทของระดบความเสยงตำ พนทส

เหลองอาจเปนความเสยงทคอนขางตำซงสามารถยอมรบได พนทสแดงเปนความเสยงคอนขางสงทเกนจากความเสยง

ทสามารถยอมรบได จงตองการการบรหารจดการเพมเตม และสวนสแดงเขมคอความเสยงทสำคญมากตองการ

การบรหารจดการอยางเรงดวน

ความเสยงท 1

ความเสยงท 2 ความเสยงท 3

Page 23: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

21

ตวอยางทะเบยนความเสยง ทะเบยนความเสยง

สวนท 1 ขอมลทวไป ชอความเสยง เจาของความเสยง วนทประเมน วนทปรบปรง ประเภทของความเสยง พลาดโอกาสการใชเทคโนโลยสารสนเทศใหเกดประสทธภาพ และ ประสทธผล /

การพฒนาบรการหรอผลตภณฑใหม / การปฏบตงานประจำวนดานเทคโนโลยสารสนเทศ

ระดบความสำคญ ตำ / คอนขางตำ / คอนขางสง / สง สวนท 2 เหตการณความเสยง ผกระทำใหเกดความเสยง ประเภทของความเสยงหรอภยคกคาม เหตการณทอาจเกดขน สนทรพยหรอทรพยากรทเกยวของ ชวงเวลาหรอระยะเวลา สวนท 3 ผลการวเคราะหความเสยง ระดบของโอกาสเกด ตำ / คอนขางตำ / คอนขางสง / สง คำบรรยายโอกาสเกด ระดบของผลกระทบ โดยพจารณาถง 1. ผลกระทบกบการดำเนนงาน 2. ตนทนการตอบสนองตอความเสยง 3. ความสามารถในการแขงขน 4. การปฏบตตามระเบยบขอบงคบ

ตำ / คอนขางตำ / คอนขางสง / สง

คำบรรยายผลกระทบ สวนท 4 การตอบสนองตอความเสยง การตอบสนองตอความเสยง หลกเลยง / ยอมรบ / รวมจดการ / ลด รายละเอยดเพอประกอบการประเมน การตอบสนอง

1. xxxxx, สถานการณการจดใหมการควบคมในปจจบน สถานการณดำเนนงาน กจกรรมการควบคมเพมเตม 2. xxxxx, สถานการณการจดใหมการควบคมในปจจบน สถานการณดำเนนงาน กจกรรมการควบคมเพมเตม

รายละเอยดวธการตอบสนองความเสยง สถานะของการดำเนนงาน เพอการตอบสนองตอความเสยง

ปญหาทสำคญในการดำเนนงาน สวนท 5 ตวชวดความเสยง ตวชวดความเสยง 1.

Page 24: (IT Risk Management Practice) - SECกรอบการกำก บด แลและกรอบการบร หารและจ ดการความเส ยงอ น

22

ภาคผนวก 3 ตวอยางของตวชวดความเสยงหลก

เหตการณความเสยง มมมอง

CIO

(Chief Information

Officer)

CRO

(Chief Risk Officer)

CEO

(Chief Executive

Officer) /

Board of Directors

การตดสนใจในโครงการ

ทางดานเทคโนโลย

สารสนเทศ

• รอยละของโครงการ

ทดำเนนการไดในเวลา

และงบประมาณทกำหนด

• จำนวน และประเภท

โครงการทมการ

ดำเนนการนอกเหนอจาก

แผนงานสารสนเทศ

• รอยละของโครงการ

ทผานการตรวจสอบ

คณภาพ

• รอยละของโครงการทม

การกำหนดประโยชน

ทไดรบจากเทคโนโลย

สารสนเทศทชดเจน

• รอยละของโครงการ

ทไดประโยชนทางธรกจ

ตรงตามหรอมากกวา

ทกำหนด

• รอยละของโครงการทใช

เงนทนตามแผนงาน

หรอกลยทธทางธรกจ

ทกำหนด

ความมนคงปลอดภย

ทางดานเทคโนโลย

สารสนเทศ

• รอยละของผใชงาน

ทไมทำตามนโยบาย

รหสผานของบรษท

• รอยละของการเขาใชงาน

ระบบสารสนเทศ

ทนาสงสย หรอไมตรง

ตามระดบการเขาถง

ทกำหนด

• จำนวนเหตการณ หรอ

ปญหาทางดานความ

มนคงปลอดภยระบบ

สารสนเทศ พรอมทง

ผลกระทบทางธรกจ

ความรความสามารถของ

พนกงานสารสนเทศ • รอยละของพนกงาน

สารสนเทศทเขาอบรม

ตามแผนการอบรม

• จำนวนระดบการ

ใหบรการทลดลง

เนองจากปญหาในการ

ปฏบตงานประจำวน

ทางดานเทคโนโลย

สารสนเทศ

• จำนวนปญหาทพบ

อนเนองมาจากผใชงาน

มความรไมเพยงพอ

หรอคมอและการอบรม

ไมเพยงพอ

• คาปรบจากการไมปฏบต

ตามกฎระเบยบตาง ๆ

• จำนวนกรณทพนกงาน

ไมปฏบตตามกฎระเบยบ

ตาง ๆ ซงสงผลตอ

ภาพลกษณ และชอเสยง

ของบรษท