Upload File

คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ......

  • Home
  • Documents
  • คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ
14
คู่มือการตรวจสอบด้านเทคโนโลยีสารสนเทศ ตามแนวทางการกากับดูแลตามความเสี่ยง หน้า ๑ จาก ๑๔ คู่มือการตรวจสอบด้านเทคโนโลยีสารสนเทศ ตามแนวทางการกากับดูแลตามความเสี่ยง (IT Audit Manual - Risk Based Supervision) ………………………………………………. สำนักงำน คปภ. มิถุนำยน 2561 1. วัตถุประสงค์ เอกสารฉบับนี้จัดทาขึ้น โดยมีวัตถุประสงค์เพื่อเป็นแนวทางในการกากับดูแล ตรวจสอบ และติดตาม การใช้เทคโนโลยีสารสนเทศของบริษัทประกันภัยให้มีความสอดคล้องกับระดับความเสี่ยงด้านเทคโนโลยี สารสนเทศ และเพื่อสื่อสารชี้แจงความเสี่ยงด้านเทคโนโลยีสารสนเทศที่บริษัทประกันภัยควรมีมาตรการบริหาร จัดการความเสี่ยงนั้นอย่างเหมาะสม โดยเอกสารฉบับนี้ได้รวมถึงตัวอย่างการควบคุมหลักที่บริษัทประกันภัยควร ถือปฏิบัติ ซึ่งเป็นเพียงตัวอย่างแนวทางการควบคุมเท่านั้น บริษัทประกันภัยสามารถเลือกที่จะใช้การควบคุม ที่เหมาะสมหรือดีกว่าได้ ทั้งนี้ เพื่อให้บริษัทประกันภัยบริหารจัดการและปฏิบัติงานภายใต้ความเสี่ยงด้าน เทคโนโลยีสารสนเทศได้อย่างมีประสิทธิภาพ 2. หน้าที่ความรับผิดชอบของสานักงาน คปภ. ) กาหนดเป้าหมาย ทิศทาง ภารกิจงานตรวจสอบ เพื่อสนับสนุนการบริหารงานและการดาเนินงาน ด้านต่างๆ ของบริษัทประกันภัย โดยให้สอดคล้องกับนโยบายของบริษัท และกฎระเบียบที่ออกโดย สานักงาน คปภ. หรือหน่วยงานกากับดูแลอื่นๆ โดยคานึงถึงประสิทธิภาพของการควบคุมภายในระบบ เทคโนโลยีสารสนเทศของบริษัทประกันภัย รวมทั้งวิเคราะห์และประเมินผลการบริหารและการปฏิบัติงานของ บริษัทประกันภัย ) กากับดูแลและควบคุมเพื่อให้การปฏิบัติงานของบริษัทประกันภัย เป็นไปโดยมีประสิทธิภาพ ประสิทธิผล และมีความเหมาะสม รวมทั้งเสนอแนะเพื่อป้องกันมิให้เกิดความเสียหายหรือการทุจริตเกี่ยวกับ การเงินหรือทรัพย์สินต่างๆ ของบริษัทประกันภัย ) ติดตามและกากับดูแลเพื่อให้การปรับปรุงแก้ไขของบริษัทประกันภัยถูกต้องตามที่ผู้ตรวจสอบด้าน เทคโนโลยีสารสนเทศแนะนา ) ประสานงานหรือร่วมประชุมกับบริษัทประกันภัย เกี่ยวกับขอบเขตงาน แผนงาน ผลการตรวจสอบ ข้อจากัดและปัญหาต่างๆ ที่ตรวจพบ รวมทั้งหารือเพื่อระดมความเห็นและข้อเสนอแนะ ถึงวิธีการหรือมาตรการ ในการปรับปรุงแก้ไข เพื่อให้การปฏิบัติงานตรวจสอบด้านเทคโนโลยีสารสนเทศของบริษัทประกันภัย บรรลุ เป้าหมายและเป็นไปอย่างมีประสิทธิภาพ ) พัฒนากรอบการกากับดูแลและส่งเสริมให้บริษัทประกันภัยมีระบบเทคโนโลยีที่มีประสิทธิภาพและ สนับสนุนให้บริษัทประกันภัยมีการใช้เทคโนโลยีในการพัฒนาธุรกิจประกันภัยอย่างมั่นคงปลอดภัย ตลอดจน สร้างความเชื่อมั่นให้กับสาธารณชน ) ปฏิบัติงานอื่นด้านการตรวจสอบเทคโนโลยีสารสนเทศ ตามภารกิจที่เกี่ยวข้อง

Upload: others

Post on 25-Jan-2020

7 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๑ จาก ๑๔

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง

(IT Audit Manual - Risk Based Supervision) ……………………………………………….

ส ำนกงำน คปภ.

๑ มถนำยน 2561

1. วตถประสงค เอกสารฉบบนจดท าขน โดยมวตถประสงคเพอเปนแนวทางในการก ากบดแล ตรวจสอบ และตดตาม

การใชเทคโนโลยสารสนเทศของบรษทประกนภยใหมความสอดคลองกบระดบความเสยงดานเทคโนโลยสารสนเทศ และเพอสอสารชแจงความเสยงดานเทคโนโลยสารสนเทศทบรษทประกนภยควรมมาตรการบรหารจดการความเสยงนนอยางเหมาะสม โดยเอกสารฉบบนไดรวมถงตวอยางการควบคมหลกทบรษทประกนภยควรถอปฏบต ซงเปนเพยงตวอยางแนวทางการควบคมเทานน บรษทประกนภยสามารถเลอกทจะใชการควบคม ทเหมาะสมหรอดกวาได ทงน เพอใหบรษทประกนภยบรหารจดการและปฏบตงานภายใตความเสยงดานเทคโนโลยสารสนเทศไดอยางมประสทธภาพ 2. หนาทความรบผดชอบของส านกงาน คปภ.

๑) ก าหนดเปาหมาย ทศทาง ภารกจงานตรวจสอบ เพอสนบสนนการบรหารงานและการด าเนนงาน ดานตางๆ ของบรษทประกนภย โดยใหสอดคลองกบนโยบายของบรษท และกฎระเบยบทออกโดย ส านกงาน คปภ. หรอหนวยงานก ากบดแลอนๆ โดยค านงถงประสทธภาพของการควบคมภายในระบบเทคโนโลยสารสนเทศของบรษทประกนภย รวมทงวเคราะหและประเมนผลการบรหารและการปฏบตงานของบรษทประกนภย

๒) ก ากบดแลและควบคมเพอใหการปฏบตงานของบรษทประกนภย เปนไปโดยมประสทธภาพ ประสทธผล และมความเหมาะสม รวมทงเสนอแนะเพอปองกนมใหเกดความเสยหายหรอการทจรตเกยวกบการเงนหรอทรพยสนตางๆ ของบรษทประกนภย

๓) ตดตามและก ากบดแลเพอใหการปรบปรงแกไขของบรษทประกนภยถกตองตามทผตรวจสอบดานเทคโนโลยสารสนเทศแนะน า

๔) ประสานงานหรอรวมประชมกบบรษทประกนภย เกยวกบขอบเขตงาน แผนงาน ผลการตรวจสอบ ขอจ ากดและปญหาตางๆ ทตรวจพบ รวมทงหารอเพอระดมความเหนและขอเสนอแนะ ถงวธการหรอมาตรการในการปรบปรงแกไข เพอใหการปฏบตงานตรวจสอบดานเทคโนโลยสารสนเทศของบรษทประกนภย บรรลเปาหมายและเปนไปอยางมประสทธภาพ

๕) พฒนากรอบการก ากบดแลและสงเสรมใหบรษทประกนภยมระบบเทคโนโลยทมประสทธภาพและสนบสนนใหบรษทประกนภยมการใชเทคโนโลยในการพฒนาธรกจประกนภยอยางมนคงปลอดภย ตลอดจนสรางความเชอมนใหกบสาธารณชน

๖) ปฏบตงานอนดานการตรวจสอบเทคโนโลยสารสนเทศ ตามภารกจทเกยวของ

Page 2: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๒ จาก ๑๔

3. ค าจ ากดความ ๑) การตรวจสอบดานเทคโนโลยสารสนเทศ หมายถง กจกรรมการสรางความเชอมน (Assurance)

ตอระบบเทคโนโลยสารสนเทศ และการใหขอเสนอแนะรวมถงแนวทางการปรบปรงระบบงานดานเทคโนโลยสารสนเทศของบรษทประกนภยใหมความสอดคลองกบกฎ ระเบยบ และความเสยงภย รวมถงการตรวจสอบเพอชวยใหบรษทประกนภยบรรลเปาหมายและวตถประสงคทก าหนดไว ดวยการประเมนและปรบปรงประสทธผลของกระบวนการการควบคมทวไปของระบบเทคโนโลยสารสนเทศและการควบคมเฉพาะระบบงาน

๒) การควบคมภายในระบบเทคโนโลยสารสนเทศ หมายถง กระบวนการหรอขนตอนการท างานทเปนผลมาจากการออกแบบ โดยคณะกรรมการ ผบรหาร หรอบคลากรอนๆ ของบรษทประกนภย เพอกอใหเกดความมนใจไดอยางสมเหตสมผลวาบรษทจะสามารถบรรลวตถประสงคความมประสทธผล และประสทธภาพของการด าเนนงานระบบเทคโนโลยสารสนเทศ 4. การตรวจสอบดานเทคโนโลยสารสนเทศตามระดบความเสยง

ปจจบน ส านกงาน คปภ. ก ากบดแลบรษทประกนภยโดยใชแนวทางการก ากบดแลตามความเสยง (Risk Based Supervision : RBS) และการจดระดบความเสยงรวม (Composite Risk Rating) ซงเปนการก าหนดกลยทธการก ากบดแลบรษทประกนภย โดยพจารณาจากระดบความเสยง โดยการก ากบดแลตามความเสยงนเปนแนวทางทชวยใหส านกงาน คปภ. สามารถเขาด าเนนการแทรกแซงหรอด าเนนมาตรการใดๆ ทชวยปองกนความเสยหายตอผเอาประกนภยและภาคอตสาหกรรมไดอยางทนทวงท

รปท ๑ : กระบวนการการก ากบดแลตามความเสยง

การวเคราะหและตรวจสอบฐานะการเงน

และความเสยงของ บรษทประกนภย

การก าหนดมาตรการ การก ากบ และทบทวน ประสทธภาพการก ากบ

การประเมนความเสยง และจดระดบ

ความเสยงรวม

กฎระเบยบ มาตรฐานการก ากบ และแนวทางปฏบต

การใหใบอนญาตประกอบธรกจ

การตรวจสอบและก ากบอยางตอเนอง การบงคบใชมาตรการ

ทางกฎหมาย

การเพกถอนใบอนญาต

ประกอบธรกจ

Page 3: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๓ จาก ๑๔

ในการตรวจสอบและก ากบบรษทประกนภย จะมการประเมนความเสยงและจดระดบความเสยงรวม

(Composite Risk Rating) โดย มองคประกอบทใชในการพจารณา ดงน

รปท ๒ : องคประกอบในการพจารณาก าหนดระดบความเสยงรวม (Composite rating) และระดบมาตรการการก ากบ

ภายใตแผนพฒนาการประกนภย ฉบบท ๓ (พ.ศ. ๒๕๕๙ – ๒๕๖๓) ส านกงาน คปภ. ไดก าหนด

มาตรการเพอเพมศกยภาพใหกบอตสาหกรรมประกนภยโดยการสงเสรม สนบสนน และก ากบการใชเทคโนโลยดจทลในการด าเนนธรกจ ซงการพฒนาเพอมงสระบบดจทลดงกลาว ยอมสงผลกระทบตอการด าเนนธรกจของบรษทประกนภย โดยเฉพาะในเรองการบรหารความเสยงดานเทคโนโลยสารสนเทศ ส านกงาน คปภ. จงก าหนดนโยบายในการน าความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภยมาเปนอกองคประกอบหนง ในการจดระดบความเสยงรวม (Composite Risk Rating) โดยพฒนากรอบการตรวจสอบดานเทคโนโลยสารสนเทศ (IT Audit Framework) รวมถงแนวทางการใหคะแนนความเสยงดานเทคโนโลยสารสนเทศ (Risk Scoring) เพอใชในการก ากบดแลและตดตามบรษทประกนภย 5. ประเภทของความเสยงดานเทคโนโลยสารสนเทศ

1) ความเสยงดานการบรหารงานเทคโนโลยสารสนเทศ (IT Management Risk)

2) ความเสยงดานการปฏบตงานเทคโนโลยสารสนเทศ (Operation Risk) ๒.๑ ความเสยงทเกยวกบการรกษาความปลอดภย (Security) ๒.๒ ความเสยงทเกยวกบความถกตองเชอถอไดของขอมล (Data Integrity) ๒.๓ ความเสยงทเกยวกบความพรอมใชงาน (Availability) ๒.๔ ความเสยงดานชอเสยงและการปฏบตตามกฎหมาย (Reputation and Regulation)

ระดบความเสยงรวม (Composite rating)

ความเสยงสทธ สภาพคลอง เงนกองทน การปฏบตตามกฎหมาย พฤตกรรมตลาด

ระดบมาตรการการก ากบ

ผลกระทบตออตสาหกรรม (Impact)

Page 4: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๔ จาก ๑๔

6. แนวทางการประเมนความเสยงดานเทคโนโลยสารสนเทศโดยพจารณาตามขอบเขตการตรวจสอบ

๑) ความเสยงดานการบรหารงานเทคโนโลยสารสนเทศ ๑.๑) การควบคมดแลความเสยงดานเทคโนโลยสารสนเทศโดยคณะกรรมการบรษทรวมถง

ผบรหารของบรษท (Oversight of Technology Risks by Board of Directors and Senior Management) ๑.๒) การจดการความเสยงดานเทคโนโลยสารสนเทศ (Technology Risk Management)

๒) ความเสยงดานการปฏบตงานเทคโนโลยสารสนเทศ ๒.๑) การรกษาความปลอดภย (Security)

๒.๑ .๑) การรกษาความปลอดภยใหกบโครงสรางพนฐานของระบบปฏบตการ (Operational Infrastructure Security Management) และการควบคมการเขาถง (Access Control)

๒.๑.๒) การควบคมและปองกนศนยขอมล (Data Centers Protection and Controls) ๒.๑.๓) การจดการความเสยงดานเทคโนโลยสารสนเทศจากผใหบรการภายนอก

(Management of IT Outsourcing Risks) ๒.๒) ความถกตองเชอถอไดของขอมล (Data Integrity)

๒.๒.๑) การสรางและพฒนาระบบขอมล (Acquisition and Development of Information Systems)

๒.๓) ความพรอมใชงานของเทคโนโลยสารสนเทศ (Availability) ๒.๓.๑) การบรหารจดการบรการทางดานเทคโนโลยสารสนเทศ ( IT Service

Management) ๒.๓.๒) การท าใหระบบเทคโนโลยสารสนเทศมความนาเชอถอ พรอมใชงาน และสามารถ

น ากลบมาใชงานใหมไดหากเกดกรณฉกเฉน (Systems Reliability, Availability and Recoverability)

รปท ๓ : แสดงความเชอมโยงระหวางความเสยงดานเทคโนโลยสารสนเทศ

Page 5: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๕ จาก ๑๔

7. ตารางความเสยงและตวอยางการควบคมหลก หมำยเหต: ตำรำงควำมเสยงและตวอยำงกำรควบคมตอไปน เปนกำรชแจงควำมเสยงดำนเทคโนโลยสำรสนเทศ และแนวทำงกำรควบคมหลกทบรษทประกนภยควรถอปฏบต ซงเปนเพยงตวอยำงกำรควบคมหลกเทำนน บรษทประกนภยสำมำรถเลอกใชกำรควบคมทเหมำะสมกบสภำพแวดลอมดำนเทคโนโลยสำรสนเทศของบรษทฯได

กระบวนการ ความเสยง ตวอยางการควบคมหลก 1. ความเสยงดานการบรหารงานเทคโนโลยสารสนเทศ 1.1 การควบคมดแลความเสยงดานเทคโนโลยสารสนเทศโดยคณะกรรมการบรษท รวมถงผบรหารของบรษท (Oversight of Technology Risks by Board of Directors and Senior Management) OV.01 การบรหารจดการโครงสรางและทรพยากร ของหนวยงานเทคโนโลยสารสนเทศ ของบรษทประกนภย

OVR.01 การจดโครงสรางและทรพยากรของหนวยงานเทคโนโลยสารสนเทศของบรษทประกนภยอาจไมเหมาะสมท าใหการแบงหนาทไมถกตอง เปนสาเหตให สามารถทจะกระท าความผด หรอสามารถปกปดการกระท าความผดได รวมถงอาจไมไดรบทรพยากรบคคล ทเพยงพอเพอรองรบการก ากบดแลดานเทคโนโลยสารสนเทศ

OVC.01 มการจดท า IT Organization Chart ทมการแบงแยกหนาท และโครงสรางทส าคญ (เชน หนวยงานพฒนาระบบ (Developer) แยกจากหนวยงานบรหารจดการระบบ (IT Administrator)) รวมถงตองมการสอสาร ทบทวน และอนมต IT Organization Chart

OVR.02 หนวยงานเทคโนโลยสารสนเทศของบรษทประกนภยอาจไมไดรบการสนบสนนจากผบรหารท าใหไมสามารถปฏบตงานไดอยางมประสทธภาพ หรออาจด าเนนการไดไมสอดคลองตามวสยทศนของผบรหาร

OVC.02 มการจดตงคณะกรรมการดานเทคโนโลยสารสนเทศ เพอก ากบดแลงานดานเทคโนโลยสารสนเทศของบรษทประกนภย

OVR.03 หนาทรบผดชอบงานทส าคญอาจไมไดถกมอบหมาย เนองจากไมมการก าหนดหนาทรบผดชอบงานดานเทคโนโลยสารสนเทศทชดเจน

OVC.03 มการจดท า Job Description ทมรายละเอยดหนาทความรบผดชอบทส าคญอยางชดเจน เปนแนวทางใหพนกงานสามารถด าเนนงานไดตามหนาท โดยจะตองมการสอสาร ทบทวน และอนมต Job Description

OVR.04 การปฏบตงานดานเทคโนโลยสารสนเทศของพนกงานอาจไมตรงกน หรอไมสอดคลองตามวสยทศนของผบรหาร

OVC.04 มการจดท านโยบายและขนตอนการปฏบตงานดานเทคโนโลยสารสนเทศทมความละเอยดเพยงพอ เหมาะสม โดย มการสอสาร ทบทวน และอนมต อยางนอยปละ 1 ครง หรอเมอมการปรบปรงแกไขทเปนสาระส าคญ

OVR.05 กลยทธทางดานเทคโนโลยสารสนเทศอาจไมสอดคลองกบกลยทธทางดานธรกจ ท าใหการจดสรรทรพยากรทางดานเทคโนโลยสารสนเทศไมเหมาะสม

OVC.05 มการจดท าแผนกลยทธดานเทคโนโลยสารสนเทศ (IT Strategy Plan) ทสอดคลองกบแผนกลยทธดานธรกจ (Business Strategy Plan) โดยแผนกลยทธฯ ตองไดรบการสอสารและอนมต จากผบรหารทางธรกจ

OVC.06 มการรายงานผลการปฏบตงานตามแผนกลยทธ ดานเทคโนโลยสารสนเทศ (IT Strategy Plan) ไปยงผบรหาร เปนประจ า

1.2 การจดการความเสยงดานเทคโนโลยสารสนเทศ (Technology Risk Management) TR.01 การบรหารจดการความเสยง ดานเทคโนโลยสารสนเทศ

TRR.01 การปฏบตงานดานการบรหารจดการ ความเสยงดานเทคโนโลยสารสนเทศอาจไมตรงกน หรอไมสอดคลองตามวสยทศนของผบรหาร

TRC.01 มการจดท าเอกสารแนวทางปฏบตการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศทมความละเอยดเพยงพอ เหมาะสม โดยจะตองมการสอสาร ทบทวน และอนมต อยางนอยปละ 1 ครง หรอเมอมการปรบปรงแกไขทเปนสาระส าคญ

TRR.02 ไมมการประเมนความเสยงดานเทคโนโลยสารสนเทศ ท าใหไมสามารถบรหารจดการความเสยงดานเทคโนโลยสารสนเทศไดอยางเหมาะสม

TRC.02 มการระบความเสยง และประเมนความเสยง ดานเทคโนโลยสารสนเทศของบรษทประกนภย โดยจะตองไดรบ การอนมตโดยคณะกรรมการดานเทคโนโลยสารสนเทศของบรษท

Page 6: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๖ จาก ๑๔

กระบวนการ ความเสยง ตวอยางการควบคมหลก TRR.03 ไมมการจดท าแผนตอบสนองตอความเสยง ดานเทคโนโลยสารสนเทศ ท าใหความเสยงดานเทคโนโลยสารสนเทศไมไดถกบรหารจดการ อยางเหมาะสม

TRC.03 มการจดท าแผนตอบสนองตอความเสยงดานเทคโนโลยสารสนเทศ และไดรบการอนมตโดยคณะกรรมการดานเทคโนโลยสารสนเทศของบรษท

TRR.04 ไมมการประเมนการควบคมดานเทคโนโลยสารสนเทศทมอยในปจจบน ท าใหไมสามารถทราบไดถงประสทธภาพของการควบคมดานเทคโนโลยสารสนเทศ ในปจจบน และอาจไมสามารถบรหารจดการ ปรบปรง หรอแกไขได

TRC.04 มการประเมนการควบคมดานเทคโนโลยสารสนเทศ โดยผตรวจสอบภายใน / ผตรวจสอบอสระ และรายงานผล การตรวจสอบตอผบรหาร อยางนอยปละ 1 ครง

TRC.05 มการรายงานสถานะของการปรบปรง แกไขการควบคมเพอตอบสนองตอความเสยงดานเทคโนโลยสารสนเทศตอผบรหารเปนประจ า

2. ความเสยงดานการปฏบตงานเทคโนโลยสารสนเทศ ๒.๑ การรกษาความปลอดภย (Security) 2.1.1 การรกษาความปลอดภยใหกบโครงสรางพนฐานของระบบปฏบตการ (Operational Infrastructure Security Management) และการควบคมการเขาถง (Access Control) OA.01 นโยบายการรกษาความปลอดภยดานเทคโนโลยสารสนเทศ และขนตอน การปฏบตงาน

OAR.01 การปฏบตงานดานการรกษาความปลอดภยดานเทคโนโลยสารสนเทศอาจไมตรงกน หรอไมสอดคลองตามวสยทศนของผบรหาร

OAC.01 มการจดท าเอกสารนโยบายการรกษาความปลอดภยดานเทคโนโลยสารสนเทศ และขนตอนการปฏบตงานทม ความละเอยดเพยงพอ เหมาะสม โดยจะตองมการสอสาร ทบทวน และอนมต อยางนอยปละ 1 ครง หรอเมอมการ ปรบปรงแกไขทเปนสาระส าคญ

OA.02 การบรหารจดการบญชผใชงาน (User Access Request)

OAR.02 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต

OAC.02.01 มการอนมตค ารองขอการเขาถงระบบสารสนเทศโดยหวหนางานของผใชงาน (Requester Head)

OAC.02.02 มการสอบทานการก าหนดสทธของผใชงาน โดยผทเหมาะสมและลงนามเปนหลกฐานในใบค ารองขอการเขาถงระบบสารสนเทศ (User Access Request)

OA.03 การก าหนดสทธพนฐานในการเขาถงระบบสารสนเทศ ตามหนาทและความรบผดชอบ (User Authorization Matrix)

OAR.03 มการก าหนดสทธในการเขาถงระบบสารสนเทศผดพลาด ท าใหผใชงานไดรบสทธเกนหนาท และความรบผดชอบ

OAC.03.01 มการก าหนดสทธพนฐานในการเขาถงระบบสารสนเทศตามหนาทและความรบผดชอบ (User Authorization Matrix) เปนลายลกษณอกษร

OAC.03.02 มการสอบทานเอกสารการก าหนดสทธพนฐาน ในการเขาถงระบบสารสนเทศตามหนาทและความรบผดชอบ (User Authorization Matrix) โดยหนวยงานเจาของระบบสารสนเทศอยางนอยปละ 1 ครง และลงนามเปนหลกฐาน ในเอกสารการสอบทานสทธ

OA.04 การทบทวนสทธ และรหสผใชงาน (User Profile Review)

OAR.04 รหสผใชงานของพนกงานทลาออก และรหสผใชงานทไมมความจ าเปนในการเขาถงระบบสารสนเทศ (เชน พนกงานโอนยาย) รวมถงรหสผใชงานทไดรบสทธเกนหนาทและความรบผดชอบ อาจไมถกตรวจพบและแกไขไดอยางทนทวงท

OAC.04.01 มการจดท ารายงานการทบทวนสทธและ รหสผใชงานจากระบบสารสนเทศ เพอความครบถวนและถกตองของรหสผใชงาน

OAC.04.02 มการทบทวนสทธ และรหสผใชงานอยางนอย ปละ 1 ครง

OA.05 การระงบสทธผใชงาน

OAR.05 รหสผใชงานของพนกงานทลาออก อาจไมไดรบการระงบการเขาถงอยางทนทวงท ท าใหมพนกงานอนน ารหสผใชงานของพนกงานทลาออก / โอนยาย ไปใชงาน หรอด าเนนการในสงทไมเหมาะสม

OAC.05.01 ควรแจงใหหนวยงานทรพยากรบคคลจดสงรายชอพนกงานลาออก / โอนยายมาทฝายสารสนเทศ (IT) กอนวนท พนสภาพ / โอนยาย

Page 7: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๗ จาก ๑๔

กระบวนการ ความเสยง ตวอยางการควบคมหลก OAC.05.02 พนกงานทมหนาทบรหารจดการสทธ และรหสผใชงาน (User Admin) ท าการลบ หรอปรบปรงสทธการเขาถงระบบสารสนเทศของพนกงานลาออก / โอนยายอยางทนทวงท

OA.06 การตงคาการรกษาความปลอดภย ดานเทคโนโลยสารสนเทศ

OAR.06 มการเขาถงระบบสารสนเทศ และขอมลสารสนเทศ โดยไมไดรบอนญาตเนองจากการตงคา การรกษาความปลอดภยดานเทคโนโลยสารสนเทศ ทไมเขมแขง

OAC.06.01 มการเปลยนแปลงคาเรมตนของระบบสารสนเทศ (Default setting) และการตงคากลางของระบบสารสนเทศ (Global setting) อยางเหมาะสม และมความปลอดภย

OAC.06.02 มการตงคาการรกษาความปลอดภย และ การควบคมรหสผานอยางเหมาะสม (Password setting)

OAC.06.03 มการปรบแตงคาการรกษาความปลอดภย และการควบคมรหสผานแตละผใชงาน (Customized Profile) อยางเหมาะสม

OAC.06.04 มการตงคาการรกษาความปลอดภย และจ ากดสทธการใชงานของผใชงานทมสทธสงอยางเหมาะสม (High Privileged ID Restriction)

OAC.06.05 มการตงคาการรกษาความปลอดภย และจ ากดสทธการเขาถงไฟล และขอมลทส าคญบนระบบสารสนเทศทใชงานจรง (File Permission)

หมายเหต: การตงคาการรกษาความปลอดภย และการควบคมหลกทงหมดควรด าเนนการในระดบระบบปฏบตการ (Operating System) ระบบงานสารสนเทศ (Application) ฐานขอมล (Database) และระบบเครอขาย (Network)

OA.07 การควบคมรหสผใชงานทมสทธสงสด และการเบกใชรหสผใชงานทมสทธสง

OAR.07.01 ไมสามารถใชงานรหสผใชงานทมสทธสงสดไดในกรณฉกเฉน เชน การแกไขปญหาทจ าเปน ตองใชรหสผใชงานทมสทธสงสดเทานน

OAC.07.01 มการจดเกบรหสผใชงานและรหสผานของผใชงาน ทมสทธสงสดอยางเหมาะสม และมความปลอดภย พรอมใชงาน ในกรณฉกเฉน

OAR.07.02 มการใชงานรหสผใชงานทมสทธสง โดยไมไดรบอนญาต เชน การแกไขขอมลและระบบสารสนเทศ

OAC.07.02 มการอนมตการเบกใชรหสผใชงานทมสทธสง ตามความจ าเปน และถอนสทธคนอยางทนทวงท

OA.08 การตดตงอปกรณรกษาความปลอดภยทางดานระบบเครอขาย และ การสอสาร

OAR.08 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากมการตดตงอปกรณรกษา ความปลอดภยทางดานระบบเครอขายและการสอสาร ทไมเหมาะสม

OAC.08 มการตดตงอปกรณรกษาความปลอดภยทางดานระบบเครอขาย เชน Firewall เพอปองกนระบบสารสนเทศและฐานขอมล จากการเขาถงโดยไมไดรบอนญาตจากเครอขายภายนอก

OA.09 การเขาถงระบบสารสนเทศจากระยะไกล (Remote Access) รวมถงการเชอมตอจากเครอขายภายนอก

OAR.09 มการเขาถงระบบสารสนเทศจากระยะไกล (Remote Access) โดยไมไดรบอนญาต

OAC.09.01 มการจ ากดสทธการเขาถงระบบสารสนเทศจากระยะไกล (Remote Access)

OAC.09.02 มการควบคมความปลอดภยในการเชอมตอ ระบบเครอขายจากภายนอก (เชน การใชงานเครอขายเสมอน (Virtual Private Network : VPN) โดยไดรบการอนมตให เขาถงอยางเหมาะสม

OA.10 มาตรการและกระบวนการปองกน ตรวจจบ และแกไขภย

OAR.10 มภยคกคามดานความปลอดภยของขอมลสารสนเทศ อนเนองมาจากพนกงานขาดความร ความเขาใจดานการปองกนภยคกคาม รวมถงไมสามารถตรวจจบ และแกไขภยคกคามไดอยางทนทวงท

OAC.10.01 มการจดอบรมความรดานการรกษาความปลอดภยเบองตน หรอการปองกนภยคกคาม (Security Awareness) เปนประจ า เพอใหพนกงานเขาใจลกษณะของภยคกคาม และการปองกนภยคกคาม

Page 8: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๘ จาก ๑๔

กระบวนการ ความเสยง ตวอยางการควบคมหลก คกคาม OAC.10.02 มมาตรการและกระบวนการปองกน ตรวจจบ

และแกไขภยคกคาม โดยจดท าเปนลายลกษณอกษร และมการสอสาร ทบทวน อยางนอยปละ 1 ครง

OA.11 การจดเกบและ สอบทาน Log ดานความปลอดภยเทคโนโลยสารสนเทศ

OAR.11 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต หรอการกระท า / รายการทผดปกต อาจไมไดถกตรวจพบ และแกไขอยางทนทวงท

OAC.11.01 มการจดเกบ Log เพอสอบทานอยางเพยงพอ และมการปองกนการแกไข หรอท าลาย Log

OAC.11.02 มการสอบทาน Log ดานความปลอดภยเทคโนโลยสารสนเทศอยางสม าเสมอ

2.1.2 การควบคมและปองกนศนยขอมล (Data Centers Protection and Controls) DC.01 การควบคมและปองกนศนยขอมล

DCR.01 มบคคลทไมไดรบอนญาตเขาถงเครองแมขาย (Server) และอปกรณเทคโนโลยสารสนเทศทส าคญ

DCC.01.01 มการจดท าระเบยบปฏบตการเขาถงศนยขอมล (Data Centers) เปนลายลกษณอกษร

DCC.01.02 มการจ ากดสทธการเขาถงศนยขอมล (Data Centers) อยางเหมาะสม โดยศนยขอมล (Data Centers) ควรเปนหองปดทปองกนการเขาถงโดยบคคลทไมไดรบอนญาต

DCC.01.03 มการบนทกการเขา-ออกศนยขอมล (Data Centers) ของผเยยมชม (Visitor log book)

DCR.02 ระบบงานสารสนเทศหยดชะงก เนองจาก ไฟฟาดบ หรอไฟฟากระชาก ท าใหขอมลสารสนเทศ หรออปกรณเทคโนโลยสารสนเทศเสยหาย

DCC.02.01 มการตดตงอปกรณสนบสนนสภาพแวดลอม ของศนยขอมล (Data Centers) อยางเหมาะสม เชน เครองปรบอากาศ อปกรณดบเพลง เครองส ารองไฟฟาและ ปรบแรงดนไฟฟาอตโนมต (UPS) และกลองวงจรปด (CCTV) เปนตน

DCC.02.02 มการจดท าทะเบยนทรพยสนดานเทคโนโลยสารสนเทศ ซงมรายละเอยดของอปกรณ และสถานะของ การบ ารงรกษา (Maintenance Agreement) โดยจะตองปรบปรงใหเปนปจจบนอยเสมอ

2.1.3 การจดการความเสยงดานเทคโนโลยสารสนเทศจากผใหบรการภายนอก (Management of IT Outsourcing Risks) MO.01 การบรหารจดการ ผใหบรการภายนอก (Managing Outsource)

MOR.01 การบรหารจดการผใหบรการภายนอก อาจไมสอดคลองตามวสยทศนของผบรหาร

MOC.01 มการก าหนดกระบวนการและหลกเกณฑในการประเมนและคดเลอกผใหบรการภายนอก

MOR.02 ไมสามารถควบคมและก ากบดแลผใหบรการภายนอกได ท าใหไมไดรบการบรการทตอบสนอง ตอความตองการทางธรกจ

MOC.02 มการจดท าสญญาจางในการใหบรการ โดยมการก าหนดเงอนไขใหผใหบรการภายนอกปฏบตตามนโยบาย การรกษาความปลอดภย และก าหนดขอตกลงระดบการใหบรการ (Service Level Agreement : SLA) ทสอดคลองตามวสยทศนของผบรหาร

MOR.03 การใหบรการของผใหบรการภายนอก ทไมสอดคลองกบความตองการดานธรกจ อาจไมถกตรวจพบ และแกไขอยางทนทวงท

MOC.03 มการตรวจสอบ ตดตามการใหบรการของผใหบรการภายนอกอยางสม าเสมอ (เทยบกบขอตกลงระดบการใหบรการ (Service Level Agreement : SLA))

Page 9: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๙ จาก ๑๔

กระบวนการ ความเสยง ตวอยางการควบคมหลก 2.2 ความถกตองเชอถอไดของขอมล (Data Integrity) 2.2.1 การพฒนาระบบงานและโปรแกรม รวมถงการควบคมการจดซอระบบงาน (Acquisition and Development Control) AD.01 การพฒนาระบบงานและโปรแกรม รวมถงการควบคมการจดซอระบบงาน (Acquisition and Development)

ADR.01 ฟงกชนงาน หรอการควบคมเฉพาะทจ าเปนของระบบงาน อาจไมไดถกพฒนา

ADC.01 มการจดท าเอกสารความตองการของระบบงาน (Requirement) โดยจะตองมการสอบทานความตองการและอนมตโดยผใชงานทเปนเจาของระบบงาน

ADR.02 ระบบงานทถกพฒนาอาจท างานไดไมถกตอง หรอไมเหมาะสมกบการปฏบตงาน หรอมการท างาน ทผดพลาด สงผลใหขอมลเสยหาย

ADC.02 มการทดสอบระบบงานทพฒนาโดยผใชงาน (User Acceptance Test) และลงนามโดยผใชงาน (หรอผรองขอใหพฒนาระบบงาน) ไวเปนหลกฐาน รวมถงมการอนมตใหใชงานจรง (Go-live)

ADR.03 การโอนยายฐานขอมล หรอการน าขอมลจากระบบงานเกา ไปน าเขาระบบงานใหมอาจไมครบถวนถกตอง

ADC.03 มการทดสอบความครบถวนและถกตองของขอมล และลงนามโดยเจาของขอมลไวเปนหลกฐาน

ADR.04 การบ ารงรกษาระบบงาน หรอการแกไข เปลยนแปลงระบบงาน เชน Bug Fix ไมสามารถท าได เนองจากระบบงานมความซบซอน และไมมการจดท าเอกสารทางเทคนคของระบบงาน

ADC.04 มการจดท าเอกสารทางเทคนคของระบบงาน และมการทบทวน ปรบปรงเมอมการเปลยนแปลง หรอตามระยะเวลาทเหมาะสม

ADR.05 ผใชงานปฏบตงานดวยระบบงานใหมผดพลาด เนองจากขาดการอบรมผใชงาน หรอคมอการใชงาน ไมเหมาะสม มขอผดพลาด หรอไมครบถวน

ADC.05 มการอบรมผใชงานในการใชงานระบบงานใหม และ/หรอมการจดท าคมอการใชงานทเหมาะสม

PM.01 การบรหารจดการและตดตามการพฒนาระบบงาน (Project and Change Monitoring)

PMR.01 ความเสยง ปญหาในการพฒนาระบบงาน และการแกไขระบบงาน อาจไมไดรบการบรหารจดการอยางเหมาะสมและทนทวงท

PMC.01 มการตดตามผลการด าเนนการในการพฒนาระบบงาน และบรหารจดการความเสยง / ปญหา โดยมการรายงานผล การด าเนนการตอผบรหารเปนประจ า

PMC.02 มการตดตามสถานะของการรองขอการเปลยนแปลง (Change Request) มการจดล าดบความส าคญ การประเมนความเสยงและผลกระทบ และรายงานผลตอผบรหารเปนประจ า

SC.01 การบรหารจดการ Source Code (Source Code Control)

SCR.01 การแกไข ปรบปรง ระบบงาน / โปรแกรมผดพลาด เนองจากการน า Source Code ทผดพลาด มาด าเนนการ

SCC.01 มการจ ากดสทธผทสามารถด าเนนการ Check-in / Check-out Source code

SCC.02 มการอนมต และสอบทานการ Check-in / Check-out Source code ทกครง ในระหวางกระบวนการพฒนาและการปรบปรงเปลยนแปลง

CM.01 การบรหารจดการ การเปลยนแปลง (Change Management)

CMR.01 การเปลยนแปลงระบบงานโดยไมไดรบอนญาตอาจท าใหระบบงานท างานผดพลาด หรอท าใหขอมลเสยหาย

CMC.01 มการอนมตใหเปลยนแปลงระบบงานเปนลายลกษณอกษร โดยผบรหารทางดานธรกจ หรอเจาของระบบงาน

CMC.02 มการอนมตใหเปลยนแปลงระบบงานเปนลายลกษณอกษร โดยผบรหารฝายสารสนเทศ (IT)

CMR.02 ระบบงานทเปลยนแปลง อาจท างานไมถกตอง หรอไมเหมาะสมกบการปฏบตงาน หรอมการท างาน ทผดพลาด สงผลใหขอมลเสยหาย

CMC.03 มการทดสอบระบบงานทเปลยนแปลงโดยผใชงาน (User Acceptance Test) และลงนามโดยผใชงาน (หรอผรองขอใหเปลยนแปลงระบบงาน) ไวเปนหลกฐาน รวมถงมการอนมตใหน าระบบงานทเปลยนแปลงมาใชงานจรง (Production)

Page 10: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๑๐ จาก ๑๔

กระบวนการ ความเสยง ตวอยางการควบคมหลก 2.3 ความพรอมใชงานของเทคโนโลยสารสนเทศ (Availability) 2.3.1 การบรหารจดการบรการทางดานเทคโนโลยสารสนเทศ (IT Service Management) SM.01 การบรหารจดการ ค ารองขอบรการดานเทคโนโลยสารสนเทศ

SMR.01 การใหบรการ หรอการแกไขปญหา ดานเทคโนโลยสารสนเทศอาจไมทนทวงท ท าใหระบบงานสารสนเทศท างานผดพลาด หรอไมสามารถท างานได เปนระยะเวลานาน หรอระบบงานไมตอบสนองตอความตองการทางธรกจ

SMC.01 มการจดท าขนตอนการปฏบตงานเรองการรองขอบรการดานเทคโนโลยสารสนเทศทมความละเอยดเพยงพอ เหมาะสม โดยจะตองมการสอสาร ทบทวน และอนมต อยางนอยปละ 1 ครง หรอเมอมการปรบปรงแกไขทเปนสาระส าคญ

SMC.02 มการบนทกเหตการณผดปกตดานเทคโนโลยสารสนเทศแกไข และตดตามผลการแกไข

SMC.03 มการวเคราะหหาสาเหตของเหตการณผดปกต และจดเตรยมมาตรการปองกนและแนวทางการแกไข

2.3.2 การท าใหระบบเทคโนโลยสารสนเทศมความนาเชอถอ พรอมใชงาน และสามารถน ากลบมาใชงานใหมได หากเกดกรณฉกเฉน (Systems Reliability, Availability and Recoverability) BK.01 การส ารองขอมล

BKR.01 ขอมลทส าคญอาจไมถกส ารองไวอยางเพยงพอตอการด าเนนธรกจในกรณฉกเฉน

BKC.01 มการออกแบบกระบวนการส ารองขอมลทครอบคลม ระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบงาน (Application) , ระบบปฏบตการ (Operating System) และฐานขอมล (Database) เปนตน โดยจะตองรองรบการกคนขอมลตามความเหมาะสมทางธรกจ

BKR.02 ขอมลทส ารองไว อาจไมพรอมใชงาน เมอเกดกรณฉกเฉน

BKC.02 มการจดเกบขอมลส ารองไวนอกสถานทอยางปลอดภยโดยขอมลส ารองจะตองพรอมใชงานอยเสมอ

JS.01 การตดตามการส ารองขอมล และตารางงาน (Job Schedule)

JSR.01 ตารางงาน (Job Schedule) และกระบวนการส ารองขอมลทส าคญอาจด าเนนการไมแลวเสรจ หรอไมถกตองครบถวน หรอมขอผดพลาด โดยไมไดถกแกไขอยางทนทวงท หรอตามความตองการทางธรกจ ท าใหขอมลทส ารองผดพลาดไมสามารถน ากลบมาใชงานได

JSC.01 มการเฝาตดตามตารางงาน (Job schedule) และกระบวนการส ารองขอมลทส าคญ โดยเจาหนาทดานสารสนเทศ (IT Operator) รวมถงการบนทกผลการตดตามประจ าวน บนเอกสารการตดตามงาน (run sheet) รวมถงมการสอบทาน ผลการตดตามและลงนามโดยผสอบทานไวเปนหลกฐาน

RT.01 การทดสอบการกคนขอมล

RTR.01 ขอมลทส ารองไว อาจไมสามารถน ามากคนไดในกรณฉกเฉน หรอมความจ าเปนตองกคน เนองจากขอมลทส ารองนนผดพลาดหรอไมครบถวน

RTC.01 มการทดสอบการกคนขอมลส ารองเปนประจ า อยางนอยปละ 1 ครง

DR.01 การทดสอบแผนการ กคนระบบสารสนเทศ (Disaster recovery plan)

DRR.01 การกคนระบบสารสนเทศอาจท าไดลาชา หรอไมสามารถกคนระบบสารสนเทศได หรอการกคนระบบท าใหขอมลเสยหาย หรอการกคนระบบท าใหระบบงานท างานผดพลาด ระบบงานไมสามารถใชงานไดเปนเวลานานสงผลกระทบตอธรกจ

DRP.01 มการจดท าแผนการกคนระบบสารสนเทศ (Disaster Recovery Plan) เปนลายลกษณอกษร โดยจะตองมการสอสาร ทบทวน และอนมต อยางนอยปละ 1 ครง หรอเมอมการปรบปรงแกไขทเปนสาระส าคญ

DRP.02 มการทดสอบแผนการกคนระบบสารสนเทศ อยางนอย ปละ 1 ครง และรายงานผลการทดสอบตอผบรหารใหรบทราบ

MA.01 การบรหารจดการขอตกลงการบ ารงรกษาอปกรณเทคโนโลยสารสนเทศ (Maintenance Agreement)

MAR.01 อาจไมสามารถซอมบ ารงอปกรณทางดานเทคโนโลยสารสนเทศได หรอตองซอมบ ารงโดยม คาด าเนนการทสง เนองจากไมมขอตกลงการบ ารงรกษากบผใหบรการ หรอขอตกลงหมดอาย

MAC.01 มการตดตามระยะเวลาของขอตกลงการบ ารงรกษาอปกรณทางดานเทคโนโลยสารสนเทศ และรายงานผลการตดตามตอผบรหารดานเทคโนโลยสารสนเทศอยางสม าเสมอ

Page 11: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๑๑ จาก ๑๔

8. กระบวนการตรวจสอบดานเทคโนโลยสารสนเทศ

* แหลงทมา : COBIT 5 for Assurance ของสมาคมผตรวจสอบและควบคมระบบสารสนเทศ (ISACA)

รปท 4 : กระบวนการตรวจสอบดานเทคโนโลยสารสนเทศ

ส าหรบกระบวนการตรวจสอบดานเทคโนโลยสารสนเทศ จะมผเกยวของหลก ดงน

๑) ผตรวจสอบ (Assurance Professional) หมายถง บคคลซงเปนผรบผดชอบกจกรรม การใหความเชอมนระบบเทคโนโลยสารสนเทศ และออกรายงานผลการตรวจสอบดานเทคโนโลยสารสนเทศใหแกผรบการตรวจและผใชงาน

๒) ผรบการตรวจ (Accountable Party) หมายถง บคคลหรอกลมบคคล รวมถงผบรหาร ทรบผดชอบในการปฏบตงานหรอขอบเขตงานทถกตรวจสอบโดยผตรวจสอบ

๓) ผใชงานผลการตรวจสอบ (User) หมายถง ผมสวนไดสวนเสยทใชผลลพธจากกจกรรม การใหความเชอมนระบบเทคโนโลยสารสนเทศ ไดแก ผบรหารงานดานระบบเทคโนโลยสารสนเทศ ซงเปน ผใชผลการตรวจสอบหลก และผถอหน เจาหน ลกคา คณะกรรมการบรหาร คณะกรรมการตรวจสอบ หนวยงานก ากบดแล ซงเปนผใชงานผลการตรวจสอบรอง โดยกระบวนการตรวจสอบดานเทคโนโลยสารสนเทศ แบงออกเปน ๕ ขนตอน ดงน

๑) การก าหนดขอบเขตงานตรวจสอบระบบเทคโนโลยสารสนเทศ คอ การระบเรองการตรวจสอบดานเทคโนโลยสารสนเทศ โดยขอบเขตงานตรวจสอบอาจเปนไดทงระบบงาน กระบวนการ หรอการปฏบตตามกฎหมายและระเบยบปฏบตทเกยวของ

๒) การวางแผนงานตรวจสอบระบบเทคโนโลยสารสนเทศ คอ การวางแผนงานตรวจสอบของส านกงาน คปภ. รวมถงการวางแผนงานรวมกบบรษทประกนภย โดยมรายละเอยดอยางยอ ดงน

ผ ทมสว เกยว องกบกระบว การตรว สอบ

ผ งา ผลการตรว สอบ

ค การส อสารผลการตรว สอบ

ท าความเ า เกยวกบหว อการตรว สอบ

ผ ตรว สอบ

ผ รบการตรว

ก ก าห ด อบเ ต องการตรว สอบ

หว อการตรว สอบทก าห ดเ อบเ ตงา องผ ตรว สอบ

ออก บบว การตรว สอบตามหว อการตรว สอบ

การ บต งา ตรว สอบ

การสร ผลการตรว สอบ

กระบว การตรว สอบทผ ตรว สอบด าเ การด าเ การ

ก ากบด ล ละบร หาร ดการ

ผ ผ

ลการ

ตรว

สอบห

ลก

ผ ผลการตรว สอบรอง

ห ความเ อม

Page 12: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๑๒ จาก ๑๔

๒.๑) การวางแผนในรายละเอยดของโครงการตรวจสอบเทคโนโลยสารสนเทศกบบรษทประกนภย โดยการยนยนความเขาใจเบองตน การเขาพบผบรหารของบรษทประกนภย และการจดท าและน าเสนอแผนงานในรายละเอยด

๒.๒) การชแจงและท าความเขาใจในเบองตนภายในทมงานตรวจสอบของส านกงาน คปภ. โดยการยนยนบทบาทและหนาทของสมาชกในทมตรวจสอบ และการจดการประชมชแจงในเบองตนของ ทมตรวจสอบ

๓) การปฏบตงานตรวจสอบระบบเทคโนโลยสารสนเทศ มรายละเอยดการปฏบตงาน ดงน ๓.๑) ท าความเขาใจเพมเตม และประเมนความเสยงและการควบคมทเกยวของกบกระบวนการ

ทางเทคโนโลยสารสนเทศ ๓.๒) การประเมนประสทธผลของการออกแบบการควบคม (Design Effectiveness

Assessment) กอนด าเนนการทดสอบการควบคมดานเทคโนโลยสารสนเทศและวเคราะหในรายละเอยด ส านกงาน คปภ. จะทบทวนกระบวนการดานเทคโนโลยสารสนเทศและทดสอบทางเดนของขอมล /เอกสาร โดยมรายละเอยดการปฏบตงานในแตละขนตอนดงน

๓.๒.๑) การทบทวนกระบวนการดานเทคโนโลยสารสนเทศ ส านกงาน คปภ. จะด าเนนการทบทวนกระบวนการดานเทคโนโลยสารสนเทศทอยภายใตขอบเขตของงานตรวจสอบโดยพจารณาถงการออกแบบและการควบคม โดยขนตอนดงกลาว จะชวยระบการควบคมดานเทคโนโลยสารสนเทศและชองวางในกระบวนการทอาจจะเกดความเสยงตอองคกร

๓.๒.๒) การทดสอบทางเดนของขอมล/เอกสาร ส าหรบการทดสอบทางเดนของขอมล/เอกสารนน ส านกงาน คปภ. จะทดสอบโดยการตดตามกจกรรมการปฏบตงานตงแตเรมการด าเนนการตลอดจนเสรจสนกระบวนการของขอมล/เอกสารนนๆ เพอใหมนใจวามการออกแบบการควบคมภายในทมประสทธภาพหากประสทธผลของการออกแบบไมเหมาะสม ส านกงาน คปภ. จะบงชถงจดทมความเสยง และขอเสนอแนะหรอแนวทางการปรบปรงแกไขหรอออกแบบการควบคมใหม

๓.๓) การประเมนประสทธผลของการด าเนนการใหสอดคลองกบระเบยบทวางไว (Operating Effectiveness Assessment) ส าหรบการควบคมดานเทคโนโลยสารสนเทศทออกแบบมาไดอยางมประสทธภาพ ส านกงาน คปภ. จะด าเนนการทดสอบรายการและวเคราะหเปรยบเทยบอยางละเอยด โดยใชวธการสมภาษณ สงเกตขนตอนการด าเนนการ ปฏบตงานซ า และการทดสอบรายการ โดยใชเทคนค การตรวจสอบของส านกงาน คปภ. เพอใหเกดความเชอมนการควบคมทมประสทธภาพจะไดรบการปฏบต โดยบคคลทมหนาทรบผดชอบของแตละฝาย ซงหากประสทธผลของการด าเนนงานไมสอดคลองกบระเบยบ ทวางไวนน ส านกงาน คปภ. จะชแจงถงจดทมความเสยง และขอเสนอแนะเพอใหเกดประสทธภาพกบ การควบคมดานเทคโนโลยสารสนเทศตอไป

Page 13: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๑๓ จาก ๑๔

รปท 5 : การด าเนนการตรวจสอบดานเทคโนโลยสารสนเทศ ๔) การสรปผลงานตรวจสอบระบบเทคโนโลยสารสนเทศ มขนตอนการดงน

๔.๑) หารอและยนยนความเขาใจส าหรบประเดนทตรวจพบกบบรษทประกนภย ๔.๒) จดท ารายงานผลการตรวจสอบฉบบสมบรณน าเสนอผบรหารส านกงาน คปภ. ๔.๓) จดเตรยมเอกสารการประชมและน าเสนอรายงานผลการตรวจสอบตอผบรหารระดบสง

ของส านกงาน คปภ. (ถาม) ๔.๔) จดท าหนงสอแจงผลการตรวจสอบใหบรษทประกนภยรบทราบ เพอด าเนนการปรบปรง

แกไขประเดนทตรวจพบ ๕) การตดตามผลการตรวจสอบ มขนตอน ดงน

๕.๑) เขาพบผบรหารของบรษทประกนภย เพอแจงกระบวนการในการตดตามผลการตรวจสอบ ๕.๒) ตดตามแผนการด าเนนการแกไขและสอบทานวธการแกไขปรบปรง

การด าเ การตรว สอบด า เทค ลยสารส เท

ท าความเ า เกยวกบกระบว การ ละการควบคม

ท บต อย บ

ย ย ตอ การควบคม าย บ

ระเม การควบคม าย วามการออก บบอยางม

ระส ท ผล

ระเม การควบคม าย วา ด มการ บต อยางสม าเสมอ ละม ระส ท ผล

ตลอดระยะเวลาการตรว สอบOK

การ ระเม ระส ท ผล องการออก บบการควบคมการ ระเม ระส ท ผล องการ

ด าเ การ ห สอดคล องกบระเบยบทวาง ว

การทบทว กระบว การ การทดสอบเบ องต การทดสอบการควบคม

ก ระเด ากการตรว สอบออก บบการควบคม หม

OK

ระเด ากการตรว สอบ ระเด ากการตรว สอบ าเ ต อง รบ รง

Page 14: คู่มือการตรวจสอบ ... · 3. ค าจ ากัดความ ... กำรควบคุมหลักที่บริษัทประกันภัยควรถือปฏิบัติ

คมอการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแนวทางการก ากบดแลตามความเสยง หนา ๑๔ จาก ๑๔

ทมา/เอกสารอางอง

1) สายวเคราะหธรกจประกนภย ส านกงาน คปภ.. (2560). ผลการวเคราะหแบบสอบถามเกยวกบระบบเทคโนโลยสารสนเทศของบรษทประกนภย 2) สายพฒนามาตรฐานการก ากบ ส านกงาน คปภ. . (2560). รางแนวทางปฏบตส าหรบรกษา ความปลอดภยและควบคมความเสยงของระบบเทคโนโลยสารสนเทศ ( Information Technology Risk Management) และความเสยงดานภยคกคามทางไซเบอร (Cybersecurity)

3) สายก ากบสถาบนการเงน ธนาคารแหงประเทศไทย. (2551). การตรวจสอบดานเทคโนโลยสารสนเทศตามแนวทางการประเมนความเสยง (Information Technology – Risk Based Supervision)

4) Monetary Authority of Singapore (MAS). (2013). Technology Risk Management Guidelines 5) Federal Financial Institutions Examination Council (FFIEC). (2012). Information Technology Examination Handbook (IT Handbook) 6) COBIT (Control Objectives for information and related Technology) for Assurance ของสมาคมผตรวจสอบและควบคมระบบสารสนเทศ (ISACA) 7) Global Technology Audit Guide (GTAG) ของสมาคมผตรวจสอบภายใน (IIA)

....................................................................................


บทที่ 3skp.gistda.or.th/txp/file_download/15/บทที่+3...บทท 3 SKP • ในทศวรรษหน าจ านวนของผ ท ม บทบาทท

Wirat Poomasree - asksak2011.files.wordpress.comพจนานุกรมฉบับราชบัณฑิตยสถาน พ.ศ.2525 ได้ให้ค าจ ากัดความว่า

พฤกษา หล้าวงษาDivision Charophytaสาหร ายไฟ (stoneworts) สาหร ายในกล มน Êพบมากในบ อน Êาจ

คู่มือการตรวจสอบ การจัดงาน และการประชุมระหว ่างประเทศ ...audit.psru.ac.th/file/manual/file2.pdfคู่มือการตรวจสอบ

คอมพวเตอริ์และเทคโนโลย ทางคอม ......ทองฟ าจ าลอง กร งเทพฯ 4 Mini computer •ในช วงป

กองทุนเปิดทหารไทย ออยล์ฟันด์กองท นเป ดทหารไทย ออยล ฟ นด 4 ค าจ ากัดความ

ผลกระทบทางเศรษฐศาสตร์จาก การใ ......จากการใชสารเคม ก าจ ดศ ตร พ ช ในประเทศไทย

การผลิตปุ๋ยชีวภาพจากสาร พด. - OAE...สารเร ง พด. 6 สารก าจ ดน าเส ย และขจ ดกล

วันที่ 1 เช้า - ThaiPAN...การประช มว ชาการเพ อเต อนภ ยสารเคม ก าจ ดศตร พ ช ประจ

คู่มือ การประเมินสมรรถนะในการ ......4 สมรรถนะ ค าจ าก ดความ ความร บผ ดชอบต

shypoj.files.wordpress.com · Web viewคำว าจ ตสาธารณะในภาษาไทย เป นศ พท ใหม ท เก ดข นในช วงเวลาทศวรรษท

Page นวลหยกงาม 12...งามๆ เซ นไหว สาวทอผ าจ งจะถ กเจ าค ะ" นางเหย ยดม อไปจ บเส

ปลาน้้าจืดที่ส้ารวจพบ ใน ......ปลาน าจ ดและส ตว สะเท นน าสะเท นบกในอ ทยานแห

ปีที่ 8 ฉบับที่ 7 ประจ ำเดือนกรกฎ ...เส ยหาย พระพ ทธเจ าจ งทรงวางระเบ ยบการจ

การตรวจเอกสาร - KU...3 การตรวจเอกสาร 1. ค าจ าก ดความของสารหอมระเหย สารหอมระเหยเป

 · Web viewค าว ซ าจ นแบบกร ป 144 ช.ม. (เฉพาะพาสปอร ตไทยเท าน น) กรณ ท านท ม ว ซ าจ

เนื้อหา - Bank of Thailand · 2019-09-30 · 2 สกสป40-บช00002-25620902 5. เนื้อหา 5.1 ค าจ ากัดความ ในประกาศฉบับนี้

รายงานการวิจัย · 2014-02-10 · 1.4 กรอบแนวคิดที่ใช้ในการวิจัย 3 1.5 ค าจ ากัดความที่ใช้ใน

คู่มือการตรวจสอบaudit.kpru.ac.th/images/pdf-manual/Executive-Car-Service.pdf · 6 2.2. เทคนิคการตรวจสอบทั่วไป

ร าง ขอบเขตและเงื่อนไขการว าจ าง บริษัทจัดการพล ังงานเพ ...บทที่ 4 การเสนอรายงาน

AccuVein Learning Center | - Operating Guide …...ทำห เก ดไฟฟ าลดวงจรหร อกำาใ าจ ดเคร องท งในกองไฟหร

การวิเคราะห์ความเสี่ยง ......ประม ลงาน-ก อสร าง ร ปแบบส ญญาว าจ างควรเป

 · 3 ฝนสป00-คส50001-25601220 5.2 ค าจ ากัดความ “ความเสี่ยงด้านเทคโนโลยีสารสนเทศ”

ตัวอย่างสัญญาbaannut.com/images/index.doc · Web view** หากการจ ายเง น ค าจ างงวดท 2 เป นการจ ายตาม

หลักการใช้สารป้องกันก าจัด ......ท าไมถ งต องม การใช สารป องก นก าจ ดศ ตร

บทที่ 3 - VRUacad.vru.ac.th/.../journalFile/datajournaW169.docx · Web viewต งเพชรเดโช (2556) พบว าจ ตว ญญาณความเป

 · Web viewเพ อเป นค าจ างเหมาบร การให ผ ร บจ างทำความสะอาดในสำน กงานองค การบร

บทที่ 5 ตรีโกณมิติ · บทที่ 5 ตรีโกณมิติ 1. ค าจ ากัดความ ตรีโกณมิติ เป็นสาขาหนึ่งของวิชาคณิตศาสตร์ที่ว่าด้วยการค

ัดซื้อวัส ุปก รณ์ใน าจ ัะช มญ...ดซ อว ส ปก รณ ใน าจ ะช มญ ผ ถ อห น บมจ.อสมท

๑. คณะท างานกระทรวงมหาดไทย ... · 2018-12-06 · ผู้ว่าราชการจังหวัดตามค าจ ากัดความของระเบียบส

ตําแหน งงานว าง ประจําวันที่13 - 20 ......e-mail:[email protected] ค าจ าง ตามโครงสร างบร

ภูมิปัญ ญาชาว บ้ าน...การใช สารเคม ป องก นก าจ ดศ ตร พ ช ประเทศไทยม การใช

แผนดำเนินงาน · Web viewว นลอยกระทง ค าอาหาร เคร องด ม ค าจ ดเตร ยมสถานท และค

คู่มือการตรวจสอบ PAY SLIP/ใบจ่าย ...finance.psru.ac.th/files/PAY SL.pdf · 2016-08-30 · 5. กรณีเปลี่ยนรหัสผ่าน

Suan Sunandha Rajabhat Universityarit.ssru.ac.th/useruploads/files/20170914/2bb24417df830... · 2017-09-14 · ส่วนที่ 3 นิยามหรือค าจ ากัดความ