สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) – SEC

เตรียมพร้อมตรวจสอบไอทีตามประกาศ ก.ล.ต.

บริการให้คำปรึกษาการตรวจสอบระบบ IT ตามแนวทางสำนักงาน ก.ล.ต. ครอบคลุมทั้ง 3 แนวป้องกัน พร้อมประเมินความเสี่ยง จัดทำเอกสาร และเตรียมความพร้อมอย่างมืออาชีพ

ความสำคัญของ IT Audit ตามประกาศสำนักงาน ก.ล.ต.

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ได้กำหนดแนวทางด้าน IT Governance, IT Risk Management และ Cybersecurity สำหรับผู้ประกอบธุรกิจในตลาดทุน เช่น บริษัทหลักทรัพย์ บริษัทจัดการกองทุน และบริษัทโครงสร้างพื้นฐาน เพื่อให้สามารถบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสมและตรวจสอบได้ตามหลักธรรมาภิบาล

บริการนี้ของ ACinfotec ออกแบบเพื่อตอบโจทย์การตรวจสอบตามแนวทาง 3 Line of Defenses ของ ก.ล.ต. ซึ่งประกอบด้วย

การกำกับดูแลด้าน IT (IT Governance)

ประเมินโครงสร้างการกำกับดูแล บทบาท และความรับผิดชอบที่ชัดเจน

การบริหารความเสี่ยงด้าน IT (IT Risk Management)

ตรวจสอบกระบวนการระบุ ประเมิน และติดตามความเสี่ยงที่ครอบคลุม

การควบคุมความมั่นคงปลอดภัย (IT Security Controls)

ประเมินประสิทธิภาพของมาตรการควบคุมทั้งด้านเทคนิคและนโยบายที่ใช้งานจริง

สิ่งที่องค์กรจะได้รับจากบริการ IT Audit ตามประกาศสำนักงาน ก.ล.ต.

การประเมิน Gap ตามแนวทาง IT Audit ของ ก.ล.ต. และกรอบ 3 Line of Defenses

แนวทางปรับปรุงนโยบาย กระบวนการ และการควบคุม ให้สอดคล้องกับข้อกำหนด

รายงานการตรวจสอบ พร้อมข้อเสนอแนะที่นำไปปฏิบัติได้จริง

เตรียมเอกสารและหลักฐานประกอบการตรวจสอบจาก ก.ล.ต.

เพิ่มความมั่นใจต่อผู้บริหารระดับสูง คณะกรรมการตรวจสอบ และหน่วยงานกำกับ

แนวทางเฉพาะของ ACinfotec

ทีมที่ปรึกษาของเราผสมผสานมาตรฐานสากล เช่น COBIT, ISO/IEC 27001, NIST SP 800 series เข้ากับข้อกำหนดเฉพาะของ ก.ล.ต. เพื่อวิเคราะห์ช่องว่างอย่างครอบคลุมทั้งด้านการกำกับดูแล ความเสี่ยง และความมั่นคงปลอดภัย พร้อมจัดทำรายงานที่เข้าใจง่าย และสื่อสารผลลัพธ์อย่างชัดเจนต่อทุกฝ่ายที่เกี่ยวข้อง

ขอบเขตงานและกิจกรรมที่องค์กรจะได้รับ จากบริการ IT Audit ตามประกาศสำนักงาน ก.ล.ต.

1. ประเมิน IT Governance

ประเมินโครงสร้างการกำกับดูแลและบทบาทหน้าที่ให้สอดคล้องกับเกณฑ์ ก.ล.ต.

ตรวจสอบโครงสร้างคณะกรรมการกำกับดูแลไอที เพื่อให้มั่นใจว่ามีการกำหนดอำนาจหน้าที่และความรับผิดชอบอย่างชัดเจนตามหลักธรรมาภิบาล

ประเมินบทบาทของผู้บริหารระดับสูงในการกำหนดนโยบายและกลยุทธ์ด้านไอที ให้สอดคล้องกับเป้าหมายธุรกิจและความเสี่ยง

ตรวจสอบการถ่ายทอดนโยบายสู่ระดับปฏิบัติการ เพื่อให้มั่นใจว่าบุคลากรทุกคนเข้าใจและปฏิบัติตามแนวทางที่กำหนดอย่างเคร่งครัด

2. ตรวจสอบ IT Risk Management

ตรวจสอบกรอบการบริหารความเสี่ยงและทะเบียนความเสี่ยงให้ครอบคลุม

ตรวจสอบความครบถ้วนของกรอบการบริหารความเสี่ยงด้านไอที (Framework) ว่าสอดคล้องกับมาตรฐานสากลและประกาศ ก.ล.ต.

ทบทวนทะเบียนความเสี่ยง (Risk Register) เพื่อยืนยันว่ามีการระบุความเสี่ยงสำคัญครอบคลุมทุกระบบงานที่เกี่ยวข้องกับตลาดทุน

ประเมินประสิทธิภาพของแผนจัดการความเสี่ยง (Risk Treatment) ว่าสามารถลดผลกระทบให้อยู่ในระดับที่องค์กรยอมรับได้จริง

3. ตรวจสอบ IT Security Controls

ประเมินมาตรการควบคุมความมั่นคงปลอดภัยทางเทคนิคและการจัดการ

ตรวจสอบระบบการควบคุมการเข้าถึง (Access Control) เพื่อป้องกันผู้ไม่มีสิทธิ์เข้าถึงข้อมูลสำคัญและธุรกรรมในระบบ

ประเมินกระบวนการจัดการเหตุการณ์ผิดปกติ (Incident Management) เพื่อให้มั่นใจว่ามีการตอบสนองและกู้คืนระบบได้อย่างรวดเร็ว

ตรวจสอบระบบการสำรองข้อมูล (Backup) และการเฝ้าระวังระบบ (System Monitoring) เพื่อความต่อเนื่องและความปลอดภัยของข้อมูล

4. ทบทวนเอกสารและหลักฐานการควบคุม

ตรวจสอบความถูกต้องและครบถ้วนของหลักฐานเพื่อรองรับการตรวจสอบ

รวบรวมและตรวจสอบเอกสารนโยบายและระเบียบปฏิบัติที่เกี่ยวข้อง เพื่อให้มั่นใจว่าเป็นปัจจุบันและสอดคล้องกับกฎเกณฑ์ล่าสุด

วิเคราะห์คุณภาพของหลักฐานเพื่อเตรียมความพร้อมสำหรับการชี้แจงต่อผู้ตรวจสอบของสำนักงาน ก.ล.ต. อย่างมั่นใจ

5. จัดประชุมสรุปผลการตรวจสอบ

นำเสนอผลการตรวจสอบและประเด็นสำคัญแก่ผู้บริหาร (Exit Meeting)

จัดประชุม Exit Meeting ร่วมกับผู้บริหารและทีมงานที่เกี่ยวข้อง เพื่อนำเสนอข้อตรวจพบและประเด็นความเสี่ยงที่สำคัญอย่างโปร่งใส

นำเสนอรายงานสรุปสำหรับผู้บริหาร (Executive Summary) ที่เน้นประเด็นสำคัญและผลกระทบ เพื่อการตัดสินใจสั่งการแก้ไข

เปิดโอกาสให้หน่วยงานรับตรวจชี้แจงข้อเท็จจริงและหารือแนวทางการปรับปรุงแก้ไขร่วมกันอย่างสร้างสรรค์และเป็นระบบ

6. รายงานภาษาไทย / อังกฤษ

จัดทำรายงานมาตรฐานสองภาษาพร้อมเปรียบเทียบมาตรฐานสากล

จัดทำรายงานผลการตรวจสอบฉบับสมบูรณ์ทั้งภาษาไทยและอังกฤษที่ถูกต้องตามหลักวิชาการ เพื่อรองรับองค์กรระดับสากล

เปรียบเทียบผลการควบคุมขององค์กรกับมาตรฐานสากล เช่น ISO 27001 หรือ NIST เพื่อให้เห็นสถานะความปลอดภัยเทียบเคียงระดับโลก

ระบุข้อเสนอแนะในการปรับปรุงที่ชัดเจนและปฏิบัติได้จริง (Actionable Plan) เพื่อยกระดับมาตรฐานความปลอดภัยให้ดียิ่งขึ้น

7. เตรียมทีมให้พร้อมสำหรับ Audit จาก ก.ล.ต.

เตรียมความพร้อมบุคลากรเพื่อรับการตรวจสอบจริงจากหน่วยงานกำกับ

ให้คำแนะนำเทคนิคการตอบข้อซักถามและการนำเสนอข้อมูลต่อผู้ตรวจสอบของสำนักงาน ก.ล.ต. อย่างมืออาชีพและตรงประเด็น

ซักซ้อมกระบวนการรับการตรวจสอบ (Mock Audit) เพื่อลดความประหม่าและตรวจสอบความพร้อมของข้อมูลหน้างาน

ช่วยจัดลำดับความสำคัญของประเด็นที่อาจถูกตรวจสอบ เพื่อให้ทีมงานสามารถเตรียมหลักฐานรับมือได้อย่างรวดเร็วและแม่นยำ

บริการ IT Audit ตามประกาศสำนักงาน ก.ล.ต. เหมาะสำหรับใคร

บริษัทหลักทรัพย์ บริษัทจัดการกองทุน บริษัทตราสารหนี้ และบริษัทโครงสร้าง พื้นฐาน

หน่วยงานที่อยู่ภายใต้การกำกับของสำนักงาน ก.ล.ต.

ทีม Internal Audit, Compliance, Risk Management และ IT Security

องค์กรที่ต้องการตรวจสอบตนเองก่อนถูกตรวจโดยหน่วยงานภายนอก

ผลลัพธ์และประสบการณ์จริงขององค์กรชั้นนำ

“เราสามารถปรับปรุงกระบวนการบริหาร IT Risk และสร้างความเข้าใจร่วมระหว่างผู้บริหารและฝ่ายปฏิบัติได้ชัดเจนยิ่งขึ้น จากคำแนะนำของ ACinfotec ที่สอดคล้องกับแนวคิด 3 Lines of Defenses”

— ผู้จัดการสายกำกับดูแลเทคโนโลยี, บริษัทจัดการกองทุนชั้นนำ