พร้อมแล้วหรือยัง? หากต้องรับการตรวจ สธ.38
แนวทางเตรียมความพร้อมสำหรับประกาศ ก.ล.ต. ที่ สธ. 38/2565
ตั้งแต่ประกาศ ก.ล.ต. ที่ สธ. 38/2565 ถูกบังคับใช้เมื่อเดือนกรกฎาคม 2566 ผู้ประกอบธุรกิจแต่ละรายภายใต้ขอบเขตของประกาศ มีหน้าที่ต้องนำส่งผลประเมิน RLA (Risk Level Assessment) และผลการตรวจสอบภายใน (Internal Audit) ภายใต้เงื่อนไขและกรอบระยะเวลาที่กำหนด* ซึ่งลำดับถัดไปจะเป็นการแจ้งกำหนดการเข้าตรวจสอบรายบริษัทของผู้ประกอบธุรกิจ (บริษัท) โดย ก.ล.ต. ต่อไป ซึ่งบางบริษัทอาจมีความกังวลว่า แล้วบริษัทของตนเองมีความพร้อมจริงๆ หรือยัง? หรือจะถูกพบประเด็นที่มีนัยสำคัญจากการตรวจสอบหรือไม่? อย่างไรก็ตาม หากมีการเตรียมความพร้อมที่ดีเพียงพอ ก็จะช่วยลดความกังวลและเพิ่มความมั่นใจว่าจะผ่านกระบวนการตรวจสอบได้อย่างราบรื่น และได้รับผลการตรวจสอบตามที่ตั้งใจไว้ ดังนั้น บทความนี้จึงขอมาแบ่งปันแนวทางเบื้องต้นในการเตรียมความพร้อมสำหรับรับการตรวจสอบ เพื่อให้ลองนำไปปรับใช้ตามบริบทของแต่ละบริษัท ดังนี้
ก่อนเข้ารับการตรวจสอบควรทำอะไรบ้าง?
1. ทำความเข้าใจ Audit scope ให้ชัดเจน: อ่านรายละเอียดในหนังสือแจ้งเข้าตรวจที่ได้รับจาก ก.ล.ต. ให้ครบถ้วนด้วยความระมัดระวัง ให้เข้าใจขอบเขตการตรวจสอบในครั้งนี้ ว่าครอบคลุมเนื้อหาส่วนใดบ้าง? มี Focus เรื่องใดเป็นพิเศษหรือไม่? อีกทั้งประเมินความสอดคล้องกับขอบเขตและการดำเนินการของบริษัทในช่วงที่ผ่านมา? เพื่อใช้จัดสรรทรัพยากรและ Priority ของการเตรียมการต่อไป
2. จัดทีมประสานงานกับผู้ตรวจสอบอย่างเป็นระบบ: มอบหมายตัวแทนประสานงานจากความเชี่ยวชาญแต่ละด้าน ทั้ง IT และ Non-IT ซึ่งผ่านการเตรียมการตามข้อกำหนดในประกาศฯ ที่ผ่านมา เช่น IT Security, System Development, IT Infrastructure , Risk & Compliance, HR, Internal Audit และจัดตั้งเป็นทีมประสานงานเฉพาะกิจขึ้นมา โดยจัดแบ่งหน้าที่ตามความถนัดและเหมาะสมของแต่ละบุคคล
3. จัดการเอกสารและหลักฐานให้พร้อมใช้: รวบรวมเอกสารทั้งระดับนโยบาย กระบวนการ คู่มือ และบันทึกหลักฐานต่างๆ ที่เกี่ยวข้อง ตามรายการขอเอกสารเบื้องต้นที่แนบมาพร้อมหนังสือแจ้งเข้าตรวจ และเตรียมหลักฐานที่คาดว่าจะถูกร้องขอเพิ่มเติมระหว่างการตรวจ เช่น บันทึกการเข้าอบรม Security Awareness, รายการทรัพย์สินสารสนเทศ (IT Asset Inventory), แผนฉุกเฉินด้าน IT (IT Contingency Plan) ทั้งนี้ควรจัดการให้มีความพร้อมที่จะสามารถแสดงให้ผู้ตรวจสอบได้เมื่อถูกร้องขอ
4. ประเมินความครบถ้วนและซักซ้อมความเข้าใจร่วมกัน: แม้ว่าจะผ่านกระบวนการตรวจสอบภายในตามข้อกำหนดในประกาศฯ แล้วก็ตาม แต่ด้วยการเปลี่ยนแปลงที่เกิดขึ้นอยู่ตลอดเวลา ซึ่งส่งผลต่อความเสี่ยงและความเข้มข้นของการปฏิบัติตาม Control อาจทำให้ต้องมีการปรับเปลี่ยนไปตามสถานการณ์เช่นกัน ดังนั้น จึงควรมีการประเมินความครบถ้วนและเพียงพอของการควบคุม โดยเทียบเคียงกับความเสี่ยงในปัจจุบันว่ายังอยู่ในระดับที่บริษัทยอมรับได้หรือไม่ อีกทั้งควรซักซ้อมความเข้าใจร่วมกันระหว่างผู้ที่เกี่ยวข้องทั้งหมดให้เห็นภาพความเสี่ยงและแนวทางการจัดการเป็นภาพเดียวกัน
Tips เพิ่มเติม
1. ทัศนคติที่ดีต่อการตรวจสอบ: เริ่มจากการมองไปที่ประโยชน์ที่จะได้รับจากการตรวจสอบ เช่น ช่วยเพิ่มความเชื่อมั่นให้กับลูกค้าว่าบริษัทผ่านการตรวจสอบการจัดการด้าน IT และการจัดการด้านความมั่นคงปลอดภัยข้อมูล โดย ก.ล.ต. หรืออาจถือเป็นโอกาสในการยกระดับศักยภาพในการบริหารความเสี่ยงและการจัดการด้าน IT ในอนาคต จากคำแนะนำที่ได้รับผ่านผลการตรวจสอบครั้งนี้
3. กลั่นกรองให้ดีก่อนเปิดเผยข้อมูลสำคัญ: พิจารณาความจำเป็นและความเหมาะสมก่อนนำส่งหรือแสดงข้อมูลที่เป็นความลับหรือ Sensitive data ให้กับผู้ตรวจสอบ เนื่องจากวัตถุประสงค์ของการตรวจสอบมุ่งเน้นไปที่การประเมินความมีอยู่และประสิทธิผลของการควบคุมภายใน มากกว่าการเข้าถึงข้อมูลของบริษัทเพื่อจุดประสงค์อื่นที่อาจไม่เกี่ยวข้อง
4. ขอคำปรึกษาจากผู้เชี่ยวชาญ: อาจสรรหาจากบุคลากรภายใน หรือหน่วยงานภายนอกที่เชี่ยวชาญข้อกำหนดตามประกาศฯ และเคยผ่านประสบการณ์ตรวจสอบที่เกี่ยวข้องหรือมีลักษณะใกล้เคียงกัน ให้ช่วยจัดอบรมและให้คำแนะนำในรายละเอียดตามบริบทของแต่ละบริษัทต่อไป
หากได้ศึกษาและลองทำตามแนวทางเตรียมความพร้อมตามขั้นตอนข้างต้นนี้ ก็คาดว่าบริษัทจะสามารถผ่านกระบวนการตรวจสอบไปได้อย่างราบรื่น และช่วยลดโอกาสได้รับผลการตรวจสอบที่ไม่คาดไม่ถึงครับ
ประกาศ ส.ธ. 38/2565 ถือเป็นอีกก้าวสำคัญในความพยายามของประเทศไทยที่จะเข้าสู่ยุคดิจิทัล พร้อมกับการปกป้องเสถียรภาพของตลาดทุนและตลาดสินทรัพย์ Digital จากการพัฒนาพื้นฐานทางโครงสร้างและความมั่นคงปลอดภัยทางเทคโนโลยีที่เติบโตอย่างคู่ขนานไปพร้อมกัน ผ่านกรอบการกำกับดูแลของ ก.ล.ต. นี้ จึงทำให้มั่นใจได้ว่าผู้มีส่วนได้เสียทุกฝ่ายจะสามารถปรับตัวและร่วมกันปกป้องผลประโยชน์โดยรวมทั้งหมดภายในภูมิทัศน์การลงทุนของไทยต่อไปได้อย่างยั่งยืน
หมายเหตุ:
- เงื่อนไขและกรอบเวลานำส่งผลประเมิน RLA (Risk Level Assessment) และผลการตรวจสอบภายใน (Internal Audit) อ้างอิงตาม Link ดังต่อไปนี้
- ผลประเมิน RLA: https://publish.sec.or.th/nrs/9601p_r.pdf
- ผลการตรวจสอบภายใน: https://publish.sec.or.th/nrs/9600p_r.pdf
- บทความนี้ถูกจัดทำขึ้นจากประสบการณ์และความเห็นของผู้เขียน เพื่อวัตถุประสงค์ในการแลกเปลี่ยนและเรียนรู้ระหว่างกันเท่านั้น ไม่ถือเป็นคำแนะนำที่ใช้อ้างอิงทางกฎหมายหรือกฎระเบียบกับหน่วยงานทางการได้
บทความโดย
อาจารย์ กฤษดาลักษณ์ จันทร์ปรียากุล
IRCA: ISMS Provisional Auditor ISO/IEC 27001
IRCA: BCMS Provisional Auditor ISO/IEC 22301
IRCA: IT-SMS Provisional Auditor ISO/IEC 20000
Certify Information System Auditor (CISA)
Control Objectives for Information and Related Technology (COBIT5)
line ID :