สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) – SEC
เตรียมพร้อมตรวจสอบไอทีตามประกาศ ก.ล.ต.
บริการให้คำปรึกษาการตรวจสอบระบบ IT ตามแนวทางสำนักงาน ก.ล.ต. ครอบคลุมทั้ง 3 แนวป้องกัน พร้อมประเมินความเสี่ยง จัดทำเอกสาร และเตรียมความพร้อมอย่างมืออาชีพ
ความสำคัญของ IT Audit ตามประกาศสำนักงาน ก.ล.ต.
สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ได้กำหนดแนวทางด้าน IT Governance, IT Risk Management และ Cybersecurity สำหรับผู้ประกอบธุรกิจในตลาดทุน เช่น บริษัทหลักทรัพย์ บริษัทจัดการกองทุน และบริษัทโครงสร้างพื้นฐานเพื่อให้สามารถบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสมและตรวจสอบได้ตามหลักธรรมาภิบาล
บริการนี้ของ ACinfotec ออกแบบเพื่อตอบโจทย์การตรวจสอบตามแนวทาง 3 Line of Defenses ของ ก.ล.ต. ซึ่งประกอบด้วย
การกำกับดูแลด้าน IT (IT Governance)
ประเมินโครงสร้างการกำกับดูแล บทบาท และความรับผิดชอบที่ชัดเจน
การบริหารความเสี่ยงด้าน IT (IT Risk Management)
ตรวจสอบกระบวนการระบุ ประเมิน และติดตามความเสี่ยงที่ครอบคลุม
การควบคุมความมั่นคงปลอดภัย (IT Security Controls)
ประเมินประสิทธิภาพของมาตรการควบคุมทั้งด้านเทคนิคและนโยบายที่ใช้งานจริง
สิ่งที่องค์กรจะได้รับจากบริการ IT Audit ตามประกาศสำนักงาน ก.ล.ต.
01
การประเมิน Gap ตามแนวทาง IT Audit ของ ก.ล.ต. และกรอบ 3 Line of Defenses
02
แนวทางปรับปรุงนโยบาย กระบวนการ และการควบคุมให้สอดคล้องกับข้อกำหนด
03
รายงานการตรวจสอบพร้อมข้อเสนอแนะที่นำไปปฏิบัติได้จริง
04
จัดเตรียมเอกสารและหลักฐานประกอบการตรวจสอบจาก ก.ล.ต. อย่างครบถ้วน
05
เพิ่มความมั่นใจต่อผู้บริหารระดับสูง คณะกรรมการตรวจสอบ และหน่วยงานกำกับ
แนวทางเฉพาะของ ACinfotec
ทีมที่ปรึกษาของเราผสมผสานมาตรฐานสากล เช่น COBIT, ISO/IEC 27001, NIST SP 800 series เข้ากับข้อกำหนดเฉพาะของ ก.ล.ต. เพื่อวิเคราะห์ช่องว่างอย่างครอบคลุมทั้งด้านการกำกับดูแล ความเสี่ยง และความมั่นคงปลอดภัย พร้อมจัดทำรายงานที่เข้าใจง่าย และสื่อสารผลลัพธ์อย่างชัดเจนต่อทุกฝ่ายที่เกี่ยวข้อง
ขอบเขตงานและกิจกรรมที่องค์กรจะได้รับ จากบริการ IT Audit ตามประกาศสำนักงาน ก.ล.ต.
1. ประเมิน IT Governance
ประเมินโครงสร้างการกำกับดูแลและบทบาทหน้าที่ให้สอดคล้องกับเกณฑ์ ก.ล.ต.
ตรวจสอบโครงสร้างคณะกรรมการกำกับดูแลไอทีเพื่อให้มั่นใจว่ามีการกำหนดอำนาจหน้าที่และความรับผิดชอบอย่างชัดเจนตามหลักธรรมาภิบาล
ประเมินบทบาทของผู้บริหารระดับสูงในการกำหนดนโยบายและกลยุทธ์ด้านไอทีให้สอดคล้องกับเป้าหมายธุรกิจและความเสี่ยง
ตรวจสอบการถ่ายทอดนโยบายสู่ระดับปฏิบัติการเพื่อให้มั่นใจว่าบุคลากรทุกคนเข้าใจและปฏิบัติตามแนวทางที่กำหนดอย่างเคร่งครัด
2. ตรวจสอบ IT Risk Management
ตรวจสอบกรอบการบริหารความเสี่ยงและทะเบียนความเสี่ยงให้ครอบคลุม
ตรวจสอบความครบถ้วนของกรอบการบริหารความเสี่ยงด้านไอที (Framework) ว่าสอดคล้องกับมาตรฐานสากลและประกาศ ก.ล.ต.
ทบทวนทะเบียนความเสี่ยง (Risk Register) เพื่อยืนยันว่ามีการระบุความเสี่ยงสำคัญครอบคลุมทุกระบบงานที่เกี่ยวข้องกับตลาดทุน
ประเมินประสิทธิภาพของแผนจัดการความเสี่ยง (Risk Treatment) ว่าสามารถลดผลกระทบให้อยู่ในระดับที่องค์กรยอมรับได้จริง
3. ตรวจสอบ IT Security Controls
ประเมินมาตรการควบคุมความมั่นคงปลอดภัยทางเทคนิคและการจัดการ
ตรวจสอบระบบการควบคุมการเข้าถึง (Access Control) เพื่อป้องกันผู้ไม่มีสิทธิ์เข้าถึงข้อมูลสำคัญและธุรกรรมในระบบ
ประเมินกระบวนการจัดการเหตุการณ์ผิดปกติ (Incident Management) เพื่อให้มั่นใจว่ามีการตอบสนองและกู้คืนระบบได้อย่างรวดเร็ว
ตรวจสอบระบบการสำรองข้อมูล (Backup) และการเฝ้าระวังระบบ (System Monitoring) เพื่อความต่อเนื่องและความปลอดภัยของข้อมูล
4. ทบทวนเอกสารและหลักฐานการควบคุม
ตรวจสอบความถูกต้องและครบถ้วนของหลักฐานเพื่อรองรับการตรวจสอบ
รวบรวมและตรวจสอบเอกสารนโยบายและระเบียบปฏิบัติที่เกี่ยวข้องเพื่อให้มั่นใจว่าเป็นปัจจุบันและสอดคล้องกับกฎเกณฑ์ล่าสุด
ตรวจสอบบันทึกหลักฐานการปฏิบัติงาน (Control Evidences) เพื่อยืนยันว่าการควบคุมภายในมีการปฏิบัติตามจริงอย่างสม่ำเสมอ
วิเคราะห์คุณภาพของหลักฐานเพื่อเตรียมความพร้อมสำหรับการชี้แจงต่อผู้ตรวจสอบของสำนักงาน ก.ล.ต. อย่างมั่นใจ
5. จัดประชุมสรุปผลการตรวจสอบ
นำเสนอผลการตรวจสอบและประเด็นสำคัญแก่ผู้บริหาร (Exit Meeting)
จัดประชุม Exit Meeting ร่วมกับผู้บริหารและทีมงานที่เกี่ยวข้อง เพื่อนำเสนอข้อตรวจพบและประเด็นความเสี่ยงที่สำคัญอย่างโปร่งใส
นำเสนอรายงานสรุปสำหรับผู้บริหาร (Executive Summary) ที่เน้นประเด็นสำคัญและผลกระทบ เพื่อการตัดสินใจสั่งการแก้ไข
เปิดโอกาสให้หน่วยงานรับตรวจชี้แจงข้อเท็จจริงและหารือแนวทางการปรับปรุงแก้ไขร่วมกันอย่างสร้างสรรค์และเป็นระบบ
6. รายงานภาษาไทย / อังกฤษ
จัดทำรายงานมาตรฐานสองภาษาพร้อมเปรียบเทียบมาตรฐานสากล
จัดทำรายงานผลการตรวจสอบฉบับสมบูรณ์ทั้งภาษาไทยและอังกฤษที่ถูกต้องตามหลักวิชาการเพื่อรองรับองค์กรระดับสากล
เปรียบเทียบผลการควบคุมขององค์กรกับมาตรฐานสากล เช่น ISO 27001 หรือ NIST เพื่อให้เห็นสถานะความปลอดภัยเทียบเคียงระดับโลก
ระบุข้อเสนอแนะในการปรับปรุงที่ชัดเจนและปฏิบัติได้จริง (Actionable Plan) เพื่อยกระดับมาตรฐานความปลอดภัยให้ดียิ่งขึ้น
7. เตรียมทีมให้พร้อมสำหรับ Audit จาก ก.ล.ต.
เตรียมความพร้อมบุคลากรเพื่อรับการตรวจสอบจริงจากหน่วยงานกำกับ
ให้คำแนะนำเทคนิคการตอบข้อซักถามและการนำเสนอข้อมูลต่อผู้ตรวจสอบของสำนักงาน ก.ล.ต. อย่างมืออาชีพและตรงประเด็น
ซักซ้อมกระบวนการรับการตรวจสอบ (Mock Audit) เพื่อลดความประหม่าและตรวจสอบความพร้อมของข้อมูลหน้างาน
ช่วยจัดลำดับความสำคัญของประเด็นที่อาจถูกตรวจสอบเพื่อให้ทีมงานสามารถเตรียมหลักฐานรับมือได้อย่างรวดเร็วและแม่นยำ
บริการ IT Audit ตามประกาศสำนักงาน ก.ล.ต. เหมาะสำหรับใคร
บริษัทหลักทรัพย์ บริษัทจัดการกองทุน บริษัทตราสารหนี้ และบริษัทโครงสร้างพื้นฐาน
หน่วยงานที่อยู่ภายใต้การกำกับของสำนักงาน ก.ล.ต.
ทีม Internal Audit, Compliance, Risk Management และ IT Security
องค์กรที่ต้องการตรวจสอบตนเองก่อนถูกตรวจโดยหน่วยงานภายนอก
ผลลัพธ์และประสบการณ์จริงขององค์กรชั้นนำ
“คำแนะนำจาก ACinfotec ที่สอดคล้องกับแนวคิด 3 Lines of Defense ช่วยให้เราสามารถปรับปรุงกระบวนการบริหาร IT Risk และสร้างความเข้าใจร่วมระหว่างผู้บริหารกับฝ่ายปฏิบัติได้ชัดเจนยิ่งขึ้น”
— ผู้จัดการสายกำกับดูแลเทคโนโลยี, บริษัทจัดการกองทุนชั้นนำ
เหตุผลที่องค์กรชั้นนำเลือก ACinfotec เป็นผู้ให้บริการ IT Audit ตามประกาศสำนักงาน ก.ล.ต.
01
ความเข้าใจเชิงลึกในข้อกำหนดของ ก.ล.ต. และกรอบการกำกับดูแลในภาคตลาดทุน
02
ประสบการณ์ตรงกับบริษัทในตลาดหลักทรัพย์และธุรกิจการเงินมากกว่า 100 ราย
03
ทีมที่มีใบรับรอง CISA, ISO 27001 LA และ COBIT Certified
04
บริการภาษาไทยและอังกฤษพร้อมเอกสารแบบ Template ที่สามารถนำไปใช้ได้จริง
เพื่อเสริมความมั่นใจ
ในการเตรียมพร้อม
ตามประกาศสำนักงาน ก.ล.ต.
ACinfotec พร้อมเป็นพาร์ทเนอร์เคียงข้างคุณ ตั้งแต่ก้าวแรก… จนถึงการรับรอง
ติดต่อเรา เพื่อขอรับคำปรึกษาฟรี : [email protected] หรือโทร 02-670-8980-4
บริการที่เกี่ยวข้อง
การประเมินความพร้อมด้าน Cybersecurity ตามมาตรฐาน ก.ล.ต.
บทความจากผู้เชี่ยวชาญ
