Control Self-Assessment) ดัชนีชี้วัดความเสี่ยงที่ส� ำคัญ (Key Risk Indicators: KRI) การจัดเก็บข้อมูลเหตุการณ์ความเสียหาย ที่เกิดขึ้น (Loss Data) นโยบายการใช้บริการจากผู้ให้บริการ ภายนอกของกลุ่มธนชาต (Outsourcing Policy) และแผนรองรับ การด� ำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan) ส� ำหรับการติดตามดูแลความเสี่ยงด้านปฏิบัติการ บริษัทฯและ บริษัทย่อยก� ำหนดเป็นนโยบายให้ผู้บริหารของแต่ละหน่วยงาน มีความรับผิดชอบในการติดตามความเสี่ยง โดยถือเป็นส่วนหนึ่ง ของการปฏิบัติงานตามปกติ ซึ่งจะช่วยให้รับทราบถึงความเสี่ยง และปัญหาที่เกิดขึ้น และเพื่อให้สามารถตอบสนองต่อการเปลี่ยนแปลง ในแต่ละช่วงเวลาได้อย่างเหมาะสมและทันท่วงที ไม่ส่งผลเสียหาย ต่อบริษัทฯและบริษัทย่อย แต่อย่างไรก็ตาม เพื่อให้ทราบถึง ผลการด� ำเนินงานและปัญหาที่เกิดขึ้น ตลอดจนแนวโน้มและการ เปลี่ยนแปลงของข้อมูลปัจจัยเสี่ยง บริษัทฯและบริษัทย่อย จึงจัด ให้มีรายงานข้อมูลในส่วนที่เกี่ยวข้องกับการบริหารความเสี่ยง ด้านปฏิบัติการ เสนอต่อคณะกรรมการของบริษัท คณะกรรมการ ก� ำกับความเสี่ยง และผู้บริหารระดับสูงอย่างต่อเนื่องและสม�่ ำเสมอ เพื่อใช้ประกอบการก� ำหนดนโยบายและพัฒนาระบบบริหารความเสี่ยง ให้เหมาะสม และเป็นเครื่องมือที่จะช่วยให้บริษัทฯและบริษัทย่อย ประเมินความสามารถของระบบควบคุมภายในว่ามีประสิทธิภาพ มากน้อยเพียงใดอีกทางหนึ่งด้วย 5. ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ปัจจุบันเทคโนโลยีสารสนเทศมีความส� ำคัญต่อการด� ำเนินธุรกิจ ของบริษัทฯและบริษัทย่อยอย่างมาก ในการเพิ่มประสิทธิภาพ การให้บริการทางการเงินแก่ลูกค้า อย่างถูกต้อง รวดเร็ว ปลอดภัย และตรงตามความต้องการของลูกค้าด้วยต้นทุนที่ต�่ ำลง บริษัทฯและ บริษัทย่อยตระหนักดีว่าการใช้เทคโนโลยีสารสนเทศ ซึ่งมีการ เปลี่ยนแปลงอย่างรวดเร็ว ตลอดเวลา อาจก่อให้เกิดความเสี่ยง ด้านความปลอดภัยของการให้บริการ ข้อมูลลูกค้า ความต่อเนื่อง ของการให้บริการ และส่งผลกระทบต่อการด� ำเนินธุรกิจของบริษัทฯ และบริษัทย่อย ดังนั้น บริษัทฯและบริษัทย่อยจึงให้ความส� ำคัญ ในเรื่องการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศให้เป็น มาตรฐานสากล โดยอยู่บนพื้นฐานของการคุ้มครองข้อมูล และ รักษาผลประโยชน์ของลูกค้า ภายใต้หลักการส� ำคัญ 3 ประการ คือ 1) การรักษาความลับของระบบและข้อมูล (Confidentiality) 2) ความถูกต้องเชื่อถือได้ของระบบและข้อมูล (Integrity) และ 3) ความพร้อมใช้งานของระบบและข้อมูล (Availability) เพื่อให้บริษัทฯและบริษัทย่อยสามารถบริหารความเสี่ยงด้าน เทคโนโลยีสารสนเทศได้อย่างมีประสิทธิภาพ ต่อเนื่อง และสอดคล้อง กับลักษณะการด� ำเนินธุรกิจ ปริมาณธุรกรรม ความซับซ้อนของ เทคโนโลยีสารสนเทศ และความเสี่ยงที่เกี่ยวข้อง เช่น ความเสี่ยง ด้านปฏิบัติการ ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านชื่อเสียง และความเสี่ยงด้านกฎหมาย บริษัทฯและบริษัทย่อยได้ก� ำหนด โครงสร้างการก� ำกับดูแล ตามหลักการแบ่งแยกหน้าที่รับผิดชอบ 3 ระดับ (Three Lines of Defense) อย่างชัดเจนและเป็นอิสระ จากกัน ได้แก่ 1) ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ 2) บริหาร ความเสี่ยงด้านเทคโนโลยีสารสนเทศ และก� ำกับดูแลการปฏิบัติ ตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ และ 3) ตรวจสอบด้านเทคโนโลยีสารสนเทศ นอกจากนี้ บริษัทฯ และบริษัทย่อยได้ก� ำหนดนโยบายและมาตรฐานความปลอดภัย ระบบสารสนเทศ นโยบายการบริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศ ระเบียบวิธีปฏิบัติและกระบวนการในการบริหาร ความเสี่ยง และมีการสร้างความรู้ และความตระหนักรู้เรื่อง ความเสี่ยงด้านเทคโนโลยีสารสนเทศให้แก่ กรรมการ ผู้บริหาร และพนักงาน อย่างต่อเนื่อง บริษัทฯและบริษัทย่อยมีกระบวนการในการบริหารความเสี่ยง ด้านเทคโนโลยีสารสนเทศตามมาตรฐานสากล ดังนี้ • การประเมินความเสี่ยง (Risk Assessment) ประกอบด้วย 1) ระบุความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Risk Identification) 2) วิเคราะห์ความเสี่ยง (Risk Analysis) และ 3) ประเมินค่าความเสี่ยง (Risk Evaluation) ประเมินโอกาสในการเกิดความเสี่ยงและผลกระทบต่อ การด� ำเนินธุรกิจ • การจัดการความเสี่ยง (Risk Treatment) มีการจัดการ ควบคุม และป้องกันความเสี่ยงอย่างเหมาะสม สอดคล้อง กับผลการประเมินความเสี่ยง เพื่อให้ความเสี่ยงที่เหลืออยู่ อยู่ในระดับความเสี่ยงเทคโนโลยีสารสนเทศที่ยอมรับได้ โดยมีการก� ำหนดดัชนีชี้วัดความเสี่ยงที่ส� ำคัญ (IT Key Risk Indicators) • การติดตาม ทบทวน และรายงานความเสี่ยง (Risk Monitoring, Review, and Reporting) มีกระบวนการ ในการติดตามและทบทวนความเสี่ยง เพื่อให้อยู่ในระดับ ความเสี่ยงเทคโนโลยีสารสนเทศที่ยอมรับได้ และรายงาน ต่อคณะกรรมการที่รับผิดชอบเป็นประจ� ำ 6. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) ความเสี่ยงด้านกลยุทธ์ คือ ความเสี่ยงที่เกิดจากการก� ำหนด แผนกลยุทธ์ แผนด� ำเนินงาน และการน� ำไปปฏิบัติไม่เหมาะสม หรือไม่สอดคล้องกับปัจจัยภายในและสภาพแวดล้อมภายนอก อันส่งผลกระทบต่อรายได้เงินกองทุนหรือการด� ำรงอยู่ของบริษัทฯ และบริษัทย่อย ในการบริหารความเสี่ยงด้านกลยุทธ์ บริษัทฯและ บริษัทย่อยจัดให้มีการท� ำแผนกลยุทธ์ส� ำหรับช่วงเวลา 3 ปีข้างหน้า 64
RkJQdWJsaXNoZXIy ODEyMzQ3