ทำความรู้จัก หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ของบริษัทประกันชีวิตและประกันวินาศภัย พ.ศ. 2563 ตอนที่ 1

ปัจจุบันถือเป็นเรื่องสำคัญอย่างยิ่งสำหรับองค์กรทุกองค์กร ในความพยายามที่จะปฏิบัติกฎหมาย กฎระเบียบ ประกาศ และข้อบังคับต่างๆ ที่ถูกประกาศออกมาและบังคับใช้จากหน่วยงานภาครัฐ อย่างไรก็ตามประกาศในแต่ละฉบับก็มีความมุ่งหวังที่ต่างกันออกไปแต่ในความตั้งใจนั้นคงจะหนีไม่พ้น ความต้องการในปกป้องลูกค้าหรือผู้ใช้บริการขององค์กรเหล่านั้นจากความไม่แน่นอนที่อาจเกิดขึ้นกับการทำธุรกิจ บางครั้งองค์กรเองอาจจะไม่ได้มองมุมอื่นที่นอกเหนือจากเป้าหมายในการดำเนินธุรกิจ ประกาศเหล่านั้นเองพยายามมองให้กว้างมากขึ้น เพื่อแนวทางให้แต่ละองค์กรให้เห็นความสำคัญกับการปกป้องลูกค้าจากเหตุการณ์ที่องค์กรเองอาจจะไม่ได้คาดคิดหรือองค์กรอาจจะยังไม่ได้ให้ความสำคัญ

วันนี้ผู้เขียนเองจะมาเล่าให้ฟังเกี่ยวกับประกาศฉบันหนึ่งที่ออกโดย คณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย “เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ของบริษัทประกันชีวิตและประกันวินาศภัย พ.ศ. 2563” ตลอดหลายปีที่ผ่านมาผู้เขียนเองมีโอกาสได้ทำงานกับหน่วยงานกำกับอยู่บ้าง ทั้งกำกับสถาบันการเงิน กำกับหลักทรัพย์ และกำกับธุรกิจประกันภัย หลายท่านที่ทำงานเกี่ยวกับ Compliance หรืองานด้านกำกับขององค์กร คงจะทราบกันเป็นอย่างดีว่า มีกฎหมายและประกาศมากมายหลายฉบับที่องค์กรต้องปฏิบัติตาม โดยเฉพาะอย่างยิ่งบางองค์กรอยู่ภายใต้การกำกับดูแลจากหลายหน่วยงานกำกับจากการดำเนินธุรกิจในหลายภาคธุรกิจ

ย้อนกลับมาที่ตัวประกาศ คปภ. ที่ผู้เขียนจะมาเล่าให้ฟังในวันนี้ ประกาศฯ “เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ของบริษัทประกันชีวิตและประกันวินาศภัย พ.ศ. 2563” ซึ่งประกาศฉบับนี้เองมีผลบังคับใช้ตั้งแต่วันที่ 1 มกราคม 2564 ที่ผ่านมา แต่จะให้เล่าให้ฟังทั้งหมดในบทความเดียวนั้นคงเป็นไปได้ยาก ผู้เขียนจะขอแบ่งออกเป็นตอนไว้ เพราะเนื้อหาประกาศฉบับนี้เองมีจำนวนค่อนข้างมากอ้างอิงกฎหมาย อ้างอิงมาตรฐานสากลหลายฉบับในการที่พัฒนาขึ้นมา ทั้งยังไม่รวมไปถึงคู่การตรวจสอบที่ถูกจัดทำขึ้น เพื่อให้มั่นใจได้ว่าองค์กรที่อยู่ในธุรกิจประกันภัยจะสามารถตรวจสอบการดำเนินงานขององค์กรว่ามีความสอดคล้องตามประกาศดังกล่าวนี้มากน้อยแค่ไหน ในโอกาสหน้าผู้เขียนจะหาเวลามาเล่าให้ฟังกันอีกครั้งเกี่ยวกับคู่มือการตรวจสอบตามประกาศฉบับดังกล่าวนี้

ถ้าจะดูกันในความตั้งใจของประกาศฉบับนี้นั้นคงต้องเริ่มจากชื่อประกาศที่ประกอบด้วยคำ 2 คำ นั่นก็คือ “การกำกับดูแล” และ “การบริหารจัดการความเสี่ยง” ด้านเทคโนโลยีสารสนเทศ ซึ่งแน่นอน 2 คำนี้นั้นคงไม่สามารถแยกออกจากกันได้ทีเดียว แต่ผู้เขียนอยากให้เห็นถึงวัตถุประสงค์ของประกาศฉบับนี้ที่ให้ความสำคัญในภาพรวมขององค์กรผ่านการกำกับดูแลการดำเนินจากผู้บริหารระดับสูงสุดขององค์กร รวมไปถึงคณะกรรมการที่ควบคุมการดำเนินการขององค์กร เนื่องจากว่าหากไม่มีการกำกับดูแลรวมถึงการสนับสนุนที่ดีจากผู้บริหารระดับสูงขององค์กร ผู้ปฏิบัติงานหรือเจ้าหน้าที่ภายในองค์กรคงไม่สามารถดำเนินการให้สำเร็จหรือบรรลุตามเป้าหมายของตัวประกาศได้ ซึ่งแน่นอนตัวประกาศฉบับนี้นั้นได้เล็งเห็นถึงความสำคัญจากการที่ปัจจุบันที่เทคโนโลยีสารสนเทศเข้ามามีบทบาทอย่างมากในการประกอบการทำธุรกิจประกัน เช่น การขายผลิตภัณฑ์ประกันภัยผ่านสื่ออิเล็กทรอนิกส์ ระบบการจัดเก็บข้อมูลลูกค้า ระบบการพิจารณารับประกันภัย ระบบการจ่ายค่าสินไหมทดแทนและการชดใช้เงินหรือประโยชน์อื่นใดตามกรมธรรม์ปกันภัย เป็นต้น ดังนั้นเองเพื่อให้มั่นใจว่าการมีการกำกับที่ดี การบริหารจัดการความเสี่ยงที่ดี เพื่อมั่นใจได้ว่าระบบเทคโนโลยีสารสนเทศหลักที่ให้การสนับสนุนการดำเนินธุรกิจ และระบบสำคัญที่ให้บริการลูกค้าโดยตรงนั้น จะสามารถจัดการกับเหตุการณ์ที่ประพึงประสงค์ที่อาจจะเกิดขึ้นกับระบบเทคโนโลยีสารนเทศได้ ตัวประกาศเองประกอบด้วย 8 หัวข้อใหญ่ดังต่อไปนี้

การกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT Governance)
การบริหารโครงการด้านเทคโนโลยีสารสนเทศ (IT Project management)
การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT security)
การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk management)
การปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT compliance)
การตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT audit)
การกำกับดูและการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)
การรายงานเหตุการณ์ภัยคุกคามทางไซเบอร์หรือภัยคุกคามที่มีต่อระบบเทคโนโลยีสารสนเทศ (Reporting)

จากหัวข้อใหญ่ทั้งหมด 8 หัวข้อ สามารถอ้างอิงไปยังมาตรฐาน (Standard) และแนวปฏิบัติที่ดี (Best Practice) ได้หลายฉบับ จึงจะเห็นได้ว่าตัวประกาศเองเป็นประกาศที่ถือว่าใหญ่มาก และแน่นอนบริษัทประกันก็จะมีภาระหน้าที่มากทีเดียว ในการที่ต้องปฏิบัติตามประกาศฉบับนี้

ข้อมูลในตัวประกาศกล่าวถึง Three Lines of Defense ในหัวข้อการกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT Governance) นั้น จะสรุปบทบาทหน้าที่ได้ดังนี้

1^st line of defense: ทำหน้าที่ปฏิบัติงานด้านเทคโนโลยี เป็นเจ้าของความเสี่ยงและจัดการความเสี่ยง
2^nd line of defense: ทำหน้าที่ดูแลการบริหารจัดการความเสี่ยงและการกำกับดูแลการปฏิบัติตามกฎหมาย และประกาศที่เกี่ยวข้อง
3^rd line of defense : ทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศ

1. IT Governance
First Line	Second Line	Third Line
2. IT project management	4. IT risk management	6. IT audit
3. IT security	5. IT compliance
7. Cybersecurity	8. Reporting

โดยเนื้อหาใจความสำคัญของประกาศสรุปได้ตามตารางด้านล่างนี้

หัวข้อ	ใจความสำคัญ
1. การกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT Governance)	โครงสร้างการกำกับดูแลตามหลักการ 3 line of defense การกำหนดบทบาทหน้าที่ความรับผิดชอบ รวมไปถึงความเข้าใจด้านเทคโนโลยีสารสนเทศของคณะผู้บริหารขององค์กร
2. การบริหารโครงการด้านเทคโนโลยีสารสนเทศ (IT Project management)	การบริหารโครงการด้านเทคโนโลยีสารสนเทศ ผ่านการกำกับดูและการความเสี่ยง และกรอบการบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศขององค์กร
3. การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT security)	อ้างอิงมาตรฐาน ISO 27001 ประกอบด้วย 12 หัวข้อดังต่อไปนี้ - IT Security Policy, Human Resource Security, Asset Management, Access Control, Cryptography, Physical and Environmental Security, Network and Communication Security, IT Operations Security, System Acquisition and Development, Third Party Management, IT Incident and Problem Management และ IT Continuity Planning
4. การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk management)	นโยบายและกระบวนการในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ที่ครอบคลุมความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ โดยมีการติดตามทบทวน และการรายงานความเสี่ยงอย่างสม่ำเสมอ
5. การปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT compliance)	การกำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
6. การตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT audit)	การตรวจสอบด้านเทคโนโลยีสารสนเทศและไซเบอร์ขององค์กร โดยการกำหนดบทบาทหน้าที่ที่ชัดเจน กำหนดผู้ตรวจสอบที่มีความรู้ความสามารถ รวมถึงการรายงานผลการตรวจสอบและการติดตามอย่างสม่ำเสมอ
7. การกำกับดูและการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)	อ้างอิงมาตรฐาน NIST CSF ซึ่งหัวข้อบางส่วนมีความทับซ้อนกับหัวข้อที่ 3 IT Security อย่างไรก็ตามมาตรฐานฉบับที่ได้ความสำคัญในส่วนของ Function การเตรียมการด้านความมั่นคงปลอดภัยทางไซเบอร์ขององค์กรเป็นหลัก ดังนี้ Identify Protect Detect Respond and Recover
8. การรายงานเหตุการณ์ภัยคุกคามทางไซเบอร์หรือภัยคุกคามที่มีต่อระบบเทคโนโลยีสารสนเทศ(Reporting)	การรายงานเหตุภัยคุกคามด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ต่อสำนักงาน คปภ.

ในการดำเนินการให้สอดคล้องตามประกาศฉบับนี้ องค์กรคงต้องใช้ทรัพยากรมากพอสมควร ทั้งในด้านกระบวนการ ด้านเทคโนโลยี รวมถึงด้านบุคลากร แต่อย่างไรก็ตามหากองค์กรสามารถดำเนินการได้ตามประกาศทั้งหมด คงจะเป็นเรื่องที่ดีอย่างยิ่งสำหรับองค์กรเองและลูกค้าขององค์กร รวมไปถึงภาคธุรกิจประกันภัยที่จะถือได้ว่าเป็นการยกระดับการกำกับและการบริหารความเสี่ยงด้านเทคโนโลยีของภาคธุรกิจนี้ไปอีกขั้นหนึ่ง โดยผ่านการดำเนินการที่ดีตามมาตรฐานสากล ผ่านการกำกับจากผู้บริหารระดับสูงขององค์กร มีการพิจารณาถึงความเสี่ยงต่างๆ ที่อาจเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศขององค์กร รวมไปถึงมีการรายงานและการติดตามอย่างสม่ำเสมอ และนั่นคงจะสร้างความน่าเชื่อถือต่อธุรกิจและบริการด้านประกันภัยของประเทศได้เป็นอย่างมาก

ในบทความถัดๆ ไปผู้เขียนคงจะได้มีโอกาสเล่าให้ฟังในรายละเอียดแต่ละหัวข้อตามประกาศ รวมไปถึงที่กล่าวไว้ในบทความเกี่ยวกับคู่มือการตรวจสอบตามประกาศฉบับนี้ หากมีต้องการสอบถามข้อมูลเพิ่มสามารถติดต่อทีมที่ปรึกษาและทีมตรวจสอบเราได้ที่ [email protected] หรือ 090-642-8988

UP NEXT