คู຋มือการประ฼มินผลการดำ฼นินงานรัฐวิสาหกิจ (ฉบับปรับปรุง༛ป຃༛2567)

                                                ตามระบบประ฼มินผลรัฐวิสาหกิจ༛State Enterprise Assessment Model : SE-AM
                                                            สำนักงานคณะกรรมการน฾ยบายรัฐวิสาหกิจ༛(สคร.)༛กระทรวงการคลัง




                 ความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ คือ ความ฼สีไยงทีไอาจ฼กิดขึๅนจากการ฿ชຌ฼ทค฾น฾ลยีสารสน฼ทศ฿นการดำ฼นิน
                 ธุรกิจ ซึไงจะมีผลกระทบต຋อระบบหรือการปฏิบัติงานของรัฐวิสาหกิจ รวมถึงความ฼สีไยงทีไ฼กิดจากภัยคุกคาม
                 ทางเซ฼บอรຏ (cyber threat)
                 การบริหารความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛(IT risk management)

                 หลัก฼กณฑຏการกำกับดู฽ลความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛(Information Technology Risk) ฼พืไอ฿ห รส.
                                                                                                     ຌ
                 สามารถบริหารความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศเดຌอย຋างมีประสิทธิภาพ༛ตຌองกำหนดน฾ยบายการบริหาร
                 ความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ฿หຌครอบคลุม฼รืไอง฾ครงสรຌางองคຏกร฽ละบทบาทหนຌาทีไของผูຌทีไ฼กีไยวขຌอง
                 ฿นการบริหารความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ฽ละตຌองนำน฾ยบายดังกล຋าวมาจัดทำระ฼บียบวิธีปฏิบัติ฽ละ
                 กระบวนการ฿นการบริหารความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศของ༛รส. ฾ดยครอบคลุมอย຋างนຌอย฿น฼รืไอง
                 ดังต຋อเปนีๅ༛
                 (1) การประ฼มินความ฼สีไยง༛(risk assessment)

                 (1.1) การระบุความ฼สีไยง༛(risk identification) ตຌองระบุถึงความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛ซึไงรวมถึง
                 ภัยคุกคามทางเซ฼บอรຏ༛฽ละช຋อง฾หว຋ต຋าง༛โ༛฾ดยความ฼สีไยงดังกล຋าวอาจมีสา฼หตุมาจากกระบวนการปฏิบัติงาน༛
                 ระบบงาน༛บุคลากร༛หรือปຑจจัยภายนอก༛
                 (1.2) การวิ฼คราะหຏความ฼สีไยง༛(risk analysis) ตຌอง฼ขຌา฿จ฽ละวิ฼คราะหຏความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛
                 ฼พืไอหา฽นวทาง฿นการจัดการความ฼สีไยงทีไ฼หมาะสม༛
                 (1.3) การประ฼มินค຋าความ฼สีไยง༛(risk evaluation) ตຌองประ฼มินถึง฾อกาสทีไความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ
                 จะ฼กิดขึๅน฽ละผลกระทบต຋อการปฏิบัติงาน฽ละการดำ฼นินธุรกิจ༛รวมถึงกำหนดระดับความ฼สีไยง༛ดຌาน฼ทค฾น฾ลยี
                 สารสน฼ทศทีไยอมรับเดຌ༛(IT risk appetite)
                 (2) การจัดการความ฼สีไยง༛(risk treatment) ตຌองมี฽นวทาง฿นการจัดการควบคุม༛฽ละปງองกันความ฼สีไยง༛
                 ทีไ฼หมาะสมสอดคลຌองกับผลการประ฼มินความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛฼พืไอ฿หຌความ฼สีไยงทีไ฼หลืออยู຋༛

                 (residual risk) อยู຋฿นระดับความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศทีไยอมรับเดຌ༛฾ดยตຌองคำนึงถึงความสมดุล༛ระหว຋าง
                 ตຌนทุน฿นการปງองกันความ฼สีไยง฽ละผลประ฾ยชนຏทีไคาดว຋าจะเดຌรับ༛นอกจากนีๅ༛ตຌองจัด฿หຌมีการกำหนดดัชนีชีๅวัด
                 ความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛(IT key risk indicators) ทีไ฼กีไยวขຌองกับการดำ฼นินธุรกิจ฿หຌสอดคลຌองกับ
                 ความสำคัญของ฼ทค฾น฾ลยีสารสน฼ทศ฽ต຋ละงาน༛฼พืไอ฿ชຌ฿นการติดตาม฽ละทบทวนความ฼สีไยง
                 (3)༛การติดตาม฽ละทบทวนความ฼สีไยง༛(risk monitoring and review) ตຌองจัด฿หຌมีกระบวนการทีไมีประสิทธิภาพ
                 ฿นการติดตาม฽ละทบทวนความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛฼พืไอ฿หຌอยู຋ภาย฿ตຌระดับความ฼สีไยงดຌาน฼ทค฾น฾ลยี
                 สารสน฼ทศทีไยอมรับเดຌทีไกำหนดเวຌ༛

                 (4)༛การรายงานความ฼สีไยง༛(risk reporting) ตຌองมีการรายงานผลการบริหารความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛
                 ฽ละ฽นว฾นຌมของความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศทีไอาจ฼กิดขึๅน༛ต຋อคณะกรรมการของ รส. หรือคณะกรรมการ
                 ทีไเดຌรับมอบหมาย฿นระยะ฼วลาทีไ฼หมาะสม༛ทัๅงนีๅ༛ตຌองจัด฿หຌมีการทบทวนระ฼บียบวิธีปฏิบัติ฽ละกระบวนการ༛
                 ฿นการบริหารความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛อย຋างนຌอยป຃ละ༛1༛ครัๅง༛฽ละทุกครัๅงทีไมีการ฼ปลีไยน฽ปลงอย຋างมี
                 นัยสำคัญ

               ทีไมา༛:༛หลัก฼กณฑຏการกำกับดู฽ลความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛(Information Technology Risk) ฽ละ฽นวปฏิบัติ฿นการบริหารความ฼สีไยง
               ดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛ธนาคาร฽ห຋งประ฼ทศเทย









                                                                                                          หนຌา༛5-54