การยกระดับการกำกับดูแล Digital Landscape ครั้งสำคัญโดย ก.ล.ต.
ทำความรู้จักกับประกาศ ก.ล.ต. ที่ สธ. 38/2565

ในโลกการลงทุนที่ต้องเจอกระแสการเปลี่ยนแปลงด้าน Digital อย่างรวดเร็ว เป็นการกระตุ้นความเสี่ยงต่อระบบเทคโนโลยีสารสนเทศ (IT) ให้เพิ่มขึ้นอย่างมีนัยสำคัญ และเพื่อเป็นการปกป้องนักลงทุนและเสถียรภาพของตลาดทุนและตลาดสินทรัพย์ Digital ของไทย ให้คงความเชื่อมั่นได้อย่างต่อเนื่อง สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์แห่งประเทศไทย (ก.ล.ต.) จึงได้ออกมาตรการกำกับและควบคุมผ่านประกาศสำนักงานที่ สธ. 38/2565 เรื่องข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ ซึ่งมีผลบังคับใช้เมื่อเดือนกรกฎาคม 2566 ที่ผ่านมา 

โดยใจความสำคัญของประกาศเป็นอย่างไร และ ส่งผลกระทบต่อผู้มีส่วนได้ส่วนเสียอย่างไรบ้าง? ในบทความนี้ เราจะมา เจาะลึกลงในรายละเอียดกันครับ:

ประกาศ ส.ธ. 38/2565 มีผลบังคับใช้สำหรับกลุ่มผู้ประกอบธุรกิจที่ได้รับใบอนุญาตประกอบธุรกิจหลักทรัพย์หรือธุรกิจสัญญาซื้อขายล่วงหน้า ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ศูนย์รับฝากหลักทรัพย์ ฯลฯ เป็นต้น โดยมีโครงสร้างข้อกำหนดแบ่งออกเป็น 3 ส่วน คือ 
1. การกำกับดูแลและบริหารจัดการด้าน IT (IT Governance) 
2. การรักษาความมั่นคงปลอดภัยด้าน IT (IT Security) 
3. การตรวจสอบด้าน IT (IT Audit) ซึ่งสามารถสรุปประเด็นสำคัญได้ดังนี้

  • การกำกับดูแลด้าน IT ที่ชัดเจน: โดยให้ความสำคัญกับบทบาทหน้าที่ของคณะกรรมการของผู้ประกอบธุรกิจ (Board of Director: BOD) ที่ต้องกำหนดกรอบการบริหารจัดการ IT Governance Framework ขึ้นมาให้สอดคล้องกับแผนทางธุรกิจ และให้มีการติดตาม ตรวจสอบ อย่างสม่ำเสมอ อีกทั้งยังผลักดันให้มีการนำแนวทางการบริหารจัดการความเสี่ยงด้าน IT มาปรับใช้กับองค์กร ผ่านการจัดทำนโยบาย ขั้นตอน วิธีปฏิบัติงาน และจัดโครงสร้างการกำกับดูแลให้สอดคล้องตามหลักการ 3 Lines of Defense (3LOD) ซึ่งจะทำให้เกิดการถ่วงดุลการบริหารจัดการอย่างเป็นอิสระ และเป็นหลักการที่ได้รับการยอมรับในระดับสากล
  • การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลเป็นหัวใจสำคัญ: ตั้งแต่การบริหารจัดการทรัพย์สินด้าน IT การป้องกันการเข้าถึงทั้งทาง Physical และ Logical การควบคุมด้าน Security ของระบบงานและอุปกรณ์ที่ใช้ปฏิบัติงาน รวมไปถึงการประเมินช่องโหว่ และการทดสอบเจาะระบบ ซึ่งต้องได้รับการจัดทำและบริหารจัดการอย่างต่อเนื่อง สอดคล้องกับความเปลี่ยนแปลงและสถานการณ์ความเสี่ยง โดยเมื่อเกิดเหตุการณ์ผิดปกติด้าน IT หรือเหตุการละเมิดต่อข้อมูลส่วนบุคคล ผู้ประกอบธุรกิจต้องจัดให้มีการรายงานและจัดการเหตุการณ์ได้อย่างเหมาะสมและทันท่วงที 
  • ความต่อเนื่องทางธุรกิจกรณีระบบ IT ไม่สามารถให้บริการได้: โดยกำหนดให้จัดทำแผนฉุกเฉินด้าน IT ซึ่งต้องผ่านการประเมินความเสี่ยง และวิเคราะห์ผลกระทบทางธุรกิจสำหรับเหตุการณ์ที่อาจทำให้กระบวนการและระบบ IT หยุดชะงัก หรือไม่สามารถให้บริการได้ตามปกติ ซึ่งรวมถึงการสื่อสารกับบุคคลหรือหน่วยงานภายนอกที่เกี่ยวข้อง การระบุขั้นตอนการกู้คืนระบบ การจัดให้มีระบบสำรองและทรัพยากรที่จำเป็น เพื่อให้สามารถกู้คืนระบบให้กลับสู่สภาพปกติภายในระยะเวลาที่เหมาะสม 
  • การบริหารจัดการการใช้บริการจากบุคคลภายนอก (3rd Party Management): จากสภาวะการณ์ที่การขยายความร่วมมือทางธุรกิจและการใช้บริการจากบุคคลภายนอกเพิ่มขึ้นทวีคูณ ซึ่งส่งผลต่อความเสี่ยงทั้งด้านข้อมูลและการให้บริการของผู้ประกอบธุรกิจ จึงทำให้ต้องมีการจัดการได้อย่างครอบคลุม เช่น การประเมินความเสี่ยงจากการใช้บริการ การเชื่อมต่อหรือการเข้าถึงข้อมูลจากบุคคลภายนอก กำหนดหลักเกณฑ์ในการคัดเลือก กำหนดบทบาทหน้าที่และความรับผิดชอบอย่างชัดเจน การจัดทำ Non-Disclosure Agreement (NDA) รวมถึงกำกับดูแล ติดตาม และบริหารจัดการความเสี่ยงให้สอดคล้องกับระดับความเสี่ยงและระดับความมีนัยสำคัญของบุคคลภายนอกด้วย
  • การรายงานระดับความเสี่ยงและผลการตรวจสอบภายในอย่างต่อเนื่อง: กำหนดให้ผู้ประกอบธุรกิจมีหน้าที่ต้องประเมินและนำส่งผลประมินระดับความเสี่ยงเกี่ยวกับระบบเทคโนโลยีสารสนเทศซึ่งส่งผลต่อการดำเนินธุรกิจตามแบบ RLA (Risk Level Assessment) อีกทั้งให้นำส่งผลการตรวจสอบภายในด้าน IT ต่อ ก.ล.ต. เป็นประจำทุกปี เพื่อเป็นอีกหนึ่งเครื่องมือกำกับดูแลให้เกิดเสถียรภาพของตลาดทุนในได้อย่างยั่งยืน


ผลกระทบต่อผู้มีส่วนได้ส่วนเสีย:

  • ผู้ประกอบธุรกิจ: แม้ว่าอาจจะต้องมีการปรับตัวตามข้อกำหนดตามประกาศฉบับใหม่นี้บ้าง จากการเพิ่มรายละเอียดและข้อกำหนดจากประกาศฉบับก่อนหน้า (สธ. 37/2559) ก็ถือเป็นประโยชน์ในระยะยาวให้กับธุรกิจเนื่องจากจะช่วยเสริมสร้างโครงสร้างพื้นฐานด้าน IT ให้มีความแข็งแกร่งขึ้น เพิ่มความปลอดภัยให้กับข้อมูล สามารถบริหารจัดการความเสี่ยงได้ดีขึ้น 
  • หน่วยงานกำกับดูแล: ประกาศนี้ช่วยให้ ก.ล.ต. สามารถกำกับและติดตามดูแลการจัดการด้าน IT ของผู้ประกอบธุรกิจที่ได้รับใบอนุญาตในตลาดทุนและตลาดสินทรัพย์ Digital ได้อย่างมีประสิทธิภาพ และสามารถนำมาเป็นเครื่องมือในการป้องกันความเสี่ยงได้ดียิ่งขึ้น อีกทั้ง ประกาศนี้ยังเป็นอีกหนึ่งตัวอย่างข้อกำหนดด้าน IT ที่หน่วยงานกำกับดูแลอื่นๆ สามารถนำไปปรับใช้กับธุรกิจหรืออุตสาหกรรมภายใต้การกำกับดูแลของตนได้ต่อไป
  • นักลงทุนในตลาดทุนและตลาดสินทรัพย์ Digital: ได้รับความเชื่อมั่นในการใช้บริการของผู้ประกอบธุรกิจที่รองรับด้วยระบบ IT จากการทราบว่าระบบจะมีการบริหารจัดการความเสี่ยง มีความมั่นคงปลอดภัย และสามารถให้บริการได้อย่างต่อเนื่อง รวมถึงข้อมูลที่เคยแชร์ให้กับผู้ประกอบธุรกิจไปจะได้รับการปกป้องและดูแลรักษาอย่างปลอดภัยยิ่งขึ้น
  • ภาพรวมของตลาดทุนและตลาดสินทรัพย์ Digital: ช่วยส่งเสริมเสถียรภาพของระบบนิเวศด้าน IT ของทั้ง 2 ตลาดให้มีความมั่นคงมากขึ้น และส่งเสริมภาพลักษณ์ของตลาดให้ได้รับความมั่นใจและเป็นที่ยอมรับจากนักลงทุนทั้งในและต่างประเทศได้มากขึ้น


มองต่อไปในอนาคต:

ประกาศ ส.ธ. 38/2565 ถือเป็นอีกก้าวสำคัญในความพยายามของประเทศไทยที่จะเข้าสู่ยุคดิจิทัล พร้อมกับการปกป้องเสถียรภาพของตลาดทุนและตลาดสินทรัพย์ Digital จากการพัฒนาพื้นฐานทางโครงสร้างและความมั่นคงปลอดภัยทางเทคโนโลยีที่เติบโตอย่างคู่ขนานไปพร้อมกัน ผ่านกรอบการกำกับดูแลของ ก.ล.ต. นี้ จึงทำให้มั่นใจได้ว่าผู้มีส่วนได้เสียทุกฝ่ายจะสามารถปรับตัวและร่วมกันปกป้องผลประโยชน์โดยรวมทั้งหมดภายในภูมิทัศน์การลงทุนของไทยต่อไปได้อย่างยั่งยืน

หากต้องการศึกษารายละเอียดของข้อกำหนดเพิ่มเติม สามารถสืบค้นได้จากเอกสารอ้างอิงผ่าน  Link ดังต่อไปนี้ 

เอกสารอ้างอิง: 
1.    ประกาศสำนักงานคณะกรรมการ ก.ล.ต. ที่ สธ. 38/2565
2.    ภาคผนวก 2: การกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ (Information Technology Governance)
3.    ภาคผนวก 3: การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (Information Technology Security)
4.    ภาคผนวก 4: การตรวจสอบด้านเทคโนโลยีสารสนเทศ (Information Technology Audit)

Link: https://capital.sec.or.th/webapp/nrs/nrs_search.php?chk_frm=1&ref_id=9905&cat_id=1346

คำเตือน: บทความนี้ถูกจัดทำขึ้นจากการสรุปและทำความเข้าใจจากประสบการณ์และความเห็นของผู้เขียน เพื่อวัตถุประสงค์ในการแลกเปลี่ยนและเรียนรู้ระหว่างกันเท่านั้น ไม่ถือเป็นคำแนะนำที่ใช้อ้างอิงทางกฎหมายหรือกฎระเบียบกับหน่วยงานทางการได้


บทความโดย


อาจารย์ กฤษดาลักษณ์ จันทร์ปรียากุล
IRCA: ISMS Provisional Auditor   ISO/IEC 27001
IRCA: BCMS Provisional Auditor  ISO/IEC 22301
IRCA: IT-SMS Provisional Auditor ISO/IEC 20000
Certify Information System Auditor (CISA)
Control Objectives for Information and Related Technology  (COBIT5)