ค าถาม – ค าตอบแนบทายประกาศ เรอง การใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ (IT Outsourcing)

ในการประกอบธรกจของสถาบนการเงน ลงวนท 27 พฤศจกายน 2557

ขอ ประเดนค าถาม แนวค าตอบ ขอบเขตการบงคบใช 1. สาขาตางประเทศของธนาคารพาณชยทจดทะเบยน

ในประเทศไทย (สาขาตางประเทศฯ) ทมการใชบรการจากผใหบรการภายนอก ตองปฏบตตามหลกเกณฑทก าหนดในประกาศฉบบนดวยหรอไม

สาขาตางประเทศฯ ตองปฏบตตามหลกเกณฑทก าหนดในประกาศฉบบนดวย เนองจากสาขาตางประเทศฯ ถอเปนนตบคคลเดยวกนกบธนาคารพาณชยทเปนส านกงานใหญในประเทศไทย

2. บรษทลกของธนาคารพาณชยทจดทะเบยนในประเทศไทยจะตองปฏบตตามหลกเกณฑทก าหนดในประกาศฉบบนดวยหรอไม

บรษทลกของธนาคารพาณชยทจดทะเบยนในประเทศไทยทอยในกลม Solo Consolidation ตองปฏบตตามหลกเกณฑทก าหนดในประกาศฉบบนดวย

ค าจ ากดความ 3. การใชบรการบคคลภายนอกในเรองตอไปน

เขาขายเปนการใชบรการ IT Outsourcing หรอไม และจะมแนวทางในการพจารณาวาเขาขายเปนการใชบรการ IT Outsourcing อยางไร การจดซอและตดตงโปรแกรม (software)

ส าเรจรป เชน Microsoft Windows หรอ Microsoft Office

การจดซอและตดตงอปกรณคอมพวเตอร (hardware)

การจางทปรกษาดานเทคโนโลยสารสนเทศ หรอการจางทมงานเพอพฒนา software หรอ application

การบ ารงรกษาตอเนองตามโปรแกรมการดแลของผใหบรการภายนอกส าหรบ hardware และ software

การสงขอมลไปยงบรษทแม เพอปฏบตตามขอก าหนดของหลกเกณฑในตางประเทศ เชน FATCA

การใชบรการ IT Outsourcing เพอเปนแผนฉกเฉนของสถาบนการเงน

การพจารณาวา การใชบรการงาน IT ใดเขาขายเปน IT Outsourcing ใหพจารณาวา งาน IT ทใชบรการจากบคคลภายนอกนน เปนงาน IT ทโดยปกตแลวสถาบนการเงนตองด าเนนการเอง ซงรวมถง การพฒนา software หรอ application และการเตรยมการดาน IT ตามแผนฉกเฉนของสถาบนการเงน แตไมรวมถงการจดซอ ตดตง และบ ารงรกษาโปรแกรมส าเรจรปในการท างานพนฐาน เชน โปรแกรมการท างานเอกสาร (ไดแก MS Office หรอ SPSS เปนตน) โปรแกรมปองกนไวรส (ไดแก Norton antivirus หรอ McAfee antivirus เปนตน) และอปกรณคอมพวเตอร (ไดแก เครองคอมพวเตอรสวนบคคล เครอง printer เปนตน) การใชบรการทเชอมตอไปยงระบบกลาง เชน ระบบการช าระเงน (ไดแก VISA, MASTER, NITMX หรอ PCC เปนตน) การใชบรการทเชอมมายงระบบของทางการ (ไดแก NCB หรอ DMS เปนตน) และการสงขอมลไปยงบรษทแมเพอปฏบตตามหลกเกณฑในตางประเทศ

4 ในกรณทสถาบนการเงนมการเชาพนทเพอใชเปนศนยคอมพวเตอร (data center) โดยผใหเชาท าหนาทในการบรหารจดการระบบสาธารณปโภคตาง ๆ ภายในศนยคอมพวเตอร (facility) ดวย เชน ระบบไฟฟา ระบบท าความเยนและควบคมความชน ระบบปองกนและระงบอคคภย

การเชาพนทเพอใชเปนศนยคอมพวเตอร โดยผใหเชา ท าหนาทบรหารจดการระบบสาธารณปโภคดวย เขาขายเปนการใชบรการ IT Outsourcing เนองจากการบรหารจดการระบบสาธารณปโภคซงเปนโครงสรางพนฐานทมความส าคญภายในศนยคอมพวเตอรถอเปนปจจยหลกทมผลตอการด าเนนการอยางตอเนองของศนยคอมพวเตอรนน

- 2 -

ขอ ประเดนค าถาม แนวค าตอบ เพอใหอยในสภาพทพรอมใชงานอยางตอเนอง เขาขายเปนการใชบรการ IT Outsourcing หรอไม

ทงน สถาบนการเงนตองพจารณาวา การใชบรการดงกลาวเขาขายเปน Critical IT Outsourcing หรอ Other IT Outsourcing โดยพจารณาตามความเสยง ผลกระทบ และความเสยหาย ทอาจเกดขนจากการใชบรการดงกลาว

การอนญาตใหสถาบนการเงนใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ 5. สถาบนการเงนตองท าการประเมนตนเอง (self

assessment) ตามหลกเกณฑการใชบรการ IT Outsourcing เมอใด

สถาบนการเงนตองประเมนตนเองตงแตกอนเรมใชบรการ IT Outsourcing เพอใหทราบถงความเสยงจากการใชบรการ และสามารถก าหนดแนวทางในการควบคมและจดการความเสยงนนได และใชผลการประเมนดงกลาวมาประเมนประสทธภาพในการใหบรการของผใหบรการภายนอกได ทงน การประเมนความเสยงควรสอดคลองกบขนาด ปรมาณธรกรรม ความซบซอนของงาน IT ทใชบรการ และความเสยงทเกยวเนองกบการใชบรการ

การแบงประเภทการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ 6. แนวทางในการพจารณาการใชบรการจาก

ผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศประเภททมความส าคญอยางยงตอสถาบนการเงน (Critical IT Outsourcing) ควรเปนอยางไร

สถาบนการเงนตองพจารณาวา หากงาน IT ทใชบรการ มความเสยงและผลกระทบในวงกวางทงตอสถาบนการเงน ระบบสถาบนการเงน หรอธรกจอน หรออาจกอใหเกดความเสยหายหรอเหตการณอน ๆ กถอวา เขาขายเปนการใชบรการ Critical IT Outsourcing

7. ระบบเครอขายสอสาร (network) ตามตวอยาง Critical IT Outsourcing ในขอ 5.3.1 หมายถงอะไร

การใชบรการระบบเครอขายสอสาร (network) ทเขาขาย เปนการใชบรการ Critical IT Outsourcing หมายถง การใชบรการระบบเครอขายสอสารทมการเชอมโยงอปกรณ ระบบงาน และขอมลส าคญ เขาไวดวยกน และหากระบบเครอขายสอสารนนเกดความผดพลาด อาจกอใหเกดความเสยงและผลกระทบในวงกวางทงตอสถาบนการเงน ระบบสถาบนการเงน หรอธรกจอน หรออาจกอใหเกดความเสยหายหรอเหตการณฉกเฉนอน ๆ แตไมรวมถง การใชบรการระบบเครอขายสอสารทสถาบนการเงนไมสามารถด าเนนการไดเอง เชน การใชบรการระบบเครอขาย Internet หรอการเชาสายสอสาร fiber optic

หลกเกณฑการควบคมทวไป: นโยบายการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ 8. คณะกรรมการสถาบนการเงนมหนาทอนมต

นโยบายการใชบรการ IT Outsourcing แลว ยงตองอนมตการใชบรการ Critical IT Outsourcing กบบรษทนอกกลมธรกจเดยวกน กอนการใชบรการดวยอกหรอไม

คณะกรรมการสถาบนการเงนมหนาทใหความเหนชอบนโยบายการใชบรการ IT Outsourcing ซงเปนนโยบายในภาพรวมของการใชบรการ และการใชบรการ Critical IT Outsourcing ดวย แตสามารถมอบหมายการใชบรการ Critical IT Outsourcing ใหคณะกรรมการชดอนใหความเหนชอบแทนได

- 3 -

ขอ ประเดนค าถาม แนวค าตอบ 9. ในกรณสาขาของธนาคารพาณชยตางประเทศ

ขอเสนอใหส านกงานใหญหรอส านกงานภมภาคของสาขาของธนาคารพาณชยตางประเทศเปนผอนมตนโยบายการใชบรการ IT Outsourcing เพอเพมความคลองตวในการด าเนนงาน ไดหรอไม

สาขาของธนาคารพาณชยตางประเทศสามารถใหส านกงานใหญหรอส านกงานภมภาคเปนผอนมตนโยบายการใชบรการ IT Outsourcing ได แตคณะผบรหารทมหนาทรบผดชอบทเกยวของทอยในประเทศไทย ตองใหความเหนชอบตอนโยบายดงกลาวดวย

10. การก าหนดใหนโยบายการใชบรการ IT Outsourcing ตองสอดคลองกบกลยทธทางธรกจ หมายถง ตองใหสถาบนการเงนก าหนดนโยบายเปนรายปวา ในปนนจะมการใชบรการ IT Outsourcing อะไรบางใชหรอไม และในกรณทมการทบทวนนโยบายการใชบรการประจ าปแลว แตไมมการแกไขปรบปรง จ าเปนตองรายงานผลการทบทวนใหคณะกรรมการของสถาบนการเงนทราบหรอไม

สถาบนการเงนควรก าหนดนโยบายการใชบรการ IT Outsourcing ใหสอดคลองกบกลยทธและการแขงขนทางธรกจทมการเปลยนแปลง โดยควรทบทวนนโยบายการใชบรการ IT Outsourcing ดงกลาวอยางนอยปละครง และตองรายงานผลการทบทวนใหคณะกรรมการของสถาบนการเงนทราบแมจะไมมการแกไข

หลกเกณฑการควบคมเฉพาะส าหรบงานเทคโนโลยสารสนเทศทมความส าคญอยางยง 11. การก ากบดแลเพมเตม (specific risk control)

ตามหลกเกณฑขอ 5.5.2 (1) ทวา สถาบนการเงนตองมนใจวา ผใหบรการภายนอกมกระบวนการ ขนตอน การประเมน และการควบคมความเสยงอยางนอยตามกรอบหลกการดาน IT ทสอดคลองกบมาตรฐานสากลนน หมายถง ผใหบรการภายนอกตองมเอกสารการรบรองความเปนมาตรฐานสากลดานงาน IT ดวยใชหรอไม และควรมมาตรฐานในระดบใด และหากสาขาของธนาคารพาณชยตางประเทศ ใชบรการระบบประมวลผลกลาง (core banking) จากบรษทแม สาขาของธนาคารพาณชยตางประเทศ ตองตรวจสอบวา บรษทแมไดรบการรบรองตามมาตรฐานของ International Organization for Standardization (ISO) ดวยหรอไม และหากบรษทแมไมม certificate จะตองด าเนนการอยางไร

การก ากบดแลเพมเตมเปนหลกเกณฑทก าหนดใหสถาบนการเงนทใชบรการ Critical IT Outsourcing จากผใหบรการภายนอกรวมถงบรษทแม ตองมกระบวนการในการตดตาม ประเมนผล และตรวจสอบผใหบรการภายนอก เพอใหมนใจวา ผใหบรการภายนอกสามารถปฏบตตามมาตรฐานสากลดานงาน IT ได ซงอาจท าไดโดยการขอเอกสารหรอหนงสอรบรองทแสดงถงการทผใหบรการภายนอกสามารถปฏบตตามมาตรฐานสากลได ทงน มาตรฐาน ISO ทระบในประกาศเปนเพยงตวอยางของมาตรฐานการรกษาความมนคงปลอดภยของระบบงานและขอมลเทานน จงอาจใชมาตรฐานสากลอนแทนได แตสถาบนการเงนควรพจารณาระดบของมาตรฐานสากลทผใหบรการภายนอกควรปฏบตได โดยพจารณาจากขนาด ปรมาณธรกรรม ความซบซอนของงาน IT ทใชบรการ และความเสยงทเกยวเนองกบการใชบรการ ทงน ในกรณทบรษทแมไมม certificate สาขาของธนาคารพาณชยตางประเทศสามารถใชผลการตรวจสอบทไดรบการรบรองจากผตรวจสอบภายในหรอผตรวจสอบภายนอกของบรษทแมได

12. กระบวนการ ขนตอน หรอระบบในการตดตาม ประเมนผล และตรวจสอบผใหบรการภายนอก เชน การทดสอบระบบการรกษาความปลอดภย เชงลก (penetration test) ส าหรบการใชบรการระบบ Internet banking ตามทก าหนดในขอ 5.2 (1.2) นน ควรมความถเทาใด

สถาบนการเงนควรจดใหผใหบรการภายนอกมการทดสอบระบบการรกษาความปลอดภยเชงลก (penetration test) อยางนอยปละครง และ/หรอ ทกครงทมการเปลยนแปลงคาความปลอดภยหรอมการเปลยนแปลงความเสยงดานIT ทมนยส าคญทอาจเปดชองโหวใหเกดภยคกคามจากภายในและภายนอกได

- 4 -

ขอ ประเดนค าถาม แนวค าตอบ แนวปฏบตส าหรบการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ 13. ในกรณทผใหบรการภายนอกมการจางผใหบรการ

ภายนอกรายอนรบชวงจดการงาน IT ทรบให บรการตอ (sub-contract) โดยงานดงกลาวนนเปนงาน Critical IT Outsourcing สถาบนการเงนจะตองปฏบตอยางไร

ในกรณทผใหบรการภายนอกมการ sub-contract งาน IT ทรบใหบรการบางสวนหรอทงหมดตอใหกบผใหบรการภายนอกรายอน สถาบนการเงนไมตองแจงการ subcontract ดงกลาวมายงธนาคารแหงประเทศไทย แตสถาบนการเงนตองมนใจวา ผใหบรการภายนอกจะรบผดชอบตอการให บรการดานงาน IT แกสถาบนการเงนเสมอนกบทผใหบรการภายนอกเปนผใหบรการดวยตนเอง และการ subcontract นน จะตองไมมเจตนาหลกเลยงการปฏบตตามหลกเกณฑ IT Outsourcing

การรายงานตอธนาคารแหงประเทศไทย 14. ตามทธนาคารแหงประเทศไทยก าหนดใหตองม

การจดท ารายงานการใชบรการ IT Outsourcing ซงมเนอหาครอบคลมวนทเรมใชบรการและวนทสนสดสญญาหรอขอตกลงการใหบรการนน เนองจากสาขาของธนาคารพาณชยตางประเทศเปนผรบนโยบายการใชบรการ IT Outsourcing จากบรษทแมในตางประเทศ ซงสญญาทเกยวของกบการใชบรการ IT Outsourcing สวนใหญจะด าเนนการและจดท าโดยบรษทแม โดยไมไดก าหนดวนสนสดสญญาไว และสญญาบางฉบบอาจถกจดท าไวเปนเวลานาน สาขาของธนาคารพาณชยตางประเทศ ควรด าเนนการอยางไรหากไมสามารถจดหาขอมลวนทเรมใชบรการและวนทสนสดสญญาได

ตามหลกการบรหารความเสยงทด สถาบนการเงนควรเกบสญญาหรอขอตกลงการใหบรการทยงมผลบงคบใชอยไวเพอเปนเอกสารหลกฐานประกอบการด าเนนการตาง ๆ ทเกยวของ ซงในสญญาหรอขอตกลงการใหบรการโดยทวไปควรระบวนเรมตนและวนสนสดการใหบรการไว แตหากสญญาหรอขอตกลงการใหบรการมการก าหนดวนสนสดสญญาเปนเงอนไข เชน สนสดเมอไดรบการบอกเลกสญญา กใหสถาบนการเงนรายงานเงอนไขของการสนสดสญญานนในสวนของวนทสนสดสญญา ทงน หากสญญาหรอขอตกลงการใหบรการถกด าเนนการหรอจดท าโดยบรษทแม สาขาของธนาคารพาณชยตางประเทศควรขอขอมลดงกลาวจากบรษทแม

15. ในการรายงานการใชบรการ IT Outsourcing ตอธนาคารแหงประเทศไทยเปนประจ าทกปตามขอ 5.7.1 (1) นน สถาบนการเงนสามารถจดกลมการรายงานโดยแยกตามประเภทการใชบรการ และรวมระบบงานทใชบรการลกษณะเดยวกนไวในหมวดหมเดยวกน เพอการรายงาน ไดหรอไม

สถาบนการเงนสามารถพจารณาจดกลมหรอก าหนดรปแบบการรายงานตามความเหมาะสม แตตองครอบคลมการใชบรการ IT Outsourcing ในทกระบบงานและ มเนอหาอยางนอยตามทก าหนดไวในประกาศ

16. ในการก าหนดใหสถาบนการเงนตองจดท ารายงานปญหาหรอเหตการณผดปกตทเกดขนจากการใชบรการ IT Outsourcing ทมผลกระทบตอการให บรการของสถาบนการเงน ตามขอ 5.7.1 (2) นน ปญหาหรอเหตการณผดปกตดงกลาว หมายถง ปญหาหรอเหตการณผดปกตทเกดขนจากการใชบรการ Critical IT Outsourcing เทานน ใชหรอไม

สถาบนการเงนตองจดท าและรายงานปญหาหรอเหตการณผดปกตขนโดยเรว ซงไมควรเกน 24 ชวโมง ทงกรณการใชบรการ Critical IT Outsourcing และ Other IT Outsourcing หากปญหาหรอเหตการณผดปกตนน มผลกระทบตอการใหบรการการเงนพนฐานในวงกวาง เชน ธรกรรมการฝากเงน การถอนเงน และการโอนเงน ตวอยางปญหาหรอเหตการณผดปกตดงกลาว เชน ระบบไฟฟาภายในศนยคอมพวเตอร (data center)

มปญหาท าใหเครองประมวลผลส าคญหยดชะงก ระบบประมวลผลกลาง (core banking) มปญหา

- 5 -

ขอ ประเดนค าถาม แนวค าตอบ ท าใหไมสามารถประมวลผลรายการส าคญได

ระบบเครอขาย (network) มปญหา ท าใหไมสามารถเชอมโยงระบบตาง ๆ เชน ระบบชองทางสาขา หรอ ระบบ ATM เพอใหบรการแกประชาชนได

ทงน สถาบนการเงนสามารถก าหนดรปแบบรายงานไดตามความเหมาะสม โดยอยางนอยควรระบถงลกษณะของปญหาหรอเหตการณผดปกต และแนวทางการแกไขปญหาหรอเหตการณผดปกตดงกลาว

การตรวจสอบผใหบรการภายนอกของสถาบนการเงน 17. ในการก าหนดใหสถาบนการเงนตองจดใหม

การตรวจสอบผใหบรการภายนอกอยางสม าเสมอตามขอ 5.7.2 นน ความถในการตรวจสอบควรเปนเทาใด และการตรวจสอบผใหบรการภายนอกทกการใชบรการ IT Outsourcing อาจเปนภาระมากเกนไป สถาบนการเงนสามารถตรวจสอบ ผใหบรการภายนอกเฉพาะ Critical IT Outsourcing โดยใชแบบสอบถามหรอใหผตรวจสอบทเปนอสระตรวจสอบแทน ไดหรอไม

สถาบนการเงนสามารถก าหนดความถในการตรวจสอบผใหบรการภายนอกจากไดตามความเหมาะสม โดยพจารณาตามความส าคญของงาน IT ทใชบรการ เชน อาจก าหนดความถในการตรวจสอบ Critical IT Outsourcing มากกวา ความถในการตรวจสอบ Other IT Outsourcing ทงน ธปท. ไมไดจ ากดรปแบบและวธการในการตรวจสอบ แตตองท าใหสถาบนการเงนไดรบทราบขอมลทแสดงถงความสามารถของผใหบรการภายนอกในการปฏบตตามนโยบายและเงอนไขทก าหนดได โดยเฉพาะในดานการรกษาความปลอดภยและความลบของขอมล (security) ความถกตองเชอถอไดของระบบงานและขอมล (integrity) และความพรอมใชของงานเทคโนโลยสารสนเทศทใชบรการ (availability)

ประเดนอน ๆ 18. ประกาศการใชบรการ IT Outsourcing เกยวของ

กบแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT best practice) อยางไร

ประกาศฉบบนเปนการก าหนดหลกเกณฑใหสถาบนการเงนทมการใชบรการ IT Outsourcing ถอปฏบต ในขณะท IT best practice เปนแนวปฏบตทดส าหรบการควบคมความเสยงดาน Operational / IT risk management ซงสถาบนการเงนสามารถน า IT best practice มาประยกต ใชใหเหมาะสมกบขนาด ปรมาณธรกรรม ความซบซอนของงาน IT ทใชบรการ และความเสยงทเกยวเนองกบการใชบรการได

19. สถาบนการเงนสามารถก าหนดระดบความเสยงและหลกเกณฑการประเมนความเสยงในการใชบรการ IT Outsourcing ตามกรอบการบรหารความเสยงของสถาบนการเงนเองได ใชหรอไม

สถาบนการเงนสามารถพจารณาปฏบตตามหลกเกณฑการควบคมความเสยงตาง ๆ ใหสอดคลองกบขนาด ปรมาณธรกรรม ความซบซอนของงาน IT ทใชบรการ และความเสยงทเกยวเนองกบการใชบรการได

ฝายนโยบายการก ากบสถาบนการเงน โทร. 0-2283-6938, 0-2283-5839, 0-2283-6835