อกส. 4/2567
ร่างประกาศว่าด้วยการให้ความเห็นชอบผู้สอบบัญชีในตลาดทุนและร่างประกาศแนวปฏิบัติในส่วนที่เกี่ยวข้องกับการกําหนดให้สํานักงานสอบบัญชีจัดให้มีการกำกับดูแลและการตรวจสอบด้านเทคโนโลยีสารสนเทศโดยผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ
การกําหนดให้สำนักงานสอบบัญชีในตลาดทุนจัดทำ IT audit โดยผู้เชี่ยวชาญ
แบบสำรวจความคิดเห็น
1. ร่างประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ที่ สช. /2567 เรื่อง การให้ความเห็นชอบผู้สอบบัญชีในตลาดทุน
1.1 สำนักงานสอบบัญชีที่มีผู้สอบบัญชีในตลาดทุนสังกัดอยู่ต้องมีการกำกับดูแลและการตรวจสอบด้านเทคโนโลยีสารสนเทศ และการประเมินระดับความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Assessment: “ITRA”) ตามแนวทางที่สำนักงาน ก.ล.ต. กำหนด โดยสำนักงานสอบบัญชีต้องจัดทำและส่งรายงานที่แสดงถึงการดำเนินการตามแนวทางดังกล่าวซึ่งผ่านการอนุมัติจากหัวหน้าสำนักงานสอบบัญชีต่อสำนักงาน ก.ล.ต. ภายในห้าเดือนนับแต่วันสิ้นสุดรอบการตรวจสอบของสำนักงานสอบบัญชีที่ต้องตรวจสอบด้านเทคโนโลยีสารสนเทศตาม ITRA หรือภายในระยะเวลาที่ได้รับการผ่อนผันจากสำนักงาน ก.ล.ต. โดยหากสำนักงานสอบบัญชีมีการเปลี่ยนแปลงรอบการตรวจสอบ ต้องแจ้งการเปลี่ยนแปลงดังกล่าวต่อสำนักงาน ก.ล.ต. ภายในสามสิบวันนับแต่มีการเปลี่ยนแปลง
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
1.2 การกำหนดบทเฉพาะกาลให้สำนักงานสอบบัญชีที่มีผู้สอบบัญชีในตลาดทุนสังกัดอยู่แล้วก่อนประกาศฉบับนี้มีผลใช้บังคับใช้ให้ส่งรายงานผลการตรวจสอบด้านเทคโนโลยีสารสนเทศ (Information Technology Audit) และรายงาน ITRA ต่อสำนักงาน ก.ล.ต. ครั้งแรกภายในวันที่ 31 พฤษภาคม พ.ศ. 2570
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
2. ร่างแนวปฏิบัติ เรื่อง แนวทางการกำกับดูแลและการตรวจสอบด้านเทคโนโลยีสารสนเทศ (Information Technology) สำหรับสำนักงานสอบบัญชี และการประเมินระดับความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Assessment: ITRA) ของสำนักงานสอบบัญชี
2.1 การกำหนดแนวทางการกำกับดูแลและการตรวจสอบด้านเทคโนโลยีสารสนเทศ (Information Technology) สำหรับสำนักงานสอบบัญชี (ภาคผนวก 1)
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
2.2 การประเมินระดับความเสี่ยงด้านเทคโนโลยีสารสนเทศของสำนักงานสอบบัญชี (IT Risk Assessment: “ITRA”) (ภาคผนวก 2)
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
2.3 สำนักงานสอบบัญชีในตลาดทุนต้องจัดให้มีการตรวจสอบด้านเทคโนโลยีสารสนเทศโดยผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ ซึ่งมีคุณสมบัติดังนี้ 2.3.1 หัวหน้าทีมผู้ตรวจสอบที่เป็นผู้รับผิดชอบต่อผลการตรวจสอบด้านเทคโนโลยีสารสนเทศ ("ผลการตรวจสอบด้าน IT”) ต้องผ่านการรับรองและมีวุฒิบัตรอย่างหนึ่งอย่างใดซึ่งยังไม่สิ้นผล ดังนี้ - Certified Information Systems Auditor (CISA) - Certified Information Security Manager (CISM) - Certified Information Systems Security Professional (CISSP) - ISO/IEC 27001 Lead Auditor - ใบรับรองอื่น ๆ (ซึ่งสำนักงาน ก.ล.ต. จะกำหนดเพิ่มเติมในอนาคต) โดยอาจเป็นบุคลากรภายในหรือภายนอกสำนักงานสอบบัญชีก็ได้ 2.3.2 มีความเป็นอิสระจากผู้ที่เกี่ยวข้องด้านเทคโนโลยีสารสนเทศในระดับต่าง ๆ ได้แก่ ระดับที่ 1 (first line of defense): การปฏิบัติงาน ได้แก่ หน่วยงานหรือบุคลากรที่ปฏิบัติงานด้าน IT และผู้ที่ใช้ระบบงาน IT และระดับที่ 2 (second line of defense): การบริหารความเสี่ยงที่เกี่ยวข้องกับระบบงาน IT ได้แก่ หน่วยงานหรือบุคลากรที่บริหารความเสี่ยงด้าน IT
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
2.4 สำนักงานสอบบัญชีต้องจัดให้มีการวิเคราะห์เชิงลึกถึงสาเหตุของข้อบกพร่อง (“root cause analysis”) และการจัดทำแผนการแก้ไข (“remediation plan”) หากพบข้อบกพร่องหรือข้อสังเกตจากรายงานผลการตรวจสอบด้านเทคโนโลยีสารสนเทศ รวมทั้ง นำส่งรายงานข้างต้นและผลการประเมิน ITRA ที่ประเมินใหม่ในปีนั้น ให้แก่สำนักงาน ก.ล.ต. ภายในห้าเดือนนับแต่วันสิ้นสุดรอบการตรวจสอบของสำนักงานสอบบัญชีที่ต้องตรวจสอบด้านเทคโนโลยีสารสนเทศตาม ITRA
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
3. ข้อเสนอแนะอื่น/ข้อสังเกตเพิ่มเติม สำหรับร่างประกาศว่าด้วยการให้ความเห็นชอบผู้สอบบัญชีในตลาดทุนและร่างประกาศแนวปฏิบัติในส่วนที่เกี่ยวข้องกับการกําหนดให้สํานักงานสอบบัญชีจัดให้มีการกำกับดูแลและการตรวจสอบด้านเทคโนโลยีสารสนเทศโดยผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ
ติดต่อสอบถามข้อมูลเพิ่มเติม
นางสาวกรวลัย จันทรนิกร โทรศัพท์ 0-2033-9792 / นางสาววรพรรณ ศฤงคารศิริ โทรศัพท์ 0-2263-6302 / นางสาวดลพร ภูมิชัยวิจิตร์ โทรศัพท์ 0-2263-6425 หรือ e-mail: kornwalai@sec.or.th หรือ voraparn@sec.or.th หรือ donlaporn@sec.or.th