อกส. 35/2565
หลักการแก้ไขประกาศว่าด้วยการให้ความเห็นชอบผู้สอบบัญชีในตลาดทุน ในส่วนที่เกี่ยวข้องกับการกําหนดให้สํานักงานสอบบัญชีจัดให้มีการตรวจสอบด้านเทคโนโลยีสารสนเทศโดยผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ
การกําหนดให้สำนักงานสอบบัญชีในตลาดทุนต้องมี IT audit โดยผู้เชี่ยวชาญ
แบบสำรวจความคิดเห็น
1. สํานักงานสอบบัญชีต้องจัดให้มีการตรวจสอบระบบงานด้านเทคโนโลยีสารสนเทศ โดยผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ (“IT”) ซึ่งมีคุณสมบัติดังนี้
1.1 ผ่านการรับรองและมีวุฒิบัตรอย่างหนึ่งอย่างใด ดังต่อไปนี้ (1) Certified Information Systems Auditor (CISA) (2) Certified Information Security Manager (CISM) (3) Certified Information Systems Security Professional (CISSP) (4) ISO/IEC 27001 Lead Auditor (5) ใบรับรองอื่น ๆ (ซึ่งจะกําหนดเพิ่มเติมบนเว็บไซต์ของสํานักงานต่อไป) โดยอาจเป็นบุคลากรภายในหรือภายนอกสำนักงานสอบบัญชีก็ได้
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
1.2 มีความเป็นอิสระจากผู้ทําหน้าที่ด้าน IT ในระดับต่าง ๆ ได้แก่ (1) ระดับที่ 1 (first line of defense) : การปฏิบัติงาน เช่น ฝ่าย IT ที่ทําหน้าที่วางระบบสารสนเทศ (2) ระดับที่ 2 (second line of defense) : การบริหารความเสี่ยงและกํากับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับระบบ IT
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
2. สำนักงานสอบบัญชีต้องจัดให้มีการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และการตรวจสอบด้านเทคโนโลยีสารสนเทศตามแผนงาน ขอบเขต และความถี่ที่สำนักงาน ก.ล.ต. กําหนด
2.1 ข้อกำหนดเกี่ยวกับการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ (IT Governance)
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
2.2 ข้อกำหนดเกี่ยวกับการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security)
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
2.3 ข้อกำหนดเกี่ยวกับการตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit)
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
2.4 สำนักงาน ก.ล.ต. ควรกำหนดรูปแบบรายงานผลการตรวจสอบด้านเทคโนโลยีสารสนเทศ เพื่อให้สำนักงานสอบบัญชีจัดทำและนำส่งรายงานที่มีข้อมูลครบถ้วนตามที่กำหนดแก่สำนักงาน ก.ล.ต.
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
3. การปฏิบัติในช่วงการเริ่มบังคับใช้ประกาศฯ (transitional period) สํานักงานสอบบัญชีต้องจัดให้มีการตรวจสอบด้านเทคโนโลยีสารสนเทศอย่างน้อย 1 ครั้ง สําหรับรอบการสอบทานคุณภาพสํานักงานสอบบัญชี ปี 2566 - 2568 หลังจากนั้น ต้องจัดให้มีการตรวจสอบตามความถี่ ที่สำนักงาน ก.ล.ต. กําหนด โดยอย่างน้อยต้องมีการตรวจสอบระบบ IT ทุก 3 ปี
ข้อเสนอแนะ/ข้อสังเกตเพิ่มเติม
ติดต่อสอบถามข้อมูลเพิ่มเติม
นางสาวกรวลัย จันทรนิกร โทรศัพท์ 0-2033-9792 / นางสาววรพรรณ ศฤงคารศิริ โทรศัพท์ 0-2263-6302 / นางสาวพรนภัส ประเสริฐกุล โทรศัพท์ 0-2263-6086 หรือ e-mail: kornwalai@sec.or.th หรือ voraparn@sec.or.th หรือ pornapas@sec.or.th