ธนาคารแห่งประเทศไทย
22 ตุลาคม 2535
เรียน ผู้จัดการ
บริษัทเงินทุน บริษัทเงินทุนหลักทรัพย์ทุกบริษัท และบริษัทเครดิตฟองซิเอร์ ทุกบริษัท
ที่ธปท.งศ.(ว) 1805/2535 เรื่อง การกำหนดมาตรฐานขั้นต่ำในการควบคุมภายในและ
การรักษาความปลอดภัยเกี่ยวกับการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์
ในปัจจุบันสถาบันการเงิน ได้นำคอมพิวเตอร์มาใช้ในการประมวลผลข้อมูล หรือใช้เป็นเครื่องมือที่สำคัญในการให้บริการทางการเงินใหม่ ๆ ซึ่งอาจก่อให้เกิดความเสี่ยง และความเสียหายแก่การดำเนินธุรกิจของสถาบันการเงินได้ หากมิได้มีการตระเตรียมในการควบคุม และตรวจสอบไว้ล่วงหน้า อย่างมีประสิทธิภาพเพียงพอ อาทิเช่น รายการทางการเงินผิดพลาด การตัดสินใจผิดพลาดการทุจริต หรือธุรกิจหยุดชะงัก สถาบันการเงินจึงควรมีการบริหาร และการควบคุมงานด้านคอมพิวเตอร์อย่างมีระบบ และมีประสิทธิภาพ ให้เหมาะสมตามสภาพแวดล้อมที่ได้เปลี่ยนแปลงไปในการประมวลผลข้อมูลด้วยคอมพิวเตอร์
ธนาคารจึงกำหนดมาตรฐานขั้นต่ำ ในการควบคุมภายในและการรักษาความปลอดภัยเกี่ยวกับการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์ เพื่อให้สถาบันการเงินได้ใช้เป็นแนวปฏิบัติและสามารปรับใช้ให้เหมาะสมกับสภาพโครงสร้างธุรกิจและสิ่งแวดล้อม อันจะช่วยป้องกันหรือบรรเทาความเสียหายที่อาจเกิดจากการนำคอมพิวเตอร์มาใช้ในการประมวลผลข้อมูลให้มีความปลอดภัย และมั่นคงอย่างเพียงพอได้ตามสมควร
สถาบันการเงิน ที่มีแนวทางการควบคุมงานด้านคอมพิวเตอร์แล้ว มาตรฐานขั้นต่ำ ในการควบคุมภายในฯ ตามเอกสารแนบนี้ จะทำให้สถาบันการเงิน สามารถเปรียบเทียบแนวทางการปฏิบัติที่ถูกต้องและเหมาะสมได้
จึงเรียนมาเพื่อทราบและถือปฏิบัติต่อไป
ขอแสดงความนับถือ
วิจิตร สุพินิจ
ผู้ว่าการ
สิ่งที่ส่งมาด้วย มาตรฐานขั้นต่ำในการควบคุมภายในและการรักษาความปลอดภัยเกี่ยวกับการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์
ส่วนงานพิเศษ
ฝ่ายกำกับและตรวจสอบสถาบันการเงิน
โทร. 2823322 ต่อ 2825
มาตราฐานขั้นต่ำการควบคุมภายในและการรักษาความปลอดภัย
เกี่ยวกับการประมวลผลข้อมูลด้วยระบบควมพิวเตอร์
—————————————————
1. บทนำ
การนำระบบคอมพิวเตอร์มาใช้ในการประกอบธุรกิจ และการประมวลผลข้อมูลของสถาบันการเงินอาจก่อให้เกิดความเสียหายที่จะกระทบการดำเนินงานและความมั่นคงของสถาบันการเงินได้ อันเนื่องจากสาเหตุที่สำคัญ 4 ประการ คือ
1.1 การพัฒนางานคอมพิวเตอร์ หรือใช้งานได้ไม่ตรงกับความต้องการ
1.2 ระบบคอมพิวเตอร์เสียหายถูกทำลายโดยอุบัติเหตุหรือเจตนากระทำ
1.3 การทุจริตในระบบคอมพิวเตอร์ (Computer frauds)
1.4 ความผิดพลาดที่เกิดจากการกระทำของพนักงานปฎิบัติงานคอมพิวเตอร์
ดังนั้น การจัดให้มีระบบการควบคุมภายในและการรักษาความปลอดภัยที่เหมาะสมจะสามารถป้องกันหรือจำกัดความเสียหายให้อยู่ในขอบข่ายที่ยอมรับได้
2. การประมวลผลข้อมูลด้วยระบบควมพิวเตอร์ของสถาบันการเงิน
ประเภทระบบการประมวลผลข้อมูล ด้วยระบบคอมพิวเตอร์หลัก หมายถึง ระบบประมวผลข้อมูลของสถาบันการเงิน ซึ่งมีฝ่าย หรือแผนกคอมพิวเตอร์รับผิดชอบงานประมวลผลข้อมูลให้แก่ฝ่ายงานอื่น ๆ ในบริษัท ระบบประมวลผลข้อมูลหลักยังอาจแบงย่อยออกเป็น 3 ขนาด คือ
2.1 การประมวลผลข้อมูลด้วยระบบควมพิวเตอร์หลัก หมายถึง ระบบประมวลผลข้อมูลของสถาบันการเงิน ซึ่งมีฝ่ายหรือแผนกคอมพิวเตอร์รับผิดชอบงานประมวลผลข้อมูลให้แก่ฝ่ายงานอื่น ๆ ในบริษัท ระบบ ประมวลผลข้อมูลหลักยังอาจแบ่งย่อยออกเป็น 3 ขนาด คือ
2.1.1 ระบบประมวลผลข้อมูลขนาดเล็ก หมายถึง ระบบประมวลผลข้อมูลของสถาบันการเงิน ซึ่งปกติใช้คอมพิวเตอร์ขนาดเล็ก (Minicomputer system) ในการประมวลผล โดยมีบริษัทผู้ผผลิต หรือผู้ขายเครื่องคอมพิวเตอร์เป็นผู้พัฒนา หรือจัดหาโปรแกรมระบบงาน (Application programs) ให้ทั้งหมดรวมทั้งการฝึกอบรมพนักงานหรือที่เรียกว่า ระบบ turn Key
2.1.2 ระบบประมวลผลข้อมูลขนาดกลาง หมายถึง ระบบประมวลผลข้อมูลของสถาบันการเงิน ซึ่งปกติใช้คอมพิวเตอร์ขนาดเล็ก และขนาดกลางในการประมวลผลข้อมูล (Minicomputer และ Superminicomputer) ในการบริหารงานระบบประมวลผลข้อมูลอาจจะมีคณะกรรมการคอมพิวเตอร์ (EDP Steering Committee) ทำหน้าที่กำหนดนโยบาย แผนงานและควบคุมดูแลการดำเนินงานด้านคอมพิวเตอร์ของบริษัท
2.1.3 ระบบประมวลผลข้อมูลขนาดใหญ่ หมายถึง ระบบประมวลผลข้อมูลของสถาบันการเงิน ซึ่งปกติจะใช้คอมพิวเตอร์ขนาดใหญ่ (Mainframe หรือ Large Scale computer) ในการประมวลผลข้อมูล มีคณะกรรมการคอมพิวเตอร์ทำหน้าที่บริหารงานระบบประมวลผลของบริษัท กำหนดนโยบาย เป้าหมายแผนงาน และควบคุมดูแลการดำเนินงานด้านคอมพิวเตอร์ของบริษัทให้เป็นไปตามมาตรฐานสากล รวมทั้งมีการแบ่งแยกหน้าที่งานประมวลผลข้อมูลและมีเจ้าหน้าที่ที่มีความรู้ทางเทคนิคและความชำนาญเฉพาะด้าน
2.2 การประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์ เป็นระบบการประมวลผลข้อมูลด้วยคอมพิวเตอร์ที่มีขนาดเล็กที่สุด สำหรับใช้ประจำส่วนงานและหน่วยงานต่าง ๆ ในบริษัท (End user) ปกติจะใช้กับงานโปรแกรมสำเร็จ เช่น LOTUS 1-2-3, DBASE III, และ WORD PROCESSING เป็นต้น
3. มาตรฐานการควบคุมภายในและการรักษาความปลอดภัยเกี่ยวกับการประมวลผลข้อมูลด้วยคอมพิวเตอร์
ธนาคารแห่งประเทศไทยกำหนดแนวทางให้สถาบันการเงินที่ใช้ระบบคอมพิวเตอร์ฯ ในการให้บริการทางธุรกิจและการประมวลผลข้อมูล ต้องจัดให้มีการควบคุมภายในและการรักษาความปลอดภัยให้เหมาะสม เพื่อป้องกันหรือลดความเสี่ยงต่อความเสียหายที่อาจเกิดขึ้นได้ โดยมีรายละเอียดดังนี้
3.1 การควบคุมการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์หลัก
3.1.1 การบริหารงานทั่วไป
(1) การจัดองค์การ ให้สถาบันการเงินจัดให้มีฝ่ายงานที่รับผิดชอบระบบการประมวลผลข้อมูลด้วยพิวเตอร์เป็นเอกเทศจากฝ่ายอื่น ๆ และมีการแบ่งแยกหน้าที่ความรับผิดชอบภายในฝ่ายงานอย่างชัดเจน
(2) การวางแผน ให้สถาบันการเงินกำหนดนโยบาย และจัดทำแผนงานเกี่ยวกับการจัดหาเครื่องคอมพิวเตอร์ โปรแกรมระบบเครื่อง โปรแกรมระบบงาน และบุคลากรที่จะรองรับความต้องการภายในองค์กรและการบริหารลูกค้าในระยะสั้นและระยะยาว ตลอดจนควบคุมดูแลให้มีการปฎิบัติงานเป็นไปตามแผนงานที่วางไว้
(3) ระเบียบปฎิบัติงาน ให้สถาบันการเงินกำหนดะเบียบปฎิบัติงาน สำหรับหน่วยงานในฝ่ายประมวลผลข้อมูลฯ เพื่อเป็นแนวปฎิบัติและใช้ฝึกอบรมพนักงานใหม่
(4) การรายงานผลการปฎฺิบัติงาน ให้สถาบันการเงินจัดทำรายงานผลการปฎิบัติงานเป็นระยะตามความเหมาะสม โดยมีเนื้อหาครอบคลุมถึงการปฎิบัติงานประมวลผล การพัฒนาระบบงานการพนักงานและเรื่องทั่ว ๆ ไป
3.1.2 การพัฒนาระบบงานและโปรแกรม
สถาบันการเงินอาจกระทำการพัฒนาระบบงานด้วยตนเอง หรือว่าจ้างให้บุคคลภายนอกเป็นผู้พัฒนาหรือจัดหาโปรแกรมระบบงานสำเร็จให้
(1) ในการพัฒนาระบบงานด้วยตนเอง ให้สถาบันการเงินกำหนดมาตรฐาน และวิธีการปฎิบัติงาน โดยมีสาระสำคัญดังนี้
(1.1) การศึกษาเบื้องต้นเกี่ยวกับความเป็นไปได้ทางเทคนิคและความคุ้มค่าของระบบงาน เพื่อพิจารณาความเหมาะสม ที่จะดำเนินการพัฒนาในขั้นรายละเอียดต่อไป หรือไม่ (Feasibility study)
(1.2) การวิเคราะห์ และกำหนดลักษณะระบบงานที่ผู้ใช้งานต้องการ เพื่อจัดทำรายละเอียด ระบบงาน และโปรแกรมต่อไป (System requirements)
(1.3) การกำหนดรายละเอียดของระบบงาน เพื่อจัดทำโปรแกรมคำสั่งงาน ทดสอบและนำระบบงานออกใช้ (System design)
(1.4) การจัดทำโปรแกรมระบบงาน (programming) ในแต่ละโปรแกรมระบบงานควรมีคำสั่งงานที่เกี่ยวกับการเช็คสอบความครบถ้วนของจำนวนข้อมูล (Control totals techniquse) การเช็คสอบความถูกต้องของข้อมูล (Data input editing) และการเช็คสอบความถูกต้องของแฟ้มข้อมูลที่ใช้ในการประมวลผล (File label checking)
(1.5) การทดสอบโปรแกรมระบบงาน (System testing) เพื่อพิสูจน์ว่าการออกแบบ และจัดทำโปรแกรมระบบงานถูกต้องตรงตามความต้องการของผู้ใช้ ก่อนที่จะนำไปติดตั้งใช้งานต่อไป
(1.6) การนำระบบออกใช้งาน (System implementation) ให้มีการสอบทาน เพื่อให้มั่นใจว่าอยู่ในสภาพพร้อมใช้งาน
(1.7) การประเมินผลการปฎิบัติงาน (System evaluation) ให้มีการประเมินผลการปฎิบัติงานระบบใหม่ รวมทั้งค่าใช้จ่ายที่เกิดขึ้นจริงกับที่ประมาณการและปัญหาในการปฎิบัติงาน ภายหลังได้มีปฎิบัติงานไปแล้วระยะหนึ่ง
(1.8) การปรับปรุงแก้ไขโปรแกรมระบบงาน (System maintenance) ทุกครั้งที่จะปรับปรุงแก้ไขโปรแกรมระบบงาน ให้มีการควบคุมขั้นตอนการปฎิบัติงานอย่างเข้มงวดเช่นเดียวกับการพัฒนาระบบงานใหม่ เพื่อป้องกันความผิดพลาดและการกระทำการทุจริต
(2) การว่าจ้างให้บุคคลภายนอกเป็นผู้พัฒนาหรือจัดซื้อโปรแกรมระบบงานสำเร็จ ให้สถาบันการเงินกำหนดมาตรฐานในการจัดหาโปรแกรมระบบงาน ดังนี้
(2.1) กำหนดคุณสมบัติและลักษณะความต้องการเกี่ยวกับข้อมูลนำเข้า การรายงานรวมทั้งการควบคุมความถูกต้องและความปลอดภัยของข้อมูลและโปรแกรมระบบงาน
(2.2) วิเคราะห์ผลประโยชน์กับค่าใช้จ่ายระหว่างการว่าจ้าง หรือจัดซื้อโปรแกรมระบบงานภายนอก
(2.3) วิเคราะห์ฐานะการเงิน ชื่อเสียง และความพร้อมทางเทคนิคของผู้ผลิตหรือผู้ขาย ที่จะให้การสนับสนุนภายหลังการขายหรือเมื่อมีปัญหา
(2.4)วิเคราะห์ความเพียงพอ และความสมบูรณ์ ของเอกสารประกอบการใช้โปรแกรมระบบงาน
(2.5) วิเคราะห์แผนการฝึกอบรมของผู้ผลิตหรือผู้ขาย
3.1.3 เอกสารสนับสนุนการปฎิบัติงานระบบประมวลผลข้อมูล
ให้สถาบันการเงินจัดให้มีเอกสารสนับสนุนการปฎิบัติงานด้านคอมพิวเตอร์ และควบคุมดูแลให้มีการจัดเอกสารตามมาตรฐานที่กำหนด โดยมีรายละเอียดดังนี้
(1) เอกสารสนับสนุนการปฎิบัติงาน
(1.1) มาตรฐานและระเบียบปฎิบัติงานประมวลผลข้อมูล เป็นแนวปฎิบัติทั่ว ๆ ไปเกี่ยวกับการออกแบบระบบงาน การจัดทำโปรแกรมระบบงาน การใช้เครื่องคอมพิวเตอร์ และอุปกรณ์ประกอบ การเตรียมข้อมูลและป้อนข้อมูลเข้าเครื่อง การประมวลผลข้อมูล การรวบรวมและตรวจสอบความถูกต้องของรายงานผลลัพธ์จากการประมวลผล
(1.2) เอกสารสนับสนุนระบบงาน เพื่อเป็นคู่มือใช้ประกอบการทำงาน เพื่อให้การประมวลผลข้อมูลเป็นไปด้วยความถูกต้องและลดปัญหาในการปฎิบัติงาน เอกสารที่ควรประกอบอยู่ในคู่มือระบบงาน ได้แก่
ก. รายละเอียดเกี่ยวกับระบบงาน (System documentation) ซึ่งประกอบด้วย คำอธิบายลักษณะงาน (System narrative) ผังระบบงาน (System flowchart) ผังข้อมูล (Record layout) ลักษณะแฟ้มข้อมูล (File description) ลักษณะรายงาน (Print layout) การควบคุมในระบบ (Control function) รหัสประเภทรายงาน บัญชี และอื่น ๆ
ข. รายละเอียดเกี่ยวกับโปรแกรมระบบงาน (Program documentation) ซึ่งประกอบด้วย คำอธิบายลักษณะของโปรแกรม (Program description) ผังขั้นตอนการทำงานของโปรแกรม (Program flowchart) สำเนาโปรแกรมชุดปัจจุบัน (Program listing) และการควบคุมในโปรแกรม (Programmed controls)
ค. รายละเอียดวิธีการปฎิบัติสำหรับพนักงานเครื่องคอมพิวเตอร์ (Operation documentation) ซึ่งอธิบายวัตถุประสงค์ของโปรแกรมระบบงาน แฟ้มข้อมูลที่ใช้ในการประมวลผล รูปแบบของข้อมูลนำเข้าและผลลัพธ์ (Input form & output formats) ชุดคำสั่งงานประมวลผล (Job comand language) วิธีปฎิบัติเมื่อโปรแกรมทำงานผิดพลาดและเครื่องหยุดทำงาน โดยกระทันหัน (Program error & halts) รวมทั้งวิธีปฎิบัติงานเมื่อเกิดกรณีฉุกเฉิน
ง. รายละเอียดวิธีการปฎิบัติงานสำหรับผู้ใช้ข้อมูล (User documentation) ซึ่งควรอธิบายถึงลักษณะของข้อมูลที่ต้องนำเข้าเครื่อง (Input) ลักษณะและจำนวนรายงานที่ได้จากการประมวลผล (Output) วิธีปฎิบัติในการควบคุมและการตรวจสอบความถูกต้องของข้อมูลนำเข้าและรายงานและวิธีปฎิบัติเมื่อพบข้อผิดพลาด
(2) การควบคุมดูแลเอกสารสนับสนุนการปฎิบัติงาน
จัดให้มีสถานที่เก็บ โดยเฉพาะโดยอาจรวมไว้ในที่เดียวกับแฟ้มข้อมูลและโปรแกรม และมีระบบการควบคุมแลการนำออกใช้งานหรือการปรับปรุงเอกสารให้ถูกต้องทันสมัยอยู่เสมอ รวมทั้งจัดทำสำเนาไว้อย่างน้อย 1 ชุด และเก็บรักษาไว้ในที่ปลอดภัยแยกจากสถานที่ทำการ เพื่อว่าเมื่อเกิดกรณีฉุกเฉินจะสามารถนำมาใช้ในการปฎิบัติงานทดแทนได้
3.1.4 การปฎิบัติการประมวลผล
ให้สถาบันการเงินกำหนดระเบียบปฎิบัติทั่วไปเกี่ยวกับการใช้เครื่อง ดังนี้
(1) การรักษาความสะอาดเรียบร้อยภายในสถานที่ทำงาน เพื่อป้องกันฝุ่นละอองและการเกิดเพลิงไหม้
(2) การบำรุงรักษาเครื่องคอมพิวเตอร์ เพื่อป้องกันมิให้เครื่องคอมพิวเตอร์เสื่อมสภาพเร็วกว่าเวลาอันสมควร
(3) การแบ่งแยกและสับเปลี่ยนหน้าที่ เพื่อป้องกันการทุจริตและลดความผิดพลาดและยังเป็นการสร้างระบบการสอบยันความถูกต้องในการปฎิบัติงาน โดยมิให้พนักงานผู้หนึ่งผู้ใดปฎิบัติงานหลายอย่าง สำหรับในหน่วยงานประมวลผลข้อมูลขนาดเล็กไม่สามารถแบ่งแยกหน้าที่ได้อย่างสมบูรณ์ และจำเป็นต้องมอบหมายให้พนักงานปฎิบัติมากกว่า 1 อย่าง ครบกำหนดให้มีการหมุนเวียนสับเปลี่ยนหน้าที่ และติดตามดูแลการปฎิบัติงานอย่างใกล้ชิด
(4) การควบคุมการใช้เครื่องคอมพิวเตอร์ประมวลผล กำหนดให้พนักงานถือปฎิบัติตามคู่มือของบริษัทผู้ผลิต คู่มือระบบงาน และตารางปฎิบัติงานโดยเคร่งครัด
(5) การจัดทำตารางปฎิบัติงานประมวลผล จัดทำตารางกำหนดการใช้เครื่องประมวลผลข้อมูล ประจำวัน ประจำสัปดาห์ และประจำเดือน เพื่อช่วยควบคุมให้การใช้เครื่องเป็นไปด้วยความมีประสิทธิภาพและงานเสร็จทันเวลาที่กำหนด
(6) การควบคุมการปฎิบัติงานของพนักงานประมวลผลข้อมูล เพื่อกำหนดของเขตการปฎิบัติงานของพนักงานประมวลผลมิให้ปฎิบัติงาน ที่อาจเกิดความเสียหายต่อเครื่องคอมพิวเตอร์โปรแกรมและข้อมูล
(7) การควบคุมการใช้แฟ้มข้อมูล โปรแกรม และคู่มือปฎิบัติงาน เพื่อป้องกันการใช้ โดยไม่ได้รับอนุญาต หรือเกิดการสูญหาย จึงควรมีการควบคุมการจัดเก็บ ดังนี้
(7.1) แฟ้มข้อมูลและโปรแกรมที่บรรจุอยู่ในม้วนเทปหรือจานแม่เหล็กและเอกสารคู่มือปฎิบัติงาน ควรแยกเก็บไว้ในสถานที่ ซึ่งปลอดภัยและมีการควบคุมการนำออกไปใช้
(7.2) แฟ้มข้อมูลและโปรแกรมที่เก็บอยู่ในเครื่องคอมพิวเตอร์ควรใช้โปรแกรมพิเศษควบคุมการใช้งาน
3.1.5 การประมวลในระบบสื่อสาร
ในสถาบันการเงินที่มีการนำระบบสื่อสารมาใช้งานประมวลผลข้อมูล จัดให้มีการควบคุมดังนี้
(1) การควบคุมความปลอดภัยเครื่องเทอร์มินัล (Terminal security) ให้ทำทั้งที่ตัวเครื่องฯ และการใช้โปรแกรมควบคุมการใช้เสียง เพื่อป้องกันมิให้ผู้ที่ไม่มีสิทธิ์และบุคคลภายนอกเข้าไปใช้ได้ และจำกัดสิทธิของผู้ใช้เครื่องฯ ให้อยู่ภายในขอบเขตที่ได้รับมอบหมาย
(2) การควบคุมการรับส่งข้อมูล (Transmission controls) การป้องกันมิให้ข้อมูลผิดพลาดหรือคลาดเคลื่อนจากการสื่อสารข้อมูล ดังนี้
(2.1) การควบคุมเอกสารที่เกี่ยวกับระบบสื่อสารและผังแสดงที่ตั้งเครื่องมือสื่อสารและสายสื่อสาร มิให้ผู้ที่ไม่มีหน้าที่เกี่ยวข้องนำไปใช้งานได้ และไม่ควรให้สายโทรศัพท์ที่ใช้งานระบบออนไลน์ปรากฎแก่สายตาบุคคลทั่วไปหรือมีเครื่องหมายพิเศษ
(2.2) แปลงรหัสประจำตัวผู้มีสิทธิเข้าถึงข้อมูล และตัวข้อมูลสำคัญในระบบให้อยู่ในรูปแบบ ซึ่งหากมีการรั่วไหลแล้วบุคคลภายนอกไม่สามารถนำไปใช้ประโยชน์ได้
(2.3) มีการพิสูจน์ความถูกต้องของแหล่งที่มาของข้อมูลนำเข้า เพื่อให้มั่นใจได้ว่าข้อมูลที่ได้รับนั้นถูกต้อง เช่น เติมรหัสต่อท้ายข้อมูล เป็นต้น
(2.4) มีการให้ลำดับเลขมายกำกับข้อมูล วันที่และเวลาที่ได้รับข้อมูลแต่ละรายการจากเทอร์มินัลแต่ละเครื่อง เพื่อให้สามารถตรวจสอบการสูญหาย หรือการซ้ำซ้อนของข้อมูลใน ระบบสื่อสารได้
(2.5) กำหนดให้ระบบคอมพิวเตอร์สามารถหยุดการติดต่อกับเทอร์มินัลได้ โดยอัตโดนมัติ ในกรณีที่ขาดการติดต่อกับระบบคอมพิวเตอร์เป็นระยะเวลานาน เพื่อป้องกันมิให้บุคคลภายนอกหรือผู้ที่ไม่มีส่วนเกี่ยวข้องสวมรอยเข้าใช้งาน
(2.6) มีการควบคุมการใช้เครื่องเทอร์มินัลให้อยู่ภายในกำหนดเวลา
(3) การเตรียมการเมื่อระบบสื่อสารขัดข้อง
ในกรณีที่ใช้ระบบสื่อสารข้อมูลทางโทรศัพท์ สถาบันการเงินควรพิจารณากำหนดอุปกรณ์สื่อสารและคู่สายโทรศัพท์รองไว้ใช้งานในกรณีฉุกเฉิน วิธีปฎิบัติในการใช้ระบบสื่อสารชุดสำรอง และมีการทดสอบเป็นครั้งคราว เพื่อให้แน่ใจว่าสามารถปฎิบัติได้เมื่อเกิดกรณีฉุกเฉิน
(3.1.6) การควบคุมความถูกต้องและน่าเชื่อถือของข้อมูล
ให้สถาบันการเงินจัดให้มีการควบคุม เพื่อให้ข้อมูลถูกต้องและน่าเชื่อถือได้ ดังนี้
(1) การควบคุมการนำข้อมูลเข้าเครื่อง (Data entry controls)
(1.1) มีการสะสมยอดรวมจำนวนข้อมูลทั้งหมดก่อนหน้าและหลังจากการป้อนรายการเข้าเครื่องเทอร์มินัล และเมื่อข้อมูลเข้าไปในคอมพิวเตอร์แล้ว (Batch Ttotal) เพื่อใช้ในการสอบทานความครบถ้วนของข้อมูล
(1.2) มีการตรวจเช็กความถูกต้องของข้อมูลแต่ละรายการในขณะที่ทำการป้อนข้อมูล เพื่อป้องกันมิให้ข้อมูลที่ผิดพลาดหรือแปลกปลอมเข้าไปในคอมพิวเตอร์ ซึ่งยากต่อการค้นหาและแก้ไขในภายหลัง
(1.3) มีรายงานคอมพิวเตอร์แสดงรายละเอียดข้อมูลทุกรายการที่เข้าไปในเครื่องคอมพิวเตอร์ เพื่อให้เช็คสอบความถูกต้องกับเอกสารหลักฐานเบื้องต้นที่ใช้ในการบันทึกรายการเช่นเดียวกับการบันทึกรายการในสมุดรายวันทั่วไป
(2) การควบคุมการออกข้อมูลผลลัพธ์และรายงาน (Output controls)
(2.1) มีการสอบทานความเรียบร้อยและความถูกต้องของข้อมูลผลลัพธ์ และรายงาน โดยตรวจสอบและกระทบกับยอดรวมของข้อมูลที่นำเข้าเครื่องเทอร์มินัล ยอดรวมข้อมูลที่นำเข้าคอมพิวเตอร์ ยอดรวมในบัญชีแยกประเภททั่วไป และยอดคงเหลือในงบทดลอง
(2.2) มีการควบคุมการจัดส่งข้อมูลผลลัพธ์และรายงานให้ถึงมือผู้ใช้อย่างถูกต้อง และครบถ้วน โดยจัดทำทะเบียนบันทึกรายงานที่ได้รับการประมวลผลรายวัน รายสัปดาห์และรายเดือน ผู้รับหรือผู้ใช้รายงาน ลายมือชื่อและวันที่ที่รับรายงาน เพื่อป้องกันมิให้เกิดการสูญหาย หรือถูกนำไปใช้ในทางทุจริต
(3) การควบคุมอุปกรณ์ที่ใช้บันทึกข้อมูล (Data file media controls) การป้องกันมิให้เกิดความเสียหายกับอุปกรณ์ที่ใช้บันทึกข้อมูลคอมพิวเตอร์ ประเภทจานแม่เหล็กและเทปแม่เหล็กกระทำได้ดังนี้
(3.1) เก็บรักษาไว้ในสถานที่ปลอดภัย มีการควบคุมอุณหภูมิ ความชื้น ฝุ่นละออง การป้องกันเพลิงไหม้ อุปกรณ์ดับเพลิง และจัดให้มีเจ้าหน้าที่เฉพาะควบคุมดูแลการนำออกไปใช้งานและมีการตรวจนับจำนวนคงเหลือเป็นครั้งคราว
(3.2) จัดทำป้ายชื่อติดกำกับภายนอกอุปกรณ์บันทึกข้อมูล รวมทั้งบันทึกข้อมูลเกี่ยวกับชื่อแฟ้มข้อมูล วันที่ และจำนวนรายการข้อมูลทั้งหมดที่บรรจุอยู่ในแฟ้มข้อมูลไว้ที่บริเวณหัวและท้ายแฟ้มข้อมูลนั้นด้วย
(3.3) มีอุปกรณ์บันทึกข้อมูลชุดสำเนา (Back-up file) แยกเก็บไว้ในที่ปลอดภัยห่างจากอาคารที่ทำการประมวลผลข้อมูล
3.1.7 การรักษาความปลอดภัย
ให้สถาบันการเงินจัดมาตรการรักษาความปลอดภัย เพื่อมิให้การประมวลผลข้อมูลหยุดชะงักและเพื่อคุ้มครองป้องกันความเสียหายที่อาจเกิดกับเครื่องคอมพิวเตอร์ โปรแกรมและข้อมูลจากเหตุการณ์ที่เกิดขึ้น โดยไม่สามารถคาดการณ์ล่วงหน้าได้ หรือโดยการกระทำอย่างจงใจของบุคคลภายในหรือภายนอกบริษัท ดังนี้
(1) แผนรักษาความปลอดภัย ซึ่งประกอบด้วย การป้องกันความเสียหายที่จะมีต่อเครื่องคอมพิวเตอร์ โปรแกรม ข้อมูล และพนักงานปฎิบัติการคอมพิวเตอร์ รวมทั้งการปฎิบัติงานขณะที่เกิดความเสียหาย และการปฎิบัติการ เพื่อย้ายการประมวลผลข้อมูลไป ณ ที่แห่งใหม่ที่ได้จัดเตรียมไว้
(2) การป้องกันความเสียหายจากภัยพิบัติและสาเหตุอื่นๆ ภัยที่จะก่อให้เกิดความเสียหายต่อการประมวลผลข้อมูลด้วยคอมพิวเตอร์โดยทั่วไป ได้แก่ อุทกภัย อัคคีภัย การก่อวินาศกรรม กระแสไฟฟ้าดับหรือแรงดันตก การโจรกรรมเครื่องคอมพิวเตอร์ขัดข้องใช้การไม่ได้เป็นเวลานานสถาบันการเงินจึงควรกำหนด มาตรการป้องกันความเสียหายจากสาเหตุที่กล่าว
(3) การจัดเตรียมระบบประมวลผลสำรอง จัดเตรียมระบบประมวลผลสำรองไว้ปฎิบัติในยามฉุกเฉิน ทั้งนี้ระบบประมวลผลสำรวจของสถาบันการเงินที่ประมวลผลข้อมูลด้วยคอมพิวเตอร์ขนาดเล็กอาจะเป็นระบบที่ปฎิบัติงาน โดยบุคคล (Manual system)หรือระบบคอมพิวเตอร์ (Computer system) ก็ได้
(3.1)ระบบประมวลผลด้วยคอมพิวเตอร์สำรอง ควรประกอบด้วยเครื่องคอมพิวเตอร์โปรแกรม และแฟ้มข้อมูลที่เตรียมไว้อีกอย่างน้อย 1 ชุด สำหรับปฎิบัติในกรณีฉุกเฉิน ทั้งนี้ในการจัดหาเครื่องคอมพิวเตอร์สำรอง สถาบันการเงินอาจทำข้อตกลงกับสถาบันการเงิน อื่นที่มีเครื่องคอมพิวเตอร์ ซึ่งสามารถใช้ร่วมกันได้หรือกับบริษัทผู้ผลิตหรือผู้ขาย
(3.2) โปรแกรมและเอกสารสนับสนุนการปฎิบัติงานประมวลผล มีชุดสำรองเก็บไว้อย่างปลอดภัยนอกสถานที่ทำการ เพื่อป้องกันมิให้เสียหายไปพร้อมกับชุดใช้งานประจำ
(3.3) แฟ้มข้อมูลชุดสำรอง มีให้เพียงพอสำหรับการสร้างข้อมูลให้เป็นปัจจุบัน และควรเก็บรักษาไว้นอกสถานที่ทำการเช่นเดียวกับโปรแกรมและเอกสารสนับสนุนการปฎิบัติงาน
(4) การประกันภัย จัดให้มีการประกันภัย เพื่อคุ้มครองเสียหายที่อาจเกิดขึ้น โดยเฉพาะความเสียหายที่มีมูลค่าจำนวนเงินสูง เช่น เครื่องคอมพิวเตอร์ และ อุปกรณ์ที่จำเป็นในการประมวลผลข้อมูลและค่าใช้จ่ายพิเศษที่เกิดจากการประมวลผลข้อมูลด้วยคอมพิวเตอร์สำรอง เป็นต้น
3.1.8 การตรวจสอบงานคอมพิวเตอร์
ให้สถาบันการเงินจัดให้มีการตรวจสอบการปฎิบัติงานด้านคอมพิวเตอร์ของบริษัทเพื่อให้มั่นใจว่าการปฎิบัติงานประมวลผลข้อมูลเป็นไปตามนโยบาย มาตรฐานและระเบียบปฎิบัติงานที่บริษัทกำหนด รวมทั้งเครื่องคอมพิวเตอร์ โปรแกรม และแฟ้มข้อมูลได้รับการปฎิบัติอย่างถูกต้องและปลอดภัยข้อมูลผลลัพธ์ และรายงานที่ได้จากการประมวลผลมีความถูกต้อง เชื่อถือได้
(1) มอบหมายให้ผู้ตรวจสอบภายในหรือว่าจ้างให้ผู้สอบบัญชีภายนอกหรือร่วมกันตรวจสอบการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์ของบริษัท และให้รายงานผลการตรวจสอบ โดยตรงต่อคณะกรรมการบริษัท เพื่อให้มีความเป็นอิสระในการปฎิบัติงาน
(2) กำหนดบทบาท มาตรฐาน และ วิธีปฎิบัติงานตรวจสอบด้านคอมพิวเตอร์ โดยละเอียดไว้ในคู่มือการตรวจสอบ เพื่อให้ตรวจสอบภายในถือปฎิบัติ และเพื่อใช้ประโยชน์ในการฝึกอบรมพนักงานใหม่
(3) การตรวจสอบด้านคอมพิวเตอร์ ให้มีขอบเขตการตรวจสอบที่ครอบคลุมถึงการพัฒนาระบบงานและโปรแกรม (System development & programming) การปฎิบัติงานประมวลผลข้อมูล (Computer operations) การรักษาความปลอดภัย การนำข้อมูลเข้า (Data entry)และการสอบทานความถูกต้องของข้อมูลผลลัพธ์และรายงานที่ได้จากการประมวลผล (Data output & report)
(4) การปฎิบัติงานตรวจสอบในแต่ละเรื่องให้มีขั้นตอนการตรวจสอบอย่างน้อย 3 ขั้นตอน คือ
(4.1) การสอบทานและวิเคราะห์ความเพียงพอเบื้องต้นของการควบคุมภายใน
(4.2) การทดสอบการปฎิบัติงาน เพื่อประเมินประสิทธิภาพของการควบคุม
(4.3)การทดสอบความถูกต้องของข้อมูลในกรณีที่เห็นว่าการควบคุมภายในที่ถือปฎิบัติไม่เพียงพอหรือไม่มีประสิทธิภาพ
ในการทดสอบการควบคุม และทดสอบความถูกต้องของข้อมูล ผู้ตรวจสอบอาจใช้คอมพิวเตอร์ช่วยในการตรวจสอบก็ได้ ซึ่งจะทำให้สามารถขยายขอบเขตการทดสอบ และสามารถตรวจสอบการทำงานของโปรแกรมระบบงานและข้อมูลในเครื่องได้ โดยตรง แทนที่จะถูกจำกัดให้ตรวจสอบได้เพียงข้อมูลนำเข้าและข้อมูลผลลัพธ์
(5) การจัดทำรายงานผลการตรวจสอบ รายงานสรุปผลการตรวจสอบประกอบด้วยหัวข้อ ดังนี้
(5.1) เรื่องที่ตรวจสอบ
(5.2) วันที่เริ่มตรวจสอบและวันที่ตรวจสอบเสร็จ
(5.3) รายชื่อผู้ตรวจสอบ
(5.4) ขอบเขตและวัตถุประสงค์ในการตรวจสอบ
(5.5) ข้อสังเกตและข้อเสนอแนะ
(5.6) รายละเอียดเอกสารประกอบผลการตรวจสอบ
(6) การจัดทำกระดาษทำการกำหนดมาตรฐาน ของการจัดทำกระดาษทำการประกอบด้วย
(6.1) แผนการตรวจสอบ
(6.2) ขอบเขตและวัตถุประสงค์ของการตรวจสอบ
(6.3) การบรรยายสรุปวิธีการปฎิบัติงานและการควบคุมภายใน
(6.4) แบบสอบถาม และวิธีการอื่น ๆ ที่ใช้ในการตรวจสอบ
(6.5) บันทึกสรุปข้อสังเกตและปัญหาที่พบระหว่างการตรวจสอบ
(6.6) หัวข้อการประชุมหรือการหารือร่วมกับส่วนงานที่ถูกตรวจสอบ
(7) การติดตามผลการตรวจสอบ กำหนดให้ส่วนงานที่ถูกตรวจสอบตอบชี้แจงการปรับปรุงแก้ไขตามข้อแนะนำของผู้ตรวจสอบ และให้ฝ่ายตรวจสอบติดตามผลการดำเนินงานแก้ไข ดังกล่าว เสนอคณะกรรมการบริษัทต่อไป
3.2 การควบคุมการประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์
ให้สถาบันการเงินกำหนดให้มีการควบคุมการประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์ ดังนี้
3.2.1 การรักษาความปลอดภัยเครื่องไมโครคอมพิวเตอร์
ให้สถาบันการเงินติดตั้งไมโครคอมพิวเตอร์ไว้ในสถานที่ที่สามารถควบคุมการเข้าออก เพื่อป้องกันการโจรกรรมตัวเครื่อง และมิให้บุคคลภายนอกหรือผู้ที่ไม่มีส่วนเกี่ยวข้องเข้าไปใช้เครื่อง และมอบหมายให้หน่วยงานเจ้าของเครื่องเป็นผู้รับผิดชอบการใช้งานและดูแลรักษาเครื่อง
3.2.2 การควบคุมความปลอดภัยของแฟ้มข้อมูลและโปรแกรม
ให้สถาบันการเงินควบคุมแฟ้มข้อมูลและโปรแกรม เพื่อป้องกันมิให้เกิดความสูญหาย เนื่องจากการสูญหาย ถูกทำลาย ถูกแก้ไขหรือถูกถ่ายสำเนา โดยไม่ได้รับอนุญาต ดังนี้
(1) แฟ้มข้อมูลและโปรแกรมที่บรรจุอยู่ในจานแม่เหล็ก (Floppy diskette) ขณะที่ยังไม่ได้ใช้งานควรเก็บไว้ในสถานที่ที่ปลอดภัย สามารถควบคุมและป้องกันมิให้ผู้ที่ไม่มีสิทธินำออกไปใช้งานได้และปิดสลากภายนอกแฟ้มข้อมูลและโปรแกรมทุกแผ่น เพื่อป้องกันการนำไปใช้ผิดพลาด
(2) แฟ้มข้อมูลและโปรแกรมที่อยู่ในเครื่อง (Hard disks) ขณะที่ยังไม่ได้ใช้งาน ให้ปิดเครื่องและล็อคกุญแจประจำเครื่อง เพื่อป้องกันมิให้ผู้ไม่มีสิทธิ์ไปใช้เครื่องและข้อมูลในเครื่อง กรณีเป็นไมโครคอมพิวเตอร์ที่ใช้ร่วมกันหลายงานและหลายคน ให้กำหนดรหัสประจำตัวผู้มีสิทธิเข้าถึงแฟ้มข้อมูลและโปรแกรม (Identification code) และ รหัสการใช้งาน (Password) ซึงระบุขอบเขตของการใช้งานแฟ้มข้อมูลและโปรแกรม ดังกล่าว
(3) จัดทำสำเนาแฟ้มข้อมูลและโปรแกรมที่สำคัญ ๆ ไว้ใช้ทดแทนในกรณีที่แฟ้มข้อมูลและโปรแกรมที่ใช้อยู่ปัจจุบันสูญหาย หรือเสียหายจน ใช้การไม่ได้ เพื่อป้องกันมิให้การประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์หยุดชะงัก
(4)มีเอกสารประกอบระบบงานที่ใช้ไมโครคอมพิวเตอร์ อาทิเช่น ลักษณะของงานลักษณะของแฟ้มข้อมูล ขั้นตอนการเตรียมข้อมูลนำเข้า การประมวลผลข้อมูล ลักษณะของผลลัพธ์หรือรายงานที่ได้ และการตรวจสอบความถูกต้องของข้อมูลและรายงาน เป็นต้น
3.2.3 การตรวจสอบการประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์
ให้สถาบันการเงินมอบหมายให้ผู้ตรวจสอบภายในหรือหน่วยงานที่ไม่เกี่ยวข้องกับการประมวลผลข้อมูล ตรวจสอบการรักษาความปลอดภัยไมโครคอมพิวเตอร์ แฟ้มข้อมูลและโปรแกรมการจัดทำสำเนาแฟ้มข้อมูลและโปรแกรมและตรวจสอบความถูกต้องของข้อมูลและรายงานที่ได้จากการประมวลผล