法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

adminRule

ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 29/2551 เรื่อง การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing)

เลขที่
วันที่ประกาศ
จำนวนมาตรา
1
มาตรา ทั้งฉบับ

ประกาศธนาคารแห่งประเทศไทย

ที่ สนส. 29/2551

เรื่อง การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing)

อื่นๆ - 1. เหตุผลในการออกประกาศ

สถาบันการเงินมีการใช้บริการด้านงานเทคโนโลยีสารสนเทศและการประมวลผลจากผู้ให้บริการราชอื่น (IT Outsourcing) ทั้งภายในประเทศและต่างประเทศอย่างแพร่หลาย เพื่อลดต้นทุน เพิ่มขีดความสามารถในการดําเนินงานและพัฒนาศักยภาพการให้บริการให้ทันต่อพัฒนาการของเทคโนโลยีที่มีการเปลี่ยนแปลงอย่างรวดเร็ว ธนาคารแห่งประเทศไทยจึงได้กําหนดหลักเกณฑ์เพื่อให้สถาบันการเงินสามารถใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่นได้อย่างมีประสิทธิภาพ เป็นที่น่าเชื่อถือ และเป็นการพิทักษ์รักษาประโยชน์ของประชาชนผู้ใช้บริการทั้งนี้ ในการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น สถาบันการเงินยังคงมีความรับผิดชอบต่อการให้บริการอย่างต่อเนื่องแก่ลูกค้า รวมทั้งยังต้องคงความน่าเชื่อถือของการให้บริการเช่นเดียวกับที่สถาบันการเงินพึงจะมีเสมือนกับที่สถาบันการเงินเป็นผู้ดําเนินการด้านงานเทคโนโลยีสารสนเทศเอง โดยสถาบันการเงินต้องคํานึงถึงความเสี่ยงที่อาจเกิดขึ้นต่อสถาบันการเงินในรูปแบบที่เปลี่ยนแปลงไปจากการดําเนินงานปกติที่กระทําโดยสถาบันการเงินเอง เช่น ความเสี่ยงด้านปฏิบัติการ (operational risk) ที่อาจมีเพิ่มขึ้นจากการดําเนินงานของผู้ให้บริการ ความเสี่ยงด้านกลยุทธ์ (strategic risk) ในการวางแผนการดําเนินธุรกิจ ความเสี่ยงต่อชื่อเสียงของสถาบันการเงิน(reputational risk) และความเสี่ยงด้านกฎหมาย (legal risk) โดยเฉพาะในเรื่องการรักษาความลับของข้อมูลลูกค้า เป็นต้น

การออกประกาศฉบับนี้เพื่ออ้างอิงตามกฎหมายให้สอดคล้องกับพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 และเป็นการรวบรวมหนังสือเวียนธนาคารแห่งประเทศไทยซึ่งเกี่ยวข้องกับการใช้บริการจากผู้ให้บริการรายอื่นในการประกอบธุรกิจ มาไว้ในฉบับเดียวกันโดยสาระสําคัญไม่มีการเปลี่ยนแปลงไปจากเดิม สําหรับสถาบันการเงินที่ได้รับอนุญาตจากธนาคารแห่งประเทศไทยในเรื่องการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่นให้ทําได้ต่อไปตามที่ได้รับอนุญาต

อื่นๆ - 2. อํานาจตามกฎหมาย

อาศัยอํานาจตามความในมาตรา 47 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 ธนาคารแห่งประเทศไทยออกหลักเกณฑ์การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น ( IT Outsourcing)

อื่นๆ - 3. ขอบเขตการบังคับใช้

ประกาศฉบับนี้ให้ใช้บังคับกับสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงินทุกแห่ง

อื่นๆ - 4. ประกาศและหนังสือเวียนที่ยกเลิก

4.1. หนังสือเวียนที่ ธปท. สนส. (01) ว. 1191/2546 เรื่อง แนวปฏิบัติในการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing) ลงวันที่ 14 พฤษภาคม 2546

4.2. หนังสือเวียนที่ ธปท. ฝกส. (11) ว. 1790/2548 เรื่อง การซักซ้อมความเข้าใจเกี่ยวกับแนวปฏิบัติในการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing) ลงวันที่ 26 กันยายน 2548

อื่นๆ - 5. เนื้อหา

5.1 ในประกาศฉบับนี้

"งานเทคโนโลยีสารสนเทศ" หมายความว่า งานใด ๆ ที่เกี่ยวกับเทคโนโลยีสารสนเทศและมีผลกระทบต่อความเสี่ยงของสถาบันการเงิน โดยอย่างน้อยควรครอบคลุมงานด้านการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์ การพัฒนาระบบงานและโปรแกรม การจัดเก็บข้อมูลการบํารุงรักษาและการรักษาความปลอดภัยทรัพยากรคอมพิวเตอร์ เช่น เครื่องคอมพิวเตอร์และอุปกรณ์ระบบงานและโปรแกรม ระบบเครือข่ายสื่อสาร และข้อมูล เป็นต้น

"การใช้บริการจากผู้ให้บริการรายอื่น" หมายความว่า การให้ผู้ให้บริการรายอื่นดําเนินการแทนในงานซึ่งโดยปกติแล้วสถาบันการเงินต้องดําเนินการเอง

"ผู้ให้บริการรายอื่น" หมายความว่า บุคคลธรรมดาหรือนิติบุคคลทั้งในประเทศและต่างประเทศ ที่ไม่ใช่สถาบันการเงินผู้ใช้บริการด้านงานเทคโนโลยีสารสนเทศ

5.2 หลักเกณฑ์การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing)

ในการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น สถาบันการเงินต้องคํานึงถึงประเด็นที่สําคัญดังนี้

5.2.1 ผลกระทบต่อความสามารถในการพัฒนาและนําเสนอบริการใหม่ ๆ ในอนาคต ซึ่งการสร้างศักยภาพในเรื่องดังกล่าวส่วนหนึ่งต้องอาศัยความเข้าใจในงานด้านเทคโนโลยีสารสนเทศโดยสถาบันการเงินเองด้วย ดังนั้น ในการกําหนดนโยบายการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น สถาบันการเงินต้องคํานึงถึงความเสี่ยงด้านกลยุทธ์และความต่อเนื่องในการพัฒนาศักยภาพในระยะยาวสําหรับการทําธุรกิจหลักของสถาบันการเงินด้วย

5.2.2 การให้ความสําคัญเป็นอย่างยิ่งกับความเสี่ยงด้านกฎหมายและความเสี่ยงด้านปฏิบัติการที่สืบเนื่องมาจากความแตกต่างของกฎหมายและกฎระเบียบปฏิบัติในแต่ละประเทศที่เกี่ยวกับธุรกรรมข้ามพรมแดน (cross border) รวมถึงความเสี่ยงด้านปฏิบัติการที่สืบเนื่องมาจากการใช้เทคโนโลยีสารสนเทศละการสื่อสารระหว่างประเทศ และความเสี่ยงของประเทศที่ผู้ให้บริการตั้งอยู่ด้วย ดังนั้น สถาบันการเงินต้องให้ความสําคัญกับการพิจารณาคัดเลือกผู้ให้บริการที่เป็นผู้ประกอบการไทยด้วย

5.2.3 การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่นที่อยู่ในต่างประเทศ ซึ่งรวมถึงสํานักงานใหญ่หรือสาขาของสถาบันการเงินที่อยู่ในต่างประเทศ สถาบันการเงินจะต้องจัดให้มีข้อมูลอยู่ในประเทศสําหรับการดําเนินธุรกิจภายในประเทศและให้บริการแก่ลูกค้าได้อย่างต่อเนื่องหากเกิดข้อขัดข้องในการรับส่งข้อมูลข้ามพรมแดน และต้องพร้อมสําหรับการเข้าตรวจสอบโดยธนาคารแห่งประเทศไทยในทุกกรณี

5.2.4 การจัดให้มีการรักษาความปลอดภัยของข้อมูล ซึ่งรวมถึงการรักษาความลับและความเป็นส่วนตัวของข้อมูลลูกค้า และให้ผู้ให้บริการแยกฐานข้อมูลของลูกค้าของสถาบันการเงินออกจากข้อมูลของผู้ให้บริการหรือลูกค้ารายอื่นของผู้ให้บริการด้วย ทั้งนี้ สถาบันการเงินต้องคํานึงถึงการดําเนินการของหน่วยงานภาครัฐของไทยซึ่งอยู่ระหว่างการยกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะกําหนดให้การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศต้องได้รับความยินยอมจากเจ้าของข้อมูลด้วย

5.3 สถาบันการเงินจะต้องประเมินความเสี่ยงที่เกี่ยวข้องกับการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่นทั้งที่อยู่ในประเทศและในต่างประเทศก่อนการใช้บริการ และแจ้งรายละเอียดการใช้บริการ ซึ่งประกอบด้วย ประเภทบริการ ขอบเขตและมาตรฐานการให้บริการของผู้ให้บริการ เหตุผลการคัดเลือกผู้ให้บริการ รวมถึงฐานะและประวัติการให้บริการแนวทางการรักษาความลับของข้อมูลลูกค้าและความรับผิดชอบต่อความเสียหาย สําเนาหนังสือคํายินยอมให้ผู้ว่าจ้างและทางการเข้าตรวจสอบการให้บริการ รายละเอียดอุปกรณ์และเครือข่าย วิธีการสํารองข้อมูลที่แสดง ได้ว่าสามารถดําเนินธุรกิจได้ต่อเนื่องแม้ติดต่อกับศูนย์ที่อยู่นอกประเทศไม่ได้และการบริหารความเสี่ยงที่เกี่ยวข้อง มายังฝ่ายกํากับสถาบันการเงิน สายกํากับสถาบันการเงินธนาคารแห่งประเทศไทย เพื่อทราบก่อนการเริ่มใช้บริการหรือก่อนวันที่มีการเปลี่ยนแปลงการใช้บริการเป็นเวลาไม่ต่ํากว่า 30 วัน

5.4 สถาบันการเงินต้องมีกระบวนการหลักในการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น ได้แก่ การกําหนดนโยบายการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น การบริหารความเสี่ยง การคัดเลือกผู้ให้บริการ การจัดทําสัญญาและการติดตาม ประเมินผลและตรวจสอบการให้บริการ ดังนี้

5.4.1 นโยบายการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น

(1) สถาบันการเงินต้องกําหนดนโยบายการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่นอย่างชัดเจน โดยควรคํานึงถึงความสอดคล้องกับกลยุทธ์ทางธุรกิจและความสามารถในการแข่งขันด้วย และนโยบายดังกล่าวต้องได้รับความเห็นชอบจากคณะกรรมการของสถาบันการเงิน ทั้งนี้ คณะกรรมการของสถาบันการเงินอาจมีมติมอบหมายให้คณะกรรมการบริหารหรือคณะกรรมการที่รับผิดชอบด้านงานเทคโนโลยีสารสนเทศของสถาบันการเงินเป็นผู้ให้ความเห็นชอบได้โดยอนุโลม

(2) สถาบันการเงินต้องมีเหตุผลที่ชัดเจนสําหรับการตัดสินใจใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น เช่น ความจําเป็นทางธุรกิจ ประโยชน์และต้นทุน เป็นต้น ทั้งนี้ การเลือกใช้บริการใด ๆ ซึ่งรวมถึงกรณีที่ผู้ให้บริการอยู่ในต่างประเทศและกรณีที่ผู้ให้บริการมีการว่าจ้างผู้รับจ้างช่วงงานต่อ (sub-contract) ต้องไม่ขัดต่อกฎหมายและข้อบังคับของทางการของประเทศไทยและประเทศผู้ให้บริการ

(3) สถาบันการเงินต้องมีการประเมินนโยบายการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่นอย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องกับกลยุทธ์และเป้าหมายของสถาบันการเงิน

5.4.2 การบริหารความเสี่ยง

(1) สถาบันการเงินต้องมีความเข้าใจและสามารถประเมินระดับของความเสี่ยงที่จะเกิดขึ้นจากการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น และกําหนดนโยบายการบริหารความเสี่ยงไว้อย่างชัดเน โดยให้สอดคล้องกับนโยบายการบริหารความเสี่ยงโดยรวมของสถาบันการเงินและต้องได้รับความเห็นชอบจากคณะกรรมการสถาบันการเงิน

(2) สถาบันการเงินต้องกําหนดแนวทาง วิธีการและผู้รับผิดชอบในการบริหารความเสี่ยงที่จะเกิดขึ้นจากการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่นไว้อย่างชัดเจนและเป็นลายลักษณ์อักษร โดยต้องถือปฏิบัติตามแนวทางและวิธีการที่กําหนด รวมทั้งประเมินผลการปฏิบัติงานอย่างสม่ําเสมอ เพื่อให้สามารถบริหารและควบคุมความเสี่ยงได้

(3) สถาบันการเงินต้องจัดให้มีแผนฉุกเฉิน เพื่อรองรับกรณีเกิดปัญหาจากการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น โดยแผนฉุกเฉินดังกล่าวควรมีการระบุอย่างชัดเจนเกี่ยวกับการสํารองข้อมูลที่พร้อมใช้งาน ขั้นตอนและวิธีการดําเนินการเพื่อแก้ไขปัญหาหรือฟื้นฟูความเสียหาย (Recovery) ผู้รับผิดชอบและระยะเวลาในการปฏิบัติตามแผน และมีการสอบทาน ปรับปรุงและทดสอบแผนอย่างสม่ําเสมอเพื่อให้สามารถปฏิบัติงานได้จริง

ในกรณีที่ผู้ให้บริการอยู่ต่างประเทศ อาจมีความเสี่ยงจากการเกิดข้อขัดข้องในการรับส่งข้อมูลข้ามพรมแดน หรือ เกิดภัยพิบัติขึ้นในประเทศผู้ให้บริการ เช่น การก่อวินาศกรรม หรือภัยธรรมชาติ เป็นต้น ดังนั้น สถาบันการเงินจะต้องจัดให้มีข้อมูลอยู่ในประเทศที่พร้อมสําหรับการดําเนินธุรกิจและให้บริการแก่ลูกค้าได้อย่างต่อเนื่อง รวมทั้งต้องจัดให้มีแผนฉุกเฉินและแนวทางการให้บริการอย่างต่อเนื่อง ทั้งนี้ สถาบันการเงินอาจต้องมีระบบประมวลผล'สํารองไว้ในประเทศหรือในประเทศอื่นที่ไม่ใช่ประเทศผู้ให้บริการด้วย

5.4.3 การคัดเลือกผู้ให้บริการ

สถาบันการเงินต้องมีกระบวนการและหลักเกณฑ์ในการคัดเลือกผู้ให้บริการที่ชัดเจน รวมทั้งมีการตรวจสอบความพร้อมและพิจารณาความเหมาะสมของผู้ให้บริการเพื่อให้มั่นใจว่าผู้ให้บริการจะสามารถให้บริการได้อย่างต่อเนื่องและสามารถตอบสนองความต้องการของสถาบันการเงินได้ โดยควรคํานึงถึงปัจจัยที่สําคัญ เช่น ประสบการณ์และความสามารถในการให้บริการ ระบบการบริหารงานภายใน หรือความสามารถในการปฏิบัติตามสัญญาของผู้ให้บริการ เป็นต้น

5.4.4 การจัดทําสัญญา

สถาบันการเงินและผู้ให้บริการต้องจัดให้มีสัญญาเป็นลายลักษณ์อักษรและเก็บรักษาไว้ที่สถาบันการเงินเพื่อให้พร้อมสําหรับการตรวจสอบของธนาคารแห่งประเทศไทยหรือเมื่อธนาคารแห่งประเทศไทยร้องขอ แต่ในกรณีที่ผู้ให้บริการเป็นสํานักงานใหญ่หรือสาขาที่อยู่ในต่างประเทศซึ่งเป็นนิติบุคคลเดียวกันกับสถาบันการเงิน สถาบันการเงินอาจไม่จําเป็นต้องจัดทําสัญญาที่เป็นลายลักษณ์อักษรก็ได้ และสถาบันการเงินจะต้องดําเนินการให้ผู้ให้บริการสํานักงานใหญ่หรือสาขาของสถาบันการเงินที่อยู่ในต่างประเทศดังกล่าวมีหนังสือยินยอมให้ธนาคารแห่งประเทศไทยเข้าตรวจสอบการดําเนินงานในส่วนที่เกี่ยวข้องกับการให้บริการด้วย ในกรณีที่หน่วยงานกํากับดูแลของประเทศที่ผู้ให้บริการนั้นตั้งอยู่ มีข้อกําหนดว่าหน่วยงานใดที่จะเข้าไปตรวจสอบการดําเนินงานของผู้ให้บริการในประเทศนั้นจะต้องได้รับคํายินยอมจากหน่วยงานกํากับดูแลก่อน ก็ให้สถาบันการเงินถือปฏิบัติตามข้อกําหนดของหน่วยงานกํากับดูแลหรือข้อกฎหมายของประเทศนั้น ๆ ทั้งนี้ ธนาคารแห่งประเทศไทยจะพิจารณากํากับดูแลตามความเหมาะสม

การจัดทําสัญญาต้องระบุถึงบทบาทและหน้าที่ความรับผิดชอบของคู่สัญญา รวมทั้งเงื่อนไขการให้บริการอย่างชัดเจน ทั้งนี้ เนื้อหาของสัญญาควรได้รับการตรวจสอบโดยฝ่ายกฎหมายของสถาบันการเงินก่อน และต้องมีเนื้อหารวมถึง

(1) ขอบเขตงานและเงื่อนไขในการให้บริการ เช่น ชื่อและประเภทการให้บริการ วันและเวลาในการให้บริการ สถานที่ที่ให้บริการ และค่าธรรมเนียมหรือค่าบริการ เป็นต้น

(2) มาตรฐานของการปฏิบัติงานขั้นต่ําที่ต้องการจากผู้ให้บริการทั้งภายใต้สถานการณ์ปกติและไม่ปกติ

(3) ขอบเขตความรับผิดชอบของคู่สัญญา และภาระผูกพันในกรณีที่เกิดปัญหาในการให้บริการ เช่น เกิดความผิดพลาด ล่าช้าในการให้บริการ เป็นต้น

(4) การรักษาความปลอดภัยของข้อมูล ซึ่งรวมถึงการรักษาความลับและความเป็นส่วนตัวของข้อมูลลูกค้า เช่น วิธีการรับส่งข้อมูล สิทธิในการเข้าถึงข้อมูล ความเป็นเจ้าของข้อมูล และวิธีการเก็บรักษาข้อมูล เป็นต้น ทั้งนี้ ผู้ให้บริการควรแยกฐานข้อมูลลูกค้าของสถาบันการเงินออกจากข้อมูลของผู้ให้บริการหรือลูกค้ารายอื่นของผู้ให้บริการด้วย

(5) ระบบการควบคุมภายในและการรายงานผลการปฏิบัติงานของผู้ให้บริการ ตลอดจนรายงานการเปลี่ยนแปลงที่สําญในส่วนของผู้ให้บริการที่อาจมีผลกระทบต่อความสามารถในการปฏิบัติตามสัญญา เช่น การเปลี่ยนแปลงกรรมการหรือผู้บริหารระดับสูงของผู้ให้บริการ การเปลี่ยนแปลงฐานะทางการเงินของผู้ให้บริการอย่างมีนัยสําคัญ หรือมีการให้บริการแก่ลูกค้ารายอื่น ๆ จํานวนมากจนอาจมีผลต่อความสามารถในการให้บริการ เป็นต้น

ในกรณีที่ผู้ให้บริการมีการให้บริการงานด้านเทคโนโลยีสารสนเทศแก่ลูกค้ารายอื่น ๆ อีกจํานวนมาก สถาบันการเงินจะต้องพิจารณาให้ผู้ให้บริการจัดให้มีระบบงานที่เพียงพอที่จะรองรับการให้บริการแก่ลูกค้าทุกรายได้พร้อม ๆ กัน ทั้งในเหตุการณ์ปกติเละไม่ปกติ

(6) ในกรณีที่ผู้ให้บริการให้ผู้ให้บริการรายอื่นรับจ้างช่วงงานต่อ สถาบันการเงินจะต้องระบุให้ชัดเจนถึงความรับผิดชอบของผู้ให้บริการที่มีต่อการให้บริการแก่สถาบันการเงินแม้ว่าผู้ให้บริการจะให้ผู้ให้บริการรายอื่นรับจ้างช่วงงานต่อ โดยผู้รับจ้างช่วงงานต่อจะต้องสามารถปฏิบัติตามเงื่อนไขการให้บริการที่สถาบันการเงินกําหนดไว้กับผู้ให้บริการได้เสมือนกับที่ผู้ให้บริการดําเนินการเอง

ทั้งนี้ สถาบันการเงินอาจระบุในสัญญาให้ผู้ให้บริการแจ้งต่อสถาบันการเงินหรือต้องได้รับอนุญาตจากสถาบันการเงินก่อนที่จะให้ผู้ให้บริการรายอื่นรับจ้างช่วงงานต่อไป หรือเมื่อมีการเปลี่ยนแปลงผู้รับจ้างช่วงงานต่อ

(7) การจัดให้มีแผนฉุกเฉินสําหรับการให้บริการของผู้ให้บริการที่สอดคล้องกับแผนฉุกเฉินของสถาบันการเงิน

(8) สิทธิของสถาบันการเงินในการเปลี่ยนแปลงสัญญา ซึ่งรวมถึงการแก้ไข ต่ออายุ และยกเลิกสัญญา ทั้งนี้ เพื่อให้มีความคล่องตัวในการปรับปรุงการให้บริการหากจําเป็น เช่น การปรับปรุงให้ทันกับพัฒนาการทางเทคโนโลยีที่มีการเปลี่ยนแปลงอย่างรวดเร็วรวมทั้งเพื่อไม่ให้เป็นอุปสรรคต่อการดําเนินงานของสถาบันการเงินในอนาคต

(9) แนวทางการนํางานทั้งหมดหรือบางส่วนกลับมาดําเนินการโดยสถาบันการเงินเองหรือส่งมอบงานต่อให้ผู้ให้บริการรายอื่นหากมีการยกเลิกสัญญา หรือมีการเปลี่ยนแปลงผู้ให้บริการเพื่อให้สถาบันการเงินสามารถดําเนินการได้อย่างต่อเนื่องแม้ว่ามีการเปลี่ยนแปลงผู้ดําเนินการด้านงานเทคโนโลยีสารสนเทศ

(10) สิทธิของสถาบันการเงิน ผู้ตรวจสอบภายใน ผู้ตรวจสอบภายนอกหรือทางการในการเข้าตรวจสอบการดําเนินงานและการควบคุมภายในของผู้ให้บริการหรือผู้รับจ้างช่วงงานต่อ (หากมี)

(11) สิทธิของทางการในการเรียกดูข้อมูลที่เกี่ยวข้องหรือมีผลกระทบกับการให้บริการแก่สถาบันการเงิน ที่เห็นว่าจําเป็นต่อการบริหารความเสี่ยงของสถาบันการเงินจากผู้ให้บริการหรือผู้รับจ้างช่วงงานต่อ

5.4.5 การติดตาม ประเมินผล และตรวจสอบการให้บริการ

สถาบันการเงินต้องจัดให้มีการติดตามประเมินผลและตรวจสอบการให้บริการของผู้ให้บริการอย่างสม่ําเสมอ เพื่อให้การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการราชอื่นเป็นไปตามวัตถุประสงค์และเป้าหมายที่กําหนดไว้ ทั้งนี้ ให้พิจารณาถึงประสิทธิภาพของผู้ให้บริการ ฐานะทางการเงิน การปฏิบัติตามสัญญาและปัญหาที่เกิดขึ้นโดยมีแนวปฏิบัติ ดังนี้

(1) สถาบันการเงินต้องจัดให้มีระบบที่ชัดเจนในการติดตามและประเมินผลการปฏิบัติงานของผู้ให้บริการ พร้อมทั้งมีการประเมินระบบดังกล่าวอย่างสม่ําเสมอ

(2) สถาบันการเงินต้องจัดให้มีการตรวจสอบผู้ให้บริการ โดยผู้ตรวจสอบภายในหรือผู้ตรวจสอบภายนอกอย่างสม่ําเสมอ และจัดให้มีรายงานผลการติดตาม ประเมินผลและตรวจสอบการปฏิบัติงานของผู้ให้บริการเก็บไว้ที่สถาบันการเงิน และมีพร้อมสําหรับให้ธนาคารแห่งประเทศไทยเมื่อร้องขอ ทั้งนี้ หากจําเป็น สถาบันการเงินหรือธนาการแห่งประเทศไทยจะต้องสามารถเข้าตรวจสอบการดําเนินงานและการควบคุมภายในของผู้ให้บริการได้

(3) สถาบันการเงินต้องจัดให้มี หรือดําเนินการให้ผู้ให้บริการจัดทําคู่มือการปฏิบัติงานและเอกสารที่เกี่ยวข้อง รวมทั้งมีการปรับปรุงให้ทันสมัยอยู่เสมอ เพื่อประโยชน์ในการใช้งาน ติดตาม ประเมินผลและบริหารความเสี่ยงของสถาบันการเงิน

(4) สถาบันการเงินต้องจัดให้มีพนักงานที่มีความเข้าใจในวิธีการปฏิบัติงานของผู้ให้บริการ เพื่อให้สามารถติดตามและประเมินผลการปฏิบัติงานของผู้ให้บริการได้อย่างถูกต้องและน่าเชื่อถือ

(5) สถาบันการเงินต้องจัดให้มีการรายงานปัญหาที่เกิดขึ้นต่อผู้บริหารของสถาบันการเงินให้ทราบในทันที เพื่อให้สามารถแก้ไขปัญหาดังกล่าวได้อย่างทันท่วงที

(6) สถาบันการเงินต้องจัดให้มีข้อมูลให้พร้อมสําหรับการเข้าตรวจสอบโดยธนาคารแห่งประเทศไทยในทุกกรณี

อื่นๆ - 6. วันเริ่มต้นบังคับใช้

ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 3 สิงหาคม 2551

(นางธาริษา วัฒนเกส)

ผู้ว่าการ

ธนาคารแห่งประเทศไทย

1 มาตรา

อ้างอิงกฎหมายนี้

ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 29/2551 เรื่อง การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing) (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_322df7ad795d7c61

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com