เล่มแผนแม่บทด้านการตรวจสอบภายใน 30_1_66

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 90 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น รายการ งบบริหาร งบดูแล งบพัฒนา งบประมาณในความดูแลของส่วนงานอื่น ฝตส. สตท. รวม ฝตส. สตท. รวม 9. โครงการเสริมทักษะความรู้ทีมส่งเสริม การตรวจทาน ฝสข. สนจ. และ สกน. - - - 1,500,000 - - 10. โครงการสนับสนุนและพัฒนาการเตรียมความพร้อม เพื่อรับวุฒิบัตรด้านการตรวจสอบภายใน - - - 145,250 - - 11. โครงการประเมินคุณภาพงานตรวจสอบภายในของ สายงานตรวจสอบ (QAR) 10,000,000 12. โครงการจัดจ้างที่ปรึกษาเพื่อยกระดับงานตรวจสอบ - - - 6,125,000 - - 13. โครงการฝึกอบรมและดูงานประจ าส่วนงาน - - - - - 1,751,880 14. การสนับสนุนงานสัมมนาใหญ่ประจ าปีของสมาคมผู้ ตรวจสอบภายในแห่งประเทศไทย - - - 200,000 - - 15. โครงการจ้างพัฒนาระบบการบริหารงานตรวจสอบ ฯ ISO 19011 (Re-Certification) 634,500 - 16. โครงการพัฒนาแนวทางการน า AI/ML ยกระดับ งาน Data Analytics และ Continuous Audit (ค่า License สิทธิการใข้งาน IDEA 12 เครื่องมือวิเคราะห์ ข้อมูลสนับสนุนการตรวจสอบ) 1,000,000 รวม 118,247,800 35,675,500 163,923,300 26,205,750 - 1,751,880 111,000 หมายเหตุ 1/ โครงการส่งเสริมการเรียนรู้ของส่วนงาน

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 91 2) งบประมาณการลงทุนในทรัพย์สิน ปีบัญชี 2566 ประเภททรัพย์สิน จ านวนเงิน หมายเหตุ โครงการพัฒนาระบบการจัดการตรวจสอบแบบรวมศูนย์ 28,400,000 รวม 28,400,000 3) งบประมาณอัตราก าลัง ประจ าปีบัญชี 2566 ต าแหน่ง ฝตส. สตท. สายงานตรวจสอบ งบฯ บรรจุ +/- งบฯ บรรจุ +/- งบฯ บรรจุ +/- กลุ่มผู้บริหาร ผู้อ านวยการฝ่าย 1 1 1 1 รองผู้อ านวยการฝ่าย/ผอ.ส านัก (12.5) 2 2 1 1 3 3 ผู้ช่วยผู้อ านวยการฝ่าย (12) 3 3 1 1 4 4 ผู้ช่วยผู้อ านวยการฝ่าย/ส านัก (11) 4 4 1 1 5 5 ผู้ช านาญการตรวจสอบเทคโนโลยีและสารสนเทศ (11) 1 1 1 1 กลุ่มต าแหน่งตรวจสอบ ผู้บริหารทีม/หัวหน้าสายตรวจสอบ (ระดับ 10) 23 23 5 5 28 28 พนักงานตรวจสอบ/พนักงานตรวจสอบคอมพิวเตอร์ระดับ 9 42 44 2 12 12 54 56 2 พนักงานตรวจสอบ/พนักงานตรวจสอบคอมพิวเตอร์ ระดับ 8 29 27 -2 7 7 36 34 -2 พนักงานตรวจสอบ/พนักงานตรวจสอบคอมพิวเตอร์ระดับ 4-7 4 4 9 6 -3 13 10 -3 กลุ่มธุรการ/เลขานุการ พนักงานธุรการ 4-7 1 1 1 1 เลขานุการ 4-7 1 1 1 1 รวมอัตราพนักงาน 109 110 1 37 34 -3 146 144 -2

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 92 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 9.3.3 แผนงบประมาณพัฒนาบุคลากรสายงานตรวจสอบ 1) ฝ่ายตรวจสอบ (ฝตส.) ล าดับที่ หัวข้อการพัฒนา วัตถุประสงค์ กลุ่มเป้าหมาย ก าหนดการ งบประมาณค่าใช้จ่าย ต าแหน่ง ระดับ จ านวน(คน) จ านวน(วัน) ช่วงเดือน ปี 2563 ปี 2564 ปี 2565 ปี 2566 ปี 2567 ปี 2568 1 การพัฒนาพนักงานให้ได้รับ วุฒิบัตรผู้ตรวจสอบภายใน วิชาชีพรับอนุญาต หรือวุฒิบัตร อื่นที่เกี่ยวข้องกับวิชาชีพ การตรวจสอบภายใน เพื่อยกระดับมาตรฐาน การเป็นผู้ตรวจสอบภายใน ของสายงานตรวจสอบ ให้เป็นไปตามมาตรฐานสากล เพื่อสร้างการยอมรับจากทั้ง ส่วนงานภายในและส่วนงาน ภายนอก ผู้บริหาร และพนักงานสาย งานตรวจสอบ ทุก ระดับ ประกาศนียบัตร CPIAT ปีบัญชี ละ 25 คน ตามระยะเวลา ที่องค์กรวิชาชีพ ก าหนด ตามระยะ เวลาที่องค์กร วิชาชีพก าหนด 240,000 240,000 960,000 1,329,250 1,329,250 1,329,250 ทุก ระดับ ประกาศนียบัตร วิชาชีพสากล เช่น CIA CPA เป็นต้น ปีบัญชีละ 4 คน (ปีบัญชี 2566 จ านวน 2 คน และ ต่อเนื่อง 2 คน) ตามระยะเวลา ที่องค์กรวิชาชีพ ก าหนด ตามระยะ เวลาที่องค์กร วิชาชีพก าหนด 210,000 210,000 210,000 417,600 417,600 417,600 ทุก ระดับ การพัฒนาวิชาชีพ อย่างต่อเนื่องของ ผู้ถือวุฒิบัตร ผู้ตรวจสอบภายใน 32 คน ตามระยะเวลา ที่องค์กรวิชาชีพ ก าหนด ตามระยะ เวลาที่องค์กร วิชาชีพก าหนด 90,000 90,000 90,000 517,320 517,320 517,320 2 พัฒนา Soft Skill ส าหรับ ผู้ตรวจสอบภายใน เพิ่มขีดความสามารถพนักงาน สายงานตรวจสอบ ให้เป็นไป ตามหลักเกณฑ์การประเมิน กระบวนการปฏิบัติงานและ การจัดการ Enablers ของ รัฐวิสาหกิจ ซึ่งระบุให้ต้องมี การพัฒนาบุคลากรด้าน การตรวจสอบภายในให้มี ความรู้ความสามารถครบถ้วน ตามทักษะที่ก าหนด ทั้ง Technical Skills และ Soft Skills ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 146 คน 2 วัน (3 รุ่น) เม.ย. 66 – มี.ค. 67 - - - 373,000 373,000 373,000

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 93 ล าดับที่ หัวข้อการพัฒนา วัตถุประสงค์ กลุ่มเป้าหมาย ก าหนดการ งบประมาณค่าใช้จ่าย ต าแหน่ง ระดับ จ านวน(คน) จ านวน(วัน) ช่วงเดือน ปี 2563 ปี 2564 ปี 2565 ปี 2566 ปี 2567 ปี 2568 3 พัฒนาทักษะการเป็นวิทยากร ด้านการตรวจสอบภายใน เพื่อให้ผู้บริหาร และ พนักงานสามารถถ่ายทอด ความรู้ และให้ค าปรึกษา แก่หน่วยรับตรวจได้ ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 40 คน 2 วัน เม.ย. 66 – มี.ค. 67 - - - 115,000 115,000 115,000 4 Fraud Risk และการประเมิน ความเสี่ยงทุจริตในกระบวนการ ตรวจสอบ เพื่อให้พนักงานมีความรู้ ความสามารถในการวิเคราะห์ และประเมินความเสี่ยง การทุจริต ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 146 คน 1 วัน เม.ย. 66 – มี.ค. 67 - - - 127,000 127,000 127,000 5 การตรวจสอบกระบวนการ ประเมินความเสี่ยง และ การบริหารความเสี่ยงขององค์กร เพื่อให้พนักงานมีความรู้ การตรวจสอบการประเมิน ความเสี่ยงและการบริหาร ความเสี่ยงขององค์กร ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 92 คน 1 วัน เม.ย. 66 – มี.ค. 67 - - - 91,960 91,960 91,960 6 ยกระดับขีดความสามารถของผู้ ตรวจสอบภายในเป็นผู้เชี่ยวชาญ เฉพาะด้าน (Subject Matter Expert : SME) เพื่อยกระดับ ขีดความสามารถของ ผู้ตรวจสอบภายในให้เป็น ผู้เชี่ยวชาญเฉพาะด้านใน งานตรวจสอบภายใน และ ธุรกิจหลักของธนาคาร ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 22 คน ตามระยะเวลาที่ องค์กรวิชาชีพ ก าหนด เม.ย. 66 – มี.ค. 67 - - 100,000 110,000 110,000 110,000 7 การส่งเสริมการเรียนรู้ของส่วน งาน (คนละ 2,500 บาท) เพื่อพัฒนาความรู้ของ พนักงานตรวจสอบให้มี ความรู้ตามมาตรฐานสากล เป็นที่ยอมรับของหน่วยรับ ตรวจและผู้บริหาร ผู้บริหาร และพนักงาน ตรวจสอบ ทุก ระดับ จ านวน 146 คน ตามรูปแบบ การพัฒนาจาก การประเมิน Competency Gap เม.ย. 66 – มี.ค. 67 438,000 438,000 438,000 365,000 365,000 365,000 5.1 สัมมนาสายงาน ตรวจสอบประจ าปี เพื่อสื่อสารนโยบายธนาคาร วางแผนแนวทางปฏิบัติ ตามยุทธศาสตร์และ พันธกิจธนาคาร ผู้บริหาร และพนักงาน ตรวจสอบ ทุก ระดับ จ านวน 146 คน ตามรูปแบบ การพัฒนาจาก การประเมิน Competency Gap เม.ย. 66 – มี.ค. 67 438,000 438,000 438,000 240,000 240,000 240,000

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 94 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ล าดับที่ หัวข้อการพัฒนา วัตถุประสงค์ กลุ่มเป้าหมาย ก าหนดการ งบประมาณค่าใช้จ่าย ต าแหน่ง ระดับ จ านวน(คน) จ านวน(วัน) ช่วงเดือน ปี 2563 ปี 2564 ปี 2565 ปี 2566 ปี 2567 ปี2568 5.2 พัฒนาความรู้ความสามารถ พนักงานสายงานตรวจสอบตาม ภารกิจหน้าที่ที่รับผิดชอบและ งานตรวจสอบเฉพาะด้าน เพื่อพัฒนาความรู้ของ พนักงานตรวจสอบให้มี ความรู้ตามมาตรฐานสากล เป็นที่ยอมรับของหน่วยรับ ตรวจและผู้บริหาร ผู้บริหารและ พนักงานตรวจสอบ ทุกระดับ จ านวน 146 คน ตามโครงการ/ แผนงาน/ความรู้ ความสามารถ เฉพาะด้าน เม.ย. 66 – มี.ค. 67 1,026,000 1,025,000 670,000 43,640 43,640 43,640 5.3 ศึกษาดูงานส่วนงาน ภายนอกธนาคาร เพื่อศึกษาดูงานกับส่วนงาน ภายนอกและน าผลการศึกษา ดูงานมาเป็นแนวทางใน การปรับปรุง/พัฒนา การปฏิบัติงานให้มี ประสิทธิภาพเพิ่มขึ้น ผู้บริหารและ พนักงานตรวจสอบ ระดับ 9 ขึ้นไป 45 คน 1 เม.ย. 66 – มี.ค. 67 20,000 20,000 20,000 28,800 28,800 28,800 5.4 มอบนโยบาย แลกเปลี่ยน เรียนรู้ประจ าไตรมาส เพื่อสรุปประเด็นจาก การตรวจสอบเป็นองค์ความรู้ และสื่อสารนโยบาย แนวทาง การปฏิบัติงาน ผู้บริหารและ พนักงานตรวจสอบ ทุกระดับ จ านวน 146คน 1 ทุก ไตรมาส 60,000 60,000 60,000 52,560 52,560 52,560 8 ศึกษาดูงานภายในประเทศ เพื่อศึกษาเรียนรู้การบริหาร จัดการองค์กรสมัยใหม่ น ามาปรับปรุงระบบงานให้ มีประสิทธิภาพ สร้าง มูลค่าเพิ่มตามแนวทาง ปฏิบัติที่ดี - คณะกรรมการ ตรวจสอบ - ผู้จัดการธนาคาร - ผู้บริหาร สายงานตรวจสอบ - ผู้ประสานงาน - 20 คน 5 เม.ย. 66 – มี.ค. 67 10,000 10,000 400,000 345,000 345,000 345,000 รวมประมาณการค่าใช้จ่ายต่อปี 2,094,000 2,093,000 2,948,000 3,791,130 3,791,130 3,791,130

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 95 2) ส านักตรวจสอบเทคโนโลยีและสารสนเทศ (สตท.) ล าดับที่ หัวข้อการพัฒนา วัตถุประสงค์ กลุ่มเป้าหมาย ก าหนดการ งบประมาณค่าใช้จ่าย ต าแหน่ง ระดับ จ านวน(คน) จ านวน(วัน) ช่วงเดือน ปี 2563 ปี 2564 ปี 2565 ปี 2566 ปี 2567 ปี 2568 1 พัฒนาพนักงานให้ได้รับ ประกาศนียบัตรวิชาชีพ ผู้ตรวจสอบภายใน ตามแนวทาง สคร. เพื่อยกระดับมาตรฐาน การเป็นผู้ตรวจสอบภายใน ของสายงานตรวจสอบ ให้เป็นไปตามมาตรฐานสากล เพื่อสร้างการยอมรับจาก องค์กรต่างๆ ทั้งภาครัฐ และเอกชน ผู้บริหาร และพนักงาน ตรวจสอบ คอมพิวเตอร์ ทุก ระดับ ประกาศนียบัตร CPIAT ปีบัญชีละ 2 คน คนละ 48,000 บาท ตามระยะเวลา ของสถาบัน วิชาชีพ ตามระยะ เวลาของ สถาบัน วิชาชีพ - - 96,000 96,000 96,000 96,000 ทุก ระดับ ประกาศนียบัตร วิชาชีพสากล เช่น CISA CISM ISMS เป็นต้น ปีบัญชีละ 2 คน คนละ 70,000 บาท และค่าใช้จ่าย อบรมเพื่อ สะสมชั่วโมง การพัฒนา วิชาชีพอย่าง ต่อเนื่อง (CPE) และต่ออายุใบ ประกาศนีบัตร ตามระยะเวลา ของสถาบัน วิชาชีพ ตามระยะ เวลาของ สถาบัน วิชาชีพ 300,000 300,000 260,000 260,000 260,000 260,000 รวมประมาณการค่าใช้จ่ายต่อปี 300,000 300,000 356,000 356,000 356,000 356,000

เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย CAE 1 1 1 (1) ธนาคารแต่งตั้ง 13/ ผู้อ านวยการฝ่าย 1 1 1 (1) ธนาคารแต่งตั้ง 12.5/ รองผู้อ านวยการฝ่าย/ผอ.ส านัก 3 3 1 (1) ธนาคารแต่งตั้ง 2 (2) ธนาคารแต่งตั้ง 1 (1) ธนาคารแต่งตั้ง 12/ ผู้ช่วยผู้อ านวยการฝ่าย/ส านัก 4 4 1 (1) ธนาคารแต่งตั้ง 1 2 (3) ธนาคารแต่งตั้ง 1 (1) ธนาคารแต่งตั้ง 11/ ผู้ช่วยผู้อ านวยการฝ่าย/ส านัก 5 5 1 (1) สอบเลื่อนระดับ โยกย้ายแนวราบ 2 (2) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 (1) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 (1) สอบเลื่อนระดับ โยกย้ายแนวราบ 11/ ผู้ช านาญการตรวจสอบเทคโนโลยีและ สารสนเทศ 1 1 ธนาคารแต่งตั้งและ ให้ใช้อัตรา งบประมาณเท่าเดิม 10/ ผู้บริหารทีม/หัวหน้าสายตรวจสอบ 28 28 1 2 (3) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 1 (2) สอบเลื่อนระดับ โยกย้ายแนวราบ 2 2 (4) สอบเลื่อนระดับ โยกย้ายแนวราบ 2 1 (3) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 2 (3) สอบเลื่อนระดับ โยกย้ายแนวราบ 9/ พนักงานตรวจสอบ/พนักงานตรวจสอบ คอมพิวเตอร์ 54 56 2 มืออาชีพ 1 7 (6) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 5 (6) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 5 (6) สอบเลื่อนระดับ โยกย้ายแนวราบ 4 5 (9) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 5 (6) สอบเลื่อนระดับ โยกย้ายแนวราบ 8/ พนักงานตรวจสอบ/พนักงานตรวจสอบ คอมพิวเตอร์ 36 34 (2) มืออาชีพ - 7 (9) สอบเลื่อนระดับ โยกย้ายแนวราบ 5 (5) สอบเลื่อนระดับ โยกย้ายแนวราบ 5 (5) สอบเลื่อนระดับ โยกย้ายแนวราบ 5 (5) สอบเลื่อนระดับ โยกย้ายแนวราบ 5 (5) สอบเลื่อนระดับ โยกย้ายแนวราบ 4-7/ พนักงานตรวจสอบ/พนักงานตรวจสอบ คอมพิวเตอร์ 13 10 - (3) สรรหาเฉพาะกิจ/ สรรหาภายนอก - 1 (4) สรรหา/โยกย้าย แนวราบ 3 (3) สรรหา/โยกย้าย แนวราบ 4-7/ พนักงานธุรการ/เลขานุการ 1 2 1 1 ธุรการไม่มีอัตรา รวมอัตรำพนักงำน 147 145 (2) 5 19 (26) 5 15 (20) 4 18 (22) 6 11 (17) 3 12 (15) เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น คำดกำรณ์ปี2570 คำดกำรณ์ปี2569 ลดลงภำยในปี บรรจุ จริง ลดลงภำยในปีลดลงภำยในปีลดลงภำยในปีลดลงภำยในปี คำดกำรณ์ปี2566 คำดกำรณ์ปี2567 แนวทำง กำรสรรหำ แนวทำง กำรสรรหำ (ขำด)/ เกิน งบ ที่มา ระบบสารสนเทศเพื่อการบริหารทรัพยากรมนุษย์(Human Resource Information System : HRIS) และค าสั่งแต่งตั้ง/โยกย้ายพนักงาน คำดกำรณ์ปี2568 ลดลงภำยในปี (ขำด)/ เกิน แนวทำง กำรสรรหำ 9.4 แผนกำรสรรหำบุคลำกร ต ำแหน่ง ข้อมูล ณ วันที่ 31 ต.ค. 65 ปีบัญชี2565 (ข้อมูล ณ 31 ต.ค. 65) (ขำด)/ เกิน แนวทำง กำรสรรหำ (ขำด)/ เกิน แนวทำง กำรสรรหำ (ขำด)/ เกิน แนวทำง กำรสรรหำ (ขำด)/ เกิน 96

แผนปฏิบัติงานตรวจสอบ ประจ าปีบัญชี 2566

แผนปฏิบัติงานตรวจสอบ ประจ าปีบัญชี 2566

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 97 10. การประเมินความเสี่ยงเพื่อวางแผนการตรวจสอบ 10.1. การจัดท าแผนการตรวจสอบด้านการด าเนินงาน 1) ขอบเขตงานตรวจสอบ (Audit Universe) การประเมินความเสี่ยงขอบเขตงานตรวจสอบ (Audit Universe) เพื่อจัดลําดับความสําคัญ ของหน่วยงานหรือกิจกรรมที่ต้องทําการตรวจสอบ โดยในปีบัญชี 2566 สายงานตรวจสอบ ได้กําหนดกิจกรรมที่ต้อง ทําการตรวจสอบ (Audit Universe) เป็น 60 กระบวนการย่อยที่สําคัญของธนาคาร ในการดําเนินงานของธนาคาร ภายใต้ข้อมูลผลการตรวจสอบของสายงานตรวจสอบ ซึ่งสอดคล้องกับระบบของธนาคาร (Work System) จํานวน 14 กระบวนการหลัก และครอบคลุมทุกส่วนงานในธนาคาร ตามโครงสร้างส่วนงานของธนาคาร ที่แบ่งเป็น 7 ด้าน 13 สายงาน 30 ฝุาย 21 สํานัก 1 สํานักงาน และในส่วนของภูมิภาค มี 9 ฝสข. 76 สนจ. 1 สกน. 1,020 สาขา ทั้งนี้ได้ประเมินความเสี่ยงให้ครอบคลุมกิจกรรมในอนาคต และการดําเนินงานตามเกณฑ์Enablers ดังนี้ กระบวนการย่อยที่ส าคัญของธนาคารที่ต้องท าการตรวจสอบเชื่อมโยงโครงสร้างส่วนงานในธนาคาร Enabler (7 ด้าน) กระบวนการท างานหลัก (14 กระบวนการ) กระบวนการท างานย่อย (60 กระบวนการ) ส่วนงานรับผิดชอบ 1. การกํากับ ดูแลที่ดีและการ นําองค์กร M1: การนําองค์กร สู่ความยั่งยืน กระบวนการจัดการความยั่งยืนขององค์กร ฝนย. ฝบร. M5: ทรัพยากรมนุษย์ กระบวนการจัดการโครงสร้างองค์กร สพก. S1 : การบัญชีและกฎหมาย กระบวนการจัดการงานอุทธรณ์ ฝกม. กระบวนการจัดการงานที่ปรึกษา ฝกม. กระบวนการจัดการงานกฎหมายธุรกิจและระหว่างประเทศ ฝกม. กระบวนการจัดการงานอรรถคดี ฝกม. กระบวนการจัดการงานความรับผิดทางละเมิด ฝกม. กระบวนการจัดการงานบริหารหนี้ดําเนินคดี ฝกม. 2. การวางแผน เชิงยุทธศาสตร์ M3: การวางแผนเชิงกล ยุทธ์ กระบวนการจัดทําแผน ฝนย. กระบวนการออกแบบระบบงาน (Work System) สพก. กระบวนการวิเคราะห์ข้อมูลสารสนเทศเพื่อการบริหาร ฝยบ. กระบวนการติดตามและประเมินผลรัฐวิสาหกิจ สพก. M4: การบริหารเงินทุน กระบวนการเสริม/รักษาสภาพคล่องของธนาคาร ฝกง. กระบวนการบริหารสภาพคล่องส่วนเกิน ฝกง. กระบวนการบริหารความเสี่ยงทางการเงิน ฝกง. กระบวนการลงทุน (Investment) ฝกง. C1 : บริการด้านเงินฝาก และรายได้ค่าธรรมเนียม บริหารพอร์ตโฟลิโอด้านเงินฝาก ฝงฝ. กระบวนการส่งเสริมเงินฝาก ฝงฝ. C2 : กระบวนการ ด้านสินเชื่อ สินเชื่อบุคคลและเกษตรกร ฝสบ. ฝบน. สพป. สบน. สวก. สินเชื่อสถาบันและผู้ประกอบการ ฝสป. สวก. สพป. สินเชื่อนโยบายรัฐ ฝนร. การบริหารจัดการหนี้ค้างชําระและหนี้ที่มีโอกาสจะเป็นหนี้ค้างชําระ ฝสบ. ฝสป. ฝนร. ฝบน. สบน. ฝกม. C4 : บริการด้านธุรกรรม ทางการธนาคาร กระบวนการธุรกรรมฝาก-ถอน ฝงฝ. สบภ. กระบวนการธุรกรรมรับชําระค่าบริการ ฝงฝ. ฝกธ. กระบวนการการให้ธุรกรรมต่างประเทศ ฝกธ. กระบวนการโอนเงิน ฝกธ.

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 98 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น Enabler (7 ด้าน) กระบวนการท างานหลัก (14 กระบวนการ) กระบวนการท างานย่อย (60 กระบวนการ) ส่วนงานรับผิดชอบ กระบวนการให้บริการธุรกรรมประกันชีวิต/ประกันภัย สพภ. กระบวนการให้บริการธุรกรรมเงินฝากสงเคราะห์ชีวิต สงช. S1 : การบัญชีและกฎหมาย กระบวนการบัญชีการเงินและรายงานทางการเงิน ฝบช. 3. การบริหาร ความเสี่ยงและ การควบคุม ภายใน M2 : การกํากับดูแล กิจการที่ดีและการบริหาร ความเสี่ยง กระบวนการควบคุมภายใน ฝบส. กระบวนการบริหารความเสี่ยง ฝบส. สบท. กระบวนการสอบทานสินเชื่อ สสช. กระบวนการเฝูาระวังและตรวจจับการทุจริต สปท. กระบวนการกํากับดูแลกิจการที่ดี สธป. กระบวนการปฏิบัติตามกฎเกณฑ์ สธป. S1 : การบัญชีและกฎหมาย กระบวนการบริหารจัดการหนี้ขาดจะขาดอายุความ ฝกม. S2 : การอํานวยการ กระบวนการบริหารจัดการเอกสาร ฝอก. S2 : การอํานวยการ กระบวนการจัดซื้อจัดจ้าง สจพ. S2 : การอํานวยการ กระบวนการบริหารทรัพย์สิน ฝนย. ฝบช. ฝอก. สผส. S2 : การอํานวยการ กระบวนการบริหารจัดการอาคารสถานที่ ฝอก. S2 : การอํานวยการ การบริหารและการจัดการด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทํางาน ฝอก. S2 : การอํานวยการ กระบวนการการบริหารจัดการยานพาหนะ และขนส่ง ฝอก. S2 : การอํานวยการ กระบวนการบริหารการประชุม ฝบร. S4 : เทคโนโลยีดิจิทัลและ การจัดการข้อมูล สารสนเทศ IT Risk Management ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. 4. การมุ่งเน้น ลูกค้าและผู้มี ส่วนได้เสีย C1 : บริการด้านเงินฝาก และรายได้ค่าธรรมเนียม กระบวนการจัดการฐานข้อมูลลูกค้า ฝงฝ. C3 : การพัฒนาชนบท และเศรษฐกิจฐานราก กระบวนการพัฒนาความรู้ให้กับลูกค้า ฝลช. สพส. สพอ. กระบวนการพัฒนาตลาดลูกค้า สพส. สพอ. S3 : การตลาด กระบวนการการประชาสัมพันธ์ สปส. กระบวนการสื่อสาร สปส. กระบวนการจัดการเสียงของลูกค้า (VOC) ฝกค. กระบวนการบริหารลูกค้าสัมพันธ์ ฝกค. 5. การพัฒนา เทคโนโลยี ดิจิทัล S4 : เทคโนโลยีดิจิทัลและ การจัดการข้อมูล สารสนเทศ General Computer Control ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. 6. การบริหาร ทุนมนุษย์ M5: ทรัพยากรมนุษย์ กระบวนการบริหารทุนมนุษย์ ฝทน. กระบวนการจัดการด้านวินัยพนักงาน ฝทน. 7. การจัดการ ความรู้และ นวัตกรรม M5: ทรัพยากรมนุษย์ กระบวนการพัฒนาทุนมนุษย์ สพน. S4 : เทคโนโลยีดิจิทัลและ การจัดการข้อมูล สารสนเทศ Application Control ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. IT Outsourcing ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. S5 : วิจัย และ นวัตกรรม กระบวนการวิจัย ศวพ. กระบวนการประเมินผล ศวพ. กระบวนการส่งเสริมนวัตกรรม ศวพ.

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 99 2) การประเมินความเสี่ยงกระบวนการย่อยที่ส าคัญ กําหนดปัจจัยและเกณฑ์การประเมิน ความเสี่ยงด้านโอกาส (Likelihood) และผลกระทบ (Impact) โดยใช้เกณฑ์การประเมินความเสี่ยงตามแนวทางมาตรฐาน ISO 31000: 2018 ซึ่งได้มีการปรับเกณฑ์ประเมินความเสี่ยงด้านโอกาสเพิ่มเติม เพื่อให้เหมาะกับการประเมินความเสี่ยง ขอบเขตงานตรวจสอบ (Audit Universe) ดังนี้ การประเมินความเสี่ยงด้านโอกาส (Likelihood) คือ การประเมินโอกาสหรือความน่าจะ เป็นที่จะเกิดเหตุการณ์ความเสี่ยง โดยพิจารณาจากปัจจัยแหล่งข้อมูลความเสี่ยงที่สําคัญ ได้แก่ 1) ปัจจัยเสี่ยง Risk Factor (RF) ของธนาคาร 2) ผลการตรวจสอบจาก ธปท. สตง. และสายงานตรวจสอบ 3) ผลการประเมินการ ควบคุมอย่างอิสระ (IA) 4) กระบวนการย่อยที่ไม่ได้รับการตรวจสอบภายใน 2 ปี 5) ความเสี่ยงจากการทุจริต และ 6) การปฏิบัติตามกฎเกณฑ์ทางการที่สําคัญ โดยกําหนดหลักเกณฑ์แบ่งเป็น 5 ระดับ ดังนี้ ตารางอธิบายโอกาสเกิดเหตุการณ์ (Likelihood) ระดับ (Level) ค าจ ากัดความ (Definition) โอกาสและความน่าจะเป็น (Opportunity and Probability) ความถี่ (Frequency) ความถี่ จากผลการตรวจสอบ 5 สูง (High) มีโอกาสเกิดขึ้นสูง (มากกว่า 50%) ภายใน 1 สัปดาห์ เกิดขึ้น มากกว่าหรือเท่ากับ 1 ครั้ง ภายในปีบัญชี ตรวจพบ ประเด็น เกิดขึ้นทุกไตรมาส 4 ค่อนข้างสูง (Nearly High) มีโอกาสเกิดขึ้นค่อนข้างสูง (31 - 50%) ภายใน 1 เดือน เกิดขึ้นมากกว่า หรือเท่ากับ 1 ครั้ง ภายในปีบัญชี ตรวจพบ ประเด็น เกิดขึ้น 3 ไตรมาส 3 ปานกลาง (Medium) มีโอกาสเกิดขึ้นได้ในบางครั้ง (11 - 30%) ภายใน 1 ปี เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง ภายในปีบัญชี ตรวจพบ ประเด็น เกิดขึ้น 2 ไตรมาส 2 ค่อนข้างต่ า (Nearly Low) แทบจะไม่มีโอกาสเกิดขึ้น (6 - 10%) มากกว่า 1 ปี แต่ไม่เกิน 3 ปี เกิดขึ้นมากกว่าหรือเท่ากับ 1 ครั้ง ภายในปีบัญชี ตรวจพบ ประเด็น เกิดขึ้น 1 ไตรมาส 1 ต่ า (Low) เกิดขึ้นได้ยากมาก (น้อยกว่าหรือเท่ากับ 5%) เหตุการณ์นี้ไม่เคยเกิดขึ้น หรือ มากกว่า 3 ปีเกิดขึ้นมากกว่า หรือเท่ากับ 1 ครั้ง ภายในปีบัญชีไม่พบประเด็น ข้อสังเกต การประเมินด้านผลกระทบ (Impact)คือ การประเมินผลกระทบที่เกิดขึ้นทั้งที่เป็นตัวเงินและไม่เป็น ตัวเงิน หากเกิดเหตุการณ์ความเสี่ยงขึ้น ซึ่งได้กําหนดน้ําหนักและผลกระทบ แบ่งเป็น 4ด้านที่สําคัญ และในแต่ละด้านได้ กําหนดหลักเกณฑ์แบ่งเป็น 5 ระดับ ดังนี้ ระดับ (Level) 1. ด้านการเงิน (น้ าหนักร้อยละ 25) ผลกระทบต่อก าไรสุทธิ ผลกระทบด้านสภาพคล่อง 5 สูง (High) กําไรสุทธิลดลงมากกว่าร้อยละ 3 อัตราส่วนสภาพคล่องต่อเงินฝากรวม น้อยกว่า ร้อยละ 8 4 ค่อนข้างสูง (Nearly High) กําไรสุทธิลดลงร้อยละ 2-3 อัตราส่วนสภาพคล่องต่อเงินฝากรวม ร้อยละ 8 - 8.99 3 ปานกลาง (Medium) กําไรสุทธิลดลง ร้อยละ 1-2 อัตราส่วนสภาพคล่องต่อเงินฝากรวม ร้อยละ 9 - 9.99 2 ค่อนข้างต่ํา (Nearly Low) กําไรสุทธิลดลงไม่เกินร้อยละ 1 อัตราส่วนสภาพคล่องต่อเงินฝากรวม ร้อยละ 10 – 10.99 1 ต่ํา (Low) ไม่มีผลกระทบต่อกําไรสุทธิ อัตราส่วนสภาพคล่องต่อเงินฝากรวม ตั้งแต่ ร้อยละ 11 ขึ้นไป

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 100 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ระดับ (Level) 2. ด้านการด าเนินงาน (น้ าหนักร้อยละ 25) 5 สูง (High) การให้บริการหยุดชะงักตั้งแต่ 7 ชั่วโมงขึ้นไป 4 ค่อนข้างสูง (Nearly High) การให้บริการหยุดชะงักไม่เกิน 6 ชั่วโมง 3 ปานกลาง (Medium) การให้บริการหยุดชะงักไม่เกิน 5 ชั่วโมง 2 ค่อนข้างต่ํา (Nearly Low) การให้บริการหยุดชะงักไม่เกิน 4 ชั่วโมง 1 ต่ํา (Low) การให้บริการไม่หยุดชะงัก ระดับ (Level) 3. ด้านภาพลักษณ์ชื่อเสียง (น้ าหนักร้อยละ 25) ระยะเวลาการจัดการข่าว ข้อร้องเรียนในเรื่องเดียวกันจากลูกค้าผ่าน Call Center 5 สูง (High) บริหารจัดการได้โดยใช้เวลามากกว่า 4 วัน บริหารจัดการได้โดยใช้เวลามากกว่า 10 วัน 4 ค่อนข้างสูง (Nearly High) บริหารจัดการได้ภายใน 4 วัน บริหารจัดการได้ภายใน 10 วัน 3 ปานกลาง (Medium) บริหารจัดการได้ภายใน 3 วัน บริหารจัดการได้ภายใน 5 วัน 2 ค่อนข้างต่ํา (Nearly Low) บริหารจัดการได้ภายใน 2 วัน บริหารจัดการได้ภายใน 3 วัน 1 ต่ํา (Low) บริหารจัดการได้ภายใน 1 วัน บริหารจัดการได้ภายใน 1 วัน ระดับ (Level) 4. ด้านกฎหมายและข้อบังคับ (น้ าหนักร้อยละ 25) 5 สูง (High) ไม่ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมายหรือสัญญาหรือข้อตกลง และมีผลตามมา ในทางปฏิบัติที่รุนแรง ถูกฟูองร้องดําเนินคดีก่อให้เกิดความเสียหายด้านการเงิน 4 ค่อนข้างสูง (Nearly High) ไม่ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมายหรือสัญญาหรือข้อตกลง และมีผลตามมา ในทางปฏิบัติที่รุนแรง ก่อให้เกิดความเสียหายด้านการเงินแต่ไม่ถูกฟูองร้องดําเนินคดี 3 ปานกลาง (Medium) ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมายหรือสัญญาหรือข้อตกลงแต่ไม่ครบถ้วน ไม่ถูก ฟูองร้องดําเนินคดีไม่ก่อให้เกิดความเสียหายด้านการเงิน และต้องชี้แจงต่อหน่วยงานกํากับดูแล 2 ค่อนข้างต่ํา (Nearly Low) ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมายหรือสัญญาหรือข้อตกลงแต่ไม่ครบถ้วน ไม่ถูก ฟูองร้องดําเนินคดีไม่ก่อให้เกิดความเสียหายด้านการเงิน และไม่ต้องชี้แจงต่อหน่วยงานกํากับดูแล 1 ต่ํา (Low) ปฏิบัติตามกฎหมายหรือกฎระเบียบหรือข้อบังคับหรือสัญญาหรือข้อตกลง

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 101 เมื่อได้ประเมินค่าระดับของโอกาสและผลกระทบของแต่ละกระบวนการแล้ว จะนําค่าดังกล่าวมาประเมินระดับ ความเสี่ยง โดยการเอาค่าของ โอกาส x ผลกระทบ = ระดับความเสี่ยง โอกาสที่จะเกิด (Likelihood) ผลกระทบ (Impact) 1 ต่ ามาก 2 ต่ า 3 ปานกลาง 4 สูง 5 สูงมาก 5 - สูง M5 NH10 NH15 H20 H25 4 - ค่อนข้างสูง NL4 M8 NH12 NH16 H20 3 - ปานกลาง NL3 M6 M9 NH12 NH15 2 - ค่อนข้างต่ า L2 NL4 M6 M8 NH10 1 - ต่ า L1 l2 NL3 NL4 M5 เกณฑ์ระดับความเสี่ยง คะแนน ความหมาย สูง (H: High) (20-25) ความเสี่ยงที่มีความสําคัญสูงมาก จําเป็นต้องได้รับการจัดการทันที ค่อนข้างสูง (NH: Nearly High) (10-16) ความเสี่ยงที่มีความสําคัญสูง จะต้องได้รับการจัดการในลําดับถัดมา ปานกลาง (M: Medium) (5-9) ความเสี่ยงที่มีความสําคัญ และต้องติดตามการปฏิบัติตามมาตรการจัดการ ความเสี่ยงที่ดําเนินการอยู่ในปัจจุบันอย่างเคร่งครัด ค่อนข้างต่ า (NL: Nearly Low) (3-4) ความเสี่ยงที่มีความสําคัญน้อย อยู่ในระดับที่ผู้บริหารยอมรับได้ แต่ต้อง ติดตามอย่างสม่ําเสมอ ต่ า (L: Low) (1-2) ความเสี่ยงที่มีความสําคัญน้อย อยู่ในระดับที่ผู้บริหารยอมรับได้ แหล่งอ้างอิง: 1) ISO 31000:2009 Guide Line และ 2) Project Management Institution (PMI) ระดับความเสี่ยง ความถี่การตรวจสอบ สูง เข้าตรวจสอบทุกปี ค่อนข้างสูง เข้าตรวจสอบทุกปี ปานกลาง เข้าตรวจสอบแบบปีเว้นปี ค่อนข้างต่ า เข้าตรวจสอบแบบปีเว้น 2 ปี ต่ า เข้าตรวจสอบแบบปีเว้น 3 ปี

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 102 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 3) ผลการประเมินความเสี่ยงเพื่อคัดเลือกกระบวนการย่อยที่ส าคัญของธนาคาร เพื่อวางแผน การตรวจสอบ ประจ าปีบัญชี 2566 กระบวนการที่สําคัญ คะแนน ความเสี่ยง ระดับ ความเสี่ยง 1. กระบวนการจัดการความยั่งยืนขององค์กร ค่อนข้างต่ํา 2. กระบวนการควบคุมภายใน ปานกลาง 3. กระบวนการบริหารความเสี่ยง ปานกลาง 4. กระบวนการสอบทานสินเชื่อ ต่ํา 5. กระบวนการเฝูาระวังและตรวจจับการทุจริต ปานกลาง 6. กระบวนการกํากับดูแลกิจการที่ดี ปานกลาง 7. กระบวนการปฏิบัติตามกฎเกณฑ์ ค่อนข้างสูง 8. กระบวนการจัดทําแผน ค่อนข้างสูง 9. กระบวนการออกแบบระบบงาน (Work System) ปานกลาง 10. กระบวนการวิเคราะห์ข้อมูลสารสนเทศเพื่อการบริหาร ปานกลาง 11. กระบวนการติดตามและประเมินผลรัฐวิสาหกิจ ค่อนข้างต่ํา 12. กระบวนการเสริม/รักษาสภาพคล่องของธนาคาร ค่อนข้างต่ํา 13. กระบวนการบริหารสภาพคล่องส่วนเกิน ค่อนข้างต่ํา 14. กระบวนการบริหารความเสี่ยงทางการเงิน ค่อนข้างต่ํา 15. กระบวนการลงทุน (Investment) ค่อนข้างต่ํา 16. กระบวนการบริหารทุนมนุษย์ ปานกลาง 17. กระบวนการพัฒนาทุนมนุษย์ ค่อนข้างต่ํา 18. กระบวนการจัดการโครงสร้างองค์กร ปานกลาง 19. กระบวนการจัดการด้านวินัยพนักงาน ปานกลาง 20. กระบวนการจัดการฐานข้อมูลลูกค้า ค่อนข้างสูง 21. บริหารพอร์ตโฟลิโอด้านเงินฝาก ค่อนข้างต่ํา 22. กระบวนการส่งเสริมเงินฝาก ค่อนข้างต่ํา 23. สินเชื่อบุคคลและเกษตรกร ค่อนข้างสูง 24. สินเชื่อสถาบันและผู้ประกอบการ ค่อนข้างสูง 25. สินเชื่อนโยบายรัฐ ค่อนข้างสูง 26. การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มีโอกาสจะเป็นหนี้ค้างชําระ ค่อนข้างสูง 27. กระบวนการพัฒนาความรู้ให้กับลูกค้า ค่อนข้างต่ํา 28. กระบวนการพัฒนาตลาดลูกค้า ค่อนข้างต่ํา 29. กระบวนการธุรกรรมฝาก-ถอน ปานกลาง 30. กระบวนการธุรกรรมรับชําระค่าบริการ ค่อนข้างต่ํา 31. กระบวนการการให้ธุรกรรมต่างประเทศ ต่ํา 32. กระบวนการโอนเงิน ต่ํา 33. กระบวนการให้บริการธุรกรรมประกันชีวิต/ประกันภัย ค่อนข้างต่ํา 34. กระบวนการให้บริการธุรกรรมเงินฝากสงเคราะห์ชีวิต ต่ํา 35. กระบวนการบัญชีการเงินและรายงานทางการเงิน ปานกลาง 36. กระบวนการจัดการงานอุทธรณ์ ต่ํา 37. กระบวนการจัดการงานที่ปรึกษา ต่ํา

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 103 กระบวนการที่สําคัญ คะแนน ความเสี่ยง ระดับ ความเสี่ยง 38. กระบวนการจัดการงานกฎหมายธุรกิจและระหว่างประเทศ ต่ํา 39. กระบวนการจัดการงานอรรถคดี ต่ํา 40. กระบวนการจัดการงานความรับผิดทางละเมิด ปานกลาง 41. กระบวนการจัดการงานบริหารหนี้ดําเนินคดี ค่อนข้างต่ํา 42. กระบวนการบริหารจัดการหนี้ขาดจะขาดอายุความ ปานกลาง 43. กระบวนการบริหารจัดการเอกสาร ต่ํา 44. กระบวนการจัดซื้อจัดจ้าง ปานกลาง 45. กระบวนการบริหารทรัพย์สิน (ฝนย. ฝบช. ฝอก.) ค่อนข้างสูง 46. กระบวนการบริหารจัดการอาคารสถานที่ ต่ํา 47. การบริหารและการจัดการด้านความปลอดภัยอาชีวอนามัย และสภาพแวดล้อมในการทํางาน ต่ํา 48. กระบวนการการบริหารจัดการยานพาหนะ และขนส่ง ต่ํา 49. กระบวนการบริหารการประชุม ต่ํา 50. กระบวนการการประชาสัมพันธ์ ต่ํา 51. กระบวนการสื่อสาร ต่ํา 52. กระบวนการจัดการเสียงของลูกค้า (VOC) ปานกลาง 53. กระบวนการบริหารลูกค้าสัมพันธ์ ต่ํา 54. General Computer Control ปานกลาง 55. Application Control ปานกลาง 56. Third Party ค่อนข้างต่ํา 57. IT Risk Management ปานกลาง 58. กระบวนการวิจัย ต่ํา 59. กระบวนการประเมินผล ค่อนข้างต่ํา 60. กระบวนการส่งเสริมนวัตกรรม ค่อนข้างต่ํา

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 104 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ผลการประเมินและจัดระดับความเสี่ยงกระบวนการย่อยที่ส าคัญของธนาคาร จ านวน 60 กระบวนการย่อย ระดับความเสี่ยง จํานวนกระบวนการย่อย ความถี่การตรวจสอบ สูง 0 เข้าตรวจสอบทุกปี ค่อนข้างสูง 8 เข้าตรวจสอบทุกปี ปานกลาง 18 เข้าตรวจสอบแบบปีเว้นปี ค่อนข้างต่ํา 17 เข้าตรวจสอบแบบปีเว้น 2 ปี ต่ํา 17 เข้าตรวจสอบแบบปีเว้น 3 ปี รวม 60 ทั้งนี้ จากผลการประเมินและจัดระดับความเสี่ยงของกระบวนการดังกล่าวข้างต้น ได้นําปัจจัยร่วม พิจารณาเพิ่มเติมอีก 4 ปัจจัย ได้แก่ 1)กฎเกณฑ์สําคัญที่ต้องดําเนินการ 2) เหตุการณ์เกิดทุจริตสําคัญ 3) ความ คาดหวัง/ข้อเสนอแนะและข้อห่วงใยจากคณะกรรมการตรวจสอบ ธ.ก.ส. ฝุายจัดการ และ 4) กระบวนการย่อยที่ ไม่ได้ตรวจสอบมาเป็นระยะเวลา 2 ปี จะได้รับการคัดเลือกให้เข้าสอบทานทันที ปรากฏตามตารางสรุปด้านล่างนี้ ผลการประเมินและจัดระดับความเสี่ยงกระบวนการย่อยที่ส าคัญของธนาคาร ประจ าปีบัญชี 2566 กระบวนการ ระดับ ความเสี่ยง กฎเกณฑ์ ส าคัญ ความคาดหวัง AC MD MC เรื่องที่ไม่ได้ ตรวจ2 ปี 1. กระบวนการจัดการฐานข้อมูลลูกค้า (C ) ค่อนข้างสูง * * 2. การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มี โอกาสจะเป็นหนี้ค้างชําระ (C ) ค่อนข้างสูง * * 3. สินเชื่อบุคคลและเกษตรกร (C ) ค่อนข้างสูง * * 4. สินเชื่อสถาบันและผู้ประกอบการ (C ) ค่อนข้างสูง * * 5. สินเชื่อนโยบายรัฐ (C ) ค่อนข้างสูง * * 6. กระบวนการปฏิบัติตามกฎเกณฑ์ (M) ค่อนข้างสูง * * 7. กระบวนการบริหารทรัพย์สิน (S) ค่อนข้างสูง * 8. กระบวนการจัดทําแผน (M) ค่อนข้างสูง * * 9. กระบวนการควบคุมภายใน (M) ปานกลาง * * 10. กระบวนการบริหารความเสี่ยง (M) ปานกลาง * * 11. กระบวนการกํากับดูแลกิจการที่ดี (M) ปานกลาง * * 12. กระบวนการธุรกรรมฝาก-ถอน (C ) ปานกลาง * 13. กระบวนการเฝูาระวังและตรวจจับการทุจริต (M) ปานกลาง * 14. กระบวนการจัดการด้านวินัยพนักงาน (M) ปานกลาง * 15. กระบวนการวิเคราะห์ข้อมูลสารสนเทศ เพื่อการบริหาร (M) ปานกลาง * 16. กระบวนการบัญชีการเงินและรายงานทางการเงิน (S) ปานกลาง * 17. กระบวนการออกแบบระบบงาน (Work System) (M) ปานกลาง * 18. กระบวนการจัดการโครงสร้างองค์กร (M) ปานกลาง * 19. กระบวนการบริหารทุนมนุษย์ (M) ปานกลาง * 20. กระบวนการจัดซื้อจัดจ้าง (S) ปานกลาง * 21. General Computer Control (S) ปานกลาง *

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 105 กระบวนการ ระดับ ความเสี่ยง กฎเกณฑ์ ส าคัญ ความคาดหวัง AC MD MC เรื่องที่ไม่ได้ ตรวจ2 ปี 22. Application Control (S) ปานกลาง * 23. IT Risk Management (S) ปานกลาง * * 24. กระบวนการจัดการเสียงของลูกค้า (VOC) (S) ปานกลาง * 25. กระบวนการให้บริการธุรกรรมประกันชีวิต / ประกันภัย (C ) ค่อนข้างต่ํา * 26. กระบวนการธุรกรรมรับชําระค่าบริการ (C ) ค่อนข้างต่ํา * 27. กระบวนการพัฒนาทุนมนุษย์ (M) ค่อนข้างต่ํา * * 28. กระบวนการบริหารสภาพคล่องส่วนเกิน (M) ค่อนข้างต่ํา * * 29. กระบวนการเสริม/รักษาสภาพคล่องของธนาคาร (M) ค่อนข้างต่ํา * 30. กระบวนการติดตามและประเมินผลรัฐวิสาหกิจ (M) ค่อนข้างต่ํา * 31. กระบวนการจัดการความยั่งยืนขององค์กร (M) ค่อนข้างต่ํา * 32. กระบวนการส่งเสริมนวัตกรรม (S) ค่อนข้างต่ํา * 33. Thrid party (S) ค่อนข้างต่ํา * 34. กระบวนการสอบทานสินเชื่อ (M) ต่ํา * 35. กระบวนการให้บริการธุรกรรมเงินฝาก สงเคราะห์ชีวิต (C ) ต่ํา * 36. กระบวนการการให้บริการธุรกรรมต่างประเทศ (C ) ต่ํา * 37. กระบวนการบริหารลูกค้าสัมพันธ์ (S) ต่ํา * หมายเหตุ C หมายถึง กระบวนการหลัก (Core Process) M หมายถึง กระบวนการบริหารการจัดการ (Management Process) S หมายถึง กระบวนการสนับสนุน (Support Process)

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 106 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 10.2 การจัดท าแผนการตรวจสอบด้านเทคโนโลยีและสารสนเทศ สํานักตรวจสอบเทคโนโลยีและสารสนเทศ ใช้ COBIT (Control Objectives for Information and Related Technology) ซึ่งเป็นกรอบการดําเนินงานด้านเทคโนโลยีและสารสนเทศ มาเป็นแนวทางในการ กําหนดกรอบการตรวจสอบเพื่อให้ครอบคลุมกระบวนการหลักด้านเทคโนโลยีสารสนเทศ และระบบสารสนเทศที่ สําคัญต่อการดําเนินธุรกิจของธนาคารอย่างครบถ้วน และมีความสอดคล้องกับวัตถุประสงค์ขององค์กร ภาพรวมกระบวนการจัดทําแผนการตรวจสอบด้านเทคโนโลยีสารสนเทศ

·

·
(Risk Profile) ·
·



·
·


·

·


·
· ·

· ·
· · · แหล่งที่มา : “The IT audit plan process” (Figure 2), Developing the IT Audit Plan, GTAG, 2008 ภาพที่ 1 ภาพรวมกระบวนการจัดทําแผนการตรวจสอบด้านเทคโนโลยีสารสนเทศ โดยได้นําแนวทางความต้องการของผู้มีส่วนได้ส่วนเสียมาพิจารณากําหนดให้เป็นเปูาหมาย ขององค์กร เปูาหมายที่สอดคล้องกับวัตถุประสงค์ทางธุรกิจ และเปูาหมายในการกํากับดูแลและบริหารจัดการอย่าง เหมาะสม ทุกระดับและทุกด้านขององค์กร เพื่อสนับสนุนเปูาหมายและความต้องการของผู้มีส่วนได้เสียโดยรวม โดย สตท. นําขั้นตอนในการกําหนดกรอบการดําเนินงานดังกล่าวมากําหนดกรอบในการตรวจสอบการดําเนินงาน ด้านเทคโนโลยีและสารสนเทศให้สอดรับกับเปูาหมายขององค์กร ดังภาพ ภาพที่ 2 ขั้นตอนในการส่งทอดเปูาหมายในการดําเนินงานด้านเทคโนโลยีและสารสนเทศตามแนว COBIT

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 107 จากการเก็บรวบรวมแหล่งข้อมูลต่าง ๆ ที่ใช้ในการพิจารณากําหนดกรอบการตรวจสอบตามแนว COBIT สามารถสรุปผลการกําหนดกรอบการตรวจสอบตามแนว COBIT ในภาพรวม ได้ดังรูป แหล่งที่มา : ดัดแปลงมาจาก “Understanding the IT environment in a business context”(Figure 3), Developing the IT Audit Plan, GTAG, 2008 ภาพที่ 3 กรอบการตรวจสอบตามแนวทาง COBIT โดยกรอบการตรวจสอบจะถูกกําหนดจากแผนกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศและเปูาประสงค์องค์กร (Strategic Goals) ตามกรอบการดําเนินงาน COBIT โดยครอบคลุมงานตรวจสอบทั้ง 2 ด้าน ดังนี้ 1. การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (General Computer Controls) 2. การควบคุมด้านระบบงาน (Application Controls) 1. การจัดท าแผนการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (General Computer Controls) ภาพที่ 4 แผนภาพแสดงกระบวนการจัดทําแผนการตรวจสอบการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ M1 : การจัดการองค์กรสู่ความยั่งยืน M3 : การวางแผนเชิงกลยุทธ์ M4 : การบริหารเงินทุน M5 : ทรัพยากรมนุษย์ M2 : การก ากับดูแลกิจการที่ดี และการบริหารความเสี่ยง C4 : บริการด้านธุรกรรมทางการธนาคาร C3 : การพัฒนาชนบทและ เศรษฐกิจฐานราก C1 : บริการด้านเงินฝาก C2 : บริการด้านสินเชื่อ S1 : การบัญชี S2 : การอ านวยการ S3 : การตลาด S4 : เทคโนโลยีดิจิทัลและการจัดการ ข้อมูลสารสนเทศ S5 : วิจัย และนวัตกรรม

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 108 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น การดําเนินการกําหนดกรอบการตรวจสอบตามแนว COBIT โดยผู้ตรวจสอบภายในได้เลือกใช้ แผนกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ เป็นปัจจัยหลักเพื่อพิจารณาดําเนินการ โดยมีขั้นตอน ดังนี้ ขั้นตอนที่ 1 การรวบรวมข้อมูล ขั้นตอนที่ 2 การประเมินความเสี่ยง ขั้นตอนที่ 3 การจัดระดับความสําคัญ ขั้นตอนที่ 4 การกําหนดระยะเวลาการตรวจสอบและการจัดสรรทรัพยากร ซึ่งมีรายละเอียดในแต่ละขั้นตอน ดังต่อไปนี้ ขั้นตอนที่ 1 การรวบรวมข้อมูล 1. ศึกษาแผนแม่บทด้านดิจิทัล (Digital Master Plan) ผลการประเมินตนเองเพื่อควบคุม ความเสี่ยง (Control Self-Assessment: CSA) ของส่วนงานด้านดิจิทัลและเทคโนโลยีสารสนเทศของธนาคาร เพื่อ ทราบทิศทางและความเสี่ยงทางด้านเทคโนโลยีสารสนเทศของธนาคาร 2. รายงานผลการตรวจสอบประจําปี ข้อมูลการเกิดเหตุการณ์ผิดปกติ (Incident) ต่าง ๆ ในการ ให้บริการระบบเทคโนโลยีสารสนเทศ (ศูนย์รักษาความมั่นคงปลอดภัยเทคโนโลยีและสารสนเทศ (ศรส.)) ขั้นตอนที่ 2 การประเมินความเสี่ยง 1. จากการรวบรวมข้อมูลความเสี่ยงด้านเทคโนโลยีสารสนเทศ สามารถระบุปัจจัยความเสี่ยง ด้านเทคโนโลยีสารสนเทศของธนาคาร จํานวน 24 ปัจจัย 2. ประเมินความเสี่ยง 24 ปัจจัยความเสี่ยงดังกล่าว โดยพิจารณาใน 2 ด้าน คือ ด้านโอกาสเกิด และผลกระทบ ตารางที่ 1 ปัจจัยความเสี่ยงด้านเทคโนโลยีสารสนเทศของธนาคาร ล าดับที่ ประเภทความเสี่ยง Ref. ความเสี่ยงด้านเทคโนโลยีสารสนเทศ 1 Emerging Technology Risk ER1 ความเสี่ยงที่ระบบงานในปัจจุบันหรือระบบที่กําลังพัฒนา ไม่สามารถรองรับเทคโนโลยีใหม่ตามแผนกลยุทธ์ทางธุรกิจ 2 Emerging Technology Risk ER2 ไม่ได้พิจารณาถึงเทคโนโลยีใหม่และเป็นเทคโนโลยีสําคัญ เพื่อนํามาใช้เพิ่มช่องทางการให้บริการ หรือสอดคล้องรองรับ ความต้องการทางธุรกิจในอนาคต 3 Emerging Technology Risk ER3 ผู้บริหารธนาคารไม่มีความรู้ความเข้าใจ ICT หรือนวัตกรรมใหม่ ๆ ส่งผลให้ไม่สามารถนํา ICT มาใช้ในองค์กรเพื่อเพิ่มโอกาส ทางด้านธุรกิจในเชิงการแข่งขัน 4 Security Risk SC1 นโยบายการรักษาความปลอดภัยหรือมาตรการด้านการรักษา ความปลอดภัยไม่รองรับความเสี่ยงของเทคโนโลยีใหม่ ๆ 5 Security Risk SC2 มาตรการควบคุมการเข้าถึงระบบสารสนเทศโดยไม่ได้รับอนุญาต ไม่เพียงพอ 6 IT Resilience Risk IR1 ระบบงานด้านสารสนเทศที่ใช้งานในปัจจุบัน หรือ Network ไม่มี เสถียรภาพ ไม่สามารถนํามาใช้ในการปฏิบัติงานหรือ บริหารงาน อย่างต่อเนื่อง 7 IT Resilience Risk IR2 กระบวนการในการจัดการเหตุการณ์หรือปัญหาในด้าน สารสนเทศไม่มีประสิทธิภาพ ส่งผลให้การให้บริการไม่มี ประสิทธิภาพ 8 Incident Response Risk IR3 ขาดความสามารถในการรับมือ หรือจัดการเหตุการณ์ หรือ

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 109 ล าดับที่ ประเภทความเสี่ยง Ref. ความเสี่ยงด้านเทคโนโลยีสารสนเทศ Incident ที่เกิดขึ้น 9 IT Business Risk IB1 ไม่มีการประเมินผลกระทบที่เกิดจากการพัฒนาหรือปรับปรุง ระบบที่มีต่อการดําเนินการทางธุรกิจ หรือประเมินผลกระทบไม่ ถูกต้องครบถ้วน 10 IT Business Risk IB2 ไม่มีการทดสอบระบบหรือมีการทดสอบไม่ละเอียดครบถ้วน เพียงพอก่อนติดตั้งระบบเพื่อใช้งานจริง 11 IT Business Risk IB3 การเก็บข้อมูลความต้องการผู้ใช้งานไม่ครบถ้วนและ/หรือการ พัฒนาระบบไม่ตรงตามความต้องการผู้ใช้งาน 12 IT compliance risk IC1 การรักษาความปลอดภัยในระบบไม่เป็นไปตามระเบียบข้อบังคับ ของ ธปท. กฎหมายที่เกี่ยวข้อง เช่น พ.ร.บ.ว่าด้วยการกระทําผิด เกี่ยวกับคอมพิวเตอร์เป็นต้น รวมถึงมาตรฐานด้านความมั่นคง ปลอดภัย เช่น ISO/IEC 27001 เป็นต้น 13 Data Security Risk DS1 โปรแกรมหรือข้อมูลสําคัญในระบบถูกนําไปใช้แก้ไขเปลี่ยนแปลง โดยบุคคลที่ไม่ได้รับอนุญาต 14 Data Quality Risk DS2 ข้อมูลไม่ถูกต้อง ไม่ครบถ้วน และ/หรือขาดข้อมูลที่จําเป็น 15 Data Privacy Risk DS3 มาตรการควบคุมภายในเพื่อปูองกันการละเมิดข้อมูลสารสนเทศ และข้อมูลส่วนบุคคลไม่มีประสิทธิภาพ 16 IT Project Risk PM1 โครงการมีค่าใช้จ่ายสูงเกินกว่างบประมาณที่กําหนดไว้ หรือมีค่าใช้จ่ายเพิ่มเติมในการดําเนินโครงการ 17 IT Project Risk PM2 โครงการเสร็จล่าช้ากว่าแผนที่กําหนดหรือไม่สําเร็จตามแผน 18 IT Project Risk PM3 ขาดบุคลากรหรือผู้เชี่ยวชาญในการดําเนินงานโครงการ 19 IT Development ID1 การพัฒนาระบบสารสนเทศไม่เป็นไปตามนโยบาย ระเบียบ ข้อบังคับของธนาคารหรือไม่ครอบคลุมตามความต้องการใช้งาน 20 IT Asset Management Risk AM1 การตรวจรับทรัพย์สินของโครงการไม่ถูกต้องครบถ้วนตาม วัตถุประสงค์ที่ขอให้จัดหาหรือตามข้อกําหนดใน TOR 21 IT Asset Management Risk AM2 ทะเบียนทรัพย์สินทาง IT ไม่ถูกต้องครบถ้วนหรือไม่มีการ ปรับปรุงให้เป็นปัจจุบัน 22 IT Asset Management Risk AM3 ความเสี่ยงที่ธนาคารใช้Non-licensed Software 23 Sourcing Risk SR1 เจ้าหน้าที่ด้าน IT ไม่มีความรู้เพียงพอในการให้บริการระบบงาน หรือเทคโนโลยีใหม่ ส่งผลให้ไม่สามารถติดตามการทํางานหรือ การแก้ไขปัญหาได้อย่างมีประสิทธิภาพ 24 Sourcing Risk SR2 ขาดกระบวนการในการถ่ายทอดความรู้ทักษะให้เจ้าหน้าที่ IT ในการดูแลบริหารจัดการระบบ

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 110 นอกจากนี้การประเมินความเสี่ยงในส่วนของ General Computer Controls จะต้องคําน ก. เกณฑ์ด้านผลกระทบ (Impact Rating) ตารางที่ 2 ตารางเกณฑ์ด้านผลกระทบ ระดับ (Level) ด้านการเงิน ด้านการดำเนินงาน ผลกระทบ ต่อกำไรสุทธิ ผลกระทบด้าน สภาพคล่อง 5 สูง (High) กําไรสุทธิลดลง มากกว่าร้อยละ 3 อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม น้อยกว่า ร้อยละ 9 ส่งผลกระทบต่อการดําเนินธุรกรรมสําคัญ ของธนาคารและสามารถกู้คืนระบบได้เกิน ระยะเวลา MTPD โดยใช้แผน BCP/DRP ระหว่างที่มีการกู้คืนระบบ 4 ค่อนข้างสูง (Nearly High) กําไรสุทธิลดลง ร้อยละ 2 - 3 อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม ร้อยละ 9 - 9.99 ส่งผลกระทบต่อการดําเนินธุรกรรมสําคัญของ ธนาคารและสามารถกู้คืนระบบได้เกินระยะเวล RTO แต่ไม่เกิน MTPD โดยใช้แผน BCP/DRP ระหว่างที่มีการกู้คืนระบบ MTPD 3 ปานกลาง (Medium) กําไรสุทธิลดลง ร้อยละ 1 - 2 อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม ร้อยละ 10 - 10.99 ส่งผลกระทบต่อการดําเนินธุรกรรมสําคัญ ของธนาคารและ สามารถกู้คืนระบบได้ไม่ เกินระยะเวลา RTO โดยใช้แผน BCP/DRP ระหว่างที่มีการกู้คืนระบบ 2 ค่อนข้างต่ํา (Nearly Low) กําไรสุทธิลดลง ไม่เกิน ร้อยละ 1 อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม ร้อยละ 10 – 10.99 ส่งผลกระทบต่อการดําเนินธุรกรรมสําคัญ ของธนาคารและ สามารถกู้คืนระบบได้ไม่ เกินระยะเวลา RTO โดยไม่ใช้แผน BCP/DRP ระหว่างที่มีการกู้คืนระบบ 1 ต่ํา (Low) ไม่มีผลกระทบต่อ กําไรสุทธิ อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม ตั้งแต่ ร้อยละ 11 ขึ้นไป ไม่ส่งผลกระทบต่อการดําเนินธุรกรรม สําคัญของธนาคาร

เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น นึงถึงเกณฑ์ ด้านโอกาสเกิด และผลกระทบ โดยมีเกณฑ์ในการประเมิน ดังนี้ ด้านภาพลักษณ์ชื่อเสียง ด้านกฎหมายและข้อบังคับ ระยะเวลา การจัดการข่าว ข้อร้องเรียนในเรื่องเดียวกัน จากลูกค้าผ่าน Call Center ของธนาคารที่กระทบกับ ภาพลักษณ์และชื่อเสียง น บริหารจัดการได้ โดยใช้เวลา มากกว่า 4 วัน บริหารจัดการได้โดยใช้เวลา มากกว่า 10 วัน ไม่ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือ กฎหมายหรือสัญญาหรือข้อตกลง และมีผล ตามมาในทางปฏิบัติที่รุนแรง ถูกฟูองร้อง ดําเนินคดี ก่อให้เกิดความเสียหายด้านการเงิน ลา บริหารจัดการได้ ภายใน 4 วัน บริหารจัดการได้ภายใน 10 วัน ไม่ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือ กฎหมายหรือสัญญาหรือข้อตกลง และมีผลตาม มาในทางปฏิบัติที่รุนแรงก่อให้เกิดความเสียหาย ด้านการเงินแต่ไม่ถูกฟูองร้องดําเนินคดี P บริหารจัดการได้ ภายใน 3 วัน บริหารจัดการได้ภายใน 5 วัน ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมาย หรือสัญญาหรือข้อตกลงแต่ไม่ครบถ้วน ไม่ถูก ฟูองร้องดําเนินคดี ไม่ก่อให้เกิดความเสียหาย ด้านการเงิน และต้องชี้แจงต่อหน่วยงานกํากับดูแล บริหารจัดการได้ ภายใน 2 วัน บริหารจัดการได้ภายใน 3 วัน ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมาย หรือสัญญาหรือข้อตกลงแต่ไม่ครบถ้วน ไม่ถูก ฟูองร้องดําเนินคดี ไม่ก่อให้เกิดความเสียหาย ด้านการเงิน และไม่ต้องชี้แจงต่อหน่วยงานกํากับดูแล บริหารจัดการได้ ภายใน 1 วัน บริหารจัดการได้ภายใน 1 วัน ปฏิบัติตามกฎหมายหรือกฎระเบียบหรือข้อบังคับ หรือสัญญาหรือข้อตกลง

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 111 ข. เกณฑ์ด้านโอกาสเกิด (Likelihood Rating) ตารางที่ 3 ตารางเกณฑ์ด้านโอกาสเกิด ระดับ (Level) ค าจ ากัดความ (Definition) โอกาสและความน่าจะเป็น (Opportunity and Probability) ความถี่ (Frequency) 5 สูง (High) มีโอกาสเกิดขึ้นสูง (มากกว่า 50 %) ภายใน 1 เดือน เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง 4 ค่อนข้างสูง (Nearly High) มีโอกาสเกิดขึ้นค่อนข้างสูง (31 – 50 %) ภายใน 1 ไตรมาส เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง 3 ปานกลาง (Medium) มีโอกาสเกิดขึ้นได้ในบางครั้ง (11 – 30 %) ภายใน 1 ปี เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง 2 ค่อนข้างต่ํา (Nearly Low) แทบจะไม่มีโอกาสเกิดขึ้น (6 – 10 %) มากกว่า 1 ปี แต่ไม่เกิน 3 ปี เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง 1 ต่ํา (Low) เกิดขึ้นได้ยากมาก (น้อยกว่าหรือเท่ากับ 5%) เหตุการณ์นี้ไม่เคยเกิดขึ้น หรือ มากกว่า 3 ปี เกิดขึ้น มากกว่าหรือเท่ากับ 1 ครั้ง หมายเหตุ : เกณฑ์การประเมินความเสี่ยงอ้างอิงตามขั้นตอนปฏิบัติสําหรับการบริหารความเสี่ยง (Risk Management Procedure) จากแผนแม่บทการบริหารความเสี่ยงและการควบคุมภายใน ฝุายบริหารความเสี่ยง (ฝบส.) 3. คํานวณคะแนนความเสี่ยงของแต่ละปัจจัยความเสี่ยง โดยใช้สูตรเช่นเดียวกับฝุายบริหาร ความเสี่ยง (ฝบส.) ได้แก่ โอกาสเกิด * ผลกระทบ โดยมีเกณฑ์ในการคํานวณและระดับความเสี่ยง ดังนี้ ตารางที่ 4 ตารางเปรียบเทียบการประเมินความเสี่ยง ระดับความเสี่ยง (Risk Level) Level โอกาสที่จะเกิด (Likelihood Rating) 1 2 3 4 5 ผลกระทบ (Impact Rating) 5 – สูง 5 M5 NH10 NH15 H20 H25 4 – ค่อนข้างสูง 4 NL4 M8 NH12 NH16 H20 3 – ปานกลาง 3 NL3 M6 M9 NH12 NH15 2 – ค่อนข้างต่ํา 2 L2 NL4 M6 M8 NH10 1 – ต่ํา 1 L1 L2 NL3 NL4 M5 ตารางที่ 5 ตารางเกณฑ์ระดับความเสี่ยง ระดับความเสี่ยง ล าดับและความถี่ในการตรวจสอบ สูง (H : High) H20, H25 ดําเนินการเข้าตรวจสอบทุกปี ค่อนข้างสูง (NH : Nearly High) NH10, NH12, NH15, NH16 ดําเนินการเข้าตรวจสอบทุกปี ปานกลาง (M : Medium) M5, M6, M8, M9 ดําเนินการเข้าตรวจสอบแบบปีเว้นปี ค่อนข้างต่ํา (NL : Nearly Low) NL3, NL4 ดําเนินการเข้าตรวจสอบแบบปีเว้น 2 ปี ระดับต่ํา (L : Low) L1, L2 ดําเนินการเข้าตรวจสอบแบบปีเว้น 3 ปี

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 112 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ขั้นตอนที่ 3 การจัดระดับความสําคัญของกระบวนการด้านเทคโนโลยีสารสนเทศ 1. ขอบเขตการตรวจสอบกระบวนการด้านเทคโนโลยีสารสนเทศ (Audit Universe) ได้จาก การกําหนดกระบวนการหลักด้านเทคโนโลยีสารสนเทศ โดยแบ่งเป็น 6 กระบวนการหลัก รวมทั้งงานปฏิบัติตาม กฎหมาย ระเบียบข้อบังคับที่เกี่ยวข้องกับด้านเทคโนโลยีสารสนเทศ งานตรวจสอบการบริหารความเสี่ยงด้าน เทคโนโลยีสารสนเทศ งานตรวจประเมินการรับรองตามมาตรฐานที่ธนาคารขอการรับรอง และงานอื่นที่ได้รับ มอบหมายในการตรวจสอบเป็นประจําทุกปี (Other Auditing Area) ดังต่อไปนี้ 1) การกํากับดูแลกลยุทธ์ โครงสร้างองค์กรทางด้านเทคโนโลยีสารสนเทศ (IT Governance, Strategy & Organization) 2) การพัฒนาระบบเทคโนโลยีสารสนเทศ(IT System Developmentand Quality Assurance) 3) งานบริหารจัดการเทคโนโลยีสารสนเทศ (IT Management Process) 4) งานบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management) 5) งานโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (IT Security Infrastructure) 6) การบริหารงานโครงการ (Manage Project) ทั้งนี้จะมีงานตรวจสอบประเภทอื่น เพิ่มเติมอีก 3 งาน ได้แก่ 1) งานตรวจการปฏิบัติตามกฎหมาย ระเบียบที่เกี่ยวข้องกับงานด้านเทคโนโลยีสารสนเทศ (IT Compliance) 2) งานตรวจประเมินตามมาตรฐานที่ธนาคารขอการรับรอง (Internal Audit/Assessor) 3) งานอื่นที่ได้รับหมายในการตรวจสอบเป็นประจําทุกปี (Other Auditing Area) 2. จัดทําตารางความสัมพันธ์ระหว่างกระบวนการย่อยภายใต้ 6 กระบวนการหลักด้านเทคโนโลยี สารสนเทศ กับปัจจัยเสี่ยงด้านเทคโนโลยีสารสนเทศที่ได้จากการประเมินโดยอาศัยกรอบความสัมพันธ์ของ COBIT และให้คะแนนของปัจจัยความเสี่ยงกับกระบวนย่อยที่มีความสัมพันธ์กัน 3. คํานวณคะแนนความเสี่ยงเฉลี่ยของแต่ละกระบวนการย่อยที่อยู่ภายใต้แต่ละกระบวนการหลัก 6 กระบวนการ 4. คํานวณหาความเสี่ยงของแต่ละกระบวนการหลักด้านเทคโนโลยีสารสนเทศ โดยใช้ค่าสูงสุดของ คะแนน ความเสี่ยงเฉลี่ยของกระบวนการย่อยที่อยู่ภายใต้กระบวนการหลัก 5. จัดระดับความสําคัญตาม Risk Profile ของธนาคาร ที่จัดทําขึ้นโดยฝุายบริหารความเสี่ยง (ฝบส.) ซึ่งเป็นเกณฑ์เดียวกันกับการจัดระดับความสําคัญของกระบวนการธุรกิจ สรุปผลได้ดังตาราง ตารางที่ 6 ผลการจัดระดับความเสี่ยงของกระบวนการด้านเทคโนโลยีสารสนเทศ ลําดับที่ กระบวนการด้านเทคโนโลยีสารสนเทศ ระดับ ความสําคัญ 1 การกํากับดูแล กลยุทธ์ โครงสร้างองค์กรทางด้านเทคโนโลยีสารสนเทศ (IT Governance, Strategy & Organization) ปานกลาง 2 การพัฒนาระบบเทคโนโลยีสารสนเทศ (IT System Development and Quality Assurance) ปานกลาง 3 งานบริหารจัดการเทคโนโลยีสารสนเทศ (IT Management Process) ปานกลาง 4 งานบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management) ปานกลาง 5 งานโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (IT Security Infrastructure) ปานกลาง 6 การบริหารงานโครงการ (Manage Project) ปานกลาง

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 113 สําหรับการตรวจการบริหารโครงการ (Manage Project) ตัวอย่างโครงการที่ธนาคารให้ความสําคัญ ได้แก่ โครงการปรับปรุงประสิทธิภาพระบบธุรกิจหลัก (Core Banking System: CBS) โครงการเพิ่มประสิทธิภาพ ธ.ก.ส. A-Mobile โครงการเพิ่มประสิทธิภาพ E-Payment โครงการเพิ่มประสิทธิภาพบัตรเกษตรสุขใจ สําหรับปัจจัยเสี่ยงในการประเมินการบริหารโครงการ โดยการนําโครงการข้างต้นมาจัดลําดับความสําคัญใน การประเมินความเสี่ยงในการเข้าตรวจการบริหารโครงการใน 6 ปัจจัย ดังนี้ งบประมาณการลงทุน (ราคากลาง) ผลกระทบกับระบบ เช่น กระทบกับทุกระบบ หรือกระทบบางส่วน เป็นต้น ผู้ให้บริการ (Supplier) ความคุ้มค่าการลงทุน/ก่อให้เกิดรายได้ มีกระทบต่อกฎหมาย/กฎระเบียบ ผลการประเมินความเสี่ยงโครงการจากฝุายบริหารความเสี่ยง (ถ้ามี) ขั้นตอนที่ 4 การกําหนดขอบเขตการตรวจสอบและระยะเวลาการตรวจสอบ จัดทําตารางการตรวจสอบและจัดสรรทรัพยากรเพื่อการตรวจสอบระยะสั้น 1 ปี และแผนระยะยาว5 ปี โดยพิจารณาถึงประเด็นต่าง ๆ เหล่านี้ 1) การกําหนดลําดับ และความถี่ในการตรวจสอบให้พิจารณาถึงลําดับความสําคัญของกระบวนการ ด้านเทคโนโลยีสารสนเทศ โดยกําหนดหลักเกณฑ์การตรวจสอบ ดังนี้ กระบวนการที่มีความเสี่ยงสูง และค่อนข้างสูง จะได้รับการตรวจสอบทุกปี กระบวนการที่มีความเสี่ยงระดับปานกลาง จะได้รับการตรวจสอบแบบปีเว้นปี กระบวนการที่มีความเสี่ยงระดับค่อนข้างต่ํา จะได้รับการตรวจสอบแบบปีเว้น 2 ปี กระบวนการที่มีความเสี่ยงระดับต่ํา จะได้รับการตรวจสอบแบบปีเว้น 3 ปี 2) จํานวนบุคลากรที่เข้าร่วมในการตรวจสอบ ซึ่งพิจารณาจากอัตรากําลังเจ้าหน้าที่ตรวจสอบ ในปัจจุบัน ตามโครงสร้างจัดการด้านทรัพยากรบุคคลในกลุ่มงานที่ได้รับมอบหมายในการตรวจสอบกระบวนการ ด้านเทคโนโลยีสารสนเทศ 3) พิจารณาจํานวนวันปฏิบัติงาน (Man-days) ที่จะใช้ในการตรวจสอบ จํานวนวันปฏิบัติงาน ทั้งหมดที่จะใช้ในการตรวจสอบ สามารถคํานวณได้จากจํานวนพนักงานที่บรรจุจริงสําหรับการตรวจสอบและคูณด้วย จํานวนวันปฏิบัติงานสุทธิต่อคนต่อปี 4) กําหนดจํานวนวันปฏิบัติงานสําหรับแต่ละกระบวนการทางธุรกิจ โดยพิจารณาถึงระยะเวลาใน การตรวจสอบหัวข้อของกระบวนการด้านเทคโนโลยีสารสนเทศ การควบคุมภายในที่เกี่ยวข้อง และคํานึงถึงจํานวนวัน ที่ใช้ในการปฏิบัติงานประจําปีและงานที่ได้รับมอบหมายอื่น ๆ ของพนักงานตรวจสอบในตารางแผนการตรวจสอบ ระยะสั้น 1 ปี และแผนการตรวจสอบระยะยาว 5 ปี

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 114 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ทั้งนี้ในการบริหารจัดการ Man-days ให้สอดคล้องกับความเสี่ยงในการดําเนินงาน ยึดถือตามตารางเกณฑ์ การจัดสรร Man-days ดังนี้ ตารางที่ 7 เกณฑ์การจัดสรรทรัพยากรบุคคล ความเสี่ยง ความซับซ้อนของระบบ ตรวจปี ที่ผ่านมา เกณฑ์การตรวจ สูง (5,4) ปานกลาง (3) ต่ า (2,1) (หน่วย : Man-Day) สูง 120 110 100 90 ตรวจสอบทุกปี ค่อนข้างสูง 110 100 90 80 ปานกลาง 100 90 80 70 ตรวจสอบแบบปีเว้นปี ค่อนข้างต่ํา 90 80 70 60 ตรวจสอบแบบปีเว้น 2 ปี ต่ํา 80 70 60 50 ตรวจสอบแบบปีเว้น 3 ปี ตรวจข้อมูลที่ส่วนกลางต่อเรื่อง (เรื่องหรือเงื่อนไข) 25 2. การจัดท าแผนการควบคุมด้านระบบงาน (Application Controls) ภาพรวมของกระบวนการในการจัดทําแผนการควบคุมด้านระบบงาน แสดงในรูปภาพ ภาพที่ 5 การประเมินความเสี่ยงด้านระบบงาน

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 115 กระบวนการในการจัดทําแผนการควบคุมด้านระบบงาน ประกอบด้วย 4 ขั้นตอนหลัก ได้แก่ ขั้นตอนที่ 1 การรวบรวมข้อมูล ขั้นตอนที่ 2 การประเมินความเสี่ยง ขั้นตอนที่ 3 การจัดระดับความสําคัญ ขั้นตอนที่ 4 การกําหนดระยะเวลาการตรวจสอบและการจัดสรรทรัพยากร ซึ่งมีรายละเอียดในแต่ละขั้นตอน ดังนี้ ขั้นตอนที่ 1 การรวบรวมข้อมูล ขั้นตอนแรกของการจัดทําแผนคือการรวบรวมข้อมูลเบื้องต้น โดยการศึกษาแผนบริหารความเสี่ยง ของธนาคาร เพื่อให้ทราบถึงปัจจัยความเสี่ยงและผลการประเมินความเสี่ยงระดับองค์กรที่จัดทําโดยฝุายบริหารความ เสี่ยงของธนาคาร นอกจากนี้ยังมีการรวบรวมข้อมูลเกี่ยวกับกระบวนการทางธุรกิจในปัจจุบันของธนาคารและผลการ ประเมินความเสี่ยงในกระบวนการธุรกิจของธนาคารเพื่อจัดทําแผนแม่บทด้านตรวจสอบภายใน ขั้นตอนที่ 2 การประเมินความเสี่ยงของกระบวนการทางธุรกิจ 1. การพิจารณาแนวทางการประเมินความเสี่ยง การตรวจสอบด้านระบบงาน เป็นการตรวจสอบระบบงานที่สนับสนุนการดําเนินงานใน กระบวนการด้านธุรกิจ การจัดระดับความสําคัญของระบบงานในการตรวจสอบจึงขึ้นอยู่กับระดับความเสี่ยง หรือ ระดับความสําคัญของกระบวนการทางธุรกิจ และเพื่อให้แผนการตรวจสอบระบบงานมีความสอดคล้องกับแผนการ ตรวจสอบกระบวนการธุรกิจ จึงได้ใช้ปัจจัยความเสี่ยงและผลการประเมินความเสี่ยงของกระบวนการทางธุรกิจมา พิจารณาเพิ่มเติม การประเมินความเสี่ยงในส่วนของ Application Controls นั้น ประกอบด้วย 5 ปัจจัยด้านผลกระทบ และ 3 ปัจจัยด้านโอกาส ดังนี้ ก. ปัจจัยด้านผลกระทบ ตารางที่ 8 ปัจจัยด้านผลกระทบ ที่ ปัจจัยด้านผลกระทบ 1 กลุ่มระบบงานที่ธนาคารให้ความสําคัญ (ข้อมูลจาก Business Impact Analysis ของธนาคาร) 2 จํานวนผู้ใช้งานระบบ 3 ความซับซ้อนของระบบงาน 4 วันที่ได้ตรวจสอบล่าสุด 5 ความเสียหายจากการทุจริต (อ้างอิงตามเกณฑ์ประเมินความเสี่ยงของธนาคาร)

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 116 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น โดยมีรายละเอียดปัจจัยด้านผลกระทบ ซึ่งมีเกณฑ์ระดับคะแนนที่ใช้พิจารณาความเสี่ยง ดังนี้ ตารางที่ 9 รายละเอียดปัจจัยด้านผลกระทบ ข. ปัจจัยด้านโอกาส ตารางที่ 10 ปัจจัยด้านโอกาส ลําดับ ปัจจัยด้านโอกาส 1 การพัฒนา/เปลี่ยนแปลงระบบ 2 โอกาสเกิดความเสี่ยง 3 โอกาสการเกิดทุจริต (อ้างอิงตามเกณฑ์ประเมินความเสี่ยงของธนาคาร) ระดับ คะแนน กลุ่มระบบงานที่ ธนาคารให้ความสําคัญ จํานวนผู้ใช้งาน วันที่ได้ตรวจสอบล่าสุด ความซับซ้อน ของระบบงาน ความเสียหาย จากการทุจริต 5 RTO <= 1 ชั่วโมง > 16,000 คน ไม่เคยมีการตรวจสอบ หรือมีการตรวจสอบ ล่าสุด > 5 ปีที่ผ่านมา ซับซ้อนมาก (มีสูตรการ คํานวณ หรือสูตรการ คํานวณค่อนข้างมาก หรือ ระบบมีการ Interface กับ ระบบอื่นเกิน 4 Interface) ผลกระทบสูง 4 RTO >1 ชั่วโมง และ <= 4 ชั่วโมง 12,001 - 16,000 คน มีการตรวจสอบ แต่ไม่ สม่ําเสมอ หรือมีการ ตรวจสอบล่าสุด > 3 ปีที่ผ่านมา ซับซ้อน (มีสูตรการคํานวณ หรือการควบคุมโดยระบบ ค่อนข้างมาก หรือระบบ มีการ Interface กับระบบ อื่น 3 -4 Interface) ผลกระทบ ค่อนข้างสูง 3 RTO > 4 ชั่วโมง และ ไม่เกิน 1 วัน 8,001 - 12,000 คน มีการตรวจสอบ แต่ไม่สม่ําเสมอ หรือมีการตรวจสอบ ล่าสุด 2 -3 ปีที่ผ่านมา ซับซ้อนปานกลาง (มีสูตร การคํานวณ หรือการ ควบคุมโดยระบบในระดับ ปานกลาง หรือระบบมีการ Interface กับระบบอื่นไม่ เกิน 2 Interface) ผลกระทบ ปานกลาง 2 RTO > 1 วัน และ <= 3 วัน 4,001 - 8,000 คน มีการตรวจสอบ แต่ไม่สม่ําเสมอ หรือมีการตรวจสอบ ล่าสุด 1 - 2 ปีที่ผ่านมา ซับซ้อนน้อย(มีสูตรการ คํานวณ หรือการควบคุม ระบบ โดยเล็กน้อย หรือ เป็น Stand-alone) ผลกระทบ ค่อนข้างต่ํา 1 RTO > 3 วัน <=4,000 คน มีการตรวจสอบ สม่ําเสมอ หรือมีการ ตรวจสอบภายใน 1 ปี ที่ผ่านมา ไม่ซับซ้อน (ไม่มีสูตรการ คํานวณ หรือการควบคุม โดยระบบ หรือ Standalone) ผลกระทบต่ํา

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 117 โดยมีรายละเอียดปัจจัยด้านโอกาส ซึ่งมีเกณฑ์ระดับคะแนนที่ใช้พิจารณาความเสี่ยง ดังนี้ ตารางที่ 11 รายละเอียดปัจจัยด้านโอกาส เกณฑ์โอกาส การพัฒนา/ เปลี่ยนแปลงระบบ 5 = เป็นระบบสารสนเทศที่พัฒนาขึ้นใหม่ หรือมีการเพิ่มโมดูลใหม่ในระบบ 4 = เป็นระบบสารสนเทศที่มีอยู่เดิม และมีการเปลี่ยนแปลง/ ยกเลิกโมดูลเดิมในระบบในรอบปี ที่ผ่านมา 3 = เป็นระบบสารสนเทศเดิม ไม่มีการเปลี่ยนแปลง/ยกเลิกโมดูล แต่อาจมีการเปลี่ยนแปลง ข้อมูล การตั้งค่าบางอย่างทําให้การทํางานของระบบเปลี่ยนไป 2 = เป็นระบบสารสนเทศที่พัฒนาสําเร็จ (Of-shelf) มีเพียงการติดตั้งและใช้งานไม่สามารถ เปลี่ยนแปลง ข้อมูลใด ๆ ในระบบได้ 1 = ไม่มีการเปลี่ยนแปลงระบบ โอกาสเกิด ความเสี่ยง 5 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนในปีบัญชีปัจจุบัน 4 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนใน 1 - 2 ปีที่ผ่านมา 3 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนใน 3 ปีที่ผ่านมา 2 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนใน > 3 ปี และ <= 5 ปีที่ผ่านมา 1 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนใน > 5 ปีที่ผ่านมา โอกาส การเกิดทุจริต 5 = โอกาสสูง 4 = โอกาสค่อนข้างสูง 3 = โอกาสปานกลาง 2 = โอกาสค่อนข้างต่ํา 1 = โอกาสต่ํา 1.2.1 การประเมินความเสี่ยง 1) ขอบเขตของงานตรวจสอบ (Audit Universe) ด้านระบบงาน พิจารณาจากกระบวนการหลัก ของธนาคาร 14 กระบวนการ โดยคัดเลือกจาก 60 กระบวนการย่อยที่สําคัญของธนาคาร ตามที่สายงานตรวจสอบใช้ ประเมินความเสี่ยงเพื่อวางแผนการตรวจสอบที่มีการใช้ระบบงานสารสนเทศในการปฏิบัติงานหรือบริหารงาน ซึ่งมี ทั้งหมด 27 กระบวนการ และระบุระบบงานที่สําคัญที่ใช้ในแต่ละกระบวนการย่อยที่สําคัญ ได้ดังนี้ ตารางที่ 12 ระบบงานที่สําคัญในแต่ละกระบวนการ Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ 1. การกํากับดูแล ที่ดีและการนํา องค์กร M1 การจัดการองค์กร สู่ความยั่งยืน กระบวนการจัดการ ความยั่งยืนขององค์กร - M5 ทรัพยากรมนุษย์ กระบวนการจัดการ โครงสร้างองค์กร - S1 การบัญชีและ กฎหมาย กระบวนการจัดการ งานอุทธรณ์ - กระบวนการจัดการงาน ที่ปรึกษา -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 118 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ กระบวนการจัดการ งานกฎหมายธุรกิจ และ ระหว่างประเทศ - กระบวนการจัดการ งานอรรถคดี - กระบวนการจัดการ งานความรับผิดทางละเมิด - กระบวนการจัดการ งานบริหารหนี้ดําเนินคดี - 2. การวางแผน เชิงยุทธศาสตร์ M3 การวางแผน เชิงกลยุทธ์ กระบวนการจัดทําแผน - กระบวนการออกแบบ ระบบงาน (Work System) - กระบวนการวิเคราะห์ ข้อมูลสารสนเทศ เพื่อ การบริหาร - ระบบสารสนเทศเพื่อการบริหาร กระบวนการติดตาม และ ประเมินผลรัฐวิสาหกิจ - M4 การบริหารเงินทุน กระบวนการเสริม/รักษา สภาพคล่องของธนาคาร - กระบวนการบริหารสภาพ คล่องส่วนเกิน - กระบวนการบริหาร ความเสี่ยงทางการเงิน - กระบวนการลงทุน (Investment) - Treasury C1 บริการด้านเงินฝาก บริหารพอร์ตโฟลิโอ ด้านเงินฝาก - กระบวนการส่งเสริมเงินฝาก - สลากออมทรัพย์ (เกษตรยั่งยืน) C2 บริการด้านสินเชื่อ สินเชื่อบุคคลและเกษตรกร - สินเชื่อเพื่อสังคม - สินเชื่อเพื่อที่อยู่อาศัย - สินเชื่อส่วนบุคคล - เงินกู้ที่มีกําหนดระยะเวลา สินเชื่อสถาบันและ ผู้ประกอบการ - เงินทุนหมุนเวียน - สัญญาซื้อลด (เช็คการค้า – เช็คเกี๊ยว) - ตั๋วสัญญาใช้เงิน - ตั๋ว P/N - เงินกู้เบิกเกินบัญชี(OD) สินเชื่อนโยบายรัฐ - สินเชื่อนโยบายรัฐ - Subsidy Plan การบริหารจัดการหนี้ค้าง - ปรับปรุงโครงสร้างหนี้

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 119 Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ ชําระ และหนี้ที่มีโอกาส จะเป็นหนี้ค้างชําระ - ติดตามหนี้/ดําเนินคดี - โครงการนาทีทอง C4 บริการด้าน ธุรกรรมทางการ ธนาคาร กระบวนการธุรกรรม ฝาก-ถอน - เงินฝากออมทรัพย์พิเศษ - เงินฝากพร้อมเงื่อนไขพิเศษ - Profile - Fixed (CD) - เงินฝากระบบอิสลาม กระบวนการธุรกรรมรับ ชําระค่าบริการ - การให้บริการจ่ายเงินรางวัลสลากของ สํานักงานสลากกินแบ่งรัฐบาล - Front End Payment - Bank Agent กระบวนการการให้ธุรกรรม ต่างประเทศ - ธุรกิจต่างประเทศ กระบวนการโอนเงิน - ICS (Cheque Clearing) - ระบบโอนเงิน - Corporate Banking กระบวนการให้บริการ ธุรกรรมประกันชีวิต/ ประกันภัย - ประกันชีวิต/วินาศภัย กระบวนการให้บริการ ธุรกรรมเงินฝากสงเคราะห์ ชีวิต - ระบบเงินฝากสงเคราะห์ชีวิต S1 การบัญชีและ กฎหมาย กระบวนการบัญชีการเงิน และรายงานทางการเงิน - SAP-FMIS ระบบบัญชีลูกหนี้ (AR) - SAP-FMIS ระบบบัญชีแยกประเภททั่วไป (GL) - SAP-FMIS ระบบงบประมาณค่าใช้จ่าย (BG) - ระบบงาน TFRS9 - ระบบตั้งค่าใช้จ่ายค้างจ่าย 3. การบริหาร ความเสี่ยงและ การควบคุม ภายใน M2 การกํากับดูแล กิจการที่ดีและ การบริหารความ เสี่ยง กระบวนการควบคุมภายใน - กระบวนการบริหาร ความเสี่ยง - กระบวนการสอบทานสินเชื่อ - กระบวนการเฝูาระวัง และ ตรวจจับการทุจริต - Fraud/AML กระบวนการกํากับดูแล กิจการที่ดี - กระบวนการปฏิบัติตาม กฎเกณฑ์ - ปปง. (เงินฝาก) - DID/e-KYC S1 การบัญชีและ กฎหมาย กระบวนการบริหารจัดการ หนี้ขาดจะขาดอายุความ -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 120 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ S2 การอํานวยการ กระบวนการบริหารจัดการ เอกสาร - ระบบสารบรรณอิเล็กทรอนิกส์ ธ.ก.ส. - ระบบสนับสนุนการสื่อสารแบบ Digital Workplace กระบวนการจัดซื้อจัดจ้าง - SAP-FMIS ระบบจัดซื้อ/จัดจ้าง (MM) - SAP-FMIS ระบบบัญชีทรัพย์สิน (AM) - SAP-FMIS ระบบบัญชีเจ้าหนี้ (AP) กระบวนการบริหารทรัพย์สิน - ระบบตรวจนับทรัพย์สิน (Easy Asset) กระบวนการบริหารจัดการ อาคารสถานที่ - การบริหารและการจัดการ ด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมใน การทํางาน - กระบวนการการบริหาร จัดการยานพาหนะ และ ขนส่ง - ระบบชําระค่าน้ํามันเชื้อเพลิง (Fleet Card) กระบวนการบริหารการ ประชุม - S4 เทคโนโลยีดิจิทัล และการจัดการ ข้อมูลสารสนเทศ IT Risk Management (อ้างอิงตาม General Computer Controls) 4. การมุ่งเน้น ลูกค้าและผู้มี ส่วนได้ส่วนเสีย C1 บริการ ด้านเงินฝาก กระบวนการจัดการ ฐานข้อมูลลูกค้า - Profile – CIF - Profile - Saving (SAV) - Profile - Current (DDA) - Profile – สลากออมทรัพย์ C3 การพัฒนาชนบท และเศรษฐกิจ ฐานราก กระบวนการพัฒนาความรู้ ให้กับลูกค้า - กระบวนการพัฒนา ตลาดลูกค้า - S3 การตลาด กระบวนการประชาสัมพันธ์ - กระบวนการสื่อสาร - กระบวนการจัดการเสียง ของลูกค้า (VOC) - กระบวนการบริหารลูกค้า สัมพันธ์ - 5. การพัฒนา เทคโนโลยี ดิจิทัล S4 เทคโนโลยีดิจิทัล และการจัดการ ข้อมูลสารสนเทศ General Computer Control (อ้างอิงตาม General Computer Controls)

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 121 Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ 6. การบริหาร ทุนมนุษย์ M5 ทรัพยากรมนุษย์ กระบวนการบริหาร ทุนมนุษย์ - ระบบบริหารงานบุคคล (PA) และ ระบบ การจัดการโครงสร้างองค์กร (OM) - SAP-HRIS ระบบสรรหาและคัดเลือก บุคลากร (RC) - SAP-HRIS ระบบสวัสดิการ (BN) - SAP-HRIS ระบบบริหารค่าตอบแทน (CP) - SAP-HRIS ระบบบัญชีเงินเดือน (PY) - SAP-HRIS ระบบบริหารจัดการเวลา (TM) - SAP-HRIS ระบบค่าใช้จ่ายเดินทาง (TV) กระบวนการจัดการ ด้านวินัยพนักงาน - 7. การจัดการ ความรู้และ นวัตกรรม M5 ทรัพยากรมนุษย์ กระบวนการพัฒนาทุน มนุษย์ - SAP-HRIS ระบบฝึกอบรม (TE) - SAP-HRIS ระบบพัฒนาบุคลากร (PD) S4 เทคโนโลยีดิจิทัล และการจัดการ ข้อมูลสารสนเทศ Application Control - ISIC Code - AAG - e-Statement/ Daily Report - ระบบปฏิบัติการข้อมูลเครดิตบูโร - LG Blockchain - ภาระผูกพัน - E-Contract - ATM/บัตรเดบิต - บัตรเกษตรสุขใจ - ธ.ก.ส. A-Mobile - Universal Payment (UP) - Open API - Passbook Update System - Merchant - Corporate Card - E-Money - VTM (Virtual Teller Machine) Third party - ผลิตบัตร ATM S5 วิจัย และนวัตกรรม กระบวนการวิจัย - กระบวนการประเมินผล - กระบวนการส่งเสริมนวัตกรรม -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 122 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 2) ประเมินความเสี่ยงของทุก ๆ ระบบงานภายใต้แต่ละกระบวนการย่อยที่สําคัญ โดยใช้ ค่าเฉลี่ยปัจจัยด้านผลกระทบ * ค่าเฉลี่ยปัจจัยด้านโอกาส 3) คํานวณคะแนนความเสี่ยงของกระบวนการย่อยที่สําคัญแต่ละกระบวนการ โดยหาค่าเฉลี่ย คะแนนความเสี่ยงของระบบงานที่อยู่ภายใต้แต่ละกระบวนการ ขั้นตอนที่ 3 การจัดระดับความสําคัญของกระบวนการย่อยที่สําคัญ จากคะแนนความเสี่ยงของแต่ละกระบวนการย่อยที่สําคัญ นํามาจัดระดับความสําคัญตามเกณฑ์ที่ สอดคล้องกับ Risk Profile ของธนาคาร เช่นเดียวกับเกณฑ์การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ ผลการจัดระดับความเสี่ยงของกระบวนการย่อยที่สําคัญด้านเทคโนโลยีสารสนเทศ แสดงตามตารางด้านล่าง ตารางที่ 13 ผลการจัดระดับความเสี่ยงของกระบวนการทางด้านเทคโนโลยีสารสนเทศ ล าดับที่ กระบวนการย่อยที่ส าคัญ ระดับความส าคัญ 1 กระบวนการวิเคราะห์ข้อมูลสารสนเทศเพื่อการบริหาร ปานกลาง 2 กระบวนการลงทุน (Investment) ปานกลาง 3 กระบวนการส่งเสริมเงินฝาก ปานกลาง 4 สินเชื่อบุคคลและเกษตรกร ปานกลาง 5 สินเชื่อสถาบันและผู้ประกอบการ ปานกลาง 6 สินเชื่อนโยบายรัฐ ค่อนข้างสูง 7 การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มีโอกาสจะเป็นหนี้ค้างชําระ ค่อนข้างสูง 8 กระบวนการธุรกรรมฝาก-ถอน ปานกลาง 9 กระบวนการธุรกรรมรับชําระค่าบริการ ปานกลาง 10 กระบวนการการให้ธุรกรรมต่างประเทศ ค่อนข้างต่ํา 11 กระบวนการโอนเงิน ปานกลาง 12 กระบวนการให้บริการธุรกรรมประกันชีวิต/ประกันภัย ปานกลาง 13 กระบวนการให้บริการธุรกรรมเงินฝากสงเคราะห์ชีวิต ปานกลาง 14 กระบวนการบัญชีการเงินและรายงานทางการเงิน ปานกลาง 15 กระบวนการเฝูาระวังและตรวจจับการทุจริต ปานกลาง 16 กระบวนการปฏิบัติตามกฎเกณฑ์ ปานกลาง 17 กระบวนการบริหารจัดการเอกสาร ปานกลาง 18 กระบวนการจัดซื้อจัดจ้าง ปานกลาง 19 กระบวนการบริหารทรัพย์สิน ค่อนข้างสูง 20 กระบวนการการบริหารจัดการยานพาหนะ และขนส่ง ค่อนข้างสูง 21 IT Risk Management ปานกลาง 22 กระบวนการจัดการฐานข้อมูลลูกค้า ปานกลาง 23 General Computer Control ปานกลาง 24 กระบวนการบริหารทุนมนุษย์ ปานกลาง 25 กระบวนการพัฒนาทุนมนุษย์ ค่อนข้างต่ํา 26 Application Control ปานกลาง 27 Third party ค่อนข้างต่ํา ขั้นตอนที่ 4 การกําหนดระยะเวลาการตรวจสอบและการจัดสรรทรัพยากร

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 123 จัดทําตารางการตรวจสอบและจัดสรรทรัพยากรเพื่อการตรวจสอบระยะสั้น 1 ปีและแผนระยะยาว 5 ปี โดยพิจารณาถึงประเด็นต่าง ๆ เหล่านี้ 1) การกําหนดลําดับและความถี่ในการตรวจสอบ พิจารณาถึงลําดับความสําคัญของกระบวนการ ทางธุรกิจโดยกําหนดหลักเกณฑ์การตรวจสอบเช่นเดียวกับการตรวจสอบกระบวนการด้านเทคโนโลยีสารสนเทศ 2) จํานวนบุคลากรที่เข้าร่วมในการตรวจสอบ ซึ่งพิจารณาจากอัตรากําลังพนักงานตรวจสอบ ในปัจจุบัน ตามโครงสร้างจัดการด้านทรัพยากรบุคคลในสํานักตรวจสอบเทคโนโลยีและสารสนเทศที่ได้รับมอบหมาย ในการตรวจสอบด้านระบบงาน 3) พิจารณาจํานวนวันปฏิบัติงาน (Man-days) ที่จะใช้ในการตรวจสอบ จํานวนวันปฏิบัติงาน ทั้งหมดที่จะใช้ในการตรวจสอบ สามารถคํานวณได้จากจํานวนคนที่มีอยู่สําหรับการตรวจสอบและคูณด้วยจํานวนวัน ปฏิบัติงานสุทธิต่อคนต่อปี 4) กําหนดจํานวนวันปฏิบัติงานสําหรับแต่ละกระบวนการย่อยที่สําคัญ โดยพิจารณาถึงระยะเวลา ในการตรวจสอบหัวข้อของกระบวนการย่อยที่สําคัญ การควบคุมภายในที่เกี่ยวข้อง และคํานึงถึง จํานวนวัน ที่ใช้ใน การปฏิบัติงานประจําปีและงานที่ได้รับมอบหมายอื่น ๆ ของพนักงานในตารางแผนการตรวจสอบ ระยะสั้น 1 ปี และ แผนการตรวจสอบระยะยาว 5 ปี ทั้งนี้ในการบริหารจัดการ Man-days ให้สอดคล้องกับความเสี่ยงในการดําเนินงานยึดถือเกณฑ์ การจัดสรร Man-days เช่นเดียวกับการตรวจสอบกระบวนการด้านเทคโนโลยีสารสนเทศ หมายเหตุ : 1) ผลการประเมินความเสี่ยงในการวางแผนการตรวจสอบด้านเทคโนโลยีและสารสนเทศ สามารถพิจารณา ทบทวนระดับความเสี่ยงผ่านที่ประชุมผู้บริหาร สตท. พร้อมระบุเหตุผลในการปรับเปลี่ยนอย่างชัดเจนเพื่อใช้เป็น ข้อมูลทบทวนหรือจัดทําแผนการตรวจสอบประจําปี 2) ในกรณีที่มีความเสี่ยงสูงหรือค่อนข้างสูง หากมีการตรวจสอบระบบแล้วในปีที่ผ่านมา ผู้ประเมินสามารถ ใช้การตรวจสอบในรูปแบบอื่นทดแทนได้ เช่น การตรวจสอบข้อมูลที่ส่วนกลาง หรือให้การสอบทานการควบคุม เบื้องต้น แบบ Desktop Review เป็นต้น 3) สําหรับการกําหนด Man-days ในระบบที่มีการตรวจในปีที่ผ่านมา หากมีการตรวจสอบด้านระบบงาน ให้พิจารณาตามกรอบที่กําหนด ในกรณีที่ไม่เป็นไปตามนั้น ให้พิจารณาตามความเหมาะสมโดยจากประเด็นการเข้า ตรวจในครั้งที่ผ่านมาหรือมีการเปลี่ยนแปลงเกิดขึ้นเพิ่มเติมว่ามีนัยสําคัญหรือความเสี่ยง 4) เกณฑ์การเลือกสาขา ตารางที่ 14 เกณฑ์การเลือกสาขา ล าดับ ปัจจัย เกณฑ์ น้ าหนัก 1 จํานวนข้อมูลผิดปกติ จัดลําดับสาขาเรียงตามปริมาณข้อมูลผิดปกติ 50% 2 จํานวนเงินรวมของปริมาณข้อมูล จัดลําดับสาขาเรียงตามจํานวนเงินรวมของปริมาณข้อมูล 30% 3 ปริมาณข้อมูล (จํานวนราย/รายการ) จัดลําดับสาขาเรียงตามปริมาณข้อมูล 20% 4.1) กรณีสาขาที่เข้าเกณฑ์ต้องออกตรวจ พบว่าเป็นสาขาเดิมที่เคยเข้าตรวจแล้วในช่วงระยะเวลา 3 ปี ที่ผ่านมาจะพิจารณาลําดับถัดไป 4.2) มีการร้องขอจากส่วนงานผู้รับผิดชอบ/ข้อร้องเรียน 4.3) กรณีการเข้าตรวจสาขาที่มีความเสี่ยงสูง ผู้ตรวจสามารถเข้าตรวจสาขาอื่นภายใน สนจ. เดียวกัน เพื่อไม่ให้เป็นภาระในการเข้าตรวจเชิงพื้นที่ ซึ่งอาจไม่สอดคล้องกับระดับความเสี่ยงจากการประเมิน 4.4) สําหรับการตรวจ General Computer Controls ใช้เกณฑ์อ้างอิงตามปัจจัยข้อ 1 และ 3 ตามแต่กรณี 4.5) สามารถปรับปัจจัยและน้ําหนักตามความเหมาะสม โดยอ้างอิงจากเกณฑ์การคัดเลือกสาขาข้างต้น ทั้งนี้ต้องได้รับความเห็นชอบจากผู้บริหาร

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 124 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 11. การจัดสรรอัตราก าลัง (Man-days) ส าหรับการด าเนินงานของสายงานตรวจสอบ 1) การคํานวณจํานวนวันปฏิบัติงาน (Man-days) ของพนักงานจํานวน 1 คนใน 1 ปี 1.1) การคํานวณ “จํานวนวันปฏิบัติงาน (Man-days)” สําหรับสายตรวจและวิเคราะห์ข้อมูล จํานวนวันในปีปฏิทิน 365 วัน หัก วันหยุดนักขัตฤกษ์ 15 วันเสาร์ – อาทิตย์ 106 วันลาปุวย–กิจ–พักผ่อน 15 136 วัน คงเหลือวันท างานตามปกติ 229 วัน หัก อบรมและสํารองงานตามนโยบายสําคัญระหว่างปีบัญชี 10 วัน คงเหลือวันท างานส าหรับงานตรวจสอบ 219 วัน 1.2) การคํานวณ “จํานวนวันปฏิบัติงาน (Man-days)” สําหรับผู้บริหารและส่วนงานสนับสนุน จํานวนวันในปีปฏิทิน 365 วัน หัก วันหยุดนักขัตฤกษ์ 15 วันเสาร์ – อาทิตย์ 106 วันลาปุวย–กิจ-พักผ่อน 15 136 วัน คงเหลือวันท างานตามปกติ 229 วัน หัก อบรมและสํารองงานตามนโยบายสําคัญระหว่างปีบัญชี 10 วัน คงเหลือวันวิเคราะห์ข้อมูลในภาพรวม/งานสนับสนุน - ประจ า 219 วัน 2) การจัดสรร Man-days แยกตามภารกิจงานในระยะเวลา 5 ปี คํานวณจากวันทํางานคงเหลือสําหรับ งานตรวจสอบ 219 วัน โดยการกําหนดสัดส่วนมีความแตกต่างกันตามลักษณะการตรวจของแต่ละส่วนงาน ดังนี้ 2.1) ฝุายตรวจสอบ แบ่งเป็น การปฏิบัติงานตรวจสอบในพื้นที่ (40%) = 88 วัน การตรวจวิเคราะห์ข้อมูลที่ส่วนกลาง (50%) = 109 วัน และการให้คําปรึกษา (10%) = 22 วัน 2.2) สํานักตรวจสอบเทคโนโลยีและสารสนเทศ แบ่งเป็น การปฏิบัติงานตรวจสอบในพื้นที่ (40%) = 88 วัน และการวิเคราะห์ข้อมูลที่ส่วนกลาง (50%) = 109 วันและการให้คําปรึกษา (10%) = 22 วัน การจัดสรรจํานวนวันที่ใช้ทํางานทั้งหมดต่อคน (Man-days) ในระยะ 5 ปี ภายใต้จํานวนพนักงานที่มีอยู่ มีความเพียงพอสําหรับการดําเนินงาน ทั้งนี้ หากมีการปรับเพิ่ม/ลดแผนการดําเนินงานและมีผลกระทบกับจํานวน พนักงานจะทบทวนเพื่อปรับแผนให้เหมาะสมอีกครั้ง

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 125 สรุปการจัดสรรจ านวนวันที่ใช้ท างานทั้งหมดต่อคน (Man-days) แยกตามภารกิจงานในระยะ 5 ปี ปีบัญชี 2564 – 2568 ภารกิจงาน Man-days 2563 2564 2565 2566 2567 2568 1. งานตรวจสอบ 1.1 ฝ่ายตรวจสอบ (82 คน x 216 Man-days) 17,064 17,280 17,712 17,958 17,958 17,958 1.1.1 วิเคราะห์ข้อมูลก่อนออกตรวจ และสรุปรายงาน หลังออกตรวจ (50%) 7,679 7,776 8,856 8,979 8,979 8,979 1.1.2 ตรวจสอบในพื้นที่ (40%) 8,532 8,640 7,085 7,183 7,183 7,183 1) เรื่องสําคัญตามความเสี่ยง และโครงการสําคัญของธนาคาร 6,399 6,480 5,314 5,387 5,387 5,387 2) ภารกิจประจํา 427 432 354 360 360 360 3) โครงการนโยบายรัฐบาลทั้งหมด 1,706 1,728 1,417 1,436 1,436 1,436 1.1.3 ให้คําปรึกษา (10%) 853 864 1,771 1,796 1,796 1,796 1.2 ส านักตรวจสอบเทคโนโลยีและสารสนเทศ (28 คน x 218 Man-days) 6,048 4,968 6,048 6,351 6,351 6,351 1.2.1 วิเคราะห์ข้อมูลก่อนออกตรวจ และสรุปรายงาน หลังออกตรวจ (50%) 2,722 2,236 3,024 3,176 3,176 3,176 1.2.2 ตรวจสอบในพื้นที่ (40%) 3,024 2,484 2,419 2,540 2,540 2,540 1.2.3 ให้คําปรึกษา (10%) 302 248 605 635 635 635 2. งานบริหาร (กลุ่มผู้บริหารสายงานตรวจสอบ x Man-days) 2,808 2,808 2,808 3,066 3,066 3,066 3. งานสนับสนุน (23 คน x 216 Man-days) 5,616 4,752 4,968 4,161 4,161 4,161 4. ส ารองงานอื่นและอบรม/พัฒนา (พนักงานสายงานตรวจสอบ x 10 Man-days) 1,460 1,380 1,460 1,460 1,460 1,460 รวม Man-days (146 คน x 229 วัน) 32,996 31,188 32,996 32,996 32,996 32,996 หมายเหตุ คํานวณจากงบประมาณอัตรากําลังพนักงานสายงานตรวจสอบ จํานวน 146 คน (ข้อมูล ณ วันที่ 1 ตุลาคม 2565) อธิบายการจัดสรรจ านวนวันที่ใช้ท างานทั้งหมดต่อคน (Man-days) ตามภารกิจงาน 1. กรอบการจัดสรรจํานวนวันที่ใช้ทํางานทั้งหมดต่อคน (Man-days) การบริหารอัตรากําลังของพนักงานในสายงานตรวจสอบ มีวันทํางานตามปกติ จํานวน 229 วัน และสํารอง งานสําหรับตรวจงานอื่น ๆ และการอบรมพัฒนาความรู้ จํานวน 10 วัน คงเหลือวันทํางานสุทธิจํานวน 219 วัน การคํานวณตามภารกิจหน้าที่ ดังนี้ 1.1 กําหนดสัดส่วนการปฏิบัติงานตามลักษณะงานของแต่ละส่วนงานในสายงานตรวจสอบ ดังนี้ 1.1.1 ฝุายตรวจสอบ แบ่งเป็น การปฏิบัติงานตรวจสอบในพื้นที่ (40%) = 88 วัน การตรวจวิเคราะห์ข้อมูลที่ส่วนกลาง (50%) = 109 วัน และการให้คําปรึกษา (10%) = 22 วัน 1.1.2 สํานักตรวจสอบเทคโนโลยีและสารสนเทศ แบ่งเป็น การปฏิบัติงานตรวจสอบในพื้นที่ (40%) = 88วัน การตรวจวิเคราะห์ข้อมูลที่ส่วนกลาง (50%) = 109วัน และ การให้คําปรึกษา (10%) = 22 วัน 1.2 คํานวณ Man-days การปฏิบัติงานตรวจสอบในพื้นที่ การวิเคราะห์ข้อมูลที่ส่วนกลางการให้คําปรึกษา ดังนี้ 1.2.1 วิเคราะห์ข้อมูลก่อนออกตรวจ และสรุปรายงานหลังออกตรวจ คํานวณจากจํานวนพนักงาน ตรวจสอบ คูณ จํานวนวันจากการวิเคราะห์ข้อมูลที่ส่วนกลาง โดยมีความแตกต่างกันจากสัดส่วนของแต่ละส่วนงานตามที่ กล่าวข้างต้น

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 126 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 1.2.2 งานตรวจสอบในพื้นที่ คํานวณจากจํานวนพนักงานตรวจสอบ คูณ จํานวนวันจาก การปฏิบัติงานตรวจสอบในพื้นที่ โดยมีความแตกต่างกันจากสัดส่วนของแต่ละส่วนงานตามที่กล่าวข้างต้น 1.2.3 งานให้คําปรึกษา (ฝตส.) คํานวณจากจํานวนพนักงานตรวจสอบ คูณ จํานวนวันจาก การปฏิบัติงานตรวจสอบในการให้คําปรึกษา 1.2.4 งานสอบทานด้านเทคโนโลยีสารสนเทศ (สตท.) คํานวณจากจํานวน Man-Days ที่ต้องใช้ใน การปฏิบัติงานตรวจสอบด้านเทคโนโลยีสารสนเทศ ทั้งการตรวจสอบข้อมูลที่ส่วนกลาง ส่วนงานเจ้าภาพ และผู้ปฏิบัติ ในพื้นที่ 1.3 งานบริหาร คํานวณจากผู้บริหารสายงานตรวจสอบ จํานวน 13 คน คูณ จํานวน Man-days ที่ใช้ ในการปฏิบัติงาน 219 วัน (ต่อปีบัญชี) 1.4 งานสนับสนุน คํานวณจากพนักงานกลุ่มงานกลยุทธ์และสนับสนุนคณะกรรมการตรวจสอบ กลุ่ม งานนโยบายและเสริมสร้างศักยภาพการตรวจสอบ และกลุ่มงานพัฒนามาตรฐานการตรวจสอบ จํานวน 23คน คูณ จํานวน Man-days ที่ใช้ในการปฏิบัติงาน 219 วัน (ต่อปีบัญชี) ดังนี้ 1.4.1 พนักงานสังกัดฝุายตรวจสอบ จํานวน 17 คน 1.4.2 พนักงานสังกัดสํานักตรวจสอบเทคโนโลยีและสารสนเทศ จํานวน 6 คน 1.5 สํารองงานอื่น และ อบรม/พัฒนา 1.5.1 สํารองงานสําหรับตรวจงานอื่น ๆ เช่น งานตรวจโครงการอื่น ๆ งานให้คําแนะนําปรึกษา งานที่ ได้รับมอบหมายนอกเหนือจากแผนการดําเนินงานต้นปีบัญชี เป็นต้น และการอบรมพัฒนาความรู้ คํานวณจากพนักงาน ทั้งหมดจํานวน 146คน คูณ 10 วัน (ต่อปีบัญชี) หมายเหตุคํานวณจากงบประมาณอัตรากําลังพนักงานสายงานตรวจสอบ จํานวน 146 คน (ข้อมูล ณ วันที่ 1 ตุลาคม 2565) 2. หลักเกณฑ์การจัดสรรความถี่เพื่อใช้จัดสรรทรัพยากรในการเข้าตรวจสอบดําเนินงาน สําหรับวางแผนการ ตรวจสอบระยะยาว กําหนดไว้เป็น 5 ระดับ มีดังนี้ ระดับความเสี่ยง ความถี่การตรวจสอบ สูง เข้าตรวจสอบทุกปี ค่อนข้างสูง เข้าตรวจสอบทุกปี ปานกลาง เข้าตรวจสอบแบบปีเว้นปี ค่อนข้างต่ า เข้าตรวจสอบแบบปีเว้น 2 ปี ต่ า เข้าตรวจสอบแบบปีเว้น 3 ปี กรณีผลการประเมินอยู่ในระดับ ปานกลาง ค่อนข้างต่ํา และต่ํา หากเป็นกระบวนการย่อยที่เกี่ยวข้อง กับความคาดหวัง ข้อห่วงใย ซึ่งเป็นเรื่องที่ฝุายจัดการให้ความสําคัญ และกระบวนการย่อยที่เป็นภารกิจที่กําหนดให้ สอบทานทุกปีบัญชีเนื่องจากเป็นเรื่องที่เกี่ยวข้องกับกฎเกณฑ์ หรือระเบียบของทางการ หรือเป็นเรื่องที่มีความสําคัญ ต่อธนาคารจะถูกคัดเลือกมาเพื่อตรวจสอบภายในปีบัญชีด้วย 3. การจัดสรรทรัพยากรตามแผนการตรวจสอบตามภารกิจงาน กําหนดขึ้นตามการประเมินความเสี่ยง เพื่อวาง แผนการตรวจสอบในการจัดทําแผนการดําเนินงาน ปีบัญชี 2564 - 2568 กําหนดตามกิจกรรมการตรวจสอบทั้งหมด ที่จะเข้าตรวจสอบ (Audit Universe) เป็นกระบวนการย่อย โดยมีหลักการจัดสรร Man-days ดังนี้ 3.1 จัดกลุ่มของระดับพนักงาน แบ่งเป็นกลุ่มผู้บริหาร กลุ่มพนักงานตรวจสอบ กลุ่มพนักงานสนับสนุน กลุ่มเลขานุการ/ธุรการ เพื่อคํานวณหาจํานวนพนักงานในการรองรับภารกิจงาน การปฏิบัติงานตรวจสอบในพื้นที่ การตรวจวิเคราะห์ข้อมูลที่ส่วนกลาง และการให้คําปรึกษา

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 127 3.2 หาค่าเฉลี่ยอายุงานกลุ่มตําแหน่งตรวจสอบ (เฉพาะกลุ่มพนักงานตรวจสอบ) ในสังกัดฝุายตรวจสอบ และกําหนดเกณฑ์ในการพิจารณา Man-days ตามระดับค่าเฉลี่ยของอายุงานและปัจจัยในการประเมิน ดังนี้ เกณฑ์ ความเสี่ยง ความ คาดหวัง ความ ซับซ้อน จ านวนหน่วยรับตรวจที่คาดว่าจะเข้าตรวจ 10-20 แห่ง 21-30 แห่ง 31-40 แห่ง 41-50 แห่ง มากกว่า 50 แห่งขึ้นไป เฉลี่ย 5 ปีขึ้นไป สูง 60 30 30 200 400 600 800 1,000 ค่อนข้างสูง 50 30 30 200 400 600 800 1,000 ปานกลาง 40 30 30 200 400 600 800 1,000 ค่อนข้างต่ํา 30 30 30 200 400 600 800 1,000 ต่ํา 20 30 30 200 400 600 800 1,000 เกณฑ์ ความเสี่ยง ความ คาดหวัง ความ ซับซ้อน จ านวนหน่วยรับตรวจที่คาดว่าจะเข้าตรวจ 10-20 แห่ง 21-30 แห่ง 31-40 แห่ง 41-50 แห่ง มากกว่า 50 แห่งขึ้นไป เฉลี่ย 3-5 ปี สูง 70 40 40 200 400 600 800 1,000 ค่อนข้างสูง 60 40 40 200 400 600 800 1,000 ปานกลาง 50 40 40 200 400 600 800 1,000 ค่อนข้างต่ํา 40 40 40 200 400 600 800 1,000 ต่ํา 30 40 40 200 400 600 800 1,000 เกณฑ์ ความเสี่ยง ความ คาดหวัง ความ ซับซ้อน จ านวนหน่วยรับตรวจที่คาดว่าจะเข้าตรวจ 10-20 แห่ง 21-30 แห่ง 31-40 แห่ง 41-50 แห่ง มากกว่า 50 แห่งขึ้นไป เฉลี่ย 0-3 ปี สูง 80 50 50 200 400 600 800 1,000 ค่อนข้างสูง 70 50 50 200 400 600 800 1,000 ปานกลาง 60 50 50 200 400 600 800 1,000 ค่อนข้างต่ํา 50 50 50 200 400 600 800 1,000 ต่ํา 40 50 50 200 400 600 800 1,000 ตัวอย่าง กรณีอายุงานในกลุ่มตําแหน่งตรวจสอบ มีค่าเฉลี่ย 5 ปีขึ้นไป จะนําหลักเกณฑ์ตามตารางค่าเฉลี่ย อายุงาน 5 ปีขึ้นไป มาพิจารณากําหนด Man-days โดยพิจารณาทีละกระบวนการย่อยที่สําคัญ อาทิเช่น กระบวนการย่อย “ธรรมาภิบาล” มีความเสี่ยงอยู่ในระดับปานกลาง ฝุายจัดการมีความคาดหวังให้ส่วนงานปฏิบัติ ตามหลักธรรมาภิบาลไม่มีความซับซ้อนในการตรวจสอบ และคาดว่าในปีบัญชีจะตรวจสอบหน่วยรับตรวจ 35 แห่ง มีวิธีการกําหนด Man-days ดังนี้ 1) ปัจจัยที่ 1 ความเสี่ยงระดับปานกลาง 40 Man-days 2) ปัจจัยที่ 2 ความคาดหวัง AC และ MC 30 Man-days 3) ปัจจัยที่ 3 ความซับซ้อนของกระบวนการ 0 Man-days 4) ปัจจัยที่ 4 จํานวนหน่วยรับตรวจที่คาดว่าจะเข้าตรวจ 600 Man-days สรุป กระบวนการย่อย “ธรรมาภิบาล” ใช้ Man-days ในการตรวจสอบทั้งสิ้น

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 128 12. แผนการตรวจสอบ ระยะ 5 ปี ปีบัญชี 2564 – 2568 12.1 แผนการตรวจสอบด้านการด าเนินงาน กระบวนการย่อยที่ส าคัญ ระดับความเสี่ยง ปีบัญชี 2566 1. กระบวนการจัดการความยั่งยืนขององค์กร ค่อนข้างต่ํา 2. กระบวนการควบคุมภายใน ปานกลาง 3. กระบวนการบริหารความเสี่ยง ปานกลาง 4. กระบวนการสอบทานสินเชื่อ ต่ํา 5. กระบวนการเฝูาระวังและตรวจจับการทุจริต ปานกลาง 6. กระบวนการกํากับดูแลกิจการที่ดี ปานกลาง 7. กระบวนการปฏิบัติตามกฎเกณฑ์ ค่อนข้างสูง 8. กระบวนการจัดทําแผน ค่อนข้างสูง 9. กระบวนการออกแบบระบบงาน (Work System) ปานกลาง 10. กระบวนการวิเคราะห์ข้อมูลสารสนเทศเพื่อการบริหาร ปานกลาง 11. กระบวนการติดตามและประเมินผลรัฐวิสาหกิจ ค่อนข้างต่ํา 12. กระบวนการเสริม/รักษาสภาพคล่องของธนาคาร ค่อนข้างต่ํา 13. กระบวนการบริหารสภาพคล่องส่วนเกิน ค่อนข้างต่ํา 14. กระบวนการบริหารความเสี่ยงทางการเงิน ค่อนข้างต่ํา 15. กระบวนการลงทุน (Investment) ค่อนข้างต่ํา 16. กระบวนการบริหารทุนมนุษย์ ปานกลาง 17. กระบวนการพัฒนาทุนมนุษย์ ค่อนข้างต่ํา 18. กระบวนการจัดการโครงสร้างองค์กร ปานกลาง 19. กระบวนการจัดการด้านวินัยพนักงาน ปานกลาง 20. กระบวนการจัดการฐานข้อมูลลูกค้า ค่อนข้างสูง 21. บริหารพอร์ตโฟลิโอด้านเงินฝาก ค่อนข้างต่ํา

เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ส่วนงานรับผิดชอบหลัก Man-days ส าหรับ 4 ปี Man-days 2565 2566 2567 2568 ฝนย. 800 200 200 200 200 ฝบส. 1,200 300 300 300 300 ฝบส. สบท. 1,200 300 300 300 300 สสช. 100 - - 100 - สปท. 400 100 100 100 100 สธป. 400 100 100 100 100 สธป. 3,600 900 900 900 900 ฝนย. 800 200 200 200 200 สพก. 800 200 200 200 200 ฝนย. ฝยบ. 200 - 100 - 100 สพก. 2,400 600 600 600 600 ฝกง. 400 200 - 200 - ฝกง. 400 - 200 - 200 ฝกง. 400 - 200 - 200 ฝกง. 400 200 - 200 - ฝทน. 1,200 300 300 300 300 สพน. 400 100 100 100 100 สพก. 400 200 - 200 - ฝทน. 800 200 200 200 200 ฝงฝ. 400 100 100 100 100 ฝงฝ. 300 - 300 - -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น กระบวนการย่อยที่ส าคัญ ระดับความเสี่ยง ปีบัญชี 2566 22. กระบวนการส่งเสริมเงินฝาก ค่อนข้างต่ํา 23. สินเชื่อบุคคลและเกษตรกร ค่อนข้างสูง 24. สินเชื่อสถาบันและผู้ประกอบการ ค่อนข้างสูง 25. สินเชื่อนโยบายรัฐ ค่อนข้างสูง 26. การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มีโอกาสจะเป็น หนี้ค้างชําระ ค่อนข้างสูง 27. กระบวนการพัฒนาความรู้ให้กับลูกค้า ค่อนข้างต่ํา 28. กระบวนการพัฒนาตลาดลูกค้า ค่อนข้างต่ํา 29. กระบวนการธุรกรรมฝาก-ถอน ปานกลาง 30. กระบวนการธุรกรรมรับชําระค่าบริการ ค่อนข้างต่ํา 31. กระบวนการการให้ธุรกรรมต่างประเทศ ต่ํา 32. กระบวนการโอนเงิน ต่ํา 33. กระบวนการให้บริการธุรกรรมประกันชีวิต/ประกันภัย ค่อนข้างต่ํา 34. กระบวนการให้บริการธุรกรรมเงินฝากสงเคราะห์ชีวิต ต่ํา 35. กระบวนการบัญชีการเงินและรายงานทางการเงิน ปานกลาง 36. กระบวนการจัดการงานอุทธรณ์ ต่ํา 37. กระบวนการจัดการงานที่ปรึกษา ต่ํา 38. กระบวนการจัดการงานกฎหมายธุรกิจและระหว่าง ประเทศ ต่ํา 39. กระบวนการจัดการงานอรรถคดี ต่ํา 40. กระบวนการจัดการงานความรับผิดทางละเมิด ปานกลาง 41. กระบวนการจัดการงานบริหารหนี้ดําเนินคดี ค่อนข้างต่ํา 42. กระบวนการบริหารจัดการหนี้ขาดจะขาดอายุความ ปานกลาง

129 ส่วนงานรับผิดชอบหลัก Man-days ส าหรับ 4 ปี Man-days 2565 2566 2567 2568 ฝงฝ. 100 - - - 100 ฝสบ. ฝบน. สพป. สบน. สวก. 10,000 2,500 2,500 2,500 2,500 ฝสป. สวก. สพป. สพส. 10,000 2,500 2,500 2,500 2,500 ฝนร. ฝสป. ฝพส. 3,600 900 900 900 900 ฝสบ. ฝสป. ฝบน. สบน. ฝกม. 10,000 2,500 2,500 2,500 2,500 ฝลช. สพส. สพอ. 400 100 100 100 100 สพส. สพอ. 400 100 100 100 100 ฝงฝ. 100 - 100 - - ฝงฝ. ฝกธ. 100 - 100 - - ฝกธ. 100 - 100 - - ฝกธ. 100 - - - 100 สพภ. 1,200 300 300 300 300 สงช. 400 100 100 100 100 ฝบช. 2,000 500 500 500 500 ฝกม. 100 - - - 100 ฝกม. 100 - - 100 - ฝกม. 100 - - - 100 ฝกม. 100 100 - - - ฝกม. 200 - 100 - 100 ฝกม. 100 - - 100 - ฝกม. 200 100 - 100 -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 130 กระบวนการย่อยที่ส าคัญ ระดับความเสี่ยง ปีบัญชี 2566 43. กระบวนการบริหารจัดการเอกสาร ต่ํา 44. กระบวนการจัดซื้อจัดจ้าง ปานกลาง 45. กระบวนการบริหารทรัพย์สิน (ฝนย. ฝบช. ฝอก.) ค่อนข้างสูง 46. กระบวนการบริหารจัดการอาคารสถานที่ ต่ํา 47. การบริหารและการจัดการด้านความปลอดภัยอาชีวอนามัย และสภาพแวดล้อมในการทํางาน ต่ํา 48. กระบวนการการบริหารจัดการยานพาหนะ และขนส่ง ต่ํา 49. กระบวนการบริหารการประชุม ต่ํา 50. กระบวนการการประชาสัมพันธ์ ต่ํา 51. กระบวนการสื่อสาร ต่ํา 52. กระบวนการจัดการเสียงของลูกค้า (VOC) ปานกลาง 53. กระบวนการบริหารลูกค้าสัมพันธ์ ต่ํา 54. General Computer Control ปานกลาง 55. Application Control ปานกลาง 56. Third Party ค่อนข้างต่ํา 57. IT Risk Management ปานกลาง 58. กระบวนการวิจัย ต่ํา 59. กระบวนการประเมินผล ค่อนข้างต่ํา 60. กระบวนการส่งเสริมนวัตกรรม ค่อนข้างต่ํา

เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ส่วนงานรับผิดชอบหลัก Man-days ส าหรับ 4 ปี Man-days 2565 2566 2567 2568 ฝอก. 100 - - 100 - สจพ. 400 100 100 100 100 ฝนย. ฝบช. ฝอก. สผส. 300 - - - 300 ฝอก. 400 100 100 100 100 ฝอก. 100 - - - 100 ฝอก. 100 100 - - - ฝบร. 100 - 100 - - สปส. 100 - - 100 - สปส. 100 - 100 - - ฝกค. 400 100 100 100 100 ฝกค. 400 100 100 100 100 ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. รายละเอียดตามแผนการตรวจสอบด้านเทคโนโลยี สารสนเทศ ศวพ. 100 0 100 0 0 ศวพ. 200 0 100 0 100 ศวพ. 800 200 200 200 200

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 12. แผนการตรวจสอบ ระยะ 5 ปี ปีบัญชี 2564 – 2568 12.2 แผนการตรวจสอบด้านเทคโนโลยีและสารสนเทศ ระบบงานที่ส าคัญ ระดับ ความเสี่ยง ส่วน การตรวจสอบระบบงาน (Application Controls) 1. สินเชื่อบุคคล, นิติบุคคล, สถาบัน, กลุ่มและองค์กร 1.1 สินเชื่อกลุ่ม SMALL ค่อนข้างต่ํา 1.2 สินเชื่อกลุ่ม SMART ปานกลาง 1.3 สินเชื่อกลุ่ม SMAEs ปานกลาง 1.4 สินเชื่อนโยบายรัฐ ปานกลาง ฝส 1.5 การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มีโอกาสจะเป็น หนี้ค้างชําระ ค่อนข้างสูง ฝบ 1.6 ระบบสนับสนุนสินเชื่อ ปานกลาง สพ ฝส 2. เงินฝากและบริการ 2.1 เงินฝากทั่วไป ปานกลาง 2.2 เงินฝากต้นทุนต่ํา ปานกลาง 2.3 ธุรกิจต่างประเทศ ค่อนข้างต่ํา 2.4 การโอนเงินและเรียกเก็บเงิน ปานกลาง 2.5 รายได้ค่าบริการและค่าธรรมเนียม ปานกลาง 2.6 การบริหารเงิน ปานกลาง 2.7 การปฏิบัติตามกฎเกณฑ์ ปานกลาง 2.8 การประกันภัย ปานกลาง 3. ธุรกิจดิจิทัล 3.1 เครื่องรับจ่ายเงินอัตโนมัติ (ATM/CDM) ค่อนข้างสูง

131 นงานรับผิดชอบ หลัก Man-days ส าหรับ 5 ปี Man-days 2564 2565 2566 2567 2568 ฝสบ./ฝสป. 100 - - 60 - - ฝสบ./ฝสป. 440 220 - 60 - 100 ฝสบ./ฝสป. 460 240 60 100 100 สบ./ฝสป./ฝนร. 600 120 120 100 100 100 บน./ฝนร./สบน. 340 120 110 120 100 - พป./สวก./ฝนร./ สบ./ฝสป./ฝบน./ สบน. 450 - 110 100 100 100 ฝงฝ. 220 - 110 - - - ฝงฝ./ฝกต. 220 - - - 100 ฝกธ. 220 120 - - 100 - ฝกธ. 420 90 220 100 100 200 ฝงฝ. 340 120 - 100 - 100 ฝกง. 220 - 110 - 25* - สธป. 220 25* - 100 100 - สงช./สพภ. 340 120 - 100 - 100 ฝปท. 600 120 120 120 120 120