ไฟล์_เล่มแผนแม่บทด้านการตรวจสอบภายใน ฯ ประจำปี 2566

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 91 2) งบประมาณการลงทุนในทรัพย์สิน ปีบัญชี 2566 ประเภททรัพย์สิน จ านวนเงิน หมายเหตุ โครงการพัฒนาระบบการจัดการตรวจสอบแบบรวมศูนย์ 28,400,000 รวม 28,400,000 3) งบประมาณอัตราก าลัง ประจ าปีบัญชี 2566 ต าแหน่ง ฝตส. สตท. สายงานตรวจสอบ งบฯ บรรจุ +/- งบฯ บรรจุ +/- งบฯ บรรจุ +/- กลุ่มผู้บริหาร ผู้อ านวยการฝ่าย 1 1 1 1 รองผู้อ านวยการฝ่าย/ผอ.ส านัก (12.5) 2 2 1 1 3 3 ผู้ช่วยผู้อ านวยการฝ่าย (12) 3 3 1 1 4 4 ผู้ช่วยผู้อ านวยการฝ่าย/ส านัก (11) 4 4 1 1 5 5 ผู้ช านาญการตรวจสอบเทคโนโลยีและสารสนเทศ (11) 1 1 1 1 กลุ่มต าแหน่งตรวจสอบ ผู้บริหารทีม/หัวหน้าสายตรวจสอบ (ระดับ 10) 23 23 5 5 28 28 พนักงานตรวจสอบ/พนักงานตรวจสอบคอมพิวเตอร์ระดับ 9 42 44 2 12 12 54 56 2 พนักงานตรวจสอบ/พนักงานตรวจสอบคอมพิวเตอร์ ระดับ 8 29 27 -2 7 7 36 34 -2 พนักงานตรวจสอบ/พนักงานตรวจสอบคอมพิวเตอร์ระดับ 4-7 4 4 9 6 -3 13 10 -3 กลุ่มธุรการ/เลขานุการ พนักงานธุรการ 4-7 1 1 1 1 เลขานุการ 4-7 1 1 1 1 รวมอัตราพนักงาน 109 110 1 37 34 -3 146 144 -2

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 92 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 9.3.3 แผนงบประมาณพัฒนาบุคลากรสายงานตรวจสอบ 1) ฝ่ายตรวจสอบ (ฝตส.) ล าดับที่ หัวข้อการพัฒนา วัตถุประสงค์ กลุ่มเป้าหมาย ก าหนดการ งบประมาณค่าใช้จ่าย ต าแหน่ง ระดับ จ านวน(คน) จ านวน(วัน) ช่วงเดือน ปี 2563 ปี 2564 ปี 2565 ปี 2566 ปี 2567 ปี 2568 1 การพัฒนาพนักงานให้ได้รับ วุฒิบัตรผู้ตรวจสอบภายใน วิชาชีพรับอนุญาต หรือวุฒิบัตร อื่นที่เกี่ยวข้องกับวิชาชีพ การตรวจสอบภายใน เพื่อยกระดับมาตรฐาน การเป็นผู้ตรวจสอบภายใน ของสายงานตรวจสอบ ให้เป็นไปตามมาตรฐานสากล เพื่อสร้างการยอมรับจากทั้ง ส่วนงานภายในและส่วนงาน ภายนอก ผู้บริหาร และพนักงานสาย งานตรวจสอบ ทุก ระดับ ประกาศนียบัตร CPIAT ปีบัญชี ละ 25 คน ตามระยะเวลา ที่องค์กรวิชาชีพ ก าหนด ตามระยะ เวลาที่องค์กร วิชาชีพก าหนด 240,000 240,000 960,000 1,329,250 1,329,250 1,329,250 ทุก ระดับ ประกาศนียบัตร วิชาชีพสากล เช่น CIA CPA เป็นต้น ปีบัญชีละ 4 คน (ปีบัญชี 2566 จ านวน 2 คน และ ต่อเนื่อง 2 คน) ตามระยะเวลา ที่องค์กรวิชาชีพ ก าหนด ตามระยะ เวลาที่องค์กร วิชาชีพก าหนด 210,000 210,000 210,000 417,600 417,600 417,600 ทุก ระดับ การพัฒนาวิชาชีพ อย่างต่อเนื่องของ ผู้ถือวุฒิบัตร ผู้ตรวจสอบภายใน 32 คน ตามระยะเวลา ที่องค์กรวิชาชีพ ก าหนด ตามระยะ เวลาที่องค์กร วิชาชีพก าหนด 90,000 90,000 90,000 517,320 517,320 517,320 2 พัฒนา Soft Skill ส าหรับ ผู้ตรวจสอบภายใน เพิ่มขีดความสามารถพนักงาน สายงานตรวจสอบ ให้เป็นไป ตามหลักเกณฑ์การประเมิน กระบวนการปฏิบัติงานและ การจัดการ Enablers ของ รัฐวิสาหกิจ ซึ่งระบุให้ต้องมี การพัฒนาบุคลากรด้าน การตรวจสอบภายในให้มี ความรู้ความสามารถครบถ้วน ตามทักษะที่ก าหนด ทั้ง Technical Skills และ Soft Skills ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 146 คน 2 วัน (3 รุ่น) เม.ย. 66 – มี.ค. 67 - - - 373,000 373,000 373,000

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 93 ล าดับที่ หัวข้อการพัฒนา วัตถุประสงค์ กลุ่มเป้าหมาย ก าหนดการ งบประมาณค่าใช้จ่าย ต าแหน่ง ระดับ จ านวน(คน) จ านวน(วัน) ช่วงเดือน ปี 2563 ปี 2564 ปี 2565 ปี 2566 ปี 2567 ปี 2568 3 พัฒนาทักษะการเป็นวิทยากร ด้านการตรวจสอบภายใน เพื่อให้ผู้บริหาร และ พนักงานสามารถถ่ายทอด ความรู้ และให้ค าปรึกษา แก่หน่วยรับตรวจได้ ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 40 คน 2 วัน เม.ย. 66 – มี.ค. 67 - - - 115,000 115,000 115,000 4 Fraud Risk และการประเมิน ความเสี่ยงทุจริตในกระบวนการ ตรวจสอบ เพื่อให้พนักงานมีความรู้ ความสามารถในการวิเคราะห์ และประเมินความเสี่ยง การทุจริต ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 146 คน 1 วัน เม.ย. 66 – มี.ค. 67 - - - 127,000 127,000 127,000 5 การตรวจสอบกระบวนการ ประเมินความเสี่ยง และ การบริหารความเสี่ยงขององค์กร เพื่อให้พนักงานมีความรู้ การตรวจสอบการประเมิน ความเสี่ยงและการบริหาร ความเสี่ยงขององค์กร ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 92 คน 1 วัน เม.ย. 66 – มี.ค. 67 - - - 91,960 91,960 91,960 6 ยกระดับขีดความสามารถของผู้ ตรวจสอบภายในเป็นผู้เชี่ยวชาญ เฉพาะด้าน (Subject Matter Expert : SME) เพื่อยกระดับ ขีดความสามารถของ ผู้ตรวจสอบภายในให้เป็น ผู้เชี่ยวชาญเฉพาะด้านใน งานตรวจสอบภายใน และ ธุรกิจหลักของธนาคาร ผู้บริหารและ พนักงานสายงาน ตรวจสอบ ทุก ระดับ 22 คน ตามระยะเวลาที่ องค์กรวิชาชีพ ก าหนด เม.ย. 66 – มี.ค. 67 - - 100,000 110,000 110,000 110,000 7 การส่งเสริมการเรียนรู้ของส่วน งาน (คนละ 2,500 บาท) เพื่อพัฒนาความรู้ของ พนักงานตรวจสอบให้มี ความรู้ตามมาตรฐานสากล เป็นที่ยอมรับของหน่วยรับ ตรวจและผู้บริหาร ผู้บริหาร และพนักงาน ตรวจสอบ ทุก ระดับ จ านวน 146 คน ตามรูปแบบ การพัฒนาจาก การประเมิน Competency Gap เม.ย. 66 – มี.ค. 67 438,000 438,000 438,000 365,000 365,000 365,000 5.1 สัมมนาสายงาน ตรวจสอบประจ าปี เพื่อสื่อสารนโยบายธนาคาร วางแผนแนวทางปฏิบัติ ตามยุทธศาสตร์และ พันธกิจธนาคาร ผู้บริหาร และพนักงาน ตรวจสอบ ทุก ระดับ จ านวน 146 คน ตามรูปแบบ การพัฒนาจาก การประเมิน Competency Gap เม.ย. 66 – มี.ค. 67 438,000 438,000 438,000 240,000 240,000 240,000

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 94 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ล าดับที่ หัวข้อการพัฒนา วัตถุประสงค์ กลุ่มเป้าหมาย ก าหนดการ งบประมาณค่าใช้จ่าย ต าแหน่ง ระดับ จ านวน(คน) จ านวน(วัน) ช่วงเดือน ปี 2563 ปี 2564 ปี 2565 ปี 2566 ปี 2567 ปี2568 5.2 พัฒนาความรู้ความสามารถ พนักงานสายงานตรวจสอบตาม ภารกิจหน้าที่ที่รับผิดชอบและ งานตรวจสอบเฉพาะด้าน เพื่อพัฒนาความรู้ของ พนักงานตรวจสอบให้มี ความรู้ตามมาตรฐานสากล เป็นที่ยอมรับของหน่วยรับ ตรวจและผู้บริหาร ผู้บริหารและ พนักงานตรวจสอบ ทุกระดับ จ านวน 146 คน ตามโครงการ/ แผนงาน/ความรู้ ความสามารถ เฉพาะด้าน เม.ย. 66 – มี.ค. 67 1,026,000 1,025,000 670,000 43,640 43,640 43,640 5.3 ศึกษาดูงานส่วนงาน ภายนอกธนาคาร เพื่อศึกษาดูงานกับส่วนงาน ภายนอกและน าผลการศึกษา ดูงานมาเป็นแนวทางใน การปรับปรุง/พัฒนา การปฏิบัติงานให้มี ประสิทธิภาพเพิ่มขึ้น ผู้บริหารและ พนักงานตรวจสอบ ระดับ 9 ขึ้นไป 45 คน 1 เม.ย. 66 – มี.ค. 67 20,000 20,000 20,000 28,800 28,800 28,800 5.4 มอบนโยบาย แลกเปลี่ยน เรียนรู้ประจ าไตรมาส เพื่อสรุปประเด็นจาก การตรวจสอบเป็นองค์ความรู้ และสื่อสารนโยบาย แนวทาง การปฏิบัติงาน ผู้บริหารและ พนักงานตรวจสอบ ทุกระดับ จ านวน 146คน 1 ทุก ไตรมาส 60,000 60,000 60,000 52,560 52,560 52,560 8 ศึกษาดูงานภายในประเทศ เพื่อศึกษาเรียนรู้การบริหาร จัดการองค์กรสมัยใหม่ น ามาปรับปรุงระบบงานให้ มีประสิทธิภาพ สร้าง มูลค่าเพิ่มตามแนวทาง ปฏิบัติที่ดี - คณะกรรมการ ตรวจสอบ - ผู้จัดการธนาคาร - ผู้บริหาร สายงานตรวจสอบ - ผู้ประสานงาน - 20 คน 5 เม.ย. 66 – มี.ค. 67 10,000 10,000 400,000 345,000 345,000 345,000 รวมประมาณการค่าใช้จ่ายต่อปี 2,094,000 2,093,000 2,948,000 3,791,130 3,791,130 3,791,130

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจ าปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 95 2) ส านักตรวจสอบเทคโนโลยีและสารสนเทศ (สตท.) ล าดับที่ หัวข้อการพัฒนา วัตถุประสงค์ กลุ่มเป้าหมาย ก าหนดการ งบประมาณค่าใช้จ่าย ต าแหน่ง ระดับ จ านวน(คน) จ านวน(วัน) ช่วงเดือน ปี 2563 ปี 2564 ปี 2565 ปี 2566 ปี 2567 ปี 2568 1 พัฒนาพนักงานให้ได้รับ ประกาศนียบัตรวิชาชีพ ผู้ตรวจสอบภายใน ตามแนวทาง สคร. เพื่อยกระดับมาตรฐาน การเป็นผู้ตรวจสอบภายใน ของสายงานตรวจสอบ ให้เป็นไปตามมาตรฐานสากล เพื่อสร้างการยอมรับจาก องค์กรต่างๆ ทั้งภาครัฐ และเอกชน ผู้บริหาร และพนักงาน ตรวจสอบ คอมพิวเตอร์ ทุก ระดับ ประกาศนียบัตร CPIAT ปีบัญชีละ 2 คน คนละ 48,000 บาท ตามระยะเวลา ของสถาบัน วิชาชีพ ตามระยะ เวลาของ สถาบัน วิชาชีพ - - 96,000 96,000 96,000 96,000 ทุก ระดับ ประกาศนียบัตร วิชาชีพสากล เช่น CISA CISM ISMS เป็นต้น ปีบัญชีละ 2 คน คนละ 70,000 บาท และค่าใช้จ่าย อบรมเพื่อ สะสมชั่วโมง การพัฒนา วิชาชีพอย่าง ต่อเนื่อง (CPE) และต่ออายุใบ ประกาศนีบัตร ตามระยะเวลา ของสถาบัน วิชาชีพ ตามระยะ เวลาของ สถาบัน วิชาชีพ 300,000 300,000 260,000 260,000 260,000 260,000 รวมประมาณการค่าใช้จ่ายต่อปี 300,000 300,000 356,000 356,000 356,000 356,000

เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย เกษียณ เลื่อน ต ำแหน่ง/ โยกย้ำย CAE 1 1 1 (1) ธนาคารแต่งตั้ง 13/ ผู้อ านวยการฝ่าย 1 1 1 (1) ธนาคารแต่งตั้ง 12.5/ รองผู้อ านวยการฝ่าย/ผอ.ส านัก 3 3 1 (1) ธนาคารแต่งตั้ง 2 (2) ธนาคารแต่งตั้ง 1 (1) ธนาคารแต่งตั้ง 12/ ผู้ช่วยผู้อ านวยการฝ่าย/ส านัก 4 4 1 (1) ธนาคารแต่งตั้ง 1 2 (3) ธนาคารแต่งตั้ง 1 (1) ธนาคารแต่งตั้ง 11/ ผู้ช่วยผู้อ านวยการฝ่าย/ส านัก 5 5 1 (1) สอบเลื่อนระดับ โยกย้ายแนวราบ 2 (2) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 (1) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 (1) สอบเลื่อนระดับ โยกย้ายแนวราบ 11/ ผู้ช านาญการตรวจสอบเทคโนโลยีและ สารสนเทศ 1 1 ธนาคารแต่งตั้งและ ให้ใช้อัตรา งบประมาณเท่าเดิม 10/ ผู้บริหารทีม/หัวหน้าสายตรวจสอบ 28 28 1 2 (3) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 1 (2) สอบเลื่อนระดับ โยกย้ายแนวราบ 2 2 (4) สอบเลื่อนระดับ โยกย้ายแนวราบ 2 1 (3) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 2 (3) สอบเลื่อนระดับ โยกย้ายแนวราบ 9/ พนักงานตรวจสอบ/พนักงานตรวจสอบ คอมพิวเตอร์ 54 56 2 มืออาชีพ 1 7 (6) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 5 (6) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 5 (6) สอบเลื่อนระดับ โยกย้ายแนวราบ 4 5 (9) สอบเลื่อนระดับ โยกย้ายแนวราบ 1 5 (6) สอบเลื่อนระดับ โยกย้ายแนวราบ 8/ พนักงานตรวจสอบ/พนักงานตรวจสอบ คอมพิวเตอร์ 36 34 (2) มืออาชีพ - 7 (9) สอบเลื่อนระดับ โยกย้ายแนวราบ 5 (5) สอบเลื่อนระดับ โยกย้ายแนวราบ 5 (5) สอบเลื่อนระดับ โยกย้ายแนวราบ 5 (5) สอบเลื่อนระดับ โยกย้ายแนวราบ 5 (5) สอบเลื่อนระดับ โยกย้ายแนวราบ 4-7/ พนักงานตรวจสอบ/พนักงานตรวจสอบ คอมพิวเตอร์ 13 10 - (3) สรรหาเฉพาะกิจ/ สรรหาภายนอก - 1 (4) สรรหา/โยกย้าย แนวราบ 3 (3) สรรหา/โยกย้าย แนวราบ 4-7/ พนักงานธุรการ/เลขานุการ 1 2 1 1 ธุรการไม่มีอัตรา รวมอัตรำพนักงำน 147 145 (2) 5 19 (26) 5 15 (20) 4 18 (22) 6 11 (17) 3 12 (15) 9.4 แผนกำรสรรหำบุคลำกร ต ำแหน่ง ข้อมูล ณ วันที่ 31 ต.ค. 65 ปีบัญชี2565 (ข้อมูล ณ 31 ต.ค. 65) (ขำด)/ เกิน แนวทำง กำรสรรหำ (ขำด)/ เกิน แนวทำง กำรสรรหำ (ขำด)/ เกิน แนวทำง กำรสรรหำ (ขำด)/ เกิน ที่มา ระบบสารสนเทศเพื่อการบริหารทรัพยากรมนุษย์(Human Resource Information System : HRIS) และค าสั่งแต่งตั้ง/โยกย้ายพนักงาน คำดกำรณ์ปี2568 ลดลงภำยในปี (ขำด)/ เกิน แนวทำง กำรสรรหำ เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น คำดกำรณ์ปี2570 คำดกำรณ์ปี2569 ลดลงภำยในปี บรรจุ จริง ลดลงภำยในปีลดลงภำยในปีลดลงภำยในปีลดลงภำยในปี คำดกำรณ์ปี2566 คำดกำรณ์ปี2567 แนวทำง กำรสรรหำ แนวทำง กำรสรรหำ (ขำด)/ เกิน งบ 96

แผนปฏิบัติงานตรวจสอบ ประจ าปีบัญชี 2566

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 97 10. การประเมินความเสี่ยงเพื่อวางแผนการตรวจสอบ 10.1. การจัดท าแผนการตรวจสอบด้านการด าเนินงาน 1) ขอบเขตงานตรวจสอบ (Audit Universe) การประเมินความเสี่ยงขอบเขตงานตรวจสอบ (Audit Universe) เพื่อจัดลําดับความสําคัญ ของหน่วยงานหรือกิจกรรมที่ต้องทําการตรวจสอบ โดยในปีบัญชี 2566 สายงานตรวจสอบ ได้กําหนดกิจกรรมที่ต้อง ทําการตรวจสอบ (Audit Universe) เป็น 60 กระบวนการย่อยที่สําคัญของธนาคาร ในการดําเนินงานของธนาคาร ภายใต้ข้อมูลผลการตรวจสอบของสายงานตรวจสอบ ซึ่งสอดคล้องกับระบบของธนาคาร (Work System) จํานวน 14 กระบวนการหลัก และครอบคลุมทุกส่วนงานในธนาคาร ตามโครงสร้างส่วนงานของธนาคาร ที่แบ่งเป็น 7 ด้าน 13 สายงาน 30 ฝุาย 21 สํานัก 1 สํานักงาน และในส่วนของภูมิภาค มี 9 ฝสข. 76 สนจ. 1 สกน. 1,020 สาขา ทั้งนี้ได้ประเมินความเสี่ยงให้ครอบคลุมกิจกรรมในอนาคต และการดําเนินงานตามเกณฑ์Enablers ดังนี้ กระบวนการย่อยที่ส าคัญของธนาคารที่ต้องท าการตรวจสอบเชื่อมโยงโครงสร้างส่วนงานในธนาคาร Enabler (7 ด้าน) กระบวนการท างานหลัก (14 กระบวนการ) กระบวนการท างานย่อย (60 กระบวนการ) ส่วนงานรับผิดชอบ 1. การกํากับ ดูแลที่ดีและการ นําองค์กร M1: การนําองค์กร สู่ความยั่งยืน กระบวนการจัดการความยั่งยืนขององค์กร ฝนย. ฝบร. M5: ทรัพยากรมนุษย์ กระบวนการจัดการโครงสร้างองค์กร สพก. S1 : การบัญชีและกฎหมาย กระบวนการจัดการงานอุทธรณ์ ฝกม. กระบวนการจัดการงานที่ปรึกษา ฝกม. กระบวนการจัดการงานกฎหมายธุรกิจและระหว่างประเทศ ฝกม. กระบวนการจัดการงานอรรถคดี ฝกม. กระบวนการจัดการงานความรับผิดทางละเมิด ฝกม. กระบวนการจัดการงานบริหารหนี้ดําเนินคดี ฝกม. 2. การวางแผน เชิงยุทธศาสตร์ M3: การวางแผนเชิงกล ยุทธ์ กระบวนการจัดทําแผน ฝนย. กระบวนการออกแบบระบบงาน (Work System) สพก. กระบวนการวิเคราะห์ข้อมูลสารสนเทศเพื่อการบริหาร ฝยบ. กระบวนการติดตามและประเมินผลรัฐวิสาหกิจ สพก. M4: การบริหารเงินทุน กระบวนการเสริม/รักษาสภาพคล่องของธนาคาร ฝกง. กระบวนการบริหารสภาพคล่องส่วนเกิน ฝกง. กระบวนการบริหารความเสี่ยงทางการเงิน ฝกง. กระบวนการลงทุน (Investment) ฝกง. C1 : บริการด้านเงินฝาก และรายได้ค่าธรรมเนียม บริหารพอร์ตโฟลิโอด้านเงินฝาก ฝงฝ. กระบวนการส่งเสริมเงินฝาก ฝงฝ. C2 : กระบวนการ ด้านสินเชื่อ สินเชื่อบุคคลและเกษตรกร ฝสบ. ฝบน. สพป. สบน. สวก. สินเชื่อสถาบันและผู้ประกอบการ ฝสป. สวก. สพป. สินเชื่อนโยบายรัฐ ฝนร. การบริหารจัดการหนี้ค้างชําระและหนี้ที่มีโอกาสจะเป็นหนี้ค้างชําระ ฝสบ. ฝสป. ฝนร. ฝบน. สบน. ฝกม. C4 : บริการด้านธุรกรรม ทางการธนาคาร กระบวนการธุรกรรมฝาก-ถอน ฝงฝ. สบภ. กระบวนการธุรกรรมรับชําระค่าบริการ ฝงฝ. ฝกธ. กระบวนการการให้ธุรกรรมต่างประเทศ ฝกธ. กระบวนการโอนเงิน ฝกธ.

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 98 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น Enabler (7 ด้าน) กระบวนการท างานหลัก (14 กระบวนการ) กระบวนการท างานย่อย (60 กระบวนการ) ส่วนงานรับผิดชอบ กระบวนการให้บริการธุรกรรมประกันชีวิต/ประกันภัย สพภ. กระบวนการให้บริการธุรกรรมเงินฝากสงเคราะห์ชีวิต สงช. S1 : การบัญชีและกฎหมาย กระบวนการบัญชีการเงินและรายงานทางการเงิน ฝบช. 3. การบริหาร ความเสี่ยงและ การควบคุม ภายใน M2 : การกํากับดูแล กิจการที่ดีและการบริหาร ความเสี่ยง กระบวนการควบคุมภายใน ฝบส. กระบวนการบริหารความเสี่ยง ฝบส. สบท. กระบวนการสอบทานสินเชื่อ สสช. กระบวนการเฝูาระวังและตรวจจับการทุจริต สปท. กระบวนการกํากับดูแลกิจการที่ดี สธป. กระบวนการปฏิบัติตามกฎเกณฑ์ สธป. S1 : การบัญชีและกฎหมาย กระบวนการบริหารจัดการหนี้ขาดจะขาดอายุความ ฝกม. S2 : การอํานวยการ กระบวนการบริหารจัดการเอกสาร ฝอก. S2 : การอํานวยการ กระบวนการจัดซื้อจัดจ้าง สจพ. S2 : การอํานวยการ กระบวนการบริหารทรัพย์สิน ฝนย. ฝบช. ฝอก. สผส. S2 : การอํานวยการ กระบวนการบริหารจัดการอาคารสถานที่ ฝอก. S2 : การอํานวยการ การบริหารและการจัดการด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทํางาน ฝอก. S2 : การอํานวยการ กระบวนการการบริหารจัดการยานพาหนะ และขนส่ง ฝอก. S2 : การอํานวยการ กระบวนการบริหารการประชุม ฝบร. S4 : เทคโนโลยีดิจิทัลและ การจัดการข้อมูล สารสนเทศ IT Risk Management ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. 4. การมุ่งเน้น ลูกค้าและผู้มี ส่วนได้เสีย C1 : บริการด้านเงินฝาก และรายได้ค่าธรรมเนียม กระบวนการจัดการฐานข้อมูลลูกค้า ฝงฝ. C3 : การพัฒนาชนบท และเศรษฐกิจฐานราก กระบวนการพัฒนาความรู้ให้กับลูกค้า ฝลช. สพส. สพอ. กระบวนการพัฒนาตลาดลูกค้า สพส. สพอ. S3 : การตลาด กระบวนการการประชาสัมพันธ์ สปส. กระบวนการสื่อสาร สปส. กระบวนการจัดการเสียงของลูกค้า (VOC) ฝกค. กระบวนการบริหารลูกค้าสัมพันธ์ ฝกค. 5. การพัฒนา เทคโนโลยี ดิจิทัล S4 : เทคโนโลยีดิจิทัลและ การจัดการข้อมูล สารสนเทศ General Computer Control ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. 6. การบริหาร ทุนมนุษย์ M5: ทรัพยากรมนุษย์ กระบวนการบริหารทุนมนุษย์ ฝทน. กระบวนการจัดการด้านวินัยพนักงาน ฝทน. 7. การจัดการ ความรู้และ นวัตกรรม M5: ทรัพยากรมนุษย์ กระบวนการพัฒนาทุนมนุษย์ สพน. S4 : เทคโนโลยีดิจิทัลและ การจัดการข้อมูล สารสนเทศ Application Control ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. IT Outsourcing ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. S5 : วิจัย และ นวัตกรรม กระบวนการวิจัย ศวพ. กระบวนการประเมินผล ศวพ. กระบวนการส่งเสริมนวัตกรรม ศวพ.

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 99 2) การประเมินความเสี่ยงกระบวนการย่อยที่ส าคัญ กําหนดปัจจัยและเกณฑ์การประเมิน ความเสี่ยงด้านโอกาส (Likelihood) และผลกระทบ (Impact) โดยใช้เกณฑ์การประเมินความเสี่ยงตามแนวทางมาตรฐาน ISO 31000: 2018 ซึ่งได้มีการปรับเกณฑ์ประเมินความเสี่ยงด้านโอกาสเพิ่มเติม เพื่อให้เหมาะกับการประเมินความเสี่ยง ขอบเขตงานตรวจสอบ (Audit Universe) ดังนี้ การประเมินความเสี่ยงด้านโอกาส (Likelihood) คือ การประเมินโอกาสหรือความน่าจะ เป็นที่จะเกิดเหตุการณ์ความเสี่ยง โดยพิจารณาจากปัจจัยแหล่งข้อมูลความเสี่ยงที่สําคัญ ได้แก่ 1) ปัจจัยเสี่ยง Risk Factor (RF) ของธนาคาร 2) ผลการตรวจสอบจาก ธปท. สตง. และสายงานตรวจสอบ 3) ผลการประเมินการ ควบคุมอย่างอิสระ (IA) 4) กระบวนการย่อยที่ไม่ได้รับการตรวจสอบภายใน 2 ปี 5) ความเสี่ยงจากการทุจริต และ 6) การปฏิบัติตามกฎเกณฑ์ทางการที่สําคัญ โดยกําหนดหลักเกณฑ์แบ่งเป็น 5 ระดับ ดังนี้ ตารางอธิบายโอกาสเกิดเหตุการณ์ (Likelihood) ระดับ (Level) ค าจ ากัดความ (Definition) โอกาสและความน่าจะเป็น (Opportunity and Probability) ความถี่ (Frequency) ความถี่ จากผลการตรวจสอบ 5 สูง (High) มีโอกาสเกิดขึ้นสูง (มากกว่า 50%) ภายใน 1 สัปดาห์ เกิดขึ้น มากกว่าหรือเท่ากับ 1 ครั้ง ภายในปีบัญชี ตรวจพบ ประเด็น เกิดขึ้นทุกไตรมาส 4 ค่อนข้างสูง (Nearly High) มีโอกาสเกิดขึ้นค่อนข้างสูง (31 - 50%) ภายใน 1 เดือน เกิดขึ้นมากกว่า หรือเท่ากับ 1 ครั้ง ภายในปีบัญชี ตรวจพบ ประเด็น เกิดขึ้น 3 ไตรมาส 3 ปานกลาง (Medium) มีโอกาสเกิดขึ้นได้ในบางครั้ง (11 - 30%) ภายใน 1 ปี เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง ภายในปีบัญชี ตรวจพบ ประเด็น เกิดขึ้น 2 ไตรมาส 2 ค่อนข้างต่ า (Nearly Low) แทบจะไม่มีโอกาสเกิดขึ้น (6 - 10%) มากกว่า 1 ปี แต่ไม่เกิน 3 ปี เกิดขึ้นมากกว่าหรือเท่ากับ 1 ครั้ง ภายในปีบัญชี ตรวจพบ ประเด็น เกิดขึ้น 1 ไตรมาส 1 ต่ า (Low) เกิดขึ้นได้ยากมาก (น้อยกว่าหรือเท่ากับ 5%) เหตุการณ์นี้ไม่เคยเกิดขึ้น หรือ มากกว่า 3 ปีเกิดขึ้นมากกว่า หรือเท่ากับ 1 ครั้ง ภายในปีบัญชี ไม่พบประเด็น ข้อสังเกต การประเมินด้านผลกระทบ (Impact)คือ การประเมินผลกระทบที่เกิดขึ้นทั้งที่เป็นตัวเงินและไม่เป็น ตัวเงิน หากเกิดเหตุการณ์ความเสี่ยงขึ้น ซึ่งได้กําหนดน้ําหนักและผลกระทบ แบ่งเป็น 4ด้านที่สําคัญ และในแต่ละด้านได้ กําหนดหลักเกณฑ์แบ่งเป็น 5 ระดับ ดังนี้ ระดับ (Level) 1. ด้านการเงิน (น้ าหนักร้อยละ 25) ผลกระทบต่อก าไรสุทธิ ผลกระทบด้านสภาพคล่อง 5 สูง (High) กําไรสุทธิลดลงมากกว่าร้อยละ 3 อัตราส่วนสภาพคล่องต่อเงินฝากรวม น้อยกว่า ร้อยละ 8 4 ค่อนข้างสูง (Nearly High) กําไรสุทธิลดลงร้อยละ 2-3 อัตราส่วนสภาพคล่องต่อเงินฝากรวม ร้อยละ 8 - 8.99 3 ปานกลาง (Medium) กําไรสุทธิลดลง ร้อยละ 1-2 อัตราส่วนสภาพคล่องต่อเงินฝากรวม ร้อยละ 9 - 9.99 2 ค่อนข้างต่ํา (Nearly Low) กําไรสุทธิลดลงไม่เกินร้อยละ 1 อัตราส่วนสภาพคล่องต่อเงินฝากรวม ร้อยละ 10 – 10.99 1 ต่ํา (Low) ไม่มีผลกระทบต่อกําไรสุทธิ อัตราส่วนสภาพคล่องต่อเงินฝากรวม ตั้งแต่ ร้อยละ 11 ขึ้นไป

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 100 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ระดับ (Level) 2. ด้านการด าเนินงาน (น้ าหนักร้อยละ 25) 5 สูง (High) การให้บริการหยุดชะงักตั้งแต่ 7 ชั่วโมงขึ้นไป 4 ค่อนข้างสูง (Nearly High) การให้บริการหยุดชะงักไม่เกิน 6 ชั่วโมง 3 ปานกลาง (Medium) การให้บริการหยุดชะงักไม่เกิน 5 ชั่วโมง 2 ค่อนข้างต่ํา (Nearly Low) การให้บริการหยุดชะงักไม่เกิน 4 ชั่วโมง 1 ต่ํา (Low) การให้บริการไม่หยุดชะงัก ระดับ (Level) 3. ด้านภาพลักษณ์ชื่อเสียง (น้ าหนักร้อยละ 25) ระยะเวลาการจัดการข่าว ข้อร้องเรียนในเรื่องเดียวกันจากลูกค้าผ่าน Call Center 5 สูง (High) บริหารจัดการได้โดยใช้เวลามากกว่า 4 วัน บริหารจัดการได้โดยใช้เวลามากกว่า 10 วัน 4 ค่อนข้างสูง (Nearly High) บริหารจัดการได้ภายใน 4 วัน บริหารจัดการได้ภายใน 10 วัน 3 ปานกลาง (Medium) บริหารจัดการได้ภายใน 3 วัน บริหารจัดการได้ภายใน 5 วัน 2 ค่อนข้างต่ํา (Nearly Low) บริหารจัดการได้ภายใน 2 วัน บริหารจัดการได้ภายใน 3 วัน 1 ต่ํา (Low) บริหารจัดการได้ภายใน 1 วัน บริหารจัดการได้ภายใน 1 วัน ระดับ (Level) 4. ด้านกฎหมายและข้อบังคับ (น้ าหนักร้อยละ 25) 5 สูง (High) ไม่ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมายหรือสัญญาหรือข้อตกลง และมีผลตามมา ในทางปฏิบัติที่รุนแรง ถูกฟูองร้องดําเนินคดีก่อให้เกิดความเสียหายด้านการเงิน 4 ค่อนข้างสูง (Nearly High) ไม่ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมายหรือสัญญาหรือข้อตกลง และมีผลตามมา ในทางปฏิบัติที่รุนแรง ก่อให้เกิดความเสียหายด้านการเงินแต่ไม่ถูกฟูองร้องดําเนินคดี 3 ปานกลาง (Medium) ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมายหรือสัญญาหรือข้อตกลงแต่ไม่ครบถ้วน ไม่ถูก ฟูองร้องดําเนินคดีไม่ก่อให้เกิดความเสียหายด้านการเงิน และต้องชี้แจงต่อหน่วยงานกํากับดูแล 2 ค่อนข้างต่ํา (Nearly Low) ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมายหรือสัญญาหรือข้อตกลงแต่ไม่ครบถ้วน ไม่ถูก ฟูองร้องดําเนินคดีไม่ก่อให้เกิดความเสียหายด้านการเงิน และไม่ต้องชี้แจงต่อหน่วยงานกํากับดูแล 1 ต่ํา (Low) ปฏิบัติตามกฎหมายหรือกฎระเบียบหรือข้อบังคับหรือสัญญาหรือข้อตกลง

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 101 เมื่อได้ประเมินค่าระดับของโอกาสและผลกระทบของแต่ละกระบวนการแล้ว จะนําค่าดังกล่าวมาประเมินระดับ ความเสี่ยง โดยการเอาค่าของ โอกาส x ผลกระทบ = ระดับความเสี่ยง โอกาสที่จะเกิด (Likelihood) ผลกระทบ (Impact) 1 ต่ ามาก 2 ต่ า 3 ปานกลาง 4 สูง 5 สูงมาก 5 - สูง M5 NH10 NH15 H20 H25 4 - ค่อนข้างสูง NL4 M8 NH12 NH16 H20 3 - ปานกลาง NL3 M6 M9 NH12 NH15 2 - ค่อนข้างต่ า L2 NL4 M6 M8 NH10 1 - ต่ า L1 l2 NL3 NL4 M5 เกณฑ์ระดับความเสี่ยง คะแนน ความหมาย สูง (H: High) (20-25) ความเสี่ยงที่มีความสําคัญสูงมาก จําเป็นต้องได้รับการจัดการทันที ค่อนข้างสูง (NH: Nearly High) (10-16) ความเสี่ยงที่มีความสําคัญสูง จะต้องได้รับการจัดการในลําดับถัดมา ปานกลาง (M: Medium) (5-9) ความเสี่ยงที่มีความสําคัญ และต้องติดตามการปฏิบัติตามมาตรการจัดการ ความเสี่ยงที่ดําเนินการอยู่ในปัจจุบันอย่างเคร่งครัด ค่อนข้างต่ า (NL: Nearly Low) (3-4) ความเสี่ยงที่มีความสําคัญน้อย อยู่ในระดับที่ผู้บริหารยอมรับได้ แต่ต้อง ติดตามอย่างสม่ําเสมอ ต่ า (L: Low) (1-2) ความเสี่ยงที่มีความสําคัญน้อย อยู่ในระดับที่ผู้บริหารยอมรับได้ แหล่งอ้างอิง: 1) ISO 31000:2009 Guide Line และ 2) Project Management Institution (PMI) ระดับความเสี่ยง ความถี่การตรวจสอบ สูง เข้าตรวจสอบทุกปี ค่อนข้างสูง เข้าตรวจสอบทุกปี ปานกลาง เข้าตรวจสอบแบบปีเว้นปี ค่อนข้างต่ า เข้าตรวจสอบแบบปีเว้น 2 ปี ต่ า เข้าตรวจสอบแบบปีเว้น 3 ปี

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 102 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 3) ผลการประเมินความเสี่ยงเพื่อคัดเลือกกระบวนการย่อยที่ส าคัญของธนาคาร เพื่อวางแผน การตรวจสอบ ประจ าปีบัญชี 2566 กระบวนการที่สําคัญ คะแนน ความเสี่ยง ระดับ ความเสี่ยง 1. กระบวนการจัดการความยั่งยืนขององค์กร ค่อนข้างต่ํา 2. กระบวนการควบคุมภายใน ปานกลาง 3. กระบวนการบริหารความเสี่ยง ปานกลาง 4. กระบวนการสอบทานสินเชื่อ ต่ํา 5. กระบวนการเฝูาระวังและตรวจจับการทุจริต ปานกลาง 6. กระบวนการกํากับดูแลกิจการที่ดี ปานกลาง 7. กระบวนการปฏิบัติตามกฎเกณฑ์ ค่อนข้างสูง 8. กระบวนการจัดทําแผน ค่อนข้างสูง 9. กระบวนการออกแบบระบบงาน (Work System) ปานกลาง 10. กระบวนการวิเคราะห์ข้อมูลสารสนเทศเพื่อการบริหาร ปานกลาง 11. กระบวนการติดตามและประเมินผลรัฐวิสาหกิจ ค่อนข้างต่ํา 12. กระบวนการเสริม/รักษาสภาพคล่องของธนาคาร ค่อนข้างต่ํา 13. กระบวนการบริหารสภาพคล่องส่วนเกิน ค่อนข้างต่ํา 14. กระบวนการบริหารความเสี่ยงทางการเงิน ค่อนข้างต่ํา 15. กระบวนการลงทุน (Investment) ค่อนข้างต่ํา 16. กระบวนการบริหารทุนมนุษย์ ปานกลาง 17. กระบวนการพัฒนาทุนมนุษย์ ค่อนข้างต่ํา 18. กระบวนการจัดการโครงสร้างองค์กร ปานกลาง 19. กระบวนการจัดการด้านวินัยพนักงาน ปานกลาง 20. กระบวนการจัดการฐานข้อมูลลูกค้า ค่อนข้างสูง 21. บริหารพอร์ตโฟลิโอด้านเงินฝาก ค่อนข้างต่ํา 22. กระบวนการส่งเสริมเงินฝาก ค่อนข้างต่ํา 23. สินเชื่อบุคคลและเกษตรกร ค่อนข้างสูง 24. สินเชื่อสถาบันและผู้ประกอบการ ค่อนข้างสูง 25. สินเชื่อนโยบายรัฐ ค่อนข้างสูง 26. การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มีโอกาสจะเป็นหนี้ค้างชําระ ค่อนข้างสูง 27. กระบวนการพัฒนาความรู้ให้กับลูกค้า ค่อนข้างต่ํา 28. กระบวนการพัฒนาตลาดลูกค้า ค่อนข้างต่ํา 29. กระบวนการธุรกรรมฝาก-ถอน ปานกลาง 30. กระบวนการธุรกรรมรับชําระค่าบริการ ค่อนข้างต่ํา 31. กระบวนการการให้ธุรกรรมต่างประเทศ ต่ํา 32. กระบวนการโอนเงิน ต่ํา 33. กระบวนการให้บริการธุรกรรมประกันชีวิต/ประกันภัย ค่อนข้างต่ํา 34. กระบวนการให้บริการธุรกรรมเงินฝากสงเคราะห์ชีวิต ต่ํา 35. กระบวนการบัญชีการเงินและรายงานทางการเงิน ปานกลาง 36. กระบวนการจัดการงานอุทธรณ์ ต่ํา 37. กระบวนการจัดการงานที่ปรึกษา ต่ํา

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 103 กระบวนการที่สําคัญ คะแนน ความเสี่ยง ระดับ ความเสี่ยง 38. กระบวนการจัดการงานกฎหมายธุรกิจและระหว่างประเทศ ต่ํา 39. กระบวนการจัดการงานอรรถคดี ต่ํา 40. กระบวนการจัดการงานความรับผิดทางละเมิด ปานกลาง 41. กระบวนการจัดการงานบริหารหนี้ดําเนินคดี ค่อนข้างต่ํา 42. กระบวนการบริหารจัดการหนี้ขาดจะขาดอายุความ ปานกลาง 43. กระบวนการบริหารจัดการเอกสาร ต่ํา 44. กระบวนการจัดซื้อจัดจ้าง ปานกลาง 45. กระบวนการบริหารทรัพย์สิน (ฝนย. ฝบช. ฝอก.) ค่อนข้างสูง 46. กระบวนการบริหารจัดการอาคารสถานที่ ต่ํา 47. การบริหารและการจัดการด้านความปลอดภัยอาชีวอนามัย และสภาพแวดล้อมในการทํางาน ต่ํา 48. กระบวนการการบริหารจัดการยานพาหนะ และขนส่ง ต่ํา 49. กระบวนการบริหารการประชุม ต่ํา 50. กระบวนการการประชาสัมพันธ์ ต่ํา 51. กระบวนการสื่อสาร ต่ํา 52. กระบวนการจัดการเสียงของลูกค้า (VOC) ปานกลาง 53. กระบวนการบริหารลูกค้าสัมพันธ์ ต่ํา 54. General Computer Control ปานกลาง 55. Application Control ปานกลาง 56. Third Party ค่อนข้างต่ํา 57. IT Risk Management ปานกลาง 58. กระบวนการวิจัย ต่ํา 59. กระบวนการประเมินผล ค่อนข้างต่ํา 60. กระบวนการส่งเสริมนวัตกรรม ค่อนข้างต่ํา

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 104 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ผลการประเมินและจัดระดับความเสี่ยงกระบวนการย่อยที่ส าคัญของธนาคาร จ านวน 60 กระบวนการย่อย ระดับความเสี่ยง จํานวนกระบวนการย่อย ความถี่การตรวจสอบ สูง 0 เข้าตรวจสอบทุกปี ค่อนข้างสูง 8 เข้าตรวจสอบทุกปี ปานกลาง 18 เข้าตรวจสอบแบบปีเว้นปี ค่อนข้างต่ํา 17 เข้าตรวจสอบแบบปีเว้น 2 ปี ต่ํา 17 เข้าตรวจสอบแบบปีเว้น 3 ปี รวม 60 ทั้งนี้ จากผลการประเมินและจัดระดับความเสี่ยงของกระบวนการดังกล่าวข้างต้น ได้นําปัจจัยร่วม พิจารณาเพิ่มเติมอีก 4 ปัจจัย ได้แก่ 1)กฎเกณฑ์สําคัญที่ต้องดําเนินการ 2) เหตุการณ์เกิดทุจริตสําคัญ 3) ความ คาดหวัง/ข้อเสนอแนะและข้อห่วงใยจากคณะกรรมการตรวจสอบ ธ.ก.ส. ฝุายจัดการ และ 4) กระบวนการย่อยที่ ไม่ได้ตรวจสอบมาเป็นระยะเวลา 2 ปี จะได้รับการคัดเลือกให้เข้าสอบทานทันที ปรากฏตามตารางสรุปด้านล่างนี้ ผลการประเมินและจัดระดับความเสี่ยงกระบวนการย่อยที่ส าคัญของธนาคาร ประจ าปีบัญชี 2566 กระบวนการ ระดับ ความเสี่ยง กฎเกณฑ์ ส าคัญ ความคาดหวัง AC MD MC เรื่องที่ไม่ได้ ตรวจ2 ปี 1. กระบวนการจัดการฐานข้อมูลลูกค้า (C ) ค่อนข้างสูง * * 2. การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มี โอกาสจะเป็นหนี้ค้างชําระ (C ) ค่อนข้างสูง * * 3. สินเชื่อบุคคลและเกษตรกร (C ) ค่อนข้างสูง * * 4. สินเชื่อสถาบันและผู้ประกอบการ (C ) ค่อนข้างสูง * * 5. สินเชื่อนโยบายรัฐ (C ) ค่อนข้างสูง * * 6. กระบวนการปฏิบัติตามกฎเกณฑ์ (M) ค่อนข้างสูง * * 7. กระบวนการบริหารทรัพย์สิน (S) ค่อนข้างสูง * 8. กระบวนการจัดทําแผน (M) ค่อนข้างสูง * * 9. กระบวนการควบคุมภายใน (M) ปานกลาง * * 10. กระบวนการบริหารความเสี่ยง (M) ปานกลาง * * 11. กระบวนการกํากับดูแลกิจการที่ดี (M) ปานกลาง * * 12. กระบวนการธุรกรรมฝาก-ถอน (C ) ปานกลาง * 13. กระบวนการเฝูาระวังและตรวจจับการทุจริต (M) ปานกลาง * 14. กระบวนการจัดการด้านวินัยพนักงาน (M) ปานกลาง * 15. กระบวนการวิเคราะห์ข้อมูลสารสนเทศ เพื่อการบริหาร (M) ปานกลาง * 16. กระบวนการบัญชีการเงินและรายงานทางการเงิน (S) ปานกลาง * 17. กระบวนการออกแบบระบบงาน (Work System) (M) ปานกลาง * 18. กระบวนการจัดการโครงสร้างองค์กร (M) ปานกลาง * 19. กระบวนการบริหารทุนมนุษย์ (M) ปานกลาง * 20. กระบวนการจัดซื้อจัดจ้าง (S) ปานกลาง * 21. General Computer Control (S) ปานกลาง *

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 105 กระบวนการ ระดับ ความเสี่ยง กฎเกณฑ์ ส าคัญ ความคาดหวัง AC MD MC เรื่องที่ไม่ได้ ตรวจ2 ปี 22. Application Control (S) ปานกลาง * 23. IT Risk Management (S) ปานกลาง * * 24. กระบวนการจัดการเสียงของลูกค้า (VOC) (S) ปานกลาง * 25. กระบวนการให้บริการธุรกรรมประกันชีวิต / ประกันภัย (C ) ค่อนข้างต่ํา * 26. กระบวนการธุรกรรมรับชําระค่าบริการ (C ) ค่อนข้างต่ํา * 27. กระบวนการพัฒนาทุนมนุษย์ (M) ค่อนข้างต่ํา * * 28. กระบวนการบริหารสภาพคล่องส่วนเกิน (M) ค่อนข้างต่ํา * * 29. กระบวนการเสริม/รักษาสภาพคล่องของธนาคาร (M) ค่อนข้างต่ํา * 30. กระบวนการติดตามและประเมินผลรัฐวิสาหกิจ (M) ค่อนข้างต่ํา * 31. กระบวนการจัดการความยั่งยืนขององค์กร (M) ค่อนข้างต่ํา * 32. กระบวนการส่งเสริมนวัตกรรม (S) ค่อนข้างต่ํา * 33. Thrid party (S) ค่อนข้างต่ํา * 34. กระบวนการสอบทานสินเชื่อ (M) ต่ํา * 35. กระบวนการให้บริการธุรกรรมเงินฝาก สงเคราะห์ชีวิต (C ) ต่ํา * 36. กระบวนการการให้บริการธุรกรรมต่างประเทศ (C ) ต่ํา * 37. กระบวนการบริหารลูกค้าสัมพันธ์ (S) ต่ํา * หมายเหตุ C หมายถึง กระบวนการหลัก (Core Process) M หมายถึง กระบวนการบริหารการจัดการ (Management Process) S หมายถึง กระบวนการสนับสนุน (Support Process)

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 106 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 10.2 การจัดท าแผนการตรวจสอบด้านเทคโนโลยีและสารสนเทศ สํานักตรวจสอบเทคโนโลยีและสารสนเทศ ใช้ COBIT (Control Objectives for Information and Related Technology) ซึ่งเป็นกรอบการดําเนินงานด้านเทคโนโลยีและสารสนเทศ มาเป็นแนวทางในการ กําหนดกรอบการตรวจสอบเพื่อให้ครอบคลุมกระบวนการหลักด้านเทคโนโลยีสารสนเทศ และระบบสารสนเทศที่ สําคัญต่อการดําเนินธุรกิจของธนาคารอย่างครบถ้วน และมีความสอดคล้องกับวัตถุประสงค์ขององค์กร ภาพรวมกระบวนการจัดทําแผนการตรวจสอบด้านเทคโนโลยีสารสนเทศ

·

·
(Risk Profile) ·
·



·
·


·

·


·
· ·

· ·
· · · แหล่งที่มา : “The IT audit plan process” (Figure 2), Developing the IT Audit Plan, GTAG, 2008 ภาพที่ 1 ภาพรวมกระบวนการจัดทําแผนการตรวจสอบด้านเทคโนโลยีสารสนเทศ โดยได้นําแนวทางความต้องการของผู้มีส่วนได้ส่วนเสียมาพิจารณากําหนดให้เป็นเปูาหมาย ขององค์กร เปูาหมายที่สอดคล้องกับวัตถุประสงค์ทางธุรกิจ และเปูาหมายในการกํากับดูแลและบริหารจัดการอย่าง เหมาะสม ทุกระดับและทุกด้านขององค์กร เพื่อสนับสนุนเปูาหมายและความต้องการของผู้มีส่วนได้เสียโดยรวม โดย สตท. นําขั้นตอนในการกําหนดกรอบการดําเนินงานดังกล่าวมากําหนดกรอบในการตรวจสอบการดําเนินงาน ด้านเทคโนโลยีและสารสนเทศให้สอดรับกับเปูาหมายขององค์กร ดังภาพ ภาพที่ 2 ขั้นตอนในการส่งทอดเปูาหมายในการดําเนินงานด้านเทคโนโลยีและสารสนเทศตามแนว COBIT

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 107 จากการเก็บรวบรวมแหล่งข้อมูลต่าง ๆ ที่ใช้ในการพิจารณากําหนดกรอบการตรวจสอบตามแนว COBIT สามารถสรุปผลการกําหนดกรอบการตรวจสอบตามแนว COBIT ในภาพรวม ได้ดังรูป แหล่งที่มา : ดัดแปลงมาจาก “Understanding the IT environment in a business context”(Figure 3), Developing the IT Audit Plan, GTAG, 2008 ภาพที่ 3 กรอบการตรวจสอบตามแนวทาง COBIT โดยกรอบการตรวจสอบจะถูกกําหนดจากแผนกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศและเปูาประสงค์องค์กร (Strategic Goals) ตามกรอบการดําเนินงาน COBIT โดยครอบคลุมงานตรวจสอบทั้ง 2 ด้าน ดังนี้ 1. การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (General Computer Controls) 2. การควบคุมด้านระบบงาน (Application Controls) 1. การจัดท าแผนการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (General Computer Controls) M1 : การจัดการองค์กรสู่ความยั่งยืน M3 : การวางแผนเชิงกลยุทธ์ M4 : การบริหารเงินทุน M5 : ทรัพยากรมนุษย์ M2 : การก ากับดูแลกิจการที่ดี และการบริหารความเสี่ยง C4 : บริการด้านธุรกรรมทางการธนาคาร C3 : การพัฒนาชนบทและ เศรษฐกิจฐานราก C1 : บริการด้านเงินฝาก C2 : บริการด้านสินเชื่อ S1 : การบัญชี S2 : การอ านวยการ S3 : การตลาด S4 : เทคโนโลยีดิจิทัลและการจัดการ ข้อมูลสารสนเทศ S5 : วิจัย และนวัตกรรม

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 108 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ภาพที่ 4 แผนภาพแสดงกระบวนการจัดทําแผนการตรวจสอบการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ การดําเนินการกําหนดกรอบการตรวจสอบตามแนว COBIT โดยผู้ตรวจสอบภายในได้เลือกใช้ แผนกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ เป็นปัจจัยหลักเพื่อพิจารณาดําเนินการ โดยมีขั้นตอน ดังนี้ ขั้นตอนที่ 1 การรวบรวมข้อมูล ขั้นตอนที่ 2 การประเมินความเสี่ยง ขั้นตอนที่ 3 การจัดระดับความสําคัญ ขั้นตอนที่ 4 การกําหนดระยะเวลาการตรวจสอบและการจัดสรรทรัพยากร ซึ่งมีรายละเอียดในแต่ละขั้นตอน ดังต่อไปนี้ ขั้นตอนที่ 1 การรวบรวมข้อมูล 1. ศึกษาแผนแม่บทด้านดิจิทัล (Digital Master Plan) ผลการประเมินตนเองเพื่อควบคุม ความเสี่ยง (Control Self-Assessment: CSA) ของส่วนงานด้านดิจิทัลและเทคโนโลยีสารสนเทศของธนาคาร เพื่อ ทราบทิศทางและความเสี่ยงทางด้านเทคโนโลยีสารสนเทศของธนาคาร 2. รายงานผลการตรวจสอบประจําปี ข้อมูลการเกิดเหตุการณ์ผิดปกติ (Incident) ต่าง ๆ ในการ ให้บริการระบบเทคโนโลยีสารสนเทศ (ศูนย์รักษาความมั่นคงปลอดภัยเทคโนโลยีและสารสนเทศ (ศรส.)) ขั้นตอนที่ 2 การประเมินความเสี่ยง 1. จากการรวบรวมข้อมูลความเสี่ยงด้านเทคโนโลยีสารสนเทศ สามารถระบุปัจจัยความเสี่ยง ด้านเทคโนโลยีสารสนเทศของธนาคาร จํานวน 24 ปัจจัย 2. ประเมินความเสี่ยง 24 ปัจจัยความเสี่ยงดังกล่าว โดยพิจารณาใน 2 ด้าน คือ ด้านโอกาสเกิด และผลกระทบ ตารางที่ 1 ปัจจัยความเสี่ยงด้านเทคโนโลยีสารสนเทศของธนาคาร ล าดับที่ ประเภทความเสี่ยง Ref. ความเสี่ยงด้านเทคโนโลยีสารสนเทศ 1 Emerging Technology Risk ER1 ความเสี่ยงที่ระบบงานในปัจจุบันหรือระบบที่กําลังพัฒนา ไม่สามารถรองรับเทคโนโลยีใหม่ตามแผนกลยุทธ์ทางธุรกิจ 2 Emerging Technology Risk ER2 ไม่ได้พิจารณาถึงเทคโนโลยีใหม่และเป็นเทคโนโลยีสําคัญ เพื่อนํามาใช้เพิ่มช่องทางการให้บริการ หรือสอดคล้องรองรับ ความต้องการทางธุรกิจในอนาคต 3 Emerging Technology Risk ER3 ผู้บริหารธนาคารไม่มีความรู้ความเข้าใจ ICT หรือนวัตกรรมใหม่ ๆ ส่งผลให้ไม่สามารถนํา ICT มาใช้ในองค์กรเพื่อเพิ่มโอกาส ทางด้านธุรกิจในเชิงการแข่งขัน 4 Security Risk SC1 นโยบายการรักษาความปลอดภัยหรือมาตรการด้านการรักษา ความปลอดภัยไม่รองรับความเสี่ยงของเทคโนโลยีใหม่ ๆ 5 Security Risk SC2 มาตรการควบคุมการเข้าถึงระบบสารสนเทศโดยไม่ได้รับอนุญาต ไม่เพียงพอ 6 IT Resilience Risk IR1 ระบบงานด้านสารสนเทศที่ใช้งานในปัจจุบัน หรือ Network ไม่มี เสถียรภาพ ไม่สามารถนํามาใช้ในการปฏิบัติงานหรือ บริหารงาน อย่างต่อเนื่อง 7 IT Resilience Risk IR2 กระบวนการในการจัดการเหตุการณ์หรือปัญหาในด้าน สารสนเทศไม่มีประสิทธิภาพ ส่งผลให้การให้บริการไม่มี ประสิทธิภาพ

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 109 ล าดับที่ ประเภทความเสี่ยง Ref. ความเสี่ยงด้านเทคโนโลยีสารสนเทศ 8 Incident Response Risk IR3 ขาดความสามารถในการรับมือ หรือจัดการเหตุการณ์ หรือ Incident ที่เกิดขึ้น 9 IT Business Risk IB1 ไม่มีการประเมินผลกระทบที่เกิดจากการพัฒนาหรือปรับปรุง ระบบที่มีต่อการดําเนินการทางธุรกิจ หรือประเมินผลกระทบไม่ ถูกต้องครบถ้วน 10 IT Business Risk IB2 ไม่มีการทดสอบระบบหรือมีการทดสอบไม่ละเอียดครบถ้วน เพียงพอก่อนติดตั้งระบบเพื่อใช้งานจริง 11 IT Business Risk IB3 การเก็บข้อมูลความต้องการผู้ใช้งานไม่ครบถ้วนและ/หรือการ พัฒนาระบบไม่ตรงตามความต้องการผู้ใช้งาน 12 IT compliance risk IC1 การรักษาความปลอดภัยในระบบไม่เป็นไปตามระเบียบข้อบังคับ ของ ธปท. กฎหมายที่เกี่ยวข้อง เช่น พ.ร.บ.ว่าด้วยการกระทําผิด เกี่ยวกับคอมพิวเตอร์เป็นต้น รวมถึงมาตรฐานด้านความมั่นคง ปลอดภัย เช่น ISO/IEC 27001 เป็นต้น 13 Data Security Risk DS1 โปรแกรมหรือข้อมูลสําคัญในระบบถูกนําไปใช้แก้ไขเปลี่ยนแปลง โดยบุคคลที่ไม่ได้รับอนุญาต 14 Data Quality Risk DS2 ข้อมูลไม่ถูกต้อง ไม่ครบถ้วน และ/หรือขาดข้อมูลที่จําเป็น 15 Data Privacy Risk DS3 มาตรการควบคุมภายในเพื่อปูองกันการละเมิดข้อมูลสารสนเทศ และข้อมูลส่วนบุคคลไม่มีประสิทธิภาพ 16 IT Project Risk PM1 โครงการมีค่าใช้จ่ายสูงเกินกว่างบประมาณที่กําหนดไว้ หรือมีค่าใช้จ่ายเพิ่มเติมในการดําเนินโครงการ 17 IT Project Risk PM2 โครงการเสร็จล่าช้ากว่าแผนที่กําหนดหรือไม่สําเร็จตามแผน 18 IT Project Risk PM3 ขาดบุคลากรหรือผู้เชี่ยวชาญในการดําเนินงานโครงการ 19 IT Development ID1 การพัฒนาระบบสารสนเทศไม่เป็นไปตามนโยบาย ระเบียบ ข้อบังคับของธนาคารหรือไม่ครอบคลุมตามความต้องการใช้งาน 20 IT Asset Management Risk AM1 การตรวจรับทรัพย์สินของโครงการไม่ถูกต้องครบถ้วนตาม วัตถุประสงค์ที่ขอให้จัดหาหรือตามข้อกําหนดใน TOR 21 IT Asset Management Risk AM2 ทะเบียนทรัพย์สินทาง IT ไม่ถูกต้องครบถ้วนหรือไม่มีการ ปรับปรุงให้เป็นปัจจุบัน 22 IT Asset Management Risk AM3 ความเสี่ยงที่ธนาคารใช้Non-licensed Software 23 Sourcing Risk SR1 เจ้าหน้าที่ด้าน IT ไม่มีความรู้เพียงพอในการให้บริการระบบงาน หรือเทคโนโลยีใหม่ ส่งผลให้ไม่สามารถติดตามการทํางานหรือ การแก้ไขปัญหาได้อย่างมีประสิทธิภาพ 24 Sourcing Risk SR2 ขาดกระบวนการในการถ่ายทอดความรู้ทักษะให้เจ้าหน้าที่ IT ในการดูแลบริหารจัดการระบบ

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 110 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น นอกจากนี้การประเมินความเสี่ยงในส่วนของ General Computer Controls จะต้องคํานึงถึงเกณฑ์ ด้านโอกาสเกิด และผลกระทบ โดยมีเกณฑ์ในการประเมิน ดังนี้ ก. เกณฑ์ด้านผลกระทบ (Impact Rating) ตารางที่ 2 ตารางเกณฑ์ด้านผลกระทบ ระดับ (Level) ด้านการเงิน ด้านการดำเนินงาน ด้านภาพลักษณ์ชื่อเสียง ด้านกฎหมายและข้อบังคับ ผลกระทบ ต่อกำไรสุทธิ ผลกระทบด้าน สภาพคล่อง ระยะเวลา การจัดการข่าว ข้อร้องเรียนในเรื่องเดียวกัน จากลูกค้าผ่าน Call Center ของธนาคารที่กระทบกับ ภาพลักษณ์และชื่อเสียง 5 สูง (High) กําไรสุทธิลดลง มากกว่าร้อยละ 3 อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม น้อยกว่า ร้อยละ 9 ส่งผลกระทบต่อการดําเนินธุรกรรมสําคัญ ของธนาคารและสามารถกู้คืนระบบได้เกิน ระยะเวลา MTPD โดยใช้แผน BCP/DRP ระหว่างที่มีการกู้คืนระบบ บริหารจัดการได้ โดยใช้เวลา มากกว่า 4 วัน บริหารจัดการได้โดยใช้เวลา มากกว่า 10 วัน ไม่ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือ กฎหมายหรือสัญญาหรือข้อตกลง และมีผล ตามมาในทางปฏิบัติที่รุนแรง ถูกฟูองร้อง ดําเนินคดี ก่อให้เกิดความเสียหายด้านการเงิน 4 ค่อนข้างสูง (Nearly High) กําไรสุทธิลดลง ร้อยละ 2 - 3 อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม ร้อยละ 9 - 9.99 ส่งผลกระทบต่อการดําเนินธุรกรรมสําคัญของ ธนาคารและสามารถกู้คืนระบบได้เกินระยะเวลา RTO แต่ไม่เกิน MTPD โดยใช้แผน BCP/DRP ระหว่างที่มีการกู้คืนระบบ MTPD บริหารจัดการได้ ภายใน 4 วัน บริหารจัดการได้ภายใน 10 วัน ไม่ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือ กฎหมายหรือสัญญาหรือข้อตกลง และมีผลตาม มาในทางปฏิบัติที่รุนแรงก่อให้เกิดความเสียหาย ด้านการเงินแต่ไม่ถูกฟูองร้องดําเนินคดี 3 ปานกลาง (Medium) กําไรสุทธิลดลง ร้อยละ 1 - 2 อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม ร้อยละ 10 - 10.99 ส่งผลกระทบต่อการดําเนินธุรกรรมสําคัญ ของธนาคารและ สามารถกู้คืนระบบได้ไม่ เกินระยะเวลา RTO โดยใช้แผน BCP/DRP ระหว่างที่มีการกู้คืนระบบ บริหารจัดการได้ ภายใน 3 วัน บริหารจัดการได้ภายใน 5 วัน ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมาย หรือสัญญาหรือข้อตกลงแต่ไม่ครบถ้วน ไม่ถูก ฟูองร้องดําเนินคดี ไม่ก่อให้เกิดความเสียหาย ด้านการเงิน และต้องชี้แจงต่อหน่วยงานกํากับดูแล 2 ค่อนข้างต่ํา (Nearly Low) กําไรสุทธิลดลง ไม่เกิน ร้อยละ 1 อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม ร้อยละ 10 – 10.99 ส่งผลกระทบต่อการดําเนินธุรกรรมสําคัญ ของธนาคารและ สามารถกู้คืนระบบได้ไม่ เกินระยะเวลา RTO โดยไม่ใช้แผน BCP/DRP ระหว่างที่มีการกู้คืนระบบ บริหารจัดการได้ ภายใน 2 วัน บริหารจัดการได้ภายใน 3 วัน ปฏิบัติตามกฎระเบียบหรือข้อบังคับหรือกฎหมาย หรือสัญญาหรือข้อตกลงแต่ไม่ครบถ้วน ไม่ถูก ฟูองร้องดําเนินคดี ไม่ก่อให้เกิดความเสียหาย ด้านการเงิน และไม่ต้องชี้แจงต่อหน่วยงานกํากับดูแล 1 ต่ํา (Low) ไม่มีผลกระทบต่อ กําไรสุทธิ อัตราส่วนสภาพคล่อง ต่อเงินฝากรวม ตั้งแต่ ร้อยละ 11 ขึ้นไป ไม่ส่งผลกระทบต่อการดําเนินธุรกรรม สําคัญของธนาคาร บริหารจัดการได้ ภายใน 1 วัน บริหารจัดการได้ภายใน 1 วัน ปฏิบัติตามกฎหมายหรือกฎระเบียบหรือข้อบังคับ หรือสัญญาหรือข้อตกลง

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 111 ข. เกณฑ์ด้านโอกาสเกิด (Likelihood Rating) ตารางที่ 3 ตารางเกณฑ์ด้านโอกาสเกิด ระดับ (Level) ค าจ ากัดความ (Definition) โอกาสและความน่าจะเป็น (Opportunity and Probability) ความถี่ (Frequency) 5 สูง (High) มีโอกาสเกิดขึ้นสูง (มากกว่า 50 %) ภายใน 1 เดือน เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง 4 ค่อนข้างสูง (Nearly High) มีโอกาสเกิดขึ้นค่อนข้างสูง (31 – 50 %) ภายใน 1 ไตรมาส เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง 3 ปานกลาง (Medium) มีโอกาสเกิดขึ้นได้ในบางครั้ง (11 – 30 %) ภายใน 1 ปี เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง 2 ค่อนข้างต่ํา (Nearly Low) แทบจะไม่มีโอกาสเกิดขึ้น (6 – 10 %) มากกว่า 1 ปี แต่ไม่เกิน 3 ปี เกิดขึ้นมากกว่าหรือ เท่ากับ 1 ครั้ง 1 ต่ํา (Low) เกิดขึ้นได้ยากมาก (น้อยกว่าหรือเท่ากับ 5%) เหตุการณ์นี้ไม่เคยเกิดขึ้น หรือ มากกว่า 3 ปี เกิดขึ้น มากกว่าหรือเท่ากับ 1 ครั้ง หมายเหตุ : เกณฑ์การประเมินความเสี่ยงอ้างอิงตามขั้นตอนปฏิบัติสําหรับการบริหารความเสี่ยง (Risk Management Procedure) จากแผนแม่บทการบริหารความเสี่ยงและการควบคุมภายใน ฝุายบริหารความเสี่ยง (ฝบส.) 3. คํานวณคะแนนความเสี่ยงของแต่ละปัจจัยความเสี่ยง โดยใช้สูตรเช่นเดียวกับฝุายบริหาร ความเสี่ยง (ฝบส.) ได้แก่ โอกาสเกิด * ผลกระทบ โดยมีเกณฑ์ในการคํานวณและระดับความเสี่ยง ดังนี้ ตารางที่ 4 ตารางเปรียบเทียบการประเมินความเสี่ยง ระดับความเสี่ยง (Risk Level) Level โอกาสที่จะเกิด (Likelihood Rating) 1 2 3 4 5 ผลกระทบ (Impact Rating) 5 – สูง 5 M5 NH10 NH15 H20 H25 4 – ค่อนข้างสูง 4 NL4 M8 NH12 NH16 H20 3 – ปานกลาง 3 NL3 M6 M9 NH12 NH15 2 – ค่อนข้างต่ํา 2 L2 NL4 M6 M8 NH10 1 – ต่ํา 1 L1 L2 NL3 NL4 M5 ตารางที่ 5 ตารางเกณฑ์ระดับความเสี่ยง ระดับความเสี่ยง ล าดับและความถี่ในการตรวจสอบ สูง (H : High) H20, H25 ดําเนินการเข้าตรวจสอบทุกปี ค่อนข้างสูง (NH : Nearly High) NH10, NH12, NH15, NH16 ดําเนินการเข้าตรวจสอบทุกปี ปานกลาง (M : Medium) M5, M6, M8, M9 ดําเนินการเข้าตรวจสอบแบบปีเว้นปี ค่อนข้างต่ํา (NL : Nearly Low) NL3, NL4 ดําเนินการเข้าตรวจสอบแบบปีเว้น 2 ปี ระดับต่ํา (L : Low) L1, L2 ดําเนินการเข้าตรวจสอบแบบปีเว้น 3 ปี

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 112 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ขั้นตอนที่ 3 การจัดระดับความสําคัญของกระบวนการด้านเทคโนโลยีสารสนเทศ 1. ขอบเขตการตรวจสอบกระบวนการด้านเทคโนโลยีสารสนเทศ (Audit Universe) ได้จาก การกําหนดกระบวนการหลักด้านเทคโนโลยีสารสนเทศ โดยแบ่งเป็น 6 กระบวนการหลัก รวมทั้งงานปฏิบัติตาม กฎหมาย ระเบียบข้อบังคับที่เกี่ยวข้องกับด้านเทคโนโลยีสารสนเทศ งานตรวจสอบการบริหารความเสี่ยงด้าน เทคโนโลยีสารสนเทศ งานตรวจประเมินการรับรองตามมาตรฐานที่ธนาคารขอการรับรอง และงานอื่นที่ได้รับ มอบหมายในการตรวจสอบเป็นประจําทุกปี (Other Auditing Area) ดังต่อไปนี้ 1) การกํากับดูแลกลยุทธ์ โครงสร้างองค์กรทางด้านเทคโนโลยีสารสนเทศ (IT Governance, Strategy & Organization) 2) การพัฒนาระบบเทคโนโลยีสารสนเทศ(IT System Developmentand Quality Assurance) 3) งานบริหารจัดการเทคโนโลยีสารสนเทศ (IT Management Process) 4) งานบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management) 5) งานโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (IT Security Infrastructure) 6) การบริหารงานโครงการ (Manage Project) ทั้งนี้จะมีงานตรวจสอบประเภทอื่น เพิ่มเติมอีก 3 งาน ได้แก่ 1) งานตรวจการปฏิบัติตามกฎหมาย ระเบียบที่เกี่ยวข้องกับงานด้านเทคโนโลยีสารสนเทศ (IT Compliance) 2) งานตรวจประเมินตามมาตรฐานที่ธนาคารขอการรับรอง (Internal Audit/Assessor) 3) งานอื่นที่ได้รับหมายในการตรวจสอบเป็นประจําทุกปี (Other Auditing Area) 2. จัดทําตารางความสัมพันธ์ระหว่างกระบวนการย่อยภายใต้ 6 กระบวนการหลักด้านเทคโนโลยี สารสนเทศ กับปัจจัยเสี่ยงด้านเทคโนโลยีสารสนเทศที่ได้จากการประเมินโดยอาศัยกรอบความสัมพันธ์ของ COBIT และให้คะแนนของปัจจัยความเสี่ยงกับกระบวนย่อยที่มีความสัมพันธ์กัน 3. คํานวณคะแนนความเสี่ยงเฉลี่ยของแต่ละกระบวนการย่อยที่อยู่ภายใต้แต่ละกระบวนการหลัก 6 กระบวนการ 4. คํานวณหาความเสี่ยงของแต่ละกระบวนการหลักด้านเทคโนโลยีสารสนเทศ โดยใช้ค่าสูงสุดของ คะแนน ความเสี่ยงเฉลี่ยของกระบวนการย่อยที่อยู่ภายใต้กระบวนการหลัก 5. จัดระดับความสําคัญตาม Risk Profile ของธนาคาร ที่จัดทําขึ้นโดยฝุายบริหารความเสี่ยง (ฝบส.) ซึ่งเป็นเกณฑ์เดียวกันกับการจัดระดับความสําคัญของกระบวนการธุรกิจ สรุปผลได้ดังตาราง ตารางที่ 6 ผลการจัดระดับความเสี่ยงของกระบวนการด้านเทคโนโลยีสารสนเทศ ลําดับที่ กระบวนการด้านเทคโนโลยีสารสนเทศ ระดับ ความสําคัญ 1 การกํากับดูแล กลยุทธ์ โครงสร้างองค์กรทางด้านเทคโนโลยีสารสนเทศ (IT Governance, Strategy & Organization) ปานกลาง 2 การพัฒนาระบบเทคโนโลยีสารสนเทศ (IT System Development and Quality Assurance) ปานกลาง 3 งานบริหารจัดการเทคโนโลยีสารสนเทศ (IT Management Process) ปานกลาง 4 งานบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management) ปานกลาง 5 งานโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (IT Security Infrastructure) ปานกลาง 6 การบริหารงานโครงการ (Manage Project) ปานกลาง

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 113 สําหรับการตรวจการบริหารโครงการ (Manage Project) ตัวอย่างโครงการที่ธนาคารให้ความสําคัญ ได้แก่ โครงการปรับปรุงประสิทธิภาพระบบธุรกิจหลัก (Core Banking System: CBS) โครงการเพิ่มประสิทธิภาพ ธ.ก.ส. A-Mobile โครงการเพิ่มประสิทธิภาพ E-Payment โครงการเพิ่มประสิทธิภาพบัตรเกษตรสุขใจ สําหรับปัจจัยเสี่ยงในการประเมินการบริหารโครงการ โดยการนําโครงการข้างต้นมาจัดลําดับความสําคัญใน การประเมินความเสี่ยงในการเข้าตรวจการบริหารโครงการใน 6 ปัจจัย ดังนี้ งบประมาณการลงทุน (ราคากลาง) ผลกระทบกับระบบ เช่น กระทบกับทุกระบบ หรือกระทบบางส่วน เป็นต้น ผู้ให้บริการ (Supplier) ความคุ้มค่าการลงทุน/ก่อให้เกิดรายได้ มีกระทบต่อกฎหมาย/กฎระเบียบ ผลการประเมินความเสี่ยงโครงการจากฝุายบริหารความเสี่ยง (ถ้ามี) ขั้นตอนที่ 4 การกําหนดขอบเขตการตรวจสอบและระยะเวลาการตรวจสอบ จัดทําตารางการตรวจสอบและจัดสรรทรัพยากรเพื่อการตรวจสอบระยะสั้น 1 ปี และแผนระยะยาว5 ปี โดยพิจารณาถึงประเด็นต่าง ๆ เหล่านี้ 1) การกําหนดลําดับ และความถี่ในการตรวจสอบให้พิจารณาถึงลําดับความสําคัญของกระบวนการ ด้านเทคโนโลยีสารสนเทศ โดยกําหนดหลักเกณฑ์การตรวจสอบ ดังนี้ กระบวนการที่มีความเสี่ยงสูง และค่อนข้างสูง จะได้รับการตรวจสอบทุกปี กระบวนการที่มีความเสี่ยงระดับปานกลาง จะได้รับการตรวจสอบแบบปีเว้นปี กระบวนการที่มีความเสี่ยงระดับค่อนข้างต่ํา จะได้รับการตรวจสอบแบบปีเว้น 2 ปี กระบวนการที่มีความเสี่ยงระดับต่ํา จะได้รับการตรวจสอบแบบปีเว้น 3 ปี 2) จํานวนบุคลากรที่เข้าร่วมในการตรวจสอบ ซึ่งพิจารณาจากอัตรากําลังเจ้าหน้าที่ตรวจสอบ ในปัจจุบัน ตามโครงสร้างจัดการด้านทรัพยากรบุคคลในกลุ่มงานที่ได้รับมอบหมายในการตรวจสอบกระบวนการ ด้านเทคโนโลยีสารสนเทศ 3) พิจารณาจํานวนวันปฏิบัติงาน (Man-days) ที่จะใช้ในการตรวจสอบ จํานวนวันปฏิบัติงาน ทั้งหมดที่จะใช้ในการตรวจสอบ สามารถคํานวณได้จากจํานวนพนักงานที่บรรจุจริงสําหรับการตรวจสอบและคูณด้วย จํานวนวันปฏิบัติงานสุทธิต่อคนต่อปี 4) กําหนดจํานวนวันปฏิบัติงานสําหรับแต่ละกระบวนการทางธุรกิจ โดยพิจารณาถึงระยะเวลาใน การตรวจสอบหัวข้อของกระบวนการด้านเทคโนโลยีสารสนเทศ การควบคุมภายในที่เกี่ยวข้อง และคํานึงถึงจํานวนวัน ที่ใช้ในการปฏิบัติงานประจําปีและงานที่ได้รับมอบหมายอื่น ๆ ของพนักงานตรวจสอบในตารางแผนการตรวจสอบ ระยะสั้น 1 ปี และแผนการตรวจสอบระยะยาว 5 ปี

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 114 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ทั้งนี้ในการบริหารจัดการ Man-days ให้สอดคล้องกับความเสี่ยงในการดําเนินงาน ยึดถือตามตารางเกณฑ์ การจัดสรร Man-days ดังนี้ ตารางที่ 7 เกณฑ์การจัดสรรทรัพยากรบุคคล ความเสี่ยง ความซับซ้อนของระบบ ตรวจปี ที่ผ่านมา เกณฑ์การตรวจ สูง (5,4) ปานกลาง (3) ต่ า (2,1) (หน่วย : Man-Day) สูง 120 110 100 90 ตรวจสอบทุกปี ค่อนข้างสูง 110 100 90 80 ปานกลาง 100 90 80 70 ตรวจสอบแบบปีเว้นปี ค่อนข้างต่ํา 90 80 70 60 ตรวจสอบแบบปีเว้น 2 ปี ต่ํา 80 70 60 50 ตรวจสอบแบบปีเว้น 3 ปี ตรวจข้อมูลที่ส่วนกลางต่อเรื่อง (เรื่องหรือเงื่อนไข) 25 2. การจัดท าแผนการควบคุมด้านระบบงาน (Application Controls) ภาพรวมของกระบวนการในการจัดทําแผนการควบคุมด้านระบบงาน แสดงในรูปภาพ ภาพที่ 5 การประเมินความเสี่ยงด้านระบบงาน

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 115 กระบวนการในการจัดทําแผนการควบคุมด้านระบบงาน ประกอบด้วย 4 ขั้นตอนหลัก ได้แก่ ขั้นตอนที่ 1 การรวบรวมข้อมูล ขั้นตอนที่ 2 การประเมินความเสี่ยง ขั้นตอนที่ 3 การจัดระดับความสําคัญ ขั้นตอนที่ 4 การกําหนดระยะเวลาการตรวจสอบและการจัดสรรทรัพยากร ซึ่งมีรายละเอียดในแต่ละขั้นตอน ดังนี้ ขั้นตอนที่ 1 การรวบรวมข้อมูล ขั้นตอนแรกของการจัดทําแผนคือการรวบรวมข้อมูลเบื้องต้น โดยการศึกษาแผนบริหารความเสี่ยง ของธนาคาร เพื่อให้ทราบถึงปัจจัยความเสี่ยงและผลการประเมินความเสี่ยงระดับองค์กรที่จัดทําโดยฝุายบริหารความ เสี่ยงของธนาคาร นอกจากนี้ยังมีการรวบรวมข้อมูลเกี่ยวกับกระบวนการทางธุรกิจในปัจจุบันของธนาคารและผลการ ประเมินความเสี่ยงในกระบวนการธุรกิจของธนาคารเพื่อจัดทําแผนแม่บทด้านตรวจสอบภายใน ขั้นตอนที่ 2 การประเมินความเสี่ยงของกระบวนการทางธุรกิจ 1. การพิจารณาแนวทางการประเมินความเสี่ยง การตรวจสอบด้านระบบงาน เป็นการตรวจสอบระบบงานที่สนับสนุนการดําเนินงานใน กระบวนการด้านธุรกิจ การจัดระดับความสําคัญของระบบงานในการตรวจสอบจึงขึ้นอยู่กับระดับความเสี่ยง หรือ ระดับความสําคัญของกระบวนการทางธุรกิจ และเพื่อให้แผนการตรวจสอบระบบงานมีความสอดคล้องกับแผนการ ตรวจสอบกระบวนการธุรกิจ จึงได้ใช้ปัจจัยความเสี่ยงและผลการประเมินความเสี่ยงของกระบวนการทางธุรกิจมา พิจารณาเพิ่มเติม การประเมินความเสี่ยงในส่วนของ Application Controls นั้น ประกอบด้วย 5 ปัจจัยด้านผลกระทบ และ 3 ปัจจัยด้านโอกาส ดังนี้ ก. ปัจจัยด้านผลกระทบ ตารางที่ 8 ปัจจัยด้านผลกระทบ ที่ ปัจจัยด้านผลกระทบ 1 กลุ่มระบบงานที่ธนาคารให้ความสําคัญ (ข้อมูลจาก Business Impact Analysis ของธนาคาร) 2 จํานวนผู้ใช้งานระบบ 3 ความซับซ้อนของระบบงาน 4 วันที่ได้ตรวจสอบล่าสุด 5 ความเสียหายจากการทุจริต (อ้างอิงตามเกณฑ์ประเมินความเสี่ยงของธนาคาร)

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 116 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น โดยมีรายละเอียดปัจจัยด้านผลกระทบ ซึ่งมีเกณฑ์ระดับคะแนนที่ใช้พิจารณาความเสี่ยง ดังนี้ ตารางที่ 9 รายละเอียดปัจจัยด้านผลกระทบ ข. ปัจจัยด้านโอกาส ตารางที่ 10 ปัจจัยด้านโอกาส ลําดับ ปัจจัยด้านโอกาส 1 การพัฒนา/เปลี่ยนแปลงระบบ 2 โอกาสเกิดความเสี่ยง 3 โอกาสการเกิดทุจริต (อ้างอิงตามเกณฑ์ประเมินความเสี่ยงของธนาคาร) ระดับ คะแนน กลุ่มระบบงานที่ ธนาคารให้ความสําคัญ จํานวนผู้ใช้งาน วันที่ได้ตรวจสอบล่าสุด ความซับซ้อน ของระบบงาน ความเสียหาย จากการทุจริต 5 RTO <= 1 ชั่วโมง > 16,000 คน ไม่เคยมีการตรวจสอบ หรือมีการตรวจสอบ ล่าสุด > 5 ปีที่ผ่านมา ซับซ้อนมาก (มีสูตรการ คํานวณ หรือสูตรการ คํานวณค่อนข้างมาก หรือ ระบบมีการ Interface กับ ระบบอื่นเกิน 4 Interface) ผลกระทบสูง 4 RTO >1 ชั่วโมง และ <= 4 ชั่วโมง 12,001 - 16,000 คน มีการตรวจสอบ แต่ไม่ สม่ําเสมอ หรือมีการ ตรวจสอบล่าสุด > 3 ปีที่ผ่านมา ซับซ้อน (มีสูตรการคํานวณ หรือการควบคุมโดยระบบ ค่อนข้างมาก หรือระบบ มีการ Interface กับระบบ อื่น 3 -4 Interface) ผลกระทบ ค่อนข้างสูง 3 RTO > 4 ชั่วโมง และ ไม่เกิน 1 วัน 8,001 - 12,000 คน มีการตรวจสอบ แต่ไม่สม่ําเสมอ หรือมีการตรวจสอบ ล่าสุด 2 -3 ปีที่ผ่านมา ซับซ้อนปานกลาง (มีสูตร การคํานวณ หรือการ ควบคุมโดยระบบในระดับ ปานกลาง หรือระบบมีการ Interface กับระบบอื่นไม่ เกิน 2 Interface) ผลกระทบ ปานกลาง 2 RTO > 1 วัน และ <= 3 วัน 4,001 - 8,000 คน มีการตรวจสอบ แต่ไม่สม่ําเสมอ หรือมีการตรวจสอบ ล่าสุด 1 - 2 ปีที่ผ่านมา ซับซ้อนน้อย(มีสูตรการ คํานวณ หรือการควบคุม ระบบ โดยเล็กน้อย หรือ เป็น Stand-alone) ผลกระทบ ค่อนข้างต่ํา 1 RTO > 3 วัน <=4,000 คน มีการตรวจสอบ สม่ําเสมอ หรือมีการ ตรวจสอบภายใน 1 ปี ที่ผ่านมา ไม่ซับซ้อน (ไม่มีสูตรการ คํานวณ หรือการควบคุม โดยระบบ หรือ Standalone) ผลกระทบต่ํา

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 117 โดยมีรายละเอียดปัจจัยด้านโอกาส ซึ่งมีเกณฑ์ระดับคะแนนที่ใช้พิจารณาความเสี่ยง ดังนี้ ตารางที่ 11 รายละเอียดปัจจัยด้านโอกาส เกณฑ์โอกาส การพัฒนา/ เปลี่ยนแปลงระบบ 5 = เป็นระบบสารสนเทศที่พัฒนาขึ้นใหม่ หรือมีการเพิ่มโมดูลใหม่ในระบบ 4 = เป็นระบบสารสนเทศที่มีอยู่เดิม และมีการเปลี่ยนแปลง/ ยกเลิกโมดูลเดิมในระบบในรอบปี ที่ผ่านมา 3 = เป็นระบบสารสนเทศเดิม ไม่มีการเปลี่ยนแปลง/ยกเลิกโมดูล แต่อาจมีการเปลี่ยนแปลง ข้อมูล การตั้งค่าบางอย่างทําให้การทํางานของระบบเปลี่ยนไป 2 = เป็นระบบสารสนเทศที่พัฒนาสําเร็จ (Of-shelf) มีเพียงการติดตั้งและใช้งานไม่สามารถ เปลี่ยนแปลง ข้อมูลใด ๆ ในระบบได้ 1 = ไม่มีการเปลี่ยนแปลงระบบ โอกาสเกิด ความเสี่ยง 5 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนในปีบัญชีปัจจุบัน 4 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนใน 1 - 2 ปีที่ผ่านมา 3 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนใน 3 ปีที่ผ่านมา 2 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนใน > 3 ปี และ <= 5 ปีที่ผ่านมา 1 = มีเหตุการณ์ไม่พึงประสงค์/ข้อสังเกตสําคัญของ ธปท. หรือข้อร้องเรียนใน > 5 ปีที่ผ่านมา โอกาส การเกิดทุจริต 5 = โอกาสสูง 4 = โอกาสค่อนข้างสูง 3 = โอกาสปานกลาง 2 = โอกาสค่อนข้างต่ํา 1 = โอกาสต่ํา 1.2.1 การประเมินความเสี่ยง 1) ขอบเขตของงานตรวจสอบ (Audit Universe) ด้านระบบงาน พิจารณาจากกระบวนการหลัก ของธนาคาร 14 กระบวนการ โดยคัดเลือกจาก 60 กระบวนการย่อยที่สําคัญของธนาคาร ตามที่สายงานตรวจสอบใช้ ประเมินความเสี่ยงเพื่อวางแผนการตรวจสอบที่มีการใช้ระบบงานสารสนเทศในการปฏิบัติงานหรือบริหารงาน ซึ่งมี ทั้งหมด 27 กระบวนการ และระบุระบบงานที่สําคัญที่ใช้ในแต่ละกระบวนการย่อยที่สําคัญ ได้ดังนี้ ตารางที่ 12 ระบบงานที่สําคัญในแต่ละกระบวนการ Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ 1. การกํากับดูแล ที่ดีและการนํา องค์กร M1 การจัดการองค์กร สู่ความยั่งยืน กระบวนการจัดการ ความยั่งยืนขององค์กร - M5 ทรัพยากรมนุษย์ กระบวนการจัดการ โครงสร้างองค์กร - S1 การบัญชีและ กฎหมาย กระบวนการจัดการ งานอุทธรณ์ - กระบวนการจัดการงาน ที่ปรึกษา -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 118 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ กระบวนการจัดการ งานกฎหมายธุรกิจ และ ระหว่างประเทศ - กระบวนการจัดการ งานอรรถคดี - กระบวนการจัดการ งานความรับผิดทางละเมิด - กระบวนการจัดการ งานบริหารหนี้ดําเนินคดี - 2. การวางแผน เชิงยุทธศาสตร์ M3 การวางแผน เชิงกลยุทธ์ กระบวนการจัดทําแผน - กระบวนการออกแบบ ระบบงาน (Work System) - กระบวนการวิเคราะห์ ข้อมูลสารสนเทศ เพื่อ การบริหาร - ระบบสารสนเทศเพื่อการบริหาร กระบวนการติดตาม และ ประเมินผลรัฐวิสาหกิจ - M4 การบริหารเงินทุน กระบวนการเสริม/รักษา สภาพคล่องของธนาคาร - กระบวนการบริหารสภาพ คล่องส่วนเกิน - กระบวนการบริหาร ความเสี่ยงทางการเงิน - กระบวนการลงทุน (Investment) - Treasury C1 บริการด้านเงินฝาก บริหารพอร์ตโฟลิโอ ด้านเงินฝาก - กระบวนการส่งเสริมเงินฝาก - สลากออมทรัพย์ (เกษตรยั่งยืน) C2 บริการด้านสินเชื่อ สินเชื่อบุคคลและเกษตรกร - สินเชื่อเพื่อสังคม - สินเชื่อเพื่อที่อยู่อาศัย - สินเชื่อส่วนบุคคล - เงินกู้ที่มีกําหนดระยะเวลา สินเชื่อสถาบันและ ผู้ประกอบการ - เงินทุนหมุนเวียน - สัญญาซื้อลด (เช็คการค้า – เช็คเกี๊ยว) - ตั๋วสัญญาใช้เงิน - ตั๋ว P/N - เงินกู้เบิกเกินบัญชี(OD) สินเชื่อนโยบายรัฐ - สินเชื่อนโยบายรัฐ - Subsidy Plan การบริหารจัดการหนี้ค้าง - ปรับปรุงโครงสร้างหนี้

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 119 Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ ชําระ และหนี้ที่มีโอกาส จะเป็นหนี้ค้างชําระ - ติดตามหนี้/ดําเนินคดี - โครงการนาทีทอง C4 บริการด้าน ธุรกรรมทางการ ธนาคาร กระบวนการธุรกรรม ฝาก-ถอน - เงินฝากออมทรัพย์พิเศษ - เงินฝากพร้อมเงื่อนไขพิเศษ - Profile - Fixed (CD) - เงินฝากระบบอิสลาม กระบวนการธุรกรรมรับ ชําระค่าบริการ - การให้บริการจ่ายเงินรางวัลสลากของ สํานักงานสลากกินแบ่งรัฐบาล - Front End Payment - Bank Agent กระบวนการการให้ธุรกรรม ต่างประเทศ - ธุรกิจต่างประเทศ กระบวนการโอนเงิน - ICS (Cheque Clearing) - ระบบโอนเงิน - Corporate Banking กระบวนการให้บริการ ธุรกรรมประกันชีวิต/ ประกันภัย - ประกันชีวิต/วินาศภัย กระบวนการให้บริการ ธุรกรรมเงินฝากสงเคราะห์ ชีวิต - ระบบเงินฝากสงเคราะห์ชีวิต S1 การบัญชีและ กฎหมาย กระบวนการบัญชีการเงิน และรายงานทางการเงิน - SAP-FMIS ระบบบัญชีลูกหนี้ (AR) - SAP-FMIS ระบบบัญชีแยกประเภททั่วไป (GL) - SAP-FMIS ระบบงบประมาณค่าใช้จ่าย (BG) - ระบบงาน TFRS9 - ระบบตั้งค่าใช้จ่ายค้างจ่าย 3. การบริหาร ความเสี่ยงและ การควบคุม ภายใน M2 การกํากับดูแล กิจการที่ดีและ การบริหารความ เสี่ยง กระบวนการควบคุมภายใน - กระบวนการบริหาร ความเสี่ยง - กระบวนการสอบทานสินเชื่อ - กระบวนการเฝูาระวัง และ ตรวจจับการทุจริต - Fraud/AML กระบวนการกํากับดูแล กิจการที่ดี - กระบวนการปฏิบัติตาม กฎเกณฑ์ - ปปง. (เงินฝาก) - DID/e-KYC S1 การบัญชีและ กฎหมาย กระบวนการบริหารจัดการ หนี้ขาดจะขาดอายุความ -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 120 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ S2 การอํานวยการ กระบวนการบริหารจัดการ เอกสาร - ระบบสารบรรณอิเล็กทรอนิกส์ ธ.ก.ส. - ระบบสนับสนุนการสื่อสารแบบ Digital Workplace กระบวนการจัดซื้อจัดจ้าง - SAP-FMIS ระบบจัดซื้อ/จัดจ้าง (MM) - SAP-FMIS ระบบบัญชีทรัพย์สิน (AM) - SAP-FMIS ระบบบัญชีเจ้าหนี้ (AP) กระบวนการบริหารทรัพย์สิน - ระบบตรวจนับทรัพย์สิน (Easy Asset) กระบวนการบริหารจัดการ อาคารสถานที่ - การบริหารและการจัดการ ด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมใน การทํางาน - กระบวนการการบริหาร จัดการยานพาหนะ และ ขนส่ง - ระบบชําระค่าน้ํามันเชื้อเพลิง (Fleet Card) กระบวนการบริหารการ ประชุม - S4 เทคโนโลยีดิจิทัล และการจัดการ ข้อมูลสารสนเทศ IT Risk Management (อ้างอิงตาม General Computer Controls) 4. การมุ่งเน้น ลูกค้าและผู้มี ส่วนได้ส่วนเสีย C1 บริการ ด้านเงินฝาก กระบวนการจัดการ ฐานข้อมูลลูกค้า - Profile – CIF - Profile - Saving (SAV) - Profile - Current (DDA) - Profile – สลากออมทรัพย์ C3 การพัฒนาชนบท และเศรษฐกิจ ฐานราก กระบวนการพัฒนาความรู้ ให้กับลูกค้า - กระบวนการพัฒนา ตลาดลูกค้า - S3 การตลาด กระบวนการประชาสัมพันธ์ - กระบวนการสื่อสาร - กระบวนการจัดการเสียง ของลูกค้า (VOC) - กระบวนการบริหารลูกค้า สัมพันธ์ - 5. การพัฒนา เทคโนโลยี ดิจิทัล S4 เทคโนโลยีดิจิทัล และการจัดการ ข้อมูลสารสนเทศ General Computer Control (อ้างอิงตาม General Computer Controls)

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 121 Enabler กระบวนการหลัก กระบวนการย่อยที่สําคัญ ระบบงานที่สําคัญ 6. การบริหาร ทุนมนุษย์ M5 ทรัพยากรมนุษย์ กระบวนการบริหาร ทุนมนุษย์ - ระบบบริหารงานบุคคล (PA) และ ระบบ การจัดการโครงสร้างองค์กร (OM) - SAP-HRIS ระบบสรรหาและคัดเลือก บุคลากร (RC) - SAP-HRIS ระบบสวัสดิการ (BN) - SAP-HRIS ระบบบริหารค่าตอบแทน (CP) - SAP-HRIS ระบบบัญชีเงินเดือน (PY) - SAP-HRIS ระบบบริหารจัดการเวลา (TM) - SAP-HRIS ระบบค่าใช้จ่ายเดินทาง (TV) กระบวนการจัดการ ด้านวินัยพนักงาน - 7. การจัดการ ความรู้และ นวัตกรรม M5 ทรัพยากรมนุษย์ กระบวนการพัฒนาทุน มนุษย์ - SAP-HRIS ระบบฝึกอบรม (TE) - SAP-HRIS ระบบพัฒนาบุคลากร (PD) S4 เทคโนโลยีดิจิทัล และการจัดการ ข้อมูลสารสนเทศ Application Control - ISIC Code - AAG - e-Statement/ Daily Report - ระบบปฏิบัติการข้อมูลเครดิตบูโร - LG Blockchain - ภาระผูกพัน - E-Contract - ATM/บัตรเดบิต - บัตรเกษตรสุขใจ - ธ.ก.ส. A-Mobile - Universal Payment (UP) - Open API - Passbook Update System - Merchant - Corporate Card - E-Money - VTM (Virtual Teller Machine) Third party - ผลิตบัตร ATM S5 วิจัย และนวัตกรรม กระบวนการวิจัย - กระบวนการประเมินผล - กระบวนการส่งเสริมนวัตกรรม -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 122 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 2) ประเมินความเสี่ยงของทุก ๆ ระบบงานภายใต้แต่ละกระบวนการย่อยที่สําคัญ โดยใช้ ค่าเฉลี่ยปัจจัยด้านผลกระทบ * ค่าเฉลี่ยปัจจัยด้านโอกาส 3) คํานวณคะแนนความเสี่ยงของกระบวนการย่อยที่สําคัญแต่ละกระบวนการ โดยหาค่าเฉลี่ย คะแนนความเสี่ยงของระบบงานที่อยู่ภายใต้แต่ละกระบวนการ ขั้นตอนที่ 3 การจัดระดับความสําคัญของกระบวนการย่อยที่สําคัญ จากคะแนนความเสี่ยงของแต่ละกระบวนการย่อยที่สําคัญ นํามาจัดระดับความสําคัญตามเกณฑ์ที่ สอดคล้องกับ Risk Profile ของธนาคาร เช่นเดียวกับเกณฑ์การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ ผลการจัดระดับความเสี่ยงของกระบวนการย่อยที่สําคัญด้านเทคโนโลยีสารสนเทศ แสดงตามตารางด้านล่าง ตารางที่ 13 ผลการจัดระดับความเสี่ยงของกระบวนการทางด้านเทคโนโลยีสารสนเทศ ล าดับที่ กระบวนการย่อยที่ส าคัญ ระดับความส าคัญ 1 กระบวนการวิเคราะห์ข้อมูลสารสนเทศเพื่อการบริหาร ปานกลาง 2 กระบวนการลงทุน (Investment) ปานกลาง 3 กระบวนการส่งเสริมเงินฝาก ปานกลาง 4 สินเชื่อบุคคลและเกษตรกร ปานกลาง 5 สินเชื่อสถาบันและผู้ประกอบการ ปานกลาง 6 สินเชื่อนโยบายรัฐ ค่อนข้างสูง 7 การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มีโอกาสจะเป็นหนี้ค้างชําระ ค่อนข้างสูง 8 กระบวนการธุรกรรมฝาก-ถอน ปานกลาง 9 กระบวนการธุรกรรมรับชําระค่าบริการ ปานกลาง 10 กระบวนการการให้ธุรกรรมต่างประเทศ ค่อนข้างต่ํา 11 กระบวนการโอนเงิน ปานกลาง 12 กระบวนการให้บริการธุรกรรมประกันชีวิต/ประกันภัย ปานกลาง 13 กระบวนการให้บริการธุรกรรมเงินฝากสงเคราะห์ชีวิต ปานกลาง 14 กระบวนการบัญชีการเงินและรายงานทางการเงิน ปานกลาง 15 กระบวนการเฝูาระวังและตรวจจับการทุจริต ปานกลาง 16 กระบวนการปฏิบัติตามกฎเกณฑ์ ปานกลาง 17 กระบวนการบริหารจัดการเอกสาร ปานกลาง 18 กระบวนการจัดซื้อจัดจ้าง ปานกลาง 19 กระบวนการบริหารทรัพย์สิน ค่อนข้างสูง 20 กระบวนการการบริหารจัดการยานพาหนะ และขนส่ง ค่อนข้างสูง 21 IT Risk Management ปานกลาง 22 กระบวนการจัดการฐานข้อมูลลูกค้า ปานกลาง 23 General Computer Control ปานกลาง 24 กระบวนการบริหารทุนมนุษย์ ปานกลาง 25 กระบวนการพัฒนาทุนมนุษย์ ค่อนข้างต่ํา 26 Application Control ปานกลาง 27 Third party ค่อนข้างต่ํา ขั้นตอนที่ 4 การกําหนดระยะเวลาการตรวจสอบและการจัดสรรทรัพยากร

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 123 จัดทําตารางการตรวจสอบและจัดสรรทรัพยากรเพื่อการตรวจสอบระยะสั้น 1 ปีและแผนระยะยาว 5 ปี โดยพิจารณาถึงประเด็นต่าง ๆ เหล่านี้ 1) การกําหนดลําดับและความถี่ในการตรวจสอบ พิจารณาถึงลําดับความสําคัญของกระบวนการ ทางธุรกิจโดยกําหนดหลักเกณฑ์การตรวจสอบเช่นเดียวกับการตรวจสอบกระบวนการด้านเทคโนโลยีสารสนเทศ 2) จํานวนบุคลากรที่เข้าร่วมในการตรวจสอบ ซึ่งพิจารณาจากอัตรากําลังพนักงานตรวจสอบ ในปัจจุบัน ตามโครงสร้างจัดการด้านทรัพยากรบุคคลในสํานักตรวจสอบเทคโนโลยีและสารสนเทศที่ได้รับมอบหมาย ในการตรวจสอบด้านระบบงาน 3) พิจารณาจํานวนวันปฏิบัติงาน (Man-days) ที่จะใช้ในการตรวจสอบ จํานวนวันปฏิบัติงาน ทั้งหมดที่จะใช้ในการตรวจสอบ สามารถคํานวณได้จากจํานวนคนที่มีอยู่สําหรับการตรวจสอบและคูณด้วยจํานวนวัน ปฏิบัติงานสุทธิต่อคนต่อปี 4) กําหนดจํานวนวันปฏิบัติงานสําหรับแต่ละกระบวนการย่อยที่สําคัญ โดยพิจารณาถึงระยะเวลา ในการตรวจสอบหัวข้อของกระบวนการย่อยที่สําคัญ การควบคุมภายในที่เกี่ยวข้อง และคํานึงถึง จํานวนวัน ที่ใช้ใน การปฏิบัติงานประจําปีและงานที่ได้รับมอบหมายอื่น ๆ ของพนักงานในตารางแผนการตรวจสอบ ระยะสั้น 1 ปี และ แผนการตรวจสอบระยะยาว 5 ปี ทั้งนี้ในการบริหารจัดการ Man-days ให้สอดคล้องกับความเสี่ยงในการดําเนินงานยึดถือเกณฑ์ การจัดสรร Man-days เช่นเดียวกับการตรวจสอบกระบวนการด้านเทคโนโลยีสารสนเทศ หมายเหตุ : 1) ผลการประเมินความเสี่ยงในการวางแผนการตรวจสอบด้านเทคโนโลยีและสารสนเทศ สามารถพิจารณา ทบทวนระดับความเสี่ยงผ่านที่ประชุมผู้บริหาร สตท. พร้อมระบุเหตุผลในการปรับเปลี่ยนอย่างชัดเจนเพื่อใช้เป็น ข้อมูลทบทวนหรือจัดทําแผนการตรวจสอบประจําปี 2) ในกรณีที่มีความเสี่ยงสูงหรือค่อนข้างสูง หากมีการตรวจสอบระบบแล้วในปีที่ผ่านมา ผู้ประเมินสามารถ ใช้การตรวจสอบในรูปแบบอื่นทดแทนได้ เช่น การตรวจสอบข้อมูลที่ส่วนกลาง หรือให้การสอบทานการควบคุม เบื้องต้น แบบ Desktop Review เป็นต้น 3) สําหรับการกําหนด Man-days ในระบบที่มีการตรวจในปีที่ผ่านมา หากมีการตรวจสอบด้านระบบงาน ให้พิจารณาตามกรอบที่กําหนด ในกรณีที่ไม่เป็นไปตามนั้น ให้พิจารณาตามความเหมาะสมโดยจากประเด็นการเข้า ตรวจในครั้งที่ผ่านมาหรือมีการเปลี่ยนแปลงเกิดขึ้นเพิ่มเติมว่ามีนัยสําคัญหรือความเสี่ยง 4) เกณฑ์การเลือกสาขา ตารางที่ 14 เกณฑ์การเลือกสาขา ล าดับ ปัจจัย เกณฑ์ น้ าหนัก 1 จํานวนข้อมูลผิดปกติ จัดลําดับสาขาเรียงตามปริมาณข้อมูลผิดปกติ 50% 2 จํานวนเงินรวมของปริมาณข้อมูล จัดลําดับสาขาเรียงตามจํานวนเงินรวมของปริมาณข้อมูล 30% 3 ปริมาณข้อมูล (จํานวนราย/รายการ) จัดลําดับสาขาเรียงตามปริมาณข้อมูล 20% 4.1) กรณีสาขาที่เข้าเกณฑ์ต้องออกตรวจ พบว่าเป็นสาขาเดิมที่เคยเข้าตรวจแล้วในช่วงระยะเวลา 3 ปี ที่ผ่านมาจะพิจารณาลําดับถัดไป 4.2) มีการร้องขอจากส่วนงานผู้รับผิดชอบ/ข้อร้องเรียน 4.3) กรณีการเข้าตรวจสาขาที่มีความเสี่ยงสูง ผู้ตรวจสามารถเข้าตรวจสาขาอื่นภายใน สนจ. เดียวกัน เพื่อไม่ให้เป็นภาระในการเข้าตรวจเชิงพื้นที่ ซึ่งอาจไม่สอดคล้องกับระดับความเสี่ยงจากการประเมิน 4.4) สําหรับการตรวจ General Computer Controls ใช้เกณฑ์อ้างอิงตามปัจจัยข้อ 1 และ 3 ตามแต่กรณี 4.5) สามารถปรับปัจจัยและน้ําหนักตามความเหมาะสม โดยอ้างอิงจากเกณฑ์การคัดเลือกสาขาข้างต้น ทั้งนี้ต้องได้รับความเห็นชอบจากผู้บริหาร

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 124 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 11. การจัดสรรอัตราก าลัง (Man-days) ส าหรับการด าเนินงานของสายงานตรวจสอบ 1) การคํานวณจํานวนวันปฏิบัติงาน (Man-days) ของพนักงานจํานวน 1 คนใน 1 ปี 1.1) การคํานวณ “จํานวนวันปฏิบัติงาน (Man-days)” สําหรับสายตรวจและวิเคราะห์ข้อมูล จํานวนวันในปีปฏิทิน 365 วัน หัก วันหยุดนักขัตฤกษ์ 15 วันเสาร์ – อาทิตย์ 106 วันลาปุวย–กิจ–พักผ่อน 15 136 วัน คงเหลือวันท างานตามปกติ 229 วัน หัก อบรมและสํารองงานตามนโยบายสําคัญระหว่างปีบัญชี 10 วัน คงเหลือวันท างานส าหรับงานตรวจสอบ 219 วัน 1.2) การคํานวณ “จํานวนวันปฏิบัติงาน (Man-days)” สําหรับผู้บริหารและส่วนงานสนับสนุน จํานวนวันในปีปฏิทิน 365 วัน หัก วันหยุดนักขัตฤกษ์ 15 วันเสาร์ – อาทิตย์ 106 วันลาปุวย–กิจ-พักผ่อน 15 136 วัน คงเหลือวันท างานตามปกติ 229 วัน หัก อบรมและสํารองงานตามนโยบายสําคัญระหว่างปีบัญชี 10 วัน คงเหลือวันวิเคราะห์ข้อมูลในภาพรวม/งานสนับสนุน - ประจ า 219 วัน 2) การจัดสรร Man-days แยกตามภารกิจงานในระยะเวลา 5 ปี คํานวณจากวันทํางานคงเหลือสําหรับ งานตรวจสอบ 219 วัน โดยการกําหนดสัดส่วนมีความแตกต่างกันตามลักษณะการตรวจของแต่ละส่วนงาน ดังนี้ 2.1) ฝุายตรวจสอบ แบ่งเป็น การปฏิบัติงานตรวจสอบในพื้นที่ (40%) = 88 วัน การตรวจวิเคราะห์ข้อมูลที่ส่วนกลาง (50%) = 109 วัน และการให้คําปรึกษา (10%) = 22 วัน 2.2) สํานักตรวจสอบเทคโนโลยีและสารสนเทศ แบ่งเป็น การปฏิบัติงานตรวจสอบในพื้นที่ (40%) = 88 วัน และการวิเคราะห์ข้อมูลที่ส่วนกลาง (50%) = 109 วันและการให้คําปรึกษา (10%) = 22 วัน การจัดสรรจํานวนวันที่ใช้ทํางานทั้งหมดต่อคน (Man-days) ในระยะ 5 ปี ภายใต้จํานวนพนักงานที่มีอยู่ มีความเพียงพอสําหรับการดําเนินงาน ทั้งนี้ หากมีการปรับเพิ่ม/ลดแผนการดําเนินงานและมีผลกระทบกับจํานวน พนักงานจะทบทวนเพื่อปรับแผนให้เหมาะสมอีกครั้ง

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 125 สรุปการจัดสรรจ านวนวันที่ใช้ท างานทั้งหมดต่อคน (Man-days) แยกตามภารกิจงานในระยะ 5 ปี ปีบัญชี 2564 – 2568 ภารกิจงาน Man-days 2563 2564 2565 2566 2567 2568 1. งานตรวจสอบ 1.1 ฝ่ายตรวจสอบ (82 คน x 216 Man-days) 17,064 17,280 17,712 17,958 17,958 17,958 1.1.1 วิเคราะห์ข้อมูลก่อนออกตรวจ และสรุปรายงาน หลังออกตรวจ (50%) 7,679 7,776 8,856 8,979 8,979 8,979 1.1.2 ตรวจสอบในพื้นที่ (40%) 8,532 8,640 7,085 7,183 7,183 7,183 1) เรื่องสําคัญตามความเสี่ยง และโครงการสําคัญของธนาคาร 6,399 6,480 5,314 5,387 5,387 5,387 2) ภารกิจประจํา 427 432 354 360 360 360 3) โครงการนโยบายรัฐบาลทั้งหมด 1,706 1,728 1,417 1,436 1,436 1,436 1.1.3 ให้คําปรึกษา (10%) 853 864 1,771 1,796 1,796 1,796 1.2 ส านักตรวจสอบเทคโนโลยีและสารสนเทศ (28 คน x 218 Man-days) 6,048 4,968 6,048 6,351 6,351 6,351 1.2.1 วิเคราะห์ข้อมูลก่อนออกตรวจ และสรุปรายงาน หลังออกตรวจ (50%) 2,722 2,236 3,024 3,176 3,176 3,176 1.2.2 ตรวจสอบในพื้นที่ (40%) 3,024 2,484 2,419 2,540 2,540 2,540 1.2.3 ให้คําปรึกษา (10%) 302 248 605 635 635 635 2. งานบริหาร (กลุ่มผู้บริหารสายงานตรวจสอบ x Man-days) 2,808 2,808 2,808 3,066 3,066 3,066 3. งานสนับสนุน (23 คน x 216 Man-days) 5,616 4,752 4,968 4,161 4,161 4,161 4. ส ารองงานอื่นและอบรม/พัฒนา (พนักงานสายงานตรวจสอบ x 10 Man-days) 1,460 1,380 1,460 1,460 1,460 1,460 รวม Man-days (146 คน x 229 วัน) 32,996 31,188 32,996 32,996 32,996 32,996 หมายเหตุ คํานวณจากงบประมาณอัตรากําลังพนักงานสายงานตรวจสอบ จํานวน 146 คน (ข้อมูล ณ วันที่ 1 ตุลาคม 2565) อธิบายการจัดสรรจ านวนวันที่ใช้ท างานทั้งหมดต่อคน (Man-days) ตามภารกิจงาน 1. กรอบการจัดสรรจํานวนวันที่ใช้ทํางานทั้งหมดต่อคน (Man-days) การบริหารอัตรากําลังของพนักงานในสายงานตรวจสอบ มีวันทํางานตามปกติ จํานวน 229 วัน และสํารอง งานสําหรับตรวจงานอื่น ๆ และการอบรมพัฒนาความรู้ จํานวน 10 วัน คงเหลือวันทํางานสุทธิจํานวน 219 วัน การคํานวณตามภารกิจหน้าที่ ดังนี้ 1.1 กําหนดสัดส่วนการปฏิบัติงานตามลักษณะงานของแต่ละส่วนงานในสายงานตรวจสอบ ดังนี้ 1.1.1 ฝุายตรวจสอบ แบ่งเป็น การปฏิบัติงานตรวจสอบในพื้นที่ (40%) = 88 วัน การตรวจวิเคราะห์ข้อมูลที่ส่วนกลาง (50%) = 109 วัน และการให้คําปรึกษา (10%) = 22 วัน 1.1.2 สํานักตรวจสอบเทคโนโลยีและสารสนเทศ แบ่งเป็น การปฏิบัติงานตรวจสอบในพื้นที่ (40%) = 88วัน การตรวจวิเคราะห์ข้อมูลที่ส่วนกลาง (50%) = 109วัน และ การให้คําปรึกษา (10%) = 22 วัน 1.2 คํานวณ Man-days การปฏิบัติงานตรวจสอบในพื้นที่ การวิเคราะห์ข้อมูลที่ส่วนกลางการให้คําปรึกษา ดังนี้ 1.2.1 วิเคราะห์ข้อมูลก่อนออกตรวจ และสรุปรายงานหลังออกตรวจ คํานวณจากจํานวนพนักงาน ตรวจสอบ คูณ จํานวนวันจากการวิเคราะห์ข้อมูลที่ส่วนกลาง โดยมีความแตกต่างกันจากสัดส่วนของแต่ละส่วนงานตามที่ กล่าวข้างต้น

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 126 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 1.2.2 งานตรวจสอบในพื้นที่ คํานวณจากจํานวนพนักงานตรวจสอบ คูณ จํานวนวันจาก การปฏิบัติงานตรวจสอบในพื้นที่ โดยมีความแตกต่างกันจากสัดส่วนของแต่ละส่วนงานตามที่กล่าวข้างต้น 1.2.3 งานให้คําปรึกษา (ฝตส.) คํานวณจากจํานวนพนักงานตรวจสอบ คูณ จํานวนวันจาก การปฏิบัติงานตรวจสอบในการให้คําปรึกษา 1.2.4 งานสอบทานด้านเทคโนโลยีสารสนเทศ (สตท.) คํานวณจากจํานวน Man-Days ที่ต้องใช้ใน การปฏิบัติงานตรวจสอบด้านเทคโนโลยีสารสนเทศ ทั้งการตรวจสอบข้อมูลที่ส่วนกลาง ส่วนงานเจ้าภาพ และผู้ปฏิบัติ ในพื้นที่ 1.3 งานบริหาร คํานวณจากผู้บริหารสายงานตรวจสอบ จํานวน 13 คน คูณ จํานวน Man-days ที่ใช้ ในการปฏิบัติงาน 219 วัน (ต่อปีบัญชี) 1.4 งานสนับสนุน คํานวณจากพนักงานกลุ่มงานกลยุทธ์และสนับสนุนคณะกรรมการตรวจสอบ กลุ่ม งานนโยบายและเสริมสร้างศักยภาพการตรวจสอบ และกลุ่มงานพัฒนามาตรฐานการตรวจสอบ จํานวน 23คน คูณ จํานวน Man-days ที่ใช้ในการปฏิบัติงาน 219 วัน (ต่อปีบัญชี) ดังนี้ 1.4.1 พนักงานสังกัดฝุายตรวจสอบ จํานวน 17 คน 1.4.2 พนักงานสังกัดสํานักตรวจสอบเทคโนโลยีและสารสนเทศ จํานวน 6 คน 1.5 สํารองงานอื่น และ อบรม/พัฒนา 1.5.1 สํารองงานสําหรับตรวจงานอื่น ๆ เช่น งานตรวจโครงการอื่น ๆ งานให้คําแนะนําปรึกษา งานที่ ได้รับมอบหมายนอกเหนือจากแผนการดําเนินงานต้นปีบัญชี เป็นต้น และการอบรมพัฒนาความรู้ คํานวณจากพนักงาน ทั้งหมดจํานวน 146คน คูณ 10 วัน (ต่อปีบัญชี) หมายเหตุคํานวณจากงบประมาณอัตรากําลังพนักงานสายงานตรวจสอบ จํานวน 146 คน (ข้อมูล ณ วันที่ 1 ตุลาคม 2565) 2. หลักเกณฑ์การจัดสรรความถี่เพื่อใช้จัดสรรทรัพยากรในการเข้าตรวจสอบดําเนินงาน สําหรับวางแผนการ ตรวจสอบระยะยาว กําหนดไว้เป็น 5 ระดับ มีดังนี้ ระดับความเสี่ยง ความถี่การตรวจสอบ สูง เข้าตรวจสอบทุกปี ค่อนข้างสูง เข้าตรวจสอบทุกปี ปานกลาง เข้าตรวจสอบแบบปีเว้นปี ค่อนข้างต่ า เข้าตรวจสอบแบบปีเว้น 2 ปี ต่ า เข้าตรวจสอบแบบปีเว้น 3 ปี กรณีผลการประเมินอยู่ในระดับ ปานกลาง ค่อนข้างต่ํา และต่ํา หากเป็นกระบวนการย่อยที่เกี่ยวข้อง กับความคาดหวัง ข้อห่วงใย ซึ่งเป็นเรื่องที่ฝุายจัดการให้ความสําคัญ และกระบวนการย่อยที่เป็นภารกิจที่กําหนดให้ สอบทานทุกปีบัญชีเนื่องจากเป็นเรื่องที่เกี่ยวข้องกับกฎเกณฑ์ หรือระเบียบของทางการ หรือเป็นเรื่องที่มีความสําคัญ ต่อธนาคารจะถูกคัดเลือกมาเพื่อตรวจสอบภายในปีบัญชีด้วย 3. การจัดสรรทรัพยากรตามแผนการตรวจสอบตามภารกิจงาน กําหนดขึ้นตามการประเมินความเสี่ยง เพื่อวาง แผนการตรวจสอบในการจัดทําแผนการดําเนินงาน ปีบัญชี 2564 - 2568 กําหนดตามกิจกรรมการตรวจสอบทั้งหมด ที่จะเข้าตรวจสอบ (Audit Universe) เป็นกระบวนการย่อย โดยมีหลักการจัดสรร Man-days ดังนี้ 3.1 จัดกลุ่มของระดับพนักงาน แบ่งเป็นกลุ่มผู้บริหาร กลุ่มพนักงานตรวจสอบ กลุ่มพนักงานสนับสนุน กลุ่มเลขานุการ/ธุรการ เพื่อคํานวณหาจํานวนพนักงานในการรองรับภารกิจงาน การปฏิบัติงานตรวจสอบในพื้นที่ การตรวจวิเคราะห์ข้อมูลที่ส่วนกลาง และการให้คําปรึกษา

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 127 3.2 หาค่าเฉลี่ยอายุงานกลุ่มตําแหน่งตรวจสอบ (เฉพาะกลุ่มพนักงานตรวจสอบ) ในสังกัดฝุายตรวจสอบ และกําหนดเกณฑ์ในการพิจารณา Man-days ตามระดับค่าเฉลี่ยของอายุงานและปัจจัยในการประเมิน ดังนี้ เกณฑ์ ความเสี่ยง ความ คาดหวัง ความ ซับซ้อน จ านวนหน่วยรับตรวจที่คาดว่าจะเข้าตรวจ 10-20 แห่ง 21-30 แห่ง 31-40 แห่ง 41-50 แห่ง มากกว่า 50 แห่งขึ้นไป เฉลี่ย 5 ปีขึ้นไป สูง 60 30 30 200 400 600 800 1,000 ค่อนข้างสูง 50 30 30 200 400 600 800 1,000 ปานกลาง 40 30 30 200 400 600 800 1,000 ค่อนข้างต่ํา 30 30 30 200 400 600 800 1,000 ต่ํา 20 30 30 200 400 600 800 1,000 เกณฑ์ ความเสี่ยง ความ คาดหวัง ความ ซับซ้อน จ านวนหน่วยรับตรวจที่คาดว่าจะเข้าตรวจ 10-20 แห่ง 21-30 แห่ง 31-40 แห่ง 41-50 แห่ง มากกว่า 50 แห่งขึ้นไป เฉลี่ย 3-5 ปี สูง 70 40 40 200 400 600 800 1,000 ค่อนข้างสูง 60 40 40 200 400 600 800 1,000 ปานกลาง 50 40 40 200 400 600 800 1,000 ค่อนข้างต่ํา 40 40 40 200 400 600 800 1,000 ต่ํา 30 40 40 200 400 600 800 1,000 เกณฑ์ ความเสี่ยง ความ คาดหวัง ความ ซับซ้อน จ านวนหน่วยรับตรวจที่คาดว่าจะเข้าตรวจ 10-20 แห่ง 21-30 แห่ง 31-40 แห่ง 41-50 แห่ง มากกว่า 50 แห่งขึ้นไป เฉลี่ย 0-3 ปี สูง 80 50 50 200 400 600 800 1,000 ค่อนข้างสูง 70 50 50 200 400 600 800 1,000 ปานกลาง 60 50 50 200 400 600 800 1,000 ค่อนข้างต่ํา 50 50 50 200 400 600 800 1,000 ต่ํา 40 50 50 200 400 600 800 1,000 ตัวอย่าง กรณีอายุงานในกลุ่มตําแหน่งตรวจสอบ มีค่าเฉลี่ย 5 ปีขึ้นไป จะนําหลักเกณฑ์ตามตารางค่าเฉลี่ย อายุงาน 5 ปีขึ้นไป มาพิจารณากําหนด Man-days โดยพิจารณาทีละกระบวนการย่อยที่สําคัญ อาทิเช่น กระบวนการย่อย “ธรรมาภิบาล” มีความเสี่ยงอยู่ในระดับปานกลาง ฝุายจัดการมีความคาดหวังให้ส่วนงานปฏิบัติ ตามหลักธรรมาภิบาลไม่มีความซับซ้อนในการตรวจสอบ และคาดว่าในปีบัญชีจะตรวจสอบหน่วยรับตรวจ 35 แห่ง มีวิธีการกําหนด Man-days ดังนี้ 1) ปัจจัยที่ 1 ความเสี่ยงระดับปานกลาง 40 Man-days 2) ปัจจัยที่ 2 ความคาดหวัง AC และ MC 30 Man-days 3) ปัจจัยที่ 3 ความซับซ้อนของกระบวนการ 0 Man-days 4) ปัจจัยที่ 4 จํานวนหน่วยรับตรวจที่คาดว่าจะเข้าตรวจ 600 Man-days สรุป กระบวนการย่อย “ธรรมาภิบาล” ใช้ Man-days ในการตรวจสอบทั้งสิ้น

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 128 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 12. แผนการตรวจสอบ ระยะ 5 ปี ปีบัญชี 2564 – 2568 12.1 แผนการตรวจสอบด้านการด าเนินงาน กระบวนการย่อยที่ส าคัญ ระดับความเสี่ยง ปีบัญชี 2566 ส่วนงานรับผิดชอบหลัก Man-days ส าหรับ 4 ปี Man-days 2565 2566 2567 2568 1. กระบวนการจัดการความยั่งยืนขององค์กร ค่อนข้างต่ํา ฝนย. 800 200 200 200 200 2. กระบวนการควบคุมภายใน ปานกลาง ฝบส. 1,200 300 300 300 300 3. กระบวนการบริหารความเสี่ยง ปานกลาง ฝบส. สบท. 1,200 300 300 300 300 4. กระบวนการสอบทานสินเชื่อ ต่ํา สสช. 100 - - 100 - 5. กระบวนการเฝูาระวังและตรวจจับการทุจริต ปานกลาง สปท. 400 100 100 100 100 6. กระบวนการกํากับดูแลกิจการที่ดี ปานกลาง สธป. 400 100 100 100 100 7. กระบวนการปฏิบัติตามกฎเกณฑ์ ค่อนข้างสูง สธป. 3,600 900 900 900 900 8. กระบวนการจัดทําแผน ค่อนข้างสูง ฝนย. 800 200 200 200 200 9. กระบวนการออกแบบระบบงาน (Work System) ปานกลาง สพก. 800 200 200 200 200 10. กระบวนการวิเคราะห์ข้อมูลสารสนเทศเพื่อการบริหาร ปานกลาง ฝนย. ฝยบ. 200 - 100 - 100 11. กระบวนการติดตามและประเมินผลรัฐวิสาหกิจ ค่อนข้างต่ํา สพก. 2,400 600 600 600 600 12. กระบวนการเสริม/รักษาสภาพคล่องของธนาคาร ค่อนข้างต่ํา ฝกง. 400 200 - 200 - 13. กระบวนการบริหารสภาพคล่องส่วนเกิน ค่อนข้างต่ํา ฝกง. 400 - 200 - 200 14. กระบวนการบริหารความเสี่ยงทางการเงิน ค่อนข้างต่ํา ฝกง. 400 - 200 - 200 15. กระบวนการลงทุน (Investment) ค่อนข้างต่ํา ฝกง. 400 200 - 200 - 16. กระบวนการบริหารทุนมนุษย์ ปานกลาง ฝทน. 1,200 300 300 300 300 17. กระบวนการพัฒนาทุนมนุษย์ ค่อนข้างต่ํา สพน. 400 100 100 100 100 18. กระบวนการจัดการโครงสร้างองค์กร ปานกลาง สพก. 400 200 - 200 - 19. กระบวนการจัดการด้านวินัยพนักงาน ปานกลาง ฝทน. 800 200 200 200 200 20. กระบวนการจัดการฐานข้อมูลลูกค้า ค่อนข้างสูง ฝงฝ. 400 100 100 100 100 21. บริหารพอร์ตโฟลิโอด้านเงินฝาก ค่อนข้างต่ํา ฝงฝ. 300 - 300 - -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 129 กระบวนการย่อยที่ส าคัญ ระดับความเสี่ยง ปีบัญชี 2566 ส่วนงานรับผิดชอบหลัก Man-days ส าหรับ 4 ปี Man-days 2565 2566 2567 2568 22. กระบวนการส่งเสริมเงินฝาก ค่อนข้างต่ํา ฝงฝ. 100 - - - 100 23. สินเชื่อบุคคลและเกษตรกร ค่อนข้างสูง ฝสบ. ฝบน. สพป. สบน. สวก. 10,000 2,500 2,500 2,500 2,500 24. สินเชื่อสถาบันและผู้ประกอบการ ค่อนข้างสูง ฝสป. สวก. สพป. สพส. 10,000 2,500 2,500 2,500 2,500 25. สินเชื่อนโยบายรัฐ ค่อนข้างสูง ฝนร. ฝสป. ฝพส. 3,600 900 900 900 900 26. การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มีโอกาสจะเป็น หนี้ค้างชําระ ค่อนข้างสูง ฝสบ. ฝสป. ฝบน. สบน. ฝกม. 10,000 2,500 2,500 2,500 2,500 27. กระบวนการพัฒนาความรู้ให้กับลูกค้า ค่อนข้างต่ํา ฝลช. สพส. สพอ. 400 100 100 100 100 28. กระบวนการพัฒนาตลาดลูกค้า ค่อนข้างต่ํา สพส. สพอ. 400 100 100 100 100 29. กระบวนการธุรกรรมฝาก-ถอน ปานกลาง ฝงฝ. 100 - 100 - - 30. กระบวนการธุรกรรมรับชําระค่าบริการ ค่อนข้างต่ํา ฝงฝ. ฝกธ. 100 - 100 - - 31. กระบวนการการให้ธุรกรรมต่างประเทศ ต่ํา ฝกธ. 100 - 100 - - 32. กระบวนการโอนเงิน ต่ํา ฝกธ. 100 - - - 100 33. กระบวนการให้บริการธุรกรรมประกันชีวิต/ประกันภัย ค่อนข้างต่ํา สพภ. 1,200 300 300 300 300 34. กระบวนการให้บริการธุรกรรมเงินฝากสงเคราะห์ชีวิต ต่ํา สงช. 400 100 100 100 100 35. กระบวนการบัญชีการเงินและรายงานทางการเงิน ปานกลาง ฝบช. 2,000 500 500 500 500 36. กระบวนการจัดการงานอุทธรณ์ ต่ํา ฝกม. 100 - - - 100 37. กระบวนการจัดการงานที่ปรึกษา ต่ํา ฝกม. 100 - - 100 - 38. กระบวนการจัดการงานกฎหมายธุรกิจและระหว่าง ประเทศ ต่ํา ฝกม. 100 - - - 100 39. กระบวนการจัดการงานอรรถคดี ต่ํา ฝกม. 100 100 - - - 40. กระบวนการจัดการงานความรับผิดทางละเมิด ปานกลาง ฝกม. 200 - 100 - 100 41. กระบวนการจัดการงานบริหารหนี้ดําเนินคดี ค่อนข้างต่ํา ฝกม. 100 - - 100 - 42. กระบวนการบริหารจัดการหนี้ขาดจะขาดอายุความ ปานกลาง ฝกม. 200 100 - 100 -

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 130 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น กระบวนการย่อยที่ส าคัญ ระดับความเสี่ยง ปีบัญชี 2566 ส่วนงานรับผิดชอบหลัก Man-days ส าหรับ 4 ปี Man-days 2565 2566 2567 2568 43. กระบวนการบริหารจัดการเอกสาร ต่ํา ฝอก. 100 - - 100 - 44. กระบวนการจัดซื้อจัดจ้าง ปานกลาง สจพ. 400 100 100 100 100 45. กระบวนการบริหารทรัพย์สิน (ฝนย. ฝบช. ฝอก.) ค่อนข้างสูง ฝนย. ฝบช. ฝอก. สผส. 300 - - - 300 46. กระบวนการบริหารจัดการอาคารสถานที่ ต่ํา ฝอก. 400 100 100 100 100 47. การบริหารและการจัดการด้านความปลอดภัยอาชีวอนามัย และสภาพแวดล้อมในการทํางาน ต่ํา ฝอก. 100 - - - 100 48. กระบวนการการบริหารจัดการยานพาหนะ และขนส่ง ต่ํา ฝอก. 100 100 - - - 49. กระบวนการบริหารการประชุม ต่ํา ฝบร. 100 - 100 - - 50. กระบวนการการประชาสัมพันธ์ ต่ํา สปส. 100 - - 100 - 51. กระบวนการสื่อสาร ต่ํา สปส. 100 - 100 - - 52. กระบวนการจัดการเสียงของลูกค้า (VOC) ปานกลาง ฝกค. 400 100 100 100 100 53. กระบวนการบริหารลูกค้าสัมพันธ์ ต่ํา ฝกค. 400 100 100 100 100 54. General Computer Control ปานกลาง ฝปท. สคท. ฝทส. ฝพส. สผส. ศรส. รายละเอียดตามแผนการตรวจสอบด้านเทคโนโลยี สารสนเทศ 55. Application Control ปานกลาง 56. Third Party ค่อนข้างต่ํา 57. IT Risk Management ปานกลาง 58. กระบวนการวิจัย ต่ํา ศวพ. 100 0 100 0 0 59. กระบวนการประเมินผล ค่อนข้างต่ํา ศวพ. 200 0 100 0 100 60. กระบวนการส่งเสริมนวัตกรรม ค่อนข้างต่ํา ศวพ. 800 200 200 200 200

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 131 12. แผนการตรวจสอบ ระยะ 5 ปี ปีบัญชี 2564 – 2568 12.2 แผนการตรวจสอบด้านเทคโนโลยีและสารสนเทศ ระบบงานที่ส าคัญ ระดับ ความเสี่ยง ส่วนงานรับผิดชอบ หลัก Man-days ส าหรับ 5 ปี Man-days 2564 2565 2566 2567 2568 การตรวจสอบระบบงาน (Application Controls) 1. สินเชื่อบุคคล, นิติบุคคล, สถาบัน, กลุ่มและองค์กร 1.1 สินเชื่อกลุ่ม SMALL ค่อนข้างต่ํา ฝสบ./ฝสป. 100 - - 60 - - 1.2 สินเชื่อกลุ่ม SMART ปานกลาง ฝสบ./ฝสป. 440 220 - 60 - 100 1.3 สินเชื่อกลุ่ม SMAEs ปานกลาง ฝสบ./ฝสป. 460 240 60 100 100 1.4 สินเชื่อนโยบายรัฐ ปานกลาง ฝสบ./ฝสป./ฝนร. 600 120 120 100 100 100 1.5 การบริหารจัดการหนี้ค้างชําระ และหนี้ที่มีโอกาสจะเป็นหนี้ค้าง ชําระ ค่อนข้างสูง ฝบน./ฝนร./สบน. 340 120 110 120 100 - 1.6 ระบบสนับสนุนสินเชื่อ ปานกลาง สพป./สวก./ฝนร./ ฝสบ./ฝสป./ฝบน./ สบน. 450 - 110 100 100 100 2. เงินฝากและบริการ 2.1 เงินฝากทั่วไป ปานกลาง ฝงฝ. 220 - 110 - - - 2.2 เงินฝากต้นทุนต่ํา ปานกลาง ฝงฝ./ฝกต. 220 - - - 100 2.3 ธุรกิจต่างประเทศ ค่อนข้างต่ํา ฝกธ. 220 120 - - 100 - 2.4 การโอนเงินและเรียกเก็บเงิน ปานกลาง ฝกธ. 420 90 220 100 100 200 2.5 รายได้ค่าบริการและค่าธรรมเนียม ปานกลาง ฝงฝ. 340 120 - 100 - 100 2.6 การบริหารเงิน ปานกลาง ฝกง. 220 - 110 - 25* - 2.7 การปฏิบัติตามกฎเกณฑ์ ปานกลาง สธป. 220 25* - 100 100 - 2.8 การประกันภัย ปานกลาง สงช./สพภ. 340 120 - 100 - 100

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 132 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ระบบงานที่ส าคัญ ระดับ ความเสี่ยง ส่วนงานรับผิดชอบ หลัก Man-days ส าหรับ 5 ปี Man-days 2564 2565 2566 2567 2568 3. ธุรกิจดิจิทัล 3.1 เครื่องรับจ่ายเงินอัตโนมัติ (ATM/CDM) ค่อนข้างสูง ฝปท. 600 120 120 120 120 120 3.2 การใช้บริการเทคโนโลยีสารสนเทศจากผู้ให้บริการภายนอก (IT Outsourcing) ค่อนข้างต่ํา ฝปท. 250 50 50 - 50 50 3.3 เครื่องปรับสมุดอัตโนมัติ (PAM) ต่ํา สผส. 100 - - - - 100 3.4 บัตรเกษตรสุขใจ และ แอปพลิเคชัน ธ.ก.ส. A-Shop ค่อนข้างต่ํา ฝปท./ฝสบ. 200 - 100 - 100 - 3.5 บริการพร้อมเพย์ ค่อนข้างต่ํา ฝปท./ฝกธ. 190 110 - - 80 - 3.6 แอปพลิเคชัน A-Mobile Plus ค่อนข้างสูง ฝปท. 710 110 240 - 120 120 3.7 ระบบ Corporate Card ค่อนข้างต่ํา ฝปท. 100 - - - 100 - 3.8 แอปพลิเคชัน ร้านน้องหอมจัง (Merchant) ค่อนข้างสูง ฝปท. 310 110 - 120 - 120 3.9 ระบบ E-Money ต่ํา ฝปท. 100 - - - 100 - 3.10 VTM (Virtual Teller Machine) ต่ํา ฝปท. 100 - - - - - 3.11 API (Direct Debit, Page to Page) ค่อนข้างสูง ฝปท./ฝงฝ. 360 - 120 - - - 3.12 บัตรอิเล็กทรอนิกส์และระบบบริหารจัดการบัตร (CCMS) ค่อนข้างสูง ฝปท. 120 - - 120 - - 3.13 บริการ e-Commerce สูง ฝปท. 120 - - 120 - - 4. ด้านบัญชีการเงิน บริหารทรัพยากรมนุษย์ และระบบงานสนับสนุน 4.1 บริหารอัตรากําลัง (HRIS : OM, PA) ค่อนข้างต่ํา ฝทน. 100 - - - - 100 4.2 พัฒนาทรัพยากรมนุษย์(HRIS : TE, PD) ค่อนข้างต่ํา ฝทน. 190 90 - - 100 - 4.3 สรรหาและคัดเลือก (HRIS : RC) ค่อนข้างต่ํา ฝทน. 100 - - - - - 4.4 บริหารค่าตอบแทนและสิทธิประโยชน์(HRIS: BN, CP, PY, TM, TV) ปานกลาง ฝทน. 220 75* - 25* - 110 4.5 การจัดทํางบการเงินและการรายงานทางการเงิน (FMIS: AP, AR, GL, BG, TFRS9) ปานกลาง ฝบช./ฝนย. 320 100 110 - - 110

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 133 ระบบงานที่ส าคัญ ระดับ ความเสี่ยง ส่วนงานรับผิดชอบ หลัก Man-days ส าหรับ 5 ปี Man-days 2564 2565 2566 2567 2568 4.6 การจัดซื้อจัดจ้าง (FMIS : MM, AM) ปานกลาง สจพ./ฝบช. 210 100 - - 110 - 4.7 ระบบสารสนเทศและระบบสนับสนุน ค่อนข้างสูง ฝอก./ฝบช./ฝพส. 940 100 240 360 120 120 4.8 ระบบงาน TFRS9 ค่อนข้างสูง ฝบช./ฝพส./ฝทส. 120 - - 120 25* 25* การตรวจสอบกระบวนการด้านเทคโนโลยีสารสนเทศ (General Controls) 1. การกํากับดูแล กลยุทธ์ โครงสร้างองค์กรทางด้านเทคโนโลยี สารสนเทศ (IT Governance, Strategy & Organization) ปานกลาง ฝทส./ฝพส./สผส./ศรส. 400 100 100 100 - 100 2. การพัฒนาระบบเทคโนโลยีสารสนเทศ (IT System Development and Quality Assurance) ปานกลาง ฝทส./ศรส./ฝพส. 400 100 100 100 100 - 3. งานบริหารจัดการเทคโนโลยีสารสนเทศ (IT Management Process) ปานกลาง ฝทส./ศรส. 400 100 100 100 - 100 4. งานบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management) ปานกลาง ฝทส./ศรส. 500 100 100 100 100 100 5. งานโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยระบบเทคโนโลยี สารสนเทศ (IT Security Infrastructure) ปานกลาง ฝทส./ฝพส./สผส./ศรส. 600 120 120 120 120 120 6. การบริหารงานโครงการ (Project Management) ปานกลาง - 600 120 120 120 120 120 7. การสอบทานการกํากับดูแลข้อมูลตามกรอบการกํากับดูแลข้อมูล (Data Governance) ปานกลาง สบว. 600 120 120 120 120 120 8. งานตรวจสอบการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ8 - สบท./ศรส./ฝทส. 450 90 90 90 90 90 9. การสอบทานกระบวนการจัดซื้อจัดจ้างด้านเทคโนโลยีสารสนเทศ - สจพ. 300 60 60 60 60 60 10. งานตรวจประเมินการเตรียมความพร้อมรองรับภัยไซเบอร์ (Cyber Resilience) - ศรส. 500 100 100 100 100 100 * คือ สอบทานข้อมูลที่ส่วนกลาง

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 134 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ระบบงานที่ส าคัญ ระดับ ความเสี่ยง ส่วนงานรับผิดชอบ หลัก Man-days ส าหรับ 5 ปี Man-days 2564 2565 2566 2567 2568 11. การสอบทานงานด้าน General Computer Control และการ ปฏิบัติตามกฎเกณฑ์ กฎระเบียบ ด้านเทคโนโลยีและสารสนเทศ - สผส. 400 - 100 100 100 100 12. การสอบทานการดําเนินงานตามการประเมินผลการดําเนินงาน รัฐวิสาหกิจ (Enablers) ด้านที่ 5 การพัฒนาเทคโนโลยีดิจิทัล (Digital Technology: DT) - ฝทส./ฝพส./สผส./ศรส. 400 - 100 100 100 100 13. การสอบทานการปฏิบัติให้เป็นไปตามข้อกําหนดในการใช้บริการ จากผู้ให้บริการบุคคลภายนอก (3rd Party) - ฝทส./ฝพส./สผส./ศรส. 400 - 100 100 100 100 14. การสอบทานการส่งเสริมธรรมาภิบาลและกํากับการปฏิบัติตาม กฎเกณฑ์ - สธป. 500 100 100 100 100 100 15. การสอบทานการดําเนินงาน ตามมาตรฐานสากล 15.1 ISO/IEC27001:2013 ระบบ CBS, ICS, BAHTNET, SWIFT - ฝทส./ศรส./ฝกง./ฝกธ./ คณะทํางานฯ 450 90 90 90 90 90 15.2 ISO/IEC20000-1:2018 - ฝทส./ฝพส./คณะ ทํางานฯ 450 90 90 90 90 90 15.3 ISO 50001:2011 - ฝอก./คณะทํางานฯ 300 60 60 60 60 60 16. การสอบทานการปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคง ปลอดภัยไซเบอร์ พ.ศ. 2562 (ตามมาตรา 54) - ศรส. 500 100 100 100 100 100 การตรวจสอบข้อมูลที่ส่วนกลาง 1. สินเชื่อ - - 900 180 180 180 180 180 2. เงินฝากและบริการ - - 900 180 180 180 180 180 3. ธุรกิจดิจิทัล - - 900 180 180 180 180 180 4. บัญชีการเงิน - - 900 180 180 180 180 180 5. งานสนับสนุนความต้องการใช้ข้อมูล (User Requirement) - - 1,800 360 360 360 360 360

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 135 ระบบงานที่ส าคัญ ระดับ ความเสี่ยง ส่วนงานรับผิดชอบ หลัก Man-days ส าหรับ 5 ปี Man-days 2564 2565 2566 2567 2568 งานประจํา 1. กลุ่มสอบตรวจสอบเทคโนโลยีดิจิทัลด้านระบบงานบริการลูกค้า - งานให้คําปรึกษา/คณะกรรมการ/คณะทํางาน - ติดตามความคืบหน้าการปรับปรุงแก้ไขของหน่วยรับตรวจตาม ข้อเสนอแนะ จากรายงานผลการตรวจ - จัดทําข้อมูลสนับสนุน (ส่วนงานภายนอก, สายตรวจ) - ปฏิบัติงานตามคําสั่งคณะกรรมการ/คณะทํางาน - ประชุมกับส่วนงานภายนอก - การประเมินการควบคุมภายในอย่างเป็นอิสระ (IA) - งานติดตามผลการแก้ไขตามข้อตรวจพบ ธปท. ด้านเทคโนโลยี และสารสนเทศ - งานอื่น ๆ ที่ได้รับมอบหมาย - - 1,200 240 240 240 240 240 2. กลุ่มสอบตรวจสอบเทคโนโลยีดิจิทัลด้านระบบงาน Self Service และระบบงานสนับสนุน - งานให้คําปรึกษา/คณะกรรมการ/คณะทํางาน - ติดตามความคืบหน้าการปรับปรุงแก้ไขของหน่วยรับตรวจตาม ข้อเสนอแนะ จากรายงานผลการตรวจ - จัดทําข้อมูลสนับสนุน (ส่วนงานภายนอก, สายตรวจ) - ปฏิบัติงานตามคําสั่งคณะกรรมการ/คณะทํางาน - ประชุมกับส่วนงานภายนอก - การประเมินการควบคุมภายในอย่างเป็นอิสระ (IA) - งานติดตามผลการแก้ไขตามข้อตรวจพบ ธปท. ด้านเทคโนโลยี - - 1,200 240 240 240 240 240

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 136 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ระบบงานที่ส าคัญ ระดับ ความเสี่ยง ส่วนงานรับผิดชอบ หลัก Man-days ส าหรับ 5 ปี Man-days 2564 2565 2566 2567 2568 และสารสนเทศ - งานอื่น ๆ ที่ได้รับมอบหมาย 3. กลุ่มงานวิเคราะห์และสนับสนุนข้อมูลเพื่อการตรวจสอบ - งานให้คําปรึกษา/คณะกรรมการ/คณะทํางาน - ติดตามความคืบหน้าการปรับปรุงแก้ไขของหน่วยรับตรวจตาม ข้อเสนอแนะ จากรายงานผลการตรวจ - จัดทําข้อมูลสนับสนุน (ส่วนงานภายนอก, สายตรวจ) - ปฏิบัติงานตามคําสั่งคณะกรรมการ/คณะทํางาน - ประชุมกับส่วนงานภายนอก - การประเมินการควบคุมภายในอย่างเป็นอิสระ (IA) - งานติดตามผลการแก้ไขตามข้อตรวจพบ ธปท. ด้านเทคโนโลยี และสารสนเทศ - งานอื่น ๆ ที่ได้รับมอบหมาย - - 1,800 360 360 360 360 360 4. กลุ่มงานตรวจสอบการบริหารงานเทคโนโลยีสารสนเทศ - งานให้คําปรึกษา/คณะกรรมการ/คณะทํางาน - ติดตามความคืบหน้าการปรับปรุงแก้ไขของหน่วยรับตรวจตาม ข้อเสนอแนะ จากรายงานผลการตรวจ - ปฏิบัติงานตามคําสั่งคณะกรรมการ/คณะทํางาน - ประชุมกับส่วนงานภายนอก - การประเมินการควบคุมภายในอย่างเป็นอิสระ (IA) - งานสังเกตการณ์จัดซื้อจัดจ้างด้านเทคโนโลยีสารสนเทศและ อุปกรณ์ - งานตรวจสอบการควบคุมการบริหารค่าใช้จ่ายของสายงาน - ฝทส./ฝพส./ศรส./ สผส./สจพ. 600 120 120 120 120 120

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น 137 ระบบงานที่ส าคัญ ระดับ ความเสี่ยง ส่วนงานรับผิดชอบ หลัก Man-days ส าหรับ 5 ปี Man-days 2564 2565 2566 2567 2568 เทคโนโลยีและสารสนเทศ - งานสอบทาน SE-AM ตาม Enabler 5 - งานติดตามผลการแก้ไขตามข้อตรวจพบ ธปท. ด้านเทคโนโลยี และสารสนเทศ - งานอื่น ๆ ที่ได้รับมอบหมาย 5. กลุ่มงานตรวจสอบเทคโนโลยีดิจิทัลด้านกํากับความเสี่ยงและ IT Security - งานให้คําปรึกษา/คณะกรรมการ/คณะทํางาน - ติดตามความคืบหน้าการปรับปรุงแก้ไขของหน่วยรับตรวจตาม ข้อเสนอแนะ จากรายงานผลการตรวจ - ปฏิบัติงานตามคําสั่งคณะกรรมการ/คณะทํางาน - ประชุมกับส่วนงานภายนอก - การประเมินการควบคุมภายในอย่างเป็นอิสระ (IA) - งานสอบทาน SE-AM ตาม Enabler 5 - งานติดตามผลการแก้ไขตามข้อตรวจพบ ธปท. ด้านเทคโนโลยี และสารสนเทศ - งานอื่น ๆ ที่ได้รับมอบหมาย - ฝทส. ฝพส. ศรส. สผส. 600 120 120 120 120 120 6. กลุ่มงานกลยุทธ์และมาตรฐานงานตรวจสอบ - งานพัฒนาระบบการบริหารงานตรวจสอบด้านเทคโนโลยีและ สารสนเทศตามมาตรฐานสากล ISO19011 - งานให้คําปรึกษา/คณะกรรมการ/คณะทํางาน - จัดทําข้อมูลสนับสนุน (ส่วนงานภายใน/ภายนอก) - - 3,000 600 600 600 600 600

แผนแม่บทด้านการตรวจสอบภายในระยะ 5 ปี ปีบัญชี 2564-2568 (ทบทวนครั้งที่ 2) และแผนปฏิบัติการสายงานตรวจสอบ ประจําปีบัญชี 2566 138 เอกสารใช้เฉพาะภายใน ธ.ก.ส. เท่านั้น ระบบงานที่ส าคัญ ระดับ ความเสี่ยง ส่วนงานรับผิดชอบ หลัก Man-days ส าหรับ 5 ปี Man-days 2564 2565 2566 2567 2568 - ปฏิบัติงานตามคําสั่งคณะกรรมการ/คณะทํางาน - ประชุมกับส่วนงานภายนอก - การประเมินการควบคุมภายในอย่างเป็นอิสระ (IA) - การจัดทําแผนแม่บท แผนปฏิบัติการ - รายงานผลการดําเนินงานต่าง ๆ เช่น รายงานผลการตรวจสอบ รายงานผลตามข้อตกลง เป็นต้น - การจัดทํางบประมาณประจําปี - งานด้าน HR - Coordinator - การจัดอบรม - งานอื่น ๆ ที่ได้รับมอบหมาย