ศูนย์รวมองค์ความรู้ มาตรฐานสากล และกฎเกณฑ์ของหน่วยงานกำกับดูแล สำหรับผู้ปฏิบัติงานด้าน Compliance, Risk Management และ Internal Audit ครอบคลุม 4 กลุ่มธุรกิจการเงิน — ธนาคารพาณิชย์ · ประกันภัย · บริษัทบริหารสินทรัพย์ (AMC) · ธุรกิจหลักทรัพย์
เข้าสู่ Knowledge Base เส้นทางพัฒนาวิชาชีพGRC เป็นแนวทางบูรณาการที่เชื่อมโยงการกำกับดูแลกิจการ (Governance) การบริหารความเสี่ยง (Risk) และการปฏิบัติตามกฎเกณฑ์ (Compliance) เข้าด้วยกัน โดยมีงานตรวจสอบภายใน (Internal Audit) ทำหน้าที่ให้ความเชื่อมั่นอย่างเป็นอิสระ อ้างอิงมาตรฐาน COSO ERM, ISO 31000, ISO 37301 และ IIA Global Internal Audit Standards
โครงสร้าง บทบาท และกลไกความรับผิดชอบของคณะกรรมการและผู้บริหาร
กระบวนการระบุ ประเมิน ตอบสนอง และติดตามความเสี่ยงทั่วทั้งองค์กร
การบริหารความเสี่ยงด้านการไม่ปฏิบัติตามกฎหมายและกฎเกณฑ์ของทางการ
การให้ความเชื่อมั่นและคำปรึกษาอย่างเป็นอิสระตามมาตรฐานสากล
เป็นเจ้าของความเสี่ยง (Risk Owner) บริหารความเสี่ยงและควบคุมภายในของกระบวนการที่ตนรับผิดชอบ
กำหนดกรอบ นโยบาย เครื่องมือ กำกับติดตาม ท้าทาย (challenge) และรายงานความเสี่ยงต่อผู้บริหารและคณะกรรมการ
ให้ความเชื่อมั่นอย่างเป็นอิสระต่อประสิทธิผลของ governance, risk management และ control ขึ้นตรงต่อคณะกรรมการตรวจสอบ
แต่ละกลุ่มธุรกิจอยู่ภายใต้หน่วยงานกำกับและชุดกฎเกณฑ์ที่แตกต่างกัน ผู้ปฏิบัติงาน GRC ในกลุ่มธุรกิจการเงินแบบครบวงจร (Financial Conglomerate) จำเป็นต้องเข้าใจทั้ง 4 บริบท
กำกับโดย: ธนาคารแห่งประเทศไทย (ธปท.) · ปปง. · สคส.
กำกับโดย: สำนักงาน คปภ. (OIC)
กำกับโดย: ธนาคารแห่งประเทศไทย (ธปท.)
กำกับโดย: สำนักงาน ก.ล.ต. (SEC) · ตลท. (SET)
มุมมองเปรียบเทียบสำหรับผู้ปฏิบัติงานในกลุ่มธุรกิจการเงินครบวงจร — ช่วยให้เห็นความเหมือน-ต่างของหน่วยงานกำกับ กรอบเงินกองทุน และข้อกำหนดหลักในหน้าเดียว (เลื่อนตารางแนวนอนบนมือถือ)
| หัวข้อ | ธนาคารพาณิชย์ | ประกันภัย | AMC | หลักทรัพย์ |
|---|---|---|---|---|
| หน่วยงานกำกับ | ธปท. | คปภ. | ธปท. | ก.ล.ต. / ตลท. |
| กฎหมายหลัก | พ.ร.บ.ธุรกิจสถาบันการเงิน 2551 | พ.ร.บ.ประกันชีวิต / วินาศภัย | พ.ร.ก.บริษัทบริหารสินทรัพย์ 2541 | พ.ร.บ.หลักทรัพย์ฯ 2535 |
| กรอบเงินกองทุน | Basel III (CAR, LCR, NSFR) | Risk-Based Capital (RBC 2) | เกณฑ์เงินกองทุน/หนี้สินตาม ธปท. | Net Capital (NC Ratio) |
| การประเมินความเสี่ยง/ทุนเชิงรุก | ICAAP | ORSA | การบริหารพอร์ต NPL/NPA | เกณฑ์บริหารความเสี่ยง ก.ล.ต. |
| IT Risk / Cyber | แนวปฏิบัติ IT Risk & Cyber Resilience ของ ธปท. | ประกาศ คปภ. ด้าน IT Risk & Cybersecurity | อิงแนวทาง ธปท. | เกณฑ์ระบบงานไอทีของ ก.ล.ต. |
| AML/CFT | อยู่ภายใต้กฎหมาย ปปง. (พ.ร.บ. 2542) ทุกธุรกิจในฐานะสถาบันการเงิน — เน้น Risk-Based Approach, KYC/CDD, รายงานธุรกรรม | |||
| PDPA | อยู่ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 (สคส.) ทุกธุรกิจ | |||
| Market Conduct | เกณฑ์ 9 ระบบงานของ ธปท. | เกณฑ์การเสนอขายของ คปภ. | การติดตามทวงถามหนี้อย่างเป็นธรรม | Suitability / Sales Conduct ก.ล.ต. |
| มาตรฐานบัญชีที่เกี่ยวข้อง | IFRS 9 (ECL) | IFRS 17 | IFRS 9 (มูลค่าสินทรัพย์ด้อยคุณภาพ) | มาตรฐานบัญชีทั่วไป + Custody |
เลือกสายงาน (Pillar) และค้นหาหัวข้อความรู้ — แต่ละหัวข้อระบุสาระสำคัญ มาตรฐานอ้างอิง และความแตกต่างรายประเภทธุรกิจ
การวางโครงสร้างหน่วยงานกำกับ (Compliance Function) ที่เป็นอิสระ การจัดทำ Regulatory Library (Lv1–Lv4: Regulator → Law → Citation → Obligation), Compliance Risk Assessment (CRA), Compliance Plan และการรายงานต่อคณะกรรมการกำกับการปฏิบัติตามกฎเกณฑ์
| ธุรกิจ | ประเด็นเฉพาะ |
|---|---|
| ธนาคาร | แนวนโยบาย ธปท. ว่าด้วย Compliance Function ของสถาบันการเงิน, การรายงาน ธปท. ตามรอบ |
| ประกันภัย | หน่วยงาน compliance ตามเกณฑ์ ERM/ORSA ของ คปภ. และการรายงานสำนักงาน คปภ. |
| AMC | การปฏิบัติตามเงื่อนไขใบอนุญาตและเกณฑ์ ธปท. ว่าด้วยบริษัทบริหารสินทรัพย์ |
| หลักทรัพย์ | เกณฑ์ระบบงานกำกับดูแลการปฏิบัติงาน (Compliance Unit) ตามประกาศ ก.ล.ต. |
หน้าที่สถาบันการเงินตามกฎหมาย ปปง.: การจัดให้ลูกค้าแสดงตน (KYC), การตรวจสอบเพื่อทราบข้อเท็จจริง (CDD/EDD), การรายงานธุรกรรม (ธุรกรรมเงินสด/น่าสงสัย), การบริหารความเสี่ยงด้าน ML/TF แบบ Risk-Based Approach, Sanctions Screening และการเก็บรักษาข้อมูล
ฐานการประมวลผล, การขอความยินยอม, สิทธิเจ้าของข้อมูล, RoPA, DPIA, การแจ้งเหตุละเมิดภายใน 72 ชั่วโมง, Data Processing Agreement กับผู้ประมวลผล และการโอนข้อมูลไปต่างประเทศ — จุดเสี่ยงสูงในธุรกิจการเงิน: ข้อมูลเครดิต ข้อมูลสุขภาพ (ประกัน) ข้อมูลลูกหนี้ (AMC) และข้อมูลการลงทุน (หลักทรัพย์)
9 ระบบงาน Market Conduct (วัฒนธรรมองค์กร, การพัฒนาผลิตภัณฑ์, การจ่ายค่าตอบแทน, กระบวนการขาย, การสื่อสาร, การดูแลข้อมูล, การแก้ไขปัญหา/เรื่องร้องเรียน, การควบคุม, การปฏิบัติงาน) เปรียบเทียบเกณฑ์ขายผลิตภัณฑ์ข้ามธุรกิจ (Bancassurance, กองทุน, หุ้นกู้) และบทลงโทษกรณีศึกษาจริง
กระบวนการติดตามกฎเกณฑ์ใหม่จากราชกิจจานุเบกษาและเว็บไซต์ regulator, การวิเคราะห์ผลกระทบ (Impact Analysis), การจัดทำ action plan, การสื่อสารภายใน (หนังสือเวียน) และปฏิทินการรายงานทางการ (Regulatory Reporting Calendar) ของทั้ง 4 ธุรกิจ
นโยบายต่อต้านคอร์รัปชัน การประเมินความเสี่ยงสินบน การกำกับของขวัญ/การเลี้ยงรับรอง ช่องทางแจ้งเบาะแสและการคุ้มครองผู้แจ้ง รวมถึงแนวร่วมต่อต้านคอร์รัปชันของภาคเอกชนไทย (CAC) Certification
องค์ประกอบ ERM: Governance & Culture, Strategy & Objective-Setting, Performance, Review & Revision, Information & Communication — การจัดทำ Risk Appetite Statement, Risk Taxonomy, Risk Register และการรายงานคณะกรรมการบริหารความเสี่ยง
| ธุรกิจ | กรอบเงินกองทุน/การประเมินตนเอง |
|---|---|
| ธนาคาร | Basel III · ICAAP · Supervisory Review (Pillar 2) · Stress Test ของ ธปท. |
| ประกันภัย | RBC 2 · ORSA · เกณฑ์ ERM ของ คปภ. |
| AMC | การบริหารความเสี่ยงพอร์ต NPL/NPA, Valuation Risk, Funding Risk |
| หลักทรัพย์ | NC Ratio · เกณฑ์บริหารความเสี่ยงด้านสภาพคล่องและปฏิบัติการของ ก.ล.ต. |
กระบวนการให้สินเชื่อ-ติดตาม-จัดชั้น, Expected Credit Loss, Concentration Risk, Counterparty Risk — สำหรับ AMC: ความเสี่ยงการประเมินมูลค่า NPL/NPA และ recovery rate; สำหรับประกัน/หลักทรัพย์: credit risk ของพอร์ตลงทุนและ reinsurance counterparty
Interest Rate Risk (IRRBB), FX Risk, การบริหารสินทรัพย์-หนี้สิน (ALM), Liquidity Gap, แผนรองรับวิกฤตสภาพคล่อง (Contingency Funding Plan) และความเสี่ยงการลงทุนของบริษัทประกัน (เกณฑ์การลงทุนของ คปภ.)
เครื่องมือหลัก: RCSA, KRI, Incident & Loss Event Management, Scenario Analysis, การบริหารความต่อเนื่องทางธุรกิจ (BCP/DRP ตาม ISO 22301), Operational Resilience และ Outsourcing/Third-Party Risk ตามเกณฑ์ regulator แต่ละแห่ง
เกณฑ์ IT Risk ของ ธปท. (สถาบันการเงิน), คปภ. (บริษัทประกัน), ก.ล.ต. (ผู้ประกอบธุรกิจหลักทรัพย์) — ครอบคลุม IT Governance, Security, Project Risk, Cloud, Cyber Hygiene, การซ้อมรับมือภัยคุกคาม และการรายงานเหตุการณ์ต่อ regulator ภายในกรอบเวลา
การกำกับการใช้ AI/ML อย่างรับผิดชอบ (fairness, explainability, human oversight), ความเสี่ยงด้านสภาพภูมิอากาศและการเปิดเผยข้อมูลความยั่งยืน, ความเสี่ยงธุรกิจสินทรัพย์ดิจิทัลภายใต้การกำกับของ ก.ล.ต.
มาตรฐานสากลฉบับใหม่ 5 Domains: (I) Purpose, (II) Ethics & Professionalism, (III) Governing the IA Function, (IV) Managing the IA Function, (V) Performing IA Services — การจัดทำ Internal Audit Charter, ความเป็นอิสระ, การขึ้นตรงต่อคณะกรรมการตรวจสอบ และ Topical Requirement (เช่น Cybersecurity)
การจัดทำ audit universe ครอบคลุมทุกหน่วยงาน/กระบวนการ/ระบบ, การให้คะแนนความเสี่ยงเพื่อกำหนดความถี่และลำดับการตรวจ, แผนตรวจสอบประจำปีเชื่อมโยง risk profile องค์กร และการประสานแผนกับ 2nd Line เพื่อลดความซ้ำซ้อน (Combined Assurance)
การวางแผนรายงาน engagement, การประเมิน design & operating effectiveness ของการควบคุม, เทคนิคการสุ่มตัวอย่าง, การเขียน finding (Condition–Criteria–Cause–Consequence–Corrective action), การให้ rating และการติดตามข้อตรวจพบ (Issue Tracking)
การตรวจสอบ ITGC (Access, Change, Operations, SDLC), Application Control, Cybersecurity Audit, การใช้ data analytics เพื่อตรวจสอบ 100% ของประชากรข้อมูล, continuous auditing/monitoring และการตรวจสอบการใช้ AI ขององค์กร
ข้อกำหนดด้านการตรวจสอบภายในของแต่ละ regulator เช่น การตรวจสอบด้าน IT อย่างน้อยปีละ 1 ครั้ง (ประกันภัย), การสอบทานก่อนรายงานทางการ, บทบาทต่อการตรวจของผู้ตรวจการ ธปท./คปภ./ก.ล.ต. และการประสานงานผู้สอบบัญชีภายนอก
สามเหลี่ยมการทุจริต (Fraud Triangle), red flags ในธุรกิจการเงิน (สินเชื่อปลอม, ฉ้อฉลสินไหม, churning บัญชีหลักทรัพย์, การขายทรัพย์ AMC ต่ำกว่าราคา), เทคนิคการสืบสวน การเก็บหลักฐานดิจิทัล และการรายงานต่อคณะกรรมการตรวจสอบ/หน่วยงานทางการ
ไม่พบหัวข้อที่ค้นหา — ลองคำค้นอื่น เช่น "AML", "Basel", "IT Audit"
รวมคำศัพท์และตัวย่อที่พบบ่อยในงานกำกับ บริหารความเสี่ยง และตรวจสอบภายใน — พิมพ์คำค้นเพื่อกรอง
Risk & Control Self-Assessment — กระบวนการให้หน่วยงานประเมินความเสี่ยงและความเพียงพอของการควบคุมด้วยตนเอง
Key Risk Indicator — ตัวชี้วัดเชิงรุกที่ส่งสัญญาณเตือนระดับความเสี่ยงก่อนเกิดเหตุการณ์
Internal Capital Adequacy Assessment Process — กระบวนการประเมินความเพียงพอของเงินกองทุนภายในของธนาคาร (Basel Pillar 2)
Own Risk & Solvency Assessment — การประเมินความเสี่ยงและความมั่นคงทางการเงินด้วยตนเองของบริษัทประกันภัย
Risk-Based Capital — กรอบการดำรงเงินกองทุนตามความเสี่ยงของธุรกิจประกันภัย (ปัจจุบัน RBC 2)
Expected Credit Loss — ผลขาดทุนด้านเครดิตที่คาดว่าจะเกิดขึ้นตามมาตรฐาน IFRS 9
Net Capital Ratio — อัตราส่วนเงินกองทุนสภาพคล่องสุทธิที่ผู้ประกอบธุรกิจหลักทรัพย์ต้องดำรง
Know Your Customer / Customer Due Diligence — การแสดงตนและตรวจสอบเพื่อทราบข้อเท็จจริงของลูกค้าตามกฎหมาย ปปง.
Anti-Money Laundering / Combating the Financing of Terrorism — การป้องกันการฟอกเงินและการสนับสนุนทางการเงินแก่การก่อการร้าย
Enterprise Risk Management — การบริหารความเสี่ยงทั่วทั้งองค์กรแบบบูรณาการ (อ้างอิง COSO ERM / ISO 31000)
Business Continuity Management / Plan และ Disaster Recovery Plan — การบริหารความต่อเนื่องทางธุรกิจและการกู้คืนระบบ (ISO 22301)
Recovery Time / Point Objective — เป้าหมายเวลาที่ต้องกู้คืนระบบ และจุดข้อมูลล่าสุดที่ยอมรับการสูญเสียได้
IT General Controls — การควบคุมทั่วไปด้านไอที (Access, Change, Operations, SDLC) ที่เป็นฐานของการตรวจสอบระบบงาน
Quality Assurance & Improvement Program — โปรแกรมประกันและพัฒนาคุณภาพงานตรวจสอบภายในตามมาตรฐาน IIA
Compliance Risk Assessment — การประเมินความเสี่ยงด้านการปฏิบัติตามกฎเกณฑ์
โมเดลสามแนวป้องกัน: หน่วยธุรกิจ (1st) · Risk & Compliance (2nd) · Internal Audit (3rd)
ประเมินความพร้อมของคุณใน 8 สมรรถนะหลัก ระบบจะคำนวณคะแนนและแนะนำระดับการพัฒนาที่เหมาะสม — ใช้เป็นแนวทางวางแผน IDP ส่วนบุคคล
ตัวอย่างประเภทเหตุการณ์ที่พบในแต่ละธุรกิจ เพื่อเชื่อมโยงทฤษฎีกับความเสี่ยงจริง — เน้นบทเรียนเชิงระบบ ไม่อ้างอิงบริษัทใดเป็นการเฉพาะ
ความเสี่ยง: Compliance · Operational
ความเสี่ยง: IT/Cyber · PDPA · Reputation
ความเสี่ยง: Governance · Fraud · Conduct
ความเสี่ยง: Market Conduct · Compliance
สรุปประเภทและรอบการรายงานหลัก เพื่อใช้วางแผนงาน Compliance/Risk รายปี — รอบเวลาที่แน่นอนให้ยึดตามประกาศและแบบรายงานของแต่ละหน่วยงาน
| หน่วยงาน | รายงานหลัก | ความถี่โดยทั่วไป |
|---|---|---|
| ธปท. (ธนาคาร/AMC) | ฐานะเงินกองทุน (CAR), Liquidity (LCR/NSFR), Data Set รายเดือน, รายงาน ICAAP, เหตุการณ์ด้าน IT/Cyber | รายเดือน / รายไตรมาส / รายปี + แจ้งเหตุทันทีเมื่อเกิด incident สำคัญ |
| คปภ. (ประกันภัย) | รายงานฐานะการเงินและ RBC, รายงาน ORSA, รายงานการลงทุน, ผลตรวจสอบ IT ประจำปี | รายไตรมาส / รายปี (ORSA และ IT Audit อย่างน้อยปีละ 1 ครั้ง) |
| ก.ล.ต. (หลักทรัพย์) | รายงาน NC ratio, รายงานการดำเนินธุรกิจ, รายงานเรื่องร้องเรียน, การรายงานเหตุการณ์ระบบงานสำคัญ | รายวัน/รายเดือน (NC) / รายไตรมาส / แจ้งเหตุทันที |
| ปปง. (ทุกธุรกิจ) | รายงานธุรกรรมเงินสด, ธุรกรรมที่มีเหตุอันควรสงสัย (STR), ธุรกรรมเกี่ยวกับทรัพย์สิน | เมื่อเกิดธุรกรรมเข้าเกณฑ์ (ตามกรอบเวลาที่กฎหมายกำหนด) |
| สคส. (ทุกธุรกิจ) | การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล | ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ |
เส้นทางพัฒนา 4 ระดับ ใช้ร่วมกันทั้งสาย Compliance, Risk และ Internal Audit โดยปรับรายวิชาเฉพาะทางตามสายงานและประเภทธุรกิจ
พื้นฐานธุรกิจการเงิน 4 ประเภท กฎหมายหลัก และเครื่องมือ GRC เบื้องต้น
ปฏิบัติงานได้ด้วยตนเอง ใช้เครื่องมือประเมินและติดตามได้ครบวงจร
เชี่ยวชาญเฉพาะทาง นำทีม และให้คำปรึกษาหน่วยธุรกิจ
กำหนดทิศทาง รายงานคณะกรรมการ และสร้างวัฒนธรรม GRC
| สายงาน | Certification หลัก | หมายเหตุ |
|---|---|---|
| Compliance | CCO Program (สมาคมธนาคารไทย/ก.ล.ต.), ICA Diploma, CAMS (AML), HRCP/PDPA Cert | CAMS เหมาะกับงาน AML โดยเฉพาะ; หลักสูตร compliance ของ regulator ไทยเป็นข้อกำหนดบางตำแหน่ง |
| Risk Management | FRM (GARP), PRM, CRISC (IT Risk), ERM Certificate (สวค./TFAC), CFA (สายลงทุน) | FRM เน้นธนาคาร/ตลาดทุน; CRISC เน้น IT Risk; ประกันภัยเสริมด้วยหลักสูตร RBC/ORSA ของ คปภ. |
| Internal Audit | CIA (IIA), CPIAT (สตท.), CISA (IT Audit), CFE (Fraud), CRMA | CIA เป็นมาตรฐานสากลหลัก; CPIAT เป็นวุฒิบัตรไทยที่ได้รับการยอมรับ; CISA จำเป็นสำหรับ IT Audit |
| ข้ามสายงาน | CGEIT, CISM, ISO 31000 / ISO 37301 Lead Implementer, IOD Director Programs | สำหรับระดับ Specialist–Leadership และผู้เตรียมเป็นกรรมการ |
* ควรผูก certification เข้ากับ Individual Development Plan (IDP) และนโยบายสนับสนุนค่าสอบขององค์กร พร้อมชั่วโมง CPE/CPD ต่อเนื่องรายปี
รวมแหล่งดาวน์โหลด/อ่านมาตรฐานและกรอบงานต้นฉบับ จัดกลุ่มตามสายงาน — ลิงก์ชี้ไปยังเว็บไซต์ทางการของเจ้าของมาตรฐาน (เนื้อหาบางฉบับอาจต้องสมัครสมาชิกหรือซื้อ)
ลิงก์หน่วยงานกำกับดูแลและองค์กรวิชาชีพสำหรับติดตามกฎเกณฑ์และมาตรฐานล่าสุด
สำรวจ Knowledge Base เลือก Learning Path ที่เหมาะกับบทบาท และวางแผน Certification ของคุณ
สำรวจคลังความรู้ ดูเส้นทางพัฒนา