หลักการและเหตุผล

จากการที่ธนาคารอาคารสงเคราะห์ (ธอส.) มี “นโยบายการใช้บริการจากผู้ใช้บริการภายนอก
(Outsourcing Policy)” ขึ้น เพื่อให้ธนาคารมีเครื่องมือในการปรับตัวเพื่อเพิ่มขีดความสามารถในการแข่งขันขององค์กร ซึ่งอยู่ในอุตสาหกรรมสถาบันการเงินที่มีการแข่งขันที่สูงมาก โดยนโยบายดังกล่าวได้ให้ความสำคัญกับการบริหารต้นทุนการดำเนินงานและการ การเพิ่มประสิทธิภาพในการดำเนินงานและการเพิ่มคุณภาพบริการผ่านการจัดการห่วงโซ่คุณค่า (Value Chain) ของธนาคารอย่างเป็นระบบ ซึ่งจะช่วยสร้างความพึงพอใจต่อผลิตภัณฑ์และบริการให้กับลูกค้า และผู้รับบริการที่ดีขึ้น รวมถึงการสร้างประสิทธิผลการดำเนินงานที่ดี

การที่ธนาคารได้กำหนด “นโยบายการใช้บริการจากผู้ใช้บริการภายนอก (Outsourcing Policy)” นี้ขึ้นเพื่อเป็นระบบและมีมาตรฐานเดียวกัน รวมถึงการนำไปสู่ประสิทธิภาพและเพิ่มขีดความสามารถในการแข่งขันของธนาคาร ซึ่งนโยบายฉบับแรกที่กำหนดขึ้นในปี 2562 ได้ยึดหลักการและแนวทางตาม “หลักเกณฑ์การใช้บริการจากบุคคลภายนอก(Outsourcing) ในการประกอบธุรกิจของสถานบันการเงิน” ตามประกาศธนาคารแห่งประเทศไทย (ธปท.)
ฉบับที่ สนส.8/2553 และได้นำหลักการและเหตุผลต่างๆที่ธนาคารใช้ในการพิจารณาจัดจ้างผู้ให้บริการจากภายนอกมาพิจารณาประกอบ เพื่อให้นโยบายฯมีความเหมาะสมกับบริบทการบริหารจัดการของธนาคารอาคารสงเคราะห์

ต่อมา เมื่อวันที่ 25 ธันวาคม 2557 ธปท. ได้มีการประกาศ ฉบับที่ สนส. 8/2557 ให้สถาบันการใช้เงิน “หลักเกณฑ์การใช้บริการจากผู้ให้บริการภายนอก (Outsourcing) ในการประกอบธุรกิจของสถาบันการเงิน” ซึ่งเป็นหลักเกณฑ์ที่ ธอส. สมควรจะนำมาใช้ทบทวนและแก้ไขปรับปรุงหลักเกณฑ์ “นโยบายการใช้บริการจากบุคคลภายนอก (Outsourcing Policy)” ของธนาคารตามเนื้อหาสาระในนโยบายฉบับนี้

อนึ่ง นโยบายนี้ได้กำหนดขึ้นเพื่อเป็นนโยบายพื้นฐานในการพิจารณาสำหรับดำเนินการใช้บริการจากบุคคลภายนอกในงานด้านต่างๆ ของธนาคาร อย่างไรก็ตาม หากงานในด้านใดมีรายละเอียดที่ต้องดำเนินการ และ/หรือ ครอบคลุมข้อกำหนดทางกฎหมายที่เกี่ยวข้องเฉพาะเรื่องที่ต้องกำหนดสาระสำคัญมากกว่าหลักเกณฑ์ตามนโยบายนี้แล้ว ธนาคารจะกำหนดแนวนโยบายการใช้บริการจากผู้ให้บริการภายนอกที่มีลักษณะงานพิจารณาเฉพาะเรื่อง เพื่อแสดงรายละเอียดและวิธีปฏิบัติของธนาคารเพิ่มเติมภายหลังต่อไป

 

 

 

คำจำกัดความ

  1. การใช้บริการจากผู้ที่ให้บริการภายนอก (Outsourcing) หมายความว่า การที่ธนาคารจ้างผู้ให้บริการภายนอก (Service Provider) ดำเนินการแทนสำหรับงานโดยปกติธนาคารต้องดำเนินการเองทั้งหมดหรือบางส่วน
  2. กลุ่มงานหลักที่มีความสำคัญต่อธุรกิจของสถาบันการเงิน (Material Function) ซึ่งประกอบด้วย

2.1 กลุ่มงานหลักที่เกี่ยวข้องกันการตัดสินใจเชิงกลยุทธ์ (Strategic Function) ซึ่งกำหนดลักษณะงาน
ที่สำคัญ คือ (ดูรายละเอียดเพิ่มเติมในภาคผนวก 1)

1) งานที่เกี่ยวกับการตัดสินหรือการทำธุรกรรมที่กระทบต่อฐานะการดำเนินงานและความเสี่ยงของธนาคาร

2) งานที่เกี่ยวข้องกับการวิเคราะห์เชิงลึก การตรวจสอบ หรือการสอบทานในขั้นตอนสุดท้ายก่อนการตัดสินใจทำธุรกรรม

3) งานที่เกี่ยวกับการติดตาม การตรวจสอบ หรือการสอบทานภายหลังการอนุมัติหรือการทำธุรกรรม ซึ่งอาจส่งผลต่อฐานะการดำเนินงานและความเสี่ยงของสถาบันการเงินหากดำเนินการไม่เหมาะสม

4) งานที่ผู้ให้บริการภายนอกไม่มีความเชี่ยวชาญที่จะดำเนินการได้ และ/หรือหลักเกณฑ์ทางการกำหนดให้ธนาคารต้องดำเนินการเองเท่านั้น

2.2 กลุ่มงานหลักที่ไม่เกี่ยวข้องกับการตัดสินใจเชิงกลยุทธ์ (Non- Strategic Function) ซึ่งกำหนดลักษณะงานที่สำคัญ คือ (ดูรายละเอียดเพิ่มเติมในภาคผนวก 1)

1) งานจัดหาหรือวาเคราะห์ข้อมูลเบื้องต้นเพื่อประกอบการตัดสินใจ

2) งานที่มีความเสี่ยงในระดับหนึ่ง เนื่องจากเกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้าข้อมูลและสินทรัพย์ของธนาคาร รวมถึงการปฏิบัติตามหลักเกณฑ์ของทางการ

3) งานที่มีข้อกังวลในเรื่องความเสียหายหากมีการใช้บริการจากผู้ให้บริการภายนอกในต่างประเทศ

  1. กลุ่มงานสนับสนุนธุรกิจของสถาบันการเงิน (Non- Material Function) ซึ่งกำหนดลักษณะงาน
    ที่สำคัญ คือ(ดูรายละเอียดเพิ่มเติมในภาคผนวก 1)

1) งานสนับสนุนธุรกิจธนาคารที่ไม่ใช่การจัดเตรียมข้อมูลประกอบการตัดสินใจ

2) งานที่ให้ผู้บริการภายนอกมีประสิทธิภาพหรือความเชี่ยวชาญมากกว่าธนาคาร

3) งานที่มีความเสี่ยงในระดับที่จัดการได้ เนื่องจากงานหรือผู้ให้บริการภายนอกอยู่ภายใต้หลักเกณฑ์หรือกำกับของทางการ

  1. กลุ่มงานที่ไม่ใช่เกี่ยวกับธุรกิจหลักของธนาคาร (Non-Banking Business) เช่น งานอำนวยความสะดวกทั่วไป งานรักษาความปลอดภัย งานด้านธุรการ และงานอื่นๆ ที่มีความเสี่ยงต่ำ (ดูรายละเอียดเพิ่มเติมในภาคผนวก 2 ตัวอย่างงานที่ไม่ถือว่าเป็นการใช้บริการจากผู้ให้บริการภายนอก (Non-Outsourcing Activity))

 

 

 

หลักการสำคัญของนโยบายบริการจากผู้ให้บริการภายนอก

            การใช้บริการจากผู้ให้บริการภายนอก ธนาคารจะต้องรับผิดชอบต่อลูกค้าเสมือนธนาคารเป็นผู้ดำเนินการ
เอง โดยจะมีเกณฑ์ในการกำกับดูแลผู้ให้บริการภายนอกดำเนินการใน 4 เรื่องสำคัญ ได้แก่

  1. การบริหารความต่อเนื่องในการดำเนินการธุรกิจและการให้บริการลูกค้า (Business Continuity) โดยเฉพาะอย่างยิ่งการที่ให้บริการภายนอกมีแผนดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan) เพื่อรองรับการดำเนินธุรกิจในกรณีเหตุการณ์ไม่ปกติ
  2. การคุ้มครองลูกค้า (Consumer Protection) โดยเน้นให้มีระบบการรักษาความปลอดภัยและข้อมูลของลูกค้า รวมทั้งการดูแลข้อร้องเรียนและแก้ปัญหาแก่ลูกค้า
  3. การบริหารความเสี่ยงจากการใช้บริการจากผู้ใช้บริการภายนอก (Risk Management) โดยให้ความสำคัญกับการประเมินและควบคุมดูแลความเสี่ยงที่เกิดจากการคัดเลือกและติดตามตรวจสอบกระบวนการทำงานของผู้ให้บริการภายนอกอย่างสม่ำเสมอ
  4. มีการวิเคราะห์ความคุ้มค่าในการใช้บริการจากบุคคลภายนอก และการจัดการห่วงโซ่การส่งมอบคุณค่าต่อลูกค้าและผู้ให้บริการ

 

นโยบายต่อการใช้บริการจากผู้ให้บริการภายนอก (Outsourcing Policy)

            ธนาคารกำหนดนโยบายและแนวปฏิบัติให้มีการใช้บริการจากผู้ใช้บริการภายนอก ดังนี้

  1. ต้องเป็นงานในกลุ่มงานหลักที่ไม่เกี่ยวข้องกับการตัดสินใจเชิงกลยุทธ์ (Non- Strategic Function)
    และสนับสนุนธุรกิจของสถาบันการเงิน (Non- Material Function) (รายละเอียดตามหลักเกณฑ์การจัดกลุ่มงาน
    (ตามเอกสารภาคผนวก 1 )
  2. ต้องใช้กับธุรกิจของธนาคารที่ทำให้ธนาคารได้ผลประโยชน์ หรือประสิทธิภาพในการดำเนินงานมากขึ้น
  3. ต้องเป็นงานที่สามารถเพิ่มคุณภาพของผลิตภัณฑ์และบริการตามห่วงโซ่คุณค่าของธนาคาร
    ในการส่งมอบให้ลูกค้า
  4. ต้องเป็นงานที่สนับสนุนและขับเคลื่อนองค์กรสู่วิสัยทัศน์ พันธกิจ ค่านิยม รวมถึงยุทธศาสตร์
    ด้านต่างๆของธนาคาร

 

 

 

 

 

 

 

 

แนวทางการดำเนินการเพื่อให้มีการใช้บริการจากภายนอก

จากหลักการที่พึงยึดถือในการใช้บริการจากบุคคลภายนอก ธนาคารได้กำหนดเป็นแนวทางการดำเนินการสำหรับหน่วยงานภายในธนาคารที่ใช้บริการจากผู้ให้บริการจากภายนอกต้องพึงนำไปปฏิบัติตามอย่างน้อย
ให้มีสาระสำคัญ ดังนี้

  1. เหตุและความจำเป็น

ต้องระบุหลักเกณฑ์ที่ชัดเจนเกี่ยวกับพิจารณาความจำเป็น ความเหมาะสมและความคุ้มค่าในการ
ใช้บริการจากบุคคลภายนอกสำหรับหน่วยงานใช้บริการจากบุคคลภายนอกธนาคาร

  1. กำหนดขอบเขตและลักษณะของงานที่ต้องใช้บริการจากบุคคลภายนอก

ต้องกำหนดขอบเขตสำหรับงานที่ต้องการใช้บริการจากบุคคลภายนอกให้มีความชัดเจนซึ่งเป็นงาน
ที่ไม่ซ้ำซ้อนกับขอบเขตที่มีผู้ดำเนินการอยู่แล้ว และสอดคล้องกับนโยบายฉบับนี้ ซึ่งจะเป็นประโยชน์ต่อธนาคาร

  1. การคัดเลือก คุณสมบัติขั้นต่ำของผู้ให้บริการภายนอก และกระบวนการว่าจ้าง

ต้องมีแนวทางในการกำหนดคุณสมบัติและคัดเลือกผู้ให้บริการภายนอก โดยจะต้องพิจารณาให้ครอบคลุมประเด็นสำคัญ ดังต่อไปนี้ เป็นอย่างน้อย

3.1 ความสามารถทางด้านเทคนิค ความเชี่ยวชาญ และประสบการณ์ในการดำเนินงาน

3.2 สถานะความมั่นคงทางการเงิน

3.3 ชื่อเสียงทางธุรกิจ ประวัติการถูกร้องเรียน หรือถูกฟ้องร้องดำเนินคดี

3.4 หลักเกณฑ์ที่ชัดเจนเกี่ยวกับการเลือกบุคคลภายนอกที่จะเข้ามาช่วยดำเนินการในงานที่ธนาคารกำหนดให้มีการใช้บริการจากบุคคลภายนอก

3.5 วัฒนธรรมองค์กรและนโยบายการให้บริการที่มีความเหมาะสมกับธนาคาร

3.6 ความสามารถในการปรับตัวตอบสนองพัฒนาการใหม่ๆ

3.7 ความเสี่ยงในกรณีผู้ให้บริการภายนอกให้บริการแก่สถาบันการเงินหลายแห่ง

  1. การควบคุมและติดตามประเมินผล

                        ต้องกำหนดให้มีการควบคุม ติดตาม และประเมินผลการดำเนินงานของผู้ให้บริการจากภายนอก

4.1 จัดให้มีระบริหารจัดการที่ชัดเจนในการกำกับดูแล ติดตาม ตรวจสอบ และประเมินผลการดำเนินงานผู้ให้บริการภายนอกอย่างเหมาะสม เพื่อให้มีมาตรฐานการควบคุมในการควบคุมภายในและการให้บริการเช่นเดียวกับธนาคารดำเนินการเอง รวมทั้งต้องตรวจสอบให้แน่ใจว่าทั้งธนาคารและผู้ให้บริการจากภายนอกได้ปฏิบัติตามกฎหมาย มาตรฐานการบัญชี และกฎเกณฑ์ที่เกี่ยวข้องกับดารดำเนินงานของธนาคารโดยเคร่งครัด

4.2 จัดให้มีการดำเนินการให้ผู้ให้บริการจากภายนอกจัดทำคู่มือการปฏิบัติงานและเอกสารที่เกี่ยวข้องรวมทั้งมีการปรับปรุงให้ทันสมัยอยู่เสมอ เพื่อประโยชน์ในการติดตามประเมินและการบริหารความเสี่ยงของธนาคาร

4.3 จัดให้มีพนักงานหรือหน่วยงานที่มีความเข้าใจในขอบเขต ลักษณะงานและกระบวนการทำงานของผู้ให้บริการจากภายนอก เพื่อให้สามารถติดตามและประเมินผลการปฏิบัติงานของผู้ให้บริการภายนอกได้อย่างถูกต้องและน่าเชื่อถือ

4.4 จัดให้มีการบันทึกประเด็นปัญหาความเสี่ยง ข้อมูลความเสียหาย รวมทั้งคำสั่งการจากทางการที่เกี่ยวข้องกับ Outsource ด้วยวิธีการประเมินตนเอง (Self – assessment) เพื่อให้หน่วยงานกำกับตรวจสอบได้เมื่อร้องขอ พร้อมทั้งรายงานข้อมูลรายงานข้อมูลดังกล่าวต่อผู้บริหารของสถาบันการเงินให้ทราบ

4.5 จัดให้มีการทบทวนหลักเกณฑ์ในการกำกับดูแลติดตาม ตรวจสอบ ประเมินผลบุคคลผู้ให้บริการจากภายนอกในแต่ละเรื่อง เพื่อให้มีความทันสมัยและสอดคล้องกับการเปลี่ยนแปลง

4.6 จัดให้มีกระบวนการติดตามประเมินผลเสียงของลูกค้าหรือผู้ใช้บริการที่มีต่อผู้ให้บริการจากภายนอก (Outsource) เช่น ความพึงพอใจ ความต้องการ และความคาดหวัง เป็นต้น เพื่อเป็นข้อมูลสำหรับใช้ประกอบการปรับปรุงระบบงาน และ/หรือ กระบวนงานในส่วนที่เกี่ยวข้องต่อไป

4.7 จัดให้มีการรวบรวมและจัดเก็บความรู้ รวมถึงถ่ายทอดความรู้อย่างเป็นระบบ ระหว่างธนาคารกับผู้ให้บริการจากภายนอก (Outsource) เพื่อให้สอดคล้องกับความพึงพอใจ ความต้องการ ความคาดหวังในแต่ละกลุ่มลูกค้าอย่างครบถ้วนและสม่ำเสมอ

  1. การบริหารความเสี่ยงและการควบคุมภายใน รวมถึงแผนรองรับกำดำเนินการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan)

ต้องมีการกำหนดแนวทางการบริการความเสี่ยงที่เกิดจากการใช้บริการจากบุคคลภายนอกอย่างชัดเจนเป็นลายลักษณ์อักษร ให้เหมาะกับความสำคัญของงานที่ใช้บริการบุคคลภายนอก และสอดคล้องกับนโยบายความเสี่ยงโดยรวม รวมทั้งสื่อสารให้บุคคลที่เกี่ยวข้องเข้าใจและปฏิบัติตามแนวดังกล่าวอย่างเคร่งครัด โดยต้องพิจารณาให้ครอบคลุมประเด็นสำคัญอย่างน้อยดังต่อไปนี้

5.1 จัดให้มีการประเมินความเสี่ยงในการใช้บริการจากบุคคลภายนอก

5.2 จัดให้มีการระบุความสำคัญของงานที่ใช้บริการจากบุคคลภายนอก โดยประเมินความเสี่ยงและผลระทบที่อาจเกิดขึ้นจากการหยุดชะงักของงานนั้น

5.3 จัดให้มีการกำหนดให้ผู้ให้บริการจากภายนอกทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง  (Business Continuity Plan : BCP) พร้อมจัดสรรทรัพยากรรองรับการดำเนินงานอย่างงเหมาะสมและเพียงพอโดยสอดคล้องกับนโยบายการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) ของธนาคาร โดยเฉพาะกรณีที่เกิดการหยุดชะงักของงานสำคัญ (Significant Activity) หรืองานที่มีผลกนระทบต่อผู้ใช้บริการวงกว้าง(Wide Impact) และต้องจัดให้มีการทดสอบแผนฯ ร่วมกับ Outsource หลัก (Key Service Provider) อย่างสม่ำเสมอและมีการบันทึกการทดสอบด้วย

 

 

  1. การรักษาความปลอดภัยและคามลับของข้อมูลของลูกค้า และขอธนาคาร

                        ต้องกำหนดให้ผู้บริการจากภายนอกมีระบบรักษาความลับและความปลอดภัยในข้อมูลของลูกค้าและของธนาคาร รวมถึงการดูแลลูกค้าอย่างเหมาะสม โดยเน้นเรื่อง การดูแลเรื่องข้อร้องเรียนและแก้ปัญหาแก่ลูกค้า และรับผิดชอบแก่ลูกค้าเสมือนเป็นผู้ดำเนินการเอง ซึ่งควรมีประเด็นที่ให้ความสำคัญดังนี้

6.1 จัดให้มีระบบรักษาความลับและความปลอดภัยในข้อมูลของลูกค้าและของธนาคารเป็นอย่างดี รวมทั้ง ต้องตรวจสอบดังกล่าวอย่างเหมาะสม และควบคุมดูแลพนักงานในการรักษาความลับของข้อมูลลูกค้าและของธนาคารอย่างเข้มงวด

6.2 จัดให้มีระบบดูแลเรื่องร้องเรียนและแก้ปัญหาแก่ลูกค้าเหมาะสมและเพียงพอรวมทั้งรายงานต่อผู้บริหารระดับสูงของธนาคารให้ได้รับทราบเรื่องร้องเรียนและผลการแก้ปัญหาร้องเรียนเป็นระยะ

6.3 จัดให้มีการรายงานข้อมูลที่อาจมีผลกระทบต่อลูกค้าให้ธนาคารทราบล่วงหน้า (Information Disclosure) จากการมอบหมายให้ผู้ให้บริการจากภายนอกดำเนินการแทนธนาคาร

  1. การลงโทษกรณีไม่สามารถดำเนินการตามสัญญาหรือข้อตกลง

ต้องกำหนดบทลงโทษที่ชัดเจนและเหมาะสมกับลักษณะงานที่มีการใช้บริการจากผู้ให้บริการภายนอก สำหรับกรณีผู้ให้บริการจากภายนอกไม่สามารถปฏิบัติตามข้อกำหนดในการดำเนินงาน การดูแลและความรับผิดชอบตามที่กำหนดในสัญญาหรือข้อตกลง

  1. การพิจารณาทบทวนความเหมาะสมของการใช้บริการจากบุคคลภายนอก

                        8.1 จัดให้มีการทบทวนการจัดจ้างหรือต่อสัญญาผู้ให้บริการจากภายนอกตามความเหมาะสมของผลการประเมินลักษณะงานที่ธนาคารได้กำหนดขึ้นในสัญญาหรือข้อตกลง

8.2 จัดให้มีการทบทวนเหตุผลและความจำเป็นของการใช้บริการจากบุคคลภายนอกในการดำเนินการ เพื่อให้สอดคล้องกับนโยบายและยุทธศาสตร์ของธนาคารในการดำเนินการจัดจ้างหรือต่อสัญญาหรือจัดทำข้อตกลงกับผู้ให้บริการจากบุคคลภายนอก

  1. การจัดทำสัญญาหรือข้อตกลง

ให้มีการทำสัญญาหรือข้อตกลงกับผู้ให้บริการจากภายนอกอย่างเป็นลายลักษณ์อักษรโดยคำนึงถึงสาระสำคัญของแนวทางการดำเนินงานที่ได้กล่าวข้างต้น

  1. การรายงานข้อมูลต่อหน่วยงาน

                        10.1 ธนาคารต้องรายงานข้อมูลการใช้บริการจากผู้ให้บริการภายนอก ตามแบบรายงานภาพรวมการใช้บริการจากผู้ให้บนริการภายนอก เป็นประจำทุกปี ปีละหนึ่งครั้ง ภายในวันที่ 31 มีนาคม ของทุกปี หรือตามหน่วยงานกำกับร้องขอ

10.2 ธนาคารต้องประเมินแนวทางและประสิทธิภาพของการบริหารความเสี่ยงที่เกี่ยวข้องกับการใช้บริการจากผู้ให้บริการภายนอกในภาพรวม โดยพิจารณาตามหลักเกณฑ์ที่หน่วยงานกำกับกำหนด

 

ข้อกำหนดพิเศษเพื่อการปฏิบัติตามนโยบาย

ในการนำนโยบายนี้มาใช้ อาจจะทำให้การใช้บริการจากผู้ให้บริการภายนอก (Outsourcing) ที่ดำเนินการอยู่ในปัจจุบัน อาจไม่มีเนื้อหาและดำเนินการที่เป็นไปตามข้อกำหนดตามนโยบายนี้ ธนาคารจึงกำหนดให้อนุโลมหน่วยงานที่มีการใช้บริการอยู่ในปัจจุบันให้ดำเนินการตามแนวทาง และวิธีปฏิบัติแบบเดิมตนกว่าจะหมดสัญญาได้ โดยเริ่มต้นการจัดหาให้ผู้บริการจากภายนอกจะต้องยึดถือตามแนวนโยบายนี้

สำหรับ หน่วยที่มีการใช้นโยบายการใช้บริการจากผู้ให้บริการภายนอก ด้านเทคโนโลยีสารสนเทศ
(IT Outsourcing) ของธนาคาร เนื่องจาก ธปท. ได้กำหนดนโยบายและแนวทางปฏิบัติในการใช้บริการจากผู้ให้บริการภายนอก ด้านงานเทคโนโลยีสารสนเทศ  (IT Outsourcing) ธนาคารกำหนดให้ยึดตามหลักการ หลักเกณฑ์ และแนวนโยบายตามประกาศ ธปท. เรื่อง นโยบายและแนวทางปฏิบัติในการใช้บริการจากผู้ให้บริการภายนอก ด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing)