การทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย

มิถุนายน 24, 2009

พูดคุยกันถึงเรื่องเกี่ยวกับการทุจริตและการตรวจสอบการทุจริตมาก็หลายครั้งหลายครา โดยเฉพาะอย่างยิ่งการทุจริตในวงการของสถาบันการเงิน ซึ่งพักนี้มีข่าวคราวการทุจริตของสถาบันการเงินเปิดเผยออกมาให้ทราบกันหลายองค์กรทีเดียว ผมคิดว่าเป็นเรื่องสำคัญที่ผู้บริหารองค์กร ผู้ตรวจสอบ ต้องให้ความสนใจเป็นอย่างยิ่ง

เมื่อพูดถึงการทุจริตและการตรวจสอบ ยังคงมีเรื่องราวอีกมากมายที่น่าสนใจและต้องติดตาม อย่าเพิ่งเบื่อกันก่อนนะครับ เพราะในวันนี้ผมก็จะกล่าวถึงการทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย ซึ่งก็ยังเป็นเรื่องราวของการทุจริตอยู่เช่นเดิม ไปติดตามกันต่อเลยดีกว่าครับ

การทุจริตกับจุดอ่อนในการพัฒนาระบบเทคโนโลยีสารสนเทศ
การทุจริต คือ การกระทำใด ๆ ไม่ว่าจะใช้วิธีธรรมดา (Manual) หรือใช้ระบบเทคโนโลยีสารสนเทศ (IT) เข้าช่วย หรือผสมผสานกันไป ซึ่งกฎหมายหรือระเบียบที่ระบุว่าเป็น
– การฉ้อฉล
– หลอกลวง
– ปกปิด หรือ
– ละเมิดอำนาจหน้าที่ตามความรับผิดชอบหรือจรรยาบรรณในการปฏิบัติงานที่ดีและ
– เป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับหรือมีเหตุบีบคั้นจากผู้อื่น
– เป็นการกระทำของบุคคล กลุ่มบุคคล หรือองค์กร เพื่อให้ได้มาซึ่งทรัพย์สินเงินทอง หรือข้อมูล หรือบริการพิเศษ เช่น การเพิกเฉย ละเลย การจ่ายเงินหรือให้บริการ หรือ

ตามคำจำกัดความของสมาคมผู้ตรวจสอบภายในของอเมริกา – สากล
– การทุจริต เป็นการกระทำเพื่อก่อให้เกิดผลประโยชน์ส่วนตัวหรือผู้อื่น หรือเอื้อผลประโยชน์ต่อธุรกิจอื่น ซึ่งเป็น Conflict of Interest ไม่ว่าจะทางตรงหรือทางอ้อม

จุดอ่อนที่ก่อให้เกิดการทุจริตด้านเทคโนโลยีสารสนเทศ
องค์กรที่มีผู้บริหารที่เข้าใจในเรื่องการบริหารความเสี่ยง (Risk Management) ที่มีการจัดทำระบบการควบคุมภายใน และจัดให้มีการตรวจสอบตามฐานความเสี่ยงซึ่งอยู่ภายในการกำกับดูแลกิจการที่ดีนั้น ควรจะได้ให้ความสนใจในการจัดให้มีและฝังระบบ (Embeded) การควบคุมและแนวการตรวจสอบภายในไว้ตั้งแต่ขั้นตอนการพัฒนาระบบงาน เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพตั้งแต่เริ่มแรก โดยกำหนดร่องรอยสำหรับการบริหารงานหรือแนวการตรวจสอบเป็น Audit Program ในแต่ละงาน และจัดให้มีผู้ตรวจสอบภายในมีส่วนร่วมจัดทำข้อมูลที่ใช้ในการทดสอบและประเมินผลการทดสอบก่อนนำระบบงานใหม่ไปใช้

ทั้งนี้ เพื่อป้องกันปัญหาต่างๆ ในการปฏิบัติงานตรวจสอบในภาคปฏิบัติจริง เพราะการไม่มีผู้ตรวจสอบภายใน (Internal Auditor) เข้าร่วมประเมินความน่าเชื่อถือได้ของระบบการปฏิบัติงาน ซึ่งรวมทั้งข้อมูลที่ผู้ใช้ (User) ต้องการในระดับต่าง ๆ ตามที่กำหนดไว้ในกรอบการปฏิบัติงาน ไม่ว่าหน่วยงานนั้น ๆ จะพัฒนา Application Program ขึ้นมาเอง หรือจะใช้โปรแกรมสำเร็จรูป (Package) จากผู้พัฒนาระบบงานภายนอกแล้วมาปรับระบบงานและการจัดทำรายงานให้เหมาะสมกับองค์กรนั้น ๆ บางส่วน (Modify and/or Customize) ก็ตาม

วิธีการดังกล่าวจะมีลักษณะการปฏิบัติงานเชิงป้องกันปัญหา (Proactive) ก่อนเกิดปัญหาต่าง ๆ ในการบริหารงานและการปฏิบัติงานของผู้บริหารและผู้ตรวจสอบภายในองค์กร ซึ่งจะสร้างประสิทธิภาพและประสิทธิผลในการดำเนินการและสอดคล้องกับการบริหารความเสี่ยง (Risk Management) ขององค์กรยุคปัจจุบันซึ่งบริหารในลักษณะ “ชี้ปัญหาให้ออก บอกประเด็นที่ต้องการทดสอบให้ถูก ชี้ประเด็นที่ต้องการในการตรวจสอบให้ได้ แล้วจัดวางระบบให้สอดคล้องกับความต้องการอย่างมีประสิทธิภาพก่อนที่จะเกิดปัญหาและความเสียหายภายหลัง”… ให้สอดคล้องกับกระบวนปฏิบัติงานของธุรกิจ โดยคำนึงถึงประสิทธิภาพของการใช้ระบบเทคโนโลยีสารสนเทศที่สามารถจะเอื้อประโยชน์ต่อการบริหารงานและการดำเนินงานขององค์กรในรูปแบบต่าง ๆ โดยเฉพาะการใช้เทคโนโลยีสารสนเทศเพื่อการจัดการ ควบคุม ตรวจสอบ เพื่อให้ได้ผลลัพธ์ที่ต้องการอย่างอัตโนมัติ รวดเร็ว และถูกต้องอย่างทันเวลา

ท่านผู้อ่านมีความเห็นเป็นอย่างไรบ้างครับ สำหรับแนวคิดและวิธีการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่จะเกิดปัญหา ในครั้งหน้าผมจะมาพูดคุยกันต่อถึงการพัฒนาระบบงาน และจุดอ่อนของการพัฒนาระบบงานภายนอกที่นำมาปรับใช้ เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย

มิถุนายน 24, 2009

พูดคุยกันถึงเรื่องเกี่ยวกับการทุจริตและการตรวจสอบการทุจริตมาก็หลายครั้งหลายครา โดยเฉพาะอย่างยิ่งการทุจริตในวงการของสถาบันการเงิน ซึ่งพักนี้มีข่าวคราวการทุจริตของสถาบันการเงินเปิดเผยออกมาให้ทราบกันหลายองค์กรทีเดียว ผมคิดว่าเป็นเรื่องสำคัญที่ผู้บริหารองค์กร ผู้ตรวจสอบ ต้องให้ความสนใจเป็นอย่างยิ่ง

เมื่อพูดถึงการทุจริตและการตรวจสอบ ยังคงมีเรื่องราวอีกมากมายที่น่าสนใจและต้องติดตาม อย่าเพิ่งเบื่อกันก่อนนะครับ เพราะในวันนี้ผมก็จะกล่าวถึงการทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย ซึ่งก็ยังเป็นเรื่องราวของการทุจริตอยู่เช่นเดิม ไปติดตามกันต่อเลยดีกว่าครับ

การทุจริตกับจุดอ่อนในการพัฒนาระบบเทคโนโลยีสารสนเทศ
การทุจริต คือ การกระทำใด ๆ ไม่ว่าจะใช้วิธีธรรมดา (Manual) หรือใช้ระบบเทคโนโลยีสารสนเทศ (IT) เข้าช่วย หรือผสมผสานกันไป ซึ่งกฎหมายหรือระเบียบที่ระบุว่าเป็น
– การฉ้อฉล
– หลอกลวง
– ปกปิด หรือ
– ละเมิดอำนาจหน้าที่ตามความรับผิดชอบหรือจรรยาบรรณในการปฏิบัติงานที่ดีและ
– เป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับหรือมีเหตุบีบคั้นจากผู้อื่น
– เป็นการกระทำของบุคคล กลุ่มบุคคล หรือองค์กร เพื่อให้ได้มาซึ่งทรัพย์สินเงินทอง หรือข้อมูล หรือบริการพิเศษ เช่น การเพิกเฉย ละเลย การจ่ายเงินหรือให้บริการ หรือ

ตามคำจำกัดความของสมาคมผู้ตรวจสอบภายในของอเมริกา – สากล
– การทุจริต เป็นการกระทำเพื่อก่อให้เกิดผลประโยชน์ส่วนตัวหรือผู้อื่น หรือเอื้อผลประโยชน์ต่อธุรกิจอื่น ซึ่งเป็น Conflict of Interest ไม่ว่าจะทางตรงหรือทางอ้อม

จุดอ่อนที่ก่อให้เกิดการทุจริตด้านเทคโนโลยีสารสนเทศ
องค์กรที่มีผู้บริหารที่เข้าใจในเรื่องการบริหารความเสี่ยง (Risk Management) ที่มีการจัดทำระบบการควบคุมภายใน และจัดให้มีการตรวจสอบตามฐานความเสี่ยงซึ่งอยู่ภายในการกำกับดูแลกิจการที่ดีนั้น ควรจะได้ให้ความสนใจในการจัดให้มีและฝังระบบ (Embeded) การควบคุมและแนวการตรวจสอบภายในไว้ตั้งแต่ขั้นตอนการพัฒนาระบบงาน เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพตั้งแต่เริ่มแรก โดยกำหนดร่องรอยสำหรับการบริหารงานหรือแนวการตรวจสอบเป็น Audit Program ในแต่ละงาน และจัดให้มีผู้ตรวจสอบภายในมีส่วนร่วมจัดทำข้อมูลที่ใช้ในการทดสอบและประเมินผลการทดสอบก่อนนำระบบงานใหม่ไปใช้

ทั้งนี้ เพื่อป้องกันปัญหาต่างๆ ในการปฏิบัติงานตรวจสอบในภาคปฏิบัติจริง เพราะการไม่มีผู้ตรวจสอบภายใน (Internal Auditor) เข้าร่วมประเมินความน่าเชื่อถือได้ของระบบการปฏิบัติงาน ซึ่งรวมทั้งข้อมูลที่ผู้ใช้ (User) ต้องการในระดับต่าง ๆ ตามที่กำหนดไว้ในกรอบการปฏิบัติงาน ไม่ว่าหน่วยงานนั้น ๆ จะพัฒนา Application Program ขึ้นมาเอง หรือจะใช้โปรแกรมสำเร็จรูป (Package) จากผู้พัฒนาระบบงานภายนอกแล้วมาปรับระบบงานและการจัดทำรายงานให้เหมาะสมกับองค์กรนั้น ๆ บางส่วน (Modify and/or Customize) ก็ตาม

วิธีการดังกล่าวจะมีลักษณะการปฏิบัติงานเชิงป้องกันปัญหา (Proactive) ก่อนเกิดปัญหาต่าง ๆ ในการบริหารงานและการปฏิบัติงานของผู้บริหารและผู้ตรวจสอบภายในองค์กร ซึ่งจะสร้างประสิทธิภาพและประสิทธิผลในการดำเนินการและสอดคล้องกับการบริหารความเสี่ยง (Risk Management) ขององค์กรยุคปัจจุบันซึ่งบริหารในลักษณะ “ชี้ปัญหาให้ออก บอกประเด็นที่ต้องการทดสอบให้ถูก ชี้ประเด็นที่ต้องการในการตรวจสอบให้ได้ แล้วจัดวางระบบให้สอดคล้องกับความต้องการอย่างมีประสิทธิภาพก่อนที่จะเกิดปัญหาและความเสียหายภายหลัง”… ให้สอดคล้องกับกระบวนปฏิบัติงานของธุรกิจ โดยคำนึงถึงประสิทธิภาพของการใช้ระบบเทคโนโลยีสารสนเทศที่สามารถจะเอื้อประโยชน์ต่อการบริหารงานและการดำเนินงานขององค์กรในรูปแบบต่าง ๆ โดยเฉพาะการใช้เทคโนโลยีสารสนเทศเพื่อการจัดการ ควบคุม ตรวจสอบ เพื่อให้ได้ผลลัพธ์ที่ต้องการอย่างอัตโนมัติ รวดเร็ว และถูกต้องอย่างทันเวลา

ท่านผู้อ่านมีความเห็นเป็นอย่างไรบ้างครับ สำหรับแนวคิดและวิธีการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่จะเกิดปัญหา ในครั้งหน้าผมจะมาพูดคุยกันต่อถึงการพัฒนาระบบงาน และจุดอ่อนของการพัฒนาระบบงานภายนอกที่นำมาปรับใช้ เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn