คณะกรรมการ ผู้บริหารระดับสูง กับความเข้าใจในกระบวนการบริหารความเสี่ยงที่เกี่ยวข้องกับ IT และการทุจริต

มิถุนายน 1, 2009

วันนี้ผมขอพูดต่อถึงเรื่องที่เกี่ยวข้องกับการทุจริต ซึ่งมีข่าวใหม่ ๆ เพิ่มขึ้นมาเรื่อย ๆ ในวงการสถาบันการเงินในระยะนี้ ข่าวล่าสุดก็คือ ข่าวของธนาคารออมสินที่ลูกค้า update สมุดบัญชีเงินฝากพบว่า มีเงินเข้าบัญชี จำนวนกว่า 8 หมื่นล้านบาท เรื่องนี้เกิดขึ้นมาอาจจะนานพอสมควร แต่เพิ่งมาเปิดเผยเมื่อสัปดาห์ก่อนนี้เอง รวมทั้งกรณีที่ลูกค้าของธนาคารออมสินรายหนึ่ง ฝากเงินในบัญชีประมาณ 4 แสน แต่เจ้าหน้าที่ของธนาคารคีย์ตัวเลขเป็นเงิน 4 ล้านบาท ตามที่ปรากฎเป็นข่าว ผู้บริหารของธนาคารได้ชี้แจงในกรณีแรกว่า เกิดจากเครื่องพิมพ์ขัดข้องและพิมพ์ผิด? และในกรณีหลังเกิดจากเจ้าหน้าที่คีย์ข้อมูลผิดพลาด…

ผมตั้งใจจะเร่งรัดกรณีศึกษาที่เป็น Lesson – Learned ของการทุจริตการบริหารเงินกองทุนเลี้ยงชีพของ Virginia ให้จบในวันนี้ เพื่อจะได้ให้ข้อสังเกตและข้อคิดเห็นในเชิงสร้างสรรตามหลักการของกระบวนการบริหารความเสี่ยงที่ดีที่เกี่ยวข้องกับ IT Risk Management บางมุมมองของ ธอส. ธนาคารออมสิน ธนาคารธนชาต สาขาอุบลราชธานี

กรณีการทุจริตด้านคอมพิวเตอร์ของ Virginia มีข้อคิดที่ท่านผู้อ่านควรพิจารณาควบคู่กันไประหว่างการอ่านเพื่อการวิเคราะห์การทุจริต ซึ่งใช้เป็น Lesson – Learned ได้ดี มีดังต่อไปนี้

การควบคุมภายในระบบ MCA (MCA Control Process)
เนื่องจากเอกสารคำอธิบายเกี่ยวกับระบบ MCA และ Refund System ที่มีอยู่ไม่เพียงพอ เพราะฉะนั้นผู้ตรวจสอบต้องอาศัยการสอบถามเรื่องการควบคุมจากพนักงานของ VSRS

VSRS ใช้ Control Book ควบคุมยอดคงเหลือของ MCA รายการบันชีใด ๆ ก็ตามที่มีผลกระทบต่อยอดเงินรับฝากคงเหลือ (Contribution Balances) จะต้องบันทึกลงใน Control Book ซึ่งมีลักษณะเป็นแผ่นๆ (Control Sheet) แผ่นหนึ่งใช้สำหรับบันทึกรายการของนายจ้าง 1 ราย ในเวลา 1 เดือน รูปภาพที่ 5 เป็นตัวอย่าง Control Sheet ของนายจ้างรหัสเลขที่ 5234 เดือนพฤศจิกายน 2518 บรรทัดแรกของยอดยกมาของเดือนก่อน บรรทัดต่อมาเป็นจำนวนเงินรวมที่ส่งในเดือน พฤศจิกายน US $2,805.20 ในระหว่างเดือนมีรายการขอถอนเงินคืนจากสมาชิก 2 ราย US $4,527.64 และ $179.64 ดอกเบี้ย US $2,275.68 และ $51.00 ตามลำดับ ยอดคงเหลือสิ้นเดือนพฤศจิกายนจะเป็นยอดที่ยกไปเดือนธันวาคม

Control Book ของแต่ละเดือนจะรวม Control sheet ของนายจ้างแต่ละใบ ดังนั้นยอดคงเหลือใน Control Book จะต้องตรงกับยอดคงเหลือในบัญชีของนายจ้างแต่ละรายเช่นเดียวกัน รายการฝากและถอนเงินบันทึกไว้ MCA Master File และ Control Book ก็จะต้องตรงกับรายการในสมุดบัญชีเงินสดรับ และเงินสดจ่ายตามระบบการบัญชีรวม (Central Accounting System)

เมื่อสิ้นสุดปีการเงินแต่ละปี ฝ่ายประมวลข้อมูลจะคัดลอก (Copy) ข้อมูลใน MCA Master File ไปลงในเทปแม่เหล็ก (Magnetic Tape) ซึ่งเรียกว่า MCA Year End History Tape เทปนี้จะมีข้อมูลสมบูรณ์ก็ต่อเมื่อนายจ้างรายสุดท้ายได้ส่งรายงาน Contribution Report ของเดือนมิถุนายน สิ้นสุดวันที่ 30 มาให้เรียบร้อยแล้ว เทปม้วนนี้มีความสำคัญต่อการตรวจสอบ (Audit Trail) เพราะมียอดคงเหลือในบุญชีของสมาชิกแต่ละราย ณ วันที่ 30 มิถุนายน ซึ่งเมื่อรวมกันแล้วควรจะเท่ากันกับยอดรวมในสมุดบัญชีคุมยอดทั่วไป (General Ledger)

สิ่งที่ค้นพบจาการตรวจสอบเบื้องต้น (Preliminary Review Findings)
การตรวจสอบระบบ MCA และ Refund เบื้องต้นเสร็จสิ้นในเดือนกรกฎาคม 2520 ผู้ตรวจสอบ พบว่าระบบการควบคุมภายในมีจุดอ่อนที่ร้ายแรง (Serious Weakness) จึงแจ้งให้ฝ่ายบริหารของ VSRS ยุตินโยบายการถอนเงินคืนไปโดยที่ยังไม่ได้รับรายงาน Contribution จากฝ่ายนายจ้าง (Policy of Refunding Unreported Contributions) แต่ฝ่ายบริหารของ VSRS ไม่มีทีท่าว่าจะทำตามคำแนะนำดังกล่าว ดังนั้นผู้ตรวจสอบจึงตัดสินใจที่ทดลองทำการทุจริตโดยอาศัยคอมพิวเตอร์ (Computer Fraud) เพื่อพิสูจน์ให้เห็นว่า Refund System นั้นง่ายต่อการฉ้อฉลโดยบุคคลใดบุคคลหนึ่ง (Manipulation)

ผู้ตรวจสอบวางแผนจะดำเนินการตรวจสอบเพื่อหาร่องรอยของการทุจริตที่อาจเป็นไปได้ เพื่อแสดงให้เห็นว่าพนักงานของ VSRS คนใดคนหนึ่งที่มีความชำนาญด้านโปรแกรมคอมพิวเตอร์มีความรู้เกี่ยวกับระบบ MCA และ Refund และเรียกใช้ MCA Master File ได้ ก็สามารถทำการทุจริตได้ตามลำพังโดยไม่ต้องกระทำหรือวางแผนร่วมกับผู้อื่นทั้งนี้ก่อนที่จะดำเนินการตรวจสอบวิธีการทุจริตโดยใช้คอมพิวเตอร์ผู้ตรวจสอบได้ขออนุมัติจากผู้อำนวยการของ APA ก่อนแล้ว

ในเดือนกรกฎาคม 2520 ผู้ตรวจสอบเริ่มดำเนินการามแผนงานตรวจสอบการยักยอกเงินจาก VSRS โดยการเขียนโปรแกรมเพื่อสร้างบัญชีปลอมใน MCA Master File จากนั้นก็ใช้โปรแกรมบัญชีที่สองโอนเงินจากบัญชีอื่นมาใส่ไว้ในบัญชีปลอม เสร็จแล้วก็ปลอมแปลงเอกสาร VSRS-1 นำไปเก็บไว้ในแฟ้มภายในห้องเก็บ VSRS-1 ปลอม ส่ง VSRS-3 ไปให้ VSRS โดยทางไปรษณีย์ 6 สัปดาห์ หลังจากนั้นจะมีเช็ค 3 ใบ มูลค่ามากกว่า US $ 3,000 เหรียญ ส่งโดยทางไปรษณีย์มาตามที่อยู่ในท่อนล่างของ VSRS-3 การทดลองทำการทุจริตในครั้งนี้ผู้ตรวจสอบอาศัยเพียงแต่ความรู้ด้านการตรวจสอบเท่านั้น ไม่ได้ใช้อำนาจหน้าที่อื่นใดในฐานะผู้ตรวจสอบ ซึ่งพนักงานของ VSRS ไม่สามารถกระทำได้

เมื่อฝ่ายบริหารทราบผลของการทดลองการทำการทุจริต ก็แสดงอาการไม่พอใจที่ผู้ตรวจสอบเข้าไปแทรกแซงระบบคอมพิวเตอร์ของ VSRS และชี้ให้เห็นว่าผู้ตรวจสอบสามารถยักยอกได้แต่เพียงเงินจำนวนน้อย ๆ เท่านั้น หากเป็นรายการใหญ่ ๆ จะต้องถูกจับได้อย่างแน่นอน

ผู้ตรวจสอบจะดำเนินการตรวจสอบเบื้องต้นต่อไปตามจุดอื่น ๆ ของ VSRS และหลังจากเสร็จสิ้นการตรวจสอบเบื้องต้นแล้ว ได้สรุปสิ่งสำคัญ ๆ ที่พบจากการตรวจสอบ ส่งให้กับผู้บริหารของ VSRS ดังนี้
1. ใน MCA Master File ไม่แสดงรายการเคลื่อนไหวของบัญชี คงมีเฉพาะยอดคงเหลือปัจจุบันและดอกเบี้ยเท่านั้น
2. ในระหว่างปีการเงิน 2516 และ 2517 บัญชีสมาชิกทั้งหมดของนายจ้าง 470 ราย สูญหายและถูกทำลาย, ปี 2518 เทปที่ใช้เก็บข้อมูลการเงินคืนในอดีต (Refund Transaction History Tape) มีรอยขูดขีด และไม่มีเทปชุดสำรอง
3. VSRS มีปัญหาสำคัญยิ่งในด้านการควบคุมความถูกต้องของข้อมูลทางบัญชี เนื่องจากการที่นายจ้างไม่ส่ง Contribution Reports มาให้เพียงแต่ส่งเช็คและใบนำส่งเช็คให้ภายใน 30 วันนับจากวันสิ้นเดือน (Reporting Period) ตัวอย่าง เช่น งวด 30 มิถุนายน 2517 มีองค์การของรัฐ 94 แห่งที่ไม่ส่งรายงานดังกล่าวให้ VSRS จนกระทั่งเลยกำหนดไปแล้ว 5 เดือนหรือมากกว่านั้น ในจำนวนนี้มี 6 แห่งที่ไม่ได้รายงานเป็นเวลา 1 หรือ 2 ปี ทำให้ VSRS ไม่สามารถจัดทำงบแสดงการเงินได้
4. ฝ่ายบริหารยินยอมให้คืนเงินแก่สมาชิกรายที่ออกจากงานในระหว่างนายจ้างยังส่ง Contribution Report มาให้ไม่ครบถ้วน ทั้งนี้เป็นผลมาจากการที่นายจ้างไม่ยอมส่งรายงานให้ทันเวลา
5. นับตั้งแต่ปี 2516 ไม่มีการกระทบยอด (Reconciliation) ข้อมูลใน MCA Master File กับรายการบัญชีในสมุดบัญชีเงินสดรับและเงินสดจ่าย ในปีแรกที่เริ่มใช้ระบบ MCA การกระทบยอดข้อมูลทำได้ไม่ยุ่งยากนัก ต่อมาเมื่อมีการยินยอมให้คืนเงินได้โดยไม่ต้องรอรายงานจากนายจ้าง ประกอบกับเอกสารที่ใช้ในการบันทึกรายการใน MCA Master File และสมุดบัญชีไม่สามารถใช้ยันกันได้ จึงทำให้ไม่สามารถกระทบยอดได้โดยสิ้นเชิง ในขณะที่ตรวจสอบพบว่ามีผลต่างระหว่างจำนวนเงินในบัญชีกับ Control Book อยู่ US $10 เหรียญ
6. การแบ่งแยกหน้าที่ในฝ่ายประมวลยังไม่ดีพอ แผนก Contribution Reporting Section ซึ่งมีหน้าที่จัดทำรายการนำฝาก (Contribution Transactions) และคืนเงิน (Refund Cards) อยู่ภายใต้การบังคับบัญชาของผู้จัดการฝ่ายประมวลข้อมูล และยิ่งไปกว่านั้นผู้จัดการฝ่ายฯ ยังรับผิดชอบในการดูแลความถูกต้องของยอดรวมใน Control Books อีกด้วย
7. ผู้จัดการฝ่ายประมวลข้อมูลในฐานะที่เป็นผู้วิเคราะห์ระบบงานและเขียนโปรแกรม สามารถเข้าไปใช้แฟ้มข้อมูลและโปรแกรมได้โดยไม่จำกัด

จากผลของการตรวจสอบ ผู้ตรวจสอบได้สั่งการอีกครั้งหนึ่ง
– ให้ VSRS ยุติการยินยอมคืนเงินโดยที่ยังไม่ได้รับรายงาน Contribution ทันที
– ให้ VSRS จัดทำเอกสารคำอธิบายระบบงาน คู่มือปฏิบัติงาน
– ให้กระทำการกระทบยอดข้อมูลในคอมพิวเตอร์ กับรายการในสมุดบัญชีที่สำคัญๆ และจะต้องทำให้เสร็จก่อนที่ APA จะเริ่มงานตรวจสอบต่อไป ดังนั้น VSRS จึงจ้างบริษัทสอนบัญชีมาดำเนินการกระทบยอดข้อมูลตามคำสั่งของผู้สอบบัญชี แต่การทำงานของบริษัทสอบบัญชีล่าช้า กลุ่มผู้ตรวจสอบของ APA จึงตัดสินใจทำงานชิ้นนี้ให้เสร็จเอง เพื่อประหยัดเงินที่จ่ายให้กับบริษัทสอบบัญชี

กรอบการกำกับดูแลของ ธปท.

กรอบการกำกับดูแลของ ธปท.

การค้นพบการทุจริต (The Discovery of Fraud)
ผู้ตรวจสอบกะว่าจะทำการกระทบยอดข้อมูลให้เสร็จสิ้นภายในเดือนธันวาคม 2520 จากนั้นก็จะกระทบยอดรายการในสมุดบัญชีของ VSRS กับรายการในสมุดบัญชีของสำนักงานบัญชีกลางของรัฐ ซึ่งเป็นมาตรฐานการตรวจสอบที่ APA ใช้เป็นประจำในการตรวจสอบองค์กรของรัฐ

เช้าวันที่ 23 กุมภาพันธ์ 2521 ผู้ตรวจสอบค้นพบว่าจำนวนเงินที่บันทึกในสมุดบัญชีเงินสดจ่ายของ VSRS ไม่ตรงกับที่บันทึกในสมุดบัญชีของสำนักงานบัญชีกลาง ผู้ตรวจสอบจึงขอสลิป (Refund Voucher) ต้นฉบับจากสำนักงานบัญชีกลางมาเปรียบเทียบกับสลิปชุดสำเนาที่เก็บไว้ในแฟ้มของแผนก Refund Section ผู้ตรวจสอบพบว่ามีการแก้ไขสลิปต้นฉบับ และแก้ไขยอดเงินรวมในใบปะหน้าสลิปให้สอดคล้องกัน แต่มิได้แก้ไขเอกสารชุดสำเนา

ผู้ตรวจสอบได้นำสลิปที่ได้รับการแก้ไขไปให้หัวหน้าผู้ตรวจสอบที่รับผิดชอบในการตรวจสอบ VSRS และผู้อำนวยการของ APA พิจารณา ขอข้อมูลเพิ่มเติมจากสำนักงานสรรพากรของรัฐ (State Department of Taxation) เพื่อพิสูจน์ว่าชื่อผู้รับเงินและหมายเลขประกันสังคมนั้นเป็นของจริงหรือของปลอม ผลการพิสูจน์ปรากฏว่าเป็นรายงานถอนเงินปลอม

ประมาณ 2 โมงเช้า เจ้าหน้าที่ของ APA ที่ควบคุมการตรวจสอบ IT ได้รับแจ้งว่ามีการทุจริตเกิดขึ้น และขอให้ตรวจสอบายละเอียดของเอกสารที่เกี่ยวข้องใหม่ เนื่องจากรายการถอนเงินปลอมนั้นปรากฏอยู่ในสลิปที่พิมพ์ด้วยเรื่องคอมพิวเตอร์ ดังนั้นผู้ควบคุมการตรวจสอบ IT จึงสรุปได้ว่ามีการใช้คอมพิวเตอร์เป็นเครื่องมือในการทำทุจริตโดยทางใดทางหนึ่ง

4 โมงเช้า ผู้ตรวจสอบได้ยื่นหลักฐานการทุจริตให้แก่ผู้อำนวยการและรองผู้อำนวยการของ VSRS และได้รายงานการทุจริตให้สำนักงานอัยการประจำรัฐ ตำรวจประจำรัฐ และผู้ว่าการรัฐ Virginia ทราบเช่นเดียวกัน

สิ่งที่ต้องทำในการตรวจสอบ (Audit Functions)
เหตุการณ์ครั้งนี้เป็นกรทุจริตครั้งใหญ่ที่เกี่ยวข้องกับคอมพิวเตอร์เป็นครั้งแรกในมลรัฐ Virginia ถึงแม้ว่าผู้ตรวจสอบไม่ได้ทำการทดสอบความถูกต้องของข้อมูลในคอมพิวเตอร์ทั้งหมดเมื่อพบว่ามีการทุจริตเกิดขึ้น ความรู้เกี่ยวกับระบบ Member Contribution Accounts (MCA) และระบบ Refund ที่ได้จากการตรวจสอบเบื้องต้นจะเป็นพื้นฐานช่วยให้ตรวจสอบการทุจริตนี้สำเร็จลงได้จากขั้นพื้นฐานที่จะต้องทำในการตรวจสอบ ได้แก่

1. การป้องกันรักษาข้อมูลการบัญชีที่เกี่ยวข้องกับการทุจริต รวมทั้งแฟ้มข้อมูลและโปรแกรมคอมพิวเตอร์ คัดลอกข้อมูลจาก History Tape, Current MCA master file และ Program Libraries ไปลงไว้ในเทปแม่เหล็ก

เมื่อทำการค้นหาต่อไป ผู้ตรวจสอบพบว่ามีการทุจริตเพิ่มขึ้นอีก สำหรับ Refund Vouchers ที่ออกในปี 2520 และ 2521 และขณะนี้มีหลักฐานเพียงพอที่จะออกหมายจับกุมอดีตพนักงานในแผนก Refund Section 2 คน แต่อย่างไรก็ตามหลังจากที่บุคคลทั้งสองลาออกไปแล้ว การทุจริตก็ยังคงดำเนินต่อไป ผู้ตรวจสอบสงสัยว่าพนักงานปัจจุบันมีส่วนในการทุจริต ดังนั้นจึงสั่งให้ VSRS ปิดสถานที่ประกอบการ 2 วัน เริ่มตั้งแต่วันจันทร์ที่ 27 กุมภาพันธ์ ในระหว่างนั้นก็ทำการตรวจสอบรายการคืนเงินทุกรายการที่อยู่ระหว่างดำเนินการ และส่งเรื่องให้ตำรวจออกหมายจับกุมหัวหน้าแผนก Refund Section เมื่อพบหลักฐานว่ากระทำการทุจริตจริง

2. การวางแผนและประสานงานตรวจสอบ (Planning and Coordination the Audit)
การค้นหาการทุจริตใน 4 วันแรก มีสภาพค่อนข้างสับสนวุ่นวาย ทั้งนี้เพราะ
2.1. ขาดการติดต่อระหว่างกัน
2.2. ทำงานซ้ำซ้อนกัน
2.3. ใช้วิธีการตรวจสอบที่ไม่มีประสิทธิผล
2.4. ไม่เข้าใจระบบ MCA และระบบ Refund อย่างลึกซึ้ง

จนกระทั่งวันที่ 28 กุมภาพันธ์ คณะผู้ตรวจสอบได้จัดให้มีการประชุมเพื่อพิจารณาผลงานของวันก่อนๆ วิธีการบริหารงาน และการตรวจสอบที่จะที่จะทำในอนาคต ที่ประชุมตกลงมอบหมายหน้าที่และความรับผิดชอบให้แก่ผู้เกี่ยวข้องในการตรวจสอบการทุจริต ดังนี้
1. ผู้ตรวจสอบด้านคอมพิวเตอร์ (IT Audit Group) รับผิดชอบในการศึกษาระบบงานในการวางแผนการตรวจสอบ และมอบหมายงาน แบ่งแยกงานการตรวจ IT และแนะนำแนวทางการตรวจแก่ Financial Auditors และจัดทำรายงานทางคอมพิวเตอร์เกี่ยวกับข้อมูลใน MCA และ Refund file ส่งให้ผู้ตรวจสอบด้านการเงิน
2. ผู้ตรวจสอบด้านการเงิน (Financial Audit Staff) รับผิดชอบในการตรวจสอบเอกสารเบื้องต้น ข้อมูลการบัญชี และหลักฐานการทุจริตตามรายงานคอมพิวเตอร์
3. ตำรวจสอบสวนของรัฐ (State Police Investigators) รับผิดชอบในงานการสอบสวนสถานที่เกิดเหตุ และออกหมายจับกุมตามเอกสารสำคัญที่ได้จากผู้ตรวจสอบ
4. สำนักงานอัยการประจำรัฐ (Commonwealth Attorney’s Office) มีหน้าที่ให้คำปรึกษาแก่ตำรวจสอบสวนของรัฐ

กลุ่มบุคคลอื่นที่ไม่มีหน้าที่โดยตรงในการค้นหาการทุจริต แต่มีส่วนช่วยในการตรวจสอบ
1. The Joint Legislative Audit and Review Committee (JLARC) ซึ่งเป็นคณะกรรมการคณะหนึ่งของสภานิติบัญญัติแห่งรัฐ Virginia ได้มอบหมายให้ผู้วิเคราะห์กลุ่มหนึ่งทำการเช็คสอบการบริหารงานของ VSRS อย่างกว้าง ๆ
2. สำนักงานสอบบัญชีซึ่งเดิมเคยรับจ้างกระทบยอดข้อมูลให้ VSRS ทำสัญญาที่จะออกแบบและพัฒนาระบบงานให้ดีขึ้น รวมทั้งจัดวางการควบคุมและวิธีปฏิบัติงานใหม่

3.การเขียนเค้าโครงเรื่องของการทุจริต (Developing Fraud Scenarios) และการปฏิบัติงานของ IT examiners และ Financial examiners
ในขั้นแรกที่มีการพบว่าการทุจริตเกิดขึ้น ผู้ตรวจสอบก็ได้เขียนโครงเรื่องหยาบๆ ไว้แล้ว แต่ไม่มีเวลาที่จะเขียนรายละเอียดเพิ่มขึ้น เพราะจะต้องค้นหารายการทุจริตเพิ่มเติม ผู้ตรวจสอบด้านการเงินซึ่งทำหน้าที่ค้นหารายการทุจริตไม่มีความรู้เกี่ยวกับคอมพิวเตอร์ จึงไม่สามารถเข้าใจระบบการบัญชีและการควบคุมภายในด้านคอมพิวเตอร์ จึงไม่อาจกำหนดรูปแบบและวิธีการตรวจสอบการทุจริตได้ ดังนั้นผู้ตรวจสอบด้านคอมพิวเตอร์จึงต้องเข้ามาช่วยศึกษาระบบ และกำหนดรูปแบบของการทุจริตที่อาจเกิดขึ้นได้ และเป็นผู้แนะนำวิธีการตรวจสอบและแนวการตรวจสอบแต่ละขั้นตอนในเรื่องที่เกี่ยวข้องให้แก่ Financial Examiner เพื่อการปฏิบัติงานการตรวจสอบร่วมกันด้วย และเพื่อให้เห็นภาพที่แท้จริง ผู้ตรวจสอบด้านคอมพิวเตอร์จะติดตามรายการข้อมูลแต่ละรายการของระบบงานตั้งแต่ต้นจนจบ และจะบันทึกวิธีปฏิบัติด้วยมือและเครื่องคอมพิวเตอร์ที่เกี่ยวข้อง พร้อมทั้งเอกสารหลักฐานที่ใช้ตรวจสอบ (Audit Trail Document) จากข้อมูลอันนี้ผู้ตรวจสอบสามารถทราบได้ว่าใครคือผู้อนุมัติรายการทุจริตที่เกิดขึ้น และที่สำคัญมากไปกว่านี้คือ ผู้ตรวจสอบด้านคอมพิวเตอร์สามารถแยกรายการที่มีลักษณะเหมือนกับรายกาทุจริตออกมาต่างหากได้

ลักษณะการตรวจสอบทุจริตแยกได้เป็น 2 แบบ คือ
1. Dynamic คือ การให้ผู้ตรวจสอบคอมพิวเตอร์เป็นผู้ดึงรายการข้อมูลที่น่าสงสัย โดยพิจารณาจากลักษณะของรายการทุจริตที่เกิดมาแล้ว ส่งให้ผู้ตรวจสอบด้านการเงินตรวจสอบเอกสารหลักฐานเพิ่มเติมในกรณีที่เป็นการทุจริตอันเกิดมาจากการแก้ไขข้อมูลที่บันทึกในคอมพิวเตอร์ ผู้ตรวจสอบด้านคอมพิวเตอร์จะต้องพิจารณาดูว่าเค้าโครงเรื่องของการทุจริตเหมือนกับที่เกิดมาแล้วหรือเป็นเรื่องใหม่
2. Descriptive คือ การให้ผู้ตรวจสอบด้านคอมพิวเตอร์เป็นผู้ศึกษาการควบคุมภายในระบบงานที่ใช้คอมพิวเตอร์อย่างกว้าง ๆ เพื่อปรับปรุงเค้าโครงเรื่องการทุจริตที่มีอยู่แล้วให้ดีขึ้น หรือกำหนดรูปแบบของการทุจริตอื่นที่อาจจะเกิดขึ้นได้ เครื่องมือที่จะช่วยให้ผู้ตรวจสอบบรรลุเป้าหมายคือ การทำผังการควบคุมภายใน (Control Flowcharting)

การจัดระดับความเสี่ยงรวม

การจัดระดับความเสี่ยงรวม

4.การจัดทำผังควบคุมภายในระบบงาน (Preparing Control Flowcharts)
เพื่อจะให้เข้าใจการควบคุมภายในระบบงานที่ใช้คอมพิวเตอร์เป็นอย่างดี จำเป็นต้องจัดทำแผนรายละเอียดของการควบคุมของแต่ละระบบงาน ผังการควบคุมนี้จะแสดงวิธีการปฏิบัติงานระบบทั้งมดของระบบงานที่ใช้คอมพิวเตอร์ เมื่อประเมินจุดอ่อนและจุดแข็งของระบบเรียบร้อยแล้ว

5. การใช้โปรแกรมตรวจสอบ (Using Audit Software)
ในการตรวจสอบสอบการทุจริตเกี่ยวกับคอมพิวเตอร์ การวิเคราะห์และดึงข้อมูลออกมาจากเครื่องคอมพิวเตอร์ได้อย่างรวดเร็วและมีประสิทธิภาพเป็นสิ่งสำคัญ ดังนั้นหากไม่ใช้โปรแกรมตรวจสอบช่วยแล้ว ก็ไม่อาจจะตรวจสอบการทุจริตได้อย่างมีประสิทธิผล ผู้ตรวจสอบด้านคอมพิวเตอร์ที่ VSRS มีประสบการณ์ในการใช้โปรแกรมตรวจสอบมาแล้วมากกว่า 1 ปี ดังนั้นภายในเวลา 2 สัปดาห์ก็สามารถใช้โปรแกรมตรวจสอบออกรายงานต่างๆ ได้ประมาณ 150 ชนิด

6. การเข้าไปร่วมในการพัฒนาระบบงานใหม่ (Participating in New System Developing)
จากผลชองการทุจริตที่เกิดขึ้น VSRS จำเป็นต้องวางวิธีการควบคุมใหม่ภายในระบบ Refund โดยเร็วที่สุด ก่อนที่จะดำเนินการปรับปรุงแก้ไข ได้ส่งย้ายพนักงานของแผนก Refund Section ไปทำหน้าที่อื่นโดยให้ผู้ตรวจสอบด้านการเงินทำหน้าที่แทน สำนักงานสอบบัญชีดำเนินการวางระบบการควบคุมและวิธีปฏิบัติงานใหม่เสร็จภายใน 2 สัปดาห์ ผู้ตรวจสอบด้านคอมพิวเตอร์เป็นผู้ตรวจสอบและรับรองการเปลี่ยนแปลงนี้ และยังมีส่วนในการออกแบบและพัฒนาระบบงานร่วมกับบริษัทสืบสวนและสอนสวนทางด้านการบัญชีและการทุจริตด้วย

ผลที่ได้จากการตรวจค้นการทุจริต (Results of the Fraud Investigation)
ผู้ตรวจสอบพบว่ามีการทุจริต 4 แบบ และจำนวนเงินที่ถูกยักยอกไปเท่ากับ US $111,149.92 เหรียญ ดังนี้
1. การแก้ไขรายการในสลิปถองเงิน (The Alteration of Refund Vouchers)
2. การสร้างบัญชีสมาชิกปลอม (Creation of Fictitious Member Contribution Accounts)
3. การยักยอกเงินจากบัญชีที่ไม่เคลื่อนไหว (Looting Inactive Member Contribution Accounts)
4. การสร้างรายการถอนเงินปลอม (Creation of Fictitious Refund Voucher Transactions)

จากการที่ผู้ตรวจสอบได้พบว่าการทุจริตมี 4 แบบข้างต้นนั้น ท่านที่สนใจเมื่ออ่านมาถึงตอนนี้ และนึกถึงเหตุการณ์การทุจริตของสถาบันการเงินของไทย ที่ปรากฏเป็นข่าวประมาณ 2 เดือนนี้ นั้น ท่านคิดว่าการทุจริตในอดีตที่เกิดขึ้นเมื่อประมาณ 30 ปีที่แล้ว สามารถเกิดซ้ำอีกในสถาบันการเงินของไทยได้หรือไม่ ผมขอเกริ่นเล็กน้อยในที่นี้ว่า Lesson – Learned ดี ๆ ที่เกิดขึ้นในวงการต่าง ๆ รวมทั้งวงการสถาบันการเงินทั้งไทยและต่างประเทศ มีโอกาสเกิดซ้ำได้อีกแทบทุกกรณี ทั้งนี้เพราะผู้บริหารที่รับผิดชอบและผู้ปฏิบัติงานที่รับผิดชอบยังขาดความเอาใจใส่ในกระบวนการบริหารความเสี่ยง อย่างเป็นระบบทั้งทางด้าน IT และ Non-IT เท่าที่ควรหลายแห่ง เมื่อใช้บริการจากบุคคลภายนอกแล้ว ก็ค่อนข้างละเลยในมาตรการกำกับและการควบคุมดูแลความเสี่ยง การควบคุมภายในและการตรวจสอบภายในที่ควรกระทำอย่างต่อเนื่องตลอดไป ลองอ่านต่อไปนะครับ

1. การแก้ไขรายการในสลิปถอนเงิน (The Alteration of Refund Vouchers)
การทุจริตวิธีนี้เกิดจากการที่เสมียนเพิ่มจำนวนในสลิปถอนเงินที่ส่งไปยัง สำนักงานคลังของรัฐเพื่อจ่ายเงินให้แก่สมาชิก ฝ่ายบริหารของ VSRS ไม่สามารถตรวจพบการทุจริตวิธีนี้ได้ เพราะการแก้ไขรายการในสลิปเกิดขึ้นหลังจากที่ผู้อำนวยการของ VSRS ได้ตรวจสอบและลงรายชื่อในสลิปเหล่านี้เรียบร้อยแล้ว ตัวอย่างเช่น แก้ไขจำนวนเงินในสลิปถอนเงินจาก US $1,444.49 เหรียญเป็น US $7,444.49 เหรียญ เพิ่มขึ้น US $6,000 เหรียญ ผู้ตรวจสอบพบรายการทุจริตโดยเพียงแต่ตรวจสอบสลิปถอนเงินของ VSRS ทั้งหมดที่ส่งไปยังสำนักงานคลังของรัฐกับใบปะหน้า และรายชื่อของสมาชิกผู้รับเงินและจำนวนเงินที่ได้รับในรายงานคอมพิวเตอร์ ผู้ตรวจสอบยังค้นพบว่าอดีตอดีตพนักงานในแผนก Refund Section สองคนเป็นผู้กระทำการทุจริต และสามารถยักยอกเงินไปได้ US $62,797.72 เหรียญ ตั้งแต่วันที่ 1 มีนาคม ถึง 17 พฤษภาคม 2520

ท่านผู้อ่านที่ได้อ่านมาถึงตอนนี้ก็จะพบว่า การทุจริตของบริษัท VSRS เมื่อเทียบกับเม็ดเงินที่เสียหายในอดีตกับความเสียหายจากการทุจริตกรณีธนาคาร Socgen ที่เป็นเงินประมาณ 7,000,000,000 ล้านเหรียญ US (เจ็ดพันล้านเหรียญสหรัฐ) นั้น มีมูลค่าต่างกันอย่างมหาศาล และเมื่อเปรียบเทียบกับความเสียหายของวงการสถาบันการเงินต่าง ๆ ในประเทศสหรัฐอเมริการและยุโรป ในยุค Hamburger Crisis ในปัจจุบันที่เกี่ยวข้องกับการละเลย การยกเว้น ความมั่นใจจนเกินขอบเขต การไม่กำหนดและการไม่ปฏิบัติตามหลักการ Risk Appetite และ Risk Tolerance ซึ่งเป็นระดับความเสี่ยงในระดับที่ยอมรับได้ ที่ทุกองค์กรต้องจัดให้มีขึ้น และการละเลย ติดตาม ตรวจสอบ รายงานที่สำคัญ ๆ ทั้งการเงินและไม่ใช่การเงิน ++ ซึ่งเป็นไปตามหลักการบริหารความเสี่ยงที่ดี ทำให้แทบทุกประเทศในโลกก้าวสู่ยุคเศรษฐกิจถดถอยรุนแรงที่สุดในประวัติศาสตร์

การตรวจสอบการควบคุมภายในและ Operational Risk ของสถาบันการเงิน โดย ธปท.

การตรวจสอบการควบคุมภายในและ Operational Risk ของสถาบันการเงิน โดย ธปท.

ดังนั้น การบริหารความเสี่ยง การควบคุมภายในตามฐานความเสี่ยงและการตรวจสอบตามฐานความเสี่ยง ที่ต้องมีจริยธรรม และความมุ่งมั่นที่จะเห็นองค์กรก้าวไปสู่ทิศทางที่ถูกต้อง จึงเป็นเรื่องสำคัญอย่างยิ่งที่ต้องพิจารณาควบคู่กันไปกับการบริหารและการตรวจสอบการทุจริตที่ไม่อาจละเว้นได้ในทุกองค์กร ขอให้ท่านลองอ่านบทความของ VSRS ต่อไป และลองพิจารณาดูว่า COSO – ERM มีความสำคัญอย่างไร โดยเฉพาะอย่างยิ่ง IT Risk ที่เกี่ยวข้องกับ COSO

2. การสร้างบัญชีสมาชิกปลอม (Creation of Fictitious Member Contribution Accounts – MCA)
การตรวจพบว่ามีการแก้ไขจำนวนเงินในสลิป ทำให้ผู้ตรวจสอบพบว่ามีการทุจริตแบบอื่นอีกที่ใช้วิธีสร้างรายการแปลกปลอมเข้าไปเก็บไว้ใน Refund Systems ดังนั้นผู้ที่จะช่วยเหลือในการตรวจค้นการทุจริตวิธีนี้ก็คือ ผู้จัดการฝ่ายประมวลข้อมูล ซึ่งมีความรู้ความชำนาญด้านเทคนิคเกี่ยวกับระบบคอมพิวเตอร์ของ VSRS เป็นอย่างดี

จากคำบอกเล่าเกี่ยวกับลักษณะของรายการทุจริต ประกอบกับความรู้ความชำนาญด้านเทคนิคทำให้ผู้จัดการฝ่ายประมวลผลข้อมูลสามารถดึงรายการทุจริตออกมาได้เพิ่มขึ้นอีก ซึ่งเป็นผลทำให้ผู้อำนวยการฝ่ายตรวจสอบและเจ้าหน้าตำรวจเริ่มสงสัยผู้จัดการฝ่ายประมวลข้อมูล เนื่องจากสามารถค้นหารายการทุจริตได้รวดเร็วมาก และเท่ากับย้ำความคิดที่ว่าผู้ทุจริตจะต้องเป็นผู้ที่มีความเชี่ยวชาญทางด้านคอมพิวเตอร์ แต่ก็ไม่พบหลักฐานใดที่แสดงว่าผู้จัดการฝ่ายประมวลข้อมูลเป็นผู้ที่กระทำการทุจริตเอง

ลักษณะทั่ว ๆ ไป ของบัญชีปลอมใน MCA master file มีดังนี้
1. บัญชีที่มี State Code เป็น 3
2. ช่องที่ใช้สำหรับบันทึกจำนวนเงิน (Contribution Update File) มียอดเป็นศูนย์
3. ไม่มีแบบฟอร์มใยสมัครเป็นสมาชิก (VSRS-1)

3. การยักยอกเงินจากบัญชีที่ไม่เคลื่อนไหว (Looting Inactive Member Contribution Accounts)
ผู้ทุจริตได้ถูกยักยอกเงินตามวิธีที่ 2 ในเดือนมิถุนายน 25820 เพราะนายจ้างที่เคยส่งรายงานล่าช้า รวมทั้ง Fairfax Country ได้ปรับปรุงการส่งรายงานให้เร็วขึ้นแล้ว จึงคิดว่าไม่มีทางยักยอกเงินได้อีก แต่ถ้าหากทราบว่าไม่มีการควบคุมภายในระบบ Refund เพียงพอที่จะค้นพบบัญชีปลอมได้ ก็คงจะยังทำเช่นนี้ต่อไป เวลาต่อมาเสมียนในแผนกคนหนึ่งได้ลาออกไป

ในระหว่างเดือนพฤษภาคมและมิถุนายน 2520 เจ้าหน้าที่ผู้ควบคุมการตรวจสอบ EDP ได้ทำการตรวจสอบเบื้องต้นเกี่ยวกับระบบงานที่ใช้คอมพิวเตอร์ ซึ่งรวมการสอบถามพนักงานในแผนก Refund ด้วย เมื่อผู้จัดการฝ่าย Operation ทราบว่าผู้ตรวจสอบกำลังให้ความสนใจเกี่ยวกับความอ่อนแอของการควบคุม ก็ได้ลาอกไปตอนปลายเดือนมิถุนายน 2520

ในเดือนกันยายน 2520 ก็มีรายการทุจริตแบบใหม่เกิดขึ้นอีก คราวนี้เป็นการลักลอบถอนเงินจากบัญชีสมาชิกรายที่ไม่มีรายการเคลื่อนไหวในแผนก MCA master file ผู้ตรวจสอบค้นพบการทุจริตวิธีนี้ได้โดยการคัดเลือกสลิปคืนเงินที่มีชื่อ L.A. Tanner ซึ่งเป็นชื่อบัญชีปลอมในการทุจริตกรณีอื่นๆ ปรากฏว่ามีสลิปใบหนึ่งลงวันที่ 17 ตุลาคม 2520 ลงนาม L.A. Tanner และเมื่อสอบถามรายละเอียดในสลิปย้อนกลับไป แทนที่จะพบว่าเป็นรายการถอนเงินจากบัญชีปลอม กลับกลายเป็นรายการถอนเงินจากบัญชีที่ไม่เคลื่อนไหว ซึ่งยังคงมียอดคงเหลืออยู่ และชื่อบัญชีในคอมพิวเตอร์ก็เป็นชื่อจริง แต่ในสลิปถอนเงินลงชื่อ L.A. Tanner

เมื่อผู้ตรวจสอบด้านคอมพิวเตอร์ทำการวิเคราะห์เพิ่มเติม ก็ทราบว่าการทุจริตเกิดขึ้นได้เพราะเสมียนในแผนก Refund เป็นผู้เจาะบัตรถอนเงินบางรายจากเอกสารเบื้องต้น (เช่น VSRS-3 หรือรายงานบัญชีที่ไม่เคลื่อนไหว) ซึ่งรวมถึงการเจาะรายชื่อลงบัตรด้วย เมื่อส่งบัตรที่เจาะแล้วไปเข้าเครื่องคอมพิวเตอร์โปรแกรมคอมพิวเตอร์จะพิมพ์รายงาน ชื่อ และจำนวนเงินที่ถอนคืน ตามข้อมูลในบัตรเจาะโดยที่ไม่ได้เช็คสอบกับชื่อในยอดคงเหลือในบัญชีที่แท้จริงในคอมพิวเตอร์ และถ้าหากจะมีผลต่างเกิดขึ้นก็ไม่มีใครตรวจพบ เพราะเสมียนเป็นผู้ควบคุมงานตั้งแต่ต้นจนจบ บัญชีที่ไม่เคลื่อนไหวเป็นบัญชีซึ่งไม่มีรายการฝากถอนมานานแล้ว และเจ้าของบัญชีบางรายสิ้นชีวิตไปแล้ว ผู้ที่มีสิทธิ์รับเงินจึงไม่ทราบยอดเงินคงเหลือในบัญชี

ดังนั้นเสมียน Refund เพียงแต่เจาะชื่อปลอมลงในบัตรถอนเงินคืน (Refund Card) เท่านั้นก็ยักยอกเงินมาใช้ได้ นอกจากนี้ระบบคอมพิวเตอร์ของ VSRS ไม่มีโปรแกรมที่จะป้องกันการถอนเงินจากบัญชีที่มียอดคงเหลือเป็นศูนย์ ฉะนั้นเสมียนจึงสามารถถอนเงินออกไปเป็นจำนวนเท่าใดก็ได้ ไม่ว่าในบัญชีจะมียอดคงเหลือหรือไม่ก็ตาม

ผู้ตรวจสอบได้ดำเนินการค้นหารายการที่ทุจริตโดยยึดถือรายงานบัญชีไม่เคลื่อนไหวฉบับก่อนเป็นหลัก เพราะเชื่อว่าเสมียน Refund ใช้รายงานนี้เป็นแหล่งของข้อมูลที่ใช้ในการทุจริต ณ สิ้นเดือนมิถุนายน 2520 VSRS มีบัญชีไม่เคลื่อนไหวรหัส (Status) 3, 4 และ 5 ประมาณ 5,000 บัญชี ยอดคงเหลือในบัญชีเป็นบวกและลบทั้งสิ้นมากกว่า US $+200,000 เหรียญ และ US $-125,000 เหรียญ ตามลำดับ นอกจากนั้นยังมีบัญชีไม่เคลื่อนไหวรหัส 2 กว่า 62,000 บัญชี ยอดคงเหลือรวมมากกว่า US $100 ล้านเหรียญ เนื่องจากบัญชีไม่เคลื่อนไหวมีมาก

ดังนั้นผู้ตรวจสอบจึงใช้คอมพิวเตอร์ช่วยในการตรวจสอบและวิเคราะห์ ผู้ตรวจสอบคอมพิวเตอร์ใช้โปรแกรมเปรียบเทียบรายการถอนเงิน (Refund Transactions) ใน History Tape กับบัญชี MCA master file ของปีปัจจุบันและปีก่อนที่มีหมายเลขประกันสังคมตรงกัน เสมียน Refund ไม่สามารถเปลี่ยนแปลงแก้ไขหมายเลขประกันสังคมได้เมื่อเจาะบัตรถอนเงินคืน เพราะหมายเลขประกันสังคมเป็นข้อบังคับส่วนหนึ่งของการนำเข้าข้อมูล MCA master file เข้าไปในคอมพิวเตอร์คอมพิวเตอร์จะดึงรายการถอนเงินใน History Tape ที่มีหมายเลขประกันสังคมเหมือนกับบัญชีใน MCA master file แต่มีชื่อสมาชิกเจ้าของบัญชีต่างกันออกมาประมาณ 3,000 รายการ และพิมพ์เป็นรายงานส่งให้ผู้ตรวจสอบด้านการเงิน (Financial Auditors) ทำการตรวจสอบความถูกต้องของรายการเหล่านี้ต่อไป

อย่างไรก็ตามรายการถอนเงินซึ่งมีหมายเลขประกันสังคมและชื่อบัญชีเหมือนกันใน MCA master file ก็อาจจะเป็นรายการที่ทุจริตได้ เพราะอาจจะมีการส่งเช็คไปให้แก๊งผู้ทุจริต ฉะนั้นวิธีที่จะค้นพบการทุจริตเช่นนี้ คือ สอบถามไปยังเจ้าของบัญชีว่าได้รับเงินที่ถอนไปหรือไม่ นับตั้งแต่เดือนกันยายน 2520 จนถึงมกราคม 2521 เสมียนและหัวหน้าแผนก Refund ยักยอกเงินไปได้เพียง US $10,670.40 เหรียญ ในนามของตนเอง ญาติและเพื่อน ๆ

4. การสร้างรายการถอนเงินปลอม (Creation of Fictitious Refund Voucher Transactions)
การทุจริตแบบวิธีนี้ง่ายมากหัวหน้าแผนก Refund เป็นผู้ปลอมแปลงสลิปถอนเงินเองโดยไม่ผ่านคอมพิวเตอร์ ประทับตรา “ด่วนมาก” (RUSH) ลงในสลิป แล้วส่งให้ผู้อำนวยการของ VSRS ลงนามอนุมัติเพื่อส่งต่อไปให้สำนักงานคลังของรัฐและสำนักบัญชีกลางของรัฐ ต่อมาสำนักงานคลังของรัฐก็จะส่งเช็คมาให้ผู้ทุจริตหัวหน้าแผนก Refund กล้าทำวิธีนี้เพราะทราบจากการที่ได้พูดคุยกับผู้ตรวจสอบด้านการเงินระหว่างที่ทำการตรวจสอบเบื้องต้นเกี่ยวกับระบบ Refund ว่า ผู้ตรวจสอบไม่ทราบมาก่อนว่าการจัดทำสลิปถอนเงินด้วยมือสามารถกระทำได้

การจัดระดับโดยรวม

การจัดระดับโดยรวม

สรุปกรณีศึกษาการทุจริตของ Virginia
1. การตรวจสอบเพื่อค้นหารายการทุจริตทั้งหมดได้เสร็จสิ้นลงในเดือนพฤษภาคม 2521 สรุปได้ว่ามีผู้ทุจริตทั้งสิ้น 16 คน เป็นพนักงานของ VSRS 3 คน และบุคคลภายนอก 13 คน ถูกส่งฟ้องในข้อหาโจรกรรมและมีส่วนร่วมในการโจรกรรม ศาลพิพากษาให้จำคุกรวมทั้งสิ้น 50 ปี ผู้ที่ได้รับโทษหนักที่สุดคือ หัวหน้าแผนก Refund 8 ปี เสมียนแผนก Refund 2 คน คนละ 6 ปี จนถึงมิถุนายน 2521 ผู้ตรวจสอบก็กลับไปตรวจสอบด้านการเงินตามปกติต่อไปจนเสร็จสิ้นเดือนพฤศจิกายน 2521 แล้วส่งรายงานงบแสดงฐานะการเงินของ VSRS พร้อมทั้งความเห็นของผู้สอบบัญชีให้แก่ฝ่ายบริหารของ VSRS

2. ในการตรวจสอบระบบคอมพิวเตอร์ของ VSRS ครั้งนี้ ผู้ตรวจสอบด้านคอมพิวเตอร์ได้พบอุปสรรคในการตรวจสอบที่สำคัญ 2 ประการ คือ
2.1. ฝ่ายบริหารของ VSRS ไม่ให้ความร่วมมือและแสดงอาการไม่พอใจที่ผู้ตรวจสอบเข้าไปแทรกแซงระบบคอมพิวเตอร์
2.2. เนื่องจาก VSRS จัดทำคู่มือประกอบระบบงาน ( System Document) ไม่ดีพอ ดังนั้นความรู้เกี่ยวกับระบบงานส่วนใหญ่ได้มาจากการสอบถามพนักงานของ VSRS โดยตรง ผลเสียของการใช้วิธีการสอบถามก็คือ พนักงานของ VSRS จะทราบในระหว่างที่สอบถามว่าผู้ตรวจสอบยังไม่ทราบเรื่องใดบ้าง และจะพยายามไม่ตอบหรือเปิดเผยสิ่งที่นอกเหนือคำถาม ฉะนั้นจึงทำให้ผู้ตรวจสอบไม่สามารถเข้าใจระบบงานนั้นได้อย่างลึกซึ้งและมองข้ามจุดอ่อนบางอย่างไปได้

3. ความร่วมมือและการชี้แนะของ EDP/IT examiner ต่อ Financial examiner เพื่อการตรวจสอบการทุจริตทางการเงิน มีความสำคัญยิ่งต่อความสำเร็จในการปฏิบัติงานในครั้งนี้ ทั้งนี้เพราะการตรวจพบการทุจริตทั้ง 4 แบบ เป็นงานการตรวจสอบด้าน Financial แต่การ process งานด้านบัญชีกระทำโดยระบบคอมพิวเตอร์ดังนั้นความร่วมมือและการประสานงานของผู้ตรวจสอบในแต่ละด้าน จึงเป็นสิ่งจำเป็นจะต้องดำเนินการควบคู่กันไปเสมอ

4. จุดอ่อนของระบบงานที่ช่องทางให้เกิดการทุจริต
4.1. ไม่มีการควบคุมการเข้าและออก Storeroom ซึ่งเป็นห้องที่ใช้เก็บ VSRS-1 และ VSRS-3 ทำให้พนักงาน VSRS สามารถปลอมแปลงเอกสารดังกล่าวไปเก็บไว้ในห้อง หรือนำเอกสารออกมาใช้โดยไม่ได้รับอนุญาตหรือมีส่วนเกี่ยวข้อง เสมียนในแผนก Refund อาศัยจุดอ่อนนี้ปลอมแปลง VSRS-3 เพื่อสร้างบัญชีสมาชิกปลอมขึ้นตามผลที่ได้จากการตรวจค้นการทุจริต จากการสร้างบัญชีสมาชิกปลอม
4.2. การยินยอมให้ถอนเงินก่อนและจะบันทึกหักบัญชีภายหลังเมื่อนายจ้างส่งรายงาน Contribution Report มาให้ครบถ้วนแล้ว เสมียนในแผนก Refund อาศัยจุดอ่อนนี้แก้ไขจำนวนเงินใน สลิปถอนเงินโดยไม่ต้องพะวงว่ายอดในบัญชีจะมียอดคงเหลือพอหรือไม่ ตามผลที่ได้จากการตรวจค้นการทุจริต การแก้ไขรายการในสลิปถอนเงิน
4.3. การยินยอมให้เสมียนในแผนก Refund เป็นผู้มีอำนาจเจาะบัตรถอนเงินในบัญชีที่ไม่เคลื่อนไหว และรายงานถอนเงินนี้จะไม่ปรากฏใน Refund Inventory Tape เสมียนในแผนก Refund อาศัยจุดอ่อนนี้ยักยอกเงินจากบัญชีที่ไม่เคลื่อนไหวตามผลที่ได้จากการตรวจค้นการทุจริต การยักยอกเงินจากบัญชีที่ไม่เคลื่อนไหว
4.4. การแบ่งแยกหน้าที่ในฝ่ายประมวลข้อมูลไม่เหมาะสม แผนก Contribution Reporting Section ซึ่งมีหน้าที่เกี่ยวกับการรับเงินฝากและถอนเงินฝากอยู่ภายใต้การบังคับบัญชาของผู้จัดการฝ่ายประมวลข้อมูลและฝ่ายประมวลข้อมูลยังมีหน้าที่รับผิดชอบเกี่ยวกับความถูกต้องของยอดรวมใน Control Book ด้วย
4.5. ผู้จัดการฝ่ายประมวลข้อมูลซึ่งเป็นผู้ที่เขียนโปรแกรม และวิเคราะห์ระบบงานสามารถเข้าไปใช้แฟ้มข้อมูลและโปรแกรมทั้งหมดโดยไม่จำกัด

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

คณะกรรมการ ผู้บริหารระดับสูง กับความเข้าใจในกระบวนการบริหารความเสี่ยงที่เกี่ยวข้องกับ IT และการทุจริต

มิถุนายน 1, 2009

วันนี้ผมขอพูดต่อถึงเรื่องที่เกี่ยวข้องกับการทุจริต ซึ่งมีข่าวใหม่ ๆ เพิ่มขึ้นมาเรื่อย ๆ ในวงการสถาบันการเงินในระยะนี้ ข่าวล่าสุดก็คือ ข่าวของธนาคารออมสินที่ลูกค้า update สมุดบัญชีเงินฝากพบว่า มีเงินเข้าบัญชี จำนวนกว่า 8 หมื่นล้านบาท เรื่องนี้เกิดขึ้นมาอาจจะนานพอสมควร แต่เพิ่งมาเปิดเผยเมื่อสัปดาห์ก่อนนี้เอง รวมทั้งกรณีที่ลูกค้าของธนาคารออมสินรายหนึ่ง ฝากเงินในบัญชีประมาณ 4 แสน แต่เจ้าหน้าที่ของธนาคารคีย์ตัวเลขเป็นเงิน 4 ล้านบาท ตามที่ปรากฎเป็นข่าว ผู้บริหารของธนาคารได้ชี้แจงในกรณีแรกว่า เกิดจากเครื่องพิมพ์ขัดข้องและพิมพ์ผิด? และในกรณีหลังเกิดจากเจ้าหน้าที่คีย์ข้อมูลผิดพลาด…

ผมตั้งใจจะเร่งรัดกรณีศึกษาที่เป็น Lesson – Learned ของการทุจริตการบริหารเงินกองทุนเลี้ยงชีพของ Virginia ให้จบในวันนี้ เพื่อจะได้ให้ข้อสังเกตและข้อคิดเห็นในเชิงสร้างสรรตามหลักการของกระบวนการบริหารความเสี่ยงที่ดีที่เกี่ยวข้องกับ IT Risk Management บางมุมมองของ ธอส. ธนาคารออมสิน ธนาคารธนชาต สาขาอุบลราชธานี

กรณีการทุจริตด้านคอมพิวเตอร์ของ Virginia มีข้อคิดที่ท่านผู้อ่านควรพิจารณาควบคู่กันไประหว่างการอ่านเพื่อการวิเคราะห์การทุจริต ซึ่งใช้เป็น Lesson – Learned ได้ดี มีดังต่อไปนี้

การควบคุมภายในระบบ MCA (MCA Control Process)
เนื่องจากเอกสารคำอธิบายเกี่ยวกับระบบ MCA และ Refund System ที่มีอยู่ไม่เพียงพอ เพราะฉะนั้นผู้ตรวจสอบต้องอาศัยการสอบถามเรื่องการควบคุมจากพนักงานของ VSRS

VSRS ใช้ Control Book ควบคุมยอดคงเหลือของ MCA รายการบันชีใด ๆ ก็ตามที่มีผลกระทบต่อยอดเงินรับฝากคงเหลือ (Contribution Balances) จะต้องบันทึกลงใน Control Book ซึ่งมีลักษณะเป็นแผ่นๆ (Control Sheet) แผ่นหนึ่งใช้สำหรับบันทึกรายการของนายจ้าง 1 ราย ในเวลา 1 เดือน รูปภาพที่ 5 เป็นตัวอย่าง Control Sheet ของนายจ้างรหัสเลขที่ 5234 เดือนพฤศจิกายน 2518 บรรทัดแรกของยอดยกมาของเดือนก่อน บรรทัดต่อมาเป็นจำนวนเงินรวมที่ส่งในเดือน พฤศจิกายน US $2,805.20 ในระหว่างเดือนมีรายการขอถอนเงินคืนจากสมาชิก 2 ราย US $4,527.64 และ $179.64 ดอกเบี้ย US $2,275.68 และ $51.00 ตามลำดับ ยอดคงเหลือสิ้นเดือนพฤศจิกายนจะเป็นยอดที่ยกไปเดือนธันวาคม

Control Book ของแต่ละเดือนจะรวม Control sheet ของนายจ้างแต่ละใบ ดังนั้นยอดคงเหลือใน Control Book จะต้องตรงกับยอดคงเหลือในบัญชีของนายจ้างแต่ละรายเช่นเดียวกัน รายการฝากและถอนเงินบันทึกไว้ MCA Master File และ Control Book ก็จะต้องตรงกับรายการในสมุดบัญชีเงินสดรับ และเงินสดจ่ายตามระบบการบัญชีรวม (Central Accounting System)

เมื่อสิ้นสุดปีการเงินแต่ละปี ฝ่ายประมวลข้อมูลจะคัดลอก (Copy) ข้อมูลใน MCA Master File ไปลงในเทปแม่เหล็ก (Magnetic Tape) ซึ่งเรียกว่า MCA Year End History Tape เทปนี้จะมีข้อมูลสมบูรณ์ก็ต่อเมื่อนายจ้างรายสุดท้ายได้ส่งรายงาน Contribution Report ของเดือนมิถุนายน สิ้นสุดวันที่ 30 มาให้เรียบร้อยแล้ว เทปม้วนนี้มีความสำคัญต่อการตรวจสอบ (Audit Trail) เพราะมียอดคงเหลือในบุญชีของสมาชิกแต่ละราย ณ วันที่ 30 มิถุนายน ซึ่งเมื่อรวมกันแล้วควรจะเท่ากันกับยอดรวมในสมุดบัญชีคุมยอดทั่วไป (General Ledger)

สิ่งที่ค้นพบจาการตรวจสอบเบื้องต้น (Preliminary Review Findings)
การตรวจสอบระบบ MCA และ Refund เบื้องต้นเสร็จสิ้นในเดือนกรกฎาคม 2520 ผู้ตรวจสอบ พบว่าระบบการควบคุมภายในมีจุดอ่อนที่ร้ายแรง (Serious Weakness) จึงแจ้งให้ฝ่ายบริหารของ VSRS ยุตินโยบายการถอนเงินคืนไปโดยที่ยังไม่ได้รับรายงาน Contribution จากฝ่ายนายจ้าง (Policy of Refunding Unreported Contributions) แต่ฝ่ายบริหารของ VSRS ไม่มีทีท่าว่าจะทำตามคำแนะนำดังกล่าว ดังนั้นผู้ตรวจสอบจึงตัดสินใจที่ทดลองทำการทุจริตโดยอาศัยคอมพิวเตอร์ (Computer Fraud) เพื่อพิสูจน์ให้เห็นว่า Refund System นั้นง่ายต่อการฉ้อฉลโดยบุคคลใดบุคคลหนึ่ง (Manipulation)

ผู้ตรวจสอบวางแผนจะดำเนินการตรวจสอบเพื่อหาร่องรอยของการทุจริตที่อาจเป็นไปได้ เพื่อแสดงให้เห็นว่าพนักงานของ VSRS คนใดคนหนึ่งที่มีความชำนาญด้านโปรแกรมคอมพิวเตอร์มีความรู้เกี่ยวกับระบบ MCA และ Refund และเรียกใช้ MCA Master File ได้ ก็สามารถทำการทุจริตได้ตามลำพังโดยไม่ต้องกระทำหรือวางแผนร่วมกับผู้อื่นทั้งนี้ก่อนที่จะดำเนินการตรวจสอบวิธีการทุจริตโดยใช้คอมพิวเตอร์ผู้ตรวจสอบได้ขออนุมัติจากผู้อำนวยการของ APA ก่อนแล้ว

ในเดือนกรกฎาคม 2520 ผู้ตรวจสอบเริ่มดำเนินการามแผนงานตรวจสอบการยักยอกเงินจาก VSRS โดยการเขียนโปรแกรมเพื่อสร้างบัญชีปลอมใน MCA Master File จากนั้นก็ใช้โปรแกรมบัญชีที่สองโอนเงินจากบัญชีอื่นมาใส่ไว้ในบัญชีปลอม เสร็จแล้วก็ปลอมแปลงเอกสาร VSRS-1 นำไปเก็บไว้ในแฟ้มภายในห้องเก็บ VSRS-1 ปลอม ส่ง VSRS-3 ไปให้ VSRS โดยทางไปรษณีย์ 6 สัปดาห์ หลังจากนั้นจะมีเช็ค 3 ใบ มูลค่ามากกว่า US $ 3,000 เหรียญ ส่งโดยทางไปรษณีย์มาตามที่อยู่ในท่อนล่างของ VSRS-3 การทดลองทำการทุจริตในครั้งนี้ผู้ตรวจสอบอาศัยเพียงแต่ความรู้ด้านการตรวจสอบเท่านั้น ไม่ได้ใช้อำนาจหน้าที่อื่นใดในฐานะผู้ตรวจสอบ ซึ่งพนักงานของ VSRS ไม่สามารถกระทำได้

เมื่อฝ่ายบริหารทราบผลของการทดลองการทำการทุจริต ก็แสดงอาการไม่พอใจที่ผู้ตรวจสอบเข้าไปแทรกแซงระบบคอมพิวเตอร์ของ VSRS และชี้ให้เห็นว่าผู้ตรวจสอบสามารถยักยอกได้แต่เพียงเงินจำนวนน้อย ๆ เท่านั้น หากเป็นรายการใหญ่ ๆ จะต้องถูกจับได้อย่างแน่นอน

ผู้ตรวจสอบจะดำเนินการตรวจสอบเบื้องต้นต่อไปตามจุดอื่น ๆ ของ VSRS และหลังจากเสร็จสิ้นการตรวจสอบเบื้องต้นแล้ว ได้สรุปสิ่งสำคัญ ๆ ที่พบจากการตรวจสอบ ส่งให้กับผู้บริหารของ VSRS ดังนี้
1. ใน MCA Master File ไม่แสดงรายการเคลื่อนไหวของบัญชี คงมีเฉพาะยอดคงเหลือปัจจุบันและดอกเบี้ยเท่านั้น
2. ในระหว่างปีการเงิน 2516 และ 2517 บัญชีสมาชิกทั้งหมดของนายจ้าง 470 ราย สูญหายและถูกทำลาย, ปี 2518 เทปที่ใช้เก็บข้อมูลการเงินคืนในอดีต (Refund Transaction History Tape) มีรอยขูดขีด และไม่มีเทปชุดสำรอง
3. VSRS มีปัญหาสำคัญยิ่งในด้านการควบคุมความถูกต้องของข้อมูลทางบัญชี เนื่องจากการที่นายจ้างไม่ส่ง Contribution Reports มาให้เพียงแต่ส่งเช็คและใบนำส่งเช็คให้ภายใน 30 วันนับจากวันสิ้นเดือน (Reporting Period) ตัวอย่าง เช่น งวด 30 มิถุนายน 2517 มีองค์การของรัฐ 94 แห่งที่ไม่ส่งรายงานดังกล่าวให้ VSRS จนกระทั่งเลยกำหนดไปแล้ว 5 เดือนหรือมากกว่านั้น ในจำนวนนี้มี 6 แห่งที่ไม่ได้รายงานเป็นเวลา 1 หรือ 2 ปี ทำให้ VSRS ไม่สามารถจัดทำงบแสดงการเงินได้
4. ฝ่ายบริหารยินยอมให้คืนเงินแก่สมาชิกรายที่ออกจากงานในระหว่างนายจ้างยังส่ง Contribution Report มาให้ไม่ครบถ้วน ทั้งนี้เป็นผลมาจากการที่นายจ้างไม่ยอมส่งรายงานให้ทันเวลา
5. นับตั้งแต่ปี 2516 ไม่มีการกระทบยอด (Reconciliation) ข้อมูลใน MCA Master File กับรายการบัญชีในสมุดบัญชีเงินสดรับและเงินสดจ่าย ในปีแรกที่เริ่มใช้ระบบ MCA การกระทบยอดข้อมูลทำได้ไม่ยุ่งยากนัก ต่อมาเมื่อมีการยินยอมให้คืนเงินได้โดยไม่ต้องรอรายงานจากนายจ้าง ประกอบกับเอกสารที่ใช้ในการบันทึกรายการใน MCA Master File และสมุดบัญชีไม่สามารถใช้ยันกันได้ จึงทำให้ไม่สามารถกระทบยอดได้โดยสิ้นเชิง ในขณะที่ตรวจสอบพบว่ามีผลต่างระหว่างจำนวนเงินในบัญชีกับ Control Book อยู่ US $10 เหรียญ
6. การแบ่งแยกหน้าที่ในฝ่ายประมวลยังไม่ดีพอ แผนก Contribution Reporting Section ซึ่งมีหน้าที่จัดทำรายการนำฝาก (Contribution Transactions) และคืนเงิน (Refund Cards) อยู่ภายใต้การบังคับบัญชาของผู้จัดการฝ่ายประมวลข้อมูล และยิ่งไปกว่านั้นผู้จัดการฝ่ายฯ ยังรับผิดชอบในการดูแลความถูกต้องของยอดรวมใน Control Books อีกด้วย
7. ผู้จัดการฝ่ายประมวลข้อมูลในฐานะที่เป็นผู้วิเคราะห์ระบบงานและเขียนโปรแกรม สามารถเข้าไปใช้แฟ้มข้อมูลและโปรแกรมได้โดยไม่จำกัด

จากผลของการตรวจสอบ ผู้ตรวจสอบได้สั่งการอีกครั้งหนึ่ง
– ให้ VSRS ยุติการยินยอมคืนเงินโดยที่ยังไม่ได้รับรายงาน Contribution ทันที
– ให้ VSRS จัดทำเอกสารคำอธิบายระบบงาน คู่มือปฏิบัติงาน
– ให้กระทำการกระทบยอดข้อมูลในคอมพิวเตอร์ กับรายการในสมุดบัญชีที่สำคัญๆ และจะต้องทำให้เสร็จก่อนที่ APA จะเริ่มงานตรวจสอบต่อไป ดังนั้น VSRS จึงจ้างบริษัทสอนบัญชีมาดำเนินการกระทบยอดข้อมูลตามคำสั่งของผู้สอบบัญชี แต่การทำงานของบริษัทสอบบัญชีล่าช้า กลุ่มผู้ตรวจสอบของ APA จึงตัดสินใจทำงานชิ้นนี้ให้เสร็จเอง เพื่อประหยัดเงินที่จ่ายให้กับบริษัทสอบบัญชี

กรอบการกำกับดูแลของ ธปท.

กรอบการกำกับดูแลของ ธปท.

การค้นพบการทุจริต (The Discovery of Fraud)
ผู้ตรวจสอบกะว่าจะทำการกระทบยอดข้อมูลให้เสร็จสิ้นภายในเดือนธันวาคม 2520 จากนั้นก็จะกระทบยอดรายการในสมุดบัญชีของ VSRS กับรายการในสมุดบัญชีของสำนักงานบัญชีกลางของรัฐ ซึ่งเป็นมาตรฐานการตรวจสอบที่ APA ใช้เป็นประจำในการตรวจสอบองค์กรของรัฐ

เช้าวันที่ 23 กุมภาพันธ์ 2521 ผู้ตรวจสอบค้นพบว่าจำนวนเงินที่บันทึกในสมุดบัญชีเงินสดจ่ายของ VSRS ไม่ตรงกับที่บันทึกในสมุดบัญชีของสำนักงานบัญชีกลาง ผู้ตรวจสอบจึงขอสลิป (Refund Voucher) ต้นฉบับจากสำนักงานบัญชีกลางมาเปรียบเทียบกับสลิปชุดสำเนาที่เก็บไว้ในแฟ้มของแผนก Refund Section ผู้ตรวจสอบพบว่ามีการแก้ไขสลิปต้นฉบับ และแก้ไขยอดเงินรวมในใบปะหน้าสลิปให้สอดคล้องกัน แต่มิได้แก้ไขเอกสารชุดสำเนา

ผู้ตรวจสอบได้นำสลิปที่ได้รับการแก้ไขไปให้หัวหน้าผู้ตรวจสอบที่รับผิดชอบในการตรวจสอบ VSRS และผู้อำนวยการของ APA พิจารณา ขอข้อมูลเพิ่มเติมจากสำนักงานสรรพากรของรัฐ (State Department of Taxation) เพื่อพิสูจน์ว่าชื่อผู้รับเงินและหมายเลขประกันสังคมนั้นเป็นของจริงหรือของปลอม ผลการพิสูจน์ปรากฏว่าเป็นรายงานถอนเงินปลอม

ประมาณ 2 โมงเช้า เจ้าหน้าที่ของ APA ที่ควบคุมการตรวจสอบ IT ได้รับแจ้งว่ามีการทุจริตเกิดขึ้น และขอให้ตรวจสอบายละเอียดของเอกสารที่เกี่ยวข้องใหม่ เนื่องจากรายการถอนเงินปลอมนั้นปรากฏอยู่ในสลิปที่พิมพ์ด้วยเรื่องคอมพิวเตอร์ ดังนั้นผู้ควบคุมการตรวจสอบ IT จึงสรุปได้ว่ามีการใช้คอมพิวเตอร์เป็นเครื่องมือในการทำทุจริตโดยทางใดทางหนึ่ง

4 โมงเช้า ผู้ตรวจสอบได้ยื่นหลักฐานการทุจริตให้แก่ผู้อำนวยการและรองผู้อำนวยการของ VSRS และได้รายงานการทุจริตให้สำนักงานอัยการประจำรัฐ ตำรวจประจำรัฐ และผู้ว่าการรัฐ Virginia ทราบเช่นเดียวกัน

สิ่งที่ต้องทำในการตรวจสอบ (Audit Functions)
เหตุการณ์ครั้งนี้เป็นกรทุจริตครั้งใหญ่ที่เกี่ยวข้องกับคอมพิวเตอร์เป็นครั้งแรกในมลรัฐ Virginia ถึงแม้ว่าผู้ตรวจสอบไม่ได้ทำการทดสอบความถูกต้องของข้อมูลในคอมพิวเตอร์ทั้งหมดเมื่อพบว่ามีการทุจริตเกิดขึ้น ความรู้เกี่ยวกับระบบ Member Contribution Accounts (MCA) และระบบ Refund ที่ได้จากการตรวจสอบเบื้องต้นจะเป็นพื้นฐานช่วยให้ตรวจสอบการทุจริตนี้สำเร็จลงได้จากขั้นพื้นฐานที่จะต้องทำในการตรวจสอบ ได้แก่

1. การป้องกันรักษาข้อมูลการบัญชีที่เกี่ยวข้องกับการทุจริต รวมทั้งแฟ้มข้อมูลและโปรแกรมคอมพิวเตอร์ คัดลอกข้อมูลจาก History Tape, Current MCA master file และ Program Libraries ไปลงไว้ในเทปแม่เหล็ก

เมื่อทำการค้นหาต่อไป ผู้ตรวจสอบพบว่ามีการทุจริตเพิ่มขึ้นอีก สำหรับ Refund Vouchers ที่ออกในปี 2520 และ 2521 และขณะนี้มีหลักฐานเพียงพอที่จะออกหมายจับกุมอดีตพนักงานในแผนก Refund Section 2 คน แต่อย่างไรก็ตามหลังจากที่บุคคลทั้งสองลาออกไปแล้ว การทุจริตก็ยังคงดำเนินต่อไป ผู้ตรวจสอบสงสัยว่าพนักงานปัจจุบันมีส่วนในการทุจริต ดังนั้นจึงสั่งให้ VSRS ปิดสถานที่ประกอบการ 2 วัน เริ่มตั้งแต่วันจันทร์ที่ 27 กุมภาพันธ์ ในระหว่างนั้นก็ทำการตรวจสอบรายการคืนเงินทุกรายการที่อยู่ระหว่างดำเนินการ และส่งเรื่องให้ตำรวจออกหมายจับกุมหัวหน้าแผนก Refund Section เมื่อพบหลักฐานว่ากระทำการทุจริตจริง

2. การวางแผนและประสานงานตรวจสอบ (Planning and Coordination the Audit)
การค้นหาการทุจริตใน 4 วันแรก มีสภาพค่อนข้างสับสนวุ่นวาย ทั้งนี้เพราะ
2.1. ขาดการติดต่อระหว่างกัน
2.2. ทำงานซ้ำซ้อนกัน
2.3. ใช้วิธีการตรวจสอบที่ไม่มีประสิทธิผล
2.4. ไม่เข้าใจระบบ MCA และระบบ Refund อย่างลึกซึ้ง

จนกระทั่งวันที่ 28 กุมภาพันธ์ คณะผู้ตรวจสอบได้จัดให้มีการประชุมเพื่อพิจารณาผลงานของวันก่อนๆ วิธีการบริหารงาน และการตรวจสอบที่จะที่จะทำในอนาคต ที่ประชุมตกลงมอบหมายหน้าที่และความรับผิดชอบให้แก่ผู้เกี่ยวข้องในการตรวจสอบการทุจริต ดังนี้
1. ผู้ตรวจสอบด้านคอมพิวเตอร์ (IT Audit Group) รับผิดชอบในการศึกษาระบบงานในการวางแผนการตรวจสอบ และมอบหมายงาน แบ่งแยกงานการตรวจ IT และแนะนำแนวทางการตรวจแก่ Financial Auditors และจัดทำรายงานทางคอมพิวเตอร์เกี่ยวกับข้อมูลใน MCA และ Refund file ส่งให้ผู้ตรวจสอบด้านการเงิน
2. ผู้ตรวจสอบด้านการเงิน (Financial Audit Staff) รับผิดชอบในการตรวจสอบเอกสารเบื้องต้น ข้อมูลการบัญชี และหลักฐานการทุจริตตามรายงานคอมพิวเตอร์
3. ตำรวจสอบสวนของรัฐ (State Police Investigators) รับผิดชอบในงานการสอบสวนสถานที่เกิดเหตุ และออกหมายจับกุมตามเอกสารสำคัญที่ได้จากผู้ตรวจสอบ
4. สำนักงานอัยการประจำรัฐ (Commonwealth Attorney’s Office) มีหน้าที่ให้คำปรึกษาแก่ตำรวจสอบสวนของรัฐ

กลุ่มบุคคลอื่นที่ไม่มีหน้าที่โดยตรงในการค้นหาการทุจริต แต่มีส่วนช่วยในการตรวจสอบ
1. The Joint Legislative Audit and Review Committee (JLARC) ซึ่งเป็นคณะกรรมการคณะหนึ่งของสภานิติบัญญัติแห่งรัฐ Virginia ได้มอบหมายให้ผู้วิเคราะห์กลุ่มหนึ่งทำการเช็คสอบการบริหารงานของ VSRS อย่างกว้าง ๆ
2. สำนักงานสอบบัญชีซึ่งเดิมเคยรับจ้างกระทบยอดข้อมูลให้ VSRS ทำสัญญาที่จะออกแบบและพัฒนาระบบงานให้ดีขึ้น รวมทั้งจัดวางการควบคุมและวิธีปฏิบัติงานใหม่

3.การเขียนเค้าโครงเรื่องของการทุจริต (Developing Fraud Scenarios) และการปฏิบัติงานของ IT examiners และ Financial examiners
ในขั้นแรกที่มีการพบว่าการทุจริตเกิดขึ้น ผู้ตรวจสอบก็ได้เขียนโครงเรื่องหยาบๆ ไว้แล้ว แต่ไม่มีเวลาที่จะเขียนรายละเอียดเพิ่มขึ้น เพราะจะต้องค้นหารายการทุจริตเพิ่มเติม ผู้ตรวจสอบด้านการเงินซึ่งทำหน้าที่ค้นหารายการทุจริตไม่มีความรู้เกี่ยวกับคอมพิวเตอร์ จึงไม่สามารถเข้าใจระบบการบัญชีและการควบคุมภายในด้านคอมพิวเตอร์ จึงไม่อาจกำหนดรูปแบบและวิธีการตรวจสอบการทุจริตได้ ดังนั้นผู้ตรวจสอบด้านคอมพิวเตอร์จึงต้องเข้ามาช่วยศึกษาระบบ และกำหนดรูปแบบของการทุจริตที่อาจเกิดขึ้นได้ และเป็นผู้แนะนำวิธีการตรวจสอบและแนวการตรวจสอบแต่ละขั้นตอนในเรื่องที่เกี่ยวข้องให้แก่ Financial Examiner เพื่อการปฏิบัติงานการตรวจสอบร่วมกันด้วย และเพื่อให้เห็นภาพที่แท้จริง ผู้ตรวจสอบด้านคอมพิวเตอร์จะติดตามรายการข้อมูลแต่ละรายการของระบบงานตั้งแต่ต้นจนจบ และจะบันทึกวิธีปฏิบัติด้วยมือและเครื่องคอมพิวเตอร์ที่เกี่ยวข้อง พร้อมทั้งเอกสารหลักฐานที่ใช้ตรวจสอบ (Audit Trail Document) จากข้อมูลอันนี้ผู้ตรวจสอบสามารถทราบได้ว่าใครคือผู้อนุมัติรายการทุจริตที่เกิดขึ้น และที่สำคัญมากไปกว่านี้คือ ผู้ตรวจสอบด้านคอมพิวเตอร์สามารถแยกรายการที่มีลักษณะเหมือนกับรายกาทุจริตออกมาต่างหากได้

ลักษณะการตรวจสอบทุจริตแยกได้เป็น 2 แบบ คือ
1. Dynamic คือ การให้ผู้ตรวจสอบคอมพิวเตอร์เป็นผู้ดึงรายการข้อมูลที่น่าสงสัย โดยพิจารณาจากลักษณะของรายการทุจริตที่เกิดมาแล้ว ส่งให้ผู้ตรวจสอบด้านการเงินตรวจสอบเอกสารหลักฐานเพิ่มเติมในกรณีที่เป็นการทุจริตอันเกิดมาจากการแก้ไขข้อมูลที่บันทึกในคอมพิวเตอร์ ผู้ตรวจสอบด้านคอมพิวเตอร์จะต้องพิจารณาดูว่าเค้าโครงเรื่องของการทุจริตเหมือนกับที่เกิดมาแล้วหรือเป็นเรื่องใหม่
2. Descriptive คือ การให้ผู้ตรวจสอบด้านคอมพิวเตอร์เป็นผู้ศึกษาการควบคุมภายในระบบงานที่ใช้คอมพิวเตอร์อย่างกว้าง ๆ เพื่อปรับปรุงเค้าโครงเรื่องการทุจริตที่มีอยู่แล้วให้ดีขึ้น หรือกำหนดรูปแบบของการทุจริตอื่นที่อาจจะเกิดขึ้นได้ เครื่องมือที่จะช่วยให้ผู้ตรวจสอบบรรลุเป้าหมายคือ การทำผังการควบคุมภายใน (Control Flowcharting)

การจัดระดับความเสี่ยงรวม

การจัดระดับความเสี่ยงรวม

4.การจัดทำผังควบคุมภายในระบบงาน (Preparing Control Flowcharts)
เพื่อจะให้เข้าใจการควบคุมภายในระบบงานที่ใช้คอมพิวเตอร์เป็นอย่างดี จำเป็นต้องจัดทำแผนรายละเอียดของการควบคุมของแต่ละระบบงาน ผังการควบคุมนี้จะแสดงวิธีการปฏิบัติงานระบบทั้งมดของระบบงานที่ใช้คอมพิวเตอร์ เมื่อประเมินจุดอ่อนและจุดแข็งของระบบเรียบร้อยแล้ว

5. การใช้โปรแกรมตรวจสอบ (Using Audit Software)
ในการตรวจสอบสอบการทุจริตเกี่ยวกับคอมพิวเตอร์ การวิเคราะห์และดึงข้อมูลออกมาจากเครื่องคอมพิวเตอร์ได้อย่างรวดเร็วและมีประสิทธิภาพเป็นสิ่งสำคัญ ดังนั้นหากไม่ใช้โปรแกรมตรวจสอบช่วยแล้ว ก็ไม่อาจจะตรวจสอบการทุจริตได้อย่างมีประสิทธิผล ผู้ตรวจสอบด้านคอมพิวเตอร์ที่ VSRS มีประสบการณ์ในการใช้โปรแกรมตรวจสอบมาแล้วมากกว่า 1 ปี ดังนั้นภายในเวลา 2 สัปดาห์ก็สามารถใช้โปรแกรมตรวจสอบออกรายงานต่างๆ ได้ประมาณ 150 ชนิด

6. การเข้าไปร่วมในการพัฒนาระบบงานใหม่ (Participating in New System Developing)
จากผลชองการทุจริตที่เกิดขึ้น VSRS จำเป็นต้องวางวิธีการควบคุมใหม่ภายในระบบ Refund โดยเร็วที่สุด ก่อนที่จะดำเนินการปรับปรุงแก้ไข ได้ส่งย้ายพนักงานของแผนก Refund Section ไปทำหน้าที่อื่นโดยให้ผู้ตรวจสอบด้านการเงินทำหน้าที่แทน สำนักงานสอบบัญชีดำเนินการวางระบบการควบคุมและวิธีปฏิบัติงานใหม่เสร็จภายใน 2 สัปดาห์ ผู้ตรวจสอบด้านคอมพิวเตอร์เป็นผู้ตรวจสอบและรับรองการเปลี่ยนแปลงนี้ และยังมีส่วนในการออกแบบและพัฒนาระบบงานร่วมกับบริษัทสืบสวนและสอนสวนทางด้านการบัญชีและการทุจริตด้วย

ผลที่ได้จากการตรวจค้นการทุจริต (Results of the Fraud Investigation)
ผู้ตรวจสอบพบว่ามีการทุจริต 4 แบบ และจำนวนเงินที่ถูกยักยอกไปเท่ากับ US $111,149.92 เหรียญ ดังนี้
1. การแก้ไขรายการในสลิปถองเงิน (The Alteration of Refund Vouchers)
2. การสร้างบัญชีสมาชิกปลอม (Creation of Fictitious Member Contribution Accounts)
3. การยักยอกเงินจากบัญชีที่ไม่เคลื่อนไหว (Looting Inactive Member Contribution Accounts)
4. การสร้างรายการถอนเงินปลอม (Creation of Fictitious Refund Voucher Transactions)

จากการที่ผู้ตรวจสอบได้พบว่าการทุจริตมี 4 แบบข้างต้นนั้น ท่านที่สนใจเมื่ออ่านมาถึงตอนนี้ และนึกถึงเหตุการณ์การทุจริตของสถาบันการเงินของไทย ที่ปรากฏเป็นข่าวประมาณ 2 เดือนนี้ นั้น ท่านคิดว่าการทุจริตในอดีตที่เกิดขึ้นเมื่อประมาณ 30 ปีที่แล้ว สามารถเกิดซ้ำอีกในสถาบันการเงินของไทยได้หรือไม่ ผมขอเกริ่นเล็กน้อยในที่นี้ว่า Lesson – Learned ดี ๆ ที่เกิดขึ้นในวงการต่าง ๆ รวมทั้งวงการสถาบันการเงินทั้งไทยและต่างประเทศ มีโอกาสเกิดซ้ำได้อีกแทบทุกกรณี ทั้งนี้เพราะผู้บริหารที่รับผิดชอบและผู้ปฏิบัติงานที่รับผิดชอบยังขาดความเอาใจใส่ในกระบวนการบริหารความเสี่ยง อย่างเป็นระบบทั้งทางด้าน IT และ Non-IT เท่าที่ควรหลายแห่ง เมื่อใช้บริการจากบุคคลภายนอกแล้ว ก็ค่อนข้างละเลยในมาตรการกำกับและการควบคุมดูแลความเสี่ยง การควบคุมภายในและการตรวจสอบภายในที่ควรกระทำอย่างต่อเนื่องตลอดไป ลองอ่านต่อไปนะครับ

1. การแก้ไขรายการในสลิปถอนเงิน (The Alteration of Refund Vouchers)
การทุจริตวิธีนี้เกิดจากการที่เสมียนเพิ่มจำนวนในสลิปถอนเงินที่ส่งไปยัง สำนักงานคลังของรัฐเพื่อจ่ายเงินให้แก่สมาชิก ฝ่ายบริหารของ VSRS ไม่สามารถตรวจพบการทุจริตวิธีนี้ได้ เพราะการแก้ไขรายการในสลิปเกิดขึ้นหลังจากที่ผู้อำนวยการของ VSRS ได้ตรวจสอบและลงรายชื่อในสลิปเหล่านี้เรียบร้อยแล้ว ตัวอย่างเช่น แก้ไขจำนวนเงินในสลิปถอนเงินจาก US $1,444.49 เหรียญเป็น US $7,444.49 เหรียญ เพิ่มขึ้น US $6,000 เหรียญ ผู้ตรวจสอบพบรายการทุจริตโดยเพียงแต่ตรวจสอบสลิปถอนเงินของ VSRS ทั้งหมดที่ส่งไปยังสำนักงานคลังของรัฐกับใบปะหน้า และรายชื่อของสมาชิกผู้รับเงินและจำนวนเงินที่ได้รับในรายงานคอมพิวเตอร์ ผู้ตรวจสอบยังค้นพบว่าอดีตอดีตพนักงานในแผนก Refund Section สองคนเป็นผู้กระทำการทุจริต และสามารถยักยอกเงินไปได้ US $62,797.72 เหรียญ ตั้งแต่วันที่ 1 มีนาคม ถึง 17 พฤษภาคม 2520

ท่านผู้อ่านที่ได้อ่านมาถึงตอนนี้ก็จะพบว่า การทุจริตของบริษัท VSRS เมื่อเทียบกับเม็ดเงินที่เสียหายในอดีตกับความเสียหายจากการทุจริตกรณีธนาคาร Socgen ที่เป็นเงินประมาณ 7,000,000,000 ล้านเหรียญ US (เจ็ดพันล้านเหรียญสหรัฐ) นั้น มีมูลค่าต่างกันอย่างมหาศาล และเมื่อเปรียบเทียบกับความเสียหายของวงการสถาบันการเงินต่าง ๆ ในประเทศสหรัฐอเมริการและยุโรป ในยุค Hamburger Crisis ในปัจจุบันที่เกี่ยวข้องกับการละเลย การยกเว้น ความมั่นใจจนเกินขอบเขต การไม่กำหนดและการไม่ปฏิบัติตามหลักการ Risk Appetite และ Risk Tolerance ซึ่งเป็นระดับความเสี่ยงในระดับที่ยอมรับได้ ที่ทุกองค์กรต้องจัดให้มีขึ้น และการละเลย ติดตาม ตรวจสอบ รายงานที่สำคัญ ๆ ทั้งการเงินและไม่ใช่การเงิน ++ ซึ่งเป็นไปตามหลักการบริหารความเสี่ยงที่ดี ทำให้แทบทุกประเทศในโลกก้าวสู่ยุคเศรษฐกิจถดถอยรุนแรงที่สุดในประวัติศาสตร์

การตรวจสอบการควบคุมภายในและ Operational Risk ของสถาบันการเงิน โดย ธปท.

การตรวจสอบการควบคุมภายในและ Operational Risk ของสถาบันการเงิน โดย ธปท.

ดังนั้น การบริหารความเสี่ยง การควบคุมภายในตามฐานความเสี่ยงและการตรวจสอบตามฐานความเสี่ยง ที่ต้องมีจริยธรรม และความมุ่งมั่นที่จะเห็นองค์กรก้าวไปสู่ทิศทางที่ถูกต้อง จึงเป็นเรื่องสำคัญอย่างยิ่งที่ต้องพิจารณาควบคู่กันไปกับการบริหารและการตรวจสอบการทุจริตที่ไม่อาจละเว้นได้ในทุกองค์กร ขอให้ท่านลองอ่านบทความของ VSRS ต่อไป และลองพิจารณาดูว่า COSO – ERM มีความสำคัญอย่างไร โดยเฉพาะอย่างยิ่ง IT Risk ที่เกี่ยวข้องกับ COSO

2. การสร้างบัญชีสมาชิกปลอม (Creation of Fictitious Member Contribution Accounts – MCA)
การตรวจพบว่ามีการแก้ไขจำนวนเงินในสลิป ทำให้ผู้ตรวจสอบพบว่ามีการทุจริตแบบอื่นอีกที่ใช้วิธีสร้างรายการแปลกปลอมเข้าไปเก็บไว้ใน Refund Systems ดังนั้นผู้ที่จะช่วยเหลือในการตรวจค้นการทุจริตวิธีนี้ก็คือ ผู้จัดการฝ่ายประมวลข้อมูล ซึ่งมีความรู้ความชำนาญด้านเทคนิคเกี่ยวกับระบบคอมพิวเตอร์ของ VSRS เป็นอย่างดี

จากคำบอกเล่าเกี่ยวกับลักษณะของรายการทุจริต ประกอบกับความรู้ความชำนาญด้านเทคนิคทำให้ผู้จัดการฝ่ายประมวลผลข้อมูลสามารถดึงรายการทุจริตออกมาได้เพิ่มขึ้นอีก ซึ่งเป็นผลทำให้ผู้อำนวยการฝ่ายตรวจสอบและเจ้าหน้าตำรวจเริ่มสงสัยผู้จัดการฝ่ายประมวลข้อมูล เนื่องจากสามารถค้นหารายการทุจริตได้รวดเร็วมาก และเท่ากับย้ำความคิดที่ว่าผู้ทุจริตจะต้องเป็นผู้ที่มีความเชี่ยวชาญทางด้านคอมพิวเตอร์ แต่ก็ไม่พบหลักฐานใดที่แสดงว่าผู้จัดการฝ่ายประมวลข้อมูลเป็นผู้ที่กระทำการทุจริตเอง

ลักษณะทั่ว ๆ ไป ของบัญชีปลอมใน MCA master file มีดังนี้
1. บัญชีที่มี State Code เป็น 3
2. ช่องที่ใช้สำหรับบันทึกจำนวนเงิน (Contribution Update File) มียอดเป็นศูนย์
3. ไม่มีแบบฟอร์มใยสมัครเป็นสมาชิก (VSRS-1)

3. การยักยอกเงินจากบัญชีที่ไม่เคลื่อนไหว (Looting Inactive Member Contribution Accounts)
ผู้ทุจริตได้ถูกยักยอกเงินตามวิธีที่ 2 ในเดือนมิถุนายน 25820 เพราะนายจ้างที่เคยส่งรายงานล่าช้า รวมทั้ง Fairfax Country ได้ปรับปรุงการส่งรายงานให้เร็วขึ้นแล้ว จึงคิดว่าไม่มีทางยักยอกเงินได้อีก แต่ถ้าหากทราบว่าไม่มีการควบคุมภายในระบบ Refund เพียงพอที่จะค้นพบบัญชีปลอมได้ ก็คงจะยังทำเช่นนี้ต่อไป เวลาต่อมาเสมียนในแผนกคนหนึ่งได้ลาออกไป

ในระหว่างเดือนพฤษภาคมและมิถุนายน 2520 เจ้าหน้าที่ผู้ควบคุมการตรวจสอบ EDP ได้ทำการตรวจสอบเบื้องต้นเกี่ยวกับระบบงานที่ใช้คอมพิวเตอร์ ซึ่งรวมการสอบถามพนักงานในแผนก Refund ด้วย เมื่อผู้จัดการฝ่าย Operation ทราบว่าผู้ตรวจสอบกำลังให้ความสนใจเกี่ยวกับความอ่อนแอของการควบคุม ก็ได้ลาอกไปตอนปลายเดือนมิถุนายน 2520

ในเดือนกันยายน 2520 ก็มีรายการทุจริตแบบใหม่เกิดขึ้นอีก คราวนี้เป็นการลักลอบถอนเงินจากบัญชีสมาชิกรายที่ไม่มีรายการเคลื่อนไหวในแผนก MCA master file ผู้ตรวจสอบค้นพบการทุจริตวิธีนี้ได้โดยการคัดเลือกสลิปคืนเงินที่มีชื่อ L.A. Tanner ซึ่งเป็นชื่อบัญชีปลอมในการทุจริตกรณีอื่นๆ ปรากฏว่ามีสลิปใบหนึ่งลงวันที่ 17 ตุลาคม 2520 ลงนาม L.A. Tanner และเมื่อสอบถามรายละเอียดในสลิปย้อนกลับไป แทนที่จะพบว่าเป็นรายการถอนเงินจากบัญชีปลอม กลับกลายเป็นรายการถอนเงินจากบัญชีที่ไม่เคลื่อนไหว ซึ่งยังคงมียอดคงเหลืออยู่ และชื่อบัญชีในคอมพิวเตอร์ก็เป็นชื่อจริง แต่ในสลิปถอนเงินลงชื่อ L.A. Tanner

เมื่อผู้ตรวจสอบด้านคอมพิวเตอร์ทำการวิเคราะห์เพิ่มเติม ก็ทราบว่าการทุจริตเกิดขึ้นได้เพราะเสมียนในแผนก Refund เป็นผู้เจาะบัตรถอนเงินบางรายจากเอกสารเบื้องต้น (เช่น VSRS-3 หรือรายงานบัญชีที่ไม่เคลื่อนไหว) ซึ่งรวมถึงการเจาะรายชื่อลงบัตรด้วย เมื่อส่งบัตรที่เจาะแล้วไปเข้าเครื่องคอมพิวเตอร์โปรแกรมคอมพิวเตอร์จะพิมพ์รายงาน ชื่อ และจำนวนเงินที่ถอนคืน ตามข้อมูลในบัตรเจาะโดยที่ไม่ได้เช็คสอบกับชื่อในยอดคงเหลือในบัญชีที่แท้จริงในคอมพิวเตอร์ และถ้าหากจะมีผลต่างเกิดขึ้นก็ไม่มีใครตรวจพบ เพราะเสมียนเป็นผู้ควบคุมงานตั้งแต่ต้นจนจบ บัญชีที่ไม่เคลื่อนไหวเป็นบัญชีซึ่งไม่มีรายการฝากถอนมานานแล้ว และเจ้าของบัญชีบางรายสิ้นชีวิตไปแล้ว ผู้ที่มีสิทธิ์รับเงินจึงไม่ทราบยอดเงินคงเหลือในบัญชี

ดังนั้นเสมียน Refund เพียงแต่เจาะชื่อปลอมลงในบัตรถอนเงินคืน (Refund Card) เท่านั้นก็ยักยอกเงินมาใช้ได้ นอกจากนี้ระบบคอมพิวเตอร์ของ VSRS ไม่มีโปรแกรมที่จะป้องกันการถอนเงินจากบัญชีที่มียอดคงเหลือเป็นศูนย์ ฉะนั้นเสมียนจึงสามารถถอนเงินออกไปเป็นจำนวนเท่าใดก็ได้ ไม่ว่าในบัญชีจะมียอดคงเหลือหรือไม่ก็ตาม

ผู้ตรวจสอบได้ดำเนินการค้นหารายการที่ทุจริตโดยยึดถือรายงานบัญชีไม่เคลื่อนไหวฉบับก่อนเป็นหลัก เพราะเชื่อว่าเสมียน Refund ใช้รายงานนี้เป็นแหล่งของข้อมูลที่ใช้ในการทุจริต ณ สิ้นเดือนมิถุนายน 2520 VSRS มีบัญชีไม่เคลื่อนไหวรหัส (Status) 3, 4 และ 5 ประมาณ 5,000 บัญชี ยอดคงเหลือในบัญชีเป็นบวกและลบทั้งสิ้นมากกว่า US $+200,000 เหรียญ และ US $-125,000 เหรียญ ตามลำดับ นอกจากนั้นยังมีบัญชีไม่เคลื่อนไหวรหัส 2 กว่า 62,000 บัญชี ยอดคงเหลือรวมมากกว่า US $100 ล้านเหรียญ เนื่องจากบัญชีไม่เคลื่อนไหวมีมาก

ดังนั้นผู้ตรวจสอบจึงใช้คอมพิวเตอร์ช่วยในการตรวจสอบและวิเคราะห์ ผู้ตรวจสอบคอมพิวเตอร์ใช้โปรแกรมเปรียบเทียบรายการถอนเงิน (Refund Transactions) ใน History Tape กับบัญชี MCA master file ของปีปัจจุบันและปีก่อนที่มีหมายเลขประกันสังคมตรงกัน เสมียน Refund ไม่สามารถเปลี่ยนแปลงแก้ไขหมายเลขประกันสังคมได้เมื่อเจาะบัตรถอนเงินคืน เพราะหมายเลขประกันสังคมเป็นข้อบังคับส่วนหนึ่งของการนำเข้าข้อมูล MCA master file เข้าไปในคอมพิวเตอร์คอมพิวเตอร์จะดึงรายการถอนเงินใน History Tape ที่มีหมายเลขประกันสังคมเหมือนกับบัญชีใน MCA master file แต่มีชื่อสมาชิกเจ้าของบัญชีต่างกันออกมาประมาณ 3,000 รายการ และพิมพ์เป็นรายงานส่งให้ผู้ตรวจสอบด้านการเงิน (Financial Auditors) ทำการตรวจสอบความถูกต้องของรายการเหล่านี้ต่อไป

อย่างไรก็ตามรายการถอนเงินซึ่งมีหมายเลขประกันสังคมและชื่อบัญชีเหมือนกันใน MCA master file ก็อาจจะเป็นรายการที่ทุจริตได้ เพราะอาจจะมีการส่งเช็คไปให้แก๊งผู้ทุจริต ฉะนั้นวิธีที่จะค้นพบการทุจริตเช่นนี้ คือ สอบถามไปยังเจ้าของบัญชีว่าได้รับเงินที่ถอนไปหรือไม่ นับตั้งแต่เดือนกันยายน 2520 จนถึงมกราคม 2521 เสมียนและหัวหน้าแผนก Refund ยักยอกเงินไปได้เพียง US $10,670.40 เหรียญ ในนามของตนเอง ญาติและเพื่อน ๆ

4. การสร้างรายการถอนเงินปลอม (Creation of Fictitious Refund Voucher Transactions)
การทุจริตแบบวิธีนี้ง่ายมากหัวหน้าแผนก Refund เป็นผู้ปลอมแปลงสลิปถอนเงินเองโดยไม่ผ่านคอมพิวเตอร์ ประทับตรา “ด่วนมาก” (RUSH) ลงในสลิป แล้วส่งให้ผู้อำนวยการของ VSRS ลงนามอนุมัติเพื่อส่งต่อไปให้สำนักงานคลังของรัฐและสำนักบัญชีกลางของรัฐ ต่อมาสำนักงานคลังของรัฐก็จะส่งเช็คมาให้ผู้ทุจริตหัวหน้าแผนก Refund กล้าทำวิธีนี้เพราะทราบจากการที่ได้พูดคุยกับผู้ตรวจสอบด้านการเงินระหว่างที่ทำการตรวจสอบเบื้องต้นเกี่ยวกับระบบ Refund ว่า ผู้ตรวจสอบไม่ทราบมาก่อนว่าการจัดทำสลิปถอนเงินด้วยมือสามารถกระทำได้

การจัดระดับโดยรวม

การจัดระดับโดยรวม

สรุปกรณีศึกษาการทุจริตของ Virginia
1. การตรวจสอบเพื่อค้นหารายการทุจริตทั้งหมดได้เสร็จสิ้นลงในเดือนพฤษภาคม 2521 สรุปได้ว่ามีผู้ทุจริตทั้งสิ้น 16 คน เป็นพนักงานของ VSRS 3 คน และบุคคลภายนอก 13 คน ถูกส่งฟ้องในข้อหาโจรกรรมและมีส่วนร่วมในการโจรกรรม ศาลพิพากษาให้จำคุกรวมทั้งสิ้น 50 ปี ผู้ที่ได้รับโทษหนักที่สุดคือ หัวหน้าแผนก Refund 8 ปี เสมียนแผนก Refund 2 คน คนละ 6 ปี จนถึงมิถุนายน 2521 ผู้ตรวจสอบก็กลับไปตรวจสอบด้านการเงินตามปกติต่อไปจนเสร็จสิ้นเดือนพฤศจิกายน 2521 แล้วส่งรายงานงบแสดงฐานะการเงินของ VSRS พร้อมทั้งความเห็นของผู้สอบบัญชีให้แก่ฝ่ายบริหารของ VSRS

2. ในการตรวจสอบระบบคอมพิวเตอร์ของ VSRS ครั้งนี้ ผู้ตรวจสอบด้านคอมพิวเตอร์ได้พบอุปสรรคในการตรวจสอบที่สำคัญ 2 ประการ คือ
2.1. ฝ่ายบริหารของ VSRS ไม่ให้ความร่วมมือและแสดงอาการไม่พอใจที่ผู้ตรวจสอบเข้าไปแทรกแซงระบบคอมพิวเตอร์
2.2. เนื่องจาก VSRS จัดทำคู่มือประกอบระบบงาน ( System Document) ไม่ดีพอ ดังนั้นความรู้เกี่ยวกับระบบงานส่วนใหญ่ได้มาจากการสอบถามพนักงานของ VSRS โดยตรง ผลเสียของการใช้วิธีการสอบถามก็คือ พนักงานของ VSRS จะทราบในระหว่างที่สอบถามว่าผู้ตรวจสอบยังไม่ทราบเรื่องใดบ้าง และจะพยายามไม่ตอบหรือเปิดเผยสิ่งที่นอกเหนือคำถาม ฉะนั้นจึงทำให้ผู้ตรวจสอบไม่สามารถเข้าใจระบบงานนั้นได้อย่างลึกซึ้งและมองข้ามจุดอ่อนบางอย่างไปได้

3. ความร่วมมือและการชี้แนะของ EDP/IT examiner ต่อ Financial examiner เพื่อการตรวจสอบการทุจริตทางการเงิน มีความสำคัญยิ่งต่อความสำเร็จในการปฏิบัติงานในครั้งนี้ ทั้งนี้เพราะการตรวจพบการทุจริตทั้ง 4 แบบ เป็นงานการตรวจสอบด้าน Financial แต่การ process งานด้านบัญชีกระทำโดยระบบคอมพิวเตอร์ดังนั้นความร่วมมือและการประสานงานของผู้ตรวจสอบในแต่ละด้าน จึงเป็นสิ่งจำเป็นจะต้องดำเนินการควบคู่กันไปเสมอ

4. จุดอ่อนของระบบงานที่ช่องทางให้เกิดการทุจริต
4.1. ไม่มีการควบคุมการเข้าและออก Storeroom ซึ่งเป็นห้องที่ใช้เก็บ VSRS-1 และ VSRS-3 ทำให้พนักงาน VSRS สามารถปลอมแปลงเอกสารดังกล่าวไปเก็บไว้ในห้อง หรือนำเอกสารออกมาใช้โดยไม่ได้รับอนุญาตหรือมีส่วนเกี่ยวข้อง เสมียนในแผนก Refund อาศัยจุดอ่อนนี้ปลอมแปลง VSRS-3 เพื่อสร้างบัญชีสมาชิกปลอมขึ้นตามผลที่ได้จากการตรวจค้นการทุจริต จากการสร้างบัญชีสมาชิกปลอม
4.2. การยินยอมให้ถอนเงินก่อนและจะบันทึกหักบัญชีภายหลังเมื่อนายจ้างส่งรายงาน Contribution Report มาให้ครบถ้วนแล้ว เสมียนในแผนก Refund อาศัยจุดอ่อนนี้แก้ไขจำนวนเงินใน สลิปถอนเงินโดยไม่ต้องพะวงว่ายอดในบัญชีจะมียอดคงเหลือพอหรือไม่ ตามผลที่ได้จากการตรวจค้นการทุจริต การแก้ไขรายการในสลิปถอนเงิน
4.3. การยินยอมให้เสมียนในแผนก Refund เป็นผู้มีอำนาจเจาะบัตรถอนเงินในบัญชีที่ไม่เคลื่อนไหว และรายงานถอนเงินนี้จะไม่ปรากฏใน Refund Inventory Tape เสมียนในแผนก Refund อาศัยจุดอ่อนนี้ยักยอกเงินจากบัญชีที่ไม่เคลื่อนไหวตามผลที่ได้จากการตรวจค้นการทุจริต การยักยอกเงินจากบัญชีที่ไม่เคลื่อนไหว
4.4. การแบ่งแยกหน้าที่ในฝ่ายประมวลข้อมูลไม่เหมาะสม แผนก Contribution Reporting Section ซึ่งมีหน้าที่เกี่ยวกับการรับเงินฝากและถอนเงินฝากอยู่ภายใต้การบังคับบัญชาของผู้จัดการฝ่ายประมวลข้อมูลและฝ่ายประมวลข้อมูลยังมีหน้าที่รับผิดชอบเกี่ยวกับความถูกต้องของยอดรวมใน Control Book ด้วย
4.5. ผู้จัดการฝ่ายประมวลข้อมูลซึ่งเป็นผู้ที่เขียนโปรแกรม และวิเคราะห์ระบบงานสามารถเข้าไปใช้แฟ้มข้อมูลและโปรแกรมทั้งหมดโดยไม่จำกัด

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กบข. กับกรณีการตรวจสอบการทุจริตของกองทุนเลี้ยงชีพ The Virginia Supplemental Retirement System กับผู้ตรวจสอบ

พ.ค. 28, 2009

ผมกำลังนำบทเรียนเกี่ยวกับการทุจริตของกองทุนเลี้ยงชีพในต่างประเทศ ซึ่งเกิดขึ้นเมื่อหลายปีก่อนมาให้ท่านได้ศึกษา เพื่อเปรียบเทียบกับกรณีการทุจริตต่าง ๆ ที่กำลังเกิดขึ้นในวงการสถาบันการเงินของไทย เพื่อให้ท่านเกิดแนวคิด และเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศเพื่อใช้ในการบริหารและการจัดการ ที่จำเป็นต้องมีการควบคุมทางด้าน IT Security อย่างละเอียดและอย่างเข้าใจถึงช่องว่างที่เป็นจุดเปิดของการทุจริต (Exposure) ได้ เพื่อจะนำมาเปรียบเทียบถึงสิ่งที่เกิดขึ้นในบ้านเรา และสร้างความตระหนักถึงการบริหารอย่างสอดประสานและบูรณาการในเชิงรุกอย่างแท้จริง ซึ่งในที่สุดแล้วจะเกี่ยวข้องกับการบริหารและการจัดการทางด้าน CG + ITG + GRC + COSO – ERM อย่างเป็นกระบวนการ และผสมผสานระหว่างการบริหารงานด้าน IT และ Non – IT โดยมีวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ แผนการปฏิบัติงาน ตัวชี้วัดผลการปฏิบัติงาน การติดตามและการรายงานผล รวมทั้งการตรวจสอบตามฐานความเสี่ยงแบบบูรณาการ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

บทเรียนของต่างประเทศที่จะกล่าวต่อไปเพิ่มเติมจากวันก่อนนั้น ก็จะเป็นอุทธาหรณ์สำหรับการบริหารของกองทุนเลี้ยงชีพของไทย เช่น กบข. รวมทั้งองค์กรอื่นที่สนใจในเรื่องเกี่ยวกับการตรวจสอบการทุจริตในแง่มุมต่าง ๆ ที่ต้องใช้ประสบการณ์ในการตรวจสอบทางด้านคอมพิวเตอร์เป็นหลัก

ท่านคงไม่ลืมเรื่องราวที่ผมพูดถึงกรณีการทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่เป็นอันดับ 2 ของประเทศฝรั่งเศสที่ถูกทุจริต รวมกันเป็นเงินทั้งสิ้นประมาณ 3 แสนล้านบาท ซึ่งเกิดจากบุคคลที่รู้เรื่อง IT เป็นอย่างดีเพียงคนเดียว ท่านลองไปทบทวนเรื่องนี้ประกอบกับบทเรียนใหม่ที่จะกล่าวในวันนี้

จากการตรวจสอบในเบื้องต้นในการจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems) ซึ่งแบ่งออกเป็น 4 ระบบ ที่ได้กล่าวถึงระบบ Member Contribution Accord (MCA) System ไปในครั้งที่แล้ว และจะขอกล่าวต่อถึงระบบต่อไป ดังนี้

2. Refund System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการจ่ายคืนเงินให้แก่สมาชิกรายที่ออกจากงาน และยื่นหนังสือแสดงความจำนงขอถอนเงินทีฝากไว้คือ ในกรณีที่สมาชิก (Active Member) ถึงแก่กรรม VSRS จะคืนเงินที่รับฝากให้แก่กองมรดก หรือผู้รับประโยชน์ และปรับปรุงยอดคงเหลือในบัญชีของสมาชิกที่รับเงินคืนไป

ในแต่ละปี VSRS จะคืนเงินให้สมาชิก 18,000 – 22,000 ราย เป็นจำนวนเงินประมาณ 14-21 ล้านเหรียญ ส่วนใหญ่จะอยู่ในช่วงฤดูร้อน เพราะอัตราการเปลี่ยนงานสูง โดยเฉพาะอาชีพครู

เมื่อสมาชิกมีความประสงค์จะขอถอนเงินคืน จะต้องกรอกแบบฟอร์ม VSRS-3 รูปภาพที่ 3 ซึ่งระบุหมายเลขประกันสังคม ชื่อ ที่อยู่ วัน เดือน ปีเกิด และชื่อของนายจ้าง หลังจากลงรายมือชื่อเรียบร้อยแล้วก็ให้ส่ง VSRS-3 ไปยังแผนกเงินเดือนของตน แผนกเงินเดือนจะกรอกรายละเอียดที่เหลือของแบบฟอร์ม VSRS-3 ท่อนล่างซึ่งระบุวันที่ ที่หักเงินเดือนครั้งสุดท้าย ชื่อ และรหัสประจำตัวของนายจ้าง และรายละเอียดของเงินนำส่งที่ยังไม่ได้รายงานให้ VSRS ทราบ จากนั้นก็ลงนามแล้วก็ส่งไปให้ VSRS ซึ่งจะมอบหมายให้แผนก Refund section (สังกัดอยู่ใน Membership and Office Department) ตรวจสอบความสมบูรณ์ของเอกสาร จากนั้นจะส่ง VSRS-3 ไปให้ฝ่ายประมวลข้อมูลทำการเจาะบัตรเพื่อบันทึกลงเทปที่เรียกว่า Refund Inventory Computer Tape ซึ่งใช้สำหรับบันทึกรายการขอถอนเงินคืนที่ยังคงค้างยู่ทั้งหมด และพิมพ์รายละเอียดของรายการขอถอนเงินคืนที่คงค้างในเทป ฝ่ายประมวลข้อมูลจะส่งรายละเอียดนี้พร้อมกับเทปไปให้แผนก Refund section

แผนก Refund Section จะนำ VSRS-1 ซึ่งเก็บไว้ใน Storeroom มาประกบกับ VSRS-3 รายที่ขอถอนเงินคืน แล้ก็รวบรวมกันไว้ในแฟ้ม พนักงานประจำเครื่องรับส่งข้อมูล (RJE Operator) จะเรียกโปรแกรมคอมพิวเตอร์เพื่อมาทำการเปรียบเทียบข้อมูลที่เก็บไว้ใน Refund Inventory Tape กับ MCA Master Fileและพิมพ์รายงานยอดคงเหลือของแต่ละบัญชีสัปดาห์ละครั้ง แล้วส่งรายงานนี้ไปให้แผนก Refund Section ตรวจสอบกับ VSRS-3 ที่เก็บไว้ในแฟ้ม แผนก Refund Section จะคำนวณเงินที่ต้องคืนแก่สมาชิกจากแบบฟอร์ม VSRS-3 ท่อนล่าง ซึ่งจะเท่ากับจำนวนเงินที่ปรากฏตามรายงานยอดคงเหลือในบัญชี + ส่วนที่นายจ้างรับรอง ว่าได้หักจากเงินเดือนของพนักงานแล้ว แต่ยังไม่ได้รายงานให้ VSRS ทราบ

แผนกบัญชี (According Section) จะออกสลิปปะหน้า (Voucher Cover Sheet) VSRS-3 ส่งให้ฝ่ายประมวลข้อมูลเจาะรหัสบนบัตร Refund Card รูปภาพที่ 4 แล้วจัดทำรายละเอียดที่ขอถอนคืนแต่ละราย และรวมยอดจำนวนเงินที่ขอถอนคืนทั้งสิ้นตาม Refund Card เปรียบเทียบกับจำนวนเงินรวมในสลิปปะหน้า อย่างไรก็ตามการถอนเงินคืนไม่จำเป็นต้องถอนเงินจนยอดในบัญชีเหลือเป็นศูนย์ แต่จะกำหนดรหัสพิเศษให้เพื่อแสดงว่า บัญชีนี้มีการถอนเงินคืนไปแล้ว เสร็จแล้วจะโอนรายการถอนเงินคืนจาก Refund Inventory Tape ไปเก็บไว้ใน Refund Transaction History Tape สำหรับ Refund Card ฝ่ายประมวลข้อมูลจะเก็บเข้าแฟ้มไว้เพื่อใช้ในการหักบัญชีสมาชิกต่อไป เมื่อนายจ้างส่งเงินมาให้เพิ่มเติมตามที่ระบุไว้ใน VSRS-3 โดนเรียงลำดับตามหมายเลขรหัสของนายจ้าง และวันครบกำหนดในแฟ้มนี้จะมี Refund Card ประมาณ 2,000-3,000 ใบ

ฝ่ายประมวลข้อมูลจะส่งรายงานคอมพิวเตอร์และ VSRS-3 กลับคืนไปให้ Refund Section เพื่อเช็คสอบยอดรวม เสร็จแล้ว Refund Section จะส่งสลิปถอนเงิน (Voucher) ไปให้ผู้อำนวยการ VSRS ลงนาม สั่งจ่ายเมื่อ Refund Section ได้รับสลิปคืนมาก็จะส่งทางไปรษณีย์ไปให้สำนักงานคลังของรัฐ (State Treasurer’s Office) พร้อมกับที่อยู่ตามที่ระบุไว้ในท่อนล่างของ VSRS-3 และจะส่งสลิปต้นฉบับไปให้สำนักงานบัญชีกลางของรัฐ (State Comptroller’s Office) ส่วนสลิปชุดสำเนาจะถูกส่งไปยังแผนกบัญชี เพื่อบันทึกไว้ในสมุดบัญชีเงินสดจ่าย (Cash Disbursements Ledger) แล้วส่งกลับไปเก็บเข้าใน Refund Section

ตามที่กล่าวไว้ในตอนต้นแล้วว่า VSRS จะยังไม่คืนเงินให้แก่สมาชิกจนกว่านายจ้างจะส่งรายงานและเงินมาให้จนครบแล้ว ดังนั้นเมื่อนายจ้างส่งรายงานมาครบแล้ว เสมียนในแผนก Contribution Reporting Section จะดึง Refund Card รายที่มีวันครบกำหนดตรงกับวันที่ในรายงาน (Reporting Period Data) จากนั้นจะส่ง Refund Card ไปให้พนักงานประจำเครื่อง RJE เพื่อลดยอดคงเหลือในบัญชีตามที่กำหนดใน Refund Card แล้วสั่งให้เครื่องคอมพิวเตอร์พิมพ์รายงานจำนวนเงินที่ถอนคืนไปทั้งหมด (Refund Total Report) โดยแสดงรายละเอียดเฉพาะหมายเลขประจำตัวนายจ้างและจำนวนเงินรวมแต่ละราย จากนั้นก็บันทึกจำนวนเงินที่ถอนไปทั้งสิ้นใน Control Bookซึ่งเป็นสมุดเล่มเดียวกับที่เคยบันทึกจำนวนเงินรับจากสมาชิกทั้งสิ้นเสร็จแล้วก็ทิ้ง Refund Cardไป

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ในกรณีที่ยังมียอดคงเหลืออยู่ในบัญชีหลังจากที่คืนเงินให้สมาชิกแล้ว ทั้งนี้อาจจะเนื่องมาจากการคำนวณผิดพลาด ดังนั้นแผนก Refund Section จะต้องตรวจสอบดูว่าควรจะคืนเงินที่เหลือให้แก่สมาชิกหรือไม่ ในบางกรณีก็จะส่งใบยืนยันยอดไปให้สมาชิกหรือนายจ้าง เมื่อได้รับใบยืนยันยอดคืนมาจะส่งไปให้ฝ่ายประมวลขอมูลพร้อมกับ Refund Worksheets เพื่อเจาะรหัสลงบัตร แต่โดยปกติเสมียนในแผนก Refund Section จะเป็นผู้เจาะบัตรด้วยตัวเอง จากนั้นก็ดำเนินการเหมือนกับกรรมวิธีข้างต้น ยกเว้นว่าไม่ต้องบันทึกรายการขอ Refund ไว้ใน Refund Inventory Tape

การคืนเงินให้แก่ผู้รับประโยชน์หรือกองมรดก ก็คงดำเนินวิธีการเช่นเดียวกับการคืนเงินตามปกติ

สำหรับรูปภาพประกอบคำอธิบาย หากเป็นไปได้ผมจะนำมาเสนอให้ทราบในโอกาสต่อไป เพื่อสร้างความเข้าใจสำหรับผู้ที่สนใจอย่างแท้จริง ถึงการตรวจสอบในรายละเอียดที่มีลักษณะเป็นการตรวจสอบเชิงสอบสวนและหาหลักฐานที่เกี่ยวข้องทางด้านคอมพิวเตอร์ ที่มีลักษณะเป็น Forensic Audit แบบหนึ่ง

ท่านผู้บริหารและท่านผู้ตรวจสอบทางด้าน IT และ Non – IT ครับ ท่านได้อ่านถึงการตรวจสอบอย่างเป็นกระบวนการ 2 ใน 4 ระบบงานหลักของการบริหารกองทุนเลี้ยงชีพเพื่อการศึกษาแห่งนี้ไปแล้ว ท่านได้ภาพอะไรบ้างไหมครับว่า ในกรณีที่ท่านต้องติดตาม สอบสวน เรื่องราวการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ในเชิงลึก และมีหลักฐานอย่างแท้จริงถึงสาเหตุที่เป็น Root Cause ของปัญหาในการทุจริต เพื่อหาแนวทางควบคุม และป้องกันมิให้เหตุการณ์ทำนองเดียวกันนี้เกิดขึ้นอีกในองค์กรของท่าน

โปรดติดตามการตรวจสอบอีก 2 ระบบงานหลักต่อไปนะครับ และขณะเดียวกันขอให้ท่านพิจารณาด้วยว่าการดำเนินการร่วมกันระหว่าง IT Auditor กับ Non – IT Auditor มีความเหมาะสม หรือน่าจะปรับปรุงอะไรบ้าง ให้เหมาะกับเทคโนโลยียุคใหม่ที่ได้เปลี่ยนแปลงไปมากแล้ว

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กบข. กับกรณีการตรวจสอบการทุจริตของกองทุนเลี้ยงชีพ The Virginia Supplemental Retirement System กับผู้ตรวจสอบ

พ.ค. 28, 2009

ผมกำลังนำบทเรียนเกี่ยวกับการทุจริตของกองทุนเลี้ยงชีพในต่างประเทศ ซึ่งเกิดขึ้นเมื่อหลายปีก่อนมาให้ท่านได้ศึกษา เพื่อเปรียบเทียบกับกรณีการทุจริตต่าง ๆ ที่กำลังเกิดขึ้นในวงการสถาบันการเงินของไทย เพื่อให้ท่านเกิดแนวคิด และเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศเพื่อใช้ในการบริหารและการจัดการ ที่จำเป็นต้องมีการควบคุมทางด้าน IT Security อย่างละเอียดและอย่างเข้าใจถึงช่องว่างที่เป็นจุดเปิดของการทุจริต (Exposure) ได้ เพื่อจะนำมาเปรียบเทียบถึงสิ่งที่เกิดขึ้นในบ้านเรา และสร้างความตระหนักถึงการบริหารอย่างสอดประสานและบูรณาการในเชิงรุกอย่างแท้จริง ซึ่งในที่สุดแล้วจะเกี่ยวข้องกับการบริหารและการจัดการทางด้าน CG + ITG + GRC + COSO – ERM อย่างเป็นกระบวนการ และผสมผสานระหว่างการบริหารงานด้าน IT และ Non – IT โดยมีวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ แผนการปฏิบัติงาน ตัวชี้วัดผลการปฏิบัติงาน การติดตามและการรายงานผล รวมทั้งการตรวจสอบตามฐานความเสี่ยงแบบบูรณาการ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

บทเรียนของต่างประเทศที่จะกล่าวต่อไปเพิ่มเติมจากวันก่อนนั้น ก็จะเป็นอุทธาหรณ์สำหรับการบริหารของกองทุนเลี้ยงชีพของไทย เช่น กบข. รวมทั้งองค์กรอื่นที่สนใจในเรื่องเกี่ยวกับการตรวจสอบการทุจริตในแง่มุมต่าง ๆ ที่ต้องใช้ประสบการณ์ในการตรวจสอบทางด้านคอมพิวเตอร์เป็นหลัก

ท่านคงไม่ลืมเรื่องราวที่ผมพูดถึงกรณีการทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่เป็นอันดับ 2 ของประเทศฝรั่งเศสที่ถูกทุจริต รวมกันเป็นเงินทั้งสิ้นประมาณ 3 แสนล้านบาท ซึ่งเกิดจากบุคคลที่รู้เรื่อง IT เป็นอย่างดีเพียงคนเดียว ท่านลองไปทบทวนเรื่องนี้ประกอบกับบทเรียนใหม่ที่จะกล่าวในวันนี้

จากการตรวจสอบในเบื้องต้นในการจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems) ซึ่งแบ่งออกเป็น 4 ระบบ ที่ได้กล่าวถึงระบบ Member Contribution Accord (MCA) System ไปในครั้งที่แล้ว และจะขอกล่าวต่อถึงระบบต่อไป ดังนี้

2. Refund System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการจ่ายคืนเงินให้แก่สมาชิกรายที่ออกจากงาน และยื่นหนังสือแสดงความจำนงขอถอนเงินทีฝากไว้คือ ในกรณีที่สมาชิก (Active Member) ถึงแก่กรรม VSRS จะคืนเงินที่รับฝากให้แก่กองมรดก หรือผู้รับประโยชน์ และปรับปรุงยอดคงเหลือในบัญชีของสมาชิกที่รับเงินคืนไป

ในแต่ละปี VSRS จะคืนเงินให้สมาชิก 18,000 – 22,000 ราย เป็นจำนวนเงินประมาณ 14-21 ล้านเหรียญ ส่วนใหญ่จะอยู่ในช่วงฤดูร้อน เพราะอัตราการเปลี่ยนงานสูง โดยเฉพาะอาชีพครู

เมื่อสมาชิกมีความประสงค์จะขอถอนเงินคืน จะต้องกรอกแบบฟอร์ม VSRS-3 รูปภาพที่ 3 ซึ่งระบุหมายเลขประกันสังคม ชื่อ ที่อยู่ วัน เดือน ปีเกิด และชื่อของนายจ้าง หลังจากลงรายมือชื่อเรียบร้อยแล้วก็ให้ส่ง VSRS-3 ไปยังแผนกเงินเดือนของตน แผนกเงินเดือนจะกรอกรายละเอียดที่เหลือของแบบฟอร์ม VSRS-3 ท่อนล่างซึ่งระบุวันที่ ที่หักเงินเดือนครั้งสุดท้าย ชื่อ และรหัสประจำตัวของนายจ้าง และรายละเอียดของเงินนำส่งที่ยังไม่ได้รายงานให้ VSRS ทราบ จากนั้นก็ลงนามแล้วก็ส่งไปให้ VSRS ซึ่งจะมอบหมายให้แผนก Refund section (สังกัดอยู่ใน Membership and Office Department) ตรวจสอบความสมบูรณ์ของเอกสาร จากนั้นจะส่ง VSRS-3 ไปให้ฝ่ายประมวลข้อมูลทำการเจาะบัตรเพื่อบันทึกลงเทปที่เรียกว่า Refund Inventory Computer Tape ซึ่งใช้สำหรับบันทึกรายการขอถอนเงินคืนที่ยังคงค้างยู่ทั้งหมด และพิมพ์รายละเอียดของรายการขอถอนเงินคืนที่คงค้างในเทป ฝ่ายประมวลข้อมูลจะส่งรายละเอียดนี้พร้อมกับเทปไปให้แผนก Refund section

แผนก Refund Section จะนำ VSRS-1 ซึ่งเก็บไว้ใน Storeroom มาประกบกับ VSRS-3 รายที่ขอถอนเงินคืน แล้ก็รวบรวมกันไว้ในแฟ้ม พนักงานประจำเครื่องรับส่งข้อมูล (RJE Operator) จะเรียกโปรแกรมคอมพิวเตอร์เพื่อมาทำการเปรียบเทียบข้อมูลที่เก็บไว้ใน Refund Inventory Tape กับ MCA Master Fileและพิมพ์รายงานยอดคงเหลือของแต่ละบัญชีสัปดาห์ละครั้ง แล้วส่งรายงานนี้ไปให้แผนก Refund Section ตรวจสอบกับ VSRS-3 ที่เก็บไว้ในแฟ้ม แผนก Refund Section จะคำนวณเงินที่ต้องคืนแก่สมาชิกจากแบบฟอร์ม VSRS-3 ท่อนล่าง ซึ่งจะเท่ากับจำนวนเงินที่ปรากฏตามรายงานยอดคงเหลือในบัญชี + ส่วนที่นายจ้างรับรอง ว่าได้หักจากเงินเดือนของพนักงานแล้ว แต่ยังไม่ได้รายงานให้ VSRS ทราบ

แผนกบัญชี (According Section) จะออกสลิปปะหน้า (Voucher Cover Sheet) VSRS-3 ส่งให้ฝ่ายประมวลข้อมูลเจาะรหัสบนบัตร Refund Card รูปภาพที่ 4 แล้วจัดทำรายละเอียดที่ขอถอนคืนแต่ละราย และรวมยอดจำนวนเงินที่ขอถอนคืนทั้งสิ้นตาม Refund Card เปรียบเทียบกับจำนวนเงินรวมในสลิปปะหน้า อย่างไรก็ตามการถอนเงินคืนไม่จำเป็นต้องถอนเงินจนยอดในบัญชีเหลือเป็นศูนย์ แต่จะกำหนดรหัสพิเศษให้เพื่อแสดงว่า บัญชีนี้มีการถอนเงินคืนไปแล้ว เสร็จแล้วจะโอนรายการถอนเงินคืนจาก Refund Inventory Tape ไปเก็บไว้ใน Refund Transaction History Tape สำหรับ Refund Card ฝ่ายประมวลข้อมูลจะเก็บเข้าแฟ้มไว้เพื่อใช้ในการหักบัญชีสมาชิกต่อไป เมื่อนายจ้างส่งเงินมาให้เพิ่มเติมตามที่ระบุไว้ใน VSRS-3 โดนเรียงลำดับตามหมายเลขรหัสของนายจ้าง และวันครบกำหนดในแฟ้มนี้จะมี Refund Card ประมาณ 2,000-3,000 ใบ

ฝ่ายประมวลข้อมูลจะส่งรายงานคอมพิวเตอร์และ VSRS-3 กลับคืนไปให้ Refund Section เพื่อเช็คสอบยอดรวม เสร็จแล้ว Refund Section จะส่งสลิปถอนเงิน (Voucher) ไปให้ผู้อำนวยการ VSRS ลงนาม สั่งจ่ายเมื่อ Refund Section ได้รับสลิปคืนมาก็จะส่งทางไปรษณีย์ไปให้สำนักงานคลังของรัฐ (State Treasurer’s Office) พร้อมกับที่อยู่ตามที่ระบุไว้ในท่อนล่างของ VSRS-3 และจะส่งสลิปต้นฉบับไปให้สำนักงานบัญชีกลางของรัฐ (State Comptroller’s Office) ส่วนสลิปชุดสำเนาจะถูกส่งไปยังแผนกบัญชี เพื่อบันทึกไว้ในสมุดบัญชีเงินสดจ่าย (Cash Disbursements Ledger) แล้วส่งกลับไปเก็บเข้าใน Refund Section

ตามที่กล่าวไว้ในตอนต้นแล้วว่า VSRS จะยังไม่คืนเงินให้แก่สมาชิกจนกว่านายจ้างจะส่งรายงานและเงินมาให้จนครบแล้ว ดังนั้นเมื่อนายจ้างส่งรายงานมาครบแล้ว เสมียนในแผนก Contribution Reporting Section จะดึง Refund Card รายที่มีวันครบกำหนดตรงกับวันที่ในรายงาน (Reporting Period Data) จากนั้นจะส่ง Refund Card ไปให้พนักงานประจำเครื่อง RJE เพื่อลดยอดคงเหลือในบัญชีตามที่กำหนดใน Refund Card แล้วสั่งให้เครื่องคอมพิวเตอร์พิมพ์รายงานจำนวนเงินที่ถอนคืนไปทั้งหมด (Refund Total Report) โดยแสดงรายละเอียดเฉพาะหมายเลขประจำตัวนายจ้างและจำนวนเงินรวมแต่ละราย จากนั้นก็บันทึกจำนวนเงินที่ถอนไปทั้งสิ้นใน Control Bookซึ่งเป็นสมุดเล่มเดียวกับที่เคยบันทึกจำนวนเงินรับจากสมาชิกทั้งสิ้นเสร็จแล้วก็ทิ้ง Refund Cardไป

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ในกรณีที่ยังมียอดคงเหลืออยู่ในบัญชีหลังจากที่คืนเงินให้สมาชิกแล้ว ทั้งนี้อาจจะเนื่องมาจากการคำนวณผิดพลาด ดังนั้นแผนก Refund Section จะต้องตรวจสอบดูว่าควรจะคืนเงินที่เหลือให้แก่สมาชิกหรือไม่ ในบางกรณีก็จะส่งใบยืนยันยอดไปให้สมาชิกหรือนายจ้าง เมื่อได้รับใบยืนยันยอดคืนมาจะส่งไปให้ฝ่ายประมวลขอมูลพร้อมกับ Refund Worksheets เพื่อเจาะรหัสลงบัตร แต่โดยปกติเสมียนในแผนก Refund Section จะเป็นผู้เจาะบัตรด้วยตัวเอง จากนั้นก็ดำเนินการเหมือนกับกรรมวิธีข้างต้น ยกเว้นว่าไม่ต้องบันทึกรายการขอ Refund ไว้ใน Refund Inventory Tape

การคืนเงินให้แก่ผู้รับประโยชน์หรือกองมรดก ก็คงดำเนินวิธีการเช่นเดียวกับการคืนเงินตามปกติ

สำหรับรูปภาพประกอบคำอธิบาย หากเป็นไปได้ผมจะนำมาเสนอให้ทราบในโอกาสต่อไป เพื่อสร้างความเข้าใจสำหรับผู้ที่สนใจอย่างแท้จริง ถึงการตรวจสอบในรายละเอียดที่มีลักษณะเป็นการตรวจสอบเชิงสอบสวนและหาหลักฐานที่เกี่ยวข้องทางด้านคอมพิวเตอร์ ที่มีลักษณะเป็น Forensic Audit แบบหนึ่ง

ท่านผู้บริหารและท่านผู้ตรวจสอบทางด้าน IT และ Non – IT ครับ ท่านได้อ่านถึงการตรวจสอบอย่างเป็นกระบวนการ 2 ใน 4 ระบบงานหลักของการบริหารกองทุนเลี้ยงชีพเพื่อการศึกษาแห่งนี้ไปแล้ว ท่านได้ภาพอะไรบ้างไหมครับว่า ในกรณีที่ท่านต้องติดตาม สอบสวน เรื่องราวการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ในเชิงลึก และมีหลักฐานอย่างแท้จริงถึงสาเหตุที่เป็น Root Cause ของปัญหาในการทุจริต เพื่อหาแนวทางควบคุม และป้องกันมิให้เหตุการณ์ทำนองเดียวกันนี้เกิดขึ้นอีกในองค์กรของท่าน

โปรดติดตามการตรวจสอบอีก 2 ระบบงานหลักต่อไปนะครับ และขณะเดียวกันขอให้ท่านพิจารณาด้วยว่าการดำเนินการร่วมกันระหว่าง IT Auditor กับ Non – IT Auditor มีความเหมาะสม หรือน่าจะปรับปรุงอะไรบ้าง ให้เหมาะกับเทคโนโลยียุคใหม่ที่ได้เปลี่ยนแปลงไปมากแล้ว

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บางมุมมองเกี่ยวกับการสอบสวนและการตรวจสอบการทุจริตด้าน IT และ Non – IT

พ.ค. 26, 2009

ผมตั้งใจที่จะออกความเห็นในเรื่องที่เกี่ยวข้องกับความร่วมมือของผู้ตรวจสอบ ระหว่าง IT Auditor กับ Non – IT Auditor กับการทุจริตว่า ผู้ตรวจสอบทั้ง 2 ประเภทนี้ ควรจะมีความร่วมมือกันอย่างไร โดยเฉพาะอย่างยิ่ง เรื่องที่เป็นข่าวการทุจริตของ ธอส. เป็นเงินประมาณ 500 ล้านบาท กับธนาคารธนชาต เป็นเงินประมาณ 20 ล้านบาท นั้น

ผมใคร่ขอสรุปในเบื้องต้นว่า ในองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่ง องค์กรที่เกี่ยวข้องกับสถาบันการเงิน หรือองค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ตลาดหลักทรัพย์ บริษัทการบิน ระบบความมั่นคงทางการทหาร ++ จำเป็นอย่างยิ่งที่ IT Auditor จะต้องมีบทบาทที่เป็นลักษณะของจุดเริ่มต้นของกระบวนการตรวจสอบ เพื่อรวบรวมหลักฐานจากกระบวนการดำเนินงาน อันเกิดจากการกระทำการทุจริต ซึ่งส่วนใหญ่จะมาจาก Operation Risk ประกอบไปด้วย People Risk, Process Risk, Technology Risk ตามที่กล่าวมาแล้ว

หลังจากได้ข้อมูลและหลักฐานที่จำเป็นครบถ้วนและเหมาะสมแล้ว IT Auditor ก็จะผ่านงานไปยัง Non – IT Auditor เพื่อดำเนินการต่อไป ทั้งนี้ เพราะกระบวนการประมวลผลข้อมูลและหลักฐานในการตรวจสอบ รวมทั้งร่องรอยในการตรวจสอบ (Audit Trail หรืออาจเรียกว่า Management Trail ก็ได้) อยู่ในรูปแบบที่ต้องใช้เทคโนโลยีเป็นอย่างมาก

นี่คือหลักการเบื้องต้นของการตรวจสอบ หรือการวางแผนการตรวจสอบ ไม่ว่าจะมีวัตถุประสงค์ใดก็ตาม ต้องเริ่มจาก การทำความเข้าใจในลักษณะงาน กระบวนการทำงาน Business Process ไปถึง Business Objective ในแต่ละ Activities รวมทั้ง การควบคุมภายในของแต่ละกิจกรรมที่เกี่ยวข้องกับการประมวลผลที่มีความสัมพันธ์อย่างสอดคล้องกันในการก้าวไปสู่วัตถุประสงค์ขององค์กร ซึ่งแน่นอนว่าจะเกี่ยวข้องกับ People + Process + Technology หรือ PPT และตัวอย่างของ ธอส. และธนาคารธนชาต รวมทั้งกรณีศึกษาของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System ซึ่งเทียบเท่ากับ กบข. ซึ่งเป็นกองทุนบริหารบำเน็จบำนาญของข้าราชการของไทยในปัจจุบัน

รายละเอียดเรื่องนี้สามารถประยุกต์ทำความเข้าใจได้จากเรื่องราวของการทุจริตที่ประเทศสหรัฐอเมริกา กรณีการจ่ายคืนเงินฝากของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System

ขอให้ท่านที่สนใจโปรดอ่านและใคร่ครวญถึงจุดอ่อนที่เกิดขึ้นในกระบวนการทำงาน ที่มีส่วนผสมผสานกันระหว่างงานด้าน IT และ Non – IT และช่วยวิเคราะห์ในใจถึงจุดอ่อนในกิจกรรม ในขั้นตอน ของกระบวนการทำงานซึ่งเปิดจุดอ่อนที่ทำให้เกิดการทุจริตได้ จากเรื่องราวที่เป็นจริงในอดีตต่อไปนี้

ความเป็นมาขององค์กรที่เกิดการทุจริต
The Virginia Supplemental Retirement System คือ องค์กรที่ทำหน้าที่เป็นกองทุนเลี่ยงชีพร่วม (Consolidated Tension System) พนังงานลูกจ้างของรัฐใน The Commonwealth of Virginia ส่วนใหญ่เป็นพนักงานลูกจ้างของส่วนราชการท้องถิ่น โรงเรียน รัฐบาล คณะกรรมการศึกษาโรงเรียน และหน่วยงานของรัฐอื่นๆ ประมาณ 700 แห่ง มีบัญชีเงินฝากของพนักงานทั้งที่ยังทำงานอยู่และออกจากงานแล้วกว่า 235,000 บัญชี มีสินทรัพย์รวม 1,300 ล้านเหรียญสหรัฐ ส่วนใหญ่เป็นหุ้นและพันธบัตร ซึ่งเท่ากับ VSRS เป็นธนาคารที่ใหญ่ที่สุดแห่งหนึ่งใน Virginia

รัฐเป็นผู้ดำเนินการกองทุนร่วมนี้ โดยมอบหมายให้คณะกรรมการ 7 คน เป็นผู้บริหารงาน ประกอบด้วยเจ้าหน้าที่ส่วนกลาง ตัวแทนจากคณะกรรมการโรงเรียนส่วนราชการท้องถิ่น และ State Executive Branch และบุคคลภายนอกอีก 3 คน รวมเป็น 7 คน คณะกรรมการเหล่านนี้ไม่มีความรู้เกี่ยวกับการบัญชี หรือการประมวลผลด้วยคอมพิวเตอร์ แต่อย่างไรก็ตาม ก่อนหน้าปี พ.ศ. 2520 สองคนในคณะกรรมการชุดนี้เป็นผู้สอบบัญชีรับอนุญาต

ถึงแม้จะผ่านมาเป็นเวลาถึง 32 ปี แต่ก็เป็นการทุจริตที่ Classic มากที่อาจจะเกิดขึ้นได้อีก โดยเฉพาะอย่างยิ่งประเทศที่มีการบริหารความเสี่ยงทางด้าน IT ไม่เหมาะสม และไม่ได้ดุลยภาพกับความสามารถของผู้ตรวจสอบในหลายองค์กร

คณะกรรมการมีหน้าที่รับผิดชอบเกี่ยวกับการบริหารงานประจำวัน ในปี 2520 ซึ่งเป็นปีที่มีการตรวจสอบ VSRS แบ่งองค์กรออกเป็น 4 แผนกใหญ่ ๆ (ตามรูปภาพที่ 1) ดังนี้

VIRGINIA SUPPLEMENTAL RETIREMENT SYSTEM (VSRS)

Computer Fraud and Forensic Audit

Computer Fraud and Forensic Audit

1. แผนก Investments มีหน้าที่ซื้อขายหุ้นและพันธบัตร แผนกนี้ไม่มีส่วนเกี่ยวข้องในการทุจริต
2. แผนก Operations มีหน้าที่รับผิดชอบหน่วยงานหลายหน่วย รวมทั้งหน่วยงานที่ให้บริการแก่สมาชิกกองทุน (Member and Offices Services) ซึ่งเป็นหน่วยงานต้นตอของการเกิดทุจริต
3. แผนก Data Processing มีผู้จัดการแผนกซึ่งทำหน้าที่ ทั้งวิเคราะห์ระบบงาน และเขียนโปรแกรม จนกระทั่งปี พ.ศ. 2520 จึงจ้างนักโปรแกรมผู้ช่วยมาหนึ่งคน นอกจากนั้นผู้จัดการแผนกยังต้องบังคับบัญชาพนักงานระดับเสมียนอีก 15 คน ซึ่งทำหน้าที่ Retirement Contribution Reporting, Remote Job Entire และ Data Control
4. แผนก Finance มีหัวหน้าแผนกและพนักงานบัญชีอีก 5 คน รับผิดชอบในการบันทึกรายการในบัญชีย่อยและบัญชีคุมยอดทั่วไป (Subsidiary and General Ledger)
VSRS ส่งข้อมูลเข้าไปประมวลผลในคอมพิวเตอร์โดยผ่านเครื่องรับส่งที่ตั้งอยู่ในสถานที่ทำงาน (RJE Station) ซึ่งห่างจากศูนย์กลางคอมพิวเตอร์ IBM 370/158 ประมาณ 2 ไมล์ และศูนย์คอมพิวเตอร์แห่งนี้ยังให้บริการแก่องค์การของรับอื่นอีก 28 แห่ง

เหตุการณ์ที่ก่อให้เกิดการทุจริต
เนื่องจากปริมาณธุรกิจของ VSRS เพิ่มขึ้นมากในช่วงระยะเวลา 10 ปี ทำให้ไม่สามารถบันทึกบัญชีด้วยมือต่อไปอีก VSRS จึงตัดสินใจที่จะนำคอมพิวเตอร์มาใช้ โดยมอบหมายให้องค์การของรัฐที่เรียกว่า Department of Automated Data Processing (ADP) เป็นผู้พัฒนาระบบ งานประมวลผลด้วยคอมพิวเตอร์ ADP เป็นหน่วยงานที่มีหน้าที่พัฒนาระบบงาน เขียนโปรแกรม และประมวลผลให้องค์กรของรัฐ ที่ไม่มีหน่วยงานคอมพิวเตอร์เป็นของตัวเอง

Fraud Audit Process and IT Auditor & Non - IT Auditor

Fraud Audit Process and IT Auditor & Non - IT Auditor

ในปี 2515 หลังจากที่พยายามพัฒนาระบบงานมาแล้ว 5 ปี ทั้ง VSRS และ ADP มีความเห็นพ้องตรงกันว่า โครงการที่ทำอยู่นี้ล้มเหลวโดยสิ้นเชิง ทั้งนี้เนื่องมาจากขาดการบริหารโครงการที่ดี และ VSRS มีความเห็นไม่ตรงกันกับ ADP เกี่ยวกับความต้องการชองระบบงาน (System Requirements) อย่างไรก็ตาม VSRS เริ่มใช้คอมพิวเตอร์เมื่อวันที่ 1 กรกฎาคม 2515 ทั้ง ๆ ที่ตรวจพบว่ายังมีข้อบกพร่องที่สำคัญ ๆ ในระบบอีก 26 แห่ง และเนื่องจาก VSRS ไม่มีพนักงานหรือผู้เชี่ยวชาญ ที่ดำเนินงานตามระบบงานใหม่นี้ได้ จึงต้องจ้างพนักงานของ ADP 3 คน ซึ่งรับผิดชอบโครงการนี้มาทำหน้าที่เป็นรองผู้อำนวยการ ผู้จัดการฝ่าย Operation และผู้จัดการฝ่ายประมวลผลของ VSRS โดยมอบหมายให้แต่ละคนรับผิดชอบเกี่ยวกับการอแก้ไขข้อบกพร่องและใช้ระบบงานใหม่นี้

บทบาทของผู้สอบบัญชี
VSRS ไม่มีหน่วยงานที่ทำหน้าที่ตรวจสอบภายในของตนเอง แต่อย่างไรก็ตามผู้สอบบัญชีรับอนุญาตจากรัฐ (Auditor of Public Accounts – ATA) ซึ่งมีหน้าที่ตรวจสอบฐานะการเงินขององค์การของรัฐใน Virginia ทำหน้าที่เป็นผู้ตรวจสอบการเงินของ VSRS แต่เนื่องจาก ATA ขาดกำลังจ้าหน้าที่ผู้ตรวจสอบจึงไม่สามารถตรวจสอบ VSRS อย่างสม่ำเสมอได้ ดังนั้นจึงทำการตรวจสอบในปีการเงินสิ้นสุด 30 มิถุนายน 2512 และ 2515 เท่านั้น

คณะผู้ตรวจสอบที่เข้าทำการตรวจสอบ VSRS ในปีการเงินสิ้นสุด 30 มิถุนายน 2520 พบว่าการตรวจสอบของปี 2515 ยังไม่สมบูรณ์การตรวจสอบเบื้องต้น (Preliminary work) ซึ่งเริ่มตั้งแต่เดือนมีนาคม 2520 ได้แก่ การตรวจสอบระบบการควบคุมทางด้านการบัญชี ทางด้านการประมวลผลด้วยคอมพิวเตอร์ (EDP) ผู้ตรวจสอบจะตรวจสอบและจัดทำงบการเงินสำหรับปีสิ้นสุด 30 มิถุนายน 2516,2517, 2518, 2519 และ 2520 แต่ไม่มีการตรวจสอบทางด้าน EDP ในระยะ 5 ปีที่ผ่านมาและไม่เคยแม้แต่จะตรวจสอบระบบการควบคุมภายในอย่างกว้าง ๆ เกี่ยวกับระบบงานด้านคอมพิวเตอร์ ซึ่งอาจเป็นสาเหตุหนึ่งที่ทำให้การตรวจสอบด้านการเงิน (Financial Examination) ได้ผลไม่สมบูรณ์และอาจตรวจพบกรณีการทุจริตที่เกิดขึ้นได้

การตรวจสอบเบื้องต้น (Preliminary Audit Review)
ผู้ตรวจสอบเข้าร่วมประชุมกับฝ่ายบริหารของ VSRS เพื่อชี้แจงเกี่ยวกับวิธีการตรวจสอบโดยทั่ว ๆ ไปและขอบเขตของการตรวจสอบผู้ที่ไม่ได้เข้าร่วมประชุมคือรองผู้อำนวยการ VSRS ซึ่งลาออกและย้ายไปอยู่ที่รัฐอื่น เรื่องที่สำคัญ ๆ ได้แก่
1. การสอบถามพนักงานของ VSRS และการศึกษาระบบงานจาก System Documentation
2. การจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems)

ระบบงานคอมพิวเตอร์ที่สำคัญ ๆ แบ่งออกเป็น 4 ระบบ คือ
1. Member Contribution Accord (MCA) System
2. Refund System
3. Retirement Annuitant Payroll System (RAPS)
4. Investment Portfolio According System

1. Member Contribution Accords (MCA) System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการนำส่งเงินของสมาชิก VSRS ซึ่งมีบัญชีอยู่ในแฟ้มข้อมูลทั้งสิ้น 315,000 บัญชี การค้นหาและเก็บข้อมูลในบัญชีใช้ระบบ ISAM (Indexed Sequential Access Method) ลักษณะของข้อมูลที่บรรจุอยู่ใน MCA Master File ปรากฏอยู่ในรูปภาพที่ 2

ในแต่ละปีจะมีรายการ (Transaction) เข้ามาในระบบงาน MCA มากกว่า 3,000,000 รายการ หรือเป็นจำนวนเงินที่รับเข้ามามากกว่า 100 ล้านเหรียญสหรัฐ การส่งเงินของสมาชิกแต่ละรายการกระทำโดยผ่านทางนายจ้าง นายจ้างจะหักเงินเดือนพนักงานซึ่งเป็นสมาชิกของ VSRS และนำส่งเช็ค ใบนำส่งเช็ค และรายชื่อสมาชิก และจำนวนเงินแต่ละราย (Contribution Report) ให้ VSRS

เมื่อ VSRS ได้รับเอกสารที่กล่าวเรียบร้อยแล้ว จะส่งเช็คและใบนำส่งเช็คไปให้แผนกบัญชี แผนกบัญชีจะออกใบรับฝากเงิน (Deposit Certificate) ให้ และนำเช็คไปฝากเข้าธนาคาร จากนั้นจะบันทึกรายการในสมุดบัญชีเงินสดรับ (Cash Receipts Ledger) และทำใบนำส่งเช็คไปเก็บเรื่องเข้าแฟ้มไว้เป็นหลักฐานสำหรับ Contribution Report จะถูกส่งไปยังแผนก Contribution Reporting Section

รายงาน Contribution Report ที่ส่งมาให้ VSRS โดยปกติจะแสดงเฉพาะสมาชิกรายที่มีการเปลี่ยนแปลงหรือเพิ่มขึ้นใหม่เท่านั้น (Exception Basis) ส่วนรายที่มิได้รายงานถือว่าคงเดิม ดังนั้นการบันทึกข้อมูลเข้าเก็บไว้ใน MCA master file จะยึดถือจำนวนเงินที่นำส่งครั้งก่อนเป็นหลัก แล้วปรับปรุงด้วยส่วนที่เปลี่ยนแปลง หรือเพิ่มเติมตามรายงานที่ฝากนายจ้างส่งมาให้ก่อน ที่จะสั่งให้คอมพิวเตอร์ Update บัญชีสมาชิกด้วยจำนวนเงินที่กล่าว VSRS จะให้คอมพิวเตอร์พิมพ์รายงานจำนวนเงินนำส่งรวมของนาจ้างแต่ละรายแล้วส่งไปให้แผนก Contribution Reporting Section เพื่อเปรียบเทียบกับจำนวนเงินในใบนำส่งเช็ค (Check Transmittal Form) เมื่อ Update เรียบร้อยแล้ว คอมพิวเตอร์จะออกรายงานส่งให้แผนก Contribution Reporting Section 3 ฉบับ คือ Posting Sheet Report, Possible Duplicate Accords Report และ Missing Membership Data Report

– Posting Sheet Report คือ รายงานที่แสดงจำนวนเงินรวมที่ Update ในบัญชีสมาชิก VSRS ของนายจ้างแต่ละราย หลังจากบันทึกจำนวนรวมดังกล่าวไว้ใน Control Book แล้วก็จะทิ้ง Posting Sheet Report ไป

– Possible Duplicate Accords Report คือ รายงานที่แสดงบัญชีสมาชิกที่มีชื่อและหมายเลขประกันสังคม (Social Security Number) รายงานนี้เป็นประโยชน์ในการค้นหาหมายเลขประกันสังคมที่นายจ้างรายงานมาผิดพลาด

– Missing Membership Data Report คือรายงานที่แสดงรายชื่อของสมาชิกที่ไม่มีบัญชีใน MCA Master File ทั้งนี้เนื่องจากนายจ้างไม่กรอกและส่งแบบฟอร์ม VSRS Membership Form (VSRS – 1) มาให้จึงทำให้ VSRS ระบุชื่อ อายุ เพศ วันที่เป็นสมาชิก และผู้รับผลประโยชน์ ส่งไปให้ VSRS เพื่อเปิดบัญชีสมาชิกใหม่ให้ VSRS จะเก็บ VSRS – 1 เรียงเข้าแฟ้มไว้ในห้องเก็บของ (Storeroom) ซึ่งมิได้ควบคุมการเข้าและออกในแผนก Membership and Office Service Section

สมาชิกที่ยังคงดำรงสภาพพนักงานอยู่ (Active Member) จะได้รับใบแจ้งยอดคงเหลือในบัญชี (Accord Statements) ปีละครั้งโดยมี VSRS จะส่งตรงไปให้นายจ้าง เพื่อแจกจ่ายให้พนักงานซึ่งเป็นสมาชิกต่อไป

เรื่องราวเกี่ยวกับการทุจริตกรณีนี้ยังมีต่อไปอีกค่อนข้างยาว เพราะมีการสอบสวน รวมทั้งการหาข้อมูลเพื่อสาวไปถึงจุดอ่อนและผู้ร่วมการทุจริต เพื่อหาแนวทางป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต

ก็คล้าย ๆ กับกรณีการทุจริตของธนาคาร Socgen เมื่อปี 2550 นะครับ เพราะผู้ทุจริตก็มาจากผู้เชี่ยวชาญทางด้าน IT เป็นผู้พัฒนาโปรแกรมที่เกี่ยวข้องกับระบบงานการทุจริต ซึ่งต่อมาด้วยความผิดพลาดของทางธนาคารที่ออกนโยบายเกี่ยวกับการคัดเลือกพนักงาน และการให้รางวัลที่มีผลตอบแทนจากกำไรในการดำเนินงาน ซึ่งตามมาด้วยช่องว่าง (Exposure) ที่ก่อให้เกิดการทุจริตตามมา เรื่องนี้สาเหตุหลักของการทุจริตก็คือ ความผิดพลาดทางด้านนโยบายของธนาคาร ซึ่งเป็น Root Cause ที่แท้จริง ซึ่งมีผลกระทบตามมาเป็นลูกโซ่ และจบลงด้วยการทุจริต หากมีโอกาสผมจะได้มาวิเคราะห์ในกรณี Socgen ในมุมมองของการบริหารและผู้ตรวจสอบต่อไป

สำหรับกรณีของ ธอส. หรือธนาคารธนชาต เอาไว้คุยกันวันหลังนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บางมุมมองเกี่ยวกับการสอบสวนและการตรวจสอบการทุจริตด้าน IT และ Non – IT

พ.ค. 26, 2009

ผมตั้งใจที่จะออกความเห็นในเรื่องที่เกี่ยวข้องกับความร่วมมือของผู้ตรวจสอบ ระหว่าง IT Auditor กับ Non – IT Auditor กับการทุจริตว่า ผู้ตรวจสอบทั้ง 2 ประเภทนี้ ควรจะมีความร่วมมือกันอย่างไร โดยเฉพาะอย่างยิ่ง เรื่องที่เป็นข่าวการทุจริตของ ธอส. เป็นเงินประมาณ 500 ล้านบาท กับธนาคารธนชาต เป็นเงินประมาณ 20 ล้านบาท นั้น

ผมใคร่ขอสรุปในเบื้องต้นว่า ในองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่ง องค์กรที่เกี่ยวข้องกับสถาบันการเงิน หรือองค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ตลาดหลักทรัพย์ บริษัทการบิน ระบบความมั่นคงทางการทหาร ++ จำเป็นอย่างยิ่งที่ IT Auditor จะต้องมีบทบาทที่เป็นลักษณะของจุดเริ่มต้นของกระบวนการตรวจสอบ เพื่อรวบรวมหลักฐานจากกระบวนการดำเนินงาน อันเกิดจากการกระทำการทุจริต ซึ่งส่วนใหญ่จะมาจาก Operation Risk ประกอบไปด้วย People Risk, Process Risk, Technology Risk ตามที่กล่าวมาแล้ว

หลังจากได้ข้อมูลและหลักฐานที่จำเป็นครบถ้วนและเหมาะสมแล้ว IT Auditor ก็จะผ่านงานไปยัง Non – IT Auditor เพื่อดำเนินการต่อไป ทั้งนี้ เพราะกระบวนการประมวลผลข้อมูลและหลักฐานในการตรวจสอบ รวมทั้งร่องรอยในการตรวจสอบ (Audit Trail หรืออาจเรียกว่า Management Trail ก็ได้) อยู่ในรูปแบบที่ต้องใช้เทคโนโลยีเป็นอย่างมาก

นี่คือหลักการเบื้องต้นของการตรวจสอบ หรือการวางแผนการตรวจสอบ ไม่ว่าจะมีวัตถุประสงค์ใดก็ตาม ต้องเริ่มจาก การทำความเข้าใจในลักษณะงาน กระบวนการทำงาน Business Process ไปถึง Business Objective ในแต่ละ Activities รวมทั้ง การควบคุมภายในของแต่ละกิจกรรมที่เกี่ยวข้องกับการประมวลผลที่มีความสัมพันธ์อย่างสอดคล้องกันในการก้าวไปสู่วัตถุประสงค์ขององค์กร ซึ่งแน่นอนว่าจะเกี่ยวข้องกับ People + Process + Technology หรือ PPT และตัวอย่างของ ธอส. และธนาคารธนชาต รวมทั้งกรณีศึกษาของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System ซึ่งเทียบเท่ากับ กบข. ซึ่งเป็นกองทุนบริหารบำเน็จบำนาญของข้าราชการของไทยในปัจจุบัน

รายละเอียดเรื่องนี้สามารถประยุกต์ทำความเข้าใจได้จากเรื่องราวของการทุจริตที่ประเทศสหรัฐอเมริกา กรณีการจ่ายคืนเงินฝากของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System

ขอให้ท่านที่สนใจโปรดอ่านและใคร่ครวญถึงจุดอ่อนที่เกิดขึ้นในกระบวนการทำงาน ที่มีส่วนผสมผสานกันระหว่างงานด้าน IT และ Non – IT และช่วยวิเคราะห์ในใจถึงจุดอ่อนในกิจกรรม ในขั้นตอน ของกระบวนการทำงานซึ่งเปิดจุดอ่อนที่ทำให้เกิดการทุจริตได้ จากเรื่องราวที่เป็นจริงในอดีตต่อไปนี้

ความเป็นมาขององค์กรที่เกิดการทุจริต
The Virginia Supplemental Retirement System คือ องค์กรที่ทำหน้าที่เป็นกองทุนเลี่ยงชีพร่วม (Consolidated Tension System) พนังงานลูกจ้างของรัฐใน The Commonwealth of Virginia ส่วนใหญ่เป็นพนักงานลูกจ้างของส่วนราชการท้องถิ่น โรงเรียน รัฐบาล คณะกรรมการศึกษาโรงเรียน และหน่วยงานของรัฐอื่นๆ ประมาณ 700 แห่ง มีบัญชีเงินฝากของพนักงานทั้งที่ยังทำงานอยู่และออกจากงานแล้วกว่า 235,000 บัญชี มีสินทรัพย์รวม 1,300 ล้านเหรียญสหรัฐ ส่วนใหญ่เป็นหุ้นและพันธบัตร ซึ่งเท่ากับ VSRS เป็นธนาคารที่ใหญ่ที่สุดแห่งหนึ่งใน Virginia

รัฐเป็นผู้ดำเนินการกองทุนร่วมนี้ โดยมอบหมายให้คณะกรรมการ 7 คน เป็นผู้บริหารงาน ประกอบด้วยเจ้าหน้าที่ส่วนกลาง ตัวแทนจากคณะกรรมการโรงเรียนส่วนราชการท้องถิ่น และ State Executive Branch และบุคคลภายนอกอีก 3 คน รวมเป็น 7 คน คณะกรรมการเหล่านนี้ไม่มีความรู้เกี่ยวกับการบัญชี หรือการประมวลผลด้วยคอมพิวเตอร์ แต่อย่างไรก็ตาม ก่อนหน้าปี พ.ศ. 2520 สองคนในคณะกรรมการชุดนี้เป็นผู้สอบบัญชีรับอนุญาต

ถึงแม้จะผ่านมาเป็นเวลาถึง 32 ปี แต่ก็เป็นการทุจริตที่ Classic มากที่อาจจะเกิดขึ้นได้อีก โดยเฉพาะอย่างยิ่งประเทศที่มีการบริหารความเสี่ยงทางด้าน IT ไม่เหมาะสม และไม่ได้ดุลยภาพกับความสามารถของผู้ตรวจสอบในหลายองค์กร

คณะกรรมการมีหน้าที่รับผิดชอบเกี่ยวกับการบริหารงานประจำวัน ในปี 2520 ซึ่งเป็นปีที่มีการตรวจสอบ VSRS แบ่งองค์กรออกเป็น 4 แผนกใหญ่ ๆ (ตามรูปภาพที่ 1) ดังนี้

VIRGINIA SUPPLEMENTAL RETIREMENT SYSTEM (VSRS)

Computer Fraud and Forensic Audit

Computer Fraud and Forensic Audit

1. แผนก Investments มีหน้าที่ซื้อขายหุ้นและพันธบัตร แผนกนี้ไม่มีส่วนเกี่ยวข้องในการทุจริต
2. แผนก Operations มีหน้าที่รับผิดชอบหน่วยงานหลายหน่วย รวมทั้งหน่วยงานที่ให้บริการแก่สมาชิกกองทุน (Member and Offices Services) ซึ่งเป็นหน่วยงานต้นตอของการเกิดทุจริต
3. แผนก Data Processing มีผู้จัดการแผนกซึ่งทำหน้าที่ ทั้งวิเคราะห์ระบบงาน และเขียนโปรแกรม จนกระทั่งปี พ.ศ. 2520 จึงจ้างนักโปรแกรมผู้ช่วยมาหนึ่งคน นอกจากนั้นผู้จัดการแผนกยังต้องบังคับบัญชาพนักงานระดับเสมียนอีก 15 คน ซึ่งทำหน้าที่ Retirement Contribution Reporting, Remote Job Entire และ Data Control
4. แผนก Finance มีหัวหน้าแผนกและพนักงานบัญชีอีก 5 คน รับผิดชอบในการบันทึกรายการในบัญชีย่อยและบัญชีคุมยอดทั่วไป (Subsidiary and General Ledger)
VSRS ส่งข้อมูลเข้าไปประมวลผลในคอมพิวเตอร์โดยผ่านเครื่องรับส่งที่ตั้งอยู่ในสถานที่ทำงาน (RJE Station) ซึ่งห่างจากศูนย์กลางคอมพิวเตอร์ IBM 370/158 ประมาณ 2 ไมล์ และศูนย์คอมพิวเตอร์แห่งนี้ยังให้บริการแก่องค์การของรับอื่นอีก 28 แห่ง

เหตุการณ์ที่ก่อให้เกิดการทุจริต
เนื่องจากปริมาณธุรกิจของ VSRS เพิ่มขึ้นมากในช่วงระยะเวลา 10 ปี ทำให้ไม่สามารถบันทึกบัญชีด้วยมือต่อไปอีก VSRS จึงตัดสินใจที่จะนำคอมพิวเตอร์มาใช้ โดยมอบหมายให้องค์การของรัฐที่เรียกว่า Department of Automated Data Processing (ADP) เป็นผู้พัฒนาระบบ งานประมวลผลด้วยคอมพิวเตอร์ ADP เป็นหน่วยงานที่มีหน้าที่พัฒนาระบบงาน เขียนโปรแกรม และประมวลผลให้องค์กรของรัฐ ที่ไม่มีหน่วยงานคอมพิวเตอร์เป็นของตัวเอง

Fraud Audit Process and IT Auditor & Non - IT Auditor

Fraud Audit Process and IT Auditor & Non - IT Auditor

ในปี 2515 หลังจากที่พยายามพัฒนาระบบงานมาแล้ว 5 ปี ทั้ง VSRS และ ADP มีความเห็นพ้องตรงกันว่า โครงการที่ทำอยู่นี้ล้มเหลวโดยสิ้นเชิง ทั้งนี้เนื่องมาจากขาดการบริหารโครงการที่ดี และ VSRS มีความเห็นไม่ตรงกันกับ ADP เกี่ยวกับความต้องการชองระบบงาน (System Requirements) อย่างไรก็ตาม VSRS เริ่มใช้คอมพิวเตอร์เมื่อวันที่ 1 กรกฎาคม 2515 ทั้ง ๆ ที่ตรวจพบว่ายังมีข้อบกพร่องที่สำคัญ ๆ ในระบบอีก 26 แห่ง และเนื่องจาก VSRS ไม่มีพนักงานหรือผู้เชี่ยวชาญ ที่ดำเนินงานตามระบบงานใหม่นี้ได้ จึงต้องจ้างพนักงานของ ADP 3 คน ซึ่งรับผิดชอบโครงการนี้มาทำหน้าที่เป็นรองผู้อำนวยการ ผู้จัดการฝ่าย Operation และผู้จัดการฝ่ายประมวลผลของ VSRS โดยมอบหมายให้แต่ละคนรับผิดชอบเกี่ยวกับการอแก้ไขข้อบกพร่องและใช้ระบบงานใหม่นี้

บทบาทของผู้สอบบัญชี
VSRS ไม่มีหน่วยงานที่ทำหน้าที่ตรวจสอบภายในของตนเอง แต่อย่างไรก็ตามผู้สอบบัญชีรับอนุญาตจากรัฐ (Auditor of Public Accounts – ATA) ซึ่งมีหน้าที่ตรวจสอบฐานะการเงินขององค์การของรัฐใน Virginia ทำหน้าที่เป็นผู้ตรวจสอบการเงินของ VSRS แต่เนื่องจาก ATA ขาดกำลังจ้าหน้าที่ผู้ตรวจสอบจึงไม่สามารถตรวจสอบ VSRS อย่างสม่ำเสมอได้ ดังนั้นจึงทำการตรวจสอบในปีการเงินสิ้นสุด 30 มิถุนายน 2512 และ 2515 เท่านั้น

คณะผู้ตรวจสอบที่เข้าทำการตรวจสอบ VSRS ในปีการเงินสิ้นสุด 30 มิถุนายน 2520 พบว่าการตรวจสอบของปี 2515 ยังไม่สมบูรณ์การตรวจสอบเบื้องต้น (Preliminary work) ซึ่งเริ่มตั้งแต่เดือนมีนาคม 2520 ได้แก่ การตรวจสอบระบบการควบคุมทางด้านการบัญชี ทางด้านการประมวลผลด้วยคอมพิวเตอร์ (EDP) ผู้ตรวจสอบจะตรวจสอบและจัดทำงบการเงินสำหรับปีสิ้นสุด 30 มิถุนายน 2516,2517, 2518, 2519 และ 2520 แต่ไม่มีการตรวจสอบทางด้าน EDP ในระยะ 5 ปีที่ผ่านมาและไม่เคยแม้แต่จะตรวจสอบระบบการควบคุมภายในอย่างกว้าง ๆ เกี่ยวกับระบบงานด้านคอมพิวเตอร์ ซึ่งอาจเป็นสาเหตุหนึ่งที่ทำให้การตรวจสอบด้านการเงิน (Financial Examination) ได้ผลไม่สมบูรณ์และอาจตรวจพบกรณีการทุจริตที่เกิดขึ้นได้

การตรวจสอบเบื้องต้น (Preliminary Audit Review)
ผู้ตรวจสอบเข้าร่วมประชุมกับฝ่ายบริหารของ VSRS เพื่อชี้แจงเกี่ยวกับวิธีการตรวจสอบโดยทั่ว ๆ ไปและขอบเขตของการตรวจสอบผู้ที่ไม่ได้เข้าร่วมประชุมคือรองผู้อำนวยการ VSRS ซึ่งลาออกและย้ายไปอยู่ที่รัฐอื่น เรื่องที่สำคัญ ๆ ได้แก่
1. การสอบถามพนักงานของ VSRS และการศึกษาระบบงานจาก System Documentation
2. การจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems)

ระบบงานคอมพิวเตอร์ที่สำคัญ ๆ แบ่งออกเป็น 4 ระบบ คือ
1. Member Contribution Accord (MCA) System
2. Refund System
3. Retirement Annuitant Payroll System (RAPS)
4. Investment Portfolio According System

1. Member Contribution Accords (MCA) System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการนำส่งเงินของสมาชิก VSRS ซึ่งมีบัญชีอยู่ในแฟ้มข้อมูลทั้งสิ้น 315,000 บัญชี การค้นหาและเก็บข้อมูลในบัญชีใช้ระบบ ISAM (Indexed Sequential Access Method) ลักษณะของข้อมูลที่บรรจุอยู่ใน MCA Master File ปรากฏอยู่ในรูปภาพที่ 2

ในแต่ละปีจะมีรายการ (Transaction) เข้ามาในระบบงาน MCA มากกว่า 3,000,000 รายการ หรือเป็นจำนวนเงินที่รับเข้ามามากกว่า 100 ล้านเหรียญสหรัฐ การส่งเงินของสมาชิกแต่ละรายการกระทำโดยผ่านทางนายจ้าง นายจ้างจะหักเงินเดือนพนักงานซึ่งเป็นสมาชิกของ VSRS และนำส่งเช็ค ใบนำส่งเช็ค และรายชื่อสมาชิก และจำนวนเงินแต่ละราย (Contribution Report) ให้ VSRS

เมื่อ VSRS ได้รับเอกสารที่กล่าวเรียบร้อยแล้ว จะส่งเช็คและใบนำส่งเช็คไปให้แผนกบัญชี แผนกบัญชีจะออกใบรับฝากเงิน (Deposit Certificate) ให้ และนำเช็คไปฝากเข้าธนาคาร จากนั้นจะบันทึกรายการในสมุดบัญชีเงินสดรับ (Cash Receipts Ledger) และทำใบนำส่งเช็คไปเก็บเรื่องเข้าแฟ้มไว้เป็นหลักฐานสำหรับ Contribution Report จะถูกส่งไปยังแผนก Contribution Reporting Section

รายงาน Contribution Report ที่ส่งมาให้ VSRS โดยปกติจะแสดงเฉพาะสมาชิกรายที่มีการเปลี่ยนแปลงหรือเพิ่มขึ้นใหม่เท่านั้น (Exception Basis) ส่วนรายที่มิได้รายงานถือว่าคงเดิม ดังนั้นการบันทึกข้อมูลเข้าเก็บไว้ใน MCA master file จะยึดถือจำนวนเงินที่นำส่งครั้งก่อนเป็นหลัก แล้วปรับปรุงด้วยส่วนที่เปลี่ยนแปลง หรือเพิ่มเติมตามรายงานที่ฝากนายจ้างส่งมาให้ก่อน ที่จะสั่งให้คอมพิวเตอร์ Update บัญชีสมาชิกด้วยจำนวนเงินที่กล่าว VSRS จะให้คอมพิวเตอร์พิมพ์รายงานจำนวนเงินนำส่งรวมของนาจ้างแต่ละรายแล้วส่งไปให้แผนก Contribution Reporting Section เพื่อเปรียบเทียบกับจำนวนเงินในใบนำส่งเช็ค (Check Transmittal Form) เมื่อ Update เรียบร้อยแล้ว คอมพิวเตอร์จะออกรายงานส่งให้แผนก Contribution Reporting Section 3 ฉบับ คือ Posting Sheet Report, Possible Duplicate Accords Report และ Missing Membership Data Report

– Posting Sheet Report คือ รายงานที่แสดงจำนวนเงินรวมที่ Update ในบัญชีสมาชิก VSRS ของนายจ้างแต่ละราย หลังจากบันทึกจำนวนรวมดังกล่าวไว้ใน Control Book แล้วก็จะทิ้ง Posting Sheet Report ไป

– Possible Duplicate Accords Report คือ รายงานที่แสดงบัญชีสมาชิกที่มีชื่อและหมายเลขประกันสังคม (Social Security Number) รายงานนี้เป็นประโยชน์ในการค้นหาหมายเลขประกันสังคมที่นายจ้างรายงานมาผิดพลาด

– Missing Membership Data Report คือรายงานที่แสดงรายชื่อของสมาชิกที่ไม่มีบัญชีใน MCA Master File ทั้งนี้เนื่องจากนายจ้างไม่กรอกและส่งแบบฟอร์ม VSRS Membership Form (VSRS – 1) มาให้จึงทำให้ VSRS ระบุชื่อ อายุ เพศ วันที่เป็นสมาชิก และผู้รับผลประโยชน์ ส่งไปให้ VSRS เพื่อเปิดบัญชีสมาชิกใหม่ให้ VSRS จะเก็บ VSRS – 1 เรียงเข้าแฟ้มไว้ในห้องเก็บของ (Storeroom) ซึ่งมิได้ควบคุมการเข้าและออกในแผนก Membership and Office Service Section

สมาชิกที่ยังคงดำรงสภาพพนักงานอยู่ (Active Member) จะได้รับใบแจ้งยอดคงเหลือในบัญชี (Accord Statements) ปีละครั้งโดยมี VSRS จะส่งตรงไปให้นายจ้าง เพื่อแจกจ่ายให้พนักงานซึ่งเป็นสมาชิกต่อไป

เรื่องราวเกี่ยวกับการทุจริตกรณีนี้ยังมีต่อไปอีกค่อนข้างยาว เพราะมีการสอบสวน รวมทั้งการหาข้อมูลเพื่อสาวไปถึงจุดอ่อนและผู้ร่วมการทุจริต เพื่อหาแนวทางป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต

ก็คล้าย ๆ กับกรณีการทุจริตของธนาคาร Socgen เมื่อปี 2550 นะครับ เพราะผู้ทุจริตก็มาจากผู้เชี่ยวชาญทางด้าน IT เป็นผู้พัฒนาโปรแกรมที่เกี่ยวข้องกับระบบงานการทุจริต ซึ่งต่อมาด้วยความผิดพลาดของทางธนาคารที่ออกนโยบายเกี่ยวกับการคัดเลือกพนักงาน และการให้รางวัลที่มีผลตอบแทนจากกำไรในการดำเนินงาน ซึ่งตามมาด้วยช่องว่าง (Exposure) ที่ก่อให้เกิดการทุจริตตามมา เรื่องนี้สาเหตุหลักของการทุจริตก็คือ ความผิดพลาดทางด้านนโยบายของธนาคาร ซึ่งเป็น Root Cause ที่แท้จริง ซึ่งมีผลกระทบตามมาเป็นลูกโซ่ และจบลงด้วยการทุจริต หากมีโอกาสผมจะได้มาวิเคราะห์ในกรณี Socgen ในมุมมองของการบริหารและผู้ตรวจสอบต่อไป

สำหรับกรณีของ ธอส. หรือธนาคารธนชาต เอาไว้คุยกันวันหลังนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทบาทของ Non-IT Auditors & IT Auditors กับ การทุจริต และการประสานงานการตรวจสอบร่วมกันอย่างเป็นระบบ

พ.ค. 20, 2009

ITG & IT Audit + Fraud InvestigationITG & IT Audit + Fraud Investigation

วันนี้ผมขอคุยกันในเรื่องที่ยังเป็น Hot issue อยู่ในวงการสถาบันการเงิน การตรวจสอบ การประชุมของคณะกรรมการตรวจสอบ คณะกรรมการบริหารความเสี่ยง ++ ในหลายๆองค์กร ถึงเรื่องการทุจริตที่ ธอส และผลที่ติดตามมา ในหลายๆแง่มุม และเช้าวันนี้เช่นกัน ผมได้ดูทีวีพบข่าวเกี่ยวกับเรื่องการทุจริตบัญชีเงินฝากของลูกค้าหลายรายที่ธนาคารธนชาต สาขาอุบลราชธานี เป็นเงินเบื้องต้นประมาณ 20 ล้านบาท ก็เลยนำข้อคิดในเรื่องเกี่ยวกับบทบาทของ Non – IT Auditors กับ IT Auditors รวมทั้งการประสานงานบางมุมมองมาเล่าสู่กันฟัง ดังนี้ครับ

ITG & IT Audit + Fraud Investigation and IT Understanding

ITG & IT Audit + Fraud Investigation and IT Understanding

ส่วนใหญ่ มักตั้งเป็นคำถาม และคำถามๆ ที่มีข้อมูลและข้อเท็จจริงค่อนข้างจำกัด รวมทั้งตัวผมเองด้วยนะครับ เรื่องนี้คงได้พูดคุยและวิจารณ์กันได้หลายแง่มุมไปอีกนานทีเดียว เก็บไว้ค่อยๆคุยกันอย่างสร้างสรรเพื่อสร้างคุณค่าเพิ่มต่อกัน และแน่นอนครับว่าเรื่องนี้จะเป็น Lesson-Learned ที่ดี ในหลายมุมมอง ทั้งด้านการตรวจสอบ IT & Non-IT ++ โดยเฉพาะอย่างยิ่งมุมมองของ การบริหารความเสี่ยงระดับองค์กร หรือ COSO-Enterprise Risk Management

วันนี้ เรามาคุยกันในหัวข้อที่ว่า Non-IT Auditors
จะตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้อย่างไร ? จะมีกระบวนการตรวจสอบ ที่เริ่มจาก การกำหนดขอบเขต และการวางแผนการตรวจสอบกันอย่างไร ? ในมุมมองของการตรวจสอบแบบค้นหาการทุจริต การติดตามการทุจริต การหาหลักฐานการตรวจสอบการทุจริต การจัดทำรายงาน++

บางท่านเริ่มคำถามว่า เราจะตรวจสอบได้อย่างไรในเมื่อกระบวนการทำงาของระบบงานได้รับการประมวลผลด้วย IT Process+Technology+Manual ระดับหนึ้ง
และคำถามอีกมากมาย++

โปรดดูภาพข้างต้น และโปรดใช้ดุลยพินิจของท่าน ผสมผสานกับหลักการตรวจสอบตามฐานความเสี่ยงทั้งทางด้าน IT & Non-IT++รวมทั้งมาตรฐานการตรวจสอบที่เกี่ยวข้อง++ ท่านจะได้รับคำตอบที่น่าสนใจอย่างยิ่ง ของจุดอ่อน และส่วนที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตที่คาดไม่ถึงครับ

ไว้คุยกันในตอนต่อๆไปนะครับ ผมเพียงให้ท่านที่สนใจพิจารณาว่า ความเข้าใจในการประมวลผลข้อมูล การใช้ข้อมูลและสารสนเทศเพื่อการกำกับ เพือการบริหาร เพื่อการตรวจสอบ นั้นมีความสำคัญเพียงใด โดยเฉพาะจาก Lesson-Learned ทั้งในประเทศและต่างประเทศครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทบาทของ Non-IT Auditors & IT Auditors กับ การทุจริต และการประสานงานการตรวจสอบร่วมกันอย่างเป็นระบบ

พ.ค. 20, 2009

ITG & IT Audit + Fraud InvestigationITG & IT Audit + Fraud Investigation

วันนี้ผมขอคุยกันในเรื่องที่ยังเป็น Hot issue อยู่ในวงการสถาบันการเงิน การตรวจสอบ การประชุมของคณะกรรมการตรวจสอบ คณะกรรมการบริหารความเสี่ยง ++ ในหลายๆองค์กร ถึงเรื่องการทุจริตที่ ธอส และผลที่ติดตามมา ในหลายๆแง่มุม และเช้าวันนี้เช่นกัน ผมได้ดูทีวีพบข่าวเกี่ยวกับเรื่องการทุจริตบัญชีเงินฝากของลูกค้าหลายรายที่ธนาคารธนชาต สาขาอุบลราชธานี เป็นเงินเบื้องต้นประมาณ 20 ล้านบาท ก็เลยนำข้อคิดในเรื่องเกี่ยวกับบทบาทของ Non – IT Auditors กับ IT Auditors รวมทั้งการประสานงานบางมุมมองมาเล่าสู่กันฟัง ดังนี้ครับ

ITG & IT Audit + Fraud Investigation and IT Understanding

ITG & IT Audit + Fraud Investigation and IT Understanding

ส่วนใหญ่ มักตั้งเป็นคำถาม และคำถามๆ ที่มีข้อมูลและข้อเท็จจริงค่อนข้างจำกัด รวมทั้งตัวผมเองด้วยนะครับ เรื่องนี้คงได้พูดคุยและวิจารณ์กันได้หลายแง่มุมไปอีกนานทีเดียว เก็บไว้ค่อยๆคุยกันอย่างสร้างสรรเพื่อสร้างคุณค่าเพิ่มต่อกัน และแน่นอนครับว่าเรื่องนี้จะเป็น Lesson-Learned ที่ดี ในหลายมุมมอง ทั้งด้านการตรวจสอบ IT & Non-IT ++ โดยเฉพาะอย่างยิ่งมุมมองของ การบริหารความเสี่ยงระดับองค์กร หรือ COSO-Enterprise Risk Management

วันนี้ เรามาคุยกันในหัวข้อที่ว่า Non-IT Auditors
จะตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้อย่างไร ? จะมีกระบวนการตรวจสอบ ที่เริ่มจาก การกำหนดขอบเขต และการวางแผนการตรวจสอบกันอย่างไร ? ในมุมมองของการตรวจสอบแบบค้นหาการทุจริต การติดตามการทุจริต การหาหลักฐานการตรวจสอบการทุจริต การจัดทำรายงาน++

บางท่านเริ่มคำถามว่า เราจะตรวจสอบได้อย่างไรในเมื่อกระบวนการทำงาของระบบงานได้รับการประมวลผลด้วย IT Process+Technology+Manual ระดับหนึ้ง
และคำถามอีกมากมาย++

โปรดดูภาพข้างต้น และโปรดใช้ดุลยพินิจของท่าน ผสมผสานกับหลักการตรวจสอบตามฐานความเสี่ยงทั้งทางด้าน IT & Non-IT++รวมทั้งมาตรฐานการตรวจสอบที่เกี่ยวข้อง++ ท่านจะได้รับคำตอบที่น่าสนใจอย่างยิ่ง ของจุดอ่อน และส่วนที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตที่คาดไม่ถึงครับ

ไว้คุยกันในตอนต่อๆไปนะครับ ผมเพียงให้ท่านที่สนใจพิจารณาว่า ความเข้าใจในการประมวลผลข้อมูล การใช้ข้อมูลและสารสนเทศเพื่อการกำกับ เพือการบริหาร เพื่อการตรวจสอบ นั้นมีความสำคัญเพียงใด โดยเฉพาะจาก Lesson-Learned ทั้งในประเทศและต่างประเทศครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

พ.ค. 15, 2009

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

พ.ค. 15, 2009

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »