Information Technology Governance

จากกรณีการทุจริตของ ธอส. ที่เป็นข่าวครึกโครมตลอดสัปดาห์ที่ผ่านมา ได้รับความสนใจจากวงการบริหารและการตรวจสอบของสถาบันการเงิน และผู้ที่เกี่ยวข้องเป็นอย่างมาก ผมจึงขอร่วมออกความเห็นในบางมุมมองที่เห็นว่าน่าจะเป็นประโยชน์ต่อการบริหารความเสี่ยง การควบคุม และการตรวจสอบในเชิงรุกบางประการ ดังนี้

1. ควรมีการทบทวนการควบคุมสภาพแวดล้อมโดยทั่วไป ตามหลักการของ COSO ข้อ 1. บางประการที่เกี่ยวข้องกับโครงสร้างขององค์กร เช่น องค์กรของท่านมีการจัดโครงสร้างที่มีผู้บริหารคนเดียวที่ดูแลสายงาน IT สายงานบัญชี สายงานทางการเงินหรือไม่ ถ้าเป็นเช่นนี้ พิจารณาในเบื้องต้นได้ว่า องค์กรของท่านมีความเสี่ยงเป็นอย่างยิ่ง เพราะผู้บริหารอาจดำเนินการโยกย้ายข้อมูลทางการบัญชีและข้อมูลทางการเงิน รวมทั้งทรัพย์สิน หนี้สิน ตลอดจนรายการและงบการเงินให้เป็นไปตามที่พึงประสงค์ได้โดยง่าย เป็นช่องเปิดของจุดอ่อน (Exposure) ในกระบวนการทำงานระดับบนที่จะสร้างจุดอ่อนในกระบวนการทำงานระดับกลาง และระดับล่างลงไปอย่างสำคัญยิ่ง และแน่นอน เป็นการเปิดโอกาสให้เกิดการทุจริตตามมาได้ในที่สุด… และผมจะอธิบายในเรื่องนี้โดยละเอียดในโอกาสต่อไป

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

2. หากผู้บริหารและผู้ตรวจสอบประเมินตนเองในลักษณะ CSA ปรากฎโครงสร้างขององค์กรตามข้อ 1. ก็สามารถให้ข้อสังเกต รวมทั้งทดสอบจุดอ่อนของกระบวนการทำงานกับกระบวนการบริหาร กระบวนการควบคุมและการตรวจสอบภายในตามฐานความเสี่ยง ตาม Scenario หรือตามจินตนาการของเหตุการณ์ที่อาจจะเกิดขึ้นจากจุดอ่อนของกระบวนการบริหาร ซึ่งตามมาด้วยการทุจริตได้เป็นอย่างดี โดยเริ่มต้นจากข้อมูลและสารสนเทศที่ไม่ถูกต้อง เชื่อถือไม่ได้ มีการบิดเบือนข้อมูลอย่างตั้งใจ และไม่ตั้งใจ ตามระบบที่เปิดของจุดอ่อนทางเทคโนโลยีสารสนเทศ (Technology) ที่จะตามมาด้วยจุดอ่อนของกระบวนการทำงานในรูปแบบต่าง ๆ (Process) และเมื่อมีพนักงานผู้ไม่หวังดี (People) หรือมีผู้ต้องการทุจริตก็จะเป็นสาเหตุหลัก (Root Cause) ของความเสี่ยงที่ตามมาด้วยการทุจริตในรูปแบบต่าง ๆ ได้ในที่สุด

เพราะการทุจริตมีสาเหตุหลัก ๆ เพียง 3 ประการ คือ ก) ระบบงานมีจุดอ่อน ข) มีผู้ที่ต้องการทุจริต และ ค) มีโอกาสที่จะทุจริตได้ เมื่อครบองค์ประกอบทั้ง 3 ประการก็คงเหลือเพียงเวลาที่จะทุจริตเท่านั้น

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

3. ในอดีตสถาบันการเงินหลายแห่งมีประสบการณ์เกี่ยวกับการโอนเงินลอยผ่านระบบ Online หรือฝากเงินโดยไม่มีเงินสดจริง ไปเข้าบัญชีของตนเอง หรือบัญชีอื่น ๆ ที่เปิดเตรียมไว้เพื่อการทุจริตที่สาขาต่าง ๆ ของสถาบันการเงิน และเมื่อมีโอกาสก็คีย์เงินฝากลอย ๆ ผ่านระบบเทอร์มินอลไปเข้าบัญชีที่เปิดเตรียมไว้เพื่อการทุจริตนั้น ได้เงินไปตั้งแต่ 10 ล้าน ถึง 30 ล้านบาทภายในวันเดียว และไปถอนเงินสดตามสาขาที่โอนเงินฝากไปภายในวันเดียวกันนั้น ซึ่งเรื่องนี้มีตัวอย่างที่ผมเคยเขียนไว้ในหนังสือการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 2 จาก 4 เล่ม ซึ่งหากมีโอกาสจะได้นำมาเล่าสู่กันฟังในรายละเอียดต่อไป

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

4. กรณีของธนาคาร ธอส. ซึ่งเป็นข่าวประเด็นร้อน เมื่อ 2 สัปดาห์ที่ผ่านมานี้ ก็เป็นเรื่องที่น่าสนใจที่ผมเข้าใจว่า น่าจะมีลักษณะของการทุจริตที่มีองค์ประกอบในหลักการไม่แตกต่างกันมากนัก แต่จะแตกต่างกันในลักษณะของการทุจริตที่ไม่ได้เกิดจากการคีย์เงินฝากลอย ๆ ตามที่กล่าวในข้อ 3. ดังที่เคยเกิดขึ้นในอดีตของหลายสถาบันการเงินมาแล้ว

กรณีของ ธอส. ตามที่เป็นข่าวน่าจะเกิดจากจุดอ่อนของระบบงานที่เกี่ยวข้องกับการจ่ายดอกเบี้ยผ่านบัญชี Suspense Account ของธนาคารที่ขาดดุลยภาพการควบคุมกระบวนการบริหารความเสี่ยงที่เหมาะสม ซึ่งหากวิเคราะห์ในรายละเอียดประกอบกับการตรวจสอบจริงในภาคปฏิบัติ ตั้งแต่การติดตามดูกระบวนการทำงาน ตั้งแต่ Conseptual Flow ดู Processing Flow ไปจนถึง Data Flow ประกอบกับการวิเคราะห์การควบคุม Activity Flow ร่วมไปกับการติดตามดูระเบียบ คำสั่ง การมอบหมายอำนาจและหน้าที่ในการปฏิบัติงานในแต่ละขั้นตอน ควบคู่กันไปกับระบบการควบคุมในแต่ละกิจกรรมอย่างละเอียด ทั้งการควบคุมทางด้าน Computer Control และ Manual Control และแบบผสมผสาน อีกทั้งควรจะต้องพิจารณาข้อยกเว้นของระบบการควบคุม ระบบการปฏิบัติ ตลอดจนถึงกระบวนการ Override หรือกระบวนการข้ามขั้นตอนการควบคุม เพื่อความสะดวกในการปฏิบัติงาน รวมทั้งสังเกตุการณ์การปฏิบัติงานจริงในการมอบหมายหน้าที่ระหว่างผู้ปฏิบัติงานกับผู้ควบคุม ซึ่งในแต่ละขั้นตอนดังกล่าวนี้ จะมีจุดอ่อนที่มีผลต่อการทุจริตได้ทั้งสิ้น

5. จุดอ่อนที่สำคัญยิ่งของสถาบันการเงินส่วนใหญ่ และองค์กรทั่ว ๆ ไป ก็คือ การขาดนโยบายที่ชัดเจน และเป็นรูปธรรมของคณะกรรมการและผู้บริหารที่เกี่ยวข้อง ในเรื่องกระบวนการควบคุมการจัดการกับความเสี่ยงของบัญชี Suspense Account และหรือบัญชี Sundry Account หรือบัญชีอื่น ๆ ที่สถาบันการเงินหรือองค์กรได้กำหนดไว้เป็นรหัสให้คอมพิวเตอร์เป็นผู้ดำเนินการ โดยขาดกระบวนการติดตาม ขาดกระบวนการบริหาร รวมทั้งการจัดทำรายงานความเคลื่อนไหวของบัญชีเหล่านี้ให้เป็นรูปธรรม สถาบันการเงินหลายแห่งมียอดเงินในบัญชีพัก หรือบัญชีในชื่ออื่นใดก็ตามเป็นยอดเงินที่สูงมาก หากใช้หลักการของการบริหารความเสี่ยงตามกรอบของ COSO – ERM ที่คณะกรรมการและผู้บริหารจะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ คือ การกำหนด Risk Appetite และ Risk Tolerance ไว้ให้ชัดเจน อย่างกรณีบัญชี Suspense Account สถาบันการเงินก็ควรกำหนดนโยบายที่ชัดเจน และเป็นรูปธรรมว่า บัญชี Suspense Account นี้จะบันทึกบัญชีประเภทใดบ้าง มีวงเงินรวมและวงเงินแต่ละประเภทของบัญชีที่โอนเข้าบัญชีนี้เป็นเงินเท่าใด จะต้องมีรายละเอียดอะไรประกอบบัญชีแต่ละประเภท แต่ละกลุ่มภายใต้หัวข้อบัญชี Suspense Account หรือบัญชี Sundry Account และใครเป็นผู้ดูแล ใครเป็นผู้รับผิดชอบ โดยกำหนดกระบวนการควบคุมที่ฝังไว้ในระบบงาน (Embed) ซึ่งกระทำโดยการใช้ Code ที่เหมาะสม

6. ตามที่ผมได้กล่าวในข้อ 5. ข้างต้น ยังมีรายละเอียดหลายประการ และตัวอย่างอีกมากที่เป็นจุดรั่วไหลของในหลายองค์กร โดยเฉพาะอย่างยิ่ง ผู้ที่มีความรู้ทางด้านเทคโนโลยีสารสนเทศ ที่ได้รับมอบหมายให้เป็นผู้ดูแลที่ขาดความเข้าใจอย่างเป็นกระบวนการในการบริหารความเสี่ยงต่าง ๆ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่มีจุดอ่อนในระดับบน ซึ่งจะก่อให้เกิดความเสี่ยงในระดับรอง ๆ ลงมาอย่างหลีกเลี่ยงไม่ได้

ท่านผู้บริหารครับ ท่านเคยสนใจไหมครับว่า การเปลี่ยนแปลงกฎเกณฑ์ และระเบียบ รวมทั้งคำสั่งต่าง ๆ ที่เกี่ยวข้องกับการควบคุม การให้บริการใหม่ ๆ ผลิตภัณฑ์ใหม่ ๆ กระบวนการทำงานใหม่ ๆ ที่ปกติแล้วจะประกอบด้วย IT และ Non – IT นั้น จำเป็นอย่างยิ่งที่ต้องผ่านคณะกรรมการบริหารความเสี่ยง เพื่อประเมินถึงผลกระทบจากเหตุการณ์ใหม่ ๆ ที่เกิดขึ้น เรื่องนี้มีผู้บริหารระดับสูงของบางองค์กรได้อาศัยช่องว่างของกระบวนการบริหารความเสี่ยง ควบคู่กันไปกับการมีอำนาจควบคุมระบบเทคโนโลยีสารสนเทศ ระบบบัญชี ระบบการเงิน ระบบสินเชื่อ โดยการยักย้ายบัญชีสินทรัพย์เข้าไปไว้ในบัญชีพัก หรือ Suspense Account โดยเตรียมคำอธิบายไว้ล่วงหน้าหากมีการสอบถามจากผู้ที่เกี่ยวข้องไว้อย่างรัดกุม และเมื่อไม่มีคำถามจากผู้บริหารระดับสูง ประกอบกับผู้ตรวจสอบภายในยังขาดทักษะในการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งขาด Mind Map และขาดสัญชาตญาณในการตรวจสอบ (Audit Instinct) ในภาพโดยรวมของการตรวจสอบกับจุดอ่อนในกระบวนการจัดการ และระบบงาน รวมทั้งระเบียบปฏิบัติต่าง ๆ ที่เกี่ยวข้อง ก็จะเกิดความเสียหายได้มากมายจากสินทรัพย์ หรือลูกหนี้ที่ล่องหนไปจากบัญชีขององค์กร โดยมีสาเหตุหลัก ๆ ที่เกิดจาก PPT ซึ่งก็คือ People Risk + Process Risk + Technology Risk ที่ผสมผสานกันไปกับจุดอ่อนของกระบวนการบริหาร Compliance Risk โดยเฉพาะอย่างยิ่งจากความเสี่ยงในระดับสูงสุดขององค์กรก็คือ สภาพแวดล้อมในการควบคุมขององค์กร ซึ่งอยู่ในระดับบนสุดของกระบวนการบริหารความเสี่ยง และจะขอกล่าวซ้ำอีกครั้งหนึ่ง ซึ่งสรุปสั้นได้ตามแผนภาพ ดังนี้

สภาวะแวดล้อมเพื่อการควบคุม

ประเด็นการตรวจสอบจุดอ่อนของระบบงานที่อาจจะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตขึ้นได้นั้น ผู้ที่พบหรือสังเกตรายการทางบัญชีที่ผิดปกติ อันเป็นที่มาของการทุจริตตามข่าว… ทำไมจึงมีที่มาจากองค์กรอื่นที่ไม่ได้เป็นต้นตอของการทุจริต ทำไมองค์กรของเราผู้ได้รับความเสียหายจากการทุจริต ไม่ทราบปัญหาการทุจริตที่เกิดขึ้นแล้ว และที่กำลังจะเกิดขึ้นต่อไป? การบริหารความเสี่ยงเป็นการบริหารเชิงรุก เป็นการป้องกันปัญหาก่อนที่จะเกิดความเสียหาย องค์กรของเราโดยคณะกรรมการมีการกำหนด Risk Appetite ที่เกิดจากการทุจริต รวมทั้ง Risk Appetite ที่มีผลกระทบถึงชื่อเสียง และความไว้วางใจขององค์กรของเราจาก Stakeholders ไว้อย่างไร มีการติดตามการบริหารความเสี่ยง การควบคุมความเสี่ยง การตรวจสอบตามฐานความเสี่ยงในเรื่องนี้ รวมทั้งการรายงานครั้งสุดท้ายเมื่อใด

ภาพโดยรวมของการตรวจสอบการทุจริต

สำหรับจุดอ่อนของระบบงานและกระบวนการทำงาน (Process Risk) รวมทั้ง System Risk ที่เกี่ยวข้องกับระบบบัญชีพัก หรือ Suspense Account ที่สัมพันธ์กับจุดอ่อนของวิธีการปฏิบัติ และจุดอ่อนของดุลยภาพการควบคุมความเสี่ยงที่เป็นช่องทางของการทุจริตจะได้นำมาแลกเปลี่ยนความเห็นกันในครั้งต่อไปนะครับ